本发明专利技术公开了一种PaaS平台上的身份认证设备,所述身份认证设备用于对准备访问所述PaaS平台上的应用的用户进行身份认证,所述身份认证设备包括:密钥分发中心,用于根据PaaS平台上的应用的开发者所制定的访问策略对用户进行认证并分发票据,其中,所述密钥分发中心包括鉴别服务器,所述鉴别服务器配置成接收来自所述用户的验证请求;确定所述用户的身份所属的协议;根据所述协议来确定所述用户的验证方式以及在验证成功后向所述用户发送第一许可票据。本发明专利技术还公开了一种基于PaaS平台的身份认证方法。
【技术实现步骤摘要】
【专利摘要】本专利技术公开了一种PaaS平台上的身份认证设备,所述身份认证设备用于对准备访问所述PaaS平台上的应用的用户进行身份认证,所述身份认证设备包括:密钥分发中心,用于根据PaaS平台上的应用的开发者所制定的访问策略对用户进行认证并分发票据,其中,所述密钥分发中心包括鉴别服务器,所述鉴别服务器配置成接收来自所述用户的验证请求;确定所述用户的身份所属的协议;根据所述协议来确定所述用户的验证方式以及在验证成功后向所述用户发送第一许可票据。本专利技术还公开了一种基于PaaS平台的身份认证方法。【专利说明】基于PaaS平台的身份认证方法以及身份认证设备
本专利技术涉及云计算安全领域,特别涉及一种基于PaaS平台的身份认证方法以及 身份认证设备。
技术介绍
PaaS是Platform-as-a-Service的缩写,意思是平台即服务,把服务器平台作 为一种服务提供的模式。通过网络进行程序提供的服务称之为SaaS(S 〇ftware as a Service),而云计算时代相应的服务器平台或者开发环境作为服务进行提供就成为了 PaaS〇 开发者在利用PaaS进行开发、部署其应用时,往往希望调用PaaS来提供接口, 以便对用户进行身份认证,即提供类似IPMaaS(Identity and Policy Management as a Service)服务。但是,PaaS提供的认证服务的现状却不尽如人意。对于PaaS服务提供商 而言,其提供的认证服务目前还不能同时兼容用户的多种身份,例如本地身份(即在PaaS 平台上注册的身份)以及OpenID身份。除此之外,还存在着用户需多次进行认证,同一开发 者的不同应用之间认证协同度不够的问题。
技术实现思路
为解决上述问题,根据本专利技术的一个方面,提供了一种基于PaaS平台的身份认证 方法,包括:接收来自使用所述PaaS平台的用户的验证请求;确定所述用户的身份所属的 协议;以及根据所述协议来确定所述用户的验证方式。 上述身份认证方法还可包括:在验证成功后向所述用户发送第一许可票据。 上述身份认证方法还可包括:从所述用户接收针对PaaS平台中的第一应用的票 据请求,所述票据请求中包含所述第一许可票据;向所述用户发送针对所述第一应用的第 二许可票据,使得所述用户凭借此第二许可票据可获得所述第一应用的服务;从所述用户 接收针对PaaS平台中的第二应用的票据请求,所述票据请求中包含所述第一许可票据;以 及向所述用户发送针对所述第二应用的第三许可票据,使得所述用户凭借此第三许可票据 可获得所述第二应用的服务。 在上述身份认证方法中,所述第一许可票据为票据许可票据TGT,所述第二许可票 据和所述第三许可票据为服务许可票据。 在上述身份认证方法中,所述用户的身份所属的协议可以是Kerb ero s协议或 OpenID 协议。 在上述身份认证方法中,当确定所述用户的身份所属的协议是OpenID协议时, PaaS平台中的鉴别服务器、OpenID提供商以及所述用户三方依据OpenID的协议标准进行 认证。 在上述身份认证方法中,所述用户和所述鉴别服务器利用Diffie-Hellman算法 来计算共享的密钥。 根据本专利技术的另一个方面,提供了一种PaaS平台上的身份认证设备,所述身份认 证设备用于对准备访问所述PaaS平台上的应用的用户进行身份认证,所述身份认证设备 包括:密钥分发中心,用于根据PaaS平台上的应用的开发者所制定的访问策略对用户进行 认证并分发票据,其中,所述密钥分发中心包括鉴别服务器,所述鉴别服务器配置成接收来 自所述用户的验证请求;确定所述用户的身份所属的协议;根据所述协议来确定所述用户 的验证方式以及在验证成功后向所述用户发送第一许可票据。 在上述身份认证设备中,所述密钥分发中心还包括:票据许可服务器,所述票据许 可服务器配置成从所述用户接收针对PaaS平台中的第一应用的票据请求,所述票据请求 中包含所述第一许可票据;向所述用户发送针对所述第一应用的第二许可票据,使得所述 用户凭借此第二许可票据可获得所述第一应用的服务。所述票据许可服务器可进一步配置 成从所述用户接收针对PaaS平台中的第二应用的票据请求,所述票据请求中包含所述第 一许可票据;以及向所述用户发送针对所述第二应用的第三许可票据,使得所述用户凭借 此第三许可票据可获得所述第二应用的服务。 在上述身份认证设备中,所述第一许可票据为票据许可票据TGT,所述第二许可票 据和所述第三许可票据为服务许可票据。 在上述身份认证设备中,所述用户的身份所属的协议可以是Kerberos协议或 OpenID 协议。 在上述身份认证设备中,当所述鉴别服务器确定所述用户的身份所属的协议是 OpenID协议时,所述鉴别服务器、OpenID提供商以及所述用户三方依据OpenID的协议标准 进行认证。 在上述身份认证设备中,所述用户和所述鉴别服务器利用Diffie-Hellman算法 来计算共享的密钥。 上述基于PaaS平台的身份认证方法和身份认证设备使PaaS服务提供商为其上的 应用程序提供高效灵活的身份认证服务。该身份认证方法和设备能低代价地满足同一开发 者开发多个相对独立的、但却又相同/相近身份认证的需求。并且,该身份认证方法和设备 可兼容本地身份以及代表联合身份认证趋势的OpenID身份,并有很好的扩展性以兼容更 多类别的身份。整个认证过程可达到Kerberos协议相似的低认证次数效果。 【专利附图】【附图说明】 在参照附图阅读了本专利技术的【具体实施方式】以后,本领域技术人员将会更清楚地了 解本专利技术的各个方面。本领域技术人员应当理解的是:这些附图仅仅用于配合具体实施方 式说明本专利技术的技术方案,而并非意在对本专利技术的保护范围构成限制。 图1是根据本专利技术的一个实施例的身份认证服务模型的示意图; 图2是根据本专利技术的一个实施例、基于PaaS平台的身份认证方法的示意图。 【具体实施方式】 下面介绍的是本专利技术的多个可能实施例中的一些,旨在提供对本专利技术的基本了 解,并不旨在确认本专利技术的关键或决定性的要素或限定所要保护的范围。容易理解,根据本 专利技术的技术方案,在不变更本专利技术的实质精神下,本领域的一般技术人员可以提出可相互 替换的其它实现方式。因此,以下【具体实施方式】以及附图仅是对本专利技术的技术方案的示例 性说明,而不应当视为本专利技术的全部或者视为对本专利技术技术方案的限定或限制。 对于PaaS而言,只支持本地身份的PaaS会在其业务拓展上遇到瓶颈。让用户省 去注册的步骤并直接兼容用户已有身份是未来互联网发展的趋势,其中最有代表性的联合 身份认证协议便是OpenID。例如,登录一个支持OpenID的网站非常简单,只需要输入预先 注册的OpenID用户名,然后登录的网站会跳转到OpenID服务网站。在OpenID服务网站内 输入密码(或者其他需要填写的信息)验证通过后,跳转回登录的网站并且这时已经成功登 录。OpenID可应用于所有需要身份验证的地方,既可以应用于单点登录系统,也可以用于共 享敏感数据时的身份认证。因而兼容本地身份以及OpenID本文档来自技高网...
【技术保护点】
一种基于PaaS平台的身份认证方法,包括:接收来自使用所述PaaS平台的用户的验证请求;确定所述用户的身份所属的协议;以及根据所述协议来确定所述用户的验证方式。
【技术特征摘要】
【专利技术属性】
技术研发人员:柴洪峰,吴承荣,何朔,叶家炜,杨阳,王国平,
申请(专利权)人:中国银联股份有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。