[发明专利]基于资源服务管理系统安全认证网关分布式配置管理方法

说明书

技术领域

本发明涉及一种基于资源服务管理系统安全认证网关分布式配置管理方法，通过资源服务管理系统与资源同步程序相结合的方式，同步配置安全认证网关，控制用户的本地或跨域访问行为。

背景技术

通用的安全认证网关设备策略配置方法为设备提供配置界面，如web界面或专用的配置管理系统，在配置界面中完成自身设备的诸如网络地址等运行策略配置以及与其他设备交互的策略配置。

安全认证网关串联于用户访问受保护应用的网络路径之中，用户的行为通常需要经过安全认证网关身份认证和权限控制两部分，二者在安全认证网关的配置中涉及到用户信息，受保护应用信息以及访问权限配置。用户的访问行为分为本地访问和跨域访问，本地访问即用户在身份认证成功后访问本地服务，跨域访问指用户在身份认证成功后访问异地网关所保护的后台应用服务。在通用的策略配置模式下，用户的跨域访问行为需要安全认证网关之间进行交互配置，特别是在多台安全认证网关的情况下，不同安全认证网关管理不同的用户，保护不同的应用资源时，用户通过安全认证网关互访应用资源时，需要手工将用户，应用，权限信息配置到用户访问路径所经过的安全认证网关中，并且由于安全认证网关的管理域不同，配置工作十分复杂、耗时。

发明内容

为了克服现有技术的上述缺点，本发明提供了一种基于资源服务管理系统安全认证网关分布式配置管理方法，在安全认证网关通用的策略配置方法基础上，提供一个能够分布式配置的方法，它依赖于资源服务管理系统。安全认证网关直接对接一个本地资源管理服务系统即可获取全网的资源共享信息，用户只需在本地资源管理系统即可完成用户对全网共享信息资源访问的配置工作。用户可根据自己的需求选择分布式配置模型以支持安全认证网关的分布式应用。

本发明解决其技术问题所采用的技术方案是：一种基于资源服务管理系统安全认证网关分布式配置管理方法，安全认证网关利用本地配置模块完成基础配置工作、利用资源同步程序将资源信息从本地资源服务管理系统同步到安全认证网关中；本地资源管理服务系统审核地安全认证网关对本地共享资源访问请求，该请求审核通过后，由双方的资源管理系统下发策略，资源同步程序配置到各自的安全认证网关设备配置库中并通知安全认证网关执行程序执行新的策略。

与现有技术相比，本发明的积极效果是：

1)安全认证网关的配置工作分为本地配置和资源同步两部分，分工明确，配置信息自动同步；

2)在进行分布式配置管理中，配置处理逻辑简单，安全认证网关资源同步程序只需与本地的资源服务管理系统交互，配置简单；

3)策略分发处理效率很高，不会给系统带来很大的开销；

4)可以支持控制策略的实时响应。策略修改后，控制方式相应修改，不用重新启动安全认证网关设备；

5)采用“分级部署，二次审核”思想，分布式的共享资源访问请求模型严密，即异地的安全认证网关访问本地的安全认证网关所代理的共享应用时，由异地资源服务管理系统发出用户访问本地共享应用请求，由本地资源服务管理系统审核后方生效。

附图说明

本发明将通过例子并参照附图的方式说明，其中：

图1是安全认证网关分布式配置模型；

图2用户进行异地访问的配置流程。

具体实施方式

如图1所示，一种基于资源服务管理系统安全认证网关分布式配置管理方法，包括安全认证网关资源同步程序和安全认证网关策略执行程序，安全认证网关通过本地资源服务管理系统资源同步程序获取用户资源，应用资源，网络资源，设备资源等可共享的资源同步消息，收集分布式的策略配置信息，利用策略执行程序实时执行分布式的配置访问请求，其中：

一、安全认证网关资源同步程序包括以下功能：

安全认证网关监控资源服务管理系统消息变动，处理用户资源，应用资源，网络规则资源，网络设备等可共享资源信息，判断资源的地域属性，通过用户资源中的属性证书信息解析权限信息，为策略执行程序提供依据，能实时响应策略变化，策略更改后，通知策略执行程序更改策略。

资源同步程序适用于Linux操作系统，资源同步程序应能随计算机开机自动启动，对计算机启动后执行的进程进行系统配置同步监控，使用步骤如下：

1)启用策略配置同步程序；

2)在资源服务管理系统中注册本地网关设备同步标识；

3)监听资源服务管理系统消息配置变化；

4)接收新的配置消息；