[发明专利]一种分布式企业认证鉴权方法、系统及嵌入终端

说明书

技术领域

本发明涉及信息安全与认证领域，尤其涉及分布式企业认证鉴权方法、系统及嵌入终端。

背景技术

现有的分布式身份管理和认证一般有两种方法：

第一种是使用用户名和密码进行身份管理和认证。进行身份认证时，客户端对用户输入的PIN(个人身份识别码)等信息使用对称密钥技术进行加密，服务端使用相同的对称密钥对加密数据进行解密认证。这种方法存在一个极大的安全隐患，就是一旦对称密钥被破解或遗失，则整个认证就是不安全的，给用户带来麻烦甚至造成不可挽回的损失；另外，对称密钥的交换也只能通过线下进行，不太方便。

由于上述方法存在极大的安全隐患，近年来出现了第二种方法：使用PKI(Public Key Infrastructure，公钥基础措施)体系的身份管理和认证方法。

使用这种方法进行身份认证时，客户端使用所保存的用户私钥对用户输入的PIN(个人身份识别码)等信息进行签名，服务端使用用户公钥对签名数据进行认证。这种方法有一定的架构缺陷，因为没有集中式认证做后盾，分布式身份管理和认证均处于独立的游离状态。对于同一个用户而言，登陆多个业务系统时，需要多个不同的用户数字身份，增加了用户业务操作的复杂性，也增加了企业的应用和管理成本。

发明内容

本发明实施例所要解决的技术问题在于，提供一种分布式企业认证鉴权方法、系统及嵌入终端，解决用户在多个业务系统中不同数字身份登陆的问题。

为了解决上述技术问题，本发明实施例提供了一种分布式企业认证鉴权方法，包括：

分布式认证鉴权平台通过集中式认证鉴权平台获取并保存用户数字证书；

业务平台向分布式认证鉴权平台发送认证和鉴权请求信息；

分布式认证鉴权平台根据所述用户数字证书对所述认证和鉴权请求信息进行身份认证，认证通过后，根据预存的权限设置情况进行业务鉴权逻辑处理，并向所述业务平台返回结果；

所述业务平台根据所述结果进行业务逻辑处理。

其中，分布式认证鉴权平台通过集中式认证鉴权平台获取并保存用户数字证书的步骤包括：

分布式认证鉴权平台记录用户信息，并向集中式认证鉴权平台发送所述用户信息和用户数字证书请求信息；

集中式认证鉴权平台根据所述用户信息查找用户数字证书，当找到时返回所述用户数字证书；当没有找到时，判断用户信息符合要求后向CA中心获取用户数字证书并返回所述用户数字证书；

分布式认证鉴权平台保存所述用户信息及其对应的用户数字证书。

其中，所述认证和鉴权请求信息包括用户信息以及采用用户数字证书中的私钥生成的数字签名。

其中，分布式认证鉴权平台根据所述用户数字证书对所述认证和鉴权请求信息进行身份认证步骤包括：

分布式认证鉴权平台接收所述认证和鉴权请求信息；

分布式认证鉴权平台根据所述用户信息查找对应的用户数字证书，所述用户数字证书包括公钥；

分布式认证鉴权平台采用查找到的对应的用户数字证书中的公钥，对所述数字签名进行验签。

其中，所述用户信息包括用户姓名，用户电话号码，用户身份证件号码以及用户ID码中的一种或多种。

相应地，本发明实施例还提供了一种分布式企业认证鉴权系统，包括服务器和至少一个终端，其特征在于：

所述终端包括一个以上业务系统，所述业务系统用于当用户访问所述业务系统时向所述服务器发送认证和鉴权请求信息；

所述服务器，用于当接收到来自所述业务系统的认证和鉴权请求信息时，对所述认证和鉴权请求信息进行身份认证，认证通过后，根据预存的权限设置情况进行业务鉴权逻辑处理，并向所述业务系统返回结果。

其中，所述服务器包括：用户管理模块，认证鉴权模块，系统管理模块以及门户管理模块；

所述用户管理模块，用于管理用户信息，以及用户与业务系统的访问权限关系；

所述认证鉴权模块，用于对用户进行身份认证和业务鉴权；

所述系统管理模块，用于对认证鉴权模块提供基础支撑技术，包含操作员管理、权限管理、配置管理；

所述门户管理模块，用于对需要界面操作的各个模块提供界面化操作能力，所述需要界面操作的各个模块包括但不限于所述用户管理模块和所述系统管理模块。

进一步的，所述服务器还包括统计分析模块和业务管理模块；

所述业务管理模块用于管理企业提供的业务，对新增的业务提供审核、上线机制；