CN202004786U

CN202004786U - 一种认证与权限管理服务器

Info

Publication number: CN202004786U
Application number: CN2010206364348U
Authority: CN
Inventors: 白竟; 李毓才; 刘刚; 杨健; 孙绍钢; 李晓勇
Original assignee: Sinorail Hongyuan (beijing) Information Software Development Co Ltd; SINORAIL INFORMATION COMPUTER ENGINEERING Co Ltd
Current assignee: Sinorail Hongyuan (beijing) Information Software Development Co Ltd; SINORAIL INFORMATION COMPUTER ENGINEERING Co Ltd
Priority date: 2010-12-01
Filing date: 2010-12-01
Publication date: 2011-10-05
Anticipated expiration: 2020-12-01

Abstract

本实用新型涉及一种认证与权限管理服务器，所述认证与权限管理服务器包括身份认证模块，授权管理模块，权限委托管理模块，审计模块；所述身份认证模块用于对用户及设备的身份进行认证；所述授权管理模块用于对通过所述身份认证模块认证的用户进行基于用户和角色的授权管理；所述权限委托管理模块用于通过权限委托方式，将相关应用或操作委任给指定的用户；所述审计模块用于对应用提供安全审计。本实用新型能满足用户业务要求的应用认证与权限管理系统平台，实现对应用系统中用户身份、设备资源、角色权限、访问控制等安全信息和安全策略的集中统一管理。

Description

一种认证与权限管理服务器

技术领域

本实用新型涉及信息安全领域，特别是涉及一种认证与权限管理系统。

背景技术

随着信息技术的飞速发展，信息产业已成为国贸紧急发展的支柱产业，从而推动了高新技术、全球信息化突飞猛进的发展，全面推进办公自动化、网络化、电子化、全面信息共享是信息化发展的大势所趋。信息安全重要性也随着科技信息的发展而日益突出。

随着应用规模的增加，安全管理的难度也随之提高。在小型应用系统中，由于规模小，资源数量较少，用户数量不多，安全策略安全可以很快得以部署而不会带来管理不一致问题；但是在大中型应用系统中，如何保证系统各组成成分之间安全策略的快速部署及其一致性执行就成为一个非常现实的问题，这一问题解决的好坏程度直接决定了系统的安全效率和效果。

认证与权限控制是安全管理的一个重要内容。因此，需要一种认证与权限管理系统来实现安全的集中管理。

实用新型内容

针对现有技术中存在的缺陷和不足，本实用新型提出一种认证与权限管理系统，以更好地解决信息安全中的集中管理问题。

为了实现上述目的，本实用新型提出一种认证与权限管理系统，所述认证与权限管理系统包括身份认证模块，授权管理模块，权限委托管理模块，审计模块；其中：

所述身份认证模块用于对用户及设备的身份进行认证；

所述授权管理模块用于对通过所述身份认证模块认证的用户进行基于用户和角色的授权管理；

所述权限委托管理模块用于通过权限委托方式，将相关应用或操作委任给指定的用户；

所述审计模块用于对应用提供安全审计。

作为上述技术方案的优选，所述认证与权限管理系统还包括：内置LDAP服务模块，用于实时更新安全管理信息或策略，并将这些安全管理信息或策略实时转换为应用能直接访问的应用安全策略。

作为上述技术方案的优选，所述认证与权限管理系统还包括应用管理模块，用于对证书、用户信息、角色、资源与对象进行管理。

作为上述技术方案的优选，所述认证与权限管理系统还包括安全传输模块，用于使系统中的信息进行安全传输。

作为上述技术方案的优选，所述认证与权限管理系统支持建立分布式的认证与权限管理的云管理模式。

本实用新型提出的认证与权限管理系统能满足用户业务要求的应用认证与权限管理系统平台，实现对应用系统中用户身份、设备资源、角色权限、访问控制等安全信息和安全策略的集中统一管理。

下面结合附图，对本实用新型的具体实施方式作进一步的详细说明。对于所属技术领域的技术人员而言，从对本实用新型的详细说明中，本实用新型的上述和其他目的、特征和优点将显而易见。

附图说明

图1为本实用新型提出的认证与权限管理系统的示意图；

图2为认证与权限管理系统的“云管理”结构示意图；

图3为应用本地认证与权限管理模式示意图。

具体实施方式

如图1所示，本实用新型提出的认证与权限管理系统包括身份认证模块，授权管理模块，权限委托管理模块，审计模块；其中：

所述身份认证模块用于对用户及设备的身份进行认证；

所述审计模块用于对应用提供安全审计。

其中，所述认证与权限管理系统还可以包括：内置LDAP服务模块，用于实时更新安全管理信息或策略，并将这些安全管理信息或策略实时转换为应用能直接访问的应用安全策略。

所述认证与权限管理系统还可以包括：应用管理模块，用于对证书、用户信息、角色、资源与对象进行管理。

所述认证与权限管理系统还可以包括安全传输模块，用于使系统中的信息进行安全传输。

所述认证与权限管理系统支持建立分布式的认证与权限管理的云管理模式。

本实用新型所提出的认证与权限管理系统以身份管理、证书管理、资源管理、角色管理、安全标记和安全策略管理为内容的综合应用安全管理平台，它有以下功能特点：

1.基于用户和角色的授权管理。本系统支持基于用户和角色的授权管理机制，即安全管理员可以根据用户身份分配或根据角色(业务岗位)确定他们对资源的访问权限。

2.基于权限委托的管理机制。本系统可以通过权限委托方式，将具体的与业务应用密切相关的安全管理细节委任给具体的适当人选，而高层管理人员或机构通过这种创建或取消权限委托的方式实现其管理意志。通过权限委托机制可以有效地实现“集中指挥、多级管理”的现实管理方式和管理要求，以最贴切的方式支持现有的业务管理流程。

3.支持“最小特权”安全原则。本系统通过安全访问控制机制限制每个安全管理员对安全目录信息(包括身份、资源、角色、证书、安全标记、安全策略等)的管理权限，并通过管理权限的合理设置保证安全管理员拥有充分并且适当的管理范围和管理能力。

4.可信管理。本系统建立在可信的目录服务平台上，支持基于证书的安全管理人员和管理设备的身份认证，保证管理人员和安全管理平台的身份可信；支持基于密码技术的安全目录信息传输和复制，保证安全目录服务内容的可信；通过信任传递机制保证安全管理平台的运行可信。

5.实时高效。本系统通过应用内置LDAP服务减少应用在安全机制执行过程中的性能开销，提高系统的管理实时性和高效性。安全管理信息或安全策略的任何变化都会被实时更新到应用内置的LDAP服务中，并通过这些内置的LDAP目录服务相关工具将这些安全管理信息和安全策略实时转换为应用可以直接访问的应用安全策略；应用内置的LDAP服务对于应用本身的安全执行机制是完全透明的，这种透明的管理模式既保证了安全管理的实时性，又避免了应用集中访问LDAP服务的计算和传输开销，提高了安全性能。

6.高可用性结构。本系统支持的内置LDAP服务机制本质上保证了应用安全策略执行实体与安全管理系统之间的松耦合性，即使安全管理系统因为故障不能提供策略修改和查询服务，应用系统依然会基于本地保存的安全管理信息和安全策略实施安全控制。

此外，该认证与权限管理系统还可以通过双机热备等方式提供安全管理的高可用性。

采用该认证与权限管理系统的最大优势是：首先，它以标准化技术为基础基础，很容易针对用户的实际系统进行定制；其次，它充分参考了实际的机构管理模式，使管理流程更符合用户要求；再次，另一方面，中铁信“睿安”认证与权限管理系统使用简单，容易维护和优化。

解决方案示例：

铁路是一个“集中指挥、三级管理”的系统，在满足全路统一调度、统一指挥的前提下，铁道部、各路局和站段都有其各自独立的管理权限，因此铁路信息系统的认证与权限管理具有以下复杂性特点：

1.集中和统一的管理要求。为保障各管理层次范围内的系统安全运行，每级管理机构或部门必须有能力对其辖下业务和系统的安全运行策略实施统一管理、统一调度，保证管理的协调性和一致性，从而保证铁路运输的安全生产；

2.多级管理体系。在服从上级统一指挥的前提下，各级单位应该有能力在自己的管理范围和管理权限内，制定与本单位业务相关的局部安全策略，以高效和有效地适应和满足自身业务的实际需求；

铁路应用系统认证与权限管理系统的设计和建设目标就是满足铁路应用系统的安全管理要求，实现专业性的应用安全管理，遵循国家信息安全等级保护制度及相关标准。

要满足上述要求，用户可以选择本实用新型的认证与权限管理系统作为集中的应用安全管理平台，它支持与铁路应用安全相关的人员、资源、角色、证书、安全标记和安全策略等内容的集中管理。

各级管理数据库可以根据其用途性质定义其共享方式和共享范围。比如各路局在各自的人员身份管理过程中，可以从上级数据库中导入相关的人员管理信息。

铁路应用认证与权限管理系统中，还有一些管理数据库是全局性的，比如数字证书库。铁路系统中通过数字证书唯一地标识人员身份、设备和其它管理对象，在管理上，所有的数字证书(包括人员证书、设备证书等)都统一由铁道部指定的证书中心(CA)颁发，其它部门或应用只是这一证书系统的用户，因此证书库在铁路系统内是一个全局的管理数据库。证书库只在铁道部一级统一维护和管理，所有路局、站段、各级应用都只能通过查询方式访问这一证书库。

铁路应用系统有以下特点：1)规模庞大、系统覆盖范围广，在铁道部、路局及站段之间的广域网络带宽一般只有4Mbps或2Mbps；2)业务实时性和连续性要求高。因此其应用认证与权限管理系统的性能和可用性非常关键。

以LDAP为技术基础的应用认证与权限管理系统在性能上受以下几个因素制约：

1.应用认证与权限管理服务器性能；

2.网络带宽；

3.大量的并发访问带来应用认证与权限管理服务器的性能瓶颈；

为从根本上克服上述性能问题，该认证与权限管理系统还可以支持“云管理”模式。所谓“云管理”模式是指建立分布式的应用认证与权限管理系统，并按照业务需要，将必需的认证与权限管理信息复制到应用本地系统，而应用并不关心它所需要的认证与权限管理信息所在的具体位置。

“云管理”模式的好处是将对认证与权限管理信息的集中访问分散到应用本地，从根本上克服了大规模并发访问带来的服务性能瓶颈问题，减少了对应用认证与权限管理服务器性能和网络带宽的需求。

如图2，图3所示，铁路应用认证与权限的“云管理”结构由各级应用认证与权限管理骨干节点和应用本地LDAP服务组成，应用认证与权限管理骨干节点和应用本地LDAP服务协同，将与应用相关的应用认证与权限管理信息复制并转换到本地策略数据库，为应用或操作系统提供安全管理服务。对于操作系统和应用，上述过程完全透明。

铁路应用认证与权限的“云管理”方式避免了各级应用系统大量通过网络对铁路应用认证与权限管理系统的访问，使得系统的安全管理性能与网络带宽和管理服务器的性能，并避免了应用认证与权限管理服务器的安全瓶颈。

此外，认证与权限管理系统能够很好地支持铁路系统的“集中指挥、三级管理”要求。该认证与权限管理系统支持权限委托机制，铁路应用系统可以通过这一机制实现安全授权能力的再分配，再通过多管理角色的方式实现管理工作的分工协作，满足层次化管理结构现状和要求，最终实现“集中指挥、三级管理”的安全管理目标。比如铁道部根据业务需要，增加一个岗位编制，其职责是负责铁道部所属应用App1的安全管理。根安全管理员的工作流程包括：1)创建一个角色R1，并将相应的应用安全管理权限委托给角色R；2)创建/确定一个用户A，将其分配到角色R中。完成这一管理操作后，用户A就可以管理应用App1；一旦A被调离该岗位，根安全管理员只需要从角色R中删除该用户即可。在这个例子中，A是专业的应用安全管理员，根安全管理员通过对角色的控制和管理，可以间接地实现对应用App1的管理，这一管理模式准确地反映了铁路系统“集中指挥、三级管理”的管理现状和客观要求。

虽然，本实用新型已通过以上实施例及其附图而清楚说明，然而在不背离本实用新型精神及其实质的情况下，所属技术领域的技术人员当可根据本实用新型作出各种相应的变化和修正，但这些相应的变化和修正都应属于本实用新型的权利要求的保护范围。

Claims

1.一种认证与权限管理服务器，其特征在于，所述认证与权限管理服务器包括身份认证模块，授权管理模块，权限委托管理模块，审计模块；其中：

所述身份认证模块用于对用户及设备的身份进行认证；

所述审计模块用于对应用提供安全审计。

2.根据权利要求1所述的认证与权限管理服务器，其特征在于，所述认证与权限管理服务器还包括：内置LDAP服务模块，用于实时更新安全管理信息或策略，并将这些安全管理信息或策略实时转换为应用能直接访问的应用安全策略。

3.根据权利要求1所述的认证与权限管理服务器，其特征在于，所述认证与权限管理服务器还包括应用管理模块，用于对证书、用户信息、角色、资源与对象进行管理。

4.根据权利要求1所述的认证与权限管理服务器，其特征在于，所述认证与权限管理服务器还包括安全传输模块，用于使系统中的信息进行安全传输。

5.根据权利要求1所述的认证与权限管理服务器，其特征在于，所述认证与权限管理服务器支持建立分布式的认证与权限管理的云管理模式。