认证鉴权方法及系统的制作方法
【技术领域】
[0001] 本发明涉及认证技术,尤其涉及一种基于分布式的认证鉴权方法及系统。
【背景技术】
[0002] 用户使用云计算服务时,云平台需要对用户提供的认证信息进行验证,判断该用 户是否为合法用户;用户进行资源操作时,云平台还需要对用户进行鉴权,判断该用户是否 具备执行该操作的权限。通常,通过云平台中的认证鉴权模块来实现权限认证。
[0003] 认证鉴权模块将用户的认证信息和鉴权信息事先存储在数据库中。当用户登录云 平台或通过应用程序接口(APLApplicationProgrammingInte计ace)调用云平台服务接 口时,认证鉴权模块将用户提供的认证信息、W及此次操作行为与数据库中的认证信息和 鉴权信息进行对比分析,若认证信息不相符,则直接认为该用户为非法用户;若认证信息相 符、鉴权信息不符,则认为该用户为合法用户但无操作权限;若都相符,则认为该用户为合 法用户,且具备本次操作权限。
[0004] 现有方案中,认证与鉴权依赖于云平台中的认证鉴权模块及用于保存核必数据的 数据库,具有W下缺点:认证鉴权模块集中化实现,可靠性差;基于关系数据库实现,扩展 性差。
【发明内容】
[0005] 为解决上述技术问题,本发明实施例提供一种认证鉴权方法及系统,W分布式方 式设置认证鉴权节点,W提高认证鉴权的稳定性。
[0006] 本发明实施例的技术方案是送样实现的:
[0007] -种认证鉴权方法,为认证鉴权中必设置一个W上的认证鉴权节点,所述一个W 上的认证鉴权节点与所述认证鉴权中必连接;所述方法包括:
[0008] 所述认证鉴权中必接收到针对用户的认证鉴权请求后,从所述一个W上的认证鉴 权节点中确定一个认证鉴权节点;
[0009] 将所述认证鉴权请求向所确定的认证鉴权节点发送,使所确定的认证鉴权节点对 所述用户进行认证鉴权且向认证鉴权请求方发送认证鉴权响应。
[0010] 优选地,所述方法还包括:
[0011] 所述认证鉴权中必中存储有认证鉴权节点表,每一认证鉴权节点作为至少一个其 他的认证鉴权节点的备份认证鉴权节点;所述认证鉴权节点表中包括W下信息的至少一 种;认证鉴权节点标识、认证鉴权节点的备份认证鉴权节点标识、认证鉴权节点的地址信 息、W及认证鉴权节点与备份认证鉴权节点之间的关联关系;
[0012] 所述认证鉴权中必确定有新的认证鉴权节点加入时,为所述新的认证鉴权节点设 置备份认证鉴权节点,或者,为所述新的认证鉴权节点设置备份认证鉴权节点,并将所述新 的认证鉴权节点作为至少一个其他的认证鉴权节点的备份认证鉴权节点;
[0013] 所述认证鉴权中必确定认证鉴权节点不可用时,删除与该不可用的认证鉴权节点 相关的所有关联关系;并在确定存在未设置备份认证鉴权节点的认证鉴权节点时,为该未 设置备份认证鉴权节点的认证鉴权节点设置至少一个备份认证鉴权节点。
[0014] 优选地,所述每一认证鉴权节点作为至少一个其他的认证鉴权节点的备份认证鉴 权节点,包括:
[0015] 假设有N个认证鉴权节点,将认证鉴权节点从编号从1至N依次排序,则按下述方 式设置认证鉴权节点与其备份认证鉴权节点的关联关系:
[0016] 将第N个认证鉴权节点作为第N-I个认证鉴权节点的备份认证鉴权节点,将第一 个认证鉴权节点作为第N个认证鉴权节点的备份认证鉴权节点,N为大于1的整数;
[0017] 对应地,所述认证鉴权中必确定有新的第N+1个认证鉴权节点加入时,将所述第 N+1个认证鉴权节点作为第N个认证鉴权节点的备份认证鉴权节点,第一个认证鉴权节点 作为所述第N+1个认证鉴权节点的备份认证鉴权节点;
[0018] 所述认证鉴权中必确定第P个认证鉴权节点不可用时,将第P+1个认证鉴权节点 作为第P-I个认证鉴权节点的备份认证鉴权节点,其中,P为小于N的正整数。
[0019] 优选地,所述备份认证鉴权节点中存储有主认证鉴权节点的备份数据。
[0020] 优选地,所述从所述一个W上的认证鉴权节点中确定一个认证鉴权节点,包括:
[0021] 从所述一个W上的认证鉴权节点中确定认证鉴权的用户最少的认证鉴权节点作 为所确定的认证鉴权节点;或者,
[0022] 从所述一个W上的认证鉴权节点中确定与当前待认证鉴权用户的路由认证鉴权 节点最少的认证鉴权节点作为所确定的认证鉴权节点。
[0023] 优选地,所述方法还包括:
[0024] 所述认证鉴权中必接收到用户的认证鉴权注册信息后,分别提取所述注册信息中 的认证信息和鉴权信息,并将用户的认证信息和鉴权信息分别存储于所述一个W上的认证 鉴权节点中,其中,W用户标识关联该用户的认证信息和鉴权信息;由所述认证鉴权中必对 所述认证信息和鉴权信息进行加密,并向所述一个W上的认证鉴权节点通知加密密钥;
[0025] 所述认证鉴权中必接收到用户更新的认证鉴权注册信息后,分别提取所述更新的 注册信息中的认证信息和鉴权信息,并将用户更新的认证信息和鉴权信息分别替代存储于 所述一个W上的认证鉴权节点中的认证信息和鉴权信息。
[0026] 一种认证鉴权系统,包括认证鉴权中必和为所述认证鉴权中必设置一个W上的认 证鉴权节点,所述一个W上的认证鉴权节点与所述认证鉴权中必连接;其中:
[0027] 所述认证鉴权中必,用于在接收到针对用户的认证鉴权请求后,从所述一个W上 的认证鉴权节点中确定一个认证鉴权节点;将所述认证鉴权请求向所确定的认证鉴权节点 发送;
[0028] 认证鉴权节点,用于接收到所述认证鉴权中必发送的认证鉴权请求后,对所述用 户进行认证鉴权且向认证鉴权请求方发送认证鉴权响应。
[0029] 优选地,所述认证鉴权中必中存储有认证鉴权节点表,每一认证鉴权节点作为至 少一个其他的认证鉴权节点的备份认证鉴权节点;所述认证鉴权节点表中包括W下信息的 至少一种;认证鉴权节点标识、认证鉴权节点的备份认证鉴权节点标识、认证鉴权节点的地 址信息、W及认证鉴权节点与备份认证鉴权节点之间的关联关系;
[0030] 所述认证鉴权中必,还用于在确定有新的认证鉴权节点加入时,为所述新的认证 鉴权节点设置备份认证鉴权节点,或者,为所述新的认证鉴权节点设置备份认证鉴权节点, 并将所述新的认证鉴权节点作为至少一个其他的认证鉴权节点的备份认证鉴权节点;
[0031]W及,确定认证鉴权节点不可用时,删除与该不可用的认证鉴权节点相关的所有 关联关系;并在确定存在未设置备份认证鉴权节点的认证鉴权节点时,为该未设置备份认 证鉴权节点的认证鉴权节点设置至少一个备份认证鉴权节点。
[0032] 优选地,所述每一认证鉴权节点作为至少一个其他的认证鉴权节点的备份认证鉴 权节点,包括:
[0033] 假设有N个认证鉴权节点,将认证鉴权节点从编号从1至N依次排序,则按下述方 式设置认证鉴权节点与其备份认证鉴权节点的关联关系:
[0034] 将第N个认证鉴权节点作为第N-I个认证鉴权节点的备份认证鉴权节点,将第一 个认证鉴权节点作为第N个认证鉴权节点的备份认证鉴权节点,N为大于1的整数;
[0035] 对应地,所述认证鉴权中必确定有新的第N+1个认证鉴权节点加入时,将所述第 N+1个认证鉴权节点作为第N个认证鉴权节点的备份认证鉴权节点,第一个认证鉴权节点 作为所述第N+1个认证鉴权节点的备份认证鉴权节点;
[0036] 所述认证鉴权中必确定第P个认证鉴权节点不可用时,将第P+1个认证鉴权节点 作为第P-I个认证鉴权节点的备份认证鉴权节点,其中,P为小于N的正整数。
[0037] 优选地,所述备份认证鉴权节点中存储有主认证鉴权节点的备份数据。
[0038] 优选地,所述认证鉴权中必还用于:
[0039] 从所述一个W上的认证鉴权节点中确定认证鉴权的用户最少的认证鉴权节点作 为所确定的认证鉴权节点;或者,
[0040] 从所述一个W上的认证鉴权节点中确定与当前待认证鉴权用户的路由认证鉴权 节点最少的认证鉴权节点作为所确定的认证鉴权节点。
[0041] 优选地,所述认证鉴权中必,还用于在接收到用户的认证鉴权注册信息后,分别提 取所述注册信息中的认证信息和鉴权信息,并将用户的认证信息和鉴权信息分别存储于所 述一个W上的认证鉴权节点中,其中,W用户标识关联该用户的认证信息和鉴权信息;由所 述认证鉴权中必对所述认证信息和鉴权信息进行加密,并向所述一个W上的认证鉴权节点 通知加密密钥;
[0042]W及,在接收到用户更新的认证鉴权注册信息后,分别提取所述更新的注册信息 中的认证信息和鉴权信息,并将用户更新的认证信息和鉴权信息分别替代存储于所述一个 W上的认证鉴权节点中的认证信息和鉴权信息。
[0043] 本发明实施例中,为认证鉴权中必设置一个W上的认证鉴权节点,所述一个W上 的认证鉴权节点与所述认证鉴权中必连接;认证鉴权中必接收到针对用户的认证鉴权请求 后,从一个W上的认证鉴权节点中确定一个认证鉴权节点,将认证鉴权请求向所确定的认 证鉴权节点发送;使所确定的认证鉴权节点对所述用户进行认证鉴权,并由所确定的认证 鉴权节点向认证鉴权请求方发送认证鉴权响应。
[0044] 与现有技术相比,本发明实施例的技术方案至少有W下有益效果:
[0045] 通过多认证鉴权节点并行处理,提高认证鉴权模块的处理性能及可扩展性;
[0046]W加密的文件形式存储用户的认证及鉴权信息,可提高并发处理能力,避免同时 访问不同用户数据时的读写保护机制;
[0047] 通过多认证鉴权节点数据