一种安全授权访问方法及装置与流程

本发明涉及网络技术领域，尤其涉及一种安全授权访问方法及装置。

背景技术：

目前很多软件为了使用和部署便捷，大多采用B/S架构，但是有些软件保密性比较强，仅通过B/S架构，易导致信息泄露等问题。

如申请号为：201610314772.1的中国专利公开了一种基于B/S架构系统客户端授权认证的方法，其特征在于包含以下步骤：授权部分：A1:客户端软件安装时，用户在客户端输入客户端软件授权安装密钥，发送至服务器端；A2:服务器接到客户端发送的软件授权安装密钥，校验通过后，为该终端生成并分发唯一的初始身份标识码pin码，发送至客户端加密保存，同时生成随机SALT值发送至客户端；该pin码建立与该随机salt的对应关系存入服务器端数据库；A3:客户端软件获取所在主机的唯一硬件物理地址MAC地址，与服务端传来的随机SALT连接后通过MD5加密，生成终端认证密钥，并发送到服务器端；A4:服务端将接收到客户端传来的终端认证密钥，加入位于服务端数据库的终端认证列表，同时将数据库中该终端对应的pin码，置为激活状态，表明该pin码对应的终端已经获得授权；认证部分：B1:用户启动客户终端软件，客户端软件取出在终端加密保存的终端身份认证码pin码，并获取该终端的物理mac地址，一并发送至服务器端；B2:服务器端解密传来的加密pin码，获取与其对应的SALT，将MAC地址+SALT连接后使用MD5散列，通过与终端认证列表中的MD5散列值比对，如匹配成动，正常访问系统，否则认证失败，发送失败信息至客户终端；B3:客户端访问认证成功后，服务器会再次生成身份标识码并更新数据库中存储的终端pin码及客户终端的对应身份标识码。该申请中的授权部分在获取硬件的指定数据信息时，是直接获取，保密性较差。

又如申请号为：201410220722.8的中国专利公开了一种访问控制方法，其特征在于，包括：服务端接收客户端通过加密链路发送来的授权码获取请求，其中携带有所述客户端的认证标识；所述服务端确定接收到的认证标识合法，生成授权码，并将所述授权码通过所述加密链路发送给所述客户端；所述服务端接收所述客户端发送来的资源获取请求，其中携带有所述授权码，并对所述授权码进行认证，认证通过，向所述客户端返回资源。该方法通过对客户端直接发送的授权码与认证标识进行认证，通过则向所述客户端返回资源，该方法的保密性能较差，易导致信息泄露等问题。

技术实现要素：

为克服现有技术中存在的授权访问保密性能差等问题，本发明提供了一种安全授权访问方法及装置。

具体技术方案为：一种安全授权访问装置，包括客户端、服务端和指定终端，所述客户端、服务端和指定终端依次相连，所述客户端用于接收用户的访问请求，所述服务端根据用户的访问请求对指定终端进行授权解析，所述指定终端用于接收服务端的授权解析结果，若授权通过，则授权客户端访问指定终端，若授权没有通过，则禁止客户端访问指定终端。

在此基础上，所述服务端包括获取单元、第一加密单元、解密单元和匹配单元，所述获取单元用于获取指定终端的数据信息，所述第一加密单元与获取单元相连，用于对获取单元所获取的数据信息进行加密，所述解密单元与第一加密单元相连，用于对第一加密单元中加密的数据信息进行解密，所述匹配单元与解密单元相连，用于将解密后的数据信息与预设的数据信息进行匹配对比，并出示匹配结果，所述匹配单元与指定终端相连。

在此基础上，所述第一加密单元包括加密类型选择单元，所述加密类型选择单元包括单一算法加密和多种算法随机加密，所述解密单元包括解密类型选择单元，所述解密类型选择单元与加密类型选择单元一一对应。

在此基础上，所述服务端还包括存储单元，所述存储单元用于存储客户端的每一次操作数据及服务端针对该操作数据的授权解析结果。

在此基础上，所述指定终端包括输出单元和接收单元，所述输出单元与获取单元相连，所述接收单元与匹配单元相连，所述客户端还包括第二加密单元，所述第二加密单元设置在输出单元与获取单元之间。

在此基础上，所述第二加密单元包括验证消息发送单元、验证消息接收单元和验证消息匹配单元，所述验证消息发送单元和验证消息接收单元均与指定用户的移动客户端相连，所述验证消息匹配单元用于匹配验证消息发送单元与验证消息接收单元的消息是否一致，若一致获取单元获取指定终端的数据信息，若不一致，禁止获取单元获取指定终端的数据信息。

本发明还提供了一种安全授权访问方法，

步骤1：用户通过客户端在指定终端登录，并提出访问请求；

步骤2：服务端依据用户的访问请求对指定终端进行授权解析，并将解析结果传递给指定终端；

步骤3：指定终端根据解析结果，判断是否通过用户的访问请求。

在此基础上，所述步骤2的具体步骤为：

步骤21：服务端的获取单元获取指定终端的数据信息；

步骤22：服务端的第一加密单元对步骤21中获取到的数据信息加密；

步骤23：服务端的解密单元对步骤22中的数据信息进行解密；

步骤24：服务端的匹配单元将步骤23中解密得到的数据信息与预设数据信息进行匹配对比，并将匹配信息传递给指定终端。

在此基础上，所述步骤21中的指定终端的数据信息包括指定终端的固有属性，该固有属性包括该指定终端的mac地址和/或cpu序列号和/或硬盘ID。

在此基础上，所述步骤21中还包括匹配第二加密单元的验证消息对指定终端的第二加密单元进行解密。

与现有技术相比，本发明的有益效果是：

1、本发明中的一种安全授权访问装置包括服务端，该服务端的获取单元获取指定终端的数据信息，服务端的第一加密单元对获取到的数据信息加密，服务端的解密单元对数据信息进行解密，服务端的匹配单元将解密得到的数据信息与预设数据信息进行匹配对比，并将匹配信息传递给指定终端。其中指定终端的数据信息包括指定终端的固有属性，该固有属性包括该指定终端的mac地址、cpu序列号和硬盘ID。本发明以指定终端唯一的MAC地址作为授权解析中的重要部分，并在获取的信息基础上加密，多重保护了信息，避免了网络钓鱼等不安全因素。

2、本发明中加密类型选择单元包括单一算法加密和多种算法随机加密，所述解密单元包括解密类型选择单元，所述解密类型选择单元与加密类型选择单元一一对应。本发明中的加密类型多重性，且需要与之对应的解密类型来配对解密，增强了解密的特定性，进一步保证了访问的安全性。

3、本发明中的客户端还包括第二加密单元，所述第二加密单元设置在输出单元与获取单元之间。第二加密单元包括验证消息发送单元、验证消息接收单元和验证消息匹配单元。本发明在获取指定终端的信息数据时也有设置有加密单元，进一步增强了信息的保密性。

附图说明

图1是一种安全授权访问装置的结构示意图；

图2是一种安全授权访问方法的流程图；

图3是一种安全授权访问方法中步骤2的流程图。

具体实施方式

以下结合附图和实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

本发明披露了一种安全授权访问装置，如图1所示，包括客户端1、服务端2和指定终端3，所述客户端1、服务端2和指定终端3依次相连，所述客户端1用于接收用户的访问请求，所述服务端2根据用户的访问请求对指定终端3进行授权解析，所述指定终端3用于接收服务端2的授权解析结果，若授权通过，则授权客户端1访问指定终端3，若授权没有通过，则禁止客户端1访问指定终端3。例如，一项保密要求较高的软件终端，需要在指定的终端上使用，则用户首先登录软件，发出在该指定终端3进行访问的要求，此时服务端2开始对指定终端3的固有属性进行解析，判断该指定终端3是否在可以授权访问的指定终端3名单内，若该指定终端3存在，则授权可以访问，若不存在，则禁止在该指定终端3上访问该程序。

如图1所示，服务端2包括获取单元21、第一加密单元22、解密单元23和匹配单元24，所述获取单元21用于获取指定终端3的数据信息，该数据信息为指定终端3的固有信息，不存在被改变的风险，比如mac地址，cpu序列号和硬盘ID等。所述第一加密单元22与获取单元21相连，用于对获取单元21所获取的数据信息进行加密，所述解密单元23与第一加密单元22相连，用于对第一加密单元22中加密的数据信息进行解密，所述匹配单元24与解密单元23相连，用于将解密后的数据信息与预设的数据信息进行匹配对比，并出示匹配结果，所述匹配单元24与指定终端3相连。

如图1所示，第一加密单元22包括加密类型选择单元221，所述加密类型选择单元221包括单一算法加密和多种算法随机加密，如国密SM4算法、MD5算法等，优选地，本实施例中通过国密SM4算法对指定终端3的数据信息进行加密，所述解密单元23包括解密类型选择单元231，所述解密类型选择单元231与加密类型选择单元221一一对应，其中加密类型选择单元221进行加密类型选择时，为随机选择，且解密类型选择单元231与加密类型选择单元221同步变化，即加密类型不固定，不存在指定终端3的数据信息被中途截获进行解密的情况，大大增强了数据的安全性。本发明中的加密类型多重性，且需要与之对应的解密类型来配对解密，增强了解密的特定性，进一步保证了访问的安全性。

优选地，本实施例中的服务端2还包括存储单元25，所述存储单元25用于存储客户端1的每一次操作数据及服务端2针对该操作数据的授权解析结果。存储单元25可以存储每次用户的输入数据以及指定终端3的信息，方便之后工作的查阅。

如图1所示，指定终端3包括输出单元32和接收单元33，所述输出单元32与获取单元21相连，所述客户端1还包括第二加密单元31，所述第二加密单元31设置在输出单元32与获取单元21之间。在获取单元21需要获取指定终端3的数据信息时，需要通过与第二加密匹配一致，本发明在获取指定终端3的信息数据时也有设置有加密单元，进一步增强了信息的保密性。所述接收单元33与匹配单元24相连，用于接收匹配单元24的匹配结果，若匹配成功，则授权用户的访问权限，否则就禁止。

其中，如图1所示第二加密单元31包括验证消息发送单元311、验证消息接收单元312和验证消息匹配单元313，所述验证消息发送单元311和验证消息接收单元312均与指定用户的移动客户端1相连，所述验证消息匹配单元313用于匹配验证消息发送单元311与验证消息接收单元312的消息是否一致，若一致获取单元21获取指定终端3的数据信息，若不一致，禁止获取单元21获取指定终端3的数据信息。验证消息发送单元311可以为发送随机验证码至指定用户的移动客户端1，用户将该验证码填入验证消息接收单元312，验证消息匹配单元313将验证消息发送单元311发送的验证码与用户填入的验证码匹配对比，看是否一致，一致则允许获取单元21从指定终端3的输出单元32获取指定终端3的数据信息，否则则禁止获取。验证消息发送单元311还可以为向指定用户的移动客户端1发送询问是否允许操作的请求，该请求可以为仅允许此次获取，或是一直允许获取等，指定用户在移动客户端1上操作后发送至验证消息接收单元312，验证消息接收单元312接收消息，验证消息匹配单元313执行相关信息，即允许此次获取或一直都可以获取。优选地，本实施例中通过验证消息单元发送随机验证码至指定用户的移动客户端1，在根据用户所提供的验证码是否一致来判断是否允许获取单元21获取指定终端3的数据信息。

本发明还提供了一种安全授权访问方法，如图2所示，该方法的具体步骤如下：

步骤1：用户通过客户端1在指定终端3登录，并提出访问请求；

步骤2：服务端2依据用户的访问请求对指定终端3进行授权解析，并将解析结果传递给指定终端3；具体步骤如图3所示：

步骤21：服务端2的获取单元21获取指定终端3的数据信息，该指定终端3的数据信息包括指定终端3的固有属性，该固有属性包括该指定终端3的mac地址和/或cpu序列号和/或硬盘ID等硬件的固定属性，不存在被修改的风险，且多个固定属性可以同时全部获取以通过认证，也可以仅设置获取某一固定属性进行认证，本实施例中将指定终端3的mac地址、cpu序列号和硬盘ID，同时获取并匹配，若全部匹配一致则通过认证，用户可以在指定终端3上进行进一步操作。本发明以指定终端3的固定属性的数据信息作为授权解析中的重要部分，并在获取的信息基础上加密，多重保护了信息，避免了网络钓鱼等不安全因素。步骤21中还包括匹配第二加密单元31的验证消息对指定终端3的第二加密单元31进行解密，如上述，第二加密单元31包括验证消息发送单元311、验证消息接收单元312和验证消息匹配单元313，所述验证消息发送单元311和验证消息接收单元312均与指定用户的移动客户端1相连，所述验证消息匹配单元313用于匹配验证消息发送单元311与验证消息接收单元312的消息是否一致，若一致获取单元21获取指定终端3的数据信息，若不一致，禁止获取单元21获取指定终端3的数据信息。验证消息发送单元311可以为发送随机验证码至指定用户的移动客户端1，用户将该验证码填入验证消息接收单元312，验证消息匹配单元313将验证消息发送单元311发送的验证码与用户填入的验证码匹配对比，看是否一致，一致则允许获取单元21从指定终端3的输出单元32获取指定终端3的数据信息，否则则禁止获取。优选地，本实施例中通过验证消息单元发送随机验证码至指定用户的移动客户端1，在根据用户所提供的验证码是否一致来判断是否允许获取单元21获取指定终端3的数据信息；

步骤22：服务端2的第一加密单元22对步骤21中获取到的数据信息加密，如通过国密SM4算法、MD5算法等对数据信息进行加密，该加密可以是单个算法进行加密也可以为多个算法叠加加密，优选地，本实施例中通过国密SM4算法对指定终端3的数据信息进行加密；

步骤23：服务端2的解密单元23对步骤22中的数据信息进行解密，解密的方法根据加密的类型进行针对性变化；

步骤24：服务端2的匹配单元24将步骤23中解密得到的数据信息与预设数据信息进行匹配对比，并将匹配信息传递给指定终端3；

步骤3：指定终端3根据解析结果，判断是否通过用户的访问请求。

上述说明示出并描述了本发明的优选实施例，如前所述，应当理解本发明并非局限于本文所披露的形式，不应看作是对其他实施例的排除，而可用于各种其他组合、修改和环境，并能够在本文所述发明构想范围内，通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围，则都应在本发明所附权利要求的保护范围内。