一种基于用户钉钉的认证方法及系统技术方案

一种基于用户钉钉的认证方法及系统，包括网络安全设备、用户终端和钉钉服务器，网络安全设备拦截用户终端的外网访问请求，用户终端响应于接收到网络安全设备返回的钉钉认证页面，向钉钉服务器获取认证图形码，用户终端接收并显示所述认证图形码，钉钉服务器接收第三方扫描设备的钉钉确认登录信息，基于所述钉钉确认登录信息获取回调信息，用户终端接收钉钉服务器发送的回调信息，向所述网络安全设备发送所述回调信息；网络安全设备根据所述回调信息向钉钉服务器获取认证信息，接收所述认证信息后，解除用户终端上网限制。本申请保障用户终端使用钉钉APP通过网络安全设备的准入控制接入互联网的合规性和安全性。接入互联网的合规性和安全性。接入互联网的合规性和安全性。

【技术实现步骤摘要】
一种基于用户钉钉的认证方法及系统


[0001]本申请涉及信息安全
，具体涉及一种基于用户钉钉的认证方法及系统。

技术介绍

[0002]随着互联网的高速发展，越来越多政府机构和企业等的工作都依赖互联网。在企业网络场景中，常常出现不明终端接入，或员工随意访问网络，容易访问一些钓鱼和病毒相关的网站，均对网络安全造成威胁，如何基于员工的维度进行上网认证和上网行为管控是企业网络面临的一大安全性问题。
[0003]上网安全网关是指帮助互联网用户控制和管理对互联网的使用，其包括对网页访问过滤、上网隐私保护、网络应用控制、带宽流量管理、信息收发审计和用户行为分析等，其中，网络安全设备作为上网安全网关的核心网络单元，其核心是管理企业的员工。
[0004]在传统的企业网络场景中，针对网络安全设备的网络认证并上网的方法包括静态绑定认证、本地认证和短信认证，其中，静态绑定认证，具体地，预先在网络安全设备上创建用户并绑定对应的IP或MAC地址，用户终端接入网络时，网络安全设备利用经过的流量查询用户终端IP或MAC地址，与本地绑定一致则完成认证；本地认证，具体地，预先在网络安全设备上创建用户，用户终端接入网络时，弹出认证页面，提交用户名和密码完成认证；短信认证，具体地，网络安全设备与短信网关对接，在短信认证页面输入指定的手机号和用户终端随机成生的验证码发送给短信服务商，短信服务商收到信息后将验证码发给用户指定手机号，用户在短信认证页面将手机号和验证码一起提交给网络安全设备验证一致则完成认证。
[0005]上述静态绑定认证方法和本地认证方法需要管理员在网络安全设备上预先配置用户，网络运维人员工作量很大，短信认证需要单独购买短信服务商提供的短信网关设备，均耗费人力财力。现有技术提供在公共场所利用微信认证上网的方法，包括URL认证和小程序认证，微信URL认证设备上配置认证URL，同时微信公众平台配置相同的认证URL，当用户终端通过微信触发的认证URL与设备上的一致则认为微信URL认证通过；小程序认证需要调用第三方小程序插件，认证过程实际是小程序与微信服务器和小程序服务器交互的过程。
[0006]然而，上述微信上网认证方法需要调用第三方小程序插件或者显示手机号，存在安全隐患，且无法有效地应用在企业网络场景中，不便于基于用户的维度进行上网行为管控。

技术实现思路

[0007]本申请提供一种基于用户钉钉的认证方法及系统，保障用户终端使用钉钉通过网络安全设备的准入控制接入互联网的合规性和安全性，以满足企业网络场景基于钉钉认证的场景诉求。
[0008]本申请第一方面提供一种基于用户钉钉的认证方法，应用于网络安全设备，包括以下步骤：
[0009]拦截用户终端的外网访问请求；
[0010]将所述外网访问请求重定向至钉钉认证页面，其中，所述钉钉认证页面用于在所述用户终端接收后主动向钉钉服务器获取认证图形码，所述认证图形码用于给第三方扫描设备扫描登录钉钉；
[0011]接收用户终端发送的回调信息，其中，所述回调信息为钉钉服务器在接收第三方扫描设备的钉钉确认登录信息后反馈至用户终端的信息，所述回调信息包括确认登录的钉钉用户名；
[0012]根据所述回调信息向钉钉服务器获取所述钉钉用户名对应的认证信息，以及，接收所述认证信息后，解除用户终端上网限制。
[0013]可选的，所述认证信息包括钉钉用户名对应的用户信息和用户的组织架构信息，所述方法还包括：
[0014]基于设备控制策略和用户的组织架构信息，对所述用户终端进行上网行为管控。
[0015]可选的，所述接收用户终端发送的回调信息，包括：
[0016]接收用户终端发送至回调地址的回调信息，所述回调地址为网络安全设备的管理ip地址加指定端口。
[0017]本申请第二方面提供一种基于用户钉钉的认证方法，应用于用户终端，包括以下步骤：
[0018]向网络安全设备发送外网访问请求；
[0019]响应于接收到网络安全设备返回的钉钉认证页面，向钉钉服务器获取认证图形码，其中，所述钉钉认证页面为网络安全设备拦截所述外网访问请求后返回的页面，所述认证图形码用于给第三方扫描设备扫描登录钉钉；
[0020]接收并显示所述认证图形码；
[0021]接收钉钉服务器发送的回调信息，以及，向所述网络安全设备发送所述回调信息，以由所述网络安全设备根据所述回调信息向钉钉服务器获取认证信息，其中，所述回调信息为钉钉服务器在接收第三方扫描设备的钉钉确认登录信息后获取的信息，所述回调信息包括确认登录的钉钉用户名；
[0022]认证成功放通上网。
[0023]可选的，在所述向网络安全设备发送外网访问请求之后，还包括：
[0024]接收网络安全设备的302重定向，其中，所述302重定向为网络安全设备在判断所述用户终端没有外网访问权限后拦截外网访问请求而触发；
[0025]响应于接收到的302重定向，向网络安全设备获取钉钉认证所需要的portal页面。
[0026]可选的，所述向所述网络安全设备发送所述回调信息，包括：
[0027]向网络安全设备配置的回调地址发送所述回调信息，所述回调地址为网络安全设备的管理ip地址加指定端口。
[0028]本申请第三方面提供一种基于用户钉钉的认证方法，应用于钉钉服务器，包括以下步骤：
[0029]响应于接收到用户终端发送的认证图形码获取请求，向用户终端发送认证图形码，其中，所述认证图形码用于给第三方扫描设备扫描登录钉钉；
[0030]接收第三方扫描设备的钉钉确认登录信息，以及，基于所述钉钉确认登录信息获
取回调信息，其中，所述回调信息包括确认登录的钉钉用户名；
[0031]向用户终端发送所述回调信息，以由用户终端将所述回调信息发送至网络安全设备；
[0032]返回认证信息至网络安全设备，其中，所述认证信息为网络安全设备根据回调信息获取的信息。
[0033]可选的，所述以由用户终端将所述回调信息发送至网络安全设备，包括：
[0034]以由用户终端向网络安全设备配置的回调地址发送所述回调信息，所述回调地址为网络安全设备的管理ip地址加指定端口。
[0035]可选的，所述钉钉服务器配置与所述网络安全设备一致的本地地址，所述返回认证信息至网络安全设备，包括：
[0036]接收网络安全设备发送的回调地址；
[0037]如果网络安全设备发送的回调地址与本地地址一致，则开放网络安全设备获取认证信息的权限。
[0038]本申请第四方面提供一种基于用户钉钉的认证系统，包括网络安全设备和用户终端，还包括钉钉服务器，所述网络安全设备与用户终端和钉钉服务器通信连接，所述系统被配置为：
[0039]网络安全设备拦截用户终端的外网访问请求；
[0040]用户终端响应于接收到网络安全设备返回的钉钉认证页面，向钉钉服务器获取认证图形码，其中，所述钉钉认证页面为网络安全设备本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于用户钉钉的认证方法，应用于网络安全设备，其特征在于，包括以下步骤：拦截用户终端的外网访问请求；将所述外网访问请求重定向至钉钉认证页面，其中，所述钉钉认证页面用于在所述用户终端接收后主动向钉钉服务器获取认证图形码，所述认证图形码用于给第三方扫描设备扫描登录钉钉；接收用户终端发送的回调信息，其中，所述回调信息为钉钉服务器在接收第三方扫描设备的钉钉确认登录信息后反馈至用户终端的信息，所述回调信息包括确认登录的钉钉用户名；根据所述回调信息向钉钉服务器获取所述钉钉用户名对应的认证信息，以及，接收所述认证信息后，解除用户终端上网限制。2.根据权利要求1所述的一种基于用户钉钉的认证方法，其特征在于，所述认证信息包括钉钉用户名对应的用户信息和用户的组织架构信息，所述方法还包括：基于设备控制策略和用户的组织架构信息，对所述用户终端进行上网行为管控。3.根据权利要求1所述的一种基于用户钉钉的认证方法，其特征在于，所述接收用户终端发送的回调信息，包括：接收用户终端发送至回调地址的回调信息，所述回调地址为网络安全设备的管理ip地址加指定端口。4.一种基于用户钉钉的认证方法，应用于用户终端，其特征在于，包括以下步骤：向网络安全设备发送外网访问请求；响应于接收到网络安全设备返回的钉钉认证页面，向钉钉服务器获取认证图形码，其中，所述钉钉认证页面为网络安全设备拦截所述外网访问请求后返回的页面，所述认证图形码用于给第三方扫描设备扫描登录钉钉；接收并显示所述认证图形码；接收钉钉服务器发送的回调信息，以及，向所述网络安全设备发送所述回调信息，以由所述网络安全设备根据所述回调信息向钉钉服务器获取认证信息，其中，所述回调信息为钉钉服务器在接收第三方扫描设备的钉钉确认登录信息后获取的信息，所述回调信息包括确认登录的钉钉用户名；认证成功放通上网。5.根据权利要求4所述的一种基于用户钉钉的认证方法，其特征在于，在所述向网络安全设备发送外网访问请求之后，还包括：接收网络安全设备的302重定向，其中，所述302重定向为网络安全设备在判断所述用户终端没有外网访问权限后拦截外网访问请求而触发；响应于接收到的302重定向，向网络安全设备获取钉钉认证所需要的portal页面。6.根据权利要求4所述的一种基于用户钉钉的认证方法，其特征...

【专利技术属性】
技术研发人员：鹿贺，
申请(专利权)人：武汉思普崚技术有限公司，
类型：发明
国别省市：