CN201557132U - 基于pki/pmi技术的跨域管理装置 - Google Patents
基于pki/pmi技术的跨域管理装置 Download PDFInfo
- Publication number
- CN201557132U CN201557132U CN200920214275XU CN200920214275U CN201557132U CN 201557132 U CN201557132 U CN 201557132U CN 200920214275X U CN200920214275X U CN 200920214275XU CN 200920214275 U CN200920214275 U CN 200920214275U CN 201557132 U CN201557132 U CN 201557132U
- Authority
- CN
- China
- Prior art keywords
- domain
- cross
- identity
- pki
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本实用新型公开一种基于PKI/PMI技术的跨域管理装置,它包括:一跨域授权管理模块、一跨域身份管理模块及一监控审计管理模块;所述跨域授权管理模块、跨域身份管理模块和监控审计管理模块之间互相连接并进行数据信息交互;与其他PKI/PMI信任域进行网上数据共享和信息交换时,不同的PKI/PMI信任域之间可以信任和授权访问,更灵活、更安全的来管理跨域身份和授权访问,以提供安全通信和信息互联共享,实现跨域信息共享和资源的授权访问,实现本实用新型的目的。
Description
技术领域
本实用新型涉及一种适用于计算机信息安全领域的管理装置,特别涉及一种适用于计算机信息安全领域的信息保护的基于PKI/PMI技术的跨域管理装置。
背景技术
随着大规模网络的发展,数据涉及局域网、广域网、Internet等,数据安全性问题越来越突出,数据的安全性、保密性、真实性、完整性,成为人们关注的焦点。
为解决网络数据安全问题,世界各国对其进行了多年的研究,初步形成了一套完整的安全解决方案,即目前被广泛采用的PKI(Public Key Infrastructure-公钥基础设施)和PMI(Privilege Management Infrastructure-权限基础设施)技术。
随着电子政务、电子商务等业务的发展,信息在不同的网络、系统和数据源之间实现自动、快速、安全的交换,而用户则必须不停地跨域访问信息数据,然而在跨域用户访问跨越自己的PKI信任域的扩展外部业务与其他域的PKI/PMI认证系统进行网上数据共享和信息交换时,就会出现相互信任问题和资源访问的权限问题,如怎样确保交易双方身份真实性、交易的不可抵赖性、成交过程的保密性等,怎样确定外域用户在本域访问资源的权限问题等。
但是,不同域的PKI/PMI实现方式都是不相同的;因此,特别需要一种更灵活、更安全的装置来管理不同域的PKI身份识别和PMI的授权,以提供安全通信和信息互联共享。
实用新型内容
本实用新型的目的在于提供一种基于PKI/PMI技术的跨域管理装置,能够对跨域的身份和授权进行管理,能够很好的解决跨域互联和访问的问题,更灵活,更安全,实现安全通信和信息互联共享。
本实用新型解决其技术问题所采取的技术方案是:
一种基于PKI/PMI技术的跨域管理装置,其特征在于,它包括:
一用于操作多个管理域间的访问控制,访问控制的管理,授权策略的映射的跨域授权管理模块;
一基于PKI技术为身份管理与控制提供完整的解决方案的跨域身份管理模块;及
一提供对电子行为进行责任认定的完整解决方案并对所有的进行访问和授权的行为进行监控并审计的监控审计管理模块;
所述跨域授权管理模块、跨域身份管理模块和监控审计管理模块之间互相连接并进行数据信息交互。
在本实用新型的一个实施例中,所述跨域授权管理模块由身份基础层、身份管理层、身份控制层、身份跨域层互相连接构成;所述身份基础层、身份管理层、身份控制层、身份跨域层上设置有注册域标识,实现跨域信任。
在本实用新型的一个实施例中,所述跨域身份管理模块为一采用角色映射,代理访问实现多个逻辑隔离的认证域或访问控制域的跨域授权访问模块。
在本实用新型的一个实施例中,所述监控审计管理模块由一对跨域的每一个动作、每个请求、每个事件进行追踪和审计的审计模块及一对跨域的每个事件进行动态监控,并将监控的结果记录下来,以备后续的审计的监控模块构成。
进一步,所述审计模块上设置有为司法追踪提供证据的司法鉴定接口。
本实用新型的基于PKI/PMI技术的跨域管理装置,与其他PKI/PMI信任域进行网上数据共享和信息交换时,不同的PKI/PMI信任域之间可以信任和授权访问,更灵活、更安全的来管理跨域身份和授权访问,以提供安全通信和信息互联共享,实现跨域信息共享和资源的授权访问,实现本实用新型的目的。
附图说明
图1为本实用新型的基于PKI/PMI技术的跨域管理装置的结构框图;
图2为本实用新型的基于PKI/PMI技术的跨域管理装置的流程框图。
具体实施方式
为了使本实用新型实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本实用新型。
实施例
如图1所示,本发明的基于PKI/PMI技术的跨域管理装置,它包括:一跨域授权管理模块10、一跨域身份管理模块20及一监控审计管理模块30;跨域授权管理模块10、跨域身份管理模块20和监控审计管理模块30之间互相连接并进行数据信息交互。
跨域授权管理模块10是基于PKI技术的跨域身份管理,适用于大规模复杂应用系统,为应用系统的身份管理与控制提供完整的解决方案。跨域授权管理模块10包括四个层次:身份基础层、身份管理层、身份控制层、身份跨域层。
身份基础层,包括:客户端安全环境,网络环境、密钥环境、数据环境、目录服务LDAP等;
身份管理层,包括PKI、PMI中的属性管理、身份注册、策略管理,跨域的PMI扩展PMI+等;
身份控制层,包括身份认证、PMI及PMI+中的访问控制决策功能ADF(Access Decision Function)、审计与追踪等;
身份跨域层,包括跨域的LDAP目录服务、跨域的身份映射,跨域的授权代理和代理等。
所述身份基础层、身份管理层、身份控制层、身份跨域层上设置有注册域标识,实现跨域信任。
跨域授权管理模块10可采用形式化策略语言描述主体及其属性,实现标准化、可移植的身份管理,那样将会具有良好的互操作和扩展性;并可以通过角色映射解决跨域身份管理的复杂性问题。
跨域身份管理模块20的目的是在多个逻辑隔离的认证域或访问控制域的复杂网络环境下的跨域授权访问机制下,实现用户的安全状态自动迁移,并且需要兼容现有访问控制系统的跨域授权访问控制方法,以实现现有系统到跨域访问的平滑过渡,从而保护现有的投资并支持跨域的信息共享与业务协同。
跨域身份管理模块20主要解决多个管理域间访问控制的互操作性问题,访问控制的管理,授权策略的映射等问题。
多个管理域间访问控制的互操作:需要提供单点登录的跨企业和组织的授权机制,以实现全局一体的访问控制。在跨管理域的授权中由于信息访问的主体和客体可能属于访问控制策略不同的管理域,访问控制可能会发生冲突,这就需要一定的协调机制。访问控制的互操作需要满足两条原则:第一,自主原则,即在某一管理域中允许的信息访问,通过互操作也允许;第二,安全原则,即在某一管理域中禁止的信息访问,通过互操作也禁止。
访问控制的管理:网络中具有多个管理域、多种安全策略、大量的用户及信息服务请求以及异构的信息资源,访问控制又存在多种粒度,同时网络是一个开放、动态的系统,所以,应该使用一个易于管理的访问控制机制,以降低访问控制管理的复杂度。同时,跨管理域的授权可能会降低访问控制的确定性,造成安全漏洞,应该提供发现这些安全漏洞的机制。
授权策略映射的管理:授权策略由一组规定组成,用以指明证书用于指定信任域或具有相同安全要求的应用类型和范围。策略由信任域制定并对外广泛发布,策略映射是PKI互联互通必须解决的重要题。跨域管理的策略映射功能就是进行双方策略的确定对应。通过跨越管理系统的策略映射表将这种关系告诉使用者,从而使策略在不同的信任域互相理解。跨域授权策略映射管理首先制定一种合适的满足一般需要的策略,然后分析不同信任域的策略要求和颁发该策略证书的过程和规定,然后将对方的策略与自己的策略进行对应,最后将这种对应关系反映在用户访问中,以便所有的用户能够自动处理。
监控审计管理模块30用于责任认定的电子证据的证据力,解决由于电子证据的技术依赖性、形式复合性、存储与传递的隐蔽性、易于变造性所带来的责任认定困难问题。研究通过签名验证服务器、时间戳服务器、网络审计、主机审计、数据库审计、应用审计等系统协同工作,实现对电子证据完整性的保护、事件关联与证据链分析,提供对系统中的电子行为进行责任认定的完整解决方案。
同时对所有通过跨越管理系统的进行访问和授权的行为进行监控并审计。
本发明的基于PKI/PMI技术的跨域管理装置对跨域的身份和授权进行管理,具体实施方法如图2所示,请求域里面的用户跨域访问资源域里的数据时实施流程如下所述:
1、请求域里面的用户由客户端发起802.1x验证申请,并提交各人证书以及MachineID给跨域管理系统;
2、跨域管理系统确认用户提交的MachineID是否在已经注册的允许连入机器字典中,如果不在字典中,不打开可控端口,连接结束;
3、如果MachineID在字典中转入下一步身份认证;
4、将请求发送到PKI边界目录服务器上进行身份验证;
5、PKI返回跨域管理系统是否通过验证信息,如果用户证书验证不通过则不打开可控端口,连接结束;
6、通过认证的信息请求转入下一步角色去获取;
7、从PMI边界目录服务器中验证用户角色和权限;
8、获取用户的角色和权限,如果用户有特定角色返回特定角色,如果没有特定角色返回该类用户的默认角色;
9、将用户的角色提交给角色映射器,将用户的角色映射到中介角色代理;
10、将映射好的中介角色提交到下一步进行映射策略转换,映射策略转换的目的是将中介角色转换到资源域对应的角色;
11、角色对应的资源域代理证书绑定;
12、向资源域提交访问请求;
13、将请求发送到资源域PKI边界目录服务器上验证身份;
14、资源域PKI返回跨域管理系统是否通过验证信息,如果用户证书验证不通过则返回;
15、从资源域的PMI边界目录服务器中验证用户角色和权限;
16、获取用户的角色和权限,如果用户有特定角色返回特定角色,如果没有特定角色返回该类用户的默认角色;
17、访问资源域的资源并将访问结果返回到用户交互界面。
访问流程的过程中,角色映射采用IRBAC的方法[3][4],引入的中介角色映射和映射策略转换是关键环节,其中中介角色代理,起到桥梁作用,中介角色代理和每个域的代理访问角色一一映射,这样避免了每个域的代理访问角色两两相互映射,减少了映射的复杂度。映射策略转换过程相当于一个二次映射的过程,将请求域的角色映射到中介角色代理上后,需要通过计算将中介角色代理的权限转换到资源域的访问角色代理上,实现跨域的访问,这么做的好处是无论是请求域访问资源域还是资源域访问请求域,每个域不需要额外的改造工作。
监控审计管理模块30由审计模块和监控模块构成;审计模块可对跨域管理的系统的每一个动作、每个请求、每个事件进行追踪和审计,该模块有司法鉴定接口,可为司法追踪提供证据。
监控模块对跨域管理的每个事件进行动态监控,并将监控的结果记录下来,以备后续的审计,监控模块还会及时发现非法事件,异常事件并报警,可以得到及时的响应。
其中边界目录服务器的引入,是出于如下考虑:在信任域中,含有某些敏感信息,不希望为信任域外的用户访问。因此,出于安全考虑,不希望其它信任域中的用户直接访问城内的目录服务器在信任域的外围,单独采用一台目录服务器为域外的用户查询证书当前状态提供服务。该目录服务器上存放的信息是内部目录服务器的子集。
以上显示和描述了本实用新型的基本原理和主要特征和本实用新型的优点。本行业的技术人员应该了解,本实用新型不受上述实施例的限制,上述实施例和说明书中描述的只是说明本实用新型的原理,在不脱离本实用新型精神和范围的前提下,本实用新型还会有各种变化和改进,这些变化和改进都落入要求保护的本实用新型范围内,本实用新型要求保护范围由所附的权利要求书及其等效物界定。
Claims (5)
1.一种基于PKI/PMI技术的跨域管理装置,其特征在于,它包括:
一用于操作多个管理域间的访问控制,访问控制的管理,授权策略的映射的跨域授权管理模块;
一基于PKI技术为身份管理与控制提供完整的解决方案的跨域身份管理模块;及
一提供对电子行为进行责任认定的完整解决方案并对所有的进行访问和授权的行为进行监控并审计的监控审计管理模块;
所述跨域授权管理模块、跨域身份管理模块和监控审计管理模块之间互相连接并进行数据信息交互。
2.根据权利要求1所述的基于PKI/PMI技术的跨域管理装置,其特征在于,所述跨域授权管理模块由身份基础层、身份管理层、身份控制层、身份跨域层互相连接构成;所述身份基础层、身份管理层、身份控制层、身份跨域层上设置有注册域标识,实现跨域信任。
3.根据权利要求1所述的基于PKI/PMI技术的跨域管理装置,其特征在于,所述跨域身份管理模块为一采用角色映射,代理访问实现多个逻辑隔离的认证域或访问控制域的跨域授权访问模块。
4.根据权利要求1所述的基于PKI/PMI技术的跨域管理装置,其特征在于,所述监控审计管理模块由一对跨域的每一个动作、每个请求、每个事件进行追踪和审计的审计模块及一对跨域的每个事件进行动态监控,并将监控的结果记录下来,以备后续的审计的监控模块构成。
5.根据权利要求4所述的基于PKI/PMI技术的跨域管理装置,其特征在于,所述审计模块上设置有为司法追踪提供证据的司法鉴定接口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200920214275XU CN201557132U (zh) | 2009-11-27 | 2009-11-27 | 基于pki/pmi技术的跨域管理装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200920214275XU CN201557132U (zh) | 2009-11-27 | 2009-11-27 | 基于pki/pmi技术的跨域管理装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN201557132U true CN201557132U (zh) | 2010-08-18 |
Family
ID=42616821
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200920214275XU Expired - Lifetime CN201557132U (zh) | 2009-11-27 | 2009-11-27 | 基于pki/pmi技术的跨域管理装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN201557132U (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108173830A (zh) * | 2017-12-22 | 2018-06-15 | 北京明朝万达科技股份有限公司 | 一种网间的数据安全共享与管理方法和系统 |
| CN110502880A (zh) * | 2019-07-30 | 2019-11-26 | 同济大学 | 一种基于属性聚合的异构身份关联方法 |
| CN111314318A (zh) * | 2020-01-20 | 2020-06-19 | 扆亮海 | 不同域间安全互操作的跨域授权访问管制系统 |
-
2009
- 2009-11-27 CN CN200920214275XU patent/CN201557132U/zh not_active Expired - Lifetime
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108173830A (zh) * | 2017-12-22 | 2018-06-15 | 北京明朝万达科技股份有限公司 | 一种网间的数据安全共享与管理方法和系统 |
| CN110502880A (zh) * | 2019-07-30 | 2019-11-26 | 同济大学 | 一种基于属性聚合的异构身份关联方法 |
| CN111314318A (zh) * | 2020-01-20 | 2020-06-19 | 扆亮海 | 不同域间安全互操作的跨域授权访问管制系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2020244295A1 (zh) | 基于分布式账本技术的传感网的安全管理方法及安全系统 | |
| Mohammed | Analysis of Identity and Access Management alternatives for a multinational information-sharing environment | |
| CN106534199B (zh) | 大数据环境下基于xacml和saml的分布式系统认证与权限管理平台 | |
| CN110957025A (zh) | 一种医疗卫生信息安全管理系统 | |
| CN100542092C (zh) | 分布式多级安全访问控制方法 | |
| CN110222518B (zh) | 基于区块链的可信权能访问控制方法 | |
| Etalle et al. | A posteriori compliance control | |
| CN114513533A (zh) | 一种分类分级健身健康大数据共享系统及方法 | |
| CN105991278A (zh) | 一种基于cp-abe的密文访问控制方法 | |
| CN103761600A (zh) | 一种电子政务综合应用平台及方法 | |
| Ghaffari et al. | Authentication and access control based on distributed ledger technology: A survey | |
| CN102227116A (zh) | 一种安全的局域网管理方法和一种局域网 | |
| Habiba et al. | Access control management for cloud | |
| CN106888191A (zh) | 等级保护多级安全互联系统及其互联方法 | |
| MANGIUC | Cloud identity and access management–A model proposal | |
| CN201557132U (zh) | 基于pki/pmi技术的跨域管理装置 | |
| Hu et al. | Attribute considerations for access control systems | |
| Li et al. | A blockchain-based IoT cross-domain delegation access control method | |
| Yan et al. | Distributed authentication scheme for industry internet platform application based on consortium blockchain | |
| CN106506500A (zh) | 一种基于saml和xacml的云计算统一身份认证的方法 | |
| Al-Nayadi et al. | An authentication framework for e-health systems | |
| DeLooze | Providing web service security in a federated environment | |
| CN202059438U (zh) | 一种企业计算机终端信息保护系统 | |
| Pohlmann et al. | Rights management technologies: A good choice for securing electronic health records? | |
| Yang et al. | Study on e-government construction |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term |
Granted publication date: 20100818 |
|
| CX01 | Expiry of patent term |