发明名称 |
大数据环境下基于XACML和SAML的分布式系统认证与权限管理平台 |
摘要 |
本发明公开一种大数据环境下基于XACML和SAML的分布式系统认证与权限管理平台,包括跨域认证管理模块、授权管理模块、机构管理模块、人员管理模块、菜单管理模块和日志管理模块;跨域认证管理模块设在SAML处理服务器上,授权管理模块设在子系统XACML服务器上,机构管理模块、人员管理模块、菜单管理模块和日志管理模块均设在业务处理系统服务器上。该平台利用XACML对用户进行授权和访问控制,利用SAML跨域数据交互对用户进行身份认证。采用基于RBAC访问控制模型的XACML框架,通过读取用户的XACML文件来对用户权限进行限制,大大增强了对用户细粒度的授权。分布式系统中不同平台通过互相交换SAML信息来提供断言的方式,使得平台之间传输信息更加安全,数据传输量更少。 |
申请公布号 |
CN106534199A |
申请公布日期 |
2017.03.22 |
申请号 |
CN201611216782.8 |
申请日期 |
2016.12.26 |
申请人 |
盐城工学院 |
发明人 |
孙立;焦微玲;吕祥;孙伟华 |
分类号 |
H04L29/06(2006.01)I;H04L29/08(2006.01)I |
主分类号 |
H04L29/06(2006.01)I |
代理机构 |
南京申云知识产权代理事务所(普通合伙) 32274 |
代理人 |
邱兴天 |
主权项 |
一种大数据环境下基于XACML和SAML的分布式系统认证与权限管理平台,其特征在于,包括跨域认证管理模块、授权管理模块、机构管理模块、人员管理模块、菜单管理模块和日志管理模块;跨域认证管理模块设在SAML处理服务器上,授权管理模块设在子系统XACML服务器上,机构管理模块、人员管理模块、菜单管理模块和日志管理模块均设在业务处理系统服务器上;其中,所述跨域认证管理模块:Web客户端在两种情况下需要向SAML服务器端发送数据:(1)用户成功登录时,客户端必须告诉SAML服务器端,用户已经在某个子系统登录,服务器端记录下用户登录的子系统IP地址和时间,并根据业务需求选择是否需要回复信息;(2)用户进行跨域访问时,客户端必须告诉SAML服务器要访问的子系统IP地址,服务器根据请求回复用户账户状态信息,各子系统根据不同业务认证要求进行判定并告知客户端,如果符合要求,则用户成功登录,否则需要重新认证;所述授权管理模块:客户端以用户名/密码、指纹识别或电子身份卡方式登录,或符合跨域认证要求时,授权管理服务器通过管理和维护XACML访问控制策略,利用策略管理点PAP来维护用户、角色、权限和策略之间的关系;所述机构管理模块:用于管理系统所有一级与二级机构,二级机构权限必须限制在一级机构权限范围内,机构的权限信息存储在XACML文件内,其他信息存储在数据库中;所述人员管理模块:对用户的增加需要确定用户所属部门,获得该部门的权限信息,人员的权限信息存储在XACML文件内,其他信息存储在数据库中;所述菜单管理模块:菜单分为一级菜单和二级菜单,当添加菜单时,必须输入不同的菜单名,通过Ajax进行后台验证后即可,二级菜单必须隶属于某个一级菜单;所述日志管理模块:日志模块记录了所有人员的所有正常和异常操作信息,管理员可以根据人员和时间查看所有人员的操作信息。 |
地址 |
224051 江苏省盐城市世纪大道1166号研创大厦 |