CN116796305A - 一种数据中心访问方法、装置、设备及介质 - Google Patents
一种数据中心访问方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN116796305A CN116796305A CN202310685105.4A CN202310685105A CN116796305A CN 116796305 A CN116796305 A CN 116796305A CN 202310685105 A CN202310685105 A CN 202310685105A CN 116796305 A CN116796305 A CN 116796305A
- Authority
- CN
- China
- Prior art keywords
- user
- center
- authentication
- cloud
- identification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 47
- 230000008569 process Effects 0.000 claims abstract description 17
- 238000010586 diagram Methods 0.000 description 12
- 230000007246 mechanism Effects 0.000 description 8
- 238000012423 maintenance Methods 0.000 description 4
- 238000013507 mapping Methods 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000008676 import Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本说明书实施例公开了一种数据中心访问方法、装置、设备及介质,包括:在指定用户设备将用户标识与云数据中心标识发送至公有云用户认证中心;公有云用户认证中心通过获取公有云用户中心预先设定的匹配规则,对用户标识与云数据中心标识进行处理,匹配出对应的私有云用户认证中心,并将用户标识与云数据中心标识发送至私有云用户认证中心;私有云用户认证中心根据用户标识与云数据中心标识,生成对应的认证凭证,并将认证凭证返回至公有云用户认证中心;公有云用户认证中心将认证凭证发送至指定用户设备,以便通过认证凭证访问对应的私有云服务与公共云服务。
Description
技术领域
本说明书涉及计算机技术领域,尤其涉及一种数据中心访问方法、装置、设备及介质。
背景技术
当前企业在数字化转型过程中,越来越多的企业选择购买专业的办公软件,主要有两种方式:订阅制和买断私有化。订阅制一般为云服务厂商提供软件到硬件的云端运维部署,客户作为一个租户使用购买的功能,适用于小型客户,这种场景优点在于客户不需要投入运维成本就可以完全利用厂商的公有云服务来实现高可用,但是需要将客户的用户信息存入云端服务器,例如手机号,身份证号等。买断私有化方式,会将办公软件完全部署到客户提供的私有云机房,这种场景需要客户自建机房并提供专业运维人员负责日常机房的维护工作,这一般适用于大型企业,有机房维护的财力条件和专业的技术人员支持,这种场景优点在于,客户账号、密码、手机号、甚至身份证号等敏感信息完全保存在本地,没有外泄的风险。
对于一些企业而言自建机房是不现实的,如果既需要使用云服务厂商的云服务保证可用性,也需要将用户数据、密码信息登私密数据掌握在本地环境就形成了矛盾。
发明内容
本说明书一个或多个实施例提供了一种数据中心访问方法、装置、设备及介质,用于解决背景技术提出的技术问题。
本说明书一个或多个实施例采用下述技术方案:
本说明书一个或多个实施例提供的一种数据中心访问方法,所述方法应用于数据中心认证系统,所述系统包括:私有云用户认证中心、公有云用户中心与公有云用户认证中心;所述方法包括:
在指定用户设备将用户标识与云数据中心标识发送至所述公有云用户认证中心;
所述公有云用户认证中心通过获取所述公有云用户中心预先设定的匹配规则,对所述用户标识与所述云数据中心标识进行处理,匹配出对应的私有云用户认证中心,并将所述用户标识与所述云数据中心标识发送至所述私有云用户认证中心;
所述私有云用户认证中心根据所述用户标识与所述云数据中心标识,生成对应的认证凭证,并将所述认证凭证返回至所述公有云用户认证中心;
所述公有云用户认证中心将所述认证凭证发送至所述指定用户设备,以便通过所述认证凭证访问对应的私有云服务与公共云服务。
可选的,所述匹配规则为用户标识重复时通过所述云数据中心标识确定云数据中心标识的唯一性,以便确定对应的私有云用户认证中心。
可选的,所述私有云用户认证中心用于将所述私有云用户认证中心部署于私有云网络中,管理本地用户,生成私有云用户数据,所述私有云用户数据包括云数据中心标识。
可选的,所述公有云用户中心用于注册用户信息,生成公有云用户数据,并将所述私有云用户数据与所述公有云用户数据进行关联映射,公有云用户数据包括用户标识。
可选的,所述公有云用户认证中心用于根据认证规则,将所述用户标识与对应的密码提交到私有云用户认证中心,若认证通过,生成认证凭据。
可选的,所述认证规则的类型包括数据库认证与LDAP协议认证;其中,
所述数据库认证为数据库中保存用户名和密码,查询数据库存储的用户名密码与当前提交的用户名密码是否一致完成认证;
LDAP协议认证为连接支持LDAP协议认证源完成认证。
可选的,所述方法应用的系统包括一个公有云用户中心与公有云用户认证中心以及多个私有云用户认证中心。
本说明书一个或多个实施例提供的一种数据中心访问装置,所述装置应用于数据中心认证系统,所述系统包括:私有云用户认证中心、公有云用户中心与公有云用户认证中心;所述装置包括:
标识发送单元,在指定用户设备将用户标识与云数据中心标识发送至所述公有云用户认证中心;
匹配单元,所述公有云用户认证中心通过获取所述公有云用户中心预先设定的匹配规则,对所述用户标识与所述云数据中心标识进行处理,匹配出对应的私有云用户认证中心,并将所述用户标识与所述云数据中心标识发送至所述私有云用户认证中心;
凭证生成单元,所述私有云用户认证中心根据所述用户标识与所述云数据中心标识,生成对应的认证凭证,并将所述认证凭证返回至所述公有云用户认证中心;
访问单元,所述公有云用户认证中心将所述认证凭证发送至所述指定用户设备,以便通过所述认证凭证访问对应的私有云服务与公共云服务。
本说明书一个或多个实施例提供的一种数据中心访问设备,所述设备应用于数据中心认证系统,所述系统包括:私有云用户认证中心、公有云用户中心与公有云用户认证中心,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
在指定用户设备将用户标识与云数据中心标识发送至所述公有云用户认证中心;
所述公有云用户认证中心通过获取所述公有云用户中心预先设定的匹配规则,对所述用户标识与所述云数据中心标识进行处理,匹配出对应的私有云用户认证中心,并将所述用户标识与所述云数据中心标识发送至所述私有云用户认证中心;
所述私有云用户认证中心根据所述用户标识与所述云数据中心标识,生成对应的认证凭证,并将所述认证凭证返回至所述公有云用户认证中心;
所述公有云用户认证中心将所述认证凭证发送至所述指定用户设备,以便通过所述认证凭证访问对应的私有云服务与公共云服务。
本说明书一个或多个实施例提供的一种非易失性计算机存储介质,所述介质应用于数据中心认证系统,所述系统包括:私有云用户认证中心、公有云用户中心与公有云用户认证中心,存储有计算机可执行指令,所述计算机可执行指令被计算机执行时能够实现:
在指定用户设备将用户标识与云数据中心标识发送至所述公有云用户认证中心;
所述公有云用户认证中心通过获取所述公有云用户中心预先设定的匹配规则,对所述用户标识与所述云数据中心标识进行处理,匹配出对应的私有云用户认证中心,并将所述用户标识与所述云数据中心标识发送至所述私有云用户认证中心;
所述私有云用户认证中心根据所述用户标识与所述云数据中心标识,生成对应的认证凭证,并将所述认证凭证返回至所述公有云用户认证中心;
所述公有云用户认证中心将所述认证凭证发送至所述指定用户设备,以便通过所述认证凭证访问对应的私有云服务与公共云服务。
本说明书实施例采用的上述至少一个技术方案能够达到以下有益效果:
本说明书实施例统一用户认证模块,将用户管理与认证流程剥离,实现跨数据中心的用户认证与访问。
附图说明
为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1为本说明书一个或多个实施例提供的一种数据中心访问方法的流程示意图;
图2为本说明书一个或多个实施例提供的数据中心访问逻辑关系示意图;
图3为本说明书一个或多个实施例提供的中心型拓扑示意图;
图4为本说明书一个或多个实施例提供的拓扑关系示意图;
图5为本说明书一个或多个实施例提供的一种数据中心访问装置的结构示意图;
图6为本说明书一个或多个实施例提供的一种数据中心访问设备的结构示意图。
具体实施方式
本说明书实施例提供一种数据中心访问方法、装置、设备及介质。
当前公有云服务账号数据部署在云端,用户登录的密码、身份证号、银行卡号等敏感信息都由厂商存储,对一些数据敏感的客户而言,为了使用公有云服务,这种场景无法满足自身的安全需求;另外对于一些需要保持企业自身认证体系的客户而言,保持所有系统的用户名密码的一致性是基本要求,例如在有自建统一认证的场景下,也需要在登录云服务时使用相同的账号和密码。所以对于以上两种场景,本说明书实施例统一用户认证模块,将用户管理与认证流程剥离,实现跨数据中心的用户认证。
为了使本技术领域的人员更好地理解本说明书中的技术方案,下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本说明书保护的范围。
图1为本说明书一个或多个实施例提供的一种数据中心访问方法的流程示意图,该流程可以由数据中心认证系统执行。流程中的某些输入参数或者中间结果允许人工干预调节,以帮助提高准确性。
其中,数据中心认证系统可以包括:私有云用户认证中心、公有云用户中心与公有云用户认证中心。
需要说明的是,私有云用户认证中心可以部署在私有云网络中,主要承担以下职责:
管理本地用户,管理员可以导入认证所需要的用户名、身份证号等敏感信息。信息主要分为两类:私密用户信息与关联用户信息,私密用户信息仅限在客户自有数据中心访问,不开放公网访问,例如身份证号,银行卡等信息;关联用户信息可以开发公网访问,用于与云上的账号做关联,例如手机号,工号,用户名等。通过私有云用户认证中心,企业可以实现对内部资源的访问控制和身份认证,并且保护敏感数据不受非法访问。
需要说明的是,公有云用户中心可以指云服务厂商提供的用户中心,用于管理客户的账号和基本信息。例如,AWS Identity and Access Management(IAM)就是一种公有云用户中心,用于管理AWS云服务的访问权限。通过公有云用户中心,企业可以将云服务的使用限制在授权用户范围内,并且可以方便地管理不同用户的权限和角色。
需要说明的是,公有云用户认证中心可以指云服务厂商提供的认证中心,用于管理客户的身份认证信息。例如,AWS Cognito就是一种公有云用户认证中心,用于管理AWS应用程序的用户身份认证。通过公有云用户认证中心,企业可以实现多种身份认证方式,例如用户名密码、社交媒体账号、企业身份验证等,并且可以将认证信息与公有云用户中心进行关联,实现全面的权限管理。
本说明书实施例的方法流程步骤如下:
S102,在指定用户设备将用户标识与云数据中心标识发送至所述公有云用户认证中心。
在本说明书实施例中,云数据中心标识可以是公有云服务提供商分配给用户数据中心的唯一标识符。指定用户设备需要确保在向公有云用户认证中心发送用户标识和云数据中心标识时,仅发送正确的标识信息,并且避免信息泄露和篡改。
在本说明书实施例中,发送用户标识和云数据中心标识时,可以使用安全协议(例如HTTPS)对数据进行加密通信,以防止中间人攻击和窃听。同时,还需要确保公有云用户认证中心具有足够的安全性和可用性,例如通过多重身份认证、访问控制等机制来保护用户信息和系统资源。
进一步的,在发送用户标识和云数据中心标识之前,用户设备应当经过身份认证和授权,确保其具有合法的访问权限。公有云用户认证中心也应该对用户权限进行验证和控制,以确保只有授权的用户可以访问敏感数据和系统资源。
综上所述,指定用户设备将用户标识与云数据中心标识发送至公有云用户认证中心是一项关键的安全操作,需要采取多重措施来保护用户信息和系统资源。企业在使用云服务时,需要选择可信赖的服务提供商,并且根据实际需求采取适当的安全策略和措施,以确保数据安全性和合规性。
S104,所述公有云用户认证中心通过获取所述公有云用户中心预先设定的匹配规则,对所述用户标识与所述云数据中心标识进行处理,匹配出对应的私有云用户认证中心,并将所述用户标识与所述云数据中心标识发送至所述私有云用户认证中心。
在本说明书实施例中,公有云用户认证中心需要获取到预先设定的匹配规则,以确保能够正确地将用户标识和云数据中心标识匹配到对应的私有云用户认证中心。这些规则可以由用户自行设定和维护,并且要根据实际需求和安全风险进行调整和优化。匹配规则可以为用户标识重复时通过所述云数据中心标识确定云数据中心标识的唯一性,以便确定对应的私有云用户认证中心。所以登录时用户输入的用户标识和对应的数据中心标识唯一确定一个用户,以及这用户的认证数据中心规则,例如(zhangsan,DC_ID_Private1)和(zhangsan,DC_ID_Private2)分别对应两个数据中心DC_ID_Private1和DC_ID_Private2的两个用户名为zhangsan的用户。
在本说明书实施例中,私有云用户认证中心需要具有足够的安全性和可用性,以处理从公有云用户认证中心发送过来的用户标识和云数据中心标识。私有云用户认证中心应该对接收到的信息进行验证、解密和身份认证,避免受到恶意攻击或者误操作。
在本说明书实施例中,在将用户标识和云数据中心标识发送到私有云用户认证中心之前,公有云用户认证中心可以采用安全协议和加密算法,对数据进行保护和加密。同时,还需要确保私有云用户认证中心具有足够的访问权限和控制机制,以避免未经授权的用户访问敏感数据。
在本说明书实施例中,私有云用户认证中心在接收到用户标识和云数据中心标识之后,需要根据预设规则,将其匹配到对应的用户账号和资源访问权限,并且记录相关日志信息,以便于追踪和审计。同时,还需要对用户信息和系统资源进行安全控制和管理,确保数据的隐私性和完整性。
综上所述,公有云用户认证中心通过获取所述公有云用户中心预先设定的匹配规则,对所述用户标识与所述云数据中心标识进行处理,匹配出对应的私有云用户认证中心,并将所述用户标识与所述云数据中心标识发送至所述私有云用户认证中心是一项关键的操作,需要采取多重措施来确保数据安全性和可用性。企业在使用认证中心时,需要根据实际需求和风险评估,选择合适的认证模式和部署方案,以确保业务的稳定性和安全性。
S106,所述私有云用户认证中心根据所述用户标识与所述云数据中心标识,生成对应的认证凭证,并将所述认证凭证返回至所述公有云用户认证中心。
在本说明书实施例中,认证凭证可以是唯一性的、不可伪造的标识符,用于确认用户身份和授权信息。私有云用户认证中心需要确保生成的认证凭证具有足够的安全强度和复杂性,以避免被恶意攻击者猜测或者冒充。
在本说明书实施例中,生成认证凭证时,私有云用户认证中心需要根据预设规则和权限设置,对用户账号和资源进行验证和控制。例如,可以采用多因素身份认证、访问控制列表等机制,来增强认证凭证的安全性和可靠性。
在本说明书实施例中,在将认证凭证返回给公有云用户认证中心之前,私有云用户认证中心需要采用安全协议和加密算法,对数据进行保护和加密。同时,还需要确保公有云用户认证中心具有足够的访问权限和控制机制,以避免未经授权的用户访问敏感数据。
在本说明书实施例中,公有云用户认证中心在接收到认证凭证之后,需要对其进行解密、验证和授权,以确认用户的身份和资源访问权限。同时,还需要记录相关日志信息,以便于追踪和审计。
综上所述,私有云用户认证中心根据所述用户标识与所述云数据中心标识,生成对应的认证凭证,并将所述认证凭证返回至公有云用户认证中心是一项关键的操作,需要采取多重措施来确保数据安全性和可用性。企业在使用认证中心时,需要建立完善的安全策略和控制机制,制定相应的操作规范和流程,以确保业务的稳定性和安全性。
S108,所述公有云用户认证中心将所述认证凭证发送至所述指定用户设备,以便通过所述认证凭证访问对应的私有云服务与公共云服务。
在本说明书实施例中,认证凭证在传输过程中需要采用安全协议和加密算法进行保护,避免被恶意攻击者截获或篡改。同时,还需要确保指定用户设备具有足够的安全性和可用性,以防止认证信息泄露或者被攻击。
在本说明书实施例中,指定用户设备需要能够接收、解密并验证认证凭证,以确认用户身份和资源访问权限。同时,还需要记录相关日志信息,以便于追踪和审计。
在本说明书实施例中,在使用认证凭证访问私有云服务与公共云服务时,需要根据预设规则和权限设置,对用户账号和资源进行验证和控制。例如,可以采用多因素身份认证、访问控制列表等机制,来增强认证凭证的安全性和可靠性。
在本说明书实施例中,在用户使用完认证凭证之后,需要及时销毁或者撤回相关信息,以避免被未经授权的用户滥用。同时,还需要对用户使用行为进行监测和分析,以便及时发现和应对风险事件。
综上所述,公有云用户认证中心将认证凭证发送至指定用户设备,以便通过认证凭证访问对应的私有云服务与公共云服务是一项关键的操作,需要采取多重措施来确保数据安全性和可用性。企业在使用认证中心和云服务时,需要建立完善的安全管理机制和流程,加强对敏感数据和系统资源的保护和管理,以确保业务的稳定性和安全性。
需要说明的是,所述私有云用户认证中心用于将所述私有云用户认证中心部署于私有云网络中,管理本地用户,生成私有云用户数据,所述私有云用户数据包括云数据中心标识。
需要说明的是,所述公有云用户中心用于注册用户信息,生成公有云用户数据,并将所述私有云用户数据与所述公有云用户数据进行关联映射,公有云用户数据包括用户标识。
需要说明的是,所述公有云用户认证中心用于根据认证规则,将所述用户标识与对应的密码提交到私有云用户认证中心,若认证通过,生成认证凭据。
需要说明的是,所述认证规则的类型可以包括数据库认证与LDAP协议认证;其中,
所述数据库认证为数据库中保存用户名和密码,查询数据库存储的用户名密码与当前提交的用户名密码是否一致完成认证;LDAP协议认证为连接支持LDAP协议认证源完成认证。
需要说明的是,所述方法应用的系统包括一个公有云用户中心与公有云用户认证中心以及多个私有云用户认证中心。
需要说明的是,本说明书实施例可以考虑通用的账号认证场景,抽离认证模块,实现公有云与私有化跨数据中心的用户认证方法。能在用户无感的场景下,实现公有云服务通过私有云完成认证,打通认证环节,在利用私有云保护核心数据的安全性同时,也能借助公有云提高业务服务的稳定性。更多的满足企业的自定义认证需求,也能通过认证源的扩展形成更复杂的认证拓扑,实现更高性能的分布式认证。
需要说明的是,本说明书实施例的跨数据中心统一认证由以下关键角色组成
1)私有云用户中心。此模块部署在私有云网络中,承担以下职责:
a)管理本地用户,管理员可以导入认证所需要的用户名、身份证号等敏感信息。信息分为:私密用户信息与关联用户信息。
私密用户信息仅限在客户自有数据中心访问,不开放公网访问,例如身份证号,银行卡等信息;关联用户信息可以开发公网访问,用于与云上的账号做关联,例如手机号,工号,用户名等。
b)接收来自公有云数据中心提交的用户认证数据,并配置企业自有的认证源完成对用户名密码的认证,例如企业自有的数据库存储用户名密码,则由此用户中心通过访问数据库,对比密码是否符合。类似的认证源还有:LDAP认证、其它私有云用户中心级联认证等。
c)认证完成后生成认证凭据(包含关联用户信息和数据中心标识DC_ID),返回给公有云认证服务。
d)提供本地API接口,验证Ticket信息,并返回相关的私密用户信息。
2)公有云用户中心。有以下两种职责
a)注册用户信息,完成私有云用户数据与公有云用户数据的关联映射。例如公有云的账号ID:469c8df1-3f94-4367-93ae-83811b8f93d9与私有云的(zhangsan,DC_ID_Private1)进行绑定,则来自私有云DC_ID_Private1的zhangsan登录时对应的就是公有云的469c8df1-3f94-4367-93ae-83811b8f93d9用户。
b)收集登录名和认证数据中心匹配规则,登录时通过此规则决策提交的用户名通过哪个数据中心完成认证。因为用户名可能重复,所以登录时用户输入的用户名和对应的数据中心标识唯一确定一个用户,以及这用户的认证数据中心规则,例如(zhangsan,DC_ID_Private1)和(zhangsan,DC_ID_Private2)分别对应两个数据中心DC_ID_Private1和DC_ID_Private2的两个用户名为zhangsan的用户。
3)公有云认证中心。根据公有云用户中心的认证规则,将实际的用户名密码提交到私有云的用户中心,一旦认证通过,则存储私有云认证中心生成的凭据信息。此凭据信息可以视为用户的登录凭证,据此可以访问公有云服务。
图2为本说明书实施例提供的数据中心访问逻辑关系示意图,具体如下:
1、企业管理员可以通过部署私有云用户认证代理,统一录入本地的用户信息,如图2中的步骤1用户注册,步骤2,通过用户设备(客户端或浏览器)提交登录信息(用户名+数据中心标识+密码)。用户信息分为两类:
a)私密用户信息,如身份证号、银行卡、社保信息等。私密信息仅限本地存储,不会同步到公有云。
b)关联用户信息,用户名、工号等可以公开作为登录名进行登录。关联用户信息作为用户登录名会同步到公有云用户中心。例如用户名zhangsan和私有云数据中心Private_1,形成的元组为(zhangsan,Private_1),一组用户名和数据中心标识唯一确定一个用户名的认证方式。
2、企业管理员可以通过部署私有云用户认证代理,配置私有云用户认证源。一般企业自建的认证系统可以分为如下类型:
a)数据库。数据库中保存用户名和密码,查询数据库存储的用户名密码与当前提交的用户名密码是否一致完成认证。
b)LDAP。连接支持LDAP协议认证源,如微软的AD域认证,完成用户名密码校验。
c)其他的认证代理。通过配置本地的用户名认证规则,将用户名密码转发至其他的数据中心校验。
代理服务通过配置的认证源完成用户名密码认证后,生成当前用户对应的票据Ticket。Ticket是一个JWT。JWT为JSON Web Token,采用Json组织数据格式,支持数据加密与签名,且本身就包含了需要的用户的公开信息,适合分布式场景下的认证需求。Ticket中包含当前用户的关联用户信息和数据中心标识。
3、用户登录公有云服务,公有云服务可以提供合适的交互界面,例如界面中可以选择选择登录组织(组织会关联对应的数据中心)
4、然后提交用户名+数据中心标识+密码。公有云中会做如下操作:
a)认证中心请求用户中心,通过用户+数据中心标识查询私有云的认证规则,例如图2中的步骤3,决策用户认证数据中心。
i.如果有命中,则返回对应的私有云认证配置,图中的客户1-私有云用户认证代理;
ii.如果没有命中,则默认为公有云认证配置。
b)认证中心基于上述认证配置,将用户提交的用户名+数据中心标识+密码转发到私有云认证代理,例如图2中的步骤4,根据决策请求用户认证,步骤5,认证密码,选择认证方式,数据库、LDAP或者其他代理认证。获取到认证凭据后,本地存储,例如图2中的步骤6,生成认证票据。
c)后续基于公有云业务访问都可以通过此凭据进行识别和验证,例如图2中的步骤7,返回认证票据,步骤8,使用票据访问公有云业务,步骤9,使用票据访问私有云业务,步骤10,本地数据中心验证Ticket并获取私密信息。
d)如果有需要访问私密信息的业务场景,则因为Ticket中不包含此类信息,所以需要有业务系统持有Ticket访问私有数据中心的用户认证代理,换取诸如身份证号、银行卡号等私密信息。这种机制可以保证用户的私密信息只在私有化数据中心中流转,不会经过公网传输。
5、基于此,可以完成一个公有云和多个私有云认证的一对多关系,其拓扑关系为中心型拓扑,中心型拓扑示意图参见图3。由于私有云用户代理在进行用户认证源时还可以选择另外的私有云用户代理,所以在不考虑调用时间的情况下,可以无限制进行拓扑关系的扩展,拓扑关系示意图参见图4,每一级只对自己的上一级负责,需要转发认证请求时转发给自己的下一级。此场景可以根据用户的使用规模,地理位置等因素进行针对性的扩容和转发。
图5为本说明书一个或多个实施例提供的一种数据中心访问装置的结构示意图,所述装置应用于数据中心认证系统,所述系统包括:私有云用户认证中心、公有云用户中心与公有云用户认证中心;所述装置包括:标识发送单元502、匹配单元504、凭证生成单元506与访问单元508。
标识发送单元502,在指定用户设备将用户标识与云数据中心标识发送至所述公有云用户认证中心;
匹配单元504,所述公有云用户认证中心通过获取所述公有云用户中心预先设定的匹配规则,对所述用户标识与所述云数据中心标识进行处理,匹配出对应的私有云用户认证中心,并将所述用户标识与所述云数据中心标识发送至所述私有云用户认证中心;
凭证生成单元506,所述私有云用户认证中心根据所述用户标识与所述云数据中心标识,生成对应的认证凭证,并将所述认证凭证返回至所述公有云用户认证中心;
访问单元508,所述公有云用户认证中心将所述认证凭证发送至所述指定用户设备,以便通过所述认证凭证访问对应的私有云服务与公共云服务。
图6为本说明书一个或多个实施例提供的一种数据中心访问设备的结构示意图,所述设备应用于数据中心认证系统,所述系统包括:私有云用户认证中心、公有云用户中心与公有云用户认证中心,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
在指定用户设备将用户标识与云数据中心标识发送至所述公有云用户认证中心;
所述公有云用户认证中心通过获取所述公有云用户中心预先设定的匹配规则,对所述用户标识与所述云数据中心标识进行处理,匹配出对应的私有云用户认证中心,并将所述用户标识与所述云数据中心标识发送至所述私有云用户认证中心;
所述私有云用户认证中心根据所述用户标识与所述云数据中心标识,生成对应的认证凭证,并将所述认证凭证返回至所述公有云用户认证中心;
所述公有云用户认证中心将所述认证凭证发送至所述指定用户设备,以便通过所述认证凭证访问对应的私有云服务与公共云服务。
本说明书一个或多个实施例提供的一种非易失性计算机存储介质,所述介质应用于数据中心认证系统,所述系统包括:私有云用户认证中心、公有云用户中心与公有云用户认证中心,存储有计算机可执行指令,所述计算机可执行指令被计算机执行时能够实现:
在指定用户设备将用户标识与云数据中心标识发送至所述公有云用户认证中心;
所述公有云用户认证中心通过获取所述公有云用户中心预先设定的匹配规则,对所述用户标识与所述云数据中心标识进行处理,匹配出对应的私有云用户认证中心,并将所述用户标识与所述云数据中心标识发送至所述私有云用户认证中心;
所述私有云用户认证中心根据所述用户标识与所述云数据中心标识,生成对应的认证凭证,并将所述认证凭证返回至所述公有云用户认证中心;
所述公有云用户认证中心将所述认证凭证发送至所述指定用户设备,以便通过所述认证凭证访问对应的私有云服务与公共云服务。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、设备、非易失性计算机存储介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
以上所述仅为本说明书的一个或多个实施例而已,并不用于限制本说明书。对于本领域技术人员来说,本说明书的一个或多个实施例可以有各种更改和变化。凡在本说明书的一个或多个实施例的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本说明书的权利要求范围之内。
Claims (10)
1.一种数据中心访问方法,其特征在于,所述方法应用于数据中心认证系统,所述系统包括:私有云用户认证中心、公有云用户中心与公有云用户认证中心;所述方法包括:
在指定用户设备将用户标识与云数据中心标识发送至所述公有云用户认证中心;
所述公有云用户认证中心通过获取所述公有云用户中心预先设定的匹配规则,对所述用户标识与所述云数据中心标识进行处理,匹配出对应的私有云用户认证中心,并将所述用户标识与所述云数据中心标识发送至所述私有云用户认证中心;
所述私有云用户认证中心根据所述用户标识与所述云数据中心标识,生成对应的认证凭证,并将所述认证凭证返回至所述公有云用户认证中心;
所述公有云用户认证中心将所述认证凭证发送至所述指定用户设备,以便通过所述认证凭证访问对应的私有云服务与公共云服务。
2.根据权利要求1所述的方法,其特征在于,所述匹配规则为用户标识重复时通过所述云数据中心标识确定云数据中心标识的唯一性,以便确定对应的私有云用户认证中心。
3.根据权利要求1所述的方法,其特征在于,所述私有云用户认证中心用于将所述私有云用户认证中心部署于私有云网络中,管理本地用户,生成私有云用户数据,所述私有云用户数据包括云数据中心标识。
4.根据权利要求1所述的方法,其特征在于,所述公有云用户中心用于注册用户信息,生成公有云用户数据,并将所述私有云用户数据与所述公有云用户数据进行关联映射,公有云用户数据包括用户标识。
5.根据权利要求1所述的方法,其特征在于,所述公有云用户认证中心用于根据认证规则,将所述用户标识与对应的密码提交到私有云用户认证中心,若认证通过,生成认证凭据。
6.根据权利要求5所述的方法,其特征在于,所述认证规则的类型包括数据库认证与LDAP协议认证;其中,
所述数据库认证为数据库中保存用户名和密码,查询数据库存储的用户名密码与当前提交的用户名密码是否一致完成认证;
LDAP协议认证为连接支持LDAP协议认证源完成认证。
7.根据权利要求1所述的方法,其特征在于,所述方法应用的系统包括一个公有云用户中心与公有云用户认证中心以及多个私有云用户认证中心。
8.一种数据中心访问装置,其特征在于,所述装置应用于数据中心认证系统,所述系统包括:私有云用户认证中心、公有云用户中心与公有云用户认证中心;所述装置包括:
标识发送单元,在指定用户设备将用户标识与云数据中心标识发送至所述公有云用户认证中心;
匹配单元,所述公有云用户认证中心通过获取所述公有云用户中心预先设定的匹配规则,对所述用户标识与所述云数据中心标识进行处理,匹配出对应的私有云用户认证中心,并将所述用户标识与所述云数据中心标识发送至所述私有云用户认证中心;
凭证生成单元,所述私有云用户认证中心根据所述用户标识与所述云数据中心标识,生成对应的认证凭证,并将所述认证凭证返回至所述公有云用户认证中心;
访问单元,所述公有云用户认证中心将所述认证凭证发送至所述指定用户设备,以便通过所述认证凭证访问对应的私有云服务与公共云服务。
9.一种数据中心访问设备,其特征在于,所述设备应用于数据中心认证系统,所述系统包括:私有云用户认证中心、公有云用户中心与公有云用户认证中心,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
在指定用户设备将用户标识与云数据中心标识发送至所述公有云用户认证中心;
所述公有云用户认证中心通过获取所述公有云用户中心预先设定的匹配规则,对所述用户标识与所述云数据中心标识进行处理,匹配出对应的私有云用户认证中心,并将所述用户标识与所述云数据中心标识发送至所述私有云用户认证中心;
所述私有云用户认证中心根据所述用户标识与所述云数据中心标识,生成对应的认证凭证,并将所述认证凭证返回至所述公有云用户认证中心;
所述公有云用户认证中心将所述认证凭证发送至所述指定用户设备,以便通过所述认证凭证访问对应的私有云服务与公共云服务。
10.一种非易失性计算机存储介质,其特征在于,所述介质应用于数据中心认证系统,所述系统包括:私有云用户认证中心、公有云用户中心与公有云用户认证中心,存储有计算机可执行指令,所述计算机可执行指令被计算机执行时能够实现:
在指定用户设备将用户标识与云数据中心标识发送至所述公有云用户认证中心;
所述公有云用户认证中心通过获取所述公有云用户中心预先设定的匹配规则,对所述用户标识与所述云数据中心标识进行处理,匹配出对应的私有云用户认证中心,并将所述用户标识与所述云数据中心标识发送至所述私有云用户认证中心;
所述私有云用户认证中心根据所述用户标识与所述云数据中心标识,生成对应的认证凭证,并将所述认证凭证返回至所述公有云用户认证中心;
所述公有云用户认证中心将所述认证凭证发送至所述指定用户设备,以便通过所述认证凭证访问对应的私有云服务与公共云服务。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310685105.4A CN116796305A (zh) | 2023-06-08 | 2023-06-08 | 一种数据中心访问方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310685105.4A CN116796305A (zh) | 2023-06-08 | 2023-06-08 | 一种数据中心访问方法、装置、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116796305A true CN116796305A (zh) | 2023-09-22 |
Family
ID=88049028
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310685105.4A Pending CN116796305A (zh) | 2023-06-08 | 2023-06-08 | 一种数据中心访问方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116796305A (zh) |
-
2023
- 2023-06-08 CN CN202310685105.4A patent/CN116796305A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109787988B (zh) | 一种身份加强认证和鉴权方法及装置 | |
| US8392702B2 (en) | Token-based management system for PKI personalization process | |
| US8971539B2 (en) | Management of SSL certificate escrow | |
| US7010600B1 (en) | Method and apparatus for managing network resources for externally authenticated users | |
| CN100596361C (zh) | 信息系统或设备的安全防护系统及其工作方法 | |
| US10567370B2 (en) | Certificate authority | |
| US8971537B2 (en) | Access control protocol for embedded devices | |
| CN106888084B (zh) | 一种量子堡垒机系统及其认证方法 | |
| US8387137B2 (en) | Role-based access control utilizing token profiles having predefined roles | |
| CN108964885B (zh) | 鉴权方法、装置、系统和存储介质 | |
| EP2328107B1 (en) | Identity controlled data center | |
| WO2019156822A1 (en) | Fast smart card logon | |
| US20030217148A1 (en) | Method and apparatus for LAN authentication on switch | |
| WO2012158803A1 (en) | Trusted mobile device based security | |
| US20180359241A1 (en) | Authorization apparatus and method for an authorized issuing of an authentication token for a device | |
| CN104054321A (zh) | 针对云服务的安全管理 | |
| CN101321064A (zh) | 一种基于数字证书技术的信息系统的访问控制方法及装置 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| JP2017152880A (ja) | 認証システム、鍵処理連携方法、および、鍵処理連携プログラム | |
| CN115189958B (zh) | 一种实现多级架构之间认证漫游和鉴权的方法 | |
| EP4274192A1 (en) | Access control method and apparatus, and network-side device, terminal and blockchain node | |
| CN111614686A (zh) | 一种密钥管理方法、控制器及系统 | |
| US20220231848A1 (en) | Automatic key exchange | |
| CN111953491B (zh) | 一种基于SSH Certificate和LDAP两步鉴权审计方法 | |
| CN106936760A (zh) | 一种登录Openstack云系统虚拟机的装置和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |