CN117714437A - 访问审计方法、装置、系统、计算机设备及存储介质 - Google Patents

访问审计方法、装置、系统、计算机设备及存储介质 Download PDF

Info

Publication number
CN117714437A
CN117714437A CN202311651027.2A CN202311651027A CN117714437A CN 117714437 A CN117714437 A CN 117714437A CN 202311651027 A CN202311651027 A CN 202311651027A CN 117714437 A CN117714437 A CN 117714437A
Authority
CN
China
Prior art keywords
server
web
audit
frp
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311651027.2A
Other languages
English (en)
Inventor
岳朋涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qax Technology Group Inc
Original Assignee
Qax Technology Group Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qax Technology Group Inc filed Critical Qax Technology Group Inc
Priority to CN202311651027.2A priority Critical patent/CN117714437A/zh
Publication of CN117714437A publication Critical patent/CN117714437A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/2895Intermediate processing functionally located close to the data provider application, e.g. reverse proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明WEB服务反向代理技术领域,提供了一种访问审计方法、装置、系统、计算机设备及存储介质,所述方法包括:根据WEB客户端发送的WEB访问请求获得认证信息,认证信息为WEB客户端登录审计服务器的凭证信息;向审计服务器发送包含认证信息的验证请求;当接收到审计服务器发送的验证通过响应时,将WEB访问请求通过内网穿透链路及FRP客户端发送至WEB服务器。本实施例能够提高使用FRP进行WEB访问时的安全性。

Description

访问审计方法、装置、系统、计算机设备及存储介质
技术领域
本发明涉及WEB服务反向代理技术领域,具体而言,涉及一种访问审计方法、装置、系统、计算机设备及存储介质。
背景技术
高性能反向代理FRP(Fast Reverse Proxy,FRP)是一个专注于内网穿透的高性能的反向代理应用,可以将内网服务以安全、便捷的方式通过具有公网IP节点的中转暴露到公网。
FRP包括通信连接的的FRP服务器FRPS和FRP客户端FRPC,FRPC部署于内网中、且与内网中的WEB服务器通信,FRPS部署于公网中,且与公网中的WEB客户端通信,WEB客户端通过FRPS和FRPC访问WEB服务器。
FRPC在成功注册到FRPS后,只要访问域名输入正确,任何人都可以通过FRP访问WEB服务器,当多人协作使用FRP进行WEB访问时,存在极大的访问安全隐患。
发明内容
本发明的目的在于提供了一种访问审计方法、装置、系统、计算机设备及存储介质,其能够提高使用FRP进行WEB访问时的安全性。
为了实现上述目的,本发明实施例采用的技术方案如下:
第一方面,本发明实施例提供了一种访问审计方法,应用于验证设备,所述验证设备与FRP客户端具备内网穿透链路,所述验证设备与审计服务器及WEB客户端均通信连接,所述FRP客户端与WEB服务器通信连接,所述方法包括:
根据所述WEB客户端发送的WEB访问请求获得认证信息,所述认证信息为所述WEB客户端登录所述审计服务器的凭证信息;
向所述审计服务器发送包含所述认证信息的验证请求;
当接收到所述审计服务器发送的验证通过响应时,将所述WEB访问请求通过所述内网穿透链路及所述FRP客户端发送至WEB服务器。
可选地,所述验证设备与FRP服务器及FRP客户端的通讯链路构成所述内网穿透链路,则将所述WEB访问请求通过所述内网穿透链路及所述FRP客户端发送至WEB服务器的步骤,包括:
所述验证设备向所述FRP服务器发送所述WEB访问请求,以使所述FRP服务器将所述WEB访问请求经所述FRP客户端发送至WEB服务器。
可选地,所述根据所述WEB客户端发送的WEB访问请求获得认证信息的步骤,包括:
通过对所述WEB访问请求进行参数解析,判断所述WEB访问请求是否包括所述认证信息;
若否,则从所述WEB客户端的本地历史信息中获取所述认证信息;
若是,则在接收到所述审计服务器发送的验证通过响应时,指示所述WEB客户端将所述认证信息存储至所述本地历史信息中。
可选地,所述WEB访问请求包含目标服务器标识,所述目标服务器标识与目标审计服务器对应,所述目标审计服务器为多个审计服务器中的一个,所述向所述审计服务器发送包含所述认证信息的验证请求的步骤,包括:
根据所述目标服务器标识,向所述目标审计服务器发送包含所述认证信息的验证请求。
可选地,所述方法还包括:
向所述审计服务器发送针对所述WEB访问请求的审计请求,以指示所述审计服务器对所述WEB访问请求进行审计。
第二方面,本发明实施例提供了一种访问审计方法,应用于审计服务器,所述审计服务器与验证设备通信连接,所述验证设备与FRP客户端具备内网穿透链路,所述验证设备与WEB客户端通信连接,所述FRP客户端与WEB服务器通信连接,所述方法包括:
接收所述验证设备发送包含认证信息的验证请求,所述认证信息是所述验证设备根据所述WEB客户端发送的WEB访问请求获得的,所述认证信息为所述WEB客户端登录所述审计服务器的凭证信息;
对所述认证信息进行验证,并向所述验证设备返回验证是否通过的响应。
可选地,所述方法还包括:
接收所述验证设备发送针对WEB访问请求进行审计的审计请求;
基于所述审计请求对所述WEB访问请求进行审计记录。
第三方面,本发明实施例提供了一种访问审计装置,应用于验证设备,所述验证设备与FRP客户端具备内网穿透链路,所述验证设备与审计服务器及WEB客户端均通信连接,所述FRP客户端与WEB服务器通信连接,所述装置包括:
第一发送模块,用于根据所述WEB客户端发送的WEB访问请求获得认证信息,所述认证信息为所述WEB客户端登录所述审计服务器的凭证信息;
所述第一发送模块,还用于向所述审计服务器发送包含所述认证信息的验证请求;
第一接收模块,用于当接收到所述审计服务器发送的验证通过响应时,将所述WEB访问请求通过所述内网穿透链路及所述FRP客户端发送至WEB服务器。
第四方面,本发明实施例提供了一种访问审计装置,应用于审计服务器,所述审计服务器与验证设备通信连接,所述验证设备与FRP客户端具备内网穿透链路,所述验证设备与WEB客户端通信连接,所述FRP客户端与WEB服务器通信连接,所述装置包括:
第二接收模块,用于接收所述验证设备发送包含认证信息的验证请求,所述认证信息是所述验证设备根据所述WEB客户端发送的WEB访问请求获得的,所述认证信息为所述WEB客户端登录所述审计服务器的凭证信息;
第二发送模块,用于对所述认证信息进行验证,并向所述验证设备返回验证是否通过的响应。
第五方面,本发明实施例提供了一种访问审计系统,所述访问审计系统包括验证设备、审计服务器、FRP客户端、WEB客户端及WEB服务器,所述验证设备与所述FRP客户端具备内网穿透链路,所述验证设备与所述审计服务器及所述WEB客户端均通信连接,所述FRP客户端与所述WEB服务器通信连接,所述验证设备执行如上述第一方面所述访问审计方法,所述审计服务器执行如上述第二方面所述访问审计方法。
第六方面,本发明实施例提供了一种计算机设备,包括处理器和存储器,所述存储器用于存储程序,所述处理器用于在执行所述程序时,实现上述第一方面所述的访问审计方法,或者实现上述第二方面所述的访问审计方法。
第七方面,本发明实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述第一方面所述的访问审计方法,或者实现上述第二方面所述的访问审计方法。
相对于现有技术,本发明实施例提供的访问审计方法、装置、系统、计算机设备及存储介质,通过引入与FRP客户端具备内网穿透链路的验证设备,由验证设备接收WEB客户端的WEB访问请求,根据WEB访问请求获取认证信息,通过和审计服务器交互,由审计服务器对认证信息进行验证,只有验证通过后,才会将WEB访问请求通过内网穿透链路及FRP客户端发送至WEB服务器,实现WEB服务器的安全访问。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本实施例提供的现有技术中利用FRP进行WEB访问的应用场景图。
图2为本实施例提供的一种访问审计系统的示例图。
图3为本实施例提供的一种访问审计系统的具体实现方式的示例图。
图4为本实施例提供的一种访问审计系统的具体实现方式的示例图。
图5为本实施例提供的计算机设备的方框示例图。
图6为本实施例提供的应用于验证设备10的访问审计方法流程图示例图。
图7为本实施例提供的应用于审计服务器20的访问审计方法流程图示例图。
图8为本实施例提供的应用于访问审计系统中各设备交互的示例图。
图9为本实施例提供的应用于验证设备的访问审计装置的方框示例图。
图10为本实施例提供的应用于审计服务器的访问审计装置的方框示例图。
图标:10-验证设备;20-审计服务器;30-WEB客户端;40-WEB服务器;50-FRP客户端;60-FRP服务器;70-计算机设备;71-处理器;72-存储器;73-总线;74-通信接口;100-应用于验证设备的访问审计装置;110-第一发送模块;120-第一接收模块;200-应用于审计服务器的访问审计装置;210-第二接收模块;220-第二发送模块。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
在本发明的描述中,需要说明的是,若出现术语“上”、“下”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,或者是该发明产品使用时惯常摆放的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,若出现术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
需要说明的是,在不冲突的情况下,本发明的实施例中的特征可以相互结合。
现有技术中,为了保证WEB访问的安全性,WEB客户端和WEB服务器通常不会处于同一个局域网络,WEB客户端位于外部网络,WEB服务器位于网络地址转换NAT网络(NetworkAddress Translation,NAT)(也称为内部网络)中,NAT网络是采用NAT技术的私有网络,NAT技术一种在IP数据包通过路由器或防火墙时重写来源IP地址或目的IP地址的技术,这种技术被普遍使用在有多台主机但只通过一个公有IP地址访问因特网的私有网络中。外部网络和NAT网络通过互联网进行通信,位于外部网络的WEB客户端不能直接访问处于NAT网络的WEB服务器,而是通过内网穿透技术实现WEB服务器的访问,FRP是一个专注于内网穿透的高性能的反向代理应用,支持TCP、UDP、HTTP、HTTPS等多种协议,其可以将内网服务以安全、便捷的方式通过具有外部网络IP节点的中转暴露到外部网络。
FRP通常需要部署FRP服务器和FRP客户端,FRP客户端部署于WEB服务器所在的NAT网络,FRP服务器通常部署于与外部网络通信的互联网,WEB客户端通过与FRP服务器交互、FRP服务器再和FRP客户端交互,最终访问WEB服务器。请参看图1,图1为本实施例提供的现有技术中利用FRP进行WEB访问的应用场景图,图1中,WEB客户端30位于外部网络、FRP服务器60位于互联网、FRP客户端50和WEB服务器40位于NAT网络,FRP客户端50在启动后注册到FRP服务器60上,产生连接用于后续代理访问WEB服务器40,当WEB客户端30需要访问NAT网络中的WEB服务器40时,访问流程如下:
①WEB客户端30将需要访问的域名发送至FRP服务器60。
②FRP服务器60根据访问的域名,找到FRP客户端50。
③FRP客户端50根据FRP服务器60的IP地址和端口找到WEB服务器40,并发送发文请求。
④WEB服务器40将请求结果返回给FRP客户端50。
⑤FRP客户端50将请求结果返回给FRP服务器60。
⑥FRP服务器60将请求结果返回给WEB客户端30。
在此场景下,FRP只实现单纯的代理服务,在FRP客户端注册到FRP服务器成功以后,只要访问域名统一资源定位符URL(Uniform Resource Locator,URL)输入正确,任何人都可以通过FRP代理进行访问,尤其是多人协作使用FRP的时候,访问非常不安全。
有鉴于此,本发明实施例提供一种访问审计方法、装置、系统、计算机设备及存储介质,以实现WEB访问的验证和审计,达到对用户的WEB访问进行限制以及对WEB访问操作进行审计,其核心思路在于,引入验证设备,验证设备对接审计服务器,审计服务器提供验证和审计功能,在审计服务器向验证设备返回验证通过的响应时,验证设备能够通过内网穿透链路及FRP客户端访问WEB服务器,由此实现了WEB访问的验证和审计,下面将对其进行详细描述。
请参考图2,图2为本实施例提供的一种访问审计系统的示例图,图2中,访问审计系统包括验证设备10、审计服务器20、FRP客户端50、WEB客户端30及WEB服务器40,验证设备10与FRP客户端50具备内网穿透链路,内网穿透链路为未处于NAT网络中的验证设备10与处于NAT网络中的FRP客户端50之间存在的可以进行WEB访问请求交互的链路,验证设备10与审计服务器20及WEB客户端30均通信连接,FRP客户端50与WEB服务器40通信连接,图2中的访问流程如下:
①WEB客户端30将WEB访问请求发送至验证设备10。
②验证设备10根据WEB访问请求获得认证信息,认证信息为WEB客户端30登录审计服务器20的凭证信息,验证设备10向审计服务器20发送包含认证信息的验证请求。
③审计服务器20对认证信息进行验证,并向验证设备10返回验证结果。
④验证设备10接收到审计服务器20发送的验证通过响应时,将WEB访问请求通过内网穿透链路发送至FRP客户端50。
⑤FRP客户端50找到WEB服务器40,并发送发文请求。
⑥WEB服务器40将请求结果返回给FRP客户端50。
⑦FRP客户端50通过内网穿透链路将请求结果返回给验证设备10。
⑧验证设备10将请求结果返回给WEB客户端30。
图2中的验证设备10可以是实体计算机设备,也可以是能够实现实体计算机功能的虚拟机,验证设备10可以和FRP服务器60是同一个设备,也可以是与FRP服务器60是不同的设备,当和FRP服务器60是同一个设备时,FRP服务器60既具有FRP代理功能,又负责与审计服务器20进行交互,通过审计服务器20实现验证和审计功能,当和FRP服务器60是不同的设备时,FRP服务器60仍然只具有FRP代理功能,验证设备10与审计服务器20、FRP服务器60及WEB客户端30均通信,WEB客户端30将WEB访问请求发送至验证设备10,验证设备10将认证信息发送至审计服务器20,由审计服务器20对认证信息进行验证,审计服务器20同时也会对WEB访问操作进行审计,若验证通过,验证设备10再将WEB访问请求发送至FRP服务器,由FRP服务器通过和图1中类似的流程实现WEB服务器40的访问。
作为一种具体实现方式,以验证设备10和FRP服务器60是同一个设备为例介绍访问审计系统,请参照图3,图3为本实施例提供的访问审计系统的一种具体实现方式的示例图,图3中,访问审计系统包括审计服务器20、WEB客户端30、WEB服务器40、FRP客户端50及FRP服务器60,FRP服务器60与FRP客户端50具备内网穿透链路,FRP服务器60与审计服务器20及WEB客户端30均通信连接,FRP客户端50与WEB服务器40通信连接,图3中的访问流程如下:
①WEB客户端30将WEB访问请求发送至FRP服务器60。
②FRP服务器60根据WEB访问请求获得认证信息,认证信息为WEB客户端30登录审计服务器20的凭证信息,FRP服务器60向审计服务器20发送包含认证信息的验证请求。
③审计服务器20对认证信息进行验证,并向FRP服务器60返回验证结果。
④FRP服务器60接收到审计服务器20发送的验证通过响应时,将WEB访问请求通过内网穿透链路发送至FRP客户端50。
⑤FRP客户端50找到WEB服务器40,并发送发文请求。
⑥WEB服务器40将请求结果返回给FRP客户端50。
⑦FRP客户端50通过内网穿透链路将请求结果返回给FRP服务器60。
⑧FRP服务器60将请求结果返回给WEB客户端30。
作为另一种具体实现方式,以验证设备10和FRP服务器60不是同一个设备为例介绍访问审计系统,请参照图4,图4为本实施例提供的访问审计系统的另一种具体实现方式的示例图,图4中,访问审计系统包括审计服务器20、WEB客户端30、WEB服务器40、FRP客户端50、FRP服务器60及验证设备10,验证设备10和审计服务器20、WEB客户端30及FRP服务器60均通信连接,FRP服务器60与FRP客户端50具备内网穿透链路,FRP客户端50与WEB服务器40通信连接,图4中的访问流程如下:
①WEB客户端30将WEB访问请求发送至验证设备10。
②验证设备10根据WEB访问请求获得认证信息,认证信息为WEB客户端30登录审计服务器20的凭证信息,验证设备10向审计服务器20发送包含认证信息的验证请求。
③审计服务器20对认证信息进行验证,并向验证设备10返回验证结果。
④验证设备10接收到审计服务器20发送的验证通过响应时,将WEB访问请求发送至FRP服务器60。
⑤FRP服务器60接收到验证设备10发送的验证通过响应时,将WEB访问请求通过内网穿透链路发送至FRP客户端50。
⑥FRP客户端50找到WEB服务器40,并发送发文请求。
⑦WEB服务器40将请求结果返回给FRP客户端50。
⑧FRP客户端50通过内网穿透链路将请求结果返回给FRP服务器60。
⑨FRP服务器60将请求结果返回给验证设备10。
⑩验证设备10将请求结果返回给WEB客户端30。
需要说明的是,图2~图4中的审计服务器可以是第三方系统,提供第三方系统的登录认证以及审计功能,本实施例也可以提供自己的审计系统,以与第三方系统相同的交互方式,提供对应的登录认证及审计功能。
基于图2~图4的访问审计系统,本实施例还提供了一种计算机设备70的方框示例图,计算机设备70可以是图2和图4中的验证设备10,也可以是图3中的FRP服务器60,还可以是图2~图4中的审计服务器20,当是图2和图4中的验证设备10,或者是图3中的FRP服务器60时,执行本实施例中的应用于验证设备10的访问审计方法,当是图2~图4中的审计服务器20时,执行本实施例中的应用于审计服务器20的访问审计方法。请参照图5,图5为本发明实施例提供的计算机设备70的方框示例图,计算机设备70包括处理器71、存储器72、总线73及通信接口74,处理器71、存储器72、通信接口74通过总线73连接。
处理器71可以是一种集成电路芯片,具有信号的处理能力。在实现过程中,访问审计方法的各步骤可以通过处理器71中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器71可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器DSP(DigitalSignal Processing,DSP)、专用集成电路ASIC(Application Specific IntegratedCircuit,ASIC)、现成可编程门阵列FPGA(Field Programmable Gate Array,FPGA)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
存储器72用于存储程序,例如下述实施例中应用于验证设备10的访问审计装置或者应用于审计服务器20的访问审计装置。应用于验证设备10的访问审计装置或者应用于审计服务器20的访问审计装置包括至少一个可以软件或固件(firmware)的形式存储于存储器72中或固化在计算机设备70的操作系统(Operating System,OS)中的软件功能模块。处理器71在接收到执行指令后,执行所述程序以实现上述实施例揭示的应用于验证设备10的访问审计方法或者应用于审计服务器20的访问审计方法。
计算机设备70通过通信接口74和其他设备通信。
本实施例首先介绍应用于验证设备10的访问审计方法,请参照图6,图6为本实施例提供的应用于验证设备10的访问审计方法流程图示例图一,该方法包括:
步骤S100,根据WEB客户端发送的WEB访问请求获得认证信息,认证信息为WEB客户端登录审计服务器的凭证信息。
在本实施例中,WEB访问请求为WEB客户端访问WEB服务器的请求,WEB访问请求可以是URL的形式。WEB客户端在预设有效时段内首次请求访问WEB服务器时,需要在URL中携带认证信息,之后在预设有效时段内再次访问WEB服务器时,不需要在URL中携带认证信息。预设有效时段可以根据实际需要进行设置,例如,预设有效时段为1小时,当前时间10:00首次请求访问WEB服务器时,在URL中携带认证信息,其后一个小时内,即在11:00之前再次访问WEB服务器,均无需在URL中携带认证信息,11:00之后,由于本次有效时段已过,则在11:00之后第一次访问WEB服务器时,需要在URL中携带认证信息,其后一个小时内无需携带认证信息。
在本实施例中,认证信息可以根据审计服务器认可的WEB客户端的预设标识生成的,WEB客户端登录审计服务器时,由审计服务器根据该预设标识生成认证信息。预设标识可以包括WEB客户端的设备号或者MAC地址,也可以还包括登录WEB客户端的用户名、密码及浏览器版本号等,作为一种具体实现方式,认证信息可以是token,为审计服务器提供的凭证,其中包含审计服务器进行认证的必要信息,具体地,token可以是审计服务器根据WEB客户端的MAC地址、浏览器版本号、WEB客户端的用户名及密码生成的一串字符串,作为WEB客户端进行WEB访问请求的一个令牌。
步骤S101,向审计服务器发送包含认证信息的验证请求。
在本实施例中,验证请求用于指示审计服务器对认证信息进行验证,审计服务器再将验证结果返回认证设备。验证结果至少包括验证未通过和验证通过中的其中一种。验证设备可以通过添加审计配置,以实现和审计服务器的对接,审计配置包括、但不限于审计服务器的域名、端口及URL配置信息等。作为一种具体实现方式,审计服务器可以对外提供验证接口,验证设备可以将认证信息作为验证接口的输入参数、通过调用该验证接口对认证信息进行验证。
步骤S102,当接收到审计服务器发送的验证通过响应时,将WEB访问请求通过内网穿透链路及FRP客户端发送至WEB服务器。
在本实施例中,当接收到审计服务器发送的验证未通过响应时,验证设备不会将WEB访问请求通过内网穿透链路及FRP客户端发送至WEB服务器,由此可以保证WEB服务器访问的安全性。
本实施例提供的上述方法,通过引入与FRP客户端具备内网穿透链路的验证设备,由验证设备通过和审计服务器交互,再由审计服务器对认证信息进行验证,只有验证通过后,验证设备才会将WEB访问请求通过内网穿透链路及FRP客户端发送至WEB服务器,实现WEB服务器的安全访问。
在本实施例中,作为一种具体实现方式,当验证设备是独立于FRP服务器的设备时,验证设备与FRP服务器及FRP客户端的通讯链路构成内网穿透链路,则将WEB访问请求通过内网穿透链路及FRP客户端发送至WEB服务器的具体实现方式为:
验证设备向FRP服务器发送WEB访问请求,以使FRP服务器将WEB访问请求经FRP客户端发送至WEB服务器。
在本实施例中,如果用户每次WEB访问都要在WEB访问请求中携带认证信息,由此造成用户进行WEB访问的不便,为了使用户更方便地进行WEB访问,简化用户的WEB访问操作,一种具体的获得认证信息的方式可以为:
通过对WEB访问请求进行参数解析,判断WEB访问请求是否包括认证信息。
在本实施例中,若WEB访问请求为URL的形式,URL格式为:protocol://hostname[:port]/path/[:parameters][?query]#fragment,其中,protocol指定使用的传输协议,例如HTTP协议,hostname是指存放资源的WEB服务器的域名系统(DNS)主机名或IP地址,path指主机上的目录或文件地址,parameters为指定特殊参数的可选项,query用于给动态网页传递参数,可有多个参数,fragment指定网络资源中的片段。例如一个网页中有多个名词解释,可使用fragment直接定位到某一名词解释。认证信息通常会存在[:parameters]中,作为一种特殊参数,例如,URL为:https://web.proxy.xxxx-inc.cn:8999?token=123456,通过解析可以得知,该URL包括认证信息token,且token的值为123456。
若否,则从WEB客户端的本地历史信息中获取认证信息。
若是,则在接收到审计服务器发送的验证通过响应时,指示WEB客户端将认证信息存储至本地历史信息中。
在本实施例中,本地历史信息可以是WEB客户端本地存储的历史访问请求相关的信息,作为一种具体实施方式,本地历史信息可以是WEB客户端的cookie,cookie是验证设备为了辨别登录WEB客户端的用户身份,进行会话跟踪而存储在WEB客户端本地的文本数据(通常经过加密),由WEB客户端暂时或永久保存的信息。若认证信息为token,则验证设备会从cookie中取出token,或者在审计服务器发送的验证通过响应时,将token存储至WEB客户端的cookie中。
本实施例提供的上述方法,用户只需要在第一次WEB访问的时候,在WEB访问请求中携带认证信息,后续在预设有效时间内再次访问该网站,都无需在WEB访问请求中携带认证信息即可实现认证信息的验证,大大地简化了用户的WEB访问操作。
在本实施例中,为了可以支持多种审计服务器提供的各种审计方式,审计服务器可以是多个,作为一种实现方式,一个审计服务器可以对应一个验证设备,此时,每一审计服务器均和其对应的验证设备通过前述实施方式中应用于验证设备的访问审计方法进行WEB访问,此处不再赘述。作为另一种实现方式,为了提供对多个审计服务器的统一对接,多个审计服务器也可以对应一个验证设备,此时,每个审计服务器均有一个唯一的服务器标识,以使验证设备能够根据服务器标识将验证信息发送至对应的审计服务器,具体实现方式可以为:
根据目标服务器标识,向目标审计服务器发送包含认证信息的验证请求。
在本实施例中,WEB访问请求中还可以包含目标服务器标识,目标服务器标识与目标审计服务器对应,目标审计服务器为多个审计服务器中的一个。
在本实施例中,为了便于WEB访问有迹可循、在出现安全问题时方便回溯,本实施例还提供了对WEB访问请求进行审计的实现方式,具体为:
向审计服务器发送针对WEB访问请求的审计请求,以指示审计服务器对WEB访问请求进行审计。
在本实施例中,对WEB访问请求进行审计包括记录该WEB访问请求的访问时间、访问类型、访问账号、访问账号的权限类型,访问连接的类型等,例如,访问审计信息如表1所示。
表1
在本实施例中,作为一种具体实现方式,审计服务器可以为验证设备提供审计接口,验证设备调用该审计接口进行WEB访问请求进行审计记录。
基于与上述的访问审计方法相同的思路和图2或图3中的访问审计系统,为了更加完备地说明本实施例提供的访问审计方法,本实施例还提供了应用于审计服务器的访问审计方法,请参照图7,图7为本实施例提供的应用于审计服务器20的访问审计方法流程图示例图,该方法包括以下步骤:
步骤S200,接收验证设备发送包含认证信息的验证请求,认证信息是验证设备根据WEB客户端发送的WEB访问请求获得的,认证信息为WEB客户端登录审计服务器的凭证信息。
步骤S201,对认证信息进行验证,并向验证设备返回验证是否通过的响应。
本实施例提供的上述方法,通过审计服务器20与验证设备10之间的交互,使得审计服务器20及时对认证信息进行验证,并返回至验证设备10,只有验证通过后,验证设备才会将WEB访问请求通过内网穿透链路及FRP客户端发送至WEB服务器,实现WEB服务器的安全访问。
在本实施例中,为了便于WEB访问有迹可循、在出现安全问题时方便回溯,本实施例提供的审计服务器20还实现了对WEB访问请求进行审计的实现方式,具体为:
接收验证设备发送针对WEB访问请求进行审计的审计请求。
基于审计请求对WEB访问请求进行审计记录。
对WEB访问请求进行审计记录已经在前文中有描述,此处不再赘述。
为了更清楚地说明访问审计系统中各设备之间的交互过程,本实施例以图3中的访问审计系统为例,说明WEB客户端30、FRP服务器60、FRP客户端50/WEB服务器40、审计服务器20之间的交互过程,需要说明的是,FRP客户端和WEB服务器40之间就是透传WEB访问请求和访问结果的交互,且两者均处于内部网络,因此,将FRP客户端50和WEB服务器40作为一个整体看待,请参照图8,图8为本实施例提供的应用于访问审计系统中各设备交互的示例图,图8中,交互过程如下:
S11,用户在WEB客户端输入URL,URL中携带有认证信息token,WEB客户端将该URL发送至FRP服务器。
S12,FRP服务器收到URL,从URL中解析出token,或者从WEB客户端的cookie中取出token。
S13,FRP服务器将token发送至审计服务器。
S14,审计服务器对token进行验证,并记录审计日志。
S15,审计服务器向FRP服务器返回验证通过的结果。
S16,FRP服务器将不带token的URL发送至FRP客户端。
S17,FRP客户端收到URL的WEB访问请求,处理WEB访问请求(即将该WEB访问请求发送至WEB服务器),并返回访问结果至FRP服务器。
S18,FRP服务器将访问结果返回至WEB客户端。
为了执行上述实施例及各个可能的实施方式中的相应步骤,下面给出一种应用于验证设备的访问审计装置100的实现方式。请参照图9,图9出了本发明实施例提供的应用于验证设备的访问审计装置100的方框示意图。需要说明的是,本实施例所提供的应用于验证设备的访问审计装置100,其基本原理及产生的技术效果和上述实施例相同,为简要描述,本实施例部分未提及指出。
应用于验证设备的访问审计装置100,其中的验证设备与FRP客户端具备内网穿透链路,验证设备与审计服务器及WEB客户端均通信连接,FRP客户端与WEB服务器通信连接,该装置第一发送模块110和第一接收模块120。
第一发送模块110,用于根据WEB客户端发送的WEB访问请求获得认证信息,认证信息为WEB客户端登录审计服务器的凭证信息。
第一发送模块110,还用于向审计服务器发送包含认证信息的验证请求。
第一接收模块,用于当接收到审计服务器发送的验证通过响应时,将WEB访问请求通过内网穿透链路及FRP客户端发送至WEB服务器。
可选地,验证设备与FRP服务器及FRP客户端的通讯链路构成内网穿透链路,第一发送模块110具体用于:验证设备向FRP服务器发送WEB访问请求,以使FRP服务器将WEB访问请求经FRP客户端发送至WEB服务器。
可选地,第一发送模块110具体用于:通过对WEB访问请求进行参数解析,判断WEB访问请求是否包括认证信息;若否,则从WEB客户端的本地历史信息中获取认证信息;若是,则在接收到审计服务器发送的验证通过响应时,指示WEB客户端将认证信息存储至本地历史信息中。
可选地,WEB访问请求包含目标服务器标识,目标服务器标识与目标审计服务器对应,目标审计服务器为多个审计服务器中的一个,第一发送模块110具体用于:根据目标服务器标识,向目标审计服务器发送包含认证信息的验证请求。
可选地,第一发送模块110还用于:向审计服务器发送针对WEB访问请求的审计请求,以指示审计服务器对WEB访问请求进行审计。
本实施例提供应用于验证设备的访问审计装置100,通过引入与FRP客户端具备内网穿透链路的验证设备,由验证设备通过和审计服务器交互,再由审计服务器对认证信息进行验证,只有验证通过后,验证设备才会将WEB访问请求通过内网穿透链路及FRP客户端发送至WEB服务器,实现WEB服务器的安全访问。
为了执行上述实施例及各个可能的实施方式中的相应步骤,下面给出一种应用于服务器的访问审计装置200的实现方式。请参照图10,图10出了本发明实施例提供的应用于审计服务器的访问审计装置200的方框示意图。需要说明的是,本实施例所提供的应用于审计服务器的访问审计装置200,其基本原理及产生的技术效果和上述实施例相同,为简要描述,本实施例部分未提及指出。
应用于服务器的访问审计装置200,其中的审计服务器与验证设备通信连接,验证设备与FRP客户端具备内网穿透链路,验证设备与WEB客户端通信连接,FRP客户端与WEB服务器通信连接,该装置包括第二接收模块210和第二发送模块220。
第二接收模块210,用于接收验证设备发送包含认证信息的验证请求,认证信息是验证设备根据WEB客户端发送的WEB访问请求获得的,认证信息为WEB客户端登录审计服务器的凭证信息。
第二发送模块220,用于对认证信息进行验证,并向验证设备返回验证是否通过的响应。
可选地,第二发送模块220还用于:接收验证设备发送针对WEB访问请求进行审计的审计请求;基于审计请求对WEB访问请求进行审计记录。
本实施例提供的应用于服务器的访问审计装置200,通过审计服务器20与验证设备10之间的交互,使得审计服务器20及时对认证信息进行验证,并返回至验证设备10,只有验证通过后,验证设备才会将WEB访问请求通过内网穿透链路及FRP客户端发送至WEB服务器,实现WEB服务器的安全访问。
本发明实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时,实现如上述实施例应用于验证设备的访问审计方法,和/或,应用于审计服务器的访问审计方法。
综上所述,本发明实施例提供了一种访问审计方法、装置、系统、计算机设备及存储介质,证设备与FRP客户端具备内网穿透链路,所验证设备与审计服务器及WEB客户端均通信连接,FRP客户端与WEB服务器通信连接,应用于验证设备的方法包括:根据WEB客户端发送的WEB访问请求获得认证信息,认证信息为WEB客户端登录审计服务器的凭证信息;向审计服务器发送包含认证信息的验证请求;当接收到审计服务器发送的验证通过响应时,将WEB访问请求通过内网穿透链路及FRP客户端发送至WEB服务器。相对于现有技术,本发明实施例通过引入与FRP客户端具备内网穿透链路的验证设备,由验证设备接收WEB客户端的WEB访问请求,根据WEB访问请求获取认证信息,通过和审计服务器交互,由审计服务器对认证信息进行验证,只有验证通过后,才会将WEB访问请求通过内网穿透链路及FRP客户端发送至WEB服务器,实现WEB服务器的安全访问。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。

Claims (12)

1.一种访问审计方法,其特征在于,应用于验证设备,所述验证设备与FRP客户端具备内网穿透链路,所述验证设备与审计服务器及WEB客户端均通信连接,所述FRP客户端与WEB服务器通信连接,所述方法包括:
根据所述WEB客户端发送的WEB访问请求获得认证信息,所述认证信息为所述WEB客户端登录所述审计服务器的凭证信息;
向所述审计服务器发送包含所述认证信息的验证请求;
当接收到所述审计服务器发送的验证通过响应时,将所述WEB访问请求通过所述内网穿透链路及所述FRP客户端发送至WEB服务器。
2.如权利要求1所述的访问审计方法,其特征在于,所述验证设备与FRP服务器及FRP客户端的通讯链路构成所述内网穿透链路,则将所述WEB访问请求通过所述内网穿透链路及所述FRP客户端发送至WEB服务器的步骤,包括:
所述验证设备向所述FRP服务器发送所述WEB访问请求,以使所述FRP服务器将所述WEB访问请求经所述FRP客户端发送至WEB服务器。
3.如权利要求1所述的访问审计方法,其特征在于,所述根据所述WEB客户端发送的WEB访问请求获得认证信息的步骤,包括:
通过对所述WEB访问请求进行参数解析,判断所述WEB访问请求是否包括所述认证信息;
若否,则从所述WEB客户端的本地历史信息中获取所述认证信息;
若是,则在接收到所述审计服务器发送的验证通过响应时,指示所述WEB客户端将所述认证信息存储至所述本地历史信息中。
4.如权利要求1所述的访问审计方法,其特征在于,所述WEB访问请求包含目标服务器标识,所述目标服务器标识与目标审计服务器对应,所述目标审计服务器为多个审计服务器中的一个,所述向所述审计服务器发送包含所述认证信息的验证请求的步骤,包括:
根据所述目标服务器标识,向所述目标审计服务器发送包含所述认证信息的验证请求。
5.如权利要求1所述的访问审计方法,其特征在于,所述方法还包括:
向所述审计服务器发送针对所述WEB访问请求的审计请求,以指示所述审计服务器对所述WEB访问请求进行审计。
6.一种访问审计方法,其特征在于,应用于审计服务器,所述审计服务器与验证设备通信连接,所述验证设备与FRP客户端具备内网穿透链路,所述验证设备与WEB客户端通信连接,所述FRP客户端与WEB服务器通信连接,所述方法包括:
接收所述验证设备发送包含认证信息的验证请求,所述认证信息是所述验证设备根据所述WEB客户端发送的WEB访问请求获得的,所述认证信息为所述WEB客户端登录所述审计服务器的凭证信息;
对所述认证信息进行验证,并向所述验证设备返回验证是否通过的响应。
7.如权利要求6所述的访问审计方法,其特征在于,所述方法还包括:
接收所述验证设备发送针对WEB访问请求进行审计的审计请求;
基于所述审计请求对所述WEB访问请求进行审计记录。
8.一种访问审计装置,其特征在于,应用于验证设备,所述验证设备与FRP客户端具备内网穿透链路,所述验证设备与审计服务器及WEB客户端均通信连接,所述FRP客户端与WEB服务器通信连接,所述装置包括:
第一发送模块,用于根据所述WEB客户端发送的WEB访问请求获得认证信息,所述认证信息为所述WEB客户端登录所述审计服务器的凭证信息;
所述第一发送模块,还用于向所述审计服务器发送包含所述认证信息的验证请求;
第一接收模块,用于当接收到所述审计服务器发送的验证通过响应时,将所述WEB访问请求通过所述内网穿透链路及所述FRP客户端发送至WEB服务器。
9.一种访问审计装置,其特征在于,应用于审计服务器,所述审计服务器与验证设备通信连接,所述验证设备与FRP客户端具备内网穿透链路,所述验证设备与WEB客户端通信连接,所述FRP客户端与WEB服务器通信连接,所述装置包括:
第二接收模块,用于接收所述验证设备发送包含认证信息的验证请求,所述认证信息是所述验证设备根据所述WEB客户端发送的WEB访问请求获得的,所述认证信息为所述WEB客户端登录所述审计服务器的凭证信息;
第二发送模块,用于对所述认证信息进行验证,并向所述验证设备返回验证是否通过的响应。
10.一种访问审计系统,其特征在于,所述访问审计系统包括验证设备、审计服务器、FRP客户端、WEB客户端及WEB服务器,所述验证设备与所述FRP客户端具备内网穿透链路,所述验证设备与所述审计服务器及所述WEB客户端均通信连接,所述FRP客户端与所述WEB服务器通信连接,所述验证设备执行如权利要求1-5任一项所述访问审计方法,所述审计服务器执行如权利要求6-7任一项所述访问审计方法。
11.一种计算机设备,包括处理器和存储器,其特征在于,所述存储器用于存储程序,所述处理器用于在执行所述程序时,实现权利要求1-5中任一项所述的访问审计方法,或者实现权利要求6-7中任一项所述的访问审计方法。
12.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,该计算机程序被处理器执行时实现权利要求1-5中任一项所述的访问审计方法,或者实现权利要求6-7中任一项所述的访问审计方法。
CN202311651027.2A 2023-12-04 2023-12-04 访问审计方法、装置、系统、计算机设备及存储介质 Pending CN117714437A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311651027.2A CN117714437A (zh) 2023-12-04 2023-12-04 访问审计方法、装置、系统、计算机设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311651027.2A CN117714437A (zh) 2023-12-04 2023-12-04 访问审计方法、装置、系统、计算机设备及存储介质

Publications (1)

Publication Number Publication Date
CN117714437A true CN117714437A (zh) 2024-03-15

Family

ID=90152602

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311651027.2A Pending CN117714437A (zh) 2023-12-04 2023-12-04 访问审计方法、装置、系统、计算机设备及存储介质

Country Status (1)

Country Link
CN (1) CN117714437A (zh)

Similar Documents

Publication Publication Date Title
US10116644B1 (en) Network access session detection to provide single-sign on (SSO) functionality for a network access control device
CA2775206C (en) System and method of handling requests in a multi-homed reverse proxy
EP2307982B1 (en) Method and service integration platform system for providing internet services
US10148645B2 (en) Method and device for classifying TCP connection carrying HTTP traffic
US8910300B2 (en) Secure tunneling platform system and method
US7877492B2 (en) System and method for delegating a user authentication process for a networked application to an authentication agent
TWI475863B (zh) 使用快取之安全資源名稱解析
TWI478564B (zh) 用於安全資源名稱解析的方法、電腦可讀取儲存媒體及設備
US8776209B1 (en) Tunneling session detection to provide single-sign on (SSO) functionality for a VPN gateway
EP3694185A1 (en) Method for facilitating federated single sign-on (sso) for internal web applications
EP3210107B1 (en) Method and apparatus for facilitating the login of an account
EP3120591B1 (en) User identifier based device, identity and activity management system
EP2347559B1 (en) Service access control
US20060021004A1 (en) Method and system for externalized HTTP authentication
WO2022247751A1 (zh) 远程访问应用的方法、系统、装置、设备及存储介质
WO2014188233A1 (en) Methods and systems for dynamic domain name system (ddns)
CN102710621A (zh) 一种用户认证方法和系统
CN110730189A (zh) 一种通信认证方法、装置、设备及存储介质
CN117714437A (zh) 访问审计方法、装置、系统、计算机设备及存储介质
GB2498566A (en) Authenticating a user at a proxy using cookies
US11323426B2 (en) Method to identify users behind a shared VPN tunnel
CN112769754B (zh) 客户端接入方法、装置、设备及存储介质
CN112260991B (zh) 一种鉴权管理方法和装置
Tuovinen Network monitoring with Raspberry Pi
TWI620091B (zh) 植基於worker序列化請求的認證處理方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination