CN113486322A - 一种一体化平台基于单点登录的控制方法、装置、介质 - Google Patents
一种一体化平台基于单点登录的控制方法、装置、介质 Download PDFInfo
- Publication number
- CN113486322A CN113486322A CN202110823467.6A CN202110823467A CN113486322A CN 113486322 A CN113486322 A CN 113486322A CN 202110823467 A CN202110823467 A CN 202110823467A CN 113486322 A CN113486322 A CN 113486322A
- Authority
- CN
- China
- Prior art keywords
- security
- user
- single sign
- administrator
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种一体化平台基于单点登录的控制方法、装置、介质,包括三员管理和单点登录,包括以下步骤:S1:用户提出申请并到保密工作机构进行备案;S2:系统管理员收到申请根据所在部门审批结果和保密工作机构的核准认可,在信息建设系统中为该用户生成标识符创建用户账号;S3:安全保密管理员收到申请后根据保密工作机构的审核结果,配置相应权限,并激活账号;S4:安全审计员定期查看与系统管理员、安全保密管理员相关的审计日志;克服了三员管理机制落实不到位、权限控制粗糙和无法杜绝泄密的问题,通过实施单点登录系统可以有效地实现业务系统的整合,提高整个一体化平台系统的安全性、易用性,权限统一管理、权限具体到字段级。
Description
技术领域
本发明属于信息化建设技术领域,具体涉及一种一体化平台基于单点 登录的控制方法、装置及存储介质。
背景技术
随着信息化技术的飞速发展,特别是电子信息化步伐的逐步加快,各 个系统已经从独立的单机应用发展到越来越复杂的、互连的安全网络应用, 这一变化直接导致了系统用户身份认证技术应用的蔓延。身份认证的应用 是网络安全应用系统的第一道防线,在应用系统中起着非常重要的作用, 是网络系统中必不可少的一个环节。在各地市州各种应用系统不断涌现, 网络资源不断增加,需要通过身份认证之处不断增多,管理员的工作最不断增大,对于各个系统用户的管理也越来越复杂,管理人员迫切需要能够 有一个个集中统一的网络用户身份认证及授权系统,能够在分布式网络环 境中进行有效的用户身份以及访问控制管理。
主要面临以下技术问题:1.用户登录不便利,由于实行各自认证,用 户在应用不同系统时就需要分别登录,多次登录不仅给用户带不便,也容 易引起登录信息泄密,存在安全隐患;2.信息重复,由于多个系统事实上 是相互关联的,就必然会造成大量的信息重复;3.权限设置混乱,由于多 个系统各自设置用户的权限,必然造成权限设置无法统一;4.数据不一致: 由于独立管理用户,在数据输入或更新时必须同时对多个系统输入或更新,这就造成各应用系统之间的数据不一致。
发明内容
本发明的目的在于提供一种一体化平台基于单点登录的控制方法,用 户基于最初访问系统时的一次身份认证即可获得所有业务系统和应用软件 的授权,可以在整个信息建设系统中对所有被授权的资源、应用以及服务 进行无缝的访问,而不需要进行多次认证。单点登录技术正是解决这一难 题的最佳方法,解决认证机制所存在的问题。
一种一体化平台基于单点登录的控制方法,包括三员管理和单点登录, 所述三员管理包括系统管理员、安全保密管理员和安全审计员,包括以下 步骤:
S1:用户提出申请并到保密工作机构进行备案;
S2:系统管理员收到申请后根据所在部门审批结果和保密工作机构的 核准认可,在信息建设系统中为该用户生成标识符创建用户账号或所述用 户的工作或权限变动由所在部门通知安全保密管理员,并报单位的保密工 作机构备案;
S3:安全保密管理员收到申请后根据保密工作机构的审核结果,配置 相应权限,并激活账号;
S4:安全审计员定期查看与系统管理员、安全保密管理员相关的审计 日志;
S5:用户在信息建设系统登录入口进行账号登录。
本发明的进一步优选,所述系统管理员响应所述信息建设系统中的应 用的管理安全权限的处理操作。
本发明的进一步优选,所述安全管理员响应所述信息建设系统中的应 用的用户访问安全权限的处理操作。
本发明的进一步优选,所述审计管理员响应所述信息建设系统中的应 用进行安全审计的处理操作。
本发明的进一步优选,所述安全审计员根据相关手续文件对用户账号 增加、删除和用户权限变化的情况确定系统管理员、安全保密管理员的操 作的合规性。
本发明的进一步优选,所述申请包括书面申请、电子申请。
本发明的进一步优选,在上述S1中所述备案包括当前部门根据实际 情况到保密工作机构对新用户的权限进行说明。
本发明的进一步优选,在上述S3中安全保密管理员接到用户的工作 或权限变动的通知后根据变更结果注销用户账号或进行权限调整。
一种信息建设系统中基于单点登录的装置,包括采用上述任一一项的 控制方法的装置,所述装置通过三员管理机制对各地市州的用户创建、授 权后,用户在单点登录入口进行账号登录,根据用户编码,返回带行级权限 的数据库连接,业务系统使用返回的带行级权限数据库连接。
一种信息建设系统基于单点登录的存储介质,其上存储有计算机程序, 所述计算机程序被处理器执行时运行上述任一一项的所述方法。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
本发明在电子信息化领域信息化建设中,克服了三员管理机制落实不 到位、权限控制粗糙和无法杜绝泄密的问题,通过实施单点登录系统可以 有效地实现业务系统的整合,提高整个一体化平台系统的安全性、易用性, 权限统一管理、权限具体到字段级,降低信息化的总体成本,提高了领域 信息化建设效率。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1是本发明的方法流程示意图。
具体实施方式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除 了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图 及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体 实施例仅用以解释本发明,并不用于限定本发明,即所描述的实施例仅仅 是本发明一部分实施例,而不是全部的实施例,本说明书中公开的所有特 征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤 以外,均可以以任何方式组合。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限 制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本 发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的 所有其他实施例,都属于本发明保护的范围。
需要说明的是,术语“”和“第二”等之类的关系术语仅仅用来将一 个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这 些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包 括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得 包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还 包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或 者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……” 限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还 存在另外的相同要素。
下面结合图1对本发明作详细说明。
各系统已经从独立的单机应用发展到越来越复杂的、互连的安全网络 应用,这一变化直接导致了系统用户身份认证技术应用的蔓延。身份认证 的应用是网络安全应用系统的第一道防线,在应用系统中起着非常重要的 作用,是网络系统中必不可少的一个环节。在各地区各种应用系统不断涌 现,网络资源不断增加,需要通过身份认证之处不断增多,管理员的工作 最不断增大,对于各个系统用户的管理也越来越复杂,管理人员迫切需要 能够有一个个集中统一的网络用户身份认证及授权系统,能够在分布式网 络环境中进行有效的用户身份以及访问控制管理。特别是在电子信息化领 域信息化建设中,用户信息属于保密范围,各个业务系统的权限自成体系, 管理混乱;
主要面临以下技术问题:1.用户登录不便利,由于实行各自认证,用 户在应用不同系统时就需要分别登录,多次登录不仅给用户带不便,也容 易引起登录信息泄密,存在安全隐患;2.信息重复,由于多个系统事实上 是相互关联的,就必然会造成大量的信息重复;3.权限设置混乱,由于多 个系统各自设置用户的权限,必然造成权限设置无法统一;4.数据不一致: 由于独立管理用户,在数据输入或更新时必须同时对多个系统输入或更新,这就造成各应用系统之间的数据不一致。
实施例一:一种一体化平台基于单点登录的控制方法,包括三员管理 和单点登录,所述三员管理包括系统管理员、安全保密管理员和安全审计 员,在对该信息建设系统中需要新增用户时,包括以下步骤:
S1:用户提出申请并到保密工作机构进行备案;
S2:系统管理员收到申请后根据所在部门审批结果和保密工作机构的 核准认可,在信息建设系统中为该用户生成标识符创建用户账号;
S3:安全保密管理员收到申请后根据保密工作机构的审核结果,配置 相应权限,并激活账号;
S4:安全审计员定期查看与系统管理员、安全保密管理员相关的审计 日志;
S5:用户在信息建设系统登录入口进行账号登录。
实施案例二:一种一体化平台基于单点登录的控制方法,包括以下步 骤:
S1:用户提出申请并到保密工作机构进行备案;
S2:所述用户的工作或权限变动由所在部门通知安全保密管理员,并 报单位的保密工作机构备案;
S3:安全保密管理员收到申请后根据保密工作机构的审核结果,配置 相应权限,并激活账号;
S4:安全审计员定期查看与系统管理员、安全保密管理员相关的审计 日志;
S5:用户在信息建设系统登录入口进行账号登录。
实施案例三:所述系统管理员响应所述信息建设系统中的应用的管理 安全权限的处理操作,所述安全管理员响应所述信息建设系统中的应用的 用户访问安全权限的处理操作,所述审计管理员响应所述信息建设系统中 的应用进行安全审计的处理操作。
实施案例四:所述安全审计员根据相关手续文件对用户账号增加、删 除和用户权限变化的情况确定系统管理员、安全保密管理员的操作的合规 性。
实施案例五:在上述实施例上的进一步优选,所述申请包括不仅限于 书面申请、电子申请。
实施案例六:一种信息建设系统中基于单点登录的装置,包括采用上 述任一一项的控制方法的装置,所述装置通过三员管理机制对各地市州的 用户创建、授权后,用户在单点登录入口进行账号登录,根据用户编码,返 回带行级权限的数据库连接,业务系统使用返回的带行级权限数据库连接。
实施案例七:一种信息建设系统基于单点登录的存储介质,其上存储 有计算机程序,所述计算机程序被处理器执行时运行上述控制方法任一一 项。
尽管这里参照本发明的多个解释性实施例对本发明进行了描述,但是, 应该理解,本领域技术人员可以设计出很多其他的修改和实施方式,这些 修改和实施方式将落在本申请公开的原则范围和精神之内。更具体地说, 在本申请公开和权利要求的范围内,可以对主题组合布局的组成部件和/ 或布局进行多种变型和改进。除了对组成部件和/或布局进行的变型和改 进外,对于本领域技术人员来说,其他的用途也将是明显的。
Claims (10)
1.一种一体化平台基于单点登录的控制方法,其特征在于,包括三员管理和单点登录,所述三员管理包括系统管理员、安全保密管理员和安全审计员,包括以下步骤:
S1:用户提出申请并到保密工作机构进行备案;
S2:系统管理员收到申请后根据所在部门审批结果和保密工作机构的核准认可,在信息建设系统中为该用户生成标识符创建用户账号或所述用户的工作或权限变动由所在部门通知安全保密管理员,并报单位的保密工作机构备案;
S3:安全保密管理员收到申请后根据保密工作机构的审核结果,配置相应权限,并激活账号;
S4:安全审计员定期查看与系统管理员、安全保密管理员相关的审计日志;
S5:用户在信息建设系统登录入口进行账号登录。
2.根据权利要求1所述的一体化平台基于单点登录的控制方法,其特征在于,所述系统管理员响应所述信息建设系统中的应用的管理安全权限的处理操作。
3.根据权利要求1所述的一体化平台基于单点登录的控制方法,其特征在于,所述安全管理员响应所述信息建设系统中的应用的用户访问安全权限的处理操作。
4.根据权利要求1所述的一体化平台基于单点登录的控制方法,其特征于,所述审计管理员响应所述信息建设系统中的应用进行安全审计的处理操作。
5.根据权利要求1所述的一体化平台基于单点登录的控制方法,其特征在于,所述安全审计员根据相关手续文件对用户账号增加、删除和用户权限变化的情况确定系统管理员、安全保密管理员的操作的合规性。
6.根据权利要求1所述的一体化平台基于单点登录的控制方法,其特征于,所述申请包括书面申请、电子申请。
7.根据权利要求1所述的一体化平台基于单点登录的控制方法,其特征于,在上述S1中所述备案包括当前部门根据实际情况到保密工作机构对新用户的权限进行说明。
8.根据权利要求1所述的一体化平台基于单点登录的控制方法,其特征于,在上述S3中安全保密管理员接到用户的工作或权限变动的通知后根据变更结果注销用户账号或进行权限调整。
9.一种信息建设系统中基于单点登录的装置,其特征在于,包括采用上述权利要求1-5所述的控制方法的装置,所述装置通过三员管理机制对各地市州的用户创建、授权后,用户在单点登录入口进行账号登录,根据用户编码,返回带行级权限的数据库连接,业务系统使用返回的带行级权限数据库连接。
10.一种信息建设系统基于单点登录的存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时运行如权利要求1-8任一的所述方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110823467.6A CN113486322A (zh) | 2021-07-21 | 2021-07-21 | 一种一体化平台基于单点登录的控制方法、装置、介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110823467.6A CN113486322A (zh) | 2021-07-21 | 2021-07-21 | 一种一体化平台基于单点登录的控制方法、装置、介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113486322A true CN113486322A (zh) | 2021-10-08 |
Family
ID=77942632
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110823467.6A Pending CN113486322A (zh) | 2021-07-21 | 2021-07-21 | 一种一体化平台基于单点登录的控制方法、装置、介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113486322A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115935441A (zh) * | 2023-03-14 | 2023-04-07 | 北京有生博大软件股份有限公司 | 多租户模式下数字底座子域三员架构模型的实现方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106228059A (zh) * | 2016-07-22 | 2016-12-14 | 南京航空航天大学 | 基于三员管理和拓展的角色访问控制方法 |
CN106445399A (zh) * | 2015-08-05 | 2017-02-22 | 中兴通讯股份有限公司 | 一种存储系统的控制方法及存储系统 |
CN110417820A (zh) * | 2019-09-05 | 2019-11-05 | 曙光信息产业(北京)有限公司 | 单点登录系统的处理方法、装置及可读存储介质 |
-
2021
- 2021-07-21 CN CN202110823467.6A patent/CN113486322A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106445399A (zh) * | 2015-08-05 | 2017-02-22 | 中兴通讯股份有限公司 | 一种存储系统的控制方法及存储系统 |
CN106228059A (zh) * | 2016-07-22 | 2016-12-14 | 南京航空航天大学 | 基于三员管理和拓展的角色访问控制方法 |
CN110417820A (zh) * | 2019-09-05 | 2019-11-05 | 曙光信息产业(北京)有限公司 | 单点登录系统的处理方法、装置及可读存储介质 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115935441A (zh) * | 2023-03-14 | 2023-04-07 | 北京有生博大软件股份有限公司 | 多租户模式下数字底座子域三员架构模型的实现方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9049195B2 (en) | Cross-domain security for data vault | |
US7831570B2 (en) | Mandatory access control label security | |
US7814075B2 (en) | Dynamic auditing | |
US10491597B2 (en) | Enforcing data security in a cleanroom data processing environment | |
US7593942B2 (en) | Mandatory access control base | |
US7814076B2 (en) | Data vault | |
RU2691211C2 (ru) | Технологии для обеспечения сетевой безопасности через динамически выделяемые учетные записи | |
Viega | Building security requirements with CLASP | |
US20110167256A1 (en) | Role-based access control utilizing token profiles | |
US7770006B2 (en) | Method and apparatus for authorizing a database operation | |
PV et al. | POSTER: Security enhanced administrative role based access control models | |
WO2023078074A1 (zh) | 数据访问控制的方法和装置 | |
CN113486322A (zh) | 一种一体化平台基于单点登录的控制方法、装置、介质 | |
Alawneh et al. | Defining and analyzing insiders and their threats in organizations | |
JP4723930B2 (ja) | 複合的アクセス認可方法及び装置 | |
Fu et al. | An environment-based RBAC model for internal network | |
US10284554B2 (en) | Systems for providing device-specific access to an e-mail server | |
WO2002067173A1 (en) | A hierarchy model | |
Butler | Privileged password sharing:“root” of all evil | |
Basso et al. | Requirements, design and evaluation of a privacy reference architecture for web applications and services | |
CN111797382A (zh) | 一种特权账号的权限控制管理方法 | |
Dakic et al. | Linux Security in Physical, Virtual, and Cloud Environments | |
CN115422526B (zh) | 角色权限管理方法、设备及存储介质 | |
Batra et al. | Autonomous multilevel policy based security configuration in distributed database | |
Copeland et al. | Reduce Cyber Security Vulnerabilities: Identity Layer |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211008 |