大数据环境下基于XACML和SAML的分布式系统认证与权限管理平台技术方案

本发明专利技术公开一种大数据环境下基于XACML和SAML的分布式系统认证与权限管理平台，包括跨域认证管理模块、授权管理模块、机构管理模块、人员管理模块、菜单管理模块和日志管理模块；跨域认证管理模块设在SAML处理服务器上，授权管理模块设在子系统XACML服务器上，机构管理模块、人员管理模块、菜单管理模块和日志管理模块均设在业务处理系统服务器上。该平台利用XACML对用户进行授权和访问控制，利用SAML跨域数据交互对用户进行身份认证。采用基于RBAC访问控制模型的XACML框架，通过读取用户的XACML文件来对用户权限进行限制，大大增强了对用户细粒度的授权。分布式系统中不同平台通过互相交换SAML信息来提供断言的方式，使得平台之间传输信息更加安全，数据传输量更少。

【技术实现步骤摘要】

本专利技术涉及大数据环境下分布式平台管理
，具体是一种大数据环境下基于XACML和SAML的分布式系统认证与权限管理平台。
技术介绍
在当今一些大型企业的大数据分布式系统应用中，分布式结构比较复杂，各应用系统使用不同的授权和访问控制方式，并采取不同的安全策略。对于不同的应用系统，数据之间的存储和交互，如账户管理、登录、人员组织管理、访问控制授权、跨域认证等。随着应用的越来越复杂，管理这些信息也愈加复杂，难以控制。不同的用户对应不同的应用系统，不同的应用系统仅对本系统的资源进行认证管理和访问控制，同一用户在不同的应用系统中的权限可以完全不同。因此，在分布式系统中，对用户在不同系统中的认证、授权就会非常凌乱，各系统不同的登录方式、用户角色/权限冲突、账户管理都会带来系统管理员负担繁重、权限细粒度管理复杂、用户跨域访问不便、系统可扩展性、可移植性较差等一系列问题。
技术实现思路
专利技术目的：针对现有技术中存在的不足，本专利技术的目的是提供一种大数据环境下基于XACML和SAML的分布式系统认证与权限管理平台，主要完成对企业分布式集成平台的管理和设置，提供机构管理、菜单管理以及人员管理权限管理等功能。技术方案：为了实现上述专利技术目的，本专利技术采用的技术方案为：一种大数据环境下基于XACML和SAML的分布式系统认证与权限管理平台，包括跨域认证管理模块、授权管理模块、机构管理模块、人员管理模块、菜单管理模块和日志管理模块；跨域认证管理模块设在SAML处理服务器上，授权管理模块设在子系统XACML服务器上，机构管理模块、人员管理模块、菜单管理模块和日志管理模块均设在业务处理系统服务器上；其中，所述跨域认证管理模块：Web客户端在两种情况下需要向SAML服务器端发送数据：（1）用户成功登录时，客户端必须告诉SAML服务器端，用户已经在某个子系统登录，服务器端记录下用户登录的子系统IP地址和时间，并根据业务需求选择是否需要回复信息；（2）用户进行跨域访问时，客户端必须告诉SAML服务器要访问的子系统IP地址，服务器根据请求回复用户账户状态信息，各子系统根据不同业务认证要求进行判定并告知客户端，如果符合要求，则用户成功登录，否则需要重新认证；所述授权管理模块：客户端以用户名/密码、指纹识别或电子身份卡等方式登录，或符合跨域认证要求时，授权管理服务器通过管理和维护XACML访问控制策略，利用策略管理点PAP来维护用户、角色、权限和策略之间的关系；所述机构管理模块：用于管理系统所有一级与二级机构，二级机构权限必须限制在一级机构权限范围内，机构的权限信息存储在XACML文件内，其他信息存储在数据库中；所述人员管理模块：对用户的增加需要确定用户所属部门，获得该部门的权限信息，人员的权限信息存储在XACML文件内，其他信息存储在数据库中；所述菜单管理模块：菜单分为一级菜单和二级菜单，当添加菜单时，必须输入不同的菜单名，通过Ajax进行后台验证后即可，二级菜单必须隶属于某个一级菜单；所述日志管理模块：日志模块记录了所有人员的所有正常和异常操作信息，管理员可以根据人员和时间查看所有人员的操作信息。所述的大数据环境下基于XACML和SAML的分布式系统认证与权限管理平台，用户在该平台的访问权限则通过读取XACML文件来完成；XACML文件上保存该用户允许访问的资源地址以及可以进行的操作；通过读取XACML文件，直接获取用户所有权限，简化策略决策点PDP和策略执行点PEP执行过程。所述的大数据环境下基于XACML和SAML的分布式系统认证与权限管理平台，用户在跨域访问的认证与授权服务中，源站点平台并不需要关心目的站点的用户认证与授权问题；不同的站点拥有不同的认证方式，即使是同一用户也会拥有不同的权限；目的站点只要和SAML服务器进行数据交互，获取用户已在源站点进行认证的结果，通过分析SAML服务器返回的SAML信息，根据信息来确认用户是否认证；整个过程对用户是透明的，用户在进行跨域访问时，好像登录的是同一个系统的不同应用模块一样。所述的大数据环境下基于XACML和SAML的分布式系统认证与权限管理平台，系统管理员通过菜单管理提供新功能，并给指定的部门设定指定的菜单权限；部门权限管理同用户权限管理相同，都通过修改XACML文件来实现。所述的大数据环境下基于XACML和SAML的分布式系统认证与权限管理平台，Web服务提供者向用户提供服务之前，必须经过平台的认证并获得授权后才具有访问Web资源的权限。在所述跨域认证管理模块中，SAML服务器仅用于存储、接收/回复子系统信息请求，本身并不作为判定认证的关键节点。在所述机构管理模块中，存储在数据库中的其他信息包括机构名称、机构描述、创建日期、机构状态等；在所述人员管理模块中，存储在数据库中的其他信息包括用户名、密码、注册日期、登录日期、用户状态、所属机构、账户安全状态等。所述授权管理模块包括部门授权管理模块和用户授权管理模块，部门授权管理模块中的部门XACML授权方法如下：1）建立<PolicySet>元素，<PolicySet>中包含了部门<Target>访问过滤素和规则算法；2）建立<Target>元素，在该元素中包含了所有的部门权限：主体、可访问资源、主体操作；3）建立<Subject>主体限制，<Subject>采取的匹配条件是字符串相同；用户所属部门的ID必须和<Subject>中的AttributeValue保持一致，即限定只有该部门的用户才可以访问一定的可访问资源和采取一定的主体操作；4）建立<Resource>资源限制；部门权限的设置仅仅是该部门用户可以看到权限内允许看到的菜单，即URL地址；一个部门拥有对多少菜单的权限，即建立多少个<Resource>元素，如果没有找到对应的匹配地址，则该部门内所有用户均不能访问；5）部门内不同的用户拥有的Action不同，因此部门权限并不设置具体的<Action>元素，即对部门权限而言，所有动作均可以；6）建立<Policy>策略和确认Rule；当用户被系统成功认证后，首先读取的是<Target>元素，得到该部门可以访问的<Resource>元素即对应菜单栏；不同用户在每个菜单栏下的可以进行的具体Action操作，则通过用户权限管理的用户XACML文件获得，因此，部门权限中对所有用户的Policy中的Rule均为“Permit”；7）确认该部门PolicyCombiningAlgId和RuleCombiningAlgId算法；部门权限中对所有用的Policy和Rule均为Permit，所以策略和规则算法选择“deny-overrides”（拒绝覆盖），即全部通过。所述用户授权管理模块中的用户XACML授权方法如下：1）建立<PolicySet>元素，<PolicySet>中包含了用户<Target>访问过滤元素和PolicyCombiningAlgId：deny-overrides；2）建立<Target>元素；在该元素中仅包含了&本文档来自技高网...

【技术保护点】
一种大数据环境下基于XACML和SAML的分布式系统认证与权限管理平台，其特征在于，包括跨域认证管理模块、授权管理模块、机构管理模块、人员管理模块、菜单管理模块和日志管理模块；跨域认证管理模块设在SAML处理服务器上，授权管理模块设在子系统XACML服务器上，机构管理模块、人员管理模块、菜单管理模块和日志管理模块均设在业务处理系统服务器上；其中，所述跨域认证管理模块：Web客户端在两种情况下需要向SAML服务器端发送数据：（1）用户成功登录时，客户端必须告诉SAML服务器端，用户已经在某个子系统登录，服务器端记录下用户登录的子系统IP地址和时间，并根据业务需求选择是否需要回复信息；（2）用户进行跨域访问时，客户端必须告诉SAML服务器要访问的子系统IP地址，服务器根据请求回复用户账户状态信息，各子系统根据不同业务认证要求进行判定并告知客户端，如果符合要求，则用户成功登录，否则需要重新认证；所述授权管理模块：客户端以用户名/密码、指纹识别或电子身份卡方式登录，或符合跨域认证要求时，授权管理服务器通过管理和维护XACML访问控制策略，利用策略管理点PAP来维护用户、角色、权限和策略之间的关系；所述机构管理模块：用于管理系统所有一级与二级机构，二级机构权限必须限制在一级机构权限范围内，机构的权限信息存储在XACML文件内，其他信息存储在数据库中；所述人员管理模块：对用户的增加需要确定用户所属部门，获得该部门的权限信息，人员的权限信息存储在XACML文件内，其他信息存储在数据库中；所述菜单管理模块：菜单分为一级菜单和二级菜单，当添加菜单时，必须输入不同的菜单名，通过Ajax进行后台验证后即可，二级菜单必须隶属于某个一级菜单；所述日志管理模块：日志模块记录了所有人员的所有正常和异常操作信息，管理员可以根据人员和时间查看所有人员的操作信息。...

【技术特征摘要】
1.一种大数据环境下基于XACML和SAML的分布式系统认证与权限管理平台，其特征在于，包括跨域认证管理模块、授权管理模块、机构管理模块、人员管理模块、菜单管理模块和日志管理模块；跨域认证管理模块设在SAML处理服务器上，授权管理模块设在子系统XACML服务器上，机构管理模块、人员管理模块、菜单管理模块和日志管理模块均设在业务处理系统服务器上；其中，所述跨域认证管理模块：Web客户端在两种情况下需要向SAML服务器端发送数据：（1）用户成功登录时，客户端必须告诉SAML服务器端，用户已经在某个子系统登录，服务器端记录下用户登录的子系统IP地址和时间，并根据业务需求选择是否需要回复信息；（2）用户进行跨域访问时，客户端必须告诉SAML服务器要访问的子系统IP地址，服务器根据请求回复用户账户状态信息，各子系统根据不同业务认证要求进行判定并告知客户端，如果符合要求，则用户成功登录，否则需要重新认证；所述授权管理模块：客户端以用户名/密码、指纹识别或电子身份卡方式登录，或符合跨域认证要求时，授权管理服务器通过管理和维护XACML访问控制策略，利用策略管理点PAP来维护用户、角色、权限和策略之间的关系；所述机构管理模块：用于管理系统所有一级与二级机构，二级机构权限必须限制在一级机构权限范围内，机构的权限信息存储在XACML文件内，其他信息存储在数据库中；所述人员管理模块：对用户的增加需要确定用户所属部门，获得该部门的权限信息，人员的权限信息存储在XACML文件内，其他信息存储在数据库中；所述菜单管理模块：菜单分为一级菜单和二级菜单，当添加菜单时，必须输入不同的菜单名，通过Ajax进行后台验证后即可，二级菜单必须隶属于某个一级菜单；所述日志管理模块：日志模块记录了所有人员的所有正常和异常操作信息，管理员可以根据人员和时间查看所有人员的操作信息。2.根据权利要求1所述的大数据环境下基于XACML和SAML的分布式系统认证与权限管理平台，其特征在于：用户在该平台的访问权限则通过读取XACML文件来完成；XACML文件上保存该用户允许访问的资源地址以及可以进行的操作；通过读取XACML文件，直接获取用户所有权限，简化策略决策点PDP和策略执行点PEP执行过程。3.根据权利要求1所述的大数据环境下基于XACML和SAML的分布式系统认证与权限管理平台，其特征在于：用户在跨域访问的认证与授权服务中，源站点平台并不需要关心目的站点的用户认证与授权问题；不同的站点拥有不同的认证方式，即使是同一用户也会拥有不同的权限；目的站点只要和SAML服务器进行数据交互，获取用户已在源站点进行认证的结果，通过分析SAML服务器返回的SAML信息，根据信息来确认用户是否认证；整个过程对用户透明。4.根据权利要求1所述的大数据环境下基于XACML和SAML的分布式系统认证与权限管理平台，其特征在于：系统管理员通过菜单管理提供新功能，并给指定的部门设定指定的菜单权限；部门权限管理同用户权限管理相同，都通过修改XACML文件来实现。5.根据权利要求1所述的大数据环境下基于XACML和SAML的分布式系统认证与权限管理平台，其特征在于：Web服务提供者向用户提供服务之前，必须经过平台的认证并获得授权后才具有访问Web资源的权限。6.根据权利要求1所述的大数据环境下基于XACML和SAML的分布式系统认证与权限管理平台，其特征在于：在所述跨域认证管理模块中，SAML服务器仅用于存储、接收/回复子系统信息请求，本身并不作为判定认证的关键节点。7.根据权利要求1所述的大数据环境下基于XACML和SAML的分布式系统认证与权限管理平台，其特征在于：在所述机构管理模块中，存储在数据库中的其他信息包括机构名称、机构描述、创建日期、机构状态；在所述人员管理模块中，存储在数据库中的其他信息包括用户名、密码、注册日期、登录日期、用户状态、所属机构、账户安全状态。8.根据权利要求1所述的大数据环境下基于XACML和SAML的分布式系统认证与权限管理平台，其特征在于：所述授权管理模块包括部门授权管理模块和用户授权管理模块，部门授权管理模块中的部门XACML授权方法如下：1）建立<PolicySet>元素，<PolicySet>中包含了部门<Target>访问过滤素和规则算法；2）建立<Target>元素，在该元素中包含了所有的部门权限：主体、可访问资源、主体操作；3）建立<Subject>主体限制，<Subject>采取的匹配条件是字符串相同；用户所属部门的ID必须和<Subject>中的AttributeValue保持一致，即限定只有该部门的用户才可以访问一定的可访问资源和采取一定的主体操作；4）建立<Resource>资源限制；部门权限的设置仅仅是该部门用户可以看到权限内...

【专利技术属性】
技术研发人员：孙立，焦微玲，吕祥，孙伟华，
申请(专利权)人：盐城工学院，
类型：发明
国别省市：江苏;32