本發(fā)明涉及開放科學社區(qū)統(tǒng)一身份認證與統(tǒng)一授權(quán)系統(tǒng)的開發(fā)與建設(shè)技術(shù)，特別涉及一種用于開放科學社區(qū)的統(tǒng)一身份認證與授權(quán)架構(gòu)。

背景技術(shù)：

1、隨著開放科學的不斷推動與發(fā)展，科研開放協(xié)作已經(jīng)被公認為共同解決全球科學問題的重要途徑，開放科學社區(qū)(可能由某個組織機構(gòu)、項目團隊承擔)是科研資源與服務系統(tǒng)的建設(shè)者與管理者，各開放科學社區(qū)擁有獨立開發(fā)建設(shè)的多種不同類型的資源服務系統(tǒng)，而在面向這些資源服務系統(tǒng)的統(tǒng)一身份認證體系方面，則存在比較大的差異性，一些社區(qū)因為資源服務系統(tǒng)原本就基于不同認證授權(quán)協(xié)議，在建設(shè)統(tǒng)一身份認證體系存在難度，一些社區(qū)則建立了基于單一認證授權(quán)協(xié)議的統(tǒng)一認證體系，在這些已經(jīng)建立了統(tǒng)一身份認證體的社區(qū)，往往采用不同的標準與技術(shù)體系,如有的社區(qū)基于saml標準，有的則是基于oidc標準，導致在社區(qū)間開放科研協(xié)作時的訪問阻礙，科學家在訪問其它開放社區(qū)的資源與服務系統(tǒng)時，科學家需要頻繁注冊賬號，并且各社區(qū)管理員無法或很難確認用戶真實身份，形成孤島效應，嚴重阻礙開放科研協(xié)作效果。

2、本發(fā)明針對當前不足，提出了一種用于開放科學社區(qū)的認證與授權(quán)技術(shù)架構(gòu)，該技術(shù)架構(gòu)可支持多種通用認證授權(quán)協(xié)議(saml/oidc/oauth)，并支持異構(gòu)協(xié)議間自動轉(zhuǎn)換，從而屏蔽認證授權(quán)協(xié)議間的差異性，基于本發(fā)明來建設(shè)開放科學社區(qū)的認證授權(quán)體系，既可實現(xiàn)社區(qū)內(nèi)異構(gòu)認證協(xié)議資源服務系統(tǒng)的統(tǒng)一認證，也可支持開放社區(qū)間可輕松實現(xiàn)互連，科研用戶采用自有社區(qū)賬號即可一鍵訪問協(xié)作社區(qū)間的資源與服務系統(tǒng)，大大提升科研人員科研協(xié)作便利性；因為基于開放社區(qū)間連接，社區(qū)管理員可非常準確的識別用戶的真實性。本發(fā)明同時提出了一種新的社區(qū)統(tǒng)一授權(quán)管理技術(shù)方案，可以實現(xiàn)從不同授權(quán)級別、不同維度用戶群體進行精細化授權(quán)管理，保障資源與服務系統(tǒng)安全授權(quán)訪問，可大大提升開放科學社區(qū)的管理效率與管理水平。

技術(shù)實現(xiàn)思路

1、本發(fā)明的目的在于，針對當前不足，提出了一種用于開放科學社區(qū)的認證與授權(quán)架構(gòu)。

2、為實現(xiàn)上述目的，本發(fā)明提供的一種用于開放科學社區(qū)的統(tǒng)一身份認證與授權(quán)架構(gòu)包括：社區(qū)統(tǒng)一用戶身份管理模塊、社區(qū)資源與服務注冊管理模塊、社區(qū)統(tǒng)一授權(quán)管理模塊和開放社區(qū)間的跨域認證管理模塊，其中，

3、社區(qū)統(tǒng)一用戶身份管理模塊，包括：

4、社區(qū)用戶身份id管理組件，用于社區(qū)用戶身份id的生成、存儲、訪問和管理提供一攬子后臺功能與接口服務；

5、社區(qū)用戶屬性管理組件，用于對整個社區(qū)的用戶屬性標識進行統(tǒng)一管理，同時管理了屬性標識與外部社區(qū)用戶屬性標識間的映射關(guān)系，屬性標識與資源服務系統(tǒng)對用戶屬性個性化需求間的映射關(guān)系，并依映射關(guān)系及需求針對用戶屬性值進行統(tǒng)一存儲、統(tǒng)一輸出；

6、社區(qū)本地用戶管理組件，用于社區(qū)本地用戶提供用戶賬號注冊、存儲、個人信息、認證登錄、后臺管理相關(guān)的服務功能與接口；

7、用戶身份代理組件，用于獲取外部社區(qū)用戶認證完后的用戶身份信息，其本質(zhì)是各類標準認證授權(quán)協(xié)議中客戶端，代理獲取社區(qū)外身份源的身份信息，并根據(jù)身份源特征進行擴展，在獲取到外部社區(qū)身份源用戶身份信息后，本組件將外部用戶身份信息自動映射為社區(qū)用戶身份id與社區(qū)身份用戶屬性，從而達到統(tǒng)一用戶的目標，同時，將社區(qū)外身份源認證授權(quán)后的token與社區(qū)內(nèi)認證授權(quán)組件的token進行映射，從而實現(xiàn)異構(gòu)認證授權(quán)協(xié)議間的自動轉(zhuǎn)換與無縫銜接；

8、用戶認證與授權(quán)組件，用于提供標準認證授權(quán)協(xié)議的服務端實現(xiàn)，支持不同認證授權(quán)協(xié)議的服務與資源系統(tǒng)對接，為其提供社區(qū)統(tǒng)一的用戶身份信息服務；同時，針對標準認證授權(quán)協(xié)議進行擴展，實現(xiàn)與社區(qū)統(tǒng)一授權(quán)管理模塊間的權(quán)限信息的交互，實現(xiàn)從限制登錄到授權(quán)登錄后攜帶訪問權(quán)限信息等多個層次的授權(quán)訪問；

9、社區(qū)資源與服務注冊管理模塊，用于為使用社區(qū)統(tǒng)一用戶身份認證的資源與服務系統(tǒng)提供注冊服務，以及為注冊的資源與服務系統(tǒng)提供唯一的appid及密鑰信息，其中appid是用戶認證授權(quán)訪問、屬性映射、權(quán)限管理等作為該資源服務系統(tǒng)的唯一標識，密鑰信息主要用于確認資源與服務系統(tǒng)的真實性，以及在信息傳輸過程中數(shù)據(jù)完整性，在不同的認證授權(quán)協(xié)議中，依認證授權(quán)協(xié)議的不同，其表現(xiàn)形式有所差異；

10、社區(qū)統(tǒng)一授權(quán)管理模塊，用于在社區(qū)統(tǒng)一身份管理模塊及社區(qū)資源與服務注冊管理模塊的基礎(chǔ)上，基于虛擬群組、資源與服務權(quán)限進行社區(qū)的統(tǒng)一授權(quán)管理；

11、開放社區(qū)間的跨域認證管理模塊，用于為外部社區(qū)用戶身份代理組件提供跨域認證與授權(quán)功能。

12、本發(fā)明可支持多種通用認證授權(quán)協(xié)議(saml/oidc/oauth)，并支持異構(gòu)協(xié)議間自動轉(zhuǎn)換，從而屏蔽認證授權(quán)協(xié)議間的差異性，基于本發(fā)明來建設(shè)開放科學社區(qū)的認證授權(quán)體系，既可實現(xiàn)社區(qū)內(nèi)異構(gòu)認證協(xié)議資源服務系統(tǒng)的統(tǒng)一認證，也可支持開放社區(qū)間可輕松實現(xiàn)互連，科研用戶采用自有社區(qū)賬號即可一鍵訪問協(xié)作社區(qū)間的資源與服務系統(tǒng)，大大提升科研人員科研協(xié)作便利性；因為基于開放社區(qū)間連接，社區(qū)管理員可非常準確的識別用戶的真實性。本發(fā)明同時提出了一種新的社區(qū)統(tǒng)一授權(quán)管理技術(shù)方案，可以實現(xiàn)從不同授權(quán)級別、不同維度用戶群體進行精細化授權(quán)管理，保障資源與服務系統(tǒng)安全授權(quán)訪問，可大大提升開放科學社區(qū)的管理效率與管理水平。

13、本發(fā)明最主要的優(yōu)勢是解決了通用認證授權(quán)協(xié)議如oidc/oauth、saml在異構(gòu)情況下的統(tǒng)一認證授權(quán)問題，如采用saml認證授權(quán)協(xié)議用戶身份系統(tǒng)用戶，可訪問社區(qū)內(nèi)oidc或者oauth認證授權(quán)協(xié)議的數(shù)字資源與服務系統(tǒng)，同理，其它異構(gòu)情況也成立?；诒炯夹g(shù)框架，對于數(shù)字資源與服務方而言，無論是新建設(shè)開發(fā)或者已成熟的數(shù)字資源與服務系統(tǒng)，均可使用原有或者擅長的技術(shù)方案，實現(xiàn)與采用本技術(shù)框架的系統(tǒng)進行技術(shù)對接，減少系統(tǒng)定制開發(fā)，對于用戶身份提供方而言，無論當前已有用戶身份系統(tǒng)是基于哪種認證授權(quán)協(xié)議，也可以進行對接并且在對接后，用戶使用原有用戶身份認證系統(tǒng)的賬號即可一鍵訪問社區(qū)數(shù)字資源與服務，而無需創(chuàng)建新的用戶賬號，大大提升用戶體驗。

14、本發(fā)明的另一個優(yōu)勢是針對社區(qū)內(nèi)外的用戶進行統(tǒng)一授權(quán)管理，在用戶身份、資源與服務、訪問權(quán)限間構(gòu)建了統(tǒng)一的授權(quán)管理體系，保障數(shù)字資源與服務在合理合法的范圍內(nèi)被用戶授權(quán)訪問，同時，對于授權(quán)訪問情況一目了然，可大大提升開放社區(qū)管理便捷性與安全性。

技術(shù)特征：

1.一種用于開放科學社區(qū)的統(tǒng)一身份認證與授權(quán)架構(gòu)，其特征在于，包括：社區(qū)統(tǒng)一用戶身份管理模塊(110)、社區(qū)資源與服務注冊管理模塊(120)、社區(qū)統(tǒng)一授權(quán)管理模塊(130)和開放社區(qū)間的跨域認證管理模塊，其中，

2.根據(jù)權(quán)利要求1所述的架構(gòu)，其特征在于，所述社區(qū)統(tǒng)一授權(quán)管理模塊(130)包括：

3.根據(jù)權(quán)利要求2所述的架構(gòu)，其特征在于，

4.根據(jù)權(quán)利要求1所述的架構(gòu)，其特征在于，外部社區(qū)用戶身份代理組件獲取到本地社區(qū)用戶的身份信息與授權(quán)信息，在完成協(xié)議轉(zhuǎn)換、身份映射、授權(quán)信息獲取的自動化流程后，實現(xiàn)本地社區(qū)用戶一鍵訪問外部社區(qū)資源與服務系統(tǒng)的能力。

5.根據(jù)權(quán)利要求1所述的架構(gòu)，其特征在于，用戶身份代理組件還用于，將社區(qū)外身份源認證授權(quán)后的token與社區(qū)內(nèi)認證授權(quán)組件的token進行映射。

6.根據(jù)權(quán)利要求1所述的架構(gòu)，其特征在于，用戶身份代理組件還用于，針對標準認證授權(quán)協(xié)議進行擴展，實現(xiàn)與社區(qū)統(tǒng)一授權(quán)管理模塊間的權(quán)限信息的交互，實現(xiàn)從限制登錄到授權(quán)登錄后攜帶訪問權(quán)限信息等多個層次的授權(quán)訪問。

7.根據(jù)權(quán)利要求1所述的架構(gòu)，其特征在于，appid是用戶認證授權(quán)訪問、屬性映射、權(quán)限管理等作為該資源服務系統(tǒng)的唯一標識，密鑰信息主要用于確認資源與服務系統(tǒng)的真實性，以及在信息傳輸過程中數(shù)據(jù)完整性。

8.根據(jù)權(quán)利要求1所述的架構(gòu)，其特征在于，所述用戶身份代理組件支持saml、oidc和oauth標準認證授權(quán)協(xié)議。

技術(shù)總結(jié)
本發(fā)明公開了一種用于開放科學社區(qū)的認證與授權(quán)架構(gòu)，該架構(gòu)包括：社區(qū)統(tǒng)一用戶身份管理模塊、社區(qū)資源與服務注冊管理模塊、社區(qū)統(tǒng)一授權(quán)管理模塊和開放社區(qū)間的跨域認證管理模塊。本發(fā)明可支持多種通用認證授權(quán)協(xié)議(SAML/OIDC/OAUTH)，并支持異構(gòu)協(xié)議間自動轉(zhuǎn)換，從而屏蔽認證授權(quán)協(xié)議間的差異性，基于本發(fā)明來建設(shè)開放科學社區(qū)的認證授權(quán)體系，既可實現(xiàn)社區(qū)內(nèi)異構(gòu)認證協(xié)議資源服務系統(tǒng)的統(tǒng)一認證，也可支持開放社區(qū)間可輕松實現(xiàn)互連，科研用戶采用自有社區(qū)賬號即可一鍵訪問協(xié)作社區(qū)間的資源與服務系統(tǒng)，大大提升科研人員科研協(xié)作便利性；因為基于開放社區(qū)間連接，社區(qū)管理員可非常準確的識別用戶的真實性。本發(fā)明同時提出了一種新的社區(qū)統(tǒng)一授權(quán)管理技術(shù)方案，可以實現(xiàn)從不同授權(quán)級別、不同維度用戶群體進行精細化授權(quán)管理，保障資源與服務系統(tǒng)安全授權(quán)訪問，可大大提升開放科學社區(qū)的管理效率與管理水平。

技術(shù)研發(fā)人員：鄭依華,徐志健,李山波,張海明,黎建輝,劉子鳴
受保護的技術(shù)使用者：中國科學院計算機網(wǎng)絡(luò)信息中心
技術(shù)研發(fā)日：
技術(shù)公布日：2024/10/24