CN108241803B - 一种异构系统的访问控制方法 - Google Patents
一种异构系统的访问控制方法 Download PDFInfo
- Publication number
- CN108241803B CN108241803B CN201611207602.XA CN201611207602A CN108241803B CN 108241803 B CN108241803 B CN 108241803B CN 201611207602 A CN201611207602 A CN 201611207602A CN 108241803 B CN108241803 B CN 108241803B
- Authority
- CN
- China
- Prior art keywords
- access control
- user
- control information
- control method
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种异构系统的访问控制方法,该方法包括:针对不同访问控制方法的安全性,给访问控制方法分配相应的安全等级;针对各个异构系统自身的安全性,给系统分配相应的安全等级;当用户通过一个系统的访问控制方法的检查后,根据系统的安全等级和其使用的访问控制方法的安全等级,赋予该用户相应的安全值;用户使用其拥有的未过期的安全值访问其他系统,其他系统根据该安全值确定是否允许用户访问。
Description
【技术领域】
本发明属于计算机和访问控制领域,其涉及一种异构系统的访问控制方法。
【背景技术】
目前,无论是政府人员、企业用户还是普通个人用户,在处理日常事务中,都需要面对各种各样的计算机系统,这些系统通常都是异构的。并且,每一个系统为了保证其自身的安全性,都具有自己的访问控制方法。由于这些系统是异构的,这些访问控制方法也常常是异构的,这就要求用户去了解和记住这些不同的访问控制方法和访问控制策略,给用户带来了极大的麻烦。
对于现有技术的上述缺点,还没有一种完善的解决方案。
【发明内容】
为了解决现有技术中的上述问题,本发明提出了一种异构系统的访问控制方法。
本发明采用的技术方案如下:
一种异构系统的访问控制方法,该方法包括以下步骤:
(1)针对不同访问控制方法的安全性,给访问控制方法分配相应的安全等级;
(2)针对各个异构系统自身的安全性,给系统分配相应的安全等级;
(3)当用户通过一个系统的访问控制方法的检查后,根据系统的安全等级和其使用的访问控制方法的安全等级,赋予该用户相应的安全值;
(4)用户使用其拥有的未过期的安全值访问其他系统,其他系统根据该安全值确定是否允许用户访问。
进一步地,所述访问控制方法包括使用U盾访问、使用个人证书访问、指纹识别、语音识别、手势识别。
本发明的有益效果包括:针对不同的异构系统,提供了一种方便的访问控制方法,降低了对用户的要求,提高了用户体验。
【附图说明】
此处所说明的附图是用来提供对本发明的进一步理解,构成本申请的一部分,但并不构成对本发明的不当限定,在附图中:
图1是本发明方法所应用的系统结构图。
【具体实施方式】
下面将结合附图以及具体实施例来详细说明本发明,其中的示意性实施例以及说明仅用来解释本发明,但并不作为对本发明的限定。
本发明方法所应用的系统结构包括用户终端,以及用户终端通过网络连接的各种类型的计算机系统,这些系统都对用户的访问进行控制,一种常见的访问控制方法是由用户输入用户名、密码进行登录,才能允许用户终端访问系统内部的内容。其他的访问控制方法还包括例如:指纹识别、个人证书,U盾等等。
实际上,在现实应用中,每个系统本身的安全性是不同的,其访问控制方法的安全性也不相同。例如,使用U盾访问的银行系统的安全性极高,使用个人证书访问的电子邮箱的安全性也比较高,但可能不及银行网站,使用用户名、密码访问的网络论坛的安全性就相对较低。因而本发明首先将使用的各个系统按照其安全性分级。根据本发明的一个实施例,将系统安全等级分为5级,安全性从1级到5级依次增高,安全高的银行系统可以设为5级,电子邮箱为4 级,网络论坛可以根据系统架构和管理程度设为1-3级。
本发明给每个系统各颁发一个数字证书,数字证书中包括了系统的标识符 SysID和安全等级SLevel,以作为数字证书中的两个字段。基于该数字证书,每个系统也具有了其相应的公钥和私钥。具体的数字证书技术和颁发方法已经是本领域中公知的技术,本发明不再赘述。
在本发明中,用户在所有系统需要使用同一个用户名登录,但是访问控制方法可以是不同的。基于访问控制方法的安全性,本发明将访问控制方法也按照安全性分等级,根据本发明的一个实施例,将访问控制的安全性分为10个安全等级,安全性从1到10依次增高,例如:U盾为10级,个人证书为9级,指纹识别为8级,语音识别为7级,手势识别为6级,密码根据其复杂程度分为1-5级:
(1)如果密码的长度(即密码中的字符数量)小于等6,则该密码的安全等级为1;否则按照下述方式计算安全等级;
(2)如果密码中只有数字,或只有字母,则该密码的安全等级为2;
(3)如果密码中包括了数字和字母,但没有其他类型字符,并且字母都是小写或都是大写,则该密码的安全等级为3;
(4)如果密码中包括了数字和字母,但没有其他类型字符,并且既有大写字母,又有小写字母,则该密码的安全等级为4;
(5)如果密码中包括了数字、字母和其他类型字符,则该密码的安全等级为5。
以上所述只是一种示例性的分级方法,本领域技术人员可以采用别的访问控制安全等级分级方法,本发明对此不作限制。
下面对本发明的方法做出详细说明:
首先需要说明的是,以下方法中,用户终端和各系统之间的通信都是在安全信道中进行的,例如通过https协议。
在初始状态下,即用户还没有登录任何系统时,用户使用正常的访问控制方法登录任意一个系统Sys1,在登录成功后,所述系统Sys1为该用户生成一个访问控制信息Login,该访问控制信息由所述系统发送到用户终端,用户终端保存该访问控制信息。
所述访问控制信息是以下五元组,即:
Login={SysID,username,Time,PLevel,Sig}
其中,SysID是该系统Sys1的标识符,username是登录的用户名,Time 是登录Sys1的时间,PLevel是登录Sys1所使用的访问控制方法的安全等级,Sig 是系统Sys1使用其私钥对四元组{SysID,username,Time,PLevel}所做的数字签名。
在首次登录之后,用户如果需要登录另一个系统W,用户终端首先检查其拥有的所有访问控制信息,根据每个访问控制信息中的时间值,去除掉过期的访问控制信息。可以预先设置一个过期的时间阈值,计算当前时间和访问控制信息中的登录时间的时间差,如果该时间差大于该时间阈值,就认为该访问控制信息已过期。
在去除了过期访问控制信息后,假设剩余了n个有效访问控制信息,记为 L1,L2,……,Ln,Li={SysIDi,username,Timei,PLeveli,Sigi},其中,SysIDi是Li所属系统的标识符,Timei是用户登录Li所属系统的时间,PLeveli是用户登录Li所属系统的访问控制方法的安全等级,Sigi是Li所属系统对四元组 {{SysIDi,username,Timei,PLeveli}所做的数字签名。
用户终端将剩余的n个有效访问控制信息发送给需要登录的系统W,该系统W首先对接收的有效访问控制信息再次做一遍检查,以确认其都没有过期,去除过期的访问控制信息。
然后,该系统W根据各个有效访问控制信息里的系统标识符SysIDi获取相应系统的数字证书,使用这些数字证书对各个有效访问控制信息里的数字签名进行验证,去除签名验证不通过的访问控制信息。
经过上述两个去除步骤,剩下了k个有效访问控制信息,假设为L1,L2,……, Lk,该系统W从SysIDi所对应的数字证书中获取其相应的系统安全等级SLeveli, 1≤i≤k,则该系统W使用该k个有效访问控制信息计算一个登录安全值P,即:
该系统W判断P≥PLevelmax×SLevelW是否成立,其中PLevelmax是访问控制方法安全等级的最大可能值,以前述实施例而言,PLevelmax=10;SLevelW是该系统W自身的安全等级。
如果上述不等式成立,则该系统W直接接受该用户登录,即以用户名 username的登录。如果上述不等式成立,则该系统W要求该用户通过该系统正常的访问控制方法登录,并在正常登录后生成相应的访问控制信息发送给该用户终端。
通过本发明的上述方法,用户在每次正常登录系统后,都能获得一定量的安全值,当累积的安全值足够时,就可以直接登录其他任意系统,从而方便了用户登录,并且无需设置一个单独的登录点,提高了系统整体的安全性。
以上所述仅是本发明的较佳实施方式,故凡依本发明专利申请范围所述的构造、特征及原理所做的等效变化或修饰,均包括于本发明专利申请范围内。
Claims (1)
1.一种异构系统的访问控制方法,所述控制方法应用的系统结构包括用户终端,以及用户终端通过网络连接的各种类型的计算机系统,这些系统都对用户的访问进行控制;所述访问控制方法包括,用户输入用户名、密码进行登录,才能允许用户终端访问系统内部的内容,指纹识别、个人证书或U盾;
其中,给每个系统各颁发一个数字证书,数字证书中包括系统的标识符SysID和安全等级SLevel,以作为数字证书中的两个字段;基于该数字证书,每个系统具有了其相应的公钥和私钥;
其中,用户在所有系统使用同一个用户名登录,但访问控制方法可以是不同的;基于访问控制方法的安全性,按照安全性将访问控制方法分级为安全性从1到10依次增高的10个等级,其中包括:U盾为10级,个人证书为9级,指纹识别为8级,语音识别为7级,手势识别为6级,密码根据其复杂程度分为1-5级:
其特征在于,该方法包括以下步骤:
(1)针对不同访问控制方法的安全性,给访问控制方法分配相应的安全等级;
(2)针对各个异构系统自身的安全性,给系统分配相应的安全等级;
(3)当用户通过一个系统的访问控制方法的检查后,根据系统的安全等级和其使用的访问控制方法的安全等级,赋予该用户相应的安全值;
(4)用户使用其拥有的未过期的安全值访问其他系统,其他系统根据该安全值确定是否允许用户访问;
用户终端和各系统之间的通信都是在安全信道中进行的;
用户尚未登录任何系统时的初始状态下,用户使用正常的访问控制方法登录任意一个系统Sys1,在登录成功后,所述系统Sys1为该用户生成一个访问控制信息Login,该访问控制信息由所述系统发送到用户终端,用户终端保存该访问控制信息;
所述访问控制信息是以下五元组:
Login={SysID,username,Time,PLevel,Sig}
其中,SysID是该系统Sys1的标识符,username是登录的用户名,Time是登录Sys1的时间,PLevel是登录Sys1所使用的访问控制方法的安全等级,Sig是系统Sys1使用其私钥对四元组{SysID,username,Time,PLevel}所做的数字签名;
在首次登录之后,用户如果需要登录另一个系统W,用户终端首先检查其拥有的所有访问控制信息,根据每个访问控制信息中的时间值,去除掉过期的访问控制信息;预先设置一个过期的时间阈值,计算当前时间和访问控制信息中的登录时间的时间差,如果该时间差大于该时间阈值,就认为该访问控制信息已过期;
去除过期访问控制信息后剩余的n个有效访问控制信息记为L1,L2,……,Ln,Li={SysIDi,username,Timei,PLeveli,Sigi},其中,SysIDi是Li所属系统的标识符,Timei是用户登录Li所属系统的时间,PLeveli是用户登录Li所属系统的访问控制方法的安全等级,Sigi是Li所属系统对四元组{{SysIDi,username,Timei,PLeveli}所做的数字签名;
用户终端将剩余的n个有效访问控制信息发送给需要登录的系统W,该系统W首先对接收的有效访问控制信息再次做一遍检查,以确认其都没有过期,去除过期的访问控制信息;
该系统W根据各个有效访问控制信息里的系统标识符SysIDi获取相应系统的数字证书,使用这些数字证书对各个有效访问控制信息里的数字签名进行验证,去除签名验证不通过的访问控制信息;
经过上述两个去除步骤,剩下的k个有效访问控制信息L1,L2,……,Lk,该系统W从SysIDi所对应的数字证书中获取其相应的系统安全等级SLeveli,1≤i≤k,则该系统W使用该k个有效访问控制信息计算一个登录安全值P,即:
该系统W判断P≥PLevelmax×SLevelW是否成立,其中PLevelmax是访问控制方法安全等级的最大可能值PLevelmax=10;SLevelW是该系统W自身的安全等级;
如果上述不等式成立,则该系统W直接接受该用户登录,即以用户名username的登录;如果上述不等式不成立,则该系统W要求该用户通过该系统正常的访问控制方法登录,并在正常登录后生成相应的访问控制信息发送给该用户终端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611207602.XA CN108241803B (zh) | 2016-12-23 | 2016-12-23 | 一种异构系统的访问控制方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611207602.XA CN108241803B (zh) | 2016-12-23 | 2016-12-23 | 一种异构系统的访问控制方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108241803A CN108241803A (zh) | 2018-07-03 |
CN108241803B true CN108241803B (zh) | 2019-03-08 |
Family
ID=62703599
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611207602.XA Active CN108241803B (zh) | 2016-12-23 | 2016-12-23 | 一种异构系统的访问控制方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108241803B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110138642B (zh) * | 2019-04-15 | 2021-09-07 | 深圳市纽创信安科技开发有限公司 | 一种基于can总线的安全通信方法和系统 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1855814A (zh) * | 2005-04-29 | 2006-11-01 | 中国科学院计算机网络信息中心 | 一种安全的统一身份认证方案 |
CN101719238A (zh) * | 2009-11-30 | 2010-06-02 | 中国建设银行股份有限公司 | 一种统一身份管理、认证和授权的方法及系统 |
CN101783795A (zh) * | 2009-12-25 | 2010-07-21 | 北京惠信博思技术有限公司 | 一种安全等级认证的方法和系统 |
CN104320392A (zh) * | 2014-10-22 | 2015-01-28 | 成都卫士通信息产业股份有限公司 | 一种用户统一认证的方法 |
CN104378376A (zh) * | 2014-11-18 | 2015-02-25 | 深圳中兴网信科技有限公司 | 基于soa的单点登录方法、认证服务器和浏览器 |
CN105306423A (zh) * | 2014-07-04 | 2016-02-03 | 中国银联股份有限公司 | 用于分布式web网站系统的统一登录方法 |
CN105577835A (zh) * | 2016-02-03 | 2016-05-11 | 北京中搜网络技术股份有限公司 | 一种基于云计算的跨平台单点登录系统 |
-
2016
- 2016-12-23 CN CN201611207602.XA patent/CN108241803B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1855814A (zh) * | 2005-04-29 | 2006-11-01 | 中国科学院计算机网络信息中心 | 一种安全的统一身份认证方案 |
CN101719238A (zh) * | 2009-11-30 | 2010-06-02 | 中国建设银行股份有限公司 | 一种统一身份管理、认证和授权的方法及系统 |
CN101783795A (zh) * | 2009-12-25 | 2010-07-21 | 北京惠信博思技术有限公司 | 一种安全等级认证的方法和系统 |
CN105306423A (zh) * | 2014-07-04 | 2016-02-03 | 中国银联股份有限公司 | 用于分布式web网站系统的统一登录方法 |
CN104320392A (zh) * | 2014-10-22 | 2015-01-28 | 成都卫士通信息产业股份有限公司 | 一种用户统一认证的方法 |
CN104378376A (zh) * | 2014-11-18 | 2015-02-25 | 深圳中兴网信科技有限公司 | 基于soa的单点登录方法、认证服务器和浏览器 |
CN105577835A (zh) * | 2016-02-03 | 2016-05-11 | 北京中搜网络技术股份有限公司 | 一种基于云计算的跨平台单点登录系统 |
Also Published As
Publication number | Publication date |
---|---|
CN108241803A (zh) | 2018-07-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2708508C1 (ru) | Способ и вычислительное устройство для выявления подозрительных пользователей в системах обмена сообщениями | |
CN108293050B (zh) | 基于速度事件检测对于云应用的未授权访问的方法和系统 | |
US11899808B2 (en) | Machine learning for identity access management | |
US9386078B2 (en) | Controlling application programming interface transactions based on content of earlier transactions | |
US8955082B2 (en) | Authenticating using cloud authentication | |
US10754826B2 (en) | Techniques for securely sharing files from a cloud storage | |
US7631362B2 (en) | Method and system for adaptive identity analysis, behavioral comparison, compliance, and application protection using usage information | |
US10057239B2 (en) | Session migration between network policy servers | |
CN108959933A (zh) | 用于基于风险的认证的风险分析装置及方法 | |
EP3231128A1 (en) | Conditional login promotion | |
CN103842985A (zh) | 强化安全防护的云系统及其安全防护管理方法 | |
US20160065565A1 (en) | System, Method and Process for Detecting Advanced and Targeted Attacks with the Recoupling of Kerberos Authentication and Authorization | |
EP3011721B1 (en) | System and method for filtering electronic messages | |
CN111917714A (zh) | 一种零信任架构系统及其使用方法 | |
US20190166130A1 (en) | Enhanced Security Using Wearable Device with Authentication System | |
CN105827571A (zh) | 基于uaf协议的多模态生物特征认证方法和设备 | |
US9754209B1 (en) | Managing knowledge-based authentication systems | |
CN110784395A (zh) | 一种基于fido认证的邮件安全登录方法及系统 | |
TWI604334B (zh) | Information System Certification Method | |
CN117909952A (zh) | 终端身份可信度评估方法及装置 | |
CN108241803B (zh) | 一种异构系统的访问控制方法 | |
US10063549B1 (en) | Techniques for sharing authentication data among authentication servers | |
CN104009846B (zh) | 一种单点登录装置和方法 | |
CN110505199A (zh) | 基于轻量级非对称身份的Email安全登录方法 | |
US10255558B1 (en) | Managing knowledge-based authentication systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: 101399 No. 2 East Airport Road, Shunyi Airport Economic Core Area, Beijing (1st, 5th and 7th floors of Industrial Park 1A-4) Applicant after: Zhongke Star Map Co., Ltd. Address before: 101399 Building 1A-4, National Geographic Information Technology Industrial Park, Guomen Business District, Shunyi District, Beijing Applicant before: Space Star Technology (Beijing) Co., Ltd. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |