安全认证方法、装置、电子设备和存储介质与流程

1.本技术实施例涉及互联网通信技术领域，特别涉及一种安全认证方法、装置、电子设备和存储介质。


背景技术：

2.随着通信技术和互联网的不断发展，用户通过用户设备调用各种应用提供的多种功能进行业务办理的场景越来越多，用户设备向网站发起业务请求的时候，根据存储在用户设备中用于辨识用户设备的身份以及进行会话跟踪的数据(一般经过加密)，在业务请求中自动携带能够标识自身身份的cookie信息，网站根据接收到的cookie信息对用户设备的身份进行识别以及用户设备访问权限的确认，向用户设备开放具有访问权限的所有功能的访问，供用户设备进行业务处理。
3.但是，当网站中存在可以利用的xss漏洞(跨站脚本漏洞)的情况下，攻击者可以通过异步请求的方式将标识用户设备和会话的cookie信息上报给攻击者，攻击者根据cookie信息可以获取到cookie信息对应的用户设备的所有访问权限，从而根据窃取到的用户设备的cookie信息对网站提供的功能进行访问，导致网站提供的功能的信息容易泄露，网站提供的功能的访问安全性较低。


技术实现要素：

4.本技术实施例的主要目的在于提出一种安全认证方法、装置、电子设备和存储介质，旨在避免具有功能访问权限的用户设备的访问令牌被盗用，避免核心功能的信息泄露，提高核心功能访问的安全性。
5.为实现上述目的，本技术实施例提供了一种安全认证方法，应用于统一认证授权中心，方法包括：获取持有访问令牌的用户设备当前的第一访问信息；其中，第一访问信息用于标识用户设备的身份；检测第一访问信息与访问令牌生成时存储的第二访问信息是否一致，在第一访问信息与第二访问信息不一致的情况下，上报告警并将访问令牌设置为失效状态。
6.为实现上述目的，本技术实施例还提出了一种安全认证装置，包括：获取模块，用于获取持有访问令牌的用户设备当前的第一访问信息；其中，第一访问信息用于标识用户设备的身份；控制模块，用于检测第一访问信息与访问令牌生成时存储的第二访问信息是否一致，在第一访问信息与第二访问信息不一致的情况下，上报告警并将访问令牌设置为失效状态。
7.为实现上述目的，本技术实施例还提出了一种电子设备，设备包括：至少一个处理器；以及，与至少一个处理器通信连接的存储器；其中，存储器存储有可被至少一个处理器执行的指令，指令被至少一个处理器执行，以使至少一个处理器能够执行如上所述的安全认证方法。
8.为实现上述目的，本技术实施例还提出了一种计算机可读存储介质，存储有计算
机程序，计算机程序被处理器执行时实现如上所述的安全认证方法。
9.本技术实施例提供的安全认证方法，在用户设备通过访问令牌进行企业级应用核心功能访问的过程中，对持有访问令牌的用户设备进行访问信息校验，在检测到用户设备当前的访问信息和访问令牌生成时存储的访问信息不一致的情况下，判定访问令牌被盗用，将访问令牌设置为失效状态，从而禁止用户设备继续进行核心功能访问；通过对持有访问令牌的用户设备进行访问信息校验，准确针对访问核心功能的用户设备进行安全性检测，降低统一认证授权中心的工作负荷；通过在用户设备当前的访问信息和令牌生成时存储的访问信息不一致的情况下将访问令牌设置为失效状态，避免了用于企业级应用访问核心功能的访问令牌被盗用，从而避免企业级应用核心功能的信息泄露，提高了核心功能访问的安全性。
附图说明
10.一个或多个实施例通过与之对应的附图中的图片进行示例性说明，这些示例性说明并不构成对实施例的限定。
11.图1是本发明实施例中的安全认证方法流程图；
12.图2是本发明实施例中的二次认证过程的流程示意图；
13.图3是本发明实施例中的访问信息检测过程的流程示意图；
14.图4是本发明另一实施例中的安全认证装置的结构示意图；
15.图5是本发明另一实施例中的电子设备结构示意图。
具体实施方式
16.由背景技术可知，在网站中存在可以利用的xss漏洞的情况下，攻击者可以盗用具有功能访问权限的用户设备的cookie信息，从而利用用户设备的访问权限对网站提供的功能进访问，导致网络提供的功能的信息容易出现泄漏，网站提供的功能的访问安全性较低。因此，如何避免具有访问权限的用户设备的访问权限被盗用，提高功能访问的安全性是一个迫切需要得到解决的问题。
17.为了解决上述问题，本技术的实施例提供了一种安全认证方法，应用于统一认证授权中心，包括：获取持有访问令牌的用户设备当前的第一访问信息；其中，第一访问信息用于标识用户设备的身份；检测第一访问信息与访问令牌生成时存储的第二访问信息是否一致，在第一访问信息与第二访问信息不一致的情况下，上报告警并将访问令牌设置为失效状态。
18.本技术实施例提供的安全认证方法，在用户设备通过访问令牌进行企业级应用核心功能访问的过程中，对持有访问令牌的用户设备进行访问信息校验，在检测到用户设备当前的访问信息和访问令牌生成时存储的访问信息不一致的情况下，判定访问令牌被盗用，将访问令牌设置为失效状态，从而禁止用户设备继续进行核心功能访问；通过对持有访问令牌的用户设备进行访问信息校验，准确针对访问核心功能的用户设备进行安全性检测，降低统一认证授权中心的工作负荷；通过在用户设备当前的访问信息和令牌生成时存储的访问信息不一致的情况下将访问令牌设置为失效状态，避免了用于企业级应用访问核心功能的访问令牌被盗用，从而避免企业级应用核心功能的信息泄露，提高了核心功能访
问的安全性。
19.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合附图对本技术的各实施例进行详细的阐述。然而，本领域的普通技术人员可以理解，在本技术各实施例中，为了使读者更好地理解本技术而提出了许多技术细节。但是，即使没有这些技术细节和基于以下各实施例的种种变化和修改，也可以实现本技术所要求保护的技术方案。以下各个实施例的划分是为了描述方便，不应对本技术的具体实现方式构成任何限定，各个实施例在不矛盾的前提下可以相互结合相互引用。
20.下面将结合具体的实施例的对本技术记载的安全认证方法的实现细节进行具体的说明，以下内容仅为方便理解提供的实现细节，并非实施本方案的必须。
21.本发明实施例的第一方面提供了一种安全认证方法，应用于统一认证授权中心或者部署了统一认证授权中心的计算机设备，本实施例以应用在统一认证授权中心为例进行说明，安全认证方法的流程图如图1所示，包括以下步骤：
22.步骤101，获取持有访问令牌的用户设备当前的第一访问信息。
23.具体地说，统一认证授权中心在用户设备对企业级应用提供的功能进行访问的过程中，可以向企业级应用下发访问信息上报请求，要求企业级应用上报通过访问令牌进行核心功能访问的用户设备当前的访问信息，或者企业级应用主动上报通过访问令牌进行核心功能访问的用户设备当前的访问信息，其中，访问信息可以是用户设备的ip地址、用户设备的代理服务器地址等用于标识用户设备身份的信息。根据企业级应用上报的访问信息，统一认证授权中心获取持有访问令牌的用户设备当前的第一访问信息，其中，第一访问信息用于标识用户设备的身份。
24.在一个例子中，统一认证授权中心获取持有访问令牌的用户设备当前的第一访问信息，包括：根据预设时间间隔，周期性地获取持有访问令牌的用户设备当前的第一访问信息。为了避免通过了访问核心功能的二次认证的用户设备的cookie信息和访问令牌同时被盗用，统一认证授权中心在持有访问令牌的用户设备进行企业级应用核心功能访问的过程中，根据预设时间间隔，周期性地获取持有访问令牌的用户设备当前的第一访问信息，例如，每隔一分钟获取一次用户设备当前的第一访问信息；从而周期性地对用户设备当前的第一访问信息和访问令牌生成时存储的第二访问信息是否一致进行检测。通过周期性检测的方式降低二次认证通过的用户设备的设备信息和访问令牌都被盗用导致企业级应用核心功能信息泄露的可能性，进一步提高核心功能访问的安全性。
25.在另一个例子中，统一认证授权中心在获取持有访问令牌的用户设备当前的第一访问信息前，还包括：获取用户设备访问核心功能的访问请求，在访问请求中未包含访问令牌的情况下，对用户设备进行二次认证；在二次认证通过的情况下，生成访问令牌并存储用户设备在访问令牌生成时的第二访问信息，将访问令牌发送给用户设备，供用户设备通过访问令牌进行核心功能的访问。具体地说，用户设备在向企业级应用发起访问核心功能的访问请求后，企业级应用对用户设备是否具有核心功能访问权限进行检测，在用户不具有核心功能访问权限的情况下，将用户设备针对核心功能的访问请求转发到统一认证授权中心，统一认证授权中心获取到用户设备访问核心功能的访问请求后，在访问请求中未包含访问令牌的情况下，在用户设备上显示统一认证授权中心二次认证窗口，提示用户进行用户设备访问核心功能的二次认证，在用户设备通过二次认证的情况下，统一认证授权中心
对用户设备的访问请求进行分析，确定访问请求包含的特定会话，为用户设备生成与特定会话相绑定的访问令牌，并存储访问令牌生成时用户设备的访问信息，然后将访问令牌发送到用户设备，供用户设备基于获取到的访问令牌，通过访问令牌绑定的特定会话对企业级应用的核心功能进行访问。通过对请求访问企业级应用核心功能但未持有访问令牌的用户设备进行二次认证，在二次认证通过的情况下生成和下发与特定会话相绑定的访问令牌，供用户设备基于访问令牌通过特定会话对企业级应用的核心功能进行访问，通过将访问令牌与特定会话绑定的方式，使得访问令牌只有在用户设备通过特定会话进行核心功能访问时才能作为核心功能访问的凭证，避免未经过二次认证的用户设备或者经过二次认证的用户设备通过特定会话外的其余会话进行核心功能的访问，从而使核心功能的访问安全性进一步上升，；通过对生成访问令牌时用户设备的访问信息进行存储，使得后续能够对下发的访问令牌是否被盗用进行准确的检测，进一步保证核心功能访问的安全性。
26.在另一个例子中，统一认证授权中心对用户设备进行二次认证，包括：获取用户输入的身份识别信息；在识别信息无误的情况下，检测身份识别信息对应的第三访问信息与用户设备当前的第四访问信息是否一致；在第三访问信息和第四访问信息一致的情况下，判定二次认证通过。未持有访问令牌的用户设备进行二次认证的流程示意图如图2所示，用户设备通过浏览器向企业级应用发起访问核心功能的访问请求，企业级应用在接收到用户设备访问核心功能的请求后，在用户设备未持有访问令牌的情况下将用户设备的访问请求重定向到统一认证授权中心，统一认证授权中心在用户设备上弹出二次认证窗口，例如，统一认证授权中心的登录窗口，然后用户在用户设备上进行身份识别信息的输入，统一认证授权中心在接收到用户输入的身份识别信息后，先对身份识别信息是否正确进行识别，在身份识别信息为错误信息的情况下，可以提示用户重新输入，在多次身份识别信息输入错误的情况下，还可以禁止用户设备在一定时长内再次进行二次认证，并向企业级应用反馈用户设备二次认证失败的消息，供企业级应用拒绝用户设备对核心功能的访问；在输入的身份识别信息为正确的身份识别信息的情况下，向企业级应用反馈一个身份识别信息输入正确的消息，然后企业级应用在接收到用身份识别信息输入正确的消息后，获取并存储用户设备当前的第三访问信息，然后将用户设备当前的第三访问信息上报到统一认证授权中心，统一认证授权中心接收到用户设备当前的第三访问信息后，再根据用户输入的身份识别信息，获取身份识别信息对应的第四访问信息，对用户设备当前的第三访问信息和身份识别信息对应的第四访问信息是否一致进行检测，在第三访问信息和第四访问信息一致的情况下，判定用户设备的二次认证通过；在第三访问信息和第四访问信息不一致的情况下，判定用户设备的二次认证未通过，提示用户设备重新进行二次认证或者禁止用户设备在一定时长内再进行二次认证。通过判断用户输入的身份识别信息的正误，以及正确的身份识别信息对应的访问信息与用户设备当前的访问信息是否一致，以对用户设备进行二次认证，避免用户设备的身份信息被盗用导致访问令牌的误发放，进一步提升访问令牌下发的安全性，从而提高核心功能访问的安全性。
27.进一步地，统一认证授权中心提示用户输入的身份识别信息包括以下之一或组合：登录账号和密码、动态验证码。在对用户设备进行二次认证的时候，统一认证授权中心可以提示用户在二次认证窗口输入登录统一认证授权中心的账号和密码进行登录验证；或者提示用户输入一个已经进行认证过的身份标识，向身份标识对应的设备发送一个动态验
证码，提示用户输入动态验证码进行登录和验证；或者在用户通过账号和密码登录后，向用户输入的账号和密码对应的设备发生动态验证码，提示用户输入动态验证码进行登录验证。在验证过程中可以根据实际需要对二次认证输入的身份标识信息和验证方式进行适应性调整。通过选择能够标识用户设备的不同身份识别信息，或者对不同的身份识别信息进行组合来完成二次认证，提高二次认证的准确性和实用性。
28.在另一个例子中，统一认证授权中心在生成访问令牌并存储用户设备在访问令牌生成时的第二访问信息后，还包括：获取访问令牌已生效的生效时长，检测生效时长是否达到预设门限；在生效时长达到预设门限的情况下，销毁访问令牌。统一认证授权中心在生成访问令牌后，访问令牌即刻进入生效状态，即，用户设备在持有访问令牌的情况下，可以访问企业级应用的核心功能，在访问令牌生成起，统一认证授权中心开始对访问令牌生效的时长进行统计，在生效时长达到预设门限的情况下，例如，生效时间达到预设的30分钟后，将访问令牌销毁。如果在访问令牌生效时长达到预设门限时，用户设备正在通过访问令牌进行核心功能访问，则可以直接禁止用户设备继续访问核心功能，提示用户设备重新进行二次认证以获取访问令牌或者允许用户继续访问当前正在访问的核心功能，在用户设备退出访问状态后，提示用户设备重新进行二次认证。
29.另外，统一认证授权中心也可以在生成访问令牌时直接生成一个短期有效的时效性访问令牌，预先在访问令牌中设置可生效时长，在生效时长未达到预设时长前用户设备可以重复地访问企业级应用的指定或者所有核心功能，在生效时长达到预设时长后，访问令牌自动进入失效状态或者自动销毁。
30.步骤102，检测第一访问信息与访问令牌生成时存储的第二访问信息是否一致，在第一访问信息与第二访问信息不一致的情况下，上报告警并将访问令牌设置为失效状态。
31.具体地说，统一认证授权中心在获取到持有访问令牌的用户设备当前的第一访问信息后，在自身的存储空间或者通信连接的存储设备中，读取在用户设备持有的访问令牌生成时存储的用户设备的第二访问信息，将访问令牌生成时存储的第二访问信息和用户设备当前的第一访问信息进行对比，检测第一访问信息和令牌生成时存储的第二访问信息是否一致，在第一访问信息和第二访问信息不一致的情况下，上报告警并将访问令牌设置为失效状态。
32.例如，统一认证授权中心对用户设备访问信息是否变动进行检测的流程示意图如图3所示，用户设备在获取到统一认证授权中心发放的访问令牌后，基于持有的访问令牌重新向企业级应用发起核心功能访问请求，在访问请求中携带访问令牌，企业级应用在接收到访问请求后，允许用户设备进行核心功能的访问，同时获取并记录用户当前的访问信息，例如，采用json格式将用户设备的ip地址和代理服务器地址记录为{“ip：xxx”，“agent：xxx”}然后将用户当前的访问信息和访问请求中携带的访问令牌上报给统一认证授权中心，在进行访问信息上报时，例如根据存储时采用的json格式将上报的信息编辑为{service：https://www.o2.com；secauthtoken：xxx；accesslist：{“ip：xxxx”，“agent：xxx”}}，其中，service为核心功能标识，secauthtoken为访问令牌标识，accesslist为访问信息标识。统一授权认证中心在接收到用户设备当前的第一访问信息后，读取用户设备持有的访问令牌生成时存储的第二访问信息，和用户设备当前的第一访问信息进行对比，并将对比结果或者两个访问信息可视化的展示在仪表盘或者管理员界面，在用户设备当前的
第一访问信息和持有的访问令牌生成时存储的第二访问信息不一致的情况下，判定访问令牌被盗用，立即将访问令牌设置为失效状态，禁止正在访问企业级应用核心功能的用户设备继续进行核心功能访问，并向网络安全组上报告警。
33.在一个例子中，统一认证授权中心在上报告警并将访问令牌设置为失效状态后，还包括：自动销毁访问令牌或根据管理员指令销毁访问令牌。统一认证授权中心在上报告警和将访问令牌设置为失效状态后，还可以进一步对用户设备的ip地址归属地是否变更进行进一步的检测，在检测到用户设备的ip地址归属地发生变更的情况下，直接销毁访问令牌，在ip地址归属地未变更的情况下，还可以根据管理员指令，对访问信息发生变化的多个用户设备持有的访问令牌进行批量销毁，从而进一步避免访问令牌被盗用的可能性，提高企业级应用核心功能访问的安全性。
34.此外，应当理解的是，上面各种方法的步骤划分，只是为了描述清楚，实现时可以合并为一个步骤或者对某些步骤进行拆分，分解为多个步骤，只要包括相同的逻辑关系，都在本专利的保护范围内；对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计，但不改变其算法和流程的核心设计都在该专利的保护范围内。
35.本发明的实施例涉及一种安全认证装置，参考图4，包括：
36.获取模块401，用于获取持有访问令牌的用户设备当前的第一访问信息；其中，第一访问信息用于标识用户设备的身份。
37.控制模块402，用于检测第一访问信息与访问令牌生成时存储的第二访问信息是否一致，在第一访问信息与第二访问信息不一致的情况下，上报告警并将访问令牌设置为失效状态。
38.不难发现，本实施例为与方法实施例相对应的装置实施例，本实施例可与方法实施例互相配合实施。方法实施例中提到的相关技术细节在本实施例中依然有效，为了减少重复，这里不再赘述。相应地，本实施例中提到的相关技术细节也可应用在方法实施例中。
39.值得一提的是，本实施例中所涉及到的各模块均为逻辑模块，在实际应用中，一个逻辑单元可以是一个物理单元，也可以是一个物理单元的一部分，还可以以多个物理单元的组合实现。此外，为了突出本发明的创新部分，本实施例中并没有将与解决本发明所提出的技术问题关系不太密切的单元引入，但这并不表明本实施例中不存在其它的单元。
40.本技术的实施例还提供了一种电子设备，参考图5，包括：包括至少一个处理器501；以及，与至少一个处理器501通信连接的存储器502；其中，存储器502存储有可被至少一个处理器501执行的指令，指令被至少一个处理器501执行，以使至少一个处理器501能够执行上述任一方法实施例所描述的安全认证方法。
41.其中，存储器502和处理器501采用总线方式连接，总线可以包括任意数量的互联的总线和桥，总线将一个或多个处理器501和存储器502的各种电路连接在一起。总线还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路连接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口在总线和收发机之间提供接口。收发机可以是一个元件，也可以是多个元件，比如多个接收器和发送器，提供用于在传输介质上与各种其他装置通信的单元。经处理器501处理的数据通过天线在无线介质上进行传输，进一步，天线还接收数据并将数据传输给处理器501。
42.处理器501负责管理总线和通常的处理，还可以提供各种功能，包括定时，外围接
口，电压调节、电源管理以及其他控制功能。而存储器502可以被用于存储处理器501在执行操作时所使用的数据。
43.本发明的实施方式还提供了一种计算机可读存储介质，存储有计算机程序。计算机程序被处理器执行时实现上述方法实施例。
44.即，本领域技术人员可以理解，实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序存储在一个存储介质中，包括若干指令用以使得一个设备(可以是单片机，芯片等)或处理器(processor)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read
‑
only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
45.本领域的普通技术人员可以理解，上述各实施例是实现本技术的具体实施例，而在实际应用中，可以在形式上和细节上对其作各种改变，而不偏离本技术的精神和范围。