[发明专利]授权管理系统及其实现方法

说明书

技术领域

本发明涉及信息安全技术领域，具体地，涉及一种授权管理系统及其实现方法。

背景技术

随着政府、企业信息化程度的提高，应用系统数量逐步增长。在用户数量非常大、地域分步比较广、应用系统数量多的情况下，应用系统的授权成为一件非常棘手的问题。在一个大的政府或者企事业单位，经常会出现如下情况：某一员工已经离职，还能正常访问一些很重要的应用系统；某一个员工职位已经发生变动，应用系统中仍对应旧的权限；由于临时的业务需要，在某应用系统中为外地的某人注册了账号并开放了应用权限，但是忘记及时收回造成关键信息泄露；虽然所有应用都在自己的机房内，可主管信息化的决策者确无法方便的拿到各个应用系统权限授予情况。如何能够统一解决资源的有效共享、如何及时、快速、有效的管理用户的访问权限，成为摆在应用系统发展的决策者、业务管理者面前的一道难题。

针对用户的统一认证授权和安全访问控制，目前也提出了非常多的解决方案：

(1)、专利申请CN 200710191525.8(申请日：2007.12.12，名称：基于数字证书和多级域下的统一身份管理和认证方法)中公开了一种基于数字证书和多级域下的统一身份管理和认证方法，首先进行用户身份维护；采用定时与人力资源系统进行用户身份信息同步；通过人工维护方式，完成用户数据信息的管理；用户身份信息同步到域；将用户身份信息通过标准的LDAP协议，按照用户所属单位同步到相应的AD子域中；实现用户认证。本发明可以通过用户单点登录即可实现对多个业务系统的访问，但不能解决用户在多个业务系统中的统一权限管理问题。

(2)、专利申请CN 200610076491.3(申请日：2006.04.26，名称：信息系统或设备的安全防护系统及其工作方法)、CN 200810040672.X(申请日：2008.07.17，名称：基于数字证书技术的系统用户访问管理系统及方法)、CN 200810040674.9(申请日：2008.07.17，名称：一种基于数字证书技术的信息系统的访问控制方法及装置)、CN 200620100455.1(申请日：2006.01.18，名称：一种网络安全认证授权系统)和CN 200710147233.4(申请日：2007.08.30，名称：分布式业务运营支撑系统和分布式业务的实现方法)都公开了一种对登录用户进行身份认证、并在通过认证后获取其相应的访问权限的技术方案，但这些技术方案中缺乏用户权限信息的安全管理，不能有效避免人为篡改的可能性，并且所支持的用户数量有限，不能解决大量用户(特别是数量众多且不在系统内注册的用户)的统一授权和安全访问控制问题。

浙江大学的专利申请CN 200810062264.4(申请日：2008.06.17，名称：基于PKI和PMI的Web服务安全控制机制)中公开了一种基于PKI和PMI的Web服务安全控制机制。其包括PKI、PMI和Web服务安全系统，用户通过PKI系统申请身份证书，再根据身份证书去PMI系统申请属性证书，属性证书将用户的身份关联到一个或多个角色上，PMI系统预定义的策系统申请属性证书，属性证书将用户的身份关联到一个或多个角色上，PMI系统预定义的策略证书将角色绑定到一个或多个Web服务上去，用户使用Web服务时，Web安全系统帮助PKI系统检查身份证书的合法性，再帮助PMI系统检查用户是否有权限调用该Web服务，当所有检查都通过时，允许用户访问Web服务，以实现安全的Web服务调用。本发明中用户使用身份证书申请属性证书，并指定所申请的角色，由管理员审核后获得相应的属性证书，权限、角色的赋予主要针对用户的个人申请，不能对群体用户的权限和角色进行定义，所支持的用户数量有限，不能支持数量众多且不在系统内注册的用户。

以上技术方案都存在的缺点是，不能对大量的用户群体(特别是数量众多且不在系统内注册的用户群体)进行授权，并将所述授权信息以属性证书的可靠形式发布，从而实现多个应用系统的统一用户授权管理和安全访问控制。