[发明专利]一种域管理对象映射装置及统一身份认证系统

说明书

本发明涉及一种基于云平台的域管理对象映射装置及统一身份认证系统，所述域管理对象映射装置对虚拟对象与实体对象施加映射，对虚拟对象和实体对象的映射关系进行管理，并将资源的访问权限授予实体组，所述域管理对象包括AD域管理对象和NIS域管理对象，所述域管理对象映射装置包括：账号映射模块；虚拟组映射模块；对应关系映射模块；虚拟对象赋予模块；实体对象赋予模块；以及权限授予模块。通过采用上述基于云平台的域管理对象映射装置及统一身份认证系统，有效地解决了统一认证之后资源访问权限的管理和控制问题。

技术领域

本发明涉及认证技术领域，具体涉及一种基于云平台的域管理对象映射装置及统一身份认证系统。

背景技术

传统的统一身份认证能够实现在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统，一次登录，资源尽享。大多数统一身份认证产品基于传统应用的统一认证，故对云平台、云资源的统一认证和授权能力比较薄弱。另外，大多数统一身份认证产品授权粒度只精确到应用、设备、主机，通俗说就是用户是否有权连接某个IP地址+端口，而实体内部资源的访问权限还需要在实体内部进行分配和管理。因此，针对各应用来说，在认证及登陆完成后，需由各应用系统自身的权限控制模块进行用户行为的进一步控制。

统一身份认证，又称4A：认证Authentication、账号Account、授权Authorization、审计Audit，也就是将身份认证、授权、审计和账号(即不可否认性及数据完整性)定义为网络安全的四大组成部分，从而确立了身份认证在整个网络安全系统中的地位与作用。统一身份认证产品一般包含如下功能：

集中帐号(account)管理：为用户提供统一集中的帐号管理，支持管理的资源包括主流的操作系统、网络设备和应用系统；不仅能够实现被管理资源帐号的创建、删除及同步等帐号管理生命周期所包含的基本功能，而且也可以通过平台进行帐号密码策略，密码强度、生存周期的设定。

集中认证(authentication)管理：可以根据用户应用的实际需要，为用户提供不同强度的认证方式，既可以保持原有的静态口令方式，又可以提供具有双因子认证方式的高强度认证(一次性口令、数字证书、动态口令)，而且还能够集成现有其它如生物特征等新型的认证方式。不仅可以实现用户认证的统一管理，并且能够为用户提供统一的认证门户，实现企业信息资源访问的单点登录。

集中权限(authorization)管理：可以对用户的资源访问权限进行集中控制。它既可以实现对B/S、C/S应用系统资源的访问权限控制，也可以实现对数据库、主机及网络设备的操作的权限控制，资源控制类型既包括B/S的URL、C/S的功能模块，也包括数据库的数据、记录及主机、网络设备的操作命令、IP地址及端口。

集中审计(audit)管理：将用户所有的操作日志集中记录管理和分析，不仅可以对用户行为进行监控，并且可以通过集中的审计数据进行数据挖掘，以便于事后的安全事故责任的认定。

市场上统一身份认证产品和技术已经非常成熟，比如IBM Tivoli IdentityManager、Microsoft Active Directory以及很多开源的产品，很多公司基于这些产品或者类似理念进行开发、二次开发实施，而实现了统一身份认证。这些产品能轻易实现多个系统的统一登录认证，但是对于统一登录认证的各子系统中不同的资源，还缺乏对具体业务系统资源进一步安全控制的手段，特别是针对云资源中不同用户对不同昂贵计算资源和数据资源的访问权限缺乏有效的管理和控制。

为此，经过长期理论研究和实践积累，本案的发明人开发出一种基于云平台的统一身份认证方案，很好地解决了统一认证之后不同协调的资源访问权限管理和控制问题。

发明内容