技術領域

本發明涉及信息安全技術領域，具體地，涉及一種授權管理系統及其實現方法。

背景技術

隨著政府、企業信息化程度的提高，應用系統數量逐步增長。在用戶數量非常大、地域分步比較廣、應用系統數量多的情況下，應用系統的授權成為一件非常棘手的問題。在一個大的政府或者企事業單位，經常會出現如下情況：某一員工已經離職，還能正常訪問一些很重要的應用系統；某一個員工職位已經發生變動，應用系統中仍對應舊的權限；由于臨時的業務需要，在某應用系統中為外地的某人注冊了賬號并開放了應用權限，但是忘記及時收回造成關鍵信息泄露；雖然所有應用都在自己的機房內，可主管信息化的決策者確無法方便的拿到各個應用系統權限授予情況。如何能夠統一解決資源的有效共享、如何及時、快速、有效的管理用戶的訪問權限，成為擺在應用系統發展的決策者、業務管理者面前的一道難題。

針對用戶的統一認證授權和安全訪問控制，目前也提出了非常多的解決方案：

(1)、專利申請CN?200710191525.8(申請日：2007.12.12，名稱：基于數字證書和多級域下的統一身份管理和認證方法)中公開了一種基于數字證書和多級域下的統一身份管理和認證方法，首先進行用戶身份維護；采用定時與人力資源系統進行用戶身份信息同步；通過人工維護方式，完成用戶數據信息的管理；用戶身份信息同步到域；將用戶身份信息通過標準的LDAP協議，按照用戶所屬單位同步到相應的AD子域中；實現用戶認證。本發明可以通過用戶單點登錄即可實現對多個業務系統的訪問，但不能解決用戶在多個業務系統中的統一權限管理問題。

(2)、專利申請CN?200610076491.3(申請日：2006.04.26，名稱：信息系統或設備的安全防護系統及其工作方法)、CN?200810040672.X(申請日：2008.07.17，名稱：基于數字證書技術的系統用戶訪問管理系統及方法)、CN?200810040674.9(申請日：2008.07.17，名稱：一種基于數字證書技術的信息系統的訪問控制方法及裝置)、CN?200620100455.1(申請日：2006.01.18，名稱：一種網絡安全認證授權系統)和CN?200710147233.4(申請日：2007.08.30，名稱：分布式業務運營支撐系統和分布式業務的實現方法)都公開了一種對登錄用戶進行身份認證、并在通過認證后獲取其相應的訪問權限的技術方案，但這些技術方案中缺乏用戶權限信息的安全管理，不能有效避免人為篡改的可能性，并且所支持的用戶數量有限，不能解決大量用戶(特別是數量眾多且不在系統內注冊的用戶)的統一授權和安全訪問控制問題。

浙江大學的專利申請CN?200810062264.4(申請日：2008.06.17，名稱：基于PKI和PMI的Web服務安全控制機制)中公開了一種基于PKI和PMI的Web服務安全控制機制。其包括PKI、PMI和Web服務安全系統，用戶通過PKI系統申請身份證書，再根據身份證書去PMI系統申請屬性證書，屬性證書將用戶的身份關聯到一個或多個角色上，PMI系統預定義的策系統申請屬性證書，屬性證書將用戶的身份關聯到一個或多個角色上，PMI系統預定義的策略證書將角色綁定到一個或多個Web服務上去，用戶使用Web服務時，Web安全系統幫助PKI系統檢查身份證書的合法性，再幫助PMI系統檢查用戶是否有權限調用該Web服務，當所有檢查都通過時，允許用戶訪問Web服務，以實現安全的Web服務調用。本發明中用戶使用身份證書申請屬性證書，并指定所申請的角色，由管理員審核后獲得相應的屬性證書，權限、角色的賦予主要針對用戶的個人申請，不能對群體用戶的權限和角色進行定義，所支持的用戶數量有限，不能支持數量眾多且不在系統內注冊的用戶。

以上技術方案都存在的缺點是，不能對大量的用戶群體(特別是數量眾多且不在系統內注冊的用戶群體)進行授權，并將所述授權信息以屬性證書的可靠形式發布，從而實現多個應用系統的統一用戶授權管理和安全訪問控制。