CN110168549B - 证书的分布式验证 - Google Patents
证书的分布式验证 Download PDFInfo
- Publication number
- CN110168549B CN110168549B CN201780083147.3A CN201780083147A CN110168549B CN 110168549 B CN110168549 B CN 110168549B CN 201780083147 A CN201780083147 A CN 201780083147A CN 110168549 B CN110168549 B CN 110168549B
- Authority
- CN
- China
- Prior art keywords
- user
- application
- token
- viewing
- cloud controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000010200 validation analysis Methods 0.000 title abstract description 7
- 230000009471 action Effects 0.000 claims abstract description 41
- 238000000034 method Methods 0.000 claims abstract description 19
- 230000004044 response Effects 0.000 claims description 14
- 238000012545 processing Methods 0.000 claims description 11
- 230000036541 health Effects 0.000 claims description 4
- 238000004590 computer program Methods 0.000 abstract description 11
- 238000012795 verification Methods 0.000 abstract description 4
- 238000004891 communication Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 238000013515 script Methods 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000007796 conventional method Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000000638 solvent extraction Methods 0.000 description 2
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/306—User profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Multi Processors (AREA)
- Stored Programmes (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
描述了用于证书的分布式验证的系统、方法和计算机程序产品。在接收到用户的执行动作的请求时,系统执行多分部认证,其中,在每个分部仅传递一部分认证信息。在第一阶段,该系统的应用管理器接收指定部分访问权的第一令牌。在第二阶段,该系统的云控制器独立于该第一令牌请求并接收用户的特权。呈现具有令牌的API,该令牌仅包含该API所需的权限,同时在不必提升用户特权的情况下仍然允许云控制器许可的验证。
Description
技术领域
本公开涉及云计算环境中的认证技术。
背景技术
在常规的云计算环境中,许可模型有时在多方之间有所划分。例如,许可模型的一部分可以由管理用户账户的系统来实施,例如用户账户认证(UAA)服务器;而该许可模型的另一部分则可以在管理空间和用户角色的系统中实施,例如云控制器。在这样的实施方式中,应用——例如在云计算环境中运行并且利用OAuth确保安全的应用——的邻近API可能需要UAA发出具有针对该应用自身行为的OAuth权限以及将使得该应用能够调解云控制器许可的权限的令牌。可能并不期望看到针对应用自身行为的权限以及用于调解云控制器许可的权限的混杂。
发明内容
该说明书描述用于证书的分布式验证的技术。在接收到用户的执行动作的请求时,系统执行多分部认证,其中在每个分部仅传递一部分认证信息。在第一阶段,该系统的应用管理器接收指定部分访问权的去特权令牌。在第二阶段,该系统的云控制器独立于该去特权令牌并且通过安全加密信道请求并接收用户的特权。因此,该技术确保呈现具有仅包含应用程序所需权限的令牌的应用程序的应用编程接口(API),同时在不必提升用户特权的情况下仍然允许云控制器许可的验证。
在常规技术中,当多于一个的组件需要认证时,划分许可模型要求对多个分部所需的许可进行联合,每个组件一个分部。该说明书公开如何在不提升任一个验证方的特权的情况下分布许可的验证。
该说明书中所描述的主题可以以各种实施例来实施从而实现以下一种或多种优势。所公开的技术通过提供更加安全的认证系统而使得常规认证系统有所改进,其中系统特权并不需要伴随认证令牌。系统的敏感组件,例如云控制器,可以单独地认证用户动作,防止访问敏感组件的特权与应用层级的认证发生混合。避免了常规系统中针对应用自身行为的权限与用于调解云控制器许可的权限的混杂。
该说明书中所描述的主题的一种或多种实施方式的细节在附图和以下描述中给出。该主题的其它特征、方面和优势将从描述、附图和权利要求而变得显而易见。
附图说明
图1是图示证书的分布式验证的示例技术的框图。
图2是图示证书的分布式验证的示例过程的流程图。
各附图中同样的附图标记和指定名称指示同样的元素。
具体实施方式
图1是图示证书的分布式验证的示例技术的框图。分布式计算系统100实施证书的分布式验证。分布式计算系统100提供基于云的计算环境并且包括多个组件,这在下文进行描述。分布式计算系统100的每个组件可以在均包括一个或多个计算机处理器的一个或多个计算机上实施。分布式计算系统100的示例是Pivotal Cloud Foundry(PCF)设施。
分布式计算系统100包括应用管理器102。应用管理器102可以包括用于管理组织、空间、应用、服务和用户的基于Web的工具、命令行工具或批处理工具。应用管理器102例如可以是Pivotal Apps Manager组件。应用管理器102接收第一请求104。该第一请求104指定用户、应用以及要由该用户在该应用上执行的动作。例如,第一请求104可以包括用户名、应用标识符以及动作的表示。该动作例如可以是修改应用、查看应用的环境变量等。
响应于该第一请求104,应用管理器102向用户认证模块108提交第二请求106。该第二请求106是针对部分认证的请求,并且包括如第一请求104中指定的用户名、应用名称或动作中的至少一个。
用户认证模块108是分布式计算系统100中被配置为向分布式计算系统100提供身份管理服务的组件。用户认证模块108可以执行令牌提供方的角色,例如,如互联网工程任务组(IETF)征求意见书(RFC)6749所发布的OAuth 2.0认证框架中所规定的OAuth 2提供方。用户认证模块108可以发出令牌以供客户端应用在它们代表系统用户操作时使用。用户认证模块108的示例是Pivotal UAA Server模块。
在接收到请求106时,用户认证模块108发出去特权令牌110。该去特权令牌110是指示用户的部分和不完整权限的令牌。例如,在去特权令牌110中,对系统操作的一些访问权可以不被表示。去特权令牌110可以是符合OAuth 2.0框架或者用于认证的其它框架的令牌。
应用管理器102接收作为对第二请求106的响应的去特权令牌110。响应于接收到去特权令牌110,应用管理器102向应用框架114提供用户认证信息112。该用户认证信息112可以包括用户名、应用标识符、动作或去特权令牌110中的一个或多个。
应用框架114是用于构建Web应用的框架。应用框架114例如被配置为处理依赖性注入、处理事务以及实施模型视图控制器架构。应用框架114的示例是Pivotal SpringBoot。应用框架114在接收到用户认证信息112时可以向云控制器118提交第三请求116。该第三请求116可以包括如在用户认证信息112中提供的用户名、应用标识符、动作和去特权令牌110中的一个或多个。第三请求116使得云控制器118在应用管理器102和用户认证模块108之间执行独立于第一认证操作的第二认证。
云控制器118是系统100中被配置为指导应用在系统100上的部署的组件。云控制器118还被配置为向客户端设备提供REST API端点以访问系统100。云控制器118可以维护具有组织、空间、服务和用户角色等的记录的数据库。响应于接收到第三请求116,云控制器118提交用于增强令牌的第四请求120。用于增强令牌的第四请求120可以包括用户名、应用标识符、动作或去特权令牌110中的至少一个。第四请求120可以包括确认云控制器118的身份的认证信息。云控制器118可以将用于增强令牌的第四请求120提交至用户认证模块108。云控制器118优选地通过安全且加密的通信信道与用户认证模块108进行通信。
通过该安全且加密的信道,云控制器118接收与去特权令牌110相关联的特权122。该特权122是用户认证模块108所执行的第二认证操作的结果。特权122可以包括有关特定用户是否具有针对特定应用、特定部署或者针对特定云控制器操作执行特定动作的特权的信息。特权122可以包括针对云控制器118的系统操作的特权。
在接收到特权122时,云控制器118向应用框架114给出响应124作为对请求116的回复。云控制器118可以通过安全且加密的通信信道与应用框架114进行通信。该响应可以包括与去特权令牌110相关联的特权122。应用框架114可以包括用于发送请求116以及接收响应124的云控制器接口126。云控制器接口126确保去特权令牌110和响应124中的特权之间的隔离。
应用框架114可以包括决策模块128。该决策模块128是应用框架114中基于请求104中指定的用户名、应用和规范以及由云控制器118在响应124中提供的特权122作出决策的组件。例如,决策模块128可以在用户名、应用和规范以及特权之间执行比较。然后,决策模块128可以将决策130提供至应用框架114或另一个模块。例如,在一些实施方式中,决策130可以向应用框架114指示是否提供所请求的信息以便在应用管理器102的Web界面中显示。
图2是图示证书的分布式验证的示例过程200的流程图。过程200可以由分布式计算系统执行,例如参考图1讨论的分布式计算系统100。如下文所描述的系统的每个组件均可以在包括一个或多个硬件处理器的一个或多个计算机上实施。
该系统的应用管理器接收(202)来自或代表用户、应用以及要由该用户在该应用上或参考该应用执行的动作的请求。该应用管理器可以接收来自命令行输入、批脚本、基于Web浏览器的用户界面或者任意其它适当界面的请求。该动作例如可以包括查看健康、查看应用特定信息、查看环境变量、查看存储器内容、查看线程诊断、查看应用特定量度以及查看或修改应用的配置中的至少一种。该应用可以是在分布式计算环境中执行的同时开放API(例如,REST API)的应用。该应用可以开放与核心API(例如,针对云控制器、用户认证模块或路由模块的API)不同的API。因此,针对应用的令牌所表示的权限可以与用于访问核心API的权限有所不同,并且可以被防止与之混杂。
系统的应用管理器向该系统的用户认证模块提供(204)认证该用户的请求。该用户认证模块可以包括系统的UAA服务器。该用户认证模块可以是符合OAuth2.0框架或其它认证框架的组件。
该系统的应用管理器从用户认证模块接收(206)认证该用户的去特权令牌。该去特权令牌包括与该用户相关联的部分访问权。去特权令牌是对少于用户所允许的所有权限进行授权的授权令牌。该去特权令牌不包括针对例如操控云控制器的访问某些系统功能的授权。
该系统的应用管理器向该系统的应用框架提供(208)标识特定的用户、应用和动作以及去特权令牌的数据。该应用框架可以是引导程序应用框架,例如Pivotal SpringBoot框架。
该应用框架向该系统的云控制器提供(210)该去特权令牌。与其中完整认证与令牌相关联的常规技术相比,仅向云控制器提供去特权令牌通过允许群体控制器在没有用户介入的情况下执行单独的认证操作而提供附加的安全性。
该系统的云控制器向该用户认证模块提交(212)增强该去特权令牌的请求。该请求可以寻求有关该用户允许什么动作的应答。该请求包括该去特权令牌。
该系统的云控制器从该用户认证模块接收(214)未在该去特权令牌中表示的与该用户相关联的一种或多种特权的信息。该一种或多种特权可以是系统访问特权,例如用于访问云控制器的操控应用部署的功能的特权。该特权是用户所享有的并不在去特权令牌中表示的特权。
该系统的云控制器例如通过加密信道将一种或多种相关联的特权提供(216)至应用框架,而不提供该去特权令牌。在应用管理器、应用框架和云控制器中的每一个上,该特权和去特权令牌被分别地编码和存储。
该系统的应用框架基于该动作与一种或多种特权之间的比较而确定(218)是否允许用户对应用执行该动作。在确定用户具有执行该动作所需要的许可时,该系统的组件执行该动作并且例如在输出设备上将该动作的结果呈现给用户。例如,该系统可以呈现该动作的结果以便在客户端设备的显示屏上的Web浏览器中显示。因此,从用户的观点来看,该说明书中所描述的证书的分布式认证可以是不可见的。
该说明书中所描述的主题和功能操作的实施例可以以数字电子电路、以有形方式体现的计算机软件或固件、以计算机硬件,包括该说明书中所公开的结构及其结构等同形式,或者以它们中的一种或多种的组合来实施。该说明书中所描述的主题的实施例可以被实施为一个或多个计算机程序,即在有形的非暂时性程序载体上编码以便由数据处理装置执行或者控制数据处理装置的操作的计算机程序指令的一个或多个模块。可替选地或除此之外,该程序指令可以在人为生成的传播信号上编码,例如机器生成的电、光学或电磁信号,其被生成以编码信息以便传输至适当的接收器装置以供数据处理装置来执行。计算机存储介质可以是机器可读存储设备、机器可读存储基质、随机或串行访问存储器设备、或者它们中的一个或多个的组合。
术语“数据处理装置”是指数据处理硬件,并且包含所有类型的用于处理数据的装置、设备和机器,例如包括可编程处理器、计算机、或者多个处理器或计算机。该装置还可以是或者进一步包括专用逻辑电路,例如,FPGA(现场可编程门阵列)或ASIC(专用集成电路)。除了硬件之外,该装置可选地可以包括为计算机程序创建执行环境的代码,例如构成处理器固件、协议栈、数据库管理系统、操作系统、或者它们中的一个或多个的组合的代码。
也被称作或被描述为程序、软件、软件应用、模块、软件模块、脚本或代码的计算机程序能够以任意形式的编程语言进行编写,包括编译或解释语言、或者声明或过程语言,并且其可以以任意形式来部署,包括作为独立程序或者作为适于在计算环境中使用的模块、组件、子程序或其它单元。计算机程序可以对应于文件系统中的文件,但是并非需要如此。程序可以存储在保存其它程序或数据的文件的一部分之中,例如,一个或多个脚本存储在标记语言文档中,存储在专用于所讨论程序的单个文件中,或者存储在多个协同文件中,例如存储一个或多个模块、子程序或部分代码的文件。计算机程序能够被部署为在一台计算机上执行或者在位于一个地点或跨多个地点分布并且通过通信网络进行互连的多台计算机上执行。
该说明书中所描述的过程和逻辑流程能够由一个或多个可编程计算机来实施,所述可编程计算机执行一个或多个计算机程序以通过对输入数据进行操作并生成输出来执行功能。所述过程和逻辑流程还能够由例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)的专用逻辑电路来执行,并且装置也能够被实施为所述专用逻辑电路。
适于执行计算机程序的计算机例如可以包括通用或专用微处理器或者其二者,或者任意其它类型的中央处理器。通常,中央处理器将从只读存储器或随机访问存储器或者其二者接收指令和数据。计算机的必要部件为用于实施或执行指令的中央处理器以及用于存储指令和数据的一个或多个存储器设备。通常,计算机还将包括用于存储数据的一个或多个大型存储设备,或者可操作地耦合以从用于存储数据的一个或多个大型存储设备接收数据并且向用于存储数据的一个或多个大型存储设备传送数据,或其两者,上述大型存储设备例如磁盘、磁光盘或光盘。然而,计算机并非需要具有这样的设备。此外,计算机可以被嵌入在另一个设备中,例如移动电话、个人数字助理(PDA)、移动音频或视频播放器、游戏机、全球定位系统(GPS)接收器、或者例如通用串行总线(USB)闪存盘的便携式存储设备,等等。
适于存储计算机程序指令和数据的计算机可读介质包括所有形式的非易失性存储器、介质和存储器设备,例如包括半导体存储器设备,例如EPROM、EEPROM和闪存设备;磁盘,例如内部硬盘或可移动磁盘;磁光盘;以及CD-ROM和DVD-ROM盘。处理器和存储器能够被专用逻辑电路补充或者整合在专用逻辑电路中。
为了提供与用户的交互,该说明书中所描述的主题的实施方式能够在计算机上实施,该计算机具有例如CRT(阴极射线管)或LCD(液晶显示器)监视器的用于向用户显示信息的显示设备以及用户能够通过其向计算机提供输入的键盘和例如鼠标或轨迹球的指示设备。也能够使用其它类型的设备来提供与用户的交互;例如,提供给用户的反馈可以是任意形式的感官反馈,例如视觉反馈、听觉反馈或触觉反馈;并且来自用户的输入能够以任意形式被接收,包括声音、语音或触觉输入。此外,计算机能够通过向用户所使用的设备发送文档并从用户所使用的设备接收文档来与用户进行交互;例如,通过响应于从web浏览器所接收到的请求而向用户设备上的web浏览器发送网页。
该说明书中所描述的主题的实施例能够在计算系统中实施,该计算系统包括例如作为数据服务器的后端组件,或者包括例如应用服务器的中间件组件,或者包括例如客户端计算机的前端组件,或者一个或多个这样的后端、中间件或前端组件的任意组合,上述客户端计算机具有用户能够通过其而与该说明书所描述主题的实施方式进行交互的图形用户界面或Web浏览器。该系统的组件能够通过例如通信网络的任意形式或介质的数字数据通信进行互连。通信网络的示例包括局域网(LAN)和例如互联网的广域网(WAN)。
计算系统能够包括客户端和服务器。客户端和服务器通常互相远离并且典型地通过通信网络进行交互。客户端和服务器的关系源自于在相应计算机上运行并且互相具有客户端-服务器关系的计算机程序。在一些实施例中,例如出于向与充当客户端的用户设备进行交互的用户显示数据并且从所述用户接收用户输入的目的,服务器向用户设备传送例如HTML页面的数据。可以在服务器处从用户设备接收在该用户设备处生成的数据,例如用户交互的结果。
虽然该说明书包含了许多具体的实施方式细节,但是这些并不应当被理解为是对可以请求保护的范围的限制,而是作为可能对特定实施例而言具体的特征的描述。该说明书中以单独实施例为背景所描述的某些特征也能够在单个实施例中组合实施。相反,以单个实施例为背景所描述的各个特征也能够在多个实施例中单独实施或者以任意适当的子组合实施。此外,虽然特征在上文中可以被描述为以某种组合发生作用并且甚至最初如此要求保护,但是在一些情况下,所请求保护的组合的一个或多个特征能够脱离该组合并且所请求保护的组合可以针对子组合或子组合的变化形式。
类似地,虽然在图中以特定顺序描绘操作,但是这并不应当被理解为为了实现所期望的结果而要求这样的操作以示出的特定顺序或以连续顺序来执行,或者执行所有图示的操作。在某些情况下,多任务和并行处理可能是有利的。此外,以上所说明的各个系统模块和组件的划分并不应当被理解为要求这样的划分,并且应当理解的是,所描述的程序组件和系统一般能够共同集成在单个软件产品中或者被封装为多个软件产品。
已经对该主题的特定实施例进行了描述。其它实施例处于以下权利要求的范围之内。例如,权利要求中所引用的动作可以以不同顺序执行并且仍然实现所期望的结果。作为一个示例,附图中所描绘的过程并非必然要求所示出的特定顺序或连续顺序来实现所期望的结果。在一些情况下,多任务和并行处理可能是有利的。
Claims (20)
1.一种方法,包括:
由分布式计算系统的应用管理器向所述分布式计算系统的用户认证模块提供对用户进行认证的请求;
由所述应用管理器从所述用户认证模块接收认证所述用户的去特权令牌,其中,所述去特权令牌包括与所述用户相关联的部分访问权;
由所述应用管理器向所述分布式计算系统的应用框架提供所述用户、应用、动作和所述去特权令牌;
由所述应用框架向所述分布式计算系统的云控制器提供所述去特权令牌;
由所述云控制器向所述用户认证模块提交增强所述去特权令牌的请求;
由所述云控制器从所述用户认证模块接收有关并未在所述去特权令牌中表示的与所述用户相关联的一种或多种特权的信息;以及
由所述云控制器向所述应用框架提供有关一种或多种相关联特权的信息。
2.根据权利要求1所述的方法,其中,提供对用户进行认证的请求响应于由所述应用管理器接收到指定所述用户、所述应用、以及要由所述用户对所述应用执行的动作的请求而发生。
3.根据权利要求1所述的方法,包括:
由所述应用框架基于所述动作和与所述用户相关联的所述一种或多种特权之间的比较来确定是否允许所述用户对所述应用执行所述动作。
4.根据权利要求1所述的方法,其中:
所述用户认证模块包括所述分布式计算系统的用户账户和认证(UAA)服务器;并且
所述动作包括查看健康、查看应用特定信息、查看环境变量、查看存储器内容、查看线程诊断、查看应用特定量度、以及查看或修改应用的配置中的至少一种。
5.根据权利要求1所述的方法,其中,由所述云控制器向所述应用框架提供:所述一种或多种相关联特权通过加密信道来执行,并且其中,所述一种或多种相关联特权并不伴随所述去特权令牌。
6.根据权利要求1所述的方法,包括:在确定允许所述用户执行所述动作时,在输出设备上呈现所述动作的结果。
7.根据权利要求1所述的方法,其中,在所述应用管理器、所述应用框架和所述云控制器中的每一个上,所述特权和所述去特权令牌被分别地编码。
8.一种非暂时性计算机可读存储介质,所述非暂时性计算机可读存储介质存储能够由数据处理装置执行并且在这样执行时使得所述数据处理装置执行操作的指令,所述操作包括:
由分布式计算系统的应用管理器向所述分布式计算系统的用户认证模块提供对用户进行认证的请求;
由所述应用管理器从所述用户认证模块接收认证所述用户的去特权令牌,其中,所述去特权令牌包括与所述用户相关联的部分访问权;
由所述应用管理器向所述分布式计算系统的应用框架提供所述用户、应用、动作和所述去特权令牌;
由所述应用框架向所述分布式计算系统的云控制器提供所述去特权令牌;
由所述云控制器向所述用户认证模块提交增强所述去特权令牌的请求;
由所述云控制器从所述用户认证模块接收有关并未在所述去特权令牌中表示的与所述用户相关联的一种或多种特权的信息;以及
由所述云控制器向所述应用框架提供有关一种或多种相关联特权的信息。
9.根据权利要求8所述的非暂时性计算机可读存储介质,其中,提供对所述用户进行认证的请求响应于由所述应用管理器接收到指定所述用户、所述应用、以及要由所述用户对所述应用执行的动作的请求而发生。
10.根据权利要求8所述的非暂时性计算机可读存储介质,所述操作包括:
由所述应用框架基于所述动作和与所述用户相关联的所述一种或多种特权之间的比较来确定是否允许所述用户对所述应用执行所述动作。
11.根据权利要求8所述的非暂时性计算机可读存储介质,其中:
所述用户认证模块包括所述分布式计算系统的用户账户和认证(UAA)服务器;并且
所述动作包括查看健康、查看应用特定信息、查看环境变量、查看存储器内容、查看线程诊断、查看应用特定量度、以及查看或修改应用的配置中的至少一种。
12.根据权利要求8所述的非暂时性计算机可读存储介质,其中,由所述云控制器向所述应用框架提供:所述一种或多种相关联特权通过加密信道来执行,并且其中,所述一种或多种相关联特权并不伴随所述去特权令牌。
13.根据权利要求8所述的非暂时性计算机可读存储介质,所述操作包括:在确定允许所述用户执行所述动作时,在输出设备上呈现所述动作的结果。
14.根据权利要求8所述的非暂时性计算机可读存储介质,其中,在所述应用管理器、所述应用框架和所述云控制器中的每一个上,所述特权和所述去特权令牌被分别地编码。
15.一种系统,包括:
一个或多个计算机;以及
一个或多个存储设备,在所述一个或多个存储设备上存储可操作的指令,所述指令在由所述一个或多个计算机执行时,使得所述一个或多个计算机执行操作,所述操作包括:
由分布式计算系统的应用管理器向所述分布式计算系统的用户认证模块提供对用户进行认证的请求;
由所述应用管理器从所述用户认证模块接收认证所述用户的去特权令牌,其中,所述去特权令牌包括与所述用户相关联的部分访问权;
由所述应用管理器向所述分布式计算系统的应用框架提供所述用户、应用、动作和所述去特权令牌;
由所述应用框架向所述分布式计算系统的云控制器提供所述去特权令牌;
由所述云控制器向所述用户认证模块提交增强所述去特权令牌的请求;
由所述云控制器从所述用户认证模块接收有关并未在所述去特权令牌中表示的与所述用户相关联的一种或多种特权的信息;以及
由所述云控制器向所述应用框架提供有关一种或多种相关联特权的信息。
16.根据权利要求15所述的系统,其中,提供对所述用户进行认证的请求响应于由所述应用管理器接收到指定所述用户、所述应用、以及要由所述用户对所述应用执行的动作的请求而发生。
17.根据权利要求15所述的系统,所述操作包括:
由所述应用框架基于所述动作和与所述用户相关联的所述一种或多种特权之间的比较来确定是否允许所述用户对所述应用执行所述动作。
18.根据权利要求15所述的系统,其中:
所述用户认证模块包括所述分布式计算系统的用户账户和认证(UAA)服务器;并且
所述动作包括查看健康、查看应用特定信息、查看环境变量、查看存储器内容、查看线程诊断、查看应用特定量度、以及查看或修改应用的配置中的至少一种。
19.根据权利要求15所述的系统,其中,由所述云控制器向所述应用框架提供:所述一种或多种相关联特权通过加密信道来执行,并且其中,所述一种或多种相关联特权并不伴随所述去特权令牌。
20.根据权利要求15所述的系统,其中,在所述应用管理器、所述应用框架和所述云控制器中的每一个上,所述特权和所述去特权令牌被分别地编码。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662434325P | 2016-12-14 | 2016-12-14 | |
| US62/434,325 | 2016-12-14 | ||
| PCT/US2017/065893 WO2018111927A1 (en) | 2016-12-14 | 2017-12-12 | Distributed validation of credentials |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110168549A CN110168549A (zh) | 2019-08-23 |
| CN110168549B true CN110168549B (zh) | 2022-11-11 |
Family
ID=61656330
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780083147.3A Active CN110168549B (zh) | 2016-12-14 | 2017-12-12 | 证书的分布式验证 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US10666631B2 (zh) |
| EP (1) | EP3394782B1 (zh) |
| JP (1) | JP6765537B2 (zh) |
| CN (1) | CN110168549B (zh) |
| AU (1) | AU2017376110B2 (zh) |
| WO (1) | WO2018111927A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10333918B2 (en) * | 2017-02-22 | 2019-06-25 | Accenture Global Solutions Limited | Automated system identification, authentication, and provisioning |
| US10614164B2 (en) | 2017-02-27 | 2020-04-07 | International Business Machines Corporation | Message sentiment based alert |
| CN110309645A (zh) * | 2019-04-16 | 2019-10-08 | 网宿科技股份有限公司 | 一种对api进行安全防护的方法、设备和系统 |
| JP7313309B2 (ja) * | 2020-03-31 | 2023-07-24 | 株式会社日立製作所 | プログラム実行支援装置、及びプログラム実行支援方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102422298A (zh) * | 2009-05-08 | 2012-04-18 | 惠普开发有限公司 | 分布式计算资源的访问控制系统和方法 |
| CN105359491A (zh) * | 2013-06-14 | 2016-02-24 | 微软技术许可有限责任公司 | 云环境中的用户认证 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7770212B2 (en) * | 2002-08-15 | 2010-08-03 | Activcard | System and method for privilege delegation and control |
| US7076637B2 (en) * | 2003-10-29 | 2006-07-11 | Qualcomm Inc. | System for providing transitions between operating modes of a device |
| US20070283143A1 (en) * | 2006-06-06 | 2007-12-06 | Kabushiki Kaisha Toshiba | System and method for certificate-based client registration via a document processing device |
| US8621561B2 (en) * | 2008-01-04 | 2013-12-31 | Microsoft Corporation | Selective authorization based on authentication input attributes |
| US8443451B2 (en) * | 2008-03-27 | 2013-05-14 | George Madathilparambil George | Manually controlled application security environments |
| US20090260050A1 (en) * | 2008-04-14 | 2009-10-15 | George Madathilparambil George | Authenticating device for controlling application security environments |
| US9652788B2 (en) * | 2008-06-18 | 2017-05-16 | Oracle International Corporation | Method and apparatus for logging privilege use in a distributed computing environment |
| US8505078B2 (en) * | 2008-12-28 | 2013-08-06 | Qualcomm Incorporated | Apparatus and methods for providing authorized device access |
| JP5139597B2 (ja) * | 2010-09-10 | 2013-02-06 | オリンパスメディカルシステムズ株式会社 | 内視鏡 |
| US20120144501A1 (en) | 2010-12-03 | 2012-06-07 | Salesforce.Com, Inc. | Regulating access to protected data resources using upgraded access tokens |
| US9449185B2 (en) * | 2011-12-16 | 2016-09-20 | Software Ag | Extensible and/or distributed authorization system and/or methods of providing the same |
| US9350729B2 (en) * | 2014-05-21 | 2016-05-24 | Microsoft Technology Licensing, Llc | Bifurcated authentication token techniques |
| JP2016009276A (ja) * | 2014-06-23 | 2016-01-18 | 富士通株式会社 | システム、認証装置、認証プログラム、及び、認証方法 |
| JP6354407B2 (ja) * | 2014-07-11 | 2018-07-11 | 株式会社リコー | 認証システム、認証方法、プログラム及び通信システム |
| KR102408618B1 (ko) * | 2015-02-16 | 2022-06-14 | 쑤저우 레킨 세미컨덕터 컴퍼니 리미티드 | 발광 소자 패키지 및 이를 포함하는 조명 장치 |
| US10104065B2 (en) * | 2015-05-26 | 2018-10-16 | Futurewei Technologies, Inc. | Token-based authentication and authorization information signaling and exchange for adaptive streaming |
-
2017
- 2017-12-12 WO PCT/US2017/065893 patent/WO2018111927A1/en active Application Filing
- 2017-12-12 AU AU2017376110A patent/AU2017376110B2/en active Active
- 2017-12-12 EP EP17851915.3A patent/EP3394782B1/en active Active
- 2017-12-12 US US15/839,687 patent/US10666631B2/en active Active
- 2017-12-12 JP JP2019532104A patent/JP6765537B2/ja active Active
- 2017-12-12 CN CN201780083147.3A patent/CN110168549B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102422298A (zh) * | 2009-05-08 | 2012-04-18 | 惠普开发有限公司 | 分布式计算资源的访问控制系统和方法 |
| CN105359491A (zh) * | 2013-06-14 | 2016-02-24 | 微软技术许可有限责任公司 | 云环境中的用户认证 |
Non-Patent Citations (1)
| Title |
|---|
| Web服务的安全机制和安全模型;孙仁科等;《计算机应用与软件》;20050612(第06期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6765537B2 (ja) | 2020-10-07 |
| US10666631B2 (en) | 2020-05-26 |
| WO2018111927A1 (en) | 2018-06-21 |
| JP2020502676A (ja) | 2020-01-23 |
| CN110168549A (zh) | 2019-08-23 |
| AU2017376110B2 (en) | 2020-06-11 |
| AU2017376110A1 (en) | 2019-07-04 |
| US20180167374A1 (en) | 2018-06-14 |
| EP3394782B1 (en) | 2020-07-29 |
| EP3394782A1 (en) | 2018-10-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10911226B2 (en) | Application specific certificate management | |
| US10104079B2 (en) | Authentication proxy agent | |
| US10922401B2 (en) | Delegated authorization with multi-factor authentication | |
| US10277409B2 (en) | Authenticating mobile applications using policy files | |
| CN110168549B (zh) | 证书的分布式验证 | |
| US20220337593A1 (en) | Access control in microservice architectures | |
| US9225704B1 (en) | Unified management of third-party accounts | |
| US11108825B2 (en) | Managed real-time communications between user devices | |
| EP3050276B1 (en) | Securely authorizing access to remote resources | |
| WO2017067227A1 (zh) | 一种第三方账号授权方法、设备、服务器及其系统 | |
| US11693945B2 (en) | Secure calls between applications | |
| US20170126700A1 (en) | Content Access for Duration of Calendar Events | |
| US20170169249A1 (en) | End user control of personal data in the cloud | |
| US10560435B2 (en) | Enforcing restrictions on third-party accounts | |
| US9166791B2 (en) | Method and apparatus for user identity verification | |
| US9479492B1 (en) | Authored injections of context that are resolved at authentication time | |
| US9245105B1 (en) | Verification of remote job state for access control | |
| Collins et al. | Authentication, Authorization, and Discovery Service |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: California, USA Patentee after: Pivotal Software, Inc. Country or region after: U.S.A. Address before: California, USA Patentee before: PIVOTAL SOFTWARE, Inc. Country or region before: U.S.A. |