基于Novell网络的访问管理方法和系统

摘要

本发明实施例公开了一种基于Novell网络的访问管理方法和系统，该方法包括：接收用户针对预定服务器的资源访问请求；判断该用户是否是具有数字证书的用户，若是，获取所述数字证书并提供给认证服务系统进行用户身份认证，否则，获取用户信息，并进行认证；当认证通过时，将所述资源访问请求发送给所述预定服务器，并在收到所述预定服务器针对所述资源访问请求所返回的资源信息时，将该资源信息提供给用户。本发明实施例可以对于普通用户采用“用户名/密码”的认证方式，而对于具有数据证书的用户则采用数字证书的认证方式。并且，该数字证书可以是由第三方提供，从而解决了现有Novell网络中认证方式单一，无法适用于高安全性认证的问题。

说明书

技术领域

本发明涉及计算机网络技术领域，更具体地说涉及一种基于Novell网络 的访问管理方法和系统。

背景技术

图1示出了一种Novell网络系统，包括用户端、访问管理系统(Access Manager，AM)、认证目录服务器和门户系统服务器，访问管理系统对用户 的认证一般采用用户名/密码的认证方式，一种具体的实现方式是基本认证 (Basic Authentication，BA认证)，即按照RFC2616(超文本传输协议 HTTP/1.1)规范要求，由访问管理系统向用户端浏览器发送“WWW- Authenticate”头，用户在标准的登录对话框中输入用户名和密码后由用户 端提交给访问管理系统进行认证。

可以看出，现有技术认证方式单一，仅能够进行用户名/密码的认证方 式，而无法满足安全性要求较高的认证需求，适用范围收到较大限制。

发明内容

有鉴于此，本发明的目的在于提供一种访问管理方法和系统，以解决现 有技术认证方式单一、无法满足安全性较高的认证需求的问题。

本发明实施例是这样实现的：

一种基于Novell网络的访问管理方法，包括：

接收用户针对预定服务器的资源访问请求；

判断该用户是否是具有数字证书的用户，若是，获取所述数字证书并提 供给认证服务系统进行用户身份认证，否则，获取用户信息，并进行认证；

当认证通过时，将所述资源访问请求发送给所述预定服务器，并在收到 所述预定服务器针对所述资源访问请求所返回的资源信息时，将该资源信息 提供给用户。

优选的，上述方法中，当认证通过时，还包括：当缓存区中具有该资源 访问请求对应的资源信息时，直接将该资源信息发送给用户。

优选的，上述方法中，所述认证服务系统归属于与Novell网络不同的第 三方网络。

优选的，上述方法中，所述身份认证系统按照以下步骤进行用户身份认 证：

接收到数字证书后，生成随机数，下发给用户端，由该用户端对所述随 机数进行签名；

调用认证目录服务器对所述数字证书的有效性进行验证；

获取经过签名的随机数；

当所述数字证书有效时，调用密码机对上述签名进行验签，并在验签通 过时确定认证通过。

优选的，上述方法中，判断用户使是否具有数字证书具体为：检测用户 所在用户端的USB设备或者智能卡设备中是否具有数字证书的标志。

本发明实施例同时还提供一种基于Novell网络的访问管理系统，包括：

访问请求接收单元，用于接收用户针对预定服务器的访问请求；

判断单元，用于判断该用户是否具有数字证书；

第一认证单元，用于当该用户具有数字证书时，获取所述数字证书并提 交给身份认证系统进行认证，获取认证结果并发送；

第二认证单元，用于当该用户不具有数字证书时，获取用户信息进行认 证，获取认证结果并发送；

控制单元，用于接收所述认证结果，当认证通过时，将所述资源访问请 求发送给所述预定服务器，并在收到所述预定服务器针对所述资源访问请求 所返回的资源信息时，将该资源信息发送给用户端。

优选的，上述系统中，所述身份认证系统归属于与Novell网络不同的第 三方网络。

优选的，上述系统中，所述控制单元包括：

访问请求发送单元，用于接收所述认证结果，并当该认证结果指示认证 通过时，将所述资源访问请求发送给所述预定服务器；

资源信息接收单元，用于接收预定服务器返回的资源信息；

资源缓存单元，用于缓存所述资源信息；

资源信息发送单元，用于将所述缓存单元中的与资源访问请求相应的资 源信息发送给用户端。

优选的，上述系统中，所述控制单元还包括：

资源指示单元，用于在访问请求发送单元接收所述认证结果之前，截获 所述认证结果，并当该认证结果指示认证通过时，判断资源缓存单元中是否 存储有相应资源信息，若是，则指示所述资源信息发送单元发送所述相应资 源信息。

优选的，上述系统中，所述数字证书基于X.509，且存储于用户所在用 户端的USB设备或智能卡中。

通过上述技术方案可知，与现有技术相比，本发明实施例可以根据不同 类型的用户进行不同的认证方式，对于普通用户则采用“用户名/密码”的认 证方式，而对于具有数据证书的用户则采用数字证书的认证方式。并且，该 数字证书可以是由第三方提供，从而解决了现有Novell网络中认证方式单 一，无法适用于高安全性认证的问题。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实 施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面 描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲， 在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为现有技术提供的一种Novell网络；

图2为本发明实施例提供的一种基于Novell网络的访问管理方法的流程 图；

图3为上述实施例中在进行“用户名/密码”认证过程中向用户提供的登 录页面示意图；

图4为上述实施例中认证服务系统进行数字证书认证的流程图；

图5为本发明实施例提供的一种访问管理系统所处的通信网络；

图6为本发明另外实施例提供的一种访问管理系统的结构示意图；

图7为图6所示一种访问管理系统中控制单元的一种结构示意图；

图8为图6所示一种访问管理系统中控制单元的另一种结构示意图。

具体实施方式

鉴于现有技术存在的问题，本发明提供一种基于Novell网络的访问管理 方法和系统，其一方面能够实现用户名/密码的认证方式，另一方面能够满足 安全性较高的数字证书认证方式的需求，并且该数字证书可以由第三方网络 提供。

为了使本领域技术人员能够清楚理解本发明的技术方案，下面将结合本 发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描 述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施 例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前 提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例公开了一种基于Novell网络的访问管理方法，该方法可以 根据不同类型的用户进行不同的认证方式，对于普通用户则采用“用户名/密 码”的认证方式，而对于具有数据证书的用户则采用数字证书的认证方式。 并且，该数字证书可以是由第三方提供，从而解决了现有Novell网络中认证 方式单一，无法适用于高安全性认证的问题。

本实施例从Novell网络中的访问管理系统(Access Manager，AM)的角度 描述该方法的工作流程，如图2所示，包括以下步骤：

步骤S21、获取用户针对预定服务器的访问请求。

该预定服务器可以是门户系统的服务器，用户在浏览器中输入访问网关 所代理的门户系统的统一资源定位符(Uniform Resource Locator，URL)以 访问所述门户系统服务器。

步骤S22-步骤S23、对用户所在用户端进行检测，判断该用户是否是具 有数字证书的用户，若是，进入步骤S24；否则，进入步骤S25。

所述数字证书存储于USB设备或智能卡中，一般包含以下信息：证书的 版本信息、序列号、颁发者信息、有效期、公开密钥和颁发者的数字签名数 据。

当接收到用户端发送的资源访问请求时，检测用户端的USB设备中是否 存储有数字证书的Key，若是，则可认为该用户为具有数字证书的用户；否 则，则认为该用户为普通的“用户名/密码”认证用户。

步骤S24、获取数字证书，并提供给认证服务系统，由认证服务系统进 行认证，进入步骤S26。

本实施例中的数字证书可以是任意第三方的安全认证证书产品，例如可 以是基于X.509的数字证书，AM可以根据该数字证书上的颁发者信息将该 数字证书发送给相应的认证服务系统进行认证。这时，所述认证服务系统为 不同于Novell网络的第三方。

步骤S25、按照“用户名/密码”认证方式对用户进行认证，结束流程。

其中：“用户名/密码”认证方式如下：

向用户提供登录页面，如图3所示，由用户输入用户信息(用户名/密 码)后，获取该用户信息，并将该用户信息与认证目录中存放的用户信息进 行匹配以验证用户的合法性，若匹配成功，则使用身份注入机制(如自动填 表策略)，将用户名和密码填入预定服务器所述门户系统的登录页面，并提 交给所述预定服务器，并接收该预定服务器返回的资源信息，将该资源信息 发送给用户端。

为了增强认证安全性，则认证过程中，传输的信息可以启用SSL (Secure Socket Layer，安全套接层协议)进行保护。

步骤S26、获取认证服务系统提供的认证结果，根据认证结果对用户的 访问进行控制：如果认证通过，则允许用户访问，否则，拒绝用户访问。

当认证通过时，允许用户访问，AM将资源访问请求发送给所述预定服 务器，所述预定服务器可以在接收到所述资源访问请求后，返回对应的资源 信息，于是，AM将返回的资源信息发送给用户端。需要说明的是，在其他 实施例中，所述预定服务器还可以对用户进行进一步的验证，例如获取用户 的用户名和密码，并进行一次用户名/密码的认证，仅在认证通过时，才返回 对应的资源信息。

另外，还需要说明的是，AM一般情况下具有存储空间有限的缓存设 备，在用户端访问预定服务器的某资源时，AM将所述预定服务器返回的资 源信息进行缓存，然后再发送给用户端。在该用户访问该预定服务器的其他 资源，或者其他用户端访问其他应用服务器的资源时，如果存储空间已满， 则将删除其中的某些资源信息。在某种情况下，用户可能会频繁访问某个资 源，于是该资源将频繁地进出缓存设备，由此增大了系统开销。于是，在本 发明其他实施例中，AM在对用户认证通过后且在将资源访问请求发送给预 定服务器之间，判断缓存设备中是否存储有相应的资源信息，若有，则直接 将该资源信息发送给用户端，否则，再将资源访问请求发送给预定服务器。 由此，在某资源被频繁访问的情况下，可以提高资源访问效率。

上述所有实施例中，认证服务系统对数字证书有效性及用户合法性的验 证过程可以如图4所示，包括以下步骤：

步骤S41、认证服务系统在接收到数字证书后，生成随机数。

步骤S42、认证服务系统将所述随机数下发给用户端。

步骤S43、用户端利用私钥对所述随机数进行签名，并返回给所述认证 服务系统。

步骤S44-步骤S45、认证服务系统调用LDAP服务器对所述数字证书的 有效性进行验证，并获取验证结果。

验证所述数字证书的有效性可以至验证证书的信任链，也可以在验证证 书的信任链的同时检查证书吊销列表(Certificate Revocation List，CRL)， 检查所述数字证书是否被吊销，也可以同时根据有效期信息检查数字证书是 否过期。具体验证方式可以根据用户需求或者网络实际运行情况而定。

步骤S46-步骤S47、在确定所述数字证书有效时，调用密码设备对随机 数进行验签，并获取验签结果。

密码设备利用该数字证书对应的公钥对经过私钥签名的随机数进行解密 操作，如果解密成功，则可确定验签成功；否则，验签失败。

步骤S48、根据验签结果确定认证结果，并返回给AM。

如果验签成功，则说明认证通过，用户为合法用户，如果验签失败，则 说明认证失败，用户为非法用户。

另外，为了进一步增强认证安全性，AM与认证服务系统之间的信息交 互可以通过加密的方式传输。

可以看出，本发明实施例公开的访问管理方法不仅可以适用安全性要求 不高的“用户名/密码”认证方式，还可以适用于高安全性的数字证书认证方 式。并且，该数字证书可以是由第三方提供，从而解决了现有Novell网络中 认证方式单一，无法适用于高安全性认证的问题。

与此同时，针对上述方法，本发明实施例还提供了一种基于Novell网络 的AM(Access Manager，访问管理)系统。

图5示出了本发明实施例公开的访问管理系统所应用的一种通信网络， 该网络包括访问管理系统51、认证服务系统52、认证目录服务器53和密码 机54。

用户端55的用户是普通用户，其认证方式采用“用户名/密码”方式进 行，用户端56的用户是持有USB Key的用户，所述USB Key中存储有第三 方安全认证的数字证书。

访问管理系统51负责用户对应用服务器57、应用服务器58和应用服务 器59的访问管理，假设用户端55和用户端56先后发起对应用服务器的资源 访问请求，则访问管理系统的的访问管理过程如下：

在接收到来自用户端55的针对应用服务器48的资源访问请求后，判断 该用户端55是否存在数字证书，并在判断出用户端55不存在数字证书时， 向用户提供传统登录页面，该登录页面可以如图3所示，获取用户输入的用 户信息(用户名、密码)，通过该用户信息认证用户的合法性，若认证通 过，则允许用户访问，即将用户端55的资源访问请求发送给应用服务器 58，并在接收到应用服务器58返回的资源信息时，将该资源信息发送给用 户端55，若认证不通过，则拒绝用户端55的资源访问请求。

在接收到来自用户端56的针对应用服务器58的资源访问请求后，判断 该用户端56是否存在数字证书，并在判断出用户端56存在数字证书时，获 取所述数字证书，发送至认证服务系统52，由认证服务系统52进行用户身 份认证过程。并获取认证服务器系统52返回的认证结果，当该认证结果指 示认证通过时，允许用户访问，即将用户端55的资源访问请求发送给应用 服务器58，并在接收到应用服务器58返回的资源信息时，将该资源信息发 送给用户端55，若认证不通过，则拒绝用户端55的资源访问请求。

认证服务系统52启动的认证过程可以如下：

认证服务系统52接收到访问管理系统51发送的数字证书后，一方面生 成随机数，并将所述随机数下发给用户端56，在用户端56利用所述数字证 书对应的私钥对所述随机数进行签名后，获取所述签名后的随机数；另一方 面调用认证目录服务器53对所述数字证书的有效性进行验证，并获取验证 结果。当验证结果指示所述数字证书有效时，调用密码机54对所述签名进 行验签，即密码机54利用处于公开状态的所述数字证书的公钥对签名后的 随机数进行解密，如果成功解密，则表示用户为合法用户，否则，表示用户 为非法用户。

图6示出了本发明实施例公开的另外一种访问管理系统，该访问管理系 统包括：访问请求接收单元61、判断单元62、第一认证单元63、第二认证 单元64和控制单元65。

其中：

访问请求接收单元61，用于接收用户端用户针对预定服务器的访问请 求，例如，用户可以在浏览器中输入某预定服务器的URL以启动对该预定 服务器的资源访问。

判断单元62，用于对用户端进行检测，以判断该用户是否具有数字证 书，本实施例中，所述数字证书以USB Key的形式存储，则判断单元62在 访问请求接收单元61接收到资源访问请求时，检测用户端的USB设备中是 否存储有数字证书的Key，若是，则可认为该用户为具有数字证书的用户； 否则，则认为用户为普通的“用户名/密码”认证用户。

第一认证单元63，用于获取判断单元62的判断结果，当该判断结果指 示该用户具有数字证书时，获取所述数字证书并提交给身份认证系统进行认 证，并在获取认证结果后发送给控制单元65。

第二认证单元64，用于当该用户不具有数字证书时，向用户所在用户端 发送如图3所示的登录页面，在用户输入用户信息(用户名和密码)后并确 定后，获取所述用户信息，将该用户信息与认证目录中存放的用户信息进行 匹配，以验证用户的合法性，并将认证结果发送给控制单元65。

控制单元65，用于接收所述认证结果，当认证通过时，将资源访问请求 单元61接收到的资源访问请求发送给所述预定服务器，所述预定服务器可 以在接收到控制单元65发送的资源访问请求后，返回对应的资源信息，于 是控制单元65在收到所述资源信息时，将所述资源信息发送给用户端。需 要说明的是，在其他的实施例中，所述预定服务器还可以对用户进行进一步 的验证，例如获取用户的用户名和密码，并进行一次用户名/密码的认证，仅 在认证通过时，才返回对应的资源信息。

图7示出了控制单元65的一种结构形式，控制单元65包括：访问请求 发送单元71、资源信息接收单元72、资源缓存单元73和资源信息发送单元 74。

其中：

访问请求发送单元71，用于接收所述认证结果，并当该认证结果指示认 证通过时，将所述资源访问请求发送给所述预定服务器。

资源信息接收单元72，用于接收所述预定服务器返回的资源信息。

资源缓存单元73，用于缓存所述资源信息。

资源信息发送单元74，用于将缓存单元73中与资源访问请求相应的资 源信息发送给用户端。

一般来说，资源缓存单元73是共用的，基于成本及资源利用率方面的 考虑，其存储空间是很有限的，在用户端访问预定服务器的某资源时，资源 缓存单元73将资源信息接收单元72接收的资源信息进行缓存，然后再由资 源信息发送单元74进行发送。在该用户访问该预定服务器的其他资源，或 者其他用户端访问其他应用服务器的资源时，资源缓存单元73在存储空间 满后将删除其中的某些资源信息。在某种情况下，用户可能会频繁访问某个 资源，于是该资源将频繁地进出资源缓存单元73，由此增大了系统开销。

为此，控制单元65可以在接收到认证结果后，如果认证通过，则先判 断资源缓存单元73中是否存储有与资源访问请求对应的资源信息，若有， 则直接将该资源信息发送给用户端，否则，再发送资源访问请求给预定服务 器。于是，本发明实施例公开的控制单元65的另外一种结构形式可以如图8 所示，包括：访问请求发送单元81、资源信息接收单元82、资源缓存单元 83、资源信息发送单元84和指示单元85。

其中：

访问请求发送单元81、资源信息接收单元82、资源缓存单元83和资源 信息发送单元84的功能与访问请求发送单元71、资源信息接收单元72、资 源缓存单元73和资源信息发送单元74基本相同，而指示单元85则用于：在 访问请求发送单元81接收所述认证结果之前，截获所述认证结果，并当该 认证结果指示认证通过时，判断资源缓存单元83中是否存储有相应资源信 息，若是，则指示所述资源信息发送单元84发送所述相应资源信息，否 则，将所述认证结果提供给访问请求发送单元81，由访问请求发送单元81 向所述预定服务器发送资源访问请求。

可以看出，对应于被频繁访问的资源来说，与现有技术相比，本发明上 述实施例可以大幅度缩短访问时间，提高访问效率。

本发明实施例公开的访问控制方法和装置是基于Novell网络的，现有技 术中没有存在基于Novell网络而接入第三方安全认证证书的形式，本发明实 施例提供了一种详细而有效的方案，对现有Novell网络的使用范围和功能做 了适当的扩充。

本领域技术人员可以理解，可以使用许多不同的工艺和技术中的任意一 种来表示信息、消息和信号。例如，上述说明中提到过的消息、信息都可以 表示为电压、电流、电磁波、磁场或磁性粒子、光场或以上任意组合。

专业人员还可以进一步应能意识到，结合本文中所公开的实施例描述的 各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来 实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能 一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来 执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每 个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为 超出本发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、 处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存 储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可 编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知 的任意其它形式的存储介质中。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用 本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易 见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况 下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实 施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。