[发明专利]一种基于数字证书技术的信息系统的访问控制方法及装置

说明书

技术领域

本发明涉及数据信息系统的安全技术，更具体地说，涉及一种基于数字证书技术的信息系统的访问控制方法及装置。

背景技术

目前越来越多的工作需要利用到各种各样的信息系统，而信息系统的安全性越来越得到人们的关注，例如在信息系统的访问控制方面就需要注重其安全性，在一个信息系统中具有级别不同的各种用户，特定的用户只能访问特定的数据，而如果安全措施不到位，那么会出现用户可以访问到其不该访问的数据，从而造成泄密等事故，就可能给国家和企业造成难以挽回的损失。一个信息系统会供给不同的部门和不同的人使用，这些不同的部门和不同的人的数据需求是不一样的，这就决定了对于不同级别的用户要创建不同的访问权限，这样才既能满足各用户的访问要求也能保证秘密数据不被泄漏。可见对于信息系统的用户访问需要进行相关安全策略的设计，从而达到对不同用户的访问进行控制的目的。

发明内容

本发明的目的在于提供一种基于数字证书技术的信息系统的访问控制方法及装置，以实现对不同用户的访问进行控制的目的。

根据本发明的第一方面，提供一种基于数字证书技术的信息系统的访问控制方法，包括以下步骤：

a、设定系统服务器数字证书以及用户数字证书；

b、定义所述信息系统的访问角色，所述访问角色是所述信息系统不同访问权限的集合；

c、向注册的用户创建身份标识，将所述b步骤定义的访问角色赋予所述身份标识；

d、根据所述a步骤的数字证书对请求登陆的用户进行认证；

e、根据所述c步骤的用户身份标识，对通过认证的用户建立访问控制表，所述访问控制表执行所述用户的访问控制。

所述d步骤包括：

1)向请求登陆认证的用户发送服务器数字证书和随机数，用户签名随机数，并用服务器数字证书加密随机数，将用户数字证书、签名随机数和加密随机数返还至系统服务器；

2)系统服务器解密所述随机数，并将解密后的随机数与原随机数比对，若一致则用户认证成功，若不一致则拒绝认证。

所述a步骤还定义了所述信息系统数据库的数据的保密等级，所述定义了保密等级的数据与所述访问角色匹配。

所述a步骤所述用户数字证书的密钥存储于客户端的存储器，所述系统服务器数字证书的密钥存储于系统服务器的存储器。

所述访问控制表包括所述访问角色与所述定义了保密等级的数据以及所述身份标识三者之间的联系规则，所述访问控制表存储在所述信息系统的数据库中。

所述访问控制表验证所述身份标识以及所述身份标识的访问目标的合法性。

根据本发明的第二方面，提供一种基于数字证书技术的信息系统的访问控制装置，包括：

注册模块，所述注册模块为所述信息系统的用户提供注册并设定系统服务器数字证书以及用户数字证书；

定义模块，定义所述信息系统的访问角色，向注册的用户创建身份标识，将所述访问角色赋予所述身份标识，所述访问角色是所述信息系统不同访问权限的集合；

控制模块，所述控制模块根据所述注册模块设定的数字证书对请求登陆的用户进行认证，并根据所述身份标识对通过认证的用户建立访问控制表，所述访问控制表执行所述用户的访问控制。

所述控制模块对请求登陆的用户进行认证包括以下步骤：

1)向请求登陆认证的用户发送服务器数字证书和随机数，用户签名随机数，并用服务器数字证书加密随机数，将用户数字证书、签名随机数和加密随机数返还至系统服务器；

2)系统服务器解密所述随机数，并将解密后的随机数与原随机数比对，若一致则用户认证成功，若不一致则拒绝认证。

所述定义模块还定义了所述信息系统数据库的数据的保密等级，所述定义了保密等级的数据与所述访问角色匹配。

所述访问控制表包括所述访问角色与所述定义了保密等级的数据以及所述身份标识三者之间的联系规则，所述访问控制表存储在所述信息系统的数据库中。

采用本发明所述的一种基于数字证书技术的信息系统的访问控制方法及装置，本发明所述的方法及装置一方面是基于数字证书技术的，数字证书技术通过其公钥和密钥可以更好的保证用户和系统之间数据交换的安全性，另一方面本方法及装置是基于访问角色的访问控制模型，即先定义访问角色，然后将此访问角色赋予注册的合法用户，再建立用户的访问控制表，把“用户访问角色操作数据”关联到一起，实现非自主型访问控制策略，使用基于访问角色的访问控制模型可以减轻安全管理工作，这种方式只需把新的注册用户创建给已定义的访问角色即可，无需为用户重新指定资源和操作，因而简化了授权管理工作。

附图说明