一种应用安全访问的设置方法及装置与流程

本发明涉及应用访问技术领域，更具体地说，涉及一种应用安全访问的设置方法及装置。

背景技术：

随着越来越多的地区或者企业采用电子系统的方式实现对应财务的管理，对于这些财务系统的维护工作提出了更高的要求。

现有技术中通常在外界访问财务系统时，通常是通过设置除了管理员之外的人员只允许访问不允许修改来预防对财务系统的数据破坏的，但是这种方式却并不能防止有不良目的的人员对于财务系统的访问。

综上所述，如何提供一种能够有效保证财务系统的安全性访问的技术方案，是目前本领域技术人员亟待解决的问题。

技术实现要素：

本发明的目的是提供一种应用安全访问的设置方法及装置，以能够有效保证财务系统的安全性访问。

为了实现上述目的，本发明提供如下技术方案：

一种应用安全访问的设置方法，包括：

制作身份证书，所述身份证书对应的密码算法包括sm算法；

将所述身份证书导入到应用服务器的证书库中，并将所述身份证书安装到允许访问所述应用服务器的指定浏览器中；

如果有浏览器请求访问所述应用服务器，则判断该浏览器的身份证书是否存在于所述证书库中，若是，则允许此次请求，若否，则拒绝此次请求。

优选的，判断请求访问所述应用服务器的浏览器的身份证书是否存在于所述证书库中之前，还包括：

为所述应用服务器的jsse添加密码套件，所述密码套件包括sm算法，并指示所述应用服务器选取该密码套件作为当前实现身份认证对应套件。

优选的，制作身份证书，包括：

基于jca/jce框架开发支持sm算法的算法提供者；

基于所述算法提供者提供的sm算法生成密钥对，并基于所述密钥对中的公钥生成身份证书。

优选的，基于所述密钥对中的公钥生成身份证书，包括：

将所述密钥对中的公钥发送至第三方认证机构；

接收所述第三方认证机构回复的信息并基于该信息及对应公钥生成身份证书。

优选的，还包括：

预先设置任一浏览器与所述应用服务器之间通过https方式实现访问。

一种应用安全访问的设置装置，包括：

制作模块，用于：制作身份证书，所述身份证书对应的密码算法包括sm算法；

导入模块，用于：将所述身份证书导入到应用服务器的证书库中，并将所述身份证书安装到允许访问所述应用服务器的指定浏览器中；

认证模块，用于：如果有浏览器请求访问所述应用服务器，则判断该浏览器的身份证书是否存在于所述证书库中，若是，则允许此次请求，若否，则拒绝此次请求。

优选的，还包括：

添加模块，用于：判断请求访问所述应用服务器的浏览器的身份证书是否存在于所述证书库中之前，为所述应用服务器的jsse添加密码套件，所述密码套件包括sm算法，并指示所述应用服务器选取该密码套件作为当前实现身份认证对应套件。

优选的，所述制作模块包括：

制作单元，用于：基于jca/jce框架开发支持sm算法的算法提供者；基于所述算法提供者提供的sm算法生成密钥对，并基于所述密钥对中的公钥生成身份证书。

优选的，所述制作单元包括：

制作子单元，用于：将所述密钥对中的公钥发送至第三方认证机构；接收所述第三方认证机构回复的信息并基于该信息及对应公钥生成身份证书。

优选的，还包括：

预设模块，用于：预先设置任一浏览器与所述应用服务器之间通过https方式实现访问。

本发明提供了一种应用安全访问的设置方法及装置，其中该方法包括：制作身份证书，所述身份证书对应的密码算法包括sm算法；将所述身份证书导入到应用服务器的证书库中，并将所述身份证书安装到允许访问所述应用服务器的指定浏览器中；如果有浏览器请求访问所述应用服务器，则判断该浏览器的身份证书是否存在于所述证书库中，若是，则允许此次请求，若否，则拒绝此次请求。本申请公开的技术方案中通过制作sm算法的身份证书，并将该证书导入到财务系统对应的应用服务器及安装到用于访问该应用服务器的指定浏览器上，从而当外界通过浏览器对财务系统对应应用服务器实现访问时，能够通过身份证书对该访问进行身份认证，从而保证了财务系统的安全性访问；另外，sm算法为级别较高、被破译难度较高的算法，从而进一步保证了财务系统的安全性访问。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例提供的一种应用安全访问的设置方法的流程图；

图2为本发明实施例提供的一种应用安全访问的设置装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1，其示出了本发明实施例提供的一种应用安全访问的设置方法的流程图，可以包括以下步骤：

s11：制作身份证书，身份证书对应的密码算法包括sm算法。

本发明实施例提供的一种应用安全访问的设置方法的执行主体均可以为应用服务器，对应的本发明实施例提供的一种应用安全访问的设置装置可以集成安装到应用服务器中，当然也可以根据实际需要进行其他设定。

其中sm算法具体可以为sm2算法，也即在本申请中可以是制作出sm2算法的身份证书，当然也可以根据实际需要设置其他算法，均在本发明的保护范围之内。

s12：将身份证书导入到应用服务器的证书库中，并将身份证书安装到允许访问应用服务器的指定浏览器中。

此处的应用服务器可以指财务系统的应用服务器，当然也可以根据实际需要进行其他设定，将身份证书导入应用服务器的证书库，并将身份证书安装到允许访问应用服务器的指定浏览器中，从而能够在接收到任一浏览器的访问请求时，根据身份证书对其进行身份认证。

s13：如果有浏览器请求访问应用服务器，则判断该浏览器的身份证书是否存在于证书库中，若是，则允许此次请求，若否，则拒绝此次请求。

如果有浏览器请求访问应用服务器，则判断浏览器的身份证书是否存在于证书库中，如果是，则说明发出该请求的浏览器为指定浏览器，此时允许该浏览器对应用服务器的访问，如果否，则说明发出该请求的浏览器不为指定浏览器，此时拒绝该浏览器对应用服务器的访问，从而通过身份证书保证了应用服务器的访问安全性。

本申请公开的技术方案中通过制作sm算法的身份证书，并将该证书导入到财务系统对应的应用服务器及安装到用于访问该应用服务器的指定浏览器上，从而当外界通过浏览器对财务系统对应应用服务器实现访问时，能够通过身份证书对该访问进行身份认证，从而保证了财务系统的安全性访问；另外，sm算法为级别较高、被破译难度较高的算法，从而进一步保证了财务系统的安全性访问。

本发明实施例提供的一种应用安全访问的设置方法，判断请求访问应用服务器的浏览器的身份证书是否存在于证书库中之前，还可以包括：

为应用服务器的jsse添加密码套件，密码套件包括sm算法，并指示应用服务器选取该密码套件作为当前实现身份认证对应套件。

为应用服务器的jsse(javasecuritysocketextension,java，安全套接字扩展)添加密码套件，具体可以通过修改jdk的代码，在ciphersuite类中添加一个密码套件实现，具体来说，当添加的密码套件包括sm2及sm3时对应的实现代码可以为：ssl_sm2_with_rc4_128_sm3。由此当应用服务器选定该密码套件后，有浏览器请求访问时则可以通过步骤s13的方式实现对浏览器的身份认证，提高了访问安全性。

本发明实施例提供的一种应用安全访问的设置方法，制作身份证书，可以包括：

基于jca/jce框架开发支持sm算法的算法提供者；

基于算法提供者提供的sm算法生成密钥对，并基于密钥对中的公钥生成身份证书。

以sm算法为sm2算法为例对基于jca(java密码架构)/jce(java密码架构扩展)框架开发支持sm算法的算法提供者进行说明，基于jca/jce框架的provider类，定义sm2jce类，基于macspi类和keygeneratorspi类分别定义hmacsm2类和hmacsm2keygenerator类，最后在sm2jce类中，将hmacsm2类和hmacsm2keygenerator类与sm2算法的名称对应上，从而实现了算法提供者的开发。通过该算法提供者可以实现对应的sm算法，包括通过该算法提供者生成与sm算法对应的密钥对，生成的密钥对可以存储至应用服务器的公钥库和私钥库中，并由中获取到公钥以生成与公钥对应的身份证书。从而快速方便的实现身份证书的制作。其中以sm2算法为例生成密钥对的命令具体可以为：keytool-genkey-aliass1as-keystorekeystore.jks-storepasschangeit-keysize2048-keyalgsm2-validity3650。

本发明实施例提供的一种应用安全访问的设置方法，基于密钥对中的公钥生成身份证书，可以包括：

将密钥对中的公钥发送至第三方认证机构；

接收第三方认证机构回复的信息并基于该信息及对应公钥生成身份证书。

需要说明的是，生成的身份证书可以是直接为公钥加上证书框架，得到对应的身份证书，也可以是获取到第三方认证机构的认证后生成对应的身份证书，为了进一步保证证书有效性和保密性，本申请中采用第二种方式实现身份证书的生成。其中第三方认证机构为工作人员根据实际需要确定的认证机构，在具体示例中，向第三方认证机构请求认证的命令可以包括：keytool-certreq-aliass1as-files1as.csr-keystorekeystore.jks–storepasschangeit。收到的第三方认证机构回复的信息可以是十六进制文件或者p7b格式证书的签名回复，并为该信息与公钥加上证书框架，得到对应的身份证书。

本发明实施例提供的一种应用安全访问的设置方法，还可以包括：

预先设置任一浏览器与应用服务器之间通过https方式实现访问。

https具体为基于ssl加密的安全的超文本传输协议，设置应用服务器与浏览器之间以这种方式实现通信访问，能够保证通信可靠性和数据的快速传输。

本申请公开的上述技术方案中，客户用浏览器通过https的方式访问应用服务器，它们之间使用ssl(securesocketslayer安全套接层)协议进行信息传输，从而通过对jsse的改造，使得ssl协议支持包含sm算法的密码套件，同时保证了该套件的可用性，基于jca/jce框架开发了支持sm算法的算法提供者，并基于该算法提供者制作了sm算法的身份证书供后续进行身份验证使用，有效保证了应用服务器的访问安全性。另外需要说明的是，上述方案中与现有技术的对应技术实现原理一致的部分并未具体说明，以免过多赘述。

本发明实施例还提供了一种应用安全访问的设置装置，如图2所示，可以包括：

制作模块11，用于：制作身份证书，身份证书对应的密码算法包括sm算法；

导入模块12，用于：将身份证书导入到应用服务器的证书库中，并将身份证书安装到允许访问应用服务器的指定浏览器中；

认证模块13，用于：如果有浏览器请求访问应用服务器，则判断该浏览器的身份证书是否存在于证书库中，若是，则允许此次请求，若否，则拒绝此次请求。

本发明实施例提供的一种应用安全访问的设置装置，还可以包括：

添加模块，用于：判断请求访问应用服务器的浏览器的身份证书是否存在于证书库中之前，为应用服务器的jsse添加密码套件，密码套件包括sm算法，并指示应用服务器选取该密码套件作为当前实现身份认证对应套件。

本发明实施例提供的一种应用安全访问的设置装置，制作模块可以包括：

制作单元，用于：基于jca/jce框架开发支持sm算法的算法提供者；基于算法提供者提供的sm算法生成密钥对，并基于密钥对中的公钥生成身份证书。

本发明实施例提供的一种应用安全访问的设置装置，制作单元可以包括：

制作子单元，用于：将密钥对中的公钥发送至第三方认证机构；接收第三方认证机构回复的信息并基于该信息及对应公钥生成身份证书。

本发明实施例提供的一种应用安全访问的设置装置，还可以包括：

预设模块，用于：预先设置任一浏览器与应用服务器之间通过https方式实现访问。

本发明实施例提供的一种应用安全访问的设置装置中相关部分的说明请参见本发明实施例提供的一种应用安全访问的设置方法中对应部分的详细说明，在此不再赘述。

对所公开的实施例的上述说明，使本领域技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。