本申請(qǐng)涉及網(wǎng)絡(luò)安全，具體涉及一種認(rèn)證授權(quán)方法、裝置、電子設(shè)備、存儲(chǔ)介質(zhì)及產(chǎn)品。

背景技術(shù)：

1、隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，很多企業(yè)已經(jīng)部署oa(office?automation?system，辦公自動(dòng)化系統(tǒng))系統(tǒng)，用于提高企業(yè)管理效率，oa系統(tǒng)的安全性直接影響著企業(yè)的核心數(shù)據(jù)安全?，F(xiàn)有的oa系統(tǒng)大多部署在內(nèi)網(wǎng)環(huán)境，總部和分公司之間、分公司和分公司之間采用vpn搭建虛擬局域網(wǎng)的方式進(jìn)行內(nèi)網(wǎng)間的oa信息審批。這種方案基于內(nèi)部網(wǎng)絡(luò)不被入侵以及員工自身不會(huì)存在惡意的攻擊網(wǎng)絡(luò)或者越權(quán)行為。

2、但是，越來越多的安全事件表明，隨著黑客技術(shù)工具的發(fā)展以及oa系統(tǒng)的普及，小概率的內(nèi)部攻擊事件也會(huì)變成大概率發(fā)生的必然事件。oa系統(tǒng)的認(rèn)證授權(quán)是支撐業(yè)務(wù)審批流程的安全基石，因此需要加強(qiáng)oa認(rèn)證授權(quán)的安全機(jī)制，保障企業(yè)oa辦公的有序進(jìn)行，保證企業(yè)內(nèi)部數(shù)據(jù)不會(huì)被越權(quán)訪問。

3、在目前的oa系統(tǒng)中，業(yè)務(wù)審批流程中不同用戶的認(rèn)證授權(quán)方法如下：業(yè)務(wù)審批流程中不同用戶的用戶信息，例如用戶名、密碼、權(quán)限屬性等，保存在服務(wù)器端的數(shù)據(jù)庫中；在待審批用戶上傳待審批信息后，審批人員先向服務(wù)器端發(fā)送用戶名和密碼，服務(wù)器端將接收到的用戶名和密碼與數(shù)據(jù)庫中的信息進(jìn)行對(duì)比驗(yàn)證，若驗(yàn)證通過，則完成用戶(審批人員)的授權(quán)認(rèn)證，允許用戶根據(jù)自身的權(quán)限屬性獲取oa系統(tǒng)的訪問資源，進(jìn)行信息審批。

4、但是，現(xiàn)有的用戶名-密碼驗(yàn)證機(jī)制在實(shí)際使用過程中容易遭受到弱口令猜測(cè)和會(huì)話劫持等攻擊，導(dǎo)致用戶名和密碼泄露，進(jìn)而容易導(dǎo)致oa系統(tǒng)用戶出現(xiàn)越權(quán)訪問、非法授權(quán)等安全隱患，因此，現(xiàn)有的認(rèn)證授權(quán)方法安全性低，存在安全隱患。

技術(shù)實(shí)現(xiàn)思路

1、本申請(qǐng)實(shí)施例提供一種認(rèn)證授權(quán)方法、裝置、電子設(shè)備、存儲(chǔ)介質(zhì)及產(chǎn)品，用以解決現(xiàn)有的認(rèn)證授權(quán)方法安全性低，存在安全隱患的技術(shù)問題。

2、第一方面，本申請(qǐng)實(shí)施例提供一種認(rèn)證授權(quán)方法，包括：響應(yīng)于資源訪問請(qǐng)求，向待授權(quán)用戶發(fā)送加密授權(quán)憑證；加密授權(quán)憑證是基于待審批用戶的權(quán)限訪問策略、資源訪問路徑明文和系統(tǒng)公鑰進(jìn)行加密運(yùn)算生成的，權(quán)限訪問策略是基于待審批用戶的權(quán)限屬性生成的；接收待授權(quán)用戶發(fā)送的加密授權(quán)憑證解密結(jié)果；加密授權(quán)憑證解密結(jié)果是基于加密授權(quán)憑證和待授權(quán)用戶的用戶私鑰進(jìn)行解密運(yùn)算生成的，用戶私鑰是基于系統(tǒng)主私鑰和待授權(quán)用戶的權(quán)限屬性生成的；基于加密授權(quán)憑證解密結(jié)果，判斷待授權(quán)用戶是否獲得待審批用戶的認(rèn)證授權(quán)。

3、在一個(gè)實(shí)施例中，加密授權(quán)憑證解密結(jié)果為訪問路徑；基于加密授權(quán)憑證解密結(jié)果，判斷待授權(quán)用戶是否獲得待審批用戶的認(rèn)證授權(quán)，包括：驗(yàn)證訪問路徑與資源訪問路徑明文是否相同；若訪問路徑與資源訪問路徑明文相同，則確定待授權(quán)用戶獲得待審批用戶的認(rèn)證授權(quán)；獲取資源訪問路徑明文對(duì)應(yīng)的訪問資源；將訪問資源發(fā)送至待授權(quán)用戶。

4、在一個(gè)實(shí)施例中，加密授權(quán)憑證解密結(jié)果為訪問路徑；基于加密授權(quán)憑證解密結(jié)果，判斷待授權(quán)用戶是否獲得待審批用戶的認(rèn)證授權(quán)，包括：驗(yàn)證訪問路徑與資源訪問路徑明文是否相同；若訪問路徑與資源訪問路徑明文不相同，則確定待授權(quán)用戶未獲得待審批用戶的認(rèn)證授權(quán)；拒絕向待授權(quán)用戶發(fā)送資源訪問路徑明文對(duì)應(yīng)的訪問資源。

5、在一個(gè)實(shí)施例中，響應(yīng)于資源訪問請(qǐng)求，向待授權(quán)用戶發(fā)送加密授權(quán)憑證之前，還包括：向待審批用戶發(fā)送授權(quán)憑證上傳消息；接收待審批用戶發(fā)送的加密授權(quán)憑證、權(quán)限訪問策略、公鑰證書和屬性證書；將加密授權(quán)憑證、權(quán)限訪問策略、公鑰證書和屬性證書存儲(chǔ)至數(shù)據(jù)庫；將加密授權(quán)憑證、權(quán)限訪問策略、公鑰證書和屬性證書，與數(shù)據(jù)庫中待審批用戶的用戶信息進(jìn)行關(guān)聯(lián)。

6、在一個(gè)實(shí)施例中，響應(yīng)于資源訪問請(qǐng)求，向待授權(quán)用戶發(fā)送加密授權(quán)憑證之前，還包括：接收待授權(quán)用戶發(fā)送的用戶名、密碼、公鑰證書和屬性證書；基于用戶名、密碼、公鑰證書和屬性證書，判斷待授權(quán)用戶是否為合法用戶；若待授權(quán)用戶不是合法用戶，則拒絕待授權(quán)用戶的資源訪問請(qǐng)求。

7、在一個(gè)實(shí)施例中，訪問資源包括待審批信息，待授權(quán)用戶為待審批信息對(duì)應(yīng)的審批人員；將訪問資源發(fā)送至待授權(quán)用戶之后，還包括：接收待授權(quán)用戶發(fā)送的待審批信息的審批結(jié)果；若審批結(jié)果為審批通過，則將審批結(jié)果更新至數(shù)據(jù)庫；確定新的待授權(quán)用戶；向新的待授權(quán)用戶發(fā)送審批通知消息，以使新的待授權(quán)用戶根據(jù)審批通知消息，生成新的資源訪問請(qǐng)求。

8、第二方面，本申請(qǐng)實(shí)施例提供一種認(rèn)證授權(quán)裝置，包括：發(fā)送模塊，用于響應(yīng)于資源訪問請(qǐng)求，向待授權(quán)用戶發(fā)送加密授權(quán)憑證；加密授權(quán)憑證是基于待審批用戶的權(quán)限訪問策略、資源訪問路徑明文和系統(tǒng)公鑰進(jìn)行加密運(yùn)算生成的，權(quán)限訪問策略是基于待審批用戶的權(quán)限屬性生成的；接收模塊，用于接收待授權(quán)用戶發(fā)送的加密授權(quán)憑證解密結(jié)果；加密授權(quán)憑證解密結(jié)果是基于加密授權(quán)憑證和待授權(quán)用戶的用戶私鑰進(jìn)行解密運(yùn)算生成的，用戶私鑰是基于系統(tǒng)主私鑰和待授權(quán)用戶的權(quán)限屬性生成的；判斷模塊，用于基于加密授權(quán)憑證解密結(jié)果，判斷待授權(quán)用戶是否獲得待審批用戶的認(rèn)證授權(quán)。

9、第三方面，本申請(qǐng)實(shí)施例提供一種電子設(shè)備，包括存儲(chǔ)器、處理器及存儲(chǔ)在存儲(chǔ)器上并可在處理器上運(yùn)行的計(jì)算機(jī)程序，所述處理器執(zhí)行所述程序時(shí)實(shí)現(xiàn)如上述任一種所述認(rèn)證授權(quán)方法。

10、第四方面，本申請(qǐng)實(shí)施例提供一種非暫態(tài)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其上存儲(chǔ)有計(jì)算機(jī)程序，該計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如上述任一種所述認(rèn)證授權(quán)方法。

11、第五方面，本申請(qǐng)實(shí)施例提供一種計(jì)算機(jī)程序產(chǎn)品，包括計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如上述任一種所述認(rèn)證授權(quán)方法。

12、本申請(qǐng)實(shí)施例提供的認(rèn)證授權(quán)方法、裝置、電子設(shè)備、存儲(chǔ)介質(zhì)及產(chǎn)品，響應(yīng)于資源訪問請(qǐng)求，向待授權(quán)用戶發(fā)送加密授權(quán)憑證；加密授權(quán)憑證是基于待審批用戶的權(quán)限訪問策略、資源訪問路徑明文和系統(tǒng)公鑰進(jìn)行加密運(yùn)算生成的，權(quán)限訪問策略是基于待審批用戶的權(quán)限屬性生成的；接收待授權(quán)用戶發(fā)送的加密授權(quán)憑證解密結(jié)果；加密授權(quán)憑證解密結(jié)果是基于加密授權(quán)憑證和待授權(quán)用戶的用戶私鑰進(jìn)行解密運(yùn)算生成的，用戶私鑰是基于系統(tǒng)主私鑰和待授權(quán)用戶的權(quán)限屬性生成的；基于加密授權(quán)憑證解密結(jié)果，判斷待授權(quán)用戶是否獲得待審批用戶的認(rèn)證授權(quán)。通過上述方式，由于加密授權(quán)憑證是基于加密運(yùn)算生成的，只有在待授權(quán)用戶擁有正確的用戶私鑰時(shí)才可進(jìn)行解密，因此，即使遭受到弱口令猜測(cè)和會(huì)話劫持等攻擊，也會(huì)由于攻擊者缺少正確的用戶私鑰而無法解密得到正確的加密授權(quán)憑證解密結(jié)果，進(jìn)而無法獲得認(rèn)證授權(quán)，從而避免oa系統(tǒng)用戶出現(xiàn)越權(quán)訪問、非法授權(quán)等安全隱患，提高認(rèn)證授權(quán)的安全性。

技術(shù)特征：

1.一種認(rèn)證授權(quán)方法，其特征在于，包括：

2.根據(jù)權(quán)利要求1所述的認(rèn)證授權(quán)方法，其特征在于，所述加密授權(quán)憑證解密結(jié)果為訪問路徑；

3.根據(jù)權(quán)利要求1所述的認(rèn)證授權(quán)方法，其特征在于，所述加密授權(quán)憑證解密結(jié)果為訪問路徑；

4.根據(jù)權(quán)利要求1所述的認(rèn)證授權(quán)方法，其特征在于，所述響應(yīng)于資源訪問請(qǐng)求，向待授權(quán)用戶發(fā)送加密授權(quán)憑證之前，還包括：

5.根據(jù)權(quán)利要求1所述的認(rèn)證授權(quán)方法，其特征在于，所述響應(yīng)于資源訪問請(qǐng)求，向待授權(quán)用戶發(fā)送加密授權(quán)憑證之前，還包括：

6.根據(jù)權(quán)利要求2所述的認(rèn)證授權(quán)方法，其特征在于，所述訪問資源包括待審批信息，所述待授權(quán)用戶為所述待審批信息對(duì)應(yīng)的審批人員；

7.一種認(rèn)證授權(quán)裝置，其特征在于，包括：

8.一種電子設(shè)備，包括存儲(chǔ)器、處理器及存儲(chǔ)在所述存儲(chǔ)器上并可在所述處理器上運(yùn)行的計(jì)算機(jī)程序，其特征在于，所述處理器執(zhí)行所述程序時(shí)實(shí)現(xiàn)如權(quán)利要求1至6任一項(xiàng)所述認(rèn)證授權(quán)方法。

9.一種非暫態(tài)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其上存儲(chǔ)有計(jì)算機(jī)程序，其特征在于，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如權(quán)利要求1至6任一項(xiàng)所述認(rèn)證授權(quán)方法。

10.一種計(jì)算機(jī)程序產(chǎn)品，包括計(jì)算機(jī)程序，其特征在于，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如權(quán)利要求1至6任一項(xiàng)所述認(rèn)證授權(quán)方法。

技術(shù)總結(jié)
本申請(qǐng)涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，提供一種認(rèn)證授權(quán)方法、裝置、電子設(shè)備、存儲(chǔ)介質(zhì)及產(chǎn)品，包括：響應(yīng)于資源訪問請(qǐng)求，向待授權(quán)用戶發(fā)送加密授權(quán)憑證；加密授權(quán)憑證是基于待審批用戶的權(quán)限訪問策略、資源訪問路徑明文和系統(tǒng)公鑰進(jìn)行加密運(yùn)算生成的，權(quán)限訪問策略是基于待審批用戶的權(quán)限屬性生成的；接收待授權(quán)用戶發(fā)送的加密授權(quán)憑證解密結(jié)果；加密授權(quán)憑證解密結(jié)果是基于加密授權(quán)憑證和待授權(quán)用戶的用戶私鑰進(jìn)行解密運(yùn)算生成的，用戶私鑰是基于系統(tǒng)主私鑰和待授權(quán)用戶的權(quán)限屬性生成的；基于加密授權(quán)憑證解密結(jié)果，判斷待授權(quán)用戶是否獲得待審批用戶的認(rèn)證授權(quán)。通過上述方式，可避免安全隱患，提高認(rèn)證授權(quán)的安全性。

技術(shù)研發(fā)人員：王麗,段繼康,王鑫,張征,和軍
受保護(hù)的技術(shù)使用者：中國(guó)移動(dòng)通信集團(tuán)山西有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/10/21