專利名稱:一種集中用戶安全管理方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種集中用戶安全管理的方法及裝置���。
背景技術(shù):
在一個復(fù)雜的電信網(wǎng)絡(luò)中���,存在大量的不同廠商的設(shè)備以及同一廠商的不同業(yè)務(wù)類型的設(shè)備,而這些設(shè)備被不同的EMS系統(tǒng)管理����。每個EMS系統(tǒng)本身具備完整的用戶及權(quán)限管理,因此當(dāng)某個用戶維護不同廠商或不同業(yè)務(wù)類型設(shè)備時�,管理員需要在多個EMS系統(tǒng)中給該用戶創(chuàng)建帳號、口令和分配權(quán)限��,而當(dāng)需要刪除某個用戶時也需要到每個EMS系統(tǒng)中刪除其帳號����;并且該用戶每次操作不同的EMS時都需要重新輸入用戶名和口令。隨著網(wǎng)絡(luò)規(guī)模的擴大���,EMS系統(tǒng)的種類和數(shù)量也不斷增加,這樣導(dǎo)致帳號維護和管理的成本急遽上升�。
為了降低運維成本及提高端到端的服務(wù)開通能力����,因此運營商都希望能夠只維護一套帳號并且只登錄一次��,就可以使用不同的EMS系統(tǒng)�����;而且也能夠把不同的應(yīng)用集成在一起使用�����。這就是統(tǒng)一用戶管理和單點登錄SSO(Single Sign-On)的需求���。
現(xiàn)有的用戶管理策略中��,為了達到各系統(tǒng)間互通的目的����,為應(yīng)用系統(tǒng)間定義了北向接口�,通過用戶/口令獲得對方服務(wù)對象的接口。此方案存在如下缺點1)由于應(yīng)用系統(tǒng)之間暴露的接口中需要傳遞用戶名和口令����,造成安全隱患�����;2)為了支持?jǐn)?shù)字證書等其它用戶認證方式��,所有系統(tǒng)的北向接口都需要增加接口定義����,增加了系統(tǒng)復(fù)雜度����;3)不能實現(xiàn)集中的用戶管理和授權(quán)。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種集中用戶安全管理方法及裝置�,利用集中用戶管理域?qū)崿F(xiàn)安全的集中用戶管理、授權(quán)�、鑒權(quán)及審核,達到單點登錄的效果���。
本發(fā)明的目的是通過以下技術(shù)方案實現(xiàn)的一種集中用戶安全管理裝置�,包括集中用戶管理域及多個應(yīng)用域���,所述集中用戶管理域提供多個接口與各應(yīng)用域交互�����,其至少包括集中用戶管理及授權(quán)服務(wù)實體和集中用戶認證及審核服務(wù)實體來統(tǒng)一管理多個應(yīng)用域����;所述的集中用戶管理及授權(quán)服務(wù)實體����,用于為用戶分配權(quán)限,并產(chǎn)生規(guī)則數(shù)據(jù)����;所述的集中用戶認證及審核服務(wù)實體,用于提供集中認證����、鑒權(quán)及記錄日志的服務(wù)。
所述應(yīng)用域為獨立的業(yè)務(wù)系統(tǒng)�����,包括安全對象和對應(yīng)的訪問行為�����。
所述安全對象是應(yīng)用域中需要安全權(quán)限控制的對象��,至少包括安全對象類型、子類型���、對象ID三種屬性�。
所述訪問行為是對每種安全對象類型需要控制的訪問行為��,包括增加���、刪除����、修改���、讀取�����。
所述應(yīng)用域還包括角色��,所述角色是安全對象及對應(yīng)的訪問行為的集合����。
所述集中用戶管理域提供的接口包括登錄/認證/日志接口����、用戶管理/授權(quán)接口。
所述集中用戶管理域還包括域安全對象服務(wù)實體����,用于接收各應(yīng)用域上報的安全對象信息��。
所述集中用戶管理域提供的接口還包括安全代理接口�,用于獲取各應(yīng)用域安全對象信息。
所述集中用戶管理域包括多個用戶組��,每個用戶組中綁定多個角色�,包含多個用戶。
一種集中用戶安全管理方法���,包括A���、為用戶分配權(quán)限,接收用戶登錄請求����;B、對登錄的用戶進行鑒權(quán)��,分配用戶一個當(dāng)前會話的唯一標(biāo)識�����;C��、用戶攜帶所述標(biāo)識執(zhí)行各應(yīng)用域中權(quán)限允許的操作�。
所述步驟A包括A1、集中用戶管理及授權(quán)服務(wù)實體接收用戶角色授權(quán)請求�����,從各應(yīng)用域中獲取應(yīng)用域中的角色列表����,或安全對象及對應(yīng)的訪問行為;A2����、從所述列表或安全對象及對應(yīng)的訪問行為中為該用戶選取角色或安全對象及訪問行為,綁定到集中用戶管理域中所述用戶的角色上�;A3、保存上述確定的用戶角色或安全對象及對應(yīng)的訪問行為�����。
用戶每執(zhí)行一個應(yīng)用域操作都需要集中用戶認證及審核服務(wù)實體進行一次鑒權(quán)操作。
所述的標(biāo)識是一個字節(jié)序列���。
由上述本發(fā)明提供的技術(shù)方案可以看出���,本發(fā)明實現(xiàn)了安全的集中用戶管理、授權(quán)�����、鑒權(quán)和審核����,達到單點登錄的效果�����,由于支持自定義鑒權(quán)和授權(quán)的擴展���,可以靈活的集成管理多個應(yīng)用系統(tǒng)的安全����。
圖1為本發(fā)明所述裝置一種實施例結(jié)構(gòu)圖;圖2為本發(fā)明安全管理模型示意圖���;圖3為本發(fā)明所述裝置另一種實施例架構(gòu)圖���;圖4為本發(fā)明所述方法一種實施例分配權(quán)限流程圖;圖5為本發(fā)明所述方法一種實施例單點登錄流程圖����。
具體實施例方式
本發(fā)明的核心思想是提供一種集中用戶安全管理方法及裝置,利用集中用戶管理域?qū)崿F(xiàn)安全的集中用戶管理�����、授權(quán)����、鑒權(quán)及審核���,達到單點登錄的效果����。
本發(fā)明提供一種集中用戶安全管理裝置��,其一種實施例架構(gòu)如圖1所示,該裝置包括集中用戶管理域及多個應(yīng)用域���;所述集中用戶管理域用于對多個應(yīng)用域進行統(tǒng)一的管理�,其至少包括集中用戶管理及授權(quán)服務(wù)實體及集中用戶認證及審核服務(wù)實體��;所述的集中用戶管理及授權(quán)服務(wù)實體���,用于實現(xiàn)用戶的統(tǒng)一管理及授權(quán)����,其授權(quán)策略可由用戶根據(jù)本身實際需要定義�����,并存儲在LADP(輕量級目錄訪問協(xié)議)數(shù)據(jù)庫中���;所述的集中用戶認證及審核服務(wù)實體,用于提供集中認證���、鑒權(quán)及記錄日志的服務(wù)�����,并負責(zé)判斷用戶的操作是否滿足規(guī)則�,記錄操作信息;該實體可以有多個實例分別部署在不同的服務(wù)器上����,用來提高認證和鑒權(quán)的性能。其鑒權(quán)策略可以由應(yīng)用域本身定義����,并存儲在審核數(shù)據(jù)庫中;所述集中用戶管理域?qū)ν馓峁┒喾N服務(wù)接口��,如����,安全代理接口、用戶管理和授權(quán)接口�����、登錄/認證/日志等接口���,使各應(yīng)用域可以通過所述各接口定制更加靈活和便捷的授權(quán)視圖�;使用所述的安全代理接口����,集中用戶管理域可以獲取應(yīng)用域的安全對象信息�;所述的應(yīng)用域為獨立的業(yè)務(wù)系統(tǒng)����,如圖2所示,每個應(yīng)用域中包括安全對象和訪問行為��;所述的安全對象為應(yīng)用域中需要安全權(quán)限控制的對象����,例如����,設(shè)備、目錄�、文件等等,每個安全對象包括安全對象類型�、子類型�、對象ID等基本屬性;所述的訪問行為��,是對每種安全對象類型需要控制的訪問行為的定義���,包括增加����、刪除、修改�、讀取等�,每一個安全對象可以對應(yīng)多個訪問行為;所述集中用戶管理域以用戶組的方式管理用戶���,所述用戶組是用戶的集合����,一個用戶組中可以綁定多個角色���,并可以包含多個用戶����;每個用戶可以綁定多個角色��,并可以從屬于多個用戶組�����;所述的角色是安全對象及對應(yīng)的訪問行為的集合,每個應(yīng)用域可以包含多個角色��,應(yīng)用域與集中用戶管理域交互過程中可以呈現(xiàn)安全對象角色��,如圖2中應(yīng)用域A�����;也可以直接以安全對象與訪問行為的方式與集中用戶管理域進行交互�,如圖2中應(yīng)用域B;上述各應(yīng)用域中的安全對象的類型�、子類型及該類型對應(yīng)的訪問行為等信息預(yù)先定義,并集中保存在LDAP服務(wù)器或數(shù)據(jù)庫中����。
本發(fā)明所述裝置的另一種實施例架構(gòu)如圖3所示�����,該實施例與上述實施例的區(qū)別在于�,由域安全對象服務(wù)實體取代原安全代理接口,各應(yīng)用域主動同步��、更新需要管理的安全對象信息到域安全對象服務(wù)實體��,集中用戶管理及授權(quán)服務(wù)實體和集中用戶認證及審核服務(wù)實體從該域安全對象服務(wù)實體中獲取各應(yīng)用域安全對象信息���。
本發(fā)明提供一種集中用戶安全管理方法����,具體包括如下步驟步驟1為用戶分配權(quán)限�����,采用集中安全管理策略管理用戶���;由集中用戶管理及授權(quán)服務(wù)實體為用戶分配權(quán)限�����,其過程如圖4所示���,具體包括如下操作步驟10集中用戶管理及授權(quán)服務(wù)實體接收用戶角色授權(quán)請求;
步驟11集中用戶管理及授權(quán)服務(wù)實體依次從各應(yīng)用域中獲取應(yīng)用域中的角色列表�����,該角色列表中包含多個角色,若應(yīng)用域中沒有角色定義�����,則直接獲取安全對象及對應(yīng)的訪問行為���;獲取各應(yīng)用域的角色列表后��,從中為該用戶選取角色或安全對象及訪問行為��,其中選定的角色或安全對象及訪問行為可以為多個��;步驟12將上述選定的角色或安全對象及訪問行為綁定到集中用戶管理域中所述用戶的角色上���;步驟13將上述確定的用戶角色保存在LDAP服務(wù)器或數(shù)據(jù)庫中,分配權(quán)限過程完成����;集中用戶管理及授權(quán)服務(wù)實體支持的操作包括讀取、創(chuàng)建�����、修改��、刪除用戶/用戶組/角色;在用戶組中增加�、刪除用戶/角色;給用戶/用戶組分配或取消角色;給角色分配權(quán)限��;步驟2在被分配權(quán)限的情況下��,實現(xiàn)集中用戶認證及審核服務(wù)的單點登錄操作其操作過程如圖5所示���,具體包括如下步驟步驟20被授權(quán)的用戶登錄一個應(yīng)用域���,由集中用戶認證及審核服務(wù)實體驗證用戶名和口令;步驟21集中用戶認證及審核服務(wù)實體驗證用戶名和口令后����,發(fā)送一個令牌給所述用戶,即分配用戶一個針對當(dāng)前會話的唯一標(biāo)識�����,可以是一個字節(jié)序列�;步驟22用戶得到所述令牌后,攜帶所述令牌執(zhí)行所登錄的應(yīng)用域的相應(yīng)操作��,所執(zhí)行的操作為上述授權(quán)過程中所選取的角色或安全對象及訪問行為中的任一種;步驟23用戶執(zhí)行完上述應(yīng)用域的操作后��,根據(jù)需要可以攜帶所述令牌執(zhí)行其他應(yīng)用域的操作���,每執(zhí)行一個應(yīng)用域操作都需要集中用戶認證及審核服務(wù)實體進行一次鑒權(quán)操作��。
綜上所述�����,本發(fā)明實現(xiàn)了安全的集中用戶管理�����、授權(quán)�、鑒權(quán)和審核�,達到單點登錄的效果,由于支持自定義鑒權(quán)和授權(quán)的擴展����,可以靈活的集成管理多個應(yīng)用系統(tǒng)的安全。
以上所述���,僅為本發(fā)明較佳的具體實施方式
���,但本發(fā)明的保護范圍并不局限于此��,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)�,可輕易想到的變化或替換�����,都應(yīng)涵蓋在本發(fā)明的保護范圍之內(nèi)���。因此,本發(fā)明的保護范圍應(yīng)該以權(quán)利要求的保護范圍為準(zhǔn)���。
權(quán)利要求
1.一種集中用戶安全管理裝置�����,其特征在于�,包括集中用戶管理域及多個應(yīng)用域����,所述集中用戶管理域提供多個接口與各應(yīng)用域交互,其至少包括集中用戶管理及授權(quán)服務(wù)實體和集中用戶認證及審核服務(wù)實體來統(tǒng)一管理多個應(yīng)用域���;所述的集中用戶管理及授權(quán)服務(wù)實體�,用于為用戶分配權(quán)限,并產(chǎn)生規(guī)則數(shù)據(jù)�����;所述的集中用戶認證及審核服務(wù)實體�,用于提供集中認證、鑒權(quán)及記錄日志的服務(wù)�����。
2.如權(quán)利要求1所述的一種集中用戶安全管理裝置�,其特征在于,所述應(yīng)用域為獨立的業(yè)務(wù)系統(tǒng)���,包括安全對象和對應(yīng)的訪問行為��。
3.如權(quán)利要求2所述的一種集中用戶安全管理裝置�����,其特征在于�����,所述安全對象是應(yīng)用域中需要安全權(quán)限控制的對象���,至少包括安全對象類型�����、子類型����、對象ID三種屬性�。
4.如權(quán)利要求2或3所述的一種集中用戶安全管理裝置��,其特征在于�,所述訪問行為是對每種安全對象類型需要控制的訪問行為,包括增加�、刪除、修改�、讀取。
5.如權(quán)利要求2所述的一種集中用戶安全管理裝置�,其特征在于,所述應(yīng)用域還包括角色��,所述角色是安全對象及對應(yīng)的訪問行為的集合����。
6.如權(quán)利要求1所述的一種集中用戶安全管理裝置���,其特征在于,所述集中用戶管理域提供的接口包括登錄/認證/日志接口��、用戶管理/授權(quán)接口�。
7.如權(quán)利要求6所述的一種集中用戶安全管理裝置,其特征在于���,所述集中用戶管理域還包括域安全對象服務(wù)實體���,用于接收各應(yīng)用域上報的安全對象信息。
8.如權(quán)利要求6所述的一種集中用戶安全管理裝置��,其特征在于�����,所述集中用戶管理域提供的接口還包括安全代理接口��,用于獲取各應(yīng)用域安全對象信息�����。
9.如權(quán)利要求2所述的一種集中用戶安全管理裝置��,其特征在于���,所述集中用戶管理域包括多個用戶組����,每個用戶組中綁定多個角色�����,包含多個用戶�����。
10.一種集中用戶安全管理方法�����,其特征在于�,包括A���、為用戶分配權(quán)限����,接收用戶登錄請求;B�、對登錄的用戶進行鑒權(quán),分配用戶一個當(dāng)前會話的唯一標(biāo)識����;C、用戶攜帶所述標(biāo)識執(zhí)行各應(yīng)用域中權(quán)限允許的操作���。
11.如權(quán)利要求10所述的一種集中用戶安全管理方法�����,其特征在于����,所述步驟A包括A1�����、集中用戶管理及授權(quán)服務(wù)實體接收用戶角色授權(quán)請求����,從各應(yīng)用域中獲取應(yīng)用域中的角色列表�,或安全對象及對應(yīng)的訪問行為���;A2�、從所述列表或安全對象及對應(yīng)的訪問行為中為該用戶選取角色或安全對象及訪問行為��,綁定到集中用戶管理域中所述用戶的角色上���;A3���、保存上述確定的用戶角色或安全對象及對應(yīng)的訪問行為。
12.如權(quán)利要求10所述的一種集中用戶安全管理方法����,其特征在于,用戶每執(zhí)行一個應(yīng)用域操作都需要集中用戶認證及審核服務(wù)實體進行一次鑒權(quán)操作�。
13.如權(quán)利要求10至12中任一項所述的一種集中用戶安全管理方法,其特征在于���,所述的標(biāo)識是一個字節(jié)序列。
全文摘要
本發(fā)明涉及通信技術(shù)領(lǐng)域中一種集中用戶安全管理方法及裝置���。所述方法包括首先為用戶分配權(quán)限��,接收用戶登錄請求�;之后����,對登錄的用戶進行鑒權(quán),分配用戶一個當(dāng)前會話的唯一標(biāo)識���,用戶攜帶所述標(biāo)識執(zhí)行各應(yīng)用域中權(quán)限允許的操作�����。利用本發(fā)明所述方法及裝置實現(xiàn)了安全的集中用戶管理�、授權(quán)�、鑒權(quán)和審核,達到單點登錄的效果���,由于支持自定義鑒權(quán)和授權(quán)的擴展�����,可以靈活的集成管理多個應(yīng)用系統(tǒng)的安全�。
文檔編號H04L12/24GK101026481SQ200610007860
公開日2007年8月29日 申請日期2006年2月21日 優(yōu)先權(quán)日2006年2月21日
發(fā)明者劉峰 申請人:華為技術(shù)有限公司