CN112073373A - 基于零信任网络的身份认证方法、装置和代理设备 - Google Patents
基于零信任网络的身份认证方法、装置和代理设备 Download PDFInfo
- Publication number
- CN112073373A CN112073373A CN202010777390.9A CN202010777390A CN112073373A CN 112073373 A CN112073373 A CN 112073373A CN 202010777390 A CN202010777390 A CN 202010777390A CN 112073373 A CN112073373 A CN 112073373A
- Authority
- CN
- China
- Prior art keywords
- iam
- module
- identity authentication
- authentication request
- modules
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Abstract
本申请提供了一种基于零信任网络的身份认证方法、装置和代理设备,应用于零信任网络的代理设备中,该零信任网络还包括多个IAM模块,多个IAM模块中至少两个IAM模块之间具备关联关系;该方法包括:当接收到用户的身份认证请求后,判断用于处理身份认证请求的IAM模块是否可用;若可用,则将身份认证请求发送给该IAM模块,由该IAM模块根据身份认证请求对用户的身份进行认证;若不可用,则将身份认证请求发送给与该IAM模块具有关联关系的IAM模块,由与该IAM模块具有关联关系的IAM模块根据身份认证请求对用户的身份进行认证。不仅实现了零信任网络中用户的身份认证,而且避免了因IAM模块单点故障所造成的认证流程无法完成,进而导致用户身份认证失败的问题。
Description
技术领域
本申请涉及计算机通信/网络处理器技术领域,尤其涉及一种基于零信任网络的身份认证方法、装置和代理设备。
背景技术
传统的网络安全模型以网络边界作为防护边界,通常采用防火墙、DDOS、IPS等设备在企业入口处对流量进行监控,出差用户或者分支机构采用VPN的方式接入内网,内网环境被认为是安全的。而随着技术的不断进步,这种传统的安全体系正面临挑战,一方面,因内网防御措施往往较为薄弱,一旦攻击者攻入网络边界,内网环境就会面临数据泄漏等风险;另一方面,随着微服务架构的兴起,系统组成方式由集中式向分布式演进,企业对外提供的服务也更加具有针对性,需要提供更加精细化的防护方式。基于以上技术背景下产生了“零信任”安全模型。“零信任”安全模型的中心思想是所有访问都是不可信的,以身份作为新边界来代替传统的网络边界。
因此,如何在零信任网络中实现身份的认证是至关重要的问题。
发明内容
有鉴于此,本申请提供一种基于零信任网络的身份认证方法、装置和代理设备,用以实现零信任网络中的用户的身份认证。
具体地,本申请是通过如下技术方案实现的:
根据本申请的第一方面,提供一种基于零信任网络的身份认证方法,应用于零信任网络的代理设备中,所述零信任网络还包括多个身份识别与访问管理IAM模块,所述多个IAM模块中至少两个IAM模块之间具备关联关系;以及所述方法,包括:
当接收到用户的身份认证请求后,判断用于处理所述身份认证请求的IAM模块是否可用;
若可用,则将所述身份认证请求发送给该IAM模块,由该IAM模块根据所述身份认证请求对所述用户的身份进行认证;
若不可用,则将所述身份认证请求发送给与该IAM模块具有关联关系的IAM模块,由所述与该IAM模块具有关联关系的IAM模块根据所述身份认证请求对所述用户的身份进行认证。
根据本申请的第二方面,提供一种基于零信任网络的身份认证装置,应用于零信任网络的代理设备中,所述零信任网络还包括多个身份识别与访问管理IAM模块,所述多个IAM模块中至少两个IAM模块之间具备关联关系;以及所述装置,包括:
接收模块,用于接收用户的身份认证请求;
判断模块,用于判断用于处理所述身份认证请求的IAM模块是否可用;
第一发送模块,用于若所述判断模块的判断结果为可用,则将所述身份认证请求发送给该IAM模块,由该IAM模块根据所述身份认证请求对所述用户的身份进行认证;
第二发送模块,用于若所述判断模块的判断结果为不可用,则将所述身份认证请求发送给与该IAM模块具有关联关系的IAM模块,由所述与该IAM模块具有关联关系的IAM模块根据所述身份认证请求对所述用户的身份进行认证。
根据本申请的第三方面,提供一种代理设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的计算机程序,处理器被计算机程序促使执行本申请实施例第一方面所提供的方法。
根据本申请的第四方面,提供一种机器可读存储介质,机器可读存储介质存储有计算机程序,在被处理器调用和执行时,计算机程序促使处理器执行本申请实施例第一方面所提供的方法。
本申请实施例的有益效果:
通过实施本申请提供的基于零信任网络的身份认证流程,不仅实现了零信任网络中用户的身份认证,而且由于零信任网络中多个IAM模块中至少两个IAM模块之间具备关联关系,即使某个IAM模块故障,也能将该IAM模块原本要处理的身份认证请求转交给关联的IAM模块处理,从而避免了零信任网络中因IAM模块相互独立所造成的因某个IAM模块单点故障而导致用户的身份无法认证的问题发生。
附图说明
图1是本申请实施例提供的一种基于零信任网络的身份认证方法的流程示意图;
图2是本申请实施例提供的一种基于零信任网络的身份认证装置的结构示意图;
图3是本申请实施例提供的一种代理设备的硬件结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
发明人发现,在基于零信任网络进行身份认证时,是在代理设备上配置代理策略,指定身份识别与访问管理(Identity and Access Management,IAM)模块的通信信息。在需要认证时,代理设备与IAM模块交互,完成身份认证和应用模块访问权限认证的功能。但是该方案只能配置一个IAM模块的通知信息,单点故障的风险较大。一旦该IAM模块不可用,代理设备无法正确完成认证流程,经过代理设备的所有用户的流量都将被阻断,影响零信任网络的可靠性。因此,如何解决目前提供的零信任网络中单点故障所造成的身份认证流程无法完成,进而导致用户身份认证失败的问题也至关重要。
有鉴于此,本申请提供一种基于零信任网络的身份认证方法,应用于零信任网络的代理设备中,该零信任网络还包括多个身份识别与访问管理IAM模块,上述多个IAM模块中至少两个IAM模块之间具备关联关系;代理设备当接收到用户的身份认证请求后,判断用于处理上述身份认证请求的IAM模块是否可用;若可用,则将上述身份认证请求发送给该IAM模块,由该IAM模块根据上述身份认证请求对上述用户的身份进行认证;若不可用,则将上述身份认证请求发送给与该IAM模块具有关联关系的IAM模块,由上述与该IAM模块具有关联关系的IAM模块根据上述身份认证请求对上述用户的身份进行认证。由此,不仅实现了零信任网络中用户的身份认证,而且由于本申请中的IAM模块之间具有关联关系,从而能够避免零信任网络中因IAM模块相互独立且单个IAM故障(单点故障)所造成的身份认证流程无法完成,进而导致用户身份认证失败的问题。
下面对本申请提供的基于零信任网络的身份认证方法进行详细地说明。
参见图1,图1是本申请提供的一种基于零信任网络的身份认证方法的流程图,应用于零信任网络的代理设备中,上述零信任网络还包括多个IAM模块,上述多个IAM模块中至少两个IAM模块之间具备关联关系,则代理设备实施上述方法可包括如下所示步骤:
S101、接收用户的身份认证请求;
具体地,当用户需要访问零信任网络时,则需要在身份认证通过后才能访问,因此,用户可以通过客户端向代理设备发送身份认证请求。需要说明的是,本申请中可以接收至少一个用户的身份认证请求。
S102、判断用于处理身份认证请求的IAM模块是否可用,若可用,则执行步骤S103;若不可用,则执行步骤S104。
本申请中,代理设备在配置代理策略时,允许配置多个IAM模块的通信信息,即,零信任网络中多个IAM模块之间具备关联关系。因此,当某一个IAM模块不可用时,还有其它IAM模块可用,从而保证了零信任网络的可靠性。基于此原理,代理设备在接收到身份认证请求后,可以判断用于处理该身份认证请求的IAM模块当前的状态是否可用。
S103、将身份认证请求发送给该IAM模块,由该IAM模块根据身份认证请求对用户的身份进行认证。
当用于处理上述身份认证请求的IAM模块可用时,则代理设备可以直接将上述身份认证请求发送给该IAM模块,该IAM模块接收到该身份认证请求后,就可以对该用户的身份进行认证,当认证通过后,该用户就可以访问零信任网络。
S104、将身份认证请求发送给与该IAM模块具有关联关系的IAM模块,由所述与该IAM模块具有关联关系的IAM模块根据身份认证请求对用户的身份进行认证。
当代理设备发现用于处理上述身份认证请求的IAM模块当前的状态为不可用时,则表明上述IAM模块可能故障或不在线等等,为了防止上述身份认证请求无法处理,本申请提出,确认与用于处理上述身份认证请求的IAM模块具有关联关系的IAM模块,然后将该身份认证请求发送给具有关联关系的IAM模块,由具有关联关系的IAM模块对用户的身份进行认证,从而避免用户的身份认证无法及时处理的情况发生。
通过实施图1所示的流程,不仅实现了零信任网络中用户的身份认证,而且由于零信任网络中多个IAM模块中至少两个IAM模块之间具备关联关系,即使某个IAM模块故障,也能将该IAM模块原本要处理的身份认证请求转交给关联的IAM模块处理,从而避免了零信任网络中因IAM模块相互独立所造成的因某个IAM模块单点故障而导致用户的身份无法认证的问题发生。
可选地,本申请提供的多个IAM模块中至少两个IAM模块之间具备的关联关系包括主备关系和/或负载分担关系,需要说明的是,上述关联关系是在代理设备上配置的,代理设备为每个IAM模块配置关联关系,当本本申请提供的关联关系包括主备关系和负载分担关系时,则代理设备在为每个IAM模块配置关联关系时,仅能为该IAM模块配置一种关联关系,如仅为该IAM模块配置主备关系,或者仅为该IAM模块配置负载分担关系。
在此基础之上,当接收到用户的身份认证请求后,在执行步骤S101之前,可以判断多个IAM模块中至少两个IAM模块之间的关联关系是否为主备关系,当判断结果为是时,则上述用于处理身份认证请求的IAM模块为主用IAM模块,或者,当多个IAM模块中至少两个IAM模块之间具备的关联关系仅包括主备关系时,则上述用于处理身份认证请求的IAM模块为主用IAM模块。则在此基础上,可以按照下述过程实施步骤S102~S104:代理设备判断上述主用IAM模块当前是否可用,若可用,则将用户的身份认证请求发送给主用IAM模块,由主用IAM模块对用户的身份进行认证;若不可用,则代理设备将用户的身份认证请求发送给该主用IAM模块的备用IAM模块,由该备用IAM模块根据上述身份认证请求对用户的身份进行认证。
可选地,本申请实施例提供的多个IAM模块中可以包括多对主备关系的IAM模块,且每对主备关系的IAM模块中包括一个主用IAM模块和至少一个备用IAM模块。当具有多对主备关系的IAM模块时,相应地,具备多个主用IAM模块,则主用IAM模块具备优先级,不同的主用IAM模块具备的优先级不同。则当代理设备基于步骤S101接收到用户的身份认证请求后,一般情况下,可以基于多个主用IAM模块之间的优先级,确认最高优先级的主用IAM模块为用于处理上述身份认证请求的IAM模块,然后判断最高优先级的主用IAM模块当前是否可用,当可用时,将身份认证请求转发给最高优先级的主用IAM模块;当不可用时,则将身份认证请求转发给最高优先级的IAM模块对应的备用IAM模块,由备用IAM模块来完成用户的身份认证;或者,还可以确认次高优先级的主用IAM模块当前是否可用,若可用,则可以将身份认证请求转发给次高优先级的主用IAM模块处理,依次类推。由此,也可以实现零信任网络的用户的身份认证。
可选地,当主用IAM的备用IAM模块具有多个时,备用IAM模块具有优先级;则在将身份认证请求发送给该主用IAM模块的备用IAM模块时,可以按照下述过程实施:将身份认证请求发送给该主用IAM模块的高优先级的备用IAM模块。
具体地,本申请中每个IAM模块的优先级可以但不限于由下述因素决定:IAM模块的性能、该IAM模块的接入带宽、该IAM模块与代理设备之间的距离。一般情况下,高性能、大接入带宽以及距离代理设备比较近的IAM模块的优先级就比较高,对于代理设备来说,对于主备关系的多个IAM模块,优先级更高的,代理设备更优先使用高优先级的IAM模块,即将接收到的身份认证请求优先分配给高优先级的IAM模块;按此原则分配用于处理身份认证请求的IAM模块时,能够保证身份认证过程的快速处理,从而使得用户可以快速访问零信任网络。
可选地,当至少两个IAM模块之间的关联关系为负载分担关系时,则具备负载分担关系的各个IAM模块具备优先级;具体地,具有负载分担关系的IAM模块的优先级也可以但不限于由下述因素决定:IAM模块的性能、该IAM模块的接入带宽、该IAM模块与代理设备之间的距离。一般情况下,高性能、大接入带宽以及距离代理设备比较近的IAM模块的优先级就比较高,对于代理设备来说,则代理设备在分配身份认证请求时,会按照具备负载分担关系的各个IAM模块各自的优先级进行分配,优先分配给高优先级的IAM模块。此外,代理设备在为基于负载分担关系的各个IAM模块配置优先级后,各个IAM模块之间具有负载分担比例,也就是说,具有负载分担关系的各个IAM模块的负载分担能力可能相同也可能不同。
在此基础上,当判断多个IAM模块中至少两个IAM模块之间不具备主备关系时,则可以判断多个IAM模块中至少两个IAM模块之间的关联关系是否为负载分担关系,若为负载分担关系,则上述用于处理身份认证请求的IAM模块为具有负载分担关系的IAM模块中高优先级的IAM模块;或者,当多个IAM模块中至少两个IAM模块之间具备的关联关系仅包括负载分担关系时,则上述用于处理身份认证请求的IAM模块为具有负载分担关系的IAM模块中高优先级的IAM模块。则在此基础上,可以按照下述过程实施步骤S102~S104:代理设备判断上述高优先级的IAM模块当前是否可用,若可用,则将用户的身份认证请求发送给上述高优先级的IAM模块;若不可用,则代理设备根据具有负载分担关系的IAM模块之间的负载分担比例,将上述身份认证请求发送给具有负载分担关系的IAM模块中除所述高优先级的IAM模块之外的IAM模块,由具有负载分担关系的IAM模块中除所述高优先级的IAM模块之外的IAM模块根据上述身份认证请求对用户的身份进行认证。
具体地,代理设备在接收到用户的身份认证请求后,一般情况下,会按照优先级进行分配,若确认当前高优先级的IAM模块仅具备负载分担关系且当前的状态为不可用,则可以分配给具备负载均衡关系的IAM模块中除高优先级的IAM模块之外的IAM模块,当接收到多个用户的身份认证请求后,可以按照负载分担比例,确认分担多个用户的身份认证的IAM模块,然后再按负载分担比例将多个用户的身份认证请求相应分配给对应IAM模块。例如,具备负载分担关系的IAM模块包括3个,第一IAM模块、第二IAM模块和第三IAM模块,且优先级:第一IAM模块>第二IAM模块>第三IAM模块,负载分担比例:第一IAM模块:第二IAM模块:第三IAM模块为3:1:1,则在接收到6个用户的身份认证请求后,若判断第一IAM模块当前不可用,则可以将3个用户的身份认证请求发送给第二IAM模块,将余下的3个用户的身份认证请求发送给第三IAM模块,由此不仅实现了零信任网络中用户的身份认证,同时也避免了因单个IAM模块发生单点故障所造成的用户身份认证流程无法完成的情况发生。
可选地,本申请提供的基于零信任网络的身份认证方法,还可以包括下述过程:当具有负载分担关系的IAM模块中高优先级的IAM模块的状态由可用切换为不可用时,调整具有负载分担关系的IAM模块中各个可用的IAM模块之间的负载分担比例。
具体地,上述调整各个可用的IAM模块的负载分担比例的实施过程可以在确认具备负载分担关系的IAM模块中高优先级的IAM模块的状态不可用时直接实施,即,在:判断具备负载分担关系的IAM模块中高优先级的IAM模块的状态不可用之后,在根据具有负载分担关系的IAM模块之间的负载分担比例,将所述身份认证请求发送给具有负载分担关系的IAM模块中除所述高优先级的IAM模块之外的IAM模块的步骤之前实施。在此基础上,在执行根据具有负载分担关系的IAM模块之间的负载分担比例分配身份认证请求时,按照调整后的负载分担比例分配身份认证请求,由于高优先级的IAM模块已不可用,即使不调该高优先级的IAM模块的负载分担,也不会将身份认证请求发送给该高优先级的IAM模块,这样可以避免仍就访问不可用的IAM模块的情况发生。
当然,上述调整负载分担比例的实施过程也可以在上述根据具有负载分担关系的IAM模块之间的负载分担比例,将所述身份认证请求发送给具有负载分担关系的IAM模块中除所述高优先级的IAM模块之外的IAM模块的步骤之后实施。
可选地,当具有负载分担关系的IAM模块中高优先级的IAM模块的状态由不可用切换为可用时,调整具有负载分担关系的IAM模块中各个可用的IAM模块之间的负载分担比例。
具体地,当具有负载分担关系的IAM模块中高优先级的IAM模块的状态由不可用切换为可用时,可以立刻或延时一段时间,调整各个可用的IAM模块之间的负载分担比例,例如可以恢复到高优先级的IAM模块可用状态下的负载分担比例,当然也可以根据实际情况来调整,本申请对此不进行限定。
具体地,代理设备与所有IAM模块之间建立了保活探测机制,会探测各个IAM模块当前是否可用,基于此,代理设备可以针对每个IAM模块,在代理设备上分别设置一个定时器,用于决定代理设备与该IAM模块的保活探测间隔。因此,针对每个IAM模块,可以按照下述过程确认该IAM模块的状态:定时或周期性的向IAM模块发送探测请求,若接收到该IAM模块返回的探测响应,则确认该IAM模块当前的状态为可用;若该IAM模块超时未反馈探测响应,则确认该IAM模块当前的状态为不可用。
可选地,本申请提供的基于零信任网络的身份认证方法,还可以包括下述过程:当上述用于处理所述身份认证请求的IAM模块的状态由不可用变为可用时,则当接收到其他用户的身份认证请求后,将其他用户的身份认证请求发送给上述用于处理所述身份认证请求的IAM模块。
具体地,当用于处理上述身份认证请求的IAM模块满足主备关系,即,为主用IAM模块时,当主用IAM模块的状态由不可用变为可用时,代理设备接收到其他用户的身份认证请求后,可用将其他用户的身份认证请求发送给该主用IAM模块。
需要说明的是,代理设备在确认上述主用IAM从不可用变为可用后,当接收到身份认证请求后,也可以继续将该身份认证请求转发给上述主用IAM不可用时分配的备用IAM模块,具体与代理设备设置的保活探测切换策略是否为立即切换的结果有关。
此外,当用于处理上述身份认证请求的IAM模块满足负载分担关系,即,为具有负载分担关系的IAM模块中高优先级的IAM模块,则当具有负载分担关系的IAM模块中高优先级的IAM模块由不可用变为可用时,也可以将接收到的身份认证请求发送给该高优先级的IAM模块;当然还可以继续转发给该高优先级的IAM模块不可用时分配的IAM模块,具体与代理设备设置的保活探测切换策略是否为立即切换的结果有关。
为了更好地理解本申请提供的基于零信任网络的身份认证方法,以该零信任网络包括2个IAM模块为例进行说明,记为IAM1和IAM2,代理设备在配置代理策略时,可以配置IAM1和IAM2的通信信息,IAM1的优先级为80,IAM2的优先级为20,IAM1的优先级>IAM2的优先级,若代理设备配置的保活探测切换策略为立即切换,且初始情况下,两个IAM模块都可用。
当IAM1和IAM2满足主备关系时,代理设备为这两个IAM模块设置保活探测的定时器间隔为5s,每次定时器超时,代理设备探测这两个IAM模块的可用性;当用户1的身份认证请求1经过代理设备,需要完成认证流程时,代理设备优先使用IAM1执行认证流程;若某次IAM1的保活探测定时器超时未收到探测响应,则IAM1变为不可用,则代理设备更新IAM1的状态为不可用;当用户2的身份认证请求2经过代理设备,需要完成认证流程时,代理设备识别出高优先级的IAM1不可用,但低优先级的IAM2可用,则可以将身份认证请求2转发给IAM2,由IAM2执行认证流程;某次IAM1的保活探测后,确认IAM1又变为可用,代理设备更新IAM1的状态为可用;当用户3的身份认证请求3经过代理设备,需要完成认证流程时,代理设备可以将其发送给IAM1,由IAM1完成认证流程。
当IAM1和IAM2满足负载分担关系时,IAM1和IAM2的负载分担比例为4:1。代理设备为这两个IAM模块设置保活探测的定时器间隔为5s,每次定时器超时,代理设备探测这两个IAM模块的可用性。当用户a1~a5的5个身份认证请求经过代理设备,需要完成认证流程时,当前IAM1和IAM2均可用,代理设备将用户a1~a4的认证请求发给IAM1以完成认证,将用户a5的身份认证请求发给IAM2进行认证;某次IAM1的保活探测定时器超时,探测结果变为不可用时,代理设备更新IAM1的状态为不可用;当用户b1~b5的5个身份认证请求经过代理设备,需要完成认证流程时,由于IAM1不可用,则代理设备将用户b1~b5的身份认证请求均发送给IAM2进行认证;某次IAM1的保活探测定时器超时,探测结果又变为可用时,代理设备更新IAM1的状态为可用;当用户c1~c5的5个身份认证请求经过代理设备,需要完成认证流程时,代理设备将用户c1~c4的身份认证请求发送给IAM1进行认证,将用户c5的身份认证请求发送给IAM2进行认证。
通过实施本申请提供的基于零信任网络的身份认证方法,代理设备可以及时发现IAM模块的状态,若当前IAM模块不可用,则可以灵活的将接收到的身份认证请求转发给与该IAM模块相关联的IAM模块,由相关联的IAM模块完成用户的身份认证,由此不仅可以实现用户的身份认证,同时也避免了IAM模块单点故障所造成的用户的身份认证无法完成的情况发生,同时提供了零信任网络的可靠性。
基于同一发明构思,本申请还提供了与上述基于零信任网络的身份认证方法对应的基于零信任网络的身份认证装置。该基于零信任网络的身份认证装置的实施具体可以参考上述对基于零信任网络的身份认证方法的描述,此处不再一一论述。
参见图2,图2是本申请一示例性实施例提供的一种基于零信任网络的身份认证装置,应用于零信任网络的代理设备中,所述零信任网络还包括多个身份识别与访问管理IAM模块,所述多个IAM模块中至少两个IAM模块之间具备关联关系;以及上述装置,包括:
接收模块201,用于接收用户的身份认证请求;
判断模块202,用于判断用于处理所述身份认证请求的IAM模块是否可用;
第一发送模块203,用于若所述判断模块202的判断结果为可用,则将所述身份认证请求发送给该IAM模块,由该IAM模块根据所述身份认证请求对所述用户的身份进行认证;
第二发送模块204,用于若所述判断模块202的判断结果为不可用,则将所述身份认证请求发送给与该IAM模块具有关联关系的IAM模块,由所述与该IAM模块具有关联关系的IAM模块根据所述身份认证请求对所述用户的身份进行认证。
可选地,所述关联关系包括主备关系,则所述至少两个IAM模块包括主用IAM模块和至少一个备用IAM模块;则
上述第二发送模块203,具体用于当所述用于处理所述身份认证请求的IAM模块为用于处理所述身份认证请求的主用IAM模块时,则将所述身份认证请求发送给该主用IAM模块的备用IAM模块,由该备用IAM模块根据所述身份认证请求对所述用户的身份进行认证。
可选地,当主用IAM的备用IAM模块具有多个时,备用IAM模块具有优先级;则
上述第二发送模块203,具体用于将所述身份认证请求发送给该主用IAM模块的高优先级的备用IAM模块。
可选地,所述关联关系还包括负载分担关系;具有负载分担关系的各个IAM模块具有优先级;则
上述第二发送模块203,具体用于当所述用于处理所述身份认证请求的IAM模块为具有负载分担关系的IAM模块中高优先级的IAM模块时,则根据具有负载分担关系的IAM模块之间的负载分担比例,将所述身份认证请求发送给具有负载分担关系的IAM模块中除所述高优先级的IAM模块之外的IAM模块,由具有负载分担关系的IAM模块中除所述高优先级的IAM模块之外的IAM模块根据所述身份认证请求对所述用户的身份进行认证。
可选地,本申请提供的基于零信任网络的身份认证装置,还包括:调整模块205,也请参考图2所示,其中:
调整模块,用于当具有负载分担关系的IAM模块中高优先级的IAM模块的状态由可用切换为不可用时,调整具有负载分担关系的IAM模块中各个可用的IAM模块之间的负载分担比例;或者,当具有负载分担关系的IAM模块中高优先级的IAM模块的状态由不可用切换为可用时,调整具有负载分担关系的IAM模块中各个可用的IAM模块之间的负载分担比例。
可选地,上述第一发送模块203,还用于当确认所述用于处理所述身份认证请求的IAM模块的状态由不可用变为可用时,则当接收到其他用户的身份认证请求后,将其他用户的身份认证请求发送给所述用于处理所述身份认证请求的IAM模块。
基于同一发明构思,本申请实施例提供了一种代理设备,如图3所示,包括处理器301和机器可读存储介质302,机器可读存储介质302存储有能够被处理器301执行的计算机程序,处理器301被计算机程序促使执行本申请实施例所提供的基于零信任网络的身份认证方法。
上述计算机可读存储介质可以包括RAM(Random Access Memory,随机存取存储器)、DDR SRAM(Double Data Rate Synchronous Dynamic Random Access Memory,双倍速率同步动态随机存储器),也可以包括NVM(Non-volatile Memory,非易失性存储器),例如至少一个磁盘存储器。可选的,计算机可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processor,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
另外,本申请实施例提供了一种机器可读存储介质,机器可读存储介质存储有计算机程序,在被处理器调用和执行时,计算机程序促使处理器执行本申请实施例所提供的基于零信任网络的身份认证装置方法。
对于代理设备以及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种基于零信任网络的身份认证方法,其特征在于,应用于零信任网络的代理设备中,所述零信任网络还包括多个身份识别与访问管理IAM模块,所述多个IAM模块中至少两个IAM模块之间具备关联关系;以及所述方法,包括:
当接收到用户的身份认证请求后,判断用于处理所述身份认证请求的IAM模块是否可用;
若可用,则将所述身份认证请求发送给该IAM模块,由该IAM模块根据所述身份认证请求对所述用户的身份进行认证;
若不可用,则将所述身份认证请求发送给与该IAM模块具有关联关系的IAM模块,由所述与该IAM模块具有关联关系的IAM模块根据所述身份认证请求对所述用户的身份进行认证。
2.根据权利要求1所述的方法,其特征在于,所述关联关系包括主备关系,则所述至少两个IAM模块包括主用IAM模块和至少一个备用IAM模块;则当所述用于处理所述身份认证请求的IAM模块为用于处理所述身份认证请求的主用IAM模块时,则
将所述身份认证请求发送给与该IAM模块具有关联关系的IAM模块,由所述与该IAM模块具有关联关系的IAM模块根据所述身份认证请求对所述用户的身份进行认证,包括:
将所述身份认证请求发送给该主用IAM模块的备用IAM模块,由该备用IAM模块根据所述身份认证请求对所述用户的身份进行认证。
3.根据权利要求2所述的方法,其特征在于,当主用IAM的备用IAM模块具有多个时,备用IAM模块具有优先级;则
将所述身份认证请求发送给该主用IAM模块的备用IAM模块,包括:
将所述身份认证请求发送给该主用IAM模块的高优先级的备用IAM模块。
4.根据权利要求1所述的方法,其特征在于,所述关联关系还包括负载分担关系;具有负载分担关系的各个IAM模块具有优先级;则当所述用于处理所述身份认证请求的IAM模块为具有负载分担关系的IAM模块中高优先级的IAM模块时,则
将所述身份认证请求发送给与该IAM模块具有关联关系的IAM模块,由所述与该IAM模块具有关联关系的IAM模块根据所述身份认证请求对所述用户的身份进行认证,包括:
根据具有负载分担关系的IAM模块之间的负载分担比例,将所述身份认证请求发送给具有负载分担关系的IAM模块中除所述高优先级的IAM模块之外的IAM模块,由具有负载分担关系的IAM模块中除所述高优先级的IAM模块之外的IAM模块根据所述身份认证请求对所述用户的身份进行认证。
5.根据权利要求4所述的方法,其特征在于,还包括:
当具有负载分担关系的IAM模块中高优先级的IAM模块的状态由可用切换为不可用时,调整具有负载分担关系的IAM模块中各个可用的IAM模块之间的负载分担比例;或者,
当具有负载分担关系的IAM模块中高优先级的IAM模块的状态由不可用切换为可用时,调整具有负载分担关系的IAM模块中各个可用的IAM模块之间的负载分担比例。
6.根据权利要求1所述的方法,其特征在于,还包括:
当确认所述用于处理所述身份认证请求的IAM模块的状态由不可用变为可用时,则当接收到其他用户的身份认证请求后,将其他用户的身份认证请求发送给所述用于处理所述身份认证请求的IAM模块。
7.一种基于零信任网络的身份认证装置,其特征在于,应用于零信任网络的代理设备中,所述零信任网络还包括多个身份识别与访问管理IAM模块,所述多个IAM模块中至少两个IAM模块之间具备关联关系;以及所述装置,包括:
接收模块,用于接收用户的身份认证请求;
判断模块,用于判断用于处理所述身份认证请求的IAM模块是否可用;
第一发送模块,用于若所述判断模块的判断结果为可用,则将所述身份认证请求发送给该IAM模块,由该IAM模块根据所述身份认证请求对所述用户的身份进行认证;
第二发送模块,用于若所述判断模块的判断结果为不可用,则将所述身份认证请求发送给与该IAM模块具有关联关系的IAM模块,由所述与该IAM模块具有关联关系的IAM模块根据所述身份认证请求对所述用户的身份进行认证。
8.根据权利要求7所述的装置,其特征在于,所述关联关系包括主备关系,则所述至少两个IAM模块包括主用IAM模块和至少一个备用IAM模块;
所述第二发送模块,具体用于当所述用于处理所述身份认证请求的IAM模块为用于处理所述身份认证请求的主用IAM模块时,则将所述身份认证请求发送给该主用IAM模块的备用IAM模块,由该备用IAM模块根据所述身份认证请求对所述用户的身份进行认证。
9.一种代理设备,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的计算机程序,所述处理器被所述计算机程序促使执行权利要求1-6任一项所述的方法。
10.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有计算机程序,在被处理器调用和执行时,所述计算机程序促使所述处理器执行权利要求1-6任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010777390.9A CN112073373A (zh) | 2020-08-05 | 2020-08-05 | 基于零信任网络的身份认证方法、装置和代理设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010777390.9A CN112073373A (zh) | 2020-08-05 | 2020-08-05 | 基于零信任网络的身份认证方法、装置和代理设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112073373A true CN112073373A (zh) | 2020-12-11 |
Family
ID=73657721
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010777390.9A Withdrawn CN112073373A (zh) | 2020-08-05 | 2020-08-05 | 基于零信任网络的身份认证方法、装置和代理设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112073373A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112788048A (zh) * | 2021-01-22 | 2021-05-11 | 新华三信息安全技术有限公司 | 一种认证信息同步方法及装置 |
-
2020
- 2020-08-05 CN CN202010777390.9A patent/CN112073373A/zh not_active Withdrawn
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112788048A (zh) * | 2021-01-22 | 2021-05-11 | 新华三信息安全技术有限公司 | 一种认证信息同步方法及装置 |
CN112788048B (zh) * | 2021-01-22 | 2022-04-01 | 新华三信息安全技术有限公司 | 一种认证信息同步方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10091237B2 (en) | Systems and methods for network access control | |
Scott-Hayward | Design and deployment of secure, robust, and resilient SDN controllers | |
US8073952B2 (en) | Proactive load balancing | |
US8850043B2 (en) | Network security using trust validation | |
US9781012B2 (en) | Behavior monitoring and compliance for multi-tenant resources | |
US20120005724A1 (en) | Method and system for protecting private enterprise resources in a cloud computing environment | |
PH12015500177B1 (en) | Computer information system and dynamic disaster recovery method therefor | |
US7451209B1 (en) | Improving reliability and availability of a load balanced server | |
Baig et al. | Controlled access to cloud resources for mitigating Economic Denial of Sustainability (EDoS) attacks | |
US10567492B1 (en) | Methods for load balancing in a federated identity environment and devices thereof | |
US9847970B1 (en) | Dynamic traffic regulation | |
CN108605264B (zh) | 用于网络管理的方法和设备 | |
CA2887428C (en) | A computer implemented system and method for secure path selection using network rating | |
CN111641522A (zh) | 节点切换的方法、系统和计算机设备 | |
CN114598498A (zh) | 访问方法、访问系统、计算机设备和存储介质 | |
US10310932B2 (en) | Using a concentration risk of a computing resource to define affinity and anti-affinity workloads | |
CN112073373A (zh) | 基于零信任网络的身份认证方法、装置和代理设备 | |
US8370897B1 (en) | Configurable redundant security device failover | |
JP6866927B2 (ja) | クラスタシステム、クラスタシステムの制御方法、サーバ装置、制御方法、及びプログラム | |
US20150128260A1 (en) | Methods and systems for controlling communication in a virtualized network environment | |
US20230208874A1 (en) | Systems and methods for suppressing denial of service attacks | |
US9967163B2 (en) | Message system for avoiding processing-performance decline | |
US20200287784A1 (en) | Priority based selection of time services | |
CN113992685B (zh) | 一种服务控制器确定方法、系统及装置 | |
CN115242700B (zh) | 一种通信传输方法、装置及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20201211 |
|
WW01 | Invention patent application withdrawn after publication |