[发明专利]基于数字证书技术的系统用户访问管理系统及方法

说明书

技术领域

本发明涉及用户访问权限的管理技术，跟具体地说，涉及一种基于数字证书技术的系统用户访问管理系统及方法。

背景技术

用户访问是信息系统安全管理的重要机制之一，对主体(即信息的使用者)的访问控制是信息保密的前提。在信息系统中，用户要使用信息系统，需要凭借一定的身份标识，数据交换双方也必须通过某种形式的身份认证机制来证明它们的身份，以确认通信双方的身份是否与它们所宣称的一致。

从开发角度讲，认证用户的身份是实现应用系统访问控制的基础，用户的身份认证必须是“精确”的，能够满足各种访问控制的要求。在传统的用户访问权限的管理方式中，都是通过单一的账号方式来进行管理，即对于一个账号，给与一固定的权限，只要该帐号能够通过一定的验证手续，比如密码之类，就能顺利登陆并且获得相应的权限。但是，这种方式在具有复杂业务和复杂数据的系统中存在一定的缺陷。因为，对于具有复杂业务和复杂数据的系统来说，同一个用户在不同的业务应用中可能是享有不同的权限的，但是，传统技术中，并没有对这种情况加以区分，使得用户只能以单一的账号登陆并享受单一的权限，这对于具有复杂业务的系统来说并不是最佳的方案。

发明内容

本发明旨在提供一种基于数字证书技术的系统用户访问管理系统及方法，数字证书技术能更好的保证其安全性，并根据不同的应用为一个用户提供不同的访问权限。

一方面，本发明提供一种基于数字证书技术的系统用户访问管理方法，包括：

设定系统服务器数字证书以及用户数字证书；

根据用户的基本属性，设定用户的基本访问权限及用户的数据信息；

向请求认证的用户发送服务器数字证书和随机数，用户签名随机数，并用服务器数字证书加密随机数，将用户数字证书、签名随机数和加密随机数返还至系统服务器；

系统服务器解密所述随机数，并将解密后的随机数与原随机数比对，若一致则用户认证成功，若不一致则拒绝认证；

结合用户的基本访问权限确定给与该用户的访问授权策略；

基于该访问授权策略确定用户的最终访问权限。

所述用户数字证书的密钥存储于客户端的存储器，所述系统服务器数字证书存储于系统服务器的存储器。

所述用户的基本属性包括名称、职位、职级、辖地。

所述根据用户的基本属性，设定用户的基本访问权限，每一级的用户的基本访问权限由其上一级的用户确定。

作为一实施例，还提供一访问控制列表，针对每一个特定的应用，记录对于该特定的应用中对于用户的分类。

另一方面，基于数字证书技术的系统用户访问管理系统，包括：

数字证书设定装置，设定系统服务器数字证书以及用户数字证书；

基本访问权限设定装置，根据用户的基本属性，设定用户的基本访问权限及用户的数据信息；

认证装置，向请求认证的用户发送服务器数字证书和随机数，用户签名随机数，并用服务器数字证书加密随机数，将用户数字证书、签名随机数和加密随机数返还至系统服务器；系统服务器解密所述随机数，并将解密后的随机数与原随机数比对，若一致则用户认证成功，若不一致则拒绝认证；

分类确定装置，结合用户的基本访问权限确定给与该用户的访问授权策略；

访问权限确定装置，基于该访问授权策略确定用户的最终访问权限。

所述用户数字证书的密钥存储于客户端的存储器，所述系统服务器数字证书存储于系统服务器的存储器。

所述基本访问权限设定装置设定的用户的基本访问权限，每一级的用户的基本访问权限由其上一级的用户确定，所述用户的基本属性包括名称、职位、职级、辖地。

所述分类确定装置提供一访问控制列表，针对每一个特定的应用，记录对于该特定的应用中对于用户的分类。

采用本发明所述的一种基于数字证书技术的系统用户访问管理系统及方法，由于采用了高安全保证的数字证书技术，这使得用户的密钥的安全性得到了很好的保护，另外，本发明采用了先对用户认证，认证后再对用户进行访问控制的授权，即整个用户访问控制是分阶段进行的，这同样使得其安全性得到了提高。

附图说明

图1示出了根据本发明的一实施例的系统用户访问管理方法的流程图；

图2示出了根据本发明的一实施例的系统用户访问管理系统的结构原理图。

具体实施方式

本发明提供一种基于数字证书技术的系统用户访问管理方法，参考图1，示出了该方法的一实例100的流程图，该方法100包括：

101、设定系统服务器数字证书以及用户数字证书；