[发明专利]一种权限清单安全控制方法

说明书

本发明涉及权限控制技术领域，其目的在于提供一种权限清单安全控制方法，包括权限清单加密方法，所述权限清单加密方法包括以下步骤：接收由请求端发送的授权请求、设备序列号和请求人ID；根据请求端发送的授权请求生成权限请求接口序列化字符编码，并将权限请求接口序列化字符编码、设备序列号和请求人ID存储为权限清单原文，然后将授权请求和权限清单原文发送至授权端；判断是否接收到由授权端发送的授权请求通过信息、功能清单、授权人ID和第一时间戳；若是，则将功能清单、授权人ID和第一时间戳存储至权限清单原文内，若否，则不动作；根据权限清单原文生成权限清单摘要。本发明可避免权限清单明文暴露。

技术领域

本发明涉及权限控制技术领域，特别是涉及一种权限清单安全控制方法。

背景技术

传统系统中的权限清单一般都是以角色编号对应功能清单编号的映射关系进行多对多的存储和展示，存储和展示均采用明文形式，而无任何安全控制手段；在攻击者进行越权操作时，不需要攻击难度最大的账户安全，只需伪造相应的映射关系即可实现越权，对于数据运维成员来说，现有的权限清单存在明显的漏洞。

发明内容

本发明旨在至少在一定程度上解决上述技术问题，本发明提供了一种权限清单安全控制方法。

本发明采用的技术方案是：

一种权限清单安全控制方法，包括权限清单加密方法，所述权限清单加密方法包括以下步骤：

接收由请求端发送的授权请求、设备序列号和请求人ID；

根据请求端发送的授权请求生成权限请求接口序列化字符编码，并将权限请求接口序列化字符编码、设备序列号和请求人ID存储为权限清单原文，然后将授权请求和权限清单原文发送至授权端；

判断是否接收到由授权端发送的授权请求通过信息、功能清单、授权人ID和第一时间戳；若是，则将功能清单、授权人ID和第一时间戳存储至权限清单原文内，若否，则不动作；

根据权限清单原文生成权限清单摘要，并将权限清单摘要发送至请求端。

优选地，所述权限清单加密方法还包括以下步骤：

对权限清单摘要进行加密，生成权限摘要码。

进一步优选地，所述权限清单加密方法中，使用非对称算法对权限清单摘要进行加密，生成权限摘要码。

进一步优选地，所述权限清单加密方法还包括以下步骤：

以“请求人ID→权限摘要码”的映射关系对权限摘要码进行存储。

进一步优选地，所述权限清单加密方法中，还包括以下步骤：

请求端将请求人ID使用设备序列号和第一时间戳对称加密后存储在本地。

优选地，所述请求人ID和授权人ID均通过散列值的形式存储在权限清单原文内。

进一步优选地，所述权限清单安全控制方法还包括权限清单解密方法，所述权限清单解密方法包括以下步骤：

接收请求端发送的操作请求及权限清单摘要；

根据权限清单摘要获取权限清单原文，并生成第二时间戳，其中，权限清单原文包括权限请求接口序列化字符编码、设备序列号、请求人ID、功能清单、授权人ID和第一时间戳；

解析与请求人ID对应的权限摘要码，其中，解码后的权限摘要码为权限清单摘要真值；判断权限清单原文内的权限请求接口序列化字符编码是否正确若是，则进入下一步，若否，则不动作；

将第二时间戳与第一时间戳的差值与预定时长进行对比，判断操作请求是否过期；若是，则不动作，若否，则进入下一步；