国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      基于數(shù)字證書技術(shù)的系統(tǒng)用戶訪問管理系統(tǒng)及方法

      文檔序號(hào):7685920閱讀:492來(lái)源:國(guó)知局
      專利名稱:基于數(shù)字證書技術(shù)的系統(tǒng)用戶訪問管理系統(tǒng)及方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及用戶訪問權(quán)限的管理技術(shù),跟具體地說(shuō),涉及一種基于數(shù) 字證書技術(shù)的系統(tǒng)用戶訪問管理系統(tǒng)及方法。
      背景技術(shù)
      用戶訪問是信息系統(tǒng)安全管理的重要機(jī)制之一,對(duì)主體(即信息的使 用者)的訪問控制是信息保密的前提。在信息系統(tǒng)中,用戶要使用信息系 統(tǒng),需要憑借一定的身份標(biāo)識(shí),數(shù)據(jù)交換雙方也必須通過(guò)某種形式的身份 認(rèn)證機(jī)制來(lái)證明它們的身份,以確認(rèn)通信雙方的身份是否與它們所宣稱的 一致。
      從開發(fā)角度講,認(rèn)證用戶的身份是實(shí)現(xiàn)應(yīng)用系統(tǒng)訪問控制的基礎(chǔ),用 戶的身份認(rèn)證必須是"精確"的,能夠滿足各種訪問控制的要求。在傳統(tǒng) 的用戶訪問權(quán)限的管理方式中,都是通過(guò)單一的賬號(hào)方式來(lái)進(jìn)行管理,即 對(duì)于一個(gè)賬號(hào),給與一固定的權(quán)限,只要該帳號(hào)能夠通過(guò)一定的驗(yàn)證手續(xù), 比如密碼之類,就能順利登陸并且獲得相應(yīng)的權(quán)限。但是,這種方式在具 有復(fù)雜業(yè)務(wù)和復(fù)雜數(shù)據(jù)的系統(tǒng)中存在一定的缺陷。因?yàn)?,?duì)于具有復(fù)雜業(yè) 務(wù)和復(fù)雜數(shù)據(jù)的系統(tǒng)來(lái)說(shuō),同一個(gè)用戶在不同的業(yè)務(wù)應(yīng)用中可能是享有不 同的權(quán)限的,但是,傳統(tǒng)技術(shù)中,并沒有對(duì)這種情況加以區(qū)分,使得用戶 只能以單一的賬號(hào)登陸并享受單一的權(quán)限,這對(duì)于具有復(fù)雜業(yè)務(wù)的系統(tǒng)來(lái) 說(shuō)并不是最佳的方案。

      發(fā)明內(nèi)容
      本發(fā)明旨在提供 一種基于數(shù)字證書技術(shù)的系統(tǒng)用戶訪問管理系統(tǒng)及方 法,數(shù)字證書技術(shù)能更好的保證其安全性,并根據(jù)不同的應(yīng)用為一個(gè)用戶 提供不同的訪問權(quán)限。一方面,本發(fā)明提供一種基于數(shù)字證書技術(shù)的系統(tǒng)用戶訪問管理方法, 包括
      設(shè)定系統(tǒng)服務(wù)器數(shù)字證書以及用戶數(shù)字證書;
      根據(jù)用戶的基本屬性,設(shè)定用戶的基本訪問權(quán)限及用戶的數(shù)據(jù)信息;
      向請(qǐng)求認(rèn)證的用戶發(fā)送服務(wù)器數(shù)字證書和隨機(jī)數(shù),用戶簽名隨機(jī)數(shù), 并用服務(wù)器數(shù)字證書加密隨機(jī)數(shù),將用戶數(shù)字證書、簽名隨機(jī)數(shù)和加密隨
      機(jī)數(shù)返還至系統(tǒng)服務(wù)器;
      系統(tǒng)服務(wù)器解密所述隨機(jī)數(shù),并將解密后的隨機(jī)數(shù)與原隨機(jī)數(shù)比對(duì), 若一致則用戶認(rèn)證成功,若不一致則拒絕認(rèn)證;
      結(jié)合用戶的基本訪問權(quán)限確定給與該用戶的訪問授權(quán)策略;
      基于該訪問授權(quán)策略確定用戶的最終訪問權(quán)限。
      所述用戶數(shù)字證書的密鑰存儲(chǔ)于客戶端的存儲(chǔ)器,所述系統(tǒng)服務(wù)器數(shù) 字證書存儲(chǔ)于系統(tǒng)服務(wù)器的存儲(chǔ)器。
      所述用戶的基本屬性包括名稱、職位、職級(jí)、轄地。
      所述根據(jù)用戶的基本屬性,設(shè)定用戶的基本訪問權(quán)限,每一級(jí)的用戶 的基本訪問權(quán)限由其上一級(jí)的用戶確定。
      作為一實(shí)施例,還提供一訪問控制列表,針對(duì)每一個(gè)特定的應(yīng)用,記 錄對(duì)于該特定的應(yīng)用中對(duì)于用戶的分類。
      另一方面,基于數(shù)字證書技術(shù)的系統(tǒng)用戶訪問管理系統(tǒng),包括
      數(shù)字證書設(shè)定裝置,設(shè)定系統(tǒng)服務(wù)器數(shù)字證書以及用戶數(shù)字證書;
      基本訪問權(quán)限設(shè)定裝置,根據(jù)用戶的基本屬性,設(shè)定用戶的基本訪問 權(quán)限及用戶的數(shù)據(jù)信息;
      認(rèn)證裝置,向請(qǐng)求認(rèn)證的用戶發(fā)送服務(wù)器數(shù)字證書和隨機(jī)數(shù),用戶簽 名隨機(jī)數(shù),并用服務(wù)器數(shù)字證書加密隨機(jī)數(shù),將用戶數(shù)字證書、簽名隨機(jī) 數(shù)和加密隨機(jī)數(shù)返還至系統(tǒng)服務(wù)器;系統(tǒng)服務(wù)器解密所述隨機(jī)數(shù),并將解 密后的隨機(jī)數(shù)與原隨機(jī)數(shù)比對(duì),若一致則用戶認(rèn)證成功,若不一致則拒絕 認(rèn)證;
      分類確定裝置,結(jié)合用戶的基本訪問權(quán)限確定給與該用戶的訪問授權(quán) 策略;訪問權(quán)限確定裝置,基于該訪問授權(quán)策略確定用戶的最終訪問權(quán)限。
      所述用戶數(shù)字證書的密鑰存儲(chǔ)于客戶端的存儲(chǔ)器,所述系統(tǒng)服務(wù)器數(shù) 字證書存儲(chǔ)于系統(tǒng)服務(wù)器的存儲(chǔ)器。
      所述基本訪問權(quán)限設(shè)定裝置設(shè)定的用戶的基本訪問權(quán)限,每一級(jí)的用 戶的基本訪問權(quán)限由其上一級(jí)的用戶確定,所述用戶的基本屬性包括名稱、 職位、職級(jí)、轄地。
      所述分類確定裝置提供一訪問控制列表,針對(duì)每一個(gè)特定的應(yīng)用,記 錄對(duì)于該特定的應(yīng)用中對(duì)于用戶的分類。
      釆用本發(fā)明所述的 一種基于數(shù)字證書技術(shù)的系統(tǒng)用戶訪問管理系統(tǒng)及
      方法,由于采用了高安全保證的數(shù)字證書技術(shù),這使得用戶的密鑰的安全
      性得到了很好的保護(hù),另外,本發(fā)明采用了先對(duì)用戶認(rèn)證,認(rèn)證后再對(duì)用
      戶進(jìn)行訪問控制的授權(quán),即整個(gè)用戶訪問控制是分階段進(jìn)行的,這同樣使 得其安全性得到了提高。


      圖1示出了根據(jù)本發(fā)明的一實(shí)施例的系統(tǒng)用戶訪問管理方法的流程
      圖2示出了根據(jù)本發(fā)明的一實(shí)施例的系統(tǒng)用戶訪問管理系統(tǒng)的結(jié)構(gòu)原 理圖。
      具體實(shí)施例方式
      本發(fā)明提供一種基于數(shù)字證書技術(shù)的系統(tǒng)用戶訪問管理方法,參考圖 1,示出了該方法的一實(shí)例100的流程圖,該方法100包括
      101、設(shè)定系統(tǒng)服務(wù)器數(shù)字證書以及用戶數(shù)字證書;
      PKI(公開密鑰系統(tǒng)),是應(yīng)用公鑰概念和公鑰密碼技術(shù)為全社會(huì)廣泛 實(shí)施和提供信息化安全及信任服務(wù)的安全基礎(chǔ)設(shè)施。在PKI中,為了確保 用戶及其所持有密鑰的正確性,需要一個(gè)值得信賴而且獨(dú)立的第三方機(jī)構(gòu) 充當(dāng)CA認(rèn)證中心(Certification Authority),來(lái)確認(rèn)聲稱擁有公開密鑰的 實(shí)體的真正身份。要確認(rèn)一個(gè)公開密鑰,CA首先制作一張"數(shù)字證書",它包含用戶身份的部分信息及用戶所持有的公開密鑰,然后CA利用本身 的密鑰為數(shù)字證書加上數(shù)字簽名,所述用戶數(shù)字證書的密鑰存儲(chǔ)于客戶端 的存儲(chǔ)器,所述系統(tǒng)服務(wù)器數(shù)字證書存儲(chǔ)于系統(tǒng)服務(wù)器的存儲(chǔ)器,這樣一 個(gè)屬于這個(gè)實(shí)體的數(shù)字證書就完成了。
      102、 根據(jù)用戶的基本屬性,設(shè)定用戶的基本訪問權(quán)限及用戶的數(shù)據(jù)信
      息。根據(jù)本發(fā)明的一實(shí)施例,該方法應(yīng)用于公共安全系統(tǒng),此時(shí),用戶的 基本屬性包括名稱、職位、職級(jí)、轄地。
      103、 發(fā)送服務(wù)器數(shù)字證書和隨機(jī)數(shù)。系統(tǒng)服務(wù)器向請(qǐng)求認(rèn)證的用戶發(fā) 送服務(wù)器數(shù)字證書和隨機(jī)數(shù),用戶簽名隨機(jī)數(shù),并用服務(wù)器數(shù)字證書加密 隨機(jī)數(shù),將用戶數(shù)字證書、簽名隨機(jī)數(shù)和加密隨機(jī)數(shù)返還至系統(tǒng)服務(wù)器;
      對(duì)于系統(tǒng)服務(wù)器,首先,系統(tǒng)服務(wù)器要接受很多客戶端的服務(wù)要求, 這就要建立合適的數(shù)據(jù)庫(kù),以便保存用戶的數(shù)據(jù)信息,并方便維護(hù)和管理, 提供查找修改等功能。還要提供數(shù)據(jù)庫(kù)的備份設(shè)備,以防數(shù)據(jù)被破壞。其 次,服務(wù)器端的網(wǎng)頁(yè)要進(jìn)行適當(dāng)?shù)男薷模峁┯脩舻顷懙慕缑?,顯示用戶 登錄后的信息,滿足用戶的一些基本要求。再次,服務(wù)器端要注冊(cè)COM動(dòng) 態(tài)鏈接文件,安裝數(shù)字證書管理器,以保證登陸地網(wǎng)頁(yè)和程序能正確地調(diào) 用SafeEngine等庫(kù)函數(shù)。
      對(duì)于用戶(客戶端),要安裝數(shù)字證書管理器,以能將私鑰裝入并正 確獲得證書。對(duì)于安全級(jí)別較高地用戶要使用硬件加密設(shè)備,例如明華USB 棒等。數(shù)字證書管理器可以通過(guò)CAB包從網(wǎng)頁(yè)中下載安裝。
      當(dāng)用戶端登陸服務(wù)器時(shí),服務(wù)器端初始化,得到服務(wù)器數(shù)字證書,并 產(chǎn)生一個(gè)隨機(jī)數(shù),然后把服務(wù)器證書和隨機(jī)數(shù)發(fā)給客戶端??蛻舳顺跏蓟?硬件加密設(shè)備,獲得客戶端的用戶數(shù)字證書和所述隨機(jī)數(shù),驗(yàn)證服務(wù)器數(shù) 字證書,驗(yàn)證通過(guò)后用戶用其私鑰簽名所述隨機(jī)數(shù),并用服務(wù)器數(shù)字證書 加密所述隨機(jī)數(shù),然后把用戶數(shù)字證書、隨機(jī)數(shù)簽名和隨機(jī)數(shù)加密發(fā)給服 務(wù)器。
      104、 系統(tǒng)服務(wù)器解密所述隨機(jī)數(shù),并將解密后的隨機(jī)數(shù)與原隨機(jī)數(shù)比 對(duì),若一致則用戶認(rèn)證成功,若不一致則拒絕認(rèn)證;
      服務(wù)器收到返回的數(shù)據(jù)后,用其私鑰初始化,并取出服務(wù)器數(shù)字證書。然后驗(yàn)證客戶端數(shù)字證書,驗(yàn)證通過(guò)后用自己的私鑰解密隨機(jī)數(shù),并用客 戶端數(shù)字證書對(duì)收到的隨機(jī)數(shù)簽名進(jìn)行驗(yàn)證,再檢查解密的隨機(jī)數(shù)與原來(lái) 發(fā)送的隨機(jī)數(shù)是否一致,若一致則用戶認(rèn)證成功,若不一致則拒絕認(rèn)證。
      105. 根據(jù)一實(shí)施例,作為一特定的應(yīng)用,設(shè)定用戶的特定訪問權(quán)限, 其中,具有特定訪問權(quán)限的用戶是用戶基本訪問權(quán)限數(shù)據(jù)庫(kù)中保存的用戶, 而該特定訪問權(quán)限與該特定的應(yīng)用中該用戶的分類有關(guān)。如上面所介紹的, 本發(fā)明的一實(shí)施例是應(yīng)用于公共安全系統(tǒng),對(duì)于公共安全系統(tǒng)來(lái)說(shuō),時(shí)常 會(huì)出現(xiàn)不同的任務(wù),這些不同的任務(wù)可以被視為是不同的特定應(yīng)用。同一 個(gè)工作人員在不同的任務(wù)中的角色是不同的,因此希望他們?cè)诓煌娜蝿?wù) 中被賦予不同的訪問權(quán)限。在傳統(tǒng)技術(shù)中,由于對(duì)于單一賬號(hào)的登陸只給 與單一的訪問權(quán)限,因此無(wú)法滿足上面的這種應(yīng)用的要求。本發(fā)明設(shè)計(jì)的 用戶的特定訪問權(quán)限,該特定訪問權(quán)限是基于不同的特定應(yīng)用而設(shè)定。在 一個(gè)特定應(yīng)用中,可以對(duì)用戶進(jìn)行分類,因此同一個(gè)用戶在不同的應(yīng)用中 可能被分到不同的類中,于是,針對(duì)不同的應(yīng)用,同一個(gè)用戶就能被賦予 不同的特定訪問權(quán)限。根據(jù)本發(fā)明的一實(shí)現(xiàn),還提供一訪問控制列表,針 對(duì)每一個(gè)特定的應(yīng)用,記錄對(duì)于該特定的應(yīng)用中對(duì)于用戶的分類。
      106. 獲取該用戶對(duì)于該特定的應(yīng)用的分類,結(jié)合用戶的基本訪問權(quán)限
      或用戶的特定訪問權(quán)限確定給與該用戶的訪問授權(quán)策略。例如,對(duì)于公共
      安全系統(tǒng)的應(yīng)用,通過(guò)認(rèn)證后CA服務(wù)器和目錄服務(wù)器向訪問控制模塊發(fā) 回用戶的名稱、職位、職級(jí)、轄地等權(quán)限信息。訪問控制模塊通過(guò)查詢?cè)L 問控制列表,判別用戶的類別,執(zhí)行不同的授權(quán)策略。
      107. 基于該訪問授權(quán)策略確定用戶的最終訪問權(quán)限。
      同樣,對(duì)于公共安全系統(tǒng)的應(yīng)用,上述的步驟102,根據(jù)用戶的基本 屬性,設(shè)定用戶的基本訪問權(quán)限、身份識(shí)別信息和驗(yàn)證信息是分級(jí)進(jìn)行, 每一級(jí)的用戶的基本訪問權(quán)限、身份識(shí)別信息和驗(yàn)證信息是分級(jí)由其上一 級(jí)的用戶確定。比如,上級(jí)部門給下級(jí)部門授權(quán),下級(jí)部門給再下一級(jí)機(jī) 構(gòu)授權(quán),各級(jí)機(jī)關(guān)內(nèi)部設(shè)置職位(角色),給一個(gè)工作人員設(shè)置權(quán)限的過(guò) 程是,相應(yīng)機(jī)關(guān)管理員或領(lǐng)導(dǎo),只要從工作人員庫(kù)中選出要授權(quán)的工作人 員,賦予相應(yīng)的職位(角色)即可。本發(fā)明還提供 一種基于數(shù)字證書技術(shù)的系統(tǒng)用戶訪問管理系統(tǒng)200,
      參考圖2示出了其實(shí)施例,該系統(tǒng)200包括
      數(shù)字證書設(shè)定裝置201,設(shè)定系統(tǒng)服務(wù)器數(shù)字證書以及用戶數(shù)字證書; PKI(公開密鑰系統(tǒng)),是應(yīng)用公鑰概念和公鑰密碼技術(shù)為全社會(huì)廣泛 實(shí)施和提供信息化安全及信任服務(wù)的安全基礎(chǔ)設(shè)施。在PKI中',為了確保 用戶及其所持有密鑰的正確性,需要一個(gè)值得信賴而且獨(dú)立的第三方機(jī)構(gòu) 充當(dāng)CA認(rèn)證中心(Certification Authority),來(lái)確認(rèn)聲稱擁有公開密鑰的 實(shí)體的真正身份。要確認(rèn)一個(gè)公開密鑰,CA首先制作一張"數(shù)字證書", 它包含用戶身份的部分信息及用戶所持有的公開密鑰,然后CA利用本身 的密鑰為數(shù)字證書加上數(shù)字簽名,這樣一個(gè)屬于這個(gè)實(shí)體的數(shù)字證書就完 成了,所述用戶數(shù)字證書的密鑰存儲(chǔ)于客戶端的存儲(chǔ)器,所述系統(tǒng)服務(wù)器 數(shù)字證書存儲(chǔ)于系統(tǒng)服務(wù)器的存儲(chǔ)器,所述數(shù)字證書設(shè)定裝置201就是為 了完成上述任務(wù)。
      基本訪問權(quán)限設(shè)定裝置202,根據(jù)用戶的基本屬性,設(shè)定用戶的基本 訪問權(quán)限及用戶的數(shù)據(jù)信息;根據(jù)本發(fā)明的一實(shí)施例,該方法應(yīng)用于公共 安全系統(tǒng),此時(shí),用戶的基本屬性包括名稱、職位、職級(jí)、轄地。
      認(rèn)證裝置203,向請(qǐng)求認(rèn)證的用戶發(fā)送服務(wù)器數(shù)字證書和隨機(jī)數(shù),用 戶簽名隨機(jī)數(shù),并用服務(wù)器數(shù)字證書加密隨機(jī)數(shù),將用戶數(shù)字證書、簽名 隨機(jī)數(shù)和加密隨機(jī)數(shù)返還至系統(tǒng)服務(wù)器;系統(tǒng)服務(wù)器解密所述隨機(jī)數(shù),并 將解密后的隨機(jī)數(shù)與原隨機(jī)數(shù)比對(duì),若一致則用戶認(rèn)證成功,若不一致則 拒絕認(rèn)證。
      對(duì)于系統(tǒng)服務(wù)器,首先,系統(tǒng)服務(wù)器要接受很多客戶端的服務(wù)要求, 這就要建立合適的數(shù)據(jù)庫(kù),以便保存用戶的數(shù)據(jù)信息,并方便維護(hù)和管理, 提供查找修改等功能。還要提供數(shù)據(jù)庫(kù)的備份設(shè)備,以防數(shù)據(jù)被破壞。其 次,服務(wù)器端的網(wǎng)頁(yè)要進(jìn)行適當(dāng)?shù)男薷?,提供用戶登陸的界面,顯示用戶-登錄后的信息,滿足用戶的一些基本要求。再次,服務(wù)器端要注冊(cè)COM動(dòng) 態(tài)鏈接文件,安裝數(shù)字證書管理器,以保證登陸地網(wǎng)頁(yè)和程序能正確地調(diào) 用SafeEngine等庫(kù)函數(shù)。
      對(duì)于用戶(客戶端),要安裝數(shù)字證書管理器,以能將私鑰裝入并正確獲得證書。對(duì)于安全級(jí)別較高地用戶要使用硬件加密設(shè)備,例如明華USB
      棒等。數(shù)字證書管理器可以通過(guò)CAB包從網(wǎng)頁(yè)中下載安裝。
      當(dāng)用戶端登陸服務(wù)器時(shí),服務(wù)器端初始化,得到服務(wù)器數(shù)字證書,并 產(chǎn)生一個(gè)隨機(jī)數(shù),然后把服務(wù)器證書和隨機(jī)數(shù)發(fā)給客戶端??蛻舳顺跏蓟?硬件加密設(shè)備,獲得客戶端的用戶數(shù)字證書和所述隨機(jī)數(shù),驗(yàn)證服務(wù)器數(shù) 字證書,驗(yàn)證通過(guò)后用戶用其私鑰簽名所述隨機(jī)數(shù),并用服務(wù)器數(shù)字證書 加密所述隨機(jī)數(shù),然后把用戶數(shù)字證書、隨機(jī)數(shù)簽名和隨機(jī)數(shù)加密發(fā)給服 務(wù)器。服務(wù)器收到返回的數(shù)據(jù)后,用其私鑰初始化,并取出服務(wù)器數(shù)字證 書。然后驗(yàn)證客戶端數(shù)字證書,驗(yàn)證通過(guò)后用自己的私鑰解密隨機(jī)數(shù),并 用客戶端數(shù)字證書對(duì)收到的隨機(jī)數(shù)簽名進(jìn)行驗(yàn)證,再檢查解密的隨機(jī)數(shù)與 原來(lái)發(fā)送的隨機(jī)數(shù)是否一致,若一致則用戶認(rèn)證成功,若不一致則拒絕認(rèn) 證。
      分類確定裝置204,結(jié)合用戶的基本訪問權(quán)限確定給與該用戶的訪問 授權(quán)策略;例如,對(duì)于公共安全系統(tǒng)的應(yīng)用,通過(guò)認(rèn)證后CA服務(wù)器和目 錄服務(wù)器向訪問控制模塊發(fā)回用戶的名稱、職位、職級(jí)、轄地等權(quán)限信息。 訪問控制模塊通過(guò)查詢?cè)L問控制列表,判別用戶的類別,執(zhí)行不同的授權(quán) 策略。所述分類確定裝置204提供一訪問控制列表207,針對(duì)每一個(gè)特定 的應(yīng)用,記錄對(duì)于該特定的應(yīng)用中對(duì)于用戶的分類。
      訪問權(quán)限確定裝置205,基于該訪問授權(quán)策略確定用戶的最終訪問權(quán) 限。所述訪問權(quán)限設(shè)定裝置206設(shè)定的角戶的基本訪問權(quán)限,每一級(jí)的用 戶的基本訪問權(quán)限由其上一級(jí)的用戶確定,所述用戶的基本屬性包括名稱、 職位、職級(jí)、轄地?;谠撛L問授權(quán)策略確定用戶的最終訪問權(quán)限。同樣, 對(duì)于公共安全系統(tǒng)的應(yīng)用,上述的步驟202,根據(jù)用戶的基本屬性,設(shè)定 用戶的基本訪問權(quán)限、身份識(shí)別信息和驗(yàn)證信息是分級(jí)進(jìn)行,每一級(jí)的用 戶的基本訪問權(quán)限、身份識(shí)別信息和驗(yàn)證信息是分級(jí)由其上一級(jí)的用戶確 定。比如,上級(jí)部門給下級(jí)部門授權(quán),下級(jí)部門給再下一級(jí)機(jī)構(gòu)授權(quán),各 級(jí)機(jī)關(guān)內(nèi)部設(shè)置職位(角色),給一個(gè)工作人員設(shè)置權(quán)限的過(guò)程是,相應(yīng) 機(jī)關(guān)管理員或領(lǐng)導(dǎo),只要從工作人員庫(kù)中選出要授權(quán)的工作人員,賦予相 應(yīng)的職位(角色)即可。根據(jù) 一 實(shí)施例,還可以有特定訪問權(quán)限設(shè)定裝置206作為 一 特定的應(yīng) 用,設(shè)定用戶的特定訪問權(quán)限,其中,具有特定訪問權(quán)限的用戶是用戶基 本訪問權(quán)限數(shù)據(jù)庫(kù)中保存的用戶,而該特定訪問權(quán)限與該特定的應(yīng)用中該 用戶的分類有關(guān)。如上面所介紹的,本發(fā)明的一實(shí)施例是應(yīng)用于公共安全 系統(tǒng),對(duì)于公共安全系統(tǒng)來(lái)說(shuō),時(shí)常會(huì)出現(xiàn)不同的任務(wù),這些不同的任務(wù) 可以被視為是不同的特定應(yīng)用。同 一個(gè)工作人員在不同的任務(wù)中的角色是 不同的,因此希望他們?cè)诓煌娜蝿?wù)中被賦予不同的訪問權(quán)限。在傳統(tǒng)技 術(shù)中,由于對(duì)于單一賬號(hào)的登陸只給與單一的訪問權(quán)限,因此無(wú)法滿足上 面的這種應(yīng)用的要求。本發(fā)明設(shè)計(jì)的用戶的特定訪問權(quán)限,該特定訪問權(quán) 限是基于不同的特定應(yīng)用而設(shè)定。在一個(gè)特定應(yīng)用中,可以對(duì)用戶進(jìn)行分 類,因此同一個(gè)用戶在不同的應(yīng)用中可能被分到不同的類中,于是,針對(duì) 不同的應(yīng)用,同一個(gè)用戶就能被賦予不同的特定訪問權(quán)限。根據(jù)本發(fā)明的 一實(shí)現(xiàn),還提供一訪問控制列表,針對(duì)每一個(gè)特定的應(yīng)用,記錄對(duì)于該特
      定的應(yīng)用中對(duì)于用戶的分類。那么分類確定裝置204獲取該用戶對(duì)于該特
      定的應(yīng)用的分類,結(jié)合用戶的特定訪問權(quán)限確定給與該用戶的訪問授權(quán)策
      略。例如,對(duì)于公共安全系統(tǒng)的應(yīng)用,通過(guò)認(rèn)證后CA服務(wù)器和目錄服務(wù) 器向訪問控制模塊發(fā)回用戶的名稱、職位、職級(jí)、轄地等權(quán)限信息。訪問 控制模塊通過(guò)查詢?cè)L問控制列表,判別用戶的類別,執(zhí)行不同的授權(quán)策略。 本技術(shù)領(lǐng)域中的普通技術(shù)人員應(yīng)當(dāng)認(rèn)識(shí)到,以上的實(shí)施例僅是用來(lái)說(shuō) 明本發(fā)明,而并非用作為對(duì)本發(fā)明的限定,只要在本發(fā)明的實(shí)質(zhì)精神范圍 內(nèi),對(duì)以上所述實(shí)施例的變化、變型都將落在本發(fā)明的權(quán)利要求范圍。
      權(quán)利要求
      1、一種基于數(shù)字證書技術(shù)的系統(tǒng)用戶訪問管理方法,其特征在于,包括設(shè)定系統(tǒng)服務(wù)器數(shù)字證書以及用戶數(shù)字證書;根據(jù)用戶的基本屬性,設(shè)定用戶的基本訪問權(quán)限及用戶的數(shù)據(jù)信息;向請(qǐng)求認(rèn)證的用戶發(fā)送服務(wù)器數(shù)字證書和隨機(jī)數(shù),用戶簽名隨機(jī)數(shù),并用服務(wù)器數(shù)字證書加密隨機(jī)數(shù),將用戶數(shù)字證書、簽名隨機(jī)數(shù)和加密隨機(jī)數(shù)返還至系統(tǒng)服務(wù)器;系統(tǒng)服務(wù)器解密所述隨機(jī)數(shù),并將解密后的隨機(jī)數(shù)與原隨機(jī)數(shù)比對(duì),若一致則用戶認(rèn)證成功,若不一致則拒絕認(rèn)證;結(jié)合用戶的基本訪問權(quán)限確定給與該用戶的訪問授權(quán)策略;基于該訪問授權(quán)策略確定用戶的最終訪問權(quán)限。
      2、 如權(quán)利要求l所述的系統(tǒng)用戶訪問管理方法,其特征在于,所述用 戶數(shù)字證書的密鑰存儲(chǔ)于客戶端的存儲(chǔ)器,所述系統(tǒng)服務(wù)器數(shù)字證書存儲(chǔ) 于系統(tǒng)服務(wù)器的存儲(chǔ)器。
      3、 如權(quán)利要求2所述的系統(tǒng)用戶訪問管理方法,其特征在于,所述用 戶的基本屬性包括名稱、職位、職級(jí)、轄地。
      4、 如權(quán)利要求2所述的系統(tǒng)用戶訪問管理方法,其特征在于,所述根 據(jù)用戶的基本屬性,設(shè)定用戶的基本訪問權(quán)限,每一級(jí)的用戶的基本訪問 權(quán)限由其上一級(jí)的用戶確定。
      5、 如權(quán)利要求l至4中任一項(xiàng)所述的系統(tǒng)用戶訪問管理方法,其特征 在于,提供一訪問控制列表,針對(duì)每一個(gè)特定的應(yīng)用,記錄對(duì)于該特定的 應(yīng)用中對(duì)于用戶的分類。
      6、 一種基于數(shù)字證書技術(shù)的系統(tǒng)用戶訪問管理系統(tǒng),其特征在于,包括數(shù)字證書設(shè)定裝置,設(shè)定系統(tǒng)服務(wù)器數(shù)字證書以及用戶數(shù)字證書; 基本訪問權(quán)限設(shè)定裝置,根據(jù)用戶的基本屬性,設(shè)定用戶的基本訪問 權(quán)限及用戶的數(shù)據(jù)信息;認(rèn)證裝置,向請(qǐng)求認(rèn)證的用戶發(fā)送服務(wù)器數(shù)字證書和隨機(jī)數(shù),用戶簽 名隨機(jī)數(shù),并用服務(wù)器數(shù)字證書加密隨機(jī)數(shù),將用戶數(shù)字證書、簽名隨機(jī) 數(shù)和加密隨機(jī)數(shù)返還至系統(tǒng)服務(wù)器;系統(tǒng)服務(wù)器解密所述隨機(jī)數(shù),并將解 密后的隨機(jī)數(shù)與原隨機(jī)數(shù)比對(duì),若一致則用戶認(rèn)證成功,若不一致則拒絕 認(rèn)證;分類確定裝置,結(jié)合用戶的基本訪問權(quán)限確定給與該用戶的訪問授權(quán) 策略;訪問權(quán)限確定裝置,基于該訪問授權(quán)策略確定用戶的最終訪問權(quán)限。
      7、 如權(quán)利要求6所述的系統(tǒng)用戶訪問管理系統(tǒng),其特征在于,所述用 戶數(shù)字證書的密鑰存儲(chǔ)于客戶端的存儲(chǔ)器,所述系統(tǒng)服務(wù)器數(shù)字證書存儲(chǔ) 于系統(tǒng)服務(wù)器的存儲(chǔ)器。
      8、 如權(quán)利要求7所述的系統(tǒng)用戶訪問管理系統(tǒng),其特征在于,所述基 本訪問權(quán)限設(shè)定裝置設(shè)定的用戶的基本訪問權(quán)限,每一級(jí)的用戶的基本訪 問權(quán)限由其上一級(jí)的用戶確定,所述用戶的基本屬性包括名稱、職位、職 級(jí)、轄地。
      9、 如權(quán)利要求6至8中任一項(xiàng)所述的系統(tǒng)用戶訪問管理系統(tǒng),其特征 在于,所述分類確定裝置提供一訪問控制列表,針對(duì)每一個(gè)特定的應(yīng)用, 記錄對(duì)于該特定的應(yīng)用中對(duì)于用戶的分類。
      全文摘要
      本發(fā)明揭示了一種基于數(shù)字證書技術(shù)的系統(tǒng)用戶訪問管理系統(tǒng)及方法,包括設(shè)定系統(tǒng)及用戶的數(shù)字證書,設(shè)定用戶的訪問權(quán)限、用戶認(rèn)證以及賦予用戶訪問權(quán)限。本發(fā)明采用了高安全保證的數(shù)字證書技術(shù),這使得用戶的密鑰的安全性得到了很好的保護(hù),另外,本發(fā)明采用了先對(duì)用戶認(rèn)證,認(rèn)證后再對(duì)用戶進(jìn)行訪問控制的授權(quán),即整個(gè)用戶訪問控制是分階段實(shí)現(xiàn)的,這同樣使得其安全性得到了提高。
      文檔編號(hào)H04L9/28GK101321063SQ20081004067
      公開日2008年12月10日 申請(qǐng)日期2008年7月17日 優(yōu)先權(quán)日2008年7月17日
      發(fā)明者孫圭寧, 王占宏, 顧國(guó)強(qiáng), 高建強(qiáng), 高念高 申請(qǐng)人:上海眾恒信息產(chǎn)業(yè)有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1