2. 专利查询
  3. 一种基于信任传递的分层分域认证授权系统及方法与流程

一种基于信任传递的分层分域认证授权系统及方法与流程

专利查询21天前  30

本发明涉及信息安全,更为具体的,涉及一种基于信任传递的分层分域认证授权系统及方法。


背景技术:

1、当前信息系统中,对网络和信息系统的访问权限通过中心集中式认证授权模型实现,所有用户和终端对信息系统资源(含网络资源、应用资源和数据资源等)的访问都需要提前到认证授权中心进行申请认证,通过认证后由认证授权中心对访问用户和终端进行授权,并将授权控制信息下发至相关的网络/资源访问控制网关,在用户和终端获得相应访问权限后才能够正常访问信息系统资源,如图1所示。

2、但是,随着零信任架构及统一信任的不断发展,以及未来人机物泛在互联的需求,需要对未来海量的用户、计算机终端、物联网终端等进行统一的管理和认证授权,需要管理的身份及权限信息异常庞大,这将导致现有的集中式认证授权模型的身份及权限管理异常复杂,同时将带来极大的网络带宽和计算存储开销;另外,集中式认证授权模型下,所有的终端和用户(包括某些分层级组织架构下组织机构内部的终端和用户)都需要集中到认证授权中心进行注册登记,这无形中增加了用户隐私保护的难度,尤其是某些分层级组织架构的特殊团队,组织架构内拥有的用户和终端本身就是敏感隐私信息,需要获得保护。所以,需要一种面向未来零信任架构、海量用户终端泛在互联情况下,具有一定隐私保护能力的简易高效的人机物互认证及授权方法。


技术实现思路

1、本发明的目的在于克服现有技术的不足,提供了一种基于信任传递的分层分域认证授权系统及方法,简化了认证授权管理工作,降低了网络资源占用,提高了组织的隐私性。

2、本发明的目的是通过以下方案实现的:

3、一种基于信任传递的分层分域认证授权系统,包括:认证授权中心、一级区域认证授权代理、二级区域认证授权代理、用户代理,以及被访问网络的网络访问控制网关、被访问信息资源的资源访问控制网关;所述认证授权中心,用于实现对一级信任域内所有终端/用户和下属一级区域认证授权代理的身份鉴别和权限分配,并依据权限分配情况向各级网络访问控制网关和资源访问控制网关下发访问控制策略;所述一级区域认证授权代理,用于实现对二级信任域内所有终端/用户和下属二级区域认证授权代理的身份鉴别,同时在上级认证授权中心对本信任域授予的权限范围内进行针对终端/用户的二次权限分配,并依据权限分配情况向各级网络访问控制网关和资源访问控制网关下发访问控制策略;所述用户代理,用于实现对终端/用户的身份标识,以及在需要时代理终端/用户发起身份认证请求,实现对终端/用户的身份确认;各级网络访问控制网关、资源访问控制网关接受来自认证授权中心和各级区域认证授权代理下发的访问控制策略,用于实施网络和资源的访问控制。

4、进一步地,还包括:多级区域认证授权代理,即二级区域认证授权代理下可设置多个三级区域认证授权代理,以此类推。

5、一种基于信任传递的分层分域认证授权方法,包括如下步骤:

6、步骤一,将整个信息系统信任域划分为一级信任域和二级信任域,将二级信任域向下划分为不同的三级信任域,以此类推至多级信任域;

7、步骤二,一级信任域内所有终端/用户和所有二级信任域的信任关系由认证授权中心负责构建;二级信任域内所有终端/用户和所有三级信任域的信任关系由一级区域认证授权代理负责构建;以此类推至多级信任域。

8、一种基于信任传递的分层分域认证授权方法,基于如上任一项所述的基于信任传递的分层分域认证授权系统,包括身份注册流程:

9、步骤s1,一级区域认证授权代理a11向认证授权中心a0注册团体身份,获取团体身份标识c1,认证授权中心a0为一级区域认证授权代理a11分配团体权限pc1{p1,p2,p3,…pn};

10、步骤s2,用户代理1向一级区域认证授权代理a11注册用户身份,获取用户身份标识u1,一级区域认证授权代理a11在权限pc1的权限范围内为用户分配用户权限pu1{p1,p3,…};

11、步骤s3,同一信任区域内的用户代理2向一级区域认证授权代理a11注册用户身份,获取用户身份标识u2,一级区域认证授权代理a11在权限pc1的权限范围内为用户分配用户权限pu2{p1,p2,…},以此类推……,完成同一信任区域内所有用户的身份注册和权限分配;

12、步骤s4,对另一信任区域内的一级区域认证授权代理a12和所有用户进行身份注册和权限分配。

13、一种基于信任传递的分层分域认证授权方法,基于如上任一项所述的基于信任传递的分层分域认证授权系统,包括资源访问流程:

14、步骤ss1,在系统开通或需要进行外部资源访问时,区域认证授权代理a11以团体用户c1向认证授权中心a0发起基于团体身份认证申请,认证授权中心a0通过对c1用户的身份认证并下发信任凭证tc1,同时依据用户c1的访问权限pc1,对相应的网络/资源访问控制网关下发访问控制策略,允许或拒绝持有信任凭证tc1的用户进行相应资源访问;

15、步骤ss2,区域认证授权代理与认证授权中心按照既定身份保活方案进行身份保活;

16、步骤ss3,在用户1需要进行资源访问时,用户代理1以用户身份u1向所在区域的区域认证授权代理a11发起基于个体的身份认证申请,区域认证授权代理a11通过对u1用户的身份认证并下发信任凭证tu11,同时依据用户u1的访问权限pu1,对相应的网络/资源访问控制网关下发访问控制策略,允许持有信任凭证tu11的用户进行相应资源访问;

17、步骤ss4,用户1进行资源访问过程中,按照既定身份保活方案进行身份保活;

18、步骤ss5,用户1使用信任凭证tu11对被访资源发起访问,在访问报文到达网络访问控制网关时,网络访问控制网关检验tu11信任凭证是否被允许,若允许,则将信任凭证tu11更换为tc1对访问报文进行转发,否则丢弃访问报文;

19、步骤ss6,当访问控制报文到达资源访问控制网关时,资源访问控制网关检验tc1信任凭证是否被允许,若允许,则允许访问,否则拒绝访问。

20、进一步地,所述身份注册流程应用于泛在互联、零信任信息系统环境。

21、进一步地,所述资源访问流程应用于泛在互联、零信任信息系统环境。

22、本发明的有益效果包括:

23、(1)相较于传统的集中式认证授权架构,本发明方案通过将身份管理、权限管理、认证授权进行分级分域处理,将对海量的单个用户个体的身份管理、权限管理、认证授权简化为分层级分区域对不同用户团体以及不同单个用户个体的身份管理、权限管理、认证授权,简化认证授权中心对海量用户的身份管理、权限管理和认证授权工作,同时大量减少认证授权中心身份信息保存所占用的存储资源、身份鉴别时所需要的计算资源以及身份认证过程中所占用的网络资源。

24、(2)本发明方案通过将身份管理、权限管理、认证授权进行分级分域处理,使不在同一信任域的区域认证授权代理和认证授权中心无法获知其它信任域以及下级信任域内部的组织架构、用户信息、网络拓扑等隐私信息,确保信任域范围内组织内部组织架构、用户、网络等隐私信息不在本组织以外的区域暴露,提高了组织的隐私性。


技术特征:

1.一种基于信任传递的分层分域认证授权系统,其特征在于,包括:

2.根据权利要求1所述的基于信任传递的分层分域认证授权系统,其特征在于,还包括:多级区域认证授权代理,即二级区域认证授权代理下可设置多个三级区域认证授权代理,以此类推。

3.一种基于信任传递的分层分域认证授权方法,其特征在于,包括如下步骤:

4.一种基于信任传递的分层分域认证授权方法,其特征在于,基于权利要求1或2任一项所述的基于信任传递的分层分域认证授权系统,包括身份注册流程:

5.一种基于信任传递的分层分域认证授权方法,其特征在于,基于权利要求1或2任一项所述的基于信任传递的分层分域认证授权系统,包括资源访问流程:

6.根据权利要求4所述的基于信任传递的分层分域认证授权方法,其特征在于,所述身份注册流程应用于泛在互联、零信任信息系统环境。

7.根据权利要求5所述的基于信任传递的分层分域认证授权方法,其特征在于,所述资源访问流程应用于泛在互联、零信任信息系统环境。


技术总结
本发明公开了一种基于信任传递的分层分域认证授权系统及方法,属于信息安全技术领域,包括:认证授权中心、一级区域认证授权代理、二级区域认证授权代理、用户代理,以及被访问网络的网络访问控制网关、被访问信息资源的资源访问控制网关。本发明简化了认证授权管理工作,降低了网络资源占用,提高了组织的隐私性。

技术研发人员:赖增桂,许里,李春燕,苗青鹏,余双波
受保护的技术使用者:中国电子科技集团公司第三十研究所
技术研发日:
技术公布日:2024/12/5

专利

最新回复(0)