一种基于ad域的资源访问控制方法
【技术领域】
[0001]本发明属于身份认证及资源访问控制技术领域,尤其是一种基于AD域的资源访问控制方法。
【背景技术】
[0002]身份认证是在计算机网络中确认操作者身份的过程,其由用户表明某种信息,由系统验证正确与否并决定是否可以访问系统资源,其中的信息可以是用户掌握的用户名和密码,也可以用户拥有的IC卡等,还可以是指纹等生物学特征,无论何种方式,身份认证是安全的第一道大门,是各种安全措施可以发挥作用的前提。最常见的身份认证方式是用户拥有账号和密码,使用时按照提示输入到计算机中,但随着企业和机构引入各式各样的信息化系统,用户和管理员需要维护多个信息系统的账号和密码,影响日常的工作效率,用户希望一次登录可以访问企业的各个信息系统,因此资源单点登录技术应运而生。单点登录是一种统一认证和授权机制,指访问同一服务器不同应用中的受保护资源的同一用户,只需要登录一次,即通过一个应用中的安全验证后,再访问其他应用中的受保护资源时,不再需要重新登录验证。
[0003]国外商用单点登录系统一般适用于客户对单点登录要求比较高,并且企业内部必须采用Domino、SAP、Sieble等系统的情况,另外商用单点登录产品必须增加复杂的代理模块,国内小厂家的商用单点登录产品,虽然能够很好地执行分级保护/等级保护等相关安全策略,但是客户端安装的兼容性始终是个不容忽视的问题。
[0004]2015年4月研究机构Net Applicat1ns发布的统计数据显示Windows系统在操作系统市场占有率高达91.02%,这为AD域认证和AD域单点登录的发展带来极大便利性。首先Windows AD支持口令认证、域登录智能卡证书等认证方式;其次Windows用户不需安装额外的客户端,部署方便。但是AD域资源整合是基于Kerberos协议来实现的,配置环境相对繁琐,整合过程比较复杂,不便于实现。
【发明内容】
[0005]本发明的目的在于克服现有技术的不足,提供通过AD域进行用户认证并完成系统资源访问的一种基于AD域的资源访问控制方法。
[0006]本发明采取的技术方案是:
[0007]—种基于AD域的资源访问控制方法,其特征在于:包括以下步骤:
[0008]⑴用户访问系统资源前首先进行AD域身份认证;
[0009]⑵AD域身份认证通过后,门户Portal向私有SSO票据服务申请票据;若AD域身份认证失败,提示无法访问系统;
[0010]⑶用户携票据访问系统资源,系统资源向私有SSO票据服务兑换票据;
[0011]⑷若票据兑换成功,返回用户账号类信息,允许访问系统资源;若票据兑换失败,提示无法访问系统资源;
[0012](5)系统资源缓存Cookie,若Cookie未失效,用户可访问资源且不需要重新兑换票据。
[0013]而且,步骤⑴所述的用户通过AD域终端或非AD域终端访问门户Portal并被重定向至AD域控制器进行身份认证。
[0014]而且,步骤⑴所述的用户通过AD域终端或非AD域终端访问系统资源并被重定向至AD域控制器进行身份认证。
[0015]而且,步骤⑴所述的AD域控制器预先存储用户口令信息或用户智能卡信息。
[0016]本发明的优点和积极效果是:
[0017]1.本方法中,基于AD域扩展私有域单点登录,将用户门户Portal分别整合到AD域和私有域,使用户通过AD域终端或非AD域终端访问系统资源时可以统一在AD域控制器进行AD域单点登录或AD域认证,完成用户的身份认证,再通过扩展的私有单点登录协议进行单点登录访问业务资源。通过这种方式实现的单点登录体验具有协议多元化的特点,即基于AD域Kerberos协议实现用户身份认证和基于私有域SSO协议实现单点登录资源。身份认证直接采用AD域Kerberos协议,不需要安装身份认证客户端软件,适应多个版本Windows客户端广泛部署使用的现实情况,具有很好的兼容性;同时,单点登录采用扩展的私有SSO协议,协议实现简单,整合部署方便,便于快速整合各种新老业务资源,具有很好的可扩展性。
[0018]2.本方法中,单点登录实现多元化应用场景,摒弃原有的单一 AD域环境下的身份认证与单点登录模式,将AD域终端和非AD域终端的身份认证统一到AD域进行用户身份认证,并基于扩展的私有域单点登录协议进行私有域业务资源的单点登录访问。当然,在AD域的用户身份认证后,也可以继续进行AD域业务资源的单点登录访问。针对AD域终端或非域终端用户,结合用户门户Portal,形成四种典型的访问业务资源时的身份认证与单点登录应用场景,可以完整展示多个场景下的基于AD域的用户身份认证和基于私有域的单点登录资源,从而具有多元化应用场景下的单点登录体验。
[0019]3.本发明中,单点登录实现多元化资源整合,不限业务资源类型(B/S、C/S)和业务资源认证方式现状,对于不同层面的资源采用不同的整合方式,整合方式多样性(如接口整合、插件整合、代填配置等),资源整合便捷,降低开发成本。
【附图说明】
[0020]图1是扩展单点登录技术框架示意图,阐述了基于AD域认证的单点登录扩展技术的整体框架,Windows AD域作为身份认证,私有域认证作为单点登录的主要框架。
[0021]图2是扩展单点登录技术主要流程示意图,阐述了用户通过浏览器进行AD域认证或单点登录到门户Portal,Portal通过私有协议申请私有SSO票据,携带票据访问业务系统,业务系统验证票据并兑换用户名登录业务系统的过程。
[0022]图3是私有SSO票据申请和兑换流程示意图,门户Portal通过访问私有SSO票据服务提供的私有SSO票据申请接口获得票据,业务系统通过访问私有SSO票据服务提供的私有SSO票据兑换接口获取私有域用户名。
[0023]图4是域终端访问Portal的示意图,阐述了域终端访问门户Portal的整个流程,即用户通过AD认证到域终端,然后通过AD单点登录到门户Portal,获取票据的流程,以及票据兑换用户名和访问资源的流程。
[0024]图5是非域终端访问Portal的示意图,阐述了非域终端访问门户Portal的整个流程,即用户通过本地认证到非域终端,然后通过AD身份认证到门户Portal,获取票据的流程,以及票据兑换用户名和访问资源的流程。
[0025]图6是域终端访问资源的示意图,阐述了域终端访问资源的整个流程,即用户从域终端访问资源,被到重定向到AD域的单点登录到门户Portal,获取票据的流程,以及票据兑换用户名和访问资源的流程。
[0026]图7是非域终端访问资源的示意图,阐述了非域终端访问资源的整个流程,即用户从非域终端访问资源,被重定向到AD域进行身份认证,认证到AD域门户Portal,获取票据的流程,以及票据兑换用户名和访问资源的流程。
【具体实施方式】
[0027]下面结合实施例,对本发明进一步说明,下述实施例是说明性的,不是限定性的,不能以下述实施例来限定本发明的保护范围。
[0028]—种基于AD域的资源访问控制方法,如图1、2、3所示,本发明的创新在于:包括以下步骤:
[0029]⑴用户访问系统资源前首先进行AD域身份认证;
[0030]⑵AD域身份认证通过后,门户Portal向私有SSO票据服务申请票据;若AD域身份认证失败,提示无法访问系统;
[0031]⑶用户携票据访问系统资源,系统资源向私有SSO票据服务兑换票据;
[0032]⑷若票据兑换成功,返回用户账号类信息,允许访问系统资源;若票据兑换失败,提示无法访问系统资源;
[0033](5)系统资源缓存Cookie,若Cookie未失效,用户可访问资源且不需要重新兑换票据。
[0034]而且,步骤⑴所述的用户通过AD域终端或非AD域终端访问门户Portal并被重定向至AD域控制器进行身份认证。
[0035]其中,步骤⑴所述的用户通过AD域终端或非AD域终端访问系统资源并被重定向至AD域控制器进行身份认证。步骤⑴所述的AD域控制器预先存储用户口令信息或用户智能卡信息。
[0036]系统身份认证和系统资源访问的示意如图1中所示:用户可以从域终端或者非域终端访问系统资源,首先需要门户Portal进行身份认证,该身份认证工作由集成后的AD域控制器完成,身份认证后,用户可访问具体系统资源中的业务I?η。
[0037]具体的操作步骤如图2所示:自第I步直至第11步为浏览器、应用系统、私有SSO票据服务和AD域控制器之间的数据传递过程。
[0038]票据的流转见图3,AD域控制器根据身份认证的结果向私有SSO票据服务申请票据,AD域控制器向系统资源中的业务系统传递票据,系统资源中的业务系统向私有SSO票据服务兑换票据以获得用户的信息。
[0039]本发明使用时的四种典型的单点登录场景之具体描述如下:
[0040]1.域终端访问Portal后访问资源见图4
[0041]用户通过AD控制器认证到域终端,通过AD域控制器中的用户名和密码或者证书实现单点登录到门户Portal,当用户第一次通过域终端访问Portal时,Portal会发出请求向私有SSO票据服务端获取票据,票据服务端直接为该用户生成票据,将票据发送给业务系统或者资源系统,业务系统发送给私有SSO票据服务端进行验证票据并兑换用户名,兑换用户名成功后可以访问资源,并自动生成和存储一个与之对应的cookie,下次访问该业务系统或其它业