一種基于ad域的資源訪問控制方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于身份認(rèn)證及資源訪問控制技術(shù)領(lǐng)域，尤其是一種基于AD域的資源訪問控制方法。
【背景技術(shù)】
[0002]身份認(rèn)證是在計(jì)算機(jī)網(wǎng)絡(luò)中確認(rèn)操作者身份的過程，其由用戶表明某種信息，由系統(tǒng)驗(yàn)證正確與否并決定是否可以訪問系統(tǒng)資源，其中的信息可以是用戶掌握的用戶名和密碼，也可以用戶擁有的IC卡等，還可以是指紋等生物學(xué)特征，無論何種方式，身份認(rèn)證是安全的第一道大門，是各種安全措施可以發(fā)揮作用的前提。最常見的身份認(rèn)證方式是用戶擁有賬號(hào)和密碼，使用時(shí)按照提示輸入到計(jì)算機(jī)中，但隨著企業(yè)和機(jī)構(gòu)引入各式各樣的信息化系統(tǒng)，用戶和管理員需要維護(hù)多個(gè)信息系統(tǒng)的賬號(hào)和密碼，影響日常的工作效率，用戶希望一次登錄可以訪問企業(yè)的各個(gè)信息系統(tǒng)，因此資源單點(diǎn)登錄技術(shù)應(yīng)運(yùn)而生。單點(diǎn)登錄是一種統(tǒng)一認(rèn)證和授權(quán)機(jī)制，指訪問同一服務(wù)器不同應(yīng)用中的受保護(hù)資源的同一用戶，只需要登錄一次，即通過一個(gè)應(yīng)用中的安全驗(yàn)證后，再訪問其他應(yīng)用中的受保護(hù)資源時(shí)，不再需要重新登錄驗(yàn)證。
[0003]國(guó)外商用單點(diǎn)登錄系統(tǒng)一般適用于客戶對(duì)單點(diǎn)登錄要求比較高，并且企業(yè)內(nèi)部必須采用Domino、SAP、Sieble等系統(tǒng)的情況，另外商用單點(diǎn)登錄產(chǎn)品必須增加復(fù)雜的代理模塊，國(guó)內(nèi)小廠家的商用單點(diǎn)登錄產(chǎn)品，雖然能夠很好地執(zhí)行分級(jí)保護(hù)/等級(jí)保護(hù)等相關(guān)安全策略，但是客戶端安裝的兼容性始終是個(gè)不容忽視的問題。
[0004]2015年4月研究機(jī)構(gòu)Net Applicat1ns發(fā)布的統(tǒng)計(jì)數(shù)據(jù)顯示W(wǎng)indows系統(tǒng)在操作系統(tǒng)市場(chǎng)占有率高達(dá)91.02%，這為AD域認(rèn)證和AD域單點(diǎn)登錄的發(fā)展帶來極大便利性。首先Windows AD支持口令認(rèn)證、域登錄智能卡證書等認(rèn)證方式；其次Windows用戶不需安裝額外的客戶端，部署方便。但是AD域資源整合是基于Kerberos協(xié)議來實(shí)現(xiàn)的，配置環(huán)境相對(duì)繁瑣，整合過程比較復(fù)雜，不便于實(shí)現(xiàn)。

【發(fā)明內(nèi)容】

[0005]本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足，提供通過AD域進(jìn)行用戶認(rèn)證并完成系統(tǒng)資源訪問的一種基于AD域的資源訪問控制方法。
[0006]本發(fā)明采取的技術(shù)方案是:
[0007]—種基于AD域的資源訪問控制方法，其特征在于:包括以下步驟:
[0008]⑴用戶訪問系統(tǒng)資源前首先進(jìn)行AD域身份認(rèn)證；
[0009]⑵AD域身份認(rèn)證通過后，門戶Portal向私有SSO票據(jù)服務(wù)申請(qǐng)票據(jù)；若AD域身份認(rèn)證失敗，提示無法訪問系統(tǒng)；
[0010]⑶用戶攜票據(jù)訪問系統(tǒng)資源，系統(tǒng)資源向私有SSO票據(jù)服務(wù)兌換票據(jù)；
[0011]⑷若票據(jù)兌換成功，返回用戶賬號(hào)類信息，允許訪問系統(tǒng)資源；若票據(jù)兌換失敗，提示無法訪問系統(tǒng)資源；
[0012](5)系統(tǒng)資源緩存Cookie，若Cookie未失效，用戶可訪問資源且不需要重新兌換票據(jù)。
[0013]而且，步驟⑴所述的用戶通過AD域終端或非AD域終端訪問門戶Portal并被重定向至AD域控制器進(jìn)行身份認(rèn)證。
[0014]而且，步驟⑴所述的用戶通過AD域終端或非AD域終端訪問系統(tǒng)資源并被重定向至AD域控制器進(jìn)行身份認(rèn)證。
[0015]而且，步驟⑴所述的AD域控制器預(yù)先存儲(chǔ)用戶口令信息或用戶智能卡信息。
[0016]本發(fā)明的優(yōu)點(diǎn)和積極效果是:
[0017]1.本方法中，基于AD域擴(kuò)展私有域單點(diǎn)登錄，將用戶門戶Portal分別整合到AD域和私有域，使用戶通過AD域終端或非AD域終端訪問系統(tǒng)資源時(shí)可以統(tǒng)一在AD域控制器進(jìn)行AD域單點(diǎn)登錄或AD域認(rèn)證，完成用戶的身份認(rèn)證，再通過擴(kuò)展的私有單點(diǎn)登錄協(xié)議進(jìn)行單點(diǎn)登錄訪問業(yè)務(wù)資源。通過這種方式實(shí)現(xiàn)的單點(diǎn)登錄體驗(yàn)具有協(xié)議多元化的特點(diǎn)，即基于AD域Kerberos協(xié)議實(shí)現(xiàn)用戶身份認(rèn)證和基于私有域SSO協(xié)議實(shí)現(xiàn)單點(diǎn)登錄資源。身份認(rèn)證直接采用AD域Kerberos協(xié)議，不需要安裝身份認(rèn)證客戶端軟件，適應(yīng)多個(gè)版本W(wǎng)indows客戶端廣泛部署使用的現(xiàn)實(shí)情況，具有很好的兼容性；同時(shí)，單點(diǎn)登錄采用擴(kuò)展的私有SSO協(xié)議，協(xié)議實(shí)現(xiàn)簡(jiǎn)單，整合部署方便，便于快速整合各種新老業(yè)務(wù)資源，具有很好的可擴(kuò)展性。
[0018]2.本方法中，單點(diǎn)登錄實(shí)現(xiàn)多元化應(yīng)用場(chǎng)景，摒棄原有的單一 AD域環(huán)境下的身份認(rèn)證與單點(diǎn)登錄模式，將AD域終端和非AD域終端的身份認(rèn)證統(tǒng)一到AD域進(jìn)行用戶身份認(rèn)證，并基于擴(kuò)展的私有域單點(diǎn)登錄協(xié)議進(jìn)行私有域業(yè)務(wù)資源的單點(diǎn)登錄訪問。當(dāng)然，在AD域的用戶身份認(rèn)證后，也可以繼續(xù)進(jìn)行AD域業(yè)務(wù)資源的單點(diǎn)登錄訪問。針對(duì)AD域終端或非域終端用戶，結(jié)合用戶門戶Portal，形成四種典型的訪問業(yè)務(wù)資源時(shí)的身份認(rèn)證與單點(diǎn)登錄應(yīng)用場(chǎng)景，可以完整展示多個(gè)場(chǎng)景下的基于AD域的用戶身份認(rèn)證和基于私有域的單點(diǎn)登錄資源，從而具有多元化應(yīng)用場(chǎng)景下的單點(diǎn)登錄體驗(yàn)。
[0019]3.本發(fā)明中，單點(diǎn)登錄實(shí)現(xiàn)多元化資源整合，不限業(yè)務(wù)資源類型(B/S、C/S)和業(yè)務(wù)資源認(rèn)證方式現(xiàn)狀，對(duì)于不同層面的資源采用不同的整合方式，整合方式多樣性(如接口整合、插件整合、代填配置等)，資源整合便捷，降低開發(fā)成本。
【附圖說明】
[0020]圖1是擴(kuò)展單點(diǎn)登錄技術(shù)框架示意圖，闡述了基于AD域認(rèn)證的單點(diǎn)登錄擴(kuò)展技術(shù)的整體框架，Windows AD域作為身份認(rèn)證，私有域認(rèn)證作為單點(diǎn)登錄的主要框架。
[0021]圖2是擴(kuò)展單點(diǎn)登錄技術(shù)主要流程示意圖，闡述了用戶通過瀏覽器進(jìn)行AD域認(rèn)證或單點(diǎn)登錄到門戶Portal，Portal通過私有協(xié)議申請(qǐng)私有SSO票據(jù)，攜帶票據(jù)訪問業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系統(tǒng)驗(yàn)證票據(jù)并兌換用戶名登錄業(yè)務(wù)系統(tǒng)的過程。
[0022]圖3是私有SSO票據(jù)申請(qǐng)和兌換流程示意圖，門戶Portal通過訪問私有SSO票據(jù)服務(wù)提供的私有SSO票據(jù)申請(qǐng)接口獲得票據(jù)，業(yè)務(wù)系統(tǒng)通過訪問私有SSO票據(jù)服務(wù)提供的私有SSO票據(jù)兌換接口獲取私有域用戶名。
[0023]圖4是域終端訪問Portal的示意圖，闡述了域終端訪問門戶Portal的整個(gè)流程，即用戶通過AD認(rèn)證到域終端，然后通過AD單點(diǎn)登錄到門戶Portal，獲取票據(jù)的流程，以及票據(jù)兌換用戶名和訪問資源的流程。
[0024]圖5是非域終端訪問Portal的示意圖，闡述了非域終端訪問門戶Portal的整個(gè)流程，即用戶通過本地認(rèn)證到非域終端，然后通過AD身份認(rèn)證到門戶Portal，獲取票據(jù)的流程，以及票據(jù)兌換用戶名和訪問資源的流程。
[0025]圖6是域終端訪問資源的示意圖，闡述了域終端訪問資源的整個(gè)流程，即用戶從域終端訪問資源，被到重定向到AD域的單點(diǎn)登錄到門戶Portal，獲取票據(jù)的流程，以及票據(jù)兌換用戶名和訪問資源的流程。
[0026]圖7是非域終端訪問資源的示意圖，闡述了非域終端訪問資源的整個(gè)流程，即用戶從非域終端訪問資源，被重定向到AD域進(jìn)行身份認(rèn)證，認(rèn)證到AD域門戶Portal，獲取票據(jù)的流程，以及票據(jù)兌換用戶名和訪問資源的流程。
【具體實(shí)施方式】
[0027]下面結(jié)合實(shí)施例，對(duì)本發(fā)明進(jìn)一步說明，下述實(shí)施例是說明性的，不是限定性的，不能以下述實(shí)施例來限定本發(fā)明的保護(hù)范圍。
[0028]—種基于AD域的資源訪問控制方法，如圖1、2、3所示，本發(fā)明的創(chuàng)新在于:包括以下步驟:
[0029]⑴用戶訪問系統(tǒng)資源前首先進(jìn)行AD域身份認(rèn)證；
[0030]⑵AD域身份認(rèn)證通過后，門戶Portal向私有SSO票據(jù)服務(wù)申請(qǐng)票據(jù)；若AD域身份認(rèn)證失敗，提示無法訪問系統(tǒng)；
[0031]⑶用戶攜票據(jù)訪問系統(tǒng)資源，系統(tǒng)資源向私有SSO票據(jù)服務(wù)兌換票據(jù)；
[0032]⑷若票據(jù)兌換成功，返回用戶賬號(hào)類信息，允許訪問系統(tǒng)資源；若票據(jù)兌換失敗，提示無法訪問系統(tǒng)資源；
[0033](5)系統(tǒng)資源緩存Cookie，若Cookie未失效，用戶可訪問資源且不需要重新兌換票據(jù)。
[0034]而且，步驟⑴所述的用戶通過AD域終端或非AD域終端訪問門戶Portal并被重定向至AD域控制器進(jìn)行身份認(rèn)證。
[0035]其中，步驟⑴所述的用戶通過AD域終端或非AD域終端訪問系統(tǒng)資源并被重定向至AD域控制器進(jìn)行身份認(rèn)證。步驟⑴所述的AD域控制器預(yù)先存儲(chǔ)用戶口令信息或用戶智能卡信息。
[0036]系統(tǒng)身份認(rèn)證和系統(tǒng)資源訪問的示意如圖1中所示:用戶可以從域終端或者非域終端訪問系統(tǒng)資源，首先需要門戶Portal進(jìn)行身份認(rèn)證，該身份認(rèn)證工作由集成后的AD域控制器完成，身份認(rèn)證后，用戶可訪問具體系統(tǒng)資源中的業(yè)務(wù)I?η。
[0037]具體的操作步驟如圖2所示:自第I步直至第11步為瀏覽器、應(yīng)用系統(tǒng)、私有SSO票據(jù)服務(wù)和AD域控制器之間的數(shù)據(jù)傳遞過程。
[0038]票據(jù)的流轉(zhuǎn)見圖3，AD域控制器根據(jù)身份認(rèn)證的結(jié)果向私有SSO票據(jù)服務(wù)申請(qǐng)票據(jù)，AD域控制器向系統(tǒng)資源中的業(yè)務(wù)系統(tǒng)傳遞票據(jù)，系統(tǒng)資源中的業(yè)務(wù)系統(tǒng)向私有SSO票據(jù)服務(wù)兌換票據(jù)以獲得用戶的信息。
[0039]本發(fā)明使用時(shí)的四種典型的單點(diǎn)登錄場(chǎng)景之具體描述如下:
[0040]1.域終端訪問Portal后訪問資源見圖4
[0041]用戶通過AD控制器認(rèn)證到域終端，通過AD域控制器中的用戶名和密碼或者證書實(shí)現(xiàn)單點(diǎn)登錄到門戶Portal，當(dāng)用戶第一次通過域終端訪問Portal時(shí)，Portal會(huì)發(fā)出請(qǐng)求向私有SSO票據(jù)服務(wù)端獲取票據(jù)，票據(jù)服務(wù)端直接為該用戶生成票據(jù)，將票據(jù)發(fā)送給業(yè)務(wù)系統(tǒng)或者資源系統(tǒng)，業(yè)務(wù)系統(tǒng)發(fā)送給私有SSO票據(jù)服務(wù)端進(jìn)行驗(yàn)證票據(jù)并兌換用戶名，兌換用戶名成功后可以訪問資源，并自動(dòng)生成和存儲(chǔ)一個(gè)與之對(duì)應(yīng)的cookie，下次訪問該業(yè)務(wù)系統(tǒng)或其它業(yè)