本发明专利技术涉及一种认证与权限管理系统,所述认证与权限管理系统包括身份认证模块,授权管理模块,权限委托管理模块,审计模块;所述身份认证模块用于对用户及设备的身份进行认证;所述授权管理模块用于对通过所述身份认证模块认证的用户进行基于用户和角色的授权管理;所述权限委托管理模块用于通过权限委托方式,将相关应用或操作委任给指定的用户;所述审计模块用于对应用提供安全审计。本发明专利技术能满足用户业务要求的应用认证与权限管理系统平台,实现对应用系统中用户身份、设备资源、角色权限、访问控制等安全信息和安全策略的集中统一管理。
【技术实现步骤摘要】
本专利技术涉及信息安全领域,特别是涉及一种认证与权限管理系统。
技术介绍
随着信息技术的飞速发展,信息产业已成为国贸紧急发展的支柱产业,从而推动了高新技术、全球信息化突飞猛进的发展,全面推进办公自动化、网络化、电子化、全面信息共享是信息化发展的大势所趋。信息安全重要性也随着科技信息的发展而日益突出。随着应用规模的增加,安全管理的难度也随之提高。在小型应用系统中,由于规模小,资源数量较少,用户数量不多,安全策略安全可以很快得以部署而不会带来管理不一致问题;但是在大中型应用系统中,如何保证系统各组成成分之间安全策略的快速部署及其一致性执行就成为一个非常现实的问题,这一问题解决的好坏程度直接决定了系统的安全效率和效果。认证与权限控制是安全管理的一个重要内容。因此,需要一种认证与权限管理系统来实现安全的集中管理。
技术实现思路
针对现有技术中存在的缺陷和不足,本专利技术提出一种认证与权限管理系统,以更好地解决信息安全中的集中管理问题。为了实现上述目的,本专利技术提出一种认证与权限管理系统,所述认证与权限管理系统包括身份认证模块,授权管理模块,权限委托管理模块,审计模块;其中所述身份认证模块用于对用户及设备的身份进行认证;所述授权管理模块用于对通过所述身份认证模块认证的用户进行基于用户和角色的授权管理;所述权限委托管理模块用于通过权限委托方式,将相关应用或操作委任给指定的用户;所述审计模块用于对应用提供安全审计。作为上述技术方案的优选,所述认证与权限管理系统还包括内置LDAP服务模块,用于实时更新安全管理信息或策略,并将这些安全管理信息或策略实时转换为应用能直接访问的应用安全策略。作为上述技术方案的优选,所述认证与权限管理系统还包括应用管理模块,用于对证书、用户信息、角色、资源与对象进行管理。作为上述技术方案的优选,所述认证与权限管理系统还包括安全传输模块,用于使系统中的信息进行安全传输。作为上述技术方案的优选,所述认证与权限管理系统支持建立分布式的认证与权限管理的云管理模式。本专利技术提出的认证与权限管理系统能满足用户业务要求的应用认证与权限管理3系统平台,实现对应用系统中用户身份、设备资源、角色权限、访问控制等安全信息和安全策略的集中统一管理。下面结合附图,对本专利技术的具体实施方式作进一步的详细说明。对于所属
的技术人员而言,从对本专利技术的详细说明中,本专利技术的上述和其他目的、特征和优点将显而易见。附图说明图1为本专利技术提出的认证与权限管理系统的示意图;图2为认证与权限管理系统的“云管理”结构示意图;图3为应用本地认证与权限管理模式示意图。具体实施例方式如图1所示,本专利技术提出的认证与权限管理系统包括身份认证模块,授权管理模块,权限委托管理模块,审计模块;其中所述身份认证模块用于对用户及设备的身份进行认证;所述授权管理模块用于对通过所述身份认证模块认证的用户进行基于用户和角色的授权管理;所述权限委托管理模块用于通过权限委托方式,将相关应用或操作委任给指定的用户;所述审计模块用于对应用提供安全审计。其中,所述认证与权限管理系统还可以包括内置LDAP服务模块,用于实时更新安全管理信息或策略,并将这些安全管理信息或策略实时转换为应用能直接访问的应用安全策略。所述认证与权限管理系统还可以包括应用管理模块,用于对证书、用户信息、角色、资源与对象进行管理。所述认证与权限管理系统还可以包括安全传输模块,用于使系统中的信息进行安全传输。所述认证与权限管理系统支持建立分布式的认证与权限管理的云管理模式。本专利技术所提出的认证与权限管理系统以身份管理、证书管理、资源管理、角色管理、安全标记和安全策略管理为内容的综合应用安全管理平台,它有以下功能特点1.基于用户和角色的授权管理。本系统支持基于用户和角色的授权管理机制,即安全管理员可以根据用户身份分配或根据角色(业务岗位)确定他们对资源的访问权限。2.基于权限委托的管理机制。本系统可以通过权限委托方式,将具体的与业务应用密切相关的安全管理细节委任给具体的适当人选,而高层管理人员或机构通过这种创建或取消权限委托的方式实现其管理意志。通过权限委托机制可以有效地实现“集中指挥、多级管理”的现实管理方式和管理要求,以最贴切的方式支持现有的业务管理流程。3.支持“最小特权”安全原则。本系统通过安全访问控制机制限制每个安全管理员对安全目录信息(包括身份、资源、角色、证书、安全标记、安全策略等)的管理权限,并通过管理权限的合理设置保证安全管理员拥有充分并且适当的管理范围和管理能力。4.可信管理。本系统建立在可信的目录服务平台上,支持基于证书的安全管理人员和管理设备的身份认证,保证管理人员和安全管理平台的身份可信;支持基于密码技术的安全目录信息传输和复制,保证安全目录服务内容的可信;通过信任传递机制保证安全管理平台的运行可信。5.实时高效。本系统通过应用内置LDAP服务减少应用在安全机制执行过程中的性能开销,提高系统的管理实时性和高效性。安全管理信息或安全策略的任何变化都会被实时更新到应用内置的LDAP服务中,并通过这些内置的LDAP目录服务相关工具将这些安全管理信息和安全策略实时转换为应用可以直接访问的应用安全策略;应用内置的LDAP 服务对于应用本身的安全执行机制是完全透明的,这种透明的管理模式既保证了安全管理的实时性,又避免了应用集中访问LDAP服务的计算和传输开销,提高了安全性能。6.高可用性结构。本系统支持的内置LDAP服务机制本质上保证了应用安全策略执行实体与安全管理系统之间的松耦合性,即使安全管理系统因为故障不能提供策略修改和查询服务,应用系统依然会基于本地保存的安全管理信息和安全策略实施安全控制。此外,该认证与权限管理系统还可以通过双机热备等方式提供安全管理的高可用性。采用该认证与权限管理系统的最大优势是首先,它以标准化技术为基础基础,很容易针对用户的实际系统进行定制;其次,它充分参考了实际的机构管理模式,使管理流程更符合用户要求;再次,另一方面,中铁信“睿安”认证与权限管理系统使用简单,容易维护和优化。解决方案示例铁路是一个“集中指挥、三级管理”的系统,在满足全路统一调度、统一指挥的前提下,铁道部、各路局和站段都有其各自独立的管理权限,因此铁路信息系统的认证与权限管理具有以下复杂性特点1.集中和统一的管理要求。为保障各管理层次范围内的系统安全运行,每级管理机构或部门必须有能力对其辖下业务和系统的安全运行策略实施统一管理、统一调度,保证管理的协调性和一致性,从而保证铁路运输的安全生产;2.多级管理体系。在服从上级统一指挥的前提下,各级单位应该有能力在自己的管理范围和管理权限内,制定与本单位业务相关的局部安全策略,以高效和有效地适应和满足自身业务的实际需求;铁路应用系统认证与权限管理系统的设计和建设目标就是满足铁路应用系统的安全管理要求,实现专业性的应用安全管理,遵循国家信息安全等级保护制度及相关标准。要满足上述要求,用户可以选择本专利技术的认证与权限管理系统作为集中的应用安全管理平台,它支持与铁路应用安全相关的人员、资源、角色、证书、安全标记和安全策略等内容的集中管理。各级管理数据库可以根据其用途性质定义其共享方式和共享范围。比如各路局在各自的人员身份管理过程中,可以从上级数据库中导入相关的人本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种认证与权限管理系统,其特征在于,所述认证与权限管理系统包括身份认证模块,授权管理模块,权限委托管理模块,审计模块;其中所述身份认证模块用于对用户及设备的身份进行认证;所述授权管理模块用于对通过所述身份认证模块认证的用户进行基于用户和角色的授权管理;所述权限委托管理模块用于通过权限委托方式,将相关应用或操作委任给指定的用户;所述审计模块用于对应用提供安全审计。2.根据权利要求1所述的认证与权限管理系统,其特征在于,所述认证与权限管理系统还包括内置LDAP服务模块,用于实时更...
【专利技术属性】
技术研发人员:白竟,李毓才,刘刚,杨健,孙绍钢,李晓勇,
申请(专利权)人:中铁信息计算机工程有限责任公司,中铁信弘远北京信息软件开发有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。