專利名稱:用戶權(quán)限安全管理系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明關(guān)于一種保護計算機系統(tǒng)安全性的系統(tǒng)及方法,特別是關(guān)于一種通過設(shè)置用戶權(quán)限來限制用戶存取及操作的系統(tǒng)與方法。
背景技術(shù):
對于任何一種計算機信息系統(tǒng),系統(tǒng)的安全性都至關(guān)重要?,F(xiàn)有技術(shù)中關(guān)于增強計算機信息系統(tǒng)安全性的方法有很多,包括訪問控制表、群組控制、用戶ID及密碼等。各種方法各有其優(yōu)缺點。訪問控制表方法是將所有權(quán)限及用戶所允許的權(quán)限列示在一張表中,以此為依據(jù)去判斷一用戶存取是否合法。這種方法的弊端是對用戶的權(quán)限維護缺乏靈活性。群組控制是先定義各群組權(quán)限,然后再根據(jù)各用戶的需求將用戶添加至相應(yīng)群組,這樣雖然較存取訪問控制表相對靈活一些,但是對于群組的設(shè)置及用戶權(quán)限的分配都由系統(tǒng)管理員進行分配管理。而用戶ID及密碼以未加密形式存儲,容易導(dǎo)致密碼被竊而致使系統(tǒng)安全性受到威脅。
美國專利商標(biāo)局2001年9月25日公告的第6,295,605號專利,專利名稱為“多層安全性評估系統(tǒng)及方法”(Method and apparatus formulti-level security evaluation),提供了一種結(jié)合各種單一方法,如上所述的訪問控制表、群組控制等,利用各方法在系統(tǒng)處理速率上的優(yōu)點提供一種提升安全處理速率的系統(tǒng)及方法,該系統(tǒng)將用戶分成多類,分別擁有不同權(quán)限級別;同時將要訪問的系統(tǒng)資源對應(yīng)用戶類別也分成多類,然后根據(jù)一定規(guī)則來選擇一適當(dāng)?shù)姆椒ㄅ袛嘞到y(tǒng)訪問請求是否允許。該專利技術(shù)提供了一種對系統(tǒng)資源的訪問控制方法,但是有時系統(tǒng)需求并不僅僅是單一的存取控制,還需要對相應(yīng)的操作進行權(quán)限控制,如對一項目管理系統(tǒng),需要控制各項目相關(guān)操作權(quán)限,上述方法從限制系統(tǒng)資源的角度去管控顯得力不從心,因為項目數(shù)量會越來越多,一一去定義很繁瑣,靈活性不夠,可擴展性不好。此外,一般的權(quán)限管控系統(tǒng)都少有提供用戶密碼保護,這樣用戶密碼在網(wǎng)絡(luò)傳輸過程中及數(shù)據(jù)庫端都很容易被截取和破壞,所以希望能夠在上述用戶權(quán)限管控系統(tǒng)中加入用戶密碼保護技術(shù)。
發(fā)明內(nèi)容本發(fā)明用戶權(quán)限安全管理系統(tǒng)及方法,其基于系統(tǒng)操作進行用戶權(quán)限管控,保證系統(tǒng)的可擴展性。
本發(fā)明用戶權(quán)限安全管理系統(tǒng)及方法,其將用戶密碼進行加密,保證密碼在網(wǎng)絡(luò)傳輸及存儲過程中的安全性。
本發(fā)明提供一種用戶權(quán)限安全管理系統(tǒng),其包括有多臺客戶端計算機,一分布式應(yīng)用程序服務(wù)器及一數(shù)據(jù)庫。任一客戶端計算機包括有一交互式用戶界面,用戶可通過其發(fā)出操作請求;一SSL加密裝置,用于對用戶輸入的用戶密碼進行SSL加密。分布式應(yīng)用程序服務(wù)器包括有一操作定義裝置,定義有多種系統(tǒng)操作;一角色定義裝置,定義有至少一種角色,每一種角色是一組操作的集合,包括至少一種操作;一用戶管理裝置,便于新增、修改、刪除用戶ID及為用戶分配角色;一SSL解密裝置,用于將處于SSL狀態(tài)的密碼進行解密還原成未加密狀態(tài);一數(shù)據(jù)庫加密裝置,用于將未加密狀態(tài)的密碼進行加密;一用戶驗證裝置,用于驗證用戶身份合法性;一操作驗證裝置,用于驗證用戶操作合法性。數(shù)據(jù)庫用于存儲上述用戶ID及為用戶分配的角色??蛻舳擞嬎銠C通過網(wǎng)絡(luò)與分布式應(yīng)用程序服務(wù)器相連,分布式應(yīng)用程序服務(wù)器與數(shù)據(jù)庫通過一種數(shù)據(jù)庫連接相連,所述用戶驗證裝置通過將用戶登錄時輸入的密碼與數(shù)據(jù)庫中存儲的密碼相比較進行驗證用戶身份的合法性,所述操作驗證裝置通過將存儲在數(shù)據(jù)庫中的用戶角色所定義的操作與用戶請求的操作進行比較來判斷用戶操作的合法性。
本發(fā)明還提供一種用戶權(quán)限安全管理系統(tǒng),其包括有多臺客戶端計算機,其提供交互式用戶界面以便于用戶發(fā)出操作請求;一分布式應(yīng)用程序服務(wù)器及一數(shù)據(jù)庫。該分布式應(yīng)用程序服務(wù)器包括有一操作定義裝置,定義有多種系統(tǒng)操作;一角色定義裝置,定義有至少一種角色,每一種角色是一組操作的集合,包括至少一種操作;一用戶管理裝置,便于新增、修改、刪除用戶ID及為用戶分配角色;一操作驗證裝置,用于驗證用戶操作的合法性。該數(shù)據(jù)庫用于存儲上述用戶ID及用戶對應(yīng)的角色??蛻舳擞嬎銠C通過網(wǎng)絡(luò)與分布式應(yīng)用程序服務(wù)器相連,分布式應(yīng)用程序服務(wù)器與數(shù)據(jù)庫通過一種數(shù)據(jù)庫連接相連,所述操作驗證裝置通過將存儲在數(shù)據(jù)庫中的用戶角色所定義的操作與用戶請求的操作進行比較來判斷用戶操作的合法性。
本發(fā)明還提供一種用戶權(quán)限安全管理方法,其包括有提供多臺客戶端計算機,提供一分布式應(yīng)用程序服務(wù)器,及提供一數(shù)據(jù)庫。任一客戶端計算機包括有一交互式用戶界面,用戶藉以發(fā)出操作請求;一SSL加密裝置,用于對用戶輸入的用戶密碼進行SSL加密。所述分布式應(yīng)用程序服務(wù)器包括有一操作定義裝置,定義有多種系統(tǒng)操作;一角色定義裝置,定義有至少一種角色,每一種角色是一組操作的集合,包括至少一種操作;一用戶管理裝置,便于新增、修改、刪除用戶ID及為用戶分配角色;一SSL解密裝置,用于將處于SSL狀態(tài)的密碼進行解密還原成未加密狀態(tài);一數(shù)據(jù)庫加密裝置,用于將未加密狀態(tài)的密碼進行加密;一用戶驗證裝置,用于驗證用戶身份合法性;一操作驗證裝置,用于驗證用戶操作的合法性。所述數(shù)據(jù)庫用于存儲上述用戶ID及用戶對應(yīng)的角色。其中所述用戶驗證裝置通過將用戶登錄時輸入的密碼與數(shù)據(jù)庫中存儲的密碼相比較進行驗證用戶身份的合法性,所述操作驗證裝置通過將存儲在數(shù)據(jù)庫中的用戶角色所定義的操作與用戶請求的操作進行比較來判斷用戶操作的合法性。
本發(fā)明還提供一種用戶權(quán)限安全管理方法,其包括有提供多臺客戶端計算機,其提供交互式用戶界面,用戶藉以發(fā)出操作請求;提供一分布式應(yīng)用程序服務(wù)器,及提供一數(shù)據(jù)庫。所述分布式應(yīng)用程序服務(wù)器包括有一操作定義裝置,定義有多種系統(tǒng)操作;一角色定義裝置,定義有至少一種角色,每一種角色是一組操作的集合,包括至少一種操作;一用戶管理裝置,便于新增、修改、刪除用戶ID及為用戶分配角色;一操作驗證裝置,用于驗證用戶操作的合法性。所述數(shù)據(jù)庫,用于存儲上述用戶ID及用戶對應(yīng)的角色。其中所述操作驗證裝置通過將存儲在數(shù)據(jù)庫中的用戶角色所定義的操作與用戶請求的操作進行比較來判斷用戶操作的合法性。
本發(fā)明還提供一種用戶權(quán)限安全管理方法,其包括有定義多種系統(tǒng)操作;根據(jù)所定義的操作定義角色,每一角色對應(yīng)一種操作或多種操作的集合;為用戶分配角色,并將該分配好的用戶角色存儲至一數(shù)據(jù)庫;根據(jù)用戶所分配角色判斷用戶操作合法性。
通過以上的用戶權(quán)限安全管理系統(tǒng)及其方法,從系統(tǒng)操作的角度去定義用戶權(quán)限范圍,保證系統(tǒng)可擴展性。此外,將網(wǎng)路傳輸過程中及資料庫存儲狀態(tài)中的用戶密碼保持在一種加密狀態(tài),保證用戶密碼安全性。
圖1是本發(fā)明用戶權(quán)限安全管理系統(tǒng)硬件架構(gòu)圖。
圖2是本發(fā)明用戶權(quán)限安全管理系統(tǒng)的功能模塊圖。
圖3是本發(fā)明用戶權(quán)限安全管理方法的用戶密碼設(shè)置流程圖。
圖4是本發(fā)明用戶權(quán)限安全管理方法的用戶權(quán)限維護流程圖。
圖5是本發(fā)明用戶權(quán)限安全管理方法的驗證流程圖。
具體實施方式如圖1所示,是本發(fā)明所述的用戶權(quán)限安全管理系統(tǒng)的硬件架構(gòu)圖。多臺客戶端計算機10通過網(wǎng)絡(luò)11與一分布式應(yīng)用程序服務(wù)器12相連;該分布式應(yīng)用程序服務(wù)器12通過連接13與數(shù)據(jù)庫14相連。其中,網(wǎng)絡(luò)11是一種電子網(wǎng)絡(luò),其可以是Intranet、Internet或其它類型網(wǎng)絡(luò)。連接13是一種數(shù)據(jù)庫連接,如開放式數(shù)據(jù)庫連接(Open DatabaseConnectivity,ODBC),或者Java數(shù)據(jù)庫連接(Java Database Connectivity,JDBC)等。客戶端計算機10為用戶提供交互式用戶界面,用戶通過其進行用戶ID及密碼、用戶權(quán)限設(shè)置及發(fā)送各種操作請求。分布式應(yīng)用程序服務(wù)器12存儲有一系列軟件程序裝置(如第二圖所示),用于對用戶密碼加密解密、用戶身份驗證及用戶操作合法性驗證等。所有設(shè)置好的用戶ID及密碼、用戶權(quán)限存儲在數(shù)據(jù)庫14中。用戶登錄系統(tǒng)時輸入用戶ID及密碼,分布式應(yīng)用程序服務(wù)器12通過查詢數(shù)據(jù)庫中用戶密碼并將的與登錄時輸入的密碼進行比較來驗證用戶身份的合法性;當(dāng)用戶發(fā)出操作請求時,分布式應(yīng)用程序服務(wù)器12通過查詢數(shù)據(jù)庫中用戶權(quán)限來判斷該請求的操作是否在設(shè)定的權(quán)限范圍內(nèi)來驗證請求操作的合法性。
如圖2所示,是本發(fā)明所述的用戶權(quán)限安全管理系統(tǒng)的功能模塊圖??蛻舳擞嬎銠C10包括用戶界面101及一SSL加密裝置102。其中用戶界面101為用戶提供一交互式用戶界面,以便于用戶執(zhí)行相應(yīng)操作。SSL加密裝置102用于將用戶輸入的密碼進行加密,以保證該密碼通過網(wǎng)絡(luò)傳輸時的安全性。分布式應(yīng)用程序服務(wù)器12包括有權(quán)限設(shè)置裝置121、安全裝置122及驗證裝置123。其中權(quán)限設(shè)置裝置121用于設(shè)置用戶權(quán)限,其包括有操作定義裝置1211、角色定義裝置1212及用戶管理裝置1213。操作定義裝置1211用于定義系統(tǒng)操作,所有系統(tǒng)相關(guān)的操作已經(jīng)由系統(tǒng)設(shè)計人員預(yù)先定義,并存儲在數(shù)據(jù)庫14中。該等操作包括有新增用戶、分配用戶角色、項目承辦等。角色定義裝置1212用于定義系統(tǒng)角色。每一個角色都是一組操作的集合,有權(quán)限的用戶可通過用戶界面101調(diào)用該角色定義裝置1212進行角色定義。用戶管理裝置1213用于新增、修改、刪除用戶及用戶角色。如新增一用戶,需為該用戶設(shè)置相應(yīng)的用戶ID及密碼,同時還需要為該用戶分配一個角色,該角色即決定了該用戶可執(zhí)行的操作范圍。一個用戶可分配多個角色,其所能執(zhí)行的操作即為該多個角色所定義的操作集合的并集。安全裝置122用于相關(guān)信息的加密及解密,其包括有SSL解密裝置1221及數(shù)據(jù)庫加密裝置1222。其中SSL解密裝置1221用于對經(jīng)過SSL加密的用戶密碼進行解密。用戶密碼在客戶端計算機10進行SSL加密之后通過網(wǎng)絡(luò)11傳輸至分布式應(yīng)用程序服務(wù)器12,SSL解密裝置1221將該加密后的密碼進行解密還原成原始狀態(tài),然后將該原始狀態(tài)的密碼再通過數(shù)據(jù)庫加密裝置1222進行加密,并將該加密后的密碼存儲至數(shù)據(jù)庫14中。這樣,用戶密碼在網(wǎng)絡(luò)傳輸狀態(tài)及存儲狀態(tài)都處于加密狀態(tài),提升了用戶密碼的安全性。驗證裝置123用于對用戶身份的合法性及用戶操作的合法性分別進行驗證,包括有用戶驗證裝置1231及操作驗證裝置1232。其中用戶驗證裝置1231用于對用戶身份的合法性進行驗證。當(dāng)用戶通過一客戶端計算機登入該系統(tǒng)時,其輸入用戶ID及密碼,其中用戶密碼通過上述SSL加密操作后,與用戶ID通過網(wǎng)絡(luò)傳送至分布式應(yīng)用程序服務(wù)器12。分布式應(yīng)用程序服務(wù)器12的SSL解密裝置1221將該SSL密碼進行解密,再通過數(shù)據(jù)庫加密裝置1222進行加密。用戶驗證裝置1231根據(jù)該用戶ID查詢數(shù)據(jù)庫14中對應(yīng)于該用戶ID的用戶密碼,將上述經(jīng)數(shù)據(jù)庫加密裝置1222加密后的密碼與數(shù)據(jù)庫14中存儲的用戶密碼進行比較,如果相同,則該用戶身份合法;如果不相同,則證明用戶身份不合法,系統(tǒng)拒絕其登入。操作驗證裝置1232用于驗證用戶操作合法性。用戶登入系統(tǒng)后,在客戶端計算機通過相應(yīng)的操作按鈕發(fā)出操作請求,該操作請求通過網(wǎng)絡(luò)傳送至分布式應(yīng)用程序服務(wù)器12。操作驗證裝置1232根據(jù)該用戶ID查詢數(shù)據(jù)庫,獲取該用戶對應(yīng)的角色,判斷該用戶請求的操作是否在該角色所定義的操作范圍內(nèi),如果是,則用戶操作請求認可,用戶進行相應(yīng)操作;如果不是,則用戶操作請求被拒絕。
如圖3所示,是本發(fā)明所述的用戶權(quán)限安全管理系統(tǒng)的用戶密碼設(shè)置流程圖。首先是密碼設(shè)置(步驟S30)。對于每一個用戶,都有唯一的一組用戶ID及密碼,其用戶ID為其在該系統(tǒng)中的身份標(biāo)識。對于每一新增用戶,都會被賦予一用戶ID及初始密碼,用戶可以通過用戶界面101修改該初始密碼。設(shè)置好的密碼通過SSL加密裝置102進行加密(步驟S31)。該加密后的密碼通過網(wǎng)絡(luò)11傳送至分布式應(yīng)用程序服務(wù)器12(步驟S32),然后通過分布式應(yīng)用程序服務(wù)器12中的SSL解密裝置1221進行解密還原成初始狀態(tài)(步驟S33)。該初始狀態(tài)密碼通過數(shù)據(jù)庫加密裝置1222再度進行加密,以便于存儲在數(shù)據(jù)庫14中(步驟S34)。最后該設(shè)置好的密碼被保存至數(shù)據(jù)庫14中。
如圖4所示,是本發(fā)明所述的用戶權(quán)限安全管理系統(tǒng)的用戶權(quán)限維護流程圖。首先,進行操作定義(步驟S40)。操作定義是在系統(tǒng)設(shè)計過程中完成的。在系統(tǒng)完成時,所有的操作都已經(jīng)定義完畢。接著進行角色定義(步驟S41),角色定義由系統(tǒng)管理員完成,每一個角色都是一組操作的集合,系統(tǒng)管理員可根據(jù)系統(tǒng)實際需求定義多種角色,還可以對已經(jīng)定義好的角色進行修改及刪除操作。最后是對用戶角色的維護(步驟S42)。用戶角色的維護包括為用戶分配新角色、修改用戶角色、刪除用戶角色等操作。當(dāng)新增一用戶時,需為該新用戶分配用戶角色,這樣用戶就擁有了該系統(tǒng)的相關(guān)操作權(quán)限。當(dāng)用戶需求變化時,可以通過修改用戶角色、分配新角色給用戶及刪除用戶已有角色來維護用戶角色。用戶與分配給該用戶的角色是多對多的關(guān)系,即一個角色可以同時分配給多個用戶,同時,一個用戶可以被分配有多個角色。當(dāng)刪除一用戶時,該用戶與其角色之間的對應(yīng)關(guān)系也隨之消滅。用戶ID與用戶角色之間的對應(yīng)關(guān)系設(shè)置好后保存在數(shù)據(jù)庫14中。
如圖5所示,是本發(fā)明所述的用戶權(quán)限安全管理系統(tǒng)的驗證流程圖。在該流程5中,首先,用戶通過客戶端計算機10的用戶界面登錄該系統(tǒng)(步驟S50),用戶輸入用戶ID及密碼,該密碼通過SSL加密裝置102進行SSL加密,然后通過該用戶ID及加密后的用戶密碼一起通過網(wǎng)絡(luò)11傳送至分布式應(yīng)用程序服務(wù)器12進行用戶身份驗證(步驟S51)。分布式應(yīng)用程序服務(wù)器12中的SSL解密裝置1221將該處于SSL加密狀態(tài)的密碼進行解密還原成原始狀態(tài),然后再通過數(shù)據(jù)庫加密裝置1222進行加密。同時分布式應(yīng)用程序服務(wù)器12中的用戶驗證裝置1231根據(jù)該用戶ID查詢數(shù)據(jù)庫中存儲的與該用戶ID相對應(yīng)的用戶密碼,然后將上述通過數(shù)據(jù)庫加密裝置1222進行加密后的密碼與該用戶密碼進行比較(步驟S52),如果相同,則證明用戶身份合法,允許其登入系統(tǒng);如果不相同,則證明用戶身份不合法,拒絕用戶登入系統(tǒng)。用戶登入系統(tǒng)后,通過用戶界面101發(fā)出操作請求(步驟S53),該操作請求通過網(wǎng)絡(luò)11傳送至分布式應(yīng)用程序服務(wù)器12,進行操作合法性驗證(步驟S54)。操作驗證裝置1232根據(jù)用戶ID查詢數(shù)據(jù)庫14中存儲的用戶角色,然后判斷用戶請求的操作是否屬于該用戶角色所定義的操作范圍(步驟S55),如果是,則證明該操作合法,允許該操作執(zhí)行(步驟56);如果不是,則證明該操作不合法,拒絕該操作執(zhí)行(步驟57)。該操作執(zhí)行完畢后或該操作被拒絕后,用戶可根據(jù)需要判斷是否發(fā)出另一條操作請求(步驟S58),如果需要,則流程5返回至步驟S53,重復(fù)上述操作步驟;如果不需要,則該流程5結(jié)束。
權(quán)利要求
1.一種用戶權(quán)限安全管理系統(tǒng),其特征在于包括多臺客戶端計算機,每臺客戶端計算機包括一交互式用戶界面,用戶可通過該交互式用戶界面發(fā)出操作請求;一SSL加密裝置,用于對用戶輸入的用戶密碼進行SSL加密;一分布式應(yīng)用程序服務(wù)器,其包括有一操作定義裝置,定義有多種系統(tǒng)操作;一角色定義裝置,定義有至少一種角色,每一種角色是一組操作的集合,包括至少一種操作;一用戶管理裝置,便于新增、修改、刪除用戶ID及為用戶分配角色;一SSL解密裝置,用于將處于SSL狀態(tài)的密碼進行解密還原成未加密狀態(tài);一數(shù)據(jù)庫加密裝置,用于將未加密狀態(tài)的密碼進行加密;一用戶驗證裝置,用于驗證用戶身份合法性;一操作驗證裝置,用于驗證用戶操作的合法性;一數(shù)據(jù)庫,用于存儲上述用戶ID及用戶對應(yīng)的角色;客戶端計算機通過網(wǎng)絡(luò)與分布式應(yīng)用程序服務(wù)器相連,分布式應(yīng)用程序服務(wù)器與數(shù)據(jù)庫通過一種數(shù)據(jù)庫連接相連,所述用戶驗證裝置通過將用戶登錄時輸入的密碼與數(shù)據(jù)庫中存儲的密碼相比較進行驗證用戶身份的合法性,所述操作驗證裝置通過將存儲在數(shù)據(jù)庫中的用戶角色所定義的操作與用戶請求的操作進行比較來判斷用戶操作的合法性。
2.如權(quán)利要求1所述的用戶權(quán)限安全管理系統(tǒng),其特征在于用戶通過交互式用戶界面調(diào)用用戶管理裝置設(shè)定用戶密碼,該用戶密碼通過SSL加密裝置進行加密后,并通過網(wǎng)絡(luò)傳輸至分布式應(yīng)用程序服務(wù)器,然后被SSL解密裝置進行解密還原成未加密狀態(tài),再通過數(shù)據(jù)庫加密裝置進行加密后保存至數(shù)據(jù)庫。
3.一種用戶權(quán)限安全管理系統(tǒng),其特征在于包括多臺客戶端計算機,其提供交互式用戶界面以便于用戶發(fā)出操作請求;一分布式應(yīng)用程序服務(wù)器,其包括有一操作定義裝置,定義有多種系統(tǒng)操作;一角色定義裝置,定義有至少一種角色,每一種角色是一組操作的集合,包括至少一種操作;一用戶管理裝置,便于新增、修改、刪除用戶ID及為用戶分配角色;一操作驗證裝置,用于驗證用戶操作的合法性;一數(shù)據(jù)庫,用于存儲上述用戶ID及用戶對應(yīng)的角色;客戶端計算機通過網(wǎng)絡(luò)與分布式應(yīng)用程序服務(wù)器相連,分布式應(yīng)用程序服務(wù)器與數(shù)據(jù)庫通過一種數(shù)據(jù)庫連接相連,所述操作驗證裝置通過將存儲在數(shù)據(jù)庫中的用戶角色所定義的操作與用戶請求的操作進行比較來判斷用戶操作的合法性。
4.一種用戶權(quán)限安全管理方法,其特征在于通過一用戶權(quán)限安全管理系統(tǒng)實現(xiàn)如下步驟定義多種系統(tǒng)操作;根據(jù)所定義的操作定義角色,每一角色對應(yīng)一種操作或多種操作的集合;為用戶分配角色,并將該分配好的用戶角色存儲至一數(shù)據(jù)庫;根據(jù)數(shù)據(jù)庫中存儲的用戶角色判斷用戶操作合法性。
5.如權(quán)利要求4所述的用戶權(quán)限安全管理方法,其特征在于其中判斷用戶操作合法性包括如下步驟發(fā)出操作請求;查詢數(shù)據(jù)庫中與用戶對應(yīng)的用戶角色;判斷該操作請求是否在用戶角色所定義的操作范圍內(nèi),如果該操作請求是在用戶角色所定義的操作范圍內(nèi),操作合法,被允許執(zhí)行;如果該操作請求不是在用戶角色所定義的操作范圍內(nèi),操作不合法,被拒絕執(zhí)行。
6.如權(quán)利要求4所述的用戶權(quán)限安全管理方法,其特征在于還通過客戶端計算機上存儲之SSL加密裝置、存儲于分布式應(yīng)用程序服務(wù)器之SSL解密裝置及數(shù)據(jù)庫加密裝置實現(xiàn)如下步驟通過客戶端計算機設(shè)置用戶密碼;SSL加密裝置將用戶密碼進行SSL加密;加密后的密碼通過網(wǎng)絡(luò)傳輸至分布式應(yīng)用程序服務(wù)器通過SSL解密裝置進行SSL解密還原成未加密狀態(tài),該未加密狀態(tài)的密碼再被數(shù)據(jù)庫加密裝置加密成另一種格式后,存儲至數(shù)據(jù)庫;當(dāng)用戶登入時,將用戶輸入的密碼與數(shù)據(jù)庫中存儲的密碼相比較驗證用戶身份合法性。
7.如權(quán)利要求6所述的用戶權(quán)限安全管理方法,其特征在于其中驗證用戶身份合法性包括有如下步驟用戶輸入用戶ID及密碼;該密碼被SSL加密后通過網(wǎng)絡(luò)傳輸至分布式應(yīng)用程序服務(wù)器進行SSL解密還原成未加密狀態(tài),該未加密狀態(tài)的密碼再被加密成另一種加密狀態(tài);查詢數(shù)據(jù)庫中存儲的用戶密碼,將該用戶密碼與所述處于另一種加密狀態(tài)的密碼進行比較,如果用戶密碼與所述處于另一種加密狀態(tài)的密碼一致,則用戶身份合法;如果用戶密碼與所述處于另一種加密狀態(tài)的密碼不一致,則用戶身份不合法。
全文摘要
一種用戶權(quán)限安全管理系統(tǒng)及方法,其包括有多臺客戶端計算機,一分布式應(yīng)用程序服務(wù)器及一數(shù)據(jù)庫。用戶通過客戶端計算機的用戶界面調(diào)用分布式應(yīng)用程序服務(wù)器中的應(yīng)用程序裝置進行操作定義及角色定義,以及設(shè)置用戶ID及密碼、為用戶分配角色等,并將該等信息存儲至數(shù)據(jù)庫中。用戶通過用戶界面發(fā)出操作請求,分布式應(yīng)用程序服務(wù)器通過查詢數(shù)據(jù)庫中用戶對應(yīng)角色來判斷用戶操作的合法性。本發(fā)明基于系統(tǒng)操作進行用戶權(quán)限管控,保證了系統(tǒng)的可擴展性。此外,用戶密碼通過用戶界面設(shè)置后,在客戶端計算機進行SSL加密,再通過網(wǎng)絡(luò)傳輸至分布式應(yīng)用程序服務(wù)器進行SSL解密及數(shù)據(jù)庫加密后存儲至數(shù)據(jù)庫,保證了密碼傳輸及存儲的安全性。
文檔編號G06F12/14GK1485746SQ0213486
公開日2004年3月31日 申請日期2002年9月27日 優(yōu)先權(quán)日2002年9月27日
發(fā)明者李忠一, 葉建發(fā), 姜志強 申請人:鴻富錦精密工業(yè)(深圳)有限公司, 鴻海精密工業(yè)股份有限公司