一种WEB登录前置式安全加固系统、加固方法及登录方法与流程

一种web登录前置式安全加固系统、加固方法及登录方法
技术领域
1.本发明涉及网页安全认证技术领域，具体而言，涉及一种web登录前置式安全加固系统、加固方法及登录方法。


背景技术：

2.随着信息技术的进步，各个企业的发展壮大，在这个过程中企业开发或者购置的大量的内部管理系统和业务处理系统，这些系统往往存储了非常重要的商业信息或企业个人隐私信息，为了保证操作这些信息的合法性，这些系统通常采用帐号+密码的登录认证方式。然而，帐号+密码的认证方式容易泄露而导致企业信息被非法盗取，另一方面，帐号+密码的认证方式容易被技术人员进行暴力破解而导致企业信息被非法盗取。
3.有鉴于此，特提出本技术。


技术实现要素：

4.本发明所要解决的技术问题是在现有的企业系统中，账号+密码方式进行系统登录的安全性不高，且用户信息容易被盗取，目的在于提供一种web登录前置式安全加固系统及方法，能够增加对企业系统登录过程的安全性，且减少了企业系统信息被盗取的风险。
5.本发明通过下述技术方案实现：
6.一种web登录前置式安全加固系统，包括加固引擎模块以及认证引擎模块，
7.所述加固引擎模块，用于对web页面进行认证加固，其使用可嵌入的页面加固脚本，修改企业系统的认证页面的登录事件代码，读取预先配置的二次认证脚本对认证进行加固；
8.所述认证引擎模块，用于对企业系统登录进行人机识别以及二次验证。
9.传统地在企业系统登录过程中，采用的均是通过账号加密码的方式进行登录，但是采用这种方式登录到企业系统的时候，往往会造成用户的信息泄露，严重会造成企业信息被非法盗取；本发明提供了一种web登录前置式安全加固系统，通过在登录企业系统之前，在不破坏原有的代码情况下，增加二次认证的方式，增加了对企业系统登录过程的安全性，且减少了企业系统信息被盗取的风险性。
10.优选地，所述系统还包括管理控制平台以及路由引擎模块，
11.所述管理控制平台，用于对安全加固系统进行升级维护和应用配置；
12.所述路由引擎模块，用于根据在本系统中录入的企业系统地址，将用户请求转发到对应的应用服务器，可配置证书卸载和访问控制。
13.优选地，所述管理控制平台包括认证方式管理模块、应用配置模块以及日志管理模块；
14.所述认证方式管理模块，用于对本系统的人机识别以及二次认证手段进行升级维护；
15.所述应用配置模块，用于用来配置需加固的系统访问地址信息、服务地址信息、指
定二次认证手段、是否证书卸载以及访问控制；
16.所述日志管理模块，用于查询分析企业系统的认证登录信息，并记录对应网站地址加固信息。
17.优选地，所述人机识别采用人机交互进行验证，用于判断使用系统用户的风险程度。
18.优选地，所述人机交互为滑动行为人机交互或图文点选人机交互。
19.优选地，所述二次验证用于加固登录认证安全，包括动态口令验证与短信验证，所述动态口令验证为结合动态口令设备，用户向系统输入的动态口令；所述短信验证为将本系统后台生成的验证码通过短信的方式输入到用户手机上，然后用户在系统输入对应的短信验证码。
20.本发明还提供了一种web登录前置式安全加固方法，加固方法步骤包括：
21.s1：获取第一指令，所述第一指令为登录系统的原访问地址；
22.s2：基于第一指令，触发加固引擎模块查询前端登录界面的脚本页面，并基于脚本页面，识别特征点；
23.s3：基于特征点，对企业系统进行登录认证加固，获得加固后的登录网站；
24.s4：废除原访问地址，并为企业系统配置新的登录访问地址，将企业系统的新访问入口切换到前置安全加固系统。
25.优选地，所述步骤中的特征点包括插入加固认证图形的位置点位、前端js脚本登录方法以及认证请求response包中的请求参数。
26.优选地，所述步骤s3的具体操作步骤包括：
27.s31：基于第一指令，触发加固引擎模块拦截用户请求的http网络报文response包，从中取得用户登录界面的脚本页面和前端js脚本登录方法；
28.s32：基于特征点修改登录页面，在插入加固认证图形的位置点位添加对应的人机识别代码和二次认证前端代码，同时在前端js脚本登录请求方法中添加加固验证所需参数；
29.s33：基于修改后的脚本页面，当用户点击登录按钮后，登录请求就将人机识别验证信息和二次认证的验证信息放到request包中，通过加固引擎模块拦截request包，并将需要验证的请求参数提取出来进行人机识别和二次认证，验证成功后再转发登录请求到企业系统进行验证登录。
30.本发明还提供了一种web登录前置式安全加固后的登录方法，登录方法包括：
31.用户访问企业系统的主页地址，前置安全加固系统接收到请求后向企业系统的登陆页添加相应的人机识别代码和二次认证代码，并返回更改后的页面；
32.用户看到登录页后，输入账号密码以及人机识别和二次认证码后点击登录；
33.前置安全加固系统接收到登录请求后依次验证人机识别和二次认证的正确性，若正确，则发送登录请求到实际系统服务，验证账号密码的正确性，走系统的登录逻辑。
34.本发明与现有技术相比，具有如下的优点和有益效果：
35.1、本发明实施例提供的一种web登录前置式安全加固系统及方法，能够实现非入侵式代码改造，无须更改当前需加固的企业系统代码，不会破坏当前系统逻辑；
36.2、本发明实施例提供的一种web登录前置式安全加固系统及方法，能够提前筛选
和配置适合企业的相关人机识别和二次认证手段，安全统一，提供多样化的选择；
37.3、本发明实施例提供的一种web登录前置式安全加固系统及方法，由前置安全加固系统进行统一的人机识别和二次认证技术管理，安全可靠，实时升级。
附图说明
38.为了更清楚地说明本发明示例性实施方式的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
39.图1为安全加固系统示意图
40.图2为登录方法的流程示意图
41.图3为加固方法的流程示意图
具体实施方式
42.为使本发明的目的、技术方案和优点更加清楚明白，下面结合实施例和附图，对本发明作进一步的详细说明，本发明的示意性实施方式及其说明仅用于解释本发明，并不作为对本发明的限定。
43.在以下描述中，为了提供对本发明的透彻理解阐述了大量特定细节。然而，对于本领域普通技术人员显而易见的是：不必采用这些特定细节来实行本本发明。在其他实施例中，为了避免混淆本本发明，未具体描述公知的结构、电路、材料或方法。
44.在整个说明书中，对“一个实施例”、“实施例”、“一个示例”或“示例”的提及意味着：结合该实施例或示例描述的特定特征、结构或特性被包含在本本发明至少一个实施例中。因此，在整个说明书的各个地方出现的短语“一个实施例”、“实施例”、“一个示例”或“示例”不一定都指同一实施例或示例。此外，可以以任何适当的组合和、或子组合将特定的特征、结构或特性组合在一个或多个实施例或示例中。此外，本领域普通技术人员应当理解，在此提供的示图都是为了说明的目的，并且示图不一定是按比例绘制的。这里使用的术语“和/或”包括一个或多个相关列出的项目的任何和所有组合。
45.在本发明的描述中，术语“前”、“后”、“左”、“右”、“上”、“下”、“竖直”、“水平”、“高”、“低”“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明保护范围的限制。
46.实施例一
47.本实施例公开了一种web登录前置式安全加固系统，如图1所示，包括加固引擎模块以及认证引擎模块，管理控制平台以及路由引擎模块，在本实施中，设置的安全加固系统是安装在企业系统的登录前，能够使得在无论在什么时候登录企业系统的时候，都能够根据增加的安全加固系统相应的脚本进行安全认证加固，实现在登录企业系统时候的安全性。
48.所述加固引擎模块，用于对web页面进行认证加固。其使用可嵌入的页面加固脚本，修改企业系统的认证页面的登录事件代码，读取预先配置的二次认证脚本对认证进行
加固；
49.在加固引擎模块中，通过对登录界面上的脚本页面进行查询，并识别脚本页面上的特征点来实现对登录界面进行的安全加固，其安全加固的具体操作步骤包括：
50.分析企业系统登陆页面的登录脚本，找特征点：访问登录页面，分析前端登录界面html脚本页面，找到可插入加固认证图形的位置，如password标签后；跟踪前端登录事件，找出前端登录时调用的前端js登录方法，如表单提交(submit)，点击事件(onclick)；分析登录时的浏览器请求url，找到认证请求request包中的请求参数，如account；
51.根据企业系统的需求，进行登录认证加固：在用户访问登录页时，本系统拦截用户请求的http网络报文response包，对用户登录页的html登录界面和前端js脚本的登录方法进行改造替换，在可插入加固认证图形的位置添加相应的人机识别和二次认证前端代码，另外在前端js脚本登录请求方法中添加加固验证所需参数，最终让用户浏览器看到的是加固后的登录页面；
52.通过上一步的改造，当用户点击登录按钮后，登录请求就可以将人机识别和二次认证的验证信息放到request包中，本加固系统拦截到request包，将需要验证的请求参数提取出来进行人机识别和二次认证，验证成功后再转发登录请求到企业系统进行验证登录；
53.认证引擎模块，用于对企业系统登录进行人机识别以及二次验证，添加的人机识别为人机滑动行为认证以及人机点选行为认证，通过制定不同的安全策略和风险等级划分，系统根据用户鼠标操作行为轨迹、所处网络环境以及其他相关信息，判断用户的风险程度，给用户智能的呈现对应的验证形式。在人机识别判断用户为人类并且处于安全的环境时，直接通过验证；当判断为可疑用户则进行人机验证。
54.管理控制平台，用于对安全加固系统进行升级维护，若加固系统中出现的安全性的问题，可以对安全系统进行统一的升级维护；
55.管理控制平台包括认证方式管理模块、应用配置模块以及日志管理模块；
56.认证方式管理模块，用于对本系统的人机识别以及二次认证手段进行升级维护，在人机识别以及二次认证手段出现安全问题的时候，能够及时对出现的安全问题进行维护；
57.二次验证用于加固登录认证安全，包括动态口令验证与短信验证，所述动态口令验证为结合动态口令设备，用户向系统输入的动态口令；所述短信验证为将本系统后台生成的验证码通过短信的方式输入到用户手机上，然后用户在系统输入对应的短信验证码。
58.动态口令认证：结合动态口令设备，将用户与动态口令绑定，二次认证时验证用户输入的六位动态口令是否正确。
59.短信验证：本系统后台服务生成六位数字验证码，再以手机短信的方式发送到用户的手机上，二次认证时验证用户输入的短信验证码是否正确。
60.应用配置模块，用于用来配置需加固的系统访问地址信息、服务地址信息、指定二次认证手段、是否证书卸载以及访问控制，以供路由引擎和加固引擎读取配置；
61.日志管理模块，用于查询分析企业系统的认证登录信息，并记录对应网站地址加固信息，并将记录的信息存储在数据库中进行保存。
62.路由引擎模块，用于根据在本系统中录入的企业系统地址，将用户请求转发到对
应的应用服务器，可配置证书卸载和访问控制。
63.本实施例提供的一种web登录前置式安全加固系统，能够实现在企业系统的登录界面上，增加人机识别以及二次安全认证的方式，实现在不改变原有企业系统的代码下，能够增加对企业系统用户登录的安全性，且减少了对企业系统个人信息的盗取事件发生。
64.实施例二
65.本实施例公开了一种web登录前置式安全加固方法，如图3所示，本实施例是实现如实施例一中系统的方法，在本实施例中，应用于难以进行代码改造的商业系统软件中，且本实施例将所有加固操作均放到前置安全加固系统中进行，加固方法步骤包括：
66.s1：获取第一指令，所述第一指令为登录系统的原访问地址，获取的第一指令为客户端登录企业系统的登录页面的指令；
67.s2：基于第一指令，触发加固引擎模块查询前端登录界面的脚本页面，并基于脚本页面，识别特征点，当企业系统接收到登录界面的第一指令的时候，就会触发路由引擎模块，将路由引擎模块所存储的数据库里面匹配相对应的网站地址，然后将匹配好的网站地址传输到加固引擎模块，加固引擎模块就会自动识别脚本页面中的特征点，在本实施例中，特征点包括插入加固认证图形的位置点位，如password标签后；前端js脚本登录方法，如表单提交(submit)、点击事件(onclick)以及认证请求response包中的请求参数，如account；
68.s3：基于特征点，对企业系统进行登录认证加固，获得加固后的登录网站；
69.所述步骤s3的具体操作步骤包括：
70.s31：基于第一指令，触发加固引擎模块拦截用户请求的http网络报文response包，从中取得用户登录界面的脚本页面和前端js脚本登录方法；
71.s32：基于特征点修改登录页面，在插入加固认证图形的位置点位添加对应的人机识别代码和二次认证前端代码，同时在前端js脚本登录请求方法中添加加固验证所需参数；
72.s33：基于修改后的脚本页面，当用户点击登录按钮后，登录请求就将人机识别验证信息和二次认证的验证信息放到request包中，通过加固引擎模块拦截request包，并将需要验证的请求参数提取出来进行人机识别和二次认证，验证成功后再转发登录请求到企业系统进行验证登录。
73.s4：废除原访问地址，并为企业系统配置新的登录访问地址，将企业系统的新访问入口切换到前置安全加固系统。
74.废弃原有的访问地址，为企业系统配置新的域名或修改域名解析，来将企业系统的访问入口切换到前置安全加固系统，这样用户首先访问到的是前置安全加固系统，就可以进行登录的安全加固。
75.本实施例提供了一种web登录前置式安全加固方法，能够实现对难以更改代码的商业系统，在不改变原有的代码情况下，进行前置式安全加固，加固的方法简单、高效，能够快速集成实现企业系统的登录安全加固和统一安全管理，解决暴力破解和信息泄露等安全问题。
76.实施例三
77.本实施例公开了一种web登录前置式安全加固后的登录方法，如图2所示，且本实施例是在实施例一与实施例二的基础上，对加固后的系统进行登录的方法，登录方法包括：
78.用户访问企业系统的主页地址，前置安全加固系统接收到请求后向企业系统的登陆页添加相应的人机识别代码和二次认证代码，并返回更改后的页面；
79.用户看到登录页后，输入账号密码以及人机识别和二次认证码后点击登录；
80.前置安全加固系统接收到登录请求后依次验证人机识别和二次认证的正确性，若正确，则发送登录请求到实际系统服务，验证账号密码的正确性，走系统的登录逻辑。
81.本实施例采用的登录方法，能够进行非入侵式代码改造，无须更改当前需加固的企业系统代码，不会破坏当前系统逻辑，且能够提前筛选和配置适合企业的相关人机识别和二次认证手段，安全统一，提供多样化的选择，这将大大节省技术改造时间。
82.以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。