技術領域

本發明涉及信息安全領域，具體而言，涉及一種基于數字證書的授權管理方法。

背景技術

隨著信息安全技術的飛速發展，以PKI(Public?Key?Infrastructure，公鑰基礎設施)為核心的數字證書身份認證技術在電子商務、電子政務、網上銀行、網上辦公等系統中得到了廣泛的應用，并取得了良好的效果。在用戶經過身份認證之后，系統往往需要對用戶訪問的資源進行進一步的訪問權限管理與控制，使得有權限的用戶能夠訪問其可用的資源，無權限的用戶禁止訪問其無權限的資源。這就需要對用戶進行授權管理，以使其可以訪問其合法的資源。

在傳統的授權管理中，通常是采用基于角色的授權管理技術。在該授權管理方式中，首先需要在系統中建立一些虛擬的角色，然后在角色中賦予一些用戶的ID，也即用戶賦予角色的過程，然后給不同的角色賦予不同資源的訪問權限。基于角色的授權管理在實際應用中存在如下問題：

1、從用戶的身份信息中很難體現用戶所屬的角色和權限信息，相對用戶實體來說不直觀；

2、在用戶賦予角色的過程中需要事先知道用戶的ID號，不能預先設置；

3、用戶賦予角色過程的工作量消耗比較大，特別當一個角色的人員比較龐大時，這個工作量比較大，需要對逐個用戶進行操作。

另外，目前在PKI體系中還存在一種PMI(Privilege?Management?Infrastructure，特權管理基礎設施)授權管理技術。它是利用PKI技術來實現對基于數字證書認證的用戶進行權限管理。特別適用于分布式的系統，實現“一處授權，多處使用”，以方便分布式系統的統一權限管理。但對于非分布式的體系，這套系統會顯得有些繁雜，應用效率不夠高。

基于以上問題，本發明采用數字證書來實現對用戶的授權管理，方便基于數字證書身份認證的應用系統對用戶進行授權與控制。

發明內容

本發明提供一種基于數字證書的授權管理方法，用以提高對用戶授權管理的效率。

為達到上述目的，本發明提供了一種基于數字證書的授權管理方法，該方法包括以下步驟：

從用戶屬性信息中選取一個或者多個組合作為分組的屬性信息，并對各屬性信息進行賦值；

授予各個分組對資源的訪問權限規則，并將各個分組的屬性信息和訪問權限規則保存在數據庫中；

當用戶訪問資源時，從用戶的數字證書中提取該用戶的屬性信息，并將該用戶的屬性信息與數據庫中保存的各個分組的屬性信息進行比對，若該用戶的屬性信息包含了分組的屬性信息，則該用戶屬于該分組；

根據該用戶所在的分組獲取該用戶對該資源的訪問權限，并根據訪問權限確定該用戶是否有權限訪問該資源。

較佳的，用戶屬性信息包括以下至少一項：

國家、省、市、組織單位、部門和名稱。

較佳的，根據該用戶所在的分組獲取該用戶對該資源的訪問權限步驟包括：

根據該用戶所在的各個分組，獲取該用戶對該資源的訪問權限規則；

將該用戶對該資源的訪問權限規則進行合并，得到該用戶對該資源的訪問權限。

上述實施例實現了以下有益效果：

1)可以直接從用戶的數字證書中獲得用戶所在分組的信息，且與用戶實體信息一致，比較直觀易于理解；

2)系統在建立分組和賦予分組權限的時候無需事先知道具體用戶的證書信息或ID信息；

3)能簡單方便的實現大批量的用戶授權管理，無需對單個用戶逐一進行操作；

4)系統相對PMI系統簡單，容易部署實現。

附圖說明

為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。

圖1為本發明一實施例的基于數字證書的授權管理方法流程圖。

具體實施方式

下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基于本發明中的實施例，本領域普通技術人員在沒有付出創造性勞動前提下所獲得的所有其他實施例，都屬于本發明保護的范圍。