CN109840402A - 私有化服务授权管理方法、装置、计算机设备及存储介质 - Google Patents
私有化服务授权管理方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN109840402A CN109840402A CN201811566419.8A CN201811566419A CN109840402A CN 109840402 A CN109840402 A CN 109840402A CN 201811566419 A CN201811566419 A CN 201811566419A CN 109840402 A CN109840402 A CN 109840402A
- Authority
- CN
- China
- Prior art keywords
- authentication
- upper limit
- token
- service
- application service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了私有化服务授权管理方法、装置、计算机设备及存储介质,其中方法包括:鉴权服务获取来自应用服务的鉴权请求;鉴权服务根据获取到的运行实例数上限和/或每秒请求数上限对应用服务进行鉴权;若鉴权通过,则鉴权服务向应用服务返回鉴权成功消息,否则,返回鉴权失败消息。应用本发明所述方案,能够提升安全性和降低运维成本等。
Description
【技术领域】
本发明涉及计算机应用技术,特别涉及私有化服务授权管理方法、装置、计算机设备及存储介质。
【背景技术】
随着互联网技术的不断发展,各个企业对数据安全的需求也越来越高,尤其是一些具有银行金融、安防等背景的企业。相对于将服务和数据托管到公有云上,这些企业更希望将服务部署到企业内部机房的私有云环境下。相应地,就需要解决在私有云环境下的服务授权管理问题。
传统的服务授权管理方式大多基于物理机的部署环境,通过物理机的机器指纹做授权。具体方法是采集部署服务的物理机的机器指纹信息,如可包括中央处理单元(CPU,Central Processing Unit)信息、硬盘信息、网卡信息等,然后将机器指纹写入到许可证(license)中,license使用加密技术存储,签名技术防止篡改。在服务启动时,解密、校验license信息,然后将服务运行时采集到的机器指纹与license中的机器指纹进行比对,如果相同,则正常提供服务,否则,拒绝服务。
但是,上述方式在实际应用中也会存在一定的问题,比如:上述方式基于物理机的部署环境,而随着虚拟化技术和容器技术的不断发展,传统的物理机的部署方式正逐渐被淘汰,而虚拟机环境下可以轻易地复制、伪造硬件信息,所以机器指纹的概念不复存在,如果将上述方式直接迁移到虚拟机环境下,会带来非常大的安全隐患;另外,上述方式的运维成本很高,比如,要将服务部署到100台物理机上,则要分别采集100台机器的机器指纹,后续如果要扩容,又需要分别采集扩容的机器的机器指纹,这些操作将会带来很大的运维成本。
【发明内容】
有鉴于此,本发明提供了私有化服务授权管理方法、装置、计算机设备及存储介质。
具体技术方案如下:
一种私有化服务授权管理方法,包括:
鉴权服务获取来自应用服务的鉴权请求;
所述鉴权服务根据获取到的运行实例数上限和/或每秒请求数上限对所述应用服务进行鉴权;
若鉴权通过,则所述鉴权服务向所述应用服务返回鉴权成功消息,否则,返回鉴权失败消息。
根据本发明一优选实施例,所述鉴权服务获取来自应用服务的鉴权请求之前,进一步包括:
所述鉴权服务启动,进行虚拟化检查,若确定运行在物理机上,则正常提供服务,若运行在虚拟机上,则拒绝服务。
根据本发明一优选实施例,所述鉴权服务从所在物理机的加密锁中的许可证license中读取所述实例数上限和/或所述每秒请求数上限;
所述加密锁为可插拔的硬件设备。
根据本发明一优选实施例,所述license中进一步包括:机器指纹;
所述鉴权服务根据获取到的运行实例数上限和/或每秒请求数上限对所述应用服务进行鉴权之前,进一步包括:
所述鉴权服务将采集到的所在物理机的机器指纹与从所述license中读取到的机器指纹进行比对;
若不一致,则向所述应用服务返回鉴权失败消息;
若一致,则根据所述运行实例数上限和/或所述每秒请求数上限对所述应用服务进行鉴权。
根据本发明一优选实施例,所述加密锁中进一步包括:时钟;
所述根据所述运行实例数上限和/或所述每秒请求数上限对所述应用服务进行鉴权之前,进一步包括:
所述鉴权服务读取所述时钟的时间,并确定所述license的有效期中是否包含所述时间;
若否,则向所述应用服务返回鉴权失败消息;
若是,则根据所述运行实例数上限和/或所述每秒请求数上限对所述应用服务进行鉴权。
根据本发明一优选实施例,所述鉴权服务根据所述运行实例数上限对所述应用服务进行鉴权包括:
所述鉴权服务获取所述鉴权请求中携带的所述应用服务的通用唯一识别码UUID;
所述鉴权服务确定所维护的运行实例池中是否包含所述UUID对应的实例;
若是,则更新所述UUID对应的实例的最后访问时间,并确定根据所述运行实例数上限对所述应用服务进行的鉴权通过;
若否,则确定所述运行实例池中的实例数是否小于所述运行实例数上限,若是,则将所述UUID对应的实例添加到所述运行实例池中,并确定根据所述运行实例数上限对所述应用服务进行的鉴权通过,若否,则向所述应用服务返回鉴权失败消息。
根据本发明一优选实施例,该方法进一步包括:
若确定所述运行实例池中不包含所述UUID对应的实例,则所述鉴权服务确定所述运行实例池中是否存在过期实例;
若是,则清除过期实例,之后确定所述运行实例池中的实例数是否小于所述运行实例数上限。
根据本发明一优选实施例,该方法进一步包括:所述鉴权服务定期通知所述应用服务更换所述UUID。
根据本发明一优选实施例,所述鉴权服务根据所述每秒请求数上限对所述应用服务进行鉴权包括:
所述鉴权服务确定所维护的令牌桶中可用的令牌数是否小于1,所述令牌桶的容量等于所述每秒请求数上限;
若是,则向所述应用服务返回鉴权失败消息,若否,则从所述令牌桶中消耗一个令牌,并确定根据所述每秒请求数上限对所述应用服务进行的鉴权通过。
根据本发明一优选实施例,所述鉴权服务确定所维护的令牌桶中可用的令牌数是否小于1之前,进一步包括:
所述鉴权服务根据所述令牌桶的容量、最近一次向所述令牌桶中补充令牌的时间以及当前时间,确定出需要向所述令牌桶中补充的令牌数;
按照确定出的令牌数向所述令牌桶中补充令牌。
根据本发明一优选实施例,所述确定出需要向所述令牌桶中补充的令牌数包括:
计算所述当前时间与所述最近一次向所述令牌桶中补充令牌的时间的差值;
计算所述差值与所述令牌桶的容量的乘积;
将所述乘积除以1000,将得到的商作为需要向所述令牌桶中补充的令牌数。
根据本发明一优选实施例,所述按照确定出的令牌数向所述令牌桶中补充令牌包括:
计算所述令牌桶的容量与所述令牌桶中可用的令牌数的差值;
若确定出的令牌数小于或等于所述差值,则按照确定出的令牌数向所述令牌桶中补充令牌;
若确定出的令牌数大于所述差值,则按照所述差值的个数向所述令牌桶中补充令牌。
根据本发明一优选实施例,所述鉴权服务根据所述运行实例数上限和所述每秒请求数上限对所述应用服务进行鉴权包括:
若根据所述运行实例数上限对所述应用服务进行的鉴权以及根据所述每秒请求数上限对所述应用服务进行的鉴权均通过,则确定对所述应用服务的鉴权通过。
根据本发明一优选实施例,该方法进一步包括:所述鉴权服务与所述应用服务之间采用安全套接层SSL双向认证方式进行通信。
一种私有化服务授权管理装置,包括:获取单元以及鉴权单元;
所述获取单元,用于获取来自应用服务的鉴权请求;
所述鉴权单元,用于根据获取到的运行实例数上限和/或每秒请求数上限对所述应用服务进行鉴权,若鉴权通过,则向所述应用服务返回鉴权成功消息,否则,返回鉴权失败消息。
根据本发明一优选实施例,所述装置中进一步用于,预处理单元;
所述预处理单元,用于当所述装置启动时,进行虚拟化检查,若确定运行在物理机上,则正常提供服务,若运行在虚拟机上,则拒绝服务。
根据本发明一优选实施例,所述鉴权单元从所在物理机的加密锁中的许可证license中读取所述实例数上限和/或所述每秒请求数上限;
所述加密锁为可插拔的硬件设备。
根据本发明一优选实施例,所述license中进一步包括:机器指纹;
所述鉴权单元进一步用于,将采集到的所在物理机的机器指纹与从所述license中读取到的机器指纹进行比对,若不一致,则向所述应用服务返回鉴权失败消息,若一致,则根据所述运行实例数上限和/或所述每秒请求数上限对所述应用服务进行鉴权。
根据本发明一优选实施例,所述加密锁中进一步包括:时钟;
所述鉴权单元进一步用于,若一致,则读取所述时钟的时间,并确定所述license的有效期中是否包含所述时间,若否,则向所述应用服务返回鉴权失败消息,若是,则根据所述运行实例数上限和/或所述每秒请求数上限对所述应用服务进行鉴权。
根据本发明一优选实施例,所述鉴权单元获取所述鉴权请求中携带的所述应用服务的通用唯一识别码UUID,确定所维护的运行实例池中是否包含所述UUID对应的实例,若是,则更新所述UUID对应的实例的最后访问时间,并确定根据所述运行实例数上限对所述应用服务进行的鉴权通过,若否,则确定所述运行实例池中的实例数是否小于所述运行实例数上限,若是,则将所述UUID对应的实例添加到所述运行实例池中,并确定根据所述运行实例数上限对所述应用服务进行的鉴权通过,若否,则向所述应用服务返回鉴权失败消息。
根据本发明一优选实施例,所述鉴权单元进一步用于,若确定所述运行实例池中不包含所述UUID对应的实例,则确定所述运行实例池中是否存在过期实例,若是,则清除过期实例,之后确定所述运行实例池中的实例数是否小于所述运行实例数上限。
根据本发明一优选实施例,所述鉴权单元进一步用于,定期通知所述应用服务更换所述UUID。
根据本发明一优选实施例,所述鉴权单元确定所维护的令牌桶中可用的令牌数是否小于1,所述令牌桶的容量等于所述每秒请求数上限,若是,则向所述应用服务返回鉴权失败消息,若否,则从所述令牌桶中消耗一个令牌,并确定根据所述每秒请求数上限对所述应用服务进行的鉴权通过。
根据本发明一优选实施例,所述鉴权单元进一步用于,在确定所维护的令牌桶中可用的令牌数是否小于1之前,根据所述令牌桶的容量、最近一次向所述令牌桶中补充令牌的时间以及当前时间,确定出需要向所述令牌桶中补充的令牌数,并按照确定出的令牌数向所述令牌桶中补充令牌。
根据本发明一优选实施例,所述鉴权单元计算所述当前时间与所述最近一次向所述令牌桶中补充令牌的时间的差值,计算所述差值与所述令牌桶的容量的乘积,将所述乘积除以1000,将得到的商作为需要向所述令牌桶中补充的令牌数。
根据本发明一优选实施例,所述鉴权单元计算所述令牌桶的容量与所述令牌桶中可用的令牌数的差值,若确定出的令牌数小于或等于所述差值,则按照确定出的令牌数向所述令牌桶中补充令牌,若确定出的令牌数大于所述差值,则按照所述差值的个数向所述令牌桶中补充令牌。
根据本发明一优选实施例,当根据所述运行实例数上限和所述每秒请求数上限对所述应用服务进行鉴权时,若根据所述运行实例数上限对所述应用服务进行的鉴权以及根据所述每秒请求数上限对所述应用服务进行的鉴权均通过,则所述鉴权单元确定对所述应用服务的鉴权通过。
根据本发明一优选实施例,所述获取单元以及所述鉴权单元与所述应用服务之间采用安全套接层SSL双向认证方式进行通信。
一种计算机设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现如以上所述的方法。
一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如以上所述的方法。
基于上述介绍可以看出,采用本发明所述方案,鉴权服务可根据运行实例数上限和/或每秒请求数上限对应用服务进行鉴权,从而避免了现有服务授权管理方式所带来的安全隐患,即提升了安全性,而且,只要在容量允许的范围内,用户可以任意更换、增加应用服务,而不需要重新采集机器指纹,从而降低了运维成本等。
【附图说明】
图1为本发明所述私有化服务授权管理方法实施例的流程图。
图2为本发明所述根据运行实例数上限进行鉴权的方法实施例的流程图。
图3为本发明所述根据每秒请求数上限进行鉴权的方法实施例的流程图。
图4为本发明所述物理机、鉴权服务以及应用服务等之间的关系示意图。
图5为本发明所述私有化服务授权管理装置实施例的组成结构示意图。
图6示出了适于用来实现本发明实施方式的示例性计算机系统/服务器12的框图。
【具体实施方式】
本发明中提出了一种新的私有化服务授权管理方式。为便于区分,将传统的物理机环境下的私有化服务授权管理方式称为基于身份认证的授权方式,将本发明中所述的私有化服务授权管理方式称为基于资源的授权方式,其中,机器指纹可视为身份标识。本发明中所述的私有化服务授权管理方式既可应用于虚拟机环境下,也可应用于物理机环境下,具有广泛适用性。
为了使本发明的技术方案更加清楚、明白,以下参照附图并举实施例,对本发明所述方案进行进一步说明。
显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
另外,应理解,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
图1为本发明所述私有化服务授权管理方法实施例的流程图。如图1所示,包括以下具体实现方式。
在101中,鉴权服务获取来自应用服务的鉴权请求。
在102中,鉴权服务根据获取到的运行实例数上限和/或每秒请求数上限对所述应用服务进行鉴权。
在103中,若鉴权通过,则鉴权服务向应用服务返回鉴权成功消息,否则,返回鉴权失败消息。
本发明中,将要部署的服务分为两类,鉴权服务和应用服务。鉴权服务暴露鉴权请求应用程序接口(API,Application Programming Interface)供应用服务调用,应用服务通过请求鉴权服务获得授权。
由于虚拟机环境下不存在身份标识,因此需要转换一下授权的维度,本发明中所述的基于资源的授权方式中的“资源”主要包含两个维度:运行实例数(instance size)上限和每秒请求数(qps)上限。
在实际应用中,鉴权服务可仅根据运行实例数上限对应用服务进行鉴权,也可仅根据每秒请求数上限对应用服务进行鉴权,还可同时根据运行实例数上限以及每秒请求数上限对应用服务进行鉴权。
鉴权服务需要部署在物理机上。相应地,鉴权服务启动时可进行虚拟化检查,若确定运行在虚拟机上,则可拒绝服务,若确定运行在物理机上,则可正常提供服务。
鉴权服务的运行依赖于一个可插拔的硬件设备,加密锁。加密锁中可包含license,license中可包含实例数上限和/或每秒请求数上限。这样,鉴权服务可从所在物理机的加密锁中的license中读取所需的实例数上限和/或每秒请求数上限。
license中还可进一步包含机器指纹等信息,机器指纹为鉴权服务所在物理机的机器指纹。这样,鉴权服务在获取到应用服务的鉴权请求后,可将实际采集到的所在物理机的机器指纹与从license中读取到的机器指纹进行比对,若不一致,可向应用服务返回鉴权失败消息,若一致,可继续后续处理,如根据运行实例数上限和/或每秒请求数上限对应用服务进行鉴权。
加密锁中除了包含license之外,还可进一步包含一个时钟,即加密锁中可自带一个时钟,鉴权服务会读取该时间作为系统时间,防止用户篡改硬件时间延长license有效期。比如,鉴权服务在确定实际采集到的所在物理机的机器指纹与从license中读取到的机器指纹一致后,可读取时钟的时间,并确定license的有效期中是否包含该时间,若否,则可向应用服务返回鉴权失败消息,若是,可继续后续处理,如根据运行实例数上限和/或每秒请求数上限对应用服务进行鉴权。license中可包含有效期信息。
完成上述处理之后,鉴权服务即可根据运行实例数上限和/或每秒请求数上限对应用服务进行鉴权,以下分别对根据运行实例数上限进行鉴权的方式以及根据每秒请求数上限进行鉴权的方式进行详细说明。
1)根据运行实例数上限进行鉴权
首先,鉴权服务可获取鉴权请求中携带的应用服务的通用唯一识别码(UUID,Universally Unique Identifier)。
应用服务通过请求鉴权服务获得授权。鉴权服务与应用服务之间可采用安全套接层(SSL,Secure Sockets Layer)双向认证方式进行通信,通信时依赖双向SSL证书,证书加密存储,在运行时解密,等加载到内存中之后随即删除。采用SSL双向认证方式主要有两个目的,一是防止用户伪造鉴权服务,二是防止劫持通信内容伪造通信报文。应用服务会有一个UUID来标识自己,向鉴权服务请求鉴权时会带上该UUID,鉴权服务可根据UUID来统计运行实例数。
鉴权服务获取到应用服务的UUID之后,可确定所维护的运行实例池中是否包含该UUID对应的实例,若是,可更新该UUID对应的实例的最后访问时间,并确定根据运行实例数上限对应用服务进行的鉴权通过,若否,可确定运行实例池中的实例数是否小于运行实例数上限,若是,可将该UUID对应的实例添加到运行实例池中,并确定根据运行实例数上限对应用服务进行的鉴权通过,若否,可向应用服务返回鉴权失败消息。
另外,若确定运行实例池中不包含该UUID对应的实例,鉴权服务还可先确定运行实例池中是否存在过期实例,若是,则可清除过期实例,之后进一步确定运行实例池中的实例数是否小于运行实例数上限。多数情况下,清除过期实例之后,运行实例池中的实例数会小于运行实例数上限,但有些情况下,如清除过期实例之后,运行实例池中的实例数为运行实例数上限-1,鉴权服务并发地处理多个应用服务的鉴权请求,这多个鉴权请求均符合将对应的实例添加到运行实例池中的条件,但实际上只有一个实例能被添加到运行实例池中,那么在每个实例被添加到运行实例池之前,均需要确定运行实例池是否已满,即确定其它实例是否已优先被添加到运行实例池中。因此优选地,在清除过期实例之后,仍需要确定运行实例池中的实例数是否小于运行实例数上限。
基于上述介绍,图2为本发明所述根据运行实例数上限进行鉴权的方法实施例的流程图。如图2所示,包括以下具体实现方式。
在201中,获取来自应用服务的鉴权请求中携带的应用服务的UUID。
在202中,确定所维护的运行实例池中是否包含该UUID对应的实例,若是,则执行203,否则,执行204。
在203中,更新该UUID对应的实例的最后访问时间,并确定根据运行实例数上限对应用服务进行的鉴权通过,结束流程。
若确定运行实例池中包括该UUID对应的实例,可根据当前时间更新该UUID对应的实例的最后访问时间,并可确定鉴权通过。
在204中,确定运行实例池中是否存在过期实例,若是,则执行205,否则,执行206。
过期实例可以是指一段时间未请求的实例,如最后访问时间距当前时间超过预定时长的实例。
在205中,清除过期实例,之后执行206。
在206中,确定运行实例池中的实例数是否小于运行实例数上限,若是,则执行207,否则,执行208。
即若运行实例池未满,则执行207,若运行实例池已满,则执行208。
在207中,将该UUID对应的实例添加到运行实例池中,并确定根据运行实例数上限对应用服务进行的鉴权通过,结束流程。
将该UUID对应的实例添加到运行实例池中,并可记录实例的最后访问时间。
在208中,向应用服务返回鉴权失败消息。
为了防止用户复制应用服务的运行实例,鉴权服务还可定期通知应用服务更换UUID。这样,即使用户复制了实例(多个实例有相同的UUID),这些实例也只能运行一个特定的窗口时间,超过该时间后多余的实例依然会拒绝服务。
2)根据每秒请求数上限进行鉴权
根据每秒请求数上限进行鉴权可基于令牌桶算法实现。基本思想是维护一个固定容量大小的令牌桶,当接收到鉴权请求时,鉴权服务可确定令牌桶中可用的令牌数是否小于1,令牌桶的容量等于每秒请求数上限,若是,则可向应用服务返回鉴权失败消息,若否,可从令牌桶中消耗一个令牌,并确定根据每秒请求数上限对应用服务进行的鉴权通过。
另外,还可按照一定的速率向令牌桶中补充令牌。比如,鉴权服务在确定令牌桶中可用的令牌数是否小于1之前,可先根据令牌桶的容量、最近一次向令牌桶中补充令牌的时间(单位ms)以及当前时间,确定出需要向令牌桶中补充的令牌数,进而可按照确定出的令牌数向令牌桶中补充令牌。
基于上述介绍,图3为本发明所述根据每秒请求数上限进行鉴权的方法实施例的流程图。如图3所示,包括以下具体实现方式。
在301中,获取来自应用服务的鉴权请求。
在302中,根据所维护的令牌桶的容量、最近一次向令牌桶中补充令牌的时间以及当前时间,确定出需要向令牌桶中补充的令牌数。
比如,可首先计算当前时间与最近一次向令牌桶中补充令牌的时间的差值,之后,计算该差值与令牌桶的容量的乘积,并将该乘积除以1000,将得到的商作为需要向令牌桶中补充的令牌数。
即有:delta=(now-lastFillTime)*qps/1000;
其中,now表示当前时间,lastFillTime表示最近一次向令牌桶中补充令牌的时间,qps表示令牌桶的容量,即每秒请求数上限,delta表示需要向令牌桶中补充的令牌数。
在303中,按照确定出的令牌数向令牌桶中补充令牌。
比如,可计算令牌桶的容量与令牌桶中可用的令牌数的差值,若302中确定出的令牌数小于或等于该差值,则可按照确定出的令牌数向令牌桶中补充令牌,若确定出的令牌数大于该差值,则可按照该差值的个数向令牌桶中补充令牌。
也就是说,补充之后,令牌桶中可用的令牌数不能超过令牌桶的容量,补充后的令牌桶中可用的令牌数availableToken=min(qps,availableToken+delta)。
在304中,确定令牌桶中可用的令牌数是否小于1,若是,则执行305,否则,执行306。
在305中,向应用服务返回鉴权失败消息,结束流程。
在306中,从令牌桶中消耗一个令牌,并确定根据每秒请求数上限对应用服务进行的鉴权通过,结束流程。
如前所述,在实际应用中,鉴权服务可仅根据运行实例数上限对应用服务进行鉴权,也可仅根据每秒请求数上限对应用服务进行鉴权,还可同时根据运行实例数上限以及每秒请求数上限对应用服务进行鉴权。
若仅根据运行实例数上限对应用服务进行鉴权,则鉴权通过,即可向应用服务返回鉴权成功消息,否则,返回鉴权失败消息。
若仅根据每秒请求数上限对应用服务进行鉴权,则鉴权通过,即可向应用服务返回鉴权成功消息,否则,返回鉴权失败消息。
若同时根据运行实例数上限以及每秒请求数上限对应用服务进行鉴权,则只有当根据运行实例数上限对应用服务进行的鉴权以及根据每秒请求数上限对应用服务进行的鉴权均通过时,才会向应用服务返回鉴权成功消息,否则,返回鉴权失败消息。
综合上述介绍,图4为本发明所述物理机、鉴权服务以及应用服务等之间的关系示意图,具体实现请参照前述相关说明,不再赘述。
需要说明的是,对于前述的各方法实施例,为了简单描述,将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其它顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其它实施例的相关描述。
总之,采用本发明所述方案,鉴权服务可根据运行实例数上限和/或每秒请求数上限对应用服务进行鉴权,从而避免了现有服务授权管理方式所带来的安全隐患,即提升了安全性,并且,针对鉴权服务采取了一系列安全加固措施,包括引入硬件加密锁、SSL双向认证等,从而进一步提升了安全性。
另外,采用本发明所述方案,只要在容量允许的范围内,用户可以任意更换、增加应用服务,而不需要重新采集机器指纹,如果要升级license,也只需要针对鉴权服务所在的物理机进行即可,从而降低了运维成本。
再有,本发明所述方案不但可适用于物理机环境,也可适用于虚拟机环境,具有广泛适用性。
以上是关于方法实施例的介绍,以下通过装置实施例,对本发明所述方案进行进一步说明。
图5为本发明所述私有化服务授权管理装置实施例的组成结构示意图。如图5所示,包括:获取单元501以及鉴权单元502。
获取单元501,用于获取来自应用服务的鉴权请求。
鉴权单元502,用于根据获取到的运行实例数上限和/或每秒请求数上限对应用服务进行鉴权,若鉴权通过,则向应用服务返回鉴权成功消息,否则,返回鉴权失败消息。
所述装置中还可进一步包括:预处理单元500,用于当装置启动时,进行虚拟化检查,若确定运行在物理机上,则正常提供服务,若运行在虚拟机上,则拒绝服务。
鉴权单元502的运行依赖于一个可插拔的硬件设备,加密锁。加密锁中可包含license,license中可包含实例数上限和/或每秒请求数上限。这样,鉴权单元502可从所在物理机的加密锁中的license中读取所需的实例数上限和/或每秒请求数上限。
license中还可进一步包含机器指纹等信息。鉴权单元502可将采集到的所在物理机的机器指纹与从license中读取到的机器指纹进行比对,若不一致,则可向应用服务返回鉴权失败消息,若一致,可根据运行实例数上限和/或每秒请求数上限对应用服务进行鉴权。
加密锁中除了包含license之外,还可进一步包含一个时钟。相应地,鉴权单元502在确定实际采集到的所在物理机的机器指纹与从license中读取到的机器指纹一致后,可读取时钟的时间,并确定license的有效期中是否包含该时间,若否,可向应用服务返回鉴权失败消息,若是,可根据运行实例数上限和/或每秒请求数上限对应用服务进行鉴权。
鉴权单元502可仅根据运行实例数上限对应用服务进行鉴权,也可仅根据每秒请求数上限对应用服务进行鉴权,还可同时根据运行实例数上限以及每秒请求数上限对应用服务进行鉴权。
其中,鉴权单元502根据运行实例数上限对应用服务进行鉴权的方式可包括:获取鉴权请求中携带的应用服务的UUID,确定所维护的运行实例池中是否包含该UUID对应的实例,若是,则更新该UUID对应的实例的最后访问时间,并确定根据运行实例数上限对应用服务进行的鉴权通过,若否,则确定运行实例池中的实例数是否小于运行实例数上限,若是,则将该UUID对应的实例添加到运行实例池中,并确定根据运行实例数上限对应用服务进行的鉴权通过,若否,则向应用服务返回鉴权失败消息。
进一步地,若确定运行实例池中不包含该UUID对应的实例,鉴权单元502还可先确定运行实例池中是否存在过期实例,若是,则清除过期实例,之后确定运行实例池中的实例数是否小于运行实例数上限。
鉴权单元502还可定期通知应用服务更换UUID,以防止用户对运行时的应用服务实例进行复制。
鉴权单元502根据每秒请求数上限对应用服务进行鉴权的方式可包括:确定所维护的令牌桶中可用的令牌数是否小于1,令牌桶的容量等于每秒请求数上限,若是,则可向应用服务返回鉴权失败消息,若否,可从令牌桶中消耗一个令牌,并确定根据每秒请求数上限对应用服务进行的鉴权通过。
其中,在确定所维护的令牌桶中可用的令牌数是否小于1之前,鉴权单元502还可先根据令牌桶的容量、最近一次向令牌桶中补充令牌的时间以及当前时间,确定出需要向令牌桶中补充的令牌数,进而可按照确定出的令牌数向令牌桶中补充令牌。
比如,鉴权单元502可计算当前时间与最近一次向令牌桶中补充令牌的时间的差值,并计算该差值与令牌桶的容量的乘积,之后将该乘积除以1000,将得到的商作为需要向令牌桶中补充的令牌数。
在按照确定出的令牌数向令牌桶中补充令牌时,鉴权单元502可计算令牌桶的容量与令牌桶中可用的令牌数的差值,若确定出的令牌数小于或等于该差值,则可按照确定出的令牌数向令牌桶中补充令牌,若确定出的令牌数大于该差值,则可按照该差值的个数向令牌桶中补充令牌。
当根据运行实例数上限和每秒请求数上限对应用服务进行鉴权时,若根据运行实例数上限对应用服务进行的鉴权以及根据每秒请求数上限对应用服务进行的鉴权均通过,则鉴权单元502可确定对应用服务的鉴权通过。
获取单元501以及鉴权单元502与应用服务之间可采用SSL双向认证方式进行通信。
图5所示装置实施例的具体工作流程请参照前述方法实施例中的相应说明,不再赘述。
图6示出了适于用来实现本发明实施方式的示例性计算机系统/服务器12的框图。图6显示的计算机系统/服务器12仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图6所示,计算机系统/服务器12以通用计算设备的形式表现。计算机系统/服务器12的组件可以包括但不限于:一个或者多个处理器(处理单元)16,存储器28,连接不同系统组件(包括存储器28和处理器16)的总线18。
总线18表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
计算机系统/服务器12典型地包括多种计算机系统可读介质。这些介质可以是任何能够被计算机系统/服务器12访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
存储器28可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)30和/或高速缓存存储器32。计算机系统/服务器12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统34可以用于读写不可移动的、非易失性磁介质(图6未显示,通常称为“硬盘驱动器”)。尽管图6中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线18相连。存储器28可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块42的程序/实用工具40,可以存储在例如存储器28中,这样的程序模块42包括——但不限于——操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块42通常执行本发明所描述的实施例中的功能和/或方法。
计算机系统/服务器12也可以与一个或多个外部设备14(例如键盘、指向设备、显示器24等)通信,还可与一个或者多个使得用户能与该计算机系统/服务器12交互的设备通信,和/或与使得该计算机系统/服务器12能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口22进行。并且,计算机系统/服务器12还可以通过网络适配器20与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图6所示,网络适配器20通过总线18与计算机系统/服务器12的其它模块通信。应当明白,尽管图中未示出,可以结合计算机系统/服务器12使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
处理器16通过运行存储在存储器28中的程序,从而执行各种功能应用以及数据处理,例如实现图1、图2或图3所示实施例中的方法。
本发明同时公开了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时将实现如图1、图2或图3所示实施例中的方法。
可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如”C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法等,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (30)
1.一种私有化服务授权管理方法,其特征在于,包括:
鉴权服务获取来自应用服务的鉴权请求;
所述鉴权服务根据获取到的运行实例数上限和/或每秒请求数上限对所述应用服务进行鉴权;
若鉴权通过,则所述鉴权服务向所述应用服务返回鉴权成功消息,否则,返回鉴权失败消息。
2.根据权利要求1所述的方法,其特征在于,
所述鉴权服务获取来自应用服务的鉴权请求之前,进一步包括:
所述鉴权服务启动,进行虚拟化检查,若确定运行在物理机上,则正常提供服务,若运行在虚拟机上,则拒绝服务。
3.根据权利要求2所述的方法,其特征在于,
所述鉴权服务从所在物理机的加密锁中的许可证license中读取所述实例数上限和/或所述每秒请求数上限;
所述加密锁为可插拔的硬件设备。
4.根据权利要求3所述的方法,其特征在于,
所述license中进一步包括:机器指纹;
所述鉴权服务根据获取到的运行实例数上限和/或每秒请求数上限对所述应用服务进行鉴权之前,进一步包括:
所述鉴权服务将采集到的所在物理机的机器指纹与从所述license中读取到的机器指纹进行比对;
若不一致,则向所述应用服务返回鉴权失败消息;
若一致,则根据所述运行实例数上限和/或所述每秒请求数上限对所述应用服务进行鉴权。
5.根据权利要求4所述的方法,其特征在于,
所述加密锁中进一步包括:时钟;
若采集到的所在物理机的机器指纹与从所述license中读取到的机器指纹一致,则根据所述运行实例数上限和/或所述每秒请求数上限对所述应用服务进行鉴权之前,进一步包括:
所述鉴权服务读取所述时钟的时间,并确定所述license的有效期中是否包含所述时间;
若否,则向所述应用服务返回鉴权失败消息;
若是,则根据所述运行实例数上限和/或所述每秒请求数上限对所述应用服务进行鉴权。
6.根据权利要求1所述的方法,其特征在于,
所述鉴权服务根据所述运行实例数上限对所述应用服务进行鉴权包括:
所述鉴权服务获取所述鉴权请求中携带的所述应用服务的通用唯一识别码UUID;
所述鉴权服务确定所维护的运行实例池中是否包含所述UUID对应的实例;
若是,则更新所述UUID对应的实例的最后访问时间,并确定根据所述运行实例数上限对所述应用服务进行的鉴权通过;
若否,则确定所述运行实例池中的实例数是否小于所述运行实例数上限,若是,则将所述UUID对应的实例添加到所述运行实例池中,并确定根据所述运行实例数上限对所述应用服务进行的鉴权通过,若否,则向所述应用服务返回鉴权失败消息。
7.根据权利要求6所述的方法,其特征在于,
该方法进一步包括:
若确定所述运行实例池中不包含所述UUID对应的实例,则所述鉴权服务确定所述运行实例池中是否存在过期实例;
若是,则清除过期实例,之后确定所述运行实例池中的实例数是否小于所述运行实例数上限。
8.根据权利要求6所述的方法,其特征在于,
该方法进一步包括:所述鉴权服务定期通知所述应用服务更换所述UUID。
9.根据权利要求1所述的方法,其特征在于,
所述鉴权服务根据所述每秒请求数上限对所述应用服务进行鉴权包括:
所述鉴权服务确定所维护的令牌桶中可用的令牌数是否小于1,所述令牌桶的容量等于所述每秒请求数上限;
若是,则向所述应用服务返回鉴权失败消息,若否,则从所述令牌桶中消耗一个令牌,并确定根据所述每秒请求数上限对所述应用服务进行的鉴权通过。
10.根据权利要求9所述的方法,其特征在于,
所述鉴权服务确定所维护的令牌桶中可用的令牌数是否小于1之前,进一步包括:
所述鉴权服务根据所述令牌桶的容量、最近一次向所述令牌桶中补充令牌的时间以及当前时间,确定出需要向所述令牌桶中补充的令牌数;
按照确定出的令牌数向所述令牌桶中补充令牌。
11.根据权利要求10所述的方法,其特征在于,
所述确定出需要向所述令牌桶中补充的令牌数包括:
计算所述当前时间与所述最近一次向所述令牌桶中补充令牌的时间的差值;
计算所述差值与所述令牌桶的容量的乘积;
将所述乘积除以1000,将得到的商作为需要向所述令牌桶中补充的令牌数。
12.根据权利要求10所述的方法,其特征在于,
所述按照确定出的令牌数向所述令牌桶中补充令牌包括:
计算所述令牌桶的容量与所述令牌桶中可用的令牌数的差值;
若确定出的令牌数小于或等于所述差值,则按照确定出的令牌数向所述令牌桶中补充令牌;
若确定出的令牌数大于所述差值,则按照所述差值的个数向所述令牌桶中补充令牌。
13.根据权利要求1所述的方法,其特征在于,
所述鉴权服务根据所述运行实例数上限和所述每秒请求数上限对所述应用服务进行鉴权包括:
若根据所述运行实例数上限对所述应用服务进行的鉴权以及根据所述每秒请求数上限对所述应用服务进行的鉴权均通过,则确定对所述应用服务的鉴权通过。
14.根据权利要求1所述的方法,其特征在于,
该方法进一步包括:所述鉴权服务与所述应用服务之间采用安全套接层SSL双向认证方式进行通信。
15.一种私有化服务授权管理装置,其特征在于,包括:获取单元以及鉴权单元;
所述获取单元,用于获取来自应用服务的鉴权请求;
所述鉴权单元,用于根据获取到的运行实例数上限和/或每秒请求数上限对所述应用服务进行鉴权,若鉴权通过,则向所述应用服务返回鉴权成功消息,否则,返回鉴权失败消息。
16.根据权利要求15所述的装置,其特征在于,
所述装置中进一步用于,预处理单元;
所述预处理单元,用于当所述装置启动时,进行虚拟化检查,若确定运行在物理机上,则正常提供服务,若运行在虚拟机上,则拒绝服务。
17.根据权利要求16所述的装置,其特征在于,
所述鉴权单元从所在物理机的加密锁中的许可证license中读取所述实例数上限和/或所述每秒请求数上限;
所述加密锁为可插拔的硬件设备。
18.根据权利要求17所述的装置,其特征在于,
所述license中进一步包括:机器指纹;
所述鉴权单元进一步用于,将采集到的所在物理机的机器指纹与从所述license中读取到的机器指纹进行比对,若不一致,则向所述应用服务返回鉴权失败消息,若一致,则根据所述运行实例数上限和/或所述每秒请求数上限对所述应用服务进行鉴权。
19.根据权利要求18所述的装置,其特征在于,
所述加密锁中进一步包括:时钟;
所述鉴权单元进一步用于,若采集到的所在物理机的机器指纹与从所述license中读取到的机器指纹一致,则读取所述时钟的时间,并确定所述license的有效期中是否包含所述时间,若否,则向所述应用服务返回鉴权失败消息,若是,则根据所述运行实例数上限和/或所述每秒请求数上限对所述应用服务进行鉴权。
20.根据权利要求15所述的装置,其特征在于,
所述鉴权单元获取所述鉴权请求中携带的所述应用服务的通用唯一识别码UUID,确定所维护的运行实例池中是否包含所述UUID对应的实例,若是,则更新所述UUID对应的实例的最后访问时间,并确定根据所述运行实例数上限对所述应用服务进行的鉴权通过,若否,则确定所述运行实例池中的实例数是否小于所述运行实例数上限,若是,则将所述UUID对应的实例添加到所述运行实例池中,并确定根据所述运行实例数上限对所述应用服务进行的鉴权通过,若否,则向所述应用服务返回鉴权失败消息。
21.根据权利要求20所述的装置,其特征在于,
所述鉴权单元进一步用于,若确定所述运行实例池中不包含所述UUID对应的实例,则确定所述运行实例池中是否存在过期实例,若是,则清除过期实例,之后确定所述运行实例池中的实例数是否小于所述运行实例数上限。
22.根据权利要求20所述的装置,其特征在于,
所述鉴权单元进一步用于,定期通知所述应用服务更换所述UUID。
23.根据权利要求15所述的装置,其特征在于,
所述鉴权单元确定所维护的令牌桶中可用的令牌数是否小于1,所述令牌桶的容量等于所述每秒请求数上限,若是,则向所述应用服务返回鉴权失败消息,若否,则从所述令牌桶中消耗一个令牌,并确定根据所述每秒请求数上限对所述应用服务进行的鉴权通过。
24.根据权利要求23所述的装置,其特征在于,
所述鉴权单元进一步用于,在确定所述令牌桶中可用的令牌数是否小于1之前,根据所述令牌桶的容量、最近一次向所述令牌桶中补充令牌的时间以及当前时间,确定出需要向所述令牌桶中补充的令牌数,并按照确定出的令牌数向所述令牌桶中补充令牌。
25.根据权利要求24所述的装置,其特征在于,
所述鉴权单元计算所述当前时间与所述最近一次向所述令牌桶中补充令牌的时间的差值,计算所述差值与所述令牌桶的容量的乘积,将所述乘积除以1000,将得到的商作为需要向所述令牌桶中补充的令牌数。
26.根据权利要求24所述的装置,其特征在于,
所述鉴权单元计算所述令牌桶的容量与所述令牌桶中可用的令牌数的差值,若确定出的令牌数小于或等于所述差值,则按照确定出的令牌数向所述令牌桶中补充令牌,若确定出的令牌数大于所述差值,则按照所述差值的个数向所述令牌桶中补充令牌。
27.根据权利要求15所述的装置,其特征在于,
当根据所述运行实例数上限和所述每秒请求数上限对所述应用服务进行鉴权时,若根据所述运行实例数上限对所述应用服务进行的鉴权以及根据所述每秒请求数上限对所述应用服务进行的鉴权均通过,则所述鉴权单元确定对所述应用服务的鉴权通过。
28.根据权利要求15所述的装置,其特征在于,
所述获取单元以及所述鉴权单元与所述应用服务之间采用安全套接层SSL双向认证方式进行通信。
29.一种计算机设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1~14中任一项所述的方法。
30.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1~14中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811566419.8A CN109840402B (zh) | 2018-12-19 | 2018-12-19 | 私有化服务授权管理方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811566419.8A CN109840402B (zh) | 2018-12-19 | 2018-12-19 | 私有化服务授权管理方法、装置、计算机设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109840402A true CN109840402A (zh) | 2019-06-04 |
| CN109840402B CN109840402B (zh) | 2021-11-23 |
Family
ID=66883370
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811566419.8A Active CN109840402B (zh) | 2018-12-19 | 2018-12-19 | 私有化服务授权管理方法、装置、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109840402B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117574333A (zh) * | 2024-01-16 | 2024-02-20 | 四川精容数安科技有限公司 | 一种备份软件License有效期的校验方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101009631A (zh) * | 2006-01-24 | 2007-08-01 | 华为技术有限公司 | 一种QoS控制方法和系统 |
| CN101233470A (zh) * | 2005-08-02 | 2008-07-30 | 麦克罗维西恩公司 | 用于分级许可服务器的方法和系统 |
| CN103442076A (zh) * | 2013-09-04 | 2013-12-11 | 上海海事大学 | 一种云存储系统的可用性保障方法 |
| CN103475595A (zh) * | 2013-08-20 | 2013-12-25 | 国家电网公司 | 一种ParlayX网关的过载控制系统和方法 |
| CN106355052A (zh) * | 2016-11-03 | 2017-01-25 | 广东浪潮大数据研究有限公司 | 一种授权集中管理方法、装置及系统 |
| CN106815099A (zh) * | 2017-01-19 | 2017-06-09 | 腾讯科技(深圳)有限公司 | 鉴权系统和方法 |
| CN108009439A (zh) * | 2016-11-28 | 2018-05-08 | 北京车和家信息技术有限责任公司 | 资源请求的方法、装置及系统 |
| US20180357412A1 (en) * | 2015-11-13 | 2018-12-13 | Microsoft Technology Licensing, Llc | Unlock and recovery for encrypted devices |
-
2018
- 2018-12-19 CN CN201811566419.8A patent/CN109840402B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101233470A (zh) * | 2005-08-02 | 2008-07-30 | 麦克罗维西恩公司 | 用于分级许可服务器的方法和系统 |
| CN101009631A (zh) * | 2006-01-24 | 2007-08-01 | 华为技术有限公司 | 一种QoS控制方法和系统 |
| CN103475595A (zh) * | 2013-08-20 | 2013-12-25 | 国家电网公司 | 一种ParlayX网关的过载控制系统和方法 |
| CN103442076A (zh) * | 2013-09-04 | 2013-12-11 | 上海海事大学 | 一种云存储系统的可用性保障方法 |
| US20180357412A1 (en) * | 2015-11-13 | 2018-12-13 | Microsoft Technology Licensing, Llc | Unlock and recovery for encrypted devices |
| CN106355052A (zh) * | 2016-11-03 | 2017-01-25 | 广东浪潮大数据研究有限公司 | 一种授权集中管理方法、装置及系统 |
| CN108009439A (zh) * | 2016-11-28 | 2018-05-08 | 北京车和家信息技术有限责任公司 | 资源请求的方法、装置及系统 |
| CN106815099A (zh) * | 2017-01-19 | 2017-06-09 | 腾讯科技(深圳)有限公司 | 鉴权系统和方法 |
Non-Patent Citations (2)
| Title |
|---|
| S. SENTHILKUMAR等: "《HS-TBAC a highly secured token based access control for outsourced data in cloud》", 《INTERNATIONAL CONFERNCE ON INNOVATION INFORMATION IN COMPUTING TECHNOLOGIES》 * |
| WEIXIN_33859231: "《阿里云OSS服务开通STS安全令牌》", 《HTTPS://BLOG.CSDN.NET/WEIXIN_33859231/ARTICLE/DETAILS/85994003》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117574333A (zh) * | 2024-01-16 | 2024-02-20 | 四川精容数安科技有限公司 | 一种备份软件License有效期的校验方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109840402B (zh) | 2021-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10142326B2 (en) | Attribute-based access control | |
| US9258290B2 (en) | Secure administration of virtual machines | |
| US9836308B2 (en) | Hardware security module access management in a cloud computing environment | |
| US8332637B2 (en) | Methods and systems for nonce generation in a token | |
| CN102930199B (zh) | 多承租人订阅环境中的安全机器登记 | |
| EP2625645B1 (en) | Secure deployment of provable identity for dynamic application environments | |
| US20180063164A1 (en) | Securing services in a networked computing environment | |
| CN110414268A (zh) | 访问控制方法、装置、设备及存储介质 | |
| CN109804376A (zh) | 针对web应用的用户和设备认证 | |
| US20100043054A1 (en) | Authentication of user database access | |
| US9729515B1 (en) | System and method for managing secure communications for a virtual machine infrastructure | |
| JP2006244508A (ja) | 環境に基づくプログラム認証 | |
| CN109714348A (zh) | 基于区块链实现的权限处理方法、装置、设备和介质 | |
| CN111526111B (zh) | 登录轻应用的控制方法、装置和设备及计算机存储介质 | |
| US9948631B2 (en) | Implementing single sign-on in a transaction processing system | |
| US10785227B2 (en) | Implementing data security within a synchronization and sharing environment | |
| CN109995523B (zh) | 激活码管理方法及装置、激活码生成方法及装置 | |
| CN103975567B (zh) | 双因素认证方法及虚拟机设备 | |
| CN109359449A (zh) | 一种基于微服务的鉴权方法、装置、服务器及存储介质 | |
| KR20160018554A (ko) | 신뢰 및 비신뢰 플랫폼에 걸쳐 인터넷 액세스가능 애플리케이션 상태를 로밍하는 기법 | |
| US11589227B2 (en) | Multilevel authentication using a mobile device | |
| CN110753029B (zh) | 一种身份验证方法及生物识别平台 | |
| CN108337090A (zh) | 一种动态密码获取方法、装置、终端和存储介质 | |
| CN108400875A (zh) | 基于键值的授权认证方法、系统、电子设备、存储介质 | |
| US8904508B2 (en) | System and method for real time secure image based key generation using partial polygons assembled into a master composite image |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |