一種基于云平臺的統(tǒng)一身份認證方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及認證技術(shù)領(lǐng)域，具體涉及一種基于云平臺的統(tǒng)一身份認證方法。
【背景技術(shù)】
[0002]傳統(tǒng)的統(tǒng)一身份認證能夠?qū)崿F(xiàn)在多個應用系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統(tǒng)，一次登錄，資源盡享。大多數(shù)統(tǒng)一身份認證產(chǎn)品基于傳統(tǒng)應用的統(tǒng)一認證，故對云平臺、云資源的統(tǒng)一認證和授權(quán)能力比較薄弱。另外，大多數(shù)統(tǒng)一身份認證產(chǎn)品授權(quán)粒度只精確到應用、設(shè)備、主機，通俗說就是用戶是否有權(quán)連接某個IP地址+端口，而實體內(nèi)部資源的訪問權(quán)限還需要在實體內(nèi)部進行分配和管理。因此，針對各應用來說，在認證及登陸完成后，需由各應用系統(tǒng)自身的權(quán)限控制模塊進行用戶行為的進一步控制。
[0003]統(tǒng)一身份認證，又稱4A:認證Authenti cat 1n、賬號Account、授權(quán) Authorizat 1n、審計Audit，也就是將身份認證、授權(quán)、審計和賬號(即不可否認性及數(shù)據(jù)完整性)定義為網(wǎng)絡(luò)安全的四大組成部分，從而確立了身份認證在整個網(wǎng)絡(luò)安全系統(tǒng)中的地位與作用。統(tǒng)一身份認證產(chǎn)品一般包含如下功能:
[0004]集中帳號(account)管理:為用戶提供統(tǒng)一集中的帳號管理，支持管理的資源包括主流的操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備和應用系統(tǒng);不僅能夠?qū)崿F(xiàn)被管理資源帳號的創(chuàng)建、刪除及同步等帳號管理生命周期所包含的基本功能，而且也可以通過平臺進行帳號密碼策略，密碼強度、生存周期的設(shè)定。
[0005]集中認證(authenticat1n)管理:可以根據(jù)用戶應用的實際需要，為用戶提供不同強度的認證方式，既可以保持原有的靜態(tài)口令方式，又可以提供具有雙因子認證方式的高強度認證(一次性口令、數(shù)字證書、動態(tài)口令)，而且還能夠集成現(xiàn)有其它如生物特征等新型的認證方式。不僅可以實現(xiàn)用戶認證的統(tǒng)一管理，并且能夠為用戶提供統(tǒng)一的認證門戶，實現(xiàn)企業(yè)信息資源訪問的單點登錄。
[0006]集中權(quán)限(authorizat1n)管理:可以對用戶的資源訪問權(quán)限進行集中控制，它既可以實現(xiàn)對B/S、C/S應用系統(tǒng)資源的訪問權(quán)限控制，也可以實現(xiàn)對數(shù)據(jù)庫、主機及網(wǎng)絡(luò)設(shè)備的操作的權(quán)限控制，資源控制類型既包括B/S的URL、C/S的功能模塊，也包括數(shù)據(jù)庫的數(shù)據(jù)、記錄及主機、網(wǎng)絡(luò)設(shè)備的操作命令、IP地址及端口。
[0007]集中審計(audit)管理:將用戶所有的操作日志集中記錄管理和分析，不僅可以對用戶行為進行監(jiān)控，并且可以通過集中的審計數(shù)據(jù)進行數(shù)據(jù)挖掘，以便于事后的安全事故責任的認定。
[0008]當前的統(tǒng)一身份認證方法針對云資源中不同用戶對不同昂貴計算資源和數(shù)據(jù)資源的訪問權(quán)限缺乏有效的管理和控制。
[0009]為此，經(jīng)過長期理論研究和實踐積累，本案的發(fā)明人開發(fā)出一種基于云平臺的統(tǒng)一身份認證方案，很好地解決了統(tǒng)一認證之后不同協(xié)調(diào)的資源訪問權(quán)限管理和控制問題。

【發(fā)明內(nèi)容】

[0010]為了解決上述問題，本發(fā)明的目的旨在提供一種基于云平臺的統(tǒng)一身份認證方法，借助于統(tǒng)一身份認證實現(xiàn)實體內(nèi)部資源級授權(quán)后，實體內(nèi)部資源的訪問權(quán)限不需要在實體內(nèi)部進行分配和管理或?qū)嶓w內(nèi)部資源的訪問權(quán)限保存在實體內(nèi)部，并且與統(tǒng)一身份認證平臺保持一致，從而有效地解決了統(tǒng)一認證之后不同協(xié)調(diào)的資源訪問權(quán)限管理和控制問題。
[0011 ]為了實現(xiàn)上述發(fā)明目的，本發(fā)明提供了如下技術(shù)方案。
[0012]本發(fā)明提供一種云平臺的統(tǒng)一身份認證方法，其包括:
[0013]信息管理步驟，對用戶、虛擬計算資源、虛擬軟件資源、虛擬身份對象進行集中管理，并負責用戶與虛擬對象的關(guān)聯(lián)關(guān)系管理；
[0014]對象映射步驟，對所述信息管理步驟中管理的虛擬對象與實體對象施加映射，對虛擬對象和實體對象的映射關(guān)系進行管理，從而提供基于Windows系列操作系統(tǒng)的AD域、基于Unix/Solaris/Linux系列操作系統(tǒng)的NIS域的集中管理，并提供計算資源、專業(yè)軟件資源的集中管理;和
[0015]訪問控制步驟，對經(jīng)所述對象映射步驟實施映射后的實體對象的權(quán)限進行定義，根據(jù)用戶的身份安全需求，定義域賬號組訪問專業(yè)軟件資源、數(shù)據(jù)資源、計算資源操作系統(tǒng)的權(quán)限，從而實現(xiàn)用戶權(quán)限的定義，
[0016]其中所述信息管理步驟中所使用的數(shù)據(jù)、實體AD域數(shù)據(jù)、實體NIS域數(shù)據(jù)存儲在云平臺的預設(shè)數(shù)據(jù)庫中，
[0017]所述用戶具有AD域賬號和NIS域賬號，所述實體對象包括實體AD組和實體NIS組，AD是指活動目錄，NIS指代網(wǎng)絡(luò)信息服務。
[0018]根據(jù)本發(fā)明的統(tǒng)一身份認證方法，所述信息管理步驟進一步包括用戶管理子步驟、虛擬對象管理子步驟、以及關(guān)聯(lián)關(guān)系管理子步驟，
[0019]在所述用戶管理子步驟中，對自然人身份信息進行管理，提供對人員從入職、調(diào)職、離職等業(yè)務場景下的人員信息管理，其主要包括用戶創(chuàng)建、認證憑證維護、用戶維護和用戶狀態(tài)管理；
[0020]在所述虛擬對象管理子步驟中，對虛擬的AD域賬號、虛擬的NIS域賬號、虛擬AD賬號組、虛擬NIS賬號組、虛擬計算資源、虛擬專業(yè)軟件資源進行管理；
[0021]在所述關(guān)聯(lián)關(guān)系管理子步驟中，對用戶與虛擬對象之間的關(guān)聯(lián)關(guān)系進行管理，其主要包括:用戶與虛擬AD賬號映射管理、虛擬AD賬號與虛擬AD賬號組關(guān)系管理、用戶與虛擬NI S賬號映射管理、虛擬NI S賬號與虛擬NI S賬號組關(guān)系管理。
[0022]根據(jù)本發(fā)明的統(tǒng)一身份認證方法，所述對象映射步驟進一步包括:
[0023]將虛擬AD帳號映射至實體AD帳號或?qū)⑻摂MNIS帳號映射至實體NIS帳號；
[0024]將虛擬AD組映射至實體AD組或?qū)⑻摂MNIS組映射至實體NIS組;和
[0025]將虛擬AD帳號與虛擬AD組的關(guān)系映射至實體AD帳號與實體AD組的關(guān)系中或?qū)⑻摂MNI S帳號與虛擬NI S組的關(guān)系映射至實體NI S帳號與實體NI S組的關(guān)系中。
[0026]優(yōu)選地，根據(jù)本發(fā)明的統(tǒng)一身份認證方法，所述訪問控制步驟進一步包括:
[0027]授權(quán)步驟，對賬號組授予角色以及對角色授予訪問專業(yè)軟件的權(quán)限，作為用戶的認證信息；
[0028]虛擬鑒權(quán)步驟，對訪問云平臺門戶的用戶進行認證，并響應于用戶所訪問的專業(yè)軟件資源、數(shù)據(jù)資源請求，通過云平臺數(shù)據(jù)庫對所述用戶進行虛擬鑒權(quán)；
[0029]實體賬號認證和鑒權(quán)步驟，在所述虛擬鑒權(quán)步驟的虛擬鑒權(quán)完成后，對以AD域賬號或者NIS域賬號訪問的用戶進行實體賬號認證和實體賬號鑒權(quán)，其包括對用戶進行第一層虛擬賬號鑒權(quán)，識別虛擬賬號是否擁有相應的角色后，對用戶進行第二層的實體賬號鑒權(quán)，識別相應的角色是否擁有所訪問的專業(yè)軟件的權(quán)限，其中，第二層鑒權(quán)對用戶透明。
[0030]進一步地，根據(jù)本發(fā)明的統(tǒng)一身份認證方法，所述實體賬號認證和鑒權(quán)步驟根據(jù)所服務的操作系統(tǒng)的不同具體分為AD域?qū)嶓w賬號認證和鑒權(quán)子步驟和NIS域?qū)嶓w賬號認證和鑒權(quán)子步驟兩個子步驟，其中在所述AD域?qū)嶓w賬號認證和鑒權(quán)子步驟中，對AD賬號通過LDAPs協(xié)議進行實