专利名称:一种云计算环境下的分布式授权认证方法
技术领域:
本发明涉及一种计算机应用技术领域,尤其涉及一种云计算环境下的分布式授权认证方法。
背景技术:
随着云计算的兴起,计算机领域正发生着深刻的变革。我国云计算服务市场处于起步阶段,云计算技术与设备已经具备一定的发展基础。我国云计算服务市场总体规模较小,但追赶势头明显。据Gartner估计,2011年我国在全球约900亿美元的云计算服务市场中所占份额不到3%,但年增速达到40%,预期未来我国与国外在云计算方面的差距将逐渐缩小。总结起来云计算具有以下几个特点
(1)超大规模“云”具有相当的规模,Google云计算已经拥有100多万台服务器,Amazon、IBM、微软、Yahoo等的“云”均拥有几十万台服务器。企业私有云一般拥有数百上千台服务器。“云”能赋予用户前所未有的计算能力。
(2)虚拟化云计算支持用户在任意位置、使用各种终端获取应用服务。所请求的资源来自“云”,而不是固定的有形的实体。应用在“云”中某处运行,但实际上用户无需了解、也不用担心应用运行的具体位置。只需要一台笔记本或者一个手机,就可以通过网络服务来实现我们需要的一切,甚至包括超级计算这样的任务;
(3)高可靠性“云”使用了数据多副本容错、计算节点同构可互换等措施来保障服务的高可靠性,使用云计算比使用本地计算机可靠;
(4)通用性云计算不针对特定的应用,在“云”的支撑下可以构造出千变万化的应用,同一个“云”可以同时支撑不同的应用运行;
(5)高可扩展性“云”的规模可以动态伸缩,满足应用和用户规模增长的需要;
(6)按需服务“云”是一个庞大的资源池,你按需购买;云可以像自来水,电,煤气那样计费;
(7)极其廉价由于“云”的特殊容错措施可以采用极其廉价的节点来构成云,“云”的自动化集中式管理使大量企业无需负担日益高昂的数据中心管理成本,“云”的通用性使资源的利用率较之传统系统大幅提升,因此用户可以充分享受“云”的低成本优势,经常只要花费几百美元、几天时间就能完成以前需要数万美元、数月时间才能完成的任务。根据IDC在2009年年底发布的一项调查报告显示,云计算服务面临的前三大市场挑战分别为服务安全性、稳定性和性能表现。该三大挑战排名同IDC于2008年进行的云计算服务调查结论完全一致。2009年11月,Forrester Research公司的调查结果显不,有51%的中小型企业认为安全性和隐私问题是他们尚未使用云服务的最主要原因。由此可见,安全性是客户选择云计算时的首要考虑因素。云计算由于其用户、信息资源的高度集中,带来的安全事件后果与风险也较传统应用高出很多。在2009年,Google、Microsoft、Amazon等公司的云计算服务均出现了重大故障,导致成千上万客户的信息服务受到影响,进一步加剧了业界对云计算应用安全的担忧。在云计算领域各种应用上不同的服务由不同的系统提供,但是这些服务仍提供给某些特定系统的特定用户,并且出于应用系统安全上的需要,每一个系统都需要对用户的身份进行认证和对其用户所访问的系统功能进行授权,应用系统在用户管理上基本上都自成体系,以保证合法用户的权益,拒统要求提供不同的用户名和口令,这样给用户带来了极大的不便;同时,口令存储环节的增加,也增加了 口令泄露的可能性。同时,云计算领域,也普遍存在多个系统信息资源目录的统一问题,普遍存在统一认证和统一授权管理问题,普遍存在统一认证和统一授权机制、分级分类认证和授权操作问题。这些问题的解决直接影响整个信息资源系统的可控性和安全性。这是当前各企业单位信息化建设中的一个关键问题。因此本发明这种方式既能对用户进行统一的授权和认证,也能展现各用户的统一权限视图,统一用户授权管理是以资源的授权、访问决策控制集中管理为目标,以资源的访问控制为导向,以资源的安全、防扩散为前提,将各个应用系统的所有受控资源进行统一授权,不仅可以保护应用系统的信息安全、建立全面的信息保密制度,同时满足对系统文档加密和授权需求,构建安全可控的文档安全、防扩散管理系统。
发明内容
本发明的目的是提供一种云计算环境下的分布式授权认证方法。本发明的目的是按以下方式实现的,
一种云计算领域的分布式授权策略,包括:
1、云计算领域的分布式授权策略,其特征在于通过对在云计算系统中各个子模块通过分布式授权的方式实现系统的统一认证和授权,从而实现大规模云计算环境下对云计算系统安全的可靠保证,该系统体系结构包括:云客户端(I)、认证授权系统(2)、各子系统模块
(3)其中:
云客户端(I)在云平台系统的访问客户端,最终用户通过云客户端访问云平台各子系统模块的功能;
认证授权系统(2)主要包括认证和授权两部分功能,认证即对验证用户身份的合法性,授权是赋予用户访问功能相应的权限;
各子系统模块(3)可能是云平台中各个功能的子系统,包括管理、监控、云资源、计费等等功能,这些系统对外提供标准的Rest方式访问接口 ;
2、分布式授权策略的步骤主要如下:
1)云客户端(I)用户使用用户名和密码去认证授权系统(2)请求认证
2)用户名和密码如果正确,认证授权系统(2)将返回此用户唯一的token
3)云客户端(I)带着token到子系统模块(3)调用某个RestAPI,来实现某些功能
4)子系统(3)的通过token从认证授权系统(2)中获取用户的认证信息,确保是否是有效的认证用户
5)认证授权系统(2)通过token进行确认并返回认证信息
6)子系统(3)认证通过之后,通过用户ID去认证授权系统(2)获取此用户是否有调用这个Rest API接口的权限
7)认证授权系统(2)通过用户ID进行确认并返回授权信息
8)子系统(3)返回执行的结果。本发明的有益效果是:本发明设计分布式的认证和授权管理类安全控制系统,提供与当前云计算平台体系和业务模式相适应的分级分类认证和授权机制。向用户和应用系统提供整合的认证和授权控制管理服务,提供用户身份认证到应用授权的映射功能。提供用户控制的基于多种业务属性组合条件下灵活的授权和访问控制机制,简化具体应用系统的开发维护。
图1是网络架构视 图2是分布式授权逻辑图。
具体实施例方式参照说明书附图对本发明的方法作以下详细地说明。现有技术中的安全防御系统一般通过增加防火墙等安全过滤系统来进行安全防御,但如果攻击的类型和数量比较多,很可能导致防御系统的负载过重而崩溃。为了解决上述问题,本发明实现在云计算环境下的弹性的安全过滤策略设计,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。首先结合附图1,对本发明的实施进行说明,在一个典型的配置环境中用户通过云客户端可以访问到云计算平台中的资源,向用户和应用系统提供整合的认证和授权控制管理服务,从而确保云计算平台的安全。本发明的设计原理如附图1所示,在云计算系统中各个子模块通过分布式授权的方式实现系统的统一认证和授权,从而实现大规模云计算环境下对云计算系统安全的可靠保证,该系统体系结构包括:z 客户端(1 )、认证授权系统(2)、各子系统|旲块(3)其中:
云客户端(1)在云平台系统的访问客户端,最终用户通过云客户端访问云平台各子系统模块的功能;
认证授权系统(2)主要包括认证和授权两部分功能,认证即对验证用户身份的合法性,授权是赋予用户访问功能相应的权限。各子系统模块(3)可能是云平台中各个功能的子系统,包括管理、监控、云资源、计费等等功能,这些系统对外提供标准的Rest方式访问接口。图2说明了安全系统一次分布式认证的流程:
1)云客户端(1)用户使用用户名和密码去认证授权系统(2)请求认证
2)用户名和密码如果正确,认证授权系统(2)将返回此用户唯一的token
3)云客户端(1)带着token到子系统模块(3)调用某个RestAPI,来实现某些功能
4)子系统(3)的通过token从认证授权系统(2)中获取用户的认证信息,确保是否是有效的认证用户
5)认证授权系统(2)通过token进行确认并返回认证信息 6)子系统(3)认证通过之后,通过用户ID去认证授权系统(2)获取此用户是否有调用这个Rest API接口的权限
7)认证授权系统(2)通过用户ID进行确认并返回授权信息
8)子系统(3)返回执行的结果
上述实施例中的各装置/功能模块/功能单元以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。上述提到的计算机可读取存储介质可以是只读存储器,磁盘或光盘等。任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求所述的保护范围为准。上述实施例的全部或部分步骤也可以使用集成电路来实现,这些步骤可以被分别制作成一个个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。上述实施例中的各装置、功能模块、功能单元可以采用通用的计算装置来实现,它们可以集中在单个的计算装置上,也可以分布在多个计算装置所组成的网络上。本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用计算机程序流程来实现,所述计算机程序可以存储于一计算机可读存储介质中,所述计算机程序在相应的硬件平台上(如系统、设备、装置、器件等)执行,在执行时,包括方法实施例的步骤之一或其组合。除说明书所述的技术特征外,均为本专业技术人员的已知技术。
权利要求
1.一种云计算环境下的分布式授权认证方法,其特征在于对设置在云计算系统中的各个子模块,通过分布式授权的方式实现系统的统一认证和授权,从而实现大规模云计算环境下对云计算系统安全的可靠保证,该系统体系结构包括云客户端(I)、认证授权系统(2)、各子系统模块(3)其中 云客户端(I)在云平台系统的访问客户端,最终用户通过云客户端访问云平台各子系统模块的功能; 认证授权系统(2)包括认证和授权两部分功能,认证即对验证用户身份的合法性,授权是赋予用户访问功能相应的权限; 各子系统模块(3)是云平台中各个功能的子系统,包括管理、监控、云资源、计费的功能系统,这些系统对外提供标准的Rest方式访问接口 ; 分布式授权的具体步骤如下 1)云客户端(I)用户使用用户名和密码去认证授权系统(2)请求认证; 2)用户名和密码如果正确,认证授权系统(2)将返回此用户唯一的token; 3)云客户端(I)带着token到子系统模块(3)调用各子系统的RestAPI,来实现其功倉泛; 4)、各子系统模块(3)的通过token从认证授权系统(2)中获取用户的认证信息,确保是否是有效的认证用户; 5)认证授权系统(2)通过token进行确认并返回认证信息; 6)各子系统模块(3)认证通过之后,通过用户ID去认证授权系统(2)获取此用户是否有调用这个Rest API接口的权限; 7)认证授权系统(2)通过用户ID进行确认并返回授权信息; 8)各子系统模块(3)返回执行的结果。
全文摘要
本发明提供一种云计算环境下的分布式授权认证方法,是对设置在云计算系统中的各个子模块,通过分布式授权的方式实现系统的统一认证和授权,从而实现大规模云计算环境下对云计算系统安全的可靠保证本发明设计分布式的认证和授权管理类安全控制系统,提供与当前云计算平台体系和业务模式相适应的分级分类认证和授权机制。向用户和应用系统提供整合的认证和授权控制管理服务,提供用户身份认证到应用授权的映射功能。提供用户控制的基于多种业务属性组合条件下灵活的授权和访问控制机制,简化具体应用系统的开发维护。
文档编号H04L29/06GK103152336SQ20131005667
公开日2013年6月12日 申请日期2013年2月22日 优先权日2013年2月22日
发明者刘正伟, 张东, 刘俊朋 申请人:浪潮电子信息产业股份有限公司