本发明专利技术涉及信息安全技术领域,公开了一种适用于在线身份认证的流控机制。该机制针对在线身份认证进程提出了一种严格的流程管控方法,即在锁定标记客户端浏览器后,对通信会话中的Session对象进行了严格的读写管控以及对Cookies内容进行严格地验证管控,从而即使在出现SessionID或Coolies内容等信息泄露的情况下,也能够杜绝黑客利用这些资源冒充合法用户的身份,防止造成用户信息的进一步泄露,进而极大地降低了信息泄露及黑客攻击的可能性,保障了在线身份认证进程的安全。
【技术实现步骤摘要】
一种适用于在线身份认证的流控机制
本专利技术涉及信息安全
,具体地,涉及一种适用于在线身份认证的流控机制。
技术介绍
为了确保站点间访问的安全性,在目前互联网通信进程中的普遍做法是:先依靠拦截器拦截URL(UniformResoureLocator,统一资源定位器)地址,根据客户端要访问的文件资源权限,转发到用户登录流程,然后在用户输入身份凭证相关信息(例如账户和账户密码等)后,由认证服务器进行认证匹配,如果认证成功则会在客户端与服务端之间建立内存化的授权资源共享对象(例如Session对象等),并将授权资源共享对象的一部分信息写入到客户端的临时缓存文件(例如Cookies文件)中。但是由于缺乏对在线身份认证进程(即用户登录流程)进行严格地流程管控以及对授权资源共享对象进行严格的读写管控,使得黑客能够利用HTTP协议(HyperTextTransferProtocol,超文本传输协议)无状态即无连接的特性,并使用从空口拦截获取的授权资源共享对象或非法侵入读取的临时缓存文件来强行冒充合法用户的身份,达到中间人攻击的目的,从而使得现行在线身份认证进程存在一定的安全隐患。
技术实现思路
针对前述现有技术的问题,本专利技术提供了一种适用于在线身份认证的流控机制,其针对在线身份认证进程提出了一种严格的流程管控方法,即在锁定标记客户端浏览器后,对通信会话中的Session对象进行了严格的读写管控以及对Cookies内容进行严格地验证管控,从而即使在出现SessionID或Coolies内容等信息泄露的情况下,也能够杜绝黑客利用这些资源冒充合法用户的身份,防止造成用户信息的进一步泄露,进而极大地降低了信息泄露及黑客攻击的可能性,保障了在线身份认证进程的安全。本专利技术采用的技术方案,提供了一种适用于在线身份认证的流控机制,包括如下步骤:S101.业务服务器在客户端浏览器打开业务首页时,生成锁定该客户端浏览器的主SessionID,并创建与所述主SessionID对应的主Session对象,然后一方面将所述主SessionID反馈至该客户端浏览器,另一方面将所述主SessionID及对应的所述主Session对象传送至流控寄存服务器,由流控寄存服务器按照如下第一方式进行托管:存储所述主Session对象,然后将所述主SessionID和所述主Session对象的第一存储地址添加到读写白名单表中,然后在成功验证该客户端浏览器的身份凭证后且在所述主Session对象销毁前,许可该客户端浏览器通过业务服务器间接地对所述读写白名单表进行查表,并在使用所述主SessionID获取对应的所述第一存储地址后,根据所述第一存储地址对所述主Session对象进行数据读取和/或数据写入;S102.认证服务器在该客户端浏览器打开登录页面时,生成锁定该客户端浏览器的认证SessionID,并创建与所述认证SessionID对应的认证Session对象,然后一方面将所述认证SessionID反馈至该客户端浏览器,另一方面将所述认证SessionID及对应的所述认证Session对象传送至流控寄存服务器,由流控寄存服务器按照如下第二方式进行托管:存储所述认证Session对象,然后将所述认证SessionID和所述认证Session对象的第二存储地址添加到所述读写白名单表中,并在表中关联所述主SessionID和所述认证SessionID,然后在成功验证该客户端浏览器的身份凭证后且在所述认证Session对象销毁前,许可该客户端浏览器通过认证服务器间接地对所述读写白名单表进行查表,并在使用所述认证SessionID获取对应的所述第二存储地址后,根据所述第二存储地址对所述认证Session对象进行数据读取;S103.业务服务器在首次成功验证该客户端浏览器的身份凭证后,生成锁定该客户端浏览器的Cookies内容,然后将所述Cookies内容传送至流控寄存服务器,由流控寄存服务器按照如下第三方式进行托管:一方面应用摘要算法获取所述Cookies内容的第一摘要,然后使用签名私钥对所述第一摘要进行数字签名,得到所述Cookies内容的摘要密文,最后在保存所述Cookie内容及验签公钥的临时对应关系后,将封装有所述Cookies内容和所述摘要密文的Cookies对象通过业务服务器反馈至该客户端浏览器,其中,所述签名私钥和所述验签公钥为一对非对称公私钥,另一方面使用所述验签公钥对来自业务服务器且由该客户端浏览器上传的Cookies对象进行验签,若验签通过,则向业务服务器反馈对该客户端浏览器的身份凭证二次认证成功信息,否则向业务服务器反馈对该客户端浏览器的身份凭证二次认证失败信息。优化的,在所述第一方式托管中还包括:在客户端浏览器关闭时或在所述主Session对象的闲置时长超过预设阈值时,销毁所述主Session对象,并在所述读写白名单表中清除所述主SessionID和所述主Session对象的第一存储地址。优化的,在所述第二方式托管中还包括:在首次成功验证该客户端浏览器的身份凭证后,使所述认证Session对象处于写锁定状态。优化的,在所述第二方式托管中还包括:在所述主Session对象被销毁时或在该客户端浏览器退出登录时,销毁所述认证Session对象,并在所述读写白名单表中清除所述认证SessionID和所述认证Session对象的第二存储地址。优化的,在所述第三方式托管中的验签步骤包括如下:一方面应用摘要算法获取所述Cookies对象中Cookies内容的第二摘要,另一方面根据所述Cookies对象中Cookies内容从所述临时对应关系中查找到对应的所述验签公钥,然后使用所述验签公钥对所述Cookies对象中摘要密文进行解密,得到解密摘要,最后对比两份摘要是否相同,若相同,则验签通过,否则验签不通过。优化的,根据客户端浏览器的浏览器信息和打开相应页面的时间戳生成锁定该客户端浏览器的主SessionID和/或认证SessionID,其中,所述浏览器信息包含浏览器类型和版本号。优化的,在所述步骤S103之后还包括步骤如下:S104.业务服务器在认证服务器发起数据同步请求时,生成数据同步SessionID,并创建与所述数据同步SessionID对应的数据同步Session对象,然后一方面将所述数据同步SessionID反馈至该认证服务器,另一方面将所述数据同步SessionID及对应的所述数据同步Session对象传送至流控寄存服务器,由流控寄存服务器按照如下第四方式进行托管:存储所述数据同步Session对象,然后将所述数据同步SessionID和所述数据同步Session对象的第四存储地址添加到所述读写白名单表中,并在表中关联所述主SessionID和所述数据同步SessionID,然后在所述数据同步Session对象销毁前,许可业务服务器对所述读写白名单表进行查表,并在使用所述数据同步SessionID获取对应的所述第四存储地址后,根据所述第四存储地址对所述数据同步Session对象进行一次数据读取。进一步优化的,在所述第四方式托管中还包括:在业务服务器与该认证服务器之间完成数据同步后,销毁所述数据同步Session对象,并在所述读写白名单表中清除本文档来自技高网...
【技术保护点】
一种适用于在线身份认证的流控机制,其特征在于,包括如下步骤:S101.业务服务器在客户端浏览器打开业务首页时,生成锁定该客户端浏览器的主SessionID,并创建与所述主SessionID对应的主Session对象,然后一方面将所述主SessionID反馈至该客户端浏览器,另一方面将所述主SessionID及对应的所述主Session对象传送至流控寄存服务器,由流控寄存服务器按照如下第一方式进行托管:存储所述主Session对象,然后将所述主SessionID和所述主Session对象的第一存储地址添加到读写白名单表中,然后在成功验证该客户端浏览器的身份凭证后且在所述主Session对象销毁前,许可该客户端浏览器通过业务服务器间接地对所述读写白名单表进行查表,并在使用所述主SessionID获取对应的所述第一存储地址后,根据所述第一存储地址对所述主Session对象进行数据读取和/或数据写入;S102.认证服务器在该客户端浏览器打开登录页面时,生成锁定该客户端浏览器的认证SessionID,并创建与所述认证SessionID对应的认证Session对象,然后一方面将所述认证SessionID反馈至该客户端浏览器,另一方面将所述认证SessionID及对应的所述认证Session对象传送至流控寄存服务器,由流控寄存服务器按照如下第二方式进行托管:存储所述认证Session对象,然后将所述认证SessionID和所述认证Session对象的第二存储地址添加到所述读写白名单表中,并在表中关联所述主SessionID和所述认证SessionID,然后在成功验证该客户端浏览器的身份凭证后且在所述认证Session对象销毁前,许可该客户端浏览器通过认证服务器间接地对所述读写白名单表进行查表,并在使用所述认证SessionID获取对应的所述第二存储地址后,根据所述第二存储地址对所述认证Session对象进行数据读取;S103.业务服务器在首次成功验证该客户端浏览器的身份凭证后,生成锁定该客户端浏览器的Cookies内容,然后将所述Cookies内容传送至流控寄存服务器,由流控寄存服务器按照如下第三方式进行托管:一方面应用摘要算法获取所述Cookies内容的第一摘要,然后使用签名私钥对所述第一摘要进行数字签名,得到所述Cookies内容的摘要密文,最后在保存所述Cookie内容及验签公钥的临时对应关系后,将封装有所述Cookies内容和所述摘要密文的Cookies对象通过业务服务器反馈至该客户端浏览器,其中,所述签名私钥和所述验签公钥为一对非对称公私钥,另一方面使用所述验签公钥对来自业务服务器且由该客户端浏览器上传的Cookies对象进行验签,若验签通过,则向业务服务器反馈对该客户端浏览器的身份凭证二次认证成功信息,否则向业务服务器反馈对该客户端浏览器的身份凭证二次认证失败信息。...
【技术特征摘要】
1.一种适用于在线身份认证的流控机制,其特征在于,包括如下步骤:S101.业务服务器在客户端浏览器打开业务首页时,生成锁定该客户端浏览器的主SessionID,并创建与所述主SessionID对应的主Session对象,然后一方面将所述主SessionID反馈至该客户端浏览器,另一方面将所述主SessionID及对应的所述主Session对象传送至流控寄存服务器,由流控寄存服务器按照如下第一方式进行托管:存储所述主Session对象,然后将所述主SessionID和所述主Session对象的第一存储地址添加到读写白名单表中,然后在成功验证该客户端浏览器的身份凭证后且在所述主Session对象销毁前,许可该客户端浏览器通过业务服务器间接地对所述读写白名单表进行查表,并在使用所述主SessionID获取对应的所述第一存储地址后,根据所述第一存储地址对所述主Session对象进行数据读取和/或数据写入;S102.认证服务器在该客户端浏览器打开登录页面时,生成锁定该客户端浏览器的认证SessionID,并创建与所述认证SessionID对应的认证Session对象,然后一方面将所述认证SessionID反馈至该客户端浏览器,另一方面将所述认证SessionID及对应的所述认证Session对象传送至流控寄存服务器,由流控寄存服务器按照如下第二方式进行托管:存储所述认证Session对象,然后将所述认证SessionID和所述认证Session对象的第二存储地址添加到所述读写白名单表中,并在表中关联所述主SessionID和所述认证SessionID,然后在成功验证该客户端浏览器的身份凭证后且在所述认证Session对象销毁前,许可该客户端浏览器通过认证服务器间接地对所述读写白名单表进行查表,并在使用所述认证SessionID获取对应的所述第二存储地址后,根据所述第二存储地址对所述认证Session对象进行数据读取;S103.业务服务器在首次成功验证该客户端浏览器的身份凭证后,生成锁定该客户端浏览器的Cookies内容,然后将所述Cookies内容传送至流控寄存服务器,由流控寄存服务器按照如下第三方式进行托管:一方面应用摘要算法获取所述Cookies内容的第一摘要,然后使用签名私钥对所述第一摘要进行数字签名,得到所述Cookies内容的摘要密文,最后在保存所述Cookie内容及验签公钥的临时对应关系后,将封装有所述Cookies内容和所述摘要密文的Cookies对象通过业务服务器反馈至该客户端浏览器,其中,所述签名私钥和所述验签公钥为一对非对称公私钥,另一方面使用所述验签公钥对来自业务服务器且由该客户端浏览器上传的Cookies对象进行验签,若验签通过,则向业务服务器反馈对该客户端浏览器的身份凭证二次认证成功信息,否则向业务服务器反馈对该客户端浏览器的身份凭证二次认证失败信息。2.如权利要求1所述的一种适用于在线身份认证的流控机制,其特征在于,在所述第一方式托管中还包括:在...
【专利技术属性】
技术研发人员:胥寅,于道洪,
申请(专利权)人:上海金融云服务集团安全技术有限公司,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。