CN105391724B - 用于信息系统的授权管理方法及授权管理装置 - Google Patents

用于信息系统的授权管理方法及授权管理装置 Download PDF

Info

Publication number
CN105391724B
CN105391724B CN201510834306.1A CN201510834306A CN105391724B CN 105391724 B CN105391724 B CN 105391724B CN 201510834306 A CN201510834306 A CN 201510834306A CN 105391724 B CN105391724 B CN 105391724B
Authority
CN
China
Prior art keywords
information
verification
mobile
user
authorization
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510834306.1A
Other languages
English (en)
Other versions
CN105391724A (zh
Inventor
季晟宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yonyou Network Technology Co Ltd
Original Assignee
Yonyou Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yonyou Network Technology Co Ltd filed Critical Yonyou Network Technology Co Ltd
Priority to CN201510834306.1A priority Critical patent/CN105391724B/zh
Publication of CN105391724A publication Critical patent/CN105391724A/zh
Application granted granted Critical
Publication of CN105391724B publication Critical patent/CN105391724B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0846Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明提供了一种用于信息系统的授权管理方法及授权管理装置,其中,授权管理方法包括:接收用户输入的登录账号信息;将登录账号信息发送至信息系统,以供信息系统根据所述登录账号信息和预设的安全策略确定验证用户的身份的验证方式;接收信息系统反馈的所述验证方式,并转发至移动授权系统,以供所述移动授权系统根据所述验证方式向与所述登录账号信息相关联的移动设备推送相应的验证信息,所述移动设备在接收到所述验证信息时,对所述验证信息进行响应,并将对所述验证信息的响应信息反馈至所述移动授权系统;接收所述移动授权系统根据所述响应信息发送的是否验证通过的反馈信息,并根据所述反馈信息确定是否允许所述用户登入所述信息系统。

Description

用于信息系统的授权管理方法及授权管理装置
技术领域
本发明涉及权限管理技术领域,具体而言,涉及一种用于信息系统的授权管理方法和一种用于信息系统的授权管理装置。
背景技术
企业信息系统正在由原来面向企业业务的内部系统转变为面向社会的协作开发系统。由于互联网的环境复杂,安全事件层出不穷,而企业信息系统的涉及企业内部核心机密信息,所以安全等级要求高。
但是,目前使用登录及业务授权方式安全等级不够且不易用,如密码登录复杂容易记,易被拦截和攻击、动态口令及USB key登录等部署复杂且成本高,并对业务系统产生巨大的性能压力,在关键业务打开、操作及关键数据查看及修改需要二次授权及验证密码的要求,则更增加记忆成本和不方便性,而且很多系统是根据需要将不同第三方移动安全授权系统增加到业务操作上,这样就造成了信息系统各功能采用的界面不一致,并导致学习成本高、培训成本高,且容易使系统的出现安全漏洞、效率及更新不及时的问题,尤其是对第三方移动安全系统没有安全控制,存在着极大的安全隐患。而且由于集成方案不统一造成企业运维的复杂性、维护难度及成本的增加、人员能力不足的等诸多问题,尤其是在外部人员使用的情况下更不容易统一培训和控制,系统面临着有被渗透攻击的风险。
因此,如何能够实现快捷、高性能、高安全的企业信息系统的业务授权管理成为亟待解决的技术问题。
发明内容
本发明正是基于上述技术问题至少之一,提出了一种新的用于信息系统的授权管理方案,实现了快捷、高性能、高安全的企业信息系统的业务授权管理,提高了企业信息系统的安全性及响应能力。
有鉴于此,本发明提出了一种用于信息系统的授权管理方法,包括:接收用户输入的登录账号信息;将所述登录账号信息发送至信息系统,以供所述信息系统根据所述登录账号信息和预设的安全策略确定验证所述用户的身份的验证方式;接收所述信息系统反馈的所述验证方式,并转发至移动授权系统,以供所述移动授权系统根据所述验证方式向与所述登录账号信息相关联的移动设备推送相应的验证信息,所述移动设备在接收到所述验证信息时,对所述验证信息进行响应,并将对所述验证信息的响应信息反馈至所述移动授权系统;接收所述移动授权系统根据所述响应信息发送的是否验证通过的反馈信息,并根据所述反馈信息确定是否允许所述用户登入所述信息系统。
在该技术方案中,授权管理方法主要是以下流程:授权管理装置将用户输入的登录账号信息发送至信息系统,信息系统根据登录账号信息和预设的安全策略确定验证用户的身份的验证方式,并将确定的验证方式发送至授权管理装置,授权管理装置将接收到的验证方式转发至移动授权系统,移动授权系统根据验证方式向与登录账号信息相关联的移动设备推送相应的验证信息,移动设备对验证信息进行响应,并将对验证信息的响应信息反馈至移动授权系统,移动授权系统根据响应信息确定是否验证通过,并将是否验证通过的反馈信息发送至授权管理装置,进而授权管理装置根据反馈信息确定是否允许用户登入信息系统。可见,在本发明的技术方案中,授权管理装置处于企业的信息系统和移动授权系统之间,对于企业用户来说,无需针对不同的移动授权系统开发相应的接口,使得企业用户可以灵活地选择对信息系统进行授权管理的移动授权系统,并且最大限度的将移动授权系统与企业的信息系统进行隔离,即实现了信息管理与授权管理的相互独立、互不干扰,保证了企业信息系统的运行安全,进而保证了企业信息系统的提供商的经济效益,也使得企业用户拥有更优体验的安全能力,提高了企业信息系统的安全性及响应能力。
在上述技术方案中,优选地,所述验证方式包括:验证码方式和客户端验证方式;
若所述验证方式为所述验证码方式,则所述移动授权系统向与所述登录账号信息相关联的移动设备推送的验证信息为验证码;
若所述验证方式为所述客户端验证方式,则在所述移动授权系统向与所述登录账号信息相关联的移动设备推送相应的验证信息的步骤之前,还包括:获取所述移动授权系统根据所述移动设备反馈的证书信息确定的用户信息,并将所述用户信息反馈至所述信息系统;接收所述信息系统根据所述用户信息确定的客户端验证策略,并将所述客户端验证策略推送至所述移动授权系统,以供所述移动授权系统根据所述客户端验证策略向所述移动设备推送所述验证信息,其中,所述客户端验证策略包括:动态口令验证策略、生物特征信息验证策略、CA签名验证策略。
在该技术方案中,移动授权系统通过发送验证码的方式或者根据客户端验证策略(如动态口令验证策略、生物特征信息验证策略、CA签名验证策略)向移动设备推送验证信息,使得企业信息系统的用户无需记忆密码,减掉了用户记忆密码的强度,并且提升了系统的易用性和安全等级,减少了用户的学习成本。
在上述任一技术方案中,优选地,所述信息系统根据所述登录账号信息和预设的安全策略确定验证所述用户的身份的验证方式的步骤具体包括:所述信息系统根据所述登录账号信息确定所述登录账号信息所对应的主体,并根据所述主体选择相应的安全策略;其中,所述主体包括:角色、组织、集团和用户。
在该技术方案中,通过根据登录账号信息所对应的主体选择相应的安全策略,使得能够方便地管理登录用户的授权策略,避免了对每个用户分别进行授权策略的管理而造成工作量较大的问题,同时,在外部人员使用时也能够方便地进行授权管理。
在上述任一技术方案中,优选地,在允许所述用户登入所述信息系统之后,还包括:检测所述用户选择的功能节点是否需要进行再次授权;在检测到所述功能节点需要再次授权时,向所述移动授权系统发送通知消息,以使所述移动授权系统根据与所述功能节点相对应的授权策略向所述移动设备推送验证信息,以执行再次授权操作。
在该技术方案中,通过在检测到用户选择的功能节点需要再次授权时,向移动授权系统发送通知消息,以使移动授权系统根据与功能节点相对应的授权策略向移动设备推送验证信息,执行再次授权操作,使得能够通过移动授权系统实现对功能节点的授权管理,无需为某个功能节点单独开发授权策略。
在上述任一技术方案中,优选地,在接收所述信息系统反馈的所述验证方式,并转发至移动授权系统的步骤之前,还包括:获取用于进行授权管理的所有移动授权系统的信息;显示所述所有移动授权系统的信息,以供权限管理者选择用于对所述信息系统进行授权管理的一个或多个移动授权系统。
在该技术方案中,企业用户可以根据与授权管理装置相连的所有移动授权系统来选择对企业信息系统进行授权管理的移动授权系统。
在上述任一技术方案中,优选地,还包括:控制所述移动授权系统对所述移动设备反馈的响应信息进行验证的算法。
在该技术方案中,通过控制移动授权系统对移动设备反馈的响应信息进行验证的算法,使得能够对移动授权系统进行有效的控制,以提高信息的安全性。
根据本发明的另一方面,还提出了一种用于信息系统的授权管理装置,包括:接收单元,用于接收用户输入的登录账号信息;发送单元,用于将所述登录账号信息发送至信息系统,以供所述信息系统根据所述登录账号信息和预设的安全策略确定验证所述用户的身份的验证方式;转发单元,用于接收所述信息系统反馈的所述验证方式,并转发至移动授权系统,以供所述移动授权系统根据所述验证方式向与所述登录账号信息相关联的移动设备推送相应的验证信息,所述移动设备在接收到所述验证信息时,对所述验证信息进行响应,并将对所述验证信息的响应信息反馈至所述移动授权系统;处理单元,用于接收所述移动授权系统根据所述响应信息发送的是否验证通过的反馈信息,并根据所述反馈信息确定是否允许所述用户登入所述信息系统。
在该技术方案中,授权管理方法主要是以下流程:授权管理装置将用户输入的登录账号信息发送至信息系统,信息系统根据登录账号信息和预设的安全策略确定验证用户的身份的验证方式,并将确定的验证方式发送至授权管理装置,授权管理装置将接收到的验证方式转发至移动授权系统,移动授权系统根据验证方式向与登录账号信息相关联的移动设备推送相应的验证信息,移动设备对验证信息进行响应,并将对验证信息的响应信息反馈至移动授权系统,移动授权系统根据响应信息确定是否验证通过,并将是否验证通过的反馈信息发送至授权管理装置,进而授权管理装置根据反馈信息确定是否允许用户登入信息系统。可见,在本发明的技术方案中,授权管理装置处于企业的信息系统和移动授权系统之间,对于企业用户来说,无需针对不同的移动授权系统开发相应的接口,使得企业用户可以灵活地选择对信息系统进行授权管理的移动授权系统,并且最大限度的将移动授权系统与企业的信息系统进行隔离,即实现了信息管理与授权管理的相互独立、互不干扰,保证了企业信息系统的运行安全,进而保证了企业信息系统的提供商的经济效益,也使得企业用户拥有更优体验的安全能力,提高了企业信息系统的安全性及响应能力。
在上述技术方案中,优选地,所述验证方式包括:验证码方式和客户端验证方式;
若所述验证方式为所述验证码方式,则所述移动授权系统向与所述登录账号信息相关联的移动设备推送的验证信息为验证码;
若所述验证方式为所述客户端验证方式,则所述转发单元包括:第一获取单元,用于在所述移动授权系统向与所述登录账号信息相关联的移动设备推送相应的验证信息的之前,获取所述移动授权系统根据所述移动设备反馈的证书信息确定的用户信息,并将所述用户信息反馈至所述信息系统;推送单元,用于接收所述信息系统根据所述用户信息确定的客户端验证策略,并将所述客户端验证策略推送至所述移动授权系统,以供所述移动授权系统根据所述客户端验证策略向所述移动设备推送所述验证信息,其中,所述客户端验证策略包括:动态口令验证策略、生物特征信息验证策略、CA签名验证策略。
在该技术方案中,移动授权系统通过发送验证码的方式或者根据客户端验证策略(如动态口令验证策略、生物特征信息验证策略、CA签名验证策略)向移动设备推送验证信息,使得企业信息系统的用户无需记忆密码,减掉了用户记忆密码的强度,并且提升了系统的易用性和安全等级,减少了用户的学习成本。
在上述任一技术方案中,优选地,所述信息系统根据所述登录账号信息和预设的安全策略确定验证所述用户的身份的验证方式具体包括:所述信息系统根据所述登录账号信息确定所述登录账号信息所对应的主体,并根据所述主体选择相应的安全策略;其中,所述主体包括:角色、组织、集团和用户。
在该技术方案中,通过根据登录账号信息所对应的主体选择相应的安全策略,使得能够方便地管理登录用户的授权策略,避免了对每个用户分别进行授权策略的管理而造成工作量较大的问题,同时,在外部人员使用时也能够方便地进行授权管理。
在上述任一技术方案中,优选地,还包括:检测单元,用于在所述处理单元确定允许所述用户登入所述信息系统之后,检测所述用户选择的功能节点是否需要进行再次授权;所述发送单元还用于,在所述检测单元检测到所述功能节点需要再次授权时,向所述移动授权系统发送通知消息,以使所述移动授权系统根据与所述功能节点相对应的授权策略向所述移动设备推送验证信息,以执行再次授权操作。
在该技术方案中,通过在检测到用户选择的功能节点需要再次授权时,向移动授权系统发送通知消息,以使移动授权系统根据与功能节点相对应的授权策略向移动设备推送验证信息,执行再次授权操作,使得能够通过移动授权系统实现对功能节点的授权管理,无需为某个功能节点单独开发授权策略。
在上述任一技术方案中,优选地,还包括:第二获取单元,用于获取用于进行授权管理的所有移动授权系统的信息;显示单元,用于显示所述所有移动授权系统的信息,以供权限管理者选择用于对所述信息系统进行授权管理的一个或多个移动授权系统。
在该技术方案中,企业用户可以根据与授权管理装置相连的所有移动授权系统来选择对企业信息系统进行授权管理的移动授权系统。
在上述任一技术方案中,优选地,还包括:控制单元,用于控制所述移动授权系统对所述移动设备反馈的响应信息进行验证的算法。
在该技术方案中,通过控制移动授权系统对移动设备反馈的响应信息进行验证的算法,使得能够对移动授权系统进行有效的控制,以提高信息的安全性。
通过以上技术方案,实现了快捷、高性能、高安全的企业信息系统的业务授权管理,提高了企业信息系统的安全性及响应能力。
附图说明
图1示出了根据本发明的实施例的用于信息系统的授权管理方法的示意流程图;
图2示出了根据本发明的实施例的用于信息系统的授权管理装置的示意框图;
图3示出了根据本发明的实施例的授权管理装置的结构示意图;
图4示出了根据本发明的实施例的厂商列表的展示方式和设置相应参数的界面示意图;
图5A至图5E示出了根据本发明的实施例的安全策略的配置界面示意图;
图6示出了根据本发明的实施例的信息系统登陆授权执行的过程示意图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
图1示出了根据本发明的实施例的用于信息系统的授权管理方法的示意流程图。
如图1所示,根据本发明的实施例的用于信息系统的授权管理方法,包括:
步骤102,接收用户输入的登录账号信息;
步骤104,将所述登录账号信息发送至信息系统,以供所述信息系统根据所述登录账号信息和预设的安全策略确定验证所述用户的身份的验证方式;
步骤106,接收所述信息系统反馈的所述验证方式,并转发至移动授权系统,以供所述移动授权系统根据所述验证方式向与所述登录账号信息相关联的移动设备推送相应的验证信息,所述移动设备在接收到所述验证信息时,对所述验证信息进行响应,并将对所述验证信息的响应信息反馈至所述移动授权系统;
步骤108,接收所述移动授权系统根据所述响应信息发送的是否验证通过的反馈信息,并根据所述反馈信息确定是否允许所述用户登入所述信息系统。
在该技术方案中,授权管理方法主要是以下流程:授权管理装置将用户输入的登录账号信息发送至信息系统,信息系统根据登录账号信息和预设的安全策略确定验证用户的身份的验证方式,并将确定的验证方式发送至授权管理装置,授权管理装置将接收到的验证方式转发至移动授权系统,移动授权系统根据验证方式向与登录账号信息相关联的移动设备推送相应的验证信息,移动设备对验证信息进行响应,并将对验证信息的响应信息反馈至移动授权系统,移动授权系统根据响应信息确定是否验证通过,并将是否验证通过的反馈信息发送至授权管理装置,进而授权管理装置根据反馈信息确定是否允许用户登入信息系统。可见,在本发明的技术方案中,授权管理装置处于企业的信息系统和移动授权系统之间,对于企业用户来说,无需针对不同的移动授权系统开发相应的接口,使得企业用户可以灵活地选择对信息系统进行授权管理的移动授权系统,并且最大限度的将移动授权系统与企业的信息系统进行隔离,即实现了信息管理与授权管理的相互独立、互不干扰,保证了企业信息系统的运行安全,进而保证了企业信息系统的提供商的经济效益,也使得企业用户拥有更优体验的安全能力,提高了企业信息系统的安全性及响应能力。
在上述技术方案中,优选地,所述验证方式包括:验证码方式和客户端验证方式;
若所述验证方式为所述验证码方式,则所述移动授权系统向与所述登录账号信息相关联的移动设备推送的验证信息为验证码;
若所述验证方式为所述客户端验证方式,则在所述移动授权系统向与所述登录账号信息相关联的移动设备推送相应的验证信息的步骤之前,还包括:获取所述移动授权系统根据所述移动设备反馈的证书信息确定的用户信息,并将所述用户信息反馈至所述信息系统;接收所述信息系统根据所述用户信息确定的客户端验证策略,并将所述客户端验证策略推送至所述移动授权系统,以供所述移动授权系统根据所述客户端验证策略向所述移动设备推送所述验证信息,其中,所述客户端验证策略包括:动态口令验证策略、生物特征信息验证策略、CA签名验证策略。
在该技术方案中,移动授权系统通过发送验证码的方式或者根据客户端验证策略(如动态口令验证策略、生物特征信息验证策略、CA签名验证策略)向移动设备推送验证信息,使得企业信息系统的用户无需记忆密码,减掉了用户记忆密码的强度,并且提升了系统的易用性和安全等级,减少了用户的学习成本。
在上述任一技术方案中,优选地,所述信息系统根据所述登录账号信息和预设的安全策略确定验证所述用户的身份的验证方式的步骤具体包括:所述信息系统根据所述登录账号信息确定所述登录账号信息所对应的主体,并根据所述主体选择相应的安全策略;其中,所述主体包括:角色、组织、集团和用户。
在该技术方案中,通过根据登录账号信息所对应的主体选择相应的安全策略,使得能够方便地管理登录用户的授权策略,避免了对每个用户分别进行授权策略的管理而造成工作量较大的问题,同时,在外部人员使用时也能够方便地进行授权管理。
在上述任一技术方案中,优选地,在允许所述用户登入所述信息系统之后,还包括:检测所述用户选择的功能节点是否需要进行再次授权;在检测到所述功能节点需要再次授权时,向所述移动授权系统发送通知消息,以使所述移动授权系统根据与所述功能节点相对应的授权策略向所述移动设备推送验证信息,以执行再次授权操作。
在该技术方案中,通过在检测到用户选择的功能节点需要再次授权时,向移动授权系统发送通知消息,以使移动授权系统根据与功能节点相对应的授权策略向移动设备推送验证信息,执行再次授权操作,使得能够通过移动授权系统实现对功能节点的授权管理,无需为某个功能节点单独开发授权策略。
在上述任一技术方案中,优选地,在接收所述信息系统反馈的所述验证方式,并转发至移动授权系统的步骤之前,还包括:获取用于进行授权管理的所有移动授权系统的信息;显示所述所有移动授权系统的信息,以供权限管理者选择用于对所述信息系统进行授权管理的一个或多个移动授权系统。
在该技术方案中,企业用户可以根据与授权管理装置相连的所有移动授权系统来选择对企业信息系统进行授权管理的移动授权系统。
在上述任一技术方案中,优选地,还包括:控制所述移动授权系统对所述移动设备反馈的响应信息进行验证的算法。
在该技术方案中,通过控制移动授权系统对移动设备反馈的响应信息进行验证的算法,使得能够对移动授权系统进行有效的控制,以提高信息的安全性。
图2示出了根据本发明的实施例的用于信息系统的授权管理装置的示意框图。
如图2所示,根据本发明的实施例的用于信息系统的授权管理装置200,包括:接收单元202、发送单元204、转发单元206和处理单元208。
其中,接收单元202,用于接收用户输入的登录账号信息;发送单元204,用于将所述登录账号信息发送至信息系统,以供所述信息系统根据所述登录账号信息和预设的安全策略确定验证所述用户的身份的验证方式;转发单元206,用于接收所述信息系统反馈的所述验证方式,并转发至移动授权系统,以供所述移动授权系统根据所述验证方式向与所述登录账号信息相关联的移动设备推送相应的验证信息,所述移动设备在接收到所述验证信息时,对所述验证信息进行响应,并将对所述验证信息的响应信息反馈至所述移动授权系统;处理单元208,用于接收所述移动授权系统根据所述响应信息发送的是否验证通过的反馈信息,并根据所述反馈信息确定是否允许所述用户登入所述信息系统。
在该技术方案中,授权管理方法主要是以下流程:授权管理装置将用户输入的登录账号信息发送至信息系统,信息系统根据登录账号信息和预设的安全策略确定验证用户的身份的验证方式,并将确定的验证方式发送至授权管理装置,授权管理装置将接收到的验证方式转发至移动授权系统,移动授权系统根据验证方式向与登录账号信息相关联的移动设备推送相应的验证信息,移动设备对验证信息进行响应,并将对验证信息的响应信息反馈至移动授权系统,移动授权系统根据响应信息确定是否验证通过,并将是否验证通过的反馈信息发送至授权管理装置,进而授权管理装置根据反馈信息确定是否允许用户登入信息系统。可见,在本发明的技术方案中,授权管理装置处于企业的信息系统和移动授权系统之间,对于企业用户来说,无需针对不同的移动授权系统开发相应的接口,使得企业用户可以灵活地选择对信息系统进行授权管理的移动授权系统,并且最大限度的将移动授权系统与企业的信息系统进行隔离,即实现了信息管理与授权管理的相互独立、互不干扰,保证了企业信息系统的运行安全,进而保证了企业信息系统的提供商的经济效益,也使得企业用户拥有更优体验的安全能力,提高了企业信息系统的安全性及响应能力。
在上述技术方案中,优选地,所述验证方式包括:验证码方式和客户端验证方式;
若所述验证方式为所述验证码方式,则所述移动授权系统向与所述登录账号信息相关联的移动设备推送的验证信息为验证码;
若所述验证方式为所述客户端验证方式,则所述转发单元206包括:第一获取单元2062,用于在所述移动授权系统向与所述登录账号信息相关联的移动设备推送相应的验证信息的之前,获取所述移动授权系统根据所述移动设备反馈的证书信息确定的用户信息,并将所述用户信息反馈至所述信息系统;推送单元2064,用于接收所述信息系统根据所述用户信息确定的客户端验证策略,并将所述客户端验证策略推送至所述移动授权系统,以供所述移动授权系统根据所述客户端验证策略向所述移动设备推送所述验证信息,其中,所述客户端验证策略包括:动态口令验证策略、生物特征信息验证策略、CA签名验证策略。
在该技术方案中,移动授权系统通过发送验证码的方式或者根据客户端验证策略(如动态口令验证策略、生物特征信息验证策略、CA签名验证策略)向移动设备推送验证信息,使得企业信息系统的用户无需记忆密码,减掉了用户记忆密码的强度,并且提升了系统的易用性和安全等级,减少了用户的学习成本。
在上述任一技术方案中,优选地,所述信息系统根据所述登录账号信息和预设的安全策略确定验证所述用户的身份的验证方式具体包括:所述信息系统根据所述登录账号信息确定所述登录账号信息所对应的主体,并根据所述主体选择相应的安全策略;其中,所述主体包括:角色、组织、集团和用户。
在该技术方案中,通过根据登录账号信息所对应的主体选择相应的安全策略,使得能够方便地管理登录用户的授权策略,避免了对每个用户分别进行授权策略的管理而造成工作量较大的问题,同时,在外部人员使用时也能够方便地进行授权管理。
在上述任一技术方案中,优选地,还包括:检测单元210,用于在所述处理单元208确定允许所述用户登入所述信息系统之后,检测所述用户选择的功能节点是否需要进行再次授权;所述发送单元204还用于,在所述检测单元210检测到所述功能节点需要再次授权时,向所述移动授权系统发送通知消息,以使所述移动授权系统根据与所述功能节点相对应的授权策略向所述移动设备推送验证信息,以执行再次授权操作。
在该技术方案中,通过在检测到用户选择的功能节点需要再次授权时,向移动授权系统发送通知消息,以使移动授权系统根据与功能节点相对应的授权策略向移动设备推送验证信息,执行再次授权操作,使得能够通过移动授权系统实现对功能节点的授权管理,无需为某个功能节点单独开发授权策略。
在上述任一技术方案中,优选地,还包括:第二获取单元212,用于获取用于进行授权管理的所有移动授权系统的信息;显示单元214,用于显示所述所有移动授权系统的信息,以供权限管理者选择用于对所述信息系统进行授权管理的一个或多个移动授权系统。
在该技术方案中,企业用户可以根据与授权管理装置相连的所有移动授权系统来选择对企业信息系统进行授权管理的移动授权系统。
在上述任一技术方案中,优选地,还包括:控制单元216,用于控制所述移动授权系统对所述移动设备反馈的响应信息进行验证的算法。
在该技术方案中,通过控制移动授权系统对移动设备反馈的响应信息进行验证的算法,使得能够对移动授权系统进行有效的控制,以提高信息的安全性。
以下结合图3至图6详细说明本发明的技术方案。
本发明主要是提出了一种授权管理装置,首先将信息系统登陆及授权功能按安全策略进行分类抽象,再将系统与第三方移动安全授权系统进行集成和配置。信息系统通过该授权管理装置在企业信息系统配置需要人员及角色的安全策略,并在运行时通过利用移动安全技术进行验证和安全工程控制。目的是减掉用户记忆密码强度和提供系统易用性,并提升信息系统的安全等级,并统一安全授权的业务入口,以配置形式接入,达到信息系统按需使用、风格统一、减少用户学习成本,提高人机体验的效果。
其中,本发明中所述的移动安全授权系统是指基于利用移动设备和移动通信技术实现安全授权软件硬件的系统,一般由专业资质的安全生产厂商提供;
企业信息系统是指为企业经营活动提供支持的软件硬件的系统,如ERP(Enterprise Resource Planning,企业资源计划)系统、OA(Office Automation,办公自动化)系统;
OEM厂商基本含义为品牌生产者不直接生产产品,而是利用自己掌握的关键的核心技术负责设计和开发新产品,控制销售渠道,具体的加工任务通过合同订购的方式委托同类产品的其他厂家生产;之后将所订产品低价买断,并直接贴上自己的品牌商标,这种委托他人生产的合作方式简称OEM,承接加工任务的制造商被称为OEM厂商。
App(Application)是指安装在移动设备上的应用软件,如手机上新闻应用。
为了实现上述目标,本发明的技术方案中将信息系统登录及业务授权的功能进行抽象与第三方移动授权系统进行集成和安全策略进行人员及角色配置的方案。其中,信息系统登录及业务授权功能抽象主要包括:用户信息、验证信息、验证算法、验证调用、App集成。信息系统安全策略分验证方式及确认流程。其中,验证方式有短信验证、app动态口令授权确认、app生物授权、App CA授权确认;确认原则有多人确认、多因子组合确认。根据用户的需要进行安全策略与人员及角色设置和安全授权与登陆及业务功能的配置,并将信息系统授权功能与第三方系统接入集成及配置、关联,在运行企业信息平台时,通过AOP机制将信息系统与及第三方认证厂商分别在服务端和移动端进行关联使用,并控制并记录相关操作。
一、授权管理装置的总体运行过程如下:
如图3所示,授权管理装置分为以下几个部分:
1、图3中所示的304为登陆及业务授权的功能按移动授权系统进行分类抽象,主要包括下述功能:
1.1、用户信息,即双方用户信息同步;
1.2、验证信息,即验证信息的形式和内容格式;
1.3、验证算法,即约定或标准的安全算法;
1.4、验证调用,即信息系统如何调用移动安全授权系统,及回调,用于执行过程安全控制;
1.5、移动app集成,即移动安全授权系统app按要求与企业信息系统app进行集成。
2、图3中所示的302为第三方移动安全授权系统的对应功能实现,包括:
2.1、厂商根据要求进行实现;
2.2、提交信息系统方进行认证;
2.3、通过与安全策略进行配置。
3、图3中所示的306为安全策略配置。移动授权系统按企业系统的实现的内容进行安全策略配置,企业信息系统在将可以使用安全策略配置给需要的登陆及业务授权的节点。
4、图3中所示的308为授权功能使用,包括:
4.1、客户授权功能;
4.2、根据安全策略进行,调用对应的验证调用;
4.3、验证调用根据用户信息,验证算法推送授权app;
4.4、授权App通过验证调用返回授权情况;
4.5、验证调用,根据验证算法返回结果给安全策略配置;
4.6、安全策略配置将结果按安全策略进行匹配后,返回是否授权给业务授权功能。
二、各子部件的内部实现及流程
以下以流程步骤来介绍各子部件:
步骤一:信息系统登陆及业务授权的功能抽象
1、用户信息用于第三方移动授权系统与信息系统的用户同步及授权验证的唯一标识。
1.1、内容:用户id,用户编码、用户名称、用户CA证书、用户手机号;
1.2、格式:json、xml、java对象;
1.3、通信:https、http、tcp/ip。
2、验证信息用于确认授权的内容。
2.1、内容:验证码、动态口令、生物信息、CA证书;
2.2、格式:文本、数字、二进制;
2.3、方式:用户交互即需要用户输入交互、系统后台交互即无需用户输入。
3、验证算法用于检查验证信息是否合法。需要基于业界公开安全算法。
4、验证调用即信息系统在验证交互时调用第三方移动授权系统的验证算法。
4.1、调用语言:c及java等用于安全的主流的语言;
4.2、调用方式:反射、jni、服务;
4.3、调用参数:用户信息、验证内容;
4.4、调用时检查:防篡改、防替换及通信安全检查。
步骤二:信息系统移动App功能抽象
1、界面抽象用于统一操作界面,包括授流程导航、信息输入、授权确认;
2、功能抽象将第三方系统app功能按照统一风格进行处理。分动态口令、生物信息录入、ca信息导入、授权确认、信息接收和发送;
3、通信抽象用于统一调用第三方系统app通信功能;
4、调用抽象用于调用第三方系统app功能时防篡改、防替换及通信安全检查。
步骤三:装置安全策略预制
1、授权验证方式,包括:短信验证、app动态口令授权确认即利用移动应用实现动态口卡的功能、app生物授权即利用移动设备上指纹识别、人脸识别等功能、App CA授权确认利用移动设备证书授权的功能;
2、授权确认方式:操作者本人确认、多人确认;
3、授权规则:操作有效时间、启用多因子确认;
4、对非启用安全策略用户,仍然保持原信息系统的授权方式;
5、对信息系统内置的管理员启用移动安全授权系统,需要启用前进行信息系统配置对应的信息。
步骤四、第三方移动授权系统管理
1、移动授权厂商实现,根据信息系统的授权抽象要求和自己移动授权系统的特点,并结合信息系统的安全策略进行实现,保证安全执行过程被信息系统控制。
2、厂商认证,根据厂商的实现,进行检查。
2.1、通讯协议检查是否安全可靠;
2.2、方法检查是否业务标准算法,并进行安全等级划分;
2.3、验证调用测试,是否可用;
2.4、将移动授权厂商进入安全授权系统认证列表。
3、厂商配置
3.1、将移动授权厂商实现集成进行信息系统
3.1.1将移动授权厂商与信息系统服务后端集成;
3.1.2将移动授权移动端与信息系统授权app集成。
3.2、将移动授权厂商与安全策略进行集成
步骤五、系统安全配置
1、客户在初始化信息系统时,首先根据第三方移动授权系统的厂商列表确定选择的厂商,并启用相应的功能。
1.1、厂商及功能为内置不可修改、增加、删除;
1.2、可以启用多个厂商;
1.3、每个产商可以启用多个功能,是授权方式如动态口令、生物授权等;
1.4、相同功能根据规则后在根据优先级进行判断执行;
1.5、规则为空则,根据优先级确定;
1.6、同一授权功能,可以同时被使用;
1.7、启用后可停用,并再次启用,不受限制;
1.8、厂商类型分内置及第三方,内置为信息系统OEM的移动授权系统的厂商,第三方为认证非OEM厂商;
1.9、确认安全授权节点是否要多人授权及对应授权策略和方式,及预置的管理员账号,否则用非移动授权登陆及授权。
其中,厂商列表的展示方式和设置相应参数的界面如图4所示,需要注意的是:图4所示的界面仅是为了说明界面的展示形式,其中未示出具体的厂商信息和设置的相应参数的信息。
2、系统基本信息设置
2.1、读取信息系统的组织信息、角色、用户信息及业务功能及操作信息;
2.2、组织分两个层次即集团、组织,可以多级,集团为管理组织的组织,角色可以没有;
2.3、根据企业的需要部署CA服务器;
2.4、人员配置CA证书及移动电话号码;
2.5、根据企业的需要相对应的人员的用户的移动设备上安装企业移动授权集成App,向其发放CA证书,并导入证书;证书发放的形式可以是当面,也可以是发mail的形式。
3、安全策略配置,打开安全策略配置功能。根据启用的第三方移动安全系统授权功能进行设置。
3.1、如果没有对于提高厂商的授权认证方式,则该功能置灰即不可用;
3.2、所用授权验证方式必须有一个有效时间,超过时间授权无效;
3.3、启用多因子授权,则授权方式可以多选,并同时有效;
3.4、启用多人授权确认,则需要设定人员规则;
3.4.1即根据运行时具体人员和场景选取对应的授权人员;
3.4.2同时授权人员保证启用对于的授权功能,否则系统提示无法完成授权;
3.4.3如果用户有特点要求可以在自己安全策略里进行设定;
3.5、可以设置多个安全策略。通过配置及规则进行执行,规则可以限定只有一个安全策略执行,也可以是多个安全策略执行;也可以限定≥或≤任何一个正整数个安全策略才可以执行或不执行。
3.6、集团安全策略配置。
3.6.1根据设置的安全策略,选择需要的集团,并对其启用该按安全策略,记录启用时间和必要的备注;
3.6.2可以停用,停用后所用非单独配置安全策略组织、角色、人员不在使用该项安全策略;
3.6.3并再次启用,但会保留历史纪录。
其中,安全策略的配置界面如图5A所示,其中可以通过点击按钮502来配置集团安全策略。
3.7、组织安全策略配置。
3.7.1根据设置的安全策略,选择需要的组织,并对其启用该按安全策略。记录启用时间和必要的备注;
3.7.2可以停用,停用后所用非单独配置安全策略角色、人员、业务功能不在使用该项安全策略;
3.7.3并可再次启用,但会保留历史纪录。
如图5B所示,可以通过点击按钮504来配置组织安全策略。
3.8、角色安全策略配置。
3.8.1根据设置的安全策略,选择需要的角色,并对其启用该按安全策略。记录启用时间和必要的备注。
3.8.2可以停用,停用后所用非单独配置安全策略人员不在使用该项安全策略。
3.8.3并可再次启用,但会保留历史纪录。
如图5C所示,可以通过点击按钮506来配置角色安全策略。
3.9、用户安全策略配置。
3.9.1根据设置的安全策略,选择需要的用户,并对其启用该按安全策略,记录启用时间和必要的备注;
3.9.2并再次启用,但会保留历史纪录。
如图5D所示,可以通过点击按钮508来配置用户安全策略。
3.10、业务功能安全策略配置。
3.10.1根据设置的安全策略,选择需要的功能节点及对应的业务操作;对其启用该按安全策略,记录启用时间和必要的备注;
3.10.2可以停用,停用后业务安全授权功能不在有效;
3.10.3并可再次启用,但会保留历史纪录。
如图5E所示,可以通过点击按钮508来配置业务功能安全策略。
3.11、安全策略设置内置规则。
3.11.1集团、组织、角色、用户安全配置完成后,默认登陆功能直接使用;
3.11.2不需要使用集团安策略的组织、角色、用户需要单独配置新的安全策略规则,或禁止使用即该用户不使用免密码登陆;
3.11.3需要启用的安全策略的业务操作,需要在业务功能的页签里单独配置,启用参与该业务操作的人员自动执行该安全策略;
3.11.4如果与集团、组织、角色、用户定的安全策略不一致则,则根据策略规则进行执行;
3.11.5如果策略规则计算出的授权方式不唯一,则按优先级多重执行;
3.11.6安全策略可以新增、修改。在新增、修改完成后,从下一次操作生效;
3.11.7安全策略可以删除,但需要停用集团、组织、角色、人员及业务功能;
3.11.8业务授权操作可在信息系统里配置禁止只用短信验证码授权认证方式;
3.11.9每次操作都需要记录日志且不可删除;
3.11.10登陆超过限定次数,则授权确认功能失效。
3.12、信息系统方便性操作,即在每个集团、组织、角色、人员、业务功能节点分配都会带有安全策略设置的页签,来设置安全策略。
3.12.1打开节点读取相关已经设置好的安全策略;即集团、组织、角色、人员、业务功能节点分配各自读取对应的安全策略;
3.12.2可以进行新增、修改、删除的操作,并回写到安全策略配置;
3.12.3规则与3.10安全策略配置一样;
3.12.4同时安全策略设置上的集团、组织、角色、人员可以依次待出上个业务的信息,并根据上一页签所选择的记录进行过滤数据信息。
步骤六、信息系统与授权系统集成
1、基本信息集成。
1.1、集成信息基础。
1.1.1、统一信息格式包括json、xml、java对象
1.1.2、调用方式包括服务方式协议包括http、https、tcp/ip;反射方式及jni方式;
1.1.3、根据信息系统需要进组合配置。
1.2、组织信息集成。
1.2.1、根据信息系统的需要进行映射;
1.2.2、集团的映射根据对于信息系统组织设置的情况而定,可以没有;
1.2.3、组织可以多级映射;
1.2.4、组织信息内容包括组织标识、组织编码、组织名称、组织级次、上级组织id、是否集团、所属集团标识。
1.3、角色信息集成。
1.3.1、如果信息系统有对应的功能则设置;
1.3.2、角色信息内容包括角色标识、角色编码、角色名称,所属组织标识。
1.4、用户信息集成。
1.4.1、用户信息集成为必须映射的功能;
1.4.2、用户信息集成内容包括步骤一里的1.1的信息,并增加所属角色标识、所属组织标识。
1.5、业务功能信息集成。
1.5.1、将业务功能信息按场景及行为进行抽象,分登陆、业务操作;
1.5.2、信息系统的业务功能信息功能标识、功能编码、功能名称、功能级次、上级功能标识、操作标识、操作编码、操作名称、是否登陆。
1.6、信息系统与授权系统进行信息映射。
1.6.1、选择需要组织、角色、用户、业务功能信息;
1.6.2、将信息保存到授权系统;
1.6.3、可以删除、修改。但需要保存历史纪录。
2、业务授权集成。
2.1、登陆界面集成。
2.1.1界面信息抽取为用户信息录入控件、录入控件、确认控件、信息反馈控件;
2.1.2、录入控件状态控制为可输入、不输入;
2.1.3、格式及调用方式同本步骤里1.1里的格式及调用方式设置;
2.1.4、将信息系统界面及对应的控件信息及调用方式映射到授权系统;
2.1.5、授权系统根据需要对界面进行状态控制、信息获取、授权确认及信息反馈。
2.2、业务功能服务集成。
2.2.1利用AOP技术,监管已映射好的业务系统的功能操作;
2.2.2信息系统对应录入控件和信息反馈控件;
2.2.3并根据安全策略的需要,弹出录入控件和信息反馈控件;
2.2.4并根据监管的业务功能的确认操作,进行确认调用;
步骤七、移动安全授权系统执行。
3、信息系统登陆授权执行。
3.1、用户进入登陆页面,录入用户编码信息直接点击登陆;
3.2、系统将用户信息返回信息系统服务端;
3.3、信息系统读取系统设置好的安全策略进行计算;
3.4、如果需要短信验证码验证则通知第三方移动授权系统进行发送短信发送;
3.5、如果是App验证方式则推送通知到信息系统授权集成App;
3.6、用户根据通知打开信息系统授权集成App,或直接打开App;
3.7、App通过安全通道将设备上的证书信息发送到第三方移动授权系统;
3.8、第三方移动授权系统服务通过证书信息转换为用户传递信息系统;
3.9、信息系统根据用户的信息,计算安全策略并将安全策略推送给app;
3.10、信息集成授权app根据安全策略进行调用
3.10.1、动态口令策略
3.10.1.1、app则调用对应厂商的动态口令算法;
3.10.1.2、app显示密码;
3.10.1.3、用户根据密码录入的信息系统登陆页面,并返回后端服务;
3.10.1.4、信息系统根据安全策略通过验证调用,调到对应的验证算法;
3.10.1.5、验证通过则进入系统,否则提示对应的错误信息。
3.10.2、App生物授权
3.10.2.1、App提示用户要录入生物特征信息,并调用第三方移动安全系统生物采集功能;
3.10.2.2、用户录入生物特征信息;
3.10.2.3、将生物特征信息返回第三方移动安全系统;
3.10.2.4、并通过信息系统验证调用,调用验证算法。
3.10.3、App CA签名授权
3.10.3.1、app提示是否CA登陆;
3.10.3.2、确认将授权认证的CA签名信息传输到第三方授权系统,否则将不确认信息到发送第三方授权系统。
3.10.3.3、并通过信息系统验证调用,调用验证算法。
3.11、验证处理
3.11.1、通过则进入系统,否则提示对应的错误信息;
3.11.2、如果验证超过有效时间,则信息系统自动提示失败,并将信息推送的移动端;
3.11.3、如果是多因子确认,就依次确认,并要求全部通过,否则登陆失败。
其中,信息系统登陆授权执行的过程如图6所示,包括:
步骤602,进入访问登录界面,之后执行步骤604或步骤606。
步骤604,录入用户编码。
步骤606,登录录入信息。然后通过验证调用第三方授权登录服务,通过验证算法对录入信息进行验证,最后返回授权结果。
步骤608,由信息系统登录服务判断验证方式。若验证方式是App动态口令、App CA授权认证、App生物识别,则通过集成授权App通过验证调用第三方授权服务判断授权类型,并返回步骤606;若验证方式是短信验证码,则将移动设备接收的动态口令作为登录录入信息,并返回步骤606。
4、业务操作授权执行
4.1、进行相关的业务授权操作;
4.2、信息系统读取系统设置好的安全策略进行计算;
4.3、根据当前环境信息确定用户及业务信息;
4.4、后续操作步骤同1.5后的步骤,业务授权操作不允许短信验证;
4.5、如果是多人授权则每个用户重复2.4的操作,全部人员确认才成功,如果一人失败就认定业务操作授权不成功。
三、应用举例
以某企业信息系统里资金领域,使用移动授权系统登陆及进行业务支付并多人确认的场景。
首先,系统管理员部署CA,及企业安全策略设置。并对所有相关的资金业务人员发放CA证书,由于资金业务比较重要所以采取当面发放。并在其移动设备上安装授权集成应用App和CA证书。
其次,企业进行资金业务的安全策略设置,用户登录及支付使用App CA签名认证,并需要业务节点打开二次确认,及当超过一定金额时需要多人授权。根据业务隶属和业务权限找对应人员。
再次,资金操作员进入登陆界面,点击登陆后。信息系统发消息到移动授权App上,App调用对应app模块进行CA授权验证,通过进入系统。查询系统消息后,发现有一笔需要支付业务需要处理。
第四,打开消息后信息系统切换到信息系统的资金支付节点,系统提示二次确认,点击确认。信息系统再次发消息到移动授权App上,App调用对应app模块进行CA授权验证,进入资金支付节点,信息系统自动定位并打开对应的资金单据。
第五,资金操作员进行相应的业务处理后,进行资金支付。支付系统通过AOP的方式调用系统安全策略设置,通过安全策略设置的规则计算后,发现资金大于限定金额还需要上级进行授权才能处理。
第六,信息系统同时发推送通知到资金操作员和其资金主管的移动设备app上。
第七,资金操作员与资金管理员,分别App调用对应app模块进行CA授权验证,进入业务节点并打开单据后,资金操作员再次审查后进行签名确认。资金主管进行浏览及审查后无误后进行签名确认。
第七,在规定时间内完所有人的App CA签名确认则支付生效,如果一人不确认或没在规定时间内完成,则不生效。
本发明的上述技术方案实现了以下技术效果:
本发明提出的授权管理装置通过将信息系统的授权功能进行分类抽象,并将其与第三方移动安全授权系统,并融合在系统框架和平台里。这样既解决了第三方移动安全授权系统的集成问题,而且提供了扩展机制,并在执行过程进行了安全控制。而且还允许动态新增授权了得第三方移动安全授权系统。与此同时还解除了各应用和第三方移动安全授权系统的紧密耦合,保证了企业信息系统的独立性和扩展性。而且通过第三移动授权系统将登陆及授权功能分离出来,极大的提高登陆及授权的性能和系统的并发压力。提供使的一次开发全局可用,有效的避免了重复的类似开发,极大的节约了双方的开发及沟通成本。
本发明提出的授权管理装置利用移动安全技术免去用户在登陆,业务授权时需要密码输入等授权操作。由于在使用过程中除去了记忆复杂繁多的密码。极大的方便了用户,提高了业务操作的效率。并可以按需配置需要节点,非常方便的扩展性,使用用户不在小心使用授权功能,因此提高系统在使用过程中的整体安全等级。
通过集成在企业信息系统平台内,让用户根据需要,对业务功能授权节点配置及选择的合适企业需要的安全策略。并且在本装置在配置好后,以AOP方式对第三方移动安全授权系统的调用,以全自动的方式运行,不需要人工再干预。这样保证了信息系统的零活性。总的来说通过该装置,有效的减少了用户的学习成本、开发成本、运维成本,并能快速的与新的第三方移动安全授权系统进行集成。同时消除信息系统的变动及带来的质量问题、上线不及时的所带来的间接成本等问题,也保证了信息系统的安全性和稳定性。
以上结合附图详细说明了本发明的技术方案,本发明提出了一种新的用于信息系统的授权管理方案,实现了快捷、高性能、高安全的企业信息系统的业务授权管理,提高了企业信息系统的安全性及响应能力。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (9)

1.一种用于信息系统的授权管理方法,其特征在于,包括:
接收用户输入的登录账号信息;
将所述登录账号信息发送至信息系统,以供所述信息系统根据所述登录账号信息和预设的安全策略确定验证所述用户的身份的验证方式;
接收所述信息系统反馈的所述验证方式,并转发至移动授权系统,以供所述移动授权系统根据所述验证方式向与所述登录账号信息相关联的移动设备推送相应的验证信息,所述移动设备在接收到所述验证信息时,对所述验证信息进行响应,并将对所述验证信息的响应信息反馈至所述移动授权系统;
接收所述移动授权系统根据所述响应信息发送的是否验证通过的反馈信息,并根据所述反馈信息确定是否允许所述用户登入所述信息系统;
在接收所述信息系统反馈的所述验证方式,并转发至移动授权系统的步骤之前,获取用于进行授权管理的所有移动授权系统的信息,显示所述所有移动授权系统的信息,以供权限管理者选择用于对所述信息系统进行授权管理的一个或多个移动授权系统。
2.根据权利要求1所述的用于信息系统的授权管理方法,其特征在于,所述验证方式包括:验证码方式和客户端验证方式;
若所述验证方式为所述验证码方式,则所述移动授权系统向与所述登录账号信息相关联的移动设备推送的验证信息为验证码;
若所述验证方式为所述客户端验证方式,则在所述移动授权系统向与所述登录账号信息相关联的移动设备推送相应的验证信息的步骤之前,还包括:
获取所述移动授权系统根据所述移动设备反馈的证书信息确定的用户信息,并将所述用户信息反馈至所述信息系统;
接收所述信息系统根据所述用户信息确定的客户端验证策略,并将所述客户端验证策略推送至所述移动授权系统,以供所述移动授权系统根据所述客户端验证策略向所述移动设备推送所述验证信息,其中,所述客户端验证策略包括:动态口令验证策略、生物特征信息验证策略、CA签名验证策略。
3.根据权利要求1所述的用于信息系统的授权管理方法,其特征在于,所述信息系统根据所述登录账号信息和预设的安全策略确定验证所述用户的身份的验证方式的步骤具体包括:
所述信息系统根据所述登录账号信息确定所述登录账号信息所对应的主体,并根据所述主体选择相应的安全策略;
其中,所述主体包括:角色、组织、集团和用户。
4.根据权利要求1所述的用于信息系统的授权管理方法,其特征在于,在允许所述用户登入所述信息系统之后,还包括:
检测所述用户选择的功能节点是否需要进行再次授权;
在检测到所述功能节点需要再次授权时,向所述移动授权系统发送通知消息,以使所述移动授权系统根据与所述功能节点相对应的授权策略向所述移动设备推送验证信息,以执行再次授权操作。
5.一种用于信息系统的授权管理装置,其特征在于,包括:
接收单元,用于接收用户输入的登录账号信息;
发送单元,用于将所述登录账号信息发送至信息系统,以供所述信息系统根据所述登录账号信息和预设的安全策略确定验证所述用户的身份的验证方式;
转发单元,用于接收所述信息系统反馈的所述验证方式,并转发至移动授权系统,以供所述移动授权系统根据所述验证方式向与所述登录账号信息相关联的移动设备推送相应的验证信息,所述移动设备在接收到所述验证信息时,对所述验证信息进行响应,并将对所述验证信息的响应信息反馈至所述移动授权系统;
处理单元,用于接收所述移动授权系统根据所述响应信息发送的是否验证通过的反馈信息,并根据所述反馈信息确定是否允许所述用户登入所述信息系统;
第二获取单元,用于获取用于进行授权管理的所有移动授权系统的信息;
显示单元,用于显示所述所有移动授权系统的信息,以供权限管理者选择用于对所述信息系统进行授权管理的一个或多个移动授权系统。
6.根据权利要求5所述的用于信息系统的授权管理装置,其特征在于,所述验证方式包括:验证码方式和客户端验证方式;
若所述验证方式为所述验证码方式,则所述移动授权系统向与所述登录账号信息相关联的移动设备推送的验证信息为验证码;
若所述验证方式为所述客户端验证方式,则所述转发单元包括:
第一获取单元,用于在所述移动授权系统向与所述登录账号信息相关联的移动设备推送相应的验证信息的之前,获取所述移动授权系统根据所述移动设备反馈的证书信息确定的用户信息,并将所述用户信息反馈至所述信息系统;
推送单元,用于接收所述信息系统根据所述用户信息确定的客户端验证策略,并将所述客户端验证策略推送至所述移动授权系统,以供所述移动授权系统根据所述客户端验证策略向所述移动设备推送所述验证信息,其中,所述客户端验证策略包括:动态口令验证策略、生物特征信息验证策略、CA签名验证策略。
7.根据权利要求5所述的用于信息系统的授权管理装置,其特征在于,所述信息系统根据所述登录账号信息和预设的安全策略确定验证所述用户的身份的验证方式具体包括:所述信息系统根据所述登录账号信息确定所述登录账号信息所对应的主体,并根据所述主体选择相应的安全策略;其中,所述主体包括:角色、组织、集团和用户。
8.根据权利要求5所述的用于信息系统的授权管理装置,其特征在于,还包括:检测单元,用于在所述处理单元确定允许所述用户登入所述信息系统之后,检测所述用户选择的功能节点是否需要进行再次授权;
所述发送单元还用于,在所述检测单元检测到所述功能节点需要再次授权时,向所述移动授权系统发送通知消息,以使所述移动授权系统根据与所述功能节点相对应的授权策略向所述移动设备推送验证信息,以执行再次授权操作。
9.根据权利要求5至8中任一项所述的用于信息系统的授权管理装置,其特征在于,还包括:
控制单元,用于控制所述移动授权系统对所述移动设备反馈的响应信息进行验证的算法。
CN201510834306.1A 2015-11-25 2015-11-25 用于信息系统的授权管理方法及授权管理装置 Active CN105391724B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510834306.1A CN105391724B (zh) 2015-11-25 2015-11-25 用于信息系统的授权管理方法及授权管理装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510834306.1A CN105391724B (zh) 2015-11-25 2015-11-25 用于信息系统的授权管理方法及授权管理装置

Publications (2)

Publication Number Publication Date
CN105391724A CN105391724A (zh) 2016-03-09
CN105391724B true CN105391724B (zh) 2019-04-16

Family

ID=55423560

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510834306.1A Active CN105391724B (zh) 2015-11-25 2015-11-25 用于信息系统的授权管理方法及授权管理装置

Country Status (1)

Country Link
CN (1) CN105391724B (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106372483A (zh) * 2016-08-31 2017-02-01 厦门中控生物识别信息技术有限公司 一种信息验证方法及系统
CN106384031A (zh) * 2016-09-29 2017-02-08 郑州云海信息技术有限公司 一种操作系统安全登录方法及装置
CN106709733A (zh) * 2016-12-15 2017-05-24 咪咕文化科技有限公司 一种验证策略选择方法及设备
CN106672024B (zh) * 2016-12-29 2019-03-05 北京交通大学 基于空间变换的列控系统移动授权安全防护方法
CN108337265A (zh) * 2018-02-28 2018-07-27 四川新网银行股份有限公司 一种重置企业网银登录密码的双重验证方法
CN108521407A (zh) * 2018-03-21 2018-09-11 国云科技股份有限公司 一种基于多云平台的二次安全访问控制方法
CN111475787A (zh) * 2020-04-13 2020-07-31 恒安嘉新(北京)科技股份公司 一种状态切换方法、装置、存储介质及系统
CN114826746A (zh) * 2022-04-28 2022-07-29 济南浪潮数据技术有限公司 一种云平台身份认证方法、装置以及介质
CN116452324B (zh) * 2023-06-14 2023-09-15 北京江融信科技有限公司 一种基于交易的授权检查项参数化配置方法和装置

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101453334A (zh) * 2008-11-28 2009-06-10 国网信息通信有限公司 基于Novell网络的访问管理方法和系统
CN101651541A (zh) * 2008-08-14 2010-02-17 中华电信股份有限公司 网络用户身份验证系统与方法
CN102347929A (zh) * 2010-07-28 2012-02-08 阿里巴巴集团控股有限公司 一种用户身份的验证方法及装置
CN104158824A (zh) * 2014-09-02 2014-11-19 解芳 网络实名认证方法及系统
WO2015076658A1 (en) * 2013-11-25 2015-05-28 Mimos Berhad A system and method for secure transaction log for server logging
CN104767621A (zh) * 2015-04-16 2015-07-08 深圳市高星文网络科技有限公司 一种移动应用访问企业数据的单点安全认证方法
CN105025035A (zh) * 2015-08-05 2015-11-04 全球鹰(福建)网络科技有限公司 一种单点安全认证方法及系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101651541A (zh) * 2008-08-14 2010-02-17 中华电信股份有限公司 网络用户身份验证系统与方法
CN101453334A (zh) * 2008-11-28 2009-06-10 国网信息通信有限公司 基于Novell网络的访问管理方法和系统
CN102347929A (zh) * 2010-07-28 2012-02-08 阿里巴巴集团控股有限公司 一种用户身份的验证方法及装置
WO2015076658A1 (en) * 2013-11-25 2015-05-28 Mimos Berhad A system and method for secure transaction log for server logging
CN104158824A (zh) * 2014-09-02 2014-11-19 解芳 网络实名认证方法及系统
CN104767621A (zh) * 2015-04-16 2015-07-08 深圳市高星文网络科技有限公司 一种移动应用访问企业数据的单点安全认证方法
CN105025035A (zh) * 2015-08-05 2015-11-04 全球鹰(福建)网络科技有限公司 一种单点安全认证方法及系统

Also Published As

Publication number Publication date
CN105391724A (zh) 2016-03-09

Similar Documents

Publication Publication Date Title
CN105391724B (zh) 用于信息系统的授权管理方法及授权管理装置
AU2022206815B2 (en) Universal digital identity authentication service
CN109034720A (zh) 一种适用于电力调度业务管理的移动办公平台及装置
CN109559258B (zh) 教育资源公共服务系统
US9467475B2 (en) Secure mobile framework
CN100380271C (zh) 用于动态用户认证的方法和设备
CN112187931A (zh) 会话管理方法、装置、计算机设备和存储介质
CN108027799A (zh) 用于在未受管理的并且未受防护的设备上的资源访问和安置的安全容器平台
MX2007010047A (es) Sistema de servicios de gestion en telecomunicaciones.
RU2415466C1 (ru) Способ управления идентификацией пользователей информационных ресурсов неоднородной вычислительной сети
CN117132228A (zh) 政务融合消息平台方法及系统
CN107181753A (zh) 移动终端财务系统及方法
CN113724041A (zh) 一种电力数据在线交易系统及交易更新方法
CN109669785A (zh) 终端应用的页面分享方法、装置、服务器及存储介质
CN116633725A (zh) 一种全渠道接入网关
US11902266B1 (en) Systems and methods for generating and using secure sharded onboarding user interfaces
CN114445059A (zh) 虚拟资源处理方法、第一客户端、设备及存储介质
Berdonces Bonelo OpenID Connect Client Registration API for Federated Cloud Platforms
US20240273211A1 (en) Intelligent apparatus to monitor and auto deploy security policy rules on container based cloud infrastructure leveraging nft & quantum knowledge graph
CN114445060A (zh) 虚拟资源的处理方法、装置、电子设备及存储介质
CN106656965A (zh) 基于分布式云计算的通用客户端管理系统
Schön Trust Made Simple: Establish Trust with Anyone Online Using TruPal
Aidoo Federated Governance in a Digital Trust Coalition
Responders Mobile Application Single Sign-On
CN114445058A (zh) 虚拟资源的处理方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant