证书的分布式验证制造技术

描述了用于证书的分布式验证的系统、方法和计算机程序产品。在接收到用户的执行动作的请求时，系统执行多分部认证，其中，在每个分部仅传递一部分认证信息。在第一阶段，该系统的应用管理器接收指定部分访问权的第一令牌。在第二阶段，该系统的云控制器独立于该第一令牌请求并接收用户的特权。呈现具有令牌的API，该令牌仅包含该API所需的权限，同时在不必提升用户特权的情况下仍然允许云控制器许可的验证。

Distributed Verification of Certificates

【技术实现步骤摘要】
【国外来华专利技术】证书的分布式验证
本公开涉及云计算环境中的认证技术。
技术介绍
在常规的云计算环境中，许可模型有时在多方之间有所划分。例如，许可模型的一部分可以由管理用户账户的系统来实施，例如用户账户认证(UAA)服务器；而该许可模型的另一部分则可以在管理空间和用户角色的系统中实施，例如云控制器。在这样的实施方式中，应用——例如在云计算环境中运行并且利用OAuth确保安全的应用——的邻近API可能需要UAA发出具有针对该应用自身行为的OAuth权限以及将使得该应用能够调解云控制器许可的权限的令牌。可能并不期望看到针对应用自身行为的权限以及用于调解云控制器许可的权限的混杂。
技术实现思路
该说明书描述用于证书的分布式验证的技术。在接收到用户的执行动作的请求时，系统执行多分部认证，其中在每个分部仅传递一部分认证信息。在第一阶段，该系统的应用管理器接收指定部分访问权的去特权令牌。在第二阶段，该系统的云控制器独立于该去特权令牌并且通过安全加密信道请求并接收用户的特权。因此，该技术确保呈现具有仅包含应用程序所需权限的令牌的应用程序的应用编程接口(API)，同时在不必提升用户特权的情况下仍然允许云控制器许可的验证。在常规技术中，当多于一个的组件需要认证时，划分许可模型要求对多个分部所需的许可进行联合，每个组件一个分部。该说明书公开如何在不提升任一个验证方的特权的情况下分布许可的验证。该说明书中所描述的主题可以以各种实施例来实施从而实现以下一种或多种优势。所公开的技术通过提供更加安全的认证系统而使得常规认证系统有所改进，其中系统特权并不需要伴随认证令牌。系统的敏感组件，例如云控制器，可以单独地认证用户动作，防止访问敏感组件的特权与应用层级的认证发生混合。避免了常规系统中针对应用自身行为的权限与用于调解云控制器许可的权限的混杂。该说明书中所描述的主题的一种或多种实施方式的细节在附图和以下描述中给出。该主题的其它特征、方面和优势将从描述、附图和权利要求而变得显而易见。附图说明图1是图示证书的分布式验证的示例技术的框图。图2是图示证书的分布式验证的示例过程的流程图。各附图中同样的附图标记和指定名称指示同样的元素。具体实施方式图1是图示证书的分布式验证的示例技术的框图。分布式计算系统100实施证书的分布式验证。分布式计算系统100提供基于云的计算环境并且包括多个组件，这在下文进行描述。分布式计算系统100的每个组件可以在均包括一个或多个计算机处理器的一个或多个计算机上实施。分布式计算系统100的示例是PivotalCloudFoundry(PCF)设施。分布式计算系统100包括应用管理器102。应用管理器102可以包括用于管理组织、空间、应用、服务和用户的基于Web的工具、命令行工具或批处理工具。应用管理器102例如可以是PivotalAppsManager组件。应用管理器102接收第一请求104。该第一请求104指定用户、应用以及要由该用户在该应用上执行的动作。例如，第一请求104可以包括用户名、应用标识符以及动作的表示。该动作例如可以是修改应用、查看应用的环境变量等。响应于该第一请求104，应用管理器102向用户认证模块108提交第二请求106。该第二请求106是针对部分认证的请求，并且包括如第一请求104中指定的用户名、应用名称或动作中的至少一个。用户认证模块108是分布式计算系统100中被配置为向分布式计算系统100提供身份管理服务的组件。用户认证模块108可以执行令牌提供方的角色，例如，如互联网工程任务组(IETF)征求意见书(RFC)6749所发布的OAuth2.0认证框架中所规定的OAuth2提供方。用户认证模块108可以发出令牌以供客户端应用在它们代表系统用户操作时使用。用户认证模块108的示例是PivotalUAAServer模块。在接收到请求106时，用户认证模块108发出去特权令牌110。该去特权令牌110是指示用户的部分和不完整权限的令牌。例如，在去特权令牌110中，对系统操作的一些访问权可以不被表示。去特权令牌110可以是符合OAuth2.0框架或者用于认证的其它框架的令牌。应用管理器102接收作为对第二请求106的响应的去特权令牌110。响应于接收到去特权令牌110，应用管理器102向应用框架114提供用户认证信息112。该用户认证信息112可以包括用户名、应用标识符、动作或去特权令牌110中的一个或多个。应用框架114是用于构建Web应用的框架。应用框架114例如被配置为处理依赖性注入、处理事务以及实施模型视图控制器架构。应用框架114的示例是PivotalSpringBoot。应用框架114在接收到用户认证信息112时可以向云控制器118提交第三请求116。该第三请求116可以包括如在用户认证信息112中提供的用户名、应用标识符、动作和去特权令牌110中的一个或多个。第三请求116使得云控制器118在应用管理器102和用户认证模块108之间执行独立于第一认证操作的第二认证。云控制器118是系统100中被配置为指导应用在系统100上的部署的组件。云控制器118还被配置为向客户端设备提供RESTAPI端点以访问系统100。云控制器118可以维护具有组织、空间、服务和用户角色等的记录的数据库。响应于接收到第三请求116，云控制器118提交用于增强令牌的第四请求120。用于增强令牌的第四请求120可以包括用户名、应用标识符、动作或去特权令牌110中的至少一个。第四请求120可以包括确认云控制器118的身份的认证信息。云控制器118可以将用于增强令牌的第四请求120提交至用户认证模块108。云控制器118优选地通过安全且加密的通信信道与用户认证模块108进行通信。通过该安全且加密的信道，云控制器118接收与去特权令牌110相关联的特权122。该特权122是用户认证模块108所执行的第二认证操作的结果。特权122可以包括有关特定用户是否具有针对特定应用、特定部署或者针对特定云控制器操作执行特定动作的特权的信息。特权122可以包括针对云控制器118的系统操作的特权。在接收到特权122时，云控制器118向应用框架114给出响应124作为对请求116的回复。云控制器118可以通过安全且加密的通信信道与应用框架114进行通信。该响应可以包括与去特权令牌110相关联的特权122。应用框架114可以包括用于发送请求116以及接收响应124的云控制器接口126。云控制器接口126确保去特权令牌110和响应124中的特权之间的隔离。应用框架114可以包括决策模块128。该决策模块128是应用框架114中基于请求104中指定的用户名、应用和规范以及由云控制器118在响应124中提供的特权122作出决策的组件。例如，决策模块128可以在用户名、应用和规范以及特权之间执行比较。然后，决策模块128可以将决策130提供至应用框架114或另一个模块。例如，在一些实施方式中，决策130可以向应用框架114指示是否提供所请求的信息以便在应用管理器102的Web界面中显示。图2是图示证书的分布式验证的示例过程200的流程图。过程200可以由分布式计算系统执行，例如参考图1讨论的分布式计算系统100。如下文所描述的系统的每个组件均可以在包括一本文档来自技高网...

【技术保护点】
1.一种方法，包括：由分布式计算系统的应用管理器向所述分布式计算系统的用户认证模块提供对用户进行认证的请求；由所述应用管理器从所述用户认证模块接收认证所述用户的去特权令牌，其中，所述去特权令牌包括与所述用户相关联的部分访问权；由所述应用管理器向所述分布式计算系统的应用框架提供所述用户、应用、动作和所述去特权令牌；由所述应用框架向所述分布式计算系统的云控制器提供所述去特权令牌；由所述云控制器向所述用户认证模块提交增强所述去特权令牌的请求；由所述云控制器从所述用户认证模块接收有关并未在所述去特权令牌中表示的与所述用户相关联的一种或多种特权的信息；以及由所述云控制器向所述应用框架提供有关一种或多种相关联特权的信息。

【技术特征摘要】
【国外来华专利技术】2016.12.14 US 62/434,3251.一种方法，包括：由分布式计算系统的应用管理器向所述分布式计算系统的用户认证模块提供对用户进行认证的请求；由所述应用管理器从所述用户认证模块接收认证所述用户的去特权令牌，其中，所述去特权令牌包括与所述用户相关联的部分访问权；由所述应用管理器向所述分布式计算系统的应用框架提供所述用户、应用、动作和所述去特权令牌；由所述应用框架向所述分布式计算系统的云控制器提供所述去特权令牌；由所述云控制器向所述用户认证模块提交增强所述去特权令牌的请求；由所述云控制器从所述用户认证模块接收有关并未在所述去特权令牌中表示的与所述用户相关联的一种或多种特权的信息；以及由所述云控制器向所述应用框架提供有关一种或多种相关联特权的信息。2.根据权利要求1所述的方法，其中，提供对用户进行认证的请求响应于由所述应用管理器接收到指定所述用户、所述应用、以及要由所述用户对所述应用执行的动作的请求而发生。3.根据权利要求1所述的方法，包括：由所述应用框架基于所述动作和与所述用户相关联的所述一种或多种特权之间的比较来确定是否允许所述用户对所述应用执行所述动作。4.根据权利要求1所述的方法，其中：所述用户认证模块包括所述分布式计算系统的用户账户和认证(UAA)服务器；并且所述动作包括查看健康、查看应用特定信息、查看环境变量、查看存储器内容、查看线程诊断、查看应用特定量度、以及查看或修改应用的配置中的至少一种。5.根据权利要求1所述的方法，其中，由所述云控制器向所述应用框架提供：所述一种或多种相关联特权通过加密信道来执行，并且其中，所述一种或多种相关联特权并不伴随所述去特权令牌。6.根据权利要求1所述的方法，包括：在确定允许所述用户执行所述动作时，在输出设备上呈现所述动作的结果。7.根据权利要求1所述的方法，其中，在所述应用管理器、所述应用框架和所述云控制器中的每一个上，所述特权和所述去特权令牌被分别地编码。8.一种非暂时性计算机可读存储介质，所述非暂时性计算机可读存储介质存储能够由数据处理装置执行并且在这样执行时使得所述数据处理装置执行操作的指令，所述操作包括：由分布式计算系统的应用管理器向所述分布式计算系统的用户认证模块提供对用户进行认证的请求；由所述应用管理器从所述用户认证模块接收认证所述用户的去特权令牌，其中，所述去特权令牌包括与所述用户相关联的部分访问权；由所述应用管理器向所述分布式计算系统的应用框架提供所述用户、应用、动作和所述去特权令牌；由所述应用框架向所述分布式计算系统的云控制器提供所述去特权令牌；由所述云控制器向所述用户认证模块提交增强所述去特权令牌的请求；由所述云控制器从所述用户认证模块接收有关并未在所述去特权令牌中表示的与所述用户相关联的一种或多种特权的信息；以及由所述云控制器向所述应用框架提供有关一种或多种相关联特权的信息。9.根据权利要求8所述的非暂时性计算机可读存储介质，其中，提供对所述用户进行认证的请求响应于由所述应用管理器接收到指定所述用户、所述应用、以及要由所述用户对所述应用执行的动作的请求而发生。10.根...

【专利技术属性】
技术研发人员：约瑟夫·本杰明·黑尔，斯雷·莱卡·图姆迪，
申请(专利权)人：皮沃塔尔软件公司，
类型：发明
国别省市：美国,US