CN115086015A - 基于OAuth认证的云密码服务平台及密码资源分配方法 - Google Patents
基于OAuth认证的云密码服务平台及密码资源分配方法 Download PDFInfo
- Publication number
- CN115086015A CN115086015A CN202210663641.XA CN202210663641A CN115086015A CN 115086015 A CN115086015 A CN 115086015A CN 202210663641 A CN202210663641 A CN 202210663641A CN 115086015 A CN115086015 A CN 115086015A
- Authority
- CN
- China
- Prior art keywords
- password
- service
- application system
- resource pool
- resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 238000013468 resource allocation Methods 0.000 title claims abstract description 17
- 238000012423 maintenance Methods 0.000 claims description 44
- 238000012795 verification Methods 0.000 claims description 31
- 238000012545 processing Methods 0.000 claims description 13
- 238000007726 management method Methods 0.000 claims description 10
- 230000005540 biological transmission Effects 0.000 abstract description 4
- 238000010276 construction Methods 0.000 abstract description 4
- 238000005516 engineering process Methods 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000005192 partition Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了基于OAuth认证的云密码服务平台及密码资源分配方法,本发明中应用系统接入云密码服务平台是基于OAuth进行授权访问控制,发放具有时效性的访问令牌,有效解决了通过口令或访问控制码存在使用周期长、网络传输易泄露的风险,通过周期性地更新访问令牌的方式能有效提升应用系统接入认证的安全性;将密码资源池实现为公有资源池和私有资源池,可以使租户共享使用无法虚拟化的密码产品,独占使用可以虚拟化的密码产品,降低云密码服务平台的建设成本和客户租用密码服务的成本。
Description
技术领域
本发明涉及云密码服务领域,尤其涉及基于OAuth认证的云密码服务平台及密码资源分配方法。
背景技术
云密码服务平台部署在公有云或私有云环境,为租户的应用系统提供密码服务,应用系统的接入认证是至关重要的,通常云密码服务平台使用口令或访问控制码的方式,但口令和访问控制码一般使用周期较长,在网络上传输也存在泄漏的风险。
通常云密码服务平台的密码资源都是被租户独占使用,目前只有云服务器密码机可以通过虚拟化的技术虚拟出虚拟密码机,而时间戳服务器、电子签章系统等目前没有支持虚拟化的密码产品,但很多租户的应用系统都要使用时间戳服务器、电子签章系统等密码产品的功能,如果给每个租户都采购硬件时间戳服务器或电子签章系统,增加了云密码服务平台的建设成本和客户租用密码服务的成本。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述缺陷,提供基于OAuth认证的云密码服务平台及密码资源分配方法。
本发明解决其技术问题所采用的技术方案是:
一方面,构造基于OAuth认证的云密码服务的密码资源分配方法,基于OAuth认证的云密码服务平台实现,所述云密码服务平台包括网关层、密码服务层、密码基础设施层、运维平台,密码服务层包括多个密码服务,密码基础设施层提供密码资源,所述方法包括:
密码资源申请步骤,包括:运维平台开通租户,为租户申请密码服务和密码资源以及指定密码资源池,密码资源池分为公有资源池和私有资源池,公有资源池提供可由多个租户共享使用的多种非虚拟的密码资源,私有资源池提供由单个租户独占使用的虚拟的密码资源;
OAuth认证步骤,包括:网关层接收租户的应用系统周期性地发起的OAuth认证请求,对认证请求进行验证,验证通过后生成一个具有时效性的访问令牌发送给应用系统;
密码服务处理步骤:网关层接收应用系统发送的携带访问令牌的密码服务请求,对访问令牌进行验证通过后,将密码服务请求转发到密码服务层中对应的密码服务,密码服务确定要使用的密码资源池,从中选取密码资源处理所述密码服务请求。
进一步地,在本发明所述的基于OAuth认证的云密码服务的密码资源分配方法中,所述云密码服务平台还包括租户平台,所述方法还包括:
资源运维步骤:运维平台接收到运维人员的公有密码资源分组指令后,从公有资源池中选取若干属于同一种类的非虚拟的密码资源组成密码资源组;
应用系统资源分配步骤:租户平台接收到租户的私有密码资源分组指令后,从私有资源池中选取密码资源组成密码资源组;租户平台接收到租户的应用系统资源组分配指令后,指定应用系统可以使用的密码服务,同时设置应用系统使用指定的密码服务所关联的密码资源组。
进一步地,在本发明所述的基于OAuth认证的云密码服务的密码资源分配方法中,所述密码服务处理步骤具体包括:
网关层接收应用系统发送的携带访问令牌的密码服务请求,对访问令牌进行验证;
验证通过后,根据密码服务请求的URL地址中指定的服务名称,将密码服务请求转发到密码服务层中对应的密码服务;
密码服务层中的密码服务接收到密码服务请求后,根据密码服务请求中的租户ID和应用系统ID确定要使用的具体的密码资源组,根据配置的负载均衡策略将所述密码服务请求分发到使用的密码资源组中的密码资源进行处理。
进一步地,在本发明所述的基于OAuth认证的云密码服务的密码资源分配方法中,非虚拟的密码资源包括签名验签服务器、电子签章系统、时间戳服务器,虚拟的密码资源包括虚拟密码机。
进一步地,在本发明所述的基于OAuth认证的云密码服务的密码资源分配方法中,密码服务包括基础密码服务、密钥管理服务、签名验签服务、时间戳服务、电子签章服务,所述的设置应用系统使用指定的密码服务所关联的密码资源组,具体包括:
如果应用系统使用基础密码服务、密钥管理服务,则设置应用系统ID与私有资源池中的密码资源组进行关联;
如果应用系统使用签名验签服务,则设置应用系统ID与公有资源池中的签名验签服务器的密码资源组进行关联;
如果应用系统使用时间戳服务,则设置应用系统ID与公有资源池中的时间戳服务器的密码资源组进行关联;
如果应用系统使用电子签章服务,则设置应用系统ID与公有资源池中的电子签章服务器的密码资源组进行关联。
进一步地,在本发明所述的基于OAuth认证的云密码服务的密码资源分配方法中,所述资源运维步骤还包括:运维平台接收到运维人员的资源录入指令时,录入密码资源至密码基础设施层;运维平台接收到运维人员的公有资源池创建指令时,创建至少一个公有资源池,并为每个公有资源池配置具体的密码资源。
进一步地,在本发明所述的基于OAuth认证的云密码服务的密码资源分配方法中,所述的为租户申请密码服务和密码资源以及指定密码资源池,具体包括:如果租户申请的密码服务需要使用的是公有资源池内的密码资源,则直接为其分配公有资源池的使用权;如果租户申请虚拟的密码资源,则为租户创建私有资源池,并为该私有资源池配置租户申请的虚拟的密码资源。
进一步地,在本发明所述的基于OAuth认证的云密码服务的密码资源分配方法中,所述OAuth认证步骤具体包括:应用系统向网关层发起认证请求,认证请求中携带应用系统编号、签名算法和签名信息;网关层接收租户的应用系统发起的认证请求,利用私有密钥、证书通过所述签名算法计算签名值,利用计算的签名值对所述签名信息进行验证,验证通过后生成一个具有时效性的访问令牌发送给应用系统。
进一步地,在本发明所述的基于OAuth认证的云密码服务的密码资源分配方法中,所述方法还包括:
进一步地,所述OAuth认证步骤还包括:租户的应用系统周期性地解析访问令牌,获取载荷中的令牌过期时间,并在令牌过期之前重新向OAuth认证服务发起认证请求申请签发访问令牌。
二方面,构造基于OAuth认证的云密码服务平台,用于实现如上所述的方法,所述云密码服务平台包括网关层、密码服务层、密码基础设施层、运维平台,密码服务层包括多个密码服务,密码基础设施层提供密码资源。
本发明的基于OAuth认证的云密码服务平台及密码资源分配方法,具有以下有益效果:应用系统接入云密码服务平台是基于OAuth进行授权访问控制,发放具有时效性的访问令牌,有效解决了通过口令或访问控制码存在使用周期长、网络传输易泄露的风险,通过周期性地更新访问令牌的方式能有效提升应用系统接入认证的安全性;将密码资源池实现为公有资源池和私有资源池,可以使租户共享使用无法虚拟化的密码产品,独占使用可以虚拟化的密码产品,降低云密码服务平台的建设成本和客户租用密码服务的成本。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图:
图1是基于OAuth认证的云密码服务平台的结构示意图;
图2是基于OAuth认证的云密码服务的密码资源分配方法的流程图。
具体实施方式
为了便于理解本发明,下面将参照相关附图对本发明进行更全面的描述。附图中给出了本发明的典型实施例。但是,本发明可以以许多不同的形式来实现,并不限于本文所描述的实施例。相反地,提供这些实施例的目的是使对本发明的公开内容更加透彻全面。应当理解本发明实施例以及实施例中的具体特征是对本申请技术方案的详细的说明,而不是对本申请技术方案的限定,在不冲突的情况下,本发明实施例以及实施例中的技术特征可以相互组合。
在介绍具体实施例之前,首先对一些基本概念进行解释。
云密码服务:云密码服务是一种创新型的密码服务交付方式,是身份认证、传输加密、授权访问等密码技术与云计算技术深度融合的产物。密码服务提供商按照云计算技术架构的要求整合密码资源,将密码功能以服务的形式提供给客户,类似于水、电,按需计费,客户以租用的方式使用云密码服务平台提供的各种密码功能,解决数据机密性、完整性、不可抵赖性等安全问题。
实施例一
参考图1,本实施例的基于OAuth认证的云密码服务平台包括网关层、密码服务层、密码基础设施层、管理平台,管理平台包括运维平台、租户平台和监控平台。
密码基础设施层提供密码资源。密码资源是提供密码运算能力的密码设备或系统,为密码服务层提供密码运算支撑。密码基础设施层的密码资源分为虚拟的密码资源和非虚拟的密码资源。比如,密码基础设施层的密码资源包括时间戳服务器、物理密码机、签名验签服务器、电子签章系统、通过虚拟化技术虚拟出的虚拟密码机(VSM)等密码资源,其中的虚拟密码机属于虚拟的密码资源,其余的时间戳服务器、物理密码机、签名验签服务器、电子签章系统等属于非虚拟的密码资源。
本实施例中,以密码资源池的方式将密码资源分配给租户。密码资源池分为公有资源池和私有资源池,公有资源池提供可由多个租户共享使用的多种非虚拟的密码资源,私有资源池提供由单个租户独占使用的虚拟的密码资源。
优选地,可以从密码资源池中选一些相同类型的密码资源组成密码资源组,密码资源组以集群的方式向租户的应用系统提供密码资源,可根据应用系统的密码服务使用情况动态增加密码资源组中的密码资源,对密码服务能力进行动态扩容,也可减少密码资源组中的密码资源来提升密码资源利用率。本实施例中,公有资源池内的密码资源的密码资源组的划分是由运维人员在运维平台操作实现,私有资源池内的密码资源的密码资源组的划分是由租户在租户平台操作实现,具体是与具体的应用系统ID进行关联。
密码服务层包括多个密码服务,例如基础密码服务、密钥管理服务、签名验签服务、时间戳服务、电子签章服务等。密码服务通过Docker容器部署,可动态伸缩,由K8S完成服务编排。密码服务会根据密码服务请求中的租户ID和应用系统ID确定要使用的具体的密码资源组,根据配置的负载均衡策略将所述密码服务请求分发到使用的密码资源组中的密码资源进行处理
密码服务和密码资源是关联的,具体的密码服务只能调用关联的密码资源,比如基础密码服务、密钥管理服务需要使用私有资源池的虚拟密码资源,签名验签服务需要使用公有资源池中的签名验签服务器,时间戳服务需要使用公有资源池中的时间戳服务器,电子签章服务需要使用公有资源池中的电子签章服务器。
网关层包括密码服务网关和OAuth认证服务,租户的应用系统要调用密码服务,需先通过OAuth认证服务进行身份认证,认证通过后,OAuth认证服务生成访问令牌并发放给租户的应用系统,租户的应用系统是通过HTTP方式调用密码服务的接口,在调用该接口时会在密码服务请求中携带访问令牌,密码服务请求会经过密码服务网关,由密码服务网关对访问令牌进行验证,如果访问令牌的时效性丧失,则无法验证通过。访问令牌验证通过后,根据密码服务请求的URL地址中指定的服务名称,将密码服务请求转发到密码服务层中对应的密码服务去处理。
运维平台由云密码服务平台的运维人员使用,可以配置云密码服务平台关键运行参数。运维人员通过运维平台录入密码资源,开通租户并为租户申请密码资源和密码服务,指定租户使用的密码资源池。其中,公有资源池是运维人员预先就创建的,而且还会为公有资源池内的每一类密码资源预先划分密码资源组,虚拟的密码资源也是预先录入,但是私有资源池一般是租户申请时再临时创建,并在创建后将租户申请的虚拟的密码资源放入私有资源池。
租户平台由云密码服务平台的租户使用,租户通过租户平台对申请的私有资源池内的密码资源进行分组得到密码资源组,租户在此平台添加应用系统信息,可以指定应用系统调用的密码服务使用的密码资源组,可以指定私有资源池的密码资源组,也可以指定公有资源池的密码资源组。租户平台还可以对应用系统进行OAuth认证时需要用到的密钥和证书进行管理。应用系统会利用密钥和证书通过签名算法计算得到签名信息,然后在认证时将应用系统编号、签名算法和签名信息一起写入认证请求发给网关层进行认证。
监控平台主要监控云密码服务平台的运行状态,通过监控平台可以了解云密码服务平台的运行情况,显示云密码服务平台资源使用情况,从而便于运维人员确认密码资源是否需要扩容;还可以显示租户排名和应用系统排名(具体排名算法不做限制,可以是根据最近一段时间的使用频率排名),以便于运维人员了解租户和应用系统的密码服务使用情况。
下面介绍平台的主要工作流程:
应用系统OAuth认证流程如下:租户的应用系统周期性地解析访问令牌,获取载荷中的令牌过期时间,并在令牌过期之前重新向OAuth认证服务发起认证请求申请签发访问令牌,认证请求中携带应用系统编号、签名算法和签名信息。OAuth认证服务利用私有密钥、证书通过所述签名算法计算签名值,利用计算的签名值对所述签名信息进行验证,验证通过后生成一个具有时效性的访问令牌发送给应用系统。
访问令牌是由头部Header、载荷Payload和签名Signature 3部分组成的JSON字符串,访问令牌的生成规则如下:
JWTString=base64UrlEncode(Header).base64UrlEncode(Payload).SM3WithSM2(base64UrlEncode(header)+"."+base64UrlEncode(payload),private Key)
以上3个部分会被分别进行Base64编码并用“.”进行拼接,Header部分可指定令牌类型和生成令牌的密码算法,Payload部分可指定令牌的签发者、使用令牌的用户、接收令牌的实体、令牌过期时间、令牌有效起始时间、令牌签发时间、令牌唯一标识等,Signature部分是使用私钥基于SM3WithSM2密码算法对Header和Payload的Base64编码通过”.”拼接的字符串的数字签名。
密码资源运维、申请、分配流程如下:运维人员登录运维平台,录入密码资源信息,为非虚拟的密码资源创建公有资源池,公有资源池的数量可以是多个,每个公有资源池内的非虚拟的密码资源可以有多种,每一种非虚拟的密码资源可以划分为多个密码资源组。运维人员通过运维平台开通租户,运维人员为租户提交工单申请密码资源和密码服务,审核通过后,租户获得申请的密码资源和密码服务的使用权,如果密码服务需要使用的是公有资源池内的资源,则用户可以直接使用公有资源池的资源,如果使用私有资源池,此时会给租户创建一个私有资源池,并将租户申请的虚拟的密码资源放入其私有资源池内。租户后期可以登录租户平台,在租户平台对私有资源池内的私有资源进行分组划分为多个密码资源组,录入应用系统信息,指定应用系统可以使用的密码服务,同时设置应用系统使用指定的密码服务关联的密码资源组。
密码服务处理流程如下:租户的应用系统通过HTTP方式调用密码服务的接口,在调用该接口时会在密码服务请求中携带访问令牌,密码服务请求会经过密码服务网关,由密码服务网关对访问令牌进行验证。访问令牌验证通过后,根据密码服务请求的URL地址中指定的服务名称,将密码服务请求转发到密码服务层中对应的密码服务去处理。密码服务层中的密码服务接收到密码服务请求后,根据密码服务请求中的租户ID和应用系统ID确定要使用的具体的密码资源组,根据配置的负载均衡策略将所述密码服务请求分发到使用的密码资源组中的密码资源进行处理。
其中,对访问令牌进行验证,具体包括:密码服务网关解析访问令牌字符串,获取Header、Payload和Signature 3部分的内容,同时使用认证服务的公钥证书对Signature的签名值进行验签,验签通过后,通过Payload中令牌的签发者、使用JWT令牌的用户、接收JWT令牌的实体、令牌过期时间、令牌有效起始时间等信息来判断令牌是否有效,如果令牌过期、或者令牌有效起始时间还未到、或者接受JWT令牌的实体不是密码服务网关、或者使用JWT令牌的用户不是租户的应用系统、或者签发JWT令牌的不是认证服务,则JWT令牌被认为无效,验证不通过。
需要说明的是,平台中不同结构之间的信息共享,是通过配置数据实现的,比如说运维人员、租户在各自平台的一些操作的信息会通过配置数据的形式共享给网关层、密码服务层、密码基础设施层,比如资源池的创建信息,资源池内的具体密码资源以及密码资源的分组信息(即密码资源组),租户ID、应用系统ID、资源组ID的关联等,都会写入配置数据,配置数据可以是数据库形式存储。
实施例二
结合图1,参考图2,本实施例的基于OAuth认证的云密码服务的密码资源分配方法是基于实施例一的云密码服务平台实现。
方法包括:
资源运维步骤S0:运维平台接收到运维人员的资源录入指令时,录入密码资源至密码基础设施层。运维平台接收到运维人员的公有资源池创建指令时,创建至少一个公有资源池,并为每个公有资源池配置具体的密码资源。公有资源池提供可由多个租户共享使用的多种非虚拟的密码资源。运维平台接收到运维人员的公有密码资源分组指令后,从公有资源池中选取若干属于同一种类的非虚拟的密码资源组成密码资源组。非虚拟的密码资源包括签名验签服务器、电子签章系统、时间戳服务器。
密码资源申请步骤S1:运维平台接收到运维人员的开户及资源申请指令时,开通租户,通过工单为租户申请密码服务和密码资源以及指定密码资源池,密码资源池分为公有资源池和私有资源池。如果租户申请的密码服务需要使用的是公有资源池内的密码资源,则直接为其分配公有资源池的使用权;如果租户申请虚拟的密码资源,则为租户创建私有资源池,并为该私有资源池配置租户申请的虚拟的密码资源。私有资源池提供由单个租户独占使用的虚拟的密码资源,虚拟的密码资源包括虚拟密码机。
应用系统资源分配步骤S2:租户平台接收到租户的私有密码资源分组指令后,从私有资源池中选取密码资源组成密码资源组;租户平台接收到租户的应用系统资源组分配指令后,指定应用系统可以使用的密码服务,同时设置应用系统使用指定的密码服务所关联的密码资源组。
OAuth认证步骤S3:网关层接收租户的应用系统周期性地发起的OAuth认证请求,对认证请求进行验证,验证通过后生成一个具有时效性的访问令牌发送给应用系统。具体的:租户的应用系统周期性地解析访问令牌,获取载荷中的令牌过期时间,并在令牌过期之前重新向OAuth认证服务发起认证请求申请签发访问令牌,认证请求中携带应用系统编号、签名算法和签名信息;网关层的OAuth认证服务接收租户的应用系统发起的认证请求,利用私有密钥、证书通过所述签名算法计算签名值,利用计算的签名值对所述签名信息进行验证,验证通过后生成一个具有时效性的访问令牌发送给应用系统。
密码服务处理步骤S4:网关层接收应用系统发送的携带访问令牌的密码服务请求,对访问令牌进行验证通过后,将密码服务请求转发到密码服务层中对应的密码服务,密码服务确定要使用的密码资源池,从中选取密码资源处理所述密码服务请求。具体的:网关层的密码服务网关接收应用系统发送的携带访问令牌的密码服务请求,对访问令牌进行验证;验证通过后,根据密码服务请求的URL地址中指定的服务名称,将密码服务请求转发到密码服务层中对应的密码服务;密码服务层中的密码服务接收到密码服务请求后,根据密码服务请求中的租户ID和应用系统ID确定要使用的具体的密码资源组,根据配置的负载均衡策略将所述密码服务请求分发到使用的密码资源组中的密码资源进行处理。
具体的,密码服务包括基础密码服务、密钥管理服务、签名验签服务、时间戳服务、电子签章服务,所述的设置应用系统使用指定的密码服务所关联的密码资源组,具体包括:
如果应用系统使用基础密码服务、密钥管理服务,则设置应用系统ID与私有资源池中的密码资源组进行关联;
如果应用系统使用签名验签服务,则设置应用系统ID与公有资源池中的签名验签服务器的密码资源组进行关联;
如果应用系统使用时间戳服务,则设置应用系统ID与公有资源池中的时间戳服务器的密码资源组进行关联;
如果应用系统使用电子签章服务,则设置应用系统ID与公有资源池中的电子签章服务器的密码资源组进行关联。
综上所述,本发明的基于OAuth认证的云密码服务平台及密码资源分配方法,具有以下有益效果:应用系统接入云密码服务平台是基于OAuth进行授权访问控制,发放具有时效性的访问令牌,有效解决了通过口令或访问控制码存在使用周期长、网络传输易泄露的风险,通过周期性地更新访问令牌的方式能有效提升应用系统接入认证的安全性;将密码资源池实现为公有资源池和私有资源池,可以使租户共享使用无法虚拟化的密码产品,独占使用可以虚拟化的密码产品,降低云密码服务平台的建设成本和客户租用密码服务的成本。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。
Claims (10)
1.基于OAuth认证的云密码服务的密码资源分配方法,基于OAuth认证的云密码服务平台实现,其特征在于,所述云密码服务平台包括网关层、密码服务层、密码基础设施层、运维平台,密码服务层包括多个密码服务,密码基础设施层提供密码资源,所述方法包括:
密码资源申请步骤,包括:运维平台开通租户,为租户申请密码服务和密码资源以及指定密码资源池,密码资源池分为公有资源池和私有资源池,公有资源池提供可由多个租户共享使用的多种非虚拟的密码资源,私有资源池提供由单个租户独占使用的虚拟的密码资源;
OAuth认证步骤,包括:网关层接收租户的应用系统周期性地发起的OAuth认证请求,对认证请求进行验证,验证通过后生成一个具有时效性的访问令牌发送给应用系统;
密码服务处理步骤:网关层接收应用系统发送的携带访问令牌的密码服务请求,对访问令牌进行验证通过后,将密码服务请求转发到密码服务层中对应的密码服务,密码服务确定要使用的密码资源池,从中选取密码资源处理所述密码服务请求。
2.根据权利要求1所述的基于OAuth认证的云密码服务的密码资源分配方法,其特征在于,所述云密码服务平台还包括租户平台,所述方法还包括:
资源运维步骤:运维平台从公有资源池中选取若干属于同一种类的非虚拟的密码资源组成密码资源组;
应用系统资源分配步骤:租户平台从私有资源池中选取密码资源组成密码资源组,指定应用系统可以使用的密码服务,同时设置应用系统使用指定的密码服务所关联的密码资源组。
3.根据权利要求2所述的基于OAuth认证的云密码服务的密码资源分配方法,其特征在于,所述密码服务处理步骤具体包括:
网关层接收应用系统周期性地发送的携带访问令牌的密码服务请求,对访问令牌进行验证;
验证通过后,根据密码服务请求的URL地址中指定的服务名称,将密码服务请求转发到密码服务层中对应的密码服务;
密码服务层中的密码服务接收到密码服务请求后,根据密码服务请求中的租户ID和应用系统ID确定要使用的具体的密码资源组,根据配置的负载均衡策略将所述密码服务请求分发到使用的密码资源组中的密码资源进行处理。
4.根据权利要求2所述的基于OAuth认证的云密码服务的密码资源分配方法,其特征在于,非虚拟的密码资源包括签名验签服务器、电子签章系统、时间戳服务器,虚拟的密码资源包括虚拟密码机;密码服务包括基础密码服务、密钥管理服务、签名验签服务、时间戳服务、电子签章服务;
所述的设置应用系统使用指定的密码服务所关联的密码资源组,具体包括:
如果应用系统使用基础密码服务、密钥管理服务,则设置应用系统ID与私有资源池中的密码资源组进行关联;
如果应用系统使用签名验签服务,则设置应用系统ID与公有资源池中的签名验签服务器的密码资源组进行关联;
如果应用系统使用时间戳服务,则设置应用系统ID与公有资源池中的时间戳服务器的密码资源组进行关联;
如果应用系统使用电子签章服务,则设置应用系统ID与公有资源池中的电子签章服务器的密码资源组进行关联。
5.根据权利要求2所述的基于OAuth认证的云密码服务的密码资源分配方法,其特征在于,所述资源运维步骤还包括:运维平台录入密码资源至密码基础设施层,创建至少一个公有资源池,并为每个公有资源池配置具体的密码资源。
6.根据权利要求1所述的基于OAuth认证的云密码服务的密码资源分配方法,其特征在于,所述的为租户申请密码服务和密码资源以及指定密码资源池,具体包括:如果租户申请的密码服务需要使用的是公有资源池内的密码资源,则直接为其分配公有资源池的使用权;如果租户申请虚拟的密码资源,则为租户创建私有资源池,并为该私有资源池配置租户申请的虚拟的密码资源。
7.根据权利要求1所述的基于OAuth认证的云密码服务的密码资源分配方法,其特征在于,所述OAuth认证步骤具体包括:应用系统向网关层的OAuth认证服务发起认证请求,认证请求中携带应用系统编号、签名算法和签名信息;OAuth认证服务接收租户的应用系统发起的认证请求,利用私有密钥、证书通过所述签名算法计算签名值,利用计算的签名值对所述签名信息进行验证,验证通过后生成一个具有时效性的访问令牌发送给应用系统。
8.根据权利要求1所述的基于OAuth认证的云密码服务的密码资源分配方法,其特征在于,所述访问令牌包括头部、载荷和签名;
所述的对访问令牌进行验证,包括:网关层的密码服务网关解析访问令牌,使用OAuth认证服务的公钥证书对访问令牌的签名进行验签,验签通过后,通过载荷中令牌的签发者、使用JWT令牌的用户、接收JWT令牌的实体、令牌过期时间、令牌有效起始时间来判断令牌是否有效,如果令牌过期、或者令牌有效起始时间还未到、或者接受JWT令牌的实体不是密码服务网关、或者使用JWT令牌的用户不是租户的应用系统、或者签发JWT令牌的不是OAuth认证服务,则令牌被认为无效,验证不通过。
9.根据权利要求1所述的基于OAuth认证的云密码服务的密码资源分配方法,其特征在于,所述OAuth认证步骤还包括:租户的应用系统周期性地解析访问令牌,获取载荷中的令牌过期时间,并在令牌过期之前重新向OAuth认证服务发起认证请求申请签发访问令牌。
10.基于OAuth认证的云密码服务平台,用于实现如权利要求1-9任一项所述的方法,其特征在于,所述云密码服务平台包括网关层、密码服务层、密码基础设施层、运维平台,密码服务层包括多个密码服务,密码基础设施层提供密码资源。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210663641.XA CN115086015B (zh) | 2022-06-10 | 2022-06-10 | 基于OAuth认证的云密码服务平台及密码资源分配方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210663641.XA CN115086015B (zh) | 2022-06-10 | 2022-06-10 | 基于OAuth认证的云密码服务平台及密码资源分配方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115086015A true CN115086015A (zh) | 2022-09-20 |
| CN115086015B CN115086015B (zh) | 2024-05-24 |
Family
ID=83251067
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210663641.XA Active CN115086015B (zh) | 2022-06-10 | 2022-06-10 | 基于OAuth认证的云密码服务平台及密码资源分配方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115086015B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115913550A (zh) * | 2022-12-19 | 2023-04-04 | 北京数盾信息科技有限公司 | 一种密码资源分配方法、装置及设备 |
| CN116095149A (zh) * | 2023-01-18 | 2023-05-09 | 北京安盟信息技术股份有限公司 | 云环境下密码服务应用配额的方法、系统、介质及设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104243435A (zh) * | 2013-06-21 | 2014-12-24 | 镇江新晔网络科技有限公司 | 一种基于OAuth的HTTP协议的通讯方法 |
| US20170171174A1 (en) * | 2015-12-11 | 2017-06-15 | Amazon Technologies, Inc. | Key exchange through partially trusted third party |
| CN108574599A (zh) * | 2017-12-14 | 2018-09-25 | 成都卫士通信息产业股份有限公司 | 密码资源池、密码资源池管理方法、管理平台及管理系统 |
| US20190116174A1 (en) * | 2017-10-16 | 2019-04-18 | Microsoft Technology Licensing, Llc | Selecting and securing proof delgates for cryptographic functions |
| CN111782344A (zh) * | 2020-07-02 | 2020-10-16 | 北京数字认证股份有限公司 | 一种提供密码资源的方法、系统及宿主机 |
| CN113568756A (zh) * | 2021-09-18 | 2021-10-29 | 中国电力科学研究院有限公司 | 一种密码资源协同动态调度方法和系统 |
-
2022
- 2022-06-10 CN CN202210663641.XA patent/CN115086015B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104243435A (zh) * | 2013-06-21 | 2014-12-24 | 镇江新晔网络科技有限公司 | 一种基于OAuth的HTTP协议的通讯方法 |
| US20170171174A1 (en) * | 2015-12-11 | 2017-06-15 | Amazon Technologies, Inc. | Key exchange through partially trusted third party |
| US20190116174A1 (en) * | 2017-10-16 | 2019-04-18 | Microsoft Technology Licensing, Llc | Selecting and securing proof delgates for cryptographic functions |
| CN108574599A (zh) * | 2017-12-14 | 2018-09-25 | 成都卫士通信息产业股份有限公司 | 密码资源池、密码资源池管理方法、管理平台及管理系统 |
| CN111782344A (zh) * | 2020-07-02 | 2020-10-16 | 北京数字认证股份有限公司 | 一种提供密码资源的方法、系统及宿主机 |
| CN113568756A (zh) * | 2021-09-18 | 2021-10-29 | 中国电力科学研究院有限公司 | 一种密码资源协同动态调度方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| 高秀武;刘文丽;高恒振;刘明达;: "大数据环境下密码资源池多租户安全隔离研究", 计算机技术与发展, no. 09 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115913550A (zh) * | 2022-12-19 | 2023-04-04 | 北京数盾信息科技有限公司 | 一种密码资源分配方法、装置及设备 |
| CN116095149A (zh) * | 2023-01-18 | 2023-05-09 | 北京安盟信息技术股份有限公司 | 云环境下密码服务应用配额的方法、系统、介质及设备 |
| CN116095149B (zh) * | 2023-01-18 | 2023-09-19 | 北京安盟信息技术股份有限公司 | 云环境下密码服务应用配额的方法、系统、介质及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115086015B (zh) | 2024-05-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108881232B (zh) | 业务系统的登录访问方法、装置、存储介质和处理器 | |
| CN115086015B (zh) | 基于OAuth认证的云密码服务平台及密码资源分配方法 | |
| CN103384237B (zh) | 一种共享IaaS业务云账号的方法、及共享平台和网络装置 | |
| US11811722B2 (en) | Method for processing cloud service in cloud system, apparatus, and device | |
| CN108062248B (zh) | 异构虚拟化平台的资源管理方法、系统、设备及存储介质 | |
| CN105812488B (zh) | 云计算分布式服务集群系统及其方法 | |
| US9444803B2 (en) | Authentication method and system oriented to heterogeneous network | |
| CN110365695A (zh) | 可切换共识算法的区块链数据交互方法及装置 | |
| US9112682B2 (en) | Generating modular security delegates for applications | |
| CN106503098A (zh) | 内置于Paas服务层的区块链云服务框架系统 | |
| CN112217793B (zh) | 一种适用于电力物联网的跨体系信任管理系统 | |
| CN109889498A (zh) | 基于区块链的计算验证方法及系统 | |
| CN106941516A (zh) | 基于工业互联网操作系统的异构现场设备控制管理系统 | |
| CN103051631A (zh) | PaaS平台与SaaS应用系统的统一安全认证方法 | |
| CN105264818A (zh) | 一种证书获取方法和设备 | |
| CN107547595A (zh) | 云资源调度系统、方法及装置 | |
| CN110278255B (zh) | 一种基于区块链的物联网iot设备间通信的方法及装置 | |
| CN106559389A (zh) | 一种服务资源发布、调用方法、装置、系统及云服务平台 | |
| CN109697107A (zh) | 一种自助式资源申请的方法及实现系统 | |
| CN115189896A (zh) | 一种虚拟云密码服务系统及方法 | |
| CN110611658B (zh) | 一种基于sd-wan的设备认证方法及系统 | |
| CN112231755A (zh) | 一种基于区块链的数据授权方法、装置及系统 | |
| CN110910110A (zh) | 一种数据处理方法、装置及计算机存储介质 | |
| CN102307177A (zh) | 面向windows虚拟机的一次性密码管理系统及其方法 | |
| CN115550070B (zh) | 一种多方协作方法及相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |