專利名稱：基于數字證書技術的系統用戶訪問管理系統及方法
技術領域：
本發明涉及用戶訪問權限的管理技術，跟具體地說，涉及一種基于數 字證書技術的系統用戶訪問管理系統及方法。
背景技術：
用戶訪問是信息系統安全管理的重要機制之一，對主體(即信息的使 用者)的訪問控制是信息保密的前提。在信息系統中，用戶要使用信息系 統，需要憑借一定的身份標識，數據交換雙方也必須通過某種形式的身份 認證機制來證明它們的身份，以確認通信雙方的身份是否與它們所宣稱的 一致。
從開發角度講，認證用戶的身份是實現應用系統訪問控制的基礎，用 戶的身份認證必須是"精確"的，能夠滿足各種訪問控制的要求。在傳統 的用戶訪問權限的管理方式中，都是通過單一的賬號方式來進行管理，即 對于一個賬號，給與一固定的權限，只要該帳號能夠通過一定的驗證手續， 比如密碼之類，就能順利登陸并且獲得相應的權限。但是，這種方式在具 有復雜業務和復雜數據的系統中存在一定的缺陷。因為，對于具有復雜業 務和復雜數據的系統來說，同一個用戶在不同的業務應用中可能是享有不 同的權限的，但是，傳統技術中，并沒有對這種情況加以區分，使得用戶 只能以單一的賬號登陸并享受單一的權限，這對于具有復雜業務的系統來 說并不是最佳的方案。

發明內容
本發明旨在提供 一種基于數字證書技術的系統用戶訪問管理系統及方 法，數字證書技術能更好的保證其安全性，并根據不同的應用為一個用戶 提供不同的訪問權限。一方面，本發明提供一種基于數字證書技術的系統用戶訪問管理方法, 包括
設定系統服務器數字證書以及用戶數字證書；
根據用戶的基本屬性，設定用戶的基本訪問權限及用戶的數據信息；
向請求認證的用戶發送服務器數字證書和隨機數，用戶簽名隨機數， 并用服務器數字證書加密隨機數，將用戶數字證書、簽名隨機數和加密隨
機數返還至系統服務器；
系統服務器解密所述隨機數，并將解密后的隨機數與原隨機數比對， 若一致則用戶認證成功，若不一致則拒絕認證；
結合用戶的基本訪問權限確定給與該用戶的訪問授權策略；
基于該訪問授權策略確定用戶的最終訪問權限。
所述用戶數字證書的密鑰存儲于客戶端的存儲器，所述系統服務器數 字證書存儲于系統服務器的存儲器。
所述用戶的基本屬性包括名稱、職位、職級、轄地。
所述根據用戶的基本屬性，設定用戶的基本訪問權限，每一級的用戶 的基本訪問權限由其上一級的用戶確定。
作為一實施例，還提供一訪問控制列表，針對每一個特定的應用，記 錄對于該特定的應用中對于用戶的分類。
另一方面，基于數字證書技術的系統用戶訪問管理系統，包括
數字證書設定裝置，設定系統服務器數字證書以及用戶數字證書；
基本訪問權限設定裝置，根據用戶的基本屬性，設定用戶的基本訪問 權限及用戶的數據信息；
認證裝置，向請求認證的用戶發送服務器數字證書和隨機數，用戶簽 名隨機數，并用服務器數字證書加密隨機數，將用戶數字證書、簽名隨機 數和加密隨機數返還至系統服務器；系統服務器解密所述隨機數，并將解 密后的隨機數與原隨機數比對，若一致則用戶認證成功，若不一致則拒絕 認證；
分類確定裝置，結合用戶的基本訪問權限確定給與該用戶的訪問授權 策略；訪問權限確定裝置，基于該訪問授權策略確定用戶的最終訪問權限。
所述用戶數字證書的密鑰存儲于客戶端的存儲器，所述系統服務器數 字證書存儲于系統服務器的存儲器。
所述基本訪問權限設定裝置設定的用戶的基本訪問權限，每一級的用 戶的基本訪問權限由其上一級的用戶確定，所述用戶的基本屬性包括名稱、 職位、職級、轄地。
所述分類確定裝置提供一訪問控制列表，針對每一個特定的應用，記 錄對于該特定的應用中對于用戶的分類。
釆用本發明所述的 一種基于數字證書技術的系統用戶訪問管理系統及
方法，由于采用了高安全保證的數字證書技術，這使得用戶的密鑰的安全
性得到了很好的保護，另外，本發明采用了先對用戶認證，認證后再對用
戶進行訪問控制的授權，即整個用戶訪問控制是分階段進行的，這同樣使 得其安全性得到了提高。


圖1示出了根據本發明的一實施例的系統用戶訪問管理方法的流程
圖2示出了根據本發明的一實施例的系統用戶訪問管理系統的結構原 理圖。
具體實施例方式
本發明提供一種基于數字證書技術的系統用戶訪問管理方法，參考圖 1,示出了該方法的一實例100的流程圖，該方法100包括
101、設定系統服務器數字證書以及用戶數字證書；
PKI(公開密鑰系統)，是應用公鑰概念和公鑰密碼技術為全社會廣泛 實施和提供信息化安全及信任服務的安全基礎設施。在PKI中，為了確保 用戶及其所持有密鑰的正確性，需要一個值得信賴而且獨立的第三方機構 充當CA認證中心(Certification Authority)，來確認聲稱擁有公開密鑰的 實體的真正身份。要確認一個公開密鑰，CA首先制作一張"數字證書"，它包含用戶身份的部分信息及用戶所持有的公開密鑰，然后CA利用本身 的密鑰為數字證書加上數字簽名，所述用戶數字證書的密鑰存儲于客戶端 的存儲器，所述系統服務器數字證書存儲于系統服務器的存儲器，這樣一 個屬于這個實體的數字證書就完成了。
102、 根據用戶的基本屬性，設定用戶的基本訪問權限及用戶的數據信
息。根據本發明的一實施例，該方法應用于公共安全系統，此時，用戶的 基本屬性包括名稱、職位、職級、轄地。
103、 發送服務器數字證書和隨機數。系統服務器向請求認證的用戶發 送服務器數字證書和隨機數，用戶簽名隨機數，并用服務器數字證書加密 隨機數，將用戶數字證書、簽名隨機數和加密隨機數返還至系統服務器；
對于系統服務器，首先，系統服務器要接受很多客戶端的服務要求， 這就要建立合適的數據庫,以便保存用戶的數據信息，并方便維護和管理， 提供查找修改等功能。還要提供數據庫的備份設備，以防數據被破壞。其 次，服務器端的網頁要進行適當的修改，提供用戶登陸的界面，顯示用戶 登錄后的信息，滿足用戶的一些基本要求。再次，服務器端要注冊COM動 態鏈接文件，安裝數字證書管理器，以保證登陸地網頁和程序能正確地調 用SafeEngine等庫函數。
對于用戶(客戶端)，要安裝數字證書管理器，以能將私鑰裝入并正 確獲得證書。對于安全級別較高地用戶要使用硬件加密設備，例如明華USB 棒等。數字證書管理器可以通過CAB包從網頁中下載安裝。
當用戶端登陸服務器時，服務器端初始化，得到服務器數字證書，并 產生一個隨機數，然后把服務器證書和隨機數發給客戶端。客戶端初始化 硬件加密設備，獲得客戶端的用戶數字證書和所述隨機數，驗證服務器數 字證書，驗證通過后用戶用其私鑰簽名所述隨機數，并用服務器數字證書 加密所述隨機數，然后把用戶數字證書、隨機數簽名和隨機數加密發給服 務器。
104、 系統服務器解密所述隨機數，并將解密后的隨機數與原隨機數比 對，若一致則用戶認證成功，若不一致則拒絕認證；
服務器收到返回的數據后，用其私鑰初始化，并取出服務器數字證書。然后驗證客戶端數字證書，驗證通過后用自己的私鑰解密隨機數，并用客 戶端數字證書對收到的隨機數簽名進行驗證，再檢查解密的隨機數與原來 發送的隨機數是否一致，若一致則用戶認證成功，若不一致則拒絕認證。
105. 根據一實施例，作為一特定的應用，設定用戶的特定訪問權限， 其中，具有特定訪問權限的用戶是用戶基本訪問權限數據庫中保存的用戶， 而該特定訪問權限與該特定的應用中該用戶的分類有關。如上面所介紹的， 本發明的一實施例是應用于公共安全系統，對于公共安全系統來說，時常 會出現不同的任務，這些不同的任務可以被視為是不同的特定應用。同一 個工作人員在不同的任務中的角色是不同的，因此希望他們在不同的任務 中被賦予不同的訪問權限。在傳統技術中，由于對于單一賬號的登陸只給 與單一的訪問權限，因此無法滿足上面的這種應用的要求。本發明設計的 用戶的特定訪問權限，該特定訪問權限是基于不同的特定應用而設定。在 一個特定應用中，可以對用戶進行分類，因此同一個用戶在不同的應用中 可能被分到不同的類中，于是，針對不同的應用，同一個用戶就能被賦予 不同的特定訪問權限。根據本發明的一實現，還提供一訪問控制列表，針 對每一個特定的應用，記錄對于該特定的應用中對于用戶的分類。
106. 獲取該用戶對于該特定的應用的分類，結合用戶的基本訪問權限
或用戶的特定訪問權限確定給與該用戶的訪問授權策略。例如，對于公共
安全系統的應用，通過認證后CA服務器和目錄服務器向訪問控制模塊發 回用戶的名稱、職位、職級、轄地等權限信息。訪問控制模塊通過查詢訪 問控制列表，判別用戶的類別，執行不同的授權策略。
107. 基于該訪問授權策略確定用戶的最終訪問權限。
同樣，對于公共安全系統的應用，上述的步驟102,根據用戶的基本 屬性，設定用戶的基本訪問權限、身份識別信息和驗證信息是分級進行， 每一級的用戶的基本訪問權限、身份識別信息和驗證信息是分級由其上一 級的用戶確定。比如，上級部門給下級部門授權，下級部門給再下一級機 構授權，各級機關內部設置職位(角色)，給一個工作人員設置權限的過 程是，相應機關管理員或領導，只要從工作人員庫中選出要授權的工作人 員，賦予相應的職位(角色)即可。本發明還提供 一種基于數字證書技術的系統用戶訪問管理系統200，
參考圖2示出了其實施例，該系統200包括
數字證書設定裝置201，設定系統服務器數字證書以及用戶數字證書； PKI(公開密鑰系統)，是應用公鑰概念和公鑰密碼技術為全社會廣泛 實施和提供信息化安全及信任服務的安全基礎設施。在PKI中'，為了確保 用戶及其所持有密鑰的正確性，需要一個值得信賴而且獨立的第三方機構 充當CA認證中心(Certification Authority),來確認聲稱擁有公開密鑰的 實體的真正身份。要確認一個公開密鑰，CA首先制作一張"數字證書"， 它包含用戶身份的部分信息及用戶所持有的公開密鑰，然后CA利用本身 的密鑰為數字證書加上數字簽名，這樣一個屬于這個實體的數字證書就完 成了，所述用戶數字證書的密鑰存儲于客戶端的存儲器，所述系統服務器 數字證書存儲于系統服務器的存儲器，所述數字證書設定裝置201就是為 了完成上述任務。
基本訪問權限設定裝置202，根據用戶的基本屬性，設定用戶的基本 訪問權限及用戶的數據信息；根據本發明的一實施例，該方法應用于公共 安全系統，此時，用戶的基本屬性包括名稱、職位、職級、轄地。
認證裝置203,向請求認證的用戶發送服務器數字證書和隨機數，用 戶簽名隨機數，并用服務器數字證書加密隨機數，將用戶數字證書、簽名 隨機數和加密隨機數返還至系統服務器；系統服務器解密所述隨機數，并 將解密后的隨機數與原隨機數比對，若一致則用戶認證成功，若不一致則 拒絕認證。
對于系統服務器，首先，系統服務器要接受很多客戶端的服務要求， 這就要建立合適的數據庫，以便保存用戶的數據信息，并方便維護和管理， 提供查找修改等功能。還要提供數據庫的備份設備，以防數據被破壞。其 次，服務器端的網頁要進行適當的修改，提供用戶登陸的界面，顯示用戶-登錄后的信息，滿足用戶的一些基本要求。再次，服務器端要注冊COM動 態鏈接文件，安裝數字證書管理器，以保證登陸地網頁和程序能正確地調 用SafeEngine等庫函數。
對于用戶(客戶端)，要安裝數字證書管理器，以能將私鑰裝入并正確獲得證書。對于安全級別較高地用戶要使用硬件加密設備，例如明華USB
棒等。數字證書管理器可以通過CAB包從網頁中下載安裝。
當用戶端登陸服務器時，服務器端初始化，得到服務器數字證書，并 產生一個隨機數，然后把服務器證書和隨機數發給客戶端。客戶端初始化 硬件加密設備，獲得客戶端的用戶數字證書和所述隨機數，驗證服務器數 字證書，驗證通過后用戶用其私鑰簽名所述隨機數，并用服務器數字證書 加密所述隨機數，然后把用戶數字證書、隨機數簽名和隨機數加密發給服 務器。服務器收到返回的數據后，用其私鑰初始化，并取出服務器數字證 書。然后驗證客戶端數字證書，驗證通過后用自己的私鑰解密隨機數，并 用客戶端數字證書對收到的隨機數簽名進行驗證，再檢查解密的隨機數與 原來發送的隨機數是否一致，若一致則用戶認證成功，若不一致則拒絕認 證。
分類確定裝置204，結合用戶的基本訪問權限確定給與該用戶的訪問 授權策略；例如，對于公共安全系統的應用，通過認證后CA服務器和目 錄服務器向訪問控制模塊發回用戶的名稱、職位、職級、轄地等權限信息。 訪問控制模塊通過查詢訪問控制列表，判別用戶的類別，執行不同的授權 策略。所述分類確定裝置204提供一訪問控制列表207,針對每一個特定 的應用，記錄對于該特定的應用中對于用戶的分類。
訪問權限確定裝置205,基于該訪問授權策略確定用戶的最終訪問權 限。所述訪問權限設定裝置206設定的角戶的基本訪問權限，每一級的用 戶的基本訪問權限由其上一級的用戶確定，所述用戶的基本屬性包括名稱、 職位、職級、轄地。基于該訪問授權策略確定用戶的最終訪問權限。同樣， 對于公共安全系統的應用，上述的步驟202，根據用戶的基本屬性，設定 用戶的基本訪問權限、身份識別信息和驗證信息是分級進行，每一級的用 戶的基本訪問權限、身份識別信息和驗證信息是分級由其上一級的用戶確 定。比如，上級部門給下級部門授權，下級部門給再下一級機構授權，各 級機關內部設置職位(角色)，給一個工作人員設置權限的過程是，相應 機關管理員或領導，只要從工作人員庫中選出要授權的工作人員，賦予相 應的職位(角色)即可。根據 一 實施例，還可以有特定訪問權限設定裝置206作為 一 特定的應 用，設定用戶的特定訪問權限，其中，具有特定訪問權限的用戶是用戶基 本訪問權限數據庫中保存的用戶，而該特定訪問權限與該特定的應用中該 用戶的分類有關。如上面所介紹的，本發明的一實施例是應用于公共安全 系統，對于公共安全系統來說，時常會出現不同的任務，這些不同的任務 可以被視為是不同的特定應用。同 一個工作人員在不同的任務中的角色是 不同的，因此希望他們在不同的任務中被賦予不同的訪問權限。在傳統技 術中，由于對于單一賬號的登陸只給與單一的訪問權限，因此無法滿足上 面的這種應用的要求。本發明設計的用戶的特定訪問權限，該特定訪問權 限是基于不同的特定應用而設定。在一個特定應用中，可以對用戶進行分 類，因此同一個用戶在不同的應用中可能被分到不同的類中，于是，針對 不同的應用，同一個用戶就能被賦予不同的特定訪問權限。根據本發明的 一實現，還提供一訪問控制列表，針對每一個特定的應用，記錄對于該特
定的應用中對于用戶的分類。那么分類確定裝置204獲取該用戶對于該特
定的應用的分類，結合用戶的特定訪問權限確定給與該用戶的訪問授權策
略。例如，對于公共安全系統的應用，通過認證后CA服務器和目錄服務 器向訪問控制模塊發回用戶的名稱、職位、職級、轄地等權限信息。訪問 控制模塊通過查詢訪問控制列表，判別用戶的類別，執行不同的授權策略。 本技術領域中的普通技術人員應當認識到，以上的實施例僅是用來說 明本發明，而并非用作為對本發明的限定，只要在本發明的實質精神范圍 內，對以上所述實施例的變化、變型都將落在本發明的權利要求范圍。
權利要求
1、一種基于數字證書技術的系統用戶訪問管理方法，其特征在于，包括設定系統服務器數字證書以及用戶數字證書；根據用戶的基本屬性，設定用戶的基本訪問權限及用戶的數據信息；向請求認證的用戶發送服務器數字證書和隨機數，用戶簽名隨機數，并用服務器數字證書加密隨機數，將用戶數字證書、簽名隨機數和加密隨機數返還至系統服務器；系統服務器解密所述隨機數，并將解密后的隨機數與原隨機數比對，若一致則用戶認證成功，若不一致則拒絕認證；結合用戶的基本訪問權限確定給與該用戶的訪問授權策略；基于該訪問授權策略確定用戶的最終訪問權限。
2、 如權利要求l所述的系統用戶訪問管理方法，其特征在于，所述用 戶數字證書的密鑰存儲于客戶端的存儲器，所述系統服務器數字證書存儲 于系統服務器的存儲器。
3、 如權利要求2所述的系統用戶訪問管理方法，其特征在于，所述用 戶的基本屬性包括名稱、職位、職級、轄地。
4、 如權利要求2所述的系統用戶訪問管理方法，其特征在于，所述根 據用戶的基本屬性，設定用戶的基本訪問權限，每一級的用戶的基本訪問 權限由其上一級的用戶確定。
5、 如權利要求l至4中任一項所述的系統用戶訪問管理方法，其特征 在于，提供一訪問控制列表，針對每一個特定的應用，記錄對于該特定的 應用中對于用戶的分類。
6、 一種基于數字證書技術的系統用戶訪問管理系統，其特征在于，包括數字證書設定裝置，設定系統服務器數字證書以及用戶數字證書； 基本訪問權限設定裝置，根據用戶的基本屬性，設定用戶的基本訪問 權限及用戶的數據信息；認證裝置，向請求認證的用戶發送服務器數字證書和隨機數，用戶簽 名隨機數，并用服務器數字證書加密隨機數，將用戶數字證書、簽名隨機 數和加密隨機數返還至系統服務器；系統服務器解密所述隨機數，并將解 密后的隨機數與原隨機數比對，若一致則用戶認證成功，若不一致則拒絕 認證；分類確定裝置，結合用戶的基本訪問權限確定給與該用戶的訪問授權 策略；訪問權限確定裝置，基于該訪問授權策略確定用戶的最終訪問權限。
7、 如權利要求6所述的系統用戶訪問管理系統，其特征在于，所述用 戶數字證書的密鑰存儲于客戶端的存儲器，所述系統服務器數字證書存儲 于系統服務器的存儲器。
8、 如權利要求7所述的系統用戶訪問管理系統，其特征在于，所述基 本訪問權限設定裝置設定的用戶的基本訪問權限，每一級的用戶的基本訪 問權限由其上一級的用戶確定，所述用戶的基本屬性包括名稱、職位、職 級、轄地。
9、 如權利要求6至8中任一項所述的系統用戶訪問管理系統，其特征 在于，所述分類確定裝置提供一訪問控制列表，針對每一個特定的應用， 記錄對于該特定的應用中對于用戶的分類。
全文摘要
本發明揭示了一種基于數字證書技術的系統用戶訪問管理系統及方法，包括設定系統及用戶的數字證書，設定用戶的訪問權限、用戶認證以及賦予用戶訪問權限。本發明采用了高安全保證的數字證書技術，這使得用戶的密鑰的安全性得到了很好的保護，另外，本發明采用了先對用戶認證，認證后再對用戶進行訪問控制的授權，即整個用戶訪問控制是分階段實現的，這同樣使得其安全性得到了提高。
文檔編號H04L9/28GK101321063SQ20081004067
公開日2008年12月10日 申請日期2008年7月17日 優先權日2008年7月17日
發明者孫圭寧, 王占宏, 顧國強, 高建強, 高念高 申請人:上海眾恒信息產業有限公司