[发明专利]一种认证逻辑可自定义的信息系统账号安全认证的方法

权利要求书

1.一种认证逻辑可自定义的信息系统账号安全认证的方法，包括信息系统账号安全认证平台，其特征在于：信息系统账号安全认证平台包括认证源验证模块、账号安全基线检测模块、认证数据源认证模块和认证记录与审计模块；所述信息系统账号安全认证方法包括如下步骤：

第一步，认证源验证：

当信息系统账号安全认证平台收到认证源客户端认证请求的信息时,对认证源客户端进行验证；首先查验该认证源客户端的IP地址是否在平台上备案，如未备案将拒绝该客户端的认证请求，若查验到认证源客户端的IP地址在平台上备案，则进一步验证该客户端所提交的预置共享密钥是否与平台一致，如不一致，将拒绝该客户端的认证请求；如符合，则进入下一步；

第二步，账号安全基线检测：

信息系统账号安全认证平台检测用户账号密码是否符合要求；如不符合，信息系统账号安全认证平台发出一个接入拒绝的响应,表示该用户请求是无效的；同时在接入拒绝响应中，插入包含安全策略不符合的原因因素的文本消息,该文本消息通过客户端显示给用户；如符合，则进入下一步；

第三步，认证数据源认证：

用户根据自身实际需求编辑认证数据源策略，信息系统账号安全认证平台将去对应指定的数据源比对账号密码信息是否符合；如不符合，信息系统账号安全认证平台发出一个接入拒绝的响应,表示该用户请求是无效的；同时在接入拒绝响应中，插入包含安全策略不符合的原因因素的文本消息,此文本消息通过客户端显示给用户；如符合，则进入下一步；

第四步，认证记录与审计：

在以上步骤都成功通过的情况下，信息系统账号安全认证平台会发出一个接入允许响应，表示该用户请求是认证通过的；调用本地日志留存子模块在本地认证审计数据库存储本次认证的记录，同时调用远程日志留存子模块通过SYSLOG协议推送至日志服务器进行远程证据留存；

其中，认证源验证模块包括认证IP源备案检查子模块和网络通信加密鉴别子模块；在首次通信过程中是调用网络通信加密鉴别子模块对通信进行加密并启动鉴别机制，在验证过程中是使用到鉴别码，在接入请求数据包中，鉴别码是一个16字节的随机数；

其中：账号安全基线检测模块内置于信息系统账号安全认证平台系统中，其包括：密码复杂度检查子模块、密码长度最小值检查子模块、密码最长使用期限检查子模块、强制密码历史安全检查子模块和账号锁定阈值检查子模块。

2.根据权利要求1所述的一种认证逻辑可自定义的信息系统账号安全认证的方法，其特征在于：账号安全基线检测模块还包括自定义基线检测子模块；用户根据自身实际情况调用自定义基线检查子模块，自定义账号安全基线检测策略，将验证逻辑按照自定义的模板函数进行编码，完成后上传至系统，系统会收录至安全基线检测策略库中，供用户选择。

3.根据权利要求1所述的一种认证逻辑可自定义的信息系统账号安全认证的方法，其特征在于：所述认证数据源认证模块包括：邮件协议数据源子模块、远端数据库数据源子模块、LDAP数据源子模块和自编辑数据源子模块；其中：

邮件协议数据源子模块支持通过邮箱账号数据源完成用户认证请求；

远端数据库数据源子模块用于用户对接远程MySQL、SQLServer、Oracle数据库；

LDAP数据源子模块用于对接轻量目录访问协议数据源。

4.根据权利要求3所述的一种认证逻辑可自定义的信息系统账号安全认证的方法，其特征在于：自编辑数据源子模块用于用户根据自身实际情况，将数据源认证逻辑按照自定义的模板函数使用python编码语言进行编码，完成后上传至系统平台，系统平台会收录至认证数据源库中，供用户选择。

5.根据权利要求1所述的一种认证逻辑可自定义的信息系统账号安全认证的方法，其特征在于：所述认证记录与审计模块包括本地日志留存子模块和远程日志留存子模块。

6.根据权利要求1所述的一种认证逻辑可自定义的信息系统账号安全认证的方法，其特征在于：信息系统账号安全认证平台通过标准认证协议与企业信息系统相连，信息系统账号安全认证平台通过POP3协议与企业邮箱用户数据库源相连，信息系统账号安全认证平台通过LDAP协议与企业ERP用户数据库源相连，信息系统账号安全认证平台通过HTTP协议与人力资源数据库源相连。