技术特征:
1.一种在协同签名系统中增强访问控制安全性的方法,所述协同签名系统包括协同签名客户端和协同签名服务端,所述协同签名系统服务于业务系统,所述业务系统包括业务授权服务和运行在所述协同签名客户端上的业务应用;所述方法包括业务预约阶段和业务调用阶段,业务预约阶段包括以下步骤:s11、业务应用获取协同签名客户端的唯一标识;s12、所述业务应用向业务授权服务发送业务预约请求;s13、所述业务授权服务根据业务系统的既有规则验证业务请求的合法性;s14、验证通过后,所述业务授权服务向协同签名服务端发送业务预约消息;s15、所述协同签名服务端记录所述业务预约消息;业务调用阶段包括以下步骤:s21、所述业务应用调用所述协同签名客户端执行业务功能;s22、所述协同签名客户端执行本地计算后,向所述协同签名服务端发起业务请求;s23、所述协同签名服务端在已记录的业务预约消息中查找与当前业务请求相匹配的记录,如果未找到匹配的业务预约消息,丢弃当前业务请求,不做处理;s24、如果找到匹配的业务预约消息,将所述业务预约消息记录的状态标记为已核销;s25、所述协同签名服务端执行业务请求中的操作,并向所述协同签名客户端返回应答消息;s26、所述协同签名客户端接收所述协同签名服务端的应答消息,完成本地计算后向所述业务应用返回调用结果。2.根据权利要求1所述的在协同签名系统中增强访问控制安全性的方法,其特征在于,所述协同签名服务端和所述业务授权服务处于同一内部网络或其他相互信任的网络域中。3.根据权利要求2所述的在协同签名系统中增强访问控制安全性的方法,其特征在于,所述协同签名服务端包括内部网络输入接口和外部网络输入接口,所述内部网络输入接口用于接收所述业务授权服务的业务预约请求;所述外部网络输入接口用于接收所述协同签名客户端的业务请求。4.根据权利要求3所述的在协同签名系统中增强访问控制安全性的方法,其特征在于,步骤s12中所述业务应用向业务授权服务发送的预约请求至少包括协同签名客户端唯一标识、业务功能和预约有效期。5.根据权利要求4所述的在协同签名系统中增强访问控制安全性的方法,其特征在于,步骤s13中所述既有规则是指所述业务应用与所述业务系统之间的既定协议。6.根据权利要求4所述的在协同签名系统中增强访问控制安全性的方法,其特征在于,步骤s14中所述业务授权服务向所述协同签名服务端发送的业务预约消息至少包括协同签名客户端唯一标识、业务功能和预约有效期。7.根据权利要求6所述的在协同签名系统中增强访问控制安全性的方法,其特征在于,步骤s14中所述业务授权服务向所述协同签名服务端发送的业务预约消息还包括对用户的鉴别数据、对客户端应用的鉴别数据、对客户端设备的鉴别数据。8.根据权利要求1-6任一项所述的在协同签名系统中增强访问控制安全性的方法,其特征在于,步骤s22中所述协同签名客户端向所述协同签名服务端发起的业务请求中包括客户端唯一标识、业务功能和计算中间参数。
9.根据权利要求8所述的在协同签名系统中增强访问控制安全性的方法,其特征在于,步骤s23中遵循的匹配规则至少包括:相同的客户端标识、相同的业务功能、有效期未过期和预约记录状态未核销;只有满足全部匹配规则,才执行下步操作。10.根据权利要求7所述的在协同签名系统中增强访问控制安全性的方法,其特征在于,步骤s24中将所述预约消息的状态标记为已核销后,还执行以下操作:检查当前业务请求中的多因子鉴别数据和已记录的预约消息中的数据是否一致,所述多因子鉴别数据包括对用户的鉴别数据、对客户端应用的鉴别数据、对客户端设备的鉴别数据;如果检查不通过,丢弃当前业务请求,不做处理。
技术总结
本发明涉及一种在协同签名系统中增强访问控制安全性的方法,属于信息安全技术领域,该方法包括业务预约和业务调用两个阶段,业务预约阶段中:业务应用获取协同签名客户端唯一标识,向业务授权服务发送业务预约请求,业务预约请求中至少包含客户端唯一标识、业务功能和预约有效期;业务授权服务向协同签名服务端发送业务预约消息,协同签名服务端记录业务预约消息;业务调用阶段中:协同签名服务端检查来自客户端的业务请求是否与业务预约消息匹配;如果匹配,将所述业务预约消息的状态标记为已核销;协同签名服务端执行业务请求中的操作。本发明提供的方法能够显著增强访问控制的安全性,从而提升协同签名系统的整体安全性。从而提升协同签名系统的整体安全性。从而提升协同签名系统的整体安全性。
技术研发人员:李勃 刘亚雷 张渊
受保护的技术使用者:北京握奇智能科技有限公司
技术研发日:2022.03.31
技术公布日:2022/8/22