本发明专利技术公开了一种基于标识的云服务轻量型身份认证方法,其包括以下步骤:注册所述授权管理服务的身份信息,根据所述身份信息生成身份标识;基于所述身份标识,所述授权管理服务向所述第一云服务认证代理和所述认证后端请求获取身份令牌;所述授权管理服务携带所述身份令牌请求访问所述用户管理服务,所述用户管理服务通过所述第二云服务认证代理对所述身份指令信息进行认证,并将认证结果返回所述用户管理服务,所述用户管理服务根据认证结果对所述授权管理服务的访问请求进行响应。本发明专利技术基于云服务的身份标识,云服务的提供方能够方便高效地对云服务的请求方进行身份认证,具有身份内容轻量化、认证协议轻量化的优点。认证协议轻量化的优点。认证协议轻量化的优点。
【技术实现步骤摘要】
一种基于标识的云服务轻量型身份认证方法
[0001]本专利技术涉及数据安全
,特别是一种基于标识的云服务轻量型身份认证方法。
技术介绍
[0002]随着云服务的大规模应用,在其趋于应用普遍化、结构复杂化的同时,也带来了各种安全性问题,如何防范云服务面临的各类安全威胁,已成为相关行业关注的焦点。身份认证作为解决网络安全问题的必要环节,在云服务的应用场景得到广泛使用,在人访问云服务过程中,针对人的身份认证过程有大量的研究,却少有提及在云服务访问云服务过程中,如何实现对云服务自身的身份认证。
[0003]在公有云场景下,云服务之间存在相互访问的情况。当一个云服务作为请求方,向另一个云服务发起访问请求时,被访问的云服务作为提供方,需要对请求方云服务的身份进行验证,保证不被伪装的、非法的请求方获取有价值的信息。而云服务之间的交互又非常频繁,传统的身份认证机制直接移植到云服务中会极大的降低交互效率,影响正常业务开展。
[0004]因此,需要设计一种轻量高效的云服务身份认证方法,一方面解决云服务之间的访问安全问题,另一方面不对现有业务产生大的影响。
技术实现思路
[0005]鉴于此,本专利技术提供一种基于标识的云服务轻量型身份认证方法,能够方便高效地对云服务的请求方进行身份认证,具有身份内容轻量化、认证协议轻量化。
[0006]本专利技术公开了一种基于标识的云服务轻量型身份认证方法,所述方法应用于第一云虚拟机、第二云虚拟机和认证后端上,所述第一云虚拟机存储有授权管理服务和第一云服务认证代理,所述第二云虚拟机存储有用户管理服务和第二云服务认证代理;
[0007]所述方法包括以下步骤:
[0008]注册所述授权管理服务的身份信息,根据所述身份信息生成身份标识;
[0009]基于所述身份标识,所述授权管理服务向所述第一云服务认证代理和所述认证后端请求获取身份令牌;
[0010]所述授权管理服务携带所述身份令牌请求访问所述用户管理服务,所述用户管理服务通过所述第二云服务认证代理对所述身份指令信息进行认证,并将认证结果返回所述用户管理服务,所述用户管理服务根据认证结果对所述授权管理服务的访问请求进行响应。
[0011]进一步地,所述注册所述授权管理服务的身份信息,根据所述身份信息生成身份标识,包括:
[0012]在所述第一云服务认证代理的界面上填写所述授权管理服务的基本信息;同时获取授权管理服务的上下文信息;其中,所述授权管理服务的基本信息包括IP地址、端口号和
运行路径;所述授权管理服务的上下文信息包括服务器硬件特征、云平台ID和虚拟机ID;
[0013]所述第一云服务认证代理向认证后端注册所述授权管理服务的身份信息;
[0014]所述认证后端根据所述身份信息生成并保存身份标识。
[0015]进一步地,所述身份标识记为SID,其包含身份信息的哈希值以及固定标识;采用如下公式生成SID:
[0016]SID=S+Hash(IBS||ITX)
[0017]其中,S表示固定标识,可自行定义,用于标识类别区分,IBS表示授权管理服务的基本信息,ITX表示授权管理服务的上下文信息。
[0018]进一步地,所述基于所述身份标识,所述授权管理服务向所述第一云服务认证代理和所述认证后端请求获取身份令牌,包括:
[0019]授权管理服务根据身份令牌的状态,确定是否向所述第一云服务认证代理请求获取身份令牌;
[0020]若需要向所述第一云服务认证代理请求获取身份令牌,则所述第一云服务认证代理请求获取请求的参数后,通过验证签名确认请求方的服务信息是否被伪造篡改;
[0021]在未被伪造篡改的情况下,被认证后端根据IBS和ITX查询授权管理服务是否进行注册;
[0022]在授权管理服务已注册的情况下,所述第一云服务认证代理将返回的所述身份令牌转发给所述授权管理服务,所述授权管理服务更新原有的身份令牌,或者是直接保存返回的所述身份令牌。
[0023]进一步地,所述授权管理服务根据身份令牌的状态,确定是否向所述第一云服务认证代理请求获取身份令牌,包括:
[0024]所述授权管理服务检查是否缓存了所述身份令牌且在有效期内;若是,则无需获取,否则向所述第一云服务认证代理请求获取身份令牌;其中,请求获取身份令牌的参数包括所述授权管理服务的基本信息IBS、IBS的签名信息SBS以及身份证书。
[0025]进一步地,所述第一云服务认证代理请求获取请求的参数后,通过验证签名确认请求方的服务信息是否被伪造篡改,包括:
[0026]若被伪造篡改,则向所述第一云服务认证代理响应获取身份令牌失败;
[0027]若未被伪造篡改,调用云管理平台接口获取云服务上下文信息ITX,与基本信息IBS合并为授权管理服务的身份信息,将身份信息作为参数,向所述认证后端发起获取身份令牌的请求。
[0028]进一步地,所述被认证后端根据IBS和ITX查询授权管理服务是否进行注册,包括:
[0029]若已注册,则获取所述授权管理服务的SID后生成身份令牌,并将身份令牌返回所述第一云服务认证代理;
[0030]若未注册,则向所述第一云服务认证代理返回获取失败;其中,所述身份令牌包括SID、截止有效期TAS以及认证后端对SID和截止有效期TAS进行签名后的签名值。
[0031]进一步地,所述授权管理服务携带所述身份令牌请求访问所述用户管理服务,所述用户管理服务通过所述第二云服务认证代理对所述身份指令信息进行认证,并将认证结果返回所述用户管理服务,所述用户管理服务根据认证结果对所述授权管理服务的访问请求进行响应,包括:
[0032]所述授权管理服务调用所述用户管理服务的用户身份信息获取接口,所述用户身份信息获取接口的参数包括身份令牌;
[0033]所述用户管理服务从所述用户身份信息获取接口的参数中解析出身份令牌后,以所述身份令牌作为请求参数,调用所述第二云服务认证代理的身份认证接口;
[0034]若所述第二云服务认证代理检查本地存储的身份令牌列表不存在所述身份令牌,则以所述身份令牌作为请求参数,调用所述认证后端的身份认证接口;
[0035]所述认证后端首先验证所述身份令牌的签名值,若验证通过,则继续查验身份标识是否仍在注册列表中;
[0036]若在注册列表中,则向第二云服务认证代理返回认证成功,继而向所述用户管理服务返回认证成功。
[0037]进一步地,若所述第二云服务认证代理检查本地存储的身份令牌列表存在所述身份令牌,则向所述用户管理服务返回认证成功。
[0038]进一步地,若所述身份令牌的签名值验证不通过,或者是,若所述身份标识不在注册列表中,则向所述第二云服务认证代理返回认证失败,继而向所述用户管理服务返回认证失败。
[0039]由于采用了上述技术方案,本专利技术具有如下的优点:
[0040]1、本专利提出了一种面向云服务的身份认证方法本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于标识的云服务轻量型身份认证方法,其特征在于,所述方法应用于第一云虚拟机、第二云虚拟机和认证后端上,所述第一云虚拟机存储有授权管理服务和第一云服务认证代理,所述第二云虚拟机存储有用户管理服务和第二云服务认证代理;所述方法包括以下步骤:注册所述授权管理服务的身份信息,根据所述身份信息生成身份标识;基于所述身份标识,所述授权管理服务向所述第一云服务认证代理和所述认证后端请求获取身份令牌;所述授权管理服务携带所述身份令牌请求访问所述用户管理服务,所述用户管理服务通过所述第二云服务认证代理对所述身份指令信息进行认证,并将认证结果返回所述用户管理服务,所述用户管理服务根据认证结果对所述授权管理服务的访问请求进行响应。2.根据权利要求1所述的方法,其特征在于,所述注册所述授权管理服务的身份信息,根据所述身份信息生成身份标识,包括:在所述第一云服务认证代理的界面上填写所述授权管理服务的基本信息;同时获取授权管理服务的上下文信息;其中,所述授权管理服务的基本信息包括IP地址、端口号和运行路径;所述授权管理服务的上下文信息包括服务器硬件特征、云平台ID和虚拟机ID;所述第一云服务认证代理向认证后端注册所述授权管理服务的身份信息;所述认证后端根据所述身份信息生成并保存身份标识。3.根据权利要求2所述的方法,其特征在于,所述身份标识记为SID,其包含身份信息的哈希值以及固定标识;采用如下公式生成SID:SID=S+Hash(IBS||ITX)其中,S表示固定标识,可自行定义,用于标识类别区分,IBS表示授权管理服务的基本信息,ITX表示授权管理服务的上下文信息。4.根据权利要求1所述的方法,其特征在于,所述基于所述身份标识,所述授权管理服务向所述第一云服务认证代理和所述认证后端请求获取身份令牌,包括:授权管理服务根据身份令牌的状态,确定是否向所述第一云服务认证代理请求获取身份令牌;若需要向所述第一云服务认证代理请求获取身份令牌,则所述第一云服务认证代理请求获取请求的参数后,通过验证签名确认请求方的服务信息是否被伪造篡改;在未被伪造篡改的情况下,被认证后端根据IBS和ITX查询授权管理服务是否进行注册;在授权管理服务已注册的情况下,所述第一云服务认证代理将返回的所述身份令牌转发给所述授权管理服务,所述授权管理服务更新原有的身份令牌,或者是直接保存返回的所述身份令牌。5.根据权利要求4所述的方法,其特征在于,所述授权管理服务根据身份令牌的状态,确定是否向所述第一云服务认证代理请求获取身份令牌,包括:所述授权管理...
【专利技术属性】
技术研发人员:陈佳,余双波,李小花,薛艳珠,周吉,张春杨,
申请(专利权)人:中国电子科技集团公司第三十研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。