专利名称:一种三权分立的分级授权管理系统及方法
技术领域:
本发明公开了一种涉及对用户、授权和审计进行分立、分级管理的系统及方法。
背景技术:
在一个大型的信息网络中,用户身份管理、用户授权管理和审计管理是系统安全管理的三个重要的因素,其主要管理工作要由管理员完成。除了技术之外,还需要一个安全策略、安全管理机制和制度来提供安全保证。管理员的权力过大,容易造成对权力的误用或滥用。此外,如果攻击者攻破了某个管理角色,就会得到对系统的完全控制,系统的安全性将非常脆弱。
发明内容
针对上述问题,本发明提供一种三权分立的分级授权管理系统及方法,该方法实现的系统采用分层管理的方法,通过用户管理、授权管理、审计管理三权分立的策略,实现对访问者灵活的身份认证、操作鉴权、安全审计。本发明具有以下特征:
1.用户管理、授权管理与审计管理须由至少三个管理员完成。2.用户管理员不能对用户进行授权管理和审计管理,授权管理员不能对用户、组、域等进行管理,不能对审计记录进行管理,审计管理员不能对用户、组、域等进行管理,不能进行授权管理。3.管理员之间可存在上下级关系,下级管理员的管理范围和管理策略(包括管理员、时间、地址、传递性、对象属性等)由上级管理员指定。4.管理员是经鉴别的用户。5.上级管理员为下级管理员授予的管理权限是上级管理员的管理权限的子集;一个管理员可以有多个上级,其管理权限是每个上级授予的管理权限的并集。6.授权管理可以采用基于角色、基于组、基于任务或其他任何一种授权方法。7.用户、授权、审计信息的发布可以使用LDAP、关系数据库、或带有签名的计算机文件。
图1是本发明的一个实施例的用户分层管理示意图。图2是本发明的一个实施例的授权分层管理示意图。图3是本发明的一个实施例的审计分层管理示意图。图4是本发明一种三权分立的分级授权管理系统的示意框图。
具体实施方式
从组织机构的人事管理来看,一个用户可以在多个部门或者分支机构任职,但其档案关系只能存放在一个分支机构的一个部门内,用户在该部门的任职被看作是专职,而在其他部门的任职看作是兼职。用户的管理采用类似于现实生活中的人事管理办法,各个分支机构的用户由本机构的管理系统进行管理,上级(或平级)机构可以借调下级机构的用户到本级机构任兼职,也可以被下调到下级机构任职。该用户的档案信息仍保存在原机构的用户信息数据库,而其所用的用户信息来自原机构的用户信息发布库。用户被借调到另一机构后,所借调的机构的用户信息库中会增加该用户的信息,并且将此信息发布到借调机构的用户信息发布库,以供授权系统和审计系统使用。在用户的原单位的用户信息数据库中的信息被更新,并且信息发布库中的信息也被更新后,系统可以自动更新借调机构的相关数据。用户管理员没有管理用户授权的权限,但当用户管理员锁定或删除一个用户、工作组或用户域时,他们的权限也将响应的被锁定(但不能删除)。上级机构的用户管理员有权管理下级机构的用户信息,因此,上级机构的用户管理系统可以访问下级机构的用户管理信息数据库,并对其进行用户管理操作。下级机构的用户管理员有权查看上级机构的用户信息,但不能查看详细的信息,只能查看上级机构用户信息发布库中的内容。因此,下级机构的用户管理系统只能访问上级机构的用户信息发布库。从业务处理的层面来看,各级分支机构的业务系统中的数据资源属于本机构管理和使用,这一约定俗成的权限实际上是来自上级机构对下级的授权。上级机构在授权给下级机构时,一般侧重于将一个权限资源集授权给该机构单位,而对于下级机构的用户的授权管理则交给下级单位的授权者(权限管理员)负责完成。在上级机构修改了下级机构的权限资源集时,下级机构的授权信息必须得到及时的更新,以保证下级机构的用户的权限没有超越上级机构的权限管制。上级机构授予下级机构的权限可以是权限资源集,也可以是建立这个权限资源集上的角色,如果是角色,下级机构的管理不能再修改这些角色的任何信息。但可以创建新的角色,并将上级机构创建的角色授予所新建的角色。权限管理员在进行授权管理时,只能使用单位的用户信息发布库中的用户信息,也就是只能给本机构的用户管理员所管辖的范围内的用户授权。权限管理员全面管理授权使用的角色。上级机构可以直接对下级机构的用户进行授权,所授予的权限是管理员负责管理的权限资源集合中的内容。上级机构给下级机构的授权通过资源集证书的形式下发,在下级机构进行授权管理时,需要检查下级机构给用户授权的内容是否是在资源集证书内,如果不在,则视同非法。同时要检查资源集证书的合法性和有效性,并且要追溯到源头(信任源)。各级机构负责管理本机构的审计日志信息,但上级机构有权对下属机构的审计内容进行查询等分析。审计日志的分析仅由得到授权的管理执行,其分析的结果可以根据实际情况确定是否需要发布公开的审计结果发布库供用户查阅。
通过示例的方式而非限制性的方式说明本发明。如图1所示,是本专利提出的用户分层管理方法的说明。在一个实例中,用户可以按照组织结构、所在地域、所属职能等划分层次,每个层次可以设置一名或多名用户管理员进行管理。用户管理员的主要任务是负责用户信息、组信息、域信息等数据的管理和维护,负责用户管理的分层及下属层次的用户管理员的设定。所述的用户信息包括用户姓名、年龄、职务、职称、级别、联系方式、登录帐号、用户标识ID、登录认证方式等内容。所述的组信息包括组名、组标识ID、组级别等内容。所述的域信息包括组名、组标识ID、组级别等内容。在一个实例中,一个用户管理员可以将自己有权管理的用户委托给多个下级用户管理员进行管理。同时,也可以有多个用户管理员同时将自己所管理的用户分配给同一个下级管理员进行管理。因此,上级管理员和下级管理员之间是一个多对多的映射关系。图1使用UMx表示用户管理员,Ux表示UMx管理的用户范围,用一表示用户管理员之间的上下级关系,如UMa — UMb表示UMa是UMb的上级,则有Ua Π Ub古Φ。图1中的UMtl和UM1之间存在分级关系UM0 — UM1,有Utl Π U1 = U1 ;而UM2和UM21之间存在分级关系,同时UM3和UM21之间也存在分级关系,即UM2 — UM21且UM3 — UM21,则有U21 = 21 U 31,U21 H U2 =
21 ^ 4* U21 Π U3 = 31古φ,其中21和31分别是用户管理贝UM2和UM3分配给下级用户管理员UM21的管理范围。用户的管理可以根据实际需求划分多个层次,作为一个非限制性的实例,图1中的用户被划分为四个层次,最高层是组织的全部用户,由顶级管理员UMtl进行管理;第二层是由顶级管理员UM0设定的三个下属单位,分别由UMp UM2' UM3进行管理;第三层是分别由二级管理员UM1' UM2' UM3设定的下属单位,分别由UMU、UM12' UM21' UM32进行管理;第四层是由三级管理员UM21设定的下属单位,分别由UM211和UM212进行管理。
在一个实例中,每个级别的用户管理员负责本级的用户信息的管理,必要的情况也可以直接自己指定的下一级的用户信息的管理,这种分级关系中上级管理员虽然将自己管理范围内的一部分用户授权给下级管理员管理,但却继续保留自己对所分出去的用户的管理权。如从图1的分层关系可以看出,图1中的用户管理员UM0、UM1' UM11之间存在分层关系=UMtl — UM1, UM1 — UM11,其所管理的用户范围存在以下关系=U11 U1 Utl,但管理员UM0同样可以管理用户集U1和U11中的用户。在一个实例中,上级管理员也可以将自己管理范围内的用户委托给下级用户管理员进行管理,并且一经委托后,上级管理员就失去了对这些用户的管理权。在这种实例中,每个用户管理员只能管理他本人当前有效管理的范围内的用户。如用户管理员UM0、UM1之间存在分层关系=UMtl — UM10分层授权完成后,用户管理员UM0有权管理的用户集仍为U。,但不能再维护U1中的用户信息,因此UM0有权维护的用户信息实际变为U0 - U10在这种实例中,如果用户管理员UMtl取消对用户管理员UM1的管理委托,则用户集U1的维护管理权会再次归UM0所有。上级用户管理员在委托下一级用户管理员进行用户管理时,可以为下一级用户管理员设置管理策略。管理策略包括但不限于以下内容:
1)时间策略:限制下级管理员的管理权限生效的时间,可以是一个起止时间段等;
2)地址策略:限制下级管理员进行管理时所在的终端计算机或计算机网络的地
址;3)传递策略:设置委托管理的权限传递方式,包括是否全部委托,是否允许下级管理员继续向下一级的管理员进行委托,委托取消时是否同时取消下级管理员委托的下下级管理员的管理权限等;
4)扩展策略:可以根据用户、组、域的属性设置更加复杂的时间、地址及传递策略。如图2所示,是本专利提出的授权分层管理方法的说明。授权过程中需要访问用户管理系统发布的用户信息、组信息、及域信息,但授权管理员对这些数据仅有“读”的权限,不能对用户管理数据库中的数据进行增加或修改。授权过程中还需要访问权限管理信息,授权管理员具有对这些数据的完全控制权。所述的权限管理信息包括权限信息、角色信息、级别信息等内容。所述的角色信息包括角色的名称、属主、标识ID、级别、权限等信息。本专利提出的分层授权管理的方法不受已有的访问控制策略的影响,如MAC、DAC、RBAC等。在一个实例中,授权管理员可以根据自己的需要,将自己管理的用户、组、域及权限资源等委托给下一级授权管理员进行授权管理,根据需要下一级授权管理员也可以将其管理权限委托给下下级授权管理员进行管理。在一个实例中,一个授权管理员可以将自己有权管理的用户、组、域和权限资源委托给多个下级授权管理员进行管理。同时,也可以有多个授权管理员同时将自己所管理的用户、组、域和权限资源委托给同一个下级管理员进行管理。因此,上级管理员和下级管理员之间是一个多对多的映射关系。图2所示的实例中,使用PMxR表权限管理员,使用一个二元组( χ,Px)表示权限管理员的管理范围,使用表示权限管理员之间的分层关系,如PMa PMb 表示 PMa 是 PMb 的上级,则有 Cia η b 关 φ, Pa n Pb ^ φ。授权管理可以根据实际需求划分多个层次,作为一个非限制性的实例,图2所示的实例的授权管理分为四层实现,最高层是PMtl,拥有对所有的用户和权限资源的管理权( 0, Ptl),通过委托将(O1, P1X ( 2,Ρ2)、( 3,P3)分别授权给二级管理员PMpPMyPM3进行管理;通过第二次委托授权,PM1将( η,P11)、( 12,P12)分别授权给PMn、PM12进行管理,PM2和PM3分别将( 21,P21)、( 31,P31)授权给PM21进行管理;通过第三次委托授权,PM12分别将(O121, P121)、(O122, P122)分别`授权给 PM121、PM122 进行管理,PM21 将( 211,P211)、(O311, P311)授权给PM211进行管理。在一个分级授权的实例中,如果一个权限管理员有多个上级,则其管理范围是每个上级委托给他的管理范围的并集,每个实例必须坚持这一规则。如图2所示的实例中,PM21有两个上级授权管理员PM2和PM3,其权限范围是PM2和PM3委托给他的管理范围的并集(O21, P21) U (O31, P31)。该领域的技术人员将明白,(O21, P21) U (O31, P31)幸(O21 U O31,P21 U P31),这是因为二元组( χ,Px)同时表示了权限Px只能限定在1中的用户使用,(O21,P21) U (O31, P31)只是( 21 U O31, P21 U P31)中的一个子集。如果管理员将自己的PM21需要将自己的管理权委托给下一级管理员进行管理,则需要将每个上级委托给自己的管理范围进行委托处理。如图2中的PM21,需要委托一个三级授权管理员进行授权,他需要将( 211,P211) U ( 311, P311)委托给PM211进行管理,而不能将( 211 U O311, P211 U P311)进行委托。在一个分级授权的实例中,授权管理员可以继续保持对已委托给下级授权管理员的用户和权限资源的管理权。如图2所示的实例中,权限管理员PMp PM1, PM11之间存在分层关系:pmq PM1, PM1 PM11,其所管理的授权范围存在以下关系:( η,P11) (O1, P1)(C^pci)JPiJn O1 Cjq^p11 P1 P。,但管理员PM。同样可以管理用户集( 1; P1)和( η,P11)指定的范围。这样的管理模式便于上级授权管理员实现集中的授权控制,避免失控的情况发生。又一个分级授权的实例,授权管理员可以将自己的授权范围内的用户和权限资源委托给下级授权管理员进行授权管理,并且自己不再保留对已委托给下级的授权范围的管理权。如图2所示的实例中,如权限管理员PM。PM1之间存在分层关系=PM0 PM10分层授权完成后,用户管理员PMtl有权管理的授权范围仍为(仏,Ptl),但不能再对( , P0)的子集(O1, P1)进行授权管理,因此PMtl有权进行授权管理的授权范围实际变为浪,Ptl) - ( 1; P1)=( 0 — O17P0 — P1X在这种实例中,如果授权管理员PMtl取消对下级授权管理员PM1的管理委托,则用户集( 1; P1)的维护管理权会再次归PMtl所有。在一个分级授权的实例中,每个授权管理员都可以按照实际需求将自己的管理范围委托给下一级授权管理员进行管理,为了控制授权管理的能力,可以设定分级授权策略:
1)时间策略:限制下级管理员的管理权限生效的时间,可以是一个起止时间段等;
2)地址策略:限制下级管理员进行管理时所在的终端计算机或计算机网络的地
址;
3)传递策略:设置委托管理的权限传递方式,包括是否全部委托,是否允许下级管理员继续向下一级的管理员进行委托,委托取消时是否同时取消下级管理员委托的下下级管理员的管理权限等,委托取消时是否同时取消下级管理员给用户的授权等; 4)扩展策略:可以根据用户、组、域的属性设置更加复杂的时间、地址及传递策略。图3所示是本专利提出的分级审计管理的说明。审计管理过程中需要访问用户管理系统发布的用户信息、组信息、及域信息,但审计管理员对这些数据仅有“读”的权限,不能对用户管理数据库中的数据进行增加或修改。审计管理过程中还需要访问审计日志管理信息。所述的审计日志管理信息包括审计日志记录、审计查询、统计报表等记录。审计管理员具有对审计查询、统计报表等记录数据的完全控制权。在一个实例中,审计管理员可以根据自己的需要,将自己管理的用户、组、域及审计日志管理信息等委托给下一级审计管理员进行审计管理,根据需要下一级审计管理员也可以将其管理权限委托给下下级审计管理员进行管理。在一个实例中,一个审计管理员可以将自己有权管理的用户、组、域和审计日志管理信息委托给多个下级审计管理员进行管理。同时,也可以有多个审计管理员同时将自己所管理的用户、组、域和审计日志管理信息委托给同一个下级管理员进行管理。因此,上级管理员和下级管理员之间是一个多对多的映射关系。图3所示的实例中,使用AMx代表权限管理员,使用一个二元组( χ,Ax)表示审计管理员的管理范围,使用表示审计管理员之间的分层关系,如PMa PMb表示AMa是AMb的上级,则有Cla η b古Φ,Aa Π Ab关Φ。审计管理可以根据实际需求划分多个层次,作为一个非限制性的实例,图3所示的实例的审计管理分为四层实现,最高层是AMtl,拥有对所有的用户和审计日志管理信息的管理权( 。,Atl),通过委托将(Cl1,A1KiJ2, A2)、(O3,A3)分别授权给二级管理员AMpAMyAM3进行管理;通过第二次委托授权,AM1将( η,Αη)、( 12,Α12)分别授权给ΑΜη、ΑΜ12进行管理,AM2和AM3分别将( 21,A21)、( 31,A31)授权给AM2I进行管理;通过第三次委托授权,AM12分别将(O121,A121)、(O122, A122)分别授权给 AM121、AM122 进行管理,AM21 将( 211,A211)、(O311, A311)授权给AM211进行管理。在一个实例中,如果一个审计管理员有多个上级,则其管理范围是每个上级委托给他的管理范围的并集,每个实例必须坚持这一规则。如图3所示的实例中,AM21有两个上级审计管理员AM2和AM3,其管理范围是AM2和AM3委托给他的管理范围的并集( 21,A21) U (O31, A31) = (O21 U O31, A21 U A31)。在一个分级授权的实例中,审计管理员可以继续保持对已委托给下级审计管理员的用户和审计日志管理信息的管理权。如图3所示的实例中,审计管理员AMc^AMpAM11之间存在分层关系=AMtl AM17AM1 AM11,其所管理的审计范围存在以下关系:( η,A11) (O1,A1) ((!。,^,即^ O1 CJq^A11 A1 Α。,但管理员AM。同样可以管理用户集(C^A1)和( η,A11)指定的范围。这样的管理模式便于上级审计管理员实现集中的审计管理控制,避免失控的情况发生。又一个分级授权的实例,审计管理员可以将自己的授权范围内的用户和审计日志管理信息委托给下级审计管理员进行审计管理,并且自己不再保留对已委托给下级的管理范围的管理权。如图2所示的实例中,如审计管理员AMpAM1之间存在分层关系=AMtl AM10分层授权完成后,用户管理员AMtl有权管理的授权范围仍为(仏,Atl),但不能再对(仏,A0)的子集(O1, A1)进行审计管理,因此AM。有权进行审计管理的授权范围实际变为(O。, Atl)- ((J1,A1) = ((J0 — O1, A0 — A1)ο在这种实例中,如果审计管理员AMci取消对下级审计管理员AMi的管理委托,则用户集(O1, A1)的维护管理权会再次归AMtl所有。在一个实例中,每个审计管理员都可以按照实际需求将自己的管理范围委托给下一级审计管理员进行管理,为了控制审计管理的能力,可以设定分级管理策略:
1)时间策略:限制下级管理员的管理权限生效的时间,可以是一个起止时间段等;
2)地址策略:限制下级管理员进行管理时所在的终端计算机或计算机网络的地`址;
3)传递策略:设置委托管理的权限传递方式,包括是否全部委托,是否允许下级管理员继续向下一级的管理员进行委托,委托取消时是否同时取消下级管理员委托的下下级管理员的管理权限等;
4)扩展策略:可以根据用户、组、域的属性设置更加复杂的时间、地址及传递策略。
如图4所示,是本专利提出的三权分立的分级授权管理系统的框架图。该领域的技术人员明白,图4仅是一个大致的系统实现示意图,实现三权分立的分级授权管理系统的实例可以包括这些模块的组合与分拆,进而形成更加细致的模块。图4中的安全访问控制系统可以实现对用户的访问控制和策略的决策与执行,用户的访问请求可以被安全访问控制系统执行单元截获,并将此请求发送给安全访问控制系统决策单元进行决策。决策单元接收到用户的访问请求后,会根据请求的类型进行处理,若是登录请求,则会查询用户信息发布系统的记录,并根据管理员设定的认证方式对用户进行身份认证,并根据认证结果决定是否允许用户登录系统。若是资源访问请求,则要查询权限信息发布系统的授权信息,判断该用户是否具有访问目标资源的权限,并根据判断结果决定是否允许用户访问该目标资源。不论是登录请求,还是资源访问请求,用户的访问情况均被记录到审计日志数据库。图4中的安全管理系统,负责对管理员进行访问控制,管理员成功登录后,安全管理系统根据管理员的类别提供管理功能界面。若是用户管理员,则提供对用户信息、组信息、域信息等的维护管理界面。若是授权管理员,则提供授权管理界面。授权管理界面可以浏览、查看用户信息、组信息、域信息,可以维护和管理权限资源信息、角色信息等。若是审计管理员,则提供审计报表维护管理功能。图4中的用户管理、授权管理和审计管理各有三级,该领域的技术人员明白,这只是一个实例的实现示意框图,可以根据需求进行更多层次的设计。用户管理、授权管理和审计管理均提供信息发布功能,将用户信息、组信息、域信息等可以给其他系统使用的公开信息发布到用户信息发布系统,将授权信息发布到权限发布系统,将可以共享的审计报表发布审计发布系统。发布系统可以是LDAP、关系数据库或文件系统等。
权利要求
1.一种三权分立的分级授权管理系统及方法,该方法实现的系统采用分层管理的方法,通过用户管理、授权管理、审计管理三权分立的策略,实现对访问者灵活的身份认证、操作鉴权、安全审计。
2.根据权利要求1中所述的一种三权分立的分级授权管理系统及方法,其特征在于:用户管理、授权管理与审计管理须由至少三个管理员完成。
3.根据权利要求1中所述的一种三权分立的分级授权管理系统及方法,其特征在于,用户管理员不能对用户进行授权管理和审计管理,授权管理员不能对用户、组、域等进行管理,不能对审计记录进行管理,审计管理员不能对用户、组、域等进行管理,不能进行授权管理。
4.根据权利要求1中所述的一种三权分立的分级授权管理系统及方法,其特征在于:管理员之间可存在上下级关系,下级管理员的管理范围和管理策略(包括管理员、时间、地址、传递性、对象属性等)由上级管理员指定。
5.根据权利要求1中所述的一种三权分立的分级授权管理系统及方法,其特征在于:管理员是经鉴别的用户。
6.根据权利要求1中所述的一种三权分立的分级授权管理系统及方法,其特征在于:上级管理员为下级管理员授予的管理权限是上级管理员的管理权限的子集;一个管理员可以有多个上级,其管理权限是每个上级授予的管理权限的并集。
7.根据权利要求1中所述的一种三权分立的分级授权管理系统及方法,其特征在于,授权管理可以采用基于角色、基于组、基于任务或其他任何一种授权方法。
8.根据权利要求1中所述的一种三权分立的分级授权管理系统及方法,其特征在于:用户、授权、审计信息信息的发布可以使用LDAP、关系数据库、或带有签名的计算机文件。
全文摘要
本发明公开了一种对用户、授权和审计进行分立、分级管理的系统及方法,该方法实现的系统采用分层管理的方法,通过用户管理、授权管理和审计管理三权分立的策略,以及上级管理员指定下级管理员的管理范围和管理策略(包括管理员、时间、地址、传递性、对象属性等)的方式,实现对访问者灵活的身份认证、操作鉴权、安全审计。本方法实现的系统具有控制灵活、安全性高等特点,解决系统管理员的权力过大,系统的安全性非常脆弱的问题。
文档编号H04L12/24GK103107899SQ201110353990
公开日2013年5月15日 申请日期2011年11月10日 优先权日2011年11月10日
发明者杨义先, 刘欣然, 袁中兰, 张鸿, 李小标, 包秀国, 柴军民, 夏光升, 徐倩华 申请人:天津市国瑞数码安全系统有限公司, 国家计算机网络与信息安全管理中心