[发明专利]一种云环境下的身份和访问控制管理系统及方法

权利要求书

1.一种云环境下的身份和访问控制管理系统，其特征在于，包括：身份和访问控制管理系统IAM、用户端和应用服务端；

身份和访问控制管理系统IAM，接受用户端的身份信息的注册、更新、注销以及生成和销毁用户的数字身份证书；接受应用服务器端的服务注册，配置访问控制策略；完成用户端的身份验证，颁发用户端的认证票据；完成用户端的认证票据的验证，颁发用户端的授权票据；

用户端，向身份和访问控制管理系统IAM注册身份信息，获取数字身份证书，完成注册；通过身份和访问控制管理系统IAM验证身份，获取认证票据、授权票据，向应用服务端发送授权票据，完成资源服务的请求；

应用服务端，向身份和访问控制管理系统IAM注册资源服务；接受客户端用户的请求，验证用户端的授权票据，根据判断结果对用户端的请求做出响应；

用户与认证服务器之间通过数字身份证书完成双向认证；用户通过认证服务器的一次认证生成的认证票据，可以多次使用；

所述身份和访问控制管理系统IAM和应用服务端分别连接用户端，通过应用服务端实现对身份和访问控制管理系统IAM注册资源服务，通过身份和访问控制管理系统IAM对用户身份认证与访问控制管理；

所述身份和访问控制管理系统IAM包括：注册服务器、认证服务器、授权服务器、CA证书库、系统中心数据库和系统管理员；

注册服务器，接受用户的申请、更新用户信息、注销用户，颁发数字身份证书；当用户注册时，向用户颁发数字身份证书；当用户申请其他用户数字身份证书时，注册服务器验证用户身份，然后发放其他用户的数字身份证书；

认证服务器，验证用户的身份，颁发用户的认证票据，当用户登入认证系统时，通过验证用户的数字身份证书和静态口令，验证用户的身份信息，然后给用户发送认证票据；

授权服务器，验证用户的认证票据，结合用户请求的服务资源生成相应的授权票据发送给用户；当用户访问服务资源时，需要先向授权服务器申请授权票据，用户得到授权票据后才能访问服务资源；

CA证书库，储存备份所有的用户、认证服务器、授权服务器和应用服务器的数字身份证书；

系统中心数据库，存储用户信息以及授权服务器的访问控制策略；

系统管理员，包括管理系统中心数据库和CA证书库，查看用户信息和证书信息，配置和更新访问控制策略；

所述用户端包括：

客户端，提供包含身份管理接口、认证身份接口和访问服务接口的三大接口；身份管理接口与注册服务器交互完成用户身份信息的注册、更新和注销；认证身份接口与认证服务器交互完成用户身份的登录和退出；访问服务接口与授权服务器交互获取授权票据，使用授权票据向应用服务端请求服务资源。

2.一种云环境下的身份和访问控制管理方法，其特征在于，包括：用户与注册服务器的交互完成对用户的身份管理方法，以及用户与认证服务器、授权服务器、应用服务器的交互完成对用户的访问控制管理方法，当注册过的用户向应用服务端请求服务时，包括如下步骤：

1)用户发起服务请求，应用服务器检查用户是否携带授权票据，如果没有，则首先需要到认证服务器获取认证票据；

2)用户向认证服务器发送证明用户身份的信息，请求认证票据；

3)认证服务器验证用户身份信息，发送用户的认证票据；

4)用户收到认证票据，向授权服务器发送包含认证票据和请求资源描述符的消息；

5)授权服务器验证用户认证票据，根据请求资源描述符查询访问控制策略，对用户做出相应的授权票据并发送；

6)用户向应用服务器发送授权票据，请求服务资源；

7)应用服务器验证用户的授权票据，发送请求的服务资源；

所述身份管理方法进一步包括，注册服务器提供注册、更新、注销用户身份信息接口，为每一个用户，使用X509.v3协议生成用户的数字身份证书；

所述访问控制管理方法进一步包括，用户与认证服务器之间通过数字身份证书完成双向认证，另外需要验证用户的用户名和口令，才能生成用户的认证票据；用户通过认证服务器的一次认证生成的认证票据，可以多次使用；

所述访问控制管理方法进一步包括，用户获取访问资源服务，必须获取授权票据，授权服务器首先验证用户的认证票据的有效性，然后根据访问控制策略，给用户颁发授权票据。