TW201828645A - 網路驗證方法及裝置 - Google Patents

網路驗證方法及裝置 Download PDF

Info

Publication number
TW201828645A
TW201828645A TW106138088A TW106138088A TW201828645A TW 201828645 A TW201828645 A TW 201828645A TW 106138088 A TW106138088 A TW 106138088A TW 106138088 A TW106138088 A TW 106138088A TW 201828645 A TW201828645 A TW 201828645A
Authority
TW
Taiwan
Prior art keywords
user
network
server
identity information
preset
Prior art date
Application number
TW106138088A
Other languages
English (en)
Other versions
TWI745473B (zh
Inventor
朱碧軍
楊豪
孫健康
Original Assignee
香港商阿里巴巴集團服務有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 香港商阿里巴巴集團服務有限公司 filed Critical 香港商阿里巴巴集團服務有限公司
Publication of TW201828645A publication Critical patent/TW201828645A/zh
Application granted granted Critical
Publication of TWI745473B publication Critical patent/TWI745473B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本發明提供一種網路驗證方法及裝置,該方法可以包括:預設移動化企業辦公平臺的服務端接收到網路設備發送的驗證請求,所述驗證請求中包含使用者設備的唯一設備標識;根據與所述網路設備存在綁定關係的預設團體,所述服務端中預先記錄的所述預設團體的關聯使用者的身分資訊與唯一設備標識之間的映射關係,以及各個身分資訊對應的網路存取權限,所述服務端確定對所述使用者設備的唯一設備標識的驗證結果;所述服務端向所述網路設備返回所述驗證結果,以指示所述網路設備根據所述驗證結果控制所述使用者設備的網路訪問操作。透過本發明的技術方案,可以簡化對使用者設備的網路驗證過程。

Description

網路驗證方法及裝置
本發明涉及網路驗證技術領域,尤其涉及一種網路驗證方法及裝置。
當使用者希望將使用者設備接入無線網路時,需要首先將使用者設備接入AP(Wireless Access Point,無線訪問接入點)等網路設備,並進一步透過該網路設備實現網路訪問。網路訪問操作實際上是對乙太網的訪問操作,而網路設備相當於無線網路與乙太網之間的橋樑。   在相關技術中,無線網路遵循IEEE 802.1x標準來提供存取控制和認證。以企業場景為例,由於涉及到較高的資訊安保需求,可以採用IEEE 802.1x標準下的諸如EAP-TLS(Extensible Authentication Protocol-Transport Layer Security)協定,從而對接入網路設備的使用者設備進行網路驗證。   但是,在相關技術的驗證過程中,需要在企業中部署PKI(Public Key Infrastructure,公開金鑰基礎設施)系統,而PKI系統十分龐大、複雜,且前期投入和後期維護要求都非常高;同時,基於已部署的PKI系統,需要在使用者設備、伺服器上分別保存數位憑證,並週期性地維護數位憑證的有效性,且驗證過程中需要由雙方對數位憑證進行雙向驗證,造成驗證過程複雜、效率低下。
有鑑於此,本發明提供一種網路驗證方法及裝置,可以簡化對使用者設備的網路驗證過程。   為實現上述目的,本發明提供技術方案如下:   根據本發明的第一方面,提出了一種網路驗證方法,包括:   預設即時通訊應用程式的服務端接收到網路設備發送的驗證請求,所述驗證請求中包含使用者設備的唯一設備標識;   根據與所述網路設備存在綁定關係的預設團體,所述服務端中預先記錄的所述預設團體的關聯使用者的身分資訊與唯一設備標識之間的映射關係,以及各個身分資訊對應的網路存取權限,所述服務端確定對所述使用者設備的唯一設備標識的驗證結果;   所述服務端向所述網路設備返回所述驗證結果,以指示所述網路設備根據所述驗證結果控制所述使用者設備的網路訪問操作。   根據本發明的第二方面,提出了一種網路驗證方法,包括:   當被綁定至預設團體的網路設備檢測到使用者設備接入時,所述網路設備上運行的網路設備使用者端獲取所述使用者設備的唯一設備標識;   所述網路設備使用者端向預設即時通訊應用程式的服務端發送包含所述使用者設備的唯一設備標識的驗證請求,所述驗證請求用於指示所述服務端根據預儲存的所述預設團體的關聯使用者的身分資訊與唯一設備標識之間的映射關係,以及各個身分資訊對應的網路存取權限,對所述使用者設備的唯一設備標識進行驗證;   所述網路設備使用者端接收所述服務端返回的對所述使用者設備的唯一設備標識的驗證結果,並根據所述驗證結果控制所述使用者設備的網路訪問操作。   根據本發明的協力廠商面,提出了一種網路驗證方法,包括:   電子設備上運行的預設即時通訊應用程式的使用者使用者端確定已登錄使用者的身分資訊;   所述使用者使用者端向所述即時通訊應用程式的服務端發送通告消息,所述通告消息中包含所述身分資訊與所述電子設備的唯一設備標識,以由所述服務端記錄所述身分資訊與所述電子設備之間的映射關係;其中,所述映射關係用於指示所述服務端將所述身分資訊在預設團體中的網路存取權限適用於所述電子設備,以控制所述電子設備基於所述預設團體下的網路設備實現的網路訪問操作。   根據本發明的第四方面,提出了一種網路驗證裝置,包括:   請求接收單元,使預設即時通訊應用程式的服務端接收到網路設備發送的驗證請求,所述驗證請求中包含使用者設備的唯一設備標識;   驗證單元,根據與所述網路設備存在綁定關係的預設團體,所述服務端中預先記錄的所述預設團體的關聯使用者的身分資訊與唯一設備標識之間的映射關係,以及各個身分資訊對應的網路存取權限,使所述服務端確定對所述使用者設備的唯一設備標識的驗證結果;   返回單元,使所述服務端向所述網路設備返回所述驗證結果,以指示所述網路設備根據所述驗證結果控制所述使用者設備的網路訪問操作。   根據本發明的第五方面,提出了一種網路驗證裝置,包括:   獲取單元,當被綁定至預設團體的網路設備檢測到使用者設備接入時,使所述網路設備上運行的網路設備使用者端獲取所述使用者設備的唯一設備標識;   發送單元,使所述網路設備使用者端向預設即時通訊應用程式的服務端發送包含所述使用者設備的唯一設備標識的驗證請求,所述驗證請求用於指示所述服務端根據預儲存的所述預設團體的關聯使用者的身分資訊與唯一設備標識之間的映射關係,以及各個身分資訊對應的網路存取權限,對所述使用者設備的唯一設備標識進行驗證;   控制單元,使所述網路設備使用者端接收所述服務端返回的對所述使用者設備的唯一設備標識的驗證結果,並根據所述驗證結果控制所述使用者設備的網路訪問操作。   根據本發明的第六方面,提出了一種網路驗證裝置,包括:   確定單元,使電子設備上運行的預設即時通訊應用程式的使用者使用者端確定已登錄使用者的身分資訊;   發送單元,使所述使用者使用者端向所述即時通訊應用程式的服務端發送通告消息,所述通告消息中包含所述身分資訊與所述電子設備的唯一設備標識,以由所述服務端記錄所述身分資訊與所述電子設備之間的映射關係;其中,所述映射關係用於指示所述服務端將所述身分資訊在預設團體中的網路存取權限適用於所述電子設備,以控制所述電子設備基於所述預設團體下的網路設備實現的網路訪問操作。   由以上技術方案可見,本發明透過在服務端預儲存身分資訊與設備MAC位址之間的映射關係,使得網路設備只需要獲取使用者設備的MAC位址,即可由服務端根據預儲存的映射關係進行驗證,不僅可以簡化服務端對使用者設備的驗證過程、提升對使用者設備的驗證效率,而且可以避免部署PKI系統、降低整體系統的投入和複雜程度。
圖1是本發明一示例性實施例提供的一種基於服務端側的網路驗證方法的流程圖。如圖1所示,該方法應用於服務端,可以包括以下步驟:   步驟102,預設移動化企業辦公平臺的服務端接收到網路設備發送的驗證請求,所述驗證請求中包含使用者設備的唯一設備標識。   在本實施例中,移動化企業辦公平臺不僅可以實現通訊功能,還可以作為諸多其他功能的整合化功能平臺,比如對於審批事件(如請假、辦公物品申領、財務等審批事件)、考勤事件、任務事件、日誌事件等企業內部事件的處理,再比如訂餐、採購等企業外部事件的處理,本發明並不對此進行限制。   較為具體地,移動化企業辦公平臺可以承載於相關技術中的即時通訊應用程式,比如企業即時通訊(Enterprise Instant Messaging,EIM)應用程式,例如Skype For Business® 、Microsoft Teams® 、Yammer® 、Workplace® 、Slack® 、企業微信® 、紛享銷客® 、企業飛信® 、企業易信® 等。當然,即時通訊功能僅為移動化企業辦公平臺支援的通訊功能之一,該企業辦公平臺還能夠實現更多諸如上述的其他功能,此處不再贅述。   在本實施例中,唯一設備標識能夠唯一地指示和確定出相應的使用者設備,即唯一設備標識與使用者設備之間一一對應。所有具備唯一性的標識資訊均能夠作為上述的唯一設備標識,本發明並不對此進行限制;舉例而言,該唯一設備標識可以為使用者設備的MAC(Media Access Control,媒體存取控制)地址、序號等。   步驟104,根據與所述網路設備存在綁定關係的預設團體,所述服務端中預先記錄的所述預設團體的關聯使用者的身分資訊與唯一設備標識之間的映射關係,以及各個身分資訊對應的網路存取權限,所述服務端確定對所述使用者設備的唯一設備標識的驗證結果。   在本實施例中,由於網路設備僅能夠覆蓋其安裝位置附近的一定範圍,即只有該範圍內的使用者設備能夠接入該網路設備,因而網路設備通常被綁定至預設團體,並安裝在該預設團體的工作範圍內,以供該預設團體的關聯使用者進行接入並實施網路訪問操作。其中,“團體”可以指企業、學校、醫院、部隊、政府機關等各種組織,這些形式的團體均可以採用上述的移動化企業辦公平臺,以實現本發明的技術方案。   在本實施例中,服務端預先記錄預設團體的每一關聯使用者與相應的唯一設備標識之間的映射關係,以便於後續根據已記錄的該映射關係,對網路設備發送的使用者設備的唯一設備標識進行驗證。其中,服務端在接收到電子設備發送的通告消息時,根據該通告消息中包含的該電子設備上運行的移動化企業辦公平臺的使用者使用者端上登錄的身分資訊和該電子設備的唯一設備標識,將該通告消息中包含的身分資訊與唯一設備標識記錄為相應的映射關係。當然,在其他情況下,還可以由該預設團體的管理使用者手動創建該映射關係,或者對服務端中已經記錄的映射關係進行編輯。   在本實施例中,預設團體的關聯使用者可以包括以下至少之一:預設團體的內部成員、預設團體的外部連絡人(比如與該預設團體存在關聯關係的其他團體的內部成員,譬如該其他團體與該預設團體之間存在合作關係等)、預設團體的外部訪客等,當然其他類型的關聯使用者也可以適應於本發明的技術方案中,本發明並不對此進行限制。   在本實施例中,由於同一使用者設備可以被多個關聯使用者進行帳號登錄,而同一關聯使用者也可以在多台使用者設備上進行帳號登錄,使得服務端可能同時存在多個對應於該使用者設備的唯一設備標識的映射關係,那麼服務端可以選取最近記錄的映射關係,以確定該使用者設備的唯一設備標識對應的驗證結果。實際上,使用者設備在檢測到使用者登錄行為或者對網路設備的接入指令時,可以透過向服務端發送上述的通告消息,使得服務端對該使用者設備對應的映射關係進行更新,從而確保用於驗證的映射關係對應於該使用者設備上當前登錄的關聯使用者,而避免應用其他關聯使用者對應的網路存取權限進行驗證。   步驟106,所述服務端向所述網路設備返回所述驗證結果,以指示所述網路設備根據所述驗證結果控制所述使用者設備的網路訪問操作。   相應地,圖2是本發明一示例性實施例提供的一種基於網路設備使用者端側的網路驗證方法的流程圖。如圖2所示,該方法應用於網路設備使用者端,可以包括以下步驟:   步驟202,當被綁定至預設團體的網路設備檢測到使用者設備接入時,所述網路設備上運行的網路設備使用者端獲取所述使用者設備的唯一設備標識。   在本實施例中,網路設備使用者端可以為基於移動化企業辦公平臺的使用者端,也可以為其他任意形式的使用者端,只要能夠配合於服務端對使用者設備進行驗證和網路存取控制即可,本發明並不對此進行控制。當然,當網路設備使用者端為基於移動化企業辦公平臺的使用者端時,該網路設備使用者端內置有配合於服務端的控制邏輯,更加易於實現基於本發明的技術方案。   在本實施例中,網路設備可以包括任意實現網路接入功能的電子設備,比如AP設備等,本發明並不對此進行限制。   步驟204,所述網路設備使用者端向預設移動化企業辦公平臺的服務端發送包含所述使用者設備的唯一設備標識的驗證請求,所述驗證請求用於指示所述服務端根據預儲存的所述預設團體的關聯使用者的身分資訊與唯一設備標識之間的映射關係,以及各個身分資訊對應的網路存取權限,對所述使用者設備的唯一設備標識進行驗證。   步驟206,所述網路設備使用者端接收所述服務端返回的對所述使用者設備的唯一設備標識的驗證結果,並根據所述驗證結果控制所述使用者設備的網路訪問操作。   在本實施例中,網路設備使用者端可以根據所述驗證結果中包含的許可權選項的取值,控制所述網路訪問操作;其中,許可權選項可以包括以下至少之一:   1)是否具有許可權。當具有許可權時,可以直接開放網路訪問,也可以結合其他許可權選項做進一步的存取控制;當不具有許可權時,可以直接拒絕網路訪問。   2)許可權有效時長。比如當關聯使用者為訪客時,限制其只能夠在當天內實現網路訪問。那麼,當未超出許可權有效時長時,可以直接開放網路訪問,也可以結合其他許可權選項做進一步的存取控制;當超出許可權有效時長時,可以直接拒絕網路訪問。   3)許可權剩餘使用次數。比如針對臨時申請的網路許可權,可以限制其許可權剩餘使用次數為1,即使用者僅能夠單次接入該網路設備並實現網路訪問;其中,當關聯使用者每次接入網路設備並實現網路訪問後,相應的許可權剩餘使用次數自減1,以實現對該許可權剩餘使用次數的管理。那麼,當許可權剩餘使用次數不為零時,可以直接開放網路訪問,也可以結合其他許可權選項做進一步的存取控制;當許可權剩餘使用次數為零時,可以直接拒絕網路訪問。   4)允許訪問的網路範圍。網路可以被預先劃分為多個範圍,比如預設團體的內部區域網路、該預設團體外部的公共網路、公共網路中的國內範圍、公共網路中的國外範圍等,從而對網路訪問操作做更為詳細地許可權控制,此處不再贅述。   相應地,圖3是本發明一示例性實施例提供的一種基於使用者使用者端側的網路驗證方法的流程圖。如圖3所示,該方法應用於使用者使用者端,可以包括以下步驟:   步驟302,電子設備上運行的預設移動化企業辦公平臺的使用者使用者端確定已登錄使用者的身分資訊。   在本實施例中,移動化企業辦公平臺的使用者端的應用程式可以被預先安裝在電子設備上,使得該使用者端可以在該電子設備上被啟動並運行;當然,當採用諸如HTML5技術的線上“使用者端”,無需在電子設備上安裝相應的應用程式,即可獲得並運行該使用者端。當網路設備使用者端為移動化企業辦公平臺的使用者端時,同樣適用於上述描述,此處不再贅述。   步驟304,所述使用者使用者端向所述移動化企業辦公平臺的服務端發送通告消息,所述通告消息中包含所述身分資訊與所述電子設備的唯一設備標識,以由所述服務端記錄所述身分資訊與所述電子設備之間的映射關係。   在本實施例中,服務端記錄的映射關係,即上述圖1和圖2所示實施例中的映射關係,該映射關係用於指示服務端將該身分資訊在預設團體中的網路存取權限適用於電子設備(根據映射關係中記錄的唯一設備標識,可以確定出該電子設備),以控制該電子設備基於該預設團體下的網路設備實現的網路訪問操作。   在一實施例中,電子設備可以在使用者使用者端檢測到使用者登錄行為時,發送上述的通告消息。那麼,只要電子設備上登錄的使用者帳號發生變化時,即可根據當前登錄的使用者帳號對應的身分資訊與該電子設備的唯一設備標識之間的對應關係,對服務端記錄的映射關係進行更新,從而確保服務端能夠使用最新的映射關係對該電子設備進行驗證。   在另一實施例中,電子設備可以在使用者使用者端檢測到針對任一網路設備的接入指令時,發送上述的通告消息。那麼,當該電子設備未接入網路設備時發生帳號變更時,即便沒有在發生使用者登錄行為時發送通告消息,也可以透過在檢測到接入指令時發送通告消息,以使得服務端對記錄的映射關係進行及時更新,從而確保利用最新的映射關係對該電子設備進行驗證。   由以上技術方案可見,本發明透過在服務端預儲存身分資訊與設備MAC位址之間的映射關係,使得網路設備只需要獲取使用者設備的MAC位址,即可由服務端根據預儲存的映射關係進行驗證,不僅可以簡化服務端對使用者設備的驗證過程、提升對使用者設備的驗證效率,而且可以避免部署PKI系統、降低整體系統的投入和複雜程度。   圖4是本發明一示例性實施例提供的一種應用網路設備的場景示意圖。如圖4所示,假定作為網路設備的AP設備41被安裝在企業AA的辦公區域42內的A點處,該AP設備41可以在範圍40(以A點為圓心、發射半徑d為範圍半徑)內發射Beacon(信標)幀信號,以使得該範圍40內的電子設備可以透過掃描到該Beacon幀信號,實現對該AP設備41的接入;當然,電子設備可以採用主動掃描的方式,以實現對AP設備41的掃描和接入,本發明並不對此進行限制。例如,當使用者位於範圍40內的B點時,該使用者使用的手機43可以掃描並接入AP設備41,而手機43、AP設備41可以分別與伺服器44實現資料互動,並進而實現本發明的網路驗證方案。   其中,伺服器44可以為包含一獨立主機的物理伺服器,或者該伺服器44可以為主機集群承載的虛擬伺服器,或者該伺服器44可以為雲伺服器。在運行過程中,伺服器44可以運行某一應用程式的伺服器側的程式,以實現該應用程式的相關業務功能,比如網路驗證功能等。   手機43只是使用者可以使用的一種類型的電子設備。實際上,使用者顯然還可以使用諸如下述類型的電子設備:平板設備、筆記型電腦、掌上型電腦(PDAs,Personal Digital Assistants)、可穿戴設備(如智慧眼鏡、智慧手錶等)等,本發明並不對此進行限制。在運行過程中,該電子設備可以運行某一應用程式的使用者端側的程式,以實現該應用程式的相關業務功能,比如上述的網路驗證功能等。   而對於手機43(或AP設備41)與伺服器44之間進行互動的網路,可以包括多種類型的有線或無線網路。在一實施例中,該網路可以包括公共交換電話網絡(Public Switched Telephone Network,PSTN)和網際網路。   為了便於理解,以企業即時通訊應用程式“企業微信”為例,假定手機43和AP設備41上分別運行有企業微信使用者端、伺服器44上運行有企業微信服務端,其中手機43上的企業微信使用者端登錄有使用者的註冊帳號,即手機43被配置為該使用者的企業微信使用者端。下面以使用者透過手機43接入AP設備41進行網路訪問的過程為例,結合圖5-6對本發明的技術方案進行詳細說明;其中,圖5是本發明一示例性實施例提供的一種網路驗證方法的流程圖。如圖5所示,該方法可以包括以下步驟:   步驟502,手機43檢測到使用者登錄行為。   在本實施例中,當發生使用者登錄行為時,就可能發生對使用者帳號的更換,因而手機43上運行的企業微信使用者端可以透過對使用者登錄行為進行監測,並據此發送下述的通告消息,以確保及時更新伺服器44運行的企業微信服務端上記錄的映射關係。   步驟504,手機43向伺服器44發送通告消息,該通告消息中包含已登錄帳號的身分資訊和手機43的MAC位址。   在本實施例中,手機43上運行的企業微信使用者端獲取已登錄帳號的身分資訊,並產生包含該身分資訊的通告消息;同時,該通告消息本身就包含該手機43的MAC位址(即源MAC位址),因而該通告消息中同時包含已登錄帳號的身分資訊和手機43的MAC位址,而不需要該企業微信使用者端主動將MAC位址添加至該通告消息中。   步驟506,伺服器44根據通告消息中包含的身分資訊和MAC位址,記錄相應的映射關係。   在本實施例中,如果伺服器44中並未記錄有通告消息中包含的身分資訊與MAC位址之間的映射關係,伺服器44可以創建該映射關係;而當伺服器44中已經記錄有該通告消息中包含的身分資訊與MAC位址之間的映射關係,則伺服器44可以更新該映射關係的記錄時刻。   在本實施例中,同一使用者帳號可以分別在多個電子設備上登錄,因而對於通告消息中包含的身分資訊而言,伺服器44上可以分別記錄該身分資訊與多個MAC位址之間的映射關係。類似地,同一電子設備上可以分別登錄不同的使用者帳號,因而對於通告消息中包含的MAC位址而言,伺服器44上可以分別記錄該MAC位址與多個身分資訊之間的映射關係。   需要指出的是:上述的步驟502-506,描述了伺服器44記錄映射關係的過程,該過程可以發生於步驟512之前(以確保該映射關係可以被應用於步驟512中的驗證操作)的任意時刻,該任意時刻在圖5所示的實施例中由步驟502中對使用者登錄行為的檢測時刻而決定。   步驟508,手機43與AP設備41之間建立WIFI連接。   在本實施例中,手機43可以透過主動掃描(scanning)或被動掃描的方式,掃描到AP設備41,並基於接入指令而接入該AP設備41,從而在手機43與AP設備41之間建立WIFI連接。   其中,接入指令可以由手機43的使用者發出,比如手機43可以示出掃描到的所有AP設備,而當該使用者選中AP設備41時,手機43可以確定接收到針對該AP設備41的接入指令。接入指令也可以由手機43自動產生,比如在先前對AP設備41的接入過程中,將接入操作設置為“自動接入”模式,那麼手機43在後續掃描到該AP設備41且未接入其他AP設備時,手機43將自動產生或判定為已產生接入指令,並自動接入該AP設備41。   步驟510,AP設備41獲取手機43的MAC位址,並向伺服器44發送關於該MAC位址的驗證請求。   步驟512,伺服器44根據記錄的映射關係,對手機43進行驗證。   在本實施例中,假定AP設備41被預先綁定至企業AA,比如由該企業AA的管理使用者在企業微信上對該AP設備41進行綁定,則伺服器44上記錄有AP設備41與企業AA之間的綁定關係,同時該伺服器44上還記錄有:該企業AA的所有關聯使用者對應的映射關係,以及各個關聯使用者的網路存取權限。   一種情況下,假定伺服器44接收到手機43的MAC位址後,並未查找到匹配於該MAC位址的映射關係,或者與匹配於該MAC位址的映射關係中,身分資訊並非企業AA的關聯使用者,那麼伺服器44可以判定該手機43沒有網路存取權限,即驗證結果為驗證失敗。   另一種情況下,假定伺服器44接收到手機43的MAC位址後,查找到匹配於該MAC位址的映射關係,且映射關係中記錄的身分資訊屬於企業AA的關聯使用者,那麼:   如果企業AA的所有關聯使用者的網路存取權限都相同,伺服器44可以判定手機43驗證通過,並向AP設備41返回相應的驗證結果,使得AP設備41開放手機43的網路存取權限,例如允許該手機43從企業AA內部對外部的公共網路進行訪問。   如果企業AA中的各類關聯使用者的網路存取權限不同,比如當企業AA中的關聯使用者包括內部成員、外部連絡人、外部訪客等多種類型時,可以進一步根據匹配於手機43的MAC位址的映射關係中記錄的身分資訊,確定該身分資訊所屬的關聯使用者類型,從而根據該關聯使用者類型對應的網路存取權限,向AP設備41返回相應的驗證結果,以使得AP設備41可以根據該驗證結果控制手機43的網路訪問操作。當然,同一類別的關聯使用者可以被進一步劃分為多個子類別,比如將內部成員進一步劃分為管理類、研發類、銷售類等,且每一子類別的關聯使用者可以具有相應的網路存取權限,而伺服器44同樣可以據此發送相應的驗證結果,此處不再贅述。   在本實施例中,伺服器44可能僅查找到一個匹配於手機43的MAC位址的映射關係,則伺服器44可以直接根據該映射關係中記錄的關聯使用者的身分資訊,對手機43進行驗證。而伺服器44也可能同時查找到多個匹配於手機43的MAC位址的映射關係,則伺服器44可以選取最近記錄的映射關係,以對手機43進行驗證。   其中,最近記錄的映射關係,即最後編輯時刻最近的映射關係,該最後編輯時刻可以為創建時刻或更新時刻。假定伺服器44接收到包含身分資訊1與MAC位址1的通告消息,在時刻1創建了身分資訊1與MAC位址1之間的映射關係1,則該映射關係1的最後編輯時刻為該創建時刻即時刻1;而當伺服器44再次接收到包含身分資訊1與MAC位址1的通告消息時,伺服器44可以在時刻2對該映射關係1的最後編輯時刻進行更新,則最後編輯時刻由創建時刻變化為更新時刻(即執行更新操作的時刻)即時刻2;類似地,當伺服器44又一次接收到包含身分資訊1與MAC位址1的通告消息時,伺服器44可以在時刻3對該映射關係1的最後編輯時刻進行更新,則最後編輯時刻由時刻2變化為更新時刻(即執行更新操作的時刻)即時刻3。   步驟514,伺服器44將驗證結果發送至AP設備41。   步驟516,AP設備41根據驗證結果對手機43進行許可權控制,以管理其網路訪問操作。   在本實施例中,驗證結果中可以包含若干許可權選項,而AP設備41可以根據該許可權選項的取值,控制手機43的網路訪問操作;其中,該許可權選項包括以下至少之一:是否具有許可權、許可權有效時長、許可權剩餘使用次數、允許訪問的網路範圍,當然還可以採用更多類型的許可權選項,本發明並不對此進行限制。   在較為簡單的許可權管理邏輯中,驗證結果可以僅包含“是否具有許可權”,比如當取值為1時表示具有許可權、取值為0時表示沒有許可權,則AP設備41可以在取值為1時,允許手機43進行完全的網路訪問操作,而當取值為0時,拒絕手機43進行任何網路訪問操作。   在較為複雜的許可權管理邏輯時,驗證結果可以同時包含多種許可權選項。例如:   當驗證結果中同時包含“是否具有許可權”、“允許訪問的網路範圍”時,如果“是否具有許可權”的取值表示具有許可權、“允許訪問的網路範圍”的取值表示內部局域網和外部公共網路,則允許手機43對內部局域網和外部公共網路進行網路訪問操作;如果“是否具有許可權”的取值表示具有許可權、“允許訪問的網路範圍”的取值表示內部局域網,則允許手機43對內部局域網進行網路訪問操作、限制手機43對外部公共網路的訪問;如果“是否具有許可權”的取值表示沒有許可權,則不論“允許訪問的網路範圍”的取值為何,均拒絕手機43進行任何網路訪問操作;其他情況不再一一贅述。   當驗證結果中同時包含“是否具有許可權”、“許可權有效時長”、“允許訪問的網路範圍”時,如果“是否具有許可權”的取值表示具有許可權、“許可權有效時長” 的取值表示未超時、“允許訪問的網路範圍”的取值表示內部局域網和外部公共網路,則允許手機43對內部局域網和外部公共網路進行網路訪問操作;如果“是否具有許可權”的取值表示具有許可權、“許可權有效時長”的取值表示已超時,則不論“允許訪問的網路範圍”的取值為何,均拒絕手機43進行任何網路訪問操作;其他情況不再一一贅述。   當然,可以透過任意多種許可權選項之間的組合應用程式,實現不同方式的許可權管理,以滿足不同場景下的許可權管理需求,此處不再一一贅述,且本發明並不對此進行限制。   在圖5所示的實施例中,手機43可以將“檢測到使用者登錄行為”作為觸發條件,向伺服器44發送通告消息,以使得伺服器44可以對手機43對應的映射關係進行創建或更新:如果使用者帳號在手機43上首次登錄(首次在手機43上登錄,但是可能已經在其他電子設備上登錄過),則伺服器44需要創建相應的映射關係,如果使用者帳號在手機43上並非首次登錄(先前已經在手機43上執行過登錄操作),則伺服器44需要對相應的映射關係進行更新(比如更新其最後編輯時刻)。   而實際上,手機43還可以基於其他條件,向伺服器44發送上述的通告消息,以確保伺服器44上記錄的映射關係保持更新。例如圖6所示,在另一示例性實施例的網路驗證方法中,該方法可以包括以下步驟:   步驟602,手機43掃描到AP設備41。   在本實施例中,手機43可以透過主動掃描(scanning)或被動掃描的方式,掃描到AP設備41,本發明並不對此進行限制。   步驟604,手機43檢測到接入指令。   在本實施例中,接入指令可以由手機43的使用者發出,比如手機43可以示出掃描到的所有AP設備,而當該使用者選中AP設備41時,手機43可以確定接收到針對該AP設備41的接入指令。接入指令也可以由手機43自動產生,比如在先前對AP設備41的接入過程中,將接入操作設置為“自動接入”模式,那麼手機43在後續掃描到該AP設備41且未接入其他AP設備時,手機43將自動產生或判定為已產生接入指令,並自動接入該AP設備41。   步驟606,手機43向伺服器44發送通告消息,該通告消息中包含已登錄帳號的身分資訊和手機43的MAC位址。   在本實施例中,由於本發明希望由AP設備41對手機43進行網路訪問的許可權管理,因而當手機43發生使用者帳號登錄時,如果並未檢測到接入指令,表明不涉及到AP設備41對手機43的許可權管理,因而手機43無需向伺服器44發送通告消息。而在手機43檢測到接入指令時,透過向伺服器44發送通告消息,使得伺服器44可以對該手機43對應的映射關係進行及時創建或更新,以確保伺服器44上記錄的映射關係為最新資料。   後續的步驟608-618,可以參考圖5所示實施例中的步驟506-516,此處不再贅述。   綜上所述,本發明基於移動化企業辦公平臺,可以在該移動化企業辦公平臺的服務端上記錄身分資訊與設備MAC位址之間的映射關係,並根據該映射關係對使用者設備的網路存取權限進行快速驗證,在確保網路資料安全性的情況下,有效簡化了驗證過程的複雜度,有助於提升驗證效率。   圖7示出了根據本發明的一示例性實施例的電子設備的示意結構圖。請參考圖7,在硬體層面,該電子設備包括處理器702、內部匯流排704、網路介面706、記憶體708以及非易失性記憶體710,當然還可能包括其他業務所需要的硬體。處理器702從非易失性記憶體710中讀取對應的電腦程式到記憶體702中然後運行,在邏輯層面上形成網路驗證裝置。當然,除了軟體實現方式之外,本發明並不排除其他實現方式,比如邏輯器件抑或軟硬體結合的方式等等,也就是說以下處理流程的執行主體並不限定於各個邏輯單元,也可以是硬體或邏輯器件。   請參考圖8,在軟體實施方式中,該網路驗證裝置可以包括請求接收單元801、驗證單元802和返回單元803。其中:   請求接收單元801,使預設移動化企業辦公平臺的服務端接收到網路設備發送的驗證請求,所述驗證請求中包含使用者設備的唯一設備標識;   驗證單元802,根據與所述網路設備存在綁定關係的預設團體,所述服務端中預先記錄的所述預設團體的關聯使用者的身分資訊與唯一設備標識之間的映射關係,以及各個身分資訊對應的網路存取權限,使所述服務端確定對所述使用者設備的唯一設備標識的驗證結果;   返回單元803,使所述服務端向所述網路設備返回所述驗證結果,以指示所述網路設備根據所述驗證結果控制所述使用者設備的網路訪問操作。   可選的,還包括:   消息接收單元804,使所述服務端接收到電子設備發送的通告消息,所述通告消息中包含所述電子設備上運行的所述移動化企業辦公平臺的使用者使用者端上登錄的身分資訊和所述電子設備的唯一設備標識;   記錄單元805,使所述服務端將所述通告消息中包含的身分資訊與唯一設備標識記錄為相應的映射關係。   可選的,還包括:   選取單元806,當存在多個對應於所述使用者設備的唯一設備標識的映射關係時,使所述服務端選取最近記錄的映射關係,以確定所述使用者設備的唯一設備標識對應的驗證結果。   可選的,所述關聯使用者包括以下至少之一:所述預設團體的內部成員、所述預設團體的外部連絡人、所述預設團體的外部訪客。   圖9示出了根據本發明的一示例性實施例的電子設備的示意結構圖。請參考圖9,在硬體層面,該電子設備包括處理器902、內部匯流排904、網路介面906、記憶體908以及非易失性記憶體910,當然還可能包括其他業務所需要的硬體。處理器902從非易失性記憶體910中讀取對應的電腦程式到記憶體902中然後運行,在邏輯層面上形成網路驗證裝置。當然,除了軟體實現方式之外,本發明並不排除其他實現方式,比如邏輯器件抑或軟硬體結合的方式等等,也就是說以下處理流程的執行主體並不限定於各個邏輯單元,也可以是硬體或邏輯器件。   請參考圖10,在軟體實施方式中,該網路驗證裝置可以包括獲取單元1001、發送單元1002和控制單元1003。其中:   獲取單元1001,當被綁定至預設團體的網路設備檢測到使用者設備接入時,使所述網路設備上運行的網路設備使用者端獲取所述使用者設備的唯一設備標識;   發送單元1002,使所述網路設備使用者端向預設移動化企業辦公平臺的服務端發送包含所述使用者設備的唯一設備標識的驗證請求,所述驗證請求用於指示所述服務端根據預儲存的所述預設團體的關聯使用者的身分資訊與唯一設備標識之間的映射關係,以及各個身分資訊對應的網路存取權限,對所述使用者設備的唯一設備標識進行驗證;   控制單元1003,使所述網路設備使用者端接收所述服務端返回的對所述使用者設備的唯一設備標識的驗證結果,並根據所述驗證結果控制所述使用者設備的網路訪問操作。   可選的,所述控制單元1003具體用於:   所述網路設備使用者端根據所述驗證結果中包含的許可權選項的取值,控制所述網路訪問操作;其中,所述許可權選項包括以下至少之一:是否具有許可權、許可權有效時長、許可權剩餘使用次數、允許訪問的網路範圍。   圖11示出了根據本發明的一示例性實施例的電子設備的示意結構圖。請參考圖11,在硬體層面,該電子設備包括處理器1102、內部匯流排1104、網路介面1106、記憶體1108以及非易失性記憶體1110,當然還可能包括其他業務所需要的硬體。處理器1102從非易失性記憶體1110中讀取對應的電腦程式到記憶體1102中然後運行,在邏輯層面上形成網路驗證裝置。當然,除了軟體實現方式之外,本發明並不排除其他實現方式,比如邏輯器件抑或軟硬體結合的方式等等,也就是說以下處理流程的執行主體並不限定於各個邏輯單元,也可以是硬體或邏輯器件。   請參考圖12,在軟體實施方式中,該網路驗證裝置可以包括確定單元1201和發送單元1202。其中:   確定單元1201,使電子設備上運行的預設移動化企業辦公平臺的使用者使用者端確定已登錄使用者的身分資訊;   發送單元1202,使所述使用者使用者端向所述移動化企業辦公平臺的服務端發送通告消息,所述通告消息中包含所述身分資訊與所述電子設備的唯一設備標識,以由所述服務端記錄所述身分資訊與所述電子設備之間的映射關係;其中,所述映射關係用於指示所述服務端將所述身分資訊在預設團體中的網路存取權限適用於所述電子設備,以控制所述電子設備基於所述預設團體下的網路設備實現的網路訪問操作。   可選的,所述發送單元1202透過以下方式中至少之一,使使用者使用者端向所述移動化企業辦公平臺的服務端發送通告消息:   當所述使用者使用者端檢測到使用者登錄行為時,發送所述通告消息;   當所述使用者使用者端檢測到針對任一網路設備的接入指令時,發送所述通告消息。   上述實施例闡明的系統、裝置、模組或單元,具體可以由電腦晶片或實體實現,或者由具有某種功能的產品來實現。一種典型的實現設備為電腦,電腦的具體形式可以是個人電腦、膝上型電腦、蜂窩電話、相機電話、智慧型電話、個人數位助理、媒體播放機、導航設備、電子郵件收發設備、遊戲控制台、平板電腦、可穿戴設備或者這些設備中的任意幾種設備的組合。   在一個典型的配置中,電腦包括一個或多個處理器 (CPU)、輸入/輸出介面、網路介面和記憶體。   記憶體可能包括電腦可讀媒體中的非永久性記憶體,隨機存取記憶體 (RAM) 和/或非易失性記憶體等形式,如唯讀記憶體 (ROM) 或快閃記憶體(flash RAM)。記憶體是電腦可讀媒體的示例。   電腦可讀媒體包括永久性和非永久性、可移動和非可移動媒體可以由任何方法或技術來實現資訊儲存。資訊可以是電腦可讀指令、資料結構、程式的模組或其他資料。電腦的儲存媒體的例子包括,但不限於相變記憶體 (PRAM)、靜態隨機存取記憶體 (SRAM)、動態隨機存取記憶體 (DRAM)、其他類型的隨機存取記憶體 (RAM)、唯讀記憶體 (ROM)、電可擦除可程式設計唯讀記憶體 (EEPROM)、快閃記憶體或其他記憶體技術、唯讀光碟唯讀記憶體 (CD-ROM)、數位多功能光碟 (DVD) 或其他光學儲存、磁盒式磁帶,磁帶磁磁片儲存或其他磁性存放裝置或任何其他非傳輸媒體,可用於儲存可以被計算設備訪問的資訊。按照本文中的界定,電腦可讀媒體不包括暫存電腦可讀媒體 (transitory media),如調變的資料信號和載波。   還需要說明的是,術語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程、方法、商品或者設備不僅包括那些要素,而且還包括沒有明確列出的其他要素,或者是還包括為這種過程、方法、商品或者設備所固有的要素。在沒有更多限制的情況下,由語句“包括一個……”限定的要素,並不排除在包括所述要素的過程、方法、商品或者設備中還存在另外的相同要素。   這裡將詳細地對示例性實施例進行說明,其示例表示在圖式中。下面的描述涉及圖式時,除非另有表示,不同圖式中的相同數字表示相同或相似的要素。以下示例性實施例中所描述的實施方式並不代表與本發明相一致的所有實施方式。相反,它們僅是與如申請專利範圍中所詳述的、本發明的一些方面相一致的裝置和方法的例子。   在本發明使用的術語是僅僅出於描述特定實施例的目的,而非旨在限制本發明。在本發明和申請專利範圍中所使用的單數形式的“一種”、“所述”和“該”也旨在包括多數形式,除非上下文清楚地表示其他含義。還應當理解,本文中使用的術語“和/或”是指並包含一個或多個相關聯的列出專案的任何或所有可能組合。   應當理解,儘管在本發明可能採用術語第一、第二、第三等來描述各種資訊,但這些資訊不應限於這些術語。這些術語僅用來將同一類型的資訊彼此區分開。例如,在不脫離本發明範圍的情況下,第一資訊也可以被稱為第二資訊,類似地,第二資訊也可以被稱為第一資訊。取決於語境,如在此所使用的詞語“如果”可以被解釋成為“在……時”或“當……時”或“回應於確定”。   以上所述僅為本發明的較佳實施例而已,並不用以限制本發明,凡在本發明的精神和原則之內,所做的任何修改、等同替換、改進等,均應包含在本發明保護的範圍之內。
40‧‧‧範圍
41‧‧‧AP設備
42‧‧‧辦公區域
43‧‧‧手機
44‧‧‧伺服器
702‧‧‧處理器
704‧‧‧內部匯流排
706‧‧‧網路介面
708‧‧‧記憶體
710‧‧‧非易失性記憶體
801‧‧‧請求接收單元
802‧‧‧驗證單元
803‧‧‧返回單元
804‧‧‧消息接收單元
805‧‧‧記錄單元
806‧‧‧選取單元
902‧‧‧處理器
904‧‧‧內部匯流排
906‧‧‧網路介面
908‧‧‧記憶體
910‧‧‧非易失性記憶體
1001‧‧‧獲取單元
1002‧‧‧發送單元
1003‧‧‧控制單元
1102‧‧‧處理器
1104‧‧‧內部匯流排
1106‧‧‧網路介面
1108‧‧‧記憶體
1110‧‧‧非易失性記憶體
1201‧‧‧確定單元
1202‧‧‧發送單元
圖1是本發明一示例性實施例提供的一種基於服務端側的網路驗證方法的流程圖。   圖2是本發明一示例性實施例提供的一種基於網路設備使用者端側的網路驗證方法的流程圖。   圖3是本發明一示例性實施例提供的一種基於使用者使用者端側的網路驗證方法的流程圖。   圖4是本發明一示例性實施例提供的一種應用網路設備的場景示意圖。   圖5是本發明一示例性實施例提供的一種網路驗證方法的流程圖。   圖6是本發明一示例性實施例提供的另一種網路驗證方法的流程圖。   圖7是本發明一示例性實施例提供的一種基於服務端側的電子設備的結構示意圖。   圖8是本發明一示例性實施例提供的一種基於服務端側的網路驗證裝置的方塊圖。   圖9是本發明一示例性實施例提供的一種基於網路設備使用者端側的電子設備的結構示意圖。   圖10是本發明一示例性實施例提供的一種基於網路設備使用者端側的網路驗證裝置的方塊圖。   圖11是本發明一示例性實施例提供的一種基於使用者使用者端側的電子設備的結構示意圖。   圖12是本發明一示例性實施例提供的一種基於使用者使用者端側的網路驗證裝置的方塊圖。

Claims (16)

  1. 一種網路驗證方法,其特徵在於,包括:   預設即時通訊應用程式的服務端接收到網路設備發送的驗證請求,該驗證請求中包含使用者設備的唯一設備標識;   根據與該網路設備存在綁定關係的預設團體,該服務端中預先記錄的該預設團體的關聯使用者的身分資訊與唯一設備標識之間的映射關係,以及各個身分資訊對應的網路存取權限,該服務端確定對該使用者設備的唯一設備標識的驗證結果;   該服務端向該網路設備返回該驗證結果,以指示該網路設備根據該驗證結果控制該使用者設備的網路訪問操作。
  2. 根據申請專利範圍第1項的方法,其中,還包括:   該服務端接收到電子設備發送的通告消息,該通告消息中包含該電子設備上運行的該即時通訊應用程式的使用者使用者端上登錄的身分資訊和該電子設備的唯一設備標識;   該服務端將該通告消息中包含的身分資訊與唯一設備標識記錄為相應的映射關係。
  3. 根據申請專利範圍第1項的方法,其中,還包括:   當存在多個對應於該使用者設備的唯一設備標識的映射關係時,該服務端選取最近記錄的映射關係,以確定該使用者設備的唯一設備標識對應的驗證結果。
  4. 根據申請專利範圍第1項的方法,其中,該關聯使用者包括以下至少之一:該預設團體的內部成員、該預設團體的外部連絡人、該預設團體的外部訪客。
  5. 一種網路驗證方法,其特徵在於,包括:   當被綁定至預設團體的網路設備檢測到使用者設備接入時,該網路設備上運行的網路設備使用者端獲取該使用者設備的唯一設備標識;   該網路設備使用者端向預設即時通訊應用程式的服務端發送包含該使用者設備的唯一設備標識的驗證請求,該驗證請求用於指示該服務端根據預儲存的該預設團體的關聯使用者的身分資訊與唯一設備標識之間的映射關係,以及各個身分資訊對應的網路存取權限,對該使用者設備的唯一設備標識進行驗證;   該網路設備使用者端接收該服務端返回的對該使用者設備的唯一設備標識的驗證結果,並根據該驗證結果控制該使用者設備的網路訪問操作。
  6. 根據申請專利範圍第5項的方法,其中,該根據該驗證結果控制該使用者設備的網路訪問操作,包括:   該網路設備使用者端根據該驗證結果中包含的許可權選項的取值,控制該網路訪問操作;其中,該許可權選項包括以下至少之一:是否具有許可權、許可權有效時長、許可權剩餘使用次數、允許訪問的網路範圍。
  7. 一種網路驗證方法,其特徵在於,包括:   電子設備上運行的預設即時通訊應用程式的使用者使用者端確定已登錄使用者的身分資訊;   該使用者使用者端向該即時通訊應用程式的服務端發送通告消息,該通告消息中包含該身分資訊與該電子設備的唯一設備標識,以由該服務端記錄該身分資訊與該電子設備之間的映射關係;其中,該映射關係用於指示該服務端將該身分資訊在預設團體中的網路存取權限適用於該電子設備,以控制該電子設備基於該預設團體下的網路設備實現的網路訪問操作。
  8. 根據申請專利範圍第7項的方法,其中,該使用者使用者端向該即時通訊應用程式的服務端發送通告消息,包括以下至少之一:   當該使用者使用者端檢測到使用者登錄行為時,發送該通告消息;   當該使用者使用者端檢測到針對任一網路設備的接入指令時,發送該通告消息。
  9. 一種網路驗證裝置,其特徵在於,包括:   請求接收單元,使預設即時通訊應用程式的服務端接收到網路設備發送的驗證請求,該驗證請求中包含使用者設備的唯一設備標識;   驗證單元,根據與該網路設備存在綁定關係的預設團體,該服務端中預先記錄的該預設團體的關聯使用者的身分資訊與唯一設備標識之間的映射關係,以及各個身分資訊對應的網路存取權限,使該服務端確定對該使用者設備的唯一設備標識的驗證結果;   返回單元,使該服務端向該網路設備返回該驗證結果,以指示該網路設備根據該驗證結果控制該使用者設備的網路訪問操作。
  10. 根據申請專利範圍第9項的裝置,其中,還包括:   消息接收單元,使該服務端接收到電子設備發送的通告消息,該通告消息中包含該電子設備上運行的該即時通訊應用程式的使用者使用者端上登錄的身分資訊和該電子設備的唯一設備標識;   記錄單元,使該服務端將該通告消息中包含的身分資訊與唯一設備標識記錄為相應的映射關係。
  11. 根據申請專利範圍第9項的裝置,其中,還包括:   選取單元,當存在多個對應於該使用者設備的唯一設備標識的映射關係時,使該服務端選取最近記錄的映射關係,以確定該使用者設備的唯一設備標識對應的驗證結果。
  12. 根據申請專利範圍第9項的裝置,其中,該關聯使用者包括以下至少之一:該預設團體的內部成員、該預設團體的外部連絡人、該預設團體的外部訪客。
  13. 一種網路驗證裝置,其特徵在於,包括:   獲取單元,當被綁定至預設團體的網路設備檢測到使用者設備接入時,使該網路設備上運行的網路設備使用者端獲取該使用者設備的唯一設備標識;   發送單元,使該網路設備使用者端向預設即時通訊應用程式的服務端發送包含該使用者設備的唯一設備標識的驗證請求,該驗證請求用於指示該服務端根據預儲存的該預設團體的關聯使用者的身分資訊與唯一設備標識之間的映射關係,以及各個身分資訊對應的網路存取權限,對該使用者設備的唯一設備標識進行驗證;   控制單元,使該網路設備使用者端接收該服務端返回的對該使用者設備的唯一設備標識的驗證結果,並根據該驗證結果控制該使用者設備的網路訪問操作。
  14. 根據申請專利範圍第13項的裝置,其中,該控制單元具體用於:   該網路設備使用者端根據該驗證結果中包含的許可權選項的取值,控制該網路訪問操作;其中,該許可權選項包括以下至少之一:是否具有許可權、許可權有效時長、許可權剩餘使用次數、允許訪問的網路範圍。
  15. 一種網路驗證裝置,其特徵在於,包括:   確定單元,使電子設備上運行的預設即時通訊應用程式的使用者使用者端確定已登錄使用者的身分資訊;   發送單元,使該使用者使用者端向該即時通訊應用程式的服務端發送通告消息,該通告消息中包含該身分資訊與該電子設備的唯一設備標識,以由該服務端記錄該身分資訊與該電子設備之間的映射關係;其中,該映射關係用於指示該服務端將該身分資訊在預設團體中的網路存取權限適用於該電子設備,以控制該電子設備基於該預設團體下的網路設備實現的網路訪問操作。
  16. 根據申請專利範圍第15項的裝置,其中,該發送單元透過以下方式中至少之一,使使用者使用者端向該即時通訊應用程式的服務端發送通告消息:   當該使用者使用者端檢測到使用者登錄行為時,發送該通告消息;   當該使用者使用者端檢測到針對任一網路設備的接入指令時,發送該通告消息。
TW106138088A 2017-01-19 2017-11-03 網路驗證方法及裝置 TWI745473B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
??201710039832.8 2017-01-19
CN201710039832.8 2017-01-19
CN201710039832.8A CN108337677B (zh) 2017-01-19 2017-01-19 网络鉴权方法及装置

Publications (2)

Publication Number Publication Date
TW201828645A true TW201828645A (zh) 2018-08-01
TWI745473B TWI745473B (zh) 2021-11-11

Family

ID=62908432

Family Applications (1)

Application Number Title Priority Date Filing Date
TW106138088A TWI745473B (zh) 2017-01-19 2017-11-03 網路驗證方法及裝置

Country Status (5)

Country Link
US (1) US20190342289A1 (zh)
CN (1) CN108337677B (zh)
SG (2) SG11201906323PA (zh)
TW (1) TWI745473B (zh)
WO (1) WO2018133683A1 (zh)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11049032B2 (en) * 2017-08-24 2021-06-29 Facebook, Inc. Determining correlations between types of user identifying information maintained by an online system
CN110972093B (zh) * 2018-09-28 2023-10-24 贵州白山云科技股份有限公司 一种移动办公实现方法及系统
US20200106773A1 (en) * 2018-09-29 2020-04-02 Fortinet, Inc. Device integration for a network access control server based on device mappings and testing verification
CN111464479B (zh) * 2019-01-18 2022-03-25 千寻位置网络有限公司 终端设备用户身份的识别方法及系统
CN111756721B (zh) * 2020-06-18 2023-04-25 赵旭华 一种关联认证方法、装置、iam服务器及可读存储介质
CN111737717B (zh) * 2020-06-28 2024-04-09 深信服科技股份有限公司 一种权限管控方法、系统、设备及计算机可读存储介质
US20220141658A1 (en) * 2020-11-05 2022-05-05 Visa International Service Association One-time wireless authentication of an internet-of-things device
WO2022104806A1 (zh) * 2020-11-23 2022-05-27 Oppo广东移动通信有限公司 异构网络设备的控制方法、装置、设备及存储介质
CN112637378B (zh) * 2020-12-23 2023-02-03 携程旅游信息技术(上海)有限公司 基于用户的网络地址关联方法、系统、设备及存储介质
CN113034771B (zh) * 2021-03-12 2023-06-02 浙江大华技术股份有限公司 基于人脸识别的过闸方法、装置、设备及计算机存储介质
CN113746684B (zh) * 2021-09-18 2022-10-21 中国工商银行股份有限公司 一种网络设备纳管方法、装置、计算机设备及存储介质
CN114666129B (zh) * 2022-03-23 2024-02-20 深圳供电局有限公司 网络安全认证方法、系统、计算机设备、存储介质
CN114745169A (zh) * 2022-04-06 2022-07-12 北京天融信网络安全技术有限公司 基于nat映射的多端口访问方法、装置、设备、介质和产品
CN115495716B (zh) * 2022-08-15 2023-10-10 荣耀终端有限公司 一种本地鉴权方法和电子设备

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7185360B1 (en) * 2000-08-01 2007-02-27 Hereuare Communications, Inc. System for distributed network authentication and access control
JP2005204189A (ja) * 2004-01-19 2005-07-28 Hitachi Communication Technologies Ltd アクセスユーザ管理システム、アクセスユーザ管理装置
TW201121280A (en) * 2009-12-10 2011-06-16 Mao-Cong Lin Network security verification method and device and handheld electronic device verification method.
CN102404738B (zh) * 2010-09-14 2014-01-08 中国移动通信集团山东有限公司 一种接入、退出wlan网络的方法、系统及认证服务器
CN104104654B (zh) * 2013-04-07 2018-02-23 阿里巴巴集团控股有限公司 一种设置Wifi访问权限、Wifi认证的方法和设备
US9178889B2 (en) * 2013-09-27 2015-11-03 Paypal, Inc. Systems and methods for pairing a credential to a device identifier
CN104519020B (zh) * 2013-09-29 2017-10-13 阿里巴巴集团控股有限公司 管理无线网络登录密码分享功能的方法、服务器及系统
CN105307169B (zh) * 2015-09-18 2018-12-28 腾讯科技(深圳)有限公司 访客网络的接入方法、装置和系统

Also Published As

Publication number Publication date
CN108337677A (zh) 2018-07-27
SG10202107770WA (en) 2021-09-29
SG11201906323PA (en) 2019-08-27
WO2018133683A1 (zh) 2018-07-26
TWI745473B (zh) 2021-11-11
CN108337677B (zh) 2020-10-09
US20190342289A1 (en) 2019-11-07

Similar Documents

Publication Publication Date Title
TWI745473B (zh) 網路驗證方法及裝置
US11075903B2 (en) Facilitation of service login
US10693885B2 (en) Social networking behavior-based identity system
US20200304485A1 (en) Controlling Access to Resources on a Network
US11283805B2 (en) Cloud device account configuration method, apparatus and system, and data processing method
US9800573B1 (en) Authentication on a computing device
US9819668B2 (en) Single sign on for native and wrapped web resources on mobile devices
US8799309B2 (en) Verifying network delivery of information to a device based on physical characteristics
TWI761385B (zh) 設備配置方法及裝置、系統
WO2014032241A1 (zh) 终端控制方法和装置、以及终端
CN104159225A (zh) 一种基于无线网络的实名制管理方法及系统
US10757092B2 (en) Controlling access to personal data
US11245577B2 (en) Template-based onboarding of internet-connectible devices
CN108881218B (zh) 一种基于云存储管理平台的数据安全增强方法及系统
CN113542201A (zh) 一种用于互联网业务的访问控制方法与设备
US20190286678A1 (en) Resource distribution based upon search signals
US11700280B2 (en) Multi-tenant authentication framework
EP4085592A1 (en) Security protection of association between a user device and a user
WO2018010256A1 (zh) 一种wifi共享的方法和装置
US12003512B2 (en) Limiting discovery of a protected resource in a zero trust access model
US10819707B1 (en) Systems and methods for validating a user's physical location
KR102303754B1 (ko) 사용자 인증을 지원하는 방법, 시스템 및 비일시성의 컴퓨터 판독 가능 기록 매체
US20230208803A1 (en) Ip address control system
CN114584967A (zh) 数据管理方法、装置、系统及计算机可读存储介质
CN116318810A (zh) 基于分布式结构的多网域、多租户认证方法、系统及介质