[发明专利]一种跨域权限管理系统及方法

说明书

技术领域

本发明涉及信息安全技术，具体而言，涉及一种跨域的用户权限管理系统及相关方法。 

背景技术

随着社会与经济的高速发展，计算机网络发挥着越来越重要的作用，例如各类公司、政府机关已逐渐建立起多应用、多服务的IT架构。通常来说，目前所使用的各类应用、服务系统是由不同的开发商在不同时期采用不同的技术建设的，如：邮件系统、政府内部办公系统、公文管理系统、呼叫系统、GIS系统等。在这些应用系统中，由于系统的基础构架、编码方式、应用资源类型等不同，而使得大多数应用系统都采用自成一体的身份认证、用户管理、授权管理系统，然而这样会限制各类应用系统之间的信息共享和信息交换，形成的信息孤岛。尤其是身份认证技术的快速发展，各地CA(Certificate Authority，认证机构，其核心职能是发放和管理用户的数值证书)可为当地的各类应用系统发放由各自所认定的数字身份证书，然而这些数字证书并不通用，也不能进行相互认证，这样便产生了这样的情形：即，虽然可确保信息资源安全，但是在无形中却加大了各个应用系统之间的壁垒，使得各个应用系统变得更加独立。 

由上可知，每一个CA在其所管辖的领域范围内是所有用户的身份合法性权威，而在另一个领域内则不具有这种权威效力，所以不同的领域范围都有不同的CA作为用户身份的合法性权威。目前，应用系统会信任自己所在领域内的CA为最终用户所颁发的证书，所以这些最终用户可以使用该CA为其颁发的证书来登录该应用系统，这样便使得不同的应用系统都只信任自己所在领域范围内的CA所颁 发的证书。然而在实际应用中，对于普通用户来说存在同时访问不同领域范围的应用系统的需要。 

基于此，本领域的技术人员提出了跨域权限管理的课题。目前所采用的跨域权限管理通常包括下述方式：一种方式是让每个应用系统去支持更多其它领域的CA；另一种方式是使用交叉认证解决用户跨域访问的问题。但是在实际应用中，这两种方式都存在下述缺点：即，实现难度大、难以管理，并且流行的应用容器均不提供支持等，这极大地增大了系统的开发难度。 

为此，一个新的课题就摆在本领域技术人员的面前：即，如何构建一个权限管理系统，使其既支持多CA认证机构又支持多应用系统。 

发明内容

为解决上述问题，本发明提供一种跨域权限管理系统和跨域权限管理方法，其能够实现跨越信任域和应用域的权限管理，并使其中的应用系统能够拥有足够的适应性和拓展性，同时可提高用户访问效率。 

为此，本发明提供一种跨域权限管理系统，其包括身份认证模块、权限确认模块、数据库、多个应用系统以及对应于每一应用系统而设置在其前端的前端代理模块。其中，所述前端代理模块用于在用户和应用系统之间、应用系统和身份认证模块之间以及应用系统和权限确认模块之间建立数据传输通道，以进行数据交互；所述身份认证模块支持多个认证机构颁发的身份证书，用于对试图访问所述应用系统的用户进行身份认证，并将用户身份认证结果传输至所述前端代理模块；所述权限确认模块面向整个跨域权限管理系统中的全部应用系统，用于根据来自前端代理模块的用户权限查询请求和数据库中存储的相关数据来确认用户对于该应用系统的访问权限，并将确认后的用户访问权限传输至前端代理模块，以便所述前端代理模块确定用户是否能够访问该应用系统；以及所述数据库用于存储与所述用户、所述多个认证机构和所述多个应用系统有关的数据。 

其中，所述身份认证模块包括认证服务接口、证书认证单元和认证机构管理单元。所述认证服务接口用于将来自该身份认证模块外部的用户身份认证请求及相关信息传输至证书认证单元，以及将来自证书认证单元的用户身份认证结果向该身份认证模块外部传输；所述证书认证单元用于根据来自认证服务接口的用户身份认证请求而向认证机构管理单元发送查找认证机构的请求，以及在认证机构管理单元确认该用户身份证书是由该身份认证模块所支持的认证机构颁发后，对该用户身份证书进行认证，并将认证结果传输至所述认证服务接口；以及所述认证机构管理单元根据所述查找认证机构的请求以及数据库中存储的相关数据而确认所述用户身份证书是否为该身份认证模块支持的认证机构所颁发的证书，并将结果传输至所述证书认证单元。 

其中，所述认证机构管理单元还执行下述操作：添加认证机构、和/或删除认证机构、和/或对认证机构信息进行删除、添加和查看。 

其中，所述认证机构管理单元还进行下述设置：为每一个认证机构设置根证书、设置是否校验证书状态、设置证书校验方式以及设置证书废除列表管理和在线证书状态协议服务信息管理功能。