基于云平臺的統一身份認證系統的制作方法
【技術領域】
[0001]本發明涉及認證技術領域，具體涉及一種對用戶實行認證的基于云平臺的統一身份認證系統。
【背景技術】
[0002]傳統的統一身份認證能夠實現在多個應用系統中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統，一次登錄，資源盡享。大多數統一身份認證產品基于傳統應用的統一認證，故對云平臺、云資源的統一認證和授權能力比較薄弱。另外，大多數統一身份認證產品授權粒度只精確到應用、設備、主機，通俗說就是用戶是否有權連接某個IP地址+端口，而實體內部資源的訪問權限還需要在實體內部進行分配和管理。因此，針對各應用來說，在認證及登陸完成后，需由各應用系統自身的權限控制模塊進行用戶行為的進一步控制。
[0003]統一身份認證，又稱4A:認證Authenticat1n、賬號Account、授權 Authorizat1n、審計Audit，也就是將身份認證、授權、審計和賬號(即不可否認性及數據完整性)定義為網絡安全的四大組成部分，從而確立了身份認證在整個網絡安全系統中的地位與作用。統一身份認證產品一般包含如下功能:
[0004]集中帳號(account)管理:為用戶提供統一集中的帳號管理，支持管理的資源包括主流的操作系統、網絡設備和應用系統;不僅能夠實現被管理資源帳號的創建、刪除及同步等帳號管理生命周期所包含的基本功能，而且也可以通過平臺進行帳號密碼策略，密碼強度、生存周期的設定。
[0005]集中認證(authenticat1n)管理:可以根據用戶應用的實際需要，為用戶提供不同強度的認證方式，既可以保持原有的靜態口令方式，又可以提供具有雙因子認證方式的高強度認證(一次性口令、數字證書、動態口令)，而且還能夠集成現有其它如生物特征等新型的認證方式。不僅可以實現用戶認證的統一管理，并且能夠為用戶提供統一的認證門戶，實現企業信息資源訪問的單點登錄。
[0006]集中權限(authorizat1n)管理:可以對用戶的資源訪問權限進行集中控制。它既可以實現對B/S、C/S應用系統資源的訪問權限控制，也可以實現對數據庫、主機及網絡設備的操作的權限控制，資源控制類型既包括B/S的URL、C/S的功能模塊，也包括數據庫的數據、記錄及主機、網絡設備的操作命令、IP地址及端口。
[0007]集中審計(audit)管理:將用戶所有的操作日志集中記錄管理和分析，不僅可以對用戶行為進行監控，并且可以通過集中的審計數據進行數據挖掘，以便于事后的安全事故責任的認定。
[0008]市場上統一身份認證產品和技術已經非常成熟，比如IBM Tivoli IdentityManager'Microsoft Active Directory以及很多開源的產品，很多公司基于這些產品或者類似理念進行開發、二次開發實施，而實現了統一身份認證。這些產品能輕易實現多個系統的統一登錄認證，但是對于統一登錄認證的各子系統中不同的資源，還缺乏對具體業務系統資源進一步安全控制的手段，特別是針對云資源中不同用戶對不同昂貴計算資源和數據資源的訪問權限缺乏有效的管理和控制。
[0009]為此，經過長期理論研究和實踐積累，本案的發明人開發出一種基于云平臺的統一身份認證方案，很好地解決了統一認證之后不同協調的資源訪問權限管理和控制問題。

【發明內容】

[0010]為了解決上述問題，本發明的目的旨在提供一種基于云平臺的統一身份認證系統，借助于統一身份認證實現實體內部資源級授權后，實體內部資源的訪問權限不需要在實體內部進行分配和管理或將實體內部資源的訪問權限保存在實體內部，并且與統一身份認證平臺保持一致，從而有效地解決了統一認證之后資源訪問權限的管理和控制問題。
[0011 ]為了實現上述發明目的，本發明提供了如下技術方案。
[0012]本發明提供一種基于云平臺的統一身份認證系統，其包括管理子系統、映射子系統、訪問控制子系統和數據存儲子系統，其中，
[0013]所述管理子系統對用戶、虛擬計算資源、虛擬軟件資源、虛擬身份對象進行集中管理，并負責用戶與虛擬對象的關聯關系管理；
[0014]所述映射子系統對所述管理子系統所管理的虛擬對象與實體對象施加映射，對虛擬對象和實體對象的映射關系進行管理，從而提供基于Windows系列操作系統的AD域、基于Unix/Solaris/Linux系列操作系統的NIS域的集中管理，并提供計算資源、專業軟件資源的集中管理；
[0015]所述訪問控制子系統對經所述映射子系統實施映射后的實體對象的權限進行定義，根據用戶的身份安全需求，定義域賬號組訪問專業軟件資源、數據資源、計算資源操作系統的權限，從而實現用戶權限的定義;和
[0016]所述數據存儲子系統對管理子系統使用的數據、實體AD域數據、實體NIS域數據進行存儲，
[0017]其中所述用戶具有AD域賬號和NIS域賬號，所述實體對象包括實體AD組和實體NIS組，AD是指活動目錄，NIS指代網絡信息服務。
[0018]根據本發明的統一身份認證系統，所述管理子系統進一步包括:
[0019]用戶管理模塊，對自然人身份信息進行管理，提供對人員從入職、調職、離職等業務場景下的人員信息管理，其主要包括用戶創建、認證憑證維護、用戶維護和用戶狀態管理；
[0020]虛擬對象管理模塊，對虛擬的AD域賬號、虛擬的NI S域賬號、虛擬AD賬號組、虛擬NIS賬號組、虛擬計算資源、虛擬專業軟件資源進行管理;和
[0021]關聯關系管理模塊，對用戶與虛擬對象之間的關聯關系進行管理，其主要包括:用戶與虛擬AD賬號映射管理、虛擬AD賬號與虛擬AD賬號組關系管理、用戶與虛擬NIS賬號映射管理、虛擬NIS賬號與虛擬NIS賬號組關系管理。
[0022]根據本發明的統一身份認證系統，所述映射子系統進一步包括AD域管理對象映射裝置和NIS域管理對象映射裝置，其中所述AD域管理對象映射裝置對Windows平臺的實體實施映射;所述NIS域管理對象映射裝置對Unix系列平臺的實體實施映射。
[0023]根據本發明的統一身份認證系統，所述訪問控制子系統包括:授權裝置、虛擬鑒權裝置和實體賬號認證和鑒權裝置，其中
[0024]所述授權裝置用于對賬號組授予角色以及對角色授予訪問專業軟件的權限，作為用戶的認證信息；
[0025]所述虛擬鑒權裝置對訪問云平臺門戶的用戶進行認證，并響應于用戶所訪問的專業軟件資源、數據資源請求，通過云平臺數據庫對所述用戶進行虛擬鑒權；
[0026]所述實體賬號認證和鑒權裝置在虛擬鑒權裝置的虛擬鑒權完成后，對以AD域賬號或者NIS域賬號訪問的用戶進行實體賬號認證和實體賬號鑒權，其包括對用戶進行第一層虛擬賬號鑒權，識別虛擬賬號是否擁有相應的角色后，對用戶進行第二層的實體賬號鑒權，識別相應的角色是否擁有所訪問的專業軟件的權限，其中，第二層鑒權對用戶透明。
[0027]進一步地，根據本發明的統一身份認證系統，所述實體賬號認證和鑒權裝置根據所服務的操作系統的不同具體分為AD域實體賬號認證和鑒權模塊和NIS域實體賬號認證和鑒權模塊兩個子模塊，其中所述AD域實體賬號認證和鑒權模塊對AD賬號通過LDAPs協議進行實體賬號認證和實體賬號鑒權，NIS域實體賬號認證和鑒權模塊對NIS賬號通過SSH協議進行實體賬號認證和實體賬號鑒權。
[0028]進一步地，根據本發明的統一身份認證系統