CN105429999B - 基于云平台的统一身份认证系统 - Google Patents
基于云平台的统一身份认证系统 Download PDFInfo
- Publication number
- CN105429999B CN105429999B CN201510955250.5A CN201510955250A CN105429999B CN 105429999 B CN105429999 B CN 105429999B CN 201510955250 A CN201510955250 A CN 201510955250A CN 105429999 B CN105429999 B CN 105429999B
- Authority
- CN
- China
- Prior art keywords
- account
- entity
- virtual
- nis
- domains
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于云平台的统一身份认证系统,其包括:管理子系统(101),对用户、虚拟计算资源、虚拟软件资源、虚拟身份对象进行集中管理,并负责用户与虚拟对象的关联关系管理;映射子系统(102),对所述管理子系统(101)所管理的虚拟对象与实体对象施加映射;访问控制子系统(103),对实施映射后的实体对象的权限进行定义;数据存储子系统(104),对管理子系统(101)使用的数据、实体AD域数据、实体NIS域数据进行存储,其中所述用户具有AD域账号和NIS域账号,所述实体对象包括实体AD组和实体NIS组,AD是指活动目录,NIS指代网络信息服务。通过采用上述统一身份认证系统,有效地解决了统一认证之后资源访问权限的管理和控制问题。
Description
技术领域
本发明涉及认证技术领域,具体涉及一种对用户实行认证的基于云平台的统一身份认证系统。
背景技术
传统的统一身份认证能够实现在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统,一次登录,资源尽享。大多数统一身份认证产品基于传统应用的统一认证,故对云平台、云资源的统一认证和授权能力比较薄弱。另外,大多数统一身份认证产品授权粒度只精确到应用、设备、主机,通俗说就是用户是否有权连接某个IP地址+端口,而实体内部资源的访问权限还需要在实体内部进行分配和管理。因此,针对各应用来说,在认证及登陆完成后,需由各应用系统自身的权限控制模块进行用户行为的进一步控制。
统一身份认证,又称4A:认证Authentication、账号Account、授权Authorization、审计Audit,也就是将身份认证、授权、审计和账号(即不可否认性及数据完整性)定义为网络安全的四大组成部分,从而确立了身份认证在整个网络安全系统中的地位与作用。统一身份认证产品一般包含如下功能:
集中帐号(account)管理:为用户提供统一集中的帐号管理,支持管理的资源包括主流的操作系统、网络设备和应用系统;不仅能够实现被管理资源帐号的创建、删除及同步等帐号管理生命周期所包含的基本功能,而且也可以通过平台进行帐号密码策略,密码强度、生存周期的设定。
集中认证(authentication)管理:可以根据用户应用的实际需要,为用户提供不同强度的认证方式,既可以保持原有的静态口令方式,又可以提供具有双因子认证方式的高强度认证(一次性口令、数字证书、动态口令),而且还能够集成现有其它如生物特征等新型的认证方式。不仅可以实现用户认证的统一管理,并且能够为用户提供统一的认证门户,实现企业信息资源访问的单点登录。
集中权限(authorization)管理:可以对用户的资源访问权限进行集中控制。它既可以实现对B/S、C/S应用系统资源的访问权限控制,也可以实现对数据库、主机及网络设备的操作的权限控制,资源控制类型既包括B/S的URL、C/S的功能模块,也包括数据库的数据、记录及主机、网络设备的操作命令、IP地址及端口。
集中审计(audit)管理:将用户所有的操作日志集中记录管理和分析,不仅可以对用户行为进行监控,并且可以通过集中的审计数据进行数据挖掘,以便于事后的安全事故责任的认定。
市场上统一身份认证产品和技术已经非常成熟,比如IBM Tivoli IdentityManager、Microsoft Active Directory以及很多开源的产品,很多公司基于这些产品或者类似理念进行开发、二次开发实施,而实现了统一身份认证。这些产品能轻易实现多个系统的统一登录认证,但是对于统一登录认证的各子系统中不同的资源,还缺乏对具体业务系统资源进一步安全控制的手段,特别是针对云资源中不同用户对不同昂贵计算资源和数据资源的访问权限缺乏有效的管理和控制。
为此,经过长期理论研究和实践积累,本案的发明人开发出一种基于云平台的统一身份认证方案,很好地解决了统一认证之后不同协调的资源访问权限管理和控制问题。
发明内容
为了解决上述问题,本发明的目的旨在提供一种基于云平台的统一身份认证系统,借助于统一身份认证实现实体内部资源级授权后,实体内部资源的访问权限不需要在实体内部进行分配和管理或将实体内部资源的访问权限保存在实体内部,并且与统一身份认证平台保持一致,从而有效地解决了统一认证之后资源访问权限的管理和控制问题。
为了实现上述发明目的,本发明提供了如下技术方案。
本发明提供一种基于云平台的统一身份认证系统,其包括管理子系统、映射子系统、访问控制子系统和数据存储子系统,其中,
所述管理子系统对用户、虚拟计算资源、虚拟软件资源、虚拟身份对象进行集中管理,并负责用户与虚拟对象的关联关系管理;
所述映射子系统对所述管理子系统所管理的虚拟对象与实体对象施加映射,对虚拟对象和实体对象的映射关系进行管理,从而提供基于Windows系列操作系统的AD域、基于Unix/Solaris/Linux系列操作系统的NIS域的集中管理,并提供计算资源、专业软件资源的集中管理;
所述访问控制子系统对经所述映射子系统实施映射后的实体对象的权限进行定义,根据用户的身份安全需求,定义域账号组访问专业软件资源、数据资源、计算资源操作系统的权限,从而实现用户权限的定义;和
所述数据存储子系统对管理子系统使用的数据、实体AD域数据、实体NIS域数据进行存储,
其中所述用户具有AD域账号和NIS域账号,所述实体对象包括实体AD组和实体NIS组,AD是指活动目录,NIS指代网络信息服务。
根据本发明的统一身份认证系统,所述管理子系统进一步包括:
用户管理模块,对自然人身份信息进行管理,提供对人员从入职、调职、离职等业务场景下的人员信息管理,其主要包括用户创建、认证凭证维护、用户维护和用户状态管理;
虚拟对象管理模块,对虚拟的AD域账号、虚拟的NIS域账号、虚拟AD账号组、虚拟NIS账号组、虚拟计算资源、虚拟专业软件资源进行管理;和
关联关系管理模块,对用户与虚拟对象之间的关联关系进行管理,其主要包括:用户与虚拟AD账号映射管理、虚拟AD账号与虚拟AD账号组关系管理、用户与虚拟NIS账号映射管理、虚拟NIS账号与虚拟NIS账号组关系管理。
根据本发明的统一身份认证系统,所述映射子系统进一步包括AD域管理对象映射装置和NIS域管理对象映射装置,其中所述AD域管理对象映射装置对Windows平台的实体实施映射;所述NIS域管理对象映射装置对Unix系列平台的实体实施映射。
根据本发明的统一身份认证系统,所述访问控制子系统包括:授权装置、虚拟鉴权装置和实体账号认证和鉴权装置,其中
所述授权装置用于对账号组授予角色以及对角色授予访问专业软件的权限,作为用户的认证信息;
所述虚拟鉴权装置对访问云平台门户的用户进行认证,并响应于用户所访问的专业软件资源、数据资源请求,通过云平台数据库对所述用户进行虚拟鉴权;
所述实体账号认证和鉴权装置在虚拟鉴权装置的虚拟鉴权完成后,对以AD域账号或者NIS域账号访问的用户进行实体账号认证和实体账号鉴权,其包括对用户进行第一层虚拟账号鉴权,识别虚拟账号是否拥有相应的角色后,对用户进行第二层的实体账号鉴权,识别相应的角色是否拥有所访问的专业软件的权限,其中,第二层鉴权对用户透明。
进一步地,根据本发明的统一身份认证系统,所述实体账号认证和鉴权装置根据所服务的操作系统的不同具体分为AD域实体账号认证和鉴权模块和NIS域实体账号认证和鉴权模块两个子模块,其中所述AD域实体账号认证和鉴权模块对AD账号通过LDAPs协议进行实体账号认证和实体账号鉴权,NIS域实体账号认证和鉴权模块对NIS账号通过SSH协议进行实体账号认证和实体账号鉴权。
进一步地,根据本发明的统一身份认证系统,所述授权装置包括用于对Windows平台的实体进行权限定义的AD域管理对象授权模块、以及对NIS的权限进行定义的NIS域管理对象授权模块。
进一步地,根据本发明的统一身份认证系统,所述用户通过http/https协议访问云平台门户。
进一步地,根据本发明的统一身份认证系统,所述AD域账号聚合成为AD账号组,所述NIS账号聚合成为NIS账号组,将不同软件的操作组合为不同的权限,并将其抽象化为角色,通过将角色授予账号组,从而账号组中的账号具备角色所拥有的权限。
优选地,根据本发明的统一身份认证系统,所述统一身份认证系统通过AD目录服务API采用LDAP V3协议与AD域服务器实现集成,通过Shell脚本采用SSH协议与NIS服务器实现集成。
本发明在云平台中建立了完整、统一的统一身份认证系统,对身份管理体系中的主体、客体、角色、操作映射出虚拟主体、虚拟客体、虚拟角色、虚拟操作,并将云平台中的管理结果映射至实体AD域、实体NIS域,从而建立起适合于SaaS云的身份安全体系,有效地解决了统一认证之后资源访问权限的管理和控制问题。
附图说明
图1为本发明的云平台的总体架构图。
图2为本发明的基于云平台的统一身份认证系统的工作原理图。
图3为本发明的基于云平台的统一身份认证系统的结构框图。
图4为本发明的基于云平台的统一身份认证系统中访问控制子系统的结构框图。
图5为本发明的基于云平台的统一身份认证系统的两种集成方式原理图,其中图5(a)为本发明的基于云平台的统一身份认证系统与AD域的集成原理图;图5(b)为本发明的基于云平台的统一身份认证系统与NIS域的集成原理图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
如附图1所示,为本发明的云平台的总体架构图。本发明的云平台已将不同操作系统的计算资源、不同的数据资源、不同平台的专业软件资源部署在云端,用户(例如科研人员)通过云客户端访问云平台,执行专业软件,专业软件访问相对应的数据资源,平台的管理员使用计算资源的操作系统账号访问计算资源对计算资源进行运维管控。上述资源包括应用的功能模块、HTML页面、数据库表或字段、主机内的文件或目录等。
另外,某些场合,为了保障诸如特种领域研究数据等机密数据和数据所在计算资源的安全,采用集中、统一的身份安全方案对用户(例如,科研人员和管理员)的访问进行控制是云平台安全稳定运行的基础。在建立某些特种行业研究云平台(以下简称云平台)的研究中,为了管理不同用户对不同计算资源和数据资源的访问权限,以及满足科研人员需要安全的访问不同平台、不同操作系统下的多类专业软件的需求,需要建立一套基于云平台的身份安全体系。不同计算资源和数据资源拥有不同的身份安全管理机制,而每个特种稀缺软件也拥有独立的用户管理和访问控制机制,集中、统一的身份安全体系是支撑云平台运行的关键技术,为云平台提供坚实的安全保障。
作为云安全中的重要部分,身份安全是云平台安全的核心,本案的发明人通过对云平台的身份安全需求的研究,从满足云平台的身份安全需求和适合云计算的复杂环境出发,设计并实现了基于映射的身份安全体系。
具体地,本发明为云平台设计的身份安全体系(即,统一身份认证系统)是利用基于角色的访问控制模型(RBAC)来实现的,通过对RBAC模型的创新性扩展,设计并实现了云计算环境下的基于映射的身份安全模型,从而建立了适用于复杂SaaS云的身份安全体系,实现了统一认证后对云资源访问权限的管理和控制。
通过对云平台中的计算资源、数据资源、专业软件资源的分析研究,云平台中存在四种身份载体:
1)计算资源的操作系统账号;
2)数据资源的访问用户;
3)专业软件资源的用户;
4)虚拟化平台的用户。
进一步分析可知,计算资源的操作系统允许通过域账号访问,数据资源同样允许通过域账号访问,专业软件资源的用户通过与操作系统结合,也可以通过域账号实现,虚拟化平台的用户也能够实现与域的集成。因此,可确定域账号作为本发明的身份安全体系的账号载体,基于AD(Active Directory(活动目录)的英文缩写)域在Windows系列操作系统中的用户管理能力和NIS(‘NetworkInformationService(网络信息服务)’的英文缩写)域在Unix/Solaris/Linux系列操作系统中的用户管理能力,选择AD域和NIS域作为身份安全体系的账号管理平台,考虑到不同域账号间数据资源的共享,本发明将域账号按照一定的规则聚合为账号组,实现对共享数据的多个账号的批量管理。
不同组织机构拥有各自独立的AD域,不同组织机构拥有各自独立的NIS域,所有这些AD域、NIS域分散,而且平台不同,将给管理带来很多的困扰,为了集中、统一的管理身份安全体系,本发明在云平台中建立了完整、统一的身份安全控制台,对身份管理体系中的主体、客体、角色、操作映射出虚拟主体、虚拟客体、虚拟角色、虚拟操作,并将云平台中的管理结果映射至实体AD域、实体NIS域,从而建立起适合于SaaS云的身份安全体系。
如图2所示,为本发明的基于云平台的统一身份认证系统的工作原理图。如该图2所示,用户在云平台中代表一个自然人,每个员工或者外协人员都可以成为一个用户,域账号则是指用户在不同资源中的代表,角色表示对资源不同操作的组合,客体是指系统中的资源,具体指计算资源、数据资源、专业软件资源。
用户拥有AD域账号和NIS域账号,AD域账号聚合成为AD账号组,NIS账号聚合成为NIS账号组,操作是访问执行,对不同软件的操作组合成为不同的权限,本发明中将其抽象化为角色,通过将角色授予账号组,从而实现了账号组中的账号拥有角色所拥有的权限。
本发明的基于云平台的统一身份认证系统采用双层访问控制,从授权方面讲,第一层授权,管理员对账号组授予角色,第二层授权,管理员对角色授予访问专业软件的权限。从鉴权方面讲,当用户访问云平台时,云平台通过数据库对用户进行第一层虚拟账号鉴权,识别虚拟账号是否拥有相应的角色,然后,域对用户进行第二层的实体账号鉴权,识别相应的角色是否拥有所访问的专业软件的权限,其中,第二层鉴权对用户透明。
图3为本发明的基于云平台的统一身份认证系统的结构框图。如该图3所示,本发明的基于云平台的统一身份认证系统主要包括四个子系统,其分别为:管理子系统101、映射子系统102、访问控制子系统103和数据存储子系统104。其中,
管理子系统101用于集中管理用户、虚拟计算资源(主机)、虚拟软件资源、虚拟身份对象,并负责用户与虚拟对象的关联关系管理。管理子系统101的设置目的是将本发明提供的基于云平台的统一身份认证系统中的主体(域账号、账号组)、客体(计算资源、软件资源)进行虚拟,从而能够集中、统一地对虚拟对象进行独立管理。而为了进行简化和优化,本发明中将角色由账号组实现,故将角色授予账号组的操作得以简化,通过将权限授予账号组即可实现角色授权。
映射子系统102用于对管理子系统101所管理的虚拟对象与实体对象施加映射,对虚拟对象和实体对象的映射关系进行管理,从而提供基于Windows系列操作系统的AD域、基于Unix/Solaris/Linux系列操作系统的NIS域的集中管理,提供计算资源、专业软件资源的集中管理。
访问控制子系统103对经所述映射子系统(102)实施映射后的实体对象的权限进行定义,根据身份安全需求,定义域账号组访问专业软件资源、数据资源、计算资源操作系统的权限,实现用户权限的定义,其中所述实体对象包括实体AD组和实体NIS组。
数据存储子系统104提供管理子系统101使用的数据、实体AD域数据、实体NIS域数据的存储。
进一步地,本发明的上述管理子系统101可以包含用户管理模块1011、虚拟对象管理模块1012、以及关联关系管理模块1013。
用户管理模块1011用于对自然人身份信息的管理,提供对人员从入职、调职、离职等业务场景下的人员信息管理,其主要包括用户创建、认证凭证维护、用户维护和用户状态管理。
虚拟对象管理模块1012用于对虚拟的AD域账号、虚拟的NIS域账号、虚拟AD账号组、虚拟NIS账号组、虚拟计算资源、虚拟专业软件资源进行管理。
关联关系管理模块1013主要用于对用户与虚拟对象之间的关联关系进行管理,其主要包括:用户与虚拟AD账号映射管理、虚拟AD账号与虚拟AD账号组关系管理、用户与虚拟NIS账号映射管理、虚拟NIS账号与虚拟NIS账号组关系管理。
进一步地,本发明的上述映射子系统102可以包括:AD域管理对象映射装置1021、NIS域管理对象映射装置1022。
其中AD域管理对象映射装置1021用于对Windows平台的实体实施映射。例如,对实体AD组与实体AD账号实施映射。具体地,上述AD域管理对象映射装置1021配置成将虚拟AD帐号映射至实体AD帐号,将虚拟AD组映射至实体AD组,并将虚拟AD帐号与虚拟AD组的关系映射至实体AD帐号与实体AD组的关系中。
NIS域管理对象映射装置1022用于对Unix系列平台的实体实施映射。例如,NIS域管理对象映射装置1022对NIS的权限进行定义(计算、数据、专业软件资源)。具体地,上述NIS域管理对象映射装置1022配置成将虚拟NIS帐号映射至实体NIS帐号,将虚拟NIS组映射至实体NIS组,并将虚拟NIS帐号与虚拟NIS组的关系映射至实体NIS帐号与实NIS组的关系中。
进一步地,如图4所示,为本发明的基于云平台的统一身份认证系统的访问控制子系统的结构框图。本发明的统一身份认证系统的访问控制子系统103主要包括:授权装置1031、虚拟鉴权装置1032和实体账号认证和鉴权装置1033。其中
授权装置1031用于对账号组授予角色以及对角色授予访问专业软件的权限,作为用户的认证信息。授权装置1031包括用于对Windows平台的实体进行权限定义(计算、数据、专业软件资源)的AD域管理对象授权模块和用于对NIS的权限进行定义(计算、数据、专业软件资源)的NIS域管理对象授权模块两个子模块。其中
上述AD域管理对象授权模块配置成基于虚拟AD帐号,将虚拟AD组赋予虚拟AD帐号,通过映射,将实体AD组赋予实体AD账号,并基于实体AD组,将计算资源、数据资源和专业软件资源的访问权授予实体AD组。
上述NIS域管理对象授权模块配置成基于虚拟NIS帐号,将虚拟NIS组赋予虚拟NIS帐号,通过映射,将实体NIS组赋予实体NIS账号,并基于实体NIS组,将计算资源、数据资源和专业软件资源的访问权授予实体NIS组。
如上文所述,本发明中,用户拥有AD域账号和NIS域账号,AD域账号聚合成为AD账号组,NIS账号聚合成为NIS账号组,操作通过访问来执行,将不同软件的操作组合为不同的权限,并将其抽象化为角色,通过将角色授予账号组,从而实现了账号组中的账号具有角色所拥有的权限。
虚拟鉴权装置1032对访问云平台门户的用户进行认证,并响应于用户所访问的专业软件资源、数据资源请求,通过云平台数据库对所述用户进行虚拟鉴权。其中,优选地,所述用户通过http/https协议访问云平台门户。
实体账号认证和鉴权装置1033用于对用户进行第一层虚拟账号鉴权,识别虚拟账号是否拥有相应的角色后,对用户进行第二层的实体账号鉴权,识别相应的角色是否拥有所访问的专业软件的权限,其中,第二层鉴权对用户透明。该实体账号认证和鉴权装置1033根据所服务的操作系统的不同具体分为AD域实体账号认证和鉴权模块和NIS域实体账号认证和鉴权模块两个子模块。
上述实体账号认证和鉴权装置1033在虚拟鉴权装置1032的虚拟鉴权完成后,对以AD域账号或者NIS域账号访问的用户进行实体账号认证和实体账号鉴权。其中,AD域实体账号认证和鉴权模块对AD账号通过LDAPs协议进行实体账号认证和实体账号鉴权,NIS域实体账号认证和鉴权模块对NIS账号通过SSH协议进行实体账号认证和实体账号鉴权。
在本发明中,管理员通过http/https协议访问云平台控制台,对虚拟的Windows平台账号授权时,通过AD Server Interface,以LDAPs协议访问AD域,将授权结果映射至AD域中,实现对实体AD域账号的授权,管理员对虚拟的Linux平台账号授权时,通过NIS ServerInterface,以SSH协议访问NIS域,将授权结果映射至NIS域中,实现对实体NIS域账号的授权。
另外,鉴于AD域和NIS域的标准化和通用性,本发明的具有上述结构的统一身份认证系统能够支持大多数的企业内的计算资源、数据资源、软件资源的授权管理需求。
图5为本发明的基于云平台的统一身份认证系统(亦可称为云身份安全控制台)的两种集成方式,其中图5(a)为本发明的统一身份认证系统与AD域的集成原理图,图5(b)为本发明的统一身份认证系统与NIS域的集成原理图。
AD域集成实现
本发明的统一身份认证系统(即,云身份安全控制台)通过AD目录服务API(Application Programming Interface的缩写,其含义为‘应用程序编程接口’)与AD域服务器实现集成,其访问协议采用LDAP V3协议,其具体集成原理如图5(a)所示。
NIS域集成实现
本发明的统一身份认证系统(即,云身份安全控制台)通过Shell脚本与NIS服务器实现集成,其访问协议采用SSH协议,其具体集成原理如图5(b)所示。
本发明集成了AD、NIS等域用户管理软件,实现对Windows、Unix、Linux等全方位操作系统的支持,而且授权粒度精确到应用、设备、主机内的资源。
作为本发明技术方案的一个具体应用,通过对昂贵的云资源进行统一登录认证、访问授权管理,实现一套资源多个科研人员同时登录访问和使用,从而大大节省这种特种资源的采购费用。例如,勘探领域某些地质图层渲染软件,每用户License费用高达几十甚至上百万,上千个科研人员需要使用的。如果为每个科研人员采购一套License,明显不现实;如果让分布在各地的科研人员集中在某台主机上让排队轮流使用,无法满足科研需要。如果用了本发明的基于云平台统一身份认证技术,就可以通过采购少量的License部署在云端,每个科研人员通过云统一身份认证登录访问和使用这些昂贵的软件。另外,假设10个License运行在云端,每个科研人员60分钟内只需要使用软件核心功能1分钟,60分钟内就可以支持600个科研人员使用该昂贵的云资源,对于单个科研人员来说好像自己独立拥有和使用一套资源License。
因此,本发明的实际技术效果或所带来的经济效益是显而易见的。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本发明的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本发明的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种基于云平台的统一身份认证系统,其特征在于包括管理子系统(101)映射子系统(102)、访问控制子系统(103)和数据存储子系统(104),其中,
所述管理子系统(101)对用户、虚拟计算资源、虚拟软件资源、虚拟身份对象进行集中管理,并负责用户与虚拟对象的关联关系管理;
所述映射子系统(102)对所述管理子系统(101)所管理的虚拟对象与实体对象施加映射,对虚拟对象和实体对象的映射关系进行管理,从而提供基于Windows系列操作系统的AD域、基于Unix/Solaris/Linux系列操作系统的NIS域的集中管理,并提供计算资源、专业软件资源的集中管理;
所述访问控制子系统(103)对经所述映射子系统(102)实施映射后的实体对象的权限进行定义,根据用户的身份安全需求,定义域账号组访问专业软件资源、数据资源、计算资源操作系统的权限,从而实现用户权限的定义;
所述数据存储子系统(104)对管理子系统(101)使用的数据、实体AD域数据、实体NIS域数据进行存储,
其中所述用户具有AD域账号和NIS域账号,所述实体对象包括实体AD组和实体NIS组,AD是指活动目录,NIS指代网络信息服务。
2.根据权利要求1所述的统一身份认证系统,其特征在于,所述管理子系统(101)进一步包括:
用户管理模块(1011),对自然人身份信息进行管理,提供对人员从入职、调职、离职业务场景下的人员信息管理,其包括用户创建、认证凭证维护、用户维护和用户状态管理;
虚拟对象管理模块(1012),对虚拟的AD域账号、虚拟的NIS域账号、虚拟AD账号组、虚拟NIS账号组、虚拟计算资源、虚拟专业软件资源进行管理;和
关联关系管理模块(1013),对用户与虚拟对象之间的关联关系进行管理,其包括:用户与虚拟AD账号映射管理、虚拟AD账号与虚拟AD账号组关系管理、用户与虚拟NIS账号映射管理、虚拟NIS账号与虚拟NIS账号组关系管理。
3.根据权利要求1所述的统一身份认证系统,其特征在于,所述映射子系统(102)进一步包括AD域管理对象映射装置(1021)和NIS域管理对象映射装置(1022),其中所述AD域管理对象映射装置(1021)对Windows平台的实体实施映射;所述NIS域管理对象映射装置(1022)对Unix系列平台的实体实施映射。
4.根据权利要求1所述的统一身份认证系统,其特征在于,所述访问控制子系统(103)包括:授权装置(1031)、虚拟鉴权装置(1032)和实体账号认证和鉴权装置(1033),其中
所述授权装置(1031)对账号组授予角色以及对角色授予访问专业软件的权限,作为用户的认证信息;
所述虚拟鉴权装置(1032)对访问云平台门户的用户进行认证,并响应于用户所访问的专业软件资源、数据资源请求,通过云平台数据库对所述用户进行虚拟鉴权;
所述实体账号认证和鉴权装置(1033)在虚拟鉴权装置(1032)的虚拟鉴权完成后,对以AD域账号或者NIS域账号访问的用户进行实体账号认证和实体账号鉴权,其包括对用户进行第一层虚拟账号鉴权,识别虚拟账号是否拥有相应的角色后,对用户进行第二层的实体账号鉴权,识别相应的角色是否拥有所访问的专业软件的权限,其中,第二层鉴权对用户透明。
5.根据权利要求4所述的统一身份认证系统,其特征在于,所述实体账号认证和鉴权装置(1033)根据所服务的操作系统的不同具体分为AD域实体账号认证和鉴权模块和NIS域实体账号认证和鉴权模块两个子模块,其中所述AD域实体账号认证和鉴权模块对AD账号通过LDAPs协议进行实体账号认证和实体账号鉴权,NIS域实体账号认证和鉴权模块对NIS账号通过SSH协议进行实体账号认证和实体账号鉴权。
6.根据权利要求4所述的统一身份认证系统,其特征在于,所述授权装置(1031)包括用于对Windows平台的实体进行权限定义的AD域管理对象授权模块、以及对NIS的权限进行定义的NIS域管理对象授权模块。
7.根据权利要求4所述的统一身份认证系统,其特征在于,所述用户通过http/https协议访问云平台门户。
8.根据权利要求1-7之一所述的统一身份认证系统,其特征在于,所述AD域账号聚合成为AD账号组,所述NIS账号聚合成为NIS账号组,将不同软件的操作组合为不同的权限,并将其抽象化为角色,通过将角色授予账号组,从而账号组中的账号具备角色所拥有的权限。
9.根据权利要求1-7之一所述的统一身份认证系统,其特征在于,所述统一身份认证系统通过AD目录服务API采用LDAP V3协议与AD域服务器实现集成,通过Shell脚本采用SSH协议与NIS服务器实现集成。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510955250.5A CN105429999B (zh) | 2015-12-17 | 2015-12-17 | 基于云平台的统一身份认证系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510955250.5A CN105429999B (zh) | 2015-12-17 | 2015-12-17 | 基于云平台的统一身份认证系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105429999A CN105429999A (zh) | 2016-03-23 |
| CN105429999B true CN105429999B (zh) | 2018-09-25 |
Family
ID=55507940
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510955250.5A Active CN105429999B (zh) | 2015-12-17 | 2015-12-17 | 基于云平台的统一身份认证系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105429999B (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107330020B (zh) * | 2017-06-20 | 2020-03-24 | 电子科技大学 | 一种基于结构和属性相似度的用户实体解析方法 |
| CN107172098A (zh) * | 2017-07-12 | 2017-09-15 | 郑州云海信息技术有限公司 | 一种cifs共享的权限管理方法和装置 |
| CN107508818A (zh) * | 2017-09-04 | 2017-12-22 | 安徽国广数字科技有限公司 | 一种基于应用角色的统一认证平台反向授权方法 |
| CN109510849B (zh) * | 2017-09-14 | 2021-06-25 | 腾讯科技(深圳)有限公司 | 云存储的帐号鉴权方法和装置 |
| CN107450976A (zh) * | 2017-09-20 | 2017-12-08 | 北京仿真中心 | 一种高性能计算系统的用户统一管理方法 |
| CN108377200B (zh) * | 2018-01-19 | 2020-05-05 | 北京大学 | 基于ldap与slurm的云用户管理方法及系统 |
| CN112329899B (zh) * | 2018-03-12 | 2022-09-13 | 重庆文理学院 | 一种高效准确的防走失定位方法 |
| CN108418827B (zh) * | 2018-03-15 | 2020-11-03 | 北京知道创宇信息技术股份有限公司 | 网络行为分析方法以及装置 |
| CN108491500A (zh) * | 2018-03-20 | 2018-09-04 | 新华三云计算技术有限公司 | 数据库接入方法及装置 |
| CN109768967A (zh) * | 2018-12-18 | 2019-05-17 | 北京可信华泰信息技术有限公司 | 一种可信平台连接系统 |
| CN110557406A (zh) * | 2019-10-08 | 2019-12-10 | 浪潮软件股份有限公司 | 一种基于Keycloak角色权限控制系统的方法 |
| CN113515330B (zh) * | 2020-04-10 | 2024-04-26 | 南方电网科学研究院有限责任公司 | 一种基于国产密码技术的云桌面安全认证方法、系统 |
| CN113347202A (zh) * | 2021-06-25 | 2021-09-03 | 南方电网科学研究院有限责任公司 | 一种集中账号管控平台的账号识别管理系统 |
| CN113839960B (zh) * | 2021-11-25 | 2022-03-11 | 云账户技术(天津)有限公司 | 资源和接口权限的管理方法、系统和存储介质 |
| CN115189958B (zh) * | 2022-07-18 | 2024-01-19 | 西安热工研究院有限公司 | 一种实现多级架构之间认证漫游和鉴权的方法 |
| CN117009353A (zh) * | 2023-07-28 | 2023-11-07 | 达州领投信息技术有限公司 | 一种基于云平台的金融大数据信息存储方法及设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101587566A (zh) * | 2008-05-22 | 2009-11-25 | 许新朋 | 基于SOA、Web2.0和BI的信息处理方法及系统 |
| CN101727552A (zh) * | 2008-10-16 | 2010-06-09 | 国际商业机器公司 | 联合环境中启用数字权限管理的策略管理的方法和系统 |
| CN102857501A (zh) * | 2012-08-28 | 2013-01-02 | 曙光信息产业(北京)有限公司 | 一种用户身份认证系统及其认证方法 |
| CN103312721A (zh) * | 2013-07-04 | 2013-09-18 | 北京迈普华兴信息技术有限公司 | 一种云平台访问控制架构及其实现方法 |
| CN104243154A (zh) * | 2013-06-07 | 2014-12-24 | 腾讯科技(深圳)有限公司 | 服务器用户权限集中控制系统及方法 |
-
2015
- 2015-12-17 CN CN201510955250.5A patent/CN105429999B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101587566A (zh) * | 2008-05-22 | 2009-11-25 | 许新朋 | 基于SOA、Web2.0和BI的信息处理方法及系统 |
| CN101727552A (zh) * | 2008-10-16 | 2010-06-09 | 国际商业机器公司 | 联合环境中启用数字权限管理的策略管理的方法和系统 |
| CN102857501A (zh) * | 2012-08-28 | 2013-01-02 | 曙光信息产业(北京)有限公司 | 一种用户身份认证系统及其认证方法 |
| CN104243154A (zh) * | 2013-06-07 | 2014-12-24 | 腾讯科技(深圳)有限公司 | 服务器用户权限集中控制系统及方法 |
| CN103312721A (zh) * | 2013-07-04 | 2013-09-18 | 北京迈普华兴信息技术有限公司 | 一种云平台访问控制架构及其实现方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105429999A (zh) | 2016-03-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105429999B (zh) | 基于云平台的统一身份认证系统 | |
| CN105577656B (zh) | 一种基于云平台的统一身份认证方法 | |
| CN105516160B (zh) | 一种域管理对象映射装置及统一身份认证系统 | |
| US9529993B2 (en) | Policy-driven approach to managing privileged/shared identity in an enterprise | |
| US10270741B2 (en) | Personal authentication and access | |
| US9787659B2 (en) | Techniques for secure access management in virtual environments | |
| CN109643242A (zh) | 用于多租户hadoop集群的安全设计和架构 | |
| CN105812350B (zh) | 一种跨平台单点登录系统 | |
| CN109670768A (zh) | 多业务域的权限管理方法、装置、平台及可读存储介质 | |
| CN110417820A (zh) | 单点登录系统的处理方法、装置及可读存储介质 | |
| CN104836803B (zh) | 基于session机制的单点登录方法 | |
| DE112012002741T5 (de) | Identitäts- und Berechtigungsprüfungsverfahren für die Sicherheit einer Cloud-Datenverarbeitungsplattform | |
| CN103152179A (zh) | 一种适用于多应用系统的统一身份认证方法 | |
| CN108111473A (zh) | 混合云统一管理方法、装置和系统 | |
| CN103763369B (zh) | 一种基于san存储系统的多重权限分配方法 | |
| CN103986734B (zh) | 一种适用于高安全性业务系统的鉴权管理方法和系统 | |
| CN111010396A (zh) | 一种互联网身份认证管理方法 | |
| CN107395577A (zh) | 一种大型电力企业薪酬安全系统 | |
| CN110708298A (zh) | 集中管理动态实例身份和访问的方法及装置 | |
| Hamza et al. | Identity and access management system: a web-based approach for an enterprise | |
| CN105991575A (zh) | 云桌面的登陆方法及系统 | |
| Collins | Access controls | |
| CN109639649A (zh) | 一种单点登录方法 | |
| Chandrasekaran et al. | Distributed access control in cloud computing systems | |
| CN110414213A (zh) | 一种基于keycloak的对运维管理系统中权限管理的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 1002-1, 10th floor, No.56, Beisihuan West Road, Haidian District, Beijing 100080 Patentee after: Ronglian Technology Group Co., Ltd Address before: 100080, Beijing, Haidian District, No. 56 West Fourth Ring Road, glorious Times Building, 10, 1002-1 Patentee before: UNITED ELECTRONICS Co.,Ltd. |
|
| CP03 | Change of name, title or address |