一种信息访问系统及其安全控制方法.pdf

摘要
申请专利号：	CN201210209999.1	申请日：	2012.06.19
公开号：	CN102833226A	公开日：	2012.12.19
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):H04L 29/06申请日:20120619\|\|\|公开
IPC分类号：	H04L29/06	主分类号：	H04L29/06
申请人：	浪潮（北京）电子信息产业有限公司
发明人：	张道伟; 王旭; 吕万波
地址：	100085 北京市海淀区上地信息路2号2-1号C栋1层
优先权：
专利代理机构：	北京安信方达知识产权代理有限公司 11262	代理人：	栗若木;曲鹏
PDF下载：	PDF下载

内容摘要

本发明披露了一种信息访问系统及其安全控制方法，涉及用户模块、自主型访问控制子系统以及域验证访问控制子系统，该方法包括：自主型访问控制子系统根据用户模块在进行信息访问时输入的验证信息，分别请求域验证访问控制子系统进行域验证访问控制验证以及本子系统进行自主型访问控制验证，并在确认全部验证均通过，允许用户模块访问信息数据库。本发明将AD访问控制方法与自主型访问控制方法相结合，对自主型访问控制的输入信息做二次甄别和验证，并对验证通过的用户信息进行本地化处理，同时能够对用户的信息及时进行响应更新，达到权限验证的安全性和统一性。

权利要求书

1.一种用于信息访问系统提供的安全控制方法，涉及用户模块、自主型访问控制子系统以及域验证访问控制子系统，该方法包括：自主型访问控制子系统根据用户模块在进行信息访问时输入的验证信息，分别请求域验证访问控制子系统进行域验证访问控制验证以及本子系统进行自主型访问控制验证，并在确认全部验证均通过，允许用户模块访问信息数据库。2.按照权利要求1所述的方法，其特征在于，所述用户模块在进行所述信息访问时输入的所述验证信息包括用户名称和密码。3.按照权利要求2所述的方法，其特征在于，该方法具体包括：所述自主型访问控制子系统根据所述用户模块输入的所述用户名称和所述密码请求所述域验证访问控制子系统进行域验证访问控制验证；所述域验证访问控制子系统根据所述自主型访问控制子系统的请求对所述用户名称和所述密码进行所述域验证访问控制验证，并在验证成功后返回该验证成功信息，或在验证失败后返回验证失败信息；所述自主型访问控制子系统收到所述域验证访问控制子系统返回所述验证成功信息后，对所述用户名称和所述密码进行所述自主型访问控制验证，并在该验证成功后，保存该用户模块最新的验证信息，同时向所述用户模块传输验证成功信息，且允许所述用户模块访问信息数据库。4.按照权利要求3所述的方法，其特征在于，还包括：所述自主型访问控制子系统收到所述域验证访问控制子系统返回验证失败信息后，或者对所述用户名称和所述密码进行所述自主型访问控制验证，并在该验证失败后，向所述用户模块传输验证失败信息，且禁止所述用户模块访问所述信息数据库。5.一种信息访问系统，包括通过网络连接在一起的用户模块和自主型访问控制子系统，其特征在于，还包括域验证访问控制子系统，其中：用户模块，用于通过自主型访问控制子系统进行信息访问时输入验证信息；自主型访问控制子系统，用于根据用户模块输入的验证信息分别请求域验证访问控制子系统进行域验证访问控制验证和本子系统进行自主型访问控制验证，并在确认全部验证均通过时，向用户模块开放信息数据库；域验证访问控制子系统，与自主型访问控制子系统通过网络连接在一起，用于根据自主型访问控制子系统的请求，对用户模块输入的所述验证信息进行域验证访问控制验证，并将验证结果返回自主型访问控制子系统。6.按照权利要求4所述的系统，其特征在于，所述用户模块通过自主型访问控制子系统输入的验证信息包括用户名称和密码。7.按照权利要求5所述的系统，其特征在于，所述自主型访问控制子系统根据所述用户模块输入的所述用户名称和密码请求所述域验证访问控制子系统进行域验证访问控制验证，且在所述域验证访问控制子系统返回验证成功信息后，进行所述自主型访问控制验证，并在所述验证通过后，保存该用户模块最新的验证信息，同时向该用户模块传输验证成功信息，且允许该用户模块访问所述信息数据库。8.按照权利要求7所述的系统，其特征在于，所述自主型访问控制子系统根据所述用户模块输入的所述用户名称和密码请求所述域验证访问控制子系统进行域验证访问控制验证，且在所述域验证访问控制子系统返回验证失败信息后，或者进行所述自主型访问控制验证未通过，则向该用户模块传输验证失败信息，且禁止该用户模块访问所述信息数据库。9.按照权利要求5至8任一项所述的系统，其特征在于，所述域验证访问控制子系统为域验证访问控制服务器。

说明书

一种信息访问系统及其安全控制方法

技术领域

本发明涉及计算机应用安全技术，尤其涉及信息访问系统及其安全控制
方法。

背景技术

全球的信息化步伐越来越快，数据总量正在急速的增长，所以数据存储
的安全性变得越来越重要。信息化给人们带来快捷的服务和方便的管理时，
也给人们带来数字信息丢失的风险，因此用户权限管理的重要性地位便越发
突出。

用户权限往往是一个极其复杂的问题。针对不同的应用，需要根据项目
的实际情况和具体架构，在维护性、灵活性、完整性等多个方案因素之间比
较权衡，选择适合的方案。

在企业环境中的信息访问安全控制方法，一般有以下三种：

(1)自主型访问控制方法

目前在我国的大多数的信息系统中的访问控制模块中基本是借助于自主
型访问控制方法中的访问控制列表(ACLs)。

自主型访问控制方法是通过应用中的系统数据库进行验证，这种方法存
在一定的风险，数据库被攻破后，整个系统资源会对外开放，系统的安全性
得不到保证。

(2)基于域验证(AD，Active Directory)访问控制方法

基于域验证访问控制方法是利用现有的资源进行用户验证，它是目前公
认的解决大型企业的统一资源访问控制的比较有效的方法。其显著的两大特
征是：

1)减小授权管理的复杂性，降低管理开销；

2)灵活地支持企业的安全策略，并对企业的变化有很大的伸缩性；

(3)强制型访问控制方法

该方法用于多层次安全级别的军事应用。

以上中，基于AD访问控制方法，是将安全性通过登录身份验证以及目
录对象的访问控制集成在域验证之中。通过单点网络登录，管理员可以管理
分散在网络各处的目录数据和组织单位，经过授权的网络用户可以访问网络
任意位置的资源。

域验证通过对象访问控制列表以及用户凭据保护其存储的用户帐户和组
信息。因为域验证不但可以保存用户凭据，而且可以保存访问控制信息，所
以登录到网络上的用户既能够获得身份验证，也可以获得访问系统资源所需
的权限。例如，在用户登录到网络上的时候，安全系统首先利用存储在域验
证中的信息验证用户的身份。然后，在用户试图访问网络服务的时候，系统
会检查在服务的自由访问控制列表(DCAL)中所定义的属性。

由于域验证允许管理员创建组帐户，使得管理员可以更加有效地管理系
统的安全性。例如，管理员通过调整文件的属性，能够允许某个组中的所有
用户读取该文件。通过这种办法，系统将根据用户的组成员身份控制其对域
验证中对象的访问操作。

使用AD访问控制方法通过对象访问控制列表以及用户凭据保护其存储
的用户帐户和组信息。在用户登录到网络上的时候，安全系统首先利用存储
在域验证中的信息验证用户的身份。然后，在用户试图访问网络服务的时候，
系统会检查在服务的自由访问控制列表中所定义的属性。

基于AD访问控制方法，管理员固然可以有效地管理系统的安全性。但
是，使用AD访问控制方法目前尚无法做到与自主型访问控制方法相结合，
亦即无法将AD访问控制结合到自主型应用系统中，这将会在使用过程中往
往需要通过人工干预，才能使得域验证控制下的用户(指应用软件)和自主
应用系统的(指应用软件)达到统一。在现代的信息化社会中，需要人工干
预才能达到使用效果的应用系统，是非常不方便的系统。

因此，需要提供一种信息访问系统及其安全控制方法，能够自动将AD
访问控制结合到自主型应用系统中，从而大大提高自主型应用系统信息访问
的安全性。

发明内容

本发明所要解决的技术问题是提供一种信息访问系统及其安全控制方
法，能够明显提高自主型应用系统信息访问的安全性。

为了解决上述技术问题，本发明提供了一种用于信息访问系统提供的安
全控制方法，涉及用户模块、自主型访问控制子系统以及域验证访问控制子
系统，该方法包括：

自主型访问控制子系统根据用户模块在进行信息访问时输入的验证信
息，分别请求域验证访问控制子系统进行域验证访问控制验证以及本子系统
进行自主型访问控制验证，并在确认全部验证均通过，允许用户模块访问信
息数据库。

进一步地，用户模块在进行所述信息访问时输入的验证信息包括用户名
称和密码。

进一步地，该方法具体包括：

自主型访问控制子系统根据用户模块输入的用户名称和密码请求域验证
访问控制子系统进行域验证访问控制验证；

域验证访问控制子系统根据自主型访问控制子系统的请求对用户名称和
密码进行域验证访问控制验证，并在验证成功后返回该验证成功信息，或在
验证失败后返回验证失败信息；

自主型访问控制子系统收到域验证访问控制子系统返回验证成功信息
后，对用户名称和所述密码进行所述自主型访问控制验证，并在该验证成功
后，保存该用户模块最新的验证信息，同时向用户模块传输验证成功信息，
且允许用户模块访问信息数据库。

进一步地，该方法还包括：

自主型访问控制子系统收到域验证访问控制子系统返回验证失败信息
后；或者对用户名称和密码进行自主型访问控制验证，并在该验证失败后，
向用户模块传输验证失败信息，且禁止用户模块访问信息数据库。

为了解决上述技术问题，本发明提供了一种信息访问系统，除了包括通
过网络连接在一起的用户模块和自主型访问控制子系统外，还包括域验证访
问控制子系统，其中：

用户模块，用于通过自主型访问控制子系统进行信息访问时输入验证信
息；

自主型访问控制子系统，用于根据用户模块输入的验证信息分别请求域
验证访问控制子系统进行域验证访问控制验证和本子系统进行自主型访问控
制验证，并在确认全部验证均通过时，向用户模块开放信息数据库；

域验证访问控制子系统，与自主型访问控制子系统通过网络连接在一起，
用于根据自主型访问控制子系统的请求，对用户模块输入的验证信息进行域
验证访问控制验证，并将验证结果返回自主型访问控制子系统。

进一步地，

用户模块通过自主型访问控制子系统输入的验证信息包括用户名称和密
码。

进一步地，

自主型访问控制子系统根据用户模块输入的用户名称和密码请求域验证
访问控制子系统进行域验证访问控制验证，且在域验证访问控制子系统返回
验证成功信息后，进行自主型访问控制验证，并在该验证通过后，保存该用
户模块最新的验证信息，同时向该用户模块传输验证成功信息，且允许该用
户模块访问信息数据库。

进一步地，

自主型访问控制子系统根据用户模块输入的所述用户名称和密码请求域
验证访问控制子系统进行域验证访问控制验证，且在域验证访问控制子系统
返回验证失败信息后，或者进行自主型访问控制验证未通过，则向该用户模
块传输验证失败信息，且禁止该用户模块访问信息数据库。

进一步地，域验证访问控制子系统为域验证访问控制服务器。

本发明通过将AD访问控制方法与自主型访问控制方法相结合，主要体
现在对自主型访问控制系统的输入信息做二次甄别和验证，并对验证通过的
用户信息进行本地化处理，同时能够对用户的信息及时进行响应更新，保持
与AD访问控制服务器的信息一致，从而达到权限验证的安全性和统一性。

附图说明

图1为本发明的信息访问系统的安全控制方法实施例的流程图；

图2为图1所示方法实施例中的一个实例的流程图；

图3为本发明的信息访问系统实施例的结构框图。

具体实施方式

下面参照附图和优选实施例详细描述本发明的技术方案。应该理解，以
下列举的实施例仅用于说明和解释本发明，而不构成对本发明技术方案的限
制。

本发明为信息访问系统提供的安全控制方法实施例，其流程是对用户的
信息访问在进行用户权限验证时启动的，如图1所示，该流程包括：

110：根据用户输入的验证信息分别进行AD访问控制验证和自主型访问
控制验证；

用户输入的验证信息包括用户名称和密码。

120：判断全部验证是否均通过，是则验证成功结束流程，否则验证失败
结束流程。

一旦有AD访问控制和自主型访问控制中的任何一个验证未通过，就表
示验证失败而不允许继续进行信息访问。

图2是针对图1所示的安全控制方法实施例给出的一个具体实例的流程，
包括：

210：对用户通过自主型访问控制输入的用户名称和密码进行AD访问控
制验证；

220：判断AD访问控制验证是否通过，是则执行下一步骤，否则表示用
户权限验证失败而结束流程；

230：对通过验证的用户名称和密码进行自主型访问控制验证；

240：判断自主型访问控制验证是否通过，是则执行下一步骤，否则表示
用户权限验证失败而结束流程；

250：保存验证通过的验证信息，由此表示用户权限验证成功而结束流程。

以上实例是对用户通过自主型访问控制输入的用户名称和密码先进行
AD访问控制验证，并在该验证通过后，再进行自主型访问控制验证；只有
在这两项验证均通过，才表示用户权限验证成功。

当然，也可以把上述验证项的顺序颠倒一下，先进行自主型访问控制验
证，验证通过后再进行AD访问控制验证。

但是，使用先进行AD访问控制验证，待AD访问验证通过后再进行自
主型访问控制验证，其优势在于，由于自主型访问控制验证依赖于AD访问
控制验证，当管理员在AD访问控制子系统(服务器)下将某一用户的密码
修改后，很可能在自主型访问控制系统下该用户的密码还未被修改。在此情
况下，如果先进行自主型访问控制验证，就会由于该验证失败导致一直无法
通过AD访问控制验证。所以，一般先进行AD访问控制验证，如果AD访
问控制验证通过，但自主型访问控制验证失败，则自主型访问控制子系统就
会更新此用户的登陆信息，达到自主型访问控制系统下用户的密码和AD访
问控制系统下的用户密码一致。

本发明针对上述方法实施例，相应地还提供了信息访问系统实施例，其
结构如图3所示，包括：通过网络连接在一起的用户模块(即各应用软件)、
自主型访问控制子系统以及AD访问控制子系统，其中：

用户模块，用于通过自主型访问控制子系统进行信息访问时输入验证信
息；

自主型访问控制子系统，用于根据用户模块输入的验证信息分别请求
AD访问控制子系统进行AD访问控制验证和本子系统进行自主型访问控制
验证，并在确认全部验证均通过，才向用户模块开放信息数据库；

AD访问控制子系统，用于根据自主型访问控制子系统的请求对用户输
入的验证信息进行AD访问控制验证，并将验证结果返回自主型访问控制子
系统。

在上述系统实施例中，

用户模块通过自主型访问控制子系统输入的验证信息包括用户名称和密
码；

自主型访问控制子系统根据用户模块输入的验证信息先请求AD访问控
制子系统进行AD访问控制验证，且在AD访问控制子系统返回该验证成功
信息后，进行自主型访问控制验证，并在该验证通过后，保存该用户模块最
新的验证信息(用于用户模块下次验证)，同时向用户模块传输验证成功信
息，且允许用户模块访问信息数据库。

在上述系统实施例中，

自主型访问控制子系统在AD访问控制子系统返回该验证失败信息后，
或在进行自主型访问控制验证失败后，向用户模块传输验证失败信息，且禁
止用户模块访问信息数据库。

在上述系统实施例中，

AD访问控制子系统为AD访问控制服务器。

虽然本发明所揭露的实施方式如上，但所述的内容只是为了便于理解本
发明而采用的实施方式，并非用以限定本发明。任何本发明所属技术领域内
的技术人员，在不脱离本发明所揭露的精神和范围的前提下，可以在实施的
形式上及细节上作任何的修改与变化，但本发明的专利保护范围，仍须以所
附的权利要求书所界定的范围为准。

资源描述

《一种信息访问系统及其安全控制方法.pdf》由会员分享，可在线阅读，更多相关《一种信息访问系统及其安全控制方法.pdf（11页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 102833226 A (43)申请公布日 2012.12.19 C N 1 0 2 8 3 3 2 2 6 A *CN102833226A* (21)申请号 201210209999.1 (22)申请日 2012.06.19 H04L 29/06(2006.01) (71)申请人浪潮（北京）电子信息产业有限公司地址 100085 北京市海淀区上地信息路2号 2-1号C栋1层 (72)发明人张道伟王旭吕万波 (74)专利代理机构北京安信方达知识产权代理有限公司 11262 代理人栗若木曲鹏 (54) 发明名称一种信息访问系统及其安全控制方法 (57) 摘要。

2、本发明披露了一种信息访问系统及其安全控制方法，涉及用户模块、自主型访问控制子系统以及域验证访问控制子系统，该方法包括：自主型访问控制子系统根据用户模块在进行信息访问时输入的验证信息，分别请求域验证访问控制子系统进行域验证访问控制验证以及本子系统进行自主型访问控制验证，并在确认全部验证均通过，允许用户模块访问信息数据库。本发明将AD访问控制方法与自主型访问控制方法相结合，对自主型访问控制的输入信息做二次甄别和验证，并对验证通过的用户信息进行本地化处理，同时能够对用户的信息及时进行响应更新，达到权限验证的安全性和统一性。 (51)Int.Cl. 权利要求书2页说明书5页。

3、附图3页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书 2 页说明书 5 页附图 3 页 1/2页 2 1.一种用于信息访问系统提供的安全控制方法，涉及用户模块、自主型访问控制子系统以及域验证访问控制子系统，该方法包括：自主型访问控制子系统根据用户模块在进行信息访问时输入的验证信息，分别请求域验证访问控制子系统进行域验证访问控制验证以及本子系统进行自主型访问控制验证，并在确认全部验证均通过，允许用户模块访问信息数据库。 2.按照权利要求1所述的方法，其特征在于，所述用户模块在进行所述信息访问时输入的所述验证信息包括用户名称和密码。 3.按照权利要求2所。

4、述的方法，其特征在于，该方法具体包括：所述自主型访问控制子系统根据所述用户模块输入的所述用户名称和所述密码请求所述域验证访问控制子系统进行域验证访问控制验证；所述域验证访问控制子系统根据所述自主型访问控制子系统的请求对所述用户名称和所述密码进行所述域验证访问控制验证，并在验证成功后返回该验证成功信息，或在验证失败后返回验证失败信息；所述自主型访问控制子系统收到所述域验证访问控制子系统返回所述验证成功信息后，对所述用户名称和所述密码进行所述自主型访问控制验证，并在该验证成功后，保存该用户模块最新的验证信息，同时向所述用户模块传输验证成功信息，且允许所述用户模块访问信息数据库。。

5、4.按照权利要求3所述的方法，其特征在于，还包括：所述自主型访问控制子系统收到所述域验证访问控制子系统返回验证失败信息后，或者对所述用户名称和所述密码进行所述自主型访问控制验证，并在该验证失败后，向所述用户模块传输验证失败信息，且禁止所述用户模块访问所述信息数据库。 5.一种信息访问系统，包括通过网络连接在一起的用户模块和自主型访问控制子系统，其特征在于，还包括域验证访问控制子系统，其中：用户模块，用于通过自主型访问控制子系统进行信息访问时输入验证信息；自主型访问控制子系统，用于根据用户模块输入的验证信息分别请求域验证访问控制子系统进行域验证访问控制验证和本子系统进行自主型访问控。

6、制验证，并在确认全部验证均通过时，向用户模块开放信息数据库；域验证访问控制子系统，与自主型访问控制子系统通过网络连接在一起，用于根据自主型访问控制子系统的请求，对用户模块输入的所述验证信息进行域验证访问控制验证，并将验证结果返回自主型访问控制子系统。 6.按照权利要求4所述的系统，其特征在于，所述用户模块通过自主型访问控制子系统输入的验证信息包括用户名称和密码。 7.按照权利要求5所述的系统，其特征在于，所述自主型访问控制子系统根据所述用户模块输入的所述用户名称和密码请求所述域验证访问控制子系统进行域验证访问控制验证，且在所述域验证访问控制子系统返回验证成功信息后，进行所述自主。

7、型访问控制验证，并在所述验证通过后，保存该用户模块最新的验证信息，同时向该用户模块传输验证成功信息，且允许该用户模块访问所述信息数据库。 8.按照权利要求7所述的系统，其特征在于，权利要求书CN 102833226 A 2/2页 3 所述自主型访问控制子系统根据所述用户模块输入的所述用户名称和密码请求所述域验证访问控制子系统进行域验证访问控制验证，且在所述域验证访问控制子系统返回验证失败信息后，或者进行所述自主型访问控制验证未通过，则向该用户模块传输验证失败信息，且禁止该用户模块访问所述信息数据库。 9.按照权利要求5至8任一项所述的系统，其特征在于，所述域验证访问控制子系。

8、统为域验证访问控制服务器。权利要求书CN 102833226 A 1/5页 4 一种信息访问系统及其安全控制方法技术领域 0001 本发明涉及计算机应用安全技术，尤其涉及信息访问系统及其安全控制方法。背景技术 0002 全球的信息化步伐越来越快，数据总量正在急速的增长，所以数据存储的安全性变得越来越重要。信息化给人们带来快捷的服务和方便的管理时，也给人们带来数字信息丢失的风险，因此用户权限管理的重要性地位便越发突出。 0003 用户权限往往是一个极其复杂的问题。针对不同的应用，需要根据项目的实际情况和具体架构，在维护性、灵活性、完整性等多个方案因素之间比较权衡，选择适合的。

9、方案。 0004 在企业环境中的信息访问安全控制方法，一般有以下三种： 0005 (1)自主型访问控制方法 0006 目前在我国的大多数的信息系统中的访问控制模块中基本是借助于自主型访问控制方法中的访问控制列表(ACLs)。 0007 自主型访问控制方法是通过应用中的系统数据库进行验证，这种方法存在一定的风险，数据库被攻破后，整个系统资源会对外开放，系统的安全性得不到保证。 0008 (2)基于域验证(AD，Active Directory)访问控制方法 0009 基于域验证访问控制方法是利用现有的资源进行用户验证，它是目前公认的解决大型企业的统一资源访问控制的比较有效的方法。其显著的两。

10、大特征是： 0010 1)减小授权管理的复杂性，降低管理开销； 0011 2)灵活地支持企业的安全策略，并对企业的变化有很大的伸缩性； 0012 (3)强制型访问控制方法 0013 该方法用于多层次安全级别的军事应用。 0014 以上中，基于AD访问控制方法，是将安全性通过登录身份验证以及目录对象的访问控制集成在域验证之中。通过单点网络登录，管理员可以管理分散在网络各处的目录数据和组织单位，经过授权的网络用户可以访问网络任意位置的资源。 0015 域验证通过对象访问控制列表以及用户凭据保护其存储的用户帐户和组信息。因为域验证不但可以保存用户凭据，而且可以保存访问控制信息，所以登录到网络上。

11、的用户既能够获得身份验证，也可以获得访问系统资源所需的权限。例如，在用户登录到网络上的时候，安全系统首先利用存储在域验证中的信息验证用户的身份。然后，在用户试图访问网络服务的时候，系统会检查在服务的自由访问控制列表(DCAL)中所定义的属性。 0016 由于域验证允许管理员创建组帐户，使得管理员可以更加有效地管理系统的安全性。例如，管理员通过调整文件的属性，能够允许某个组中的所有用户读取该文件。通过这种办法，系统将根据用户的组成员身份控制其对域验证中对象的访问操作。 0017 使用AD访问控制方法通过对象访问控制列表以及用户凭据保护其存储的用户帐户和组信息。在用户登录到网络上的时候。

12、，安全系统首先利用存储在域验证中的信息验证用户的身份。然后，在用户试图访问网络服务的时候，系统会检查在服务的自由访问控制列说明书CN 102833226 A 2/5页 5 表中所定义的属性。 0018 基于AD访问控制方法，管理员固然可以有效地管理系统的安全性。但是，使用AD 访问控制方法目前尚无法做到与自主型访问控制方法相结合，亦即无法将AD访问控制结合到自主型应用系统中，这将会在使用过程中往往需要通过人工干预，才能使得域验证控制下的用户(指应用软件)和自主应用系统的(指应用软件)达到统一。在现代的信息化社会中，需要人工干预才能达到使用效果的应用系统，是非常不方便的系统。 00。

13、19 因此，需要提供一种信息访问系统及其安全控制方法，能够自动将AD访问控制结合到自主型应用系统中，从而大大提高自主型应用系统信息访问的安全性。发明内容 0020 本发明所要解决的技术问题是提供一种信息访问系统及其安全控制方法，能够明显提高自主型应用系统信息访问的安全性。 0021 为了解决上述技术问题，本发明提供了一种用于信息访问系统提供的安全控制方法，涉及用户模块、自主型访问控制子系统以及域验证访问控制子系统，该方法包括： 0022 自主型访问控制子系统根据用户模块在进行信息访问时输入的验证信息，分别请求域验证访问控制子系统进行域验证访问控制验证以及本子系统进行自主型访问控制验。

14、证，并在确认全部验证均通过，允许用户模块访问信息数据库。 0023 进一步地，用户模块在进行所述信息访问时输入的验证信息包括用户名称和密码。 0024 进一步地，该方法具体包括： 0025 自主型访问控制子系统根据用户模块输入的用户名称和密码请求域验证访问控制子系统进行域验证访问控制验证； 0026 域验证访问控制子系统根据自主型访问控制子系统的请求对用户名称和密码进行域验证访问控制验证，并在验证成功后返回该验证成功信息，或在验证失败后返回验证失败信息； 0027 自主型访问控制子系统收到域验证访问控制子系统返回验证成功信息后，对用户名称和所述密码进行所述自主型访问控制验证，并在该验。

15、证成功后，保存该用户模块最新的验证信息，同时向用户模块传输验证成功信息，且允许用户模块访问信息数据库。 0028 进一步地，该方法还包括： 0029 自主型访问控制子系统收到域验证访问控制子系统返回验证失败信息后；或者对用户名称和密码进行自主型访问控制验证，并在该验证失败后，向用户模块传输验证失败信息，且禁止用户模块访问信息数据库。 0030 为了解决上述技术问题，本发明提供了一种信息访问系统，除了包括通过网络连接在一起的用户模块和自主型访问控制子系统外，还包括域验证访问控制子系统，其中： 0031 用户模块，用于通过自主型访问控制子系统进行信息访问时输入验证信息； 0032 自主型访。

16、问控制子系统，用于根据用户模块输入的验证信息分别请求域验证访问控制子系统进行域验证访问控制验证和本子系统进行自主型访问控制验证，并在确认全部验证均通过时，向用户模块开放信息数据库； 0033 域验证访问控制子系统，与自主型访问控制子系统通过网络连接在一起，用于根说明书CN 102833226 A 3/5页 6 据自主型访问控制子系统的请求，对用户模块输入的验证信息进行域验证访问控制验证，并将验证结果返回自主型访问控制子系统。 0034 进一步地， 0035 用户模块通过自主型访问控制子系统输入的验证信息包括用户名称和密码。 0036 进一步地， 0037 自主型访问控制子系统根据用。

17、户模块输入的用户名称和密码请求域验证访问控制子系统进行域验证访问控制验证，且在域验证访问控制子系统返回验证成功信息后，进行自主型访问控制验证，并在该验证通过后，保存该用户模块最新的验证信息，同时向该用户模块传输验证成功信息，且允许该用户模块访问信息数据库。 0038 进一步地， 0039 自主型访问控制子系统根据用户模块输入的所述用户名称和密码请求域验证访问控制子系统进行域验证访问控制验证，且在域验证访问控制子系统返回验证失败信息后，或者进行自主型访问控制验证未通过，则向该用户模块传输验证失败信息，且禁止该用户模块访问信息数据库。 0040 进一步地，域验证访问控制子系统为域验证访。

18、问控制服务器。 0041 本发明通过将AD访问控制方法与自主型访问控制方法相结合，主要体现在对自主型访问控制系统的输入信息做二次甄别和验证，并对验证通过的用户信息进行本地化处理，同时能够对用户的信息及时进行响应更新，保持与AD访问控制服务器的信息一致，从而达到权限验证的安全性和统一性。附图说明 0042 图1为本发明的信息访问系统的安全控制方法实施例的流程图； 0043 图2为图1所示方法实施例中的一个实例的流程图； 0044 图3为本发明的信息访问系统实施例的结构框图。具体实施方式 0045 下面参照附图和优选实施例详细描述本发明的技术方案。应该理解，以下列举的实施例仅用于说明和。

19、解释本发明，而不构成对本发明技术方案的限制。 0046 本发明为信息访问系统提供的安全控制方法实施例，其流程是对用户的信息访问在进行用户权限验证时启动的，如图1所示，该流程包括： 0047 110：根据用户输入的验证信息分别进行AD访问控制验证和自主型访问控制验证； 0048 用户输入的验证信息包括用户名称和密码。 0049 120：判断全部验证是否均通过，是则验证成功结束流程，否则验证失败结束流程。 0050 一旦有AD访问控制和自主型访问控制中的任何一个验证未通过，就表示验证失败而不允许继续进行信息访问。 0051 图2是针对图1所示的安全控制方法实施例给出的一个具体实例的流程，包括。

20、： 0052 210：对用户通过自主型访问控制输入的用户名称和密码进行AD访问控制验证； 0053 220：判断AD访问控制验证是否通过，是则执行下一步骤，否则表示用户权限验证说明书CN 102833226 A 4/5页 7 失败而结束流程； 0054 230：对通过验证的用户名称和密码进行自主型访问控制验证； 0055 240：判断自主型访问控制验证是否通过，是则执行下一步骤，否则表示用户权限验证失败而结束流程； 0056 250：保存验证通过的验证信息，由此表示用户权限验证成功而结束流程。 0057 以上实例是对用户通过自主型访问控制输入的用户名称和密码先进行AD访问控制验证，并。

21、在该验证通过后，再进行自主型访问控制验证；只有在这两项验证均通过，才表示用户权限验证成功。 0058 当然，也可以把上述验证项的顺序颠倒一下，先进行自主型访问控制验证，验证通过后再进行AD访问控制验证。 0059 但是，使用先进行AD访问控制验证，待AD访问验证通过后再进行自主型访问控制验证，其优势在于，由于自主型访问控制验证依赖于AD访问控制验证，当管理员在AD访问控制子系统(服务器)下将某一用户的密码修改后，很可能在自主型访问控制系统下该用户的密码还未被修改。在此情况下，如果先进行自主型访问控制验证，就会由于该验证失败导致一直无法通过AD访问控制验证。所以，一般先进行AD访问控。

22、制验证，如果AD访问控制验证通过，但自主型访问控制验证失败，则自主型访问控制子系统就会更新此用户的登陆信息，达到自主型访问控制系统下用户的密码和AD访问控制系统下的用户密码一致。 0060 本发明针对上述方法实施例，相应地还提供了信息访问系统实施例，其结构如图3 所示，包括：通过网络连接在一起的用户模块(即各应用软件)、自主型访问控制子系统以及AD访问控制子系统，其中： 0061 用户模块，用于通过自主型访问控制子系统进行信息访问时输入验证信息； 0062 自主型访问控制子系统，用于根据用户模块输入的验证信息分别请求AD访问控制子系统进行AD访问控制验证和本子系统进行自主型访问控制验证。

23、，并在确认全部验证均通过，才向用户模块开放信息数据库； 0063 AD访问控制子系统，用于根据自主型访问控制子系统的请求对用户输入的验证信息进行AD访问控制验证，并将验证结果返回自主型访问控制子系统。 0064 在上述系统实施例中， 0065 用户模块通过自主型访问控制子系统输入的验证信息包括用户名称和密码； 0066 自主型访问控制子系统根据用户模块输入的验证信息先请求AD访问控制子系统进行AD访问控制验证，且在AD访问控制子系统返回该验证成功信息后，进行自主型访问控制验证，并在该验证通过后，保存该用户模块最新的验证信息(用于用户模块下次验证)，同时向用户模块传输验证成功信息，且允。

24、许用户模块访问信息数据库。 0067 在上述系统实施例中， 0068 自主型访问控制子系统在AD访问控制子系统返回该验证失败信息后，或在进行自主型访问控制验证失败后，向用户模块传输验证失败信息，且禁止用户模块访问信息数据库。 0069 在上述系统实施例中， 0070 AD访问控制子系统为AD访问控制服务器。 0071 虽然本发明所揭露的实施方式如上，但所述的内容只是为了便于理解本发明而采说明书CN 102833226 A 5/5页 8 用的实施方式，并非用以限定本发明。任何本发明所属技术领域内的技术人员，在不脱离本发明所揭露的精神和范围的前提下，可以在实施的形式上及细节上作任何的修改与变化，但本发明的专利保护范围，仍须以所附的权利要求书所界定的范围为准。说明书CN 102833226 A 1/3页 9 图1 说明书附图CN 102833226 A 2/3页 10 图2 说明书附图CN 102833226 A 10 3/3页 11 图3 说明书附图CN 102833226 A 11 。

展开阅读全文