【技术实现步骤摘要】
【国外来华专利技术】证书的分布式验证
本公开涉及云计算环境中的认证技术。
技术介绍
在常规的云计算环境中,许可模型有时在多方之间有所划分。例如,许可模型的一部分可以由管理用户账户的系统来实施,例如用户账户认证(UAA)服务器;而该许可模型的另一部分则可以在管理空间和用户角色的系统中实施,例如云控制器。在这样的实施方式中,应用——例如在云计算环境中运行并且利用OAuth确保安全的应用——的邻近API可能需要UAA发出具有针对该应用自身行为的OAuth权限以及将使得该应用能够调解云控制器许可的权限的令牌。可能并不期望看到针对应用自身行为的权限以及用于调解云控制器许可的权限的混杂。
技术实现思路
该说明书描述用于证书的分布式验证的技术。在接收到用户的执行动作的请求时,系统执行多分部认证,其中在每个分部仅传递一部分认证信息。在第一阶段,该系统的应用管理器接收指定部分访问权的去特权令牌。在第二阶段,该系统的云控制器独立于该去特权令牌并且通过安全加密信道请求并接收用户的特权。因此,该技术确保呈现具有仅包含应用程序所需权限的令牌的应用程序的应用编程接口(API),同时在不必提升用户特权的情况下仍然允许云控制器许可的验证。在常规技术中,当多于一个的组件需要认证时,划分许可模型要求对多个分部所需的许可进行联合,每个组件一个分部。该说明书公开如何在不提升任一个验证方的特权的情况下分布许可的验证。该说明书中所描述的主题可以以各种实施例来实施从而实现以下一种或多种优势。所公开的技术通过提供更加安全的认证系统而使得常规认证系统有所改进,其中系统特权并不需要伴随认证令牌。系统的敏感组件,例如云控制器,可以单 ...
【技术保护点】
1.一种方法,包括:由分布式计算系统的应用管理器向所述分布式计算系统的用户认证模块提供对用户进行认证的请求;由所述应用管理器从所述用户认证模块接收认证所述用户的去特权令牌,其中,所述去特权令牌包括与所述用户相关联的部分访问权;由所述应用管理器向所述分布式计算系统的应用框架提供所述用户、应用、动作和所述去特权令牌;由所述应用框架向所述分布式计算系统的云控制器提供所述去特权令牌;由所述云控制器向所述用户认证模块提交增强所述去特权令牌的请求;由所述云控制器从所述用户认证模块接收有关并未在所述去特权令牌中表示的与所述用户相关联的一种或多种特权的信息;以及由所述云控制器向所述应用框架提供有关一种或多种相关联特权的信息。
【技术特征摘要】
【国外来华专利技术】2016.12.14 US 62/434,3251.一种方法,包括:由分布式计算系统的应用管理器向所述分布式计算系统的用户认证模块提供对用户进行认证的请求;由所述应用管理器从所述用户认证模块接收认证所述用户的去特权令牌,其中,所述去特权令牌包括与所述用户相关联的部分访问权;由所述应用管理器向所述分布式计算系统的应用框架提供所述用户、应用、动作和所述去特权令牌;由所述应用框架向所述分布式计算系统的云控制器提供所述去特权令牌;由所述云控制器向所述用户认证模块提交增强所述去特权令牌的请求;由所述云控制器从所述用户认证模块接收有关并未在所述去特权令牌中表示的与所述用户相关联的一种或多种特权的信息;以及由所述云控制器向所述应用框架提供有关一种或多种相关联特权的信息。2.根据权利要求1所述的方法,其中,提供对用户进行认证的请求响应于由所述应用管理器接收到指定所述用户、所述应用、以及要由所述用户对所述应用执行的动作的请求而发生。3.根据权利要求1所述的方法,包括:由所述应用框架基于所述动作和与所述用户相关联的所述一种或多种特权之间的比较来确定是否允许所述用户对所述应用执行所述动作。4.根据权利要求1所述的方法,其中:所述用户认证模块包括所述分布式计算系统的用户账户和认证(UAA)服务器;并且所述动作包括查看健康、查看应用特定信息、查看环境变量、查看存储器内容、查看线程诊断、查看应用特定量度、以及查看或修改应用的配置中的至少一种。5.根据权利要求1所述的方法,其中,由所述云控制器向所述应用框架提供:所述一种或多种相关联特权通过加密信道来执行,并且其中,所述一种或多种相关联特权并不伴随所述去特权令牌。6.根据权利要求1所述的方法,包括:在确定允许所述用户执行所述动作时,在输出设备上呈现所述动作的结果。7.根据权利要求1所述的方法,其中,在所述应用管理器、所述应用框架和所述云控制器中的每一个上,所述特权和所述去特权令牌被分别地编码。8.一种非暂时性计算机可读存储介质,所述非暂时性计算机可读存储介质存储能够由数据处理装置执行并且在这样执行时使得所述数据处理装置执行操作的指令,所述操作包括:由分布式计算系统的应用管理器向所述分布式计算系统的用户认证模块提供对用户进行认证的请求;由所述应用管理器从所述用户认证模块接收认证所述用户的去特权令牌,其中,所述去特权令牌包括与所述用户相关联的部分访问权;由所述应用管理器向所述分布式计算系统的应用框架提供所述用户、应用、动作和所述去特权令牌;由所述应用框架向所述分布式计算系统的云控制器提供所述去特权令牌;由所述云控制器向所述用户认证模块提交增强所述去特权令牌的请求;由所述云控制器从所述用户认证模块接收有关并未在所述去特权令牌中表示的与所述用户相关联的一种或多种特权的信息;以及由所述云控制器向所述应用框架提供有关一种或多种相关联特权的信息。9.根据权利要求8所述的非暂时性计算机可读存储介质,其中,提供对所述用户进行认证的请求响应于由所述应用管理器接收到指定所述用户、所述应用、以及要由所述用户对所述应用执行的动作的请求而发生。10.根...
【专利技术属性】
技术研发人员:约瑟夫·本杰明·黑尔,斯雷·莱卡·图姆迪,
申请(专利权)人:皮沃塔尔软件公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。