CN116346498A - 一种安全认证方法、装置、网络访问服务设备及存储介质 - Google Patents

一种安全认证方法、装置、网络访问服务设备及存储介质 Download PDF

Info

Publication number
CN116346498A
CN116346498A CN202310501138.9A CN202310501138A CN116346498A CN 116346498 A CN116346498 A CN 116346498A CN 202310501138 A CN202310501138 A CN 202310501138A CN 116346498 A CN116346498 A CN 116346498A
Authority
CN
China
Prior art keywords
security authentication
tenant
target
client
processor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310501138.9A
Other languages
English (en)
Inventor
贾涛
王帅阳
黄召军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inspur Jinan data Technology Co ltd
Original Assignee
Inspur Jinan data Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inspur Jinan data Technology Co ltd filed Critical Inspur Jinan data Technology Co ltd
Priority to CN202310501138.9A priority Critical patent/CN116346498A/zh
Publication of CN116346498A publication Critical patent/CN116346498A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供一种安全认证方法、装置、网络访问服务设备及存储介质,涉及大数据存储系统领域,方法应用于网络访问服务设备,包括:当接收到客户端发送的访问请求信息时,根据访问请求信息确定客户端请求访问的目标租户资源,并确定目标租户资源对应的目标安全认证处理器;利用目标安全认证处理器对客户端进行安全认证处理;在确定客户端通过安全认证时,允许客户端访问目标租户资源;网络访问服务设备在接收到客户端发送的访问请求信息时,可依照客户端请求访问的目标租户资源利用对应的目标安全认证处理器对客户端进行安全认证处理,从而可确保租户资源能够配置不同的安全认证处理器,进而可满足用户不同的安全认证需求。

Description

一种安全认证方法、装置、网络访问服务设备及存储介质
技术领域
本发明涉及大数据存储系统领域,特别涉及一种安全认证方法、装置、网络访问服务设备及计算机可读存储介质。
背景技术
大数据存储系统通常设置有对应的网络访问服务设备,用于为用户提供系统访问服务。该系统通常还设置有安全认证机制,用户在通过网络访问服务访问大数据存储系统时,需由安全认证机制进行安全认证。为提升系统资源的利用率,大数据存储系统还可设置多租户机制,可向多个租户提供系统服务,以实现多租户共享大数据存储系统资源的效果。然而在相关技术中,网络访问服务设备通常仅能对接单一的安全认证机制,进而导致大数据存储系统无法为不同租户设置不同的安全认证机制,难以满足用户不同的需求。
发明内容
本发明的目的是提供一种安全认证方法、装置、网络访问服务设备及计算机可读存储介质,其中网络访问服务设备可依照客户端请求访问的目标租户资源利用对应的目标安全认证处理器对客户端进行安全认证处理,从而可确保租户资源能够配置不同的安全认证处理器。
为解决上述技术问题,本发明提供一种安全认证方法,包括:
当接收到客户端发送的访问请求信息时,根据所述访问请求信息确定所述客户端请求访问的目标租户资源,并确定所述目标租户资源对应的目标安全认证处理器;
利用所述目标安全认证处理器对所述客户端进行安全认证处理;
在确定所述客户端通过安全认证时,允许所述客户端访问所述目标租户资源。
可选地,所述根据所述访问请求信息确定所述客户端请求访问的目标租户资源,并确定所述目标租户资源对应的目标安全认证处理器,包括:
将所述访问请求信息发送至预设的多租户安全认证模块,以使所述多租户安全认证模块根据所述访问请求信息确定所述客户端请求访问的目标租户资源,并确定所述目标租户资源对应的目标安全认证处理器。
可选地,在将所述访问请求信息发送至预设的多租户安全认证模块之前,还包括:
获取自身的安全认证处理器配置,并判断所述安全认证处理器配置是否对应多租户模式;
若是,则执行所述将所述访问请求信息发送至预设的多租户安全认证模块的步骤;
若否,则利用自身所配置的安全认证处理器对所述客户端进行安全认证处理。
可选地,所述根据所述访问请求信息确定所述客户端请求访问的目标租户资源,并确定所述目标租户资源对应的目标安全认证处理器,包括:
根据所述访问请求信息确定所述客户端请求访问的目标服务端网络地址;
利用第一预设映射表确定所述目标服务端网络地址对应的所述目标租户资源,并根据第二预设映射表确定所述目标租户资源对应的目标安全认证处理器;所述第一预设映射表用于记录服务端网络地址与租户资源间的映射关系;所述第二预设映射表用于记录各所述租户资源与安全认证处理器间的映射关系。
可选地,在接收客户端发送的访问请求信息之前,还包括:
获取所述租户资源对应的租户配置信息;
将所述租户配置信息中记录的所述租户资源与服务端网络地址间的映射关系记录至所述第一预设映射表;
根据所述租户配置信息中包含的安全认证配置信息为所述租户资源创建对应的安全认证处理器,并将所述租户资源与其对应的安全认证处理器间的映射关系记录至所述第二预设映射表。
可选地,在根据所述租户配置信息中包含的安全认证配置信息为所述租户资源创建对应的安全认证处理器之前,还包括:
判断所述租户配置信息中是否包含所述安全认证配置信息;
若是,则进入所述根据所述租户配置信息中包含的安全认证配置信息为所述租户资源创建对应的安全认证处理器的步骤;
若否,则为所述租户资源创建默认的安全认证处理器,并将所述租户资源与所述默认的安全认证处理器间的映射关系记录至所述第二预设映射表。
可选地,所述根据所述访问请求信息确定所述客户端请求访问的目标服务端网络地址,包括:
根据所述访问请求信息中包含的域名信息确定所述客户端请求访问的目标服务端网络地址。
本发明还提供一种安全认证装置,包括:
处理器确认模块,用于当接收到客户端发送的访问请求信息时,根据所述访问请求信息确定所述客户端请求访问的目标租户资源,并确定所述目标租户资源对应的目标安全认证处理器;
处理模块,用于利用所述目标安全认证处理器对所述客户端进行安全认证处理;
访问服务模块,用于在确定所述客户端通过安全认证时,允许所述客户端访问所述目标租户资源。
本发明还提供一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上所述的安全认证方法。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如上所述的安全认证方法。
本发明提供一种安全认证方法,应用于网络访问服务设备,所述方法包括:当接收到客户端发送的访问请求信息时,根据所述访问请求信息确定所述客户端请求访问的目标租户资源,并确定所述目标租户资源对应的目标安全认证处理器;利用所述目标安全认证处理器对所述客户端进行安全认证处理;在确定所述客户端通过安全认证时,允许所述客户端访问所述目标租户资源。
可见,本发明中的网络访问服务设备在接收到客户端所发送的访问请求信息时,首先可根据该访问请求信息确定客户端请求访问的目标租户资源对应的目标安全认证处理器;随后,本发明可利用目标安全认证处理器对客户端进行安全认证处理,并在确定客户端通过安全认证时,允许客户端访问目标租户资源。换而言之,本发明可为各租户的租户资源设置对应的安全认证处理器,并可记录租户资源与安全认证处理器间的映射关系,从而可在接收到客户端的访问请求信息时,自动根据该信息确定客户端请求访问的目标租户资源对应的目标安全认证处理器,从而可确保网络访问服务能够对应多种安全认证机制,进而可确保大数据存储系统能够为不同租户设置不同的安全认证机制,以满足用户的不同需求。本发明还提供一种安全认证装置、网络访问服务设备及计算机可读存储介质,具有上述有益效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例所提供的一种安全认证方法的流程图;
图2为本发明实施例所提供的一种分布式大数据存储WebHDFS安全认证结构示意图;
图3为本发明实施例所提供的另一种安全认证方法的流程图;
图4为本发明实施例所提供的一种安全认证装置的结构框图;
图5为本发明实施例所提供的一种网络访问服务设备的结构框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
大数据存储系统通常设置有对应的网络访问服务设备,用于为用户提供系统访问服务,例如对于HDFS平台(Hadoop Distributed File System,Hadoop分布式文件系统)通常可设置有对应的网络访问服务设备WebHDFS。此外,该系统通常还设置有安全认证机制,用户在通过网络访问服务访问大数据存储系统时,需由安全认证机制进行安全认证。为提升系统资源的利用率,大数据存储系统还可设置多租户机制,可向多个租户提供系统服务,以实现多租户共享大数据存储系统资源的效果。然而在相关技术中,网络访问服务设备通常仅支持单一的安全认证机制,换句话说,该网络访问服务设备仅能调用固定的安全认证机制对客户端进行安全认证。这导致大数据存储系统无法为不同租户设置不同的安全认证机制,难以满足用户不同的需求。有鉴于此,本发明可提供一种安全认证方法,其中网络访问服务设备可依照客户端请求访问的目标租户资源利用对应的目标安全认证处理器对客户端进行安全认证处理,从而可确保租户资源能够配置不同的安全认证处理器。应当指出的是,本方法的执行主体网络访问服务设备特指部署有网络访问服务的电子设备,例如指部署有WebHDFS的电子设备。本发明实施例并不限定具体可部署上述网络服务设备的电子设备类型,例如可以为个人电脑、服务器等,可根据实际应用需求进行设定。请参考图1,图1为本发明实施例所提供的一种安全认证方法的流程图,该方法可以包括:
S101、当接收到客户端发送的访问请求信息时,根据访问请求信息确定客户端请求访问的目标租户资源,并确定目标租户资源对应的目标安全认证处理器。
租户资源是指租户在大数据存储系统中租用的系统资源,例如租户所租用的文件存储空间。为确保租户可使用不同的安全认证机制,本发明实施例可为网络访问服务可对接至少两种安全认证处理器;此外,在配置租户资源的过程中,网络访问服务设备还可记录各租户资源与安全认证处理器之间的映射关系。进而,网络访问服务在接收到客户端发送的访问请求信息时,并不会同相关技术一样调用固定的安全认证处理器,而是会依照访问请求信息确定客户端请求访问的目标租户资源,并依照记录查询目标租户资源对应的目标安全认证处理器,进而仅需调用目标安全认证处理器对客户端进行安全认证处理即可,从而可确保各租户资源能够设置不同的安全认证处理器,能够满足租户不同的安全认证需求。
需要说明的是,本发明实施例并不限定各租户资源可配置的安全认证处理器,例如可以包括Kerberos安全认证处理器、Simple安全认证处理器、Ldap安全认证处理器等,可根据实际应用需求进行设定。
进一步,需要说明的是,本发明实施例并不限定如何根据访问请求信息确定客户端请求访问的目标租户资源,例如客户端可在访问请求信息中携带租户的相关信息,进而基于这些信息来确定客户端请求访问的目标租户资源;又例如,可为租户资源配置一个或多个服务端节点,以使客户端通过这些服务端节点访问租户资源,进而仅需记录租户资源与服务端节点间的映射关系,便可根据该映射关系及客户端在访问请求信息中所请求访问的目标服务端网络地址(服务端IP地址)确定客户端具体请求访问的租户资源。综合上述描述可知,本发明实施例具体涉及两种映射关系,其一是服务端网络地址与租户资源间的映射关系,其二是租户资源与安全认证处理器间的映射关系。网络访问服务仅需预存上述两种映射关系,便可在接收到客户端发送的访问请求信息时,快速查找到该客户端所对应的目标安全认证处理器。进一步,为提升映射关系的存储规范性,网络访问服务具体可使用映射表来保存上述映射关系。
基于此,根据访问请求信息确定客户端请求访问的目标租户资源,并确定目标租户资源对应的目标安全认证处理器,可以包括:
步骤11:根据访问请求信息确定客户端请求访问的目标服务端网络地址;
步骤12:利用第一预设映射表确定目标服务端网络地址对应的目标租户资源,并根据第二预设映射表确定目标租户资源对应的目标安全认证处理器;第一预设映射表用于记录服务端网络地址与租户资源间的映射关系;第二预设映射表用于记录各租户资源与安全认证处理器间的映射关系。
进一步,需要说明的是,本发明实施例并不限定如何根据访问请求信息确定客户端访问的目标服务端网络地址,例如客户端可在访问请求信息中添加具体的服务端网络地址,而网络访问服务可直接从访问请求信息中提取目标服务端网络地址;又例如,客户端可通过特定域名访问大数据存储系统,而网络访问服务可通过DNS服务器(Domain NameSystem,域名系统)对该特定域名进行转化,得到对应的目标服务端网络地址。为提升访问便捷性,客户端可通过访问特定域名的方式访问目标租户资源,而网络访问服务可根据客户端在访问请求信息中携带的域名信息确定客户端请求访问的目标服务端网络地址。
基于此,根据访问请求信息确定客户端请求访问的目标服务端网络地址,可以包括:
步骤21:根据访问请求信息中包含的域名信息确定客户端请求访问的目标服务端网络地址。
为便于理解,请参考图2,图2为本发明实施例所提供的一种分布式大数据存储WebHDFS安全认证结构示意图。其中,客户端位于用户层,其通过访问不同域名(域名-1、域名-2、域名-3)的方式访问不同的租户资源;WebHDFS(以集群形式工作,包含三个节点WebHDFS-1、WebHDFS-2、WebHDFS-3)在接受到来自各域名的访问请求时,可根据域名确定客户端访问的服务端IP(即命名空间),并根据映射关系确定该服务端IP对应的租户资源及安全认证处理器,进而调用该安全认证处理器对客户端进行安全认证处理。在确定客户端通过认证后,允许客户端通过上述服务端IP访问存储池。
S102、利用目标安全认证处理器对客户端进行安全认证处理。
S103、在确定客户端通过安全认证时,允许客户端访问目标租户资源。
需要说明的是,本发明实施例并不限定安全认证处理器如何对客户端进行安全认证处理,具体可参考安全认证处理器的相关技术,例如可参考Kerberos认证处理器、Simple认证处理器、Ldap认证处理器的相关技术。
基于上述实施例,本发明在接收到客户端所发送的访问请求信息时,首先可根据该访问请求信息确定客户端请求访问的目标租户资源对应的目标安全认证处理器;随后,本发明可利用目标安全认证处理器对客户端进行安全认证处理,并在确定客户端通过安全认证时,允许客户端访问目标租户资源。换而言之,本发明可为各租户的租户资源设置对应的安全认证处理器,并可记录租户资源与安全认证处理器间的映射关系,从而可在接收到客户端的访问请求信息时,自动根据该信息确定客户端请求访问的目标租户资源对应的目标安全认证处理器,从而可确保网络访问服务能够对应多种安全认证机制,进而可确保大数据存储系统能够为不同租户设置不同的安全认证机制,以满足用户的不同需求。
基于上述实施例,考虑到直接对网络访问服务本身进行改造容易导致其无法兼容原先的安全认证机制,进而容易产生兼容性问题,因此本发明实施例还可构建一个独立的多租户安全认证模块,该模块用于查询及调用各租户资源对应的安全认证处理器,且网络访问服务设备可依照其原先的安全认证处理器使用过程使用这一模块,进而可确保网络访问服务能够在兼容原有安全认证机制的情况下,实现对多租户不同安全认证处理器的对接效果。基于此,根据访问请求信息确定客户端请求访问的目标租户资源,并确定目标租户资源对应的目标安全认证处理器,可以包括:
S201、将访问请求信息发送至预设的多租户安全认证模块,以使多租户安全认证模块根据访问请求信息确定客户端请求访问的目标租户资源,并确定目标租户资源对应的目标安全认证处理器。
如上所述,本发明实施例特别设置了一个独立的多租户安全认证模块,用于查询及调用各租户资源对应的安全认证处理器,且网络访问服务设备对该多租户安全认证模块的使用过程与其对原有安全认证处理器的使用过程类似,因此网络访问服务设备仅需将客户端发送的访问请求信息转发给多租户安全认证模块即可,可由多租户安全认证模块完成对相关安全认证处理器的查询及调用。
进一步,由于本发明实施例可贴近网络访问服务设备与原有安全认证处理器的交互过程设置多租户安全认证模块,因此网络访问服务设备对网络访问服务设备的配置过程也与其对原有安全认证处理器的配置过程类似。具体的,网络访问服务设备通常可通过配置安全认证处理器配置信息来配置对应的安全认证处理器,因此本发明实施例可新增一种与多租户模式相关联的安全认证处理器配置信息,用于与多租户安全认证模块相对应。进而,网络访问服务设备在确定自身的安全认证处理器配置对应多租户模式时,便可自动调用多租户安全认证模块来实现多租户功能;而在需要将网络访问服务设备调整至兼容模式工作时,仅需将其安全认证处理器配置信息调整至与原有安全认证处理器相对应即可。
基于此,在将访问请求信息发送至预设的多租户安全认证模块之前,还包括:
步骤31:获取自身的安全认证处理器配置,并判断安全认证处理器配置是否对应多租户模式;若是,则进入步骤32;若否,则进入步骤33;
步骤32:执行将访问请求信息发送至预设的多租户安全认证模块的步骤;
步骤33:利用自身所配置的安全认证处理器对客户端进行安全认证处理。
基于上述实施例,下面将对网络访问服务的配置过程进行详细介绍。在一种可能的情况中,在接收客户端发送的访问请求信息之前,还可以包括:
S301、获取租户资源对应的租户配置信息;
S302、将租户配置信息中记录的租户资源与服务端网络地址间的映射关系记录至第一预设映射表;
S303、根据租户配置信息中包含的安全认证配置信息为租户资源创建对应的安全认证处理器,并将租户资源与其对应的安全认证处理器间的映射关系记录至第二预设映射表。
如上所述,本发明实施例可通过映射关系实现服务端网络地址、租户资源及安全认证处理器间的相互关联,因此在配置过程中,网络访问服务设备需将租户配置信息中的租户资源与服务端网络地址间的映射关系记录至第一预设映射表,以及在依照租户配置信息中的安全认证配置信息完成相关安全认证处理器的配置后,将租户资源与安全认证处理器间的映射关系记录至第二预设映射表,以便后续查询。
进一步,可以理解的是,部分租户配置信息中可能并未携带安全认证配置信息。此时,本发明实施例可不为此部分租户配置安全认证处理器,也可为此部分租户配置默认的安全认证处理器。为提升大数据存储系统的安全性,本发明实施例可为租户配置信息中未携带安全认证配置信息的租户资源配置默认的安全认证处理器。
基于此,在根据租户配置信息中包含的安全认证配置信息为租户资源创建对应的安全认证处理器之前,还包括:
步骤41:判断租户配置信息中是否包含安全认证配置信息;若是,则进入步骤42;若否,则进入步骤43;
步骤42:进入根据租户配置信息中包含的安全认证配置信息为租户资源创建对应的安全认证处理器的步骤;
步骤43:为租户资源创建默认的安全认证处理器,并将租户资源与默认的安全认证处理器间的映射关系记录至第二预设映射表。
需要说明的是,本发明实施例并不限定具体的默认安全认证处理器,可根据可选的安全认证处理器进行设置。例如,在可选的安全认证处理器又Kerberos认证处理器和Simple认证处理器时,考虑到Simple认证处理器所需的配置信息较少,因此可将Simple认证处理器设置为默认安全认证处理器。
下面基于具体实例介绍上述安全认证方法。具体的,WebHDFS服务在启动时,可根据WebHDFS的安全认证处理器配置来启动不同的安全认证处理器。在多租户场景下,WebHDFS可根据预先配置的“multi-tenant”启动多租户WebHDFS安全认证模块,并从配置文件中加载服务端IP与租户资源之间的映射关系、租户的WebHDFS安全认证配置信息,如果租户的WebHDFS安全认证方式配置为Kerberos方式,则进一步获取租户对应的Principal和Keytab等处理器参数,以为该租户创建一个Kerberos安全认证处理器;如果该租户未配置为Kerberos方式,则为该租户创建一个Simple安全认证处理器。此外,还启动了一个默认的Simple安全认证处理器,用于缺省配置安全认证方式的租户的安全认证处理器。最后将租户与安全认证处理器的映射关系缓存到多租户WebHDFS安全认证模块中。多租户安全认证模块中主要有几个对应关系:服务端IP与租户资源之间的映射关系(以下简称为“租户映射”)、租户资源与安全认证处理器之间的映射关系(以下简称为“处理器映射”),上述两个映射关系在客户端访问时被使用。
在完成上述配置后,WebHDFS便可为各租户提供不同的安全认证服务。具体的,安全认证过程如图3所示,图3为本发明实施例所提供的另一种安全认证方法的流程图。当客户端在访问时,客户端首先与WebHDFS建立网络连接,WebHDFS可以获取到客户端所请求的服务端IP,根据请求的服务端IP从租户映射关系中查找到用户所访问的租户资源,进一步根据要访问的租户资源从处理器映射中查找到对应的安全认证处理器,在对应的安全认证处理器中进行客户端请求的安全认证处理。
下面对本发明实施例提供的安全认证装置、网络访问服务设备及计算机可读存储介质进行介绍,下文描述的安全认证装置、网络访问服务设备及计算机可读存储介质与上文描述的安全认证方法可相互对应参照。
请参考图4,图4为本发明实施例所提供的一种安全认证装置的结构框图,该装置应用于网络访问服务设备,可以包括:
处理器确认模块401,用于当接收到客户端发送的访问请求信息时,根据访问请求信息确定客户端请求访问的目标租户资源,并确定目标租户资源对应的目标安全认证处理器;
处理模块402,用于利用目标安全认证处理器对客户端进行安全认证处理;
访问服务模块403,用于在确定客户端通过安全认证时,允许客户端访问目标租户资源。
可选地,处理器确认模块401,可以包括:
发送子模块,用于将访问请求信息发送至预设的多租户安全认证模块,以使多租户安全认证模块根据访问请求信息确定客户端请求访问的目标租户资源,并确定目标租户资源对应的目标安全认证处理器。
可选地,处理器确认模块401,还可以包括:
判断子模块,用于获取自身的安全认证处理器配置,并判断安全认证处理器配置是否对应多租户模式;若是,则执行将访问请求信息发送至预设的多租户安全认证模块的步骤;若否,则利用自身所配置的安全认证处理器对客户端进行安全认证处理。
可选地,处理器确认模块401,包括:
服务端网络地址确定子模块,用于根据访问请求信息确定客户端请求访问的目标服务端网络地址;
查询子模块,用于利用第一预设映射表确定目标服务端网络地址对应的目标租户资源,并根据第二预设映射表确定目标租户资源对应的目标安全认证处理器;第一预设映射表用于记录服务端网络地址与租户资源间的映射关系;第二预设映射表用于记录各租户资源与安全认证处理器间的映射关系。
可选地,该装置还可以包括:
租户配置信息获取模块,用于获取租户资源对应的租户配置信息;
第一配置模块,用于将租户配置信息中记录的租户资源与服务端网络地址间的映射关系记录至第一预设映射表;
第二配置模块,用于根据租户配置信息中包含的安全认证配置信息为租户资源创建对应的安全认证处理器,并将租户资源与其对应的安全认证处理器间的映射关系记录至第二预设映射表。
可选地,第二配置模块,还可以包括:
安全认证处理器选择子模块,用于判断租户配置信息中是否包含安全认证配置信息;若是,则进入根据租户配置信息中包含的安全认证配置信息为租户资源创建对应的安全认证处理器的步骤;若否,则为租户资源创建默认的安全认证处理器,并将租户资源与默认的安全认证处理器间的映射关系记录至第二预设映射表。
可选地,服务端网络地址确定子模块,包括:
服务端网络地址确定单元,用于根据访问请求信息中包含的域名信息确定客户端请求访问的目标服务端网络地址。
请参考图5,图5为本发明实施例所提供的一种网络访问服务设备的结构框图,本发明实施例提供了一种网络访问服务设备50,包括处理器51和存储器52;其中,所述存储器52,用于保存计算机程序;所述处理器51,用于在执行所述计算机程序时执行前述实施例提供的安全认证方法。
关于上述安全认证方法的具体过程可以参考前述实施例中提供的相应内容,在此不再进行赘述。
并且,所述存储器52作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,存储方式可以是短暂存储或者永久存储。
另外,所述网络访问服务设备50还包括电源53、通信接口54、输入输出接口55和通信总线55;其中,所述电源53用于为所述网络访问服务设备50上的各硬件设备提供工作电压;所述通信接口54能够为所述网络访问服务设备50创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本发明技术方案的任意通信协议,在此不对其进行具体限定;所述输入输出接口55,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述任意实施例的安全认证方法的步骤。
由于计算机可读存储介质部分的实施例与安全认证方法部分的实施例相互对应,因此存储介质部分的实施例请参见安全认证方法部分的实施例的描述,这里不再赘述。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本发明所提供的一种安全认证方法、装置、网络访问服务设备及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。

Claims (10)

1.一种安全认证方法,其特征在于,应用于网络访问服务设备,所述方法包括:
当接收到客户端发送的访问请求信息时,根据所述访问请求信息确定所述客户端请求访问的目标租户资源,并确定所述目标租户资源对应的目标安全认证处理器;
利用所述目标安全认证处理器对所述客户端进行安全认证处理;
在确定所述客户端通过安全认证时,允许所述客户端访问所述目标租户资源。
2.根据权利要求1所述的安全认证方法,其特征在于,所述根据所述访问请求信息确定所述客户端请求访问的目标租户资源,并确定所述目标租户资源对应的目标安全认证处理器,包括:
将所述访问请求信息发送至预设的多租户安全认证模块,以使所述多租户安全认证模块根据所述访问请求信息确定所述客户端请求访问的目标租户资源,并确定所述目标租户资源对应的目标安全认证处理器。
3.根据权利要求2所述的安全认证方法,其特征在于,在将所述访问请求信息发送至预设的多租户安全认证模块之前,还包括:
获取自身的安全认证处理器配置,并判断所述安全认证处理器配置是否对应多租户模式;
若是,则执行所述将所述访问请求信息发送至预设的多租户安全认证模块的步骤;
若否,则利用自身所配置的安全认证处理器对所述客户端进行安全认证处理。
4.根据权利要求1至3任一项所述的安全认证方法,其特征在于,所述根据所述访问请求信息确定所述客户端请求访问的目标租户资源,并确定所述目标租户资源对应的目标安全认证处理器,包括:
根据所述访问请求信息确定所述客户端请求访问的目标服务端网络地址;
利用第一预设映射表确定所述目标服务端网络地址对应的所述目标租户资源,并根据第二预设映射表确定所述目标租户资源对应的目标安全认证处理器;所述第一预设映射表用于记录服务端网络地址与租户资源间的映射关系;所述第二预设映射表用于记录各所述租户资源与安全认证处理器间的映射关系。
5.根据权利要求4所述的安全认证方法,其特征在于,在接收客户端发送的访问请求信息之前,还包括:
获取所述租户资源对应的租户配置信息;
将所述租户配置信息中记录的所述租户资源与服务端网络地址间的映射关系记录至所述第一预设映射表;
根据所述租户配置信息中包含的安全认证配置信息为所述租户资源创建对应的安全认证处理器,并将所述租户资源与其对应的安全认证处理器间的映射关系记录至所述第二预设映射表。
6.根据权利要求5所述的安全认证方法,其特征在于,在根据所述租户配置信息中包含的安全认证配置信息为所述租户资源创建对应的安全认证处理器之前,还包括:
判断所述租户配置信息中是否包含所述安全认证配置信息;
若是,则进入所述根据所述租户配置信息中包含的安全认证配置信息为所述租户资源创建对应的安全认证处理器的步骤;
若否,则为所述租户资源创建默认的安全认证处理器,并将所述租户资源与所述默认的安全认证处理器间的映射关系记录至所述第二预设映射表。
7.根据权利要求4所述的安全认证方法,其特征在于,所述根据所述访问请求信息确定所述客户端请求访问的目标服务端网络地址,包括:
根据所述访问请求信息中包含的域名信息确定所述客户端请求访问的目标服务端网络地址。
8.一种安全认证装置,其特征在于,应用于网络访问服务设备,所述装置包括:
处理器确认模块,用于当接收到客户端发送的访问请求信息时,根据所述访问请求信息确定所述客户端请求访问的目标租户资源,并确定所述目标租户资源对应的目标安全认证处理器;
处理模块,用于利用所述目标安全认证处理器对所述客户端进行安全认证处理;
访问服务模块,用于在确定所述客户端通过安全认证时,允许所述客户端访问所述目标租户资源。
9.一种网络访问服务设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的安全认证方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如权利要求1至7任一项所述的安全认证方法。
CN202310501138.9A 2023-04-28 2023-04-28 一种安全认证方法、装置、网络访问服务设备及存储介质 Pending CN116346498A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310501138.9A CN116346498A (zh) 2023-04-28 2023-04-28 一种安全认证方法、装置、网络访问服务设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310501138.9A CN116346498A (zh) 2023-04-28 2023-04-28 一种安全认证方法、装置、网络访问服务设备及存储介质

Publications (1)

Publication Number Publication Date
CN116346498A true CN116346498A (zh) 2023-06-27

Family

ID=86882543

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310501138.9A Pending CN116346498A (zh) 2023-04-28 2023-04-28 一种安全认证方法、装置、网络访问服务设备及存储介质

Country Status (1)

Country Link
CN (1) CN116346498A (zh)

Similar Documents

Publication Publication Date Title
US10528390B2 (en) Idempotent task execution in on-demand network code execution systems
CN108234448B (zh) 一种用于浏览器内应用的授权码流
US8978122B1 (en) Secure cross-tenancy federation in software-as-a-service system
US8965958B2 (en) File fetch from a remote client device
US8386420B2 (en) Framework for web services exposing line of business applications
JP4729651B2 (ja) 認証装置,認証方法およびその方法を実装した認証プログラム
KR20170022996A (ko) 상이한 분산 네트워크 사이에서 서비스를 소비하는 통합형 api 및 ui 제공 기법
CN112311783A (zh) 一种认证反向代理方法及系统
CN112835632B (zh) 一种端能力的调用方法、设备和计算机存储介质
CN114296953B (zh) 一种多云异构系统及任务处理方法
CN112202744A (zh) 一种多系统数据通信方法和装置
EP3387816B1 (en) Connecting and retrieving security tokens based on context
CN112637126B (zh) 一种服务注册方法及Pod
WO2012000455A1 (zh) 一种客户端及负载均衡的方法
CN116346498A (zh) 一种安全认证方法、装置、网络访问服务设备及存储介质
CN114666161B (zh) 一种组件安全策略管理方法、装置、设备及存储介质
CN116566656A (zh) 资源访问方法、装置、设备及计算机存储介质
CN113687919B (zh) 一种微服务治理的控制方法、装置、设备及存储介质
CN113691575B (zh) 通信方法、装置及系统
US20140019417A1 (en) Method and apparatus for managing personal information in a communication system
CN118041704B (zh) Kubernetes容器访问方法、装置、计算设备及存储介质
CN110933130B (zh) 一种负载均衡方法和装置
KR102181608B1 (ko) 연합 인증 장치 및 그것의 연합 인증 방법
US11451537B2 (en) Securing identity token forwarding
US8880702B2 (en) Provision of other than 1:1 resource mapping

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination