一种身份加强认证和鉴权方法及装置与流程

本发明涉及企业信息安全技术领域，具体地说，是一种身份加强认证和鉴权方法及装置。

背景技术：

传统基于账号和密码登陆认证的业务系统存在极大的安全隐患，可能会由于个人员工设置了弱口令、口令无意丢失、以及黑客攻击等缺陷导致目标业务系统的数据面临泄露的安全隐患。另一方面，基于普通的密码登陆系统无有效审计手段，员工行为操作对该类系统的运营都存在很大风险，且业务系统如果直接暴露在互联网也存在很大的黑客攻击风险。

技术实现要素：

本发明的目的是针对现有技术中使用账号密码登录方式访问企业业务系统存在信息安全隐患的问题，提供一种身份加强认证和鉴权方法及装置，通过在目标网站访问入口部署安全网关，在pc客户端上部署安全认证证书，采用安全网站校验证书和证书身份权限标识的方式，实现在企业不改变网络结构及业务系统代码情况下，对员工客户端身份对目标业务系统的访问权限控制，有效弥补采用传统基于用户名/密码方式登录在认证等安全方面的不足，有效提高企业信息安全。

第一方面，本发明实施例提供一种身份加强认证和鉴权方法，包括：

获取目标网站的访问请求；

利用所述安全网关对申请访问的请求人进行身份信息和权限校验，如果校验不通过，则禁止访问，如果校验通过，则允许访问目标网站；

记录所述访问请求行为，并格式化输出行为规则；

对所述请求访问的内容进行合法性判断，对非法内容进行报警并终止访问。

进一步地，所述获取目标网站的访问请求，包括：

获取申请访问目标网站的请求人身份信息；

根据所述请求人身份信息返回安全网关的公钥证书；

通过判断所述公钥证书的有效性，验证请求访问的所述目标网站是否合法；

如果所述公钥证书有效，则合法验证通过，建立加密通信；否则，合法验证不通过，终止通信。

进一步地，所述请求人身份信息与所述安全网关的公钥证书包含有相互对应的信息，其中所述请求人身份信息包括用于识别请求人身份的：员工id、邮箱、姓名、安全认证证书协议版本号、加密算法种类和随机数；所述安全网关的公钥证书包括用于访问网站信息的：安全认证证书协议版本号、加密算法种类、随机数和安全网关的通信证书。

进一步地，所述建立加密通信，包括：

获取请求人的安全认证证书和权限标识；

根据所述安全认证证书和权限标识进行权限鉴定，如果所述安全认证证书有效，并且具备访问目标网站的权限，则获得访问公钥；

选择对称加密方案，利用所述公钥对所述对称加密方案进行加密，生成对称加密方案的密文；

根据所述对称加密方案的密文获取私钥；

利用所述私钥对所述对称加密方案的密文进行解密生成随机码作为通信加密过程中的密钥；

利用所述安全网关的公钥证书对所述通信加密过程中的密钥进行加密。

进一步地，所述获取目标网站的访问请求，包括：

通过所述安全网关接收请求访问目标网站的申请信息；

利用安全网关的私钥对所述申请信息进行解密，获取所述通信加密过程中的密钥；

利用所述密钥对通信过程进行对称加密。

进一步地，所述利用所述安全网关对申请访问的请求人进行身份信息和权限校验，包括：

校验所述请求人的身份信息是否有误，身份信息有误的请求人禁止访问目标网站；

校验所述请求人的身份信息所对应的安全认证证书是否过期，安全认证证书已过期的请求人禁止访问目标网站。

进一步地，所述对所述请求访问的内容进行合法性判断，包括：

采用基于语义的分析，判断所述请求访问的内容是否具有攻击行为，如果请求访问的内容涉及攻击行为，则视为非法内容；如果请求访问的内容不具有攻击行为，则视为安全访问内容。

进一步地，所述在目标网站访问入口部署安全网关之前，还包括：

针对每一个身份信息分别生成安全认证证书和访问目标网站的权限；

根据所述安全认证证书和访问目标网站的权限生成用于安装在客户端的数字证书。

第二方面，本发明实施例提供一种身份加强认证和鉴权装置，包括：

获取模块，用于获取目标网站的访问请求；

校验模块，用于利用所述安全网关对申请访问的请求人进行身份信息和权限校验；

行为审计模块，用于记录所述访问请求行为，并格式化输出行为规则；

安全防护模块，用于对所述请求访问的内容进行合法性判断，对非法内容进行报警并终止访问。

进一步地，所述获取模块包括：认证单元、鉴权单元和通信加密单元，

所述认证单元，用于执行如下步骤：

获取申请访问目标网站的请求人身份信息；

根据所述请求人身份信息返回安全网关的公钥证书；

通过判断所述公钥证书的有效性，验证请求访问的所述目标网站是否合法；

如果所述公钥证书有效，则合法验证通过，建立加密通信；否则，合法验证不通过，终止通信；

所述鉴权单元，用于执行如下步骤：

获取请求人的安全认证证书和权限标识；

根据所述安全认证证书和权限标识进行权限鉴定，如果所述安全认证证书有效，并且具备访问目标网站的权限，则获得访问公钥；

所述通信加密单元，用于建立加密通信获取所述目标网站的访问请求。

本发明优点在于：

1、本发明通过在目标网站访问入口部署安全网关，在pc客户端上部署安全认证证书，采用安全网站校验证书和证书身份权限标识的方式，实现在企业不改变网络结构及业务系统代码情况下，对员工客户端身份对目标业务系统的访问权限控制，有效弥补采用传统基于用户名/密码方式登录在认证等安全方面的不足，提高企业信息安全管理效率。

2、本发明设有加密通信、身份认证、身份鉴权、行为审计、安全防护等一系列功能，各功能模块通过协同工作和逻辑判断，仅允许授权且合法的身份信息流量通过安全网关访问目的应用，拒绝未经授权和非法身份的网络请求；并且本发明安全网关的部署兼容性强，可适用于传统pc和移动终端，极大的方便企业信息安全管理。3、

附图说明

为能更清楚理解本发明的目的、特点和优点，以下将结合附图对本发明的较佳实施例进行详细描述，其中：

图1为本发明实施例中一种身份加强认证和鉴权方法实施例一的流程示意图；

图2为本发明实施例中一种身份加强认证和鉴权方法实施例二的流程示意图；

图3为本发明实施例中一种身份加强认证和鉴权装置实施例一的框架示意图；

图4为本发明实施例中一种身份加强认证和鉴权装置实施例二的框架示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，本发明各实施例中各步骤之间的顺序是可以调整的，不是必须按照以下举例的顺序执行。

图1为本发明实施例中一种身份加强认证和鉴权方法实施例一的流程示意图，本实施例提供的一种身份加强认证和鉴权方法可以由一种身份加强认证和鉴权装置来执行，该装置可以实现为软件，或者实现为软件和硬件的组合，该装置可以集成设置在企业信息管理系统的应用程序和客户端所在的设备中，比如服务器中。如图1所示，一种身份加强认证和鉴权方法，包括如下步骤：

101.信获取目标网站的访问请求。

102.利用所述安全网关对申请访问的请求人进行身份信息和权限校验，如果校验不通过，则禁止访问，如果校验通过，则允许访问目标网站。

103.记录所述访问请求行为，并格式化输出行为规则。

104.对所述请求访问的内容进行合法性判断，对非法内容进行报警并终止访问。

本实施例中提供的一种身份加强认证和鉴权方法，核心思想是：利用部署于目标网站访问入口的安全网关，对访问目标网站的人员身份信息和权限进行验证和鉴定，同时对访问目标网站的行为进行实施监控，及时发现非法访问内容并进行报警和制止。可选的，对访问目标网站的人员身份信息和权限进行验证和鉴定，可以通过建立客户端与安全网关之间的加密通信来实现身份的加强认证，和访问权限的控制。

为了保护企业信息的安全，企业内部的应用系统设置访问权限，只有获得认证并授权的员工才能通过安全认证证书请求访问企业内部应用系统的目标网站，在本实施例中，采用的授权方式包括以下步骤：

企业员工通过企业oa系统(企业自动化办公系统)申请访问目标网站，比如访问公司wiki、git、rep等应用系统，企业oa系统过api联动ca管理系统，根据员工身份信息生成对应的ssl安全认证证书，该证书用于标识员工身份的唯一性，同时ca管理系统将安全认证证书和申请访问目标网站的权限信息同步到数据库中保存，用于访问目标网站时进行权限鉴定，以及身份信息和权限的校验。数据保持成功后，ca管理系统会将生成的记载有安全认证证书和申请访问目标网站的权限的数字证书下发并通知员工，员工需要安装证书到客户端，客户端可以是安装于电脑或手机等电子设备终端的应用程序。

员工在客户端安装数字证书以后，通过承载有所述客户端的终端设备(电脑或手机等电子设备)访问企业应用系统(包括wiki、git、rep等)的目标网站。首先在目标网站访问入口部署安全网关，通过加密通信获取由员工客户端发送的目标网站的访问请求，安全网关收到访问请求后，对申请访问的请求人进行身份信息和权限校验，如果校验不通过，则禁止访问，如果校验通过，则允许访问目标网站。对申请访问的请求人进行身份信息和权限校验包括两方面，一方面，企业员工的身份信息中包含了员工的在职状态，在进行身份校验的过程中，如果发现请求访问目标网站的员工身份信息有误，或者员工当前身份已为离职员工，则禁止其访问目标网站，并返回友好提示，当前身份不能够登录系统或者提示该员工已离职。另一方面，需要校验员工的身份信息所对应的安全认证证书与访问目标网站的权限是否一致，以及授权证书是否过期，如果员工的身份信息所对应的安全认证证书与访问目标网站的权限不一致，或者授权证书已经过期，则禁止其访问目标网站，并返回友好提示，该证书已过期或更换登录信息。

同时，对于员工请求访问目标网站的行为进行记录，并将访问的行为规则进行格式化输出，以便于随时检查企业应用系统的被访问情况和被访问记录，降低信息泄露风险。需要说明的是，本实施例中的访问行为包括：员工登录应用系统的行为、进入应用系统后的操作行为等等。本实施例中的行为规则包括员工id、邮箱、姓名、员工访问目标网站的ssl安全认证证书协议版本号、加密算法种类、随机数等信息。

在对员工的访问行为进行审核记录的过程中，对应该员工请求的访问内容需要进行合法性判断，如果该员工请求访问的内容或者系统内部的信息，可能导致系统信息泄露或对应用系统具有攻击性(例如破坏系统数据等)，则进行报警并终止对相应内容的访问。

图2为本发明实施例中一种身份加强认证和鉴权方法实施例二的流程示意图，如图2所述，在图1所示的实施例基础上，步骤101中，获取目标网站的访问请求的过程，可以通过以下步骤实现：

员工作为申请访问目标网站的请求人，通过客户端访问企业应用系统的目标网站时，首先通过客户端向安全网关发送包含员工安全认证证书与访问目标网站的权限等信息的身份信息，具体包括员工id、邮箱、姓名、ssl安全认证证书协议版本号、加密算法种类、随机数等信息。获取到员工的身份信息之后，安全网关对员工身份信息进行解析并鉴定访问权限。具体地，安全网关获取包含员工安全认证证书与访问目标网站的权限等信息的身份信息，根据请求人身份信息和需要访问的目标网站，对应给客户端返回自身ssl安全认证证书协议版本号、加密算法种类、随机数等信息，同时也返回安全网关的ca证书，即公钥证书。客户端使用安全网关返回的信息验证目标网站的合法性。合法性验证内容包括：

验证安全网关返回的ssl安全认证证书协议版本号所对应的证书是否过期；

验证安全网关的ca证书是否可靠；验证安全网关返回的公钥是否能正确解开返回ca证书中的数字签名；

验证安全网关ca证书上的域名是否和目标网站服务器的实际域名相匹配。

以上验证全部通过，则表明请求访问的目标网站为合法的，将继续进行客户端与安全网关之间的通信，继续建立加密通信；否则，表明请求访问的目标网站非法，终止客户端与安全网关之间的通信。

本实施例中，通过加密通信获取目标网站的访问请求，对通信过程进行反复加密、解密和再加密，进一步对请求人的身份进行加强认证并对访问权限进行鉴定，提高企业信息访问的安全性，有效控制信息泄露风险。本例中建立加密通信的方式通过以下步骤实现：

安全网关要求客户端发送员工的安全认证证书和权限标识，客户端会将自己的安全认证证书发送至安全网关的服务器，安全网关的服务器获取请求人的安全认证证书和权限标识后，对其进行权限鉴定，如果该员工的安全认证证书具备访问目标网站的权限，则安全网关将会获得客户端的访问公钥。同时客户端向安全网关发送自己所能支持的对称加密方案，供安全网关端进行选择，安全网关端在客户端提供的对称加密方案中选择加密程度最高的加密方式，并利用之前获取的访问公钥给对称加密方案进行加密，生成对称加密方案的密文返回给客户端。客户端收到安全网关返回的加密方案密文后，使用自己的私钥进行解密，获取来自安全网关的密文的加密方式，并生成随机码作为密文加密过程中的密钥，再使用安全网关的公钥证书中的公钥对这个随机码密钥进行加密后，再返回给客户端。

通过上述加密通信，安全网关接收到请求访问目标网站的申请信息后，使用安全网关自己的私钥对申请信息进行解密，获取通信加密过程中的对称加密方案的密钥，在接下来员工访问目标网站产生安全网关和客户端之间通信的过程中，安全网关和客户端将会使用该密钥进行对称加密，保证通信过程中应用系统中的信息安全。

以下将详细描述本发明的一个或多个实施例的一种身份加强认证和鉴权装置。本领域技术人员可以理解，这些身份加强认证和鉴权装置均可以使用市售的硬件组件通过本方案所教导的步骤进行配置来构成。

图3为本发明实施例中一种身份加强认证和鉴权装置实施例一的框架示意图，如图3所示，该装置包括：获取模块201、校验模块202、行为审计模块203和安全防护模块204。

获取模块201，用于获取目标网站的访问请求。

校验模块202，用于利用所述安全网关对申请访问的请求人进行身份信息和权限校验。

行为审计模块203，用于记录所述访问请求行为，并格式化输出行为规则。

安全防护模块204，用于对所述请求访问的内容进行合法性判断，对非法内容进行报警并终止访问。

图3所示装置可以执行图1所示实施例的方法，本实施例中未详细描述的部分，可参考对图1所示实施例的相关说明。该技术方案的执行过程和技术效果参见图1所示的实施例中的描述，在此不再赘述。

图4为本发明实施例中一种身份加强认证和鉴权装置实施例二的框架示意图，如图4所示，在图3所示实施例的基础上，获取模块201包括：认证单元211、鉴权单元212和通信加密单元213。

认证单元211，用于执行如下步骤：

获取申请访问目标网站的请求人身份信息；根据所述请求人身份信息返回安全网关的公钥证书；通过判断所述公钥证书的有效性，验证请求访问的所述目标网站是否合法；如果所述公钥证书有效，则合法验证通过，建立加密通信；否则，合法验证不通过，终止通信。

鉴权单元212，用于执行如下步骤：获取请求人的安全认证证书和权限标识；根据所述安全认证证书和权限标识进行权限鉴定，如果所述安全认证证书有效，并且具备访问目标网站的权限，则获得访问公钥。

通信加密单元213，用于建立加密通信获取所述目标网站的访问请求。

图4所示装置可以执行图2所示实施例的方法，本实施例中未详细描述的部分，可参考对图2所示实施例的相关说明。该技术方案的执行过程和技术效果参见图2所示的实施例中的描述，在此不再赘述。

以上所描述的一种身份加强认证和鉴权装置仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，可以根据实际的需要选择其中的部分或者全部的模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上描述了一种身份加强认证和鉴权装置的内部功能和机构，在一个可能的设计中，该身份加强认证和鉴权装置的结构可实现为一电子设备，该电子设备比如服务器，可以包括：处理器和存储器。其中，存储器用于存储支持身份加强认证和鉴权装置执行上述任一实施例中提供的一种身份加强认证和鉴权方法的程序，上述处理器被配置为用于执行上述存储器中存储的程序。

所述程序包括一条或多条计算机指令，其中所述一条或多条计算机指令被所述处理器执行书能够实现如图1或图2所示的任一实施例中描述的方法步骤。

最后需要说明的是，以上实施例仅用以说明本发明的技术方案，而非对其限制，尽管参照前述实施例对本发明进行了详细的说明，本利用的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不是使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。