一种基于企业浏览器实现的网络安全验证方法和装置与流程

本发明实施例涉及网络安全技术领域，具体涉及一种基于企业浏览器实现的网络安全验证方法和装置，另外还涉及一种电子设备和计算机可读存储介质。

背景技术：

近年来，随着网络技术的不断发展，基于企业浏览器运营管理企业内部业务系统数据已成为提高工作效率的有效方式。因此，为企业提供安全、高效的企业浏览器系统已逐渐成为本领域发展的重点。企业浏览器系统通常可包括客户端(即前端企业浏览器)、后台服务器、内部业务系统以及预设网关等。其中，前端企业浏览器是未来企业实现智能管理的重要手段，其通常兼容chrome内核、ie内核等，可为企业实现深度定制、集成管理业务系统数据。其中，预设网关可以通过预先验证的方式过滤掉非正常访问请求，从而保证内部数据安全。然而，目前用户基于前端企业浏览器访问企业内部业务系统数据时预设网关缺乏有效的安全验证机制，业务系统的暴露面过大，导致访问企业内部业务系统过程中数据的安全性较低。

因此，如何提供一种针对企业浏览器访问内部业务系统数据时安全的验证机制成为亟待解决的技术问题。

技术实现要素：

为此，本发明实施例提供一种基于企业浏览器实现的网络安全验证方法，以解决现有技术中存在的用户基于企业浏览器访问内部业务系统数据时，业务系统暴露面较大，导致企业内部业务系统数据安全性较低，无法得到有效保障的问题。

为了实现上述目的，本发明实施例提供如下技术方案：

第一方面，本发明实施例提供一种基于企业浏览器实现的网络安全验证方法，包括：预先获取用户的访问权限范围信息；根据所述访问权限范围信息分别生成相应的策略id，并构建包含所述策略id和访问权限范围对应关系的访问权限列表；获取用户基于企业浏览器发送的http请求数据包，从所述http请求数据包的ua字段中提取出目标策略id；利用所述目标策略id遍历所述访问权限列表进行匹配验证，若匹配验证通过，则根据所述目标策略id确定用户的访问权限范围，并基于所述访问权限范围向所述企业浏览器返回相应的响应内容。

进一步的，所述的基于企业浏览器实现的网络安全验证方法，还包括：

获取用户登录所述企业浏览器的身份标识信息，对所述身份标识信息进行验证，判断所述用户对应的所述访问权限范围信息；

根据所述用户对应的所述访问权限范围信息，向所述企业浏览器下发相应的所述目标策略id。

进一步的，所述身份标识信息包括用户登录所述企业浏览器的账户名信息、登录密码信息以及登录验证码信息中的至少一种。

进一步的，所述访问权限范围包括：允许所述用户基于所述企业浏览器访问的业务系统，以及允许所述用户基于所述企业浏览器访问所述业务系统内部的业务数据。

进一步的，所述企业浏览器为用于管理内部业务系统的运营管理服务平台。

第二方面，本发明实施例还提供一种基于企业浏览器实现的网络安全验证装置，包括：预先构建访问权限列表单元，用于预先获取用户的访问权限范围信息；根据所述访问权限范围信息分别生成相应的策略id，并构建包含所述策略id和访问权限范围对应关系的访问权限列表；目标策略id获取单元，用于获取用户基于企业浏览器发送的http请求数据包，从所述http请求数据包的ua字段中提取出目标策略id；安全验证单元，用于利用所述目标策略id遍历所述访问权限列表进行匹配验证，若匹配验证通过，则根据所述目标策略id确定用户的访问权限范围，并基于所述访问权限范围向所述企业浏览器返回相应的响应内容。

进一步的，所述的基于企业浏览器实现的网络安全验证装置，还包括：身份信息获取和验证单元，用于获取用户登录所述企业浏览器的身份标识信息，对所述身份标识信息进行验证，判断所述用户对应的所述访问权限范围信息；目标策略id下发单元，用于根据所述用户对应的所述访问权限范围信息，向所述企业浏览器下发相应的所述目标策略id。

进一步的，所述身份标识信息包括用户登录所述企业浏览器的账户名信息、登录密码信息以及登录验证码信息中的至少一种。

进一步的，所述访问权限范围包括：允许所述用户基于所述企业浏览器访问的业务系统，以及允许所述用户基于所述企业浏览器访问所述业务系统内部的业务数据。

进一步的，所述企业浏览器为用于管理内部业务系统的运营管理服务平台。

第三方面，本发明实施例还提供基于企业浏览器实现的安全验证标识方法，包括：接收后台服务器下发的策略id；其中，所述策略id用于标识基于企业浏览器访问业务系统的用户所对应的访问权限范围；当所述用户基于所述企业浏览器访问业务系统时，将所述策略id打包存储至http请求数据包的ua字段中；向所述业务系统对应的网关发送携带有所述策略id的http请求数据包。

第四方面，本发明实施例还提供一种基于企业浏览器实现的安全验证标识装置，包括：策略id接收单元，用于接收后台服务器下发的策略id；其中，所述策略id用于标识基于企业浏览器访问业务系统的用户所对应的访问权限范围；策略id存储单元，用于当所述用户基于所述企业浏览器访问业务系统时，将所述策略id打包存储至http请求数据包的ua字段中；http请求发送单元，用于向所述业务系统对应的网关发送携带有所述策略id的http请求数据包。

第五方面，本发明实施例还提供了一种电子设备，包括：处理器和存储器；其中，所述存储器，用于存储基于企业浏览器实现的网络安全验证方法的程序，该电子设备通电并通过所述处理器运行该基于企业浏览器实现的网络安全验证方法的程序后，执行上述所述的任意一项所述的基于企业浏览器实现的网络安全验证方法。

第六方面，本发明实施例还提供了一种计算机可读存储介质，所述计算机存储介质中包含一个或多个程序指令，所述一个或多个程序指令用于被服务器执行上述基于企业浏览器实现的网络安全验证方法中任一项所述的方法。

采用本发明所述的基于企业浏览器实现的网络安全验证方法，能够通过验证http请求数据包中策略id的方式，确定用户的访问权限，减小了业务系统的暴露面，提高了基于企业浏览器访问业务系统数据的安全性。

附图说明

为了更清楚地说明本发明的实施方式或现有技术中的技术方案，下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是示例性的，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图引申获得其它的实施附图。

图1为本发明实施例提供的一种基于企业浏览器实现的网络安全验证方法的流程图；

图2为本发明实施例提供的一种基于企业浏览器实现的网络安全验证装置的示意图；

图3为本发明实施例提供的一种电子设备的示意图；

图4为本发明实施例提供的一种基于企业浏览器实现的安全验证标识方法的流程图；

图5为本发明实施例提供的一种基于企业浏览器实现的安全验证标识装置的示意图。

具体实施方式

以下由特定的具体实施例说明本发明的实施方式，熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

下面基于本发明所述的一种基于企业浏览器实现的网络安全验证方法，对其实施例进行详细描述。如图1所示，其为本发明实施例提供的一种基于企业浏览器实现的网络安全验证方法的流程图，具体实现过程包括以下步骤：

步骤s101：预先获取用户的访问权限范围信息；根据所述访问权限范围信息分别生成相应的策略id，并构建包含所述策略id和访问权限范围对应关系的访问权限列表。

在具体实施过程中，通常需要将用户id作为标识进行访问权限范围的检查。然而，当用户数目较多的情况下，用户id数量随之增多；相应的，如果每个包含用户id的http请求数据包都做一次验证，匹配验证的速度会变慢。为此，在本发明实施例中，可获取用户的访问权限范围信息，将具备相同访问权限范围的用户生成了一个相同的策略id，这样可以有效减少用户id数量，从而提升匹配验证的速度。

其中，所述访问权限范围信息可以是指用于表示企业内部不同类别工作部门的用户能够基于企业浏览器访问业务系统的范围信息。所述策略id可以是指与预先配置的分属不同类别部门内的用户能够基于企业浏览器访问企业内部业务系统数据的权限范围相对应的标识信息。

另外，在一个企业内部也可根据不同类型的工作部门生成相应的策略id，所述的不同类型的工作部门可以基于职能的不同进行划分，比如：人事部门、市场推广部门、策划部门等；也可以基于职位等级的不同进行划分，比如：主管部门、总监部门、员工部门等，通常不同工作部门所具备的访问权限范围是不同的，在此不做具体限定。

所述的构建包含所述策略id和访问权限范围对应关系的访问权限列表，具体包括：构建所述标识信息和预先配置的分属不同类别部门内的用户能够基于企业浏览器访问企业内部业务系统数据的权限范围之间的对应关系，并将所述标识信息(即策略id)、预先配置的分属不同类别部门内的用户能够基于企业浏览器访问企业内部业务系统数据的权限范围以及所述对应关系存储至数据存储模块中国的访问权限列表中，便于后期对提取的访问请求中携带的实际策略id进行匹配验证，从而确定用户可实际访问的内部业务系统数据内容。其中，所述访问权限范围可以包括允许所述用户基于所述企业浏览器访问的业务系统，以及允许所述用户基于所述企业浏览器访问所述业务系统内部的业务数据等。在本发明实施例中，业务系统可包括erp(企业资源计划管理)、crm(客户关系管理)和oa(办公自动化流程管理)等多种类型的业务系统，针对不同的业务系统，访问用户通常对应不同的访问权限。因此，在具体实施过程中，预设网关可接收后台服务器下发的预先配置的访问权限列表。

步骤s102：获取用户基于企业浏览器发送的http请求数据包，从所述http请求数据包的ua字段中提取出目标策略id。

在本发明实施例中，所述的企业浏览器兼容chrome内核、ie内核等，作为用于统一管理企业内部业务数据的运营管理服务平台，可为企业实现深度定制、集成管理业务系统数据。

所述的http请求数据包可以是指所述企业浏览器基于http协议发送的http访问请求中包含的数据存储单元。http请求数据包结构包括请求行、消息头以及消息正文等。其中，请求行在请求数据包的第一行，包含请求类型(get/post)、请求资源路径、协议的版本和类型；消息头包含若干种样式(w3c定义的一些有特殊意义的键值对)，服务器端和客户端都会遵循消息头的约定，也可以通过代码设置；消息正文用于存放请求方式为post时的请求参数和值，请求方式为get时的请求参数和值包含在资源路径上。

所述ua(useragent)字段可以包含不同公司的企业浏览器标识，比如：所述目标策略id。

在具体实施过程中，可基于业务系统的预设网关实现访问控制，获取用户基于企业浏览器发送的访问企业内部业务系统数据的http请求数据包，并从所述http请求数据包的ua字段中提取出目标策略id。

步骤s103：利用所述目标策略id遍历所述访问权限列表进行匹配验证，若匹配验证通过，则根据所述目标策略id确定用户的访问权限范围，并基于所述访问权限范围向所述企业浏览器返回相应的响应内容。

在步骤s101中预先构建访问权限列表之后，在本步骤中可基于步骤s102获取的目标策略id和所述访问权限列表中的策略id进行遍历匹配，从而确定响应内容。

在具体实施过程中，当预设网关获取用户基于企业浏览器发送的访问内部业务系统数据的每一个http请求所包含的每一个数据包之后，都要执行提取目标策略id，并遍历访问权限列表进行匹配查询的操作，若所述访问权限列表中的策略id与所述目标策略id相同或相对性，则匹配验证通过，表示可将http请求进行转发，进而访问到相应权限范围内的业务系统数据。

需要说明的是，在基于预设网关获取http请求数据包中携带的目标策略id之前，还包括：预先获取用户登录所述企业浏览器的身份标识信息，对所述身份标识信息进行验证，判断所述用户所属的部门类别；预先根据所述用户所属的部门类别向所述用户登录的所述企业浏览器下发对应的所述目标策略id。其中，所述身份标识信息包括用户登录所述企业浏览器的账户名信息、登录密码信息以及登录验证码信息中的至少一种。

采用本发明所述的基于企业浏览器实现的网络安全验证方法，能够通过验证http请求数据包中策略id的方式，确定用户的访问权限，减小了业务系统的暴露面，提高了基于企业浏览器访问业务系统数据的安全性。

与上述提供的一种基于企业浏览器实现的网络安全验证方法相对应，本发明还提供一种基于企业浏览器实现的网络安全验证装置。由于该装置的实施例相似于上述方法实施例，所以描述的比较简单，相关之处请参见上述方法实施例部分的说明即可，下面描述的基于企业浏览器实现的网络安全验证装置的实施例仅是示意性的。请参考图2所示，其为本发明实施例提供的一种基于企业浏览器实现的网络安全验证装置的示意图。

本发明所述的一种基于企业浏览器实现的网络安全验证装置包括如下部分：

预先构建访问权限列表单元201，用于预先获取用户的访问权限范围信息；根据所述访问权限范围信息生成相应的策略id，并构建包含所述策略id和访问权限范围对应关系的访问权限列表。

在具体实施过程中，通常需要将用户id作为标识进行访问权限范围的检查。然而，当用户数目较多的情况下，用户id数量随之增多；相应的，如果每个包含用户id的http请求数据包都做一次验证，匹配验证的速度会变慢。为此，在本发明实施例中，可获取用户的访问权限范围信息，将具备相同访问权限范围的用户生成了一个相同的策略id，这样可以有效减少用户id数量，从而提升匹配验证的速度。其中，所述访问权限范围信息可以是指用于表示企业内部不同类别工作部门的用户能够基于企业浏览器访问业务系统的范围信息。所述策略id可以是指与预先配置的分属不同类别部门内的用户能够基于企业浏览器访问企业内部业务系统数据的权限范围相对应的标识信息。

另外，在一个企业内部也可根据不同类型的工作部门生成相应的策略id，所述的不同类型的工作部门可以基于职能的不同进行划分，比如：人事部门、市场推广部门、策划部门等；也可以基于职位等级的不同进行划分，比如：主管部门、总监部门、员工部门等，通常不同工作部门所具备的访问权限范围是不同的，在此不做具体限定。

所述的构建包含所述策略id和访问权限范围对应关系的访问权限列表，具体包括：构建所述标识信息和预先配置的分属不同类别部门内的用户能够基于企业浏览器访问企业内部业务系统数据的权限范围之间的对应关系，并将所述标识信息(即策略id)、预先配置的分属不同类别部门内的用户能够基于企业浏览器访问企业内部业务系统数据的权限范围以及所述对应关系存储至数据存储模块中国的访问权限列表中，便于后期对提取的访问请求中携带的实际策略id进行匹配验证，从而确定用户可实际访问的内部业务系统数据内容。其中，所述访问权限范围可以包括允许所述用户基于所述企业浏览器访问的业务系统，以及允许所述用户基于所述企业浏览器访问所述业务系统内部的业务数据等。在本发明实施例中，业务系统可包括erp(企业资源计划管理)、crm(客户关系管理)和oa(办公自动化流程管理)等多种类型的业务系统，针对不同的业务系统，访问用户通常对应不同的访问权限。因此，在具体实施过程中，预设网关可接收后台服务器下发的预先配置的访问权限列表。

目标策略id获取单元202，用于获取用户基于企业浏览器发送的http请求数据包，从所述http请求数据包的ua字段中提取出目标策略id。

所述的http请求数据包可以是指所述企业浏览器基于http协议发送的http访问请求中包含的数据存储单元。所述ua(useragent)字段可以包含不同公司的企业浏览器标识，比如：所述目标策略id。

在具体实施过程中，可基于业务系统的预设网关实现访问控制，获取用户基于企业浏览器发送的访问企业内部业务系统数据的http请求数据包，并从所述http请求数据包的ua字段中提取出目标策略id。

安全验证单元203，用于利用所述目标策略id遍历所述访问权限列表进行匹配验证，若匹配验证通过，则根据所述目标策略id确定用户的访问权限范围，并基于所述访问权限范围向所述企业浏览器返回相应的响应内容。

在预先构建访问权限列表单元201中预先构建访问权限列表之后，在安全验证单元203中可基于目标策略id获取单元202获取的目标策略id和所述访问权限列表中的策略id进行遍历匹配，从而确定响应内容。在具体实施过程中，当预设网关获取用户基于企业浏览器发送的访问内部业务系统数据的每一个http请求所包含的每一个数据包之后，都要执行提取目标策略id，并遍历访问权限列表进行匹配查询的操作，若所述访问权限列表中的策略id与所述目标策略id相同或相对性，则匹配验证通过，表示可将http请求进行转发，进而访问到相应权限范围内的业务系统数据。

需要说明的是，在基于预设网关获取http请求数据包中携带的目标策略id之前，还包括：预先获取用户登录所述企业浏览器的身份标识信息，对所述身份标识信息进行验证，判断所述用户所属的部门类别；预先根据所述用户所属的部门类别向所述用户登录的所述企业浏览器下发对应的所述目标策略id。其中，所述身份标识信息包括用户登录所述企业浏览器的账户名信息、登录密码信息以及登录验证码信息中的至少一种。

采用本发明所述的基于企业浏览器实现的网络安全验证方法，能够通过验证http请求数据包中策略id的方式，确定用户的访问权限，减小了业务系统的暴露面，提高了基于企业浏览器访问业务系统数据的安全性。

与上述提供的基于企业浏览器实现的网络安全验证方法相对应，本发明还提供一种电子设备。由于该电子设备的实施例相似于上述方法实施例，所以描述的比较简单，相关之处请参见上述方法实施例部分的说明即可，下面描述的电子设备仅是示意性的。如图3所示，其为本发明实施例提供的一种电子设备的示意图。

该电子设备具体包括：处理器301和存储器302；其中，存储器302用于运行一个或多个程序指令，用于存储基于企业浏览器实现的网络安全验证方法的程序，该服务器通电并通过所述处理器301运行该基于企业浏览器实现的网络安全验证方法的程序后，执行上述任意一项所述的基于企业浏览器实现的网络安全验证方法。本发明所述的电子设备可以是指企业浏览器对应的后台服务器。

与上述提供的一种基于企业浏览器实现的网络安全验证方法相对应，本发明还提供一种计算机存储介质。由于该计算机存储介质的实施例相似于上述方法实施例，所以描述的比较简单，相关之处请参见上述方法实施例部分的说明即可，下面描述的计算机存储介质仅是示意性的。

所述计算机存储介质中包含一个或多个程序指令，所述一个或多个程序指令用于被服务器执行上述所述的基于企业浏览器实现的网络安全验证方法。所述的服务器可以是指企业浏览器对应的后台服务器。企业浏览器是未来企业实现智能管理的重要手段，其通常兼容chrome内核、ie内核等，可为企业实现深度定制、集成管理业务系统数据，从而满足个性化需求。

与上述提供的一种基于企业浏览器实现的网络安全验证方法和装置相对应，本发明还提供一种基于企业浏览器实现的安全验证标识方法和装置。如图4所示，其为本发明实施例提供的一种基于企业浏览器实现的安全验证标识方法的流程图，具体实现过程包括以下步骤：

步骤s401：接收后台服务器下发的策略id；其中，所述策略id用于标识基于企业浏览器访问业务系统的用户所对应的访问权限范围。

步骤s402：当所述用户基于所述企业浏览器访问业务系统时，将所述策略id打包存储至http请求数据包的ua字段中。

步骤s403：向所述业务系统对应的网关发送携带有所述策略id的http请求数据包。

具体的，在执行上述基于企业浏览器实现的网络安全验证方法之前，当基于所述企业浏览器访问业务系统数据时，需要客户端预先接收后台服务器下发的策略id；将所述策略id打包存储至http请求数据包的ua字段中；向预设业务系统对应的网关发送携带有所述策略id的http请求数据包。其中，所述策略id用于标识基于企业浏览器访问业务系统数据的用户所对应的部门类别。

请参考图5所示，其为本发明实施例提供的一种基于企业浏览器实现的安全验证标识装置的示意图。本发明所述的一种基于企业浏览器实现的安全验证标识装置包括如下部分：

策略id接收单元501，用于接收后台服务器下发的策略id；其中，所述策略id用于标识基于企业浏览器访问业务系统的用户所对应的访问权限范围。

策略id存储单元502，用于当所述用户基于所述企业浏览器访问业务系统时，将所述策略id打包存储至http请求数据包的ua字段中。

http请求发送单元503，用于向所述业务系统对应的网关发送携带有所述策略id的http请求数据包。

需要说明的是，由于该基于企业浏览器实现的安全验证标识方法和装置的实施例相似于上述基于企业浏览器实现的网络安全验证方法实施例，所以描述的比较简单，相关之处请参见上述方法实施例部分的说明即可，在此不再详细描述。

采用本发明所述的基于企业浏览器实现的安全验证标识方法，能够快速的设置安全验证标识，提高基于企业浏览器访问业务系统数据的安全性和效率。

在本发明实施例中，处理器或处理器模块可以是一种集成电路芯片，具有信号的处理能力。处理器可以是通用处理器、数字信号处理器(digitalsignalprocessor，简称dsp)、专用集成电路(applicationspecificintegratedcircuit，简称asic)、现场可编程门阵列(fieldprogrammablegatearray，简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。处理器读取存储介质中的信息，结合其硬件完成上述方法的步骤。

存储介质可以是存储器，例如可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。

其中，非易失性存储器可以是只读存储器(read-onlymemory，简称rom)、可编程只读存储器(programmablerom，简称prom)、可擦除可编程只读存储器(erasableprom，简称eprom)、电可擦除可编程只读存储器(electricallyeprom，简称eeprom)或闪存。

易失性存储器可以是随机存取存储器(randomaccessmemory，简称ram)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的ram可用，例如静态随机存取存储器(staticram，简称sram)、动态随机存取存储器(dynamicram，简称dram)、同步动态随机存取存储器(synchronousdram，简称sdram)、双倍数据速率同步动态随机存取存储器(doubledataratesdram，简称ddrsdram)、增强型同步动态随机存取存储器(enhancedsdram，简称esdram)、同步连接动态随机存取存储器(synchlinkdram，简称sldram)和直接内存总线随机存取存储器(directrambusram，简称drram)。

本发明实施例描述的存储介质旨在包括但不限于这些和任意其它适合类型的存储器。

本领域技术人员应该可以意识到，在上述一个或多个示例中，本发明所描述的功能可以用硬件与软件组合来实现。当应用软件时，可以将相应功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本发明的保护范围之内。