CN107453872A - 一种基于Mesos容器云平台的统一安全认证方法及系统 - Google Patents
一种基于Mesos容器云平台的统一安全认证方法及系统 Download PDFInfo
- Publication number
- CN107453872A CN107453872A CN201710503024.2A CN201710503024A CN107453872A CN 107453872 A CN107453872 A CN 107453872A CN 201710503024 A CN201710503024 A CN 201710503024A CN 107453872 A CN107453872 A CN 107453872A
- Authority
- CN
- China
- Prior art keywords
- authentication
- mesos
- information
- confirmation
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
Abstract
本发明实施例涉及安全认证领域,具体涉及一种基于Mesos容器云平台的统一安全认证方法及系统,包括:用户提交身份信息进行身份验证;Mesos计算节点认证模块生成第一认证信息,并将所述第一认证信息发送到秘钥模块;所述秘钥模块进行身份认证,通过后返回第一确认信息,所述Mesos计算节点认证模块将所述第一确认信息发送到Mesos管理节点认证模块;所述Mesos管理节点认证模块生成第二认证信息,并将所述第二认证信息发送到所述秘钥模块;所述秘钥模块进行身份认证,认证通过后返回第二确认信息,所述Mesos管理节点认证模块接收到所述第二确认信息后生成通过安全认证信息,并将所述通过安全认证信息发送到所述Mesos计算节点认证模块。
Description
技术领域
本发明涉及安全认证领域,具体涉及一种基于Mesos容器云平台的统一安全认证方法及系统。
背景技术
安全认证是云平台的基础功能,有了安全认证功能后,只有信任的实体才能与云平台交互,并使用云平台的计算资源。现有的开源IaaS平台以及Amazon公有云都已经具备完善的安全认证框架,但是基于容器的云平台,目前除了Kubernetes容器云之外,还没有统一的安全认证框架。尤其是目前主流的基于Mesos的容器云和原生Docker云平台,都没有实现统一安全认证框架。
基于Mesos的容器云在以下三种场景下,需要使用安全认证功能:
·Frameworks向Master节点注册。
·Slave节点向Master节点注册。
·操作者调用Mesos的Http终端。
Mesos使用Cyrus SASL做为其认证引擎,可支持Anonymous,PLAIN,CRAM-MD5,GSSAPI等多种认证机制。当Mesos开启默认的CRAM-MD5认证机制时,需要通过认证的实体必须提供principal和secret键值对,也叫credential对象。Principal代表这个实体的身份,类似于用户名,secret则是用来验证实体身份的字符,类似于密码。但是相关数据必须以文件形式在Mesos启动时进行加载,在Mesos运行过程中,用户信息不能添加或修改,这些都不满足企业级运行环境的要求。
Mesos目前还没有满足企业级用户的统一安全认证框架,并且现有的安全认证框架还存在灵活性等问题。
Mesos现有的安全认证框架存在的具体问题如下:
credential采用文件的形式,在Master、Slave启动时候,一次性加载到相应守护进程的内存中。在增加,修改,删除用户场景下,必须重新启动Master、Slave守护进程来再次加载对应的credential文件,对于企业级云平台的用户影响巨大。
Mesos默认采用CRAM-MD5认证机制,很难与第三方身份识别框架进行快速集成。而现有的企业级云平台大多采用OpenID或者基于LDAP协议的目录服务器,Mesos现有的认证机制显然无法满足要求。
因此,构建一种基于Mesos容器云平台的统一安全认证方法及系统,以解决现有技术中的以上问题很有必要。
发明内容
本发明实施例提供了一种基于Mesos容器云平台的统一安全认证方法及系统,进行双重安全认证,更加符合企业级用户的实际需求。
本发明实施例提供的一种基于Mesos容器云平台的统一安全认证方法,包括:
用户提交身份信息到Mesos计算节点认证模块进行身份验证;所述Mesos计算节点认证模块接收到所述身份信息后生成第一认证信息,并将所述第一认证信息发送到秘钥模块;
所述秘钥模块接收到所述第一认证信息后,进行身份认证,认证通过后返回第一确认信息,所述Mesos计算节点认证模块接收到所述第一确认信息后将所述第一确认信息发送到Mesos管理节点认证模块;
所述Mesos管理节点认证模块接收到所述第一确认信息后生成第二认证信息,并将所述第二认证信息发送到所述秘钥模块;
所述秘钥模块接收到所述第二认证信息后,进行身份认证,认证通过后返回第二确认信息,所述Mesos管理节点认证模块接收到所述第二确认信息后生成通过安全认证信息,并将所述通过安全认证信息发送到所述Mesos计算节点认证模块;
所述计算节点认证模块接收到所述安全认证信息后生成验证成功信息并返回用户。
进一步的,所述用户提交身份信息到Mesos计算节点认证模块进行身份验证;所述Mesos计算节点认证模块接收到所述身份信息后生成第一认证信息,并将所述第一认证信息发送到秘钥模块,包括:
所述用户提交身份信息到Mesos计算节点认证模块的从秘钥验证模块进行身份验证;所述从秘钥验证模块接收到所述身份信息后生成第一认证信息,并将所述第一认证信息发送到从Restful客户端模块,所述从Restful客户端模块将所述第一认证信息发送到秘钥模块。
进一步的,所述秘钥模块接收到所述第一认证信息后,进行身份认证,认证通过后返回第一确认信息,所述Mesos计算节点认证模块接收到所述第一确认信息后将所述第一确认信息发送到Mesos管理节点认证模块,包括:
所述秘钥模块通过Restful API接口接收到所述第一认证信息后,进行身份认证,认证通过后从Restful API接口返回第一确认信息,所述Mesos计算节点认证模块的所述从Restful客户端模块接收到所述第一确认信息后,又通过所述从Restful客户端模块将所述第一确认信息发送到Mesos管理节点认证模块。
进一步的,所述Mesos管理节点认证模块接收到所述第一确认信息后生成第二认证信息,并将所述第二认证信息发送到所述秘钥模块,包括:
所述Mesos管理节点认证模块的主秘钥验证模块接收到所述第一确认信息后生成第二认证信息,并将所述第二认证信息发送到主Restful客户端,并经所述主Restful客户端发送到所述秘钥模块。
进一步的,所述秘钥模块接收到所述第二认证信息后,进行身份认证,认证通过后返回第二确认信息,所述Mesos管理节点认证模块接收到所述第二确认信息后生成通过安全认证信息,并将所述通过安全认证信息发送到所述Mesos计算节点认证模块,包括:
所述秘钥模块通过所述Restful API接口接收到所述第二认证信息后,进行身份认证,认证通过后通过所述Restful API接口返回第二确认信息,所述Mesos管理节点认证模块的所述主Restful客户端接收到所述第二确认信息后生成通过安全认证信息,并将所述通过安全认证信息发送到所述Mesos计算节点认证模块。
本发明实施例提供一种基于Mesos容器云平台的统一安全认证系统,包括:
Mesos计算节点认证模块:用户提交身份信息到Mesos计算节点认证模块进行身份验证;所述Mesos计算节点认证模块接收到所述身份信息后生成第一认证信息,并发送所述第一认证信息;
秘钥模块:所述秘钥模块接收到所述第一认证信息后,进行身份认证,认证通过后返回第一确认信息,所述Mesos计算节点认证模块接收到所述第一确认信息后发送所述第一确认信息;
Mesos管理节点认证模块:所述Mesos管理节点认证模块接收到所述第一确认信息后生成第二认证信息,并将所述第二认证信息发送到所述秘钥模块;所述秘钥模块接收到所述第二认证信息后,进行身份认证,认证通过后返回第二确认信息,所述Mesos管理节点认证模块接收到所述第二确认信息后生成通过安全认证信息,并将所述通过安全认证信息发送到所述Mesos计算节点认证模块;所述计算节点认证模块接收到所述安全认证信息后生成验证成功信息并返回用户。
本发明具有以下技术效果:
将流行的身份认证服务(Keystone)纳入为安全认证框架,更加符合企业级用户的实际需求。用户信息动态来自于后台身份认证服务而非本地化,当认证信息发生变更后,无需重启所有的Mesos Master节点。任何需要安全认证的实体,不是向Master节点直接进行安全认证,而是先通过身份认证之后,然后交由Master节点进行二次安全认证,有效缓解了恶意待认证的实体对容器云现有业务的攻击。所有的安全认证通信信息均采用https加密。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例所述的统一安全认证逻辑架构图
图2是本发明一个实施例所述的统一安全认证技术架构图
图3为本发明一个实施例所述的统一安全认证框架主要类图
图4为本发明一个实施例所述的Http终端安全认证顺序图
图5为本发明一个实施例所述的Slave/Framework安全认证顺序图
图6为本发明一个实施例所述的方法的电子设备的硬件结构连接示意图
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
下面结合附图详细说明本发明的优选实施例。
实施例1
本发明采用Keystone作为统一的安全认证框架,依据Mesos的安全认证接口标准,实现了动态、可扩展的全新安全认证插件。在认证过程中,无需重启Master守护进程。此外Slave/Framework注册时,首先向keystone提供用户名和密码进行一次安全认证,然后将此次认证通过后获取到的Token上报给Master,由Master(管理节点)向Keystone进行二次认证。此种实现的目的能够有效避免大量恶意的Slave(计算节点)/Framework注册操作,对Master节点中现有业务带来的冲击。对于操作者调用Mesos的Http终端的安全认证插件亦是采用相同实现逻辑。
具体地,本发明实施例提供的一种基于Mesos容器云平台的统一安全认证方法,包括:
用户提交身份信息到Mesos计算节点认证模块进行身份验证;所述Mesos计算节点认证模块接收到所述身份信息后生成第一认证信息,并将所述第一认证信息发送到秘钥模块;
所述秘钥模块接收到所述第一认证信息后,进行身份认证,认证通过后返回第一确认信息,所述Mesos计算节点认证模块接收到所述第一确认信息后将所述第一确认信息发送到Mesos管理节点认证模块;
所述Mesos管理节点认证模块接收到所述第一确认信息后生成第二认证信息,并将所述第二认证信息发送到所述秘钥模块;
所述秘钥模块接收到所述第二认证信息后,进行身份认证,认证通过后返回第二确认信息,所述Mesos管理节点认证模块接收到所述第二确认信息后生成通过安全认证信息,并将所述通过安全认证信息发送到所述Mesos计算节点认证模块;
所述计算节点认证模块接收到所述安全认证信息后生成验证成功信息并返回用户。
进一步的,所述用户提交身份信息到Mesos计算节点认证模块进行身份验证;所述Mesos计算节点认证模块接收到所述身份信息后生成第一认证信息,并将所述第一认证信息发送到秘钥模块,包括:
所述用户提交身份信息到Mesos计算节点认证模块的从秘钥验证模块进行身份验证;所述从秘钥验证模块接收到所述身份信息后生成第一认证信息,并将所述第一认证信息发送到从Restful客户端模块,所述从Restful客户端模块将所述第一认证信息发送到秘钥模块。
进一步的,所述秘钥模块接收到所述第一认证信息后,进行身份认证,认证通过后返回第一确认信息,所述Mesos计算节点认证模块接收到所述第一确认信息后将所述第一确认信息发送到Mesos管理节点认证模块,包括:
所述秘钥模块通过Restful API接口接收到所述第一认证信息后,进行身份认证,认证通过后从Restful API接口返回第一确认信息,所述Mesos计算节点认证模块的所述从Restful客户端模块接收到所述第一确认信息后,又通过所述从Restful客户端模块将所述第一确认信息发送到Mesos管理节点认证模块。
进一步的,所述Mesos管理节点认证模块接收到所述第一确认信息后生成第二认证信息,并将所述第二认证信息发送到所述秘钥模块,包括:
所述Mesos管理节点认证模块的主秘钥验证模块接收到所述第一确认信息后生成第二认证信息,并将所述第二认证信息发送到主Restful客户端,并经所述主Restful客户端发送到所述秘钥模块。
进一步的,所述秘钥模块接收到所述第二认证信息后,进行身份认证,认证通过后返回第二确认信息,所述Mesos管理节点认证模块接收到所述第二确认信息后生成通过安全认证信息,并将所述通过安全认证信息发送到所述Mesos计算节点认证模块,包括:
所述秘钥模块通过所述Restful API接口接收到所述第二认证信息后,进行身份认证,认证通过后通过所述Restful API接口返回第二确认信息,所述Mesos管理节点认证模块的所述主Restful客户端接收到所述第二确认信息后生成通过安全认证信息,并将所述通过安全认证信息发送到所述Mesos计算节点认证模块。
本发明实施例提供一种基于Mesos容器云平台的统一安全认证系统,包括:
Mesos计算节点认证模块:用户提交身份信息到Mesos计算节点认证模块进行身份验证;所述Mesos计算节点认证模块接收到所述身份信息后生成第一认证信息,并发送所述第一认证信息;
秘钥模块:所述秘钥模块接收到所述第一认证信息后,进行身份认证,认证通过后返回第一确认信息,所述Mesos计算节点认证模块接收到所述第一确认信息后发送所述第一确认信息;
Mesos管理节点认证模块:所述Mesos管理节点认证模块接收到所述第一确认信息后生成第二认证信息,并将所述第二认证信息发送到所述秘钥模块;所述秘钥模块接收到所述第二认证信息后,进行身份认证,认证通过后返回第二确认信息,所述Mesos管理节点认证模块接收到所述第二确认信息后生成通过安全认证信息,并将所述通过安全认证信息发送到所述Mesos计算节点认证模块;所述计算节点认证模块接收到所述安全认证信息后生成验证成功信息并返回用户。
宏观业务逻辑介绍如下:
如图1所示,一种统一安全认证逻辑架构图。
Mesos插件提供了扩展Mesos内部功能的方法,通过插件功能可以定制Mesos来支撑不同的应用场景。本发明的统一安全认证框架就是基于Keystone的Mesos插件。
其架构上分成以下三个部分:
本发明选择Keystone作为统一的安全认证服务:Keystone是OpenStack框架中的一个重要组成部分,负责身份认证、服务管理、服务规则和服务令牌的功能。其强大的外接第三方认证系统的能力,也是一个重要的选择因素。
Slave/Framework以及Http终端安全认证插件:安全认证插件在每次注册时,都会将credential上报给Keystone进行首次认证,然后将首次认证后获取到的token再次上报给Master节点进行二次认证。
系统管理员或者超级用户在Mesos容器云运行期间,新增/修改用户信息都会被Master节点实时获得。因此确保了Master无需重启即可同步用户实时信息。
如图2所示,统一安全认证技术架构
Slave/Framework在向Mesos master注册的时候都需要通过安全认证。本发明的安全认证插件主要分为三大模块。
KeystoneAuthenticatee模块,slave/framework注册时用于向Keystone发起首次安全认证,并获取token。
KeystoneAuthenticator模块,当KeystoneAuthenticatee模块向其上报token之后,此模块会向Keystone再次验证token的有效性。
Restful Client模块,用于向Keystone发起各种restful api的请求。
本发明中Mesos Master针对Slave/Framework注册时上报的Token,向Keystone进行动态安全认证,成功的解决了用户信息发生变更后,Master节点需要重启的问题。此外注册过程中,Slave/Framework不直接通过Master节点进行安全认证,而是先向Keystone认证其自身的安全性,获取到token后再向Master进行安全认证,有效避免了恶意的注册对容器云Master节点现有业务的冲击。
微观代码逻辑介绍如下:
如图3所示:统一安全认证框架主要类图
基于Keystone的统一安全认证插件的主要类图如图3:
Credential:对用户认证信息的封装,主要包括用户名以及密码。
Parameter:对安全认证插件输入参数的封装,采用Key,Value键值对方式。
例如:
Authenticatee:认证实体接口。
KeystoneAuthenticatee:基于Keystone的被认证实体接口实现。
Authenticator:被认证实体Master接口。
KeystoneAuthenticator:被认证实体Master接口实现。
KeystoneAuthenticatorProcess以及KeystoneAuthenticateeProcess:
Mesos的模块通信都是基于Protobuf的Actor模型。以上这两个类为Slave/Framework与Master之间进行消息通信的实现类。
如图4所示:Http终端安全认证顺序图
Http终端安全认证模块相对简洁,主要步骤如下:
用户通过用户和密码发起登陆请求。
登陆请求需要向Keystone上报credential实体,验证通过后,Keystone返回token值,客户端将token值缓存起来便于访问容器云做安全认证。
用户访问容器云节点资源时,上报token给Http终端安全认证模块。该模块向Keystone再次提交token进行二次安全认证。
通过安全认证,用户即可访问或使用容器云计算资源。
如图5所示:Slave/Framework安全认证顺序图
Slave/Framework的安全认证模块,与Http终端安全认证类似,主要步骤如下:
Slave/Framework通过用户名和密码发起注册请求。
Slave节点上KeystoneAuthenticatee模块接受到credential实体后,向Keystone服务获取token。
KeystoneAuthenticatee模块获取到返回的token值后,向Master节点上KeystoneAuthenticator模块上报。
KeystoneAuthenticator模块再次向Keystone服务提出token认证请求,一旦认证通过,Slave/Framework即注册成功,否则,注册失败。
本发明具有以下技术效果:
将流行的身份认证服务(Keystone)纳入为安全认证框架,更加符合企业级用户的实际需求。用户信息动态来自于后台身份认证服务而非本地化,当认证信息发生变更后,无需重启所有的Mesos Master节点。任何需要安全认证的实体,不是向Master节点直接进行安全认证,而是先通过身份认证之后,然后交由Master节点进行二次安全认证,有效缓解了恶意待认证的实体对容器云现有业务的攻击。所有的安全认证通信信息均采用https加密。
实施例2
一种电子设备,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行以下程序:用户提交身份信息到Mesos计算节点认证模块进行身份验证;所述Mesos计算节点认证模块接收到所述身份信息后生成第一认证信息,并将所述第一认证信息发送到秘钥模块;
所述秘钥模块接收到所述第一认证信息后,进行身份认证,认证通过后返回第一确认信息,所述Mesos计算节点认证模块接收到所述第一确认信息后将所述第一确认信息发送到Mesos管理节点认证模块;
所述Mesos管理节点认证模块接收到所述第一确认信息后生成第二认证信息,并将所述第二认证信息发送到所述秘钥模块;
所述秘钥模块接收到所述第二认证信息后,进行身份认证,认证通过后返回第二确认信息,所述Mesos管理节点认证模块接收到所述第二确认信息后生成通过安全认证信息,并将所述通过安全认证信息发送到所述Mesos计算节点认证模块;
所述计算节点认证模块接收到所述安全认证信息后生成验证成功信息并返回用户。
进一步的,所述用户提交身份信息到Mesos计算节点认证模块进行身份验证;所述Mesos计算节点认证模块接收到所述身份信息后生成第一认证信息,并将所述第一认证信息发送到秘钥模块,包括:
所述用户提交身份信息到Mesos计算节点认证模块的从秘钥验证模块进行身份验证;所述从秘钥验证模块接收到所述身份信息后生成第一认证信息,并将所述第一认证信息发送到从Restful客户端模块,所述从Restful客户端模块将所述第一认证信息发送到秘钥模块。
进一步的,所述秘钥模块接收到所述第一认证信息后,进行身份认证,认证通过后返回第一确认信息,所述Mesos计算节点认证模块接收到所述第一确认信息后将所述第一确认信息发送到Mesos管理节点认证模块,包括:
所述秘钥模块通过Restful API接口接收到所述第一认证信息后,进行身份认证,认证通过后从Restful API接口返回第一确认信息,所述Mesos计算节点认证模块的所述从Restful客户端模块接收到所述第一确认信息后,又通过所述从Restful客户端模块将所述第一确认信息发送到Mesos管理节点认证模块。
进一步的,所述Mesos管理节点认证模块接收到所述第一确认信息后生成第二认证信息,并将所述第二认证信息发送到所述秘钥模块,包括:
所述Mesos管理节点认证模块的主秘钥验证模块接收到所述第一确认信息后生成第二认证信息,并将所述第二认证信息发送到主Restful客户端,并经所述主Restful客户端发送到所述秘钥模块。
进一步的,所述秘钥模块接收到所述第二认证信息后,进行身份认证,认证通过后返回第二确认信息,所述Mesos管理节点认证模块接收到所述第二确认信息后生成通过安全认证信息,并将所述通过安全认证信息发送到所述Mesos计算节点认证模块,包括:
所述秘钥模块通过所述Restful API接口接收到所述第二认证信息后,进行身份认证,认证通过后通过所述Restful API接口返回第二确认信息,所述Mesos管理节点认证模块的所述主Restful客户端接收到所述第二确认信息后生成通过安全认证信息,并将所述通过安全认证信息发送到所述Mesos计算节点认证模块。
实施例3
本申请实施例提供了一种非易失性计算机存储介质,所述计算机存储介质存储有计算机可执行指令,该计算机可执行指令可执行上述任意方法实施例中的方法。
实施例4
图6是本实施例提供的所述方法的电子设备的硬件结构示意图,如图6所示,该设备包括:
一个或多个处理器610以及存储器620,图6中以一个处理器610为例。
智能方法的设备还可以包括:输入装置630和输出装置640。
处理器610、存储器620、输入装置630和输出装置640可以通过总线或者其他方式连接,图6中以通过总线连接为例。
存储器620作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块,如本申请实施例中的方法对应的程序指令/模块。处理器610通过运行存储在存储器620中的非易失性软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例方法。
存储器620可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据方法中使用所创建的数据等。此外,存储器620可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。
输入装置630可接收输入的数字或字符信息,以及产生与电子设备的用户设置以及功能控制有关的键信号输入。输出装置640可包括显示屏等显示设备。
所述一个或者多个模块存储在所述存储器620中,当被所述一个或者多个处理器610执行时,执行上述任意方法实施例中的方法。
缩略语的中英文全称
IaaS--基础资源即服务
PaaS--平台即服务
Mesos—Mesos是Apache下的顶级开源分布式资源管理框架。Mesos实现了两级调度框架,可以管理多种类型的应用程序。第一级调度是Master的守护进程,管理Mesos集群中所有节点运行的Slave守护进程,协调全部的Slave节点,并确定每个节点的可用资源,聚合计算跨节点的所有可用资源,然后向注册到Master的Framework发出资源邀约。第二级调度由Framework“组件”组成。
Framework—Framework包括调度器(Scheduler)和执行器(Executor)进程,其中每个节点都会运行执行器。Framework可以根据应用程序的需求,选择接受或拒绝来自Master的资源邀约。一旦接受邀约,Master协调Framework和Slave,调度各种类型的任务在不同或者同一节点上同时运行。
Cyrus SASL—SASL(Simple Authentication Security Layer)简单认证安全层,功能主要是用于SMTP认证。而Cyrus SASL是SASL的一个实现。
CRAM-MD5—一种简单的基于HMAC-MD5的询问应答机制。
Keystone—Keystone是OpenStack框架中的一个重要组成部分,负责身份认证、服务管理、服务规则和服务令牌的功能,它实现了Openstack的Identity API。Keystone类似一个服务总线,或者说是整个Openstack框架的注册表,其他服务通过Keystone来注册其服务,任何服务之间相互的调用,都需要经过Keystone的身份验证来获得目标服务。
Protocol buffer—是google的一种数据交换的格式,它独立于语言,独立于平台。
Actor模型—在并发编程中是比较常见的一种模型。Actor,可以看作是一个个独立的实体,他们之间是毫无关联的。但是,他们可以通过消息来通信。一个Actor收到其他Actor的信息后,它可以根据需要作出各种相应。消息的类型可以是任意的,消息的内容也可以是任意的。
上述产品可执行本申请实施例所提供的方法,具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节,可参见本申请实施例所提供的方法。
本发明实施例的终端以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子装置,例如电视机、车载大屏等。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (6)
1.一种基于Mesos容器云平台的统一安全认证方法,其特征在于,包括:
用户提交身份信息到Mesos计算节点认证模块进行身份验证;所述Mesos计算节点认证模块接收到所述身份信息后生成第一认证信息,并将所述第一认证信息发送到秘钥模块;
所述秘钥模块接收到所述第一认证信息后,进行身份认证,认证通过后返回第一确认信息,所述Mesos计算节点认证模块接收到所述第一确认信息后将所述第一确认信息发送到Mesos管理节点认证模块;
所述Mesos管理节点认证模块接收到所述第一确认信息后生成第二认证信息,并将所述第二认证信息发送到所述秘钥模块;
所述秘钥模块接收到所述第二认证信息后,进行身份认证,认证通过后返回第二确认信息,所述Mesos管理节点认证模块接收到所述第二确认信息后生成通过安全认证信息,并将所述通过安全认证信息发送到所述Mesos计算节点认证模块;
所述计算节点认证模块接收到所述安全认证信息后生成验证成功信息并返回用户。
2.如权利要求1所述的方法,其特征在于,所述用户提交身份信息到Mesos计算节点认证模块进行身份验证;所述Mesos计算节点认证模块接收到所述身份信息后生成第一认证信息,并将所述第一认证信息发送到秘钥模块,包括:
所述用户提交身份信息到Mesos计算节点认证模块的从秘钥验证模块进行身份验证;所述从秘钥验证模块接收到所述身份信息后生成第一认证信息,并将所述第一认证信息发送到从Restful客户端模块,所述从Restful客户端模块将所述第一认证信息发送到秘钥模块。
3.如权利要求2所述的方法,其特征在于,所述秘钥模块接收到所述第一认证信息后,进行身份认证,认证通过后返回第一确认信息,所述Mesos计算节点认证模块接收到所述第一确认信息后将所述第一确认信息发送到Mesos管理节点认证模块,包括:
所述秘钥模块通过Restful API接口接收到所述第一认证信息后,进行身份认证,认证通过后从Restful API接口返回第一确认信息,所述Mesos计算节点认证模块的所述从Restful客户端模块接收到所述第一确认信息后,又通过所述从Restful客户端模块将所述第一确认信息发送到Mesos管理节点认证模块。
4.如权利要求3所述的方法,其特征在于,所述Mesos管理节点认证模块接收到所述第一确认信息后生成第二认证信息,并将所述第二认证信息发送到所述秘钥模块,包括:
所述Mesos管理节点认证模块的主秘钥验证模块接收到所述第一确认信息后生成第二认证信息,并将所述第二认证信息发送到主Restful客户端,并经所述主Restful客户端发送到所述秘钥模块。
5.如权利要求4所述的方法,其特征在于,所述秘钥模块接收到所述第二认证信息后,进行身份认证,认证通过后返回第二确认信息,所述Mesos管理节点认证模块接收到所述第二确认信息后生成通过安全认证信息,并将所述通过安全认证信息发送到所述Mesos计算节点认证模块,包括:
所述秘钥模块通过所述Restful API接口接收到所述第二认证信息后,进行身份认证,认证通过后通过所述Restful API接口返回第二确认信息,所述Mesos管理节点认证模块的所述主Restful客户端接收到所述第二确认信息后生成通过安全认证信息,并将所述通过安全认证信息发送到所述Mesos计算节点认证模块。
6.一种基于Mesos容器云平台的统一安全认证系统,其特征在于,包括:
Mesos计算节点认证模块:用户提交身份信息到Mesos计算节点认证模块进行身份验证;所述Mesos计算节点认证模块接收到所述身份信息后生成第一认证信息,并发送所述第一认证信息;
秘钥模块:所述秘钥模块接收到所述第一认证信息后,进行身份认证,认证通过后返回第一确认信息,所述Mesos计算节点认证模块接收到所述第一确认信息后发送所述第一确认信息;
Mesos管理节点认证模块:所述Mesos管理节点认证模块接收到所述第一确认信息后生成第二认证信息,并将所述第二认证信息发送到所述秘钥模块;所述秘钥模块接收到所述第二认证信息后,进行身份认证,认证通过后返回第二确认信息,所述Mesos管理节点认证模块接收到所述第二确认信息后生成通过安全认证信息,并将所述通过安全认证信息发送到所述Mesos计算节点认证模块;所述计算节点认证模块接收到所述安全认证信息后生成验证成功信息并返回用户。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710503024.2A CN107453872B (zh) | 2017-06-27 | 2017-06-27 | 一种基于Mesos容器云平台的统一安全认证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710503024.2A CN107453872B (zh) | 2017-06-27 | 2017-06-27 | 一种基于Mesos容器云平台的统一安全认证方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107453872A true CN107453872A (zh) | 2017-12-08 |
| CN107453872B CN107453872B (zh) | 2020-08-04 |
Family
ID=60487116
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710503024.2A Expired - Fee Related CN107453872B (zh) | 2017-06-27 | 2017-06-27 | 一种基于Mesos容器云平台的统一安全认证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107453872B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109063457A (zh) * | 2018-06-22 | 2018-12-21 | 杭州才云科技有限公司 | 一种跨平台登录统一认证对接方法、存储介质、电子设备 |
| WO2019205345A1 (zh) * | 2018-04-23 | 2019-10-31 | 平安科技(深圳)有限公司 | 用户信息同步方法、装置、计算机装置及存储介质 |
| CN111225247A (zh) * | 2019-12-23 | 2020-06-02 | 安徽海豚新媒体产业发展有限公司 | 一种iptv集成播控平台系统用户认证鉴权方法及系统 |
| CN112685727A (zh) * | 2021-01-22 | 2021-04-20 | 读书郎教育科技有限公司 | 一种基于Protobuf的高效身份认证方法 |
| CN114172700A (zh) * | 2021-11-24 | 2022-03-11 | 中国人寿保险股份有限公司上海数据中心 | 基于云平台结合域控服务器的统一认证系统及方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090119763A1 (en) * | 2007-11-06 | 2009-05-07 | So-Hee Park | Method and system for providing single sign-on service |
| CN101668288A (zh) * | 2009-08-25 | 2010-03-10 | 钱袋网(北京)信息技术有限公司 | 身份认证的方法、身份认证系统及终端 |
| CN101795454A (zh) * | 2010-02-10 | 2010-08-04 | 熊文俊 | 基于移动通信独立通道的双身份认证方法及系统 |
| CN101827112A (zh) * | 2010-05-25 | 2010-09-08 | 中兴通讯股份有限公司 | 上网认证服务器识别客户端软件的方法及系统 |
| CN106656952A (zh) * | 2016-09-21 | 2017-05-10 | 北京神州绿盟信息安全科技股份有限公司 | 一种登录设备的认证方法、装置和系统 |
-
2017
- 2017-06-27 CN CN201710503024.2A patent/CN107453872B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090119763A1 (en) * | 2007-11-06 | 2009-05-07 | So-Hee Park | Method and system for providing single sign-on service |
| CN101668288A (zh) * | 2009-08-25 | 2010-03-10 | 钱袋网(北京)信息技术有限公司 | 身份认证的方法、身份认证系统及终端 |
| CN101795454A (zh) * | 2010-02-10 | 2010-08-04 | 熊文俊 | 基于移动通信独立通道的双身份认证方法及系统 |
| CN101827112A (zh) * | 2010-05-25 | 2010-09-08 | 中兴通讯股份有限公司 | 上网认证服务器识别客户端软件的方法及系统 |
| CN106656952A (zh) * | 2016-09-21 | 2017-05-10 | 北京神州绿盟信息安全科技股份有限公司 | 一种登录设备的认证方法、装置和系统 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019205345A1 (zh) * | 2018-04-23 | 2019-10-31 | 平安科技(深圳)有限公司 | 用户信息同步方法、装置、计算机装置及存储介质 |
| CN109063457A (zh) * | 2018-06-22 | 2018-12-21 | 杭州才云科技有限公司 | 一种跨平台登录统一认证对接方法、存储介质、电子设备 |
| CN109063457B (zh) * | 2018-06-22 | 2021-05-28 | 杭州才云科技有限公司 | 一种跨平台登录统一认证对接方法、存储介质、电子设备 |
| CN111225247A (zh) * | 2019-12-23 | 2020-06-02 | 安徽海豚新媒体产业发展有限公司 | 一种iptv集成播控平台系统用户认证鉴权方法及系统 |
| CN112685727A (zh) * | 2021-01-22 | 2021-04-20 | 读书郎教育科技有限公司 | 一种基于Protobuf的高效身份认证方法 |
| CN114172700A (zh) * | 2021-11-24 | 2022-03-11 | 中国人寿保险股份有限公司上海数据中心 | 基于云平台结合域控服务器的统一认证系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107453872B (zh) | 2020-08-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230336536A1 (en) | Single sign-on enabled with oauth token | |
| CN107453872A (zh) | 一种基于Mesos容器云平台的统一安全认证方法及系统 | |
| EP3921991A1 (en) | System and method for hardening security between web services using protected forwarded access tokens | |
| CN111711610B (zh) | 基于微服务架构的认证方法、系统、计算设备及计算机可读存储介质 | |
| CN107301022A (zh) | 一种基于容器技术的存储访问方法及系统 | |
| CN110401655A (zh) | 基于用户和角色的访问控制权限管理系统 | |
| CN112651011B (zh) | 运维系统登录验证方法、装置、设备以及计算机存储介质 | |
| US11296881B2 (en) | Using IP heuristics to protect access tokens from theft and replay | |
| CN110049048B (zh) | 一种政务公共服务的数据访问方法、设备及可读介质 | |
| CN110351269A (zh) | 通过第三方服务器登录开放平台的方法 | |
| CN110266642A (zh) | 身份认证方法及服务器、电子设备 | |
| US10817327B2 (en) | Network-accessible volume creation and leasing | |
| CN111064749B (zh) | 网络连接方法、设备及存储介质 | |
| US20220294788A1 (en) | Customizing authentication and handling pre and post authentication in identity cloud service | |
| CN108462710A (zh) | 认证授权方法、装置、认证服务器及机器可读存储介质 | |
| CN111404695B (zh) | 令牌请求验证方法和装置 | |
| CN104717648A (zh) | 一种基于sim卡的统一认证方法和设备 | |
| US20200021573A1 (en) | Access token management for state preservation and reuse | |
| CN105635168A (zh) | 一种脱机交易装置及其安全密钥的使用方法 | |
| US10547612B2 (en) | System to resolve multiple identity crisis in indentity-as-a-service application environment | |
| CN109726531A (zh) | 一种基于区块链智能合约的营销终端安全管控方法 | |
| KR20160018554A (ko) | 신뢰 및 비신뢰 플랫폼에 걸쳐 인터넷 액세스가능 애플리케이션 상태를 로밍하는 기법 | |
| CN109756469B (zh) | 一种公用账号管理方法、装置及计算机可读存储介质 | |
| CN108471409B (zh) | 语音对话平台的应用程序接口鉴权配置方法及系统 | |
| EP4196899A1 (en) | Techniques for persisting data across instances of a cloud shell |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20200804 Termination date: 20210627 |