CN105577656B - 一种基于云平台的统一身份认证方法 - Google Patents
一种基于云平台的统一身份认证方法 Download PDFInfo
- Publication number
- CN105577656B CN105577656B CN201510954867.5A CN201510954867A CN105577656B CN 105577656 B CN105577656 B CN 105577656B CN 201510954867 A CN201510954867 A CN 201510954867A CN 105577656 B CN105577656 B CN 105577656B
- Authority
- CN
- China
- Prior art keywords
- virtual
- entity
- account
- nis
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种基于云平台的统一身份认证方法,其包括:信息管理步骤,对用户、虚拟计算资源、虚拟软件资源、虚拟身份对象进行集中管理,并负责用户与虚拟对象的关联关系管理;对象映射步骤,对所述信息管理步骤中管理的虚拟对象与实体对象施加映射,对虚拟对象和实体对象的映射关系进行管理;访问控制步骤,对经所述对象映射步骤实施映射后的实体对象的权限进行定义,其中所述信息管理步骤中所使用的数据、实体AD域数据、实体NIS域数据存储在云平台的预设数据库中。根据本发明的上述统一身份认证方法,有效地解决了统一认证之后不同协调的资源访问权限管理和控制问题。
Description
技术领域
本发明涉及认证技术领域,具体涉及一种基于云平台的统一身份认证方法。
背景技术
传统的统一身份认证能够实现在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统,一次登录,资源尽享。大多数统一身份认证产品基于传统应用的统一认证,故对云平台、云资源的统一认证和授权能力比较薄弱。另外,大多数统一身份认证产品授权粒度只精确到应用、设备、主机,通俗说就是用户是否有权连接某个IP地址+端口,而实体内部资源的访问权限还需要在实体内部进行分配和管理。因此,针对各应用来说,在认证及登陆完成后,需由各应用系统自身的权限控制模块进行用户行为的进一步控制。
统一身份认证,又称4A:认证Authentication、账号Account、授权Authorization、审计Audit,也就是将身份认证、授权、审计和账号(即不可否认性及数据完整性)定义为网络安全的四大组成部分,从而确立了身份认证在整个网络安全系统中的地位与作用。统一身份认证产品一般包含如下功能:
集中帐号(account)管理:为用户提供统一集中的帐号管理,支持管理的资源包括主流的操作系统、网络设备和应用系统;不仅能够实现被管理资源帐号的创建、删除及同步等帐号管理生命周期所包含的基本功能,而且也可以通过平台进行帐号密码策略,密码强度、生存周期的设定。
集中认证(authentication)管理:可以根据用户应用的实际需要,为用户提供不同强度的认证方式,既可以保持原有的静态口令方式,又可以提供具有双因子认证方式的高强度认证(一次性口令、数字证书、动态口令),而且还能够集成现有其它如生物特征等新型的认证方式。不仅可以实现用户认证的统一管理,并且能够为用户提供统一的认证门户,实现企业信息资源访问的单点登录。
集中权限(authorization)管理:可以对用户的资源访问权限进行集中控制,它既可以实现对B/S、C/S应用系统资源的访问权限控制,也可以实现对数据库、主机及网络设备的操作的权限控制,资源控制类型既包括B/S的URL、C/S的功能模块,也包括数据库的数据、记录及主机、网络设备的操作命令、IP地址及端口。
集中审计(audit)管理:将用户所有的操作日志集中记录管理和分析,不仅可以对用户行为进行监控,并且可以通过集中的审计数据进行数据挖掘,以便于事后的安全事故责任的认定。
当前的统一身份认证方法针对云资源中不同用户对不同昂贵计算资源和数据资源的访问权限缺乏有效的管理和控制。
为此,经过长期理论研究和实践积累,本案的发明人开发出一种基于云平台的统一身份认证方案,很好地解决了统一认证之后不同协调的资源访问权限管理和控制问题。
发明内容
为了解决上述问题,本发明的目的旨在提供一种基于云平台的统一身份认证方法,借助于统一身份认证实现实体内部资源级授权后,实体内部资源的访问权限不需要在实体内部进行分配和管理或将实体内部资源的访问权限保存在实体内部,并且与统一身份认证平台保持一致,从而有效地解决了统一认证之后不同协调的资源访问权限管理和控制问题。
为了实现上述发明目的,本发明提供了如下技术方案。
本发明提供一种云平台的统一身份认证方法,其包括:
信息管理步骤,对用户、虚拟计算资源、虚拟软件资源、虚拟身份对象进行集中管理,并负责用户与虚拟对象的关联关系管理;
对象映射步骤,对所述信息管理步骤中管理的虚拟对象与实体对象施加映射,对虚拟对象和实体对象的映射关系进行管理,从而提供基于Windows系列操作系统的AD域、基于Unix/Solaris/Linux系列操作系统的NIS域的集中管理,并提供计算资源、专业软件资源的集中管理;和
访问控制步骤,对经所述对象映射步骤实施映射后的实体对象的权限进行定义,根据用户的身份安全需求,定义域账号组访问专业软件资源、数据资源、计算资源操作系统的权限,从而实现用户权限的定义,
其中所述信息管理步骤中所使用的数据、实体AD域数据、实体NIS域数据存储在云平台的预设数据库中,
所述用户具有AD域账号和NIS域账号,所述实体对象包括实体AD组和实体NIS组,AD是指活动目录,NIS指代网络信息服务。
根据本发明的统一身份认证方法,所述信息管理步骤进一步包括用户管理子步骤、虚拟对象管理子步骤、以及关联关系管理子步骤,
在所述用户管理子步骤中,对自然人身份信息进行管理,提供对人员从入职、调职、离职等业务场景下的人员信息管理,其主要包括用户创建、认证凭证维护、用户维护和用户状态管理;
在所述虚拟对象管理子步骤中,对虚拟的AD域账号、虚拟的NIS域账号、虚拟AD账号组、虚拟NIS账号组、虚拟计算资源、虚拟专业软件资源进行管理;
在所述关联关系管理子步骤中,对用户与虚拟对象之间的关联关系进行管理,其主要包括:用户与虚拟AD账号映射管理、虚拟AD账号与虚拟AD账号组关系管理、用户与虚拟NIS账号映射管理、虚拟NIS账号与虚拟NIS账号组关系管理。
根据本发明的统一身份认证方法,所述对象映射步骤进一步包括:
将虚拟AD帐号映射至实体AD帐号或将虚拟NIS帐号映射至实体NIS帐号;
将虚拟AD组映射至实体AD组或将虚拟NIS组映射至实体NIS组;和
将虚拟AD帐号与虚拟AD组的关系映射至实体AD帐号与实体AD组的关系中或将虚拟NIS帐号与虚拟NIS组的关系映射至实体NIS帐号与实体NIS组的关系中。
优选地,根据本发明的统一身份认证方法,所述访问控制步骤进一步包括:
授权步骤,对账号组授予角色以及对角色授予访问专业软件的权限,作为用户的认证信息;
虚拟鉴权步骤,对访问云平台门户的用户进行认证,并响应于用户所访问的专业软件资源、数据资源请求,通过云平台数据库对所述用户进行虚拟鉴权;
实体账号认证和鉴权步骤,在所述虚拟鉴权步骤的虚拟鉴权完成后,对以AD域账号或者NIS域账号访问的用户进行实体账号认证和实体账号鉴权,其包括对用户进行第一层虚拟账号鉴权,识别虚拟账号是否拥有相应的角色后,对用户进行第二层的实体账号鉴权,识别相应的角色是否拥有所访问的专业软件的权限,其中,第二层鉴权对用户透明。
进一步地,根据本发明的统一身份认证方法,所述实体账号认证和鉴权步骤根据所服务的操作系统的不同具体分为AD域实体账号认证和鉴权子步骤和NIS域实体账号认证和鉴权子步骤两个子步骤,其中在所述AD域实体账号认证和鉴权子步骤中,对AD账号通过LDAPs协议进行实体账号认证和实体账号鉴权,而在NIS域实体账号认证和鉴权子步骤中,对NIS账号通过SSH协议进行实体账号认证和实体账号鉴权。
进一步地,根据本发明的统一身份认证方法,所述授权步骤进一步包括:
基于虚拟AD帐号将虚拟AD组赋予虚拟AD帐号,或基于虚拟NIS帐号,将虚拟NIS组赋予虚拟NIS帐号;
通过映射将实体AD组赋予实体AD账号,或通过映射将实体NIS组赋予实体NIS账号;和
基于实体AD组将计算资源、数据资源和专业软件资源的访问权授予实体AD组,或基于实体NIS组,将计算资源、数据资源和专业软件资源的访问权授予实体NIS组。
进一步地,根据本发明的统一身份认证方法,所述用户通过http/https协议访问云平台门户。
进一步地,根据本发明的统一身份认证方法,所述AD域账号聚合成为AD账号组,所述NIS账号聚合成为NIS账号组,将不同软件的操作组合为不同的权限,并将其抽象化为角色,通过将角色授予账号组,从而账号组中的账号具备角色所拥有的权限。
本发明的基于云平台的统一身份认证方法,对身份管理体系中的主体、客体、角色、操作映射出虚拟主体、虚拟客体、虚拟角色、虚拟操作,并将云平台中的管理结果映射至实体AD域、实体NIS域,从而建立起适合于SaaS云的身份安全体系,有效地解决了统一认证之后不同协调的资源访问权限管理和控制问题。
附图说明
图1为本发明的云平台的总体架构图。
图2为本发明的基于云平台的统一身份认证方法的工作原理图。
图3为本发明的基于云平台的统一身份认证方法的流程图。
图4为本发明的统一身份认证方法中对象映射步骤的方法流程图。
图5为本发明的访问控制步骤的方法流程图。
图6为本发明的统一身份认证方法的访问控制步骤中授权步骤的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
如附图1所示,为本发明的云平台的总体架构图。本发明的云平台已将不同操作系统的计算资源、不同的数据资源、不同平台的专业软件资源部署在云端,用户(例如科研人员)通过云客户端访问云平台,执行专业软件,专业软件访问相对应的数据资源,平台的管理员使用计算资源的操作系统账号访问计算资源对计算资源进行运维管控。上述资源包括应用的功能模块、HTML页面、数据库表或字段、主机内的文件或目录等。针对各应用来说,在认证及登陆完成后,可由各应用系统自身的权限控制模块进行用户行为的进一步控制或由统一身份认证平台进行用户行为的进一步控制。
另外,某些场合,为了保障诸如特种领域研究数据等机密数据和数据所在计算资源的安全,采用集中、统一的身份安全方案对用户(例如,科研人员和管理员)的访问进行控制是云平台安全稳定运行的基础。在建立某些特种行业研究云平台(以下简称云平台)的研究中,为了管理不同用户对不同计算资源和数据资源的访问权限,以及满足科研人员需要安全的访问不同平台、不同操作系统下的多类专业软件的需求,需要建立一套基于云平台的身份安全体系。不同计算资源和数据资源拥有不同的身份安全管理机制,而每个特种稀缺软件也拥有独立的用户管理和访问控制机制,集中、统一的身份安全体系是支撑云平台运行的关键技术,为云平台提供坚实的安全保障。
作为云安全中的重要部分,身份安全是云平台安全的核心,本案的发明人通过对云平台的身份安全需求的研究,从满足云平台的身份安全需求和适合云计算的复杂环境出发,设计并实现了基于映射的身份安全体系。
具体地,本发明为云平台设计的身份安全体系是利用基于角色的访问控制模型(RBAC)来实现的,通过对RBAC模型的创新性扩展,设计并实现了云计算环境下的基于映射的身份安全模型,从而建立了适用于复杂SaaS云的身份安全体系,实现了统一认证后对云资源访问权限的管理和控制。
通过对云平台中的计算资源、数据资源、专业软件资源的分析研究,云平台中存在四种身份载体:
1)计算资源的操作系统账号;
2)数据资源的访问用户;
3)专业软件资源的用户;
4)虚拟化平台的用户。
进一步分析可知,计算资源的操作系统允许通过域账号访问,数据资源同样允许通过域账号访问,专业软件资源的用户通过与操作系统结合,也可以通过域账号实现,虚拟化平台的用户也能够实现与域的集成。因此,可确定域账号作为本发明的身份安全体系的账号载体,基于AD(Active Directory(活动目录)的英文缩写)域在Windows系列操作系统中的用户管理能力和NIS(‘NetworkInformationService(网络信息服务)’的英文缩写)域在Unix/Solaris/Linux系列操作系统中的用户管理能力,选择AD域和NIS域作为身份安全体系的账号管理平台,考虑到不同域账号间数据资源的共享,本发明将域账号按照一定的规则聚合为账号组,实现对共享数据的多个账号的批量管理。
不同组织机构拥有各自独立的AD域,不同组织机构拥有各自独立的NIS域,所有这些AD域、NIS域分散,而且平台不同,将给管理带来很多的困扰,为了集中、统一的管理身份安全体系,本发明在云平台中建立了完整、统一的身份安全控制台,对身份管理体系中的主体、客体、角色、操作映射出虚拟主体、虚拟客体、虚拟角色、虚拟操作,并将云平台中的管理结果映射至实体AD域、实体NIS域,从而建立起适合于SaaS云的身份安全体系。
如图2所示,为本发明的基于云平台的统一身份认证方法的工作原理图。如该图2所示,用户在云平台中代表一个自然人,每个员工或者外协人员都可以成为一个用户,域账号则是指用户在不同资源中的代表,角色表示对资源不同操作的组合,客体是指系统中的资源,具体指计算资源、数据资源、专业软件资源。
用户拥有AD域账号和NIS域账号,AD域账号聚合成为AD账号组,NIS账号聚合成为NIS账号组,操作是访问执行,对不同软件的操作组合成为不同的权限,本发明中将其抽象化为角色,通过将角色授予账号组,从而实现了账号组中的账号具有角色所拥有的权限。
本发明的基于云平台的统一身份认证方法采用双层访问控制,从授权方面讲,第一层授权,管理员对账号组授予角色,第二层授权,管理员对角色授予访问专业软件的权限。从鉴权方面讲,当用户访问云平台时,云平台通过数据库对用户进行第一层虚拟账号鉴权,识别虚拟账号是否拥有相应的角色,然后,域对用户进行第二层的实体账号鉴权,识别相应的角色是否拥有所访问的专业软件的权限,其中,第二层鉴权对用户透明。
图3为本发明的基于云平台的统一身份认证方法的流程图。如该图3所示,本发明的统一身份认证方法主要包括:
信息管理步骤S11,对用户、虚拟计算资源、虚拟软件资源、虚拟身份对象进行集中管理,并负责用户与虚拟对象的关联关系管理;
对象映射步骤S12,对所述信息管理步骤S11中管理的虚拟对象与实体对象施加映射,对虚拟对象和实体对象的映射关系进行管理,从而提供基于Windows系列操作系统的AD域、基于Unix/Solaris/Linux系列操作系统的NIS域的集中管理,并提供计算资源、专业软件资源的集中管理;
访问控制步骤S13,对经所述对象映射步骤S12实施映射后的实体对象的权限进行定义,根据用户的身份安全需求,定义域账号组访问专业软件资源、数据资源、计算资源操作系统的权限,从而实现用户权限的定义。
其中所述信息管理步骤S11中所使用的数据、实体AD域数据、实体NIS域数据存储在云平台的预设数据库中,
所述用户具有AD域账号和NIS域账号,所述实体对象包括实体AD组和实体NIS组,AD是指活动目录,NIS指代网络信息服务。
在上述信息管理步骤S11中,将本发明提供的基于云平台的统一身份认证方法中的主体(域账号、账号组)、客体(计算资源、软件资源)进行虚拟,从而能够集中、统一地对虚拟对象进行独立管理。而为了进行简化和优化,本发明中将角色由账号组实现,故将角色授予账号组的操作得以简化,通过将权限授予账号组即可实现角色授权。
优选地,本发明的上述信息管理步骤S11进一步可以包含用户管理子步骤、虚拟对象管理子步骤、以及关联关系管理子步骤。
在上述用户管理子步骤中,对自然人身份信息进行管理,提供对人员从入职、调职、离职等业务场景下的人员信息管理,其主要包括用户创建、认证凭证维护、用户维护和用户状态管理。
在上述虚拟对象管理子步骤中,对虚拟的AD域账号、虚拟的NIS域账号、虚拟AD账号组、虚拟NIS账号组、虚拟计算资源、虚拟专业软件资源进行管理。
在关联关系管理子步骤中,对用户与虚拟对象之间的关联关系进行管理,其主要包括:用户与虚拟AD账号映射管理、虚拟AD账号与虚拟AD账号组关系管理、用户与虚拟NIS账号映射管理、虚拟NIS账号与虚拟NIS账号组关系管理。
在本发明的上述对象映射步骤中,对Windows平台的实体实施映射,例如,对实体AD组与实体AD账号实施映射,同时对Unix系列平台的实体实施映射,例如,对NIS的权限进行定义(计算、数据、专业软件资源)。
图4为本发明的统一身份认证方法中对象映射步骤的方法流程图。进一步地,如图4所示,上述对象映射步骤S12包括:
步骤S121:将虚拟AD帐号映射至实体AD帐号或将虚拟NIS帐号映射至实体NIS帐号;
步骤S122:将虚拟AD组映射至实体AD组或将虚拟NIS组映射至实体NIS组;
步骤S123:将虚拟AD帐号与虚拟AD组的关系映射至实体AD帐号与实体AD组的关系中或将虚拟NIS帐号与虚拟NIS组的关系映射至实体NIS帐号与实体NIS组的关系中。
如图5所示,为本发明的访问控制步骤的方法流程图。如该图5所示,本发明的访问控制步骤S13进一步包括授权步骤S131、虚拟鉴权步骤S132、和实体账号认证和鉴权步骤S133。
其中授权步骤S131用于对账号组授予角色以及对角色授予访问专业软件的权限,作为用户的认证信息。授权步骤S131包括用于对Windows平台的实体进行权限定义(计算、数据、专业软件资源)和对NIS的权限进行定义(计算、数据、专业软件资源)。
如上文所述,本发明中,用户拥有AD域账号和NIS域账号,AD域账号聚合成为AD账号组,NIS账号聚合成为NIS账号组,操作通过访问来执行,将不同软件的操作组合为不同的权限,并将其抽象化为角色,通过将角色授予账号组,从而实现了账号组中的账号拥有角色所拥有的权限。
虚拟鉴权步骤S132对访问云平台门户的用户进行认证,并响应于用户所访问的专业软件资源、数据资源请求,通过云平台数据库对所述用户进行虚拟鉴权。其中,优选地,所述用户通过http/https协议访问云平台门户。
实体账号认证和鉴权步骤S133在虚拟鉴权步骤S132的虚拟鉴权完成后,对以AD域账号或者NIS域账号访问的用户进行实体账号认证和实体账号鉴权,其包括对用户进行第一层虚拟账号鉴权,识别虚拟账号是否拥有相应的角色后,对用户进行第二层的实体账号鉴权,识别相应的角色是否拥有所访问的专业软件的权限,其中,第二层鉴权对用户透明。
该实体账号认证和鉴权步骤S133根据所服务的操作系统的不同具体分为AD域实体账号认证和鉴权子步骤和NIS域实体账号认证和鉴权子步骤两个子步骤。
在本发明中,管理员通过http/https协议访问云平台控制台,对虚拟的Windows平台账号授权时,通过AD Server Interface,以LDAPs协议访问AD域,将授权结果映射至AD域中,实现对实体AD域账号的授权,管理员对虚拟的Linux平台账号授权时,通过NIS ServerInterface,以SSH协议访问NIS域,将授权结果映射至NIS域中,实现对实体NIS域账号的授权。
另外,鉴于AD域和NIS域的标准化和通用性,本发明的统一身份认证方法能够支持大多数的企业内的计算资源、数据资源、软件资源的授权管理需求。
图6为本发明的统一身份认证方法的访问控制步骤中授权步骤的流程图。进一步地,如图6所示,上述授权步骤S131进一步包括:
步骤S1311:基于虚拟AD帐号将虚拟AD组赋予虚拟AD帐号,或基于虚拟NIS帐号,将虚拟NIS组赋予虚拟NIS帐号;
步骤S1312:通过映射将实体AD组赋予实体AD账号,或通过映射将实体NIS组赋予实体NIS账号;
步骤S1313:基于实体AD组将计算资源、数据资源和专业软件资源的访问权授予实体AD组,或基于实体NIS组,将计算资源、数据资源和专业软件资源的访问权授予实体NIS组。
本发明集成了AD、NIS等域用户管理软件,实现对Windows、Unix、Linux等全方位操作系统的支持,而且授权粒度精确到应用、设备、主机内的资源。
作为本发明技术方案的一个具体应用,通过对昂贵的云资源进行统一登录认证、访问授权管理,实现一套资源多个科研人员同时登录访问和使用,从而大大节省这种特种资源的采购费用。例如,勘探领域某些地质图层渲染软件,每用户License费用高达几十甚至上百万,上千个科研人员需要使用的。如果为每个科研人员采购一套License,明显不现实;如果让分布在各地的科研人员集中在某台主机上让排队轮流使用,无法满足科研需要。如果用了本发明的基于云平台统一身份认证方法,就可以通过采购少量的License部署在云端,每个科研人员通过云统一身份认证登录访问和使用这些昂贵的软件。另外,假设10个License运行在云端,每个科研人员60分钟内只需要使用软件核心功能1分钟,60分钟内就可以支持600个科研人员使用该昂贵的云资源,对于单个科研人员来说好像自己独立拥有和使用一套资源License。
因此,本发明的实际技术效果或所带来的经济效益是显而易见的。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本发明的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本发明的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种基于云平台的统一身份认证方法,其特征在于包括:
信息管理步骤,对用户、虚拟计算资源、虚拟软件资源、虚拟身份对象进行集中管理,并负责用户与虚拟对象的关联关系管理;
对象映射步骤,对所述信息管理步骤中管理的虚拟对象与实体对象施加映射,对虚拟对象和实体对象的映射关系进行管理,从而提供基于Windows系列操作系统的AD域、基于Unix/Solaris/Linux系列操作系统的NIS域的集中管理,并提供计算资源、专业软件资源的集中管理;和
访问控制步骤,对经所述对象映射步骤实施映射后的实体对象的权限进行定义,根据用户的身份安全需求,定义域账号组访问专业软件资源、数据资源、计算资源操作系统的权限,从而实现用户权限的定义,
其中所述信息管理步骤中所使用的数据、实体AD域数据、实体NIS域数据存储在云平台的预设数据库中,
所述用户具有AD域账号和NIS域账号,所述实体对象包括实体AD组和实体NIS组,AD是指活动目录,NIS指代网络信息服务。
2.根据权利要求1所述的统一身份认证方法,其特征在于,所述信息管理步骤进一步包括用户管理子步骤、虚拟对象管理子步骤、以及关联关系管理子步骤,
在所述用户管理子步骤中,对自然人身份信息进行管理,提供对人员从入职、调职、离职业务场景下的人员信息管理,其包括用户创建、认证凭证维护、用户维护和用户状态管理;
在所述虚拟对象管理子步骤中,对虚拟的AD域账号、虚拟的NIS域账号、虚拟AD账号组、虚拟NIS账号组、虚拟计算资源、虚拟专业软件资源进行管理;
在所述关联关系管理子步骤中,对用户与虚拟对象之间的关联关系进行管理,其包括:用户与虚拟AD账号映射管理、虚拟AD账号与虚拟AD账号组关系管理、用户与虚拟NIS账号映射管理、虚拟NIS账号与虚拟NIS账号组关系管理。
3.根据权利要求1所述的统一身份认证方法,其特征在于,所述对象映射步骤进一步包括:
将虚拟AD帐号映射至实体AD帐号或将虚拟NIS帐号映射至实体NIS帐号;
将虚拟AD组映射至实体AD组或将虚拟NIS组映射至实体NIS组;和
将虚拟AD帐号与虚拟AD组的关系映射至实体AD帐号与实体AD组的关系中或将虚拟NIS帐号与虚拟NIS组的关系映射至实体NIS帐号与实体NIS组的关系中。
4.根据权利要求1所述的统一身份认证方法,其特征在于,所述访问控制步骤进一步包括:
授权步骤,对账号组授予角色以及对角色授予访问专业软件的权限,作为用户的认证信息;
虚拟鉴权步骤,对访问云平台门户的用户进行认证,并响应于用户所访问的专业软件资源、数据资源请求,通过云平台数据库对所述用户进行虚拟鉴权;
实体账号认证和鉴权步骤,在所述虚拟鉴权步骤的虚拟鉴权完成后,对以AD域账号或者NIS域账号访问的用户进行实体账号认证和实体账号鉴权,其包括对用户进行第一层虚拟账号鉴权,识别虚拟账号是否拥有相应的角色后,对用户进行第二层的实体账号鉴权,识别相应的角色是否拥有所访问的专业软件的权限,其中,第二层鉴权对用户透明。
5.根据权利要求4所述的统一身份认证方法,其特征在于,所述实体账号认证和鉴权步骤根据所服务的操作系统的不同具体分为AD域实体账号认证和鉴权子步骤和NIS域实体账号认证和鉴权子步骤两个子步骤,其中在所述AD域实体账号认证和鉴权子步骤中,对AD账号通过LDAPs协议进行实体账号认证和实体账号鉴权,而在NIS域实体账号认证和鉴权子步骤中,对NIS账号通过SSH协议进行实体账号认证和实体账号鉴权。
6.根据权利要求4所述的统一身份认证方法,其特征在于,所述授权步骤进一步包括:
基于虚拟AD帐号将虚拟AD组赋予虚拟AD帐号,或基于虚拟NIS帐号,将虚拟NIS组赋予虚拟NIS帐号;
通过映射将实体AD组赋予实体AD账号,或通过映射将实体NIS组赋予实体NIS账号;和
基于实体AD组将计算资源、数据资源和专业软件资源的访问权授予实体AD组,或基于实体NIS组,将计算资源、数据资源和专业软件资源的访问权授予实体NIS组。
7.根据权利要求4所述的统一身份认证方法,其特征在于,所述用户通过http/https协议访问云平台门户。
8.根据权利要求1-7之一所述的统一身份认证方法,其特征在于,所述AD域账号聚合成为AD账号组,所述NIS账号聚合成为NIS账号组,将不同软件的操作组合为不同的权限,并将其抽象化为角色,通过将角色授予账号组,从而账号组中的账号具备角色所拥有的权限。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510954867.5A CN105577656B (zh) | 2015-12-17 | 2015-12-17 | 一种基于云平台的统一身份认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510954867.5A CN105577656B (zh) | 2015-12-17 | 2015-12-17 | 一种基于云平台的统一身份认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105577656A CN105577656A (zh) | 2016-05-11 |
CN105577656B true CN105577656B (zh) | 2018-09-25 |
Family
ID=55887313
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510954867.5A Active CN105577656B (zh) | 2015-12-17 | 2015-12-17 | 一种基于云平台的统一身份认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105577656B (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106209854B (zh) * | 2016-07-13 | 2017-05-31 | 徐州医科大学 | 一种基于状态机实现访问控制的云平台服务方法及系统 |
CN106850641B (zh) * | 2017-02-15 | 2020-03-06 | 苏州浪潮智能科技有限公司 | 一种基于云计算安全管理平台的信息传输控制方法和系统 |
CN108881103B (zh) * | 2017-05-08 | 2020-10-13 | 腾讯科技(深圳)有限公司 | 一种接入网络的方法及装置 |
CN107454087A (zh) * | 2017-08-10 | 2017-12-08 | 中国民航信息网络股份有限公司 | 在线分销接口平台系统 |
CN107450976A (zh) * | 2017-09-20 | 2017-12-08 | 北京仿真中心 | 一种高性能计算系统的用户统一管理方法 |
CN109067697B (zh) * | 2018-05-29 | 2021-01-08 | 中国联合网络通信有限公司杭州市分公司 | 一种用于混合云的用户账户管控方法及可读介质 |
CN108989418A (zh) * | 2018-07-11 | 2018-12-11 | 国云科技股份有限公司 | 一种混合云对象存储通用认证的资源额度方法 |
CN109829284A (zh) * | 2018-12-29 | 2019-05-31 | 曙光信息产业(北京)有限公司 | 一种整合Linux与Windows操作系统统一用户认证的方法 |
CN111953491B (zh) * | 2020-09-01 | 2022-06-10 | 杭州视洞科技有限公司 | 一种基于SSH Certificate和LDAP两步鉴权审计方法 |
CN117009353A (zh) * | 2023-07-28 | 2023-11-07 | 达州领投信息技术有限公司 | 一种基于云平台的金融大数据信息存储方法及设备 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101587566A (zh) * | 2008-05-22 | 2009-11-25 | 许新朋 | 基于SOA、Web2.0和BI的信息处理方法及系统 |
CN101727552A (zh) * | 2008-10-16 | 2010-06-09 | 国际商业机器公司 | 联合环境中启用数字权限管理的策略管理的方法和系统 |
CN102857501A (zh) * | 2012-08-28 | 2013-01-02 | 曙光信息产业(北京)有限公司 | 一种用户身份认证系统及其认证方法 |
CN103400226A (zh) * | 2013-07-31 | 2013-11-20 | 湖南省烟草公司永州市公司 | 一种烟草行业信息安全运维一体化应用平台系统 |
CN103986584A (zh) * | 2014-06-11 | 2014-08-13 | 四川省宁潮科技有限公司 | 基于智能设备的双因子身份验证方法 |
CN104243154A (zh) * | 2013-06-07 | 2014-12-24 | 腾讯科技(深圳)有限公司 | 服务器用户权限集中控制系统及方法 |
-
2015
- 2015-12-17 CN CN201510954867.5A patent/CN105577656B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101587566A (zh) * | 2008-05-22 | 2009-11-25 | 许新朋 | 基于SOA、Web2.0和BI的信息处理方法及系统 |
CN101727552A (zh) * | 2008-10-16 | 2010-06-09 | 国际商业机器公司 | 联合环境中启用数字权限管理的策略管理的方法和系统 |
CN102857501A (zh) * | 2012-08-28 | 2013-01-02 | 曙光信息产业(北京)有限公司 | 一种用户身份认证系统及其认证方法 |
CN104243154A (zh) * | 2013-06-07 | 2014-12-24 | 腾讯科技(深圳)有限公司 | 服务器用户权限集中控制系统及方法 |
CN103400226A (zh) * | 2013-07-31 | 2013-11-20 | 湖南省烟草公司永州市公司 | 一种烟草行业信息安全运维一体化应用平台系统 |
CN103986584A (zh) * | 2014-06-11 | 2014-08-13 | 四川省宁潮科技有限公司 | 基于智能设备的双因子身份验证方法 |
Also Published As
Publication number | Publication date |
---|---|
CN105577656A (zh) | 2016-05-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105429999B (zh) | 基于云平台的统一身份认证系统 | |
CN105577656B (zh) | 一种基于云平台的统一身份认证方法 | |
CN105516160B (zh) | 一种域管理对象映射装置及统一身份认证系统 | |
US9529993B2 (en) | Policy-driven approach to managing privileged/shared identity in an enterprise | |
US10270741B2 (en) | Personal authentication and access | |
US9787659B2 (en) | Techniques for secure access management in virtual environments | |
CN109643242A (zh) | 用于多租户hadoop集群的安全设计和架构 | |
Leandro et al. | Multi-tenancy authorization system with federated identity for cloud-based environments using shibboleth | |
CN105812350B (zh) | 一种跨平台单点登录系统 | |
CN104836803B (zh) | 基于session机制的单点登录方法 | |
DE112012002741T5 (de) | Identitäts- und Berechtigungsprüfungsverfahren für die Sicherheit einer Cloud-Datenverarbeitungsplattform | |
CN108011862A (zh) | 镜像仓库授权、访问、管理方法及服务器和客户端 | |
US9130904B2 (en) | Externally and internally accessing local NAS data through NSFV3 and 4 interfaces | |
CN110417820A (zh) | 单点登录系统的处理方法、装置及可读存储介质 | |
CN103152179A (zh) | 一种适用于多应用系统的统一身份认证方法 | |
CN103763369B (zh) | 一种基于san存储系统的多重权限分配方法 | |
CN103986734B (zh) | 一种适用于高安全性业务系统的鉴权管理方法和系统 | |
CN111010396A (zh) | 一种互联网身份认证管理方法 | |
US9838383B1 (en) | Managing privileged shared accounts | |
Hamza et al. | Identity and access management system: a web-based approach for an enterprise | |
Collins | Access controls | |
Chandrasekaran et al. | Distributed access control in cloud computing systems | |
CN109639649A (zh) | 一种单点登录方法 | |
CN110414213A (zh) | 一种基于keycloak的对运维管理系统中权限管理的方法及装置 | |
Tso et al. | Access Control of Web and Java Based Applications |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address | ||
CP03 | Change of name, title or address |
Address after: 1002-1, 10th floor, No.56, Beisihuan West Road, Haidian District, Beijing 100080 Patentee after: Ronglian Technology Group Co., Ltd Address before: 100080, Beijing, Haidian District, No. 56 West Fourth Ring Road, glorious Times Building, 10, 1002-1 Patentee before: UNITED ELECTRONICS Co.,Ltd. |