CN116755842A

CN116755842A - 身份验证系统部署方法、装置、设备及存储介质

Info

Publication number: CN116755842A
Application number: CN202311021923.0A
Authority: CN
Inventors: 施成龙
Original assignee: China Mobile Communications Group Co Ltd; China Mobile Suzhou Software Technology Co Ltd
Current assignee: China Mobile Communications Group Co Ltd; China Mobile Suzhou Software Technology Co Ltd
Priority date: 2023-08-15
Filing date: 2023-08-15
Publication date: 2023-09-15
Anticipated expiration: 2043-08-15
Also published as: CN116755842B

Abstract

本公开提供一种身份验证系统部署方法、装置、设备及存储介质，涉及身份验证技术领域。在本公开的一些实施例中，服务控制器，根据获取到的服务资源创建消息，向容器接口服务器发送服务资源创建请求；容器接口服务器，创建身份验证服务资源，并向身份验证服务创建器发送携带有身份验证服务资源的服务创建请求；身份验证服务创建器，创建身份验证服务；服务控制器，向容器接口服务器发送秘钥资源创建请求；容器接口服务器，创建秘钥资源，并向秘钥文件控制器发送携带有秘钥资源的秘钥文件创建请求；秘钥文件控制器，通过身份验证服务创建秘钥文件，能够满足集群身份验证需求，降低开发成本，提升集群使用效率。

Description

身份验证系统部署方法、装置、设备及存储介质

技术领域

本公开涉及身份验证技术领域，尤其涉及一种身份验证系统部署方法、装置、设备及存储介质。

背景技术

随着云计算技术的不断发展与成熟，越来越多的上层应用能够通过云计算虚拟化技术来实现底层物理资源的管理与弹性伸缩。传统的虚拟化技术通常以虚拟机为单位，存在资源利用率低、启动速度慢、运维成本高等问题。因此，以Kubernetes容器技术为代表的轻量级虚拟化容器技术受到了大数据领域的广泛关注。

当前大数据并行计算系统种类繁多且适用场景多样，因此将大数据系统Hadoop集群和应用部署在云平台中，实现大数据与云计算平台的融合与集成使用，具有多种资源共享、任务弹性调度、方便运维、资源利用率高等优点。将大数据并行计算系统部署构建在基于Kubernetes容器云平台中，能够有效解决传统私有云在大数据场景下资源利用率低、启动速度慢、运维成本高等方面的不足。但此时，大量企业运营数据、客户信息、个人行为数据被存储在容器中，当数据传输、存储和处理等环节发生电磁泄露和窃听、网络攻击、数据滥用等安全事件时，在隐私泄露方面较一般信息系统产生更为严重的后果。过去数据的拥有者经常公开经过简单匿名化处理的数据集，但在大数据环境下，多源交叉验证可能会挖掘出更多的隐私信息，从而加剧了隐私泄露的风险。

鉴于安全认证的迫切性，物理化部署的大数据集群都加入了Kerberos认证机制。开启Kerberos认证的集群运行时，集群内的节点使用秘钥得到认证。只有被认证过节点才能正常使用。企图冒充的节点由于没有事先得到的秘钥信息，无法与集群内部的节点通信。防止了恶意的使用或篡改Hadoop集群的问题，确保了大数据集群的可靠安全。

目前，大部分Kubernetes容器上的大数据集群所采用的身份验证系统，安全性能较低，且集群使用效率较低。

发明内容

本公开提供一种身份验证系统部署方法、装置、设备及存储介质，以至少解决现有身份验证系统安全性能较低，集群使用率较低的问题。

本公开的技术方案如下：

本公开实施例提供一种身份验证系统部署方法，包括：

服务控制器，根据获取到的服务资源创建消息，向容器接口服务器发送服务资源创建请求；

所述容器接口服务器，根据接收到的所述服务资源创建请求，创建身份验证服务资源，并向身份验证服务创建器发送携带有所述身份验证服务资源的服务创建请求；

所述身份验证服务创建器，根据所述服务创建请求，创建身份验证服务；

所述服务控制器，根据获取到的秘钥资源创建消息，向所述容器接口服务器发送秘钥资源创建请求；

所述容器接口服务器，根据接收到的所述秘钥资源创建请求，创建秘钥资源，并向秘钥文件控制器发送携带有所述秘钥资源的秘钥文件创建请求；

所述秘钥文件控制器，根据所述秘钥文件创建请求，通过所述身份验证服务创建秘钥文件。

可选地，所述身份验证服务包括：身份验证中心子服务和管理服务器子服务；

所述身份验证中心子服务，用于进行所述身份验证服务验证与凭据发放；

所述管理服务器子服务，用户创建用户与所述用户对应的秘钥，以及操作身份验证中心数据库。

可选地，所述方法还包括：

所述服务控制器，监控所述身份验证服务的完成状态；

若所述身份验证服务的完成状为未完成状态，则所述服务控制器向所述身份验证服务创建器发送服务继续创建请求，直至所述身份验证服务创建器将所述身份验证服务创建完成。

可选地，所述根据所述秘钥文件创建请求，通过所述身份验证服务创建秘钥文件，包括：

所述秘钥文件控制器将所述秘钥文件创建请求发送至所述身份验证服务的管理服务器子服务中，以供所述管理服务器子服务创建秘钥，并生成所述秘钥对应的所述秘钥文件。

可选地，所述方法还包括：

所述服务控制器，监控所述秘钥的创建状态；

若所述秘钥的创建状态为未创建完成状态，则所述服务控制器向所述秘钥文件控制器发送秘钥文件继续创建请求，直至所述秘钥文件控制器将所述秘钥文件创建完成。

可选地，在所述根据所述秘钥文件创建请求，通过所述身份验证服务创建秘钥文件之后，所述方法还包括：

使用所述秘钥文件与服务器进行通信连接。

本公开实施例一种身份验证系统部署装置，包括：服务控制器、容器接口服务器、身份验证服务创建器和秘钥文件控制器；

所述服务控制器，用于根据获取到的服务资源创建消息，向容器接口服务器发送服务资源创建请求；

所述容器接口服务器，用于根据接收到的所述服务资源创建请求，创建身份验证服务资源，并向所述身份验证服务创建器发送携带有所述身份验证服务资源的服务创建请求；

所述身份验证服务创建器，用于根据所述服务创建请求，创建身份验证服务；

所述服务控制器，还用于根据获取到的秘钥资源创建消息，向所述容器接口服务器发送秘钥资源创建请求；

所述容器接口服务器，还用于根据接收到的所述秘钥资源创建请求，创建秘钥资源，并向所述秘钥文件控制器发送携带有所述秘钥资源的秘钥文件创建请求；

所述秘钥文件控制器，用于根据所述秘钥文件创建请求，通过所述身份验证服务创建秘钥文件。

可选地，所述服务控制器，还可用于：

监控所述身份验证服务的完成状态；

若所述身份验证服务的完成状为未完成状态，则向所述身份验证服务创建器发送服务继续创建请求，直至所述身份验证服务创建器将所述身份验证服务创建完成。

可选地，所述秘钥文件控制器在根据所述秘钥文件创建请求，通过所述身份验证服务创建秘钥文件时，用于：

可选地，所述服务控制器，还用于：

监控所述秘钥的创建状态；

可选地，所述秘钥文件控制器，还可用于：

使用所述秘钥文件与服务器进行通信连接。

本公开实施例还提供一种电子设备，包括：

处理器；

用于存储所述处理器可执行指令的存储器;

其中，所述处理器被配置为执行所述指令，以实现如上述的方法中的各步骤。

本公开实施例还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述的方法中的各步骤。

本公开的实施例提供的技术方案至少带来以下有益效果：

在本公开的一些实施例中，服务控制器，根据获取到的服务资源创建消息，向容器接口服务器发送服务资源创建请求；容器接口服务器，根据接收到的服务资源创建请求，创建身份验证服务资源，并向身份验证服务创建器发送携带有身份验证服务资源的服务创建请求；身份验证服务创建器，根据服务创建请求，创建身份验证服务；服务控制器，根据获取到的秘钥资源创建消息，向容器接口服务器发送秘钥资源创建请求；容器接口服务器，根据接收到的秘钥资源创建请求，创建秘钥资源，并向秘钥文件控制器发送携带有秘钥资源的秘钥文件创建请求；秘钥文件控制器，根据秘钥文件创建请求，通过身份验证服务创建秘钥文件，本公开身份验证系统能够部署于集群上，提供身份验证服务，同时能够提供秘钥服务，能够满足集群身份验证需求，降低开发成本，提升集群使用效率。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理，并不构成对本公开的不当限定。

图1为本申请示例性实施例提供的一种身份验证系统部署方法的流程示意图；

图2为本公开示例性实施例提供的一种身份验证系统的架构示意图；

图3为本公开示例性实施例提供的一种服务控制器进行身份验证服务监控的流程示意图；

图4为本公开示例性实施例提供的一种服务控制器监控秘钥创建的流程示意图；

图5为本公开示例性实施例提供的一种身份验证系统使用场景的流程示意图；

图6为本申请示例性实施例提供的一种身份验证系统部署装置的结构示意图；

图7为本申请示例性实施例提供的一种电子设备的结构示意图。

具体实施方式

为了使本领域普通人员更好地理解本公开的技术方案，下面将结合附图，对本公开实施例中的技术方案进行清楚、完整地描述。

需要说明的是，本公开的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本公开的实施例能够以除了在这里图示或描述的那些以外的顺序实施。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与本公开的一些方面相一致的装置和方法的例子。

需要说明的是，本公开所涉及的用户信息包括但不限于：用户设备信息和用户个人信息；本公开中的用户信息的收集、存储、使用、加工、传输、提供和公开等处理，均符合相关法律法规的规定，且不违背公序良俗。

Kerberos是一种基于可信任第三方的网络认证协议，其设计目标是解决在分布式网络环境下对接入的用户进行身份认证的问题。除了服务器和用户以外，Kerberos还包括可信任第三方秘钥发放中心（KDC），KDC负责整个认证过程的票据生成管理服务。KDC包含两部分：认证服务器（AS）和票据授权服务器（TGS）。AS负责在客户端向AS发起请求时，向客户端发放票据授权票据（TGT）。TGS负责验证TGT，并授予服务票据，服务票据允许认证过的主体使用应用服务器提供的服务。

目前，大数据集群所采用的身份验证系统，主要有以下几种：

Simple认证。大数据Hadoop集群只需要修改相关配置将身份验证方式为Simple认证即可完成，变动小，容器服务无需改动即可完成。

自定义认证。部分厂商定制化了大数据集群，修改相关组件的代码，使得用户只需要在配置中加入自定义配置即可访问大数据集群。

上述两种身份验证方式，一，安全性较低。Simple认证和自定义认证安全系数较低，如果网络传输数据被截获，有可能被破解，造成隐私泄露等重大线上故障。其中，Simple认证中秘钥文件没有起作用，输入任何验证均可访问大数据集群，外部数据访问只需要修改参数即可获取重要系统数据，风险较大；而自定义认证虽然做了一定的加密验证，但通过解密网络数据，仍可通过伪造客户正常访问请求获取隐私数据，安全性存疑。二，启用后与私有云加密方式不一致，存在一定的用户适配成本。私有云通常采用Kerberos加密方式，应用方均已进行适配，而如果采用上述两种验证方式的话，应用方需要对其应用进行一定程度的修改，增加了使用成本。其中自定义认证方式需要使用特定的厂商客户端，无法与开源的社区版本兼容，增加了之后的开发维护成本。

针对上述技术问题，在本公开的一些实施例中，服务控制器，根据获取到的服务资源创建消息，向容器接口服务器发送服务资源创建请求；容器接口服务器，根据接收到的服务资源创建请求，创建身份验证服务资源，并向身份验证服务创建器发送携带有身份验证服务资源的服务创建请求；身份验证服务创建器，根据服务创建请求，创建身份验证服务；服务控制器，根据获取到的秘钥资源创建消息，向容器接口服务器发送秘钥资源创建请求；容器接口服务器，根据接收到的秘钥资源创建请求，创建秘钥资源，并向秘钥文件控制器发送携带有秘钥资源的秘钥文件创建请求；秘钥文件控制器，根据秘钥文件创建请求，通过身份验证服务创建秘钥文件，本公开身份验证系统能够部署于集群上，提供身份验证服务，同时能够提供秘钥服务，能够满足集群身份验证需求，降低开发成本，提升集群使用效率。

以下结合附图，详细说明本申请各实施例提供的技术方案。

图1为本申请示例性实施例提供的一种身份验证系统部署方法的流程示意图。如图1所示，该方法包括：

S101：服务控制器，根据获取到的服务资源创建消息，向容器接口服务器发送服务资源创建请求；

S102：容器接口服务器，根据接收到的服务资源创建请求，创建身份验证服务资源，并向身份验证服务创建器发送携带有身份验证服务资源的服务创建请求；

S103：身份验证服务创建器，根据服务创建请求，创建身份验证服务；

S104：服务控制器，根据获取到的秘钥资源创建消息，向容器接口服务器发送秘钥资源创建请求；

S105：容器接口服务器，根据接收到的秘钥资源创建请求，创建秘钥资源，并向秘钥文件控制器发送携带有秘钥资源的秘钥文件创建请求；

S106：秘钥文件控制器，根据秘钥文件创建请求，通过身份验证服务创建秘钥文件。

在本公开实施例中，上述方法的执行主体可以为服务器。

在本实施例中，对服务器的实现形态不作限定。例如，服务器可以是常规服务器、云服务器、云主机、虚拟中心等服务器设备。其中，服务器的构成主要包括处理器、硬盘、内存、系统总线等，和通用的计算机架构类型。

在本实施例中，服务控制器，根据获取到的服务资源创建消息，向容器接口服务器发送服务资源创建请求；容器接口服务器，根据接收到的服务资源创建请求，创建身份验证服务资源，并向身份验证服务创建器发送携带有身份验证服务资源的服务创建请求；身份验证服务创建器，根据服务创建请求，创建身份验证服务；服务控制器，根据获取到的秘钥资源创建消息，向容器接口服务器发送秘钥资源创建请求；容器接口服务器，根据接收到的秘钥资源创建请求，创建秘钥资源，并向秘钥文件控制器发送携带有秘钥资源的秘钥文件创建请求；秘钥文件控制器，根据秘钥文件创建请求，通过身份验证服务创建秘钥文件，本公开身份验证系统能够部署于集群上，提供身份验证服务，同时能够提供秘钥服务，能够满足集群身份验证需求，降低开发成本，提升集群使用效率。

本公开提供一种大数据身份验证系统，该大数据身份验证系统能够直接部署在集群上，提供身份验证服务的自动化部署，同时提供秘钥服务的自动获取及挂载，从而满足大数据产品身份验证的需求，能够满足大数据集群身份验证需求，降低开发成本，提升集群使用效率。

图2为本公开示例性实施例提供的一种身份验证系统20的架构示意图。如图2所示，服务控制器21、容器接口服务器22、身份验证服务创建器23和秘钥文件控制器24。

其中，服务控制器21，用于根据获取到的服务资源创建消息，向容器接口服务器发送服务资源创建请求；根据获取到的秘钥资源创建消息，向容器接口服务器发送秘钥资源创建请求；

容器接口服务器22，用于根据接收到的服务资源创建请求，创建身份验证服务资源，并向身份验证服务创建器发送携带有身份验证服务资源的服务创建请求；还用于根据接收到的秘钥资源创建请求，创建秘钥资源，并向秘钥文件控制器发送携带有秘钥资源的秘钥文件创建请求；

身份验证服务创建器23，用于根据服务创建请求，创建身份验证服务；

秘钥文件控制器24，用于根据秘钥文件创建请求，通过身份验证服务创建秘钥文件。

需要说明的是，资源创建包括服务资源创建和秘钥资源创建。相应地，资源创建消息包括服务资源创建消息和秘钥资源创建消息。

在本公开的一些实施例中，服务控制器，根据获取到的服务资源创建消息，向容器接口服务器发送服务资源创建请求。其中，用户终端响应于服务资源创建操作，向服务控制器发送服务资源创建消息；服务控制器根据获取到的服务资源创建消息，生成服务资源创建请求，向容器接口服务器发送服务资源创建请求。

在本公开的一些实施例中，容器接口服务器，根据接收到的服务资源创建请求，创建身份验证服务资源，并向身份验证服务创建器发送携带有身份验证服务资源的服务创建请求。其中，容器接口服务器接收到服务资源创建请求，创建身份验证服务资源，在以test命名的空间中创建域名为“EXAMPLE.COM”的身份验证服务。

其中，身份验证服务包括：身份验证中心子服务和管理服务器子服务。身份验证中心子服务，用于进行身份验证服务验证与凭据发放；管理服务器子服务，用户创建用户与用户对应的秘钥，以及操作身份验证中心数据库。

在本公开的一些实施例中，容器接口服务器向身份验证服务创建器发送携带有身份验证服务资源的服务创建请求，身份验证服务创建器，根据服务创建请求，创建身份验证服务。其中，身份验证服务创建器与容器接口服务器，身份验证服务创建器读取到服务创建请求，并通过配置资源，启动身份验证服务。

图3为本公开示例性实施例提供的一种服务控制器进行身份验证服务监控的流程示意图。服务控制器，监控身份验证服务的完成状态；若身份验证服务的完成状为未完成状态，即有未创建的身份验证服务，则服务控制器向身份验证服务创建器发送服务继续创建请求，直至身份验证服务创建器将身份验证服务创建完成，监控任务结束。

在本公开的一些实施例中，服务控制器，根据获取到的秘钥资源创建消息，向容器接口服务器发送秘钥资源创建请求；容器接口服务器，根据接收到的秘钥资源创建请求，创建秘钥资源，并向秘钥文件控制器发送携带有秘钥资源的秘钥文件创建请求。

在公开的一些实施例中，秘钥文件控制器，根据秘钥文件创建请求，通过身份验证服务创建秘钥文件。其中，秘钥文件控制器与容器接口服务器交互，当读取到秘钥文件创建请求后，秘钥文件控制器将秘钥文件创建请求发送至身份验证服务的管理服务器子服务中，以供管理服务器子服务创建秘钥，并生成秘钥对应的秘钥文件，将秘钥文件以加密形式存储至秘钥容器中。

图4为本公开示例性实施例提供的一种服务控制器监控秘钥创建的流程示意图。如图4所示，在本公开的一些实施例中，服务控制器，监控秘钥的创建状态；若秘钥的创建状态为未创建完成状态，即存在未创建的秘钥，则服务控制器向秘钥文件控制器发送秘钥文件继续创建请求，尝试创建秘钥，并存入相应地秘钥容器中，直至秘钥文件控制器将秘钥文件创建完成，监控任务结束。其中，身份验证服务创建器分别创建两个用户的秘钥，并分别挂载到相应命名空间的秘钥容器中。

在本公开的一些实施例中，使用秘钥文件与服务器进行通信连接。可以方便得创建身份验证服务，加密服务数据连接，从而最大化得防止云上数据泄露，保护用户隐私。身份验证系统具象化为两种自定义资源，可利用制命令直接部署，创建身份验证服务及秘钥文件，极易操作；用户只需要在自定义资源创建后载入创建后的秘钥文件，无需额外的开发过程，适配较简单。

图5为本公开示例性实施例提供的一种身份验证系统使用场景的流程示意图。如图5所示，用户部署身份验证服务资源并创建秘钥；身份验证服务创建成功，用户秘钥生成；用户提交应用容器，并载入已创建的秘钥，应用使用自定义秘钥启动安全服务。其中，身份验证系统及秘钥载入，由于开发的身份验证服务是容器化部署，只需要使用命令部署即可，可快速启停；安全服务提交也只需要在配置中载入已经创建的秘钥，即可启动安全服务。

在本公开上述方法实施例中，服务控制器，根据获取到的服务资源创建消息，向容器接口服务器发送服务资源创建请求；容器接口服务器，根据接收到的服务资源创建请求，创建身份验证服务资源，并向身份验证服务创建器发送携带有身份验证服务资源的服务创建请求；身份验证服务创建器，根据服务创建请求，创建身份验证服务；服务控制器，根据获取到的秘钥资源创建消息，向容器接口服务器发送秘钥资源创建请求；容器接口服务器，根据接收到的秘钥资源创建请求，创建秘钥资源，并向秘钥文件控制器发送携带有秘钥资源的秘钥文件创建请求；秘钥文件控制器，根据秘钥文件创建请求，通过身份验证服务创建秘钥文件，本公开身份验证系统能够部署于集群上，提供身份验证服务，同时能够提供秘钥服务，能够满足集群身份验证需求，降低开发成本，提升集群使用效率。

图6为本申请示例性实施例提供的一种身份验证系统部署装置60的结构示意图。如图6所示，该身份验证系统部署装置60包括：服务控制器61、容器接口服务器62、身份验证服务创建器63和秘钥文件控制器64。

其中，服务控制器61，用于根据获取到的服务资源创建消息，向容器接口服务器发送服务资源创建请求；

容器接口服务器62，用于根据接收到的服务资源创建请求，创建身份验证服务资源，并向身份验证服务创建器发送携带有身份验证服务资源的服务创建请求；

身份验证服务创建器63，用于根据服务创建请求，创建身份验证服务；

服务控制器61，还用于根据获取到的秘钥资源创建消息，向容器接口服务器发送秘钥资源创建请求；

容器接口服务器62，还用于根据接收到的秘钥资源创建请求，创建秘钥资源，并向秘钥文件控制器发送携带有秘钥资源的秘钥文件创建请求；

秘钥文件控制器64，用于根据秘钥文件创建请求，通过身份验证服务创建秘钥文件。

可选地，身份验证服务包括：身份验证中心子服务和管理服务器子服务；身份验证中心子服务，用于进行身份验证服务验证与凭据发放；管理服务器子服务，用户创建用户与用户对应的秘钥，以及操作身份验证中心数据库。

可选地，服务控制器61，还可用于：

监控身份验证服务的完成状态；

若身份验证服务的完成状为未完成状态，则向身份验证服务创建器发送服务继续创建请求，直至身份验证服务创建器将身份验证服务创建完成。

可选地，秘钥文件控制器64在根据秘钥文件创建请求，通过身份验证服务创建秘钥文件时，用于：

秘钥文件控制器将秘钥文件创建请求发送至身份验证服务的管理服务器子服务中，以供管理服务器子服务创建秘钥，并生成秘钥对应的秘钥文件。

可选地，服务控制器61，还用于：

监控秘钥的创建状态；

若秘钥的创建状态为未创建完成状态，则服务控制器向秘钥文件控制器发送秘钥文件继续创建请求，直至秘钥文件控制器将秘钥文件创建完成。

可选地，秘钥文件控制器64，还可用于：

使用秘钥文件与服务器进行通信连接。

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

图7为本申请示例性实施例提供的一种电子设备的结构示意图。如图7所示，电子设备包括：存储器71和处理器72。另外，电子设备还包括电源组件73和通信组件74。

存储器71，用于存储计算机程序，并可被配置为存储其它各种数据以支持在电子设备上的操作。这些数据的示例包括用于在电子设备上操作的任何应用程序或方法的指令。

存储器71，可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器（SRAM），电可擦除可编程只读存储器（EEPROM），可擦除可编程只读存储器（EPROM），可编程只读存储器（PROM），只读存储器（ROM），磁存储器，快闪存储器，磁盘或光盘。

通信组件74，用于与其他设备进行数据传输。

处理器72，可执行存储器71中存储的计算机指令，以用于：服务控制器，根据获取到的服务资源创建消息，向容器接口服务器发送服务资源创建请求；容器接口服务器，根据接收到的服务资源创建请求，创建身份验证服务资源，并向身份验证服务创建器发送携带有身份验证服务资源的服务创建请求；身份验证服务创建器，根据服务创建请求，创建身份验证服务；服务控制器，根据获取到的秘钥资源创建消息，向容器接口服务器发送秘钥资源创建请求；容器接口服务器，根据接收到的秘钥资源创建请求，创建秘钥资源，并向秘钥文件控制器发送携带有秘钥资源的秘钥文件创建请求；秘钥文件控制器，根据秘钥文件创建请求，通过身份验证服务创建秘钥文件。

可选地，身份验证服务包括：身份验证中心子服务和管理服务器子服务；

身份验证中心子服务，用于进行身份验证服务验证与凭据发放；

管理服务器子服务，用户创建用户与用户对应的秘钥，以及操作身份验证中心数据库。

可选地，处理器72，还可用于：

服务控制器，监控身份验证服务的完成状态；

若身份验证服务的完成状为未完成状态，则服务控制器向身份验证服务创建器发送服务继续创建请求，直至身份验证服务创建器将身份验证服务创建完成。

可选地，处理器72在根据秘钥文件创建请求，通过身份验证服务创建秘钥文件时，用于：

可选地，处理器72，还可用于：

服务控制器，监控秘钥的创建状态；

可选地，处理器72在根据秘钥文件创建请求，通过身份验证服务创建秘钥文件之后，还可用于：

使用秘钥文件与服务器进行通信连接。

相应地，本申请实施例还提供一种存储有计算机程序的计算机可读存储介质。当计算机可读存储介质存储计算机程序，且计算机程序被一个或多个处理器执行时，致使一个或多个处理器执行图1法实施例中的各步骤。

相应地，本申请实施例还提供一种计算机程序产品，计算机程序产品包括计算机程序/指令，计算机程序/指令被处理器执行图1方法实施例中的各步骤。

上述图7的通信组件被配置为便于通信组件所在设备和其他设备之间有线或无线方式的通信。通信组件所在设备可以接入基于通信标准的无线网络，如WiFi，2G、3G、4G/LTE、5G等移动通信网络，或它们的组合。在一个示例性实施例中，通信组件经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，通信组件还包括近场通信（NFC）模块，以促进短程通信。例如，在NFC模块可基于射频识别（RFID）技术，红外数据协会（IrDA）技术，超宽带（UWB）技术，蓝牙（BT）技术和其他技术来实现。

上述图7的电源组件，为电源组件所在设备的各种组件提供电力。电源组件可以包括电源管理系统，一个或多个电源，及其他与为电源组件所在设备生成、管理和分配电力相关联的组件。

述电子设备还包括显示屏和音频组件。

显示屏包括屏幕，其屏幕可以包括液晶显示屏（LCD）和触摸面板（TP）。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与触摸或滑动操作相关的持续时间和压力。

音频组件，可被配置为输出和/或输入音频信号。例如，音频组件包括一个麦克风（MIC），当音频组件所在设备处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器或经由通信组件发送。在一些实施例中，音频组件还包括一个扬声器，用于输出音频信号。

在本公开上述装置、设备、存储介质及计算机程序产品实施例中，服务控制器，根据获取到的服务资源创建消息，向容器接口服务器发送服务资源创建请求；容器接口服务器，根据接收到的服务资源创建请求，创建身份验证服务资源，并向身份验证服务创建器发送携带有身份验证服务资源的服务创建请求；身份验证服务创建器，根据服务创建请求，创建身份验证服务；服务控制器，根据获取到的秘钥资源创建消息，向容器接口服务器发送秘钥资源创建请求；容器接口服务器，根据接收到的秘钥资源创建请求，创建秘钥资源，并向秘钥文件控制器发送携带有秘钥资源的秘钥文件创建请求；秘钥文件控制器，根据秘钥文件创建请求，通过身份验证服务创建秘钥文件，本公开身份验证系统能够部署于集群上，提供身份验证服务，同时能够提供秘钥服务，能够满足集群身份验证需求，降低开发成本，提升集群使用效率。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、CD-ROM、光学存储器等）上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备（系统）、和计算机程序产品的流程图和／或方框图来描述的。应理解可由计算机程序指令实现流程图和／或方框图中的每一流程和／或方框、以及流程图和／或方框图中的流程和／或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器 (CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器 (RAM) 和/或非易失性内存等形式，如只读存储器 (ROM) 或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存 (PRAM)、静态随机存取存储器 (SRAM)、动态随机存取存储器 (DRAM)、其他类型的随机存取存储器 (RAM)、只读存储器 (ROM)、电可擦除可编程只读存储器 (EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘 (DVD) 或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体 (transitory media)，如调制的数据信号和载波。

需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上仅是本申请的具体实施方式，使本领域技术人员能够理解或实现本申请。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims

1.一种身份验证系统部署方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述身份验证服务包括：身份验证中心子服务和管理服务器子服务；

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述服务控制器，监控所述身份验证服务的完成状态；

4.根据权利要求1所述的方法，其特征在于，所述根据所述秘钥文件创建请求，通过所述身份验证服务创建秘钥文件，包括：

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述服务控制器，监控所述秘钥的创建状态；

6.根据权利要求1所述的方法，其特征在于，在所述根据所述秘钥文件创建请求，通过所述身份验证服务创建秘钥文件之后，所述方法还包括：

使用所述秘钥文件与服务器进行通信连接。

7.一种身份验证系统部署装置，其特征在于，包括：服务控制器、容器接口服务器、身份验证服务创建器和秘钥文件控制器；

8.根据权利要求7所述的装置，其特征在于，所述身份验证服务包括：身份验证中心子服务和管理服务器子服务；

9.根据权利要求7所述的装置，其特征在于，所述服务控制器，还可用于：

监控所述身份验证服务的完成状态；

10.根据权利要求7所述的装置，其特征在于，所述秘钥文件控制器在根据所述秘钥文件创建请求，通过所述身份验证服务创建秘钥文件时，用于：

11.根据权利要求7所述的装置，其特征在于，所述服务控制器，还用于：

监控所述秘钥的创建状态；

12.根据权利要求7所述的装置，其特征在于，所述秘钥文件控制器，还可用于：

使用所述秘钥文件与服务器进行通信连接。

13.一种电子设备，其特征在于，包括：

处理器；

用于存储所述处理器可执行指令的存储器;

其中，所述处理器被配置为执行所述指令，以实现如权利要求1-6中任一项所述的方法中的各步骤。

14.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1-6中任一项所述的方法中的各步骤。