认证安全策略执行方法、装置及计算设备与流程

1.本发明实施例涉及计算机网络技术领域，具体涉及一种认证安全策略执行方法、装置及计算设备。


背景技术：

2.随着当前信息技术的快速发展和大数据云时代的到来，在实际应用系统使用过程中，不同的应用系统、不同的使用环境对安全要求是不一样的。因此不同应用系统应当制定符合自身要求的认证安全策略。
3.现有技术中通过管理员预先的配置，认证过程将按照配置的顺序依次执行。认证方式规范固定、不灵活，针对不同企业的不同认证需求需要额外的开发编码。


技术实现要素：

4.鉴于上述问题，本发明实施例提供了一种认证安全策略执行方法、装置及计算设备，克服了上述问题或者至少部分地解决了上述问题。
5.根据本发明实施例的一个方面，提供了一种认证安全策略执行方法，所述方法包括：接收用户发起的认证请求，获取至少包括一个认证方法的认证链；基于所述认证方法获取并执行前置安全策略切面，所述前置安全策略切面中包括至少一个前置安全策略；在所述前置安全策略命中后，执行所述认证请求；所述认证请求完成之后，获取并执行后置安全策略切面，所述后置安全策略切面中包括至少一个后置安全策略。
6.在一种可选的方式中，所述获取至少包括一个认证方法的认证链，包括：根据不同的应用获取不同的所述认证链，所述认证链包括认证方法、执行顺序。
7.在一种可选的方式中，所述根据不同的应用获取不同的所述认证链，包括：根据应用获取与所述认证请求对应的多种认证方法、执行顺序以及判断逻辑并组成所述认证链。
8.在一种可选的方式中，所述根据不同的应用获取不同的所述认证链，包括：根据应用选择预存的与所述认证请求对应的所述认证链。
9.在一种可选的方式中，所述基于所述认证方法获取并执行前置安全策略切面，包括：在执行所述认证请求之前，检查是否配置了所述前置安全策略切面；如果是，获取并执行所述前置安全策略切面。
10.在一种可选的方式中，所述获取并执行后置安全策略切面，包括：检查是否配置了所述后置安全策略切面；如果是，获取并执行所述后置安全策略切面。
11.在一种可选的方式中，所述获取并执行后置安全策略切面之后，包括：如果所述认证链包括多个认证方法，根据执行顺序依次根据多个所述认证方法执行所述认证请求。
12.根据本发明实施例的另一方面，提供了一种认证安全策略执行装置，包括：认证链获取单元，用于接收用户发起的认证请求，获取至少包括一个认证方法的认证链；前置策略执行单元，用于基于所述认证方法获取并执行前置安全策略切面，所述前置安全策略切面中包括至少一个前置安全策略；认证单元，用于在所述前置安全策略命中后，执行所述认证
请求；后置策略执行单元，用于所述认证请求完成之后，获取并执行后置安全策略切面，所述后置安全策略切面中包括至少一个后置安全策略。
13.根据本发明实施例的另一方面，提供了一种计算设备，包括：处理器、存储器、通信接口和通信总线，所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信；
14.所述存储器用于存放至少一可执行指令，所述可执行指令使所述处理器执行上述认证安全策略执行方法的步骤。
15.根据本发明实施例的又一方面，提供了一种计算机存储介质，所述存储介质中存储有至少一可执行指令，所述可执行指令使所述处理器执行上述认证安全策略执行方法的步骤。
16.本发明实施例通过接收用户发起的认证请求，获取至少包括一个认证方法的认证链；基于所述认证方法获取并执行前置安全策略切面，所述前置安全策略切面中包括至少一个前置安全策略；在所述前置安全策略命中后，执行所述认证请求；所述认证请求完成之后，获取并执行后置安全策略切面，所述后置安全策略切面中包括至少一个后置安全策略，能够有利于进行认证安全的控制及保护，满足各种灵活多变的场景需求。
17.上述说明仅是本发明实施例技术方案的概述，为了能够更清楚了解本发明实施例的技术手段，而可依照说明书的内容予以实施，并且为了让本发明实施例的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。
附图说明
18.通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：
19.图1示出了本发明实施例提供的认证安全策略执行方法的流程示意图；
20.图2示出了本发明实施例提供的认证安全策略执行方法的示例图；
21.图3示出了本发明实施例提供的认证安全策略执行装置的结构示意图；
22.图4示出了本发明实施例提供的计算设备的结构示意图。
具体实施方式
23.下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例，然而应当理解，可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本发明，并且能够将本发明的范围完整的传达给本领域的技术人员。
24.图1示出了本发明实施例提供的认证安全策略执行方法的流程示意图。该方法由电子设备执行。如图1所示，认证安全策略执行方法包括：
25.步骤s11：接收用户发起的认证请求，获取至少包括一个认证方法的认证链。
26.认证链为多种认证方法组合执行的链路。在本发明实施例中，可选地，根据不同的应用获取不同的所述认证链，所述认证链包括认证方法、执行顺序。认证链中还可以包括判断逻辑。可以根据应用获取与所述认证请求对应的多种认证方法、执行顺序以及判断逻辑
并组成所述认证链。也可以根据应用选择预存的与所述认证请求对应的所述认证链。
27.步骤s12：基于所述认证方法获取并执行前置安全策略切面，所述前置安全策略切面中包括至少一个前置安全策略。
28.在本发明实施例中，切面是把非业务逻辑相关的代码抽取出来定位到具体的连接点上的一种实现方式。在执行所述认证请求之前，可以设置有多个前置安全策略切面，每个前置安全策略切面中设置的前置安全策略不尽相同。在步骤s12中，可选地，在执行所述认证请求之前，检查是否配置了所述前置安全策略切面；如果是，获取并执行所述前置安全策略切面。如果在执行所述认证请求之前设置有多个前置安全策略切面，则依次执行该多个前置安全策略切面判断配置的安全策略、业务策略是否命中满足，以及执行前置安全策略设定的执行结果。
29.步骤s13：在所述前置安全策略命中后，执行所述认证请求。
30.在本发明实施例中，执行完所有前置策略安全切面的内容，且各前置安全策略皆通过，则执行用户发送的认证请求。
31.步骤s14：所述认证请求完成之后，获取并执行后置安全策略切面，所述后置安全策略切面中包括至少一个后置安全策略。
32.在本发明实施例中，认证请求执行完成之后，可以设置有多个后置安全策略切面，每个后置安全策略切面中设置的后置安全策略不尽相同。在步骤s14中，可选地，在执行完所述认证请求之后，检查是否配置了所述后置安全策略切面；如果是，获取并执行所述后置安全策略切面。如果在执行所述认证请求之后设置有多个后置安全策略切面，则依次执行该多个后置安全策略切面判断配置的安全策略、业务策略是否命中满足，以及执行后置安全策略设定的执行结果。至此完成了基于认证链中一个认证方法的认证，通过引入安全策略切面，使得认证策略定义及控制范围更全面更灵活，安全执行点更多，更有利于进行认证安全的控制及保护。
33.如果所述认证链包括多个认证方法，即为多因素认证，根据执行顺序依次根据多个所述认证方法执行所述认证请求。根据每一个认证方法执行认证请求时，都可以设置安全策略切面和后置安全策略切面，执行步骤都相同。举例说明，如图2所示的双因素认证，对双因素认证拆分成两级的认证，一级认证为图形验证码核验，二级认证为访问ip限制核验。本发明实施例对多因素认证进行拆分执行后，设定认证前置策略安全切面以及认证后置策略安全切面，执行各认证环节时需满足认证安全策略后方可执行，否则认证业务对外不可达。如此本发明实施例不仅可以定义安全约束，还可以根据不同企业不同应用制定特定的业务策略执行，满足各种灵活多变的场景需求。
34.本发明实施例通过接收用户发起的认证请求，获取至少包括一个认证方法的认证链；基于所述认证方法获取并执行前置安全策略切面，所述前置安全策略切面中包括至少一个前置安全策略；在所述前置安全策略命中后，执行所述认证请求；所述认证请求完成之后，获取并执行后置安全策略切面，所述后置安全策略切面中包括至少一个后置安全策略，能够有利于进行认证安全的控制及保护，满足各种灵活多变的场景需求。
35.图3示出了本发明实施例的认证安全策略执行装置的结构示意图。如图3所示，该认证安全策略执行装置包括：认证链获取单元301、前置策略执行单元302、认证单元303以及后置策略执行单元304。其中：
36.认证链获取单元301用于接收用户发起的认证请求，获取至少包括一个认证方法的认证链；前置策略执行单元302用于基于所述认证方法获取并执行前置安全策略切面，所述前置安全策略切面中包括至少一个前置安全策略；认证单元303用于在所述前置安全策略命中后，执行所述认证请求；后置策略执行单元304用于所述认证请求完成之后，获取并执行后置安全策略切面，所述后置安全策略切面中包括至少一个后置安全策略。
37.在一种可选的方式中，认证链获取单元301用于：根据不同的应用获取不同的所述认证链，所述认证链包括认证方法、执行顺序。
38.在一种可选的方式中，认证链获取单元301用于：根据应用获取与所述认证请求对应的多种认证方法、执行顺序以及判断逻辑并组成所述认证链。
39.在一种可选的方式中，认证链获取单元301用于：根据应用选择预存的与所述认证请求对应的所述认证链。
40.在一种可选的方式中，前置策略执行单元302用于：在执行所述认证请求之前，检查是否配置了所述前置安全策略切面；如果是，获取并执行所述前置安全策略切面。
41.在一种可选的方式中，后置策略执行单元304用于：检查是否配置了所述后置安全策略切面；如果是，获取并执行所述后置安全策略切面。
42.在一种可选的方式中，认证单元303用于：如果所述认证链包括多个认证方法，根据执行顺序依次根据多个所述认证方法执行所述认证请求。
43.本发明实施例通过接收用户发起的认证请求，获取至少包括一个认证方法的认证链；基于所述认证方法获取并执行前置安全策略切面，所述前置安全策略切面中包括至少一个前置安全策略；在所述前置安全策略命中后，执行所述认证请求；所述认证请求完成之后，获取并执行后置安全策略切面，所述后置安全策略切面中包括至少一个后置安全策略，能够有利于进行认证安全的控制及保护，满足各种灵活多变的场景需求。
44.本发明实施例提供了一种非易失性计算机存储介质，所述计算机存储介质存储有至少一可执行指令，该计算机可执行指令可执行上述任意方法实施例中的认证安全策略执行方法。
45.可执行指令具体可以用于使得处理器执行以下操作：
46.接收用户发起的认证请求，获取至少包括一个认证方法的认证链；
47.基于所述认证方法获取并执行前置安全策略切面，所述前置安全策略切面中包括至少一个前置安全策略；
48.在所述前置安全策略命中后，执行所述认证请求；
49.所述认证请求完成之后，获取并执行后置安全策略切面，所述后置安全策略切面中包括至少一个后置安全策略。
50.在一种可选的方式中，所述可执行指令使所述处理器执行以下操作：
51.根据不同的应用获取不同的所述认证链，所述认证链包括认证方法、执行顺序。
52.在一种可选的方式中，所述可执行指令使所述处理器执行以下操作：
53.根据应用获取与所述认证请求对应的多种认证方法、执行顺序以及判断逻辑并组成所述认证链。
54.在一种可选的方式中，所述可执行指令使所述处理器执行以下操作：
55.根据应用选择预存的与所述认证请求对应的所述认证链。
56.在一种可选的方式中，所述可执行指令使所述处理器执行以下操作：
57.在执行所述认证请求之前，检查是否配置了所述前置安全策略切面；
58.如果是，获取并执行所述前置安全策略切面。
59.在一种可选的方式中，所述可执行指令使所述处理器执行以下操作：
60.检查是否配置了所述后置安全策略切面；
61.如果是，获取并执行所述后置安全策略切面。
62.在一种可选的方式中，所述可执行指令使所述处理器执行以下操作：
63.如果所述认证链包括多个认证方法，根据执行顺序依次根据多个所述认证方法执行所述认证请求。
64.本发明实施例通过接收用户发起的认证请求，获取至少包括一个认证方法的认证链；基于所述认证方法获取并执行前置安全策略切面，所述前置安全策略切面中包括至少一个前置安全策略；在所述前置安全策略命中后，执行所述认证请求；所述认证请求完成之后，获取并执行后置安全策略切面，所述后置安全策略切面中包括至少一个后置安全策略，能够有利于进行认证安全的控制及保护，满足各种灵活多变的场景需求。
65.本发明实施例提供了一种计算机程序，所述计算机程序可被处理器调用使基站设备执行上述任意方法实施例中的认证安全策略执行方法。
66.本发明实施例提供了一种计算机程序产品，所述计算机程序产品包括存储在计算机存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，使所述计算机执行上述任意方法实施例中的认证安全策略执行方法。
67.可执行指令具体可以用于使得处理器执行以下操作：
68.接收用户发起的认证请求，获取至少包括一个认证方法的认证链；
69.基于所述认证方法获取并执行前置安全策略切面，所述前置安全策略切面中包括至少一个前置安全策略；
70.在所述前置安全策略命中后，执行所述认证请求；
71.所述认证请求完成之后，获取并执行后置安全策略切面，所述后置安全策略切面中包括至少一个后置安全策略。
72.在一种可选的方式中，所述可执行指令使所述处理器执行以下操作：
73.根据不同的应用获取不同的所述认证链，所述认证链包括认证方法、执行顺序。
74.在一种可选的方式中，所述可执行指令使所述处理器执行以下操作：
75.根据应用获取与所述认证请求对应的多种认证方法、执行顺序以及判断逻辑并组成所述认证链。
76.在一种可选的方式中，所述可执行指令使所述处理器执行以下操作：
77.根据应用选择预存的与所述认证请求对应的所述认证链。
78.在一种可选的方式中，所述可执行指令使所述处理器执行以下操作：
79.在执行所述认证请求之前，检查是否配置了所述前置安全策略切面；
80.如果是，获取并执行所述前置安全策略切面。
81.在一种可选的方式中，所述可执行指令使所述处理器执行以下操作：
82.检查是否配置了所述后置安全策略切面；
83.如果是，获取并执行所述后置安全策略切面。
84.在一种可选的方式中，所述可执行指令使所述处理器执行以下操作：
85.如果所述认证链包括多个认证方法，根据执行顺序依次根据多个所述认证方法执行所述认证请求。
86.本发明实施例通过接收用户发起的认证请求，获取至少包括一个认证方法的认证链；基于所述认证方法获取并执行前置安全策略切面，所述前置安全策略切面中包括至少一个前置安全策略；在所述前置安全策略命中后，执行所述认证请求；所述认证请求完成之后，获取并执行后置安全策略切面，所述后置安全策略切面中包括至少一个后置安全策略，能够有利于进行认证安全的控制及保护，满足各种灵活多变的场景需求。
87.图4示出了本发明实施例提供的计算设备的结构示意图，本发明具体实施例并不对设备的具体实现做限定。
88.如图4所示，该计算设备可以包括：处理器(processor)402、通信接口(communications interface)404、存储器(memory)406、以及通信总线408。
89.其中：处理器402、通信接口404、以及存储器406通过通信总线408完成相互间的通信。通信接口404，用于与其它设备比如客户端或其它服务器等的网元通信。处理器402，用于执行程序410，具体可以执行上述认证安全策略执行方法实施例中的相关步骤。
90.具体地，程序410可以包括程序代码，该程序代码包括计算机操作指令。
91.处理器402可能是中央处理器cpu，或者是特定集成电路asic(application specific integrated circuit)，或者是被配置成实施本发明实施例的一个或各个集成电路。设备包括的一个或各个处理器，可以是同一类型的处理器，如一个或各个cpu；也可以是不同类型的处理器，如一个或各个cpu以及一个或各个asic。
92.存储器406，用于存放程序410。存储器406可能包含高速ram存储器，也可能还包括非易失性存储器(non
‑
volatile memory)，例如至少一个磁盘存储器。
93.程序410具体可以用于使得处理器402执行以下操作：
94.接收用户发起的认证请求，获取至少包括一个认证方法的认证链；
95.基于所述认证方法获取并执行前置安全策略切面，所述前置安全策略切面中包括至少一个前置安全策略；
96.在所述前置安全策略命中后，执行所述认证请求；
97.所述认证请求完成之后，获取并执行后置安全策略切面，所述后置安全策略切面中包括至少一个后置安全策略。
98.在一种可选的方式中，所述程序410使所述处理器执行以下操作：
99.根据不同的应用获取不同的所述认证链，所述认证链包括认证方法、执行顺序。
100.在一种可选的方式中，所述程序410使所述处理器执行以下操作：
101.根据应用获取与所述认证请求对应的多种认证方法、执行顺序以及判断逻辑并组成所述认证链。
102.在一种可选的方式中，所述程序410使所述处理器执行以下操作：
103.根据应用选择预存的与所述认证请求对应的所述认证链。
104.在一种可选的方式中，所述程序410使所述处理器执行以下操作：
105.在执行所述认证请求之前，检查是否配置了所述前置安全策略切面；
106.如果是，获取并执行所述前置安全策略切面。
107.在一种可选的方式中，所述程序410使所述处理器执行以下操作：
108.检查是否配置了所述后置安全策略切面；
109.如果是，获取并执行所述后置安全策略切面。
110.在一种可选的方式中，所述程序410使所述处理器执行以下操作：
111.如果所述认证链包括多个认证方法，根据执行顺序依次根据多个所述认证方法执行所述认证请求。
112.本发明实施例通过接收用户发起的认证请求，获取至少包括一个认证方法的认证链；基于所述认证方法获取并执行前置安全策略切面，所述前置安全策略切面中包括至少一个前置安全策略；在所述前置安全策略命中后，执行所述认证请求；所述认证请求完成之后，获取并执行后置安全策略切面，所述后置安全策略切面中包括至少一个后置安全策略，能够有利于进行认证安全的控制及保护，满足各种灵活多变的场景需求。
113.在此提供的算法或显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明实施例也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
114.在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。
115.类似地，应当理解，为了精简本发明并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。
116.本领域技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
117.应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。上述实施例中的步骤，除有特殊说明外，不应理解为对执行顺序的限定。