本发明专利技术提出一种统一身份认证系统,包括:统一单点登录平台,所述统一单点登录平台采集具有账户的用户的身份信息;认证平台,所述认证平台与所述统一单点登录平台交互进行身份认证;统一授权管理平台,所述统一授权管理平台为通过身份认证的用户的账户关联一子账户,其中,该子账户能够用来访问一应用资源;访问控制平台,所述访问控制平台验证所述账户的权限,控制所述账户对应用资源的访问。统一管理账户和身份的生命周期,只需在管理中心一处统一维护,即可维护所有应用的访问权限,消除对后台系统非法访问的威胁,实现账户信息的统一管理。
A unified identity authentication system and method
【技术实现步骤摘要】
一种统一身份认证系统和方法
本专利技术涉及身份认证
,更具体地,涉及一种统一身份认证系统和方法。
技术介绍
现有的情况是大部分的系统自己管理自己的用户权限体系,系统一般采用用户名/口令的作为系统访问的验证手段,人员在不同的系统拥有不同的用户名/口令。用户名、口令的机制很容易由于用户安全意识不强的问题而导致人为泄漏、外借或者被别人猜测成功。从实际情况来看,大量的用户在选取密码方面都非常脆弱,如密码为空、与用户名相同、简单英文单词或汉语拼音、简单数字、某些特定日期(如生日)、多个网站采用同样的账户密码或电话号码等。并且对于应用系统而言,这种登录方式不能确定登录人即是用户本人。部分系统会采用数字证书的方式进行登陆,或者是权限校验,这种方式需要使用软证书或者Ukey的方式进行鉴权。Ukey同样具有外借和口令较弱的风险。同时因为是实物介质,可能出现保管不善导致的Ukey丢失或泄漏。并且对于应用系统而言,这种登录方式不能确定登录人即是用户本人。同一个公司、单位或系统内部有大量的应用系统,各个系统都自行管理各自的权限,容易造成权限混乱,管理混乱。权限控制力度较粗,不能集中统一的、细粒度的管理用户的权限。应用的接入点、权限的决策点、访问的执行点在同一处,容易被入侵,造成权限泄漏。某些机构的网络,比如政府网络、公司核心部门,需要更高要求的安全,更高要求的信任。现有技术中会采用PKI的CA体系来进行认证。通过签发一个私钥给本人,公钥给公司或单位,链路加密的传输方式。整个认证系统包括秘钥管理和签发证书。其认证体系是:秘钥失效,但证书不失效。给整个行业和单位都签发了证书。加油站电脑是要加证书的,开发票税控机都有证书,这个体系具有如下缺点:1、签发成本高,当前一张证书的成本可能是几百元。2、证书混用冒用的情况非常普遍。到底是谁用这个证书,对应的是哪台机器在用,不知道。有一些是用口令来防止冒用,但因为弱口令等不修改,认证方式也形同虚设。3、维护复杂,证书的发放和管理很麻烦。比如在政府内部,签发和管理在内网是一套很严谨的流程,在内网做签发,如果人员流动离职,证书的回收很麻烦,需要到证书列表里撤销,证书的维护管理不方便。4、携带不方便,出差在外需要拿证书,可能会借别人的证书来用,失去了认证的作用。鉴于以上,现在政府政务也在互联网化,大量的应用都在互联网化,更新迭代很快,B/S类的互联网认证有迫切的需求,通过CA的方式认证已经很难满足要求。
技术实现思路
针对
技术介绍
中的问题,本专利技术要解决如下问题:1.解决实际登录人与用户所有者不一致的问题;2.解决统一组织内大量应用账户的问题;3.解决权限管理混乱的问题;4.解决账户/口令易泄漏易猜测的问题;5.解决权限管理粒度粗的问题;6.解决单点决策的问题。为此,本专利技术提出一种统一身份认证系统,包括:统一单点登录平台,所述统一单点登录平台采集具有账户的用户的身份信息;认证平台,所述认证平台与所述统一单点登录平台交互进行身份认证;统一授权管理平台,所述统一授权管理平台为通过身份认证的用户的账户关联一子账户,其中,该子账户能够用来访问一应用资源;访问控制平台,所述访问控制平台验证所述账户的权限,控制所述账户对应用资源的访问。本专利技术还提出一种统一身份认证方法,包括:通过统一单点登录平台采集具有账户的用户的身份信息;通过认证平台与所述统一单点登录平台交互进行身份认证;通过统一授权管理平台为经身份认证通过后的用户的账户关联一子账户,其中,该子账户能够用来访问一应用资源;通过访问控制平台验证所述账户的权限,控制所述账户对应用资源的访问。本专利技术的技术效果包括:本专利技术实现了更安全的用户以及应用安全管理。实现安全管控、帐户唯一、单点登录、集中授权、透明审计。本专利技术的系统采用基于生物特征的多因子身份识别技术补充解决了账户/密码、PKI口令弱、不能保证是本人操作的问题。统一管理账户和身份的生命周期,只需在管理中心一处统一维护,即可维护所有应用的访问权限,消除对后台系统非法访问的威胁,实现账户信息的统一管理。采用单点登录,实现一次主帐号登录,自动关联到一子帐号,通过数字签名的票据实现免去密码访问授权范围内的所有应用系统。通过创建安全组,支持将所有的用户以安全组或单位架构的形式管理起来,通过应用授权给安全组或用户组织架构分配应用两种授权机制,管控用户的访问去向。记录系统范围内的安全和系统审计信息,有效地分析整个系统的日常操作与安全事件数据,通过归类、报表等方法,使管理员轻松识别应用系统环境中潜在的恶意威胁活动,可帮助用户明显地降低受到来自外界和内部的恶意侵袭的风险。将组织中所有的应用系统集中管控,支持私有云,专有云都集中管控和数据同步,为所有应用按照不同的维度分类呈现,直观地展示出的应用信息。应用的接入点、权限的决策点、访问的执行点三权分立的方式,增加系统的安全性。附图说明为了更容易理解本专利技术,将通过参照附图中示出的具体实施方式更详细地描述本专利技术。这些附图只描绘了本专利技术的典型实施方式,不应认为对本专利技术保护范围的限制。图1显示了本专利技术的系统的架构图。图2显示了本专利技术的系统的认证平台的数据交互图。图3显示了本专利技术的系统的统一授权管理平台的属性管理方式的图。具体实施方式下面参照附图描述本专利技术的实施方式,其中相同的部件用相同的附图标记表示。在不冲突的情况下,下述的实施例及实施例中的技术特征可以相互组合。图1显示了本专利技术的系统的架构图,本专利技术的系统是涵盖单点登录的集中身份管理平台和应用可信接入网关。以备后续各个应用系统都采用统一的身份认证平台,使得组织内部有一个集中的用户身份管理系统,制定统一的账户安全管理策略,并为后续应用系统的建设搭建一个统一的身份认证和账户管理框架。本专利技术的系统可以为用户构建统一、高效、安全的身份管理平台,它满足现有多种业务场景下各类应用系统的账户管理需求。提供了多因素认证、单点登录、用户管理、账户同步、权限管理、统一审计、应用安全接入等功能模块。本专利技术的身份认证系统包括三大部分:认证平台、统一授权管理平台和访问控制平台。认证平台负责为用户提供业务系统的统一认证接入,认证方法包括多种,根据业务系统安全级别的需要,可以选择通过用户名口令、证书、手机扫描二维码认证、人脸认证等多种认证方式。用户通过统一信息门户来连接认证平台进行认证。用户经认证平台认证通过后,认证平台将用户登录标识作为主帐户传入统一授权管理平台,统一授权管理平台查询用户授权信息,将用户访问控制列表返回统一信息门户平台供用户选择,用户点击授权访问的应用系统,统一授权管理平台则分配一子帐户对应于该用户,该子账户能够通过访问控制平台来登录到被授权使用的应用系统。如此,实现了用户到应用系统的单点登录。其中用户授权信息是预先设定的,指的是哪些用户能够使用哪些应用系统。通过统一授权管理平台,根据用户属性的不同,可以对用户访问资源进行系统内模块级别访问控制以及数据级的访问控制。统一单点登录平台本专利技术的系统包括统一单点登录平台,提供多种单点登录接入方式选择:反向代理、账户Token机制单点登录和标准接口单点登录。除此以外,所述登录平台具有单点登录标准接口,为将来其它应用系统接入单点登录预留了扩展升级的空间。统一单点登录平台为用户提供统一的门户页面,门户本文档来自技高网...
【技术保护点】
1.一种统一身份认证系统,其特征在于,包括:统一单点登录平台,所述统一单点登录平台采集具有账户的用户的身份信息;认证平台,所述认证平台与所述统一单点登录平台交互进行身份认证;统一授权管理平台,所述统一授权管理平台为通过身份认证的用户的账户关联一子账户,其中,该子账户能够用来访问一应用资源;访问控制平台,所述访问控制平台验证所述账户的权限,控制所述账户对应用资源的访问。
【技术特征摘要】
1.一种统一身份认证系统,其特征在于,包括:统一单点登录平台,所述统一单点登录平台采集具有账户的用户的身份信息;认证平台,所述认证平台与所述统一单点登录平台交互进行身份认证;统一授权管理平台,所述统一授权管理平台为通过身份认证的用户的账户关联一子账户,其中,该子账户能够用来访问一应用资源;访问控制平台,所述访问控制平台验证所述账户的权限,控制所述账户对应用资源的访问。2.根据权利要求1所述的统一身份认证系统,其特征在于,所述应用资源包括:应用程序、API接口和数据字段。3.根据权利要求1所述的统一身份认证系统,其特征在于,所述访问控制平台包括:数据脱敏模块,所述数据脱敏模块通过属性控制数据的脱敏与否,数据脱敏模块预先配置用户的权限和应用资源的属性,根据访问的用户属性进行数据安全控制,将匹配到的敏感的数据字段脱敏。应用权限管理模块,其在用户属性发生变化时,调整该用户能访问的应用资源的权限。4.根据权利要求1所述的统一身份认证系统,其特征在于,所述统一单点登录平台和所述认证平台的认证方式如下:S1,所述统一单点登录平台提供二维码、小程序或APP,接收用户输入的身份证号码、用户照片和/或网证,传输到认证平台;S2,认证平台对身份信息进行认证。5.根据权利要求4所述的统一身份认证系统,其特征在于,所述统一授权管理平台根据用户身份、认证方式、访问应用、A...
【专利技术属性】
技术研发人员:张楠,续磊,
申请(专利权)人:广州大白互联网科技有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。