CN102088350A - 基于目录服务的授权管理系统及其实现方法 - Google Patents
基于目录服务的授权管理系统及其实现方法 Download PDFInfo
- Publication number
- CN102088350A CN102088350A CN2009102179640A CN200910217964A CN102088350A CN 102088350 A CN102088350 A CN 102088350A CN 2009102179640 A CN2009102179640 A CN 2009102179640A CN 200910217964 A CN200910217964 A CN 200910217964A CN 102088350 A CN102088350 A CN 102088350A
- Authority
- CN
- China
- Prior art keywords
- attribute certificate
- pmi
- local
- user
- directory service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
一种基于目录的授权管理系统,包括授权管理平台、至少一个本地从目录服务装置、至少一个本地应用装置和至少一个用户装置,授权管理平台、本地从目录服务装置、本地应用装置、用户装置通过网络相连。本发明由授权管理平台统一对应用系统和用户进行权限管理,将用户群体和应用角色之间的授权信息以属性证书的形式发布,并在若干个区域设置相应的PMI本地从目录服务器,PMI从目录服务器根据策略将属于本地应用装置的属性证书复制到本地,从而快速为本地应用系统提供用户授权信息,其应用模式精简,进一步增加了系统安全性、有效降低大量用户并发时对系统所造成的负载,同时提高系统可用性、降低维护成本。
Description
技术领域
本发明涉及信息安全技术领域,具体地,涉及一种基于目录服务的授权管理系统及其实现方法。
背景技术
随着政府、企业信息化程度的提高,应用系统数量逐步增长。在用户数量非常大、地域分步比较广、应用系统数量多的情况下,应用系统的授权成为一件非常棘手的问题。在一个大的政府或者企事业单位,经常会出现如下情况:某一员工已经离职,还能正常访问一些很重要的应用系统;某一个员工职位已经发生变动,应用系统中仍对应旧的权限;由于临时的业务需要,在某应用系统中为外地的某人注册了账号并开放了应用权限,但是忘记及时收回造成关键信息泄露;虽然所有应用都在自己的机房内,可主管信息化的决策者确无法方便的拿到各个应用系统权限授予情况。如何能够统一解决资源的有效共享、如何及时、快速、有效的管理用户的访问权限,成为摆在应用系统发展的决策者、业务管理者面前的一道难题。
针对用户的统一认证授权和安全访问控制,目前也提出了非常多的解决方案:
(1)、专利申请CN 200710191525.8(申请日:2007.12.12,名称:基于数字证书和多级域下的统一身份管理和认证方法)中公开了一种基于数字证书和多级域下的统一身份管理和认证方法,首先进行用户身份维护;采用定时与人力资源系统进行用户身份信息同步;通过人工维护方式,完成用户数据信息的管理;用户身份信息同步到域;将用户身份信息通过标准的LDAP协议,按照用户所属单位同步到相应的AD子域中;实现用户认证。本发明可以通过用户单点登录即可实现对多个业务系统的访问,但不能解决用户在多个业务系统中的统一权限管理问题。
(2)、专利申请CN 200610076491.3(申请日:2006.04.26,名称:信息系统或设备的安全防护系统及其工作方法)、CN 200810040672.X(申请日:2008.07.17,名称:基于数字证书技术的系统用户访问管理系统及方法)、CN 200810040674.9(申请日:2008.07.17,名称:一种基于数字证书技术的信息系统的访问控制方法及装置)、CN 200620100455.1(申请日:2006.01.18,名称:一种网络安全认证授权系统)和CN 200710147233.4(申请日:2007.08.30,名称:分布式业务运营支撑系统和分布式业务的实现方法)都公开了一种对登录用户进行身份认证、并在通过认证后获取其相应的访问权限的技术方案,但这些技术方案中缺乏用户权限信息的安全管理,不能有效避免人为篡改的可能性,并且所支持的用户数量有限,不能解决大量用户(特别是数量众多且不在系统内注册的用户)的统一授权和安全访问控制问题。
浙江大学的专利申请CN 200810062264.4(申请日:2008.06.17,名称:基于PKI和PMI的Web服务安全控制机制)中公开了一种基于PKI和PMI的Web服务安全控制机制。其包括PKI、PMI和Web服务安全系统,用户通过PKI系统申请身份证书,再根据身份证书去PMI系统申请属性证书,属性证书将用户的身份关联到一个或多个角色上,PMI系统预定义的策略证书将角色绑定到一个或多个Web服务上去,用户使用Web服务时,Web安全系统帮助PKI系统检查身份证书的合法性,再帮助PMI系统检查用户是否有权限调用该Web服务,当所有检查都通过时,允许用户访问Web服务,以实现安全的Web服务调用。本发明中用户使用身份证书申请属性证书,并指定所申请的角色,由管理员审核后获得相应的属性证书,权限、角色的赋予主要针对用户的个人申请,不能对群体用户的权限和角色进行定义,所支持的用户数量有限,不能支持数量众多且不在系统内注册的用户。
以上技术方案都存在的缺点是,不能对大量的用户群体(特别是数量众多且不在系统内注册的用户群体)进行授权,并将所述授权信息以属性证书的可靠形式发布,从而实现多个应用系统的统一用户授权管理和安全访问控制。
本公司同时申报的专利:授权管理系统及其实现方法,发明了一种授权管理系统及其实现方法,对用户群体进行授权,并将所述授权信息以属性证书的形式发布,从而可以为若干个应用系统提供统一的用户授权信息和安全访问控制。本发明在其基础上做了进一步改进,在对用户统一授权的基础上,在用户分布较集中的多个区域设置多个PMI从目录服务器,PMI从目录服务器根据策略将属于本地用户的授权信息复制、同步到本地,为本地应用系统提供授权信息,从而本地应用系统可以快速获取用户授权信息,并增加系统安全性、有效降低大量用户并发时对系统所造成的负载。
本公司还同时申报了专利:分布式授权管理系统及其实现方法,发明了一种分布式授权管理系统及其实现方法,采用PKI和PMI技术,设置若干个权限管理子平台,每个权限管理子平台将属于管辖领域内的用户群体和应用角色之间的授权信息以属性证书的形式发布,为管辖领域内的若干个应用系统提供用户的授权信息,并通过授权管理总平台统一监控和共享授权信息。本发明由授权管理平台统一对所有应用系统和用户进行权限管理,并在用户分布较集中的若干个区域设置相应的PMI本地从目录服务器,PMI从目录服务器根据策略将属于本地应用装置的属性证书复制到本地,从而快速为本区域内的本地应用系统提供用户授权信息,其应用模式精简,易于安装,投资成本低。
发明内容
本发明所要解决的技术问题是:提供一种基于目录的授权管理系统及其实现方法,由授权管理平台统一对应用系统和用户进行权限管理和安全访问控制,将用户群体和应用角色之间的授权信息以属性证书的形式发布,并在用户分布较集中的若干个区域设置相应的PMI本地从目录服务器,PMI从目录服务器根据策略将属于本地应用装置的属性证书复制到本地,从而快速为本区域内的本地应用系统提供用户授权信息。
本发明中提供一种基于目录的授权管理系统,包括授权管理平台,至少一个本地从目录服务装置和至少一个本地应用装置,所述授权管理平台至少包括:
权限管理装置,用于对系统包含有用户群体、应用角色的授权要素进行维护,建立用户群体到应用角色的授权关系,并将所述授权信息发布到PMI主目录服务器上;
PMS管理器,用于管理员和系统的交互;
属性证书签发装置,用于建立属性权威源,接收权限管理装置发送来的授权信息,并将所述信息签发成属性证书后返回给权限管理装置;
CA目录服务器,用于遵循LDAP标准为权限管理装置提供用户数字证书的目录服务;
PMI主目录服务器,用于遵循LDAP标准提供属性证书的目录服务,并按权限管理装置发送来的属性证书撤销列表删除相应的属性证书;
所述本地从目录服务装置至少包括:
PMI本地从目录服务器,用于按照本地复制策略与PMI主目录服务器进行本地数据同步,并为中间件装置提供本地应用装置属性证书的目录服务;
中间件装置,用于接收本地应用装置转发的用户登录请求,对用户数字证书的合法性进行验证,在PMI本地从目录服务器、或PMI主目录服务器中查找所述用户相对应的属性证书,并将从属性证书中所获取的角色信息返回给本地应用装置,所述用户的属性证书包括有规则群体、工作组或个人的属性证书,所述角色信息包括有规则群体、工作组或个人角色信息;
所述授权管理平台和本地从目录服务装置通过互联网相连,本地从目录服务装置和本地应用装置通过局域网相连。
本发明还提供一种基于目录的授权管理系统的实现方法,所述授权管理平台和本地从目录服务装置通过互联网相连,本地从目录服务装置和本地应用装置通过局域网相连,包括以下步骤:
步骤1:权限管理装置从CA目录服务器上获取数字证书,读取人员及相应的组织机构信息;
步骤2:权限管理装置生成用户群体;
步骤3:权限管理装置读取若干个应用装置相对应的应用角色;
步骤4:权限管理装置建立用户群体和应用角色之间的授权关系;
步骤5:权限管理装置将所述授权信息发送至属性证书签发装置;
步骤6:属性证书签发装置签发属性证书,并将所述属性证书返回给权限管理装置;
步骤7:权限管理装置将所述属性证书发布至PMI主目录服务器上;
步骤8:PMI本地从目录服务器与PMI主目录服务器进行本地数据同步。
与现有技术相比,本发明的有益效果是:
通过数字证书提取用户的身份及属性信息,能确保用户身份信息的真实性;对用户群体以规则群体、工作组和个人的方式进行授权,对数量众多且不在系统内注册的用户均可以提供支持;将授权信息使用属性证书进行发布,可以有效避免人为篡改的可能性;由授权管理平台对用户进行统一授权,并在用户分布较集中的区域只设置一个本地从目录服务装置,根据策略将属于本地应用装置的属性证书复制到本地,为本地应用系统快速提供用户授权信息,其应用模式精简、易于安装,还进一步增加了系统安全性、有效降低大量用户并发时对系统所造成的负载;当PMI本地从目录服务器出现问题时,可以由授权管理平台的PMI主目录服务器(或PMI从目录服务器)继续提供授权信息,从而提高系统可用性、降低维护成本。
附图说明
图1为系统部署图。
图2为授权管理系统结构图。
图3为权限管理装置结构图。
图4为权限管理服务部件结构图。
图5为本地从目录服务装置结构图。
图6为属性证书发布流程图。
图7为修改授权信息的流程图。
图8为PMI本地从目录服务器同步本地授权信息流程图。
图9为用户登录应用装置的流程图。
图10为中间件装置将查找到的用户应用角色信息返回给本地应用装置的流程图。
具体实施方式
如图1所示,为基于目录的授权管理系统的物理部署图,系统由授权管理平台1,至少一个本地从目录服务装置2、至少一个本地应用装置3、至少一个用户装置4组成,其中,授权管理平台1和本地从目录服务装置2通过互联网相连,本地从目录服务装置2、本地应用装置3和用户装置4通过局域网相连。
授权管理平台1,用于对系统包含有用户群体、应用角色的授权要素和授权关系进行管理和维护,并将所述授权信息签发成属性证书,对外提供基于LDAP协议的属性证书的目录服务。
本地从目录服务装置2,用于为本地应用装置3提供用户的角色信息。
本地应用装置3,用于接收用户装置4发出的登录请求,并根据本地从目录服务装置2返回的所述用户的应用角色信息,向用户提供基于所述应用角色的应用资源信息。
用户装置4,用于向本地应用装置3发出登录请求,访问所述应用资源信息。用户装置4可以是用户计算机、手机等。
如图2所示,授权管理平台1,包含有权限管理装置11、PMS管理器12、属性证书签发装置13、CA目录服务器14、PMI主目录服务器15、PMI从目录服务器16。
权限管理装置11,和PMS管理器12、属性证书签发装置13、CA目录服务器14、PMI主目录服务器15相连,用于对系统包含有用户群体、应用角色的授权要素进行维护,建立用户群体到应用角色的授权关系,并将所述授权信息发布到PMI主目录服务器15上。所述用户群体包括有三种类型:
1、规则群体:根据用户具有的属性信息制定相应的规则群体表达式,利用所述规则群体表达式来创建规则群体,所述规则群体适用于用户群较大、分布地域较广、无法将全部用户在本地应用装置3中注册的场景。
2、工作组:由于本地应用装置3的业务发展需要,若干个用户需要具有相同的角色,但无法或不便用规则群体表达式来创建规则群体,即可创建工作组,将所述若干个用户划分为一个工作组。
3、个人:零散的个人用户。
如图3所示,权限管理装置11进一步包含有权限管理服务部件111、数据同步校验服务部件112、属性证书发布服务部件113和数据库114。
其中,权限管理服务部件111,用于生成用户群体、本地应用装置3对应的应用角色信息,建立用户群体和应用角色之间的授权关系,并将所述授权信息交由属性证书签发装置13签发。如图4所示,权限管理服务部件111进一步包含有应用管理单元1111、群体管理单元1112和授权管理单元1113。
应用管理单元1111,用于对所有本地应用装置3进行注册,当注册信息发送变化时,向授权管理单元1113发送修改授权关系请求消息。注册信息包括有:
1、注册本地应用装置3的标识名称(每个本地应用装置3的名称对应一个唯一标识码)、部署地、权限有效期限等信息。
2、添加各个本地应用装置3所对应的应用角色信息,添加方式可以手工输入或指定格式字典批量导入的方式。
群体管理单元1112,用于从CA目录服务器14上获取人员信息,并生成、维护用户群体信息,当用户群体信息发送变化时,向授权管理单元1113发送修改授权关系请求消息。包括有:
1、根据规则群体表达式,生成规则群体。
2、创建、并维护工作组及成员。
授权管理单元1113,用于建立用户群体和应用角色之间的授权关系,或者接收其他单元发送来的修改授权关系请求消息,将所述新的授权信息发送至属性证书签发装置13进行签发。
数据同步校验服务部件112,用于按照定制策略,对数据库114与PMI主目录服务器15上发布数据的一致性进行校验。例如定时检查数据库114中所保存的属性证书是否与PMI主目录服务器15上的发布数据是否一致,如果不一致,则通知属性证书发布服务部件113将更新数据发布到PMI主目录服务器15上。
属性证书发布服务部件113,用于将属性证书签发装置13签发的属性证书发送给PMI主目录服务器15,所述授权信息包括有规则群体属性证书、工作组属性证书、个人属性证书、属性证书撤销列表。
数据库114,用于保存系统数据,例如系统所包含的规则群体表达式、工作组、应用角色、授权关系等。
PMS管理器12,和权限管理装置11相连,用于管理员和系统的交互,可采取基于web浏览器的管理模式,管理员可进行如下操作:
1、添加、修改本地应用装置3的注册信息。
2、查看人员信息及相关的组织结构信息,添加、修改用户群体信息,如规则群体表达式、工作组及成员。
3、建立、修改、注销用户群体和应用角色之间的授权关系及对应的属性证书。
属性证书签发装置13,和权限管理装置11相连,用于建立属性权威源,接收权限管理装置11发送来的授权信息,并将所述信息签发成属性证书后返回给权限管理装置11。属性证书签发装置13读取权限管理装置11发送来的指定格式的报文,解析、获得用户群体和应用角色之间的授权信息,将所述授权信息签发成符合RFC3281V4标准格式的属性证书,并将所述属性证书返回给权限管理装置11。如果需要废除授权允许,则签发一个属性证书撤销列表(ACRL)。所述属性证书包括有以下几种:
1、规则群体属性证书,定义规则群体与应用角色之间的授权关系,包括有规则群体定义的XML编码、本地应用装置3、应用角色、有效期限等信息。
2、工作组属性证书,定义工作组与应用角色之间的授权关系,包括有工作组名称、工作组成员、本地应用装置3、应用角色、有效期限等信息。
3、个人属性证书,定义用户个人与应用角色之间的授权关系,包括有用户个人、本地应用装置3、应用角色、有效期限等信息。
CA目录服务器14,和权限管理装置11相连,用于遵循LDAP标准为权限管理装置11提供用户数字证书的目录服务。所述数字证书包括有用户及组织结构信息。
PMI主目录服务器15,和权限管理装置11、PMI从目录服务器16相连,用于遵循LDAP标准提供属性证书的目录服务,并按权限管理装置11发送来的属性证书撤销列表删除相应的属性证书。所发布的授权信息包括有规则群体属性证书、工作组属性证书、个人属性证书、属性证书撤销列表等。
PMI从目录服务器16,和PMI主目录服务器15、本地从目录服务装置2相连,用于与PMI主目录服务器15进行数据同步,并对外提供符合LDAP协议的目录服务。值得一提的是,PMI从目录服务器16是系统的可选组件,系统可以根据需要去掉该组件,并由PMI主目录服务器15直接对本地从目录服务装置2提供符合LDAP协议的目录服务,PMI从目录服务器16的设置可以进一步加强系统安全性。
如图5所示,本地从目录服务装置2,包含有PMI本地从目录服务器21和中间件装置22。
PMI本地从目录服务器21,用于按照本地复制策略与PMI主目录服务器15(或PMI从目录服务器16)进行本地数据同步,并为中间件装置22提供本地应用装置3属性证书的目录服务。PMI本地从目录服务器21接收PMI主目录服务器15(或PMI从目录服务器16)新发布的与本地应用装置3相关的属性证书,并根据属性证书撤销列表删除本地对应的属性证书。
中间件装置22,用于接收本地应用装置3转发的用户登录请求,对用户数字证书的合法性进行验证,在PMI本地从目录服务器21、PMI从目录服务器16或PMI主目录服务器15中查找所述用户相对应的属性证书,并将从属性证书中所获取的角色信息返回给本地应用装置3,所述用户属性证书包括有规则群体、工作组或个人的属性证书,所述角色信息包括有规则群体、工作组或个人角色信息。
首先,系统需要获取用户及属性信息、本地应用装置3及应用角色信息,建立用户群体到应用角色的授权关系,并将所述授权信息签发成属性证书进行发布。如图6所示,为属性证书的发布流程,具体步骤如下:
步骤1:权限管理装置11的权限管理服务部件111从CA目录服务器14上获取数字证书,读取人员及相应的组织机构信息(步骤S1001)。权限管理装置11根据业务需要,按照检索条件从CA目录服务器14上获取相应用户的数字证书信息。
步骤2:权限管理装置11的权限管理服务部件111生成用户群体(步骤S1002)。用户群体包括有规则群体、工作组和个人。
其中规则群体的生成过程如下:管理员通过PMS管理器12定义规则群体表达式,权限管理服务部件111的群体管理单元1112根据规则群体表达式,读取数字证书中的用户属性信息,创建对应的规则群体。例如,管理员定义规则群体表达式:
((市=北京市&&机构=总公司))&&(部门=研发中心)&&((任职=正职)||(任职=副职)),
群体管理单元1112读取数字证书中的用户所属市、机构、部门、职务等属性信息,创建对应的规则群体:北京市总公司研发中心领导。
工作组的生成过程如下:管理员通过PMS管理器12查看人员信息及相关的组织结构信息,并选择组织机构树上的若干人员定义工作组,权限管理服务部件111的群体管理单元1112读取管理员定义的工作组信息,创建对应的工作组。
步骤3:权限管理装置11的权限管理服务部件111读取若干个本地应用装置3相对应的应用角色(步骤S1003)。如表1所示,根据用户所属的市、机构、部门、职务可以划分成多个应用角色,每个应用角色对应一个唯一的角色编码。
表1应用角色和角色编码对应关系表
步骤4:权限管理装置11的权限管理服务部件111建立用户群体和应用角色之间的授权关系(步骤S1004)。管理员通过PMS管理器定义用户群体和应用角色之间的授权关系,权限管理服务部件111的授权管理单元1113读取、并建立相应的授权关系,如表2所示,为规则群体和应用角色的对应关系表。
表2应用角色、角色编码和规则群体表达式的对应关系表
步骤5:权限管理装置11的权限管理服务部件111将所述授权信息发送至属性证书签发装置13(步骤S1005)。
步骤6:属性证书签发装置13签发属性证书,并将所述属性证书返回给权限管理装置11的属性证书发布服务部件113(步骤S1006)。
步骤7:权限管理装置11的属性证书发布服务部件113将所述属性证书发布至PMI主目录服务器15上(步骤S1007)。
步骤8:PMI主目录服务器15通知PMI从目录服务器16进行数据同步(步骤S1008)。
步骤9:PMI从目录服务器16通知PMI本地从目录服务器21进行本地数据同步(步骤S1009)。
如果授权信息产生了变化,例如管理员修改用户群体和应用角色之间的授权关系,本发明可以根据授权信息的变化内容,撤销旧的属性证书、并产生新的属性证书。如图7所示,为修改授权信息的流程,其具体步骤如下:
步骤1:管理员通过PMS管理器12修改授权信息(步骤S2001)。
步骤2:PMS管理器12将所述修改授权信息的请求转发给权限管理装置11内的相应部件(步骤S2002)。
如果修改本地应用装置3或者本地应用装置3的应用角色信息,则转交至权限管理装置11的权限管理服务部件111的应用管理单元1111;如果修改用户群体信息,例如修改规则群体表达式或修改工作组及成员,则转交至权限管理装置11的权限管理服务部件111的群体管理单元1112;如果修改用户群体和应用角色之间的授权关系,则转交至权限管理装置11的权限管理服务部件111的授权管理单元1113。
步骤3:权限管理装置11内的相应部件对所述请求进行处理,向权限管理装置11的权限管理服务部件111的授权管理单元1113发送修改授权关系请求消息(步骤S2003)。
步骤4:权限管理装置11的权限管理服务部件111的授权管理单元1113读取所述消息,并在数据库114中查找与修改信息相关的属性证书(步骤S2004)。
步骤5:授权管理单元1113将所述查找到的属性证书添加至属性证书撤销列表,并将属性证书撤销列表和新产生的授权关系发送至属性证书签发装置13(步骤S2005)。
步骤6:属性证书签发装置13签发新的属性证书和属性证书撤销列表,并返还给属性证书发布服务部件113(步骤S2006)。
步骤7:属性证书发布服务部件113将所述新的属性证书和属性证书撤销列表发送给PMI主目录服务器15(步骤S2007)。
步骤8:PMI主目录服务器15按属性证书撤销列表删除对应的属性证书,并发布新的属性证书(步骤S2008)。
例如在工作组1中添加或删除人员,则查询工作组1对应的属性证书,将所述属性证书添加至属性证书撤销列表中,由属性证书签发装置13签发新的工作组属性证书和属性证书撤销列表,属性证书发布服务部件113将新的工作组属性证书和属性证书撤销列表发送至PMI主目录服务器15,PMI主目录服务器15发布新的工作组属性证书,并按属性证书撤销列表删除相应的属性证书。
步骤9:PMI主目录服务器15通知PMI从目录服务器16进行数据同步(步骤S2009)。
步骤10:PMI从目录服务器16按属性证书撤销列表删除对应的属性证书,并发布新的属性证书(步骤S2010)。
步骤11:PMI从目录服务器16通知PMI本地从目录服务器21进行本地数据同步(步骤S2011)。
PMI本地从目录服务器21接收到PMI从目录服务器16的通知消息后,进行本地数据同步,如图8所示,为PMI本地从目录服务器21同步本地授权信息的流程,具体步骤如下:
步骤1:PMI本地从目录服务器21从PMI从目录服务器16上读取新增的属性证书(步骤S3001)。
步骤2:PMI本地从目录服务器21判断所述属性证书是否与本地应用装置3相关(步骤S3002)?如果无关,则转向步骤4(步骤S3004)。
步骤3:PMI本地从目录服务器21将所述属性证书从PMI从目录服务器16上复制到本地(步骤S3003)。
步骤4:PMI本地从目录服务器21从PMI从目录服务器16上读取属性证书撤销列表(步骤S3004)。
步骤5:PMI本地从目录服务器21判断属性证书撤销列表上是否有与本地应用装置3相关的属性证书(步骤S3005)?如果没有,则转向步骤7(步骤S3007),本流程结束。
步骤6:PMI本地从目录服务器21删除对应的属性证书(步骤S3006)。
步骤7:本流程结束(步骤S3007)。
用户通过用户装置4登录本地应用装置3,本地应用装置3将用户的登录请求向授权管理服务器1转发,并接收授权管理服务器1返回的所述用户的角色信息。应用装置根据用户角色,授予用户相应的访问权限。如图9所示,为用户登录流程图,具体步骤如下:
步骤1:用户使用数字证书登录本地应用装置3(步骤S4001)。
步骤2:本地应用装置3向中间件装置22转发用户登录请求(步骤S4002)。
步骤3:中间件装置22对用户的数字证书信息进行验证(步骤S4003)。
步骤4:中间件装置22判断用户的数字证书是否通过验证(步骤S4004)?如果没有通过验证,则转向步骤7(步骤S4009),本流程结束。
步骤5:中间件装置22判断PMI本地从目录服务器21是否工作正常(步骤S4005)?
(1)、如果工作正常,则中间件装置22从PMI本地从目录服务器21上查找与所述本地应用装置3有关的属性证书,并将获取到的应用角色信息返回给本地应用装置3(步骤S4006);
(2)、如果不正常,则中间件装置22从PMI从目录服务器16上查找与所述本地应用装置3有关的属性证书,并将获取到的应用角色信息返回给本地应用装置3(步骤S4007)。当中间件装置22检测到PMI本地从目录服务器21工作状态不正常时,可与授权管理平台1的PMI从目录服务器16相连,获取属性证书信息,从而保证了系统的高可用性,并降低维护成本。
步骤6:本地应用装置3根据所述应用角色信息,授予用户相应的访问权限(步骤S4008)。
步骤7:本流程结束(步骤S4009)。
中间件装置22查找所述用户对应于所述本地应用装置3的属性证书,并将查找到的本地应用角色信息返回给本地应用装置3,如图10所示,为中间件装置22将查找到的用户应用角色信息返回给本地应用装置3的流程,具体步骤如下:
步骤1:中间件装置22查找是否存在与所述本地应用装置3有关的规则群体属性证书(步骤S5001)?如果没有,则转向步骤4(步骤S5004)。
步骤2:中间件装置22判断所述用户是否属于所述规则群体(步骤S5002)?如果不属于,则转向步骤4(步骤S5004)。
步骤3:中间件装置22从规则群体属性证书中获取所述用户对应于所述本地应用装置3的应用角色信息(步骤S5003)。
步骤4:中间件装置22查找是否存在与所述本地应用装置3有关的工作组属性证书(步骤S5004)?如果没有,则转向步骤7(步骤S5007)。
步骤5:中间件装置22判断所述用户是否属于所述工作组(步骤S5005)?如果没有,则转向步骤7(步骤S5007)。
步骤6:中间件装置22从工作组属性证书中获取所述用户对应于所述本地应用装置3的应用角色信息(步骤S5006)。
步骤7:中间件装置22查找是否存在与所述本地应用装置3有关的个人属性证书(步骤S5007)?如果没有,则转向步骤9(步骤S5009)。
步骤8:中间件装置22从个人属性证书中获取所述用户对应于所述本地应用装置3的应用角色信息(步骤S5008)。
步骤9:中间件装置22将获取的本地应用角色信息返回给本地应用装置3(步骤S5009)。
最后所应说明的是,以上实施例仅用以说明而并非限制本发明所描述的技术方案;因此,尽管本说明书参照上述的实施例对本发明已进行了详细的说明,但是,本领域的普通技术人员应当理解,仍然可以对本发明进行修改或者等同地替换;而一切不脱离本发明的精神和范围的技术方案及其改进,其均应涵盖在本发明的权利要求范围当中。
Claims (9)
1.一种基于目录服务的授权管理系统,包括授权管理平台,至少一个本地从目录服务装置,至少一个本地应用装置和至少一个用户装置,其特征在于,
所述授权管理平台至少包括:
权限管理装置,用于对系统包含有用户群体、应用角色的授权要素进行维护,建立用户群体到应用角色的授权关系,并将所述授权信息发布到PMI主目录服务器上;
PMS管理器,用于管理员和系统的交互;
属性证书签发装置,用于建立属性权威源,接收权限管理装置发送来的授权信息,并将所述信息签发成属性证书后返回给权限管理装置;
CA目录服务器,用于遵循LDAP标准为权限管理装置提供用户数字证书的目录服务;
PMI主目录服务器,用于遵循LDAP标准提供属性证书的目录服务,并按权限管理装置发送来的属性证书撤销列表删除相应的属性证书;
所述本地从目录服务装置至少包括:
PMI本地从目录服务器,用于按照本地复制策略与PMI主目录服务器进行本地数据同步,并为中间件装置提供本地应用装置属性证书的目录服务;
中间件装置,用于接收本地应用装置转发的用户登录请求,对用户数字证书的合法性进行验证,在PMI本地从目录服务器、或PMI主目录服务器中查找所述用户相对应的属性证书,并将从属性证书中所获取的角色信息返回给本地应用装置,所述用户的属性证书包括有规则群体、工作组或个人的属性证书,所述角色信息包括有规则群体、工作组或个人角色信息;
所述授权管理平台和本地从目录服务装置通过互联网相连,本地从目录服务装置和本地应用装置通过局域网相连。
2.根据权利要求1所述的一种基于目录服务的授权管理系统,其特征在于,所述授权管理平台还包括有:
PMI从目录服务器,和PMI主目录服务器、本地从目录服务装置相连,用于与PMI主目录服务器进行数据同步,并对外提供符合LDAP协议的目录服务。
3.根据权利要求1所述的一种基于目录服务的授权管理系统,其特征在于,所述权限管理装置进一步包括有:
权限管理服务部件,用于生成用户群体、本地应用装置对应的应用角色信息,建立用户群体和应用角色之间的授权关系,并将所述授权信息交由属性证书签发装置签发;
数据同步校验服务部件,用于按照定制策略,对数据库与PMI主目录服务器上发布数据的一致性进行校验;
属性证书发布服务部件,用于将属性证书签发装置签发的属性证书发送给PMI主目录服务器;
数据库,用于保存系统数据。
4.根据权利要求3所述的一种基于目录服务的授权管理系统,其特征在于,所述权限管理服务部件进一步包括有:
应用管理单元,用于对所有本地应用装置进行注册,当注册信息发送变化时,向授权管理单元发送修改授权关系请求消息;
群体管理单元,用于从CA目录服务器上获取人员信息,并生成、维护用户群体信息,当用户群体信息发送变化时,向授权管理单元发送修改授权关系请求消息;
授权管理单元,用于建立用户群体和应用角色之间的授权关系,或者接收其他单元发送来的修改授权关系请求消息,将所述新的授权信息发送至属性证书签发装置进行签发。
5.一种基于目录服务的授权管理系统的实现方法,所述授权管理平台和本地从目录服务装置通过互联网相连,本地从目录服务装置、本地应用装置、用户装置通过局域网相连,其特征在于,包括以下步骤:
步骤1:授权管理平台获取数字证书,读取人员及相应的组织机构信息;
步骤2:授权管理平台生成用户群体;
步骤3:授权管理平台读取若干个应用装置相对应的应用角色;
步骤4:授权管理平台建立用户群体和应用角色之间的授权关系;
步骤5:授权管理平台将所述授权信息签发属性证书;
步骤6:授权管理平台将所述属性证书进行发布;
步骤7:本地从目录服务装置与授权管理平台进行本地数据同步。
6.根据权利要求5所述的方法,其特征在于,步骤7中进一步包含有以下步骤:
步骤1:授权管理平台的PMI主目录服务器通知PMI从目录服务器进行数据同步;
步骤2:授权管理平台的PMI从目录服务器通知本地从目录服务装置的PMI本地从目录服务器进行本地数据同步。
7.根据权利要求6所述的方法,其特征在于,还包括有以下步骤:
步骤1:管理员通过授权管理平台修改授权信息;
步骤2:授权管理平台对所述请求进行处理,并查找与修改信息相关的属性证书;
步骤3:授权管理平台签发新的属性证书和属性证书撤销列表;
步骤4:授权管理平台按属性证书撤销列表删除对应的属性证书,并发布新的属性证书;
步骤5:授权管理平台通知本地从目录服务装置进行数据同步。
8.根据权利要求6所述的方法,其特征在于,还包括有以下步骤:
步骤1:本地从目录服务装置从授权管理平台上读取新增的属性证书;
步骤2:本地从目录服务装置判断所述属性证书是否与本地应用装置相关?如果无关,则转向步骤4;
步骤3:本地从目录服务装置将所述属性证书从授权管理平台上复制到本地;
步骤4:本地从目录服务装置从授权管理平台上读取属性证书撤销列表;
步骤5:本地从目录服务装置判断属性证书撤销列表上是否有与本地应用装置相关的属性证书?如果没有,则转向步骤7;
步骤6:本地从目录服务装置删除对应的属性证书;
步骤7:本流程结束。
9.根据权利要求6所述的方法,其特征在于,还包括有以下步骤:
步骤1:用户使用数字证书登录本地应用装置;
步骤2:本地应用装置向中间件装置转发用户登录请求;
步骤3:中间件装置对用户的数字证书信息进行验证;
步骤4:中间件装置判断用户的数字证书是否通过验证?如果没有通过验证,则转向步骤7;
步骤5:中间件装置判断PMI本地从目录服务器是否工作正常?
(1)、如果工作正常,则中间件装置从PMI本地从目录服务器上查找与所述本地应用装置有关的属性证书,并将获取到的应用角色信息返回给本地应用装置;
(2)、如果不正常,则中间件装置从PMI从目录服务器上查找与所述本地应用装置有关的属性证书,并将获取到的应用角色信息返回给本地应用装置;
步骤6:本地应用装置根据所述应用角色信息,授予用户相应的访问权限;
步骤7:本流程结束。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910217964.0A CN102088350B (zh) | 2009-12-08 | 2009-12-08 | 基于目录服务的授权管理系统及其实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910217964.0A CN102088350B (zh) | 2009-12-08 | 2009-12-08 | 基于目录服务的授权管理系统及其实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102088350A true CN102088350A (zh) | 2011-06-08 |
| CN102088350B CN102088350B (zh) | 2014-04-16 |
Family
ID=44099973
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910217964.0A Active CN102088350B (zh) | 2009-12-08 | 2009-12-08 | 基于目录服务的授权管理系统及其实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102088350B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103067463A (zh) * | 2012-12-19 | 2013-04-24 | 新浪网技术(中国)有限公司 | 用户root权限集中管理系统和管理方法 |
| CN108123930A (zh) * | 2016-11-28 | 2018-06-05 | Ssh通信安全公司 | 访问计算机网络中的主机 |
| CN111177685A (zh) * | 2019-12-26 | 2020-05-19 | 深圳供电局有限公司 | 证书管理方法、装置、计算机设备和存储介质 |
| CN111416875A (zh) * | 2020-04-10 | 2020-07-14 | 中国人民解放军国防科技大学 | 一种面向云边协同的服务目录同步方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080120302A1 (en) * | 2006-11-17 | 2008-05-22 | Thompson Timothy J | Resource level role based access control for storage management |
| CN101197023A (zh) * | 2007-11-19 | 2008-06-11 | 清华大学 | 一种面向中小企业的可视化文档管理系统的建立方法 |
| CN101296230A (zh) * | 2008-06-17 | 2008-10-29 | 浙江大学 | 基于PKI和PMI的Web服务安全控制机制 |
-
2009
- 2009-12-08 CN CN200910217964.0A patent/CN102088350B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080120302A1 (en) * | 2006-11-17 | 2008-05-22 | Thompson Timothy J | Resource level role based access control for storage management |
| CN101197023A (zh) * | 2007-11-19 | 2008-06-11 | 清华大学 | 一种面向中小企业的可视化文档管理系统的建立方法 |
| CN101296230A (zh) * | 2008-06-17 | 2008-10-29 | 浙江大学 | 基于PKI和PMI的Web服务安全控制机制 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103067463A (zh) * | 2012-12-19 | 2013-04-24 | 新浪网技术(中国)有限公司 | 用户root权限集中管理系统和管理方法 |
| CN103067463B (zh) * | 2012-12-19 | 2016-05-11 | 新浪网技术(中国)有限公司 | 用户root权限集中管理系统和管理方法 |
| CN108123930A (zh) * | 2016-11-28 | 2018-06-05 | Ssh通信安全公司 | 访问计算机网络中的主机 |
| CN111177685A (zh) * | 2019-12-26 | 2020-05-19 | 深圳供电局有限公司 | 证书管理方法、装置、计算机设备和存储介质 |
| CN111416875A (zh) * | 2020-04-10 | 2020-07-14 | 中国人民解放军国防科技大学 | 一种面向云边协同的服务目录同步方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102088350B (zh) | 2014-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102088351B (zh) | 授权管理系统及其实现方法 | |
| CN102088360B (zh) | 分布式授权管理系统及其实现方法 | |
| AU2012252388B2 (en) | Method for handling privacy data | |
| CN100542092C (zh) | 分布式多级安全访问控制方法 | |
| JP4838203B2 (ja) | 1つ以上のメディア・ファイルへのアクセスを管理する、コンピュータを用いた方法、コンピュータ可読メディア、およびシステム | |
| US20050076248A1 (en) | Identity based service system | |
| CN102111275B (zh) | 一种用户认证授权的方法及其实现系统 | |
| CN109643242A (zh) | 用于多租户hadoop集群的安全设计和架构 | |
| AU2012315674B2 (en) | Parameter based key derivation | |
| CN102025710A (zh) | 多应用智能卡及智能卡多应用管理系统和方法 | |
| Mell et al. | Smart contract federated identity management without third party authentication services | |
| CN106992988A (zh) | 一种跨域匿名资源共享平台及其实现方法 | |
| CN101321064A (zh) | 一种基于数字证书技术的信息系统的访问控制方法及装置 | |
| CN101707594A (zh) | 基于单点登录的网格认证信任模型 | |
| CN102025495A (zh) | 基于saml2.0的身份认证和管理 | |
| CN102088350B (zh) | 基于目录服务的授权管理系统及其实现方法 | |
| CN110309197A (zh) | 项目数据验证方法及其装置 | |
| CN102970302B (zh) | 一种基于个人信息通用编码的个人信息保护平台及方法 | |
| Chen et al. | A blockchain based autonomous decentralized online social network | |
| KR20020046136A (ko) | 로그인 인증장치 및 로그인 인증방법 | |
| Johnson | Recommendations for distributed energy resource access control | |
| US20070118877A1 (en) | Method and system for secured online collaboration | |
| CN112529674A (zh) | 一种采用区块链的税收数据服务方法及系统 | |
| CN115842649A (zh) | 一种跨地域跨系统的身份认证的方法 | |
| CN116305185A (zh) | 数据处理方法、系统及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |