專利名稱:一種企業(yè)局域網(wǎng)中的應(yīng)用服務(wù)器訪問系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本實(shí)用新型是關(guān)于計(jì)算機(jī)安全管理技術(shù)��,特別是關(guān)于計(jì)算機(jī)訪問認(rèn)證技術(shù)�����,具體 的講是關(guān)于一種企業(yè)局域網(wǎng)中的應(yīng)用服務(wù)器訪問系統(tǒng)����。
背景技術(shù):
在金融����、電信�、稅務(wù)等信息化程度比較高的行業(yè)中�����,往往群集了大量服務(wù)器�,每天 有大量的管理維護(hù)及業(yè)務(wù)人員訪問這些服務(wù)器。為了滿足安全內(nèi)控的要求�����,需要對(duì)用戶進(jìn) 行認(rèn)證與授權(quán)?�,F(xiàn)在的計(jì)算機(jī)設(shè)備一般都通過操作系統(tǒng)向設(shè)備訪問者提供了功能豐富��、友好的人 機(jī)接口界面��,支持復(fù)雜業(yè)務(wù)運(yùn)營環(huán)境下的多用戶訪問�,并提供了特定的用戶認(rèn)證與授權(quán)方 法。對(duì)用戶進(jìn)行認(rèn)證與授權(quán)的常用方法是在操作系統(tǒng)中建立不同的用戶組��,為設(shè)備訪問者 分配唯一的身份標(biāo)識(shí)USER_ID和認(rèn)證口令��,將設(shè)備訪問者的身份標(biāo)識(shí)存儲(chǔ)到操作系統(tǒng)相關(guān) 用戶組,在操作系統(tǒng)本地建立用戶權(quán)限數(shù)據(jù)庫����。操作系統(tǒng)根據(jù)設(shè)備訪問者輸入的USER_ID 及口令進(jìn)行認(rèn)證,搜索用戶權(quán)限數(shù)據(jù)庫��,如果搜索到用戶的USER_ID且口令核驗(yàn)結(jié)果正確����, 則從用戶權(quán)限數(shù)據(jù)中檢索出該用戶的權(quán)限并將權(quán)限賦予該用戶。實(shí)用新型人在實(shí)現(xiàn)本實(shí)用新型的過程中��,發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下不足用戶組的類型一般是由操作系統(tǒng)根據(jù)訪問資源定義����,用戶組的類型固定且數(shù)量較 少(大多數(shù)操作系統(tǒng)只提供系統(tǒng)管理員組、普通用戶組等幾種粗粒度的用戶組類型)���,無法 根據(jù)企業(yè)業(yè)務(wù)運(yùn)營需求進(jìn)行用戶組類型的自定義�����。當(dāng)某些業(yè)務(wù)只能由某些用戶訪問時(shí)����,目 前的認(rèn)證與授權(quán)方式無法實(shí)現(xiàn)�����,只能將所有業(yè)務(wù)向訪問用戶提供訪問��,難以保證服務(wù)器信 息的安全性�����。用戶認(rèn)證時(shí)��,采用一次性認(rèn)證方式對(duì)訪問者身份進(jìn)行認(rèn)證����,使用單一的認(rèn)證算法, 認(rèn)證的安全性不高�����;并且需要在整個(gè)用戶權(quán)限數(shù)據(jù)庫中進(jìn)行搜索與比對(duì)���,資源消耗較高�,執(zhí) 行效率較低���。用戶權(quán)限數(shù)據(jù)保存在計(jì)算機(jī)設(shè)備本地���,需要分散管理與維護(hù)��,成本較高�����。
實(shí)用新型內(nèi)容本實(shí)用新型實(shí)施例提供一種企業(yè)局域網(wǎng)中的應(yīng)用服務(wù)器訪問系統(tǒng)���,采用分步遞進(jìn) 認(rèn)證方法,每步認(rèn)證可采用不同認(rèn)證方法�,以克服現(xiàn)有技術(shù)一般采用的一次性身份認(rèn)證的局限。為了實(shí)現(xiàn)上述目的�����,在一個(gè)實(shí)施例中�,提供一種企業(yè)局域網(wǎng)中的應(yīng)用服務(wù)器訪問 系統(tǒng),所述的系統(tǒng)包括應(yīng)用服務(wù)器����,數(shù)據(jù)庫服務(wù)器,服務(wù)器訪問終端����,身份認(rèn)證裝置及策略 控制服務(wù)器�����;所述的數(shù)據(jù)庫服務(wù)器,身份認(rèn)證裝置��,策略控制服務(wù)器通過企業(yè)局域網(wǎng)相互連接�����, 所述的身份認(rèn)證裝置通過企業(yè)局域網(wǎng)與服務(wù)器訪問終端相連接�����,所述的身份認(rèn)證裝置與應(yīng) 用服務(wù)器相連接���;其中�����,[0011]所述的數(shù)據(jù)庫服務(wù)器包括用于存儲(chǔ)用戶標(biāo)識(shí)的用戶標(biāo)識(shí)存儲(chǔ)裝置����;用于存儲(chǔ)應(yīng)用服務(wù)器分組標(biāo)識(shí)的應(yīng)用服務(wù)器分組標(biāo)識(shí)存儲(chǔ)裝置;用于存儲(chǔ)用戶口令的用戶口令存儲(chǔ)裝置�����;及用于存儲(chǔ)業(yè)務(wù)分組標(biāo)識(shí)的業(yè)務(wù)分組標(biāo)識(shí)存儲(chǔ)裝置��;所述的服務(wù)器訪問終端包括用于輸入包含用戶標(biāo)識(shí)��、用戶口令���、應(yīng)用服務(wù)器分組標(biāo)識(shí)����、應(yīng)用服務(wù)器標(biāo)識(shí)及業(yè)務(wù) 分組標(biāo)識(shí)的應(yīng)用服務(wù)器訪問請求信息的請求信息輸入裝置���;用于訪問應(yīng)用服務(wù)器的應(yīng)用服務(wù)器訪問裝置�����;所述的身份認(rèn)證裝置包括用于接收所述服務(wù)器訪問終端的發(fā)來的訪問請求信息的信息接收裝置��;用于將所述訪問請求信息中的用戶標(biāo)識(shí)發(fā)送到所述的數(shù)據(jù)庫服務(wù)器進(jìn)行認(rèn)證的 用戶標(biāo)識(shí)認(rèn)證裝置�;用于根據(jù)所述的數(shù)據(jù)庫服務(wù)器反饋的用戶標(biāo)識(shí)信息生成應(yīng)用服務(wù)器分組認(rèn)證開 關(guān)查詢狀態(tài)信息的應(yīng)用服務(wù)器開關(guān)查詢信息生成裝置�����;用于將所述的應(yīng)用服務(wù)器開關(guān)狀態(tài)查詢信息發(fā)送到所述策略控制服務(wù)器的應(yīng)用 服務(wù)器開關(guān)查詢信息發(fā)送裝置;用于根據(jù)所述的策略控制服務(wù)器反饋的應(yīng)用服務(wù)器分組認(rèn)證開關(guān)開啟信息將所 述訪問請求信息中的應(yīng)用服務(wù)器分組標(biāo)識(shí)發(fā)送到所述的數(shù)據(jù)庫服務(wù)器進(jìn)行認(rèn)證的應(yīng)用服 務(wù)器分組認(rèn)證裝置����;用于根據(jù)所述的數(shù)據(jù)庫服務(wù)器反饋的應(yīng)用服務(wù)器分組信息將所述訪問請求信息 中的用戶口令發(fā)送到所述的策略控制服務(wù)器進(jìn)行口令信息轉(zhuǎn)換的信息轉(zhuǎn)換請求裝置;用于將所述的策略控制服務(wù)器反饋的口令轉(zhuǎn)換信息發(fā)送到所述數(shù)據(jù)庫服務(wù)器進(jìn) 行認(rèn)證的口令認(rèn)證裝置���;用于根據(jù)所述的數(shù)據(jù)庫服務(wù)器反饋的用戶口令信息生成業(yè)務(wù)分組認(rèn)證開關(guān)狀態(tài) 查詢信息的業(yè)務(wù)開關(guān)狀態(tài)查詢信息生成裝置;用于將所述的業(yè)務(wù)開關(guān)狀態(tài)查詢信息發(fā)送到所述的策略控制服務(wù)器業(yè)務(wù)開關(guān)狀 態(tài)查詢信息發(fā)送裝置�����;用于根據(jù)所述的策略控制服務(wù)器反饋的業(yè)務(wù)分組認(rèn)證開關(guān)開啟信息將所述訪問 請求信息中的業(yè)務(wù)分組標(biāo)識(shí)發(fā)送到所述的數(shù)據(jù)庫服務(wù)器進(jìn)行認(rèn)證的業(yè)務(wù)分組標(biāo)識(shí)認(rèn)證裝 置�;用于根據(jù)所述的數(shù)據(jù)庫服務(wù)器返回的業(yè)務(wù)分組認(rèn)證成功信息向所述的服務(wù)器訪 問終端發(fā)送應(yīng)用服務(wù)器訪問權(quán)限信息的權(quán)限信息發(fā)送裝置;所述的策略控制服務(wù)器包括用于根據(jù)所述身份認(rèn)證裝置發(fā)來的應(yīng)用服務(wù)器分組認(rèn)證開關(guān)狀態(tài)信息及業(yè)務(wù)分 組認(rèn)證開關(guān)狀態(tài)信息分別反饋應(yīng)用服務(wù)器分組認(rèn)證開關(guān)狀態(tài)及業(yè)務(wù)分組認(rèn)證開關(guān)狀態(tài)的 開關(guān)狀態(tài)反饋裝置����;用于對(duì)所述身份認(rèn)證裝置發(fā)來的用戶口令進(jìn)行信息轉(zhuǎn)換的信息轉(zhuǎn)換裝置;及用于將信息轉(zhuǎn)換后的用戶口令發(fā)送給所述身份認(rèn)證裝置的口令發(fā)送裝置�����。[0035]為了實(shí)現(xiàn)上述目的���,在一個(gè)實(shí)施例中���,提供一種企業(yè)局域網(wǎng)中的應(yīng)用服務(wù)器訪問 系統(tǒng)��,所述的系統(tǒng)包括應(yīng)用服務(wù)器���,數(shù)據(jù)庫服務(wù)器,服務(wù)器訪問終端及策略控制服務(wù)器�����;所述的數(shù)據(jù)庫服務(wù)器��,策略控制服務(wù)器通過企業(yè)局域網(wǎng)相互連接�;其中,所述的數(shù)據(jù)庫服務(wù)器包括用于存儲(chǔ)用戶標(biāo)識(shí)的用戶標(biāo)識(shí)存儲(chǔ)裝置����;用于存儲(chǔ)應(yīng)用服務(wù)器分組標(biāo)識(shí)的應(yīng)用服務(wù)器分組標(biāo)識(shí)存儲(chǔ)裝置;用于存儲(chǔ)用戶口令的用戶口令存儲(chǔ)裝置���;及用于存儲(chǔ)業(yè)務(wù)分組標(biāo)識(shí)的業(yè)務(wù)分組標(biāo)識(shí)存儲(chǔ)裝置��;所述的服務(wù)器訪問終端包括用于輸入包含用戶標(biāo)識(shí)��、用戶口令�����、應(yīng)用服務(wù)器分組標(biāo)識(shí)�、應(yīng)用服務(wù)器標(biāo)識(shí)及業(yè)務(wù) 分組標(biāo)識(shí)的應(yīng)用服務(wù)器訪問請求信息的請求信息輸入裝置;用于訪問應(yīng)用服務(wù)器的應(yīng)用服務(wù)器訪問裝置���;所述的應(yīng)用服務(wù)器包括身份認(rèn)證裝置���,所述的身份認(rèn)證裝置通過企業(yè)局域網(wǎng)與 服務(wù)器訪問終端相連接���,所述的身份認(rèn)證裝置包括用于接收所述服務(wù)器訪問終端的發(fā)來的訪問請求信息的信息接收裝置�;用于將所述訪問請求信息中的用戶標(biāo)識(shí)發(fā)送到所述的數(shù)據(jù)庫服務(wù)器進(jìn)行認(rèn)證的 用戶標(biāo)識(shí)認(rèn)證裝置��;用于根據(jù)所述的數(shù)據(jù)庫服務(wù)器反饋的用戶標(biāo)識(shí)信息生成應(yīng)用服務(wù)器分組認(rèn)證開 關(guān)查詢狀態(tài)信息的應(yīng)用服務(wù)器開關(guān)查詢信息生成裝置����;用于將所述的應(yīng)用服務(wù)器開關(guān)狀態(tài)查詢信息發(fā)送到所述策略控制服務(wù)器的應(yīng)用 服務(wù)器開關(guān)查詢信息發(fā)送裝置;用于根據(jù)所述的策略控制服務(wù)器反饋的應(yīng)用服務(wù)器分組認(rèn)證開關(guān)開啟信息將所 述訪問請求信息中的應(yīng)用服務(wù)器分組標(biāo)識(shí)發(fā)送到所述的數(shù)據(jù)庫服務(wù)器進(jìn)行認(rèn)證的應(yīng)用服 務(wù)器分組認(rèn)證裝置���;用于根據(jù)所述的數(shù)據(jù)庫服務(wù)器反饋的應(yīng)用服務(wù)器分組信息將所述訪問請求信息 中的用戶口令發(fā)送到所述的策略控制服務(wù)器進(jìn)行口令信息轉(zhuǎn)換的信息轉(zhuǎn)換請求裝置����;用于將所述的策略控制服務(wù)器反饋的口令轉(zhuǎn)換信息發(fā)送到所述數(shù)據(jù)庫服務(wù)器進(jìn) 行認(rèn)證的口令認(rèn)證裝置;用于根據(jù)所述的數(shù)據(jù)庫服務(wù)器反饋的用戶口令信息生成業(yè)務(wù)分組認(rèn)證開關(guān)狀態(tài) 查詢信息的業(yè)務(wù)開關(guān)狀態(tài)查詢信息生成裝置��;用于將所述的業(yè)務(wù)開關(guān)狀態(tài)查詢信息發(fā)送到所述的策略控制服務(wù)器業(yè)務(wù)開關(guān)狀 態(tài)查詢信息發(fā)送裝置�;用于根據(jù)所述的策略控制服務(wù)器反饋的業(yè)務(wù)分組認(rèn)證開關(guān)開啟信息將所述訪問 請求信息中的業(yè)務(wù)分組標(biāo)識(shí)發(fā)送到所述的數(shù)據(jù)庫服務(wù)器進(jìn)行認(rèn)證的業(yè)務(wù)分組標(biāo)識(shí)認(rèn)證裝 置;用于根據(jù)所述的數(shù)據(jù)庫服務(wù)器返回的業(yè)務(wù)分組認(rèn)證成功信息向所述的服務(wù)器訪 問終端發(fā)送應(yīng)用服務(wù)器訪問權(quán)限信息的權(quán)限信息發(fā)送裝置�;所述的策略控制服務(wù)器包括用于根據(jù)所述身份認(rèn)證裝置發(fā)來的應(yīng)用服務(wù)器分組認(rèn)證開關(guān)狀態(tài)信息及業(yè)務(wù)分組認(rèn)證開關(guān)狀態(tài)信息分別反饋應(yīng)用服務(wù)器分組認(rèn)證開關(guān)狀態(tài)及業(yè)務(wù)分組認(rèn)證開關(guān)狀態(tài)的 開關(guān)狀態(tài)反饋裝置;用于對(duì)所述身份認(rèn)證裝置發(fā)來的用戶口令進(jìn)行信息轉(zhuǎn)換的信息轉(zhuǎn)換裝置��;及用于將信息轉(zhuǎn)換后的用戶口令發(fā)送給所述身份認(rèn)證裝置的口令發(fā)送裝置���。本實(shí)用新型實(shí)施例的有益效果本實(shí)用新型引入設(shè)備分組和業(yè)務(wù)分組�����,采用分步 遞進(jìn)認(rèn)證方法�,每步認(rèn)證可采用不同認(rèn)證方法����,增強(qiáng)了安全性與靈活性,有效克服了現(xiàn)有技 術(shù)一般采用的一次性身份認(rèn)證的局限���;企業(yè)可根據(jù)自身需求對(duì)設(shè)備分組和業(yè)務(wù)分組數(shù)量及 顆粒度進(jìn)行靈活定義����,從而可實(shí)現(xiàn)更精細(xì)化的權(quán)限管理功能。
為了更清楚地說明本實(shí)用新型實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案��,下面將對(duì)實(shí)施例 或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹��,顯而易見地�,下面描述中的附圖僅僅 是本實(shí)用新型的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來講�,在不付出創(chuàng)造性勞動(dòng)性的前 提下,還可以根據(jù)這些附圖獲得其他的附圖��。在附圖中圖1為本實(shí)用新型實(shí)施例企業(yè)局域網(wǎng)中的應(yīng)用服務(wù)器訪問系統(tǒng)的結(jié)構(gòu)示意圖��;[0064]圖2為本實(shí)用新型實(shí)施例數(shù)據(jù)庫服務(wù)器的結(jié)構(gòu)示意圖�;[0065]圖3為本實(shí)用新型實(shí)施例服務(wù)器訪問終端的結(jié)構(gòu)示意圖�;[0066]圖4為本實(shí)用新型實(shí)施例身份認(rèn)證裝置的結(jié)構(gòu)示意圖;[0067]圖5為本實(shí)用新型實(shí)施例策略控制服務(wù)器的結(jié)構(gòu)示意圖��;[0068]圖6為本實(shí)用新型實(shí)施例信息交互流程圖���;[0069]圖7為本實(shí)用新型實(shí)施例安全遞進(jìn)認(rèn)證系統(tǒng)的結(jié)構(gòu)圖����;[0070]圖8為本實(shí)用新型實(shí)施例用戶定義表的數(shù)據(jù)結(jié)構(gòu)圖;[0071]圖9為本實(shí)用新型實(shí)施例MG定義表的數(shù)據(jù)結(jié)構(gòu)圖�����;[0072]圖10為本實(shí)用新型實(shí)施例口令定義表的數(shù)據(jù)結(jié)構(gòu)圖���;[0073]圖11為本實(shí)用新型實(shí)施例SG定義表的數(shù)據(jù)結(jié)構(gòu)圖�;[0074]圖12為本實(shí)用新型實(shí)施例基于銀行業(yè)務(wù)的訪問認(rèn)證方法流程圖���;[0075]圖13為本實(shí)用新型另一實(shí)施例的遞進(jìn)認(rèn)證方法流程圖��;[0076]圖14為本實(shí)用新型實(shí)施例策略設(shè)置方法流程圖���;[0077]圖15為本實(shí)用新型實(shí)施例身份認(rèn)證裝置與策略控制裝置及數(shù)據(jù)存儲(chǔ)裝置交互示意圖。
具體實(shí)施方式
為使本實(shí)用新型實(shí)施例的目的����、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白,
以下結(jié)合附圖對(duì) 本實(shí)用新型實(shí)施例做進(jìn)一步詳細(xì)說明����。在此����,本實(shí)用新型的示意性實(shí)施例及其說明用于解 釋本實(shí)用新型�,但并不作為對(duì)本實(shí)用新型的限定。本實(shí)用新型實(shí)施例引入設(shè)備分組(Machine Group MG)和業(yè)務(wù)服務(wù)分組(Service Group SG)�����,MG和SG由用戶自行定義���,以構(gòu)建細(xì)粒度的權(quán)限空間����。計(jì)算機(jī)設(shè)備的每位訪問 者(用戶)在權(quán)限空間中的權(quán)限Up可使用Up = ({MGID}�,{SGID})來表示,前者表示用戶 是否可以訪問該設(shè)備集合�����,后者表示訪問者進(jìn)入該設(shè)備之后所具備的業(yè)務(wù)操作權(quán)限集合���,從而提供了更大的靈活性和虛擬化處理能力。具體說來�����,本實(shí)用新型實(shí)施例采用分步遞進(jìn)方式對(duì)用戶進(jìn)行認(rèn)證與授權(quán)首先通 過從用戶接收的USER_ID查詢該用戶是否存在;如果用戶存在����,再驗(yàn)證用戶訪問的計(jì)算機(jī) 設(shè)備是否屬于該用戶的訪問范圍;如果判定用戶可以訪問該計(jì)算機(jī)設(shè)備���,對(duì)用戶口令進(jìn)行 驗(yàn)證�����,如果用戶口令認(rèn)證成功���,再從根據(jù)用戶的業(yè)務(wù)服務(wù)分組標(biāo)識(shí)(SG_ID)信息提取相關(guān) 的業(yè)務(wù)處理權(quán)限賦給設(shè)備訪問者,最終完成用戶身份認(rèn)證與授權(quán)���,允許用戶進(jìn)入系統(tǒng)�����。如圖1所示���,本實(shí)用新型提供一種企業(yè)局域網(wǎng)中的應(yīng)用服務(wù)器訪問系統(tǒng)���,所述的 系統(tǒng)包括策略控制服務(wù)器100,數(shù)據(jù)庫服務(wù)器200�,身份認(rèn)證裝置300,服務(wù)器訪問終端400 及應(yīng)用服務(wù)器500���。所述的策略控制服務(wù)器100��,數(shù)據(jù)庫服務(wù)器200���,身份認(rèn)證裝置300通過企業(yè)局域 網(wǎng)相互連接,所述的身份認(rèn)證裝置300通過企業(yè)局域網(wǎng)與服務(wù)器訪問終端400相連接��,所述 的身份認(rèn)證裝置300與應(yīng)用服務(wù)器500相連接��。如圖2所示�,所述的數(shù)據(jù)庫服務(wù)器200包括用于存儲(chǔ)用戶標(biāo)識(shí)的用戶標(biāo)識(shí)存儲(chǔ)裝 置201 ;用于存儲(chǔ)應(yīng)用服務(wù)器分組標(biāo)識(shí)的應(yīng)用服務(wù)器分組標(biāo)識(shí)存儲(chǔ)裝置202 ��;用于存儲(chǔ)用戶 口令的用戶口令存儲(chǔ)裝置203 �����;及用于存儲(chǔ)業(yè)務(wù)分組標(biāo)識(shí)的業(yè)務(wù)分組標(biāo)識(shí)存儲(chǔ)裝置204�。如圖3所示��,所述的服務(wù)器訪問終端400包括用于輸入包含用戶標(biāo)識(shí)、用戶口令�����、 應(yīng)用服務(wù)器分組標(biāo)識(shí)�、應(yīng)用服務(wù)器標(biāo)識(shí)及業(yè)務(wù)分組標(biāo)識(shí)的應(yīng)用服務(wù)器訪問請求信息的請求 信息輸入裝置401 ;及用于訪問應(yīng)用服務(wù)器的應(yīng)用服務(wù)器訪問裝置402�����。如圖4所示�����,所述的身份認(rèn)證裝置300包括用于接收所述服務(wù)器訪問終端的發(fā)來 的訪問請求信息的信息接收裝置301 ���;用于將所述訪問請求信息中的用戶標(biāo)識(shí)發(fā)送到所述 的數(shù)據(jù)庫服務(wù)器進(jìn)行認(rèn)證的用戶標(biāo)識(shí)認(rèn)證裝置302 �����;用于根據(jù)所述的數(shù)據(jù)庫服務(wù)器反饋的 用戶標(biāo)識(shí)信息生成應(yīng)用服務(wù)器分組認(rèn)證開關(guān)查詢狀態(tài)信息的應(yīng)用服務(wù)器開關(guān)查詢信息生 成裝置303 ���;用于將所述的應(yīng)用服務(wù)器開關(guān)狀態(tài)查詢信息發(fā)送到所述策略控制服務(wù)器的應(yīng) 用服務(wù)器開關(guān)查詢信息發(fā)送裝置304 �;用于根據(jù)所述的策略控制服務(wù)器反饋的應(yīng)用服務(wù)器 分組認(rèn)證開關(guān)開啟信息將所述訪問請求信息中的應(yīng)用服務(wù)器分組標(biāo)識(shí)發(fā)送到所述的數(shù)據(jù) 庫服務(wù)器進(jìn)行認(rèn)證的應(yīng)用服務(wù)器分組認(rèn)證裝置305 ���;用于根據(jù)所述的數(shù)據(jù)庫服務(wù)器反饋的 應(yīng)用服務(wù)器分組信息將所述訪問請求信息中的用戶口令發(fā)送到所述的策略控制服務(wù)器進(jìn) 行口令信息轉(zhuǎn)換的信息轉(zhuǎn)換請求裝置306 ��;用于將所述的策略控制服務(wù)器反饋的口令轉(zhuǎn)換 信息發(fā)送到所述數(shù)據(jù)庫服務(wù)器進(jìn)行認(rèn)證口令認(rèn)證裝置307 ����;用于根據(jù)所述的數(shù)據(jù)庫服務(wù)器 反饋的用戶口令信息生成業(yè)務(wù)分組認(rèn)證開關(guān)狀態(tài)查詢信息的業(yè)務(wù)開關(guān)狀態(tài)查詢信息生成 裝置308 �;用于將所述的業(yè)務(wù)開關(guān)狀態(tài)查詢信息發(fā)送到所述的策略控制服務(wù)器業(yè)務(wù)開關(guān)狀 態(tài)查詢信息發(fā)送裝置309 ;用于根據(jù)所述的策略控制服務(wù)器反饋的業(yè)務(wù)分組認(rèn)證開關(guān)開啟 信息將所述訪問請求信息中的業(yè)務(wù)分組標(biāo)識(shí)發(fā)送到所述的數(shù)據(jù)庫服務(wù)器進(jìn)行認(rèn)證的業(yè)務(wù) 分組標(biāo)識(shí)認(rèn)證裝置310 ��;及用于根據(jù)所述的數(shù)據(jù)庫服務(wù)器返回的業(yè)務(wù)分組認(rèn)證成功信息向 所述的服務(wù)器訪問終端發(fā)送應(yīng)用服務(wù)器訪問權(quán)限信息的權(quán)限信息發(fā)送裝置311����。如圖5所示,所述的策略控制服務(wù)器100包括用于根據(jù)所述身份認(rèn)證裝置發(fā)來的 應(yīng)用服務(wù)器分組認(rèn)證開關(guān)狀態(tài)信息及業(yè)務(wù)分組認(rèn)證開關(guān)狀態(tài)信息分別反饋應(yīng)用服務(wù)器分 組認(rèn)證開關(guān)狀態(tài)及業(yè)務(wù)分組認(rèn)證開關(guān)狀態(tài)的開關(guān)狀態(tài)反饋裝置101 ����;用于對(duì)所述身份認(rèn)證 裝置發(fā)來的用戶口令進(jìn)行信息轉(zhuǎn)換的信息轉(zhuǎn)換裝置102 ;及用于將信息轉(zhuǎn)換后的用戶口令發(fā)送給所述身份認(rèn)證裝置的口令發(fā)送裝置103�。應(yīng)用服務(wù)器500可以包括多個(gè),在圖1中示出了 3組����,分別為應(yīng)用服務(wù)器組1�����,應(yīng)用 服務(wù)器組2及應(yīng)用服務(wù)器組3���,每組應(yīng)用服務(wù)器又包括多個(gè)應(yīng)用服務(wù)器���,本實(shí)用新型不依此 為限����。如圖4所述�����,所述的身份認(rèn)證裝置還可以包括用于從所述的應(yīng)用服務(wù)器訪問請 求信息提取用戶標(biāo)識(shí)����、用戶口令、應(yīng)用服務(wù)器分組標(biāo)識(shí)����、應(yīng)用服務(wù)器標(biāo)識(shí)及業(yè)務(wù)分組標(biāo)識(shí)的 信息提取裝置312。所述的應(yīng)用服務(wù)器訪問請求信息還包括應(yīng)用服務(wù)器標(biāo)識(shí)。所述的應(yīng)用服務(wù)器分組標(biāo)識(shí)存儲(chǔ)裝置還用于存儲(chǔ)與所述應(yīng)用服務(wù)器分組標(biāo)識(shí)對(duì) 應(yīng)的應(yīng)用服務(wù)器標(biāo)識(shí)�。所述的應(yīng)用服務(wù)器分組認(rèn)證裝置還用于將所述訪問請求信息中的應(yīng) 用服務(wù)器標(biāo)識(shí)發(fā)送到所述的數(shù)據(jù)庫服務(wù)器進(jìn)行認(rèn)證。如圖5所示�,所述的策略控制服務(wù)器100還包括用于設(shè)定所述身份認(rèn)證裝置中的 應(yīng)用服務(wù)器分組認(rèn)證開關(guān)狀態(tài)及業(yè)務(wù)分組認(rèn)證開關(guān)狀態(tài)的開關(guān)狀態(tài)設(shè)定裝置104 ;及用于 對(duì)所述數(shù)據(jù)庫服務(wù)器中的信息進(jìn)行修改的信息修改裝置105��。當(dāng)應(yīng)用服務(wù)器分組認(rèn)證開關(guān)處于關(guān)閉狀態(tài)時(shí)����,身份認(rèn)證裝置跳過應(yīng)用服務(wù)器分組 標(biāo)識(shí)認(rèn)證裝置,直接將所述訪問請求信息中的業(yè)務(wù)分組標(biāo)識(shí)發(fā)送到所述的數(shù)據(jù)庫服務(wù)器進(jìn) 行認(rèn)證�。當(dāng)業(yè)務(wù)分組認(rèn)證開關(guān)處于關(guān)閉狀態(tài)時(shí),允許用戶訪問通過所述應(yīng)用服務(wù)器分組標(biāo) 識(shí)認(rèn)證裝置認(rèn)證的應(yīng)用服務(wù)器中的所有業(yè)務(wù)���。策略控制服務(wù)器100���,數(shù)據(jù)庫服務(wù)器200,身份認(rèn)證裝置300��,服務(wù)器訪問終端400 及應(yīng)用服務(wù)器500通過信息交互實(shí)現(xiàn)服務(wù)器訪問終端400對(duì)應(yīng)用服務(wù)器500的訪問���,策略 控制服務(wù)器100��,數(shù)據(jù)庫服務(wù)器200��,身份認(rèn)證裝置300�����,服務(wù)器訪問終端400及應(yīng)用服務(wù)器 500之間的信息交互如圖6所述����,信息交互包括如下步驟Si、應(yīng)用服務(wù)器500的每臺(tái)應(yīng)用服務(wù)器將其設(shè)備分組標(biāo)識(shí)�����、設(shè)備標(biāo)識(shí)及業(yè)務(wù)分組 標(biāo)識(shí)發(fā)送到數(shù)據(jù)庫服務(wù)器200中保存���。S2、數(shù)據(jù)庫服務(wù)器200存儲(chǔ)了用戶標(biāo)識(shí)���、用戶口令及與應(yīng)用服務(wù)器對(duì)應(yīng)的設(shè)備分 組標(biāo)識(shí)��、設(shè)備標(biāo)識(shí)及業(yè)務(wù)分組標(biāo)識(shí)�。S3�����、服務(wù)器訪問終端向身份認(rèn)證裝置300發(fā)送訪問請求,服務(wù)器訪問請求中包含 用戶標(biāo)識(shí)����、設(shè)備分組標(biāo)識(shí)、設(shè)備標(biāo)識(shí)�����,用戶口令及業(yè)務(wù)分組標(biāo)識(shí)等信息��。S4��、身份認(rèn)證裝置300接收所述服務(wù)器訪問終端的發(fā)來的訪問請求信息�����,將用戶 標(biāo)識(shí)發(fā)送給數(shù)據(jù)庫服務(wù)器200進(jìn)行用戶標(biāo)識(shí)認(rèn)證�,查詢到數(shù)據(jù)庫服務(wù)器200中存在該用戶 標(biāo)識(shí)后,將包含用戶標(biāo)識(shí)的信息反饋給身份認(rèn)證裝置300�。S5、身份認(rèn)證裝置300根據(jù)所述的數(shù)據(jù)庫服務(wù)器200反饋的用戶標(biāo)識(shí)信息生成應(yīng) 用服務(wù)器分組認(rèn)證開關(guān)查詢狀態(tài)信息���。S6��、將所述的應(yīng)用服務(wù)器分組開關(guān)狀態(tài)查詢信息發(fā)送到所述策略控制服務(wù)器100�, 查詢應(yīng)用服務(wù)器分組開關(guān)是否開啟。S7��、如果應(yīng)用服務(wù)器分組認(rèn)證開關(guān)開啟�,策略控制服務(wù)器100反饋應(yīng)用服務(wù)器分 組認(rèn)證開關(guān)狀態(tài)給身份認(rèn)證裝置300。S8�、身份認(rèn)證裝置300根據(jù)所述的策略控制服務(wù)器反饋的應(yīng)用服務(wù)器分組認(rèn)證開
10關(guān)開啟信息將所述訪問請求信息中的應(yīng)用服務(wù)器分組標(biāo)識(shí)發(fā)送到所述的數(shù)據(jù)庫服務(wù)器200 進(jìn)行認(rèn)證,查詢到數(shù)據(jù)庫服務(wù)器200中存在該服務(wù)器分組標(biāo)識(shí)后��,將包含該服務(wù)器分組標(biāo) 識(shí)的信息反饋給身份認(rèn)證裝置300���。S9�����、將所述訪問請求信息中的用戶口令發(fā)送到所述的策略控制服務(wù)器100進(jìn)行口
令信息轉(zhuǎn)換。S10�、策略控制服務(wù)器100返回轉(zhuǎn)換的口令信息,策略控制服務(wù)器100可以修改口 令的復(fù)雜度���,口令隨機(jī)生成算法���,密碼加密算法,根據(jù)特定的口令認(rèn)證算法生成相應(yīng)的口令
轉(zhuǎn)換信息�����。S11、身份認(rèn)證裝置300將所述的策略控制服務(wù)器100反饋的口令轉(zhuǎn)換信息發(fā)送到 所述數(shù)據(jù)庫服務(wù)器200進(jìn)行認(rèn)證��,查詢到數(shù)據(jù)庫服務(wù)器200中存在該用戶口令后����,將包含用 戶口令的信息反饋給身份認(rèn)證裝置300。S112�����、身份認(rèn)證裝置300根據(jù)數(shù)據(jù)服務(wù)器200返回的口令信息生成業(yè)務(wù)分組認(rèn)證 開關(guān)狀態(tài)查詢信息���。S13�、身份認(rèn)證裝置300將所述的業(yè)務(wù)分組開關(guān)狀態(tài)查詢信息發(fā)送到所述策略控 制服務(wù)器100�,查詢業(yè)務(wù)分組開關(guān)是否開啟。S14��、如果業(yè)務(wù)分組認(rèn)證開關(guān)開啟�����,策略控制服務(wù)器100反饋業(yè)務(wù)分組認(rèn)證開關(guān)狀 態(tài)給身份認(rèn)證裝置300����。S15���、身份認(rèn)證裝置300業(yè)務(wù)分組標(biāo)識(shí)發(fā)送到所述數(shù)據(jù)庫服務(wù)器200進(jìn)行認(rèn)證,查 詢到數(shù)據(jù)庫服務(wù)器200中存在該業(yè)務(wù)分組標(biāo)識(shí)后��,將包含業(yè)務(wù)分組標(biāo)識(shí)的信息反饋給身份 認(rèn)證裝置300�。S16、身份認(rèn)證裝置300根據(jù)所述的數(shù)據(jù)庫服務(wù)器200返回的業(yè)務(wù)分組信息向所述 的服務(wù)器訪問終端發(fā)送應(yīng)用服務(wù)器訪問權(quán)限信息����。S17、服務(wù)器訪問終端根據(jù)訪問權(quán)限信息訪問對(duì)應(yīng)的應(yīng)用服務(wù)器中的業(yè)務(wù)����。圖7為本實(shí)用新型實(shí)施例安全遞進(jìn)認(rèn)證系統(tǒng)的結(jié)構(gòu)圖,安全遞進(jìn)認(rèn)證系統(tǒng)包括 策略控制裝置100����,身份認(rèn)證裝置300和數(shù)據(jù)存儲(chǔ)裝置200����。其中策略控制裝置100分別與 身份認(rèn)證裝置300、數(shù)據(jù)存儲(chǔ)裝置200相連���,身份認(rèn)證裝置300分別與數(shù)據(jù)存儲(chǔ)裝置200��、計(jì) 算機(jī)設(shè)備資源400相連�����。計(jì)算機(jī)設(shè)備資源400相當(dāng)于圖1中的應(yīng)用服務(wù)器500���。在圖7中���,身份認(rèn)證裝置300調(diào)用策略控制裝置100設(shè)置的策略,查詢數(shù)據(jù)存儲(chǔ)裝 置200存儲(chǔ)的數(shù)據(jù)表���,完成用戶身份認(rèn)證并生成訪問計(jì)算機(jī)設(shè)備資源400的業(yè)務(wù)權(quán)限��,然后 與計(jì)算機(jī)設(shè)備資源400之間通過專門的底層通訊接口�����,完成用戶授權(quán)�。下面結(jié)合圖7詳細(xì)說明策略控制裝置100�����,身份認(rèn)證裝置300和數(shù)據(jù)存儲(chǔ)裝置200 中的各個(gè)單元的功能。策略控制裝置100用于集中認(rèn)證與授權(quán)策略的存儲(chǔ)和管理���,是對(duì)訪問的用戶進(jìn)行 認(rèn)證與授權(quán)策略控制的入口�����,提供用戶管理日常維護(hù)操作的各項(xiàng)功能���,為設(shè)備訪問者提供 密碼重置等自管理功能。如圖7所示��,策略控制裝置100包括主處理單元101'���、認(rèn)證開 關(guān)配置單元102'��、口令策略配置單元103'和認(rèn)證數(shù)據(jù)調(diào)整單元104'���。認(rèn)證開關(guān)配置單 元102'用于圖1中的開關(guān)狀態(tài)設(shè)定裝置104及開關(guān)狀態(tài)反饋裝置101的功能;口令策略 配置單元103'用于實(shí)現(xiàn)圖5中信息轉(zhuǎn)換裝置102級(jí)口令發(fā)送裝置的功能���;認(rèn)證數(shù)據(jù)調(diào)整 單元104'用于實(shí)現(xiàn)信息修改裝置的功能。[0116]主處理單元10Γ與認(rèn)證開關(guān)配置單元102'�、口令策略配置單元103'和認(rèn)證 數(shù)據(jù)調(diào)整單元104'連接���,用于接收用戶的指令,識(shí)別用戶的指令�����,調(diào)用認(rèn)證開關(guān)配置單元 102'���、口令策略配置單元103'或認(rèn)證數(shù)據(jù)調(diào)整單元104'進(jìn)行相應(yīng)的處理�����。認(rèn)證開關(guān)配置單元102'用于為身份認(rèn)證裝置300的設(shè)備分組(MachineGroup MG)認(rèn)證單元302'��、業(yè)務(wù)授權(quán)單元304'設(shè)置開關(guān)����,為企業(yè)提供靈活的安全策略配置�����。默 認(rèn)情況下���,MG認(rèn)證單元302'和業(yè)務(wù)授權(quán)單元304'的認(rèn)證功能均設(shè)置為開啟狀態(tài)���。安全 管理員可以通過輸入指令修改設(shè)置�,關(guān)閉認(rèn)證功能���。關(guān)閉MG認(rèn)證功能之后�,身份認(rèn)證裝置 300在訪問者身份認(rèn)證過程中將不會(huì)觸發(fā)MG認(rèn)證單元302'����,跳過MG認(rèn)證步驟;關(guān)閉業(yè)務(wù) 授權(quán)功能之后�����,身份認(rèn)證裝置2在身份認(rèn)證過程中將不會(huì)觸發(fā)業(yè)務(wù)授權(quán)單元304'���,允許設(shè) 備訪問者使用被訪問設(shè)備提供的所有業(yè)務(wù)服務(wù)���。口令策略配置單元103'���,用于存儲(chǔ)和修改用戶訪問口令的復(fù)雜度要求�����、口令隨機(jī) 生成算法���、密碼加密算法等安全控制策略。安全管理員可以根據(jù)企業(yè)風(fēng)險(xiǎn)管理要求�,通過口 令策略配置單元103'對(duì)口令配置文件的上述安全控制策略進(jìn)行調(diào)整。認(rèn)證數(shù)據(jù)調(diào)整單元104'用于對(duì)用戶定義表201'�、MG定義表202'、口令定義表 203'和SG定義表204'數(shù)據(jù)進(jìn)行增加���、刪除以及修改功能�����。認(rèn)證數(shù)據(jù)調(diào)整單元104'根據(jù) 安全管理員發(fā)來的指令�,設(shè)置設(shè)備分組信息���、業(yè)務(wù)服務(wù)分組信息����;根據(jù)設(shè)備訪問者發(fā)來的指 令���,進(jìn)行用戶信息修改�����、用戶口令修改等自管理功能����。用戶修改口令時(shí),認(rèn)證數(shù)據(jù)調(diào)整單元 104'訪問口令策略配置單元103'�����,根據(jù)口令復(fù)雜度����、口令隨機(jī)生成算法等安全控制策略 的要求,生成相應(yīng)的口令轉(zhuǎn)換信息存儲(chǔ)到口令定義表203'中��?��?诹钫J(rèn)證單元303'進(jìn)行用 戶口令認(rèn)證時(shí)��,一般需要調(diào)用認(rèn)證數(shù)據(jù)調(diào)整單元104'生成相應(yīng)的口令轉(zhuǎn)換信息����。身份認(rèn)證裝置300用于向設(shè)備訪問者提供訪問入口,接收并解析設(shè)備訪問者輸入 的認(rèn)證數(shù)據(jù)����,參考策略控制裝置100設(shè)定的控制策略,執(zhí)行分步認(rèn)證和授權(quán)操作�。如圖7所 示,身份認(rèn)證裝置300包括用戶信息檢索單元30Γ��、MG認(rèn)證單元302'��、口令認(rèn)證單元 303'和業(yè)務(wù)授權(quán)單元304'�����。用戶信息檢索單元301用于實(shí)現(xiàn)圖4中信息接收裝置301����,用 戶標(biāo)識(shí)認(rèn)證裝置302及信息提取裝置312的功能����;MG認(rèn)證單元302'用于圖4中實(shí)現(xiàn)應(yīng)用 服務(wù)器開關(guān)查詢信息生成裝置303,應(yīng)用服務(wù)器開關(guān)查詢信息發(fā)送裝置304及應(yīng)用服務(wù)器 分組認(rèn)證裝置的功能�;口令認(rèn)證單元303'用于實(shí)現(xiàn)圖4中信息轉(zhuǎn)換請求裝置306,口令認(rèn) 證裝置307的功能���;業(yè)務(wù)授權(quán)單元304'用于實(shí)現(xiàn)圖4中業(yè)務(wù)開關(guān)查詢信息生成裝置308�, 業(yè)務(wù)開關(guān)查詢信息發(fā)送裝置309,業(yè)務(wù)分組標(biāo)識(shí)認(rèn)證裝置310及權(quán)限信息發(fā)送裝置311的功 能��。用戶信息檢索單元301'接收設(shè)備訪問者輸入的認(rèn)證數(shù)據(jù)��,認(rèn)證數(shù)據(jù)包括USER_ ID����、MG_ID、設(shè)備標(biāo)識(shí)(DEV_ID)���、SG_ID等信息�。查詢數(shù)據(jù)存儲(chǔ)裝置200的用戶定義表201' 中是否存在該USER_ID���,如果不存在��,拒絕用戶訪問�。如果用戶定義表20Γ中存在該USER_ID���,MG認(rèn)證單元302'根據(jù)認(rèn)證數(shù)據(jù)中的 MG_ID信息檢索數(shù)據(jù)存儲(chǔ)裝置200的MG定義表202'���,判斷設(shè)備分組信息中是否存在該設(shè) 備分組����。如果能夠找到該分組設(shè)備���,從MG定義表202'中獲取該設(shè)備組的組內(nèi)設(shè)備MG_DEV 字段���,并根據(jù)認(rèn)證數(shù)據(jù)中的DEV_ID在MG_DEV字段查找是否存在該DEV_ID,如果存在���,進(jìn)入 口令認(rèn)證單元303';如果不存在����,則返回失敗信息,不允許訪問者訪問�����?����?诹钫J(rèn)證單元303'對(duì)設(shè)備訪問者輸入的認(rèn)證數(shù)據(jù)中的用戶口令進(jìn)行檢查���,調(diào)用口令策略配置單元103����,使用特定的口令認(rèn)證算法生成相應(yīng)的口令轉(zhuǎn)換信息,并據(jù)此訪問數(shù) 據(jù)存儲(chǔ)裝置200的口令定義表203'�,判斷用戶口令在表中是否有匹配的記錄。如果有���,則 進(jìn)入業(yè)務(wù)授權(quán)單元304'�,否則返回失敗信息��,不允許訪問者訪問�����。業(yè)務(wù)授權(quán)單元304'根據(jù)設(shè)備訪問者輸入的認(rèn)證數(shù)據(jù)中的SG_ID信息���,檢索數(shù)據(jù) 存儲(chǔ)裝置200的SG定義表204'����,判斷業(yè)務(wù)分組信息中是否存在該業(yè)務(wù)分組�,如果存在,則 返回該業(yè)務(wù)分組的業(yè)務(wù)服務(wù)組權(quán)限SG_R0LE���,并將該權(quán)限授權(quán)給用戶�����;否則返回失敗信息���, 不允許訪問者訪問�����。數(shù)據(jù)存儲(chǔ)裝置200用于集中存儲(chǔ)設(shè)備訪問者認(rèn)證與授權(quán)所需的訪問者身份信息�、 企業(yè)環(huán)境的設(shè)備分組信息以及業(yè)務(wù)服務(wù)組信息����,為身份認(rèn)證裝置300提供認(rèn)證數(shù)據(jù)����,如圖7 所示,數(shù)據(jù)存儲(chǔ)裝置200包括用戶定義表201'��、MG定義表202'�����、口令定義表203'和SG 定義表204'。用戶定義表201'����、MG定義表202'、口令定義表203'和SG定義表204' 分別用于實(shí)現(xiàn)圖2中用戶標(biāo)識(shí)存儲(chǔ)裝置201�,應(yīng)用服務(wù)器分組標(biāo)識(shí)存儲(chǔ)裝置202,用戶口令 存儲(chǔ)裝置203及業(yè)務(wù)分組標(biāo)識(shí)存儲(chǔ)裝置204的功能���。用戶定義表201'用于存儲(chǔ)設(shè)備用戶標(biāo)識(shí)與可訪問的MG���、可訪問的SG的關(guān)聯(lián)關(guān) 系,圖8為優(yōu)先的數(shù)據(jù)結(jié)構(gòu)表�。MG定義表202'用于存儲(chǔ)用戶需要訪問的設(shè)備的分組信息及組內(nèi)設(shè)備信息,圖9 為優(yōu)選的數(shù)據(jù)結(jié)構(gòu)表�����?����?诹疃x表203'用于存儲(chǔ)用戶的口令信息���,圖10為優(yōu)選的數(shù)據(jù)結(jié)構(gòu)表��。SG定義表204'用于存儲(chǔ)業(yè)務(wù)服務(wù)分組信息�,以及不同的業(yè)務(wù)服務(wù)分組對(duì)應(yīng)的權(quán) 限,圖11為優(yōu)選的數(shù)據(jù)結(jié)構(gòu)表�����。如圖12所示���,本實(shí)用新型實(shí)施例提供一種基于銀行業(yè)務(wù)的訪問認(rèn)證方法���,所述的 方法包括步驟S1201 接收用戶輸入的訪問認(rèn)證信息;步驟S1202 從所述的訪問認(rèn)證信息中獲取用戶標(biāo)識(shí)���、設(shè)備分組標(biāo)識(shí)�、業(yè)務(wù)分組標(biāo) 識(shí)��;步驟S1203 依次判斷存儲(chǔ)的認(rèn)證信息中是否存在所述的用戶標(biāo)識(shí)�����、設(shè)備分組標(biāo) 識(shí)及業(yè)務(wù)分組標(biāo)識(shí)��;步驟S1204 如果存儲(chǔ)的認(rèn)證信息中存在所述的用戶標(biāo)識(shí)���、設(shè)備分組標(biāo)識(shí)及業(yè)務(wù) 分組標(biāo)識(shí)�,將所述業(yè)務(wù)分組標(biāo)識(shí)對(duì)應(yīng)的業(yè)務(wù)分組權(quán)限賦給所述用戶�。所述的訪問認(rèn)證信息還包括用戶訪問口令及與設(shè)備分組標(biāo)識(shí)對(duì)應(yīng)的訪問設(shè)備標(biāo) 識(shí)。在接收用戶輸入的訪問認(rèn)證信息之后�����,所述的方法還包括從所述的訪問認(rèn)證信息中獲 取用戶訪問口令與設(shè)備分組標(biāo)識(shí)對(duì)應(yīng)的訪問設(shè)備標(biāo)識(shí)���。步驟S1203具體包括判斷存儲(chǔ)的認(rèn)證信息中是否存在所述的用戶標(biāo)識(shí)����;如果存 儲(chǔ)的認(rèn)證信息中存在所述的用戶標(biāo)識(shí)�,判斷存儲(chǔ)的認(rèn)證信息中是否存在所述設(shè)備分組標(biāo) 識(shí);如果存儲(chǔ)的認(rèn)證信息中存在所述設(shè)備分組標(biāo)識(shí)��,判斷存儲(chǔ)的認(rèn)證信息中是否存在所述 業(yè)務(wù)分組標(biāo)識(shí)����。在判斷存儲(chǔ)的認(rèn)證信息中是否存在所述設(shè)備分組標(biāo)識(shí)之前,所述的方法還包括 判斷存儲(chǔ)的認(rèn)證信息中是否存在所述的用戶訪問口令��,如果是,則判斷存儲(chǔ)的認(rèn)證信息中 是否存在所述設(shè)備分組標(biāo)識(shí)��。[0138]可選地�,在判斷存儲(chǔ)的認(rèn)證信息中是否存在所述業(yè)務(wù)分組標(biāo)識(shí)之前,所述的方法 還包括判斷存儲(chǔ)的認(rèn)證信息中是否存在所述的用戶訪問口令����,如果是,則判斷存儲(chǔ)的認(rèn)證 信息中是否存在所述業(yè)務(wù)分組標(biāo)識(shí)�����。在判斷存儲(chǔ)的認(rèn)證信息中是否存在所述業(yè)務(wù)分組標(biāo)識(shí)之前�����,所述的方法還包括 判斷存儲(chǔ)的認(rèn)證信息中是否存在訪問設(shè)備標(biāo)識(shí)��,如果是���,則判斷存儲(chǔ)的認(rèn)證信息中是否存 在所述業(yè)務(wù)分組標(biāo)識(shí)�����。下面結(jié)合圖7、圖8、圖9����、圖10及圖11,以甲用戶詳細(xì)說明本實(shí)用新型的具體實(shí)施 例�。如圖13所示,本實(shí)用新型另一實(shí)施例提供一種安全的遞進(jìn)認(rèn)證方法�。該遞進(jìn)認(rèn)證 方法的具體步驟如下步驟S1301 身份認(rèn)證裝置300接收甲用戶輸入的訪問認(rèn)證信息,身份認(rèn)證裝置 300中的用戶信息檢索單元301'對(duì)該認(rèn)證信息進(jìn)行解析���。認(rèn)證信息中包括甲用戶的用 戶標(biāo)識(shí)��、甲用戶將要訪問的設(shè)備對(duì)應(yīng)的設(shè)備分組標(biāo)識(shí)����、甲用戶將要訪問的業(yè)務(wù)對(duì)應(yīng)的業(yè)務(wù) 分組標(biāo)識(shí)���,還可以包括甲用戶的用戶訪問口令及與設(shè)備分組標(biāo)識(shí)對(duì)應(yīng)的訪問設(shè)備標(biāo)識(shí)等信 肩��、ο步驟S1302 用戶信息檢索單元301'從甲用戶的該訪問認(rèn)證信息中提取用戶認(rèn) 證信息中的USER_ID����,查詢數(shù)據(jù)存儲(chǔ)裝置200的用戶信息表301中是否存在(圖8)��,如果能 夠查詢到該USER_ID,則返回對(duì)應(yīng)的數(shù)據(jù)記錄集��,發(fā)送給MG認(rèn)證單元302'處理�,否則拒絕 甲用戶訪問,進(jìn)行步驟S1309���。步驟S1303 =MG認(rèn)證單元302'調(diào)用認(rèn)證開關(guān)配置單元102確認(rèn)MG認(rèn)證開關(guān)是否 開啟�����,如果MG認(rèn)證開關(guān)未開啟��,直接進(jìn)入步驟S1305 ���;否則,進(jìn)入步驟S1304����。步驟S1304 :MG認(rèn)證單元302'獲取訪問認(rèn)證信息中的MG_ID,查詢MG定義表 202'中是否存在MG_ID (圖3)�����,如果能夠在MG定義表202'中查詢到該MG_ID���,則返回對(duì)應(yīng) 的數(shù)據(jù)記錄集���,并從訪問認(rèn)證信息中提取出甲用戶需要登陸的計(jì)算機(jī)設(shè)備的身份標(biāo)識(shí)DEV_ ID,在返回?cái)?shù)據(jù)記錄集的MG_DEV字段值中搜索該DEV_ID,如果存在�����,則返回認(rèn)證成功信息�����, 進(jìn)入步驟S1705 ���;否則��,拒絕甲用戶訪問���,進(jìn)行步驟S1709。步驟S1305 口令認(rèn)證單元303'從訪問認(rèn)證信息中提取用戶訪問口令�,調(diào)用口令 策略配置單元103,使用特定的口令認(rèn)證算法生成相應(yīng)的口令轉(zhuǎn)換信息���,并據(jù)此在口令定義 表203'查找是否存在該用戶訪問口令����,如果能夠檢索到該用戶訪問口令且成功匹配,則返 回口令認(rèn)證成功信息����,進(jìn)入步驟S1306 ;否則����,拒絕甲用戶訪問,進(jìn)行步驟S1309�。步驟S1305不是必選步驟,也可以在步驟S1302之后進(jìn)行步驟S1305����,本實(shí)用新型 不以此為限。步驟S1306 業(yè)務(wù)授權(quán)單元304'調(diào)用認(rèn)證開關(guān)配置單元102確認(rèn)業(yè)務(wù)授權(quán)開關(guān)是 否開啟���,如果未開啟�����,則將該設(shè)備的所有業(yè)務(wù)服務(wù)訪問權(quán)限授予給甲用戶��,轉(zhuǎn)到步驟S1308 �����; 否則��,轉(zhuǎn)到步驟S1307��。步驟S1307 業(yè)務(wù)授權(quán)單元304'根據(jù)用戶認(rèn)證信息中的SG_ID查詢SG定義表 303�,如果能夠檢索到該SG_ID���,則返回對(duì)應(yīng)的數(shù)據(jù)記錄集���,提取記錄集中的SG_R0LE字段, 將字段值����,即業(yè)務(wù)操作處理權(quán)限子集賦給用戶,轉(zhuǎn)到步驟S1308�����。步驟S1308 業(yè)務(wù)授權(quán)單元304'允許甲用戶進(jìn)入所請求訪問的計(jì)算機(jī)設(shè)備系統(tǒng)訪問對(duì)應(yīng)的業(yè)務(wù)�。步驟S1309 結(jié)束認(rèn)證。在進(jìn)行圖13的安全遞進(jìn)認(rèn)證流程之前��,策略控制裝置100需要對(duì)用戶認(rèn)證策略進(jìn) 行設(shè)置,以保證安全遞進(jìn)認(rèn)證流程的進(jìn)行����。如圖14所示,本實(shí)用新型實(shí)施例提供一種策略設(shè)置方法����,所述的策略設(shè)置方法包 括步驟S1401 策略控制裝置100的主處理單元101接收用戶輸入的服務(wù)請求信息, 解析請求信息����,提取具體的控制條目,進(jìn)行步驟S1402�����。步驟S1402 主處理單元101根據(jù)請求信息判斷是否為自管理請求�,如果是,執(zhí)行 步驟S1409 �;否則,進(jìn)行步驟S1403����。步驟S1403 主處理單元101判斷請求信息的內(nèi)容,如果是對(duì)認(rèn)證單元開關(guān)進(jìn)行調(diào) 整,進(jìn)行步驟S1404;如果是調(diào)整口令算法���,則進(jìn)行步驟S1405 ��;如果是調(diào)整用戶信息��,則進(jìn) 行步驟S1406 ���;如果是調(diào)整設(shè)備分組信息,則進(jìn)行步驟S1407 ��;如果是調(diào)整業(yè)務(wù)服務(wù)分組信 息����,則進(jìn)行步驟S1408�。步驟S1404 認(rèn)證開關(guān)配置單元102解析請求數(shù)據(jù)中需要調(diào)整的認(rèn)證單元和開關(guān) 標(biāo)志,修改MG認(rèn)證功能�、或業(yè)務(wù)授權(quán)功能的開關(guān)標(biāo)志,進(jìn)行步驟S1412��。步驟S1405 口令策略配置單元103調(diào)整用戶訪問口令的復(fù)雜度要求�����、口令隨機(jī)生 成算法、密碼加密算法等安全控制策略�����,并進(jìn)行存儲(chǔ)���,進(jìn)行步驟S1412����。步驟S1406 認(rèn)證數(shù)據(jù)調(diào)整單元104訪問數(shù)據(jù)存儲(chǔ)裝置200的用戶定義表201'��, 根據(jù)服務(wù)請求的具體指令����,增加、刪除或者修改相應(yīng)用戶的信息����,并進(jìn)行存儲(chǔ)。比如���,將某一 用戶從可訪問MGl調(diào)整到可訪問MG2��,進(jìn)行步驟S1412����。步驟S1407 認(rèn)證數(shù)據(jù)調(diào)整單元104訪問數(shù)據(jù)存儲(chǔ)裝置200的MG定義表202',根 據(jù)服務(wù)請求的具體指令�����,增加���、刪除或者修改相應(yīng)的設(shè)備信息���,并進(jìn)行存儲(chǔ)。比如��,將某幾臺(tái) 計(jì)算機(jī)設(shè)備從原MG組中刪除����,或者增加幾臺(tái)計(jì)算機(jī)設(shè)備�,進(jìn)行步驟S1412。步驟S1408 認(rèn)證數(shù)據(jù)調(diào)整單元104訪問數(shù)據(jù)存儲(chǔ)裝置200的SG定義表204'�,根 據(jù)服務(wù)請求的具體指令,增加���、刪除或者修改相應(yīng)的業(yè)務(wù)分組信息��,并進(jìn)行存儲(chǔ)�����。比如��,將某 項(xiàng)權(quán)限從SGl調(diào)整到SG2�,進(jìn)行步驟S1412。步驟S1409 主處理單元101判斷自管理請求數(shù)據(jù)的內(nèi)容���,如果是修改個(gè)人信息�����, 則轉(zhuǎn)到步驟S1410 �;如果是修改密碼��,則轉(zhuǎn)到步驟S1411��。步驟S1410 認(rèn)證數(shù)據(jù)調(diào)整單元104訪問數(shù)據(jù)存儲(chǔ)裝置200的用戶定義表201'��, 根據(jù)服務(wù)請求的具體指令���,修改修改郵箱地址�、聯(lián)系電話等個(gè)人信息,一般不允許新增用 戶��,也不允許修改MG_ID���、SG_ID等信息���,并進(jìn)行存儲(chǔ),進(jìn)行到步驟S1412����。步驟S1411 認(rèn)證數(shù)據(jù)調(diào)整單元103解析用戶輸入的新密碼,調(diào)用口令策略配置單 元102檢查輸入密碼是否符合策略要求���,如果符合�����,則生成口令轉(zhuǎn)換信息�,存儲(chǔ)到數(shù)據(jù)存儲(chǔ) 裝置200的口令定義表203'中���;如果不符合,則拒絕用戶修改密碼的請求��,進(jìn)行步驟S1412步驟S1412 結(jié)束本流程。在另一實(shí)施例中��,本實(shí)用新型還提供一種企業(yè)局域網(wǎng)中的應(yīng)用服務(wù)器訪問系統(tǒng)�����, 所述的系統(tǒng)包括應(yīng)用服務(wù)器500�,數(shù)據(jù)庫服務(wù)器200,服務(wù)器訪問終端400及策略控制服務(wù) 器100 �;與圖1的實(shí)施例的不同之處在于身份認(rèn)證裝置200包含于每一臺(tái)應(yīng)用服務(wù)器中。所述的身份認(rèn)證裝置200通過企業(yè)局域網(wǎng)與服務(wù)器訪問終端相連接�����。在實(shí)施本實(shí)用新型實(shí)施例的訪問認(rèn)證方法時(shí)�,需要在計(jì)算機(jī)設(shè)備集群環(huán)境中的每 臺(tái)計(jì)算機(jī)設(shè)備中安裝身份認(rèn)證裝置300,身份認(rèn)證裝置300接管計(jì)算機(jī)設(shè)備操作系統(tǒng)原來 的用戶權(quán)限管理功能��,設(shè)備訪問者的訪問請求統(tǒng)一由身份認(rèn)證裝置300受理�。身份認(rèn)證裝 置300與計(jì)算機(jī)設(shè)備操作系統(tǒng)之間通過系統(tǒng)調(diào)用方式進(jìn)行通訊,身份認(rèn)證裝置300與策略 控制裝置100及數(shù)據(jù)存儲(chǔ)裝置200得交互過程如圖15所示�����,圖15中以身份認(rèn)證裝置200 包含于每一臺(tái)應(yīng)用服務(wù)器(計(jì)算機(jī)設(shè)備1�、計(jì)算機(jī)設(shè)備2至計(jì)算機(jī)設(shè)備η)中為例進(jìn)行說明����, 并非用于限定本實(shí)用新型���,�����。身份認(rèn)證裝置300負(fù)責(zé)解析計(jì)算機(jī)設(shè)備訪問者的訪問認(rèn)證信息���,由用戶信息檢索 單元301'判斷是否存在該用戶。如果確認(rèn)該用戶不存在�����,則直接拒絕訪問者進(jìn)入計(jì)算機(jī) 設(shè)備����,身份認(rèn)證請求結(jié)束。如果用戶信息檢索單元確認(rèn)存在該用戶����,則將訪問認(rèn)證信息發(fā)送 MG認(rèn)證單元302'。MG認(rèn)證單元302'查詢查詢策略控制裝置100的MG認(rèn)證開關(guān)是否開啟。如果MG 認(rèn)證開關(guān)未開啟���,則將訪問認(rèn)證信息發(fā)送給口令認(rèn)證單元303',否則��,MG認(rèn)證單元判斷計(jì) 算機(jī)設(shè)備是否屬于該用戶可以訪問的MG�����,如果不屬于���,則直接拒絕訪問者進(jìn)入計(jì)算機(jī)設(shè)備����, 身份認(rèn)證請求結(jié)束�,如果屬于,則將認(rèn)證信息發(fā)送給口令認(rèn)證單元303'����。口令認(rèn)證單元303'解析用戶認(rèn)證信息中的口令信息����,調(diào)用策略控制裝置100的 口令策略,查詢口令定義表,進(jìn)行口令認(rèn)證�����。如果口令認(rèn)證失敗����,則直接拒絕訪問者進(jìn)入計(jì) 算機(jī)設(shè)備,身份認(rèn)證請求結(jié)束��。否則�,則可將用戶認(rèn)證請求發(fā)送給業(yè)務(wù)授權(quán)單元304 ‘,提取 業(yè)務(wù)操作處理權(quán)限子集賦給用戶并允許用戶進(jìn)入計(jì)算機(jī)設(shè)備����,遞進(jìn)認(rèn)證過程結(jié)束。策略控制裝置100主要處理用戶的策略控制請求�,根據(jù)請求內(nèi)容完成相關(guān)認(rèn)證策 略及管理數(shù)據(jù)的修改。在用戶身份遞進(jìn)認(rèn)證過程中���,身份認(rèn)證裝置300各個(gè)處理單元根據(jù) 用戶認(rèn)證信息的具體內(nèi)容���,根據(jù)訪問策略控制裝置設(shè)置100的策略控制信息,采取相應(yīng)的 認(rèn)證步驟����。本實(shí)用新型實(shí)施例的有益技術(shù)效果本實(shí)用新型引入與企業(yè)運(yùn)營和服務(wù)相關(guān)聯(lián)的設(shè)備分組MG和業(yè)務(wù)服務(wù)分組SG���,采 用一種基于二維分組權(quán)限空間的新方法標(biāo)識(shí)用戶身份,突破了傳統(tǒng)上只能使用操作系統(tǒng)用 戶組的局限�����,企業(yè)可根據(jù)自身需求對(duì)設(shè)備分組和業(yè)務(wù)分組數(shù)量及顆粒度進(jìn)行靈活定義�,從 而可實(shí)現(xiàn)更精細(xì)化的權(quán)限管理功能�����。本實(shí)用新型采用分步遞進(jìn)認(rèn)證的方法���,每步認(rèn)證可采用不同認(rèn)證方法���,認(rèn)證單元 可參數(shù)化配置等,有效克服了現(xiàn)有技術(shù)一般采用的一次性身份認(rèn)證的局限���。本實(shí)用新型采用分步遞進(jìn)認(rèn)證方法�����,各步認(rèn)證難度與復(fù)雜度逐步遞進(jìn)�,前驅(qū)步驟 認(rèn)證失敗則直接拒絕,減少了參與后續(xù)認(rèn)證過程與復(fù)雜密碼認(rèn)證算法調(diào)用次數(shù)���,大大提高 了認(rèn)證效率和針對(duì)性���。本實(shí)用新型通過認(rèn)證與授權(quán)策略控制部件集中管理,認(rèn)證關(guān)鍵信息集中存儲(chǔ)�,不 需要在每臺(tái)計(jì)算機(jī)設(shè)備上分散維護(hù),可大大減少維護(hù)工作量���,提高工作效率��,確保企業(yè)環(huán)境 計(jì)算機(jī)集群環(huán)境中的認(rèn)證信息的一致性����。以上所述的具體實(shí)施例���,對(duì)本實(shí)用新型的目的���、技術(shù)方案和有益效果進(jìn)行了進(jìn)一 步詳細(xì)說明,所應(yīng)理解的是�����,以上所述僅為本實(shí)用新型的具體實(shí)施例而已,并不用于限定本實(shí)用新型的保護(hù)范圍�,凡在本實(shí)用新型的精神和原則之內(nèi),所做的任何修改��、等同替換��、改 進(jìn)等���,均應(yīng)包含在本實(shí)用新型的保護(hù)范圍之內(nèi)。
權(quán)利要求一種企業(yè)局域網(wǎng)中的應(yīng)用服務(wù)器訪問系統(tǒng)�,其特征在于,所述的系統(tǒng)包括應(yīng)用服務(wù)器��,數(shù)據(jù)庫服務(wù)器���,服務(wù)器訪問終端���,身份認(rèn)證裝置及策略控制服務(wù)器;所述的數(shù)據(jù)庫服務(wù)器�,身份認(rèn)證裝置,策略控制服務(wù)器通過企業(yè)局域網(wǎng)相互連接����,所述的身份認(rèn)證裝置通過企業(yè)局域網(wǎng)與服務(wù)器訪問終端相連接�,所述的身份認(rèn)證裝置與應(yīng)用服務(wù)器相連接�����;其中�,所述的數(shù)據(jù)庫服務(wù)器包括用于存儲(chǔ)用戶標(biāo)識(shí)的用戶標(biāo)識(shí)存儲(chǔ)裝置;用于存儲(chǔ)應(yīng)用服務(wù)器分組標(biāo)識(shí)的應(yīng)用服務(wù)器分組標(biāo)識(shí)存儲(chǔ)裝置�;用于存儲(chǔ)用戶口令的用戶口令存儲(chǔ)裝置;及用于存儲(chǔ)業(yè)務(wù)分組標(biāo)識(shí)的業(yè)務(wù)分組標(biāo)識(shí)存儲(chǔ)裝置����;所述的服務(wù)器訪問終端包括用于輸入包含用戶標(biāo)識(shí)、用戶口令��、應(yīng)用服務(wù)器分組標(biāo)識(shí)�、應(yīng)用服務(wù)器標(biāo)識(shí)、業(yè)務(wù)分組標(biāo)識(shí)的應(yīng)用服務(wù)器訪問請求信息的請求信息輸入裝置���;及用于訪問應(yīng)用服務(wù)器的應(yīng)用服務(wù)器訪問裝置�����;所述的身份認(rèn)證裝置包括用于接收所述服務(wù)器訪問終端的發(fā)來的訪問請求信息的信息接收裝置�;用于將所述訪問請求信息中的用戶標(biāo)識(shí)發(fā)送到所述的數(shù)據(jù)庫服務(wù)器進(jìn)行認(rèn)證的用戶標(biāo)識(shí)認(rèn)證裝置;用于根據(jù)所述的數(shù)據(jù)庫服務(wù)器反饋的用戶標(biāo)識(shí)信息生成應(yīng)用服務(wù)器分組認(rèn)證開關(guān)查詢狀態(tài)信息的應(yīng)用服務(wù)器開關(guān)查詢信息生成裝置���;用于將所述的應(yīng)用服務(wù)器開關(guān)狀態(tài)查詢信息發(fā)送到所述策略控制服務(wù)器的應(yīng)用服務(wù)器開關(guān)查詢信息發(fā)送裝置�;用于根據(jù)所述的策略控制服務(wù)器反饋的應(yīng)用服務(wù)器分組認(rèn)證開關(guān)開啟信息將所述訪問請求信息中的應(yīng)用服務(wù)器分組標(biāo)識(shí)發(fā)送到所述的數(shù)據(jù)庫服務(wù)器進(jìn)行認(rèn)證的應(yīng)用服務(wù)器分組認(rèn)證裝置�����;用于根據(jù)所述的數(shù)據(jù)庫服務(wù)器反饋的應(yīng)用服務(wù)器分組信息將所述訪問請求信息中的用戶口令發(fā)送到所述的策略控制服務(wù)器進(jìn)行口令信息轉(zhuǎn)換的信息轉(zhuǎn)換請求裝置����;用于將所述的策略控制服務(wù)器反饋的口令轉(zhuǎn)換信息發(fā)送到所述數(shù)據(jù)庫服務(wù)器進(jìn)行認(rèn)證的口令認(rèn)證裝置;用于根據(jù)所述的數(shù)據(jù)庫服務(wù)器反饋的用戶口令信息生成業(yè)務(wù)分組認(rèn)證開關(guān)狀態(tài)查詢信息的業(yè)務(wù)開關(guān)狀態(tài)查詢信息生成裝置�;用于將所述的業(yè)務(wù)開關(guān)狀態(tài)查詢信息發(fā)送到所述的策略控制服務(wù)器業(yè)務(wù)開關(guān)狀態(tài)查詢信息發(fā)送裝置�;用于根據(jù)所述的策略控制服務(wù)器反饋的業(yè)務(wù)分組認(rèn)證開關(guān)開啟信息將所述訪問請求信息中的業(yè)務(wù)分組標(biāo)識(shí)發(fā)送到所述的數(shù)據(jù)庫服務(wù)器進(jìn)行認(rèn)證的業(yè)務(wù)分組標(biāo)識(shí)認(rèn)證裝置;及用于根據(jù)所述的數(shù)據(jù)庫服務(wù)器返回的業(yè)務(wù)分組認(rèn)證成功信息向所述的服務(wù)器訪問終端發(fā)送應(yīng)用服務(wù)器訪問權(quán)限信息的權(quán)限信息發(fā)送裝置�;所述的策略控制服務(wù)器包括用于根據(jù)所述身份認(rèn)證裝置發(fā)來的應(yīng)用服務(wù)器分組認(rèn)證開關(guān)狀態(tài)信息及業(yè)務(wù)分組認(rèn)證開關(guān)狀態(tài)信息分別反饋應(yīng)用服務(wù)器分組認(rèn)證開關(guān)狀態(tài)及業(yè)務(wù)分組認(rèn)證開關(guān)狀態(tài)的開關(guān)狀態(tài)反饋裝置;用于對(duì)所述身份認(rèn)證裝置發(fā)來的用戶口令進(jìn)行信息轉(zhuǎn)換的信息轉(zhuǎn)換裝置�����;及用于將信息轉(zhuǎn)換后的用戶口令發(fā)送給所述身份認(rèn)證裝置的口令發(fā)送裝置�。
2.如權(quán)利要求1所述的系統(tǒng),其特征在于�����,所述的身份認(rèn)證裝置還包括用于從所述的應(yīng)用服務(wù)器訪問請求信息提取用戶標(biāo)識(shí)、用戶口令�、應(yīng)用服務(wù)器分組標(biāo) 識(shí)、應(yīng)用服務(wù)器標(biāo)識(shí)及業(yè)務(wù)分組標(biāo)識(shí)的信息提取裝置����。
3.如權(quán)利要求1所述的系統(tǒng),其特征在于�,所述的應(yīng)用服務(wù)器訪問請求信息還包括應(yīng) 用服務(wù)器標(biāo)識(shí)。
4.如權(quán)利要求3所述的系統(tǒng)�����,其特征在于�����,所述的應(yīng)用服務(wù)器分組標(biāo)識(shí)存儲(chǔ)裝置還用 于存儲(chǔ)與所述應(yīng)用服務(wù)器分組標(biāo)識(shí)對(duì)應(yīng)的應(yīng)用服務(wù)器標(biāo)識(shí)����。
5.如權(quán)利要求4所述的系統(tǒng),其特征在于�����,所述的應(yīng)用服務(wù)器分組認(rèn)證裝置還用于將 所述訪問請求信息中的應(yīng)用服務(wù)器標(biāo)識(shí)發(fā)送到所述的數(shù)據(jù)庫服務(wù)器進(jìn)行認(rèn)證。
6.如權(quán)利要求1所述的系統(tǒng)�����,其特征在于����,所述策略控制服務(wù)器還包括用于設(shè)定所述身份認(rèn)證裝置中的應(yīng)用服務(wù)器分組認(rèn)證開關(guān)狀態(tài)及業(yè)務(wù)分組認(rèn)證開關(guān) 狀態(tài)的開關(guān)狀態(tài)設(shè)定裝置。
7.如權(quán)利要求1所述的系統(tǒng)����,其特征在于,所述策略控制服務(wù)器還包括 用于對(duì)所述數(shù)據(jù)庫服務(wù)器中的信息進(jìn)行修改的信息修改裝置���。
8.如權(quán)利要求1所述的系統(tǒng)�����,其特征在于,當(dāng)應(yīng)用服務(wù)器分組認(rèn)證開關(guān)處于關(guān)閉狀態(tài) 時(shí)��,身份認(rèn)證裝置跳過應(yīng)用服務(wù)器分組標(biāo)識(shí)認(rèn)證裝置�,直接將所述訪問請求信息中的業(yè)務(wù) 分組標(biāo)識(shí)發(fā)送到所述的數(shù)據(jù)庫服務(wù)器進(jìn)行認(rèn)證。
9.如權(quán)利要求1所述的系統(tǒng)�,其特征在于����,當(dāng)業(yè)務(wù)分組認(rèn)證開關(guān)處于關(guān)閉狀態(tài)時(shí)�����,允許 用戶訪問通過所述應(yīng)用服務(wù)器分組標(biāo)識(shí)認(rèn)證裝置認(rèn)證的應(yīng)用服務(wù)器中的所有業(yè)務(wù)���。
10.一種企業(yè)局域網(wǎng)中的應(yīng)用服務(wù)器訪問系統(tǒng)����,其特征在于��,所述的系統(tǒng)包括應(yīng)用服 務(wù)器�,數(shù)據(jù)庫服務(wù)器,服務(wù)器訪問終端及策略控制服務(wù)器����;所述的數(shù)據(jù)庫服務(wù)器,策略控制服務(wù)器通過企業(yè)局域網(wǎng)相互連接����;其中,所述的數(shù)據(jù)庫服務(wù)器包括用于存儲(chǔ)用戶標(biāo)識(shí)的用戶標(biāo)識(shí)存儲(chǔ)裝置;用于存儲(chǔ)應(yīng)用服務(wù)器分組標(biāo)識(shí)的應(yīng)用服務(wù)器分組標(biāo)識(shí)存儲(chǔ)裝置���;用于存儲(chǔ)用戶口令的用戶口令存儲(chǔ)裝置���;及用于存儲(chǔ)業(yè)務(wù)分組標(biāo)識(shí)的業(yè)務(wù)分組標(biāo)識(shí)存儲(chǔ)裝置;所述的服務(wù)器訪問終端包括用于輸入包含用戶標(biāo)識(shí)����、用戶口令、應(yīng)用服務(wù)器分組標(biāo)識(shí)�����、應(yīng)用服務(wù)器標(biāo)識(shí)及業(yè)務(wù)分組 標(biāo)識(shí)的應(yīng)用服務(wù)器訪問請求信息的請求信息輸入裝置�;及 用于訪問應(yīng)用服務(wù)器的應(yīng)用服務(wù)器訪問裝置;所述的應(yīng)用服務(wù)器包括身份認(rèn)證裝置�����,所述的身份認(rèn)證裝置通過企業(yè)局域網(wǎng)與服務(wù) 器訪問終端相連接��,所述的身份認(rèn)證裝置包括用于接收所述服務(wù)器訪問終端的發(fā)來的訪問請求信息的信息接收裝置���;用于將所述訪問請求信息中的用戶標(biāo)識(shí)發(fā)送到所述的數(shù)據(jù)庫服務(wù)器進(jìn)行認(rèn)證的用戶標(biāo)識(shí)認(rèn)證裝置;用于根據(jù)所述的數(shù)據(jù)庫服務(wù)器反饋的用戶標(biāo)識(shí)信息生成應(yīng)用服務(wù)器分組認(rèn)證開關(guān)查 詢狀態(tài)信息的應(yīng)用服務(wù)器開關(guān)查詢信息生成裝置;用于將所述的應(yīng)用服務(wù)器開關(guān)狀態(tài)查詢信息發(fā)送到所述策略控制服務(wù)器的應(yīng)用服務(wù) 器開關(guān)查詢信息發(fā)送裝置�;用于根據(jù)所述的策略控制服務(wù)器反饋的應(yīng)用服務(wù)器分組認(rèn)證開關(guān)開啟信息將所述訪 問請求信息中的應(yīng)用服務(wù)器分組標(biāo)識(shí)發(fā)送到所述的數(shù)據(jù)庫服務(wù)器進(jìn)行認(rèn)證的應(yīng)用服務(wù)器 分組認(rèn)證裝置;用于根據(jù)所述的數(shù)據(jù)庫服務(wù)器反饋的應(yīng)用服務(wù)器分組信息將所述訪問請求信息中的 用戶口令發(fā)送到所述的策略控制服務(wù)器進(jìn)行口令信息轉(zhuǎn)換的信息轉(zhuǎn)換請求裝置�����;用于將所述的策略控制服務(wù)器反饋的口令轉(zhuǎn)換信息發(fā)送到所述數(shù)據(jù)庫服務(wù)器進(jìn)行認(rèn) 證的口令認(rèn)證裝置��;用于根據(jù)所述的數(shù)據(jù)庫服務(wù)器反饋的用戶口令信息生成業(yè)務(wù)分組認(rèn)證開關(guān)狀態(tài)查詢 信息的業(yè)務(wù)開關(guān)狀態(tài)查詢信息生成裝置�;用于將所述的業(yè)務(wù)開關(guān)狀態(tài)查詢信息發(fā)送到所述的策略控制服務(wù)器業(yè)務(wù)開關(guān)狀態(tài)查 詢信息發(fā)送裝置;用于根據(jù)所述的策略控制服務(wù)器反饋的業(yè)務(wù)分組認(rèn)證開關(guān)開啟信息將所述訪問請求 信息中的業(yè)務(wù)分組標(biāo)識(shí)發(fā)送到所述的數(shù)據(jù)庫服務(wù)器進(jìn)行認(rèn)證的業(yè)務(wù)分組標(biāo)識(shí)認(rèn)證裝置��;及 用于根據(jù)所述的數(shù)據(jù)庫服務(wù)器返回的業(yè)務(wù)分組認(rèn)證成功信息向所述的服務(wù)器訪問終 端發(fā)送應(yīng)用服務(wù)器訪問權(quán)限信息的權(quán)限信息發(fā)送裝置����; 所述的策略控制服務(wù)器包括用于根據(jù)所述身份認(rèn)證裝置發(fā)來的應(yīng)用服務(wù)器分組認(rèn)證開關(guān)狀態(tài)信息及業(yè)務(wù)分組認(rèn) 證開關(guān)狀態(tài)信息分別反饋應(yīng)用服務(wù)器分組認(rèn)證開關(guān)狀態(tài)及業(yè)務(wù)分組認(rèn)證開關(guān)狀態(tài)的開關(guān) 狀態(tài)反饋裝置;用于對(duì)所述身份認(rèn)證裝置發(fā)來的用戶口令進(jìn)行信息轉(zhuǎn)換的信息轉(zhuǎn)換裝置��;及 用于將信息轉(zhuǎn)換后的用戶口令發(fā)送給所述身份認(rèn)證裝置的口令發(fā)送裝置�����。
專利摘要本實(shí)用新型提供一種企業(yè)局域網(wǎng)中的應(yīng)用服務(wù)器訪問系統(tǒng)��,該系統(tǒng)包括應(yīng)用服務(wù)器����,數(shù)據(jù)庫服務(wù)器�,服務(wù)器訪問終端�����,身份認(rèn)證裝置及策略控制服務(wù)器�����;所述的數(shù)據(jù)庫服務(wù)器���,身份認(rèn)證裝置�,策略控制服務(wù)器通過企業(yè)局域網(wǎng)相互連接��,所述的身份認(rèn)證裝置通過企業(yè)局域網(wǎng)與服務(wù)器訪問終端相連接��,所述的身份認(rèn)證裝置與應(yīng)用服務(wù)器相連接��;身份認(rèn)證裝置通過對(duì)應(yīng)用服務(wù)器中的信息進(jìn)行逐級(jí)認(rèn)證��,將權(quán)限賦予通過最終認(rèn)證的用戶���。本實(shí)用新型采用分步遞進(jìn)認(rèn)證方法�,增強(qiáng)了安全性與靈活性,有效克服了現(xiàn)有技術(shù)一般采用的一次性身份認(rèn)證的局限����;企業(yè)可根據(jù)自身需求對(duì)設(shè)備分組和業(yè)務(wù)分組數(shù)量及顆粒度進(jìn)行靈活定義�,從而可實(shí)現(xiàn)更精細(xì)化的權(quán)限管理功能。
文檔編號(hào)G06F17/30GK201690475SQ20102019431
公開日2010年12月29日 申請日期2010年5月13日 優(yōu)先權(quán)日2010年5月13日
發(fā)明者侯志榮, 浦沅, 高嵩 申請人:中國工商銀行股份有限公司