基于资源服务管理系统安全认证网关分布式配置管理方法
【专利摘要】本发明公开了一种基于资源服务管理系统安全认证网关分布式配置管理方法,安全认证网关利用本地配置模块完成基础配置工作、利用资源同步程序将资源信息从本地资源服务管理系统同步到安全认证网关中;本地资源管理服务系统审核异地安全认证网关对本地共享资源访问请求,该请求审核通过后,由双方的资源服务管理系统下发策略,资源同步程序配置到各自的安全认证网关设备配置库中并通知安全认证网关执行程序执行新的策略。本发明的积极效果是:配置工作分工明确,配置信息自动同步;配置处理逻辑简单;策略分发处理效率很高,不会给系统带来很大的开销;支持控制策略的实时响应;采用“分级部署,二次审核”思想,分布式的共享资源访问请求模型严密。
【专利说明】基于资源服务管理系统安全认证网关分布式配置管理方法
【技术领域】
[0001]本发明涉及一种基于资源服务管理系统安全认证网关分布式配置管理方法,通过资源服务管理系统与资源同步程序相结合的方式,同步配置安全认证网关,控制用户的本地或跨域访问行为。
【背景技术】
[0002]通用的安全认证网关设备策略配置方法为设备提供配置界面,如web界面或专用的配置管理系统,在配置界面中完成自身设备的诸如网络地址等运行策略配置以及与其他设备交互的策略配置。
[0003]安全认证网关串联于用户访问受保护应用的网络路径之中,用户的行为通常需要经过安全认证网关身份认证和权限控制两部分,二者在安全认证网关的配置中涉及到用户信息,受保护应用信息以及访问权限配置。用户的访问行为分为本地访问和跨域访问,本地访问即用户在身份认证成功后访问本地服务,跨域访问指用户在身份认证成功后访问异地网关所保护的后台应用服务。在通用的策略配置模式下,用户的跨域访问行为需要安全认证网关之间进行交互配置,特别是在多台安全认证网关的情况下,不同安全认证网关管理不同的用户,保护不同的应用资源时,用户通过安全认证网关互访应用资源时,需要手工将用户,应用,权限信息配置到用户访问路径所经过的安全认证网关中,并且由于安全认证网关的管理域不同,配置工作十分复杂、耗时。
【发明内容】
[0004]为了克服现有技术的上述缺点,本发明提供了一种基于资源服务管理系统安全认证网关分布式配置管理方法,在安全认证网关通用的策略配置方法基础上,提供一个能够分布式配置的方法,它依赖于资源服务管理系统。安全认证网关直接对接一个本地资源管理服务系统即可获取全网的资源共享信息,用户只需在本地资源管理系统即可完成用户对全网共享信息资源访问的配置工作。用户可根据自己的需求选择分布式配置模型以支持安全认证网关的分布式应用。
[0005]本发明解决其技术问题所采用的技术方案是:一种基于资源服务管理系统安全认证网关分布式配置管理方法,安全认证网关利用本地配置模块完成基础配置工作、利用资源同步程序将资源信息从本地资源服务管理系统同步到安全认证网关中;本地资源管理服务系统审核地安全认证网关对本地共享资源访问请求,该请求审核通过后,由双方的资源管理系统下发策略,资源同步程序配置到各自的安全认证网关设备配置库中并通知安全认证网关执行程序执行新的策略。
[0006]与现有技术相比,本发明的积极效果是:
[0007]I)安全认证网关的配置工作分为本地配置和资源同步两部分,分工明确,配置信息自动同步;
[0008]2)在进行分布式配置管理中,配置处理逻辑简单,安全认证网关资源同步程序只需与本地的资源服务管理系统交互,配置简单;
[0009]3)策略分发处理效率很高,不会给系统带来很大的开销;
[0010]4)可以支持控制策略的实时响应。策略修改后,控制方式相应修改,不用重新启动安全认证网关设备;
[0011]5)采用“分级部署,二次审核”思想,分布式的共享资源访问请求模型严密,即异地的安全认证网关访问本地的安全认证网关所代理的共享应用时,由异地资源服务管理系统发出用户访问本地共享应用请求,由本地资源服务管理系统审核后方生效。
【专利附图】
【附图说明】
[0012]本发明将通过例子并参照附图的方式说明,其中:
[0013]图1是安全认证网关分布式配置模型;
[0014]图2用户进行异地访问的配置流程。
【具体实施方式】
[0015]如图1所示,一种基于资源服务管理系统安全认证网关分布式配置管理方法,包括安全认证网关资源同步程序和安全认证网关策略执行程序,安全认证网关通过本地资源服务管理系统资源同步程序获取用户资源,应用资源,网络资源,设备资源等可共享的资源同步消息,收集分布式的策略配置信息,利用策略执行程序实时执行分布式的配置访问请求,其中:
[0016]一、安全认证网关资源同步程序包括以下功能:
[0017]安全认证网关监控资源服务管理系统消息变动,处理用户资源,应用资源,网络规则资源,网络设备等可共享资源信息,判断资源的地域属性,通过用户资源中的属性证书信息解析权限信息,为策略执行程序提供依据,能实时响应策略变化,策略更改后,通知策略执行程序更改策略。
[0018]资源同步程序适用于Linux操作系统,资源同步程序应能随计算机开机自动启动,对计算机启动后执行的进程进行系统配置同步监控,使用步骤如下:
[0019]I)启用策略配置同步程序;
[0020]2)在资源服务管理系统中注册本地网关设备同步标识;
[0021]3)监听资源服务管理系统消息配置变化;
[0022]4)接收新的配置消息;
[0023]5)获取消息对象类型的唯一编码值,解析配置消息类型,调用对应消息对象类型的解析模块,包括用户消息中证书解析,用户消息中的属性证书权限解析,用户证书中的从账号,密码解析,应用资源解析,网络规则资源解析,安全认证网关设备地域属性信息,解析全网认证网关设备网络结构,解析共享用户资源,共享应用资源等资源信息;
[0024]6)将解析结果存入数据库或通知本地网关设备策略执行程序执行。
[0025]二、安全认证网关策略执行程序包括以下功能:
[0026]接收资源同步程序的配置信息内容,判断执行体网关设备的地域属性,区分本地或异地的配置,并根据策略信息执行用户认证,用户访问控制,用户网络控制流程以及跨域认证流程,响应及时。
[0027]安全网关策略执行程序,可接受并解析网关配置同步程序下发的各类策略信息和通知信息,具体要求有:能基于用户的用户信息进行身份识别;能基于用户的权限信息进行权限控制;能基于用户的网络规则信息进行用户访问行为的网络控制;能够对非本域用户进行认证;能够对非本域用户的访问行为进行控制;能基于网络设备安全认证网关的地域信息进行跨域访问。
[0028]安全认证网关工作的要素由用户,应用资源,权限组成。安全认证网关的配置过程分为本地配置和资源同步配置两个过程。本地配置依赖于安全认证网关设备自身的配置界面完成,主要进行一些基础配置工作,如地址,参数属性,本地资源服务管理系统地址等;资源同步配置主要处理用户,资源,权限信息,根据“分级部署,二次审核”的思想,将具有共享属性的策略配置信息如用户,受保护的应用资源信息,网络规则信息,权限信息通过资源服务管理系统进行统一管理配置,以便于利用资源服务管理系统的分布式特性对安全认证网关进行分布式管理,大大简化安全认证网关的配置管理工作。
[0029]本发明采用的技术方案如下:一种基于资源服务管理系统的安全认证网关分布式配置方法,其具体方法为:
[0030]一、每台安全认证网关或多台安全认证网关配置一台资源服务管理系统;
[0031]二、安全认证网关利用本地配置模块完成基础配置工作;
[0032]三、安全认证网关利用资源同步程序将本地用户,应用,权限,规则资源信息等从本地资源服务管理系统同步到安全认证网关中;资源同步程序可通过一定协议格式如消息队列的形式与本地资源管理服务系统通信并进行同步工作;
[0033]四、在资源服务管理系统中将需要共享的用户、应用资源等进行共享操作;本地资源资源管理服务系统可将共享资源同步到有共享访问需求的安全认证网关所对应的资源服务管理系统列表中,在这一步执行完成后,可支持用户在本地安全认证网关的访问行为;
[0034]五、在本地资源管理服务系统审核异地安全认证网关对本地共享资源访问请求;请求审批成功后,由双方的资源管理系统下发策略,资源同步程序配置到各自的安全认证网关设备配置库中并通知安全认证网关执行程序执行新的策略:
[0035]资源服务管理系统可采用级联或星型部署模式,利用“分级部署,二次审核”思想,对异地安全认证网关对本地共享资源进行审核处理,审核成功后,在本地资源服务管理系统将异地安全认证网关设备信息及权限信息同步到本地安全认证网关中之后,用户即可通过异地安全认证网关访问后台应用系统;
[0036]安全认证网关策略执行程序根据资源同步程序的结果或通知要求即时执行策略,保证策略生效的及时性。
[0037]用户进行异地访问的配置流程如图2所示,包括如下步骤:
[0038]I)本地安全认证网关通过本地配置模块完成基础配置,本地资源服务管理系统录入本地用户,应用资源信息,配置权限信息,并通过资源同步程序同步到本地安全认证网关,完成用户本地访问所需配置信息;
[0039]2)本地资服务源管理系统从异地资源服务管理系统获取需要访问的共享服务并向其共享发起访问的本地用户信息;
[0040]3)本地资源服务管理系统向异地资源服务管理系统发起共享资源访问请求;
[0041]4)异地资源服务管理系统接收共享的本地用户信息并审核批准该用户的共享资源访问请求。异地资源服务管理系统将审核后的用户及访问权限信息同步到其所管辖的异地安全认证网关中;
[0042]5)本地资源服务管理系统获取共享资源访问请求审核结果,如果审核成功,将该共享应用信息,用户访问权限信息,以及异地网关的网络结构信息下发给本地安全认证网关完成用户跨域访问的配置需求;
[0043]6)用户启动安全认证网关客户端,向本地安全认证网关发起身份认证请求;
[0044]7)本地安全认证网关验证用户身份后,下发用户令牌及有权限访问的本地或异地应用资源信息及网络结构列表;
[0045]8)用户访问异地共享应用资源时,安全认证网关客户端查找网络结构列表后连接异地安全认证网关进行基于用户令牌的二次验证;
[0046]9)异地安全认证网关验证用户身份信息成功后,由于第4)步已经同步该用户的访问权限信息,异地安全认证网关判断用户权限后将连接后台应用服务器并为安全认证客户端返回一个新的应用会话连接。
【权利要求】
1.一种基于资源服务管理系统安全认证网关分布式配置管理方法,其特征在于:安全认证网关利用本地配置模块完成基础配置工作、利用资源同步程序将资源信息从本地资源服务管理系统同步到安全认证网关中;本地资源管理服务系统审核异地安全认证网关对本地共享资源访问请求,该请求审核通过后,由双方的资源服务管理系统下发策略,资源同步程序配置到各自的安全认证网关设备配置库中并通知安全认证网关执行程序执行新的策略。
2.根据权利要求1所述的基于资源服务管理系统安全认证网关分布式配置管理方法,其特征在于:所述资源同步程序用于监控资源服务管理系统消息变动,处理共享资源信息,判断资源的地域属性,通过用户资源中的属性证书信息解析权限信息,为策略执行程序提供依据,实时响应策略变化,策略更改后,通知策略执行程序更改策略。
3.根据权利要求1所述的基于资源服务管理系统安全认证网关分布式配置管理方法,其特征在于:所述资源同步程序包括如下步骤: 1)启用策略配置同步程序; 2)在资源服务管理系统中注册本地网关设备同步标识; 3)监听资源服务管理系统消息配置变化; 4)接收新的配置消息; 5)获取消息对象类型的唯一编码值,解析配置消息类型,调用对应消息对象类型的解析模块; 6)将解析结果存入数据库或通知本地网关设备策略执行程序执行。
4.根据权利要求1所述的基于资源服务管理系统安全认证网关分布式配置管理方法,其特征在于:所述异地安全认证网关对本地共享资源访问的配置流程包括如下步骤: 1)本地安全认证网关通过本地配置模块完成基础配置,本地资源服务管理系统录入信息,并通过资源同步程序同步到本地安全认证网关,完成用户本地访问所需配置信息; 2)本地资服务源管理系统从异地资源服务管理系统获取需要访问的共享服务并向其共享发起访问请求的本地用户信息; 3)本地资源服务管理系统向异地资源服务管理系统发起共享资源访问请求; 4)异地资源服务管理系统接收共享的本地用户信息,对用户的共享资源访问请求进行审核,并将审核后的用户及访问权限信息同步到其所管辖的异地安全认证网关中; 5)本地资源服务管理系统获取共享资源访问请求审核结果,如果审核成功,将该共享应用信息,用户访问权限信息,以及异地网关的网络结构信息下发给本地安全认证网关,完成用户跨域访问的配置需求; 6)用户启动安全认证网关客户端,向本地安全认证网关发起身份认证请求; 7)本地安全认证网关验证用户身份后,下发用户令牌及有权限访问的本地或异地应用资源信息及网络结构列表; 8)用户访问异地共享应用资源时,安全认证网关客户端查找网络结构列表后连接异地安全认证网关进行基于用户令牌的二次验证; 9)异地安全认证网关验证用户身份信息成功后,连接后台应用服务器并为安全认证客户端返回一个新的应用会话连接。
【文档编号】H04L29/06GK104333556SQ201410649679
【公开日】2015年2月4日 申请日期:2014年11月14日 优先权日:2014年11月14日
【发明者】杨宇, 方鸣睿, 汪仕兵, 秦凯, 刘小华, 邢朝阳, 原蓓蓓, 吴荣政, 张博 申请人:成都卫士通信息安全技术有限公司