CN112152977A - 异质云端平台认证与授权整合*** - Google Patents
异质云端平台认证与授权整合*** Download PDFInfo
- Publication number
- CN112152977A CN112152977A CN201910576296.4A CN201910576296A CN112152977A CN 112152977 A CN112152977 A CN 112152977A CN 201910576296 A CN201910576296 A CN 201910576296A CN 112152977 A CN112152977 A CN 112152977A
- Authority
- CN
- China
- Prior art keywords
- authentication
- heterogeneous
- platform
- token
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本文揭露一种异质云端平台认证与授权整合***,其整合多种服务认证机制,合并签发为一个通用权杖(Token)用以记录服务对话(Session)。在通用权杖的有效时间内,不同平台可通过通用权杖认证使用者,避免不同平台的服务须不断重复认证使用者的情况,让异质服务平台亦可达到微服务化、无状态化的服务架构。
Description
【技术领域】
本发明是有关一种认证与授权整合技术,特别是有关一种异质云端平台的认证与授权。
【背景技术】
存取云端服务需要先认证使用者,再据以授权。例如,验证帐号密码。验证使用者后,***依据所记录权限,授予使用者***资源存取的权限(Privilege),例如会员可读写,而访客只能读取。一旦完成验证后,即开启一个服务(cloud service),服务的对话(Session)记录使用者的验证状态,在同一对话中,无须重复验证使用者。
惟,一个云端平台包含了许多复杂的功能,为了易于开发及维护,云端平台通常会由多个服务元件所组成,也就是所谓的服务导向架构(Service-Oriented Architecture,SOA)或微服务(Micro-service),该多个通常在不同平台上开发完成。不同***通常会有各自的认证与授权机制,例如有人通过OpenID与 OAuth来分别解决认证与授权的整合。另外,异质平台的服务各自独立,各自保持对话,彼此不相关。相对的,使用者对于云端服务,希望能够有便利统一的认证及授权机制,在存取服务时,无须重复验证。
本发明的课题即在(1)无需修改各个***前提下,(2) 整合验证授权机制,以及(3)提出异质平台对话的交换机制,而得以整合异质平台的服务。
【发明内容】
本发明的一目的是利用一权杖(Token)乘载异质平台的认证授权信息,使得异质平台通过权杖交换验证信息,即可完成异质平台的所有服务。
本发明的一目的是提供各***串接的权杖(Token),在逾期期间内,无需利用Cookie或对话(Session)记录认证信息,使得服务无状态化,而可大量扩展。
本发明的一目的是利用权杖(Token)供不同服务平台交换攒取服务所需信息,无须修改原始服务平台或重新开发。
一种异质云端平台认证与授权整合***,该***包含一管理者仪表板、一数据库、一平台注册模块、一权杖采集模块、一通用权杖签发模块以及一API认证介接口。
管理者仪表板用以提供一异质服务平台认证信息的管理接口。数据库用以储存该异质服务平台认证信息。一平台注册模块用以存取该数据库的该异质服务平台认证信息。一权杖采集模块,通过该平台注册模块,取得至少一异质云端平台权杖。一通用权杖签发模块,通过该权杖采集模块,将该多个异质云端平台权杖进行加密封装至一通用权杖载荷(Payload)内进行签发。一API认证介接口以表述性状态移转技术(RESTful)方式提供服务,于接收请求时,将一认证信息传送给与该通用权杖签发模块以及取回签发的该通用权杖载荷。
【附图说明】
图式是为了说明的目的,并非用来限制本发明的范围,图式并非发明的全部,也不是表示其必要,本发明的范围应由权利要求界定。
图1所示实施例是异质云端平台认证与授权整合***的架构示意图。
图2所示实施例是异质云端平台认证与授权整合***,***管理者注册异质平台的操作流程图。
图3所示实施例是异质云端平台认证与授权整合***,消费者请求云端服务时,***元件互动图。
【符号说明】
10 异质云端平台认证与授权整合***
110 管理者仪表板
120 平台注册模块
130 数据库
140 通用权杖签发模块
150 权杖采集模块
160 API认证介接口
20 异质云端资源管理PaaS
30 异质云端平台
40 AD/LDAP
50 API闸道
A ***管理者
U 服务使用者
【具体实施方式】
[技术摘要]
本发明的的异质云端平台认证与授权整合***,与 API闸道通讯,验证使用者数据后,取得异质元端平台资讯,整合各个平台的认证资后,发行权杖(token),API闸道利用权杖,通过异质云端资源管理***,即可存取异质平台的服务。
基于上述,以下说明(1)权杖的签发机制,(2)异质平台存取服务的架构。
权杖的管理主要有权杖内容以及加解密。异质云端平台认证与授权整合***与异质云端资源PaaS须利用共同解密金钥,如此可共享权杖内容。权杖异质平台验证资讯以及对话设定资讯。本发明利用JSON Web Token认证作为签发通用权杖的机制,乘载所有介接***所需的的异质平台的认证资讯,同时降低服务依附关系。
异质平台存取服务的架构系利用异质平台通过异质云端资源PaaS及权杖(Token)资讯,取得认证授权资讯以及存取服务,无需利用Cookie,或利用服务内的对话(Session)记录认证资讯,使得服务无状态化,可用于大量扩展,易于实施高可用、负载平衡的架构。
[异质云端平台认证与授权整合***的实施例]
请参考图1,异质云端平台认证与授权整合***包含一管理者仪表板、一平台注册模块、一通用权杖签发模块、一API认证介接口、一权杖采集模块及一数据库。异质云端平台认证与授权整合***部署于防火墙内部。
管理者通常在内部网络,主要管理云服务的资源与设定。管理者可通过管理者仪表板设定异质服务的平台与认证资讯,设定异质平台的资讯会通过平台注册模块,记录在数据库内,供后续管理员或权杖采集模块查询。
一般使用者则位于互联网,主要存取云服务。依据权限,通过防火墙存取服务,通常是通过Web接口或API闸道与云服务互动,而API认证介接口,即在提供***与API闸道的桥接接口。
本发明的一实施例是以RESTful API实作API认证介接口,其利用通用权杖签发模块,通过权杖采集模块,从平台注册模块取得异质平台的资讯,取回权杖后,加密封装至一通用权杖的载荷(Payload)内,进行签发,而得到通用权杖。
通用权杖签发模块必须与异质云端资源管理PaaS 共用同一组金钥进行通用权杖的加解密,如虚线双向箭头指标x所标示,通过权杖存取异质云服务平台的服务。
平台注册模块需要记录后端异质云端平台认证资讯,如虚线单向箭头指标y所标示,通过平台注册模块可查询个别云端服务平台,用以保持异质云服务平台认证机制。
API认证介接口、异质云端资源管理PaaS以及所有异质云端平台串接同一AD/LDAP服务,使所有使用者的帐号密码能够统一,如虚线单向箭头指标z所标示。
图2所示实施例为图1所示异质云端平台认证与授权整合***的***管理员设定平台资讯时的操作流程,用以显示***元件互动的程序。
步骤1:***管理员通过管理者仪表板设定平台资讯,包含服务端点、存取权杖端点、权杖认证格式等资讯;
步骤2:管理者仪表板将更新的平台资讯传送给平台注册模块,平台注册模块与后端异质云端平台确认验证资讯如 BasicAuth、AD/LDAP等,完成注册,通常平台资讯将储存于数据库;
步骤3:确认平台资讯后,平台注册模块将验证结果回传给管理者仪表板;
步骤4:管理者仪表板将平台资讯呈现给前端***管理员。
图3所示实施例是图1的异质云端平台认证与授权整合***,使用者发出操作请求时的操作流程,***元件间的互动程序。
步骤1:使用者提供个人的帐号密码,例如但不限于通过API闸道,提出取得一个通用权杖的请求;
步骤2:API闸道将通用权杖的请求送往异质云端平台认证与授权整合***的API认证介接口,此时会将使用者的帐号密码与AD/LDAP进行认证的确认,失败会直接回报给使用者;
步骤3:通过API认证介接口的初步认证后,会将使用者通用权杖的请求传送给通用权杖签发模块,请求通用权杖签发模块签发一通用权杖;
步骤4:通用权杖签发模块,将通用权杖的签发请求传送给权杖采集模块,收集各个异质云端平台认证资讯;
步骤5:权杖采集模块呼叫平台注册模块,取得所有注册的平台资讯,包含服务端点、存取权杖端点、权杖认证格式等;
步骤6:平台注册模块将各个平台的认证资讯回传给权杖采集模块,并收集所有异质云端平台资讯,并将异质云端平台资讯连同权杖资讯记录在数据中;
步骤7:权杖采集模块依据异质云端平台认证资讯,利用平行处理的方式,当然亦可使用轮询方式,从各个异质云端平台取得使用者相对应的权杖;
步骤8:权杖采集模块收集所有异质云端平台的权杖后,连同服务端点、存取权杖端点、权杖认证格式等平台资讯,传送给通用权杖签发模块;
步骤9:通用权杖签发模块将使用者在所有异质云端平台的认证资讯以及平台资讯,利用其密钥加密,打包成通用权杖并设定有效期间,完成通用权杖的签发,回传给API认证介接口。本实施例将权杖打包成JSON Web Token的载荷。通用权杖的有效期间是所有权杖中最短时间者。
步骤10:API认证介接口将通用权杖回传给API闸道。
步骤11:服务使用者通过API闸道,取得他的通用权杖。
步骤12:在通用权杖的有效时间内,使用者可以通过此权杖,发送云端服务的请求给API闸道。
步骤13:API闸道将通用权杖发送给异质云端资源管理PaaS,请求服务;
步骤14:异质云端资源管理PaaS利用通用权杖签发模块的公钥解密通用权杖,读取通用权杖载荷内容的各个异质云端平台认证资讯,并发送给对应的异质云端平台,请求相对应的服务。
以上实施例是用以说明本发明技术操作流程,并非用以限制本发明的实施态样。凡采用通用权杖负载异质平台的权杖,通过异质平台PaaS***请求服务,降低服务间的依附关系,整合异质平台的服务,皆在本发明的范围内,而实际专利权范围应由申请专利范围加以定义。
Claims (7)
1.一种异质云端平台认证与授权整合***,其特征在于,该***包含:
一管理者仪表板用以提供一异质服务平台认证信息的管理接口;
一数据库用以储存该异质服务平台认证信息;
一平台注册模块用以存取该数据库的该异质服务平台认证信息;
一权杖采集模块,通过该平台注册模块,取得至少一异质云端平台权杖;
一通用权杖签发模块,通过该权杖采集模块,将该多个异质云端平台权杖进行加密封装至一通用权杖载荷(Payload)内进行签发;以及
一API认证介接口以表述性状态移转技术(RESTful)方式提供服务,于接收请求时,将一认证信息传送给与该通用权杖签发模块以及取回签发的该通用权杖载荷。
2.如权利要求1的异质云端平台认证与授权整合***,其特征在于,该管理者仪表板用以设定一服务组态信息,包含一服务端点、一权杖存取端点以及一权杖认证格式。
3.如权利要求2的异端云端平台认证与授权整合***,其特征在于,该服务组态信息更包含一认证方式,包含BasicAuth、OAuth以及LDAP/AD。
4.如权利要求3的异质云端平台认证与授权整合***,其特征在于,该API认证介接口更包含该认证者信息的认证功能,其连接一AD/LDAP服务器,用以认证该使用者。
5.如权利要求1的异质云端平台认证与授权整合***,其特征在于,该通用权杖载荷包含一认证状态信息以及一权杖逾期时间,其中,该认证状态信息包含一认证成功或一认证失败。
6.如权利要求5的异质云端平台认证与授权整合***,其特征在于,该平台注册模块更用以记录该认证状态信息,且该管理者仪表板用以呈现该异质服务平台的状态。
7.如权利要求5的异质云端平台认证与授权整合***,其特征在于,该通用权杖载荷的有效时间是由该权杖逾期时间的最短时间者。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910576296.4A CN112152977A (zh) | 2019-06-28 | 2019-06-28 | 异质云端平台认证与授权整合*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910576296.4A CN112152977A (zh) | 2019-06-28 | 2019-06-28 | 异质云端平台认证与授权整合*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112152977A true CN112152977A (zh) | 2020-12-29 |
Family
ID=73869452
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910576296.4A Pending CN112152977A (zh) | 2019-06-28 | 2019-06-28 | 异质云端平台认证与授权整合*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112152977A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115150105A (zh) * | 2022-09-01 | 2022-10-04 | 杭州悦数科技有限公司 | 一种分布式图数据库中的身份认证方法和*** |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104168333A (zh) * | 2014-09-01 | 2014-11-26 | 广东电网公司信息中心 | Proxzone服务平台的工作方法 |
| CN105577665A (zh) * | 2015-12-24 | 2016-05-11 | 西安电子科技大学 | 一种云环境下的身份和访问控制管理***及方法 |
| US9432379B1 (en) * | 2014-10-09 | 2016-08-30 | Emc Corporation | Dynamic authorization in a multi-tenancy environment via tenant policy profiles |
| CN107147496A (zh) * | 2017-04-28 | 2017-09-08 | 广东网金控股股份有限公司 | 一种面向服务技术框架下不同应用间统一授权认证的方法 |
-
2019
- 2019-06-28 CN CN201910576296.4A patent/CN112152977A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104168333A (zh) * | 2014-09-01 | 2014-11-26 | 广东电网公司信息中心 | Proxzone服务平台的工作方法 |
| US9432379B1 (en) * | 2014-10-09 | 2016-08-30 | Emc Corporation | Dynamic authorization in a multi-tenancy environment via tenant policy profiles |
| CN105577665A (zh) * | 2015-12-24 | 2016-05-11 | 西安电子科技大学 | 一种云环境下的身份和访问控制管理***及方法 |
| CN107147496A (zh) * | 2017-04-28 | 2017-09-08 | 广东网金控股股份有限公司 | 一种面向服务技术框架下不同应用间统一授权认证的方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115150105A (zh) * | 2022-09-01 | 2022-10-04 | 杭州悦数科技有限公司 | 一种分布式图数据库中的身份认证方法和*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5458888B2 (ja) | 証明書生成配布システム、証明書生成配布方法およびプログラム | |
| CN101399671B (zh) | 一种跨域认证方法及其*** | |
| CN101331731B (zh) | 由身份提供商对联盟内的客户进行定制认证的方法、装置和程序产品 | |
| RU2308755C2 (ru) | Система и способ предоставления доступа к защищенным услугам с однократным вводом пароля | |
| JP5820188B2 (ja) | サーバおよびその制御方法、並びにプログラム | |
| US7716469B2 (en) | Method and system for providing a circle of trust on a network | |
| KR101708587B1 (ko) | 양방향 권한 부여 시스템, 클라이언트 및 방법 | |
| JP6141076B2 (ja) | システムおよびその制御方法、アクセス管理サービスシステムおよびその制御方法、並びにプログラム | |
| JP2018205840A (ja) | システム、その方法およびそのプログラム | |
| CN102598010B (zh) | 用于访问私人数字内容的***和方法 | |
| JP6141041B2 (ja) | 情報処理装置及びプログラム、制御方法 | |
| JP7434516B2 (ja) | クラウドプリントサービスに対応した印刷装置および印刷装置の制御方法およびプログラム | |
| CN105049427B (zh) | 应用***登录账号的管理方法及装置 | |
| AU2004254771A1 (en) | User authentication system | |
| US20200412713A1 (en) | Authentication and authorization integration system in heterogeneous cloud platform | |
| CN105141580B (zh) | 一种基于ad域的资源访问控制方法 | |
| US8763151B2 (en) | Mediation processing method, mediation apparatus and system | |
| JPH05333775A (ja) | ユーザ認証システム | |
| EP3909221A1 (de) | Verfahren zum sicheren bereitstellen einer personalisierten elektronischen identität auf einem endgerät | |
| Rountree | Federated identity primer | |
| JP5177505B2 (ja) | シングルサインオンによるグループ内サービス認可方法と、その方法を用いたグループ内サービス提供システムと、それを構成する各サーバ | |
| CN112152977A (zh) | 异质云端平台认证与授权整合*** | |
| JP6041537B2 (ja) | システムおよび制御方法およびプログラム | |
| CN109313681A (zh) | 具有审计功能的虚拟智能卡 | |
| Lenz et al. | A Modular and Flexible Identity Management Architecture for National eID Solutions. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20201229 |
|
| WD01 | Invention patent application deemed withdrawn after publication |