CN108111473B - 混合云统一管理方法、装置和*** - Google Patents
混合云统一管理方法、装置和*** Download PDFInfo
- Publication number
- CN108111473B CN108111473B CN201611063080.0A CN201611063080A CN108111473B CN 108111473 B CN108111473 B CN 108111473B CN 201611063080 A CN201611063080 A CN 201611063080A CN 108111473 B CN108111473 B CN 108111473B
- Authority
- CN
- China
- Prior art keywords
- authentication
- access request
- information
- application program
- sending
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种混合云统一管理方法、装置和***。所述方法包括:认证客户端接收用户通过应用程序发起的访问请求,检测所述访问请求没有被验证,将所述访问请求发送给认证服务端;所述认证服务端所述访问请求进行验证通过后生成票据信息,将所述票据信息发送给所述认证客户端;所述认证服务端对认证客户端发送的票据信息进行解密认证,若认证通过,则将发送所述访问请求的用户标识发送给所述认证客户端;认证客户端将混合云的业务***的响应信息发送给所述应用程序。上述混合云统一管理方法、装置和***,实现了混合云的用户的统一认证管理,实现了一次登录,多个业务***互通的策略,极大地节省了用户时间,无需进行多次登录认证和安全登出操作。
Description
技术领域
本发明涉及计算机应用领域,特别是涉及一种混合云统一管理方法、装置和***。
背景技术
混合云是融合了公有云和私有云的计算模型,部署在私有云和公有云两种类型的云平台之上。其中,公有云是指公共网络用户能够通过互联网购买和使用的云计算服务。私有云是企业为完善自己企业内部IT架构,自己构建的云计算服务,不对公共网络用户开放。
统一管理是指对用户进行认证以及授权等管理,一般情况下,统一管理是建立在企业自己内部***的应用之上,结构模式比较单一。因混合云在用户管理方面需要兼顾私有云平台的用户和公有云平台的用户,很难保证用户的一致性,无法进行统一管理。
发明内容
基于此,有必要针对传统的统一管理方式无法实现对混合云进行统一管理的问题,提供一种混合云统一管理方法、装置和***,实现对混合云中用户的统一管理,利于混合云平台的扩展。
一种混合云统一管理方法,包括:
认证客户端接收用户通过应用程序发起的访问请求,检测所述访问请求是否已经被验证,若所述访问请求没有被验证,则将所述访问请求发送给认证服务端;
所述认证服务端接收所述访问请求,并检测所述访问请求中是否携带有票据信息,若没有票据信息,则向所述应用程序发送用户身份认证邀请,并接收所述应用程序所获取的认证信息,对所述认证信息进行验证,验证通过后生成票据信息,将所述票据信息发送给所述认证客户端;
所述认证客户端接收所述票据信息,将所述访问请求及所述票据信息发送给所述认证服务端;
所述认证服务端对所述票据信息进行解密认证,若认证通过,则将发送所述访问请求的用户标识发送给所述认证客户端;
所述认证客户端接收认证通过后的用户标识,并将所述访问请求发送给对应的混合云的业务***,接收所述业务***对所述访问请求的响应信息,将所述响应信息发送给所述应用程序。
一种混合云统一管理方法,包括:
接收用户通过应用程序发起的访问请求;
检测所述访问请求是否已经被验证;
若所述访问请求没有被验证,则将所述访问请求发送给认证服务端;
接收所述认证服务端返回的票据信息,所述票据信息是由所述认证服务端检测到所述访问请求中未携带票据信息后,向所述应用程序发送用户身份认证邀请,并对所述应用程序获取的认证信息进行验证通过后生成的;
将所述访问请求及所述票据信息发送给所述认证服务端;
接收所述认证服务端对所述接收的票据信息进行解密认证通过后返回的发送所述访问请求的用户标识;
根据所述认证通过的用户标识将所述访问请求发送给对应的混合云的业务***,接收所述业务***对所述访问请求的响应信息,将所述响应信息发送给所述应用程序。
一种混合云统一管理方法,包括:
接收认证客户端所获取的应用程序发送的未被验证的访问请求;
检测所述访问请求是否携带有票据信息;
若所述访问请求未携带票据信息,则向所述应用程序发送用户身份认证邀请;
接收所述应用程序所获取的认证信息,对所述认证信息进行验证;
验证通过后生成票据信息;
将所述生成的票据信息发送给所述认证客户端;
接收所述认证客户端发送的所述访问请求及对应的票据信息,对所述票据信息进行解密认证;
若认证通过,则将发送所述访问请求的用户标识发送给所述认证客户端,以使所述认证客户端将所述访问请求发送给对应的混合云的业务***,接收所述业务***对所述访问请求的响应信息,将所述响应信息发送给所述应用程序。
一种混合云统一管理***,包括认证客户端和认证服务端;
所述认证客户端用于接收用户通过应用程序发起的访问请求,检测所述访问请求是否已经被验证,若所述访问请求没有被验证,则将所述访问请求发送给认证服务端;
所述认证服务端用于接收所述访问请求,并检测所述访问请求中是否携带有票据信息,若没有票据信息,则向所述应用程序发送用户身份认证邀请,并接收所述应用程序所获取的认证信息,对所述认证信息进行验证,验证通过后生成票据信息,将所述票据信息发送给所述认证客户端;
所述认证客户端还用于接收所述票据信息,将所述访问请求及所述票据信息发送给所述认证服务端;
所述认证服务端还用于对所述票据信息进行解密认证,若认证通过,则将发送所述访问请求的用户标识发送给所述认证客户端;
所述认证客户端还用于接收认证通过后的用户标识,将所述访问请求发送给对应的混合云的业务***,接收所述业务***对所述访问请求的响应信息,将所述响应信息发送给所述应用程序。
一种混合云统一管理装置,包括:
请求接收模块,用于接收用户通过应用程序发起的访问请求;
检测模块,用于检测所述访问请求是否已经被验证;
第一发送模块,用于若所述访问请求没有被验证,则将所述访问请求发送给认证服务端;
票据接收模块,用于接收所述认证服务端返回的票据信息,所述票据信息是由所述认证服务端检测到所述访问请求中未携带票据信息后,向所述应用程序发送用户身份认证邀请,并对所述应用程序获取的认证信息进行验证通过后生成的;
第二发送模块,用于将所述访问请求及所述票据信息发送给所述认证服务端;
用户标识接收模块,用于接收所述认证服务端对所述接收的票据信息进行解密认证通过后返回的发送所述访问请求的用户标识;
响应信息发送模块,用于根据所述认证通过的用户标识将所述访问请求发送给对应的混合云的业务***,接收所述业务***对所述访问请求的响应信息,将所述响应信息发送给所述应用程序。
一种混合云统一管理装置,包括:
请求接收模块,用于接收认证客户端所获取的应用程序发送的未被验证的访问请求;
判断模块,用于检测所述访问请求是否携带有票据信息;
验证邀请发送模块,用于若所述访问请求未携带票据信息,则向所述应用程序发送用户身份认证邀请;
身份验证模块,用于接收所述应用程序所获取的认证信息,对所述认证信息进行验证;
生成模块,用于验证通过后生成票据信息;
票据发送模块,用于将所述生成的票据信息发送给所述认证客户端;
票据认证模块,用于接收所述认证客户端发送的所述访问请求及对应的票据信息,对所述票据信息进行解密认证;
用户标识发送模块,用于若认证通过,则将发送所述访问请求的用户标识发送给所述认证客户端,以使所述认证客户端将所述访问请求发送给对应的混合云的业务***,接收所述业务***对所述访问请求的响应信息,将所述响应信息发送给所述应用程序。
本实施例中混合云统一管理方法、装置和***,通过认证客户端对访问请求进行检测,若访问请求未被验证,则将访问请求发送给认证服务端,由认证服务端检测所述访问请求中是否携带有票据信息,若没有,则接收应用程序获取的认证信息,对认证信息验证通过后,生成票据信息,将票据信息发送给认证客户端,再由认证客户端发送访问请求及对应的票据信息到认证服务端,认证服务端对票据信息进行解密认证,认证通过后将用户标识发送给认证客户端,认证客户端将访问请求发送给混合云的业务***,接收业务***返回的响应信息,将响应信息发送给应用程序,实现了混合云的用户的统一认证管理,实现了一次登录,多个业务***互通的策略,极大地节省了用户时间,无需进行多次登录认证和安全登出操作。
附图说明
图1为一个实施例中混合云统一管理方法的应用环境示意图;
图2A为一个实施例中终端的内部结构示意图;
图2B为一个实施例中服务器的内部结构示意图;
图3为一个实施例中混合云统一管理***的各个组成部分的示意图;
图4为一个实施例中混合云统一管理方法的流程示意图;
图5为一个实施例中基于CAS服务器认证的统一登录管理流程;
图6为RBAC用户管理模块的结构示意图;
图7为一个实施例中混合云统一管理方法的流程图;
图8为另一个实施例中混合云统一管理方法的流程图;
图9为一个实施例中混合云统一管理***的结构框图;
图10为一个实施例中混合云统一管理装置的结构框图;
图11为另一个实施例中混合云统一管理装置的结构框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
可以理解,本发明所使用的术语“第一”、“第二”等可在本文中用于描述各种元件,但这些元件不受这些术语限制。这些术语仅用于将第一个元件与另一个元件区分。
图1为一个实施例中混合云统一管理方法的应用环境示意图。如图1所示,该应用环境包括终端110和服务器120。终端110上部署有应用程序和认证客户端。服务器120上部署有认证服务端。应用程序可为浏览器或应用App等。终端110与服务器120进行通信。终端110上的认证客户端可接收用户通过应用程序对混合云中资源发起的访问请求,检测访问请求是否已经被验证,若没有被验证,则将该访问请求发送给服务器120的认证服务端,由认证服务端对所述访问请求的用户进行身份验证,验证通过后,生成票据信息,将票据信息发送给认证客户端,再接收认证客户端发送的所述访问请求及票据信息,对票据信息进行解密认证,认证通过后,将发送所述访问请求的用户标识发送给认证客户端。认证客户端根据用户标识接收相应的响应信息,并将响应信息返回给应用程序。
图2A为一个实施例中终端的内部结构示意图。如图2A所示,该终端包括通过***总线连接的处理器、非易失性存储介质、内存储器和网络接口。其中,终端的非易失性存储介质存储有操作***,还包括一种混合云统一管理装置,该混合云统一管理装置用于实现一种混合云统一管理方法。该处理器用于提供计算和控制能力,支撑整个终端的运行。终端中的内存储器为非易失性存储介质中的混合云统一管理装置的运行提供环境,该内存储器中可储存有计算机可读指令,该计算机可读指令被所述处理器执行时,可使得所述处理器执行一种混合云统一管理方法。网络接口用于与服务器进行网络通信,如发送访问请求至服务器,接收服务器返回对访问请求的发起者的身份进行验证等。该终端可以是手机、平板电脑或者个人数字助理或穿戴式设备等。本领域技术人员可以理解,图2A中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的终端的限定,具体的终端可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
图2B为一个实施例中服务器的内部结构示意图。如图2B所示,该服务器包括通过***总线连接的处理器、非易失性存储介质、内存储器和网络接口。其中,该服务器的非易失性存储介质存储有操作***、数据库和混合云统一管理装置,数据库中存储有票据信息,该混合云统一管理装置用于实现适用于服务器的一种混合云统一管理方法。该服务器的处理器用于提供计算和控制能力,支撑整个服务器的运行。该服务器的内存储器为非易失性存储介质中的混合云统一管理装置的运行提供环境,该内存储器中可储存有计算机可读指令,该计算机可读指令被所述处理器执行时,可使得所述处理器执行一种混合云统一管理方法。该服务器的网络接口用于据以与外部的终端通过网络连接通信,比如接收终端上的认证客户端发送的访问请求以及向终端返回的有效票据信息或用户标识等。服务器可以用独立的服务器或者是多个服务器组成的服务器集群来实现。本领域技术人员可以理解,图2B中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的服务器的限定,具体的服务器可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
图3为一个实施例中混合云统一管理***的各个组成部分的示意图。如图3所示,该混合云统一管理***包括混合云内部关联子***、统一登录及认证***、用户***。混合云内部关联子***包括基础云平台、自助平台、监控平台和管理后台四个子***。基础云平台是云计算管理平台;自助平台是给用户提供自助云服务的管理平台;监控平台是监控整个云平台的健康状况;管理后台是提供给管理员、运维人员使用的管理平台。用户***是对用户进行统一管理。用户***的数据实时同步到基础云平台,基础云平台各个内部服务的用户身份跟用户***保持一致,从而实现整个混合云的用户身份的统一。统一登录及认证***可用于提供统一的认证和鉴权服务,实现对自助、监控、管理后台用户身份的统一管理。统一登录及认证***引入具备安全机制的单点登录***,对混合云各子***进行统一鉴权处理,一次登录,就可以访问接入到统一登录平台下所有子***的资源。此外,混合云还提供合作平台的接口,合作平台可为大数据平台、运营平台等,丰富混合云的已有功能,提供大数据套件和运营管理方面的支持,统一登录和用户管理***具有强的可扩展性,提供的接口保证外部***可平滑接入。
需要说明的是,混合云统一管理采用单点登录实现登录。单点登录(Single Sign-On,简称SSO)是一种服务于企业业务整合的解决方案。一般SSO体系主要有三种角色形式:User(多个)、Web应用(多个)、SSO认证中心(1个)。所有的认证登录都是在SSO认证中心进行,SSO认证中心会告知web应用当前用户是否是已通过认证的用户,所有web应用都信用于SSO认证中心。其主要的实现方式有:共享cookies(浏览器缓存)、Broker-based(基于经纪人,其有一个集中认证和用户账号管理的服务器)、Agent-based(基于代理人,其有一个为不同的应用程序认证用户身份的代理程序)、Token-based(基于票据)、基于网关,基于SAML(Security Assertion Markup Language,安全断言标记语言)等。
图4为一个实施例中混合云统一管理方法的流程示意图。如图4所示,一种混合云统一管理方法,包括步骤402至步骤410。
步骤402,认证客户端接收用户通过应用程序发起的访问请求,检测所述访问请求是否已经被验证,若所述访问请求没有被验证,则将所述访问请求发送给认证服务端。
本实施例中,首先用户在混合云下统一应用于各子***的注册账号和密码。
认证客户端和应用程序可部署在同一终端上。应用程序可为浏览器或应用App等。应用程序是受保护的应用程序,即被认证通过的应用程序。
若应用程序为浏览器,则用户通过浏览器输入混合云的业务***的网络地址,向混合云的业务***发起访问请求。认证客户端接收到该访问请求,并检测该访问请求是否已经被验证。已经被验证是指认证服务端在解密票据信息并对票据信息进行认证通过后会在本地浏览器中打上会话级别的已解票据标记,若在发起访问请求中包含该标记,则表明已经被验证过。若未检测到该标记,则表明该访问请求没有被验证,将该访问请求发送给认证服务端。若检测到该标记,则表示已经被验证,将向混合云的业务***发送访问请求,并接收业务***对该访问请求的响应信息,将响应信息发送给应用程序。
若应用程序为应用App,即混合云的应用程序客户端,则用户通过该应用App登录向混合云的业务***发起访问请求。认证客户端接收到该访问请求,并检测该访问请求是否已经被验证。若未检测到该标记,则表明该访问请求没有被验证,将该访问请求发送给认证服务端。若检测到该标记,则表示已经被验证,将向混合云的业务***发送访问请求,并接收业务***对该访问请求的响应信息,将响应信息发送给应用程序。
所述认证客户端与所述认证服务端通过安全加密协议(如Secure SocketsLayer,简称SSL,安全套接层)进行通信传输。安全加密协议可确保访问的安全性。
步骤404,所述认证服务端接收所述访问请求,并检测所述访问请求中是否携带有票据信息,若没有票据信息,则向所述应用程序发送用户身份认证邀请,并接收所述应用程序所获取的认证信息,对所述认证信息进行验证,验证通过后生成票据信息,将所述票据信息发送给所述认证客户端。
本实施例中,认证服务端接收到访问请求后,检测所述访问请求中是否携带有票据信息。票据信息是用于唯一标识访问请求的。每一次的访问请求对应的票据信息不同。若没有票据信息,则认证服务端向该应用程序发送用户身份认证邀请,在应用程序上展示认证界面。应用程序的认证界面获取用户输入的认证信息,并将认证信息发送给认证服务端。认证服务端对接收的认证信息进行验证,即将接收的认证信息与认证服务端上存储的认证信息进行比较,若相同,则认证通过,若不同,则认证失败。认证信息可包括用户标识和密码。用户标识是用于唯一表示用户身份的。用户标识可为在混合云上注册的用户账号或即时通信账号或电子邮箱账号或身份证号码或移动通信标识等。认证服务端对认证信息验证通过后,生成与所述访问请求对应的票据信息,将该生成的票据信息发送给认证客户端。
步骤406,所述认证客户端接收所述票据信息,将所述访问请求及所述票据信息发送给所述认证服务端。
本实施例中,认证客户端接收到票据信息后,将该访问请求及所述票据信息重定向发送给认证服务端。
步骤408,所述认证服务端对所述票据信息进行解密认证,若认证通过,则将发送所述访问请求的用户标识发送给所述认证客户端。
本实施例中,认证服务端对所述访问请求对应的票据信息进行解密认证,判断解密的票据信息与认证服务端上记录的所述访问请求对应的票据信息是否相同,若相同,则认证通过,则将发送所述访问请求的用户标识发送给认证客户端。若不同,则认证失败,将认证失败的结果发送给认证客户端,并重新生成随机的票据信息,将该票据信息发送给认证客户端,再次由认证客户端将所述访问请求及对应的票据信息发送给认证服务端,认证服务端再次对票据信息进行解密认证。
步骤410,所述认证客户端接收认证通过后的用户标识,并将所述访问请求发送给对应的混合云的业务***,接收所述业务***对所述访问请求的响应信息,将所述响应信息发送给所述应用程序。
本实施例中,认证通过后的用户标识表示该用户标识是混合云的合法用户标识。
本实施例中混合云统一管理方法,通过认证客户端对访问请求进行检测,若访问请求未被验证,则将访问请求发送给认证服务端,由认证服务端检测所述访问请求中是否携带有票据信息,若没有,则接收应用程序获取的认证信息,对认证信息验证通过后,生成票据信息,将票据信息发送给认证客户端,再由认证客户端发送访问请求及对应的票据信息到认证服务端,认证服务端对票据信息进行解密认证,认证通过后将用户标识发送给认证客户端,认证客户端将访问请求发送给混合云的业务***,接收业务***返回的响应信息,将响应信息发送给应用程序,实现了混合云的用户的统一认证管理,实现了一次登录,多个业务***互通的策略,极大地节省了用户时间,无需进行多次登录认证和安全登出操作。票据信息解密可以防止用户票据被窃取,有非法用户在访问请求中携带窃取的票据信息来伪装混合云的用户,进行资源的非法访问。
在一个实施例中,上述混合云统一管理方法还包括:若所述访问请求已经被验证,则所述认证客户端将所述访问请求发送给对应的混合云的业务***,接收所述业务***对所述访问请求的响应信息,并将所述响应信息发送给所述应用程序。通过检测到访问请求已经被验证,则认证客户端直接将访问请求发送给对应的混合云的业务***,实现资源的访问。
在一个实施例中,上述混合云统一管理方法还包括:所述认证服务端检测到所述访问请求中携带有票据信息,则对所述票据信息进行解密认证,若认证通过,则将发送所述访问请求的用户标识发送给所述认证客户端,若认证失败,则向所述应用程序发送用户身份认证邀请,并接收所述应用程序所获取的认证信息,对所述认证信息进行验证,验证通过后生成票据信息,将所述票据信息发送给所述认证客户端。
图5为一个实施例中基于CAS服务器认证的统一登录管理流程。如图5所示,其中,CAS(Central Authentication Service)是Yale大学发起的一个企业级的、开源的项目,旨在为Web应用***提供一种可靠的单点登录解决方法(属于Web SSO)。基于CAS服务器统一登录管理的过程包括:
(501)浏览器获取用户输入的访问请求,根据该访问请求向混合云的业务***请求资源,并将所述访问请求发送给认证客户端。
(502)认证客户端若检测到访问请求未被验证时,将所述访问请求重定向到认证服务端,若检测到访问请求已经被验证,则直接跳转到(508)。
(503)认证服务端检测所述访问请求中是否携带有票据信息,若没有,则向浏览器发送要求用户身份认证。
(504)浏览器获取用户输入的用户名和密码,将用户名和密码发送给认证服务端。
(505)认证服务端对用户名和密码进行验证,验证通过后,生成与所述访问请求对应的票据信息,将生成的票据信息发送给认证客户端。
(506)认证客户端将票据信息添加到所述访问请求,将所述访问请求携带票据信息发送给认证服务端。
(507)认证服务端对所述访问请求中的票据信息进行解密认证,认证通过后,将发送所述访问请求的用户名发送给认证客户端。
(508)认证客户端接收到验证成功的用户名,将该用户名发起的访问请求发送给混合云的业务***,接收业务***返回的资源,将资源返回给浏览器。
在一个实施例中,所述认证客户端接收认证通过后的用户标识,根据所述认证通过后的用户标识向用户角色权限管理***获取所述用户标识对应的角色和权限,接收与所述用户标识对应的权限对应的响应信息,将所述响应信息发送给所述应用程序。
本实施例中,用户角色权限管理***为不同的用户指派不同的角色,同时给相应的角色赋予对应的权限,也就是建立了用户和角色之间的对应关系,角色与权限之间的对应关系。用户角色权限管理***可采用RBAC(Role-Based Access Control,基于角色的安全访问控制),其不同于强制访问控制以及自由选定访问控制直接赋予使用者权限,而是将权限与角色关联,用户通过适当的角色的成员而得到相应角色的权限,极大的简化了权限的管理,使访问控制更灵活。基于RBAC的统一用户管理***,能够在统一管理平台用户、角色的基础上,灵活地管理角色的权限,从而实现目标平台的统一访问控制。采用基于角色的访问控制***,用户并不直接与操作权限关联,而是通过指派角色的方式进行,面向不同的组织结构用户,给予不同的角色身份,使用户管理工作更加高效。
图6为RBAC用户管理模块的结构示意图。如图6所示,用户和角色之间是多对多的关系,一个用户可以有多个角色:如***管理员、资源管理员、普通用户等。每个角色也可以对应多个用户。角色所被赋予的权限是固定的,指定的角色有指定的操作权限。操作权限包括查看、添加、删除、修改等。
在混合云下的用户管理和统一登录认证机制分为内部子***和外部***接入两种不同的方式,内部各平台之间的用户在经过数据同步和平台下发操作之后,有统一的用户注册模块和角色绑定机制,子***之间的用户数据是对齐的。当外部***要对接到混合云的统一认证平台进行认证操作时,由于没有外部***的用户数据,需要进行额外的操作。
在一个实施例中,上述混合云统一管理方法还包括:将外部***接入到混合云,且将外部***中的用户数据同步到混合云;通过用户角色权限管理***对所述同步的用户数据配置对应的角色及权限。
本实施例中,外部***对接到混合云的统一认证平台,将外部***中的用户数据同步到统一认证平台,通过用户角色权限管理***对同步的用户数据分别配置对应的角色及权限。将外部***中的用户数据同步到统一认证平台,可以采用批量导入方式导入到混合云的统一认证平台。外部***是指混合云外的其他***。外部***的用户可在混合云中注册。再者,可对外部***中的用户按组进行角色分配,即将多个用户分成一组,对该组统一分为某个角色或多个角色。
进一步的,在混合云中,对数据接口进行抽象封装,对内部各个子***提供稳定不变的接口,再由统一认证平台对接外部***的账号***。
图7为一个实施例中混合云统一管理方法的流程图。如图7所示,一种混合云统一管理方法,运行于图1和图2A中的终端上,以认证客户端角度描述,包括:
步骤702,接收用户通过应用程序发起的访问请求。
本实施例中,应用程序可为浏览器或应用App等。
步骤704,检测所述访问请求是否已经被验证。
本实施例中,已经被验证是指认证服务端在解密票据信息并对票据信息进行认证通过后会在本地浏览器中打上会话级别的已解票据标记,若在发起访问请求中包含该标记,则表明已经被验证过。若未检测到该标记,则表明该访问请求没有被验证,将该访问请求发送给认证服务端。若检测到该标记,则表示已经被验证,将向混合云的业务***发送访问请求,并接收业务***对该访问请求的响应信息,将响应信息发送给应用程序。
步骤706,若所述访问请求没有被验证,则将所述访问请求发送给认证服务端。
步骤708,接收所述认证服务端返回的票据信息,所述票据信息是由所述认证服务端检测到所述访问请求中未携带票据信息后,向所述应用程序发送用户身份认证邀请,并对所述应用程序获取的认证信息进行验证通过后生成的。
本实施例中,票据信息是用于唯一标识访问请求的。认证信息可包括用户标识和密码。用户标识可为在混合云上注册的用户账号或即时通信账号或电子邮箱账号或身份证号码或移动通信标识等。
步骤710,将所述访问请求及所述票据信息发送给所述认证服务端。
步骤712,接收所述认证服务端对所述接收的票据信息进行解密认证通过后返回的发送所述访问请求的用户标识。
步骤714,根据所述认证通过的用户标识将所述访问请求发送给对应的混合云的业务***,接收所述业务***对所述访问请求的响应信息,将所述响应信息发送给所述应用程序。
本实施例中混合云统一管理方法,通过认证客户端对访问请求进行检测,若访问请求未被验证,则将访问请求发送给认证服务端,由认证服务端检测所述访问请求中是否携带有票据信息,若没有,则接收应用程序获取的认证信息,对认证信息验证通过后,生成票据信息,将票据信息发送给认证客户端,再由认证客户端发送访问请求及对应的票据信息到认证服务端,认证服务端对票据信息进行解密认证,认证通过后将用户标识发送给认证客户端,认证客户端将访问请求发送给混合云的业务***,接收业务***返回的响应信息,将响应信息发送给应用程序,实现了混合云的用户的统一认证管理,实现了一次登录,多个业务***互通的策略,极大地节省了用户时间,无需进行多次登录认证和安全登出操作。
在一个实施例中,上述混合云统一管理方法还包括:若所述访问请求已经被验证,则将所述访问请求发送给对应的混合云的业务***,接收所述业务***对所述访问请求的响应信息,并将所述响应信息发送给所述应用程序。
在一个实施例中,上述混合云统一管理方法还包括:接收所述认证服务端检测到所述访问请求中携带有票据信息,并对所述票据信息认证通过后发送的所述访问请求的用户标识,以及将所述访问请求发送给对应的混合云的业务***,接收所述业务***对所述访问请求的响应信息,将所述响应信息发送给所述应用程序。
在一个实施例中,上述混合云统一管理方法还包括:根据所述认证通过后的用户标识向用户角色权限管理***获取所述用户标识对应的角色和权限;接收与所述用户标识对应的权限对应的响应信息,将所述响应信息发送给所述应用程序。
图8为另一个实施例中混合云统一管理方法的流程图。如图8所示,一种混合云统一管理方法,运行于图1和图2B中的服务器上,以认证服务端角度描述,包括:
步骤802,接收认证客户端所获取的应用程序发送的未被验证的访问请求。
步骤804,检测所述访问请求是否携带有票据信息。
步骤806,若所述访问请求未携带票据信息,则向所述应用程序发送用户身份认证邀请。
步骤808,接收所述应用程序所获取的认证信息,对所述认证信息进行验证。
步骤810,验证通过后生成票据信息。
步骤812,将所述生成的票据信息发送给所述认证客户端。
步骤814,接收所述认证客户端发送的所述访问请求及对应的票据信息,对所述票据信息进行解密认证。
步骤816,若认证通过,则将发送所述访问请求的用户标识发送给所述认证客户端,以使所述认证客户端将所述访问请求发送给对应的混合云的业务***,接收所述业务***对所述访问请求的响应信息,将所述响应信息发送给所述应用程序。
本实施例中混合云统一管理方法,通过认证客户端对访问请求进行检测,若访问请求未被验证,则将访问请求发送给认证服务端,由认证服务端检测所述访问请求中是否携带有票据信息,若没有,则接收应用程序获取的认证信息,对认证信息验证通过后,生成票据信息,将票据信息发送给认证客户端,再由认证客户端发送访问请求及对应的票据信息到认证服务端,认证服务端对票据信息进行解密认证,认证通过后将用户标识发送给认证客户端,认证客户端将访问请求发送给混合云的业务***,接收业务***返回的响应信息,将响应信息发送给应用程序,实现了混合云的用户的统一认证管理,实现了一次登录,多个业务***互通的策略,极大地节省了用户时间,无需进行多次登录认证和安全登出操作。
在一个实施例中,上述混合云统一管理方法还包括:若检测到所述访问请求中携带有票据信息,对所述票据信息进行解密认证,若认证通过,则将发送所述访问请求的用户标识发送给所述认证客户端,若认证失败,则向所述应用程序发送用户身份认证邀请,并接收所述应用程序所获取的认证信息,对所述认证信息进行验证,验证通过后生成票据信息,将所述票据信息发送给所述认证客户端。
图9为一个实施例中混合云统一管理***的结构框图。如图9所示,一种混合云统一管理***,包括认证客户端902和认证服务端904。
所述认证客户端902用于接收用户通过应用程序发起的访问请求,检测所述访问请求是否已经被验证,若所述访问请求没有被验证,则将所述访问请求发送给认证服务端904。
所述认证服务端904用于接收所述访问请求,并检测所述访问请求中是否携带有票据信息,若没有票据信息,则向所述应用程序发送用户身份认证邀请,并接收所述应用程序所获取的认证信息,对所述认证信息进行验证,验证通过后生成票据信息,将所述票据信息发送给所述认证客户端902。
所述认证客户端902还用于接收所述票据信息,将所述访问请求及所述票据信息发送给所述认证服务端904。
所述认证服务端904还用于对所述票据信息进行解密认证,若认证通过,则将发送所述访问请求的用户标识发送给所述认证客户端902。
所述认证客户端902还用于接收认证通过后的用户标识,将所述访问请求发送给对应的混合云的业务***,接收所述业务***对所述访问请求的响应信息,将所述响应信息发送给所述应用程序。
本实施例中混合云统一管理***,通过认证客户端对访问请求进行检测,若访问请求未被验证,则将访问请求发送给认证服务端,由认证服务端检测所述访问请求中是否携带有票据信息,若没有,则接收应用程序获取的认证信息,对认证信息验证通过后,生成票据信息,将票据信息发送给认证客户端,再由认证客户端发送访问请求及对应的票据信息到认证服务端,认证服务端对票据信息进行解密认证,认证通过后将用户标识发送给认证客户端,认证客户端将访问请求发送给混合云的业务***,接收业务***返回的响应信息,将响应信息发送给应用程序,实现了混合云的用户的统一认证管理,实现了一次登录,多个业务***互通的策略,极大地节省了用户时间,无需进行多次登录认证和安全登出操作。
在一个实施例中,所述认证客户端902还用于接收认证通过后的用户标识,根据所述认证通过后的用户标识向用户角色权限管理***获取所述用户标识对应的角色和权限,接收与所述用户标识对应的权限对应的响应信息,将所述响应信息发送给所述应用程序。
在一个实施例中,若所述访问请求已经被验证,则所述认证客户端902将所述访问请求发送给对应的混合云的业务***,接收所述业务***对所述访问请求的响应信息,并将所述响应信息发送给所述应用程序。
在一个实施例中,所述认证服务端904还用于检测到所述访问请求中携带有票据信息,则对所述票据信息进行解密认证,若认证通过,则将发送所述访问请求的用户标识发送给所述认证客户端902,若认证失败,则向所述应用程序发送用户身份认证邀请,并接收所述应用程序所获取的认证信息,对所述认证信息进行验证,验证通过后生成票据信息,将所述票据信息发送给所述认证客户端。
所述认证客户端902与所述认证服务端904通过安全加密协议进行通信传输。
在一个实施例中,上述混合云统一管理***还包括用户角色权限管理***;将外部***接入混合云,且将外部***中的用户数据同步到所述混合云;所述用户角色权限管理***对所述同步的用户数据配置对应的角色及权限。
图10为一个实施例中混合云统一管理装置的结构框图。如图10,一种混合云统一管理装置1000,包括请求接收模块1002、检测模块1004、第一发送模块1006、票据接收模块1008、第二发送模块1010、用户标识接收模块1012、响应信息发送模块1014。其中:
请求接收模块1002用于接收用户通过应用程序发起的访问请求;
检测模块1004用于检测所述访问请求是否已经被验证;
第一发送模块1006用于若所述访问请求没有被验证,则将所述访问请求发送给认证服务端;
票据接收模块1008用于接收所述认证服务端返回的票据信息,所述票据信息是由所述认证服务端检测到所述访问请求中未携带票据信息后,向所述应用程序发送用户身份认证邀请,并对所述应用程序获取的认证信息进行验证通过后生成的;
第二发送模块1010用于将所述访问请求及所述票据信息发送给所述认证服务端;
用户标识接收模块1012用于接收所述认证服务端对所述接收的票据信息进行解密认证通过后返回的发送所述访问请求的用户标识;
响应信息发送模块1014用于根据所述认证通过的用户标识将所述访问请求发送给对应的混合云的业务***,接收所述业务***对所述访问请求的响应信息,将所述响应信息发送给所述应用程序。
本实施例中混合云统一管理装置,通过认证客户端对访问请求进行检测,若访问请求未被验证,则将访问请求发送给认证服务端,由认证服务端检测所述访问请求中是否携带有票据信息,若没有,则接收应用程序获取的认证信息,对认证信息验证通过后,生成票据信息,将票据信息发送给认证客户端,再由认证客户端发送访问请求及对应的票据信息到认证服务端,认证服务端对票据信息进行解密认证,认证通过后将用户标识发送给认证客户端,认证客户端将访问请求发送给混合云的业务***,接收业务***返回的响应信息,将响应信息发送给应用程序,实现了混合云的用户的统一认证管理,实现了一次登录,多个业务***互通的策略,极大地节省了用户时间,无需进行多次登录认证和安全登出操作。
在一个实施例中,上述混合云统一管理装置还包括权限获取模块。权限获取模块用于根据所述认证通过后的用户标识向用户角色权限管理***获取所述用户标识对应的角色和权限。
响应信息发送模块1014还用于接收与所述用户标识对应的权限对应的响应信息,将所述响应信息发送给所述应用程序。
在一个实施例中,响应信息发送模块1014还用于若所述访问请求已经被验证,则将所述访问请求发送给对应的混合云的业务***,接收所述业务***对所述访问请求的响应信息,并将所述响应信息发送给所述应用程序。
在一个实施例中,用户标识接收模块1012还用于接收所述认证服务端检测到所述访问请求中携带有票据信息,并对所述票据信息认证通过后发送的所述访问请求的用户标识。响应信息发送模块1014还用于将所述访问请求发送给对应的混合云的业务***,接收所述业务***对所述访问请求的响应信息,将所述响应信息发送给所述应用程序。
图11为另一个实施例中混合云统一管理装置的结构框图。如图11所示,一种混合云统一管理装置,包括请求接收模块1102、判断模块1104、验证邀请发送模块1106、身份验证模块1108、生成模块1110、票据发送模块1112、票据认证模块1114和用户标识发送模块1116。其中:
请求接收模块1102用于接收认证客户端所获取的应用程序发送的未被验证的访问请求。
判断模块1104用于检测所述访问请求是否携带有票据信息。
验证邀请发送模块1106用于若所述访问请求未携带票据信息,则向所述应用程序发送用户身份认证邀请。
身份验证模块1106用于接收所述应用程序所获取的认证信息,对所述认证信息进行验证。
生成模块1108用于验证通过后生成票据信息。
票据发送模块1110用于将所述生成的票据信息发送给所述认证客户端。
票据认证模块1112用于接收所述认证客户端发送的所述访问请求及对应的票据信息,对所述票据信息进行解密认证。
用户标识发送模块1114用于若认证通过,则将发送所述访问请求的用户标识发送给所述认证客户端,以使所述认证客户端将所述访问请求发送给对应的混合云的业务***,接收所述业务***对所述访问请求的响应信息,将所述响应信息发送给所述应用程序。
本实施例中混合云统一管理装置,通过认证客户端对访问请求进行检测,若访问请求未被验证,则将访问请求发送给认证服务端,由认证服务端检测所述访问请求中是否携带有票据信息,若没有,则接收应用程序获取的认证信息,对认证信息验证通过后,生成票据信息,将票据信息发送给认证客户端,再由认证客户端发送访问请求及对应的票据信息到认证服务端,认证服务端对票据信息进行解密认证,认证通过后将用户标识发送给认证客户端,认证客户端将访问请求发送给混合云的业务***,接收业务***返回的响应信息,将响应信息发送给应用程序,实现了混合云的用户的统一认证管理,实现了一次登录,多个业务***互通的策略,极大地节省了用户时间,无需进行多次登录认证和安全登出操作。
票据认证模块1112还用于若检测到所述访问请求中携带有票据信息,对所述票据信息进行解密认证,若认证通过,则用户标识发送模块1114用于将发送所述访问请求的用户标识发送给所述认证客户端,若认证失败,则验证邀请发送模块1106还用于向所述应用程序发送用户身份认证邀请;身份验证模块1106接收所述应用程序所获取的认证信息,对所述认证信息进行验证;生成模块1108还用于验证通过后生成票据信息,将所述票据信息发送给所述认证客户端。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一非易失性计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)等。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (23)
1.一种混合云统一管理方法,混合云是融合了公有云和私有云的计算模型,部署在私有云和公有云两种类型的云平台之上,包括:
认证客户端接收用户通过应用程序发起的访问请求,检测所述访问请求是否已经被验证,若所述访问请求没有被验证,则将所述访问请求发送给认证服务端;
所述认证服务端接收所述访问请求,并检测所述访问请求中是否携带有票据信息,若没有票据信息,则向所述应用程序发送用户身份认证邀请,并接收所述应用程序所获取的认证信息,对所述认证信息进行验证,验证通过后生成票据信息,将所述票据信息发送给所述认证客户端;所述票据信息是用于唯一标识访问请求的;
所述认证客户端接收所述票据信息,将所述访问请求及所述票据信息发送给所述认证服务端;
所述认证服务端对所述票据信息进行解密认证,若认证通过,则将发送所述访问请求的用户标识发送给所述认证客户端;
所述认证客户端接收认证通过后的用户标识,并将所述访问请求发送给对应的混合云的业务***,接收所述业务***对所述访问请求的响应信息,将所述响应信息发送给所述应用程序。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述认证客户端接收认证通过后的用户标识,根据所述认证通过后的用户标识向用户角色权限管理***获取所述用户标识对应的角色和权限,接收与所述用户标识对应的权限对应的响应信息,将所述响应信息发送给所述应用程序。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述访问请求已经被验证,则所述认证客户端将所述访问请求发送给对应的混合云的业务***,接收所述业务***对所述访问请求的响应信息,并将所述响应信息发送给所述应用程序。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述认证服务端检测到所述访问请求中携带有票据信息,则对所述票据信息进行解密认证,若认证通过,则将发送所述访问请求的用户标识发送给所述认证客户端,若认证失败,则向所述应用程序发送用户身份认证邀请,并接收所述应用程序所获取的认证信息,对所述认证信息进行验证,验证通过后生成票据信息,将所述票据信息发送给所述认证客户端。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述方法还包括:所述认证客户端与所述认证服务端通过安全加密协议进行通信传输。
6.根据权利要求1至4中任一项所述的方法,其特征在于,所述方法还包括:
将外部***接入混合云,且将外部***中的用户数据同步到所述混合云;
通过用户角色权限管理***对所述同步的用户数据配置对应的角色及权限。
7.一种混合云统一管理方法,其特征在于,混合云是融合了公有云和私有云的计算模型,部署在私有云和公有云两种类型的云平台之上,包括:
接收用户通过应用程序发起的访问请求;
检测所述访问请求是否已经被验证;
若所述访问请求没有被验证,则将所述访问请求发送给认证服务端;
接收所述认证服务端返回的票据信息,所述票据信息是由所述认证服务端检测到所述访问请求中未携带票据信息后,向所述应用程序发送用户身份认证邀请,并对所述应用程序获取的认证信息进行验证通过后生成的;所述票据信息是用于唯一标识访问请求的;
将所述访问请求及所述票据信息发送给所述认证服务端;
接收所述认证服务端对所述接收的票据信息进行解密认证通过后返回的发送所述访问请求的用户标识;
根据所述认证通过的用户标识将所述访问请求发送给对应的混合云的业务***,接收所述业务***对所述访问请求的响应信息,将所述响应信息发送给所述应用程序。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
根据所述认证通过后的用户标识向用户角色权限管理***获取所述用户标识对应的角色和权限;
接收与所述用户标识对应的权限对应的响应信息,将所述响应信息发送给所述应用程序。
9.根据权利要求7所述的方法,其特征在于,所述方法还包括:
若所述访问请求已经被验证,则将所述访问请求发送给对应的混合云的业务***,接收所述业务***对所述访问请求的响应信息,并将所述响应信息发送给所述应用程序。
10.根据权利要求7所述的方法,其特征在于,所述方法还包括:
接收所述认证服务端检测到所述访问请求中携带有票据信息,并对所述票据信息认证通过后发送的所述访问请求的用户标识,以及将所述访问请求发送给对应的混合云的业务***,接收所述业务***对所述访问请求的响应信息,将所述响应信息发送给所述应用程序。
11.一种混合云统一管理方法,其特征在于,混合云是融合了公有云和私有云的计算模型,部署在私有云和公有云两种类型的云平台之上,包括:
接收认证客户端所获取的应用程序发送的未被验证的访问请求;
检测所述访问请求是否携带有票据信息;所述票据信息是用于唯一标识访问请求的;
若所述访问请求未携带票据信息,则向所述应用程序发送用户身份认证邀请;
接收所述应用程序所获取的认证信息,对所述认证信息进行验证;
验证通过后生成票据信息;
将所述生成的票据信息发送给所述认证客户端;
接收所述认证客户端发送的所述访问请求及对应的票据信息,对所述票据信息进行解密认证;
若认证通过,则将发送所述访问请求的用户标识发送给所述认证客户端,以使所述认证客户端将所述访问请求发送给对应的混合云的业务***,接收所述业务***对所述访问请求的响应信息,将所述响应信息发送给所述应用程序。
12.根据权利要求11所述的方法,其特征在于,所述方法还包括:
若检测到所述访问请求中携带有票据信息,对所述票据信息进行解密认证,若认证通过,则将发送所述访问请求的用户标识发送给所述认证客户端,若认证失败,则向所述应用程序发送用户身份认证邀请,并接收所述应用程序所获取的认证信息,对所述认证信息进行验证,验证通过后生成票据信息,将所述票据信息发送给所述认证客户端。
13.一种混合云统一管理***,其特征,包括认证客户端和认证服务端;混合云是融合了公有云和私有云的计算模型,部署在私有云和公有云两种类型的云平台之上,
所述认证客户端用于接收用户通过应用程序发起的访问请求,检测所述访问请求是否已经被验证,若所述访问请求没有被验证,则将所述访问请求发送给认证服务端;
所述认证服务端用于接收所述访问请求,并检测所述访问请求中是否携带有票据信息,若没有票据信息,则向所述应用程序发送用户身份认证邀请,并接收所述应用程序所获取的认证信息,对所述认证信息进行验证,验证通过后生成票据信息,将所述票据信息发送给所述认证客户端;所述票据信息是用于唯一标识访问请求的;
所述认证客户端还用于接收所述票据信息,将所述访问请求及所述票据信息发送给所述认证服务端;
所述认证服务端还用于对所述票据信息进行解密认证,若认证通过,则将发送所述访问请求的用户标识发送给所述认证客户端;
所述认证客户端还用于接收认证通过后的用户标识,将所述访问请求发送给对应的混合云的业务***,接收所述业务***对所述访问请求的响应信息,将所述响应信息发送给所述应用程序。
14.根据权利要求13所述的***,其特征在于,所述认证客户端还用于接收认证通过后的用户标识,根据所述认证通过后的用户标识向用户角色权限管理***获取所述用户标识对应的角色和权限,接收与所述用户标识对应的权限对应的响应信息,将所述响应信息发送给所述应用程序。
15.根据权利要求13所述的***,其特征在于,若所述访问请求已经被验证,则所述认证客户端将所述访问请求发送给对应的混合云的业务***,接收所述业务***对所述访问请求的响应信息,并将所述响应信息发送给所述应用程序。
16.根据权利要求13所述的***,其特征在于,所述认证服务端还用于检测到所述访问请求中携带有票据信息,则对所述票据信息进行解密认证,若认证通过,则将发送所述访问请求的用户标识发送给所述认证客户端,若认证失败,则向所述应用程序发送用户身份认证邀请,并接收所述应用程序所获取的认证信息,对所述认证信息进行验证,验证通过后生成票据信息,将所述票据信息发送给所述认证客户端。
17.根据权利要求13至16中任一项所述的***,其特征在于,所述认证客户端与所述认证服务端通过安全加密协议进行通信传输。
18.根据权利要求13至16中任一项所述的***,其特征在于,所述***还包括用户角色权限管理***;将外部***接入混合云,且将外部***中的用户数据同步到所述混合云;所述用户角色权限管理***对所述同步的用户数据配置对应的角色及权限。
19.一种混合云统一管理装置,其特征在于,混合云是融合了公有云和私有云的计算模型,部署在私有云和公有云两种类型的云平台之上,包括:
请求接收模块,用于接收用户通过应用程序发起的访问请求;
检测模块,用于检测所述访问请求是否已经被验证;
第一发送模块,用于若所述访问请求没有被验证,则将所述访问请求发送给认证服务端;
票据接收模块,用于接收所述认证服务端返回的票据信息,所述票据信息是由所述认证服务端检测到所述访问请求中未携带票据信息后,向所述应用程序发送用户身份认证邀请,并对所述应用程序获取的认证信息进行验证通过后生成的;所述票据信息是用于唯一标识访问请求的;
第二发送模块,用于将所述访问请求及所述票据信息发送给所述认证服务端;
用户标识接收模块,用于接收所述认证服务端对所述接收的票据信息进行解密认证通过后返回的发送所述访问请求的用户标识;
响应信息发送模块,用于根据所述认证通过的用户标识将所述访问请求发送给对应的混合云的业务***,接收所述业务***对所述访问请求的响应信息,将所述响应信息发送给所述应用程序。
20.一种混合云统一管理装置,其特征在于,混合云是融合了公有云和私有云的计算模型,部署在私有云和公有云两种类型的云平台之上,包括:
请求接收模块,用于接收认证客户端所获取的应用程序发送的未被验证的访问请求;
判断模块,用于检测所述访问请求是否携带有票据信息;所述票据信息是用于唯一标识访问请求的;
验证邀请发送模块,用于若所述访问请求未携带票据信息,则向所述应用程序发送用户身份认证邀请;
身份验证模块,用于接收所述应用程序所获取的认证信息,对所述认证信息进行验证;
生成模块,用于验证通过后生成票据信息;
票据发送模块,用于将所述生成的票据信息发送给所述认证客户端;
票据认证模块,用于接收所述认证客户端发送的所述访问请求及对应的票据信息,对所述票据信息进行解密认证;
用户标识发送模块,用于若认证通过,则将发送所述访问请求的用户标识发送给所述认证客户端,以使所述认证客户端将所述访问请求发送给对应的混合云的业务***,接收所述业务***对所述访问请求的响应信息,将所述响应信息发送给所述应用程序。
21.一种非易失性计算机可读取存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行如权利要求1至12中任一项所述方法的步骤。
22.一种终端,包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如权利要求7至10中任一项所述方法的步骤。
23.一种服务器,包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如权利要求11至12中任一项所述方法的步骤。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611063080.0A CN108111473B (zh) | 2016-11-24 | 2016-11-24 | 混合云统一管理方法、装置和*** |
| PCT/CN2017/112906 WO2018095416A1 (zh) | 2016-11-24 | 2017-11-24 | 信息处理方法、装置及*** |
| US16/279,606 US11088903B2 (en) | 2016-11-24 | 2019-02-19 | Hybrid cloud network configuration management |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611063080.0A CN108111473B (zh) | 2016-11-24 | 2016-11-24 | 混合云统一管理方法、装置和*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108111473A CN108111473A (zh) | 2018-06-01 |
| CN108111473B true CN108111473B (zh) | 2020-11-13 |
Family
ID=62204609
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611063080.0A Active CN108111473B (zh) | 2016-11-24 | 2016-11-24 | 混合云统一管理方法、装置和*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108111473B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3585026A1 (en) * | 2018-06-19 | 2019-12-25 | Siemens Aktiengesellschaft | Method and system of providing secure access to a cloud service in a cloud computing environment |
| CN109598114B (zh) * | 2018-11-23 | 2021-07-09 | 金色熊猫有限公司 | 跨平台统一用户账户管理方法及*** |
| CN110413688A (zh) * | 2019-06-28 | 2019-11-05 | 万翼科技有限公司 | 一种数据处理方法和相关装置 |
| WO2021003751A1 (zh) * | 2019-07-11 | 2021-01-14 | 深圳市鹰硕技术有限公司 | 一种单账号多身份登录方法、装置、服务器及存储介质 |
| CN111178995B (zh) * | 2019-12-31 | 2023-12-01 | 航天信息股份有限公司企业服务分公司 | 一种基于云端票据***进行票据处理的方法及*** |
| CN111541656B (zh) * | 2020-04-09 | 2022-09-16 | 中央电视台 | 基于融合媒体云平台的身份认证方法及*** |
| CN112291157A (zh) * | 2020-10-23 | 2021-01-29 | 翼集分电子商务(上海)有限公司 | 一种积分***中基于混合云的智能业务访问控制中心 |
| CN114640671A (zh) * | 2020-12-01 | 2022-06-17 | 马上消费金融股份有限公司 | 一种服务组件的管理方法、服务器和电子设备 |
| CN112929391B (zh) * | 2021-03-15 | 2023-03-31 | 浪潮云信息技术股份公司 | 一种基于单点登录实现跨平台身份认证的方法 |
| CN113468504A (zh) * | 2021-07-01 | 2021-10-01 | 厦门悦讯信息科技股份有限公司 | 一种单一客户端访问多个服务端的方法及*** |
| CN114567509B (zh) * | 2022-03-18 | 2024-04-30 | 上海派拉软件股份有限公司 | 一种Web应用访问***及方法 |
| CN115022074A (zh) * | 2022-06-24 | 2022-09-06 | 中国电信股份有限公司 | 用户认证授权方法、装置、介质及设备 |
| CN117319087B (zh) * | 2023-11-28 | 2024-02-27 | 北京车与车科技有限公司 | 基于集中式认证服务的单点登录方法、装置及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1627683A (zh) * | 2003-12-09 | 2005-06-15 | 鸿富锦精密工业(深圳)有限公司 | 单一认证授权管理***及方法 |
| CN101242324A (zh) * | 2007-02-09 | 2008-08-13 | 联想网御科技(北京)有限公司 | 一种基于ssl协议的远程安全接入方法和*** |
| CN102427481A (zh) * | 2012-01-12 | 2012-04-25 | 易云捷讯科技(北京)有限公司 | 用于对云计算服务进行管理的***及云计算管理方法 |
| CN103650426A (zh) * | 2011-05-06 | 2014-03-19 | 思杰***有限公司 | 用于在公共云与私有云之间进行云桥接的***和方法 |
| CN103685282A (zh) * | 2013-12-18 | 2014-03-26 | 飞天诚信科技股份有限公司 | 一种基于单点登录的身份认证方法 |
| CN105681075A (zh) * | 2015-12-30 | 2016-06-15 | ***股份有限公司 | 基于混合云平台的网络管理*** |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9807079B2 (en) * | 2014-10-23 | 2017-10-31 | Palo Alto Network, Inc. | Single sign on proxy for regulating access to a cloud service |
-
2016
- 2016-11-24 CN CN201611063080.0A patent/CN108111473B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1627683A (zh) * | 2003-12-09 | 2005-06-15 | 鸿富锦精密工业(深圳)有限公司 | 单一认证授权管理***及方法 |
| CN101242324A (zh) * | 2007-02-09 | 2008-08-13 | 联想网御科技(北京)有限公司 | 一种基于ssl协议的远程安全接入方法和*** |
| CN103650426A (zh) * | 2011-05-06 | 2014-03-19 | 思杰***有限公司 | 用于在公共云与私有云之间进行云桥接的***和方法 |
| CN102427481A (zh) * | 2012-01-12 | 2012-04-25 | 易云捷讯科技(北京)有限公司 | 用于对云计算服务进行管理的***及云计算管理方法 |
| CN103685282A (zh) * | 2013-12-18 | 2014-03-26 | 飞天诚信科技股份有限公司 | 一种基于单点登录的身份认证方法 |
| CN105681075A (zh) * | 2015-12-30 | 2016-06-15 | ***股份有限公司 | 基于混合云平台的网络管理*** |
Non-Patent Citations (1)
| Title |
|---|
| "一种云计算中的多重身份认证与授权方案";江伟玉等,;《信息网络安全》;20120831(第8期);第7-10页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108111473A (zh) | 2018-06-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108111473B (zh) | 混合云统一管理方法、装置和*** | |
| CN101227468B (zh) | 用于认证用户到网络的方法、设备和*** | |
| EP1914658B1 (en) | Identity controlled data center | |
| US9332008B2 (en) | Time-based one time password (TOTP) for network authentication | |
| CN109274652B (zh) | 身份信息验证***、方法及装置及计算机存储介质 | |
| CN105530224B (zh) | 终端认证的方法和装置 | |
| CN113316783A (zh) | 使用活动目录和一次性口令令牌组合的双因素身份认证 | |
| US10212151B2 (en) | Method for operating a designated service, service unlocking method, and terminal | |
| US20140007215A1 (en) | Mobile applications platform | |
| EP2732400B1 (en) | Method and system for verifying an access request | |
| US20150365399A1 (en) | Method and apparatus for sharing server resources using a local group | |
| KR20160138063A (ko) | 머신 생성 인증 토큰으로써 서비스를 동작시키는 기법 | |
| WO2017192736A1 (en) | Methods and apparatus for device authentication and secure data exchange between a server application and a device | |
| US20210320790A1 (en) | Terminal registration system and terminal registration method | |
| CN106936797A (zh) | 一种云中虚拟机磁盘及文件加密密钥的管理方法和*** | |
| EP2926527B1 (en) | Virtual smartcard authentication | |
| US9323911B1 (en) | Verifying requests to remove applications from a device | |
| US9864853B2 (en) | Enhanced security mechanism for authentication of users of a system | |
| CN102571874A (zh) | 一种分布式***中的在线审计方法及装置 | |
| CN114372254B (zh) | 大数据环境下的多认证授权方法 | |
| CN110659471A (zh) | 一种云环境中的身份认证登录方法 | |
| CN112261103A (zh) | 一种节点接入方法及相关设备 | |
| KR102016976B1 (ko) | 싱글 사인 온 서비스 기반의 상호 인증 방법 및 시스템 | |
| CN104135482A (zh) | 一种认证方法及装置、服务器 | |
| Tiwari et al. | Design and Implementation of Enhanced Security Algorithm for Hybrid Cloud using Kerberos |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |