CN113259394A - 基于路由计算的跨域用户认证方法、系统、设备 - Google Patents
基于路由计算的跨域用户认证方法、系统、设备 Download PDFInfo
- Publication number
- CN113259394A CN113259394A CN202110754517.XA CN202110754517A CN113259394A CN 113259394 A CN113259394 A CN 113259394A CN 202110754517 A CN202110754517 A CN 202110754517A CN 113259394 A CN113259394 A CN 113259394A
- Authority
- CN
- China
- Prior art keywords
- domain
- authentication
- user
- token
- current
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 64
- 238000004891 communication Methods 0.000 claims abstract description 49
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 13
- 238000012544 monitoring process Methods 0.000 claims description 8
- 230000000977 initiatory effect Effects 0.000 claims description 6
- 230000007246 mechanism Effects 0.000 claims description 4
- 238000004364 calculation method Methods 0.000 abstract description 11
- 230000008569 process Effects 0.000 description 21
- 230000006870 function Effects 0.000 description 16
- 238000004590 computer program Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 8
- 230000003287 optical effect Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 210000000056 organ Anatomy 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于通信、网络安全技术领域,具体涉及一种基于路由计算的跨域用户认证方法、系统、设备,旨在解决现有的用户认证过于中心化且无法做到跨系统认证,导致认证风险系数大、认证效率低的问题。本系统方法包括当客户端接收到用户的登录指令后,向当前域认证服务器发起token认证请求;当前域认证服务器根据所述目标域的地址,判断用户是否属于当前域,如果属于,则进行本域认证;否则,当前域认证服务器通过路由算法计算出目标域的可达路径;根据可达路径,当前域认证服务器转发token认证请求到目标域认证服务器,进行跨域认证。本发明实现了用户认证去中心化以及跨域认证,降低了认证风险,并提高了认证效率。
Description
技术领域
本发明属于通信、网络安全技术领域,具体涉及一种基于路由计算的跨域用户认证方法、系统、设备。
背景技术
随着信息技术的发展,人们对信息技术的依赖越来越强,在政府机关,军队、公安以及大型企业集团等,有成百上千个应用系统,为了简化管理和操作,通过单点登录系统实现一次登录,就能访问多个应用系统的功能,具体工作过程为:接收单点登录客户端发送的登录请求信息,登录请求信息中携带有用户ID、登录密码及应用系统的标识信息;根据用户ID以及标识信息确定本地用户信息库中是否存在与登录密码对应的密码加密方式;若确定本地用户信息库中不存在与登录密码对应的密码加密方式,则根据预设加密方式规则库确定登录密码的密码加密方式,并用确定后的密码加密方式对登录密码进行加密;验证加密后的登录密码是否正确;若加密后的登录密码正确,则向单点登录客户端发送登录成功的提示信息。通过单点登录大大的提高了工作效率。
但单点登录也存在以下问题:1)认证功能是中心化的,认证中心必须持有所有用户的信息。一旦认证中心出现问题,会影响整个系统的认证功能。如果产生数据泄露,那么也将泄露所有的用户信息;2)可以登录的用户必须是系统内存在的用户,对于跨系统的用户,不能支持登录。基于此,本发明提出了一种基于路由计算的跨域用户认证方法。
发明内容
为了解决现有技术中的上述问题,即为了解决现有的用户认证过于中心化且无法做到跨系统认证,导致认证风险系数大、认证效率低的问题,本发明第一方面,提出了一种基于路由计算的跨域用户认证方法,该方法包括:
S10,当客户端接收到用户的登录指令后,向当前域认证服务器发起token认证请求;所述token认证请求包括用户的账户、密码及实际归属的域,即目标域;
S20,当前域认证服务器根据所述目标域的地址,判断用户是否属于当前域,如果属于,则在当前域内对用户输入的账户、密码进行认证处理,认证成功则直接登录,本域认证结束;如果不属于,则跳转S30;
S30,当前域认证服务器通过路由算法计算出目标域的可达路径;根据所述可达路径,当前域认证服务器转发token认证请求到目标域认证服务器,在目标域内对用户输入的账户、密码进行认证处理,并把token认证信息返回给当前域认证服务器,当前域认证服务器缓存token认证信息,并判断是否认证成功,若成功则直接登录,跨域认证结束。
在一些优选的实施方式中,在本域认证/跨域认证后还包括刷新认证步骤,具体为:
根据token认证信息获取用户信息;所述用户信息包括用户的账户、用户名及用户所归属的域;
根据所述用户信息,判断用户是否属于当前域,如果属于,则根据refresh token刷新token的凭证,并返回token认证信息给客户端,刷新认证结束;
如果不属于当前域,则当前域转发刷新认证请求到目标域,目标域根据refreshtoken刷新token的凭证,将token认证信息返回给当前域,缓存至当前域,并发送给客户端,刷新认证结束。
在一些优选的实施方式中,“当前域认证服务器通过路由算法计算出目标域的可达路径”,其方法为:结合各域之间的路由信息,通过最短路径算法计算出当前域认证服务器与目标域之间的最短通信路径,作为可达路径。
在一些优选的实施方式中,所述各域之间的路由信息,其获取方法为:
根据预设的网络带宽区间,配置当前域与相连的域之间的网络带宽;
配置好网络带宽后,通过心跳机制实时监测通信线路的状态,若出现心跳失联,则将两个域之间的网络通信权值更新为正无穷;否则,结合认证服务器的网卡的实际流量以及网络带宽,计算网络的负载情况,进而动态计算出各域与其相连的域之间的网络通信权值并实时进行更新;
监测各域之间的心跳回复是否正常,若正常,则将更新后的所有各域与相连的域之间的网络通信权值,作为各域之间的路由信息同步到每个域。
在一些优选的实施方式中,“动态计算出各域与其相连的域之间的网络通信权值”,其方法为:
计算设置的网络带宽与认证服务器的网卡的实际流量之间的差值,并判断该差值是否大于设定的第一流量阈值;
若大于,则将网络通信权值标记为1;
否则,判断所述差值是否大于设定的第二流量阈值,若大于,则将网络通信权值标记为2,否则将网络通信权值标记为正无穷。
在一些优选的实施方式中,当用户进行跨域认证时,各目标域认证服务器仅根据token认证请求进行认证,不下发存储非本域的用户的账户、密码。
本发明的第二方面,提出了一种基于路由计算的跨域用户认证系统,该系统包括请求发起模块、本域认证模块、跨域认证模块;
所述请求发起模块,配置为当客户端接收到用户的登录指令后,向当前域认证服务器发起token认证请求;所述token认证请求包括用户的账户、密码及实际归属的域,即目标域;
所述本域认证模块,配置为当前域认证服务器根据所述目标域的地址,判断用户是否属于当前域,如果属于,则在当前域内对用户输入的账户、密码进行认证处理,认证成功则直接登录,本域认证结束;如果不属于,则跳转跨域认证模块;
所述跨域认证模块,配置为当前域认证服务器通过路由算法计算出目标域的可达路径;根据所述可达路径,当前域认证服务器转发token认证请求到目标域认证服务器,在目标域内对用户输入的账户、密码进行认证处理,并把token认证信息返回给当前域认证服务器,当前域认证服务器缓存token认证信息,并判断是否认证成功,若成功则直接登录,跨域认证结束。
在一些优选的实施方式中,在本域认证/跨域认证后还包括刷新认证模块;所述刷新认证模块,配置为:
根据token认证信息获取用户信息;所述用户信息包括用户的账户、用户名及用户所归属的域;
根据所述用户信息,判断用户是否属于当前域,如果属于,则根据refresh token刷新token的凭证,并返回token认证信息给客户端,刷新认证结束;
如果不属于当前域,则当前域转发刷新认证请求到目标域,目标域根据refreshtoken刷新token的凭证,将token认证信息返回给当前域,缓存至当前域,并发送给客户端,刷新认证结束。
本发明的第三方面,提出了一种电子设备,至少一个处理器;以及与至少一个所述处理器通信连接的存储器;其中,所述存储器存储有可被所述处理器执行的指令,所述指令用于被所述处理器执行以实现权利要求上述的基于路由计算的跨域用户认证方法。
本发明的第四方面,提出了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于被所述计算机执行以实现权利要求上述的基于路由计算的跨域用户认证方法。
本发明的有益效果:
本发明实现了用户认证去中心化以及跨域认证,降低了认证风险,并提高了认证效率。
1)本发明每个域都有各自的认证中心,保证本域内的有正常的登录功能,实现认证功能去中心化,域内的认证服务如果出故障,只影响本域的功能,不会影响其他域的正常使用,降低信息泄露的风险。
2)本发明加入了路由计算的逻辑,简化了域之间的配置,只需要简单的配置两个域之间的关系,即可自动计算出网络中的最优认证路径;即使个别域的认证服务出现停止服务的情况,也可以计算出其他的认证路径,从而增强了整个跨域认证的鲁棒性;
另外,本发明实现了用户互通的逻辑,即其他的域的用户可以直接在本系统内直接登录,做到了真正的用户互通。为局域网应用的认证系统提供了类似广域网的使用体验,同一个用户可以再各个局域网系统中使用,不用反复在各个系统新建重复的用户。
3)高级用户在低级系统使用时,可以直接登录,但是用户数据不用下发到低级系统,从而确保了用户信息的安全性。
4)本发明使用的路由计算相较于传统的路由计算,主要引入了实时监测网路负荷的功能,由于各个节点间的网络通信权值不再是一个固定的值,而是在系统的使用过程中进行实时修正,从而保证跨域请求有更好的体验。
附图说明
通过阅读参照以下附图所做的对非限制性实施例所做的详细描述,本申请的其他特征、目的和优点将会变得更明显。
图1是本发明一种实施例的基于路由计算的跨域用户认证方法的流程示意图;
图2是本发明一种实施例的基于路由计算的跨域用户认证系统的框架示意图;
图3是本发明一种实施例的基于路由计算的跨域用户认证方法的详细流程示意图;
图4是本发明一种实施例的刷新认证的流程示意图;
图5是本发明一种实施例的基于网络通信权值构建的流通图的示意图;
图6是本发明一种实施例的适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
本发明的基于路由计算的跨域用户认证方法,如图1所示,包括以下步骤:
S10,当客户端接收到用户的登录指令后,向当前域认证服务器发起token认证请求;所述token认证请求包括用户的账户、密码及实际归属的域,即目标域;
S20,当前域认证服务器根据所述目标域的地址,判断用户是否属于当前域,如果属于,则在当前域内对用户输入的账户、密码进行认证处理,认证成功则直接登录,本域认证结束;如果不属于,则跳转S30;
S30,当前域认证服务器通过路由算法计算出目标域的可达路径;根据所述可达路径,当前域认证服务器转发token认证请求到目标域认证服务器,在目标域内对用户输入的账户、密码进行认证处理,并把token认证信息返回给当前域认证服务器,当前域认证服务器缓存token认证信息,并判断是否认证成功,若成功则直接登录,跨域认证结束。
为了更清晰地对本发明基于路由计算的跨域用户认证方法进行说明,下面结合附图3、4对本发明方法一种实施例中各步骤进行展开详述。
S10,当客户端接收到用户的登录指令后,向当前域认证服务器发起token认证请求;所述token认证请求包括用户的账户、密码及实际归属的域,即目标域;
在本实施例中,客户端在接收到用户的登录指令后,首先从本域内(或称之为当前域、登录域)发起登录请求,即像当前域认证服务器发起token认证请求。请求体内包括用户的账户、密码以及用户实际归属的域(即目标域),如图3所示。
S20,当前域认证服务器根据所述目标域的地址,判断用户是否属于当前域,如果属于,则在当前域内对用户输入的账户、密码进行认证处理,认证成功则直接登录,本域认证结束;如果不属于,则跳转S30;
在本实施例中,当前域认证服务器会根据目标域的域信息,一般为地址,核对目标域地址与当前域地址是否一致,进而判断用户是否属于当前域,若属于,则在当前域内处理认证流程,即对用户输入的账户、密码进行认证处理,认证成功则直接登录。认证失败则登录失败,并结束登录,本域认证结束。如果不属于,则进行跨域认证,跳转S30。
S30,当前域认证服务器通过路由算法计算出目标域的可达路径;根据所述可达路径,当前域认证服务器转发token认证请求到目标域认证服务器,在目标域内对用户输入的账户、密码进行认证处理,并把token认证信息返回给当前域认证服务器,当前域认证服务器缓存token认证信息,并判断是否认证成功,若成功则直接登录,跨域认证结束。
每个域都是一个节点,节点间网络带宽和数据流向是动态变化的,多个节点构成了一个连通图,每次找到两个节点间通信的最佳路径,这个计算过程即是路由计算。
在本实施例中,如果用户属于其他域,认证服务则需要依赖路由计算服务,计算出目标域(即图3中的对应域、其他域,即非本域)的可达路径。可达路径的获取方法为:
采用用户手动配置加系统自动监测机制,根据网络通信权值构建出连通图,获取各域之间的路由信息,如图5所示,因为每个域在网络中都以一个独立节点的形式存在,所以图5中的节点A、B、C、D、E,表示域,权值即网络通信权值;结合各域之间的路由信息,通过最短路径算法计算出当前域认证服务器与目标域之间的最短通信路径,作为可达路径;
其中,各域之间的路由信息,获取的具体过程如下:
根据当前域(或称为节点)所在网络的带宽的连接情况,结合预设的网络带宽区间,配置当前域与相连的域之间的网络带宽;
配置好网络带宽后,通过心跳机制实时监测通信线路的状态,若出现心跳失联,则将两个域之间的网络通信权值更新为正无穷∞;否则,结合认证服务器的网卡的实际流量以及网络带宽,计算网络的负载情况,进而动态计算出各域与其相连的域之间的网络通信权值(网络通信权值代表的是通信的阻力,权值越小则认为通信阻力越小通信质量越好,权值越大则认为是通信阻力大)并实时进行更新,其中,“动态计算出各域与其相连的域之间的网络通信权值”,计算过程为:
计算设置的网络带宽与认证服务器的网卡的实际流量之间的差值,并判断该差值是否大于设定的第一流量阈值;若大于,则将网络通信权值标记为1;否则,判断所述差值是否大于设定的第二流量阈值,若大于,则将网络通信权值标记为2,否则将网络通信权值标记为正无穷。在本实施例中,第一流量阈值优选设置为5M,第二流量阈值优选设置为0M,即判断当前网路上的带宽是否被占满,在其他实施例中,可以根据实际情况对第一流量阈值、第二流量阈值进行设置。
动态计算完网络通信权值后,监测各域之间的心跳回复是否正常,若正常,则将更新后的所有各域与相连的域之间的网络通信权值,作为各域之间的路由信息同步到每个域。同步完成后,每个域都会有网络中全局的路由信息。此后发起跨域请求时,任意节点均可算出最短的通信路径(或称之为最佳的通信路线)。
根据计算出的可达路径,当前域认证服务转发token认证请求到目标域,目标域内处理用户的认证服务,并把认证结果返回给当前域,当前域缓存token认证信息,并把token返回给client(客户端)。当前域认证服务器判断是否认证成功,若成功则直接登录,否则登录失败,结束登录,至此跨域认证流程完成。
当用户进行跨域认证时,各目标域认证服务器仅根据token认证请求进行认证,不下发存储非本域的用户的账户、密码。本域虽然没用其他域的用户信息,但是可以对其他域的用户进行认证操作,确保用户的合法性以及正常使用本系统提供的相关功能。
本发明较于已有的跨域认证的方案,加入了路由计算的逻辑,简化了域之间的配置,只需要简单的配置两个域之间的关系,即可自动计算出网络中的最优认证路径;即使个别域的认证服务出现停止服务的情况,也可以计算出其他的认证路径,从而增强了整个跨域认证的鲁棒性。
在本域认证/跨域认证后还包括刷新认证步骤,整体和登录流程类似,如果用户是本域用户,则本域的认证服务直接做认证操作,如果用户属于其他域,则需要依赖路由计算服务,计算出目标域的地址,同时把认证请求转发到相应的域上,把其他域的认证结果缓存到本地,达到刷新认证信息的功能,如图4所示,具体过程如下:
根据token认证信息获取用户信息;所述用户信息包括用户的账户、用户名及用户所归属的域;
根据所述用户信息,判断用户是否属于当前域,如果属于,则根据refresh token刷新token的凭证,并返回token认证信息给客户端,刷新认证结束;
如果不属于当前域,则当前域转发刷新认证请求到目标域,目标域根据refreshtoken刷新token的凭证,将token认证信息返回给当前域,缓存至当前域,并发送给客户端,刷新认证结束。
另外,在本发明中,高级用户在低级系统使用时,可以直接登录,但是用户数据不用下发到低级系统,从而确保了用户信息的安全性,例如省一级的用户在市一级的系统(例如,政务系统、公安系统等等)进行登录时,省一级的用户可以直接在目标域(即省一级)认证服务器系统进行认证,认证成功后,在市一级的系统中进行登录,并不存储非本域的用户的账户、密码(即市一级的认证服务器不存储省一级用户的账户、密码)。所以低级系统只是知道了高级用户是否可以认证成功,而不需要存储高级用户的账号密码,如果低级系统受到了攻击,导致数据泄露,也不会造成高级用户数据的泄露。
本发明第二实施例的一种基于路由计算的跨域用户认证系统,如图2所示,包括:请求发起模块100、本域认证模块200、跨域认证模块300;
所述请求发起模块100,配置为当客户端接收到用户的登录指令后,向当前域认证服务器发起token认证请求;所述token认证请求包括用户的账户、密码及实际归属的域,即目标域;
所述本域认证模块200,配置为当前域认证服务器根据所述目标域的地址,判断用户是否属于当前域,如果属于,则在当前域内对用户输入的账户、密码进行认证处理,认证成功则直接登录,本域认证结束;如果不属于,则跳转跨域认证模块300;
所述跨域认证模块300,配置为当前域认证服务器通过路由算法计算出目标域的可达路径;根据所述可达路径,当前域认证服务器转发token认证请求到目标域认证服务器,在目标域内对用户输入的账户、密码进行认证处理,并把token认证信息返回给当前域认证服务器,当前域认证服务器缓存token认证信息,并判断是否认证成功,若成功则直接登录,跨域认证结束。
在本域认证/跨域认证后还包括刷新认证模块400;所述刷新认证模块400,配置为:
根据token认证信息获取用户信息;所述用户信息包括用户的账户、用户名及用户所归属的域;
根据所述用户信息,判断用户是否属于当前域,如果属于,则根据refresh token刷新token的凭证,并返回token认证信息给客户端,刷新认证结束;
如果不属于当前域,则当前域转发刷新认证请求到目标域,目标域根据refreshtoken刷新token的凭证,将token认证信息返回给当前域,缓存至当前域,并发送给客户端,刷新认证结束。
所述技术领域的技术人员可以清楚的了解到,为描述的方便和简洁,上述描述的系统的具体的工作过程及有关说明,可以参考前述方法实施例中的对应过程,在此不再赘述。
需要说明的是,上述实施例提供的基于路由计算的跨域用户认证系统,仅以上述各功能模块的划分进行举例说明,在实际应用中,可以根据需要而将上述功能分配由不同的功能模块来完成,即将本发明实施例中的模块或者步骤再分解或者组合,例如,上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块,以完成以上描述的全部或者部分功能。对于本发明实施例中涉及的模块、步骤的名称,仅仅是为了区分各个模块或者步骤,不视为对本发明的不当限定。
本发明第三实施例的一种电子设备,至少一个处理器;以及与至少一个所述处理器通信连接的存储器;其中,所述存储器存储有可被所述处理器执行的指令,所述指令用于被所述处理器执行以实现权利要求上述的基于路由计算的跨域用户认证方法。
本发明第四实施例的一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于被所述计算机执行以实现权利要求上述的基于路由计算的跨域用户认证方法。
所述技术领域的技术人员可以清楚的了解到,未描述的方便和简洁,上述描述的设备、计算机可读存储介质的具体工作过程及有关说明,可以参考前述方法实例中的对应过程,在此不再赘述。
下面参考图6,其示出了适于用来实现本申请系统、方法、设备实施例的服务器的计算机系统的结构示意图。图6示出的服务器仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图6所示,计算机系统包括中央处理单元(CPU,Central Processing Unit)601,其可以根据存储在只读存储器(ROM,Read Only Memory)602中的程序或者从存储部分608加载到随机访问存储器(RAM,Random Access Memory)603中的程序而执行各种适当的动作和处理。在RAM603中,还存储有系统操作所需的各种程序和数据。CPU601、ROM 602以及RAM603通过总线604彼此相连。输入/输出(I/O,Input/Output)接口605也连接至总线604。
以下部件连接至I/O接口605:包括键盘、鼠标等的输入部分606;包括诸如阴极射线管、液晶显示器等以及扬声器等的输出部分607;包括硬盘等的存储部分608;以及包括诸如局域网卡、调制解调器等的网络接口卡的通讯部分609。通讯部分609经由诸如因特网的网络执行通讯处理。驱动器610也根据需要连接至I/O接口605。可拆卸介质611,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器610上,以便于从其上读出的计算机程序根据需要被安装入存储部分608。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通讯部分609从网络上被下载和安装,和/或从可拆卸介质611被安装。在该计算机程序被CPU601执行时,执行本申请的方法中限定的上述功能。需要说明的是,本申请上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是但不限于:电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、RAM、ROM、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码,上述程序设计语言包括面向对象的程序设计语言,如Java、Smalltalk、C++,还包括常规的过程式程序设计语言,如C语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络,包括局域网或广域网连接到用户计算机,或者可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
术语“第一”、“第二”等是用于区别类似的对象,而不是用于描述或表示特定的顺序或先后次序。
术语“包括”或者任何其它类似用语旨在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备/装置不仅包括那些要素,而且还包括没有明确列出的其它要素,或者还包括这些过程、方法、物品或者设备/装置所固有的要素。
至此,已经结合附图所示的优选实施方式描述了本发明的技术方案,但是,本领域技术人员容易理解的是,本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下,本领域技术人员可以对相关技术特征作出等同的更改或替换,这些更改或替换之后的技术方案都将落入本发明的保护范围之内。
Claims (10)
1.一种基于路由计算的跨域用户认证方法,其特征在于,该方法包括以下步骤:
S10,当客户端接收到用户的登录指令后,向当前域认证服务器发起token认证请求;所述token认证请求包括用户的账户、密码及实际归属的域,即目标域;
S20,当前域认证服务器根据所述目标域的地址,判断用户是否属于当前域,如果属于,则在当前域内对用户输入的账户、密码进行认证处理,认证成功则直接登录,本域认证结束;如果不属于,则跳转S30;
S30,当前域认证服务器通过路由算法计算出目标域的可达路径;根据所述可达路径,当前域认证服务器转发token认证请求到目标域认证服务器,在目标域内对用户输入的账户、密码进行认证处理,并把token认证信息返回给当前域认证服务器,当前域认证服务器缓存token认证信息,并判断是否认证成功,若成功则直接登录,跨域认证结束。
2.根据权利要求1所述的基于路由计算的跨域用户认证方法,其特征在于,在本域认证/跨域认证后还包括刷新认证步骤,具体为:
根据token认证信息获取用户信息;所述用户信息包括用户的账户、用户名及用户所归属的域;
根据所述用户信息,判断用户是否属于当前域,如果属于,则根据refresh token刷新token的凭证,并返回token认证信息给客户端,刷新认证结束;
如果不属于当前域,则当前域转发刷新认证请求到目标域,目标域根据refresh token刷新token的凭证,将token认证信息返回给当前域,缓存至当前域,并发送给客户端,刷新认证结束。
3.根据权利要求2所述的基于路由计算的跨域用户认证方法,其特征在于,“当前域认证服务器通过路由算法计算出目标域的可达路径”,其方法为:结合各域之间的路由信息,通过最短路径算法计算出当前域认证服务器与目标域之间的最短通信路径,作为可达路径。
4.根据权利要求3所述的基于路由计算的跨域用户认证方法,其特征在于,所述各域之间的路由信息,其获取方法为:
根据预设的网络带宽区间,配置当前域与相连的域之间的网络带宽;
配置好网络带宽后,通过心跳机制实时监测通信线路的状态,若出现心跳失联,则将两个域之间的网络通信权值更新为正无穷;否则,结合认证服务器的网卡的实际流量以及网络带宽,计算网络的负载情况,进而动态计算出各域与其相连的域之间的网络通信权值并实时进行更新;
监测各域之间的心跳回复是否正常,若正常,则将更新后的所有各域与相连的域之间的网络通信权值,作为各域之间的路由信息同步到每个域。
5.根据权利要求4所述的基于路由计算的跨域用户认证方法,其特征在于,“动态计算出各域与其相连的域之间的网络通信权值”,其方法为:
计算设置的网络带宽与认证服务器的网卡的实际流量之间的差值,并判断该差值是否大于设定的第一流量阈值;
若大于,则将网络通信权值标记为1;
否则,判断所述差值是否大于设定的第二流量阈值,若大于,则将网络通信权值标记为2,否则将网络通信权值标记为正无穷。
6.根据权利要求4所述的基于路由计算的跨域用户认证方法,其特征在于,当用户进行跨域认证时,各目标域认证服务器仅根据token认证请求进行认证,不下发存储非本域的用户的账户、密码。
7.一种基于路由计算的跨域用户认证系统,其特征在于,该系统包括:请求发起模块、本域认证模块、跨域认证模块;
所述请求发起模块,配置为当客户端接收到用户的登录指令后,向当前域认证服务器发起token认证请求;所述token认证请求包括用户的账户、密码及实际归属的域,即目标域;
所述本域认证模块,配置为当前域认证服务器根据所述目标域的地址,判断用户是否属于当前域,如果属于,则在当前域内对用户输入的账户、密码进行认证处理,认证成功则直接登录,本域认证结束;如果不属于,则跳转跨域认证模块;
所述跨域认证模块,配置为当前域认证服务器通过路由算法计算出目标域的可达路径;根据所述可达路径,当前域认证服务器转发token认证请求到目标域认证服务器,在目标域内对用户输入的账户、密码进行认证处理,并把token认证信息返回给当前域认证服务器,当前域认证服务器缓存token认证信息,并判断是否认证成功,若成功则直接登录,跨域认证结束。
8.根据权利要求7所述的基于路由计算的跨域用户认证系统,其特征在于,在本域认证/跨域认证后还包括刷新认证模块;所述刷新认证模块,配置为:
根据token认证信息获取用户信息;所述用户信息包括用户的账户、用户名及用户所归属的域;
根据所述用户信息,判断用户是否属于当前域,如果属于,则根据refresh token刷新token的凭证,并返回token认证信息给客户端,刷新认证结束;
如果不属于当前域,则当前域转发刷新认证请求到目标域,目标域根据refresh token刷新token的凭证,将token认证信息返回给当前域,缓存至当前域,并发送给客户端,刷新认证结束。
9.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与至少一个所述处理器通信连接的存储器;其中,
所述存储器存储有可被所述处理器执行的指令,所述指令用于被所述处理器执行以实现权利要求1-6任一项所述的基于路由计算的跨域用户认证方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于被所述计算机执行以实现权利要求1-6任一项所述的基于路由计算的跨域用户认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110754517.XA CN113259394B (zh) | 2021-07-05 | 2021-07-05 | 基于路由计算的跨域用户认证方法、系统、设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110754517.XA CN113259394B (zh) | 2021-07-05 | 2021-07-05 | 基于路由计算的跨域用户认证方法、系统、设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113259394A true CN113259394A (zh) | 2021-08-13 |
| CN113259394B CN113259394B (zh) | 2021-09-28 |
Family
ID=77190649
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110754517.XA Active CN113259394B (zh) | 2021-07-05 | 2021-07-05 | 基于路由计算的跨域用户认证方法、系统、设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113259394B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114884687A (zh) * | 2022-03-21 | 2022-08-09 | 中国人寿保险股份有限公司 | 用户认证方法、装置、电子设备及存储介质 |
| CN114944948A (zh) * | 2022-05-16 | 2022-08-26 | 郑州小鸟信息科技有限公司 | 一种基于跨域用户权限跟随的方法及系统 |
| CN115277538A (zh) * | 2022-07-18 | 2022-11-01 | 郑州小鸟信息科技有限公司 | 一种基于路由计算的跨域消息发布方法及系统 |
| CN116566730A (zh) * | 2023-06-15 | 2023-08-08 | 中国科学院空天信息创新研究院 | 跨域用户认证方法、装置、电子设备及介质 |
| CN117914768A (zh) * | 2024-03-19 | 2024-04-19 | 中国科学院空天信息创新研究院 | 贯通节点的服务访问路径构建系统 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101399671A (zh) * | 2008-11-18 | 2009-04-01 | 中国科学院软件研究所 | 一种跨域认证方法及其系统 |
| CN105897743A (zh) * | 2016-05-26 | 2016-08-24 | 努比亚技术有限公司 | 一种跨域单点登录的方法及服务器 |
| US20190068578A1 (en) * | 2017-08-22 | 2019-02-28 | Terawe Corporation | Hybrid single sign-on for software applications and services using classic and modern identity providers |
| CN109688114A (zh) * | 2018-12-10 | 2019-04-26 | 迈普通信技术股份有限公司 | 单点登录方法、认证服务器及应用服务器 |
| CN110933018A (zh) * | 2018-09-20 | 2020-03-27 | 马上消费金融股份有限公司 | 网络认证方法、装置以及计算机存储介质 |
| CN111786996A (zh) * | 2020-06-30 | 2020-10-16 | 北京同邦卓益科技有限公司 | 一种跨域同步登录态的方法、装置及跨域同步登录系统 |
| CN111953681A (zh) * | 2020-08-11 | 2020-11-17 | 福州职业技术学院 | 一种dns身份认证方法及终端 |
| CN113055185A (zh) * | 2021-03-24 | 2021-06-29 | 的卢技术有限公司 | 一种基于token的认证方法及装置、存储介质、电子装置 |
-
2021
- 2021-07-05 CN CN202110754517.XA patent/CN113259394B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101399671A (zh) * | 2008-11-18 | 2009-04-01 | 中国科学院软件研究所 | 一种跨域认证方法及其系统 |
| CN105897743A (zh) * | 2016-05-26 | 2016-08-24 | 努比亚技术有限公司 | 一种跨域单点登录的方法及服务器 |
| US20190068578A1 (en) * | 2017-08-22 | 2019-02-28 | Terawe Corporation | Hybrid single sign-on for software applications and services using classic and modern identity providers |
| CN110933018A (zh) * | 2018-09-20 | 2020-03-27 | 马上消费金融股份有限公司 | 网络认证方法、装置以及计算机存储介质 |
| CN109688114A (zh) * | 2018-12-10 | 2019-04-26 | 迈普通信技术股份有限公司 | 单点登录方法、认证服务器及应用服务器 |
| CN111786996A (zh) * | 2020-06-30 | 2020-10-16 | 北京同邦卓益科技有限公司 | 一种跨域同步登录态的方法、装置及跨域同步登录系统 |
| CN111953681A (zh) * | 2020-08-11 | 2020-11-17 | 福州职业技术学院 | 一种dns身份认证方法及终端 |
| CN113055185A (zh) * | 2021-03-24 | 2021-06-29 | 的卢技术有限公司 | 一种基于token的认证方法及装置、存储介质、电子装置 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114884687A (zh) * | 2022-03-21 | 2022-08-09 | 中国人寿保险股份有限公司 | 用户认证方法、装置、电子设备及存储介质 |
| CN114944948A (zh) * | 2022-05-16 | 2022-08-26 | 郑州小鸟信息科技有限公司 | 一种基于跨域用户权限跟随的方法及系统 |
| CN114944948B (zh) * | 2022-05-16 | 2024-01-09 | 郑州小鸟信息科技有限公司 | 一种基于跨域用户权限跟随的方法及系统 |
| CN115277538A (zh) * | 2022-07-18 | 2022-11-01 | 郑州小鸟信息科技有限公司 | 一种基于路由计算的跨域消息发布方法及系统 |
| CN116566730A (zh) * | 2023-06-15 | 2023-08-08 | 中国科学院空天信息创新研究院 | 跨域用户认证方法、装置、电子设备及介质 |
| CN117914768A (zh) * | 2024-03-19 | 2024-04-19 | 中国科学院空天信息创新研究院 | 贯通节点的服务访问路径构建系统 |
| CN117914768B (zh) * | 2024-03-19 | 2024-05-17 | 中国科学院空天信息创新研究院 | 贯通节点的服务访问路径构建系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113259394B (zh) | 2021-09-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113259394B (zh) | 基于路由计算的跨域用户认证方法、系统、设备 | |
| CN107181720B (zh) | 一种软件定义网路sdn安全通信的方法及装置 | |
| US20180262907A1 (en) | Location based authentication verification for internet of things | |
| US8220032B2 (en) | Methods, devices, and computer program products for discovering authentication servers and establishing trust relationships therewith | |
| CN106170964B (zh) | 基于不同身份服务的用户虚拟身份 | |
| US10200352B2 (en) | System and method for secure application communication between networked processors | |
| US10939228B2 (en) | Mobile device location proofing | |
| EP3863243B1 (en) | Method and network device for routing processing | |
| GB2548802A (en) | Methods for creating and verifying an electronic user identity | |
| CN110493239B (zh) | 鉴权的方法和装置 | |
| CN109743373A (zh) | 终端的远程协助方法、设备、系统和介质 | |
| US11943370B2 (en) | Using device-bound credentials for enhanced security of authentication in native applications | |
| CN111726328B (zh) | 用于对第一设备进行远程访问的方法、系统以及相关设备 | |
| US20190132304A1 (en) | Loopback verification of multi-factor authentication | |
| CN113792301A (zh) | 基于区块链的物联网数据访问方法及装置 | |
| CN112511620A (zh) | 一种网络通讯方法、装置、设备及存储介质 | |
| US9723436B2 (en) | Mobile device location | |
| CN114860402B (zh) | 调度策略模型训练方法、调度方法、装置、设备和介质 | |
| US11824836B2 (en) | Securing microservices utilizing a proactive condition map | |
| CN114553548A (zh) | 通信方法、装置、设备及存储介质 | |
| US20210226936A1 (en) | Authenticating computing devices based on a dynamic port punching sequence | |
| KR101319570B1 (ko) | 중계장치에 의한 pc와 서버간의 접속 인증 방법, 이를 적용한 중계장치 및 컴퓨터로 읽을 수 있는 기록매체 | |
| CN111786936A (zh) | 用于鉴权的方法和装置 | |
| CN113626873B (zh) | 鉴权方法、装置、电子设备和计算机可读介质 | |
| CN113704723B (zh) | 基于区块链的数字身份核验方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |