[发明专利]一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法有效
| 申请号: | 201310530185.2 | 申请日: | 2013-10-31 |
| 公开(公告)号: | CN103532981A | 公开(公告)日: | 2014-01-22 |
| 发明(设计)人: | 王雅哲;王瑜;汪洋;寇睿明 | 申请(专利权)人: | 中国科学院信息工程研究所 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/08;H04L9/32 |
| 代理公司: | 北京科迪生专利代理有限责任公司 11251 | 代理人: | 成金玉;杨学明 |
| 地址: | 100093 北京市海淀区闵*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 面向 租户 身份 托管 鉴权云 资源 访问 控制系统 控制 方法 | ||
1.一种面向多租户的身份托管鉴权云资源访问控制系统,其特征在于:将云服务提供商的云服务业务分为用户身份鉴权许可部分和基于用户组级的云资源访问控制部分;用户身份鉴权许可部分的许可业务托管给可信的第三方TIdP,并由TIdP负责管辖租户托管的用户信息和群组信息,完成托管用户的用户身份鉴权工作及生成包含身份识别信息的跨域安全凭证服务;基于用户组级的云资源访问控制部分主要负责对已完成用户身份鉴权许可业务的用户所在的群组进行相应权限分配,并拦截解析该群组内的用户对云资源的访问请求,依据群组的访问策略对该请求做出决策,然后执行该决策结果,实现对云资源安全用户组级别的访问权限的控制。
2.根据权利要求1所述的面向多租户的身份托管鉴权云资源访问控制系统,其特征在于:所述身份鉴权许可模块包括用户身份提供服务模块、用户身份验证服务模块、用户属性查询服务模块、数据通信服务模块和数据库;所述用户身份提供服务模块包括云服务提供商通信模块、生成断言模块和认证断言模块;
所述跨域安全凭证包括基于云模式单点登录服务的跨域安全凭证生成服务和基于跨域安全凭证的云模式单点登录服务;
在基于云模式单点登录服务的跨域安全凭证生成服务时,云服务提供商通信模块接收服务提供商传递的用户登录请求,将该请求中获得的用户身份验证信息发送至用户身份验证服务模块,该用户身份验证服务模块将用户身份信息作为查询条件传递给数据通信服务模块,数据通信服务模块通过查询数据源得到结果集,并将结果集判定是否为空的标志及用户标识、用户所在群组作为验证结果,返回至用户身份验证服务模块,至此用户身份验证服务模块完成用户身份的验证,并将验证结果返回至生成断言模块,该生成断言模块生成该用户的跨域安全凭据,作为用户进行跨域访问的凭据;
在基于跨域安全凭证的云模式单点登录服务时,云服务提供商通信模块接收服务提供商传递的跨域安全凭证的认证断言请求,并将该认证断言请求传递给认证断言模块,认证断言模块判断该断言请求有效性,若此断言请求有效则解析断言请求;该断言请求被解析后,将断言请求中的用户身份验证信息发送至用户身份验证服务模块,该用户身份验证服务模块将用户身份信息作为查询条件传递给数据通信服务模块,数据通信服务模块通过查询数据源得到结果集,并将结果集判定是否为空的标志返回至用户身份验证服务模块,至此用户身份验证服务模块完成用户身份的验证,并将验证结果返回至认证断言模块,作为用户已跨域登录的凭据。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国科学院信息工程研究所,未经中国科学院信息工程研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201310530185.2/1.html,转载请声明来源钻瓜专利网。
