一种身份加强认证和鉴权方法及装置制造方法及图纸

本发明专利技术公开了一种身份加强认证和鉴权方法及装置，该方法包括：在目标网站访问入口部署安全网关，通过加密通信获取目标网站的访问请求；利用所述安全网关对申请访问的请求人进行身份信息和权限校验；记录所述访问请求行为，并格式化输出行为规则；对所述请求访问的内容进行合法性判断，对非法内容进行报警并终止访问。通过在目标网站访问入口部署安全网关，在PC客户端上部署安全认证证书，采用安全网站校验证书和证书身份权限标识的方式，实现在企业不改变网络结构及业务系统代码情况下，对员工客户端身份对目标业务系统的访问权限控制，有效弥补采用传统基于用户名/密码方式登录在认证等安全方面的不足，有效提高企业信息安全。

A Method and Device for Identity Enhanced Authentication and Authentication

The invention discloses an identity enhancement authentication and authentication method and device, which includes: deploying a security gateway at the access entrance of the target website, obtaining access request of the target website through encrypted communication, verifying identity information and authority of the requester applying for access by the security gateway, recording the access request behavior, and formatting the output behavior rules; and The content of the request for access is judged legally, the illegal content is alarmed and the access is terminated. By deploying the security gateway at the access entrance of the target website, deploying the security authentication certificate on the PC client, using the way of proofreading the certificate and identifying the certificate authority, the access authority control of the employee client identity to the target business system can be realized without changing the network structure and business system code of the enterprise, which effectively compensates for the traditional user name/secret-based access control. Code login is insufficient in security such as authentication, which effectively improves enterprise information security.

【技术实现步骤摘要】
一种身份加强认证和鉴权方法及装置
本专利技术涉及企业信息安全
，具体地说，是一种身份加强认证和鉴权方法及装置。
技术介绍
传统基于账号和密码登陆认证的业务系统存在极大的安全隐患，可能会由于个人员工设置了弱口令、口令无意丢失、以及黑客攻击等缺陷导致目标业务系统的数据面临泄露的安全隐患。另一方面，基于普通的密码登陆系统无有效审计手段，员工行为操作对该类系统的运营都存在很大风险，且业务系统如果直接暴露在互联网也存在很大的黑客攻击风险。
技术实现思路
本专利技术的目的是针对现有技术中使用账号密码登录方式访问企业业务系统存在信息安全隐患的问题，提供一种身份加强认证和鉴权方法及装置，通过在目标网站访问入口部署安全网关，在PC客户端上部署安全认证证书，采用安全网站校验证书和证书身份权限标识的方式，实现在企业不改变网络结构及业务系统代码情况下，对员工客户端身份对目标业务系统的访问权限控制，有效弥补采用传统基于用户名/密码方式登录在认证等安全方面的不足，有效提高企业信息安全。第一方面，本专利技术实施例提供一种身份加强认证和鉴权方法，包括：获取目标网站的访问请求；利用所述安全网关对申请访问的请求人进行身份信息和权限校验，如果校验不通过，则禁止访问，如果校验通过，则允许访问目标网站；记录所述访问请求行为，并格式化输出行为规则；对所述请求访问的内容进行合法性判断，对非法内容进行报警并终止访问。进一步地，所述获取目标网站的访问请求，包括：获取申请访问目标网站的请求人身份信息；根据所述请求人身份信息返回安全网关的公钥证书；通过判断所述公钥证书的有效性，验证请求访问的所述目标网站是否合法；如果所述公钥证书有效，则合法验证通过，建立加密通信；否则，合法验证不通过，终止通信。进一步地，所述请求人身份信息与所述安全网关的公钥证书包含有相互对应的信息，其中所述请求人身份信息包括用于识别请求人身份的：员工ID、邮箱、姓名、安全认证证书协议版本号、加密算法种类和随机数；所述安全网关的公钥证书包括用于访问网站信息的：安全认证证书协议版本号、加密算法种类、随机数和安全网关的通信证书。进一步地，所述建立加密通信，包括：获取请求人的安全认证证书和权限标识；根据所述安全认证证书和权限标识进行权限鉴定，如果所述安全认证证书有效，并且具备访问目标网站的权限，则获得访问公钥；选择对称加密方案，利用所述公钥对所述对称加密方案进行加密，生成对称加密方案的密文；根据所述对称加密方案的密文获取私钥；利用所述私钥对所述对称加密方案的密文进行解密生成随机码作为通信加密过程中的密钥；利用所述安全网关的公钥证书对所述通信加密过程中的密钥进行加密。进一步地，所述获取目标网站的访问请求，包括：通过所述安全网关接收请求访问目标网站的申请信息；利用安全网关的私钥对所述申请信息进行解密，获取所述通信加密过程中的密钥；利用所述密钥对通信过程进行对称加密。进一步地，所述利用所述安全网关对申请访问的请求人进行身份信息和权限校验，包括：校验所述请求人的身份信息是否有误，身份信息有误的请求人禁止访问目标网站；校验所述请求人的身份信息所对应的安全认证证书是否过期，安全认证证书已过期的请求人禁止访问目标网站。进一步地，所述对所述请求访问的内容进行合法性判断，包括：采用基于语义的分析，判断所述请求访问的内容是否具有攻击行为，如果请求访问的内容涉及攻击行为，则视为非法内容；如果请求访问的内容不具有攻击行为，则视为安全访问内容。进一步地，所述在目标网站访问入口部署安全网关之前，还包括：针对每一个身份信息分别生成安全认证证书和访问目标网站的权限；根据所述安全认证证书和访问目标网站的权限生成用于安装在客户端的数字证书。第二方面，本专利技术实施例提供一种身份加强认证和鉴权装置，包括：获取模块，用于获取目标网站的访问请求；校验模块，用于利用所述安全网关对申请访问的请求人进行身份信息和权限校验；行为审计模块，用于记录所述访问请求行为，并格式化输出行为规则；安全防护模块，用于对所述请求访问的内容进行合法性判断，对非法内容进行报警并终止访问。进一步地，所述获取模块包括：认证单元、鉴权单元和通信加密单元，所述认证单元，用于执行如下步骤：获取申请访问目标网站的请求人身份信息；根据所述请求人身份信息返回安全网关的公钥证书；通过判断所述公钥证书的有效性，验证请求访问的所述目标网站是否合法；如果所述公钥证书有效，则合法验证通过，建立加密通信；否则，合法验证不通过，终止通信；所述鉴权单元，用于执行如下步骤：获取请求人的安全认证证书和权限标识；根据所述安全认证证书和权限标识进行权限鉴定，如果所述安全认证证书有效，并且具备访问目标网站的权限，则获得访问公钥；所述通信加密单元，用于建立加密通信获取所述目标网站的访问请求。本专利技术优点在于：1、本专利技术通过在目标网站访问入口部署安全网关，在PC客户端上部署安全认证证书，采用安全网站校验证书和证书身份权限标识的方式，实现在企业不改变网络结构及业务系统代码情况下，对员工客户端身份对目标业务系统的访问权限控制，有效弥补采用传统基于用户名/密码方式登录在认证等安全方面的不足，提高企业信息安全管理效率。2、本专利技术设有加密通信、身份认证、身份鉴权、行为审计、安全防护等一系列功能，各功能模块通过协同工作和逻辑判断，仅允许授权且合法的身份信息流量通过安全网关访问目的应用，拒绝未经授权和非法身份的网络请求；并且本专利技术安全网关的部署兼容性强，可适用于传统PC和移动终端，极大的方便企业信息安全管理。3、附图说明为能更清楚理解本专利技术的目的、特点和优点，以下将结合附图对本专利技术的较佳实施例进行详细描述，其中：图1为本专利技术实施例中一种身份加强认证和鉴权方法实施例一的流程示意图；图2为本专利技术实施例中一种身份加强认证和鉴权方法实施例二的流程示意图；图3为本专利技术实施例中一种身份加强认证和鉴权装置实施例一的框架示意图；图4为本专利技术实施例中一种身份加强认证和鉴权装置实施例二的框架示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。需要说明的是，本专利技术各实施例中各步骤之间的顺序是可以调整的，不是必须按照以下举例的顺序执行。图1为本专利技术实施例中一种身份加强认证和鉴权方法实施例一的流程示意图，本实施例提供的一种身份加强认证和鉴权方法可以由一种身份加强认证和鉴权装置来执行，该装置可以实现为软件，或者实现为软件和硬件的组合，该装置可以集成设置在企业信息管理系统的应用程序和客户端所在的设备中，比如服务器中。如图1所示，一种身份加强认证和鉴权方法，包括如下步骤：101.信获取目标网站的访问请求。102.利用所述安全网关对申请访问的请求人进行身份信息和权限校验，如果校验不通过，则禁止访问，如果校验通过，则允许访问目标网站。103.记录所述访问请求行为，并格式化输出行为规则。104.对所述请求访问的内容进行合法性判断，对非法内容进行报警并终止访问。本实施例中提供的一种身份加强认证和鉴本文档来自技高网...

【技术保护点】
1.一种身份加强认证和鉴权方法，其特征在于，包括：获取目标网站的访问请求；利用所述安全网关对申请访问的请求人进行身份信息和权限校验，如果校验不通过，则禁止访问，如果校验通过，则允许访问目标网站；记录所述访问请求行为，并格式化输出行为规则；对所述请求访问的内容进行合法性判断，对非法内容进行报警并终止访问。

【技术特征摘要】
1.一种身份加强认证和鉴权方法，其特征在于，包括：获取目标网站的访问请求；利用所述安全网关对申请访问的请求人进行身份信息和权限校验，如果校验不通过，则禁止访问，如果校验通过，则允许访问目标网站；记录所述访问请求行为，并格式化输出行为规则；对所述请求访问的内容进行合法性判断，对非法内容进行报警并终止访问。2.根据权利要求1所述的一种身份加强认证和鉴权方法，其特征在于，所述获取目标网站的访问请求，包括：获取申请访问目标网站的请求人身份信息；根据所述请求人身份信息返回安全网关的公钥证书；通过判断所述公钥证书的有效性，验证请求访问的所述目标网站是否合法；如果所述公钥证书有效，则合法验证通过，建立加密通信；否则，合法验证不通过，终止通信。3.根据权利要求2所述的一种身份加强认证和鉴权方法，其特征在于，所述请求人身份信息与所述安全网关的公钥证书包含有相互对应的信息，其中所述请求人身份信息包括用于识别请求人身份的：员工ID、邮箱、姓名、安全认证证书协议版本号、加密算法种类和随机数；所述安全网关的公钥证书包括用于访问网站信息的：安全认证证书协议版本号、加密算法种类、随机数和安全网关的通信证书。4.根据权利要求2所述的一种身份加强认证和鉴权方法，其特征在于，所述建立加密通信，包括：获取请求人的安全认证证书和权限标识；根据所述安全认证证书和权限标识进行权限鉴定，如果所述安全认证证书具备访问目标网站的权限，则获得访问公钥；利用所述访问公钥给对称加密方案进行加密，生成对称加密方案的密文；根据所述对称加密方案的密文获取私钥；利用所述私钥对所述对称加密方案的密文进行解密生成随机码作为通信加密过程中的密钥；利用所述安全网关的公钥证书对所述通信加密过程中的密钥进行加密。5.根据权利要求2所述的一种身份加强认证和鉴权方法，其特征在于，所述获取目标网站的访问请求，还包括：通过所述安全网关接收请求访问目标网站的申请信息；利用安全网关的私钥对所述申请信息进行解密，获取所述通信加密过程中的密钥；利用所述密钥对通信过程进行对称加密。6.根据权利要求...

【专利技术属性】
技术研发人员：黄瀚，
申请(专利权)人：杭州恩牛网络技术有限公司，
类型：发明
国别省市：浙江,33