CN103532981B - 一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法 - Google Patents
一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法 Download PDFInfo
- Publication number
- CN103532981B CN103532981B CN201310530185.2A CN201310530185A CN103532981B CN 103532981 B CN103532981 B CN 103532981B CN 201310530185 A CN201310530185 A CN 201310530185A CN 103532981 B CN103532981 B CN 103532981B
- Authority
- CN
- China
- Prior art keywords
- user
- module
- cloud
- service module
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Abstract
一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法,将云服务提供商的云服务业务分为身份鉴权许可部分和云资源访问控制部分;身份鉴权许可部分的业务托管给云服务可信的第三方TIdP,并由TIdP负责管辖租户托管的用户信息和群组信息,完成托管用户的用户身份鉴权工作及生成包含身份识别信息的跨域安全凭证服务;云资源访问控制部分负责对用户所在的群组进行相应权限分配,当用户对云资源进行访问时,解析用户的访问请求并根据现有的资源访问控制策略进行访问控制决策,实现对云资源安全的访问控制。
Description
技术领域
本发明属于信息安全的身份托管和访问控制领域,具体涉及一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法。
背景技术
随着云计算、物联网等新型信息技术的发展,云服务提供商面临着如何适应这种新型的云服务身份管理模式、如何降低用户身份管理维护的成本、如何保证安全的用户身份鉴权等方面的巨大压力,由此诞生了一种新型的用户身份鉴权托管业务,即各云服务提供商将身份鉴权工作交付给云服务可信第三方(通常称为TIdP,Trusteeship Identity Provider)进行,从而减轻了服务提供商(Service Provider,SP)对用户进行身份管理的负担,使服务提供商更加专注于提高服务质量。
可信第三方在云服务模式下目前身份鉴权服务方式(通常称为传统的单点登录服务方式)已不能很好地解决用户跨域服务访问下安全的交换身份识别信息的需求,其表现在传统的单点登录服务主要存在如下问题:(1)多数采用OAuth协议作为传递用户身份鉴权信息的协议,该协议实现的功能相对不完善,仅包括登录和授权等简单功能,不能提供例如用户属性查询等复杂功能,另外,该协议要求所有用户都在一个用户组域内,并不能为云服务提供商提供安全且相对隔离的单点登录服务;(2)采用cookie保持用户登录鉴权状态实现的单点登录服务,不能解决跨DNS域的鉴权身份信息传递的问题,即存在于cookie内的登录状态不能从一个域传递到另一个域。因此需要一种机制让认证状态在不同的域间安全的传递(即一种在不同的服务间共享一种共同认可的用户身份机制),实现云服务形式下跨域的单点登录服务。
同时,目前的身份鉴权服务方式,无法控制服务提供商SP对其云资源的访问权限,无法在不影响所有SP的前提下单独撤销某一个SP的访问权限。因此需要一种安全机制实现跨域单点登录状态下对云资源的访问控制。
发明内容
本发明技术解决问题在于:克服现有技术的不足,提供一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法,实现一种安全机制实现跨域单点登录状态下对云资源的访问控制。
本发明技术解决方案:即各租户将其拥有的用户数据托管给可信的云服务TIdP,对于租户来说,对TIdP的单点登录服务是“独占”的,各个租户间的用户数据是彼此独立的,即组间的云资源是不可互访的、隔离的。在该方法中采用跨域且安全的身份识别信息交换机制生成的跨域安全凭证(如安全断言标记语言(Security Assertion Markup Language,SAML))用于在不同的安全域之间交换认证和授权信息,并采用细控制力度的云资源访问控制机制(如可扩展的访问控制标记语言(eXtensible Access Control Markup Language,XACML))依据租户内用户所在群组,目标资源以及对资源操作的类型进行控制和决策,并可实时对群组及群组的访问策略进行修改。该方法从整体上分为身份托管鉴权许可TIdP和云资源访问控制(主要包含策略执行服务模块和策略决策服务模块,策略执行服务模块主要由策略执行点(Policy Enforcement Point,PEP)负责处理功能;策略决策服务模块主要由策略决策点(Policy Decision Point,PDP)负责处理功能)两大耦合性较低的功能组件,使得云服务提供商SP方便安全的提供高质量的云服务,同时各功能组件具有良好的可拓展性,实现一种可插拔的多租户的鉴权托管云资源访问控制架构。
结合附图1,在吸取了已有解决方案的优点基础上,简要介绍本方案的基本技术思想,具体来说,主要包括下面的内容:
在本发明中为了应对云服务的这种新兴服务模式,将云服务提供商的云服务业务分为身份鉴权许可和云资源访问控制,身份鉴权许可业务托管给可信的第三方TIdP,负责管辖租户托管的用户信息和群组信息及完成托管用户的身份鉴权工作;云资源访问控制主要负责对用户所在的群组进行相应权限分配,并通过策略执行服务模块拦截解析该群组内的用户对云资源的访问请求,由策略决策服务模块依据群组的访问策略对该请求作出决策,交予策略执行模块执行该决策结果,现实对云资源安全细粒度的访问控制。
进一步的结合附图2,介绍托管于可信第三方TIdP的身份鉴权许可功能的设计思想,云服务提供商将其用户的相关信息(用户标识、密码及其所在群组等不涉及用户个人隐私较高的信息)托管给TIdP,并由TIdP完成该租户内用户身份鉴权工作及生成包含身份识别信息(如用户标识、用户所在群组等信息)的跨域安全凭证(如安全断言标记语言SAML)。其主要的职能如下:(1)跨域安全凭证生成服务,云服务提供商通信模块接收服务提供商传递的用户登录请求,将该请求中获得地用户身份验证信息发送至用户身份验证服务模块,该服务将用户身份信息作为查询条件传递给数据通信服务模块,数据通信服务模块通过查询数据源得到结果集,并将结果集判定是否为空的标志及用户标识、用户所在群组作为验证结果,返回至用户身份验证服务,至此用户身份验证服务模块完成用户身份的验证,并将验证结果返回至生成断言模块,该模块生成该用户的跨域安全凭据,作为用户进行跨域访问的凭据(包含TIdP地址、验证结果及其数字签名)。(2)跨域安全凭证验证服务,云服务提供商通信模块接收服务提供商传递的跨域安全凭证的认证断言请求,并将该认证断言请求传递给认证断言模块,认证断言模块判断该断言请求有效性(如验证断言的数字签名),若此断言请求有效则解析断言请求。该断言请求被解析后,将断言请求中的用户身份验证信息发送至用户身份验证服务,该服务将用户身份信息作为查询条件传递给数据通信服务,数据通信服务模块通过查询数据源得到结果集,并将结果集判定是否为空的标志返回至用户身份验证服务模块,至此用户身份验证服务模块完成用户身份的验证,并将验证结果返回至用户身份提供服务模块,作为用户已跨域登录的凭据(包含用户标识及所属群组)。
进一步的结合附图3,介绍云资源访问控制功能的设计思想,该功能模块负责对用户组进行权限分配,当用户对云资源进行访问时,解析用户的访问请求并根据现有的资源访问控制策略进行访问控制决策。其各部分的职能如下:策略执行服务模块由策略执行点PEP负责,其任务是将云服务提供商传递的云资源访问控制请求转换为云资源访问控制标准格式(即策略决策端点PDP可理解的格式,如XACML格式、JOSN格式),并传递给策略决策服务点PDP;策略决策服务模块(即策略决策端点PDP)参考策略文件服务模块提供的策略文件对接收到的访问请求进行决策;策略文件服务模块负责维护、保存策略,其处理过程为:策略建立服务模块根据不同的用户组具有的权限、资源以及对资源的操作生成不同的策略,策略文件服务模块将这些策略安全的保存,作为策略决策服务模块做出决策的唯一标准;数据目录服务维护一个数据库,该数据库存储云资源访问控制的策略目录(如XACML策略目录),用户组列表以及一个管理员列表;用户组操作服务模块对用户组以及用户组的策略权限的进行相关操作(如添加、修改、删除等),通过数据目录服务将这些操作产生的结果进行保存维护,以保证用户组数据的完整性以及维护策略与数据库中策略目录的对应关系。
本发明和现有解决方法相比,具有以下优点:
(1)云服务提供商将租户内的用户数据托管给可信第三方,并由可信第三方完成身份鉴权工作,该模式适应云服务模式下身份管理,降低云服务提供商的用户管理成本,使其专注于提供高品质的服务;
(2)云服务提供商与可信第三方之间的单点登录服务采用跨域且安全的身份识别信息的交换机制,通过提供一种标准的语法和协议来传输用户识别信息到另一个不同的DNS安全域,实现跨域单点登录,保证用户在域间只登录一次就能安全地访问所有相互信任的云服务提供商的资源;
(3)租户内的用户对云服务提供商之间的云资源的访问控制采用细粒度的访问控制机制,通过对群组进行策略分配,解析该用户的访问请求,依据现有云资源访问控制策略进行决策,实现细粒度的跨域云资源的访问控制,保证用户在不同域间安全可管可控的共享云资源。
附图说明
图1本发明控制系统的框架图;
图2为本发明身份托管鉴权许可模块框架图;
图3为本发明用户组级的云资源访问控制模块框架图;
图4为本发明中的基于云模式单点登录服务生成跨域安全凭证的实施过程图;
图5为本发明中基于跨域安全凭证的云模式单点登录服务的实施过程图;
图6为本发明中基于用户组级的云资源访问控制的实施过程图。
具体实施方式
为使本发明的目的、优点以及技术方案更加清楚明白,以下通过具体实施,并结合附图,对本发明进一步详细说明。
如图1、2、3所示,本发明的一种面向多租户的身份托管鉴权云资源访问控制系统,将云服务提供商的云服务业务分为用户身份鉴权许可部分和基于用户组级的云资源访问控制部分;用户身份鉴权许可部分的许可业务托管给可信的第三方TIdP,并由TIdP负责管辖租户托管的用户信息和群组信息,完成托管用户的用户身份鉴权工作及生成包含身份识别信息的跨域安全凭证服务;基于用户组级的云资源访问控制部分主要负责对已完成用户身份鉴权许业务的用户所在的群组进行相应权限分配,并拦截解析该群组内的用户对云资源的访问请求,依据群组的访问策略对该请求作出决策,然后执行该决策结果,实现对云资源安全用户组级别的访问权限的控制。
身份鉴权许可模块包括用户身份提供服务模块、用户身份验证服务模块、用户属性查询服务模块、数据通信服务模块和数据库;所述用户身份提供服务模块包括云服务提供商通信模块、生成断言模块和认证断言模块;
跨域安全凭证包括基于云模式单点登录服务的跨域安全凭证生成服务和基于跨域安全凭证的云模式单点登录服务;
在基于云模式单点登录服务的跨域安全凭证生成服务时,云服务提供商通信模块接收服务提供商传递的用户登录请求,将该请求中获得的用户身份验证信息发送至用户身份验证服务模块,该用户身份验证服务模块将用户身份信息作为查询条件传递给数据通信服务模块,数据通信服务模块通过查询数据源得到结果集,并将结果集判定是否为空的标志及用户标识、用户所在群组作为验证结果,返回至用户身份验证服务模块,至此用户身份验证服务模块完成用户身份的验证,并将验证结果返回至生成断言模块,该生成断言模块生成该用户的跨域安全凭据,作为用户进行跨域访问的凭据;
在基于跨域安全凭证的云模式单点登录服务时,云服务提供商通信模块接收服务提供商传递的跨域安全凭证的认证断言请求,并将该认证断言请求传递给认证断言模块,认证断言模块判断该断言请求有效性,若此断言请求有效则解析断言请求;该断言请求被解析后,将断言请求中的用户身份验证信息发送至用户身份验证服务模块,该用户身份验证服务模块将用户身份信息作为查询条件传递给数据通信服务模块,数据通信服务模块通过查询数据源得到结果集,并将结果集判定是否为空的标志返回至用户身份验证服务模块,至此用户身份验证服务模块完成用户身份的验证,并将验证结果返回至认证断言模块,作为用户已跨域登录的凭据。
云资源访问控制部分包括策略执行服务模块、策略决策服务模块、策略文件服务模块、用户操作服务模块和目录服务模块;
策略执行服务模块,与云服务提供商云资源交互,云服务提供商将云资源访问控制请求,通过与云资源访问控制部分之间的接口,将该访问控制请求的相关信息传递到策略执行服务模块;策略执行服务模块依据决策结果,做出该用户对目标资源的访问允许或拒绝,并通过访问云资源访问控制部分的接口,将访问拒绝或允许标识返回至云服务提供商;策略执行服务模块还将接受的云资源访问控制请求转换为云资源访问控制标准格式,传递给策略决策服务模块,同时接收策略决策服务模块的决策结果;
策略决策服务模块,参考从策略文件服务模块提供的策略文件,对从策略执行服务模块接收到的访问请求进行决策,并将决策结果返回给策略执行服务模块,
策略文件服务模块,负责维护、保存策略,向策略建立服务模块发出策略请求,要求得到策略文件,并将这些策略文件安全的保存,作为策略决策服务做出决策的唯一标准,将策略文件发送给策略决策服务模块;
策略建立服务模块,负责生成策略,向用户组操作模块发出请求,要求得到用户组的权限,可控制的资源以及对资源的操作;根据不同的用户组具有的权限、资源以及对资源的操作生成不同的策略,送至策略文件服务模块;
用户组操作服务模块,对用户组以及用户组的策略权限的进行相关操作,包括添加、修改、删除,通过数据目录服务模块将这些操作产生的结果进行保存维护,以保证用户组数据的完整性以及维护策略与数据库中策略目录的对应关系;同时用户组操作模块也可以向数据目录服务模块发出请求,要求得到用户组的权限,可控制的资源以及对资源的操作,再将用户组的权限,资源以及对资源的操作发送给策略建立服务模块;
数据目录服务模块,维护一个数据库,该数据库存储云资源访问控制的策略目录,用户组列表以及一个管理员列表;在得到用户组操作模块请求后将用户组的权限,可控制的资源以及对资源的操作发送给用户组操作模块。
一种面向多租户的身份托管鉴权云资源访问控制方法,包括:身份鉴权许可步骤和云资源访问控制步骤;用户完成身份鉴权许可步骤,即获得云模式下的单点登录服务,之后依据跨域安全凭证的用户信息,实现一种基于用户组级的云资源访问控制,使用户在可管可控的安全状态下访问云资源;其中身份鉴权许可步骤托管给可信的第三方TIdP;身份鉴权许可步骤包括:包括基于云模式单点登录服务的跨域安全凭证生成服务实现过程和基于跨域安全凭证的云模式单点登录服务实现过程。
一、基于云模式单点登录服务的跨域安全凭证生成的实现方法
用户要获得云模式的单点登录服务,需要在可信第三方TIdP上完成用户身份验证,取得跨域安全凭证,实现多域内的互通访问。云服务提供商需要提前获得TIdP的公钥证书,加密用户身份验证信息,保证传输的用户信息的安全。下面结合图4具体描述其执行过程:
1.用户访问云服务提供商SP上的云资源,需要用户在SP上输入用户验证信息(如口令验证信息(用户标识、密码)、证书验证信息)进行登录,SP生成一个被TIdP的公钥证书加密的登录请求(该请求包含被TIdP公钥证书加密的SP地址IP、用户验证信息等),发送给TIdP;
2.TIdP中SP通信模块接收SP传递的用户登录请求,用其私钥解密登陆请求,获得该请求的SP地址及用户身份验证信息,同时将用户身份验证信息发送至用户身份验证服务;
3.用户身份验证服务将接受地用户身份信息作为查询条件传递给数据通信服务;
4.数据通信服务通过查询数据源(如保存用户信息的LDAP数据库)得到结果集,并判定结果集判定是否为空,若判定结果集为空,则立刻终止相关操作,并返回用户身份验证失败;若判定结果集不为空,则将用户标识、用户所在群组作为验证结果,返回至用户身份验证服务;
5.用户身份验证服务将验证结果返回至生成断言模块,该模块生成该用户的有效期的跨域安全凭据(该凭据包含TIdP地址、验证结果及其数字签名;如SAML断言凭证),并将该凭据传递给云服务提供商通信模块;
6.云服务提供商通信模块通过在①获得SP的IP,将该跨域安全凭证传送给SP,至此用户获得可多域内的互通访问的通行证,SP上的跨域安全凭证的认证过程如下二所述。
该过程的成功实现,用户获得了跨域安全凭证,为云模式下单点登录服务的实现奠定了基础,使得身份认证识别信息可跨域传输。
二、基于跨域安全凭证的云模式单点登录服务的实现方法
用户在第一次登录成功,获得了跨域安全凭证后,可便捷的获得云模式下单点登录服务。下面结合图5具体描述其执行过程:
1.用户在云服务提供商SP获得跨域安全凭证后,访问SP上的云资源时,SP解析跨域安全凭证获得可信第三方TIdP的地址IP,并生成一个跨域安全凭证的认证断言请求(该请求包括跨域安全凭证、SP地址;如SAML断言认证请求),依据TIdP的地址将请求发送给TIdP;
2.TIdP中云服务提供商通信模块接收SP传递的跨域安全凭证的认证断言请求,并将该认证断言请求中跨域安全凭证传递给认证断言模块;
3.认证断言模块判断该断言请求的有效性,即认证断言的有效期和数字签名,若此断言请求认证无效,则立刻终止相关操作;若此断言请求认证有效,则解析该断言请求,将断言请求获得中的用户身份验证信息(用户标识、用户组类别)通过与用户身份验证服务之间的接口,发送至用户身份验证服务。
4.用户身份验证服务将接受地用户身份验证信息作为查询条件传递给数据通信服务;
5.数据通信服务通过查询数据源(如保存用户信息的LDAP数据库)获得结果集,并判定结果集判定是否为空,若判定结果集为空,则立刻终止相关操作,并返回断言认证失败,通过用户身份验证服务返回至用户身份提供服务;若判定结果集不为空,则将断言认证成功标记作为验证结果,通过用户身份验证服务返回至用户身份提供服务;
6.用户身份提供服务中的认证断言模块根据验证结果生成跨域安全凭证的认证断言响应(如SAML断言响应),并将该断言响应传递给云服务提供商通信模块;
7.云服务提供商通信模块依据获得SP地址,将该断言响应返回至用户的访问的SP;
8.SP对该断言响应进行验证,如果验证不通过,则用户不能登录目标网站,即用户单点登录失败成功;如果验证通过,则用户登录目标网站,即用户单点登录SP成功。
该过程的成功实现,用户获得了云模式下的跨域单点服务,提升了用户体验性,降低了云服务提供商的用户管理负担。
三、基于用户组级的云资源访问控制的实现方法
用户在成功登陆SP后,依据跨域安全凭证的用户信息,实现一种基于用户组级的云资源访问控制,使用户在可管可控的安全状态下访问云资源。下面结合图6具体描述其执行过程:
1.用户已成功登录SP后,用户可选择对SP中的云资源进行相应的操作(如下载、删除、修改文件),SP将依据不同的操作类型调用其内部的访问请求服务。
2.访问请求服务依据安全跨域凭证的用户标识和用户组信息及该用户对目标云资源的操作,生成该用户的云资源访问控制请求,并通过与访问控制模接口,将该访问控制请求的相关信息传递到策略执行服务模块;
3.策略执行服务模块将接受的云资源访问控制请求转换为云资源访问控制标准格式(即策略决策服务模块可理解的格式,如XACML格式、JOSN格式),并传递给策略决策服务模块;
4.策略决服务模块向策略文件服务模块发送策略请求,以获得可参考的策略文件;
5.策略文件服务模块接收到策略请求后,依据接受的策略请求,查询已保存的策略,若存在该策略,则向策略决策服务模块返回该策略,并执行10—11;若不存在,则向策略建立服务模块发送策略生成请求;
6.策略建立服务模块接收到策略生成请求后,解析该请求获得用户标识、群组信息,并将解析得到的信息发送给用户组操作服务模块,以便获得该用户所在用户组的权限、可控制的资源及对资源的合法操作;
7.用户组操作服务模块接受到用户标识、群组信息作为查询数据集,通过数据目录服务模块查询数据库,获得该用户所属用户组的权限、可控制的资源及对资源的合法操作,并将该用户所属用户组的权限、资源以及对资源的操作发送给策略建立服务模块;
8.策略建立服务模块根据该用户组具有的权限、资源以及对资源的合法操作生成对应的策略文件,送至策略文件服务模块;
9.策略文件服务模块将接受到的策略文件进行安全保存,并将该策略文件发送给策略决策服务模块;
10.策略决策服务模块依据获得地策略文件服务模块提供的策略文件(该决策文件包含用户标识、用户组权限、目标资源等信息)对接收到的访问请求进行决策处理,并将决策结果返回给策略执行服务模块;
11.策略执行服务模块依据策略决策服务模块提供的决策结果,做出该用户对目标资源的访问允许或拒绝,若用户对该目标资源操作被拒绝,则策略决策服务模块通过云资源访问控制部分的接口,依据访问拒绝标识,拒绝用户对目标云资源的访问;若用户对该目标资源操作被允许,则策略决策服务模块通过云资源访问控制部分的接口,依据访问允许标识,将允许用户对目标云资源访问。
该过程的成功实现,使得云服务提供商SP达到一种细粒度的资源访问控制效果,用户对资源的访问变的可管可控。
本发明未详细阐述部分属于本领域技术人员公知技术。
Claims (2)
1.一种面向多租户的身份托管鉴权云资源访问控制系统,其特征在于:将云服务提供商的云服务业务分为用户身份鉴权许可部分和基于用户组级的云资源访问控制部分;用户身份鉴权许可部分的许可业务托管给可信的第三方TIdP,并由TIdP负责管辖租户托管的用户信息和群组信息,完成托管用户的用户身份鉴权工作及生成包含身份识别信息的跨域安全凭证服务;基于用户组级的云资源访问控制部分主要负责对已完成用户身份鉴权许可业务的用户所在的群组进行相应权限分配,并拦截解析该群组内的用户对云资源的访问请求,依据群组的访问策略对该请求做出决策,然后执行该决策结果,实现对云资源安全用户组级别的访问权限的控制;
所述身份鉴权许可部分包括用户身份提供服务模块、用户身份验证服务模块、用户属性查询服务模块、数据通信服务模块和数据库;所述用户身份提供服务模块包括云服务提供商通信模块、生成断言模块和认证断言模块;
所述跨域安全凭证服务包括基于云模式单点登录服务的跨域安全凭证生成服务和基于跨域安全凭证的云模式单点登录服务;
在基于云模式单点登录服务的跨域安全凭证生成服务时,云服务提供商通信模块接收服务提供商传递的用户登录请求,将该请求中获得的用户身份验证信息发送至用户身份验证服务模块,该用户身份验证服务模块将用户身份验证信息作为查询条件传递给数据通信服务模块,数据通信服务模块通过查询数据源得到结果集,并将结果集判定是否为空的标志及用户标识、用户所在群组作为验证结果,返回至用户身份验证服务模块,至此用户身份验证服务模块完成用户身份的验证,并将验证结果返回至生成断言模块,该生成断言模块生成该用户的跨域安全凭据,作为用户进行跨域访问的凭据;
在基于跨域安全凭证的云模式单点登录服务时,云服务提供商通信模块接收服务提供商传递的跨域安全凭证的认证断言请求,并将该认证断言请求传递给认证断言模块,认证断言模块判断该断言请求有效性,若此断言请求有效则解析断言请求;该断言请求被解析后,将断言请求中的用户身份验证信息发送至用户身份验证服务模块,该用户身份验证服务模块将用户身份验证信息作为查询条件传递给数据通信服务模块,数据通信服务模块通过查询数据源得到结果集,并将结果集判定是否为空的标志返回至用户身份验证服务模块,至此用户身份验证服务模块完成用户身份的验证,并将验证结果返回至认证断言模块,作为用户已跨域登录的凭据;
所述云资源访问控制部分包括策略执行服务模块、策略决策服务模块、策略文件服务模块、用户组操作服务模块和数据目录服务模块;
策略执行服务模块,与云服务提供商云资源交互,云服务提供商将云资源访问控制请求,通过与云资源访问控制部分之间的接口,将该访问控制请求的相关信息传递到策略执行服务模块;策略执行服务模块依据决策结果,做出该用户对目标资源的访问允许或拒绝,并通过访问云资源访问控制部分的接口,将访问拒绝或允许标识返回至云服务提供商;策略执行服务模块还将接受的云资源访问控制请求转换为云资源访问控制标准格式,传递给策略决策服务模块,同时接收策略决策服务模块的决策结果;
策略决策服务模块,参考从策略文件服务模块提供的策略文件,对从策略执行服务模块接收到的访问请求进行决策,并将决策结果返回给策略执行服务模块,
策略文件服务模块,负责维护、保存策略,向策略建立服务模块发出策略请求,要求得到策略文件,并将这些策略文件安全的保存,作为策略决策服务做出决策的唯一标准,将策略文件发送给策略决策服务模块;
策略建立服务模块,负责生成策略,向用户组操作服务模块发出请求,要求得到用户组的权限,可控制的资源以及对资源的操作;根据不同的用户组具有的权限、资源以及对资源的操作生成不同的策略,送至策略文件服务模块;
用户组操作服务模块,对用户组以及用户组的策略权限的进行相关操作,包括添加、修改、删除,通过数据目录服务模块将这些操作产生的结果进行保存维护,以保证用户组数据的完整性以及维护策略与数据库中策略目录的对应关系;同时用户组操作模块也可以向数据目录服务模块发出请求,要求得到用户组的权限,可控制的资源以及对资源的操作,再将用户组的权限,资源以及对资源的操作发送给策略建立服务模块;
数据目录服务模块,维护一个数据库,该数据库存储云资源访问控制的策略目录,用户组列表以及一个管理员列表;在得到用户组操作服务模块请求后将用户组的权限,可控制的资源以及对资源的操作发送给用户组服务操作模块。
2.一种面向多租户的身份托管鉴权云资源访问控制方法,其特征在于包括:身份鉴权许可步骤和云资源访问控制步骤;用户完成身份鉴权许可步骤,即获得云模式下的单点登录服务,之后依据跨域安全凭证的用户信息,实现一种基于用户组级的云资源访问控制,使用户在可管可控的安全状态下访问云资源;其中身份鉴权许可步骤托管给可信的第三方TIdP;身份鉴权许可步骤包括:包括基于云模式单点登录服务的跨域安全凭证生成服务实现过程和基于跨域安全凭证的云模式单点登录服务实现过程;
所述基于云模式单点登录服务的跨域安全凭证生成服务实现过程如下:
(1)用户访问云服务提供商SP上的云资源,需要用户在SP上输入用户验证信息进行登录,SP生成一个被TIdP的公钥证书加密的登录请求,发送给TIdP;所述登录请求包含被TIdP公钥证书加密的SP的地址IP、用户验证信息;
(2)TIdP中SP通信模块接收SP传递的用户登录请求,用其私钥解密登陆请求,获得该请求的SP地址及用户身份验证信息,同时将用户身份验证信息发送至用户身份验证服务模块;
(3)用户身份验证服务模块将接受地用户身份验证信息作为查询条件传递给数据通信服务模块;
(4)数据通信服务模块通过查询数据源得到结果集,并判定结果集是否为空,若判定结果集为空,则立刻终止相关操作,并返回用户身份验证失败;若判定结果集不为空,则将用户标识、用户所在群组作为验证结果,返回至用户身份验证服务模块;
(5)用户身份验证服务模块将验证结果返回至生成断言模块,生成断言模块生成该用户的有效期的跨域安全凭据,并将该凭据传递给云服务提供商通信模块;
(6)云服务提供商通信模块通过在步骤(1)获得SP的地址IP,将该跨域安全凭证传送给SP,至此用户获得可多域内的互通访问的通行证;
所述基于跨域安全凭证的云模式单点登录服务的实现过程如下:
(1)用户在云服务提供商SP获得跨域安全凭证后,访问SP上的云资源时,SP解析跨域安全凭证获得云服务可信第三方TIdP的地址IP,并生成一个跨域安全凭证的认证断言请求,依据TIdP的地址将请求发送给TIdP;
(2)TIdP中云服务提供商通信模块接收SP传递的跨域安全凭证的认证断言请求,并将该认证断言请求中跨域安全凭证传递给认证断言模块;
(3)认证断言模块判断该断言请求的有效性,即认证断言的有效期和数字签名,若此断言请求认证无效,则立刻终止相关操作;若此断言请求认证有效,则解析该断言请求,将断言请求获得中的用户身份验证信息通过与用户身份验证服务模块之间的接口,发送至用户身份验证服务模块;所述用户身份验证信息包括用户标识、用户组类别;
(4)用户身份验证服务模块将接受的用户身份验证信息作为查询条件传递给数据通信服务模块;
(5)数据通信服务模块通过查询数据源获得结果集,并判定结果集是否为空,若判定结果集为空,则立刻终止相关操作,并返回断言认证失败,通过用户身份验证服务模块返回至用户身份提供服务模块中认证断言模块;若判定结果集不为空,则将断言认证成功标记作为验证结果,通过用户身份验证服务模块返回至用户身份提供服务模块;
(6)认证断言模块根据验证结果生成跨域安全凭证的认证断言响应,并将该断言响应传递给云服务提供商通信模块;
(7)云服务提供商通信模块依据获得SP地址,将该断言响应返回至用户访问的SP;
(8)SP对该断言响应进行验证,如果验证不通过,则用户不能登录目标网站,即用户单点登录失败;如果验证通过,则用户登录目标网站,即用户单点登录SP成功;
所述基于用户组级的云资源访问控制的实现过程如下:
(1)用户已成功登录SP后,用户可选择对SP中的云资源进行相应的操作,SP将依据不同的操作类型调用其内部的访问请求服务;
(2)访问请求服务依据安全跨域凭证的用户标识和用户组信息及该用户对目标云资源的操作,生成该用户的云资源访问控制请求,并通过与云资源访问控制部分之间的接口,将该访问控制请求的相关信息传递到访问控制部分中的策略执行服务模块;
(3)策略执行服务模块将接受的云资源访问控制请求转换为云资源访问控制标准格式,并传递给策略决策服务模块;
(4)策略决服务模块向策略文件服务模块发送策略请求,以获得可参考的策略文件;
(5)策略文件服务模块接收到策略请求后,依据接受的策略请求,查询已保存的策略,若存在该策略,则向策略决策服务模块返回该策略,并执行(10)—(11);若不存在,则向策略建立服务模块发送策略生成请求;
(6)策略建立服务模块接收到策略生成请求后,解析该请求获得用户标识、群组信息,并将解析得到的信息发送给用户组操作服务模块,以便获得该用户所在用户组的权限、可控制的资源及对资源的合法操作;
(7)用户组操作服务模块接受到用户标识、群组信息作为查询数据集,通过数据目录服务模块查询数据库,获得该用户所属用户组的权限、可控制的资源及对资源的合法操作,并将该用户所属用户组的权限、资源以及对资源的操作发送给策略建立服务模块;
(8)策略建立服务模块根据该用户组具有的权限、资源以及对资源的合法操作生成对应的策略,送至策略文件服务模块;
(9)策略文件服务模块将接受到的策略文件进行安全保存,并将该策略文件发送给策略决策服务模块;
(10)策略决策服务模块依据获得的策略文件服务模块提供的策略文件对接收到的访问请求进行决策处理,并将决策结果返回给策略执行服务模块;
(11)策略执行服务模块依据策略决策服务模块提供的决策结果,做出该用户对目标资源的访问允许或拒绝,若用户对该目标资源操作被拒绝,则策略决策服务模块通过云资源访问控制部分的接口,依据访问拒绝标识,拒绝用户对目标云资源的访问;若用户对该目标资源操作被允许,则策略决策服务模块通过云资源访问控制部分的接口,依据访问允许标识,将允许用户对目标云资源访问。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310530185.2A CN103532981B (zh) | 2013-10-31 | 2013-10-31 | 一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310530185.2A CN103532981B (zh) | 2013-10-31 | 2013-10-31 | 一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103532981A CN103532981A (zh) | 2014-01-22 |
| CN103532981B true CN103532981B (zh) | 2016-08-17 |
Family
ID=49934660
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310530185.2A Expired - Fee Related CN103532981B (zh) | 2013-10-31 | 2013-10-31 | 一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103532981B (zh) |
Families Citing this family (54)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015153383A1 (en) * | 2014-03-29 | 2015-10-08 | Akamai Technologies, Inc. | Traffic on-boarding for acceleration through out-of-band security authenticators |
| US9596267B2 (en) * | 2014-08-26 | 2017-03-14 | Microsoft Technology Licensing, Llc | Multi cloud policy enactment via organizations to cloud-provider partnerships |
| CN104270349A (zh) * | 2014-09-17 | 2015-01-07 | 广州中国科学院软件应用技术研究所 | 一种云计算多租户应用的隔离方法及装置 |
| US9898337B2 (en) | 2015-03-27 | 2018-02-20 | International Business Machines Corporation | Dynamic workload deployment for data integration services |
| CN104980441A (zh) * | 2015-06-26 | 2015-10-14 | 浪潮软件股份有限公司 | 一种实现租户鉴权机制的方法 |
| EP4236411A3 (en) | 2015-07-02 | 2023-10-04 | Convida Wireless, LLC | Content security at service layer |
| CN106487763B (zh) * | 2015-08-31 | 2020-01-10 | 腾讯科技(深圳)有限公司 | 一种基于云计算平台的数据访问方法及用户终端 |
| JP6449131B2 (ja) * | 2015-10-23 | 2019-01-09 | Kddi株式会社 | 通信装置、通信方法、およびコンピュータプログラム |
| CN106933648B (zh) * | 2015-12-31 | 2020-11-03 | 中国电信股份有限公司 | 用于多租户容器资源管理的方法和系统 |
| GB2547025A (en) * | 2016-02-05 | 2017-08-09 | Thales Holdings Uk Plc | A method of data transfer, a method of controlling use of data and a cryptographic device |
| US9892275B2 (en) * | 2016-03-10 | 2018-02-13 | Sap Se | Data encryption in a multi-tenant cloud environment |
| CN105871854B (zh) * | 2016-04-11 | 2018-11-20 | 浙江工业大学 | 基于动态授权机制的自适应云访问控制方法 |
| US10140434B2 (en) * | 2016-05-03 | 2018-11-27 | Microsoft Technology Licensing, Llc | Group-based external sharing of electronic data |
| US10484382B2 (en) * | 2016-08-31 | 2019-11-19 | Oracle International Corporation | Data management for a multi-tenant identity cloud service |
| US10616224B2 (en) * | 2016-09-16 | 2020-04-07 | Oracle International Corporation | Tenant and service management for a multi-tenant identity and data security management cloud service |
| CN106506500A (zh) * | 2016-11-10 | 2017-03-15 | 济南浪潮高新科技投资发展有限公司 | 一种基于saml和xacml的云计算统一身份认证的方法 |
| CN106341428A (zh) * | 2016-11-21 | 2017-01-18 | 航天信息股份有限公司 | 一种跨域访问控制方法和系统 |
| CN108243164B8 (zh) * | 2016-12-26 | 2021-10-15 | 航天网安技术(深圳)有限公司 | 一种电子政务云计算跨域访问控制方法和系统 |
| CN108259414B (zh) * | 2016-12-28 | 2021-03-16 | 中国移动通信集团公司 | 一种虚拟资源的管控方法及服务器 |
| CN107018128B (zh) * | 2017-03-07 | 2019-12-31 | 西安电子科技大学 | 一种基于多域协同架构第三方应用授权认证方法 |
| US10536450B2 (en) * | 2017-04-18 | 2020-01-14 | Microsoft Technology Licensing, Llc. | Personal identifier sign-in for organizational users |
| CN108021400B (zh) * | 2017-11-29 | 2022-03-29 | 腾讯科技(深圳)有限公司 | 数据处理方法及装置、计算机存储介质及设备 |
| CN108306877B (zh) * | 2018-01-30 | 2020-11-10 | 泰康保险集团股份有限公司 | 基于node js的用户身份信息的验证方法、装置和存储介质 |
| US10931656B2 (en) * | 2018-03-27 | 2021-02-23 | Oracle International Corporation | Cross-region trust for a multi-tenant identity cloud service |
| CN110197075B (zh) * | 2018-04-11 | 2023-03-17 | 腾讯科技(深圳)有限公司 | 资源访问方法、装置、计算设备以及存储介质 |
| CN110839002B (zh) * | 2018-08-15 | 2022-05-17 | 华为云计算技术有限公司 | 云的开户、认证及访问方法和设备 |
| CN111090839B (zh) * | 2018-10-23 | 2023-07-11 | 阿里巴巴集团控股有限公司 | 一种资源操作权限管理方法、装置、电子设备和存储介质 |
| CN109688162B (zh) * | 2019-02-19 | 2021-12-21 | 浪潮通用软件有限公司 | 一种多租户的数据分库实现方法和系统 |
| US11792226B2 (en) | 2019-02-25 | 2023-10-17 | Oracle International Corporation | Automatic api document generation from scim metadata |
| CN109981288B (zh) * | 2019-03-26 | 2021-11-09 | 中国人民大学 | 一种基于聚合签名的细粒度云服务端快速对外证明方法 |
| CN110493301A (zh) * | 2019-06-19 | 2019-11-22 | 莫毓昌 | 用于云组合和云用户协商服务交付的通用架构平台 |
| CN110300104B (zh) * | 2019-06-21 | 2021-10-22 | 山东超越数控电子股份有限公司 | 一种边缘云场景下用户权限控制与转移方法及系统 |
| US11283837B2 (en) * | 2019-07-03 | 2022-03-22 | Microsoft Technology Licensing, Llc. | Domain-application attribution |
| US11687378B2 (en) | 2019-09-13 | 2023-06-27 | Oracle International Corporation | Multi-tenant identity cloud service with on-premise authentication integration and bridge high availability |
| US11870770B2 (en) | 2019-09-13 | 2024-01-09 | Oracle International Corporation | Multi-tenant identity cloud service with on-premise authentication integration |
| CN111030805B (zh) * | 2019-10-31 | 2022-12-27 | 苏州浪潮智能科技有限公司 | 一种防盗链的方法及装置 |
| CN110881039B (zh) * | 2019-11-27 | 2022-06-21 | 杭州安恒信息技术股份有限公司 | 一种云安全管理系统 |
| CN111241519B (zh) * | 2020-01-19 | 2022-07-26 | 北京工业大学 | 基于证书的访问控制系统和方法 |
| CN111488594B (zh) * | 2020-03-03 | 2023-11-03 | 杭州未名信科科技有限公司 | 一种基于云服务器的权限检查方法、装置、存储介质及终端 |
| CN112073400A (zh) * | 2020-08-28 | 2020-12-11 | 腾讯科技(深圳)有限公司 | 一种访问控制方法、系统、装置及计算设备 |
| CN112187799B (zh) * | 2020-09-28 | 2023-04-07 | 京东科技控股股份有限公司 | 资源访问策略生成方法及装置、存储介质、电子设备 |
| CN112235400B (zh) * | 2020-10-14 | 2024-02-02 | 腾讯科技(深圳)有限公司 | 通信方法、通信系统、装置、服务器及存储介质 |
| CN112580006A (zh) * | 2020-12-24 | 2021-03-30 | 中国建设银行股份有限公司 | 一种多云系统的访问权限控制方法、装置及认证服务器 |
| CN112995163B (zh) * | 2021-02-10 | 2023-05-05 | 北京金山云网络技术有限公司 | 资源访问的鉴权方法及装置、存储介质、电子设备 |
| CN112995165B (zh) * | 2021-02-10 | 2023-04-14 | 北京金山云网络技术有限公司 | 资源访问的鉴权方法及装置、存储介质、电子设备 |
| CN113065108B (zh) * | 2021-04-16 | 2022-05-17 | 支付宝(杭州)信息技术有限公司 | 用户权限的管理、应用运行方法及装置 |
| CN114422201B (zh) * | 2021-12-28 | 2022-11-08 | 北京永信至诚科技股份有限公司 | 一种网络靶场大规模用户远程接入方法和系统 |
| CN114338149B (zh) * | 2021-12-28 | 2022-12-27 | 北京深盾科技股份有限公司 | 一种服务器的登录凭据授权方法、终端及密钥托管平台 |
| CN114362371A (zh) * | 2022-01-06 | 2022-04-15 | 南方电网数字电网研究院有限公司 | 一种基于云安全资源池的物联网安全防护系统 |
| CN114553484A (zh) * | 2022-01-18 | 2022-05-27 | 国电南瑞科技股份有限公司 | 一种基于二维安全标记的双重访问权限控制方法及系统 |
| CN114666126A (zh) * | 2022-03-21 | 2022-06-24 | 阿里云计算有限公司 | 资源管理方法、装置、服务器及系统 |
| CN115174148B (zh) * | 2022-06-02 | 2023-11-24 | 宇文道静 | 面向云计算和信息安全的云服务管理方法及人工智能平台 |
| WO2024037224A1 (zh) * | 2022-08-15 | 2024-02-22 | 华为云计算技术有限公司 | 一种基于云计算技术的云资源访问控制方法及云管理平台 |
| CN117371030A (zh) * | 2023-09-27 | 2024-01-09 | 上海嗨普智能信息科技股份有限公司 | 一种多租户被受限地访问对象存储方法以及管理系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012170016A1 (en) * | 2011-06-07 | 2012-12-13 | Hewlett-Packard Development Company, L.P. | A scalable multi-tenant network architecture for virtualized datacenters |
| CN103179115A (zh) * | 2013-03-18 | 2013-06-26 | 中国科学院信息工程研究所 | 一种面向云电视终端跨云应用的云服务访问控制方法 |
| CN103237235A (zh) * | 2013-03-18 | 2013-08-07 | 中国科学院信息工程研究所 | 一种面向云电视终端身份认证实现方法及系统 |
| CN103327002A (zh) * | 2013-03-06 | 2013-09-25 | 西安电子科技大学 | 基于属性的云存储访问控制系统 |
-
2013
- 2013-10-31 CN CN201310530185.2A patent/CN103532981B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012170016A1 (en) * | 2011-06-07 | 2012-12-13 | Hewlett-Packard Development Company, L.P. | A scalable multi-tenant network architecture for virtualized datacenters |
| CN103327002A (zh) * | 2013-03-06 | 2013-09-25 | 西安电子科技大学 | 基于属性的云存储访问控制系统 |
| CN103179115A (zh) * | 2013-03-18 | 2013-06-26 | 中国科学院信息工程研究所 | 一种面向云电视终端跨云应用的云服务访问控制方法 |
| CN103237235A (zh) * | 2013-03-18 | 2013-08-07 | 中国科学院信息工程研究所 | 一种面向云电视终端身份认证实现方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103532981A (zh) | 2014-01-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103532981B (zh) | 一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法 | |
| US10523656B2 (en) | Session migration between network policy servers | |
| KR100953092B1 (ko) | Sso서비스 방법 및 시스템 | |
| US20040199768A1 (en) | System and method for enabling enterprise application security | |
| CN105791272A (zh) | 一种物联网中的安全通信方法及装置 | |
| US9825938B2 (en) | System and method for managing certificate based secure network access with a certificate having a buffer period prior to expiration | |
| CN101321064A (zh) | 一种基于数字证书技术的信息系统的访问控制方法及装置 | |
| CN101686127A (zh) | 一种新型的USBKey安全调用方法和USBKey装置 | |
| CN103384198B (zh) | 一种基于邮箱的用户身份认证服务方法和系统 | |
| CN101764742A (zh) | 一种网络资源访问控制系统及方法 | |
| JP2006053923A5 (zh) | ||
| US9081982B2 (en) | Authorized data access based on the rights of a user and a location | |
| CN104767731A (zh) | 一种Restful移动交易系统身份认证防护方法 | |
| CN106911627B (zh) | 一种基于eID的真实身份安全控制方法及其系统 | |
| CN103152179A (zh) | 一种适用于多应用系统的统一身份认证方法 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| CN102571873B (zh) | 一种分布式系统中的双向安全审计方法及装置 | |
| CN108881309A (zh) | 大数据平台的访问方法、装置、电子设备及可读存储介质 | |
| KR20060032888A (ko) | 인터넷 통한 신원정보 관리 장치 및 이를 이용한 서비스제공방법 | |
| CN108881218B (zh) | 一种基于云存储管理平台的数据安全增强方法及系统 | |
| CN111010396A (zh) | 一种互联网身份认证管理方法 | |
| Chae et al. | A study on secure user authentication and authorization in OAuth protocol | |
| EP2631837B1 (de) | Verfahren zur Erzeugung eines Pseudonyms mit Hilfe eines ID-Tokens | |
| CN106877996A (zh) | Pki域内的用户访问ibc域内的资源的认证密钥协商方法 | |
| CN115460228A (zh) | 一种医疗数据的访问控制方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160817 Termination date: 20181031 |