CN104580213A - 认证授权方法和装置 - Google Patents
认证授权方法和装置 Download PDFInfo
- Publication number
- CN104580213A CN104580213A CN201510009740.6A CN201510009740A CN104580213A CN 104580213 A CN104580213 A CN 104580213A CN 201510009740 A CN201510009740 A CN 201510009740A CN 104580213 A CN104580213 A CN 104580213A
- Authority
- CN
- China
- Prior art keywords
- identity attribute
- user
- authentication
- identity
- attribute
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种认证授权方法和装置。其中,认证授权方法包括:接收用户终端发送的认证授权请求;根据认证授权请求,确定用户终端所代表的用户的身份属性;根据身份属性,确定身份属性对应的授权访问权限;按照授权访问权限对用户终端所代表的用户进行授权。通过本发明,解决了现有技术中当用户身份属性发生变化时,系统管理员就需要修改用户授权业务范围导致工作量繁重的问题,进而达到了降低系统管理人员工作量的效果。
Description
技术领域
本发明涉及互联网领域,具体而言,涉及一种认证授权方法和装置。
背景技术
用户身份安全认证和授权是网络安全领域的核心功能之一。随着网络安全与业务应用系统的结合越来越深入,基于外部设备(如:LDAP,Radius等)进行身份认证与授权需求变得丰富和多样化。而现有技术中进行用户身份认证和授权,大都是基于静态数据进行认证与授权。
图1是现有技术中用户基于静态数据进行认证授权的流程图。如图1所示,管理员通过安全网关设备(如:防火墙,SSLVPN等)下载或者导入用户,并预先对用户能够进行业务操作的范围进行绑定授权。用户终端登录的时候,向安全网关设备发起认证授权请求,安全网关设备将用户终端发送的认证授权请求发送给外部认证设备(即,服务器),请求外部认证设备认证用户身份,外部认证设备根据用户终端发送的认证授权请求对用户进行身份认证,并将身份认证的结果返回给安全网关设备,安全网关设备根据外部认证设备返回的结果和之前管理员预绑定授权的信息,计算该用户的业务权限,并将计算的认证授权结果返回给用户终端。上述过程对应的认证授权方式,也可以称为静态认证授权。
对于上述静态认证授权的方式,由于对用户授权的业务权限不能随着用户在外部认证设备上的信息发生变化,也进行实时变化,当用户在外部设备上的信息发生改变时,需要系统管理人员介入修改用户的授权权限,极大的增加IT管理成本。并且,在进行静态授权认证时,系统管理员常常希望满足某些条件(如,登录的有效时间限制)的用户才可以登录认证和访问业务,但静态认证授权无法满足上述条件。
对现有技术中静态认证授权方式的应用进行举例说明如下,外部设备是一个AD服务器,系统管理员希望根据该AD服务器中用户所在的组织结构(也称为身份属性)来授权。在静态场景下,系统管理员手动将AD服务器中用户A下载到本地,并授予用户A以某种身份属性可以访问的相对应的业务。但是,一旦用户A改变了组织单元(也就是身份属性,比如:从人事部调动到财务部),那么用户A可以访问的业务就会产生变化。遇到这种情况,系统管理员就必须要重新配置用户A的授权权限。如果AD服务器中用户的组织单元变动频率很高,系统管理员的工作量会大大增加。
针对现有技术中当用户身份属性发生变化时,系统管理员就需要修改用户授权业务范围导致工作量繁重的问题,目前尚未提出有效的解决方案。
发明内容
本发明的主要目的在于提供一种认证授权方法和装置,以解决现有技术中当用户身份属性发生变化时,系统管理员就需要修改用户授权业务范围导致工作量繁重的问题。
为了实现上述目的,根据本发明实施例的一个方面,提供了一种认证授权方法。根据本发明的认证授权方法包括:接收用户终端发送的认证授权请求;根据认证授权请求,确定所述用户终端所代表的用户的身份属性;根据所述身份属性,获取所述身份属性对应的授权访问权限;以及按照所述授权访问权限对所述用户终端所代表的所述用户进行授权。
进一步地,所述认证授权请求中包括所述用户的账户信息,在接收用户终端发送的认证授权请求之后,并在根据认证授权请求,获取所述用户的身份属性之前,所述认证授权方法还包括:将所述账户信息发送至服务器,并请求所述服务器对所述用户进行身份认证;接收所述服务器返回的所述用户的身份认证结果;判断所述身份认证结果是第一预设状态还是第二预设状态,其中,所述第一预设状态和所述第二预设状态用于表示不同的所述身份认证结果;以及在判断出所述身份认证结果是第一预设状态的情况下,确定通过所述用户的身份认证。
进一步地,在接收用户终端发送的认证授权请求之前,所述认证授权方法包括:接收设置指令,以及按照所述设置指令设置安全访问条件,其中,所述安全访问条件中包含多种所述身份属性,以及每种所述身份属性对应的授权访问权限。
进一步地,根据认证授权请求,确定所述用户的身份属性包括:获取多种预设身份属性,其中,所述预设身份属性为所述安全访问条件中包含的多种所述身份属性;向服务器发起查询请求,其中,所述查询请求为询问所述用户的身份属性是否与多种所述预设身份属性中的每种所述预设身份属性相同的请求,所述服务器根据所述认证授权请求中的账户信息确定所述用户,并获取所述用户的所述身份属性;以及接收所述服务器返回的所述用户的查询结果,其中,所述查询结果中包含所述用户的所述身份属性。
进一步地,根据所述身份属性,获取所述身份属性对应的授权访问权限包括:判断所述查询结果中的所述身份属性是否为多个所述预设身份属性中的任一种所述预设身份属性;以及在判断出所述查询结果中的所述身份属性为多个所述预设身份属性中的任一种所述预设身份属性的情况下,确定所述查询结果中的所述身份属性对应的授权访问权限为所述用户的所述身份属性对应的授权访问权限。
为了实现上述目的,根据本发明实施例的另一方面,提供了一种认证授权装置。根据本发明的认证授权装置包括:第一接收单元,用于接收用户终端发送的认证授权请求;第一确定单元,用于根据认证授权请求,确定所述用户终端所代表的用户的身份属性;获取单元,用于根据所述身份属性,获取所述身份属性对应的授权访问权限;以及授权单元,用于按照所述授权访问权限对所述用户终端所代表的所述用户进行授权。
进一步地,所述认证授权请求中包括所述用户的账户信息,所述认证授权装置还包括:请求单元,用于在接收用户终端发送的认证授权请求之后,并在根据认证授权请求,获取所述用户的身份属性之前,将所述账户信息发送至服务器,并请求所述服务器对所述用户进行身份认证;第二接收单元,用于接收所述服务器返回的所述用户的身份认证结果;判断单元,用于判断所述身份认证结果是第一预设状态还是第二预设状态,其中,所述第一预设状态和所述第二预设状态用于表示不同的所述身份认证结果;以及第二确定单元,在判断出所述身份认证结果是第一预设状态的情况下,确定通过所述用户的身份认证。
进一步地,所述认证授权装置包括:第三接收单元,用于在接收用户终端发送的认证授权请求之前,接收设置指令,以及设置单元,用于按照设置指令设置安全访问条件,其中,所述安全访问条件中包含多种所述身份属性,以及每种所述身份属性对应的授权访问权限。
进一步地,所述第一确定单元包括:获取模块,用于获取多种预设身份属性,其中,所述预设身份属性为所述安全访问条件中包含的多种所述身份属性;查询模块,用于向服务器发起查询请求,其中,所述查询请求为询问所述用户的身份属性是否与多种所述预设身份属性中的每种所述预设身份属性相同的请求,所述服务器根据所述认证授权请求中的账户信息确定所述用户,并获取所述用户的所述身份属性;以及接收模块,用于接收所述服务器返回的所述用户的查询结果,其中,所述查询结果中包含所述用户的所述身份属性。
进一步地,所述获取单元包括:判断模块,用于判断所述查询结果中的所述身份属性是否为多个所述预设身份属性中的任一种所述预设身份属性;以及确定模块,用于在判断出所述查询结果中的所述身份属性为多个所述预设身份属性中的任一种所述预设身份属性的情况下,确定所述查询结果中的所述身份属性对应的授权访问权限为所述用户的所述身份属性对应的授权访问权限。
根据发明实施例,采用接收用户终端发送的认证授权请求;根据认证授权请求,确定所述用户终端所代表的用户的身份属性;根据所述身份属性,确定所述身份属性对应的授权访问权限;以及按照所述授权访问权限对所述用户终端所代表的所述用户进行授权。通过根据用户终端发送的认证授权请求,实现了对用户终端所代表的用户的身份属性的确定,进而根据上述身份属性,可以确定该身份属性所对应的授权访问权限。无论服务器上用户数量的增加或者减少,都不需要系统管理员逐一设置每个用户的授权访问权限,也无论服务器上有多少用户的身份属性发生变化,系统管理员无需重新设置每个身份属性发现变化的用户的授权访问权限,仅需根据每个用户的新身份属性就可以确定该身份属性对应的授权访问权限,从而可以完成对上述用户的认证授权,解决了现有技术中当用户身份属性发生变化时,系统管理员就需要修改用户授权业务范围导致工作量繁重的问题,进而达到了降低系统管理人员工作量的效果。
附图说明
构成本申请的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是现有技术中用户基于静态数据进行认证授权的流程图;
图2是根据本发明实施例的认证授权方法的流程图;
图3是根据本发明优选实施例的一种认证授权方法的时序图;以及
图4是根据本发明实施例的认证授权装置的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例1
根据本发明实施例,提供了一种可以用于实施本申请装置实施例的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
根据本发明实施例,提供了一种认证授权方法。图2是根据本发明实施例的认证授权方法的流程图,如图2所示,该方法包括如下的步骤S202至步骤S208:
S202:接收用户终端发送的认证授权请求。具体地,可以通过安全网关设备(例如:防火墙或者虚拟专用网络(Virtual Private Network,简称VPN))接收用户终端发送的认证授权请求。
S204:根据认证授权请求,确定用户终端所代表的用户的身份属性。具体地,不同的用户有不同的身份属性。例如,用户A为财务部的员工,那么用户A的身份属性为财务部员工;用户B为人事部的员工,那么用户B的身份属性为人事部员工。
S206:根据身份属性,获取身份属性对应的授权访问权限。在本发明实施例中,每种身份属性都有其对应的授权访问权限,不同的身份属性对应的授权访问权限可以相同,也可以不同,还可以部分相同,具体可以根据需求设置。
S208:按照授权访问权限对用户终端所代表的用户进行授权,也就是,允许用户在用户终端上进行业务访问。
在本发明实施例中,通过根据用户终端发送的认证授权请求,实现了对用户终端所代表的用户的身份属性的确定,进而根据上述身份属性,可以确定该身份属性所对应的授权访问权限。无论服务器上用户数量的增加或者减少,都不需要系统管理员逐一设置每个用户的授权访问权限,也无论服务器上有多少用户的身份属性发生变化,系统管理员无需重新设置每个身份属性发现变化的用户的授权访问权限,仅需根据每个用户的新身份属性就可以确定该身份属性对应的授权访问权限,从而可以完成对上述用户的认证授权,解决了现有技术中当用户身份属性发生变化时,系统管理员就需要修改用户授权业务范围导致工作量繁重的问题,进而达到了降低系统管理人员工作量的效果。
具体地,认证授权请求中包括用户的账户信息,在接收用户终端发送的认证授权请求之后,并在根据认证授权请求,获取用户的身份属性之前,本发明实施例所提供的认证授权方法还包括:
将账户信息发送至服务器,并请求服务器对用户进行身份认证,其中,账户信息中包含用户的用户名和密码,也就是,安全网关设备将用户的用户名和密码发送至服务器,并请求服务器对用户进行身份认证。在本发明实施例中,服务器中预先存储有每个账户信息的正确的用户名和密码,以及每个账户信息的业务访问状态,该业务访问状态可以是允许,也可以禁止,服务器根据其接收到的账户信息与其存储的账户信息进行对比,如果接收到的账户信息与其存储的账户信息完全一致,并且,该账户信息所对应的业务访问状态为允许,那么服务器返回给安全网关设备的身份认证结果为合法;如果接收到的账户信息与其存储的账户信息不完全一致,也就是,账户信息中的用户名或者密码与服务器中存储的用户名或者密码不一致,即使账户信息所对应的业务访问状态为允许,那么服务器返回给安全网关设备的身份认证结果为非法;如果接收到的账户信息与其存储的账户信息完全一致,但是账户信息所对应的业务访问状态为禁止,那么服务器返回给安全网关设备的身份认证结果仍是非法。
接收服务器返回的用户的身份认证结果。
判断身份认证结果是第一预设状态还是第二预设状态,其中,第一预设状态和第二预设状态用于表示不同的认证结果,具体地,第一预设状态是身份认证结果为合法,第二预设状态是身份认证结果为非法。本发明实施例也就是,判断身份认证结果为合法还是非法。
在判断出身份认证结果是第一预设状态的情况下,确定通过用户的身份认证,也就是,如果身份认证结果为合法,则通过该用户的身份认证;如果身份认证结果为非法,则不通过该用户的身份认证,返回登录失败至用户终端。
优选地,在接收用户终端发送的认证授权请求之前,本发明实施例所提供的认证授权方法还包括:接收设置指令;按照设置指令设置安全访问条件,其中,安全访问条件中包含多种身份属性,以及每种身份属性对应的授权访问权限。在本发明实施例中,安全访问条件中身份属性可以有多种,是否包含服务器中存在的全部身份属性可以根据需求设置,但是安全访问条件中包含的每种身份属性都有其对应的授权访问权限。每个身份属性对应的授权访问权限由访问条件组成,具体可以由一条访问条件组成,也可以由多条访问条件组成。如果某个身份属性对应的授权访问权限由多条访问条件组成,那么多条访问条件之间通过逻辑与连接。例如,假设安全访问条件中包含的一种身份属性为人事部员工,人事部员工对应的授权访问权限为:
上述授权访问权限表示来自人事部门的员工,可以在9:00到17:00的时间段登录安全网关设备,并可以访问人事管理网站“http://hr.xxxcorp.com”。需要说明的是,安全访问条件中包含的其他身份属性对应的授权访问权限的设置方式与上述举例相同,但不同身份属性对应的授权访问权限中的访问条件可以根据需求设置。
在本发明实施例中,通过预先设置安全访问条件,为在确定用户的身份属性的情况下,就可以按照上述身份属性对应的授权访问权限对用户进行授权提供了基础。并且,此种方式设置的授权访问权限,可以满足系统管理员对登录的有效时间限制的需求,达到了提高使用者满意度的效果。
具体地,可以通过步骤1-1至步骤1-3实现根据认证授权请求,确定用户的身份属性,步骤1-1至步骤1-3具体如下:
步骤1-1:获取多种预设身份属性,其中,预设身份属性为安全访问条件中包含的多种身份属性,本步骤也就是获取安全访问条件中包含的全部身份属性,得到多种预设身份属性,其中,安全访问条件中包含的身份属性的数量与预设身份属性的数量相等。例如:如果安全访问条件中包含3种身份属性,分别是人事部员工、财务部员工和销售部员工,那么安全网关设备就获取到3种预设身份属性,具体为人事部员工、财务部员工和销售部员工。
步骤1-2:向服务器发起查询请求,其中,查询请求为询问用户的身份属性是否与多种预设身份属性中的每种预设身份属性相同的请求,服务器根据认证授权请求中的账户信息确定用户,并获取用户的身份属性。具体地,服务器中预先存储有每个用户的用户名和密码,以及该用户的身份属性。在本发明实施例中,安全网关设备会同时询问服务器该用户的身份属性是否为多种预设身份属性中每种预设身份属性,服务器会判断其存储的身份属性与预设身份属性是否相同,返回查询结果至安全网关设备。继续采用上述举例进行说明,对于用户A,安全网关设备会同时询问服务器,用户A的身份属性是否是人事部员工、用户A的身份属性是否是财务部员工、用户A的身份属性是否是销售部员工;服务器会根据其存储的用户A的身份属性,返回查询结果。
步骤1-3:接收服务器返回的用户的查询结果,其中,查询结果中包含用户的身份属性。仍旧采用上述举例进行说明,假设,用户A为人事部员工,那么安全网关设备接收到的查询结果为用户A为人事部员工;假设,用户A为销售部员工,那么安全网关设备接收到的查询结果为用户A为销售部员工。
具体地,可以通过步骤2-1至步骤2-2实现根据身份属性,获取身份属性对应的授权访问权限包括:
步骤2-1:判断查询结果中的身份属性是否为多个预设身份属性中的任一种预设身份属性,也就是判断查询结果中的身份属性是否与安全访问条件中包含的多个身份属性中的任一种身份属性相同。
步骤2-2:在判断出查询结果中的身份属性为多个预设身份属性中的任一种预设身份属性的情况下,确定查询结果中的身份属性对应的授权访问权限为用户的身份属性对应的授权访问权限,即,在判断出查询结果中的身份属性与安全访问条件中包含的多个身份属性中的任一种身份属性相同的情况下,确定查询结果中的身份属性对应的授权访问权限为该用户的身份属性对应的授权访问权限,也就是该用户的身份属性对应是授权访问权限为与安全访问条件中相同的身份属性对应的授权访问权限。例如:查询结果返回用户A的身份属性为销售部员工,经判断确定销售部员工为多种预设身份属性中的一种,那么销售部员工对应的授权访问权限即为该用户的身份属性对应的授权访问权限。
需要说明的是,同一个用户可以有一种身份属性,也可以有多种身份属性。如果某个用户有一种身份属性,那么该用户的授权访问权限为上述一种身份属性对应的授权访问权限;如果某个用户有多种身份属性,那么该用户的授权访问权限为该用户的多种身份属性中全部身份属性对应的授权访问权限之和。
图3是根据本发明优选实施例的一种认证授权方法的时序图。如图3所示,该可选的网络资源的调度方法包括如下步骤S302至S324:
S302:系统管理员在安全网关设备上配置安全策略。本步骤中的安全策略为上述实施例中的安全访问条件。同样的,该安全策略中包含多种身份属性,以及每种身份属性对应的授权访问权限。本步骤具体为,系统管理员按照接收到的配置请求,在安全网关设备上配置多种身份属性,以及每种身份属性对应的授权访问权限。
S304:用户终端向安全网关设备发送认证授权请求,具体地,该认证授权请求中也包含用户的账户信息。
S306:安全网关设备向服务器发起用户身份认证请求。具体地,安全网关设备接收认证授权请求,并将认证授权请求中的用户名和密码发至服务器,本步骤相当于“将账户信息发送至服务器,并请求服务器对用户进行身份认证”,在此不再重复说明。
S308:服务器将用户的身份认证结果发送至安全网关设备。具体地,服务器在接收到用户名和密码后,会对用户名和密码是否正确进行检查,并同时检查该用户的业务访问状态为允许,还是禁止,其中,在用户名和密码均正确,并且用户的业务访问状态为允许的情况下,向安全网关设备返回身份认证结果为合法;在用户名或者密码不正确的情况下,向安全网关设备返回身份认证结果为非法;在用户名和密码均正确,但用户的业务访问状态为禁止的情况下,向安全网关设备返回身份认证结果也为非法。
S310:网关设备在接收到服务器发送的用户的身份认证结果后,判断身份认证结果是否为合法。具体地,在判断出身份认证结果为合法的情况下,执行步骤S314;在判断出身份认证结果为不合法(即,非法)的情况下,执行步骤S312。
S312:返回登录失败至用户终端,并退出登录安全网关设备。
S314:根据安全策略,发起查询用户的身份属性的请求。本步骤具体为获取安全策略中的多种身份属性,并向服务器询问用户终端所代表的用户的身份属性是否为安全策略请求中的每种身份属性,相当于“向服务器发起查询请求”,在此不再重复说明。
S316:服务器匹配用户的身份属性,并向安全网关设备返回查询结果。具体地,服务器根据接收到的查询请求,对于该用户,判断查询请求中询问的身份属性与其存储的身份属性是否匹配,也就是判断用户的实际身份属性是否与查询的请求中询问的任意一种身份属性相同,并返回查询结果。
S318:安全网关设备判断服务器返回的查询结果中的身份属性是否为安全条件中多种身份属性中的至少一种身份属性。如果判断出服务器返回的查询结果中的身份属性为安全条件中多种身份属性中的至少一种身份属性,执行步骤S322;如果判断出服务器返回的查询结果中的身份属性不为安全条件中多种身份属性中的任一种身份属性,执行步骤S320。
S320:安全网关设备向用户终端返回授权失败。
S322:计算业务授权,并返回业务集。具体地,确定查询结果中的身份属性对应的授权访问权限为与安全策略中相同的身份属性对应的授权访问权限,并返回该权限对应的业务集。
S324:返回业务集至用户终端,使得用户终端可以进行业务访问。
在本发明实施例中,在基于服务器(也可以称为外部认证设备)进行认证授权时,网关安全设备能自动根据外部设备上用户信息的变化,动态的对用户授予该用户的身份属性对应的授权访问权限。应用本发明后,系统管理员只需要定制一系列安全策略,就能从繁琐的管理任务中解放出来,在对用户进行认证授权的过程中,不会因用户身份属性发生变化,就需要修改安全网关设备的相关配置,进一步达到了降低系统管理员工作量的效果。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
根据本发明实施例,还提供了一种用于实施上述认证授权方法的认证授权装置,该认证授权装置主要用于执行本发明实施例上述内容所提供的认证授权方法,以下对本发明实施例所提供的认证授权装置做具体介绍:
图4是根据本发明实施例的认证授权装置的示意图,如图4所示,该装置包括主要包括第一接收单元10、第一确定单元20、获取单元30和授权单元40,其中:
第一接收单元10用于接收用户终端发送的认证授权请求。具体地,可以通过安全网关设备(例如:防火墙或者虚拟专用网络(Virtual Private Network,简称VPN))接收用户终端发送的认证授权请求。
第一确定单元20用于根据认证授权请求,确定用户终端所代表的用户的身份属性。具体地,不同的用户有不同的身份属性。例如,用户A为财务部的员工,那么用户A的身份属性为财务部员工;用户B为人事部的员工,那么用户B的身份属性为人事部员工。
获取单元30用于根据身份属性,获取身份属性对应的授权访问权限。在本发明实施例中,每种身份属性都有其对应的授权访问权限,不同的身份属性对应的授权访问权限可以相同,也可以不同,还可以部分相同,具体可以根据需求设置。
授权单元40用于按照授权访问权限对用户终端所代表的用户进行授权,也就是,允许用户在用户终端上进行业务访问。
在本发明实施例中,通过根据用户终端发送的认证授权请求,实现了对用户终端所代表的用户的身份属性的确定,进而根据上述身份属性,可以确定该身份属性所对应的授权访问权限。无论服务器上用户数量的增加或者减少,都不需要系统管理员逐一设置每个用户的授权访问权限,也无论服务器上有多少用户的身份属性发生变化,系统管理员无需重新设置每个身份属性发现变化的用户的授权访问权限,仅需根据每个用户的新身份属性就可以确定该身份属性对应的授权访问权限,从而可以完成对上述用户的认证授权,解决了现有技术中当用户身份属性发生变化时,系统管理员就需要修改用户授权业务范围导致工作量繁重的问题,进而达到了降低系统管理人员工作量的效果。
具体地,认证授权请求中包括用户的账户信息,本发明实施例所提供的认证授权装置还包括请求单元、第二接收单元、判断单元和第二确定单元,其中:
请求单元用于在接收用户终端发送的认证授权请求之后,并在根据认证授权请求,获取用户的身份属性之前,将账户信息发送至服务器,并请求服务器对用户进行身份认证,其中,账户信息中包含用户的用户名和密码,也就是,安全网关设备将用户的用户名和密码发送至服务器,并请求服务器对用户进行身份认证。在本发明实施例中,服务器中预先存储有每个账户信息的正确的用户名和密码,以及每个账户信息的业务访问状态,该业务访问状态可以是允许,也可以禁止,服务器根据其接收到的账户信息与其存储的账户信息进行对比,如果接收到的账户信息与其存储的账户信息完全一致,并且,该账户信息所对应的业务访问状态为允许,那么服务器返回给安全网关设备的身份认证结果为合法;如果接收到的账户信息与其存储的账户信息不完全一致,也就是,账户信息中的用户名或者密码与服务器中存储的用户名或者密码不一致,即使账户信息所对应的业务访问状态为允许,那么服务器返回给安全网关设备的身份认证结果为非法;如果接收到的账户信息与其存储的账户信息完全一致,但是账户信息所对应的业务访问状态为禁止,那么服务器返回给安全网关设备的身份认证结果仍是非法。
第二接收单元用于接收服务器返回的用户的身份认证结果;
判断单元用于判断身份认证结果是第一预设状态还是第二预设状态,其中,第一预设状态和第二预设状态用于表示不同的身份认证结果,具体地,第一预设状态是身份认证结果为合法,第二预设状态是身份认证结果为非法。本发明实施例也就是,判断身份认证结果为合法还是非法。
第二确定单元,在判断出身份认证结果是第一预设状态的情况下,确定通过用户的身份认证,也就是,如果身份认证结果为合法,则通过该用户的身份认证;如果身份认证结果为非法,则不通过该用户的身份认证,返回登录失败至用户终端。
具体地,本发明实施例所提供的认证授权装置还包括第三接收单元和设置单元,其中,第三接收单元用于在接收用户终端发送的认证授权请求之前,接收设置指令,设置单元用于按照设置指令设置安全访问条件,其中,安全访问条件中包含多种身份属性,以及每种身份属性对应的授权访问权限。在本发明实施例中,安全访问条件中身份属性可以有多种,是否包含服务器中存在的全部身份属性可以根据需求设置,但是安全访问条件中包含的每种身份属性都有其对应的授权访问权限。每个身份属性对应的授权访问权限由访问条件组成,具体可以由一条访问条件组成,也可以由多条访问条件组成。如果某个身份属性对应的授权访问权限由多条访问条件组成,那么多条访问条件之间通过逻辑与连接。例如,假设安全访问条件中包含的一种身份属性为人事部员工,人事部员工对应的授权访问权限为:
<policy>
<rule>
<org>OU=HR,DC=xxxCorp,DC=com</org>
<time>DataValidate=9:00-17:00</time>
<service>http://hr.xxxcorp.com</service>
</rule>
</policy>
上述授权访问权限表示来自人事部门的员工,可以在9:00到17:00的时间段登录安全网关设备,并可以访问人事管理网站“http://hr.xxxcorp.com”。需要说明的是,安全访问条件中包含的其他身份属性对应的授权访问权限的设置方式与上述举例相同,但不同身份属性对应的授权访问权限中的访问条件可以根据需求设置。
在本发明实施例中,通过预先设置安全访问条件,为在确定用户的身份属性的情况下,就可以按照上述身份属性对应的授权访问权限对用户进行授权提供了基础。并且,此种方式设置的授权访问权限,可以满足系统管理员对登录的有效时间限制的需求,达到了提高使用者满意度的效果。
具体地,第一确定单元20包括获取模块、查询模块和接收模块,其中:
获取模块用于获取多种预设身份属性,其中,预设身份属性为安全访问条件中包含的多种身份属性,本模块也就是获取安全访问条件中包含的全部身份属性,得到多种预设身份属性,其中,安全访问条件中包含的身份属性的数量与预设身份属性的数量相等。例如:如果安全访问条件中包含3种身份属性,分别是人事部员工、财务部员工和销售部员工,那么安全网关设备就获取到3种预设身份属性,具体为人事部员工、财务部员工和销售部员工。
查询模块用于向服务器发起查询请求,其中,查询请求为询问用户的身份属性是否与多种预设身份属性中的每种预设身份属性相同的请求,服务器根据认证授权请求中的账户信息确定用户,并获取用户的身份属性。具体地,服务器中预先存储有每个用户的用户名和密码,以及该用户的身份属性。在本发明实施例中,安全网关设备会同时询问服务器该用户的身份属性是否为多种预设身份属性中每种预设身份属性,服务器会判断其存储的身份属性与预设身份属性是否相同,返回查询结果至安全网关设备。继续采用上述举例进行说明,对于用户A,安全网关设备会同时询问服务器,用户A的身份属性是否是人事部员工、用户A的身份属性是否是财务部员工、用户A的身份属性是否是销售部员工;服务器会根据其存储的用户A的身份属性,返回查询结果。
接收模块用于接收服务器返回的用户的查询结果,其中,查询结果中包含用户的身份属性。仍旧采用上述举例进行说明,假设,用户A为人事部员工,那么安全网关设备接收到的查询结果为用户A为人事部员工;假设,用户A为销售部员工,那么安全网关设备接收到的查询结果为用户A为销售部员工。
具体地,获取单元30包括判断模块和确定模块,其中:
判断模块用于判断查询结果中的身份属性是否为多个预设身份属性中的任一种预设身份属性,也就是判断查询结果中的身份属性是否与安全访问条件中包含的多个身份属性中的任一种身份属性相同。
确定模块用于在判断出查询结果中的身份属性为多个预设身份属性中的任一种预设身份属性的情况下,确定查询结果中的身份属性对应的授权访问权限为用户的身份属性对应的授权访问权限,即,在判断出查询结果中的身份属性与安全访问条件中包含的多个身份属性中的任一种身份属性相同的情况下,确定查询结果中的身份属性对应的授权访问权限为该用户的身份属性对应的授权访问权限,也就是该用户的身份属性对应是授权访问权限为与安全访问条件中相同的身份属性对应的授权访问权限。例如:查询结果返回用户A的身份属性为销售部员工,经判断确定销售部员工为多种预设身份属性中的一种,那么销售部员工对应的授权访问权限即为该用户的身份属性对应的授权访问权限。
需要说明的是,同一个用户可以有一种身份属性,也可以有多种身份属性。如果某个用户有一种身份属性,那么该用户的授权访问权限为上述一种身份属性对应的授权访问权限;如果某个用户有多种身份属性,那么该用户的授权访问权限为该用户的多种身份属性中全部身份属性对应的授权访问权限之和。
从以上的描述中,可以看出,本发明解决了现有技术中当用户身份属性发生变化时,系统管理员就需要修改用户授权业务范围导致工作量繁重的问题,进而达到了降低系统管理人员工作量的效果。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种认证授权方法,其特征在于,包括:
接收用户终端发送的认证授权请求;
根据认证授权请求,确定所述用户终端所代表的用户的身份属性;
根据所述身份属性,获取所述身份属性对应的授权访问权限;以及
按照所述授权访问权限对所述用户终端所代表的所述用户进行授权。
2.根据权利要求1所述的认证授权方法,其特征在于,所述认证授权请求中包括所述用户的账户信息,在接收用户终端发送的认证授权请求之后,并在根据认证授权请求,获取所述用户的身份属性之前,所述认证授权方法还包括:
将所述账户信息发送至服务器,并请求所述服务器对所述用户进行身份认证;
接收所述服务器返回的所述用户的身份认证结果;
判断所述身份认证结果是第一预设状态还是第二预设状态,其中,所述第一预设状态和所述第二预设状态用于表示不同的所述身份认证结果;以及
在判断出所述身份认证结果是第一预设状态的情况下,确定通过所述用户的身份认证。
3.根据权利要求2所述的认证授权方法,其特征在于,在接收用户终端发送的认证授权请求之前,所述认证授权方法包括:
接收设置指令,以及
按照所述设置指令设置安全访问条件,其中,所述安全访问条件中包含多种所述身份属性,以及每种所述身份属性对应的授权访问权限。
4.根据权利要求3所述的认证授权方法,其特征在于,根据认证授权请求,确定所述用户的身份属性包括:
获取多种预设身份属性,其中,所述预设身份属性为所述安全访问条件中包含的多种所述身份属性;
向服务器发起查询请求,其中,所述查询请求为询问所述用户的身份属性是否与多种所述预设身份属性中的每种所述预设身份属性相同的请求,所述服务器根据所述认证授权请求中的账户信息确定所述用户,并获取所述用户的所述身份属性;以及
接收所述服务器返回的所述用户的查询结果,其中,所述查询结果中包含所述用户的所述身份属性。
5.根据权利要求4所述的认证授权方法,其特征在于,根据所述身份属性,获取所述身份属性对应的授权访问权限包括:
判断所述查询结果中的所述身份属性是否为多个所述预设身份属性中的任一种所述预设身份属性;以及
在判断出所述查询结果中的所述身份属性为多个所述预设身份属性中的任一种所述预设身份属性的情况下,确定所述查询结果中的所述身份属性对应的授权访问权限为所述用户的所述身份属性对应的授权访问权限。
6.一种认证授权装置,其特征在于,包括:
第一接收单元,用于接收用户终端发送的认证授权请求;
第一确定单元,用于根据认证授权请求,确定所述用户终端所代表的用户的身份属性;
获取单元,用于根据所述身份属性,获取所述身份属性对应的授权访问权限;以及
授权单元,用于按照所述授权访问权限对所述用户终端所代表的所述用户进行授权。
7.根据权利要求6所述的认证授权装置,其特征在于,所述认证授权请求中包括所述用户的账户信息,所述认证授权装置还包括:
请求单元,用于在接收用户终端发送的认证授权请求之后,并在根据认证授权请求,获取所述用户的身份属性之前,将所述账户信息发送至服务器,并请求所述服务器对所述用户进行身份认证;
第二接收单元,用于接收所述服务器返回的所述用户的身份认证结果;
判断单元,用于判断所述身份认证结果是第一预设状态还是第二预设状态,其中,所述第一预设状态和所述第二预设状态用于表示不同的所述身份认证结果;以及
第二确定单元,在判断出所述身份认证结果是第一预设状态的情况下,确定通过所述用户的身份认证。
8.根据权利要求6所述的认证授权装置,其特征在于,所述认证授权装置包括:
第三接收单元,用于在接收用户终端发送的认证授权请求之前,接收设置指令,以及
设置单元,用于按照设置指令设置安全访问条件,其中,所述安全访问条件中包含多种所述身份属性,以及每种所述身份属性对应的授权访问权限。
9.根据权利要求8所述的认证授权装置,其特征在于,所述第一确定单元包括:
获取模块,用于获取多种预设身份属性,其中,所述预设身份属性为所述安全访问条件中包含的多种所述身份属性;
查询模块,用于向服务器发起查询请求,其中,所述查询请求为询问所述用户的身份属性是否与多种所述预设身份属性中的每种所述预设身份属性相同的请求,所述服务器根据所述认证授权请求中的账户信息确定所述用户,并获取所述用户的所述身份属性;以及
接收模块,用于接收所述服务器返回的所述用户的查询结果,其中,所述查询结果中包含所述用户的所述身份属性。
10.根据权利要求9所述的认证授权装置,其特征在于,所述获取单元包括:
判断模块,用于判断所述查询结果中的所述身份属性是否为多个所述预设身份属性中的任一种所述预设身份属性;以及
确定模块,用于在判断出所述查询结果中的所述身份属性为多个所述预设身份属性中的任一种所述预设身份属性的情况下,确定所述查询结果中的所述身份属性对应的授权访问权限为所述用户的所述身份属性对应的授权访问权限。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510009740.6A CN104580213A (zh) | 2015-01-08 | 2015-01-08 | 认证授权方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510009740.6A CN104580213A (zh) | 2015-01-08 | 2015-01-08 | 认证授权方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104580213A true CN104580213A (zh) | 2015-04-29 |
Family
ID=53095394
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510009740.6A Pending CN104580213A (zh) | 2015-01-08 | 2015-01-08 | 认证授权方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104580213A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106302475A (zh) * | 2016-08-18 | 2017-01-04 | 中国联合网络通信集团有限公司 | 家庭互联网业务授权方法及服务器 |
CN111478894A (zh) * | 2020-04-03 | 2020-07-31 | 深信服科技股份有限公司 | 一种外部用户授权方法、装置、设备及可读存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101034990A (zh) * | 2007-02-14 | 2007-09-12 | 华为技术有限公司 | 权限管理方法及装置 |
CN102457377A (zh) * | 2011-08-08 | 2012-05-16 | 中标软件有限公司 | 基于角色的Web远程认证与授权方法及系统 |
CN102932340A (zh) * | 2012-10-25 | 2013-02-13 | 上海电机学院 | 基于角色的访问控制系统及方法 |
CN103500298A (zh) * | 2013-10-12 | 2014-01-08 | 彩虹集团公司 | 一种基于角色管理的权限分配的实现方法 |
-
2015
- 2015-01-08 CN CN201510009740.6A patent/CN104580213A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101034990A (zh) * | 2007-02-14 | 2007-09-12 | 华为技术有限公司 | 权限管理方法及装置 |
CN102457377A (zh) * | 2011-08-08 | 2012-05-16 | 中标软件有限公司 | 基于角色的Web远程认证与授权方法及系统 |
CN102932340A (zh) * | 2012-10-25 | 2013-02-13 | 上海电机学院 | 基于角色的访问控制系统及方法 |
CN103500298A (zh) * | 2013-10-12 | 2014-01-08 | 彩虹集团公司 | 一种基于角色管理的权限分配的实现方法 |
Non-Patent Citations (2)
Title |
---|
徐云峰: "《访问控制》", 1 February 2014 * |
高飞: "《计算机网络教程(第二版)》", 1 August 2006 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106302475A (zh) * | 2016-08-18 | 2017-01-04 | 中国联合网络通信集团有限公司 | 家庭互联网业务授权方法及服务器 |
CN106302475B (zh) * | 2016-08-18 | 2019-09-10 | 中国联合网络通信集团有限公司 | 家庭互联网业务授权方法及服务器 |
CN111478894A (zh) * | 2020-04-03 | 2020-07-31 | 深信服科技股份有限公司 | 一种外部用户授权方法、装置、设备及可读存储介质 |
CN111478894B (zh) * | 2020-04-03 | 2022-11-22 | 深信服科技股份有限公司 | 一种外部用户授权方法、装置、设备及可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109510849B (zh) | 云存储的帐号鉴权方法和装置 | |
CN110730153B (zh) | 云设备的账号配置方法、装置和系统、数据处理方法 | |
TWI717728B (zh) | 身份校驗、登錄方法、裝置及電腦設備 | |
EP2510473B1 (en) | Unified user login for co-location facilities | |
US20180083956A1 (en) | Systems and methods for authenticating users accessing a secure network | |
KR100744213B1 (ko) | 자동 접속시스템 | |
CN110086783B (zh) | 一种多账户管理的方法、装置、电子设备及存储介质 | |
CN107944919B (zh) | 账户查询方法、装置、设备及计算机可读存储介质 | |
DE212015000154U1 (de) | System zur Authentifizierung eines Benutzers basierend auf einem Computergerät | |
CN105074713A (zh) | 用于当连接至网络时识别安全应用程序的系统和方法 | |
CN103248699A (zh) | 一种单点登录信息系统的多账号处理方法 | |
CN104574598A (zh) | 一种智能门锁的集中控制方法和系统 | |
CN104980412A (zh) | 一种应用客户端、服务端及对应的Portal认证方法 | |
CN104050401A (zh) | 用户权限管理方法及系统 | |
US9178874B2 (en) | Method, device and system for logging in through a browser application at a client terminal | |
US20150180849A1 (en) | Mobile token | |
CN105100034A (zh) | 一种网络应用中访问功能的方法和设备 | |
CN105262780A (zh) | 一种权限控制方法及系统 | |
CN106411837A (zh) | 权限管理方法和装置 | |
CN103188249A (zh) | 集中权限管理系统及其授权方法和鉴权方法 | |
CN109817347A (zh) | 在线诊断平台、其权限管理方法及权限管理系统 | |
CN105447743A (zh) | 基于云端的房屋交易系统及方法 | |
CN104469736B (zh) | 一种数据处理方法、服务器及终端 | |
CN106559389A (zh) | 一种服务资源发布、调用方法、装置、系统及云服务平台 | |
CN105991610B (zh) | 登录应用服务器的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150429 |