专利名称:一种基于限定区域的权限控制系统和方法
技术领域:
本发明涉及通信领域,尤其涉及一种基于限定区域的权限控制系统和方法。
背景技术:
随着社会科技的发展,互联网已经渗透到人们生活中的各个方面,在人们的日常生活中扮演着越来越重要的角色,除了平时的新闻,娱乐信息等大众消费应用在互联网上得到蓬勃发展以外,各种传统的办公事务,政务操作等等,也逐渐通过互联网来进行,人们的各种生产生活活动与互联网的关系越来越紧密。人们越来越多的使用互联网,将越来越多的事务通过网上的方式完成,就会面临一个重要问题:不是所有的网络资源都是对所有人开放的,部分受限资源只允许符合特定条件的人员开放,具有特定权限的人员才能访问。
目前对网络资源比较通用的权限控制的方法是通过密钥加用户名的方式来进行。这是一种行之有效的方式,但是这种方式需要有固定的注册用户,只有用户经过注册以后,才能够获得有效的用户名和密码,手续显得非常繁琐复杂。对于一些特殊的应用场合,例如举行会议过程中临时搭建的提供给与会人员共享的资料;在咖啡厅,茶餐厅等以附加服务的方式提供互联网网络接入服务;或者公司办公室中为客户提供的网络访问服务等,像这类应用,决定用户能不能具有访问相应资源权限的因素,从某种意义上说,是在于其所处的位置区域,而不是用户本身。像此类应用,如果每个进入该位置区域客人,都需要安排专门的人力为进入的客人相应的用户名和密码;当客人离开时又需要从系统中删除相关的用户和密码,以免其他非法获取该用户名和密码之人员访问网络。这个管理过程显得非常繁琐,密钥也容易泄露,管理成本很高。如果发明一种通过用户所在区域来决定是否具有某种权限的控制系统和方法,应用于上述场合,则能解决其所遇到的问题,大大降低管理复杂度。发明内容
本发明所要解决的技术问题是提供一种基于限定区域的权限控制系统及方法,能够将用户访问网络资源的权限与特定的区域结合起来,只有在特定的区域才能够对敏感受控资料进行访问,在提高敏感信息的安全性同时,增加用户的便利性,此外,还能够保护敏感资源的访问密钥不会被人为泄露,减少密钥泄露的风险,降低密钥管理难度。
为解决上述技术问题,本发明提出了一种基于限定区域的权限控制系统,包括资源服务器,限域信号设备,移动操作终端,其中所述移动操作终端,通过与所述限域信号设备通信,从所述限域信号设备获取访问所述资源服务器所需要的认证信息,利用获取的认证信息向所述资源服务器认证,通过后访问所述资源服务器的内容;所述限域信号设备,向所述移动操作终端提供获取访问所述资源服务器所需要的认证信息;所述资源服务器,用于在通过认证后,允许所述移动操作终端访问其上的内容。
进一步,所述的权限控制系统,该系统包括一个或一个以上的限域信号设备。
进一步,所述一个或一个以上的限域信号设备中每个限域信号设备发送的认证信息是所述的访问资源服务器需要认证信息的一部分,所述移动操作终端全部获取所述所有一个或一个以上的限域信号设备发出的信息后,恢复出所述访问资源服务器所需要的认证信息。
或者,所述的一个或一个以上的限域信号设备中每个限域信号设备发送的认证信息包含有所述的访问资源服务器所需要的认证信息的全部要素,所述移动操作终端只需要获取所述一个或一个以上的限域信号设备中任意一个发出的信息,就能够获取所述访问资源服务器所需要的认证信息。
所述资源服务器上有需要通过认证才能够访问的受控资源。
进一步,访问资源服务器上受控资源所需要的认证信息是动态的。
进一步,所述限域信号设备从所述资源服务器获取访问所述资源服务器上的资源所需要的认证信息。
进一步,所述限域信号设备通过无线通道发送访问资源服务器所需要的认证信息给移动操作终端。
进一步,所述限域信号设备发送访问资源服务器所需要的认证信息的作用距离有限,被控制在限定的覆盖区域之内。所述限域信号设备包含有第一通信模块和第一限域信号模块; 其中,第一通信模块用于与所述资源服务器通信,从所述资源服务器获取访问所述资源服务器资源所需要的认证信息; 第一限域信号模块用于在限定的区域内发送访问所述资源服务器上的资源所需要的认证信息。
所述限域信号设备可以包含有一个或一个以上的第一限域信号模块。
进一步,所述第一限域信号模块对外发射限域信号,每个所述第一限域信号模块对外发射属于所述限域信号设备的部分认证信息,所述移动操作终端接收到所有的属于所述限域信号设备的第一限域信号模块发出的信息后,恢复出属于所述限域信号的完整的认证信息。
进一步,所述第一限域信号模块对外发射限域信号,每个所述第一限域信号模块对外发射属于所述限域信号设备的全部认证信息,所述移动操作终端接收到任意一个属于所述限域信号设备的第一限域信号模块发出的信息后,恢复出属于本限域信号的完整的认证信息。
所述移动操作终端接所述收限域信号设备发送的认证信息。
所述移动操作终端利用所述限域信号设备发送过来的认证信息与所述资源服务器进行认证,通过后访问所述资源服务器的资源。
所述移动操作终端包含接收限域信号设备发送认证信息所需要的第二限域信号模块。
所述移动操作终端包含有与所述资源服务器通信所需要的第二通信模块。
所述限域信号设备发出的信号包含有使所述移动操作终端访问所述资源服务器上的资源所需要的认证信息。
所述限域信号设备发出的信号是超声波、低频电磁波、红外线中的一种。
结合上述系统,本发明还提供一种基于限定区域的权限控制方法,包括: 移动操作终端通过与限域信号设备通信,从所述限域信号设备获取访问资源服务器所需要的认证信息,利用获取的认证信息向所述资源服务器认证,通过后访问所述资源服务器的内容。
资源服务器产生访问资源服务器上资源所需要的认证信息; 认证信息通过资源服务器和限域信号设备之间的通信接口传送到限域信号设备; 限域信号设备在接收到该认证信息后,通过第一限域信号模块,将该认证信息在限定的覆盖区域内发送出去; 移动操作终端如果处于限域信号设备的限定区域之外,则无法接收到限域信号设备发送过来的认证信息,无法通过与资源服务器的认证,不能访问资源服务器上的资源; 移动操作终端如果处于限域信号设备的限定区域之内,则通过其上的第二限域信号模块接收到认证信息,与资源服务器进行认证,认证通过后访问资源服务器上的资源; 资源服务器定期随机改变认证信息,移动操作终端接收到该认证信息以后,需要对应和资源服务器进行定期认证,以确保移动操作终端还有权限访问资源服务器的资源。
图1为基于限定区域的权限控制系统结构框图; 图2为限域信号设备框图; 图3为移动操作终端框图; 图4为限域信号设备限域范围示意图; 图5为第一限域信号模块限域范围示意图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
如图1所示,一种基于限定区域的权限控制系统,由资源服务器1,限域信号设备2和移动操作终端3构成。资源服务器I上存放着受控访问的资源信息;限域信号设备2能够在限定的覆盖区域内向移动操作终端3发送访问资源服务器I所需要的认证信息;移动操作终端3用于给用户提供访问资源服务器I上资源的人机界面。
限域信号设备2主要包含:第一通信模块21和第一限域信号模块22。
限域信号设备2中第一通信模块21负责与资源服务器I通信,从资源服务器I获取认证所需的需要信息,例如访问密钥等; 限域信号设备2中第一限域信号模块则负责在限定的区域内发送访问资源服务器I所需要的认证信息,例如访问密钥等。
移动操作终端3除了需要的提供人机操作界面功能的主体外,至少还包含有两个部件:第二通信模块31和第二限域信号模块32。
移动操作终端3的第二通信模块31用于与资源服务器I通信和信息交互,访问资源服务器I上的资源; 移动操作终端3的第二限域信号模块32用于接收限域信号设备2发送过来的包含访问资源服务器I所需要的认证信息。
限域信号设备2中的第一限域信号模块22和移动操作终端3中的第二限域信号模块32之间的通信可以是单向的,也可以是双向的:当第一限域信号模块22和第二限域信号模块32之间的通信是单向通信时,第一限域信号模块22作为发送方,第二限域信号模块32作为接收方;当第一限域信号模块22和第二限域信号模块32之间的通信是双向通信时,两者均具有接收发送的功能。
移动操作终端3访问资源服务器I时,需要进行权限认证,该过程既可以直接与资源服务器I进行,也可以通过限域信号设备2间接进行。
限域信号设备2可以以单独的设备形式存在,也可以作为服务器的一个功能部件,集成在资源服务器I上。
为了精确地控制信号发送的区域,本系统还可以采取以下方式来进行实施: 方式I资源服务器I连接一个或一个以上的限域信号设备2,这些限域信号设备2对外发射限域信号,每个限域信号设备2对外发射部分认证信息,移动操作终端3只有接收到所有的限域信号设备2发出的信息,才能恢复出完整的认证信息,才能与资源服务器I通信。此时,移动操作终端3能够访问资源服务器I的区域是这些限域信号设备2覆盖区域的交集7。
方式2资源服务器I连接一个或一个以上的限域信号设备2,这些限域信号设备2对外发射限域信号,每个限域信号设备2对外发射的认证信息中,包含有完整的与服务器认证所需要的信息,移动操作终端3只要接收到任意一个限域信号设备2发出的信息,就能获取完整的认证信息,就能与资源服务器I通信。此时,移动操作终端3能够访问资源服务器I的区域是这些限域信号设备2覆盖区域的并集。
为了精确地控制信号发送的区域,限域信号设备2还可以采取如下的方式来实施: 方式I第一通信模块21连接一个或一个以上的第一限域信号模块22,这些第一限域信号模块22对外发射限域信号,每个第一限域信号模块22对外发射属于本限域信号设备2的部分认证信息,移动操作终端3只有接收到所有的属于限域信号设备2的第一限域信号模块22发出的信息,才能恢复出属于本限域信号的完整的认证信息。此时,限域信号设备2的覆盖区域是这些第一限域信号模块22信号覆盖区域的交集8。
方式2第一通信模块21连接一个或一个以上的第一限域信号模块22,这些第一限域信号模块22对外发射限域信号,每个第一限域信号模块22对外发射属于本限域信号设备2的全部认证信息,移动操作终端3只要接收到任意一个属于本限域信号设备2的第一限域信号模块22发出的信息,就能恢复出属于本限域信号的完整的认证信息。此时,限域信号设备2的覆盖区域是这些第一限域信号模块22信号覆盖区域的并集。
上述一种基于限定区域的权限控制系统,主要按照以下流程进行工作: 1.由资源服务器I产生访问资源服务器I所需要的认证信息,该认证信息通过资源服务器I和限域信号设备2之间的通信接口传送到限域信号设备2。
2.限域信号设备2在接收到该认证信息后,将其存储在自身的存储器中,同时通过限域信号模块,将该认证信息在限定的覆盖区域内发送出去。
3.移动操作终端3如果处于限域信号设备2的发送区域之外,则无法接收到限域信号设备2发送过来的认证信息,没有此认证信息则无法通过与资源服务器I的认证,无法访问资源服务器I上的资源;移动操作终端3如果处于限域信号设备2的发送区域之内,则可以通过其上的限域信号接收模块接收到认证信息,在利用该认证信息与资源服务器I进行认证,认证通过后就可以访问资源服务器I上的资源。
4.资源服务器I可以定期随机改变认证信息,移动操作终端3接收到该认证信息以后,需要对应和资源服务器I进行定期认证,以确保移动操作终端3还有权限访问资源服务器I的内容。
在本实施例中,资源服务器I可以是一台文件服务器;移动操作终端3可以是一台笔记本电脑;限域信号设备2是一个能够通过125KHZ电磁波发送信息的装置;笔记本电脑内可以SD卡或者PCI卡的方式,安装有一个接收125KHZ电磁波信号的接收模块;限域信号设备2通过USB接口连接到文件服务器上。
通过调整限域信号设备2,即控制125KHZ电磁波发送的功率,使得笔记本电脑内部的125KHZ的电磁波信号接收模块能够在限域信号设备2周围约数米的区域内才能接收并且解调出相应的数据,则此限域信号设备2的覆盖区域为限域信号附近数米的立体空间。
笔记本电脑访问文件服务器需要获取文件服务器的访问密钥,通过和文件服务器的认证才能进行。文件服务器会动态产生访问所需要的访问密钥,并且将该访问密钥通过USB接口发送给限域信号设备2。限域信号设备2接收到此访问密钥后,通过125KHZ电磁信号发送出去。
当处于限域信号设备2限定的覆盖区域之外,即笔记本电脑没有处于125KHZ信号的覆盖区域时,无法收到125KHZ的信号,因此无法获取访问文件服务器所需要的访问密钥,无法访问文件服务器上的内容;当进入了限域信号设备2限定的覆盖区域之内,即当笔记本电脑处于125KHZ信号的覆盖区域时,能够收到125KHZ信号,能够获取访问文件服务器的访问密钥,通过与文件服务器进行相关的认证后,笔记本电脑可以通过该访问密钥访问文件服务器的内容。
文件服务器的访问密钥是动态密钥,该动态密钥随着时间会不断改变,因此当笔记本电脑离开125KHZ信号的覆盖区域时,无法接收到改变后的文件服务器访问密钥,无法通过与文件服务器的认证,因此无法再对文件服务器进行访问,从而达到在限定区域内才能访问文件服务器的效果。
上述动态访问密钥的产生,既可以由文件服务器自身产生,也可以专门由负责动态密钥产生的设备进行产生和管理。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种基于限定区域的权限控制系统,其特征在于,包括资源服务器,限域信号设备,移动操作终端,其中所述移动操作终端,通过与所述限域信号设备通信,从所述限域信号设备获取访问所述资源服务器所需要的认证信息,利用获取的认证信息向所述资源服务器认证,通过后访问所述资源服务器的内容;所述限域信号设备,向所述移动操作终端提供获取访问所述资源服务器所需要的认证信息;所述资源服务器,用于在通过认证后,允许所述移动操作终端访问其上的内容。
2.根据权利要求1所述的 权限控制系统,其特征在于,该系统包括一个或一个以上的限域信号设备。
3.根据权利要求2所述的权限控制系统,其特征在于,每个限域信号设备发送的认证信息是所述的访问资源服务器需要认证信息的一部分,所述移动操作终端全部获取所述全部限域信号设备发出的信息后,恢复出所述访问资源服务器所需要的认证信息。
4.根据权利要求2所述的权限控制系统,其特征在于,每个限域信号设备发送的认证信息包含有所述的访问资源服务器所需要的认证信息的全部要素,所述移动操作终端只需要获取所述全部限域信号设备中任意一个发出的信息,就能够获取所述访问资源服务器所需要的认证彳目息。
5.根据权利要求1所述的权限控制系统,其特征在于,所述资源服务器上有需要通过认证才能够访问的受控资源。
6.根据权利要求1所述的权限控制系统,其特征在于,访问资源服务器上受控资源所需要的认证彳目息是动态的。
7.根据权利要求1所述的权限控制系统,其特征在于,所述限域信号设备从所述资源服务器获取访问所述资源服务器上的资源所需要的认证信息。
8.根据权利要求1所述的权限控制系统,其特征在于,所述限域信号设备通过无线通道发送访问资源服务器所需要的认证信息给移动操作终端。
9.根据权利要求1所述的权限控制系统,其特征在于,所述限域信号设备发送访问资源服务器所需要的认证信息的作用距离有限,被控制在限定的覆盖区域之内。
10.根据权利要求1所述的权限控制系统,其特征在于,所述限域信号设备包含有第一通信模块和第一限域信号模块; 其中,第一通信模块用于与所述资源服务器通信,从所述资源服务器获取访问所述资源服务器资源所需要的认证信息; 第一限域信号模块用于在限定的区域内发送访问所述资源服务器上的资源所需要的认证信息。
11.根据权利要求1所述的权限控制系统,其特征在于,所述限域信号设备可以包含有一个或一个以上的第一限域信号模块。
12.根据权利要求10所述的权限控制系统,其特征在于,所述第一限域信号模块对外发射限域信号,每个所述第一限域信号模块对外发射属于所述限域信号设备的部分认证信息,所述移动操作终端接收到所有的属于所述限域信号设备的第一限域信号模块发出的信息后,恢复出属于所述限域信号的完整的认证信息。
13.根据权利要求10所述的权限控制系统,其特征在于,所述第一限域信号模块对外发射限域信号,每个所述第一限域信号模块对外发射属于所述限域信号设备的全部认证信息,所述移动操作终端接收到任意一个属于所述限域信号设备的第一限域信号模块发出的信息后,恢复出属于本限域信号的完整的认证信息。
14.根据权利要求1所述的权限控制系统,其特征在于,所述移动操作终端接所述收限域信号设备发送的认证信息。
15.根据权利要求1所述的权限控制系统,其特征在于,所述移动操作终端利用所述限域信号设备发送过来的认证信息与所述资源服务器进行认证,通过后访问所述资源服务器的资源。
16.根据权利要求1所述的权限控制系统,其特征在于,所述移动操作终端包含接收限域信号设备发送认证信息所需要的第二限域信号模块。
17.根据权利要求1所述的权限控制系统,其特征在于,所述移动操作终端包含有与所述资源服务器通信所需要的第二通信模块。
18.根据权利要求1所述的权限控制系统,其特征在于,所述限域信号设备发出的信号包含有使所述移动操作终端访问所述资源服务器上的资源所需要的认证信息。
19.根据权利要求1所述的权限控制系统,其特征在于,所述限域信号设备发出的信号是超声波、低频电磁波、红外线中的一种。
20.一种基于限定区域的权限控制方法,其特征在于,该方法包括如下步骤:移动操作终端通过与限域信号设备通信,从所述限域信号设备获取访问资源服务器所需要的认证信息,利用获取的认证信息向所述资源服务器认证,通过后访问所述资源服务器的内容。
21.根据权利要 求20所述的基于限定区域的权限控制方法,其特征在于, 资源服务器产生访问资源服务器上资源所需要的认证信息; 认证信息通过资源服务器和限域信号设备之间的通信接口传送到限域信号设备; 限域信号设备在接收到该认证信息后,通过第一限域信号模块,将该认证信息在限定的覆盖区域内发送出去; 移动操作终端如果处于限域信号设备的限定区域之外,则无法接收到限域信号设备发送过来的认证信息,无法通过与资源服务器的认证,不能访问资源服务器上的资源; 移动操作终端如果处于限域信号设备的限定区域之内,则通过其上的第二限域信号模块接收到认证信息,与资源服务器进行认证,认证通过后访问资源服务器上的资源; 资源服务器定期随机改变认证信息,移动操作终端接收到该认证信息以后,需要对应和资源服务器进行定期认证,以确保移动操作终端还有权限访问资源服务器的资源。
全文摘要
本发明涉及一种基于限定区域的权限控制系统及方法,该系统包括资源服务器,限域信号设备和移动操作终端,所述移动操作终端通过与所述限域信号设备通信,从限域信号设备获取访问资源服务器所需要的认证信息,利用获取的认证信息向资源服务器认证,通过后访问资源服务器的内容,所述限域信号设备,向所述移动操作终端提供获取访问所述资源服务器所需要的认证信息;所述资源服务器,用于在通过认证后,允许所述移动操作终端访问其上的内容,该方法使得只有进入了限定区域的移动操作终端才能获取到相应的认证信息,才能和资源服务器认证通过,获得访问资源服务器上之受控资源,整个权限获取的过程中,无需人工参与,简便快捷,高效安全。
文档编号H04L29/06GK103200155SQ20121000177
公开日2013年7月10日 申请日期2012年1月5日 优先权日2012年1月5日
发明者梁建华 申请人:国民技术股份有限公司