CN101895533A - 统一身份认证系统中针对应用权限的委托授权的方法 - Google Patents
统一身份认证系统中针对应用权限的委托授权的方法 Download PDFInfo
- Publication number
- CN101895533A CN101895533A CN 201010218968 CN201010218968A CN101895533A CN 101895533 A CN101895533 A CN 101895533A CN 201010218968 CN201010218968 CN 201010218968 CN 201010218968 A CN201010218968 A CN 201010218968A CN 101895533 A CN101895533 A CN 101895533A
- Authority
- CN
- China
- Prior art keywords
- mandatory
- attribute
- application
- identity authentication
- authentication system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种统一身份认证系统中针对应用权限的委托授权的方法,通过委托管理模块,将用户的委托信息和委托接受信息表述成两个属性,利用现有的统一身份认证系统的属性传递机制将这两个属性传递给接入的应用,并在应用接入改造时加入针对委托管理属性进行授权的逻辑,从而实现的针对应用的委托授权;同时,采用本发明的方法,可防止被委托人非法访问委托人的其他敏感应用,从而保护用户的隐私;此外,本发明的方法,对现有的统一身份认证系统改动很小或不需要进行改动,因此只需要很小的集成开发成本,就可以实现委托管理的强大功能,有利于该方式的推广应用。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及统一身份认证系统中针对应用权限的委托授权方法。
背景技术
目前的统一身份认证系统,大都是建立一个统一的单点登录和访问控制服务器,所有接入统一身份认证系统的应用系统都会跟这个服务器进行交互,获取相应的登录信息、会话信息、属性信息或策略信息,以确定是用户是否合法、是否对用户授权、是否允许用户访问应用。在接入的时候,需要对应用进行一定改造,如在应用中加入通过超文本传输协议头属性(HttpHeader)或应用编程接口(API)调用获取用户属性并进行授权的代码。我们把这种授权方式称为基于属性的授权方式。
当用户实施统一身份认证系统后,就拥有了一次登录,所有接入应用都可以漫游的便利,同时也提出了对应用进行委托授权的需求。例如,用户在某种情况下需要将某一应用系统的权限委托给另外一个人,让其代理本人办理某些事项,在原来未接入统一身份认证系统的情况下,仅仅需要将该应用系统的用户名、密码告诉被委托人即可。但在接入统一身份认证系统后,直接告知用户名、密码的方式会导致被委托人在访问被委托授权的应用时,还可以漫游其他所有接入的应用,有可能包括邮件、财务系统等敏感应用,产生隐私泄漏的问题,这是委托人不希望看到的。
为了解决这个问题,就要求统一身份认证系统能够提供细化到应用粒度权限甚至是应用内部更细粒度权限的委托授权机制。这种委托授权机制的需求,不同于针对统一身份认证系统本身的管理权限的委托管理,而是针对接入统一身份认证系统中应用权限的委托授权。
而在现有的统一身份认证系统中,如Shibboleth,SUN的OpenSSO或Oracle的Access Manager(访问控制)等产品实现的统一身份认证系统中,最多只有对统一身份认证系统本身的管理权限进行委托授权的方法,而并没有实现对应用系统进行委托授权的机制。这是目前统一身份认证系统的委托授权功能一个不足之处。
发明内容
本发明提供了一种统一身份认证系统中针对应用权限的委托授权的方法,该方法在避免改动现有的统一身份认证系统框架的基础上,充分利用基于属性的授权机制,实现对接入的应用进行委托授权的功能,解决了现有的统一身份认证系统不能对应用进行委托授权的不足之处。
一种统一身份认证系统中针对应用权限的委托授权的方法,包括以下步骤:
(1)将用户的委托信息和委托接受信息表述成两个属性:用于存储委托办理指定应用的委托授权信息的委托人的委托属性(委托人的委托属性记为delegate)和用于存储被委托人被委托指定应用权限以及是否已经接受委托的信息的被委托人的被委托属性(被委托人的被委托属性记为surrogate);
(2)在所述的统一身份认证系统的身份信息库中增加所述的委托人的委托属性(delegate)和所述的被委托人的被委托属性(surrogate);
(3)将所述的委托人的委托属性(delegate)和所述的被委托人的被委托属性(surrogate)接入所述的指定应用中,并传递到所述的指定应用;
(4)所述的指定应用接入时,加入针对所述的委托人的委托属性(delegate)和所述的被委托人的被委托属性(surrogate)进行授权的逻辑:如果发现有对应于所述的指定应用的委托授权的设置,就按照委托授权的设置进行新的授权,否则按原有的用户进行授权。
所述的步骤(3)中,通过超文本传输协议头属性(HttpHeader)或应用编程接口(API)的方式将所述的委托人的委托属性(delegate)和所述的被委托人的被委托属性(surrogate)传递到所述的应用。
所述的统一身份认证系统的身份信息库通常是基于轻量目录访问协议(LDAP)实现。
步骤(1)中将用户的委托信息和委托接受信息表述成两个属性可以通过委托管理模块实现。所述的委托管理模块,分为委托人模块和被委托人模块。通过委托人模块,委托人可以管理委托信息,如进行委托或取消委托;通过被委托人模块,被委托人可以接受或拒绝委托。委托信息和委托接受等相关信息记录到上述的委托属性中。
本发明的技术方案通过委托管理模块,将用户的委托信息和委托接受信息表述成两个属性,利用现有的统一身份认证系统的属性传递机制将这两个属性传递给接入的应用,并在应用接入改造时加入针对委托管理属性进行授权的逻辑,从而实现针对应用的委托授权。
本发明具有以下有益的技术效果:
本发明的统一身份认证系统中针对应用权限的委托授权的方法,提供了在统一身份认证系统中针对应用的委托管理机制,同时防止了被委托人非法访问委托人的其他敏感应用,保护了用户的隐私,从而促进了用户对统一身份认证系统的用户体验和接受程度。
此外,本发明的统一身份认证系统中针对应用权限的委托授权的方法,对现有的统一身份认证系统改动很小或不需要进行改动,仅仅需要在应用接入时增加一段针对委托管理属性进行授权的逻辑。这样带来的好处是只需要很小的集成开发成本,就可以实现委托管理的强大功能,有利于该方式的推广应用。
附图说明
图1为本发明方法的委托管理模块中的委托人管理模块的示意图;
图2为本发明方法的委托管理模块中的被委托人管理模块的示意图;
图3为实现本发明方法的流程图。
具体实施方式
如附图1~3所示,统一身份认证系统中针对应用权限的委托授权的方法,包括以下步骤:
(1)委托人通过委托管理模块选择需要委托授权的应用或应用内部权限,所述的应用或应用权限来自于统一身份认证系统的授权管理模块,或由用户进行自定义。
(2)委托人选择被委托人,并确定将选择的应用权限授权委托给被委托人。
(3)委托管理模块在委托人确定委托之后,会在委托人的委托属性(delegate)中添加一条记录,该条记录记录了所选择的应用的URL、被委托人的标识(例如学工号)及被委托人是否已经接受。例如
http://www.fdc.zju.edu.cn:80/fcc/UniLogin.asp|02&false;
在被委托人的被委托属性(surrogate)中也添加一条记录,该条记录同样会记录所选择的应用的URL、委托人的标识(例如学工号)及被委托人是否已经接受。例如:
http://www.fdc.zju.edu.cn:80/fcc/UniLogin.asp|01&false;
(4)委托人委托权限成功之后,在被委托人的委托管理页面会出现要求被委托人选择是否接受委托的选项,被委托人可选择接受或者拒绝这项委托。
当被委托人拒绝委托,上述delegate和surrogate信息中的最后一项信息会修改为不接受(false),那么,在委托人的页面中,会显示被委托人已经拒绝了这项委托。
当被委托人接受委托,上述delegate和surrogate信息中的最后一项信息会修改为接受(true),此时,被委托人就能进入该应用,若之前被委托人没有进入该应用的权限,统一身份认证系统会为被委托人创建被分配进入该应用的权限,则被委托人的应用页面中会出现一个进入该应用的链接。(统一身份认证系统会自动根据配置好的用户权限,会在应用管理的页面中显示具有进入该应用权限的应用链接)。
(5)被委托人进入该应用后,应用会通过获取HttpHeader或通过调用对应的API从统一身份认证系统中获取相关的属性信息,在用户的surrogate信息中取到委托人的标识,如步骤(3)例子中的‘01’,应用会根据该标示符,将委托人在该应用的权限赋予被委托人,实现应用授权机制。
(6)当被委托人完成委托的事务之后,委托人可以在委托管理的页面中删除这项委托,此时会删除委托人的委托属性(delegate)和被委托人的被委托属性(surrogate)的这项纪录,同时,被委托人则无法再次进入被委托的应用。如果之前他没有该应用的权限,则在应用管理的页面中会删除进入该应用的链接。
Claims (3)
1.一种统一身份认证系统中针对应用权限的委托授权的方法,其特征在于,包括以下步骤:
(1)将用户的委托信息和委托接受信息表述成两个属性:用于存储委托办理指定应用的委托授权信息的委托人的委托属性和用于存储被委托人被委托指定应用权限以及是否已经接受委托的信息的被委托人的被委托属性;
(2)在所述的统一身份认证系统的身份信息库中增加所述的委托人的委托属性和所述的被委托人的被委托属性;
(3)将所述的委托人的委托属性和所述的被委托人的被委托属性接入所述的指定应用中,并传递到所述的指定应用;
(4)所述的指定应用接入时,加入针对所述的委托人的委托属性和所述的被委托人的被委托属性进行授权的逻辑:如果发现有对应于所述的应用的委托授权的设置,就按照委托授权的设置进行新的授权,否则按原有的用户进行授权。
2.如权利要求1所述的方法,其特征在于:所述的步骤(3)中,通过超文本传输协议头属性或应用编程接口的方式将所述的委托人的委托属性和所述的被委托人的被委托属性传递到所述的指定应用。
3.如权利要求1所述的方法,其特征在于:所述的统一身份认证系统的身份信息库通常是基于轻量目录访问协议实现。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010218968 CN101895533A (zh) | 2010-07-05 | 2010-07-05 | 统一身份认证系统中针对应用权限的委托授权的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010218968 CN101895533A (zh) | 2010-07-05 | 2010-07-05 | 统一身份认证系统中针对应用权限的委托授权的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101895533A true CN101895533A (zh) | 2010-11-24 |
Family
ID=43104600
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010218968 Pending CN101895533A (zh) | 2010-07-05 | 2010-07-05 | 统一身份认证系统中针对应用权限的委托授权的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101895533A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104320263A (zh) * | 2014-11-12 | 2015-01-28 | 贺瑞 | 电子授权委托书实现、查验方法、服务器及系统 |
| CN105100069A (zh) * | 2015-06-29 | 2015-11-25 | 北京奇虎科技有限公司 | 代理网关服务器及其授权方法、游戏接入系统 |
| CN108521407A (zh) * | 2018-03-21 | 2018-09-11 | 国云科技股份有限公司 | 一种基于多云平台的二次安全访问控制方法 |
| CN110555697A (zh) * | 2018-06-04 | 2019-12-10 | 北京嘀嘀无限科技发展有限公司 | 费用支付管理方法、系统、计算机设备及计算机可读介质 |
| CN110781471A (zh) * | 2019-11-09 | 2020-02-11 | 厦门中软海晟信息技术有限公司 | 一种用于系统用户委托他人进行安全协助的方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1503266A2 (en) * | 2003-07-30 | 2005-02-02 | Microsoft Corporation | Zone based security administration for data items |
| CN1719765A (zh) * | 2005-08-03 | 2006-01-11 | 武汉理工大学 | 一种安全可靠的受控授权电子签名方法 |
| CN101026481A (zh) * | 2006-02-21 | 2007-08-29 | 华为技术有限公司 | 一种集中用户安全管理方法及装置 |
-
2010
- 2010-07-05 CN CN 201010218968 patent/CN101895533A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1503266A2 (en) * | 2003-07-30 | 2005-02-02 | Microsoft Corporation | Zone based security administration for data items |
| CN1719765A (zh) * | 2005-08-03 | 2006-01-11 | 武汉理工大学 | 一种安全可靠的受控授权电子签名方法 |
| CN101026481A (zh) * | 2006-02-21 | 2007-08-29 | 华为技术有限公司 | 一种集中用户安全管理方法及装置 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104320263A (zh) * | 2014-11-12 | 2015-01-28 | 贺瑞 | 电子授权委托书实现、查验方法、服务器及系统 |
| CN104320263B (zh) * | 2014-11-12 | 2018-11-06 | 贺瑞 | 电子授权委托书实现、查验方法、服务器及系统 |
| CN105100069A (zh) * | 2015-06-29 | 2015-11-25 | 北京奇虎科技有限公司 | 代理网关服务器及其授权方法、游戏接入系统 |
| CN105100069B (zh) * | 2015-06-29 | 2018-12-25 | 北京奇虎科技有限公司 | 代理网关服务器及其授权方法、游戏接入系统 |
| CN108521407A (zh) * | 2018-03-21 | 2018-09-11 | 国云科技股份有限公司 | 一种基于多云平台的二次安全访问控制方法 |
| CN110555697A (zh) * | 2018-06-04 | 2019-12-10 | 北京嘀嘀无限科技发展有限公司 | 费用支付管理方法、系统、计算机设备及计算机可读介质 |
| CN110555697B (zh) * | 2018-06-04 | 2022-07-01 | 北京嘀嘀无限科技发展有限公司 | 费用支付管理方法、系统、计算机设备及计算机可读介质 |
| CN110781471A (zh) * | 2019-11-09 | 2020-02-11 | 厦门中软海晟信息技术有限公司 | 一种用于系统用户委托他人进行安全协助的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104255007B (zh) | Oauth框架 | |
| JP4878617B2 (ja) | リソースの使用を管理するシステムでリソースのステータスを追跡する方法および装置 | |
| EP2140394B1 (en) | Authorization for access to web service resources | |
| EP2109955B1 (en) | Provisioning of digital identity representations | |
| US20030088517A1 (en) | System and method for controlling access and use of private information | |
| JP4803627B2 (ja) | ユーザ情報管理装置 | |
| US20130036455A1 (en) | Method for controlling acess to resources | |
| US7152046B2 (en) | Method and apparatus for tracking status of resource in a system for managing use of the resources | |
| CN103039050A (zh) | 用于在计算机网络中管理对被保护资源的访问以及委托授权的方法 | |
| US20100187302A1 (en) | Multiple persona information cards | |
| CN101208702A (zh) | 计算机执行的认证和授权体系结构 | |
| CA2649033C (en) | Authoring tool to create content for a secure content service | |
| CN101895533A (zh) | 统一身份认证系统中针对应用权限的委托授权的方法 | |
| AU2002312334A1 (en) | Method for managing access and use of resources by verifying conditions and conditions for use therewith | |
| AU2002312333A1 (en) | Method and apparatus for tracking status of resource in a system for managing use of the resources | |
| CN106941504A (zh) | 一种云管理权限控制方法及系统 | |
| US20030009424A1 (en) | Method for managing access and use of resources by verifying conditions and conditions for use therewith | |
| Jung et al. | Privacy enabled web service access control using SAML and XACML for home automation gateways | |
| Wu et al. | Authorization-authentication using XACML and SAML | |
| Shim et al. | Web document Access Control using two-layered storage structures with RBAC server | |
| AU2005200241A1 (en) | Method for managing access and use of resources by verifying conditions and conditions for use therewith | |
| JP2009104615A (ja) | 権利を行使するコンピュータ実行方法およびシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20101124 |