CN108989418A - 一种混合云对象存储通用认证的资源额度方法 - Google Patents
一种混合云对象存储通用认证的资源额度方法 Download PDFInfo
- Publication number
- CN108989418A CN108989418A CN201810758620.XA CN201810758620A CN108989418A CN 108989418 A CN108989418 A CN 108989418A CN 201810758620 A CN201810758620 A CN 201810758620A CN 108989418 A CN108989418 A CN 108989418A
- Authority
- CN
- China
- Prior art keywords
- object storage
- signature
- cloud platform
- request
- cloud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Automation & Control Theory (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及混合云对象存储技术领域,特别是一种混合云对象存储通用认证的资源额度方法。本发明的方法包括如下步骤:1:分配通用的AK和SK;2:应用程序签名并发送请求;3:混合云对象存储服务验证签名;4:混合云对象存储服务资源额度和权限控制;5:适配云平台签名;6:云平台对象存储处理请求,返回结果。本发明解决了不能控制对象存储使用配额、AccessKey和SecretKey不能跨平台、大量用户小量账号难以管理等问题;可应用于混合云对象存储技术领域。
Description
技术领域
本发明涉及混合云对象存储技术领域,特别是一种混合云对象存储通用认证的资源额度方法。
背景技术
现在已经有越来越多的公有云对象存储平台,每个公有云的对象存储都有采用自身一套AccessKey和SecretKey,并且相互之间是不通共享使用。而企业、政府部门为了自身数据可靠性考虑,通常把对象存储数据分散放在多个云平台上。这样会存在以下隐患:
一是各大云平台是没有配额控制,若当程序出现异常或不做任何管理控制,频繁读写对象存储文件的时候就会产生大量的费用。
二是各个云平台AccessKey和SecretKey无法统一,需要用户自己去维护;而通常为了财务考虑,一般企业或政府部门只有为数不多的账号,当大量用户使用小量账号操作对象存储时若出现问题,想要追责就难以追溯,并且不能有效划分这些大量用户之间的权限。
发明内容
本发明解决的技术问题在于提供一种混合云对象存储通用认证的资源额度方法;解决不能控制对象存储使用配额、AccessKey和SecretKey不能跨平台、大量用户小量账号难以管理等问题。
本发明解决上述技术问题的技术方案是:
所述的方法包括如下步骤:
步骤1:分配通用的AK和SK;
步骤2:应用程序签名并发送请求;
步骤3:混合云对象存储服务验证签名;
步骤4:混合云对象存储服务资源额度和权限控制;
步骤5:适配云平台签名;
步骤6:云平台对象存储处理请求,返回结果。
所述的步骤1是由混合云平台对象存储服务统一分配通用的AK和SK;
所述的AK和SK分别是AccessKey和SecretKey的简称,其中AccessKey通过网络传输,而SecretKey不在网络上传输以防止被窃取;
所述通用的AK和SK是混合云内部分配的AccessKey和SecretKey,代替各个云平台的AccessKey和SecretKey,所有应用程序都用同一套内部分配的AccessKey和SecretKey。
所述的步骤2中,应用程序提出服务请求之前通过AK和SK对参数进行签名,签名完成之后将把签名放在消息包头里面,并发送给混合云对象存储服务。
所述的步骤3中,混合云对象存储服务收到请求后同样进行签名,匹配两者的签名是否一致,若一致则认为请求是合法且未被篡改的。
所述的步骤4中,通过API网关拦截所有对象存储读写请求,截取对象文件总大小,先判断用户将要读写对象文件总大小是否超出用户配额上限,若是则直接返回错误;否则判断该AK和SK对应的用户是否拥有操作对象存储资源的权限,若是则API网关把请求发给混合云对象存储服务集群,若否则返回错误信息。
所述的步骤5,通过通用AK和SK、Host查找对应云平台的AK和SK,然后再通过该外部云平台的AK和SK对参数进行签名;签名完成之后,把签名放在消息包头里面,发送请求给对应的云平台。
所述的Host是指将要云平台对象存储的主机名。
本发明通过一种基于混合云对象存储通用认证的资源额度方法,解决了不能控制对象存储使用配额、AccessKey和SecretKey不能跨平台、大量用户小量账号难以管理等问题;以通用的认证方法、提供配额控制、授权控制、提供大量通用AccessKey和SecretKey的方式,能够解决同一个企业或政府部门下大量用户使用对象存储的管理问题。本发明使用API网关和对象存储服务集群,能够对资源额度方法控制的同时,又不影响对象存储读写性能,区别于一般的方法。本发明提供方法是提供内部的AccessKey和SecretKey,再通过AccessKey和SecretKey、Host查找对应云平台的AccessKey和SecretKey,从而解决跨云平台的问题,区别于一般的方法。
附图说明
下面结合附图对本发明进一步说明:
图1为本发明流程图。
具体实施方式
本发明的实施方式有多种,这里以云平台为例说明其中一种实现方法,流程图如图1所示,具体实施过程如下:
1、分配通用的AK和SK。整个混合云对象存储服务只需要导入几个各个云平台的账号信息;然后每个用户在混合云对象存储服务注册账号后,就能获取通用的AK和SK。
2、应用程序签名并发送请求,命令行如下:
3、混合云对象存储服务验证签名,代码如下:
4、混合云对象存储服务资源额度和权限控制,代码如下:
5、适配云平台签名,代码如下:
6、云平台对象存储处理请求,返回响应结果。
整个流程结束。
Claims (10)
1.一种混合云对象存储通用认证的资源额度方法,其特征在于:所述的方法包括如下步骤:
步骤1:分配通用的AK和SK;
步骤2:应用程序签名并发送请求;
步骤3:混合云对象存储服务验证签名;
步骤4:混合云对象存储服务资源额度和权限控制;
步骤5:适配云平台签名;
步骤6:云平台对象存储处理请求,返回结果。
2.根据权利要求1所述的方法,其特征在于:所述的步骤1是由混合云平台对象存储服务统一分配通用的AK和SK;
所述的AK和SK分别是AccessKey和SecretKey的简称,其中AccessKey通过网络传输,而SecretKey不在网络上传输以防止被窃取;
所述通用的AK和SK是混合云内部分配的AccessKey和SecretKey,代替各个云平台的AccessKey和SecretKey,所有应用程序都用同一套内部分配的AccessKey和SecretKey。
3.根据权利要求1所述的方法,其特征在于:所述的步骤2中,应用程序提出服务请求之前通过AK和SK对参数进行签名,签名完成之后将把签名放在消息包头里面,并发送给混合云对象存储服务。
4.根据权利要求2所述的方法,其特征在于:所述的步骤2中,应用程序提出服务请求之前通过AK和SK对参数进行签名,签名完成之后将把签名放在消息包头里面,并发送给混合云对象存储服务。
5.根据权利要求1至4任一项所述的方法,其特征在于:所述的步骤3中,混合云对象存储服务收到请求后同样进行签名,匹配两者的签名是否一致,若一致则认为请求是合法且未被篡改的。
6.根据权利要求1至4任一项所述的方法,其特征在于:所述的步骤4中,通过API网关拦截所有对象存储读写请求,截取对象文件总大小,先判断用户将要读写对象文件总大小是否超出用户配额上限,若是则直接返回错误;否则判断该AK和SK对应的用户是否拥有操作对象存储资源的权限,若是则API网关把请求发给混合云对象存储服务集群,若否则返回错误信息。
7.根据权利要求5所述的方法,其特征在于:所述的步骤4中,通过API网关拦截所有对象存储读写请求,截取对象文件总大小,先判断用户将要读写对象文件总大小是否超出用户配额上限,若是则直接返回错误;否则判断该AK和SK对应的用户是否拥有操作对象存储资源的权限,若是则API网关把请求发给混合云对象存储服务集群,若否则返回错误信息。
8.根据权利要求1至4任一项所述的方法,其特征在于:所述的步骤5,通过通用AK和SK、Host查找对应云平台的AK和SK,然后再通过该外部云平台的AK和SK对参数进行签名;签名完成之后,把签名放在消息包头里面,发送请求给对应的云平台。
所述的Host是指将要云平台对象存储的主机名。
9.根据权利要求5所述的方法,其特征在于:所述的步骤5,通过通用AK和SK、Host查找对应云平台的AK和SK,然后再通过该外部云平台的AK和SK对参数进行签名;签名完成之后,把签名放在消息包头里面,发送请求给对应的云平台。
所述的Host是指将要云平台对象存储的主机名。
10.根据权利要求7所述的方法,其特征在于:所述的步骤5,通过通用AK和SK、Host查找对应云平台的AK和SK,然后再通过该外部云平台的AK和SK对参数进行签名;签名完成之后,把签名放在消息包头里面,发送请求给对应的云平台。
所述的Host是指将要云平台对象存储的主机名。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810758620.XA CN108989418A (zh) | 2018-07-11 | 2018-07-11 | 一种混合云对象存储通用认证的资源额度方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810758620.XA CN108989418A (zh) | 2018-07-11 | 2018-07-11 | 一种混合云对象存储通用认证的资源额度方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108989418A true CN108989418A (zh) | 2018-12-11 |
Family
ID=64536916
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810758620.XA Pending CN108989418A (zh) | 2018-07-11 | 2018-07-11 | 一种混合云对象存储通用认证的资源额度方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108989418A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111240836A (zh) * | 2020-01-06 | 2020-06-05 | 北京百度网讯科技有限公司 | 算力资源管理方法、装置、电子设备及存储介质 |
| CN112242976A (zh) * | 2019-07-17 | 2021-01-19 | 华为技术有限公司 | 一种身份认证方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103107985A (zh) * | 2012-12-04 | 2013-05-15 | 百度在线网络技术(北京)有限公司 | 一种云端认证方法、系统及装置 |
| US20140108798A1 (en) * | 2012-10-16 | 2014-04-17 | Sony Corporation | Information processing device, information processing client, access authentication method, and program |
| CN105577656A (zh) * | 2015-12-17 | 2016-05-11 | 北京荣之联科技股份有限公司 | 一种基于云平台的统一身份认证方法 |
| CN105915573A (zh) * | 2015-12-12 | 2016-08-31 | 乐视移动智能信息技术(北京)有限公司 | 一种移动终端同步文件的方法、装置和系统 |
| CN106101258A (zh) * | 2016-07-08 | 2016-11-09 | 腾讯科技(深圳)有限公司 | 一种混合云的接口调用方法、装置及系统 |
| CN106230893A (zh) * | 2016-07-15 | 2016-12-14 | 国云科技股份有限公司 | 一种基于混合云存储的数据同步方法 |
-
2018
- 2018-07-11 CN CN201810758620.XA patent/CN108989418A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140108798A1 (en) * | 2012-10-16 | 2014-04-17 | Sony Corporation | Information processing device, information processing client, access authentication method, and program |
| CN103107985A (zh) * | 2012-12-04 | 2013-05-15 | 百度在线网络技术(北京)有限公司 | 一种云端认证方法、系统及装置 |
| CN105915573A (zh) * | 2015-12-12 | 2016-08-31 | 乐视移动智能信息技术(北京)有限公司 | 一种移动终端同步文件的方法、装置和系统 |
| CN105577656A (zh) * | 2015-12-17 | 2016-05-11 | 北京荣之联科技股份有限公司 | 一种基于云平台的统一身份认证方法 |
| CN106101258A (zh) * | 2016-07-08 | 2016-11-09 | 腾讯科技(深圳)有限公司 | 一种混合云的接口调用方法、装置及系统 |
| CN106230893A (zh) * | 2016-07-15 | 2016-12-14 | 国云科技股份有限公司 | 一种基于混合云存储的数据同步方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112242976A (zh) * | 2019-07-17 | 2021-01-19 | 华为技术有限公司 | 一种身份认证方法及装置 |
| CN112242976B (zh) * | 2019-07-17 | 2022-02-25 | 华为技术有限公司 | 一种身份认证方法及装置 |
| CN111240836A (zh) * | 2020-01-06 | 2020-06-05 | 北京百度网讯科技有限公司 | 算力资源管理方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110620810B (zh) | 在区块链上的连续资产转移的非链接所有权 | |
| CN109214197B (zh) | 基于区块链来处理隐私数据的方法、装置及存储介质 | |
| EP3816918A1 (en) | Blockchain-based invoice access method and apparatus, and electronic device | |
| US7698445B2 (en) | Client agents for obtaining attributes from unavailable clients | |
| CN109286632B (zh) | 一种基于区块链的大数据授权存证方法和系统 | |
| US8087060B2 (en) | Chaining information card selectors | |
| US10127401B2 (en) | Redacting restricted content in files | |
| US10728308B2 (en) | Systems for content recommendation based on a meeting invite | |
| US20190019154A1 (en) | Intelligent, context-based delivery of sensitive email content to mobile devices | |
| US8387877B2 (en) | Systems and methods for the secure control of data within heterogeneous systems and networks | |
| CN112187800B (zh) | 具备匿名访问能力的基于属性访问控制方法 | |
| CN111538757A (zh) | 数据存储方法、查询方法、装置、服务器及介质 | |
| CN110347750B (zh) | 基于区块链的数据处理方法和装置 | |
| CN108989418A (zh) | 一种混合云对象存储通用认证的资源额度方法 | |
| US8990154B2 (en) | Request de-duplication for enterprise service bus | |
| CN109472151A (zh) | 一种数据访问的方法及服务器 | |
| US11934551B2 (en) | Processing per-use requests for user data | |
| US9652630B2 (en) | Enhanced view compliance tool | |
| US11715079B2 (en) | Maintaining secure access to a self-service terminal (SST) | |
| CN109800601A (zh) | 一种基于区块链的互联网实名认证方法 | |
| CN115242433A (zh) | 数据处理方法、系统、电子设备及计算机可读存储介质 | |
| US11411813B2 (en) | Single user device staging | |
| US9038169B2 (en) | Method and system for managing and controlling direct access of an administrator to a computer system | |
| CN107517177B (zh) | 接口授权的方法和装置 | |
| US11122081B2 (en) | Preventing unauthorized access to information resources by deploying and utilizing multi-path data relay systems and sectional transmission techniques |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181211 |
|
| RJ01 | Rejection of invention patent application after publication |