CN109587143A - 基于主路的二次认证方法和系统 - Google Patents

Abstract

本发明提供了一种基于主路的二次认证方法和系统，涉及信息安全的技术领域，包括获取业务系统发送的一次认证页面信息，并抓取一次认证页面信息的相应特征值；将特征值与配置参数进行对比验证，在验证成功的情况下，将一次认证页面的协议头和获取的采集脚本发送至客户端，以使客户端根据采集脚本采集风险信息，将风险信息发送至网关；对风险信息进行分析，得到风险值；将风险值与阈值进行比较，在风险值超过阈值的情况下，根据风险值发送相应的JSON串和认证逻辑至客户端，以使客户端根据JSON串和认证逻辑，得到二次认证页面信息，无需对业务系统中的代码进行改造，进而实现二次认证的目的。

Description

基于主路的二次认证方法和系统

技术领域

本发明涉及信息安全的技术领域，尤其是涉及一种基于主路的二次认证方法和系统。

背景技术

目前，很多业务系统仍采用预设认证方式对用户进行一次认证，但出于组织要求或内部安全需要，往往要求加强已上线业务系统的二次认证，形式上是在已有一次认证方式的前提下追加新的二次认证方式，当两种认证方式都通过时，用户才能进入业务系统。

从集成接入的技术上，现有技术普遍的做法是在业务上定制开发或者将软件开发工具包SDK(Software Development Kit)集成到业务系统中，通过SDK工具包与业务系统间的数据通信，在业务系统层面控制用户的认证方式和通行条件，上述方法针对每次二次认证，都需要对相应业务系统改造，通过改造代码实现的二次认证方式稳定性差，且需要增加业务系统开发人员和改造人员的工作难度。

发明内容

有鉴于此，本发明的目的在于提供基于主路的二次认证方法和系统，无需对业务系统中的代码进行改造，进而实现二次认证的目的。

第一方面，本发明实施例提供了一种基于主路的二次认证方法，应用于网关，包括：

获取业务系统发送的一次认证页面信息，并抓取所述一次认证页面信息的相应特征值；

将所述特征值与配置参数进行对比验证，在验证成功的情况下，将所述一次认证页面的协议头和获取的采集脚本发送至客户端，以使所述客户端根据所述采集脚本采集风险信息，将所述风险信息发送至所述网关；

对所述风险信息进行分析，得到风险值；

将所述风险值与阈值进行比较，在所述风险值超过所述阈值的情况下，根据所述风险值发送相应的JSON(Object Notation，JS对象简谱)串和认证逻辑至所述客户端，以使所述客户端根据所述JSON串和所述认证逻辑，得到二次认证页面信息。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，所述在所述风险值超过所述阈值的情况下，根据所述风险值发送相应的JSON串和认证逻辑至所述客户端包括：

在所述风险值超过所述阈值的情况下，根据所述风险值对应的风险等级得到相应的JSON串和认证逻辑，并将所述JSON串和所述认证逻辑发送至所述客户端。

结合第一方面，本发明实施例提供了第一方面的第二种可能的实施方式，其中，所述风险信息包括运行时间、风险行为、物理信息、运行信息、API接口中的几种或多种。

结合第一方面，本发明实施例提供了第一方面的第三种可能的实施方式，其中，所述获取业务系统发送的一次认证页面信息，并抓取所述一次认证页面信息的相应特征值包括：

获取业务系统发送的一次认证页面信息；

根据所述一次认证页面信息对应的业务系统的类型，从所述一次认证页面信息中抓取与所述类型相对应的特征值。

结合第一方面，本发明实施例提供了第一方面的第四种可能的实施方式，其中，在所述获取业务系统发送的一次认证页面信息之前，所述方法还包括：

获取所述客户端发送的一次认证请求，将所述一次认证请求发送至所述业务系统；

接收所述业务系统发送的一次认证页面信息，将所述一次认证页面信息发送至所述客户端，以使所述客户端输入一次认证凭证，并将所述一次认证凭证发送至所述网关；

将所述一次认证凭证转发给所述业务系统，以使所述业务系统对所述一次认证凭证进行验证。

结合第一方面，本发明实施例提供了第一方面的第五种可能的实施方式，其中，在所述客户端得到二次认证页面信息之后，所述方法还包括：

接收所述客户端发送的二次认证凭证，将所述二次认证凭证与预先录入的认证凭证进行比对，其中，所述二次认证凭证与所述认证逻辑相对应。

结合第一方面，本发明实施例提供了第一方面的第六种可能的实施方式，其中，所述方法还包括：

根据所述认证逻辑对应的所述风险值的等级，采用不同的所述二次认证凭证，所述二次认证凭证包括人脸信息、指纹信息、短信验证码、声音信息、邮件验证码中的一种或多种。

结合第一方面，本发明实施例提供了第一方面的第七种可能的实施方式，其中，所述方法还包括：

在所述风险值不超过所述阈值的情况下，发送操作指令至所述客户端，以使所述客户端获取所述一次认证页面信息。

结合第一方面，本发明实施例提供了第一方面的第八种可能的实施方式，其中，所述方法还包括：

在验证失败的情况下，将所述一次认证页面信息发送给所述客户端。

第二方面，本发明实施例还提供一种基于主路的二次认证系统，包括：

特征值抓取模块，用于获取业务系统发送的一次认证页面信息，并抓取所述一次认证页面信息的相应特征值；

验证模块，用于将所述特征值与配置参数进行对比验证，在验证成功的情况下，将所述一次认证页面的协议头和获取的采集脚本发送至客户端，以使所述客户端根据所述采集脚本采集风险信息，将所述风险信息发送至网关；

分析比对模块，用于对所述风险信息进行分析，得到风险值；

比较模块，用于将所述风险值与阈值进行比较，在所述风险值超过所述阈值的情况下，根据所述风险值发送相应的JSON串和认证逻辑至所述客户端，以使所述客户端根据所述JSON串和所述认证逻辑，得到二次认证页面信息。

本发明实施例提供了一种基于主路的二次认证方法和系统，通过抓取一次认证页面信息的相应特征值；将特征值与配置参数进行对比验证，在验证成功的情况下，将一次认证页面的协议头和获取的采集脚本发送至客户端，对风险信息进行分析，得到风险值，将风险值与阈值进行比较，在风险值超过阈值的情况下，根据风险值发送相应的JSON串和认证逻辑至客户端，以使客户端根据JSON串和认证逻辑，得到二次认证页面信息，无需对业务系统中的代码进行改造，进而实现二次认证的目的；

本发明的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的基于主路的二次认证方法信令图；

图2为本发明实施例提供的基于主路的二次认证方法流程图之一；

图3为本发明实施例提供的基于主路的二次认证方法流程图之二。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

现有二次认证方法是对目标业务系统进行代码改造，深度耦合，主要缺点有：

1.改造的工作量大，对改造人员要求高；

2.必须要有业务系统开发人员配合，如果系统无开发人员维护，则无法进行；

3.在应用系统改造过程中，代码容易产生关联蝴蝶效应，导致原本稳定的系统，因为后台功能代码的修改而丧失二次认证方式；

4.如果二次认证的方式呈现周期性特点，那么每次从一次认证切到二次认证或二次认证切到一次认证都不再方便，甚至需要停止服务一段时间；

5.当多个系统需要接入二次认证，那么每个系统都需要改造一次；

基于此，本发明实施例提供的一种基于主路的二次认证方法和系统，无需对业务系统中的代码进行改造，进而实现二次认证的目的。

为便于对本实施例进行理解，首先对本发明实施例所公开的一种基于主路的二次认证方法和系统进行详细介绍；

图1为本发明实施例提供的基于主路的二次认证方法信令图。

参照图1，本发明实施例中网关可以主路方式与业务系统串联，串联后，用户的所有认证请求都经过网关转发到业务系统，业务系统的请求应答也通过网关转发回客户端,业务系统通过主路接入到网关，可以使用反向代理等手段。

步骤S101，客户端将一次认证请求发送给网关；

步骤S102，网关将一次认证请求发送给业务系统；

步骤S103，业务系统将一次认证页面信息发送至网关；

步骤S104，网关将一次认证页面信息发送至客户端；

步骤S105，用户于客户端输入一次认证凭证；

步骤S106，客户端将一次认证凭证发送至网关；

步骤S107，网关将一次认证凭证转发给业务系统；

步骤S108，业务系统对一次认证凭证进行验证；

步骤S109，业务系统将一次认证页面的验证信息发送给网关，判断验证信息是否成功，若成功，则跳转到步骤S1091，若失败，则跳转到步骤S1092；

步骤S1091，网关在验证成功的情况下，将一次认证页面的协议头和从网关后台获取的采集脚本发送至客户端；

步骤S1092，网关在验证失败的情况下，将一次认证页面信息发送给客户端；

步骤S110，客户端根据采集脚本采集风险信息，将风险信息发送至网关；

步骤S111，网关对风险信息进行分析，得到风险值，将风险值与阈值进行比较，判断风险值是否超过阈值，若是，则跳转到步骤S1114，若否，则跳转到步骤S1111；

步骤S1111，在风险值未超过阈值的情况下，网关发送第一操作指令至客户端；

步骤S1112，客户端根据第一操作指令获取一次认证页面信息；

步骤S1114，在风险值超过阈值的情况下，网关根据风险值发送相应的JSON串和认证逻辑至客户端，

步骤S1115，客户端根据JSON串和认证逻辑，得到二次认证页面信息；

步骤S112，客户端发送用户输入的二次认证凭证至网关；

步骤S113，网关将二次认证凭证与预先录入的认证凭证进行比对，判断比对是否成功，若成功，则跳转到步骤S1134，若失败，则跳转到步骤S1131；

步骤S1131，在失败的情况下，网关发送第二操作指令至客户端；

步骤S1132，客户端根据第二操作指令获取二次认证页面信息；

步骤S1134，在成功的情况下，网关发送第三操作指令至客户端；

步骤S1135，客户端根据第三操作指令跳转到业务系统；

本发明实施例无需应用系统开发人员配合改造，增强了代码独立性强不需要部署到业务系统中，部署灵活，与原业务代码无耦合性，可维护性强，可随时通过配置决定是否启用二次认证，可以快速为多个系统增加二次认证，可通过单个网关同时对多个客户端和业务系统的认证过程进行接入。

进一步的，参照图2，在上述实施例的基础上，本发明实施例还提供一种执行主体为网关的基于主路的二次认证方法，包括以下步骤：

步骤S210，获取业务系统发送的一次认证页面信息，并抓取一次认证页面信息的相应特征值；

这里，网关获取业务系统发送的一次认证页面信息，由于业务系统的种类多样，与相应种类业务系统对应的一次认证页面也不相同，在本发明实施例中根据一次认证页面信息对应的业务系统的类型，选取相应的特征值抓取方式，从一次认证页面信息中抓取与类型相对应的特征值，如，当业务系统为类型A时，其所对应的一次认证页面信息中特征值为“OK”；当业务系统为类型B时，其所对应的一次认证页面信息中特征值为一次认证页面信息特征值，即根据该特征值能够还原当前一次认证页面；

步骤S220，将特征值与预先配置参数进行对比验证，在验证成功的情况下，将一次认证页面的协议头和获取的采集脚本发送至客户端，以使客户端根据采集脚本采集风险信息，将风险信息发送至网关；

其中，在网关预先设置配置参数，配置参数可理解为认证成功标识，用于识别业务系统对于客户端是否进行成功认证；如，判断当前一次认证页面抓取的特征值是否与配置参数中的一次认证页面应该出现的成功标识相一致，若一致，则抓取的特征值与配置参数的成功标识相符，则说明客户端通过了业务系统的一次认证，验证成功，采用BODY包体替换方式实现二次认证页面，将一次认证页面的协议头和获取的采集脚本发送至客户端，客户端根据采集脚本采集包括运行时间、风险行为、物理信息、运行信息、API接口中的几种或多种的风险信息，将风险信息发送至网关；

这里，如果不一致，则说明客户端未通过业务系统的认证，在未通过的情况下，网关无需对一次认证页面信息进行处理，直接转发包括认证失败信息的一次认证页面信息即可，在验证失败的情况下，将一次认证页面信息发送给客户端，以使客户端将这个验证失败的一次认证页面显示出来；

步骤S230，对风险信息进行分析，得到风险值；

步骤S240，将风险值与阈值进行比较，在风险值超过阈值的情况下，根据风险值对应的风险等级得到相应的JSON串和认证逻辑，并将JSON串和认证逻辑发送至客户端，以使客户端根据JSON串和认证逻辑，得到二次认证页面信息；

这里，在风险值不超过阈值的情况下，发送操作指令至客户端，以使客户端获取一次认证页面信息，此时，一次认证页面可能存在风险，但是风险值并没有超过阈值，即此时无需再对客户端进行二次认证，将一次认证成功的一次认证页面于客户端显示出来即可。

在实际应用的优选实施例中，在客户端得到二次认证页面信息之后，方法还包括：

接收客户端发送的二次认证凭证，将二次认证凭证与预先录入的认证凭证进行比对，其中，二次认证凭证与认证逻辑相对应。

进一步的，根据不同的风险值等级，采用不同的认证逻辑、用户提供不同级别的二次认证凭证，进一步加强认证安全性能，上述方法还包括：

根据认证逻辑对应的风险值的等级，采用不同的二次认证凭证，二次认证凭证包括人脸信息、指纹信息、短信验证码、声音信息、邮件验证码中的一种或多种。

在风险值超过阈值的情况下，客户端需要再进行二次认证，此次认证过程由客户端和网关直接交互，一般存在时间限制，即用户需要在预设时间内完成认证过程；

需要说明的是，客户端初次获取二次凭证时，将二次凭证录入网关中，当用户于客户端进行二次认证时，将此时获取的二次凭证发送至网关进行认证，在认证通过，发送跳转指令给客户端；

在二次认证凭证通过后，客户端根据跳转指令跳转到此前的登录成功后的响应页面(验证成功的第一认证页面)，因为此前的一次认证已经与业务系统建立了会话，所以再次跳转可以继续借助网关与业务系统完成后续交互；

其中，在上述实施例中，客户端可根据跳转指令跳转到第一认证页面，也可以根据网关发送的从业务系统接收到的第一认证页面信息，将第一认证页面进行显示；

如图3所示，在一些可选的优选实施例中，在步骤S210之前，方法还包括：

步骤S202，获取客户端发送的一次认证请求，将一次认证请求发送至业务系统；

步骤S204，接收业务系统发送的一次认证页面信息，将一次认证页面信息发送至客户端，以使客户端输入一次认证凭证，并将一次认证凭证发送至网关；

步骤S206，将一次认证凭证转发给业务系统，以使业务系统对一次认证凭证进行验证。

这里的一次认证页面信息包括登录页面信息，通过网关的接入，可在客户端看到登录页面(一次认证页面)，用户输入业务系统的一次认证凭证包括通过用户名和密码进行验证；

本发明实施例还提供一种基于主路的二次认证系统，应用于网关侧，包括：

特征值抓取模块，用于获取业务系统发送的一次认证页面信息，并抓取一次认证页面信息的相应特征值；

验证模块，用于将特征值与配置参数进行对比验证，在验证成功的情况下，将一次认证页面的协议头和获取的采集脚本发送至客户端，以使客户端根据采集脚本采集风险信息，将风险信息发送至网关；

分析比对模块，用于对风险信息进行分析，得到风险值；

比较模块，用于将风险值与阈值进行比较，在风险值超过阈值的情况下，根据风险值发送相应的JSON串和认证逻辑至客户端，以使客户端根据JSON串和认证逻辑，得到二次认证页面信息。

本发明实施例提供的基于主路的二次认证系统，与上述实施例提供的基于主路的二次认证方法具有相同的技术特征，所以也能解决相同的技术问题，达到相同的技术效果。

本发明实施例所提供的基于主路的二次认证方法和系统的计算机程序产品，包括存储了程序代码的计算机可读存储介质，所述程序代码包括的指令可用于执行前面方法实施例中所述的方法，具体实现可参见方法实施例，在此不再赘述。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统和装置的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

另外，在本发明实施例的描述中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

本发明实施例还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现上述实施例提供的基于主路的二次认证方法的步骤。

本发明实施例还提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器运行时执行上述实施例的基于主路的二次认证方法的步骤。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims (10)

1.一种基于主路的二次认证方法，其特征在于，应用于网关，包括：

获取业务系统发送的一次认证页面信息，并抓取所述一次认证页面信息的相应特征值；

将所述特征值与配置参数进行对比验证，在验证成功的情况下，将所述一次认证页面的协议头和获取的采集脚本发送至客户端，以使所述客户端根据所述采集脚本采集风险信息，将所述风险信息发送至所述网关；

对所述风险信息进行分析，得到风险值；

将所述风险值与阈值进行比较，在所述风险值超过所述阈值的情况下，根据所述风险值发送相应的JSON串和认证逻辑至所述客户端，以使所述客户端根据所述JSON串和所述认证逻辑，得到二次认证页面信息。

2.根据权利要求1所述的基于主路的二次认证方法，其特征在于，所述在所述风险值超过所述阈值的情况下，根据所述风险值发送相应的JSON串和认证逻辑至所述客户端包括：

在所述风险值超过所述阈值的情况下，根据所述风险值对应的风险等级得到相应的JSON串和认证逻辑，并将所述JSON串和所述认证逻辑发送至所述客户端。

3.根据权利要求1或2所述的基于主路的二次认证方法，其特征在于，所述风险信息包括运行时间、风险行为、物理信息、运行信息、API接口中的几种或多种。

4.根据权利要求1所述的基于主路的二次认证方法，其特征在于，所述获取业务系统发送的一次认证页面信息，并抓取所述一次认证页面信息的相应特征值包括：

获取业务系统发送的一次认证页面信息；

根据所述一次认证页面信息对应的业务系统的类型，从所述一次认证页面信息中抓取与所述类型相对应的特征值。

5.根据权利要求1所述的基于主路的二次认证方法，其特征在于，在所述获取业务系统发送的一次认证页面信息之前，所述方法还包括：

获取所述客户端发送的一次认证请求，将所述一次认证请求发送至所述业务系统；

接收所述业务系统发送的一次认证页面信息，将所述一次认证页面信息发送至所述客户端，以使所述客户端输入一次认证凭证，并将所述一次认证凭证发送至所述网关；

将所述一次认证凭证转发给所述业务系统，以使所述业务系统对所述一次认证凭证进行验证。

6.根据权利要求1所述的基于主路的二次认证方法，其特征在于，在所述客户端得到二次认证页面信息之后，所述方法还包括：

接收所述客户端发送的二次认证凭证，将所述二次认证凭证与预先录入的认证凭证进行比对，其中，所述二次认证凭证与所述认证逻辑相对应。

7.根据权利要求6所述的基于主路的二次认证方法，其特征在于，所述方法还包括：

根据所述认证逻辑对应的所述风险值的等级，采用不同的所述二次认证凭证，所述二次认证凭证包括人脸信息、指纹信息、短信验证码、声音信息、邮件验证码中的一种或多种。

8.根据权利要求1所述的基于主路的二次认证方法，其特征在于，所述方法还包括：

在所述风险值不超过所述阈值的情况下，发送操作指令至所述客户端，以使所述客户端获取所述一次认证页面信息。

9.根据权利要求1所述的基于主路的二次认证方法，其特征在于，所述方法还包括：

在验证失败的情况下，将所述一次认证页面信息发送给所述客户端。

10.一种基于主路的二次认证系统，其特征在于，包括：

特征值抓取模块，用于获取业务系统发送的一次认证页面信息，并抓取所述一次认证页面信息的相应特征值；

验证模块，用于将所述特征值与配置参数进行对比验证，在验证成功的情况下，将所述一次认证页面的协议头和获取的采集脚本发送至客户端，以使所述客户端根据所述采集脚本采集风险信息，将所述风险信息发送至网关；

分析比对模块，用于对所述风险信息进行分析，得到风险值；

比较模块，用于将所述风险值与阈值进行比较，在所述风险值超过所述阈值的情况下，根据所述风险值发送相应的JSON串和认证逻辑至所述客户端，以使所述客户端根据所述JSON串和所述认证逻辑，得到二次认证页面信息。