CN111953664A - 一种基于可变安全等级的用户请求验证方法及*** - Google Patents
一种基于可变安全等级的用户请求验证方法及*** Download PDFInfo
- Publication number
- CN111953664A CN111953664A CN202010731076.7A CN202010731076A CN111953664A CN 111953664 A CN111953664 A CN 111953664A CN 202010731076 A CN202010731076 A CN 202010731076A CN 111953664 A CN111953664 A CN 111953664A
- Authority
- CN
- China
- Prior art keywords
- user
- mobile terminal
- request
- mailbox
- user mobile
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/42—Mailbox-related aspects, e.g. synchronisation of mailboxes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供一种基于可变安全等级的用户请求验证方法,其特征在于,包括:按设定频率检测用户移动终端激活装置是否能够正常访问;若所述用户移动终端激活装置能够正常访问,则在接收到用户移动终端发送的关于访问邮箱的用户请求后,以正常安全验证等级的方式对所述用户请求进行验证;若所述用户移动终端激活装置不能正常访问,则在接收到用户移动终端发送的关于访问邮箱的用户请求后,以降低安全验证等级的方式对所述用户请求进行验证。通过此方案,采用根据***运行状况自动调整安全验证等级的方式,解决了在***故障情况下出现的安全代理服务停止的问题,使***可持续地提供安全代理服务。
Description
技术领域
本发明涉及网络技术领域,具体涉及一种基于可变安全等级的用户请求验证方法及***。
背景技术
现有技术中,很多内网企业邮箱服务直接暴露于外网;部分企业邮箱通过简单的代理技术进行基本安全防护,只是提供了访问设备的基本数量限制,不具备对用户特定移动设备进行名单控制限制,没有提供额外的关于邮箱用户的设备I D认证、用户设备数量等限制的综合防御策略,对访问邮箱服务器的用户移动终端设备没有认证过程。
同时,现有技术不具备服务监控与故障分析自动化联分析处理机制。当用户访问邮箱服务器的过程中出现对用户移动终端设备识别故障或邮箱代理服务故障等问题时,现有技术只提供单纯的监控邮箱网关服务,对服务的监控止于通过邮件或是短信报警,需要相关人员得到报警消息后,人为登陆服务设备进行故障的深入分析与运维。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:
(1)、现有技术中对访问邮箱的用户请求进行验证时,只认证用户名,造成了只要用户名合法,则合法用户名下的众多未注册激活的设备均可无限制地访问服务器,带来了较大的安全风险;
(2)、由于现有技术无法实现自动运维,需要人工干预,因此,如果增加用户移动终端设备验证的过程,若用户的移动终端设备注册激活等过程中出现故障时,采用新设备的合法用户将无法访问邮箱,造成安全代理服务停止,需要人工排查故障后才可访问。
发明内容
本发明实施例提供一种基于可变安全等级的用户请求验证方法及***,通过对用户请求进行用户名验证后增加对用户移动终端设备的验证过程,解决***正常运行状态下用户验证过于简单、邮箱***对外服务安全性低的问题;进一步通过实时监控移动终端设备激活装置运行状态来自动调整安全验证等级的方式,使该安全验证过程具备自动维护的能力,以解决***故障状态下出现的安全代理服务停止的问题,使***可持续地提供服务。
为达上述目的,一方面,本发明实施例提供一种基于可变安全等级的用户请求验证方法,包括:
按设定频率检测用户移动终端激活装置是否能够正常访问;
若所述用户移动终端激活装置能够正常访问,则在接收到用户移动终端发送的关于访问邮箱的用户请求后,通过邮箱安全代理网关以正常安全验证等级的方式对所述用户请求进行验证;
若所述用户移动终端激活装置不能正常访问,则在接收到用户移动终端发送的关于访问邮箱的用户请求后,通过邮箱安全代理网关以降低安全验证等级的方式对所述用户请求进行验证。
另一方面,本发明实施例提供一种基于可变安全等级的用户请求验证***,包括:
自动运维监控模块,用于按设定频率检测用户移动终端激活装置是否能够正常访问;
邮箱安全代理网关,用于在所述用户移动终端激活装置能够正常访问时,在接收到用户移动终端发送的关于访问邮箱的用户请求后,以正常安全验证等级的方式对所述用户请求进行验证;在所述用户移动终端激活装置不能正常访问时,在接收到用户移动终端发送的关于访问邮箱的用户请求后,以降低安全验证等级的方式对所述用户请求进行验证。
上述技术方案具有如下有益效果:
在处理用户移动终端发来访问邮箱的请求时,实时监控***中用户移动终端激活装置的运行情况,当意外情况下出现所述激活装置无法提供激活服务、用户移动终端激活数据无法读取等情况时,自动降低安全认证等级,使合法用户未注册激活的设备可临时进行访问,避免了合法用户无法访问以及故障未能及时处理导致的邮箱代理服务的停止,使***能够提供持续的安全代理服务;而在排除故障、所述用户移动终端激活装置回复正常提供服务后,自动恢复正常的安全认证等级,使合法用户的移动终端必须注册激活后才能进行访问,避免了未知设备进行访问等可能存在的风险,提高邮箱***对外服务的安全性。
另外,当某个邮箱代理安全网关不能正常提供邮箱代理服务时,自动将故障网关的域名指向一个正常的网关,使用户访问请求能够被及时处理;待故障网关恢复正常的邮件代理服务后,再将域名调整回来。这些故障无需人工干预,实现自动运维,从而提高了安全代理服务的效率和稳定性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一种基于可变安全等级的用户请求验证方法的流程图;
图2是本发明一种基于可变安全等级的用户请求验证***的示意图;
图3为本发明一具体实施例的***组成示意图;
图4为本发明又一具体实施例的方法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明提供一种基于可变安全等级的用户请求验证方法,包括:
S101、按设定频率检测用户移动终端激活装置是否能够正常访问;
S102、若所述用户移动终端激活装置能够正常访问,则在接收到用户移动终端发送的关于访问邮箱的用户请求后,通过邮箱安全代理网关以正常安全验证等级的方式对所述用户请求进行验证;
S103、若所述用户移动终端激活装置不能正常访问,则在接收到用户移动终端发送的关于访问邮箱的用户请求后,通过邮箱安全代理网关以降低安全验证等级的方式对所述用户请求进行验证。
本技术方案中,在邮箱服务器之前部署邮箱安全代理网关,基于零信任的方式将用户对邮箱服务的请求全部拦截,邮箱安全代理网关服务解析用户请求,取得邮箱请求协议数据中有关用户和用户设备的相关的信息,并将此数据与通过用户移动终端激活装置得到的已激活用户移动终端设备编号列表进行比对,形成企业内部邮箱用户,外网移动端设备管理名单限制机制。安全代理网关采用双层认证的方式对用户访问邮箱服务器的请求进行验证。在用户的手机等移动终端访问邮箱服务器时,先通过用户名进行身份验证,合法的用户才可进入,然后对合法用户的设备进行激活状态的验证,只有注册激活过的终端设备才予准入。这样可以有效提高安全性。
但此技术方案存在一个问题:当提供用户终端注册激活的装置运行不正常时,例如该装置出现故障无法处理用户激活请求、该装置无法访问或安全网关无法读取到新近通过改装置激活的用户终端设备的信息时,则,即便是真正合法的用户,在更换设备的情况下,也无法通过新设备访问邮箱(包括不能对新设备进行激活,或者即使激活装置进行了注册激活处理而安全网关由于无法收到更新的激活信息导致无法访问邮箱服务器)。这种情况下,现有技术的***只能提供报警,需要人为排查故障才能解决问题,故障清除后用户才能正常访问邮箱,因此效率很低,用户体验较差。
对此,可以采取技术手段,通过分析造成服务故障停止的综合原因,针对服务过程中依赖自身和其它服务出现的各种情况,自适应的对邮箱安全代理网关服务,进行自动化***安全等级升降级调整。使邮箱安全代理网关保证企业邮箱移动用户安全的同时,通过自动化的监控运维手段,让***可持续的提供安全代理服务。
进一步的,所述用户请求包括用户名、用户移动终端设备编号;
步骤S102具体包括:
S1021、解析所述用户请求,获取用户名和用户移动终端设备编号;
S1022、判断所述用户名是否在预置的合法用户名单中;
S1023、若否,忽略所述用户请求;
S1024、若是,则进一步判断所述用户移动终端设备编号是否在当前的已激活用户移动终端设备编号列表中;
S1025、若否,提示所述用户移动终端发送关于激活用户设备的激活请求,并忽略所述用户请求;
S1026、若是,则转发所述用户请求至邮件服务器。
进一步的,步骤S103具体包括:
S1031、解析所述用户请求,获取用户名;
S1032、判断所述用户名是否在预置的合法用户名单中;
S1033、若否,忽略所述用户请求;
S1034、若是,转发所述用户请求至邮件服务器。
在监测到用户终端注册激活装置运行不正常时,为了防止合法用户不能以新设备进行邮箱访问,采取了降低安全验证等级的临时措施,只进行用户名的合法性判断,以确保在修复故障之前,仍能提供邮箱代理服务。但即使进行了降级,此过程中,依旧要进行用户名的合法性验证,避免非法用户的进入,最大限度保证合法用户的权益以及邮箱服务的安全。在此过程中,邮箱安全代理网关除提供对用户请求的安全验证服务外,还提供邮箱代理服务,将验证成功的用户访问请求转发至邮件服务器。
进一步的,所述方法还包括:
S104、通过用户移动终端激活装置处理关于激活用户设备的激活请求;
步骤S104具体包括:
S1041、在接收到用户移动终端发送的关于激活用户设备的激活请求时,解析所述激活请求,获取用户名和用户移动终端设备编号,所述激活请求包括用户名和用户移动终端设备编号;
S1042、判断所述激活请求的用户名是否在预置的合法用户名单中;
S1043、若否,忽略所述激活请求;
S1044、若是,则将所述激活请求的用户移动终端设备编号存入已激活用户移动终端设备编号列表中。
用户换用新的终端设备后,主动向激活装置发动激活请求,用户移动终端激活装置处理所述请求后更新数据库,安全网关通过同步激活装置数据库中的内容,获取最新的已激活用户移动终端设备编号列表。这样用户向安全网关发送访问邮箱服务器的请求后,该终端设备即可被识别;若用户的新的终端设备未提前注册激活,则在用户访问邮箱时,该设备不在已激活终端设备名单中,访问不能被通过,用户终端会收到关于激活设备的提醒。
进一步的,所述方法还包括:
S105、按预设频率检测各邮箱安全代理网关所提供的的邮箱代理服务是否运行正常;
S106、若存在运行不正常的邮箱代理服务,将所述运行不正常的邮箱代理服务所对应的邮箱安全代理网关的域名切换到运行正常的邮箱安全代理网关,并报警。
现有技术取得邮箱网关服务健康状态的3种方法:
方法1:通过在服务器上安装监听脚本,监听代理服务进程是否处于存活的状态,服务脚本当发现服务进程停止服务后,还需要重新启动服务,这种方式可以确定服务进程是否在运行,但是不确认服务是否有效运行。
方法2:通过类似Zabbix的HTTPS协议监听模式,主动发起HTTPS请求监听特定业务接口是否在健康状态,然后把监控的结果通过邮件等形式,发送给相关服务器管理员。
方法3:通过FPING这种方式监控服务网络联通性,通过ICMP协议判断服务器网络连接状态,是否可以持续与外界联通提供服务。
以上三种方法:通过在TCP网络探活、HTTPS接口调用、服务器进程是否执行,这3个角度来监控服务是否正常,一旦监控发现服务存在问题,只能发现造成服务故障的简单原因,无法提供更细致的监控数据,作为服务自动化运维调整的数据依据,观点性报警信息,需要人工处理,无法做到用这些报警数据,进行故障联动分析,从而自动化的执行邮箱网关服务的自修整,自动通过当前监控数据的故障分析,自动化的调整自身服务***安全等级。
本技术方案中,实时监控邮箱代理服务的API接口,一旦发现报警,通过服务端统一自动化分析脚本发送报警邮件,并通过API请求DNS域名服务,重新将域名指向健康机房线路下的代理服务,等故障服务器接口恢复正常之后,再将域名自动切回到原有配置主机,从而提供连续的邮箱服务。
如图2所示,本发明提供一种基于可变安全等级的用户请求验证***,包括:
自动运维监控模块21,用于按设定频率检测用户移动终端激活装置23是否能够正常访问;
邮箱安全代理网关22,用于在所述用户移动终端激活装置23能够正常访问时,在接收到用户移动终端发送的关于访问邮箱的用户请求后,以正常安全验证等级的方式对所述用户请求进行验证;在所述用户移动终端激活装置23不能正常访问时,在接收到用户移动终端发送的关于访问邮箱的用户请求后,以降低安全验证等级的方式对所述用户请求进行验证。
进一步的,所述用户请求包括用户名、用户移动终端设备编号;
所述邮箱安全代理网关包括正常安全验证等级验证模块,用于解析所述用户请求,获取用户名和用户移动终端设备编号;判断所述用户名是否在预置的合法用户名单中;若否,忽略所述用户请求;若是,则判断所述用户移动终端设备编号是否在当前的已激活用户移动终端设备编号列表中;若否,提示所述用户移动终端发送关于激活用户设备的激活请求,以进行设备激活,并忽略所述用户请求;若是,则转发所述用户请求至邮件服务器。
进一步的,所述邮箱安全代理网关包括降低安全验证等级验证模块,用于解析所述用户请求,获取用户名;判断所述用户名是否在所述的合法用户名单中;若否,忽略所述用户请求;若是,转发所述用户请求至邮件服务器。
进一步的,所述***还包括:
用户移动终端激活装置23,用于在收到用户移动终端发送的关于激活用户设备的激活请求时,解析所述激活请求,获取所述激活请求的用户名和所述激活请求的用户移动终端设备编号,所述激活请求,包含用户名信息和用户移动终端设备编号信息;判断所述激活请求的用户名是否在所述合法用户名单中;若否,忽略所述激活请求;若是,将所述激活请求的用户移动终端设备编号存入所述已激活用户移动终端设备编号列表中。
进一步的,所述自动运维监控模块21还包括:
邮箱安全代理网关监测模块211,用于按预设频率检测各邮箱安全代理网关所提供的邮箱代理服务是否运行正常;若存在运行不正常的邮箱代理服务,将所述运行不正常的邮箱代理服务所对应的邮箱安全代理网关的域名切换到运行正常的邮箱安全代理网关,并报警.
如图3所示,为发明一种基于可变安全等级的用户请求验证***的具体实施例,本***可按功能分成用户移动终端激活装置、邮箱安全代理网关、自动运维监控模块等:
1、用户移动终端激活装置:
通过代理服务取得所有客户邮箱客户端的HTTPS协议请求,取得HTTPS请求数据中有关用户信息与用户设备信息,取得相关信息后与已激活用户移动终端设备编号列表进行比对,用户合法且对应请求的用户设备被授权激活,此用户设备可以访问内网邮箱服务器,反之非法用户不转发请求,用户合法,设备未认证注册激活,需要用户在用户移动终端激活装置提前进行设备的注册和激活。
1.1、用户设备注册认证过程:
用户邮箱客户端发送的HTTP邮箱请求中的用户名,对应的设备ID不存在于设备管理***的用设备管理数据表中时,***会通过邮件和短信消息、发送给用户消息进行设备注册认证与激活,用户的注册信息,字段如下:
【用户名】【部门】【设备ID】【激活状态】
1.2、数据入库:
当用户激活认证的设备时,才允许相关设备访问邮箱服务器的,用户移动终端激活装置将用户相关的设备信息入库,并保存于数据库中的用户设备管理信息表中,字段如下。
【表名】【部门】【用户名】【设备ID】【激活状态】
1.3、其他说明:
其中,【表名】是指MySQL数据库表。
2、邮箱安全代理网关集群:
邮箱安全代理网关集成有邮箱代理服务器功能,邮箱安全代理网关会时刻关注用户设备的相关状态激活信息,通过读取用户移动终端激活装置MySQL数据库中用户设备管理信息表的数据,生成新的已激活用户移动终端设备编号列表存于Redis数据库和Openresty Sharre Diction用户信息字典中,邮箱安全代理网关会在邮箱服务之前取得用户的请求数据,取得用户请求连接中的用户信息和用户设备信息,然后与Redis和OpenretyShare Diction中的已激活用户移动终端设备编号列表进行对比,在列表中的设备允许访问邮箱服务,反之对不存在的用户和设备拒绝邮箱服务请求。
2.1、用户管理设备信息表的取得:
邮箱安全代理网关得到用户设备新增的同步消息后,从用户设备管理表中读取最新Mysql用户设备信息,生成新的已激活用户移动终端设备编号列表,存放于Redis和Openresty的Share Diction表中。之后每次的用户请求中的用户名和用户设备信息都参与数据比对,在表中的用户设备可以访问邮箱服务器,反之不允许访问邮箱服务器,表字段结构如下:
【KV表】【用户名】【设备ID】【激活状态】
2.2、用户邮箱客户端HTTPS请求:
用户邮箱客户端通过HTTPS协议,将邮箱交互请求发送给邮箱安全代理网关服务,邮箱客户端发送的请求URI中会存用户的用户名和设备信息,安全代理网关会取得这两个信息和Openresty的Share Diction已激活用户移动终端设备编号列表进比较,列表中存在的用户和设备ID的请求,可以正常的转发给邮箱服务,代理网关从用户邮箱客户端中请求的协议数据,含有如下字段:
【URI】【用户名】【设备ID】
2.3、其他说明:
【KV表】是指保存Openresty ShareDiction和Redis中的KV表,一旦Openresty邮箱安全代理网关服务重起之后,Openresty从Redis中重新拉取数据到ShareDiction用户信息字典中。
3、自动运维监控模块:
自动化运维服务,会监控邮箱安全代理网关服务的对外API接口、用户设备管理信息数据库、Reids数据库等服务。
3.1、邮箱安全代理网关接口监控与故障自愈处理:
自愈监控***通过Zabbix监控邮箱代理服务的API接口,一旦发现报警,通过Zabbix服务端统一自动化分析脚本发送报警邮件,并通过API请求DNS域名服务,重新将域名指向健康机房线路下的代理服务,等故障的邮件服务器接口恢复正常之后,再将域名自动切回到原邮件服务器。
3.2、数据库监控与故障自愈处理:
通过OSQuery审计代理用户移动终端激活装置的数据库,定时发送心跳OSQuery审计请求,检查数据进程是存活,用户设备信息是否返回有效,当发现数据库集群无法联通,让***自动进行安全验证的降级,让用户已有设备都可以访问邮箱服务,待数据库恢复重新生成正常安全配置。
3.3、用户移动终端激活装置监控与自愈处理:
邮箱安全代理网关当接收不到新加设备推送,用户移动终端激活装置无法访问,不能拉取数据的时候,Zabbix监控到用户移动终端激活装置离线不提供服务时,自愈监控***会发出高级别告警,并调用邮箱安全代理网关的降级API服务,让安全代理***使用不检查用户设备的处理逻辑配置,并不再更新用户设备表,只有当前最新用户配置,等报警解决,用户移动终端激活装置恢复服务后,自动改为拉取最新用户设备数据状态模式,提高***安全等级。
4、数据库:
数据库采用关系型数据MySQL存放用户基本信息和设备信息。KV数据库存放被用户激活的设备ID信息与用户信息。内存型KV***使用Openresty***本身支持的ShareDiction字典功能,存放用户信息和用户设备信息。
5、Exchange邮箱服务器:
Exchange邮箱服务器提供企业邮箱服务,一般以集群方式存在。部署于企业内部,通过本案提供的邮箱安全代理网关的方案,将邮箱安全代理网关放在Exchange邮箱服务器之前接受用户的邮箱客户端请求,对于用户请求中的含有的用户名和设备信息,进行管理和认证,对于合法的用户和用户允许激活的设备,将用户邮箱客户端的请求转发给Exchange邮箱服务器,对于不满足条件的用户和设备进行阻断,形成用户与用户设备名单安全限制机制,保证邮箱服务的安全性。
图4为本发明又一具体实施例的方法流程图。
邮箱安全代理网关服务收集取得用户名下的设备ID信息,进行设备管理控制,只有在用户移动终端激活装置的用户信息表中记录的被激活的设备在可以正常的通过邮箱代理服务去访问位于内网的邮箱服务器,邮箱安全代理网关服务通过与用户移动终端激活装置之间共享用户和设备数据,联合实现的用户设备管理控制。如果发现用户ID本身不合法,或是用户没有激活对应的设备,是无法通过邮箱安全代理网关正常访问企业内网邮箱服务器的。
自动运维监控模块依赖自动化监控的手段,通过Zabbix、OSQuery类似这种服务对整个关联业务***实时行监控,并在各***中创建交互API,一旦发生告警,可能通过***间的API进行沟通交互,完成对原有服务安全配置变更,进行***安全等级的自动变更与自动化恢复处理。
根据上面的原理,邮箱安全代理网关***与用户移动终端激活装置之间,共享用户基本信息与用户设备信息,通过对户基本信息的有效性验证,用户设备的实际激活情况,形成是否充许对应用户可以访问内网邮箱服务器的关联分析。
安全邮箱代理网关服务收到的用户的HTTPS请求中的URI中的【用户名】和【用户设备】,从用户移动终端激活装置同步用户信息表到代理***KV内存表中的已激活用户移动终端设备编号列表中,形成一对一的关系,只有【部门】所属信息合法的用户,用户的【设备ID】的【激活状态】是激活的用户,才允许正常的访问内网邮箱服务器。
应该明白,公开的过程中的步骤的特定顺序或层次是示例性方法的实例。基于设计偏好,应该理解,过程中的步骤的特定顺序或层次可以在不脱离本公开的保护范围的情况下得到重新安排。所附的方法权利要求以示例性的顺序给出了各种步骤的要素,并且不是要限于所述的特定顺序或层次。
在上述的详细描述中,各种特征一起组合在单个的实施方案中,以简化本公开。不应该将这种公开方法解释为反映了这样的意图,即,所要求保护的主题的实施方案需要比清楚地在每个权利要求中所陈述的特征更多的特征。相反,如所附的权利要求书所反映的那样,本发明处于比所公开的单个实施方案的全部特征少的状态。因此,所附的权利要求书特此清楚地被并入详细描述中,其中每项权利要求独自作为本发明单独的优选实施方案。
为使本领域内的任何技术人员能够实现或者使用本发明,上面对所公开实施例进行了描述。对于本领域技术人员来说;这些实施例的各种修改方式都是显而易见的,并且本文定义的一般原理也可以在不脱离本公开的精神和保护范围的基础上适用于其它实施例。因此,本公开并不限于本文给出的实施例,而是与本申请公开的原理和新颖性特征的最广范围相一致。
上文的描述包括一个或多个实施例的举例。当然,为了描述上述实施例而描述部件或方法的所有可能的结合是不可能的,但是本领域普通技术人员应该认识到,各个实施例可以做进一步的组合和排列。因此,本文中描述的实施例旨在涵盖落入所附权利要求书的保护范围内的所有这样的改变、修改和变型。此外,就说明书或权利要求书中使用的术语“包含”,该词的涵盖方式类似于术语“包括”,就如同“包括,”在权利要求中用作衔接词所解释的那样。此外,使用在权利要求书的说明书中的任何一个术语“或者”是要表示“非排它性的或者”。
本领域技术人员还可以了解到本发明实施例列出的各种说明性逻辑块(illustrative logical block),单元,和步骤可以通过电子硬件、电脑软件,或两者的结合进行实现。为清楚展示硬件和软件的可替换性(interchangeability),上述的各种说明性部件(illustrative components),单元和步骤已经通用地描述了它们的功能。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个***的设计要求。本领域技术人员可以对于每种特定的应用,可以使用各种方法实现所述的功能,但这种实现不应被理解为超出本发明实施例保护的范围。
本发明实施例中所描述的各种说明性的逻辑块,或单元都可以通过通用处理器,数字信号处理器,专用集成电路(ASIC),现场可编程门阵列或其它可编程逻辑装置,离散门或晶体管逻辑,离散硬件部件,或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器,可选地,该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现,例如数字信号处理器和微处理器,多个微处理器,一个或多个微处理器联合一个数字信号处理器核,或任何其它类似的配置来实现。
本发明实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件模块、或者这两者的结合。软件模块可以存储于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地,存储媒介可以与处理器连接,以使得处理器可以从存储媒介中读取信息,并可以向存储媒介存写信息。可选地,存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中,ASIC可以设置于用户终端中。可选地,处理器和存储媒介也可以设置于用户终端中的不同的部件中。
在一个或多个示例性的设计中,本发明实施例所描述的上述功能可以在硬件、软件、固件或这三者的任意组合来实现。如果在软件中实现,这些功能可以存储与电脑可读的媒介上,或以一个或多个指令或代码形式传输于电脑可读的媒介上。电脑可读媒介包括电脑存储媒介和便于使得让电脑程序从一个地方转移到其它地方的通信媒介。存储媒介可以是任何通用或特殊电脑可以接入访问的可用媒体。例如,这样的电脑可读媒体可以包括但不限于RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁性存储装置,或其它任何可以用于承载或存储以指令或数据结构和其它可被通用或特殊电脑、或通用或特殊处理器读取形式的程序代码的媒介。此外,任何连接都可以被适当地定义为电脑可读媒介,例如,如果软件是从一个网站站点、服务器或其它远程资源通过一个同轴电缆、光纤电缆、双绞线、数字用户线(DSL)或以例如红外、无线和微波等无线方式传输的也被包含在所定义的电脑可读媒介中。所述的碟片(disk)和磁盘(disc)包括压缩磁盘、镭射盘、光盘、DVD、软盘和蓝光光盘,磁盘通常以磁性复制数据,而碟片通常以激光进行光学复制数据。上述的组合也可以包含在电脑可读媒介中。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于可变安全等级的用户请求验证方法,其特征在于,包括:
按设定频率检测用户移动终端激活装置是否能够正常访问;
若所述用户移动终端激活装置能够正常访问,则在接收到用户移动终端发送的关于访问邮箱的用户请求后,通过邮箱安全代理网关以正常安全验证等级的方式对所述用户请求进行验证;
若所述用户移动终端激活装置不能正常访问,则在接收到用户移动终端发送的关于访问邮箱的用户请求后,通过邮箱安全代理网关以降低安全验证等级的方式对所述用户请求进行验证。
2.如权利要求1所述的基于可变安全等级的用户请求验证方法,其特征在于,所述用户请求包括用户名、用户移动终端设备编号;
所述以正常安全验证等级的方式对所述用户请求进行验证,包括:
解析所述用户请求,获取用户名和用户移动终端设备编号;
判断所述用户请求的用户名是否在预置的合法用户名单中;
若否,忽略所述用户请求;若是,则进一步判断所述用户移动终端设备编号是否在当前的已激活用户移动终端设备编号列表中;
若否,提示所述用户移动终端发送关于激活用户设备的激活请求,并忽略所述用户请求;若是,则转发所述用户请求至邮件服务器。
3.如权利要求1所述的基于可变安全等级的用户请求验证方法,其特征在于,所述用户请求包括用户名、用户移动终端设备编号;
所述以降低安全验证等级的方式对所述用户请求进行验证,包括:
解析所述用户请求,获取用户名;
判断所述用户请求的用户名是否在预置的合法用户名单中;
若否,忽略所述用户请求;若是,转发所述用户请求至邮件服务器。
4.如权利要求1所述的基于可变安全等级的用户请求验证方法,其特征在于,所述方法还包括:
在接收到用户移动终端发送的关于激活用户设备的激活请求时,通过用户移动终端激活装置解析所述激活请求,获取用户名和用户移动终端设备编号,所述激活请求包括用户名和用户移动终端设备编号;
判断所述激活请求的用户名是否在预置的合法用户名单中;
若否,忽略所述激活请求;若是,则将所述激活请求的用户移动终端设备编号存入已激活用户移动终端设备编号列表中。
5.如权利要求1所述的基于可变安全等级的用户请求验证方法,其特征在于,所述方法还包括:
按预设频率检测各邮箱安全代理网关所提供的邮箱代理服务是否运行正常;
若存在运行不正常的邮箱代理服务,将所述运行不正常的邮箱代理服务所对应的邮箱安全代理网关的域名切换到运行正常的邮箱安全代理网关,并报警。
6.一种基于可变安全等级的用户请求验证***,其特征在于,包括:
自动运维监控模块,用于按设定频率检测用户移动终端激活装置是否能够正常访问;
邮箱安全代理网关,用于在所述用户移动终端激活装置能够正常访问时,在接收到用户移动终端发送的关于访问邮箱的用户请求后,以正常安全验证等级的方式对所述用户请求进行验证;在所述用户移动终端激活装置不能正常访问时,在接收到用户移动终端发送的关于访问邮箱的用户请求后,以降低安全验证等级的方式对所述用户请求进行验证。
7.如权利要求6所述的基于可变安全等级的用户请求验证***,其特征在于,所述用户请求包括用户名、用户移动终端设备编号;
所述邮箱安全代理网关包括正常安全验证等级验证模块,用于解析所述用户请求,获取用户名和用户移动终端设备编号;判断所述用户请求的用户名是否在预置的合法用户名单中;若否,忽略所述用户请求;若是,则进一步判断所述用户移动终端设备编号是否在当前的已激活用户移动终端设备编号列表中;若否,提示所述用户移动终端发送关于激活用户设备的激活请求,以进行设备激活,并忽略所述用户请求;若是,则转发所述用户请求至邮件服务器。
8.如权利要求6所述的基于可变安全等级的用户请求验证***,其特征在于,所述用户请求包括用户名、用户移动终端设备编号;
所述邮箱安全代理网关包括降低安全验证等级验证模块,用于解析所述用户请求,获取用户名;判断所述用户请求的用户名是否在预置的合法用户名单中;若否,忽略所述用户请求;若是,转发所述用户请求至邮件服务器。
9.如权利要求6所述的基于可变安全等级的用户请求验证***,其特征在于,所述***还包括:
用户移动终端激活装置,用于在接收到用户移动终端发送的关于激活用户设备的激活请求时,解析所述激活请求,获取用户名和用户移动终端设备编号,所述激活请求包括用户名和用户移动终端设备编号;判断所述激活请求的用户名是否在预置的合法用户名单中;若否,忽略所述激活请求;若是,则将所述激活请求的用户移动终端设备编号存入所述已激活用户移动终端设备编号列表中。
10.如权利要求6所述的基于可变安全等级的用户请求验证***,其特征在于,所述自动运维监控模块还包括:
邮箱安全代理网关监测模块,用于按预设频率检测各邮箱安全代理网关所提供的邮箱代理服务是否运行正常;若存在运行不正常的邮箱代理服务,将所述运行不正常的邮箱代理服务所对应的邮箱安全代理网关的域名切换到运行正常的邮箱安全代理网关,并报警。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010731076.7A CN111953664B (zh) | 2020-07-27 | 2020-07-27 | 一种基于可变安全等级的用户请求验证方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010731076.7A CN111953664B (zh) | 2020-07-27 | 2020-07-27 | 一种基于可变安全等级的用户请求验证方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111953664A true CN111953664A (zh) | 2020-11-17 |
| CN111953664B CN111953664B (zh) | 2022-07-08 |
Family
ID=73338248
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010731076.7A Active CN111953664B (zh) | 2020-07-27 | 2020-07-27 | 一种基于可变安全等级的用户请求验证方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111953664B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114124585A (zh) * | 2022-01-28 | 2022-03-01 | 奇安信科技集团股份有限公司 | 一种安全防御方法、装置、电子设备及介质 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101355532A (zh) * | 2008-09-19 | 2009-01-28 | ***集团宽带业务应用国家工程实验室有限公司 | 电子邮件业务实现方法和邮件服务器 |
| CN101600169A (zh) * | 2009-05-20 | 2009-12-09 | 深圳市腾讯计算机***有限公司 | 一种对访问邮件服务器设备的认证方法及装置 |
| CN102137083A (zh) * | 2010-08-23 | 2011-07-27 | 华为技术有限公司 | 应用***登录的方法、装置和*** |
| KR20130034313A (ko) * | 2011-09-28 | 2013-04-05 | 주식회사 한국무역정보통신 | 신뢰메일 유통시스템 및 게이트웨이 |
| CN103490983A (zh) * | 2013-09-17 | 2014-01-01 | 新浪网技术(中国)有限公司 | 企业邮件***及其进行邮件迁移的方法 |
| CN103763105A (zh) * | 2014-01-07 | 2014-04-30 | 上海众人网络安全技术有限公司 | 一种Exchange企业电子邮件登陆加密方法及装置 |
| CN104539523A (zh) * | 2014-12-29 | 2015-04-22 | 宁波江东远通计算机有限公司 | 一种邮件的管理方法、装置和终端 |
| US20150150077A1 (en) * | 2013-11-26 | 2015-05-28 | Biglobe Inc. | Terminal device, mail distribution system, and security check method |
| CN104717223A (zh) * | 2015-03-26 | 2015-06-17 | 小米科技有限责任公司 | 数据访问方法及装置 |
| CN105656843A (zh) * | 2014-11-11 | 2016-06-08 | 腾讯数码(天津)有限公司 | 基于验证的应用层防护方法、装置及网络设备 |
| CN105847245A (zh) * | 2016-03-21 | 2016-08-10 | 杭州朗和科技有限公司 | 一种电子邮箱登录认证方法和装置 |
| CN106302502A (zh) * | 2016-04-03 | 2017-01-04 | 北京动石科技有限公司 | 一种安全访问认证处理方法、用户终端和服务端 |
| CN110572395A (zh) * | 2019-09-09 | 2019-12-13 | 车智互联(北京)科技有限公司 | 一种身份验证方法和*** |
| CN111343080A (zh) * | 2020-02-28 | 2020-06-26 | 北京芯盾时代科技有限公司 | 基于代理的邮件服务方法、服务器、客户端及*** |
-
2020
- 2020-07-27 CN CN202010731076.7A patent/CN111953664B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101355532A (zh) * | 2008-09-19 | 2009-01-28 | ***集团宽带业务应用国家工程实验室有限公司 | 电子邮件业务实现方法和邮件服务器 |
| CN101600169A (zh) * | 2009-05-20 | 2009-12-09 | 深圳市腾讯计算机***有限公司 | 一种对访问邮件服务器设备的认证方法及装置 |
| CN102137083A (zh) * | 2010-08-23 | 2011-07-27 | 华为技术有限公司 | 应用***登录的方法、装置和*** |
| KR20130034313A (ko) * | 2011-09-28 | 2013-04-05 | 주식회사 한국무역정보통신 | 신뢰메일 유통시스템 및 게이트웨이 |
| CN103490983A (zh) * | 2013-09-17 | 2014-01-01 | 新浪网技术(中国)有限公司 | 企业邮件***及其进行邮件迁移的方法 |
| US20150150077A1 (en) * | 2013-11-26 | 2015-05-28 | Biglobe Inc. | Terminal device, mail distribution system, and security check method |
| CN103763105A (zh) * | 2014-01-07 | 2014-04-30 | 上海众人网络安全技术有限公司 | 一种Exchange企业电子邮件登陆加密方法及装置 |
| CN105656843A (zh) * | 2014-11-11 | 2016-06-08 | 腾讯数码(天津)有限公司 | 基于验证的应用层防护方法、装置及网络设备 |
| CN104539523A (zh) * | 2014-12-29 | 2015-04-22 | 宁波江东远通计算机有限公司 | 一种邮件的管理方法、装置和终端 |
| CN104717223A (zh) * | 2015-03-26 | 2015-06-17 | 小米科技有限责任公司 | 数据访问方法及装置 |
| CN105847245A (zh) * | 2016-03-21 | 2016-08-10 | 杭州朗和科技有限公司 | 一种电子邮箱登录认证方法和装置 |
| CN106302502A (zh) * | 2016-04-03 | 2017-01-04 | 北京动石科技有限公司 | 一种安全访问认证处理方法、用户终端和服务端 |
| CN110572395A (zh) * | 2019-09-09 | 2019-12-13 | 车智互联(北京)科技有限公司 | 一种身份验证方法和*** |
| CN111343080A (zh) * | 2020-02-28 | 2020-06-26 | 北京芯盾时代科技有限公司 | 基于代理的邮件服务方法、服务器、客户端及*** |
Non-Patent Citations (2)
| Title |
|---|
| AMNA JOYIA、ABDUL GHAFOOR: ""Secure and privacy enhanced email system as a cloud service"", 《EIGHTH INTERNATIONAL CONFERENCE ON DIGITAL INFORMATION MANAGEMENT (ICDIM 2013)》 * |
| 杨加、李笑难、张扬、马皓、张蓓: ""基于大数据分析的校园电子邮件异常行为检测技术研究"", 《通信学报》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114124585A (zh) * | 2022-01-28 | 2022-03-01 | 奇安信科技集团股份有限公司 | 一种安全防御方法、装置、电子设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111953664B (zh) | 2022-07-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11775622B2 (en) | Account monitoring | |
| US7933584B2 (en) | Method for implementing security update of mobile station and a correlative reacting system | |
| CN108769073B (zh) | 一种信息处理方法及设备 | |
| US20200287920A1 (en) | Endpoint network traffic analysis | |
| US8707339B2 (en) | System and method for detecting hacked modems | |
| US11477028B2 (en) | Preventing account lockout through request throttling | |
| CN111490981B (zh) | 访问管理方法、装置、堡垒机及可读存储介质 | |
| US10374933B2 (en) | Systems and methods for monitoring operational statuses of network services | |
| CN111953664B (zh) | 一种基于可变安全等级的用户请求验证方法及*** | |
| US11422830B1 (en) | Decentralized mobile device control | |
| CN113347037B (zh) | 一种数据中心访问方法及装置 | |
| CN112887105B (zh) | 会议安全监控方法、装置、电子设备及存储介质 | |
| JP6117050B2 (ja) | ネットワーク制御装置 | |
| CN106790134B (zh) | 一种视频监控***的访问控制方法及安全策略服务器 | |
| CN110969740A (zh) | 门禁管理***对不同类型门禁设备的接入方法及门禁*** | |
| US11403091B1 (en) | Application healthcheck communicator | |
| CN114867025A (zh) | 一种防止短信轰炸方法及装置 | |
| US20180351913A1 (en) | Detection system, web application device, web application firewall device, detection method for detection system, detection method for web application device, and detection method for web application firewall device | |
| WO2021083503A1 (en) | Sim swap fraud detection | |
| CN116049860A (zh) | 访问控制方法、装置、计算机设备及存储介质 | |
| CN114218552B (zh) | 一种采用服务总线实现超大用户量统一身份认证方法 | |
| CN115883574A (zh) | 工业控制网络中的接入设备识别方法及装置 | |
| US20180351978A1 (en) | Correlating user information to a tracked event | |
| CN112953951B (zh) | 一种基于国产cpu的用户登录验证和安全性检测方法及*** | |
| CN116996238A (zh) | 一种网络异常访问的处理方法以及相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230412 Address after: Room 501-502, 5/F, Sina Headquarters Scientific Research Building, Block N-1 and N-2, Zhongguancun Software Park, Dongbei Wangxi Road, Haidian District, Beijing, 100193 Patentee after: Sina Technology (China) Co.,Ltd. Address before: 100193 7th floor, scientific research building, Sina headquarters, plot n-1, n-2, Zhongguancun Software Park, Dongbei Wangxi Road, Haidian District, Beijing, 100193 Patentee before: Sina.com Technology (China) Co.,Ltd. |
|
| TR01 | Transfer of patent right |