CN116915493A - 安全登录方法、装置、系统、计算机设备和存储介质 - Google Patents

安全登录方法、装置、系统、计算机设备和存储介质 Download PDF

Info

Publication number
CN116915493A
CN116915493A CN202311075786.9A CN202311075786A CN116915493A CN 116915493 A CN116915493 A CN 116915493A CN 202311075786 A CN202311075786 A CN 202311075786A CN 116915493 A CN116915493 A CN 116915493A
Authority
CN
China
Prior art keywords
password
terminal
security gateway
application system
account number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311075786.9A
Other languages
English (en)
Inventor
陈文华
王爱宝
陈鸿杰
蒋春元
魏俊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Technology Innovation Center
China Telecom Corp Ltd
Original Assignee
China Telecom Technology Innovation Center
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Technology Innovation Center, China Telecom Corp Ltd filed Critical China Telecom Technology Innovation Center
Priority to CN202311075786.9A priority Critical patent/CN116915493A/zh
Publication of CN116915493A publication Critical patent/CN116915493A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Abstract

本申请涉及一种安全登录方法、装置、系统、计算机设备、存储介质和计算机程序产品。所述方法包括:将针对应用系统的访问请求,发送至所述终端成功接入的安全网关;所述安全网关用于将所述访问请求发送至策略控制器,使所述策略控制器对所述访问请求进行验证;在所述访问请求验证通过的情况下,通过所述安全网关连接所述应用系统,并展示所述应用系统通过所述安全网关返回的登录页面信息所对应的登录页面;在所述登录页面上,填充通过所述安全网关从所述策略控制器获取到的账号及密码,以执行对应登录操作;所述账号及所述密码为所述终端当前用户在所述应用系统中的账号及密码。采用本方法,能够提高安全登录的便捷性。

Description

安全登录方法、装置、系统、计算机设备和存储介质
技术领域
本申请涉及网络安全技术领域,特别是涉及一种安全登录方法、装置、系统、计算机设备、存储介质和计算机程序产品。
背景技术
随着互联网行业的发展,在许多应用系统中,用户需要设置账号密码进行登录。有些用户为了方便,经常设置一些容易记忆但安全性较弱的口令,这种弱口令容易导致应用系统面临风险。
传统技术中,针对用户使用的账号密码,应用系统会对其安全性进行检测。如果检测结果为弱口令,则会提醒用户将该账号密码修改成强口令;但是,由于同一个用户使用的应用系统有多个,同时强口令的记忆难度大且使用频率不高,用户在手动输入账号密码进行登录时容易忘记,导致安全登录的便捷性较低。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高安全登录的便捷性的安全登录方法、装置、系统、计算机设备、计算机可读存储介质和计算机程序产品。
第一方面,本申请提供了一种安全登录方法,应用于终端,所述方法包括:
将针对应用系统的访问请求,发送至所述终端成功接入的安全网关;所述安全网关用于将所述访问请求发送至策略控制器,使所述策略控制器对所述访问请求进行验证;
在所述访问请求验证通过的情况下,通过所述安全网关连接所述应用系统,并展示所述应用系统通过所述安全网关返回的登录页面信息所对应的登录页面;
在所述登录页面上,填充通过所述安全网关从所述策略控制器获取到的账号及密码,以执行对应登录操作;所述账号及所述密码为所述终端当前用户在所述应用系统中的账号及密码。
在其中一个实施例中,在所述登录页面上,填充通过所述安全网关从所述策略控制器获取到的账号及密码,以执行对应登录操作之前,还包括:
根据所述登录页面,生成账号密码查询请求;所述账号密码查询请求中携带有所述终端当前用户的用户标识和所述应用系统的系统标识;
将所述账号密码查询请求通过所述安全网关发送至所述策略控制器;所述策略控制器用于根据所述账号密码查询请求查询存储的用户认证数据,得到与所述用户标识和所述系统标识匹配的目标账号及目标密码;
接收所述策略控制器通过所述安全网关返回的所述目标账号及所述目标密码,作为所述终端当前用户在所述应用系统中的账号及密码。
在其中一个实施例中,所述接收所述策略控制器通过所述安全网关返回的所述目标账号及所述目标密码,作为所述终端当前用户在所述应用系统中的账号及密码,包括:
接收所述策略控制器通过所述安全网关返回的与所述用户标识和所述系统标识匹配的加密账号及加密密码;
对所述加密账号和所述加密密码进行解密,得到所述目标账号及所述目标密码,作为所述终端当前用户在所述应用系统中的账号及密码。
在其中一个实施例中,所述方法还包括:
响应于密码修改请求,展示所述应用系统通过所述安全网关返回的密码修改页面信息所对应的密码修改页面;
在所述密码修改页面上,填充通过所述安全网关从所述策略控制器获取到的所述终端当前用户在所述应用系统中的原密码和新密码,以执行密码修改操作;所述新密码为所述策略控制器所生成的满足预设安全强度的密码;
在确认所述密码修改操作的情况下,将所述新密码通过所述安全网关发送至所述应用系统。
在其中一个实施例中,在响应于密码修改请求,展示所述应用系统通过所述安全网关返回的密码修改页面信息所对应的密码修改页面之后,还包括:
根据所述密码修改页面,生成原密码查询请求和新密码生成请求;
将所述原密码查询请求和所述新密码生成请求,通过所述安全网关发送至所述策略控制器;所述策略控制器用于根据所述原密码查询请求查询存储的用户认证数据,得到所述终端当前用户在所述应用系统中的原密码,以及根据所述新密码生成请求,生成所述终端当前用户在所述应用系统中的新密码;
接收所述策略控制器通过所述安全网关返回的所述原密码和所述新密码。
在其中一个实施例中,在将针对应用系统的访问请求,发送至所述终端成功接入的安全网关之前,还包括:
将所述终端的待验证信息发送至所述安全网关;所述安全网关用于将所述待验证信息发送至所述策略控制器,使所述策略控制器对所述待验证信息进行验证;所述待验证信息中至少包括所述终端当前用户的身份信息;
在所述待验证信息验证通过的情况下,建立与所述安全网关之间的网络通路,以接入所述安全网关。
第二方面,本申请还提供了一种安全登录方法,应用于策略控制器,所述方法包括:
接收终端成功接入的安全网关发送的针对应用系统的访问请求,并对所述访问请求进行验证;所述访问请求由所述终端发送至所述安全网关;
在所述访问请求验证通过的情况下,控制所述安全网关连接所述应用系统,使所述应用系统通过所述安全网关将登录页面信息返回至所述终端;所述终端用于展示所述登录页面信息对应的登录页面;
将所述终端当前用户在所述应用系统中的账号及密码,通过所述安全网关发送至所述终端;所述终端还用于在展示的所述登录页面上,填充所述账号及所述密码,以执行对应登录操作。
在其中一个实施例中,所述对所述访问请求进行验证,包括:
对所述访问请求进行解析,得到所述终端当前用户的用户标识、所述终端的终端标识和所述应用系统的系统标识;
在所述用户标识、所述终端标识和所述系统标识在预设安全标识列表中的情况下,确认所述访问请求验证通过。
第三方面,本申请还提供了一种安全登录装置,应用于终端,所述装置包括:
请求发送模块,用于将针对应用系统的访问请求,发送至所述终端成功接入的安全网关;所述安全网关用于将所述访问请求发送至策略控制器,使所述策略控制器对所述访问请求进行验证;
页面展示模块,用于在所述访问请求验证通过的情况下,通过所述安全网关连接所述应用系统,并展示所述应用系统通过所述安全网关返回的登录页面信息所对应的登录页面;
登录操作模块,用于在所述登录页面上,填充通过所述安全网关从所述策略控制器获取到的账号及密码,以执行对应登录操作;所述账号及所述密码为所述终端当前用户在所述应用系统中的账号及密码。
第四方面,本申请还提供了一种安全登录装置,应用于策略控制器,所述装置包括:
请求接收模块,用于接收终端成功接入的安全网关发送的针对应用系统的访问请求,并对所述访问请求进行验证;所述访问请求由所述终端发送至所述安全网关;
连接控制模块,用于在所述访问请求验证通过的情况下,控制所述安全网关连接所述应用系统,使所述应用系统通过所述安全网关将登录页面信息返回至所述终端;所述终端用于展示所述登录页面信息对应的登录页面;
信息发送模块,用于将所述终端当前用户在所述应用系统中的账号及密码,通过所述安全网关发送至所述终端;所述终端还用于在展示的所述登录页面上,填充所述账号及所述密码,以执行对应登录操作。
第五方面,本申请还提供了一种安全登录系统,所述系统包括:安全网关和策略控制器,所述安全网关接入有终端;
所述安全网关,用于接收所述终端发送的针对应用系统的访问请求,并将所述访问请求发送至所述策略控制器;
所述策略控制器,用于对所述访问请求进行验证,在所述访问请求验证通过的情况下,控制所述安全网关连接所述应用系统;
所述安全网关,还用于接收所述应用系统发送的登录页面信息,并将所述登录页面信息发送至所述终端,使所述终端展示所述登录页面信息对应的登录页面;
所述策略控制器,还用于将所述终端当前用户在所述应用系统中的账号及密码发送至所述安全网关;
所述安全网关,还用于将接收到的所述账号及所述密码发送至所述终端,使所述终端在展示的所述登录页面上,填充所述账号及所述密码,以执行对应登录操作。
第六方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
将针对应用系统的访问请求,发送至所述终端成功接入的安全网关;所述安全网关用于将所述访问请求发送至策略控制器,使所述策略控制器对所述访问请求进行验证;
在所述访问请求验证通过的情况下,通过所述安全网关连接所述应用系统,并展示所述应用系统通过所述安全网关返回的登录页面信息所对应的登录页面;
在所述登录页面上,填充通过所述安全网关从所述策略控制器获取到的账号及密码,以执行对应登录操作;所述账号及所述密码为所述终端当前用户在所述应用系统中的账号及密码。
第七方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
接收终端成功接入的安全网关发送的针对应用系统的访问请求,并对所述访问请求进行验证;所述访问请求由所述终端发送至所述安全网关;
在所述访问请求验证通过的情况下,控制所述安全网关连接所述应用系统,使所述应用系统通过所述安全网关将登录页面信息返回至所述终端;所述终端用于展示所述登录页面信息对应的登录页面;
将所述终端当前用户在所述应用系统中的账号及密码,通过所述安全网关发送至所述终端;所述终端还用于在展示的所述登录页面上,填充所述账号及所述密码,以执行对应登录操作。
第八方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
将针对应用系统的访问请求,发送至所述终端成功接入的安全网关;所述安全网关用于将所述访问请求发送至策略控制器,使所述策略控制器对所述访问请求进行验证;
在所述访问请求验证通过的情况下,通过所述安全网关连接所述应用系统,并展示所述应用系统通过所述安全网关返回的登录页面信息所对应的登录页面;
在所述登录页面上,填充通过所述安全网关从所述策略控制器获取到的账号及密码,以执行对应登录操作;所述账号及所述密码为所述终端当前用户在所述应用系统中的账号及密码。
第九方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
接收终端成功接入的安全网关发送的针对应用系统的访问请求,并对所述访问请求进行验证;所述访问请求由所述终端发送至所述安全网关;
在所述访问请求验证通过的情况下,控制所述安全网关连接所述应用系统,使所述应用系统通过所述安全网关将登录页面信息返回至所述终端;所述终端用于展示所述登录页面信息对应的登录页面;
将所述终端当前用户在所述应用系统中的账号及密码,通过所述安全网关发送至所述终端;所述终端还用于在展示的所述登录页面上,填充所述账号及所述密码,以执行对应登录操作。
第十方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
将针对应用系统的访问请求,发送至所述终端成功接入的安全网关;所述安全网关用于将所述访问请求发送至策略控制器,使所述策略控制器对所述访问请求进行验证;
在所述访问请求验证通过的情况下,通过所述安全网关连接所述应用系统,并展示所述应用系统通过所述安全网关返回的登录页面信息所对应的登录页面;
在所述登录页面上,填充通过所述安全网关从所述策略控制器获取到的账号及密码,以执行对应登录操作;所述账号及所述密码为所述终端当前用户在所述应用系统中的账号及密码。
第十一方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
接收终端成功接入的安全网关发送的针对应用系统的访问请求,并对所述访问请求进行验证;所述访问请求由所述终端发送至所述安全网关;
在所述访问请求验证通过的情况下,控制所述安全网关连接所述应用系统,使所述应用系统通过所述安全网关将登录页面信息返回至所述终端;所述终端用于展示所述登录页面信息对应的登录页面;
将所述终端当前用户在所述应用系统中的账号及密码,通过所述安全网关发送至所述终端;所述终端还用于在展示的所述登录页面上,填充所述账号及所述密码,以执行对应登录操作。
上述安全登录方法、装置、系统、计算机设备、存储介质和计算机程序产品,先将针对应用系统的访问请求,发送至终端成功接入的安全网关,通过安全网关将访问请求发送至策略控制器,使策略控制器对访问请求进行验证,然后,在访问请求验证通过的情况下,通过安全网关连接应用系统,并展示应用系统通过安全网关返回的登录页面信息所对应的登录页面,最后,在登录页面上,填充通过安全网关从策略控制器获取到的终端当前用户在应用系统中的账号及密码,以执行对应登录操作;这样,先通过策略控制器对针对应用系统的访问请求进行验证,在访问请求验证通过的情况下,终端才通过安全网关连接应用系统,保证了访问安全性,从而使得终端在安全的条件下,获取登录页面信息和账号密码后,展示登录页面信息对应的登录页面,并进行账号密码的自动填充,无需手动输入账号密码,从而使得整个登录过程非常便捷,进而提高了安全登录的便捷性。
附图说明
图1为一个实施例中安全登录方法的应用环境图;
图2为一个实施例中应用于终端的安全登录方法的流程示意图;
图3为一个实施例中零信任网络的结构示意图;
图4为一个实施例中获取终端当前用户在应用系统中的账号及密码的步骤的流程示意图;
图5为一个实施例中辅助自动登录和辅助密码更改的流程示意图;
图6为另一个实施例中获取终端当前用户在应用系统中的账号及密码的步骤的流程示意图;
图7为一个实施例中密码修改的步骤的流程示意图;
图8为一个实施例中接收原密码和新密码的步骤的流程示意图;
图9为一个实施例中信息验证的流程示意图;
图10为一个实施例中应用于策略控制器的安全登录方法的流程示意图;
图11为一个实施例中对访问请求进行验证的步骤的流程示意图;
图12为另一个实施例中应用于终端的安全登录方法的流程示意图;
图13为一个实施例中安全登录装置的结构框图;
图14为另一个实施例中安全登录装置的结构框图;
图15为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据,且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。
本申请实施例提供的安全登录方法,可以应用于如图1所示的应用环境中。其中,安全网关106分别通过网络与终端102、策略控制器104和应用系统108进行通信。具体地,参考图1,终端102将针对应用系统108的访问请求,发送至终端102成功接入的安全网关106;安全网关106将接收到的访问请求发送至策略控制器104,策略控制器104对接收到的访问请求进行验证;在访问请求验证通过的情况下,终端102通过安全网关106连接应用系统108,并展示应用系统108通过安全网关106返回的登录页面信息所对应的登录页面;在登录页面上,终端102填充通过安全网关106从策略控制器104获取到的终端102当前用户在应用系统108中的账号及密码,以执行对应登录操作。其中,终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机和平板电脑。策略控制器104是指用于执行身份认证和应用密码管理的控制器。安全网关106是指负责终端102与应用系统108之间的安全通信的网关设备。应用系统108是指用于提供业务服务或者功能服务的系统。
在一个实施例中,如图2所示,提供了一种安全登录方法,以该方法应用于图1中的终端为例进行说明,包括以下步骤:
步骤S201,将针对应用系统的访问请求,发送至终端成功接入的安全网关;安全网关用于将访问请求发送至策略控制器,使策略控制器对访问请求进行验证。
其中,应用系统是指满足特定业务需求的软件系统,通常由多个相互关联的模块或组件组成,用于处理特定的业务功能或任务。
其中,针对应用系统的访问请求是指向应用系统发送的用于获取某种资源或执行某种操作的请求,比如数据访问请求。针对应用系统的访问请求具体由终端响应于用户对应用系统的访问操作所生成。
其中,安全网关是指负责终端和应用系统之间的安全通信的网关设备,用于保护终端和应用系统免受各种网络威胁和攻击,以确保终端和应用系统的安全性和可用性。
其中,策略控制器是指用于进行身份认证和存储身份认证数据(比如用户人脸、用户指纹、用户账号密码等)的控制器。
具体地,终端将身份认证请求发送至安全网关,安全网关将该身份认证请求转发至策略控制器,策略控制器接收到该身份认证请求后,对该身份认证请求进行验证,在验证通过的情况下,将验证通过信息发送至安全网关,安全网关再将验证通过信息发送至终端,此时,终端获得安全网关的信任后,建立与安全网关之间的网络通路,以连接安全网关。在成功接入安全网关的前提下,终端将针对应用系统的访问请求发送至安全网关,安全网关再将该访问请求转发至策略控制器,策略控制器接收到该访问请求后,对该访问请求进行验证,比如对访问请求进行安全性验证。
举例说明,参考图3,安全客户端将身份认证请求通过安全网关发送至策略控制器,策略控制器对该身份认证请求验证通过之后,通过安全网关将验证通过信息发送至安全客户端,安全客户端根据验证通过信息与安全网关建立网络通路,实现成功接入安全网关的目的。接着,安全客户端在成功接入安全网关的前提下,将针对应用系统的访问请求通过安全网关发送至策略控制器,策略控制器对该访问请求进行验证,以决定安全客户端是否可以访问应用系统。
步骤S202,在访问请求验证通过的情况下,通过安全网关连接应用系统,并展示应用系统通过安全网关返回的登录页面信息所对应的登录页面。
其中,访问请求验证通过是指访问请求具备相应的权限和合法性,可以被允许执行相应的操作或访问资源。例如,访问请求所针对的应用系统、发起访问请求的终端及终端当前用户均在白名单内,则说明访问请求验证通过。
其中,登录页面信息是指展示登录页面所需要的信息,包括但不限于用户名字段、密码字段、记住密码选项、忘记密码链接、新账号注册链接、验证码字段和登录按钮。
其中,登录页面是指在访问需要身份验证的应用系统时,用户需要输入有效的凭据(如账号和密码)以验证其身份的页面。登录页面通常是一个包含登录表单的网页,用户需要在该表单中输入正确的凭据信息才能成功登录。
具体地,策略控制器对访问请求进行安全性验证,在访问请求验证通过的情况下,发送验证通过的信息至安全网关,并放通安全网关与应用系统之间的通道,使得终端可以通过安全网关直接连接应用系统;应用系统将登录页面信息发送给安全网关,安全网关再将该登录页面信息转发至终端;终端接收到该登录页面信息后,展示该登录页面信息对应的登录页面。
举例说明,参考图3,策略控制器对访问请求验证通过后,发送验证通过的信息至安全网关,并放通TCP(Transmission Control Protocol,传输控制协议)请求,使得安全网关直接连接应用系统;安全网关建立五元组会话映射的信息,并将该信息转发至安全客户端;安全客户端确认该信息,并建立端端TCP连接,从而可以通过安全网关直接连接应用系统;应用系统将登录页面信息发送给安全网关,安全网关再将该登录页面信息转发至安全客户端;安全客户端接收到该登录页面信息后,展示该登录页面信息对应的登录页面。
步骤S203,在登录页面上,填充通过安全网关从策略控制器获取到的账号及密码,以执行对应登录操作;账号及密码为终端当前用户在应用系统中的账号及密码。
其中,账号及密码是指用户在登录页面上输入的凭据信息,用于验证用户的身份并授权其访问特定应用系统的权限;账号通常是一个唯一标识用户身份的字符串,可以是用户名、邮箱地址、手机号码或其他用户标识符;密码是用户在注册账号时设置的用于保护账号安全的秘密字符串,通常是以安全的方式进行输入,例如以星号或圆点等方式进行遮蔽,以防止他人窃取或猜测密码。在实际场景中,账号和密码可以采用简单或复杂的形式。
其中,登录操作是指用户使用有效的账号和密码等凭据,通过身份验证机制成功访问特定应用系统的过程。在实际场景中,登录操作是指用户想要访问需要身份验证的服务时进行的操作。
具体地,终端接收到登录页面信息,并展示登录页面信息对应的登录页面后,根据该登录页面生成账号及密码的获取请求,并将该获取请求发送至安全网关,安全网关再将该获取请求转发至策略控制器;策略控制器根据该获取请求,查询得到终端当前用户在应用系统中的账号及密码,并将终端当前用户在应用系统中的账号及密码发送至安全网关,再由安全网关转发至终端,终端获取到账号及密码后,在登录页面上执行对应登录操作,即在登录页面上自动填充账号和密码,比如将账号和密码填充到登录页面上的对应位置。
举例说明,参考图3,安全客户端接收到登录页面信息,并展示登录页面信息对应的登录页面后,根据该登录页面生成账号及密码的获取请求,并将该获取请求发送至安全网关,安全网关再将该获取请求转发至策略控制器;策略控制器根据该获取请求,查询安全客户端当前用户在应用系统中的账号及密码,并将安全客户端当前用户在应用系统中的账号及密码发送至安全网关,再由安全网关转发至安全客户端,安全客户端获取到账号及密码后,在登录页面上自动填充账号和密码,以执行登录操作;在执行对应登录操作后,应用系统通过安全网关向安全客户端发送应用系统的首页信息;安全客户端接收到该应用系统的首页信息后,展示该首页信息对应的首页。
上述安全登录方法中,先将针对应用系统的访问请求,发送至终端成功接入的安全网关,通过安全网关将访问请求发送至策略控制器,使策略控制器对访问请求进行验证,然后,在访问请求验证通过的情况下,通过安全网关连接应用系统,并展示应用系统通过安全网关返回的登录页面信息所对应的登录页面,最后,在登录页面上,填充通过安全网关从策略控制器获取到的终端当前用户在应用系统中的账号及密码,以执行对应登录操作;这样,先通过策略控制器对针对应用系统的访问请求进行验证,在访问请求验证通过的情况下,终端才通过安全网关连接应用系统,保证了访问安全性,从而使得终端在安全的条件下,获取登录页面信息和账号密码后,展示登录页面信息对应的登录页面,并进行账号密码的自动填充,无需手动输入账号密码,从而使得整个登录过程非常便捷,进而提高了安全登录的便捷性。
在一个实施例中,如图4所示,上述步骤S203,在登录页面上,填充通过安全网关从策略控制器获取到的账号及密码,以执行对应登录操作之前,还包括获取终端当前用户在应用系统中的账号及密码的步骤,具体包括如下步骤:
步骤S401,根据登录页面,生成账号密码查询请求;账号密码查询请求中携带有终端当前用户的用户标识和应用系统的系统标识。
步骤S402,将账号密码查询请求通过安全网关发送至策略控制器;策略控制器用于根据账号密码查询请求查询存储的用户认证数据,得到与用户标识和系统标识匹配的目标账号及目标密码。
步骤S403,接收策略控制器通过安全网关返回的目标账号及目标密码,作为终端当前用户在应用系统中的账号及密码。
其中,账号密码查询请求是指获取终端当前用户在应用系统中的账号及密码的请求。
其中,当前用户的用户标识是指唯一标识用户的字符串,可以是用户名、用户ID(Identification,身份)或电子邮件地址。在实际场景中,当前用户的用户标识是指用户ID。
其中,应用系统的系统标识是指唯一标识应用系统的字符串,可以是应用系统名称、应用系统ID。在实际场景中,应用系统的系统标识是指应用系统ID。
其中,存储的用户认证数据包括多个用户在各应用系统的账号及密码,具体包括多个用户的身份ID、应用系统ID和对应的账号及密码。
其中,目标账号及目标密码是指在存储的用户认证数据中,与用户的身份ID及应用系统ID相匹配的账号及密码。
具体地,终端接收到登录页面信息,并展示登录页面信息对应的登录页面后,根据该登录页面,生成携带有终端当前用户的用户标识和应用系统的系统标识的账号密码查询请求,并将该账号密码查询请求发送至安全网关,安全网关再将该账号密码查询请求转发至策略控制器;策略控制器接收到该账号密码查询请求,根据该账号密码查询请求,查询存储的用户认证数据,得到与用户标识和应用系统标识均匹配的账号及密码,作为目标账号及目标密码;策略控制器将获取到的目标账号及目标密码发送至安全网关,安全网关再将目标账号及目标密码转发至终端,终端将接收到的目标账号及目标密码,对应作为终端当前用户在应用系统中的账号及密码。
举例说明,参考图5,安全客户端接收到登录页面信息,并展示登录页面信息对应的登录页面后,根据该登录页面,生成用于获取安全客户端当前用户访问应用系统的账号密码的请求,将该请求发送至安全网关,安全网关再将该请求转发至策略控制器;策略控制器接收到该请求,根据该请求查询本地存储的用户认证数据,得到安全客户端当前用户访问应用系统的账号密码,并将该账号密码发送至安全网关,安全网关再将该账号密码转发至安全客户端;安全客户端接收到该账号密码,并在登录页面中自动填充该账号密码,在用户最终点击登录按钮之后,安全客户端进入登录状态,从而实现了辅助自动登录的目的。
本实施例中,通过接收登录页面信息,并展示登录页面信息对应的登录页面后,生成账号密码查询请求,并通过策略控制器在存储的用户认证数据中,查询与用户标识和系统标识匹配的账号及密码,并将账号及密码返回至终端。这样,通过携带有终端当前用户的用户标识和应用系统的系统标识的账号密码查询请求,对存储的用户认证数据进行查询,有利于后续进行账号密码的自动填充,无需人工记忆账号密码,并手动输入账号密码,有利于提高安全登录的便捷性。
在一个实施例中,如图6所示,上述步骤S403,接收策略控制器通过安全网关返回的目标账号及目标密码,作为终端当前用户在应用系统中的账号及密码,具体包括如下步骤:
步骤S601,接收策略控制器通过安全网关返回的与用户标识和系统标识匹配的加密账号及加密密码。
步骤S602,对加密账号和加密密码进行解密,得到目标账号及目标密码,作为终端当前用户在应用系统中的账号及密码。
其中,加密账号及加密密码是指经过加密处理后的账号及密码。
其中,策略控制器存储的用户认证数据中包含多个用户在各应用系统的加密账号及加密密码。
具体地,策略控制器接收到终端通过安全网关发送的账号密码查询请求后,根据该账号密码查询请求,查询本地存储的用户认证数据,得到与用户标识和系统标识匹配的加密账号及加密密码,并将加密账号及加密密码发送至安全网关,安全网关再将加密账号及加密密码转发至终端;终端接收到加密账号及加密密码后,对加密账号及加密密码进行解密,得到解密后的加密账号及加密密码,即目标账号及目标密码,并将目标账号及目标密码作为终端当前用户在应用系统中的账号及密码。
举例说明,参考图5,策略控制器接收到安全客户端通过安全网关发送的账号密码查询请求后,根据该账号密码查询请求,查询本地存储的用户认证数据,得到与用户标识和系统标识匹配的加密账号及加密密码,并将加密账号及加密密码发送至安全网关,安全网关再将加密账号及加密密码发送至安全客户端;安全客户端接收到加密账号及加密密码后,对加密账号和加密密码进行解密,得到解密后的加密账号及加密密码,作为安全客户端当前用户访问应用系统的账号及密码。
本实施例中,通过接收策略控制器通过安全网关返回的与用户标识和系统标识匹配的加密账号及加密密码,并对加密账号及加密密码进行解密,使得账号及密码在数据传输过程中得到保护,进一步提高了账号及密码的安全性。
在一个实施例中,如图7所示,该安全登录方法,还包括密码修改的步骤,具体包括如下步骤:
步骤S701,响应于密码修改请求,展示应用系统通过安全网关返回的密码修改页面信息所对应的密码修改页面。
步骤S702,在密码修改页面上,填充通过安全网关从策略控制器获取到的终端当前用户在应用系统中的原密码和新密码,以执行密码修改操作;新密码为策略控制器所生成的满足预设安全强度的密码。
步骤S703,在确认密码修改操作的情况下,将新密码通过安全网关发送至应用系统。
其中,密码修改请求是指更改其当前使用的密码的请求。
其中,密码修改页面信息是指展示密码修改页面所需要的信息,包括但不限于账号、旧密码和新密码。
其中,密码修改页面是指用于修改用户密码的页面。
其中,原密码是指在执行密码修改操作前用户原来的密码。
其中,新密码是指在执行密码修改操作后分配给用户的新密码。
其中,密码修改操作是指对当前使用的密码进行更改的行为。
其中,预设安全强度是指对当前使用的密码的筛选指标,具体可以根据实际情况确定。
具体地,应用系统将密码修改页面信息发送至安全网关,安全网关再将该密码修改页面信息转发至终端;终端接收到该密码修改页面信息后,展示该密码修改页面信息对应的密码修改页面,根据该密码修改页面,生成密码修改请求,并将该密码修改请求发送至安全网关,安全网关再将该密码修改请求转发至策略控制器;策略控制器接收到该密码修改请求,根据该密码修改请求,查询终端当前用户在应用系统中的原密码,并生成满足预设安全强度的新密码,并将原密码和新密码一起发送至安全网关,安全网关再将原密码和新密码转发至终端,终端将接收到的原密码和新密码自动填充到密码修改页面中的对应位置,以执行密码修改操作;终端在确认密码修改操作的情况下,将新密码发送至安全网关,安全网关再将该新密码转发至应用系统,便于应用系统更新终端当前用户的密码。
举例说明,参考图5,应用系统将密码修改页面信息发送至安全网关,安全网关再将该密码修改页面信息转发至安全客户端;安全客户端接收到该密码修改页面信息后,展示该密码修改页面信息对应的密码修改页面,根据该密码修改页面,生成获取现有的应用系统账号密码以及更新符合策略的新密码的请求;安全客户端将该请求发送至安全网关,安全网关再将该请求转发至策略控制器;策略控制器接收到该请求,根据该请求查询现有的应用系统账号密码,以及产生符合安全策略要求的新密码,并对该新密码进行存储;策略控制器将现有的应用系统账号密码和符合安全策略要求的新密码发送至安全网关,再由安全网关转发至终端,以执行密码修改操作;终端在用户确认发送的情况下,将新密码发送至安全网关,安全网关再将该新密码转发至应用系统;应用系统接收到该新密码后,对该新密码进行存储,以实现辅助密码更改。
本实施例中,通过响应密码修改请求,展示应用系统通过安全网关返回的密码修改页面信息所对应的密码修改页面,再根据密码修改页面自动获取原密码,并根据原密码自动生成新密码。整个过程无需通过人工进行原密码的填写及新密码的设定,有利于提高密码修改的便捷性。
在一个实施例中,如图8所示,上述步骤S701,在响应于密码修改请求,展示应用系统通过安全网关返回的密码修改页面信息所对应的密码修改页面之后,还包括接收原密码和新密码的步骤,具体包括如下步骤:
步骤S801,根据密码修改页面,生成原密码查询请求和新密码生成请求。
步骤S802,将原密码查询请求和新密码生成请求,通过安全网关发送至策略控制器;策略控制器用于根据原密码查询请求查询存储的用户认证数据,得到终端当前用户在应用系统中的原密码,以及根据新密码生成请求,生成终端当前用户在应用系统中的新密码。
步骤S803,接收策略控制器通过安全网关返回的原密码和新密码。
其中,原密码查询请求是指对终端当前用户在应用系统中的原密码进行获取的请求。
其中,新密码生成请求是指生成终端当前用户在应用系统中的新密码的请求。
具体地,应用系统将密码修改页面信息发送至安全网关,安全网关再将该密码修改页面信息转发至终端;终端接收到该密码修改页面信息后,展示该密码修改页面信息对应的密码修改页面,根据该密码修改页面,生成对应的原密码查询请求和新密码生成请求,将原密码查询请求和新密码生成请求一起发送至安全网关,安全网关再将原密码查询请求和新密码生成请求转发至策略控制器;策略控制器根据原密码查询请求,在存储的用户认证数据中,查询终端当前用户在应用系统中的原密码;并根据新密码生成请求,生成终端当前用户在应用系统中的新密码;策略控制器将原密码和新密码发送至安全网关,安全网关再将原密码和新密码转发至终端,通过终端进行后续的自动修改密码过程。
举例说明,参考图5,应用系统将密码修改页面信息发送至安全网关,安全网关再将该密码修改页面信息转发至安全客户端;安全客户端接收到该密码修改页面信息后,展示该密码修改页面信息对应的密码修改页面,根据该密码修改页面,生成对应的原密码查询请求和新密码生成请求;安全客户端将原密码查询请求和新密码生成请求发送至安全网关,安全网关再将原密码查询请求和新密码生成请求转发至策略控制器;策略控制器接收到原密码查询请求和新密码生成请求,根据原密码查询请求,在存储的用户认证数据中,查询安全客户端当前用户在应用系统中的原密码,并根据新密码生成请求,生成安全客户端当前用户在应用系统中的新密码;策略控制器将原密码和新密码发送至安全网关,安全网关再将原密码和新密码转发至安全客户端。
本实施例中,通过响应密码修改请求,展示应用系统通过安全网关返回的密码修改页面信息所对应的密码修改页面,再根据密码修改页面生成原密码查询请求和新密码生成请求,查询得到终端当前用户在应用系统中的原密码,并自动生成终端当前用户在应用系统中的新密码,通过安全网关返回原密码和新密码。整个过程无需通过人工进行原密码的填写及新密码的设定,有利于提高密码修改的便捷性。
在一个实施例中,上述步骤S201,在将针对应用系统的访问请求,发送至终端成功接入的安全网关之前,还包括如下内容:将终端的待验证信息发送至安全网关;安全网关用于将待验证信息发送至策略控制器,使策略控制器对待验证信息进行验证;待验证信息中至少包括终端当前用户的身份信息;在待验证信息验证通过的情况下,建立与安全网关之间的网络通路,以接入安全网关。
其中,待验证信息是指建立终端与安全网关之间的网络通路所需要策略控制器进行验证的信息。
其中,网络通路是指终端与安全网关之间形成信息互通的路径。
具体地,终端将待验证信息发送至安全网关,安全网关接收到该待验证信息后,再将该待验证信息发送至策略控制器;策略控制器对该待验证信息进行验证,在待验证信息验证通过的情况下,策略控制器将验证通过的信息发送至安全网关,使安全网关对该终端开发端口,并建立终端与安全网关之间的网络通路。
举例说明,参考图9,安全客户端将SPA(Single Packet Authorization,单包授权)认证包发送至安全网关,安全网关接收到该SPA认证包后,再将该SPA认证包发送至策略控制器;策略控制器对该SPA认证包进行验证,在SPA认证包验证通过的情况下,策略控制器将验证通过的信息发送至安全网关,安全网关对该安全客户端开发端口,建立安全客户端与安全网关之间的网络通路;当安全客户端在安全网关对其开发端口的情况下,将MFA(Multi-factor authentication,多重要素验证)认证信息发送至安全网关,安全网关将该MFA认证信息转发至策略控制器;策略控制器对MFA认证信息验证确认后,将验证通过的信息发送至安全网关,安全网关再将该验证通过的信息转发至安全客户端;安全客户端将终端环境信息发送至安全网关,安全网关再将该终端环境信息转发至策略控制器;策略控制器收到该终端环境信息后,登记用户、终端ID、网络位置等上线信息和关联标识,使得终端动态接入成功。
在本方案中,终端将待验证信息发送至安全网关;再由安全网关将待验证信息发送至策略控制器进行验证,在待验证信息验证通过的情况下,建立与安全网关之间的网络通路。这样,通过待验证信息,使得终端与安全网关产生信任,建立两者之间的网络通路,有利于提高信息传递的安全性。
在一个实施例中,如图10所示,提供了另一种安全登录方法,以该方法应用于图1中的策略控制器为例进行说明,包括以下步骤:
步骤S1001,接收终端成功接入的安全网关发送的针对应用系统的访问请求,并对访问请求进行验证;访问请求由终端发送至安全网关。
步骤S1002,在访问请求验证通过的情况下,控制安全网关连接应用系统,使应用系统通过安全网关将登录页面信息返回至终端;终端用于展示登录页面信息对应的登录页面。
步骤S1003,将终端当前用户在应用系统中的账号及密码,通过安全网关发送至终端;终端还用于在展示的登录页面上,填充账号及密码,以执行对应登录操作。
具体地,策略控制器接收到终端通过安全网关发送的身份认证请求后,对该身份认证请求进行验证,在验证通过的情况下,将验证通过信息发送至安全网关,安全网关再将验证通过信息发送至终端,此时,终端获得安全网关的信任后,建立与安全网关之间的网络通路,以连接安全网关。在成功接入安全网关的情况下,策略控制器接收终端通过安全网关发送的针对应用系统的访问请求,并对接收到的访问请求进行验证,比如对访问请求进行安全性验证;策略控制器对访问请求验证通过后,发送验证通过的信息至安全网关,并放通安全网关与应用系统之间的通道,控制安全网关连接应用系统,使应用系统通过安全网关将登录页面信息返回至终端,终端接收到登录页面信息,并展示登录页面信息对应的登录页面;策略控制器接收到终端通过安全网关发送的账号密码查询请求,查询终端当前用户在应用系统中的账号及密码,并将终端当前用户在应用系统中的账号及密码发送至安全网关,再由安全网关转发至终端,使得终端在展示的登录页面上填充账号及密码,以执行对应登录操作。
举例说明,参考图3,策略控制器接收安全客户端通过安全网关发送的身份认证请求,对该身份认证请求验证通过之后,通过安全网关将验证通过信息发送至安全客户端,安全客户端根据验证通过信息与安全网关建立网络通路,实现成功接入安全网关的目的。在安全客户端成功接入安全网关情况下,策略控制器接收安全客户端通过安全网关发送的针对应用系统的访问请求,并对接收到的访问请求进行验证;策略控制器对访问请求验证通过后,发送验证通过的信息至安全网关,并放通安全网关与应用系统之间的通道,控制安全网关连接应用系统,使应用系统通过安全网关将登录页面信息返回至安全客户端,安全客户端展示登录页面信息对应的登录页面;策略控制器接收到安全客户端通过安全网关发送的账号密码查询请求,查询安全客户端当前用户在应用系统中的账号及密码,并将安全客户端当前用户在应用系统中的账号及密码发送至安全网关,再由安全网关转发至安全客户端,使得安全客户端在展示的登录页面上填充账号及密码,以执行对应登录操作。
本实施例中,通过验证终端通过安全网关发送的针对应用系统的访问请求,控制安全网关连接应用系统,使应用系统通过安全网关将登录页面信息返回至终端,将终端当前用户在应用系统中的账号及密码,通过安全网关发送至终端,以执行对应登录操作。这样,通过策略控制器对应用系统的访问请求进行验证,使安全网关直接连接应用系统,使得终端在安全的条件下,进行账号密码的自动填充,无需通过人工手动输入账号密码,从而使得整个登录操作更为便捷,进而提高安全登录的便捷性。
在一个实施例中,如图11所示,上述步骤S1001,对访问请求进行验证,具体包括如下步骤:
步骤S1101,对访问请求进行解析,得到终端当前用户的用户标识、终端的终端标识和应用系统的系统标识。
步骤S1102,在用户标识、终端标识和系统标识在预设安全标识列表中的情况下,确认访问请求验证通过。
其中,终端的终端标识是指唯一标识终端的字符串,比如终端名称。
其中,预设安全标识列表是指策略控制器用于对访问请求进行判定的标准。
具体地,策略控制器对终端通过安全网关发送的针对应用系统的访问请求进行解析,得到解析结果;从该解析结果中,提取终端当前用户的用户标识、终端的终端标识和应用系统的系统标识;将用户标识、终端标识和系统标识与预设安全标识列表进行匹配,匹配成功则确认访问请求验证通过。
举例说明,参考图5,策略控制器接收到安全客户端通过安全网关发送的DNS(Domain Name System,域名系统)解析请求后,初步判定应用系统是否为白名单、是否可访问等,若否则拒绝该解析请求,若是,则发送DNS解析响应至安全网关,安全网关再将该DNS解析响应转发至安全客户端;安全客户端接收该DNS解析响应后,将会话信息通过TCP发送至安全网关,安全网关接收到该会话信息后,判断该会话信息是否为新会话信息,若是,则将该会话信息转发至策略控制器请求验证审核;策略控制器接收到该会话信息后,判定用户、终端及应用系统是否为白名单、是否可访问等,若否则拒绝该会话信息,若是,则发送验证通过的信息至安全网关,使得该会话可以继续进行。
本实施例中,对访问请求进行解析,得到终端当前用户的用户标识、终端的终端标识和应用系统的系统标识,在上述标识在预设安全标识列表中的情况下,确认访问请求验证通过。这样,通过对访问请求的解析结果进行验证,以保证访问请求的安全性;验证通过后放通安全网关与应用系统的通路,使得安全客户端通过安全网关直达应用系统,有利于提高终端与应用系统信息传递的便捷性。
在一个实施例中,如图12所示,提供了又一种安全登录方法,以该方法应用于图1中的终端为例进行说明,包括以下步骤:
步骤S1201,将终端的待验证信息发送至安全网关;安全网关用于将待验证信息发送至策略控制器,使策略控制器对待验证信息进行验证;待验证信息中至少包括终端当前用户的身份信息。
其中,策略控制器用于对访问请求进行解析,得到终端当前用户的用户标识、终端的终端标识和应用系统的系统标识;在用户标识、终端标识和系统标识在预设安全标识列表中的情况下,确认访问请求验证通过。
步骤S1202,在待验证信息验证通过的情况下,建立与安全网关之间的网络通路,以接入安全网关。
步骤S1203,将针对应用系统的访问请求,发送至终端成功接入的安全网关;安全网关用于将访问请求发送至策略控制器,使策略控制器对访问请求进行验证。
步骤S1204,在访问请求验证通过的情况下,通过安全网关连接应用系统,并展示应用系统通过安全网关返回的登录页面信息所对应的登录页面。
步骤S1205,根据登录页面,生成账号密码查询请求;账号密码查询请求中携带有终端当前用户的用户标识和应用系统的系统标识。
步骤S1206,将账号密码查询请求通过安全网关发送至策略控制器;策略控制器用于根据账号密码查询请求查询存储的用户认证数据,得到与用户标识和系统标识匹配的目标账号及目标密码。
步骤S1207,接收策略控制器通过安全网关返回的与用户标识和系统标识匹配的加密账号及加密密码;对加密账号和加密密码进行解密,得到目标账号及目标密码,作为终端当前用户在应用系统中的账号及密码。
步骤S1208,在登录页面上,填充通过安全网关从策略控制器获取到的账号及密码,以执行对应登录操作;账号及密码为终端当前用户在应用系统中的账号及密码。
步骤S1209,响应于密码修改请求,展示应用系统通过安全网关返回的密码修改页面信息所对应的密码修改页面;根据密码修改页面,生成原密码查询请求和新密码生成请求。
步骤S1210,将原密码查询请求和新密码生成请求,通过安全网关发送至策略控制器;策略控制器用于根据原密码查询请求查询存储的用户认证数据,得到终端当前用户在应用系统中的原密码,以及根据新密码生成请求,生成终端当前用户在应用系统中的新密码。
步骤S1211,接收策略控制器通过安全网关返回的原密码和新密码。
步骤S1212,在密码修改页面上,填充通过安全网关从策略控制器获取到的终端当前用户在应用系统中的原密码和新密码,以执行密码修改操作;新密码为策略控制器所生成的满足预设安全强度的密码。
步骤S1213,在确认密码修改操作的情况下,将新密码通过安全网关发送至应用系统。
上述安全登录方法中,先在待验证信息验证通过的情况下,建立与安全网关之间的网络通路,再通过策略控制器对针对应用系统的访问请求进行验证,在访问请求验证通过的情况下,终端才通过安全网关连接应用系统,保证了访问安全性,从而使得终端在安全的条件下,获取登录页面信息和账号密码后,展示登录页面信息对应的登录页面,并进行账号密码的自动填充,无需手动输入账号密码,从而使得整个登录过程非常便捷,进而提高了安全登录的便捷性。
在一个实施例中,为了更清晰阐明本申请实施例提供的安全登录方法,以下以一个具体的实施例对该安全登录方法进行具体说明。在一个实施例中,如图5所示,本申请还提供了一种在零信任安全网络中杜绝弱口令的方法,通过安全客户端成功接入安全网关的情况下,向策略控制器发送验证信息,策略控制器验证通过后,使安全客户端通过安全网关直达应用系统,建立安全客户端到应用系统之间的网络通路,从而实现自动登录及密码修改,有利于提高安全登录的便捷性。具体包括如下内容:
1、在安全客户端中增加应用系统密码控件模块,在策略控制器中增加应用系统密码管理模块。
2、在原有业务流、信息及控制流的基础上,应用系统密码控件模块与应用系统密码管理模块协同。
3、安全客户端将SPA认证包发送至安全网关,安全网关接收到该SPA认证包后,再将该SPA认证包转发至策略控制器;策略控制器对该SPA认证包进行验证,在SPA认证包验证通过的情况下,策略控制器将验证通过的信息发送至安全网关,安全网关对该安全客户端开发端口,建立安全客户端与安全网关之间的网络通路;当安全客户端在安全网关对其开发端口的情况下,将MFA认证信息发送至安全网关,安全网关将该MFA认证信息转发至策略控制器;策略控制器对MFA认证信息验证确认后,将验证通过的信息发送至安全网关,安全网关再将该验证通过的信息转发至安全客户端;安全客户端将终端环境信息发送至安全网关,安全网关再将该终端环境信息转发至策略控制器;策略控制器收到该终端环境信息后,登记用户、终端ID、网络位置等上线信息和关联标识,使得终端动态接入成功。
4、安全客户端将DNS解析请求发送至安全网关,安全网关再将该DNS解析请求转发至策略控制器;策略控制器接收到该DNS解析请求,初步判定应用系统是否为白名单、是否可访问等,若是,则发送DNS解析响应至安全网关,安全网关再将该DNS解析响应转发至安全客户端;安全客户端将会话信息通过TCP发送至安全网关,安全网关判断该会话信息是否为新会话信息,若是,则转发至策略控制器请求验证审核;策略控制器判定用户、终端及应用系统是否为白名单、是否可访问等,若是,则发送验证通过的信息至安全网关,会话可以继续;策略控制器放通TCP请求,使得安全客户端通过安全网关直达应用系统。
5、应用系统将登录页面信息发送给安全网关,安全网关再将该登录页面信息转发至安全客户端,在安全客户端接收到该登录页面信息后,展示该登录页面信息对应的登录页面;安全客户端根据该登录页面,生成获取账号及密码的请求,并将该请求发送至安全网关,安全网关再将该请求转发至策略控制器;策略控制器将安全客户端当前用户在应用系统中的账号及密码发送至安全网关,再由安全网关转发至安全客户端,安全客户端获取到账号及密码后,执行对应登录操作。
6、安全客户端通过安全网关接收到应用系统的密码修改请求,根据该密码修改请求,向策略控制器查询获取现有的应用系统账号密码,并请求更新符合策略的新密码;策略控制器产生符合安全策略要求的新密码,并对新密码进行存储,向安全客户端回复填充现有的应用系统的账号密码和符合策略的新密码;安全客户端在确认密码修改操作的情况下,将新密码通过安全网关发送至应用系统。
上述实施例,该技术通过策略控制器对针对应用系统的访问请求进行验证,在访问请求验证通过的情况下,安全客户端通过安全网关连接应用系统,保证了访问安全性,从而使得安全客户端在安全的条件下,获取登录页面信息和账号密码后,展示登录页面信息对应的登录页面,并进行账号密码的自动填充,无需手动输入账号密码,从而使得整个登录过程非常便捷,进而提高了安全登录的便捷性。同时,此方案是建立在零信任网络的基础上,在策略控制器中增加了应用系统密码管理模块,用于存储和查找用户可访问的各应用系统的账号密码,以及实现密码的高安全策略生成,并针对每个应用系统实现针对性的兼容要求;在安全客户端中增加应用系统密码控件,用于对应用系统登录和修改密码界面的捕捉,并协同平台端的应用密码管理模块,实现应用系统账号密码的自动填入,并经用户确认即可登录,实现修改密码的旧密码的自动填入和新密码的基于高复杂安全策略并匹配应用系统的需求自动生成。而且,应用系统密码控件模块与应用系统密码管理模块协同,实现安全客户端与策略控制器的协同联动。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的安全登录方法的安全登录装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个安全登录装置实施例中的具体限定可以参见上文中对于安全登录方法的限定,在此不再赘述。
在一个实施例中,如图13所示,提供了一种安全登录装置,包括:请求发送模块1301、页面展示模块1302和登录操作模块1303,其中:
请求发送模块1301,用于将针对应用系统的访问请求,发送至终端成功接入的安全网关;安全网关用于将访问请求发送至策略控制器,使策略控制器对访问请求进行验证。
页面展示模块1302,用于在访问请求验证通过的情况下,通过安全网关连接应用系统,并展示应用系统通过安全网关返回的登录页面信息所对应的登录页面。
登录操作模块1303,用于在登录页面上,填充通过安全网关从策略控制器获取到的账号及密码,以执行对应登录操作;账号及密码为终端当前用户在应用系统中的账号及密码。
在一个实施例中,该安全登录装置还包括账号密码获取模块,用于根据登录页面,生成账号密码查询请求;账号密码查询请求中携带有终端当前用户的用户标识和应用系统的系统标识;将账号密码查询请求通过安全网关发送至策略控制器;策略控制器用于根据账号密码查询请求查询存储的用户认证数据,得到与用户标识和系统标识匹配的目标账号及目标密码;接收策略控制器通过安全网关返回的目标账号及目标密码,作为终端当前用户在应用系统中的账号及密码。
在一个实施例中,账号密码获取模块,还用于接收策略控制器通过安全网关返回的与用户标识和系统标识匹配的加密账号及加密密码;对加密账号和加密密码进行解密,得到目标账号及目标密码,作为终端当前用户在应用系统中的账号及密码。
在一个实施例中,该安全登录装置还包括密码修改模块,用于响应于密码修改请求,展示应用系统通过安全网关返回的密码修改页面信息所对应的密码修改页面;在密码修改页面上,填充通过安全网关从策略控制器获取到的终端当前用户在应用系统中的原密码和新密码,以执行密码修改操作;新密码为策略控制器所生成的满足预设安全强度的密码;在确认密码修改操作的情况下,将新密码通过安全网关发送至应用系统。
在一个实施例中,密码修改模块,还用于根据密码修改页面,生成原密码查询请求和新密码生成请求;将原密码查询请求和新密码生成请求,通过安全网关发送至策略控制器;策略控制器用于根据原密码查询请求查询存储的用户认证数据,得到终端当前用户在应用系统中的原密码,以及根据新密码生成请求,生成终端当前用户在应用系统中的新密码;接收策略控制器通过安全网关返回的原密码和新密码。
在一个实施例中,该安全登录装置还包括信息验证模块,用于将终端的待验证信息发送至安全网关;安全网关用于将待验证信息发送至策略控制器,使策略控制器对待验证信息进行验证;待验证信息中至少包括终端当前用户的身份信息;在待验证信息验证通过的情况下,建立与安全网关之间的网络通路,以接入安全网关。
在一个实施例中,如图14所示,提供了另一种安全登录装置,包括:请求接收模块1401、连接控制模块1402和信息发送模块1403,其中:
请求接收模块1401,用于接收终端成功接入的安全网关发送的针对应用系统的访问请求,并对访问请求进行验证;访问请求由终端发送至安全网关。
连接控制模块1402,用于在访问请求验证通过的情况下,控制安全网关连接应用系统,使应用系统通过安全网关将登录页面信息返回至终端;终端用于展示登录页面信息对应的登录页面。
信息发送模块1403,用于将终端当前用户在应用系统中的账号及密码,通过安全网关发送至终端;终端还用于在展示的登录页面上,填充账号及密码,以执行对应登录操作。
在一个实施例中,请求接收模块1401,还用于对访问请求进行解析,得到终端当前用户的用户标识、终端的终端标识和应用系统的系统标识;在用户标识、终端标识和系统标识在预设安全标识列表中的情况下,确认访问请求验证通过。
上述安全登录装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,参考图1,提供了一种安全登录系统,该系统包括安全网106和策略控制器104,安全网关106接入有终端102;
安全网关106,用于接收终端102发送的针对应用系统108的访问请求,并将访问请求发送至策略控制器104;
策略控制器104,用于对访问请求进行验证,在访问请求验证通过的情况下,控制安全网关106连接应用系统108;
安全网关106,还用于接收应用系统108发送的登录页面信息,并将登录页面信息发送至终端102,使终端102展示登录页面信息对应的登录页面;
策略控制器104,还用于将终端102当前用户在应用系统108中的账号及密码发送至安全网关106;
安全网关106,还用于将接收到的账号及密码发送至终端102,使终端102在展示的登录页面上,填充账号及密码,以执行对应登录操作。
上述安全登录系统中,先将针对应用系统的访问请求,发送至终端成功接入的安全网关,通过安全网关将访问请求发送至策略控制器,使策略控制器对访问请求进行验证,然后,在访问请求验证通过的情况下,通过安全网关连接应用系统,并展示应用系统通过安全网关返回的登录页面信息所对应的登录页面,最后,在登录页面上,填充通过安全网关从策略控制器获取到的终端当前用户在应用系统中的账号及密码,以执行对应登录操作;这样,先通过策略控制器对针对应用系统的访问请求进行验证,在访问请求验证通过的情况下,终端才通过安全网关连接应用系统,保证了访问安全性,从而使得终端在安全的条件下,获取登录页面信息和账号密码后,展示登录页面信息对应的登录页面,并进行账号密码的自动填充,无需手动输入账号密码,从而使得整个登录过程非常便捷,进而提高了安全登录的便捷性。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图15所示。该计算机设备包括处理器、存储器、输入/输出接口、通信接口、显示单元和输入装置。其中,处理器、存储器和输入/输出接口通过系统总线连接,通信接口、显示单元和输入装置通过输入/输出接口连接到系统总线。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的输入/输出接口用于处理器与外部设备之间交换信息。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、移动蜂窝网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种安全登录方法。该计算机设备的显示单元用于形成视觉可见的画面,可以是显示屏、投影装置或虚拟现实成像装置。显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图15中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,还提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。

Claims (14)

1.一种安全登录方法,其特征在于,应用于终端,所述方法包括:
将针对应用系统的访问请求,发送至所述终端成功接入的安全网关;所述安全网关用于将所述访问请求发送至策略控制器,使所述策略控制器对所述访问请求进行验证;
在所述访问请求验证通过的情况下,通过所述安全网关连接所述应用系统,并展示所述应用系统通过所述安全网关返回的登录页面信息所对应的登录页面;
在所述登录页面上,填充通过所述安全网关从所述策略控制器获取到的账号及密码,以执行对应登录操作;所述账号及所述密码为所述终端当前用户在所述应用系统中的账号及密码。
2.根据权利要求1所述的方法,其特征在于,在所述登录页面上,填充通过所述安全网关从所述策略控制器获取到的账号及密码,以执行对应登录操作之前,还包括:
根据所述登录页面,生成账号密码查询请求;所述账号密码查询请求中携带有所述终端当前用户的用户标识和所述应用系统的系统标识;
将所述账号密码查询请求通过所述安全网关发送至所述策略控制器;所述策略控制器用于根据所述账号密码查询请求查询存储的用户认证数据,得到与所述用户标识和所述系统标识匹配的目标账号及目标密码;
接收所述策略控制器通过所述安全网关返回的所述目标账号及所述目标密码,作为所述终端当前用户在所述应用系统中的账号及密码。
3.根据权利要求2所述的方法,其特征在于,所述接收所述策略控制器通过所述安全网关返回的所述目标账号及所述目标密码,作为所述终端当前用户在所述应用系统中的账号及密码,包括:
接收所述策略控制器通过所述安全网关返回的与所述用户标识和所述系统标识匹配的加密账号及加密密码;
对所述加密账号和所述加密密码进行解密,得到所述目标账号及所述目标密码,作为所述终端当前用户在所述应用系统中的账号及密码。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
响应于密码修改请求,展示所述应用系统通过所述安全网关返回的密码修改页面信息所对应的密码修改页面;
在所述密码修改页面上,填充通过所述安全网关从所述策略控制器获取到的所述终端当前用户在所述应用系统中的原密码和新密码,以执行密码修改操作;所述新密码为所述策略控制器所生成的满足预设安全强度的密码;
在确认所述密码修改操作的情况下,将所述新密码通过所述安全网关发送至所述应用系统。
5.根据权利要求4所述的方法,其特征在于,在响应于密码修改请求,展示所述应用系统通过所述安全网关返回的密码修改页面信息所对应的密码修改页面之后,还包括:
根据所述密码修改页面,生成原密码查询请求和新密码生成请求;
将所述原密码查询请求和所述新密码生成请求,通过所述安全网关发送至所述策略控制器;所述策略控制器用于根据所述原密码查询请求查询存储的用户认证数据,得到所述终端当前用户在所述应用系统中的原密码,以及根据所述新密码生成请求,生成所述终端当前用户在所述应用系统中的新密码;
接收所述策略控制器通过所述安全网关返回的所述原密码和所述新密码。
6.根据权利要求1至5任一项所述的方法,其特征在于,在将针对应用系统的访问请求,发送至所述终端成功接入的安全网关之前,还包括:
将所述终端的待验证信息发送至所述安全网关;所述安全网关用于将所述待验证信息发送至所述策略控制器,使所述策略控制器对所述待验证信息进行验证;所述待验证信息中至少包括所述终端当前用户的身份信息;
在所述待验证信息验证通过的情况下,建立与所述安全网关之间的网络通路,以接入所述安全网关。
7.一种安全登录方法,其特征在于,应用于策略控制器,所述方法包括:
接收终端成功接入的安全网关发送的针对应用系统的访问请求,并对所述访问请求进行验证;所述访问请求由所述终端发送至所述安全网关;
在所述访问请求验证通过的情况下,控制所述安全网关连接所述应用系统,使所述应用系统通过所述安全网关将登录页面信息返回至所述终端;所述终端用于展示所述登录页面信息对应的登录页面;
将所述终端当前用户在所述应用系统中的账号及密码,通过所述安全网关发送至所述终端;所述终端还用于在展示的所述登录页面上,填充所述账号及所述密码,以执行对应登录操作。
8.根据权利要求7所述的方法,其特征在于,所述对所述访问请求进行验证,包括:
对所述访问请求进行解析,得到所述终端当前用户的用户标识、所述终端的终端标识和所述应用系统的系统标识;
在所述用户标识、所述终端标识和所述系统标识在预设安全标识列表中的情况下,确认所述访问请求验证通过。
9.一种安全登录装置,其特征在于,应用于终端,所述装置包括:
请求发送模块,用于将针对应用系统的访问请求,发送至所述终端成功接入的安全网关;所述安全网关用于将所述访问请求发送至策略控制器,使所述策略控制器对所述访问请求进行验证;
页面展示模块,用于在所述访问请求验证通过的情况下,通过所述安全网关连接所述应用系统,并展示所述应用系统通过所述安全网关返回的登录页面信息所对应的登录页面;
登录操作模块,用于在所述登录页面上,填充通过所述安全网关从所述策略控制器获取到的账号及密码,以执行对应登录操作;所述账号及所述密码为所述终端当前用户在所述应用系统中的账号及密码。
10.一种安全登录装置,其特征在于,应用于策略控制器,所述装置包括:
请求接收模块,用于接收终端成功接入的安全网关发送的针对应用系统的访问请求,并对所述访问请求进行验证;所述访问请求由所述终端发送至所述安全网关;
连接控制模块,用于在所述访问请求验证通过的情况下,控制所述安全网关连接所述应用系统,使所述应用系统通过所述安全网关将登录页面信息返回至所述终端;所述终端用于展示所述登录页面信息对应的登录页面;
信息发送模块,用于将所述终端当前用户在所述应用系统中的账号及密码,通过所述安全网关发送至所述终端;所述终端还用于在展示的所述登录页面上,填充所述账号及所述密码,以执行对应登录操作。
11.一种安全登录系统,其特征在于,所述系统包括:安全网关和策略控制器,所述安全网关接入有终端;
所述安全网关,用于接收所述终端发送的针对应用系统的访问请求,并将所述访问请求发送至所述策略控制器;
所述策略控制器,用于对所述访问请求进行验证,在所述访问请求验证通过的情况下,控制所述安全网关连接所述应用系统;
所述安全网关,还用于接收所述应用系统发送的登录页面信息,并将所述登录页面信息发送至所述终端,使所述终端展示所述登录页面信息对应的登录页面;
所述策略控制器,还用于将所述终端当前用户在所述应用系统中的账号及密码发送至所述安全网关;
所述安全网关,还用于将接收到的所述账号及所述密码发送至所述终端,使所述终端在展示的所述登录页面上,填充所述账号及所述密码,以执行对应登录操作。
12.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至8中任一项所述的方法的步骤。
13.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至8中任一项所述的方法的步骤。
14.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至8中任一项所述的方法的步骤。
CN202311075786.9A 2023-08-24 2023-08-24 安全登录方法、装置、系统、计算机设备和存储介质 Pending CN116915493A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311075786.9A CN116915493A (zh) 2023-08-24 2023-08-24 安全登录方法、装置、系统、计算机设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311075786.9A CN116915493A (zh) 2023-08-24 2023-08-24 安全登录方法、装置、系统、计算机设备和存储介质

Publications (1)

Publication Number Publication Date
CN116915493A true CN116915493A (zh) 2023-10-20

Family

ID=88351226

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311075786.9A Pending CN116915493A (zh) 2023-08-24 2023-08-24 安全登录方法、装置、系统、计算机设备和存储介质

Country Status (1)

Country Link
CN (1) CN116915493A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117688550A (zh) * 2024-02-02 2024-03-12 深圳竹云科技股份有限公司 账号密码代填方法、装置、计算机设备和存储介质

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117688550A (zh) * 2024-02-02 2024-03-12 深圳竹云科技股份有限公司 账号密码代填方法、装置、计算机设备和存储介质

Similar Documents

Publication Publication Date Title
US11838324B2 (en) Secure web container for a secure online user environment
US20240106865A1 (en) Secure Web Container for a Secure Online User Environment
CN111429254B (zh) 一种业务数据处理方法、设备以及可读存储介质
US10735419B2 (en) Techniques for authentication via a mobile device
CN108809659B (zh) 动态口令的生成、验证方法及系统、动态口令系统
KR102390108B1 (ko) 정보 처리 시스템 및 제어 방법
JP5711430B2 (ja) 身分認証管理装置及びその方法
CN101448001B (zh) 一种实现wap手机银行交易安全控制的系统及方法
CN106657068A (zh) 登录授权方法和装置、登录方法和装置
CN110365684B (zh) 应用集群的访问控制方法、装置和电子设备
CN101321064A (zh) 一种基于数字证书技术的信息系统的访问控制方法及装置
CN108259502A (zh) 用于获取接口访问权限的鉴定方法、服务端及存储介质
CN101986598B (zh) 认证方法、服务器及系统
CN110826043A (zh) 一种数字身份申请系统及方法、身份认证系统及方法
CN105791259A (zh) 一种个人信息保护的方法
CN116915493A (zh) 安全登录方法、装置、系统、计算机设备和存储介质
CN107645474B (zh) 登录开放平台的方法及登录开放平台的装置
CN102065063A (zh) Web认证装置、系统和方法
CN113051611B (zh) 在线文件的权限控制方法和相关产品
CN105743883B (zh) 一种网络应用的身份属性获取方法及装置
JP2000322353A (ja) 情報提供装置、情報提供サービス認証方法及び情報提供サービス認証プログラムを記録した記録媒体
CN111259363A (zh) 业务访问信息处理方法、系统、装置、设备和存储介质
KR101595099B1 (ko) 보안코드 서비스 제공 방법
AU2021102834A4 (en) A User Authentication System and Method using Smart Cards for Cloud based IoT Applications
WO2022042746A1 (zh) 密钥管理方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination