客户端接入控制方法、装置、系统、电子设备及存储介质与流程

1.本发明涉及网络安全技术领域，尤其涉及一种客户端接入控制方法、装置、系统、电子设备及存储介质。


背景技术：

2.目前，终端管理系统中有以下几个典型的控制终端接入的需求：
3.(1)对客户端访问的认证。客户端调用api访问服务端，服务端需要对客户端进行认证，在现有技术中，通常是在应用层实现，服务端和客户端约定一个认证的方法，比如客户端和服务端约定一个token，客户端在请求中带上token，服务端会检查这个token是否匹配，此方法很容易被识破并被伪造攻击。
4.(2)授权日期的控制。服务端或者客户端会对授权的日期做检查，对于超过授权日期的会做一些功能限制，一般会在应用层跑一个定时的任务对授权日期做检查。
5.(3)服务端能强制拒绝某一个客户端的访问，比如强制取消某个客户端的授权。一般会在api的代码里做检查然后返回错误码。
6.以上控制终端接入需求的实现，都是在建立连接后，由应用层的代码完成，不够安全和高效，也增加了应用层软件实现的复杂度。


技术实现要素：

7.本发明提供一种客户端接入控制方法、装置、系统、电子设备及存储介质，用以解决现有终端管理系统在应用层实现客户端接入的控制，不够安全和高效，也增加了应用层软件实现的复杂度的问题，通过将客户端接入控制需求的实现从系统的应用层下移到ssl连接层，更加安全和高效，也减少了应用层软件的实现复杂度。
8.第一方面，本发明提供一种客户端接入控制方法，包括：
9.接收第一客户端发起的ssl连接请求信息；其中，所述ssl连接请求信息是基于预先设置的第一客户端的ssl证书和ca证书生成的；
10.根据预存的证书验证信息，对所述ssl连接请求信息中的证书信息进行验证，在验证通过的情况下，生成第一客户端ssl证书状态获取请求信息；
11.将所述第一客户端证书状态获取请求信息发送至ca服务模块；
12.接收所述ca服务模块对所述第一客户端证书状态获取请求信息的状态分析结果，并根据所述状态分析结果控制所述第一客户端的接入。
13.进一步，所述方法还包括：
14.在验证不通过的情况下，禁止所述第一客户端的接入。
15.进一步，所述接收所述ca服务模块对所述第一客户端证书状态获取请求信息的状态分析结果，并根据所述状态分析结果控制所述第一客户端的接入，具体包括：
16.在所述状态分析结果为正常的情况下，允许所述第一客户端的接入；
17.在所述状态分析结果为吊销或伪造的情况下，禁止所述第一客户端的接入。
18.进一步，所述预存的证书验证信息包括：
19.预先存储的ssl证书的标识信息、有效时间信息以及ca证书的签发信息。
20.进一步，所述客户端接入控制方法还包括：
21.接收ssl模块所发送的第一客户端证书状态获取请求信息；
22.对第一客户端证书状态获取请求信息进行状态分析，将状态分析结果发送至ssl模块，以使得所述ssl模块根据所述状态分析结果控制所述第一客户端的接入。
23.进一步，所述对第一客户端证书状态获取请求信息进行状态分析，将状态分析结果发送至ssl模块，包括：
24.根据预先保存的ssl证书的状态信息，对第一客户端证书状态获取请求信息进行状态分析，在状态分析结果为异常的情况下，向所述ssl模块返回ssl证书吊销或伪造的状态分析结果；
25.在状态分析结果为良好的情况下，向所述ssl模块返回ssl证书状态正常的状态分析结果。
26.进一步，所述方法还包括：
27.接收服务端程序模块所发送的第二客户端的证书配置文件；
28.根据第二客户端的证书配置文件生成第二客户端的ssl证书以及所述第二客户端的ssl证书的状态信息，并在本地保存；其中，所述第二客户端的ssl证书包括第二客户端的标识信息以及第二客户端的ssl证书的有效时间信息；
29.将所述第二客户端的ssl证书发送至所述服务端程序模块，以通过所述服务端程序模块将所述第二客户端的ssl证书签发给所述第二客户端。
30.进一步，所述方法还包括：
31.接收服务端程序模块所发送的吊销第三客户端的ssl证书的指令；
32.在已签发的客户端的ssl证书中查找第三客户端的ssl证书；
33.将所述第三客户端的ssl证书的状态信息设置为吊销状态。
34.进一步，所述客户端接入控制方法还包括：
35.为第二客户端生成证书配置文件，并将第二客户端的证书配置文件发送至ca服务模块，以使得所述ca服务模块根据第二客户端的证书配置文件生成第二客户端的ssl证书；其中，所述第二客户端的ssl证书包括第二客户端的标识信息以及第二客户端的ssl证书的有效时间信息；
36.从所述ca服务模块接收所述第二客户端的ssl证书，将所述第二客户端的ssl证书发送至所述第二客户端。
37.进一步，所述方法还包括：
38.向所述ca服务模块发送吊销第三客户端的ssl证书的指令。
39.进一步，所述方法还包括：
40.为ssl模块配置ca证书以及ca服务模块的地址信息，并启动所述ssl模块；其中，所述ca证书为ca服务模块在签发第二客户端ssl证书时所使用的公钥。
41.第二方面，本发明还提供了一种客户端接入控制装置，包括：第一接收模块、验证模块、第一发送模块、第一控制模块，其中：
42.第一接收模块，用于接收第一客户端发起的ssl连接请求信息；其中，所述ssl连接
请求信息是基于预先设置的第一客户端的ssl证书和ca证书生成的；
43.验证模块，用于根据预存的证书验证信息，对所述ssl连接请求信息中的证书信息进行验证，在验证通过的情况下，生成第一客户端ssl证书状态获取请求信息；
44.第一发送模块，用于将所述第一客户端证书状态获取请求信息发送至ca服务模块；
45.第一控制模块，用于接收所述ca服务模块对所述第一客户端证书状态获取请求信息的状态分析结果，并根据所述状态分析结果控制所述第一客户端的接入。
46.进一步，本发明还提供了一种客户端接入控制装置，包括：第二接收模块、第二控制模块，其中：
47.第二接收模块，用于接收ssl模块所发送的第一客户端证书状态获取请求信息；
48.第二控制模块，用于对第一客户端证书状态获取请求信息进行状态分析，将状态分析结果发送至ssl模块，以使得所述ssl模块根据所述状态分析结果控制所述第一客户端的接入。
49.进一步，本发明还提供了一种客户端接入控制装置，包括：生成模块、第二发送模块，其中：
50.生成模块，用于为第二客户端生成证书配置文件，并将第二客户端的证书配置文件发送至ca服务模块，以使得所述ca服务模块根据第二客户端的证书配置文件生成第二客户端的ssl证书；其中，所述第二客户端的ssl证书包括第二客户端的标识信息以及第二客户端的ssl证书的有效时间信息；
51.第二发送模块，用于从所述ca服务模块接收所述第二客户端的ssl证书，将所述第二客户端的ssl证书发送至所述第二客户端。
52.第三方面，本发明还提供了一种客户端接入控制系统，包括：ssl模块，ca服务模块以及服务端程序模块，用于执行如上述任一种所述客户端接入控制方法的步骤。
53.第四方面，本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述客户端接入控制方法的步骤。
54.第五方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述客户端接入控制方法的步骤。
55.第六方面，本发明还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述任一种所述客户端接入控制方法的步骤。
56.本发明提供的一种客户端接入控制方法、装置、系统、电子设备及存储介质，接收第一客户端发起的ssl连接请求信息；其中，所述ssl连接请求信息是基于预先设置的第一客户端的ssl证书和ca证书生成的；根据预存的证书验证信息，对所述ssl连接请求信息中的证书信息进行验证，在验证通过的情况下，生成第一客户端ssl证书状态获取请求信息；将所述第一客户端证书状态获取请求信息发送至ca服务模块；接收所述ca服务模块对所述第一客户端证书状态获取请求信息的状态分析结果，并根据所述状态分析结果控制所述第一客户端的接入，解决了现有终端管理系统在应用层实现客户端接入的控制，不够安全和高效，也增加了应用层软件实现的复杂度的问题，通过将客户端接入控制需求的实现从系统的应用层下移到ssl连接层，更加安全和高效，也减少了应用层软件的实现复杂度。
附图说明
57.为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
58.图1是本发明一个实施例提供的一种客户端接入控制系统的结构示意图；
59.图2是本发明一个实施例提供的一种客户端接入控制方法的流程示意图；
60.图3是本发明另一个实施例提供的一种客户端接入控制方法的流程示意图；
61.图4是本发明又一个实施例提供的一种客户端接入控制方法的流程示意图；
62.图5是本发明另一个实施例提供的一种客户端接入控制方法的流程示意图；
63.图6是本发明另一个实施例提供的一种客户端接入控制方法的流程示意图；
64.图7是本发明一个实施例提供的一种客户端接入控制装置的结构框图；
65.图8是本发明另一个实施例提供的一种客户端接入控制装置的结构框图；
66.图9是本发明另一个实施例提供的一种客户端接入控制装置的结构框图；
67.图10是本发明另一个实施例提供的一种客户端接入控制系统的结构框图；
68.图11是本发明另一个实施例提供的一种客户端接入控制电子设备的结构框图。
具体实施方式
69.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
70.本发明中所涉及到的ssl模块，ca服务模块以及服务端程序模块构成了客户端接入控制系统，如图1所示，具体如下：
71.ssl模块，用来接收第一客户端发起的ssl连接请求信息；其中，所述ssl连接请求信息是基于预先设置的第一客户端的ssl证书和ca证书生成的；根据预存的证书验证信息，对所述ssl连接请求信息中的证书信息进行验证，在验证通过的情况下，生成第一客户端ssl证书状态获取请求信息；将所述第一客户端证书状态获取请求信息发送至ca服务模块；接收所述ca服务模块对所述第一客户端证书状态获取请求信息的状态分析结果，并根据所述状态分析结果控制所述第一客户端的接入。
72.ca服务模块，用来接收ssl模块所发送的第一客户端证书状态获取请求信息；对第一客户端证书状态获取请求信息进行状态分析，将状态分析结果发送至ssl模块，以使得所述ssl模块根据所述状态分析结果控制所述第一客户端的接入。
73.服务端程序模块，用来为第二客户端生成证书配置文件，并将第二客户端的证书配置文件发送至ca服务模块，以使得所述ca服务模块根据第二客户端的证书配置文件生成第二客户端的ssl证书；其中，所述第二客户端的ssl证书包括第二客户端的标识信息以及第二客户端的ssl证书的有效时间信息；从所述ca服务模块接收所述第二客户端的ssl证书，将所述第二客户端的ssl证书发送至所述第二客户端。
74.图2是本实施例提供的一种客户端接入控制方法的流程示意图，参见图2，应用于
ssl模块，该方法包括：
75.步骤201：接收第一客户端发起的ssl连接请求信息；
76.其中，所述ssl连接请求信息是基于预先设置的第一客户端的ssl证书和ca证书生成的；ssl为安全网络连接层，是目前标准的安全接入方法，为网络通信提供安全及数据完整性的一种安全协议，ssl直接在传输层与应用层之间对网络连接进行加密，确保数据发送到正确的客户端和服务端以及防止数据中途被窃取；ssl模块是标准和通用的，比如直接使用nginx的ssl客户端认证。
77.需要进一步说明的是，所述第一客户端的ssl证书可以是已签发的ssl证书，如自签发的ssl证书，或权威机构签发的ssl证书，也可以是已吊销的ssl证书，第一客户端为待验证的客户端，为部署在windows或者linux主机上的agent程序，受服务端管理的客户端。第一客户端可采用有线或无线方式与ssl模块所属的终端管理系统进行通信连接，第一客户端可通过手机、平板电脑、电脑或是公司专用电子设备向ssl模块发送ssl连接请求信息。
78.具体地，第一客户端向ssl模块发送ssl连接请求信息，ssl模块接收第一客户端发起的ssl连接请求信息。
79.举例来说，一信息技术公司为该公司每个员工配有专属电脑，员工a通过身份码为01的电脑向公司终端管理系统的ssl模块发送ssl连接请求信息，ssl模块接收员工a通过身份码为01的电脑发起的ssl连接请求信息。
80.步骤202：根据预存的证书验证信息，对所述ssl连接请求信息中的证书信息进行验证，在验证通过的情况下，生成第一客户端ssl证书状态获取请求信息；
81.其中，预存的证书验证信息包括预先存储的ssl证书的标识信息、有效时间信息以及ca证书的签发信息。
82.具体地，ssl模块根据预存的证书验证信息，对所述ssl连接请求信息中的证书信息进行验证，在验证通过的情况下，生成第一客户端ssl证书状态获取请求信息。
83.举例来说，一信息技术公司的终端管理系统中的ssl模块根据预存的ssl证书的标识信息、有效时间信息以及ca证书的签发信息对员工a通过身份码为01的电脑发起的ssl连接请求信息中的证书信息进行验证，其中，员工a所使用的身份码为01的电脑证书信息中标识信息即为身份码01，有效时间信息为2021年1月1日至2023年1月1日，ca证书的签发信息为a机构，经过ssl模块中预存的证书验证信息作比较验证发现，员工a所使用的身份码为01的电脑中的证书信息验证通过，之后，生成身份码为01的电脑ssl证书状态获取请求信息。
84.步骤203：将所述第一客户端证书状态获取请求信息发送至ca服务模块；
85.其中，ca为证书颁发机构，可以颁发各种数字证书，由ca机构颁发的证书都可以成为ca证书，上述ssl证书为ca机构颁发证书的其中一种，除此之外，ca机构颁发证书还可以是邮件证书、加密证书、软件数字证书，在此不作具体限定。
86.需要进一步说明的是，在第一客户端证书信息验证通过的情况下，即已拥有证书，证书处于有效期内且签发者信息无误的第一客户端，但依然无法确定其证书是否为吊销或伪造状态，在此情况下，为了防止已被吊销或存在伪造嫌疑的客户端接入，需要进一步通过向ca服务模块发送第一客户端证书状态获取请求信息。
87.具体地，根据预存的证书验证信息，在第一客户端发送的ssl连接请求信息中的证书信息与ssl模块中预存的证书验证信息匹配的情况下，即验证通过，生成第一客户端ssl
证书状态获取请求信息，ssl模块将第一客户端证书状态获取请求信息发送至ca服务模块。
88.举例来说，一信息技术公司的终端管理系统中的ssl模块根据预存的证书验证信息，在员工a通过身份码为01的电脑发送的ssl连接请求信息中的证书信息与ssl模块中预存的证书验证信息匹配的情况下，即验证通过，生成第一客户端ssl证书状态获取请求信息，ssl模块将第一客户端证书状态获取请求信息发送至ca服务模块。
89.步骤204：接收所述ca服务模块对所述第一客户端证书状态获取请求信息的状态分析结果，并根据所述状态分析结果控制所述第一客户端的接入。
90.其中，状态分析结果可以为正常、吊销或伪造状态，在所述状态分析结果为正常的情况下，允许所述第一客户端的接入；在所述状态分析结果为吊销或伪造的情况下，禁止所述第一客户端的接入。
91.具体地，ssl模块接收ca服务模块对所述第一客户端证书状态获取请求信息的状态分析结果，并根据所述状态分析结果控制所述第一客户端的接入。
92.举例来说，一信息技术公司的终端管理系统中的ssl模块在接收到ca服务模块对员工a所使用的身份码为01的电脑证书状态获取请求信息的状态分析结果，并根据所述状态分析结果控制员工a所使用的身份码为01的电脑的接入。
93.本实施例提供了一种客户端接入控制方法，应用于终端管理系统的ssl模块，接收第一客户端发起的ssl连接请求信息；其中，所述ssl连接请求信息是基于预先设置的第一客户端的ssl证书和ca证书生成的；根据预存的证书验证信息，对所述ssl连接请求信息中的证书信息进行验证，在验证通过的情况下，生成第一客户端ssl证书状态获取请求信息；将所述第一客户端证书状态获取请求信息发送至ca服务模块；接收所述ca服务模块对所述第一客户端证书状态获取请求信息的状态分析结果，并根据所述状态分析结果控制所述第一客户端的接入，解决了现有终端管理系统在应用层实现客户端接入的控制，不够安全和高效，也增加了应用层软件实现的复杂度的问题，通过将客户端接入控制需求的实现从系统的应用层下移到ssl连接层，更加安全和高效，也减少了应用层软件的实现复杂度。
94.基于上述实施例的内容，在本实施例中，所述步骤202，根据预存的证书验证信息，对所述ssl连接请求信息中的证书信息进行验证，具体还包括：
95.在验证不通过的情况下，禁止所述第一客户端的接入。
96.需要进一步说明的是，在第一客户端所发送的ssl连接请求信息中的证书信息与预存的证书验证信息，也就是预存的ssl证书的标识信息、有效时间信息以及ca证书的签发信息中的任意一个及以上不匹配的情况下，即禁止第一客户端的接入。
97.具体地，ssl模块根据预存的证书验证信息，对所述ssl连接请求信息中的证书信息进行验证，在验证不通过的情况下，禁止所述第一客户端的接入。
98.举例来说，一信息技术公司的终端管理系统中的ssl模块根据预存的ssl证书的标识信息、有效时间信息以及ca证书的签发信息对员工a通过身份码为01的电脑发起的ssl连接请求信息中的证书信息进行验证，其中，员工a所使用的身份码为01的电脑证书信息中标识信息即为身份码01，有效时间信息为2021年1月1日至2022年1月1日，ca证书的签发信息为a机构，经过ssl模块中预存的证书验证信息作比较验证发现，员工a所使用的身份码为01的电脑证书信息已过期,即不在有效时间内，因此，验证不通过，禁止员工a所使用的身份码为01的电脑的接入。
99.本实施例提供了一种客户端接入控制方法，应用于终端管理系统的ssl模块，在根据预存的证书验证信息，对所述ssl连接请求信息中的证书信息进行验证，在验证不通过的情况下，禁止所述第一客户端的接入，避免了由于客户端所拥有的证书在过期或身份信息、签发信息不正确的情况下依然能够接入的问题，保证了客户端能够更安全、更有效的接入。
100.基于上述实施例的内容，在本实施例中，所述步骤204，接收所述ca服务模块对所述第一客户端证书状态获取请求信息的状态分析结果，并根据所述状态分析结果控制所述第一客户端的接入，具体可通过如下方式实现：
101.在所述状态分析结果为正常的情况下，允许所述第一客户端的接入；
102.在所述状态分析结果为吊销或伪造的情况下，禁止所述第一客户端的接入。
103.具体地，ssl模块接收所述ca服务模块对所述第一客户端证书状态获取请求信息的状态分析结果，并根据所述状态分析结果控制所述第一客户端的接入，在所述状态分析结果为正常的情况下，允许所述第一客户端的接入；在所述状态分析结果为吊销或伪造的情况下，禁止所述第一客户端的接入。
104.举例来说，一信息技术公司的终端管理系统中的ssl模块根据预存的ssl证书的标识信息、有效时间信息以及ca证书的签发信息对员工a通过身份码为01的电脑以及员工b通过身份码为02的电脑发起的ssl连接请求信息中的证书信息进行验证，其中，员工a所使用的身份码为01的电脑证书信息中标识信息即为身份码01，有效时间信息为2021年1月1日至2023年1月1日，ca证书的签发信息为a机构，员工b所使用的身份码为02的电脑证书信息中标识信息即为身份码02，有效时间信息为2021年1月1日至2022年1月1日，ca证书的签发信息为a机构，经过ssl模块中预存的证书验证信息作比较验证发现，员工a所使用的身份码为01的电脑证书信息验证通过，允许员工a所使用的身份码为01的电脑接入；员工b所使用的身份码为02的电脑已过期，即不在有效时间内，因此，验证不通过，禁止员工b所使用的身份码为02的电脑的接入。
105.本实施例提供了一种客户端接入控制方法，应用于终端管理系统的ssl模块，在所述状态分析结果为正常的情况下，允许所述第一客户端的接入；在所述状态分析结果为吊销或伪造的情况下，禁止所述第一客户端的接入，解决了现有终端管理系统在应用层实现客户端接入的控制，不够安全和高效，也增加了应用层软件实现的复杂度的问题，通过将客户端接入控制需求的实现从系统的应用层下移到ssl连接层，更加安全和高效，也减少了应用层软件的实现复杂度。
106.图3是本实施例提供的另一种客户端接入控制方法的流程示意图，参见图3，应用于ca服务模块，该方法包括：
107.步骤301：接收ssl模块所发送的第一客户端证书状态获取请求信息；
108.步骤302：对第一客户端证书状态获取请求信息进行状态分析，将状态分析结果发送至ssl模块，以使得所述ssl模块根据所述状态分析结果控制所述第一客户端的接入。
109.需要进一步说明的是，ca服务模块存在于终端管理系统中。
110.具体地，ca服务模块接收ssl模块所发送的第一客户端证书状态获取请求信息，对第一客户端证书状态获取请求信息进行状态分析，将状态分析结果发送至ssl模块，以使得所述ssl模块根据所述状态分析结果控制所述第一客户端的接入。
111.举例来说，一信息技术公司的终端管理系统中的ca服务模块接收ssl模块所发送
的身份码为01的电脑的证书状态获取请求信息；在接收到ssl模块发送的身份码为01的电脑的证书状态获取请求信息之后，对身份码为01的电脑的证书状态获取请求信息进行状态分析，将状态分析结果发送至ssl模块，以使得所述ssl模块根据所述状态分析结果控制身份码为01的电脑的接入。
112.本实施例提供了一种客户端接入控制方法，应用于终端管理系统的ca服务模块，接收ssl模块所发送的第一客户端证书状态获取请求信息；对第一客户端证书状态获取请求信息进行状态分析，将状态分析结果发送至ssl模块，以使得所述ssl模块根据所述状态分析结果控制所述第一客户端的接入，解决了现有终端管理系统在应用层实现客户端接入的控制，不够安全和高效，也增加了应用层软件实现的复杂度的问题，通过将客户端接入控制需求的实现从系统的应用层下移到ssl连接层，更加安全和高效，也减少了应用层软件的实现复杂度。
113.基于上述实施例的内容，在本实施例中，所述步骤302，所述对第一客户端证书状态获取请求信息进行状态分析，将状态分析结果发送至ssl模块，具体可通过如下方式实现：
114.根据预先保存的ssl证书的状态信息，对第一客户端证书状态获取请求信息进行状态分析，在状态分析结果为异常的情况下，向所述ssl模块返回ssl证书吊销或伪造的状态分析结果；
115.在状态分析结果为良好的情况下，向所述ssl模块返回ssl证书状态正常的状态分析结果。
116.其中，预先保存的ssl证书的状态信息为分析验证客户端证书是否存在吊销或伪造嫌疑状态的信息。
117.具体地，ca服务模块根据预先保存的ssl证书的状态信息，对第一客户端证书状态获取请求信息进行状态分析，在状态分析结果为异常的情况下，向所述ssl模块返回ssl证书吊销或伪造的状态分析结果；在状态分析结果为良好的情况下，向所述ssl模块返回ssl证书状态正常的状态分析结果。
118.举例来说，ca服务模块根据预先保存的ssl证书的状态信息，对员工a所使用的身份码为01的电脑证书状态获取请求信息进行状态分析，在状态分析结果为异常的情况下，向所述ssl模块返回ssl证书吊销或伪造的状态分析结果，此时即使是员工a所使用的身份码为01的电脑所发送的ssl连接请求信息中的证书信息与预存的证书验证信息匹配，即验证通过的情况下，也无法实现身份码为01的电脑的接入；在状态分析结果为良好的情况下，向ssl模块返回ssl证书状态正常的状态分析结果，此时可实现身份码为01的电脑的接入。
119.本实施例提供了一种客户端接入控制方法，应用于终端管理系统的ca服务模块，根据预先保存的ssl证书的状态信息，对第一客户端证书状态获取请求信息进行状态分析，在状态分析结果为异常的情况下，向所述ssl模块返回ssl证书吊销或伪造的状态分析结果；在状态分析结果为良好的情况下，向所述ssl模块返回ssl证书状态正常的状态分析结果，避免了由于客户端中途被吊销或为伪造证书客户端而导致的正常接入的问题，通过设置ca服务模块，更安全、高效地实现客户端的接入。
120.基于上述实施例的内容，在本实施例中，所述客户端接入控制方法应用于ca服务模块，具体包括：
121.接收服务端程序模块所发送的第二客户端的证书配置文件；
122.根据第二客户端的证书配置文件生成第二客户端的ssl证书以及所述第二客户端的ssl证书的状态信息，并在本地保存；
123.将所述第二客户端的ssl证书发送至所述服务端程序模块，以通过所述服务端程序模块将所述第二客户端的ssl证书签发给所述第二客户端。
124.其中，所述第二客户端的ssl证书包括第二客户端的标识信息以及第二客户端的ssl证书的有效时间信息；第二客户端的标识信息，如用户电脑的身份id。
125.需要进一步说明的是，为了区分发起ssl连接请求信息的待验证的第一客户端，此处第二客户端为需要生成ssl证书的客户端，也就是未被签发ssl证书的客户端，例如新入职的员工c，公司为其配备新电脑，但新电脑未配备有ssl证书，因此，需要为员工c的新电脑签发ssl证书；第二客户端可采用有线或无线方式与服务端程序模块进行通信连接，第二客户端可以是手机、平板电脑、电脑或是公司专用电子设备等一切可进行通行连接的电子设备，在此不作具体限定。
126.具体地，ca服务模块接收服务端程序模块所发送的第二客户端的证书配置文件；根据第二客户端的证书配置文件生成第二客户端的ssl证书以及所述第二客户端的ssl证书的状态信息，并在本地保存；其中，所述第二客户端的ssl证书包括第二客户端的标识信息以及第二客户端的ssl证书的有效时间信息；将所述第二客户端的ssl证书发送至所述服务端程序模块，以通过所述服务端程序模块将所述第二客户端的ssl证书签发给所述第二客户端。
127.举例来说，ca服务模块接收服务端程序模块所发送的员工c所使用的新电脑的证书配置文件；根据员工c所使用的新电脑的证书配置文件生成员工c所使用的新电脑的ssl证书以及员工c所使用的新电脑的ssl证书的状态信息，并在本地保存；其中，员工c所使用的新电脑的ssl证书包括员工c所使用的新电脑的标识信息，即身份码为03，以及员工c所使用的新电脑的ssl证书的有效时间信息为2022年1月1日至2024年1月1日；将员工c所使用的新电脑的ssl证书发送至服务端程序模块，以通过服务端程序模块将员工c所使用的新电脑的ssl证书签发给员工c所使用的新电脑。
128.本实施例提供了一种客户端接入控制方法，应用于终端管理系统的ca服务模块，接收服务端程序模块所发送的第二客户端的证书配置文件；根据第二客户端的证书配置文件生成第二客户端的ssl证书以及所述第二客户端的ssl证书的状态信息，并在本地保存；其中，所述第二客户端的ssl证书包括第二客户端的标识信息以及第二客户端的ssl证书的有效时间信息；将所述第二客户端的ssl证书发送至所述服务端程序模块，以通过所述服务端程序模块将所述第二客户端的ssl证书签发给所述第二客户端，通过设置ca服务模块，实现了新客户端的ssl证书的签发，将客户端接入控制需求的实现从系统的应用层下移到ssl连接层，更加安全和高效，也减少了应用层软件的实现复杂度。
129.基于上述实施例的内容，在本实施例中，所述客户端接入控制方法应用于ca服务模块，方法还包括：
130.接收服务端程序模块所发送的吊销第三客户端的ssl证书的指令。
131.其中，第三客户端为已经具有ca服务模块签发的ssl证书，但是需要被ca服务模块取消授权的客户端。
132.需要进一步说明的是，在已签发的客户端的ssl证书中查找第三客户端的ssl证书的方式可以是输入第三客户端的标识信息，也可以是根据上述所提及的在本地保存的第二客户端的ssl证书。
133.可以理解的是，当所述第三客户端的ssl证书的状态为吊销状态之后，第三客户端即使是拥有ca服务模块已签发的ssl证书，而且仍然在授权有效期内，也无法进行接入。
134.具体地，ca服务模块接收服务端程序模块所发送的吊销第三客户端的ssl证书的指令。
135.举例来说，一信息技术公司的员工d由于泄露公司机密而被公司开除，员工d被开除时，由于先前公司的终端管理系统中的ca服务模块签发的ssl证书仍然在有效期内，所以即使是离职只要是通过此电脑仍然可以进行登录，所以为了安全起见，公司在开除员工d那一刻，就可对终端管理系统进行操作，ca服务模块会接收到服务端程序模块所发送的吊销员工d所使用的身份码为04的电脑的ssl证书的指令，在已签发的客户端的ssl证书中查找员工d所使用的身份码为04的电脑的ssl证书；将员工d所使用的身份码为04的电脑的ssl证书的状态设置为吊销状态，即使是员工d的ssl证书还在有效期内也无法接入。
136.本实施例提供了一种客户端接入控制方法，ca服务模块接收服务端程序模块所发送的吊销第三客户端的ssl证书的指令，通过设置ca服务模块，实现了新客户端的ssl证书的吊销，避免了由于客户端中途被吊销而导致的能够正常接入的问题，从而实现更安全、更高效地控制客户端的接入。
137.图4是本实施例提供的又一种客户端接入控制方法的流程示意图，参见图4，应用于服务端程序模块，该方法包括：
138.步骤401：为第二客户端生成证书配置文件，并将第二客户端的证书配置文件发送至ca服务模块，以使得所述ca服务模块根据第二客户端的证书配置文件生成第二客户端的ssl证书；其中，所述第二客户端的ssl证书包括第二客户端的标识信息以及第二客户端的ssl证书的有效时间信息；
139.步骤402：从所述ca服务模块接收所述第二客户端的ssl证书，将所述第二客户端的ssl证书发送至所述第二客户端。
140.其中，服务端程序模块为第二客户端生成的证书配置文件，包括第二客户端的标识信息，如用户电脑的身份id，或该客户端的授权有效日期等能够判断客户端能否接入的相关信息。
141.具体地，服务端程序模块为第二客户端生成证书配置文件，并将第二客户端的证书配置文件发送至ca服务模块，以使得所述ca服务模块根据第二客户端的证书配置文件生成第二客户端的ssl证书；其中，所述第二客户端的ssl证书包括第二客户端的标识信息以及第二客户端的ssl证书的有效时间信息；从所述ca服务模块接收所述第二客户端的ssl证书，将所述第二客户端的ssl证书发送至所述第二客户端。
142.举例来说，一信息技术公司的服务端程序模块为新入职的员工c的新电脑生成证书配置文件，并将员工c的新电脑的证书配置文件发送至ca服务模块，以使得ca服务模块根据员工c的新电脑的证书配置文件生成员工c的新电脑的ssl证书；其中，员工c的新电脑的标识信息为身份码03，以及员工c的新电脑的ssl证书的有效时间信息为2022年1月1日至2024年1月1日；从ca服务模块接收员工c的新电脑的ssl证书，将员工c的新电脑的ssl证书
发送至员工c的新电脑。
143.本实施例提供了一种客户端接入控制方法，应用于终端管理系统的服务端程序模块，为第二客户端生成证书配置文件，并将第二客户端的证书配置文件发送至ca服务模块，以使得所述ca服务模块根据第二客户端的证书配置文件生成第二客户端的ssl证书；其中，所述第二客户端的ssl证书包括第二客户端的标识信息以及第二客户端的ssl证书的有效时间信息；从所述ca服务模块接收所述第二客户端的ssl证书，将所述第二客户端的ssl证书发送至所述第二客户端，实现了新客户端ssl证书的签发，从而更安全、更高效地控制客户端的接入。
144.基于上述实施例的内容，在本实施例中，所述客户端接入控制方法应用于服务端程序模块，方法还包括：
145.向所述ca服务模块发送吊销第三客户端的ssl证书的指令。
146.需要进一步说明的是，在服务端程序模块向所述ca服务模块发送吊销第三客户端的ssl证书的指令之前，负责终端管理系统的相关人员可通过相关操作，如下发指令的相关图标或按键实现对服务端程序模块的操控，使得服务端程序模块向所述ca服务模块发送吊销第三客户端的ssl证书的指令。
147.具体地，服务端程序模块向所述ca服务模块发送吊销第三客户端的ssl证书的指令。
148.本实施例提供了一种客户端接入控制方法，服务端程序模块向所述ca服务模块发送吊销第三客户端的ssl证书的指令，实现了新客户端的ssl证书的吊销，避免了由于客户端中途被吊销而导致的能够正常接入的问题，从而实现更安全、更高效地控制客户端的接入。
149.基于上述实施例的内容，在本实施例中，所述客户端接入控制方法应用于服务端程序模块，方法还包括：
150.为ssl模块配置ca证书以及ca服务模块的地址信息，并启动所述ssl模块；
151.其中，所述ca证书为ca服务模块在签发第二客户端ssl证书时所使用的公钥。
152.需要进一步说明的是，服务端程序模块为ssl模块配置的ca证书是为了与待验证客户端发送的ssl连接请求信息中的证书信息进行对比验证，判断待接入的客户端中ca证书的签发信息是否与ssl模块中配置的ca证书匹配。
153.具体地，服务端程序模块为ssl模块配置ca证书以及ca服务模块的地址信息，并启动所述ssl模块；其中，所述ca证书为ca服务模块在签发第二客户端ssl证书时所使用的公钥。
154.本实施例提供了一种客户端接入控制方法，应用于终端管理系统的服务端程序模块，为ssl模块配置ca证书以及ca服务模块的地址信息，并启动所述ssl模块；其中，所述ca证书为ca服务模块在签发第二客户端ssl证书时所使用的公钥，通过将客户端接入控制需求的实现从系统的应用层下移到ssl连接层，更加安全和高效，也减少了应用层软件的实现复杂度。
155.图5是本实施例提供的又一种客户端接入控制方法的流程示意图，参见图5，该方法为客户端证书签发和认证流程，具体包括：
156.准备ca证书，ca证书可以是自签名的，也可以是权威机构签发的；
157.启动ca服务程序，ca服务端程序会使用ca证书签发客户端证书；
158.将ca证书和ca ocsp服务程序的url配置到ssl模块并启动；其中，ocsp为在线证书状态协议，协议规定了服务器和客户端应用程序的通讯语法，ocsp协议的产生是用于在公钥基础设施(pki)体系中替代证书吊销列表(crl)来查询数字证书的状态，当客户端试图访问一个服务器时，在线证书状态协议发送一个对于证书状态信息的请求，服务器回复一个“有效”、“过期”或“未知”的响应；
159.当部署客户端时，服务端程序为客户端生成证书配置文件，包括但不限于，将客户端的唯一标识(比如机器id)填入主体的cn字段，根据授权日期填入证书的validity字段；
160.服务端程序调用ca服务程序接口，传入客户端证书配置文件，生成客户端证书；
161.客户端使用ssl证书进行连接服务端；
162.ssl模块对证书进行验证，验证信息包括证书是否为服务端签发，证书是否吊销或在有效期内，以决定是否允许客户端接入。
163.图6是本实施例提供的另一种客户端接入控制方法的流程示意图，参见图6，该方法为禁止客户端接入的流程，具体包括：
164.禁止某个客户端接入，比如强制取消某个客户端的授权；
165.服务端程序调用ca的api吊销该客户端对应的证书，传入证书的主体和证书的序列号，ca将该证书设置为吊销状态；
166.客户端使用服务端已经吊销的证书继续建立连接；
167.ssl模块通过ocsp查询证书状态，发现证书已经吊销，拒绝连接，返回错误信息。
168.图7为本实施例提供的一种客户端接入控制装置的结构框图，该装置包括第一接收模块701、验证模块702、第一发送模块703、第一控制模块704，其中：
169.第一接收模块701，用于接收第一客户端发起的ssl连接请求信息；其中，所述ssl连接请求信息是基于预先设置的第一客户端的ssl证书和ca证书生成的；
170.其中，所述ssl连接请求信息是基于预先设置的第一客户端的ssl证书和ca证书生成的；ssl为安全网络连接层，是目前标准的安全接入方法，为网络通信提供安全及数据完整性的一种安全协议，ssl直接在传输层与应用层之间对网络连接进行加密，确保数据发送到正确的客户端和服务端以及防止数据中途被窃取；ssl模块是标准和通用的，比如直接使用nginx的ssl客户端认证。
171.需要进一步说明的是，所述第一客户端的ssl证书可以是已签发的ssl证书，如自签发的ssl证书，或权威机构签发的ssl证书，也可以是已吊销的ssl证书，第一客户端为待验证的客户端，为部署在windows或者linux主机上的agent程序，受服务端管理的客户端。第一客户端可采用有线或无线方式与ssl模块所属的终端管理系统进行通信连接，第一客户端可通过手机、平板电脑、电脑或是公司专用电子设备向ssl模块发送ssl连接请求信息。
172.具体地，第一客户端向ssl模块发送ssl连接请求信息，ssl模块接收第一客户端发起的ssl连接请求信息。
173.举例来说，一信息技术公司为该公司每个员工配有专属电脑，员工a通过身份码为01的电脑向公司终端管理系统的ssl模块发送ssl连接请求信息，ssl模块接收员工a通过身份码为01的电脑发起的ssl连接请求信息。
174.验证模块702，用于根据预存的证书验证信息，对所述ssl连接请求信息中的证书
信息进行验证，在验证通过的情况下，生成第一客户端ssl证书状态获取请求信息；
175.其中，预存的证书验证信息包括预先存储的ssl证书的标识信息、有效时间信息以及ca证书的签发信息。
176.具体地，ssl模块根据预存的证书验证信息，对所述ssl连接请求信息中的证书信息进行验证，在验证通过的情况下，生成第一客户端ssl证书状态获取请求信息。
177.举例来说，一信息技术公司的终端管理系统中的ssl模块根据预存的ssl证书的标识信息、有效时间信息以及ca证书的签发信息对员工a通过身份码为01的电脑发起的ssl连接请求信息中的证书信息进行验证，其中，员工a所使用的身份码为01的电脑证书信息中标识信息即为身份码01，有效时间信息为2021年1月1日至2023年1月1日，ca证书的签发信息为a机构，经过ssl模块中预存的证书验证信息作比较验证发现，员工a所使用的身份码为01的电脑中的证书信息验证通过，之后，生成身份码为01的电脑ssl证书状态获取请求信息。
178.第一发送模块703，用于将所述第一客户端证书状态获取请求信息发送至ca服务模块；
179.其中，ca为证书颁发机构，可以颁发各种数字证书，由ca机构颁发的证书都可以成为ca证书，上述ssl证书为ca机构颁发证书的其中一种，除此之外，ca机构颁发证书还可以是邮件证书、加密证书、软件数字证书，在此不作具体限定。
180.需要进一步说明的是，在第一客户端证书信息验证通过的情况下，即已拥有证书，证书处于有效期内且签发者信息无误的第一客户端，但依然无法确定其证书是否为吊销或伪造状态，在此情况下，为了防止已被吊销或存在伪造嫌疑的客户端接入，需要进一步通过向ca服务模块发送第一客户端证书状态获取请求信息。
181.具体地，根据预存的证书验证信息，在第一客户端发送的ssl连接请求信息中的证书信息与ssl模块中预存的证书验证信息匹配的情况下，即验证通过，生成第一客户端ssl证书状态获取请求信息，ssl模块将第一客户端证书状态获取请求信息发送至ca服务模块。
182.举例来说，一信息技术公司的终端管理系统中的ssl模块根据预存的证书验证信息，在员工a通过身份码为01的电脑发送的ssl连接请求信息中的证书信息与ssl模块中预存的证书验证信息匹配的情况下，即验证通过，生成第一客户端ssl证书状态获取请求信息，ssl模块将第一客户端证书状态获取请求信息发送至ca服务模块。
183.第一控制模块704，用于接收所述ca服务模块对所述第一客户端证书状态获取请求信息的状态分析结果，并根据所述状态分析结果控制所述第一客户端的接入。
184.其中，状态分析结果可以为正常、吊销或伪造状态，在所述状态分析结果为正常的情况下，允许所述第一客户端的接入；在所述状态分析结果为吊销或伪造的情况下，禁止所述第一客户端的接入。
185.具体地，ssl模块接收ca服务模块对所述第一客户端证书状态获取请求信息的状态分析结果，并根据所述状态分析结果控制所述第一客户端的接入。
186.举例来说，一信息技术公司的终端管理系统中的ssl模块在接收到ca服务模块对员工a所使用的身份码为01的电脑证书状态获取请求信息的状态分析结果，并根据所述状态分析结果控制员工a所使用的身份码为01的电脑的接入。
187.本实施例提供了一种客户端接入控制装置，应用于终端管理系统的ssl模块，第一接收模块701，用于接收第一客户端发起的ssl连接请求信息；其中，所述ssl连接请求信息
是基于预先设置的第一客户端的ssl证书和ca证书生成的；验证模块702，用于根据预存的证书验证信息，对所述ssl连接请求信息中的证书信息进行验证，在验证通过的情况下，生成第一客户端ssl证书状态获取请求信息；第一发送模块703，用于将所述第一客户端证书状态获取请求信息发送至ca服务模块；第一控制模块704，用于接收所述ca服务模块对所述第一客户端证书状态获取请求信息的状态分析结果，并根据所述状态分析结果控制所述第一客户端的接入，解决了现有终端管理系统在应用层实现客户端接入的控制，不够安全和高效，也增加了应用层软件实现的复杂度的问题，通过将客户端接入控制需求的实现从系统的应用层下移到ssl连接层，更加安全和高效，也减少了应用层软件的实现复杂度。
188.可选的，所述验证模块702，还包括：
189.用于在验证不通过的情况下，禁止所述第一客户端的接入。
190.本实施例提供了一种客户端接入控制方法，应用于终端管理系统的ssl模块，在根据预存的证书验证信息，对所述ssl连接请求信息中的证书信息进行验证，在验证不通过的情况下，禁止所述第一客户端的接入，避免了由于客户端所拥有的证书在过期或身份信息、签发信息不正确的情况下依然能够接入的问题，保证了客户端能够更安全、更有效的接入。
191.可选的，所述第一控制模块704，具体包括：
192.用于在所述状态分析结果为正常的情况下，允许所述第一客户端的接入；
193.在所述状态分析结果为吊销或伪造的情况下，禁止所述第一客户端的接入。
194.本实施例提供了一种客户端接入控制方法，应用于终端管理系统的ssl模块，在所述状态分析结果为正常的情况下，允许所述第一客户端的接入；在所述状态分析结果为吊销或伪造的情况下，禁止所述第一客户端的接入，解决了现有终端管理系统在应用层实现客户端接入的控制，不够安全和高效，也增加了应用层软件实现的复杂度的问题，通过将客户端接入控制需求的实现从系统的应用层下移到ssl连接层，更加安全和高效，也减少了应用层软件的实现复杂度。
195.可选的，所述验证模块702中的预存的证书验证信息包括：
196.预先存储的ssl证书的标识信息、有效时间信息以及ca证书的签发信息。
197.图8为本实施例提供的另一种客户端接入控制装置的结构框图，该装置包括第二接收模块801、第二控制模块802，其中：
198.第二接收模块801，用于接收ssl模块所发送的第一客户端证书状态获取请求信息；
199.第二控制模块802，用于对第一客户端证书状态获取请求信息进行状态分析，将状态分析结果发送至ssl模块，以使得所述ssl模块根据所述状态分析结果控制所述第一客户端的接入。
200.需要进一步说明的是，ca服务模块存在于终端管理系统中。
201.具体地，ca服务模块接收ssl模块所发送的第一客户端证书状态获取请求信息，对第一客户端证书状态获取请求信息进行状态分析，将状态分析结果发送至ssl模块，以使得所述ssl模块根据所述状态分析结果控制所述第一客户端的接入。
202.举例来说，一信息技术公司的终端管理系统中的ca服务模块接收ssl模块所发送的身份码为01的电脑的证书状态获取请求信息；在接收到ssl模块发送的身份码为01的电脑的证书状态获取请求信息之后，对身份码为01的电脑的证书状态获取请求信息进行状态
分析，将状态分析结果发送至ssl模块，以使得所述ssl模块根据所述状态分析结果控制身份码为01的电脑的接入。
203.本实施例提供了一种客户端接入控制装置，应用于终端管理系统的ca服务模块，第二接收模块801，用于接收ssl模块所发送的第一客户端证书状态获取请求信息；第二控制模块802，用于对第一客户端证书状态获取请求信息进行状态分析，将状态分析结果发送至ssl模块，以使得所述ssl模块根据所述状态分析结果控制所述第一客户端的接入，解决了现有终端管理系统在应用层实现客户端接入的控制，不够安全和高效，也增加了应用层软件实现的复杂度的问题，通过将客户端接入控制需求的实现从系统的应用层下移到ssl连接层，更加安全和高效，也减少了应用层软件的实现复杂度。
204.可选的，第二控制模块802，具体包括：
205.用于根据预先保存的ssl证书的状态信息，对第一客户端证书状态获取请求信息进行状态分析，在状态分析结果为异常的情况下，向所述ssl模块返回ssl证书吊销或伪造的状态分析结果；
206.在状态分析结果为良好的情况下，向所述ssl模块返回ssl证书状态正常的状态分析结果。
207.本实施例提供了一种客户端接入控制装置，应用于终端管理系统的ca服务模块，根据预先保存的ssl证书的状态信息，对第一客户端证书状态获取请求信息进行状态分析，在状态分析结果为异常的情况下，向所述ssl模块返回ssl证书吊销或伪造的状态分析结果；在状态分析结果为良好的情况下，向所述ssl模块返回ssl证书状态正常的状态分析结果，避免了由于客户端中途被吊销或为伪造证书客户端而导致的正常接入的问题，通过设置ca服务模块，更安全、高效地实现客户端的接入。
208.可选的，所述装置还包括：
209.用于接收服务端程序模块所发送的第二客户端的证书配置文件；
210.根据第二客户端的证书配置文件生成第二客户端的ssl证书以及所述第二客户端的ssl证书的状态信息，并在本地保存；其中，所述第二客户端的ssl证书包括第二客户端的标识信息以及第二客户端的ssl证书的有效时间信息；
211.将所述第二客户端的ssl证书发送至所述服务端程序模块，以通过所述服务端程序模块将所述第二客户端的ssl证书签发给所述第二客户端。
212.本实施例提供了一种客户端接入控制装置，应用于终端管理系统的ca服务模块，接收服务端程序模块所发送的第二客户端的证书配置文件；根据第二客户端的证书配置文件生成第二客户端的ssl证书以及所述第二客户端的ssl证书的状态信息，并在本地保存；其中，所述第二客户端的ssl证书包括第二客户端的标识信息以及第二客户端的ssl证书的有效时间信息；将所述第二客户端的ssl证书发送至所述服务端程序模块，以通过所述服务端程序模块将所述第二客户端的ssl证书签发给所述第二客户端，通过设置ca服务模块，实现了新客户端的ssl证书的签发，将客户端接入控制需求的实现从系统的应用层下移到ssl连接层，更加安全和高效，也减少了应用层软件的实现复杂度。
213.可选的，所述装置还包括：
214.用于接收服务端程序模块所发送的吊销第三客户端的ssl证书的指令；
215.在已签发的客户端的ssl证书中查找第三客户端的ssl证书；
216.将所述第三客户端的ssl证书的状态信息设置为吊销状态。
217.本实施例提供了一种客户端接入控制装置，ca服务模块接收服务端程序模块所发送的吊销第三客户端的ssl证书的指令，通过设置ca服务模块，实现了新客户端的ssl证书的吊销，避免了由于客户端中途被吊销而导致的能够正常接入的问题，从而实现更安全、更高效地控制客户端的接入。
218.图9为本实施例提供的又一种客户端接入控制装置的结构框图，该装置包括生成模块901、第二发送模块902，其中：
219.生成模块901，用于为第二客户端生成证书配置文件，并将第二客户端的证书配置文件发送至ca服务模块，以使得所述ca服务模块根据第二客户端的证书配置文件生成第二客户端的ssl证书；其中，所述第二客户端的ssl证书包括第二客户端的标识信息以及第二客户端的ssl证书的有效时间信息；
220.第二发送模块902，用于从所述ca服务模块接收所述第二客户端的ssl证书，将所述第二客户端的ssl证书发送至所述第二客户端。
221.其中，服务端程序模块为第二客户端生成的证书配置文件，包括第二客户端的标识信息，如用户电脑的身份id，或该客户端的授权有效日期等能够判断客户端能否接入的相关信息。
222.具体地，服务端程序模块为第二客户端生成证书配置文件，并将第二客户端的证书配置文件发送至ca服务模块，以使得所述ca服务模块根据第二客户端的证书配置文件生成第二客户端的ssl证书；其中，所述第二客户端的ssl证书包括第二客户端的标识信息以及第二客户端的ssl证书的有效时间信息；从所述ca服务模块接收所述第二客户端的ssl证书，将所述第二客户端的ssl证书发送至所述第二客户端。
223.举例来说，一信息技术公司的服务端程序模块为新入职的员工c的新电脑生成证书配置文件，并将员工c的新电脑的证书配置文件发送至ca服务模块，以使得ca服务模块根据员工c的新电脑的证书配置文件生成员工c的新电脑的ssl证书；其中，员工c的新电脑的标识信息为身份码03，以及员工c的新电脑的ssl证书的有效时间信息为2022年1月1日至2024年1月1日；从ca服务模块接收员工c的新电脑的ssl证书，将员工c的新电脑的ssl证书发送至员工c的新电脑。
224.本实施例提供了一种客户端接入控制装置，应用于终端管理系统的服务端程序模块，生成模块901，用于为第二客户端生成证书配置文件，并将第二客户端的证书配置文件发送至ca服务模块，以使得所述ca服务模块根据第二客户端的证书配置文件生成第二客户端的ssl证书；其中，所述第二客户端的ssl证书包括第二客户端的标识信息以及第二客户端的ssl证书的有效时间信息；第二发送模块902，用于从所述ca服务模块接收所述第二客户端的ssl证书，将所述第二客户端的ssl证书发送至所述第二客户端，实现了新客户端ssl证书的签发，从而更安全、更高效地控制客户端的接入。
225.可选的，所述装置还包括：
226.用于向所述ca服务模块发送吊销第三客户端的ssl证书的指令。
227.本实施例提供了一种客户端接入控制装置，服务端程序模块向所述ca服务模块发送吊销第三客户端的ssl证书的指令，实现了新客户端的ssl证书的吊销，避免了由于客户端中途被吊销而导致的能够正常接入的问题，从而实现更安全、更高效地控制客户端的接
入。
228.可选的，所述装置还包括：
229.用于为ssl模块配置ca证书以及ca服务模块的地址信息，并启动所述ssl模块；其中，所述ca证书为ca服务模块在签发第二客户端ssl证书时所使用的公钥。
230.本实施例提供了一种客户端接入控制方法，应用于终端管理系统的服务端程序模块，为ssl模块配置ca证书以及ca服务模块的地址信息，并启动所述ssl模块；其中，所述ca证书为ca服务模块在签发第二客户端ssl证书时所使用的公钥，通过将客户端接入控制需求的实现从系统的应用层下移到ssl连接层，更加安全和高效，也减少了应用层软件的实现复杂度。
231.图10为本实施例提供的客户端接入控制系统的结构框图，该系统包括ssl模块，ca服务模块以及服务端程序模块，其中：
232.ssl模块，用于接收第一客户端发起的ssl连接请求信息；其中，所述ssl连接请求信息是基于预先设置的第一客户端的ssl证书和ca证书生成的；根据预存的证书验证信息，对所述ssl连接请求信息中的证书信息进行验证，在验证通过的情况下，生成第一客户端ssl证书状态获取请求信息；将所述第一客户端证书状态获取请求信息发送至ca服务模块；接收所述ca服务模块对所述第一客户端证书状态获取请求信息的状态分析结果，并根据所述状态分析结果控制所述第一客户端的接入。
233.ca服务模块，用于接收ssl模块所发送的第一客户端证书状态获取请求信息；对第一客户端证书状态获取请求信息进行状态分析，将状态分析结果发送至ssl模块，以使得所述ssl模块根据所述状态分析结果控制所述第一客户端的接入。
234.服务端程序模块，用于为第二客户端生成证书配置文件，并将第二客户端的证书配置文件发送至ca服务模块，以使得所述ca服务模块根据第二客户端的证书配置文件生成第二客户端的ssl证书；其中，所述第二客户端的ssl证书包括第二客户端的标识信息以及第二客户端的ssl证书的有效时间信息；从所述ca服务模块接收所述第二客户端的ssl证书，将所述第二客户端的ssl证书发送至所述第二客户端。
235.本实施例提供了一种客户端接入控制系统，解决了现有终端管理系统在应用层实现客户端接入的控制，不够安全和高效，也增加了应用层软件实现的复杂度的问题，通过将客户端接入控制需求的实现从系统的应用层下移到ssl连接层，更加安全和高效，也减少了应用层软件的实现复杂度。
236.图11为本发明实施例提供的一种电子设备的实体结构示意图，如图11所示，该电子设备可以包括：处理器(processor)1110、通信接口(communications interface)1120、存储器(memory)1130和总线1140，其中，处理器1110，通信接口1120，存储器1130通过总线1140完成相互间的通信。总线1140可以用于电子设备与传感器之间的信息传输。处理器1110可以调用存储器1130中的逻辑指令，以执行如下方法：ssl模块，用于接收第一客户端发起的ssl连接请求信息；其中，所述ssl连接请求信息是基于预先设置的第一客户端的ssl证书和ca证书生成的；根据预存的证书验证信息，对所述ssl连接请求信息中的证书信息进行验证，在验证通过的情况下，生成第一客户端ssl证书状态获取请求信息；将所述第一客户端证书状态获取请求信息发送至ca服务模块；接收所述ca服务模块对所述第一客户端证书状态获取请求信息的状态分析结果，并根据所述状态分析结果控制所述第一客户端的接
入；ca服务模块，用于接收ssl模块所发送的第一客户端证书状态获取请求信息；对第一客户端证书状态获取请求信息进行状态分析，将状态分析结果发送至ssl模块，以使得所述ssl模块根据所述状态分析结果控制所述第一客户端的接入；服务端程序模块，用于为第二客户端生成证书配置文件，并将第二客户端的证书配置文件发送至ca服务模块，以使得所述ca服务模块根据第二客户端的证书配置文件生成第二客户端的ssl证书；其中，所述第二客户端的ssl证书包括第二客户端的标识信息以及第二客户端的ssl证书的有效时间信息；从所述ca服务模块接收所述第二客户端的ssl证书，将所述第二客户端的ssl证书发送至所述第二客户端。
237.此外，上述的存储器1130中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
238.另一方面，本发明实施例提供一种非暂态计算机可读存储介质，该非暂态计算机可读存储介质存储计算机指令，该计算机指令使计算机执行上述实施例所提供的一种客户端接入控制方法，例如包括：ssl模块，用于接收第一客户端发起的ssl连接请求信息；其中，所述ssl连接请求信息是基于预先设置的第一客户端的ssl证书和ca证书生成的；根据预存的证书验证信息，对所述ssl连接请求信息中的证书信息进行验证，在验证通过的情况下，生成第一客户端ssl证书状态获取请求信息；将所述第一客户端证书状态获取请求信息发送至ca服务模块；接收所述ca服务模块对所述第一客户端证书状态获取请求信息的状态分析结果，并根据所述状态分析结果控制所述第一客户端的接入；ca服务模块，用于接收ssl模块所发送的第一客户端证书状态获取请求信息；对第一客户端证书状态获取请求信息进行状态分析，将状态分析结果发送至ssl模块，以使得所述ssl模块根据所述状态分析结果控制所述第一客户端的接入；服务端程序模块，用于为第二客户端生成证书配置文件，并将第二客户端的证书配置文件发送至ca服务模块，以使得所述ca服务模块根据第二客户端的证书配置文件生成第二客户端的ssl证书；其中，所述第二客户端的ssl证书包括第二客户端的标识信息以及第二客户端的ssl证书的有效时间信息；从所述ca服务模块接收所述第二客户端的ssl证书，将所述第二客户端的ssl证书发送至所述第二客户端。
239.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
240.又一方面，本发明还提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序
指令被计算机执行时，计算机能够执行上述各方法所提供的一种客户端接入控制方法，该方法包括：ssl模块，用于接收第一客户端发起的ssl连接请求信息；其中，所述ssl连接请求信息是基于预先设置的第一客户端的ssl证书和ca证书生成的；根据预存的证书验证信息，对所述ssl连接请求信息中的证书信息进行验证，在验证通过的情况下，生成第一客户端ssl证书状态获取请求信息；将所述第一客户端证书状态获取请求信息发送至ca服务模块；接收所述ca服务模块对所述第一客户端证书状态获取请求信息的状态分析结果，并根据所述状态分析结果控制所述第一客户端的接入；ca服务模块，用于接收ssl模块所发送的第一客户端证书状态获取请求信息；对第一客户端证书状态获取请求信息进行状态分析，将状态分析结果发送至ssl模块，以使得所述ssl模块根据所述状态分析结果控制所述第一客户端的接入；服务端程序模块，用于为第二客户端生成证书配置文件，并将第二客户端的证书配置文件发送至ca服务模块，以使得所述ca服务模块根据第二客户端的证书配置文件生成第二客户端的ssl证书；其中，所述第二客户端的ssl证书包括第二客户端的标识信息以及第二客户端的ssl证书的有效时间信息；从所述ca服务模块接收所述第二客户端的ssl证书，将所述第二客户端的ssl证书发送至所述第二客户端。
241.最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。