WO2023151445A1

WO2023151445A1 - 信息处理方法、网关和通信系统

Info

Publication number: WO2023151445A1
Application number: PCT/CN2023/071565
Authority: WO
Inventors: 卢梭; 刘少华; 孙秉乾
Original assignee: 北京沃东天骏信息技术有限公司; 北京京东世纪贸易有限公司
Priority date: 2022-02-08
Filing date: 2023-01-10
Publication date: 2023-08-17
Also published as: CN114500066A

Abstract

本公开提供一种信息处理方法、网关和通信系统。信息处理方法包括：在接收到用户终端发送的连接建立请求后，在网关和用户终端之间建立TCP连接；将第一检验请求发送给安全服务器，以便安全服务器检验第一检验请求中包括的身份信息和用户终端的终端特征是否与用户终端绑定；若接收到安全服务器发送的绑定成功消息，将认证成功消息发送给用户终端，以便用户终端通过网关与业务服务器交互。

Description

信息处理方法、网关和通信系统

相关申请的交叉引用

本公开是以CN申请号为202210118526.4，申请日为2022年2月8日的申请为基础，并主张其优先权，该CN申请的公开内容在此作为整体引入本公开中。

技术领域

本公开涉及信息处理领域，特别涉及一种信息处理方法、网关和通信系统。

背景技术

目前，电子邮件最常用的身份认证方式是利用邮箱账号密码进行身份认证。为了避免账号密码被非法盗取，邮件提供商通过采用诸如MFA(Multi Factor Authentication，多因子认证)的安全级别更高的认证方式进行身份认证，以提高信息安全性。

发明内容

根据本公开实施例的第一方面，提供一种信息处理方法，由网关执行，包括：在接收到用户终端发送的连接建立请求后，在所述网关和所述用户终端之间建立TCP连接；将第一检验请求发送给安全服务器，以便所述安全服务器检验所述第一检验请求中包括的所述身份信息和所述用户终端的终端特征是否与所述用户终端绑定；若接收到所述安全服务器发送的绑定成功消息，将所述认证成功消息发送给所述用户终端，以便所述用户终端通过所述网关与所述业务服务器交互。

在一些实施例中，在将第一检验请求发送给安全服务器之前，还包括：将所述连接建立请求发送给业务服务器，以便所述业务服务器对所述连接建立请求中包括的身份信息进行认证；若接收到所述业务服务器发送的认证成功消息，将所述第一检验请求发送给所述安全服务器。

在一些实施例中，若接收到所述安全服务器发送的绑定失败消息，则关闭所述TCP连接。

在一些实施例中，在接收到所述安全服务器发送的绑定成功消息后，启动定时器，所述定时器具有预设的定时时长；在所述定时器超时后，将所述第一检验请求发送给所述安全服务器。

在一些实施例中，在接收到所述用户终端发送的连接建立请求后，将第二检验请求发送给所述安全服务器，以便所述安全服务器根据所述第二检验请求中包括的所述身份信息和所述终端特征判断是否存在安全风险；若接收到所述安全服务器发送的无安全风险指示消息，则在所述网关和所述用户终端之间建立所述TCP连接。

在一些实施例中，若接收到所述安全服务器发送的安全风险指示消息，则拒绝所述连接建立请求。

在一些实施例中，在所述网关和所述用户终端之间建立TCP连接包括：从连接池中选择一个未被其它用户使用的TCP连接信息，以便在所述网关和所述用户终端之间建立TCP连接。

在一些实施例中，所述用户终端的终端特征包括所述用户终端的IP地址，设备唯一标识和用户代理中的至少一项。

根据本公开实施例的第二方面，提供一种网关，包括：连接建立模块，被配置为在接收到用户终端发送的连接建立请求后，在所述网关和所述用户终端之间建立TCP连接；第一信息处理模块，被配置为将第一检验请求发送给安全服务器，以便所述安全服务器检验所述第一检验请求中包括的所述身份信息和所述终端特征是否与所述用户终端绑定；第二信息处理模块，被配置为若接收到所述安全服务器发送的绑定成功消息，将所述认证成功消息发送给所述用户终端，以便所述用户终端通过所述网关与所述业务服务器交互。

根据本公开实施例的第三方面，提供一种网关，包括：存储器，被配置为存储指令；处理器，耦合到存储器，处理器被配置为基于存储器存储的指令执行实现如上述任一实施例所述的方法。

根据本公开实施例的第四方面，提供一种通信系统，包括：如上述任一实施例所述的网关；安全服务器，被配置为在接收到所述网关发送的第一检验请求后，检验所述第一检验请求中包括的身份信息和用户终端的终端特征是否与所述用户终端绑定，若所述身份信息和所述终端特征与所述用户终端成功绑定，则向所述网关发送绑定成功消息。

在一些实施例中，通信系统还包括：业务服务器，被配置为在接收到所述网关发送的连接建立请求后，对所述连接建立请求中包括的身份信息进行认证，并在认证成功后向所述网关发送认证成功消息。

在一些实施例中，安全服务器被配置为若所述身份信息和所述终端特征与所述用户终端未成功绑定，则向所述网关发送绑定失败消息，对所述用户终端进行安全认证，在安全认证通过后将所述身份信息和所述终端特征与所述用户终端进行绑定，并向所述用户终端发送连接指示，以便所述用户终端重新向所述网关发送连接建立请求。

在一些实施例中，所述安全认证为多因子认证。

在一些实施例中，安全服务器被配置为在接收到所述网关发送的第二检验请求后，根据所述第二检验请求中包括的所述身份信息和所述终端特征判断是否存在安全风险，若所述身份信息和所述终端特征没有安全风险，则向所述网关发送无安全风险指示消息。

在一些实施例中，安全服务器被配置为若所述身份信息或所述终端特征有安全风险，则向所述网关发送安全风险指示消息。

根据本公开实施例的第五方面，提供一种计算机可读存储介质，其中，计算机可读存储介质存储有计算机指令，指令被处理器执行时实现如上述任一实施例涉及的方法。

通过以下参照附图对本公开的示例性实施例的详细描述，本公开的其它特征及其优点将会变得清楚。

附图说明

构成说明书的一部分的附图描述了本公开的实施例，并且连同说明书一起用于解释本公开的原理。

参照附图，根据下面的详细描述，可以更加清楚地理解本公开，其中：

图1为本公开一个实施例的信息处理方法的流程示意图；

图2为本公开一个实施例的网关的结构示意图；

图3为本公开另一个实施例的网关的结构示意图；

图4为本公开一个实施例的通信系统的结构示意图。

应当明白，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。此外，相同或类似的参考标号表示相同或类似的构件。

具体实施方式

下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本公开一部分实施例，而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本公开及其应用或使用的任何限制。基于本公开中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。

除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。

同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。

对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。

在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。

发明人注意到，由于邮件提供商将安全级别更高的认证方式绑定在自己的平台上，因此无法为第三方提供的邮件客户端提供安全服务。

据此，本公开提供一种信息处理方案，能够为第三方提供的邮件客户端提供安全服务。

图1为本公开一个实施例的信息处理方法的流程示意图。在一些实施例中，下列的信息处理方法由网关执行。

在步骤101，在接收到用户终端发送的连接建立请求后，在网关和用户终端之间建立TCP(Transmission Control Protocol，传输控制协议)连接。

在一些实施例中，网关在接收到用户终端发送的连接建立请求后，将第二检验请求发送给安全服务器，以便安全服务器根据第二检验请求中包括的身份信息和终端特征判断是否存在安全风险。由此可过滤出暴力破解、撞库、恶意IP等非法请求。若接收到安全服务器发送的无安全风险指示消息，则在网关和用户终端之间建立TCP连接。

在一些实施例中，用户终端的终端特征包括用户终端的IP地址，设备唯一标识和用户代理中的至少一项。

在一些实施例中，网关从连接池中选择一个未被其它用户使用的TCP连接信息，以便在网关和用户终端之间建立TCP连接。由此可有效避免因不同用户使用同一TCP连接而造成的信息泄露。

在一些实施例中，若接收到安全服务器发送的安全风险指示消息，则拒绝连接建立请求，以便有效拒绝有安全风险的请求。

在一些实施例中，上述网关为邮件网关。邮件网关在接收到连接建立请求后，通过对连接建立请求进行协议分析以确定所使用的邮件协议，并提取出相关的身份信息，例如帐号信息等。

在步骤102，将第一检验请求发送给安全服务器，以便安全服务器检验第一检验请求中包括的身份信息和用户终端的终端特征是否与用户终端绑定。

在一些实施例中，上述步骤102包括：将连接建立请求发送给业务服务器，以便业务服务器对连接建立请求中包括的身份信息进行认证。若接收到业务服务器发送的认证成功消息，将第一检验请求发送给安全服务器。

在一些实施例中，业务服务器在接收到网关发送的连接建立请求后，对连接建立请求中包括的身份信息进行认证，并在认证成功后向网关发送认证成功消息。

在一些实施例中，业务服务器为邮件服务器。

这里需要说明的是，由于安全服务器是与业务服务器分立设置的，因此安全服务器能够为第三方提供的邮件客户端提供安全服务。

在步骤103，若接收到安全服务器发送的绑定成功消息，将认证成功消息发送给用户终端，以便用户终端通过网关与业务服务器交互。

在一些实施例中，若网关接收到安全服务器发送的绑定失败消息，则关闭TCP连接。

需要说明的是，安全服务器在身份信息和终端特征与用户终端未成功绑定的情况下，向网关发送绑定失败消息，以便网关关闭已经建立的TCP连接。此外，安全服务器对用户终端进行安全认证，在安全认证通过后将身份信息和终端特征与用户终端进行绑定，并向用户终端发送连接指示，以便用户终端重新向网关发送连接建立请求。

在本公开上述实施例提供的信息处理方法中，通过利用与业务服务器分立设置的安全服务器进行安全认证，从而能够为第三方提供的邮件客户端提供安全服务。

在一些实施例中，网关在接收到安全服务器发送的绑定成功消息后，启动定时器，定时器具有预设的定时时长。在定时器超时后，将第一检验请求发送给安全服务器。

也就是说，为了确保安全，网关每隔一段时间(例如半小时)，会将相关的身份信息和用户终端特征发送给安全服务器重新进行安全检测，从而有效防止密码泄露、账号冒用等安全问题。

图2为本公开一个实施例的网关的结构示意图。如图2所示，网关包括连接建立模块21、第一信息处理模块22和第二信息处理模块23。

连接建立模块21被配置为在接收到用户终端发送的连接建立请求后，在网关和用户终端之间建立TCP连接。

在一些实施例中，连接建立模块21在接收到用户终端发送的连接建立请求后，将第二检验请求发送给安全服务器，以便安全服务器根据第二检验请求中包括的身份信息和终端特征判断是否存在安全风险。由此可过滤出暴力破解、撞库、恶意IP等非法请求。若接收到安全服务器发送的无安全风险指示消息，则在网关和用户终端之间建立TCP连接。

在一些实施例中，连接建立模块21从连接池中选择一个未被其它用户使用的TCP连接信息，以便在网关和用户终端之间建立TCP连接。由此可有效避免因不同用户使用同一TCP连接而造成的信息泄露。

在一些实施例中，若连接建立模块21接收到安全服务器发送的安全风险指示消息，则拒绝连接建立请求，以便有效拒绝有安全风险的请求。

在一些实施例中，上述网关为邮件网关。连接建立模块21在接收到连接建立请求后，通过对连接建立请求进行协议分析以确定所使用的邮件协议，并提取出相关的身份信息，例如帐号信息等。

第一信息处理模块22被配置为将第一检验请求发送给安全服务器，以便安全服务器检验第一检验请求中包括的身份信息和终端特征是否与用户终端绑定。

在一些实施例中，第一信息处理模块22将连接建立请求发送给业务服务器，以便业务服务器对所述连接建立请求中包括的身份信息进行认证。第一信息处理模块22在接收到业务服务器发送的认证成功消息后，将第一检验请求发送给安全服务器。

在一些实施例中，业务服务器在接收到网关发送的连接建立请求后，对连接建立请求中包括的身份信息进行认证，并在认证成功后向第一信息处理模块22发送认证成功消息。

在一些实施例中，业务服务器为邮件服务器。

第二信息处理模块23被配置为若接收到安全服务器发送的绑定成功消息，将认证成功消息发送给用户终端，以便用户终端通过网关与业务服务器交互。

在一些实施例中，若第二信息处理模块23接收到安全服务器发送的绑定失败消息，则关闭TCP连接。

图3为本公开另一个实施例的网关的结构示意图。如图3所示，网关包括存储器31和处理器32。

存储器31用于存储指令，处理器32耦合到存储器31，处理器32被配置为基于存储器存储的指令执行实现如图1中任一实施例涉及的方法。

如图3所示，该网关还包括通信接口33，用于与其它设备进行信息交互。同时，该网关还包括总线34，处理器32、通信接口33、以及存储器31通过总线34完成相互间的通信。

存储器31可以包含高速RAM存储器，也可还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。存储器31也可以是存储器阵列。存储器31还可能被分块，并且块可按一定的规则组合成虚拟卷。

此外，处理器32可以是一个中央处理器CPU，或者可以是专用集成电路ASIC，或是被配置成实施本公开实施例的一个或多个集成电路。

本公开同时还涉及一种计算机可读存储介质，其中计算机可读存储介质存储有计算机指令，指令被处理器执行时实现如图1中任一实施例涉及的方法。

图4为本公开一个实施例的通信系统的结构示意图。如图4所示，通信系统包括网关41、安全服务器43和用户终端44。网关41为图2或图3中任一实施例涉及的网关。

例如，网关41为邮件网关，业务服务器42为邮件服务器。

安全服务器43被配置为在接收到网关41发送的第一检验请求后，检验第一检验请求中包括的身份信息和用户终端的终端特征是否与用户终端绑定，若身份信息和终端特征与用户终端成功绑定，则向网关41发送绑定成功消息。

在一些实施例中，如图4所示，通信系统还包括业务服务器42。

业务服务器42被配置为在接收到网关41发送的连接建立请求后，对连接建立请求中包括的身份信息进行认证，并在认证成功后向网关41发送认证成功消息。

安全服务器43被配置为在接收到网关41发送的第一检验请求后，检验第一检验请求中包括的身份信息和用户终端的终端特征是否与用户终端绑定。

在一些实施例中，安全服务器43被配置为若身份信息和终端特征与用户终端未成功绑定，则向网关41发送绑定失败消息，对用户终端44进行安全认证，例如安全认证为MFA认证，在安全认证通过后将身份信息和终端特征与用户终端进行绑定，并向用户终端41发送连接指示，以便用户终端44重新向网关41发送连接建立请求。

在一些实施例中，安全服务器43被配置为在接收到网关41发送的第二检验请求后，根据第二检验请求中包括的身份信息和终端特征判断是否存在安全风险，若身份信息和终端特征没有安全风险，则向网关发送无安全风险指示消息。

在一些实施例中，安全服务器43被配置为若身份信息或终端特征有安全风险，则向网关41发送安全风险指示消息。

下面通过一个具体示例对本公开方案进行说明，如图4所示：

1、用户终端44向网关41发送连接建立请求。

2、网关41在接收到连接建立请求后，将风险检验请求发送给安全服务器43。

3、安全服务器43根据风险检验请求中包括的身份信息和用户终端的终端特征判断是否存在安全风险。若身份信息和用户终端的终端特征不存在安全风险，则向网关41发送无安全风险指示消息。

4、网关41在接收到无安全风险指示消息后，在网关41和用户终端44之间建立TCP连接。

5、网关41将连接建立请求发送给业务服务器42。

6、业务服务器42对连接建立请求中包括的身份信息进行认证，并在认证成功后向网关41发送认证成功消息。

7、网关41在接收到认证成功消息后，将绑定检测请求发送给安全服务器43。

8、安全服务器43检验第一检验请求中包括的身份信息和用户终端的终端特征是否与用户终端绑定。

若身份信息和用户终端的终端特征与用户终端绑定，则执行步骤9；否则执行步骤11。

9、安全服务器43将绑定成功消息发送给网关41。

10、网关41在接收到绑定成功消息后，将认证成功消息发送给用户终端44，以便用户终端44通过网关41与业务服务器42交互。

需要说明的是，网关41预先与业务服务器42建立TCP连接，由此通过利用网关41和用户终端44之间的TCP连接，以及网关41与业务服务器42之间的TCP连接，在用户终端44和业务服务器42之间实现邮件收发。

11、安全服务器43将绑定失败消息发送给网关41，以便网关41关闭网关41和用户终端44之间的TCP连接。

12、安全服务器43对用户终端进行安全认证，在安全认证通过后将身份信息和终端特征与用户终端进行绑定，并向用户终端44发送连接指示，以便用户终端44重新向网关41发送连接建立请求。

通过实施本公开，能够得到以下有益效果：

1)无需修改邮件客户端或服务端、或改变协议，使得安全检测与认证可以无缝接入；

2)实现多协议识别，具备扩展性；

3)安全检测与认证是实时处理的，非异步或旁路处理，因此不会漏过风险；

4)不对邮件内容做处理，有效保护数据隐私。

在一些实施例中，在上面所描述的功能单元模块可以实现为用于执行本公开所描述功能的通用处理器、可编程逻辑控制器(Programmable Logic Controller，简称：PLC)、数字信号处理器(Digital Signal Processor，简称：DSP)、专用集成电路(Application Specific Integrated Circuit，简称：ASIC)、现场可编程门阵列(Field-Programmable Gate Array，简称：FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意适当组合。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

本公开的描述是为了示例和描述起见而给出的，而并不是无遗漏的或者将本公开限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本公开的原理和实际应用，并且使本领域的普通技术人员能够理解本公开从而设计适于特定用途的带有各种修改的各种实施例。

Claims

一种信息处理方法，由网关执行，包括：

在接收到用户终端发送的连接建立请求后，在所述网关和所述用户终端之间建立TCP连接；

将第一检验请求发送给安全服务器，以便所述安全服务器检验所述第一检验请求中包括的所述身份信息和所述用户终端的终端特征是否与所述用户终端绑定；

若接收到所述安全服务器发送的绑定成功消息，将所述认证成功消息发送给所述用户终端，以便所述用户终端通过所述网关与所述业务服务器交互。
根据权利要求1所述的方法，其中，在将第一检验请求发送给安全服务器之前，还包括：

将所述连接建立请求发送给业务服务器，以便所述业务服务器对所述连接建立请求中包括的身份信息进行认证；

若接收到所述业务服务器发送的认证成功消息，将所述第一检验请求发送给所述安全服务器。
根据权利要求1所述的方法，还包括：

若接收到所述安全服务器发送的绑定失败消息，则关闭所述TCP连接。
根据权利要求1所述的方法，还包括：

在接收到所述安全服务器发送的绑定成功消息后，启动定时器，所述定时器具有预设的定时时长；

在所述定时器超时后，将所述第一检验请求发送给所述安全服务器。
根据权利要求1-4中任一项所述的方法，还包括：

在接收到所述用户终端发送的连接建立请求后，将第二检验请求发送给所述安全服务器，以便所述安全服务器根据所述第二检验请求中包括的所述身份信息和所述终端特征判断是否存在安全风险；

若接收到所述安全服务器发送的无安全风险指示消息，则在所述网关和所述用户终端之间建立所述TCP连接。
根据权利要求5所述的方法，还包括：

若接收到所述安全服务器发送的安全风险指示消息，则拒绝所述连接建立请求。
根据权利要求5所述的方法，其中，在所述网关和所述用户终端之间建立TCP连接包括：

从连接池中选择一个未被其它用户使用的TCP连接信息，以便在所述网关和所述用户终端之间建立TCP连接。
根据权利要求5所述的方法，其中，

所述用户终端的终端特征包括所述用户终端的IP地址，设备唯一标识和用户代理中的至少一项。
一种网关，包括：

连接建立模块，被配置为在接收到用户终端发送的连接建立请求后，在所述网关和所述用户终端之间建立TCP连接；

第一信息处理模块，被配置为将第一检验请求发送给安全服务器，以便所述安全服务器检验所述第一检验请求中包括的所述身份信息和所述终端特征是否与所述用户终端绑定；

第二信息处理模块，被配置为若接收到所述安全服务器发送的绑定成功消息，将所述认证成功消息发送给所述用户终端，以便所述用户终端通过所述网关与所述业务服务器交互。
一种网关，包括：

存储器，被配置为存储指令；

处理器，耦合到存储器，处理器被配置为基于存储器存储的指令执行实现如权利要求1-8中任一项所述的方法。
一种通信系统，包括：

如权利要求9或10所述的网关；

安全服务器，被配置为在接收到所述网关发送的第一检验请求后，检验所述第一检验请求中包括的身份信息和用户终端的终端特征是否与所述用户终端绑定，若所述身份信息和所述终端特征与所述用户终端成功绑定，则向所述网关发送绑定成功消息。
根据权利要求11所述的系统，还包括：

业务服务器，被配置为在接收到所述网关发送的连接建立请求后，对所述连接建立请求中包括的身份信息进行认证，并在认证成功后向所述网关发送认证成功消息。
根据权利要求11所述的系统，其中，

安全服务器被配置为若所述身份信息和所述终端特征与所述用户终端未成功绑定，则向所述网关发送绑定失败消息，对所述用户终端进行安全认证，在安全认证通过后将所述身份信息和所述终端特征与所述用户终端进行绑定，并向所述用户终端发送连接指示，以便所述用户终端重新向所述网关发送的连接建立请求。
根据权利要求13所述的系统，其中，

所述安全认证为多因子认证。
根据权利要求11-14中任一项所述的系统，其中，

安全服务器被配置为在接收到所述网关发送的第二检验请求后，根据所述第二检验请求中包括的所述身份信息和所述终端特征判断是否存在安全风险，若所述身份信息和所述终端特征没有安全风险，则向所述网关发送无安全风险指示消息。
根据权利要求15所述的系统，其中，

安全服务器被配置为若所述身份信息或所述终端特征有安全风险，则向所述网关发送安全风险指示消息。
一种非瞬态计算机可读存储介质，其中，计算机可读存储介质存储有计算机指令，指令被处理器执行时实现如权利要求1-8中任一项所述的方法。