CN102314564B - 多业务系统的统一的分级安全方法及系统 - Google Patents
多业务系统的统一的分级安全方法及系统 Download PDFInfo
- Publication number
- CN102314564B CN102314564B CN201010222355.7A CN201010222355A CN102314564B CN 102314564 B CN102314564 B CN 102314564B CN 201010222355 A CN201010222355 A CN 201010222355A CN 102314564 B CN102314564 B CN 102314564B
- Authority
- CN
- China
- Prior art keywords
- password
- user
- rule
- user account
- switching strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
Abstract
一种多业务系统的统一的分级安全方法,包括以下步骤:确定用户帐户的密码规则是否发生改变;在用户帐户的密码规则发生改变时,根据该用户帐户的用户信息在用户集合与密码转换策略的关联关系中查找对应的密码转换策略ID,该用户信息包括用户ID、角色、或业务系统ID;以及当找到对应的密码转换策略ID时,根据找到的密码转换策略ID确定该用户帐户的新密码规则ID。在系统整合时,通过按照不同的粒度在用户集合与密码转换策略的关联关系中为某一用户、某种角色的用户、或者某一系统的用户配置更高安全级别的密码转换策略,可以分别提高所述某一用户、某种角色的用户、或者某一系统的用户的整体密码的安全级别。
Description
技术领域
本发明总地涉及分级的安全策略,更具体地涉及一种多业务系统的统一的分级安全方法及装置、以及一种多业务系统的统一的用户管理和验证系统。
背景技术
在企业级应用中,当需要对多个业务系统账户做整合而实现统一的用户登录验证时,往往会碰到多个业务系统加密密码算法和复杂度需求不一致的问题。另外,在业务系统中,按照系统功能重要性或危险性的不同,在用户密码规则和验证上存在不同级别的安全需求。
在业务系统整合时,现有技术一般是保留原系统的验证规则,对整合进来的账号进行密码验证。但是这样至少有以下2个缺点:1、无法根据不同粒度(如单个用户,某种角色的用户或某个系统的用户)调整用户的密码安全性要求和用户的密码验证方式;以及2、无法做到不同权限/角色的用户对密码的更严格/放松的分级别的安全设置。
因此,存在对于能够实现对多业务系统帐户进行统一的分级安全性调整的方法及系统的需求。
发明内容
为了解决上述问题,提供了一种多业务系统的统一的分级安全方法及系统,其支持以不同的粒度(诸如,用户粒度、角色粒度、以及系统粒度)配置用户群体(诸如,某一用户、某种角色、以及某一系统)使用的密码转换策略(诸如,复杂度要求和验证规则),使得不同用户群体的用户根据系统功能的不同安全性要求而使用对应级别的密码策略,从而保证系统安全。
根据本发明的一方面,一种多业务系统的统一的分级安全方法,包括以下步骤:确定用户帐户的密码规则是否发生改变;在用户帐户的密码规则发生改变时,根据该用户帐户的用户信息在用户集合与密码转换策略的关联关系中查找对应的密码转换策略ID,该用户信息包括用户ID、角色、或业务系统ID;以及当找到对应的密码转换策略ID时,根据找到的密码转换策略ID确定该用户帐户的新密码规则ID。
优选地,根据本发明的多业务系统的统一的分级安全方法,根据找到的密码转换策略ID确定该用户帐户的新密码规则ID进一步包括以下步骤:将该用户帐户的当前密码规则ID的安全级别作为第一安全级别,将用户集合与密码转换策略的关联关系中设置的安全级别作为第二安全级别,并检查第一安全级别是否低于第二安全级别;当不低于时,将该用户帐户的当前密码规则ID作为该用户帐户的新密码规则ID;以及当低于时,根据找到的密码转换策略ID,确定该用户帐户的新密码规则ID。
优选地,根据本发明的多业务系统的统一的分级安全方法,根据找到的密码转换策略ID确定该用户帐户的新密码规则ID进一步包括以下步骤:检查该密码转换策略ID中的新密码规则ID与该用户帐户的当前密码规则ID是否一致;当一致时,将该用户帐户的当前密码规则ID作为该用户帐户的新密码规则ID;当不一致时,将用户集合与密码转换策略的关联关系中设置的安全级别作为第二安全级别,将该密码转换策略ID中的新密码规则ID的安全级别作为第三安全级别,并检查第三安全级别是否低于第二安全级别;当低于时,将该用户帐户的当前密码规则ID作为该用户帐户的新密码规则ID;以及当不低于时,将该密码转换策略ID中的新密码规则ID作为该用户帐户的新密码规则ID。
在用户登录或修改密码时,执行根据本发明的多业务系统的统一的分级安全方法。
根据本发明的另一方面,一种多业务系统的统一的分级安全装置,包括:密码规则变化确定部件,用于确定用户帐户的密码规则是否发生改变;密码转换策略确定部件,用于在用户帐户的密码规则发生改变时,根据该用户帐户的用户信息在用户集合与密码转换策略的关联关系中查找对应的密码转换策略ID,该用户信息包括用户ID、角色、或业务系统ID;以及新密码规则确定部件,用于当找到对应的密码转换策略ID时,根据找到的密码转换策略ID确定该用户帐户的新密码规则ID。
优选地,根据本发明的多业务系统的统一的分级安全装置,所述新密码规则确定部件进一步被配置为:将该用户帐户的当前密码规则ID的安全级别作为第一安全级别,将用户集合与密码转换策略的关联关系中设置的安全级别作为第二安全级别,并检查第一安全级别是否低于第二安全级别;当不低于时,将该用户帐户的当前密码规则ID作为该用户帐户的新密码规则ID;当低于时,根据找到的密码转换策略ID,确定该用户帐户的新密码规则ID。
优选地,根据本发明的多业务系统的统一的分级安全装置,所述新密码规则确定部件进一步被配置为:检查该密码转换策略ID中的新密码规则ID与该用户帐户的当前密码规则ID是否一致;当一致时,将该用户帐户的当前密码规则ID作为该用户帐户的新密码规则ID;当不一致时,将用户集合与密码转换策略的关联关系中设置的安全级别作为第二安全级别将该密码转换策略ID中的新密码规则ID的安全级别作为第三安全级别,并检查第三安全级别是否低于第二安全级别;当低于时,将该用户帐户的当前密码规则ID作为该用户帐户的新密码规则ID;以及当不低于时,将该密码转换策略ID中的新密码规则ID作为该用户帐户的新密码规则ID。
用户集合与密码转换策略的关联关系是由系统管理员按照用户粒度、角色粒度、或系统粒度设置的。用户粒度的优先级高于角色粒度的优先级,角色粒度的优先级高于系统粒度的优先级。
根据本发明的又一方面,一种多业务系统的统一的分级安全方法,包括以下步骤:根据注册用户输入的注册信息以及用户所属业务系统的业务系统ID在用户集合与密码转换策略的关联关系中查找对应的密码转换策略ID,该注册信息包括用户的角色;在找不到对应的密码转换策略ID时,利用默认密码策略ID作为对应的密码转换策略ID;以及将对应的密码转换策略ID中的新密码规则ID确定为注册用户的密码规则ID。
根据本发明的再一方面,一种多业务系统的统一的分级安全装置,包括:密码转换策略确定部件,用于根据注册用户输入的注册信息以及用户所属业务系统的业务系统ID在用户集合与密码转换策略的关联关系中查找对应的密码转换策略ID,并且在找不到对应的密码转换策略ID时利用默认密码策略ID作为对应的密码转换策略ID,该注册信息包括用户的角色;以及密码规则确定部件,用于将对应的密码转换策略ID中的新密码规则ID确定为注册用户的密码规则ID。
根据本发明的再一方面,一种多业务系统的统一的用户管理和验证系统,包括:用户接口部件,用于接收用户输入的信息以及向用户输出通知信号,用户输入的信息至少包括帐户名和密码;用户帐户数据库,用于存储用户帐户的相关信息;帐户及密码验证部件,用于对用户输入的帐户名和密码进行验证;以及统一的分级安全装置,用于确定已登录的用户帐户的密码规则是否发生变化并且在确定密码规则发生变化时确定该用户帐户的新密码规则,以及用于确定新注册的用户帐户的新密码规则。
根据本发明的多业务系统的统一的分级安全方法及装置,在系统整合时,可以按照不同的粒度分别提高某一用户、某种权限/角色的用户、或者某一系统的用户的整体密码的安全级别。通过在用户集合与密码转换策略的关联关系中为所述某一用户、某种权限/角色的用户、或者某一系统的用户配置更高安全级别的密码转换策略。在所述某一用户、某种权限/角色的用户、或者某一系统的用户进行登录或更改密码时,通知所述某一用户、某种权限/角色的用户、或者某一系统的用户按照更高安全级别的密码规则设置密码,从而满足更高的安全性要求。
根据本发明的多业务系统的统一的分级安全方法及系统通过按照系统粒度调整用户的密码安全性要求和用户的密码验证方式,可以对不同业务系统使用不同的加密方式,而不必保留原业务系统的验证规则。
此外,根据本发明的多业务系统的统一的分级安全方法及系统通过按照角色粒度调整用户的密码安全性要求和用户的密码验证方式,可以做到不同权限/角色的用户对密码的更严格/放松的分级别的安全设置。
进一步,根据本发明的多业务系统的统一的分级安全方法及系统,在用户的权限/角色发生变化时,可以对该用户应用更严格的分级别的安全设置,使该用户按照更严格的安全性要求来设置其密码。
附图说明
结合附图阅读本发明的以下详细描述,本原理的这些和其它方面、特征和优点将变得清楚,在附图中,
图1a示出了在存在多个业务系统时各业务系统分别应用的密码规则的图示;
图1b示出了利用统一的用户管理和验证系统对多个业务系统的用户账户进行统一管理和验证的构架图;
图1c示出了根据本发明的统一的用户管理和验证系统的框图;
图2示出了根据本发明的第一实施例的、多业务系统的统一的分级安全装置的框图;
图3示出了根据本发明的第一实施例的、多业务系统的统一的分级安全方法的流程图;
图4示出了根据本发明的第二实施例的、多业务系统的统一的分级安全装置的框图;以及
图5示出了根据本发明的第二实施例的、多业务系统的统一的分级安全方法的流程图。
贯穿各附图,采用相似的附图标记表示相同或相似的部件。
具体实施方式
如图1a所示,S1、S2、S3、...、Sn分别是独立的业务系统,其中各业务系统的帐户密码加密方式可以相同或不同。例如,业务系统S1的帐户密码加密方式为md5(num),密码(num)为6位数字;S2业务系统的帐户密码加密方式为md5(key+num),密码(key+num)为大小写字母+6位数字;以及S3业务系统的帐户密码加密方式为按照不同安全级别的分级的加密方式,其中,安全级别level-0的密码为6位数字,安全级别level-1的密码为大小写字母,以及安全级别level-2的密码为一次一密等。
如图1b所示,由统一的用户管理和验证系统对S1、S2、S3、...、Sn的用户帐户实现的统一管理和验证。本发明的多业务系统的统一的分级安全方法和装置是基于该背景而提出的。
在详细描述本发明原理之前,先给出为实现根据本发明的统一的分级安全方法和装置而定义的以下数据格式:密码规则、密码转换策略、用户集合与密码转换策略的关联关系、以及用户帐户。
表1示出了根据本发明的密码规则的定义。
| 密码规则(Pwd_Rule) |
| 密码规则ID |
| 密码规则的描述 |
| 密码规则的相关数据 |
| 密码规则的计算逻辑 |
| 密码规则的安全级别(SecureLevel) |
表1密码规则
如表1所示,密码规则(Pwd_Rule)包括该密码规则的标识(密码规则ID)、该密码规则的描述、该密码规则的计算逻辑(诸如,使用什么方法来验证密码、如何设置密码(诸如,密码至少包含大小写字母加数字、密码的最少长度、以及一次一密等))、该密码规则的相关数据、以及该密码规则的安全级别(SecureLevel)。
表2示出了根据本发明的密码转换策略的定义。
| 密码转换策略(Pwd_Policy) |
| 密码转换策略ID |
| 密码转换策略的描述 |
| 当前密码规则ID(CurrentRuleID) |
| 新密码规则ID |
表2密码转换策略
如表2所示,密码转换策略(Pwd_Policy)中包括该密码转换策略的标识(密码转换策略ID)、对该密码转换策略的描述、以及该密码转换策略的当前密码规则ID和要转换到的新密码规则ID。密码规则转换一般在修改密码或登录时进行。
表3示出了根据本发明的用户集合与密码转换策略的关联关系的定义。
表3用户集合与密码转换策略的关联关系
如表3所示,用户集合与密码转换策略的关联关系(UserSet_Policy_Map)包括该关联关系的标识(关联关系ID)、该关联关系的描述、该用户集合的标记(RefTag)、该用户集合的类型(RefType)、该用户集合的安全级别(SecureLevel)以及该用户集合的密码转换策略ID。
用户集合可以是单个账号,可以是系统预先定义的某种角色的帐户,或者可以是某个业务系统的帐户。用户集合的类型(RefType)定义了该用户集合的粒度,具体地,帐户粒度、角色粒度、或者业务系统粒度。与用户集合的类型(RefType)相对应,用户集合的标记(RefTag)定义了该用户集合具体是哪一个帐户、哪一种角色、或者哪一个业务系统。另外,RefTag的优先级从高到低的顺序如下:帐户-角色-业务系统。例如,在RefType的取值为“帐户”、以及RefTag的取值为“Mike”的情况下,该用户集合被限定为帐户为“Mike”的单个用户帐户;在RefType的取值为“角色”、以及RefTag的取值为“Role_Admin”的情况下,该用户集合被限定为角色为“Role_Admin”的所有用户帐户;以及在RefType的取值为“系统”、以及RefTag的取值为“S1”的情况下,该用户集合被限定为业务系统S1所拥有的所有用户帐户。
此外,对于每个用户集合而言,其密码规则只能转换到具有相等或更高SecureLevel的密码规则,因此,每个用户集合只能与具有相等或更高SecureLevel的密码规则的密码转换策略相关联。
表4示出了根据本发明的用户帐户的定义。
| 用户帐户(Account) |
| 用户ID(UserID) |
| 当前密码规则ID(CurrentRuleID) |
| 校验策略(CheckPolicy) |
| ...... |
表4用户帐户
如表4所示,用户帐户(Account)包括该用户帐户的用户ID(UserID)、该用户帐户的当前密码规则ID(CurrentRuleID)、以及该用户帐户的校验策略(CheckPolicy)。
CheckPolicy若等于1,则指明该用户帐户的密码规则可能发生了变化,需要校验其新密码规则,当检查过密码规则后,该标记位置被设置为0。此外,用户帐户还可以包括用户角色、用户所属的业务系统等等信息。
以S1、S2以及S3业务系统帐户整合到统一的用户管理和验证系统为例,来说明本发明的原理。
例如,原S1、S2以及S3业务系统中的用户分别使用密码规则RS1、RS2以及RS3,在整合后的统一的用户管理和验证系统中,对于S1系统中角色为ROLE-ADMIN的用户使用安全级别为level-3的密码规则,对于S1系统中的其它用户以及S2和S3系统中的用户使用统一的密码规则RCOMMON。系统管理员根据上述密码规则转换关系配置用户集合与密码转换策略的关联关系,并且将与所配置的用户集合与密码转换策略的关联关系相关联的用户帐户的CheckPolicy设置为1。
在统一的用户管理和验证系统中,如下地配置密码规则、密码转换策略、用户集合与密码转换策略的关联关系以及用户帐户。
密码规则:
RS1,描述=S1的系统密码规则,<与该密码规则相关的数据>,<该密码规则的计算逻辑>,SecureLevel=0
RS2,描述=S2的系统密码规则,<与该密码规则相关的数据>,<该密码规则的计算逻辑>,SecureLevel=0
RS3,描述=S3的系统密码规则,<与该密码规则相关的数据>,<该密码规则的计算逻辑>,SecureLevel=0
RULE-3,描述=SecureLevel为3的密码规则,<与该密码规则相关的数据>,<该密码规则的计算逻辑>,SecureLevel=3
密码转换策略:
PS1,描述=将密码规则RS1转换到密码规则RCOMMON,当前密码规则ID=RS1,新密码规则ID=RCOMMON
PS2,描述=将密码规则RS2转换到密码规则RCOMMON,当前密码规则ID=RS2,新密码规则ID=RCOMMON
PS3,描述=将密码规则RS3转换到密码规则RCOMMON,当前密码规则ID=RS3,新密码规则ID=RCOMMON
P-3,描述=将密码规则RS1转换到密码规则RULE-3,当前密码规则ID=RS1,新密码规则ID=RULE-3
用户集合与密码转换策略的关联关系:
M-3,描述=对于角色为ROLE-ADMIN的帐户集合使用密码转换策略P-3,refTag=ROLE-ADMIN,refType=角色,密码转换策略ID=P-3,SecureLevel=3
MS1,描述=对于系统S1的帐户集合使用密码转换策略PS1,refTag=系统A,refType=系统,密码转换策略ID=PS1,SecureLevel=0
MS2,描述=对于系统S2的帐户集合使用密码转换策略PS2,refTag=系统B,refType=系统,密码转换策略ID=PS2,SecureLevel=0
MS3,描述=对于系统S3的帐户集合使用密码转换策略PS3,refTag=系统C,refType=系统,密码转换策略ID=PS3,SecureLevel=0
用户账户:
UserID=678,CurrentRuleID=RS1,CheckPolicy=1,......且用户角色为ROLE-ADMIN
如图1c所示,统一的用户管理和验证系统包括用户接口部件110、用户帐户数据库120、帐户及密码验证部件130以及统一的分级安全装置140。
用户接口部件110用于接收业务系统的用户输入的各种信息,诸如:用户帐户名和密码,并且向用户发出各种通知消息:诸如,指示该用户帐户不存在的消息、指示登录失败的消息、指示用户修改密码的消息、以及指示密码修改失败的消息等。用户帐户数据库120用于存储用户帐户的相关信息。帐户及密码验证部件130用于对用户输入的用户帐户名和密码进行验证,并且在用户输入新密码时验证该用户输入的新密码是否符合要求。
假设熟悉关于用户登录、以及用户帐户及密码验证的相关技术,在此不对其进行详细描述,从而使本发明原理更为清楚。
第一实施例
如图2所示,依据本发明第一实施例的多业务系统的统一的分级安全装置140包括密码规则变化确定部件2401、密码转换策略确定部件2402、新密码规则确定部件2403、新密码规则更新部件2404、以及校验策略标识设置部件2405。
密码规则变化确定部件2401确定用户的密码规则是否发生变化。在确定用户的密码规则发生变化时,密码转换策略确定部件2402确定用户密码的密码转换策略。在确定了用户密码的密码转换策略后,新密码规则确定部件2403确定用户的新密码规则。在用户的新密码规则不同于用户的当前密码规则时,新密码规则更新部件2404将用户的当前密码规则更新为该新密码规则。校验策略标识设置部件2405将用户帐户的校验策略标识设置为零。
如图3所示,以整合之前的业务系统S1的用户帐户“Catherine”登录业务系统S1并按照新密码规则修改密码为例,来例示根据本发明第一实施例的统一的分级安全方法。
整合之前的业务系统S1的用户在步骤S315经由用户接口部件110输入帐户名“Catherine”和密码,以进行登录。在步骤S320,该统一的用户管理和验证系统的帐户及密码验证部件130检查用户帐户数据库120,以便确定整合之前的业务系统S1中是否存在对应于该用户帐户名“Catherine”的用户帐户。如果该用户帐户不存在,则在步骤S325,用户接口部件110向用户指示该用户帐户不存在。反之,如果该用户帐户存在,则在步骤S330,帐户及密码验证部件130从用户帐户数据库120中获得该用户帐户的UserID、CurrentRuleID以及CheckPolicy。在步骤S335,帐户及密码验证部件130按照当前密码规则验证用户帐户名和密码。在步骤S340,判断验证是否成功。如果验证失败,在步骤345,用户接口部件110向用户返回登录失败信息。
如果验证成功,则开始执行根据本发明第一实施例的统一的安全分级方法。在步骤350,密码规则变化确定部件2401检查该用户帐户的CheckPolicy是否为1?如果CheckPolicy不为1,则表示该用户帐户的密码规则没有发生变化,该方法进行到步骤S399。反之,如果CheckPolicy为1,则表示该用户帐户的密码规则可能发生了变化,需要校验其新密码规则,该方法进行到步骤S355。在步骤S355,密码转换策略确定部件2402根据该用户帐户的用户信息在UserSet_Policy_Map中查找对应的密码转换策略ID,该用户信息可以是用户ID、角色、或者业务系统ID等等。如果没有找到对应的密码转换策略ID,则该方法进行到S395,校验策略标识设置部件2405将CheckPolicy更新为0。
如果找到了对应的密码转换策略ID,则该方法进行到S360,新密码规则确定部件2403检查该用户帐户的CurrentRuleID的SecureLevel是否低于UserSet_Policy_Map中对应的SecureLevel。如果该用户帐户的CurrentRuleID的SecureLevel不低于UserSet_Policy_Map中对应的SecureLevel,则该方法进行到步骤S375,并将与该用户帐户的当前密码规则作为该用户帐户的新密码规则。
反之,如果该用户帐户的CurrentRuleID的SecureLevel低于UserSet_Policy_Map中对应的SecureLevel,则该方法进行到步骤S365,新密码规则确定部件2403按照所找到的密码转换策略ID,检查该密码转换策略ID的新密码规则ID与该用户帐户的CurrentRuleID是否一致。如果一致,则该方法进行到步骤S395,校验策略标识设置部件2405将CheckPolicy更新为0。
反之,如果不一致,则该方法进行到步骤S370,新密码规则确定部件2403检查该密码转换策略ID的新密码规则ID的SecureLevel是否低于UserSet_Policy_Map中对应的SecureLevel。如果该密码转换策略ID的新密码规则ID的SecureLevel低于UserSet_Policy_Map中对应的SecureLevel,则该方法进行到步骤S375,并将与该用户帐户的当前密码规则作为该用户帐户的新密码规则。
反之,如果该密码转换策略ID的新密码规则ID的SecureLevel不低于UserSet_Policy_Map中对应的SecureLevel,则该方法进行到步骤S380,将与该用户帐户的当前密码规则作为该用户帐户的新密码规则,并提示用户修改密码。然后,在步骤S385中,帐户及密码验证部件130按照该用户帐户的新密码规则验证用户是否成功输入新密码。如果没有成功输入新密码,在步骤S389,用户接口部件110返回密码修改失败信息,并提示用户如何修改密码。如果成功输入新密码,在步骤S390,当前密码规则更新部件2404将该用户帐户的CurrentRuleID更新为对应的密码策略ID中的新密码规则ID,并且校验策略标识设置部件2405将CheckPolicy设置为零,以便防止下次重复检查。
例如,在需要将S1系统的角色为ROLE-ADMIN的用户帐户的密码规则转换为新密码规则的情况下,对于用户帐户名为Amy的用户帐户:UserID=678、CurrentRuleID=RS1、CheckPolicy=1、...、以及用户角色为ROLE-ADMIN,由于在配置用户集合与密码转换策略的关联关系中存在RefType的以下优先级关系:角色优先于系统。因此,当该用户帐户登录时,在帐户及密码验证部件130在步骤S320、S335和S340成功验证了输入的用户帐户名和密码之后,开始执行根据本发明第一实施例的统一的分级安全方法。在步骤S350,密码规则变化确定部件2401确定该用户帐户的CheckPolicy为1。然后,在步骤S355中,密码转换策略确定部件2402在UserSet_Policy_Map中查找到对应于该用户帐户的密码转换策略ID为P-3,并且在步骤S360中,新密码规则确定部件2403确定该用户帐户的CurrentRuleID(RS1)的SecureLevel(0)低于在UserSet_Policy_Map中配置的对应SecureLevel(3)。在步骤S365中,新密码规则确定部件2403确定该用户帐户的CurrentRuleID(RS1)不同于密码策略ID(P-3)中的新密码规则(RULE-3)。在步骤S370中,新密码规则确定部件2403确定新密码规则(RULE-3)的SecureLevel(3)不低于UserSet_Policy_Map中对应的SecureLevel(3)。然后,在步骤S380中,新密码规则确定部件2403确定该用户帐户的新密码规则ID与该密码转换策略中的新密码规则ID一致,并且用户接口模块110提示用户修改密码。待用户成功修改密码之后,在步骤S390,当前密码规则更新部件2404将该用户帐户的CurrentRuleID更新为新密码规则ID(RULE-3),并且检验策略标识设置部件2405将CheckPolicy设置为零。
此外,在用户修改密码之后,在步骤S385中,帐户及密码验证部件130按照新密码规则验证用户修改后的密码。如果未成功验证,则在步骤S389中,用户接口模块110返回密码修改失败信息,并向用户提示如何设置密码。
根据本发明的第一实施例,预先将整合之前的各业务系统的用户帐户数据库存储在统一的用户管理和验证系统中。在这种情况下,由统一的用户管理和验证系统实现对各业务系统的用户的统一验证管理,因此,即使在各业务系统进行维护或者繁忙的情况下,统一的用户管理和验证系统仍然可以获得登录用户的诸如UserID、CurrentRuleID以及CheckPolicy之类相关信息。
此外,根据本发明的第一实施例,可以按照不同的粒度(诸如,用户粒度、角色粒度、以及系统粒度)配置用户群体(诸如,某一用户、某种角色、以及某一系统)使用的密码转换策略(诸如,复杂度要求和验证规则),使得不同用户群体的用户根据系统功能的不同安全性要求而使用对应级别的密码策略,从而保证系统安全。因此,在系统整合时,可以按照不同的粒度分别提高某一用户、某种角色的用户、或者某一系统的用户的整体密码的安全级别。此外,在用户的角色发生变化时,也可以对该用户应用更严格的分级别的安全设置。
尽管在本发明的第一实施例中,在业务系统的用户登录时由统一的分级安全装置判断其是否需要修改密码并且确定其新密码规则,但是本领域普通技术人员容易理解,替代地,也可以在业务系统的用户更改其密码时由统一的分级安全装置判断其是否需要修改密码并且确定其新密码规则。
第二实施例
在新用户注册时,用户接口部件110接收业务系统的新用户输入必要的注册信息,并且向用户发出各种通知信息,诸如,指示注册成功的信息、以及指示注册失败的信息,该必要的注册信息至少包括用户帐户名、角色和密码。统一的分级安全装置140根据用户输入的角色以及该业务系统的业务系统ID确定该新用户的新密码规则。帐户及密码验证部件130按照所确定的新密码规则验证用户输入的密码是否符合要求、并且验证用户输入的其它注册信息是否合法。在用户输入的密码符合要求时,在用户帐户数据库120中存储该用户帐户的有关信息,诸如,帐户名、密码、角色等。
如图4所示,根据本发明第二实施例的多业务系统的统一的分级安全装置140包括密码转换策略确定部件4402和密码规则确定部件4403。
密码转换策略确定部件4402依据注册提供的角色和该业务系统的业务系统ID在用户集合与密码转换策略的关联关系中查找对应的密码转换策略ID,并且在找不到对应的密码转换策略ID时利用默认密码策略ID作为对应的密码转换策略ID。密码规则确定部件4403将对应的密码转换策略ID中的新密码规则ID确定为注册用户的密码规则ID。
如图5所示,以业务系统S1的新用户注册为例,来例示根据本发明第二实施例的统一的分级安全方法。
在步骤S515,新用户向由统一的用户管理和验证系统为业务系统S1提供的注册页面输入其用户帐户名、密码和角色等必要信息。然后,开始执行根据本发明第二实施例的统一的分级安全方法。
在步骤S520,统一的分级安全装置140中的密码转换策略确定部件4402依据注册提供的角色和业务系统ID(S1),在UserSet_Policy_Map中查找对应的密码转换策略ID。如果没有找到对应的密码转换策略ID,则该方法进行到S530,密码转换策略确定部件4402将默认密码转换策略ID作为对应的密码转换策略ID,并且该方法进行到S535。如果找到了对应的密码转换策略ID,则该方法进行到S535,统一的分级安全装置140中的新密码规则确定部件4403将对应的密码转换策略ID中的新密码规则ID确定为注册用户的新密码规则ID。
然后,在步骤S540,帐户及密码验证部件130按照所确定的新密码规则来验证密码。如果验证密码符合新密码规则的要求,则该方法进行到步骤S545,验证其它注册信息是否合法。如果验证其它注册信息合法,则该方法进行到步骤S550,注册用户成功,用户接口部件110返回注册用户成功信息,并在统一的用户管理和验证系统的用户帐户数据库120中存储该用户帐户的相关信息。如果验证密码不符合新密码规则的要求、或者如果验证其它注册信息不合法,则该方法进行到步骤S555,用户接口部件110返回注册失败和错误信息,并提示新用户如何设置密码。
根据本发明的第二实施例,在新用户向业务系统注册时,由统一的用户分级安全方法和装置确定各业务系统的新用户的密码规则。因此,由统一的分级安全方法和装置通过按照角色粒度或者系统粒度调整用户的密码安全性要求和用户的密码验证方式,可以对不同的角色或不同的业务系统使用不同的加密方式,从而实现了对不同系统中的用户的分级别的安全设置。
基于这里的教导,相关领域的普通技术人员可以容易地确定本发明的特征及优点。相关领域的普通技术人员可以任意组合在本发明的各实施例中包含的所有步骤或部件,并且在具体实施中不必全部包含在本发明的具体实施例中包含的所有步骤或部件。
尽管在这里参照附图详细描述了本发明的示例实施例,但是应当理解,本发明不限于那些精确的实施例,相关领域的普通技术人员在不偏离本发明的范围和精神的情况下容易作出各种改变和修改,并且本发明易于具有替换形式。本发明意欲涵盖落入由所附权利要求书所限定的本发明的精神和范围之内的所有改变和修改、等效物和可替换物。
Claims (13)
1.一种多业务系统的统一的分级安全方法,包括以下步骤:
确定用户帐户的密码规则是否发生改变;
在用户帐户的密码规则发生改变时,根据该用户帐户的用户信息在用户集合与密码转换策略的关联关系中查找对应的密码转换策略ID,该用户信息包括用户ID、角色、或业务系统ID;以及
当找到对应的密码转换策略ID时,根据找到的密码转换策略ID确定该用户帐户的新密码规则ID。
2.如权利要求1所述的统一的分级安全方法,根据找到的密码转换策略ID确定该用户帐户的新密码规则ID进一步包括以下步骤:
将该用户帐户的当前密码规则ID的安全级别作为第一安全级别,将用户集合与密码转换策略的关联关系中设置的安全级别作为第二安全级别,并检查第一安全级别是否低于第二安全级别;
当不低于时,将该用户帐户的当前密码规则ID作为该用户帐户的新密码规则ID;以及
当低于时,根据找到的密码转换策略ID,确定该用户帐户的新密码规则ID。
3.如权利要求1或2所述的统一的分级安全方法,其中,根据找到的密码转换策略ID确定该用户帐户的新密码规则ID进一步包括以下步骤:
检查该密码转换策略ID中的新密码规则ID与该用户帐户的当前密码规则ID是否一致;
当一致时,将该用户帐户的当前密码规则ID作为该用户帐户的新密码规则ID;
当不一致时,将该密码转换策略ID中的新密码规则ID的安全级别作为第三安全级别,并检查第三安全级别是否低于第二安全级别;
当低于时,将该用户帐户的当前密码规则ID作为该用户帐户的新密码规则ID;以及
当不低于时,将该密码转换策略ID中的新密码规则ID作为该用户帐户的新密码规则ID。
4.如权利要求1所述的统一的分级安全方法,其中,确定用户帐户的密码规则ID是否发生改变包括以下步骤:在用户登录或修改密码时,检查该用户帐户的校验策略标识是否为一;
所述统一的分级安全方法进一步包括:
在未找到对应的密码转换策略ID时,或者在该用户帐户的新密码规则ID与该用户帐户的当前密码规则ID相同时,将校验策略标识设置为零;以及
在该用户帐户的新密码规则ID与该用户帐户的当前密码规则ID不同时,在用户成功修改密码后,将该用户帐户的当前密码规则ID更新为该用户帐户的新密码规则ID,并且将校验策略标识设置为零。
5.如权利要求1所述的统一的分级安全方法,其中,按照用户粒度、角色粒度、或系统粒度,由系统管理员设置用户集合与密码转换策略的关联关系;以及
用户粒度的优先级高于角色粒度的优先级,角色粒度的优先级高于系统粒度的优先级。
6.一种多业务系统的统一的分级安全系统,包括:
密码规则变化确定部件,用于确定用户帐户的密码规则是否发生改变;
密码转换策略确定部件,用于在用户帐户的密码规则发生改变时,根据该用户帐户的用户信息在用户集合与密码转换策略的关联关系中查找对应的密码转换策略ID,该用户信息包括用户ID、角色、或业务系统ID;以及
新密码规则确定部件,用于当找到对应的密码转换策略ID时,根据找到的密码转换策略ID确定该用户帐户的新密码规则ID。
7.如权利要求6所述的统一的分级安全系统,所述新密码规则确定部件进一步被配置为:
将该用户帐户的当前密码规则ID的安全级别作为第一安全级别,将用户集合与密码转换策略的关联关系中设置的安全级别作为第二安全级别,并检查第一安全级别是否低于第二安全级别;
当不低于时,将该用户帐户的当前密码规则ID作为该用户帐户的新密码规则ID;
当低于时,根据找到的密码转换策略ID,确定该用户帐户的新密码规则ID。
8.如权利要求6或7所述的统一的分级安全系统,其中,所述新密码规则确定部件进一步被配置为:
检查该密码转换策略ID中的新密码规则ID与该用户帐户的当前密码规则ID是否一致;
当一致时,将该用户帐户的当前密码规则ID作为该用户帐户的新密码规则ID;
当不一致时,将该密码转换策略ID中的新密码规则ID的安全级别作为第三安全级别,并检查第三安全级别是否低于第二安全级别;
当低于时,将该用户帐户的当前密码规则ID作为该用户帐户的新密码规则ID;以及
当不低于时,将该密码转换策略ID中的新密码规则ID作为该用户帐户的新密码规则ID。
9.如权利要求6所述统一的分级安全系统,其中,密码规则变化确定部件被配置为:在用户登录或修改密码时,检查该用户帐户的校验策略标识是否为一;
所述统一的分级安全系统进一步包括:
校验策略标识设置部件,用于在未找到对应的密码转换策略ID时、在该用户帐户的新密码规则ID与该用户帐户的当前密码规则ID相同时、或者在用户成功修改密码后,将校验策略标识设置为零;以及
用户帐户密码规则更新部件,用于在用户成功修改密码后,将该用户帐户的当前密码规则ID更新为该用户帐户的新密码规则ID。
10.如权利要求6所述统一的分级安全系统,其中,按照用户粒度、角色粒度、或系统粒度,由系统管理员设置用户集合与密码转换策略的关联关系;以及
用户粒度的优先级高于角色粒度的优先级,角色粒度的优先级高于系统粒度的优先级。
11.一种多业务系统的统一的分级安全方法,包括以下步骤:
根据注册用户输入的注册信息以及用户所属业务系统的业务系统ID在用户集合与密码转换策略的关联关系中查找对应的密码转换策略ID,该注册信息包括用户的角色;
在找不到对应的密码转换策略ID时,利用默认密码策略ID作为对应的密码转换策略ID;以及
将对应的密码转换策略ID中的新密码规则ID确定为注册用户的密码规则ID。
12.一种多业务系统的统一的分级安全系统,包括:
密码转换策略确定部件,用于根据注册用户输入的注册信息以及用户所属业务系统的业务系统ID在用户集合与密码转换策略的关联关系中查找对应的密码转换策略ID,并且在找不到对应的密码转换策略ID时利用默认密码策略ID作为对应的密码转换策略ID,该注册信息包括用户的角色;以及
密码规则确定部件,用于将对应的密码转换策略ID中的新密码规则ID确定为注册用户的密码规则ID。
13.一种多业务系统的统一的用户管理和验证系统,包括:
用户接口部件,用于接收用户输入的信息以及向用户输出通知信号,用户输入的信息至少包括帐户名和密码;
用户帐户数据库,用于存储用户帐户的相关信息;
帐户及密码验证部件,用于对用户输入的帐户名和密码进行验证;以及
统一的分级安全装置,用于确定已登录的用户帐户的密码规则是否发生变化并且在确定密码规则发生变化时确定该用户帐户的新密码规则,以及用于确定新注册的用户帐户的新密码规则。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010222355.7A CN102314564B (zh) | 2010-06-30 | 2010-06-30 | 多业务系统的统一的分级安全方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010222355.7A CN102314564B (zh) | 2010-06-30 | 2010-06-30 | 多业务系统的统一的分级安全方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102314564A CN102314564A (zh) | 2012-01-11 |
| CN102314564B true CN102314564B (zh) | 2016-03-16 |
Family
ID=45427722
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010222355.7A Active CN102314564B (zh) | 2010-06-30 | 2010-06-30 | 多业务系统的统一的分级安全方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102314564B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104717227B (zh) * | 2012-06-29 | 2018-10-09 | 北京奇虎科技有限公司 | 一种登录控件更新登录信息的方法和装置 |
| CN104243215B (zh) * | 2014-09-28 | 2018-07-27 | 北京奇安信科技有限公司 | 终端设备口令管理的方法、设备及系统 |
| CN105809024A (zh) * | 2014-12-31 | 2016-07-27 | 航天信息软件技术有限公司 | 密码设置方法及装置 |
| CN105634740A (zh) * | 2015-06-29 | 2016-06-01 | 宇龙计算机通信科技(深圳)有限公司 | 指纹密码的验证方法、系统和终端 |
| CN105187401A (zh) * | 2015-08-13 | 2015-12-23 | 浪潮(北京)电子信息产业有限公司 | 一种多系统统一登录的方法与系统 |
| CN110535885A (zh) * | 2019-09-29 | 2019-12-03 | 北京金山云网络技术有限公司 | 一种账户管理方法、装置、服务器、用户终端及存储介质 |
| CN111431714A (zh) * | 2020-03-27 | 2020-07-17 | 国网安徽省电力有限公司宣城供电公司 | 一种交换机账号安全管理方法及装置 |
| CN112287326B (zh) * | 2020-09-28 | 2024-05-24 | 珠海大横琴科技发展有限公司 | 安全认证的方法及装置、电子设备、存储介质 |
| CN115630125B (zh) * | 2022-12-22 | 2023-03-10 | 成都智元汇信息技术股份有限公司 | 一种同步用户在各系统内账户的方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1881228A (zh) * | 2005-06-14 | 2006-12-20 | 华为技术有限公司 | 一种控制系统帐号权限的方法 |
| CN1905446A (zh) * | 2005-07-26 | 2007-01-31 | 国际商业机器公司 | 管理多个验证的基于客户机的方法和系统 |
| CN101131760A (zh) * | 2006-08-25 | 2008-02-27 | 阿里巴巴公司 | 一种检查账户安全性的方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8347347B2 (en) * | 2008-01-09 | 2013-01-01 | International Business Machines Corporation | Password policy enforcement in a distributed directory when policy information is distributed |
-
2010
- 2010-06-30 CN CN201010222355.7A patent/CN102314564B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1881228A (zh) * | 2005-06-14 | 2006-12-20 | 华为技术有限公司 | 一种控制系统帐号权限的方法 |
| CN1905446A (zh) * | 2005-07-26 | 2007-01-31 | 国际商业机器公司 | 管理多个验证的基于客户机的方法和系统 |
| CN101131760A (zh) * | 2006-08-25 | 2008-02-27 | 阿里巴巴公司 | 一种检查账户安全性的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102314564A (zh) | 2012-01-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102314564B (zh) | 多业务系统的统一的分级安全方法及系统 | |
| US9887846B2 (en) | Information processing apparatus, information processing method, information processing program and information processing system | |
| US8578476B2 (en) | System and method for risk assessment of login transactions through password analysis | |
| US9270669B2 (en) | Managing sharing of wireless network login passwords | |
| US9544286B2 (en) | Methods and systems for increasing the security of electronic messages | |
| CN110086783B (zh) | 一种多账户管理的方法、装置、电子设备及存储介质 | |
| US10754826B2 (en) | Techniques for securely sharing files from a cloud storage | |
| US9179312B2 (en) | Registration and login method and mobile terminal | |
| US20140075493A1 (en) | System and method for location-based protection of mobile data | |
| US20090298468A1 (en) | System and method for deleting data in a communication device | |
| US9037849B2 (en) | System and method for managing network access based on a history of a certificate | |
| US20110072502A1 (en) | Method and Apparatus for Identity Verification | |
| US10187386B2 (en) | Native enrollment of mobile devices | |
| CN102447677A (zh) | 资源访问控制方法、系统和设备 | |
| EP3613188B1 (en) | Personal identifier sign-in for organizational users | |
| US20070255958A1 (en) | Claim transformations for trust relationships | |
| KR20060112182A (ko) | 아이덴티티 인식 방법 및 시스템 | |
| US20100077446A1 (en) | Center apparatus, terminal apparatus, and authentication system | |
| US11765153B2 (en) | Wireless LAN (WLAN) public identity federation trust architecture | |
| CN113221093B (zh) | 一种基于区块链的单点登录系统、方法、设备和产品 | |
| CN102868702A (zh) | 系统登录装置和系统登录方法 | |
| US11736474B1 (en) | Automatic account protection for compromised credentials | |
| CN101777992A (zh) | 一种登录网关的方法、设备及系统 | |
| WO2017153990A1 (en) | System and method for device authentication using hardware and software identifiers | |
| CN113535661A (zh) | 基于区块链技术的分布式共享文件管理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |