CN102571874A - 一种分布式系统中的在线审计方法及装置 - Google Patents
一种分布式系统中的在线审计方法及装置 Download PDFInfo
- Publication number
- CN102571874A CN102571874A CN2010106193103A CN201010619310A CN102571874A CN 102571874 A CN102571874 A CN 102571874A CN 2010106193103 A CN2010106193103 A CN 2010106193103A CN 201010619310 A CN201010619310 A CN 201010619310A CN 102571874 A CN102571874 A CN 102571874A
- Authority
- CN
- China
- Prior art keywords
- user
- authority
- distributed system
- role
- digital certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012550 audit Methods 0.000 title claims abstract description 59
- 238000000034 method Methods 0.000 title claims abstract description 39
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 claims description 13
- 238000012795 verification Methods 0.000 abstract description 2
- 230000006872 improvement Effects 0.000 description 16
- 238000005516 engineering process Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 3
- 235000016936 Dendrocalamus strictus Nutrition 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000000368 destabilizing effect Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种分布式系统中的在线审计方法及装置,在分布式系统中用户通过客户端完成身份认证,登录分布式系统后,每次执行操作时,重新对其密钥和数字证书进行验证,验证通过后参照该用户当前的角色所对应的权限信息对其操作信息进行审计,如果该权限信息中包含该操作的权限,则允许该用户执行相应操作,反之则禁止该用户执行该操作;从而确保分布式系统中用户在登录系统之后的操作合法有效,防止发生用户身份被盗用执行非法操作、或者执行权限范围外的操作的情况;如操作者临时离开,他人盗用其身份进行操作,或者低端用户冒充高端用户身份、执行权限范围外操作等情况,最大程度保障系统安全。
Description
技术领域
本发明涉及一种分布式系统中的在线审计技术
背景技术
分布式平台是一项基于中间件的技术,中间件是一种独立的系统软件或服务程序,分布式平台通过该技术在不同的服务器之间共享资源,统一管理分布于不同服务器的服务和资源。用户在需要使用服务或资源时,通过客户端向分布式平台发出所需服务/资源的请求,并由分布式平台对用户所请求的服务/资源进行定位,找到该服务/资源所在的服务器,将该请求发送至对应的服务器进行处理,服务器处理完毕后,得出的处理结果仍然通过此分布式平台反馈给该客户端。
在分布式系统中,为了防止安全威胁,必须在整个系统运作中采用安全防范措施,即安全认证方法。具体的说,首先对于每一个处于客户端的用户,该系统都对其进行身份验证,并在验证通过后颁发数字证书和属性证书。用户在客户端登陆后都会对其所提供的证书和密钥进行鉴定,只有在证明其合法身份及确定权限后,其所提出的请求才会得到响应。这个过程就是确认实体是他自己所声明的自己以及拥有合法有效的访问权限。使用数字证书的身份认证是一种强因子认证。数字证书是第三方权威公正的颁发机构签发,所以他能向一个实体确认另一个实体确实是他自己。
在现有技术中,安全服务只在登录时进行身份和权限验证,就认定其在随后的运行时间内一直处于合法的身份和有效的权限分配。这为整个系统的安全性留下了隐患,为恶意攻击者提供了机会,并对审计模块的正常执行带来了不稳定因素。特别是针对一些重要工业数据的访问,执行更新、删除和复制操作时,仅对使用主体进行“一次验证通过,永远有效”的访问控制是不合理、不可靠及不彻底的。此时,则需要对分布式平台上运行一种更为有效的在线审计方法。
发明内容
本发明主要解决的技术问题是提供一种分布式系统中的在线审计方法及装置,确保分布式系统中用户在登录系统之后所执行的操作合法有效,防止发生用户身份被盗用执行操作、或者执行权限范围外的操作的情况,最大程度保障系统安全。
为了解决上述技术问题,本发明提供了一种分布式系统中的在线审计方法,包含以下步骤:
分布式系统中每个用户包含一身份认证模块,该身份认证模块中存储该受控端的数字证书、角色信息和角色对应的权限信息;
用户在客户端使用所述数字证书通过身份认证后,登录该分布式系统;
在登录后的用户每次执行操作时,对用户的密钥和数字证书重新进行验证,在验证通过后,参照该用户当前的角色所对应的权限信息对其操作信息进行审计,如果该权限信息中包含所述操作的权限,则允许该用户执行所述操作,反之则禁止该用户执行所述操作。
作为上述技术方案的改进,如果所述受控端对应至少两个角色,则该受控端的身份认证模块中对应包含各角色的角色信息和各角色对应的权限信息;
受控端在登录所述分布式系统时,选择当前使用的角色。
作为上述技术方案的改进,身份认证模块为一外接模块,数字证书验证的步骤和所述操作信息审计的步骤中,从该外接的身份认证模块获取受控端的数字证书和当前角色所对应的权限信息,如果该受控端与所述外接的身份认证模块断开连接,则该数字证书验证或所述操作信息审计失败。
作为上述技术方案的改进,用户执行的操作至少包含以下之一:获取服务、访问系统资源、访问后台数据。
作为上述技术方案的改进,数字证书为基于X.509标准的数字证书;
角色对应的权限信息保存在该基于X.509标准的数字证书的扩展字段中。
作为上述技术方案的改进,分布式系统中各类系统资源和后台数据分别对应一权限值,该分布式系统中的各服务分别对应一服务码;
身份认证模块存储的权限信息包括一可访问服务列表和一权限值;
参照用户当前的角色所对应的权限信息对其操作信息进行审计的方式为:
如果用户请求获取服务,则读取其请求中的服务码及其身份认证模块中对应当前角色的可访问服务列表,如果该服务码在该列表中对应的权限为允许,则允许该用户获取所述服务;反之如果该服务码对应的权限为禁止,则禁止该用户获取所述服务;
如果用户请求访问系统资源或后台数据,则将该待访问的系统资源或后台数据的权限值与该用户的权限值相比较,如果用户权限值高于或等于待访问的系统资源或后台数据的权限值,则允许该用户访问所述系统资源或后台数据;反之,则禁止该用户访问所述系统资源或后台数据。
作为上述技术方案的改进,可访问服务列表为一字符串,字符串中每个比特对应一个服务,该比特的值为0或1代表该用户是否有权限访问相应的服务。
作为上述技术方案的改进,对于预设范围内的高安全等级的执行操作,保存审计日志;
该审计日志至少包含以下之一:操作时间、数据源、安全等级和访问结果。
本发明还提供了一种分布式系统中的在线审计装置,还包含:
分布式系统中每个用户包含一身份认证模块,该身份认证模块中存储该用户的数字证书、角色信息和角色对应的权限信息,该装置包含:
验证模块,用于对用户的密钥和数字证书进行验证,在验证通过后,允许该用户登录所述分布式系统;以及,在登录后的用户每次执行操作时,对该用户的密钥和数字证书重新进行验证,在验证通过后指示权限审计模块进行审计;
权限审计模块,用于在用户每次执行操作时,参照该用户当前的角色所对应的权限信息对其操作信息进行审计,如果该权限信息中包含所述操作的权限,则允许该用户执行所述操作,反之则禁止该用户执行所述操作。
作为上述技术方案的改进,如果用户对应至少两个角色,则该用户的身份认证模块中对应包含各角色的角色信息和各角色对应的权限信息;
用户在登录所述分布式系统时,选择当前使用的角色。
作为上述技术方案的改进,用户的身份认证模块为一外接模块,验证模块和权限审计模块从该外接的身份认证模块获取用户的数字证书和当前角色所对应的权限信息,如果外接的身份认证模块与用户使用的客户端断开连接,则该数字证书验证或所述操作信息审计失败。
作为上述技术方案的改进,数字证书为基于X.509标准的数字证书;
角色对应的权限信息保存在该基于X.509标准的数字证书的扩展字段中。
作为上述技术方案的改进,用户执行的操作至少包含以下之一:获取服务、访问系统资源、访问后台数据;
分布式系统中各类系统资源和后台数据分别对应一权限值,该分布式系统中的各服务分别对应一服务码;身份认证模块存储的权限信息包括一可访问服务列表和一权限值;
权限审计模块对操作信息进行审计的方式为:
如果用户请求获取服务,则读取其请求中的服务码及其身份认证模块中对应当前角色的可访问服务列表,如果该服务码在该列表中对应的权限为允许,则允许该用户获取所述服务;反之如果该服务码对应的权限为禁止,则禁止该用户获取所述服务;
如果用户请求访问系统资源或后台数据,则将该待访问的系统资源或后台数据的权限值与该用户的权限值相比较,如果用户权限值高于或等于待访问的系统资源或后台数据的权限值,则允许该用户访问所述系统资源或后台数据;反之,则禁止该用户访问所述系统资源或后台数据。
作为上述技术方案的改进,可访问服务列表为一字符串,字符串中每个比特对应一个服务,该比特的值为0或1代表该用户是否有权限访问相应的服务。
作为上述技术方案的改进,该系统还包含:
审计日志模块,对于预设范围内的高安全等级的执行操作,保存审计日志;
该审计日志至少包含以下之一:操作时间、数据源、安全等级和访问结果。
本发明实施方式与现有技术相比,主要区别及其效果在于:在分布式系统中用户通过客户端完成身份认证,登录分布式系统后,每次执行操作时,重新对其密钥和数字证书进行验证,验证通过后参照该用户当前的角色所对应的权限信息对其操作信息进行审计,如果该权限信息中包含该操作的权限,则允许该用户执行相应操作,反之则禁止该用户执行该操作;从而确保分布式系统中用户在登录系统之后的操作合法有效,防止发生用户身份被盗用执行非法操作、或者执行权限范围外的操作的情况;如操作者临时离开,他人盗用其身份进行操作,或者低端用户冒充高端用户身份、执行权限范围外操作等情况,最大程度保障系统安全。
该身份认证模块为一外接模块,数字证书验证的步骤和操作信息审计的步骤中,均从该外接的身份认证模块获取用户的数字证书和当前角色所对应的权限信息,一旦外接的身份认证模块与用户当前所使用的客户端断开连接,则数字证书验证或操作信息审计失败,用户无法执行任何操作,保障了系统安全性。
对于安全等级较高的资源访问及执行操作,都会留下包含时间、数据源、安全等级和访问结果等信息的审计日志,用以今后的统计和跟踪,随时发现可疑情况。
附图说明
下面结合附图和具体实施方式对本发明作进一步详细说明。
图1是本发明第一实施方式一种分布式系统中的在线审计方法流程图;
图2是本发明第一实施方式中的X.509身份证书结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明的实施方式作进一步地详细描述。
本发明第一实施方式涉及一种分布式系统中的在线审计方法,本实施方式中,在分布式系统中的受控端每次执行操作前,都要进行身份鉴定和权限审计,即对于每一次用户的数据访问、操作执行及资源享用都有进行审核、身份鉴定、访问服务和权限值的审计,而对于预设范围内的高安全等级的执行操作,还并进行跟踪记录,生成日志信息,以便日后系统据此产生离线统计和审计报告。
本实施方式中,用户向分布式平台发出登陆请求,并输入相应的密码。若登陆界面上存在两个或以上的角色时,选择相应的角色。此时,分布式平台结合密钥对数字证书进行验证,并参照当前的角色进行权限审计。经分布式平台验证通过后,返回相应的用户界面。若用户需要执行一操作,需向分布式平台递交相应的操作信息,由分布式平台进行身份和权限的双重审计,并记录下相应的审计日志。
具体的在线审计方法如图1所示,在步骤101中,用户通过客户端向分布式平台发出登陆请求,在客户端上外接一身份认证模块(如USBkey),并在客户端输入相应的密码。本步骤中,若该用户关联两个或以上的角色时,还需要选择当前登录的角色。该身份认证模块中包含该用户的数字证书、该用户对应的角色的角色信息和角色对应的权限信息。对于包含多个角色的用户,该身份认证模块中分别包含各角色信息,以及各角色对应的权限信息。
步骤102中,分布式平台结合用户的密钥对其数字证书进行验证。即首先验证用户的密钥,在密钥验证通过后,再对其数字证书进行验证。
从该外接的身份认证模块获取用户的数字证书,如果用户使用的客户端与外接的身份认证模块断开连接,则身份认证失败。
其中,数字证书采用基于X.509标准,上述角色信息及角色对应的权限信息保存在该数字证书的扩展字段中,如图2所示。
步骤103中,向用户返回验证结果。若验证通过,则返回该角色和权限相对应的用户界面,进入步骤104。若没有通过验证,则返回登录失败信息,结束本流程。
步骤104中,用户向分布式平台递交所需执行操作请求。用户需要执行的操作一般包括:获取服务、访问系统资源、访问后台数据。
步骤105中,分布式平台收到该执行操作的请求后,先对用户进行身份认证,在身份认证通过后,参照该用户当前的角色所对应的权限信息对其操作信息进行审计,确定该用户是否有执行相应操作的权限,如果有执行该操作的权限则进入步骤106,如果没有则进入步骤107。
其中,身份认证的方式同步骤102,结合用户的密钥对数字证书进行验证。即要求用户输入密码,对该用户的密码及数字证书分别进行验证。
上述参照该用户当前的角色所对应的权限信息对其操作信息进行审计的方式如下:
分布式系统中的各服务分别对应一服务码;分布式系统中各类系统资源和后台数据分别对应一权限值。用户的身份认证模块存储的权限信息包括一可访问服务列表和一权限值。
其中,可访问服务列表为一字符串,共128比特。字符串中每个比特对应一个服务,该比特的值为1表示允许该用户使用该服务,该比特的值为0标表示禁止使用该服务,如表1所示。
表1
如果用户请求执行的操作为获取服务,则读取其请求中的服务码及其身份认证模块中对应当前角色的可访问服务列表,如果该服务码在该列表中对应的权限为允许,则允许该用户获取该服务;反之如果该服务码对应的权限为禁止,则禁止该用户获取该服务。以服务A为例,用户在需要请求获取该服务时,在其操作请求中包含服务码28,分布式平台根据该服务码找到该用户的可访问服务列表中相应的比特,该比特为0,说明禁止该用户获取该服务。
如果用户请求访问系统资源或后台数据,则将该待访问的系统资源或后台数据的权限值与该用户的权限值相比较,如果用户权限值高于或等于待访问的系统资源或后台数据的权限值,则允许该用户访问系统资源或后台数据;反之,则禁止该用户访问系统资源或后台数据。举例而言,用户希望访问A资源,则在其操作请求中包含所请求的资源标识,分布式平台收到该请求后,根据该资源标识确定A资源的权限值,将该权限值与身份认证模块中存储的权限值相比较,如果用户身份认证模块中的权限值低于A资源的权限值,则禁止该用户访问A资源,反之则允许该用户访问A资源。
步骤106中,对照用户当前角色对应的可访问列表的相应位置,在对应位置的比特为1时,该用户具有执行该操作的权限,向该用户返回操作接口,如所请求服务的接口、所请求资源或后台数据的访问接口。
步骤107中,在权限审计得到该用户不具有执行该操作的权限,返回操作请求失败的信息。
综上所述,用户在进行每一次操作执行、每一次数据调用、每一次资源访问时,都需要在分布式系统中的在线审计处进行身份认证和权限认证,该方法对于安全等级较高的资源访问及执行操作,都会留下包含时间、数据源、安全等级和访问结果等信息的审计日志,用以今后的统计和跟踪。从而进一步确保了分布式系统中用户、应用程序、服务器及系统应用场景中的各种合法角色在登录系统之后的操作中的身份和权限合法有效,最大程度保障系统安全。
本发明第二实施方式涉及一种分布式系统中的在线审计装置,包含:分布式系统中每个用户包含一身份认证模块,该身份认证模块中存储该用户的数字证书、角色信息和角色对应的权限信息,该装置包含:
验证模块,用于对用户的密钥和数字证书进行验证,在验证通过后,允许该用户登录分布式系统;以及,在登录后的用户每次执行操作时,对该用户的密钥和数字证书重新进行验证,在验证通过后指示权限审计模块进行审计;
权限审计模块,用于在用户每次执行操作时,参照该用户当前的角色所对应的权限信息对其操作信息进行审计,如果该权限信息中包含操作的权限,则允许该用户执行操作,反之则禁止该用户执行操作。
如果用户对应至少两个角色,则该用户的身份认证模块中对应包含各角色的角色信息和各角色对应的权限信息;用户在登录分布式系统时,选择当前使用的角色。
用户的身份认证模块为一外接模块,验证模块和权限审计模块从该外接的身份认证模块获取用户的数字证书和当前角色所对应的权限信息,如果外接的身份认证模块与用户使用的客户端断开连接,则该数字证书验证或操作信息审计失败。
作为上述技术方案的改进,数字证书为基于X.509标准的数字证书;角色对应的权限信息保存在该基于X.509标准的数字证书的扩展字段中。
用户执行的操作至少包含以下之一:获取服务、访问系统资源、访问后台数据;
分布式系统中各类系统资源和后台数据分别对应一权限值,该分布式系统中的各服务分别对应一服务码;身份认证模块存储的权限信息包括一可访问服务列表和一权限值;
权限审计模块对操作信息进行审计的方式为:
如果用户请求获取服务,则读取其请求中的服务码及其身份认证模块中对应当前角色的可访问服务列表,如果该服务码在该列表中对应的权限为允许,则允许该用户获取服务;反之如果该服务码对应的权限为禁止,则禁止该用户获取服务;
如果用户请求访问系统资源或后台数据,则将该待访问的系统资源或后台数据的权限值与该用户的权限值相比较,如果用户权限值高于或等于待访问的系统资源或后台数据的权限值,则允许该用户访问系统资源或后台数据;反之,则禁止该用户访问系统资源或后台数据。
作为上述技术方案的改进,可访问服务列表为一字符串,字符串中每个比特对应一个服务,该比特的值为0或1代表该用户是否有权限访问相应的服务。
作为上述技术方案的改进,该系统还包含:审计日志模块,对于预设范围内的高安全等级的执行操作,保存审计日志;该审计日志至少包含以下之一:操作时间、数据源、安全等级和访问结果。
虽然通过参照本发明的某些优选实施方式,已经对本发明进行了图示和描述,但本领域的普通技术人员应该明白,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。
Claims (15)
1.一种分布式系统中的在线审计方法,其特征在于,包含以下步骤:
所述分布式系统中每个用户包含一身份认证模块,该身份认证模块中存储该受控端的数字证书、角色信息和角色对应的权限信息;
所述用户在客户端使用所述数字证书通过身份认证后,登录所述分布式系统;
在所述登录后的用户每次执行操作时,对所述用户的密钥和数字证书重新进行验证,在验证通过后,参照该用户当前的角色所对应的权限信息对其操作信息进行审计,如果该权限信息中包含所述操作的权限,则允许该用户执行所述操作,反之则禁止该用户执行所述操作。
2.根据权利要求1所述的分布式系统中的在线审计方法,其特征在于,如果所述受控端对应至少两个角色,则该受控端的身份认证模块中对应包含各角色的角色信息和各角色对应的权限信息;
所述受控端在登录所述分布式系统时,选择当前使用的角色。
3.根据权利要求2所述的分布式系统中的在线审计方法,其特征在于,所述身份认证模块为一外接模块,所述数字证书验证的步骤和所述操作信息审计的步骤中,从该外接的身份认证模块获取受控端的数字证书和当前角色所对应的权限信息,如果所述受控端与所述外接的身份认证模块断开连接,则所述数字证书验证或所述操作信息审计失败。
4.根据权利要求1所述的分布式系统中的在线审计方法,其特征在于,所述用户执行的操作至少包含以下之一:获取服务、访问系统资源、访问后台数据。
5.根据权利要求4所述的分布式系统中的在线审计方法,其特征在于,所述数字证书为基于X.509标准的数字证书;
所述角色对应的权限信息保存在该基于X.509标准的数字证书的扩展字段中。
6.根据权利要求5所述的分布式系统中的在线审计方法,其特征在于,所述分布式系统中各类系统资源和后台数据分别对应一权限值,所述分布式系统中的各服务分别对应一服务码;
所述身份认证模块存储的权限信息包括一可访问服务列表和一权限值;
所述参照用户当前的角色所对应的权限信息对其操作信息进行审计的方式为:
如果所述用户请求获取服务,则读取其请求中的服务码及其身份认证模块中对应当前角色的可访问服务列表,如果该服务码在该列表中对应的权限为允许,则允许该用户获取所述服务;反之如果该服务码对应的权限为禁止,则禁止该用户获取所述服务;
如果所述用户请求访问系统资源或后台数据,则将该待访问的系统资源或后台数据的权限值与该用户的权限值相比较,如果用户权限值高于或等于待访问的系统资源或后台数据的权限值,则允许该用户访问所述系统资源或后台数据;反之,则禁止该用户访问所述系统资源或后台数据。
7.根据权利要求6所述的分布式系统中的在线审计方法,其特征在于,所述可访问服务列表为一字符串,字符串中每个比特对应一个服务,该比特的值为0或1代表该用户是否有权限访问相应的服务。
8.根据权利要求1至7中任意一项所述的分布式系统中的在线审计方法,其特征在于,对于预设范围内的高安全等级的执行操作,保存审计日志;
所述审计日志至少包含以下之一:操作时间、数据源、安全等级和访问结果。
9.一种分布式系统中的在线审计装置,其特征在于,所述分布式系统中每个用户包含一身份认证模块,该身份认证模块中存储该用户的数字证书、角色信息和角色对应的权限信息,该装置包含:
验证模块,用于对所述用户的密钥和数字证书进行验证,在验证通过后,允许该用户登录所述分布式系统;以及,在所述登录后的用户每次执行操作时,对所述用户的密钥和数字证书重新进行验证,在验证通过后指示权限审计模块进行审计;
权限审计模块,用于在用户每次执行操作时,参照该用户当前的角色所对应的权限信息对其操作信息进行审计,如果该权限信息中包含所述操作的权限,则允许该用户执行所述操作,反之则禁止该用户执行所述操作。
10.根据权利要求9所述的分布式系统中的在线审计装置,其特征在于,如果所述用户对应至少两个角色,则该用户的身份认证模块中对应包含各角色的角色信息和各角色对应的权限信息;
所述用户在登录所述分布式系统时,选择当前使用的角色。
11.根据权利要求10所述的分布式系统中的在线审计装置,其特征在于,所述用户的身份认证模块为一外接模块,所述验证模块和权限审计模块从该外接的身份认证模块获取用户的数字证书和当前角色所对应的权限信息,如果所述外接的身份认证模块与用户使用的客户端断开连接,则所述数字证书验证或所述操作信息审计失败。
12.根据权利要求11所述的分布式系统中的在线审计装置,其特征在于,所述数字证书为基于X.509标准的数字证书;
所述角色对应的权限信息保存在该基于X.509标准的数字证书的扩展字段中。
13.根据权利要求9所述的分布式系统中的在线审计装置,其特征在于,所述用户执行的操作至少包含以下之一:获取服务、访问系统资源、访问后台数据;
所述分布式系统中各类系统资源和后台数据分别对应一权限值,所述分布式系统中的各服务分别对应一服务码;所述身份认证模块存储的权限信息包括一可访问服务列表和一权限值;
所述权限审计模块对操作信息进行审计的方式为:
如果所述用户请求获取服务,则读取其请求中的服务码及其身份认证模块中对应当前角色的可访问服务列表,如果该服务码在该列表中对应的权限为允许,则允许该用户获取所述服务;反之如果该服务码对应的权限为禁止,则禁止该用户获取所述服务;
如果所述用户请求访问系统资源或后台数据,则将该待访问的系统资源或后台数据的权限值与该用户的权限值相比较,如果用户权限值高于或等于待访问的系统资源或后台数据的权限值,则允许该用户访问所述系统资源或后台数据;反之,则禁止该用户访问所述系统资源或后台数据。
14.根据权利要求13所述的分布式系统中的在线审计装置,其特征在于,所述可访问服务列表为一字符串,字符串中每个比特对应一个服务,该比特的值为0或1代表该用户是否有权限访问相应的服务。
15.根据权利要求9至14中任意一项所述的分布式系统中的在线审计装置,其特征在于,还包含:
审计日志模块,对于预设范围内的高安全等级的执行操作,保存审计日志;
所述审计日志至少包含以下之一:操作时间、数据源、安全等级和访问结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010619310.3A CN102571874B (zh) | 2010-12-31 | 2010-12-31 | 一种分布式系统中的在线审计方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010619310.3A CN102571874B (zh) | 2010-12-31 | 2010-12-31 | 一种分布式系统中的在线审计方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102571874A true CN102571874A (zh) | 2012-07-11 |
| CN102571874B CN102571874B (zh) | 2014-08-13 |
Family
ID=46416345
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010619310.3A Active CN102571874B (zh) | 2010-12-31 | 2010-12-31 | 一种分布式系统中的在线审计方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102571874B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102833070A (zh) * | 2012-08-08 | 2012-12-19 | 北京九恒星科技股份有限公司 | 普通用户的数字证书绑定方法、系统及数字证书认证中心 |
| CN102902898A (zh) * | 2012-09-21 | 2013-01-30 | 中国科学院信息工程研究所 | 多维数字媒体的资源使用控制方法及装置 |
| CN107465688A (zh) * | 2017-09-04 | 2017-12-12 | 广西电网有限责任公司电力科学研究院 | 一种状态监测评价系统网络应用权限的标识方法 |
| CN109255215A (zh) * | 2018-10-17 | 2019-01-22 | 北京京航计算通讯研究所 | 一种违规操作的发现和响应系统 |
| CN109255216A (zh) * | 2018-10-17 | 2019-01-22 | 北京京航计算通讯研究所 | 一种违规操作的发现和响应方法 |
| CN110287710A (zh) * | 2019-06-03 | 2019-09-27 | 深圳市琦迹技术服务有限公司 | 安全管理方法及其相关设备 |
| CN111797382A (zh) * | 2020-05-21 | 2020-10-20 | 北京中软华泰信息技术有限责任公司 | 一种特权账号的权限控制管理方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6314521B1 (en) * | 1997-11-26 | 2001-11-06 | International Business Machines Corporation | Secure configuration of a digital certificate for a printer or other network device |
| CN1556449A (zh) * | 2004-01-08 | 2004-12-22 | 中国工商银行 | 对网上银行数据进行加密、认证的装置和方法 |
| CN2667807Y (zh) * | 2004-01-08 | 2004-12-29 | 中国工商银行 | 网上银行利用USBKey加密、认证的装置 |
| CN1661955A (zh) * | 2004-02-27 | 2005-08-31 | 华为技术有限公司 | 一种保证通用鉴权框架系统安全的方法 |
-
2010
- 2010-12-31 CN CN201010619310.3A patent/CN102571874B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6314521B1 (en) * | 1997-11-26 | 2001-11-06 | International Business Machines Corporation | Secure configuration of a digital certificate for a printer or other network device |
| CN1556449A (zh) * | 2004-01-08 | 2004-12-22 | 中国工商银行 | 对网上银行数据进行加密、认证的装置和方法 |
| CN2667807Y (zh) * | 2004-01-08 | 2004-12-29 | 中国工商银行 | 网上银行利用USBKey加密、认证的装置 |
| CN1661955A (zh) * | 2004-02-27 | 2005-08-31 | 华为技术有限公司 | 一种保证通用鉴权框架系统安全的方法 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102833070A (zh) * | 2012-08-08 | 2012-12-19 | 北京九恒星科技股份有限公司 | 普通用户的数字证书绑定方法、系统及数字证书认证中心 |
| CN102833070B (zh) * | 2012-08-08 | 2016-04-27 | 北京九恒星科技股份有限公司 | 普通用户的数字证书绑定方法、系统及数字证书认证中心 |
| CN102902898A (zh) * | 2012-09-21 | 2013-01-30 | 中国科学院信息工程研究所 | 多维数字媒体的资源使用控制方法及装置 |
| CN102902898B (zh) * | 2012-09-21 | 2018-05-18 | 中国科学院信息工程研究所 | 多维数字媒体的资源使用控制方法及装置 |
| CN107465688A (zh) * | 2017-09-04 | 2017-12-12 | 广西电网有限责任公司电力科学研究院 | 一种状态监测评价系统网络应用权限的标识方法 |
| CN109255215A (zh) * | 2018-10-17 | 2019-01-22 | 北京京航计算通讯研究所 | 一种违规操作的发现和响应系统 |
| CN109255216A (zh) * | 2018-10-17 | 2019-01-22 | 北京京航计算通讯研究所 | 一种违规操作的发现和响应方法 |
| CN110287710A (zh) * | 2019-06-03 | 2019-09-27 | 深圳市琦迹技术服务有限公司 | 安全管理方法及其相关设备 |
| CN111797382A (zh) * | 2020-05-21 | 2020-10-20 | 北京中软华泰信息技术有限责任公司 | 一种特权账号的权限控制管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102571874B (zh) | 2014-08-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11063928B2 (en) | System and method for transferring device identifying information | |
| CN106330850B (zh) | 一种基于生物特征的安全校验方法及客户端、服务器 | |
| US10754826B2 (en) | Techniques for securely sharing files from a cloud storage | |
| CN108964885B (zh) | 鉴权方法、装置、系统和存储介质 | |
| US8955076B1 (en) | Controlling access to a protected resource using multiple user devices | |
| CN110149328B (zh) | 接口鉴权方法、装置、设备及计算机可读存储介质 | |
| CN108111473B (zh) | 混合云统一管理方法、装置和系统 | |
| CN102571873B (zh) | 一种分布式系统中的双向安全审计方法及装置 | |
| US8572714B2 (en) | Apparatus and method for determining subject assurance level | |
| CN106559408B (zh) | 一种基于信任管理的sdn认证方法 | |
| CN109257209A (zh) | 一种数据中心服务器集中管理系统及方法 | |
| US9825938B2 (en) | System and method for managing certificate based secure network access with a certificate having a buffer period prior to expiration | |
| CN102571874B (zh) | 一种分布式系统中的在线审计方法及装置 | |
| CN103259663A (zh) | 一种云计算环境下的用户统一认证方法 | |
| CN103827811A (zh) | 管理基本输入/输出系统(bios)的访问 | |
| CN105430014B (zh) | 一种单点登录方法及其系统 | |
| JP5013931B2 (ja) | コンピューターログインをコントロールする装置およびその方法 | |
| WO2019205389A1 (zh) | 电子装置、基于区块链的身份验证方法、程序和计算机存储介质 | |
| CN101321064A (zh) | 一种基于数字证书技术的信息系统的访问控制方法及装置 | |
| KR20060032888A (ko) | 인터넷 통한 신원정보 관리 장치 및 이를 이용한 서비스제공방법 | |
| JP2017152880A (ja) | 認証システム、鍵処理連携方法、および、鍵処理連携プログラム | |
| US20140250499A1 (en) | Password based security method, systems and devices | |
| JP2012118833A (ja) | アクセス制御方法 | |
| JP2010097510A (ja) | リモートアクセス管理システム及び方法 | |
| CN109639695A (zh) | 基于互信架构的动态身份认证方法、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: SHANGHAI DONGPU DATA SERVICE CO., LTD. Free format text: FORMER OWNER: SHANGHAI KELU SOFTWARE CO., LTD. Effective date: 20150114 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 201203 PUDONG NEW AREA, SHANGHAI TO: 200000 PUDONG NEW AREA, SHANGHAI |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20150114 Address after: 200000, room 3, building 2388, 529 Pu Pu Road, Shanghai, Pudong New Area Patentee after: Shanghai Dongpu Data Service Co.,Ltd. Address before: 201203 Shanghai city Pudong New Area road 887 Lane 82 Zuchongzhi Building No. two North Patentee before: Shanghai Kelu Software Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240116 Address after: Shanghai City, Pudong New Area road 887 Lane 82 Zuchongzhi Building No. two North Patentee after: Shanghai Kelu Software Co.,Ltd. Patentee after: Shanghai Left Bank Investment Management Co.,Ltd. Address before: Room 529, Building 3, No. 2388 Xiupu Road, Pudong New Area, Shanghai Patentee before: Shanghai Dongpu Data Service Co.,Ltd. |