[发明专利]一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法

说明书

技术领域

本发明属于信息安全的身份托管和访问控制领域，具体涉及一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法。

背景技术

随着云计算、物联网等新型信息技术的发展，云服务提供商面临着如何适应这种新型的云服务身份管理模式、如何降低用户身份管理维护的成本、如何保证安全的用户身份鉴权等方面的巨大压力，由此诞生了一种新型的用户身份鉴权托管业务，即各云服务提供商将身份鉴权工作交付给云服务可信第三方(通常称为TIdP，Trusteeship Identity Provider)进行，从而减轻了服务提供商(Service Provider，SP)对用户进行身份管理的负担，使服务提供商更加专注于提高服务质量。

可信第三方在云服务模式下目前身份鉴权服务方式（通常称为传统的单点登录服务方式）已不能很好地解决用户跨域服务访问下安全的交换身份识别信息的需求，其表现在传统的单点登录服务主要存在如下问题：（1）多数采用OAuth协议作为传递用户身份鉴权信息的协议，该协议实现的功能相对不完善，仅包括登录和授权等简单功能，不能提供例如用户属性查询等复杂功能，另外，该协议要求所有用户都在一个用户组域内，并不能为云服务提供商提供安全且相对隔离的单点登录服务；（2）采用cookie保持用户登录鉴权状态实现的单点登录服务，不能解决跨DNS域的鉴权身份信息传递的问题，即存在于cookie内的登录状态不能从一个域传递到另一个域。因此需要一种机制让认证状态在不同的域间安全的传递（即一种在不同的服务间共享一种共同认可的用户身份机制），实现云服务形式下跨域的单点登录服务。

同时，目前的身份鉴权服务方式，无法控制服务提供商SP对其云资源的访问权限，无法在不影响所有SP的前提下单独撤销某一个SP的访问权限。因此需要一种安全机制实现跨域单点登录状态下对云资源的访问控制。

发明内容

本发明技术解决问题在于：克服现有技术的不足，提供一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法，实现一种安全机制实现跨域单点登录状态下对云资源的访问控制。

本发明技术解决方案：即各租户将其拥有的用户数据托管给可信的云服务TIdP，对于租户来说，对TIdP的单点登录服务是“独占”的，各个租户间的用户数据是彼此独立的，即组间的云资源是不可互访的、隔离的。在该方法中采用跨域且安全的身份识别信息交换机制生成的跨域安全凭证（如安全断言标记语言（Security Assertion Markup Language，SAML））用于在不同的安全域之间交换认证和授权信息，并采用细控制力度的云资源访问控制机制（如可扩展的访问控制标记语言（eXtensible Access Control Markup Language，XACML））依据租户内用户所在群组，目标资源以及对资源操作的类型进行控制和决策，并可实时对群组及群组的访问策略进行修改。该方法从整体上分为身份托管鉴权许可TIdP和云资源访问控制（主要包含策略执行服务模块和策略决策服务模块，策略执行服务模块主要由策略执行点（Policy Enforcement Point，PEP）负责处理功能；策略决策服务模块主要由策略决策点（Policy Decision Point，PDP）负责处理功能）两大耦合性较低的功能组件，使得云服务提供商SP方便安全的提供高质量的云服务，同时各功能组件具有良好的可拓展性，实现一种可插拔的多租户的鉴权托管云资源访问控制架构。

结合附图1，在吸取了已有解决方案的优点基础上，简要介绍本方案的基本技术思想，具体来说，主要包括下面的内容：

在本发明中为了应对云服务的这种新兴服务模式，将云服务提供商的云服务业务分为身份鉴权许可和云资源访问控制，身份鉴权许可业务托管给可信的第三方TIdP，负责管辖租户托管的用户信息和群组信息及完成托管用户的身份鉴权工作；云资源访问控制主要负责对用户所在的群组进行相应权限分配，并通过策略执行服务模块拦截解析该群组内的用户对云资源的访问请求，由策略决策服务模块依据群组的访问策略对该请求作出决策，交予策略执行模块执行该决策结果，现实对云资源安全细粒度的访问控制。