一种基于电子证书的访问控制方法
【专利摘要】本发明提供一种基于电子证书的访问控制方法,包括:用户在授权管理平台注册个人信息,授权管理平台给完成注册的用户绑定唯一的电子证书并生成一组电子证书认证码;当用户向应用服务器发送访问电子政务内网的应用系统请求时,应用系统将发送应用系统标识与电子证书认证码到授权管理平台;授权管理平台根据应用系统标识和电子证书认证码进行匹配,判断用户是否有权限访问该应用系统:若是,则返回用户的个人信息;应用系统将用户的个人信息与应用系统的访问权限名单比对,判断用户是否能访问该应用系统及具体服务权限:若是,则用户访问该应用系统成功并进行操作。本发明能严格实现用户在电子政务内网中对应用系统的跨区域访问控制,保证信息安全。
【专利说明】一种基于电子证书的访问控制方法
【技术领域】
[0001]本发明涉及计算机信息安全领域,更具体地说,涉及一种在电子政务内网中基于电子证书对应用系统的访问控制方法。
【背景技术】
[0002]电子政务内网是中央和地方各级党委、政府等通过专用线路构建的用于内部办公的网络平台,电子政务内网和互联网是隔离的,可以通过网络设备进行管理,实现有限的信息资源共享和数据交换。
[0003]电子政务内网的建设者在网络安全防护建设中,普遍采用传统的内网安全防护技术,通过防火墙、密码机、安全网关等网络设备从网络层对非法入侵进行监控和防护,抵御攻击,但是却对内网中非法查看、修改应用服务资源和信息资源等行为起不到任何作用,对于那些需要经常移动而导致IP地址变更的终端设备更是无法进行有效的电子政务内网访问控制,由此可能严重影响电子政务内网的安全。
[0004]电子证书(Digital Certificate)又称为数字证书或数位证书,是一种用于电脑的身份识别机制。电子证书是一个或一组电脑档案,包含持证人的身份资料及一组认证码。凭著电子证书档案,持证人可向电脑系统认证自己的身份,从而存取或使用某一特定的电脑服务。电子证书不是数字身份证,而是身份认证机构加在数字身份证上的一个签名,这一行为表示身份认证机构已认定这个持证人。在获得电子证书后,可以将其可保存在电脑里,也可以保存在IC卡或USB Key中。
【发明内容】
[0005]本发明要解决的技术问题,在于提供一种基于电子证书的访问控制方法,通过使用授权管理平台(所述授权管理平台是电子政务内网中已有的备案及管理系统)授予用户跨区域访问权限,用户可持电子证书跨区域访问电子政务内网中分布在不同区域的的相关应用系统,同时对应用系统增加访问授权名单进行权限控制,从而实现在电子政务内网中跨区域对应用系统的访问控制,严格确认用户的访问权限,保证信息安全,且访问控制机制灵活可靠,用户持电子证书在任何地方都能实现相应权限的访问,而不局限于电子证书所属安全域。
[0006]本发明是这样实现的:一种基于电子证书的访问控制方法所述方法,包括如下步骤:
[0007]步骤10、用户在授权管理平台注册个人信息,授权管理平台给完成注册的用户绑定唯一的电子证书,并生成一组电子证书认证码;
[0008]步骤20、当用户在移动终端上向应用服务器发送访问电子政务内网的一应用系统请求时,所述应用系统将发送对应的应用系统标识与该用户持有的电子证书认证码到授权管理平台,所述应用系统标识是授权管理平台根据各应用系统所分布区域、功能类型和上线顺序为每个应用系统分配的唯一标识;
[0009]步骤30、授权管理平台根据接收的所述应用系统标识和电子证书认证码进行匹配,判断用户是否有权限访问该所述应用系统:若是,则返回用户的个人信息给该所述应用系统;否则,返回空信息;
[0010]步骤40、所述应用系统将用户的个人信息与所述应用系统的访问权限名单进行比对,判断用户是否能访问该所述应用系统及具体服务权限:若是,则用户访问该所述应用系统成功,用户根据该所述应用系统对其开放的具体服务权限进行相应的操作;若否,则返回提示信息告知用户尚未获得访问该所述应用系统的权限;所述访问权限名单是在所述应用系统开发时根据实际需求设定的。
[0011]较佳的,步骤30所述的匹配进一步具体为,授权管理平台根据电子证书认证码找到相应的用户的个人信息,查看授权管理平台的数据库里该用户所能访问的所述应用系统中是否有与接收的所述应用系统标识对应的所述应用系统。
[0012]较佳的,所述访问权限名单修改后会自动更新并保存在所述应用系统的数据库中,同时所述应用系统将上传更新后的所述访问权限名单到授权管理平台的数据库中进行数据同步。
[0013]采用上述方案后,本发明具有如下优点:
[0014]1、通过在授权管理平台和应用系统对用户的个人信息及其访问权限均进行匹配认证,严格确认用户在应用系统中的访问和具体服务权限,从而保证电子政务内网中的信息安全,防止信息资源遭到破坏;
[0015]2、用户手持电子证书在任何地方都能实现相应权限的访问,而不局限于电子证书所属安全域,访问控制机制灵活可靠;
[0016]3、各应用系统将更新的访问权限名单上传授权管理平台进行数据同步,保证了授权管理平台与各应用系统所设定用户访问权限数据的一致性,匹配结果更加准确。
【专利附图】
【附图说明】
[0017]下面参照附图结合实施例对本发明作进一步的说明。
[0018]图1为本发明方法执行流程图。
【具体实施方式】
[0019]请参阅图1,本发明,一种基于电子证书的访问控制方法所述方法,包括如下步骤:
[0020]步骤10、用户在授权管理平台注册个人信息,授权管理平台给完成注册的用户绑定唯一的电子证书,并生成一组电子证书认证码;
[0021]步骤20、当用户在移动终端上向应用服务器发送访问电子政务内网的一应用系统请求时,所述应用系统将发送对应的应用系统标识与该用户持有的电子证书认证码到授权管理平台,所述应用系统标识是授权管理平台根据各应用系统所分布区域、功能类型和上线顺序为每个应用系统分配的唯一标识;
[0022]步骤30、授权管理平台根据接收的所述应用系统标识和电子证书认证码进行匹配,判断用户是否有权限访问该所述应用系统:若是,则返回用户的个人信息给该所述应用系统;否则,返回空信息;
[0023]步骤40、所述应用系统将用户的个人信息与所述应用系统的访问权限名单进行比对,判断用户是否能访问该所述应用系统及具体服务权限(所述具体服务权限,例如:只读、修改、写入等操作权限):若是,则用户访问该所述应用系统成功,用户根据该所述应用系统对其开放的具体服务权限进行相应的操作;若否,则返回提示信息告知用户尚未获得访问该所述应用系统的权限;所述访问权限名单是在所述应用系统开发时根据实际需求设定的。
[0024]步骤30所述的匹配进一步具体为,授权管理平台根据电子证书认证码找到相应的用户的个人信息,查看授权管理平台的数据库里该用户所能访问的所述应用系统中是否有与接收的所述应用系统标识对应的所述应用系统。
[0025]所述访问权限名单修改后会自动更新并保存在所述应用系统的数据库中,同时所述应用系统将上传更新后的所述访问权限名单到授权管理平台的数据库中进行数据同步。
[0026]本发明,通过授权管理平台为用户绑定电子证书,用户手持电子证书跨区域访问电子政务内网中分布在不同区域的的相关应用系统,同时对应用系统增加访问授权名单进行权限控制,从而严格实现用户在电子政务内网中跨区域对应用系统的访问控制,保证信息安全,且访问控制机制灵活可靠,用户持电子证书在任何地方都能实现相应权限的访问,而不局限于电子证书所属安全域。
[0027]虽然以上描述了本发明的【具体实施方式】,但是熟悉本【技术领域】的技术人员应当理解,我们所描述的具体的实施例只是说明性的,而不是用于对本发明的范围的限定,熟悉本领域的技术人员在依照本发明的精神所作的等效的修饰以及变化,都应当涵盖在本发明的权利要求所保护的范围内。
【权利要求】
1.一种基于电子证书的访问控制方法,其特征在于:所述方法包括如下步骤: 步骤10、用户在授权管理平台注册个人信息,授权管理平台给完成注册的用户绑定唯一的电子证书,并生成一组电子证书认证码; 步骤20、当用户在移动终端上向应用服务器发送访问电子政务内网的一应用系统请求时,所述应用系统将发送对应的应用系统标识与该用户持有的电子证书认证码到授权管理平台,所述应用系统标识是授权管理平台根据各应用系统所分布区域、功能类型和上线顺序为每个应用系统分配的唯一标识; 步骤30、授权管理平台根据接收的所述应用系统标识和电子证书认证码进行匹配,判断用户是否有权限访问该所述应用系统:若是,则返回用户的个人信息给该所述应用系统;否则,返回空信息; 步骤40、所述应用系统将用户的个人信息与所述应用系统的访问权限名单进行比对,判断用户是否能访问该所述应用系统及具体服务权限:若是,则用户访问该所述应用系统成功,用户根据该所述应用系统对其开放的具体服务权限进行相应的操作;若否,则返回提示信息告知用户尚未获得访问该所述应用系统的权限;所述访问权限名单是在所述应用系统开发时根据实际需求设定的。
2.根据权利要求1所述的一种基于电子证书的访问控制方法,其特征在于:步骤30所述的匹配进一步具体为,授权管理平台根据电子证书认证码找到相应的用户的个人信息,查看授权管理平台的数据库里该用户所能访问的所述应用系统中是否有与接收的所述应用系统标识对应的所述应用系统。
3.根据权利要求1或2所述的一种基于电子证书的访问控制方法,其特征在于:所述访问权限名单修改后会自动更新并保存在所述应用系统的数据库中,同时所述应用系统将上传更新后的所述访问权限名单到授权管理平台的数据库中进行数据同步。
【文档编号】H04L9/32GK104486364SQ201510006613
【公开日】2015年4月1日 申请日期:2015年1月7日 优先权日:2015年1月7日
【发明者】刘少军, 林培土, 陈炳灿, 薛一航 申请人:南威软件股份有限公司