CN111695108B - 一种异构计算环境中多源账号的用户统一账号标识系统 - Google Patents
一种异构计算环境中多源账号的用户统一账号标识系统 Download PDFInfo
- Publication number
- CN111695108B CN111695108B CN202010499985.2A CN202010499985A CN111695108B CN 111695108 B CN111695108 B CN 111695108B CN 202010499985 A CN202010499985 A CN 202010499985A CN 111695108 B CN111695108 B CN 111695108B
- Authority
- CN
- China
- Prior art keywords
- account
- mapping
- unified
- module
- login
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
Abstract
本发明涉及一种异构计算环境中多源账号的用户统一账号标识系统,其包括:登录账号映射模块、计算账号映射模块、统一账号管理模块、映射管理模块和账号代理模块;其中,登录账号映射模块实现多来源登录账号到统一账号的动态绑定过程,并负责记录映射信息和日志信息;计算账号映射模块用于实现多来源计算账号到统一账号的动态绑定过程,并负责记录映射信息和日志信息;统一账号管理模块负责在异构平台的多种形式的终端之中的实现用户的身份标识功能;映射管理模块管理登录账号到统一账号、计算账号和统一账号之间的两层动态映射关系;账号代理模块负责对接不同的计算账号源,将计算资源的认证服务封装为统一的认证接口,实现简单的认证功能。
Description
技术领域
本发明涉及多源账号的用户统一账号标识技术,特别涉及一种异构计算环境中多源账号的用户统一账号标识系统。
背景技术
人工智能技术的快速发展离不开大规模的计算资源和数据资源。海量计算能力是深度学习模型快速训练的有效保障,标准化的数据集是人工智能算法开展大规模训练和提升准确率的重要基础。然而,这些资源一般分散在的不同地点,用户需要通过不同的账号访问这些计算资源。在异构和海量计算与存储资源的基础上,人工智能异构计算平台融合这些计算基础设施,形成人工智能通用计算平台,为多学科领域应用提供计算服务。建设人工智能异构计算平台的一个重要问题是多源账号包括登录账号和计算资源的映射管理,从而为平台和平台的多种类型和大量客户端提供用户统一账号标识、认证和授权服务。
单点登录(Single Sign On,SSO),是当前流行的企业业务整合的解决方案之一。在WEB环境下,用户只需要登录一次就可以访问所有相互信任的WEB应用系统。CAS(CentralAuthentication Service)是Yale大学发起的一个开源项目,旨在为Web应用系统提供一种可靠的单点登录方法,是当前应用比较广泛的认证,可以支持文件、数据为和轻量级目录等服务。
单点登录系统如SSO可以提供统一和集中的登录服务,但其账号来源单一,一般是文件、数据为和轻量级目录,不能有效整合多个账号源,特别是不同计算集群的认证服务。因此,本发明拟在支持单点登录服务的情况下提供统一账号信息,实现异构计算平台的统一账号服务。
OAuth2.0是OAuth协议的延续版本,但不向前兼容OAuth 1.0。OAuth2.0是一个开放的授权协议,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方客户端。OAuth2.0只是一个授权协议,但也会被用到用户认证的流程,通过授权第三方客户端获取部分账号属性信息的方式实现简单认证功能。OIDC(OpenID Connect)在OAuth2上构建了一个身份层,使用OAuth2的授权服务器来为第三方客户端提供用户的身份认证,支持多个账号源,并把对应的身份认证信息传递给客户端。
OIDC(OpenID Connect)在使用OAuth2的授权服务器来为第三方客户端提供用户的身份认证,也支持多个账号源,但该协议直接返回不同的账号源的信息,不能提供统一账号信息。因此,本发明拟在支持多源登录账号的基础上,提供统一账号信息,实现异构计算平台的统一账号服务。
另外,当前的认证或登录服务仅支持一层账号信息,也是就是登录异构计算平台的功能。本发明支持的异构计算平台,认证功能包括两层登录,分别利用登录账号访问异构计算平台和利用计算账号访问计算资源。基于异构计算环境的两层认证需求和简单易用的用户体验,本发明提出一种多源账号和登录账号之间的用户统一账号标识技术,模块化架构具备良好的可扩展性。该技术利用统一账号作为用户在异构计算平台的唯一身份标识,统筹管理用户在异构平台的各类权限和资源,从而为用户提供良好的身份服务和体验。
发明内容
本发明目的在于,解决现有认证或登录服务存在的上述技术问题。
为实现上述目的,本发明提供了一种异构计算环境中多源账号的用户统一账号标识系统,该系统包括:登录账号映射模块、计算账号映射模块、统一账号管理模块、映射管理模块和账号代理模块;其中,
所述登录账号映射模块,用于实现多来源登录账号到统一账号的动态绑定过程,并负责记录映射信息和日志信息;
所述计算账号映射模块,用于实现多来源计算账号到统一账号的动态绑定过程,并负责记录映射信息和日志信息;
所述统一账号管理模块,用于负责在异构平台的多种形式的终端之中的实现用户的身份标识功能,包括用户属性和权限的设置与管理;
所述映射管理模块,用于管理登录账号到统一账号、计算账号和统一账号之间的两层动态映射关系,统计相关数据,提供各类映射查询功能;
所述账号代理模块负责对接不同的计算账号源,将计算资源的认证服务封装为统一的认证接口,实现简单的认证功能。
进一步地,登录账号映射模块的映射过程为:
登录账号在首次登录时,会自动或者手动绑定一个统一账号;用户使用登录账号登录客户端应用时,若认证通过,客户端应用会收到统一账号的属性信息而不是登录账号的信息;若登录账号首先登录时,用户没有提供通用账号,会提供一个自动生成的统一账号并绑定;若用户提供了一个通用账号,将协助用户完成账号绑定过程;若存在多个登录账号,可以绑定到一个通用账号;每个登录账号,只能绑定到一个通用账号。
进一步地,计算账号映射模块的映射过程为:
用户在首次访问某个计算资源时,客户端会查询“计算账号映射”模块,是否存在统一账号到计算账号的映射信息,直到发现一个有效的统一账号到计算账号的映射;若不存在映射信息,“计算账号映射”模块将引导用户在“WEB页面”模块填写和选择计算账号的凭证信息;若该计算账号源还没有添加,需要管理员首先添加计算账号源信息;然后,用户的凭证信息会补发送到“账号代理”模块,完成认证功能;若认证通过,“计算账号映射”模块调用“映射管理”模块完成映射信息的记录;最后,返回一条或多条有效的统一账号到计算账号的映射记录信息。
进一步地,统一账号由一组字符串组成,统一账号管理用户在异构平台的权限信息,包括应用、计算资源和数据等方面的权限。
进一步地,本系统还包括WEB页面模块、API接口模块、统一认证服务模块、账号源管理模块和客户端认证管理模块;其中,
所述WEB页面模块,用于负责提供一个图形化的交互界面,面向各类用户提供登录账号注册、认证源管理和客户端认证申请功能;
所述API接口模块,用于提供一个二次开发服务,各类用户可以基于该接口将统一账号标识应用到具体的应用场景;
所述统一认证服务模块,用于基于用户统一账号标识,提供单点登录功能,异构计算平台的所有客户端能够以用户统一账号标识共享认证信息;
所述账号源管理模块,用于负责登录账号和计算账号的多源账号源管理,包括账号源的属性、接入方式和账号范围等信息;
所述客户端管理模块,用于负责处理异构平台多种类型的客户端应用用户统一账号标识的全过程管理,包括接入申请、应用统计和权限管理等功能。
本发明打破了登录账号到计算账号的直接固定映射,实现了登录账号、统一账号和计算账号三者之间的两层动态映射关系,以统一账号标识用户的身份和权限信息,屏蔽多源计算账号和多源登录账号带来的复杂用户管理问题,从而在异构平台的多种类型和大量的客户端之间以用户统一身份标识共享认证和授权信息,支持更多用户通过不同的客户端访问和使用异构计算平台。
附图说明
下面结合附图和实施例对本发明进一步说明。
图1为本发明实施例提供的一种异构计算环境中多源账号的用户统一账号标识系统架构示意图。
具体实施方式
异构计算平台的每个终端包括图形化终端、WEB应用和移动APP都需要认证服务,也存在多个账号源认证的需求,从而支持更大范围的潜在用户访问和使用计算资源。本发明提出的计算环境中多源账号的用户统一账号标识技术,采用微服务的架构实现,聚合Linux普通账号、LDAP账号和NIS账号等不同类型的账号系统,动态映射到本发明提供的统一账号。通行证账号、邮箱账号和社交账号也动态映射到本发明提供的统一账号,从实现多源登录账号到多源计算账号的动态绑定和统一管理,进一步异构计算平台提供简单易用的认证和授权服务。
用户统一账号标识技术目标是在多源账号的场景中,证实某个用户是他所声明的那个人。在异构计算平台中,无论是图形化桌面应用,Web服务的桌面端还是移动端,第三方的登录账号已经成为了主流标配。在第三方登录账号的登录过程,既要限制用户范围只让平台的目录用户才能注册和登录,还要根据目标用户的不同身份来控制能浏览的内容,这些问题的解决都依赖于本发明提出的用户统一账号标识技术。
本发明实施例面向有多个计算集群、超级计算机和云主机等不同计算资源组成的异构计算平台,每个计算资源提供本身的账号服务。计算平台允许用户通过邮箱和社交账号等登录账号进入平台,完成相关的计算任务。本发明实施例针对登录账号到计算账号的转换问题,提出一种多源账号和登录账号之间的用户统一账号标识技术,模块化架构具备良好的可扩展性。该技术利用统一账号作为用户在异构计算平台的唯一身份标识,统筹管理用户在异构平台的各类权限和资源,从而为用户提供良好的身份服务和体验。
图1为本发明实施例提供的一种异构计算环境中多源账号的用户统一账号标识系统架构示意图。如图1所示,从功能逻辑上看,本发明实施例提出的用户统一账号标识技术采用是典型的层次和模块结构,有助于划分不同的业务模块,不同的功能模块划分为多个相对独立的微服务,从而增强本发明实施例的灵活性和扩展性,支持更多类型的登录账号源和计算账号源。
异构计算环境中多源账号的用户统一账号标识系统包括统一账号标识核心服务和统一账号标识公共服务。
统一账号标识核心服务主要由5个功能模块组成,实现统一账号服务标识的主要业务和关键过程。
登录账号映射模块,用于实现多来源登录账号到统一账号的动态绑定过程,并负责记录映射信息和日志信息。多来源登录账号包括通行证账号、邮箱账号和社交账号。
登录账号映射过程为:登录账号在首次登录时,会自动或者手动绑定一个统一账号。用户使用登录账号登录时客户端应用时,若认证通过,客户端应用会收到统一账号的属性信息而不是登录账号的信息。若登录账号首先登录时,用户没有提供通用账号,本发明实施例的核心服务会提供一个自动生成的统一账号并绑定;若用户提供了一个通用账号,本发明实施例的核心服务会协助用户完成账号绑定过程。若存在多个登录账号,可以绑定到一个通用账号。每个登录账号,只能绑定到一个通用账号。
计算账号映射模块,用于实现多来源计算账号到统一账号的动态绑定过程,并负责记录映射信息和日志信息。
计算账号的映射过程为:本发明支持多种类型的计算账号源,包括支持普通linux账号、LDAP账号和NIS账号信息。用户在首次访问某个计算资源时,客户端会查询“计算账号映射”模块,是否存在统一账号到计算账号的映射信息,此后的流程由该模块负责管理,直到发现一个有效的统一账号到计算账号的映射。若不存在映射信息,“计算账号映射”模块将引导用户在本发明的“WEB页面”模块填写和选择计算账号的凭证信息。若该计算账号源还没有添加,需要管理员首先添加计算账号源信息。然后,用户的凭证信息会补发送到本发明的“账号代理”模块,完成认证功能。若认证通过,“计算账号映射”模块调用“映射管理”模块完成映射信息的记录。最后,返回一条或多条有效的的统一账号到计算账号的映射记录信息。
统一账号管理模块,用于负责在异构平台的多种形式的终端之中的实现用户的身份标识功能,包括用户属性和权限的设置与管理。统一账号由一组字符串组成,不建议用户直接使用通用账号登录平台。统一账号管理用户在异构平台的权限信息,包括应用、计算资源和数据等方面的权限。
映射管理模块,用于管理登录账号到统一账号、计算账号到统一账号之间的两层动态映射关系,统计相关数据,提供各类映射查询功能。
账号代理模块,用于负责对接不同的计算账号源,将计算资源的认证服务封装为统一的认证接口,实现简单的认证功能。
统一账号标识公共服务主要包括WEB页面模块、API接口模块、统一认证服务模块、账号源管理模块和客户端认证管理模块,其面向管理员、开发人员和用户提供统一登录、认证源管理功能。
WEB页面模块,用于负责提供一个图形化的交互界面,面向各类用户提供登录账号注册、认证源管理和客户端认证申请等功能。
API接口模块,用于提供一个二次开发服务,各类用户可以基于该接口将统一用户身份标识应用到具体的应用场景。
统一认证服务模块,用于基于用户统一账号标识,提供单点登录功能,异构计算平台的所有客户端能够以用户统一账号标识共享认证信息。
账号源管理模块模块,用于负责登录账号和计算账号的多源账号源管理,包括账号源的属性、接入方式和账号范围等信息。
客户端管理模块,用于负责处理异构平台多种类型的客户端应用用户统一账号标识的全过程管理,包括接入申请、应用统计和权限管理等功能。
本发明实施例打破了登录账号到计算账号的直接固定映射,实现了登录账号、统一账号和计算账号三者之间的两层动态映射关系,以统一账号标识用户的身份和权限信息,屏蔽多源计算账号和多源登录账号带来的复杂用户管理问题,从而在异构平台的多种类型和大量的客户端之间以用户统一身份标识共享认证和授权信息,支持更多用户通过不同的客户端访问和使用异构计算平台。
显而易见,在不偏离本发明的真实精神和范围的前提下,在此描述的本发明可以有许多变化。因此,所有对于本领域技术人员来说显而易见的改变,都应包括在本权利要求书所涵盖的范围之内。本发明所要求保护的范围仅由所述的权利要求书进行限定。
Claims (6)
1.一种异构计算环境中多源账号的用户统一账号标识系统,其特征在于,包括:登录账号映射模块、计算账号映射模块、统一账号管理模块、映射管理模块和账号代理模块;其中,
所述登录账号映射模块,用于实现多来源登录账号到统一账号的动态绑定过程,并负责记录映射信息和日志信息;
所述计算账号映射模块,用于实现多来源计算账号到统一账号的动态绑定过程,并负责记录映射信息和日志信息;
所述统一账号管理模块,用于负责在异构平台的多种形式的终端之中的实现用户的身份标识功能,包括用户属性和权限的设置与管理;
所述映射管理模块,用于管理登录账号到统一账号、计算账号到统一账号之间的两层动态映射关系,统计相关数据,提供各类映射查询功能;
所述账号代理模块负责对接不同的计算账号源,将计算资源的认证服务封装为统一的认证接口,实现简单的认证功能;
所述计算账号映射模块的映射过程为:
用户在首次访问某个计算资源时,客户端会查询计算账号映射模块,是否存在统一账号到计算账号的映射信息,直到发现一个有效的统一账号到计算账号的映射;若不存在映射信息,计算账号映射模块将引导用户在 WEB页面模块填写和选择计算账号的凭证信息;若该计算账号源还没有添加,需要管理员首先添加计算账号源信息;然后,用户的凭证信息会补发送到 账号代理模块,完成认证功能;若认证通过,计算账号映射模块调用映射管理模块完成映射信息的记录;最后,返回一条或多条有效的统一账号到计算账号的映射记录信息。
2.根据权利要求1所述的系统,其特征在于,所述登录账号映射模块的映射过程为:
登录账号在首次登录时,会自动或者手动绑定一个统一账号;用户使用登录账号登录客户端应用时,若认证通过,客户端应用会收到统一账号的属性信息而不是登录账号的信息;若登录账号首先登录时,用户没有提供通用账号,会提供一个自动生成的统一账号并绑定;若用户提供了一个通用账号,将协助用户完成账号绑定过程;若存在多个登录账号,可以绑定到一个通用账号;每个登录账号,只能绑定到一个通用账号。
3.根据权利要求1所述的系统,其特征在于,所述多来源登录账号包括:通行证账号、邮箱账号和社交账号。
4.根据权利要求1所述的系统,其特征在于,所述不同的计算账号源包括支持普通linux账号、LDAP账号和NIS账号信息。
5.根据权利要求1所述的系统,其特征在于,所述统一账号由一组字符串组成,统一账号管理用户在异构平台的权限信息,包括应用、计算资源和数据方面的权限。
6.根据权利要求1至5中任一权利要求所述的系统,其特征在于,还包括WEB页面模块、API接口模块、统一认证服务模块、账号源管理模块和客户端认证管理模块;其中,
所述WEB页面模块,用于负责提供一个图形化的交互界面,面向各类用户提供登录账号注册、认证源管理和客户端认证申请功能;
所述API接口模块,用于提供一个二次开发服务,各类用户可以基于该接口将用户统一账号标识应用到具体的应用场景;
所述统一认证服务模块,用于基于用户统一账号标识,提供单点登录功能,异构计算平台的所有客户端能够以用户统一账号标识共享认证信息;
所述账号源管理模块,用于负责登录账号和计算账号的多源账号源管理,包括账号源的属性、接入方式和账号范围信息;
所述客户端认证管理模块,用于负责处理异构平台多种类型的客户端应用用户统一账号标识的全过程管理,包括接入申请、应用统计和权限管理功能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010499985.2A CN111695108B (zh) | 2020-06-04 | 2020-06-04 | 一种异构计算环境中多源账号的用户统一账号标识系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010499985.2A CN111695108B (zh) | 2020-06-04 | 2020-06-04 | 一种异构计算环境中多源账号的用户统一账号标识系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111695108A CN111695108A (zh) | 2020-09-22 |
| CN111695108B true CN111695108B (zh) | 2022-04-01 |
Family
ID=72478966
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010499985.2A Active CN111695108B (zh) | 2020-06-04 | 2020-06-04 | 一种异构计算环境中多源账号的用户统一账号标识系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111695108B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112836197A (zh) * | 2021-01-12 | 2021-05-25 | 青海绿能数据有限公司 | 一种web系统功能集成系统 |
| CN113037741B (zh) * | 2021-03-04 | 2023-08-11 | 腾讯科技(深圳)有限公司 | 一种鉴权方法、鉴权装置、计算机设备及存储介质 |
| CN113448775A (zh) * | 2021-06-25 | 2021-09-28 | 中国工商银行股份有限公司 | 多源异构数据备份方法及装置 |
| CN115277624A (zh) * | 2022-03-07 | 2022-11-01 | 上海诺行信息技术有限公司 | 一种多卡聚合实名认证方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160012465A1 (en) * | 2014-02-08 | 2016-01-14 | Jeffrey A. Sharp | System and method for distributing, receiving, and using funds or credits and apparatus thereof |
| CN103856332B (zh) * | 2014-03-22 | 2017-02-08 | 中国科学院信息工程研究所 | 一种多屏多因子便捷web身份认证的一对多账号映射绑定的实现方法 |
| CN106911627B (zh) * | 2015-12-22 | 2019-09-17 | 中国科学院软件研究所 | 一种基于eID的真实身份安全控制方法及其系统 |
| CN106250397B (zh) * | 2016-07-19 | 2019-12-31 | 中国科学院计算机网络信息中心 | 一种用户行为特征的分析方法及装置 |
| US10284556B1 (en) * | 2016-11-11 | 2019-05-07 | Symantec Corporation | Systems and methods for verifying authentication requests using internet protocol addresses |
-
2020
- 2020-06-04 CN CN202010499985.2A patent/CN111695108B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN111695108A (zh) | 2020-09-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111695108B (zh) | 一种异构计算环境中多源账号的用户统一账号标识系统 | |
| CN111801923B (zh) | 用于多租户身份云服务的资源类型和模式元数据的复制 | |
| JP6491796B2 (ja) | マルチテナントアイデンティティおよびデータセキュリティ管理クラウドサービス | |
| US9628471B1 (en) | Protecting user identity at a cloud using a distributed user identity system | |
| US8381306B2 (en) | Translating role-based access control policy to resource authorization policy | |
| CN112913208B (zh) | 具有内部部署的认证集成和桥接器高可用性的多租户身份云服务 | |
| US9094398B2 (en) | Enhancing directory service authentication and authorization using contextual information | |
| US11290438B2 (en) | Managing session access across multiple data centers | |
| US8615528B2 (en) | Cloud database sharing | |
| US8108907B2 (en) | Authentication of user database access | |
| RU2598324C2 (ru) | Средства управления доступом к онлайновой службе с использованием внемасштабных признаков каталога | |
| US9047462B2 (en) | Computer account management system and realizing method thereof | |
| JP2019532368A (ja) | マルチテナントアイデンティティクラウドサービスのためのデータ管理 | |
| US20110214165A1 (en) | Processor Implemented Systems And Methods For Using Identity Maps And Authentication To Provide Restricted Access To Backend Server Processor or Data | |
| US10148637B2 (en) | Secure authentication to provide mobile access to shared network resources | |
| US6681330B2 (en) | Method and system for a heterogeneous computer network system with unobtrusive cross-platform user access | |
| US11924210B2 (en) | Protected resource authorization using autogenerated aliases | |
| CN110245499B (zh) | Web应用权限管理方法及系统 | |
| CN110691089B (zh) | 一种应用于云服务的认证方法、计算机设备及存储介质 | |
| CN112291244A (zh) | 一种工业生产数据实时处理平台系统多租用户方法 | |
| KR20070076342A (ko) | 그리드 환경에서 사용자 그룹 역할/권한 관리 시스템 및접근 제어 방법 | |
| CN115955346A (zh) | 一种基于身份认证体系的多租户管理系统及方法 | |
| CN110008186A (zh) | 针对多ftp数据源的文件管理方法、装置、终端和介质 | |
| US20220166763A1 (en) | System and method for managing integrated account based on token | |
| US11947657B2 (en) | Persistent source values for assumed alternative identities |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |