专利名称:基于数字证书的授权管理方法
技术领域:
本发明涉及信息安全领域,具体而言,涉及ー种基于数字证书的授权管理方法。
背景技术:
随着信息安全技术的飞速发展,以PKI (Public Key Infrastructure,公钥基础设施)为核心的数字证书身份认证技术在电子商务、电子政务、网上银行、网上办公等系统中得到了广泛的应用,并取得了良好的效果。在用户经过身份认证之后,系统往往需要对用户访问的资源进行进ー步的访问权限管理与控制,使得有权限的用户能够访问其可用的资源,无权限的用户禁止访问其无权限的资源。这就需要对用户进行授权管理,以使其可以访问其合法的资源。在传统的授权管理中,通常是采用基于角色的授权管理技木。在该授权管理方式中,首先需要在系统中建立一些虚拟的角色,然后在角色中赋予ー些用户的ID,也即用户赋予角色的过程,然后给不同的角色赋予不同资源的访问权限。基于角色的授权管理在实际 应用中存在如下问题I、从用户的身份信息中很难体现用户所属的角色和权限信息,相对用户实体来说不直观;2、在用户赋予角色的过程中需要事先知道用户的ID号,不能预先设置;3、用户赋予角色过程的工作量消耗比较大,特别当一个角色的人员比较庞大吋,这个工作量比较大,需要对逐个用户进行操作。另夕卜,目前在PKI体系中还存在一种PMI (Privilege ManagementInfrastructure,特权管理基础设施)授权管理技术。它是利用PKI技术来实现对基于数字证书认证的用户进行权限管理。特别适用于分布式的系统,实现“ー处授权,多处使用”,以方便分布式系统的统ー权限管理。但对于非分布式的体系,这套系统会显得有些繁杂,应用效率不够高。基于以上问题,本发明采用数字证书来实现对用户的授权管理,方便基于数字证书身份认证的应用系统对用户进行授权与控制。
发明内容
本发明提供一种基于数字证书的授权管理方法,用以提高对用户授权管理的效率。为达到上述目的,本发明提供了一种基于数字证书的授权管理方法,该方法包括以下步骤从用户属性信息中选取ー个或者多个组合作为分组的属性信息,并对各属性信息进行赋值;授予各个分组对资源的访问权限规则,并将各个分组的属性信息和访问权限规则保存在数据库中;
当用户访问资源时,从用户的数字证书中提取该用户的属性信息,并将该用户的属性信息与数据库中保存的各个分组的属性信息进行比对,若该用户的属性信息包含了分组的属性信息,则该用户属于该分组;根据该用户所在的分组获取该用户对该资源的访问权限,并根据访问权限确定该用户是否有权限访问该资源。较佳的,用户属性信息包括以下至少一项国家、省、市、组织单位、部门和名称。
较佳的,根据该用户所在的分组获取该用户对该资源的访问权限步骤包括根据该用户所在的各个分组,获取该用户对该资源的访问权限规则;将该用户对该资源的访问权限规则进行合并,得到该用户对该资源的访问权限。上述实施例实现了以下有益效果I)可以直接从用户的数字证书中获得用户所在分组的信息,且与用户实体信息一致,比较直观易于理解;2)系统在建立分组和赋予分组权限的时候无需事先知道具体用户的证书信息或ID /[目息;3)能简单方便的实现大批量的用户授权管理,无需对单个用户逐一进行操作;4)系统相对PMI系统简单,容易部署实现。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图I为本发明一实施例的基于数字证书的授权管理方法流程图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。数字证书是PKI体系中用来标识用户身份和管理用户公钥的、一个不可被用户更改的电子文件。它由第三方CA (Certificates Authority,数字证书权威)中心签发。数字证书是与用户实体对应的电子文件,它包含了用户的姓名、组织、单位、国别、所在地域等属性信息。用户属性信息由国家(C, Country)、省(ST, State)、市(L, Local)、组织单位(O,Organization)、部门(0U, Organization Unit)、名称(CN,Common Name)等组成,存放在数字证书的DN(Distinguish Name,唯一 K别名)项中。通常是顺序或者逆序包含了国家(C)、省(ST)、市(L)、组织单位(0)、部门(OU)、名称(CN)。其中国家(C)为最顶级属性信息。因此用户属性信息DN项形成了一个以国家(C)为根节点的倒树形结构,其中省(ST)、市(L)、组织单位(0),部门(OU),是其树形结构中的子节点,而名称(CN)则为树形结构中的叶子节点。在树形结构中,每个子节点下都下挂了若干子节点,形成了一个簇,包含了一批用户。每个子节点都有代表用户属性信息的属性名称和属性值。因此可以利用这个子节点对用户进行分组,以便于系统对用户进行授权管理与控制。I、分组根据用户属性信息DN形成的树形结构,可以选取树形结构中的任意一个子节点,或者若干子节点的组合来形成一个分组。其中所选取节点的属性名称和属性值构成了分组的属性与属性值。因此只要用户证书的D N项中包含了该分组的各项属性值,则用户就属于该分组。例如选用子节点O = aisino和子节点OU = yjy来形成一个分组,则分组的属性和属性值为0 = aisino, OU = yjy。如果用户证书的DN项包含了 “O = aisino, OU =yjy”的内容,则用户就属于该分组,否则不属于该分组。2、授权管理授权管理是指根据用户分组情况对一个分组赋予,或者取消,或者更改其对资源的访问权限,形成权限规则。3、访问控制访问控制是指根据用户所在的分组、分组的授权情况,以及用户发起的请求资源的对象,对用户进行访问通过或者访问禁止的动作。它包括用户属性信息提取、用户所在分组比对判断、用户控制判断三个过程。图I为本发明一实施例的基于数字证书的授权管理方法流程图。如图I所示,该授权管理方法包括以下步骤S102,从用户属性信息中选取一个或者多个组合作为分组的属性信息,并对各属性信息进行赋值;例如,可以从国家(C)、省(ST)、市(L)、组织单位(O)、部门(OU)中选取一个或多个组合作为分组的属性信息。S104,授予各个分组对资源的访问权限规则,并将各个分组的属性信息和访问权限规则保存在数据库中;例如,授予分组对资源的访问权限包括允许或禁止。S106,当用户访问资源时,从用户的数字证书中提取该用户的属性信息,并将该用户的属性信息与数据库中保存的各个分组的属性信息进行比对,若该用户的属性信息包含了分组的属性信息,则该用户属于该分组;S108,根据该用户所在的分组获取该用户对该资源的访问权限,并根据访问权限确定该用户是否有权限访问该资源。例如,在图I的实施例中,根据该用户所在的分组获取该用户对该资源的访问权限步骤包括根据该用户所在的各个分组,获取该用户对该资源的访问权限规则;将该用户对该资源的访问权限规则进行合并,得到该用户对该资源的访问权限。对用户的资源访问权限规则信息进行合并,这是因为可能用户属于多个分组,不同的分组对同一资源的访问权限不同,需要按照规则进行合并,得出一个结果。上述实施例实现了以下有益效果
I)可以直接从用户的数字证书中获得用户所在分组的信息,且与用户实体信息一致,比较直观易于理解;2)系统在建立分组和赋予分组权限的时候无需事先知道具体用户的证书信息或IDイ目息;3)能简单方便的实现大批量的用户授权管理,无需对单个用户逐一进行操作;4)系统相对PMI系统简単,容易部署实现。需要说明的是,上述授权管理方法可用于任何使用数字证书进行身份认证后,需要对用户进行访问权限管理控制的地方。
本领域普通技术人员可以理解附图只是ー个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于ー计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管參照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然可以对前述实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围。
权利要求
1.一种基于数字证书的授权管理方法,其特征在于,包括以下步骤 从用户属性信息中选取一个或者多个组合作为分组的属性信息,并对各属性信息进行赋值; 授予各个分组对资源的访问权限规则,并将各个分组的属性信息和访问权限规则保存在数据库中; 当用户访问资源时,从用户的数字证书中提取该用户的属性信息,并将该用户的属性信息与数据库中保存的各个分组的属性信息进行比对,若该用户的属性信息包含了分组的属性信息,则该用户属于该分组; 根据该用户所在的分组获取该用户对该资源的访问权限,并根据所述访问权限确定该用户是否有权限访问该资源。
2.根据权利要求I所述的授权管理方法,其特征在于,所述用户属性信息包括以下至少一项 国家、省、市、组织单位、部门和名称。
3.根据权利要求I所述的授权管理方法,其特征在于,根据该用户所在的分组获取该用户对该资源的访问权限步骤包括 根据该用户所在的各个分组,获取该用户对该资源的访问权限规则; 将该用户对该资源的访问权限规则进行合并,得到该用户对该资源的访问权限。
全文摘要
本发明公开了一种基于数字证书的授权管理方法,该方法包括以下步骤从用户属性信息中选取一个或者多个组合作为分组的属性信息,并对各属性信息进行赋值;授予各个分组对资源的访问权限规则,并将各个分组的属性信息和访问权限规则保存在数据库中;当用户访问资源时,从用户的数字证书中提取该用户的属性信息,并将该用户的属性信息与数据库中保存的各个分组的属性信息进行比对,若该用户的属性信息包含了分组的属性信息,则该用户属于该分组;根据该用户所在的分组获取该用户对该资源的访问权限,并根据访问权限确定该用户是否有权限访问该资源。
文档编号H04L9/32GK102868525SQ20111018532
公开日2013年1月9日 申请日期2011年7月4日 优先权日2011年7月4日
发明者宁红宙, 华刚 申请人:航天信息股份有限公司