基于PaaS平臺的身份認證方法以及身份認證設(shè)備的制作方法
【專利摘要】本發(fā)明公開了一種PaaS平臺上的身份認證設(shè)備，所述身份認證設(shè)備用于對準備訪問所述PaaS平臺上的應(yīng)用的用戶進行身份認證，所述身份認證設(shè)備包括：密鑰分發(fā)中心，用于根據(jù)PaaS平臺上的應(yīng)用的開發(fā)者所制定的訪問策略對用戶進行認證并分發(fā)票據(jù)，其中，所述密鑰分發(fā)中心包括鑒別服務(wù)器，所述鑒別服務(wù)器配置成接收來自所述用戶的驗證請求；確定所述用戶的身份所屬的協(xié)議；根據(jù)所述協(xié)議來確定所述用戶的驗證方式以及在驗證成功后向所述用戶發(fā)送第一許可票據(jù)。本發(fā)明還公開了一種基于PaaS平臺的身份認證方法。
【專利說明】基于PaaS平臺的身份認證方法以及身份認證設(shè)備

【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及云計算安全領(lǐng)域，特別涉及一種基于PaaS平臺的身份認證方法以及 身份認證設(shè)備。

【背景技術(shù)】
[0002] PaaS是Platform-as-a-Service的縮寫，意思是平臺即服務(wù)，把服務(wù)器平臺作 為一種服務(wù)提供的模式。通過網(wǎng)絡(luò)進行程序提供的服務(wù)稱之為SaaS(S 〇ftware as a Service)，而云計算時代相應(yīng)的服務(wù)器平臺或者開發(fā)環(huán)境作為服務(wù)進行提供就成為了 PaaS〇
[0003] 開發(fā)者在利用PaaS進行開發(fā)、部署其應(yīng)用時，往往希望調(diào)用PaaS來提供接口， 以便對用戶進行身份認證，即提供類似IPMaaS(Identity and Policy Management as a Service)服務(wù)。但是，PaaS提供的認證服務(wù)的現(xiàn)狀卻不盡如人意。對于PaaS服務(wù)提供商 而言，其提供的認證服務(wù)目前還不能同時兼容用戶的多種身份，例如本地身份（即在PaaS 平臺上注冊的身份)以及OpenID身份。除此之外，還存在著用戶需多次進行認證，同一開發(fā) 者的不同應(yīng)用之間認證協(xié)同度不夠的問題。


【發(fā)明內(nèi)容】

[0004] 為解決上述問題，根據(jù)本發(fā)明的一個方面，提供了一種基于PaaS平臺的身份認證 方法，包括：接收來自使用所述PaaS平臺的用戶的驗證請求；確定所述用戶的身份所屬的 協(xié)議；以及根據(jù)所述協(xié)議來確定所述用戶的驗證方式。
[0005] 上述身份認證方法還可包括：在驗證成功后向所述用戶發(fā)送第一許可票據(jù)。
[0006] 上述身份認證方法還可包括：從所述用戶接收針對PaaS平臺中的第一應(yīng)用的票 據(jù)請求，所述票據(jù)請求中包含所述第一許可票據(jù)；向所述用戶發(fā)送針對所述第一應(yīng)用的第 二許可票據(jù)，使得所述用戶憑借此第二許可票據(jù)可獲得所述第一應(yīng)用的服務(wù)；從所述用戶 接收針對PaaS平臺中的第二應(yīng)用的票據(jù)請求，所述票據(jù)請求中包含所述第一許可票據(jù)；以 及向所述用戶發(fā)送針對所述第二應(yīng)用的第三許可票據(jù)，使得所述用戶憑借此第三許可票據(jù) 可獲得所述第二應(yīng)用的服務(wù)。
[0007] 在上述身份認證方法中，所述第一許可票據(jù)為票據(jù)許可票據(jù)TGT，所述第二許可票 據(jù)和所述第三許可票據(jù)為服務(wù)許可票據(jù)。
[0008] 在上述身份認證方法中，所述用戶的身份所屬的協(xié)議可以是Kerb ero s協(xié)議或 OpenID 協(xié)議。
[0009] 在上述身份認證方法中，當確定所述用戶的身份所屬的協(xié)議是OpenID協(xié)議時， PaaS平臺中的鑒別服務(wù)器、OpenID提供商以及所述用戶三方依據(jù)OpenID的協(xié)議標準進行 認證。
[0010] 在上述身份認證方法中，所述用戶和所述鑒別服務(wù)器利用Diffie-Hellman算法 來計算共享的密鑰。
[0011] 根據(jù)本發(fā)明的另一個方面，提供了一種PaaS平臺上的身份認證設(shè)備，所述身份認 證設(shè)備用于對準備訪問所述PaaS平臺上的應(yīng)用的用戶進行身份認證，所述身份認證設(shè)備 包括：密鑰分發(fā)中心，用于根據(jù)PaaS平臺上的應(yīng)用的開發(fā)者所制定的訪問策略對用戶進行 認證并分發(fā)票據(jù)，其中，所述密鑰分發(fā)中心包括鑒別服務(wù)器，所述鑒別服務(wù)器配置成接收來 自所述用戶的驗證請求；確定所述用戶的身份所屬的協(xié)議；根據(jù)所述協(xié)議來確定所述用戶 的驗證方式以及在驗證成功后向所述用戶發(fā)送第一許可票據(jù)。
[0012] 在上述身份認證設(shè)備中，所述密鑰分發(fā)中心還包括：票據(jù)許可服務(wù)器，所述票據(jù)許 可服務(wù)器配置成從所述用戶接收針對PaaS平臺中的第一應(yīng)用的票據(jù)請求，所述票據(jù)請求 中包含所述第一許可票據(jù)；向所述用戶發(fā)送針對所述第一應(yīng)用的第二許可票據(jù)，使得所述 用戶憑借此第二許可票據(jù)可獲得所述第一應(yīng)用的服務(wù)。所述票據(jù)許可服務(wù)器可進一步配置 成從所述用戶接收針對PaaS平臺中的第二應(yīng)用的票據(jù)請求，所述票據(jù)請求中包含所述第 一許可票據(jù)；以及向所述用戶發(fā)送針對所述第二應(yīng)用的第三許可票據(jù)，使得所述用戶憑借 此第三許可票據(jù)可獲得所述第二應(yīng)用的服務(wù)。
[0013] 在上述身份認證設(shè)備中，所述第一許可票據(jù)為票據(jù)許可票據(jù)TGT，所述第二許可票 據(jù)和所述第三許可票據(jù)為服務(wù)許可票據(jù)。
[0014] 在上述身份認證設(shè)備中，所述用戶的身份所屬的協(xié)議可以是Kerberos協(xié)議或 OpenID 協(xié)議。
[0015] 在上述身份認證設(shè)備中，當所述鑒別服務(wù)器確定所述用戶的身份所屬的協(xié)議是 OpenID協(xié)議時，所述鑒別服務(wù)器、OpenID提供商以及所述用戶三方依據(jù)OpenID的協(xié)議標準 進行認證。
[0016] 在上述身份認證設(shè)備中，所述用戶和所述鑒別服務(wù)器利用Diffie-Hellman算法 來計算共享的密鑰。
[0017] 上述基于PaaS平臺的身份認證方法和身份認證設(shè)備使PaaS服務(wù)提供商為其上的 應(yīng)用程序提供高效靈活的身份認證服務(wù)。該身份認證方法和設(shè)備能低代價地滿足同一開發(fā) 者開發(fā)多個相對獨立的、但卻又相同/相近身份認證的需求。并且，該身份認證方法和設(shè)備 可兼容本地身份以及代表聯(lián)合身份認證趨勢的OpenID身份，并有很好的擴展性以兼容更 多類別的身份。整個認證過程可達到Kerberos協(xié)議相似的低認證次數(shù)效果。

【專利附圖】

【附圖說明】
[0018] 在參照附圖閱讀了本發(fā)明的【具體實施方式】以后，本領(lǐng)域技術(shù)人員將會更清楚地了 解本發(fā)明的各個方面。本領(lǐng)域技術(shù)人員應(yīng)當理解的是：這些附圖僅僅用于配合具體實施方 式說明本發(fā)明的技術(shù)方案，而并非意在對本發(fā)明的保護范圍構(gòu)成限制。
[0019] 圖1是根據(jù)本發(fā)明的一個實施例的身份認證服務(wù)模型的示意圖； 圖2是根據(jù)本發(fā)明的一個實施例、基于PaaS平臺的身份認證方法的示意圖。

【具體實施方式】
[0020] 下面介紹的是本發(fā)明的多個可能實施例中的一些，旨在提供對本發(fā)明的基本了 解，并不旨在確認本發(fā)明的關(guān)鍵或決定性的要素或限定所要保護的范圍。容易理解，根據(jù)本 發(fā)明的技術(shù)方案，在不變更本發(fā)明的實質(zhì)精神下，本領(lǐng)域的一般技術(shù)人員可以提出可相互 替換的其它實現(xiàn)方式。因此，以下【具體實施方式】以及附圖僅是對本發(fā)明的技術(shù)方案的示例 性說明，而不應(yīng)當視為本發(fā)明的全部或者視為對本發(fā)明技術(shù)方案的限定或限制。
[0021] 對于PaaS而言，只支持本地身份的PaaS會在其業(yè)務(wù)拓展上遇到瓶頸。讓用戶省 去注冊的步驟并直接兼容用戶已有身份是未來互聯(lián)網(wǎng)發(fā)展的趨勢，其中最有代表性的聯(lián)合 身份認證協(xié)議便是OpenID。例如，登錄一個支持OpenID的網(wǎng)站非常簡單，只需要輸入預(yù)先 注冊的OpenID用戶名，然后登錄的網(wǎng)站會跳轉(zhuǎn)到OpenID服務(wù)網(wǎng)站。在OpenID服務(wù)網(wǎng)站內(nèi) 輸入密碼(或者其他需要填寫的信息）驗證通過后，跳轉(zhuǎn)回登錄的網(wǎng)站并且這時已經(jīng)成功登 錄。OpenID可應(yīng)用于所有需要身份驗證的地方，既可以應(yīng)用于單點登錄系統(tǒng)，也可以用于共 享敏感數(shù)據(jù)時的身份認證。因而兼容本地身份以及OpenID身份(或其他身份)的PaaS是所 希望的。
[0022] 對于應(yīng)用程序（Application, App)開發(fā)者而言，其在PaaS云平臺上開發(fā)了自己 應(yīng)用程序，例如Appl和App2。應(yīng)用程序在功能上相對獨立，并且使用不同的語言開發(fā)，但通 常其身份認證需求是相近的。隨著身份種類的增多，身份認證問題變得越發(fā)復(fù)雜。開發(fā)者 往往希望PaaS平臺能夠提供身份認證服務(wù)，以使得開發(fā)者只需簡單調(diào)用API便能夠?qū)τ脩?進行身份認證。作為舉例，開發(fā)者可配置其應(yīng)用程序的訪問策略，例如：對于Appl，開發(fā)者 希望只有本地身份才可以訪問；對于App2,開發(fā)者希望本地身份以及OpenID身份都可以訪 問。
[0023] 對于使用開發(fā)者應(yīng)用程序的用戶而言，不管其擁有的身份如何，總希望在訪問應(yīng) 用時減少認證次數(shù)。認證次數(shù)的減少意味著密鑰使用頻率的下降，這一點除了能夠提高系 統(tǒng)效率，還能夠顯著提高安全性。
[0024] 為了兼容多種身份、滿足PaaS上應(yīng)用程序?qū)ι矸菡J證的需求以及減少認證次數(shù)， 本文提供了 PaaS平臺上的身份認證設(shè)備以及基于PaaS平臺的身份認證方法。提供PaaS 服務(wù)的云計算服務(wù)商可以使用這種身份認證設(shè)備和方法來為其上的應(yīng)用提供高效、靈活、 易擴展的身份認證服務(wù)。
[0025] 圖1示出了基于PaaS環(huán)境下的身份認證模型的示意圖。該身份認證模型包括了 三大部分：用戶、開發(fā)者以及PaaS平臺。以下依次對其進行簡單的介紹。
[0026] 如圖1所示，用戶（custom, C)包括本地用戶、OpenID用戶以及其他用戶。其中， 本地用戶指在PaaS平臺注冊的用戶，OpenID用戶指根據(jù)OpenID協(xié)議在某個OpenID提供 商處注冊的身份，而其他用戶則是指擴展的其他多種身份的用戶。
[0027] 開發(fā)者是借助云平臺開發(fā)應(yīng)用App服務(wù)的人員，其可向PaaS平臺制定其開發(fā)的應(yīng) 用程序的訪問策略。
[0028] PaaS云平臺一方面對開發(fā)者提供PaaS服務(wù)以部署應(yīng)用程序，另一方面對訪問平 臺上的應(yīng)用程序的用戶進行身份驗證。如圖1所示，PaaS云平臺可包括程序池和密鑰分發(fā) 中心。
[0029] 圖1中的程序池僅示出有兩個應(yīng)用程序：第一應(yīng)用程序（appl)和第二應(yīng)用程序 (app2)，但本領(lǐng)域技術(shù)人員應(yīng)當理解，程序池中可包含更多或更少的程序，而不單單限于兩 個。
[0030] 在一個具體的實施例中，本文所述的身份認證設(shè)備可通過PaaS平臺上的密鑰分 發(fā)中心來實現(xiàn)。該密鑰分發(fā)中心用于根據(jù)開發(fā)者的訪問策略對用戶進行認證并分發(fā)票據(jù)。
[0031] 如圖1所示，密鑰分發(fā)中心可包括用于負責認證用戶身份，并分發(fā)票據(jù)許可票據(jù) (Ticket Granting Ticket，TGT)的鑒別服務(wù)器（Authentication Server，AS)。在一個具 體的實施例中，鑒別服務(wù)器可配置成接收來自用戶的驗證請求，確定用戶的身份所屬的協(xié) 議，根據(jù)協(xié)議來確定用戶的驗證方式以及在驗證成功后向用戶發(fā)送票據(jù)許可票據(jù)。有必要 指出的是，用戶的身份所屬的協(xié)議可以是Kerberos協(xié)議、OpenID協(xié)議或其他擴展的協(xié)議。
[0032] 繼續(xù)參考圖1，密鑰分發(fā)中心還可包括用于驗證票據(jù)許可票據(jù)（TGT)并負責分發(fā) 訪問App的服務(wù)許可票據(jù)的票據(jù)許可服務(wù)器（Ticket Granting Server, TGS)。在一個 具體的實施例中，票據(jù)許可服務(wù)器可配置成從用戶接收針對PaaS平臺中的第一應(yīng)用程序 (appl)的票據(jù)請求，該票據(jù)請求中包含票據(jù)許可票據(jù)；向用戶發(fā)送針對第一應(yīng)用程序的服 務(wù)許可票據(jù)，使得用戶憑借此服務(wù)許可票據(jù)可獲得第一應(yīng)用程序的服務(wù)。票據(jù)許可服務(wù)器 可進一步配置成從用戶接收針對PaaS平臺中的第二應(yīng)用程序（app2)的票據(jù)請求，該票據(jù) 請求中同樣包含票據(jù)許可票據(jù)；以及向用戶發(fā)送針對第二應(yīng)用程序的服務(wù)許可票據(jù)，使得 用戶憑借此服務(wù)許可票據(jù)可獲得第二應(yīng)用程序的服務(wù)。
[0033] 表1示出了身份認證模型中的重要交互。
[0034] 表 1

【權(quán)利要求】
1. 一種基于PaaS平臺的身份認證方法，包括： 接收來自使用所述PaaS平臺的用戶的驗證請求； 確定所述用戶的身份所屬的協(xié)議；以及 根據(jù)所述協(xié)議來確定所述用戶的驗證方式。
2. 如權(quán)利要求1所述的身份認證方法，還包括： 在驗證成功后向所述用戶發(fā)送第一許可票據(jù)。
3. 如權(quán)利要求2所述的身份認證方法，還包括： 從所述用戶接收針對PaaS平臺中的第一應(yīng)用的票據(jù)請求，所述票據(jù)請求中包含所述 第一許可票據(jù)；以及 向所述用戶發(fā)送針對所述第一應(yīng)用的第二許可票據(jù)，使得所述用戶憑借此第二許可票 據(jù)可獲得所述第一應(yīng)用的服務(wù)。
4. 如權(quán)利要求3所述的身份認證方法，進一步包括： 從所述用戶接收針對PaaS平臺中的第二應(yīng)用的票據(jù)請求，所述票據(jù)請求中包含所述 第一許可票據(jù)；以及 向所述用戶發(fā)送針對所述第二應(yīng)用的第三許可票據(jù)，使得所述用戶憑借此第三許可票 據(jù)可獲得所述第二應(yīng)用的服務(wù)。
5. 如權(quán)利要求2至4中任一項所述的身份認證方法，其中，所述第一許可票據(jù)為票據(jù) 許可票據(jù)TGT。
6. 如權(quán)利要求3所述的身份認證方法，其中，所述第二許可票據(jù)為服務(wù)許可票據(jù)。
7. 如權(quán)利要求4所述的身份認證方法，其中，所述第三許可票據(jù)為服務(wù)許可票據(jù)。
8. 如權(quán)利要求1所述的身份認證方法，其中，所述用戶的身份所屬的協(xié)議可以是 Kerberos協(xié)議或OpenID協(xié)議。
9. 如權(quán)利要求8所述的身份認證方法，其中，當確定所述用戶的身份所屬的協(xié)議是 OpenID協(xié)議時，PaaS平臺中的鑒別服務(wù)器、OpenID提供商以及所述用戶三方依據(jù)OpenID 的協(xié)議標準進行認證。
10. 如權(quán)利要求9所述的身份認證方法，其中，所述用戶和所述鑒別服務(wù)器利用 Diffie-Hellman算法來計算共享的密鑰。
11. 一種PaaS平臺上的身份認證設(shè)備，所述身份認證設(shè)備用于對準備訪問所述PaaS 平臺上的應(yīng)用的用戶進行身份認證，所述身份認證設(shè)備包括： 密鑰分發(fā)中心，用于根據(jù)PaaS平臺上的應(yīng)用的開發(fā)者所制定的訪問策略對用戶進行 認證并分發(fā)票據(jù)，其中，所述密鑰分發(fā)中心包括鑒別服務(wù)器，所述鑒別服務(wù)器配置成接收來 自所述用戶的驗證請求；確定所述用戶的身份所屬的協(xié)議；根據(jù)所述協(xié)議來確定所述用戶 的驗證方式以及在驗證成功后向所述用戶發(fā)送第一許可票據(jù)。
12. 如權(quán)利要求11所述的身份認證設(shè)備，其中，所述密鑰分發(fā)中心還包括：票據(jù)許可 服務(wù)器，所述票據(jù)許可服務(wù)器配置成從所述用戶接收針對PaaS平臺中的第一應(yīng)用的票據(jù) 請求，所述票據(jù)請求中包含所述第一許可票據(jù)；向所述用戶發(fā)送針對所述第一應(yīng)用的第二 許可票據(jù)，使得所述用戶憑借此第二許可票據(jù)可獲得所述第一應(yīng)用的服務(wù)。
13. 如權(quán)利要求12所述的身份認證設(shè)備，其中，所述票據(jù)許可服務(wù)器還配置成從所述 用戶接收針對PaaS平臺中的第二應(yīng)用的票據(jù)請求，所述票據(jù)請求中包含所述第一許可票 據(jù)；以及向所述用戶發(fā)送針對所述第二應(yīng)用的第三許可票據(jù)，使得所述用戶憑借此第三許 可票據(jù)可獲得所述第二應(yīng)用的服務(wù)。
14. 如權(quán)利要求11至13中的任一項所述的身份認證設(shè)備，其中，所述第一許可票據(jù)為 票據(jù)許可票據(jù)TGT。
15. 如權(quán)利要求12所述的身份認證設(shè)備，其中所述第二許可票據(jù)為服務(wù)許可票據(jù)。
16. 如權(quán)利要求13所述的身份認證設(shè)備，其中所述第三許可票據(jù)為服務(wù)許可票據(jù)。
17. 如權(quán)利要求11所述的身份認證設(shè)備，其中，所述用戶的身份所屬的協(xié)議可以是 Kerberos協(xié)議或OpenID協(xié)議。
18. 如權(quán)利要求17所述的身份認證設(shè)備，其中，當所述鑒別服務(wù)器確定所述用戶的身 份所屬的協(xié)議是OpenID協(xié)議時，所述鑒別服務(wù)器、OpenID提供商以及所述用戶三方依據(jù) OpenID的協(xié)議標準進行認證。
19. 如權(quán)利要求18所述的身份認證設(shè)備，其中，所述用戶和所述鑒別服務(wù)器利用 Diffie-Hellman算法來計算共享的密鑰。
【文檔編號】G06F21/31GK104113412SQ201310139856
【公開日】2014年10月22日 申請日期:2013年4月22日 優(yōu)先權(quán)日:2013年4月22日
【發(fā)明者】柴洪峰, 吳承榮, 何朔, 葉家煒, 楊陽, 王國平 申請人:中國銀聯(lián)股份有限公司