基於目錄服務的授權管理系統及其實現方法

2023-09-21 09:10:20 1

專利名稱：基於目錄服務的授權管理系統及其實現方法
技術領域：
本發明涉及信息安全技術領域，具體地，涉及一種基於目錄服務的授權管理系統 及其實現方法。
背景技術：
隨著政府、企業信息化程度的提高，應用系統數量逐步增長。在用戶數量非常大、 地域分步比較廣、應用系統數量多的情況下，應用系統的授權成為一件非常棘手的問題。在 一個大的政府或者企事業單位，經常會出現如下情況某一員工已經離職，還能正常訪問一 些很重要的應用系統；某一個員工職位已經發生變動，應用系統中仍對應舊的權限；由於 臨時的業務需要，在某應用系統中為外地的某人註冊了帳號並開放了應用權限，但是忘記 及時收回造成關鍵信息洩露；雖然所有應用都在自己的機房內，可主管信息化的決策者確 無法方便的拿到各個應用系統權限授予情況。如何能夠統一解決資源的有效共享、如何及 時、快速、有效的管理用戶的訪問權限，成為擺在應用系統發展的決策者、業務管理者面前 的一道難題。針對用戶的統一認證授權和安全訪問控制，目前也提出了非常多的解決方案(1)、專利申請CN 200710191525.8(申請日:2007. 12. 12，名稱基於數字證書和 多級域下的統一身份管理和認證方法)中公開了一種基於數字證書和多級域下的統一身 份管理和認證方法，首先進行用戶身份維護；採用定時與人力資源系統進行用戶身份信息 同步；通過人工維護方式，完成用戶數據信息的管理；用戶身份信息同步到域；將用戶身份 信息通過標準的LDAP協議，按照用戶所屬單位同步到相應的AD子域中；實現用戶認證。本 發明可以通過用戶單點登錄即可實現對多個業務系統的訪問，但不能解決用戶在多個業務 系統中的統一權限管理問題。(2)、專利申請CN 200610076491. 3 (申請日:2006. 04. 26，名稱信息系統或 設備的安全防護系統及其工作方法)、CN 200810040672. X (申請日2008.07. 17，名 稱基於數字證書技術的系統用戶訪問管理系統及方法)、CN 200810040674.9(申請 日2008.07. 17，名稱一種基於數字證書技術的信息系統的訪問控制方法及裝置)、 CN 200620100455. 1(申請日2006. 01. 18，名稱一種網絡安全認證授權系統)和CN 200710147233.4(申請日2007.08. 30，名稱分布式業務運營支撐系統和分布式業務的實 現方法)都公開了一種對登錄用戶進行身份認證、並在通過認證後獲取其相應的訪問權限 的技術方案，但這些技術方案中缺乏用戶權限信息的安全管理，不能有效避免人為篡改的 可能性，並且所支持的用戶數量有限，不能解決大量用戶(特別是數量眾多且不在系統內 註冊的用戶)的統一授權和安全訪問控制問題。浙江大學的專利申請CN 200810062264. 4(申請日2008.06. 17，名稱基於PKI 和PMI的Web服務安全控制機制)中公開了一種基於PKI和PMI的Web服務安全控制機制。 其包括、PMI和Web服務安全系統，用戶通過PKI系統申請身份證書，再根據身份證書去 PMI系統申請屬性證書，屬性證書將用戶的身份關聯到一個或多個角色上，PMI系統預定義的策略證書將角色綁定到一個或多個Web服務上去，用戶使用Web服務時，Web安全系統幫 助PKI系統檢查身份證書的合法性，再幫助PMI系統檢查用戶是否有權限調用該Web服務， 當所有檢查都通過時，允許用戶訪問Web服務，以實現安全的Web服務調用。本發明中用戶 使用身份證書申請屬性證書，並指定所申請的角色，由管理員審核後獲得相應的屬性證書， 權限、角色的賦予主要針對用戶的個人申請，不能對群體用戶的權限和角色進行定義，所支 持的用戶數量有限，不能支持數量眾多且不在系統內註冊的用戶。以上技術方案都存在的缺點是，不能對大量的用戶群體(特別是數量眾多且不在 系統內註冊的用戶群體)進行授權，並將所述授權信息以屬性證書的可靠形式發布，從而 實現多個應用系統的統一用戶授權管理和安全訪問控制。本公司同時申報的專利授權管理系統及其實現方法，發明了一種授權管理系統 及其實現方法，對用戶群體進行授權，並將所述授權信息以屬性證書的形式發布，從而可以 為若干個應用系統提供統一的用戶授權信息和安全訪問控制。本發明在其基礎上做了進一 步改進，在對用戶統一授權的基礎上，在用戶分布較集中的多個區域設置多個PMI從目錄 伺服器，PMI從目錄伺服器根據策略將屬於本地用戶的授權信息複製、同步到本地，為本地 應用系統提供授權信息，從而本地應用系統可以快速獲取用戶授權信息，並增加系統安全 性、有效降低大量用戶並發時對系統所造成的負載。本公司還同時申報了專利分布式授權管理系統及其實現方法，發明了一種分布 式授權管理系統及其實現方法，採用PKI和PMI技術，設置若干個權限管理子平臺，每個權 限管理子平臺將屬於管轄領域內的用戶群體和應用角色之間的授權信息以屬性證書的形 式發布，為管轄領域內的若干個應用系統提供用戶的授權信息，並通過授權管理總平臺統 一監控和共享授權信息。本發明由授權管理平臺統一對所有應用系統和用戶進行權限管 理，並在用戶分布較集中的若干個區域設置相應的PMI本地從目錄伺服器，PMI從目錄服務 器根據策略將屬於本地應用裝置的屬性證書複製到本地，從而快速為本區域內的本地應用 系統提供用戶授權信息，其應用模式精簡，易於安裝，投資成本低。

發明內容
本發明所要解決的技術問題是提供一種基於目錄的授權管理系統及其實現方 法，由授權管理平臺統一對應用系統和用戶進行權限管理和安全訪問控制，將用戶群體和 應用角色之間的授權信息以屬性證書的形式發布，並在用戶分布較集中的若干個區域設置 相應的PMI本地從目錄伺服器，PMI從目錄伺服器根據策略將屬於本地應用裝置的屬性證 書複製到本地，從而快速為本區域內的本地應用系統提供用戶授權信息。本發明中提供一種基於目錄的授權管理系統，包括授權管理平臺，至少一個本地 從目錄服務裝置和至少一個本地應用裝置，所述授權管理平臺至少包括權限管理裝置，用於對系統包含有用戶群體、應用角色的授權要素進行維護，建立 用戶群體到應用角色的授權關係，並將所述授權信息發布到PMI主目錄伺服器上；PMS管理器，用於管理員和系統的交互；屬性證書籤發裝置，用於建立屬性權威源，接收權限管理裝置發送來的授權信息， 並將所述信息籤發成屬性證書後返回給權限管理裝置；CA目錄伺服器，用於遵循LDAP標準為權限管理裝置提供用戶數字證書的目錄服務；PMI主目錄伺服器，用於遵循LDAP標準提供屬性證書的目錄服務，並按權限管理 裝置發送來的屬性證書撤銷列表刪除相應的屬性證書；所述本地從目錄服務裝置至少包括PMI本地從目錄伺服器，用於按照本地複製策略與PMI主目錄伺服器進行本地數 據同步，並為中間件裝置提供本地應用裝置屬性證書的目錄服務；中間件裝置，用於接收本地應用裝置轉發的用戶登錄請求，對用戶數字證書的合 法性進行驗證，在PMI本地從目錄伺服器、或PMI主目錄伺服器中查找所述用戶相對應的屬 性證書，並將從屬性證書中所獲取的角色信息返回給本地應用裝置，所述用戶的屬性證書 包括有規則群體、工作組或個人的屬性證書，所述角色信息包括有規則群體、工作組或個人 角色信息；所述授權管理平臺和本地從目錄服務裝置通過網際網路相連，本地從目錄服務裝置 和本地應用裝置通過區域網相連。本發明還提供一種基於目錄的授權管理系統的實現方法，所述授權管理平臺和本 地從目錄服務裝置通過網際網路相連，本地從目錄服務裝置和本地應用裝置通過區域網相 連，包括以下步驟步驟1 權限管理裝置從CA目錄伺服器上獲取數字證書，讀取人員及相應的組織 機構信息；步驟2 權限管理裝置生成用戶群體；步驟3 權限管理裝置讀取若干個應用裝置相對應的應用角色；步驟4 權限管理裝置建立用戶群體和應用角色之間的授權關係；步驟5 權限管理裝置將所述授權信息發送至屬性證書籤發裝置；步驟6 屬性證書籤發裝置籤發屬性證書，並將所述屬性證書返回給權限管理裝 置；步驟7 權限管理裝置將所述屬性證書發布至PMI主目錄伺服器上；步驟8 =PMI本地從目錄伺服器與PMI主目錄伺服器進行本地數據同步。與現有技術相比，本發明的有益效果是通過數字證書提取用戶的身份及屬性信息，能確保用戶身份信息的真實性；對用 戶群體以規則群體、工作組和個人的方式進行授權，對數量眾多且不在系統內註冊的用戶 均可以提供支持；將授權信息使用屬性證書進行發布，可以有效避免人為篡改的可能性； 由授權管理平臺對用戶進行統一授權，並在用戶分布較集中的區域只設置一個本地從目錄 服務裝置，根據策略將屬於本地應用裝置的屬性證書複製到本地，為本地應用系統快速提 供用戶授權信息，其應用模式精簡、易於安裝，還進一步增加了系統安全性、有效降低大量 用戶並發時對系統所造成的負載；當PMI本地從目錄伺服器出現問題時，可以由授權管理 平臺的PMI主目錄伺服器(或PMI從目錄伺服器)繼續提供授權信息，從而提高系統可用 性、降低維護成本。


圖1為系統部署圖。
圖2為授權管理系統結構圖。圖3為權限管理裝置結構圖。圖4為權限管理服務部件結構圖。圖5為本地從目錄服務裝置結構圖。圖6為屬性證書發布流程圖。圖7為修改授權信息的流程圖。圖8為PMI本地從目錄伺服器同步本地授權信息流程圖。圖9為用戶登錄應用裝置的流程圖。圖10為中間件裝置將查找到的用戶應用角色信息返回給本地應用裝置的流程 圖。
具體實施例方式如圖1所示，為基於目錄的授權管理系統的物理部署圖，系統由授權管理平臺1， 至少一個本地從目錄服務裝置2、至少一個本地應用裝置3、至少一個用戶裝置4組成，其 中，授權管理平臺1和本地從目錄服務裝置2通過網際網路相連，本地從目錄服務裝置2、本地 應用裝置3和用戶裝置4通過區域網相連。授權管理平臺1，用於對系統包含有用戶群體、應用角色的授權要素和授權關係進 行管理和維護，並將所述授權信息籤發成屬性證書，對外提供基於LDAP協議的屬性證書的 目錄服務。本地從目錄服務裝置2，用於為本地應用裝置3提供用戶的角色信息。本地應用裝置3，用於接收用戶裝置4發出的登錄請求，並根據本地從目錄服務裝 置2返回的所述用戶的應用角色信息，向用戶提供基於所述應用角色的應用資源信息。用戶裝置4，用於向本地應用裝置3發出登錄請求，訪問所述應用資源信息。用戶 裝置4可以是用戶計算機、手機等。如圖2所示，授權管理平臺1，包含有權限管理裝置11、PMS管理器12、屬性證書籤 發裝置13、CA目錄伺服器14、PMI主目錄伺服器15、PMI從目錄伺服器16。權限管理裝置11，和PMS管理器12、屬性證書籤發裝置13、CA目錄伺服器14、PMI 主目錄伺服器15相連，用於對系統包含有用戶群體、應用角色的授權要素進行維護，建立 用戶群體到應用角色的授權關係，並將所述授權信息發布到PMI主目錄伺服器15上。所述 用戶群體包括有三種類型1、規則群體根據用戶具有的屬性信息制定相應的規則群體表達式，利用所述規 則群體表達式來創建規則群體，所述規則群體適用於用戶群較大、分布地域較廣、無法將全 部用戶在本地應用裝置3中註冊的場景。2、工作組由於本地應用裝置3的業務發展需要，若干個用戶需要具有相同的角 色，但無法或不便用規則群體表達式來創建規則群體，即可創建工作組，將所述若干個用戶 劃分為一個工作組。3、個人零散的個人用戶。如圖3所示，權限管理裝置11進一步包含有權限管理服務部件111、數據同步校驗 服務部件112、屬性證書發布服務部件113和資料庫114。
其中，權限管理服務部件111，用於生成用戶群體、本地應用裝置3對應的應用角 色信息，建立用戶群體和應用角色之間的授權關係，並將所述授權信息交由屬性證書籤發 裝置13籤發。如圖4所示，權限管理服務部件111進一步包含有應用管理單元1111、群體 管理單元1112和授權管理單元1113。應用管理單元1111，用於對所有本地應用裝置3進行註冊，當註冊信息發送變化 時，向授權管理單元1113發送修改授權關係請求消息。註冊信息包括有1、註冊本地應用裝置3的標識名稱(每個本地應用裝置3的名稱對應一個唯一標 識碼)、部署地、權限有效期限等信息。2、添加各個本地應用裝置3所對應的應用角色信息，添加方式可以手工輸入或指 定格式字典批量導入的方式。群體管理單元1112，用於從CA目錄伺服器14上獲取人員信息，並生成、維護用 戶群體信息，當用戶群體信息發送變化時，向授權管理單元1113發送修改授權關係請求消 息。包括有1、根據規則群體表達式，生成規則群體。2、創建、並維護工作組及成員。授權管理單元1113，用於建立用戶群體和應用角色之間的授權關係，或者接收其 他單元發送來的修改授權關係請求消息，將所述新的授權信息發送至屬性證書籤發裝置13 進行籤發。數據同步校驗服務部件112，用於按照定製策略，對資料庫114與PMI主目錄服務 器15上發布數據的一致性進行校驗。例如定時檢查資料庫114中所保存的屬性證書是否 與PMI主目錄伺服器15上的發布數據是否一致，如果不一致，則通知屬性證書發布服務部 件113將更新數據發布到PMI主目錄伺服器15上。屬性證書發布服務部件113，用於將屬性證書籤發裝置13籤發的屬性證書發送給 PMI主目錄伺服器15，所述授權信息包括有規則群體屬性證書、工作組屬性證書、個人屬性 證書、屬性證書撤銷列表。資料庫114，用於保存系統數據，例如系統所包含的規則群體表達式、工作組、應用 角色、授權關係等。PMS管理器12，和權限管理裝置11相連，用於管理員和系統的交互，可採取基於 web瀏覽器的管理模式，管理員可進行如下操作1、添加、修改本地應用裝置3的註冊信息。2、查看人員信息及相關的組織結構信息，添加、修改用戶群體信息，如規則群體表 達式、工作組及成員。3、建立、修改、註銷用戶群體和應用角色之間的授權關係及對應的屬性證書。屬性證書籤發裝置13，和權限管理裝置11相連，用於建立屬性權威源，接收權限 管理裝置11發送來的授權信息，並將所述信息籤發成屬性證書後返回給權限管理裝置11。 屬性證書籤發裝置13讀取權限管理裝置11發送來的指定格式的報文，解析、獲得用戶群 體和應用角色之間的授權信息，將所述授權信息籤發成符合RFC3^1V4標準格式的屬性證 書，並將所述屬性證書返回給權限管理裝置11。如果需要廢除授權允許，則籤發一個屬性證 書撤銷列表(ACRL)。所述屬性證書包括有以下幾種
1、規則群體屬性證書，定義規則群體與應用角色之間的授權關係，包括有規則群 體定義的XML編碼、本地應用裝置3、應用角色、有效期限等信息。2、工作組屬性證書，定義工作組與應用角色之間的授權關係，包括有工作組名稱、 工作組成員、本地應用裝置3、應用角色、有效期限等信息。3、個人屬性證書，定義用戶個人與應用角色之間的授權關係，包括有用戶個人、本 地應用裝置3、應用角色、有效期限等信息。CA目錄伺服器14，和權限管理裝置11相連，用於遵循LDAP標準為權限管理裝置 11提供用戶數字證書的目錄服務。所述數字證書包括有用戶及組織結構信息。PMI主目錄伺服器15，和權限管理裝置11、PMI從目錄伺服器16相連，用於遵循 LDAP標準提供屬性證書的目錄服務，並按權限管理裝置11發送來的屬性證書撤銷列表刪 除相應的屬性證書。所發布的授權信息包括有規則群體屬性證書、工作組屬性證書、個人屬 性證書、屬性證書撤銷列表等。PMI從目錄伺服器16，和PMI主目錄伺服器15、本地從目錄服務裝置2相連，用於 與PMI主目錄伺服器15進行數據同步，並對外提供符合LDAP協議的目錄服務。值得一提 的是，PMI從目錄伺服器16是系統的可選組件，系統可以根據需要去掉該組件，並由PMI主 目錄伺服器15直接對本地從目錄服務裝置2提供符合LDAP協議的目錄服務，PMI從目錄 伺服器16的設置可以進一步加強系統安全性。如圖5所示，本地從目錄服務裝置2，包含有PMI本地從目錄伺服器21和中間件裝 置22。PMI本地從目錄伺服器21，用於按照本地複製策略與PMI主目錄伺服器15 (或PMI 從目錄伺服器16)進行本地數據同步，並為中間件裝置22提供本地應用裝置3屬性證書的 目錄服務。PMI本地從目錄伺服器21接收PMI主目錄伺服器15 (或PMI從目錄伺服器16) 新發布的與本地應用裝置3相關的屬性證書，並根據屬性證書撤銷列表刪除本地對應的屬 性證書。中間件裝置22，用於接收本地應用裝置3轉發的用戶登錄請求，對用戶數字證書 的合法性進行驗證，在PMI本地從目錄伺服器21、PMI從目錄伺服器16或PMI主目錄伺服器 15中查找所述用戶相對應的屬性證書，並將從屬性證書中所獲取的角色信息返回給本地應 用裝置3，所述用戶屬性證書包括有規則群體、工作組或個人的屬性證書，所述角色信息包 括有規則群體、工作組或個人角色信息。首先，系統需要獲取用戶及屬性信息、本地應用裝置3及應用角色信息，建立用戶 群體到應用角色的授權關係，並將所述授權信息籤發成屬性證書進行發布。如圖6所示，為 屬性證書的發布流程，具體步驟如下步驟1 權限管理裝置11的權限管理服務部件111從CA目錄伺服器14上獲取數 字證書，讀取人員及相應的組織機構信息(步驟S1001)。權限管理裝置11根據業務需要， 按照檢索條件從CA目錄伺服器14上獲取相應用戶的數字證書信息。步驟2 權限管理裝置11的權限管理服務部件111生成用戶群體(步驟S1002)。 用戶群體包括有規則群體、工作組和個人。其中規則群體的生成過程如下管理員通過PMS管理器12定義規則群體表達式， 權限管理服務部件111的群體管理單元1112根據規則群體表達式，讀取數字證書中的用戶屬性信息，創建對應的規則群體。例如，管理員定義規則群體表達式((市=北京市&&機構=總公司))&&(部門=研發中心)&&((任職=正職)II (任 職=副職))，群體管理單元1112讀取數字證書中的用戶所屬市、機構、部門、職務等屬性信息， 創建對應的規則群體北京市總公司研發中心領導。工作組的生成過程如下管理員通過PMS管理器12查看人員信息及相關的組織結 構信息，並選擇組織機構樹上的若干人員定義工作組，權限管理服務部件111的群體管理 單元1112讀取管理員定義的工作組信息，創建對應的工作組。步驟3 權限管理裝置11的權限管理服務部件111讀取若干個本地應用裝置3相 對應的應用角色(步驟S1003)。如表1所示，根據用戶所屬的市、機構、部門、職務可以劃分 成多個應用角色，每個應用角色對應一個唯一的角色編碼。表1應用角色和角色編碼對應關係表
權利要求
1.一種基於目錄服務的授權管理系統，包括授權管理平臺，至少一個本地從目錄服務 裝置，至少一個本地應用裝置和至少一個用戶裝置，其特徵在於，所述授權管理平臺至少包括權限管理裝置，用於對系統包含有用戶群體、應用角色的授權要素進行維護，建立用戶 群體到應用角色的授權關係，並將所述授權信息發布到PMI主目錄伺服器上； PMS管理器，用於管理員和系統的交互；屬性證書籤發裝置，用於建立屬性權威源，接收權限管理裝置發送來的授權信息，並將 所述信息籤發成屬性證書後返回給權限管理裝置；CA目錄伺服器，用於遵循LDAP標準為權限管理裝置提供用戶數字證書的目錄服務； PMI主目錄伺服器，用於遵循LDAP標準提供屬性證書的目錄服務，並按權限管理裝置 發送來的屬性證書撤銷列表刪除相應的屬性證書； 所述本地從目錄服務裝置至少包括PMI本地從目錄伺服器，用於按照本地複製策略與PMI主目錄伺服器進行本地數據同 步，並為中間件裝置提供本地應用裝置屬性證書的目錄服務；中間件裝置，用於接收本地應用裝置轉發的用戶登錄請求，對用戶數字證書的合法性 進行驗證，在PMI本地從目錄伺服器、或PMI主目錄伺服器中查找所述用戶相對應的屬性證 書，並將從屬性證書中所獲取的角色信息返回給本地應用裝置，所述用戶的屬性證書包括 有規則群體、工作組或個人的屬性證書，所述角色信息包括有規則群體、工作組或個人角色 fn息；所述授權管理平臺和本地從目錄服務裝置通過網際網路相連，本地從目錄服務裝置和本 地應用裝置通過區域網相連。
2.根據權利要求1所述的一種基於目錄服務的授權管理系統，其特徵在於，所述授權 管理平臺還包括有PMI從目錄伺服器，和PMI主目錄伺服器、本地從目錄服務裝置相連，用於與PMI主目錄 伺服器進行數據同步，並對外提供符合LDAP協議的目錄服務。
3.根據權利要求1所述的一種基於目錄服務的授權管理系統，其特徵在於，所述權限 管理裝置進一步包括有權限管理服務部件，用於生成用戶群體、本地應用裝置對應的應用角色信息，建立用戶 群體和應用角色之間的授權關係，並將所述授權信息交由屬性證書籤發裝置籤發；數據同步校驗服務部件，用於按照定製策略，對資料庫與PMI主目錄伺服器上發布數 據的一致性進行校驗；屬性證書發布服務部件，用於將屬性證書籤發裝置籤發的屬性證書發送給PMI主目錄 伺服器；資料庫，用於保存系統數據。
4.根據權利要求3所述的一種基於目錄服務的授權管理系統，其特徵在於，所述權限 管理服務部件進一步包括有應用管理單元，用於對所有本地應用裝置進行註冊，當註冊信息發送變化時，向授權管 理單元發送修改授權關係請求消息；群體管理單元，用於從CA目錄伺服器上獲取人員信息，並生成、維護用戶群體信息，當用戶群體信息發送變化時，向授權管理單元發送修改授權關係請求消息；授權管理單元，用於建立用戶群體和應用角色之間的授權關係，或者接收其他單元發 送來的修改授權關係請求消息，將所述新的授權信息發送至屬性證書籤發裝置進行籤發。
5.一種基於目錄服務的授權管理系統的實現方法，所述授權管理平臺和本地從目錄服 務裝置通過網際網路相連，本地從目錄服務裝置、本地應用裝置、用戶裝置通過區域網相連， 其特徵在於，包括以下步驟步驟1 授權管理平臺獲取數字證書，讀取人員及相應的組織機構信息； 步驟2 授權管理平臺生成用戶群體；步驟3 授權管理平臺讀取若干個應用裝置相對應的應用角色； 步驟4 授權管理平臺建立用戶群體和應用角色之間的授權關係； 步驟5 授權管理平臺將所述授權信息籤發屬性證書； 步驟6 授權管理平臺將所述屬性證書進行發布； 步驟7 本地從目錄服務裝置與授權管理平臺進行本地數據同步。
6.根據權利要求5所述的方法，其特徵在於，步驟7中進一步包含有以下步驟 步驟1 授權管理平臺的PMI主目錄伺服器通知PMI從目錄伺服器進行數據同步； 步驟2 授權管理平臺的PMI從目錄伺服器通知本地從目錄服務裝置的PMI本地從目錄伺服器進行本地數據同步。
7.根據權利要求6所述的方法，其特徵在於，還包括有以下步驟 步驟1 管理員通過授權管理平臺修改授權信息；步驟2 授權管理平臺對所述請求進行處理，並查找與修改信息相關的屬性證書；步驟3 授權管理平臺籤發新的屬性證書和屬性證書撤銷列表；步驟4 授權管理平臺按屬性證書撤銷列表刪除對應的屬性證書，並發布新的屬性證書；步驟5 授權管理平臺通知本地從目錄服務裝置進行數據同步。
8.根據權利要求6所述的方法，其特徵在於，還包括有以下步驟 步驟1 本地從目錄服務裝置從授權管理平臺上讀取新增的屬性證書；步驟2 本地從目錄服務裝置判斷所述屬性證書是否與本地應用裝置相關？如果無 關，則轉向步驟4;步驟3 本地從目錄服務裝置將所述屬性證書從授權管理平臺上複製到本地； 步驟4 本地從目錄服務裝置從授權管理平臺上讀取屬性證書撤銷列表； 步驟5 本地從目錄服務裝置判斷屬性證書撤銷列表上是否有與本地應用裝置相關的 屬性證書？如果沒有，則轉向步驟7 ；步驟6 本地從目錄服務裝置刪除對應的屬性證書； 步驟7:本流程結束。
9.根據權利要求6所述的方法，其特徵在於，還包括有以下步驟 步驟1 用戶使用數字證書登錄本地應用裝置；步驟2 本地應用裝置向中間件裝置轉發用戶登錄請求； 步驟3 中間件裝置對用戶的數字證書信息進行驗證；步驟4 中間件裝置判斷用戶的數字證書是否通過驗證？如果沒有通過驗證，則轉向步驟7 ；步驟5 中間件裝置判斷PMI本地從目錄伺服器是否工作正常？(1)、如果工作正常，則中間件裝置從PMI本地從目錄伺服器上查找與所述本地應用裝 置有關的屬性證書，並將獲取到的應用角色信息返回給本地應用裝置；(2)、如果不正常，則中間件裝置從PMI從目錄伺服器上查找與所述本地應用裝置有關 的屬性證書，並將獲取到的應用角色信息返回給本地應用裝置；步驟6 本地應用裝置根據所述應用角色信息，授予用戶相應的訪問權限； 步驟7:本流程結束。
全文摘要
一種基於目錄的授權管理系統，包括授權管理平臺、至少一個本地從目錄服務裝置、至少一個本地應用裝置和至少一個用戶裝置，授權管理平臺、本地從目錄服務裝置、本地應用裝置、用戶裝置通過網絡相連。本發明由授權管理平臺統一對應用系統和用戶進行權限管理，將用戶群體和應用角色之間的授權信息以屬性證書的形式發布，並在若干個區域設置相應的PMI本地從目錄伺服器，PMI從目錄伺服器根據策略將屬於本地應用裝置的屬性證書複製到本地，從而快速為本地應用系統提供用戶授權信息，其應用模式精簡，進一步增加了系統安全性、有效降低大量用戶並發時對系統所造成的負載，同時提高系統可用性、降低維護成本。
文檔編號H04L9/32GK102088350SQ20091021796
公開日2011年6月8日 申請日期2009年12月8日 優先權日2009年12月8日
發明者丁肇偉, 史鳳濤, 蘇日 申請人:長春吉大正元信息技術股份有限公司