CN105577665B - 一种云环境下的身份和访问控制管理系统及方法 - Google Patents
一种云环境下的身份和访问控制管理系统及方法 Download PDFInfo
- Publication number
- CN105577665B CN105577665B CN201510988053.3A CN201510988053A CN105577665B CN 105577665 B CN105577665 B CN 105577665B CN 201510988053 A CN201510988053 A CN 201510988053A CN 105577665 B CN105577665 B CN 105577665B
- Authority
- CN
- China
- Prior art keywords
- user
- identity
- bill
- access control
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种云环境下的身份和访问控制管理系统及方法,系统包括身份和访问控制管理系统(IAM)、用户端和应用服务端。针对不同的应用服务,集成身份认证,统一用户管理,遵循身份认证与访问控制分离的原则,实现用户的身份和访问控制管理。在用户身份信息管理方面,从用户身份生成到注销,注册服务为用户提供自助服务;在用户认证方面,采用双因素认证技术,实现用户和认证服务器的双向认证,并颁发认证票据实现一次认证,多次使用;在访问控制管理方面,基于用户组的角色访问控制策略,管理用户的访问权限,授权服务器颁发给用户授权票据。本发明方便了用户管理身份信息,避免了多次认证,增强了认证的安全,防止了非授权用户非法访问。
Description
技术领域
本发明属于云计算的信息安全领域,涉及一种云环境下的身份和访问控制管理系统及方法。
背景技术
云计算是一种商业模式,它将计算任务分布在大量计算机构成的资源池上,使用户能够按需获取计算力、存储空间和信息服务。云计算按照服务类型大致可以分为如所示的三种服务,即IaaS将基础设施作为服务、PaaS将平台作为服务和SaaS将软件作为服务。IaaS将硬件设备等基础资源封装成服务供用户使用,如Amazon云计算AWS(Amazon WebServices)的弹性计算云EC2和简单S3。PaaS对资源的抽象层次更进一步他提供用户应用程序的环境,典型的如Google App Engine和微软的云计算操作系统Microsoft WindowsAzure。SaaS的针对性更强,它将某些特定的应用软件功能封装成服务,例如Saleforce公司提供的在线客户关系管理CRM(Client Relationship Management)服务。SaaS与IaaS和PaaS不同之处是只提供某些专门用途的服务供调用,既不像IaaS提供运行用户自定义应用程序的环境,也不像PaaS一样提供计算或存储资源类型的服务。
由于云计算是多种技术的混合演进的结果,其成熟度较高,越来越多的企业把自己的应用部署到云上,然而管理身份和访问企业应用程序的控制仍然是当今的IT面临的最大挑战之一。在实施云环境下的身份和访问控制管理的过程中,面临诸多风险,例如,恶意的内部成员、不安全的应用程序接口、共享技术隐患、账户和服务攻击、主权变更、不同系统统一账号管理、安全认证等。针对以上问题,虽然在云环境下的身份和访问控制管理中没有统一的标准,但是在国内外已经有了成熟的产品和解决方案。
在身份管理方面,目前存在以下的解决方案:
1)点对点身份复制模式:在系统之间建立一套复杂的用户数据转换和复制机制,将用户账号信息从一个应用系统复制到其它应用系统,以达到共享不同系统的用户信息的目的。
2)用户账号映射:认证服务组件通过创建映射表,使用内部唯一标识符来映射用户在不同应用系统中的身份。当用户要访问目标应用系统时,认证服务组件查询映射表并检查用户的访问权限。
3)基于代理的统一用户管理模式:该方式通过在各个应用系统上安装转换引擎的方法,将应用系统中不同结构的用户数据转换成平台上统一的数据模型。
4)单点登录:单点登录解决方案能完成用户登录不同安全域的应用,目前标准不统一。
在访问控制管理方面,国内外有以下产品:
1)比如CA公司的eTrust;
2)IBM公司的Tivoli系列产品;
3)国内数字校园的统一认证系统;
以上所述的解决方案和产品一定程度上解决了云环境下的身份和访问控制管理面临的风险,但是仍存在以下问题:
1)权限变更困难,当用户发生职位变更或离职时,就需要对他所在的所有应用系统中的访问权限进行谨慎地修改并且繁琐。
2)不同的应用系统使用同一帐号,集成困难,产品的功能不完善,如缺乏对单点登录的支持。
3)应用系统在与外部应用系统交换用户凭证和同步用户密码时,可能面临弱安全令牌、认证或访问控制功能无效等安全风险。
发明内容
针对以上问题,本发明的目的提供一种采用数字身份证书和静态口令的双因子认证技术,使用基于用户组的角色访问控制策略,按照标准的SAML协议,实现云环境下的身份和访问控制管理的系统及方法。
本发明的目的是通过以下技术方案实现的:
本发明揭示一种云环境下的身份和访问控制管理系统,包括:身份和访问控制管理系统(IAM)、用户端、应用服务端。
IAM系统,接受用户端的用户身份信息的注册、更新、注销,生成和销毁用户的数字身份证书;接受应用服务端的服务注册,配置访问控制策略;完成用户端的身份验证,向用户端颁发认证票据;完成用户端的认证票据的验证,向用户端颁发访问应用服务端的授权票据;
用户端,向IAM系统注册身份信息,获取数字身份证书,完成身份的注册;与IAM系统交互管理用户的身份信息;通过IAM系统验证身份,获取认证票据、授权票据,向应用服务端发送授权票据,完成资源服务的请求;
应用服务端,向IAM系统注册资源服务;接受客户端用户的请求,验证用户端的授权票据,根据判断结果对用户端的服务请求做出响应;
所述身份和访问控制管理系统IAM和应用服务端分别连接用户端,通过应用服务端实现对身份和访问控制管理系统IAM注册资源服务,通过身份和访问控制管理系统IAM对用户身份认证与访问控制管理。
根据本发明的云环境下的身份和访问控制管理系统的一实施例,所述的IAM系统包括:注册服务器、认证服务器、授权服务器、CA证书库、系统中心数据库和系统管理员;
注册服务器,接受用户的申请、更新用户信息、注销用户,向注册用户颁发数字身份证书,向其他用户提供数字身份证书查询及下载。当用户注册时,注册服务器向用户颁发用户数字身份证书;当用户申请其他用户的数字身份证书时,注册服务器验证用户身份,然后发放其他用户的数字身份证书;
认证服务器,验证用户的身份,颁发用户的认证票据,把用户的身份作为一种服务。当用户登入认证服务器时,通过验证用户的数字身份和静态口令,认证服务器验证用户的身份信息真实性,然后给用户发送认证票据;
授权服务器,验证用户的认证票据,结合用户请求的服务资源生成相应的授权票据发送给用户。当用户访问服务资源时,需要先向授权服务器申请授权票据,用户得到授权票据后才能访问服务资源;
CA证书库,储存备份所有的用户、认证服务器、授权服务器和应用服务器的数字身份证书;
系统中心数据库,存储用户信息以及授权服务器的访问控制策略;
系统管理员,包括管理系统中心数据库和CA证书库,查看用户信息和数字身份证书信息,配置和更新访问控制策略。
根据本发明的云环境下的身份和访问控制管理系统的一实施例,所述的用户端包括:客户端。该客户端向用户提供三大接口,包含身份管理接口、认证身份接口、访问服务接口。身份管理接口与注册服务器交互完成用户身份信息的注册、更新和注销;认证身份接口与认证服务器交互完成用户身份的登录和退出;访问服务接口与授权服务器交互获取授权票据,使用授权票据向应用服务端请求服务资源。
本发明还揭示一种云环境下的身份和访问控制管理方法,包括:用户与注册服务器的交互完成对用户的身份管理,以及用户与认证服务器、授权服务器、应用服务器的交互完成对用户的访问控制管理,当已经注册过的用户向应用服务端请求服务时,经过如下步骤:
1)用户发起服务请求,应用服务器验证用户是否携带授权票据,如果没有,则首先需要到认证服务器获取认证票据;
2)用户向认证服务器发送证明用户身份的信息,请求认证票据;
3)认证服务器验证用户身份信息,发送用户的认证票据;
4)用户收到认证票据,向授权服务器发送认证票据+请求资源描述符的消息;
5)授权服务器验证用户认证票据,根据资源描述符合访问控制策略,对用户做出相应的授权票据并发送;
6)用户向应用服务器发送授权票据,请求服务资源;
7)应用服务器验证用户的授权票据,发送请求的服务资源。
根据本发明的云环境下的身份和访问控制管理方法的一实施例,所述的身份管理的方法进一步包括,注册服务器提供注册、更新、注销用户身份信息接口,为每一个用户,使用X509.v3协议生成用户的数字身份证书。
根据本发明的云环境下的身份和访问控制管理方法的一实施例,所述的访问控制管理的方法进一步包括,用户与认证服务之间通过数字身份证书完成双向认证,另外需要验证用户的用户名和口令,才能生成用户的认证票据。用户通过认证服务器的一次认证生成的认证票据,可以多次使用认证票据。
根据本发明的云环境下的身份和访问控制管理方法的一实施例,所述的访问控制管理方法进一步包括,用户获取访问资源服务,必须获取授权票据,授权服务器首先验证用户的认证票据的有效性,然后根据访问控制策略,给用户颁发授权票据。
根据本发明的云环境下的身份和访问控制管理方法的一实施例,所述的访问控制策略使用基于用户组角色访问控制方法,每个用户属于一个用户组,用户组包含不同角色,角色分配了不同的服务资源。
根据本发明的云环境下的身份和访问控制管理方法的一实施例,所述的认证票据和授权票据基于SAML协议,认证票据和授权票据有严格时间段限制,早于时间段或晚于时间票据均无效,另外认证票据经过SHA1算法得出的消息摘要被认证服务器的私钥签名,授权票据据经过SHA1算法得出的消息摘要被授权服务器的私钥签名。
相对于现有技术,本发明的有益效果在于:本发明设计一种云环境下的身份和访问控制管理系统及方法,具有细粒度、高效性、可用性等特点,解决了云端身份管理和访问控制过程中账号权限变更难、多系统账号集成困难以及弱密码等身份管理和访问控制问题,使云端用户更安全、便捷管理云端应用。
注册服务器部署在云端,与认证服务器、授权服务器、应用服务器分离部署,这样在复杂的环境下,仍能够在复杂的系统中保持独立、安全、可靠的运行。
附图说明
图1为本发明提供了一种云环境下的身份和访问控制管理系统的总体物理架构示意图。
图2为本发明提供了一种云环境下的身份和访问控制管理系统的各个子系统逻辑关系示意图。
图3为本发明提供了一种云环境下的身份和访问控制管理系统的整体工作过程示意图,描述用户从发出服务请求,到资源服务得到相应返回到客户端的整个过程。
图4为本发明提供了一种云环境下的身份和访问控制管理系统的身份管理示意图,描述用户注册身份以及申请数字证书的过程。
图5为本发明提供了一种云环境下的身份和访问控制管理系统的身份认证的过程示意图,描述用户身份认证的过程。
图6为本发明提供了一种云环境下的身份和访问控制管理系统的获取访问权限的过程示意图,描述了用户获取访问服务权限的过程。
图7为本发明提供了一种云环境下的身份和访问控制管理系统的访问资源服务的过程示意图,描述了用户获取访问资源服务的过程。
图8为本发明提供了一种云环境下的身份和访问控制管理系统的访问控制关系示意图,描述了访问控制关系。
图9为本发明提供了一种云环境下的身份和访问控制管理系统的票据生成示意图,描述了认证服务器和授权服务器生成认证票据和授权票据的过程。
具体实施方式
下面结合附图对本发明的具体实施方式做进一步的详细说明。
本实例提供一种云环境下的身份和访问控制管理系统,其示意图如图1所示,包括身份和访问控制管理系统IAM、用户端和应用服务端;其中,身份和访问控制管理系统IAM包括注册服务器、认证服务器、授权服务器、系统中心数据库、CA证书库和系统管理员。
注册服务器部署在云端,与认证服务器、授权服务器、应用服务器分离部署,这样在复杂的环境下,仍能够在复杂的系统中保持独立、安全、可靠的运营。注册服务器服务开启后,侦听服务端口,当有服务请求的时候,注册服务器首先判断消息的类型,然后根据消息的类型做出相应的动作。注册服务器参与管理用户身份整个身份周期,包括:接受用户的申请、提供和撤销用户的身份信息,以及颁发数字身份证书、允许用户自我管理身份信息、允许用户申请其他用户的数字身份证书。
认证服务器部署在云端,与其他服务器分离部署,能够在复杂系统中保持独立、安全、可靠地运营。认证服务器服务开启后,侦听服务端口,当有服务请求的时候,认证服务器首先验证用户身份信息的合法性,然后根据验证的结果做出相应的动作。当用户的身份验证合法,认证服务器生成用户的基于SAML协议的认证票据,并发送给用户。该认证票据包含:用户身份信息、票据的生成时间、鉴权的认证服务器名称、票据的有效期、被认证服务器的私钥签名的票据消息摘要。用户的认证票据在有效期内可以使用,避免了用户频繁登录认证服务器获取认证票据。
授权服务器部署在云端,与其他服务器分离部署,能够在复杂系统中保持独立、安全、可靠地运营。授权服务器服务开启后,侦听服务端口,当有服务请求的时候,授权服务器首先验证用户的认证票据的完整性,提取用户的身份信息和请求资源信信息,然后授权服务器访问系统中心数据库,查找用户的访问控制策略,生成用户的授权票据。该授权票据包含:用户的身份信息、票据的生成时间、生成票据的授权服务器的名称、票据的有效期、用户的所在用户组id号、请求服务资源所在的角色组id号、使用资源的权限、被授权服务器私钥签名的票据消息摘要。用户的授权票据在有效期内可以使用,避免请求同一资源服务多次请求授权票据。
应用服务器部署在云端,与其他服务器分离部署,能够在复杂系统中保持独立、安全、可靠地运营。应用服务器开启后,侦听服务端口,当有服务请求的时候,应用服务器首先检查收到用户的授权票据,如果应用服务器收到用户的授权票据,首先验证票据的合法性,然后从授权票据获取用户的请求的资源信息,根据授权票据用户对资源的访问权限,向用户提供资源服务。如果没有收到用户的授权票据,指示用户首先到认证服务器端获取认证票据。
系统中心数据库,处在注册服务器、认证服务器和授权服务器的后端。当有用户注册、修改、注销自身身份信息时,注册都要更新系统中心数据库的用户身份信息。当用户认证获取认证票据时,认证服务器需要系统中心数据库提供用户身份信息。当用户需要授权获取授权票据时,授权服务器需要系统中心数据库提供用户访问控制策略。
CA证书库,处在注册服务器的后端,为每一个用户包括:注册用户、注册服务器、认证服务器、授权服务器、应用服务器提供X.509v3数字身份证书。为前端服务器提供查询、更新、修改数字身份证书的接口。
系统管理员,是系统中心数据库的管理员,系统中心数据库为系统管理员提供操作系统中心数据库的接口,系统管理员使用接口配置访问控制策略,管理系统中心数据库和CA证书库,查看用户信息和证书信息。
客户端,处在用户端,向用户提供三大接口,包含身份管理接口、认证身份接口、访问服务接口。身份管理接口与注册服务器交互完成用户身份信息的注册、更新和注销;认证身份接口与认证服务器交互完成用户身份的登录和退出;访问服务接口与授权服务器交互获取授权票据,使用授权票据向应用服务端请求服务资源。所有的交互过程,由客户端主动发起。
本实例提供一种云环境下的身份和访问控制管理系统,其中各个子系统的关系如图2所示,其中包括用户端、应用服务端、IAM系统。用户与IAM系统关系是:1、用户向IAM系统注册用户,IAM系统给用户颁发身份证书;2、当用户登录认证系统时,会向认证系统申请认证票据,IAM系统验证用户身份向用户发送认证票据;3、当用户需要访问某项资源服务时,会向授权系统发送认证票据和请求资源的消息,授权系统验证用户身份根据请求资源发送相应的授权票据。IAM系统与应用服务器的关系是应用服务器向IAM系统注册服务。用户与应用服务间关系是用户发送相应的资源申请票据信息,应用服务器验证授权票据发送资源消息。
本实施例提供一种云环境下的身份和访问控制管理方法,其示意图如图3所示,当用注册后的用户访问服务资源是经过如下步骤:
(1)用户发起服务请求,应用服务器验证用户是否携带授权票据,如果没有,则首先需要到认证服务器获取认证票据;
(2)用户向认证服务器发送证明用户身份的信息,请求认证票据;
(3)认证服务器验证用户身份信息,发送用户的认证票据;
(4)用户收到认证票据,向授权服务器发送认证票据+请求资源描述符的消息;
(5)授权服务器验证用户认证票据,根据资源描述符合访问控制策略,对用户做出相应的授权票据并发送;
(6)用户向应用服务器发送授权票据,请求服务资源;
(7)应用服务器验证用户的授权票据,发送请求的服务资源。
本实施例提供一种云环境下的身份和访问控制管理的方法,用户注册信息以及申请身份证书的过程如图4示。
步骤101,用户端产生含有用户公钥的消息,并使用注册服务器的公钥加密该消息后发送到注册服务器端,转到步骤102;
步骤102,注册服务接收含有用户的公钥的消息并使用自己的私钥解密,验证用户的公钥的合法性,转到步骤103;
步骤103,注册服务器为验证通过的用户生成数字身份证书,并储存在CA证书库,然后生成含有用户数字身份证书的消息,为验证没有通过的用户生成含有失败消息错误标示符的消息。消息经注册服务器的私钥签名后发送给用户端。转到步骤104;
步骤104,用户端接收注册服务器返回的消息并验证消息完整性,然后判别返回的消息的类型,申请数字身份证书失败,终止以下步骤;申请数字身份证书成功,把证书存在用户端本地,转到步骤105;
步骤105,用户端生成用户的注册信息的消息,消息首先被注册服务器的公钥加密,然后经用户的私钥签名后发送到注册服务器端。转到106步骤;
步骤106,注册服务器接收用户端的消息,首先验证消息的完整性,并使用自己的私钥解密消息。转到步骤107;
步骤107,为通过验证的用户创建用户信息,储存在系统中心数据库里,并生成注册成功的消息,为没有验证通过的用户生成含有失败消息标示符的消息。消息经过注册服务器的私钥签名后发给用户端。转步骤108;
步骤108,用户端收到注册服务器的消息,使用注册服务器的公钥验证消息的完整性,然后判别消息的类型。
本实施例提供一种云环境下的身份和访问控制管理的方法,用户的认证过程如图5所示。
步骤201,用户端生成认证消息M,包含用户名和用户的静态口令的消息。转步骤202;
步骤202,用户端使用认证服务器的公钥加密消息M得消息E。转步骤203步骤203用户端使用算法SHA1哈希消息E生成消息摘要,用用户的私钥签名摘要得H(E)。转步骤204;
步骤204,用户端发送消息(E||H(E))。转步骤205;
步骤205,认证服务器接收用户端消息(E||H(E))。转步骤206;
步骤206,认证服务器使用算法SHA1哈希消息E生成消息摘要,使用用户的公钥验证摘要和H(E),验证消息完整性通过,转步骤207;
步骤207,认证服务器使用自己的私钥解密消息E得消息M。转步骤208;
步骤208,验证用户的用户名和用户的静态口令,验证通过转步骤209;
步骤209,生成用户的认证票据,向用户发送含有认证票据的消息。
本实施例提供一种云环境下的身份和访问控制管理的方法,用户获取授权票据的过程如图6所示。
步骤301,用户已经从认证服务器那获取到自己的认证票据,生成带有认证票据和请求资源描述符的消息,向授权服务器发送该消息;
步骤302,授权服务器接收用户消息,验证用户的认证票据合法性,合法性包括:认证票据是否完整,票据是否过期。验证通过转步骤303;
步骤303,授权服务器访问系统中心数据库,查询用户的对请求资源描述符描述的资源的访问权限。根据访问控制策略,制定响应消息。转步骤304;
步骤304,如果用户有访问权限,生成含有用户的授权票据的消息,如果没有访问权限,生成无访问权限的消息。
本实施例提供一种云环境下的身份和访问控制管理的方法,已经获取授权的用户访问应用服务获取资源服务的过程如图7所示。
步骤401,用户已经从授权服务器上获取到请求的资源的授权票据,生成带有授权票据和资源描述符的消息,向应用服务器发送消息。转步骤402;
步骤402,应用服务器接收用户消息,验证用户的授权票据合法性,合法性包括:授权票据是否完整,票据是否过期。验证通过,应用服务器生成用户请求的资源服务的消息,发送资源服务消息。
本实例提供一种云环境下的身份和访问控制管理的方法,用户的访问控制关系如图8所示,根据基于用户组的角色访问控制策略,每个用户属于一个用户组,用户组可以按照不同的角度划分,例如部门、等级等等,每个用户组下拥有不同的角色,每种角色下分配不同对资源的访问权限。每个用户注册身份信息时,会被分到一个默认的用户组,如果用户想要改变自己的用户组,需要联系系统管理员进行管理变更。
本实施例提供一种云环境下的身份和访问控制管理的方法,认证票据和授权票据生成的过程如图9所示,其中认证票据由认证服务器生成,授权票据由授权服务器生成。
步骤501,认证服务器或者授权服务器收到用户端票据请求的消息,使用SAML协议生成对应的票据。转步骤502;
步骤502,认证服务器或者授权服务器对生成的票据增加时间戳属性信息,然后使用SHA1算法计算票据的消息摘要。转步骤503;
步骤503,认证服务器或者授权服务器使用自己私钥证书对票据的消息摘要签名,然后把用户端请求的票据和已签名的消息摘要发送给用户端。
以上是方便本发明阐述所采用的实施例而已,但本发明不应该局限于该实施例和附图所公开的内容。凡是不脱离本发明所公开的精神下完成的等效或修改,都落入本发明的保护范围。
Claims (4)
1.一种云环境下的身份和访问控制管理系统,其特征在于,包括:身份和访问控制管理系统IAM、用户端和应用服务端;
身份和访问控制管理系统IAM,接受用户端的身份信息的注册、更新、注销以及生成和销毁用户的数字身份证书;接受应用服务器端的服务注册,配置访问控制策略;完成用户端的身份验证,颁发用户端的认证票据;完成用户端的认证票据的验证,颁发用户端的授权票据;
用户端,向身份和访问控制管理系统IAM注册身份信息,获取数字身份证书,完成注册;通过身份和访问控制管理系统IAM验证身份,获取认证票据、授权票据,向应用服务端发送授权票据,完成资源服务的请求;
应用服务端,向身份和访问控制管理系统IAM注册资源服务;接受客户端用户的请求,验证用户端的授权票据,根据判断结果对用户端的请求做出响应;
用户与认证服务器之间通过数字身份证书完成双向认证;用户通过认证服务器的一次认证生成的认证票据,可以多次使用;
所述身份和访问控制管理系统IAM和应用服务端分别连接用户端,通过应用服务端实现对身份和访问控制管理系统IAM注册资源服务,通过身份和访问控制管理系统IAM对用户身份认证与访问控制管理;
所述身份和访问控制管理系统IAM包括:注册服务器、认证服务器、授权服务器、CA证书库、系统中心数据库和系统管理员;
注册服务器,接受用户的申请、更新用户信息、注销用户,颁发数字身份证书;当用户注册时,向用户颁发数字身份证书;当用户申请其他用户数字身份证书时,注册服务器验证用户身份,然后发放其他用户的数字身份证书;
认证服务器,验证用户的身份,颁发用户的认证票据,当用户登入认证系统时,通过验证用户的数字身份证书和静态口令,验证用户的身份信息,然后给用户发送认证票据;
授权服务器,验证用户的认证票据,结合用户请求的服务资源生成相应的授权票据发送给用户;当用户访问服务资源时,需要先向授权服务器申请授权票据,用户得到授权票据后才能访问服务资源;
CA证书库,储存备份所有的用户、认证服务器、授权服务器和应用服务器的数字身份证书;
系统中心数据库,存储用户信息以及授权服务器的访问控制策略;
系统管理员,包括管理系统中心数据库和CA证书库,查看用户信息和证书信息,配置和更新访问控制策略;
所述用户端包括:
客户端,提供包含身份管理接口、认证身份接口和访问服务接口的三大接口;身份管理接口与注册服务器交互完成用户身份信息的注册、更新和注销;认证身份接口与认证服务器交互完成用户身份的登录和退出;访问服务接口与授权服务器交互获取授权票据,使用授权票据向应用服务端请求服务资源。
2.一种云环境下的身份和访问控制管理方法,其特征在于,包括:用户与注册服务器的交互完成对用户的身份管理方法,以及用户与认证服务器、授权服务器、应用服务器的交互完成对用户的访问控制管理方法,当注册过的用户向应用服务端请求服务时,包括如下步骤:
1)用户发起服务请求,应用服务器检查用户是否携带授权票据,如果没有,则首先需要到认证服务器获取认证票据;
2)用户向认证服务器发送证明用户身份的信息,请求认证票据;
3)认证服务器验证用户身份信息,发送用户的认证票据;
4)用户收到认证票据,向授权服务器发送包含认证票据和请求资源描述符的消息;
5)授权服务器验证用户认证票据,根据请求资源描述符查询访问控制策略,对用户做出相应的授权票据并发送;
6)用户向应用服务器发送授权票据,请求服务资源;
7)应用服务器验证用户的授权票据,发送请求的服务资源;
所述身份管理方法进一步包括,注册服务器提供注册、更新、注销用户身份信息接口,为每一个用户,使用X509.v3协议生成用户的数字身份证书;
所述访问控制管理方法进一步包括,用户与认证服务器之间通过数字身份证书完成双向认证,另外需要验证用户的用户名和口令,才能生成用户的认证票据;用户通过认证服务器的一次认证生成的认证票据,可以多次使用;
所述访问控制管理方法进一步包括,用户获取访问资源服务,必须获取授权票据,授权服务器首先验证用户的认证票据的有效性,然后根据访问控制策略,给用户颁发授权票据。
3.如权利要求2所述的云环境下的身份和访问控制管理方法,其特征在于,所述访问控制策略使用基于用户组角色访问控制方法,每个用户属于一个用户组,用户组包含不同角色,角色分配了不同的服务资源。
4.如权利要求3所述的云环境下的身份和访问控制管理方法,其特征在于,所述认证票据和授权票据基于SAML协议,认证票据和授权票据具有严格时间段限制,早于时间或晚于时间均无效,另外认证票据经过SHA1算法得出的消息摘要被认证服务器的私钥签名,授权票据经过SHA1算法得出的消息摘要被授权服务器的私钥签名。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510988053.3A CN105577665B (zh) | 2015-12-24 | 2015-12-24 | 一种云环境下的身份和访问控制管理系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510988053.3A CN105577665B (zh) | 2015-12-24 | 2015-12-24 | 一种云环境下的身份和访问控制管理系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105577665A CN105577665A (zh) | 2016-05-11 |
| CN105577665B true CN105577665B (zh) | 2019-06-18 |
Family
ID=55887322
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510988053.3A Active CN105577665B (zh) | 2015-12-24 | 2015-12-24 | 一种云环境下的身份和访问控制管理系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105577665B (zh) |
Families Citing this family (52)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108322472B (zh) * | 2016-05-11 | 2019-06-25 | 甲骨文国际公司 | 用于提供基于云的身份和访问管理的方法、系统和介质 |
| US10425386B2 (en) | 2016-05-11 | 2019-09-24 | Oracle International Corporation | Policy enforcement point for a multi-tenant identity and data security management cloud service |
| US10878079B2 (en) | 2016-05-11 | 2020-12-29 | Oracle International Corporation | Identity cloud service authorization model with dynamic roles and scopes |
| US10735394B2 (en) | 2016-08-05 | 2020-08-04 | Oracle International Corporation | Caching framework for a multi-tenant identity and data security management cloud service |
| US10516672B2 (en) | 2016-08-05 | 2019-12-24 | Oracle International Corporation | Service discovery for a multi-tenant identity and data security management cloud service |
| CN106209913B (zh) * | 2016-08-30 | 2019-07-23 | 江苏天联信息科技发展有限公司 | 数据访问方法及装置 |
| CN106453313A (zh) * | 2016-10-15 | 2017-02-22 | 成都育芽科技有限公司 | 基于云计算平台的虚拟机安全验证系统及方法 |
| CN106411941B (zh) * | 2016-11-24 | 2019-05-07 | 济南浪潮高新科技投资发展有限公司 | 一种云环境下安全认证资源分配和管理方法 |
| CN108206821A (zh) * | 2016-12-20 | 2018-06-26 | 航天信息股份有限公司 | 一种身份认证的方法及系统 |
| CN108243164B8 (zh) * | 2016-12-26 | 2021-10-15 | 航天网安技术(深圳)有限公司 | 一种电子政务云计算跨域访问控制方法和系统 |
| CN106961441B (zh) * | 2017-04-06 | 2020-05-22 | 中国民航大学 | 一种用于Hadoop云平台的用户动态访问控制方法 |
| CN106921678A (zh) * | 2017-04-27 | 2017-07-04 | 中国舰船研究设计中心 | 一种集成异构舰载信息系统的统一安全认证平台 |
| CN107196767A (zh) * | 2017-07-26 | 2017-09-22 | 成都三零盛安信息系统有限公司 | 证书申请方法及装置 |
| CN107634973B (zh) * | 2017-10-31 | 2020-11-20 | 深圳竹云科技有限公司 | 一种服务接口安全调用方法 |
| CN109802927B (zh) * | 2017-11-17 | 2021-06-11 | 航天信息股份有限公司 | 一种安全服务提供方法及装置 |
| CN107995185A (zh) * | 2017-11-28 | 2018-05-04 | 北京信安世纪科技有限公司 | 一种认证方法及装置 |
| CN108462710B (zh) * | 2018-03-20 | 2021-09-21 | 新华三技术有限公司 | 认证授权方法、装置、认证服务器及机器可读存储介质 |
| CN108462723A (zh) * | 2018-03-28 | 2018-08-28 | 湖南东方华龙信息科技有限公司 | 自主创建云端签名验证服务器的方法 |
| CN109005177B (zh) * | 2018-08-08 | 2021-01-29 | 珠海沃德尔软件科技有限公司 | 一种应对紧急事件的授权方法和系统 |
| CN109684873B (zh) * | 2018-12-29 | 2020-12-29 | 金蝶软件(中国)有限公司 | 数据访问控制方法、装置、计算机设备和存储介质 |
| CN109787976B (zh) * | 2019-01-17 | 2021-11-16 | 深圳壹账通智能科技有限公司 | 信息更新方法、装置、计算机设备及存储介质 |
| CN110222531B (zh) * | 2019-05-31 | 2023-07-07 | 创新先进技术有限公司 | 一种访问数据库的方法、系统及设备 |
| CN112152977A (zh) * | 2019-06-28 | 2020-12-29 | 双子星云端运算股份有限公司 | 异质云端平台认证与授权整合系统 |
| CN110309666A (zh) * | 2019-07-10 | 2019-10-08 | 浪潮云信息技术有限公司 | 一种基于策略语法的细粒度访问控制方法及系统 |
| CN110401648A (zh) * | 2019-07-16 | 2019-11-01 | 宇龙计算机通信科技(深圳)有限公司 | 获取云服务的方法、装置、电子设备及介质 |
| CN110545274A (zh) * | 2019-08-30 | 2019-12-06 | 南瑞集团有限公司 | 一种基于人证合一的uma服务的方法、装置和系统 |
| CN112291188B (zh) * | 2019-09-23 | 2023-02-10 | 中建材信息技术股份有限公司 | 注册验证方法及系统、注册验证服务器、云服务器 |
| CN110535882A (zh) * | 2019-09-27 | 2019-12-03 | 南方电网科学研究院有限责任公司 | 一种基于异构终端的身份认证服务方法及系统 |
| CN112769735B (zh) * | 2019-11-05 | 2023-03-24 | 阿里巴巴集团控股有限公司 | 资源访问方法、装置与系统 |
| CN111131160B (zh) * | 2019-11-25 | 2022-03-25 | 中科边缘智慧信息科技(苏州)有限公司 | 一种用户、服务及数据认证系统 |
| CN110891067B (zh) * | 2019-12-10 | 2020-12-08 | 成都工业学院 | 一种可撤销的多服务器隐私保护认证方法及系统 |
| CN111241519B (zh) * | 2020-01-19 | 2022-07-26 | 北京工业大学 | 基于证书的访问控制系统和方法 |
| CN111447184A (zh) * | 2020-03-09 | 2020-07-24 | 上海数据交易中心有限公司 | 单点登录方法及装置、系统、计算机可读存储介质 |
| CN111538973A (zh) * | 2020-03-26 | 2020-08-14 | 成都云巢智联科技有限公司 | 基于国密算法的个人授权访问控制系统 |
| CN111753264B (zh) * | 2020-07-01 | 2023-11-21 | 电子科技大学 | 一种基于Oauth 2.0的高校移动应用通用授权认证系统 |
| CN111797378A (zh) * | 2020-07-06 | 2020-10-20 | 遵义科晟云达科技有限公司 | 一种人社信息多重身份管理认证平台 |
| CN111917732B (zh) * | 2020-07-10 | 2022-04-26 | 杭州海康威视数字技术股份有限公司 | 一种大数据组件的访问方法、装置、系统及电子设备 |
| CN111901346B (zh) * | 2020-07-29 | 2022-10-25 | 北京奇艺世纪科技有限公司 | 一种身份认证系统 |
| CN112187808B (zh) * | 2020-09-30 | 2023-04-21 | 徐凌魁 | 一种交通电子认证平台及认证方法 |
| CN112312392B (zh) * | 2020-10-21 | 2022-12-23 | 中国建设银行股份有限公司 | 适用于移动设备的数据获取方法、系统和存储介质 |
| CN114553450A (zh) * | 2020-11-24 | 2022-05-27 | 贝斯平环球公司 | 合并管理系统及合并管理系统的控制方法 |
| CN112580006A (zh) * | 2020-12-24 | 2021-03-30 | 中国建设银行股份有限公司 | 一种多云系统的访问权限控制方法、装置及认证服务器 |
| CN112351048B (zh) * | 2021-01-11 | 2021-03-26 | 全时云商务服务股份有限公司 | 一种接口访问控制方法、装置、设备和存储介质 |
| CN113285811B (zh) * | 2021-06-11 | 2021-11-19 | 智道网联科技(北京)有限公司 | 数据传输的验证方法和装置、系统和计算机可读存储介质 |
| CN114372254B (zh) * | 2021-08-16 | 2023-03-24 | 中电长城网际系统应用有限公司 | 大数据环境下的多认证授权方法 |
| CN113839949B (zh) * | 2021-09-26 | 2023-10-24 | 锐捷网络股份有限公司 | 一种访问权限管控系统、方法、芯片及电子设备 |
| CN114024751B (zh) * | 2021-11-05 | 2023-05-23 | 抖音视界有限公司 | 一种应用访问控制方法、装置、计算机设备及存储介质 |
| CN114884982B (zh) * | 2022-03-28 | 2023-11-07 | 江苏徐工工程机械研究院有限公司 | 一种基于云服务的多矿山用户在线管理方法及系统 |
| CN114844714A (zh) * | 2022-05-24 | 2022-08-02 | 中国民生银行股份有限公司 | 用户身份认证的方法和基于ldap协议的代理服务端 |
| CN115277085B (zh) * | 2022-06-23 | 2023-07-25 | 国网浙江省电力有限公司湖州供电公司 | 一种云计算平台身份认证和权限管理的方法及相关设备 |
| CN115913696B (zh) * | 2022-11-10 | 2024-04-26 | 国网四川省电力公司电力科学研究院 | 一种虚拟网络零信任访问控制方法、装置、设备及介质 |
| CN115913772B (zh) * | 2022-12-20 | 2024-06-04 | 四川启睿克科技有限公司 | 一种基于零信任的智慧家庭设备安全防护系统及方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102088360A (zh) * | 2009-12-08 | 2011-06-08 | 长春吉大正元信息技术股份有限公司 | 分布式授权管理系统及其实现方法 |
| CN105072138A (zh) * | 2015-01-16 | 2015-11-18 | 北京科技大学 | 一种云系统安全访问方法、装置及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080028453A1 (en) * | 2006-03-30 | 2008-01-31 | Thinh Nguyen | Identity and access management framework |
| US8161164B2 (en) * | 2006-04-28 | 2012-04-17 | Microsoft Corporation | Authorizing service requests in multi-tiered applications |
-
2015
- 2015-12-24 CN CN201510988053.3A patent/CN105577665B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102088360A (zh) * | 2009-12-08 | 2011-06-08 | 长春吉大正元信息技术股份有限公司 | 分布式授权管理系统及其实现方法 |
| CN105072138A (zh) * | 2015-01-16 | 2015-11-18 | 北京科技大学 | 一种云系统安全访问方法、装置及系统 |
Non-Patent Citations (1)
| Title |
|---|
| "基于改进Kerberos协议的单点登录系统研究与实现";刘铮;《中国优秀硕士学位论文全文数据库 信息科技辑》;20110315;正文第22-57页 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105577665A (zh) | 2016-05-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105577665B (zh) | 一种云环境下的身份和访问控制管理系统及方法 | |
| US8627409B2 (en) | Framework for automated dissemination of security metadata for distributed trust establishment | |
| US10664577B2 (en) | Authentication using delegated identities | |
| CN108964885B (zh) | 鉴权方法、装置、系统和存储介质 | |
| CN107483491A (zh) | 一种云环境下分布式存储的访问控制方法 | |
| CN108111473B (zh) | 混合云统一管理方法、装置和系统 | |
| WO2022121461A1 (zh) | 一种云平台资源访问控制的令牌构造方法、装置及设备 | |
| CN106375323A (zh) | 一种多租户模式下kerberos身份认证的方法 | |
| CN103259663A (zh) | 一种云计算环境下的用户统一认证方法 | |
| CN103152179A (zh) | 一种适用于多应用系统的统一身份认证方法 | |
| CN1274105C (zh) | 基于数字证书实现的动态口令认证方法 | |
| CN108206821A (zh) | 一种身份认证的方法及系统 | |
| KR102410006B1 (ko) | 사용자 권한 관리가 가능한 did 생성 방법 및 이를 이용한 사용자 권한 관리 시스템 | |
| BR112016000122B1 (pt) | Método e sistema relacionados à autenticação de usuário para acessar redes de dados | |
| EP4264880A1 (en) | Integration of legacy authentication with cloud-based authentication | |
| US20170104748A1 (en) | System and method for managing network access with a certificate having soft expiration | |
| WO2014173278A1 (zh) | 基于PaaS平台的身份认证方法以及身份认证设备 | |
| Thomas et al. | Single sign-on in cloud federation using cloudsim | |
| WO2009129719A1 (zh) | 网络服务中的票据认证方法、系统及实体 | |
| CN110891067B (zh) | 一种可撤销的多服务器隐私保护认证方法及系统 | |
| Kim et al. | Can we create a cross-domain federated identity for the industrial Internet of Things without Google? | |
| Tiwari et al. | Design and Implementation of Enhanced Security Algorithm for Hybrid Cloud using Kerberos | |
| JP2023548415A (ja) | 保護装置によって達成される対象物の保護を停止する方法 | |
| Fugkeaw et al. | Multi-Application Authentication based on Multi-Agent System. | |
| Fugkeaw et al. | A robust single sign-on model based on multi-agent system and PKI |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |