83]步骤608,由信息系统登录服务判断验证方式。若验证方式是App动态口令、AppCA授权认证、App生物识别,则通过集成授权App通过验证调用第三方授权服务判断授权类型,并返回步骤606 ;若验证方式是短信验证码,则将移动设备接收的动态口令作为登录录入信息,并返回步骤606。
[0284]4、业务操作授权执行
[0285]4.1、进行相关的业务授权操作;
[0286]4.2、信息系统读取系统设置好的安全策略进行计算;
[0287]4.3、根据当前环境信息确定用户及业务信息;
[0288]4.4、后续操作步骤同1.5后的步骤,业务授权操作不允许短信验证;
[0289]4.5、如果是多人授权则每个用户重复2.4的操作,全部人员确认才成功,如果一人失败就认定业务操作授权不成功。
[0290]三、应用举例
[0291]以某企业信息系统里资金领域,使用移动授权系统登陆及进行业务支付并多人确认的场景。
[0292]首先,系统管理员部署CA,及企业安全策略设置。并对所有相关的资金业务人员发放CA证书,由于资金业务比较重要所以采取当面发放。并在其移动设备上安装授权集成应用App和CA证书。
[0293]其次,企业进行资金业务的安全策略设置,用户登录及支付使用App CA签名认证,并需要业务节点打开二次确认,及当超过一定金额时需要多人授权。根据业务隶属和业务权限找对应人员。
[0294]再次,资金操作员进入登陆界面,点击登陆后。信息系统发消息到移动授权App上,App调用对应app模块进行CA授权验证,通过进入系统。查询系统消息后,发现有一笔需要支付业务需要处理。
[0295]第四,打开消息后信息系统切换到信息系统的资金支付节点,系统提示二次确认,点击确认。信息系统再次发消息到移动授权App上,App调用对应app模块进行CA授权验证,进入资金支付节点,信息系统自动定位并打开对应的资金单据。
[0296]第五,资金操作员进行相应的业务处理后,进行资金支付。支付系统通过AOP的方式调用系统安全策略设置,通过安全策略设置的规则计算后,发现资金大于限定金额还需要上级进行授权才能处理。
[0297]第六,信息系统同时发推送通知到资金操作员和其资金主管的移动设备app上。
[0298]第七,资金操作员与资金管理员,分别App调用对应app模块进行CA授权验证,进入业务节点并打开单据后,资金操作员再次审查后进行签名确认。资金主管进行浏览及审查后无误后进行签名确认。
[0299]第七,在规定时间内完所有人的App CA签名确认则支付生效,如果一人不确认或没在规定时间内完成,则不生效。
[0300]本发明的上述技术方案实现了以下技术效果:
[0301]本发明提出的授权管理装置通过将信息系统的授权功能进行分类抽象,并将其与第三方移动安全授权系统,并融合在系统框架和平台里。这样既解决了第三方移动安全授权系统的集成问题,而且提供了扩展机制,并在执行过程进行了安全控制。而且还允许动态新增授权了得第三方移动安全授权系统。与此同时还解除了各应用和第三方移动安全授权系统的紧密耦合,保证了企业信息系统的独立性和扩展性。而且通过第三移动授权系统将登陆及授权功能分离出来,极大的提高登陆及授权的性能和系统的并发压力。提供使的一次开发全局可用,有效的避免了重复的类似开发,极大的节约了双方的开发及沟通成本。
[0302]本发明提出的授权管理装置利用移动安全技术免去用户在登陆,业务授权时需要密码输入等授权操作。由于在使用过程中除去了记忆复杂繁多的密码。极大的方便了用户,提高了业务操作的效率。并可以按需配置需要节点,非常方便的扩展性,使用用户不在小心使用授权功能,因此提高系统在使用过程中的整体安全等级。
[0303]通过集成在企业信息系统平台内,让用户根据需要,对业务功能授权节点配置及选择的合适企业需要的安全策略。并且在本装置在配置好后,以AOP方式对第三方移动安全授权系统的调用,以全自动的方式运行,不需要人工再干预。这样保证了信息系统的零活性。总的来说通过该装置,有效的减少了用户的学习成本、开发成本、运维成本,并能快速的与新的第三方移动安全授权系统进行集成。同时消除信息系统的变动及带来的质量问题、上线不及时的所带来的间接成本等问题,也保证了信息系统的安全性和稳定性。
[0304]以上结合附图详细说明了本发明的技术方案,本发明提出了一种新的用于信息系统的授权管理方案,实现了快捷、高性能、高安全的企业信息系统的业务授权管理,提高了企业信息系统的安全性及响应能力。
[0305]以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【主权项】
1.一种用于信息系统的授权管理方法,其特征在于,包括: 接收用户输入的登录账号信息; 将所述登录账号信息发送至信息系统,以供所述信息系统根据所述登录账号信息和预设的安全策略确定验证所述用户的身份的验证方式; 接收所述信息系统反馈的所述验证方式,并转发至移动授权系统,以供所述移动授权系统根据所述验证方式向与所述登录账号信息相关联的移动设备推送相应的验证信息,所述移动设备在接收到所述验证信息时,对所述验证信息进行响应,并将对所述验证信息的响应信息反馈至所述移动授权系统; 接收所述移动授权系统根据所述响应信息发送的是否验证通过的反馈信息,并根据所述反馈信息确定是否允许所述用户登入所述信息系统。2.根据权利要求1所述的用于信息系统的授权管理方法,其特征在于,所述验证方式包括:验证码方式和客户端验证方式; 若所述验证方式为所述验证码方式,则所述移动授权系统向与所述登录账号信息相关联的移动设备推送的验证信息为验证码; 若所述验证方式为所述客户端验证方式,则在所述移动授权系统向与所述登录账号信息相关联的移动设备推送相应的验证信息的步骤之前,还包括: 获取所述移动授权系统根据所述移动设备反馈的证书信息确定的用户信息,并将所述用户信息反馈至所述信息系统; 接收所述信息系统根据所述用户信息确定的客户端验证策略,并将所述客户端验证策略推送至所述移动授权系统,以供所述移动授权系统根据所述客户端验证策略向所述移动设备推送所述验证信息,其中,所述客户端验证策略包括:动态口令验证策略、生物特征信息验证策略、CA签名验证策略。3.根据权利要求1所述的用于信息系统的授权管理方法,其特征在于,所述信息系统根据所述登录账号信息和预设的安全策略确定验证所述用户的身份的验证方式的步骤具体包括: 所述信息系统根据所述登录账号信息确定所述登录账号信息所对应的主体,并根据所述主体选择相应的安全策略; 其中,所述主体包括:角色、组织、集团和用户。4.根据权利要求1所述的用于信息系统的授权管理方法,其特征在于,在允许所述用户登入所述信息系统之后,还包括: 检测所述用户选择的功能节点是否需要进行再次授权; 在检测到所述功能节点需要再次授权时,向所述移动授权系统发送通知消息,以使所述移动授权系统根据与所述功能节点相对应的授权策略向所述移动设备推送验证信息,以执行再次授权操作。5.根据权利要求1至4中任一项所述的用于信息系统的授权管理方法,其特征在于,在接收所述信息系统反馈的所述验证方式,并转发至移动授权系统的步骤之前,还包括: 获取用于进行授权管理的所有移动授权系统的信息; 显示所述所有移动授权系统的信息,以供权限管理者选择用于对所述信息系统进行授权管理的一个或多个移动授权系统。6.一种用于信息系统的授权管理装置,其特征在于,包括: 接收单元,用于接收用户输入的登录账号信息; 发送单元,用于将所述登录账号信息发送至信息系统,以供所述信息系统根据所述登录账号信息和预设的安全策略确定验证所述用户的身份的验证方式; 转发单元,用于接收所述信息系统反馈的所述验证方式,并转发至移动授权系统,以供所述移动授权系统根据所述验证方式向与所述登录账号信息相关联的移动设备推送相应的验证信息,所述移动设备在接收到所述验证信息时,对所述验证信息进行响应,并将对所述验证信息的响应信息反馈至所述移动授权系统; 处理单元,用于接收所述移动授权系统根据所述响应信息发送的是否验证通过的反馈信息,并根据所述反馈信息确定是否允许所述用户登入所述信息系统。7.根据权利要求6所述的用于信息系统的授权管理装置,其特征在于,所述验证方式包括:验证码方式和客户端验证方式; 若所述验证方式为所述验证码方式,则所述移动授权系统向与所述登录账号信息相关联的移动设备推送的验证信息为验证码; 若所述验证方式为所述客户端验证方式,则所述转发单元包括: 第一获取单元,用于在所述移动授权系统向与所述登录账号信息相关联的移动设备推送相应的验证信息的之前,获取所述移动授权系统根据所述移动设备反馈的证书信息确定的用户信息,并将所述用户信息反馈至所述信息系统; 推送单元,用于接收所述信息系统根据所述用户信息确定的客户端验证策略,并将所述客户端验证策略推送至所述移动授权系统,以供所述移动授权系统根据所述客户端验证策略向所述移动设备推送所述验证信息,其中,所述客户端验证策略包括:动态口令验证策略、生物特征信息验证策略、CA签名验证策略。8.根据权利要求6所述的用于信息系统的授权管理装置,其特征在于,所述信息系统根据所述登录账号信息和预设的安全策略确定验证所述用户的身份的验证方式具体包括:所述信息系统根据所述登录账号信息确定所述登录账号信息所对应的主体,并根据所述主体选择相应的安全策略;其中,所述主体包括:角色、组织、集团和用户。9.根据权利要求6所述的用于信息系统的授权管理装置,其特征在于,还包括:检测单元,用于在所述处理单元确定允许所述用户登入所述信息系统之后,检测所述用户选择的功能节点是否需要进行再次授权; 所述发送单元还用于,在所述检测单元检测到所述功能节点需要再次授权时,向所述移动授权系统发送通知消息,以使所述移动授权系统根据与所述功能节点相对应的授权策略向所述移动设备推送验证信息,以执行再次授权操作。10.根据权利要求6至9中任一项所述的用于信息系统的授权管理装置,其特征在于,还包括: 第二获取单元,用于获取用于进行授权管理的所有移动授权系统的信息; 显示单元,用于显示所述所有移动授权系统的信息,以供权限管理者选择用于对所述信息系统进行授权管理的一个或多个移动授权系统。11.根据权利要求6至9中任一项所述的用于信息系统的授权管理装置,其特征在于,还包括:控制单元,用于控制所述移动授权系统对所述移动设备反馈的响应信息进行验证的算法。
【专利摘要】本发明提供了一种用于信息系统的授权管理方法及授权管理装置,其中,授权管理方法包括:接收用户输入的登录账号信息;将登录账号信息发送至信息系统,以供信息系统根据所述登录账号信息和预设的安全策略确定验证用户的身份的验证方式;接收信息系统反馈的所述验证方式,并转发至移动授权系统,以供所述移动授权系统根据所述验证方式向与所述登录账号信息相关联的移动设备推送相应的验证信息,所述移动设备在接收到所述验证信息时,对所述验证信息进行响应,并将对所述验证信息的响应信息反馈至所述移动授权系统;接收所述移动授权系统根据所述响应信息发送的是否验证通过的反馈信息,并根据所述反馈信息确定是否允许所述用户登入所述信息系统。
【IPC分类】H04L29/06
【公开号】CN105391724
【申请号】CN201510834306
【发明人】季晟宇
【申请人】用友网络科技股份有限公司
【公开日】2016年3月9日
【申请日】2015年11月25日