CN103152336A - 一种云计算环境下的分布式授权认证方法 - Google Patents
一种云计算环境下的分布式授权认证方法 Download PDFInfo
- Publication number
- CN103152336A CN103152336A CN2013100566734A CN201310056673A CN103152336A CN 103152336 A CN103152336 A CN 103152336A CN 2013100566734 A CN2013100566734 A CN 2013100566734A CN 201310056673 A CN201310056673 A CN 201310056673A CN 103152336 A CN103152336 A CN 103152336A
- Authority
- CN
- China
- Prior art keywords
- authentication
- authorization
- user
- cloud
- cloud computing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种云计算环境下的分布式授权认证方法,是对设置在云计算系统中的各个子模块,通过分布式授权的方式实现系统的统一认证和授权,从而实现大规模云计算环境下对云计算系统安全的可靠保证本发明设计分布式的认证和授权管理类安全控制系统,提供与当前云计算平台体系和业务模式相适应的分级分类认证和授权机制。向用户和应用系统提供整合的认证和授权控制管理服务,提供用户身份认证到应用授权的映射功能。提供用户控制的基于多种业务属性组合条件下灵活的授权和访问控制机制,简化具体应用系统的开发维护。
Description
技术领域
本发明涉及一种计算机应用技术领域,尤其涉及一种云计算环境下的分布式授权认证方法。
背景技术
随着云计算的兴起,计算机领域正发生着深刻的变革。我国云计算服务市场处于起步阶段,云计算技术与设备已经具备一定的发展基础。我国云计算服务市场总体规模较小,但追赶势头明显。据Gartner 估计,2011 年我国在全球约900 亿美元的云计算服务市场中所占份额不到3%,但年增速达到40%,预期未来我国与国外在云计算方面的差距将逐渐缩小。
总结起来云计算具有以下几个特点:
(1) 超大规模:“云”具有相当的规模,Google云计算已经拥有100多万台服务器, Amazon、IBM、微软、Yahoo等的“云”均拥有几十万台服务器。企业私有云一般拥有数百上千台服务器。“云”能赋予用户前所未有的计算能力。
(2) 虚拟化:云计算支持用户在任意位置、使用各种终端获取应用服务。所请求的资源来自“云”,而不是固定的有形的实体。应用在“云”中某处运行,但实际上用户无需了解、也不用担心应用运行的具体位置。只需要一台笔记本或者一个手机,就可以通过网络服务来实现我们需要的一切,甚至包括超级计算这样的任务;
(3) 高可靠性:“云”使用了数据多副本容错、计算节点同构可互换等措施来保障服务的高可靠性,使用云计算比使用本地计算机可靠;
(4) 通用性:云计算不针对特定的应用,在“云”的支撑下可以构造出千变万化的应用,同一个“云”可以同时支撑不同的应用运行;
(5) 高可扩展性:“云”的规模可以动态伸缩,满足应用和用户规模增长的需要;
(6) 按需服务:“云”是一个庞大的资源池,你按需购买;云可以像自来水,电,煤气那样计费;
(7) 极其廉价:由于“云”的特殊容错措施可以采用极其廉价的节点来构成云,“云”的自动化集中式管理使大量企业无需负担日益高昂的数据中心管理成本,“云”的通用性使资源的利用率较之传统系统大幅提升,因此用户可以充分享受“云”的低成本优势,经常只要花费几百美元、几天时间就能完成以前需要数万美元、数月时间才能完成的任务。
根据IDC在2009年年底发布的一项调查报告显示,云计算服务面临的前三大市场挑战分别为服务安全性、稳定性和性能表现。该三大挑战排名同 IDC于2008年进行的云计算服务调查结论完全一致。2009年11月,Forrester Research公司的调查结果显示,有51%的中小型企业认为安全性和隐私问题是他们尚未使用云服务的最主要原因。由此可见,安全性是客户选择云计算时的首要考虑因素。
云计算由于其用户、信息资源的高度集中,带来的安全事件后果与风险也较传统应用高出很多。在2009年,Google、Microsoft、 Amazon等公司的云计算服务均出现了重大故障,导致成千上万客户的信息服务受到影响,进一步加剧了业界对云计算应用安全的担忧。
在云计算领域各种应用上不同的服务由不同的系统提供,但是这些服务仍提供给某些特定系统的特定用户,并且出于应用系统安全上的需要,每一个系统都需要对用户的身份进行认证和对其用户所访问的系统功能进行授权,应用系统在用户管理上基本上都自成体系,以保证合法用户的权益,拒统要求提供不同的用户名和口令,这样给用户带来了极大的不便;同时,口令存储环节的增加,也增加了口令泄露的可能性。
同时,云计算领域,也普遍存在多个系统信息资源目录的统一问题,普遍存在统一认证和统一授权管理问题,普遍存在统一认证和统一授权机制、分级分类认证和授权操作问题。这些问题的解决直接影响整个信息资源系统的可控性和安全性。这是当前各企业单位信息化建设中的一个关键问题。
因此本发明这种方式既能对用户进行统一的授权和认证,也能展现各用户的统一权限视图,统一用户授权管理是以资源的授权、访问决策控制集中管理为目标,以资源的访问控制为导向,以资源的安全、防扩散为前提,将各个应用系统的所有受控资源进行统一授权,不仅可以保护应用系统的信息安全、建立全面的信息保密制度,同时满足对系统文档加密和授权需求,构建安全可控的文档安全、防扩散管理系统。
发明内容
本发明的目的是提供一种云计算环境下的分布式授权认证方法。
本发明的目的是按以下方式实现的,
一种云计算领域的分布式授权策略,包括 :
1、云计算领域的分布式授权策略,其特征在于通过对在云计算系统中各个子模块通过分布式授权的方式实现系统的统一认证和授权,从而实现大规模云计算环境下对云计算系统安全的可靠保证,该系统体系结构包括:云客户端(1)、认证授权系统(2)、各子系统模块(3)其中:
云客户端(1)在云平台系统的访问客户端,最终用户通过云客户端访问云平台各子系统模块的功能;
认证授权系统(2)主要包括认证和授权两部分功能,认证即对验证用户身份的合法性,授权是赋予用户访问功能相应的权限;
各子系统模块(3)可能是云平台中各个功能的子系统,包括管理、监控、云资源、计费等等功能,这些系统对外提供标准的Rest 方式访问接口;
2、分布式授权策略的步骤主要如下:
1)云客户端(1)用户使用用户名和密码去认证授权系统(2)请求认证
2)用户名和密码如果正确,认证授权系统(2)将返回此用户唯一的token
3)云客户端(1)带着token到子系统模块(3)调用某个Rest API,来实现某些功能
4)子系统(3)的通过token从认证授权系统(2)中获取用户的认证信息,确保是否是有效的认证用户
5)认证授权系统(2)通过token进行确认并返回认证信息
6)子系统(3)认证通过之后,通过用户ID去认证授权系统(2)获取此用户是否有调用这个Rest API接口的权限
7)认证授权系统(2)通过用户ID进行确认并返回授权信息
8)子系统(3)返回执行的结果。
本发明的有益效果是:本发明设计分布式的认证和授权管理类安全控制系统,提供与当前云计算平台体系和业务模式相适应的分级分类认证和授权机制。向用户和应用系统提供整合的认证和授权控制管理服务,提供用户身份认证到应用授权的映射功能。提供用户控制的基于多种业务属性组合条件下灵活的授权和访问控制机制,简化具体应用系统的开发维护。
附图说明
图1是网络架构视图;
图2是分布式授权逻辑图。
具体实施方式
参照说明书附图对本发明的方法作以下详细地说明。
现有技术中的安全防御系统一般通过增加防火墙等安全过滤系统来进行安全防御,但如果攻击的类型和数量比较多,很可能导致防御系统的负载过重而崩溃。
为了解决上述问题,本发明实现在云计算环境下的弹性的安全过滤策略设计,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
首先结合附图1,对本发明的实施进行说明,在一个典型的配置环境中用户通过云客户端可以访问到云计算平台中的资源,向用户和应用系统提供整合的认证和授权控制管理服务,从而确保云计算平台的安全。
本发明的设计原理如附图1所示,在云计算系统中各个子模块通过分布式授权的方式实现系统的统一认证和授权,从而实现大规模云计算环境下对云计算系统安全的可靠保证,该系统体系结构包括:云客户端(1)、认证授权系统(2)、各子系统模块(3)其中:
云客户端(1)在云平台系统的访问客户端,最终用户通过云客户端访问云平台各子系统模块的功能;
认证授权系统(2)主要包括认证和授权两部分功能,认证即对验证用户身份的合法性,授权是赋予用户访问功能相应的权限。
各子系统模块(3)可能是云平台中各个功能的子系统,包括管理、监控、云资源、计费等等功能,这些系统对外提供标准的Rest 方式访问接口。
图2说明了安全系统一次分布式认证的流程:
1)云客户端(1)用户使用用户名和密码去认证授权系统(2)请求认证
2)用户名和密码如果正确,认证授权系统(2)将返回此用户唯一的token
3)云客户端(1)带着token到子系统模块(3)调用某个Rest API,来实现某些功能
4)子系统(3)的通过token从认证授权系统(2)中获取用户的认证信息,确保是否是有效的认证用户
5)认证授权系统(2)通过token进行确认并返回认证信息
6)子系统(3)认证通过之后,通过用户ID去认证授权系统(2)获取此用户是否有调用这个Rest API接口的权限
7)认证授权系统(2)通过用户ID进行确认并返回授权信息
8)子系统(3)返回执行的结果
上述实施例中的各装置/功能模块/功能单元以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。上述提到的计算机可读取存储介质可以是只读存储器,磁盘或光盘等。
任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求所述的保护范围为准。上述实施例的全部或部分步骤也可以使用集成电路来实现,这些步骤可以被分别制作成一个个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
上述实施例中的各装置、功能模块、功能单元可以采用通用的计算装置来实现,它们可以集中在单个的计算装置上,也可以分布在多个计算装置所组成的网络上。本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用计算机程序流程来实现,所述计算机程序可以存储于一计算机可读存储介质中,所述计算机程序在相应的硬件平台上(如系统、设备、装置、器件等)执行,在执行时,包括方法实施例的步骤之一或其组合。
除说明书所述的技术特征外,均为本专业技术人员的已知技术。
Claims (1)
1.一种云计算环境下的分布式授权认证方法, 其特征在于对设置在云计算系统中的各个子模块,通过分布式授权的方式实现系统的统一认证和授权,从而实现大规模云计算环境下对云计算系统安全的可靠保证,该系统体系结构包括:云客户端(1)、认证授权系统(2)、各子系统模块(3)其中:
云客户端(1)在云平台系统的访问客户端,最终用户通过云客户端访问云平台各子系统模块的功能;
认证授权系统(2)包括认证和授权两部分功能,认证即对验证用户身份的合法性,授权是赋予用户访问功能相应的权限;
各子系统模块(3)是云平台中各个功能的子系统,包括管理、监控、云资源、计费的功能系统,这些系统对外提供标准的Rest 方式访问接口;
分布式授权的具体步骤如下:
1)云客户端(1)用户使用用户名和密码去认证授权系统(2)请求认证;
2)用户名和密码如果正确,认证授权系统(2)将返回此用户唯一的token;
3)云客户端(1)带着token到子系统模块(3)调用各子系统的Rest API,来实现其功能;
4)、各子系统模块(3)的通过token从认证授权系统(2)中获取用户的认证信息,确保是否是有效的认证用户;
5)认证授权系统(2)通过token进行确认并返回认证信息;
6)各子系统模块(3)认证通过之后,通过用户ID去认证授权系统(2)获取此用户是否有调用这个Rest API接口的权限;
7)认证授权系统(2)通过用户ID进行确认并返回授权信息;
8)各子系统模块(3)返回执行的结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013100566734A CN103152336A (zh) | 2013-02-22 | 2013-02-22 | 一种云计算环境下的分布式授权认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013100566734A CN103152336A (zh) | 2013-02-22 | 2013-02-22 | 一种云计算环境下的分布式授权认证方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103152336A true CN103152336A (zh) | 2013-06-12 |
Family
ID=48550199
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2013100566734A Pending CN103152336A (zh) | 2013-02-22 | 2013-02-22 | 一种云计算环境下的分布式授权认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103152336A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685535A (zh) * | 2013-12-20 | 2014-03-26 | 广东电子工业研究院有限公司 | 一种大规模分布异构数据处理的云数据库系统接口设计 |
| CN104092737A (zh) * | 2014-06-24 | 2014-10-08 | 广州亿程交通信息有限公司 | 基于云技术的位置服务中间件方法 |
| CN104809615A (zh) * | 2015-03-31 | 2015-07-29 | 锐波天下(北京)科技有限公司 | 第一交易认证设备、分级式交易认证系统及交易认证方法 |
| CN105430000A (zh) * | 2015-12-17 | 2016-03-23 | 北京华油信通科技有限公司 | 云计算安全管理系统 |
| WO2016078024A1 (zh) * | 2014-11-19 | 2016-05-26 | 北京神州泰岳软件股份有限公司 | 一种信息提供方法、数据传输方法及装置 |
| CN105635132A (zh) * | 2015-12-24 | 2016-06-01 | 浪潮软件集团有限公司 | 一种用户认证的方法及系统 |
| CN106375334A (zh) * | 2016-09-28 | 2017-02-01 | 郑州云海信息技术有限公司 | 一种分布式系统的认证方法 |
| CN106529216A (zh) * | 2016-10-27 | 2017-03-22 | 西安交通大学 | 一种基于公共存储平台的软件授权系统及软件授权方法 |
| CN107147678A (zh) * | 2017-07-12 | 2017-09-08 | 山东浪潮云服务信息科技有限公司 | 一种基于rest风格的政务信息资源安全交换的方法及系统 |
| CN107438067A (zh) * | 2017-06-27 | 2017-12-05 | 北京溢思得瑞智能科技研究院有限公司 | 一种基于mesos容器云平台的多租户构建方法及系统 |
| CN108512822A (zh) * | 2017-02-28 | 2018-09-07 | 阿里巴巴集团控股有限公司 | 一种数据处理事件的风险识别方法和装置 |
| CN109995744A (zh) * | 2018-01-03 | 2019-07-09 | 腾讯科技(深圳)有限公司 | 一种授权管理方法、装置和存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101296243A (zh) * | 2008-06-26 | 2008-10-29 | 阿里巴巴集团控股有限公司 | 一种服务集成平台系统及提供互联网服务的方法 |
| CN102045171A (zh) * | 2010-12-30 | 2011-05-04 | 北京世纪互联工程技术服务有限公司 | 统一认证系统和基于该统一认证系统的登录方法 |
| CN102571948A (zh) * | 2011-12-29 | 2012-07-11 | 国云科技股份有限公司 | 基于云计算的PaaS平台系统及其实现方法 |
-
2013
- 2013-02-22 CN CN2013100566734A patent/CN103152336A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101296243A (zh) * | 2008-06-26 | 2008-10-29 | 阿里巴巴集团控股有限公司 | 一种服务集成平台系统及提供互联网服务的方法 |
| CN102045171A (zh) * | 2010-12-30 | 2011-05-04 | 北京世纪互联工程技术服务有限公司 | 统一认证系统和基于该统一认证系统的登录方法 |
| CN102571948A (zh) * | 2011-12-29 | 2012-07-11 | 国云科技股份有限公司 | 基于云计算的PaaS平台系统及其实现方法 |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685535A (zh) * | 2013-12-20 | 2014-03-26 | 广东电子工业研究院有限公司 | 一种大规模分布异构数据处理的云数据库系统接口设计 |
| CN104092737B (zh) * | 2014-06-24 | 2018-03-13 | 广州亿程交通信息有限公司 | 基于云技术的位置服务中间件方法 |
| CN104092737A (zh) * | 2014-06-24 | 2014-10-08 | 广州亿程交通信息有限公司 | 基于云技术的位置服务中间件方法 |
| WO2016078024A1 (zh) * | 2014-11-19 | 2016-05-26 | 北京神州泰岳软件股份有限公司 | 一种信息提供方法、数据传输方法及装置 |
| CN104809615A (zh) * | 2015-03-31 | 2015-07-29 | 锐波天下(北京)科技有限公司 | 第一交易认证设备、分级式交易认证系统及交易认证方法 |
| CN104809615B (zh) * | 2015-03-31 | 2018-07-03 | 锐波天下(北京)科技有限公司 | 第一交易认证设备、分级式交易认证系统及交易认证方法 |
| CN105430000A (zh) * | 2015-12-17 | 2016-03-23 | 北京华油信通科技有限公司 | 云计算安全管理系统 |
| CN105635132B (zh) * | 2015-12-24 | 2018-09-07 | 浪潮软件集团有限公司 | 一种用户认证的方法及系统 |
| CN105635132A (zh) * | 2015-12-24 | 2016-06-01 | 浪潮软件集团有限公司 | 一种用户认证的方法及系统 |
| CN106375334A (zh) * | 2016-09-28 | 2017-02-01 | 郑州云海信息技术有限公司 | 一种分布式系统的认证方法 |
| CN106529216A (zh) * | 2016-10-27 | 2017-03-22 | 西安交通大学 | 一种基于公共存储平台的软件授权系统及软件授权方法 |
| CN106529216B (zh) * | 2016-10-27 | 2022-04-22 | 西安交通大学 | 一种基于公共存储平台的软件授权系统及软件授权方法 |
| CN108512822A (zh) * | 2017-02-28 | 2018-09-07 | 阿里巴巴集团控股有限公司 | 一种数据处理事件的风险识别方法和装置 |
| CN107438067A (zh) * | 2017-06-27 | 2017-12-05 | 北京溢思得瑞智能科技研究院有限公司 | 一种基于mesos容器云平台的多租户构建方法及系统 |
| CN107147678A (zh) * | 2017-07-12 | 2017-09-08 | 山东浪潮云服务信息科技有限公司 | 一种基于rest风格的政务信息资源安全交换的方法及系统 |
| CN109995744A (zh) * | 2018-01-03 | 2019-07-09 | 腾讯科技(深圳)有限公司 | 一种授权管理方法、装置和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103152336A (zh) | 一种云计算环境下的分布式授权认证方法 | |
| US11750609B2 (en) | Dynamic computing resource access authorization | |
| US8448170B2 (en) | System and method for providing annotated service blueprints in an intelligent workload management system | |
| US11102196B2 (en) | Authenticating API service invocations | |
| CN103685463A (zh) | 云计算系统中访问控制的方法和系统 | |
| CN104769908A (zh) | 基于ldap的多租户云中身份管理系统 | |
| US12074862B2 (en) | Unified identity and access management (IAM) control plane for services associated with a hybrid cloud | |
| US8516138B2 (en) | Multiple authentication support in a shared environment | |
| JP2017513274A (ja) | ローカルネットワークデバイスへの安全なアクセスを提供するためのシステム及び方法 | |
| US10542047B2 (en) | Security compliance framework usage | |
| CN111327613B (zh) | 分布式服务的权限控制方法、装置及计算机可读存储介质 | |
| US11968201B2 (en) | Per-device single sign-on across applications | |
| Chiang et al. | Authentication, authorization and file synchronization in hybrid cloud: On case of Google Docs, Hadoop and Linux local hosts | |
| Eltaeib et al. | Taxonomy of challenges in cloud security | |
| Nwobodo | Cloud computing: Models, services, utility, advantages, security issues, and prototype | |
| Suwarningsih et al. | The multi-tenancy queueing system “QuAntri” for public service mall | |
| US9699218B1 (en) | Security compliance framework deployment | |
| Zic et al. | Towards a cloud-based integrity measurement service | |
| US11405379B1 (en) | Multi-factor message-based authentication for network resources | |
| Xie et al. | Cloud Multidomain Access Control Model Based on Role and Trust‐Degree | |
| Dhawan | Conceptualization of Cloud Computing and its Security Threats, Challenges, Technologies and Application | |
| Koushik et al. | Open security system for cloud architecture | |
| Shenai et al. | A federated cloud computing model with self-organizing capability using trust negotiation | |
| Hawasli | azureLang: a probabilistic modeling and simulation language for cyber attacks in Microsoft Azure cloud infrastructure | |
| US20240187410A1 (en) | Preventing masquerading service attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130612 |