CN108241803A - 一种异构系统的访问控制方法 - Google Patents

一种异构系统的访问控制方法 Download PDF

Info

Publication number
CN108241803A
CN108241803A CN201611207602.XA CN201611207602A CN108241803A CN 108241803 A CN108241803 A CN 108241803A CN 201611207602 A CN201611207602 A CN 201611207602A CN 108241803 A CN108241803 A CN 108241803A
Authority
CN
China
Prior art keywords
access control
control method
safety
user
safe class
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201611207602.XA
Other languages
English (en)
Other versions
CN108241803B (zh
Inventor
熊兆
安西民
徐凤桐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Space Star Technology (beijing) Co Ltd
Original Assignee
Space Star Technology (beijing) Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Space Star Technology (beijing) Co Ltd filed Critical Space Star Technology (beijing) Co Ltd
Priority to CN201611207602.XA priority Critical patent/CN108241803B/zh
Publication of CN108241803A publication Critical patent/CN108241803A/zh
Application granted granted Critical
Publication of CN108241803B publication Critical patent/CN108241803B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及一种异构系统的访问控制方法,该方法包括:针对不同访问控制方法的安全性,给访问控制方法分配相应的安全等级;针对各个异构系统自身的安全性,给系统分配相应的安全等级;当用户通过一个系统的访问控制方法的检查后,根据系统的安全等级和其使用的访问控制方法的安全等级,赋予该用户相应的安全值;用户使用其拥有的未过期的安全值访问其他系统,其他系统根据该安全值确定是否允许用户访问。

Description

一种异构系统的访问控制方法
【技术领域】
本发明属于计算机和访问控制领域,其涉及一种异构系统的访问控制方法。
【背景技术】
目前,无论是政府人员、企业用户还是普通个人用户,在处理日常事务中,都需要面对各种各样的计算机系统,这些系统通常都是异构的。并且,每一个系统为了保证其自身的安全性,都具有自己的访问控制方法。由于这些系统是异构的,这些访问控制方法也常常是异构的,这就要求用户去了解和记住这些不同的访问控制方法和访问控制策略,给用户带来了极大的麻烦,
对于现有技术的上述缺点,还没有一种完善的解决方案。
【发明内容】
为了解决现有技术中的上述问题,本发明提出了一种异构系统的访问控制方法。
本发明采用的技术方案如下:
一种异构系统的访问控制方法,该方法包括以下步骤:
(1)针对不同访问控制方法的安全性,给访问控制方法分配相应的安全等级;
(2)针对各个异构系统自身的安全性,给系统分配相应的安全等级;
(3)当用户通过一个系统的访问控制方法的检查后,根据系统的安全等级和其使用的访问控制方法的安全等级,赋予该用户相应的安全值;
(4)用户使用其拥有的未过期的安全值访问其他系统,其他系统根据该安全值确定是否允许用户访问。
进一步地,所述访问控制方法包括使用U盾访问、使用个人证书访问、指纹识别、语音识别、手势识别。
本发明的有益效果包括:针对不同的异构系统,提供了一种方便的访问控制方法,降低了对用户的要求,提高了用户体验。
【附图说明】
此处所说明的附图是用来提供对本发明的进一步理解,构成本申请的一部分,但并不构成对本发明的不当限定,在附图中:
图1是本发明方法所应用的系统结构图。
【具体实施方式】
下面将结合附图以及具体实施例来详细说明本发明,其中的示意性实施例以及说明仅用来解释本发明,但并不作为对本发明的限定。
本发明方法所应用的系统结构包括用户终端,以及用户终端通过网络连接的各种类型的计算机系统,这些系统都对用户的访问进行控制,一种常见的访问控制方法是由用户输入用户名、密码进行登录,才能允许用户终端访问系统内部的内容。其他的访问控制方法还包括例如:指纹识别、个人证书,U盾等等。
实际上,在现实应用中,每个系统本身的安全性是不同的,其访问控制方法的安全性也不相同。例如,使用U盾访问的银行系统的安全性极高,使用个人证书访问的电子邮箱的安全性也比较高,但可能不及银行网站,使用用户名、密码访问的网络论坛的安全性就相对较低。因而本发明首先将使用的各个系统按照其安全性分级。根据本发明的一个实施例,将系统安全等级分为5级,安全性从1级到5级依次增高,安全高的银行系统可以设为5级,电子邮箱为4级,网络论坛可以根据系统架构和管理程度设为1-3级。
本发明给每个系统各颁发一个数字证书,数字证书中包括了系统的标识符SysID和安全等级SLevel,以作为数字证书中的两个字段。基于该数字证书,每个系统也具有了其相应的公钥和私钥。具体的数字证书技术和颁发方法已经是本领域中公知的技术,本发明不再赘述。
在本发明中,用户在所有系统需要使用同一个用户名登录,但是访问控制方法可以是不同的。基于访问控制方法的安全性,本发明将访问控制方法也按照安全性分等级,根据本发明的一个实施例,将访问控制的安全性分为10个安全等级,安全性从1到10依次增高,例如:U盾为10级,个人证书为9级,指纹识别为8级,语音识别为7级,手势识别为6级,密码根据其复杂程度分为1-5级:
(1)如果密码的长度(即密码中的字符数量)小于等6,则该密码的安全等级为1;否则按照下述方式计算安全等级;
(2)如果密码中只有数字,或只有字母,则该密码的安全等级为2;
(3)如果密码中包括了数字和字母,但没有其他类型字符,并且字母都是小写或都是大写,则该密码的安全等级为3;
(4)如果密码中包括了数字和字母,但没有其他类型字符,并且既有大写字母,又有小写字母,则该密码的安全等级为4;
(5)如果密码中包括了数字、字母和其他类型字符,则该密码的安全等级为5。
以上所述只是一种示例性的分级方法,本领域技术人员可以采用别的访问控制安全等级分级方法,本发明对此不作限制。
下面对本发明的方法做出详细说明:
首先需要说明的是,以下方法中,用户终端和各系统之间的通信都是在安全信道中进行的,例如通过https协议。
在初始状态下,即用户还没有登录任何系统时,用户使用正常的访问控制方法登录任意一个系统Sys1,在登录成功后,所述系统Sys1为该用户生成一个访问控制信息Login,该访问控制信息由所述系统发送到用户终端,用户终端保存该访问控制信息。
所述访问控制信息是以下五元组,即:
Login={SysID,username,Time,PLevel,Sig}
其中,SysID是该系统Sys1的标识符,username是登录的用户名,Time是登录Sys1的时间,PLevel是登录Sys1所使用的访问控制方法的安全等级,Sig是系统Sys1使用其私钥对四元组{SysID,username,Time,PLevel}所做的数字签名。
在首次登录之后,用户如果需要登录另一个系统W,用户终端首先检查其拥有的所有访问控制信息,根据每个访问控制信息中的时间值,去除掉过期的访问控制信息。可以预先设置一个过期的时间阈值,计算当前时间和访问控制信息中的登录时间的时间差,如果该时间差大于该时间阈值,就认为该访问控制信息已过期。
在去除了过期访问控制信息后,假设剩余了n个有效访问控制信息,记为L1,L2,……,Ln,Li={SysIDi,username,Timei,PLeveli,Sigi},其中,SysIDi是Li所属系统的标识符,Timei是用户登录Li所属系统的时间,PLeveli是用户登录Li所属系统的访问控制方法的安全等级,Sigi是Li所属系统对四元组{{SysIDi,username,Timei,PLeveli}所做的数字签名。
用户终端将剩余的n个有效访问控制信息发送给需要登录的系统W,该系统W首先对接收的有效访问控制信息再次做一遍检查,以确认其都没有过期,去除过期的访问控制信息。
然后,该系统W根据各个有效访问控制信息里的系统标识符SysIDi获取相应系统的数字证书,使用这些数字证书对各个有效访问控制信息里的数字签名进行验证,去除签名验证不通过的访问控制信息。
经过上述两个去除步骤,剩下了k个有效访问控制信息,假设为L1,L2,……,Lk,该系统W从SysIDi所对应的数字证书中获取其相应的系统安全等级SLeveli,1≤i≤k,则该系统W使用该k个有效访问控制信息计算一个登录安全值P,即:
该系统W判断P≥PLevelmax×SLevelW是否成立,其中PLevelmax是访问控制方法安全等级的最大可能值,以前述实施例而言,PLevelmax=10;SLevelW是该系统W自身的安全等级。
如果上述不等式成立,则该系统W直接接受该用户登录,即以用户名username的登录。如果上述不等式成立,则该系统W要求该用户通过该系统正常的访问控制方法登录,并在正常登录后生成相应的访问控制信息发送给该用户终端。
通过本发明的上述方法,用户在每次正常登录系统后,都能获得一定量的安全值,当累积的安全值足够时,就可以直接登录其他任意系统,从而方便了用户登录,并且无需设置一个单独的登录点,提高了系统整体的安全性。
以上所述仅是本发明的较佳实施方式,故凡依本发明专利申请范围所述的构造、特征及原理所做的等效变化或修饰,均包括于本发明专利申请范围内。

Claims (6)

1.一种异构系统的访问控制方法,其特征在于,该方法包括以下步骤:
(1)针对不同访问控制方法的安全性,给访问控制方法分配相应的安全等级;
(2)针对各个异构系统自身的安全性,给系统分配相应的安全等级;
(3)当用户通过一个系统的访问控制方法的检查后,根据系统的安全等级和其使用的访问控制方法的安全等级,赋予该用户相应的安全值;
(4)用户使用其拥有的未过期的安全值访问其他系统,其他系统根据该安全值确定是否允许用户访问。
2.根据权利要求1所述的异构系统的访问控制方法,其特征在于,所述访问控制方法包括使用U盾访问。
3.根据权利要求1-2任意一项所述的异构系统的访问控制方法,其特征在于,所述访问控制方法包括使用个人证书访问。
4.根据权利要求1-3任意一项所述的异构系统的访问控制方法,其特征在于,所述访问控制方法包括指纹识别。
5.根据权利要求1-4任意一项所述的异构系统的访问控制方法,其特征在于,所述访问控制方法包括语音识别。
6.根据权利要求1-5任意一项所述的异构系统的访问控制方法,其特征在于,所述访问控制方法包括手势识别。
CN201611207602.XA 2016-12-23 2016-12-23 一种异构系统的访问控制方法 Active CN108241803B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611207602.XA CN108241803B (zh) 2016-12-23 2016-12-23 一种异构系统的访问控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611207602.XA CN108241803B (zh) 2016-12-23 2016-12-23 一种异构系统的访问控制方法

Publications (2)

Publication Number Publication Date
CN108241803A true CN108241803A (zh) 2018-07-03
CN108241803B CN108241803B (zh) 2019-03-08

Family

ID=62703599

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611207602.XA Active CN108241803B (zh) 2016-12-23 2016-12-23 一种异构系统的访问控制方法

Country Status (1)

Country Link
CN (1) CN108241803B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110138642A (zh) * 2019-04-15 2019-08-16 深圳市纽创信安科技开发有限公司 一种基于can总线的安全通信方法和系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1855814A (zh) * 2005-04-29 2006-11-01 中国科学院计算机网络信息中心 一种安全的统一身份认证方案
CN101719238A (zh) * 2009-11-30 2010-06-02 中国建设银行股份有限公司 一种统一身份管理、认证和授权的方法及系统
CN101783795A (zh) * 2009-12-25 2010-07-21 北京惠信博思技术有限公司 一种安全等级认证的方法和系统
CN104320392A (zh) * 2014-10-22 2015-01-28 成都卫士通信息产业股份有限公司 一种用户统一认证的方法
CN104378376A (zh) * 2014-11-18 2015-02-25 深圳中兴网信科技有限公司 基于soa的单点登录方法、认证服务器和浏览器
CN105306423A (zh) * 2014-07-04 2016-02-03 中国银联股份有限公司 用于分布式web网站系统的统一登录方法
CN105577835A (zh) * 2016-02-03 2016-05-11 北京中搜网络技术股份有限公司 一种基于云计算的跨平台单点登录系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1855814A (zh) * 2005-04-29 2006-11-01 中国科学院计算机网络信息中心 一种安全的统一身份认证方案
CN101719238A (zh) * 2009-11-30 2010-06-02 中国建设银行股份有限公司 一种统一身份管理、认证和授权的方法及系统
CN101783795A (zh) * 2009-12-25 2010-07-21 北京惠信博思技术有限公司 一种安全等级认证的方法和系统
CN105306423A (zh) * 2014-07-04 2016-02-03 中国银联股份有限公司 用于分布式web网站系统的统一登录方法
CN104320392A (zh) * 2014-10-22 2015-01-28 成都卫士通信息产业股份有限公司 一种用户统一认证的方法
CN104378376A (zh) * 2014-11-18 2015-02-25 深圳中兴网信科技有限公司 基于soa的单点登录方法、认证服务器和浏览器
CN105577835A (zh) * 2016-02-03 2016-05-11 北京中搜网络技术股份有限公司 一种基于云计算的跨平台单点登录系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110138642A (zh) * 2019-04-15 2019-08-16 深圳市纽创信安科技开发有限公司 一种基于can总线的安全通信方法和系统

Also Published As

Publication number Publication date
CN108241803B (zh) 2019-03-08

Similar Documents

Publication Publication Date Title
RU2708508C1 (ru) Способ и вычислительное устройство для выявления подозрительных пользователей в системах обмена сообщениями
US20200279050A1 (en) Generating and monitoring fictitious data entries to detect breaches
US10754826B2 (en) Techniques for securely sharing files from a cloud storage
US9386078B2 (en) Controlling application programming interface transactions based on content of earlier transactions
US20170316497A1 (en) Method for creating, registering, revoking authentication information and server using the same
US20200279041A1 (en) Measuring data-breach propensity
EP2223258B1 (en) Network rating
CN101626369B (zh) 一种单点登录方法、设备及系统
US9639689B1 (en) User authentication
EP3011721B1 (en) System and method for filtering electronic messages
WO2020155761A1 (zh) 登录多个服务集群的方法、装置、计算机设备及存储介质
JP6438534B2 (ja) 安全なオンラインバンキングトランザクションを実行するためのシステム及び方法
CN106341428A (zh) 一种跨域访问控制方法和系统
CN107770192A (zh) 在多系统中身份认证的方法和计算机可读存储介质
US9092599B1 (en) Managing knowledge-based authentication systems
CN108337219A (zh) 一种物联网防入侵的方法和存储介质
Acar et al. A privacy‐preserving multifactor authentication system
US9754209B1 (en) Managing knowledge-based authentication systems
CN102694776A (zh) 一种基于可信计算的认证系统及方法
CN108241803B (zh) 一种异构系统的访问控制方法
US10255558B1 (en) Managing knowledge-based authentication systems
CN106603547A (zh) 一种统一登录方法
CN108243145B (zh) 一种多源身份认证方法
US9619840B2 (en) Backing management
CN111859362A (zh) 一种移动环境下的多级身份鉴别方法及电子装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 101399 No. 2 East Airport Road, Shunyi Airport Economic Core Area, Beijing (1st, 5th and 7th floors of Industrial Park 1A-4)

Applicant after: Zhongke Star Map Co., Ltd.

Address before: 101399 Building 1A-4, National Geographic Information Technology Industrial Park, Guomen Business District, Shunyi District, Beijing

Applicant before: Space Star Technology (Beijing) Co., Ltd.

GR01 Patent grant
GR01 Patent grant