一种网络用户验证授权系统的制作方法
【专利摘要】一种网络用户验证授权系统,该系统主要由客户端和服务器端组成,服务器端包括用户登录验证模块,用户权限验证和获取模块,SOAP?POST请求分析和响应产生模块,用户编组信息产生模块和用户分数消息交互处理模块;服务器端还包括验证用户接口、授权用户接口、验证与授权的伺服分类与分送接口、用户网络通知与转发接口、用户信息安全交换接口和发行机构制度验证和加密/解密子系统。本发明采用证书链验证、安全加解密算法和动态密钥更换机制,同时提供了用户升级换代的Call?Back机制的中间插件方式,使得用户很容易以少量的编程,和内部统一的接口来实现SDK的目标,提高了用户数据的安全性,并使得消息的内部转换和更加灵活。
【专利说明】—种网络用户验证授权系统
【技术领域】
[0001]本发明涉及网络运营和管理领域,尤其涉及一种网络用户验证授权系统。
【背景技术】
[0002]近年来,随着网络信息化建设的不断深入,网络应用日益丰富,使得网络管理特别是用户管理变得越来越复杂。
[0003]不可否认,当今有不少网络仍旧缺乏高效的安全机制。事实上,无论什么样的安全策略,底层都包括基本的安全概念,包括验证性、授权性、机密性和完整性等。验证性指的是检验核实某人确实是他所声称的那个人,通常情况下,包括一个用户名、密码对,也可以包括其它表明身份的方法,比如智能卡、语音识别、指纹识别等。授权性是指确定已被识别和验证的用户是否可以访问某特定资源的过程,通常是通过检验该用户是否属于某一拥有访问权的组来决定的。
[0004]目前大部分的网络对于用户数据的安全性考虑不够完善,一旦要提高用户数据保密的安全需要和使得密码的管理更加网络化的时候,需要更改的工作量很大,牵一发而动全身,会对系统的升级带来极大的障碍,或者很难和别的系统的用户进行有效安全的数据交互,交互消息的内部转换和更改也不够灵活。
【发明内容】
[0005]为解决上述技术问题,本发明的实施例提供以下技术方案:
[0006]一种网络用户验证授权系统,包括:
[0007]客户端,用于采集用户输入的用户账户登录信息,生成账户登录请求后发送;
[0008]服务器端,用于接收所述用户账户登录信息,包括用户登录验证模块,用户权限验证和获取模块,SOAP POST请求分析和响应产生模块,用户编组信息产生模块和用户分数消息交互处理模块,还包括:
[0009]验证用户接口,用于对用户进行身份确认,产生唯一对应的ID,并使用此ID和授权用户接口进行对接,形成灵活的用户权限管理;
[0010]授权用户接口,用于对一个用户或者一组用户群进行特权的授予,设置,或者取消,使用抽象对象的类识别概念以统一的形式针对各种客户端的用户权限的限制提供有效的保护;
[0011]验证与授权的伺服分类与分送接口,用于Servlet分类和重定向的SOAP请求/响应接口主要用来响应B/S的客户端对自身安全验证的请求,和统一的多语言环境信息获取的需要,以封闭的用户登录,校验,状态更新和退出的认证周期来实现用户的私密性的安全校验和管理;
[0012]用户网络通知与转发接口,用于交换用户的交易数据和登录,提供了灵活的回复机制可以进行IS08583消息的重定向,和由用户交易产生的权限的升级、迁移;
[0013]用户信息安全交换接口,用于提供各种X509证书管理功能,DES加密算法的功能以及SHA256算法的加密技术,为用户认证和授权系统的敏感数据的安全保护提供各种重要的辅助功能;
[0014]发行机构制度验证和加密/解密子系统,利用证书保护X509密钥,使用不对称加密算法RSA进行证书校验,并用根证书对问题机构的证书进行证书链的校验,使用证书保护的DES密钥对用户输入的敏感数据(如密码)进行密码的加密传输,使用SHA256算法对数据库中的敏感字段进行加密保护。
[0015]本发明授权管理完全对象化,采用统一格式的抽象数据库管理,可以很方便地支持SDK式的灵活而统一的授权方式,极其容易扩展授权对象。而且支持一对多的在一个系统内多个Client端的统一化权限管理,极大地减少了二次开发的需要。
[0016]本发明建立了发布证书的功能,可以供给各个机构自己发行自己的证书,通过证书链来验证自己发行的客户端的证书。采用安全加解密算法和银行流行的动态密钥更换机制,以及面向抽象对象概念的授权管理系统,对特定用户的多个特征可以根据客户端的需求灵活设置,而无须重新编程,并可以随时增加,减少特定的用户授权对象迎合客户端权限升级的需要,而无须更改服务器的授权编程的方式,可以无限拓展客户定制的授权对象。同时提供了用户升级换代的Call Back机制的中间插件的方式,使得用户很容易以最少量的编程,和内部统一的接口来实现SDK的目标,提高了网络用户数据的安全性,并使得消息的内部转换和更改更加灵活。
【专利附图】
【附图说明】
[0017]图1是本发明网络用户验证授权系统的结构示意图。
【具体实施方式】
[0018]下面结合附图,对本发明提供的网络用户验证授权系统进行详细描述:
[0019]所述的网络用户验证授权系统包括客户端I和服务器端2。
[0020]所述的服务器端2包括用户登录验证模块,用户权限验证和获取模块,S0APP0ST请求分析和响应产生模块,用户编组信息产生模块和用户分数消息交互处理模块;还包括验证用户接口 3、授权用户接口 4、验证与授权的伺服分类与分送接口 5、用户网络通知与转发接口 6、用户信息安全交换接口 7和发行机构制度验证和加密/解密子系统8。
[0021]客户端1,用于采集用户输入的用户账户登录信息,生成账户登录请求后发送;
[0022]服务器端2,和客户端I相连接,用于接收所述用户账户登录信息;
[0023]其中,所述的客户端I采用动态密钥交换保护技术,使用X509的数字证书来保护密钥,同时以加密的形式将密钥保存在证书的扩展属性中,实现注册对象的SOAP消息的生成和服务器错误返回,用户注册,用户注销,编组消息,用户状态和区域属性更改等功能请求/响应的处理;
[0024]所述的服务器端2可以支持不受限制的客户端的权限规范的设置和使用,非常灵活方便,极大减少了代码的维护量。
[0025]验证用户接口 3,和所述的用户登录验证模块相对应,用于对用户进行身份确认,产生唯一对应的ID,并使用此ID和后面将要述及的授权用户接口 4对接,形成灵活的用户权限管理。对用户身份确认可以通过四种方式进行安全验证:(I)用户名+密码,(2)电话号码+密码,(3)卡号+密码,(4)邮件地址+密码;
[0026]授权用户接口 4,和所述的用户权限验证和获取模块相对应,用于对一个用户或者一组用户群进行特权的授予,设置,或者取消,使用抽象对象的类识别概念以统一的形式针对各种客户端的用户权限的限制提供有效的保护;
[0027]验证与授权的伺服分类与分送接口 5,和所述的SOAP POST请求分析和响应产生模块相对应,采用Servlet分类和重定向的SOAP请求/响应,主要用来响应B/S的客户端对自身安全验证的请求,和统一的多语言环境信息获取的需要,以封闭的用户登录,校验,状态更新和退出的认证周期来实现用户的私密性的安全校验和管理;
[0028]用户网络通知与转发接口 6,和所述的用户编组信息产生模块和用户分数消息交互处理模块相对应,用于交换用户的交易数据和登录,提供了灵活的回复机制可以进行IS08583消息的重定向,和由用户交易产生的权限的升级、迁移;
[0029]用户信息安全交换接口 7,和所述的用户编组信息产生模块和用户分数消息交互处理模块相对应,用于提供各种X509证书管理功能,DES加密算法的功能以及SHA256算法的加密技术,为用户认证和授权系统的敏感数据的安全保护提供各种重要的辅助功能;
[0030]发行机构制度验证和加密/解密子系统8,和服务器端连接,辅助服务器端利用证书保护X509密钥,使用不对称加密算法RSA进行证书校验,并用根证书对问题机构的证书进行证书链的校验;使用证书保护的DES密钥对用户输入的敏感数据(如密码)进行密码的加密传输;使用SHA256算法对数据库中的敏感字段进行加密保护。
[0031]本发明网络用户认证和授权系统使用统一的客户端接口规则,即通过特定用户的信息配合额外的 Hash 组信息,并提供 getAuthorizedOutputs O , getAttr-Outputs O ,getUserlnput O ,三种不同用意的返回;getAuthorizedOutputs O 返回一个 Java 的 Hash表,主要包含当前用户的授权响应列表;getAttrOutputs O返回一个Java的Hash表,主要包含普通的请求之后的响应信息列表;getUser_Inputs O返回一个Java的Hash表,主要包含当前用户的个人资料信息。
[0032]本发明网络用户验证与授权系统使用了如下两种通用的X509证书文件的扩展名:
[0033]..DER- (Dynamic Extended Resolution)动态可扩展方式编码的证书;
[0034]..PEM-(Privacy Enhanced Mail)Base64 编码的 DER 证书,包含在字符
"-----BEGIN CERTIFICATE-----〃和〃-----END CERTIFICATE-----〃之间(有时候也用后缀
名:.CRT代替)。
[0035]下面列举一个具体的应用实例,将本发明系统与网页游戏《三人斗地主V1.0》结合起来说明:
[0036]《三人斗地主V1.0》的登录,注册以及个人信息修改`都采用本发明用户验证授权系统进行用户的校验和创建,密码部分使用本发明用户验证授权系统的X509的证书密钥方式对密码进行了加密传送。注册系统使用了本发明用户验证授权系统的国家信息获取的Regioninformation的SOAP消息,和特定属性获取的请求。在个人信息修改中原有的信息都是在通过本发明用户验证授权系统的用户名称和密码校验后,并获得了授权用户的个人详细资料信息后返回到前台显示的。
[0037]《三人斗地主V1.0》的房间进入使用了本发明用户验证授权系统的编组SOAP请求,以获得动态的由服务器控制的房间号和位置数来产生玩家所进入的桌子,桌号的产生是由本发明用户验证授权系统按房间的桌号序列生成机制自动生成的。如果当前登录用户允许进入的房间只有房间一和二,该登录用户便不能进入鼠标所点的房间三。
[0038]《三人斗地主V1.0》在一局牌打完以后,是通过本发明用户验证授权系统的playstatus的请求,送到本发明用户验证授权系统的后台Node Agent的ISOMessage的CALL BACK方式进行用户交易数据处理的。整局牌玩完后,只要关闭浏览器窗口,用户会被强制要求登出,使用的是本发明用户验证授权系统的安全登出的SOAP请求。
[0039]《三人斗地主V1.0》使用的用户验证与授权系统的授权对象概念,内部用户的授权
对象格式定义如下:
[0040]
【权利要求】
1.一种网络用户验证授权系统,包括: 客户端,用于采集用户输入的用户账户登录信息,生成账户登录请求后发送; 服务器端,与客户端相连接,用于接收所述用户账户登录信息; 其特征在于,所述的服务器端包括:用户登录验证模块,用户权限验证和获取模块,SOAP POST请求分析和响应产生模块,用户编组信息产生模块和用户分数消息交互处理模块; 所述的服务器端还包括: 验证用户接口,和所述的用户登录验证模块相对应,用于对用户进行身份确认,产生唯一对应的ID ; 授权用户接口,和所述的用户权限验证和获取模块相对应,用于对一个用户或者一组用户群进行特权的授予,设置,或者取消,使用抽象对象的类识别概念以统一的形式对各种客户端的用户权限的限制提供有效的保护; 验证与授权的伺服分类与分送接口,和所述的SOAP POST请求分析和响应产生模块相对应,采用Servlet分类和重定向的SOAP请求/响应,主要用来响应B/S的客户端对自身安全验证的请求,以封闭的用户登录,校验,状态更新和退出的认证周期来实现用户的私密性的安全校验和管理; 用户网络通知与转发接口,和所述的用户编组信息产生模块和用户分数消息交互处理模块相对应,用于交换用户的交易数据和登录; 用户信息安全交换接口,和所述的用户编组信息产生模块和用户分数消息交互处理模块相对应,用于提供各种X509证书管理功能,DES加密算法的功能以及SHA256算法的加密技术,为用户认证和授权系统的敏感数据的安全保护提供各种重要的辅助功能; 发行机构制度验证和加密/解密子系统,和服务器端连接,辅助服务器端利用证书保护X509密钥,使用不对称加密算法RSA进行证书校验,并用根证书对问题机构的证书进行证书链的校验,使用证书保护的DES密钥对用户输入的敏感数据进行密码的加密传输,使用SHA256算法对数据库中的敏感字段进行加密保护。
2.如权利要求1所述的网络用户验证授权系统,其特征在于,所述的验证用户接口使用所产生的ID和所述的授权用户接口进行对接。
3.如权利要求1所述的网络用户验证授权系统,其特征在于,所述的服务器端提供了用户升级换代的Call Back机制的中间插件的方式。
4.如权利要求1所述的网络用户验证授权系统,其特征在于,所述的用户网络通知与转发接口提供了回复机制可以进行IS08583消息的重定向,和由用户交易产生的权限的升级、迁移。
5.如权利要求1所述的网络用户验证授权系统,其特征在于,所述的SOAPPOST请求分析和响应产生模块分析和响应的请求为采用SOAP协议的HTTP POST请求。
【文档编号】H04L9/32GK103841105SQ201410076903
【公开日】2014年6月4日 申请日期:2014年3月4日 优先权日:2014年3月4日
【发明者】殷莉 申请人:上海地慧光电科技有限公司