[发明专利]大数据环境下基于XACML和SAML的分布式系统认证与权限管理平台

摘要

本发明公开一种大数据环境下基于XACML和SAML的分布式系统认证与权限管理平台，包括跨域认证管理模块、授权管理模块、机构管理模块、人员管理模块、菜单管理模块和日志管理模块；跨域认证管理模块设在SAML处理服务器上，授权管理模块设在子系统XACML服务器上，机构管理模块、人员管理模块、菜单管理模块和日志管理模块均设在业务处理系统服务器上。该平台利用XACML对用户进行授权和访问控制，利用SAML跨域数据交互对用户进行身份认证。采用基于RBAC访问控制模型的XACML框架，通过读取用户的XACML文件来对用户权限进行限制，大大增强了对用户细粒度的授权。分布式系统中不同平台通过互相交换SAML信息来提供断言的方式，使得平台之间传输信息更加安全，数据传输量更少。

主权项

1.一种大数据环境下基于XACML和SAML的分布式系统认证与权限管理平台，其特征在于，包括跨域认证管理模块、授权管理模块、机构管理模块、人员管理模块、菜单管理模块和日志管理模块；跨域认证管理模块设在SAML处理服务器上，授权管理模块设在子系统XACML服务器上，机构管理模块、人员管理模块、菜单管理模块和日志管理模块均设在业务处理系统服务器上；其中，/n所述跨域认证管理模块：Web客户端在两种情况下需要向SAML处理服务器端发送数据：（1）用户成功登录时，Web客户端必须告诉SAML处理服务器端，用户已经在某个子系统登录，SAML处理服务器端记录下用户登录的子系统IP地址和时间，并根据业务需求选择是否需要回复信息；（2）用户进行跨域访问时，Web客户端必须告诉SAML处理服务器要访问的子系统IP地址，服务器根据请求回复用户账户状态信息，各子系统根据不同业务认证要求进行判定并告知Web客户端，如果符合要求，则用户成功登录，否则需要重新认证；/n所述授权管理模块：Web客户端以用户名/密码、指纹识别或电子身份卡方式登录，或符合跨域认证要求时，授权管理服务器通过管理和维护XACML访问控制策略，利用策略管理点PAP来维护用户、角色、权限和策略之间的关系；/n所述机构管理模块：用于管理系统所有一级与二级机构，二级机构权限必须限制在一级机构权限范围内，机构的权限信息存储在XACML文件内，其他信息存储在数据库中；/n所述人员管理模块：对用户的增加需要确定用户所属部门，获得该部门的权限信息，人员的权限信息存储在XACML文件内，其他信息存储在数据库中；/n所述菜单管理模块：菜单分为一级菜单和二级菜单，当添加菜单时，必须输入不同的菜单名，通过Ajax进行后台验证后即可，二级菜单必须隶属于某个一级菜单；/n所述日志管理模块：日志模块记录了所有人员的所有正常和异常操作信息，管理员可以根据人员和时间查看所有人员的操作信息；/n所述授权管理模块包括部门授权管理模块和用户授权管理模块，部门授权管理模块中的部门XACML授权方法如下：/n1）建立<PolicySet>元素，<PolicySet>中包含了部门<Target>访问过滤元素和规则算法；/n2）建立<Target>元素，在该元素中包含了所有的部门权限：主体、可访问资源、主体操作；/n3）建立<Subject>主体限制，<Subject>采取的匹配条件是字符串相同；用户所属部门的ID必须和<Subject>中的AttributeValue保持一致，即限定只有该部门的用户才可以访问一定的可访问资源和采取一定的主体操作；/n4）建立<Resource>资源限制；部门权限的设置仅仅是该部门用户可以看到权限内允许看到的菜单，即URL地址；一个部门拥有对多少菜单的权限，即建立多少个<Resource>元素，如果没有找到对应的匹配地址，则该部门内所有用户均不能访问；/n5）部门内不同的用户拥有的Action不同，因此部门权限并不设置具体的<Action>元素，即对部门权限而言，所有动作均可以；/n6）建立<Policy>策略和确认Rule；当用户被系统成功认证后，首先读取的是<Target>元素，得到该部门可以访问的<Resource>元素即对应菜单栏；不同用户在每个菜单栏下的可以进行的具体Action操作，则通过用户权限管理的用户XACML文件获得，因此，部门权限中对所有用户的Policy中的Rule均为“Permit”；/n7）确认该部门PolicyCombiningAlgId和RuleCombiningAlgId算法；部门权限中对所有用户的Policy和Rule均为Permit，所以策略和规则算法选择“deny-overrides”（拒绝覆盖），即全部通过；/n所述用户授权管理模块中的用户XACML授权方法如下：/n1）建立<PolicySet>元素，<PolicySet>中包含了用户<Target>访问过滤元素和PolicyCombiningAlgId：deny-overrides；/n2）建立<Target>元素；在该元素中仅包含了<Subject>（主体），只有当session中的用户主体ID和<Subject>中的ID一致时，才可以获取必要的用户权限；<Subject>采取的匹配条件（MatchId）是“string-equal”（用户ID字符串相同）；/n3）建立用户策略<Policy>和规则算法RuleCombiningAlgId，用户的策略包含若干个<Rule>（规则），每个<Rule>规定了该用户对每个模块URL的访问权限，每个模块中的CRUD操作权限均通过读取该模块<Rule>实现；所有的<Rule>元素均需要遵守规则算法：deny-overrides（拒绝覆盖）；/n4）建立每个模块的<Rule>；在该元素中包含了该模块的<Resources>和<Actions>；<Resources>限制了用户可以访问的URL地址，<Resources>采取的匹配条件（MatchId）是“anyURI-regexp-match”（模块URL地址正则匹配）； <Action>限制了在该模块URL中可以实施的动作，即CRUD；<Actions>采取的匹配条件（MatchId）是“string-regexp-match”（动作名称正则匹配）；/n5）制定<Rule>的Effect（效果）；在每个<Rule>中，只要MatchId匹配即可访问，所有<Rule>的Effect都为Permit（允许）；如果用户没有读取到部门权限中允许的URL地址，则不能访问该部门内的URL；通过对<Rule>的读取，用户操作的细粒度大大增加；/n在所述跨域认证管理模块中，在传递SAML请求时，对XML消息进行局部加密，加密传输XML过程如下：/n1）各子系统资源站点首先与SAML处理服务器约定不同的固定密钥，采用AES双向加密；此密钥仅仅用于各子系统首次向SAML处理服务器发送通信请求，不包含认证请求或结果；此密钥可以与各子系统约定定期更换；/n2）SAML处理服务器中用自身的密钥保存各站点首次通信的固定密钥；用来保证首次通信的安全；/n3）各子系统首次向SAML处理服务器发送通信请求，此请求可以是IP地址或者是该子系统的标识，可以用明文发送；/n4）SAML处理服务器根据各子系统发来的请求找到对应子系统首次通信的密钥，并产生一个临时密钥(session-key)，用双方约定好的固定密钥将此临时密钥加密，传递给该子系统；/n5）各子系统用固定密钥解密，得到临时密钥，产生SAML请求或本系统用户验证结果，用临时密钥将XML消息部分加密，发送给SAML处理服务器；/n6）SAML处理服务器接受子系统发来的SAML请求或结果，用临时密钥将XML消息解密获得数据对象及其属性，并产生身份验证声明，发送给请求子系统；/n7）请求子系统根据SAML决策结果决定是否访问子系统XACML服务器和资源站点。/n