CN101640687A - 一种权限管理***及方法 - Google Patents
一种权限管理***及方法 Download PDFInfo
- Publication number
- CN101640687A CN101640687A CN200910169755A CN200910169755A CN101640687A CN 101640687 A CN101640687 A CN 101640687A CN 200910169755 A CN200910169755 A CN 200910169755A CN 200910169755 A CN200910169755 A CN 200910169755A CN 101640687 A CN101640687 A CN 101640687A
- Authority
- CN
- China
- Prior art keywords
- user
- time
- authority
- time period
- attribute certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开一种权限管理***,其中的权限管理模块用于管理授权策略的制定以及权限的分配,并且根据实际需要而在授权时为相关权限设置时间约束条件;属性证书签发模块根据用户与权限之间绑定关系和时间约束条件而签发属性证书;目录服务器存储所述属性证书和用户信息;访问管理模块在用户和目标资源之间建立安全机制,并在用户试图访问目标资源时,根据所述属性证书和用户信息对该用户进行权限认证,以确定是否允许该用户访问该目标资源,从而保护目标资源的安全性。此外,本发明还公开一种权限管理方法。本发明提供的权限管理***和方法可方便及时地对权限进行设置和自动取消,从而降低了权限管理的难度和复杂度,同时也降低了***风险。
Description
技术领域
本发明涉及信息安全技术,具体而言,涉及一种用于对用户权限进行管理的***及相关方法。
背景技术
随着信息化技术的发展,目前众多企事业单位都已实现信息化管理,并且根据员工所处部门和职位等而实施用户权限管理。所谓用户权限管理,就是对用户访问/使用***的权力所进行的管理。
通常,现有的用户权限管理***在进行授权管理的设计时,主流方式均是以角色策略管理为基础,全面安全地解决用户在授权管理中各种要素的管理、各种授权策略的制定和各种权限的分配等管理功能。所谓角色指的是应用***中权限的集合。对于授权,均是直接将授权的主体和客体即权限信息进行直接绑定,然后把生成的绑定关系通过目录服务器进行发布。用户在访问相应的业务资源时,业务***会把用户的身份和用户访问的资源信息传递给访问控制***,访问控制***会去目录服务器上检索二者之间的对应关系,如果存在对应关系,则说明该用户具有访问该资源的权限,于是访问控制***会将相应结果返回给业务***,业务***根据该结果而允许该用户访问该资源;反之,如果不存在对应关系,则说明该用户不具有访问该资源的权限,于是业务***将不允许该用户访问该资源。
基于上述权限管理***,如果要取消权限,则需要在***中将用户与权限之间的绑定关系解除,同时在目录服务器中删除相应的授权信息。这样,访问控制***在针对业务***提及的访问控制请求时,由于无法检索到用户和资源之间的对应关系,则会将相应的结果返回给业务***,从而不允许该用户访问该资源,这样便实现了权限的取消。
由上可知,现有的权限管理***中,用户权限的授予和取消均需要通过管理员手工操作,而无法实现权限的自动取消。也就是说,在授权之后需要由管理员对权限进行监控、修改或重新设置,这不仅增大了权限管理的难度和复杂度,而且也导致人力和物力成本的极大浪费。特别是在人员数目比较大、权限的取消比较频繁的情况下,这种缺陷尤为突出。
此外,现有的权限管理***中,对于权限的取消需要管理员手工进行干预,从而导致权限管理时效性比较差。特别是对于权限时效性要求比较强的场合(例如,仅在一段时期内使某一用户具有访问***的权限,过了该时间段将不再允许该用户访问该***),由于不能及时地灵活地修改/取消权限而给***带来很大风险。
然而如若仅设置权限,并在授权之后不再对其进行任何监控,则无法根据实际需要来及时修改或取消权限,从而导致用户一直享有最初所设置的权限,这势必也会导致***存在安全隐患、增大***风险。
发明内容
为解决上述问题,本发明提供一种权限管理***及方法,其可以方便及时地对权限进行设置和自动取消,从而降低了权限管理的难度和复杂度,同时也降低了***风险。
为此,本发明提供一种权限管理***,其包括权限管理模块、属性证书签发模块、目录服务器和访问管理模块。其中,所述权限管理模块用于管理授权策略的制定以及权限的分配,并且根据实际需要而在授权时为相关权限设置时间约束条件;所述属性证书签发模块用于根据所述权限管理模块所建立的用户与权限之间绑定关系以及时间约束条件而生成并签发属性证书,并将已经签发成功的属性证书返回给所述权限管理模块,以便由权限管理模块将该属性证书发布到目录服务器;所述目录服务器用于存储所述属性证书和用户信息;以及所述访问管理模块用于在用户和目标资源之间建立安全机制,并在用户试图访问目标资源时,根据所述目录服务器中存储的属性证书和用户信息对该用户进行权限认证,以确定是否允许该用户访问该目标资源,从而保护目标资源的安全性。
其中,所述权限管理模块包括用户管理单元、授权管理单元和时间约束设置单元。所述用户管理单元用于管理与用户有关的信息,并根据这些信息将用户分类成群体;所述授权管理单元以角色策略管理为基础,用以对用户在权限管理中的各种要素、授权策略的制定以及权限的分配进行管理;以及时间约束设置单元用于根据实际需要而在授权时为相关权限设置时间约束条件。
其中,所述访问管理模块包括访问控制单元和单点登陆单元。所述访问控制单元用于在用户和目标资源之间建立安全机制,以在某一用户试图访问目标资源时,根据所述目录服务器中存储的属性证书和用户信息,判断所述用户是否具有访问权限以及当前访问时刻是否满足所述时间约束条件,只有在确定用户具有访问权限并且当前访问时刻满足所述时间约束条件时,才认定该访问权限有效并允许该用户访问该目标资源,否则,返回该用户没有权限的提示以拒绝其访问该目标资源;以及所述单点登陆单元基于公钥基础设施技术而提供安全服务,并且可实现基于用户类型和应用***资源的访问控制管理。
其中,所述时间约束设置单元可以采用下述方式之一来设置时间约束条件:为所述权限设置时间段约束;或者,为所述权限设置周期性时间约束;或者,为所述权限同时设置时间段约束和周期性时间约束。
其中,所述时间段约束所采用的格式串结构为:时间段的起始年月日|时间段的终止年月日;所述周期性时间约束所采用的格式串结构为:每一周期的起始日|每一周期的终止日;以及同时设置时间段约束和周期性时间约束时所采用的格式串结构为:时间段的起始年月日|时间段的终止年月日&&每一周期的起始日|每一周期的终止日。
作为另一个技术方案,本发明还提供一种权限管理方法,其具体包括下述步骤:1)制定授权策略并为用户分配权限,同时根据实际需要为相关用户权限设置时间约束条件;2)根据用户权限和相关时间约束条件而生成并签发属性证书;3)将已经签发成功的属性证书发布到目录服务器;4)在某一用户试图访问目标资源时,根据所述目录服务器中存储的用户信息和属性证书对该用户进行权限认证,以确定是否允许该用户访问该目标资源,从而保护目标资源的安全性。
其中,在所述步骤1)中采用下述方式之一来设置时间约束条件:为所述权限设置时间段约束;或者,为所述权限设置周期性时间约束;或者,为所述权限同时设置时间段约束和周期性时间约束。
其中,仅设置时间段约束时所采用的格式串结构为:时间段的起始年月日|时间段的终止年月日;仅设置周期性时间约束时所采用的格式串结构为:每一周期的起始日|每一周期的终止日;以及同时设置时间段约束和周期性时间约束时所采用的格式串结构为:时间段的起始年月日|时间段的终止年月日&&每一周期的起始日|每一周期的终止日。
具体地,在所述步骤4)中,在对所述用户进行权限认证时,根据所述目录服务器中存储的属性证书和用户信息,判断所述用户是否具有访问权限以及当前访问时刻是否满足所述时间约束条件,只有在确定用户具有访问权限并且当前访问时刻满足所述时间约束条件时,才认定该访问权限有效并允许该用户访问该目标资源,否则,返回该用户没有权限的提示以拒绝其访问该目标资源。
具体地,在所述步骤4)中,采用下述方式判断所述用户是否具有有效的访问权限:即,先判断所述用户是否具有访问权限,并在确定其具有访问权限的情况下,再判断当前访问时刻是否满足所述时间约束条件;如果当前访问时刻满足所述时间约束条件,则认定所述访问权限有效,否则,认定所述访问权限无效。
相对于现有技术,本发明具有下述有益效果:
其一,权限的时效性强。本发明提供的权限管理***/方法中,权限管理模块不仅可以管理授权策略的制定以及权限的分配,而且还可以根据实际需要而在授权时为相关权限设置时间约束条件,也就是说,在授权时即设定只有满足上述时间约束条件时,该权限才能真正有效。这样便使得,当某一用户试图访问某一目标资源时,需要根据已存储在目录服务器中的属性证书和用户信息对该用户进行权限认证,只有当该用户对该目标资源拥有访问权限(即,存在该用户与该目标资源访问权限之间的绑定关系),并且访问时刻满足所设置的时间约束条件时,才允许该用户依照该权限访问所述目标资源。这样就可以确保用户权限的时效性,即,对于根据时效要求而不该再拥有该权限的用户,可以通过时间约束条件的限定来使其原有权限无效,从而可以及时实现权限的取消,进而有效保证资源和***的安全性。
其二,权限管理的难度和复杂度低。由于本发明提供的权限管理***/方法在授权时就为有关权限设置了时间约束条件,并且在后续实际应用中,根据用户访问时刻是否满足该时间约束条件来自动认定用户是否具有有效的访问权限,因而无需像现有技术那样,由管理员花费大量的时间和精力来监控管理该用户在访问时刻是否具有有效的访问权限。因此,相对于现有技术,本发明提供的权限管理***/方法降低了权限管理方面的难度和复杂度。
其三,权限管理方便灵活。由于本发明提供的权限管理***/方法在授权时就为有关权限设置了时间约束条件,并且在后续实际应用中,根据用户访问时刻是否满足该时间约束条件来自动认定用户是否访问权限有效,若认定为无效,则相当于该权限被取消,而无需像现有技术那样,通过解除用户与权限之间的绑定关系来取消该权限。因此,本发明提供的权限管理***/方法无需频繁地建立绑定和解除绑定,从而使得对权限的管理更方便灵活。
附图说明
图1为本发明提供的权限管理***的一个具体实施例的总体结构图;
图2为本发明提供的权限管理***的另一个具体实施例的总体结构图;以及
图3为本发明提供的权限管理方法的流程示意图。
具体实施方式
本发明的技术核心是:在现有的授权方式基础上增加时间约束授权,即,在对用户进行授权时,在授予用户权限的同时也对该权限增加时间约束条件,并把包含该时间约束条件的授权结果发布到目录服务器上。这样,访问控制模块在为业务提供访问控制服务时,不仅要检索用户身份和对应的资源之间是否存在绑定关系,而且还要针对其中所包含的时间约束条件进行判断,如果当前访问时刻满足时间约束条件,则该次访问控制才被允许,业务***才可以为该用户展现相应的资源信息;反之,如果当前访问时刻不满足时间约束条件,即使用户和目标资源的绑定关系存在,该次访问也不能被允许,相应地,业务***也就无法为该用户提供相应的资源信息。
为使本领域的技术人员更好地理解本发明的技术方案,下面结合附图对本发明提供的权限管理***及方法进行详细描述。
请参阅图1,为本发明一个具体实施例提供的权限管理***的总体结构图。如图所示,该权限管理***包括权限管理模块、属性证书签发模块、目录服务器和访问管理模块。
其中,权限管理模块用于管理授权策略的制定以及权限的分配,即建立用户与权限之间绑定关系,并且根据实际需要而在授权时为相关权限设置时间约束条件。
属性证书签发模块用于根据所述权限管理模块所建立的用户与权限之间绑定关系以及时间约束条件而生成并签发AC(AttributeCertificate,属性证书),并将已经签发成功的属性证书返回给所述权限管理模块,以便由权限管理模块将该属性证书发布到目录服务器。而且,该属性证书签发模块还在属性证书的整个生命周期中对各属性证书进行管理。
目录服务器用于存储所述属性证书和用户信息。例如,目录服务器中存储有用户表、角色表、用户角色表与角色权限表,其中的用户表中存储用户ID与用户名的关联关系;角色表中存储角色ID与角色名的关联关系;用户角色表将用户与角色关联棋联;角色权限表中存储各角色与其被分配的权限标示符的关联关系。
访问管理模块用于在用户和目标资源之间建立安全机制,并在某一用户试图访问目标资源时,根据所述目录服务器中存储的属性证书和用户信息对该用户进行权限认证,以确定是否允许该用户访问该目标资源,从而保护目标资源的安全性。
在实际应用中,权限管理模块具体可以包括用户管理单元、授权管理单元和时间约束设置单元。
其中,用户管理单元用于安全统一地管理与用户有关的各种信息,并通过这些信息将用户分类成群体。与用户有关的各种信息例如可以包括:用户的基本信息(姓名、年龄、性别等)、属性信息(单位、部门、职务、职称等)等。
授权管理单元以角色策略管理为基础,用以全面安全地对用户在权限管理中的各种要素、各种授权策略的制定以及各种权限的分配进行管理。
时间约束设置单元用于根据实际需要而在授权时为相关权限设置时间约束条件。
借助于用户管理单元、授权管理单元和时间约束设置单元的协同工作,可以实现时间约束授权功能,即,在现有授权方式的基础上增加时间约束授权。具体地,在对用户授权时,在授予权限的同时也能对该权限增加时间约束条件,并且在对权限进行认证时,只有在当前访问时刻满足时间约束条件时,该访问权限才能生效。所述的时间约束条件可以是周期性时间限制和/或时间段限制。
在实际应用中,访问管理模块具体可以包括访问控制单元和单点登陆单元。
其中,访问控制单元用于在访问者和目标资源之间介入一个安全机制,以验证访问者的权限、控制受保护的目标资源。在某一用户试图访问目标资源时,根据所述目录服务器中存储的属性证书和用户信息,判断所述用户是否具有访问权限以及当前访问时刻是否满足所述时间约束条件,只有在确定用户具有访问权限并且当前访问时刻满足所述时间约束条件时,才认定该访问权限有效并允许该用户访问该目标资源,否则,返回该用户没有权限的提示以拒绝其访问该目标资源。实际应用中,可以采用下述方式判断所述用户是否具有有效的访问权限:即,先判断所述用户是否具有访问权限,并在确定其具有访问权限的情况下,再判断当前访问时刻是否满足所述时间约束条件;如果当前访问时刻满足所述时间约束条件,则认定所述访问权限有效,否则,认定所述访问权限无效。
通常,访问控制单元包括访问控制执行子单元(AEF,AccessControl Enforcement Function,其实际为应用内实现访问控制的一段代码或者监听程序)和访问控制决策子单元(ADF,Access ControlDecision Function,其为一个判断逻辑,如访问控制代码中的判断函数)。其中的访问控制执行子单元用以截获用户针对目标资源的访问请求,并将该请求信息和目标资源信息以决策请求的方式提交给所述访问控制决策子单元。访问控制决策子单元用以根据相关信息进行逻辑判断,并将允许访问或拒绝访问的决策结果返回给所述访问控制执行子单元,以便访问控制执行子单元根据该决策结果而确定是否执行访问。
单点登陆单元基于PKI(Public Key Infrastructure,公钥基础设施)技术实现的信息安全产品,用以全面支持PKI/PMI(PrivilegeManagement Infrastructure,权限管理基础设施)的信息安全基础设施,提供了包括加密传输、身份验证等核心安全服务,并且可以实现基于用户类型和应用***资源的访问控制管理和审计监控管理功能。
请参阅图2,其中示出了本发明另一个具体实施例提供的权限管理***。该权限管理***主要包括浏览器(PMS管理端)、权限管理模块、属性证书签发模块、中间件等几部分,并且采用了当前主流的B/S结构的设计模式。
其中,PMS(Privilege Management System,权限管理***)管理终端基于Web浏览器的管理模式,支持当前主流的浏览器。
权限管理模块是整个权限管理***核心的组成部分,主要负责梳理各个应用***的人员、群体、角色、权限信息,并将以上信息在权限管理模块内进行注册,最后完成人到角色(或权限)、群体到角色(或权限)的绑定关系维护。
属性证书签发模块负责建立属性权威源,并负责将“权限管理模块”中人到角色、群体到角色的映射关系签发成属性证书,并将已经签发成功的属性证书返回给“权限管理模块”。实际应用中,属性证书签发模块以PKI/PMI为基础,实现属性项的自定义等功能,提供更全面的属性证书签发服务,建立满足本地应用的业务管理需要属性证书体系。应用***会信任属性权威源签发的属性证书,并以属性证书所签发的内容进行***内部的访问控制操作。
中间件属于PMS***的SDK(Software Development Kit,软件开发工具包),通常与应用***部署在一起供应用***调用,主要负责进行用户数字证书有效性校验、相应规则群体的匹配、属性证书的下载、属性证书的解析、应用角色冲突消解等操作。
PMI目录服务虽然不属于PMS***内部模块,但其为PMS***必选组件,通常与权限管理模块协同工作。具体地,权限管理模块中的属性证书发布服务负责将已经签发成功的属性证书发布到目录服务;权限管理模块中的数据同步校验服务负责校验权限管理模块中的数据库存储数据与发布到目录服务器上的数据之间的一致性。
下面详细说明本发明提供的权限管理***如何设置时间约束条件。
在本发明提供的权限管理***中,授权实体类包含时态角色、资源、动作、用户、群体和时间约束。其中,本发明中所采用的时间约束可以分为两种类型:即,时间段约束类型和时间周期约束类型。
所谓时间段约束是指从某一时间段的起始时刻至该时段的终止时刻为止权限有效。在此所说的“时刻”可以具体到年、月、日;也可以具体到年、月、日、时;更为精确地,还可以具体到年、月、日、时、分,等等。例如,时间段为2009年7月1日至2009年7月20日,或者,时间段为2009年6月1日0时0分至2009年6月28日23时59分,等等。
所谓时间周期约束是指从某一时间周期的起始时刻至该周期的终止时刻为止权限有效,并且每一周期均如此。在此所说的时间周期可以是以“月”为单位的时间周期,也可以是以“周”为单位的时间周期,等等。在此所说的“时刻”可以具体到周期中的某一日;也可以具体到周期中的某一日、时;更为精确地,还可以具体到周期中的某一日、时、分,等等。例如,以周为时间周期时,时间周期可以设定为周一至周五,或者,时间周期可以设定为周一8时0分至周五17时59分,等等。
为便于说明,下面所说的时间段中的“时刻”和时间周期中的“时刻”均具体到日、时、分,并且以周”为时间周期。然而可以理解的是,本发明在实际应用中并不局限于此。
在实际应用中,在授权时设置时间约束条件时,可以单独设置时间段约束条件或时间周期约束条件。当然,也可以同时设置时间段约束条件和时间周期约束条件,也就是说,使时间段约束条件和时间周期约束条件为“和”的关系。
具体地,对权限加以时间段约束条件,就是在现有的授权模式基础上增加一个时间约束,而这个时间约束是一个时间段。若设置有权限的用户的访问时刻处于该段时间内,即满足该时间约束条件时,则该权限有效;否则,用户就没有访问权限。例如,给某用户授权时增加的时间约束为:2009年7月21日0时0分至2009年7月31日23时59分,这样,自2009年7月21日0时0分起至2009年7月31日23时59分止,该用户的权限有效,其可以被允许进行相应操作。一旦过了2009年7月31日23时59分,其权限就被取消。
对于时间段约束,可以采用这样的格式串结构:时间段的起始年月日时分|时间段的终止年月日时分。例如,前述时间段2009年7月21日0时0分至2009年7月31日23时59分,以格式串结构表示为:2009-7-210:0|2009-7-3123:59,即,在2009年7月21日0时0分起至2009年7月31日23时59分止的时间段内,该用户权限有效。
对权限加以周期性时间约束条件,就是在现有的授权模式的基础上增加一个时间约束,而这个时间约束是周期性的。若设置有权限的用户的访问时刻处于该时间周期内,即满足时间约束条件时,则该权限有效;否则,用户没有访问权限。并且,每一个周期均这样判断权限的有效性。例如:给某用户授权时增加的时间约束为:周一8时0分至周五17时59分。这样,自每一周的周一8时0分起至周五17时59分止,用户权限有效,其可以被允许进行相应操作;而在该时间范围之外的任意时刻,其权限就被取消。每周如此,不再赘述。
对于周期性时间约束,可以采用这样的格式串结构:每一周期的起始日时分|每一周期的终止日时分。例如,对于前述周期性时间:周一8时0分至周五17时59分,以格式串结构表示为:10:0|523:59,即,在每周的周一0时0分起至周五23时59分止,用户权限有效。
对权限同时加以时间段约束和周期性时间约束,就是在现有的授权模式的基础上增加两个时间约束,一个时间约束为一个时间段,另一个时间约束是周期性的。若设置有权限的用户的访问时刻同时处于该时间段内和该时间周期内,即满足时间约束条件时,则该权限有效;否则,用户没有访问权限。例如:如果给某用户授权时增加的时间约束为:2009年7月21日0时0分至2009年7月31日23时59分时间段,以及周一0时0分至周五23时59分。这样,在2009年7月21日0时0分至2009年7月31日23时59分时间段内的每个周一、周二、周三、周四、周五,用户权限才有效,其可以被允许进行相应操作。而在该时间范围之外的任意时刻,其权限被取消。
对权限同时加以时间段约束和周期性时间约束,可以采用这样的格式串结构:时间段的起始年月日时分|时间段的终止年月日时分&&每一周期的起始日时分|每一周期的终止日时分。例如,前述2009年7月21日0时0分至2009年7月31日23时59分的时间段,以及周一0时0分至周五23时59分的周期性时间约束,以格式串结构表示为:2009-7-210:0|2009-7-3123:59|&&10:0|523:59,即,在2009年7月21日0时0分至2009年7月31日23时59分的时间段内的每周一至周五,用户权限有效。
作为另一个技术方案,本发明还提供一种权限管理方法。下面结合附图对该方法进行详细描述。
请参阅图3,其中示出了本发明提供的权限管理方法的一个具体实施例,具体包括下述步骤:
步骤310,制定授权策略并为用户分配权限,即建立用户与权限之间绑定关系,同时根据实际需要为相关用户权限设置时间约束条件。
在实际应用中,可以采用下述方式之一来设置时间约束条件:为所述权限设置时间段约束;或者为所述权限设置周期性时间约束;或为所述权限同时设置时间段约束和周期性时间约束。当仅设置时间段约束时所采用的格式串结构为:时间段的起始年月日|时间段的终止年月日;当仅设置周期性时间约束时所采用的格式串结构为:每一周期的起始日|每一周期的终止日;以及当同时设置时间段约束和周期性时间约束时所采用的格式串结构为:时间段的起始年月日|时间段的终止年月日&&每一周期的起始日|每一周期的终止日。至于设置时间约束条件的具体过程类似于前面结合权限管理***所作的说明,在此不再赘述。
步骤320,根据用户权限和相关时间约束条件而生成并签发属性证书。
步骤330,将已经签发成功的属性证书发布到目录服务器,并存储于此,以待进行权限认证时由此获取。
步骤340-步骤370中,当某一用户试图访问目标资源时,根据目录服务器中存储的用户信息和属性证书对该用户进行权限认证,以确定是否允许该用户访问该目标资源,从而保护目标资源的安全性。
具体地,在步骤340中,判断该用户对于该目标资源是否设置有访问权限,即是否存在该用户与该目标资源访问权限之间的绑定关系,如果是,则转到步骤350;如果否,则转到步骤370。
步骤350,进一步判断该用户的访问权限是否有效,即,判断当前访问时刻是否满足授权时设置的时间约束条件,如果是,则认定所述访问权限有效,并转到步骤360;如果否,则认定所述访问权限无效,并转到步骤370。
步骤360,当确定用户对目标资源拥有有效的访问权限后,即,在确定用户具有访问权限并且当前访问时刻满足所述时间约束条件时,允许用户对该目标资源执行与其权限相对应的操作。
步骤370,当用户对目标资源无访问权限,或者该权限目前无效时,则禁止用户访问该目标资源,从而保护目标资源的安全性。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
Claims (10)
1.一种权限管理***,其特征在于,包括权限管理模块、属性证书签发模块、目录服务器和访问管理模块,其中
所述权限管理模块用于管理授权策略的制定以及权限的分配,并且根据实际需要而在授权时为相关权限设置时间约束条件;
所述属性证书签发模块用于根据所述权限管理模块所建立的用户与权限之间绑定关系以及时间约束条件而生成并签发属性证书,并将已经签发成功的属性证书返回给所述权限管理模块,以便由权限管理模块将该属性证书发布到目录服务器;
所述目录服务器用于存储所述属性证书和用户信息;以及
所述访问管理模块用于在用户和目标资源之间建立安全机制,并在用户试图访问目标资源时,根据所述目录服务器中存储的属性证书和用户信息对该用户进行权限认证,以确定是否允许该用户访问该目标资源,从而保护目标资源的安全性。
2.根据权利要求1所述的权限管理***,其特征在于,所述权限管理模块包括用户管理单元、授权管理单元和时间约束设置单元,其中
所述用户管理单元用于管理与用户有关的信息,并根据这些信息将用户分类成群体;
所述授权管理单元以角色策略管理为基础,用以对用户在权限管理中的各种要素、授权策略的制定以及权限的分配进行管理;以及
时间约束设置单元用于根据实际需要而在授权时为相关权限设置时间约束条件。
3.根据权利要求1所述的权限管理***,其特征在于,所述访问管理模块包括访问控制单元和单点登陆单元,其中
所述访问控制单元用于在用户和目标资源之间建立安全机制,以在用户试图访问目标资源时,根据所述目录服务器中存储的属性证书和用户信息,判断所述用户是否具有访问权限以及当前访问时刻是否满足所述时间约束条件,只有在确定用户具有访问权限并且当前访问时刻满足所述时间约束条件时,才认定该访问权限有效并允许该用户访问该目标资源,否则,返回该用户没有权限的提示以拒绝其访问该目标资源;以及
所述单点登陆单元基于公钥基础设施技术而提供安全服务,并且可实现基于用户类型和应用***资源的访问控制管理。
4.根据权利要求2所述的权限管理***,其特征在于,所述时间约束设置单元采用下述方式之一来设置时间约束条件:
为所述权限设置时间段约束;或
为所述权限设置周期性时间约束;或
为所述权限同时设置时间段约束和周期性时间约束。
5.根据权利要求4所述的权限管理***,其特征在于,所述时间段约束所采用的格式串结构为:时间段的起始年月日|时间段的终止年月日;
所述周期性时间约束所采用的格式串结构为:每一周期的起始日|每一周期的终止日;以及
同时设置时间段约束和周期性时间约束时所采用的格式串结构为:时间段的起始年月日|时间段的终止年月日&&每一周期的起始日|每一周期的终止日。
6.一种权限管理方法,其特征在于,包括下述步骤:
1)制定授权策略并为用户分配权限,同时根据实际需要为相关用户权限设置时间约束条件;
2)根据用户权限和相关时间约束条件而生成并签发属性证书;
3)将已经签发成功的属性证书发布到目录服务器;
4)在某一用户试图访问目标资源时,根据所述目录服务器中存储的用户信息和属性证书对该用户进行权限认证,以确定是否允许该用户访问该目标资源,从而保护目标资源的安全性。
7.根据权利要求1所述的权限管理方法,其特征在于,在所述步骤1)中采用下述方式之一来设置时间约束条件:
为所述权限设置时间段约束;或
为所述权限设置周期性时间约束;或
为所述权限同时设置时间段约束和周期性时间约束。
8.根据权利要求7所述的权限管理方法,其特征在于,仅设置时间段约束时所采用的格式串结构为:时间段的起始年月日|时间段的终止年月日;
仅设置周期性时间约束时所采用的格式串结构为:每一周期的起始日|每一周期的终止日;以及
同时设置时间段约束和周期性时间约束时所采用的格式串结构为:时间段的起始年月日|时间段的终止年月日&&每一周期的起始日|每一周期的终止日。
9.根据权利要求6所述的权限管理方法,其特征在于,在所述步骤4)中,在对所述用户进行权限认证时,根据所述目录服务器中存储的属性证书和用户信息,判断所述用户是否具有访问权限以及当前访问时刻是否满足所述时间约束条件,只有在确定用户具有访问权限并且当前访问时刻满足所述时间约束条件时,才认定该访问权限有效并允许该用户访问该目标资源,否则,返回该用户没有权限的提示以拒绝其访问该目标资源。
10.根据权利要求9所述的权限管理方法,其特征在于,在所述步骤4)中,采用下述方式判断所述用户是否具有有效的访问权限:即,先判断所述用户是否具有访问权限,并在确定其具有访问权限的情况下,再判断当前访问时刻是否满足所述时间约束条件;如果当前访问时刻满足所述时间约束条件,则认定所述访问权限有效,否则,认定所述访问权限无效。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910169755A CN101640687A (zh) | 2009-08-31 | 2009-08-31 | 一种权限管理***及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910169755A CN101640687A (zh) | 2009-08-31 | 2009-08-31 | 一种权限管理***及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101640687A true CN101640687A (zh) | 2010-02-03 |
Family
ID=41615478
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910169755A Pending CN101640687A (zh) | 2009-08-31 | 2009-08-31 | 一种权限管理***及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101640687A (zh) |
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102088360A (zh) * | 2009-12-08 | 2011-06-08 | 长春吉大正元信息技术股份有限公司 | 分布式授权管理***及其实现方法 |
| CN102438019A (zh) * | 2011-12-22 | 2012-05-02 | 中国电子科技集团公司第十五研究所 | 业务信息***访问权限控制方法及*** |
| CN102447677A (zh) * | 2010-09-30 | 2012-05-09 | 北大方正集团有限公司 | 资源访问控制方法、***和设备 |
| CN102761555A (zh) * | 2012-07-26 | 2012-10-31 | 郑州信大捷安信息技术股份有限公司 | 基于访问历史的强制访问控制***及控制方法 |
| CN102868525A (zh) * | 2011-07-04 | 2013-01-09 | 航天信息股份有限公司 | 基于数字证书的授权管理方法 |
| CN102902898A (zh) * | 2012-09-21 | 2013-01-30 | 中国科学院信息工程研究所 | 多维数字媒体的资源使用控制方法及装置 |
| CN103312675A (zh) * | 2012-03-13 | 2013-09-18 | 中国科学院软件研究所 | 一种面向属性保护的数字身份服务方法及其*** |
| CN104566822A (zh) * | 2014-12-26 | 2015-04-29 | 珠海格力电器股份有限公司 | 空调机组管理*** |
| CN104811430A (zh) * | 2014-01-29 | 2015-07-29 | 莘翔四海(北京)科技有限公司 | 权限处理方法及装置 |
| CN105187207A (zh) * | 2014-06-20 | 2015-12-23 | 北京新媒传信科技有限公司 | 权限认证的方法和装置 |
| CN105430013A (zh) * | 2015-12-28 | 2016-03-23 | 中国农业银行股份有限公司 | 一种信息访问控制方法及*** |
| CN105490855A (zh) * | 2015-12-11 | 2016-04-13 | 北京元心科技有限公司 | 移动终端及其配置方法 |
| CN106203054A (zh) * | 2015-05-28 | 2016-12-07 | 株式会社理光 | 信息处理***、信息处理装置和电子证书管理方法 |
| CN106452774A (zh) * | 2015-08-07 | 2017-02-22 | 百度在线网络技术(北京)有限公司 | 基于单点登录协议进行访问权限控制的方法和装置 |
| CN107104930A (zh) * | 2016-02-23 | 2017-08-29 | 腾讯科技(深圳)有限公司 | 一种设置查看权限的方法、装置和*** |
| WO2019007338A1 (zh) * | 2017-07-04 | 2019-01-10 | 成都牵牛草信息技术有限公司 | 基于表单时间性质字段的表单授权方法 |
| CN109246143A (zh) * | 2018-10-29 | 2019-01-18 | 航天信息股份有限公司 | 基于数字证书的身份认证的方法、装置和存储介质 |
| CN110717153A (zh) * | 2019-09-30 | 2020-01-21 | 新华三大数据技术有限公司 | 一种权限验证方法和装置 |
| CN110826088A (zh) * | 2019-11-13 | 2020-02-21 | 国网浙江省电力有限公司宁波供电公司 | 一种t-rbacg的访问控制模型构建方法 |
| CN111083103A (zh) * | 2019-10-30 | 2020-04-28 | 华迪计算机集团有限公司 | 一种数据共享交换方法及*** |
| CN112765591A (zh) * | 2021-02-01 | 2021-05-07 | 深圳前海微众银行股份有限公司 | 权限的管理方法、装置、***及计算机可读存储介质 |
| CN113765668A (zh) * | 2020-06-03 | 2021-12-07 | 广州汽车集团股份有限公司 | 一种车辆数字证书在线安装方法及车辆数字证书管理装置 |
| CN114139128A (zh) * | 2021-11-05 | 2022-03-04 | 苏州浪潮智能科技有限公司 | 一种***资源访问方法,装置及介质 |
| CN115426122A (zh) * | 2021-05-31 | 2022-12-02 | 华为技术有限公司 | 基于权限适配的访问控制方法、相关装置及*** |
| CN116933300A (zh) * | 2023-09-18 | 2023-10-24 | 云账户技术(天津)有限公司 | 一种面向用户权限的熔断管理方法、装置及电子设备 |
-
2009
- 2009-08-31 CN CN200910169755A patent/CN101640687A/zh active Pending
Cited By (38)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102088360B (zh) * | 2009-12-08 | 2013-12-25 | 长春吉大正元信息技术股份有限公司 | 分布式授权管理***及其实现方法 |
| CN102088360A (zh) * | 2009-12-08 | 2011-06-08 | 长春吉大正元信息技术股份有限公司 | 分布式授权管理***及其实现方法 |
| CN102447677A (zh) * | 2010-09-30 | 2012-05-09 | 北大方正集团有限公司 | 资源访问控制方法、***和设备 |
| CN102447677B (zh) * | 2010-09-30 | 2015-05-20 | 北大方正集团有限公司 | 资源访问控制方法、***和设备 |
| CN102868525A (zh) * | 2011-07-04 | 2013-01-09 | 航天信息股份有限公司 | 基于数字证书的授权管理方法 |
| CN102438019A (zh) * | 2011-12-22 | 2012-05-02 | 中国电子科技集团公司第十五研究所 | 业务信息***访问权限控制方法及*** |
| CN103312675A (zh) * | 2012-03-13 | 2013-09-18 | 中国科学院软件研究所 | 一种面向属性保护的数字身份服务方法及其*** |
| CN103312675B (zh) * | 2012-03-13 | 2016-05-18 | 中国科学院软件研究所 | 一种面向属性保护的数字身份服务方法及其*** |
| CN102761555B (zh) * | 2012-07-26 | 2014-11-19 | 郑州信大捷安信息技术股份有限公司 | 基于访问历史的强制访问控制***及控制方法 |
| CN102761555A (zh) * | 2012-07-26 | 2012-10-31 | 郑州信大捷安信息技术股份有限公司 | 基于访问历史的强制访问控制***及控制方法 |
| CN102902898A (zh) * | 2012-09-21 | 2013-01-30 | 中国科学院信息工程研究所 | 多维数字媒体的资源使用控制方法及装置 |
| CN104811430A (zh) * | 2014-01-29 | 2015-07-29 | 莘翔四海(北京)科技有限公司 | 权限处理方法及装置 |
| CN104811430B (zh) * | 2014-01-29 | 2019-12-10 | 北京百度网讯科技有限公司 | 权限处理方法及装置 |
| CN105187207A (zh) * | 2014-06-20 | 2015-12-23 | 北京新媒传信科技有限公司 | 权限认证的方法和装置 |
| CN104566822A (zh) * | 2014-12-26 | 2015-04-29 | 珠海格力电器股份有限公司 | 空调机组管理*** |
| CN104566822B (zh) * | 2014-12-26 | 2018-10-23 | 珠海格力电器股份有限公司 | 空调机组管理*** |
| CN106203054B (zh) * | 2015-05-28 | 2019-08-02 | 株式会社理光 | 信息处理***、信息处理装置和电子证书管理方法 |
| CN106203054A (zh) * | 2015-05-28 | 2016-12-07 | 株式会社理光 | 信息处理***、信息处理装置和电子证书管理方法 |
| CN106452774A (zh) * | 2015-08-07 | 2017-02-22 | 百度在线网络技术(北京)有限公司 | 基于单点登录协议进行访问权限控制的方法和装置 |
| CN106452774B (zh) * | 2015-08-07 | 2020-07-10 | 百度在线网络技术(北京)有限公司 | 基于单点登录协议进行访问权限控制的方法和装置 |
| CN105490855A (zh) * | 2015-12-11 | 2016-04-13 | 北京元心科技有限公司 | 移动终端及其配置方法 |
| CN105490855B (zh) * | 2015-12-11 | 2019-07-26 | 北京元心科技有限公司 | 移动终端及其配置方法 |
| CN105430013A (zh) * | 2015-12-28 | 2016-03-23 | 中国农业银行股份有限公司 | 一种信息访问控制方法及*** |
| CN105430013B (zh) * | 2015-12-28 | 2019-06-28 | 中国农业银行股份有限公司 | 一种信息访问控制方法及*** |
| CN107104930A (zh) * | 2016-02-23 | 2017-08-29 | 腾讯科技(深圳)有限公司 | 一种设置查看权限的方法、装置和*** |
| WO2019007338A1 (zh) * | 2017-07-04 | 2019-01-10 | 成都牵牛草信息技术有限公司 | 基于表单时间性质字段的表单授权方法 |
| CN109246143A (zh) * | 2018-10-29 | 2019-01-18 | 航天信息股份有限公司 | 基于数字证书的身份认证的方法、装置和存储介质 |
| CN110717153A (zh) * | 2019-09-30 | 2020-01-21 | 新华三大数据技术有限公司 | 一种权限验证方法和装置 |
| CN110717153B (zh) * | 2019-09-30 | 2021-08-24 | 新华三大数据技术有限公司 | 一种权限验证方法和装置 |
| CN111083103A (zh) * | 2019-10-30 | 2020-04-28 | 华迪计算机集团有限公司 | 一种数据共享交换方法及*** |
| CN110826088A (zh) * | 2019-11-13 | 2020-02-21 | 国网浙江省电力有限公司宁波供电公司 | 一种t-rbacg的访问控制模型构建方法 |
| CN113765668A (zh) * | 2020-06-03 | 2021-12-07 | 广州汽车集团股份有限公司 | 一种车辆数字证书在线安装方法及车辆数字证书管理装置 |
| CN112765591A (zh) * | 2021-02-01 | 2021-05-07 | 深圳前海微众银行股份有限公司 | 权限的管理方法、装置、***及计算机可读存储介质 |
| CN112765591B (zh) * | 2021-02-01 | 2024-01-16 | 深圳前海微众银行股份有限公司 | 权限的管理方法、装置、***及计算机可读存储介质 |
| CN115426122A (zh) * | 2021-05-31 | 2022-12-02 | 华为技术有限公司 | 基于权限适配的访问控制方法、相关装置及*** |
| CN114139128A (zh) * | 2021-11-05 | 2022-03-04 | 苏州浪潮智能科技有限公司 | 一种***资源访问方法,装置及介质 |
| CN114139128B (zh) * | 2021-11-05 | 2024-03-08 | 苏州浪潮智能科技有限公司 | 一种***资源访问方法,装置及介质 |
| CN116933300A (zh) * | 2023-09-18 | 2023-10-24 | 云账户技术(天津)有限公司 | 一种面向用户权限的熔断管理方法、装置及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101640687A (zh) | 一种权限管理***及方法 | |
| Wolfond | A blockchain ecosystem for digital identity: improving service delivery in Canada’s public and private sectors | |
| Maroufi et al. | On the convergence of blockchain and internet of things (iot) technologies | |
| CN102307185B (zh) | 适用于存储云内的数据隔离方法 | |
| RU2269156C2 (ru) | Способ и устройство уведомления о правилах | |
| CN109831327A (zh) | 基于大数据分析的ims全业务网络监视智能化运维支撑*** | |
| CN108961475A (zh) | 一种门禁部署方法及门禁部署服务器 | |
| CN112463843A (zh) | 基于区块链和数据资源目录的电网数据共享方法及*** | |
| WO2019041804A1 (zh) | 理赔订单的个性化审核方法、装置、存储介质及终端 | |
| JP2013242886A (ja) | 論理的ならびに物理的セキュリティーに関連するアプリケーションデータ | |
| US20220014621A1 (en) | Systems and methods for blockchain wireless services in a controlled environment | |
| CN109743321B (zh) | 区块链、应用程序、应用程序的用户认证方法及*** | |
| CN103442354A (zh) | 一种移动警务终端安全管控*** | |
| CN101951377A (zh) | 分层授权管理方法和装置 | |
| CN102088360A (zh) | 分布式授权管理***及其实现方法 | |
| CN103312675A (zh) | 一种面向属性保护的数字身份服务方法及其*** | |
| CN109462570B (zh) | 基于区块链的跨云平台的计算***及应用其的计算方法 | |
| CN103916267B (zh) | 三层结构的网络空间身份管理*** | |
| CN108960788A (zh) | 一种用于物业服务体系的高可靠性一卡通平台 | |
| Balasubramaniam et al. | Identity management and its impact on federation in a system-of-systems context | |
| CN112330283A (zh) | 一种基于区块链的智能管理方法以及智能管理节点 | |
| CN110866855A (zh) | 一种基于区块链的证照颁发及安全管理*** | |
| CN114257460B (zh) | 一种适用于服务区智能化管理的云架构数据共享方法 | |
| Fgee et al. | E-government in Libya: Constraints, potentials and implementation | |
| JPH11110456A (ja) | 電子商取引システムの論理構造 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100203 |