CN105516160A - 一种域管理对象映射装置及统一身份认证系统 - Google Patents
一种域管理对象映射装置及统一身份认证系统 Download PDFInfo
- Publication number
- CN105516160A CN105516160A CN201510955378.1A CN201510955378A CN105516160A CN 105516160 A CN105516160 A CN 105516160A CN 201510955378 A CN201510955378 A CN 201510955378A CN 105516160 A CN105516160 A CN 105516160A
- Authority
- CN
- China
- Prior art keywords
- account
- virtual
- nis
- entity
- group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种基于云平台的域管理对象映射装置及统一身份认证系统,所述域管理对象映射装置对虚拟对象与实体对象施加映射,对虚拟对象和实体对象的映射关系进行管理,并将资源的访问权限授予实体组,所述域管理对象包括AD域管理对象和NIS域管理对象,所述域管理对象映射装置包括:账号映射模块;虚拟组映射模块;对应关系映射模块;虚拟对象赋予模块;实体对象赋予模块;以及权限授予模块。通过采用上述基于云平台的域管理对象映射装置及统一身份认证系统,有效地解决了统一认证之后资源访问权限的管理和控制问题。
Description
技术领域
本发明涉及认证技术领域,具体涉及一种基于云平台的域管理对象映射装置及统一身份认证系统。
背景技术
传统的统一身份认证能够实现在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统,一次登录,资源尽享。大多数统一身份认证产品基于传统应用的统一认证,故对云平台、云资源的统一认证和授权能力比较薄弱。另外,大多数统一身份认证产品授权粒度只精确到应用、设备、主机,通俗说就是用户是否有权连接某个IP地址+端口,而实体内部资源的访问权限还需要在实体内部进行分配和管理。因此,针对各应用来说,在认证及登陆完成后,需由各应用系统自身的权限控制模块进行用户行为的进一步控制。
统一身份认证,又称4A:认证Authentication、账号Account、授权Authorization、审计Audit,也就是将身份认证、授权、审计和账号(即不可否认性及数据完整性)定义为网络安全的四大组成部分,从而确立了身份认证在整个网络安全系统中的地位与作用。统一身份认证产品一般包含如下功能:
集中帐号(account)管理:为用户提供统一集中的帐号管理,支持管理的资源包括主流的操作系统、网络设备和应用系统;不仅能够实现被管理资源帐号的创建、删除及同步等帐号管理生命周期所包含的基本功能,而且也可以通过平台进行帐号密码策略,密码强度、生存周期的设定。
集中认证(authentication)管理:可以根据用户应用的实际需要,为用户提供不同强度的认证方式,既可以保持原有的静态口令方式,又可以提供具有双因子认证方式的高强度认证(一次性口令、数字证书、动态口令),而且还能够集成现有其它如生物特征等新型的认证方式。不仅可以实现用户认证的统一管理,并且能够为用户提供统一的认证门户,实现企业信息资源访问的单点登录。
集中权限(authorization)管理:可以对用户的资源访问权限进行集中控制。它既可以实现对B/S、C/S应用系统资源的访问权限控制,也可以实现对数据库、主机及网络设备的操作的权限控制,资源控制类型既包括B/S的URL、C/S的功能模块,也包括数据库的数据、记录及主机、网络设备的操作命令、IP地址及端口。
集中审计(audit)管理:将用户所有的操作日志集中记录管理和分析,不仅可以对用户行为进行监控,并且可以通过集中的审计数据进行数据挖掘,以便于事后的安全事故责任的认定。
市场上统一身份认证产品和技术已经非常成熟,比如IBMTivoliIdentityManager、MicrosoftActiveDirectory以及很多开源的产品,很多公司基于这些产品或者类似理念进行开发、二次开发实施,而实现了统一身份认证。这些产品能轻易实现多个系统的统一登录认证,但是对于统一登录认证的各子系统中不同的资源,还缺乏对具体业务系统资源进一步安全控制的手段,特别是针对云资源中不同用户对不同昂贵计算资源和数据资源的访问权限缺乏有效的管理和控制。
为此,经过长期理论研究和实践积累,本案的发明人开发出一种基于云平台的统一身份认证方案,很好地解决了统一认证之后不同协调的资源访问权限管理和控制问题。
发明内容
为了解决上述问题,本发明的目的旨在提供一种基于云平台的域管理对象映射装置及统一身份认证系统,借助于统一身份认证实现实体内部资源级授权后,实体内部资源的访问权限不需要在实体内部进行分配和管理或将实体内部资源的访问权限保存在实体内部,并且与统一身份认证平台保持一致,从而有效地解决了统一认证之后不同协调的资源访问权限管理和控制问题。
为了实现上述发明目的,本发明提供了如下技术方案。
本发明的第一方面,提供一种基于云平台的域管理对象映射装置,对虚拟对象与实体对象施加映射,对虚拟对象和实体对象的映射关系进行管理,并将资源的访问权限授予实体组,所述域管理对象包括AD域管理对象和NIS域管理对象,所述域管理对象映射装置包括:
账号映射模块,将虚拟AD帐号映射至实体AD帐号,或将虚拟NIS帐号映射至实体NIS帐号;
虚拟组映射模块,将虚拟AD组映射至实体AD组,或将虚拟NIS组映射至实体NIS组;
对应关系映射模块,将虚拟AD帐号与虚拟AD组的关系映射至实体AD帐号与实体AD组的关系中,或将虚拟NIS帐号与虚拟NIS组的关系映射至实体NIS帐号与实NIS组的关系;
虚拟对象赋予模块,基于虚拟AD帐号将虚拟AD组赋予虚拟AD帐号,或基于虚拟NIS帐号将虚拟NIS组赋予虚拟NIS帐号;
实体对象赋予模块,通过映射将实体AD组赋予实体AD账号,或通过映射将实体NIS组赋予实体NIS账号;以及
权限授予模块,基于实体AD组将计算资源、数据资源和专业软件资源的访问权授予实体AD组,或基于实体NIS组将计算资源、数据资源和专业软件资源的访问权授予实体NIS组,
其中AD是指活动目录,NIS指代网络信息服务。
优选地,根据本发明的域管理对象映射装置,其中所述NIS由服务器端和客户端组成,所述服务器端包含一个主服务器和一个从服务器,所述客户端包含多个客户端主机操作系统;所述AD使用结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。
优选地,根据本发明的域管理对象映射装置,其中对虚拟的Windows平台账号授权时,通过ADServerInterface,以LDAPs协议访问AD域,将授权结果映射至AD域中,实现对实体AD域账号的授权;对虚拟的Linux平台账号授权时,通过NISServerInterface,以SSH协议访问NIS域,将授权结果映射至NIS域中,实现对实体NIS域账号的授权。
本发明的第二方面,提供一种基于云平台的统一身份认证系统,其包括:
信息管理装置,用于集中管理用户、虚拟计算资源、虚拟软件资源、虚拟身份对象,并负责用户与虚拟对象的关联关系管理;
本发明的上文所述的任意一种域管理对象映射装置,其中该域管理对象映射装置对所述信息管理装置管理的虚拟对象与实体对象施加映射;以及
认证鉴权装置,对访问云平台门户的用户进行认证,并响应于用户所访问的专业软件资源、数据资源请求,通过云平台数据库对所述用户进行虚拟鉴权,对用户进行第一层虚拟账号鉴权,识别虚拟账号是否拥有相应的角色后,域对用户进行第二层的实体账号鉴权,识别相应的角色是否拥有所访问的专业软件的权限,其中,第二层鉴权对用户透明,
所述信息管理装置使用的数据、实体AD域数据、实体NIS域数据存储在云平台的预设数据库中。
优选地,根据本发明的统一身份认证系统,所述认证鉴权装置具体分为AD域认证鉴权模块和NIS域认证鉴权模块两个子模块,其中AD域认证鉴权模块对AD账号通过LDAPs协议进行实体账号认证和实体账号鉴权,NIS域认证鉴权模块对NIS账号通过SSH协议进行实体账号认证和实体账号鉴权。
优选地,根据本发明的统一身份认证系统,所述信息管理装置包含:
用户管理模块,对自然人身份信息的管理,提供对人员从入职、调职、离职等业务场景下的人员信息管理,其主要包括用户创建、认证凭证维护、用户维护和用户状态管理;
虚拟对象管理模块,对虚拟的AD域账号、虚拟的NIS域账号、虚拟AD账号组、虚拟NIS账号组、虚拟计算资源、虚拟专业软件资源进行管理;和
关联关系管理模块,对用户与虚拟对象之间的关联关系进行管理,其主要包括:用户与虚拟AD账号映射管理、虚拟AD账号与虚拟AD账号组关系管理、用户与虚拟NIS账号映射管理、虚拟NIS账号与虚拟NIS账号组关系管理。
进一步地,根据本发明的统一身份认证系统,所述用户通过http/https协议访问云平台门户,用户拥有AD域账号和NIS域账号,所述AD域账号聚合成为AD账号组,所述NIS账号聚合成为NIS账号组,将不同软件的操作组合为不同的权限,并将其抽象化为角色,通过将角色授予账号组,从而账号组中的账号具备角色所拥有的权限。
进一步地,根据本发明的统一身份认证系统,所述统一身份认证系统通过AD目录服务API采用LDAPV3协议与AD域服务器实现集成,通过Shell脚本采用SSH协议与NIS服务器实现集成。
根据本发明的域管理对象映射装置及统一身份认证系统,对身份管理体系中的主体、客体、角色、操作映射出虚拟主体、虚拟客体、虚拟角色、虚拟操作,并将云平台中的管理结果映射至实体AD域、实体NIS域,从而建立起适合于SaaS云的身份安全体系,有效地解决了统一认证之后不同协调的资源访问权限管理和控制问题。
附图说明
图1为本发明的云平台的总体架构图。
图2为本发明的基于云平台的统一身份认证系统的工作原理图。
图3为本发明的基于云平台的统一身份认证系统的结构框图。
图4为本发明的基于云平台的域管理对象映射装置的结构示意图。
图5为本发明的基于云平台的统一身份认证系统的两种集成方式原理图,其中图5(a)为本发明的基于云平台的统一身份认证系统与AD域的集成原理图;图5(b)为本发明的基于云平台的统一身份认证系统与NIS域的集成原理图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
如附图1所示,为本发明的云平台的总体架构图。本发明的云平台已将不同操作系统的计算资源、不同的数据资源、不同平台的专业软件资源部署在云端,用户(例如科研人员)通过云客户端访问云平台,执行专业软件,专业软件访问相对应的数据资源,平台的管理员使用计算资源的操作系统账号访问计算资源对计算资源进行运维管控。上述资源包括应用的功能模块、HTML页面、数据库表或字段、主机内的文件或目录等。针对各应用来说,在认证及登陆完成后,可由各应用系统自身的权限控制模块进行用户行为的进一步控制或由统一身份认证平台进行用户行为的进一步控制。
另外,某些场合,为了保障诸如特种领域研究数据等机密数据和数据所在计算资源的安全,采用集中、统一的身份安全方案对用户(例如,科研人员和管理员)的访问进行控制是云平台安全稳定运行的基础。在建立某些特种行业研究云平台(以下简称云平台)的研究中,为了管理不同用户对不同计算资源和数据资源的访问权限,以及满足科研人员需要安全的访问不同平台、不同操作系统下的多类专业软件的需求,需要建立一套基于云平台的身份安全体系。不同计算资源和数据资源拥有不同的身份安全管理机制,而每个特种稀缺软件也拥有独立的用户管理和访问控制机制,集中、统一的身份安全体系是支撑云平台运行的关键技术,为云平台提供坚实的安全保障。
作为云安全中的重要部分,身份安全是云平台安全的核心,本案的发明人通过对云平台的身份安全需求的研究,从满足云平台的身份安全需求和适合云计算的复杂环境出发,设计并实现了基于映射的身份安全体系。
具体地,本发明为云平台设计的身份安全体系是利用基于角色的访问控制模型(RBAC)来实现的,通过对RBAC模型的创新性扩展,设计并实现了云计算环境下的基于映射的身份安全模型,从而建立了适用于复杂SaaS云的身份安全体系,实现了统一认证后对云资源访问权限的管理和控制。
通过对云平台中的计算资源、数据资源、专业软件资源的分析研究,云平台中存在四种身份载体:
1)计算资源的操作系统账号;
2)数据资源的访问用户;
3)专业软件资源的用户;
4)虚拟化平台的用户。
进一步分析可知,计算资源的操作系统允许通过域账号访问,数据资源同样允许通过域账号访问,专业软件资源的用户通过与操作系统结合,也可以通过域账号实现,虚拟化平台的用户也能够实现与域的集成。因此,可确定域账号作为本发明的身份安全体系的账号载体,基于AD(ActiveDirectory(活动目录)的英文缩写)域在Windows系列操作系统中的用户管理能力和NIS(‘NetworkInformationService(网络信息服务)’的英文缩写)域在Unix/Solaris/Linux系列操作系统中的用户管理能力,选择AD域和NIS域作为身份安全体系的账号管理平台,考虑到不同域账号间数据资源的共享,本发明将域账号按照一定的规则聚合为账号组,实现对共享数据的多个账号的批量管理。
不同组织机构拥有各自独立的AD域,不同组织机构拥有各自独立的NIS域,所有这些AD域、NIS域分散,而且平台不同,将给管理带来很多的困扰,为了集中、统一的管理身份安全体系,本发明在云平台中建立了完整、统一的身份安全控制台,对身份管理体系中的主体、客体、角色、操作映射出虚拟主体、虚拟客体、虚拟角色、虚拟操作,并将云平台中的管理结果映射至实体AD域、实体NIS域,从而建立起适合于SaaS云的身份安全体系。
如图2所示,为本发明的基于云平台的统一身份认证系统的工作原理图。如该图2所示,用户在云平台中代表一个自然人,每个员工或者外协人员都可以成为一个用户,域账号则是指用户在不同资源中的代表,角色表示对资源不同操作的组合,客体是指系统中的资源,具体指计算资源、数据资源、专业软件资源。
用户拥有AD域账号和NIS域账号,AD域账号聚合成为AD账号组,NIS账号聚合成为NIS账号组,操作是访问执行,对不同软件的操作组合成为不同的权限,本发明中将其抽象化为角色,通过将角色授予账号组,从而实现了账号组中的账号具有角色所拥有的权限。
本发明的基于云平台的统一身份认证系统采用双层访问控制,从授权方面讲,第一层授权,管理员对账号组授予角色,第二层授权,管理员对角色授予访问专业软件的权限。从鉴权方面讲,当用户访问云平台时,云平台通过数据库对用户进行第一层虚拟账号鉴权,识别虚拟账号是否拥有相应的角色,然后,域对用户进行第二层的实体账号鉴权,识别相应的角色是否拥有所访问的专业软件的权限,其中,第二层鉴权对用户透明。
图3为本发明的基于云平台的统一身份认证系统的结构框图。如该图3所示,本发明的基于云平台的统一身份认证系统主要包括:信息管理装置101、域管理对象映射装置102、认证鉴权装置103。其中,
信息管理装置101用于集中管理用户、虚拟计算资源(主机)、虚拟软件资源、虚拟身份对象,并负责用户与虚拟对象的关联关系管理。信息管理装置101的设置目的是将本发明提供的基于云平台的统一身份认证系统中的主体(域账号、账号组)、客体(计算资源、软件资源)进行虚拟,从而能够集中、统一地对虚拟对象进行独立管理。而为了进行简化和优化,本发明中将角色由账号组实现,故将角色授予账号组的操作得以简化,通过将权限授予账号组即可实现角色授权。其中,该信息管理装置101使用的数据、实体AD域数据、实体NIS域数据存储在云平台的预设数据库中。
域管理对象映射装置102用于对信息管理装置101所管理的虚拟对象与实体对象施加映射,对虚拟对象和实体对象的映射关系进行管理,并将资源的访问权限授予实体组,所述授权包括:对账号组授予角色的第一层授权和对角色授予访问专业软件的权限的第二层授权,其中域管理对象包括AD域管理对象和NIS域管理对象。
认证鉴权装置103对访问云平台门户的用户进行认证,并响应于用户所访问的专业软件资源、数据资源请求,通过云平台数据库对所述用户进行虚拟鉴权,对用户进行第一层虚拟账号鉴权,识别虚拟账号是否拥有相应的角色后,域对用户进行第二层的实体账号鉴权,识别相应的角色是否拥有所访问的专业软件的权限,其中,第二层鉴权对用户透明。
优选地,所述用户通过http/https协议访问云平台门户。
在本发明中,根据所服务的操作系统的不同,所述认证鉴权装置103具体分为AD域认证鉴权模块和NIS域认证鉴权模块两个子模块,其中AD域认证鉴权模块对AD账号通过LDAPs协议进行实体账号认证和实体账号鉴权,NIS域认证鉴权模块对NIS账号通过SSH协议进行实体账号认证和实体账号鉴权。
如上文所述,本发明中,用户拥有AD域账号和NIS域账号,AD域账号聚合成为AD账号组,NIS账号聚合成为NIS账号组,操作通过访问来执行,将不同软件的操作组合为不同的权限,并将其抽象化为角色,通过将角色授予账号组,从而实现了账号组中的账号拥有角色所拥有的权限。
另外,鉴于AD域和NIS域的标准化和通用性,本发明的具有上述结构的统一身份认证系统能够支持大多数企业内的计算资源、数据资源、软件资源的授权管理需求。
进一步地,本发明的上述信息管理装置101可以包含用户管理模块、虚拟对象管理模块、以及关联关系管理模块,其中
用户管理模块用于对自然人身份信息进行管理,提供对人员从入职、调职、离职等业务场景下的人员信息管理,其主要包括用户创建、认证凭证维护、用户维护和用户状态管理。
虚拟对象管理模块用于对虚拟的AD域账号、虚拟的NIS域账号、虚拟AD账号组、虚拟NIS账号组、虚拟计算资源、虚拟专业软件资源进行管理。
关联关系管理模块主要用于对用户与虚拟对象之间的关联关系进行管理,其主要包括:用户与虚拟AD账号映射管理、虚拟AD账号与虚拟AD账号组关系管理、用户与虚拟NIS账号映射管理、虚拟NIS账号与虚拟NIS账号组关系管理。
优选地,所述域管理对象映射装置102具体包括:对Windows平台的实体实施映射,例如,对实体AD组与实体AD账号实施映射;以及用于对Unix系列平台的实体实施映射,例如,对NIS的权限进行定义(计算、数据、专业软件资源)。
在本发明中,活动目录(ActiveDirectory,缩写为‘AD’)是面向WindowsStandardServer、WindowsEnterpriseServer以及WindowsDatacenterServer的目录服务。ActiveDirectory存储了有关网络对象的信息,ActiveDirectory使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。映射机制的前提是建立访问控制系统用户与虚拟AD帐号的一对一关联关系。
另外,在本发明中,NIS即网络信息系统(NetworkInformationSystem)提供了通用数据库访问设施,可以实现向网络上的所有主机分发信息,比如象passwd和groups文件所包含的信息。NIS是基于RPC的,是由一个服务器、一个客户端库以及几个管理工具组成。NIS由服务器端和客户端组成,服务器端包含一个主服务器和一个从服务器,客户端包含多个客户端主机操作系统。映射机制的前提是建立访问控制系统用户与虚拟NIS帐号的一对多关联关系。
图4为本发明的域管理对象映射装置的结构框图。如该图4所示,本发明的域管理对象映射装置102进一步包括:
账号映射模块1021,用于将虚拟AD帐号映射至实体AD帐号,或将虚拟NIS帐号映射至实体NIS帐号;
虚拟组映射模块1022,用于将虚拟AD组映射至实体AD组,或将虚拟NIS组映射至实体NIS组;
对应关系映射模块1023,用于将虚拟AD帐号与虚拟AD组的关系映射至实体AD帐号与实体AD组的关系中,或将虚拟NIS帐号与虚拟NIS组的关系映射至实体NIS帐号与实NIS组的关系;
虚拟对象赋予模块1024,基于虚拟AD帐号将虚拟AD组赋予虚拟AD帐号,或基于虚拟NIS帐号将虚拟NIS组赋予虚拟NIS帐号;
实体对象赋予模块1025,通过映射将实体AD组赋予实体AD账号,或通过映射将实体NIS组赋予实体NIS账号;以及
权限授予模块1026,基于实体AD组将计算资源、数据资源和专业软件资源的访问权授予实体AD组,或基于实体NIS组将计算资源、数据资源和专业软件资源的访问权授予实体NIS组。
优选地,在本发明的域管理对象映射装置102中,管理员通过http/https协议访问云平台,对虚拟的Windows平台账号授权时,通过ADServerInterface,以LDAPs协议访问AD域,将授权结果映射至AD域中,实现对实体AD域账号的授权;而当管理员对虚拟的Linux平台账号授权时,通过NISServerInterface,以SSH协议访问NIS域,将授权结果映射至NIS域中,实现对实体NIS域账号的授权。
图5为本发明的基于云平台的统一身份认证系统(亦可称为云身份安全控制台)的两种集成方式,其中图5(a)为本发明的统一身份认证系统与AD域的集成原理图,图5(b)为本发明的统一身份认证系统与NIS域的集成原理图。
AD域集成实现
本发明的统一身份认证系统(即,云身份安全控制台)通过AD目录服务API(ApplicationProgrammingInterface的缩写,其含义为‘应用程序编程接口’)与AD域服务器实现集成,其访问协议采用LDAPV3协议,其具体集成原理如图5(a)所示。
NIS域集成实现
本发明的统一身份认证系统(即,云身份安全控制台)通过Shell脚本与NIS服务器实现集成,其访问协议采用SSH协议,其具体集成原理如图5(b)所示。
本发明集成了AD、NIS等域用户管理软件,实现对Windows、Unix、Linux等全方位操作系统的支持,而且授权粒度精确到应用、设备、主机内的资源。
作为本发明技术方案的一个具体应用,通过对昂贵的云资源进行统一登录认证、访问授权管理,实现一套资源多个科研人员同时登录访问和使用,从而大大节省这种特种资源的采购费用。例如,勘探领域某些地质图层渲染软件,每用户License费用高达几十甚至上百万,上千个科研人员需要使用的。如果为每个科研人员采购一套License,明显不现实;如果让分布在各地的科研人员集中在某台主机上让排队轮流使用,无法满足科研需要。如果用了本发明的基于云平台统一身份认证技术,就可以通过采购少量的License部署在云端,每个科研人员通过云统一身份认证登录访问和使用这些昂贵的软件。另外,假设10个License运行在云端,每个科研人员60分钟内只需要使用软件核心功能1分钟,60分钟内就可以支持600个科研人员使用该昂贵的云资源,对于单个科研人员来说好像自己独立拥有和使用一套资源License。
因此,本发明的实际技术效果或所带来的经济效益是显而易见的。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本发明的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本发明的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种基于云平台的域管理对象映射装置,其特征在于,所述域管理对象映射装置对虚拟对象与实体对象施加映射,对虚拟对象和实体对象的映射关系进行管理,并将资源的访问权限授予实体组,所述域管理对象包括AD域管理对象和NIS域管理对象,所述域管理对象映射装置包括:
账号映射模块,将虚拟AD帐号映射至实体AD帐号,或将虚拟NIS帐号映射至实体NIS帐号;
虚拟组映射模块,将虚拟AD组映射至实体AD组,或将虚拟NIS组映射至实体NIS组;
对应关系映射模块,将虚拟AD帐号与虚拟AD组的关系映射至实体AD帐号与实体AD组的关系中,或将虚拟NIS帐号与虚拟NIS组的关系映射至实体NIS帐号与实NIS组的关系;
虚拟对象赋予模块,基于虚拟AD帐号将虚拟AD组赋予虚拟AD帐号,或基于虚拟NIS帐号将虚拟NIS组赋予虚拟NIS帐号;
实体对象赋予模块,通过映射将实体AD组赋予实体AD账号,或通过映射将实体NIS组赋予实体NIS账号;以及
权限授予模块,基于实体AD组将计算资源、数据资源和专业软件资源的访问权授予实体AD组,或基于实体NIS组将计算资源、数据资源和专业软件资源的访问权授予实体NIS组,
其中AD是指活动目录,NIS指代网络信息服务。
2.根据权利要求1所述的域管理对象映射装置,其特征在于,所述NIS由服务器端和客户端组成,所述服务器端包含一个主服务器和一个从服务器,所述客户端包含多个客户端主机操作系统;所述AD使用结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。
3.根据权利要求1或2所述的域管理对象映射装置,其特征在于,
对虚拟的Windows平台账号授权时,通过ADServerInterface,以LDAPs协议访问AD域,将授权结果映射至AD域中,实现对实体AD域账号的授权;对虚拟的Linux平台账号授权时,通过NISServerInterface,以SSH协议访问NIS域,将授权结果映射至NIS域中,实现对实体NIS域账号的授权。
4.一种基于云平台的统一身份认证系统,其特征在于包括:
信息管理装置,用于集中管理用户、虚拟计算资源、虚拟软件资源、虚拟身份对象,并负责用户与虚拟对象的关联关系管理;
如权利要求1-3之一所述的域管理对象映射装置,其中该域管理对象映射装置对所述信息管理装置管理的虚拟对象与实体对象施加映射;以及
认证鉴权装置,对访问云平台门户的用户进行认证,并响应于用户所访问的专业软件资源、数据资源请求,通过云平台数据库对所述用户进行虚拟鉴权,对用户进行第一层虚拟账号鉴权,识别虚拟账号是否拥有相应的角色后,域对用户进行第二层的实体账号鉴权,识别相应的角色是否拥有所访问的专业软件的权限,其中,第二层鉴权对用户透明,
所述信息管理装置使用的数据、实体AD域数据、实体NIS域数据存储在云平台的预设数据库中。
5.根据权利要求4所述的统一身份认证系统,其特征在于,所述认证鉴权装置具体分为AD域认证鉴权模块和NIS域认证鉴权模块两个子模块,其中AD域认证鉴权模块对AD账号通过LDAPs协议进行实体账号认证和实体账号鉴权,NIS域认证鉴权模块对NIS账号通过SSH协议进行实体账号认证和实体账号鉴权。
6.根据权利要求4所述的统一身份认证系统,其特征在于,所述信息管理装置包含:
用户管理模块,对自然人身份信息的管理,提供对人员从入职、调职、离职等业务场景下的人员信息管理,其主要包括用户创建、认证凭证维护、用户维护和用户状态管理;
虚拟对象管理模块,对虚拟的AD域账号、虚拟的NIS域账号、虚拟AD账号组、虚拟NIS账号组、虚拟计算资源、虚拟专业软件资源进行管理;和
关联关系管理模块,对用户与虚拟对象之间的关联关系进行管理,其主要包括:用户与虚拟AD账号映射管理、虚拟AD账号与虚拟AD账号组关系管理、用户与虚拟NIS账号映射管理、虚拟NIS账号与虚拟NIS账号组关系管理。
7.根据权利要求4-6之一所述的统一身份认证系统,其特征在于,所述用户通过http/https协议访问云平台门户,用户拥有AD域账号和NIS域账号,所述AD域账号聚合成为AD账号组,所述NIS账号聚合成为NIS账号组,将不同软件的操作组合为不同的权限,并将其抽象化为角色,通过将角色授予账号组,从而账号组中的账号具备角色所拥有的权限。
8.根据权利要求4-6之一所述的统一身份认证系统,其特征在于,所述统一身份认证系统通过AD目录服务API采用LDAPV3协议与AD域服务器实现集成,通过Shell脚本采用SSH协议与NIS服务器实现集成。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510955378.1A CN105516160B (zh) | 2015-12-17 | 2015-12-17 | 一种域管理对象映射装置及统一身份认证系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510955378.1A CN105516160B (zh) | 2015-12-17 | 2015-12-17 | 一种域管理对象映射装置及统一身份认证系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105516160A true CN105516160A (zh) | 2016-04-20 |
CN105516160B CN105516160B (zh) | 2018-10-02 |
Family
ID=55723796
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510955378.1A Active CN105516160B (zh) | 2015-12-17 | 2015-12-17 | 一种域管理对象映射装置及统一身份认证系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105516160B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106230850A (zh) * | 2016-08-26 | 2016-12-14 | 芜湖创易科技有限公司 | 一种统一身份认证平台 |
CN107071016A (zh) * | 2017-03-30 | 2017-08-18 | 上海斐讯数据通信技术有限公司 | 一种云ac管理平台及其多域认证源管理方法 |
CN107454087A (zh) * | 2017-08-10 | 2017-12-08 | 中国民航信息网络股份有限公司 | 在线分销接口平台系统 |
CN109286611A (zh) * | 2018-08-24 | 2019-01-29 | 赛尔网络有限公司 | 一种网络靶场云平台系统、构建方法、设备和介质 |
CN109829284A (zh) * | 2018-12-29 | 2019-05-31 | 曙光信息产业(北京)有限公司 | 一种整合Linux与Windows操作系统统一用户认证的方法 |
CN114553450A (zh) * | 2020-11-24 | 2022-05-27 | 贝斯平环球公司 | 合并管理系统及合并管理系统的控制方法 |
CN115550076A (zh) * | 2022-12-02 | 2022-12-30 | 北京安博通科技股份有限公司 | 一种使用域日志进行认证的方法和系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101587566A (zh) * | 2008-05-22 | 2009-11-25 | 许新朋 | 基于SOA、Web2.0和BI的信息处理方法及系统 |
CN101727552A (zh) * | 2008-10-16 | 2010-06-09 | 国际商业机器公司 | 联合环境中启用数字权限管理的策略管理的方法和系统 |
CN102857501A (zh) * | 2012-08-28 | 2013-01-02 | 曙光信息产业(北京)有限公司 | 一种用户身份认证系统及其认证方法 |
CN103400226A (zh) * | 2013-07-31 | 2013-11-20 | 湖南省烟草公司永州市公司 | 一种烟草行业信息安全运维一体化应用平台系统 |
CN103986584A (zh) * | 2014-06-11 | 2014-08-13 | 四川省宁潮科技有限公司 | 基于智能设备的双因子身份验证方法 |
CN104243154A (zh) * | 2013-06-07 | 2014-12-24 | 腾讯科技(深圳)有限公司 | 服务器用户权限集中控制系统及方法 |
-
2015
- 2015-12-17 CN CN201510955378.1A patent/CN105516160B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101587566A (zh) * | 2008-05-22 | 2009-11-25 | 许新朋 | 基于SOA、Web2.0和BI的信息处理方法及系统 |
CN101727552A (zh) * | 2008-10-16 | 2010-06-09 | 国际商业机器公司 | 联合环境中启用数字权限管理的策略管理的方法和系统 |
CN102857501A (zh) * | 2012-08-28 | 2013-01-02 | 曙光信息产业(北京)有限公司 | 一种用户身份认证系统及其认证方法 |
CN104243154A (zh) * | 2013-06-07 | 2014-12-24 | 腾讯科技(深圳)有限公司 | 服务器用户权限集中控制系统及方法 |
CN103400226A (zh) * | 2013-07-31 | 2013-11-20 | 湖南省烟草公司永州市公司 | 一种烟草行业信息安全运维一体化应用平台系统 |
CN103986584A (zh) * | 2014-06-11 | 2014-08-13 | 四川省宁潮科技有限公司 | 基于智能设备的双因子身份验证方法 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106230850A (zh) * | 2016-08-26 | 2016-12-14 | 芜湖创易科技有限公司 | 一种统一身份认证平台 |
CN107071016A (zh) * | 2017-03-30 | 2017-08-18 | 上海斐讯数据通信技术有限公司 | 一种云ac管理平台及其多域认证源管理方法 |
CN107454087A (zh) * | 2017-08-10 | 2017-12-08 | 中国民航信息网络股份有限公司 | 在线分销接口平台系统 |
CN109286611A (zh) * | 2018-08-24 | 2019-01-29 | 赛尔网络有限公司 | 一种网络靶场云平台系统、构建方法、设备和介质 |
CN109829284A (zh) * | 2018-12-29 | 2019-05-31 | 曙光信息产业(北京)有限公司 | 一种整合Linux与Windows操作系统统一用户认证的方法 |
CN114553450A (zh) * | 2020-11-24 | 2022-05-27 | 贝斯平环球公司 | 合并管理系统及合并管理系统的控制方法 |
CN115550076A (zh) * | 2022-12-02 | 2022-12-30 | 北京安博通科技股份有限公司 | 一种使用域日志进行认证的方法和系统 |
CN115550076B (zh) * | 2022-12-02 | 2023-03-03 | 北京安博通科技股份有限公司 | 一种使用域日志进行认证的方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN105516160B (zh) | 2018-10-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105429999B (zh) | 基于云平台的统一身份认证系统 | |
CN105577656A (zh) | 一种基于云平台的统一身份认证方法 | |
CN105516160A (zh) | 一种域管理对象映射装置及统一身份认证系统 | |
Mohammed | Cloud identity and access management–a model proposal | |
CN105577665B (zh) | 一种云环境下的身份和访问控制管理系统及方法 | |
CN110597832A (zh) | 基于区块链网络的政务信息处理方法、装置、电子设备及存储介质 | |
CN105812350B (zh) | 一种跨平台单点登录系统 | |
CN109643242A (zh) | 用于多租户hadoop集群的安全设计和架构 | |
CN111149337B (zh) | 用于安全环境内工具的安全访问管理的方法及系统 | |
Ghani et al. | Issues and challenges in cloud storage architecture: a survey | |
CN103152179A (zh) | 一种适用于多应用系统的统一身份认证方法 | |
CN108701094A (zh) | 在基于云的应用中安全地存储和分发敏感数据 | |
Sharma et al. | A survey on cloud security issues and techniques | |
US20140075571A1 (en) | Role-oriented database record field security model | |
CN110417820A (zh) | 单点登录系统的处理方法、装置及可读存储介质 | |
Li | Cloud computing: introduction, application and security from industry perspectives | |
Wu et al. | Public cloud security protection research | |
CN110708298A (zh) | 集中管理动态实例身份和访问的方法及装置 | |
Hamza et al. | Identity and access management system: a web-based approach for an enterprise | |
CN108881197A (zh) | 基于rbac模型的高分网格系统身份验证系统 | |
CN109802927A (zh) | 一种安全服务提供方法及装置 | |
CN110489947A (zh) | 一种安全办公管控系统 | |
CN109150909A (zh) | 一种校园统一身份认证系统 | |
Ijaz et al. | Securing cloud infrastructure through PKI | |
US20230138622A1 (en) | Emergency Access Control for Cross-Platform Computing Environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address |
Address after: 1002-1, 10th floor, No.56, Beisihuan West Road, Haidian District, Beijing 100080 Patentee after: Ronglian Technology Group Co., Ltd Address before: 100080, Beijing, Haidian District, No. 56 West Fourth Ring Road, glorious Times Building, 10, 1002-1 Patentee before: UNITED ELECTRONICS Co.,Ltd. |
|
CP03 | Change of name, title or address |