技術領域

本發明涉及數據信息系統的安全技術，更具體地說，涉及一種基于數字證書技術的信息系統的訪問控制方法及裝置。

背景技術

目前越來越多的工作需要利用到各種各樣的信息系統，而信息系統的安全性越來越得到人們的關注，例如在信息系統的訪問控制方面就需要注重其安全性，在一個信息系統中具有級別不同的各種用戶，特定的用戶只能訪問特定的數據，而如果安全措施不到位，那么會出現用戶可以訪問到其不該訪問的數據，從而造成泄密等事故，就可能給國家和企業造成難以挽回的損失。一個信息系統會供給不同的部門和不同的人使用，這些不同的部門和不同的人的數據需求是不一樣的，這就決定了對于不同級別的用戶要創建不同的訪問權限，這樣才既能滿足各用戶的訪問要求也能保證秘密數據不被泄漏。可見對于信息系統的用戶訪問需要進行相關安全策略的設計，從而達到對不同用戶的訪問進行控制的目的。

發明內容

本發明的目的在于提供一種基于數字證書技術的信息系統的訪問控制方法及裝置，以實現對不同用戶的訪問進行控制的目的。

根據本發明的第一方面，提供一種基于數字證書技術的信息系統的訪問控制方法，包括以下步驟：

a、設定系統服務器數字證書以及用戶數字證書；

b、定義所述信息系統的訪問角色，所述訪問角色是所述信息系統不同訪問權限的集合；

c、向注冊的用戶創建身份標識，將所述b步驟定義的訪問角色賦予所述身份標識；

d、根據所述a步驟的數字證書對請求登陸的用戶進行認證；

e、根據所述c步驟的用戶身份標識，對通過認證的用戶建立訪問控制表，所述訪問控制表執行所述用戶的訪問控制。

所述d步驟包括：

1)向請求登陸認證的用戶發送服務器數字證書和隨機數，用戶簽名隨機數，并用服務器數字證書加密隨機數，將用戶數字證書、簽名隨機數和加密隨機數返還至系統服務器；

2)系統服務器解密所述隨機數，并將解密后的隨機數與原隨機數比對，若一致則用戶認證成功，若不一致則拒絕認證。

所述a步驟還定義了所述信息系統數據庫的數據的保密等級，所述定義了保密等級的數據與所述訪問角色匹配。

所述a步驟所述用戶數字證書的密鑰存儲于客戶端的存儲器，所述系統服務器數字證書的密鑰存儲于系統服務器的存儲器。

所述訪問控制表包括所述訪問角色與所述定義了保密等級的數據以及所述身份標識三者之間的聯系規則，所述訪問控制表存儲在所述信息系統的數據庫中。

所述訪問控制表驗證所述身份標識以及所述身份標識的訪問目標的合法性。

根據本發明的第二方面，提供一種基于數字證書技術的信息系統的訪問控制裝置，包括：

注冊模塊，所述注冊模塊為所述信息系統的用戶提供注冊并設定系統服務器數字證書以及用戶數字證書；

定義模塊，定義所述信息系統的訪問角色，向注冊的用戶創建身份標識，將所述訪問角色賦予所述身份標識，所述訪問角色是所述信息系統不同訪問權限的集合；

控制模塊，所述控制模塊根據所述注冊模塊設定的數字證書對請求登陸的用戶進行認證，并根據所述身份標識對通過認證的用戶建立訪問控制表，所述訪問控制表執行所述用戶的訪問控制。

所述控制模塊對請求登陸的用戶進行認證包括以下步驟：

1)向請求登陸認證的用戶發送服務器數字證書和隨機數，用戶簽名隨機數，并用服務器數字證書加密隨機數，將用戶數字證書、簽名隨機數和加密隨機數返還至系統服務器；

2)系統服務器解密所述隨機數，并將解密后的隨機數與原隨機數比對，若一致則用戶認證成功，若不一致則拒絕認證。

所述定義模塊還定義了所述信息系統數據庫的數據的保密等級，所述定義了保密等級的數據與所述訪問角色匹配。

所述訪問控制表包括所述訪問角色與所述定義了保密等級的數據以及所述身份標識三者之間的聯系規則，所述訪問控制表存儲在所述信息系統的數據庫中。

采用本發明所述的一種基于數字證書技術的信息系統的訪問控制方法及裝置，本發明所述的方法及裝置一方面是基于數字證書技術的，數字證書技術通過其公鑰和密鑰可以更好的保證用戶和系統之間數據交換的安全性，另一方面本方法及裝置是基于訪問角色的訪問控制模型，即先定義訪問角色，然后將此訪問角色賦予注冊的合法用戶，再建立用戶的訪問控制表，把“用戶訪問角色操作數據”關聯到一起，實現非自主型訪問控制策略，使用基于訪問角色的訪問控制模型可以減輕安全管理工作，這種方式只需把新的注冊用戶創建給已定義的訪問角色即可，無需為用戶重新指定資源和操作，因而簡化了授權管理工作。

附圖說明