CN112104668A - 一种分布式权限流程分离控制方法及装置 - Google Patents
一种分布式权限流程分离控制方法及装置 Download PDFInfo
- Publication number
- CN112104668A CN112104668A CN202011242635.4A CN202011242635A CN112104668A CN 112104668 A CN112104668 A CN 112104668A CN 202011242635 A CN202011242635 A CN 202011242635A CN 112104668 A CN112104668 A CN 112104668A
- Authority
- CN
- China
- Prior art keywords
- client
- authority
- request interface
- user
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/143—Termination or inactivation of sessions, e.g. event-controlled end of session
- H04L67/145—Termination or inactivation of sessions, e.g. event-controlled end of session avoiding end of session, e.g. keep-alive, heartbeats, resumption message or wake-up for inactive or interrupted session
Abstract
本发明提供一种分布式权限流程分离控制方法及装置,方法包括:步骤S100,客户端获取用户的身份认证信息,并确认身份认证信息匹配成功,身份认证信息包括授权用户ID;步骤S200,客户端根据所述身份认证信息从本地列表中获取硬件MAC加密后的请求接口指令,并通过本地MAC进行解密;步骤S300,所述客户端获取解密后的所述请求接口指令后,将权限访问控制清单传输至客户端与服务器之间建立的权限独立信道内;步骤S400,服务器通过所述权限独立信道获取当前用户的权限访问控制清单,并根据当前所述授权用户ID寻址路由到的对应的所述权限访问控制清单响应服务。本发明建立了权限信息交互的权限独立信道,确保了权限信息的可靠性,提高了权限信息传输的安全性。
Description
技术领域
本发明涉及计算机软件信息传递领域,具体而言,涉及一种分布式权限流程分离控制方法及一种分布式权限流程分离控制装置。
背景技术
传统权限控制在客户端与服务器之间的传输环节上,涉及到如下的明显问题:第一,权限请求无权限独立信道,传统权限请求与常规业务混合使用相同、非独立式的通道,而在业务信息中有安全等级较轻的信息,该类安全等级较轻的信息对应的安全措施也很弱,如分享类信息等,混用请求通道使得安全等级较高的权限信息容易获得,容易造成安全隐患;第二,权限请求无独立的认证机制,传统的权限请求使用的唯一前提是共同的唯一请求信道中的账户认证通过,即可请求权限相关的信息,权限使用并没有独立的认证机制;第三,传统的权限请求无独立连接,传统的权限请求响应模式遵循HTTP的无状态、无连接原则,导致服务端对客户端一无所知,容易导致客户端被伪造,从而引起一系列信息安全问题。
发明内容
本发明提出了一种新的分布式的权限流程分离控制方法及装置,要解决的技术问题是传统权限请求无权限独立信道,引起的通信安全度较低的问题。
有鉴于此,本发明提出了一种新的分布式权限流程分离控制方法,具体包括:步骤S100,客户端获取用户的身份认证信息,并确认所述身份认证信息匹配成功,所述身份认证信息包括授权用户ID;步骤S200,所述客户端根据所述身份认证信息从本地列表中获取硬件MAC加密后的请求接口指令,并通过本地MAC进行解密;步骤S300,所述客户端获取解密后的所述请求接口指令后,将权限访问控制清单传输至客户端与服务器之间建立的权限独立信道内;步骤S400,服务器通过所述权限独立信道获取当前用户的权限访问控制清单,并根据当前所述授权用户ID寻址路由到的对应的所述权限访问控制清单响应服务。
在该技术方案中,客户端在确认用户的身份认证信息匹配成功后,即用户需要使用权限,必须要完成用户的身份认证作为前提条件,再进行步骤S200,通过用户的身份认证信息中作为当前用户的唯一标识的授权用户ID,从客户端的本地列表中获取请求接口指令,且只有获取通过本地MAC解密后的请求接口指令后,才能将权限访问控制清单传输至客户端与服务器之间建立的权限独立信道内,以此提出一种权限传输独立于业务数据传输的方案,确保权限通信传输的安全性,另一方面,客户端与服务器之间建立权限独立信道成功后,服务器才能够在权限独立信道内获取当前用户的权限访问控制清单,构成了二次认证的方式,能够有效避免用户的身份认证信息成为唯一的请求信道中的认证机制,在该过程中,客户端与服务器一致保持长连接,直到用户登出或者关闭为止,使得权限信息的输入输出流程均受到既定的控制,确保权限信息的可靠性,有效提高了通信安全度。
在上述技术方案中,可选地,所述步骤S100之前还包括:步骤S001,服务器获取用户的会话ID作为双向通信端点的授权用户ID,所述授权用户ID同步当前客户端硬件ID及有效时间戳缓存至所述服务器的内存中,生成请求接口指令;步骤S002,客户端接收所述请求接口指令,并通过所述客户端的硬件MAC加密后存储至本地列表。
在该技术方案中,用户通过账户安全确认身份认证信息后,服务器需要获取当前用户的会话ID作为双向通信端点的授权用户ID ,同步当前客户端硬件ID及有效时间戳作为基本属性生成请求接口指令缓存至服务器,以在服务器安装用户认证端;然后在客户端用户通过账户安全完成身份认证信息后,将请求接口指令返回至客户端,并通过客户端硬件MAC加密后存储至本地列表,以在客户端安装用户认证端,即完成用于创建服务器与客户端之间长连接式的权限独立信道的预备条件。
在上述技术方案中,可选地,所述步骤S300具体包括:步骤S310,所述客户端获取解密后的请求接口指令,并根据所述有效时间戳对所述请求接口指令进行自检;步骤S320,若客户端检测到所述请求接口指令有效,在确认与服务器创建权限独立信道的同时,将所述权限访问控制清单传输至客户端与服务器之间建立的权限独立信道内;步骤S330,若客户端检测到所述请求接口指令失效,将当前所述请求接口指令与所述硬件MAC加密作为参数发送至服务器进行刷新,获得新的可用请求接口指令,再返回至步骤S320。
在该技术方案中,客户端的请求接口指令由服务端按照授权用户ID和有效时间戳进行同步管控,在客户端获取解密后的请求接口指令后,会通过有效时间戳对请求接口指令进行自检,上述有效时间戳通常默认为30分钟,即客户端在自检到请求接口指令的有效时间在30分钟之内时,确认客户端与服务器创建权限独立信道的同时,将权限访问控制清单传输至权限独立信道内;在客户端自检到请求接口指令的有效时间超出30分钟的时间,将当前请求接口指令与硬件MAC加密作为参数同步发送至服务器,请求服务器刷新,获得新的有效的可用请求接口指令,完成过期刷新的目的,该刷新动作需要用户使用带外认证的方式进行,例如可以是短信验证码,也可以是手机扫描软件确认的方式,完成对当前环境使用权限的安全授权,再在确认与服务器创建权限独立信道的同时,将所述权限访问控制清单传输至客户端与服务器之间建立的权限独立信道内,保持权限信息通过权限独立信道输送的过程的可控性、且不能打断也不能绕开。
在上述技术方案中,可选地,所述步骤S330具体包括:步骤S331,若客户端检测到所述请求接口指令失效,将当前所述请求接口指令与所述硬件MAC加密作为参数发送至服务器,生成新的短信验证码,传送至所述客户端;步骤S332,所述客户端接收到所述短信验证码时,在确认与服务器创建权限独立信道的同时,将所述权限访问控制清单传输至客户端与服务器之间建立的权限独立信道内。
在上述技术方案中,可选地,所述步骤S100具体包括:步骤S110,客户端唤起用户登陆窗口,用户登录窗口获取用户输入的用户名、密码信息传递至数据库进行匹配,如果匹配失败,用户登陆窗口将失败信息反馈至客户端并自行关闭,返回步骤S110,若匹配成功,客户端获取用户的身份认证信息;其中用户的身份认证信息包括授权用户ID。
第二方面,本申请提供了一种分布式权限流程分离控制装置,具体包括第一获取单元、解密单元、第一传输单元和响应单元,第一获取单元,用于客户端获取用户的身份认证信息,并确认所述身份认证信息匹配成功,所述身份认证信息包括授权用户ID;解密单元,用于所述客户端根据所述身份认证信息从本地列表中获取硬件MAC加密后的请求接口指令,并通过本地MAC进行解密;第一传输单元,用于所述客户端获取解密后的所述请求接口指令后,将权限访问控制清单传输至客户端与服务器之间建立的权限独立信道内;响应单元,用于服务器通过所述权限独立信道获取当前用户的权限访问控制清单,并根据当前所述授权用户ID寻址路由到的对应的所述权限访问控制清单响应服务。
在该技术方案中,第一获取单元在客户端确认用户的身份认证信息匹配成功后,即用户需要使用权限,必须要完成用户的身份认证作为前提条件,解密单元通过用户的身份认证信息中作为当前用户的唯一标识的授权用户ID,从客户端的本地列表中获取请求接口指令,且只有获取通过本地MAC解密后的请求接口指令后,第一传输单元才能将权限访问控制清单传输至客户端与服务器之间建立的权限独立信道内,以此提出一种权限传输独立于业务数据传输的方案,确保权限通信传输的安全性,另一方面,响应单元才能在客户端与服务器之间建立权限独立信道成功后,服务器在权限独立信道内获取当前用户的权限访问控制清单,构成了二次认证的方式,能够有效避免用户的身份认证信息成为唯一的请求信道中的认证机制,在该过程中,客户端与服务器一致保持长连接,直到用户登出或者关闭为止,使得权限信息的输入输出流程均受到既定的控制,确保权限信息的可靠性,有效提高了通信安全度。
在上述技术方案中,可选地,所述分布式权限流程分离控制装置还包括:第一生成单元,用于服务器获取用户的会话ID作为双向通信端点的授权用户ID,所述授权用户ID同步当前客户端硬件ID及有效时间戳缓存至所述服务器的内存中,生成请求接口指令;加密单元,用于客户端接收所述请求接口指令,并通过所述客户端的硬件MAC加密后存储至本地列表。
在该技术方案中,用户通过账户安全确认身份认证信息后,服务器需要获取当前用户的会话ID作为双向通信端点的授权用户ID ,第一生成单元将授权用户ID同步当前客户端硬件ID及有效时间戳作为基本属性生成请求接口指令缓存至服务器,以在服务器安装用户认证端;然后在客户端用户通过账户安全完成身份认证信息后,加密单元将请求接口指令返回至客户端,并通过客户端硬件MAC加密后存储至本地列表,以在客户端安装用户认证端,即完成用于创建服务器与客户端之间长连接式的权限独立信道的预备条件。
在上述技术方案中,可选地,所述第一传输单元具体包括:自检单元,用于所述客户端获取解密后的请求接口指令,并根据所述有效时间戳对所述请求接口指令进行自检;第二传输单元,用于若客户端检测到所述请求接口指令有效,在确认与服务器创建权限独立信道的同时,将所述权限访问控制清单传输至客户端与服务器之间建立的权限独立信道内;第三传输单元,用于若客户端检测到所述请求接口指令失效,将当前所述请求接口指令与所述硬件MAC加密作为参数发送至服务器进行刷新,获得新的可用请求接口指令,传输至第二传输单元。
在该技术方案中,客户端的请求接口指令由服务端按照授权用户ID和有效时间戳进行同步管控,自检单元在客户端获取解密后的请求接口指令后,会通过有效时间戳对请求接口指令进行自检,上述有效时间戳通常默认为30分钟,即第二传输单元在客户端自检到请求接口指令的有效时间在30分钟之内时,确认客户端与服务器创建权限独立信道的同时,将权限访问控制清单传输至权限独立信道内;第三传输单元在客户端自检到请求接口指令的有效时间超出30分钟的时间,将当前请求接口指令与硬件MAC加密作为参数同步发送至服务器,请求服务器刷新,获得新的有效的可用请求接口指令,完成过期刷新的目的,该刷新动作需要用户使用带外认证的方式进行,例如可以是短信验证码,也可以是手机扫描软件确认的方式,完成对当前环境使用权限的安全授权,再在确认与服务器创建权限独立信道的同时,将所述权限访问控制清单传输至客户端与服务器之间建立的权限独立信道内,保持权限信息通过权限独立信道输送的过程的可控性、且不能打断也不能绕开。
在上述技术方案中,可选地,所述第三传输单元具体包括:第二生成单元,用于若客户端检测到所述请求接口指令失效,将当前所述请求接口指令与所述硬件MAC加密作为参数发送至服务器,生成新的短信验证码,传送至所述客户端;第四传输单元,用于所述客户端接收到所述短信验证码时,在确认与服务器创建权限独立信道的同时,将所述权限访问控制清单传输至客户端与服务器之间建立的权限独立信道内。
在上述技术方案中,可选地,所述第一获取单元具体包括第二获取单元,用于客户端唤起用户登陆窗口,用户登录窗口获取用户输入的用户名、密码信息传递至数据库进行匹配,如果匹配失败,用户登陆窗口将失败信息反馈至客户端并自行关闭,返回步骤S110,若匹配成功,客户端获取用户的身份认证信息;其中用户的身份认证信息包括授权用户ID。
与现有技术相比,本发明的优点在于:
(1)通过在客户端与服务器之间创建权限独立信道,以供权限请求的传输通道独立于业务信息的传输通道,有效避免了业务信息中安全等级较轻的信息与权限请求共用唯一请求通道时,对权限请求造成的安全隐患,确保了权限通信传输的安全性;
(2)创建权限独立信道,保持客户端至服务器之间的二次认证方式,且在上述过程中保持客户端与服务器之间一直保持长连接,直至用户登出或关闭,使得权限请求的输入、输出均受到既定的控制,能够有效避免客户端被伪造,确保了权限请求的可靠性。
附图说明
图1示出了根据本发明的实施例的分布式权限流程分离控制方法的流程示意图;
图2示出了根据本发明的实施例的分布式权限流程分离控制装置的示意框图;
图3示出了根据本发明的实施例的权限独立信道的类别图。
其中,附图中的附图标记所对应的名称为: 第一获取单元21、第二获取单元211、解密单元22、第一传输单元23、自检单元231、第二传输单元232、第三传输单元233、第二生成单元2331、第四传输单元2332、响应单元24、第一生成单元25、加密单元26。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
在本发明实施例的描述中,需要说明的是,指示方位或位置关系为基于附图所示的方位或位置关系,或者是该发明产品使用时惯常摆放的方位或位置关系,或者是本领域技术人员惯常理解的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”仅用于区分描述,而不能理解为指示或暗示相对重要性。
在本发明实施例的描述中,还需要说明的是,除非另有明确的规定和限定,术语“设置”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是直接连接,也可以通过中间媒介间接连接。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义以及实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
本申请的分布式权限流程分离控制方法主要特点在于将权限请求从业务中独立出来,单独进行认证、传输权限数据,这样的传输不再使用常规的请求-响应协议(简称HTTP),也不再其无状态无连接的特性,而是使用安全外壳协议(Secure Shell,缩写为SSH)建立独立的长连接通道,客户端使用信息分级控制(简称webflow)、服务端使用自动化工作流(简称workflow)二者叠加的双重流控方式,确保了权限传输信息通道的安全、可控,在认证方式上,采用用户身份认证前置+权限独立信道前置认证+终端外带认证,有效确保了权限请求的可靠性。
下面结合附图和具体实施例对本发明进行进一步的说明。
如图1所示,一种分布式权限流程分离控制方法,具体包括:
步骤S100,客户端获取用户的身份认证信息,并确认所述身份认证信息匹配成功,所述身份认证信息包括授权用户ID;
步骤S200,所述客户端根据所述身份认证信息从本地列表中获取硬件MAC加密后的请求接口指令,并通过本地MAC进行解密;
步骤S300,所述客户端获取解密后的所述请求接口指令后,将权限访问控制清单传输至客户端与服务器之间建立的权限独立信道内;
步骤S400,服务器通过所述权限独立信道获取当前用户的权限访问控制清单,并根据当前所述授权用户ID寻址路由到的对应的所述权限访问控制清单响应服务。
在具体的实施过程中,在权限独立信道中,通常将信息分为:
输入流/上行(简称请求输入流),用于承担权限请求的正常请求信息流程控制;每一次信息都需要按照定义的步骤执行请求;
响应流/下发(简称响应输出流),用于承载权限请求的返回响应;
再加上请求错误信息输入流(简称请求异常输入流)、错误信息响应流(简称异常响应输出流),一种两类四种流,定义分别为(如图3所示):
请求端验证监听:客户端请求信息监听,只有用户授权的客户端才能被监听;
消息校验核对:验证客户端请求权限的环境;
标准体转化:信息解密,格式转换统一;
寻址路由:按照授权用户ID寻址路由到对应的权限访问控制清单响应服务;
密钥验证:按照授权行为及权限使用规则引擎执行行为安全检查;
通道资源预调:上一步检查通过之后,执行资源可用预调度标记为可用;
请发派发:用户使用之后标记为被使用,并记录使用行为轨迹。
进一步地,所述步骤S100之前还包括:
步骤S001,服务器获取用户的会话ID作为双向通信端点的授权用户ID,所述授权用户ID同步当前客户端硬件ID及有效时间戳缓存至所述服务器的内存中,生成请求接口指令;
步骤S002,客户端接收所述请求接口指令,并通过所述客户端的硬件MAC加密后存储至本地列表。
进一步地,所述步骤S300具体包括:
步骤S310,所述客户端获取解密后的请求接口指令,并根据所述有效时间戳对所述请求接口指令进行自检;
步骤S320,若客户端检测到所述请求接口指令有效,在确认与服务器创建权限独立信道的同时,将所述权限访问控制清单传输至客户端与服务器之间建立的权限独立信道内;
步骤S330,若客户端检测到所述请求接口指令失效,将当前所述请求接口指令与所述硬件MAC加密作为参数发送至服务器进行刷新,获得新的可用请求接口指令,再返回至步骤S320。
进一步地,所述步骤S330具体包括:
步骤S331,若客户端检测到所述请求接口指令失效,将当前所述请求接口指令与所述硬件MAC加密作为参数发送至服务器,生成新的短信验证码,传送至所述客户端;
步骤S332,所述客户端接收到所述短信验证码时,在确认与服务器创建权限独立信道的同时,将所述权限访问控制清单传输至客户端与服务器之间建立的权限独立信道内。
进一步地,所述步骤S100具体包括:
步骤S110,客户端唤起用户登陆窗口,用户登录窗口获取用户输入的用户名、密码信息传递至数据库进行匹配,如果匹配失败,用户登陆窗口将失败信息反馈至客户端并自行关闭,返回步骤S110,若匹配成功,客户端获取用户的身份认证信息;
其中用户的身份认证信息包括授权用户ID。
第二方面,如图2所示,本申请提供了一种分布式权限流程分离控制装置20,具体包括第一获取单元21、解密单元22、第一传输单元23和响应单元24,第一获取单元21,用于客户端获取用户的身份认证信息,并确认所述身份认证信息匹配成功,所述身份认证信息包括授权用户ID;解密单元22,用于所述客户端根据所述身份认证信息从本地列表中获取硬件MAC加密后的请求接口指令,并通过本地MAC进行解密;第一传输单元23,用于所述客户端获取解密后的所述请求接口指令后,将权限访问控制清单传输至客户端与服务器之间建立的权限独立信道内;响应单元24,用于服务器通过所述权限独立信道获取当前用户的权限访问控制清单,并根据当前所述授权用户ID寻址路由到的对应的所述权限访问控制清单响应服务。
进一步地,所述分布式权限流程分离控制装置还包括:第一生成单元25,用于服务器获取用户的会话ID作为双向通信端点的授权用户ID,所述授权用户ID同步当前客户端硬件ID及有效时间戳缓存至所述服务器的内存中,生成请求接口指令;加密单元26,用于客户端接收所述请求接口指令,并通过所述客户端的硬件MAC加密后存储至本地列表。
进一步地,所述第一传输单元23具体包括:自检单元231,用于所述客户端获取解密后的请求接口指令,并根据所述有效时间戳对所述请求接口指令进行自检;第二传输单元232,用于若客户端检测到所述请求接口指令有效,在确认与服务器创建权限独立信道的同时,将所述权限访问控制清单传输至客户端与服务器之间建立的权限独立信道内;第三传输单元233,用于若客户端检测到所述请求接口指令失效,将当前所述请求接口指令与所述硬件MAC加密作为参数发送至服务器进行刷新,获得新的可用请求接口指令,传输至第二传输单元232。
进一步地,所述第三传输单元233具体包括:第二生成单元2331,用于若客户端检测到所述请求接口指令失效,将当前所述请求接口指令与所述硬件MAC加密作为参数发送至服务器,生成新的短信验证码,传送至所述客户端;第四传输单元2332,用于所述客户端接收到所述短信验证码时,在确认与服务器创建权限独立信道的同时,将所述权限访问控制清单传输至客户端与服务器之间建立的权限独立信道内。
进一步地,所述第一获取单元21具体包括第二获取单元211,用于客户端唤起用户登陆窗口,用户登录窗口获取用户输入的用户名、密码信息传递至数据库进行匹配,如果匹配失败,用户登陆窗口将失败信息反馈至客户端并自行关闭,返回步骤S110,若匹配成功,客户端获取用户的身份认证信息;其中用户的身份认证信息包括授权用户ID。
以上结合附图详细说明了本发明的技术方案,本发明的技术方案提出了一种新的分布式权限流程分离控制方法及装置,通过在客户端与服务器之间创建权限独立信道,以供权限请求的传输通道独立于业务信息的传输通道,有效避免了业务信息中安全等级较轻的信息与权限请求共用唯一请求通道时,对权限请求造成的安全隐患,确保了权限通信传输的安全性;创建权限独立信道,保持客户端至服务器之间的二次认证方式,且在上述过程中保持客户端与服务器之间一直保持长连接,直至用户登出或关闭,使得权限请求的输入、输出均受到既定的控制,能够有效避免客户端被伪造,确保了权限请求的可靠性,也提高了客户端与服务器之间的传输环节上的可靠度与安全度。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种分布式权限流程分离控制方法,其特征在于,包括:
步骤S100,客户端获取用户的身份认证信息,并确认所述身份认证信息匹配成功,所述身份认证信息包括授权用户ID;
步骤S200,所述客户端根据所述身份认证信息从本地列表中获取硬件MAC加密后的请求接口指令,并通过本地MAC进行解密;
步骤S300,所述客户端获取解密后的所述请求接口指令后,将权限访问控制清单传输至客户端与服务器之间建立的权限独立信道内;
步骤S400,服务器通过所述权限独立信道获取当前用户的权限访问控制清单,并根据当前所述授权用户ID寻址路由到的对应的所述权限访问控制清单响应服务。
2.根据权利要求1所述的分布式权限流程分离控制方法,其特征在于,所述步骤S100之前还包括:
步骤S001,服务器获取用户的会话ID作为双向通信端点的授权用户ID,所述授权用户ID同步当前客户端硬件ID及有效时间戳缓存至所述服务器的内存中,生成请求接口指令;
步骤S002,客户端接收所述请求接口指令,并通过所述客户端的硬件MAC加密后存储至本地列表。
3.根据权利要求2所述的分布式权限流程分离控制方法,其特征在于,所述步骤S300具体包括:
步骤S310,所述客户端获取解密后的请求接口指令,并根据所述有效时间戳对所述请求接口指令进行自检;
步骤S320,若客户端检测到所述请求接口指令有效,在确认与服务器创建权限独立信道的同时,将所述权限访问控制清单传输至客户端与服务器之间建立的权限独立信道内;
步骤S330,若客户端检测到所述请求接口指令失效,将当前所述请求接口指令与所述硬件MAC加密作为参数发送至服务器进行刷新,获得新的可用请求接口指令,再返回至步骤S320。
4.根据权利要求3所述的分布式权限流程分离控制方法,其特征在于,所述步骤S330具体包括:
步骤S331,若客户端检测到所述请求接口指令失效,将当前所述请求接口指令与所述硬件MAC加密作为参数发送至服务器,生成新的短信验证码,传送至所述客户端;
步骤S332,所述客户端接收到所述短信验证码时,在确认与服务器创建权限独立信道的同时,将所述权限访问控制清单传输至客户端与服务器之间建立的权限独立信道内。
5.根据权利要求1所述的分布式权限流程分离控制方法,其特征在于,所述步骤S100具体包括:
步骤S110,客户端唤起用户登陆窗口,用户登录窗口获取用户输入的用户名、密码信息传递至数据库进行匹配,如果匹配失败,用户登陆窗口将失败信息反馈至客户端并自行关闭,返回步骤S110,若匹配成功,客户端获取用户的身份认证信息;
其中用户的身份认证信息包括授权用户ID。
6.一种分布式权限流程分离控制装置,其特征在于,包括:
第一获取单元,用于客户端获取用户的身份认证信息,并确认所述身份认证信息匹配成功,所述身份认证信息包括授权用户ID;
解密单元,用于所述客户端根据所述身份认证信息从本地列表中获取硬件MAC加密后的请求接口指令,并通过本地MAC进行解密;
第一传输单元,用于所述客户端获取解密后的所述请求接口指令后,将权限访问控制清单传输至客户端与服务器之间建立的权限独立信道内;
响应单元,用于服务器通过所述权限独立信道获取当前用户的权限访问控制清单,并根据当前所述授权用户ID寻址路由到的对应的所述权限访问控制清单响应服务。
7.根据权利要求6所述的分布式权限流程分离控制装置,其特征在于,所述分布式权限流程分离控制装置还包括:
第一生成单元,用于服务器获取用户的会话ID作为双向通信端点的授权用户ID,所述授权用户ID同步当前客户端硬件ID及有效时间戳缓存至所述服务器的内存中,生成请求接口指令;
加密单元,用于客户端接收所述请求接口指令,并通过所述客户端的硬件MAC加密后存储至本地列表。
8.根据权利要求7所述的分布式权限流程分离控制装置,其特征在于,所述第一传输单元具体包括:
自检单元,用于所述客户端获取解密后的请求接口指令,并根据所述有效时间戳对所述请求接口指令进行自检;
第二传输单元,用于若客户端检测到所述请求接口指令有效,在确认与服务器创建权限独立信道的同时,将所述权限访问控制清单传输至客户端与服务器之间建立的权限独立信道内;
第三传输单元,用于若客户端检测到所述请求接口指令失效,将当前所述请求接口指令与所述硬件MAC加密作为参数发送至服务器进行刷新,获得新的可用请求接口指令,传输至第二传输单元。
9.根据权利要求8所述的分布式权限流程分离控制装置,其特征在于,所述第三传输单元具体包括:
第二生成单元,用于若客户端检测到所述请求接口指令失效,将当前所述请求接口指令与所述硬件MAC加密作为参数发送至服务器,生成新的短信验证码,传送至所述客户端;
第四传输单元,用于所述客户端接收到所述短信验证码时,在确认与服务器创建权限独立信道的同时,将所述权限访问控制清单传输至客户端与服务器之间建立的权限独立信道内。
10.根据权利要求6所述的分布式权限流程分离控制装置,其特征在于,所述第一获取单元具体包括:
第二获取单元,用于客户端唤起用户登陆窗口,用户登录窗口获取用户输入的用户名、密码信息传递至数据库进行匹配,如果匹配失败,用户登陆窗口将失败信息反馈至客户端并自行关闭,若匹配成功,客户端获取用户的身份认证信息;
其中用户的身份认证信息包括授权用户ID。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011242635.4A CN112104668B (zh) | 2020-11-10 | 2020-11-10 | 一种分布式权限流程分离控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011242635.4A CN112104668B (zh) | 2020-11-10 | 2020-11-10 | 一种分布式权限流程分离控制方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112104668A true CN112104668A (zh) | 2020-12-18 |
| CN112104668B CN112104668B (zh) | 2021-02-05 |
Family
ID=73785131
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011242635.4A Active CN112104668B (zh) | 2020-11-10 | 2020-11-10 | 一种分布式权限流程分离控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112104668B (zh) |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102571873A (zh) * | 2010-12-31 | 2012-07-11 | 上海可鲁系统软件有限公司 | 一种分布式系统中的双向安全审计方法及装置 |
| CN103023656A (zh) * | 2012-12-17 | 2013-04-03 | 北京普泽天玑数据技术有限公司 | 一种分布式顺序表权限控制方法及其系统 |
| CN104394141A (zh) * | 2014-11-21 | 2015-03-04 | 南京邮电大学 | 一种基于分布式文件系统的统一认证方法 |
| CN105303113A (zh) * | 2014-06-23 | 2016-02-03 | 威尔奇·伊沃 | 一种身份防窃取方法和硬件数据库设备 |
| US20160036862A1 (en) * | 2007-08-28 | 2016-02-04 | Cisco Technology, Inc. | Highly Scalable Architecture for Application Network Appliances |
| CN106165367A (zh) * | 2014-12-31 | 2016-11-23 | 华为技术有限公司 | 一种存储装置的访问控制方法、存储装置以及控制系统 |
| EP3262783A1 (en) * | 2015-11-27 | 2018-01-03 | Hewlett-Packard Enterprise Development LP | Distribution and verification of transaction integrity keys |
| CN108769007A (zh) * | 2018-05-28 | 2018-11-06 | 上海顺舟智能科技股份有限公司 | 网关安全认证方法、服务器及网关 |
| CN108881327A (zh) * | 2018-09-29 | 2018-11-23 | 德州职业技术学院(德州市技师学院) | 一种基于云计算的计算机互联网信息安全控制系统 |
| CN109768965A (zh) * | 2018-12-14 | 2019-05-17 | 广州华多网络科技有限公司 | 一种服务器的登录方法、设备及存储装置 |
| US20190165951A1 (en) * | 2017-11-30 | 2019-05-30 | Booz Allen Hamilton Inc. | System and method for issuing a certificate to permit access to information |
| CN111510461A (zh) * | 2020-04-26 | 2020-08-07 | 成都安恒信息技术有限公司 | 一种web应用集中发布权限管理系统及方法 |
| CN111756752A (zh) * | 2020-06-24 | 2020-10-09 | 北京金山云网络技术有限公司 | 对数据库的访问权限的控制方法、装置及电子设备 |
-
2020
- 2020-11-10 CN CN202011242635.4A patent/CN112104668B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160036862A1 (en) * | 2007-08-28 | 2016-02-04 | Cisco Technology, Inc. | Highly Scalable Architecture for Application Network Appliances |
| CN102571873A (zh) * | 2010-12-31 | 2012-07-11 | 上海可鲁系统软件有限公司 | 一种分布式系统中的双向安全审计方法及装置 |
| CN103023656A (zh) * | 2012-12-17 | 2013-04-03 | 北京普泽天玑数据技术有限公司 | 一种分布式顺序表权限控制方法及其系统 |
| CN105303113A (zh) * | 2014-06-23 | 2016-02-03 | 威尔奇·伊沃 | 一种身份防窃取方法和硬件数据库设备 |
| CN104394141A (zh) * | 2014-11-21 | 2015-03-04 | 南京邮电大学 | 一种基于分布式文件系统的统一认证方法 |
| CN106165367A (zh) * | 2014-12-31 | 2016-11-23 | 华为技术有限公司 | 一种存储装置的访问控制方法、存储装置以及控制系统 |
| EP3262783A1 (en) * | 2015-11-27 | 2018-01-03 | Hewlett-Packard Enterprise Development LP | Distribution and verification of transaction integrity keys |
| US20190165951A1 (en) * | 2017-11-30 | 2019-05-30 | Booz Allen Hamilton Inc. | System and method for issuing a certificate to permit access to information |
| CN108769007A (zh) * | 2018-05-28 | 2018-11-06 | 上海顺舟智能科技股份有限公司 | 网关安全认证方法、服务器及网关 |
| CN108881327A (zh) * | 2018-09-29 | 2018-11-23 | 德州职业技术学院(德州市技师学院) | 一种基于云计算的计算机互联网信息安全控制系统 |
| CN109768965A (zh) * | 2018-12-14 | 2019-05-17 | 广州华多网络科技有限公司 | 一种服务器的登录方法、设备及存储装置 |
| CN111510461A (zh) * | 2020-04-26 | 2020-08-07 | 成都安恒信息技术有限公司 | 一种web应用集中发布权限管理系统及方法 |
| CN111756752A (zh) * | 2020-06-24 | 2020-10-09 | 北京金山云网络技术有限公司 | 对数据库的访问权限的控制方法、装置及电子设备 |
Non-Patent Citations (3)
| Title |
|---|
| YUANCHAO SHU;YU JASON GU: ""Dynamic Authentication with Sensory Information for the Access Control Systems"", 《IEEE TRANSACTIONS ON PARALLEL AND DISTRIBUTED SYSTEMS》 * |
| 张丹丹: ""基于SSH的B/S应用程序权限控制研究与应用"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
| 牛颖: ""面向融合网络的多层次认证统一登录系统的设计与实现"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112104668B (zh) | 2021-02-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107659406B (zh) | 一种资源操作方法及装置 | |
| CN111799867B (zh) | 一种充电设备与充电管理平台间的互信认证方法及系统 | |
| JP6612358B2 (ja) | ネットワークアクセスデバイスをワイヤレスネットワークアクセスポイントにアクセスさせるための方法、ネットワークアクセスデバイス、アプリケーションサーバ、および不揮発性コンピュータ可読記憶媒体 | |
| US9894046B2 (en) | Handling expired passwords | |
| EP1748594B1 (en) | Method for realizing transmission of syncml synchronous data | |
| KR101819556B1 (ko) | 클라우드 컴퓨팅 시스템에서 패밀리 클라우드를 지원하기 위한 장치 및 방법 | |
| JP6145806B2 (ja) | 即時通信方法及びシステム | |
| JP2005102163A (ja) | 機器認証システム、機器認証サーバ、端末機器、機器認証方法、機器認証プログラム、及び記憶媒体 | |
| CN102082796A (zh) | 一种基于http的信道加密方法、信道简化加密方法及系统 | |
| JP2021511743A (ja) | Iotサービスを実施するための方法、アプリケーションサーバ、iot装置および媒体 | |
| CN101567878A (zh) | 提高网络身份认证安全性的方法和装置 | |
| JP4013175B2 (ja) | ユーザの簡易認証方法、認証サーバ、およびそのためのプログラムを格納した記録媒体 | |
| CN113872940B (zh) | 基于NC-Link的访问控制方法、装置及设备 | |
| JPH10242957A (ja) | ユーザ認証方法およびシステムおよびユーザ認証用記憶媒体 | |
| CN107135228B (zh) | 一种基于中心节点的认证系统与认证方法 | |
| CN112104668B (zh) | 一种分布式权限流程分离控制方法及装置 | |
| CN113965425A (zh) | 物联网设备的接入方法、装置、设备及计算机可读存储介质 | |
| JP3914193B2 (ja) | 認証を得て暗号通信を行う方法、認証システムおよび方法 | |
| US9532215B2 (en) | Secure deployment of terminals in a wireless network | |
| KR20050033255A (ko) | 무선 인터넷 사용자 인증 방법 및 시스템 | |
| US7852782B2 (en) | Method of creating a split terminal between a base terminal and equipments connected in series | |
| KR101886367B1 (ko) | 사물 간 통신 네트워크에서의 기기 개별 세션키 생성 및 이를 이용한 기기 간의 암호화 및 복호화 기능 검증 방법 | |
| KR20020041857A (ko) | 공개키 기반구조에서 개인키 이동과 로밍서비스를 위한이중암호화 및 송/수신방법 | |
| JP2005327315A (ja) | クライアントとサーバ間の簡易認証方法 | |
| CN114531235B (zh) | 一种端对端加密的通信方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |