用于信息系统的授权管理方法及授权管理装置的制造方法
【技术领域】
[0001]本发明涉及权限管理技术领域,具体而言,涉及一种用于信息系统的授权管理方法和一种用于信息系统的授权管理装置。
【背景技术】
[0002]企业信息系统正在由原来面向企业业务的内部系统转变为面向社会的协作开发系统。由于互联网的环境复杂,安全事件层出不穷,而企业信息系统的涉及企业内部核心机密信息,所以安全等级要求高。
[0003]但是,目前使用登录及业务授权方式安全等级不够且不易用,如密码登录复杂容易记,易被拦截和攻击、动态口令及USB key登录等部署复杂且成本高,并对业务系统产生巨大的性能压力,在关键业务打开、操作及关键数据查看及修改需要二次授权及验证密码的要求,则更增加记忆成本和不方便性,而且很多系统是根据需要将不同第三方移动安全授权系统增加到业务操作上,这样就造成了信息系统各功能采用的界面不一致,并导致学习成本高、培训成本高,且容易使系统的出现安全漏洞、效率及更新不及时的问题,尤其是对第三方移动安全系统没有安全控制,存在着极大的安全隐患。而且由于集成方案不统一造成企业运维的复杂性、维护难度及成本的增加、人员能力不足的等诸多问题,尤其是在外部人员使用的情况下更不容易统一培训和控制,系统面临着有被渗透攻击的风险。
[0004]因此,如何能够实现快捷、高性能、高安全的企业信息系统的业务授权管理成为亟待解决的技术问题。
【发明内容】
[0005]本发明正是基于上述技术问题至少之一,提出了一种新的用于信息系统的授权管理方案,实现了快捷、高性能、高安全的企业信息系统的业务授权管理,提高了企业信息系统的安全性及响应能力。
[0006]有鉴于此,本发明提出了一种用于信息系统的授权管理方法,包括:接收用户输入的登录账号信息;将所述登录账号信息发送至信息系统,以供所述信息系统根据所述登录账号信息和预设的安全策略确定验证所述用户的身份的验证方式;接收所述信息系统反馈的所述验证方式,并转发至移动授权系统,以供所述移动授权系统根据所述验证方式向与所述登录账号信息相关联的移动设备推送相应的验证信息,所述移动设备在接收到所述验证信息时,对所述验证信息进行响应,并将对所述验证信息的响应信息反馈至所述移动授权系统;接收所述移动授权系统根据所述响应信息发送的是否验证通过的反馈信息,并根据所述反馈信息确定是否允许所述用户登入所述信息系统。
[0007]在该技术方案中,授权管理方法主要是以下流程:授权管理装置将用户输入的登录账号信息发送至信息系统,信息系统根据登录账号信息和预设的安全策略确定验证用户的身份的验证方式,并将确定的验证方式发送至授权管理装置,授权管理装置将接收到的验证方式转发至移动授权系统,移动授权系统根据验证方式向与登录账号信息相关联的移动设备推送相应的验证信息,移动设备对验证信息进行响应,并将对验证信息的响应信息反馈至移动授权系统,移动授权系统根据响应信息确定是否验证通过,并将是否验证通过的反馈信息发送至授权管理装置,进而授权管理装置根据反馈信息确定是否允许用户登入信息系统。可见,在本发明的技术方案中,授权管理装置处于企业的信息系统和移动授权系统之间,对于企业用户来说,无需针对不同的移动授权系统开发相应的接口,使得企业用户可以灵活地选择对信息系统进行授权管理的移动授权系统,并且最大限度的将移动授权系统与企业的信息系统进行隔离,即实现了信息管理与授权管理的相互独立、互不干扰,保证了企业信息系统的运行安全,进而保证了企业信息系统的提供商的经济效益,也使得企业用户拥有更优体验的安全能力,提高了企业信息系统的安全性及响应能力。
[0008]在上述技术方案中,优选地,所述验证方式包括:验证码方式和客户端验证方式;
[0009]若所述验证方式为所述验证码方式,则所述移动授权系统向与所述登录账号信息相关联的移动设备推送的验证信息为验证码;
[0010]若所述验证方式为所述客户端验证方式,则在所述移动授权系统向与所述登录账号信息相关联的移动设备推送相应的验证信息的步骤之前,还包括:获取所述移动授权系统根据所述移动设备反馈的证书信息确定的用户信息,并将所述用户信息反馈至所述信息系统;接收所述信息系统根据所述用户信息确定的客户端验证策略,并将所述客户端验证策略推送至所述移动授权系统,以供所述移动授权系统根据所述客户端验证策略向所述移动设备推送所述验证信息,其中,所述客户端验证策略包括:动态口令验证策略、生物特征信息验证策略、CA签名验证策略。
[0011]在该技术方案中,移动授权系统通过发送验证码的方式或者根据客户端验证策略(如动态口令验证策略、生物特征信息验证策略、CA签名验证策略)向移动设备推送验证信息,使得企业信息系统的用户无需记忆密码,减掉了用户记忆密码的强度,并且提升了系统的易用性和安全等级,减少了用户的学习成本。
[0012]在上述任一技术方案中,优选地,所述信息系统根据所述登录账号信息和预设的安全策略确定验证所述用户的身份的验证方式的步骤具体包括:所述信息系统根据所述登录账号信息确定所述登录账号信息所对应的主体,并根据所述主体选择相应的安全策略;其中,所述主体包括:角色、组织、集团和用户。
[0013]在该技术方案中,通过根据登录账号信息所对应的主体选择相应的安全策略,使得能够方便地管理登录用户的授权策略,避免了对每个用户分别进行授权策略的管理而造成工作量较大的问题,同时,在外部人员使用时也能够方便地进行授权管理。
[0014]在上述任一技术方案中,优选地,在允许所述用户登入所述信息系统之后,还包括:检测所述用户选择的功能节点是否需要进行再次授权;在检测到所述功能节点需要再次授权时,向所述移动授权系统发送通知消息,以使所述移动授权系统根据与所述功能节点相对应的授权策略向所述移动设备推送验证信息,以执行再次授权操作。
[0015]在该技术方案中,通过在检测到用户选择的功能节点需要再次授权时,向移动授权系统发送通知消息,以使移动授权系统根据与功能节点相对应的授权策略向移动设备推送验证信息,执行再次授权操作,使得能够通过移动授权系统实现对功能节点的授权管理,无需为某个功能节点单独开发授权策略。
[0016]在上述任一技术方案中,优选地,在接收所述信息系统反馈的所述验证方式,并转发至移动授权系统的步骤之前,还包括:获取用于进行授权管理的所有移动授权系统的信息;显示所述所有移动授权系统的信息,以供权限管理者选择用于对所述信息系统进行授权管理的一个或多个移动授权系统。
[0017]在该技术方案中,企业用户可以根据与授权管理装置相连的所有移动授权系统来选择对企业信息系统进行授权管理的移动授权系统。
[0018]在上述任一技术方案中,优选地,还包括:控制所述移动授权系统对所述移动设备反馈的响应信息进行验证的算法。
[0019]在该技术方案中,通过控制移动授权系统对移动设备反馈的响应信息进行验证的算法,使得能够对移动授权系统进行有效的控制,以提高信息的安全性。
[0020]根据本发明的另一方面,还提出了一种用于信息系统的授权管理装置,包括:接收单元,用于接收用户输入的登录账号信息;发送单元,用于将所述登录账号信息发送至信息系统,以供所述信息系统根据所述登录账号信息和预设的安全策略确定验证所述用户的身份的验证方式;转发单元,用于接收所述信息系统反馈的所述验证方式,并转发至移动授权系统,以供所述移动授权系统根据所述验证方式向与所述登录账号信息相关联的移动设备推送相应的验证信息,所述移动设备在接收到所述验证信息时,对所述验证信息进行响应,并将对所述验证信息的响应信息反馈至所述移动授权系统;处理单元,用于接收所述移动授权系统根据所述响应信息发送的是否验证通过的反馈信息,并根据所述反馈信息确定是否允许所述用户登入所述信息系统。
[0021]在该技术方案中,授权管理方法主要是以下流程:授权管理装置将用户输入的登录账号信息发送至信息系统,信息系统根据登录账号信息和预设的安全策略确定验证用户的身份的验证方式,并将确定的验证方式发送至授权管理装置,授权管理装置将接收到的验证方式转发至移动授权系统,移动授权系统根据验证方式向与登录账号信息相关联的移动设备推送相应的验证信息,移动设备对验证信息进行响应,并将对验证信息的响应信息反馈至移动授权系统,移动授权系统根据响应信息确定是否验证通过,并将是否验证通过的反馈信息发送至授权管理装置,进而授权管理装置根据反馈信息确定是否允许用户登入信息系统。可见,在本发明的技术方案中,授权管理装置处于企业的信息系统和移动授权系统之间,对于企业用户来说,无需针对不同的移动授权系统开发相应的接口,使得企业用户可以灵活地选择对信息系统进行授权管理的移动授权系统,并且最大限度的将移动授权系统与企业的信息系统进行隔离,即实现了信息管理与授权管理的相互独立、互不干扰,保证了企业信息系统的运行安全,进而保证了企业信息系统的提供商的经济效益,也使得企业用户拥有更优体验的安全能力,提高了企业信息系统的安全性及响应能力。
[0022]在上述技术方案中,优选地,所述验证方式包括:验证码方式和客户端验证方式;
[0023]若所述验证方式为所述验证码方式,则所述移动授权系统向与所述登录账号信息相关联的移动设备推送的验证信息为验证码;
[0024]若所述验证方式为所述客户端验证方式,则所述转发单元包括:第一获取单元,用于在所述移动授权系统向与所述登录账号信息相关联的移动设备推送相应的验证信息的之前,获取所述移动授权系统根据所述移动设备反馈的证书信息确定的用户信息,并将所述用户信息反馈至所述信息系统;推送单元,用于接收所述信息系统根据所述用户信息确定的客户端验证策略,并将所述客户端验证策略推送至所述移动授权系统,以供所述移动授权系统根据所述客户端验证策略向所述移动设备推送所述验证信息,其中,所述客户端验证策略包括:动态口令验证策略、生物特征信息验证策略、CA签名验证策略。
[0025]在该技术方案中,移动授权系统通过发送验证码的方式或者根据客户端验证策略(如动态口令验证策略、生物特征信息验证策略、CA签名验证策略)向移动设备推送验证信息,使得企业信息系统的用户无需记忆密码,减掉了用户记忆密码的强度,并且提升了系统的易用性和安全等级,减少了用户的学习成本。
[0026]在上述任一技术方案中,优选地,所述信息系统根据所述登录账号信息和预设的安全策略确定验证所述用户的身份的验证方式具体包括:所述信息系统根据所述登录账号信息确定所述登录账号信息所对应的主体,并根据所述主体选择相应的安全策略;其中,所述主体包括:角色、组织、集团和用户。
[0027]在该技术方案中,通过根据登录账号信息所对应的主体选择相应的安全策略,使得能够方便地管理登录用户的授权策略,避免了对每个用户分别进行授权策略的管理而造成工作量较大的问题,同时,在外部人员使用时也能够方便地进行授权管理。
[0028]在上述任一技术方案中,优选地,还包括:检测单元,用于在所述处理单元确定允许所述用户登入所述信息系统之后,检测所述用户选择的功能节点是否需要进行再次授权;所述发送单元还用于,在所述检测单元检测到所述功能节点需要再次授权时,向所述移动授权系统发送通知消息,以使所述移动授权系统根据与所述功能节点相对应的授权策略向所述移动设备推送验证信息,以执行再次授权操作。
[0029]在该技术方案中,通过在检测到用户选择的功能节点需要再次授权时,向移动授权系统发送通知消息,以使移动授权系统根据与功能节点相对应的授权策略向移动设备推送验证信息,执行再次授权操作,使得能够通过移动授权系统实现对功能节点的授权管理,无需为某个功能节点单独开发授权策略。
[0030]在上述