CN115134165A - 信息验证方法及***、存储介质、电子设备 - Google Patents
信息验证方法及***、存储介质、电子设备 Download PDFInfo
- Publication number
- CN115134165A CN115134165A CN202210911193.0A CN202210911193A CN115134165A CN 115134165 A CN115134165 A CN 115134165A CN 202210911193 A CN202210911193 A CN 202210911193A CN 115134165 A CN115134165 A CN 115134165A
- Authority
- CN
- China
- Prior art keywords
- user terminal
- terminal
- information
- user
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012795 verification Methods 0.000 title claims abstract description 91
- 238000000034 method Methods 0.000 title claims abstract description 54
- 230000003068 static effect Effects 0.000 claims abstract description 64
- 230000006399 behavior Effects 0.000 claims description 44
- 238000012544 monitoring process Methods 0.000 claims description 35
- 238000012545 processing Methods 0.000 claims description 11
- 230000002155 anti-virotic effect Effects 0.000 claims description 7
- 230000002159 abnormal effect Effects 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 6
- 230000000977 initiatory effect Effects 0.000 claims description 5
- 230000004044 response Effects 0.000 claims description 4
- 241000700605 Viruses Species 0.000 claims description 3
- 238000002513 implantation Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 abstract description 9
- 230000008569 process Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000005034 decoration Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000005641 tunneling Effects 0.000 description 2
- 238000005422 blasting Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 210000000697 sensory organ Anatomy 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0846—Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biodiversity & Conservation Biology (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种信息验证方法及***、存储介质、电子设备,涉及信息安全领域,其中,该信息验证方法包括:响应用户终端发起的连接验证请求,对用户终端的终端特征进行验证;在用户终端验证通过后,获取用户终端传输的动态密码和静态密码,其中,动态密码是用户终端对目标用户进行生物特征识别通过的情况下得到的密码,静态密码是用户终端通过远程虚拟网络进行加密认证时得到的密码;验证动态密码和静态密码是否正确;在两者都正确的情况下,允许用户终端接入内网。本发明解决了相关技术中远程办公模式,接入***的认证因素较少,容易导致用户密码被攻击者钓鱼泄漏,安全性较低的技术问题。
Description
技术领域
本发明涉及信息安全领域,具体而言,涉及一种信息验证方法及***、存储介质、电子设备。
背景技术
随着互联网的普及和相关技术的发展,大量的用户开始使用电脑办公,同时随着当前出现疫情、恶劣天气等外部因素的干扰,大量企业启动远程办公,员工借助网络和远程办公平台,可以在其他地方(例如,在家或者远离公司的异地),完成公司给自己安排的工作任务。
远程办公虽然具有着“节省时间”“更加自由”“办公环境更加舒适”等诸多优点,但同时也带来安全挑战。
相关技术中,启动远程办公的企业,一般通过搭建VPN或类似方式,在认证后将用户终端连接进入企业内部***,同时将用户终端到服务端之间的数据加密,防止信息被窃取。该种程办公模式最为普遍,但是其存在多个缺点:第一,认证因素不足,用户终端通过认证连接进入企业内网,一般只是用密码方式进行认证,但是密码可能存在被攻击者钓鱼泄漏的风险,容易影响企业的信息安全;第二,是内部办公***安全要求不高,可能存在较多的安全漏洞,将内部办公***向外暴露带来被攻击风险;第三,用户在远程场景下,用户终端环境不可控,可能存在用户终端被攻击成为跳板,进而入侵企业内部网络。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种信息验证方法及***、存储介质、电子设备,以至少解决相关技术中远程办公模式,接入***的认证因素较少,容易导致用户密码被攻击者钓鱼泄漏,安全性较低的技术问题。
根据本发明实施例的一个方面,提供了一种信息验证方法,包括:响应用户终端发起的连接验证请求,对用户终端的终端特征进行验证;在用户终端验证通过的情况下,获取用户终端传输的动态密码和静态密码,其中,动态密码是用户终端对目标用户进行生物特征识别通过的情况下得到的密码,静态密码是用户终端通过远程虚拟网络进行加密认证时得到的密码;验证动态密码和静态密码是否正确;在动态密码和静态密码都正确的情况下,允许用户终端接入内网。
可选地,响应用户终端发起的连接验证请求,对用户终端的终端特征进行验证的步骤,包括:获取用户终端的终端序列信息,其中,终端序列信息是采用用户终端中预先安装的防护软件读取到的;将用户终端的终端序列信息与序列号白名单进行匹配,得到匹配结果;在用户终端的终端序列信息匹配到序列号白名单中的序列号信息的情况下,确认对用户终端的终端特征的验证通过;在用户终端的终端序列信息无法匹配到序列号白名单中的序列号信息的情况下,确认对用户终端的终端特征的验证不通过。
可选地,在获取动态密码时,包括:启动用户终端中预先安装的生物认证应用;采用生物认证应用对目标用户的下述至少之一的生物特征进行识别:人脸、指纹;在目标用户的生物特征识别通过的情况下,获取动态密码。
可选地,在确定动态密码和静态密码都正确之后,还包括:控制用户终端的防护软件监控用户终端的终端运行状态和目标用户对用户终端的操作行为;在终端运行状态和/或操作行为出现异常的情况下,发出告警信息,并断开与用户终端的网络连接;在终端运行状态和操作行为都正常的情况下,允许用户终端接入内网。
可选地,终端运行状态包括下述至少之一:终端补丁运行状态、防病毒软件运行状态,操作行为包括下述至少之一:病毒后门植入操作、终端信息扫描操作、上传脚本操作。
根据本发明实施例的另一个方面,还提供了一种信息验证***,包括:生物认证应用,对目标用户进行生物特征识别,并在生物特征识别通过的情况下,向服务器请求动态密码;用户终端,用于发起连接验证请求,并提供动态密码和静态密码至服务器,其中,静态密码是用户终端通过远程虚拟网络进行加密认证时得到的密码;服务器,执行上述任意一项的信息验证方法。
可选地,用户终端包括:防护软件,读取用户终端的终端序列信息;信息签名与加解密模块,用于将待传输的所有信息进行签名后加密发送,并对所述服务器发送的信息进行解密;认证登录模块,用于提供动态密码和静态密码至服务器,并在接收到目标用户的连接指令的情况下,向服务器发起连接验证请求;终端环境监控模块,用于监控用户终端的终端运行状态;终端行为监控模块,用于监控目标用户对用户终端的操作行为。
可选地,服务器包括:服务端签名加解密模块,将待传输的所有信息进行签名后加密发送,并对用户终端发送的信息进行解密;序列号处理模块,用于将用户终端的终端序列信息与序列号白名单进行匹配,允许序列号白名单内的用户终端接入内网;用户认证模块,关联生物认证应用,在生物特征识别通过的情况下,生成动态密码,并将动态密码发送至生物认证应用,同时,验证用户终端发送的动态密码和静态密码是否正确;终端环境管理模块,用于处理用户终端的终端环境监控模块发送的告警信息;终端行为管理模块,用于处理用户终端的终端行为监控模块发送的告警信息。
根据本发明实施例的另一个方面,还提供了一种计算机可读存储介质,计算机可读存储介质包括存储的计算机程序,其中,在计算机程序运行时控制计算机可读存储介质所在设备执行上述任意一项的信息验证方法。
根据本发明实施例的另一个方面,还提供了一种电子设备,包括一个或多个处理器和存储器,存储器用于存储一个或多个程序,其中,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器实现上述任意一项的信息验证方法。
本申请中,采用以下步骤,响应用户终端发起的连接验证请求,对用户终端的终端特征进行验证,在用户终端验证通过的情况下,获取用户终端传输的动态密码和静态密码,其中,动态密码是用户终端对目标用户进行生物特征识别通过的情况下得到的密码,静态密码是用户终端通过远程虚拟网络进行加密认证时得到的密码;然后验证动态密码和静态密码是否正确;在动态密码和静态密码都正确的情况下,允许用户终端接入内网。在本申请中,通过用户终端对目标用户进行生物特征识别得到对应的动态密码,在动态密码和静态密码均验证通过的情况下,允许用户终端接入内网,从而实现终端特征验证、动态密码验证和静态密码验证的多重保护,提升远程办公的安全性,进而解决相关技术中远程办公模式,接入***的认证因素较少,容易导致用户密码被攻击者钓鱼泄漏,安全性较低的技术问题。
本申请中,控制用户终端的防护软件监控用户终端的终端运行状态和目标用户对用户终端的操作行为,在终端运行状态和操作行为都正常的情况下,允许用户终端接入内网,否则发出告警信息,并断开与用户终端的网络连接,从而提升内部办公***的安全性,进而解决相关技术中内部办公***安全要求不高,存在较多的安全漏洞,将内部办公***向外暴露带来被攻击风险的技术问题。
本申请中,将用户终端的终端序列信息与序列号白名单进行匹配,在用户终端的终端序列信息匹配到序列号白名单中的序列号信息的情况下,确认对用户终端的终端特征的验证通过,否则不予通过,使用设备准入白名单的方式,限制可以连接内网环境的设备,从而使得用户终端环境可控,解决相关技术中可能存在用户终端被攻击成为跳板,进而入侵企业内部网络的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例提供的一种可选的信息验证方法的流程图;
图2是根据本发明实施例提供的一种信息验证的流程图;
图3是根据本申请实施例提供的一种信息验证***用户终端架构图;
图4是根据本申请实施例提供的另一种信息验证***服务器架构图;
图5是根据本发明实施例的一种信息验证方法的电子设备(或移动设备)的硬件结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为了便于描述,以下对本申请各实施例涉及的部分名词或术语进行说明:
终端,用户用于办公用的电脑、智能平板等设备。
远程办公接入,用户通过互联网访问企业内部办公***。
VPN,虚拟专用网络,即通过终端到服务端的加密与认证技术,在互联网上,在终端和服务端之间,建立一个虚拟的通道,终端用户通过认证后,将数据请求加密后发送到服务端。
隧道传输,利用一种网络协议来传输另一种网络协议,通过网络隧道协议来实现相关设备之间的通信。
需要说明的是,本公开中的信息验证方法及其***可用于信息安全领域在对远程办公、网络终端等进行安全验证的情况下,也可用于除信息安全领域之外的任意领域在对远程办公、网络终端等进行安全验证的情况下,本公开中信息验证方法及其***的应用领域不做限定。
需要说明的是,本公开所涉及的相关信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于展示的数据、分析的数据等),均为经用户授权或者经过各方充分授权的信息和数据。例如,本***和相关用户或机构间设置有接口,在获取相关信息之前,需要通过接口向前述的用户或机构发送获取请求,并在接收到前述的用户或机构反馈的同意信息后,获取相关信息。
本发明可以应用于各个企业的远程办公终端、服务器***中,能够提供一种安全的远程办公接入方法及***,通过移动终端上的生物特征识别方式(例如,虹膜识别、脸部特征识别、指纹识别等)获取动态密码,加上对于终端自身的特征识别(例如,终端序列号、终端设备型号核准代码等)、静态密码(例如,短信验证密码等)相结合的多因素认证方式,解决单一认证方式出现的安全风险。
同时,本发明使用设备准入白名单的方式,限制可以连接内网环境的设备,以解决企业内网办公应用向外暴露带来的风险,并且提出持续的运行环境监控与用户行为监控,降低远程办公场景中用户终端因被劫持而对内部***带来攻击的风险。
下面结合各个实施例来详细说明本申请。
实施例一
根据本发明实施例,提供了一种信息验证方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
下面结合优选的实施步骤对本发明实施例进行说明,图1是根据本发明实施例提供的一种可选的信息验证方法的流程图,如图1所示,该方法包括如下步骤:
步骤S101,响应用户终端发起的连接验证请求,对用户终端的终端特征进行验证;
步骤S102,在用户终端验证通过的情况下,获取用户终端传输的动态密码和静态密码,其中,动态密码是用户终端对目标用户进行生物特征识别通过的情况下得到的密码,静态密码是用户终端通过远程虚拟网络进行加密认证时得到的密码;
步骤S103,验证动态密码和静态密码是否正确;
步骤S104,在动态密码和静态密码都正确的情况下,允许用户终端接入内网。
通过上述步骤,首先响应用户终端发起的连接验证请求,对用户终端的终端特征进行验证,在用户终端验证通过的情况下,获取用户终端传输的动态密码和静态密码,然后验证动态密码和静态密码是否正确,在动态密码和静态密码都正确的情况下,允许用户终端接入内网,其中,动态密码是用户终端对目标用户进行生物特征识别通过的情况下得到的密码,静态密码是用户终端通过远程虚拟网络进行加密认证时得到的密码。在本实施例中,通过用户终端对目标用户进行生物特征识别得到对应的动态密码,在动态密码和静态密码均验证通过的情况下,允许用户终端接入内网,从而实现动态密码和静态密码的双重保护,提升远程办公的安全性,进而解决相关技术中远程办公模式,接入***的认证因素较少,容易导致用户密码被攻击者钓鱼泄漏,安全性较低的技术问题。
本发明实施例提供的信息验证方法,可以应用于与用户终端连接的服务器或者远程云端网络中,对待接入的终端设备、用户身份进行验证。
下面结合上述各实施步骤来详细说明。
步骤S101,响应用户终端发起的连接验证请求,对用户终端的终端特征进行验证;
其中,本实施例提供的用户终端可以是指用户使用的终端设备,其类型包括但不限于:移动终端(例如,手机、平板、IPAD、笔记本)、PC机。用户通过用户终端可以远程连接至对应的服务器或者办公平台,实现远程办公。
上述的连接验证请求,可以是指通过用户终端发起的远程办公接入请求,该请求可以是一种网络连接请求(无线网连接/有线网连接,或者区域网络连接,如以ZigBee组网后建立的网络生成的请求),该连接验证请求中可以携带有多个信息,该信息包括但不限于:终端标识、地址信息、用户身份、用户验证码、平台类型等。在用户终端发起连接验证请求后,服务器或者远程云端网络可以响应该请求,对用户终端和用户身份进行验证。
本发明实施例中,服务器响应用户终端发起的连接验证请求,对用户终端的终端特征进行验证,可选的,响应用户终端发起的连接验证请求,对用户终端的终端特征进行验证的步骤包括:获取用户终端的终端序列信息,其中,终端序列信息是采用用户终端中预先安装的防护软件读取到的;将用户终端的终端序列信息与序列号白名单进行匹配,得到匹配结果;在用户终端的终端序列信息匹配到序列号白名单中的序列号信息的情况下,确认对用户终端的终端特征的验证通过;在用户终端的终端序列信息无法匹配到序列号白名单中的序列号信息的情况下,确认对用户终端的终端特征的验证不通过。
需要说明的是,在进行用户终端验证之前,先在服务器中提前输入用户终端的序列号信息白名单,白名单中可以包含所有允许登录内网的用户终端序列号,每个用户终端设备对应唯一的序列号,该序列号可以通过用户终端***查询获得。
在登入***时,先向服务器发送连接验证请求,服务器响应用户终端发起的连接验证请求后,将用户终端读取到的序列信息也一并发送给服务器,服务器将该序列信息与提前录入的序列号信息白名单进行匹配,只有在白名单中记录的序列号对应的用户终端才可以验证请求成功,这样可以在很大程度上限制连接内网环境的设备,从而使得用户终端环境可控,避免用户终端被攻击成为跳板,进而使得企业内部网络被外来用户入侵。
步骤S102,在用户终端验证通过的情况下,获取用户终端传输的动态密码和静态密码,其中,动态密码是用户终端对目标用户进行生物特征识别通过的情况下得到的密码,静态密码是用户终端通过远程虚拟网络进行加密认证时得到的密码。
本发明实施例中,在用户终端验证通过之后,用户终端通过对目标用户进行生物特征识别得到动态密码,可选的,在获取动态密码时,包括:启动用户终端中预先安装的生物认证应用;采用生物认证应用对目标用户的下述至少之一的生物特征进行识别:人脸、指纹;在目标用户的生物特征识别通过的情况下,获取动态密码。
为避免静态密码被盗取导致外来用户登入内网,采用静态密码和实时动态密码结合验证的方式保证办公***的安全性。在用户终端安装生物认证APP,预先注册公司内部用户的生物特征信息,例如人脸(包括但不限于:五官信息、脸型信息等),指纹,虹膜。当目标用户想要登入内网时,在APP中进行生物认证识别,识别通过后,通过该APP获得动态密码(可以将识别通过信息发送至服务器,服务器分配动态密码)。
可选的,上述的动态密码的类型可以多种多样,例如,包含动态口令卡、动态口令牌、手机动态口令、图形码(例如,一维码、二维码)、URL链接地址等。
上述的静态密码可以是指通过用户终端获取的短信验证码或者通过邮箱等其他方式获取到的固定密码,该静态密码的类型包括但不限于:数字、字母、数字+字母、字符、数字+字符等。
步骤S103:验证动态密码和静态密码是否正确。
本实施例中,静态密码是用户终端在注册远程虚拟网络进行加密认证时输入的密码,由于用户个人习惯很容易泄露,因而本发明例中将动态密码和静态密码结合进行登录验证,在获取到用户终端生物认证识别动态密码后,将该动态密码和静态密码一起提供给服务器,服务器接收密码并进行验证。
步骤S104:在动态密码和静态密码都正确的情况下,允许用户终端接入内网。
当服务器接收到动态密码和静态密码后,对两者进行验证,只有在两者都正确的情况下才会允许用户接入内网。
本发明实施例中,在确定动态密码和静态密码都正确之后,还包括:控制用户终端的防护软件监控用户终端的终端运行状态和目标用户对用户终端的操作行为;在终端运行状态和/或操作行为出现异常的情况下,发出告警信息,并断开与用户终端的网络连接;在终端运行状态和操作行为都正常的情况下,允许用户终端接入内网。
需要说明的是,本实施例中的终端运行状态包括下述至少之一:终端补丁运行状态、防病毒软件运行状态,操作行为包括下述至少之一:病毒后门植入操作、终端信息扫描操作、上传脚本操作。
用户终端的防护软件对用户终端环境和用户终端行为进行监控,对环境的监控通过监控用户终端运行情况,监控用户终端补丁、防病毒等***告警与程序运行情况,有异常需立即上报监控信息,并断开远程办公连接。
同时,本实施例中还可以实现对用户终端行为的监控,当用户有超出权限的扫描、上传脚本等攻击行为时,上报监控信息并断开远程办公连接,通过对用户终端环境和行为的监控,提升内部办公***的安全性,进而解决相关技术中提升内部办公***安全要求不高,存在较多的安全漏洞,将内部办公***向外暴露带来被攻击风险的技术问题,达到提升企业内部办公***的安全性,减少安全漏洞,降低办公***对外暴露的技术效果。
图2是根据本发明实施例提供的一种信息验证的流程图,如图2所示,整个信息验证步骤包括:
第一步:在服务端录入设备序列号白名单与用户人脸识别特征;
第二步:用户发起连接,验证用户设备是否在设备白名单内;
第三步,判断用户设备是否在设备白名单,若是,执行第四步,若否,执行第九步;
第四步,通过序列白名单验证后,用户通过手机认证app,人脸识别后获取动态密码,加上其静态密码,实现多因素接入认证;
第五步,判断认证是否通过,若是,执行第六步,若否,执行第九步;
第六步,通过密码验证后,用户终端安控软件持续监控用户终端环境与用户行为,监控是否有被植入后门、代理或用户发起扫描,***等操作;
第七步,判断终端是否异常;若否,执行第八步,若是,执行第九步;
第八步,用户连接内网;
第九步,若有异常,则断开连接。
通过上述实施方式,实现了一种安全的远程办公接入的方法,可以解决企业内网办公应用向外暴露带来的风险,使用设备准入白名单的方式,限制可以连接内网环境的设备,提出通过手机人脸识别方式获取动态密码,加上静态密码相结合的多因素认证方式,解决静态密码可能被泄露的风险。
本实施例提供的信息验证方式,提出持续的运行环境监控与用户行为监控,解决远程办公场景中,用户终端可能被劫持带来的对内部***的攻击风险,提升内部办公***的安全性。
下面结合另一种可选的实施例来说明本发明。
实施例二
本实施例提供了一种信息验证***,该信息验证***所包含的服务器实现如上述实施例一中的各个实施步骤。下面分别对本实施例中控制***所包含的用户终端和服务器进行详细说明。
本发明实施例中,信息验证***包括:生物认证应用,对目标用户进行生物特征识别,并在生物特征识别通过的情况下,向服务器请求动态密码;用户终端,用于发起连接验证请求,并提供动态密码和静态密码至服务器,其中,静态密码是用户终端通过远程虚拟网络进行加密认证时得到的密码;服务器,执行实施例一任意一项的信息验证方法,解决相关技术中远程办公模式,接入***的认证因素较少,容易导致用户密码被攻击者钓鱼泄漏,安全性较低的技术问题。
其中,本实施例提供的用户终端可以是指用户使用的终端设备,用户通过用户终端可以远程连接至对应的服务器或者办公平台,实现远程办公;而连接验证请求,可以是指通过用户终端发起的远程办公接入请求,在用户终端发起连接验证请求后,服务器或者远程云端网络可以响应该请求,对用户终端和用户身份进行验证。
需要说明的是,在进行用户终端验证之前,先在服务器中提前输入用户终端的序列号信息白名单,白名单中可以包含所有允许登录内网的用户终端序列号,每个用户终端设备对应唯一的序列号,该序列号可以通过用户终端***查询获得。
在登入***时,先向服务器发送连接验证请求,服务器响应用户终端发起的连接验证请求后,将用户终端读取到的序列信息也一并发送给服务器,服务器将该序列信息与提前录入的序列号信息白名单进行匹配,只有在白名单中记录的序列号对应的用户终端才可以验证请求成功,这样可以在很大程度上限制连接内网环境的设备,从而使得用户终端环境可控,避免用户终端被攻击成为跳板,进而使得企业内部网络被外来用户入侵。
图3是根据本申请实施例提供的一种信息验证***用户终端架构图。如图3所示,该***用户终端包括:防护软件30,信息签名与加解密模块32,认证登录模块34,终端环境监控模块36,终端行为监控模块38,下面对该用户终端进行详细说明。
本发明实施例中,用户终端包括:防护软件30,读取用户终端的终端序列信息;信息签名与加解密模块32,用于将待传输的所有信息进行签名后加密发送,并对所述服务器发送的信息进行解密;认证登录模块34,用于提供动态密码和静态密码至服务器,并在接收到目标用户的连接指令的情况下,向服务器发起连接验证请求;终端环境监控模块36,用于监控用户终端的终端运行状态;终端行为监控模块38,用于监控目标用户对用户终端的操作行为。
上述信息签名与加解密模块32,可以将待传输的所有信息进行签名后加密发送,并处理服务端来包信息的解密;同时,用户终端还可以通过用户终端序列号读取发送模块读取用户终端序列号信息并通过信息签名加密发送模块上送至服务器。
上述的认证登录模块34,可以实现用户认证登录,用户通过用户终端安装的认证应用APP,进行人脸识别后,获得服务器生成的一次性动态密码,加上其用户本身的静态密码,组成人脸识别、同态密码和静态密码的多因素认证,登录远程接入***。
上述的终端环境监控模块,可以监控用户终端运行情况,监控用户终端补丁、防病毒等***告警与程序运行情况,有异常即上报监控信息并断开远程办公连接。
上述的终端行为监控模块,可以监控用户终端操作行为,当用户有超出权限的扫描、上传脚本等攻击行为时,上报监控信息并断开远程办公连接。
图4是根据本申请实施例提供的另一种信息验证***服务器架构图;如图4所示,该***服务端包括:服务端签名加解密模块40,序列号处理模块42,用户认证模块44,终端环境管理模块46,终端行为管理模块48,下面对该服务端进行详细说明。
本发明实施例中,服务器包括:服务端签名加解密模块40,将待传输的所有信息进行签名后加密发送,并对用户终端发送的信息进行解密;序列号处理模块42,用于将用户终端的终端序列信息与序列号白名单进行匹配,允许序列号白名单内的用户终端接入内网;用户认证模块44,关联生物认证应用,在生物特征识别通过的情况下,生成动态密码,并将动态密码发送至生物认证应用,同时,验证用户终端发送的动态密码和静态密码是否正确;终端环境管理模块46,用于处理用户终端的终端环境监控模块发送的告警信息;终端行为管理模块48,用于处理用户终端的终端行为监控模块发送的告警信息。
上述的服务端签名加解密模块40,可以将待传输的所有信息进行签名后加密发送,并处理用户终端来包信息的解密,同时,服务器可以通过指定的序列号处理模块,对预先输入用户终端序列号形成接入白名单,并对用户终端上送过来的其本机序列号进行比对,只允许白名单内用户终端接入,作为设备准入。
上述的用户认证模块44,可以联动前述的认证应用APP,在用户使用终端认证APP进行人脸识别通过后,生成一次性动态密码发送给终端认证APP,并验证用户终端上送过来的动态密码和静态密码。
上述的终端环境管理模块,可以接收用户终端环境监控模块上送的告警信息,处理用户终端运行情况,监控用户终端补丁、防病毒等***告警与程序运行情况,发送管理员处理用户环境问题。
上述的用户终端行为管理模块,可以接收用户终端行为监控模块上送的告警信息,监控用户终端操作行为,当用户有超出权限的扫描、上传脚本等攻击行为时,发送管理员处理用户行为问题。
本实施例提供信息验证***,通过在服务器提前输入用户终端的序列号信息白名单,当用户终端连接企业内部网络时,用户终端安控软件读取本机序列号信息并上送,与提前在服务器输入的白名单进行匹配,只有序列号一致的终端能被允许进入装入***安控软件,实现只有企业认可的终端才能接入的设备准入,其他攻击者所使用设备,无法接入。接着用户需要使用终端认证APP进行人脸识别,获取动态密码,加上自己掌握的静态密码,完成多因素的登录认证,该安控软件持续监控用户终端环境与用户终端行为,包括监控用户终端补丁、防病毒等***告警与程序运行情况,监控用户终端操作行为,有异常马上上传告警并中断连接。同时在用户终端与服务端间,采用签名与加解密隧道传输,保障传输中的机密性、完整性与防抵赖性。
根据本发明实施例的另一方面,还提供了一种计算机可读存储介质,计算机可读存储介质包括存储的计算机程序,其中,在计算机程序运行时控制计算机可读存储介质所在设备执行上述任意一项的信息验证方法。
根据本发明实施例的另一方面,还提供了一种电子设备,包括:处理器;以及存储器,用于存储处理器的可执行指令;其中,处理器配置为经由执行可执行指令来执行上述任意一项的信息验证方法。
图5是根据本发明实施例的一种信息验证方法的电子设备(或移动设备)的硬件结构框图。如图5所示,电子设备可以包括一个或多个(图中采用502a、502b,……,502n来示出)处理器502(处理器502可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器504。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、键盘、电源和/或相机。本领域普通技术人员可以理解,图5所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,电子设备还可包括比图5中所示更多或者更少的组件,或者具有与图5所示不同的配置。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种信息验证方法,其特征在于,包括:
响应用户终端发起的连接验证请求,对所述用户终端的终端特征进行验证;
在所述用户终端验证通过的情况下,获取所述用户终端传输的动态密码和静态密码,其中,所述动态密码是所述用户终端对目标用户进行生物特征识别通过的情况下得到的密码,所述静态密码是所述用户终端通过远程虚拟网络进行加密认证时得到的密码;
验证所述动态密码和所述静态密码是否正确;
在所述动态密码和所述静态密码都正确的情况下,允许所述用户终端接入内网。
2.根据权利要求1所述的方法,其特征在于,响应用户终端发起的连接验证请求,对所述用户终端的终端特征进行验证的步骤,包括:
获取所述用户终端的终端序列信息,其中,所述终端序列信息是采用所述用户终端中预先安装的防护软件读取到的;
将所述用户终端的终端序列信息与序列号白名单进行匹配,得到匹配结果;
在所述用户终端的终端序列信息匹配到所述序列号白名单中的序列号信息的情况下,确认对所述用户终端的终端特征的验证通过;
在所述用户终端的终端序列信息无法匹配到所述序列号白名单中的序列号信息的情况下,确认对所述用户终端的终端特征的验证不通过。
3.根据权利要求1所述的方法,其特征在于,在获取动态密码时,包括:
启动所述用户终端中预先安装的生物认证应用;
采用所述生物认证应用对所述目标用户的下述至少之一的生物特征进行识别:人脸、指纹;
在所述目标用户的生物特征识别通过的情况下,获取所述动态密码。
4.根据权利要求1所述的方法,其特征在于,在确定所述动态密码和所述静态密码都正确之后,还包括:
控制所述用户终端的防护软件监控所述用户终端的终端运行状态和所述目标用户对所述用户终端的操作行为;
在所述终端运行状态和/或所述操作行为出现异常的情况下,发出告警信息,并断开与所述用户终端的网络连接;
在所述终端运行状态和所述操作行为都正常的情况下,允许所述用户终端接入内网。
5.根据权利要求4所述的方法,其特征在于,所述终端运行状态包括下述至少之一:终端补丁运行状态、防病毒软件运行状态,所述操作行为包括下述至少之一:病毒后门植入操作、终端信息扫描操作、上传脚本操作。
6.一种信息验证***,其特征在于,包括:
生物认证应用,对目标用户进行生物特征识别,并在生物特征识别通过的情况下,向服务器请求动态密码;
用户终端,用于发起连接验证请求,并提供所述动态密码和静态密码至所述服务器,其中,所述静态密码是所述用户终端通过远程虚拟网络进行加密认证时得到的密码;
所述服务器,执行权利要求1至5中任意一项所述的信息验证方法。
7.根据权利要求6所述的***,其特征在于,所述用户终端包括:
防护软件,读取所述用户终端的终端序列信息;
信息签名与加解密模块,用于将待传输的所有信息进行签名后加密发送,并对所述服务器发送的信息进行解密;
认证登录模块,用于提供所述动态密码和所述静态密码至所述服务器,并在接收到所述目标用户的连接指令的情况下,向所述服务器发起所述连接验证请求;
终端环境监控模块,用于监控所述用户终端的终端运行状态;
终端行为监控模块,用于监控所述目标用户对所述用户终端的操作行为。
8.根据权利要求7所述的***,其特征在于,所述服务器包括:
服务端签名加解密模块,将待传输的所有信息进行签名后加密发送,并对所述用户终端发送的信息进行解密;
序列号处理模块,用于将所述用户终端的终端序列信息与序列号白名单进行匹配,允许所述序列号白名单内的用户终端接入内网;
用户认证模块,关联所述生物认证应用,在生物特征识别通过的情况下,生成所述动态密码,并将所述动态密码发送至所述生物认证应用,同时,验证所述用户终端发送的所述动态密码和所述静态密码是否正确;
终端环境管理模块,用于处理所述用户终端的终端环境监控模块发送的告警信息;
终端行为管理模块,用于处理所述用户终端的终端行为监控模块发送的告警信息。
9.一种计算机可读存储介质,其特征在于,计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行权利要求1至5中任意一项所述的信息验证方法。
10.一种电子设备,其特征在于,包括一个或多个处理器和存储器,所述存储器用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1至5中任意一项所述的信息验证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210911193.0A CN115134165A (zh) | 2022-07-29 | 2022-07-29 | 信息验证方法及***、存储介质、电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210911193.0A CN115134165A (zh) | 2022-07-29 | 2022-07-29 | 信息验证方法及***、存储介质、电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115134165A true CN115134165A (zh) | 2022-09-30 |
Family
ID=83385762
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210911193.0A Pending CN115134165A (zh) | 2022-07-29 | 2022-07-29 | 信息验证方法及***、存储介质、电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115134165A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101714918A (zh) * | 2009-10-23 | 2010-05-26 | 浙江维尔生物识别技术股份有限公司 | 一种登录vpn的安全***以及登录vpn的安全方法 |
| CN109426704A (zh) * | 2017-08-31 | 2019-03-05 | 京东方科技集团股份有限公司 | 物品使用控制方法、验证设备、终端设备以及*** |
| CN111818034A (zh) * | 2020-06-30 | 2020-10-23 | 中国工商银行股份有限公司 | 网络访问控制方法、装置、电子设备和介质 |
| CN112671799A (zh) * | 2021-01-08 | 2021-04-16 | 国网安徽省电力有限公司信息通信分公司 | 一种电力信息内网的安全防护方法及装置 |
| CN113079134A (zh) * | 2021-03-19 | 2021-07-06 | 南方电网数字电网研究院有限公司 | 移动终端接入方法、装置、计算机设备和介质 |
-
2022
- 2022-07-29 CN CN202210911193.0A patent/CN115134165A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101714918A (zh) * | 2009-10-23 | 2010-05-26 | 浙江维尔生物识别技术股份有限公司 | 一种登录vpn的安全***以及登录vpn的安全方法 |
| CN109426704A (zh) * | 2017-08-31 | 2019-03-05 | 京东方科技集团股份有限公司 | 物品使用控制方法、验证设备、终端设备以及*** |
| CN111818034A (zh) * | 2020-06-30 | 2020-10-23 | 中国工商银行股份有限公司 | 网络访问控制方法、装置、电子设备和介质 |
| CN112671799A (zh) * | 2021-01-08 | 2021-04-16 | 国网安徽省电力有限公司信息通信分公司 | 一种电力信息内网的安全防护方法及装置 |
| CN113079134A (zh) * | 2021-03-19 | 2021-07-06 | 南方电网数字电网研究院有限公司 | 移动终端接入方法、装置、计算机设备和介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2332089B1 (en) | Authorization of server operations | |
| EP2314090B1 (en) | Portable device association | |
| US7096503B1 (en) | Network-based risk-assessment tool for remotely detecting local computer vulnerabilities | |
| US20150143482A1 (en) | Secure Computer Architectures, Systems, and Applications | |
| US20190026456A1 (en) | Methods and Apparatus for Authentication of Joint Account Login | |
| Ayub et al. | Empirical study of PLC authentication protocols in industrial control systems | |
| CN102215221A (zh) | 从移动设备对计算机的安全远程唤醒、引导及登录的方法和*** | |
| CN107567630A (zh) | 受信输入/输出设备的隔离 | |
| WO2016188335A1 (zh) | 用户数据的访问控制方法、装置及*** | |
| US10986130B1 (en) | Honeypot opaque credential recovery | |
| Oppliger et al. | Internet banking: Client-side attacks and protection mechanisms | |
| CN110781465A (zh) | 基于可信计算的bmc远程身份验证方法及*** | |
| CN111901303A (zh) | 设备认证方法和装置、存储介质及电子装置 | |
| Alshar'e et al. | A user protection model for the trusted computing environment | |
| Franklin et al. | Mobile device security corporate-owned personally-enabled (cope) | |
| CN116881936A (zh) | 可信计算方法及相关设备 | |
| KR101404537B1 (ko) | 패스워드 자동 변경을 통한 서버 접근 통제 시스템 및 그 방법 | |
| CN115134165A (zh) | 信息验证方法及***、存储介质、电子设备 | |
| CN108574657B (zh) | 接入服务器的方法、装置、***以及计算设备和服务器 | |
| US11102198B2 (en) | Portable security tool for user authentication | |
| Bicakci et al. | Towards zero trust: the design and implementation of a secure end-point device for remote working | |
| CN114070571A (zh) | 一种建立连接的方法、装置、终端及存储介质 | |
| Karthiga et al. | Enhancing performance of user authentication protocol with resist to password reuse attacks | |
| Dhondge | Lifecycle IoT Security for Engineers | |
| Koh et al. | BLAP: Bluetooth Link Key Extraction and Page Blocking Attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |