一种针对文件管理的安全认证方法及系统与流程

本发明涉及软件安全认证的，具体为一种针对文件管理的安全认证方法及系统。

背景技术：

1、在企业机要文件的管理中，安全认证要么过于繁琐使得效率变低，要么过于简单使得安全性得不到保障，需要一份安全认证方法来平衡这两点。

2、目前，现有技术中的文件认证方法是通过密钥或是私钥处理，这种处理方法难度大，可复制率高，容易出现问题。

技术实现思路

1、鉴于上述存在的问题，提出了本发明。

2、因此，本发明提供了一种针对文件管理的安全认证方法，通过对登录用户进行身份安全认证，并对通过认证的用户进行精确的访问鉴权，实现了快速且准确的用户身份验证，从而确保了系统安全性和用户数据的机密性；通过对用户操作进行详细的日志记录，包括文件的访问、修改、删除操作，实现了用户操作的精准追溯，这种记录机制为安全审计提供了详实的数据支持。

3、为解决上述技术问题，本发明提供如下技术方案：一种针对文件管理的安全认证方法，包括以下步骤，

4、对登录的用户身份进行身份安全认证；

5、对通过身份安全认证的用户进行访问鉴权；

6、针对不同权限下的用户行为进行安全审计；

7、针对文件信息安全进行文件安全防护。

8、作为本发明所述一种针对文件管理的安全认证方法的一种优选方案，其中：所述对登录的用户身份进行安全认证是利用安全登录口令对登录的用户身份进行验证，所述安全登录口令包括，字母、数字以及特殊字符；所述安全登录口令建立需满足以下制定公式，具体如下：

9、sp＝(n^l∧sc)

10、n＝{0,1,2,3,4,5,6,7,8,9}

11、l＝{a,b,z,...,z}

12、sc＝{～,！,@,#,$,％,^,&,(),_,＜＞}

13、sp(length)≥8

14、其中，n表示数字的集合，l表示字母的集合，sc表示特殊字符的集合，sp表示安全登录口令，sp(length)表示安全登录口令的长度；

15、所述利用安全登录口令对登录的用户身份进行验证时需满足以下条件，具体如下：

16、当对用户身份进行验证时，安全登录口令的长度sp(length)需满足公式sp(length)≥8，安全登录口令的组成需包含字母、数字以及特殊字符中的两个进行组成，且安全登录口令的设置与登录的用户名不同。

17、作为本发明所述一种针对文件管理的安全认证方法的一种优选方案，其中：所述对通过身份安全认证的用户进行访问鉴权是利用数据库中提前配置好的角色权限对不同的用户进行相应的权限分配，所述访问鉴权是针对不同的用户权限进行不同的访问权限分配；

18、所述利用数据库中提前配置好的角色权限对不同的用户进行相应的权限分配是根据数据库中的数据表完成对不同用户进行相应的权限分配，所述数据表包括，访问控制表、角色权限表、信息属性表以及令牌访问控制表；所述访问控制表是为每个文件定义一个访问控制表，对用户以及用户组的文件访问进行控制，所述角色权限表是将用户划分为不同的角色，每个角色具有不同的文件访问权限，所述角色包括，管理员、普通用户以及监管用户，所述不同的文件访问权限是由管理员分配角色给用户，用户的权限由角色决定，所述文件访问权限包括，文件上传、文件删除、文件修改以及文件查询，所述信息属性表是用于存储文件以及用户属性，并通过文件以及用户属性组合实现动态的访问控制，所述文件以及用户属性包括，用户的地理位置、职位以及用户组、文件的时间、类型、主体标识以及客体标识，所述令牌访问控制表是根据令牌的信息判断用户是否有访问文件的权限，所述令牌的信息包括，用户的身份信息以及权限信息。

19、作为本发明所述一种针对文件管理的安全认证方法的一种优选方案，其中：所述针对不同的用户权限进行不同的访问权限分配是根据文件访问规则进行分配的，所述文件访问规则具体如下：

20、当用户的访问角色为普通用户时，且信息属性表中上传用户id与令牌访问表中的用户id相匹配，但信息属性表中的文件为锁定状态时，用户有查询以及下载自己上传的文件的权限，但没有文件的删除、修改权限；

21、当用户的访问角色为普通用户时，且信息属性表中上传用户id与令牌访问表中的用户id相匹配，且信息属性表中的文件为未锁定状态时，用户有查询、删除、修改以及下载自己上传的文件的权限；

22、当用户的访问角色为普通用户时，且信息属性表中上传用户id与令牌访问表中的用户id不匹配时，用户只有文件的查询权限，没有文件的修改、删除以及下载的权限；

23、当用户的访问角色为监管用户时，且信息属性表中的上传用户id与令牌访问表中的用户id相匹配，但信息属性表中的文件为锁定状态时，用户有查询以及下载自己上传的文件的权限，但没有文件的删除、修改权限；

24、当用户的访问角色为监管用户时，且信息属性表中的上传用户id与令牌访问表中的用户id相匹配，信息属性表中的文件为未锁定状态时，用户有查询、删除、修改以及下载自己上传的文件的权限；

25、当用户的访问角色为监管用户时，且信息属性表中的上传用户id与令牌访问表中的用户id不匹配时，但信息属性表中的文件为未锁定状态时，用户有对所有普通用户上传的文件进行查询、删除、修改以及下载的操作的权限；

26、当用户的访问角色为监管用户时，且信息属性表中的上传用户id与令牌访问表中的用户id不匹配时，但信息属性表中的文件为锁定状态时，用户有对所有普通用户上传的文件进行查询以及下载的操作的权限，但没有文件的删除以及修改权限；

27、当用户的访问角色为管理员时，用户拥有所有文件的所有操作权限，用户有对所有文件进行修改、删除、查询以及下载操作的权限。

28、作为本发明所述一种针对文件管理的安全认证方法的一种优选方案，其中：所述针对不同权限下的用户行为进行安全审计是通过监听不同权限下的用户行为操作是否有安全隐患，所述安全审计包括，对不同权限下的用户行为操作进行安全审计以及对文件资源利用进行安全审计；

29、所述对不同权限下的用户行为操作进行安全审计是针对用户操作行为与权限不匹配时进行安全审计，具体审计如下：

30、当用户的访问角色为管理员时，当用户对于文件进行下载操作时，有信息泄露的安全隐患，立即采取当前管理员身份验证，若验证通过，允许管理员进行文件下载，若验证失败，对文件进行状态锁定处理，并对当前访问账号进行封禁处理；

31、当用户的访问角色为监管用户时，当监管用户对其他上传用户上传的文件进行下载、修改以及删除操作时，立即对当前监管用户进行身份验证，若当前监管用户身份验证通过，则通知当前文件所属者进行二次验证，若二次验证通过，则允许当前监管用户对文件进行下载、修改以及删除操作，若二次验证未通过，则允许当前监管用户进行下载、修改以及删除操作，但对原本文件进行留档备份操作，若当前监管用户身份验证不通过，则对文件进行状态锁定处理，并对当前监管用户账号进行封禁处理；

32、当用户的访问角色为普通用户时，当普通用户对自身上传的文件进行下载操作时，对当前用户进行身份验证，若身份验证通过，则允许当前用户进行文件下载操作，当记录当前用户下载文件的次数以及下载时间，当用户进行文件删除以及修改操作时，允许当前用户的操作行文，但对操作前的文件进行留档备份，若身份验证不通过，则对当前文件进行状态锁定处理，并对当前用户账号进行封禁处理。

33、作为本发明所述一种针对文件管理的安全认证方法的一种优选方案，其中：所述对文件资源利用进行安全审计是对单位时间内文件的操作安全阈值次数进行安全审计，所述操作安全阈值次数是根据过去单位时间内的平均每天操作次数进行设定的，具体设定公式如下：

34、

35、其中，x表示操作次数，n表示过去的单位时间，α表示操作安全阈值次数；

36、所述安全审计是根据单位时间内文件的操作次数与操作安全阈值次数进行对比实现的，具体对比如下：

37、当文件在单位时间内的删除次数满足公式d≥2α时，有无删除文件的隐患，立即启动文件备份功能，并提醒用户进行确认操作的措施；

38、当文件在单位时间内的下载次数满足公式d≥10α时，有非法传播数据的隐患，立即采取监控下载行为，并限定用户下载次数以及下载频率；

39、当文件在单位时间内的修改次数满足公式r≥8α时，有混淆文件真实性的隐患，立即采取记录文件修改操作并生成修改操作日志，实时监测文件修改状态；

40、当文件在单位时间内的上传次数满足公式u≥3α时，有增加服务器压力的隐患，立即采取文件比对功能，对于没有明显区别的文件上传进行记录，并对文件上传者账号进行监管。

41、作为本发明所述一种针对文件管理的安全认证方法的一种优选方案，其中：所述针对文件信息安全进行文件安全防护是通过将文件信息转换为固定长度的哈希值，并通过监听哈希值的进行文件安全防护，所述将文件信息转换为固定长度的哈希值的具体实现公式如下：

42、h＝hash(p)

43、其中，h表示文件转换后的哈希值，hash表示哈希转换函数，p表示文件信息；

44、所述监听哈希值进行文件安全防护是通过监听哈希值的变化来验证文件的完整性，进而实现文件的安全防护，具体监听如下：

45、当文件转换后的哈希值为h时，表示文件未受到篡改，文件保持完整性，但仍然定期进行哈希值比对，若发现不一致，立即触发警报，启动文件恢复以及备份功能；

46、当文件转换后的哈希值为h1时，表示文件状态受到篡改，文件被重命名，立即使用文件完整性监控工具，监听文件的名称变化，确保文件不会被未授权的操作修改；

47、当文件转换后的哈希值为h2时，表示文件状态受到篡改，文件被复制到其他为止，立即验证用户的复制权限，若验证通过，定期监控文件的复制行为，以应对及时发现异常操作，若验证不通过，立即限制用户的复制文件权限，以确保只有授权用户能复制文件到其他位置；

48、当文件转换后的哈希值为h3时，表示文件状态受到篡改，文件被压缩，立即限制用户的文件压缩行为，并对用户进行身份验证，若验证通过，保持监控文件的体积大小，避免文件在单位时间内反复压缩，若验证不通过，对当前压缩文件的用户进行账号封禁处理并启动文件恢复功能，确保文件恢复到压缩前状态；

49、当文件转换后的哈希值为h4时，表示文件状态受到篡改，文件被解密，立即启动文件加密功能，限制文件的解密权限，并定期更新文件加密密钥，以确保文件的安全性。

50、本发明的另外一个目的是提供一种针对文件管理的安全认证系统，其能通过针对不同权限下的用户行为进行安全审计，系统能够根据用户角色的不同，制定相应的访问规则，这种多层次权限管理有效地限制了用户的操作范围，确保了系统的稳定性和安全性；实施了实时的安全审计机制，能够对用户行为进行持续监控和记录，一旦发现异常行为，系统能够立即触发警报，并采取相应的防护措施，确保了对潜在威胁的快速响应和处理。

51、作为本发明所述一种针对文件管理的安全认证系统的一种优选方案，其中：包括，身份安全认证模块，访问鉴权模块，安全审计模块以及文件安全防护模块；所述身份安全认证模块，用于对登录的用户进行身份认证；所述访问鉴权模块，用于对通过身份认证的用户进行访问鉴权；所述安全审计模块，用于对不同权限下的用户行为进行安全审计；所述文件安全防护模块，用于对文件信息安全进行文件安全防护。

52、一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现针对文件管理的安全认证方法的步骤。

53、一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现针对文件管理的安全认证方法的步骤。

54、本发明的有益效果：本发明通过对登录用户进行身份安全认证，并对通过认证的用户进行精确的访问鉴权，实现了快速且准确的用户身份验证，从而确保了系统安全性和用户数据的机密性；通过对用户操作进行详细的日志记录，包括文件的访问、修改、删除操作，实现了用户操作的精准追溯，这种记录机制为安全审计提供了详实的数据支持；能通过针对不同权限下的用户行为进行安全审计，能够根据用户角色的不同，制定相应的访问规则，这种多层次权限管理有效地限制了用户的操作范围，确保了系统的稳定性和安全性；实施了实时的安全审计机制，能够对用户行为进行持续监控和记录，一旦发现异常行为，系统能够立即触发警报，并采取相应的防护措施，确保了对潜在威胁的快速响应和处理。