一种Web应用访问系统及方法与流程

一种web应用访问系统及方法
技术领域
1.本发明实施例涉及网络安全技术领域，尤其涉及一种web应用访问系统及方法。


背景技术：

2.随着互联网和计算机技术的发展，越来越多的企业需要将企业内部的web应用发布到互联网上，以保证各种各样远程办公及移动化场景下的需求。在现阶段，大量的企业内部web应用还是采用简单的用户名和密码的认证方式，而将内部的web应用发布到互联网上，无疑会对企业的网络安全带来极大的挑战和风险，无法有效的保障用户身份识别的合法性。如何保障企业内部web应用的安全访问，特别是面对互联网上的访问，已成为一个迫切需要解决的重大安全问题。


技术实现要素：

3.本发明提供一种web应用访问系统及方法，以提升web应用的访问安全性。
4.第一方面，本发明实施例提供了一种web应用访问系统，包括身份认证模块和隔离访问模块；
5.所述身份认证模块，用于根据用户的访问请求验证用户的访问身份，基于验证结果生成认证票据并发送至所述隔离访问模块；
6.所述隔离访问模块，根据所述认证票据和所述访问请求访问目标web应用，并将访问结果返回至所述用户，其中，所述目标web应用根据所述访问请求确定。
7.可选的，所述身份认证模块包括身份认证单元和访问校验单元；
8.所述身份认证单元，用于接收并验证用户的身份信息，通过验证时生成安全认证票据并发送至所述隔离访问模块，并基于所述安全认证票据校验所述隔离访问模块发送的身份校验信息；
9.所述访问校验单元，用于根据所述访问请求生成访问认证票据并发送至所述隔离访问模块，并基于所述访问认证票据校验所述目标web应用发送的访问校验信息。
10.可选的，所述隔离访问模块，具体用于：
11.接收所述身份认证模块发送的访问请求，解析得到所述安全认证票据；
12.基于所述安全认证票据向所述身份认证模块发送身份校验信息，在所述身份认证模块通过身份校验后接收所述身份认证模块发送的访问认证票据；
13.将所述访问认证票据发送至所述目标web应用，在所述目标web应用根据所述访问认证票据通过访问校验后，根据所述访问请求访问所述目标web应用，并将访问结果返回至所述用户。
14.可选的，所述身份认证单元，具体用于：
15.接收用户发送的身份信息和身份验证信息，基于所述身份验证信息对所述身份信息进行验证；
16.当所述身份信息通过验证时，生成安全认证票据并存储，将所述安全认证票据载
入所述用户的访问请求中发送至所述隔离访问模块；
17.接收所述隔离访问模块发送的身份校验信息，基于所述安全认证票据对所述身份校验信息进行校验。
18.可选的，所述访问认证单元，具体用于：
19.在所述身份认证单元对所述身份校验信息进行校验并通过后，基于所述访问请求生成访问认证票据并存储；
20.将所述访问认证票据发送至所述隔离访问模块；
21.接收所述目标web应用发送的访问校验信息，基于所述访问认证票据对所述访问校验信息进行校验，将访问校验结果返回至所述目标web应用。
22.第二方面，本发明实施例还提供了一种web应用访问方法，该web应用访问方法应用于第一方面提供的web应用访问系统，该方法包括：
23.身份认证模块根据用户的访问请求验证用户的访问身份，基于验证结果生成认证票据并发送至隔离访问模块；
24.所述隔离访问模块根据所述认证票据和所述访问请求访问目标web应用，并将访问结果返回至所述用户，其中，所述目标web应用根据所述访问请求确定。
25.可选的，所述身份认证模块根据用户的访问请求验证用户的访问身份，基于验证结果生成认证票据并发送至隔离访问模块，包括：
26.身份认证模块接收并验证用户的身份信息，通过验证时生成安全认证票据并发送至所述隔离访问模块，并基于所述安全认证票据校验所述隔离访问模块发送的身份校验信息；
27.所述身份认证模块根据所述访问请求生成访问认证票据并发送至所述隔离访问模块，并基于所述访问认证票据校验所述目标web应用发送的访问校验信息。
28.可选的，所述隔离访问模块根据所述认证票据和所述访问请求访问目标web应用，并将访问结果返回至所述用户，包括：
29.所述隔离访问模块接收所述身份认证模块发送的访问请求，解析得到所述安全认证票据；
30.所述隔离访问模块基于所述安全认证票据向所述身份认证模块发送身份校验信息，在所述身份认证模块通过身份校验后接收所述身份认证模块发送的访问认证票据；
31.所述隔离访问模块将所述访问认证票据发送至所述目标web应用，在所述目标web应用根据所述访问认证票据通过访问校验后，根据所述访问请求访问所述目标web应用，并将访问结果返回至所述用户。
32.可选的，所述身份认证模块接收并验证用户的身份信息，通过验证时生成安全认证票据并发送至所述隔离访问模块，包括：
33.所述身份认证模块接收用户发送的身份信息和身份验证信息，基于所述身份验证信息对所述身份信息进行验证；
34.当所述身份信息通过验证时，所述身份认证模块生成安全认证票据并存储，将所述安全认证票据载入所述用户的访问请求中发送至所述隔离访问模块；
35.所述身份认证模块接收所述隔离访问模块发送的身份校验信息，基于所述安全认证票据对所述身份校验信息进行校验。
36.可选的，所述身份认证模块根据所述访问请求生成访问认证票据并发送至所述隔离访问模块，并基于所述访问认证票据校验所述目标web应用发送的访问校验信息，包括：
37.所述身份认证模块对所述身份校验信息进行校验并通过后，基于所述访问请求生成访问认证票据并存储；
38.所述身份认证模块将所述访问认证票据发送至所述隔离访问模块；
39.所述身份认证模块接收所述目标web应用发送的访问校验信息，基于所述访问认证票据对所述访问校验信息进行校验，将访问校验结果返回至所述目标web应用。
40.本发明通过设置身份认证模块和隔离访问模块，身份认证模块用于根据用户的访问请求验证用户的访问身份，基于验证结果生成认证票据并发送至隔离访问模块；隔离访问模块根据认证票据和访问请求访问目标web应用，并将访问结果返回至用户，其中，目标web应用根据访问请求确定。解决了大多数企业内部的web应用访问安全性低，无法有效保障用户身份合法性的问题，实现了将web应用保护在隔离访问服务的的后端，大大提升了web应用的安全性。
附图说明
41.图1是本发明实施例一提供的一种web应用访问系统的结构框图；
42.图2是本发明实施例二提供的一种web应用访问方法的流程图。
具体实施方式
43.下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构，此外，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。
44.实施例一
45.图1是本发明实施例一提供的一种web应用访问系统的结构框图。如图1所示，用户访问web应用时，web应用访问系统在中间起到验证访问身份、隔离访问的作用。在本实施例中，多个web应用可以同时共用一个web应用访问系统，web应用访问系统根据用户的访问请求确定用户想要访问的目标web应用，在验证用户的访问身份后，根据用户的访问请求访问目标web应用。
46.可以理解的是，用户发出的访问请求中会携带用户需要访问的web应用的相关信息，即目标web应用的相关信息，解析访问请求即可从确定目标web应用。
47.本发明实施例提供了一种web应用访问系统，可以包括身份认证模块11和隔离访问模块12。
48.身份认证模块11，可以用于根据用户的访问请求验证用户的访问身份，基于验证结果生成认证票据并发送至隔离访问模块12。
49.可选的，身份认证模块11可以包括身份认证单元和访问校验单元。
50.在本实施例中，身份认证模块11主要的作用可以分为对用户的身份信息进行验证和校验，以及对用户的访问请求进行校验两部分。
51.身份认证单元可以用于接收并验证用户的身份信息，通过验证时生成安全认证票
据并发送至隔离访问模块12，并基于安全认证票据校验隔离访问模块12发送的身份校验信息。
52.进一步的，身份认证单元可以具体用于：接收用户发送的身份信息和身份验证信息，基于身份验证信息对身份信息进行验证；当身份信息通过验证时，生成安全认证票据并存储，将安全认证票据载入用户的访问请求中发送至隔离访问模块12；接收隔离访问模块12发送的身份校验信息，基于安全认证票据对身份校验信息进行校验。
53.在实际应用中，身份认证单元验证用户的身份信息可以在隔离访问模块12访问目标web应用之前。验证用户的身份信息可以采用身份证与人脸信息匹配验证、手机号码与验证码匹配验证等方式。例如，接收用户的身份信息为用户的身份证号码，可以采集用户的人脸信息作为身份验证信息，当人脸信息与身份证号码匹配时，可以认为用户的身份信息通过验证，此时身份认证单元可以生成安全认证票据存储于身份认证模块的数据库中，同时，可以将安全认证票据载入用户的访问请求中发送至隔离访问模块12。根据实际使用场景，还可以设置安全认证票据的有效校验次数和有效时间。
54.在隔离访问模块12访问目标web应用时，身份认证单元还可以用于对隔离访问模块12发送的身份校验信息进行校验。
55.访问校验单元可以用于根据访问请求生成访问认证票据并发送至隔离访问模块12，并基于访问认证票据校验目标web应用发送的访问校验信息。
56.进一步的，访问认证单元可以具体用于：在身份认证单元对身份校验信息进行校验并通过后，基于访问请求生成访问认证票据并存储；将访问认证票据发送至隔离访问模块12；接收目标web应用发送的访问校验信息，基于访问认证票据对访问校验信息进行校验，将访问校验结果返回至目标web应用。
57.在实际应用中，访问认证单元校验身份校验信息可以在隔离访问模块12访问目标web应用时。在身份认证单元对隔离访问模块12发送的身份校验信息进行校验并通过后，访问认证单元可以基于访问请求生成与目标web应用相关的访问认证票据存储于身份认证模块的数据库中，并将访问认证票据发送至隔离访问模块12。在隔离访问模块12根据访问认证票据访问目标web应用时，目标web应用向身份认证模块发送访问校验信息，身份认证单元可以基于存储的访问认证票据对访问校验信息进行校验，将访问校验结果返回至目标web应用。根据实际使用场景，还可以设置访问认证票据的有效校验次数和有效时间。
58.隔离访问模块12，可以根据认证票据和访问请求访问目标web应用，并将访问结果返回至用户。
59.可选的，隔离访问模块12可以具体用于：接收身份认证模块11发送的访问请求，解析得到安全认证票据；基于安全认证票据向身份认证模块11发送身份校验信息，在身份认证模块11通过身份校验后接收身份认证模块11发送的访问认证票据；将访问认证票据发送至目标web应用，在目标web应用根据访问认证票据通过访问校验后，根据访问请求访问目标web应用，并将访问结果返回至用户。
60.本实施例的技术方案，通过设置身份认证模块和隔离访问模块，身份认证模块用于根据用户的访问请求验证用户的访问身份，基于验证结果生成认证票据并发送至隔离访问模块；隔离访问模块根据认证票据和访问请求访问目标web应用，并将访问结果返回至用户，其中，目标web应用根据访问请求确定。解决了大多数企业内部的web应用访问安全性
低，无法有效保障用户身份合法性的问题，实现了将web应用保护在隔离访问服务的的后端，大大提升了web应用的安全性。
61.实施例二
62.图2为本发明实施例一提供的一种web应用访问方法的流程图，本实施例可适用于提升web应用安全性的情况，该方法可以应用于web应用访问系统，该系统可以通过软件和/或硬件实现。
63.如图2所示，该方法具体包括如下步骤：
64.步骤210、身份认证模块根据用户的访问请求验证用户的访问身份，基于验证结果生成认证票据并发送至隔离访问模块。
65.可选的，身份认证模块验证用户的访问身份时可以包括两种情况：
66.情况一：身份认证模块接收并验证用户的身份信息，通过验证时生成安全认证票据并发送至隔离访问模块，并基于安全认证票据校验隔离访问模块发送的身份校验信息。
67.情况一具体可以通过以下步骤实现：身份认证模块接收用户发送的身份信息和身份验证信息，基于身份验证信息对身份信息进行验证；当身份信息通过验证时，身份认证模块生成安全认证票据并存储，将安全认证票据载入用户的访问请求中发送至隔离访问模块；身份认证模块接收隔离访问模块发送的身份校验信息，基于安全认证票据对身份校验信息进行校验。
68.情况二：身份认证模块根据访问请求生成访问认证票据并发送至隔离访问模块，并基于访问认证票据校验目标web应用发送的访问校验信息。
69.情况二具体可以通过以下步骤实现：身份认证模块对身份校验信息进行校验并通过后，基于访问请求生成访问认证票据并存储；身份认证模块将访问认证票据发送至隔离访问模块；身份认证模块接收目标web应用发送的访问校验信息，基于访问认证票据对访问校验信息进行校验，将访问校验结果返回至目标web应用。
70.其中，目标web应用根据访问请求确定。
71.步骤220、隔离访问模块根据认证票据和访问请求访问目标web应用，并将访问结果返回至用户。
72.可选的，步骤220具体可以通过以下步骤实现：隔离访问模块接收身份认证模块发送的访问请求，解析得到安全认证票据；隔离访问模块基于安全认证票据向身份认证模块发送身份校验信息，在身份认证模块通过身份校验后接收身份认证模块发送的访问认证票据；隔离访问模块将访问认证票据发送至目标web应用，在目标web应用根据访问认证票据通过访问校验后，根据访问请求访问目标web应用，并将访问结果返回至用户。
73.示例性的，本发明实施例提供的web应用访问系统处理用户的访问请求的主要流程可以是：web应用访问系统接收到用户发出的访问请求时，身份认证模块接收用户发送的身份信息和身份验证信息，基于身份验证信息对身份信息进行验证；当身份信息通过验证时，身份认证模块生成安全认证票据并存储于身份认证模块的数据库中，同时，身份认证模块将安全认证票据载入用户的访问请求中发送至隔离访问模块；隔离访问模块接收身份认证模块发送的访问请求，解析得到安全认证票据，基于安全认证票据向身份认证模块发送身份校验信息；身份认证模块接收隔离访问模块发送的身份校验信息，基于存储在数据库中的安全认证票据对身份校验信息进行校验，校验通过后可以清除安全认证票据，并基于
访问请求生成与目标web应用相关的访问认证票据存储于身份认证模块的数据库中，同时将访问认证票据发送至隔离访问模块，该访问认证票据的有效期可以默认为30秒，有效校验次数可以为1次；隔离访问模块接收身份认证模块发送的访问认证票据，将访问认证票据发送至目标web应用；目标web应用可以根据访问认证票据向身份认证模块发送访问校验信息；身份认证模块接收目标web应用发送的访问校验信息时，基于存储在数据库中的访问认证票据对访问校验信息进行校验，将访问校验结果返回至目标web应用；当通过访问校验时，隔离访问模块可以根据访问请求访问目标web应用，并将访问结果返回至用户。
74.本实施例的技术方案，应用于web应用访问系统，身份认证模块根据用户的访问请求验证用户的访问身份，基于验证结果生成认证票据并发送至隔离访问模块；隔离访问模块根据认证票据和访问请求访问目标web应用，并将访问结果返回至用户，其中，目标web应用根据访问请求确定。解决了大多数企业内部的web应用访问安全性低，无法有效保障用户身份合法性的问题，实现了将web应用保护在隔离访问服务的的后端，大大提升了web应用的安全性。
75.值得注意的是，上述web应用访问系统的实施例中，所包括的各个单元和模块只是按照功能逻辑进行划分的，但并不局限于上述的划分，只要能够实现相应的功能即可；另外，各功能单元的具体名称也只是为了便于相互区分，并不用于限制本发明的保护范围。
76.注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。