一種基于電子證書的訪問控制方法

一種基于電子證書的訪問控制方法
【專利摘要】本發明提供一種基于電子證書的訪問控制方法，包括：用戶在授權管理平臺注冊個人信息，授權管理平臺給完成注冊的用戶綁定唯一的電子證書并生成一組電子證書認證碼；當用戶向應用服務器發送訪問電子政務內網的應用系統請求時，應用系統將發送應用系統標識與電子證書認證碼到授權管理平臺；授權管理平臺根據應用系統標識和電子證書認證碼進行匹配，判斷用戶是否有權限訪問該應用系統：若是，則返回用戶的個人信息；應用系統將用戶的個人信息與應用系統的訪問權限名單比對，判斷用戶是否能訪問該應用系統及具體服務權限：若是，則用戶訪問該應用系統成功并進行操作。本發明能嚴格實現用戶在電子政務內網中對應用系統的跨區域訪問控制，保證信息安全。
【專利說明】一種基于電子證書的訪問控制方法

【技術領域】
[0001]本發明涉及計算機信息安全領域，更具體地說，涉及一種在電子政務內網中基于電子證書對應用系統的訪問控制方法。

【背景技術】
[0002]電子政務內網是中央和地方各級黨委、政府等通過專用線路構建的用于內部辦公的網絡平臺，電子政務內網和互聯網是隔離的，可以通過網絡設備進行管理，實現有限的信息資源共享和數據交換。
[0003]電子政務內網的建設者在網絡安全防護建設中，普遍采用傳統的內網安全防護技術，通過防火墻、密碼機、安全網關等網絡設備從網絡層對非法入侵進行監控和防護，抵御攻擊，但是卻對內網中非法查看、修改應用服務資源和信息資源等行為起不到任何作用，對于那些需要經常移動而導致IP地址變更的終端設備更是無法進行有效的電子政務內網訪問控制，由此可能嚴重影響電子政務內網的安全。
[0004]電子證書(Digital Certificate)又稱為數字證書或數位證書，是一種用于電腦的身份識別機制。電子證書是一個或一組電腦檔案，包含持證人的身份資料及一組認證碼。憑著電子證書檔案，持證人可向電腦系統認證自己的身份，從而存取或使用某一特定的電腦服務。電子證書不是數字身份證，而是身份認證機構加在數字身份證上的一個簽名，這一行為表示身份認證機構已認定這個持證人。在獲得電子證書后，可以將其可保存在電腦里，也可以保存在IC卡或USB Key中。


【發明內容】

[0005]本發明要解決的技術問題，在于提供一種基于電子證書的訪問控制方法，通過使用授權管理平臺(所述授權管理平臺是電子政務內網中已有的備案及管理系統)授予用戶跨區域訪問權限，用戶可持電子證書跨區域訪問電子政務內網中分布在不同區域的的相關應用系統，同時對應用系統增加訪問授權名單進行權限控制，從而實現在電子政務內網中跨區域對應用系統的訪問控制，嚴格確認用戶的訪問權限，保證信息安全，且訪問控制機制靈活可靠，用戶持電子證書在任何地方都能實現相應權限的訪問，而不局限于電子證書所屬安全域。
[0006]本發明是這樣實現的:一種基于電子證書的訪問控制方法所述方法，包括如下步驟:
[0007]步驟10、用戶在授權管理平臺注冊個人信息，授權管理平臺給完成注冊的用戶綁定唯一的電子證書，并生成一組電子證書認證碼；
[0008]步驟20、當用戶在移動終端上向應用服務器發送訪問電子政務內網的一應用系統請求時，所述應用系統將發送對應的應用系統標識與該用戶持有的電子證書認證碼到授權管理平臺，所述應用系統標識是授權管理平臺根據各應用系統所分布區域、功能類型和上線順序為每個應用系統分配的唯一標識；
[0009]步驟30、授權管理平臺根據接收的所述應用系統標識和電子證書認證碼進行匹配，判斷用戶是否有權限訪問該所述應用系統:若是，則返回用戶的個人信息給該所述應用系統；否則，返回空信息；
[0010]步驟40、所述應用系統將用戶的個人信息與所述應用系統的訪問權限名單進行比對，判斷用戶是否能訪問該所述應用系統及具體服務權限:若是，則用戶訪問該所述應用系統成功，用戶根據該所述應用系統對其開放的具體服務權限進行相應的操作；若否，則返回提示信息告知用戶尚未獲得訪問該所述應用系統的權限；所述訪問權限名單是在所述應用系統開發時根據實際需求設定的。
[0011]較佳的，步驟30所述的匹配進一步具體為，授權管理平臺根據電子證書認證碼找到相應的用戶的個人信息，查看授權管理平臺的數據庫里該用戶所能訪問的所述應用系統中是否有與接收的所述應用系統標識對應的所述應用系統。
[0012]較佳的，所述訪問權限名單修改后會自動更新并保存在所述應用系統的數據庫中，同時所述應用系統將上傳更新后的所述訪問權限名單到授權管理平臺的數據庫中進行數據同步。
[0013]采用上述方案后，本發明具有如下優點:
[0014]1、通過在授權管理平臺和應用系統對用戶的個人信息及其訪問權限均進行匹配認證，嚴格確認用戶在應用系統中的訪問和具體服務權限，從而保證電子政務內網中的信息安全，防止信息資源遭到破壞；
[0015]2、用戶手持電子證書在任何地方都能實現相應權限的訪問，而不局限于電子證書所屬安全域，訪問控制機制靈活可靠；
[0016]3、各應用系統將更新的訪問權限名單上傳授權管理平臺進行數據同步，保證了授權管理平臺與各應用系統所設定用戶訪問權限數據的一致性，匹配結果更加準確。

【專利附圖】

【附圖說明】
[0017]下面參照附圖結合實施例對本發明作進一步的說明。
[0018]圖1為本發明方法執行流程圖。

【具體實施方式】
[0019]請參閱圖1，本發明，一種基于電子證書的訪問控制方法所述方法，包括如下步驟:
[0020]步驟10、用戶在授權管理平臺注冊個人信息，授權管理平臺給完成注冊的用戶綁定唯一的電子證書，并生成一組電子證書認證碼；
[0021]步驟20、當用戶在移動終端上向應用服務器發送訪問電子政務內網的一應用系統請求時，所述應用系統將發送對應的應用系統標識與該用戶持有的電子證書認證碼到授權管理平臺，所述應用系統標識是授權管理平臺根據各應用系統所分布區域、功能類型和上線順序為每個應用系統分配的唯一標識；
[0022]步驟30、授權管理平臺根據接收的所述應用系統標識和電子證書認證碼進行匹配，判斷用戶是否有權限訪問該所述應用系統:若是，則返回用戶的個人信息給該所述應用系統；否則，返回空信息；
[0023]步驟40、所述應用系統將用戶的個人信息與所述應用系統的訪問權限名單進行比對，判斷用戶是否能訪問該所述應用系統及具體服務權限(所述具體服務權限，例如:只讀、修改、寫入等操作權限):若是，則用戶訪問該所述應用系統成功，用戶根據該所述應用系統對其開放的具體服務權限進行相應的操作；若否，則返回提示信息告知用戶尚未獲得訪問該所述應用系統的權限；所述訪問權限名單是在所述應用系統開發時根據實際需求設定的。
[0024]步驟30所述的匹配進一步具體為，授權管理平臺根據電子證書認證碼找到相應的用戶的個人信息，查看授權管理平臺的數據庫里該用戶所能訪問的所述應用系統中是否有與接收的所述應用系統標識對應的所述應用系統。
[0025]所述訪問權限名單修改后會自動更新并保存在所述應用系統的數據庫中，同時所述應用系統將上傳更新后的所述訪問權限名單到授權管理平臺的數據庫中進行數據同步。
[0026]本發明，通過授權管理平臺為用戶綁定電子證書，用戶手持電子證書跨區域訪問電子政務內網中分布在不同區域的的相關應用系統，同時對應用系統增加訪問授權名單進行權限控制，從而嚴格實現用戶在電子政務內網中跨區域對應用系統的訪問控制，保證信息安全，且訪問控制機制靈活可靠，用戶持電子證書在任何地方都能實現相應權限的訪問，而不局限于電子證書所屬安全域。
[0027]雖然以上描述了本發明的【具體實施方式】，但是熟悉本【技術領域】的技術人員應當理解，我們所描述的具體的實施例只是說明性的，而不是用于對本發明的范圍的限定，熟悉本領域的技術人員在依照本發明的精神所作的等效的修飾以及變化，都應當涵蓋在本發明的權利要求所保護的范圍內。
【權利要求】
1.一種基于電子證書的訪問控制方法，其特征在于:所述方法包括如下步驟: 步驟10、用戶在授權管理平臺注冊個人信息，授權管理平臺給完成注冊的用戶綁定唯一的電子證書，并生成一組電子證書認證碼； 步驟20、當用戶在移動終端上向應用服務器發送訪問電子政務內網的一應用系統請求時，所述應用系統將發送對應的應用系統標識與該用戶持有的電子證書認證碼到授權管理平臺，所述應用系統標識是授權管理平臺根據各應用系統所分布區域、功能類型和上線順序為每個應用系統分配的唯一標識； 步驟30、授權管理平臺根據接收的所述應用系統標識和電子證書認證碼進行匹配，判斷用戶是否有權限訪問該所述應用系統:若是，則返回用戶的個人信息給該所述應用系統；否則，返回空信息； 步驟40、所述應用系統將用戶的個人信息與所述應用系統的訪問權限名單進行比對，判斷用戶是否能訪問該所述應用系統及具體服務權限:若是，則用戶訪問該所述應用系統成功，用戶根據該所述應用系統對其開放的具體服務權限進行相應的操作；若否，則返回提示信息告知用戶尚未獲得訪問該所述應用系統的權限；所述訪問權限名單是在所述應用系統開發時根據實際需求設定的。
2.根據權利要求1所述的一種基于電子證書的訪問控制方法，其特征在于:步驟30所述的匹配進一步具體為，授權管理平臺根據電子證書認證碼找到相應的用戶的個人信息，查看授權管理平臺的數據庫里該用戶所能訪問的所述應用系統中是否有與接收的所述應用系統標識對應的所述應用系統。
3.根據權利要求1或2所述的一種基于電子證書的訪問控制方法，其特征在于:所述訪問權限名單修改后會自動更新并保存在所述應用系統的數據庫中，同時所述應用系統將上傳更新后的所述訪問權限名單到授權管理平臺的數據庫中進行數據同步。
【文檔編號】H04L9/32GK104486364SQ201510006613
【公開日】2015年4月1日 申請日期:2015年1月7日 優先權日:2015年1月7日
【發明者】劉少軍, 林培土, 陳炳燦, 薛一航 申請人:南威軟件股份有限公司