CN113472716A - 系统访问方法、网关设备、服务器、电子设备及存储介质 - Google Patents

系统访问方法、网关设备、服务器、电子设备及存储介质 Download PDF

Info

Publication number
CN113472716A
CN113472716A CN202010238686.3A CN202010238686A CN113472716A CN 113472716 A CN113472716 A CN 113472716A CN 202010238686 A CN202010238686 A CN 202010238686A CN 113472716 A CN113472716 A CN 113472716A
Authority
CN
China
Prior art keywords
user
authenticated
user authentication
target system
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010238686.3A
Other languages
English (en)
Other versions
CN113472716B (zh
Inventor
郑磊
余树仪
周华
方嘉宇
董航
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Internet Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Internet Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Internet Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202010238686.3A priority Critical patent/CN113472716B/zh
Publication of CN113472716A publication Critical patent/CN113472716A/zh
Application granted granted Critical
Publication of CN113472716B publication Critical patent/CN113472716B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例公开了一种目标系统访问方法,包括:接收用户终端发送的待认证用户的目标系统访问请求,根据该请求生成并发送用户认证请求至用户认证服务器,以使其向待认证用户对应的通信设备发送用户认证数据;接收用户认证服务器返回的根据通信设备基于用户认证数据返回的认证应答数据生成的认证结果信息;若认证通过,则为待认证用户生成并发送用于访问目标系统的安全特征码至用户终端。本发明实施例中,待认证用户访问目标系统时,能够通过用户认证服务器对待认证用户进行一次认证,并向待认证用户发送安全特征码,使得用户终端基于安全特征码访问目标系统,达到对用户终端二次认证的效果,通过多次认证操作,能够提高访问目标系统的安全性。

Description

系统访问方法、网关设备、服务器、电子设备及存储介质
技术领域
本文件涉及信息安全、业务支撑及访问安全领域,尤其涉及一种系统访问方法、网关设备、服务器、电子设备及存储介质。
背景技术
通常情况下,用户终端向目标系统发出访问请求后,目标系统需要对使用该用户终端的用户进行认证,根据认证结果判断是否允许该用户终端访问目标系统。
现有技术中,目标系统通常接收用户终端发送的用户访问信息,并判断用户访问信息是否正确,若正确,则允许用户访问,并且允许用户访问目标系统。然而该种方式中,目标系统仅依靠用户的访问信息对用户进行验证,安全性较低,在用户的访问信息被他人窃取的情况下,窃取用户同样可以访问目标系统,因此,需要一种技术方案,以提高访问目标系统的安全性。
发明内容
本发明一个实施例的目的是提供一种目标系统访问方法、网关设备、服务器、电子设备及存储介质,以解决访问目标系统安全性较低的问题。
为解决上述技术问题,本发明一个实施例是这样实现的:
第一方面,本发明实施例提供了一种目标系统访问方法,应用于目标系统的网关设备,该方法包括:接收用户终端发送的待认证用户的目标系统访问请求,根据目标系统访问请求生成用户认证请求并发送至目标系统的用户认证服务器,以使用户认证服务器向待认证用户对应的通信设备发送用户认证数据;接收用户认证服务器返回的用户认证结果信息;用户认证结果信息由用户认证服务器根据通信设备基于用户认证数据返回的认证应答数据生成;若用户认证结果信息表示待认证用户认证通过,则为待认证用户生成安全特征码,将安全特征码发送至用户终端,安全特征码用于用户终端访问目标系统。
第二方面,本发明实施例提供了一种目标系统访问方法,应用于目标系统的用户认证服务器,该方法包括:接收目标系统的网关设备发送的待认证用户的用户认证请求;用户认证请求由网关设备基于待认证用户的用户终端的目标系统访问请求生成;根据用户认证请求,生成用户认证数据并发送至待认证用户对应的通信设备;接收通信设备返回的认证应答数据,根据认证应答数据生成用户认证结果信息并发送至网关设备,以使网关设备在认证结果信息表示待认证用户认证通过后为待认证用户生成安全特征码,安全特征码用于用户终端访问目标系统。
第三方面,本发明实施例提供了一种网关设备,包括:请求收发模块,用于接收用户终端发送的待认证用户的目标系统访问请求,根据目标系统访问请求生成用户认证请求并发送至目标系统的用户认证服务器,以使用户认证服务器向待认证用户对应的通信设备发送用户认证数据;认证结果接收模块,用于接收用户认证服务器返回的用户认证结果信息;用户认证结果信息由用户认证服务器根据通信设备基于用户认证数据返回的认证应答数据生成;特征码生成模块,用于若用户认证结果信息表示待认证用户认证通过,则为待认证用户生成安全特征码,将安全特征码发送至用户终端,安全特征码用于用户终端访问目标系统。
第四方面,本发明实施例提供了一种用户认证服务器,包括:请求接收模块,用于接收目标系统的网关设备发送的待认证用户的用户认证请求;用户认证请求由网关设备基于待认证用户的用户终端的目标系统访问请求生成;认证数据发送模块,用于根据用户认证请求,生成用户认证数据并发送至待认证用户对应的通信设备;认证结果发送模块,用于接收通信设备返回的认证应答数据,根据认证应答数据生成用户认证结果信息并发送至网关设备,以使网关设备在认证结果信息表示待认证用户认证通过后为待认证用户生成安全特征码,安全特征码用于用户终端访问目标系统。
第五方面,本发明实施例提供了一种电子设备,包括:存储器、处理器和存储在存储器上并可在处理器上运行的计算机可执行指令,计算机可执行指令被处理器执行时实现如上述第一方面或第二方面的目标系统访问方法。
第六方面,本发明实施例提供了一种存储介质,该存储介质用于存储计算机可执行指令,计算机可执行指令被处理器执行时实现如上述第一方面或第二方面的目标系统访问方法。
通过本发明实施例,能够获取待认证用户的用户终端发送的目标系统访问请求,根据该目标系统访问请求生成并发送用户认证请求至用户认证服务器,通过用户认证服务器对待认证用户进行认证,并获取待认证用户的用户认证结果信息,在认证结果信息表示待认证用户认证通过后,生成安全特征码并发送至待认证用户的用户终端,以使该用户终端基于安全特征码访问目标系统。该技术方案中,待认证用户访问目标系统时,能够通过用户认证服务器对待认证用户进行一次认证,并向待认证用户发送安全特征码,使得用户终端基于安全特征码访问目标系统,达到对用户终端二次认证的效果,通过多次认证操作,能够提高访问目标系统的安全性。
附图说明
为了更清楚地说明本发明一个或多个实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一个实施例提供的应用于网关设备的目标系统访问方法的第一种流程示意图;
图2为本发明另一个实施例提供的应用于用于用户认证服务器的目标系统访问方法的第二种流程示意图;
图3为本发明又一个实施例提供的目标系统访问方法的流程示意图;
图4为本发明再一个实施例提供的目标系统访问方法的流程示意图;
图5为本发明一个实施例提供的目标系统的网关设备的示意框图;
图6为本发明另一个实施例提供的目标系统的用户认证服务器的示意框图;以及
图7为本发明一个实施例提供的电子设备的示意框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明一个或多个实施例中的技术方案,下面将结合本发明一个或多个实施例中的附图,对本发明一个或多个实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明一个或多个实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本文件的保护范围。
本发明实施例提供了一种目标系统访问方法、网关设备、服务器、电子设备及存储介质。该目标系统访问方法可以应用于电子设备,本发明实施例提及的电子设备包括但不限于手机、平板电脑、电脑、可穿戴设备、光调制解调器、网关设备、服务器等。
图1为本发明一个实施例提供的应用于网关设备的目标系统访问方法的第一种流程示意图。参照图1所示,该目标系统访问方法包括步骤S110、步骤S120以及步骤S130。下面对图1的示例实施例中的目标系统访问方法进行详细的说明。
在步骤S110中,接收用户终端发送的待认证用户的目标系统访问请求,根据目标系统访问请求生成用户认证请求并发送至目标系统的用户认证服务器,以使用户认证服务器向待认证用户对应的通信设备发送用户认证数据。
在示例实施例中,用户终端可以是电脑,也可以是手机,还可以是其他电子设备。目标系统包括网关设备、用户认证服务器以及多个子系统。
在示例实施例中,通常情况下,在用户终端尚未获得网关设备返回的安全特征码前,用户终端上的目标系统访问页面中不显示目标系统的各个子系统的入口标识。
在示例实施例中,目标系统访问请求包括且不限于用户身份识别模块SIM卡上的特征信息,例如,SIM卡对应的通信号码,SIM卡上的数字指纹、数字签名等信息。用户身份识别模块SIM卡上的特征信息具有独特性,即,不同的SIM卡分别对应不同的通信号码、数字指纹、数字签名等信息。若已知一部分SIM卡特征信息,可确定对应的SIM卡以及剩余的SIM卡特征信息,例如,已知通信号码,可确定对应的数字指纹、数字签名等信息。
在示例实施例中,当用户终端为电脑时,用户终端发送待认证用户的目标系统访问请求,例如,待认证用户打开电脑上的目标系统访问页面,在该页面输入自己的手机号码,或,输入自己手机号码与预设的访问密码,则该电脑通过网络发送包含该手机号码的待认证用户的目标系统访问请求到目标系统的网关设备。
在示例实施例中,当用户终端为手机时,用户终端发送待认证用户的目标系统访问请求,例如,待认证用户打开手机上的目标系统访问页面,此时手机自动获取本机的通信号码,手机发送包含该通信号码的待认证用户的目标系统访问请求到目标系统的网关设备。当用户终端为手机时,用户终端发送待认证用户的目标系统访问请求,也可以是,待认证用户打开手机上的目标系统访问页面,在该页面输入自己的手机号码,或,输入自己的手机号码与预设的访问密码。
在示例实施例中,根据目标系统访问请求生成用户认证请求,包括:从目标系统访问请求中提取待认证用户的通信号码;判断通信号码是否属于预设的免密访问号码;若是,则生成携带有通信号码与免密访问标识的用户认证请求;若否,则生成携带有通信号码的用户认证请求。
在示例实施例中,从目标系统访问请求中提取待认证用户的通信号码后,或,从目标系统访问请求中提取SIM卡特征信息,根据SIM卡特征信息确定对应的通信号码后,判断该通信号码是否具有访问权限,若具有访问权限,则根据目标系统访问请求生成用户认证请求并发送至目标系统的用户认证服务器。
在示例实施例中,判断通信号码是否具有访问权限的方法,可以是根据专家预先设计的异常访问判定方案,即,若用户终端发送目标系统访问请求到网关设备的过程中符合预设的异常访问判定方案,则视为通信号码不具有访问权限。判定方法还可以是预先建立数据库,以存储具有访问权限的通信号码,判断目标系统访问请求中的通信号码是否位于该数据库中。若用户终端发送的目标系统访问请求中包含访问密码,则判定方法还可以是验证该访问密码真伪。本发明实施例不对判断通信号码是否具有访问权限的方法进行特殊限定。
在示例实施例中,判断通信号码是否属于预设的免密访问号码;若是,则生成携带有通信号码与免密访问标识的用户认证请求,并发送至目标系统的用户认证服务器,以使用户认证服务器向待认证用户对应的通信设备发送携带免密访问标识与通信号码的用户认证数据。
在示例实施例中,携带免密访问标识与通信号码的用户认证数据发送到待认证用户对应的通信设备上,例如,待认证用户甲使用的手机乙弹出一个控件,询问待认证用户是否确认要访问目标系统,若待认证用户选择确认信息,则该确认信息作为认证应答数据由该通信设备发送至用户认证服务器。
在示例实施例中,判断通信号码是否属于预设的免密访问号码;若否,则生成携带有通信号码的用户认证请求,并发送至目标系统的用户认证服务器,以使用户认证服务器向待认证用户对应的通信设备发送携带通信号码,且未携带免密访问标识的用户认证数据。
在示例实施例中,携带通信号码,且未携带免密访问标识的用户认证数据发送到待认证用户对应的通信设备上,例如,待认证用户甲使用的手机乙弹出一个控件,询问待认证用户是否确认要访问目标系统,若待认证用户选择确认信息,再询问用户预设的用户特征数据,例如一个4位数的数字密码,则该确认信息与4位数的数字作为认证应答数据由该通信设备发送至用户认证服务器。
在示例实施例中,待认证用户对应的通信设备指的是目标系统访问请求中包含的SIM卡特征信息对应的SIM卡所在的电子设备,该电子设备通常是装备了该SIM卡的手机,也可以是其他SIM卡可读设备。待认证用户对应的通信设备可能是用户终端,也可能是非用户终端的其他电子设备。例如,当用户终端为电脑时,该通信设备为待认证用户使用的手机,当用户终端为手机时,该通信设备与用户终端为同一手机。
需要注意的是,在示例实施例中,默认用户终端发送的待认证用户的目标系统访问请求中包含的SIM卡特征信息是待认证用户本人使用的手机的SIM卡特征信息。若待认证用户的目标系统访问请求中包含的SIM卡特征信息与待认证用户本人无关,例如,该目标系统访问请求中包含的通信号码不是待认证用户使用的手机的通信号码,且待认证用户也无法通过他人操作该通信号码对应的手机,则待认证用户无法通过图1中的目标系统访问方法来访问目标系统的子系统。
在示例实施例中,若用户甲通过网络恶意盗取用户乙的目标系统的访问密码,例如,用户甲在电脑丙上,通过目标系统访问页面,输入用户乙的通信号码以及窃取的访问密码,则网关设备向用户认证服务器发送用户认证请求,用户认证服务器通过短信通道向用户乙的手机发送用户认证数据,询问用户乙是否确认访问,则用户乙能够迅速发现异常访问行为,选择拒绝访问,以阻止用户甲访问目标系统。
在另一示例实施例中,若用户甲通过网络恶意盗取用户乙的目标系统的访问密码,且盗取了用户乙的手机丁,例如,用户甲在电脑丙或手机丁上,通过目标系统访问页面,输入用户乙的通信号码以及窃取的访问密码,则网关设备向用户认证服务器发送用户认证请求,用户认证服务器通过短信通道向用户乙的手机丁发送用户认证数据,询问用户乙是否确认访问,由于该手机丁被用户甲盗取,用户甲选择确认访问,用户认证数据中,进一步询问预设的用户特征数据,用户甲无从得知该用户特征数据,访问目标系统失败。
在示例实施例中,根据目标系统访问请求生成用户认证请求,还可以为,从目标系统访问请求中提取待认证用户的数字指纹、数字签名等其他SIM卡特征信息,根据预先存储在网关设备的通信号码与其他SIM卡特征信息的对应关系,确定该目标系统访问请求中的其他SIM卡特征信息对应的通信号码;判断通信号码是否属于预设的免密访问号码;若是,则生成携带有通信号码与免密访问标识的用户认证请求;若否,则生成携带有通信号码的用户认证请求。例如,待认证用户甲在常用的办公电脑上预先存储了自己手机的数字签名,通过该办公电脑向目标系统的网关设备发送包含该数字签名的目标系统访问请求。
在示例实施例中,预设免密访问号码,可以预先在网关设备的请求-响应协议HTTP的请求头部信息中插入通信号码,也可以预先在网关设备后台的数据库中存储设置为免密访问号码的通信号码,本发明实施例对此不进行特殊限定。
在步骤S120中,接收用户认证服务器返回的用户认证结果信息;用户认证结果信息由用户认证服务器根据通信设备基于用户认证数据返回的认证应答数据生成。
在示例实施例中,用户认证服务器获取通信设备返回的认证应答数据,根据认证应答数据,确定用户认证结果信息。例如,认证应答数据为,代表了待认证用户确认访问的“是”与待认证用户预设的数字密码1234,比较该数字密码与用户认证服务器中预先存储的数字密码,若一致,则用户认证结果信息表示待认证用户通过,若不一致,则用户认证结果信息表示待认证用户不通过。用户认证服务器发送该用户认证结果信息至目标系统的网关设备。
在步骤S130中,若用户认证结果信息表示待认证用户认证通过,则为待认证用户生成安全特征码,将安全特征码发送至用户终端,安全特征码用于用户终端访问目标系统。
在示例实施例中,为待认证用户生成安全特征码,包括:从目标系统访问请求中提取待认证用户的通信号码;根据通信号码和预先存储的通信号码与通信设备特征信息之间的对应关系,查找待认证用户的通信设备特征信息;根据与目标系统访问请求相关的时间信息和待认证用户的通信设备特征信息,生成安全特征码。
在示例实施例中,通信设备特征信息即SIM卡特征信息,包括且不限于通信号码、数字签名以及数字指纹。
在示例实施例中,若用户认证结果信息表示待认证用户不通过,则网关设备向用户终端和/或网关设备后台的警报系统发送异常访问警告信息。
在示例实施例中,为待认证用户生成安全特征码,还可以为,从目标系统访问请求中提取非通信号码的SIM卡特征信息,例如数字签名,根据数字签名和预先存储的数字签名与通信号码等其他SIM卡特征信息之间的对应关系,查找待认证用户的全部SIM卡特征信息,根据目标系统访问请求相关的时间信息与待认证用户的全部SIM卡特征信息,生成安全特征码。
在示例实施例中,根据与目标系统访问请求相关的时间信息和待认证用户的通信设备特征信息,生成安全特征码,包括:对与目标系统访问请求相关的时间信息和待认证用户的通信设备特征信息进行加密,计算出散列值,将该散列值确定为安全特征码。加密的算法可以是hmac_sha1算法,384位密码,sha算法,本发明实施例不对此进行限制。
在示例实施例中,与目标系统访问请求相关的时间信息可以是根据网关设备接收用户终端发送的待认证用户的目标系统访问请求的时间生成的时间信息,也可以是由网关设备根据目标系统访问请求生成用户认证请求并发送至目标系统的用户认证服务器的时间生成的时间信息,还可以是根据网关设备接收用户认证服务器返回的用户认证结果信息的时间生成的时间信息等,本发明实施例不对此进行特殊限定。
在示例实施例中,安全特征码存储于网关设备中,也发送至用户终端,当用户终端发出携带安全特征码的针对子系统的访问请求时,网关设备可根据存储的安全特征码对访问请求中携带的安全特征码进行校验。
根据图1的示例实施例中的目标系统访问方法,能够获取待认证用户的用户终端发送的目标系统访问请求,根据该目标系统访问请求生成并发送用户认证请求至用户认证服务器,通过用户认证服务器对待认证用户进行认证,并获取待认证用户的用户认证结果信息,在认证结果信息表示待认证用户认证通过后,生成安全特征码并发送至待认证用户的用户终端,以使该用户终端基于安全特征码访问目标系统。该技术方案中,待认证用户访问目标系统时,能够通过用户认证服务器对待认证用户进行一次认证,并向待认证用户发送安全特征码,使得用户终端基于安全特征码访问目标系统,达到对用户终端二次认证的效果,通过多次认证操作,能够提高访问目标系统的安全性。
另外,在示例实施例中,在将安全特征码发送至用户终端之后,控制用户终端显示目标系统的各个子系统的入口标识;在接收到用户终端发送的携带有安全特征码的子系统访问请求后,允许用户终端访问子系统访问请求对应的子系统。
在示例实施例中,用户终端收到安全特征码后,将该安全特征码设置为请求-响应协议HTTP的响应Response头部中的cookie信息。用户终端发送的子系统访问请求包含该cookie信息,即包含安全特征码。
在示例实施例中,用户终端收到安全特征码后,用户终端上的目标系统访问页面上显示目标系统中的多个子系统的入口标识。根据用户操作,发出针对子系统的访问请求,该请求中包含安全特征码。用户操作可以是单击想要访问的子系统的入口标识,也可以是长按,还可以是拖动该入口标识,本发明实施例对此不进行特殊限定。
在示例实施例中,当用户终端收到安全特征码后,待认证用户可以通过用户终端访问目标系统内部的任何一个子系统。
在示例实施例中,待访问用户在用户终端输入的访问密码错误,或,网关设备判断目标系统访问请求中的SIM卡特征信息对应的通信号码不具有访问权限,或,待访问用户对应的通信设备发送至用户认证服务器的认证应答数据中包含拒绝访问的信息,或,待访问用户对应的通信设备发送至用户认证服务器的认证应答数据中的用户特征数据与用户认证服务器中预存的数据不符,或,用户终端发送携带安全特征码的子系统访问请求中的安全特征码与网关设备中存储的安全特征码不符,或,网关设备允许用户终端访问子系统后,业务后台查询子系统的结果为不存在,等多种情况下,网关设备将其视为访问异常,向用户终端和/或网关设备后台的警报系统发出异常访问警告信息。网关设备也可以采用其他方法来处理访问异常的情况,例如,同一用户终端在输入访问密码时错误3次,则24小时内不允许该用户终端访问目标系统。本发明实施例不对异常访问的处理方式进行特殊限定。
图2为本发明另一个实施例提供的应用于用于用户认证服务器的目标系统访问方法的第二种流程示意图。
参照图2所示,在步骤S210中,接收目标系统的网关设备发送的待认证用户的用户认证请求;用户认证请求由网关设备基于待认证用户的用户终端的目标系统访问请求生成。
在示例实施例中,待认证用户的用户终端向网关设备发送目标系统访问请求,该访问请求中包含待认证用户对应的通信设备的SIM卡特征信息,例如,通信号码。网关设备判断该访问请求中的SIM卡特征信息对应的通信号码是否具有访问权限,若具有,则网关设备根据该访问请求生成用户认证请求。
在示例实施例中,用户认证服务器接收目标系统的网关设备发送的用户认证请求,该请求中包含待认证用户对应的通信设备的SIM特征信息,例如,通信号码。该请求中还有可能包含免密访问标识。
在步骤S220中,根据用户认证请求,生成用户认证数据并发送至待认证用户对应的通信设备。
在示例实施例中,根据所述用户认证请求,生成用户认证数据并发送至所述待认证用户对应的通信设备,包括:从用户认证请求中提取待认证用户的通信号码,将通信号码对应的通信设备确定为待认证用户对应的通信设备;判断用户认证请求中是否携带免密访问标识;若是,则发送第一用户认证数据至通信设备,第一用户认证数据包括用户访问请求信息,若否,则发送第二用户认证数据至通信设备,第二用户认证数据包括用户访问请求信息和用户特征数据请求信息;其中,用户特征数据请求信息用于请求通信设备上报待认证用户的用户特征数据,用户访问请求信息用于请求通信设备上报待认证用户的访问信息。
在示例实施例中,通信号码对应的通信设备,即,通信号码对应的SIM卡所在的手机。用户特征数据可以是用户预设的数字密码,也可以是用户预设的手势密码,还可以是用户提前录入的指纹信息、声音信息、脸部特征信息或眼睛虹膜信息等,本发明实施例不对此进行特殊限定。用户访问请求信息,例如,询问用户是否确认访问目标系统,用户特征数据请求信息,例如,请求待认证用户输入预设的数字密码。用户认证请求中包含待认证用户的通信号码,根据通信号码确定该通信号码对应的通信设备。若用户认证请求中包含免密访问标识,则用户认证服务器通过短信通道发送第一用户认证数据至通信设备;若用户认证请求中不包含免密访问表示,则用户认证服务器通过短信通道发送第二用户认证数据至通信设备。
在步骤S230中,接收通信设备返回的认证应答数据,根据认证应答数据生成用户认证结果信息并发送至网关设备,以使网关设备在认证结果信息表示待认证用户认证通过后为待认证用户生成安全特征码,安全特征码用于用户终端访问目标系统。
在示例实施例中,例如,当用户认证服务器通过短信通道发送第一用户认证数据至通信设备后,根据第一用户认证数据,通信设备上弹出控件框,询问用户是否确认访问目标系统与两个选项“是”与“否”,待认证用户选择“是”或“否”中的一个选项,该选项作为针对第一用户认证数据的认证应答数据被通信设备返回到目标系统的用户认证服务器。
在另一示例实施例中,例如,当用户认证服务器通过短信通道发送第二用户认证数据至通信设备后,根据第二用户认证数据,通信设备上弹出控件框,询问用户是否确认访问目标系统与两个选项“是”与“否”,待认证用户选择“是”或“否”中的一个选项。若待认证用户选择“是”,则通信设备上弹出第二个控件框,请求待认证用户输入预设的数字密码,待认证用户在该控件框中输入数字密码,选项“是”与输入的数字密码作为针对第二用户认证数据的认证应答数据被通信设备返回到目标系统的用户认证服务器。若待认证用户选择“否”,则通信设备直接将选项“否”与预设的数字密码“0000”作为针对第二用户认证数据的认证应答数据返回到目标系统的用户认证服务器。需要注意的是,当待认证用户拒绝确认访问目标系统时,通信设备无需请求待认证用户输入用户特征数据。
在示例实施例中,根据认证应答数据生成用户认证结果信息,包括:核对认证应答数据包含的各项信息是否正确,根据核对结果生成用户认证结果信息;其中,各项信息包括待认证用户的访问信息,或者,包括待认证用户的用户特征数据和待认证用户的访问信息。
在示例实施例中,用户认证服务器接收通信设备返回的认证应答数据。根据认证应答数据生成用户认证结果信息,例如,若认证应答数据中包含拒绝确认访问的信息,则用户认证结果信息表示待认证用户不通过;若认证应答数据中包含确认访问的信息,则判断认证应答数据中的用户特征数据是否有误,若有误,则用户认证结果信息表示待认证用户不通过,若无误,用户认证结果信息表示待认证用户通过。
另外,在示例实施例中,用户认证服务器与通信设备之间通过短信通道传递信息。
在示例实施例中,用户认证服务器通过短信通道发送用户认证数据到待认证用户对应的通信设备,通信设备通过短信通道返回认证应答数据至用户认证服务器。通过短信通道传递信息无需经过网络,泄露信息的可能性大幅降低,安全性提高。
图3为本发明又一个实施例提供的目标系统访问方法的流程示意图。
参照图3所示,在步骤S310中,用户终端发送通信号码到网关设备。
在示例实施例中,用户终端可以是电脑,可以是手机。用户终端除通信号码还可以发送预设的访问密码。
在步骤S320中,网关设备发送用户认证请求到用户认证服务器。
在示例实施例中,网关设备判断该通信号码是否具有访问权限,若具有,则发送用户认证请求到用户认证服务器,若不具有,则网关设备向用户终端和/或网关设备后台的警报系统发送异常警告信息。
在步骤S330中,用户认证服务器发送用户认证数据到用户终端。
在示例实施例中,用户认证数据包括两部分,询问用户是否确认访问,询问用户的预设特征数据。图3的实施例中,用户终端与待认证用户对应的通信设备为同一设备,例如,用户终端为待认证用户本人使用的手机,待认证用户对应的通信设备也为待认证用户本人使用的手机。用户认证服务器通过短信通道向用户终端发送用户认证数据。发送用户认证数据的过程利用的是通信信号,而非流量信号,无需连接网络,因此安全性更高。
在步骤S340中,用户终端返回认证应答数据到用户认证服务器。
在示例实施例中,用户终端通过短信通道向用户认证服务器发送认证应答数据,例如,待认证用户确认访问行为是本人行为,选择的“是”,以及待认证用户在用户终端上提交的预设的用户特征数据,如数字密码3354。返回认证应答数据的过程利用的是通信信号,而非流量信号,无需连接网络,因此安全性更高。
在步骤S350中,用户认证服务器返回认证结果到网关设备
在示例实施例中,用户认证服务器根据认证应答数据,确定用户认证结果为通过还是不通过,发送用户认证结果至网关设备。
在步骤S360中,网关设备生成并安全特征码到用户终端。
在示例实施例中,网关设备根据通信号码以及对应的SIM卡特征数据与目标系统访问请求相关的时间数据,进行加密,生成安全特征码并发送至用户终端。
在步骤S370中,用户终端发送携带安全特征码的针对目标系统的子系统的访问请求到网关设备。
在示例实施例中,用户终端将安全特征码写入HTTP的响应头部信息中的cookie信息,发送携带该cookie信息的子系统访请求到网关设备。
在步骤S380中,网关设备发送访问请求到业务后台。
在示例实施例中,网关设备验证了访问请求中的安全特征码为真后,发送访问请求到业务后台,业务后台判断是否存在想要访问的子系统,若存在,则允许该访问请求发向该子系统,若不存在,则网关设备向用户终端和/或网关设备后台的警报系统发送异常警告信息。若验证安全特征码为假,网关设备也向用户终端和/或网关设备后台的警报系统发送异常警告信息。
图4为本发明再一个实施例提供的目标系统访问方法的流程示意图。
参照图4所示,在步骤S410中,提交手机号码。
在示例实施例中,用户终端向网关设备提交手机号码。用户终端可以是手机,也可以是电脑。
在步骤S420中,提交认证请求。
在示例实施例中,网关设备进行异常访问行为分析,判断该手机号码是否具有访问目标系统的权限,若有,则网关设备向用户认证服务器提交用户认证请求;若没有,则网关设备向用户终端和/或网关设备的后台中的监控系统发送异常警告信息。
在步骤S430中,发送认证数据。
在示例实施例中,用户认证服务器通过短信通道向待认证用户对应的通信设备发送用户认证数据。例如,用户认证服务器向待认证用户使用的手机通过短信通道发送信息,待认证用户的手机上弹出控件,询问是否确认访问,若是,则询问待认证用户预设的用户特征数据,如数字形式的密码,或手势密码,或文字形式的预设问题的答案,本发明实施例对此不进行特殊限定。
在步骤S440中,返回应答数据。
在示例实施例中,待认证用户对应的通信设备向用户认证服务器发送针对用户认证数据的认证应答数据,例如,待认证用户选择确定访问的“是”与待认证用户输入的数字密码。
在步骤S450中,通知认证结果。
在示例实施例中,用户认证服务器将认证应答数据与预先存储在用户认证服务器的用户特征数据进行比较,若相同,则用户认证结果为通过,若不同,则用户认证结果为不通过。用户认证服务器将用户认证结果发送给网关设备。
在步骤S460中,下发安全特征码。
在示例实施例中,若用户认证结果为通过,则网关设备根据通信号码以及对应的SIM卡特征数据与目标系统访问请求相关的时间数据,进行加密,生成待认证用户的安全特征码,并将该安全特征码发送到用户终端上,安全特征码被设置为HTTP的响应头部信息中的cookie信息。
在步骤S470中,携带安全特征码访问目标系统的子系统。
在示例实施例中,用户终端上的目标系统访问页面上显示目标系统的多个子系统,根据用户操作,针对待认证用户想要访问的子系统发出访问请求,该访问请求中携带了步骤S460中的cookie信息,即携带了安全特征码。
在步骤S480中,引流到子系统。
在示例实施例中,网关设备允许用户终端访问目标系统的子系统,则用户终端发出的子系统访问请求被引流到内网系统中的多个子系统中待认证用户想要访问的子系统。
图5为本发明一个实施例提供的目标系统的网关设备的示意框图。
参照图5所示,该网关设备500包括:请求收发模块510、认证结果接收模块520以及特征码生成模块530。
其中,请求收发模块510,用于接收用户终端发送的待认证用户的目标系统访问请求,根据目标系统访问请求生成用户认证请求并发送至目标系统的用户认证服务器,以使用户认证服务器向待认证用户对应的通信设备发送用户认证数据;认证结果接收模块520,用于接收用户认证服务器返回的用户认证结果信息;用户认证结果信息由用户认证服务器根据通信设备基于用户认证数据返回的认证应答数据生成;特征码生成模块530,用于若用户认证结果信息表示待认证用户认证通过,则为待认证用户生成安全特征码,将安全特征码发送至用户终端,安全特征码用于用户终端访问目标系统。
在本发明的一些实施例中,基于上述方案,请求收发模块510,具体用于:从目标系统访问请求中提取待认证用户的通信号码;判断通信号码是否属于预设的免密访问号码;若是,则生成携带有通信号码与免密访问标识的用户认证请求;若否,则生成携带有通信号码的用户认证请求。
在本发明的一些实施例中,基于上述方案,特征码生成模块530,具体用于:从目标系统访问请求中提取待认证用户的通信号码;根据通信号码和预先存储的通信号码与通信设备特征信息之间的对应关系,查找待认证用户的通信设备特征信息;根据与目标系统访问请求相关的时间信息和待认证用户的通信设备特征信息,生成安全特征码。
在本发明的一些实施例中,基于上述方案,网关设备500还包括:终端控制模块,用于在将安全特征码发送至用户终端之后,控制用户终端显示目标系统的各个子系统的入口标识;访问允许模块,用于在接收到用户终端发送的携带有安全特征码的子系统访问请求后,允许用户终端访问子系统访问请求对应的子系统。
通过本发明实施例,能够获取待认证用户的用户终端发送的目标系统访问请求,根据该目标系统访问请求生成并发送用户认证请求至用户认证服务器,通过用户认证服务器对待认证用户进行认证,并获取待认证用户的用户认证结果信息,在认证结果信息表示待认证用户认证通过后,生成安全特征码并发送至待认证用户的用户终端,以使该用户终端基于安全特征码访问目标系统。该技术方案中,待认证用户访问目标系统时,能够通过用户认证服务器对待认证用户进行一次认证,并向待认证用户发送安全特征码,使得用户终端基于安全特征码访问目标系统,达到对用户终端二次认证的效果,通过多次认证操作,能够提高访问目标系统的安全性。
本发明一实施例提供的网关设备能够实现前述目标系统的访问方法实施例中的各个过程,并达到相同的功能和效果,这里不再重复。
图6为本发明另一个实施例提供的目标系统的用户认证服务器的示意框图。
参照图6所示,该用户认证服务器600包括:请求接收模块510、认证数据发送模块520以及认证结果发送模块530。
在本发明的一些实施例中,基于上述方案,认证数据发送模块520,具体用于:从用户认证请求中提取待认证用户的通信号码,将通信号码对应的通信设备确定为待认证用户对应的通信设备;判断用户认证请求中是否携带免密访问标识;若是,则发送第一用户认证数据至通信设备,第一用户认证数据包括用户访问请求信息,若否,则发送第二用户认证数据至通信设备,第二用户认证数据包括用户访问请求信息和用户特征数据请求信息;其中,用户特征数据请求信息用于请求通信设备上报待认证用户的用户特征数据,用户访问请求信息用于请求通信设备上报待认证用户的访问信息。
在本发明的一些实施例中,基于上述方案,认证结果发送模块530,具体用于核对认证应答数据包含的各项信息是否正确,根据核对结果生成用户认证结果信息;其中,各项信息包括待认证用户的访问信息,或者,包括待认证用户的用户特征数据和待认证用户的访问信息。
在本发明的一些实施例中,基于上述方案,用户认证服务器600与通信设备之间通过短信通道传递信息。
通过本发明实施例,能够获取目标系统的网关设备发送的待认证用户的用户认证请求,该用户认证请求由网关设备基于待认证用户的用户终端的目标系统访问请求生成,根据用户认证请求,生成并发送用户认证数据至待认证用户对应的通信设备,获取通信设备返回的认证应答数据,根据认证应答数据生成并发送用户认证结果信息至网关设备,以使网关设备在认证结果信息表示待认证用户认证通过后为待认证用户生成用于用户终端访问目标系统的安全特征码。该技术方案中,待认证用户访问目标系统时,能够通过用户认证服务器对待认证用户进行一次认证,并向待认证用户发送安全特征码,使得用户终端基于安全特征码访问目标系统,达到对用户终端二次认证的效果,通过多次认证操作,能够提高访问目标系统的安全性。
本发明一实施例提供的用户认证服务器能够实现前述目标系统的访问方法实施例中的各个过程,并达到相同的功能和效果,这里不再重复。
进一步地,本发明一个实施例还提供了一种电子设备,图7为本发明一个实施例提供的电子设备的示意框图,如图7所示,该设备包括:存储器701、处理器702、总线703和通信接口704。存储器701、处理器702和通信接口704通过总线703进行通信,通信接口704可以包括输入输出接口,输入输出接口包括但不限于键盘、鼠标、显示器、麦克风、扩音器等。
图7中,存储器701上存储有可在处理器702上运行的计算机可执行指令,该计算机可执行指令被处理器702执行时实现以下流程:接收用户终端发送的待认证用户的目标系统访问请求,根据目标系统访问请求生成用户认证请求并发送至目标系统的用户认证服务器,以使用户认证服务器向待认证用户对应的通信设备发送用户认证数据;接收用户认证服务器返回的用户认证结果信息;用户认证结果信息由用户认证服务器根据通信设备基于用户认证数据返回的认证应答数据生成;若用户认证结果信息表示待认证用户认证通过,则为待认证用户生成安全特征码,将安全特征码发送至用户终端,安全特征码用于用户终端访问目标系统。
可选地,计算机可执行指令被处理器702执行时,根据目标系统访问请求生成用户认证请求,包括:从目标系统访问请求中提取待认证用户的通信号码;判断通信号码是否属于预设的免密访问号码;若是,则生成携带有通信号码与免密访问标识的用户认证请求;若否,则生成携带有通信号码的用户认证请求。
可选地,计算机可执行指令被处理器702执行时,为待认证用户生成安全特征码,包括:从目标系统访问请求中提取待认证用户的通信号码;根据通信号码和预先存储的通信号码与通信设备特征信息之间的对应关系,查找待认证用户的通信设备特征信息;根据与目标系统访问请求相关的时间信息和待认证用户的通信设备特征信息,生成安全特征码。
可选地,计算机可执行指令被处理器702执行时,还可以实现如下流程:在将安全特征码发送至用户终端之后,控制用户终端显示目标系统的各个子系统的入口标识;在接收到用户终端发送的携带有安全特征码的子系统访问请求后,允许用户终端访问子系统访问请求对应的子系统。
计算机可执行指令被处理器702执行时实现以下流程:接收目标系统的网关设备发送的待认证用户的用户认证请求;用户认证请求由网关设备基于待认证用户的用户终端的目标系统访问请求生成;根据用户认证请求,生成用户认证数据并发送至待认证用户对应的通信设备;接收通信设备返回的认证应答数据,根据认证应答数据生成用户认证结果信息并发送至网关设备,以使网关设备在认证结果信息表示待认证用户认证通过后为待认证用户生成安全特征码,安全特征码用于用户终端访问目标系统。
可选地,计算机可执行指令被处理器702执行时,根据所述用户认证请求,生成用户认证数据并发送至所述待认证用户对应的通信设备,包括:从用户认证请求中提取待认证用户的通信号码,将通信号码对应的通信设备确定为待认证用户对应的通信设备;判断用户认证请求中是否携带免密访问标识;若是,则发送第一用户认证数据至通信设备,第一用户认证数据包括用户访问请求信息,若否,则发送第二用户认证数据至通信设备,第二用户认证数据包括用户访问请求信息和用户特征数据请求信息;其中,用户特征数据请求信息用于请求通信设备上报待认证用户的用户特征数据,用户访问请求信息用于请求通信设备上报待认证用户的访问信息。
可选地,计算机可执行指令被处理器702执行时,根据认证应答数据生成用户认证结果信息,包括:核对认证应答数据包含的各项信息是否正确,根据核对结果生成用户认证结果信息;其中,各项信息包括待认证用户的访问信息,或者,包括待认证用户的用户特征数据和待认证用户的访问信息。
可选地,计算机可执行指令被处理器702执行时,用户认证服务器与通信设备之间通过短信通道传递信息。
通过本发明实施例,能够获取待认证用户的用户终端发送的目标系统访问请求,根据该目标系统访问请求生成并发送用户认证请求至用户认证服务器,通过用户认证服务器对待认证用户进行认证,并获取待认证用户的用户认证结果信息,在认证结果信息表示待认证用户认证通过后,生成安全特征码并发送至待认证用户的用户终端,以使该用户终端基于安全特征码访问目标系统。该技术方案中,待认证用户访问目标系统时,能够通过用户认证服务器对待认证用户进行一次认证,并向待认证用户发送安全特征码,使得用户终端基于安全特征码访问目标系统,达到对用户终端二次认证的效果,通过多次认证操作,能够提高访问目标系统的安全性。
本发明一实施例提供的电子设备能够实现前述目标系统的访问方法实施例中的各个过程,并达到相同的功能和效果,这里不再重复。
进一步地,本发明另一个实施例还提供了一种存储介质,该存储介质用于存储计算机可执行指令,计算机可执行指令被处理器702执行时实现以下流程:接收用户终端发送的待认证用户的目标系统访问请求,根据目标系统访问请求生成用户认证请求并发送至目标系统的用户认证服务器,以使用户认证服务器向待认证用户对应的通信设备发送用户认证数据;接收用户认证服务器返回的用户认证结果信息;用户认证结果信息由用户认证服务器根据通信设备基于用户认证数据返回的认证应答数据生成;若用户认证结果信息表示待认证用户认证通过,则为待认证用户生成安全特征码,将安全特征码发送至用户终端,安全特征码用于用户终端访问目标系统。
可选地,计算机可执行指令被处理器702执行时,根据目标系统访问请求生成用户认证请求,包括:从目标系统访问请求中提取待认证用户的通信号码;判断通信号码是否属于预设的免密访问号码;若是,则生成携带有通信号码与免密访问标识的用户认证请求;若否,则生成携带有通信号码的用户认证请求。
可选地,计算机可执行指令被处理器702执行时,为待认证用户生成安全特征码,包括:从目标系统访问请求中提取待认证用户的通信号码;根据通信号码和预先存储的通信号码与通信设备特征信息之间的对应关系,查找待认证用户的通信设备特征信息;根据与目标系统访问请求相关的时间信息和待认证用户的通信设备特征信息,生成安全特征码。
可选地,计算机可执行指令被处理器702执行时,还可以实现如下流程:在将安全特征码发送至用户终端之后,控制用户终端显示目标系统的各个子系统的入口标识;在接收到用户终端发送的携带有安全特征码的子系统访问请求后,允许用户终端访问子系统访问请求对应的子系统。
计算机可执行指令被处理器702执行时实现以下流程:接收目标系统的网关设备发送的待认证用户的用户认证请求;用户认证请求由网关设备基于待认证用户的用户终端的目标系统访问请求生成;根据用户认证请求,生成用户认证数据并发送至待认证用户对应的通信设备;接收通信设备返回的认证应答数据,根据认证应答数据生成用户认证结果信息并发送至网关设备,以使网关设备在认证结果信息表示待认证用户认证通过后为待认证用户生成安全特征码,安全特征码用于用户终端访问目标系统。
可选地,计算机可执行指令被处理器702执行时,根据所述用户认证请求,生成用户认证数据并发送至所述待认证用户对应的通信设备,包括:从用户认证请求中提取待认证用户的通信号码,将通信号码对应的通信设备确定为待认证用户对应的通信设备;判断用户认证请求中是否携带免密访问标识;若是,则发送第一用户认证数据至通信设备,第一用户认证数据包括用户访问请求信息,若否,则发送第二用户认证数据至通信设备,第二用户认证数据包括用户访问请求信息和用户特征数据请求信息;其中,用户特征数据请求信息用于请求通信设备上报待认证用户的用户特征数据,用户访问请求信息用于请求通信设备上报待认证用户的访问信息。
可选地,计算机可执行指令被处理器702执行时,根据认证应答数据生成用户认证结果信息,包括:核对认证应答数据包含的各项信息是否正确,根据核对结果生成用户认证结果信息;其中,各项信息包括待认证用户的访问信息,或者,包括待认证用户的用户特征数据和待认证用户的访问信息。
可选地,计算机可执行指令被处理器702执行时,用户认证服务器与通信设备之间通过短信通道传递信息。
通过本发明实施例,能够获取待认证用户的用户终端发送的目标系统访问请求,根据该目标系统访问请求生成并发送用户认证请求至用户认证服务器,通过用户认证服务器对待认证用户进行认证,并获取待认证用户的用户认证结果信息,在认证结果信息表示待认证用户认证通过后,生成安全特征码并发送至待认证用户的用户终端,以使该用户终端基于安全特征码访问目标系统。该技术方案中,待认证用户访问目标系统时,能够通过用户认证服务器对待认证用户进行一次认证,并向待认证用户发送安全特征码,使得用户终端基于安全特征码访问目标系统,达到对用户终端二次认证的效果,通过多次认证操作,能够提高访问目标系统的安全性。
其中,存储介质包括只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(RandomAccess Memory,简称RAM)、磁碟或者光盘等。
本发明一实施例提供的存储介质能够实现前述目标系统的访问方法实施例中的各个过程,并达到相同的功能和效果,这里不再重复。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitorymedia),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (12)

1.一种目标系统访问方法,应用于所述目标系统的网关设备,其特征在于,包括:
接收用户终端发送的待认证用户的目标系统访问请求,根据所述目标系统访问请求生成用户认证请求并发送至所述目标系统的用户认证服务器,以使所述用户认证服务器向所述待认证用户对应的通信设备发送用户认证数据;
接收所述用户认证服务器返回的用户认证结果信息;所述用户认证结果信息由所述用户认证服务器根据所述通信设备基于所述用户认证数据返回的认证应答数据生成;
若所述用户认证结果信息表示所述待认证用户认证通过,则为所述待认证用户生成安全特征码,将所述安全特征码发送至所述用户终端,所述安全特征码用于所述用户终端访问所述目标系统。
2.根据权利要求1所述的方法,其特征在于,根据所述目标系统访问请求生成用户认证请求,包括:
从所述目标系统访问请求中提取所述待认证用户的通信号码;
判断所述通信号码是否属于预设的免密访问号码;
若是,则生成携带有所述通信号码与免密访问标识的用户认证请求;若否,则生成携带有所述通信号码的用户认证请求。
3.根据权利要求1所述的方法,其特征在于,为所述待认证用户生成安全特征码,包括:
从所述目标系统访问请求中提取所述待认证用户的通信号码;
根据所述通信号码和预先存储的通信号码与通信设备特征信息之间的对应关系,查找所述待认证用户的通信设备特征信息;
根据与所述目标系统访问请求相关的时间信息和所述待认证用户的通信设备特征信息,生成所述安全特征码。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述方法还包括:
在将所述安全特征码发送至所述用户终端之后,控制所述用户终端显示所述目标系统的各个子系统的入口标识;
在接收到所述用户终端发送的携带有所述安全特征码的子系统访问请求后,允许所述用户终端访问所述子系统访问请求对应的子系统。
5.一种目标系统访问方法,应用于所述目标系统的用户认证服务器,其特征在于,包括:
接收所述目标系统的网关设备发送的待认证用户的用户认证请求;所述用户认证请求由所述网关设备基于所述待认证用户的用户终端的目标系统访问请求生成;
根据所述用户认证请求,生成用户认证数据并发送至所述待认证用户对应的通信设备;
接收所述通信设备返回的认证应答数据,根据所述认证应答数据生成用户认证结果信息并发送至所述网关设备,以使所述网关设备在所述认证结果信息表示所述待认证用户认证通过后为所述待认证用户生成安全特征码,所述安全特征码用于所述用户终端访问所述目标系统。
6.根据权利要求5所述的方法,其特征在于,根据所述用户认证请求,生成用户认证数据并发送至所述待认证用户对应的通信设备,包括:
从所述用户认证请求中提取所述待认证用户的通信号码,将所述通信号码对应的通信设备确定为所述待认证用户对应的通信设备;
判断所述用户认证请求中是否携带免密访问标识;
若是,则发送第一用户认证数据至所述通信设备,所述第一用户认证数据包括用户访问请求信息,若否,则发送第二用户认证数据至所述通信设备,所述第二用户认证数据包括所述用户访问请求信息和用户特征数据请求信息;
其中,所述用户特征数据请求信息用于请求所述通信设备上报所述待认证用户的用户特征数据,所述用户访问请求信息用于请求所述通信设备上报所述待认证用户的访问信息。
7.根据权利要求5所述的方法,其特征在于,根据所述认证应答数据生成用户认证结果信息,包括:
核对所述认证应答数据包含的各项信息是否正确,根据核对结果生成用户认证结果信息;
其中,所述各项信息包括所述待认证用户的访问信息,或者,包括所述待认证用户的用户特征数据和所述待认证用户的访问信息。
8.根据权利要求5-7任一项所述的方法,其特征在于,所述用户认证服务器与所述通信设备之间通过短信通道传递信息。
9.一种网关设备,其特征在于,包括:
请求收发模块,用于接收用户终端发送的待认证用户的目标系统访问请求,根据所述目标系统访问请求生成用户认证请求并发送至所述目标系统的用户认证服务器,以使所述用户认证服务器向所述待认证用户对应的通信设备发送用户认证数据;
认证结果接收模块,用于接收所述用户认证服务器返回的用户认证结果信息;所述用户认证结果信息由所述用户认证服务器根据所述通信设备基于所述用户认证数据返回的认证应答数据生成;
特征码生成模块,用于若所述用户认证结果信息表示所述待认证用户认证通过,则为所述待认证用户生成安全特征码,将所述安全特征码发送至所述用户终端,所述安全特征码用于所述用户终端访问所述目标系统。
10.一种用户认证服务器,其特征在于,包括:
请求接收模块,用于接收所述目标系统的网关设备发送的待认证用户的用户认证请求;所述用户认证请求由所述网关设备基于所述待认证用户的用户终端的目标系统访问请求生成;
认证数据发送模块,用于根据所述用户认证请求,生成用户认证数据并发送至所述待认证用户对应的通信设备;
认证结果发送模块,用于接收所述通信设备返回的认证应答数据,根据所述认证应答数据生成用户认证结果信息并发送至所述网关设备,以使所述网关设备在所述认证结果信息表示所述待认证用户认证通过后为所述待认证用户生成安全特征码,所述安全特征码用于所述用户终端访问所述目标系统。
11.一种电子设备,其特征在于,包括存储器和处理器,所述存储器上存储有计算机可执行指令,所述计算机可执行指令在上述处理器上运行时,能够实现上述权利要求1-4或5-8任一项所述的方法。
12.一种存储介质,该存储介质中存储有计算机可执行指令,其特征在于,所述计算机可执行指令在被处理器执行时,能够实现上述权利要求1-4或5-8任一项所述的方法。
CN202010238686.3A 2020-03-30 2020-03-30 系统访问方法、网关设备、服务器、电子设备及存储介质 Active CN113472716B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010238686.3A CN113472716B (zh) 2020-03-30 2020-03-30 系统访问方法、网关设备、服务器、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010238686.3A CN113472716B (zh) 2020-03-30 2020-03-30 系统访问方法、网关设备、服务器、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN113472716A true CN113472716A (zh) 2021-10-01
CN113472716B CN113472716B (zh) 2023-09-19

Family

ID=77866114

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010238686.3A Active CN113472716B (zh) 2020-03-30 2020-03-30 系统访问方法、网关设备、服务器、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN113472716B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113890765A (zh) * 2021-10-28 2022-01-04 中国电信股份有限公司 用于互联网应用的免密认证方法、系统和存储介质
CN115102771A (zh) * 2022-06-25 2022-09-23 平安银行股份有限公司 数据处理方法、终端设备、系统、设备和存储介质
CN116112922A (zh) * 2023-02-08 2023-05-12 湖北天融信网络安全技术有限公司 客户端的安全检查方法、装置、设备及介质
CN117155718A (zh) * 2023-11-01 2023-12-01 北京持安科技有限公司 一种网关动态访问控制方法、装置及存储介质

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102264050A (zh) * 2011-07-19 2011-11-30 北京星网锐捷网络技术有限公司 网络接入方法、系统及认证服务器
CN104468463A (zh) * 2013-09-12 2015-03-25 深圳市腾讯计算机系统有限公司 验证方法、装置和系统
CN106304057A (zh) * 2015-05-20 2017-01-04 上海纳鑫信息科技有限公司 一种通用的wifi认证方法及系统
CN107528853A (zh) * 2017-09-12 2017-12-29 上海艾融软件股份有限公司 微服务权限控制的实现方法
US20180012000A1 (en) * 2015-12-28 2018-01-11 Passlogy Co., Ltd. User authetication method and system for implementing the same
CN107733852A (zh) * 2017-08-24 2018-02-23 北京三快在线科技有限公司 一种身份验证方法及装置,电子设备
CN108989270A (zh) * 2017-06-02 2018-12-11 华为技术有限公司 认证方法、设备以及系统
CN109194673A (zh) * 2018-09-20 2019-01-11 江苏满运软件科技有限公司 基于用户授权信息的认证方法、系统、设备及存储介质
US20190036933A1 (en) * 2017-07-31 2019-01-31 Airwatch, Llc Systems and methods for controlling email access
CN109347888A (zh) * 2018-12-21 2019-02-15 北京博明信德科技有限公司 基于RESTful的鉴权方法、网关及鉴权设备
CN109413032A (zh) * 2018-09-03 2019-03-01 中国平安人寿保险股份有限公司 一种单点登录方法、计算机可读存储介质及网关

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102264050A (zh) * 2011-07-19 2011-11-30 北京星网锐捷网络技术有限公司 网络接入方法、系统及认证服务器
CN104468463A (zh) * 2013-09-12 2015-03-25 深圳市腾讯计算机系统有限公司 验证方法、装置和系统
CN106304057A (zh) * 2015-05-20 2017-01-04 上海纳鑫信息科技有限公司 一种通用的wifi认证方法及系统
US20180012000A1 (en) * 2015-12-28 2018-01-11 Passlogy Co., Ltd. User authetication method and system for implementing the same
CN108989270A (zh) * 2017-06-02 2018-12-11 华为技术有限公司 认证方法、设备以及系统
US20190036933A1 (en) * 2017-07-31 2019-01-31 Airwatch, Llc Systems and methods for controlling email access
CN107733852A (zh) * 2017-08-24 2018-02-23 北京三快在线科技有限公司 一种身份验证方法及装置,电子设备
CN107528853A (zh) * 2017-09-12 2017-12-29 上海艾融软件股份有限公司 微服务权限控制的实现方法
CN109413032A (zh) * 2018-09-03 2019-03-01 中国平安人寿保险股份有限公司 一种单点登录方法、计算机可读存储介质及网关
CN109194673A (zh) * 2018-09-20 2019-01-11 江苏满运软件科技有限公司 基于用户授权信息的认证方法、系统、设备及存储介质
CN109347888A (zh) * 2018-12-21 2019-02-15 北京博明信德科技有限公司 基于RESTful的鉴权方法、网关及鉴权设备

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113890765A (zh) * 2021-10-28 2022-01-04 中国电信股份有限公司 用于互联网应用的免密认证方法、系统和存储介质
CN115102771A (zh) * 2022-06-25 2022-09-23 平安银行股份有限公司 数据处理方法、终端设备、系统、设备和存储介质
CN115102771B (zh) * 2022-06-25 2023-08-22 平安银行股份有限公司 数据处理方法、终端设备、系统、设备和存储介质
CN116112922A (zh) * 2023-02-08 2023-05-12 湖北天融信网络安全技术有限公司 客户端的安全检查方法、装置、设备及介质
CN116112922B (zh) * 2023-02-08 2023-08-22 湖北天融信网络安全技术有限公司 客户端的安全检查方法、装置、设备及介质
CN117155718A (zh) * 2023-11-01 2023-12-01 北京持安科技有限公司 一种网关动态访问控制方法、装置及存储介质
CN117155718B (zh) * 2023-11-01 2024-02-20 北京持安科技有限公司 一种网关动态访问控制方法、装置及存储介质

Also Published As

Publication number Publication date
CN113472716B (zh) 2023-09-19

Similar Documents

Publication Publication Date Title
CN113472716B (zh) 系统访问方法、网关设备、服务器、电子设备及存储介质
EP2933981B1 (en) Method and system of user authentication
CN107294900B (zh) 基于生物特征的身份注册方法和装置
CN106330850B (zh) 一种基于生物特征的安全校验方法及客户端、服务器
CN107181714B (zh) 基于业务码的验证方法和装置、业务码的生成方法和装置
US20220394026A1 (en) Network identity protection method and device, and electronic equipment and storage medium
US20190026456A1 (en) Methods and Apparatus for Authentication of Joint Account Login
CN112688773A (zh) 一种令牌的生成和校验方法及装置
CN110311895B (zh) 基于身份验证的会话权限校验方法、系统及电子设备
CN112559993B (zh) 身份认证方法、装置、系统及电子设备
WO2012117253A1 (en) An authentication system
WO2016188335A1 (zh) 用户数据的访问控制方法、装置及系统
CN104753674A (zh) 一种应用身份的验证方法和设备
CN107645474B (zh) 登录开放平台的方法及登录开放平台的装置
CN108667800B (zh) 一种访问权限的认证方法及装置
CN112528268B (zh) 跨渠道的小程序登录管理方法、装置及相关设备
CN108965335B (zh) 防止恶意访问登录接口的方法、电子设备及计算机介质
CN112261103A (zh) 一种节点接入方法及相关设备
CN109428869B (zh) 钓鱼攻击防御方法和授权服务器
CN112367302B (zh) 一种适用于chrome浏览器的身份认证方法及系统
CN114978552B (zh) 邮箱验证码的安全管理方法、装置、设备及介质
CN115696329B (zh) 零信任认证方法及装置、零信任客户端设备和存储介质
CN117579374B (zh) 基于OpenAPI的服务访问权限认证方法、装置、系统和服务器
KR20140023085A (ko) 사용자 인증 방법, 인증 서버 및 사용자 인증 시스템
CN113506390B (zh) 访问控制方法、装置、设备及可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant