一种适用于高安全性业务系统的鉴权管理方法和系统技术方案

一种适用于高安全性业务系统的鉴权管理方法：包括，定义业务系统与鉴权管理系统通讯接口之间的通讯协议，构建读取程序；获取接入业务系统的用户设备终端信息；验证设备终端信息的合法性，如果合法，则将设备终端信息返回至业务系统，否则不允许访问；业务系统将用户登录信息发送给鉴权管理系统；鉴权管理系统验证用户登录信息的合法性，并生成一个唯一会话ID，将该唯一会话ID发送给业务系统；用户在业务系统中申请功能点，业务系统将该用户申请的功能点以及唯一会话ID发送给鉴权管理系统；鉴权管理系统进行功能点权限判断，并将是否具有使用功能点权限判断结果返回至业务系统，用户退出，鉴权管理系统删除通讯会话ID。

【技术实现步骤摘要】
一种适用于高安全性业务系统的鉴权管理方法和系统
本专利技术涉及一种鉴权管理方法和系统，特别是涉及应用于高安全业务系统中的鉴权管理方法和系统。
技术介绍
信息技术的发展改变了人们的生活方式，特别是互联网技术的高度快速发展彻底改变了人类的生活生产方式。但随之而来的是，信息技术所产生的各种业务系统服务的安全性也受到了前所未有的挑战。为了提供更加安全的服务，每一个业务系统均都设置鉴权管理系统，对用户的登录信息加以甄别，但现有技术中这种每一个业务系统都需要自己实现一套用户账号管理，且各个业务系统间的用户账号都是相互独立的，非常不利于统一管理，现有的鉴权管理系统并没有对每一个操作功能点进行独立的权限划分，大多数都只是用到了角色去控制操作的权限，不能做到根据用户所需动态的分配角色权限，各个业务系统的权限控制都有自己的一套策略和标准，不利于统一的配置与管理。另外，由于各个业务系统用户账号的独立性，并不能做到不同业务系统间的单点登录功能。此外，对于高安全性要求的业务系统，现有的鉴权管理系统对一个操作只做了单个用户的单角色判断，不能满足安全上的多角色验证的高级认证要求，且现有的鉴权管理系统并没有对登录系统所用的诸如计算机等终端设备做安全上的甄别及限制，使得此类业务系统处于较高的攻击风险中。因此，亟待开发一种整合多个业务系统的高安全性能的鉴权管理系统，使得用户可以安全的单点登录多个业务系统，业务系统角色可以动态分配，高效整合各个业务系统的登录甄别策略等信息，为高效安全的业务系统用户提供鉴权服务。
技术实现思路
一种适用于高安全性业务系统的鉴权管理方法：所述方法包括以下步骤：定义业务系统与鉴权管理系统通讯接口之间的通讯协议，并构建业务系统与鉴权管理系统接口之间的读取程序；鉴权管理系统获取接入业务系统的用户设备终端信息；鉴权管理系统验证所述设备终端信息的合法性，如果合法，则将设备终端信息返回至业务系统，否则不允许访问；业务系统根据鉴权管理系统发送来的设备终端信息提示用户输入用户登陆信息，并将用户登录信息发送给鉴权管理系统；鉴权管理系统验证用户登录信息的合法性，并生成一个唯一会话ID，且鉴权管理系统将该唯一会话ID发送给业务系统；用户在业务系统中申请功能点，业务系统将该用户申请的功能点以及唯一会话ID发送给鉴权管理系统；步骤7：鉴权管理系统根据步骤6中业务系统发送过来的功能点请求和唯一会话进行功能点权限判断，并将是否具有使用功能点权限判断结果返回至业务系统；用户使用业务系统完成作业并退出，业务系统向鉴权管理系统发送唯一会话ID以及退出请求；鉴权管理系统根据步骤8中发送来的唯一会话ID解除鉴权管理系统以及业务系统的通讯并删除通讯会话ID。在步骤2中还包括：采用鉴权管理系统的授权程序来读取设备终端信息，该设备终端信息是验证设备终端合法性的唯一标识；且高安全业务系统包括生产环境使用的业务系统，支付管理平台。其中的设备终端信息包括：IP地址、MAC地址；设备终端包括：计算机或移动通讯设备。在步骤2之前，还包括，在鉴权管理系统中注册该设备终端信息。在步骤4之前，还包括：用户需先在鉴权管理系统注册验证成为合法用户。在步骤4中还包括：鉴权管理系统对用户登录信息做验证，并判断用户是否有可用的业务系统，如果没有可用的业务系统，则提示被注销的用户并退出；否则允许该用户进行访问；且该用户登录信息包括：用户名、密码、刷用户卡。在步骤5中还包括：不同的业务系统是通过系统code区分的，每个业务系统都有一个系统code以及对应的系统实例，用户登录业务系统时，鉴权管理系统端获取用户所登录业务系统的系统code，在鉴权管理系统的管理端根据该系统code验证用户是否有该业务系统的登录权限，如果用户没有登录权限，则不允许用户登录，否则用户访问鉴权管理系统进行通讯。在步骤6中还包括：将每一个操作独立成为一项功能点，鉴权管理系统任意组合功能点并把功能点组合权限赋予一个角色，由角色动态分配功能点权限给用户；通过这种方式，角色被动态的管理；且各个业务系统都有自己独立的一套角色及用户角色关系，在逻辑上各个业务系统的权限管理是互相独立的。各个业务系统的功能点关联到模块，不同业务系统的模块可以重用，并统一管理各个模块的功能点。此外，通过将各个业务系统整合实现权限策略及标准的统一配置和管理，且不同业务系统间还能单点登录。在步骤7中还包括：鉴权管理系统对功能点权限判断时，如果用户没有足够权限，需要第二用户加权进行双人认证，第二用户需要输入用户名和密码并刷用户卡进行加权验证判断，当判断有足够的权限后用户才可以使用申请的功能点。本专利技术还提供一种适用于高安全性业务系统的鉴权管理系统：其包括：多个通讯接口，鉴权管理系统通过该多个通讯接口与业务系统进行通讯会话；读取模块：鉴权管理系统通过该读取模块获取接入业务系统的用户设备终端信息；终端信息合法性判断模块：鉴权管理系统通过该终端信息合法性判断模块验证所述设备终端信息的合法性，如果合法，则将设备终端信息返回至业务系统，否则不允许访问；验证用户登录信息合法性模块：鉴权管理系统通过验证用户登录信息合法性模块验证用户登录信息的合法性，并生成一个唯一会话ID，且鉴权管理系统将该唯一会话ID发送给业务系统；功能点权限判断模块：鉴权管理系统功能点权限判断模块将业务系统发送的功能点访问请求和唯一会话进行功能点权限判断，并将是否具有使用功能点权限判断结果返回至业务系统；退出及删除模块：用户使用业务系统完成作业并退出，业务系统向鉴权管理系统发送唯一会话ID以及退出请求；鉴权管理系统退出及删除模块根据业务系统发送来的唯一会话ID解除鉴权管理系统与业务系统之间的通讯并删除该唯一会话ID；另外，业务系统包括：生成用户登录信息模块：业务系统根据鉴权管理系统发送来的设备终端信息提示用户输入用户登陆信息，生成用户登录信息并将该用户登录信息发送给鉴权管理系统；多个功能点，用户可以在业务系统中申请功能点权限访问，业务系统将该用户申请的功能点以及唯一会话ID发送给鉴权管理系统。相对于现有技术，本专利技术具有以下优点：本专利技术所述鉴权管理系统及其方法可以实现一个独立的鉴权管理系统的一个用户账号管理多套业务系统，在此情况下，即使是需要新增账号，也无需再次回到各个业务系统去新增，删除也同理；由于能够提供给业务系统一个统一标准的通讯管理模块接口做集成，将用户登录、权限判断等操作都整合到本专利技术的鉴权管理系统中去，所以各个业务系统只需把关注的重点放在自己的业务逻辑上即可；将每一个操作独立成为一项功能点，再由鉴权系统管理员把任意多个功能点权限赋予一个角色，并通过角色分配给用户账号，以实现角色的动态管理功能；各个业务系统都有自己独立的一套角色及用户角色关系，在逻辑上各个业务系统的权限管理是互相独立的；各个业务系统的功能点关联到模块(该模块可以是一个具体动态库或一组可重用的代码集合)，不同业务系统的模块可以重用，如此可以统一管理各个模块的功能点；将各个业务系统集成起来，可以做到权限策略及标准上的统一配置和管理，并且可以实现不同业务系统间的单点登录功能；另外，采用用户名和密码，再加上刷用户卡验证方式登录；此外，验证要登录使用的终端设备，如果是非法设备则可以做到拒绝其登录使用业务系统；使用双角色分配给本文档来自技高网...

【技术保护点】
一种适用于高安全性业务系统的鉴权管理方法：其特征在于：所述方法包括以下步骤：步骤1：定义业务系统与鉴权管理系统通讯接口之间的通讯协议，并构建业务系统与鉴权管理系统接口之间的读取程序；步骤2：鉴权管理系统获取接入业务系统的用户设备终端信息；步骤3：鉴权管理系统验证所述设备终端信息的合法性，如果合法，则将设备终端信息返回至业务系统，否则不允许访问；步骤4：业务系统根据鉴权管理系统发送来的设备终端信息提示用户输入用户登陆信息，并将用户登录信息发送给鉴权管理系统；步骤5：鉴权管理系统验证用户登录信息的合法性，并生成一个唯一会话ID，且鉴权管理系统将该唯一会话ID发送给业务系统；步骤6：用户在业务系统中申请功能点，业务系统将该用户申请的功能点以及唯一会话ID发送给鉴权管理系统；步骤7：鉴权管理系统根据步骤6中业务系统发送过来的功能点请求和唯一会话ID进行功能点权限判断，并将是否具有使用功能点权限判断结果返回至业务系统；步骤8：用户使用业务系统完成作业并退出，业务系统向鉴权管理系统发送唯一会话ID以及退出请求；步骤9：鉴权管理系统根据步骤8中发送来的唯一会话ID解除鉴权管理系统以及业务系统的通讯并删除通讯会话ID。...

【技术特征摘要】
1.一种适用于高安全性业务系统的鉴权管理方法：其特征在于：所述方法包括以下步骤：步骤1：定义业务系统与鉴权管理系统通讯接口之间的通讯协议，并构建业务系统与鉴权管理系统接口之间的读取程序；步骤2：鉴权管理系统获取接入业务系统的用户设备终端信息；步骤3：鉴权管理系统验证所述设备终端信息的合法性，如果合法，则将设备终端信息返回至业务系统，否则不允许访问；步骤4：业务系统根据鉴权管理系统发送来的设备终端信息提示用户输入用户登陆信息，并将用户登录信息发送给鉴权管理系统；步骤5：鉴权管理系统验证用户登录信息的合法性，并生成一个唯一会话ID，且鉴权管理系统将该唯一会话ID发送给业务系统；步骤6：用户在业务系统中申请功能点，业务系统将该用户申请的功能点以及唯一会话ID发送给鉴权管理系统；步骤7：鉴权管理系统根据步骤6中业务系统发送过来的功能点请求和唯一会话ID进行功能点权限判断，并将是否具有使用功能点权限判断结果返回至业务系统；步骤8：用户使用业务系统完成作业并退出，业务系统向鉴权管理系统发送唯一会话ID以及退出请求；步骤9：鉴权管理系统根据步骤8中发送来的唯一会话ID解除鉴权管理系统以及业务系统的通讯并删除唯一会话ID。2.根据权利要求1所述方法，其特征在于：在步骤2中还包括：采用鉴权管理系统的授权程序来读取设备终端信息，该设备终端信息是验证设备终端合法性的唯一标识；且高安全业务系统包括生产环境使用的业务系统，支付管理平台。3.根据权利要求1所述方法，其特征在于：其中的设备终端信息包括：IP地址、MAC地址；设备终端包括：计算机或移动通讯设备。4.根据权利要求1所述方法，其特征在于：在步骤2之前，还包括，在鉴权管理系统中注册该设备终端信息；在步骤4之前，还包括：用户需先在鉴权管理系统注册验证成为合法用户。5.根据权利要求1所述方法，其特征在于：在步骤4中还包括：鉴权管理系统对用户登录信息做验证，并判断用户是否有可用的业务系统，如果没有可用的业务系统，则提示被注销的用户并退出；否则允许该用户进行访问；且该用户登录信息包括：用户名、密码、刷用户卡。6.根据权利要求1所述方法，其特征在于：在步骤5中还包括：不同的业务系统是通过系统code区分的，每个业务系统都有一个系统code以及对应的系统实例，用户登录业务系统时，鉴权管理系统端获取用户所登录业务系统的系统code，在鉴权管理系统的管理端根据该系统code验证用户是否有该业务系统的登...

【专利技术属性】
技术研发人员：黄小鹏，范绍强，柳晓明，刘政伟，陈锦龙，
申请(专利权)人：东信和平科技股份有限公司，
类型：发明
国别省市：广东;44