认证授权方法和装置的制造方法
【技术领域】
[0001] 本发明涉及互联网领域,具体而言,涉及一种认证授权方法和装置。
【背景技术】
[0002] 用户身份安全认证和授权是网络安全领域的核心功能之一。随着网络安全与业务 应用系统的结合越来越深入,基于外部设备(如:LDAP,Radius等)进行身份认证与授权需 求变得丰富和多样化。而现有技术中进行用户身份认证和授权,大都是基于静态数据进行 认证与授权。
[0003] 图1是现有技术中用户基于静态数据进行认证授权的流程图。如图1所示,管理 员通过安全网关设备(如:防火墙,SSLVPN等)下载或者导入用户,并预先对用户能够进行 业务操作的范围进行绑定授权。用户终端登录的时候,向安全网关设备发起认证授权请求, 安全网关设备将用户终端发送的认证授权请求发送给外部认证设备(即,服务器),请求外 部认证设备认证用户身份,外部认证设备根据用户终端发送的认证授权请求对用户进行身 份认证,并将身份认证的结果返回给安全网关设备,安全网关设备根据外部认证设备返回 的结果和之前管理员预绑定授权的信息,计算该用户的业务权限,并将计算的认证授权结 果返回给用户终端。上述过程对应的认证授权方式,也可以称为静态认证授权。
[0004] 对于上述静态认证授权的方式,由于对用户授权的业务权限不能随着用户在外部 认证设备上的信息发生变化,也进行实时变化,当用户在外部设备上的信息发生改变时,需 要系统管理人员介入修改用户的授权权限,极大的增加 IT管理成本。并且,在进行静态授 权认证时,系统管理员常常希望满足某些条件(如,登录的有效时间限制)的用户才可以登 录认证和访问业务,但静态认证授权无法满足上述条件。
[0005] 对现有技术中静态认证授权方式的应用进行举例说明如下,外部设备是一个AD 服务器,系统管理员希望根据该AD服务器中用户所在的组织结构(也称为身份属性)来授 权。在静态场景下,系统管理员手动将AD服务器中用户A下载到本地,并授予用户A以某 种身份属性可以访问的相对应的业务。但是,一旦用户A改变了组织单元(也就是身份属 性,比如:从人事部调动到财务部),那么用户A可以访问的业务就会产生变化。遇到这种 情况,系统管理员就必须要重新配置用户A的授权权限。如果AD服务器中用户的组织单元 变动频率很高,系统管理员的工作量会大大增加。
[0006] 针对现有技术中当用户身份属性发生变化时,系统管理员就需要修改用户授权业 务范围导致工作量繁重的问题,目前尚未提出有效的解决方案。
【发明内容】
[0007] 本发明的主要目的在于提供一种认证授权方法和装置,以解决现有技术中当用户 身份属性发生变化时,系统管理员就需要修改用户授权业务范围导致工作量繁重的问题。
[0008] 为了实现上述目的,根据本发明实施例的一个方面,提供了一种认证授权方法。根 据本发明的认证授权方法包括:接收用户终端发送的认证授权请求;根据认证授权请求, 确定所述用户终端所代表的用户的身份属性;根据所述身份属性,获取所述身份属性对应 的授权访问权限;以及按照所述授权访问权限对所述用户终端所代表的所述用户进行授 权。
[0009] 进一步地,所述认证授权请求中包括所述用户的账户信息,在接收用户终端发送 的认证授权请求之后,并在根据认证授权请求,获取所述用户的身份属性之前,所述认证授 权方法还包括:将所述账户信息发送至服务器,并请求所述服务器对所述用户进行身份认 证;接收所述服务器返回的所述用户的身份认证结果;判断所述身份认证结果是第一预设 状态还是第二预设状态,其中,所述第一预设状态和所述第二预设状态用于表示不同的所 述身份认证结果;以及在判断出所述身份认证结果是第一预设状态的情况下,确定通过所 述用户的身份认证。
[0010] 进一步地,在接收用户终端发送的认证授权请求之前,所述认证授权方法包括:接 收设置指令,以及按照所述设置指令设置安全访问条件,其中,所述安全访问条件中包含多 种所述身份属性,以及每种所述身份属性对应的授权访问权限。
[0011] 进一步地,根据认证授权请求,确定所述用户的身份属性包括:获取多种预设身份 属性,其中,所述预设身份属性为所述安全访问条件中包含的多种所述身份属性;向服务器 发起查询请求,其中,所述查询请求为询问所述用户的身份属性是否与多种所述预设身份 属性中的每种所述预设身份属性相同的请求,所述服务器根据所述认证授权请求中的账户 信息确定所述用户,并获取所述用户的所述身份属性;以及接收所述服务器返回的所述用 户的查询结果,其中,所述查询结果中包含所述用户的所述身份属性。
[0012] 进一步地,根据所述身份属性,获取所述身份属性对应的授权访问权限包括:判断 所述查询结果中的所述身份属性是否为多个所述预设身份属性中的任一种所述预设身份 属性;以及在判断出所述查询结果中的所述身份属性为多个所述预设身份属性中的任一种 所述预设身份属性的情况下,确定所述查询结果中的所述身份属性对应的授权访问权限为 所述用户的所述身份属性对应的授权访问权限。
[0013] 为了实现上述目的,根据本发明实施例的另一方面,提供了一种认证授权装置。根 据本发明的认证授权装置包括:第一接收单元,用于接收用户终端发送的认证授权请求; 第一确定单元,用于根据认证授权请求,确定所述用户终端所代表的用户的身份属性;获取 单元,用于根据所述身份属性,获取所述身份属性对应的授权访问权限;以及授权单元,用 于按照所述授权访问权限对所述用户终端所代表的所述用户进行授权。
[0014] 进一步地,所述认证授权请求中包括所述用户的账户信息,所述认证授权装置还 包括:请求单元,用于在接收用户终端发送的认证授权请求之后,并在根据认证授权请求, 获取所述用户的身份属性之前,将所述账户信息发送至服务器,并请求所述服务器对所述 用户进行身份认证;第二接收单元,用于接收所述服务器返回的所述用户的身份认证结果; 判断单元,用于判断所述身份认证结果是第一预设状态还是第二预设状态,其中,所述第一 预设状态和所述第二预设状态用于表示不同的所述身份认证结果;以及第二确定单元,在 判断出所述身份认证结果是第一预设状态的情况下,确定通过所述用户的身份认证。
[0015] 进一步地,所述认证授权装置包括:第三接收单元,用于在接收用户终端发送的认 证授权请求之前,接收设置指令,以及设置单元,用于按照设置指令设置安全访问条件,其 中,所述安全访问条件中包含多种所述身份属性,以及每种所述身份属性对应的授权访问 权限。
[0016] 进一步地,所述第一确定单元包括:获取模块,用于获取多种预设身份属性,其中, 所述预设身份属性为所述安全访问条件中包含的多种所述身份属性;查询模块,用于向服 务器发起查询请求,其中,所述查询请求为询问所述用户的身份属性是否与多种所述预设 身份属性中的每种所述预设身份属性相同的请求,所述服务器根据所述认证授权请求中的 账户信息确定所述用户,并获取所述用户的所述身份属性;以及接收模块,用于接收所述服 务器返回的