法律状态公告日
法律状态信息
法律状态
2017-09-15
授权
授权
2015-03-11
实质审查的生效 IPC(主分类):H04L29/06 申请日:20141114
实质审查的生效
2015-02-04
公开
公开
技术领域
本发明涉及一种基于资源服务管理系统安全认证网关分布式配置管理方 法,通过资源服务管理系统与资源同步程序相结合的方式,同步配置安全认证 网关,控制用户的本地或跨域访问行为。
背景技术
通用的安全认证网关设备策略配置方法为设备提供配置界面,如web界面 或专用的配置管理系统,在配置界面中完成自身设备的诸如网络地址等运行策 略配置以及与其他设备交互的策略配置。
安全认证网关串联于用户访问受保护应用的网络路径之中,用户的行为通 常需要经过安全认证网关身份认证和权限控制两部分,二者在安全认证网关的 配置中涉及到用户信息,受保护应用信息以及访问权限配置。用户的访问行为 分为本地访问和跨域访问,本地访问即用户在身份认证成功后访问本地服务, 跨域访问指用户在身份认证成功后访问异地网关所保护的后台应用服务。在通 用的策略配置模式下,用户的跨域访问行为需要安全认证网关之间进行交互配 置,特别是在多台安全认证网关的情况下,不同安全认证网关管理不同的用户, 保护不同的应用资源时,用户通过安全认证网关互访应用资源时,需要手工将 用户,应用,权限信息配置到用户访问路径所经过的安全认证网关中,并且由 于安全认证网关的管理域不同,配置工作十分复杂、耗时。
发明内容
为了克服现有技术的上述缺点,本发明提供了一种基于资源服务管理系统 安全认证网关分布式配置管理方法,在安全认证网关通用的策略配置方法基础 上,提供一个能够分布式配置的方法,它依赖于资源服务管理系统。安全认证 网关直接对接一个本地资源管理服务系统即可获取全网的资源共享信息,用户 只需在本地资源管理系统即可完成用户对全网共享信息资源访问的配置工作。 用户可根据自己的需求选择分布式配置模型以支持安全认证网关的分布式应 用。
本发明解决其技术问题所采用的技术方案是:一种基于资源服务管理系统 安全认证网关分布式配置管理方法,安全认证网关利用本地配置模块完成基础 配置工作、利用资源同步程序将资源信息从本地资源服务管理系统同步到安全 认证网关中;本地资源管理服务系统审核地安全认证网关对本地共享资源访问 请求,该请求审核通过后,由双方的资源管理系统下发策略,资源同步程序配 置到各自的安全认证网关设备配置库中并通知安全认证网关执行程序执行新 的策略。
与现有技术相比,本发明的积极效果是:
1)安全认证网关的配置工作分为本地配置和资源同步两部分,分工明确, 配置信息自动同步;
2)在进行分布式配置管理中,配置处理逻辑简单,安全认证网关资源同 步程序只需与本地的资源服务管理系统交互,配置简单;
3)策略分发处理效率很高,不会给系统带来很大的开销;
4)可以支持控制策略的实时响应。策略修改后,控制方式相应修改,不 用重新启动安全认证网关设备;
5)采用“分级部署,二次审核”思想,分布式的共享资源访问请求模型 严密,即异地的安全认证网关访问本地的安全认证网关所代理的共享应用时, 由异地资源服务管理系统发出用户访问本地共享应用请求,由本地资源服务管 理系统审核后方生效。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1是安全认证网关分布式配置模型;
图2用户进行异地访问的配置流程。
具体实施方式
如图1所示,一种基于资源服务管理系统安全认证网关分布式配置管理方 法,包括安全认证网关资源同步程序和安全认证网关策略执行程序,安全认证 网关通过本地资源服务管理系统资源同步程序获取用户资源,应用资源,网络 资源,设备资源等可共享的资源同步消息,收集分布式的策略配置信息,利用 策略执行程序实时执行分布式的配置访问请求,其中:
一、安全认证网关资源同步程序包括以下功能:
安全认证网关监控资源服务管理系统消息变动,处理用户资源,应用资源, 网络规则资源,网络设备等可共享资源信息,判断资源的地域属性,通过用户 资源中的属性证书信息解析权限信息,为策略执行程序提供依据,能实时响应 策略变化,策略更改后,通知策略执行程序更改策略。
资源同步程序适用于Linux操作系统,资源同步程序应能随计算机开机自 动启动,对计算机启动后执行的进程进行系统配置同步监控,使用步骤如下:
1)启用策略配置同步程序;
2)在资源服务管理系统中注册本地网关设备同步标识;
3)监听资源服务管理系统消息配置变化;
4)接收新的配置消息;
5)获取消息对象类型的唯一编码值,解析配置消息类型,调用对应消息 对象类型的解析模块,包括用户消息中证书解析,用户消息中的属性证书权限 解析,用户证书中的从账号,密码解析,应用资源解析,网络规则资源解析, 安全认证网关设备地域属性信息,解析全网认证网关设备网络结构,解析共享 用户资源,共享应用资源等资源信息;
6)将解析结果存入数据库或通知本地网关设备策略执行程序执行。
二、安全认证网关策略执行程序包括以下功能:
接收资源同步程序的配置信息内容,判断执行体网关设备的地域属性,区 分本地或异地的配置,并根据策略信息执行用户认证,用户访问控制,用户网 络控制流程以及跨域认证流程,响应及时。
安全网关策略执行程序,可接受并解析网关配置同步程序下发的各类策略 信息和通知信息,具体要求有:能基于用户的用户信息进行身份识别;能基于 用户的权限信息进行权限控制;能基于用户的网络规则信息进行用户访问行为 的网络控制;能够对非本域用户进行认证;能够对非本域用户的访问行为进行 控制;能基于网络设备安全认证网关的地域信息进行跨域访问。
安全认证网关工作的要素由用户,应用资源,权限组成。安全认证网关的 配置过程分为本地配置和资源同步配置两个过程。本地配置依赖于安全认证网 关设备自身的配置界面完成,主要进行一些基础配置工作,如地址,参数属性, 本地资源服务管理系统地址等;资源同步配置主要处理用户,资源,权限信息, 根据“分级部署,二次审核”的思想,将具有共享属性的策略配置信息如用户, 受保护的应用资源信息,网络规则信息,权限信息通过资源服务管理系统进行 统一管理配置,以便于利用资源服务管理系统的分布式特性对安全认证网关进 行分布式管理,大大简化安全认证网关的配置管理工作。
本发明采用的技术方案如下:一种基于资源服务管理系统的安全认证网关 分布式配置方法,其具体方法为:
一、每台安全认证网关或多台安全认证网关配置一台资源服务管理系统;
二、安全认证网关利用本地配置模块完成基础配置工作;
三、安全认证网关利用资源同步程序将本地用户,应用,权限,规则资源 信息等从本地资源服务管理系统同步到安全认证网关中;资源同步程序可通过 一定协议格式如消息队列的形式与本地资源管理服务系统通信并进行同步工 作;
四、在资源服务管理系统中将需要共享的用户、应用资源等进行共享操作; 本地资源资源管理服务系统可将共享资源同步到有共享访问需求的安全认证 网关所对应的资源服务管理系统列表中,在这一步执行完成后,可支持用户在 本地安全认证网关的访问行为;
五、在本地资源管理服务系统审核异地安全认证网关对本地共享资源访问 请求;请求审批成功后,由双方的资源管理系统下发策略,资源同步程序配置 到各自的安全认证网关设备配置库中并通知安全认证网关执行程序执行新的 策略:
资源服务管理系统可采用级联或星型部署模式,利用“分级部署,二次审 核”思想,对异地安全认证网关对本地共享资源进行审核处理,审核成功后, 在本地资源服务管理系统将异地安全认证网关设备信息及权限信息同步到本 地安全认证网关中之后,用户即可通过异地安全认证网关访问后台应用系统;
安全认证网关策略执行程序根据资源同步程序的结果或通知要求即时执 行策略,保证策略生效的及时性。
用户进行异地访问的配置流程如图2所示,包括如下步骤:
1)本地安全认证网关通过本地配置模块完成基础配置,本地资源服务管 理系统录入本地用户,应用资源信息,配置权限信息,并通过资源同步程序同 步到本地安全认证网关,完成用户本地访问所需配置信息;
2)本地资服务源管理系统从异地资源服务管理系统获取需要访问的共享 服务并向其共享发起访问的本地用户信息;
3)本地资源服务管理系统向异地资源服务管理系统发起共享资源访问请 求;
4)异地资源服务管理系统接收共享的本地用户信息并审核批准该用户的 共享资源访问请求。异地资源服务管理系统将审核后的用户及访问权限信息同 步到其所管辖的异地安全认证网关中;
5)本地资源服务管理系统获取共享资源访问请求审核结果,如果审核成 功,将该共享应用信息,用户访问权限信息,以及异地网关的网络结构信息下 发给本地安全认证网关完成用户跨域访问的配置需求;
6)用户启动安全认证网关客户端,向本地安全认证网关发起身份认证请 求;
7)本地安全认证网关验证用户身份后,下发用户令牌及有权限访问的本 地或异地应用资源信息及网络结构列表;
8)用户访问异地共享应用资源时,安全认证网关客户端查找网络结构列 表后连接异地安全认证网关进行基于用户令牌的二次验证;
9)异地安全认证网关验证用户身份信息成功后,由于第4)步已经同步该 用户的访问权限信息,异地安全认证网关判断用户权限后将连接后台应用服务 器并为安全认证客户端返回一个新的应用会话连接。
机译: 服务管理系统,家庭网关和服务管理方法
机译: 基于资源融合网关的能力调用方法,资源融合网关及系统
机译: 媒体网关控制装置及媒体网关资源的管理方法和程序