CN107204995A - 一种控制访问权限的系统、认证服务器和方法 - Google Patents
一种控制访问权限的系统、认证服务器和方法 Download PDFInfo
- Publication number
- CN107204995A CN107204995A CN201710631030.6A CN201710631030A CN107204995A CN 107204995 A CN107204995 A CN 107204995A CN 201710631030 A CN201710631030 A CN 201710631030A CN 107204995 A CN107204995 A CN 107204995A
- Authority
- CN
- China
- Prior art keywords
- user
- password
- server
- encryption
- stored
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本文公布一种控制访问权限的系统、认证服务器和方法,该方法包括:认证服务器将全部的用户信息存储在预先建立的数据库中,以及将全部的用户权限按层次树状结构存储在轻量目录访问协议(LDAP)目录中;当接收到访问服务器发送的用户信息时,认证服务器判断接收到的用户信息是否是认证用户;当判断出接收到的用户信息是认证用户时,认证服务器在LDAP目录中查找与该用户信息对应的用户权限并根据查找到的用户权限生成用户凭据;认证服务器将生成的用户凭据发送给访问服务器和集群服务器以供服务器集群接与访问服务器之间进行数据交互。本发明实施例实现了密码的统一管理以及权限的集中管理。
Description
技术领域
本发明实施例涉及但不限于云计算技术,尤指一种控制访问权限的系统、认证服务器和方法。
背景技术
随着云计算应用的普及,服务器数量越来越多,服务器上的虚拟机数量和关联关系也日渐复杂,安全问题伴随着虚拟机存在的整个生命周期中,涵盖的内容贯穿产品设计、开发、测试、运维、基础设施(如,互联网数据中心(IDC,Internet Data Center)、内网、外网办公网)等各个方面。
用户登录某一个IDC线上服务器以进行与服务器集群之间的数据交互。其中,对IDC线上服务器的用户权限需要进行合理、规范、统一的用户权限验证和管理。其中,常见的认证方式是按照机器的,即用户每次修改用户信息(用户信息包括用户名和口令)中的口令(密码)后,都需要对所有相关机器一一进行该用户的口令的修改以及根据修改后的用户信息调整用户信息与用户权限,密码权限管理混乱,并且容易遗漏。
发明内容
本申请提供了一种控制访问权限的系统、认证服务器和方法,能够实现密码的统一管理以及权限的集中管理。
为了达到本申请目的,本申请提供了一种控制访问权限的系统,包括:认证服务器、访问服务器和服务器集群;其中,
认证服务器,用于将全部的用户信息存储在预先建立的数据库中;将全部的用户权限按层次树状结构存储在轻量目录访问协议LDAP目录中;当接收到访问服务器发送的用户信息时,判断接收到的用户信息是否是认证用户;当判断出接收到的用户信息是认证用户时,在LDAP目录中查找与该用户信息对应的用户权限并根据查找到的用户权限生成用户凭据;将生成的用户凭据发送给访问服务器与服务器集群;
访问服务器,用于将用户输入的用户信息发送给认证服务器;接收认证服务器发送的用户凭据;根据接收到的用户凭据与服务器集群进行数据交互;
服务器集群,用于接收到来自认证服务器发送的用户凭据,对该用户开放与该用户凭据对应的用户权限以与访问服务器进行数据交互。
可选地,所述用户信息包括:用户名和口令;
所述认证服务器中用于将全部的用户信息存储在预先建立的数据库中包括:
采用预先部署的网络认证协议Kerberos服务Service分别对每个用户的用户名和口令进行加密;
将加密后的每个用户的用户名和口令对应存储在所述预先建立的数据库中。
可选地,所述认证服务器中用于判断接收到的用户信息是否是认证用户包括:
采用所述预先部署的Kerberos Service对接收到的用户名和口令进行加密;
将对接收到的加密后的用户名和口令与已存储在所述预先建立的数据库中的加密后的用户名和口令进行比较;
当所述对接收到的加密后的用户名和口令与所述已存储在所述预先建立的数据库中的加密后的用户名和口令中的某一加密后的用户名和口令一致时,判断出接收到的用户信息是认证用户;
当所述对接收到的加密后的用户名和口令与所述已存储在所述预先建立的数据库中的加密后的用户名和口令中的任一加密后的用户名和口令均不一致时,验证出接收到的用户信息不是认证用户。
可选地,所述认证服务器通过预先部署的LDAP服务Service将所述全部的用户权限按层次树状结构存储在LDAP目录中。
本申请还提供了一种认证服务器,包括:密码管理单元、权限管理单元、收发单元、认证单元和处理单元;其中,
密码管理单元,用于将全部的用户信息存储在预先建立的数据库中;
权限管理单元,用于将全部的用户权限按层次树状结构存储在轻量目录访问协议LDAP目录中;
收发单元,用于当接收到访问服务器发送的用户信息时,将接收到的用户信息发送给认证单元;将生成的用户凭据发送给访问服务器和集群服务器;
认证单元,用于判断接收到的用户信息是否是认证用户;当判断出接收到的用户信息是认证用户时,通知处理单元;
处理单元,用于接收到来自匹配单元发送的通知,在LDAP目录中查找与该用户信息对应的用户权限并根据查找到的用户权限生成用户凭据。
可选地,所述用户信息包括:用户名和口令;
所述密码管理单元,具体用于:
采用预先部署的网络认证协议Kerberos服务Service分别对每个用户的用户名和口令进行加密;
将加密后的每个用户的用户名和口令对应存储在所述预先建立的数据库中。
可选地,所述认证单元中用于判断接收到的用户信息是否是认证用户包括:
采用所述预先部署的Kerberos Service对接收到的用户名和口令进行加密;
将对接收到的加密后的用户名和口令与已存储在所述预先建立的数据库中的加密后的用户名和口令进行比较;
当所述对接收到的加密后的用户名和口令与所述已存储在所述预先建立的数据库中的加密后的用户名和口令中的某一加密后的用户名和口令一致时,判断出接收到的用户信息是认证用户;
当所述对接收到的加密后的用户名和口令与所述已存储在所述预先建立的数据库中的加密后的用户名和口令中的任一加密后的用户名和口令均不一致时,验证出接收到的用户信息不是认证用户。
本申请还提供了一种控制访问权限的方法,包括:
认证服务器将全部的用户信息存储在预先建立的数据库中,以及将全部的用户权限按层次树状结构存储在轻量目录访问协议LDAP目录中;
当接收到访问服务器发送的用户信息时,认证服务器判断接收到的用户信息是否是认证用户;
当判断出接收到的用户信息是认证用户时,认证服务器在LDAP目录中查找与该用户信息对应的用户权限并根据查找到的用户权限生成用户凭据;
认证服务器将生成的用户凭据发送给访问服务器和集群服务器以供服务器集群接与访问服务器之间进行数据交互。
可选地,所述用户信息包括:用户名和口令;
所述认证服务器将全部的用户信息存储在预先建立的数据库中的步骤包括:
采用预先部署的网络认证协议Kerberos服务Service分别对每个用户的用户名和口令进行加密;
将加密后的每个用户的用户名和口令对应存储在所述预先建立的数据库中。
可选地,所述认证服务器判断接收到的用户信息是否是认证用户的步骤包括:
采用所述预先部署的Kerberos Service对接收到的用户名和口令进行加密;
将对接收到的加密后的用户名和口令与已存储在所述预先建立的数据库中的加密后的用户名和口令进行比较;
当所述对接收到的加密后的用户名和口令与所述已存储在所述预先建立的数据库中的加密后的用户名和口令中的某一加密后的用户名和口令一致时,判断出接收到的用户信息是认证用户;
当所述对接收到的加密后的用户名和口令与所述已存储在所述预先建立的数据库中的加密后的用户名和口令中的任一加密后的用户名和口令均不一致时,验证出接收到的用户信息不是认证用户。
本发明实施例包括:认证服务器将全部的用户信息存储在预先建立的数据库中,以及将全部的用户权限按层次树状结构存储在轻量目录访问协议(LDAP)目录中;当接收到访问服务器发送的用户信息时,认证服务器判断接收到的用户信息是否是认证用户;当判断出接收到的用户信息是认证用户时,认证服务器在LDAP目录中查找与该用户信息对应的用户权限并根据查找到的用户权限生成用户凭据;认证服务器将生成的用户凭据发送给访问服务器和集群服务器以供服务器集群接与访问服务器之间进行数据交互。本发明实施例中,通过认证服务器将全部的用户信息存储在预先建立的数据库中,以及将全部的用户权限按层次树状结构存储在LDAP目录中,实现了密码的统一管理以及权限的集中管理。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例控制访问权限的系统的架构图;
图2为本发明实施例认证服务器的结构示意图;
图3为本发明实施例控制访问权限的方法的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
图1为本发明实施例控制访问权限的系统的架构图,如图1所示,包括:认证服务器、访问服务器和服务器集群。其中,
认证服务器,用于将全部的用户信息存储在预先建立的数据库中;将全部的用户权限按层次树状结构存储在轻量目录访问协议(LDAP)目录中;当接收到访问服务器发送的用户信息时,判断接收到的用户信息是否是认证用户;当判断出接收到的用户信息是认证用户时,在LDAP目录中查找与该用户信息对应的用户权限并根据查找到的用户权限生成用户凭据;将生成的用户凭据发送给访问服务器与服务器集群。
其中,本发明实施例用户信息包括:用户名和口令。
其中,本发明实施例认证服务器中用于将全部的用户信息存储在预先建立的数据库中包括:
采用预先部署的网络认证协议(Kerberos)服务(Service)分别对每个用户的用户名和口令进行加密;
将加密后的每个用户的用户名和口令对应存储在预先建立的数据库中。
需要说明的是,可以在认证服务器中预先部署Kerberos Service,KerberosService实现了用户信息的验证,关于如何部署Kerberos Service属于本领域技术人员所熟知的惯用技术手段,此处不再赘述,并不用来限制本申请。
可选地,本发明实施例认证服务器通过预先部署的LDAP Service将全部的用户权限按层次树状结构存储在LDAP目录中。
其中,本发明实施例LDAP Service可以预先部署在认证服务器中,LDAP Service实现了用户权限的管理与认证(验证)。需要说明的是,如何将LDAP Service部署在认证服务器中,属于本领域技术人员所熟知的惯用技术手段,此处不再赘述,并不用来限制本申请。
例如,本发明实施例认证服务器可以按照域/组织/角色/人员这样的层级建立结构进行权限划分管理,所有的用户权限按层次树状结构存储在认证服务器上的LDAP目录中,实现了权限集中管理。
其中,本发明实施例认证服务器中用于判断接收到的用户信息是否是认证用户包括:
采用预先部署的Kerberos Service对接收到的用户名和口令进行加密;
将对接收到的加密后的用户名和口令与已存储在预先建立的数据库中的加密后的用户名和口令进行比较;
当对接收到的加密后的用户名和口令与已存储在预先建立的数据库中的加密后的用户名和口令中的某一加密后的用户名和口令一致时,判断出接收到的用户信息是认证用户;
当对接收到的加密后的用户名和口令与已存储在预先建立的数据库中的加密后的用户名和口令中的任一加密后的用户名和口令均不一致时,验证出接收到的用户信息不是认证用户。
其中,本发明实施例对接收到的加密后的用户名和口令是指对接收到的用户名和口令分别采用预先部署的Kerberos Service加密后的用户名和口令。
其中,本发明实施例认证用户是合格用户,即拥有一定用户权限的合格用户。
可选地,本发明实施例认证服务器,还用于当监测到某一用户信息更改时,通过预先部署的Kerberos Service将已存储的该用户信息更新为更改后的用户信息。
其中,本发明实施例用户信息更改包括口令的更改。
其中,本发明实施例认证服务器中用于通过预先部署的Kerberos Service将已存储的该用户信息更新为更改后的用户信息:
通过预先部署的Kerberos Service对更改的用户信息的用户名和已更改的口令进行加密;
在预先建立的数据库中查找与对加密后的更改的用户信息的用户名对应已存储的加密后的口令;
将查找到的加密后的口令替换为加密后的已更改的口令。
其中,本发明实施例系统包括一个或两个认证服务器。
其中,当本发明实施例系统包括一个认证服务器时,Kerberos Service和LDAPService均部署在该认证服务器中;当本发明实施例系统包括两个认证服务器时,KerberosService和LDAP Service分别部署在不同的认证服务器中,且两个认证服务器通过LVS+Keepalived(一种实现LINUX虚拟机负责均衡的方式。其中,LVS是一个开源的软件,可以实现LINUX平台下的简单负载均衡,LVS是Linux Virtual Server的缩写,意思是Linux虚拟服务器;Keepalived是运行在LVS之上,它的主要功能是实现真实机的故障隔离及负载均衡器间的失败切换,提高系统的可用性)的方案实现高可用性,同时保证Kerberos Service和LDAP Service的高可用性。
例如,两个认证服务器分别为第一认证服务器和第二认证服务器,可以在第一认证服务器上预先部署Kerberos Service,在第二认证服务器上预先部署LDAP Service;也可以在第一认证服务器上预先部署LDAP Service,在第二认证服务器上预先部署KerberosService。
需要说明的是,如何通过LVS+Keepalived的的方案实现高可用性属于本领域技术人员所熟知的惯用技术手段,此处不再赘述,并不用来限制本申请。
访问服务器,用于将用户输入的用户信息发送给认证服务器;接收认证服务器发送的用户凭据;根据接收到的用户凭据与服务器集群进行数据交互。
需要说明的是,如何根据用户权限生成用户凭据属于本领域技术人员所熟知的惯用技术手段,此处不再赘述,并不用来限制本申请。例如,用户凭据可以是包含用户信息和用户权限的令牌(token)字符码等。
服务器集群,用于接收到来自认证服务器发送的用户凭据,对该用户开放与该用户凭据对应的用户权限以与访问服务器进行数据交互。
其中,本发明实施例服务器集群可以理解为是各种资源池,其可以提供各种业务功能。
图2为本发明实施例认证服务器的结构示意图,如图2所示,包括:密码管理单元、权限管理单元、收发单元、认证单元和处理单元。其中,
密码管理单元,用于将全部的用户信息存储在预先建立的数据库中。
其中,本发明实施例用户信息包括:用户名和口令。
其中,本发明实施例密码管理单元,具体用于:
采用预先部署的网络认证协议(Kerberos)服务(Service)分别对每个用户的用户名和口令进行加密;
将加密后的每个用户的用户名和口令对应存储在预先建立的数据库中。
其中,本发明实施例Kerberos Service可以预先部署在认证服务器中。需要说的是,关于如何部署Kerberos Service属于本领域技术人员所熟知的惯用技术手段,此处不再赘述,并不用来限制本申请。
可选地,本发明实施例密码管理单元,还用于:
当监测到某一用户信息更改时,通过预先部署的Kerberos Service将已存储的该用户信息更新为更改后的用户信息。
其中,本发明实施例用户信息更改包括口令的更改。
其中,本发明实施例密码管理单元中用于通过预先部署的Kerberos Service将已存储的该用户信息更新为更改后的用户信息:
通过预先部署的Kerberos Service对更改的用户信息的用户名和已更改的口令进行加密;
在预先建立的数据库中查找与对加密后的更改的用户信息的用户名对应已存储的加密后的口令;
将查找到的加密后的口令替换为加密后的已更改的口令。
权限管理单元,用于将全部的用户权限按层次树状结构存储在轻量目录访问协议(LDAP)目录中。
可选地,本发明实施例权限管理单元可以通过预先部署的LDAP Service将全部的用户权限按层次树状结构存储在LDAP目录中。
例如,本发明实施例认证服务器可以按照域/组织/角色/人员这样的层级建立结构进行权限划分管理,所有的用户权限按层次树状结构存储在认证服务器上的LDAP目录中,实现了权限集中管理。
收发单元,用于当接收到访问服务器发送的用户信息时,将接收到的用户信息发送给认证单元;将生成的用户凭据发送给访问服务器和集群服务器。
其中,本发明实施例访问服务器是用户登录互联网数据中心(IDC,Internet DataCenter)的某一个线上服务器,用户通过登录(通过在该线上服务器输入用户信息)该线上服务器可以与服务器集群进行数据交互。
其中,本发明实施例服务器集群可以理解为是各种资源池,其可以提供各种业务功能。
认证单元,用于判断接收到的用户信息是否是认证用户;当判断出接收到的用户信息是认证用户时,通知处理单元。
其中,认证单元中用于判断接收到的用户信息是否是认证用户包括:
采用预先部署的Kerberos Service对接收到的用户名和口令进行加密;
将对接收到的加密后的用户名和口令与已存储在预先建立的数据库中的加密后的用户名和口令进行比较;
当对接收到的加密后的用户名和口令与已存储在预先建立的数据库中的加密后的用户名和口令中的某一加密后的用户名和口令一致时,判断出接收到的用户信息是认证用户;
当对接收到的加密后的用户名和口令与已存储在预先建立的数据库中的加密后的用户名和口令中的任一加密后的用户名和口令均不一致时,验证出接收到的用户信息不是认证用户。
其中,本发明实施例认证用户是合格用户,即拥有一定用户权限的合格用户。
其中,本发明实施例对接收到的加密后的用户名和口令是指对接收到的用户名和口令分别采用预先部署的Kerberos Service加密后的用户名和口令。
处理单元,用于接收到来自匹配单元发送的通知,在LDAP目录中查找与该用户信息对应的用户权限并根据查找到的用户权限生成用户凭据。
图3为本发明实施例控制访问权限的方法的流程图,如图3所示,包括:
步骤301:认证服务器将全部的用户信息存储在预先建立的数据库中,以及将全部的用户权限按层次树状结构存储在轻量目录访问协议(LDAP)目录中。
其中,本发明实施例用户信息包括:用户名和口令。
其中,本发明实施例认证服务器将全部的用户信息存储在预先建立的数据库中的步骤包括:
采用预先部署的网络认证协议(Kerberos)服务(Service)分别对每个用户的用户名和口令进行加密;
将加密后的每个用户的用户名和口令对应存储在预先建立的数据库中。
其中,本发明实施例Kerberos Service可以预先部署在认证服务器中,KerberosService实现了密码的统一管理。需要说明的是,如何将Kerberos Service部署在认证服务器中,属于本领域技术人员所熟知的惯用技术手段,此处不再赘述,并不用来限制本申请。
可选地,本发明实施例认证服务器可以通过预先部署的LDAP Service将全部的用户权限按层次树状结构存储在LDAP目录中。
其中,本发明实施例LDAP Service可以预先部署在认证服务器中,LDAP Service实现了用户权限的管理与认证(验证)。需要说明的是,如何将LDAP Service部署在认证服务器中,属于本领域技术人员所熟知的惯用技术手段,此处不再赘述,并不用来限制本申请。
例如,本发明实施例认证服务器可以按照域/组织/角色/人员这样的层级建立结构进行权限划分管理,所有的用户权限按层次树状结构存储在认证服务器上的LDAP目录中,实现了权限集中管理。
其中,本发明实施例系统包括一个或两个认证服务器。
其中,当本发明实施例系统包括一个认证服务器时,Kerberos Service和LDAPService均部署在该认证服务器中;当本发明实施例系统包括两个认证服务器时,KerberosService和LDAP Service分别部署在不同的认证服务器中,且两个认证服务器通过LVS+Keepalived(一种实现LINUX虚拟机负责均衡的方式。其中,LVS是一个开源的软件,可以实现LINUX平台下的简单负载均衡,LVS是Linux Virtual Server的缩写,意思是Linux虚拟服务器;Keepalived是运行在LVS之上,它的主要功能是实现真实机的故障隔离及负载均衡器间的失败切换,提高系统的可用性)的方案实现高可用性,同时保证Kerberos Service和LDAP Service的高可用性。
例如,两个认证服务器分别为第一认证服务器和第二认证服务器,可以在第一认证服务器上预先部署Kerberos Service,在第二认证服务器上预先部署LDAP Service;也可以在第一认证服务器上预先部署LDAP Service,在第二认证服务器上预先部署KerberosService。
需要说明的是,如何通过LVS+Keepalived的的方案实现高可用性属于本领域技术人员所熟知的惯用技术手段,此处不再赘述,并不用来限制本申请。
步骤302:当接收到访问服务器发送的用户信息时,认证服务器判断接收到的用户信息是否是认证用户。
其中,本发明实施例认证服务器判断接收到的用户信息是否是认证用户的步骤包括:
采用预先部署的Kerberos Service对接收到的用户名和口令进行加密;
将对接收到的加密后的用户名和口令与已存储在预先建立的数据库中的加密后的用户名和口令进行比较;
当对接收到的加密后的用户名和口令与已存储在预先建立的数据库中的加密后的用户名和口令中的某一加密后的用户名和口令一致时,判断出接收到的用户信息是认证用户;
当对接收到的加密后的用户名和口令与已存储在预先建立的数据库中的加密后的用户名和口令中的任一加密后的用户名和口令均不一致时,验证出接收到的用户信息不是认证用户。
其中,本发明实施例认证用户是合格用户,即拥有一定用户权限的合格用户。
其中,本发明实施例对接收到的加密后的用户名和口令是指对接收到的用户名和口令分别采用预先部署的Kerberos Service加密后的用户名和口令。
可选地,在步骤301之后,在步骤302之前,本发明实施例方法还包括:
访问服务器接收到用户输入的用户信息,并将用户输入的用户信息发送给认证服务器。
其中,本发明实施例访问服务器是用户登录互联网数据中心(IDC,Internet DataCenter)的某一个线上服务器,用户通过登录(通过在该线上服务器输入用户信息)该线上服务器可以与服务器集群进行数据交互。
步骤303:当判断出接收到的用户信息是认证用户时,认证服务器在LDAP目录中查找与该用户信息对应的用户权限并根据查找到的用户权限生成用户凭据。
步骤304:认证服务器将生成的用户凭据发送给访问服务器和集群服务器以供服务器集群接与访问服务器之间进行数据交互。
其中,本发明实施例服务器集群可以理解为是各种资源池,其可以提供各种业务功能。
其中,本发明实施例步骤304包括:
认证服务器将生成的用户凭据发送给访问服务器和集群服务器;
服务器集群接收到来自认证服务器发送的用户凭据,对该用户开放与该用户凭据对应的用户权限以与访问服务器进行数据交互。
需要说明的是,如何根据用户权限生成用户凭据属于本领域技术人员所熟知的惯用技术手段,此处不再赘述,并不用来限制本申请。例如,用户凭据可以是包含用户信息和用户权限的token字符码等。
可选地,当认证服务器监测到某一用户信息更改时,本发明实施例方法还包括:
认证服务器通过预先部署的Kerberos Service将已存储的该用户信息更新为更改后的用户信息。
其中,本发明实施例用户信息更改包括口令的更改。
其中,本发明实施例认证服务器通过预先部署的Kerberos Service将已存储的该用户信息更新为更改后的用户信息的步骤包括:
通过预先部署的Kerberos Service对更改的用户信息的用户名和已更改的口令进行加密;
在预先建立的数据库中查找与对加密后的更改的用户信息的用户名对应已存储的加密后的口令;
将查找到的加密后的口令替换为加密后的已更改的口令。
本发明实施方式中,通过认证服务器将全部的用户信息存储在预先建立的数据库中,以及将全部的用户权限按层次树状结构存储在轻量目录访问协议LDAP目录中,实现了密码的统一管理以及权限的集中管理。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件(例如处理器)完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,例如通过集成电路来实现其相应功能,也可以采用软件功能模块的形式实现,例如通过处理器执行存储于存储器中的程序/指令来实现其相应功能。本发明不限制于任何特定形式的硬件和软件的结合。
以上仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。
Claims (10)
1.一种控制访问权限的系统,其特征在于,包括:认证服务器、访问服务器和服务器集群;其中,
认证服务器,用于将全部的用户信息存储在预先建立的数据库中;将全部的用户权限按层次树状结构存储在轻量目录访问协议LDAP目录中;当接收到访问服务器发送的用户信息时,判断接收到的用户信息是否是认证用户;当判断出接收到的用户信息是认证用户时,在LDAP目录中查找与该用户信息对应的用户权限并根据查找到的用户权限生成用户凭据;将生成的用户凭据发送给访问服务器与服务器集群;
访问服务器,用于将用户输入的用户信息发送给认证服务器;接收认证服务器发送的用户凭据;根据接收到的用户凭据与服务器集群进行数据交互;
服务器集群,用于接收到来自认证服务器发送的用户凭据,对该用户开放与该用户凭据对应的用户权限以与访问服务器进行数据交互。
2.根据权利要求1所述的系统,其特征在于,所述用户信息包括:用户名和口令;
所述认证服务器中用于将全部的用户信息存储在预先建立的数据库中包括:
采用预先部署的网络认证协议Kerberos服务Service分别对每个用户的用户名和口令进行加密;
将加密后的每个用户的用户名和口令对应存储在所述预先建立的数据库中。
3.根据权利要求2所述的系统,其特征在于,所述认证服务器中用于判断接收到的用户信息是否是认证用户包括:
采用所述预先部署的Kerberos Service对接收到的用户名和口令进行加密;
将对接收到的加密后的用户名和口令与已存储在所述预先建立的数据库中的加密后的用户名和口令进行比较;
当所述对接收到的加密后的用户名和口令与所述已存储在所述预先建立的数据库中的加密后的用户名和口令中的某一加密后的用户名和口令一致时,判断出接收到的用户信息是认证用户;
当所述对接收到的加密后的用户名和口令与所述已存储在所述预先建立的数据库中的加密后的用户名和口令中的任一加密后的用户名和口令均不一致时,验证出接收到的用户信息不是认证用户。
4.根据权利要求1所述的系统,其特征在于,所述认证服务器通过预先部署的LDAP服务Service将所述全部的用户权限按层次树状结构存储在LDAP目录中。
5.一种认证服务器,其特征在于,包括:密码管理单元、权限管理单元、收发单元、认证单元和处理单元;其中,
密码管理单元,用于将全部的用户信息存储在预先建立的数据库中;
权限管理单元,用于将全部的用户权限按层次树状结构存储在轻量目录访问协议LDAP目录中;
收发单元,用于当接收到访问服务器发送的用户信息时,将接收到的用户信息发送给认证单元;将生成的用户凭据发送给访问服务器和集群服务器;
认证单元,用于判断接收到的用户信息是否是认证用户;当判断出接收到的用户信息是认证用户时,通知处理单元;
处理单元,用于接收到来自匹配单元发送的通知,在LDAP目录中查找与该用户信息对应的用户权限并根据查找到的用户权限生成用户凭据。
6.根据权利要求5所述的认证服务器,其特征在于,所述用户信息包括:用户名和口令;
所述密码管理单元,具体用于:
采用预先部署的网络认证协议Kerberos服务Service分别对每个用户的用户名和口令进行加密;
将加密后的每个用户的用户名和口令对应存储在所述预先建立的数据库中。
7.根据权利要求6所述的认证服务器,其特征在于,所述认证单元中用于判断接收到的用户信息是否是认证用户包括:
采用所述预先部署的Kerberos Service对接收到的用户名和口令进行加密;
将对接收到的加密后的用户名和口令与已存储在所述预先建立的数据库中的加密后的用户名和口令进行比较;
当所述对接收到的加密后的用户名和口令与所述已存储在所述预先建立的数据库中的加密后的用户名和口令中的某一加密后的用户名和口令一致时,判断出接收到的用户信息是认证用户;
当所述对接收到的加密后的用户名和口令与所述已存储在所述预先建立的数据库中的加密后的用户名和口令中的任一加密后的用户名和口令均不一致时,验证出接收到的用户信息不是认证用户。
8.一种控制访问权限的方法,其特征在于,包括:
认证服务器将全部的用户信息存储在预先建立的数据库中,以及将全部的用户权限按层次树状结构存储在轻量目录访问协议LDAP目录中;
当接收到访问服务器发送的用户信息时,认证服务器判断接收到的用户信息是否是认证用户;
当判断出接收到的用户信息是认证用户时,认证服务器在LDAP目录中查找与该用户信息对应的用户权限并根据查找到的用户权限生成用户凭据;
认证服务器将生成的用户凭据发送给访问服务器和集群服务器以供服务器集群接与访问服务器之间进行数据交互。
9.根据权利要求8所述的方法,其特征在于,所述用户信息包括:用户名和口令;
所述认证服务器将全部的用户信息存储在预先建立的数据库中的步骤包括:
采用预先部署的网络认证协议Kerberos服务Service分别对每个用户的用户名和口令进行加密;
将加密后的每个用户的用户名和口令对应存储在所述预先建立的数据库中。
10.根据权利要求9所述的方法,其特征在于,所述认证服务器判断接收到的用户信息是否是认证用户的步骤包括:
采用所述预先部署的Kerberos Service对接收到的用户名和口令进行加密;
将对接收到的加密后的用户名和口令与已存储在所述预先建立的数据库中的加密后的用户名和口令进行比较;
当所述对接收到的加密后的用户名和口令与所述已存储在所述预先建立的数据库中的加密后的用户名和口令中的某一加密后的用户名和口令一致时,判断出接收到的用户信息是认证用户;
当所述对接收到的加密后的用户名和口令与所述已存储在所述预先建立的数据库中的加密后的用户名和口令中的任一加密后的用户名和口令均不一致时,验证出接收到的用户信息不是认证用户。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710631030.6A CN107204995A (zh) | 2017-07-28 | 2017-07-28 | 一种控制访问权限的系统、认证服务器和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710631030.6A CN107204995A (zh) | 2017-07-28 | 2017-07-28 | 一种控制访问权限的系统、认证服务器和方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107204995A true CN107204995A (zh) | 2017-09-26 |
Family
ID=59911664
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710631030.6A Pending CN107204995A (zh) | 2017-07-28 | 2017-07-28 | 一种控制访问权限的系统、认证服务器和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107204995A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109067785A (zh) * | 2018-09-19 | 2018-12-21 | 新华三大数据技术有限公司 | 集群认证方法、装置 |
| CN109150864A (zh) * | 2018-08-03 | 2019-01-04 | 中国联合网络通信集团有限公司 | 基于二次认证的防作弊方法及装置 |
| CN109241712A (zh) * | 2018-09-29 | 2019-01-18 | 郑州云海信息技术有限公司 | 一种用于访问文件系统的方法和装置 |
| CN112738005A (zh) * | 2019-10-14 | 2021-04-30 | 中移(苏州)软件技术有限公司 | 访问处理方法、装置、系统、第一认证服务器及存储介质 |
| CN115314323A (zh) * | 2022-10-10 | 2022-11-08 | 深圳市华云中盛科技股份有限公司 | 一种信息传输方法和系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101719238A (zh) * | 2009-11-30 | 2010-06-02 | 中国建设银行股份有限公司 | 一种统一身份管理、认证和授权的方法及系统 |
| CN103259663A (zh) * | 2013-05-07 | 2013-08-21 | 南京邮电大学 | 一种云计算环境下的用户统一认证方法 |
| CN103595713A (zh) * | 2013-11-08 | 2014-02-19 | 红云红河烟草(集团)有限责任公司 | 企业身份信息统一管理和鉴别平台 |
| CN106452730A (zh) * | 2016-09-14 | 2017-02-22 | 上海烟草集团有限责任公司 | 基于轻量目录访问协议的md5加密认证方法和系统 |
-
2017
- 2017-07-28 CN CN201710631030.6A patent/CN107204995A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101719238A (zh) * | 2009-11-30 | 2010-06-02 | 中国建设银行股份有限公司 | 一种统一身份管理、认证和授权的方法及系统 |
| CN103259663A (zh) * | 2013-05-07 | 2013-08-21 | 南京邮电大学 | 一种云计算环境下的用户统一认证方法 |
| CN103595713A (zh) * | 2013-11-08 | 2014-02-19 | 红云红河烟草(集团)有限责任公司 | 企业身份信息统一管理和鉴别平台 |
| CN106452730A (zh) * | 2016-09-14 | 2017-02-22 | 上海烟草集团有限责任公司 | 基于轻量目录访问协议的md5加密认证方法和系统 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109150864A (zh) * | 2018-08-03 | 2019-01-04 | 中国联合网络通信集团有限公司 | 基于二次认证的防作弊方法及装置 |
| CN109150864B (zh) * | 2018-08-03 | 2021-07-20 | 中国联合网络通信集团有限公司 | 基于二次认证的防作弊方法及装置 |
| CN109067785A (zh) * | 2018-09-19 | 2018-12-21 | 新华三大数据技术有限公司 | 集群认证方法、装置 |
| CN109241712A (zh) * | 2018-09-29 | 2019-01-18 | 郑州云海信息技术有限公司 | 一种用于访问文件系统的方法和装置 |
| CN109241712B (zh) * | 2018-09-29 | 2021-02-05 | 苏州浪潮智能科技有限公司 | 一种用于访问文件系统的方法和装置 |
| CN112738005A (zh) * | 2019-10-14 | 2021-04-30 | 中移(苏州)软件技术有限公司 | 访问处理方法、装置、系统、第一认证服务器及存储介质 |
| CN115314323A (zh) * | 2022-10-10 | 2022-11-08 | 深圳市华云中盛科技股份有限公司 | 一种信息传输方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107204995A (zh) | 一种控制访问权限的系统、认证服务器和方法 | |
| CN104769908B (zh) | 基于ldap的多租户云中身份管理系统 | |
| CN105378744B (zh) | 在企业系统中的用户和设备认证 | |
| CN105379223B (zh) | 管理对企业资源的访问的方法和装置 | |
| CN103946834B (zh) | 虚拟网络接口对象 | |
| CN106471783B (zh) | 经由网关的企业系统认证和授权 | |
| CN109670768A (zh) | 多业务域的权限管理方法、装置、平台及可读存储介质 | |
| CN108293045A (zh) | 本地和远程系统之间的单点登录身份管理 | |
| CN107426169A (zh) | 一种基于权限的业务处理方法及装置 | |
| CN105247526A (zh) | 提供企业应用商店 | |
| WO2014004412A1 (en) | Identity risk score generation and implementation | |
| CN101317417A (zh) | 多核心系统的网络接入控制 | |
| CN109873805A (zh) | 基于云安全的云桌面登陆方法、装置、设备和存储介质 | |
| CN110417820A (zh) | 单点登录系统的处理方法、装置及可读存储介质 | |
| CN106170964A (zh) | 基于不同身份服务的用户虚拟身份 | |
| CN102571873B (zh) | 一种分布式系统中的双向安全审计方法及装置 | |
| CN109889517A (zh) | 数据处理方法、权限数据集创建方法、装置及电子设备 | |
| CN106101054A (zh) | 一种多系统的单点登录方法和集中管控系统 | |
| CN110175439A (zh) | 用户管理方法、装置、设备及计算机可读存储介质 | |
| RU2415466C1 (ru) | Способ управления идентификацией пользователей информационных ресурсов неоднородной вычислительной сети | |
| CN109088890A (zh) | 一种身份认证方法、相关装置及系统 | |
| US11366883B2 (en) | Reflection based endpoint security test framework | |
| EP3172884B1 (en) | Establishing secure computing devices for virtualization and administration | |
| US20190356648A1 (en) | Resource extension method and device for a zone of a cloud service platform, apparatus and computer-readable storage medium | |
| CN106302479B (zh) | 一种用于多业务互联网网站的单点登录方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170926 |
|
| RJ01 | Rejection of invention patent application after publication |