[发明专利]一种云环境下的身份和访问控制管理系统及方法

说明书

本发明公开了一种云环境下的身份和访问控制管理系统及方法，系统包括身份和访问控制管理系统(IAM)、用户端和应用服务端。针对不同的应用服务，集成身份认证，统一用户管理，遵循身份认证与访问控制分离的原则，实现用户的身份和访问控制管理。在用户身份信息管理方面，从用户身份生成到注销，注册服务为用户提供自助服务；在用户认证方面，采用双因素认证技术，实现用户和认证服务器的双向认证，并颁发认证票据实现一次认证，多次使用；在访问控制管理方面，基于用户组的角色访问控制策略，管理用户的访问权限，授权服务器颁发给用户授权票据。本发明方便了用户管理身份信息，避免了多次认证，增强了认证的安全，防止了非授权用户非法访问。

技术领域

本发明属于云计算的信息安全领域，涉及一种云环境下的身份和访问控制管理系统及方法。

背景技术

云计算是一种商业模式，它将计算任务分布在大量计算机构成的资源池上，使用户能够按需获取计算力、存储空间和信息服务。云计算按照服务类型大致可以分为如所示的三种服务，即IaaS将基础设施作为服务、PaaS将平台作为服务和SaaS将软件作为服务。IaaS将硬件设备等基础资源封装成服务供用户使用，如Amazon云计算AWS(Amazon WebServices)的弹性计算云EC2和简单S3。PaaS对资源的抽象层次更进一步他提供用户应用程序的环境，典型的如Google App Engine和微软的云计算操作系统Microsoft WindowsAzure。SaaS的针对性更强，它将某些特定的应用软件功能封装成服务，例如Saleforce公司提供的在线客户关系管理CRM(Client Relationship Management)服务。SaaS与IaaS和PaaS不同之处是只提供某些专门用途的服务供调用，既不像IaaS提供运行用户自定义应用程序的环境，也不像PaaS一样提供计算或存储资源类型的服务。

由于云计算是多种技术的混合演进的结果，其成熟度较高，越来越多的企业把自己的应用部署到云上,然而管理身份和访问企业应用程序的控制仍然是当今的IT面临的最大挑战之一。在实施云环境下的身份和访问控制管理的过程中，面临诸多风险，例如，恶意的内部成员、不安全的应用程序接口、共享技术隐患、账户和服务攻击、主权变更、不同系统统一账号管理、安全认证等。针对以上问题，虽然在云环境下的身份和访问控制管理中没有统一的标准，但是在国内外已经有了成熟的产品和解决方案。

在身份管理方面，目前存在以下的解决方案：

1)点对点身份复制模式:在系统之间建立一套复杂的用户数据转换和复制机制，将用户账号信息从一个应用系统复制到其它应用系统，以达到共享不同系统的用户信息的目的。

2)用户账号映射：认证服务组件通过创建映射表,使用内部唯一标识符来映射用户在不同应用系统中的身份。当用户要访问目标应用系统时，认证服务组件查询映射表并检查用户的访问权限。

3)基于代理的统一用户管理模式：该方式通过在各个应用系统上安装转换引擎的方法，将应用系统中不同结构的用户数据转换成平台上统一的数据模型。

4)单点登录:单点登录解决方案能完成用户登录不同安全域的应用，目前标准不统一。

在访问控制管理方面，国内外有以下产品：

1)比如CA公司的eTrust；

2)IBM公司的Tivoli系列产品；

3)国内数字校园的统一认证系统；

以上所述的解决方案和产品一定程度上解决了云环境下的身份和访问控制管理面临的风险，但是仍存在以下问题：

1)权限变更困难，当用户发生职位变更或离职时，就需要对他所在的所有应用系统中的访问权限进行谨慎地修改并且繁琐。

2)不同的应用系统使用同一帐号，集成困难，产品的功能不完善，如缺乏对单点登录的支持。