CN111586021B - 一种远程办公业务授权方法、终端及系统 - Google Patents
一种远程办公业务授权方法、终端及系统 Download PDFInfo
- Publication number
- CN111586021B CN111586021B CN202010360410.2A CN202010360410A CN111586021B CN 111586021 B CN111586021 B CN 111586021B CN 202010360410 A CN202010360410 A CN 202010360410A CN 111586021 B CN111586021 B CN 111586021B
- Authority
- CN
- China
- Prior art keywords
- service
- terminal
- authorized terminal
- authorized
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N5/00—Details of television systems
- H04N5/222—Studio circuitry; Studio devices; Studio equipment
- H04N5/262—Studio circuits, e.g. for mixing, switching-over, change of character of image, other special effects ; Cameras specially adapted for the electronic generation of special effects
- H04N5/265—Mixing
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Entrepreneurship & Innovation (AREA)
- Human Resources & Organizations (AREA)
- Strategic Management (AREA)
- Operations Research (AREA)
- Multimedia (AREA)
- Economics (AREA)
- Marketing (AREA)
- Data Mining & Analysis (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种远程办公业务授权方法、终端及系统,所述方法包括:被授权终端向授权终端发送提权请求;授权终端根据接收到的提权请求,接管并启用被授权终端的影像采集设备,采集被授权终端对应的用户影像以确认被授权终端的用户身份;被授权终端的用户身份确认后,授权终端和被授权终端分别启用远程桌面协议,并登录远程桌面服务器等等。本发明由被授权终端发起业务申请并将业务托管给授权终端处理,由授权终端进行业务及用户的审核及业务处理的授权,并在被授权终端和授权终端分别生成基于融合界面的业务处理监控记录,由业务服务器进行验证后执行业务,从而保障远程办公业务具有安全、可追溯并接近线下办公的安全性。
Description
技术领域
本发明涉及远程办公技术领域,具体涉及一种远程办公业务授权方法、终端及系统。
背景技术
随着时代的发展以及特殊事件如突发公共疫情的发生,数字时代的大规模远程办公成为趋势。全员远程办公,意味着大量企事业单位内部人员需要从企事业单位安全边界外部(包括家中或者不安全的WiFi热点)访问任何能够维持正常工作的账户、文档或数据,以及为了业务需要而对某些重要而敏感的数据进行修改,如果对于数据的访问或修改没有授权,则存在巨大的安全隐患,导致商业秘密泄漏、设备损坏、数据丢失,甚至系统瘫痪及经济利益受损。
为避免商业秘密泄漏、数据丢失、系统瘫痪、经济利益受损,需要对数据的访问或修改等预先设置权限,并在业务处理需要对某些重要而敏感的数据进行访问或修改等时,获得上级领导的授权才能进行。但,现有的基于远程办公的授权机制不灵活,容易被冒用身份或者串通作案,不便追溯,且集成度低,实时性较差,存在较多安全风险。
发明内容
本发明的目的在于针对现有技术中存在的不足,从而提供一种远程办公业务授权方法、终端及系统。
为达到上述目的,本发明首先提供了一种远程办公业务授权方法,该方法是这样实现的:
被授权终端向授权终端发送提权请求;
所述授权终端根据接收到的提权请求,接管并启用所述被授权终端的影像采集设备,采集所述被授权终端对应的用户影像以确认所述被授权终端的用户身份;
被授权终端的用户身份确认后,所述授权终端和所述被授权终端分别启用远程桌面协议,并登录远程桌面服务器;
进行业务审核时,所述授权终端托管所述被授权终端的桌面会话,启用授权终端的影像采集设备采集授权终端对应的用户影像,以生成被授权终端业务与授权终端用户影像融合界面;所述被授权终端的影像采集设备采集被授权终端对应的用户影像,以生成被授权终端业务与被授权终端用户影像融合界面;
进行业务处理时,所述被授权终端向所述授权终端发送业务请求,所述授权终端将审核后的业务请求转发至业务服务器;
所述授权终端生成基于被授权终端业务与授权终端用户影像融合界面的第一业务处理监控记录,并在业务处理完毕后将所述第一业务处理监控记录发送至业务服务器进行签名验证;所述被授权终端生成基于被授权终端业务与被授权终端用户影像融合界面的第二业务处理监控记录,并在业务处理完毕后将第二业务处理监控记录发送至业务服务器进行签名验证。
本发明还提供了一种授权终端,所述授权终端包括:
第一用户审核模块,用于接收被授权终端发送的提权请求,根据所述提权请求接管并启用被授权终端的影像采集设备,采集所述被授权终端对应的用户影像,确认所述被授权终端的用户身份;
第二用户审核模块,用于启用授权终端的影像采集设备,采集授权终端对应的用户影像,生成被授权终端业务与授权终端用户影像融合界面,并将被授权终端业务与授权终端用户影像融合界面发送至被授权终端;
第三用户审核模块,用于在对第一业务处理监控记录进行签名之前,对授权终端用户进行身份认证;
业务审核模块,用于在确认被授权终端的用户身份通过验证后,在授权终端启用远程桌面协议,并登录远程桌面服务器;托管所述被授权终端的桌面会话进行被授权终端业务审核;
业务处理模块,用于在被授权终端业务审核通过后,接收被授权终端发送的业务请求,并将审核后的业务请求转发至业务服务器;生成基于被授权终端业务与授权终端用户影像融合界面的第一业务处理监控记录,并将第一业务处理监控记录发送至业务服务器进行签名验证;
以及签名处理模块,所述签名处理模块内置证书,用于在将第一业务处理监控记录并发送至业务服务器之前,通过签名处理模块的证书对所述第一业务处理监控记录进行签名。
本发明还提供了一种被授权终端,所述被授权终端包括:
第一用户审核模块,用于接收授权终端发送的被授权终端业务与授权终端用户影像融合界面,确认授权终端的用户身份;
第二用户审核模块,用于在对第二业务处理监控记录签名之前,对被授权终端用户进行身份认证;
业务处理模块,用于在需要进行业务处理时,向授权终端发送提权请求;在确认授权终端用户身份通过验证后,向授权终端发送业务请求;以及在被授权终端业务处理完毕后,生成基于被授权终端业务与被授权终端用户影像融合界面的第二业务处理监控记录,并将第二业务处理监控记录发送至业务服务器进行签名验证;
业务审核模块,用于在被授权终端启动远程桌面协议,登录远程桌面服务器,向授权终端发送被授权终端业务管理界面;
以及签名处理模块,所述签名处理模块内置证书,用于在将第二业务处理监控记录并发送至业务服务器之前,通过签名处理模块的证书对所述第二业务处理监控记录进行签名。
本发明还提供一种远程办公业务授权系统,所述系统包括上述的被授权终端、上述的授权终端以及业务服务器;
所述业务服务器包括第一认证模块、第二认证模块和业务处理模块;
所述第一认证模块,用于接收授权终端发送的第一业务处理监控记录,对授权终端的签名进行验证;以及接收被授权终端发送的第二业务处理监控记录,对被授权终端的签名进行验证;
所述第二认证模块,用于在第一业务处理监控记录和第二业务处理监控记录的签名验证通过后,拉取业务权限矩阵,对第一业务处理监控记录和第二业务处理监控记录进行合法性查验;
所述业务处理模块,用于接收授权终端转发的被授权终端业务请求;在确认第一业务处理监控记录和第二业务处理监控记录合法性查验通过后,根据授权终端转发的业务请求执行相关业务;或者,在确认第一业务处理监控记录或第二业务处理监控记录合法性查验未通过后,中断业务执行并生成反馈消息。
本发明的有益效果如下:
1)本发明提供一种远程办公业务授权方法、终端及系统,将需要复核或授权的业务流程从线下转移到线上,由被授权终端发起业务申请并将业务托管给授权终端进行业务审核,由授权终端进行业务及用户的审核、以及业务处理的授权,保证业务的真实性;并在被授权终端和授权终端分别生成基于融合界面的业务处理监控记录,由业务服务器进行验证后执行业务,解决了业务申请端与业务复核/授权终端串通作案问题;从而保障远程办公业务具有安全、可追溯并规避线下办公存在的安全局限,提高了远程办公业务办理的灵活性和安全性;
2)本发明通过授权终端接管并启用所述被授权终端的影像采集设备,采集所述被授权终端用户影像,确认所述被授权终端用户身份后再执行业务,解决了业务申请端的身份冒用问题;通过授权终端生成被授权终端业务与授权终端用户影像融合界面,并由被授权终端确认处理业务的授权终端用户是否为合法用户,解决了业务复核/授权终端的身份冒用问题;
3)本发明通过业务服务器查验第一业务处理监控记录的签名和第二业务处理监控记录的签名真伪,并分别查验被授权终端及授权终端的用户、终端、业务、权限是否合法,以便在业务服务器执行相关业务之前,再次核实业务及用户的真实性及合法性,防止因数据丢失等导致系统瘫痪及经济利益受损,有助于对不合法行为进行追溯及处理;
4)本发明通过业务和影像的融合界面,可不受时间和地点限制地灵活进行授权业务的操作,对敏感业务进行实时处理,有利于将分散的授权人员集中化,降低人员成本,提高生产效率。
附图说明
图1为一种远程办公业务授权方法的步骤。
图2为一种远程办公业务授权方法步骤进一步流程图。
图3为一种远程办公业务授权方法中所述业务服务器签名验证流程图。
图4为一种远程办公业务授权系统结构框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细描述。应当理解,此处所描述的具体实施例仅仅用于解释本发明,并不用于限定本发明。相反,本发明涵盖任何由权利要求定义的在本发明的精髓和范围上做的替代、修改、等效方法以及方案。进一步,为了使公众对本发明有更好的了解,在下文对本发明的细节描述中,详尽描述了一些特定的细节部分。对本领域技术人员来说没有这些细节部分的描述也可以完全理解本发明。
实施例1
如图1所示,一种远程办公业务授权方法,包括以下步骤:
S0,确定被授权终端,确定授权终端,确定业务服务器;
可以理解的是,所述被授权终端或所述授权终端并非唯一的,所述被授权终端可以是其他作为被授权终端设备的授权终端,所述授权终端可以是其他作为授权终端设备的被授权终端;所述被授权终端和所述授权终端可以是智能手机、台式电脑、便携式笔记本电脑、平板设备、数字广播终端、智能控制设备或者智能可穿戴设备等。
S1,需要进行被授权终端业务处理时,被授权终端会向授权终端发送提权请求;
S2,所述授权终端根据接收到的提权请求,接管并启用所述被授权终端的影像采集设备,采集所述被授权终端对应的用户影像以确认所述被授权终端的用户身份;
具体的,所述被授权终端影像采集设备可以是摄像头,也可以是摄像头+音频输入口,通过采集所述被授权终端用户影像来判断被授权终端用户身份的合法性并进行确认;所述授权终端采集所述被授权终端对应的用户影像时,具体采用的技术为流媒体技术,所述用户影像至少包括视频影像。
S3,被授权终端的用户身份确认后,所述授权终端和所述被授权终端分别启用远程桌面协议,并登录远程桌面服务器;
如图2所示,被授权终端成功登录远程桌面服务器后,可以向授权终端发送被授权终端业务管理界面,此时授权终端接收所述被授权终端发送的业务处理界面,即可托管所述被授权终端桌面会话,以实现授权终端对被授权终端的业务审核功能,保证业务的真实性,使得业务无法伪造。其中,远程桌面协议(RDP)是一个多通道(multi-channel)的协议,让使用者(所在计算机称为用户端或本地计算机)连上提供微软终端机服务的计算机(称为服务端或'远程计算机')。具体的,所述的远程桌面协议为spice协议,所述spice协议能用于在服务器和远程计算机上部署虚拟桌面。
S4,进行业务审核时,授权终端托管所述被授权终端的桌面会话,启用授权终端的影像采集设备采集授权终端对应的用户影像,以生成被授权终端业务与授权终端用户影像融合界面;被授权终端的影像采集设备采集被授权终端对应的用户影像,以生成被授权终端业务与被授权终端用户影像融合界面;
需要说明的是,在授权终端托管所述被授权终端的桌面会话的过程中,被授权终端将业务暂时托管给授权终端处理,并非将被授权终端自身需要处理的工作转移给授权终端;而是在桌面会话托管过程中,授权终端用户可以对被授权终端的业务进行审核,并在业务审核通过后,在授权终端输入指纹或者插入UKEY等,实现对被授权终端业务处理的授权功能,保障远程办公业务具有安全、可追溯并接近线下办公的安全性。
S5,进行业务处理时,所述被授权终端向所述授权终端发送业务请求;所述授权终端接收所述业务请求进行审核,并将审核后的业务请求转发至业务服务器;
需要说明的是,为了防止身份冒用,业务审核和业务处理是在业务处理界面和所采集的用户影像的融合界面中进行的;被授权终端将业务请求提交至所述授权终端,由所述授权终端用户对具体的业务请求进行审核,经过所述授权终端审核并确认的业务请求才会被转发至业务服务器。所述业务请求可以为对某些重要而敏感的数据进行修改、删除或者访问的请求。例如,被授权终端发起的业务请求为删除核心源代码文件,该业务请求未经授权终端复核直接发给业务服务器,一旦业务服务器执行,则可能导致数据丢失无法恢复,甚至系统瘫痪,使企业蒙受经济损失。而本申请通过所述授权终端对业务请求进行复核,为远程办公增加一道安全屏障,使远程办公业务具有超越线下办公的安全性。
S6,如图2所示,所述授权终端生成基于被授权终端业务与授权终端用户影像融合界面的第一业务处理监控记录,并在业务处理完毕后将所述第一业务处理监控记录发送至业务服务器进行签名验证;所述被授权终端生成基于被授权终端业务与被授权终端用户影像融合界面的第二业务处理监控记录,并在业务处理完毕后将第二业务处理监控记录发送至业务服务器进行签名验证。
进一步地,所述业务服务器对接收到的第一业务处理监控记录和第二业务处理监控记录进行签名验证时,执行:所述业务服务器接收所述第一业务处理监控记录和所述第二业务处理监控记录,并查验所述第一业务处理监控记录和所述第二业务处理监控记录的签名的真伪;如果为真,则从业务服务器中拉取业务权限矩阵,分别查验被授权终端及授权终端的用户、终端、业务、权限是否合法,如果被授权终端及授权终端的用户、终端、业务、权限是合法的,则根据接收到的业务请求执行相关业务;否则,中断业务执行并生成反馈消息。本发明中业务服务器再次核实业务及用户的真实性及合法性,防止业务申请端与业务复核/授权终端串通作案,避免发生因数据丢失等导致系统瘫痪及经济利益受损的情况。
进一步地,所述第一业务处理监控记录包括被授权终端业务与授权终端用户影像融合界面截屏、业务处理时间、业务标识符、授权终端标识符、授权终端用户标识符和受托管的被授权终端标识符;所述第二业务处理监控记录包括被授权终端业务与被授权终端用户影像融合界面截屏、业务处理时间、业务标识符、被授权终端标识符、被授权终端用户标识符和托管的授权终端标识符。所述业务权限矩阵包括被授权终端与业务权限关联列表,被授权终端用户与业务权限关联列表,授权终端与业务权限关联列表,授权终端用户与业务权限关联列表;用于授权一些被授权终端进行业务提权请求的业务列表,用于授权一些授权终端进行被授权终端用户身份审核的业务列表,用于授权一些授权终端进行被授权终端业务请求转发的业务列表,用于授权一些被授权终端进行授权终端用户身份审核的业务列表等等。
需要说明的是,所述业务服务器对所述第一业务处理监控记录和所述第二业务处理监控记录进行合法性查验,即查验被授权终端及授权终端的用户、终端、业务、权限是否合法时,执行以下操作:(1)提取被授权终端业务与授权终端用户影像融合界面截屏以及被授权终端业务与被授权终端用户影像融合界面截屏,再次确认业务及用户的真实性;(2)提取所述第一业务处理监控记录中的业务标识符、授权终端标识符、授权终端用户标识符和受托管的被授权终端标识符,以及所述第二业务处理监控记录中的业务标识符、被授权终端标识符、被授权终端用户标识符和托管的授权终端标识符;确认本次业务处理对应的授权终端与业务权限之间、授权终端用户与被授权终端用户之间、被授权终端与业务权限之间等等的对应关系,与所述业务权限矩阵中的对应关系是否一致;以及确认该授权终端进行被授权终端用户身份审核操作及业务审核操作是否得到授权,确认该授权终端进行被授权终端业务请求转发操作是否得到授权,确认该被授权终端进行授权终端用户身份审核等等。
可以理解,第一业务处理监控记录或第二业务处理监控记录合法性查验未通过,具体指:该授权终端未得到进行被授权终端用户身份审核操作及业务审核操作的授权,或者该授权终端未得到进行被授权终端业务请求转发的授权,或者该被授权终端未得到进行授权终端用户身份审核操作的授权等;因此,所述反馈消息记录有导致中断业务执行的原因,以便其他人员对不合法的远程办公行为进行追溯。
在本实施例中,在所述被授权终端将业务请求提交至所述授权终端之前,还执行:所述被授权终端接收所述授权终端发送的被授权终端业务与授权终端用户影像融合界面,以确认所述授权终端的用户身份。具体的,所述授权终端启用授权终端的影像采集设备如摄像头,采集授权终端对应的用户影像,生成被授权终端业务与授权终端用户影像融合界面;将所述被授权终端业务与授权终端用户影像融合界面发送至所述被授权终端,由被授权终端用户对授权终端用户进行身份确认。
可以理解,授权终端在托管被授权终端桌面会话进行被授权终端业务审核的过程中,被授权终端用户可以实时查看被授权终端业务与授权终端用户影像融合界面,确认处理业务申请的授权终端用户是否为合法用户,如果授权终端用户不是合法用户,可以中断业务申请;解决了业务复核/授权终端的身份冒用问题。
如图3所示,在本实施例中,在所述授权终端将所述第一业务处理监控记录发送至业务服务器之前,执行:所述授权终端对所述授权终端用户进行身份认证;身份认证通过后,由所述授权终端的证书对所述第一业务处理监控记录进行签名处理;在所述被授权终端将所述第二业务处理监控记录发送至业务服务器之前,执行:所述被授权终端对所述被授权终端用户进行身份认证;身份认证通过后,由所述被授权终端的证书对所述第二业务处理监控记录签名处理。
具体的,所述授权终端或者所述被授权终端采用的身份认证方法为生物特征识别算法、UKey识别算法、或者PIN码校验算法,或者至少2种以上身份认证方法的结合。本申请在签名之前,通过增加对用户身份进行认证的步骤,进一步防止业务申请端(被授权终端)以及业务复核/授权终端的身份被冒用,保证第一业务处理监控记录和第二业务处理监控记录的准确性和保密性,从而进一步增强远程办公的安全性。
实施例2
附图4示出了一种授权终端,所述授权终端包括第一用户审核模块、第二用户审核模块、第三用户审核模块、业务审核模块、业务处理模块以及签名处理模块;其中,
第一用户审核模块,用于接收被授权终端发送的提权请求,根据所述提权请求接管并启用被授权终端的影像采集设备,采集所述被授权终端对应的用户影像,确认所述被授权终端的用户身份;
第二用户审核模块,用于启用授权终端的影像采集设备,采集授权终端对应的用户影像,生成被授权终端业务与授权终端用户影像融合界面,并发送至被授权终端,以使被授权终端确认授权终端的用户身份;
第三用户审核模块,用于在对第一业务处理监控记录进行签名之前,对授权终端用户进行身份认证;具体的,对授权终端用户进行身份认证采用的方法,可以为生物特征识别算法、UKey识别算法或者PIN码校验算法,或者至少2种上述身份认证方法的结合;
业务审核模块,用于在确认被授权终端的用户身份通过验证后,通过远程协议接口在授权终端启用远程桌面协议,并登录远程桌面服务器;接收所述被授权终端发送的被授权终端业务管理界面,并托管所述被授权终端的桌面会话进行业务审核;
业务处理模块,用于在业务审核通过后,进行被授权终端业务处理授权,并将所述被授权终端发送的业务请求转发至业务服务器;并在被授权终端业务处理完毕后,生成基于被授权终端业务与授权终端用户影像融合界面的第一业务处理监控记录,并将第一业务处理监控记录发送至业务服务器进行签名验证;
以及签名处理模块,所述签名处理模块内置证书(未图示),用于在将第一业务处理监控记录并发送至业务服务器之前,通过签名处理模块的证书对所述第一业务处理监控记录进行签名处理。
需要说明的是,所述授权终端通过第一用户审核模块与被授权终端信息交互,实现授权终端审核被授权终端用户身份的功能,从授权终端侧防止业务申请端(被授权终端)的身份被冒用;通过第二用户审核模块与被授权终端信息交互,实现被授权终端审核授权终端用户身份的功能,从授权终端侧防止业务复核/授权终端的身份被冒用;通过第三用户审核模块对授权终端进行用户身份认证,进一步从授权终端侧防止业务复核/授权终端的身份被冒用;通过业务处理模块,实现业务请求授权及生成第一业务处理监控记录等功能,从授权终端侧提高远程办公授权业务的灵活性和安全性;通过业务审核模块,对被授权终端业务处理过程进行监控,实现业务审核功能,以便在被授权终端业务处理过程不符合规定时,及时发出警示信息,进一步保证远程办公的安全性;通过签名处理模块对所述第一业务处理监控记录进行签名,从授权终端侧提高第一业务处理监控记录传输过程的安全性。
实施例3
附图4还示出了一种被授权终端,所述被授权终端包括第一用户审核模块、第二用户审核模块、业务处理模块、业务审核模块以及签名处理模块;其中,
第一用户审核模块,用于接收授权终端发送的被授权终端业务与授权终端用户影像融合界面,确认授权终端的用户身份;
第二用户审核模块,用于在对第二业务处理监控记录签名之前,对被授权终端用户进行身份认证;具体的,对被授权终端用户进行身份认证采用的方法,可以为生物特征识别算法、UKey识别算法或者PIN码校验算法,或者至少2种上述身份认证方法的结合;
业务处理模块,用于在需要进行本地业务处理时,向授权终端发送提权请求;在确认授权终端用户身份通过验证后,向授权终端发送业务请求;在确认授权终端用户身份未通过验证后,中断被授权终端业务处理进程;以及在被授权终端业务处理完毕后,生成基于被授权终端业务与被授权终端用户影像融合界面的第二业务处理监控记录,并将第二业务处理监控记录发送至业务服务器进行签名验证;
业务审核模块,用于通过远程协议接口在被授权终端启动远程桌面协议,登录远程桌面服务器,向授权终端发送被授权终端业务管理界面;
以及签名处理模块,所述签名处理模块内置证书(未图示),用于在将第二业务处理监控记录并发送至业务服务器之前,通过签名处理模块的证书对所述第二业务处理监控记录进行签名。
需要说明的是,所述被授权终端通过第一用户审核模块与授权终端信息交互,实现被授权终端审核授权终端用户身份的功能,从被授权终端侧防止业务复核/授权终端(授权终端)的身份被冒用;通过第二用户审核模块对被授权终端进行用户身份认证,从被授权终端侧防止业务申请端(被授权终端)的身份被冒用;通过业务处理模块实现发送提权请求、中断业务处理进程以及生成第二业务处理监控记录等功能,从被授权终端侧提高远程办公授权业务的灵活性和安全性;通过签名处理模块对所述第二业务处理监控记录进行签名,从被授权终端侧提高第二业务处理监控记录传输过程的安全性和保密性,进一步保证远程办公的安全性。
实施例4
如图4所示,本发明还提供一种远程办公业务授权系统,所述系统包括上述的被授权终端、上述的授权终端以及业务服务器;所述业务服务器包括第一认证模块、第二认证模块和业务处理模块;
所述第一认证模块,用于接收授权终端发送的第一业务处理监控记录,对所述第一业务处理监控记录对应的授权终端的签名进行验证;以及接收被授权终端发送的第二业务处理监控记录,对所述第二业务处理监控记录对应的被授权终端的签名进行验证;
所述第二认证模块,用于在第一业务处理监控记录和第二业务处理监控记录的签名验证通过后,拉取业务权限矩阵,对第一业务处理监控记录和第二业务处理监控记录进行合法性查验;
所述业务处理模块,用于接收授权终端转发的被授权终端业务请求;在确认第一业务处理监控记录和第二业务处理监控记录合法性查验通过后,根据授权终端转发的业务请求执行相关业务;或者,在确认第一业务处理监控记录或第二业务处理监控记录合法性查验未通过后,中断业务执行并生成反馈消息。
进一步地,所述第一业务处理监控记录包括被授权终端业务与授权终端用户影像融合界面截屏、业务处理时间、业务标识符、授权终端标识符、授权终端用户标识符和受托管的被授权终端标识符;所述第二业务处理监控记录包括被授权终端业务与被授权终端用户影像融合界面截屏、业务处理时间、业务标识符、被授权终端标识符、被授权终端用户标识符和托管的授权终端标识符。
进一步地,所述业务权限矩阵包括被授权终端与业务权限关联列表,被授权终端用户与业务权限关联列表,授权终端与业务权限关联列表,授权终端用户与业务权限关联列表;用于授权被授权终端进行业务提权请求的业务列表,用于授权所述授权终端进行被授权终端用户身份审核的业务列表,用于授权所述授权终端进行被授权终端业务审核的业务列表,用于授权所述授权终端进行被授权终端业务请求转发的业务列表,用于授权被授权终端进行授权终端用户身份审核的业务列表等等。
需要说明的是,所述业务服务器对所述第一业务处理监控记录和所述第二业务处理监控记录进行合法性查验,即查验被授权终端及授权终端的用户、终端、业务、权限是否合法时,执行以下操作:(1)提取被授权终端业务与授权终端用户影像融合界面截屏以及被授权终端业务与被授权终端用户影像融合界面截屏,再次确认业务及用户的真实性;(2)提取所述第一业务处理监控记录中的业务标识符、授权终端标识符、授权终端用户标识符和受托管的被授权终端标识符,以及所述第二业务处理监控记录中的业务标识符、被授权终端标识符、被授权终端用户标识符和托管的授权终端标识符;确认本次业务处理对应的授权终端与业务权限之间、授权终端用户与被授权终端用户之间、被授权终端与业务权限之间等等的对应关系,与所述业务权限矩阵中的对应关系是否一致;以及确认该授权终端进行被授权终端用户身份审核操作及业务审核操作是否得到授权,确认该授权终端进行被授权终端业务请求转发操作是否得到授权,确认该被授权终端进行授权终端用户身份审核等等。
需要说明的是,第一业务处理监控记录或第二业务处理监控记录合法性查验未通过,具体指:该授权终端未得到进行被授权终端用户身份审核操作及业务审核操作的授权,或者该授权终端未得到进行被授权终端业务请求转发的授权,或者该被授权终端未得到进行授权终端用户身份审核操作的授权等;因此,所述反馈消息记录有导致中断业务执行的原因,以便其他人员对不合法的远程办公行为进行追溯。
进一步地,所述业务服务器可以是服务器,也可以是服务器集群,可以包括路由、网关等。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,所属领域的普通技术人员在不脱离本发明技术方案的精神下,对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换,其均应涵盖在本发明请求保护的技术方案范围当中。
Claims (10)
1.一种远程办公业务授权方法,其特征在于,包括以下步骤:
被授权终端向授权终端发送提权请求;
所述授权终端根据接收到的提权请求,接管并启用所述被授权终端的影像采集设备,采集所述被授权终端对应的用户影像以确认所述被授权终端的用户身份;
被授权终端的用户身份确认后,所述授权终端和所述被授权终端分别启用远程桌面协议,并登录远程桌面服务器;
进行业务审核时,所述授权终端托管所述被授权终端的桌面会话,启用授权终端的影像采集设备采集授权终端对应的用户影像,以生成被授权终端业务与授权终端用户影像融合界面;所述被授权终端的影像采集设备采集被授权终端对应的用户影像,以生成被授权终端业务与被授权终端用户影像融合界面;
进行业务处理时,所述被授权终端向所述授权终端发送业务请求,所述授权终端将审核后的业务请求转发至业务服务器;
所述授权终端生成基于被授权终端业务与授权终端用户影像融合界面的第一业务处理监控记录,并在业务处理完毕后将所述第一业务处理监控记录发送至业务服务器进行签名验证;所述被授权终端生成基于被授权终端业务与被授权终端用户影像融合界面的第二业务处理监控记录,并在业务处理完毕后将第二业务处理监控记录发送至业务服务器进行签名验证。
2.基于权利要求1所述的远程办公业务授权方法,其特征在于,所述业务服务器对接收到的第一业务处理监控记录和第二业务处理监控记录进行签名验证时,执行:所述业务服务器接收第一业务处理监控记录和第二业务处理监控记录,并查验所述第一业务处理监控记录和第二业务处理监控记录的签名的真伪;如果为真,则从业务服务器中拉取业务权限矩阵,分别查验被授权终端及授权终端的用户、终端、业务、权限是否合法,如果被授权终端及授权终端的用户、终端、业务、权限均合法,则根据接收到的业务请求执行相关业务;否则,中断业务执行并生成反馈消息。
3.基于权利要求1所述的远程办公业务授权方法,其特征在于,在所述被授权终端将业务请求提交至所述授权终端之前,还执行:所述被授权终端接收所述授权终端发送的被授权终端业务与授权终端用户影像融合界面,以确认所述授权终端的用户身份。
4.基于权利要求1所述的远程办公业务授权方法,其特征在于,在所述授权终端将所述第一业务处理监控记录发送至业务服务器之前,执行:所述授权终端对所述授权终端用户进行身份认证;身份认证通过后,由所述授权终端的证书对所述第一业务处理监控记录进行签名处理。
5.基于权利要求1所述的远程办公业务授权方法,其特征在于,在所述被授权终端将所述第二业务处理监控记录发送至业务服务器之前,执行:所述被授权终端对所述被授权终端用户进行身份认证;身份认证通过后,由所述被授权终端的证书对所述第二业务处理监控记录签名处理。
6.基于权利要求4或5所述的远程办公业务授权方法,其特征在于,所述身份认证方法为生物特征识别算法、UKey识别算法、或者PIN码校验算法,或者至少2种以上身份认证方法的结合。
7.一种授权终端,其特征在于,所述授权终端包括:
第一用户审核模块,用于接收被授权终端发送的提权请求,根据所述提权请求接管并启用被授权终端的影像采集设备,采集所述被授权终端对应的用户影像,确认所述被授权终端的用户身份;
第二用户审核模块,用于启用授权终端的影像采集设备,采集授权终端对应的用户影像,生成被授权终端业务与授权终端用户影像融合界面,并将被授权终端业务与授权终端用户影像融合界面发送至被授权终端;
第三用户审核模块,用于在对第一业务处理监控记录进行签名之前,对授权终端用户进行身份认证;
业务审核模块,用于在确认被授权终端的用户身份通过验证后,在授权终端启用远程桌面协议,并登录远程桌面服务器;托管所述被授权终端的桌面会话进行被授权终端业务审核;
业务处理模块,用于在被授权终端业务审核通过后,接收被授权终端发送的业务请求,并将审核后的业务请求转发至业务服务器;生成基于被授权终端业务与授权终端用户影像融合界面的第一业务处理监控记录,并将第一业务处理监控记录发送至业务服务器进行签名验证;
以及签名处理模块,所述签名处理模块内置证书,用于在将第一业务处理监控记录并发送至业务服务器之前,通过签名处理模块的证书对所述第一业务处理监控记录进行签名。
8.一种被授权终端,其特征在于,所述被授权终端包括:
第一用户审核模块,用于接收授权终端发送的被授权终端业务与授权终端用户影像融合界面,确认授权终端的用户身份;
第二用户审核模块,用于在对第二业务处理监控记录签名之前,对被授权终端用户进行身份认证;
业务处理模块,用于在需要进行业务处理时,向授权终端发送提权请求;在确认授权终端用户身份通过验证后,向授权终端发送业务请求;以及在被授权终端业务处理完毕后,生成基于被授权终端业务与被授权终端用户影像融合界面的第二业务处理监控记录,并将第二业务处理监控记录发送至业务服务器进行签名验证;
业务审核模块,用于在被授权终端启动远程桌面协议,登录远程桌面服务器,向授权终端发送被授权终端业务管理界面;
以及签名处理模块,所述签名处理模块内置证书,用于在将第二业务处理监控记录并发送至业务服务器之前,通过签名处理模块的证书对所述第二业务处理监控记录进行签名。
9.一种远程办公业务授权系统,其特征在于,所述系统包括权利要求7所述的授权终端、权利要求8所述的被授权终端以及业务服务器;
所述业务服务器包括第一认证模块、第二认证模块和业务处理模块;
所述第一认证模块,用于接收授权终端发送的第一业务处理监控记录,对授权终端的签名进行验证;以及接收被授权终端发送的第二业务处理监控记录,对被授权终端的签名进行验证;
所述第二认证模块,用于在第一业务处理监控记录和第二业务处理监控记录的签名验证通过后,拉取业务权限矩阵,对第一业务处理监控记录和第二业务处理监控记录进行合法性查验;
所述业务处理模块,用于接收授权终端转发的被授权终端业务请求;在确认第一业务处理监控记录和第二业务处理监控记录合法性查验通过后,根据授权终端转发的业务请求执行相关业务;或者,在确认第一业务处理监控记录或第二业务处理监控记录合法性查验未通过后,中断业务执行并生成反馈消息。
10.基于权利要求9所述的远程办公业务授权系统,其特征在于,所述第一业务处理监控记录包括被授权终端业务与授权终端用户影像融合界面截屏、业务处理时间、业务标识符、授权终端标识符、授权终端用户标识符和受托管的被授权终端标识符;所述第二业务处理监控记录包括被授权终端业务与被授权终端用户影像融合界面截屏、业务处理时间、业务标识符、被授权终端标识符、被授权终端用户标识符和托管的授权终端标识符。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010360410.2A CN111586021B (zh) | 2020-04-30 | 2020-04-30 | 一种远程办公业务授权方法、终端及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010360410.2A CN111586021B (zh) | 2020-04-30 | 2020-04-30 | 一种远程办公业务授权方法、终端及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111586021A CN111586021A (zh) | 2020-08-25 |
| CN111586021B true CN111586021B (zh) | 2022-02-08 |
Family
ID=72124979
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010360410.2A Active CN111586021B (zh) | 2020-04-30 | 2020-04-30 | 一种远程办公业务授权方法、终端及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111586021B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113065152A (zh) * | 2020-09-07 | 2021-07-02 | 沈建锋 | 基于云计算和信息数字化的云业务交互方法及系统 |
| CN113285910B (zh) * | 2020-10-30 | 2022-06-10 | 常熟友乐智能科技有限公司 | 一种远程办公业务授权方法、装置及计算机设备 |
| CN113901414B (zh) * | 2021-10-30 | 2023-11-21 | 哈尔滨工业大学 | 一种面向多实验系统及其中控的控制托管方法 |
| CN115174166A (zh) * | 2022-06-22 | 2022-10-11 | 杭州晶彩数字科技有限公司 | 一种居家工作方法、系统及储存介质 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009070430A2 (en) * | 2007-11-08 | 2009-06-04 | Suridx, Inc. | Apparatus and methods for providing scalable, dynamic, individualized credential services using mobile telephones |
| CN101916477A (zh) * | 2010-07-19 | 2010-12-15 | 中国工商银行股份有限公司 | 一种银行柜员终端远程授权方法、服务器及系统 |
| CN102176267A (zh) * | 2011-02-17 | 2011-09-07 | 中国工商银行股份有限公司 | 一种客户自助处理设备、自助授权认证系统及方法 |
| CN103152326A (zh) * | 2013-02-01 | 2013-06-12 | 深圳市巨雷科技有限公司 | 一种分布式认证方法及认证系统 |
| CN103327487A (zh) * | 2012-03-19 | 2013-09-25 | 上海博路信息技术有限公司 | 一种远程认证鉴权服务系统 |
| CN103391286A (zh) * | 2013-07-11 | 2013-11-13 | 北京天地互连信息技术有限公司 | 一种应用于全ip远程监控网络系统及安全认证方法 |
| CN108259311A (zh) * | 2016-12-29 | 2018-07-06 | 杭州华为企业通信技术有限公司 | 一种实现远程授权的方法和装置 |
| CN109740366A (zh) * | 2019-01-03 | 2019-05-10 | 深圳壹账通智能科技有限公司 | 影像管理方法、装置、计算机设备和存储介质 |
| CN110415414A (zh) * | 2019-07-31 | 2019-11-05 | 中国工商银行股份有限公司 | 基于双方验证的动态密码锁的解锁方法及装置 |
| CN110890151A (zh) * | 2019-11-18 | 2020-03-17 | 重庆亚德科技股份有限公司 | 一种区域远程医疗信息系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7143290B1 (en) * | 1995-02-13 | 2006-11-28 | Intertrust Technologies Corporation | Trusted and secure techniques, systems and methods for item delivery and execution |
| CA2741966A1 (en) * | 2008-10-28 | 2010-05-06 | C S S Rao | System and method of integrated national citizen identity management and e-governance |
-
2020
- 2020-04-30 CN CN202010360410.2A patent/CN111586021B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009070430A2 (en) * | 2007-11-08 | 2009-06-04 | Suridx, Inc. | Apparatus and methods for providing scalable, dynamic, individualized credential services using mobile telephones |
| CN101916477A (zh) * | 2010-07-19 | 2010-12-15 | 中国工商银行股份有限公司 | 一种银行柜员终端远程授权方法、服务器及系统 |
| CN102176267A (zh) * | 2011-02-17 | 2011-09-07 | 中国工商银行股份有限公司 | 一种客户自助处理设备、自助授权认证系统及方法 |
| CN103327487A (zh) * | 2012-03-19 | 2013-09-25 | 上海博路信息技术有限公司 | 一种远程认证鉴权服务系统 |
| CN103152326A (zh) * | 2013-02-01 | 2013-06-12 | 深圳市巨雷科技有限公司 | 一种分布式认证方法及认证系统 |
| CN103391286A (zh) * | 2013-07-11 | 2013-11-13 | 北京天地互连信息技术有限公司 | 一种应用于全ip远程监控网络系统及安全认证方法 |
| CN108259311A (zh) * | 2016-12-29 | 2018-07-06 | 杭州华为企业通信技术有限公司 | 一种实现远程授权的方法和装置 |
| CN109740366A (zh) * | 2019-01-03 | 2019-05-10 | 深圳壹账通智能科技有限公司 | 影像管理方法、装置、计算机设备和存储介质 |
| CN110415414A (zh) * | 2019-07-31 | 2019-11-05 | 中国工商银行股份有限公司 | 基于双方验证的动态密码锁的解锁方法及装置 |
| CN110890151A (zh) * | 2019-11-18 | 2020-03-17 | 重庆亚德科技股份有限公司 | 一种区域远程医疗信息系统 |
Non-Patent Citations (3)
| Title |
|---|
| Research on mobile commerce payment management based on the face biometric authentication;Wang Feng,Jiyan Zhou,Chen Dan,Zhou Peiyan and Zhang Li;《InderScience》;20170404;全文 * |
| 万海航运公司信息处理中心远程办公管理研究;刘岳峰;《中国优秀硕士学位论文全文数据库经济与管理科学辑》;20131231;全文 * |
| 疫情期间远程办公网络安全对策;马方超等;《信息化建设》;20200215(第02期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111586021A (zh) | 2020-08-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111586021B (zh) | 一种远程办公业务授权方法、终端及系统 | |
| CN108923908B (zh) | 授权处理方法、装置、设备及存储介质 | |
| CN109274652B (zh) | 身份信息验证系统、方法及装置及计算机存储介质 | |
| US9197420B2 (en) | Using information in a digital certificate to authenticate a network of a wireless access point | |
| US20210243037A1 (en) | Method for information processing in digital asset certificate inheritance transfer, and related device | |
| CN107483495B (zh) | 一种大数据集群主机管理方法、管理系统及服务端 | |
| CN112838951B (zh) | 一种终端设备的运维方法、装置、系统及存储介质 | |
| CN113225351B (zh) | 一种请求处理方法、装置、存储介质及电子设备 | |
| CN108966216B (zh) | 一种应用于配电网的移动通信方法及系统 | |
| WO2018216988A1 (ko) | 다중 사용자의 인증요소를 조합하여 보안키를 생성하는 보안인증시스템 및 보안인증방법 | |
| JP2017152880A (ja) | 認証システム、鍵処理連携方法、および、鍵処理連携プログラム | |
| KR102356474B1 (ko) | 클라우드 서비스 기반의 원격통제 기능이 탑재된 스마트워크 지원시스템 | |
| CN112862487A (zh) | 一种数字证书认证方法、设备及存储介质 | |
| CN114125027B (zh) | 一种通信建立方法、装置、电子设备及存储介质 | |
| CN114866258A (zh) | 一种访问关系的建立方法、装置、电子设备及存储介质 | |
| CN114662071A (zh) | 数据访问控制方法、装置、存储介质及电子设备 | |
| CN109462572B (zh) | 基于加密卡和UsbKey的多因子认证方法、系统、存储介质及安全网关 | |
| KR101858207B1 (ko) | 국군 여가복지전용 보안망 시스템 | |
| CN110493236B (zh) | 一种通信方法、计算机设备及存储介质 | |
| CN110807210B (zh) | 一种信息处理方法、平台、系统及计算机存储介质 | |
| CN111030816A (zh) | 一种取证设备接入平台的认证方法、装置及存储介质 | |
| CN108347411B (zh) | 一种统一安全保障方法、防火墙系统、设备及存储介质 | |
| CN116192481A (zh) | 云计算服务器模型间安全通信机制分析方法 | |
| CN213122985U (zh) | 一种pis认证系统 | |
| CN115664686A (zh) | 一种登录方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220620 Address after: 450000 building F4, yard 139, Yangjin Road, Jinshui District, Zhengzhou City, Henan Province Patentee after: ZHENGZHOU XINDA JIEAN INFORMATION TECHNOLOGY Co.,Ltd. Address before: F5-2 (phase a Tianli I), Henan Outsourcing Industrial Park, 139 Yangjin Road, Jinshui District, Zhengzhou City, Henan Province, 450000 Patentee before: Henan yun'an big data security protection industry technology Research Institute Co.,Ltd. |
|
| TR01 | Transfer of patent right |