[发明专利]一种适用于高安全性业务系统的鉴权管理方法和系统

说明书

技术领域

本发明涉及一种鉴权管理方法和系统，特别是涉及应用于高安全业务系统中的鉴权管理方法和系统。

背景技术

信息技术的发展改变了人们的生活方式，特别是互联网技术的高度快速发展彻底改变了人类的生活生产方式。但随之而来的是，信息技术所产生的各种业务系统服务的安全性也受到了前所未有的挑战。为了提供更加安全的服务，每一个业务系统均都设置鉴权管理系统，对用户的登录信息加以甄别，但现有技术中这种每一个业务系统都需要自己实现一套用户账号管理，且各个业务系统间的用户账号都是相互独立的，非常不利于统一管理，现有的鉴权管理系统并没有对每一个操作功能点进行独立的权限划分，大多数都只是用到了角色去控制操作的权限，不能做到根据用户所需动态的分配角色权限，各个业务系统的权限控制都有自己的一套策略和标准，不利于统一的配置与管理。另外，由于各个业务系统用户账号的独立性，并不能做到不同业务系统间的单点登录功能。此外，对于高安全性要求的业务系统，现有的鉴权管理系统对一个操作只做了单个用户的单角色判断，不能满足安全上的多角色验证的高级认证要求，且现有的鉴权管理系统并没有对登录系统所用的诸如计算机等终端设备做安全上的甄别及限制，使得此类业务系统处于较高的攻击风险中。因此，亟待开发一种整合多个业务系统的高安全性能的鉴权管理系统，使得用户可以安全的单点登录多个业务系统，业务系统角色可以动态分配，高效整合各个业务系统的登录甄别策略等信息，为高效安全的业务系统用户提供鉴权服务。

发明内容

一种适用于高安全性业务系统的鉴权管理方法：所述方法包括以下步骤：定义业务系统与鉴权管理系统通讯接口之间的通讯协议，并构建业务系统与鉴权管理系统接口之间的读取程序；鉴权管理系统获取接入业务系统的用户设备终端信息；鉴权管理系统验证所述设备终端信息的合法性，如果合法，则将设备终端信息返回至业务系统，否则不允许访问；业务系统根据鉴权管理系统发送来的设备终端信息提示用户输入用户登陆信息，并将用户登录信息发送给鉴权管理系统；鉴权管理系统验证用户登录信息的合法性，并生成一个唯一会话ID，且鉴权管理系统将该唯一会话ID发送给业务系统；用户在业务系统中申请功能点，业务系统将该用户申请的功能点以及唯一会话ID发送给鉴权管理系统；步骤7：鉴权管理系统根据步骤6中业务系统发送过来的功能点请求和唯一会话进行功能点权限判断，并将是否具有使用功能点权限判断结果返回至业务系统；用户使用业务系统完成作业并退出，业务系统向鉴权管理系统发送唯一会话ID以及退出请求；鉴权管理系统根据步骤8中发送来的唯一会话ID解除鉴权管理系统以及业务系统的通讯并删除通讯会话ID。

在步骤2中还包括：采用鉴权管理系统的授权程序来读取设备终端信息，该设备终端信息是验证设备终端合法性的唯一标识；且高安全业务系统包括生产环境使用的业务系统，支付管理平台。其中的设备终端信息包括：IP地址、MAC地址；设备终端包括：计算机或移动通讯设备。

在步骤2之前，还包括，在鉴权管理系统中注册该设备终端信息。

在步骤4之前，还包括：用户需先在鉴权管理系统注册验证成为合法用户。

在步骤4中还包括：鉴权管理系统对用户登录信息做验证，并判断用户是否有可用的业务系统，如果没有可用的业务系统，则提示被注销的用户并退出；否则允许该用户进行访问；且该用户登录信息包括：用户名、密码、刷用户卡。

在步骤5中还包括：不同的业务系统是通过系统code区分的，每个业务系统都有一个系统code以及对应的系统实例，用户登录业务系统时，鉴权管理系统端获取用户所登录业务系统的系统code，在鉴权管理系统的管理端根据该系统code验证用户是否有该业务系统的登录权限，如果用户没有登录权限，则不允许用户登录，否则用户访问鉴权管理系统进行通讯。

在步骤6中还包括：将每一个操作独立成为一项功能点，鉴权管理系统任意组合功能点并把功能点组合权限赋予一个角色，由角色动态分配功能点权限给用户；通过这种方式，角色被动态的管理；且各个业务系统都有自己独立的一套角色及用户角色关系，在逻辑上各个业务系统的权限管理是互相独立的。各个业务系统的功能点关联到模块，不同业务系统的模块可以重用，并统一管理各个模块的功能点。此外，通过将各个业务系统整合实现权限策略及标准的统一配置和管理，且不同业务系统间还能单点登录。

在步骤7中还包括：鉴权管理系统对功能点权限判断时，如果用户没有足够权限，需要第二用户加权进行双人认证，第二用户需要输入用户名和密码并刷用户卡进行加权验证判断，当判断有足够的权限后用户才可以使用申请的功能点。