一种企业局域网中的应用服务器访问系统的制作方法

专利名称：一种企业局域网中的应用服务器访问系统的制作方法
技术领域：
本实用新型是关于计算机安全管理技术，特别是关于计算机访问认证技术，具体 的讲是关于一种企业局域网中的应用服务器访问系统。
背景技术：
在金融、电信、税务等信息化程度比较高的行业中，往往群集了大量服务器，每天 有大量的管理维护及业务人员访问这些服务器。为了满足安全内控的要求，需要对用户进 行认证与授权。现在的计算机设备一般都通过操作系统向设备访问者提供了功能丰富、友好的人 机接口界面，支持复杂业务运营环境下的多用户访问，并提供了特定的用户认证与授权方 法。对用户进行认证与授权的常用方法是在操作系统中建立不同的用户组，为设备访问者 分配唯一的身份标识USER_ID和认证口令，将设备访问者的身份标识存储到操作系统相关 用户组，在操作系统本地建立用户权限数据库。操作系统根据设备访问者输入的USER_ID 及口令进行认证，搜索用户权限数据库，如果搜索到用户的USER_ID且口令核验结果正确， 则从用户权限数据中检索出该用户的权限并将权限赋予该用户。实用新型人在实现本实用新型的过程中，发现现有技术中至少存在如下不足用户组的类型一般是由操作系统根据访问资源定义，用户组的类型固定且数量较 少(大多数操作系统只提供系统管理员组、普通用户组等几种粗粒度的用户组类型)，无法 根据企业业务运营需求进行用户组类型的自定义。当某些业务只能由某些用户访问时，目 前的认证与授权方式无法实现，只能将所有业务向访问用户提供访问，难以保证服务器信 息的安全性。用户认证时，采用一次性认证方式对访问者身份进行认证，使用单一的认证算法， 认证的安全性不高；并且需要在整个用户权限数据库中进行搜索与比对，资源消耗较高，执 行效率较低。用户权限数据保存在计算机设备本地，需要分散管理与维护，成本较高。
实用新型内容本实用新型实施例提供一种企业局域网中的应用服务器访问系统，采用分步递进 认证方法，每步认证可采用不同认证方法，以克服现有技术一般采用的一次性身份认证的局限。为了实现上述目的，在一个实施例中，提供一种企业局域网中的应用服务器访问 系统，所述的系统包括应用服务器，数据库服务器，服务器访问终端，身份认证装置及策略 控制服务器；所述的数据库服务器，身份认证装置，策略控制服务器通过企业局域网相互连接， 所述的身份认证装置通过企业局域网与服务器访问终端相连接，所述的身份认证装置与应 用服务器相连接；其中，[0011]所述的数据库服务器包括用于存储用户标识的用户标识存储装置；用于存储应用服务器分组标识的应用服务器分组标识存储装置；用于存储用户口令的用户口令存储装置；及用于存储业务分组标识的业务分组标识存储装置；所述的服务器访问终端包括用于输入包含用户标识、用户口令、应用服务器分组标识、应用服务器标识及业务 分组标识的应用服务器访问请求信息的请求信息输入装置；用于访问应用服务器的应用服务器访问装置；所述的身份认证装置包括用于接收所述服务器访问终端的发来的访问请求信息的信息接收装置；用于将所述访问请求信息中的用户标识发送到所述的数据库服务器进行认证的 用户标识认证装置；用于根据所述的数据库服务器反馈的用户标识信息生成应用服务器分组认证开 关查询状态信息的应用服务器开关查询信息生成装置；用于将所述的应用服务器开关状态查询信息发送到所述策略控制服务器的应用 服务器开关查询信息发送装置；用于根据所述的策略控制服务器反馈的应用服务器分组认证开关开启信息将所 述访问请求信息中的应用服务器分组标识发送到所述的数据库服务器进行认证的应用服 务器分组认证装置；用于根据所述的数据库服务器反馈的应用服务器分组信息将所述访问请求信息 中的用户口令发送到所述的策略控制服务器进行口令信息转换的信息转换请求装置；用于将所述的策略控制服务器反馈的口令转换信息发送到所述数据库服务器进 行认证的口令认证装置；用于根据所述的数据库服务器反馈的用户口令信息生成业务分组认证开关状态 查询信息的业务开关状态查询信息生成装置；用于将所述的业务开关状态查询信息发送到所述的策略控制服务器业务开关状 态查询信息发送装置；用于根据所述的策略控制服务器反馈的业务分组认证开关开启信息将所述访问 请求信息中的业务分组标识发送到所述的数据库服务器进行认证的业务分组标识认证装 置；用于根据所述的数据库服务器返回的业务分组认证成功信息向所述的服务器访 问终端发送应用服务器访问权限信息的权限信息发送装置；所述的策略控制服务器包括用于根据所述身份认证装置发来的应用服务器分组认证开关状态信息及业务分 组认证开关状态信息分别反馈应用服务器分组认证开关状态及业务分组认证开关状态的 开关状态反馈装置；用于对所述身份认证装置发来的用户口令进行信息转换的信息转换装置；及用于将信息转换后的用户口令发送给所述身份认证装置的口令发送装置。[0035]为了实现上述目的，在一个实施例中，提供一种企业局域网中的应用服务器访问 系统，所述的系统包括应用服务器，数据库服务器，服务器访问终端及策略控制服务器；所述的数据库服务器，策略控制服务器通过企业局域网相互连接；其中，所述的数据库服务器包括用于存储用户标识的用户标识存储装置；用于存储应用服务器分组标识的应用服务器分组标识存储装置；用于存储用户口令的用户口令存储装置；及用于存储业务分组标识的业务分组标识存储装置；所述的服务器访问终端包括用于输入包含用户标识、用户口令、应用服务器分组标识、应用服务器标识及业务 分组标识的应用服务器访问请求信息的请求信息输入装置；用于访问应用服务器的应用服务器访问装置；所述的应用服务器包括身份认证装置，所述的身份认证装置通过企业局域网与 服务器访问终端相连接，所述的身份认证装置包括用于接收所述服务器访问终端的发来的访问请求信息的信息接收装置；用于将所述访问请求信息中的用户标识发送到所述的数据库服务器进行认证的 用户标识认证装置；用于根据所述的数据库服务器反馈的用户标识信息生成应用服务器分组认证开 关查询状态信息的应用服务器开关查询信息生成装置；用于将所述的应用服务器开关状态查询信息发送到所述策略控制服务器的应用 服务器开关查询信息发送装置；用于根据所述的策略控制服务器反馈的应用服务器分组认证开关开启信息将所 述访问请求信息中的应用服务器分组标识发送到所述的数据库服务器进行认证的应用服 务器分组认证装置；用于根据所述的数据库服务器反馈的应用服务器分组信息将所述访问请求信息 中的用户口令发送到所述的策略控制服务器进行口令信息转换的信息转换请求装置；用于将所述的策略控制服务器反馈的口令转换信息发送到所述数据库服务器进 行认证的口令认证装置；用于根据所述的数据库服务器反馈的用户口令信息生成业务分组认证开关状态 查询信息的业务开关状态查询信息生成装置；用于将所述的业务开关状态查询信息发送到所述的策略控制服务器业务开关状 态查询信息发送装置；用于根据所述的策略控制服务器反馈的业务分组认证开关开启信息将所述访问 请求信息中的业务分组标识发送到所述的数据库服务器进行认证的业务分组标识认证装 置；用于根据所述的数据库服务器返回的业务分组认证成功信息向所述的服务器访 问终端发送应用服务器访问权限信息的权限信息发送装置；所述的策略控制服务器包括用于根据所述身份认证装置发来的应用服务器分组认证开关状态信息及业务分组认证开关状态信息分别反馈应用服务器分组认证开关状态及业务分组认证开关状态的 开关状态反馈装置；用于对所述身份认证装置发来的用户口令进行信息转换的信息转换装置；及用于将信息转换后的用户口令发送给所述身份认证装置的口令发送装置。本实用新型实施例的有益效果本实用新型引入设备分组和业务分组，采用分步 递进认证方法，每步认证可采用不同认证方法，增强了安全性与灵活性，有效克服了现有技 术一般采用的一次性身份认证的局限；企业可根据自身需求对设备分组和业务分组数量及 颗粒度进行灵活定义，从而可实现更精细化的权限管理功能。

为了更清楚地说明本实用新型实施例或现有技术中的技术方案，下面将对实施例 或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅 是本实用新型的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前 提下，还可以根据这些附图获得其他的附图。在附图中图1为本实用新型实施例企业局域网中的应用服务器访问系统的结构示意图；[0064]图2为本实用新型实施例数据库服务器的结构示意图；[0065]图3为本实用新型实施例服务器访问终端的结构示意图；[0066]图4为本实用新型实施例身份认证装置的结构示意图；[0067]图5为本实用新型实施例策略控制服务器的结构示意图；[0068]图6为本实用新型实施例信息交互流程图；[0069]图7为本实用新型实施例安全递进认证系统的结构图；[0070]图8为本实用新型实施例用户定义表的数据结构图；[0071]图9为本实用新型实施例MG定义表的数据结构图；[0072]图10为本实用新型实施例口令定义表的数据结构图；[0073]图11为本实用新型实施例SG定义表的数据结构图；[0074]图12为本实用新型实施例基于银行业务的访问认证方法流程图；[0075]图13为本实用新型另一实施例的递进认证方法流程图；[0076]图14为本实用新型实施例策略设置方法流程图；[0077]图15为本实用新型实施例身份认证装置与策略控制装置及数据存储装置交互示意图。
具体实施方式
为使本实用新型实施例的目的、技术方案和优点更加清楚明白，
以下结合附图对 本实用新型实施例做进一步详细说明。在此，本实用新型的示意性实施例及其说明用于解 释本实用新型，但并不作为对本实用新型的限定。本实用新型实施例引入设备分组(Machine Group MG)和业务服务分组(Service Group SG)，MG和SG由用户自行定义，以构建细粒度的权限空间。计算机设备的每位访问 者(用户)在权限空间中的权限Up可使用Up = ({MGID}，{SGID})来表示，前者表示用户 是否可以访问该设备集合，后者表示访问者进入该设备之后所具备的业务操作权限集合，从而提供了更大的灵活性和虚拟化处理能力。具体说来，本实用新型实施例采用分步递进方式对用户进行认证与授权首先通 过从用户接收的USER_ID查询该用户是否存在；如果用户存在，再验证用户访问的计算机 设备是否属于该用户的访问范围；如果判定用户可以访问该计算机设备，对用户口令进行 验证，如果用户口令认证成功，再从根据用户的业务服务分组标识(SG_ID)信息提取相关 的业务处理权限赋给设备访问者，最终完成用户身份认证与授权，允许用户进入系统。如图1所示，本实用新型提供一种企业局域网中的应用服务器访问系统，所述的 系统包括策略控制服务器100，数据库服务器200，身份认证装置300，服务器访问终端400 及应用服务器500。所述的策略控制服务器100，数据库服务器200，身份认证装置300通过企业局域 网相互连接，所述的身份认证装置300通过企业局域网与服务器访问终端400相连接，所述 的身份认证装置300与应用服务器500相连接。如图2所示，所述的数据库服务器200包括用于存储用户标识的用户标识存储装 置201 ；用于存储应用服务器分组标识的应用服务器分组标识存储装置202 ；用于存储用户 口令的用户口令存储装置203 ；及用于存储业务分组标识的业务分组标识存储装置204。如图3所示，所述的服务器访问终端400包括用于输入包含用户标识、用户口令、 应用服务器分组标识、应用服务器标识及业务分组标识的应用服务器访问请求信息的请求 信息输入装置401 ；及用于访问应用服务器的应用服务器访问装置402。如图4所示，所述的身份认证装置300包括用于接收所述服务器访问终端的发来 的访问请求信息的信息接收装置301 ；用于将所述访问请求信息中的用户标识发送到所述 的数据库服务器进行认证的用户标识认证装置302 ；用于根据所述的数据库服务器反馈的 用户标识信息生成应用服务器分组认证开关查询状态信息的应用服务器开关查询信息生 成装置303 ；用于将所述的应用服务器开关状态查询信息发送到所述策略控制服务器的应 用服务器开关查询信息发送装置304 ；用于根据所述的策略控制服务器反馈的应用服务器 分组认证开关开启信息将所述访问请求信息中的应用服务器分组标识发送到所述的数据 库服务器进行认证的应用服务器分组认证装置305 ；用于根据所述的数据库服务器反馈的 应用服务器分组信息将所述访问请求信息中的用户口令发送到所述的策略控制服务器进 行口令信息转换的信息转换请求装置306 ；用于将所述的策略控制服务器反馈的口令转换 信息发送到所述数据库服务器进行认证口令认证装置307 ；用于根据所述的数据库服务器 反馈的用户口令信息生成业务分组认证开关状态查询信息的业务开关状态查询信息生成 装置308 ；用于将所述的业务开关状态查询信息发送到所述的策略控制服务器业务开关状 态查询信息发送装置309 ；用于根据所述的策略控制服务器反馈的业务分组认证开关开启 信息将所述访问请求信息中的业务分组标识发送到所述的数据库服务器进行认证的业务 分组标识认证装置310 ；及用于根据所述的数据库服务器返回的业务分组认证成功信息向 所述的服务器访问终端发送应用服务器访问权限信息的权限信息发送装置311。如图5所示，所述的策略控制服务器100包括用于根据所述身份认证装置发来的 应用服务器分组认证开关状态信息及业务分组认证开关状态信息分别反馈应用服务器分 组认证开关状态及业务分组认证开关状态的开关状态反馈装置101 ；用于对所述身份认证 装置发来的用户口令进行信息转换的信息转换装置102 ；及用于将信息转换后的用户口令发送给所述身份认证装置的口令发送装置103。应用服务器500可以包括多个，在图1中示出了 3组，分别为应用服务器组1，应用 服务器组2及应用服务器组3，每组应用服务器又包括多个应用服务器，本实用新型不依此 为限。如图4所述，所述的身份认证装置还可以包括用于从所述的应用服务器访问请 求信息提取用户标识、用户口令、应用服务器分组标识、应用服务器标识及业务分组标识的 信息提取装置312。所述的应用服务器访问请求信息还包括应用服务器标识。所述的应用服务器分组标识存储装置还用于存储与所述应用服务器分组标识对 应的应用服务器标识。所述的应用服务器分组认证装置还用于将所述访问请求信息中的应 用服务器标识发送到所述的数据库服务器进行认证。如图5所示，所述的策略控制服务器100还包括用于设定所述身份认证装置中的 应用服务器分组认证开关状态及业务分组认证开关状态的开关状态设定装置104 ；及用于 对所述数据库服务器中的信息进行修改的信息修改装置105。当应用服务器分组认证开关处于关闭状态时，身份认证装置跳过应用服务器分组 标识认证装置，直接将所述访问请求信息中的业务分组标识发送到所述的数据库服务器进 行认证。当业务分组认证开关处于关闭状态时，允许用户访问通过所述应用服务器分组标 识认证装置认证的应用服务器中的所有业务。策略控制服务器100，数据库服务器200，身份认证装置300，服务器访问终端400 及应用服务器500通过信息交互实现服务器访问终端400对应用服务器500的访问，策略 控制服务器100，数据库服务器200，身份认证装置300，服务器访问终端400及应用服务器 500之间的信息交互如图6所述，信息交互包括如下步骤Si、应用服务器500的每台应用服务器将其设备分组标识、设备标识及业务分组 标识发送到数据库服务器200中保存。S2、数据库服务器200存储了用户标识、用户口令及与应用服务器对应的设备分 组标识、设备标识及业务分组标识。S3、服务器访问终端向身份认证装置300发送访问请求，服务器访问请求中包含 用户标识、设备分组标识、设备标识，用户口令及业务分组标识等信息。S4、身份认证装置300接收所述服务器访问终端的发来的访问请求信息，将用户 标识发送给数据库服务器200进行用户标识认证，查询到数据库服务器200中存在该用户 标识后，将包含用户标识的信息反馈给身份认证装置300。S5、身份认证装置300根据所述的数据库服务器200反馈的用户标识信息生成应 用服务器分组认证开关查询状态信息。S6、将所述的应用服务器分组开关状态查询信息发送到所述策略控制服务器100， 查询应用服务器分组开关是否开启。S7、如果应用服务器分组认证开关开启，策略控制服务器100反馈应用服务器分 组认证开关状态给身份认证装置300。S8、身份认证装置300根据所述的策略控制服务器反馈的应用服务器分组认证开
10关开启信息将所述访问请求信息中的应用服务器分组标识发送到所述的数据库服务器200 进行认证，查询到数据库服务器200中存在该服务器分组标识后，将包含该服务器分组标 识的信息反馈给身份认证装置300。S9、将所述访问请求信息中的用户口令发送到所述的策略控制服务器100进行口
令信息转换。S10、策略控制服务器100返回转换的口令信息，策略控制服务器100可以修改口 令的复杂度，口令随机生成算法，密码加密算法，根据特定的口令认证算法生成相应的口令
转换信息。S11、身份认证装置300将所述的策略控制服务器100反馈的口令转换信息发送到 所述数据库服务器200进行认证，查询到数据库服务器200中存在该用户口令后，将包含用 户口令的信息反馈给身份认证装置300。S112、身份认证装置300根据数据服务器200返回的口令信息生成业务分组认证 开关状态查询信息。S13、身份认证装置300将所述的业务分组开关状态查询信息发送到所述策略控 制服务器100，查询业务分组开关是否开启。S14、如果业务分组认证开关开启，策略控制服务器100反馈业务分组认证开关状 态给身份认证装置300。S15、身份认证装置300业务分组标识发送到所述数据库服务器200进行认证，查 询到数据库服务器200中存在该业务分组标识后，将包含业务分组标识的信息反馈给身份 认证装置300。S16、身份认证装置300根据所述的数据库服务器200返回的业务分组信息向所述 的服务器访问终端发送应用服务器访问权限信息。S17、服务器访问终端根据访问权限信息访问对应的应用服务器中的业务。图7为本实用新型实施例安全递进认证系统的结构图，安全递进认证系统包括 策略控制装置100，身份认证装置300和数据存储装置200。其中策略控制装置100分别与 身份认证装置300、数据存储装置200相连，身份认证装置300分别与数据存储装置200、计 算机设备资源400相连。计算机设备资源400相当于图1中的应用服务器500。在图7中，身份认证装置300调用策略控制装置100设置的策略，查询数据存储装 置200存储的数据表，完成用户身份认证并生成访问计算机设备资源400的业务权限，然后 与计算机设备资源400之间通过专门的底层通讯接口，完成用户授权。下面结合图7详细说明策略控制装置100，身份认证装置300和数据存储装置200 中的各个单元的功能。策略控制装置100用于集中认证与授权策略的存储和管理，是对访问的用户进行 认证与授权策略控制的入口，提供用户管理日常维护操作的各项功能，为设备访问者提供 密码重置等自管理功能。如图7所示，策略控制装置100包括主处理单元101'、认证开 关配置单元102'、口令策略配置单元103'和认证数据调整单元104'。认证开关配置单 元102'用于图1中的开关状态设定装置104及开关状态反馈装置101的功能；口令策略 配置单元103'用于实现图5中信息转换装置102级口令发送装置的功能；认证数据调整 单元104'用于实现信息修改装置的功能。[0116]主处理单元10Γ与认证开关配置单元102'、口令策略配置单元103'和认证 数据调整单元104'连接，用于接收用户的指令，识别用户的指令，调用认证开关配置单元 102'、口令策略配置单元103'或认证数据调整单元104'进行相应的处理。认证开关配置单元102'用于为身份认证装置300的设备分组(MachineGroup MG)认证单元302'、业务授权单元304'设置开关，为企业提供灵活的安全策略配置。默 认情况下，MG认证单元302'和业务授权单元304'的认证功能均设置为开启状态。安全 管理员可以通过输入指令修改设置，关闭认证功能。关闭MG认证功能之后，身份认证装置 300在访问者身份认证过程中将不会触发MG认证单元302'，跳过MG认证步骤；关闭业务 授权功能之后，身份认证装置2在身份认证过程中将不会触发业务授权单元304'，允许设 备访问者使用被访问设备提供的所有业务服务。口令策略配置单元103'，用于存储和修改用户访问口令的复杂度要求、口令随机 生成算法、密码加密算法等安全控制策略。安全管理员可以根据企业风险管理要求，通过口 令策略配置单元103'对口令配置文件的上述安全控制策略进行调整。认证数据调整单元104'用于对用户定义表201'、MG定义表202'、口令定义表 203'和SG定义表204'数据进行增加、删除以及修改功能。认证数据调整单元104'根据 安全管理员发来的指令，设置设备分组信息、业务服务分组信息；根据设备访问者发来的指 令，进行用户信息修改、用户口令修改等自管理功能。用户修改口令时，认证数据调整单元 104'访问口令策略配置单元103'，根据口令复杂度、口令随机生成算法等安全控制策略 的要求，生成相应的口令转换信息存储到口令定义表203'中。口令认证单元303'进行用 户口令认证时，一般需要调用认证数据调整单元104'生成相应的口令转换信息。身份认证装置300用于向设备访问者提供访问入口，接收并解析设备访问者输入 的认证数据，参考策略控制装置100设定的控制策略，执行分步认证和授权操作。如图7所 示，身份认证装置300包括用户信息检索单元30Γ、MG认证单元302'、口令认证单元 303'和业务授权单元304'。用户信息检索单元301用于实现图4中信息接收装置301，用 户标识认证装置302及信息提取装置312的功能；MG认证单元302'用于图4中实现应用 服务器开关查询信息生成装置303，应用服务器开关查询信息发送装置304及应用服务器 分组认证装置的功能；口令认证单元303'用于实现图4中信息转换请求装置306，口令认 证装置307的功能；业务授权单元304'用于实现图4中业务开关查询信息生成装置308， 业务开关查询信息发送装置309，业务分组标识认证装置310及权限信息发送装置311的功 能。用户信息检索单元301'接收设备访问者输入的认证数据，认证数据包括USER_ ID、MG_ID、设备标识(DEV_ID)、SG_ID等信息。查询数据存储装置200的用户定义表201' 中是否存在该USER_ID，如果不存在，拒绝用户访问。如果用户定义表20Γ中存在该USER_ID，MG认证单元302'根据认证数据中的 MG_ID信息检索数据存储装置200的MG定义表202'，判断设备分组信息中是否存在该设 备分组。如果能够找到该分组设备，从MG定义表202'中获取该设备组的组内设备MG_DEV 字段，并根据认证数据中的DEV_ID在MG_DEV字段查找是否存在该DEV_ID，如果存在，进入 口令认证单元303'；如果不存在，则返回失败信息，不允许访问者访问。口令认证单元303'对设备访问者输入的认证数据中的用户口令进行检查，调用口令策略配置单元103，使用特定的口令认证算法生成相应的口令转换信息，并据此访问数 据存储装置200的口令定义表203'，判断用户口令在表中是否有匹配的记录。如果有，则 进入业务授权单元304'，否则返回失败信息，不允许访问者访问。业务授权单元304'根据设备访问者输入的认证数据中的SG_ID信息，检索数据 存储装置200的SG定义表204'，判断业务分组信息中是否存在该业务分组，如果存在，则 返回该业务分组的业务服务组权限SG_R0LE，并将该权限授权给用户；否则返回失败信息， 不允许访问者访问。数据存储装置200用于集中存储设备访问者认证与授权所需的访问者身份信息、 企业环境的设备分组信息以及业务服务组信息，为身份认证装置300提供认证数据，如图7 所示，数据存储装置200包括用户定义表201'、MG定义表202'、口令定义表203'和SG 定义表204'。用户定义表201'、MG定义表202'、口令定义表203'和SG定义表204' 分别用于实现图2中用户标识存储装置201，应用服务器分组标识存储装置202，用户口令 存储装置203及业务分组标识存储装置204的功能。用户定义表201'用于存储设备用户标识与可访问的MG、可访问的SG的关联关 系，图8为优先的数据结构表。MG定义表202'用于存储用户需要访问的设备的分组信息及组内设备信息，图9 为优选的数据结构表。口令定义表203'用于存储用户的口令信息，图10为优选的数据结构表。SG定义表204'用于存储业务服务分组信息，以及不同的业务服务分组对应的权 限，图11为优选的数据结构表。如图12所示，本实用新型实施例提供一种基于银行业务的访问认证方法，所述的 方法包括步骤S1201 接收用户输入的访问认证信息；步骤S1202 从所述的访问认证信息中获取用户标识、设备分组标识、业务分组标 识；步骤S1203 依次判断存储的认证信息中是否存在所述的用户标识、设备分组标 识及业务分组标识；步骤S1204 如果存储的认证信息中存在所述的用户标识、设备分组标识及业务 分组标识，将所述业务分组标识对应的业务分组权限赋给所述用户。所述的访问认证信息还包括用户访问口令及与设备分组标识对应的访问设备标 识。在接收用户输入的访问认证信息之后，所述的方法还包括从所述的访问认证信息中获 取用户访问口令与设备分组标识对应的访问设备标识。步骤S1203具体包括判断存储的认证信息中是否存在所述的用户标识；如果存 储的认证信息中存在所述的用户标识，判断存储的认证信息中是否存在所述设备分组标 识；如果存储的认证信息中存在所述设备分组标识，判断存储的认证信息中是否存在所述 业务分组标识。在判断存储的认证信息中是否存在所述设备分组标识之前，所述的方法还包括 判断存储的认证信息中是否存在所述的用户访问口令，如果是，则判断存储的认证信息中 是否存在所述设备分组标识。[0138]可选地，在判断存储的认证信息中是否存在所述业务分组标识之前，所述的方法 还包括判断存储的认证信息中是否存在所述的用户访问口令，如果是，则判断存储的认证 信息中是否存在所述业务分组标识。在判断存储的认证信息中是否存在所述业务分组标识之前，所述的方法还包括 判断存储的认证信息中是否存在访问设备标识，如果是，则判断存储的认证信息中是否存 在所述业务分组标识。下面结合图7、图8、图9、图10及图11，以甲用户详细说明本实用新型的具体实施 例。如图13所示，本实用新型另一实施例提供一种安全的递进认证方法。该递进认证 方法的具体步骤如下步骤S1301 身份认证装置300接收甲用户输入的访问认证信息，身份认证装置 300中的用户信息检索单元301'对该认证信息进行解析。认证信息中包括甲用户的用 户标识、甲用户将要访问的设备对应的设备分组标识、甲用户将要访问的业务对应的业务 分组标识，还可以包括甲用户的用户访问口令及与设备分组标识对应的访问设备标识等信 肩、ο步骤S1302 用户信息检索单元301'从甲用户的该访问认证信息中提取用户认 证信息中的USER_ID，查询数据存储装置200的用户信息表301中是否存在(图8)，如果能 够查询到该USER_ID，则返回对应的数据记录集，发送给MG认证单元302'处理，否则拒绝 甲用户访问，进行步骤S1309。步骤S1303 =MG认证单元302'调用认证开关配置单元102确认MG认证开关是否 开启，如果MG认证开关未开启，直接进入步骤S1305 ；否则，进入步骤S1304。步骤S1304 :MG认证单元302'获取访问认证信息中的MG_ID，查询MG定义表 202'中是否存在MG_ID (图3)，如果能够在MG定义表202'中查询到该MG_ID，则返回对应 的数据记录集，并从访问认证信息中提取出甲用户需要登陆的计算机设备的身份标识DEV_ ID,在返回数据记录集的MG_DEV字段值中搜索该DEV_ID，如果存在，则返回认证成功信息， 进入步骤S1705 ；否则，拒绝甲用户访问，进行步骤S1709。步骤S1305 口令认证单元303'从访问认证信息中提取用户访问口令，调用口令 策略配置单元103，使用特定的口令认证算法生成相应的口令转换信息，并据此在口令定义 表203'查找是否存在该用户访问口令，如果能够检索到该用户访问口令且成功匹配，则返 回口令认证成功信息，进入步骤S1306 ；否则，拒绝甲用户访问，进行步骤S1309。步骤S1305不是必选步骤，也可以在步骤S1302之后进行步骤S1305，本实用新型 不以此为限。步骤S1306 业务授权单元304'调用认证开关配置单元102确认业务授权开关是 否开启，如果未开启，则将该设备的所有业务服务访问权限授予给甲用户，转到步骤S1308 ； 否则，转到步骤S1307。步骤S1307 业务授权单元304'根据用户认证信息中的SG_ID查询SG定义表 303，如果能够检索到该SG_ID，则返回对应的数据记录集，提取记录集中的SG_R0LE字段， 将字段值，即业务操作处理权限子集赋给用户，转到步骤S1308。步骤S1308 业务授权单元304'允许甲用户进入所请求访问的计算机设备系统访问对应的业务。步骤S1309 结束认证。在进行图13的安全递进认证流程之前，策略控制装置100需要对用户认证策略进 行设置，以保证安全递进认证流程的进行。如图14所示，本实用新型实施例提供一种策略设置方法，所述的策略设置方法包 括步骤S1401 策略控制装置100的主处理单元101接收用户输入的服务请求信息， 解析请求信息，提取具体的控制条目，进行步骤S1402。步骤S1402 主处理单元101根据请求信息判断是否为自管理请求，如果是，执行 步骤S1409 ；否则，进行步骤S1403。步骤S1403 主处理单元101判断请求信息的内容，如果是对认证单元开关进行调 整，进行步骤S1404;如果是调整口令算法，则进行步骤S1405 ；如果是调整用户信息，则进 行步骤S1406 ；如果是调整设备分组信息，则进行步骤S1407 ；如果是调整业务服务分组信 息，则进行步骤S1408。步骤S1404 认证开关配置单元102解析请求数据中需要调整的认证单元和开关 标志，修改MG认证功能、或业务授权功能的开关标志，进行步骤S1412。步骤S1405 口令策略配置单元103调整用户访问口令的复杂度要求、口令随机生 成算法、密码加密算法等安全控制策略，并进行存储，进行步骤S1412。步骤S1406 认证数据调整单元104访问数据存储装置200的用户定义表201'， 根据服务请求的具体指令，增加、删除或者修改相应用户的信息，并进行存储。比如，将某一 用户从可访问MGl调整到可访问MG2，进行步骤S1412。步骤S1407 认证数据调整单元104访问数据存储装置200的MG定义表202'，根 据服务请求的具体指令，增加、删除或者修改相应的设备信息，并进行存储。比如，将某几台 计算机设备从原MG组中删除，或者增加几台计算机设备，进行步骤S1412。步骤S1408 认证数据调整单元104访问数据存储装置200的SG定义表204'，根 据服务请求的具体指令，增加、删除或者修改相应的业务分组信息，并进行存储。比如，将某 项权限从SGl调整到SG2，进行步骤S1412。步骤S1409 主处理单元101判断自管理请求数据的内容，如果是修改个人信息， 则转到步骤S1410 ；如果是修改密码，则转到步骤S1411。步骤S1410 认证数据调整单元104访问数据存储装置200的用户定义表201'， 根据服务请求的具体指令，修改修改邮箱地址、联系电话等个人信息，一般不允许新增用 户，也不允许修改MG_ID、SG_ID等信息，并进行存储，进行到步骤S1412。步骤S1411 认证数据调整单元103解析用户输入的新密码，调用口令策略配置单 元102检查输入密码是否符合策略要求，如果符合，则生成口令转换信息，存储到数据存储 装置200的口令定义表203'中；如果不符合，则拒绝用户修改密码的请求，进行步骤S1412步骤S1412 结束本流程。在另一实施例中，本实用新型还提供一种企业局域网中的应用服务器访问系统， 所述的系统包括应用服务器500，数据库服务器200，服务器访问终端400及策略控制服务 器100 ；与图1的实施例的不同之处在于身份认证装置200包含于每一台应用服务器中。所述的身份认证装置200通过企业局域网与服务器访问终端相连接。在实施本实用新型实施例的访问认证方法时，需要在计算机设备集群环境中的每 台计算机设备中安装身份认证装置300，身份认证装置300接管计算机设备操作系统原来 的用户权限管理功能，设备访问者的访问请求统一由身份认证装置300受理。身份认证装 置300与计算机设备操作系统之间通过系统调用方式进行通讯，身份认证装置300与策略 控制装置100及数据存储装置200得交互过程如图15所示，图15中以身份认证装置200 包含于每一台应用服务器(计算机设备1、计算机设备2至计算机设备η)中为例进行说明， 并非用于限定本实用新型，。身份认证装置300负责解析计算机设备访问者的访问认证信息，由用户信息检索 单元301'判断是否存在该用户。如果确认该用户不存在，则直接拒绝访问者进入计算机 设备，身份认证请求结束。如果用户信息检索单元确认存在该用户，则将访问认证信息发送 MG认证单元302'。MG认证单元302'查询查询策略控制装置100的MG认证开关是否开启。如果MG 认证开关未开启，则将访问认证信息发送给口令认证单元303'，否则，MG认证单元判断计 算机设备是否属于该用户可以访问的MG，如果不属于，则直接拒绝访问者进入计算机设备， 身份认证请求结束，如果属于，则将认证信息发送给口令认证单元303'。口令认证单元303'解析用户认证信息中的口令信息，调用策略控制装置100的 口令策略，查询口令定义表，进行口令认证。如果口令认证失败，则直接拒绝访问者进入计 算机设备，身份认证请求结束。否则，则可将用户认证请求发送给业务授权单元304 ‘，提取 业务操作处理权限子集赋给用户并允许用户进入计算机设备，递进认证过程结束。策略控制装置100主要处理用户的策略控制请求，根据请求内容完成相关认证策 略及管理数据的修改。在用户身份递进认证过程中，身份认证装置300各个处理单元根据 用户认证信息的具体内容，根据访问策略控制装置设置100的策略控制信息，采取相应的 认证步骤。本实用新型实施例的有益技术效果本实用新型引入与企业运营和服务相关联的设备分组MG和业务服务分组SG，采 用一种基于二维分组权限空间的新方法标识用户身份，突破了传统上只能使用操作系统用 户组的局限，企业可根据自身需求对设备分组和业务分组数量及颗粒度进行灵活定义，从 而可实现更精细化的权限管理功能。本实用新型采用分步递进认证的方法，每步认证可采用不同认证方法，认证单元 可参数化配置等，有效克服了现有技术一般采用的一次性身份认证的局限。本实用新型采用分步递进认证方法，各步认证难度与复杂度逐步递进，前驱步骤 认证失败则直接拒绝，减少了参与后续认证过程与复杂密码认证算法调用次数，大大提高 了认证效率和针对性。本实用新型通过认证与授权策略控制部件集中管理，认证关键信息集中存储，不 需要在每台计算机设备上分散维护，可大大减少维护工作量，提高工作效率，确保企业环境 计算机集群环境中的认证信息的一致性。以上所述的具体实施例，对本实用新型的目的、技术方案和有益效果进行了进一 步详细说明，所应理解的是，以上所述仅为本实用新型的具体实施例而已，并不用于限定本实用新型的保护范围，凡在本实用新型的精神和原则之内，所做的任何修改、等同替换、改 进等，均应包含在本实用新型的保护范围之内。
权利要求一种企业局域网中的应用服务器访问系统，其特征在于，所述的系统包括应用服务器，数据库服务器，服务器访问终端，身份认证装置及策略控制服务器；所述的数据库服务器，身份认证装置，策略控制服务器通过企业局域网相互连接，所述的身份认证装置通过企业局域网与服务器访问终端相连接，所述的身份认证装置与应用服务器相连接；其中，所述的数据库服务器包括用于存储用户标识的用户标识存储装置；用于存储应用服务器分组标识的应用服务器分组标识存储装置；用于存储用户口令的用户口令存储装置；及用于存储业务分组标识的业务分组标识存储装置；所述的服务器访问终端包括用于输入包含用户标识、用户口令、应用服务器分组标识、应用服务器标识、业务分组标识的应用服务器访问请求信息的请求信息输入装置；及用于访问应用服务器的应用服务器访问装置；所述的身份认证装置包括用于接收所述服务器访问终端的发来的访问请求信息的信息接收装置；用于将所述访问请求信息中的用户标识发送到所述的数据库服务器进行认证的用户标识认证装置；用于根据所述的数据库服务器反馈的用户标识信息生成应用服务器分组认证开关查询状态信息的应用服务器开关查询信息生成装置；用于将所述的应用服务器开关状态查询信息发送到所述策略控制服务器的应用服务器开关查询信息发送装置；用于根据所述的策略控制服务器反馈的应用服务器分组认证开关开启信息将所述访问请求信息中的应用服务器分组标识发送到所述的数据库服务器进行认证的应用服务器分组认证装置；用于根据所述的数据库服务器反馈的应用服务器分组信息将所述访问请求信息中的用户口令发送到所述的策略控制服务器进行口令信息转换的信息转换请求装置；用于将所述的策略控制服务器反馈的口令转换信息发送到所述数据库服务器进行认证的口令认证装置；用于根据所述的数据库服务器反馈的用户口令信息生成业务分组认证开关状态查询信息的业务开关状态查询信息生成装置；用于将所述的业务开关状态查询信息发送到所述的策略控制服务器业务开关状态查询信息发送装置；用于根据所述的策略控制服务器反馈的业务分组认证开关开启信息将所述访问请求信息中的业务分组标识发送到所述的数据库服务器进行认证的业务分组标识认证装置；及用于根据所述的数据库服务器返回的业务分组认证成功信息向所述的服务器访问终端发送应用服务器访问权限信息的权限信息发送装置；所述的策略控制服务器包括用于根据所述身份认证装置发来的应用服务器分组认证开关状态信息及业务分组认证开关状态信息分别反馈应用服务器分组认证开关状态及业务分组认证开关状态的开关状态反馈装置；用于对所述身份认证装置发来的用户口令进行信息转换的信息转换装置；及用于将信息转换后的用户口令发送给所述身份认证装置的口令发送装置。
2.如权利要求1所述的系统，其特征在于，所述的身份认证装置还包括用于从所述的应用服务器访问请求信息提取用户标识、用户口令、应用服务器分组标 识、应用服务器标识及业务分组标识的信息提取装置。
3.如权利要求1所述的系统，其特征在于，所述的应用服务器访问请求信息还包括应 用服务器标识。
4.如权利要求3所述的系统，其特征在于，所述的应用服务器分组标识存储装置还用 于存储与所述应用服务器分组标识对应的应用服务器标识。
5.如权利要求4所述的系统，其特征在于，所述的应用服务器分组认证装置还用于将 所述访问请求信息中的应用服务器标识发送到所述的数据库服务器进行认证。
6.如权利要求1所述的系统，其特征在于，所述策略控制服务器还包括用于设定所述身份认证装置中的应用服务器分组认证开关状态及业务分组认证开关 状态的开关状态设定装置。
7.如权利要求1所述的系统，其特征在于，所述策略控制服务器还包括 用于对所述数据库服务器中的信息进行修改的信息修改装置。
8.如权利要求1所述的系统，其特征在于，当应用服务器分组认证开关处于关闭状态 时，身份认证装置跳过应用服务器分组标识认证装置，直接将所述访问请求信息中的业务 分组标识发送到所述的数据库服务器进行认证。
9.如权利要求1所述的系统，其特征在于，当业务分组认证开关处于关闭状态时，允许 用户访问通过所述应用服务器分组标识认证装置认证的应用服务器中的所有业务。
10.一种企业局域网中的应用服务器访问系统，其特征在于，所述的系统包括应用服 务器，数据库服务器，服务器访问终端及策略控制服务器；所述的数据库服务器，策略控制服务器通过企业局域网相互连接；其中，所述的数据库服务器包括用于存储用户标识的用户标识存储装置；用于存储应用服务器分组标识的应用服务器分组标识存储装置；用于存储用户口令的用户口令存储装置；及用于存储业务分组标识的业务分组标识存储装置；所述的服务器访问终端包括用于输入包含用户标识、用户口令、应用服务器分组标识、应用服务器标识及业务分组 标识的应用服务器访问请求信息的请求信息输入装置；及 用于访问应用服务器的应用服务器访问装置；所述的应用服务器包括身份认证装置，所述的身份认证装置通过企业局域网与服务 器访问终端相连接，所述的身份认证装置包括用于接收所述服务器访问终端的发来的访问请求信息的信息接收装置；用于将所述访问请求信息中的用户标识发送到所述的数据库服务器进行认证的用户标识认证装置；用于根据所述的数据库服务器反馈的用户标识信息生成应用服务器分组认证开关查 询状态信息的应用服务器开关查询信息生成装置；用于将所述的应用服务器开关状态查询信息发送到所述策略控制服务器的应用服务 器开关查询信息发送装置；用于根据所述的策略控制服务器反馈的应用服务器分组认证开关开启信息将所述访 问请求信息中的应用服务器分组标识发送到所述的数据库服务器进行认证的应用服务器 分组认证装置；用于根据所述的数据库服务器反馈的应用服务器分组信息将所述访问请求信息中的 用户口令发送到所述的策略控制服务器进行口令信息转换的信息转换请求装置；用于将所述的策略控制服务器反馈的口令转换信息发送到所述数据库服务器进行认 证的口令认证装置；用于根据所述的数据库服务器反馈的用户口令信息生成业务分组认证开关状态查询 信息的业务开关状态查询信息生成装置；用于将所述的业务开关状态查询信息发送到所述的策略控制服务器业务开关状态查 询信息发送装置；用于根据所述的策略控制服务器反馈的业务分组认证开关开启信息将所述访问请求 信息中的业务分组标识发送到所述的数据库服务器进行认证的业务分组标识认证装置；及 用于根据所述的数据库服务器返回的业务分组认证成功信息向所述的服务器访问终 端发送应用服务器访问权限信息的权限信息发送装置； 所述的策略控制服务器包括用于根据所述身份认证装置发来的应用服务器分组认证开关状态信息及业务分组认 证开关状态信息分别反馈应用服务器分组认证开关状态及业务分组认证开关状态的开关 状态反馈装置；用于对所述身份认证装置发来的用户口令进行信息转换的信息转换装置；及 用于将信息转换后的用户口令发送给所述身份认证装置的口令发送装置。
专利摘要本实用新型提供一种企业局域网中的应用服务器访问系统，该系统包括应用服务器，数据库服务器，服务器访问终端，身份认证装置及策略控制服务器；所述的数据库服务器，身份认证装置，策略控制服务器通过企业局域网相互连接，所述的身份认证装置通过企业局域网与服务器访问终端相连接，所述的身份认证装置与应用服务器相连接；身份认证装置通过对应用服务器中的信息进行逐级认证，将权限赋予通过最终认证的用户。本实用新型采用分步递进认证方法，增强了安全性与灵活性，有效克服了现有技术一般采用的一次性身份认证的局限；企业可根据自身需求对设备分组和业务分组数量及颗粒度进行灵活定义，从而可实现更精细化的权限管理功能。
文档编号G06F17/30GK201690475SQ20102019431
公开日2010年12月29日 申请日期2010年5月13日 优先权日2010年5月13日
发明者侯志荣, 浦沅, 高嵩 申请人:中国工商银行股份有限公司