CN104009846B - 一种单点登录装置和方法 - Google Patents
一种单点登录装置和方法 Download PDFInfo
- Publication number
- CN104009846B CN104009846B CN201410191250.8A CN201410191250A CN104009846B CN 104009846 B CN104009846 B CN 104009846B CN 201410191250 A CN201410191250 A CN 201410191250A CN 104009846 B CN104009846 B CN 104009846B
- Authority
- CN
- China
- Prior art keywords
- gateway
- service
- safety certification
- security assertions
- sign
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种单点登录装置和方法,包括:服务请求方、服务提供方、安全认证方和网关群,网关群包括:断言网关、多个业务网关、流量监测器和流量分发器,其中:服务请求方用于请求安全断言并请求服务;服务提供方用于提供服务;安全认证方用于提供注册和吊销业务并提供安全断言;断言网关用于存储安全认证方的安全断言并转发安全断言给服务请求方;业务网关用于将服务请求方的安全断言与断言网关所存储的进行比较,将服务提供方提供的数据转发回服务请求方;流量监测器用于统计网络流量;流量分发器用于控制各业务网关的网络流量,以实现负载均衡。本发明能够保证单点登录系统在大数据环境中更加稳定高效地运行。
Description
技术领域
本发明涉及互联网领域,尤其涉及一种单点登录装置和方法。
背景技术
随着网络技术的不断发展,基于网络平台的应用系统越来越多,并呈现出形式多样化和技术复杂化的特点。为了增强系统的安全性,身份认证技术被越来越多应用于系统的登录过程。在这种情况下,用户如果要完成一系列的业务工作就可能需要进入多个不同的系统,但是不同的系统又同时具有不同的身份校验凭证(比如用户名和安全口令),这不但要求用户需要记住多套的用户名和安全口令,而且会极大的影响系统的执行效率,使用户体验度大打折扣。单点登录的概念因此被提出,其主要用途就是帮助用户在进行身份校验的时候只需要进行一次身份验证就可以访问其受信的所有业务资源。单点登录的模型主要包括基于经纪人的单点登录模型、基于代理的单点登录模型、基于网关的单点登录模型等。
在基于网关的单点登录模型中,会提供一个类似“门”的网关,用以安全地接入到可信的网络服务,如图1所示。网关可以是防火墙或者是专门用于通讯加密的服务器,其工作方式如下:首先,客户机要向网关进行身份验证,一般要使用加密技术。为了避免有人假扮网关来欺骗客户机,在初始的认证过程中,客户机可以要求进行相互的身份认证,即客户机要向网关证明自己是合法用户,同时网关也要向客户机证明自己是值得信赖的网关。然后客户机提出自己访问资源的请求,网关通过用户信息数据库查找该用户。如果该用户存在且通过认证,则网关会授权用户使用对应的服务;如果该用户不存在于用户信息数据库中,则网关拒绝其请求。由于在网关后的所有服务资源处在一个可被信赖的网络中,所以各种服务可以用其IP地址来表示。这样,把用户的身份信息和其有权访问的服务资源的IP地址结合起来,便可以实现单点登录。因为网关只要记住该用户的身份标识,便可以自动让用户访问其有权访问的资源,而不需要多余的认证过程。
随着计算机技术的飞速发展,单点登录模型也日渐成熟,但是仍然存在一些技术问题。在基于网关的单点登录模型中,所有的业务数据转发和认证过程都要通过一个网关完成,显然不能满足当今大数据时代的要求,当业务数据转发量成指数增长的时候,很容易导致网关的瘫痪。
发明内容
(一)要解决的技术问题
本发明提供一种单点登录装置和方法,以解决现有技术的基于网关的单点登录模型中不能适应大数据时代的要求,容易瘫痪的技术问题。
(二)技术方案
为解决上述技术问题,本发明提供一种单点登录装置,包括:服务请求方、服务提供方、安全认证方和网关群,所述网关群包括:断言网关、多个业务网关、流量监测器和流量分发器,其中:
所述服务请求方用于向所述断言网关请求安全断言,当接收到安全断言后向所述业务网关持安全断言请求服务;
所述服务提供方用于向所述安全认证方请求注册,注册成功后向所述业务网关提供所述服务请求方所请求的服务;
所述安全认证方用于对所述服务提供方、断言网关、业务网关提供注册和吊销业务;对所述断言网关转发的所述服务请求方的断言请求进行身份验证,验证通过后向所述断言网关提供其安全断言;
所述网关群中的断言网关用于存储安全认证方的安全断言并提供给业务网关;向所述安全认证方转发所述服务请求方的断言请求,接收所述安全认证方的安全断言并提供给所述服务请求方;业务网关用于接收所述服务请求方的安全断言和服务请求,将所述安全断言与断言网关所存储的进行比较验证,验证通过后向相应的服务提供方转发服务请求,并将服务提供方提供的数据转发回服务请求方;流量监测器用于统计网络流量并发送至流量分发器;流量分发器用于控制各业务网关的网络流量,以实现负载均衡。
进一步地,所述安全认证方还用于:
向注册成功的服务提供方、断言网关、业务网关发放数字证书;
向移除的服务提供方、断言网关、业务网关吊销数字证书。
进一步地,所述流量分发器还用于:
分析所述流量监测器的网络流量统计信息,将网络流量平均分发给所有业务网关,实现负载均衡。
进一步地,
所述流量监测器还用于:实时统计网关群的总网络流量;
相应地,所述流量分发器还用于:当总网络流量值超出网关群的最大负载流量,增加新的业务网关。
进一步地,所述流量监测器还用于:
强制新的业务网关到所述安全认证方进行注册。
进一步地,
所述流量监测器还用于:实时统计网关群各业务网关的网络流量;
相应地,所述流量分发器还用于:当各业务网关的网络流量值小于业务网关的正常业务负载阈值时,减少业务网关。
进一步地,所述流量监测器还用于:
令所述安全认证方移除所减少的业务网关的注册信息。
进一步地,
所述流量监测器还用于:当断言网关故障时,通知安全认证方将当前网络流量最小的业务网关标记为新的断言网关,将所有安全断言同步至新的断言网关;通知所有当前业务网关至新的断言网关查询安全断言;通知流量分发器停止对新的断言网关的网络流量分发。
进一步地,所述流量监测器还用于:
令所述安全认证方移除发生故障的断言网关的注册信息。
进一步地,
由服务请求方向断言网关请求安全断言,断言网关转发断言请求至安全认证方,安全认证方进行身份验证,验证通过后通过断言网关向服务请求方提供安全断言;
由服务请求方持安全断言向业务网关请求服务,业务网关将所述安全断言与断言网关所存储的进行比较验证,验证通过后向相应的服务提供方转发服务请求,并将服务提供方提供的数据转发回服务请求方;
由流量监测器统计网络流量并发送至流量分发器,流量分发器控制各业务网关的网络流量,以实现负载均衡。
(三)有益效果
可见,在本发明提供的单点登录装置和方法中,将传统的基于网关的单点登录模型扩展为网关群,并利用流量监测器和流量分发器实现了网络流量统计和负载均衡控制,避免了单网关单点登录的脆弱性,大大增加了系统的稳定性。由于本发明实施例网关群中的业务网关的负载低于传统模型中单个网关的负载,能够保持高效率运行,提高了整个系统的运行效率,有效适应大数据的环境。
本发明能够提供网络流量负载的预警功能,可以自适应地调整业务网关的数量,避免了资源浪费;并且可以实时监测断言网关的工作状态,避免了断言网关故障导致的系统瘫痪,提高了系统的健壮性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是基于网关的单点登录模型示意图;
图2是本发明实施例的单点登录装置结构示意图;
图3是本发明实施例的单点登录方法流程示意图;
图4是本发明实施例的单点登录方法中的登录流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例首先提供一种单点登录装置,参见图2,包括:服务请求方1、服务提供方2、安全认证方3和网关群4,网关群4包括:断言网关5、多个业务网关6、流量监测器7和流量分发器8,其中:
服务请求方1用于向断言网关5请求安全断言,当接收到安全断言后向业务网关6持安全断言请求服务;
服务提供方2用于向安全认证方3请求注册,注册成功后向业务网关6提供服务请求方1所请求的服务;
安全认证方3用于对服务提供方2、断言网关5、业务网关6提供注册和吊销业务;对断言网关5转发的服务请求方1的断言请求进行身份验证,验证通过后向断言网关5提供其安全断言;
网关群4中的断言网关5用于存储安全认证方3的安全断言并提供给业务网关6;向安全认证方3转发服务请求方1的断言请求,接收安全认证方3的安全断言并提供给服务请求方1;业务网关6用于接收服务请求方1的安全断言和服务请求,将安全断言与断言网关5所存储的进行比较验证,验证通过后向相应的服务提供方2转发服务请求,并将服务提供方2提供的数据转发回服务请求方1;流量监测器7用于统计网络流量并发送至流量分发器8;流量分发器8用于控制各业务网关6的网络流量,以实现负载均衡。
可见,在本发明实施例提供的单点登录装置中,将传统的基于网关的单点登录模型扩展为网关群,并利用流量监测器和流量分发器实现了网络流量统计和负载均衡控制,避免了单网关单点登录的脆弱性,大大增加了系统的稳定性。由于本发明实施例网关群中的业务网关的负载低于传统模型中单个网关的负载,能够保持高效率运行,提高了整个系统的运行效率,有效适应大数据的环境。
优选地,为了保障装置的安全性,安全认证方3还可以用于:向注册成功的服务提供方、断言网关、业务网关发放数字证书;向移除的服务提供方、断言网关、业务网关吊销数字证书。
为了使得整个装置中的各个业务网关6达到负载均衡,优选地,流量分发器8还可以用于:分析流量监测器7的网络流量统计信息,将网络流量平均分发给所有业务网关6,实现负载均衡。
当网关群4的总网络流量超过提前设定的网关群的最大负载流量时,可以对装置提供预警功能,优选地,流量监测器7还可以用于:实时统计网关群的总网络流量;相应地,流量分发器8还可以用于:当总网络流量值超出网关群4的最大负载流量,增加新的业务网关6。此时增加的业务网关6的数量取决于网关群的总网络流量值,最大负载流量取决于装置实际运行状态。这样不仅实现了装置的提前报警,还可以实时自适应地增加业务网关6的数量,保证了装置的稳定运行。当增加了新的业务网关6时,为了保证整个系统的安全性,需要强制新的业务网关6至安全认证方3进行注册,获取数字证书。
当网关群4各业务网关6的网络流量负载值远小于业务网关6的正常业务负载阈值时,可以适当减少业务网关6的数量,以节约资源。优选地,流量监测器7还可以用于:实时统计网关群4各业务网关6的网络流量;相应地,流量分发器8还可以用于:当各业务网关6的网络流量值小于业务网关6的正常业务负载阈值时,减少业务网关6,正常业务负载阈值取决于网络和业务网关6的状态。其中流量分发器8可以随机标记适量的业务网关6,并不再对其分发网络流量,所减少的业务网关6的数量取决于其网络流量的平均负载值。为了保证安全性,需要令安全认证方3及时移除所减少的业务网关6的注册信息,吊销数字证书。
流量监测器7还需要实时检测当前断言网关5的工作状态。优选地,在当前断言网关5没有心跳,也即出现故障时,需要及时将网关群4中网络流量最小的业务网关6的IP通知安全认证方3,将其标记为新的断言网关5,并将所有安全断言同步至新的断言网关5上。同时,可以通知所有当前业务网关6至新的断言网关5查询安全断言;也需要通知流量分发器8停止对新的断言网关5的网络流量分发。这样及时避免了系统的瘫痪,进一步增强了系统的健壮性。另外,还需要令安全认证方3及时移除发生故障的断言网关5的注册信息,吊销其数字证书。
本发明实施例还提供一种单点登录方法,参见图3,包括:
步骤301:由服务请求方向断言网关请求安全断言,断言网关转发断言请求至安全认证方,安全认证方进行身份验证,验证通过后通过断言网关向服务请求方提供安全断言;
步骤302:由服务请求方持安全断言向业务网关请求服务,业务网关将所述安全断言与断言网关所存储的进行比较验证,验证通过后向相应的服务提供方转发服务请求,并将服务提供方提供的数据转发回服务请求方;
步骤303:由流量监测器统计网络流量并发送至流量分发器,流量分发器控制各业务网关的网络流量,以实现负载均衡。
单点登录方法中的登录流程图如图4所示。
可见,本发明实施例至少具有如下有益效果:
在本发明实施例提供的单点登录装置和方法中,将传统的基于网关的单点登录模型扩展为网关群,并利用流量监测器和流量分发器实现了网络流量统计和负载均衡控制,避免了单网关单点登录的脆弱性,大大增加了系统的稳定性。由于本发明实施例网关群中的业务网关的负载低于传统模型中单个网关的负载,能够保持高效率运行,提高了整个系统的运行效率,有效适应大数据的环境。
本发明实施例能够提供网络流量负载的预警功能,可以自适应地调整业务网关的数量,避免了资源浪费;并且可以实时监测断言网关的工作状态,避免了断言网关故障导致的系统瘫痪,提高了系统的健壮性。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种单点登录装置,其特征在于,包括:服务请求方、服务提供方、安全认证方和网关群,所述网关群包括:断言网关、多个业务网关、流量监测器和流量分发器,其中:
所述服务请求方用于向所述断言网关请求安全断言,当接收到安全断言后持安全断言向所述业务网关请求服务;
所述服务提供方用于向所述安全认证方请求注册,注册成功后向所述业务网关提供所述服务请求方所请求的服务;
所述安全认证方用于对所述服务提供方、断言网关、业务网关提供注册和吊销业务;对所述断言网关转发的所述服务请求方的断言请求进行身份验证,验证通过后向所述断言网关提供其安全断言;
所述网关群中的断言网关用于存储安全认证方的安全断言并提供给业务网关;向所述安全认证方转发所述服务请求方的断言请求,接收所述安全认证方的安全断言并提供给所述服务请求方;业务网关用于接收所述服务请求方的安全断言和服务请求,将所述安全断言与断言网关所存储的安全认证方的安全断言进行比较验证,验证通过后向相应的服务提供方转发服务请求,并将服务提供方提供的数据转发回服务请求方;流量监测器用于统计网络流量并发送至流量分发器;流量分发器用于控制各业务网关的网络流量,以实现负载均衡。
2.根据权利要求1所述的单点登录装置,其特征在于,所述安全认证方还用于:
向注册成功的服务提供方、断言网关、业务网关发放数字证书;
向移除的服务提供方、断言网关、业务网关吊销数字证书。
3.根据权利要求1所述的单点登录装置,其特征在于,所述流量分发器还用于:
分析所述流量监测器的网络流量统计信息,将网络流量平均分发给所有业务网关,实现负载均衡。
4.根据权利要求1至3中任一项所述的单点登录装置,其特征在于:
所述流量监测器还用于:实时统计网关群的总网络流量;
相应地,所述流量分发器还用于:当总网络流量值超出网关群的最大负载流量,增加新的业务网关。
5.根据权利要求4所述的单点登录装置,其特征在于,所述流量监测器还用于:
强制新的业务网关到所述安全认证方进行注册。
6.根据权利要求1至3中任一项所述的单点登录装置,其特征在于:
所述流量监测器还用于:实时统计网关群各业务网关的网络流量;
相应地,所述流量分发器还用于:当各业务网关的网络流量值小于业务网关的正常业务负载阈值时,减少业务网关。
7.根据权利要求6所述的单点登录装置,其特征在于,所述流量监测器还用于:
令所述安全认证方移除所减少的业务网关的注册信息。
8.根据权利要求1至3中任一项所述的单点登录装置,其特征在于:
所述流量监测器还用于:当断言网关故障时,通知安全认证方将当前网络流量最小的业务网关标记为新的断言网关,将所有安全断言同步至新的断言网关;通知所有当前业务网关至新的断言网关查询安全断言;通知流量分发器停止对新的断言网关的网络流量分发。
9.根据权利要求8所述的单点登录装置,其特征在于,所述流量监测器还用于:
令所述安全认证方移除发生故障的断言网关的注册信息。
10.一种单点登录方法,其特征在于,包括:
由服务请求方向断言网关请求安全断言,断言网关转发断言请求至安全认证方,安全认证方进行身份验证,验证通过后通过断言网关向服务请求方提供安全断言;
由服务请求方持安全断言向业务网关请求服务,业务网关将所述安全断言与断言网关所存储的安全认证方的安全断言进行比较验证,验证通过后向相应的服务提供方转发服务请求,并将服务提供方提供的数据转发回服务请求方;
由流量监测器统计网络流量并发送至流量分发器,流量分发器控制各业务网关的网络流量,以实现负载均衡。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410191250.8A CN104009846B (zh) | 2014-05-07 | 2014-05-07 | 一种单点登录装置和方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410191250.8A CN104009846B (zh) | 2014-05-07 | 2014-05-07 | 一种单点登录装置和方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104009846A CN104009846A (zh) | 2014-08-27 |
CN104009846B true CN104009846B (zh) | 2017-07-04 |
Family
ID=51370342
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410191250.8A Active CN104009846B (zh) | 2014-05-07 | 2014-05-07 | 一种单点登录装置和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104009846B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104468532A (zh) * | 2014-11-19 | 2015-03-25 | 成都卫士通信息安全技术有限公司 | 一种跨多级网络边界的网络资源访问接入控制方法 |
CN108449361A (zh) * | 2018-04-25 | 2018-08-24 | 苏州云坤信息科技有限公司 | 一种基于应用网关的免登录身份认证方法 |
CN110334161A (zh) * | 2018-12-03 | 2019-10-15 | 黄文哲 | 一种均衡负载数据线缆装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1946025A (zh) * | 2006-11-06 | 2007-04-11 | 吉林大学 | 一种路由器和入侵检测系统联动的方法 |
CN101365120A (zh) * | 2008-09-25 | 2009-02-11 | 北京中星微电子有限公司 | 网络视频监控系统的数据集中管理方法 |
CN102006296A (zh) * | 2010-11-26 | 2011-04-06 | 杭州华三通信技术有限公司 | 一种安全认证的方法和设备 |
CN102255979A (zh) * | 2010-05-21 | 2011-11-23 | 上海繁云信息科技有限公司 | 一种接入服务器的方法和系统 |
-
2014
- 2014-05-07 CN CN201410191250.8A patent/CN104009846B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1946025A (zh) * | 2006-11-06 | 2007-04-11 | 吉林大学 | 一种路由器和入侵检测系统联动的方法 |
CN101365120A (zh) * | 2008-09-25 | 2009-02-11 | 北京中星微电子有限公司 | 网络视频监控系统的数据集中管理方法 |
CN102255979A (zh) * | 2010-05-21 | 2011-11-23 | 上海繁云信息科技有限公司 | 一种接入服务器的方法和系统 |
CN102006296A (zh) * | 2010-11-26 | 2011-04-06 | 杭州华三通信技术有限公司 | 一种安全认证的方法和设备 |
Also Published As
Publication number | Publication date |
---|---|
CN104009846A (zh) | 2014-08-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110086822B (zh) | 面向微服务架构的统一身份认证策略的实现方法及系统 | |
US10469496B2 (en) | Fabric assisted identity and authentication | |
US9639678B2 (en) | Identity risk score generation and implementation | |
CN109413032A (zh) | 一种单点登录方法、计算机可读存储介质及网关 | |
CN105991734B (zh) | 一种云平台管理方法及系统 | |
US10778668B2 (en) | HTTP session validation module | |
US9584615B2 (en) | Redirecting access requests to an authorized server system for a cloud service | |
CN107528856A (zh) | 基于区块链的物联网雾端设备在云端平台接入认证方法 | |
CN109040077A (zh) | 数据共享与隐私保护的方法及系统 | |
CN105049427B (zh) | 应用系统登录账号的管理方法及装置 | |
US11570203B2 (en) | Edge network-based account protection service | |
CN101626369A (zh) | 一种单点登录方法、设备及系统 | |
CN105933245A (zh) | 一种软件定义网络中安全的可信接入方法 | |
CN105577757B (zh) | 基于负载均衡的智能电力终端的多级管理系统及认证方法 | |
CN106341428A (zh) | 一种跨域访问控制方法和系统 | |
CN109067785A (zh) | 集群认证方法、装置 | |
CN111092910A (zh) | 数据库安全访问方法、装置、设备、系统及可读存储介质 | |
CN104753960A (zh) | 一种基于单点登录的系统配置管理方法 | |
CN102571874B (zh) | 一种分布式系统中的在线审计方法及装置 | |
CN108011873A (zh) | 一种基于集合覆盖的非法连接判断方法 | |
CN104009846B (zh) | 一种单点登录装置和方法 | |
CN109088890A (zh) | 一种身份认证方法、相关装置及系统 | |
CN103746806B (zh) | 一种网页认证方法、装置及网络设备 | |
CN105635321A (zh) | 一种动态组网设备注册的方法 | |
CN108092777B (zh) | 数字证书的监管方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |