本發(fā)明涉及應(yīng)用訪問技術(shù)領(lǐng)域，更具體地說，涉及一種應(yīng)用安全訪問的設(shè)置方法及裝置。

背景技術(shù)：

隨著越來越多的地區(qū)或者企業(yè)采用電子系統(tǒng)的方式實(shí)現(xiàn)對(duì)應(yīng)財(cái)務(wù)的管理，對(duì)于這些財(cái)務(wù)系統(tǒng)的維護(hù)工作提出了更高的要求。

現(xiàn)有技術(shù)中通常在外界訪問財(cái)務(wù)系統(tǒng)時(shí)，通常是通過設(shè)置除了管理員之外的人員只允許訪問不允許修改來預(yù)防對(duì)財(cái)務(wù)系統(tǒng)的數(shù)據(jù)破壞的，但是這種方式卻并不能防止有不良目的的人員對(duì)于財(cái)務(wù)系統(tǒng)的訪問。

綜上所述，如何提供一種能夠有效保證財(cái)務(wù)系統(tǒng)的安全性訪問的技術(shù)方案，是目前本領(lǐng)域技術(shù)人員亟待解決的問題。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的是提供一種應(yīng)用安全訪問的設(shè)置方法及裝置，以能夠有效保證財(cái)務(wù)系統(tǒng)的安全性訪問。

為了實(shí)現(xiàn)上述目的，本發(fā)明提供如下技術(shù)方案：

一種應(yīng)用安全訪問的設(shè)置方法，包括：

制作身份證書，所述身份證書對(duì)應(yīng)的密碼算法包括sm算法；

將所述身份證書導(dǎo)入到應(yīng)用服務(wù)器的證書庫(kù)中，并將所述身份證書安裝到允許訪問所述應(yīng)用服務(wù)器的指定瀏覽器中；

如果有瀏覽器請(qǐng)求訪問所述應(yīng)用服務(wù)器，則判斷該瀏覽器的身份證書是否存在于所述證書庫(kù)中，若是，則允許此次請(qǐng)求，若否，則拒絕此次請(qǐng)求。

優(yōu)選的，判斷請(qǐng)求訪問所述應(yīng)用服務(wù)器的瀏覽器的身份證書是否存在于所述證書庫(kù)中之前，還包括：

為所述應(yīng)用服務(wù)器的jsse添加密碼套件，所述密碼套件包括sm算法，并指示所述應(yīng)用服務(wù)器選取該密碼套件作為當(dāng)前實(shí)現(xiàn)身份認(rèn)證對(duì)應(yīng)套件。

優(yōu)選的，制作身份證書，包括：

基于jca/jce框架開發(fā)支持sm算法的算法提供者；

基于所述算法提供者提供的sm算法生成密鑰對(duì)，并基于所述密鑰對(duì)中的公鑰生成身份證書。

優(yōu)選的，基于所述密鑰對(duì)中的公鑰生成身份證書，包括：

將所述密鑰對(duì)中的公鑰發(fā)送至第三方認(rèn)證機(jī)構(gòu)；

接收所述第三方認(rèn)證機(jī)構(gòu)回復(fù)的信息并基于該信息及對(duì)應(yīng)公鑰生成身份證書。

優(yōu)選的，還包括：

預(yù)先設(shè)置任一瀏覽器與所述應(yīng)用服務(wù)器之間通過https方式實(shí)現(xiàn)訪問。

一種應(yīng)用安全訪問的設(shè)置裝置，包括：

制作模塊，用于：制作身份證書，所述身份證書對(duì)應(yīng)的密碼算法包括sm算法；

導(dǎo)入模塊，用于：將所述身份證書導(dǎo)入到應(yīng)用服務(wù)器的證書庫(kù)中，并將所述身份證書安裝到允許訪問所述應(yīng)用服務(wù)器的指定瀏覽器中；

認(rèn)證模塊，用于：如果有瀏覽器請(qǐng)求訪問所述應(yīng)用服務(wù)器，則判斷該瀏覽器的身份證書是否存在于所述證書庫(kù)中，若是，則允許此次請(qǐng)求，若否，則拒絕此次請(qǐng)求。

優(yōu)選的，還包括：

添加模塊，用于：判斷請(qǐng)求訪問所述應(yīng)用服務(wù)器的瀏覽器的身份證書是否存在于所述證書庫(kù)中之前，為所述應(yīng)用服務(wù)器的jsse添加密碼套件，所述密碼套件包括sm算法，并指示所述應(yīng)用服務(wù)器選取該密碼套件作為當(dāng)前實(shí)現(xiàn)身份認(rèn)證對(duì)應(yīng)套件。

優(yōu)選的，所述制作模塊包括：

制作單元，用于：基于jca/jce框架開發(fā)支持sm算法的算法提供者；基于所述算法提供者提供的sm算法生成密鑰對(duì)，并基于所述密鑰對(duì)中的公鑰生成身份證書。

優(yōu)選的，所述制作單元包括：

制作子單元，用于：將所述密鑰對(duì)中的公鑰發(fā)送至第三方認(rèn)證機(jī)構(gòu)；接收所述第三方認(rèn)證機(jī)構(gòu)回復(fù)的信息并基于該信息及對(duì)應(yīng)公鑰生成身份證書。

優(yōu)選的，還包括：

預(yù)設(shè)模塊，用于：預(yù)先設(shè)置任一瀏覽器與所述應(yīng)用服務(wù)器之間通過https方式實(shí)現(xiàn)訪問。

本發(fā)明提供了一種應(yīng)用安全訪問的設(shè)置方法及裝置，其中該方法包括：制作身份證書，所述身份證書對(duì)應(yīng)的密碼算法包括sm算法；將所述身份證書導(dǎo)入到應(yīng)用服務(wù)器的證書庫(kù)中，并將所述身份證書安裝到允許訪問所述應(yīng)用服務(wù)器的指定瀏覽器中；如果有瀏覽器請(qǐng)求訪問所述應(yīng)用服務(wù)器，則判斷該瀏覽器的身份證書是否存在于所述證書庫(kù)中，若是，則允許此次請(qǐng)求，若否，則拒絕此次請(qǐng)求。本申請(qǐng)公開的技術(shù)方案中通過制作sm算法的身份證書，并將該證書導(dǎo)入到財(cái)務(wù)系統(tǒng)對(duì)應(yīng)的應(yīng)用服務(wù)器及安裝到用于訪問該應(yīng)用服務(wù)器的指定瀏覽器上，從而當(dāng)外界通過瀏覽器對(duì)財(cái)務(wù)系統(tǒng)對(duì)應(yīng)應(yīng)用服務(wù)器實(shí)現(xiàn)訪問時(shí)，能夠通過身份證書對(duì)該訪問進(jìn)行身份認(rèn)證，從而保證了財(cái)務(wù)系統(tǒng)的安全性訪問；另外，sm算法為級(jí)別較高、被破譯難度較高的算法，從而進(jìn)一步保證了財(cái)務(wù)系統(tǒng)的安全性訪問。

附圖說明

為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)提供的附圖獲得其他的附圖。

圖1為本發(fā)明實(shí)施例提供的一種應(yīng)用安全訪問的設(shè)置方法的流程圖；

圖2為本發(fā)明實(shí)施例提供的一種應(yīng)用安全訪問的設(shè)置裝置的結(jié)構(gòu)示意圖。

具體實(shí)施方式

下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

請(qǐng)參閱圖1，其示出了本發(fā)明實(shí)施例提供的一種應(yīng)用安全訪問的設(shè)置方法的流程圖，可以包括以下步驟：

s11：制作身份證書，身份證書對(duì)應(yīng)的密碼算法包括sm算法。

本發(fā)明實(shí)施例提供的一種應(yīng)用安全訪問的設(shè)置方法的執(zhí)行主體均可以為應(yīng)用服務(wù)器，對(duì)應(yīng)的本發(fā)明實(shí)施例提供的一種應(yīng)用安全訪問的設(shè)置裝置可以集成安裝到應(yīng)用服務(wù)器中，當(dāng)然也可以根據(jù)實(shí)際需要進(jìn)行其他設(shè)定。

其中sm算法具體可以為sm2算法，也即在本申請(qǐng)中可以是制作出sm2算法的身份證書，當(dāng)然也可以根據(jù)實(shí)際需要設(shè)置其他算法，均在本發(fā)明的保護(hù)范圍之內(nèi)。

s12：將身份證書導(dǎo)入到應(yīng)用服務(wù)器的證書庫(kù)中，并將身份證書安裝到允許訪問應(yīng)用服務(wù)器的指定瀏覽器中。

此處的應(yīng)用服務(wù)器可以指財(cái)務(wù)系統(tǒng)的應(yīng)用服務(wù)器，當(dāng)然也可以根據(jù)實(shí)際需要進(jìn)行其他設(shè)定，將身份證書導(dǎo)入應(yīng)用服務(wù)器的證書庫(kù)，并將身份證書安裝到允許訪問應(yīng)用服務(wù)器的指定瀏覽器中，從而能夠在接收到任一瀏覽器的訪問請(qǐng)求時(shí)，根據(jù)身份證書對(duì)其進(jìn)行身份認(rèn)證。

s13：如果有瀏覽器請(qǐng)求訪問應(yīng)用服務(wù)器，則判斷該瀏覽器的身份證書是否存在于證書庫(kù)中，若是，則允許此次請(qǐng)求，若否，則拒絕此次請(qǐng)求。

如果有瀏覽器請(qǐng)求訪問應(yīng)用服務(wù)器，則判斷瀏覽器的身份證書是否存在于證書庫(kù)中，如果是，則說明發(fā)出該請(qǐng)求的瀏覽器為指定瀏覽器，此時(shí)允許該瀏覽器對(duì)應(yīng)用服務(wù)器的訪問，如果否，則說明發(fā)出該請(qǐng)求的瀏覽器不為指定瀏覽器，此時(shí)拒絕該瀏覽器對(duì)應(yīng)用服務(wù)器的訪問，從而通過身份證書保證了應(yīng)用服務(wù)器的訪問安全性。

本申請(qǐng)公開的技術(shù)方案中通過制作sm算法的身份證書，并將該證書導(dǎo)入到財(cái)務(wù)系統(tǒng)對(duì)應(yīng)的應(yīng)用服務(wù)器及安裝到用于訪問該應(yīng)用服務(wù)器的指定瀏覽器上，從而當(dāng)外界通過瀏覽器對(duì)財(cái)務(wù)系統(tǒng)對(duì)應(yīng)應(yīng)用服務(wù)器實(shí)現(xiàn)訪問時(shí)，能夠通過身份證書對(duì)該訪問進(jìn)行身份認(rèn)證，從而保證了財(cái)務(wù)系統(tǒng)的安全性訪問；另外，sm算法為級(jí)別較高、被破譯難度較高的算法，從而進(jìn)一步保證了財(cái)務(wù)系統(tǒng)的安全性訪問。

本發(fā)明實(shí)施例提供的一種應(yīng)用安全訪問的設(shè)置方法，判斷請(qǐng)求訪問應(yīng)用服務(wù)器的瀏覽器的身份證書是否存在于證書庫(kù)中之前，還可以包括：

為應(yīng)用服務(wù)器的jsse添加密碼套件，密碼套件包括sm算法，并指示應(yīng)用服務(wù)器選取該密碼套件作為當(dāng)前實(shí)現(xiàn)身份認(rèn)證對(duì)應(yīng)套件。

為應(yīng)用服務(wù)器的jsse(javasecuritysocketextension,java，安全套接字?jǐn)U展)添加密碼套件，具體可以通過修改jdk的代碼，在ciphersuite類中添加一個(gè)密碼套件實(shí)現(xiàn)，具體來說，當(dāng)添加的密碼套件包括sm2及sm3時(shí)對(duì)應(yīng)的實(shí)現(xiàn)代碼可以為：ssl_sm2_with_rc4_128_sm3。由此當(dāng)應(yīng)用服務(wù)器選定該密碼套件后，有瀏覽器請(qǐng)求訪問時(shí)則可以通過步驟s13的方式實(shí)現(xiàn)對(duì)瀏覽器的身份認(rèn)證，提高了訪問安全性。

本發(fā)明實(shí)施例提供的一種應(yīng)用安全訪問的設(shè)置方法，制作身份證書，可以包括：

基于jca/jce框架開發(fā)支持sm算法的算法提供者；

基于算法提供者提供的sm算法生成密鑰對(duì)，并基于密鑰對(duì)中的公鑰生成身份證書。

以sm算法為sm2算法為例對(duì)基于jca(java密碼架構(gòu))/jce(java密碼架構(gòu)擴(kuò)展)框架開發(fā)支持sm算法的算法提供者進(jìn)行說明，基于jca/jce框架的provider類，定義sm2jce類，基于macspi類和keygeneratorspi類分別定義hmacsm2類和hmacsm2keygenerator類，最后在sm2jce類中，將hmacsm2類和hmacsm2keygenerator類與sm2算法的名稱對(duì)應(yīng)上，從而實(shí)現(xiàn)了算法提供者的開發(fā)。通過該算法提供者可以實(shí)現(xiàn)對(duì)應(yīng)的sm算法，包括通過該算法提供者生成與sm算法對(duì)應(yīng)的密鑰對(duì)，生成的密鑰對(duì)可以存儲(chǔ)至應(yīng)用服務(wù)器的公鑰庫(kù)和私鑰庫(kù)中，并由中獲取到公鑰以生成與公鑰對(duì)應(yīng)的身份證書。從而快速方便的實(shí)現(xiàn)身份證書的制作。其中以sm2算法為例生成密鑰對(duì)的命令具體可以為：keytool-genkey-aliass1as-keystorekeystore.jks-storepasschangeit-keysize2048-keyalgsm2-validity3650。

本發(fā)明實(shí)施例提供的一種應(yīng)用安全訪問的設(shè)置方法，基于密鑰對(duì)中的公鑰生成身份證書，可以包括：

將密鑰對(duì)中的公鑰發(fā)送至第三方認(rèn)證機(jī)構(gòu)；

接收第三方認(rèn)證機(jī)構(gòu)回復(fù)的信息并基于該信息及對(duì)應(yīng)公鑰生成身份證書。

需要說明的是，生成的身份證書可以是直接為公鑰加上證書框架，得到對(duì)應(yīng)的身份證書，也可以是獲取到第三方認(rèn)證機(jī)構(gòu)的認(rèn)證后生成對(duì)應(yīng)的身份證書，為了進(jìn)一步保證證書有效性和保密性，本申請(qǐng)中采用第二種方式實(shí)現(xiàn)身份證書的生成。其中第三方認(rèn)證機(jī)構(gòu)為工作人員根據(jù)實(shí)際需要確定的認(rèn)證機(jī)構(gòu)，在具體示例中，向第三方認(rèn)證機(jī)構(gòu)請(qǐng)求認(rèn)證的命令可以包括：keytool-certreq-aliass1as-files1as.csr-keystorekeystore.jks–storepasschangeit。收到的第三方認(rèn)證機(jī)構(gòu)回復(fù)的信息可以是十六進(jìn)制文件或者p7b格式證書的簽名回復(fù)，并為該信息與公鑰加上證書框架，得到對(duì)應(yīng)的身份證書。

本發(fā)明實(shí)施例提供的一種應(yīng)用安全訪問的設(shè)置方法，還可以包括：

預(yù)先設(shè)置任一瀏覽器與應(yīng)用服務(wù)器之間通過https方式實(shí)現(xiàn)訪問。

https具體為基于ssl加密的安全的超文本傳輸協(xié)議，設(shè)置應(yīng)用服務(wù)器與瀏覽器之間以這種方式實(shí)現(xiàn)通信訪問，能夠保證通信可靠性和數(shù)據(jù)的快速傳輸。

本申請(qǐng)公開的上述技術(shù)方案中，客戶用瀏覽器通過https的方式訪問應(yīng)用服務(wù)器，它們之間使用ssl(securesocketslayer安全套接層)協(xié)議進(jìn)行信息傳輸，從而通過對(duì)jsse的改造，使得ssl協(xié)議支持包含sm算法的密碼套件，同時(shí)保證了該套件的可用性，基于jca/jce框架開發(fā)了支持sm算法的算法提供者，并基于該算法提供者制作了sm算法的身份證書供后續(xù)進(jìn)行身份驗(yàn)證使用，有效保證了應(yīng)用服務(wù)器的訪問安全性。另外需要說明的是，上述方案中與現(xiàn)有技術(shù)的對(duì)應(yīng)技術(shù)實(shí)現(xiàn)原理一致的部分并未具體說明，以免過多贅述。

本發(fā)明實(shí)施例還提供了一種應(yīng)用安全訪問的設(shè)置裝置，如圖2所示，可以包括：

制作模塊11，用于：制作身份證書，身份證書對(duì)應(yīng)的密碼算法包括sm算法；

導(dǎo)入模塊12，用于：將身份證書導(dǎo)入到應(yīng)用服務(wù)器的證書庫(kù)中，并將身份證書安裝到允許訪問應(yīng)用服務(wù)器的指定瀏覽器中；

認(rèn)證模塊13，用于：如果有瀏覽器請(qǐng)求訪問應(yīng)用服務(wù)器，則判斷該瀏覽器的身份證書是否存在于證書庫(kù)中，若是，則允許此次請(qǐng)求，若否，則拒絕此次請(qǐng)求。

本發(fā)明實(shí)施例提供的一種應(yīng)用安全訪問的設(shè)置裝置，還可以包括：

添加模塊，用于：判斷請(qǐng)求訪問應(yīng)用服務(wù)器的瀏覽器的身份證書是否存在于證書庫(kù)中之前，為應(yīng)用服務(wù)器的jsse添加密碼套件，密碼套件包括sm算法，并指示應(yīng)用服務(wù)器選取該密碼套件作為當(dāng)前實(shí)現(xiàn)身份認(rèn)證對(duì)應(yīng)套件。

本發(fā)明實(shí)施例提供的一種應(yīng)用安全訪問的設(shè)置裝置，制作模塊可以包括：

制作單元，用于：基于jca/jce框架開發(fā)支持sm算法的算法提供者；基于算法提供者提供的sm算法生成密鑰對(duì)，并基于密鑰對(duì)中的公鑰生成身份證書。

本發(fā)明實(shí)施例提供的一種應(yīng)用安全訪問的設(shè)置裝置，制作單元可以包括：

制作子單元，用于：將密鑰對(duì)中的公鑰發(fā)送至第三方認(rèn)證機(jī)構(gòu)；接收第三方認(rèn)證機(jī)構(gòu)回復(fù)的信息并基于該信息及對(duì)應(yīng)公鑰生成身份證書。

本發(fā)明實(shí)施例提供的一種應(yīng)用安全訪問的設(shè)置裝置，還可以包括：

預(yù)設(shè)模塊，用于：預(yù)先設(shè)置任一瀏覽器與應(yīng)用服務(wù)器之間通過https方式實(shí)現(xiàn)訪問。

本發(fā)明實(shí)施例提供的一種應(yīng)用安全訪問的設(shè)置裝置中相關(guān)部分的說明請(qǐng)參見本發(fā)明實(shí)施例提供的一種應(yīng)用安全訪問的設(shè)置方法中對(duì)應(yīng)部分的詳細(xì)說明，在此不再贅述。

對(duì)所公開的實(shí)施例的上述說明，使本領(lǐng)域技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明。對(duì)這些實(shí)施例的多種修改對(duì)本領(lǐng)域技術(shù)人員來說將是顯而易見的，本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下，在其它實(shí)施例中實(shí)現(xiàn)。因此，本發(fā)明將不會(huì)被限制于本文所示的這些實(shí)施例，而是要符合與本文所公開的原理和新穎特點(diǎn)相一致的最寬的范圍。