(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111657612.4 (22)申请日 2021.12.3 0 (71)申请人 苏州中科 先进技术研究院有限公司 地址 215123 江苏省苏州市工业园区兴浦 路333号1幢201室 (72)发明人 徐育帅　 (74)专利代理 机构 深圳市科进知识产权代理事 务所(普通 合伙) 44316 代理人 刘建伟 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 一种用户权限安全管理方法及其系统 (57)摘要 本发明涉及网络安全技术领域， 特别涉及一 种用户权限安全 管理方法及其系统； 先检测系统 是否支持SSL技术:若支持SSL技术， 则判定系统 为B/S架构； 若 不支持SSL技术， 则判定系统为C/S 架构； 系统为B/S架构， 则采用Web服务器对SSL技 术的支持方式， 进行系统的身份认证和访问控制 需求； 系统为C/S架构， 则采用签名/签名验证的 方式， 进行系统的身份认证和访问控制需求； 本 发明对不同系统采用不同的管 理方式， 进行系统 的身份认证和访问控制需求， 其兼容性强， 服务 广。 权利要求书2页 说明书5页 附图1页 CN 114362959 A 2022.04.15 CN 114362959 A 1.一种用户权限安全管理方法， 其特 征在于， 包括如下步骤： 检测系统是否支持SSL技术:若支持SSL技术， 则判定系统为B/S架构； 若不支持SSL技 术， 则判定系统为C /S架构； 系统为B/S架构， 则 采用Web服务器对SSL技术的支持方式， 进行系统的身份认证和访问 控制需求； 系统为C/S架构， 则采用签名/签名验证的方式， 进行系统的身份认证和访问控制需求。 2.根据权利要求1所述的一种用户权限安全管理方法， 其特征在于， 采用Web服务器对 SSL技术的支持方式进行系统的身份认证和访问控制需求， 包括如下步骤： 服务器传送服 务器证书， 客户端自动分析 该服务器证书， 验证服 务器的身份； 服务器要求用户出示客户端证书， 服务器对客户端证书进行验证， 对用户进行身份认 证； 服务器解析客户端证书， 获取用户信息， 并根据用户信息查询访 问控制列表来决定是 否授权访问。 3.根据权利要求2所述的一种用户权限安全管理方法， 其特征在于， 服务器证书由CA认 证中心颁发。 4.根据权利要求3所述的一种用户权限安全管理方法， 其特征在于， 服务器证书包含证 明服务器身份的信息、 Web服 务器的公钥以及CA对证书相关域内容的数字签名。 5.根据权利要求4所述的一种用户权限安全管理方法， 其特征在于， 客户端证书标识了 用户的身份信息、 用户的公钥以及CA对证书相关域内容的数字签名。 6.根据权利要求1所述的一种用户权限安全管理方法， 其特征在于， 采用签名/签名验 证的方式进行系统的身份认证和访问控制需求， 包括如下步骤： 用数字证书 进行验证， 用公钥解密数据， 得到发送过来的摘要值； 用相同的摘要方法对被 签名数据做摘要计算， 得到另一个摘要值； 将上述两个摘要值进行比较， 如果相等， 则数字签名验证通过， 否则验证无效。 7.一种用户权限安全管理系统， 其特 征在于， 包括： 检测装置， 用于检测系统是否支持S SL技术； B/S架构处 理装置， 用于处 理B/S架构的系统的身份认证和访问控制需求； C/S架构处 理装置， 用于处 理C/S架构的系统的身份认证和访问控制需求。 8.根据权利要求7所述的一种用户权限安全管理系统， 其特征在于， B/S架构处理装置 包括： 证书解析模块， 用于提取客户端证书中的用户信息， 根据获得的用户信息， 查询访问控 制列表， 获取用户的访问权限； 访问控制列表， 用于保存在数据库内的记录用户的访问授权列表。 9.根据权利要求7所述的一种用户权限安全管理系统， 其特征在于， C/S架构处理装置 包括： 服务端签名验证模块， 用于对客户端的数字签名的验证； 客户端数据签名模块， 用于用私钥对客户端发送的数据进行 数字签名； 证书解析模块， 用于提取客户端证书中的用户信息， 根据获得的用户信息， 查询访问控 制列表而获取用户的访问权限；权　利　要　求　书 1/2 页 2 CN 114362959 A 2访问控制列表， 用于保存在数据库内的记录用户的访问授权列表。权　利　要　求　书 2/2 页 3 CN 114362959 A 3