專利名稱:一種云計(jì)算環(huán)境下的分布式授權(quán)認(rèn)證方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種計(jì)算機(jī)應(yīng)用技術(shù)領(lǐng)域�,尤其涉及一種云計(jì)算環(huán)境下的分布式授權(quán)認(rèn)證方法。
背景技術(shù):
隨著云計(jì)算的興起����,計(jì)算機(jī)領(lǐng)域正發(fā)生著深刻的變革。我國云計(jì)算服務(wù)市場處于起步階段�����,云計(jì)算技術(shù)與設(shè)備已經(jīng)具備一定的發(fā)展基礎(chǔ)�����。我國云計(jì)算服務(wù)市場總體規(guī)模較小�����,但追趕勢頭明顯。據(jù)Gartner估計(jì)����,2011年我國在全球約900億美元的云計(jì)算服務(wù)市場中所占份額不到3%,但年增速達(dá)到40%����,預(yù)期未來我國與國外在云計(jì)算方面的差距將逐漸縮小?����?偨Y(jié)起來云計(jì)算具有以下幾個(gè)特點(diǎn)
(1)超大規(guī)?��!霸啤本哂邢喈?dāng)?shù)囊?guī)模�����,Google云計(jì)算已經(jīng)擁有100多萬臺服務(wù)器����,Amazon、IBM��、微軟��、Yahoo等的“云”均擁有幾十萬臺服務(wù)器�。企業(yè)私有云一般擁有數(shù)百上千臺服務(wù)器��?��!霸啤蹦苜x予用戶前所未有的計(jì)算能力����。
(2)虛擬化云計(jì)算支持用戶在任意位置�、使用各種終端獲取應(yīng)用服務(wù)。所請求的資源來自“云”����,而不是固定的有形的實(shí)體。應(yīng)用在“云”中某處運(yùn)行�����,但實(shí)際上用戶無需了解�、也不用擔(dān)心應(yīng)用運(yùn)行的具體位置。只需要一臺筆記本或者一個(gè)手機(jī),就可以通過網(wǎng)絡(luò)服務(wù)來實(shí)現(xiàn)我們需要的一切�,甚至包括超級計(jì)算這樣的任務(wù);
(3)高可靠性“云”使用了數(shù)據(jù)多副本容錯(cuò)����、計(jì)算節(jié)點(diǎn)同構(gòu)可互換等措施來保障服務(wù)的高可靠性,使用云計(jì)算比使用本地計(jì)算機(jī)可靠�;
(4)通用性云計(jì)算不針對特定的應(yīng)用,在“云”的支撐下可以構(gòu)造出千變?nèi)f化的應(yīng)用�,同一個(gè)“云”可以同時(shí)支撐不同的應(yīng)用運(yùn)行;
(5)高可擴(kuò)展性“云”的規(guī)?���?梢詣?dòng)態(tài)伸縮,滿足應(yīng)用和用戶規(guī)模增長的需要�;
(6)按需服務(wù)“云”是一個(gè)龐大的資源池,你按需購買��;云可以像自來水�����,電��,煤氣那樣計(jì)費(fèi)���;
(7)極其廉價(jià)由于“云”的特殊容錯(cuò)措施可以采用極其廉價(jià)的節(jié)點(diǎn)來構(gòu)成云����,“云”的自動(dòng)化集中式管理使大量企業(yè)無需負(fù)擔(dān)日益高昂的數(shù)據(jù)中心管理成本,“云”的通用性使資源的利用率較之傳統(tǒng)系統(tǒng)大幅提升���,因此用戶可以充分享受“云”的低成本優(yōu)勢�����,經(jīng)常只要花費(fèi)幾百美元、幾天時(shí)間就能完成以前需要數(shù)萬美元����、數(shù)月時(shí)間才能完成的任務(wù)。根據(jù)IDC在2009年年底發(fā)布的一項(xiàng)調(diào)查報(bào)告顯示���,云計(jì)算服務(wù)面臨的前三大市場挑戰(zhàn)分別為服務(wù)安全性����、穩(wěn)定性和性能表現(xiàn)�。該三大挑戰(zhàn)排名同IDC于2008年進(jìn)行的云計(jì)算服務(wù)調(diào)查結(jié)論完全一致。2009年11月����,F(xiàn)orrester Research公司的調(diào)查結(jié)果顯不�,有51%的中小型企業(yè)認(rèn)為安全性和隱私問題是他們尚未使用云服務(wù)的最主要原因�����。由此可見���,安全性是客戶選擇云計(jì)算時(shí)的首要考慮因素�����。云計(jì)算由于其用戶�����、信息資源的高度集中�����,帶來的安全事件后果與風(fēng)險(xiǎn)也較傳統(tǒng)應(yīng)用高出很多���。在2009年,Google�、Microsoft�����、Amazon等公司的云計(jì)算服務(wù)均出現(xiàn)了重大故障���,導(dǎo)致成千上萬客戶的信息服務(wù)受到影響,進(jìn)一步加劇了業(yè)界對云計(jì)算應(yīng)用安全的擔(dān)憂�����。在云計(jì)算領(lǐng)域各種應(yīng)用上不同的服務(wù)由不同的系統(tǒng)提供��,但是這些服務(wù)仍提供給某些特定系統(tǒng)的特定用戶����,并且出于應(yīng)用系統(tǒng)安全上的需要�����,每一個(gè)系統(tǒng)都需要對用戶的身份進(jìn)行認(rèn)證和對其用戶所訪問的系統(tǒng)功能進(jìn)行授權(quán)�,應(yīng)用系統(tǒng)在用戶管理上基本上都自成體系,以保證合法用戶的權(quán)益�,拒統(tǒng)要求提供不同的用戶名和口令,這樣給用戶帶來了極大的不便��;同時(shí),口令存儲環(huán)節(jié)的增加��,也增加了 口令泄露的可能性���。同時(shí)�,云計(jì)算領(lǐng)域���,也普遍存在多個(gè)系統(tǒng)信息資源目錄的統(tǒng)一問題����,普遍存在統(tǒng)一認(rèn)證和統(tǒng)一授權(quán)管理問題����,普遍存在統(tǒng)一認(rèn)證和統(tǒng)一授權(quán)機(jī)制、分級分類認(rèn)證和授權(quán)操作問題�����。這些問題的解決直接影響整個(gè)信息資源系統(tǒng)的可控性和安全性��。這是當(dāng)前各企業(yè)單位信息化建設(shè)中的一個(gè)關(guān)鍵問題�����。因此本發(fā)明這種方式既能對用戶進(jìn)行統(tǒng)一的授權(quán)和認(rèn)證,也能展現(xiàn)各用戶的統(tǒng)一權(quán)限視圖�,統(tǒng)一用戶授權(quán)管理是以資源的授權(quán)、訪問決策控制集中管理為目標(biāo)���,以資源的訪問控制為導(dǎo)向���,以資源的安全、防擴(kuò)散為前提���,將各個(gè)應(yīng)用系統(tǒng)的所有受控資源進(jìn)行統(tǒng)一授權(quán)�,不僅可以保護(hù)應(yīng)用系統(tǒng)的信息安全���、建立全面的信息保密制度���,同時(shí)滿足對系統(tǒng)文檔加密和授權(quán)需求�,構(gòu)建安全可控的文檔安全、防擴(kuò)散管理系統(tǒng)����。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種云計(jì)算環(huán)境下的分布式授權(quán)認(rèn)證方法。本發(fā)明的目的是按以下方式實(shí)現(xiàn)的�,
一種云計(jì)算領(lǐng)域的分布式授權(quán)策略���,包括:
1、云計(jì)算領(lǐng)域的分布式授權(quán)策略��,其特征在于通過對在云計(jì)算系統(tǒng)中各個(gè)子模塊通過分布式授權(quán)的方式實(shí)現(xiàn)系統(tǒng)的統(tǒng)一認(rèn)證和授權(quán)�,從而實(shí)現(xiàn)大規(guī)模云計(jì)算環(huán)境下對云計(jì)算系統(tǒng)安全的可靠保證,該系統(tǒng)體系結(jié)構(gòu)包括:云客戶端(I)����、認(rèn)證授權(quán)系統(tǒng)(2)、各子系統(tǒng)模塊
(3)其中:
云客戶端(I)在云平臺系統(tǒng)的訪問客戶端��,最終用戶通過云客戶端訪問云平臺各子系統(tǒng)模塊的功能�;
認(rèn)證授權(quán)系統(tǒng)(2)主要包括認(rèn)證和授權(quán)兩部分功能,認(rèn)證即對驗(yàn)證用戶身份的合法性�����,授權(quán)是賦予用戶訪問功能相應(yīng)的權(quán)限����;
各子系統(tǒng)模塊(3)可能是云平臺中各個(gè)功能的子系統(tǒng),包括管理���、監(jiān)控�����、云資源����、計(jì)費(fèi)等等功能,這些系統(tǒng)對外提供標(biāo)準(zhǔn)的Rest方式訪問接口 �;
2、分布式授權(quán)策略的步驟主要如下:
1)云客戶端(I)用戶使用用戶名和密碼去認(rèn)證授權(quán)系統(tǒng)(2)請求認(rèn)證
2)用戶名和密碼如果正確�����,認(rèn)證授權(quán)系統(tǒng)(2)將返回此用戶唯一的token
3)云客戶端(I)帶著token到子系統(tǒng)模塊(3)調(diào)用某個(gè)RestAPI����,來實(shí)現(xiàn)某些功能
4)子系統(tǒng)(3)的通過token從認(rèn)證授權(quán)系統(tǒng)(2)中獲取用戶的認(rèn)證信息,確保是否是有效的認(rèn)證用戶
5)認(rèn)證授權(quán)系統(tǒng)(2)通過token進(jìn)行確認(rèn)并返回認(rèn)證信息
6)子系統(tǒng)(3)認(rèn)證通過之后�,通過用戶ID去認(rèn)證授權(quán)系統(tǒng)(2)獲取此用戶是否有調(diào)用這個(gè)Rest API接口的權(quán)限
7)認(rèn)證授權(quán)系統(tǒng)(2)通過用戶ID進(jìn)行確認(rèn)并返回授權(quán)信息
8)子系統(tǒng)(3)返回執(zhí)行的結(jié)果。本發(fā)明的有益效果是:本發(fā)明設(shè)計(jì)分布式的認(rèn)證和授權(quán)管理類安全控制系統(tǒng)�,提供與當(dāng)前云計(jì)算平臺體系和業(yè)務(wù)模式相適應(yīng)的分級分類認(rèn)證和授權(quán)機(jī)制。向用戶和應(yīng)用系統(tǒng)提供整合的認(rèn)證和授權(quán)控制管理服務(wù)���,提供用戶身份認(rèn)證到應(yīng)用授權(quán)的映射功能。提供用戶控制的基于多種業(yè)務(wù)屬性組合條件下靈活的授權(quán)和訪問控制機(jī)制����,簡化具體應(yīng)用系統(tǒng)的開發(fā)維護(hù)����。
圖1是網(wǎng)絡(luò)架構(gòu)視 圖2是分布式授權(quán)邏輯圖�。
具體實(shí)施例方式參照說明書附圖對本發(fā)明的方法作以下詳細(xì)地說明。現(xiàn)有技術(shù)中的安全防御系統(tǒng)一般通過增加防火墻等安全過濾系統(tǒng)來進(jìn)行安全防御�����,但如果攻擊的類型和數(shù)量比較多�����,很可能導(dǎo)致防御系統(tǒng)的負(fù)載過重而崩潰���。為了解決上述問題�����,本發(fā)明實(shí)現(xiàn)在云計(jì)算環(huán)境下的彈性的安全過濾策略設(shè)計(jì)����,下文中將結(jié)合附圖對本發(fā)明的實(shí)施例進(jìn)行詳細(xì)說明。需要說明的是�����,在不沖突的情況下�����,本申請中的實(shí)施例及實(shí)施例中的特征可以相互任意組合����。首先結(jié)合附圖1,對本發(fā)明的實(shí)施進(jìn)行說明��,在一個(gè)典型的配置環(huán)境中用戶通過云客戶端可以訪問到云計(jì)算平臺中的資源��,向用戶和應(yīng)用系統(tǒng)提供整合的認(rèn)證和授權(quán)控制管理服務(wù)����,從而確保云計(jì)算平臺的安全。本發(fā)明的設(shè)計(jì)原理如附圖1所示���,在云計(jì)算系統(tǒng)中各個(gè)子模塊通過分布式授權(quán)的方式實(shí)現(xiàn)系統(tǒng)的統(tǒng)一認(rèn)證和授權(quán)�,從而實(shí)現(xiàn)大規(guī)模云計(jì)算環(huán)境下對云計(jì)算系統(tǒng)安全的可靠保證���,該系統(tǒng)體系結(jié)構(gòu)包括:z 客戶端(1 )��、認(rèn)證授權(quán)系統(tǒng)(2)�����、各子系統(tǒng)|旲塊(3)其中:
云客戶端(1)在云平臺系統(tǒng)的訪問客戶端�,最終用戶通過云客戶端訪問云平臺各子系統(tǒng)模塊的功能�;
認(rèn)證授權(quán)系統(tǒng)(2)主要包括認(rèn)證和授權(quán)兩部分功能,認(rèn)證即對驗(yàn)證用戶身份的合法性����,授權(quán)是賦予用戶訪問功能相應(yīng)的權(quán)限。各子系統(tǒng)模塊(3)可能是云平臺中各個(gè)功能的子系統(tǒng)���,包括管理���、監(jiān)控、云資源�����、計(jì)費(fèi)等等功能����,這些系統(tǒng)對外提供標(biāo)準(zhǔn)的Rest方式訪問接口�。圖2說明了安全系統(tǒng)一次分布式認(rèn)證的流程:
1)云客戶端(1)用戶使用用戶名和密碼去認(rèn)證授權(quán)系統(tǒng)(2)請求認(rèn)證
2)用戶名和密碼如果正確�,認(rèn)證授權(quán)系統(tǒng)(2)將返回此用戶唯一的token
3)云客戶端(1)帶著token到子系統(tǒng)模塊(3)調(diào)用某個(gè)RestAPI,來實(shí)現(xiàn)某些功能
4)子系統(tǒng)(3)的通過token從認(rèn)證授權(quán)系統(tǒng)(2)中獲取用戶的認(rèn)證信息����,確保是否是有效的認(rèn)證用戶
5)認(rèn)證授權(quán)系統(tǒng)(2)通過token進(jìn)行確認(rèn)并返回認(rèn)證信息 6)子系統(tǒng)(3)認(rèn)證通過之后,通過用戶ID去認(rèn)證授權(quán)系統(tǒng)(2)獲取此用戶是否有調(diào)用這個(gè)Rest API接口的權(quán)限
7)認(rèn)證授權(quán)系統(tǒng)(2)通過用戶ID進(jìn)行確認(rèn)并返回授權(quán)信息
8)子系統(tǒng)(3)返回執(zhí)行的結(jié)果
上述實(shí)施例中的各裝置/功能模塊/功能單元以軟件功能模塊的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí)����,可以存儲在一個(gè)計(jì)算機(jī)可讀取存儲介質(zhì)中。上述提到的計(jì)算機(jī)可讀取存儲介質(zhì)可以是只讀存儲器�,磁盤或光盤等。任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)��,可輕易想到變化或替換�����,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)����。因此,本發(fā)明的保護(hù)范圍應(yīng)以權(quán)利要求所述的保護(hù)范圍為準(zhǔn)�����。上述實(shí)施例的全部或部分步驟也可以使用集成電路來實(shí)現(xiàn),這些步驟可以被分別制作成一個(gè)個(gè)集成電路模塊�,或者將它們中的多個(gè)模塊或步驟制作成單個(gè)集成電路模塊來實(shí)現(xiàn)。這樣�����,本發(fā)明不限制于任何特定的硬件和軟件結(jié)合����。上述實(shí)施例中的各裝置��、功能模塊���、功能單元可以采用通用的計(jì)算裝置來實(shí)現(xiàn)����,它們可以集中在單個(gè)的計(jì)算裝置上����,也可以分布在多個(gè)計(jì)算裝置所組成的網(wǎng)絡(luò)上。本領(lǐng)域普通技術(shù)人員可以理解上述實(shí)施例的全部或部分步驟可以使用計(jì)算機(jī)程序流程來實(shí)現(xiàn)���,所述計(jì)算機(jī)程序可以存儲于一計(jì)算機(jī)可讀存儲介質(zhì)中����,所述計(jì)算機(jī)程序在相應(yīng)的硬件平臺上(如系統(tǒng)、設(shè)備���、裝置���、器件等)執(zhí)行,在執(zhí)行時(shí)���,包括方法實(shí)施例的步驟之一或其組合�����。除說明書所述的技術(shù)特征外���,均為本專業(yè)技術(shù)人員的已知技術(shù)。
權(quán)利要求
1.一種云計(jì)算環(huán)境下的分布式授權(quán)認(rèn)證方法�,其特征在于對設(shè)置在云計(jì)算系統(tǒng)中的各個(gè)子模塊,通過分布式授權(quán)的方式實(shí)現(xiàn)系統(tǒng)的統(tǒng)一認(rèn)證和授權(quán)����,從而實(shí)現(xiàn)大規(guī)模云計(jì)算環(huán)境下對云計(jì)算系統(tǒng)安全的可靠保證�,該系統(tǒng)體系結(jié)構(gòu)包括云客戶端(I)���、認(rèn)證授權(quán)系統(tǒng)(2)��、各子系統(tǒng)模塊(3)其中 云客戶端(I)在云平臺系統(tǒng)的訪問客戶端�����,最終用戶通過云客戶端訪問云平臺各子系統(tǒng)模塊的功能���; 認(rèn)證授權(quán)系統(tǒng)(2)包括認(rèn)證和授權(quán)兩部分功能�,認(rèn)證即對驗(yàn)證用戶身份的合法性,授權(quán)是賦予用戶訪問功能相應(yīng)的權(quán)限����; 各子系統(tǒng)模塊(3)是云平臺中各個(gè)功能的子系統(tǒng),包括管理�、監(jiān)控、云資源��、計(jì)費(fèi)的功能系統(tǒng)�,這些系統(tǒng)對外提供標(biāo)準(zhǔn)的Rest方式訪問接口 ; 分布式授權(quán)的具體步驟如下 1)云客戶端(I)用戶使用用戶名和密碼去認(rèn)證授權(quán)系統(tǒng)(2)請求認(rèn)證����; 2)用戶名和密碼如果正確�,認(rèn)證授權(quán)系統(tǒng)(2)將返回此用戶唯一的token��; 3)云客戶端(I)帶著token到子系統(tǒng)模塊(3)調(diào)用各子系統(tǒng)的RestAPI�����,來實(shí)現(xiàn)其功倉泛; 4)��、各子系統(tǒng)模塊(3)的通過token從認(rèn)證授權(quán)系統(tǒng)(2)中獲取用戶的認(rèn)證信息��,確保是否是有效的認(rèn)證用戶�; 5)認(rèn)證授權(quán)系統(tǒng)(2)通過token進(jìn)行確認(rèn)并返回認(rèn)證信息; 6)各子系統(tǒng)模塊(3)認(rèn)證通過之后���,通過用戶ID去認(rèn)證授權(quán)系統(tǒng)(2)獲取此用戶是否有調(diào)用這個(gè)Rest API接口的權(quán)限��; 7)認(rèn)證授權(quán)系統(tǒng)(2)通過用戶ID進(jìn)行確認(rèn)并返回授權(quán)信息����; 8)各子系統(tǒng)模塊(3)返回執(zhí)行的結(jié)果���。
全文摘要
本發(fā)明提供一種云計(jì)算環(huán)境下的分布式授權(quán)認(rèn)證方法�����,是對設(shè)置在云計(jì)算系統(tǒng)中的各個(gè)子模塊�����,通過分布式授權(quán)的方式實(shí)現(xiàn)系統(tǒng)的統(tǒng)一認(rèn)證和授權(quán)�����,從而實(shí)現(xiàn)大規(guī)模云計(jì)算環(huán)境下對云計(jì)算系統(tǒng)安全的可靠保證本發(fā)明設(shè)計(jì)分布式的認(rèn)證和授權(quán)管理類安全控制系統(tǒng)�,提供與當(dāng)前云計(jì)算平臺體系和業(yè)務(wù)模式相適應(yīng)的分級分類認(rèn)證和授權(quán)機(jī)制。向用戶和應(yīng)用系統(tǒng)提供整合的認(rèn)證和授權(quán)控制管理服務(wù)����,提供用戶身份認(rèn)證到應(yīng)用授權(quán)的映射功能���。提供用戶控制的基于多種業(yè)務(wù)屬性組合條件下靈活的授權(quán)和訪問控制機(jī)制���,簡化具體應(yīng)用系統(tǒng)的開發(fā)維護(hù)。
文檔編號H04L29/06GK103152336SQ20131005667
公開日2013年6月12日 申請日期2013年2月22日 優(yōu)先權(quán)日2013年2月22日
發(fā)明者劉正偉, 張東, 劉俊朋 申請人:浪潮電子信息產(chǎn)業(yè)股份有限公司