CN115396133A - 应用系统的访问方法与装置、网关及可读存储介质 - Google Patents

应用系统的访问方法与装置、网关及可读存储介质 Download PDF

Info

Publication number
CN115396133A
CN115396133A CN202110810552.9A CN202110810552A CN115396133A CN 115396133 A CN115396133 A CN 115396133A CN 202110810552 A CN202110810552 A CN 202110810552A CN 115396133 A CN115396133 A CN 115396133A
Authority
CN
China
Prior art keywords
application system
interactive data
user fixed
gateway
target application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110810552.9A
Other languages
English (en)
Inventor
李慧镝
张滨
袁捷
庄仁峰
张峰
陈芨
张鹏
董航
郑磊
于乐
方嘉宇
何申
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202110810552.9A priority Critical patent/CN115396133A/zh
Publication of CN115396133A publication Critical patent/CN115396133A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种应用系统的访问方法与装置、网关及可读存储介质。其中,应用系统的访问方法包括以下步骤:接收通过第二网关转发的目标应用系统的交互数据,其中,所述第二网关对客户端发送的交互数据添加用户固定标识,并将添加用户固定标识的所述交互数据转发至所述第一网关;获取所述交互数据中的用户固定标识;在根据所述用户固定标识确定具备所述目标应用系统的访问权限时,将所述交互数据发送至所述目标应用系统。如此,通过第一网关根据用户固定标识鉴别访问权限,可提高目标应用系统访问的安全性。

Description

应用系统的访问方法与装置、网关及可读存储介质
技术领域
本发明涉及数据访问技术领域,尤其涉及一种应用系统的访问方法与装置、网关及可读存储介质。
背景技术
在对应用系统进行数据访问时,目前主要的访问方式有两种:一种是基于客户端的IP地址对应用系统进行访问;另一种是基于用户登录信息进行鉴权后对应用系统进行访问。然而,基于IP地址进行访问时无法准确区分共享IP的不同用户,也即无法准确确定访问权限;基于用户登录信息进行访问时容易暴露认证接口导致存在黑客入侵的风险。如此,无论是基于IP地址进行访问还是基于登录信息进行访问,都会使应用系统的访问存在安全风险。
发明内容
本发明主要目的在于提供一种应用系统的访问方法与装置、网关及可读存储介质,旨在解决提高应用系统访问的安全性。
为实现上述目的,本发明提供一种应用系统的访问方法,应用于第一网关,所述方法包括以下步骤:
接收通过第二网关转发的目标应用系统的交互数据,其中,所述第二网关对客户端发送的交互数据添加用户固定标识,并将添加用户固定标识的所述交互数据转发至所述第一网关;
获取所述交互数据中的用户固定标识;
在根据所述用户固定标识确定具备所述目标应用系统的访问权限时,将所述交互数据发送至所述目标应用系统。
可选地,所述获取所述交互数据中的用户固定标识的步骤之后,还包括:
判断所述用户固定标识与所述目标应用系统关联的白名单中的预设用户固定标识是否匹配,其中,在所述用户固定标识与所述预设用户固定标识不匹配时,判定不具备所述目标应用系统的访问权限。
可选地,所述判断所述用户固定标识与所述目标应用系统关联的白名单中的预设用户固定标识是否匹配的步骤之前,所述方法还包括:
接收所述目标应用系统发送的更新后的白名单,以更新后的白名单作为所述目标应用系统关联的白名单;或者,
接收白名单的更新管理操作,根据所述更新管理操作对所述目标应用系统关联的白名单进行更新。
可选地,所述获取所述交互数据中的用户固定标识的步骤之后,所述方法还包括:
若所述交互数据不存在异常,则在根据所述用户固定标识确定具备所述目标应用系统的访问权限时,执行所述将所述交互数据发送至所述目标应用系统的步骤;
若所述交互数据存在异常,则拦截所述交互数据,并根据所述用户固定标识对发送所述交互数据的用户进行追踪处理。
可选地,所述获取所述交互数据中的用户固定标识的步骤之后,还包括:
在根据所述用户固定标识确定不具备所述目标应用系统的访问权限时,拦截所述交互数据,并向发送所述交互数据的客户端发送访问失败的提示信息。
此外,为实现上述目的,本发明还提供一种应用系统的访问方法,应用于第二网关,所述方法包括以下步骤:
接收客户端发送的目标应用系统的交互数据;
在所述交互数据中添加所述客户端对应的用户固定标识;
将添加所述用户固定标识后的所述交互数据发送至第一网关,其中,所述第一网关接收通过第二网关转发的目标应用系统的交互数据,获取所述交互数据中的用户固定标识,在根据所述用户固定标识确定具备所述目标应用系统的访问权限时,将所述交互数据发送至所述目标应用系统。
可选地,所述在所述交互数据中添加所述客户端对应的用户固定标识的步骤包括:
若所述交互数据基于明文协议传输,则将所述用户固定标识添加至所述交互数据的消息头中;
若所述交互数据基于密文协议传输,则将所述用户固定标识添加至所述交互数据的安全套接字协议握手报文中。
此外,为实现上述目的,本发明还提供一种网关,所述网关包括存储器、处理器及存储在所述处理器上并可在处理器上运行的应用系统的访问程序,所述处理器执行所述应用系统的访问程序时实现如上所述的应用系统的访问方法的步骤。
此外,为实现上述目的,本发明还提供一种应用系统的访问装置,所述应用系统的访问装置包括第一接收模块、获取模块以及第二发送模块,其中:
所述第一接收模块,用于接收通过第二网关转发的目标应用系统的交互数据,其中,所述第二网关对客户端发送的交互数据添加用户固定标识,并将添加用户固定标识的所述交互数据转发至所述第一网关;
所述获取模块,用于获取所述交互数据中的用户固定标识;
所述第一发送模块,用于在根据所述用户固定标识确定具备所述目标应用系统的访问权限时,将所述交互数据发送至所述目标应用系统;
或者,所述应用系统的访问装置包括第二接收模块、添加模块以及第二发送模块,其中:
所述第二接收模块,用于接收客户端发送的目标应用系统的交互数据;
所述添加模块,用于在所述交互数据中添加所述客户端对应的用户固定标识;
所述第二发送模块,用于将添加所述用户固定标识后的所述交互数据发送至第一网关,其中,所述第一网关接收通过第二网关转发的目标应用系统的交互数据,获取所述交互数据中的用户固定标识,在根据所述用户固定标识确定具备所述目标应用系统的访问权限时,将所述交互数据发送至所述目标应用系统。
此外,为实现上述目的,本发明还提供一种可读存储介质,所述可读存储介质上存储有应用系统的访问程序,所述应用系统的访问程序被处理器执行时实现如上所述的应用系统的访问方法的步骤。
本发明实施例中,在第二网关对客户端发送的交互数据添加用户固定标识,并将添加用户固定标识的交互数据转发至第一网关之后,第一网关接收通过第二网关转发的目标应用系统的交互数据,并获取交互数据中的用户固定标识,使得在根据用户固定标识确定具备目标应用系统的访问权限时,将交互数据发送至目标应用系统,能够避免不具备目标应用系统的访问权限时将交互数据发送至目标应用系统导致目标应用系统存在安全隐患,并且根据用户固定标识确定具备目标应用系统的访问权限,无需用户输入登录信息也无需获取客户端对应的IP地址,能够避免暴露登录接口或IP地址存在变化无法准确确定目标应用系统的访问权限,导致目标应用系统的访问存在安全隐患。也即,通过第一网关根据用户固定标识确定具备目标应用系统的访问权限能够提高目标应用系统的访问的安全性。
附图说明
图1为本发明实施例方案涉及的硬件运行环境的集应用系统的访问装置结构示意图;
图2是本发明应用系统的访问方法一实施例的流程示意图;
图3为本发明应用系统的访问方法另一实施例的流程示意图;
图4为本发明应用系统的访问方法又一实施例的流程示意图;
图5为本发明应用系统的访问装置的一实施例的功能模块示意图;
图6为本发明应用系统的访问装置的另一实施例的功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明的主要解决方案是:接收通过第二网关转发的目标应用系统的交互数据,其中,所述第二网关对客户端发送的交互数据添加用户固定标识,并将添加用户固定标识的所述交互数据转发至所述第一网关;获取所述交互数据中的用户固定标识;在根据所述用户固定标识确定具备所述目标应用系统的访问权限时,将所述交互数据发送至所述目标应用系统。
由于现有技术中主要通过客户端对应的IP地址进行访问权限鉴别以实现应用系统的访问或者是通过用户输入登录信息进行访问权限鉴别以实现应用系统的访问。然而,IP地址会随上网方式等因素的改变而改变使得访问权限鉴别不准确而时应用系统的访问存在安全隐患;并且,用户输入登录信息时,容易暴露认证接口导致存在黑客入侵等风险。因而,本发明提供上述解决方案,旨在提高应用系统访问的安全性。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的应用系统的访问装置结构示意图。
可选地,所述应用系统的访问装置可以是网关,例如第一网关或第二网关。其中,第一网关指的是部署于目标应用系统之前,用于对目标应用系统的交互数据进行管理控制(如,身份认证、流量限制等)的网关设备,如运营商移动网络的GGSN网关;第二网关指的是部署于第一网关之前,用于对客户端发送的交互数据进行用户身份标识的网关设备,如透明网关。
如图1所示,该应用系统的访问装置可以包括:通信总线1002,处理器1001,例如CPU,用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的应用系统的访问装置结构并不构成对应用系统的访问装置的限定,可以包括比图示更多或更少的部件,或组合某些部件,或者不同的部件布置。
在图1所示的应用系统的访问装置中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;用户接口1003主要用于连接客户端(用户端),与客户端进行数据通信;而处理器1001可以用于调用存储器1005中存储的应用系统的访问程序,并执行以下应用系统的访问方法各实施例的相关步骤。
参照图2,图2为本发明应用系统的访问方法的一实施例的流程示意图。本实施例提出的应用系统的访问方法应用于第一网关,所述应用系统的访问方法包括以下步骤:
步骤S10:接收通过第二网关转发的目标应用系统的交互数据,其中,所述第二网关对客户端发送的交互数据添加用户固定标识,并将添加用户固定标识的所述交互数据转发至所述第一网关;
需要说明的是,第一网关指的是部署于目标应用系统之前,用于对目标应用系统的交互数据进行管理控制(如,身份认证、流量限制等)的网关设备;第二网关指的是部署于第一网关之前,用于对客户端发送的交互数据进行用户身份标识的网关设备;目标应用系统指的是客户端需要交互的应用系统;用户固定标识指的是能够对各个客户端发送的交互数据进行唯一标识且不会因外界因素发生改变而改变的标识信息,如,电话号码、电话号码关联的身份信息等。
可选地,第一网关可以是透明网关,第二网关可以是运营商移动网络的GGSN网关。其中,运营商移动网络的GGSN网关可在客户端通过移动网络访问指定地址时获取到客户端对应的用户固定标识(如,手机号码)添加至交互数据中,然后将添加用户固定标识后的交互数据发送至透明网关,由透明网关根据用户固定标识进行访问鉴权。如此,通过第一网关和第二网关的相互配合,可以在用户无感知的情况下对用户进行鉴权,无需用户输入登录信息,也无需基于客户端IP进行网络适配,能够提高目标应用系统访问的安全性。
具体地,在用户通过客户端向目标应用系统发送交互数据,例如,用户在客户端通过域名向目标应用系统发送访问请求时,客户端可通过通信网络将携带域名的交互数据发送至第二网关。由第二网关根据域名确定客户端所要访问的目标应用系统是否为与第二网关关联的指定系统。如果客户端所要访问的目标应用系统为与第二网关关联的指定系统,则第二网关会根据客户端发送交互数据时使用的移动网络获取客户端对应的用户固定标识,并将用户固定标识添加至交互数据中,然后将添加用户固定标识的交互数据转发至第一网关。可选地,第二网关也可以是将用户固定标识与交互数据关联后,发送至第一网关。
步骤S20:获取所述交互数据中的用户固定标识;
第一网关在接收到第二网关转发的目标应用系统的交互数据之后,由于第二网关预先在目标应用系统的交互数据中添加了用户固定标识,第一网关可直接从交互数据中获取用户固定标识,进而可根据用户固定标识对当前交互数据进行鉴权处理,以确定是否具备目标应用系统的访问权限。
可选地,第一网关预先存储有与目标应用系统关联的白名单,可将用户固定标识与目标应用系统关联的白名单中的预设用户固定标识进行匹配,以确定是否具备目标应用系统的访问权限。具体地,可在获取交互数据中的用户固定标识之后,判断用户固定标识与目标应用系统关联的白名单中的预设用户固定标识是否匹配。若目标应用系统关联的白名单中存在与所获取的用户固定标识匹配的预设用户固定标识,则认为具备目标应用系统的访问权限;若目标应用系统关联的白名单中不存在与所获取的用户固定标识相匹配的预设用户固定标识,则认为具备目标应用系统的访问权限。
可选地,为了便于对目标应用系统关联的白名单进行实时更新,以提高第一网关鉴权的可靠性,可在确定访问权限之前,对目标应用系统关联的白名单进行更新。具体的更新方式可以是:由用户在目标应用系统对目标应用系统关联的白名单中的预设用户固定标识进行增加、删除以及替换等更新操作后,由目标应用系统将更新后的白名单自动同步至第一网关;或者是由用户在第一网关的管理平台对目标应用系统关联的白名单中的预设用户固定标识进行增加、删除以及替换等更新管理操作,以实现对目标应用系统关联的白名单的更新等。当然,也可以是以上方式的结合等。如此,通过灵活选择目标应用系统关联的白名单的更新方式,可以提高目标应用系统关联的白名单更新的有效性,以提高鉴权的有效性。
如此,在判断用户固定标识与所述目标应用系统关联的白名单中的预设用户固定标识是否匹配之前,为了提高第一网关进行身份鉴权的有效性,可先检测是否存在白名单的更新,如果存在白名单的更新,则将用户固定标识与更新后的白名单中的预设用户固定标识进行匹配以确定是否具备目标应用系统的访问权限,避免白名单存在更新时,未及时以更新后的白名单作为鉴权依据导致鉴权结果的准确性降低。如此,通过及时更新白名单,能够避免部分不具备访问权限的用户与目标应用系统进行数据交互,导致存在数据泄露等风险;并且,能够避免存在部分具备访问权限的用户的交互数据遭到拦截,而影响用户体验感。
步骤S30:在根据所述用户固定标识确定具备所述目标应用系统的访问权限时,将所述交互数据发送至所述目标应用系统;
在根据用户固定标识确定具备目标应用系统的访问权限时,认为交互环境安全,可将交互数据发送至目标应用系统。而目标应用系统在接收到第一网关转发的交互数据之后,可对交互数据做出相应的响应并将响应数据反馈至客户端。其中,第一网关在确认具备目标应用系统的访问权限时,还会生成目标应用系统认证通过的标识并与用户固定标识进行绑定形成携带用户固定标识的会话标识(后续该客户端的交互数据均会携带该会话标识),并存储到第一网关中目标应用系统对应的会话缓存区块中。如此,在下次交互时如果交互数据携带会话标识,则第一网关会到目标应用系统对应的会话缓存区块去查询目标应用系统的携带认证通过信息和用户固定标识的会话标识。若查询到目标应用的会话标识,则说明具备目标应用系统的访问权限,无需提取用户固定标识进行鉴权;若未查询到目标应用的会话标识,则需要执行获取所述交互数据中的用户固定标识的步骤,重新进行鉴权。
在根据用户固定标识确定不具备目标应用系统的访问权限时,为了提高目标应用系统访问的安全性,会对交互数据进行拦截,以实现目标应用系统的隐身,避免在不具备目标应用系统的访问权限向客户端展示目标应用系统导致存在网络攻击等安全隐患。可选地,在对交换数据进行拦截之后,可向发送交互数据的客户端发送访问失败的提示信息,以便于用户根据提示信息进行相应的处理。例如,在存在拦截失误时,可重新进行交互认证或者进行申诉等。
本实施例通过第一网关根据用户固定标识进行自动鉴权,而用户固定标识由第一网关添加无需用户手动输入也不会随应用环境的改变而改变,能够提高鉴权的可靠性,并且基于用户固定标识进行鉴权而无需基于登录信息或IP地址进行鉴权,可避免因暴露认证接口或IP地址不固定等因素导致存在安全隐患,进而可以提高目标应用系统访问的安全性。
基于上述实施例,提出本发明应用系统的访问方法的另一实施例。参照图3,本实施例提出的应用系统的访问方法应用于第一网关,所述应用系统的访问方法还包括:
步骤S10:接收通过第二网关转发的目标应用系统的交互数据,其中,所述第二网关对客户端发送的交互数据添加用户固定标识,并将添加用户固定标识的所述交互数据转发至所述第一网关;
步骤S20:获取所述交互数据中的用户固定标识;
步骤S31:判断所述交互数据是否存在异常;
步骤S301:在根据所述用户固定标识确定具备所述目标应用系统的访问权限时,将所述交互数据发送至所述目标应用系统;
步骤S302:拦截所述交互数据,并根据所述用户固定标识对发送所述交互数据的用户进行追踪处理。
由于交互数据中可能本身存在一些网络攻击等安全隐患,而第一网关根据用户固定标识进行目标应用系统的访问权限鉴别时,只能保证访问身份的安全性,并不能保证交互数据本身的安全性。因而,为了进一步提高客户端与目标应用系统交互时的安全性,可在获取交互数据中的用户固定标识之后,以及通过第一网关确定对目标应用系统的访问权限之前,对交互数据进行异常检测。可选地,可通过第一网关对交互数据进行异常检测,或者是在第一网关之前增加防火墙等安全防护设备对交互数据进行异常检测。
若通过第一网关对交互数据进行异常检测,则在第一网关获取交互数据中的用户固定标识之后,可先对交互数据进行异常检测,然后根据用户固定标识进行访问权限的鉴别。可选地,可以是根据交互数据中的用户固定标识对交互数据进行异常检测,例如,若用户固定标识为电话号码,则在电话号码的类型为境外号码、营销号码、诈骗号码时,认为交互数据存在异常;也可以是结合交互数据中的用户固定标识以及至少一项其他信息(如,客户端对应的IP地址等)对交互数据进行异常检测等,此处不作具体限定。
一方面,在确定交互数据不存在异常时,可根据用户固定标识确定是否具备目标应用系统的访问权限,以在根据用户固定标识确定具备目标应用系统的访问权限时,将交互数据发送至目标应用系统,使得在实现身份认证的同时还可确保交互数据本身的数据安全性,达到数据安全与访问安全的双重防护。
另一方面,在确定交互数据存在异常时,可及时对交互数据进行拦截,避免鉴权通过后,将异常的交互数据转发至目标应用系统导致目标应用系统存在安全隐患。可选地,在对交互数据进行拦截之后,还可根据交互数据中的用户固定标识对发送交互数据的用户进行追踪处理。例如,可将交互异常的交互数据中的用户固定标识添加至交互数据异常监测的黑名单中,使得下次接收到交互数据时,即便用户更换了IP地址,只要检测到该用户固定标识,即可直接对携带该用户固定标识的交互数据进行拦截而无需鉴权,能够提高交互数据异常监测的可靠性。
可选地,对交互数据进行异常检测与根据用户固定标识确定对目标应用系统的访问权限的也可以是同时进行。此时,在根据用户固定标识确定具有目标应用系统的访问权限且交互数据不存在异常时,执行将交互数据发送至目标应用系统的步骤。
本实施例通过在获取交互数据中的用户固定标识之后,对交互数据进行异常检测,使得在根据用户固定标识确定具备目标应用系统的访问权限时,才将交互数据发送至目标应用系统,不仅能够确认具备目标应用系统的访问权限而且能够确认交互数据本身的数据安全性,以对数据安全与访问安全进行双重防护。
基于上述实施例,提出本发明应用系统的访问方法的另一实施例。参照图4,本实施例提出的应用系统的访问方法应用于第二网关,所述应用系统的访问方法还包括:
步骤S01:接收客户端发送的目标应用系统的交互数据;
步骤S02:在所述交互数据中添加所述客户端对应的用户固定标识;
步骤S03:将添加所述用户固定标识后的所述交互数据发送至第一网关,其中,所述第一网关接收通过第二网关转发的目标应用系统的交互数据,获取所述交互数据中的用户固定标识,在根据所述用户固定标识确定具备所述目标应用系统的访问权限时,将所述交互数据发送至所述目标应用系统。
需要说明的是,第一网关指的是部署于目标应用系统之前,用于对目标应用系统的交互数据进行管理控制(如,身份认证、流量限制等)的网关设备;第二网关指的是部署于第一网关之前,用于对客户端发送的交互数据进行用户身份标识的网关设备;目标应用系统指的是客户端需要交互的应用系统;用户固定标识指的是能够对各个客户端发送的交互数据进行唯一标识且不会因外界因素发生改变而改变的标识信息,如,电话号码。
为了实现无感鉴权并提高确定与目标应用系统进行的交互权限的准确性,可由第二网关获取客户端对应的用户固定标识添加至交互数据中,以供第一网关根据交互数据中的用户固定标识确定访问目标应用系统时的访问权限。
可选地,第一网关可以是透明网关,第二网关可以是运营商移动网络的GGSN网关。其中,运营商移动网络的GGSN网关可在客户端通过移动网络访问指定的应用系统时获取到客户端对应的用户固定标识(如,手机号码)添加至交互数据中,然后将添加用户固定标识后的交互数据发送至透明网关,由透明网关根据用户固定标识进行访问鉴权。如此,通过第一网关和第二网关的相互配合,可以在用户无感知的情况下对用户进行鉴权,无需用户输入登录信息,也无需基于客户端IP进行网络适配,能够提高目标应用系统访问的安全性。
具体地,在用户通过客户端向目标应用系统发送交互数据,例如,用户在客户端通过域名向目标应用系统发送访问请求时,客户端可通过通信网络将携带域名的交互数据发送至第二网关。第二网关可根据交互数据中的域名确定目标应用系统是否第二网关关联的指定系统。如果目标应用系统是与第二网关关联的指定系统,且交互数据为客户端通过移动网络发送,则第二网关可获取到客户端对应的用户固定标识(如手机号码)。在获取用户固定标识之后,为了对交互数据进行标记,以供第一网关进行鉴权,可将用户固定标识添加至交互数据中,并将添加用户固定标识后的交互数据发送至第一网关。可选地,在其他一些实施例中,也可以是将用户固定标识与交互数据关联后发送至第一网关。
交互数据对应采用的传输协议不同,对应的用户固定标识在交互数据中的添加位置不同。为了将用户固定标识有效添加至交互数据中以便第二网关根据用户固定标识进行鉴权,可对不同协议传输的交互数据进行区分,进而有针对性将用户固定标识添加至相应的位置。
具体地,可按照传输时所采用的协议类型将交互数据区分为基于明文协议传输的第一类交互数据以及基于密文协议传输的第二类交互数据。其中,在交互数据为基于明文协议传输的第一交互数据时,可将用户固定标识添加至交互数据的消息头中,以便于第一网关在获取到交互数据之后,可以从消息头中快速获取到存储于消息头中的用户固定标识进行鉴权,以提高鉴权效率,避免用户的长时间等待;在交互数据为基于密文协议传输的第二类交互数据时,可将用户固定标识添加至交互数据的安全套接字协议握手报文中,一方面可以基于密文协议传输时,消息头处于加密状态导致第二网关无法将用户固定标识有效地添加至交互数据中,另一方面,将用户固定标识添加至交互数据的安全套接字协议握手报文,使得在于第一网关握手的过程中,可以快速获取到用户固定标识进行鉴权,以提高鉴权效率。可选地,明文协议可以是http协议等;密文协议可以是https协议等。
在将用户固定标识添加至交互数据之后,可将添加用户固定标识后的所述交互数据发送至第一网关以供第一网关根据用户固定标识对交互数据进行鉴权。第一网关在接收通过第二网关转发的目标应用系统的交互数据之后,会获取交互数据中的用户固定标识,并在根据用户固定标识确定具备目标应用系统的访问权限时,将交互数据发送至目标应用系统。也即,在不具备目标应用系统的访问权限时,目标应用系统对于访问用户来说是不可见的,可以提高目标应用系统的保密性。其中,第一网关接收交互数据,根据交互数据中的用户固定数据确定具备目标应用系统的访问权限时,将交互数据发送至目标应用系统的相关实施例,已在上述实施例中进行相关描述,此处不再赘述。
本实施例通过在接收客户端发送的目标应用系统的交互数据后,在交互数据中添加所客户端对应的用户固定标识,并将添加用户固定标识后的交互数据发送至第一网关,以供第一网关根据交互数据中的用户固定标识进行访问权限鉴定,使得用户无需手动输入登录账号与密码等登录信息进行访问权限鉴别,并且可以避免基于IP地址进行自动认证时,因IP地址会随上网方式等因素的改变而改变不利于提高访问权限鉴别的准确性。如此,通过第一网关自动添加用户固定标识至交互数据,不仅能够实现无感认证,而且能够提高访问目标应用系统时访问权限确定的准确性。
此外,本申请还提供一种应用系统的访问装置,所述应用系统的访问装置包括存储器、处理器及存储在存储器上并在所述处理器上运行应用系统的访问程序,所述处理器执行所述应用系统的访问程序时实现如上所述应用系统的访问方法的步骤。
可选地,所述应用系统的访问装置可以是网关,例如第一网关或第二网关。其中,第一网关指的是部署于目标应用系统之前,用于对目标应用系统的交互数据进行管理控制(如,身份认证、流量限制等)的网关设备,如运营商移动网络的GGSN网关;第二网关指的是部署于第一网关之前,用于对客户端发送的交互数据进行用户身份标识的网关设备,如透明网关。
一实施例中,参考图5,所述应用系统的访问装置100可包括:第一接收模块10、获取模块20以及第一发送模块30,其中:
第一接收模块10,用于接收通过第二网关转发的目标应用系统的交互数据,其中,所述第二网关对客户端发送的交互数据添加用户固定标识,并将添加用户固定标识的所述交互数据转发至所述第一网关;
获取模块20,用于获取所述交互数据中的用户固定标识;
第一发送模块30,用于在根据所述用户固定标识确定具备所述目标应用系统的访问权限时,将所述交互数据发送至所述目标应用系统。
一实施例中,参考图6,所述应用系统的访问装置100可包括:第二接收模块40、添加模块50以及第二发送模块60,其中:
第二接收模块40,用于接收客户端发送的目标应用系统的交互数据;
添加模块50,用于在所述交互数据中添加所述客户端对应的用户固定标识;
第二发送模块60,用于将添加所述用户固定标识后的所述交互数据发送至第一网关,其中,所述第一网关接收通过第二网关转发的目标应用系统的交互数据,获取所述交互数据中的用户固定标识,在根据所述用户固定标识确定具备所述目标应用系统的访问权限时,将所述交互数据发送至所述目标应用系统。
需要说明的是,所述应用系统的访问装置100的各个实施例与上述应用系统的访问方法的各实施例基本相同,此处不再赘述。
此外,本发明实施例还提供一种可读存储介质,所述可读存储介质上存储有应用系统的访问程序,所述应用系统的访问程序被处理器执行时实现如上所述的应用系统的访问方法的步骤。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,电视,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种应用系统的访问方法,其特征在于,应用于第一网关,所述应用系统的访问方法包括以下步骤:
接收通过第二网关转发的目标应用系统的交互数据,其中,所述第二网关对客户端发送的交互数据添加用户固定标识,并将添加用户固定标识的所述交互数据转发至所述第一网关;
获取所述交互数据中的用户固定标识;
在根据所述用户固定标识确定具备所述目标应用系统的访问权限时,将所述交互数据发送至所述目标应用系统。
2.如权利要求1所述的应用系统的访问方法,其特征在于,所述获取所述交互数据中的用户固定标识的步骤之后,还包括:
判断所述用户固定标识与所述目标应用系统关联的白名单中的预设用户固定标识是否匹配,其中,在所述用户固定标识与所述预设用户固定标识不匹配时,判定不具备所述目标应用系统的访问权限。
3.如权利要求2所述的应用系统的访问方法,其特征在于,所述判断所述用户固定标识与所述目标应用系统关联的白名单中的预设用户固定标识是否匹配的步骤之前,所述方法还包括:
接收所述目标应用系统发送的更新后的白名单,以更新后的白名单作为所述目标应用系统关联的白名单;或者,
接收白名单的更新管理操作,根据所述更新管理操作对所述目标应用系统关联的白名单进行更新。
4.如权利要求1所述的应用系统的访问方法,其特征在于,所述获取所述交互数据中的用户固定标识的步骤之后,所述方法还包括:
若所述交互数据不存在异常,则在根据所述用户固定标识确定具备所述目标应用系统的访问权限时,执行所述将所述交互数据发送至所述目标应用系统的步骤;
若所述交互数据存在异常,则拦截所述交互数据,并根据所述用户固定标识对发送所述交互数据的用户进行追踪处理。
5.如权利要求1所述的应用系统的访问方法,其特征在于,所述获取所述交互数据中的用户固定标识的步骤之后,还包括:
在根据所述用户固定标识确定不具备所述目标应用系统的访问权限时,拦截所述交互数据,并向发送所述交互数据的客户端发送访问失败的提示信息。
6.一种应用系统的访问方法,其特征在于,应用于第二网关,所述应用系统的访问方法包括以下步骤:
接收客户端发送的目标应用系统的交互数据;
在所述交互数据中添加所述客户端对应的用户固定标识;
将添加所述用户固定标识后的所述交互数据发送至第一网关,其中,所述第一网关接收通过第二网关转发的目标应用系统的交互数据,获取所述交互数据中的用户固定标识,在根据所述用户固定标识确定具备所述目标应用系统的访问权限时,将所述交互数据发送至所述目标应用系统。
7.如权利要求6所述的应用系统的访问方法,其特征在于,所述在所述交互数据中添加所述客户端对应的用户固定标识的步骤包括:
若所述交互数据基于明文协议传输,则将所述用户固定标识添加至所述交互数据的消息头中;
若所述交互数据基于密文协议传输,则将所述用户固定标识添加至所述交互数据的安全套接字协议握手报文中。
8.一种网关,其特征在于,所述网关包括存储器、处理器及存储在存储器上并在所述处理器上运行的应用系统的访问程序,所述处理器执行所述应用系统的访问程序时实现如权利要求1至7中任一项所述的应用系统的访问方法的步骤。
9.一种应用系统的访问装置,其特征在于,所述应用系统的访问装置包括第一接收模块、获取模块以及第二发送模块,其中:
所述第一接收模块,用于接收通过第二网关转发的目标应用系统的交互数据,其中,所述第二网关对客户端发送的交互数据添加用户固定标识,并将添加用户固定标识的所述交互数据转发至所述第一网关;
所述获取模块,用于获取所述交互数据中的用户固定标识;
所述第一发送模块,用于在根据所述用户固定标识确定具备所述目标应用系统的访问权限时,将所述交互数据发送至所述目标应用系统;
或者,所述应用系统的访问装置包括第二接收模块、添加模块以及第二发送模块,其中:
所述第二接收模块,用于接收客户端发送的目标应用系统的交互数据;
所述添加模块,用于在所述交互数据中添加所述客户端对应的用户固定标识;
所述第二发送模块,用于将添加所述用户固定标识后的所述交互数据发送至第一网关,其中,所述第一网关接收通过第二网关转发的目标应用系统的交互数据,获取所述交互数据中的用户固定标识,在根据所述用户固定标识确定具备所述目标应用系统的访问权限时,将所述交互数据发送至所述目标应用系统。
10.一种可读存储介质,其特征在于,所述可读存储介质上存储有应用系统的访问程序,所述应用系统的访问程序被处理器执行时实现如权利要求1至7中任一项所述的应用系统的访问方法的步骤。
CN202110810552.9A 2021-07-16 2021-07-16 应用系统的访问方法与装置、网关及可读存储介质 Pending CN115396133A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110810552.9A CN115396133A (zh) 2021-07-16 2021-07-16 应用系统的访问方法与装置、网关及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110810552.9A CN115396133A (zh) 2021-07-16 2021-07-16 应用系统的访问方法与装置、网关及可读存储介质

Publications (1)

Publication Number Publication Date
CN115396133A true CN115396133A (zh) 2022-11-25

Family

ID=84114470

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110810552.9A Pending CN115396133A (zh) 2021-07-16 2021-07-16 应用系统的访问方法与装置、网关及可读存储介质

Country Status (1)

Country Link
CN (1) CN115396133A (zh)

Similar Documents

Publication Publication Date Title
US10554420B2 (en) Wireless connections to a wireless access point
CN106034104B (zh) 用于网络应用访问的验证方法、装置和系统
CN109413060B (zh) 报文处理方法、装置、设备及存储介质
US9237168B2 (en) Transport layer security traffic control using service name identification
US9288190B1 (en) Online communication risks
US8875232B2 (en) User authentication
CN107666413B (zh) 用于测试被测设备的通信安全性的方法和装置
WO2019047513A1 (zh) 一种互联网防攻击方法及认证服务器
US10798080B2 (en) User authentication in communication systems
CN105721412A (zh) 多系统间的身份认证方法及装置
US10742650B2 (en) Communication system and computer readable storage medium
US9787678B2 (en) Multifactor authentication for mail server access
CN110113351B (zh) Cc攻击的防护方法及装置、存储介质、计算机设备
CN113341798A (zh) 远程访问应用的方法、系统、装置、设备及存储介质
US8844056B2 (en) Service provision
CN113347072A (zh) Vpn资源访问方法、装置、电子设备和介质
CN111182537A (zh) 移动应用的网络接入方法、装置及系统
US10505902B2 (en) Securely identifying a device using a DNS-controlled proxy
CN113438336B (zh) 网络请求方法、装置、设备和存储介质
CN112448930A (zh) 账号注册方法、装置、服务器及计算机可读存储介质
CN110430213B (zh) 业务请求处理方法、装置及系统
CN112929388A (zh) 网络身份跨设备应用快速认证方法和系统、用户代理设备
CN113992387B (zh) 资源管理方法、装置、系统、电子设备和可读存储介质
CN112395586A (zh) 文件访问的控制方法及装置、系统、存储介质、电子装置
CN115396133A (zh) 应用系统的访问方法与装置、网关及可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination