[发明专利]一种基于软件数字证书安全的权限发布获取控制方法

权利要求书

1.一种基于软件数字证书安全的权限发布获取控制方法，其特征在于，包括如下步骤：

(1)权限构造点安装服务器证书，根据设备信息生成证书请求，通过证书请求向CA认证中心请求签发设备证书，并将返回的设备证书导入到权限构造点；

(2)权限执行点安装服务器证书，根据设备信息生成证书请求，通过证书请求向CA认证中心请求签发设备证书，并将返回的设备证书导入到权限执行点；

(3)权限构造点生成用户访问应用的授权信息，并且通过权限执行点的服务器证书对授权信息进行数据加密，并通过权限构造点的服务器证书对数据进行数字签名；

(4)权限构造点把用户基础信息、应用地址信息、访问应用的授权加密信息、数字签名消息，封装后发布到权限发布点中；

(5)权限执行点在用户访问应用时，验证用户的有效性，验证通过后，使用用户的基础信息和访问的应用地址信息到权限发布点去获取用户访问应用的权限信息；

(6)权限执行点获取用户权限信息，通过自身的服务器证书解密权限信息，并且通过权限构造点的服务器证书对授权信息进行验证签名，签名验证通过，权限信息解密成功，判断用户是否有访问应用的权限，成功获取把用户信息和权限信息一起封装给应用系统，用户成功访问；如果验证失败、解密失败或无权限访问，则判定用户无法访问应用系统；

所述步骤(4)中把用户基础信息、应用的地址信息、访问应用的授权加密信息、数字签名消息封装成消息发布包，并且发布到权限发布点LDAP中；

所述步骤(5)中判断获取过程包含两部分：

(5-1)验证用户的基础信息，包含验证用户证书的有效性，包含证书是否受信任，是否已经被废除，或者用户的基础信息是否完整，访问地址是否正确；

(5-2)通过用户的基础信息和访问应用地址信息到权限发布点获取用户权限信息；

所述步骤(6)中验证解密权限访问应用过程：

(6-1)获取权限构造点的数字签名，通过权限构造点的服务器证书验正签名的准确性；

(6-2)获取权限构造点发布的加密授权信息，通过权限执行点的服务器证书解密授权信息，得到原文数据；

(6-3)通过解密的用户授权信息，验证用户是否有访问应用的权限，没有则直接返回失败；

(6-4)如果验证成功，并且授权信息有效，则直接把授权信息和用户信息传送给应用系统，协助用户访问应用系统。

2.根据权利要求1所述的一种基于软件数字证书安全的权限发布获取控制方法，其特征在于，所述步骤(1)和(2)中在生成证书请求时所生成的公私钥包括RSA密钥，ECC密钥。

3.根据权利要求1所述的一种基于软件数字证书安全的权限发布获取控制方法，其特征在于，所述步骤(1)和(2)中证书请求格式包括pkcs10格式的证书请求。

4.根据权利要求1所述的一种基于软件数字证书安全的权限发布获取控制方法，其特征在于，所述步骤(1)和(2)中软件数字证书包括符合X509格式的证书。

5.根据权利要求1所述的一种基于软件数字证书安全的权限发布获取控制方法，其特征在于，所述步骤(3)中证书签名包括SHA1WITHRSA、SM3WITHSM2。

6.根据权利要求1所述的一种基于软件数字证书安全的权限发布获取控制方法，其特征在于，所述步骤(3)中证书加密包括RSA密钥、ECC密钥；数据对称加密包括AES、SM4、SM1。