CN115604041A - 安全代理方法、系统、装置、计算机设备和存储介质 - Google Patents
安全代理方法、系统、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN115604041A CN115604041A CN202211618847.7A CN202211618847A CN115604041A CN 115604041 A CN115604041 A CN 115604041A CN 202211618847 A CN202211618847 A CN 202211618847A CN 115604041 A CN115604041 A CN 115604041A
- Authority
- CN
- China
- Prior art keywords
- data
- target
- login
- request
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请涉及一种安全代理方法、装置、计算机设备和存储介质。包括:通过获取业务系统发送的代理请求,可确定代理请求中的请求数据;通过确定登录目标系统时生成的登录数据,便可在登录数据中的登录状态表征目标状态时,将登录数据和请求数据进行数据组合,得到目标数据;通过将目标数据发送至目标系统,使得目标数据触发目标系统返回响应信息,如此,便可将响应信息发送至业务系统。采用本方法能够实现业务系统与目标系统之间的业务访问的安全性。
Description
技术领域
本申请涉及互联网技术领域,特别是涉及一种安全代理方法、系统、装置、计算机设备和存储介质。
背景技术
随着互联网技术的发展,不同企业的业务系统之间需实时地进行数据登录访问,因此,针对保障企业信息安全的研究变得尤为重要。
目前,需要业务系统预先保存目标系统对应的账户信息,使得业务系统通过账户信息完成登录后,便可直接获取目标系统的相关数据。然而,直接将目标系统的账户信息透露给多个企业的业务系统,会增大目标系统的数据泄露的风险。因此,如何确保业务系统与目标系统之间的业务访问的安全性是本申请需要解决的问题。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高业务访问的安全性的安全代理方法、系统、装置、计算机设备、计算机可读存储介质。
第一方面,本申请提供了一种安全代理方法。应用于代理端,包括:
获取业务系统发送的代理请求,并确定所述代理请求中的请求数据;
确定登录目标系统时生成的登录数据;所述登录数据包括登录状态;
当所述登录状态表征目标状态时,将所述登录数据和所述请求数据进行数据组合,得到目标数据;
将所述目标数据发送至所述目标系统;发送的所述目标数据用于触发所述目标系统返回响应信息;
将所述响应信息发送至所述业务系统;发送的所述响应信息用于触发所述业务系统与所述目标系统进行安全代理。
在其中一个实施例中,在所述获取业务系统发送的代理请求之前,上述方法还包括:当所述客户端获取到连接请求时,与所述管理服务建立目标通信连接;确定所述连接请求对应的待认证信息;所述待认证信息通过所述客户端的设备信息确定得到;对所述待认证信息进行校验,得到校验结果,并当所述校验结果表征通过时,标记所述客户端和所述管理服务之间为第一有效连接。
在其中一个实施例中,所述登录数据生成步骤包括:获取对所述目标系统的登录请求,并确定所述登录请求对应的登录网址; 在所述登录网址为所述目标系统关联的网址时,响应于针对所述登录网址对应的网页界面中的登录操作,得到登录结果;根据预设的界面配置数据,对所述网页界面进行界面检测,得到检测结果,并根据所述检测结果,确定所述登录结果中的登录数据。
在其中一个实施例中,所述代理端包括客户端和管理服务;在所述确定所述登录结果中的登录数据之后,所述方法还包括:通过所述客户端将所述登录数据保存到本地数据库,并对所述目标系统进行记录,得到认证完成信息;将所述认证完成信息发送至所述管理服务,并标记所述管理服务与所述目标系统之间为第二有效连接。
在其中一个实施例中,在所述将所述目标数据发送至所述目标系统之前,上述方法还包括:获取第一有效连接和第二有效连接;根据所述第一有效连接和所述第二有效连接,确定与所述目标系统之间的第三有效连接;所述将所述目标数据发送至所述目标系统,包括:根据所述第三有效连接,将所述目标数据发送至所述目标系统。
在其中一个实施例中,所述请求数据包括请求地址、请求方法和请求内容;所述目标数据包括目标报文;所述将所述登录数据和所述请求数据进行数据组合,得到目标数据,包括:获取报文协议,并将所述登录数据作为所述报文协议中的报文头;将所述请求地址作为所述报文协议中的协议地址、将所述请求方法作为所述报文协议中的协议方法、将所述请求内容作为所述报文协议中的协议内容;组合所述报文头、所述协议地址、所述协议方法和所述协议内容,得到所述报文协议对应的目标报文。
在其中一个实施例中,上述方法还包括:对所述代理请求的请求过程进行负载监控,得到实际资源使用率;确定第一有效连接的第一数量和第二有效连接的第二数量;根据预设指标阈值、所述实际资源使用率、所述第一数量和所述第二数量,确定预警提醒方式。
第二方面,本申请还提供了一种安全代理系统,所述系统包括代理端、业务系统和目标系统;所述代理端包括客户端和管理服务,其中:
管理服务,用于获取业务系统发送的代理请求,并确定所述代理请求中的请求数据;
客户端,用于获取管理服务发送的请求数据,确定登录目标系统时生成的登录数据;所述登录数据包括登录状态;
所述客户端,用于当所述登录状态表征目标状态时,将所述登录数据和所述请求数据进行数据组合,得到目标数据,并将所述目标数据发送至目标系统;
所述目标系统,用于根据所述目标数据得到响应信息,并将所述响应信息返回至所述客户端;
所述管理服务,用于将所述客户端发送的响应信息,发送至所述业务系统;发送的所述响应信息用于触发所述业务系统与所述目标系统进行安全代理。
第三方面,本申请还提供了一种安全代理装置。上述装置包括:
登录数据确定模块,用于获取业务系统发送的代理请求,并确定所述代理请求中的请求数据;确定登录目标系统时生成的登录数据;所述登录数据包括登录状态;
目标数据确定模块,用于当所述登录状态表征目标状态时,将所述登录数据和所述请求数据进行数据组合,得到目标数据;将所述目标数据发送至所述目标系统;发送的所述目标数据用于触发所述目标系统返回响应信息;
响应信息发送模块,用于将所述响应信息发送至所述业务系统;发送的所述响应信息用于触发所述业务系统与所述目标系统进行安全代理。
第四方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
获取业务系统发送的代理请求,并确定所述代理请求中的请求数据;
确定登录目标系统时生成的登录数据;所述登录数据包括登录状态;
当所述登录状态表征目标状态时,将所述登录数据和所述请求数据进行数据组合,得到目标数据;
将所述目标数据发送至所述目标系统;发送的所述目标数据用于触发所述目标系统返回响应信息;
将所述响应信息发送至所述业务系统;发送的所述响应信息用于触发所述业务系统与所述目标系统进行安全代理。
第四方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
获取业务系统发送的代理请求,并确定所述代理请求中的请求数据;
确定登录目标系统时生成的登录数据;所述登录数据包括登录状态;
当所述登录状态表征目标状态时,将所述登录数据和所述请求数据进行数据组合,得到目标数据;
将所述目标数据发送至所述目标系统;发送的所述目标数据用于触发所述目标系统返回响应信息;
将所述响应信息发送至所述业务系统;发送的所述响应信息用于触发所述业务系统与所述目标系统进行安全代理。
上述安全代理方法、装置、计算机设备和存储介质,通过获取业务系统发送的代理请求,可确定代理请求中的请求数据;通过确定登录目标系统时生成的登录数据,便可在登录数据中的登录状态表征目标状态时,将登录数据和请求数据进行数据组合,得到目标数据;通过将目标数据发送至目标系统,使得目标数据触发目标系统返回响应信息,如此,便可将响应信息发送至业务系统。由于本申请是在登录目标系统的登录状态为目标状态时,通过数据组合后的目标数据来对目标系统进行触发,相比于传统的直接通过业务系统对目标系统进行业务访问的方法,本申请通过代理端作为一种中间系统,来建立业务系统与目标系统之间安全代理,实现了业务系统与目标系统之间的业务访问的安全性。
附图说明
图1为一个实施例中安全代理方法的系统结构图;
图2为一个实施例中安全代理方法的流程示意图;
图3为一个实施例中执行代理请求的时序图;
图4为一个实施例中代理端的结构框图;
图5为一个实施例中确定第一有效连接和第二有效连接的时序图;
图6为一个实施例中生成登录数据的流程示意图;
图7为另一个实施例中安全代理方法的流程示意图;
图8为一个实施例中安全代理装置的结构框图;
图9为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅用以解释本申请,并不用于限定本申请。
本申请实施例提供的安全代理方法,安全代理方法应用于如图1所示的安全代理系统中。其中,业务系统102通过网络与计算机设备104进行通信,目标系统106通过网络与计算机设备104进行通信。计算机设备104用于获取业务系统102发送的代理请求,并确定代理请求中的请求数据;确定登录目标系统106时生成的登录数据;登录数据包括登录状态;计算机设备104还用于当登录状态表征目标状态时,将登录数据和请求数据进行数据组合,得到目标数据,并将目标数据发送至目标系统106;发送的目标数据用于触发目标系统返回响应信息;计算机设备104还用于将响应信息发送至业务系统102;发送的响应信息用于触发业务系统与目标系统进行安全代理。其中,计算机设备104可以为终端或服务器,终端可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备,物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。服务器可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在其中一个实施例中,将业务系统102和计算机设备104视作请求方系统。
在其中一个实施例中,如图2所示,提供了一种安全代理方法,以该方法应用于计算机设备为例进行说明,计算机设备则为代理端,该计算机设备可为图1中的终端或服务器,包括以下步骤:
步骤202,获取业务系统发送的代理请求,并确定代理请求中的请求数据。
具体地,如图3所示,图3为执行代理请求的时序图。业务系统可响应于用户的多种业务请求操作,业务请求例如为数据查询、数据发送等,并通过异步处理的方式对多种业务请求进行处理,使得业务系统根据业务请求中的请求数据,生成对应的代理请求,并将代理请求发送至计算机设备中。同时,业务系统还可将响应正在处理中的信息通过界面展示给用户。当计算机设备得到代理请求时,便可解析出代理请求中的请求数据。
步骤204,确定登录目标系统时生成的登录数据。
其中,登录数据包括登录状态。容易理解的,业务系统可为企业A所对应的系统,目标系统可为企业B所对应的系统。
具体地,计算机设备对是否登录了目标系统进行判断,当未登录目标系统时,则需要实时进行目标系统的登录操作,直至得到登录数据,此时的登录数据通过目标系统响应于用户的登录请求时确定得到。当登录了目标系统时,所对应的登录数据则已存储至数据库中,因此,计算机设备直接对数据库进行查询便可得到登录数据。
步骤206,当登录状态表征目标状态时,将登录数据和请求数据进行数据组合,得到目标数据。
其中,目标状态可表征已登录。数据组合的方式包括但不限于神经网络中的concat方式、数据仓库中的ETL技术等。
在其中一个实施例中,将登录数据和请求数据进行数据组合,得到目标数据,包括:获取报文协议,并将登录数据作为报文协议中的报文头;将请求地址作为报文协议中的协议地址、将请求方法作为报文协议中的协议方法、将请求内容作为报文协议中的协议内容;组合报文头、协议地址、协议方法和协议内容,得到报文协议对应的目标报文。
其中,请求数据包括请求地址、请求方法和请求内容;目标数据包括目标报文;报文协议可为HTTP请求协议。
步骤208,将目标数据发送至目标系统;发送的目标数据用于触发目标系统返回响应信息。
具体地,计算机设备确定与目标系统之间的第三有效连接,并通过第三有效连接,将目标数据发送至目标系统。也即当计算机设备与目标数据保持连接时,便可将目标数据发送至目标系统,使得对目标系统进行触发。当目标系统接收到目标数据,表征允许进行安全代理请求,可将生成的响应信息发送至计算机设备。
在其中一个实施例中,在将目标数据发送至目标系统之前,还包括:获取第一有效连接和第二有效连接;根据第一有效连接和第二有效连接,确定与目标系统之间的第三有效连接。
具体地,如图1为安全代理系统的系统结构图,安全代理系统包括业务系统、目标系统和计算机设备,计算机设备也即代理端,代理端包括客户端和管理服务。其中,第一有效连接表征客户端和管理服务之间的连接关系,第二有效连接表征管理服务与目标系统之间的连接关系。计算机设备在第一有效连接和第二有效连接时,便可确定计算机设备中的客户端与目标系统之间的第三有效连接。
步骤210,将响应信息发送至业务系统;发送的响应信息用于触发业务系统与目标系统进行安全代理。
具体地,当计算机设备接收到响应信息时,可将响应信息发送至业务系统。业务系统在接收到响应信息后,便可确定代理请求生效,此时的计算机设备便可对业务系统与目标系统之间进行安全代理,也即对业务系统中的多种业务请求进行安全代理。同时,业务系统将代理请求生效的信息作为最终结果,并通过界面展示给用户。
上述安全代理方法中,通过获取业务系统发送的代理请求,可确定代理请求中的请求数据;通过确定登录目标系统时生成的登录数据,便可在登录数据中的登录状态表征目标状态时,将登录数据和请求数据进行数据组合,得到目标数据;通过将目标数据发送至目标系统,使得目标数据触发目标系统返回响应信息,如此,便可将响应信息发送至业务系统。由于本申请是在登录目标系统的登录状态为目标状态时,通过数据组合后的目标数据来对目标系统进行触发,相比于传统的直接通过业务系统对目标系统进行业务访问的方法,本申请通过代理端作为一种中间系统,来建立业务系统与目标系统之间安全代理,实现了业务系统与目标系统之间的业务访问的安全性。
在其中一个实施例中,在获取业务系统发送的代理请求之前还包括:当客户端获取到连接请求时,与管理服务建立目标通信连接;确定连接请求对应的待认证信息;对待认证信息进行校验,得到校验结果,并当校验结果表征通过时,标记客户端和管理服务之间为第一有效连接。
其中,如图4所示,图4为代理端的结构框图,代理端包括客户端、管理服务、认证服务和可视化服务,客户端包括登录模块和第一通信模块。客户端是通过如C语言等编译型语言进行开发得到,当用户安装到目标计算机中时便可进行运行;管理服务可为通过Golang、Java开发出具有高性能的服务。待认证信息通过客户端的设备信息确定得到。
具体地,图5为确定第一有效连接和第二有效连接的时序图。由于客户端中的登录模块主要提供登录功能,当客户端响应于用户对客户端的登录操作时,也即客户端获取到连接请求时,从数据库中获取客户端对应的账户信息,并通过账户信息与管理服务建立目标通信连接。其中,目标通信连接可为一种基于TCP协议的通信连接。同时,用户登录客户端成功后,可通过认证服务获取连接请求对应的待认证信息,其中,待认证信息可为token信息,token信息可确定连接请求对应的用户信息。接着客户端便可通过第一通信模块,将待认证信息上报至管理服务,并完成对待认证信息进行校验,得到校验结果。当校验结果表征通过时,计算机设备可标记客户端和管理服务之间为第一有效连接。
在其中一个实施例中,当客户端响应于用户的启动操作时,也即在用户下载客户端时,客户端会先获取目标计算机的设备信息,设备信息可包括MAC地址与处理器ID,代理端中的认证服务可将设备信息,当作客户端可用于注册的账号信息,且账号信息与目标计算机是唯一对应的,也即用户仅能通过账号信息在目标计算机中进行登录。其中,账号信息可存储在目标计算机的数据库中。
在其中一个实施例中,参考图4所示,管理服务包括第二通信模块,当用户登录客户端成功,第一通信模块会主动向管理服务中的第二通信模块发起TCP连接请求,通过三次握手并在握手完成时,使得客户端与管理服务建立目标通信连接,也即TCP连接。第二通信模块也可主动向客户端中的第一通信模块发起TCP连接请求。
本实施例中,通过确定连接请求对应的待认证信息,进而完成对客户端的登录,可以保证用户信息的安全性,并通过与管理服务建立目标通信连接,便可实现基于TCP协议的全双工通信,确保了数据交互的便捷性和灵活性。
在其中一个实施例中,如图7所示,图7为登录数据的生成步骤,包括:
步骤602,获取对目标系统的登录请求,并确定登录请求对应的登录网址。
其中,登录网址表征为目标系统所支持的业务的网址。
具体地,参考图5所示,当客户端响应于用户对目标系统的登录操作时,生成相应的登录请求,此时客户端可提供一种包含网址列表的界面,当客户端响应于用户对网址列表的选择操作时,确定所选择的登录网址。
在其中一个实施例中,参考图4所示,代理端中的客户端还包括模拟浏览器模块。模拟浏览器模块提供的目标模拟浏览器是基于主流浏览器内核驱动的浏览器,在用户下载客户端的时候会自动检查用户电脑的默认浏览器,并下载相对应的浏览器内核。当默认浏览器不存在已开源的内核或者匹配的内核时,会使用安装包中默认内核驱动的浏览器,来作为目标模拟浏览器。因此,计算机设备通过模拟浏览器模块可以准确地进行浏览器管理,并便于目标模拟浏览器在后续运行过程中的交互数据的获取。
在其中一个实施例中,除了通过登录网址来对目标系统进行登录外,计算机设备还提供目标模拟浏览器的多种身份验证方式和二次验证方式,来对目标系统进行登录。其中,身份验证方式包括但不限于账号和密码、第三方授权、手机号+短信验证码、手机扫码登录;二次验证方式包括:动态令牌、人机检测、人脸识别、IP检测等。
步骤604,在登录网址为目标系统关联的网址时,响应于针对登录网址对应的网页界面中的登录操作,得到登录结果。
具体地,参考图5所示,当登录网址为目标系统关联的网址时,模拟浏览器模块便会自动启动目标模拟浏览器,并打开登录网址对应的网页界面,从而确保用户通过网页界面完成登录操作。通过在登录的过程中对目标系统进行触发,使得目标系统在响应触发操作后,返回登录结果至计算机设备中的客户端。
在其中一个实施例中,登录结果中可包括cookie信息或token信息。其中,针对cookie信息,当用户登录成功后,会在目标系统服务器存一个session,同时发送给客户端一个cookie信息,这个cookie信息里面有唯一标识该用户的sessionID。针对token信息,当用户通过网页界面进行登录操作时,目标系统会到数据库查询用户信息是否存在,当数据库校验成功,则生成token信息,返回给计算机设备中的客户端。
步骤606,根据预设的界面配置数据,对网页界面进行界面检测,得到检测结果,并根据检测结果,确定登录结果中的登录数据。
具体地,参考图4所示,代理端中的客户端还包括节点更新模块,在用户完成登录操作后,节点更新模块动态地对网页界面进行界面检测,也即会主动拉取网页界面中的界面实际数据,并将界面实际数据保存到本地数据库中。此时,计算机设备可动态地匹配界面配置数据和网页界面中的界面实际数据之间的差异,得到相应的检测结果。使得计算机设备根据检测结果,判断用户是否在目标系统的登录页面中登录成功。
在其中一个实施例中,代理端中的管理服务还包括动态配置模块,代理端中的客户端还包括第一通信模块。当计算机设备响应于用户对界面配置数据的配置操作时,便可通过管理务中的Nacos动态配置功能,得到配置后的界面配置数据。在用户完成登录操作后,若用户对界面配置数据进行了配置修改,便立刻将修改后的界面配置数据发送至第一通信模块。
在其中一个实施例中,界面实际数据可通过一种DOM节点进行体现,其中,DOM(Document Object Model,文档对象模型)是一种操作网页的接口,可用于实现对网页进行各种内容修改操作。当在网页界面进行登录时的标题为“登录”,对应的DOM节点则是<title>登录</title>。如果登录成功后会跳到目标页面中,且目标页面的标题为“首页”,对应的DOM节点为<title>首页</title>。当客户端检测到完成登录后的网页界面对应的DOM节点为<title>首页</title>时,则确定用户已经登录成功。
在本实施例中,通过登录网址等多种身份验证方式来对目标系统进行登录,既保证了用户信息的安全性,也避免了目标系统还需新增额外认证方式的问题;此外,通过将管理服务中的动态配置模块和客户端中的节点更新模块相结合,可以达到动态地对网页界面进行界面检测的目的,使得计算机设备能准确地确定出登录结果中的登录数据。
在其中一个实施例中,在确定登录结果中的登录数据之后,还包括:通过客户端将登录数据保存到本地数据库,并对目标系统进行记录,得到认证完成信息;将认证完成信息发送至管理服务,并标记管理服务与目标系统之间为第二有效连接。
具体地,参考图5所示,当计算机设备中的客户端在确定登录数据时,可将登录数据保存到本地数据库,此时的客户端可对目标系统进行记录,得到认证完成信息,并将认证完成信息发送至管理服务,也即通知管理服务已完成对目标系统的认证。管理服务在接收到认证完成信息时,可将管理服务与目标系统之间标记为第二有效连接。
在其中一个实施例中,上述方法还包括:对代理请求的请求过程进行负载监控,得到实际资源使用率;确定第一有效连接的第一数量和第二有效连接的第二数量;根据预设指标阈值、实际资源使用率、第一数量和第二数量,确定预警提醒方式。
具体地,参考图4所示,管理服务还包括监控告警模块,例如Promethus模块,通过监控告警模块可对代理请求的请求过程进行负载监控,得到监控指标,监控指标可包括实际资源使用率、第一有效连接的第一数量、以及第二有效连接的第二数量等。管理服务对比监控指标与预设指标阈值之间的差异,并根据差异来确定预警提醒方式。例如,当实际资源使用率中的CPU利用率超过90%、内存使用率超过80%时,确定预警提醒方式可为通过可视化服务展示特殊标识等。
在其中一个实施例中,可视化服务中部署一种监控工具,例如Grafana工具,使得监控工具通过接口请求,来获取监控告警模块提供的监控指标,并以图表形式进行展示。
在其中一个实施例中,管理服务中的动态配置模块可预先配置出指标阈值,并可将指标数据可视化服务中进行展示。
本实施例中,通过对代理请求的请求过程进行负载监控,可以对实际资源使用率、第一有效连接的第一数量、以及第二有效连接的第二数量进行监控、告警和展示。
在其中一个实施例中,如图7所示,提供了另一种安全代理方法。包括以下步骤:S701:计算机设备安装并启动客户端;S702:用户登录计算机设备中的客户端,并获取客户端访问请求方的待认证信息;S703:计算机设备根据待认证信息,实现客户端和管理服务之间的连接关系,也即客户端与管理服务握手完成;S704:计算机设备获取对目标系统的登录请求,并确定登录请求对应的登录网址;S705:通过目标模拟浏览器,实现对登录网址的登录操作;S706:客户端通知管理服务用户已登录完成;S707:业务系统根据业务请求中的请求数据,生成对应的代理请求;S708:客户端将本地保存的登录数据和代理请求中的请求数据进行数据组合,得到目标数据,并通过目标数据向目标服务发起代理请求;S709:客户端将目标系统的响应信息内容上报至管理服务,并将响应信息发送至业务系统。
在其中一个实施例中,参考图1所示,安全代理系统包括代理端、业务系统和目标系统;代理端包括客户端和管理服务,其中:管理服务,用于获取业务系统发送的代理请求,并确定代理请求中的请求数据;客户端,用于获取管理服务发送的请求数据,确定登录目标系统时生成的登录数据;登录数据包括登录状态;客户端,用于当登录状态表征目标状态时,将登录数据和请求数据进行数据组合,得到目标数据,并将目标数据发送至目标系统;目标系统,用于根据目标数据得到响应信息,并将响应信息返回至客户端;管理服务,用于将客户端发送的响应信息,发送至业务系统;发送的响应信息用于触发业务系统与目标系统进行安全代理。
其中,通过安全代理系统解决技术问题的实现方案与上述安全代理方法中所记载的实现方案相似,本申请在此不再赘述。
其中,客户端还包括代理请求模块和第一通信模块,代理请求模块用于向目标系统的接口发送HTTP请求,也即实现业务系统向目标系统发送代理请求;第一通信模块,可用于主动上报用户登录成功后的token信息、通知在目标系统已登录完成、上报代理请求的响应等。
管理服务还包括协议服务模块和消息队列模块,协议服务模块可为HTTP(HyperText Transfer Protocol,超文本传输协议)服务模块,用于对外提供HTTP接口,实现向代理端发送代理请求、获取实时的TCP连接情况等。消息队列模块,可将客户端收到的目标系统响应信息通过消息队列返回出去,而业务系统可以通过监听消息队列,得到代理请求对应的响应信息。
本实施例中,通过消息队列模块可使管理服务异步响应代理请求,实现了业务系统与管理服务之间的解耦。同时,由于安全代理系统采用云计算的分布式集群架构,系统可以弹性伸缩,保证了系统的稳定性,减少了运维的压力。
应该理解的是,虽然如上的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的安全代理方法的安全代理装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个安全代理装置实施例中的具体限定可以参见上文中对于安全代理方法的限定,在此不再赘述。
在其中一个实施例中,如图8所示,提供了一种安全代理装置800,包括:登录数据确定模块802、目标数据确定模块804和响应信息发送模块806,其中:
登录数据确定模块802,用于获取业务系统发送的代理请求,并确定代理请求中的请求数据;确定登录目标系统时生成的登录数据;登录数据包括登录状态。
目标数据确定模块804,用于当登录状态表征目标状态时,将登录数据和请求数据进行数据组合,得到目标数据;将目标数据发送至目标系统;发送的目标数据用于触发目标系统返回响应信息。
响应信息发送模块806,用于将响应信息发送至业务系统;发送的响应信息用于触发业务系统与目标系统进行安全代理。
在其中一个实施例中,目标数据确定模块804还包括第一有效连接模块8041,用于当客户端获取到连接请求时,与管理服务建立目标通信连接;确定连接请求对应的待认证信息;待认证信息通过客户端的设备信息确定得到;对待认证信息进行校验,得到校验结果,并当校验结果表征通过时,标记客户端和管理服务之间为第一有效连接。
在其中一个实施例中,登录数据确定模块802,还用于获取对目标系统的登录请求,并确定登录请求对应的登录网址; 在登录网址为目标系统关联的网址时,响应于针对登录网址对应的网页界面中的登录操作,得到登录结果;根据预设的界面配置数据,对网页界面进行界面检测,得到检测结果,并根据检测结果,确定登录结果中的登录数据。
在其中一个实施例中,目标数据确定模块804还包括第二有效连接模块8042,用于通过客户端将登录数据保存到本地数据库,并对目标系统进行记录,得到认证完成信息;将认证完成信息发送至管理服务,并标记管理服务与目标系统之间为第二有效连接。
在其中一个实施例中,目标数据确定模块804包括目标数据发送模块8043,用于获取第一有效连接和第二有效连接;根据第一有效连接和第二有效连接,确定与目标系统之间的第三有效连接;将目标数据发送至目标系统,包括:根据第三有效连接,将目标数据发送至目标系统。
在其中一个实施例中,目标数据确定模块804还用于获取报文协议,并将登录数据作为报文协议中的报文头;将请求地址作为报文协议中的协议地址、将请求方法作为报文协议中的协议方法、将请求内容作为报文协议中的协议内容;组合报文头、协议地址、协议方法和协议内容,得到报文协议对应的目标报文。
在其中一个实施例中,安全代理装置800还包括预警提醒模块808,用于对代理请求的请求过程进行负载监控,得到实际资源使用率;确定第一有效连接的第一数量和第二有效连接的第二数量;根据预设指标阈值、实际资源使用率、第一数量和第二数量,确定预警提醒方式。
上述安全代理装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在其中一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图9所示。该计算机设备包括处理器、存储器、输入/输出接口(Input/Output,简称I/O)、通信接口、显示单元和输入装置。其中,处理器、存储器和输入/输出接口通过系统总线连接,通信接口、显示单元和输入装置通过输入/输出接口连接到系统总线。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的输入/输出接口用于处理器与外部设备之间交换信息。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、移动蜂窝网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种安全代理方法。该计算机设备的显示单元用于形成视觉可见的画面,可以是显示屏、投影装置或虚拟现实成像装置,显示屏可以是液晶显示屏或电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图9中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在其中一个实施例中,还提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在其中一个实施例中,提供了一种计算机可读存储介质,存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
在其中一个实施例中,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述各方法实施例中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,的计算机程序可存储于非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(FerroelectricRandom Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(StaticRandom Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (11)
1.一种安全代理方法,其特征在于,应用于代理端,包括:
获取业务系统发送的代理请求,并确定所述代理请求中的请求数据;
确定登录目标系统时生成的登录数据;所述登录数据包括登录状态;
当所述登录状态表征目标状态时,将所述登录数据和所述请求数据进行数据组合,得到目标数据;
将所述目标数据发送至所述目标系统;发送的所述目标数据用于触发所述目标系统返回响应信息;
将所述响应信息发送至所述业务系统;发送的所述响应信息用于触发所述业务系统与所述目标系统进行安全代理。
2.根据权利要求1所述的方法,其特征在于,所述代理端包括客户端和管理服务;在所述获取业务系统发送的代理请求之前,所述方法还包括:
当所述客户端获取到连接请求时,与所述管理服务建立目标通信连接;
确定所述连接请求对应的待认证信息;所述待认证信息通过所述客户端的设备信息确定得到;
对所述待认证信息进行校验,得到校验结果,并当所述校验结果表征通过时,标记所述客户端和所述管理服务之间为第一有效连接。
3.根据权利要求1所述的方法,其特征在于,所述登录数据生成步骤包括:
获取对所述目标系统的登录请求,并确定所述登录请求对应的登录网址;
在所述登录网址为所述目标系统关联的网址时,响应于针对所述登录网址对应的网页界面中的登录操作,得到登录结果;
根据预设的界面配置数据,对所述网页界面进行界面检测,得到检测结果,并根据所述检测结果,确定所述登录结果中的登录数据。
4.根据权利要求3所述的方法,其特征在于,所述代理端包括客户端和管理服务;在所述确定所述登录结果中的登录数据之后,所述方法还包括:
通过所述客户端将所述登录数据保存到本地数据库,并对所述目标系统进行记录,得到认证完成信息;
将所述认证完成信息发送至所述管理服务,并标记所述管理服务与所述目标系统之间为第二有效连接。
5.根据权利要求1所述的方法,其特征在于,在所述将所述目标数据发送至所述目标系统之前,所述方法还包括:
获取第一有效连接和第二有效连接;
根据所述第一有效连接和所述第二有效连接,确定与所述目标系统之间的第三有效连接;
所述将所述目标数据发送至所述目标系统,包括:
根据所述第三有效连接,将所述目标数据发送至所述目标系统。
6.根据权利要求1所述的方法,其特征在于,所述请求数据包括请求地址、请求方法和请求内容;所述目标数据包括目标报文;所述将所述登录数据和所述请求数据进行数据组合,得到目标数据,包括:
获取报文协议,并将所述登录数据作为所述报文协议中的报文头;
将所述请求地址作为所述报文协议中的协议地址、将所述请求方法作为所述报文协议中的协议方法、将所述请求内容作为所述报文协议中的协议内容;
组合所述报文头、所述协议地址、所述协议方法和所述协议内容,得到所述报文协议对应的目标报文。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
对所述代理请求的请求过程进行负载监控,得到实际资源使用率;
确定第一有效连接的第一数量和第二有效连接的第二数量;
根据预设指标阈值、所述实际资源使用率、所述第一数量和所述第二数量,确定预警提醒方式。
8.一种安全代理系统,其特征在于,所述系统包括代理端、业务系统和目标系统;所述代理端包括客户端和管理服务,其中:
管理服务,用于获取业务系统发送的代理请求,并确定所述代理请求中的请求数据;
客户端,用于获取管理服务发送的请求数据,确定登录目标系统时生成的登录数据;所述登录数据包括登录状态;
所述客户端,用于当所述登录状态表征目标状态时,将所述登录数据和所述请求数据进行数据组合,得到目标数据,并将所述目标数据发送至目标系统;
所述目标系统,用于根据所述目标数据得到响应信息,并将所述响应信息返回至所述客户端;
所述管理服务,用于将所述客户端发送的响应信息,发送至所述业务系统;发送的所述响应信息用于触发所述业务系统与所述目标系统进行安全代理。
9.一种安全代理装置,其特征在于,所述装置包括:
登录数据确定模块,用于获取业务系统发送的代理请求,并确定所述代理请求中的请求数据;确定登录目标系统时生成的登录数据;所述登录数据包括登录状态;
目标数据确定模块,用于当所述登录状态表征目标状态时,将所述登录数据和所述请求数据进行数据组合,得到目标数据;将所述目标数据发送至所述目标系统;发送的所述目标数据用于触发所述目标系统返回响应信息;
响应信息发送模块,用于将所述响应信息发送至所述业务系统;发送的所述响应信息用于触发所述业务系统与所述目标系统进行安全代理。
10.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211618847.7A CN115604041B (zh) | 2022-12-16 | 2022-12-16 | 安全代理方法、系统、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211618847.7A CN115604041B (zh) | 2022-12-16 | 2022-12-16 | 安全代理方法、系统、装置、计算机设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115604041A true CN115604041A (zh) | 2023-01-13 |
| CN115604041B CN115604041B (zh) | 2023-05-09 |
Family
ID=84853943
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211618847.7A Active CN115604041B (zh) | 2022-12-16 | 2022-12-16 | 安全代理方法、系统、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115604041B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005011098A (ja) * | 2003-06-19 | 2005-01-13 | Fujitsu Ltd | 代理認証プログラム、代理認証方法、および代理認証装置 |
| CN102111410A (zh) * | 2011-01-13 | 2011-06-29 | 中国科学院软件研究所 | 一种基于代理的单点登录方法及系统 |
| CN103220344A (zh) * | 2013-03-29 | 2013-07-24 | 新浪技术(中国)有限公司 | 微博授权使用方法和系统 |
| US20150304292A1 (en) * | 2012-10-24 | 2015-10-22 | Cyber-Ark Software Ltd. | A system and method for secure proxy-based authentication |
| CN107770203A (zh) * | 2016-08-15 | 2018-03-06 | 北京金山云网络技术有限公司 | 一种服务请求转发方法、装置及系统 |
| CN111651739A (zh) * | 2020-05-08 | 2020-09-11 | 腾讯科技(深圳)有限公司 | 登录认证服务系统及方法、认证服务节点、电子设备 |
| CN113381979A (zh) * | 2021-05-12 | 2021-09-10 | 网宿科技股份有限公司 | 一种访问请求代理方法及代理服务器 |
| CN114785590A (zh) * | 2022-04-21 | 2022-07-22 | 成都商汤科技有限公司 | 登录方法、装置、设备、存储介质 |
| CN114915435A (zh) * | 2021-02-09 | 2022-08-16 | 网联清算有限公司 | 一种业务数据访问方法及系统 |
-
2022
- 2022-12-16 CN CN202211618847.7A patent/CN115604041B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005011098A (ja) * | 2003-06-19 | 2005-01-13 | Fujitsu Ltd | 代理認証プログラム、代理認証方法、および代理認証装置 |
| CN102111410A (zh) * | 2011-01-13 | 2011-06-29 | 中国科学院软件研究所 | 一种基于代理的单点登录方法及系统 |
| US20150304292A1 (en) * | 2012-10-24 | 2015-10-22 | Cyber-Ark Software Ltd. | A system and method for secure proxy-based authentication |
| CN103220344A (zh) * | 2013-03-29 | 2013-07-24 | 新浪技术(中国)有限公司 | 微博授权使用方法和系统 |
| CN107770203A (zh) * | 2016-08-15 | 2018-03-06 | 北京金山云网络技术有限公司 | 一种服务请求转发方法、装置及系统 |
| CN111651739A (zh) * | 2020-05-08 | 2020-09-11 | 腾讯科技(深圳)有限公司 | 登录认证服务系统及方法、认证服务节点、电子设备 |
| CN114915435A (zh) * | 2021-02-09 | 2022-08-16 | 网联清算有限公司 | 一种业务数据访问方法及系统 |
| CN113381979A (zh) * | 2021-05-12 | 2021-09-10 | 网宿科技股份有限公司 | 一种访问请求代理方法及代理服务器 |
| CN114785590A (zh) * | 2022-04-21 | 2022-07-22 | 成都商汤科技有限公司 | 登录方法、装置、设备、存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 吴秋兵;: "基于代理的单点登录系统模型研究" * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115604041B (zh) | 2023-05-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109040316B (zh) | Http服务处理方法和装置 | |
| US9436763B1 (en) | Infrastructure enabling intelligent execution and crawling of a web application | |
| US10032037B1 (en) | Establishing application trust levels using taint propagation as a service | |
| US9384114B2 (en) | Group server performance correction via actions to server subset | |
| US10452469B2 (en) | Server performance correction using remote server actions | |
| CN105516071A (zh) | 验证业务操作安全性的方法、装置、终端及服务器 | |
| CN111885007B (zh) | 信息溯源方法、装置、系统及存储介质 | |
| CN110445615B (zh) | 网络请求安全性验证方法、装置、介质及电子设备 | |
| CN111222153B (zh) | 应用程序权限管理方法、装置和存储介质 | |
| JP6655731B2 (ja) | システム環境及びユーザ行動分析基盤の自己防御保安装置とその作動方法 | |
| CN109245928A (zh) | 配置信息的设置方法和装置、终端管理系统 | |
| CN113469866A (zh) | 数据处理方法、装置和服务器 | |
| US10025646B2 (en) | Naming of nodes in NET framework | |
| US8474013B2 (en) | Securely managing password access to a computer system | |
| CN111666567A (zh) | 恶意修改应用程序的检测方法、装置、计算机程序和介质 | |
| CN111460256A (zh) | 网页数据的爬取方法、装置、计算机设备和存储介质 | |
| EP3540607A1 (en) | External change detection | |
| CN113609516B (zh) | 基于异常用户的信息生成方法、装置、电子设备和介质 | |
| CN115604041B (zh) | 安全代理方法、系统、装置、计算机设备和存储介质 | |
| US9785711B2 (en) | Online location sharing through an internet service search engine | |
| US9858549B2 (en) | Business transaction resource usage tracking | |
| CN115174665B (zh) | 登录状态确定方法、装置、设备及存储介质 | |
| CN113535780A (zh) | 用户请求处理方法、装置、计算机设备和存储介质 | |
| CN118820309A (zh) | 请求处理方法、装置、计算机设备及存储介质 | |
| CN117873831A (zh) | Sql性能监控方法、装置、计算机设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |