CN102833226A - 一种信息访问系统及其安全控制方法 - Google Patents
一种信息访问系统及其安全控制方法 Download PDFInfo
- Publication number
- CN102833226A CN102833226A CN2012102099991A CN201210209999A CN102833226A CN 102833226 A CN102833226 A CN 102833226A CN 2012102099991 A CN2012102099991 A CN 2012102099991A CN 201210209999 A CN201210209999 A CN 201210209999A CN 102833226 A CN102833226 A CN 102833226A
- Authority
- CN
- China
- Prior art keywords
- access control
- information
- authentication
- line module
- principal mode
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明披露了一种信息访问系统及其安全控制方法,涉及用户模块、自主型访问控制子系统以及域验证访问控制子系统,该方法包括:自主型访问控制子系统根据用户模块在进行信息访问时输入的验证信息,分别请求域验证访问控制子系统进行域验证访问控制验证以及本子系统进行自主型访问控制验证,并在确认全部验证均通过,允许用户模块访问信息数据库。本发明将AD访问控制方法与自主型访问控制方法相结合,对自主型访问控制的输入信息做二次甄别和验证,并对验证通过的用户信息进行本地化处理,同时能够对用户的信息及时进行响应更新,达到权限验证的安全性和统一性。
Description
技术领域
本发明涉及计算机应用安全技术,尤其涉及信息访问系统及其安全控制方法。
背景技术
全球的信息化步伐越来越快,数据总量正在急速的增长,所以数据存储的安全性变得越来越重要。信息化给人们带来快捷的服务和方便的管理时,也给人们带来数字信息丢失的风险,因此用户权限管理的重要性地位便越发突出。
用户权限往往是一个极其复杂的问题。针对不同的应用,需要根据项目的实际情况和具体架构,在维护性、灵活性、完整性等多个方案因素之间比较权衡,选择适合的方案。
在企业环境中的信息访问安全控制方法,一般有以下三种:
(1)自主型访问控制方法
目前在我国的大多数的信息系统中的访问控制模块中基本是借助于自主型访问控制方法中的访问控制列表(ACLs)。
自主型访问控制方法是通过应用中的系统数据库进行验证,这种方法存在一定的风险,数据库被攻破后,整个系统资源会对外开放,系统的安全性得不到保证。
(2)基于域验证(AD,Active Directory)访问控制方法
基于域验证访问控制方法是利用现有的资源进行用户验证,它是目前公认的解决大型企业的统一资源访问控制的比较有效的方法。其显著的两大特征是:
1)减小授权管理的复杂性,降低管理开销;
2)灵活地支持企业的安全策略,并对企业的变化有很大的伸缩性;
(3)强制型访问控制方法
该方法用于多层次安全级别的军事应用。
以上中,基于AD访问控制方法,是将安全性通过登录身份验证以及目录对象的访问控制集成在域验证之中。通过单点网络登录,管理员可以管理分散在网络各处的目录数据和组织单位,经过授权的网络用户可以访问网络任意位置的资源。
域验证通过对象访问控制列表以及用户凭据保护其存储的用户帐户和组信息。因为域验证不但可以保存用户凭据,而且可以保存访问控制信息,所以登录到网络上的用户既能够获得身份验证,也可以获得访问系统资源所需的权限。例如,在用户登录到网络上的时候,安全系统首先利用存储在域验证中的信息验证用户的身份。然后,在用户试图访问网络服务的时候,系统会检查在服务的自由访问控制列表(DCAL)中所定义的属性。
由于域验证允许管理员创建组帐户,使得管理员可以更加有效地管理系统的安全性。例如,管理员通过调整文件的属性,能够允许某个组中的所有用户读取该文件。通过这种办法,系统将根据用户的组成员身份控制其对域验证中对象的访问操作。
使用AD访问控制方法通过对象访问控制列表以及用户凭据保护其存储的用户帐户和组信息。在用户登录到网络上的时候,安全系统首先利用存储在域验证中的信息验证用户的身份。然后,在用户试图访问网络服务的时候,系统会检查在服务的自由访问控制列表中所定义的属性。
基于AD访问控制方法,管理员固然可以有效地管理系统的安全性。但是,使用AD访问控制方法目前尚无法做到与自主型访问控制方法相结合,亦即无法将AD访问控制结合到自主型应用系统中,这将会在使用过程中往往需要通过人工干预,才能使得域验证控制下的用户(指应用软件)和自主应用系统的(指应用软件)达到统一。在现代的信息化社会中,需要人工干预才能达到使用效果的应用系统,是非常不方便的系统。
因此,需要提供一种信息访问系统及其安全控制方法,能够自动将AD访问控制结合到自主型应用系统中,从而大大提高自主型应用系统信息访问的安全性。
发明内容
本发明所要解决的技术问题是提供一种信息访问系统及其安全控制方法,能够明显提高自主型应用系统信息访问的安全性。
为了解决上述技术问题,本发明提供了一种用于信息访问系统提供的安全控制方法,涉及用户模块、自主型访问控制子系统以及域验证访问控制子系统,该方法包括:
自主型访问控制子系统根据用户模块在进行信息访问时输入的验证信息,分别请求域验证访问控制子系统进行域验证访问控制验证以及本子系统进行自主型访问控制验证,并在确认全部验证均通过,允许用户模块访问信息数据库。
进一步地,用户模块在进行所述信息访问时输入的验证信息包括用户名称和密码。
进一步地,该方法具体包括:
自主型访问控制子系统根据用户模块输入的用户名称和密码请求域验证访问控制子系统进行域验证访问控制验证;
域验证访问控制子系统根据自主型访问控制子系统的请求对用户名称和密码进行域验证访问控制验证,并在验证成功后返回该验证成功信息,或在验证失败后返回验证失败信息;
自主型访问控制子系统收到域验证访问控制子系统返回验证成功信息后,对用户名称和所述密码进行所述自主型访问控制验证,并在该验证成功后,保存该用户模块最新的验证信息,同时向用户模块传输验证成功信息,且允许用户模块访问信息数据库。
进一步地,该方法还包括:
自主型访问控制子系统收到域验证访问控制子系统返回验证失败信息后;或者对用户名称和密码进行自主型访问控制验证,并在该验证失败后,向用户模块传输验证失败信息,且禁止用户模块访问信息数据库。
为了解决上述技术问题,本发明提供了一种信息访问系统,除了包括通过网络连接在一起的用户模块和自主型访问控制子系统外,还包括域验证访问控制子系统,其中:
用户模块,用于通过自主型访问控制子系统进行信息访问时输入验证信息;
自主型访问控制子系统,用于根据用户模块输入的验证信息分别请求域验证访问控制子系统进行域验证访问控制验证和本子系统进行自主型访问控制验证,并在确认全部验证均通过时,向用户模块开放信息数据库;
域验证访问控制子系统,与自主型访问控制子系统通过网络连接在一起,用于根据自主型访问控制子系统的请求,对用户模块输入的验证信息进行域验证访问控制验证,并将验证结果返回自主型访问控制子系统。
进一步地,
用户模块通过自主型访问控制子系统输入的验证信息包括用户名称和密码。
进一步地,
自主型访问控制子系统根据用户模块输入的用户名称和密码请求域验证访问控制子系统进行域验证访问控制验证,且在域验证访问控制子系统返回验证成功信息后,进行自主型访问控制验证,并在该验证通过后,保存该用户模块最新的验证信息,同时向该用户模块传输验证成功信息,且允许该用户模块访问信息数据库。
进一步地,
自主型访问控制子系统根据用户模块输入的所述用户名称和密码请求域验证访问控制子系统进行域验证访问控制验证,且在域验证访问控制子系统返回验证失败信息后,或者进行自主型访问控制验证未通过,则向该用户模块传输验证失败信息,且禁止该用户模块访问信息数据库。
进一步地,域验证访问控制子系统为域验证访问控制服务器。
本发明通过将AD访问控制方法与自主型访问控制方法相结合,主要体现在对自主型访问控制系统的输入信息做二次甄别和验证,并对验证通过的用户信息进行本地化处理,同时能够对用户的信息及时进行响应更新,保持与AD访问控制服务器的信息一致,从而达到权限验证的安全性和统一性。
附图说明
图1为本发明的信息访问系统的安全控制方法实施例的流程图;
图2为图1所示方法实施例中的一个实例的流程图;
图3为本发明的信息访问系统实施例的结构框图。
具体实施方式
下面参照附图和优选实施例详细描述本发明的技术方案。应该理解,以下列举的实施例仅用于说明和解释本发明,而不构成对本发明技术方案的限制。
本发明为信息访问系统提供的安全控制方法实施例,其流程是对用户的信息访问在进行用户权限验证时启动的,如图1所示,该流程包括:
110:根据用户输入的验证信息分别进行AD访问控制验证和自主型访问控制验证;
用户输入的验证信息包括用户名称和密码。
120:判断全部验证是否均通过,是则验证成功结束流程,否则验证失败结束流程。
一旦有AD访问控制和自主型访问控制中的任何一个验证未通过,就表示验证失败而不允许继续进行信息访问。
图2是针对图1所示的安全控制方法实施例给出的一个具体实例的流程,包括:
210:对用户通过自主型访问控制输入的用户名称和密码进行AD访问控制验证;
220:判断AD访问控制验证是否通过,是则执行下一步骤,否则表示用户权限验证失败而结束流程;
230:对通过验证的用户名称和密码进行自主型访问控制验证;
240:判断自主型访问控制验证是否通过,是则执行下一步骤,否则表示用户权限验证失败而结束流程;
250:保存验证通过的验证信息,由此表示用户权限验证成功而结束流程。
以上实例是对用户通过自主型访问控制输入的用户名称和密码先进行AD访问控制验证,并在该验证通过后,再进行自主型访问控制验证;只有在这两项验证均通过,才表示用户权限验证成功。
当然,也可以把上述验证项的顺序颠倒一下,先进行自主型访问控制验证,验证通过后再进行AD访问控制验证。
但是,使用先进行AD访问控制验证,待AD访问验证通过后再进行自主型访问控制验证,其优势在于,由于自主型访问控制验证依赖于AD访问控制验证,当管理员在AD访问控制子系统(服务器)下将某一用户的密码修改后,很可能在自主型访问控制系统下该用户的密码还未被修改。在此情况下,如果先进行自主型访问控制验证,就会由于该验证失败导致一直无法通过AD访问控制验证。所以,一般先进行AD访问控制验证,如果AD访问控制验证通过,但自主型访问控制验证失败,则自主型访问控制子系统就会更新此用户的登陆信息,达到自主型访问控制系统下用户的密码和AD访问控制系统下的用户密码一致。
本发明针对上述方法实施例,相应地还提供了信息访问系统实施例,其结构如图3所示,包括:通过网络连接在一起的用户模块(即各应用软件)、自主型访问控制子系统以及AD访问控制子系统,其中:
用户模块,用于通过自主型访问控制子系统进行信息访问时输入验证信息;
自主型访问控制子系统,用于根据用户模块输入的验证信息分别请求AD访问控制子系统进行AD访问控制验证和本子系统进行自主型访问控制验证,并在确认全部验证均通过,才向用户模块开放信息数据库;
AD访问控制子系统,用于根据自主型访问控制子系统的请求对用户输入的验证信息进行AD访问控制验证,并将验证结果返回自主型访问控制子系统。
在上述系统实施例中,
用户模块通过自主型访问控制子系统输入的验证信息包括用户名称和密码;
自主型访问控制子系统根据用户模块输入的验证信息先请求AD访问控制子系统进行AD访问控制验证,且在AD访问控制子系统返回该验证成功信息后,进行自主型访问控制验证,并在该验证通过后,保存该用户模块最新的验证信息(用于用户模块下次验证),同时向用户模块传输验证成功信息,且允许用户模块访问信息数据库。
在上述系统实施例中,
自主型访问控制子系统在AD访问控制子系统返回该验证失败信息后,或在进行自主型访问控制验证失败后,向用户模块传输验证失败信息,且禁止用户模块访问信息数据库。
在上述系统实施例中,
AD访问控制子系统为AD访问控制服务器。
虽然本发明所揭露的实施方式如上,但所述的内容只是为了便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属技术领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式上及细节上作任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
Claims (9)
1.一种用于信息访问系统提供的安全控制方法,涉及用户模块、自主型访问控制子系统以及域验证访问控制子系统,该方法包括:
自主型访问控制子系统根据用户模块在进行信息访问时输入的验证信息,分别请求域验证访问控制子系统进行域验证访问控制验证以及本子系统进行自主型访问控制验证,并在确认全部验证均通过,允许用户模块访问信息数据库。
2.按照权利要求1所述的方法,其特征在于,所述用户模块在进行所述信息访问时输入的所述验证信息包括用户名称和密码。
3.按照权利要求2所述的方法,其特征在于,该方法具体包括:
所述自主型访问控制子系统根据所述用户模块输入的所述用户名称和所述密码请求所述域验证访问控制子系统进行域验证访问控制验证;
所述域验证访问控制子系统根据所述自主型访问控制子系统的请求对所述用户名称和所述密码进行所述域验证访问控制验证,并在验证成功后返回该验证成功信息,或在验证失败后返回验证失败信息;
所述自主型访问控制子系统收到所述域验证访问控制子系统返回所述验证成功信息后,对所述用户名称和所述密码进行所述自主型访问控制验证,并在该验证成功后,保存该用户模块最新的验证信息,同时向所述用户模块传输验证成功信息,且允许所述用户模块访问信息数据库。
4.按照权利要求3所述的方法,其特征在于,还包括:
所述自主型访问控制子系统收到所述域验证访问控制子系统返回验证失败信息后,或者对所述用户名称和所述密码进行所述自主型访问控制验证,并在该验证失败后,向所述用户模块传输验证失败信息,且禁止所述用户模块访问所述信息数据库。
5.一种信息访问系统,包括通过网络连接在一起的用户模块和自主型访问控制子系统,其特征在于,还包括域验证访问控制子系统,其中:
用户模块,用于通过自主型访问控制子系统进行信息访问时输入验证信息;
自主型访问控制子系统,用于根据用户模块输入的验证信息分别请求域验证访问控制子系统进行域验证访问控制验证和本子系统进行自主型访问控制验证,并在确认全部验证均通过时,向用户模块开放信息数据库;
域验证访问控制子系统,与自主型访问控制子系统通过网络连接在一起,用于根据自主型访问控制子系统的请求,对用户模块输入的所述验证信息进行域验证访问控制验证,并将验证结果返回自主型访问控制子系统。
6.按照权利要求4所述的系统,其特征在于,
所述用户模块通过自主型访问控制子系统输入的验证信息包括用户名称和密码。
7.按照权利要求5所述的系统,其特征在于,
所述自主型访问控制子系统根据所述用户模块输入的所述用户名称和密码请求所述域验证访问控制子系统进行域验证访问控制验证,且在所述域验证访问控制子系统返回验证成功信息后,进行所述自主型访问控制验证,并在所述验证通过后,保存该用户模块最新的验证信息,同时向该用户模块传输验证成功信息,且允许该用户模块访问所述信息数据库。
8.按照权利要求7所述的系统,其特征在于,
所述自主型访问控制子系统根据所述用户模块输入的所述用户名称和密码请求所述域验证访问控制子系统进行域验证访问控制验证,且在所述域验证访问控制子系统返回验证失败信息后,或者进行所述自主型访问控制验证未通过,则向该用户模块传输验证失败信息,且禁止该用户模块访问所述信息数据库。
9.按照权利要求5至8任一项所述的系统,其特征在于,所述域验证访问控制子系统为域验证访问控制服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210209999.1A CN102833226B (zh) | 2012-06-19 | 2012-06-19 | 一种信息访问系统及其安全控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210209999.1A CN102833226B (zh) | 2012-06-19 | 2012-06-19 | 一种信息访问系统及其安全控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102833226A true CN102833226A (zh) | 2012-12-19 |
| CN102833226B CN102833226B (zh) | 2016-03-23 |
Family
ID=47336198
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210209999.1A Active CN102833226B (zh) | 2012-06-19 | 2012-06-19 | 一种信息访问系统及其安全控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102833226B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107872493A (zh) * | 2016-09-28 | 2018-04-03 | 腾讯科技(深圳)有限公司 | 一种信息处理方法、终端和服务器 |
| CN115118515A (zh) * | 2022-07-15 | 2022-09-27 | 济南浪潮数据技术有限公司 | 一种基于分布式系统的ad域控制方法、装置及介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1783780A (zh) * | 2004-12-04 | 2006-06-07 | 华为技术有限公司 | 域认证和网络权限认证的实现方法及设备 |
| CN101060407A (zh) * | 2007-05-22 | 2007-10-24 | 上海众恒信息产业有限公司 | 用户访问权限的管理方法及系统 |
| CN101212457A (zh) * | 2006-12-27 | 2008-07-02 | 鸿富锦精密工业(深圳)有限公司 | 网页权限管控系统及方法 |
| CN101286845A (zh) * | 2008-05-12 | 2008-10-15 | 华中科技大学 | 一种基于角色的域间访问控制系统 |
| CN101764742A (zh) * | 2009-12-30 | 2010-06-30 | 福建星网锐捷网络有限公司 | 一种网络资源访问控制系统及方法 |
-
2012
- 2012-06-19 CN CN201210209999.1A patent/CN102833226B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1783780A (zh) * | 2004-12-04 | 2006-06-07 | 华为技术有限公司 | 域认证和网络权限认证的实现方法及设备 |
| CN101212457A (zh) * | 2006-12-27 | 2008-07-02 | 鸿富锦精密工业(深圳)有限公司 | 网页权限管控系统及方法 |
| CN101060407A (zh) * | 2007-05-22 | 2007-10-24 | 上海众恒信息产业有限公司 | 用户访问权限的管理方法及系统 |
| CN101286845A (zh) * | 2008-05-12 | 2008-10-15 | 华中科技大学 | 一种基于角色的域间访问控制系统 |
| CN101764742A (zh) * | 2009-12-30 | 2010-06-30 | 福建星网锐捷网络有限公司 | 一种网络资源访问控制系统及方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107872493A (zh) * | 2016-09-28 | 2018-04-03 | 腾讯科技(深圳)有限公司 | 一种信息处理方法、终端和服务器 |
| CN115118515A (zh) * | 2022-07-15 | 2022-09-27 | 济南浪潮数据技术有限公司 | 一种基于分布式系统的ad域控制方法、装置及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102833226B (zh) | 2016-03-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11606352B2 (en) | Time-based one time password (TOTP) for network authentication | |
| US10367809B2 (en) | Device registration, authentication, and authorization system and method | |
| CN111783075B (zh) | 基于密钥的权限管理方法、装置、介质及电子设备 | |
| CN109670768A (zh) | 多业务域的权限管理方法、装置、平台及可读存储介质 | |
| CN106411857B (zh) | 一种基于虚拟隔离机制的私有云gis服务访问控制方法 | |
| US7703142B1 (en) | Software license authorization system | |
| US9639678B2 (en) | Identity risk score generation and implementation | |
| CN101207485B (zh) | 对用户进行统一身份安全认证的系统及其方法 | |
| CN112005522B (zh) | 基于云的密钥管理 | |
| US8978122B1 (en) | Secure cross-tenancy federation in software-as-a-service system | |
| US20140123207A1 (en) | Keystore access control system | |
| CN104935590A (zh) | 一种基于角色和用户信任值的hdfs访问控制方法 | |
| WO2018213519A1 (en) | Secure electronic transaction authentication | |
| US20100299738A1 (en) | Claims-based authorization at an identity provider | |
| AU2020216787B2 (en) | API and encryption key secrets management system and method | |
| US6678682B1 (en) | Method, system, and software for enterprise access management control | |
| CN105247531A (zh) | 提供受管浏览器 | |
| CN105262780B (zh) | 一种权限控制方法及系统 | |
| CN104320389A (zh) | 一种基于云计算的融合身份保护系统及方法 | |
| US10320770B2 (en) | Access control system | |
| US20190222566A1 (en) | System and method for key management and user authentication | |
| US20150113614A1 (en) | Client based systems and methods for providing users with access to multiple data bases | |
| CN104580081A (zh) | 一种集成式单点登录系统 | |
| CN103152319A (zh) | 云维护和授权方法及其系统 | |
| CN101291220A (zh) | 一种身份安全认证的系统、装置及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |