[发明专利]一种身份加强认证和鉴权方法及装置

摘要

本发明公开了一种身份加强认证和鉴权方法及装置，该方法包括：在目标网站访问入口部署安全网关，通过加密通信获取目标网站的访问请求；利用所述安全网关对申请访问的请求人进行身份信息和权限校验；记录所述访问请求行为，并格式化输出行为规则；对所述请求访问的内容进行合法性判断，对非法内容进行报警并终止访问。通过在目标网站访问入口部署安全网关，在PC客户端上部署安全认证证书，采用安全网站校验证书和证书身份权限标识的方式，实现在企业不改变网络结构及业务系统代码情况下，对员工客户端身份对目标业务系统的访问权限控制，有效弥补采用传统基于用户名/密码方式登录在认证等安全方面的不足，有效提高企业信息安全。

主权项

1.一种身份加强认证和鉴权方法，其特征在于，包括：/n获取目标网站的访问请求；/n利用安全网关对申请访问的请求人进行身份信息和权限校验，如果校验不通过，则禁止访问，如果校验通过，则允许访问目标网站；/n记录所述访问请求行为，并格式化输出行为规则；/n对所述请求访问的内容进行合法性判断，对非法内容进行报警并终止访问；/n获取申请访问目标网站的请求人身份信息；/n根据所述请求人身份信息返回安全网关的公钥证书；/n通过判断所述公钥证书的有效性，验证请求访问的所述目标网站是否合法；/n如果所述公钥证书有效，则合法验证通过，建立加密通信；否则，合法验证不通过，终止通信；/n所述请求人身份信息与所述安全网关的公钥证书包含有相互对应的信息，其中所述请求人身份信息包括用于识别请求人身份的：员工ID、邮箱、姓名、安全认证证书协议版本号、加密算法种类和随机数；所述安全网关的公钥证书包括用于访问网站信息的：安全认证证书协议版本号、加密算法种类、随机数和安全网关的通信证书；/n建立加密通信的方式通过以下步骤实现：/n安全网关要求客户端发送安全认证证书和权限标识，客户端会将自己的安全认证证书发送至安全网关的服务器，安全网关的服务器获取请求人的安全认证证书和权限标识后，对其进行权限鉴定，如果该安全认证证书具备访问目标网站的权限，则安全网关获得客户端的访问公钥，同时客户端向安全网关发送自己所能支持的对称加密方案，供安全网关端进行选择，安全网关端在客户端提供的对称加密方案中选择加密程度最高的加密方式，并利用之前获取的访问公钥给对称加密方案进行加密，生成对称加密方案的密文返回给客户端，客户端收到安全网关返回的加密方案密文后，使用自己的私钥进行解密，获取来自安全网关的密文的加密方式，并生成随机码作为密文加密过程中的密钥，再使用安全网关的公钥证书中的公钥对这个随机码密钥进行加密后，再返回给客户端；/n通过上述加密通信，安全网关接收到请求访问目标网站的申请信息后，使用安全网关自己的私钥对申请信息进行解密，获取通信加密过程中的对称加密方案的密钥，在接下来访问目标网站产生安全网关和客户端之间通信的过程中，安全网关和客户端将会使用该密钥进行对称加密，保证通信过程中应用系统中的信息安全。/n