[发明专利]一种云环境下的身份和访问控制管理系统及方法

摘要

本发明公开了一种云环境下的身份和访问控制管理系统及方法，系统包括身份和访问控制管理系统(IAM)、用户端和应用服务端。针对不同的应用服务，集成身份认证，统一用户管理，遵循身份认证与访问控制分离的原则，实现用户的身份和访问控制管理。在用户身份信息管理方面，从用户身份生成到注销，注册服务为用户提供自助服务；在用户认证方面，采用双因素认证技术，实现用户和认证服务器的双向认证，并颁发认证票据实现一次认证，多次使用；在访问控制管理方面，基于用户组的角色访问控制策略，管理用户的访问权限，授权服务器颁发给用户授权票据。本发明方便了用户管理身份信息，避免了多次认证，增强了认证的安全，防止了非授权用户非法访问。

主权项

1.一种云环境下的身份和访问控制管理系统，其特征在于，包括：身份和访问控制管理系统IAM、用户端和应用服务端；身份和访问控制管理系统IAM，接受用户端的身份信息的注册、更新、注销以及生成和销毁用户的数字身份证书；接受应用服务器端的服务注册，配置访问控制策略；完成用户端的身份验证，颁发用户端的认证票据；完成用户端的认证票据的验证，颁发用户端的授权票据；用户端，向身份和访问控制管理系统IAM注册身份信息，获取数字身份证书，完成注册；通过身份和访问控制管理系统IAM验证身份，获取认证票据、授权票据，向应用服务端发送授权票据，完成资源服务的请求；应用服务端，向身份和访问控制管理系统IAM注册资源服务；接受客户端用户的请求，验证用户端的授权票据，根据判断结果对用户端的请求做出响应；用户与认证服务器之间通过数字身份证书完成双向认证；用户通过认证服务器的一次认证生成的认证票据，可以多次使用；所述身份和访问控制管理系统IAM和应用服务端分别连接用户端，通过应用服务端实现对身份和访问控制管理系统IAM注册资源服务，通过身份和访问控制管理系统IAM对用户身份认证与访问控制管理；所述身份和访问控制管理系统IAM包括：注册服务器、认证服务器、授权服务器、CA证书库、系统中心数据库和系统管理员；注册服务器，接受用户的申请、更新用户信息、注销用户，颁发数字身份证书；当用户注册时，向用户颁发数字身份证书；当用户申请其他用户数字身份证书时，注册服务器验证用户身份，然后发放其他用户的数字身份证书；认证服务器，验证用户的身份，颁发用户的认证票据，当用户登入认证系统时，通过验证用户的数字身份证书和静态口令，验证用户的身份信息，然后给用户发送认证票据；授权服务器，验证用户的认证票据，结合用户请求的服务资源生成相应的授权票据发送给用户；当用户访问服务资源时，需要先向授权服务器申请授权票据，用户得到授权票据后才能访问服务资源；CA证书库，储存备份所有的用户、认证服务器、授权服务器和应用服务器的数字身份证书；系统中心数据库，存储用户信息以及授权服务器的访问控制策略；系统管理员，包括管理系统中心数据库和CA证书库，查看用户信息和证书信息，配置和更新访问控制策略；所述用户端包括：客户端，提供包含身份管理接口、认证身份接口和访问服务接口的三大接口；身份管理接口与注册服务器交互完成用户身份信息的注册、更新和注销；认证身份接口与认证服务器交互完成用户身份的登录和退出；访问服务接口与授权服务器交互获取授权票据，使用授权票据向应用服务端请求服务资源。