CN116112922B - 客户端的安全检查方法、装置、设备及介质 - Google Patents
客户端的安全检查方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN116112922B CN116112922B CN202310115806.4A CN202310115806A CN116112922B CN 116112922 B CN116112922 B CN 116112922B CN 202310115806 A CN202310115806 A CN 202310115806A CN 116112922 B CN116112922 B CN 116112922B
- Authority
- CN
- China
- Prior art keywords
- data
- client
- check
- security
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Alarm Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本公开实施例涉及一种客户端的安全检查方法、装置、设备及介质,应用于客户端,其中该方法包括:接收服务器发送的安全检查数据,并确定安全检查数据对应的阶段标识;若阶段标识与客户端中的当前标识相同,则更新当前标识为新的当前标识,并根据安全检查数据对客户端所在的目标设备进行安全检查,得到检查应答数据,发送检查应答数据至服务器,以使服务器根据检查应答数据生成安全结果数据;接收服务器返回的安全结果数据,若安全结果数据对应的阶段标识与新的当前标识相同,则根据安全结果数据确定安全检查结果。本公开实施例,具备了判断当前阶段是否适合进行安全检查的功能,提高了安全检查的合理性。
Description
技术领域
本公开涉及计算机技术领域,尤其涉及一种客户端的安全检查方法、装置、设备及介质。
背景技术
基于访问控制和认证(802.1x)协议能够对请求接入网络的客户端进行认证,在客户端未通过802.1x协议的认证之前,只允许扩展认证协议(Extensible AuthenticationProtocol,EAP)格式的数据从该客户端经过交换机传输至服务器,在通过802.1x认证之后,客户端所在的设备直接接入网络,但是该设备可能存在安全隐患,进而对网络产生安全威胁。
相关技术中,可以通过EAP协议在客户端所在的设备接入网络之前,对该设备进行安全检查。但是,该基于EAP协议本身的安全检查,仅具备安全检查单一功能,无法确定当前进行安全检查的合理性。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种客户端的安全检查方法、装置、设备及介质。
本公开实施例提供了一种客户端的安全检查方法,应用于客户端,所述方法包括:
接收服务器发送的安全检查数据,并确定所述安全检查数据对应的阶段标识;
若所述阶段标识与所述客户端中的当前标识相同,则更新所述当前标识为新的当前标识,并根据所述安全检查数据对所述客户端所在的目标设备进行安全检查,得到检查应答数据,发送所述检查应答数据至所述服务器,以使所述服务器根据所述检查应答数据生成安全结果数据;
接收所述服务器返回的所述安全结果数据,若所述安全结果数据对应的阶段标识与所述新的当前标识相同,则根据所述安全结果数据确定安全检查结果。
本公开实施例还提供了一种客户端的安全检查装置,应用于客户端,所述装置包括:
第一确定模块,用于接收服务器发送的安全检查数据,并确定所述安全检查数据对应的阶段标识;
处理模块,用于若所述阶段标识与所述客户端中的当前标识相同,则更新所述当前标识为新的当前标识,并根据所述安全检查数据对所述客户端所在的目标设备进行安全检查,得到检查应答数据,发送所述检查应答数据至所述服务器,以使所述服务器根据所述检查应答数据生成安全结果数据;
第二确定模块,用于接收所述服务器返回的所述安全结果数据,若所述安全结果数据对应的阶段标识与所述新的当前标识相同,则根据所述安全结果数据确定安全检查结果。
本公开实施例还提供了一种电子设备,所述电子设备包括:处理器;用于存储所述处理器可执行指令的存储器;所述处理器,用于从所述存储器中读取所述可执行指令,并执行所述指令以实现如本公开实施例提供的客户端的安全检查方法。
本公开实施例还提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序用于执行如本公开实施例提供的客户端的安全检查方法。
本公开实施例提供的技术方案与现有技术相比具有如下优点:本公开实施例中提供的客户端的安全检查方案,接收服务器发送的安全检查数据,并确定安全检查数据对应的阶段标识;若阶段标识与客户端中的当前标识相同,则更新当前标识为新的当前标识,并根据安全检查数据对客户端所在的目标设备进行安全检查,得到检查应答数据,发送检查应答数据至服务器,以使服务器根据检查应答数据生成安全结果数据;接收服务器返回的安全结果数据,若安全结果数据对应的阶段标识与新的当前标识相同,则根据安全结果数据确定安全检查结果。采用上述技术方案,安全检查数据对应有阶段标识,若该阶段标识和客户端自身的当前标识相同,则说明安全检查数据对应的阶段和客户端当前所处的阶段是一致的,因而客户端能够根据该安全检查数据进行安全检查并确定最终的安全检查结果,避免了在无需进行安全检查的数据处理阶段进行安全检查,具备了判断当前阶段是否适合进行安全检查的功能,提高了安全检查的合理性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例提供的一种客户端的安全检查方法的流程示意图;
图2为本公开实施例提供的一种EAP-NP协议的传输层数据结构的示意图;
图3为本公开实施例提供的一种EAP-NP协议的应用层数据结构的示意图;
图4本公开实施例提供的另一种客户端的安全检查方法的流程示意图;
图5为本公开实施例提供的又一种客户端的安全检查方法的流程示意图;
图6为本公开实施例提供的再一种客户端的安全检查方法的流程示意图;
图7为本公开实施例提供的再一种客户端的安全检查方法的流程示意图;
图8为本公开实施例提供的一种客户端的安全检查装置的结构示意图;
图9为本公开实施例提供的一种电子设备的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
为了解决上述问题,本公开实施例提供了一种客户端的安全检查方法,下面结合具体的实施例对该方法进行介绍。
图1为本公开实施例提供的一种客户端的安全检查方法的流程示意图,该方法可以由客户端,或者客户端的安全检查装置执行,其中该装置可以采用软件和/或硬件实现,一般可集成在电子设备中。如图1所示,该方法包括:
步骤101,接收服务器发送的安全检查数据,并确定安全检查数据对应的阶段标识。
其中,客户端可以是为客户提供本地服务的程序,具体的,该客户端可以为用于申请接入网络的程序,该客户端可以为支持EAP-NP协议的客户端。本实施例中,对客户端申请接入的网络不做限制,例如,该网络可以为办公区有线内网、办公区无线网、授权访问区网络等。服务器可以为用于判断客户端能否接入网络的设备,本实施例对该服务器不做限制,例如,该服务器可以为安装有网络安全准入(Network Admission Control,NAC)系统的设备。
安全检查数据可以为用于指示客户端进行安全检查的数据,并且,基于该安全检查数据可以确定客户端进行的检查项目。可选的,该安全检查数据可以包括至少一个检查项目,本实施例对该检查项目不做限制,例如,该检查项目可以包括:是否安装杀毒软件、是否存在漏洞软件、是否安装预设名单中的软件等。安全检查数据可以与客户端所在的目标设备相对应,以实现设备的定制化安全检查。
阶段标识可以为用于表征数据处理阶段的标识,其中数据处理阶段可以理解为确定客户端是否准入网络的过程中的阶段,本实施例对该阶段标识不做限制,例如,该阶段标识可以包括:握手阶段、用户验证阶段、安全检查阶段、数据交互阶段、结果确认阶段中的一个或多个。其中,握手阶段可以为通信建立之后,达成协议的阶段;用户验证阶段可以为从用户维度验证客户端能否接入网络的阶段;安全检查阶段可以为从设备安全维度验证客户端能否接入网络的阶段;数据交互阶段可以为客户端和服务器相互进行数据传输的阶段;结果确认阶段可以为确定客户端的准入结果的阶段。
在本公开实施例中,服务器可以发送安全检查数据至客户端,客户端接收该安全检查数据之后,确定该安全检查数据所携带的阶段标识。
在本公开一些实施例中,确定安全检查数据对应的阶段标识,包括:确定包含安全检查数据的安全检查帧的数据域;其中,安全检查帧为安全检查数据对应的传输层数据帧;将安全检查帧的数据域中阶段字段对应的标识确定为安全检查数据对应的阶段标识。
其中,安全检查帧可以为包括安全检查数据的传输层数据帧。安全检查帧的数据域可以为该安全检查帧所载荷的具体数据。阶段字段又称数据处理阶段字段,该阶段字段对应有阶段标识。
在本实施例中,可以对EAP协议进行扩展,得到EAP扩展(EAP-NP)协议,在EAP协议中,认证类型(Type)字段的0至55值已经被使用,在本实施例中,若Type字段为拓展标识,则该协议为EAP-NP协议,其中,拓展标识可以根据用户需求等进行设置,例如,该拓展标识可以为58。
图2为本公开实施例提供的一种EAP-NP协议的传输层数据结构的示意图。如图2所示,其中,传输通道类型(Protocol)字段占用1个字节,该传输通道类型字段的域值定义如下:0x00表示EAP-NP协议开始;0x01表示EAP-NP协议中使用的通道为明文(PLAN)通道;0x02表示EAP-NP协议中使用的通道为密文(TLS)通道。
报文标记(Flag)字段与报文类型(Type)字段共用1个字节,该报文标记字段的域值定义如下:1表示长报文开始标记;2表示长报文后续报文标记;3表示长报文最后一组报文标记。报文类型字段的域值定义如下:1表示握手报文;2表示数据处理报文;3表示应答报文,应答报文中,一般传输层数据域(Data)字段无数据。
传输层数据域长度(Length)字段,占用2字节,该传输层数据域长度字段表征该传输层数据结构中数据域(Data)字段的长度。参数(Parameter)字段,占用4字节,参数字段表征长报文数据的总长度,或者分组报文的偏移量。其中,若报文标记字段值为1,则参数字段表示长报文数据的总长度;若报文标记字段值为2或3,则参数字段表示分组报文的偏移量;若报文类型字段值为3,则参数字段表示请求的下组报文的偏移量。传输层数据域字段可以为传输层数据帧所载荷的具体数据。
其中,若EAP-NP协议的传输层数据帧中报文类型字段为2则EAP-NP协议的数据域字段为EAP-NP协议的应用层数据。
图3为本公开实施例提供的一种EAP-NP协议的应用层数据结构的示意图,如图3所示。其中,应用层数据类型(Type)字段占用1个字节,该应用层数据类型字段的取值定义如下:‘B’表示二进制数据;‘X’表示可扩展标记语言(Extensible Markup Language,XML)数据;‘Z’表示压缩的XML数据。
阶段字段,又称数据处理阶段(Phase)字段,该阶段字段占用1个字节,该数据处理阶段字段的取值定义如下:‘H’表示握手阶段;‘A’表示用户验证阶段;‘C’表示安全检查阶段;‘T’表示数据交互阶段;‘R’表示结果确认阶段。应用层数据域长度(DataLength)字段占用2个字节,表示该应用层数据结构中数据域字段的长度。应用层数据域(Data)字段可以为应用层所载荷的具体数据。
在本实施例中,服务器生成的安全检查数据被作为应用层数据结构的应用层数据域,得到对应的应用层数据,将该应用层数据作为传输层数据结构的传输层数据,得到对应的传输层数据帧,该传输层数据帧即为安全检查帧,确定该安全检查帧的传输层数据域。并获取该传输层数据域中阶段字段对应的标识,得到阶段标识。
可选的,在基于上述EAP-NP协议进行数据传输之前,可以修改系统配置项,开启EAP-NP认证模式,并启动支持EAP-NP协议的RADIUS服务器,将该服务器配置为服务器的地址,并启动端口dot1x,配置交换机开启802.1x。
步骤102,若阶段标识与客户端中的当前标识相同,则更新当前标识为新的当前标识,并根据安全检查数据对客户端所在的目标设备进行安全检查,得到检查应答数据,发送检查应答数据至服务器,以使服务器根据检查应答数据生成安全结果数据。
其中,当前标识可以为表征客户端当前所处数据处理阶段的标识,新的当前标识可以为根据阶段顺序确定的下一阶段的标识。目标设备可以为客户端所在的终端,本实施例对该目标设备不做限制,例如,该目标设备可以为微型计算机。检查应答数据可以为表征客户端所在目标设备的检查结果的数据,该检查应答数据可以包括各个检查项目的项目结果。安全结果数据可以表征客户端所在目标设备安全检查的整体结果,该安全结果数据可以包括表征通过安全检查的安全通过标识,或表征不通过安全检查的安全不通过标识。
在本公开实施例中,获取客户端中存储的当前标识,并判断安全检查数据对应的阶段标识和该当前标识是否相同,若是,则根据数据处理阶段的顺序,将该当前标识更新为下一个新的当前标识,举例而言,当前标识可以为安全检查阶段、新的当前标识可以为结果确认阶段。需要说明的,在一些应用场景中,在同一个阶段可能需要进行多次数据处理,即相邻的多次数据处理可能对应同一个数据处理阶段,因而该新的当前标识可以与更新之前的当前标识相同。
在阶段标识与当前标识相同的情况下,客户端还可以依照安全检查数据对客户端所在的目标设备进行安全检查,得到对应的检查应答数据,并将该检查应答数据发送至服务器。服务器在接收到该检查应答数据之后,服务器可以将该检查应答数据与预先设置的检查标准进行对比,若该检查应答数据符合该检查标准,则确定安全结果数据为安全检查通过;若该检查应答数据中的至少一项不符合该检查标准,则确定安全检查数据为安全检查不通过。
在本公开一些实施例中,更新当前标识为新的当前标识,包括:确定预设标识顺序中当前标识的下一个标识,将下一个标识确定为新的当前标识。
其中,预设标识顺序可以为预先设置的阶段标识的顺序,即,该预设标识顺序可以由多个具备顺序关系的阶段标识组成,举例而言,该预设标识顺序中的阶段标识可以依次为:用户验证阶段、安全检查阶段、结果确认阶段、结果确认阶段,该预设标识顺序中存在相邻的两个结果确认阶段,即相邻的两次数据处理均为结果确认阶段的数据处理。下一个标识可以为排在当前标识之后,且与该当前标识相邻的阶段标识。
在本实施例中,客户端可以在向服务器发送一次应用层数据之后,根据预设标识顺序确定当前标识的下一个标识,并将该下一个标识确定为新的目标标识,并继续基于该新的目标标识以及该预设标识顺序继续进行后续的标识更新。
在本公开一些实施例中,根据安全检查数据对客户端所在的目标设备进行安全检查,得到检查应答数据,包括:根据安全检查数据包括的各检查项目对目标设备进行安全检查,得到各检查项目对应的项目结果;整合项目结果,得到检查应答数据。
其中,检查项目可以为从某一维度对客户端所在目标设备进行的安全检查。项目结果可以为与检查项目一一对应的检查结果。
在本实施例中,客户端可以确定安全检查数据中包括的至少一个检查项目,并且针对每个检查项目对客户端所在的目标设备进行安全检查,得到该检查项目对应的项目结果。进而,得到至少一个项目结果,并将至少一个项目结果整合为检查应答数据,该检查应答数据可以包括各项目结果,该检查应答数据也可以为对项目结果进行初步合并获得的数据。
图4为本公开实施例提供的另一种客户端的安全检查方法的流程示意图,如图4所示,在本公开一些实施例中,发送检查应答数据至服务器,包括:
步骤401,根据检查应答数据、当前标识生成检查应答帧的数据域;其中,检查应答帧为检查应答数据对应的传输层数据帧。
在本实施例中,可以将检查应答数据作为应用层数据域字段的取值;将当前标识作为阶段字段的取值,即将安全检查阶段作为阶段字段的取值;将应用层数据类型字段的取值确定为‘X’,得到应用层数据。将该应用层数据确定为检查应答帧的数据域字段的取值。
步骤402,根据检查应答帧的数据域、客户端和服务器之间的通道类型,生成检查应答帧。
在本实施例中,客户端将该应用层数据确定为传输层数据域字段的取值;将客户端和服务器之间的明文通道确定为传输通道类型的取值;将1确定为报文标记字段的取值;将2确定为报文类型的取值,得到传输层数据帧,该传输层数据帧即为检查应答帧。
步骤403,发送检查应答帧至交换机,以使交换机将检查应答帧转换为检查应答报文并发送检查应答报文至服务器;其中,检查应答报文包含检查应答数据。
其中,报文可以为根据服务器所能够支持的协议对应的格式的报文,该报文可以为远程用户拨号认证服务(Remote Authentication Dial In User Service,RADIUS)协议下的报文,检查应答报文可以为包含检查应答数据且满足RADIUS协议的报文。
在本实施例中,在生成检查应答帧之后,客户端可以将该检查应答帧发送至交换机。交换机将接收到的检查应答数据转换为满足RADIUS协议的检查应答报文,该检查应答报文包括检查应答数据,交换机将该检查应答报文发送至服务器。进而通过检查应答帧以及检查应答报文实现了从客户端将检查应答数据发送至服务器。其中,将检查应答帧转换为检查应答报文的具体过程与相关技术中将EAP协议的数据帧转换为RADIUS协议的报文的过程类似,此处不再赘述。
上述方案中,提供了具体将检查应答数据从客户端传输至服务器的方法,该方法满足了各设备所能接受的协议,提高了该客户端的安全检查方法的适用性。
步骤103,接收服务器返回的安全结果数据,若安全结果数据对应的阶段标识与新的当前标识相同,则根据安全结果数据确定安全检查结果。
其中,安全检查结果可以为最终确定的客户端所在目标设备在安全维度的检查结果,该安全检查结果可以包括通过安全检查或不通过安全检查。
在本公开实施例中,服务器可以将安全结果数据封装为RADIUS协议下的安全结果报文,并将该安全结果报文发送至交换机,交换机根据该安全结果报文生成安全结果帧,并将该安全结果帧发送至客户端。
其中,安全结果报文的封装过程与相关技术中封装RADIUS协议下的报文的过程类似,此处不再赘述;根据安全结果报文生成安全结果帧的具体过程与相关技术中根据RADIUS协议的报文生成EAP协议的数据帧的过程类似,此处不再赘述。该安全结果帧中,安全结果数据为应用层数据域字段的取值;结果确认阶段为阶段字段的取值;应用层数据类型字段的取值为‘X’,传输通道类型的取值为明文通道;报文标记字段的取值为1;报文类型的取值为2。
客户端在接收到安全结果帧之后,提取该安全结果帧中的应用层数据域字段的取值,得到安全结果数据;提取该安全结果帧中阶段字段对应的取值,得到阶段标识。客户端判断该阶段标识和新的当前标识是否相同,若是,说明安全结果数据对应的数据处理阶段与客户端当前的数据处理阶段一致,则根据该安全结果数据生成相应的安全检查结果。举例而言,若安全结果数据为0,则安全检查结果可以为通过安全检查,若安全结果数据为1,则安全检查结果可以为不通过安全检查。
本公开实施例提供的客户端的安全检查方法,应用于客户端,包括:接收服务器发送的安全检查数据,并确定安全检查数据对应的阶段标识;若阶段标识与客户端中的当前标识相同,则更新当前标识为新的当前标识,并根据安全检查数据对客户端所在的目标设备进行安全检查,得到检查应答数据,发送检查应答数据至服务器,以使服务器根据检查应答数据生成安全结果数据;接收服务器返回的安全结果数据,若安全结果数据对应的阶段标识与新的当前标识相同,则根据安全结果数据确定安全检查结果。采用上述技术方案,安全检查数据对应有阶段标识,若该阶段标识和客户端自身的当前标识相同,则说明安全检查数据对应的阶段和客户端当前所处的阶段是一致的,因而客户端能够根据该安全检查数据进行安全检查并确定最终的安全检查结果,避免了在无需进行安全检查的数据处理阶段进行安全检查,具备了判断当前阶段是否适合进行安全检查的功能,提高了安全检查的合理性。
此外,将客户端的当前标识更新为新的当前标识,并在该新的当前标识和安全结果数据的阶段标识相同的情况下,根据安全结果数据确定安全检查结果,在安全检查的开始阶段和结果阶段均通过当前标识进行了验证,从多个维度提高了安全检查的合理性。
图5为本公开实施例提供的又一种客户端的安全检查方法的流程示意图,如图5所示,在本公开一些实施例中,该客户端的安全检查方法还包括:
步骤501,响应于认证触发操作,发送目标设备的设备用户名至服务器,以使服务器在设备用户名和预设名单匹配成功的情况下发送通道确认数据至客户端。
其中,认证触发操作可以为用于指示进行设备准入认证的触发操作,本实施例对该触发操作不做限制,例如,该触发操作可以为语音触发、触控触发、点击触发等。设备用户名可以为客户端所在目标设备的用户名称。预设名单可以为允许接入网络的用户名单,该用户名单可以包括多个用户名以及每个用户名对应的用户密码,该用户名单还可以包括其他的用户信息。通道确认数据可以为用于确认在客户端和服务器之间建立数据通道的数据,该通道确认数据可以为EAP-NP协议开始数据。
在本实施例中,用户可以通过客户端进行认证触发操作,客户端响应于该认证触发操作,发送请求认证(EAPOL-Start)报文至交换机。交换机接收到该EAPOL-Start报文之后,返回用户名请求帧至客户端。客户端接收到该用户名请求帧之后,将设备用户名通过用户名数据帧发送至交换机。交换机接收到用户名数据帧之后,将该用户名数据帧经过封包处理,通过RADIUS协议下的用户名报文发送至服务器。服务器在接收到该用户名报文之后,解析该用户报文,得到设备用户名,根据该设备用户名对预设名单中的用户名进行查询,若查询到该设备用户名,则确定设备用户名和预设名单匹配成功,进而该服务器构建EAP-NP协议开始数据,并将该EAP-NP协议开始数据封装为RADIUS协议下的EAP-NP协议开始报文,服务器将该EAP-NP协议开始报文发送至交换机。交换机接收到EAP-NP协议开始报文之后,将该EAP-NP协议开始报文转换为EAP-NP协议开始帧。
该EAP-NP协议开始帧中,传输通道类型的取值为EAP-NP协议开始;报文标记字段的取值为1;报文类型字段的取值为1,传输层数据域字段的取值为字符串“START PLAIN”。
步骤502,接收服务器返回的通道确认数据,并发送通道类型数据至服务器,以在客户端和服务器之间建立通道类型数据对应的数据通道。
其中,通道类型数据可以为表征客户端和服务器之间的数据通道类型的数据,该通道类型数据可以为明文通道或密文通道。
在本实施例中,客户端在接收到包含通道确认数据的EAP-NP协议开始帧之后,确定通道类型数据,并基于该通道类型数据构建通道类型帧,将该通道类型帧发送至交换机。以通道类型数据为明文通道为例,则该通道类型帧中传输通道类型的取值为明文通道;报文标记字段的取值为1;报文类型字段的取值为1,传输层数据域字段的取值为字符串“HELLO”。
交换机接收到该通道类型帧之后,将该通道类型帧转换为RADIUS协议下的通道类型报文,并将该通道类型报文发送至服务器。服务器基于该通道类型报文中的通道类型和客户端进行握手操作,在完成该握手操作之后,在客户端和服务器之间建立了与通道类型数据对应的通道类型相同的数据通道。
上述方案中,在认证设备用户名成功之后,建立客户端和服务器之间的数据通道,为后续的客户端和服务器之间的数据传输提供了基础,并且基于该数据通道能够提升客户端和服务器之间的数据传输效率。
图6为本公开实施例提供的再一种客户端的安全检查方法的流程示意图,如图6所示,在本公开一些实施例中,该客户端的安全检查方法还包括:
步骤601,接收服务器发送的随机码,若随机码对应的阶段标识与当前标识相同,则将当前标识由用户验证阶段更新为安全检查阶段。
其中,随机码可以为服务器生成的随机数,本实施例对该随机数的位数以及该随机数的生成方法不做限制。当前标识可以为服务器端中表征当前数据处理阶段的标识。
在本实施例中,服务器可以随机生成随机码,并基于该随机码封装RADIUS协议下的随机码报文,将该随机码报文发送至交换机。交换机根据该随机码报文生成随机码帧。该随机码帧中,传输通道类型的取值为明文通道;报文标记字段的取值为1;报文类型的取值为2;应用层数据类型字段的取值为‘B’;阶段字段的取值为用户验证阶段;应用层数据域字段的取值为随机码。
客户端获取随机码帧中阶段字段的取值,得到阶段标识,并将该阶段标识和客户端中的当前标识进行对比,若该阶段标识和当前标识相同,则确定随机码帧对应的数据处理阶段和客户端当前的数据处理阶段相同,并且该阶段标识和当前标识均为用户验证阶段。客户端将该当前标识从用户验证阶段更新为下一阶段的安全检查阶段,以为后续的安全检查建立基础。
步骤602,根据随机码和目标设备的设备用户密码生成设备用户验证码,发送设备用户验证码至服务器,以使服务器根据设备用户验证码、目标设备的设备用户名和预设名单确定验证结果数据并在验证结果数据为验证通过的情况下发送安全检查数据至客户端。
其中,设备用户密码可以为设备用户名对应的密码。设备用户验证码可以为综合随机码和设备用户密码确定的设备用户验证码。验证结果数据可以为表征用户验证结果的数据,本实施例对该验证结果数据不做限制,例如,该验证结果数据可以包括表征通过用户验证的验证通过标识,或表征不通过用户验证的验证不通过标识。
在本实施例中,客户端可以以随机码对设备用户密码进行加密,生成设备用户验证码,并根据该用户验证码构建验证码帧,将该验证码帧发送至交换机。该验证码帧中,传输通道类型的取值为明文通道;报文标记字段的取值为1;报文类型的取值为2;应用层数据类型字段的取值为‘B’;阶段字段的取值为用户验证阶段;应用层数据域字段的取值为设备用户验证码。
交换机将该验证码帧转换为RADIUS协议下的验证码报文,并将该验证码报文发送至服务器。服务器根据随机码和用户名单中与设备用户名对应的预设密码生成目标验证码,服务器提取该验证码报文中的设备用户验证码,若设备用户验证码和目标验证码一致,说明目标设备的密码正确,则生成表征验证通过的验证结果数据,若设备用户验证码和目标验证码不一致,说明目标设备的密码错误,则生成表征验证不通过的验证结果数据。
若设备用户验证码和目标验证码一致,说明能够进行后续的客户端的安全检查,进一步的,服务器生成安全检查数据,并基于该安全检查数据封装RADIUS协议下的安全检查报文,将该安全检查报文发送至交换机。交换机根据该安全检查报文生成安全检查帧,并将该安全检查帧发送至客户端。该安全检查帧中,传输通道类型的取值为明文通道;报文标记字段的取值为1;报文类型的取值为2;应用层数据类型字段的取值为‘X’;阶段字段的取值为安全检查阶段;应用层数据域字段的取值为安全检查数据。
上述方案中,根据随机码、设备用户密码生成设备用户验证码,并且传输该设备用户验证码,避免了用户密码的明文传输,避免了数据传输过程中的数据泄漏造成的用户密码泄漏,提高了设备的安全性。
在本公开一些实施例中,在根据安全结果数据确定目标设备的安全检查结果之后,该客户端的安全检查方法还包括:发送安全结果确认数据至交换机,以使交换机根据验证结果数据和安全结果数据确定准入结果数据并发送准入结果数据至客户端。
其中,所述安全结果确认数据可以表征确认客户端接收到安全结果数据,该安全结果确认数据可以为确认字符(Acknowledge Character,ACK)。准入结果数据可以为根据用户验证和安全检查两个维度确定的结果,该准入结果数据表征了是否允许客户端所在的设备接入网络,本实施例对该准入结果数据不做限制,例如,该准入结果数据包括表征允许设备接入网络的准入通过标识,或者表征不允许设备接入网络的准入不通过标识。
在本实施例中,客户端可以根据安全结果确认数据生成安全结果确认帧,并将该安全结果确认帧发送至交换机。该安全结果确认帧中,传输通道类型的取值为明文通道;报文标记字段的取值为1;报文类型的取值为2;应用层数据类型字段的取值为‘X’;阶段字段的取值为结果确认阶段;应用层数据域字段的取值为安全结果确认数据,即ACK。
交换机将该安全结果确认帧转换为RADIUS协议下的安全结果确认报文,并将该安全结果确认报文发送至服务器,服务器提取该安全结果确认报文中的安全结果确认数据,获知客户端已经确认安全结果数据。进一步的,若验证结果数据表征通过用户验证,且安全结果数据表征安全检查通过,则确定准入结果数据表征允许设备接入网络。若验证结果数据表征不通过用户验证,或者,安全结果数据表征不通过安全检查,则确定准入结果数据表征不允许设备接入网络。
服务器确定准入结果数据之后,服务器将该准入结果数据封装为RADIUS协议下的准入结果报文,并将该准入结果报文发送至交换机。交换机将该准入结果报文转换为准入结果帧。该准入结果帧中,传输通道类型的取值为明文通道;报文标记字段的取值为1;报文类型的取值为2;应用层数据类型字段的取值为‘X’;阶段字段的取值为结果确认阶段;应用层数据域字段的取值为准入结果数据。
可选的,交换机可以根据该准入结果数据调整交换机中该客户端对应的目标端口的状态,若准入结果数据表征允许设备接入网络,则将该目标端口的状态调整为授权状态。若准入结果数据标准不允许设备接入网络,则将该目标端口的状态调整为未授权状态,并且客户端可以根据检查应答数据确定待修复项目,并对所述待修复项目进行修复,完成修复之后,返回进行网络准入认证。
客户端在获取该准入结果帧之后,提取该准入结果帧中的应用层数据域字段,得到准入结果数据,并根据该准入结果数据生成并展示准入结果。
上述方案中,基于用户验证和安全检查两个维度确认了准入结果,提高了准入结果的全面性和准确性。
接下来通过一个具体的示例对本公开实施例中的客户端的安全检查方法,进行进一步说明。图7为本公开实施例提供的再一种客户端的安全检查方法的流程示意图,如图7所示,该客户端的安全检查方法包括:
步骤701,用户通过客户端进行认证触发操作,客户端响应于该认证触发操作向交换机发送EAPoL-Start报文。
步骤702,交换机接收到客户端发送的请求认证(EAPoL-Start)报文,交换机返回用户名请求帧(EAP-Request/identity)至客户端,以使所述客户端发送设备用户名。
步骤703,客户端收到该用户名请求帧后,将设备用户名通过用户名数据帧(EAP-Response/Identity)发送至交换机。交换机将接收到的用户名数据帧经过封包处理得到RADIUS协议下的用户名报文(RADIUS Access-Request),并将该用户名报文发送至服务器。
步骤704,服务器收到交换机发送的用户名报文之后,确定用户名报文中的设备用户名,对设备用户名和预设名单中的用户名进行比对,若确认该设备用户名在预设键开机中,则构建EAP-NP协议开始数据(NP-Start-NALP),并将该EAP-NP协议开始数据封装为RADIUS协议下的EAP-NP协议开始报文(RADIUS Access-Challenge),将该EAP-NP协议开始报文发送至交换机。交换机接收到EAP-NP协议开始报文之后,将该EAP-NP协议开始报文转换为EAP-NP协议开始帧(EAP-Request),并将该EAP-NP协议开始帧发送至客户端。此时EAP-NP协议开始帧的数据结构中:Protocol=0x00,Flag=1,Type=1,传输层数据域字段为“START PLAIN”,Length和Parameter的取值均为传输层数据域的长度。
步骤705,客户接收到EAP-NP协议开始帧,客户端确定通道类型后,基于通道类型数据(NP-PLAN-Hello)构建通道类型帧(EAP-Response),将该通道类型帧发送至交换机,交换机将收到的通道类型帧转换为RADIUS协议下的通道类型报文(RADIUS Access-Request),并将该通道类型报文发送至服务器。通道类型帧的数据结构中:Protocol=0x01,Flag=1,Type=1,传输层数据域字段为“HELLO”,Length和Parameter的取值均为传输层数据域的长度。
步骤706,服务器接收到通道类型数据(NP-Hello)的通道类型帧之后,结束通道握手信息,并建立数据通道,构建通道结束数据(NP-NAPL-Finish)并将该通道结束数据封装为RADIUS协议下的通道结束报文(RADIUS Access-Challenge),将该通道结束报文发送至交换机。交换机将该通道结束报文转换为通道结束帧(EAP-Request),并将该通道结束帧发送至客户端。该通道结束帧的数据结构中:Protocol=0x01,Flag=1,Type=1,传输层数据域字段为“FINISH”,Length和Parameter的取值均为传输层数据域的长度。
步骤707,客户端收到通道结束数据(NP-NAPL-Finish)的通道结束报文之后,完成数据通道的建立,客户端获取所在设备的基本信息,并构建成认证握手数据(NP-HandShake),将认证握手数据构建为认证握手帧(EAP-Response),并将该认证握手帧发送至交换机,交换机将接收到的认证握手帧转换为RADIUS协议下的认证握手报文(RADIUSAccess-Request),并将该认证握手报文发送至服务器。该认证握手帧的数据结构中:Protocol=0x01,Flag=1,Type=2,Length和Parameter均为传输层数据域的长度,应用层数据作为传输层的数据域;应用层中:Type=‘X’,Phase=‘H’,应用层数据域字段填充认证握手数据,DataLength为应用层数据域的长度。
步骤708,服务器接收到认证握手数据(NP-HandShake)的认证握手报文后,提取该认证握手报文中的认证握手数据,并将该认证握手数据和已接收到的用户名信息关联存储;服务器生成随机码,基于该随机码构建随机码数据(NP-Auth-Challenge),将该随机码数据封装为RADIUS协议下的随机码报文(RADIUS Access-Challenge),将该随机码报文发送至交换机。交换机接收到该随机码报文之后,将该随机码报文转换为随机码帧(EAP-Request),将该随机码帧发送至客户端。随机码帧的传输层数据结构中:Protocol=0x01,Flag=1,Type=2,Length和Parameter均为传输层数据域的长度,应用层数据作为传输层的数据域;应用层中:Type=‘B’,Phase=‘A’,应用层数据域填充随机码,DataLength为应用层数据域的长度。
步骤709,客户端接收到随机码(NP-Auth-Challenge)的随机码帧之后,获取随机码帧中的随机码,利用设备用户密码和随机码计算得到设备用户验证码,基于设备用户验证码构建验证码帧(EAP-Response),并将该验证码帧发送至交换机;交换机将接收到验证码帧转换为RADIUS协议下的验证码报文(RADIUS Access-Request),并将该验证码报文发送至服务器。该验证码帧的传输层数据结构中:Protocol=0x01,Flag=1,Type=2,Length和Parameter均为传输层数据域的长度,应用层数据作为传输层的数据域;应用层中:Type=‘B’,Phase=‘A’,Data数据域填充设备用户验证码,DataLength为应用层数据域的长度。
步骤710,服务器接收到随机验证码(NP-Auth-Challenge)的验证码报文之后,获取验证码报文中的设备用户验证码,对设备用户验证码进行验证,验证通过后,生成安全检查数据(NP-Check),并将该安全检查数据封装为RADIUS协议下的安全检查报文(RADIUSAccess-Challenge),将该安全检查报文发送至交换机。交换机接收到安全检查报文之后,将该安全检查报文转换成为安全检查帧,并将该安全检查帧(EAP-Failure/EAP-Request)发送至客户端。安全检查帧的传输层数据结构中:Protocol=0x01,Flag=1,Type=2,Length和Parameter均为传输层数据域的长度,应用层数据作为传输层的数据域;应用层中:Type=‘X’,Phase=‘C’,Data数据域填充安全检查数据,DataLength为应用层数据域的长度。
步骤711,客户端接收到安全检查数据(NP-Check)的安全检查帧后,根据安全检查数据获取相应的检查应答数据,并将该检查应答数据构建为检查应答帧(EAP-Response),将该检查应答帧发送至交换机;交换机将该检查应答帧转换为RADIUS协议下的检查应答报文(RADIUS Access-Request),并将该检查英东报文发送至服务器。该检查应答帧的传输层数据结构中:Protocol=0x01,Flag=1,Type=2,Length和Parameter均为传输层数据域的长度,应用层数据作为传输层的数据域;应用层中;Type=‘X’,Phase=‘C’,应用层数据域填充检查应答数据,DataLength为应用层数据域的长度。
步骤712,服务器接收到检查应答数据,对应答数据进行分析处理,生成对应的安全结果数据(NP-Check-Result),并将该安全结果数据封装为RADIUS协议下的安全结果报文(RADIUS Access-Challenge),将该安全结果报文发送至交换机。交换机收到安全结果报文之后,将该安全结果报文转换成为安全结果帧(EAP-Request),并将将安全结果帧发送至客户端。安全结果帧的传输层数据结构中:Protocol=0x01,Flag=1,Type=2,Length和Parameter均为传输层数据域的长度,应用层数据作为传输层的数据域;应用层中;Type=‘X’,Phase=‘R’,应用层数据域填充安全结果数据,DataLength为应用层数据域的长度。
步骤713,客户端接收到安全结果数据(NP-Check-Result)并进行解析,构建安全结果确认数据(NP-ACK),该安全结果确认数据能够告知已接收到安全结果数据,根据该安全结果确认数据构建安全结果确认帧(EAP-Response),并将该安全结果确认帧发送至交换机;交换机将收到的安全结果确认帧转换为安全结果确认报文(RADIUS Access-Request)并将该安全结果确认报文发送至服务器。安全结果确认帧的传输层数据结构中:Protocol=0x01,Flag=1,Type=2,Length和Parameter均为传输层数据域的长度,应用层数据作为传输层的数据域;应用层中;Type=‘X’,Phase=‘R’,应用层数据域填充xml结构的安全结果确认数据,DataLength为应用层数据域的长度。
步骤714,服务器接收到安全结果确认数据(NP-ACK),根据验证结果数据和安全结果数据,生成准入结果数据(NP-Result),并将该准入结果数据封装为RADIUS协议下的准入结果报文(RADIUS Access-Challenge),将准入结果报文发送至交换机。交换机收到准入结果报文之后,将该准入结果报文转换成为准入结果帧(EAP-Request),将该准入结果帧发送至客户端。准入结果帧的传输层数据结构中:Protocol=0x01,Flag=1,Type=2,Length和Parameter均为传输层数据域的长度,应用层数据作为传输层的数据域;应用层中;Type=‘X’,Phase=‘R’,应用层数据域填充准入结果数据,DataLength为应用层数据域的长度。
步骤715,客户端接收到准入结果数据(NP-Result)并解析该准入结果数据,构建准入应答数据(NP-ACK),通过该准入应答数据能够告知客户端已接收准入结果数据,根据该准入应答数据构建准入应答帧(EAP-Response),并将准入应答帧发送至交换机;交换机将该准入应答数据转换为RADIUS协议下的准入应答报文(RADIUS Access-Request),并将该准入应答报文发送至服务器。准入应答帧的传输层数据结构中:Protocol=0x01,Flag=1,Type=2,Length和Parameter均为传输层数据域的长度,应用层数据作为传输层的数据域;应用层中;Type=‘X’,Phase=‘R’,应用层数据域填充xml结构的准入结果数据,DataLength为应用层数据域的长度。
步骤716,服务器接收到准入结果数据(NP-ACK),根据准入结果数据,构建准入报文(RADIUS Access-Accept)或者是拒绝准入报文(RADIUS Access-Reject),将准入报文或拒绝准入报文发送至交换机。交换机若接收到准入报文,将交换机与客户端对应的目标端口的认证状态更新为授权状态;交换机若接收到拒绝准入报文,将交换机与客户端对应的目标端口的认证状态更新为未授权状态;然后交换机将该准入报文或拒绝准入报文转换为准入帧(EAP-Success)或拒绝准入帧(EAP-Failure),并发送给客户端。
上述方案中,采用EAP的扩展协议,该协议为私有协议,避免了异常设备利用通用协议进行认证从而达到网络接入的目的,并且在802.1x的认证方式不变的情况下,对EAP协议进行扩展,得到扩展协议,该扩展协议可以根据需求实现用户身份认证以外的功能。不仅能实现认证终端的用户验证功能,而且可以将终端自身的安全性作为准入的条件之一,同时,在准入成功前能够进行基础通信。
图8为本公开实施例提供的一种客户端的安全检查装置的结构示意图,该装置可由软件和/或硬件实现,一般可集成在电子设备中。如图8所示,该装置可以应用于客户端,包括:
第一确定模块801,用于接收服务器发送的安全检查数据,并确定所述安全检查数据对应的阶段标识;
处理模块802,用于若所述阶段标识与所述客户端中的当前标识相同,则更新所述当前标识为新的当前标识,并根据所述安全检查数据对所述客户端所在的目标设备进行安全检查,得到检查应答数据,发送所述检查应答数据至所述服务器,以使所述服务器根据所述检查应答数据生成安全结果数据;
第二确定模块803,用于接收所述服务器返回的所述安全结果数据,若所述安全结果数据对应的阶段标识与所述新的当前标识相同,则根据所述安全结果数据确定安全检查结果。
可选地,所述第一确定模块801,用于:
确定包含所述安全检查数据的安全检查帧的数据域;其中,所述安全检查帧为所述安全检查数据对应的传输层数据帧;
将所述安全检查帧的数据域中阶段字段对应的标识确定为所述安全检查数据对应的阶段标识。
可选地,所述处理模块802,用于:
确定预设标识顺序中所述当前标识的下一个标识,将所述下一个标识确定为所述新的当前标识。
可选地,所述处理模块802,包括:
根据所述安全检查数据包括的各检查项目对所述目标设备进行安全检查,得到各所述检查项目对应的项目结果;
整合所述项目结果,得到所述检查应答数据。
可选地,所述处理模块802,用于:
根据所述检查应答数据、所述当前标识生成检查应答帧的数据域;其中,所述检查应答帧为所述检查应答数据对应的传输层数据帧;
根据所述检查应答帧的数据域、所述客户端和所述服务器之间的通道类型,生成所述检查应答帧;
发送所述检查应答帧至交换机,以使所述交换机将所述检查应答帧转换为检查应答报文并发送所述检查应答报文至所述服务器;其中,所述检查应答报文包含所述检查应答数据。
可选地,所述装置还包括:
第一发送模块,用于响应于认证触发操作,发送所述目标设备的设备用户名至所述服务器,以使所述服务器在所述设备用户名和预设名单匹配成功的情况下发送通道确认数据至所述客户端;
第二发送模块,用于接收所述服务器返回的所述通道确认数据,并发送通道类型数据至所述服务器,以在所述客户端和所述服务器之间建立所述通道类型数据对应的数据通道。
可选地,所述装置还包括:
更新模块,用于接收服务器发送的随机码,若所述随机码对应的阶段标识与当前标识相同,则将所述当前标识由用户验证阶段更新为安全检查阶段;
第三发送模块,用于根据所述随机码和所述目标设备的设备用户密码生成设备用户验证码,发送所述设备用户验证码至所述服务器,以使所述服务器根据所述设备用户验证码、所述目标设备的设备用户名和预设名单确定验证结果数据并在验证结果数据为验证通过的情况下发送所述安全检查数据至所述客户端。
可选地所述装置还包括,
第四发送模块,用于在所述根据所述安全结果数据确定所述目标设备的安全检查结果之后,发送安全结果确认数据至交换机,以使所述交换机根据所述验证结果数据和所述安全结果数据确定准入结果数据并发送所述准入结果数据至所述客户端。
本公开实施例所提供的客户端的安全检查装置可执行本公开任意实施例所提供的客户端的安全检查方法,具备执行方法相应的功能模块和有益效果。
图9为本公开实施例提供的一种电子设备的结构示意图。如图9所示,电子设备900包括一个或多个处理器901和存储器902。
处理器901可以是中央处理单元(CPU)或者具有客户端的安全检查能力和/或指令执行能力的其他形式的处理单元,并且可以控制电子设备900中的其他组件以执行期望的功能。
存储器902可以包括一个或多个计算机程序产品,所述计算机程序产品可以包括各种形式的计算机可读存储介质,例如易失性存储器和/或非易失性存储器。所述易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。所述非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。在所述计算机可读存储介质上可以存储一个或多个计算机程序指令,处理器901可以运行所述程序指令,以实现上文所述的本公开的实施例的客户端的安全检查方法以及/或者其他期望的功能。在所述计算机可读存储介质中还可以存储诸如输入信号、信号分量、噪声分量等各种内容。
在一个示例中,电子设备900还可以包括:输入装置903和输出装置904,这些组件通过总线系统和/或其他形式的连接机构(未示出)互连。
此外,该输入装置903还可以包括例如键盘、鼠标等等。
该输出装置904可以向外部输出各种信息,包括确定出的距离信息、方向信息等。该输出装置904可以包括例如显示器、扬声器、打印机、以及通信网络及其所连接的远程输出设备等等。
当然,为了简化,图9中仅示出了该电子设备900中与本公开有关的组件中的一些,省略了诸如总线、输入/输出接口等等的组件。除此之外,根据具体应用情况,电子设备900还可以包括任何其他适当的组件。
除了上述方法和设备以外,本公开的实施例还可以是计算机程序产品,其包括计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行本公开实施例所提供的客户端的安全检查方法。
所述计算机程序产品可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例操作的程序代码,所述程序设计语言包括面向对象的程序设计语言,诸如Java、C++等,还包括常规的过程式程序设计语言,诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。
此外,本公开的实施例还可以是计算机可读存储介质,其上存储有计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行本公开实施例所提供的客户端的安全检查方法。
所述计算机可读存储介质可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种客户端的安全检查方法,其特征在于,应用于客户端,包括:
接收服务器发送的安全检查数据,并确定所述安全检查数据对应的阶段标识;
若所述阶段标识与所述客户端中的当前标识相同,则确定预设标识顺序中所述当前标识的下一个标识,将所述下一个标识确定为新的当前标识,并根据所述安全检查数据对所述客户端所在的目标设备进行安全检查,得到检查应答数据,发送所述检查应答数据至所述服务器,以使所述服务器根据所述检查应答数据生成安全结果数据;
接收所述服务器返回的所述安全结果数据,若所述安全结果数据对应的阶段标识与所述新的当前标识相同,则根据所述安全结果数据确定所述目标设备的安全检查结果。
2.根据权利要求1所述的方法,其特征在于,所述确定所述安全检查数据对应的阶段标识,包括:
确定包含所述安全检查数据的安全检查帧的数据域;其中,所述安全检查帧为所述安全检查数据对应的传输层数据帧;
将所述安全检查帧的数据域中阶段字段对应的标识确定为所述安全检查数据对应的阶段标识。
3.根据权利要求1所述的方法,其特征在于,所述根据所述安全检查数据对所述客户端所在的目标设备进行安全检查,得到检查应答数据,包括:
根据所述安全检查数据包括的各检查项目对所述目标设备进行安全检查,得到各所述检查项目对应的项目结果;
整合所述项目结果,得到所述检查应答数据。
4.根据权利要求1所述的方法,其特征在于,所述发送所述检查应答数据至所述服务器,包括:
根据所述检查应答数据、所述当前标识生成检查应答帧的数据域;其中,所述检查应答帧为所述检查应答数据对应的传输层数据帧;
根据所述检查应答帧的数据域、所述客户端和所述服务器之间的通道类型,生成所述检查应答帧;
发送所述检查应答帧至交换机,以使所述交换机将所述检查应答帧转换为检查应答报文并发送所述检查应答报文至所述服务器;其中,所述检查应答报文包含所述检查应答数据。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
响应于认证触发操作,发送所述目标设备的设备用户名至所述服务器,以使所述服务器在所述设备用户名和预设名单匹配成功的情况下发送通道确认数据至所述客户端;
接收所述服务器返回的所述通道确认数据,并发送通道类型数据至所述服务器,以在所述客户端和所述服务器之间建立所述通道类型数据对应的数据通道。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收服务器发送的随机码,若所述随机码对应的阶段标识与当前标识相同,则将所述当前标识由用户验证阶段更新为安全检查阶段;
根据所述随机码和所述目标设备的设备用户密码生成设备用户验证码,发送所述设备用户验证码至所述服务器,以使所述服务器根据所述设备用户验证码、所述目标设备的设备用户名和预设名单确定验证结果数据并在验证结果数据为验证通过的情况下发送所述安全检查数据至所述客户端。
7.根据权利要求6所述的方法,其特征在于,在所述根据所述安全结果数据确定所述目标设备的安全检查结果之后,所述方法还包括:
发送安全结果确认数据至交换机,以使所述交换机根据所述验证结果数据和所述安全结果数据确定准入结果数据并发送所述准入结果数据至所述客户端。
8.一种客户端的安全检查装置,其特征在于,应用于客户端,包括:
第一确定模块,用于接收服务器发送的安全检查数据,并确定所述安全检查数据对应的阶段标识;
处理模块,用于若所述阶段标识与所述客户端中的当前标识相同,则确定预设标识顺序中所述当前标识的下一个标识,将所述下一个标识确定为新的当前标识,并根据所述安全检查数据对所述客户端所在的目标设备进行安全检查,得到检查应答数据,发送所述检查应答数据至所述服务器,以使所述服务器根据所述检查应答数据生成安全结果数据;
第二确定模块,用于接收所述服务器返回的所述安全结果数据,若所述安全结果数据对应的阶段标识与所述新的当前标识相同,则根据所述安全结果数据确定安全检查结果。
9.一种电子设备,其特征在于,所述电子设备包括:
处理器;
用于存储所述处理器可执行指令的存储器;
所述处理器,用于从所述存储器中读取所述可执行指令,并执行所述指令以实现上述权利要求1-7中任一所述的客户端的安全检查方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序用于执行上述权利要求1-7中任一所述的客户端的安全检查方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310115806.4A CN116112922B (zh) | 2023-02-08 | 2023-02-08 | 客户端的安全检查方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310115806.4A CN116112922B (zh) | 2023-02-08 | 2023-02-08 | 客户端的安全检查方法、装置、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116112922A CN116112922A (zh) | 2023-05-12 |
| CN116112922B true CN116112922B (zh) | 2023-08-22 |
Family
ID=86257869
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310115806.4A Active CN116112922B (zh) | 2023-02-08 | 2023-02-08 | 客户端的安全检查方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116112922B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015179640A1 (en) * | 2014-05-22 | 2015-11-26 | Alibaba Group Holding Limited | Method, apparatus, and system for providing a security check |
| CN109714349A (zh) * | 2018-12-29 | 2019-05-03 | 国网电子商务有限公司 | 工业互联网的动态安全防护系统和方法、互联网平台 |
| CN113472716A (zh) * | 2020-03-30 | 2021-10-01 | 中移互联网有限公司 | 系统访问方法、网关设备、服务器、电子设备及存储介质 |
| CN115222390A (zh) * | 2021-04-16 | 2022-10-21 | 腾讯科技(深圳)有限公司 | 安全检查方法、装置、设备及存储介质 |
-
2023
- 2023-02-08 CN CN202310115806.4A patent/CN116112922B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015179640A1 (en) * | 2014-05-22 | 2015-11-26 | Alibaba Group Holding Limited | Method, apparatus, and system for providing a security check |
| CN109714349A (zh) * | 2018-12-29 | 2019-05-03 | 国网电子商务有限公司 | 工业互联网的动态安全防护系统和方法、互联网平台 |
| CN113472716A (zh) * | 2020-03-30 | 2021-10-01 | 中移互联网有限公司 | 系统访问方法、网关设备、服务器、电子设备及存储介质 |
| CN115222390A (zh) * | 2021-04-16 | 2022-10-21 | 腾讯科技(深圳)有限公司 | 安全检查方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116112922A (zh) | 2023-05-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10430578B2 (en) | Service channel authentication token | |
| EP3249877B1 (en) | Redirection method, apparatus, and system | |
| US9548997B2 (en) | Service channel authentication processing hub | |
| US8584224B1 (en) | Ticket based strong authentication with web service | |
| US11349831B2 (en) | Technique for downloading a network access profile | |
| US20190281028A1 (en) | System and method for decentralized authentication using a distributed transaction-based state machine | |
| EP3208732A1 (en) | Method and system for authentication | |
| US20120144471A1 (en) | Updating stored passwords | |
| CN112491881A (zh) | 跨平台单点登录方法、系统、电子设备及存储介质 | |
| EP3862899A1 (en) | Information communication apparatus, authentication program for information communication apparatus, and authentication method | |
| KR20150033053A (ko) | 사용자 인증 방법 및 장치 | |
| JP2010097512A (ja) | 携帯端末のアプリケーションダウンロードシステム及び方法 | |
| CN111813078B (zh) | 一种车辆的安全诊断方法、装置、设备及介质 | |
| CN114301617A (zh) | 多云应用网关的身份认证方法、装置、计算机设备及介质 | |
| CN109510799B (zh) | 页面展示方法、浏览器客户端、设备及存储介质 | |
| CN110166471A (zh) | 一种Portal认证方法及装置 | |
| CN116112922B (zh) | 客户端的安全检查方法、装置、设备及介质 | |
| CN113647080B (zh) | 以密码保护的方式提供数字证书 | |
| CN111414608B (zh) | 一种服务器接受注册的方法 | |
| US20200403812A1 (en) | Certificate issuing apparatus, verification apparatus, communication device, certificate issuing system, certificate issuing method, and non-transitory computer readable medium | |
| CN116707758A (zh) | 可信计算设备的认证方法、设备和服务器 | |
| CN114679276B (zh) | 基于时间的一次性密码算法的身份认证方法和装置 | |
| US20230403164A1 (en) | Certificate issuance support system, certificate issuance support method and program | |
| CN112995325A (zh) | 服务调试方法、调试服务、电子设备及计算机存储介质 | |
| CN112669033A (zh) | 基于fido设备的交易认证方法及fido设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |