本发明专利技术涉及权限控制技术领域,其目的在于提供一种权限清单安全控制方法,包括权限清单加密方法,所述权限清单加密方法包括以下步骤:接收由请求端发送的授权请求、设备序列号和请求人ID;根据请求端发送的授权请求生成权限请求接口序列化字符编码,并将权限请求接口序列化字符编码、设备序列号和请求人ID存储为权限清单原文,然后将授权请求和权限清单原文发送至授权端;判断是否接收到由授权端发送的授权请求通过信息、功能清单、授权人ID和第一时间戳;若是,则将功能清单、授权人ID和第一时间戳存储至权限清单原文内,若否,则不动作;根据权限清单原文生成权限清单摘要。本发明专利技术可避免权限清单明文暴露。
【技术实现步骤摘要】
一种权限清单安全控制方法
本专利技术涉及权限控制
,特别是涉及一种权限清单安全控制方法。
技术介绍
传统系统中的权限清单一般都是以角色编号对应功能清单编号的映射关系进行多对多的存储和展示,存储和展示均采用明文形式,而无任何安全控制手段;在攻击者进行越权操作时,不需要攻击难度最大的账户安全,只需伪造相应的映射关系即可实现越权,对于数据运维成员来说,现有的权限清单存在明显的漏洞。
技术实现思路
本专利技术旨在至少在一定程度上解决上述技术问题,本专利技术提供了一种权限清单安全控制方法。本专利技术采用的技术方案是:一种权限清单安全控制方法,包括权限清单加密方法,所述权限清单加密方法包括以下步骤:接收由请求端发送的授权请求、设备序列号和请求人ID;根据请求端发送的授权请求生成权限请求接口序列化字符编码,并将权限请求接口序列化字符编码、设备序列号和请求人ID存储为权限清单原文,然后将授权请求和权限清单原文发送至授权端;判断是否接收到由授权端发送的授权请求通过信息、功能清单、授权人ID和第一时间戳;若是,则将功能清单、授权人ID和第一时间戳存储至权限清单原文内,若否,则不动作;根据权限清单原文生成权限清单摘要,并将权限清单摘要发送至请求端。优选地,所述权限清单加密方法还包括以下步骤:对权限清单摘要进行加密,生成权限摘要码。进一步优选地,所述权限清单加密方法中,使用非对称算法对权限清单摘要进行加密,生成权限摘要码。进一步优选地,所述权限清单加密方法还包括以下步骤:以“请求人ID→权限摘要码”的映射关系对权限摘要码进行存储。进一步优选地,所述权限清单加密方法中,还包括以下步骤:请求端将请求人ID使用设备序列号和第一时间戳对称加密后存储在本地。优选地,所述请求人ID和授权人ID均通过散列值的形式存储在权限清单原文内。进一步优选地,所述权限清单安全控制方法还包括权限清单解密方法,所述权限清单解密方法包括以下步骤:接收请求端发送的操作请求及权限清单摘要;根据权限清单摘要获取权限清单原文,并生成第二时间戳,其中,权限清单原文包括权限请求接口序列化字符编码、设备序列号、请求人ID、功能清单、授权人ID和第一时间戳;解析与请求人ID对应的权限摘要码,其中,解码后的权限摘要码为权限清单摘要真值;判断权限清单原文内的权限请求接口序列化字符编码是否正确若是,则进入下一步,若否,则不动作;将第二时间戳与第一时间戳的差值与预定时长进行对比,判断操作请求是否过期;若是,则不动作,若否,则进入下一步;对权限清单摘要真值进行解码,得到权限清单真值;对权限清单进行核对,并在核对成功后发送操作请求通过信息至请求端。进一步优选地,请求端使用非对称算法对摘要码进行解码。本专利技术的有益效果是:1)本专利技术的权限清单生成方法中,使用权限清单摘要取代权限清单,避免权限清单明文暴露;2)在权限清单生成方法中,权限清单内包括第一时间戳这一有序变量及权限请求接口序列化字符编码这一无序变量,权限清单内上述两个双向变量的设置,可确保权限清单的唯一性,使得权限清单无法进行伪造,由此从源头避免攻击者进行避免非法修订行为等越权操作;3)权限摘要码为摘要的加密码,进一步避免权限清单摘要明文,在使用摘要代替权限清单明文的基础上,进一步避免权限清单被解析,以提升权限清单的加密性;4)权限清单加密方法及权限清单解密方法中,通过采用双向验证权限清单摘要,只在服务器中重组原文,而申请端与服务器之间、授权端与服务器之间的传输使用、存取的内容均为权限清单摘要,由此避免逆向生成权限清单的可能性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是本专利技术中权限清单加密方法的流程图;图2是本专利技术中权限清单解密方法的流程图;图3是本专利技术中权限清单安全控制系统的结构框图。具体实施方式下面结合附图及具体实施例来对本专利技术作进一步阐述。在此需要说明的是,对于这些实施例方式的说明虽然是用于帮助理解本专利技术,但并不构成对本专利技术的限定。本文公开的特定结构和功能细节仅用于描述本专利技术的示例实施例。然而,可用很多备选的形式来体现本专利技术,并且不应当理解为本专利技术限制在本文阐述的实施例中。应当理解,尽管本文可能使用术语第一、第二等等来描述各种单元,但是这些单元不应当受到这些术语的限制。这些术语仅用于区分一个单元和另一个单元。例如可以将第一单元称作第二单元,并且类似地可以将第二单元称作第一单元,同时不脱离本专利技术的示例实施例的范围。应当理解,在本文中若将单元称作与另一个单元“连接”、“相连”或“耦合”时,它可以与另一个单元直相连接或耦合,或中间单元可以存在。相対地,在本文中若将单元称作与另一个单元“直接相连”或“直接耦合”时,表示不存在中间单元。另外,应当以类似方式来解释用于描述单元之间的关系的其他单词(例如,“在……之间”对“直接在……之间”,“相邻”对“直接相邻”等等)。应当理解,本文使用的术语仅用于描述特定实施例,并不意在限制本专利技术的示例实施例。若本文所使用的,单数形式“一”、“一个”以及“该”意在包括复数形式,除非上下文明确指示相反意思。还应当理解,若术语“包括”、“包括了”、“包含”和/或“包含了”在本文中被使用时,指定所声明的特征、整数、步骤、操作、单元和/或组件的存在性,并且不排除一个或多个其他特征、数量、步骤、操作、单元、组件和/或他们的组合存在性或增加。应当理解,还应当注意到在一些备选实施例中,所出现的功能/动作可能与附图出现的顺序不同。例如,取决于所涉及的功能/动作,实际上可以实质上并发地执行,或者有时可以以相反的顺序来执行连续示出的两个图。应当理解,在下面的描述中提供了特定的细节,以便于对示例实施例的完全理解。然而,本领域普通技术人员应当理解可以在没有这些特定细节的情况下实现示例实施例。例如可以在框图中示出系统,以避免用不必要的细节来使得示例不清楚。在其他实例中,可以不以不必要的细节来示出众所周知的过程、结构和技术,以避免使得示例实施例不清楚。实施例1:本实施例提供一种权限清单安全控制方法,如图1所示,包括权限清单加密方法,所述权限清单加密方法包括以下步骤:服务器接收由请求端发送的授权请求、设备序列号和请求人ID;服务器根据请求端发送的授权请求生成权限请求接口序列化字符编码,并将权限请求接口序列化字符编码、设备序列号和请求人ID存储为权限清单原文,然后将授权请求和权限清单原文发送至授权端;服务器判断是否接收到由授权端发送的授权请求通过信息、功能清单、授权人ID和第一时本文档来自技高网...
【技术保护点】
1.一种权限清单安全控制方法,其特征在于:包括权限清单加密方法,所述权限清单加密方法包括以下步骤:/n接收由请求端发送的授权请求、设备序列号和请求人ID;/n根据请求端发送的授权请求生成权限请求接口序列化字符编码,并将权限请求接口序列化字符编码、设备序列号和请求人ID存储为权限清单原文,然后将授权请求和权限清单原文发送至授权端;/n判断是否接收到由授权端发送的授权请求通过信息、功能清单、授权人ID和第一时间戳;若是,则将功能清单、授权人ID和第一时间戳存储至权限清单原文内,若否,则不动作;/n根据权限清单原文生成权限清单摘要,并将权限清单摘要发送至请求端。/n
【技术特征摘要】
1.一种权限清单安全控制方法,其特征在于:包括权限清单加密方法,所述权限清单加密方法包括以下步骤:
接收由请求端发送的授权请求、设备序列号和请求人ID;
根据请求端发送的授权请求生成权限请求接口序列化字符编码,并将权限请求接口序列化字符编码、设备序列号和请求人ID存储为权限清单原文,然后将授权请求和权限清单原文发送至授权端;
判断是否接收到由授权端发送的授权请求通过信息、功能清单、授权人ID和第一时间戳;若是,则将功能清单、授权人ID和第一时间戳存储至权限清单原文内,若否,则不动作;
根据权限清单原文生成权限清单摘要,并将权限清单摘要发送至请求端。
2.根据权利要求1所述的一种权限清单安全控制方法,其特征在于:所述权限清单加密方法还包括以下步骤:
对权限清单摘要进行加密,生成权限摘要码。
3.根据权利要求2所述的一种权限清单安全控制方法,其特征在于:所述权限清单加密方法中,使用非对称算法对权限清单摘要进行加密,生成权限摘要码。
4.根据权利要求3所述的一种权限清单安全控制方法,其特征在于:所述权限清单加密方法还包括以下步骤:
以“请求人ID→权限摘要码”的映射关系对权限摘要码进行存储。
5.根据权利要求4所述的一种权限清单安全控制方法,其特征在于:所...
【专利技术属性】
技术研发人员:陈霖,张采荣,冯佳,邱艳,谢英亮,司云霄,
申请(专利权)人:成都掌控者网络科技有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。