基于資源服務(wù)管理系統(tǒng)安全認證網(wǎng)關(guān)分布式配置管理方法技術(shù)方案

本發(fā)明專利技術(shù)公開了一種基于資源服務(wù)管理系統(tǒng)安全認證網(wǎng)關(guān)分布式配置管理方法，安全認證網(wǎng)關(guān)利用本地配置模塊完成基礎(chǔ)配置工作、利用資源同步程序?qū)①Y源信息從本地資源服務(wù)管理系統(tǒng)同步到安全認證網(wǎng)關(guān)中；本地資源管理服務(wù)系統(tǒng)審核異地安全認證網(wǎng)關(guān)對本地共享資源訪問請求，該請求審核通過后，由雙方的資源服務(wù)管理系統(tǒng)下發(fā)策略，資源同步程序配置到各自的安全認證網(wǎng)關(guān)設(shè)備配置庫中并通知安全認證網(wǎng)關(guān)執(zhí)行程序執(zhí)行新的策略。本發(fā)明專利技術(shù)的積極效果是：配置工作分工明確，配置信息自動同步；配置處理邏輯簡單；策略分發(fā)處理效率很高，不會給系統(tǒng)帶來很大的開銷；支持控制策略的實時響應(yīng)；采用“分級部署，二次審核”思想，分布式的共享資源訪問請求模型嚴密。

【技術(shù)實現(xiàn)步驟摘要】

本專利技術(shù)涉及一種，通過資源服務(wù)管理系統(tǒng)與資源同步程序相結(jié)合的方式，同步配置安全認證網(wǎng)關(guān)，控制用戶的本地或跨域訪問行為。
技術(shù)介紹
通用的安全認證網(wǎng)關(guān)設(shè)備策略配置方法為設(shè)備提供配置界面，如web界面或?qū)Ｓ玫呐渲霉芾硐到y(tǒng)，在配置界面中完成自身設(shè)備的諸如網(wǎng)絡(luò)地址等運行策略配置以及與其他設(shè)備交互的策略配置。 安全認證網(wǎng)關(guān)串聯(lián)于用戶訪問受保護應(yīng)用的網(wǎng)絡(luò)路徑之中，用戶的行為通常需要經(jīng)過安全認證網(wǎng)關(guān)身份認證和權(quán)限控制兩部分，二者在安全認證網(wǎng)關(guān)的配置中涉及到用戶信息，受保護應(yīng)用信息以及訪問權(quán)限配置。用戶的訪問行為分為本地訪問和跨域訪問，本地訪問即用戶在身份認證成功后訪問本地服務(wù)，跨域訪問指用戶在身份認證成功后訪問異地網(wǎng)關(guān)所保護的后臺應(yīng)用服務(wù)。在通用的策略配置模式下，用戶的跨域訪問行為需要安全認證網(wǎng)關(guān)之間進行交互配置，特別是在多臺安全認證網(wǎng)關(guān)的情況下，不同安全認證網(wǎng)關(guān)管理不同的用戶，保護不同的應(yīng)用資源時，用戶通過安全認證網(wǎng)關(guān)互訪應(yīng)用資源時，需要手工將用戶，應(yīng)用，權(quán)限信息配置到用戶訪問路徑所經(jīng)過的安全認證網(wǎng)關(guān)中，并且由于安全認證網(wǎng)關(guān)的管理域不同，配置工作十分復(fù)雜、耗時。
技術(shù)實現(xiàn)思路
為了克服現(xiàn)有技術(shù)的上述缺點，本專利技術(shù)提供了一種，在安全認證網(wǎng)關(guān)通用的策略配置方法基礎(chǔ)上，提供一個能夠分布式配置的方法，它依賴于資源服務(wù)管理系統(tǒng)。安全認證網(wǎng)關(guān)直接對接一個本地資源管理服務(wù)系統(tǒng)即可獲取全網(wǎng)的資源共享信息，用戶只需在本地資源管理系統(tǒng)即可完成用戶對全網(wǎng)共享信息資源訪問的配置工作。用戶可根據(jù)自己的需求選擇分布式配置模型以支持安全認證網(wǎng)關(guān)的分布式應(yīng)用。 本專利技術(shù)解決其技術(shù)問題所采用的技術(shù)方案是:一種，安全認證網(wǎng)關(guān)利用本地配置模塊完成基礎(chǔ)配置工作、利用資源同步程序?qū)①Y源信息從本地資源服務(wù)管理系統(tǒng)同步到安全認證網(wǎng)關(guān)中；本地資源管理服務(wù)系統(tǒng)審核地安全認證網(wǎng)關(guān)對本地共享資源訪問請求,該請求審核通過后，由雙方的資源管理系統(tǒng)下發(fā)策略，資源同步程序配置到各自的安全認證網(wǎng)關(guān)設(shè)備配置庫中并通知安全認證網(wǎng)關(guān)執(zhí)行程序執(zhí)行新的策略。 與現(xiàn)有技術(shù)相比，本專利技術(shù)的積極效果是: I)安全認證網(wǎng)關(guān)的配置工作分為本地配置和資源同步兩部分，分工明確，配置信息自動同步； 2)在進行分布式配置管理中，配置處理邏輯簡單，安全認證網(wǎng)關(guān)資源同步程序只需與本地的資源服務(wù)管理系統(tǒng)交互，配置簡單； 3)策略分發(fā)處理效率很高，不會給系統(tǒng)帶來很大的開銷； 4)可以支持控制策略的實時響應(yīng)。策略修改后，控制方式相應(yīng)修改，不用重新啟動安全認證網(wǎng)關(guān)設(shè)備； 5)采用“分級部署，二次審核”思想，分布式的共享資源訪問請求模型嚴密，即異地的安全認證網(wǎng)關(guān)訪問本地的安全認證網(wǎng)關(guān)所代理的共享應(yīng)用時，由異地資源服務(wù)管理系統(tǒng)發(fā)出用戶訪問本地共享應(yīng)用請求，由本地資源服務(wù)管理系統(tǒng)審核后方生效。 【附圖說明】 本專利技術(shù)將通過例子并參照附圖的方式說明，其中: 圖1是安全認證網(wǎng)關(guān)分布式配置模型； 圖2用戶進行異地訪問的配置流程。 【具體實施方式】 如圖1所示，一種，包括安全認證網(wǎng)關(guān)資源同步程序和安全認證網(wǎng)關(guān)策略執(zhí)行程序，安全認證網(wǎng)關(guān)通過本地資源服務(wù)管理系統(tǒng)資源同步程序獲取用戶資源，應(yīng)用資源，網(wǎng)絡(luò)資源，設(shè)備資源等可共享的資源同步消息，收集分布式的策略配置信息，利用策略執(zhí)行程序?qū)崟r執(zhí)行分布式的配置訪問請求，其中: 一、安全認證網(wǎng)關(guān)資源同步程序包括以下功能: 安全認證網(wǎng)關(guān)監(jiān)控資源服務(wù)管理系統(tǒng)消息變動，處理用戶資源，應(yīng)用資源，網(wǎng)絡(luò)規(guī)則資源，網(wǎng)絡(luò)設(shè)備等可共享資源信息，判斷資源的地域?qū)傩裕ㄟ^用戶資源中的屬性證書信息解析權(quán)限信息，為策略執(zhí)行程序提供依據(jù)，能實時響應(yīng)策略變化，策略更改后，通知策略執(zhí)行程序更改策略。 資源同步程序適用于Linux操作系統(tǒng)，資源同步程序應(yīng)能隨計算機開機自動啟動，對計算機啟動后執(zhí)行的進程進行系統(tǒng)配置同步監(jiān)控，使用步驟如下: I)啟用策略配置同步程序； 2)在資源服務(wù)管理系統(tǒng)中注冊本地網(wǎng)關(guān)設(shè)備同步標識； 3)監(jiān)聽資源服務(wù)管理系統(tǒng)消息配置變化； 4)接收新的配置消息； 5)獲取消息對象類型的唯一編碼值，解析配置消息類型，調(diào)用對應(yīng)消息對象類型的解析模塊，包括用戶消息中證書解析，用戶消息中的屬性證書權(quán)限解析，用戶證書中的從賬號，密碼解析，應(yīng)用資源解析，網(wǎng)絡(luò)規(guī)則資源解析，安全認證網(wǎng)關(guān)設(shè)備地域?qū)傩孕畔ⅲ馕鋈W(wǎng)認證網(wǎng)關(guān)設(shè)備網(wǎng)絡(luò)結(jié)構(gòu)，解析共享用戶資源，共享應(yīng)用資源等資源信息； 6)將解析結(jié)果存入數(shù)據(jù)庫或通知本地網(wǎng)關(guān)設(shè)備策略執(zhí)行程序執(zhí)行。 二、安全認證網(wǎng)關(guān)策略執(zhí)行程序包括以下功能: 接收資源同步程序的配置信息內(nèi)容，判斷執(zhí)行體網(wǎng)關(guān)設(shè)備的地域?qū)傩裕瑓^(qū)分本地或異地的配置，并根據(jù)策略信息執(zhí)行用戶認證，用戶訪問控制，用戶網(wǎng)絡(luò)控制流程以及跨域認證流程，響應(yīng)及時。 安全網(wǎng)關(guān)策略執(zhí)行程序，可接受并解析網(wǎng)關(guān)配置同步程序下發(fā)的各類策略信息和通知信息，具體要求有:能基于用戶的用戶信息進行身份識別；能基于用戶的權(quán)限信息進行權(quán)限控制；能基于用戶的網(wǎng)絡(luò)規(guī)則信息進行用戶訪問行為的網(wǎng)絡(luò)控制；能夠?qū)Ψ潜居蛴脩暨M行認證；能夠?qū)Ψ潜居蛴脩舻脑L問行為進行控制；能基于網(wǎng)絡(luò)設(shè)備安全認證網(wǎng)關(guān)的地域信息進行跨域訪問。 安全認證網(wǎng)關(guān)工作的要素由用戶，應(yīng)用資源，權(quán)限組成。安全認證網(wǎng)關(guān)的配置過程分為本地配置和資源同步配置兩個過程。本地配置依賴于安全認證網(wǎng)關(guān)設(shè)備自身的配置界面完成，主要進行一些基礎(chǔ)配置工作，如地址，參數(shù)屬性，本地資源服務(wù)管理系統(tǒng)地址等；資源同步配置主要處理用戶，資源，權(quán)限信息，根據(jù)“分級部署，二次審核”的思想，將具有共享屬性的策略配置信息如用戶，受保護的應(yīng)用資源信息，網(wǎng)絡(luò)規(guī)則信息，權(quán)限信息通過資源服務(wù)管理系統(tǒng)進行統(tǒng)一管理配置，以便于利用資源服務(wù)管理系統(tǒng)的分布式特性對安全認證網(wǎng)關(guān)進行分布式管理，大大簡化安全認證網(wǎng)關(guān)的配置管理工作。 本專利技術(shù)采用的技術(shù)方案如下:一種基于資源服務(wù)管理系統(tǒng)的安全認證網(wǎng)關(guān)分布式配置方法，其具體方法為: 一、每臺安全認證網(wǎng)關(guān)或多臺安全認證網(wǎng)關(guān)配置一臺資源服務(wù)管理系統(tǒng)； 二、安全認證網(wǎng)關(guān)利用本地配置模塊完成基礎(chǔ)配置工作； 三、安全認證網(wǎng)關(guān)利用資源同步程序?qū)⒈镜赜脩簦瑧?yīng)用，權(quán)限，規(guī)則資源信息等從本地資源服務(wù)管理系統(tǒng)同步到安全認證網(wǎng)關(guān)中；資源同步程序可通過一定協(xié)議格式如消息隊列的形式與本地資源管理服務(wù)系統(tǒng)通信并進行同步工作； 四、在資源服務(wù)管理系統(tǒng)中將需要共享的用戶、應(yīng)用資源等進行共享操作；本地資源資源管理服務(wù)系統(tǒng)可將共享資源同步到有共享訪問需求的安全認證網(wǎng)關(guān)所對應(yīng)的資源服務(wù)管理系統(tǒng)列表中，在這一步執(zhí)行完成后，可支持用戶在本地安全認證網(wǎng)關(guān)的訪問行為； 五、在本地資源管理服務(wù)系統(tǒng)審核異地安全認證網(wǎng)關(guān)對本地共享資源訪問請求；請求審批成功后，由雙方的資源管理系統(tǒng)下發(fā)策略，資源同步程序配置到各自的安全認證網(wǎng)關(guān)設(shè)備配置庫中并通知安全認證網(wǎng)關(guān)執(zhí)行程序執(zhí)行新的策略: 資源服務(wù)管理系統(tǒng)可采用級聯(lián)或星型部署模式，利用“分級部署，二次審核”思想，對異地安全認證網(wǎng)關(guān)對本地共享資源進行審核處理，審核成功后，在本地資源服務(wù)管理系統(tǒng)將異地安全認證網(wǎng)關(guān)設(shè)備信息及權(quán)限信息同步到本地安全認證網(wǎng)關(guān)中之后，用戶即可通過異地安全認證網(wǎng)關(guān)訪問后臺應(yīng)用系統(tǒng)； 安全認證網(wǎng)關(guān)策略執(zhí)行程序根據(jù)資源同本文檔來自技高網(wǎng)...

【技術(shù)保護點】
一種基于資源服務(wù)管理系統(tǒng)安全認證網(wǎng)關(guān)分布式配置管理方法，其特征在于：安全認證網(wǎng)關(guān)利用本地配置模塊完成基礎(chǔ)配置工作、利用資源同步程序?qū)①Y源信息從本地資源服務(wù)管理系統(tǒng)同步到安全認證網(wǎng)關(guān)中；本地資源管理服務(wù)系統(tǒng)審核異地安全認證網(wǎng)關(guān)對本地共享資源訪問請求，該請求審核通過后，由雙方的資源服務(wù)管理系統(tǒng)下發(fā)策略，資源同步程序配置到各自的安全認證網(wǎng)關(guān)設(shè)備配置庫中并通知安全認證網(wǎng)關(guān)執(zhí)行程序執(zhí)行新的策略。

【技術(shù)特征摘要】
1.一種基于資源服務(wù)管理系統(tǒng)安全認證網(wǎng)關(guān)分布式配置管理方法，其特征在于:安全認證網(wǎng)關(guān)利用本地配置模塊完成基礎(chǔ)配置工作、利用資源同步程序?qū)①Y源信息從本地資源服務(wù)管理系統(tǒng)同步到安全認證網(wǎng)關(guān)中；本地資源管理服務(wù)系統(tǒng)審核異地安全認證網(wǎng)關(guān)對本地共享資源訪問請求，該請求審核通過后，由雙方的資源服務(wù)管理系統(tǒng)下發(fā)策略，資源同步程序配置到各自的安全認證網(wǎng)關(guān)設(shè)備配置庫中并通知安全認證網(wǎng)關(guān)執(zhí)行程序執(zhí)行新的策略。2.根據(jù)權(quán)利要求1所述的基于資源服務(wù)管理系統(tǒng)安全認證網(wǎng)關(guān)分布式配置管理方法，其特征在于:所述資源同步程序用于監(jiān)控資源服務(wù)管理系統(tǒng)消息變動，處理共享資源信息，判斷資源的地域?qū)傩裕ㄟ^用戶資源中的屬性證書信息解析權(quán)限信息，為策略執(zhí)行程序提供依據(jù)，實時響應(yīng)策略變化，策略更改后，通知策略執(zhí)行程序更改策略。3.根據(jù)權(quán)利要求1所述的基于資源服務(wù)管理系統(tǒng)安全認證網(wǎng)關(guān)分布式配置管理方法，其特征在于:所述資源同步程序包括如下步驟: 1)啟用策略配置同步程序； 2)在資源服務(wù)管理系統(tǒng)中注冊本地網(wǎng)關(guān)設(shè)備同步標識； 3)監(jiān)聽資源服務(wù)管理系統(tǒng)消息配置變化； 4)接收新的配置消息； 5)獲取消息對象類型的唯一編碼值，解析配置消息類型，調(diào)用對應(yīng)消息對象類型的解析模塊； 6)將解析結(jié)果存入數(shù)據(jù)庫或通知本地網(wǎng)關(guān)設(shè)備策略執(zhí)行程序執(zhí)行。4.根據(jù)權(quán)利要求1所述的基于資源服務(wù)管理系統(tǒng)安全認證網(wǎng)關(guān)分布...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：楊宇，方鳴睿，汪仕兵，秦凱，劉小華，邢朝陽，原蓓蓓，吳榮政，張博，
申請(專利權(quán))人：成都衛(wèi)士通信息安全技術(shù)有限公司，
類型：發(fā)明
國別省市：四川;51