CN1352429A - 域用户集中授权和管理系统 - Google Patents
域用户集中授权和管理系统 Download PDFInfo
- Publication number
- CN1352429A CN1352429A CN 01132340 CN01132340A CN1352429A CN 1352429 A CN1352429 A CN 1352429A CN 01132340 CN01132340 CN 01132340 CN 01132340 A CN01132340 A CN 01132340A CN 1352429 A CN1352429 A CN 1352429A
- Authority
- CN
- China
- Prior art keywords
- user
- territory
- management
- main domain
- main
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明提供一种域用户集中授权和管理系统,该系统包括一个安全管理中心,若干个主域服务器和若干个客户端主机构成,安全管理中心由一个管理控制台和一个安全数据库组成。所述的域用户集中授权和管理系统在主域服务器上安装相应的域管理代理软件后,通过安全管理中心的管理控制台可以对这些主域服务器的进行集中授权和管理。本发明在不改变网络物理结构,不加重网络负担,不加重邮件服务器负担的情况下实现了用户身份认证及授权的集中统一。
Description
技术领域
本发明涉及身份认证、授权与网络安全的方法,尤其涉及对域用户集中授权和管理的系统。
背景技术
在一个网络集成系统中,对于用户的管理和授权的重要性往往是居于第一位的。如果用户的管理和授权有问题,整个网络将是不安全的,通常会被黑客们突破安全系统中的第一道关卡,发现其他更多的漏洞,导致无法挽回的损失。在比较大的网络集成系统中,通常存在多种类型的机器和操作系统,例如Windows 95/98、Windows NT Server、Windows 2000 Server等。同时也会存在多个主域服务器。这时,系统管理员需要管理两个以上的主域服务器以及两个以上的操作系统的用户和组,增加了系统维护费用。随着企业全球化加快,其分支机构地理跨度很大,如何管理这些主域服务器是系统管理员关心的问题。
对于域用户管理,绝大多数的操作人员使用的是Windows的域用户管理器,不少系统管理人员感到在使用的时候非常不方便。虽然微软公司正着力在Windows的较高版本中改进域用户管理器,至少目前,我们仍然没有一个很理想的管理工具。虽然Windows域用户管理器提供了非常友好的界面来帮助操作人员实施用户管理,但其实际效果并不尽人意。如果不能对网络中的用户实施有效的管理,将会给企业造成巨大的浪费。系统管理员迫切需要一种集中的管理模式。
传统域用户管理方法如图1所示,如果让其中一台计算机集中管理所有账号,其它计算机依靠它来保证账号安全,这种基于服务器的网络在Windows NT中称为域(Domain),集中管理账户的计算机称为主域控制器(Primary Domain Controller,PDC),域中还可以设置备份域控制器(Backup Domain Controller,BDC)。只有安装了Windows NTServer的计算机才能担当。若是网络设计成域模型,则必须有且只能有一个主域控制器,而且PDC必须首先安装。BDC则不是网络中必须的。
在传统的方案中,管理员很难同时管理多个主域服务器,无法统一对各个普通用户集中授权。各个主域服务器时间可能有所差异,无法同步。由于一个用户可能拥有多个用户帐号,用户可能采用相同的登录口令或强度较低的口令。
发明内容
本发明的目的主要是解决当前Windows主域服务器域用户管理中存在的问题,实现当前Windows域用户管理技术无法实现的功能,使系统中所有主域服务器中的域用户由域用户管理中心控制台统一控制,极大地增强了域用户管理的有效性和便利性。
本发明的目的是这样实现的,一种域用户集中授权和管理系统,包括一个安全管理中心,若干个主域服务器和若干个客户端主机构成,所述安全管理中心由一个管理控制台和一个安全数据库组成,所述系统在所述主域服务器上安装相应的域管理代理软件后,通过所述安全管理中心的管理控制台这些主域服务器的进行集中授权和管理,所述的管理控制台是一个在Windows系列上运行应用程序,实现了统一的管理界面,通过所述的管理界面用户、用户组、域、应用及其它们之间的关系进行管理;用户、用户组的全局同步;用户进行授权。
上述安全管理中心的管理控制台实现主域服务器的集中授权和管理,包括如下步骤:
a.在各个主域服务器上安装域管理代理软件;
b.在所述管理控制台上添加各个安装好了域管理代理软件的主域服务器;
c.在添加好的主域服务器上再添加各个用户组;
d.在所述管理控制台上添加用户基本信息;
e.所述用户基本信息被存放到所述安全数据库中;用户基本信息包括各个应用的用户名、用户口令以及应用所涉及的主域服务器,所添加的用户可以在不同的主域服务器及用户组上有帐号;
f.所述管理控制台同步将用户基本信息传输到所述主域服务器,与主域服务器的域用户代理进行socket通讯;
g.所述主域服务器的域用户代理通过用户数据处理函数处理用户基本信息;
h.所述客户端主机上用户登录或执行某些被授权的应用,客户端主机登录主域服务器之前需访问所述安全数据库,从所述安全数据库中得到授权用户的基本信息,所述客户端主机根据从所述安全数据库中得到的用户基本信息发出向所述主域服务器的登录。
上述安全管理中心上具有一网络服务提供程序,该程序提供客户端用户身份认证的接口和客户端应用程序SSO的接口。
前述的域管理代理软件包括两个独立模块,用户数据处理模块和Socket通讯模块,在步骤g中,所述域管理代理软件处理用户基本信息的流程如下:
a.系统启动后,由WindowsNT服务控制程序启动用户管理服务;
b.用户管理服务启动一个用户数据处理部分的主线程,并调用socket初始化函数,登记主线程的入口函数地址,socket初始化程序调用主线程的入口函数,获得一个对应于端口的消息处理函数入口,启动一个socket主线程,完成Socket的初始化,并绑定监听端口;
c.当有连接到来时,socket主线程调用用户数据处理主线程的消息处理函数,要求建立该连接的数据处理子线程;用户数据处理主线程的消息处理函数根据收到的消息建立数据处理子线程,并返回针对该连接的数据处理函数入口;
d.socket创建一个对应于连接的子线程,接收数据,查询数据处理子线程的状态并调用数据处理函数,发送数据,循环直至连接结束。
本发明在不改变网络物理结构,不加重网络负担,不加重邮件服务器负担的情况下实现了用户身份认证及授权。系统安全认证解决方案,保证了与用户应用程序的无关性,大大降低程序的移植成本。并且改变了以往只能对单个主域服务器管理并且只能在本机上进行管理的局面,可以对多个主域服务器进行管理,对一个比较大的网络集成系统中用户信息的集中控制。在这种方法之上,我们在一个管理控制台上对多个主域服务器中的用户组、用户集中管理,统一授权。对于一个稳定的系统,成功的实现了各个主域服务器时间上的同步。同时,为用户分配高强度的用户口令,不易被黑客通过字典攻击的方法进行口令攻击。如果系统中某个主域服务器出现问题,仍然可以实施有效的认证与授权。
附图说明
图1:传统域用户授权和管理系统
图2:本发明的域用户授权和管理系统
图3:域管理代理软件的基本处理流程
具体实施方式
下面结合附图和实施例来进一步说明本发明。
如图2所示,我们设计了一个域用户用户管理中心,域管理同步技术应用在一个身份认证系统中,网络环境是百兆以太网,硬件设备包括HP服务器或其它服务器、百兆以太网卡,运行平台是中文Windows NT Server4.0+Service Pack6。
该系统包括一个安全管理中心的管理控制台14、一个安全数据库13、十几个主域服务器11、几百台客户端主机12。客户端主机12分别与各个主域服务器11连接,安全数据库13与管理控制台14连接。在安全管理中心的管理控制台上安装管理控制软件,在各个主域服务器上安装域用户代理软件,在各个客户端主机安装客户端软件。在本系统中用户基本信息将通过安全管理中心存放在IC卡中。
用户得到授权的过程为,在域用户管理中心控制台上添加各个安装好了域管理代理软件的主域服务器,这样域用户管理中心控制台就可以管理控制这些主域上的用户组和用户;在域用户管理中心控制台输入用户基本信息;将用户基本信息存放到安全数据库中;将用户基本信息传输到主域服务器,与主域服务器的域用户代理进行Socket通讯;主域服务器的域用户代理通过用户数据处理函数处理用户基本信息,将这些信息输入到主域服务器操作系统本身的域用户管理器中,这样用户就得到了操作系统的授权。
域用户代理软件具有两个模块,即用户数据处理模块和Socket通讯模块,其处理流程如图3所示,由于采用Windows NT服务程序模式,当系统启动后由Windows NT服务控制程序(Service controller)启动用户管理服务。用户管理服务启动一个用户数据处理部分的主线程,并调用socket初始化函数,登记主线程(MainProcThread)的入口函数(MainProcThread.ThreadMain)地址。socket初始化程序调用主线程(MainProcThread)的入口函数(MainProcThread.ThreadMain),获得一个对应于端口的消息处理函数入口(MainProcThread.Dispatch),启动一个socket主线程(SocketMainThread),完成Socket的初始化,并绑定监听端口。
当有连接到来时,socket主线程(SocketMainThread)调用用户数据处理主线程的消息处理函数(MainProcThread.Dispatch),要求建立该连接的数据处理子线程(NetDataProcess);用户数据处理主线程的消息处理函数(MainProcThread.Dispatch)根据收到的消息建立数据处理子线程(NetDataProcess),并返回针对该连接的数据处理函数入口(NetDataProcess.DataProcess)。socket创建一个对应于连接的子线程(SocketConnectThread),接收数据,查询数据处理子线程(NetDataProcess)的状态(通过MainProcThread.Dispatch)并调用数据处理函数(NetDataProcess.DataProcess),发送数据,循环直至连接结束。
上述过程是由系统自动完成的,系统的组件功能如下:安全管理中心的控制台是一个在Windows 95/98、Windows NT、Windows2000上运行的应用程序,其实现了集成的管理界面,管理员通过安全管理中心管理多个主域服务器,并通过这个管理界面,对用户、用户组、域、用户与用户组的关系及用户在各个主域服务器上的授权进行统一的管理。安全数据库存放用户数据、用户组数据、域数据及三者相互关系的关系数据。各个主域服务器上安装有域管理代理软件,域管理代理和各个主域服务器相结合,实现集中统一的用户、用户组管理。
Claims (7)
1、一种域用户集中授权和管理系统,其特征在于,所述授权管理系统包括一个安全管理中心,若干个主域服务器和若干个客户端主机构成,所述安全管理中心由一个管理控制台和一个安全数据库组成,所述系统在所述主域服务器上安装相应的域管理代理软件后,通过所述安全管理中心的管理控制台对这些主域服务器的进行集中授权和管理。
2、如权利要求1所述的系统,其特征在于,所述管理控制台实现对主域服务器的集中授权和管理,包括如下步骤:
a.在各个主域服务器上安装域管理代理软件;
b.在所述管理控制台上添加各个安装好了域管理代理软件的主域服务器;
c.在添加好的主域服务器上再添加各个用户组;
d.在所述管理控制台上添加用户基本信息;
e.所述用户基本信息被存放到所述安全数据库中;
f.所述管理控制台同步将用户基本信息传输到所述主域服务器,与主域服务器的域用户代理进行socket通讯;
g.所述主域服务器的域用户代理通过用户数据处理函数处理用户基本信息;
h.所述客户端主机上用户登录或执行某些被授权的应用。
3、如权利要求1所述的方法,在步骤d中,所述用户基本信息包括各个应用的用户名、用户口令以及应用所涉及的主域服务器,所添加的用户可以在不同的主域服务器及用户组上有帐号;
4、如权利要求1所述的方法,其特征在于,所述安全管理中心上具有一网络服务提供程序,该程序提供客户端用户身份认证的接口和客户端应用程序SSO的接口。
5、如权利要求1所述的方法,其特征在于,所述域管理代理软件包括两个独立模块,用户数据处理模块和Socket通讯模块,在步骤g中,所述域管理代理软件处理用户基本信息的流程如下:
a.系统启动后,由Windows NT服务控制程序启动用户管理服务;
b.用户管理服务启动一个用户数据处理部分的主线程,并调用socket初始化函数,登记主线程的入口函数地址,socket初始化程序调用主线程的入口函数,获得一个对应于端口的消息处理函数入口,启动一个socket主线程,完成Socket的初始化,并绑定监听端口;
c.当有连接到来时,socket主线程调用用户数据处理主线程的消息处理函数,要求建立该连接的数据处理子线程;用户数据处理主线程的消息处理函数根据收到的消息建立数据处理子线程,并返回针对该连接的数据处理函数入口;
d.socket创建一个对应于连接的子线程,接收数据,查询数据处理子线程的状态并调用数据处理函数发送数据,循环直至连接结束。
6、如权利要求1所述的方法,其特征在于,所述的管理控制台是一个在Windows系列上运行应用程序,实现了统一的管理界面,通过所述的管理界面对用户、用户组、域、应用及其它们之间的关系进行管理;用户、用户组的全局同步;对用户进行授权。
7、如权利要求2所述的方法,其特征在于,所述客户端主机登录主域服务器之前需访问所述安全数据库,从所述安全数据库中得到授权用户的基本信息,所述客户端主机根据从所述安全数据库中得到的用户基本信息发出向所述主域服务器的登录。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB01132340XA CN1313950C (zh) | 2001-11-29 | 2001-11-29 | 域用户集中授权管理系统及其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB01132340XA CN1313950C (zh) | 2001-11-29 | 2001-11-29 | 域用户集中授权管理系统及其方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1352429A true CN1352429A (zh) | 2002-06-05 |
| CN1313950C CN1313950C (zh) | 2007-05-02 |
Family
ID=4671372
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB01132340XA Expired - Fee Related CN1313950C (zh) | 2001-11-29 | 2001-11-29 | 域用户集中授权管理系统及其方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1313950C (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007009350A1 (fr) * | 2005-07-21 | 2007-01-25 | Huawei Technologies Co., Ltd. | Système universel de gestion de la sécurité réseau et équipement et méthode pour celui-ci |
| CN100351791C (zh) * | 2002-11-06 | 2007-11-28 | 甲骨文国际公司 | 控制对由应用程序限定的专用操作的执行的方法 |
| WO2008025277A1 (en) * | 2006-08-24 | 2008-03-06 | Huawei Technologies Co., Ltd. | Method, system and password management server for managing user password of network device |
| CN100454325C (zh) * | 2004-11-19 | 2009-01-21 | 株式会社日立制作所 | 安全系统、认证服务器、认证方法和程序 |
| WO2009039679A1 (en) * | 2007-09-26 | 2009-04-02 | Lucent Technologies Inc. | Architecture and method for centralized system minimization and hardening management |
| CN1917515B (zh) * | 2006-09-04 | 2010-05-12 | 华为技术有限公司 | 多业务进程管理系统及管理方法 |
| CN101282233B (zh) * | 2007-04-02 | 2010-10-27 | 华为技术有限公司 | 网元管理安全系统及方法 |
| CN101163066B (zh) * | 2006-12-19 | 2011-05-11 | 冲浪平台(北京)网络技术有限公司 | 分布式电子邮件系统 |
| CN102307097A (zh) * | 2011-09-02 | 2012-01-04 | 深圳中兴网信科技有限公司 | 一种用户身份认证方法及系统 |
| CN101917300B (zh) * | 2007-05-16 | 2012-07-04 | 华为技术有限公司 | 一种控制多设备的授权方法、通信设备和服务器 |
| CN101996081B (zh) * | 2009-08-20 | 2013-09-04 | 精品科技股份有限公司 | 在客户端电脑安装软件的方法 |
| CN104239814A (zh) * | 2014-09-17 | 2014-12-24 | 上海斐讯数据通信技术有限公司 | 一种移动办公安全方法及系统 |
| CN104765991A (zh) * | 2015-03-17 | 2015-07-08 | 成都智慧之芯科技有限公司 | 集中控制系统中设备授权管理方法 |
| CN105591775A (zh) * | 2014-10-23 | 2016-05-18 | 华为技术有限公司 | 一种网络的操作管理维护oam方法、装置和系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2328352A (en) * | 1997-08-12 | 1999-02-17 | Lucent Technologies Uk Limited | Redundant communication network |
| EP1035462B1 (en) * | 1999-03-08 | 2006-11-29 | Software Ag | Method for checking user access |
-
2001
- 2001-11-29 CN CNB01132340XA patent/CN1313950C/zh not_active Expired - Fee Related
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100351791C (zh) * | 2002-11-06 | 2007-11-28 | 甲骨文国际公司 | 控制对由应用程序限定的专用操作的执行的方法 |
| CN100454325C (zh) * | 2004-11-19 | 2009-01-21 | 株式会社日立制作所 | 安全系统、认证服务器、认证方法和程序 |
| CN100461690C (zh) * | 2005-07-21 | 2009-02-11 | 华为技术有限公司 | 通用网管安全管理系统及其方法 |
| WO2007009350A1 (fr) * | 2005-07-21 | 2007-01-25 | Huawei Technologies Co., Ltd. | Système universel de gestion de la sécurité réseau et équipement et méthode pour celui-ci |
| WO2008025277A1 (en) * | 2006-08-24 | 2008-03-06 | Huawei Technologies Co., Ltd. | Method, system and password management server for managing user password of network device |
| CN1917515B (zh) * | 2006-09-04 | 2010-05-12 | 华为技术有限公司 | 多业务进程管理系统及管理方法 |
| CN101163066B (zh) * | 2006-12-19 | 2011-05-11 | 冲浪平台(北京)网络技术有限公司 | 分布式电子邮件系统 |
| CN101282233B (zh) * | 2007-04-02 | 2010-10-27 | 华为技术有限公司 | 网元管理安全系统及方法 |
| CN101917300B (zh) * | 2007-05-16 | 2012-07-04 | 华为技术有限公司 | 一种控制多设备的授权方法、通信设备和服务器 |
| WO2009039679A1 (en) * | 2007-09-26 | 2009-04-02 | Lucent Technologies Inc. | Architecture and method for centralized system minimization and hardening management |
| CN101996081B (zh) * | 2009-08-20 | 2013-09-04 | 精品科技股份有限公司 | 在客户端电脑安装软件的方法 |
| CN102307097A (zh) * | 2011-09-02 | 2012-01-04 | 深圳中兴网信科技有限公司 | 一种用户身份认证方法及系统 |
| CN104239814A (zh) * | 2014-09-17 | 2014-12-24 | 上海斐讯数据通信技术有限公司 | 一种移动办公安全方法及系统 |
| CN105591775A (zh) * | 2014-10-23 | 2016-05-18 | 华为技术有限公司 | 一种网络的操作管理维护oam方法、装置和系统 |
| US10237124B2 (en) | 2014-10-23 | 2019-03-19 | Huawei Technologies Co., Ltd. | Network operation, administration, and maintenance (OAM) method, apparatus, and system |
| CN105591775B (zh) * | 2014-10-23 | 2019-10-25 | 华为技术有限公司 | 一种网络的操作管理维护oam方法、装置和系统 |
| CN104765991A (zh) * | 2015-03-17 | 2015-07-08 | 成都智慧之芯科技有限公司 | 集中控制系统中设备授权管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1313950C (zh) | 2007-05-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1313950C (zh) | 域用户集中授权管理系统及其方法 | |
| US7761551B2 (en) | System and method for secure remote access | |
| US6442695B1 (en) | Establishment of user home directories in a heterogeneous network environment | |
| US6928547B2 (en) | System and method for authenticating users in a computer network | |
| US6618806B1 (en) | System and method for authenticating users in a computer network | |
| US5586260A (en) | Method and apparatus for authenticating a client to a server in computer systems which support different security mechanisms | |
| EP0689326A2 (en) | Method of operating a computer network | |
| US20020112186A1 (en) | Authentication and authorization for access to remote production devices | |
| US20050080897A1 (en) | Remote management utility | |
| CN101488857B (zh) | 认证服务虚拟化 | |
| EP0977399A3 (en) | Authentication and access control in a management console program for managing services in a computer network | |
| EP1141828A1 (en) | An apparatus and method for determining a program neighborhood for a client node in a client-server network | |
| WO2005008456A2 (en) | Multi-platform single sign-on database driver | |
| CN104754582A (zh) | 维护byod安全的客户端及方法 | |
| CN1760882A (zh) | 用于远程安全启用的系统和方法 | |
| CN100512107C (zh) | 一种安全认证方法 | |
| US20090260066A1 (en) | Single Sign-On To Administer Target Systems with Disparate Security Models | |
| CN108269061A (zh) | 一种公私混合的社交化协作系统 | |
| CN1437360A (zh) | 通过点对点协议上网的用户获取互联网协议地址的方法 | |
| US20020169967A1 (en) | Method and apparatus for multiple token access to thin client architecture session | |
| US8695019B2 (en) | System and method for delivering external data to a process running on a virtual machine | |
| US20040083296A1 (en) | Apparatus and method for controlling user access | |
| CN1622519A (zh) | 信息同步管理系统及方法 | |
| CN113296959A (zh) | 基于aop功能组件的服务处理方法、装置及计算机设备 | |
| CN108447163A (zh) | 一种家校通云控制门禁系统及其控制方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C06 | Publication | ||
| PB01 | Publication | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20070502 Termination date: 20131129 |