一種三權分立的分級授權管理系統及方法
2023-05-11 06:31:16
專利名稱:一種三權分立的分級授權管理系統及方法
技術領域:
本發明公開了一種涉及對用戶、授權和審計進行分立、分級管理的系統及方法。
背景技術:
在一個大型的信息網絡中,用戶身份管理、用戶授權管理和審計管理是系統安全管理的三個重要的因素,其主要管理工作要由管理員完成。除了技術之外,還需要一個安全策略、安全管理機制和制度來提供安全保證。管理員的權力過大,容易造成對權力的誤用或濫用。此外,如果攻擊者攻破了某個管理角色,就會得到對系統的完全控制,系統的安全性將非常脆弱。
發明內容
針對上述問題,本發明提供一種三權分立的分級授權管理系統及方法,該方法實現的系統採用分層管理的方法,通過用戶管理、授權管理、審計管理三權分立的策略,實現對訪問者靈活的身份認證、操作鑑權、安全審計。本發明具有以下特徵:
1.用戶管理、授權管理與審計管理須由至少三個管理員完成。2.用戶管理員不能對用戶進行授權管理和審計管理,授權管理員不能對用戶、組、域等進行管理,不能對審計記錄進行管理,審計管理員不能對用戶、組、域等進行管理,不能進行授權管理。3.管理員之間可存在上下級關係,下級管理員的管理範圍和管理策略(包括管理員、時間、地址、傳遞性、對象屬性等)由上級管理員指定。4.管理員是經鑑別的用戶。5.上級管理員為下級管理員授予的管理權限是上級管理員的管理權限的子集;一個管理員可以有多個上級,其管理權限是每個上級授予的管理權限的併集。6.授權管理可以採用基於角色、基於組、基於任務或其他任何一種授權方法。7.用戶、授權、審計信息的發布可以使用LDAP、關係資料庫、或帶有籤名的計算機文件。
圖1是本發明的一個實施例的用戶分層管理示意圖。圖2是本發明的一個實施例的授權分層管理示意圖。圖3是本發明的一個實施例的審計分層管理示意圖。圖4是本發明一種三權分立的分級授權管理系統的示意框圖。
具體實施方式
從組織機構的人事管理來看,一個用戶可以在多個部門或者分支機構任職,但其檔案關係只能存放在一個分支機構的一個部門內,用戶在該部門的任職被看作是專職,而在其他部門的任職看作是兼職。用戶的管理採用類似於現實生活中的人事管理辦法,各個分支機構的用戶由本機構的管理系統進行管理,上級(或平級)機構可以借調下級機構的用戶到本級機構任兼職,也可以被下調到下級機構任職。該用戶的檔案信息仍保存在原機構的用戶信息資料庫,而其所用的用戶信息來自原機構的用戶信息發布庫。用戶被借調到另一機構後,所借調的機構的用戶信息庫中會增加該用戶的信息,並且將此信息發布到借調機構的用戶信息發布庫,以供授權系統和審計系統使用。在用戶的原單位的用戶信息資料庫中的信息被更新,並且信息發布庫中的信息也被更新後,系統可以自動更新借調機構的相關數據。用戶管理員沒有管理用戶授權的權限,但當用戶管理員鎖定或刪除一個用戶、工作組或用戶域時,他們的權限也將響應的被鎖定(但不能刪除)。上級機構的用戶管理員有權管理下級機構的用戶信息,因此,上級機構的用戶管理系統可以訪問下級機構的用戶管理信息資料庫,並對其進行用戶管理操作。下級機構的用戶管理員有權查看上級機構的用戶信息,但不能查看詳細的信息,只能查看上級機構用戶信息發布庫中的內容。因此,下級機構的用戶管理系統只能訪問上級機構的用戶信息發布庫。從業務處理的層面來看,各級分支機構的業務系統中的數據資源屬於本機構管理和使用,這一約定俗成的權限實際上是來自上級機構對下級的授權。上級機構在授權給下級機構時,一般側重於將一個權限資源集授權給該機構單位,而對於下級機構的用戶的授權管理則交給下級單位的授權者(權限管理員)負責完成。在上級機構修改了下級機構的權限資源集時,下級機構的授權信息必須得到及時的更新,以保證下級機構的用戶的權限沒有超越上級機構的權限管制。上級機構授予下級機構的權限可以是權限資源集,也可以是建立這個權限資源集上的角色,如果是角色,下級機構的管理不能再修改這些角色的任何信息。但可以創建新的角色,並將上級機構創建的角色授予所新建的角色。權限管理員在進行授權管理時,只能使用單位的用戶信息發布庫中的用戶信息,也就是只能給本機構的用戶管理員所管轄的範圍內的用戶授權。權限管理員全面管理授權使用的角色。上級機構可以直接對下級機構的用戶進行授權,所授予的權限是管理員負責管理的權限資源集合中的內容。上級機構給下級機構的授權通過資源集證書的形式下發,在下級機構進行授權管理時,需要檢查下級機構給用戶授權的內容是否是在資源集證書內,如果不在,則視同非法。同時要檢查資源集證書的合法性和有效性,並且要追溯到源頭(信任源)。各級機構負責管理本機構的審計日誌信息,但上級機構有權對下屬機構的審計內容進行查詢等分析。審計日誌的分析僅由得到授權的管理執行,其分析的結果可以根據實際情況確定是否需要發布公開的審計結果發布庫供用戶查閱。
通過示例的方式而非限制性的方式說明本發明。如圖1所示,是本專利提出的用戶分層管理方法的說明。在一個實例中,用戶可以按照組織結構、所在地域、所屬職能等劃分層次,每個層次可以設置一名或多名用戶管理員進行管理。用戶管理員的主要任務是負責用戶信息、組信息、域信息等數據的管理和維護,負責用戶管理的分層及下屬層次的用戶管理員的設定。所述的用戶信息包括用戶姓名、年齡、職務、職稱、級別、聯繫方式、登錄帳號、用戶標識ID、登錄認證方式等內容。所述的組信息包括組名、組標識ID、組級別等內容。所述的域信息包括組名、組標識ID、組級別等內容。在一個實例中,一個用戶管理員可以將自己有權管理的用戶委託給多個下級用戶管理員進行管理。同時,也可以有多個用戶管理員同時將自己所管理的用戶分配給同一個下級管理員進行管理。因此,上級管理員和下級管理員之間是一個多對多的映射關係。圖1使用UMx表示用戶管理員,Ux表示UMx管理的用戶範圍,用一表示用戶管理員之間的上下級關係,如UMa — UMb表示UMa是UMb的上級,則有Ua Π Ub古Φ。圖1中的UMtl和UM1之間存在分級關係UM0 — UM1,有Utl Π U1 = U1 ;而UM2和UM21之間存在分級關係,同時UM3和UM21之間也存在分級關係,即UM2 — UM21且UM3 — UM21,則有U21 = 21 U 31,U21 H U2 =
21 ^ 4* U21 Π U3 = 31古φ,其中21和31分別是用戶管理貝UM2和UM3分配給下級用戶管理員UM21的管理範圍。用戶的管理可以根據實際需求劃分多個層次,作為一個非限制性的實例,圖1中的用戶被劃分為四個層次,最高層是組織的全部用戶,由頂級管理員UMtl進行管理;第二層是由頂級管理員UM0設定的三個下屬單位,分別由UMp UM2' UM3進行管理;第三層是分別由二級管理員UM1' UM2' UM3設定的下屬單位,分別由UMU、UM12' UM21' UM32進行管理;第四層是由三級管理員UM21設定的下屬單位,分別由UM211和UM212進行管理。
在一個實例中,每個級別的用戶管理員負責本級的用戶信息的管理,必要的情況也可以直接自己指定的下一級的用戶信息的管理,這種分級關係中上級管理員雖然將自己管理範圍內的一部分用戶授權給下級管理員管理,但卻繼續保留自己對所分出去的用戶的管理權。如從圖1的分層關係可以看出,圖1中的用戶管理員UM0、UM1' UM11之間存在分層關係=UMtl — UM1, UM1 — UM11,其所管理的用戶範圍存在以下關係=U11 U1 Utl,但管理員UM0同樣可以管理用戶集U1和U11中的用戶。在一個實例中,上級管理員也可以將自己管理範圍內的用戶委託給下級用戶管理員進行管理,並且一經委託後,上級管理員就失去了對這些用戶的管理權。在這種實例中,每個用戶管理員只能管理他本人當前有效管理的範圍內的用戶。如用戶管理員UM0、UM1之間存在分層關係=UMtl — UM10分層授權完成後,用戶管理員UM0有權管理的用戶集仍為U。,但不能再維護U1中的用戶信息,因此UM0有權維護的用戶信息實際變為U0 - U10在這種實例中,如果用戶管理員UMtl取消對用戶管理員UM1的管理委託,則用戶集U1的維護管理權會再次歸UM0所有。上級用戶管理員在委託下一級用戶管理員進行用戶管理時,可以為下一級用戶管理員設置管理策略。管理策略包括但不限於以下內容:
1)時間策略:限制下級管理員的管理權限生效的時間,可以是一個起止時間段等;
2)地址策略:限制下級管理員進行管理時所在的終端計算機或計算機網絡的地
址;3)傳遞策略:設置委託管理的權限傳遞方式,包括是否全部委託,是否允許下級管理員繼續向下一級的管理員進行委託,委託取消時是否同時取消下級管理員委託的下下級管理員的管理權限等;
4)擴展策略:可以根據用戶、組、域的屬性設置更加複雜的時間、地址及傳遞策略。如圖2所示,是本專利提出的授權分層管理方法的說明。授權過程中需要訪問用戶管理系統發布的用戶信息、組信息、及域信息,但授權管理員對這些數據僅有「讀」的權限,不能對用戶管理資料庫中的數據進行增加或修改。授權過程中還需要訪問權限管理信息,授權管理員具有對這些數據的完全控制權。所述的權限管理信息包括權限信息、角色信息、級別信息等內容。所述的角色信息包括角色的名稱、屬主、標識ID、級別、權限等信息。本專利提出的分層授權管理的方法不受已有的訪問控制策略的影響,如MAC、DAC、RBAC等。在一個實例中,授權管理員可以根據自己的需要,將自己管理的用戶、組、域及權限資源等委託給下一級授權管理員進行授權管理,根據需要下一級授權管理員也可以將其管理權限委託給下下級授權管理員進行管理。在一個實例中,一個授權管理員可以將自己有權管理的用戶、組、域和權限資源委託給多個下級授權管理員進行管理。同時,也可以有多個授權管理員同時將自己所管理的用戶、組、域和權限資源委託給同一個下級管理員進行管理。因此,上級管理員和下級管理員之間是一個多對多的映射關係。圖2所示的實例中,使用PMxR表權限管理員,使用一個二元組( χ,Px)表示權限管理員的管理範圍,使用表示權限管理員之間的分層關係,如PMa PMb 表示 PMa 是 PMb 的上級,則有 Cia η b 關 φ, Pa n Pb ^ φ。授權管理可以根據實際需求劃分多個層次,作為一個非限制性的實例,圖2所示的實例的授權管理分為四層實現,最高層是PMtl,擁有對所有的用戶和權限資源的管理權( 0, Ptl),通過委託將(O1, P1X ( 2,Ρ2)、( 3,P3)分別授權給二級管理員PMpPMyPM3進行管理;通過第二次委託授權,PM1將( η,P11)、( 12,P12)分別授權給PMn、PM12進行管理,PM2和PM3分別將( 21,P21)、( 31,P31)授權給PM21進行管理;通過第三次委託授權,PM12分別將(O121, P121)、(O122, P122)分別`授權給 PM121、PM122 進行管理,PM21 將( 211,P211)、(O311, P311)授權給PM211進行管理。在一個分級授權的實例中,如果一個權限管理員有多個上級,則其管理範圍是每個上級委託給他的管理範圍的併集,每個實例必須堅持這一規則。如圖2所示的實例中,PM21有兩個上級授權管理員PM2和PM3,其權限範圍是PM2和PM3委託給他的管理範圍的併集(O21, P21) U (O31, P31)。該領域的技術人員將明白,(O21, P21) U (O31, P31)幸(O21 U O31,P21 U P31),這是因為二元組( χ,Px)同時表示了權限Px只能限定在1中的用戶使用,(O21,P21) U (O31, P31)只是( 21 U O31, P21 U P31)中的一個子集。如果管理員將自己的PM21需要將自己的管理權委託給下一級管理員進行管理,則需要將每個上級委託給自己的管理範圍進行委託處理。如圖2中的PM21,需要委託一個三級授權管理員進行授權,他需要將( 211,P211) U ( 311, P311)委託給PM211進行管理,而不能將( 211 U O311, P211 U P311)進行委託。在一個分級授權的實例中,授權管理員可以繼續保持對已委託給下級授權管理員的用戶和權限資源的管理權。如圖2所示的實例中,權限管理員PMp PM1, PM11之間存在分層關係:pmq PM1, PM1 PM11,其所管理的授權範圍存在以下關係:( η,P11) (O1, P1)(C^pci)JPiJn O1 Cjq^p11 P1 P。,但管理員PM。同樣可以管理用戶集( 1; P1)和( η,P11)指定的範圍。這樣的管理模式便於上級授權管理員實現集中的授權控制,避免失控的情況發生。又一個分級授權的實例,授權管理員可以將自己的授權範圍內的用戶和權限資源委託給下級授權管理員進行授權管理,並且自己不再保留對已委託給下級的授權範圍的管理權。如圖2所示的實例中,如權限管理員PM。PM1之間存在分層關係=PM0 PM10分層授權完成後,用戶管理員PMtl有權管理的授權範圍仍為(仏,Ptl),但不能再對( , P0)的子集(O1, P1)進行授權管理,因此PMtl有權進行授權管理的授權範圍實際變為浪,Ptl) - ( 1; P1)=( 0 — O17P0 — P1X在這種實例中,如果授權管理員PMtl取消對下級授權管理員PM1的管理委託,則用戶集( 1; P1)的維護管理權會再次歸PMtl所有。在一個分級授權的實例中,每個授權管理員都可以按照實際需求將自己的管理範圍委託給下一級授權管理員進行管理,為了控制授權管理的能力,可以設定分級授權策略:
1)時間策略:限制下級管理員的管理權限生效的時間,可以是一個起止時間段等;
2)地址策略:限制下級管理員進行管理時所在的終端計算機或計算機網絡的地
址;
3)傳遞策略:設置委託管理的權限傳遞方式,包括是否全部委託,是否允許下級管理員繼續向下一級的管理員進行委託,委託取消時是否同時取消下級管理員委託的下下級管理員的管理權限等,委託取消時是否同時取消下級管理員給用戶的授權等; 4)擴展策略:可以根據用戶、組、域的屬性設置更加複雜的時間、地址及傳遞策略。圖3所示是本專利提出的分級審計管理的說明。審計管理過程中需要訪問用戶管理系統發布的用戶信息、組信息、及域信息,但審計管理員對這些數據僅有「讀」的權限,不能對用戶管理資料庫中的數據進行增加或修改。審計管理過程中還需要訪問審計日誌管理信息。所述的審計日誌管理信息包括審計日誌記錄、審計查詢、統計報表等記錄。審計管理員具有對審計查詢、統計報表等記錄數據的完全控制權。在一個實例中,審計管理員可以根據自己的需要,將自己管理的用戶、組、域及審計日誌管理信息等委託給下一級審計管理員進行審計管理,根據需要下一級審計管理員也可以將其管理權限委託給下下級審計管理員進行管理。在一個實例中,一個審計管理員可以將自己有權管理的用戶、組、域和審計日誌管理信息委託給多個下級審計管理員進行管理。同時,也可以有多個審計管理員同時將自己所管理的用戶、組、域和審計日誌管理信息委託給同一個下級管理員進行管理。因此,上級管理員和下級管理員之間是一個多對多的映射關係。圖3所示的實例中,使用AMx代表權限管理員,使用一個二元組( χ,Ax)表示審計管理員的管理範圍,使用表示審計管理員之間的分層關係,如PMa PMb表示AMa是AMb的上級,則有Cla η b古Φ,Aa Π Ab關Φ。審計管理可以根據實際需求劃分多個層次,作為一個非限制性的實例,圖3所示的實例的審計管理分為四層實現,最高層是AMtl,擁有對所有的用戶和審計日誌管理信息的管理權( 。,Atl),通過委託將(Cl1,A1KiJ2, A2)、(O3,A3)分別授權給二級管理員AMpAMyAM3進行管理;通過第二次委託授權,AM1將( η,Αη)、( 12,Α12)分別授權給ΑΜη、ΑΜ12進行管理,AM2和AM3分別將( 21,A21)、( 31,A31)授權給AM2I進行管理;通過第三次委託授權,AM12分別將(O121,A121)、(O122, A122)分別授權給 AM121、AM122 進行管理,AM21 將( 211,A211)、(O311, A311)授權給AM211進行管理。在一個實例中,如果一個審計管理員有多個上級,則其管理範圍是每個上級委託給他的管理範圍的併集,每個實例必須堅持這一規則。如圖3所示的實例中,AM21有兩個上級審計管理員AM2和AM3,其管理範圍是AM2和AM3委託給他的管理範圍的併集( 21,A21) U (O31, A31) = (O21 U O31, A21 U A31)。在一個分級授權的實例中,審計管理員可以繼續保持對已委託給下級審計管理員的用戶和審計日誌管理信息的管理權。如圖3所示的實例中,審計管理員AMc^AMpAM11之間存在分層關係=AMtl AM17AM1 AM11,其所管理的審計範圍存在以下關係:( η,A11) (O1,A1) ((!。,^,即^ O1 CJq^A11 A1 Α。,但管理員AM。同樣可以管理用戶集(C^A1)和( η,A11)指定的範圍。這樣的管理模式便於上級審計管理員實現集中的審計管理控制,避免失控的情況發生。又一個分級授權的實例,審計管理員可以將自己的授權範圍內的用戶和審計日誌管理信息委託給下級審計管理員進行審計管理,並且自己不再保留對已委託給下級的管理範圍的管理權。如圖2所示的實例中,如審計管理員AMpAM1之間存在分層關係=AMtl AM10分層授權完成後,用戶管理員AMtl有權管理的授權範圍仍為(仏,Atl),但不能再對(仏,A0)的子集(O1, A1)進行審計管理,因此AM。有權進行審計管理的授權範圍實際變為(O。, Atl)- ((J1,A1) = ((J0 — O1, A0 — A1)ο在這種實例中,如果審計管理員AMci取消對下級審計管理員AMi的管理委託,則用戶集(O1, A1)的維護管理權會再次歸AMtl所有。在一個實例中,每個審計管理員都可以按照實際需求將自己的管理範圍委託給下一級審計管理員進行管理,為了控制審計管理的能力,可以設定分級管理策略:
1)時間策略:限制下級管理員的管理權限生效的時間,可以是一個起止時間段等;
2)地址策略:限制下級管理員進行管理時所在的終端計算機或計算機網絡的地`址;
3)傳遞策略:設置委託管理的權限傳遞方式,包括是否全部委託,是否允許下級管理員繼續向下一級的管理員進行委託,委託取消時是否同時取消下級管理員委託的下下級管理員的管理權限等;
4)擴展策略:可以根據用戶、組、域的屬性設置更加複雜的時間、地址及傳遞策略。
如圖4所示,是本專利提出的三權分立的分級授權管理系統的框架圖。該領域的技術人員明白,圖4僅是一個大致的系統實現示意圖,實現三權分立的分級授權管理系統的實例可以包括這些模塊的組合與分拆,進而形成更加細緻的模塊。圖4中的安全訪問控制系統可以實現對用戶的訪問控制和策略的決策與執行,用戶的訪問請求可以被安全訪問控制系統執行單元截獲,並將此請求發送給安全訪問控制系統決策單元進行決策。決策單元接收到用戶的訪問請求後,會根據請求的類型進行處理,若是登錄請求,則會查詢用戶信息發布系統的記錄,並根據管理員設定的認證方式對用戶進行身份認證,並根據認證結果決定是否允許用戶登錄系統。若是資源訪問請求,則要查詢權限信息發布系統的授權信息,判斷該用戶是否具有訪問目標資源的權限,並根據判斷結果決定是否允許用戶訪問該目標資源。不論是登錄請求,還是資源訪問請求,用戶的訪問情況均被記錄到審計日誌資料庫。圖4中的安全管理系統,負責對管理員進行訪問控制,管理員成功登錄後,安全管理系統根據管理員的類別提供管理功能界面。若是用戶管理員,則提供對用戶信息、組信息、域信息等的維護管理界面。若是授權管理員,則提供授權管理界面。授權管理界面可以瀏覽、查看用戶信息、組信息、域信息,可以維護和管理權限資源信息、角色信息等。若是審計管理員,則提供審計報表維護管理功能。圖4中的用戶管理、授權管理和審計管理各有三級,該領域的技術人員明白,這只是一個實例的實現示意框圖,可以根據需求進行更多層次的設計。用戶管理、授權管理和審計管理均提供信息發布功能,將用戶信息、組信息、域信息等可以給其他系統使用的公開信息發布到用戶信息發布系統,將授權信息發布到權限發布系統,將可以共享的審計報表發布審計發布系統。發布系統可以是LDAP、關係資料庫或文件系統等。
權利要求
1.一種三權分立的分級授權管理系統及方法,該方法實現的系統採用分層管理的方法,通過用戶管理、授權管理、審計管理三權分立的策略,實現對訪問者靈活的身份認證、操作鑑權、安全審計。
2.根據權利要求1中所述的一種三權分立的分級授權管理系統及方法,其特徵在於:用戶管理、授權管理與審計管理須由至少三個管理員完成。
3.根據權利要求1中所述的一種三權分立的分級授權管理系統及方法,其特徵在於,用戶管理員不能對用戶進行授權管理和審計管理,授權管理員不能對用戶、組、域等進行管理,不能對審計記錄進行管理,審計管理員不能對用戶、組、域等進行管理,不能進行授權管理。
4.根據權利要求1中所述的一種三權分立的分級授權管理系統及方法,其特徵在於:管理員之間可存在上下級關係,下級管理員的管理範圍和管理策略(包括管理員、時間、地址、傳遞性、對象屬性等)由上級管理員指定。
5.根據權利要求1中所述的一種三權分立的分級授權管理系統及方法,其特徵在於:管理員是經鑑別的用戶。
6.根據權利要求1中所述的一種三權分立的分級授權管理系統及方法,其特徵在於:上級管理員為下級管理員授予的管理權限是上級管理員的管理權限的子集;一個管理員可以有多個上級,其管理權限是每個上級授予的管理權限的併集。
7.根據權利要求1中所述的一種三權分立的分級授權管理系統及方法,其特徵在於,授權管理可以採用基於角色、基於組、基於任務或其他任何一種授權方法。
8.根據權利要求1中所述的一種三權分立的分級授權管理系統及方法,其特徵在於:用戶、授權、審計信息信息的發布可以使用LDAP、關係資料庫、或帶有籤名的計算機文件。
全文摘要
本發明公開了一種對用戶、授權和審計進行分立、分級管理的系統及方法,該方法實現的系統採用分層管理的方法,通過用戶管理、授權管理和審計管理三權分立的策略,以及上級管理員指定下級管理員的管理範圍和管理策略(包括管理員、時間、地址、傳遞性、對象屬性等)的方式,實現對訪問者靈活的身份認證、操作鑑權、安全審計。本方法實現的系統具有控制靈活、安全性高等特點,解決系統管理員的權力過大,系統的安全性非常脆弱的問題。
文檔編號H04L12/24GK103107899SQ201110353990
公開日2013年5月15日 申請日期2011年11月10日 優先權日2011年11月10日
發明者楊義先, 劉欣然, 袁中蘭, 張鴻, 李小標, 包秀國, 柴軍民, 夏光升, 徐倩華 申請人:天津市國瑞數碼安全系統有限公司, 國家計算機網絡與信息安全管理中心