[发明专利]一种控制访问权限的系统、认证服务器和方法

权利要求书

1.一种控制访问权限的系统，其特征在于，包括：认证服务器、访问服务器和服务器集群；其中，

认证服务器，用于将全部的用户信息存储在预先建立的数据库中；将全部的用户权限按层次树状结构存储在轻量目录访问协议LDAP目录中；当接收到访问服务器发送的用户信息时，判断接收到的用户信息是否是认证用户；当判断出接收到的用户信息是认证用户时，在LDAP目录中查找与该用户信息对应的用户权限并根据查找到的用户权限生成用户凭据；将生成的用户凭据发送给访问服务器与服务器集群；

访问服务器，用于将用户输入的用户信息发送给认证服务器；接收认证服务器发送的用户凭据；根据接收到的用户凭据与服务器集群进行数据交互；

服务器集群，用于接收到来自认证服务器发送的用户凭据，对该用户开放与该用户凭据对应的用户权限以与访问服务器进行数据交互。

2.根据权利要求1所述的系统，其特征在于，所述用户信息包括：用户名和口令；

所述认证服务器中用于将全部的用户信息存储在预先建立的数据库中包括：

采用预先部署的网络认证协议Kerberos服务Service分别对每个用户的用户名和口令进行加密；

将加密后的每个用户的用户名和口令对应存储在所述预先建立的数据库中。

3.根据权利要求2所述的系统，其特征在于，所述认证服务器中用于判断接收到的用户信息是否是认证用户包括：

采用所述预先部署的Kerberos Service对接收到的用户名和口令进行加密；

将对接收到的加密后的用户名和口令与已存储在所述预先建立的数据库中的加密后的用户名和口令进行比较；

当所述对接收到的加密后的用户名和口令与所述已存储在所述预先建立的数据库中的加密后的用户名和口令中的某一加密后的用户名和口令一致时，判断出接收到的用户信息是认证用户；

当所述对接收到的加密后的用户名和口令与所述已存储在所述预先建立的数据库中的加密后的用户名和口令中的任一加密后的用户名和口令均不一致时，验证出接收到的用户信息不是认证用户。

4.根据权利要求1所述的系统，其特征在于，所述认证服务器通过预先部署的LDAP服务Service将所述全部的用户权限按层次树状结构存储在LDAP目录中。

5.一种认证服务器，其特征在于，包括：密码管理单元、权限管理单元、收发单元、认证单元和处理单元；其中，

密码管理单元，用于将全部的用户信息存储在预先建立的数据库中；

权限管理单元，用于将全部的用户权限按层次树状结构存储在轻量目录访问协议LDAP目录中；

收发单元，用于当接收到访问服务器发送的用户信息时，将接收到的用户信息发送给认证单元；将生成的用户凭据发送给访问服务器和集群服务器；

认证单元，用于判断接收到的用户信息是否是认证用户；当判断出接收到的用户信息是认证用户时，通知处理单元；

处理单元，用于接收到来自匹配单元发送的通知，在LDAP目录中查找与该用户信息对应的用户权限并根据查找到的用户权限生成用户凭据。

6.根据权利要求5所述的认证服务器，其特征在于，所述用户信息包括：用户名和口令；

所述密码管理单元，具体用于：

采用预先部署的网络认证协议Kerberos服务Service分别对每个用户的用户名和口令进行加密；

将加密后的每个用户的用户名和口令对应存储在所述预先建立的数据库中。

7.根据权利要求6所述的认证服务器，其特征在于，所述认证单元中用于判断接收到的用户信息是否是认证用户包括：

采用所述预先部署的Kerberos Service对接收到的用户名和口令进行加密；

将对接收到的加密后的用户名和口令与已存储在所述预先建立的数据库中的加密后的用户名和口令进行比较；

当所述对接收到的加密后的用户名和口令与所述已存储在所述预先建立的数据库中的加密后的用户名和口令中的某一加密后的用户名和口令一致时，判断出接收到的用户信息是认证用户；

当所述对接收到的加密后的用户名和口令与所述已存储在所述预先建立的数据库中的加密后的用户名和口令中的任一加密后的用户名和口令均不一致时，验证出接收到的用户信息不是认证用户。