本发明专利技术公开了一种认证逻辑可自定义的信息系统账号安全认证的方法,包括如下步骤:第一步,认证源验证:当信息系统账号安全认证平台收到认证源客户端认证请求的信息时,对认证源客户端进行验证;第二步,账号安全基线检测:信息系统账号安全认证平台检测用户账号密码是否符合要求;第三步,认证数据源认证:信息系统账号安全认证平台将去对应指定的数据源比对账号密码信息是否符合;第四步,认证记录与审计:在以上步骤都成功通过的情况下,信息系统账号安全认证平台会发出一个接入允许响应,表示该用户请求是认证通过的。本发明专利技术将所有信息系统认证方式从落后的本地认证体系升级为先进的统一认证方式,统一了账号信息,减少企业账号安全风险。
A Customizable Information System Account Security Authentication Platform with Authentication Logic
【技术实现步骤摘要】
一种认证逻辑可自定义的信息系统账号安全认证平台
本专利技术属于信息系统安全认证
,涉及一种认证逻辑可自定义的信息系统账号安全认证的方法,特别是涉及适用于信息系统架构较为复杂的大型机构,基于认证逻辑可自定义的信息系统账号安全认证的方法。
技术介绍
大型企业机构在信息化建设过程中都统一存在多套账号体系。因为各种历史原因,这些账号体系无法统一进行身份认证,造成大量新建的信息系统;WiFi、VPN认证等需要另起一套独立的系统账号体系。作为企业机构员工,需要记住每个系统的账号密码用于工作需要。这将造成用户疲于维护各类账号密码,为企业信息化的快速推广应用造成障碍,这个孤岛式的独立账号认证体系由于安全基线标准存在高低不一的情况,也为账号安全埋下了祸根。因此,如何解决上述现有技术存在的缺陷成为了该领域技术人员努力的方向。
技术实现思路
本专利技术的目的在于:结合大型企业机构在构架统一身份认证平台在建设期间,各个用户身份数据库系统不统一的问题,只能使用本地数据库认证的方式,认证逻辑呆板无法自编辑自定义的问题,提供一种认证逻辑可自定义的信息系统账号安全认证的方法,从而能完全解决上述现有技术的不足之处。本专利技术的目的通过下述技术方案来实现:一种认证逻辑可自定义的信息系统账号安全认证的方法,包括信息系统账号安全认证平台,信息系统账号安全认证平台包括认证源验证模块、账号安全基线检测模块、认证数据源认证模块和认证记录与审计模块。信息系统账号安全认证平台通过标准认证协议与企业信息系统相连,信息系统账号安全认证平台通过POP3协议与企业邮箱用户数据库源相连,信息系统账号安全认证平台通过LDAP协议与企业ERP用户数据库源相连,信息系统账号安全认证平台通过通过HTTP协议与人力资源数据库源相连。该信息系统账号安全认证平台可根据用户自身实际需求,自编辑认证数据源,如企业ERP用户数据库源、企业邮箱用户数据库源或企业人力资源数据库源等;自定义账号安全认证逻辑,如弱密码不予认证通过;长时间为改密不予认证通过或短时间多次认证失败后不予认证通过等,将所有信息系统认证方式从落后的本地认证体系升级为先进的统一认证方式。所述信息系统账号安全认证方法包括如下步骤:第一步,认证源验证:当信息系统账号安全认证平台收到认证源客户端认证请求的信息时,对认证源客户端进行验证;首先查验该认证源客户端的IP地址是否在平台上备案,如未备案将拒绝该客户端的认证请求,若查验到认证源客户端的IP地址在平台上备案,则进一步验证该客户端所提交的预置共享密钥是否与平台一致,如不一致,将拒绝该客户端的认证请求;如符合,则进入下一步;第二步,账号安全基线检测:信息系统账号安全认证平台检测用户账号密码是否符合要求;如不符合,信息系统账号安全认证平台发出一个接入拒绝的响应,表示该用户请求是无效的;同时在接入拒绝响应中,插入包含安全策略不符合的原因因素的文本消息,该文本消息通过客户端显示给用户;如符合,则进入下一步;第三步,认证数据源认证:用户根据自身实际需求编辑认证数据源策略,信息系统账号安全认证平台将去对应指定的数据源比对账号密码信息是否符合;如不符合,信息系统账号安全认证平台发出一个接入拒绝的响应,表示该用户请求是无效的;同时在接入拒绝响应中,插入包含安全策略不符合的原因因素的文本消息,此文本消息通过客户端显示给用户;如符合,则进入下一步;第四步,认证记录与审计:在以上步骤都成功通过的情况下,信息系统账号安全认证平台会发出一个接入允许响应,表示该用户请求是认证通过的;调用本地日志留存子模块在本地认证审计数据库存储本次认证的记录,同时调用远程日志留存子模块通过SYSLOG协议推送至日志服务器进行远程证据留存。作为优选方式之一,认证源验证模块包括认证IP源备案检查子模块和网络通信加密鉴别子模块。作为优选方式之一,在首次通信过程中是调用网络通信加密鉴别子模块对通信进行加密并启动鉴别机制,在验证过程中是使用到鉴别码,在接入请求数据包中,鉴别码是一个16字节的随机数。作为优选方式之一,账号安全基线检测模块内置于信息系统账号安全认证平台系统中,其包括:密码复杂度检查子模块、密码长度最小值检查子模块、密码最长使用期限检查子模块、强制密码历史安全检查子模块和账号锁定阀值检查子模块。作为优选方式之一,账号安全基线检测模块还包括自定义基线检测子模块;用户根据自身实际情况调用自定义基线检查子模块,自定义账号安全基线检测策略,将验证逻辑按照自定义的模板函数进行编码,完成后上传至系统,系统会收录至安全基线检测策略库中,供用户选择。作为优选方式之一,所述认证数据源认证模块包括:邮件协议数据源子模块、远端数据库数据源子模块、LDAP数据源子模块和自编辑数据源子模块;其中:邮件协议数据源子模块支持通过邮箱账号数据源完成用户认证请求;远端数据库数据源子模块用于用户对接远程MySQL、SQLServer、Oracle数据库;LDAP数据源子模块用于对接轻量目录访问协议数据源。作为优选方式之一,自编辑数据源子模块用于用户根据自身实际情况,将数据源认证逻辑按照自定义的模板函数使用python编码语言进行编码,完成后上传至系统平台,系统平台会收录至认证数据源库中,供用户选择。作为优选方式之一,所述认证记录与审计模块包括本地日志留存子模块和远程日志留存子模块。作为优选方式之一,信息系统账号安全认证平台通过标准认证协议与企业信息系统相连,信息系统账号安全认证平台通过POP3协议与企业邮箱用户数据库源相连,信息系统账号安全认证平台通过LDAP协议与企业ERP用户数据库源相连,信息系统账号安全认证平台通过通过HTTP协议与人力资源数据库源相连。与现有技术相比,本专利技术的有益效果在于:本专利技术所述认证逻辑可自定义的信息系统账号安全认证的方法,通过信息系统账号安全认证平台根据用户自身实际需求,自编辑认证数据源,如企业ERP用户数据库源、企业邮箱用户数据库源或企业人力资源数据库源等;自定义账号安全认证逻辑,如弱密码不予认证通过、长时间为改密不予认证通过或短时间多次认证失败后不予认证通过等;将所有信息系统认证方式从落后的本地认证体系升级为先进的统一认证方式,统一了账号信息,减少了企业账号安全风险。附图说明图1是本专利技术信息系统账号安全认证平台部署使用示意图。图2是本专利技术信息系统账号安全认证平台模块示意图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。如图1和图2所示,一种认证逻辑可自定义的信息系统账号安全认证平台,其包括认证源验证模块、账号安全基线检测模块、认证数据源认证模块和认证记录与审计模块;所述信息系统账号安全认证方法包括如下步骤:第一步,认证源验证:当信息系统账号安全认证平台收到请求认证请求的信息,它会调用认证IP源备案检查子模块对传输信息的客户端进行验证。首先查验该认证源客户端的IP地址是否在平台上备案,如未备案将拒绝该客户端的认证请求,再而验证该客户端所提交的预置共享密钥是否于平台一致,如不一致,该数据包会本文档来自技高网...
【技术保护点】
1.一种认证逻辑可自定义的信息系统账号安全认证的方法,包括信息系统账号安全认证平台,其特征在于:信息系统账号安全认证平台包括认证源验证模块、账号安全基线检测模块、认证数据源认证模块和认证记录与审计模块;所述信息系统账号安全认证方法包括如下步骤:第一步,认证源验证:当信息系统账号安全认证平台收到认证源客户端认证请求的信息时,对认证源客户端进行验证;首先查验该认证源客户端的IP地址是否在平台上备案,如未备案将拒绝该客户端的认证请求,若查验到认证源客户端的IP地址在平台上备案,则进一步验证该客户端所提交的预置共享密钥是否与平台一致,如不一致,将拒绝该客户端的认证请求;如符合,则进入下一步;第二步,账号安全基线检测:信息系统账号安全认证平台检测用户账号密码是否符合要求;如不符合,信息系统账号安全认证平台发出一个接入拒绝的响应,表示该用户请求是无效的;同时在接入拒绝响应中,插入包含安全策略不符合的原因因素的文本消息,该文本消息通过客户端显示给用户;如符合,则进入下一步;第三步,认证数据源认证:用户根据自身实际需求编辑认证数据源策略,信息系统账号安全认证平台将去对应指定的数据源比对账号密码信息是否符合;如不符合,信息系统账号安全认证平台发出一个接入拒绝的响应,表示该用户请求是无效的;同时在接入拒绝响应中,插入包含安全策略不符合的原因因素的文本消息,此文本消息通过客户端显示给用户;如符合,则进入下一步;第四步,认证记录与审计:在以上步骤都成功通过的情况下,信息系统账号安全认证平台会发出一个接入允许响应,表示该用户请求是认证通过的;调用本地日志留存子模块在本地认证审计数据库存储本次认证的记录,同时调用远程日志留存子模块通过SYSLOG协议推送至日志服务器进行远程证据留存。...
【技术特征摘要】
1.一种认证逻辑可自定义的信息系统账号安全认证的方法,包括信息系统账号安全认证平台,其特征在于:信息系统账号安全认证平台包括认证源验证模块、账号安全基线检测模块、认证数据源认证模块和认证记录与审计模块;所述信息系统账号安全认证方法包括如下步骤:第一步,认证源验证:当信息系统账号安全认证平台收到认证源客户端认证请求的信息时,对认证源客户端进行验证;首先查验该认证源客户端的IP地址是否在平台上备案,如未备案将拒绝该客户端的认证请求,若查验到认证源客户端的IP地址在平台上备案,则进一步验证该客户端所提交的预置共享密钥是否与平台一致,如不一致,将拒绝该客户端的认证请求;如符合,则进入下一步;第二步,账号安全基线检测:信息系统账号安全认证平台检测用户账号密码是否符合要求;如不符合,信息系统账号安全认证平台发出一个接入拒绝的响应,表示该用户请求是无效的;同时在接入拒绝响应中,插入包含安全策略不符合的原因因素的文本消息,该文本消息通过客户端显示给用户;如符合,则进入下一步;第三步,认证数据源认证:用户根据自身实际需求编辑认证数据源策略,信息系统账号安全认证平台将去对应指定的数据源比对账号密码信息是否符合;如不符合,信息系统账号安全认证平台发出一个接入拒绝的响应,表示该用户请求是无效的;同时在接入拒绝响应中,插入包含安全策略不符合的原因因素的文本消息,此文本消息通过客户端显示给用户;如符合,则进入下一步;第四步,认证记录与审计:在以上步骤都成功通过的情况下,信息系统账号安全认证平台会发出一个接入允许响应,表示该用户请求是认证通过的;调用本地日志留存子模块在本地认证审计数据库存储本次认证的记录,同时调用远程日志留存子模块通过SYSLOG协议推送至日志服务器进行远程证据留存。2.根据权利要求1所述的一种认证逻辑可自定义的信息系统账号安全认证的方法,其特征在于:认证源验证模块包括认证IP源备案检查子模块和网络通信加密鉴别子模块。3.根据权利要求2所述的一种认证逻辑可自定义的信息系统账号安全认证的方法,其特征在于:在首次通信过程中是调用网络通信加密鉴别子模块对通信进行加密并启动鉴别机制,在验证过程中是使用到鉴别码,...
【专利技术属性】
技术研发人员:冷炜镧,梁泰崧,江涛,邓文,张晋飚,喻帆,唐文潇,李翔,米扬,袁枫尧,曾光,王兴,张方述,
申请(专利权)人:四川吉赛特科技有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。