:本发明涉及信息安全,具体涉及一种面向大数据平台的统一用户管理系统及方法。
背景技术
0、
背景技术:
1、随着信息技术的迅速发展,企业越来越依赖于各类信息系统提供的运营和支撑能力,随之各种业务系统不断发展,使用和维护业务系统的用户数量持续增加,网络规模日益扩大,一方面系统维护和管理人员的工作负担增加,工作效率受到严重影响;另一方面无法对各业务系统实现统一的安全策略,原有分散的“独立认证、独立授权、独立帐号管理”的模式容易造成私设账号、扩散帐号、非法访问、审计失效等情况,从而在实质上降低了业务系统的安全性,从而给企业造成严重的安全损失。因此,亟需构建一个完整统一、高效稳定、安全可靠的集中身份认证和管理平台。
技术实现思路
0、
技术实现要素:
1、针对上述问题,本发明提供了一种面向大数据平台的统一用户管理系统及方法,达到了统一资源管理和身份认证的目的。
2、一种面向大数据平台的内容识别系统,该系统包括:账号管理模块、认证管理模块、授权管理模块;
3、所述账号管理模块用于对用户账号和角色进行统一管理,将所有业务系统的用户账号以列表的形式存储在本模块,在抽取业务系统的用户时,将所述用户已有的权限也抽取出来存储在本模块;定义角色集合,为不同的账号分配不同的角色,将用户与角色绑定,当对角色授权时,角色所属用户将也被同等授权;定义账号管理策略,所述账号管理策略包括账号删除、新增、更新、账号密码更新周期,当业务系统的账号信息发生变化时,将变化后的账号信息同步至所述账号管理模块中,可根据本系统具体的应用场景设定账号密码更新周期;一般的,若本发明提供的一种面向大数据平台的内容识别系统被应用于通信运营商,则业务系统包括彩铃系统、彩信系统、通话系统等;一般的,角色可定义为管理员、运维人员、技术开发人员、数据访问请求者等;
4、所述授权管理模块用于对大数据平台各组件的资源及角色进行统一授权管理:按照统一要求将大数据平台各组件的资源进行注册,对所述资源及账号管理模块定义的所有角色进行统一授权;
5、所述认证管理模块用于进行身份鉴定,完成用户登录和访问控制:通过用户身份信息、访问请求和环境参数进行用户身份认证,用户身份认证通过后,用户登录目标业务系统,并完成访问控制;其中,所述用户身份信息包括用户名、口令、用户角色、所属组织机构,环境参数为ip地址;本模块还支持第三方认证,支持本系统与第三方系统如oa系统、4a系统之间的认证;同时本方法可以对接kerberose认证,所述kerberose认证是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。
6、优选的,所述系统还包括审计管理模块,所述审计管理模块用于实时记录用户的登录及操作行为,完成对用户的登录及操作行为的审计;若用户的环境参数发生变化、或操作行为与用户权限及资源权限不符时,则发出报警并记录用户异常行为。
7、优选的,对所述资源进行统一授权具体为:资源是否可被删除、更新、访问、更改;对所述账号管理模块定义的所有角色进行授权具体为:授权角色可实现对哪些资源的访问、删除、更改;
8、优选的,若用户所属角色的访问请求与所述资源的授权范围及角色的授权范围相符,则所述用户身份认证通过,具体的,匹配用户的身份信息、访问请求及环境参数,若用户名在授权列表内、口令合法,用户访问请求与其授权范围一致,所属组织机构及ip地址合法,则通过用户身份认证。
9、优选的,所述用户身份认证通过后通过单点登录的方式登录目标业务系统,提供用户单点登录,采用安全封装技术,封装用户登录后的认证状态信息,以安全方式传递到各个相关业务系统中,实现快捷、安全的单点登录,所述安全方式包括:口令加密传输、安全证书、https等方式。
10、一种面向大数据平台的统一用户管理方法,所述方法包括以下步骤:
11、步骤一:所有业务系统按照统一要求将自身资源进行注册;
12、步骤二:对注册的所有资源进行统一授权管理:授权资源是否可被删除、更新、访问、更改;对所有业务系统的所有角色进行统一授权管理:授权角色可实现对哪些资源的访问、删除、更改;并将授权的规则同步发送给各业务系统,所述授权的规则为基于资源-角色授权;
13、步骤三:将资源的授权信息及角色的授权信息同步至所述业务系统,所述同步的方法为调用api接口进行数据传输,达到同步,或通过数据库表-权限关系表同步数据;并设定同步周期,根据本发明提供的系统应用的具体场景设定同步周期;
14、步骤四:用户发起登录请求,并将所述登录请求提交至认证管理模块;
15、步骤五:认证管理模块通过用户的身份信息、访问请求及环境参数完成用户的身份验证;身份验证用过后,认证管理模块将所述用户的身份信息、访问请求及环境参数形成访问请求,并将所述访问请求提交给授权管理模块;
16、步骤六:授权管理模块形成包含用户的身份信息、访问请求及环境参数的决策请求;
17、步骤七:授权管理模块匹配用户的身份信息,验证用户所属角色的授权信息,形成用户访问控制策略;
18、步骤八:授权管理模块执行所述用户访问控制策略,将登录请求提交给所述目标业务系统;
19、步骤九:所述目标业务系统完成用户单点登录。
20、优选的,当业务系统的资源发生变更时,将更改后的资源进行注册,对更改后的资源重新授权后,同步至所述业务系统。
21、优选的,所述访问控制策略为:若用户的访问请求与用户所属角色权限及访问的目标资源权限一致,则允许访问;反之,则拒绝访问。
22、优选的,所述步骤一中资源注册的要求为:填写注册必要信息;所诉必要信息包括:大数据组件名称、ip地址、大数据平台类型、平台版本号。
23、本发明提供的一种面向大数据平台的统一用户管理系统及方法,实现了对各业务系统的资源及用户统一管理及授权,解决了多套系统的多套账号、多套口令、多套安全策略,无法进行统一管理的问题,同时,业务系统的资源、账号及授权范围可实时同步至本发明的系统中,因此具有良好的交互性和安全的授权操作机制,降低授权管失误的风险。
1.一种面向大数据平台的统一用户管理系统,其特征在于,所述系统包括:账号管理模块、认证管理模块、授权管理模块;
2.如权利要求1所述的一种面向大数据平台的统一用户管理系统,其特征在于,所述系统还包括审计管理模块,所述审计管理模块用于实时记录用户的登录及操作行为,完成对用户的登录及操作行为的审计。
3.如权利要求1所述的一种面向大数据平台的统一用户管理系统,其特征在于,对所述资源进行统一授权具体为:资源是否可被删除、更新、访问、更改;对所述账号管理模块定义的所有角色进行授权具体为:授权角色可实现对哪些资源的访问、删除、更改。
4.如权利要求3所述的一种面向大数据平台的统一用户管理系统,其特征在于,若用户所属角色的访问请求与所述资源的授权范围及角色的授权范围相符,则所述用户身份认证通过。
5.如权利要求4所述的一种面向大数据平台的统一用户管理系统,其特征在于,所述用户身份认证通过后通过单点登录的方式登录目标业务系统。
6.一种面向大数据平台的统一用户管理方法,其特征在于,所述方法包括以下步骤:
7.如权利要求6所述的一种面向大数据平台的统一用户管理方法,其特征在于,当业务系统的资源发生变更时,将更改后的资源进行注册,对更改后的资源重新授权后,同步至所述业务系统。
8.如权利要求6所述的一种面向大数据平台的统一用户管理方法,其特征在于,所述访问控制策略为:若用户的访问请求与用户所属角色权限及访问的目标资源权限一致,则允许访问;反之,则拒绝访问。
9.如权利要求6所述的一种面向大数据平台的统一用户管理方法,其特征在于,所述步骤一中资源注册的要求为:填写注册必要信息;所诉必要信息包括:大数据组件名称、ip地址、大数据平台类型、平台版本号。