本發明涉及一種基于云平臺的域管理對象映射裝置及統一身份認證系統，所述域管理對象映射裝置對虛擬對象與實體對象施加映射，對虛擬對象和實體對象的映射關系進行管理，并將資源的訪問權限授予實體組，所述域管理對象包括AD域管理對象和NIS域管理對象，所述域管理對象映射裝置包括：賬號映射模塊；虛擬組映射模塊；對應關系映射模塊；虛擬對象賦予模塊；實體對象賦予模塊；以及權限授予模塊。通過采用上述基于云平臺的域管理對象映射裝置及統一身份認證系統，有效地解決了統一認證之后資源訪問權限的管理和控制問題。

技術領域

本發明涉及認證技術領域，具體涉及一種基于云平臺的域管理對象映射裝置及統一身份認證系統。

背景技術

傳統的統一身份認證能夠實現在多個應用系統中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統，一次登錄，資源盡享。大多數統一身份認證產品基于傳統應用的統一認證，故對云平臺、云資源的統一認證和授權能力比較薄弱。另外，大多數統一身份認證產品授權粒度只精確到應用、設備、主機，通俗說就是用戶是否有權連接某個IP地址+端口，而實體內部資源的訪問權限還需要在實體內部進行分配和管理。因此，針對各應用來說，在認證及登陸完成后，需由各應用系統自身的權限控制模塊進行用戶行為的進一步控制。

統一身份認證，又稱4A：認證Authentication、賬號Account、授權Authorization、審計Audit，也就是將身份認證、授權、審計和賬號(即不可否認性及數據完整性)定義為網絡安全的四大組成部分，從而確立了身份認證在整個網絡安全系統中的地位與作用。統一身份認證產品一般包含如下功能：

集中帳號(account)管理：為用戶提供統一集中的帳號管理，支持管理的資源包括主流的操作系統、網絡設備和應用系統；不僅能夠實現被管理資源帳號的創建、刪除及同步等帳號管理生命周期所包含的基本功能，而且也可以通過平臺進行帳號密碼策略，密碼強度、生存周期的設定。

集中認證(authentication)管理：可以根據用戶應用的實際需要，為用戶提供不同強度的認證方式，既可以保持原有的靜態口令方式，又可以提供具有雙因子認證方式的高強度認證(一次性口令、數字證書、動態口令)，而且還能夠集成現有其它如生物特征等新型的認證方式。不僅可以實現用戶認證的統一管理，并且能夠為用戶提供統一的認證門戶，實現企業信息資源訪問的單點登錄。

集中權限(authorization)管理：可以對用戶的資源訪問權限進行集中控制。它既可以實現對B/S、C/S應用系統資源的訪問權限控制，也可以實現對數據庫、主機及網絡設備的操作的權限控制，資源控制類型既包括B/S的URL、C/S的功能模塊，也包括數據庫的數據、記錄及主機、網絡設備的操作命令、IP地址及端口。

集中審計(audit)管理：將用戶所有的操作日志集中記錄管理和分析，不僅可以對用戶行為進行監控，并且可以通過集中的審計數據進行數據挖掘，以便于事后的安全事故責任的認定。

市場上統一身份認證產品和技術已經非常成熟，比如IBM Tivoli IdentityManager、Microsoft Active Directory以及很多開源的產品，很多公司基于這些產品或者類似理念進行開發、二次開發實施，而實現了統一身份認證。這些產品能輕易實現多個系統的統一登錄認證，但是對于統一登錄認證的各子系統中不同的資源，還缺乏對具體業務系統資源進一步安全控制的手段，特別是針對云資源中不同用戶對不同昂貴計算資源和數據資源的訪問權限缺乏有效的管理和控制。

為此，經過長期理論研究和實踐積累，本案的發明人開發出一種基于云平臺的統一身份認證方案，很好地解決了統一認證之后不同協調的資源訪問權限管理和控制問題。

發明內容