一种域管理对象映射装置及统一身份认证系统的制作方法
【技术领域】
[0001]本发明涉及认证技术领域,具体涉及一种基于云平台的域管理对象映射装置及统一身份认证系统。
【背景技术】
[0002]传统的统一身份认证能够实现在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统,一次登录,资源尽享。大多数统一身份认证产品基于传统应用的统一认证,故对云平台、云资源的统一认证和授权能力比较薄弱。另外,大多数统一身份认证产品授权粒度只精确到应用、设备、主机,通俗说就是用户是否有权连接某个IP地址+端口,而实体内部资源的访问权限还需要在实体内部进行分配和管理。因此,针对各应用来说,在认证及登陆完成后,需由各应用系统自身的权限控制模块进行用户行为的进一步控制。
[0003]统一身份认证,又称4A:认证Authenti cat 1n、账号Account、授权 Authorizat 1n、审计Audit,也就是将身份认证、授权、审计和账号(即不可否认性及数据完整性)定义为网络安全的四大组成部分,从而确立了身份认证在整个网络安全系统中的地位与作用。统一身份认证产品一般包含如下功能:
[0004]集中帐号(account)管理:为用户提供统一集中的帐号管理,支持管理的资源包括主流的操作系统、网络设备和应用系统;不仅能够实现被管理资源帐号的创建、删除及同步等帐号管理生命周期所包含的基本功能,而且也可以通过平台进行帐号密码策略,密码强度、生存周期的设定。
[0005]集中认证(authenticat1n)管理:可以根据用户应用的实际需要,为用户提供不同强度的认证方式,既可以保持原有的静态口令方式,又可以提供具有双因子认证方式的高强度认证(一次性口令、数字证书、动态口令),而且还能够集成现有其它如生物特征等新型的认证方式。不仅可以实现用户认证的统一管理,并且能够为用户提供统一的认证门户,实现企业信息资源访问的单点登录。
[0006]集中权限(authorizat1n)管理:可以对用户的资源访问权限进行集中控制。它既可以实现对B/S、C/S应用系统资源的访问权限控制,也可以实现对数据库、主机及网络设备的操作的权限控制,资源控制类型既包括B/S的URL、C/S的功能模块,也包括数据库的数据、记录及主机、网络设备的操作命令、IP地址及端口。
[0007]集中审计(audit)管理:将用户所有的操作日志集中记录管理和分析,不仅可以对用户行为进行监控,并且可以通过集中的审计数据进行数据挖掘,以便于事后的安全事故责任的认定。
[0008]市场上统一身份认证产品和技术已经非常成熟,比如IBM Tivoli IdentityManager'Microsoft Active Directory以及很多开源的产品,很多公司基于这些产品或者类似理念进行开发、二次开发实施,而实现了统一身份认证。这些产品能轻易实现多个系统的统一登录认证,但是对于统一登录认证的各子系统中不同的资源,还缺乏对具体业务系统资源进一步安全控制的手段,特别是针对云资源中不同用户对不同昂贵计算资源和数据资源的访问权限缺乏有效的管理和控制。
[0009]为此,经过长期理论研究和实践积累,本案的发明人开发出一种基于云平台的统一身份认证方案,很好地解决了统一认证之后不同协调的资源访问权限管理和控制问题。
【发明内容】
[0010]为了解决上述问题,本发明的目的旨在提供一种基于云平台的域管理对象映射装置及统一身份认证系统,借助于统一身份认证实现实体内部资源级授权后,实体内部资源的访问权限不需要在实体内部进行分配和管理或将实体内部资源的访问权限保存在实体内部,并且与统一身份认证平台保持一致,从而有效地解决了统一认证之后不同协调的资源访问权限管理和控制问题。
[0011 ]为了实现上述发明目的,本发明提供了如下技术方案。
[0012]本发明的第一方面,提供一种基于云平台的域管理对象映射装置,对虚拟对象与实体对象施加映射,对虚拟对象和实体对象的映射关系进行管理,并将资源的访问权限授予实体组,所述域管理对象包括AD域管理对象和NI S域管理对象,所述域管理对象映射装置包括:
[0013]账号映射模块,将虚拟AD帐号映射至实体AD帐号,或将虚拟NIS帐号映射至实体NIS帐号;
[0014]虚拟组映射模块,将虚拟AD组映射至实体AD组,或将虚拟NIS组映射至实体NIS组;
[0015]对应关系映射模块,将虚拟AD帐号与虚拟AD组的关系映射至实体AD帐号与实体AD组的关系中,或将虚拟NIS帐号与虚拟NIS组的关系映射至实体NIS帐号与实NIS组的关系;
[0016]虚拟对象赋予模块,基于虚拟AD帐号将虚拟AD组赋予虚拟AD帐号,或基于虚拟NIS帐号将虚拟NIS组赋予虚拟NIS帐号;
[0017]实体对象赋予模块,通过映射将实体AD组赋予实体AD账号,或通过映射将实体NIS组赋予实体NIS账号;以及
[0018]权限授予模块,基于实体AD组将计算资源、数据资源和专业软件资源的访问权授予实体AD组,或基于实体NIS组将计算资源、数据资源和专业软件资源的访问权授予实体NI S组,
[0019]其中AD是指活动目录,NIS指代网络信息服务。
[0020]优选地,根据本发明的域管理对象映射装置,其中所述NIS由服务器端和客户端组成,所述服务器端包含一个主服务器和一个从服务器,所述客户端包含多个客户端主机操作系统;所述AD使用结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。
[0021]优选地,根据本发明的域管理对象映射装置,其中对虚拟的Windows平台账号授权时,通过AD Server Interface,以LDAPs协议访问AD域,将授权结果映射至AD域中,实现对实体AD域账号的授权;对虚拟的Linux平台账号授权时,通过NIS Server Interface,以SSH协议访问NIS域,将授权结果映射至NIS域中,实现对实体NIS域账号的授权。
[0022]本发明的第二方面,提供一种基于云平台的统一身份认证系统,其包括:
[0023]信息管理装置,用于集中管理用户、虚拟计算资源、虚拟软件资源、虚拟身份对象,并负责用户与虚拟对象的关联关系管理;
[0024]本发明的上文所述的任意一种域管理对象映射装置,其中该域管理对象映射装置对所述信息管理装置管理的虚拟对象与实体对象施加映射;以及
[0025]认证鉴权装置,对访问云平台门户的用户进行认证,并响应于用户所访问的专业软件资源、数据资源请求,通过云平台数据库对所述用户进行虚拟鉴权,对用户进行第一层虚拟账号鉴权,识别虚拟账号是否拥有相应的角色后,域对用户进行第二层的实体账号鉴权,识别相应的角色是否拥有所访问的专业软件的权限,其中,第二层鉴权对用户透明,
[0026]所述信息管理装置使用的数据、实体AD域数据、实体NIS域数据存储在云平台的预设数据库中。
[0027]优选地,根据本发明的统一身份认证系统,所述认证鉴权装置具体分为AD域认证鉴权模块和NI S域认证鉴权模块两个子模块,其中AD域认证鉴权模块对AD账号通过LDAPs协议进行实体账号认证和实体账号鉴权,NIS域认证鉴权模块对NIS账号通过SSH协议进行实体账号认证和实体账号鉴权。
[0028]优选地,根据本发明的统一身份认证系统,所述信息管理装置包含:
[0029]用户管理模