CN113381978B - 一种安全登录方法和装置 - Google Patents
一种安全登录方法和装置 Download PDFInfo
- Publication number
- CN113381978B CN113381978B CN202110515972.4A CN202110515972A CN113381978B CN 113381978 B CN113381978 B CN 113381978B CN 202110515972 A CN202110515972 A CN 202110515972A CN 113381978 B CN113381978 B CN 113381978B
- Authority
- CN
- China
- Prior art keywords
- login
- target
- address
- dynamic
- management server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种安全登录方法,所述方法包括:接收信息中转平台转发的目标用户登录请求;基于代理服务器地址生成目标动态登录地址;向所述信息中转平台和所述代理服务器发送所述目标动态登录地址,以使得所述信息中转平台向所述目标用户转发所述目标动态登录地址,并使得当所述目标用户访问所述目标动态登录地址时,所述代理服务器基于所述目标动态登录地址对所述目标用户进行鉴权管理。本申请提供的技术方案,可以在不暴露内网登录***真实地址的情况下,使用户直接通过登录页面登录企业内部的服务***。
Description
技术领域
本发明涉及互联网技术领域,特别涉及一种安全登录方法和装置。
背景技术
随着企业业务的发展,企业会在内部网络中部署多种服务***(例如OA、ERP等)以满足业务需求。同时,为提高各***的协同效率,企业内部的各种服务***往往通过Web服务和集成化应用程序彼此连接,然后通过内网登录***为用户登录内部***提供鉴权管理。
实际使用中,为提高网络的整体安全水平,企业往往会通过webvpn对内网访问进行控制。在这种场景下,如果使用webvpn自身的登录入口进行登录,用户需要多次输入验证信息才可以登录企业内部的服务***,操作复杂;如果直接使用内网登录***的入口进行登录,内网登录***的真实地址便会暴露在公网中,网络安全性无法得到保障。
鉴于此,有必要提供一种新的安全登录方法和装置以解决上述不足。
发明内容
本申请的目的在于提供一种新的安全登录方法和装置,可以在不暴露内网登录***真实地址的情况下,使用户直接通过登录页面登录企业内部的服务***。
为实现上述目的,本申请一方面提供一种安全登录方法,所述方法应用于地址管理服务器中,所述地址管理服务器中存储有代理服务器地址,所述方法包括:接收信息中转平台转发的目标用户登录请求,其中,所述目标用户登录请求由所述信息中转平台基于目标用户发送的登录请求信息生成;基于代理服务器地址生成目标动态登录地址,其中,所述目标动态登录地址指向所述代理服务器;向所述信息中转平台和所述代理服务器发送所述目标动态登录地址,以使得所述信息中转平台向所述目标用户转发所述目标动态登录地址,并使得当所述目标用户访问所述目标动态登录地址时,所述代理服务器基于所述目标动态登录地址对所述目标用户进行鉴权管理。
为实现上述目的,本申请另一方面还提供一种安全登录装置,所述安全登录装置包括存储器和处理器,所述存储器用于存储计算机程序,当所述计算机程序被所述处理器执行时,实现上述安全登录的方法。
由此可见,本申请提供的技术方案,当目标用户需要登录企业内部的服务***(即目标登录管理服务器)时,目标用户可以向信息中转平台发送登录请求信息,信息中转平台在接收到上述登录请求信息后,可以生成目标用户登录请求,并将其转发至地址管理服务器,从而使得地址管理服务器可以基于代理服务器地址生成目标动态登录地址,然后将上述目标动态登录地址下发给信息中转平台和代理服务器,这样用户便可以接收到信息中转平台转发的目标动态登录地址,而代理服务器将存储该目标动态登录地址。由于目标动态登录地址中携带有代理服务器的地址,因此目标用户访问上述目标动态登录地址的请求将被导向代理服务器,代理服务器便可以将存储的目标动态登录地址与用户发送的请求中携带的动态登录地址进行比对,从而对用户进行鉴权管理。当代理服务器判断目标用户具有访问权限时,代理服务器便可以将上述请求导向目标登录管理服务器,从而使得目标用户可以直接通过目标登录管理服务器反馈的登录页面进行登录。如此,通过向目标用户下发目标动态登录地址,既避免了目标登录管理服务器真实地址暴露的风险,也使得目标用户只需要输入一次验证信息便可以完成企业内部的服务***的登录。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施方式中安全登录***的架构示意图;
图2是本申请实施方式一中安全登录方法的流程图;
图3是本申请实施方式中安全登录方法的时序图;
图4是本申请实施方式中安全登录装置的功能模块示意图;
图5是本申请实施方式中安全登录装置的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
随着企业业务的快速发展,企业会在内部网络中部署多种服务***(例如OA、ERP等)以满足业务需求。同时,为提高各服务***的协同效率,企业内部的各种服务***往往通过Web服务和集成化应用程序彼此连接。而为了对各服务***进行登录管理,企业通常会以单点登录***的方式构建内网登录***,然后将各服务***接入到内网登录***中,从而通过内网登录***为用户登录内部***提供统一的鉴权管理。
实际使用中,为提高网络的整体安全水平,企业往往会通过webvpn对内网访问进行控制。在这种场景下,如果使用webvpn自身的登录入口进行登录,虽然可以避免内网登录***的真实地址暴露在公网中,但是用户在登录内部服务***时,还需要在内网登录***的登录界面再次输入验证信息,操作复杂;如果将内网登录***与webvpn进行对接,用户在登录时直接使用内网登录***的入口进行登录,那么内网登录***的真实地址便会暴露在公网中,网络安全性无法得到保障。
因此,如何在保证内网登录***真实地址不暴露的情况下,简化用户登录内部服务***的程序,便成为本领域亟待解决的问题。
本申请提供的技术方案可以解决上述不足。
如图1所示,为本申请实施方式中安全登录***的架构示意图。
在本实施方式中,安全登录***包括信息中转平台、地址管理服务器、代理服务器、用户和登录管理服务器,其中,信息中转平台可以接收用户发送的登录请求信息,并在接收到上述登录请求信息后,将其转换为用户登录请求,并可以进一步将上述用户登录请求转发至地址管理服务;地址管理服务器中存储有合法用户(即具有访问对应登录管理服务器权限的用户)的身份标识信息,以及各个登录管理服务器的真实地址;登录管理服务器即为企业内网登录***,用于为用户登录企业内部的服务***提供登录管理服务;代理服务器可以将用户发送的登录请求引流到登录管理服务器,并可以将登录管理服务器反馈的登录页面发送至用户,从而使得用户可以基于上述登录页面直接登录企业内部服务***。
在实际应用中,不同企业的用户只可以访问其归属企业的内部服务***,例如,A企业的合法用户只可以访问A企业的内部服务***,而无法访问B企业的内部服务***,相应的,B企业的合法用户只可以访问B企业的内部服务***,而无法访问A企业的内部服务***,亦即不同的企业具有不同的登录管理服务器,而不同企业的登录管理服务器都可以接入本申请提供的安全登录***中。因此,当安全登录***中存在多个不同的登录管理服务器时,地址管理服务器还可以建立用户与登录管理服务器的映射关系,通过用户与登录管理服务器的映射关系,地址管理服务器可以根据合法用户的身份标识查询到其具体可以访问哪一台登录管理服务器(即哪一个企业的登录管理服务器)。
请一并参阅图2和图3,本申请所述安全登录方法应用于地址管理服务器中,所述方法可以包括以下步骤。
S101:接收信息中转平台转发的目标用户登录请求,其中,所述目标用户登录请求由所述信息中转平台基于目标用户发送的登录请求信息生成。
在本实施方式中,当某一个企业的用户(即目标用户)需要登录其归属企业的内部服务***时,该目标用户可以向信息中转平台发送登录请求信息。由于用户与企业的归属关系是固定的,因此目标用户需要登录的企业内部服务***也是明确的,即目标用户发送的登录请求信息将用于访问特定的内网登录***(即目标登录管理服务器)。同时,目标用户发送的登录请求信息中还携带有目标用户的目标身份标识,该目标身份标识在安全登录***中具有唯一性,即任意两个用户,其在安全登录***中具有的身份标识不重复。信息中转平台在接收到目标用户发送的登录请求信息后,可以将上述登录请求信息转换为符合地址管理服务器识别要求的目标用户登录请求,并在该目标用户登录请求中加入目标用户的目标身份标识。在生成上述目标用户登录请求后,信息中转平台可以将该目标用户登录请求转发至地址管理服务器,地址管理服务器在接收到信息中转平台转发的上述目标用户登录请求后,便可以获知有用户需要登录企业内部服务***。
在实际应用中,可以以身份标识的唯一性为出发点构建信息中转平台,即信息中转平台可以被构造为:凡是使用信息中转平台的用户,其都在信息中转平台中具有唯一的身份标识。举例说明,信息中转平台可以是***,此种情况下用户的手机号码即为其身份标识;信息中转平台还可以是第三方认证平台(例如微信平台、QQ平台),此种情况下第三方认证平台赋予用户的唯一标识(例如微信号、QQ号)即为其身份标识。需要特别指出的是,上述列举的***/微信平台/QQ平台只是示意性的,其并不是对信息中转平台的限制,基于本申请的思想,本领域的技术人员也可以采用其它形式的信息中转平台。
举例说明,假设信息中转平台为***,那么当目标用户需要登录企业内部服务***时,其可以发送任意/指定格式的短信(即登录请求信息)到指定号码(即***),此时目标用户用于发送短信的手机号码即为目标身份标识。***在接收到上述短信后,可以基于该短信生成符合地址管理服务器识别要求的目标用户登录请求(例如http报文),并在该目标用户登录请求中添加目标用户的手机号码,然后将上述目标用户登录请求转发至地址管理服务器,以通知地址管理服务器目标用户正在申请登录企业内部服务***。
S102:基于代理服务器地址生成目标动态登录地址,其中,所述目标动态登录地址指向所述代理服务器。
在本实施方式中,地址管理服务器上预先配置有各代理服务器与各登录管理服务器及用户身份标识的映射关系。当地址管理服务器接收到信息中转平台转发的目标用户登录请求后,地址管理服务器可以利用预先存储的代理服务器地址,为目标用户生成目标动态登录地址。需要特别指出的是,上述目标动态登录地址中含有代理服务器的地址,从而使得当目标用户在浏览器中输入上述目标动态登录地址时,浏览器可以通过该目标动态登录地址访问代理服务器。
在一个实施方式中,地址管理服务器在为目标用户生成目标动态登录地址步骤之前,可以基于目标用户登录请求中携带的目标用户的目标身份标识,判断目标用户登录请求是否合法。如果地址管理服务器判断目标用户登录请求不合法,地址管理服务器可以丢弃上述目标用户登录请求,而不对对其进行后续的处理。如果地址管理服务器判断目标用户登录请求合法,地址管理服务器可以为目标用户生成目标动态登录地址。
地址管理服务器判断目标用户登录请求是否合法可以通过如下方式实现:
首先,地址管理服务器判断本地记录中是否存在与目标身份标识对应的目标登录管理服务器的地址。具体的,地址管理服务器首先提取目标用户登录请求中的目标身份标识,然后在本地保存的用户与登录管理服务器的映射关系中,查询目标身份标识对应的目标登录管理服务器的地址。
如果地址管理服务器在本地记录中,可以查询到目标身份标识对应的目标登录管理服务器地址,那么地址管理服务器便可以判断目标用户登录请求合法;如果地址管理服务器在本地记录中,未查询到目标身份标识对应的目标登录管理服务器地址,那么地址管理服务器便可以判断目标用户登录请求不合法。
当地址管理服务器判断目标用户登录请求合法后,地址管理服务器可以随机生成目标动态字符串(例如利用随机算法生成一个字符串),或者根据目标身份标识生成目标动态字符串(例如对目标身份标识进行加密,从而生成一个字符串)。地址管理服务器在生成目标动态字符串之后,可以将代理服务器地址和目标动态字符串进行组合,从而生成目标动态登录地址。
需要特别指出的是,当地址管理服务器生成目标动态登录地址,并向代理服务器发送上述目标动态登录地址时,地址管理服务器可以同时将目标身份标识对应的目标登录管理服务器地址发送至代理服务器,从而使得代理服务器可以建立并保存目标动态登录地址与目标登录管理服务器地址间的映射关系。如此,在后续步骤中,代理服务器便可以根据目标动态登录地址与目标登录管理服务器地址间的映射关系,为目标动态登录地址查询对应的目标登录管理服务器地址。
在另一个实施方式中,地址管理服务器还可以首先提取目标用户登录请求中的目标身份标识,然后判断上述目标身份标识是否为合法用户的身份标识,进而判断上述目标用户登录请求是否合法。如果地址管理服务判断目标身份标识是合法用户的身份标识,那么地址管理服务器便可以判断上述目标用户登录请求是合法的,地址管理服务器便可以进一步根据用户与登录管理服务器的映射关系,在保存的多个登录管理服务器地址中,查询到与目标用户的目标身份标识相对应的目标登录管理服务器地址,然后地址管理服务器可以基于代理服务器的地址和目标登录管理服务器地址生成目标动态登录地址。
在实际应用中,企业可以根据内部规则对员工进行身份认定,以确定某一员工是否具有登录管理服务器的访问权限,如果该员工具有登录管理服务器的访问权限,则企业可以赋予该员工合法用户的身份标识。需要指出的是,合法用户身份标识的形式与信息中转平台的特点存在联系,例如,当信息中转平台为***时,合法用户的身份标识可以设置为员工的手机号码;当信息中转平台为微信平台时,合法用户的身份标识可以设置为员工的企业微信号。
地址管理服务器在接收信息中转平台转发的目标用户登录请求之前,可以提前获取各个合法用户的身份标识,具体的,操作人员可以预先在地址管理服务器中建立用户权限表,并根据各个企业提供的信息,在用户权限表中录入所有合法用户的身份标识。进一步的,操作人员可以在地址管理服务器中录入代理服务器的地址和各个登录管理服务器的地址,并在地址管理服务器中建立用户与登录管理服务器的映射关系。
在实际使用中,信息中转平台在接收侧通常是开放的,即任何用户都可以向信息中转平台发送登录请求,信息中转平台并不能判断某一个登录请求是否为合法用户发送的,这就可能存在非法用户恶意攻击服务器的情况。为避免非法用户的恶意攻击,本申请提供的安全登录***可以利用地址管理服务器对用户的身份信息进行识别,以对非法登录请求进行过滤。
在一个实施方式中,根据目标身份标识,判断目标用户登录请求是否合法可以通过如下方式实现:
首先,判断用户权限表中是否存在目标身份标识,若用户权限表中存在目标身份标识,则目标用户登录请求合法;若用户权限表中不存在目标身份标识,则目标用户登录请求不合法。
由于操作人员已经预先在用户权限表中记录了所有合法用户的身份标识,因此,当地址管理服务器提取出目标用户登录请求中的目标身份标识后,地址管理服务器便可以遍历用户权限表,以判断用户权限表中是否存在与目标身份标识相同的记录项。如果用户权限表中存在与目标身份标识相同的记录项,那么地址管理服务器便可以确定上述目标用户登录请求是合法用户发送的,进而可以判断上述目标用户登录请求是合法的;如果用户权限表中不存在与目标身份标识相同的记录项,那么地址管理服务器便可以确定上述目标用户登录请求不是合法用户发送的,进而可以判断上述目标用户登录请求不合法。对于不合法的目标用户登录请求,地址管理服务器可以将其丢弃,进一步的地址管理服务器还可以向操作人员发送信息,以提醒操作人员存在恶意攻击行为。
在一个实施方式中,当地址管理服务器判断上述目标用户登录请求为合法请求后,地址管理服务器还可以基于代理服务器地址和目标登录管理服务器地址为目标用户生成目标动态登录地址。具体的,地址管理服务器首先可以通过随机算法对目标用户身份标识对应的目标登录管理服务器地址进行加密,从而生成目标动态字符串,然后再将代理服务器地址和目标动态字符串进行组合,以生成目标动态登录地址。
举例说明,假设代理服务器地址为https://vpn.wangsu.com,目标登录管理服务器地址为https://bwpt.edu.cn/login,那么地址管理服务器可以利用随机数加密算法对https://bwpt.edu.cn/login进行加密,从而得到目标动态字符串xjhha124lk,然后地址管理服务器将https://vpn.wangsu.com与xjhha124lk进行组合,得到目标动态登录地址https://vpn.wangsu.com/xjhha124lk。
需要特别指出的是,如果安全登录***中存在多个不同企业的登录管理服务器,那么地址管理服务器在为不同企业的用户生成动态字符串时,地址管理服务器首先需要根据用户与登录管理服务器的映射关系,在保存的多个登录管理服务器地址中,查询到与该用户的身份标识相对应的登录管理服务器的地址,然后再对该查询得到的登录管理服务器的地址进行加密,从而为该用户生成相应的动态字符串。
需要特别指出的是,地址管理服务器在为不同企业的用户生成相应的动态字符串后,可以将得到的动态字符串与代理服务器地址进行组合,从而为不同企业的用户生成不同的动态登录地址。同时,地址管理服务器还可以将上述不同的动态登录地址发送至代理服务器,从而使得代理服务器可以在本地保存上述不同的动态登录地址。
在实际应用中,地址管理服务器在为不同企业的用户生成动态字符串时,也可以不使用登录管理服务器地址,而使用其它信息得到动态字符串。例如,地址管理服务器可以对用户的身份标识进行加密,从而得到相应的动态字符串;地址管理服务器也可以直接利用随机算法生成动态字符串。
需要特别指出的是,当地址管理服务器未使用登录管理服务器的地址而生成动态字符串时,地址管理服务器还可以建立动态字符串与登录管理服务器的映射关系,并将动态字符串与登录管理服务器的映射关系发送至代理服务器,从而使得在后续步骤中,代理服务器可以根据动态字符串与登录管理服务器的映射关系,为动态字符串查询到对应的登录管理服务器地址。
S103:向所述信息中转平台和所述代理服务器发送所述目标动态登录地址,以使得所述信息中转平台向所述目标用户转发所述目标动态登录地址,并使得当所述目标用户访问所述目标动态登录地址时,所述代理服务器基于所述目标动态登录地址对所述目标用户进行鉴权管理。
在本实施方式中,当地址管理服务器生成目标动态登录地址后,地址管理服务器可以将上述目标动态登录地址发送至信息中转平台和代理服务器。当信息中转平台接收到上述目标动态登录地址之后,信息中转平台可以将其转发至目标用户,从而使得目标用户可以利用该目标动态登录地址访问代理服务器。而当代理服务器接收到上述目标动态登录地址之后,代理服务器可以将其存储在本地,以用于后续对目标用户进行鉴权管理。
在实际应用中,当目标用户接收到目标动态登录地址之后,目标用户可以通过终端设备访问该目标动态登录地址。例如,目标用户在浏览器中输入上述目标动态登录地址,由于目标动态登录地址中含有代理服务器的地址,因此,浏览器发送的访问请求将被发送至代理服务器。代理服务器在接收到目标用户发送的访问请求后,可以将该访问请求中携带的动态登录地址与本地存储的目标动态登录地址进行对比,从而判断目标用户是否可以访问目标登录管理服务器,即对目标用户进行鉴权管理。
在一个实施方式中,当目标用户访问目标动态登录地址时,代理服务器基于目标动态登录地址对目标用户进行鉴权管理可以通过如下方式实现:
首先,代理服务器判断接收到的访问请求中是否携带有动态字符串,若访问请求中携带有动态字符串,代理服务器则判断动态字符串是否为目标动态登录地址中的目标动态字符串;
如果代理服务器判断上述动态字符串是目标动态登录地址中的目标动态字符串,那么代理服务器则基于目标动态登录地址与目标登录管理服务器地址间的映射关系,查找目标登录管理服务器地址,并将该访问请求转发至目标登录管理服务器地址指向的目标登录管理服务器,并将目标登录管理服务器反馈的***登录页面发送给目标用户。
在实际应用中,目标用户发送的访问请求将被导向代理服务器,代理服务器在接收到该访问请求后,可以解析访问请求中携带的URL信息,并判断上述URL信息中是否携带有动态字符串,如果URL信息中携带有动态字符串,代理服务器便可以确定该访问请求是用于登录企业内部服务***的。
当代理服务器确定接收到的访问请求是用于登录企业内部服务***时,代理服务器便可以提取该访问请求中携带的动态字符串,并遍历本地保存的所有动态登录地址,然后将提取得到的上述动态字符串与本地保存的所有动态登录地址中的动态字符串进行比对,从而判断地保存的动态登录地址中是否存在上述提取得到的动态字符串。如果本地保存的动态登录地址中存在上述提取得到的动态字符串,那么代理服务器便可以确定上述提取得到的动态字符串为目标动态字符串(即提取得到的动态字符串与目标动态字符串相同)。此时,代理服务器可以根据目标动态字符串查找到对应的目标动态登录地址,进而代理服务器便可以根据目标动态登录地址与目标登录管理服务器地址间的映射关系,为目标动态登录地址查找到对应的目标登录管理服务器地址。
在获取到目标登录管理服务器地址后,代理服务器可以以目标登录管理服务器地址为接收地址重构上述访问请求,从而将该访问请求导向目标登录管理服务器。目标登录管理服务器在接收到上述重构后的访问请求后,便可以生成***登录页面,并将上述***登录页面发送至代理服务器,从而使得代理服务器可以向目标用户反馈该***登录页面。当目标用户获取到上述***登录页面后,目标用户便可以在该***登录页面中输入账号、密码,从而登录企业的内部服务***。
在一个实施方式中,如果地址管理服务器是基于代理服务器的地址和目标登录管理服务器地址生成目标动态登录地址的。例如,地址管理服务器首先通过随机算法对目标登录管理服务器地址进行加密生成目标动态字符串,然后再将代理服务器地址和目标动态字符串进行组合生成目标动态登录地址。此时,代理服务器基于目标动态登录地址对目标用户进行鉴权管理可以通过如下方式实现:
首先,代理服务器判断接收到的访问请求中是否携带有动态字符串,若访问请求中携带有动态字符串,代理服务器则判断动态字符串是否为目标动态字符串;
如果代理服务器判断上述动态字符串是目标动态字符串,那么代理服务器便可以对该动态字符串进行解密,从而得到该动态字符串表征的目标登录管理服务器地址。之后,代理服务器可以将该访问请求转发至目标登录管理服务器地址指向的目标登录管理服务器,并将目标登录管理服务器反馈的***登录页面发送给目标用户。
需要特别指出的是,如果地址管理服务器在生成动态字符串时,未使用登录管理服务器地址,而使用了其它信息(例如用户的身份标识、请求时间等,或者仅基于算法自动随机生成),那么如前文所述,地址管理服务器将建立动态字符串与登录管理服务器的映射关系,并会在向代理服务器下发目标动态登录地址时,将上述动态字符串与登录管理服务器的映射关系一并发送至代理服务器。因此,在此种情况下,代理服务器可以查询动态字符串与登录管理服务器的映射关系,从而为提取得到的动态字符串查找对应的登录管理服务器地址(即目标登录管理服务器地址)。在获取到目标登录管理服务器地址后,代理服务器可以以目标登录管理服务器地址为接收地址重构上述访问请求,从而将该访问请求导向目标登录管理服务器,以获取目标登录管理服务器反馈的***登录页面。
需要特别指出的是,上文是以目标用户发送访问请求为例进行说明的,在本申请提供的安全登录***中,代理服务器具有webvpn服务器的功能,因此代理服务器的地址是可以公开获取的,这就使得任何用户都可以访问代理服务器地址,即代理服务器接收到的访问请求并不一定是目标用户发送的。因此,在不限定目标用户发送访问请求的情况下,代理服务器还可以对接收到的所有访问请求进行筛选。具体的,代理服务器可以对接收到的所有访问请求进行解析,以判断上述访问请求携带URL信息中是否存在动态字符串,如果存在动态字符串,代理服务器可以进一步将上述动态字符串与本地保存的所有动态登录地址中的动态字符串进行比对,如果本地保存的动态登录地址中存在与上述动态字符串相同的内容,代理服务器便可以确定该动态字符串对应的访问请求是合法用户发送的。相应的,代理服务器在获取到该动态字符串对应的登录管理服务器地址后,便可以将该访问请求导向对应的登录管理服务器,以获取***登录页面。
在一个实施方式中,当地址管理服务器根据代理服务器地址和目标动态字符串生成目标动态登录地址之后,地址管理服务器还可以为目标动态登录地址设置有效期,该有效期的具体数值可以根据经验值进行设置,本申请对此不作限制。
当地址管理服务器为目标动态登录地址设置有效期后,相应的,当目标用户访问目标动态登录地址时,代理服务器基于目标动态登录地址对目标用户进行鉴权管理可以通过如下方式实现:
首先,代理服务器基于目标动态登录地址和有效期判断接收到的访问请求是否有效;
如果代理服务器判断上述访问请求有效,那么代理服务器则将该访问请求导向目标登录管理服务器,以使得目标登录管理服务器向目标用户反馈***登录页面。
在实际应用中,如果目标动态登录地址存在有效期,那么代理服务器在利用目标动态登录地址对目标用户进行鉴权管理时,需要考虑目标动态登录地址是否有效的问题。具体的,代理服务器在接收到目标用户发送的访问请求后,可以解析该访问请求中携带的URL信息,并判断上述URL信息中是否携带有动态字符串,如果URL信息中携带有动态字符串,代理服务器便可以确定该访问请求是用于登录企业内部服务***的。此时,代理服务器便可以提取该访问请求中携带的动态字符串,并遍历本地保存的所有动态登录地址,然后将提取得到的上述动态字符串与本地保存的所有动态登录地址中的动态字符串进行比对,从而判断地保存的动态登录地址中是否存在上述提取得到的动态字符串。如果本地保存的动态登录地址中存在上述提取得到的动态字符串,那么代理服务器便可以确定上述提取得到的动态字符串与目标动态字符串一致,代理服务器可以进一步判断目标动态字符串对应的目标动态登录地址是否过期,如果目标动态登录地址未过期,那么代理服务器便可以确定目标用户发送的上述访问请求有效,代理服务器可以对上述提取得到的动态字符串进行解密,从而得到该动态字符串表征的目标登录管理服务器地址。
在获取到目标登录管理服务器地址后,代理服务器可以以目标登录管理服务器地址为接收地址重构上述访问请求,从而将该访问请求导向目标登录管理服务器。目标登录管理服务器在接收到上述重构后的访问请求后,便可以生成***登录页面,并将上述***登录页面发送至代理服务器,从而使得代理服务器可以向目标用户反馈该***登录页面。当目标用户获取到上述***登录页面后,目标用户便可以在该***登录页面中输入账号、密码,从而登录企业的内部服务***。
请参阅图4,本申请还提供一种安全登录装置,所述装置应用于地址管理服务器中,所述装置包括:
登录请求接收模块,用于接收信息中转平台转发的目标用户登录请求,其中,所述目标用户登录请求由所述信息中转平台基于目标用户发送的登录请求信息生成;
动态地址生成模块,用于基于代理服务器地址生成目标动态登录地址,其中,所述目标动态登录地址指向所述代理服务器;
动态地址转发模块,用于向所述信息中转平台和所述代理服务器发送所述目标动态登录地址,以使得所述信息中转平台向所述目标用户转发所述目标动态登录地址,并使得当所述目标用户访问所述目标动态登录地址时,所述代理服务器基于所述目标动态登录地址对所述目标用户进行鉴权管理。
在一个实施方式中,所述动态地址生成模块,还用于基于所述目标用户登录请求中携带的所述目标用户的目标身份标识,判断所述目标用户登录请求是否合法,若不合法,则不进入后续步骤。
在一个实施方式中,所述判断所述目标用户登录请求是否合法包括:
判断本地记录中是否存在与所述目标身份标识对应的目标登录管理服务器的地址,若存在,则所述目标用户登录请求合法,若不存在,则所述目标用户登录请求不合法。
在一个实施方式中,所述装置还包括:
身份标识记录模块,用于获取合法用户的身份标识并建立用户权限表,并在所述用户权限表中记录所述合法用户的身份标识,其中,所述合法用户具有访问对应登录管理服务器的权限。
在一个实施方式中,所述动态地址生成模块,还用于:
判断所述用户权限表中是否存在所述目标身份标识,若所述用户权限表中存在所述目标身份标识,则所述目标用户登录请求合法;
若所述用户权限表中不存在所述目标身份标识,则所述目标用户登录请求不合法。
在一个实施方式中,所述动态地址生成模块,还用于:
随机生成目标动态字符串或根据所述目标身份标识生成目标动态字符串;
基于所述代理服务器地址和所述目标动态字符串生成所述目标动态登录地址。
在一个实施方式中,所述动态地址转发模块,还用于在向所述代理服务器发送所述目标动态登录地址的同时一并发送所述目标身份标识对应的目标登录管理服务器地址,使得所述代理服务器建立并保存所述目标动态登录地址与所述目标登录管理服务器地址间的映射关系。
在一个实施方式中,所述代理服务器基于所述目标动态登录地址对所述目标用户进行鉴权管理包括:
所述代理服务器判断接收到的访问请求中是否携带有动态字符串,若携带有所述动态字符串,则判断所述动态字符串是否为所述目标动态登录地址中的目标动态字符串;
若是,则基于所述映射关系和所述目标动态登录地址,查找所述目标登录管理服务器地址,将所述访问请求转发至所述目标登录管理服务器地址指向的目标登录管理服务器,并将所述目标登录管理服务器反馈的***登录页面发送至所述目标用户。
在一个实施方式中,所述动态地址生成模块,还用于:
对所述目标用户身份标识对应的目标登录管理服务器地址进行加密,以生成目标动态字符串;
根据所述代理服务器地址和所述目标动态字符串生成所述目标动态登录地址。
在一个实施方式中,当所述目标用户访问所述目标动态登录地址时,所述代理服务器基于所述目标动态登录地址对所述目标用户进行鉴权管理包括:
所述代理服务器判断接收到的访问请求中是否携带有动态字符串,若携带有所述动态字符串,则判断所述动态字符串是否为所述目标动态字符串;
若是,则解密所述目标动态字符串,以获取所述目标登录管理服务器地址,将所述访问请求转发至所述目标登录管理服务器地址指向的目标登录管理服务器,并将所述目标登录管理服务器反馈的***登录页面发送至所述目标用户。
在一个实施方式中,所述动态地址生成模块,还用于:
为所述目标动态登录地址设置有效期;
相应的,当所述目标用户访问所述目标动态登录地址时,所述代理服务器基于所述目标动态登录地址对所述目标用户进行鉴权管理包括:
所述代理服务器基于本地保存的所述目标动态登录地址和所述有效期判断接收到的访问请求是否有效。
请参阅图5,本申请还提供一种安全登录装置,所述安全登录装置包括存储器和处理器,所述存储器用于存储计算机程序,当所述计算机程序被所述处理器执行时,可以实现如上述的安全登录方法。具体地,在硬件层面,该安全登录装置可以包括处理器、内部总线和存储器。所述存储器可以包括内存以及非易失性存储器。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行。本领域普通技术人员可以理解,图5所示的结构仅为示意,其并不对上述安全登录装置的结构造成限定。例如,所述安全登录装置还可包括比图5中所示更多或者更少的组件,例如还可以包括其他的处理硬件,如GPU(GraphicsProcessing Unit,图像处理器),或者对外通信端口等。当然,除了软件实现方式之外,本申请并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等。
本实施方式中,所述的处理器可以包括中央处理器(CPU)或图形处理器(GPU),当然也可以包括其他的具有逻辑处理能力的单片机、逻辑门电路、集成电路等,或其适当组合。本实施方式所述的存储器可以是用于保存信息的记忆设备。在数字***中,能保存二进制数据的设备可以是存储器;在集成电路中,一个没有实物形式的具有存储功能的电路也可以为存储器,如RAM、FIFO等;在***中,具有实物形式的存储设备也可以叫存储器等。实现的时候,该存储器也可以采用云存储器的方式实现,具体实现方式,本说明书不做限定。
需要说明的是,本说明书中的安全登录装置,具体的实现方式可以参照方法实施方式的描述,在此不作一一赘述。
由此可见,本申请提供的技术方案,当目标用户需要登录企业内部的服务***(即目标登录管理服务器)时,目标用户可以向信息中转平台发送目标用户登录请求,信息中转平台在接收到上述目标用户登录请求后,可以将其转发至地址管理服务器,从而使得地址管理服务器可以识别目标用户登录请求中携带的目标身份标识,并根据预先存储的合法用户的身份标识,判断该目标身份标识是否合法,如果该目标身份标识合法,那么地址管理服务器便可以基于代理服务器地址和目标登录管理服务器地址生成目标动态登录地址,然后将上述目标动态登录地址下发给信息中转平台和代理服务器,这样用户便可以接收到信息中转平台转发的目标动态登录地址,而代理服务器将存储该目标动态登录地址。由于目标动态登录地址中携带有代理服务器的地址,因此目标用户访问上述目标动态登录地址的请求将被导向代理服务器,代理服务器便可以将存储的目标动态登录地址与用户发送的请求中携带的动态登录地址进行比对,从而对用户进行鉴权管理。当代理服务器判断目标用户具有访问权限时,代理服务器便可以将上述请求导向目标登录管理服务器,从而使得目标用户可以直接通过目标登录管理服务器反馈的登录页面进行登录。如此,通过向目标用户下发目标动态登录地址,既避免了目标登录管理服务器真实地址暴露的风险,也使得目标用户只需要输入一次验证信息便可以登录企业内部的服务***。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件来实现。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种安全登录方法,其特征在于,所述方法应用于地址管理服务器中,所述地址管理服务器中存储有代理服务器地址,所述方法包括:
接收信息中转平台转发的目标用户登录请求,其中,所述目标用户登录请求由所述信息中转平台基于目标用户发送的登录请求信息生成;
基于所述代理服务器地址生成目标动态登录地址,其中,所述目标动态登录地址指向所述代理服务器;
向所述信息中转平台和所述代理服务器发送所述目标动态登录地址,以使得所述信息中转平台向所述目标用户转发所述目标动态登录地址、所述代理服务器在本地存储所述目标动态登录地址,并使得当所述代理服务器接收到所述目标用户发送的访问请求后,将所述访问请求中的动态登录地址与本地存储的所述目标动态登录地址进行对比,以判断所述目标用户是否可以访问目标登录管理服务器,若可以,则将所述目标登录管理服务器反馈的***登录页面发送至所述目标用户。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在所述生成目标动态登录地址步骤之前,基于所述目标用户登录请求中携带的所述目标用户的目标身份标识,判断所述目标用户登录请求是否合法,若不合法,则不进入后续步骤。
3.根据权利要求2所述的方法,其特征在于,所述判断所述目标用户登录请求是否合法包括:
判断本地记录中是否存在与所述目标身份标识对应的目标登录管理服务器的地址,若存在,则所述目标用户登录请求合法,若不存在,则所述目标用户登录请求不合法。
4.根据权利要求1或2所述的方法,其特征在于,所述基于代理服务器地址生成目标动态登录地址包括:
随机生成目标动态字符串或根据所述目标身份标识生成目标动态字符串;
基于所述代理服务器地址和所述目标动态字符串生成所述目标动态登录地址。
5.根据权利要求4所述的方法,其特征在于,在向所述代理服务器发送所述目标动态登录地址的同时一并发送所述目标身份标识对应的目标登录管理服务器地址,使得所述代理服务器建立并保存所述目标动态登录地址与所述目标登录管理服务器地址间的映射关系。
6.根据权利要求5所述的方法,其特征在于,所述代理服务器基于所述目标动态登录地址对所述目标用户进行鉴权管理包括:
所述代理服务器判断接收到的访问请求中是否携带有动态字符串,若携带有所述动态字符串,则判断所述动态字符串是否为所述目标动态登录地址中的目标动态字符串;
若是,则基于所述映射关系和所述目标动态登录地址,查找所述目标登录管理服务器地址,将所述访问请求转发至所述目标登录管理服务器地址指向的目标登录管理服务器,并将所述目标登录管理服务器反馈的***登录页面发送至所述目标用户。
7.根据权利要求1或2所述的方法,其特征在于,所述基于代理服务器地址生成目标动态登录地址包括:
对所述目标用户身份标识对应的目标登录管理服务器地址进行加密,以生成目标动态字符串;
基于所述代理服务器地址和所述目标动态字符串生成所述目标动态登录地址。
8.根据权利要求7所述的方法,其特征在于,所述代理服务器基于所述目标动态登录地址对所述目标用户进行鉴权管理包括:
所述代理服务器判断接收到的访问请求中是否携带有动态字符串,若携带,则判断所述动态字符串是否为所述目标动态字符串;
若是,则解密所述目标动态字符串,以获取所述目标登录管理服务器地址,将所述访问请求转发至所述目标登录管理服务器地址指向的目标登录管理服务器,并将所述目标登录管理服务器反馈的***登录页面发送至所述目标用户。
9.根据权利要求1所述的方法,其特征在于,在所述基于代理服务器地址生成目标动态登录地址之后,所述方法还包括:
为所述目标动态登录地址设置有效期;
相应的,当所述目标用户访问所述目标动态登录地址时,所述代理服务器基于所述目标动态登录地址对所述目标用户进行鉴权管理包括:
所述代理服务器基于所述目标动态登录地址和所述有效期判断接收到的访问请求是否有效。
10.一种安全登录装置,其特征在于,所述装置包括存储器和处理器,所述存储器用于存储计算机程序,当所述计算机程序被所述处理器执行时,实现如权利要求1至9中任一权利要求所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110515972.4A CN113381978B (zh) | 2021-05-12 | 2021-05-12 | 一种安全登录方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110515972.4A CN113381978B (zh) | 2021-05-12 | 2021-05-12 | 一种安全登录方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113381978A CN113381978A (zh) | 2021-09-10 |
| CN113381978B true CN113381978B (zh) | 2023-06-27 |
Family
ID=77572513
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110515972.4A Active CN113381978B (zh) | 2021-05-12 | 2021-05-12 | 一种安全登录方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113381978B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002123491A (ja) * | 2000-10-13 | 2002-04-26 | Nippon Telegr & Teleph Corp <Ntt> | 認証代行方法、認証代行装置、及び認証代行システム |
| CN110287682A (zh) * | 2019-07-01 | 2019-09-27 | 北京芯盾时代科技有限公司 | 一种登录方法、装置及*** |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103916366A (zh) * | 2012-12-31 | 2014-07-09 | ***通信集团公司 | 登录方法、维护终端、数据管理服务设备及登录*** |
| CN105141632B (zh) * | 2015-09-21 | 2018-09-14 | 北京百度网讯科技有限公司 | 用于查看页面的方法和装置 |
| CN107770140A (zh) * | 2016-08-22 | 2018-03-06 | 南京中兴软件有限责任公司 | 一种单点登录认证方法及装置 |
| CN106131079B (zh) * | 2016-08-29 | 2020-08-11 | 腾讯科技(北京)有限公司 | 一种认证方法、***及代理服务器 |
| CN110519379A (zh) * | 2019-08-29 | 2019-11-29 | 泰康保险集团股份有限公司 | 基于微服务的请求处理方法及设备 |
| CN110855766A (zh) * | 2019-11-06 | 2020-02-28 | 北京天融信网络安全技术有限公司 | 一种访问Web资源的方法、装置及代理服务器 |
| CN111200655A (zh) * | 2019-12-31 | 2020-05-26 | 北京奇才天下科技有限公司 | 一种基于代理服务器的内网访问方法、***、电子设备 |
| CN112272158A (zh) * | 2020-09-16 | 2021-01-26 | 厦门网宿有限公司 | 一种数据代理方法、***及代理服务器 |
| CN112702425B (zh) * | 2020-12-22 | 2022-12-23 | 杭州易安联科技有限公司 | 基于域名泛解析的web应用访问代理方法、装置和存储介质 |
-
2021
- 2021-05-12 CN CN202110515972.4A patent/CN113381978B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002123491A (ja) * | 2000-10-13 | 2002-04-26 | Nippon Telegr & Teleph Corp <Ntt> | 認証代行方法、認証代行装置、及び認証代行システム |
| CN110287682A (zh) * | 2019-07-01 | 2019-09-27 | 北京芯盾时代科技有限公司 | 一种登录方法、装置及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113381978A (zh) | 2021-09-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2017028804A1 (zh) | 一种Web实时通信平台鉴权接入方法及装置 | |
| WO2016015436A1 (zh) | 平台授权方法、平台服务端、应用客户端及***和存储介质 | |
| CN114679293A (zh) | 基于零信任安全的访问控制方法、设备及存储介质 | |
| US9219722B2 (en) | Unclonable ID based chip-to-chip communication | |
| CN109347835A (zh) | 信息传输方法、客户端、服务器以及计算机可读存储介质 | |
| US20230328071A1 (en) | Method and device for securely accessing intranet application | |
| WO2019062666A1 (zh) | 一种实现安全访问内部网络的***、方法和装置 | |
| WO2015062378A1 (zh) | 一种客户端应用程序的用户注册方法、移动终端及服务器 | |
| US10250589B2 (en) | System and method for protecting access to authentication systems | |
| CN106911684A (zh) | 一种鉴权方法及*** | |
| JP2001186122A (ja) | 認証システム及び認証方法 | |
| CN112836206B (zh) | 登录方法、装置、存储介质和计算机设备 | |
| CN114157434A (zh) | 登录验证方法、装置、电子设备及存储介质 | |
| CN108629164A (zh) | 加密页面的生成方法及加密页面泄露后的追溯方法 | |
| CN110213232B (zh) | 一种指纹特征和密钥双重验证方法和装置 | |
| CN112948857A (zh) | 一种文档处理方法及装置 | |
| WO2024011863A1 (zh) | 通信方法、装置、sim卡、电子设备和终端设备 | |
| CN113381978B (zh) | 一种安全登录方法和装置 | |
| CN110875903B (zh) | 一种安全防御方法及设备 | |
| Schulz et al. | d 2 Deleting Diaspora: Practical attacks for profile discovery and deletion | |
| WO2022193494A1 (zh) | 权限控制方法及服务器、终端、存储介质和计算机程序 | |
| CN107612691A (zh) | 认证信息传输方法和装置以及用户信息认证*** | |
| CN114090996A (zh) | 多方***互信认证方法及装置 | |
| CN112565156B (zh) | 信息注册方法、装置和*** | |
| JP2002073562A (ja) | 単一ユーザパスワードによる複数サイトアクセス方法及びその装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |