CN115022068A - 一种基于用户钉钉的认证方法及*** - Google Patents

Abstract

一种基于用户钉钉的认证方法及***，包括网络安全设备、用户终端和钉钉服务器，网络安全设备拦截用户终端的外网访问请求，用户终端响应于接收到网络安全设备返回的钉钉认证页面，向钉钉服务器获取认证图形码，用户终端接收并显示所述认证图形码，钉钉服务器接收第三方扫描设备的钉钉确认登录信息，基于所述钉钉确认登录信息获取回调信息，用户终端接收钉钉服务器发送的回调信息，向所述网络安全设备发送所述回调信息；网络安全设备根据所述回调信息向钉钉服务器获取认证信息，接收所述认证信息后，解除用户终端上网限制。本申请保障用户终端使用钉钉APP通过网络安全设备的准入控制接入互联网的合规性和安全性。

Description

一种基于用户钉钉的认证方法及***

技术领域

本申请涉及信息安全技术领域，具体涉及一种基于用户钉钉的认证方法及***。

背景技术

随着互联网的高速发展，越来越多政府机构和企业等的工作都依赖互联网。在企业网络场景中，常常出现不明终端接入，或员工随意访问网络，容易访问一些钓鱼和病毒相关的网站，均对网络安全造成威胁，如何基于员工的维度进行上网认证和上网行为管控是企业网络面临的一大安全性问题。

上网安全网关是指帮助互联网用户控制和管理对互联网的使用，其包括对网页访问过滤、上网隐私保护、网络应用控制、带宽流量管理、信息收发审计和用户行为分析等，其中，网络安全设备作为上网安全网关的核心网络单元，其核心是管理企业的员工。

在传统的企业网络场景中，针对网络安全设备的网络认证并上网的方法包括静态绑定认证、本地认证和短信认证，其中，静态绑定认证，具体地，预先在网络安全设备上创建用户并绑定对应的IP或MAC地址，用户终端接入网络时，网络安全设备利用经过的流量查询用户终端IP或MAC地址，与本地绑定一致则完成认证；本地认证，具体地，预先在网络安全设备上创建用户，用户终端接入网络时，弹出认证页面，提交用户名和密码完成认证；短信认证，具体地，网络安全设备与短信网关对接，在短信认证页面输入指定的手机号和用户终端随机成生的验证码发送给短信服务商，短信服务商收到信息后将验证码发给用户指定手机号，用户在短信认证页面将手机号和验证码一起提交给网络安全设备验证一致则完成认证。

上述静态绑定认证方法和本地认证方法需要管理员在网络安全设备上预先配置用户，网络运维人员工作量很大，短信认证需要单独购买短信服务商提供的短信网关设备，均耗费人力财力。现有技术提供在公共场所利用微信认证上网的方法，包括URL认证和小程序认证，微信URL认证设备上配置认证URL，同时微信公众平台配置相同的认证URL，当用户终端通过微信触发的认证URL与设备上的一致则认为微信URL认证通过；小程序认证需要调用第三方小程序插件，认证过程实际是小程序与微信服务器和小程序服务器交互的过程。

然而，上述微信上网认证方法需要调用第三方小程序插件或者显示手机号，存在安全隐患，且无法有效地应用在企业网络场景中，不便于基于用户的维度进行上网行为管控。

发明内容

本申请提供一种基于用户钉钉的认证方法及***，保障用户终端使用钉钉通过网络安全设备的准入控制接入互联网的合规性和安全性，以满足企业网络场景基于钉钉认证的场景诉求。

本申请第一方面提供一种基于用户钉钉的认证方法，应用于网络安全设备，包括以下步骤：

拦截用户终端的外网访问请求；

将所述外网访问请求重定向至钉钉认证页面，其中，所述钉钉认证页面用于在所述用户终端接收后主动向钉钉服务器获取认证图形码，所述认证图形码用于给第三方扫描设备扫描登录钉钉；

接收用户终端发送的回调信息，其中，所述回调信息为钉钉服务器在接收第三方扫描设备的钉钉确认登录信息后反馈至用户终端的信息，所述回调信息包括确认登录的钉钉用户名；

根据所述回调信息向钉钉服务器获取所述钉钉用户名对应的认证信息，以及，接收所述认证信息后，解除用户终端上网限制。

可选的，所述认证信息包括钉钉用户名对应的用户信息和用户的组织架构信息，所述方法还包括：

基于设备控制策略和用户的组织架构信息，对所述用户终端进行上网行为管控。

可选的，所述接收用户终端发送的回调信息，包括：

接收用户终端发送至回调地址的回调信息，所述回调地址为网络安全设备的管理ip地址加指定端口。

本申请第二方面提供一种基于用户钉钉的认证方法，应用于用户终端，包括以下步骤：

向网络安全设备发送外网访问请求；

响应于接收到网络安全设备返回的钉钉认证页面，向钉钉服务器获取认证图形码，其中，所述钉钉认证页面为网络安全设备拦截所述外网访问请求后返回的页面，所述认证图形码用于给第三方扫描设备扫描登录钉钉；

接收并显示所述认证图形码；

接收钉钉服务器发送的回调信息，以及，向所述网络安全设备发送所述回调信息，以由所述网络安全设备根据所述回调信息向钉钉服务器获取认证信息，其中，所述回调信息为钉钉服务器在接收第三方扫描设备的钉钉确认登录信息后获取的信息，所述回调信息包括确认登录的钉钉用户名；

认证成功放通上网。

可选的，在所述向网络安全设备发送外网访问请求之后，还包括：

接收网络安全设备的302重定向，其中，所述302重定向为网络安全设备在判断所述用户终端没有外网访问权限后拦截外网访问请求而触发；

响应于接收到的302重定向，向网络安全设备获取钉钉认证所需要的portal页面。

可选的，所述向所述网络安全设备发送所述回调信息，包括：

向网络安全设备配置的回调地址发送所述回调信息，所述回调地址为网络安全设备的管理ip地址加指定端口。

本申请第三方面提供一种基于用户钉钉的认证方法，应用于钉钉服务器，包括以下步骤：

响应于接收到用户终端发送的认证图形码获取请求，向用户终端发送认证图形码，其中，所述认证图形码用于给第三方扫描设备扫描登录钉钉；

接收第三方扫描设备的钉钉确认登录信息，以及，基于所述钉钉确认登录信息获取回调信息，其中，所述回调信息包括确认登录的钉钉用户名；

向用户终端发送所述回调信息，以由用户终端将所述回调信息发送至网络安全设备；

返回认证信息至网络安全设备，其中，所述认证信息为网络安全设备根据回调信息获取的信息。

可选的，所述以由用户终端将所述回调信息发送至网络安全设备，包括：

以由用户终端向网络安全设备配置的回调地址发送所述回调信息，所述回调地址为网络安全设备的管理ip地址加指定端口。

可选的，所述钉钉服务器配置与所述网络安全设备一致的本地地址，所述返回认证信息至网络安全设备，包括：

接收网络安全设备发送的回调地址；

如果网络安全设备发送的回调地址与本地地址一致，则开放网络安全设备获取认证信息的权限。

本申请第四方面提供一种基于用户钉钉的认证***，包括网络安全设备和用户终端，还包括钉钉服务器，所述网络安全设备与用户终端和钉钉服务器通信连接，所述***被配置为：

网络安全设备拦截用户终端的外网访问请求；

用户终端响应于接收到网络安全设备返回的钉钉认证页面，向钉钉服务器获取认证图形码，其中，所述钉钉认证页面为网络安全设备拦截所述外网访问请求后返回的页面，所述认证图形码用于给第三方扫描设备扫描登录钉钉；

用户终端接收并显示所述认证图形码；

钉钉服务器接收第三方扫描设备的钉钉确认登录信息，以及，基于所述钉钉确认登录信息获取回调信息，其中，所述回调信息包括确认登录的钉钉用户名；

用户终端接收钉钉服务器发送的回调信息，以及，向所述网络安全设备发送所述回调信息；

网络安全设备根据所述回调信息向钉钉服务器获取认证信息，以及，接收所述认证信息后，解除用户终端上网限制。

由以上技术方案可知，本申请提供的基于用户钉钉的认证方法及***，包括网络安全设备和用户终端，还包括钉钉服务器，网络安全设备与用户终端和钉钉服务器通信连接，首先网络安全设备拦截用户终端的外网访问请求；用户终端响应于接收到网络安全设备返回的钉钉认证页面，向钉钉服务器获取认证图形码，其中，所述钉钉认证页面为网络安全设备拦截所述外网访问请求后返回的页面，所述认证图形码用于给第三方扫描设备扫描登录钉钉；用户终端接收并显示所述认证图形码；钉钉服务器接收第三方扫描设备的钉钉确认登录信息，以及，基于所述钉钉确认登录信息获取回调信息，其中，所述回调信息包括确认登录的钉钉用户名；用户终端接收钉钉服务器发送的回调信息，以及，向所述网络安全设备发送所述回调信息；网络安全设备根据所述回调信息向钉钉服务器获取认证信息，以及，接收所述认证信息后，解除用户终端上网限制。

本申请提供的基于用户钉钉的认证方法及***可以保障用户终端使用钉钉APP通过网络安全设备的准入控制接入互联网的合规性和安全性，可以满足企业基于钉钉APP认证的场景诉求，增加了认证场景的多样性，还可以将钉钉服务器上的用户和用户架构信息同步到网络安全设备本地，网络安全设备可以基于用户或用户架构信息进行用户终端上网权限的控制。

附图说明

为了更清楚的说明本发明实施例的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的一种基于用户钉钉的认证方法的数据交互示意图；

图2为本申请实施例提供的某厂商采用钉钉认证的网络安全设备端的配置图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为了更加清楚了解本申请实施例的技术方案，现将本申请实施例中的技术名词做详细描述。

AP(Access Point)：无线接入点，它用于无线网络的无线交换机，也是无线网络的核心。AP是移动计算机用户进入有线网络的接入点，主要用于宽带家庭、大楼内部以及园区内部，可以覆盖几十米至上百米。

钉钉APP(DingTalk Application)：是一款为企业提高协同办公，提升沟通效率用于移动终端的应用程序。

准入控制：是实名制ID网络准入控制(NAC)的简称。准入控制是手机在向无线接入网络请求建立无线链路的时候，无线接入网络根据网络目前的负荷水平对是否允许其接入网络进行的判断和控制，对网络的边界进行保护，对接入网络的终端和终端的使用人进行合规性检查。

Portal：Portal认证通常也成为Web认证，未认证用户上网时，一般将Portal认证网站称为门户网站，电子设备强制用户登录到指定站点，用户可以免费访问其中的服务。当用户需要使用外网中的其他服务时，必须在门户网站进行认证，只有认证通过后才可以使用外网资源。

报文(message)：是网络中交换与传输的数据单元，即站点一次性要发送的数据块。报文包含了将要发送的完整的数据信息，其长短很不一致，长度不限且可变。

钉钉(DingTalk)是中国领先的智能移动办公平台，由阿里巴巴集团开发，于2015年1月份正式上线。该平台免费提供给所有中国企业，用于商务沟通和工作协同，帮助中国企业通过***化的解决方案，全方位提升中国企业沟通和协同效率。

随着互联网的迅速发展，越来越多的企业开始使用钉钉作为企业办公的重要平台，而钉钉又是专门的企业人员管理平台，因此网络安全设备的认证和钉钉的结合成为一个必然的趋势。用户通过钉钉认证授权的方式进行身份验证，主要应用于企业网络场景，便于企业网络人员通过钉钉应用进行认证准入控制。

本申请实施例提供的基于用户钉钉的认证方法及***，包括网络安全设备、用户终端和钉钉服务器。

用户可以使用用户终端与网络安全设备交互，以接收或发送消息等。用户终端上可以安装有各种客户端应用，例如浏览器应用等。

用户终端可以是硬件，也可以是软件。当用户终端为硬件时，可以是支持访问网络的各种电子设备，包括但不限于平板电脑、便携式计算和台式计算机等。当用户终端为软件时，可以是安装在上述所列举的电子设备中，在此不做具体限定。

网络安全设备可以是硬件，也可以是软件。当网络安全设备为硬件时，可以是应用于企业网络中支持宽带接入的各种电子设备，包括但不限于交换机、路由器和防火墙等。当网络安全设备为软件时，可以安装在上述所列举的电子设备中，在此不做具体限定。

本申请实施例为实现基于用户钉钉的认证方法及***首先示例性地提供一种企业网络配置方法，参见图2，为某厂商采用钉钉认证的网络安全设备端的配置图，具体地，包括以下步骤：

步骤1、登录钉钉开放平台，按照钉钉服务器接口参数进行配置，获取应用Corpld填入到网络安全设备端的企业ID处。

步骤2、在钉钉开放平台进入“应用开发”-“移动接入应用”-“登录”获取相关应用的appid和appsecret填入网络安全设备端对应的接口参数配置处。

步骤3、在钉钉开放平台进入“应用开发”-“企业内部开发”-“H5微应用”获取查询组织结构的appkey和appsecret填入网络安全设备端对应的自动获取所属组的相关参数配置处。

步骤4、在网络安全设备端配置认证策略，认证策略启用钉钉认证。

按照上述步骤，用户终端的http/https流量经过网络安全设备时就会触发网络安全设备的钉钉认证过程，网络安全设备与钉钉服务器对接，用户终端可以使用钉钉APP软件实现钉钉认证的过程，满足终端用户使用钉钉APP进行准入控制认证场景的要求。

本申请实施例提供一种基于用户钉钉的认证方法，应用于网络安全设备，包括以下步骤：

S101、拦截用户终端的外网访问请求。

具体地，在用户户终端通过该网络安全设备向外网发送网络访问请求时，网络安全设备首先拦截该外网访问请求，例如，网络安全设备对用户终端访问外网的http/https流量进行劫持。

在一个优选实施例中，网络安全设备在拦截用户终端的外网访问请求之前，判断用户终端是否具备外网访问权限，如果不具备，网络安全设备对用户终端访问外网的流量进行劫持。

示例性的，用户终端最后通过钉钉认证完成后，网络安全设备的在线用户处会显示该用户终端对应的IP地址，同时会打上“钉钉认证”的属性标签。在用户终端对应IP的流量经过网络安全设备时，网络安全设备查询该IP地址是否有对应的“钉钉认证”属性标签，如有有该属性标签就直接放行；没有该属性标签，网络安全设备就会进行拦截。

网络安全设备在拦截到不具有网络访问权限的用户终端提交的网络访问请求后，会触发302的重定向发往用户终端，此时触发网络安全设备弹portal认证机制，弹出钉钉认证页面，触发后续钉钉认证流程。

S102、将所述外网访问请求重定向至钉钉认证页面。

在本申请实施例中，上述执行主体会发送钉钉认证页面至用户终端，用户终端在接收到钉钉认证页面后会主动向钉钉服务器获取认证图形码，该认证图形码用于给第三方扫描设备扫描登录钉钉，作为示例，认证图形码包括但不限于登录二维码。该第三方扫描设备可以是硬件也可以是软件，作为硬件时，可以是能够安装钉钉APP并且支持扫描图形码的各种电子设备，包括但不限于智能手机和平板电脑等，作为软件时，可以安装在上述所列举的电子设备中。

需要说明的是，用户终端触发钉钉认证界面后，网络安全设备会默认放通用户终端访问钉钉服务器的流量，用户终端与钉钉服务器交互，获取认证图形码，示例性的，用户终端触发钉钉认证界面后，网络安全设备默认放通1分钟的流量，用户终端与钉钉服务器在这1分钟内进行交互，获取登录二维码信息。

S103、接收用户终端发送的回调信息，其中，所述回调信息为钉钉服务器在接收第三方扫描设备的钉钉确认登录信息后反馈至用户终端的信息，所述回调信息包括确认登录的钉钉用户名。

具体地，钉钉服务器在接收第三方扫描设备的钉钉确认登录信息后会获取回调信息，该回调信息包括确认登录的钉钉用户名。

示例性地，安装有钉钉APP的手机通过钉钉扫描用户终端上显示的登录二维码，并将钉钉确认登录信息发送至钉钉服务器，手机扫描时，可以根据之前的登录信息直接确认登录，也可以输入帐号密码确认登录，此时相当于给为用户终端作终端授权，而这个授权的过程中携带钉钉的用户名，例如帐号或手机号，发送确认登录信息给钉钉服务器时，钉钉服务器通过授权确认登录信息查询到对应的钉钉用户名，钉钉服务器封装后发给用户终端。

在一个优选实施例中，该回调信息还可以包括状态信息，例如，钉钉服务器收到二维码确认登录信息是在老化时间内的，没有过期。

用户终端在接收该回调信息后，将其发送至本申请实施例的执行主体即网络安全设备。具体地，在网络安全设备中配置回调地址，该回调地址为网络安全设备的管理ip地址加指定端口，从而确保内网用户终端与回调地址之间网络可达，例如，网络安全设备的管理ip为192.168.4.33，则回调地址可以为http://192.168.4.33:8000或https://192.168.4.33:8001。网络安全设备通过本地配置的回调地址接收用户终端发送的回调信息。

S104、根据所述回调信息向钉钉服务器获取所述钉钉用户名对应的认证信息，以及，接收所述认证信息后，解除用户终端上网限制。

本申请实施例的执行主体根据回调信息向钉钉服务器获取所述钉钉用户名对应的认证信息，其中，所述认证信息包括钉钉用户名对应的用户信息和用户的组织架构信息。

在一个优选实施例中，钉钉服务器预配置与网络安全设备一致的回调地址，在此称为钉钉服务器的本地地址。此回调地址相当于是网络安全设备可以获取钉钉服务器中用户信息的通道，在网络安全设备向钉钉服务器获取认证信息时，会将自己的回调地址发给钉钉服务器进行校验，钉钉服务器校验网络安全设备的回调地址与本地创建的一致时，就给网络安全设备授权可以访问其中存储的用户信息，然后网络安全设备根据回调信息中的钉钉用户名获取对应的用户信息。

在另一个优选实施例中，网络安全设备和钉钉服务器中分别预配置键值对，例如图2中的KEY和Secret，如果钉钉服务器校验网络安全设备创建的KEY和Secret与钉钉服务器创建的一致，还可以将用户的组织架构信息同步到网络安全设备本地，以基于网络安全设备控制策略和用户的组织架构信息，对所述用户终端进行上网行为管控。

本申请实施例提供一种基于用户钉钉的认证方法，应用于用户终端，包括以下步骤：

S201、向网络安全设备发送外网访问请求。

用户终端可以通过有线连接方式或无线连接方式与网络安全设备通信连接，例如，企业员工或普通用户在进入具有无线环境的公共场所后，可打开用户终端上的无线开关搜索到与网络安全设备对应的无线网络，然后建立用户终端与网络安全设备的连接，用户终端即可通过网络安全设备向外网发送网络访问请求。用户可以使用用户终端发起网络访问请求，例如，通过用户终端上安装的浏览器浏览网页。

S202、响应于接收到网络安全设备返回的钉钉认证页面，向钉钉服务器获取认证图形码，其中，所述钉钉认证页面为网络安全设备拦截所述外网访问请求后返回的页面，所述认证图形码用于给第三方扫描设备扫描登录钉钉。

具体地，用户户终端通过网络安全设备向外网发送网络访问请求时，网络安全设备首先拦截该外网访问请求，例如，网络安全设备对用户终端访问外网的http/https流量进行劫持，触发302的重定向发往用户终端，此时触发网络安全设备弹portal认证机制，弹出钉钉认证页面。

示例性地，用户终端接收网络安全设备的302重定向，其中，所述302重定向为网络安全设备在判断所述用户终端没有外网访问权限后拦截外网访问请求而触发，响应于接收到的302重定向，向网络安全设备获取钉钉认证所需要的portal页面。

用户终端在接收到钉钉认证页面后会主动向钉钉服务器获取认证图形码，该认证图形码用于给第三方扫描设备扫描登录钉钉，作为示例，认证图形码包括但不限于登录二维码。该第三方扫描设备可以是硬件也可以是软件，作为硬件时，可以是能够安装钉钉APP并且支持扫描图形码的各种电子设备，包括但不限于智能手机和平板电脑等，作为软件时，可以安装在上述所列举的电子设备中。

S203、接收并显示所述认证图形码。

S204、接收钉钉服务器发送的回调信息，以及，向所述网络安全设备发送所述回调信息，以由所述网络安全设备根据所述回调信息向钉钉服务器获取认证信息，其中，所述回调信息为钉钉服务器在接收第三方扫描设备的钉钉确认登录信息后获取的信息，所述回调信息包括确认登录的钉钉用户名。

钉钉服务器在接收第三方扫描设备的钉钉确认登录信息后会获取回调信息，然后将该回调信息发送至用户终端，该回调信息包括确认登录的钉钉用户名。

示例性地，安装有钉钉APP的手机通过钉钉扫描用户终端上显示的登录二维码，并将钉钉确认登录信息发送至钉钉服务器，手机扫描时，可以根据之前的登录信息直接确认登录，也可以输入帐号密码确认登录，此时相当于给为用户终端作终端授权，而这个授权的过程中携带钉钉的用户名，例如帐号或手机号，发送确认登录信息给钉钉服务器时，钉钉服务器通过授权确认登录信息查询到对应的钉钉用户名，钉钉服务器封装后发给用户终端。

用户终端在接收该回调信息后，将其发送至网络安全设备，以由网络安全设备根据所述回调信息向钉钉服务器获取所述钉钉用户名对应的认证信息。

S205、认证成功放通上网。

网络安全设备根据用户信息和本地的控制策略，选择放通或限值对应的用户终端上网请求。

本申请实施例提供一种基于用户钉钉的认证方法，应用于钉钉服务器，包括以下步骤：

S301、响应于接收到用户终端发送的认证图形码获取请求，向用户终端发送认证图形码，其中，所述认证图形码用于给第三方扫描设备扫描登录钉钉。

S302、接收第三方扫描设备的钉钉确认登录信息，以及，基于所述钉钉确认登录信息获取回调信息，其中，所述回调信息包括确认登录的钉钉用户名。

S303、向用户终端发送所述回调信息，以由用户终端将所述回调信息发送至网络安全设备。

其中，用户终端向网络安全设备配置的回调地址发送所述回调信息，所述回调地址为网络安全设备的管理ip地址加指定端口。

在一个优选实施例中，所述钉钉服务器配置与所述网络安全设备回调地址一致的本地地址，钉钉服务器接收网络安全设备发送的回调地址，如果网络安全设备发送的回调地址与本地地址一致，则开放网络安全设备获取认证信息的权限。

S304、返回认证信息至网络安全设备，其中，所述认证信息为网络安全设备根据回调信息获取的信息。

本申请实施例提供一种基于用户钉钉的认证***，包括网络安全设备和用户终端，还包括钉钉服务器，所述网络安全设备与用户终端和钉钉服务器通信连接，所述***被配置为执行的步骤包括网络安全设备拦截用户终端的外网访问请求；用户终端响应于接收到网络安全设备返回的钉钉认证页面，向钉钉服务器获取认证图形码，其中，所述钉钉认证页面为网络安全设备拦截所述外网访问请求后返回的页面，所述认证图形码用于给第三方扫描设备扫描登录钉钉；用户终端接收并显示所述认证图形码；钉钉服务器接收第三方扫描设备的钉钉确认登录信息，以及，基于所述钉钉确认登录信息获取回调信息，其中，所述回调信息包括确认登录的钉钉用户名；用户终端接收钉钉服务器发送的回调信息，以及，向所述网络安全设备发送所述回调信息；网络安全设备根据所述回调信息向钉钉服务器获取认证信息，以及，接收所述认证信息后，解除用户终端上网限制。

示例性地，参见图1，本申请实施例提供的一种基于用户钉钉的认证方法的数据交互示意图，具体包括：

S401、用户终端通过AP或有线接入网络，当用户终端通过浏览器访问http/https流量经过网络安全设备时，网络安全设备对用户终端访问外网的流量进行劫持。

S402、网络安全设备对劫持后的流量会进行302的重定向发往用户终端，此时触发网络安全设备弹portal认证机制。

S403、用户终端向网络安全设备获取钉钉认证所需要的portal认证页面。

S404、用户终端获取到认证页面后会主动向钉钉服务器获取授权登录的二维码信息，并在认证页面显示登录二维码。

S405、用户使用手机打开钉钉APP并扫描用户终端显示的登录二维码，扫描完成后通过手机钉钉APP向钉钉服务器发送确认登录信息。

S406、钉钉服务器会通过确认登录信息获取编码和状态等相关信息，编码信息包括钉钉用户名，状态信息包括二维码登录的老化时间，钉钉服务器将编码和状态等相关信息打包成回调信息后发送至用户终端。

S407、用户终端通过回调地址将回调信息发送给网络安全设备，该回调地址为网络安全设备的管理ip地址+指定端口。钉钉服务器上也配置有与网络安全设备上配置的回调地址一致的本地地址。

S408、网络安全设备根据用户终端发送的回调信息到钉钉服务器获取用户和用户组信息。

S409、用户信息和用户组信息获取成功后，网络安全设备使用获取到的用户信息作为用户名显示钉钉认证成功。

S410、用户终端认证成功后，网络安全设备根据控制策略放通或阻断后续上网流量。

由以上技术方案可知，本申请是实施例提供的基于用户钉钉的认证方法及***，包括网络安全设备和用户终端，还包括钉钉服务器，网络安全设备与用户终端和钉钉服务器通信连接，首先网络安全设备拦截用户终端的外网访问请求；用户终端响应于接收到网络安全设备返回的钉钉认证页面，向钉钉服务器获取认证图形码，其中，所述钉钉认证页面为网络安全设备拦截所述外网访问请求后返回的页面，所述认证图形码用于给第三方扫描设备扫描登录钉钉；用户终端接收并显示所述认证图形码；钉钉服务器接收第三方扫描设备的钉钉确认登录信息，以及，基于所述钉钉确认登录信息获取回调信息，其中，所述回调信息包括确认登录的钉钉用户名；用户终端接收钉钉服务器发送的回调信息，以及，向所述网络安全设备发送所述回调信息；网络安全设备根据所述回调信息向钉钉服务器获取认证信息，以及，接收所述认证信息后，解除用户终端上网限制。

本申请实施例提供的基于用户钉钉的认证方法及***无需改变用户网络拓扑，通过网络安全设备与钉钉服务器进行认证报文交互，完美解决了企业采用钉钉APP进行准入控制的认证场景，可以保障用户终端使用钉钉APP通过网络安全设备的准入控制接入互联网的合规性和安全性，可以满足企业基于钉钉APP认证的场景诉求，增加了认证场景的多样性，还可以将钉钉服务器上的用户和用户架构信息同步到网络安全设备本地，网络安全设备可以基于用户或用户架构信息进行用户终端上网权限的控制。

应当说明的是，本发明实施例的方法的每个步骤与本发明实施例的对应***的执行步骤是一一对应的，因此对于其中重复的部分，不再进行赘述。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims (10)

1.一种基于用户钉钉的认证方法，应用于网络安全设备，其特征在于，包括以下步骤：

拦截用户终端的外网访问请求；

将所述外网访问请求重定向至钉钉认证页面，其中，所述钉钉认证页面用于在所述用户终端接收后主动向钉钉服务器获取认证图形码，所述认证图形码用于给第三方扫描设备扫描登录钉钉；

接收用户终端发送的回调信息，其中，所述回调信息为钉钉服务器在接收第三方扫描设备的钉钉确认登录信息后反馈至用户终端的信息，所述回调信息包括确认登录的钉钉用户名；

根据所述回调信息向钉钉服务器获取所述钉钉用户名对应的认证信息，以及，接收所述认证信息后，解除用户终端上网限制。

2.根据权利要求1所述的一种基于用户钉钉的认证方法，其特征在于，所述认证信息包括钉钉用户名对应的用户信息和用户的组织架构信息，所述方法还包括：

基于设备控制策略和用户的组织架构信息，对所述用户终端进行上网行为管控。

3.根据权利要求1所述的一种基于用户钉钉的认证方法，其特征在于，所述接收用户终端发送的回调信息，包括：

接收用户终端发送至回调地址的回调信息，所述回调地址为网络安全设备的管理ip地址加指定端口。

4.一种基于用户钉钉的认证方法，应用于用户终端，其特征在于，包括以下步骤：

向网络安全设备发送外网访问请求；

响应于接收到网络安全设备返回的钉钉认证页面，向钉钉服务器获取认证图形码，其中，所述钉钉认证页面为网络安全设备拦截所述外网访问请求后返回的页面，所述认证图形码用于给第三方扫描设备扫描登录钉钉；

接收并显示所述认证图形码；

接收钉钉服务器发送的回调信息，以及，向所述网络安全设备发送所述回调信息，以由所述网络安全设备根据所述回调信息向钉钉服务器获取认证信息，其中，所述回调信息为钉钉服务器在接收第三方扫描设备的钉钉确认登录信息后获取的信息，所述回调信息包括确认登录的钉钉用户名；

认证成功放通上网。

5.根据权利要求4所述的一种基于用户钉钉的认证方法，其特征在于，在所述向网络安全设备发送外网访问请求之后，还包括：

接收网络安全设备的302重定向，其中，所述302重定向为网络安全设备在判断所述用户终端没有外网访问权限后拦截外网访问请求而触发；

响应于接收到的302重定向，向网络安全设备获取钉钉认证所需要的portal页面。

6.根据权利要求4所述的一种基于用户钉钉的认证方法，其特征在于，所述向所述网络安全设备发送所述回调信息，包括：

向网络安全设备配置的回调地址发送所述回调信息，所述回调地址为网络安全设备的管理ip地址加指定端口。

7.一种基于用户钉钉的认证方法，应用于钉钉服务器，其特征在于，包括以下步骤：

响应于接收到用户终端发送的认证图形码获取请求，向用户终端发送认证图形码，其中，所述认证图形码用于给第三方扫描设备扫描登录钉钉；

接收第三方扫描设备的钉钉确认登录信息，以及，基于所述钉钉确认登录信息获取回调信息，其中，所述回调信息包括确认登录的钉钉用户名；

向用户终端发送所述回调信息，以由用户终端将所述回调信息发送至网络安全设备；

返回认证信息至网络安全设备，其中，所述认证信息为网络安全设备根据回调信息获取的信息。

8.根据权利要求7所述的一种基于用户钉钉的认证方法，其特征在于，所述以由用户终端将所述回调信息发送至网络安全设备，包括：

以由用户终端向网络安全设备配置的回调地址发送所述回调信息，所述回调地址为网络安全设备的管理ip地址加指定端口。

9.根据权利要求8所述的一种基于用户钉钉的认证方法，其特征在于，所述钉钉服务器配置与所述网络安全设备回调地址一致的本地地址，所述返回认证信息至网络安全设备，包括：

接收网络安全设备发送的回调地址；

如果网络安全设备发送的回调地址与本地地址一致，则开放网络安全设备获取认证信息的权限。

10.一种基于用户钉钉的认证***，包括网络安全设备和用户终端，其特征在于，还包括钉钉服务器，所述网络安全设备与用户终端和钉钉服务器通信连接，所述***被配置为：

网络安全设备拦截用户终端的外网访问请求；

用户终端响应于接收到网络安全设备返回的钉钉认证页面，向钉钉服务器获取认证图形码，其中，所述钉钉认证页面为网络安全设备拦截所述外网访问请求后返回的页面，所述认证图形码用于给第三方扫描设备扫描登录钉钉；

用户终端接收并显示所述认证图形码；

钉钉服务器接收第三方扫描设备的钉钉确认登录信息，以及，基于所述钉钉确认登录信息获取回调信息，其中，所述回调信息包括确认登录的钉钉用户名；

用户终端接收钉钉服务器发送的回调信息，以及，向所述网络安全设备发送所述回调信息；

网络安全设备根据所述回调信息向钉钉服务器获取认证信息，以及，接收所述认证信息后，解除用户终端上网限制。

Images