本發(fā)明涉及信息管理安全，具體涉及一種跨平臺(tái)的身份認(rèn)證與授權(quán)方法、系統(tǒng)、設(shè)備及介質(zhì)。

背景技術(shù)：

1、在信息安全、網(wǎng)絡(luò)安全以及身份與資源訪問(wèn)管理領(lǐng)域，在跨平臺(tái)身份認(rèn)證與授權(quán)使用過(guò)程中一般常采用的方法是：用戶在移動(dòng)設(shè)備上使用已登錄的應(yīng)用程序(app或者小程序)進(jìn)行掃碼操作，而一旦用戶在應(yīng)用程序界面上完成授權(quán)確認(rèn)，授權(quán)服務(wù)器便會(huì)即時(shí)頒發(fā)一個(gè)授權(quán)訪問(wèn)令牌，在訪問(wèn)令牌的有效期限內(nèi)，用戶可憑借此令牌無(wú)縫訪問(wèn)被授權(quán)的資源。

2、該模式的認(rèn)證方法雖然便捷地通過(guò)移動(dòng)設(shè)備上的已登錄應(yīng)用程序進(jìn)行掃碼并授權(quán)，但存在幾個(gè)顯著的缺點(diǎn)：

3、首先，這一認(rèn)證模式主要依賴于單因素認(rèn)證，即掃碼行為本身(通常視為用戶擁有并控制該設(shè)備)，而忽略了多因素認(rèn)證的重要性，這可能導(dǎo)致安全性的不足，在復(fù)雜或高安全需求的環(huán)境下，僅依賴單因素認(rèn)證可能不足以充分保障資源訪問(wèn)的安全性；

4、其次，部分授權(quán)服務(wù)器在頒發(fā)資源訪問(wèn)令牌時(shí)采用jwt(jsonwebtokens)格式，這種格式的令牌一旦由授權(quán)服務(wù)器生成并頒發(fā)給用戶，通常被視為不可篡改且授權(quán)服務(wù)器不再對(duì)其進(jìn)行后續(xù)的直接管理，這意味著一旦令牌被泄露或不當(dāng)使用，用戶將難以通過(guò)授權(quán)服務(wù)器直接撤銷(xiāo)基于該掃碼授權(quán)的訪問(wèn)權(quán)限，從而增加了潛在的安全風(fēng)險(xiǎn)。

5、為此，本技術(shù)特提出一種跨平臺(tái)的身份認(rèn)證與授權(quán)方法以解決上述技術(shù)問(wèn)題。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明的主要目的在于提供一種跨平臺(tái)的身份認(rèn)證與授權(quán)方法，以解決背景技術(shù)中所提出的技術(shù)問(wèn)題。

2、本發(fā)明采用以下技術(shù)方案解決上述技術(shù)問(wèn)題：

3、一種跨平臺(tái)的身份認(rèn)證與授權(quán)方法，基于pc客戶端、移動(dòng)終端、身份認(rèn)證與授權(quán)服務(wù)以及業(yè)務(wù)服務(wù)執(zhí)行操作，包括以下具體步驟：

4、步驟s01：用戶在移動(dòng)終端的應(yīng)用程序上進(jìn)行登錄；

5、步驟s02：用戶在移動(dòng)設(shè)備為pc客戶端授權(quán)，pc客戶端通過(guò)移動(dòng)設(shè)備向身份認(rèn)證與授權(quán)服務(wù)注冊(cè)臨時(shí)ak/sk，后續(xù)業(yè)務(wù)調(diào)用采用臨時(shí)ak/sk產(chǎn)生jws方式作為資源訪問(wèn)令牌；

6、步驟s03：pc客戶端使用ak/sk生成jws作為資源訪問(wèn)令牌向業(yè)務(wù)服務(wù)發(fā)起業(yè)務(wù)請(qǐng)求；

7、步驟s04：業(yè)務(wù)服務(wù)接收到業(yè)務(wù)請(qǐng)求后拿出請(qǐng)求中的jws向身份認(rèn)證與授權(quán)服務(wù)校驗(yàn)令牌有效請(qǐng)求以及關(guān)聯(lián)關(guān)系是否正確，并記錄下當(dāng)前請(qǐng)求中的jws以防止jws重復(fù)使用的情況；

8、步驟s05：校驗(yàn)通過(guò)后業(yè)務(wù)服務(wù)會(huì)進(jìn)行業(yè)務(wù)處理并記錄當(dāng)前ak的資源訪問(wèn)情況。

9、優(yōu)選的，所述步驟s01中的登錄認(rèn)證方式不局限于賬號(hào)口令短信驗(yàn)證、指紋識(shí)別、人臉識(shí)別。

10、優(yōu)選的，所述步驟s02中的pc客戶端向身份認(rèn)證與授權(quán)服務(wù)注冊(cè)臨時(shí)ak/sk的具體操作流程包括：

11、步驟s21：pc客戶端獲取本機(jī)器的網(wǎng)絡(luò)mac地址，產(chǎn)生隨機(jī)數(shù)r，并計(jì)算r的sm3雜湊值r-sm3，將r-sm3前16個(gè)字節(jié)記作為r-sm3-front，后16個(gè)字節(jié)記作為r-sm3-back；

12、步驟s22：pc客戶端發(fā)送mac||r-sm3-front和mac地址給身份認(rèn)證與授權(quán)服務(wù)，提交資源訪問(wèn)權(quán)限請(qǐng)求，其中||表示數(shù)據(jù)拼接；

13、步驟s23：身份認(rèn)證與授權(quán)服務(wù)接收到請(qǐng)求后臨時(shí)存儲(chǔ)pc客戶端信息，產(chǎn)生16字節(jié)隨機(jī)數(shù)r2，將r2以及相關(guān)業(yè)務(wù)信息返回給pc客戶端。

14、步驟s24：pc客戶端將接收到相關(guān)業(yè)務(wù)信息與r-sm3-back生成二維碼，用戶使用移動(dòng)終端應(yīng)用程序的掃碼功能對(duì)二維碼進(jìn)行掃描。

15、步驟s25：用戶在已經(jīng)通過(guò)了個(gè)人身份登錄認(rèn)證的移動(dòng)終端上進(jìn)行應(yīng)用程序的授權(quán)確認(rèn)，對(duì)進(jìn)行相關(guān)業(yè)務(wù)信息與r-sm3-back進(jìn)行確認(rèn)后，將相關(guān)業(yè)務(wù)信息與r-sm3-back發(fā)送給身份認(rèn)證與授權(quán)服務(wù)，身份認(rèn)證與授權(quán)服務(wù)確認(rèn)用戶信息無(wú)誤后，將mac||r-sm3-front作為ak，r2⊕r-sm3-back作為sk進(jìn)行注冊(cè)，其中⊕表示異或運(yùn)算；

16、步驟s26：pc客戶端采用輪詢的請(qǐng)求方式通過(guò)業(yè)務(wù)id向身份認(rèn)證與授權(quán)服務(wù)查詢用戶認(rèn)證結(jié)果，身份認(rèn)證與授權(quán)服務(wù)接收到查詢請(qǐng)求后返回相關(guān)認(rèn)證信息，認(rèn)證通過(guò)后pc客戶端和身份認(rèn)證與授權(quán)服務(wù)雙方約定好，ak為mac||r-sm3-front，sk為r2⊕r-sm3-back。

17、優(yōu)選的，所述步驟s03中jws作為資源訪問(wèn)令牌狀態(tài)下，簽名值采用hmac算法產(chǎn)生，需要對(duì)請(qǐng)求體中的請(qǐng)求時(shí)間、請(qǐng)求頭部、請(qǐng)求內(nèi)容進(jìn)行簽名。

18、優(yōu)選的，所述步驟s04中身份認(rèn)證和授權(quán)服務(wù)校驗(yàn)jws時(shí)需要對(duì)請(qǐng)求時(shí)間、請(qǐng)求頭部、請(qǐng)求內(nèi)容進(jìn)行hmac運(yùn)算并與jws中的簽名值進(jìn)行一致性比對(duì)，比對(duì)成功后記錄當(dāng)前jws，用于解決jws多次使用情況。

19、優(yōu)選的，所述方法還包括步驟s06：當(dāng)資源訪問(wèn)次數(shù)達(dá)到上限或身份認(rèn)證與授權(quán)服務(wù)返回ak過(guò)期時(shí)或者用戶在移動(dòng)終端撤銷(xiāo)對(duì)pc客戶端的授權(quán)時(shí)，pc客戶端需要重新進(jìn)行上述s21～s26的流程對(duì)pc客戶端進(jìn)行注冊(cè)操作。

20、一種跨平臺(tái)的身份認(rèn)證與授權(quán)系統(tǒng)，用于執(zhí)行上述任一所述的跨平臺(tái)的身份認(rèn)證與授權(quán)方法，包括：

21、pc客戶端：用于發(fā)起業(yè)務(wù)請(qǐng)求以及接收處理結(jié)果；

22、移動(dòng)終端：用于發(fā)起用戶身份認(rèn)證與資源訪問(wèn)授權(quán)的請(qǐng)求；

23、身份認(rèn)證與授權(quán)服務(wù)：用于處理用戶身份認(rèn)證以及對(duì)pc客戶端的訪問(wèn)權(quán)限管理；

24、業(yè)務(wù)服務(wù)：根據(jù)業(yè)務(wù)請(qǐng)求進(jìn)行調(diào)用，用于處理實(shí)際的業(yè)務(wù)數(shù)據(jù)；

25、所述pc客戶端在發(fā)起業(yè)務(wù)請(qǐng)求對(duì)業(yè)務(wù)服務(wù)進(jìn)行調(diào)用時(shí)，必須攜帶一個(gè)基于已注冊(cè)且驗(yàn)證通過(guò)的ak/sk生成的jws作為授權(quán)訪問(wèn)令牌；

26、所述jws確保了當(dāng)前pc客戶端的授權(quán)使用次數(shù)還在有效訪問(wèn)內(nèi)以及當(dāng)前請(qǐng)求合法有效。

27、優(yōu)選的，該系統(tǒng)包括以下具體使用應(yīng)用方法：

28、l1.用戶使用移動(dòng)終端上的應(yīng)用程序進(jìn)行登錄操作；

29、l2.用戶使用pc客戶端發(fā)起業(yè)務(wù)請(qǐng)求，若當(dāng)前pc客戶端未進(jìn)行過(guò)授權(quán)，則在pc客戶端屏幕上彈出二維碼，需要用戶進(jìn)行二次的身份認(rèn)證；

30、l3.若出現(xiàn)二維碼，用戶使用應(yīng)用程序?qū)ΧS碼進(jìn)行掃描，并完成刷臉身份認(rèn)證；

31、l4.在用戶完成刷臉認(rèn)證后身份認(rèn)證與授權(quán)服務(wù)會(huì)為該pc客戶端注冊(cè)ak/sk；

32、l5.完成pc客戶端授權(quán)后，pc客戶端會(huì)在本地使用ak/sk產(chǎn)生jws，攜帶jws向業(yè)務(wù)服務(wù)提交業(yè)務(wù)請(qǐng)求；

33、l6.業(yè)務(wù)服務(wù)接收到業(yè)務(wù)請(qǐng)求后會(huì)向身份認(rèn)證與授權(quán)服務(wù)校驗(yàn)請(qǐng)求中攜帶的jws。

34、l7.校驗(yàn)通過(guò)后業(yè)務(wù)服務(wù)才會(huì)根據(jù)業(yè)務(wù)請(qǐng)求情況完成相應(yīng)的操作并返回業(yè)務(wù)處理結(jié)果。

35、又一方面，本發(fā)明還公開(kāi)一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)，使得所述處理器執(zhí)行如上述方法的步驟。

36、再一方面，本發(fā)明還公開(kāi)一種計(jì)算機(jī)設(shè)備，包括存儲(chǔ)器和處理器，所述存儲(chǔ)器存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被所述處理器執(zhí)行時(shí)，使得所述處理器執(zhí)行如上方法的步驟。

37、由上述技術(shù)方案可知，本發(fā)明提供了一種跨平臺(tái)的身份認(rèn)證與授權(quán)方法。與現(xiàn)有技術(shù)相比本發(fā)明的具有以下優(yōu)勢(shì)：

38、1.本發(fā)明通過(guò)在每次業(yè)務(wù)請(qǐng)求時(shí)生成新的jws作為訪問(wèn)令牌，結(jié)合hmac算法對(duì)請(qǐng)求關(guān)鍵信息簽名及驗(yàn)證，能夠有效防御令牌截取與重放攻擊，確保了每次請(qǐng)求的真實(shí)性和唯一性，維護(hù)了授權(quán)通信的完整性。

39、2.本發(fā)明通過(guò)設(shè)定ak/sk的使用次數(shù)和有效期限制，實(shí)現(xiàn)了訪問(wèn)憑據(jù)的動(dòng)態(tài)管理，迫使定期重新驗(yàn)證，從而顯著降低了長(zhǎng)期有效憑據(jù)被盜用的風(fēng)險(xiǎn)，增強(qiáng)了系統(tǒng)的安全性持續(xù)性。

40、3.本發(fā)明通過(guò)實(shí)施由身份認(rèn)證與授權(quán)服務(wù)集中管理pc客戶端的ak/sk，允許即時(shí)撤銷(xiāo)可疑或不再信任客戶端的訪問(wèn)權(quán)限，甚至將其mac地址加入黑名單，極大地增強(qiáng)了對(duì)客戶端接入的可控性與安全性管理能力。

41、4.本發(fā)明通過(guò)在pc客戶端與業(yè)務(wù)服務(wù)的交互過(guò)程中設(shè)置臨時(shí)ak/sk機(jī)制，并利用這些憑證生成jws作為資源訪問(wèn)令牌，能夠起到動(dòng)態(tài)、一次性授權(quán)訪問(wèn)控制的作用，確保了每次請(qǐng)求都攜帶經(jīng)過(guò)嚴(yán)格加密和簽名的信息包，有效防止了未經(jīng)授權(quán)的訪問(wèn)和令牌的復(fù)用攻擊。

42、5.本發(fā)明通過(guò)業(yè)務(wù)服務(wù)對(duì)接收到的jws進(jìn)行實(shí)時(shí)校驗(yàn)并與身份認(rèn)證與授權(quán)服務(wù)核實(shí)其有效性及關(guān)聯(lián)性，不僅加強(qiáng)了請(qǐng)求的真實(shí)性和時(shí)效性驗(yàn)證，還實(shí)現(xiàn)了對(duì)ak使用情況的跟蹤記錄，有助于監(jiān)控和防止?jié)撛诘臑E用行為，極大增強(qiáng)了跨平臺(tái)身份認(rèn)證與授權(quán)體系的安全性與可靠性，保護(hù)了用戶資源免受非法侵?jǐn)_，同時(shí)保證了業(yè)務(wù)處理的高效與正當(dāng)性。

43、應(yīng)當(dāng)理解，本部分所描述的內(nèi)容并非旨在標(biāo)識(shí)本發(fā)明的實(shí)施例的關(guān)鍵或重要特征，也不用于限制本發(fā)明的范圍。本發(fā)明的其它特征將通過(guò)以下的說(shuō)明書(shū)而變得容易理解。當(dāng)然，實(shí)施本發(fā)明的任一產(chǎn)品并不一定需要同時(shí)達(dá)到以上所述的所有優(yōu)點(diǎn)。