本發明公開了一種對應用系統的鑒權認證裝置、方法及系統，該鑒權認證裝置應用在企業分布式互聯場景下的服務提供方應用系統與服務消費方應用系統，由授權中心為提供方和消費方提供并存儲統一的應用標識，而提供方和消費方擁有獨立的認證模塊，消費方的認證模塊能夠驗證應用系統標識和口令的合法性，提供方的認證模塊能夠驗證所調用服務的消費方是否被授權訪問。通過將鑒權認證分散在服務的提供方和消費方兩端，既增強了企業級認證服務的穩定性也提供了企業級統一的安全鑒權認證方法，實現了在分布式互聯場景中基于應用維度的信息鑒權認證的高可用性，并在源頭上進行了安全控制，大幅提升了應用間互聯訪問的安全性。

技術領域

本發明涉及安全認證技術領域，特別是涉及分布式場景下的應用系統的鑒權認證裝置、方法及系統。

背景技術

在企業級架構中，存在著大量的應用系統，在各個應用系統間需要相關關聯調用。企業內部可能成千上萬個交易系統，每個交易系統由提供眾多的交易接口供其他應用關聯調用。由于大多數的交易系統主要面向企業內部提供服務，起初并未考慮訪問權限等安全問題，這些內部系統提供的接口卻是很重要的，如果獲取到了該接口的調用方式、服務地址就可以被任意調用，對企業內部是非常危險的。因此，在企業內部系統之間提供一種安全可靠的安全機制變得尤為重要。

基于上述原因，很多企業建立了企業服務總線進行消費治理與訪問鑒權控制，這種集中式認證需要每次對應用的身份進行校驗。隨著高可用性的要求，對于分布式的應用互聯的場景要求不斷增加，集中式認證將面臨集中點的壓力大、可靠性差和安全認證能力弱等問題，因此，在分布式互聯訪問的場景中，現有的集中式認證方法已經無法滿足接口管控、鑒權認證的復雜性。

發明內容

針對于上述問題，本發明提供一種對應用系統鑒權認證裝置、方法及系統，實現滿足了在分布式互聯場景中信息的鑒權認證的安全性和高可用性。

為了實現上述目的，本發明提供了如下技術方案：

一種對應用系統的鑒權認證裝置，應用于服務消費方，包括：消費方調用模塊、消費方認證模塊，其中，

所述消費方調用模塊，用于接收授權中心分配的服務消費方應用的身份認證信息，并將消費方認證信息發送至所述消費方認證模塊，其中，所述消費方認證信息包括應用標識和應用口令；

所述消費方認證模塊，用于將獲得的應用口令，通過摘要生成認證口令，并將所述認證口令和所述應用標識發送至授權中心，若所述授權中心對所述認證口令驗證成功，則接收所述授權中心返回的挑戰值和訪問控制列表；

所述消費方認證模塊，還用于在交易調用時，接收服務消費方所需的調用的交易信息，對所述調用的交易信息根據所述訪問控制列表進行權限驗證，若驗證為有權訪問則生成調用認證請求信息，并將所述調用認證請求信息隨交易報文發送至服務提供方。

可選地，所述消費方認證模塊包括：

第一接收單元，用于接收服務消費方所需的調用的交易信息，其中，所述調用的交易信息包括應用標識、應用口令、交易碼和交易報文；

第一驗證單元，用于將所述應用標識和所述認證口令發送至所述授權中心，若所述授權中心對所述應用標識和所述認證口令驗證成功，則根據授權中心返回的挑戰值生成訪問口令，并將所述訪問口令、所述交易碼和所述應用標識生成交易口令和全局不重復的唯一標識；

加密單元，用于根據所述訪問口令和所述全局不重復唯一標識對所述交易報文進行加密，生成加密報文；

簽名單元，用于根據所述訪問口令和所述全局不重復唯一標識對所述交易報文進行報文軟簽名，生成簽名戳；

發送單元，用于將所述應用標識、所述全局不重復唯一標識、所述簽名戳、所述交易碼、所述交易口令和所述加密報文發送至服務提供方；