[发明专利]一种跨域权限管理系统及方法

权利要求书

1.一种跨域权限管理系统，其特征在于，包括身份认证模块、权限确认模块、数据库、多个应用系统以及对应于每一应用系统而设置在其前端的前端代理模块，其中

所述前端代理模块用于在用户和应用系统之间、应用系统和身份认证模块之间以及应用系统和权限确认模块之间建立数据传输通道，以进行数据交互；

所述身份认证模块支持多个认证机构颁发的身份证书，用于对试图访问所述应用系统的用户进行身份认证，并将用户身份认证结果传输至所述前端代理模块；

所述权限确认模块面向整个跨域权限管理系统中的全部应用系统，用于根据来自前端代理模块的用户权限查询请求和数据库中存储的相关数据来确认用户对于该应用系统的访问权限，并将确认后的用户访问权限传输至前端代理模块，以便所述前端代理模块确定用户是否能够访问该应用系统；以及

所述数据库用于存储与所述用户、所述多个认证机构和所述多个应用系统有关的数据。

2.根据权利要求1所述的跨域权限管理系统，其特征在于，所述身份认证模块包括认证服务接口、证书认证单元和认证机构管理单元，其中

所述认证服务接口用于将来自该身份认证模块外部的用户身份认证请求及相关信息传输至证书认证单元，以及将来自证书认证单元的用户身份认证结果向该身份认证模块外部传输；

所述证书认证单元用于根据来自认证服务接口的用户身份认证请求而向认证机构管理单元发送查找认证机构的请求，以及在认证机构管理单元确认该用户身份证书是由该身份认证模块所支持的认证机构颁发后，对该用户身份证书进行认证，并将认证结果传输至所述认证服务接口；以及 

所述认证机构管理单元根据所述查找认证机构的请求以及数据库中存储的相关数据而确认所述用户身份证书是否为该身份认证模块支持的认证机构所颁发的证书，并将结果传输至所述证书认证单元。

3.根据权利要求2所述的跨域权限管理系统，其特征在于，所述认证机构管理单元还执行下述操作：添加认证机构、和/或删除认证机构、和/或对认证机构信息进行删除、添加和查看。

4.根据权利要求2所述的跨域权限管理系统，其特征在于，所述认证机构管理单元还进行下述设置：为每一个认证机构设置根证书、设置是否校验证书状态、设置证书校验方式以及设置证书废除列表管理和在线证书状态协议服务信息管理功能。

5.根据权利要求2所述的跨域权限管理系统，其特征在于，所述认证机构管理单元根据用户身份证书中所包含的认证机构密钥标识符和/或认证机构DN来确认颁发所述用户身份证书的认证机构。

6.根据权利要求2所述的跨域权限管理系统，其特征在于，所述证书认证单元对所述用户身份证书进行认证具体包括：对用户身份证书进行证书有效性验证、证书合法性验证和证书状态的验证。

7.根据权利要求6所述的跨域权限管理系统，其特征在于，所述权限确认模块包括查询服务接口、权限识别单元和应用管理单元，其中

所述查询服务接口用于在前端代理模块和权限识别单元之间建立数据传输通道，以将来自所述前端代理模块的用户权限查询请求及相关信息传输至所述权限识别单元，以及将来自权限识别单元的用户权限查询结果传输至前端代理模块；

所述权限识别单元用于根据来自所述查询服务接口的用户权限查询请求和目标URL而向应用管理单元发送查找应用信息的请求， 以及根据由应用管理单元所确定的应用信息而对用户针对该应用的属性权限进行识别，而后将与用户权限信息传输至所述查询服务接口；

所述应用管理单元根据所述查找应用信息的请求以及数据库中的相关存储数据而确定与该应用相关的信息，并将该应用信息传输至所述权限识别单元，以便权限识别单元使用该应用信息而对用户针对该应用的属性权限进行识别。