[发明专利]基于角色的Web远程认证与授权方法及系统

说明书

技术领域

本发明涉及认证与授权方法及系统，特别是基于角色的访问控制和基于Web相结合的远程认证与授权方法及系统。

背景技术

为了保证信息安全，目前已有身份认证技术，访问控制技术，信息加密技术和数字签名技术等。

身份认证技术已经出现了很多种，有基于口令（即用户名和密码）的认证、X.509证书、智能卡、全球唯一标识码等认证技术。

访问控制是通过某种途径显式的准许或限制访问权力以及范围的一种方法。访问控制通过控制用户访问的范围、功能、模块等，使系统提供的服务不被非法使用。访问控制主要包括自主访问控制、强制访问控制和基于角色的访问控制等三种策略。其中基于角色的访问控制（基于角色的访问控制（RBAC）是实施面向企业安全策略的一种有效的访问控制方式。其基本思想是，对系统操作的各种权限不是直接授予具体的用户，而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后，该用户就拥有此角色的所有操作权限。这样做的好处是，不必再每次创建用户时都进行分配权限的操作，只要分配用户相应的角色即可，而且角色的权限变更比用户的权限变更要少得多，这样将简化用户的权限管理，减少系统的开销。）是近年来兴起的新型访问控制技术，由美国国家标准化和技术委员会等提出来的。自主访问控制的灵活性高但是安全性低；强制访问控制安全性高但是限制太强；基于角色的访问控制两者兼具，不仅易于管理而且降低了复杂性、成本和发生错误的概率，因而近年来得到了极大的发展。

信息加密技术近年来出现了对称加密技术，不对称加密技术，会话密钥加密，是目前加密文件的常用方法。

认证是保证系统安全的重要一部分，不仅保证本软件的安全，还需要保证操作系统本身的安全。尽管以上提到的现有的这些技术和方法一定程度上能够满足用户对认证的需求，但是仍然存在以下问题：

1）目前现有的全球唯一标识码认证技术，都是在本机采集特征码，还没有基于Web的特征码提取技术，无法满足用户远程提取特征码的需求。

2）目前现有的认证技术中，很少有Web认证、全球唯一标识码认证技术与基于角色的访问控制相结合的认证系统。这样的话，如果仅使用当前的Web认证系统进行认证，一旦Web认证系统失去作用，用户将无法访问服务器的资源。

3）目前还没有针对资源做动态多级认证的技术，无法满足用户对多级动态认证技术的需求。

发明内容

鉴于现有认证方法中的上述不足之处。本发明提供安全有效的、基于角色的动态Web认证与授权方法，结合全球唯一标识码，以及系统本身的PAM认证相结合的混合认证方式，以期解决现有技术中的上述不足，提高Web认证的灵活性和安全性。

本发明的一目的是提供基于角色的Web动态认证与授权的技术和全球唯一标识码认证技术、系统PAM认证混合的认证技术。即使在Web认证失去作用时，还可以由服务器提供PAM认证来访问较低级别的资源，克服了一旦Web认证系统失去作用，用户将无法访问服务器的资源的缺陷。但此时由于服务器不能够提供高一级的认证，用户不能访问敏感资源。

本发明实现这样一个混合认证与授权系统的总体构思是，对资源进行敏感程度等级划分，同时对角色的定义进行处理，并且也需要对Web认证系统进行是否能够提供服务进行判断，如果不能提供服务，则直接进行系统已有的PAM认证。这样设计，相对于传统的基于角色的认证与授权，增加了对角色进行定义的逻辑复杂度。

本发明另一目的在于，提供一种多级认证的结构，将系统的资源进行分级，一般资源通过口令（即用户名和密码）认证，等级高的资源访问，需要进一步动态的提供高级的认证技术，如全球唯一识别码认证（如生物特征码或者硬件唯一特征码认证）。而且，该认证的技术和等级可以根据角色动态的调整。具体来说，当用户访问某些功能时，根据这个功能的敏感程度进行分级。当敏感度比较低的时候，只需要认证口令（即用户名和密码）即可。根据敏感度的深入，需要提供全球唯一标识码（如生物特征码或者硬件唯一特征码）。

本发明又一目的在于本发明提供基于Web的全球唯一识别码的提取技术，满足用户远程提取特征码的需求。该部分功能包括：响应服务器需要提供进一步验证的请求；在浏览器中对全球唯一识别码特征码的提取；通过浏览器对提取到的特征码进行加密；将加密的数据通过POST方式发送给服务器；得到服务器的认证结果；根据得到的结果，是否允许用户下一步操作。