TWI622944B - Multi-permission identity identification and access policy management system - Google Patents
Multi-permission identity identification and access policy management system Download PDFInfo
- Publication number
- TWI622944B TWI622944B TW104140059A TW104140059A TWI622944B TW I622944 B TWI622944 B TW I622944B TW 104140059 A TW104140059 A TW 104140059A TW 104140059 A TW104140059 A TW 104140059A TW I622944 B TWI622944 B TW I622944B
- Authority
- TW
- Taiwan
- Prior art keywords
- account
- sub
- permission
- user
- cloud
- Prior art date
Links
Landscapes
- Storage Device Security (AREA)
Abstract
一種多元權限身分識別與存取策略管理系統,包括使用者管理模組、權限管控模組、群組管理模組與使用者介面(User Interface,UI)管控模組,主要是用於解決雲端自助式服務,用戶帳號管理與服務存取權限間的媒合關係,藉由核心規則引擎的運算,可快速找出使用者存取特定服務時所對應的行為策略,其所整合的範圍涵蓋了用戶帳號屬性、群組角色層級與服務行為策略等三大面向,為一種可同時兼具彈性與可設定性的權限管控方式。
Description
本發明系有關一種整合用戶帳號管理與服務存取權限管控之系統,特別適用於提供多項服務的雲端自助式平台。雲端用戶透過本專利之使用者管理模組與權限管控模組,可自行新增雲端子帳號並彈性地設定其權限,提供安全地且便利的權限分享方式。
隨著雲端服務的蓬勃發展,使用雲端服務的用戶也日益增加,其中尤以企業用戶佔多數。然而,若一家企業用戶有多人欲使用雲端服務,則此企業需要申請多筆雲端主帳號,或是多人共享一帳號。前者會有多筆帳單造成管理不易的問題,後者則會有安全性的疑慮。因為一組雲端主帳號擁有所有存取權限,若多人共享一帳號,則無法分辨每位使用者各申請了哪些服務。另一方面,個人用戶若欲分享其雲端服務的話,也必須直接給予雲端主帳號,也會遭遇此困境。
由以上所述可知,我們亟欲建立一種系統,可讓用戶更有效率且更安全的分享其雲端服務。
先前已有專利針對權限管控與服務分享兩方面各提出方法。“根據存取權提供服務的方法”(公開號I412261)中描述了一個存取權授權判斷方法,用來接受子帳號的存取請求,並根據請求中的資源識別碼及子帳號識別碼
判斷是否允許子帳號存取此資料及服務。然而此方法僅可針對單一帳號之使用權限開放服務,並無法讓此帳號分享其服務使用權。“多人共享之網路儲存服務系統與方法”(公開號2(012)20058)提供系統與方法,讓多位用戶可透過其專屬通訊介面,共享某一用戶的網路儲存空間。然而此專利僅可分享用戶之儲存空間,而且並沒有提供權限管控之系統,並不適用於提供多項服務的雲端服務平台所使用。
上述兩篇專利並沒有將權限管控與服務分享做整合,而且也沒有應用在雲端服務之上。本案發明人鑑於前述之方法之缺失,經過潛心研究之後,提出一種整合身分識別與權限管控之系統,可以有效解決前述雲端用戶遭遇之困境。
為解決上述習知技術之問題,本發明之一目的係在於提供一種讓用戶得以安全地與其他子帳號分享特定的雲端服務,且可讓用戶可自行設定開放權限,提供更具彈性的權限管控功能的多元權限身分識別與存取策略管理系統。
為達成上述之目的,本發明多元權限身分識別與存取策略管理系統主要包括使用者管理模組、權限管控模組、群組管理模組與使用者介面(User Interface,UI)管控模組。
用戶可透過使用者管理模組自行建立子帳號,並利用權限管控模組各別指定子帳號的存取權限。建立出來的子帳號登入系統後,權限管控模組根據其權限,過濾該子帳號可存取的服務。群組管理模組則是可以大批設定子
帳號的權限,增進用戶在設定權限時的便利性。UI管控模組針會在子帳號登入後,針對開放權限過濾出子帳號可使用的UI元件。
001‧‧‧雲端系統主帳號
002‧‧‧子帳號
003‧‧‧群組
011‧‧‧使用者管理模組
012‧‧‧權限管控模組
013‧‧‧群組管理模組
014‧‧‧UI管控模組
015‧‧‧受權限管控的API
016‧‧‧核心規則引擎
101‧‧‧虛擬網址
102‧‧‧雲端系統
圖1為雲端用戶透過本發明,建立子帳號之示意圖。
圖2為雲端用戶透過本發明為子帳號設定權限之示意圖。
圖3為權限管控模組將系統納入權限管控之功能製作出權限樣版之示意圖。
圖4為雲端用戶透過本發明建立群組、設定權組權限、加入子帳號至群組之示意圖。
圖5為子帳號經由虛擬網址登入本系統後,系統向本發明之權限管控模組查詢子帳號之權限,過濾出可存取服務之示意圖。
圖6為子帳號登入本系統後,刻意不透過UI直接呼叫API,本專利方法可有效判斷與過濾此行為。
請參閱圖1~6,本發明多元權限身分識別與存取策略管理系統,包括使用者管理模組(011)、權限管控模組(012)、群組管理模組(013)與使用者介面(User Interface,UI)管控模組(014)。
當雲端用戶使用主帳號登入系統之後,透過本發明之使用者管理模組(如圖1所示)建立子帳號。建立每位子帳號(002)時,系統會記錄子帳號(002)所屬的雲端系統主帳號(001),日後子帳號(002)存取雲端服務時,會以雲端系統
主帳號(001)計費。建立第一筆子帳號(002)的同時,會產生一虛擬網址,子帳號(002)必須透過此虛擬網址才可登入雲端系統。子帳號(002)登入後,系統透過子帳號(002)與所屬雲端系統主帳號(001),即可辨識出此子帳號(002)所屬的雲端用戶,該子帳號(002)便可依設定的權限,針對所屬雲端系統主帳號(001)下的雲端服務進行申退租與管理。
子帳號(002)成功建立之後,雲端用戶可經由權限管控模組(012),為每一筆子帳號(002)設定存取權限(如圖2所示)。若用戶沒有為子帳號(002)設定存取權限規則,則此子帳號(002)登入系統後會無法使用受到權限管控的雲端服務。本發明提供模板式的彈性權限設定機制,可事先建立多種權限存取模板供用戶在設定時選擇,用戶在選擇模板後也可自行進行客製化修改。此種彈性的方式,可讓權限的設定更加符合雲端用戶之需求。此外,子帳號(002)與權限是一對多的關係,每一子帳號(002)可擁有多組存取權限。
每一組存取權限包含條列的權限規則,每一條權限規則表示受到權限管控的雲端服務或功能。本發明採用正向表列與負向表列並行的方式。每一條權限規則名稱表示對應的雲端服務,另外有欄位紀錄此規則是拒絕存取或是允許存取。此外,若沒有受到權限管控且沒有列在權限規則的服務,預設會視為開放存取。以圖3為例,權限管控模組12會將受到權限管控的功能,製作出權限樣版,以供用戶設定權限時使用。查詢已申請虛擬機清單這項功能,並不受到權限管控,子帳號可以不受限制地使用。
雲端用戶可透過群組管理模組(013)建立群組(003),建立群組(003)的同時會設定此群組(003)的存取權限,並可加入多筆子帳號(如圖4所示),被加
入的子帳號(002)即可擁有此群組(003)的權限。此方式可讓用戶大量設定同屬性的子帳號(002),增進權限設定的便利性。
群組(003)成功建立後,用戶可再透過群組管理模組(013)重新加入或移除子帳號(002),也可透過權限管控模組(012),重新設定群組(003)權限。此外,一筆子帳號(002)可隸屬於多組群組(003),可增加權限設定的彈性與便利性。
子帳號透過虛擬網址(101)登入雲端系統(102)後,本發明透過UI與API兩層面進行權限管控,以確保效能與安全性無虞。
UI層面的權限管控,系統透過子帳號(002)與所屬的雲端系統主帳號(001),向權限管控模組(012)查詢其存取權限(如圖5所示)。權限管控模組(012)在查詢子帳號(002)之群組(003)權限與子帳號(002)權限後,以聯集但拒絕優先的方式彙整子帳號(002)被設定的各權限模板之存取權限,如此可以便利性的把某些子帳號(002)先設定共通權限,然後再彈性的針對部份子帳號(002)允許或拒絕某些權限。例如:若是子帳號(002)同時具有申請虛擬機(允許)與申請虛擬機(拒絕)的規則,則會以申請虛擬機(拒絕)為主要的規則設定。
收到權限管控模組(012)回傳的權限規則之後,UI管控模組(014)依據權限規則所條列的項目,設定子帳號(002)可存取的UI元件。本發明必須先為存取雲端服務的元件設定權限管控屬性,UI管控模組(014)在收到子帳號(002)之權限規則後,根據條列的權限規則名稱,搜尋對應的UI元件屬性,並根據規則是允許或是拒絕,決定此UI元件開啟或是封閉。以圖4為例,子帳號(002)登入系統,UI管控模組(014)取得其權限規則後,納入權限管控的雲端服務僅開放虛擬機設定與防火牆設定功能給子帳號。未設定權限屬性的UI元件,預設是完全
開放給子帳號使用。UI層面的權限管控只需呼叫一次API即可設定子帳號的存取權限,提供較佳效能的權限管控系統。
除了UI管控模組(014)會根據子帳號(002)權限做過濾機制之外,本發明也針對伺服器端API做阻擋機制。若有子帳號(002)使用者略過UI操作,直接呼叫納入權限管控的伺服器端API時,伺服器端會根據子帳號(002)與存取的雲端服務,向核心規則引擎(016)查詢,若此雲端服務並不在開放的權限內,則核心規則引擎(016)會回覆錯誤訊息給伺服器端API,子帳號(002)使用者便無法存取此API。
本發明為每一個受權限管控之API(015)標記一組別名和屬性,表示此API受到權限管控。若是API沒有加上標記,或是有標記但是屬性設定為關閉,則表示此API不受到權限管控,登入系統之子帳號(002)皆可使用此雲端服務API。
透過Spring AOP(Aspect-Oriented Programming_切面導向設計)機制,在呼叫受到權限管控且屬性為開啟的API之前,會以標記的別名和子帳號為key值,向核心規則引擎(016)查詢對應的權限規則,若核心規則引擎(016)回應此規則不在允許的權限範圍內,則API會拒絕子帳號(002)的存取。
核心規則引擎(016)在收到API別名和子帳號之後(如圖6所示),會先根據子帳號(002)查詢出所有可存取的權限(包含用戶權限與群組(003)權限),並根據拒絕與允許分為兩組,再分別將之轉換成兩組正規表示式。隨後以兩組正規表示式與API別名比對,首先比對拒絕存取的權限規則、再比對允許存取的權限規則,若比對出此API為拒絕存取、或是無法在允許存取的權限規則比對出,核心規則引擎(016)會回應用戶無權限存取此API。否則表示用戶可存取此
API。以正規表示式比對的方式,可大幅提升比對的效能,尤其在有大量權限規則設定的時候,更為顯著。
由上所述,本發明經由UI與API的前後端雙重管控機制,可確保子帳號根據其權限範圍存取雲端服務。在一般使用狀況下有較佳效能,也可有效過濾不透過UI直接存取API的子帳號使用者。
本發明提供之權限身分識別與存取策略管理方法,與其他技術相比,更具備下列特點與功效:
1.本發明整合服務分享與權限管控機制,且提供簡便的設定介面,雲端用戶只需自行新增雲端子帳號並設定其存取權限範圍,即可安全地分享其雲端服務。且本專利提供彈性的權限設定方法,可讓用戶自行客製化設定權限。
2.本發明提供有效率且嚴謹的子帳號權限管控機制。經由UI做最主要的阻擋,避免增加伺服器端負荷。再經由後端API的過濾,確保雲端子帳號無法存取權限範圍外的服務。
Claims (3)
- 一種多元權限身分識別與存取策略管理系統,係指透過雲端用戶與子帳號的從屬關係、以及子帳號的權限,藉由權限管控模組之運作,達到安全地與多人共享服務之目的,其主要包括:使用者管理模組,用以建立子帳號,並提供子帳號管理及進行所述子帳號與雲端用戶之間的從屬關係綁定;權限管控模組,係提供所述子帳號的權限設定及所述子帳號的權限發放;UI(User Interface,使用者介面)管控模組,用於當所述子帳號登入雲端系統後,根據所述子帳號之權限開放UI元件操作;以及核心規則運算模組,係根據所述子帳號與存取的API(Application Programming Interface,應用程式介面),計算所述子帳號是否擁有存取權限,包括:依據所述存取權限而將子帳號名單分為允許組與拒絕組,並將所述允許組與所述拒絕組轉換成兩組正規表示式;以及以所述兩組正規表示式對所述API的別名進行比對。
- 如請求項1所述之多元權限身分識別與存取策略管理系統,其中所述子帳號的所述權限設定,係指條列所述記錄子帳號可使用的權限。
- 如請求項1所述之多元權限身分識別與存取策略管理系統,其中所述UI(User Interface,使用者介面)管控模組更包含UI元件的前置屬性設定及UI元件開放設定,所述UI元件的前置屬性設定係針對存取雲端服務之UI元件增加權限屬性,而所述UI元件開放設定,係指收到所述子帳號之權限規則後,搜尋對應之UI元件的權限屬性,並根據所述權限規則的允許或拒絕,設定所述UI元件的開放與否。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW104140059A TWI622944B (zh) | 2015-12-01 | 2015-12-01 | Multi-permission identity identification and access policy management system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW104140059A TWI622944B (zh) | 2015-12-01 | 2015-12-01 | Multi-permission identity identification and access policy management system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201721530A TW201721530A (zh) | 2017-06-16 |
| TWI622944B true TWI622944B (zh) | 2018-05-01 |
Family
ID=59687305
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW104140059A TWI622944B (zh) | 2015-12-01 | 2015-12-01 | Multi-permission identity identification and access policy management system |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI622944B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI663556B (zh) * | 2018-01-30 | 2019-06-21 | 中華電信股份有限公司 | 具拆帳功能之資源權限管控系統及方法 |
| CN108416195B (zh) * | 2018-02-27 | 2020-09-25 | 平安科技(深圳)有限公司 | 跨平台用户权限管理方法、装置、计算机设备及存储介质 |
| CN110502482B (zh) * | 2019-07-05 | 2024-04-26 | 中国平安财产保险股份有限公司 | 用户操作界面配置方法、系统及数据操作方法 |
-
2015
- 2015-12-01 TW TW104140059A patent/TWI622944B/zh active
Non-Patent Citations (3)
| Title |
|---|
| 1、「Enabling milti user access to the ColdFusion Administrator and RDS」網路文章、wayback machine備份日期:2015年3月15日、網址:https://web.archive.org/web/20150315234155/http://www.adobe.com/devnet/coldfusion/articles/admin_multiusers.html * |
| 1、「Enabling milti user access to the ColdFusion Administrator and RDS」網路文章、wayback machine備份日期:2015年3月15日、網址:https://web.archive.org/web/20150315234155/http://www.adobe.com/devnet/coldfusion/articles/admin_multiusers.html。 |
| 2、「Windows Server 2008 R2 MIS 四大絕招:AD、架站、資安、Hyper-V」工具書、作者:賴要任、出版日期2011年6月23日、ISBN:9861992405, 9789861992402、網址:https://books.google.com.tw/books?id=_SCrAAAAQBAJ&pg=SA13-PA50&lpg=SA13-PA50&dq=%E4%BD%BF%E7%94%A8%E8%80%85%E4%BB%8B%E9%9D%A2+%E6%AC%8A%E9%99%90+%E5%8F%8D%E7%99%BD+%E7%84%A1%E6%B3%95%E9%81%B8%E5%8F%96&source=bl&ots=tcsLnt71cn&sig=lgnjzl_oV-mXJwYLbSddV9r4_xk&hl=zh-TW&sa=X&ved=0ahUKEwif6Lm * |
Also Published As
| Publication number | Publication date |
|---|---|
| TW201721530A (zh) | 2017-06-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10375054B2 (en) | Securing user-accessed applications in a distributed computing environment | |
| US20210144147A1 (en) | System and method for externally-delegated access control and authorization | |
| US20210044590A1 (en) | Request filtering and data redaction for access control | |
| US11962511B2 (en) | Organization level identity management | |
| WO2019052496A1 (zh) | 云存储的帐号鉴权方法和服务器 | |
| JP5800389B2 (ja) | クラウド・コンピューティング環境に保管されたデータに関するきめ細かい任意アクセス制御の有効化のための方法、システム、およびコンピュータ・プログラム | |
| CN110086783B (zh) | 一种多账户管理的方法、装置、电子设备及存储介质 | |
| US9614855B2 (en) | System and method for implementing a secure web application entitlement service | |
| CN105871914B (zh) | 客户关系管理系统访问控制方法 | |
| US11539707B2 (en) | Dynamic security policy consolidation | |
| CN103065074A (zh) | 一种基于细粒度进行url权限控制的方法 | |
| EP3629209B1 (en) | Flexible role-based authorization model | |
| TWI622944B (zh) | Multi-permission identity identification and access policy management system | |
| WO2020156135A1 (zh) | 一种访问控制策略的处理方法、装置及计算机可读存储介质 | |
| WO2023039225A1 (en) | Data management and governance systems and methods | |
| Riad et al. | AR-ABAC: a new attribute based access control model supporting attribute-rules for cloud computing | |
| US20170220792A1 (en) | Constraining authorization tokens via filtering | |
| CN112118237A (zh) | 资源访问管理方法 | |
| DE102022132069A1 (de) | Server, der einen sicherheitszugriff eines endgeräts des benutzers unterstützt, und steuerverfahren dafür | |
| US20120255033A1 (en) | Licensing software on a single-user basis | |
| Gnesi et al. | My data, your data, our data: managing privacy preferences in multiple subjects personal data | |
| CN107124429B (zh) | 一种基于双数据表设计的网络业务安全保护方法及系统 | |
| CN115422526A (zh) | 角色权限管理方法、设备及存储介质 | |
| Xie et al. | Design and implement of spring security-based T-RBAC | |
| CN110414213A (zh) | 一种基于keycloak的对运维管理系统中权限管理的方法及装置 |