CN115150168A

CN115150168A - 代填方法、装置及电子设备

Info

Publication number: CN115150168A
Application number: CN202210772304.4A
Authority: CN
Inventors: 刘振超; 陈国强; 于星杰; 张凯淋; 李�杰; 张岩; 王金全; 段文泽
Original assignee: Beijing Topsec Technology Co Ltd; Beijing Topsec Network Security Technology Co Ltd; Beijing Topsec Software Co Ltd
Current assignee: Beijing Topsec Technology Co Ltd; Beijing Topsec Network Security Technology Co Ltd; Beijing Topsec Software Co Ltd
Priority date: 2022-06-30
Filing date: 2022-06-30
Publication date: 2022-10-04
Anticipated expiration: 2042-06-30
Also published as: CN115150168B

Abstract

本申请实施例提供代填方法、装置及电子设备，代填方法包括：读取认证信息；接收运维人员的代填信息；将所述代填信息发送到所述安全审计系统，以使所述安全审计系统根据所述代填信息和所述认证信息触发应用发布服务器进行代填操作。实施上述实施例，能够提高代填操作的安全性和简捷性。

Description

代填方法、装置及电子设备

技术领域

本申请涉及运维技术领域，具体而言，涉及代填方法、装置及电子设备。

背景技术

随着企事业单位IT系统的不断发展，网络规模和设备数量迅速扩大，日趋复杂的IT系统与运维人员不可控的行为给信息系统安全带来较大风险，此种场景下，运维安全管理系统已被广泛使用。运维安全管理系统可提供集中的权限控制，对运维人员进行资产、账号的授权，限定资产的使用权限，运维人员可以通过管理系统进行已授权资产的代填操作。

在运维安全管理系统的使用中，存在着需要通过浏览器运维Web管理系统的场景。在该运维场景下，需要支持运维人员既可以完成Web管理系统的登录认证管理，又可以审计此次代填操作。目前主流方法都是采用应用发布的方式，通过应用发布服务器上的浏览器进行运维管理Web系统，该方案在运维普通认证方式是没有问题的，一旦涉及到硬件Ukey证书认证方式，因为应用发布服务器一般都部署在机房，且是公用的，在运维时候插上Ukey证书，运维完成后拔掉Ukey，这样的运维过程很不方便，而且有可能导致Ukey丢失。这就需要一种在运维Web协议的时候支持Ukey证书认证的方法，来保证Ukey证书认证的安全性和便捷性。

发明内容

本申请实施例的目的在于提供代填方法、装置及电子设备，能够保证硬件认证中的安全性和便捷性。

第一方面，本申请实施例提供了一种代填方法，应用于客户端，包括：

读取认证信息；

接收运维人员的代填信息；

将所述代填信息发送到所述安全审计系统，以使所述安全审计系统根据所述代填信息和所述认证信息触发应用发布服务器进行代填操作。

在上述实现过程中，客户端读取认证信息、代填信息；将认证信息和代填信息发送到应用发布服务器进行代填操作。基于上述实施方式，客户端可以读取认证信息，基于认证信息进行代填操作，不需要运维人员将认证信息插入到应用发布服务器之上，减少了客户的操作，提高了运维的简便性，避免了运维人员和应用发布服务器进行硬件上的交互，提高了运维的安全性。

第二方面，本申请实施例提供一种代填方法，应用于安全审计系统，包括：

接收客户端发送的认证信息；

与应用发布服务器建立连接；

接收客户端发送的代填信息；

将所述代填信息和所述认证信息发送到所述应用发布服务器，以使所述应用发布服务器根据所述认证信息和所述代填信息进行代填操作。

在上述实现过程中，认证信息是由客户端读取，可以避免运维人员直接在应用发布服务器上输入证书的操作，提高了运维的简便性。避免了运维人员和应用发布服务器进行硬件上的交互，提高了运维的安全性。

进一步地，所述与应用发布服务器建立连接的步骤，包括：

生成会话，所述会话用于传输所述代填信息；

根据所述会话的标识信息和所述发布服务器建立会话。

在上述实现过程中，与应用发布服务器建立的连接的过程是基于会话方式进行的，基于会话方式建立连接，可以在一个会话内传递多种信息，提高了安全审计系统和应用发布服务器之间信息传输的效率。

第三方面，本申请实施例提供一种代填方法，应用于应用发布服务器，所述方法包括：

与安全审计系统建立连接；

接收所述安全审计系统发送的代填信息和认证信息；

根据所述代填信息和所述认证信息进行代填操作。

在上述实现过程中，客户端可以读取认证信息，应用发布服务器基于认证信息进行代填操作，不需要运维人员将认证信息插入到应用发布服务器之上，减少了客户的操作，提高了运维的简便性，避免了运维人员和应用发布服务器进行硬件上的交互，提高了运维的安全性。

进一步地，所述与安全审计系统建立连接的步骤，包括：

接收所述安全审计系统发送的会话的标识信息，所述会话用于传输所述代填信息；

根据所述会话的标识信息和所述审计系统建立连接。

进一步地，所述根据所述代填信息和所述认证信息进行代填操作的步骤，包括：

将所述认证信息写入浏览器，以使所述浏览器根据所述认证信息对客户端的身份进行认证；

若认证成功，将所述代填信息输入浏览器进行所述代填操作。

在上述实现过程中，应用发布服务器基于代填信息打开对应的浏览器，运用发布服务器将认证信息输入到浏览器进行验证，不需要运维人员将认证信息插入到应用发布服务器之上，减少了客户的操作，提高了运维的简便性，避免了运维人员和应用发布服务器进行硬件上的交互，提高了运维的安全性，如果认证通过，则将代填信息输入浏览区，完成代填操作。

第四方面，本申请实施例提供一种运维装置，应用于客户端，所述装置包括：

读取模块，用于读取认证信息；

第一接收模块，用于接收运维人员的代填信息；

第一发送模块，用于将所述代填信息发送到所述安全审计系统，以使所述安全审计系统根据所述代填信息和所述认证信息触发应用发布服务器进行代填操作。

第五方面，本申请实施例提供一种运维装置，应用于安全审计系统，包括：

第二接收模块，接收客户端发送的认证信息；

第一连接建立模块，与应用发布服务器建立连接；

所述第二接收模块还用于接收客户端发送的代填信息；

第二发送模块，用于将所述代填信息和所述认证信息发送到所述应用发布服务器，以使所述应用发布服务器根据所述认证信息和所述代填信息进行代填操作。

第六方面，本申请实施例提供一种运维装置，应用于应用发布服务器，所述装置包括：

第二连接建立模块，用于与安全审计系统建立连接；

第三接收模块，用于接收所述安全审计系统发送的代填信息和认证信息；

运维模块，用于根据所述代填信息和所述认证信息进行代填操作。

第七方面，本申请实施例提供的一种电子设备，包括：存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如第一方面任一项所述的方法的步骤。

本申请公开的其他特征和优点将在随后的说明书中阐述，或者，部分特征和优点可以从说明书推知或毫无疑义地确定，或者通过实施本申请公开的上述技术即可得知。

为使本申请的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本申请实施例提供的一种代填方法的流程示意图；

图2为本申请实施例提供的另一种代填方法的流程示意图；

图3为本申请实施例提供的另一种代填方法的流程示意图；

图4为本申请实施例提供的另一种代填方法的流程示意图；

图5为本申请实施例提供的一种代填装置的结构示意图；

图6为本申请实施例提供的另一种代填装置的结构示意图；

图7为本申请实施例提供的另一种代填装置的结构示意图；

图8为本申请实施例提供的电子设备的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本申请的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

实施例1

参见图1，本申请实施例提供一种代填方法，应用于客户端，该方法包括：

S11：读取认证信息；

示例性地，该认证信息为Ukey证书，UKey是一种通过USB(通用串行总线接口)直接与计算机相连、具有密码验证功能、可靠高速的小型存储设备。Ukey是对现行的网络安全体系是一个极为有力的补充，通过中国信息安全测评认证中心认证的网络安全产品。

在进行代填操作时，运维人员将硬件插在客户端的数据传输接口上，使客户端读取到认证信息的内容，将认证信息发送到安全审计系统。

S12：接收运维人员的代填信息；

S13：将代填信息发送到安全审计系统，以使安全审计系统根据代填信息和认证信息触发应用发布服务器进行代填操作。

进一步地，在S11之前，管理员首先通过客户端登录到安全审计系统，对每个客户端可以访问的资产进行配置，包括资产对应的地址、账号密码、认证相关的配置、客户端浏览器等。管理员还对该资产的授权分配，这些配置都会以密文的方式记录在运维审计系统，形成资产，等待后续的运维人员在代填操作之后进行利用。

在S11之后，还包括：接收安全审计系统发送的运维界面，显示该运维界面；

S12包括：接收运维人员通过运维界面输入的代填信息和操作信息；

其中，操作信息包括运维人员所要打开的浏览器，浏览器用于基于认证信息进行认证操作，还用于在认证成功时基于代填信息完成代填操作。

实施例2

参见图2，本申请实施例提供一种代填方法，应用于安全审计系统，该代填方法包括：

S21：接收客户端发送的认证信息；

S22：与应用发布服务器建立连接；

S23：接收客户端发送的代填信息；

S24：将代填信息和认证信息发送到应用发布服务器，以使应用发布服务器根据认证信息和代填信息进行代填操作。

进一步地，S22包括：生成会话，会话用于传输代填信息；

根据会话的标识信息和发布服务器建立会话。

示例性地，安全审计系统在接收到认证信息，并且根据认证信息判断客户端时合法客户端时，生成会话，会话，以及会话的标识信息，具体地，会话的标识信息为会话ID，然后就RDP协议，调起应用服务器，和应用服务器进行传递信息。

在S22之后，方法还包括：接收应用服务器发送的运维界面信息，将运维界面信息发送到客户端，以使客户端显示运维界面；接收客户端的操作信息，所述操作信息用于标识客户所要打开的浏览器。

示例性地，客户端将认证信息发送到安全审计系统之后，安全审计系统和应用服务器建立连接，应用服务器发送一个运维界面相关的代码给运维服务器，运维服务器将页面的代码发送给客户端，客户端对该运维界面进行解析，得到运维界面，客户在运维界面上进行操作，包括点击、输入等，客户端根据运维人员的操作生成代填信息(账号、密码)，和操作信息(确定所要打开的浏览器，所要访问的网址)，应用发布服务器打开对应的浏览器，将认证信息输入到浏览器进行认证，认证过程由该网址所在的服务器完成，应用发布服务器接收认证结果，如果认证成功，将代填信息输入到浏览器进行代填操作，包括：将账号密码输入到网页进行代填。

需要说明的是，在整个代填过程中，客户端可能多次向安全审计服务器发送代填信息，这里的代填信息并不一定是一次性传输的，基于代填过程中的需要，代填信息可以多次传输，每次传输不同的内容，代填信息可以是账号、密码，配置，选中的内容等。

实施例3

参见图3，本申请实施例提供一种代填方法，应用于应用发布服务器，方法包括：

S31：与安全审计系统建立连接；

S32：接收安全审计系统发送的代填信息和认证信息；

S33：根据代填信息和认证信息进行代填操作。

进一步地，在S1之前方法还包括安运维程序，该程序主要作用是能够调起客户端程序，完成消息的接受，按照规则步骤进行代填操作。

在上述实现过程中，应用发布服务器根据第二证书和代填信息实现代填操作，第二证书保存在安全审计系统，能够提高安全性。

进一步地，与安全审计系统建立连接的步骤，包括：

接收安全审计系统发送的会话的标识信息，会话用于传输代填信息；

根据会话的标识信息和审计系统建立连接。

在S32之后，方法还包括：将运维界面信息发送到安全审计系统以使安全审计系统将运维界面信息发送到客户端，以使客户端显示运维界面；

示例性地，客户端将认证信息发送到安全审计系统之后，安全审计系统和应用服务器建立连接，应用服务器发送一个运维界面相关的代码给运维服务器，运维服务器将页面的代码发送给客户端，客户端对该运维界面进行解析，得到运维界面，客户在运维界面上进行操作，包括点击、输入等，客户端根据运维人员的操作生成代填信息(账号、密码)，确定的所要打开的浏览器，所要访问的网址，应用发布服务器打开对应的浏览器，将认证信息输入到浏览器进行认证，认证过程由该网址所在的服务器完成，应用发布服务器接收认证结果，如果认证成功，将代填信息输入到浏览器进行代填操作，包括：将账号密码输入到网页进行代填。

进一步地，根据代填信息和认证信息进行代填操作的步骤，包括：

将认证信息写入浏览器，以使浏览器根据认证信息对客户端的身份进行认证；

若认证成功，将代填信息输入浏览器进行代填操作。

在一可能的实施例中，在根据代填信息和认证信息进行代填操作的步骤之前，还接收安全审计系统发送的客户端的操作信息，根据操作信息打开对应的浏览器。

实施例4

参见图4，为了更好地本申请的方案进行阐述，基于实施例1-实施例3，本申请实施从客户端、安全审计系统以及应用发布服务器组成的运维系统角度阐述该代填方法。

S41：管理员通过客户端在安全审计系统上进行资产配置；

S42：运维人员将Ukey证书插在客户端上，客户端读取认证信息；

S43：安全审计系统接收客户端发送的认证信息；

S44：安全审计系统和应用发布服务器建立连接；

S45：应用发布服务器生成运维界面，将运维界面发送给安全审计系统；

S46：安全审计系统将运维页面发送给客户端；

S47：客户端接收并显示运维界面；

S48：客户端接收运维人员通过运维界面输入的代填信息、操作信息；

S49：客户端将操作信息、代填信息发送到安全审计系统；

S410：安全审计系统将操作信息代填信息发送到应用发布服务器；

S411：应用发布服务器接收操作信息、认证信息和代填信息；

S412：应用发布服务器根据操作信息打开对应的浏览器；

S413：应用发布服务器将认证信息输入到浏览器中进行认证；

S414：如果认证成功，应用发布服务器代填信息输入到浏览器中进行代填操作。

实施例4

参见图5，本申请实施例提供一种运维装置，应用于客户端，装置包括：

读取模块11，用于读取认证信息；

第一接收模块12，用于接收运维人员的代填信息；

第一发送模块13，用于将代填信息发送到安全审计系统，以使安全审计系统根据代填信息和认证信息触发应用发布服务器进行代填操作。

实施例5

参见图6，本申请实施例提供一种运维装置，应用于安全审计系统，包括：

第二接收模块21，接收客户端发送的认证信息；

第一连接建立模块22，与应用发布服务器建立连接；

第二接收模块21还用于接收客户端发送的代填信息；

第二发送模块23，用于将代填信息和认证信息发送到应用发布服务器，以使应用发布服务器根据认证信息和代填信息进行代填操作。

实施例6

参见图7，本申请实施例提供一种运维装置，应用于安全审计系统，包括：

第二连接建立模块31，用于与安全审计系统建立连接；

第三接收模块32，用于接收所述安全审计系统发送的代填信息和认证信息；

运维模块33，用于根据所述代填信息和所述认证信息进行代填操作。

本申请还提供一种电子设备，请参见图8，图8为本申请实施例提供的一种电子设备的结构框图。电子设备可以包括处理器81、通信接口82、存储器83和至少一个通信总线84。其中，通信总线84用于实现这些组件直接的连接通信。其中，本申请实施例中电子设备的通信接口82用于与其他节点设备进行信令或数据的通信。处理器81可以是一种集成电路芯片，具有信号的处理能力。

上述的处理器81可以是通用处理器，包括中央处理器(Central ProcessingUnit，CPU)、网络处理器(Network Processor，NP)等；还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器81也可以是任何常规的处理器等。

存储器83可以是，但不限于，随机存取存储器(Random Access Memory，RAM)，只读存储器(Read Only Memory，ROM)，可编程只读存储器(Programmable Read-Only Memory，PROM)，可擦除只读存储器(Erasable Programmable Read-Only Memory，EPROM)，电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory，EEPROM)等。存储器83中存储有计算机可读取指令，当计算机可读取指令由处理器81执行时，电子设备可以执行上述方法实施例涉及的各个步骤。

可选地，电子设备还可以包括存储控制器、输入输出单元。

存储器83、存储控制器、处理器81、外设接口、输入输出单元各元件相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通信总线84实现电性连接。处理器81用于执行存储器83中存储的可执行模块，例如电子设备包括的软件功能模块或计算机程序。

输入输出单元用于提供给运维人员创建任务以及为该任务创建启动可选时段或预设执行时间以实现运维人员与服务器的交互。输入输出单元可以是，但不限于，鼠标和键盘等。

可以理解，图8所示的结构仅为示意，电子设备还可包括比图8中所示更多或者更少的组件，或者具有与图8所示不同的配置。图8中所示的各组件可以采用硬件、软件或其组合实现。

本申请实施例还提供一种计算机可读存储介质，计算机可读存储介质上存储有指令，当指令在计算机上运行时，计算机程序被处理器执行时实现方法实施例的方法，为避免重复，此处不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上仅为本申请的实施例而已，并不用于限制本申请的保护范围，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

以上，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求的保护范围为准。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims

1.一种代填方法，其特征在于，应用于客户端，包括：

读取认证信息；

接收运维人员的代填信息；

将所述代填信息发送到安全审计系统，以使所述安全审计系统根据所述代填信息和所述认证信息触发应用发布服务器进行代填操作。

2.一种代填方法，其特征在于，应用于安全审计系统，包括：

接收客户端发送的认证信息；

与应用发布服务器建立连接；

接收客户端发送的代填信息；

3.根据权利要求2所述的代填方法，其特征在于，所述与应用发布服务器建立连接的步骤，包括：

生成会话，所述会话用于传输所述代填信息；

根据所述会话的标识信息和所述发布服务器建立会话。

4.一种代填方法，其特征在于，应用于应用发布服务器，所述方法包括：

与安全审计系统建立连接；

接收所述安全审计系统发送的代填信息和认证信息；

根据所述代填信息和所述认证信息进行代填操作。

5.根据权利要求4所述的代填方法，其特征在于，所述与安全审计系统建立连接的步骤，包括：

根据所述会话的标识信息和所述审计系统建立连接。

6.根据权利要求4所述的代填方法，其特征在于，所述根据所述代填信息和所述认证信息进行代填操作的步骤，包括：

7.一种运维装置，其特征在于，应用于客户端，所述装置包括：

读取模块，用于读取认证信息；

第一接收模块，用于接收运维人员的代填信息；

第一发送模块，用于将所述代填信息发送到安全审计系统，以使所述安全审计系统根据所述代填信息和所述认证信息触发应用发布服务器进行代填操作。

8.一种运维装置，其特征在于，应用于安全审计系统，包括：

第二接收模块，接收客户端发送的认证信息；

第一连接建立模块，与应用发布服务器建立连接；

所述第二接收模块还用于接收客户端发送的代填信息；

9.一种运维装置，其特征在于，应用于应用发布服务器，所述装置包括：

第二连接建立模块，用于与安全审计系统建立连接；

10.一种电子设备，其特征在于，包括：存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如权利要求1-6任一项所述的方法的步骤。