[发明专利]一种身份加强认证和鉴权方法及装置

权利要求书

1.一种身份加强认证和鉴权方法，其特征在于，包括：

获取目标网站的访问请求；

利用安全网关对申请访问的请求人进行身份信息和权限校验，如果校验不通过，则禁止访问，如果校验通过，则允许访问目标网站；

记录所述访问请求行为，并格式化输出行为规则；

对所述请求访问的内容进行合法性判断，对非法内容进行报警并终止访问；

获取申请访问目标网站的请求人身份信息；

根据所述请求人身份信息返回安全网关的公钥证书；

通过判断所述公钥证书的有效性，验证请求访问的所述目标网站是否合法；

如果所述公钥证书有效，则合法验证通过，建立加密通信；否则，合法验证不通过，终止通信；

所述请求人身份信息与所述安全网关的公钥证书包含有相互对应的信息，其中所述请求人身份信息包括用于识别请求人身份的：员工ID、邮箱、姓名、安全认证证书协议版本号、加密算法种类和随机数；所述安全网关的公钥证书包括用于访问网站信息的：安全认证证书协议版本号、加密算法种类、随机数和安全网关的通信证书；

建立加密通信的方式通过以下步骤实现：

安全网关要求客户端发送安全认证证书和权限标识，客户端会将自己的安全认证证书发送至安全网关的服务器，安全网关的服务器获取请求人的安全认证证书和权限标识后，对其进行权限鉴定，如果该安全认证证书具备访问目标网站的权限，则安全网关获得客户端的访问公钥，同时客户端向安全网关发送自己所能支持的对称加密方案，供安全网关端进行选择，安全网关端在客户端提供的对称加密方案中选择加密程度最高的加密方式，并利用之前获取的访问公钥给对称加密方案进行加密，生成对称加密方案的密文返回给客户端，客户端收到安全网关返回的加密方案密文后，使用自己的私钥进行解密，获取来自安全网关的密文的加密方式，并生成随机码作为密文加密过程中的密钥，再使用安全网关的公钥证书中的公钥对这个随机码密钥进行加密后，再返回给客户端；

通过上述加密通信，安全网关接收到请求访问目标网站的申请信息后，使用安全网关自己的私钥对申请信息进行解密，获取通信加密过程中的对称加密方案的密钥，在接下来访问目标网站产生安全网关和客户端之间通信的过程中，安全网关和客户端将会使用该密钥进行对称加密，保证通信过程中应用系统中的信息安全。

2.根据权利要求1所述的一种身份加强认证和鉴权方法，其特征在于，所述利用所述安全网关对申请访问的请求人进行身份信息和权限校验，包括：

校验所述请求人的身份信息是否有误，身份信息有误的请求人禁止访问目标网站；

校验所述请求人的身份信息所对应的安全认证证书是否过期，安全认证证书已过期的请求人禁止访问目标网站。

3.根据权利要求1所述的一种身份加强认证和鉴权方法，其特征在于，所述对所述请求访问的内容进行合法性判断，包括：

采用基于语义的分析，判断所述请求访问的内容是否具有攻击行为，如果请求访问的内容涉及攻击行为，则视为非法内容；如果请求访问的内容不具有攻击行为，则视为安全访问内容。

4.根据权利要求1所述的一种身份加强认证和鉴权方法，其特征在于，在目标网站访问入口部署安全网关之前，还包括：

针对每一个身份信息分别生成安全认证证书和访问目标网站的权限；根据所述安全认证证书和访问目标网站的权限生成用于安装在客户端的数字证书。