一種適用於在線身份認證的流控機制的製作方法
2023-05-08 12:17:16
本發明涉及信息安全技術領域,具體地,涉及一種適用於在線身份認證的流控機制。
背景技術:
為了確保站點間訪問的安全性,在目前網際網路通信進程中的普遍做法是:先依靠攔截器攔截URL(Uniform Resoure Locator,統一資源定位器)地址,根據客戶端要訪問的文件資源權限,轉發到用戶登錄流程,然後在用戶輸入身份憑證相關信息(例如帳戶和帳戶密碼等)後,由認證伺服器進行認證匹配,如果認證成功則會在客戶端與服務端之間建立內存化的授權資源共享對象(例如Session對象等),並將授權資源共享對象的一部分信息寫入到客戶端的臨時緩存文件(例如Cookies文件)中。但是由於缺乏對在線身份認證進程(即用戶登錄流程)進行嚴格地流程管控以及對授權資源共享對象進行嚴格的讀寫管控,使得黑客能夠利用HTTP協議(HyperText Transfer Protocol,超文本傳輸協議)無狀態即無連接的特性,並使用從空口攔截獲取的授權資源共享對象或非法侵入讀取的臨時緩存文件來強行冒充合法用戶的身份,達到中間人攻擊的目的,從而使得現行在線身份認證進程存在一定的安全隱患。
技術實現要素:
針對前述現有技術的問題,本發明提供了一種適用於在線身份認證的流控機制,其針對在線身份認證進程提出了一種嚴格的流程管控方法,即在鎖定標記客戶端瀏覽器後,對通信會話中的Session對象進行了嚴格的讀寫管控以及對Cookies內容進行嚴格地驗證管控,從而即使在出現SessionID或Coolies內容等信息洩露的情況下,也能夠杜絕黑客利用這些資源冒充合法用戶的身份,防止造成用戶信息的進一步洩露,進而極大地降低了信息洩露及黑客攻擊的可能性,保障了在線身份認證進程的安全。
本發明採用的技術方案,提供了一種適用於在線身份認證的流控機制,包括如下步驟: S101.業務伺服器在客戶端瀏覽器打開業務首頁時,生成鎖定該客戶端瀏覽器的主SessionID,並創建與所述主SessionID對應的主Session對象,然後一方面將所述主SessionID反饋至該客戶端瀏覽器,另一方面將所述主SessionID及對應的所述主Session對象傳送至流控寄存伺服器,由流控寄存伺服器按照如下第一方式進行託管:存儲所述主Session對象,然後將所述主SessionID和所述主Session對象的第一存儲地址添加到讀寫白名單表中,然後在成功驗證該客戶端瀏覽器的身份憑證後且在所述主Session對象銷毀前,許可該客戶端瀏覽器通過業務伺服器間接地對所述讀寫白名單表進行查表,並在使用所述主SessionID獲取對應的所述第一存儲地址後,根據所述第一存儲地址對所述主Session對象進行數據讀取和/或數據寫入;S102.認證伺服器在該客戶端瀏覽器打開登錄頁面時,生成鎖定該客戶端瀏覽器的認證SessionID,並創建與所述認證SessionID對應的認證Session對象,然後一方面將所述認證SessionID反饋至該客戶端瀏覽器,另一方面將所述認證SessionID及對應的所述認證Session對象傳送至流控寄存伺服器,由流控寄存伺服器按照如下第二方式進行託管:存儲所述認證Session對象,然後將所述認證SessionID和所述認證Session對象的第二存儲地址添加到所述讀寫白名單表中,並在表中關聯所述主SessionID和所述認證SessionID,然後在成功驗證該客戶端瀏覽器的身份憑證後且在所述認證Session對象銷毀前,許可該客戶端瀏覽器通過認證伺服器間接地對所述讀寫白名單表進行查表,並在使用所述認證SessionID獲取對應的所述第二存儲地址後,根據所述第二存儲地址對所述認證Session對象進行數據讀取;S103.業務伺服器在首次成功驗證該客戶端瀏覽器的身份憑證後,生成鎖定該客戶端瀏覽器的Cookies內容,然後將所述Cookies內容傳送至流控寄存伺服器,由流控寄存伺服器按照如下第三方式進行託管:一方面應用摘要算法獲取所述Cookies內容的第一摘要,然後使用籤名私鑰對所述第一摘要進行數字籤名,得到所述Cookies內容的摘要密文,最後在保存所述Cookie內容及驗籤公鑰的臨時對應關係後,將封裝有所述Cookies內容和所述摘要密文的Cookies對象通過業務伺服器反饋至該客戶端瀏覽器,其中,所述籤名私鑰和所述驗籤公鑰為一對非對稱公私鑰,另一方面使用所述驗籤公鑰對來自業務伺服器且由該客戶端瀏覽器上傳的Cookies對象進行驗籤,若驗籤通過,則向業務伺服器反饋對該客戶端瀏覽器的身份憑證二次認證成功信息,否則向業務伺服器反饋對該客戶端瀏覽器的身份憑證二次認證失敗信息。
優化的,在所述第一方式託管中還包括:在客戶端瀏覽器關閉時或在所述主Session對象的閒置時長超過預設閾值時,銷毀所述主Session對象,並在所述讀寫白名單表中清除所述主SessionID和所述主Session對象的第一存儲地址。
優化的,在所述第二方式託管中還包括:在首次成功驗證該客戶端瀏覽器的身份憑證後,使所述認證Session對象處於寫鎖定狀態。
優化的,在所述第二方式託管中還包括:在所述主Session對象被銷毀時或在該客戶端瀏覽器退出登錄時,銷毀所述認證Session對象,並在所述讀寫白名單表中清除所述認證SessionID和所述認證Session對象的第二存儲地址。
優化的,在所述第三方式託管中的驗籤步驟包括如下:一方面應用摘要算法獲取所述Cookies對象中Cookies內容的第二摘要,另一方面根據所述Cookies對象中Cookies內容從所述臨時對應關係中查找到對應的所述驗籤公鑰,然後使用所述驗籤公鑰對所述Cookies對象中摘要密文進行解密,得到解密摘要,最後對比兩份摘要是否相同,若相同,則驗籤通過,否則驗籤不通過。
優化的,根據客戶端瀏覽器的瀏覽器信息和打開相應頁面的時間戳生成鎖定該客戶端瀏覽器的主SessionID和/或認證SessionID,其中,所述瀏覽器信息包含瀏覽器類型和版本號。
優化的,在所述步驟S103之後還包括步驟如下:S104.業務伺服器在認證伺服器發起數據同步請求時,生成數據同步SessionID,並創建與所述數據同步SessionID對應的數據同步Session對象,然後一方面將所述數據同步SessionID反饋至該認證伺服器,另一方面將所述數據同步SessionID及對應的所述數據同步Session對象傳送至流控寄存伺服器,由流控寄存伺服器按照如下第四方式進行託管:存儲所述數據同步Session對象,然後將所述數據同步SessionID和所述數據同步Session對象的第四存儲地址添加到所述讀寫白名單表中,並在表中關聯所述主SessionID和所述數據同步SessionID,然後在所述數據同步Session對象銷毀前,許可業務伺服器對所述讀寫白名單表進行查表,並在使用所述數據同步SessionID獲取對應的所述第四存儲地址後,根據所述第四存儲地址對所述數據同步Session對象進行一次數據讀取。
進一步優化的,在所述第四方式託管中還包括:在業務伺服器與該認證伺服器之間完成數據同步後,銷毀所述數據同步Session對象,並在所述讀寫白名單表中清除所述數據同步SessionID和所述數據同步Session對象的第四存儲地址。
綜上,採用本發明所提供的一種適用於在線身份認證的流控機制,具有如下有益效果:(1)該方法針對在線身份認證進程提出了一種嚴格的流程管控方法,即在鎖定標記客戶端瀏覽器後,對通信會話中的Session對象進行了嚴格的讀寫管控以及對Cookies內容進行嚴格地驗證管控,從而即使在出現SessionID或Coolies內容等信息洩露的情況下,也能夠杜絕黑客利用這些資源冒充合法用戶的身份,防止造成用戶信息的進一步洩露,進而極大地降低了信息洩露及黑客攻擊的可能性,保障了在線身份認證進程的安全;(2)在流程控制過程中,規定了多種不同階段會話的Session對象讀寫規則,極大的提高了在線身份認證進程的安全;(3)創新地提出了在線身份認證進程的流程管控技術,使得登錄認證流程的細節更加規範化,填補了當前技術的空白。
具體實施方式
以下將通過實施例方式詳細地描述本發明提供的適用於在線身份認證的流控機制。在此需要說明的是,對於這些實施例方式的說明用於幫助理解本發明,但並不構成對本發明的限定。
本文中術語「和/或」,僅僅是一種描述關聯對象的關聯關係,表示可以存在三種關係,例如,A和/或B,可以表示:單獨存在A,單獨存在B,同時存在A和B三種情況,本文中術語「/和」是描述另一種關聯對象關係,表示可以存在兩種關係,例如,A/和B,可以表示:單獨存在A,單獨存在A和B兩種情況,另外,本文中字符「/」,一般表示前後關聯對象是一種「或」關係。
實施例一
本實施例提供的所述適用於在線身份認證的流控機制,包括如下步驟。
S101.業務伺服器在客戶端瀏覽器打開業務首頁時,生成鎖定該客戶端瀏覽器的主SessionID,並創建與所述主SessionID對應的主Session對象,然後一方面將所述主SessionID反饋至該客戶端瀏覽器,另一方面將所述主SessionID及對應的所述主Session對象傳送至流控寄存伺服器,由流控寄存伺服器按照如下第一方式進行託管:存儲所述主Session對象,然後將所述主SessionID和所述主Session對象的第一存儲地址添加到讀寫白名單表中,然後在成功驗證該客戶端瀏覽器的身份憑證後且在所述主Session對象銷毀前,許可該客戶端瀏覽器通過業務伺服器間接地對所述讀寫白名單表進行查表,並在使用所述主SessionID獲取對應的所述第一存儲地址後,根據所述第一存儲地址對所述主Session對象進行數據讀取和/或數據寫入。
在所述步驟S101中,所述業務伺服器用於為訪問用戶提供各種業務服務,例如提供業務首頁、登錄頁面、用戶查閱頁面及操作頁面等,例如WEB伺服器。所述客戶端瀏覽器為在客戶端設備(例如智慧型手機或電腦等)上運行的網頁瀏覽器,例如IE瀏覽器或UC瀏覽器等。用戶在啟動客戶端瀏覽器後可訪問業務伺服器,請求業務伺服器提供業務首頁內容以便用戶使用,業務伺服器在接收本次請求消息後,反饋對應的響應消息(本次請求成功消息或本次請求失敗消息)。所述主SessionID為在客戶端瀏覽器與業務伺服器之間建立本次主會話的會話標誌,其以加載在前述響應消息的消息頭中的方式反饋至該客戶端瀏覽器,而客戶端瀏覽器在接收到所述主SessionID後,將所述主SessionID存儲在本地的臨時緩存文件中,以便在後續與業務伺服器的會話過程中對該客戶端瀏覽器進行識別。為了準確地對客戶端瀏覽器進行識別,優化的,根據客戶端瀏覽器的瀏覽器信息和打開業務首頁的時間戳生成鎖定該客戶端瀏覽器的主SessionID,其中,所述瀏覽器信息可以但不限於包含瀏覽器類型(例如IE瀏覽器、火狐瀏覽器、UC瀏覽器和360瀏覽器等)和版本號。
在所述步驟S101中,所述主Session對象用於保存該客戶端瀏覽器與業務伺服器之間主會話所需的屬性以及配置信息,例如該客戶端瀏覽器的IP位址、會話超時時間、會話結束激勵事件等。業務伺服器在得到所述主SessionID和所述主Session對象後,通過信任的區域網路將它們集中傳送至流控寄存伺服器進行全權託管。通過流控寄存伺服器對所述主Session對象進行前述第一方式的託管,只允許同一個且成功通過身份認證的客戶端瀏覽器通過業務伺服器對所述主Session對象中的數據進行讀取或改寫作業,如此可杜絕冒充該客戶端瀏覽器的第三方瀏覽器使用相同的所述主SessionID騙取所述主Session對象中的關鍵數據,防止用戶信息出現進一步的信息洩露。此外優化的,在所述第一方式託管中還包括:在客戶端瀏覽器關閉時或在所述主Session對象的閒置時長超過預設閾值時,銷毀所述主Session對象,並在所述讀寫白名單表中清除所述主SessionID和所述主Session對象的第一存儲地址。如此可以在結束主會話或者默認主會話已結束時,及時清除流控寄存伺服器中的無效數據,節省存儲資源及管理資源。
S102.認證伺服器在該客戶端瀏覽器打開登錄頁面時,生成鎖定該客戶端瀏覽器的認證SessionID,並創建與所述認證SessionID對應的認證Session對象,然後一方面將所述認證SessionID反饋至該客戶端瀏覽器,另一方面將所述認證SessionID及對應的所述認證Session對象傳送至流控寄存伺服器,由流控寄存伺服器按照如下第二方式進行託管:存儲所述認證Session對象,然後將所述認證SessionID和所述認證Session對象的第二存儲地址添加到所述讀寫白名單表中,並在表中關聯所述主SessionID和所述認證SessionID,然後在成功驗證該客戶端瀏覽器的身份憑證後且在所述認證Session對象銷毀前,許可該客戶端瀏覽器通過認證伺服器間接地對所述讀寫白名單表進行查表,並在使用所述認證SessionID獲取對應的所述第二存儲地址後,根據所述第二存儲地址對所述認證Session對象進行數據讀取。
在所述步驟S102中,客戶端瀏覽器在成功訪問業務首頁後(即在建立主會話之後),可進一步請求業務伺服器提供登錄頁面內容,以便用戶導入身份憑證信息(例如帳戶和帳戶密碼等)並在認證伺服器處完成身份認證後,進而使用為用戶所私有的用戶查閱頁面及操作頁面等,認證伺服器在通過業務伺服器間接地接收到本次認證請求消息後,間接地反饋對應的認證響應消息(本次認證請求成功消息或本次認證請求失敗消息)。所述認證SessionID為在客戶端瀏覽器與認證伺服器之間建立本次認證會話的會話標誌,其以加載在前述認證響應消息的消息頭中的方式反饋至該客戶端瀏覽器,而客戶端瀏覽器在接收到所述認證SessionID後,將所述認證SessionID存儲在本地的臨時緩存文件中,以便在後續與認證伺服器的認證會話過程中對該客戶端瀏覽器進行識別。為了準確地對客戶端瀏覽器進行識別,與所述主SessionID一樣優化的,根據客戶端瀏覽器的瀏覽器信息和打開登錄首頁的時間戳生成鎖定該客戶端瀏覽器的認證SessionID,其中,所述瀏覽器信息可以但不限於包含瀏覽器類型(例如IE瀏覽器、火狐瀏覽器、UC瀏覽器和360瀏覽器等)和版本號。
在所述步驟S102中,所述認證Session對象用於保存該客戶端瀏覽器與業務伺服器之間認證會話所需的屬性以及配置信息,例如該客戶端瀏覽器的IP位址、會話超時時間、會話結束激勵事件等。認證伺服器在得到所述認證SessionID和所述認證Session對象後,同樣通過信任的區域網路將它們集中傳送至流控寄存伺服器進行全權託管。通過流控寄存伺服器對所述認證Session對象進行前述第二方式的託管,只允許同一個客戶端瀏覽器在認證會話過程中通過認證伺服器對所述認證Session對象中的數據進行讀取或改寫作業,同時在成功完成身份認證後,只允許同一個且成功通過身份認證的客戶端瀏覽器通過認證伺服器對所述認證Session對象中的數據進行讀取作業,如此可杜絕冒充該客戶端瀏覽器的第三方瀏覽器使用相同的所述認證SessionID騙取所述認證Session對象中的關鍵數據,防止用戶信息出現進一步的信息洩露。為了進一步防止篡改所述認證Session對象中的數據,優化的,在所述第二方式託管中還包括:在首次成功驗證該客戶端瀏覽器的身份憑證後,使所述認證Session對象處於寫鎖定狀態。此外優化的,在所述第二方式託管中還包括:在所述主Session對象被銷毀時或在該客戶端瀏覽器退出登錄時,銷毀所述認證Session對象,並在所述讀寫白名單表中清除所述認證SessionID和所述認證Session對象的第二存儲地址。如此可以在結束主會話或者退出登錄時,及時清除流控寄存伺服器中的無效數據,節省存儲資源及管理資源,並可確保所述認證Session對象只存在主會話內。
S103.業務伺服器在首次成功驗證該客戶端瀏覽器的身份憑證後,生成鎖定該客戶端瀏覽器的Cookies內容,然後將所述Cookies內容傳送至流控寄存伺服器,由流控寄存伺服器按照如下第三方式進行託管:一方面應用摘要算法獲取所述Cookies內容的第一摘要,然後使用籤名私鑰對所述第一摘要進行數字籤名,得到所述Cookies內容的摘要密文,最後在保存所述Cookie內容及驗籤公鑰的臨時對應關係後,將封裝有所述Cookies內容和所述摘要密文的Cookies對象通過業務伺服器反饋至該客戶端瀏覽器,其中,所述籤名私鑰和所述驗籤公鑰為一對非對稱公私鑰,另一方面使用所述驗籤公鑰對來自業務伺服器且由該客戶端瀏覽器上傳的Cookies對象進行驗籤,若驗籤通過,則向業務伺服器反饋對該客戶端瀏覽器的身份憑證二次認證成功信息,否則向業務伺服器反饋對該客戶端瀏覽器的身份憑證二次認證失敗信息。
在所述步驟S103中,所述Cookies內容用於存儲標定該客戶端瀏覽器的有效身份認證信息,例如該客戶端瀏覽器的瀏覽器信息、帳戶及帳戶密碼、登錄有效期及登錄狀態等內容。通過流控寄存伺服器對所述Cookies內容進行前述第二方式的託管,可以通過數字籤名及驗籤方式驗證所述Cookies內是否被非法篡改,進而快速安全地進行身份憑證二次認證,在身份憑證二次認證成功後,業務伺服器可與該客戶端瀏覽器建議新的主會話,並許可為該客戶端瀏覽器提供為用戶所私有的用戶查閱頁面及操作頁面等,否則禁止前述許可。此外優化的,在所述第三方式託管中的驗籤步驟包括如下:一方面應用摘要算法獲取所述Cookies對象中Cookies內容的第二摘要,另一方面根據所述Cookies對象中Cookies內容從所述臨時對應關係中查找到對應的所述驗籤公鑰,然後使用所述驗籤公鑰對所述Cookies對象中摘要密文進行解密,得到解密摘要,最後對比兩份摘要是否相同,若相同,則驗籤通過,否則驗籤不通過。
優化的,在所述步驟S103之後還包括步驟如下:S104.業務伺服器在認證伺服器發起數據同步請求時,生成數據同步SessionID,並創建與所述數據同步SessionID對應的數據同步Session對象,然後一方面將所述數據同步SessionID反饋至該認證伺服器,另一方面將所述數據同步SessionID及對應的所述數據同步Session對象傳送至流控寄存伺服器,由流控寄存伺服器按照如下第四方式進行託管:存儲所述數據同步Session對象,然後將所述數據同步SessionID和所述數據同步Session對象的第四存儲地址添加到所述讀寫白名單表中,並在表中關聯所述主SessionID和所述數據同步SessionID,然後在所述數據同步Session對象銷毀前,許可業務伺服器間接地對所述讀寫白名單表進行查表,並在使用所述數據同步SessionID獲取對應的所述第四存儲地址後,根據所述第四存儲地址對所述數據同步Session對象進行一次數據讀取。
在步驟S104中,所述認證伺服器用於為業務伺服器提供身份憑證的認證服務,例如3A伺服器。所述數據同步SessionID為在認證伺服器與業務伺服器之間建立本次數據同步會話的會話標誌,以便在後續與業務伺服器的認證會話過程中對該認證伺服器進行識別。所述數據同步Session對象用於保存該認證伺服器與業務伺服器之間認證會話所需的屬性以及配置信息,例如該認證伺服器的IP位址、會話超時時間、會話結束激勵事件等。此外,進一步優化的,在所述第四方式託管中還包括:在業務伺服器與該認證伺服器之間完成數據同步後,銷毀所述數據同步Session對象,並在所述讀寫白名單表中清除所述數據同步SessionID和所述數據同步Session對象的第四存儲地址。如此可以在結束數據同步會話時,及時清除流控寄存伺服器中的無效數據,節省存儲資源及管理資源。
綜上,本實施例所提供的適用於在線身份認證的流控機制,具有如下有益效果:(1)該方法針對在線身份認證進程提出了一種嚴格的流程管控方法,即在鎖定標記客戶端瀏覽器後,對通信會話中的Session對象進行了嚴格的讀寫管控以及對Cookies內容進行嚴格地驗證管控,從而即使在出現SessionID或Coolies內容等信息洩露的情況下,也能夠杜絕黑客利用這些資源冒充合法用戶的身份,防止造成用戶信息的進一步洩露,進而極大地降低了信息洩露及黑客攻擊的可能性,保障了在線身份認證進程的安全;(2)在流程控制過程中,規定了多種不同階段會話的Session對象讀寫規則,極大的提高了在線身份認證進程的安全;(3)創新地提出了在線身份認證進程的流程管控技術,使得登錄認證流程的細節更加規範化,填補了當前技術的空白。
如上所述,可較好地實現本發明。對於本領域的技術人員而言,根據本發明的教導,設計出不同形式的適用於在線身份認證的流控機制並不需要創造性的勞動。在不脫離本發明的原理和精神的情況下對這些實施例進行變化、修改、替換、整合和變型仍落入本發明的保護範圍內。