一种动态权限系统、装置及其权限管理方法制造方法及图纸

本发明专利技术提供了一种动态权限系统、装置及其权限管理方法，属于软件开发应用领域，其中，客户端哨兵模式是对用户页面路由的保护，通过对访问页面的拦截，校验认证信息和权限信息来防止恶意访问。动态路由用于将用户能访问的页面动态加载渲染并呈现给用户。动态组件渲染用于实时渲染呈现页面、关键信息和权限按钮。服务端哨兵模式是对客户端所有请求的统一安全拦截处理。权限过滤用于服务端处理请求的安全性校验，仅通过有权限的访问请求。重复请求过滤实现了对重复提交、持续恶意攻击的拦截。防恶意识别用于对权限过滤中未授权请求和持续恶意请求标记，并对这些异常行为进行限制的处理。本发明专利技术大大提升了软件系统的安全性和可靠性。性。性。

【技术实现步骤摘要】
一种动态权限系统、装置及其权限管理方法


[0001]本专利技术属于软件开发应用
，更具体地，涉及一种动态权限系统、装置及其权限管理方法。

技术介绍

[0002]随着当前各种信息化应用软件越来越多，在企业日常管理工作中，对软件的依赖越来越高，因此对软件的要求也越来越高。其中，在大多数管理类软件中，系统的安全性和可靠性等要求越来越突出。
[0003]目前大多数系统的权限模块中，客户端代码仅仅通过显示客户具有的权限，隐藏不具有的权限。这种隐藏的处理方法可以通过读取客户端源代码查看到隐藏了哪些权限，通过在客户端直接修改源码，可以使得被隐藏的权限显示出来，这使得权限有扩大和泄漏的风险。同时大多数系统的权限模块中，服务端并未做请求的拦截处理，或者即使拦截了请求，也未对用户的合法性以及请求的合理性做出进一步的判断和限制。因此一些恶意攻击者，可以通过不断的试错请求，直至尝试出服务端可以接收的请求，以获取额外的信息。还有一些系统客户端和服务端做了加密认证，但是在使用对称加密传输信息时，对称加密密钥往往是固定的，直接存储在客户端，通过抓包工具抓取请求，可以获取认证信息，而该认证信息只要在用户认证口令一直不修改的情况下，可以一直被冒用。进一步地，可以通过抓取大量请求加密信息，利用分析工具，反向推理出对称加密密钥，从而可以获取本被加密的信息。

技术实现思路

[0004]针对现有技术的缺陷，本专利技术的目的在于提供一种动态权限系统、装置及其权限管理方法，旨在解决现有的软件系统安全性和可靠性较差的问题。
[0005]为实现上述目的，第一方面，本专利技术提供了一种客户端权限认证系统，包括：客户侧收发指令模块、客户侧哨兵模式运行模块、动态路由模块、动态组件渲染模块、客户侧口令认证模块和指令绑定模块；
[0006]客户端收发指令模块的输出端与客户侧哨兵模式运行模块的输入端相连；动态路由模块的输入端与客户端相连，其输出端与动态组件渲染模块的输入端相连；指令绑定模块的输出端与所述动态组件渲染模块的输入端相连；客户侧口令认证模块的输入端与客户侧哨兵模式运行模块的输出端相连，其输出端与服务端相连；
[0007]客户侧收发指令模块用于接收或发送客户侧请求；客户侧哨兵模式运行模块用于通过对页面路由的拦截，过滤出非白名单且没有安全口令认证和权限的页面路由进行统一异常处理，跳转至登陆认证页面；动态路由模块用于当用户主动切换角色和权限时，实时重置页面路由，并调用动态组件渲染模块切换至重置的页面；动态组件渲染模块用于实时渲染呈现页面和权限按钮；指令绑定模块用于用户权限发生变化时实时销毁当前按钮组件，并调用动态组件渲染模块渲染出新的具有权限的按钮。
[0008]第二方面，本专利技术提供了一种服务端权限认证系统，包括：服务侧收发指令模块、服务侧哨兵模式运行模块、服务侧口令认证模块、权限过滤模块、重复请求过滤模块和防恶意识攻击识别模块；
[0009]服务侧哨兵模式运行模块的输入端与服务侧收发指令模块的输出端相连；权限过滤模块的输入端连接服务侧哨兵模式运行模块的输出端；重复请求过滤模块的输入端连接权限过滤模块的输出端；防恶意识攻击识别模块的输入端连接服务侧口令认证模块、权重过滤模块和重复请求过滤模块的输出端；
[0010]服务侧收发指令模块用于接收或发送服务侧请求；服务侧哨兵模式运行模块用于在拦截客户端请求时，设置安全口令校验开关和权限过滤开关；服务侧口令认证模块和客户侧口令认证模块用于采用动态安全口令加密认证，通过设置随机码验证、增加时间戳信息和试错机制，授权用户访问的行为；权限过滤模块用于处理请求的安全性校验，仅通过有权限的访问请求；重复请求过滤模块用于实现对重复提交和持续恶意攻击的拦截；防恶意识攻击识别模块用于对安全口令认证异常、权限异常和重复请求设置参考数据指标，达到异常阈值时发送提示信息做出防御行为。
[0011]第三方面，本专利技术提供了一种动态权限装置，包括客户端权限认证系统和服务端权限认证系统；
[0012]客户端权限认证系统包括客户侧收发指令模块、客户侧哨兵模式运行模块、动态路由模块、动态组件渲染模块、客户侧口令认证模块和指令绑定模块；
[0013]客户侧收发指令模块用于接收或发送客户侧请求；客户侧哨兵模式运行模块用于通过对页面路由的拦截，过滤出非白名单且没有安全口令认证和权限的页面路由进行统一异常处理，跳转至登陆认证页面；动态路由模块用于当用户主动切换角色和权限时，实时重置页面路由，并调用动态组件渲染模块切换至重置的页面；动态组件渲染模块用于实时渲染呈现页面和权限按钮；指令绑定模块用于用户权限发生变化时实时销毁当前按钮组件，并调用动态组件渲染模块渲染出新的具有权限的按钮；
[0014]服务端权限认证系统包括服务侧收发指令模块、服务侧哨兵模式运行模块、服务侧口令认证模块、权限过滤模块、重复请求过滤模块和防恶意识攻击识别模块；
[0015]服务侧收发指令模块用于接收或发送服务侧请求；服务侧哨兵模式运行模块用于在拦截客户端请求时，设置安全口令校验开关和权限过滤开关；服务侧口令认证模块和客户侧口令认证模块用于采用动态安全口令加密认证，通过设置随机码验证、增加时间戳信息和试错机制，授权用户访问的行为；权限过滤模块用于处理请求的安全性校验，仅通过有权限的访问请求；重复请求过滤模块用于实现对重复提交和持续恶意攻击的拦截；防恶意识攻击识别模块用于对安全口令认证异常、权限异常和重复请求设置参考数据指标，达到异常阈值时发送提示信息做出防御行为。
[0016]第四方面，基于上述动态权限装置，本专利技术提供了相应的安全口令认证方法，包括以下步骤：
[0017]D1：客户侧口令认证模块发起对服务侧口令认证模块的第一次握手请求；
[0018]D2：服务侧口令认证模块收到客户侧口令认证模块的第一次握手请求后，使用非对称加密算法，生成一对非对称密钥，服务侧口令认证模块将非对称私钥保存在内存中，同时将非对称公钥发送给客户端保存；
[0019]D3：客户侧口令认证模块再发起对服务侧口令认证模块的第二次握手请求，获取参数信息加密的对称加密密钥；
[0020]D4：服务侧口令认证模块收到客户侧口令认证模块发起的第二次握手请求后，服务侧口令认证模块使用对称加密算法，生成一个对称密钥，服务侧口令认证模块将对称密钥保存在内存中，同时使用非对称私钥加密对称密钥，然后将加密后的对称密钥发送给客户端保存；
[0021]D5：客户侧口令认证模块将收到的加密后的对称加密密钥使用非对称密钥的公钥进行解密，获得对称密钥，然后将用户的口令信息使用对称密钥进行加密；
[0022]D6：客户侧口令认证模块再发起对服务侧口令认证模块的第三次口令认证请求，客户侧口令认证模块将使用对称密钥加密后的口令信息发送到服务侧口令认证模块；
[0023]D7：服务侧口令认证模块收到客户侧口令认证模块发起的第三次口令认证请求，获取对称密钥加密后的口令信息，使用对称密钥解密口令信息，获取真正的口令信息，执行对口令信息的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种客户端权限认证系统，其特征在于，包括：客户侧收发指令模块、客户侧哨兵模式运行模块、动态路由模块、动态组件渲染模块、客户侧口令认证模块和指令绑定模块；所述客户端收发指令模块的输出端与所述客户侧哨兵模式运行模块的输入端相连；所述动态路由模块的输入端与客户端相连，其输出端与动态组件渲染模块的输入端相连；所述指令绑定模块的输出端与所述动态组件渲染模块的输入端相连；所述客户侧口令认证模块的输入端与所述客户侧哨兵模式运行模块的输出端相连，其输出端与服务端相连；所述客户侧收发指令模块用于接收或发送客户侧请求；所述客户侧哨兵模式运行模块用于通过对页面路由的拦截，过滤出非白名单且没有安全口令认证和权限的页面路由进行统一异常处理，跳转至登陆认证页面；所述动态路由模块用于当用户主动切换角色和权限时，实时重置页面路由，并调用动态组件渲染模块切换至重置的页面；所述动态组件渲染模块用于实时渲染呈现页面和权限按钮；所述指令绑定模块用于用户权限发生变化时实时销毁当前按钮组件，并调用动态组件渲染模块渲染出新的具有权限的按钮。2.一种服务端权限认证系统，其特征在于，包括：服务侧收发指令模块、服务侧哨兵模式运行模块、服务侧口令认证模块、权限过滤模块、重复请求过滤模块和防恶意识攻击识别模块；所述服务侧哨兵模式运行模块的输入端与所述服务侧收发指令模块的输出端相连；所述权限过滤模块的输入端连接所述服务侧哨兵模式运行模块的输出端；所述重复请求过滤模块的输入端连接所述权限过滤模块的输出端；所述防恶意识攻击识别模块的输入端连接所述服务侧口令认证模块、所述权重过滤模块和所述重复请求过滤模块的输出端；所述服务侧收发指令模块用于接收或发送服务侧请求；所述服务侧哨兵模式运行模块用于在拦截客户端请求时，设置安全口令校验开关和权限过滤开关；所述服务侧口令认证模块和客户侧口令认证模块用于采用动态安全口令加密认证，通过设置随机码验证、增加时间戳信息和试错机制，授权用户访问的行为；所述权限过滤模块用于处理请求的安全性校验，仅通过有权限的访问请求；重复请求过滤模块用于实现对重复提交和持续恶意攻击的拦截；防恶意识攻击识别模块用于对安全口令认证异常、权限异常和重复请求设置参考数据指标，达到异常阈值时发送提示信息做出防御行为。3.一种动态权限装置，其特征在于，包括客户端权限认证系统和服务端权限认证系统；所述客户端权限认证系统包括客户侧收发指令模块、客户侧哨兵模式运行模块、动态路由模块、动态组件渲染模块、客户侧口令认证模块和指令绑定模块；所述客户侧收发指令模块用于接收或发送客户侧请求；所述客户侧哨兵模式运行模块用于通过对页面路由的拦截，过滤出非白名单且没有安全口令认证和权限的页面路由进行统一异常处理，跳转至登陆认证页面；所述动态路由模块用于当用户主动切换角色和权限时，实时重置页面路由，并调用动态组件渲染模块切换至重置的页面；所述动态组件渲染模块用于实时渲染呈现页面和权限按钮；所述指令绑定模块用于用户权限发生变化时实时销毁当前按钮组件，并调用动态组件渲染模块渲染出新的具有权限的按钮；所述服务端权限认证系统包括服务侧收发指令模块、服务侧哨兵模式运行模块、服务侧口令认证模块、权限过滤模块、重复请求过滤模块和防恶意识攻击识别模块；所述服务侧收发指令模块用于接收或发送服务侧请求；所述服务侧哨兵模式运行模块用于在拦截客户端请求时，设置安全口令校验开关和权限过滤开关；所述服务侧口令认证
模块和客户侧口令认证模块用于采用动态安全口令加密认证，通过设置随机码验证、增加时间戳信息和试错机制，授权用户访问的行为；所述权限过滤模块用于处理请求的安全性校验，仅通过有权限的访问请求；所述重复请求过滤模块用于实现对重复提交和持续恶意攻击的拦截；所述防恶意识攻击识别模块用于对安全口令认证异常、权限异常和重复请求设置参考数据指标，达到异常阈值时发送提示信息做出防御行为。4.一种基于权利要求3所述的动态权限装置的安全口令认证方法，其特征在于，包括以下步骤：D1：客户侧口令认证模块发起对服务侧口令认证模块的第一次握手请求；D2：服务侧口令认证模块收到客户侧口令认证模块的第一次握手请求后，使用非对称加密算法，生成一对非对称密钥，服务侧口令认证模块将非对称私钥保存在内存中，同时将非对称公钥发送给客户端保存；D3：客户侧口令认证模块再发起对服务侧口令认证模块的第二次握手请求；D4：服务侧口令认...

【专利技术属性】
技术研发人员：吴阳，徐峻峰，邓勇，张慧，李媛，武宁，任路江，李洋，黎楚，曾文艺，钟逸，刘佳，江雪，周峻颖，邵晨龙，邓晖，周建军，
申请(专利权)人：武汉船舶通信研究所中国船舶重工集团公司第七二二研究所，
类型：发明
国别省市：