專利名稱:一種認(rèn)證與權(quán)限管理系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全領(lǐng)域,特別是涉及一種認(rèn)證與權(quán)限管理系統(tǒng)�。
背景技術(shù):
隨著信息技術(shù)的飛速發(fā)展,信息產(chǎn)業(yè)已成為國貿(mào)緊急發(fā)展的支柱產(chǎn)業(yè)��,從而推動(dòng)了高新技術(shù)�����、全球信息化突飛猛進(jìn)的發(fā)展���,全面推進(jìn)辦公自動(dòng)化��、網(wǎng)絡(luò)化�����、電子化��、全面信息共享是信息化發(fā)展的大勢所趨����。信息安全重要性也隨著科技信息的發(fā)展而日益突出。隨著應(yīng)用規(guī)模的增加�,安全管理的難度也隨之提高。在小型應(yīng)用系統(tǒng)中�,由于規(guī)模小,資源數(shù)量較少��,用戶數(shù)量不多�,安全策略安全可以很快得以部署而不會(huì)帶來管理不一致問題���;但是在大中型應(yīng)用系統(tǒng)中�����,如何保證系統(tǒng)各組成成分之間安全策略的快速部署及其一致性執(zhí)行就成為一個(gè)非?���,F(xiàn)實(shí)的問題,這一問題解決的好壞程度直接決定了系統(tǒng)的安全效率和效果����。認(rèn)證與權(quán)限控制是安全管理的一個(gè)重要內(nèi)容。因此��,需要一種認(rèn)證與權(quán)限管理系統(tǒng)來實(shí)現(xiàn)安全的集中管理�。
發(fā)明內(nèi)容
針對(duì)現(xiàn)有技術(shù)中存在的缺陷和不足,本發(fā)明提出一種認(rèn)證與權(quán)限管理系統(tǒng)���,以更好地解決信息安全中的集中管理問題��。為了實(shí)現(xiàn)上述目的����,本發(fā)明提出一種認(rèn)證與權(quán)限管理系統(tǒng)�����,所述認(rèn)證與權(quán)限管理系統(tǒng)包括身份認(rèn)證模塊�����,授權(quán)管理模塊,權(quán)限委托管理模塊�,審計(jì)模塊;其中所述身份認(rèn)證模塊用于對(duì)用戶及設(shè)備的身份進(jìn)行認(rèn)證��;所述授權(quán)管理模塊用于對(duì)通過所述身份認(rèn)證模塊認(rèn)證的用戶進(jìn)行基于用戶和角色的授權(quán)管理����;所述權(quán)限委托管理模塊用于通過權(quán)限委托方式,將相關(guān)應(yīng)用或操作委任給指定的用戶���;所述審計(jì)模塊用于對(duì)應(yīng)用提供安全審計(jì)����。作為上述技術(shù)方案的優(yōu)選�����,所述認(rèn)證與權(quán)限管理系統(tǒng)還包括內(nèi)置LDAP服務(wù)模塊�,用于實(shí)時(shí)更新安全管理信息或策略���,并將這些安全管理信息或策略實(shí)時(shí)轉(zhuǎn)換為應(yīng)用能直接訪問的應(yīng)用安全策略�。作為上述技術(shù)方案的優(yōu)選�����,所述認(rèn)證與權(quán)限管理系統(tǒng)還包括應(yīng)用管理模塊,用于對(duì)證書����、用戶信息、角色�、資源與對(duì)象進(jìn)行管理。作為上述技術(shù)方案的優(yōu)選��,所述認(rèn)證與權(quán)限管理系統(tǒng)還包括安全傳輸模塊����,用于使系統(tǒng)中的信息進(jìn)行安全傳輸。作為上述技術(shù)方案的優(yōu)選�����,所述認(rèn)證與權(quán)限管理系統(tǒng)支持建立分布式的認(rèn)證與權(quán)
限管理的云管理模式���。本發(fā)明提出的認(rèn)證與權(quán)限管理系統(tǒng)能滿足用戶業(yè)務(wù)要求的應(yīng)用認(rèn)證與權(quán)限管理
3系統(tǒng)平臺(tái)���,實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)中用戶身份、設(shè)備資源��、角色權(quán)限、訪問控制等安全信息和安全策略的集中統(tǒng)一管理����。下面結(jié)合附圖,對(duì)本發(fā)明的具體實(shí)施方式
作進(jìn)一步的詳細(xì)說明�。對(duì)于所屬技術(shù)領(lǐng)域的技術(shù)人員而言,從對(duì)本發(fā)明的詳細(xì)說明中�,本發(fā)明的上述和其他目的、特征和優(yōu)點(diǎn)將顯而易見�。
圖1為本發(fā)明提出的認(rèn)證與權(quán)限管理系統(tǒng)的示意圖;圖2為認(rèn)證與權(quán)限管理系統(tǒng)的“云管理”結(jié)構(gòu)示意圖�;圖3為應(yīng)用本地認(rèn)證與權(quán)限管理模式示意圖。
具體實(shí)施例方式如圖1所示����,本發(fā)明提出的認(rèn)證與權(quán)限管理系統(tǒng)包括身份認(rèn)證模塊,授權(quán)管理模塊����,權(quán)限委托管理模塊,審計(jì)模塊���;其中所述身份認(rèn)證模塊用于對(duì)用戶及設(shè)備的身份進(jìn)行認(rèn)證����;所述授權(quán)管理模塊用于對(duì)通過所述身份認(rèn)證模塊認(rèn)證的用戶進(jìn)行基于用戶和角色的授權(quán)管理���;所述權(quán)限委托管理模塊用于通過權(quán)限委托方式���,將相關(guān)應(yīng)用或操作委任給指定的用戶;所述審計(jì)模塊用于對(duì)應(yīng)用提供安全審計(jì)�����。其中�����,所述認(rèn)證與權(quán)限管理系統(tǒng)還可以包括內(nèi)置LDAP服務(wù)模塊����,用于實(shí)時(shí)更新安全管理信息或策略,并將這些安全管理信息或策略實(shí)時(shí)轉(zhuǎn)換為應(yīng)用能直接訪問的應(yīng)用安全策略����。所述認(rèn)證與權(quán)限管理系統(tǒng)還可以包括應(yīng)用管理模塊,用于對(duì)證書���、用戶信息����、角色、資源與對(duì)象進(jìn)行管理�����。所述認(rèn)證與權(quán)限管理系統(tǒng)還可以包括安全傳輸模塊��,用于使系統(tǒng)中的信息進(jìn)行安全傳輸����。所述認(rèn)證與權(quán)限管理系統(tǒng)支持建立分布式的認(rèn)證與權(quán)限管理的云管理模式。本發(fā)明所提出的認(rèn)證與權(quán)限管理系統(tǒng)以身份管理�、證書管理、資源管理����、角色管理、安全標(biāo)記和安全策略管理為內(nèi)容的綜合應(yīng)用安全管理平臺(tái)����,它有以下功能特點(diǎn)1.基于用戶和角色的授權(quán)管理。本系統(tǒng)支持基于用戶和角色的授權(quán)管理機(jī)制��,即安全管理員可以根據(jù)用戶身份分配或根據(jù)角色(業(yè)務(wù)崗位)確定他們對(duì)資源的訪問權(quán)限。2.基于權(quán)限委托的管理機(jī)制����。本系統(tǒng)可以通過權(quán)限委托方式���,將具體的與業(yè)務(wù)應(yīng)用密切相關(guān)的安全管理細(xì)節(jié)委任給具體的適當(dāng)人選�,而高層管理人員或機(jī)構(gòu)通過這種創(chuàng)建或取消權(quán)限委托的方式實(shí)現(xiàn)其管理意志����。通過權(quán)限委托機(jī)制可以有效地實(shí)現(xiàn)“集中指揮、多級(jí)管理”的現(xiàn)實(shí)管理方式和管理要求����,以最貼切的方式支持現(xiàn)有的業(yè)務(wù)管理流程。3.支持“最小特權(quán)”安全原則���。本系統(tǒng)通過安全訪問控制機(jī)制限制每個(gè)安全管理員對(duì)安全目錄信息(包括身份�、資源����、角色、證書�����、安全標(biāo)記、安全策略等)的管理權(quán)限����,并通過管理權(quán)限的合理設(shè)置保證安全管理員擁有充分并且適當(dāng)?shù)墓芾矸秶凸芾砟芰Α?br>
4.可信管理。本系統(tǒng)建立在可信的目錄服務(wù)平臺(tái)上�����,支持基于證書的安全管理人員和管理設(shè)備的身份認(rèn)證����,保證管理人員和安全管理平臺(tái)的身份可信;支持基于密碼技術(shù)的安全目錄信息傳輸和復(fù)制�����,保證安全目錄服務(wù)內(nèi)容的可信�;通過信任傳遞機(jī)制保證安全管理平臺(tái)的運(yùn)行可信。5.實(shí)時(shí)高效�����。本系統(tǒng)通過應(yīng)用內(nèi)置LDAP服務(wù)減少應(yīng)用在安全機(jī)制執(zhí)行過程中的性能開銷�,提高系統(tǒng)的管理實(shí)時(shí)性和高效性。安全管理信息或安全策略的任何變化都會(huì)被實(shí)時(shí)更新到應(yīng)用內(nèi)置的LDAP服務(wù)中,并通過這些內(nèi)置的LDAP目錄服務(wù)相關(guān)工具將這些安全管理信息和安全策略實(shí)時(shí)轉(zhuǎn)換為應(yīng)用可以直接訪問的應(yīng)用安全策略�����;應(yīng)用內(nèi)置的LDAP 服務(wù)對(duì)于應(yīng)用本身的安全執(zhí)行機(jī)制是完全透明的�,這種透明的管理模式既保證了安全管理的實(shí)時(shí)性,又避免了應(yīng)用集中訪問LDAP服務(wù)的計(jì)算和傳輸開銷��,提高了安全性能���。6.高可用性結(jié)構(gòu)。本系統(tǒng)支持的內(nèi)置LDAP服務(wù)機(jī)制本質(zhì)上保證了應(yīng)用安全策略執(zhí)行實(shí)體與安全管理系統(tǒng)之間的松耦合性����,即使安全管理系統(tǒng)因?yàn)楣收喜荒芴峁┎呗孕薷暮筒樵兎?wù),應(yīng)用系統(tǒng)依然會(huì)基于本地保存的安全管理信息和安全策略實(shí)施安全控制�。此外,該認(rèn)證與權(quán)限管理系統(tǒng)還可以通過雙機(jī)熱備等方式提供安全管理的高可用性�����。采用該認(rèn)證與權(quán)限管理系統(tǒng)的最大優(yōu)勢是首先��,它以標(biāo)準(zhǔn)化技術(shù)為基礎(chǔ)基礎(chǔ)���,很容易針對(duì)用戶的實(shí)際系統(tǒng)進(jìn)行定制��;其次��,它充分參考了實(shí)際的機(jī)構(gòu)管理模式���,使管理流程更符合用戶要求����;再次,另一方面,中鐵信“睿安”認(rèn)證與權(quán)限管理系統(tǒng)使用簡單���,容易維護(hù)和優(yōu)化。解決方案示例鐵路是一個(gè)“集中指揮、三級(jí)管理”的系統(tǒng)����,在滿足全路統(tǒng)一調(diào)度�����、統(tǒng)一指揮的前提下�,鐵道部、各路局和站段都有其各自獨(dú)立的管理權(quán)限���,因此鐵路信息系統(tǒng)的認(rèn)證與權(quán)限管理具有以下復(fù)雜性特點(diǎn)1.集中和統(tǒng)一的管理要求�����。為保障各管理層次范圍內(nèi)的系統(tǒng)安全運(yùn)行���,每級(jí)管理機(jī)構(gòu)或部門必須有能力對(duì)其轄下業(yè)務(wù)和系統(tǒng)的安全運(yùn)行策略實(shí)施統(tǒng)一管理����、統(tǒng)一調(diào)度����,保證管理的協(xié)調(diào)性和一致性���,從而保證鐵路運(yùn)輸?shù)陌踩a(chǎn)�����;2.多級(jí)管理體系���。在服從上級(jí)統(tǒng)一指揮的前提下,各級(jí)單位應(yīng)該有能力在自己的管理范圍和管理權(quán)限內(nèi)�,制定與本單位業(yè)務(wù)相關(guān)的局部安全策略��,以高效和有效地適應(yīng)和滿足自身業(yè)務(wù)的實(shí)際需求���;鐵路應(yīng)用系統(tǒng)認(rèn)證與權(quán)限管理系統(tǒng)的設(shè)計(jì)和建設(shè)目標(biāo)就是滿足鐵路應(yīng)用系統(tǒng)的安全管理要求,實(shí)現(xiàn)專業(yè)性的應(yīng)用安全管理��,遵循國家信息安全等級(jí)保護(hù)制度及相關(guān)標(biāo)準(zhǔn)�。要滿足上述要求,用戶可以選擇本發(fā)明的認(rèn)證與權(quán)限管理系統(tǒng)作為集中的應(yīng)用安全管理平臺(tái)��,它支持與鐵路應(yīng)用安全相關(guān)的人員���、資源����、角色���、證書���、安全標(biāo)記和安全策略等內(nèi)容的集中管理。各級(jí)管理數(shù)據(jù)庫可以根據(jù)其用途性質(zhì)定義其共享方式和共享范圍�����。比如各路局在各自的人員身份管理過程中,可以從上級(jí)數(shù)據(jù)庫中導(dǎo)入相關(guān)的人員管理信息�����。鐵路應(yīng)用認(rèn)證與權(quán)限管理系統(tǒng)中�,還有一些管理數(shù)據(jù)庫是全局性的,比如數(shù)字證書庫����。鐵路系統(tǒng)中通過數(shù)字證書唯一地標(biāo)識(shí)人員身份、設(shè)備和其它管理對(duì)象���,在管理上���,所有的數(shù)字證書(包括人員證書、設(shè)備證書等)都統(tǒng)一由鐵道部指定的證書中心(CA)頒發(fā)�����,其它部門或應(yīng)用只是這一證書系統(tǒng)的用戶����,因此證書庫在鐵路系統(tǒng)內(nèi)是一個(gè)全局的管理數(shù)據(jù)庫���。證書庫只在鐵道部一級(jí)統(tǒng)一維護(hù)和管理����,所有路局、站段�����、各級(jí)應(yīng)用都只能通過查詢方式訪問這一證書庫����。鐵路應(yīng)用系統(tǒng)有以下特點(diǎn)1)規(guī)模龐大、系統(tǒng)覆蓋范圍廣�����,在鐵道部��、路局及站段之間的廣域網(wǎng)絡(luò)帶寬一般只有4Mbps或2Mbps ��;2)業(yè)務(wù)實(shí)時(shí)性和連續(xù)性要求高���。因此其應(yīng)用認(rèn)證與權(quán)限管理系統(tǒng)的性能和可用性非常關(guān)鍵�����。以LDAP為技術(shù)基礎(chǔ)的應(yīng)用認(rèn)證與權(quán)限管理系統(tǒng)在性能上受以下幾個(gè)因素制約1.應(yīng)用認(rèn)證與權(quán)限管理服務(wù)器性能��;2.網(wǎng)絡(luò)帶寬��;3.大量的并發(fā)訪問帶來應(yīng)用認(rèn)證與權(quán)限管理服務(wù)器的性能瓶頸���;為從根本上克服上述性能問題�����,該認(rèn)證與權(quán)限管理系統(tǒng)還可以支持“云管理”模式��。所謂“云管理”模式是指建立分布式的應(yīng)用認(rèn)證與權(quán)限管理系統(tǒng)���,并按照業(yè)務(wù)需要,將必需的認(rèn)證與權(quán)限管理信息復(fù)制到應(yīng)用本地系統(tǒng)�����,而應(yīng)用并不關(guān)心它所需要的認(rèn)證與權(quán)限管理信息所在的具體位置�?���!霸乒芾怼蹦J降暮锰幨菍?duì)認(rèn)證與權(quán)限管理信息的集中訪問分散到應(yīng)用本地���,從根本上克服了大規(guī)模并發(fā)訪問帶來的服務(wù)性能瓶頸問題,減少了對(duì)應(yīng)用認(rèn)證與權(quán)限管理服務(wù)器性能和網(wǎng)絡(luò)帶寬的需求�。如圖2,圖3所示��,鐵路應(yīng)用認(rèn)證與權(quán)限的“云管理”結(jié)構(gòu)由各級(jí)應(yīng)用認(rèn)證與權(quán)限管理骨干節(jié)點(diǎn)和應(yīng)用本地LDAP服務(wù)組成���,應(yīng)用認(rèn)證與權(quán)限管理骨干節(jié)點(diǎn)和應(yīng)用本地LDAP服務(wù)協(xié)同�,將與應(yīng)用相關(guān)的應(yīng)用認(rèn)證與權(quán)限管理信息復(fù)制并轉(zhuǎn)換到本地策略數(shù)據(jù)庫��,為應(yīng)用或操作系統(tǒng)提供安全管理服務(wù)�。對(duì)于操作系統(tǒng)和應(yīng)用,上述過程完全透明����。鐵路應(yīng)用認(rèn)證與權(quán)限的“云管理”方式避免了各級(jí)應(yīng)用系統(tǒng)大量通過網(wǎng)絡(luò)對(duì)鐵路應(yīng)用認(rèn)證與權(quán)限管理系統(tǒng)的訪問,使得系統(tǒng)的安全管理性能與網(wǎng)絡(luò)帶寬和管理服務(wù)器的性能���,并避免了應(yīng)用認(rèn)證與權(quán)限管理服務(wù)器的安全瓶頸����。此外,認(rèn)證與權(quán)限管理系統(tǒng)能夠很好地支持鐵路系統(tǒng)的“集中指揮���、三級(jí)管理”要求�����。該認(rèn)證與權(quán)限管理系統(tǒng)支持權(quán)限委托機(jī)制�,鐵路應(yīng)用系統(tǒng)可以通過這一機(jī)制實(shí)現(xiàn)安全授權(quán)能力的再分配���,再通過多管理角色的方式實(shí)現(xiàn)管理工作的分工協(xié)作���,滿足層次化管理結(jié)構(gòu)現(xiàn)狀和要求,最終實(shí)現(xiàn)“集中指揮���、三級(jí)管理”的安全管理目標(biāo)����。比如鐵道部根據(jù)業(yè)務(wù)需要�����,增加一個(gè)崗位編制��,其職責(zé)是負(fù)責(zé)鐵道部所屬應(yīng)用Appl的安全管理����。根安全管理員的工作流程包括1)創(chuàng)建一個(gè)角色R1,并將相應(yīng)的應(yīng)用安全管理權(quán)限委托給角色R ;2)創(chuàng)建/確定一個(gè)用戶A���,將其分配到角色R中�����。完成這一管理操作后����,用戶A就可以管理應(yīng)用 Appl ��;一旦A被調(diào)離該崗位����,根安全管理員只需要從角色R中刪除該用戶即可。在這個(gè)例子中��,A是專業(yè)的應(yīng)用安全管理員�,根安全管理員通過對(duì)角色的控制和管理,可以間接地實(shí)現(xiàn)對(duì)應(yīng)用Appl的管理�,這一管理模式準(zhǔn)確地反映了鐵路系統(tǒng)“集中指揮、三級(jí)管理”的管理現(xiàn)狀和客觀要求。雖然�,本發(fā)明已通過以上實(shí)施例及其附圖而清楚說明,然而在不背離本發(fā)明精神及其實(shí)質(zhì)的情況下�����,所屬技術(shù)領(lǐng)域的技術(shù)人員當(dāng)可根據(jù)本發(fā)明作出各種相應(yīng)的變化和修正���,但這些相應(yīng)的變化和修正都應(yīng)屬于本發(fā)明的權(quán)利要求的保護(hù)范圍��。
權(quán)利要求
1.一種認(rèn)證與權(quán)限管理系統(tǒng)��,其特征在于��,所述認(rèn)證與權(quán)限管理系統(tǒng)包括身份認(rèn)證模塊����,授權(quán)管理模塊�����,權(quán)限委托管理模塊��,審計(jì)模塊����;其中所述身份認(rèn)證模塊用于對(duì)用戶及設(shè)備的身份進(jìn)行認(rèn)證�����;所述授權(quán)管理模塊用于對(duì)通過所述身份認(rèn)證模塊認(rèn)證的用戶進(jìn)行基于用戶和角色的授權(quán)管理;所述權(quán)限委托管理模塊用于通過權(quán)限委托方式����,將相關(guān)應(yīng)用或操作委任給指定的用戶;所述審計(jì)模塊用于對(duì)應(yīng)用提供安全審計(jì)�。
2.根據(jù)權(quán)利要求1所述的認(rèn)證與權(quán)限管理系統(tǒng),其特征在于�,所述認(rèn)證與權(quán)限管理系統(tǒng)還包括內(nèi)置LDAP服務(wù)模塊,用于實(shí)時(shí)更新安全管理信息或策略���,并將這些安全管理信息或策略實(shí)時(shí)轉(zhuǎn)換為應(yīng)用能直接訪問的應(yīng)用安全策略��。
3.根據(jù)權(quán)利要求1所述的認(rèn)證與權(quán)限管理系統(tǒng)���,其特征在于,所述認(rèn)證與權(quán)限管理系統(tǒng)還包括應(yīng)用管理模塊��,用于對(duì)證書����、用戶信息���、角色、資源與對(duì)象進(jìn)行管理����。
4.根據(jù)權(quán)利要求1所述的認(rèn)證與權(quán)限管理系統(tǒng),其特征在于�,所述認(rèn)證與權(quán)限管理系統(tǒng)還包括安全傳輸模塊,用于使系統(tǒng)中的信息進(jìn)行安全傳輸����。
5.根據(jù)權(quán)利要求1所述的認(rèn)證與權(quán)限管理系統(tǒng),其特征在于����,所述認(rèn)證與權(quán)限管理系統(tǒng)支持建立分布式的認(rèn)證與權(quán)限管理的云管理模式。
全文摘要
本發(fā)明涉及一種認(rèn)證與權(quán)限管理系統(tǒng)��,所述認(rèn)證與權(quán)限管理系統(tǒng)包括身份認(rèn)證模塊����,授權(quán)管理模塊,權(quán)限委托管理模塊����,審計(jì)模塊�����;所述身份認(rèn)證模塊用于對(duì)用戶及設(shè)備的身份進(jìn)行認(rèn)證���;所述授權(quán)管理模塊用于對(duì)通過所述身份認(rèn)證模塊認(rèn)證的用戶進(jìn)行基于用戶和角色的授權(quán)管理;所述權(quán)限委托管理模塊用于通過權(quán)限委托方式�,將相關(guān)應(yīng)用或操作委任給指定的用戶��;所述審計(jì)模塊用于對(duì)應(yīng)用提供安全審計(jì)��。本發(fā)明能滿足用戶業(yè)務(wù)要求的應(yīng)用認(rèn)證與權(quán)限管理系統(tǒng)平臺(tái)����,實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)中用戶身份、設(shè)備資源�����、角色權(quán)限����、訪問控制等安全信息和安全策略的集中統(tǒng)一管理���。
文檔編號(hào)H04L29/06GK102487377SQ20101056834
公開日2012年6月6日 申請(qǐng)日期2010年12月1日 優(yōu)先權(quán)日2010年12月1日
發(fā)明者劉剛, 孫紹鋼, 李曉勇, 李毓才, 楊健, 白竟 申請(qǐng)人:中鐵信弘遠(yuǎn)(北京)信息軟件開發(fā)有限公司, 中鐵信息計(jì)算機(jī)工程有限責(zé)任公司