一种网络用户验证授权系统技术方案

一种网络用户验证授权系统，该系统主要由客户端和服务器端组成，服务器端包括用户登录验证模块，用户权限验证和获取模块，SOAP POST请求分析和响应产生模块，用户编组信息产生模块和用户分数消息交互处理模块；服务器端还包括验证用户接口、授权用户接口、验证与授权的伺服分类与分送接口、用户网络通知与转发接口、用户信息安全交换接口和发行机构制度验证和加密/解密子系统。本发明专利技术采用证书链验证、安全加解密算法和动态密钥更换机制，同时提供了用户升级换代的Call Back机制的中间插件方式，使得用户很容易以少量的编程，和内部统一的接口来实现SDK的目标，提高了用户数据的安全性，并使得消息的内部转换和更加灵活。

Network user authentication authorization system

A network user authentication and authorization system, the system is composed of client and server components, the server includes user login module, user authentication and access module, SOAP POST request and response analysis module, user grouping information generation module and interactive processing module user score server includes an authentication message; servo classification authorized user interface, user interface, authentication and authorization of the user interface, and distribute network notification and forwarding interface, user information security exchange interface and the issuer system of authentication and encryption / decryption subsystem. The invention adopts the certificate chain validation, security encryption algorithm and dynamic key exchange mechanism, and provides the upgrading of the user's Call Back mechanism middleware, makes it easy for users to a small amount of programming, and internal unified interface to achieve the goal of SDK, improves the safety of user data, and makes the internal conversion messages and more flexible.

【技术实现步骤摘要】
一种网络用户验证授权系统
本专利技术涉及网络运营和管理领域，尤其涉及一种网络用户验证授权系统。
技术介绍
近年来，随着网络信息化建设的不断深入，网络应用日益丰富，使得网络管理特别是用户管理变得越来越复杂。不可否认，当今有不少网络仍旧缺乏高效的安全机制。事实上，无论什么样的安全策略，底层都包括基本的安全概念，包括验证性、授权性、机密性和完整性等。验证性指的是检验核实某人确实是他所声称的那个人，通常情况下，包括一个用户名、密码对，也可以包括其它表明身份的方法，比如智能卡、语音识别、指纹识别等。授权性是指确定已被识别和验证的用户是否可以访问某特定资源的过程，通常是通过检验该用户是否属于某一拥有访问权的组来决定的。目前大部分的网络对于用户数据的安全性考虑不够完善，一旦要提高用户数据保密的安全需要和使得密码的管理更加网络化的时候，需要更改的工作量很大，牵一发而动全身，会对系统的升级带来极大的障碍，或者很难和别的系统的用户进行有效安全的数据交互，交互消息的内部转换和更改也不够灵活。
技术实现思路
为解决上述技术问题，本专利技术的实施例提供以下技术方案：一种网络用户验证授权系统，包括：客户端，用于采集用户输入的用户账户登录信息，生成账户登录请求后发送；服务器端，用于接收所述用户账户登录信息，包括用户登录验证模块，用户权限验证和获取模块，SOAPPOST请求分析和响应产生模块，用户编组信息产生模块和用户分数消息交互处理模块，还包括：验证用户接口，用于对用户进行身份确认，产生唯一对应的ID，并使用此ID和授权用户接口进行对接，形成灵活的用户权限管理；授权用户接口，用于对一个用户或者一组用户群进行特权的授予，设置，或者取消，使用抽象对象的类识别概念以统一的形式针对各种客户端的用户权限的限制提供有效的保护；验证与授权的伺服分类与分送接口，用于Servlet分类和重定向的SOAP请求/响应接口主要用来响应B/S的客户端对自身安全验证的请求，和统一的多语言环境信息获取的需要，以封闭的用户登录，校验，状态更新和退出的认证周期来实现用户的私密性的安全校验和管理；用户网络通知与转发接口，用于交换用户的交易数据和登录，提供了灵活的回复机制可以进行ISO8583消息的重定向，和由用户交易产生的权限的升级、迁移；用户信息安全交换接口，用于提供各种X509证书管理功能，DES加密算法的功能以及SHA256算法的加密技术，为用户认证和授权系统的敏感数据的安全保护提供各种重要的辅助功能；发行机构制度验证和加密/解密子系统，利用证书保护X509密钥，使用不对称加密算法RSA进行证书校验,并用根证书对问题机构的证书进行证书链的校验，使用证书保护的DES密钥对用户输入的敏感数据(如密码)进行密码的加密传输，使用SHA256算法对数据库中的敏感字段进行加密保护。本专利技术授权管理完全对象化，采用统一格式的抽象数据库管理，可以很方便地支持SDK式的灵活而统一的授权方式，极其容易扩展授权对象。而且支持一对多的在一个系统内多个Client端的统一化权限管理，极大地减少了二次开发的需要。本专利技术建立了发布证书的功能，可以供给各个机构自己发行自己的证书，通过证书链来验证自己发行的客户端的证书。采用安全加解密算法和银行流行的动态密钥更换机制，以及面向抽象对象概念的授权管理系统，对特定用户的多个特征可以根据客户端的需求灵活设置，而无须重新编程，并可以随时增加，减少特定的用户授权对象迎合客户端权限升级的需要，而无须更改服务器的授权编程的方式，可以无限拓展客户定制的授权对象。同时提供了用户升级换代的CallBack机制的中间插件的方式，使得用户很容易以最少量的编程，和内部统一的接口来实现SDK的目标，提高了网络用户数据的安全性，并使得消息的内部转换和更改更加灵活。附图说明图1是本专利技术网络用户验证授权系统的结构示意图。具体实施方式下面结合附图，对本专利技术提供的网络用户验证授权系统进行详细描述：所述的网络用户验证授权系统包括客户端1和服务器端2。所述的服务器端2包括用户登录验证模块，用户权限验证和获取模块，SOAPPOST请求分析和响应产生模块，用户编组信息产生模块和用户分数消息交互处理模块；还包括验证用户接口3、授权用户接口4、验证与授权的伺服分类与分送接口5、用户网络通知与转发接口6、用户信息安全交换接口7和发行机构制度验证和加密/解密子系统8。客户端1，用于采集用户输入的用户账户登录信息，生成账户登录请求后发送；服务器端2，和客户端1相连接，用于接收所述用户账户登录信息；其中，所述的客户端1采用动态密钥交换保护技术，使用X509的数字证书来保护密钥，同时以加密的形式将密钥保存在证书的扩展属性中，实现注册对象的SOAP消息的生成和服务器错误返回，用户注册，用户注销，编组消息，用户状态和区域属性更改等功能请求/响应的处理；所述的服务器端2可以支持不受限制的客户端的权限规范的设置和使用，非常灵活方便，极大减少了代码的维护量。验证用户接口3，和所述的用户登录验证模块相对应，用于对用户进行身份确认，产生唯一对应的ID，并使用此ID和后面将要述及的授权用户接口4对接，形成灵活的用户权限管理。对用户身份确认可以通过四种方式进行安全验证：（1）用户名+密码，（2）电话号码+密码，（3）卡号+密码，（4）邮件地址+密码；授权用户接口4，和所述的用户权限验证和获取模块相对应，用于对一个用户或者一组用户群进行特权的授予，设置，或者取消，使用抽象对象的类识别概念以统一的形式针对各种客户端的用户权限的限制提供有效的保护；验证与授权的伺服分类与分送接口5，和所述的SOAPPOST请求分析和响应产生模块相对应，采用Servlet分类和重定向的SOAP请求/响应，主要用来响应B/S的客户端对自身安全验证的请求，和统一的多语言环境信息获取的需要，以封闭的用户登录，校验，状态更新和退出的认证周期来实现用户的私密性的安全校验和管理；用户网络通知与转发接口6，和所述的用户编组信息产生模块和用户分数消息交互处理模块相对应，用于交换用户的交易数据和登录，提供了灵活的回复机制可以进行ISO8583消息的重定向，和由用户交易产生的权限的升级、迁移；用户信息安全交换接口7，和所述的用户编组信息产生模块和用户分数消息交互处理模块相对应，用于提供各种X509证书管理功能，DES加密算法的功能以及SHA256算法的加密技术，为用户认证和授权系统的敏感数据的安全保护提供各种重要的辅助功能；发行机构制度验证和加密/解密子系统8，和服务器端连接，辅助服务器端利用证书保护X509密钥，使用不对称加密算法RSA进行证书校验,并用根证书对问题机构的证书进行证书链的校验；使用证书保护的DES密钥对用户输入的敏感数据(如密码)进行密码的加密传输；使用SHA256算法对数据库中的敏感字段进行加密保护。本专利技术网络用户认证和授权系统使用统一的客户端接口规则，即通过特定用户的信息配合额外的Hash组信息，并提供getAuthorizedOutputs()，getAttr-Outputs()，getUserInput()，三种不同用意的返回；getAuthorizedOutputs()返回一个Java的Hash表，主要包含当前用户的授权响应列表；getA本文档来自技高网...

【技术保护点】
一种网络用户验证授权系统，包括：客户端，用于采集用户输入的用户账户登录信息，生成账户登录请求后发送；服务器端，与客户端相连接，用于接收所述用户账户登录信息；其特征在于，所述的服务器端包括：用户登录验证模块，用户权限验证和获取模块，SOAP POST请求分析和响应产生模块，用户编组信息产生模块和用户分数消息交互处理模块；所述的服务器端还包括：验证用户接口，和所述的用户登录验证模块相对应，用于对用户进行身份确认，产生唯一对应的ID；授权用户接口，和所述的用户权限验证和获取模块相对应，用于对一个用户或者一组用户群进行特权的授予，设置，或者取消，使用抽象对象的类识别概念以统一的形式对各种客户端的用户权限的限制提供有效的保护；验证与授权的伺服分类与分送接口，和所述的SOAP POST请求分析和响应产生模块相对应，采用Servlet分类和重定向的SOAP请求/响应，主要用来响应B/S的客户端对自身安全验证的请求，以封闭的用户登录，校验，状态更新和退出的认证周期来实现用户的私密性的安全校验和管理；用户网络通知与转发接口，和所述的用户编组信息产生模块和用户分数消息交互处理模块相对应，用于交换用户的交易数据和登录；用户信息安全交换接口，和所述的用户编组信息产生模块和用户分数消息交互处理模块相对应，用于提供X509证书管理功能，DES加密算法的功能以及SHA256算法的加密技术，为用户认证和授权系统的敏感数据的安全保护提供辅助功能；发行机构制度验证和加密/解密子系统，和服务器端连接，辅助服务器端利用证书保护X509密钥，使用不对称加密算法RSA进行证书校验，并用根证书对问题机构的证书进行证书链的校验，使用证书保护的DES密钥对用户输入的敏感数据进行密码的加密传输，使用SHA256算法对数据库中的敏感字段进行加密保护。...

【技术特征摘要】
1.一种网络用户验证授权系统，包括：客户端，用于采集用户输入的用户账户登录信息，生成账户登录请求后发送；服务器端，与客户端相连接，用于接收所述用户账户登录信息；其特征在于，所述的服务器端包括：用户登录验证模块，用户权限验证和获取模块，SOAPPOST请求分析和响应产生模块，用户编组信息产生模块和用户分数消息交互处理模块；所述的服务器端还包括：验证用户接口，和所述的用户登录验证模块相对应，用于对用户进行身份确认，产生唯一对应的ID；授权用户接口，和所述的用户权限验证和获取模块相对应，用于对一个用户或者一组用户群进行特权的授予，设置，或者取消，使用抽象对象的类识别概念以统一的形式对各种客户端的用户权限的限制提供有效的保护；验证与授权的伺服分类与分送接口，和所述的SOAPPOST请求分析和响应产生模块相对应，采用Servlet分类和重定向的SOAP请求/响应，主要用来响应B/S的客户端对自身安全验证的请求，以封闭的用户登录，校验，状态更新和退出的认证周期来实现用户的私密性的安全校验和管理；用户网络通知与转发接口，和所述的用户编组信息产生模块和用户分数消息交互处理模块相对应，用于交换用户的交易数据和登录；用户信息安全交换接口，和所述的用户编...

【专利技术属性】
技术研发人员：殷莉，
申请(专利权)人：上海地慧光电科技有限公司，
类型：发明
国别省市：上海,31