CN117294502A - 对具有第一认证过程的多种应用系统再认证的认证方法 - Google Patents

对具有第一认证过程的多种应用系统再认证的认证方法 Download PDF

Info

Publication number
CN117294502A
CN117294502A CN202311281666.4A CN202311281666A CN117294502A CN 117294502 A CN117294502 A CN 117294502A CN 202311281666 A CN202311281666 A CN 202311281666A CN 117294502 A CN117294502 A CN 117294502A
Authority
CN
China
Prior art keywords
authentication
application system
user
application
operation function
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311281666.4A
Other languages
English (en)
Inventor
戴明
杜渐
安美芳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Traffic And Transportation Information Security Center Co ltd
Original Assignee
Traffic And Transportation Information Security Center Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Traffic And Transportation Information Security Center Co ltd filed Critical Traffic And Transportation Information Security Center Co ltd
Priority to CN202311281666.4A priority Critical patent/CN117294502A/zh
Publication of CN117294502A publication Critical patent/CN117294502A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/2869Terminals specially adapted for communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

本公开描述了一种对具有第一认证过程的多种应用系统再认证的认证方法,包括:设置针对至少一个应用系统的认证策略;代理客户端获取认证策略并基于认证策略对多种应用系统的使用过程进行监控以识别各个应用系统的操作功能,在用户进入操作标识对应的操作功能之前,代理客户端暂停当前操作并启动认证单元以基于操作标识对应的认证方式接收用户输入的身份认证信息并对该身份认证信息进行认证,若认证通过且通过认证策略确认该用户具有操作功能的操作权限,则授权该用户继续对该操作功能进行操作。由此,能够在不修改应用系统的应用代码情况下提高多种应用系统安全性且具有通用性。

Description

对具有第一认证过程的多种应用系统再认证的认证方法
本申请是申请日为2021年9月14日、申请号为2021110767185、发明名称为多种应用系统的安全认证方法及安全认证装置的专利申请的分案申请。
技术领域
本公开涉及新兴软件和新型信息技术服务领域,特别涉及一种对具有第一认证过程的多种应用系统再认证的认证方法。
背景技术
随着信息技术和互联网的高速发展,越来越多的企业逐渐实现企业的信息化。在企业内部部署着多种应用系统以支撑企业的日常运行,应用系统(例如客户管理系统、人事系统或财务系统等)已经成为企业日常办公不可缺少的得力助手。
出于安全因素的考量,各个应用系统一般设置有相应的认证方式以使授权认证通过的用户使用应用系统的操作功能,然而,因为研发的过程或开发的团队不同,应用系统的认证方式常常具有差异性,安全等级也不一致,有些应用系统对用户身份的认证过于简单,有些应用系统认证通过后的有效期过长,导致容易被其他人冒用身份进行违规操作。特别地,不同的企业常常有个性化的认证要求以支持企业内部的业务的安全性需求。目前,一般通过二次开发对应用系统的应用代码进行修改以满足企业的个性化的认证要求。然而,有些应用系统并未开放二次开发接口,或者二次开发的难度大,例如缺少设计文档或应用代码,且修改应用代码的成本高,周期长。
发明内容
本公开是鉴于上述的状况而提出的,其目的在于提供一种能够在不修改应用系统的应用代码情况下提高多种应用系统安全性且具有通用性的多种应用系统的安全认证方法及安全认证装置。
为此,本公开的第一方面提供了一种多种应用系统的安全认证方法,是对具有第一认证过程的多种应用系统的操作功能进行再认证的安全认证方法,其中,所述第一认证过程为所述应用系统在发布时已具有的认证过程,通过对所述应用系统设置第二认证过程以进行所述再认证,所述第一认证过程所属的应用程序与所述第二认证过程所属的应用程序之间相互独立,所述第二认证过程包括:设置针对至少一个所述应用系统的认证策略,所述认证策略包括用于唯一标识一个应用系统的应用标识、用于识别所述操作功能的操作标识、进入所述操作功能时的认证方式和具有所述操作功能的操作权限的操作用户信息,其中,所述操作用户信息包括用于关联身份认证信息的用户标识,所述操作标识包括用于定位所述操作功能所在页面的定位信息和所述操作功能的特征信息;并且访问所述应用系统的用户的终端设备上设置代理客户端,所述代理客户端获取所述认证策略并保存所述认证策略,基于所述认证策略对所述终端设备上的多种应用系统的使用过程进行监控以识别所述操作标识,在用户进入所述操作标识对应的操作功能之前,所述代理客户端暂停当前操作并启动认证单元以基于所述操作标识对应的认证方式接收用户输入的身份认证信息并对该身份认证信息进行认证,若认证通过且通过所述认证策略确认该用户具有所述操作功能的操作权限,则授权该用户继续对该操作功能进行操作,否则终止对该操作功能进行操作,其中,所述代理客户端在识别所述操作标识中,获取所述应用系统的当前页面的页面内容,通过所述定位信息和所述页面内容确定所述当前页面是否是所述操作功能所在页面,若是,则判断所述操作功能所在页面的页面内容是否存在符合所述特征信息的内容,若存在,则表示识别到所述操作标识。在这种情况下,在不修改多种应用系统的应用代码的情况下,能够对应用系统中的关键的操作功能增加额外的认证过程。由此,能够提高多种应用系统的安全性且具有通用性。
另外,在本公开的第一方面所涉及的安全认证方法中,可选地,所述定位信息包括所述应用系统的页面内容中的页面标题,所述特征信息包括所述应用系统的页面内容中的操作功能的名称;对于BS结构的应用系统,根据所述应用系统的访问网址设置所述应用标识,对于CS结构的应用系统,将所述应用系统的进程名称作为所述应用标识。
另外,在本公开的第一方面所涉及的安全认证方法中,可选地,所述特征信息还包括所述操作功能的位置信息;对于BS结构的应用系统,所述特征信息还包括访问网址中的请求参数。在这种情况下,在同一个页面出现相同操作功能的名称时,能够通过位置信息进一步确定受认证策略控制的操作功能。另外,能够识别粒度更小的操作功能。
另外,在本公开的第一方面所涉及的安全认证方法中,可选地,对所述认证单元对所述身份认证信息进行认证的过程进行记录以生成认证记录并对所述认证记录进行监控和分析,其中,所述认证记录包括代理客户端信息、所述应用标识、所述操作标识、所述认证方式、所述用户输入的身份认证信息、认证结果和所述用户标识。由此,能够监控认证过程。
另外,在本公开的第一方面所涉及的安全认证方法中,可选地,所述认证方式包括指纹认证、数字证书认证、用户名和密码认证、以及动态口令卡认证中的至少一种。由此,能够支持多种不同安全级别的认证方式。
另外,在本公开的第一方面所涉及的安全认证方法中,可选地,对用户进行分组以获取分组信息,并基于所述分组信息对所述应用系统的认证策略进行设置。在这种情况下,能够对具有相同岗位职责的用户进行统一的设置。由此,能够提高效率。
另外,在本公开的第一方面所涉及的安全认证方法中,可选地,对于BS结构的应用系统,所述代理客户端采用浏览器钩子机制获取页面内容,对于CS结构的应用系统,所述代理客户端通过操作系统的内核程序和事件触发机制获取页面内容。由此,能够获取页面内容。
另外,在本公开的第一方面所涉及的安全认证方法中,可选地,所述代理客户端具有策略接收模块和自更新模块,其中,所述策略接收模块配置为获取所述认证策略,所述自更新模块配置为在所述代理客户端的版本发生变化时,自动获取最新版本的代理客户端。由此,能够获取认证策略。另外,能够降低遗漏识别操作功能的风险。
另外,在本公开的第一方面所涉及的安全认证方法中,可选地,所述代理客户端设置有守护模块,所述守护模块配置为检测所述代理客户端是否启动,若未启动,则启动所述代理客户端。由此,能够防止代理客户端被卸载或终止。
本公开第二方面提供了一种多种应用系统的安全认证装置,是对具有第一认证过程的多种应用系统的操作功能进行再认证的安全认证装置,其中,所述第一认证过程为所述应用系统在发布时已具有的认证过程,所述安全认证装置用于对所述应用系统设置第二认证过程以进行所述再认证,所述第一认证过程所属的应用程序与所述第二认证过程所属的应用程序之间相互独立,所述安全认证装置包括策略管理模块和代理客户端;所述策略管理模块配置为设置针对至少一个所述应用系统的认证策略,所述认证策略包括用于唯一标识一个应用系统的应用标识、用于识别所述操作功能的操作标识、进入所述操作功能时的认证方式和具有所述操作功能的操作权限的操作用户信息,其中,所述操作用户信息包括用于关联身份认证信息的用户标识,所述操作标识包括用于定位所述操作功能所在页面的定位信息和所述操作功能的特征信息;以及所述代理客户端设置在访问所述应用系统的用户的终端设备上并配置为获取所述认证策略并保存所述认证策略,基于所述认证策略对所述终端设备上的多种应用系统的使用过程进行监控以识别所述操作标识,在用户进入所述操作标识对应的操作功能之前,所述代理客户端暂停当前操作并启动认证单元以基于所述操作标识对应的认证方式接收用户输入的身份认证信息并对该身份认证信息进行认证,若认证通过且通过所述认证策略确认该用户具有所述操作功能的操作权限,则授权该用户继续对该操作功能进行操作,否则终止对该操作功能进行操作,其中,所述代理客户端在识别所述操作标识中,获取所述应用系统的当前页面的页面内容,通过所述定位信息和所述页面内容确定所述当前页面是否是所述操作功能所在页面,若是,则判断所述操作功能所在页面的页面内容是否存在符合所述特征信息的内容,若存在,则表示识别到所述操作标识。在这种情况下,在不修改多种应用系统的应用代码的情况下,能够对应用系统中的关键的操作功能增加额外的认证过程。由此,能够提高多种应用系统的安全性且具有通用性。
根据本公开,能够提供一种在不修改应用系统的应用代码情况下提高多种应用系统安全性且具有通用性的多种应用系统的安全认证方法及安全认证装置。
附图说明
现在将仅通过参考附图的例子进一步详细地解释本公开,其中:
图1是示出了本公开示例所涉及的多种应用系统的安全认证方法的应用场景图示意图。
图2是示出了本公开示例所涉及的多种应用系统的安全认证方法的流程图。
图3是示出了本公开示例所涉及的代理客户端的框图。
图4是示出了本公开示例所涉及的代理客户端启动认证单元的示意图。
图5是示出了本公开示例所涉及的代理客户端对操作功能进行认证的流程图。
图6是示出了本公开示例所涉及的多种应用系统的安全认证装置的框图。
具体实施方式
以下,参考附图,详细地说明本公开的优选实施方式。在下面的说明中,对于相同的部件赋予相同的符号,省略重复的说明。另外,附图只是示意性的图,部件相互之间的尺寸的比例或者部件的形状等可以与实际的不同。需要说明的是,本公开中的术语“包括”和“具有”以及它们的任何变形,例如所包括或所具有的一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可以包括或具有没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。本公开所描述的所有方法可以以任何合适的顺序执行,除非在此另有指示或者与上下文明显矛盾。
本公开涉及的多种应用系统的安全认证方法及安全认证装置能够在不修改应用系统的应用代码情况下提高多种应用系统安全性且具有通用性。本公开涉及的多种应用系统的安全认证方法有时也可以简称为安全认证方法、认证方法或系统认证方法等。本公开涉及的多种应用系统的安全认证装置可以用于实施安全认证方法。以下对本公开涉及的部分概念进行描述。
应用系统是为了解决某个或某类问题,各企业组织建设的信息系统。应用系统可以通过计算机编程设计相应的应用代码实现。基于应用系统可以与用户进行交互。应用系统根据业务需求可以具有一个或多个应用程序。应用程序之间相互配合以实现业务需求。
另外,应用系统可以是企业内部的各种业务系统。例如应用系统可以包括但不限于是客户管理系统、人事系统、财务系统和OA系统等。另外,应用系统可以为CS(Client/Server,客户端/服务器)结构和BS(Browser/Server,浏览器/服务器)结构。
应用代码可以称为应用系统的源代码。通过编译工具可以将应用代码编译成应用程序。在编译过程,将高级语言的应用代码翻译成为计算机可以理解和运行的二进制代码。因此,编译后生成的应用程序常常难以修改。虽然部分应用程序支持反编译,但反编译后获得的源代码常常不完整且源代码格式混乱。在这种情况下,基于反编译后的源代码进行修改以修改认证方式基本不可行,且难度较高。
以下结合附图进行详细描述本公开涉及的多种应用系统的安全认证方法。此外,本公开的示例描述的应用场景是为了更加清楚的说明本公开的技术方案,并不构成对于本公开提供的技术方案的限定。图1是示出了本公开示例所涉及的多种应用系统30的安全认证方法的应用场景图示意图。
如图1所示,可以在终端设备上设置代理客户端20对多种应用系统30的使用过程进行监控以识别各个应用系统30的关键操作(也即关键的操作功能),若识别到关键操作则可以启动认证单元40以对该关键操作进行认证,若认证通过,则可以继续该关键操作。另外,可以通过设置认证策略(稍后描述)对关键操作以及关键操作的认证方式进行设置。
另外,在一些示例中,终端设备可以包括但不限于笔记本电脑、平板电脑、手机、台式机或虚拟计算机(虚拟计算机可以指通过软件模拟的具有完整硬件系统功能的且运行在一个完全隔离环境中的虚拟机)等。
另外,在一些示例中,各个应用系统30可以具有第一认证过程。在一些示例中,第一认证过程可以为应用系统30在发布时已具有的认证过程(也即,若要变更第一认证过程需要修改应用系统30的源代码)。在一些示例中,第一认证过程可以包括认证用户是否登录、认证用户是否具有相应页面的操作权限、认证用户是否有相应页面的相应的操作功能的操作权限和认证用户是否有相应数据的操作权限中的一种或多种过程。但本公开不对第一认证过程做特别的限定,第一认证过程可以是任意应用系统30发布时已具有的且用于保证安全性的认证过程。
本公开涉及的安全认证方法可以对具有第一认证过程的多种应用系统30的操作功能进行再认证。在一些示例中,可以通过对应用系统30设置第二认证过程以进行再认证。也即,第二认证过程可以不属于应用系统30本身现有的认证流程。在一些示例中,第二认证过程可以是根据企业内部的业务的安全性需求设定。由此,能够支持个性化的认证需求。
在一些示例中,第一认证过程所属的应用程序(可以简称为第一应用程序)与第二认证过程所属的应用程序(可以简称为第二应用程序)之间可以相互独立。也即,第一应用程序和第二应用程序之间在应用程序内部可以无交互过程。另外,第一应用程序可以是应用系统30中的应用程序。在这种情况下,能够在不修改应用系统30的源代码(也即第一应用程序的源代码)的情况下,通过对应用系统30设置第二认证过程以进行再认证,能够适应个性化的认证需求。由此,能够提高应用系统30的安全性且具有通用性。
另外,本公开涉及的安全认证方法同样适用于对多种应用系统30的操作页面进行认证。也即,对用户是否具有相应页面的操作权限进行认证。换而言之,可以对用户是否具有相应页面的操作权限增加额外的认证。
另外,本公开涉及的安全认证方法同样适用于无第一认证过程的应用系统30。也即,可以对无第一认证过程的应用系统30设置第二认证过程。由此,能够方便地提高无第一认证过程的应用系统30的安全性。
以下,结合附图详细描述本公开涉及的安全认证方法。如上所述,安全认证方法可以对具有第一认证过程的多种应用系统30的操作功能进行再认证。另外,以下以应用系统30为财务系统为例进行说明。图2是示出了本公开示例所涉及的多种应用系统30的安全认证方法的流程图。
如图2所示,在一些示例中,安全认证方法可以包括设置针对至少一个应用系统30的认证策略(步骤S110)。
在一些示例中,在步骤S110中,认证策略可以用于表示对应用系统30的特定操作功能(也可以称为关键操作)进行特定认证方式的认证。但本公开的示例不限于此,在另一些示例中,认证策略也可以用于表示对应用系统30或应用系统30的页面进行特定认证方式的认证。
在一些示例中,操作功能可以是应用系统30中为实现特定业务进行的一个或多个操作。作为示例,对于财务系统,例如操作功能可以为记账、凭证处理、对账、结账、下载报表、导出报表或浏览报表等。
在一些示例中,认证策略可以包括应用标识、操作标识、认证方式和操作用户信息。由此,能够清楚地描述对操作标识对应的操作功能的认证方式以及具有该操作功能权限的用户。
另外,应用标识可以用于唯一标识一个应用系统30(也即,应用标识可以用于定义哪些应用系统30需要进行再认证)。在一些示例中,可以将应用系统30的名称作为应用标识。在一些示例中,可以从应用系统30的页面内容中获取应用系统30的名称。
在一些示例中,可以根据应用系统30的结构设置应用标识。对于BS结构的应用系统30,可以根据应用系统30的访问网址(以下简称为url)设置应用标识。url可以由主机部分、端口号码、页面名称和请求参数组成。应用标识可以是url中可以区分一个应用系统30的任意部分。例如应用标识可以包括url中的主机部分(例如主机部分可以为域名或者IP地址)。又例如,应用标识还可以包括url中的端口号码。在这种情况下,能够识别一个主机部分的多个端口号码下的应用系统30。对于CS结构的应用系统30,可以将应用系统30的进程名称作为应用标识。
另外,操作标识可以用于识别操作功能(也即,操作标识可以用于定义哪些操作功能需要进行认证)。在一些示例中,操作标识可以包括用于定位操作功能所在页面的定位信息和操作功能的特征信息。
在一些示例中,定位信息可以包括应用系统30的页面内容中的页面标题或任意能够区分该页面的关键字符串。由此,能够通过定位信息识别操作功能所在的页面。对于BS结构的应用系统30,页面内容还可以为页面的源代码(例如html源代码),页面标题可以为url中的页面名称或页面的源代码中title标签的文本内容。
在一些示例中,操作功能的特征信息可以包括页面内容中的操作功能的名称(例如按钮名称)或任意能够区分该操作功能的关键字符串(例如按钮编号)。由此,能够通过特征信息识别操作功能。对于BS结构的应用系统30,操作功能的名称可以为页面的源代码中操作功能对应的标签的id属性的值。
在一些示例中,操作功能的特征信息还可以包括操作功能的位置信息。例如操作功能的位置信息可以包括操作功能在页面中的位置坐标或操作功能的名称或关键字符串在页面内容中索引。在这种情况下,在同一个页面出现相同操作功能的名称时,能够通过位置信息进一步确定受认证策略控制的操作功能。在一些示例中,对于BS结构的应用系统30,操作功能的特征信息还可以包括访问网址中的请求参数。由此,能够识别粒度更小的操作功能。
另外,认证方式可以为进入操作功能时的认证方式(也即,用户在进入该操作功能时需完成哪种方式的认证)。在一些示例中,认证方式可以包括指纹认证、数字证书认证、用户名和密码认证、以及动态口令卡认证中的至少一种。由此,能够支持多种不同安全级别的认证方式。在一些示例中,可以根据应用系统30或应用系统30的操作功能对安全等级的要求设置相应的认证方式。在一些示例中,一个操作功能可以设置多种认证方式。在这种情况下,能够根据代理客户端20所在终端设备的环境选择优先级高的认证方式对操作功能进行认证且能够提高认证方式的兼容性。例如,若终端设备具备指纹输入的环境且指纹认证方式的优先级高,则可以在进入操作功能时启动指纹认证。
另外,操作用户信息可以为具有操作功能的操作权限的用户信息。在一些示例中,操作用户信息可以包括用户标识。用户标识可以用于唯一标识一个用户。用户标识可以用于关联身份认证信息。身份认证信息可以预先设置的。例如对于指纹认证,身份认证信息可以包括预先录入的指纹信息。在一些示例中,身份认证信息可以与认证方式对应。具体地,一个认证方式可以对应一个身份认证信息,多个认证方式可以对应多个身份认证信息。
在一些示例中,可以对认证策略进行编辑、删除和查询操作。在一些示例中,在认证策略发生变化时,可以通过完整更新(也即更新全部认证策略)或增量更新(也即,更新发生变化的认证策略)的方式同步至代理客户端20(稍后描述)。
在一些示例中,在设置针对至少一个应用系统30的认证策略之前,可以采集应用系统30的页面内容,并基于该应用系统30的页面内容选择相应的操作功能对应的定位信息和特征信息进行认证策略的设置。例如,可以抓取应用系统30的全部或部分页面内容并选择页面内容中的关键信息作为操作功能的定位信息或特征信息。由此,能够方便地对应用系统30的认证策略进行设置。
在一些示例中,可以对用户进行分组以获取分组信息,并基于分组信息对应用系统30的认证策略进行设置。在这种情况下,能够对具有相同岗位职责的用户进行统一的设置。由此,能够提高效率。
如图2所示,在一些示例中,安全认证方法可以包括通过代理客户端20获取认证策略并基于认证策略对多种应用系统30的使用过程进行监控以识别各个应用系统30的操作功能(步骤S120)。
在一些示例中,在步骤S120中,可以通过代理客户端20获取认证策略(也即,代理客户端20可以获取认证策略)。在一些示例中,代理客户端20可以设置在访问应用系统30的用户的终端设备上。在一些示例中,代理客户端20可以基于无线通信方式或有线通信方式获取认证策略。例如,代理客户端20可以基于无线通信方式或有线通信方式主动从存储认证策略的服务器拉取认证策略或接收服务器下发的认证策略。在一些示例,代理客户端20获取认证策略后可以保存认证策略。在一些示例中,代理客户端20可以将获取的认证策略存储在本地。在一些示例中,代理客户端20可以定时同步认证策略以使本地的认证策略最新。
图3是示出了本公开示例所涉及的代理客户端20的框图。
在一些示例中,如图3所示,代理客户端20可以具有策略接收模块21和自更新模块22。在一些示例中,策略接收模块21可以配置为获取认证策略。由此,能够获取认证策略。在一些示例中,自更新模块22可以配置为在代理客户端20的版本发生变化时,自动获取最新版本的代理客户端20。在这种情况下,能够使代理客户端20的版本保持最新。由此,能够降低遗漏识别操作功能的风险。
在一些示例中,代理客户端20可以设置有守护模块(未图示)。在一些示例中,守护模块可以配置为守护代理客户端20以使代理客户端20保持运行状态。在一些示例中,守护模块可以配置为检测所述代理客户端20是否启动,若未启动,则启动所述代理客户端20。由此,能够防止代理客户端20被卸载或终止。在一些示例中,代理客户端20可以作为一个独立的进程,通过操作系统内核对该进程进行保护。
在一些示例中,代理客户端20可以定时发送心跳信息。在这种情况下,能够基于心跳信息判断代理客户端20是否在线。由此,能够及时识别代理客户端20的异常情况。
在一些示例中,在步骤S120中,代理客户端20可以基于认证策略对多种应用系统30的使用过程进行监控以识别各个应用系统30的操作功能。
在一些示例中,多种应用系统30可以通过终端设备进行访问。在这种情况下,代理客户端20能够基于认证策略对终端设备上的多种应用系统30的使用过程进行监控以识别操作标识,进而能够识别操作功能。
在一些示例中,代理客户端20在识别操作标识中,可以获取应用系统30的当前页面的页面内容。在一些示例中,可以通过将应用系统30的访问网址或前端的进程名称与认证策略中的应用标识进行比较以确定当前页面所属的应用系统30,进而能够确定当前处于前端运行的应用系统30。
在一些示例中,可以通过认证策略中的定位信息和当前页面的页面内容确定当前页面是否是操作功能所在页面。在一些示例中,若当前页面是操作功能所在页面,则可以判断操作功能所在页面的页面内容是否存在符合操作功能的特征信息的内容,若存在,则可以表示识别到操作标识。
具体地,若页面内容中存在定位信息中的页面标题或关键字符串,则可以确定当前页面是操作功能所在页面,然后继续判断页面内容中是否存在特征信息中的操作功能的名称或关键字符串,若存在,则可以表示识别到操作标识。在一些示例中,可以结合特征信息中的位置信息判断操作功能所在页面的页面内容是否存在符合操作功能的特征信息的内容。
在一些示例中,对于BS结构的应用系统30,代理客户端20可以采用浏览器钩子机制获取访问网址和/或页面内容。例如,可以通过制作浏览器插件拦截页面以获取访问网址和/或页面内容。在一些示例中,代理客户端20可以根据网页请求识别操作功能,例如,网页请求可以包括但不限于是get请求、post请求、ajax请求和页面跳转请求等。
在一些示例中,对于CS结构的应用系统30,代理客户端20可以通过操作系统的内核程序和事件触发机制获取页面内容。由此,能够获取页面内容。在一些示例中,代理客户端20可以以代码注入方式作为操作系统的内核程序的动态链接库。在这种情况下,能够获得操作系统级别的控制。由此,能够获得操作系统级别的事件触发。在一些示例中,可以过操作系统的内核程序获取进程信息(例如进程名称)。
但本公开的示例不限于此,在另一些示例中,可以通过截取终端设备的当前访问的应用系统30的当前页面并进行OCR识别以获取页面内容。
如图2所示,在一些示例中,安全认证方法可以包括基于认证策略对操作功能进行认证(步骤S130)。
在一些示例中,在步骤S130中,在用户对操作标识对应的操作功能进行操作之前,代理客户端20可以对用户的身份认证信息进行认证以对操作功能进行认证。在一些示例中,可以基于操作标识对应的认证方式对用户的身份认证信息进行认证。在一些示例中,在用户对操作标识对应的操作功能进行操作之前,代理客户端20可以暂停当前操作(也即,暂停对操作功能进行操作)后,对用户的身份认证信息进行认证。
图4是示出了本公开示例所涉及的代理客户端20启动认证单元40的示意图。
在一些示例中,代理客户端20可以通过启动认证单元40对用户的身份认证信息进行认证。在一些示例中,认证单元40可以基于操作标识对应的认证方式接收用户输入的身份认证信息并对身份认证信息进行认证。作为示例,如图4所示,在用户对操作标识对应的操作功能进行操作之前,可以启动认证单元40对应用系统30的操作功能进行认证。
在一些示例中,可以对认证过程(也即,认证单元40对用户的身份认证信息进行认证的过程)进行记录以生成认证记录并对认证记录进行监控和分析。由此,能够监控认证过程。在一些示例中,认证记录可以包括代理客户端信息(例如代理客户端信息可以包括代理客户端20的唯一标识、IP地址或MAC地址等)、应用标识、操作标识、认证方式、用户输入的身份认证信息、认证结果(例如认证结果可以包括认证成功和认证失败)和用户标识。其中,若认证失败,用户标识可以为空值。在一些示例中,认证记录还可以包括认证开始时间和认证结束时间。
以下结合附图5详细描述代理客户端20对操作功能进行认证的一个示例。图5是示出了本公开示例所涉及的代理客户端20对操作功能进行认证的流程图。
如图5所示,在一些示例中,代理客户端20对操作功能进行认证的流程可以包括在用户对操作标识对应的操作功能进行操作之前,代理客户端20暂停当前操作(步骤S131)、启动认证单元40对用户的身份认证信息进行认证(步骤S132)、判断认证是否通过(步骤S133)、确认用户是否具有操作功能的操作权限(步骤S134)和授权用户继续当前操作(步骤S135)。
在一些示例中,在步骤S131中,可以弹出用于阻止用户继续操作的窗口以暂停当前操作。例如对于BS结构的应用系统30,可以弹出一个遮罩层覆盖在应用系统30的当前页面上。又例如,对于CS结构的应用系统30可以弹出一个阻止运行的模态对话框,直到对话框工作结束才能继续应用系统30的其他操作。
在一些示例中,在步骤S132中,认证单元40可以设置在阻止用户继续操作的窗口中。在一些示例中,认证单元40可以接收用户输入的身份认证信息并对身份认证信息进行认证。在一些示例中,认证单元40可以基于操作标识对应的认证方式接收用户输入的身份认证信息并对身份认证信息进行认证。具体地,认知策略中设置有各个操作功能对应的认证方式,启动认证单元40时,可以根据操作标识对应的认证方式初始化认证单元40的显示内容。例如对于指纹认证,认证单元40可以显示引导用户输入指纹的界面。在用户输入身份认证信息后,可以根据操作标识对应的认证方式对身份认证信息进行认证。具体地,可以将用户输入的身份认证信息与预先设置的身份认证信息进行比较以对身份认证信息进行认证。例如,对于指纹认证,可以将用户输入的指纹信息与预先录入的用户的指纹信息进行比较。
在一些示例中,在步骤S133中,可以通过比较用户输入的身份认证信息与预先设置的身份认证信息是否一致以判断认证是否通过。在一些示例中,若认证通过,可以进入步骤S134中确认用户是否具有操作功能的操作权限。
在一些示例中,在步骤S134中,可以通过判断操作功能对应的认证策略中的操作用户信息中是否包括该用户的用户信息以确认用户是否具有该操作功能的操作权限。具体地,可以判断操作功能对应的认证策略的用户标识是否包括目标用户标识,若包括,则可以表示用户具有该操作功能的操作权限。在一些示例中,在认证通过后,可以通过用户输入的身份认证信息获取目标用户标识。在一些示例中,若确认用户具有该操作功能的操作权限,则可以进入步骤S135中授权该用户继续当前操作(也即,继续对该操作功能进行操作),否则终止当前操作(也即,终止对该操作功能进行操作)。在一些示例中,若认证失败的次数超过预设次数,则可以停止认证。在这种情况下,能够降低非法用户的恶意认证的风险。由此,能提高认证过程的安全性。
在一些示例中,在步骤S135中,可以取消弹出用于阻止用户继续操作的窗口以授权用户继续当前操作。
以下,结合图6详细描述本公开的多种应用系统30的安全认证装置1。本公开涉及的多种应用系统30的安全认证装置1有时可以简称为安全认证装置1、安全认证系统、认证装置或认证系统等。安全认证装置1用于实施上述的安全认证方法。除非特别说明,安全认证方法的相关描述同样适用于安全认证装置1。图6是示出了本公开示例所涉及的多种应用系统30的安全认证装置1的框图。
在一些示例中,安全认证装置1可以对具有第一认证过程的多种应用系统30的操作功能进行再认证。在一些示例中,安全认证装置1可以用于对应用系统30设置第二认证过程以进行再认证。在一些示例中,第一认证过程可以为应用系统30在发布时已具有的认证过程。在一些示例中,第一认证过程所属的应用程序与第二认证过程所属的应用程序之间相互独立。
在一些示例中,如图6所示,安全认证装置1可以包括策略管理模块10和代理客户端20。策略管理模块10可以配置为设置针对至少一个应用系统30的认证策略,代理客户端20可以配置为基于认证策略对操作功能进行认证。
在一些示例中,策略管理模块10可以配置为设置针对至少一个应用系统30的认证策略。在一些示例中,认证策略可以包括应用标识、操作标识、进入操作功能时的认证方式和操作用户信息。另外,应用标识可以用于唯一标识一个应用系统30。另外,操作标识可以用于识别操作功能。另外,操作用户信息可以为具有操作功能的操作权限的用户信息。在一些示例中,操作用户信息可以包括用于关联身份认证信息的用户标识。在一些示例中,操作标识可以包括用于定位操作功能所在页面的定位信息和操作功能的特征信息。具体内容参见步骤S110的相关描述。
在一些示例中,代理客户端20可以配置为基于认证策略对操作功能进行认证。在一些示例中,代理客户端20可以设置在访问应用系统30的用户的终端设备上。在一些示例中,代理客户端20可以配置为获取策略管理模块10设置的认证策略并保存认证策略。在一些示例中,代理客户端20可以基于认证策略对终端设备上的多种应用系统30的使用过程进行监控以识别操作标识。在一些示例中,在用户进入操作标识对应的操作功能之前,代理客户端20可以暂停当前操作并启动认证单元40。在一些示例中,认证单元40可以基于操作标识对应的认证方式接收用户输入的身份认证信息并对该身份认证信息进行认证。在一些示例中,若认证通过且通过认证策略确认该用户具有操作功能的操作权限,则可以授权该用户继续对该操作功能进行操作,否则终止对该操作功能进行操作。在一些示例中,代理客户端20在识别操作标识中,可以获取应用系统30的当前页面的页面内容,通过定位信息和页面内容确定当前页面是否是操作功能所在页面,若是,则可以判断操作功能所在页面的页面内容是否存在符合特征信息的内容,若存在,则可以表示识别到操作标识。具体内容参见安全认证方法中关于代理客户端20的相关描述。
本公开的安全认证方法及安全认证装置1,在不修改多种应用系统30的应用代码的情况下,设置针对多种应用系统30的认证策略,在访问应用系统30的用户的终端设备上设置代理客户端20,通过代理客户端20对多种应用系统30的使用过程进行监控以识别操作功能,并基于设置的认证策略对操作功能进行认证。在这种情况下,在不修改多种应用系统30的应用代码的情况下,能够对应用系统30中的关键的操作功能增加额外的认证过程。由此,能够提高多种应用系统30的安全性且具有通用性。
虽然以上结合附图和实施方式对本发明进行了具体说明,但是可以理解,上述说明不以任何形式限制本发明。本领域技术人员在不偏离本发明的实质精神和范围的情况下可以根据需要对本发明进行变形和变化,这些变形和变化均落入本发明的范围内。

Claims (10)

1.一种对具有第一认证过程的多种应用系统再认证的认证方法,所述第一认证过程为所述应用系统在发布时已具有且变更时需要修改所述应用系统的源代码的认证过程,所述应用系统为企业内部的业务系统,其特征在于,通过对所述应用系统设置不修改所述应用系统的源代码且不属于所述应用系统自身已有的第二认证过程以进行所述再认证,其中,所述第二认证过程包括:设置针对至少一个所述应用系统的认证策略,所述认证策略包括用于唯一标识一个应用系统的应用标识、用于识别操作功能的操作标识、进入所述操作功能时的认证方式和具有所述操作功能的操作权限的操作用户信息;并且在访问所述应用系统的用户的终端设备上设置代理客户端,所述代理客户端获取所述认证策略并基于所述认证策略对多种应用系统的使用过程进行监控以识别各个应用系统的操作功能,在用户进入所述操作标识对应的操作功能之前,所述代理客户端暂停当前操作并启动认证单元以基于所述操作标识对应的认证方式接收用户输入的身份认证信息并对该身份认证信息进行认证,若认证通过且通过所述认证策略确认该用户具有所述操作功能的操作权限,则授权该用户继续对该操作功能进行操作,否则终止对该操作功能进行操作,其中,所述第一认证过程所属的应用程序是所述应用系统中的应用程序且与所述第二认证过程所属的应用程序之间相互独立,所述应用程序由编译获得。
2.根据权利要求1所述的认证方法,其特征在于,
所述操作标识包括用于定位所述操作功能所在页面的定位信息和所述操作功能的特征信息,所述定位信息包括所述应用系统的页面内容中的页面标题,所述特征信息包括所述应用系统的页面内容中的操作功能的名称;对于BS结构的应用系统,根据所述应用系统的访问网址设置所述应用标识,对于CS结构的应用系统,将所述应用系统的进程名称作为所述应用标识。
3.根据权利要求2所述的认证方法,其特征在于,
所述代理客户端在识别所述操作标识中,获取所述应用系统的当前页面的页面内容,通过所述定位信息和所述页面内容确定所述当前页面是否是所述操作功能所在页面,若是,则判断所述操作功能所在页面的页面内容是否存在符合所述特征信息的内容,若存在,则表示识别到所述操作标识,对于BS结构的应用系统,所述代理客户端采用浏览器钩子机制获取页面内容,对于CS结构的应用系统,所述代理客户端通过操作系统的内核程序和事件触发机制获取页面内容。
4.根据权利要求2所述的认证方法,其特征在于,
在设置针对至少一个应用系统的认证策略之前,采集应用系统的页面内容,并基于该应用系统的页面内容选择相应的操作功能对应的所述定位信息和所述特征信息进行认证策略的设置。
5.根据权利要求1所述的认证方法,其特征在于,
所述第一认证过程包括认证用户是否登录、认证用户是否具有相应页面的操作权限、认证用户是否有相应页面的相应的操作功能的操作权限和认证用户是否有相应数据的操作权限中的一种或多种过程。
6.根据权利要求1所述的认证方法,其特征在于,
所述代理客户端基于无线通信方式或有线通信方式获取所述认证策略。
7.根据权利要求1所述的认证方法,其特征在于,
通过比较用户输入的身份认证信息与预先设置的身份认证信息是否一致以判断认证是否通过。
8.根据权利要求1所述的认证方法,其特征在于,
通过判断操作功能对应的认证策略的用户标识是否包括目标用户标识以确认用户是否具有该操作功能的操作权限。
9.根据权利要求1所述的认证方法,其特征在于,
所述认证策略发生变化时,通过完整更新或增量更新的方式同步至所述代理客户端。
10.根据权利要求1所述的认证方法,其特征在于,
弹出用于阻止用户继续操作的窗口以暂停当前操作,所述认证单元设置在所述窗口中。
CN202311281666.4A 2021-09-14 2021-09-14 对具有第一认证过程的多种应用系统再认证的认证方法 Pending CN117294502A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311281666.4A CN117294502A (zh) 2021-09-14 2021-09-14 对具有第一认证过程的多种应用系统再认证的认证方法

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN202311281666.4A CN117294502A (zh) 2021-09-14 2021-09-14 对具有第一认证过程的多种应用系统再认证的认证方法
CN202111076718.5A CN113794718B (zh) 2021-09-14 2021-09-14 多种应用系统的安全认证方法及安全认证装置

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
CN202111076718.5A Division CN113794718B (zh) 2021-09-14 2021-09-14 多种应用系统的安全认证方法及安全认证装置

Publications (1)

Publication Number Publication Date
CN117294502A true CN117294502A (zh) 2023-12-26

Family

ID=79183305

Family Applications (3)

Application Number Title Priority Date Filing Date
CN202111076718.5A Active CN113794718B (zh) 2021-09-14 2021-09-14 多种应用系统的安全认证方法及安全认证装置
CN202311279247.7A Pending CN117319039A (zh) 2021-09-14 2021-09-14 具有策略管理模块的多种应用系统的认证装置
CN202311281666.4A Pending CN117294502A (zh) 2021-09-14 2021-09-14 对具有第一认证过程的多种应用系统再认证的认证方法

Family Applications Before (2)

Application Number Title Priority Date Filing Date
CN202111076718.5A Active CN113794718B (zh) 2021-09-14 2021-09-14 多种应用系统的安全认证方法及安全认证装置
CN202311279247.7A Pending CN117319039A (zh) 2021-09-14 2021-09-14 具有策略管理模块的多种应用系统的认证装置

Country Status (1)

Country Link
CN (3) CN113794718B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114301661B (zh) * 2021-12-27 2024-07-02 奇安信科技集团股份有限公司 一种应用登录的认证方法、装置、计算设备和存储介质

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101051905A (zh) * 2007-05-15 2007-10-10 谢川 一种代理式身份认证方法
CN101645900B (zh) * 2009-08-31 2012-08-01 国家信息中心 一种跨域权限管理系统及方法
CN104065621B (zh) * 2013-03-21 2018-10-30 腾讯科技(深圳)有限公司 一种第三方服务的身份验证方法、客户端和系统
CN110135140A (zh) * 2019-04-18 2019-08-16 深圳壹账通智能科技有限公司 信息保护方法、装置、计算机设备和存储介质
CN112764824B (zh) * 2019-10-21 2023-10-10 腾讯科技(深圳)有限公司 触发应用程序中身份验证的方法、装置、设备及存储介质
CN112699354A (zh) * 2019-10-22 2021-04-23 华为技术有限公司 一种用户权限管理方法及终端设备

Also Published As

Publication number Publication date
CN117319039A (zh) 2023-12-29
CN113794718A (zh) 2021-12-14
CN113794718B (zh) 2023-08-29

Similar Documents

Publication Publication Date Title
US11237817B2 (en) Operating system update management for enrolled devices
JP4524288B2 (ja) 検疫システム
US7539863B2 (en) Remote services for portable computing environment
JP3657745B2 (ja) ユーザ認証方法及びユーザ認証システム
US8250630B2 (en) Detecting unauthorized computer access
CN111209582A (zh) 请求认证方法、装置、设备及存储介质
CN111079091A (zh) 一种软件的安全管理方法、装置、终端及服务器
CN108259502A (zh) 用于获取接口访问权限的鉴定方法、服务端及存储介质
TW201901515A (zh) 阻擋非授權應用程式方法以及使用該方法的裝置
JP2011215753A (ja) 認証システムおよび認証方法
JP2005234729A (ja) 不正アクセス防御システム及びその方法
CN115701019A (zh) 零信任网络的访问请求处理方法、装置及电子设备
US8850563B2 (en) Portable computer accounts
US20150235039A1 (en) Information processing device, information processing method, program and storage medium
CN111460410A (zh) 服务器登录方法、装置、系统与计算机可读存储介质
CN113794718B (zh) 多种应用系统的安全认证方法及安全认证装置
JP3867188B2 (ja) セキュリティ管理システムおよびそのプログラム記録媒体
JP2007272600A (ja) 環境認証と連携した本人認証方法、環境認証と連携した本人認証システムおよび環境認証と連携した本人認証用プログラム
CN115391783A (zh) 客户机远程开启电脑方法、设备及云桌面客户机
WO2000075782A1 (en) Security system
US11316843B1 (en) Systems for authenticating users from a separate user interface
JP4683856B2 (ja) 認証プログラムおよび認証サーバ
CN115935328A (zh) 资源访问控制方法、装置、设备及存储介质
CN114189527B (zh) 一种信息同步方法、装置、电子设备与存储介质
JP2006065712A (ja) 統合認証方法、統合認証装置および統合認証のためのプログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination