一种网站访问加密控制方法、系统及存储介质与流程

1.本发明涉及网页加密技术领域，尤其涉及的是一种网站访问加密控制方法、系统及存储介质。


背景技术：

2.在访问互联网上的网址时，通常直接在浏览器地址栏输入对应的域名即可达到访问的目的；但有一些网站只能针对部分人群开放，比如企业内部网站，传统技术中，通常将这类网站架设在内部局域网的服务器上，以防止网站暴露在互联网上，但这样的设置方式使得该类网站只能在内部网络进行访问，企业员工或其他允许访问者遇到如出差等将特殊情况时，将无法访问。比如申请号为2014106316807的发明专利申请公布了一种确保安全内网环境的方法，其包括步骤：s1、整个内网主体由一个系统服务器、传统网络环境、无硬盘的客户端电脑组成；s2、首先在系统服务器上，系统服务器配合加密卡，使此服务器网络传输和内部数据全部加密，该系统服务器中存储公司定制的系统镜像；s3、首先在系统服务器上配置每个员工用户的使用权限，每种不同的权限对应着不同的系统设置，如管理员等级，安全策略，为每个用户绑定一个usbkey，该key对应着此用户的使用权限信息，内存和服务器一致的密钥来访问系统服务器数据；s4、企业内的每台电脑都实现为没有硬盘、不保留任何数据的终端，每个用户只要带着自己的key随便插在一台电脑上，即可访问自己权限对应的系统进行办公等操作；s5、终端电脑启动时，优先从key启动，首先读取了身份权限信息后，和系统服务器建立连接，从系统服务器远程启动系统镜像，该系统镜像不包括配置信息，配置信息加密保存在另外的文件夹；s6、系统启动后直接调用该用户对应的配置文件，便可使用自己专属的系统。
3.上述发明专利申请以类似于网吧管理系统的方式进行公司内网的配置，旨在节省成本，提高管理方便性及安全可靠性；但受限于内网固有的缺陷，始终无法解决被允许访问者在内网之外无法进行网站访问的问题。
4.现有技术为解决上述问题，提供了架设vpn(virtualprivatenetwork，虚拟专用网络)以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间发送数据的技术方案，《“vpn虚拟专用网络”组建和使用指南》一文进行了通过vpn访问公司内网方法的详细介绍，具体地包括步骤：技术人员配置vpn服务器并赋予用户拨入的权限(该两个步骤较为复杂，与本发明要解决的技术问题关联性不大，本发明此处不再赘述)；用户通过局域网来进行vpn连接，该步骤具体包括：1、进入想要连接到vpn服务器的计算机(下文介绍以win98为例进行介绍，不同版本的系统操作方法不同)，先安装“虚拟专用网络”服务：在控制面板的“网络”选项下，进入“通讯”即可找到此项并添加上去，安装完成之后再根据提示重新启动计算机；2、重新启动后，核实控制面板“网络”选项下是否已有“microsoft虚拟私人网络适配器”，若是则可进行该计算机与服务器之间的vpn连接，若否则重复上述步骤直至安装成功。
5.由上述介绍不难发现，vpn连接需要访问用户(可能是技术人员，但更可能的是非
技术人员)进行“虚拟专用网络”服务的安装，对于非技术人员而言操作难度较大，而且每使用一台新的计算机皆要重复安装，操作较为繁琐。
6.可见，现有技术还有待于改进和发展。


技术实现要素：

7.鉴于上述现有技术的不足，本发明的目的在于提供一种网站访问加密控制方法、系统及存储介质，旨在解决现有技术中内网只能在局域网内访问，而vpn连接需要访问用户进行“虚拟专用网络”服务的安装，对于非技术人员而言操作难度较大，而且每使用一台新的计算机皆要重复安装，操作较为繁琐的问题。
8.本发明的技术方案如下：
9.一种网站访问加密控制方法，其包括：
10.与网站访问钥匙绑定的客户端程序在计算机识别插入的网站访问钥匙后运行；
11.客户端程序接收用户输入目标网站访问地址的操作指令，开启所述计算机中的web服务，通过所述web服务搭建临时本地网站并打开浏览器；
12.所述浏览器向所述客户端程序发送访问所述临时本地网站的访问请求；
13.所述客户端程序将所述访问请求转发至服务器程序，所述服务器程序与目标网站部署在同一台服务器上；
14.所述服务器程序将所述目标网站返回的数据转发至所述临时本地网站，所述临时本地网站将所接收的数据显示于所述浏览器。
15.上述方案的效果在于：本发明通过客户端程序及服务器程序的中转，使得访问用户在计算机有联网的情况下，在任何地点皆能进行企业专属网站或者类似网站的访问；而且，本发明中的客户端程序与网站访问钥匙唯一绑定，使得客户端程序无法脱离网站访问钥匙单独使用，保证了只针对部分人群开放的专属网站的内容安全性；此外，客户端程序在插入于计算机后将自动运行，访问用户只需要像访问普通互联网网站一样输入网址即可，客户端程序会开启计算机中的web服务并通过客户端程序与浏览器的交互、客户端程序与服务器程序的交互以及服务器程序与目标网站的交互将目标网站的内容自动呈现于所述浏览器，即使是非技术人员也能快速便捷的进行专属网站的访问；即，本发明提供的技术方案解决了传统专属网站受限于内部网络的局限性，提高了专属网站访问的安全性及快捷性，同时降低了其使用门槛。
16.在进一步地优选方案中，所述计算机为第一计算机，与所述第一计算机处于同一局域网内的计算机为第二计算机，所述网站访问加密控制方法还包括步骤：
17.第二计算机上的浏览器接收用户输入第一计算机ip地址及端口号的操作指令，向所述客户端程序发送目标网站访问请求；
18.客户端程序将所述目标网站通过临时本地网站接收的数据转发并显示于所述第二计算机上的浏览器，并在弹窗界面上显示局域网内网站访问日志。
19.上述方案的效果在于：当同一局域网内有多个访问用户同时访问目标网站时，只需要通过一个客户端程序即可，降低了硬件成本及管理成本；但不仅仅在于此的是：多个用户通过同一客户端程序访问目标网站更为便于通过访问日志进行访问记录追溯，提高了管理方便性。
20.在进一步地优选方案中，所述客户端程序及服务器程序皆基于高并发模型构建。
21.上述方案的效果在于：在允许同一局域网内多个访问用户通过同一客户端程序访问目标网站的情况下，客户端程序可能面临高并发的问题，基于高并发模型构建客户端程序可以减少甚至避免因高并发带来的计算机宕机问题；同样的，服务器程序基于高并发模型构建可以减少甚至避免因高并发带来的服务器宕机问题。
22.在进一步地优选方案中，所述与网站访问钥匙绑定的客户端程序在计算机识别插入的网站访问钥匙后运行的步骤之前还包括：预先在网站访问钥匙的芯片中写入序列号，并将所述序列号编译至客户端程序；
23.所述与网站访问钥匙绑定的客户端程序在计算机识别插入的网站访问钥匙后运行的步骤之后还包括：客户端程序检测序列号信息，若无法检测到指定序列号则关闭所有功能。
24.上述方案的效果在于：每一个网站访问钥匙中的客户端程序都不一定是一样的，可通过批量授权和单独授权进行权限匹配，无论哪种授权方式，皆需要网站访问钥匙验证客户端程序中的序列号信息，也就是说，客户端程序是无法单独拷贝出来使用的，进一步提高了目标网站内容的安全性。
25.在进一步地优选方案中，所述网站访问加密控制方法还包括步骤：服务器程序检测到来自于非客户端程序的访问请求时，断开连接或者跳转至任意协议的虚拟信息。
26.上述方案的效果在于：对于非授权的访问用户而言，即使在得知目标网站访问地址的情况下，通过浏览器直接访问目标网站，亦只会得到错误引导信息，以此可增加目标网站访问的迷惑性，进而进一步提高目标网站内容的安全性。
27.在进一步地优选方案中，所述客户端程序与服务端程序采用动态加密方式通信。
28.上述方案的效果在于：客户端程序及服务器程序皆属于“中间代理人”，负责消息的传递；访问用户所使用的网站可能采用http协议，数据包可能会以明文传输，为了提高数据传输安全性，本发明中客户端程序与服务端程序采用动态加密方式通信。
29.在进一步地优选方案中，所述网站访问加密控制方法还包括：客户端程序发送至服务器程序的所有消息都伴随有当前格林威治时间；
30.所述客户端程序发送至服务器程序的所有消息都伴随有当前格林威治时间的步骤之后还包括：服务器程序将收到的时间与自身时间作对比，判断二者之间的差值是否大于预先设置好的阈值，若是则关闭客户端程序发送来的访问请求。
31.上述方案的效果在于：上述方案的设置使得只有判断结果为否的情况下才会允许客户端程序进行访问，而且此后所有的数据发送与接收都会采用根据当前的格林威治时间动态计算出来的秘钥进行加密及解密；之所以用时间是为了防止他人通过抓包数据包再回放数据进行恶意攻击，利用时间不停变化的特性，计算出来不固定的密钥，进一步提高数据传输的安全性。
32.一种用于实现网站访问加密控制方法的系统，其包括存储器及处理器，所述存储器用于存储用于数据分析的模型处理程序，所述处理器用于运行所述用于数据分析的模型处理程序以实现如上所述的网站访问加密控制方法。
33.一种存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的网站访问加密控制方法的步骤。所述存储介质包括上述网站访问加密控制方法的
所有技术特征，因此也具有上述网站访问加密控制方法的所有技术效果，此处不再赘述。
34.与现有技术相比，本发明提供的网站访问加密控制方法，通过客户端程序及服务器程序的中转，使得访问用户在计算机有联网的情况下，在任何地点皆能进行企业专属网站或者类似网站的访问；而且，本发明中的客户端程序与网站访问钥匙唯一绑定，使得客户端程序无法脱离网站访问钥匙单独使用，保证了只针对部分人群开放的专属网站的内容安全性；此外，客户端程序在插入于计算机后将自动运行，访问用户只需要像访问普通互联网网站一样输入网址即可，客户端程序会开启计算机中的web服务并通过客户端程序与浏览器的交互、客户端程序与服务器程序的交互以及服务器程序与目标网站的交互将目标网站的内容自动呈现于所述浏览器，即使是非技术人员也能快速便捷的进行专属网站的访问；即，本发明提供的技术方案解决了传统专属网站受限于内部网络的局限性，提高了专属网站访问的安全性及快捷性，同时降低了其使用门槛。
附图说明
35.图1是本发明较佳实施例所提供网站访问加密控制方法的流程图。
36.图2是本发明较佳实施例所提供访问用户输入目标网站访问地址后客户端程序的界面示意图。
具体实施方式
37.本发明提供一种网站访问加密控制方法、系统及存储介质，为使本发明的目的、技术方案及效果更加清楚、明确，以下参照附图并举实例对本发明进一步地详细说明。应当理解的是，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
38.本发明提供了一种网站访问加密控制方法，如图1所示，其包括：
39.s100、与网站访问钥匙绑定的客户端程序在计算机识别插入的网站访问钥匙后运行。网站访问钥匙在本发明中特指用于存放客户端程序的计算机可读介质，比如usb key等等。
40.首先需要重点说明的是，互联网网站(俗称外网网站)与内网网站虽然都是网站，但实际上二者的部署及使用要求是完全不同甚至于有些地方是完全相反的；比如，访问内网网站的计算机不需要联网甚至大多数企业会进行计算机的物理断网以保证内网网站内容的安全性，而互联网网站则要求计算机必须连接网络才能正常访问。而本发明所说的网站实质上并不属于内网网站与外网网站的任何一种，在此可称为“专属外网网站”，但需要注意的是，本发明中的专属外网与现有的专网并不相同，专网(专用网络)通常是指两个企业之间的专线连接，这种连接是两个企业的内网之间的物理连接(通用专用电话线连接)，最大优点是安全，但缺陷是专网仍然只能在固定地点使用，只不过相对于内网来说，多增加了一个使用地点，并不能适用于本发明中不固定位置通过互联网访问专属外网网站的要求，故本发明所提供的技术方案中的网站的部署方式区别于现有内网网站、外网网站及专网网站等等。
41.在具体实施时，每一个网站访问钥匙中的客户端程序都不一定是一样的，可通过批量授权和单独授权进行权限匹配；批量授权是指多个网站访问钥匙中使用的是同一个客户端程序，客户端程序可兼容该部分网站访问钥匙，具有一定的兼容性；单独授权是指网站
访问钥匙与其中承载的客户端程序唯一绑定，完全排他(即网站访问钥匙完全排斥其他任何一个单独授权及批量授权的客户端程序，而客户端程序也完全排斥其他任何一个单独授权及批量授权的网站访问钥匙)，也就是说，客户端程序是无法单独拷贝出来使用的，提高了安全性。
42.在本发明进一步地较佳实施例中，步骤s100之前还包括：预先在网站访问钥匙的芯片中写入序列号，并将所述序列号编译至客户端程序；步骤s100之后还包括：客户端程序检测序列号信息，若无法检测到指定序列号则关闭所有功能，若检测到指定序列号则执行步骤s200。
43.步骤s200、客户端程序接收用户输入目标网站访问地址的操作指令，开启所述计算机中的web服务，通过所述web服务搭建临时本地网站并打开浏览器。
44.所述客户端程序在运行后弹出对话框，访问用户在输入目标网站访问地址并点击开始(或者不点击直接开始，或者每隔一定时间后检测访问用户输入的结果等等方式皆可，本发明对此不做具体限定)后的界面如图2所示，界面中“stop”按键左侧的是真正的网站地址(即，192.168.10.234:65001，此外还可以使用域名或ip替代)。
45.在具体实施时，在访问用户输入好访问目标点击“start”按钮后，客户端程序则会开启计算机中的web服务，而web服务则会自动与服务器程序间接建立通信，即浏览器上最终将出现访问用户想要访问的网站内容。但需要注意的是，若不通过客户端程序，通过浏览器直接访问“192.168.10.234:65001”，服务器程序监测到来自于“非客户端程序”的请求时，会直接断开连接或者跳转至任意协议的虚拟信息(蜜罐，如虚假页面信息)，只有访问请求来自于客户端程序时，服务器程序才会返回想要访问的网站“192.168.10.234:65001”的真实内容。
46.s300、所述浏览器向所述客户端程序发送访问所述临时本地网站的访问请求。
47.s400、所述客户端程序将所述访问请求转发至服务器程序，所述服务器程序与目标网站部署在同一台服务器上。
48.仍然需要重复说明的是，我们所要保护的对象并不在内网环境，而是互联网环境，不同于现有互联网网站的是，本发明所要保护的网站虽然部署在互联网上，但并不公开网站所使用的端口(比如www.myweb.com，在浏览器中输入该网址是可以访问的，代表有真实的域名注册及解析等前置动作，但在不公开端口的情况下，普通用户看到的内容并非真实有用的)，故此只能用专用的、与所要保护网站部署在同一服务器上的服务器程序来访问；如图2所示，浏览器访问的是本地(localhost)的52553(52553是端口号，图2中示例内容为：localhost:52553/#/)。
49.在具体实施时，客户端程序会开启所述计算机中的“localhost”选项，以限定一般情况下目标网站的真实内容仅显示于客户端程序所在计算机。
50.s500、所述服务器程序将所述目标网站返回的数据转发至所述临时本地网站，所述临时本地网站将所接收的数据显示于所述浏览器。
51.至此，访问用户即可在所述计算机上的浏览器查看目标网站上的真实内容，总的来说，访问用户需要进行如下操作：1、将网站访问钥匙插入计算机，2、在客户端程序上输入目标网站访问地址；与普通网站的访问相比，只增加了网站访问钥匙的插入操作，而该操作毫无技术难度且毫不复杂，故本发明所提供的网站访问加密控制方法降低了“专属外网网
站”访问的技术难度，使得无论访问用户是否属于技术人员皆可顺利执行相应操作。此外，目标网站的访问必须用到存储有客户端程序的网站访问钥匙，而客户端程序则会验证网站访问钥匙内的序列号，使得客户端程序无法脱离网站访问钥匙单独使用，提高了“专属外网网站”内容的安全性。
52.在本发明进一步地较佳实施例中，所述计算机为第一计算机，与所述第一计算机处于同一局域网内的计算机为第二计算机，所述网站访问加密控制方法还包括：
53.第二计算机上的浏览器接收用户输入第一计算机ip地址及端口号的操作指令，向所述客户端程序发送目标网站访问请求；
54.客户端程序将所述目标网站通过临时本地网站接收的数据转发并显示于所述第二计算机上的浏览器，并在弹窗界面上显示局域网内网站访问日志。
55.在图2所展示的示例之中，真正的网站地址“192.168.10.234:65001”的下方显示有http://192.168.10.58:52553，其中192.168.10.58:52553是第一计算机的ip地址，而52553则如上所述为其端口号；而下方显示有局域网内网站访问日志，具体如下：
[0056]“[10：35：50][start][127.0.0.1:52559-＞192.168.10.234:65001]”，
[0057]“[10：35：50][start][127.0.0.1:52557-＞192.168.10.234:65001]”，
[0058]“[10：35：49][start][127.0.0.1:52554-＞192.168.10.234:65001]”；
[0059]
其中，第一个中括号内为时间，第三个端口号中“127.0.0.1”指代本地计算机，“52559”、“52557”以及“52554”则分别为三个第二计算机的端口号，从上述日志内可以清楚得知：在哪个时间段，哪个本地计算机在通过所述客户端程序访问所述目标网站。该改进点的效果有：当同一局域网内有多个访问用户同时访问目标网站时，只需要通过一个客户端程序即可，降低了硬件成本及管理成本；但不仅仅在于此的是：多个用户通过同一客户端程序访问目标网站更为便于通过访问日志进行访问记录追溯，提高了管理方便性。
[0060]
进一步地，所述客户端程序及服务器程序皆基于高并发模型构建。在允许同一局域网内多个访问用户通过同一客户端程序访问目标网站的情况下，客户端程序可能面临高并发的问题，基于高并发模型构建客户端程序可以减少甚至避免因高并发带来的计算机宕机问题；同样的，服务器程序基于高并发模型构建可以减少甚至避免因高并发带来的服务器宕机问题。
[0061]
较佳地是，所述客户端程序与服务端程序采用动态加密方式通信。客户端程序与服务器程序之间的通信采用自研加密算法进行数据包传输，客户端程序及服务器程序皆属于“中间代理人”，负责消息的传递；访问用户所使用的网站可能采用http协议，数据包可能会以明文传输，为了提高数据传输安全性，本发明中客户端程序与服务端程序采用了动态加密方式通信，且本发明所采用的并不是“非对称加密”以提高数据传输效率，非对称加密过程较为复杂，而且若两端的程序本就对数据进行过加密处理，则会导致重复加密。
[0062]
在具体实施时，所述网站访问加密控制方法还包括：客户端程序发送至服务器程序的所有消息都伴随有当前格林威治时间；
[0063]
所述客户端程序发送至服务器程序的所有消息都伴随有当前格林威治时间的步骤之后还包括：服务器程序将收到的时间与自身时间作对比，判断二者之间的差值是否大于预先设置好的阈值，若是则关闭客户端程序发送来的访问请求。上述设置意味着只有判断结果为否的情况下才会允许客户端程序进行访问，而且此后所有的数据发送与接收都会
采用根据当前的格林威治时间动态计算出来的秘钥进行加密及解密；之所以用时间是为了防止他人通过抓包数据包再回放数据进行恶意攻击，利用时间不停变化的特性，计算出来不固定的密钥，进一步提高了数据传输的安全性。
[0064]
本发明还提供了一种用于实现网站访问加密控制方法的系统，其包括存储器及处理器，所述存储器用于存储用于数据分析的模型处理程序，所述处理器用于运行所述用于数据分析的模型处理程序以实现如上所述的网站访问加密控制方法。
[0065]
本发明还提供了一种存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的网站访问加密控制方法的步骤。所述存储介质包括上述网站访问加密控制方法的所有技术特征，因此也具有上述网站访问加密控制方法的所有技术效果，此处不再赘述。
[0066]
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本发明所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
[0067]
在此提供的算法或显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明实施例也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
[0068]
在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。
[0069]
类似地，应当理解，为了精简本发明并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。
[0070]
本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何
组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
[0071]
此外，本领域的技术人员能够理解，尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
[0072]
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。上述实施例中的步骤，除有特殊说明外，不应理解为对执行顺序的限定。