專利名稱：一種基于數字證書技術的信息系統的訪問控制方法及裝置的制作方法
技術領域：
本發明涉及數據信息系統的安全技術，更具體地說，涉及一種基于數 字證書技術的信息系統的訪問控制方法及裝置。
背景技術：
目前越來越多的工作需要利用到各種各樣的信息系統，而信息系統的 安全性越來越得到人們的關注，例如在信息系統的訪問控制方面就需要注 重其安全性，在一個信息系統中具有級別不同的各種用戶，特定的用戶只 能訪問特定的數據，而如果安全措施不到位，那么會出現用戶可以訪問到 其不該訪問的數據，從而造成泄密等事故，就可能給國家和企業造成難以 挽回的損失。 一個信息系統會供給不同的部門和不同的人使用，這些不同 的部門和不同的人的數據需求是不一樣的，這就決定了對于不同級別的用 戶要創建不同的訪問權限，這樣才既能滿足各用戶的訪問要求也能保證秘 密數據不被泄漏。可見對于信息系統的用戶訪問需要進行相關安全策略的 設計，從而達到對不同用戶的訪問進行控制的目的。

發明內容
本發明的目的在于提供 一 種基于數字證書技術的信息系統的訪問控制 方法及裝置，以實現對不同用戶的訪問進行控制的目的。
根據本發明的第一方面，提供一種基于數字證書技術的信息系統的訪
問控制方法，包括以下步驟
a、 設定系統服務器數字證書以及用戶數字證書；
b、 定義所述信息系統的訪問角色，所述訪問角色是所述信息系統不同 訪問權限的集合；
c、 向注冊的用戶創建身份標識，將所述b步驟定義的訪問角色賦予所 述身份標識；d、 根據所述a步驟的數字證書對請求登陸的用戶進行認證；
e、 根據所述c步驟的用戶身份標識，對通過認證的用戶建立訪問控制
表，所述訪問控制表執行所述用戶的訪問控制。 所述d步驟包括
1) 向請求登陸認證的用戶發送服務器數字證書和隨機數，用戶簽名隨 機數，并用服務器數字證書加密隨機數，將用戶數字證書、簽名隨機數和 加密隨機數返還至系統服務器；
2) 系統服務器解密所述隨機數，并將解密后的隨機數與原隨機數比對， 若一致則用戶認證成功，若不一致則拒絕認證。
所述a步驟還定義了所述信息系統數據庫的數據的保密等級，所述定 義了保密等級的數據與所述訪問角色匹配。
所述a步驟所述用戶數字證書的密鑰存儲于客戶端的存儲器，所述系 統服務器數字證書的密鑰存儲于系統服務器的存儲器。
所述訪問控制表包括所述訪問角色與所述定義了保密等級的數據以及 所述身份標識三者之間的聯系規則，所述訪問控制表存儲在所述信息系統 的數據庫中。
所述訪問控制表驗證所述身份標識以及所述身份標識的訪問目標的合 法性。
根據本發明的第二方面，提供一種基于數字證書技術的信息系統的訪 問控制裝置，包括
注冊模塊，所述注冊模塊為所述信息系統的用戶提供注冊并設定系統 服務器數字證書以及用戶數字證書；
定義模塊，定義所述信息系統的訪問角色，向注冊的用戶創建身份標 識，將所述訪問角色賦予所述身份標識，所述訪問角色是所述信息系統不 同訪問權限的集合；
控制模塊，所述控制模塊根據所述注冊模塊設定的數字證書對請求登 陸的用戶進行認證，并根據所述身份標識對通過認證的用戶建立訪問控制 表，所述訪問控制表執行所述用戶的訪問控制。
所述控制模塊對請求登陸的用戶進行認證包括以下步驟1) 向請求登陸認證的用戶發送服務器數字證書和隨機數，用戶簽名隨 機數，并用服務器數字證書加密隨機數，將用戶數字證書、簽名隨機數和
加密隨機數返還至系統服務器；
2) 系統服務器解密所述隨機數，并將解密后的隨機數與原隨機數比對，
'若一致則用戶認證成功，若不一致則拒絕認證。
所述定義模塊還定義了所述信息系統數據庫的數據的保密等級，所述 定義了保密等級的數據與所述訪問角色匹配。
所述訪問控制表包括所述訪問角色與所述定義了保密等級的數據以及 所述身份標識三者之間的聯系規則，所述訪問控制表存儲在所述信息系統 的數據庫中。
采用本發明所述的一種基于數字證書技術的信息系統的訪問控制方法 及裝置，本發明所述的方法及裝置一方面是基于數字證書技術的，數字證 書技術通過其公鑰和密鑰可以更好的保證用戶和系統之間數據交換的安全 性，另一方面本方法及裝置是基于訪問角色的訪問控制模型，即先定義訪 問角色，然后將此訪問角色賦予注冊的合法用戶，再建立用戶的訪問控制 表，把"用戶訪問角色操作數據"關聯到一起，實現非自主型訪問 控制策略，使用基于訪問角色的訪問控制模型可以減輕安全管理工作，這 種方式只需把新的注冊用戶創建給已定義的訪問角色即可，無需為用戶重 新指定資源和操作，因而簡化了授權管理工作。


圖l為本發明所述的訪問控制方法的流程示意圖； 圖2為本發明所述的訪問控制裝置的原理示意圖； 圖3為本發明所述的訪問控制方法及裝置的工作流程示意圖。
具體實施例方式
下面結合附圖和實施例進一步說明本發明的技術方案。
參考圖1,圖i是本發明所述的訪問控制方法ioo的流程示意圖，包
括以下步驟101、 設定系統服務器以及用戶的數字證書。
PKI(公開密鑰系統)，是應用公鑰概念和公鑰密碼技術為全社會廣泛
實施和提供信息化安全及信任服務的安全基礎設施。在PKI中，為了確保 用戶及其所持有密鑰的正確性，需要一個值得信賴而且獨立的第三方機構 充當CA認證中心(Certification Authority)，來確認聲稱擁有公開密鑰的 實體的真正身份。要確認一個公開密鑰，CA首先制作一張"數字證書"， 它包含用戶身份的部分信息及用戶所持有的公開密鑰，然后CA利用本身 的密鑰為數字證書加上數字簽名，所述用戶數字證書的密鑰(私鑰)存儲 于客戶端的存儲器，所述系統服務器數字證書的密鑰(私鑰)存儲于系統 服務器的存儲器，這樣一個屬于這個實體的數字證書就完成了。
102、 定義所述信息系統的訪問角色。所述訪問角色是所述信息系統不 同訪問權限的集合，在一實施例中還定義了所述信息系統數據庫的數據的 保密等級，這些被定義了保密等級的數據與訪問角色匹配，即什么樣的訪 問角色能訪問什么樣的保密等級的數據。
103、 創建身份標識并賦予訪問角色。向注冊的用戶創建身份標識，將 所述訪問角色賦予所述身份標識，創建的身份標識是唯一存在的。將訪問 角色賦予身份標識，使每個身份標識對應相應的訪問角色，這樣每個身份 標識就有了對所述信息系統訪問的訪問權限。
104、 依據數字證書對用戶進行認證。包括以下步驟
1) 向請求登陸認證的用戶發送服務器數字證書和隨機數，用戶簽名隨 機數，并用服務器數字證書加密隨機數，將用戶數字證書、簽名隨機數和 加密隨機數返還至系統服務器；
2) 系統服務器解密所述隨機數，并將解密后的隨機數與原隨機數比對， 若一致則用戶認證成功，若不一致則拒絕認證。
對于系統服務器，首先，系統服務器要接受很多客戶端的服務要求， 這就要建立合適的數據庫，以便保存用戶的數據信息，并方便維護和管理， 提供査找修改等功能。還要提供數據庫的備份設備，以防數據被破壞。其 次，服務器端的網頁要進行適當的修改，提供用戶登陸的界面，顯示用戶 登錄后的信息，滿足用戶的一些基本要求。再次，服務器端要注冊COM動態鏈接文件，安裝數字證書管理器，以保證登陸地網頁和程序能正確地調
用SafeEngine等庫函數。
對于用戶(客戶端)，要安裝數字證書管理器，以能將私鑰裝入并正 確獲得證書。對于安全級別較高地用戶要使用硬件加密設備，例如明華USB 棒等。數字證書管理器可以通過CAB包從網頁中下載安裝。
當用戶端登陸服務器時，服務器端初始化，得到服務器數字證書，并 產生一個隨機數，然后把服務器證書和隨機數發給客戶端。客戶端初始化 硬件加密設備，獲得客戶端的用戶數字證書和所述隨機數，驗證服務器數 字證書，驗證通過后用戶用其私鑰簽名所述隨機數，并用服務器數字證書 加密所述隨機數，然后把用戶數字證書、隨機數簽名和隨機數加密發給服 務器。
服務器收到返回的數據后，用其私鑰初始化，并取出服務器數字證書。 然后驗證客戶端數字證書，驗證通過后用自己的私鑰解密隨機數，并用客 戶端數字證書對收到的隨機數簽名進行驗證，再檢查解密的隨機數與原來 發送的隨機數是否一致，若一致則用戶認證成功，若不一致則拒絕認證。
105、建立訪問控制表。用戶通過認證后，根據所述用戶的身份標識， 對通過認證的用戶建立訪問控制表，所述訪問控制表執行所述用戶的訪問 控制并驗證所述身份標識以及所述身份標識的訪問目標的合法性。所述訪 問控制表包括所述訪問角色與所述定義了保密等級的數據以及所述身份標 識E者之間的聯系規則，所述訪問控制表存儲在所述信息系統的數據庫中。
參考圖2，所述訪問控制裝置包括以下模塊
注冊模塊201，所述注冊模塊201為所述信息系統的用戶提供注冊并 設定系統服務器數字證書以及用戶數字證書；
定義模塊202，定義所述信息系統的訪問角色，向注冊的用戶創建身 份標識，將所述訪問角色賦予所述身份標識，所述訪問角色是所述信息系 統不同訪問權限的集合；所述定義模塊還定義了所述信息系統數據庫的數 據的保密等級，所述定義了保密等級的數據與所述訪問角色匹配。
控制模塊203，所述控制模塊203根據所述注冊模塊201設定的數字 證書對請求登陸的用戶進行認證，并根據所述身份標識對通過認證的用戶建立訪問控制表，所述訪問控制表執行所述用戶的訪問控制。所述訪問控 制表包括所述訪問角色與所述定義了保密等級的數據以及所述身份標識三 者之間的聯系規則，所述訪問控制表存儲在所述信息系統的數據庫中。
所述控制模塊203對請求登陸的用戶進行認證過程同于所述訪問控制
方法100的步驟104，包括以下步驟
1) 向請求登陸認證的用戶發送服務器數字證書和隨機數，用戶簽名隨 機數，并用服務器數字證書加密隨機數，將用戶數字證書、簽名隨機數和 加密隨機數返還至系統服務器；
2) 系統服務器解密所述隨機數，并將解密后的隨機數與原隨機數比對， 若一致則用戶認證成功，若不一致則拒絕認證。
下面結合圖3說明一下本發明所述技術方案的一具體實施例的工作流
程
301、 用戶登錄(包括通過IC卡等方式)系統對其進行驗證，只有 通過驗證才可以進入下一步。
302、 通過瀏覽器或前臺系統的查詢界面發出查詢請求。
303、 檢索用戶的角色組成和相關角色權限(用戶訪問角色)，組織用 戶的權限列表(訪問控制表)。
304、 檢查查詢的目標(數據表)，同時檢查用戶的業務、地域屬性是 否符合查詢目標的業務、地域限制，不滿足則返回"沒有權限"的提示，并 封鎖此用戶沒有權限檢索的字段。
305、 將相關的記錄級權限限制(如可訪問的記錄密級限制)作為查詢 的限制條件組織查詢語句，提交給綜合信息數據庫進行查詢。
306、 將數據庫的查詢結果返回給用戶。
另外，除了數據封鎖之外，用戶進行每一項搡作時，系統也要檢查該 用戶的權限，并根據該權限所具有的操作功能決定哪些功能對該用戶開放， 哪些功能不能執行。
本技術領域中的普通技術人員應當認識到，以上的實施例僅是用來說 明本發明，而并非用作為對本發明的限定，只要在本發明的實質精神范圍 內，對以上實施例的變化、變型都將落在本發明的權利要求書范圍內。
權利要求
1、一種基于數字證書技術的信息系統訪問控制方法，其特征在于，包括以下步驟a、設定系統服務器數字證書以及用戶數字證書；b、定義所述信息系統的訪問角色，所述訪問角色是所述信息系統不同訪問權限的集合；c、向注冊的用戶創建身份標識，將所述b步驟定義的訪問角色賦予所述身份標識；d、根據所述a步驟的數字證書對請求登陸的用戶進行認證；e、根據所述c步驟的用戶身份標識，對通過認證的用戶建立訪問控制表，所述訪問控制表執行所述用戶的訪問控制。
2、 如權利要求1所述的訪問控制方法，其特征在于，所述d步驟包括1) 向請求登陸認證的用戶發送服務器數字證書和隨機數，用戶簽名隨 機數，并用服務器數字證書加密隨機數，將用戶數字證書、簽名隨機數和 加密隨機數返還至系統服務器；2) 系統服務器解密所述隨機數，并將解密后的隨機數與原隨機數比對， 若一致則用戶認證成功，若不一致則拒絕認證。
3. 如權利要求2所述的訪問控制方法，其特征在于，所述a步驟還 定義了所述信息系統數據庫的數據的保密等級，所述定義了保密等級的數 據與所述訪問角色匹配。
4、 如權利要求2所述的訪問控制方法，其特征在于，所述a步驟所 述用戶數字證書的密鑰存儲于客戶端的存儲器，所述系統服務器數字證書 存儲于系統服務器的存儲器。
5. 如權利要求l所述的訪問控制方法，其特征在于，所述訪問控制表 包括所述訪問角色與所述定義了保密等級的數據以及所述身份標識三者之 間的聯系規則，所述訪問控制表存儲在所述信息系統的數據庫中。
6. 如權利要求1所述的訪問控制方法，其特征在于，所述訪問控制表 驗證所述身份標識以及所述身份標識的訪問目標的合法性。
7. —種基于數字證書技術的信息系統的訪問控制裝置，其特征在于，包括注冊模塊，所述注冊模塊為所述信息系統的用戶提供注冊并設定系統 服務器數字證書以及用戶數字證書；定義模塊，定義所述信息系統的訪問角色，向注冊的用戶創建身份標 識，將所述訪問角色賦予所述身份標識，所述訪問角色是所述信息系統不同訪問權限的集合；控制模塊，所述控制模塊根據所述注冊模塊設定的數字證書對請求登 陸的用戶進行認證，并根據所述身份標識對通過認證的用戶建立訪問控制 表，所述訪問控制表執行所述用戶的訪問控制。
8. 如權利要求7所述的訪問控制裝置，其特征在于，所述控制模塊對 請求登陸的用戶進行認證包括以下步驟1) 向請求登陸認證的用戶發送服務器數字證書和隨機數，用戶簽名隨 機數，并用服務器數字證書加密隨機數，將用戶數字證書、簽名隨機數和 加密隨機數返還至系統服務器；2) 系統服務器解密所述隨機數，并將解密后的隨機數與原隨機數比對，若一致則用戶認證成功，若不一致則拒絕認證。
9. 如權利要求8所述的訪問控制裝置，其特征在于，所述定義模塊還 定義了所述信息系統數據庫的數據的保密等級，所述定義了保密等級的數 據與所述訪問角色匹配。
10. 如權利要求7所述的訪問控制裝置，其特征在于，所述訪問控制表包括所述訪問角色與所述定義了保密等級的數據以及所述身份標識三者 之間的聯系規則，所述訪問控制表存儲在所述信息系統的數據庫中。
全文摘要
本發明揭示了一種基于數字證書技術的信息系統訪問控制方法和裝置，包括設定數字證書、定義訪問角色、創建身份標識并將所述訪問角色賦予所述身份標識，對請求登陸的用戶進行認證并對通過認證的用戶建立訪問控制表。本發明所述的方法及裝置一方面是基于數字證書技術的，數字證書技術通過其公鑰和密鑰可以更好的保證用戶和系統之間數據交換的安全性，另一方面本方法及裝置是基于訪問角色的訪問控制模型，這種方式只需把新的注冊用戶創建給已定義的訪問角色即可，無需為用戶重新指定資源和操作，因而簡化了授權管理工作。
文檔編號H04L12/56GK101321064SQ20081004067
公開日2008年12月10日 申請日期2008年7月17日 優先權日2008年7月17日
發明者孫圭寧, 王占宏, 顧國強, 高建強, 高念高 申請人:上海眾恒信息產業有限公司