CN102457493B - 一种云计算服务的认证路由系统、方法和认证路由器 - Google Patents
一种云计算服务的认证路由系统、方法和认证路由器 Download PDFInfo
- Publication number
- CN102457493B CN102457493B CN201010520650.0A CN201010520650A CN102457493B CN 102457493 B CN102457493 B CN 102457493B CN 201010520650 A CN201010520650 A CN 201010520650A CN 102457493 B CN102457493 B CN 102457493B
- Authority
- CN
- China
- Prior art keywords
- cloud computing
- computing service
- certification
- authentication
- user terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
- H04L67/63—Routing a service request depending on the request content or context
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种云计算服务的认证路由系统、方法和认证路由器,方法包括:认证路由器执行对云计算服务的注册,并保存注册成功的云计算服务的注册信息,该注册信息包括但不限于:云计算服务的索引号、云计算服务选定的认证机制、提供认证机制的认证服务器地址和认证服务器的路由策略;用户终端请求云计算服务时,认证路由器接收被请求的云计算服务发送的对用户终端的认证请求;认证路由器根据保存的对应云计算服务的注册信息,将用户终端的认证请求路由到相应的认证服务器进行认证。通过本发明,用户在使用云计算服务时,能提供一致的用户认证体验和较高的认证安全强度,并有效保障用户的隐私安全。
Description
技术领域
本发明涉及云计算技术领域,尤其涉及一种云计算服务的认证路由系统、方法和认证路由器。
背景技术
随着计算机技术的快速发展,云计算正在越来越受关注,无论是互联网厂商和运营商,还是通信厂商和基础网络运营商,都对云计算表现出极大的关注。
狭义的云计算是指互联网技术(IT,InternetTechnology)基础设施的交付和使用模式,指通过网络以按需、易扩展的方式获得所需的资源;广义的云计算是指服务的交付和使用模式,指通过网络以按需、易扩展的方式获得所需的服务。这种服务可以是IT和软件、互联网相关的,也可以是任意其他的服务,云计算具有超大规模、虚拟化、可靠安全等优点。对于网络运营商而言,云计算可以使运营成本和操作维护成本大大降低,达到节能减排的目的,除此之外,还可以扩大运营的范围,而不仅仅受限于管道运营。在云计算环境下,一切资源都是可以运营的,都可以作为服务提供,包括应用程序、软件、平台、处理能力、存储、网络、计算资源以及其他基础设施等。对于用户而言,云计算使得随时、随地消费服务成为可能,用户可以不需要大量投资而获得运营业务所需的IT资源,完全可以根据自己的需求来租用,IT资源像水、电和煤气一样,按需获取和计费。
云计算一般有三种主要的服务模式,基础设施即服务(IaaS,InfrastructureasaService,)、平台即服务(PaaS,PlatformasaService)和软件即服务(SaaS,SoftwareasaService)。
在云计算场景下,大量的用户信息都集中在云计算提供商,与传统的互联网业务相比,其信息更集中、信息资产价值更高、面临的攻击也会更多,这就要求云计算服务提供商能够具备更强大的用户认证机制来保障只有合法的用户才能够访问被授权的资源。
传统的解决方案是:每个云计算服务提供商都拥有自身的一套用户认证系统,一般称为本地认证服务器,如轻量目录访问协议(LDAP,LightweightDirectoryAccessProtocol)目录服务器或者认证授权计费(AAA,AuthenticationAuthorizationAccounting)服务器等,用于认证用户对云计算服务的访问。这种方法的缺点是:云计算用户数量往往非常庞大,云计算服务提供商认证开销将大大增加;用户需要在不同的云计算服务提供商注册,用户体验差,而且隐私泄露的风险加大;除此之外,不同云计算服务提供商的认证解决方案各不相同,安全强度也不同,根据木桶原理,安全强度最弱的云计算服务提供商认证系统一旦被攻破,就很有可能使得其他云计算服务提供商的用户认证也受到威胁,因为一般用户为了便于记忆会使用相同或相似的认证凭证。
发明内容
有鉴于此,本发明的主要目的在于提供一种云计算服务的认证路由系统、方法和认证路由器,以保证用户在使用云计算服务时,针对不同类型的用户终端和不同的网络接入方式,均能提供一致的用户认证体验和较高的认证安全强度,并有效保障用户的隐私安全。
为达到上述目的,本发明的技术方案是这样实现的:
本发明提供了一种云计算服务的认证路由系统,该系统包括:用户终端、认证路由器和认证服务器,其中,
所述认证路由器,用于执行对云计算服务的注册,并保存注册成功的云计算服务的注册信息;还用于,接收所述云计算服务对用户终端的认证请求,并根据保存的对应所述云计算服务的注册信息,将所述对用户终端的认证请求路由到相应的认证服务器;
所述用户终端,用于请求和使用云计算服务;
所述认证服务器,用于按照自身的认证机制对所述用户终端进行认证。
所述注册信息包括:云计算服务的索引号、云计算服务选定的认证机制、提供所述认证机制的认证服务器地址和所述认证服务器的路由策略。
所述认证路由器进一步包括:注册模块,用于接收所述云计算服务的注册请求,向请求注册的云计算服务提供可选的认证机制列表,并接收所述云计算服务从列表中选定的认证机制,根据所述云计算服务选定的认证机制保存所述云计算服务的注册信息。
所述云计算服务对用户终端的认证请求中至少携带所述云计算服务的索引号;
相应的,所述认证路由器进一步包括:认证路由模块,用于根据所述认证请求中携带的云计算服务的索引号,并根据预先设定的策略为所述云计算服务选择认证机制;根据所选认证机制查找注册信息中对应的认证服务器地址,将所述认证请求路由到相应的认证服务器。
所述认证服务器进一步用于,在对所述用户终端进行认证时,如果所述用户终端不支持所述认证服务器的认证机制,则告知所述认证路由器;
相应的,所述认证路由器的认证路由模块进一步用于,在所述认证服务器告知用户终端不支持选择的认证机制时,根据预先设定的策略为所述云计算服务选择其他认证机制,并根据所选认证机制查找注册信息中对应的认证服务器地址,将所述认证请求路由到相应的认证服务器进行认证。
所述认证服务器进一步用于,在对所述用户终端的认证完成后,向认证路由器返回认证结果;
所述认证路由器将认证结果返回给云计算服务,所述云计算服务根据收到的认证结果,决定是否向所述用户终端提供云计算服务。
本发明还提供了一种云计算服务的认证路由方法,该方法包括:
认证路由器执行对云计算服务的注册,并保存注册成功的云计算服务的注册信息;
用户终端请求云计算服务时,所述认证路由器接收被请求的云计算服务发送的对所述用户终端的认证请求;
所述认证路由器根据保存的对应所述云计算服务的注册信息,将所述用户终端的认证请求路由到相应的认证服务器进行认证。
所述注册信息包括:云计算服务的索引号、云计算服务选定的认证机制、提供所述认证机制的认证服务器地址和所述认证服务器的路由策略。
所述认证路由器执行对云计算服务的注册,并保存注册信息,具体为:
认证路由器接收所述云计算服务的注册请求;
认证路由器向请求注册的云计算服务提供可选的认证机制列表;
所述云计算服务根据安全需求和策略,从可选的认证机制列表中选定合适的认证机制并返回给认证路由器;
认证路由器根据所述云计算服务选定的认证机制保存所述云计算服务的注册信息。
所述云计算服务对用户终端的认证请求中至少携带所述云计算服务的索引号;
所述认证路由器根据所述认证请求中携带的云计算服务的索引号,并根据预先设定的策略为所述云计算服务选择认证机制;根据所选认证机制查找注册信息中对应的认证服务器地址,将所述认证请求路由到相应的认证服务器。
该方法进一步包括:
认证服务器在对用户终端进行认证时,如果所述用户终端不支持认证服务器的认证机制,则告知所述认证路由器;
认证路由器根据预先设定的策略为所述云计算服务选择其他认证机制,并根据所选认证机制查找注册信息中对应的认证服务器地址,将所述认证请求路由到相应的认证服务器进行认证。
该方法进一步包括:
认证服务器在对所述用户终端的认证完成后,向认证路由器返回认证结果;
所述认证路由器将认证结果返回给云计算服务;
所述云计算服务根据收到的认证结果,决定是否向所述用户终端提供云计算服务。
本发明还提供了一种认证路由器,包括:
注册模块,用于执行对云计算服务的注册,并保存注册成功的云计算服务的注册信息;
认证路由模块,用于接收所述云计算服务对用户终端的认证请求,并根据保存的对应所述云计算服务的注册信息,将所述对用户终端的认证请求路由到相应的认证服务器进行认证。
所述注册信息包括:云计算服务的索引号、云计算服务选定的认证机制、提供所述认证机制的认证服务器地址和所述认证服务器的路由策略。
所述注册模块进一步用于,接收所述云计算服务的注册请求,向请求注册的云计算服务提供可选的认证机制列表,并接收所述云计算服务从列表中选定的认证机制,根据所述云计算服务选定的认证机制保存所述云计算服务的注册信息。
所述云计算服务对用户终端的认证请求中至少携带所述云计算服务的索引号;
相应的,所述认证路由模块进一步用于,根据所述认证请求中携带的云计算服务的索引号,并根据预先设定的策略为所述云计算服务选择认证机制;根据所选认证机制查找注册信息中对应的认证服务器地址,将所述认证请求路由到相应的认证服务器。
所述认证路由模块进一步用于,在从所述认证服务器获知用户终端不支持选择的认证机制时,根据预先设定的策略为所述云计算服务选择其他认证机制,并根据所选认证机制查找注册信息中对应的认证服务器地址,将所述认证请求路由到相应的认证服务器进行认证。
所述认证路由模块进一步用于,在所述认证服务器对用户终端的认证完成后,将认证服务器返回的认证结果转发给所述云计算服务。
本发明所提供的一种云计算服务的认证路由系统、方法和认证路由器,通过在云计算服务提供商内部署云计算服务认证路由器,使得云计算服务提供商可以借助其他更专业的认证基础设施为用户提供访问认证,由此实现减少云计算服务提供商的认证开销;使得认证和服务授权分离;保护用户的隐私;降低因为大规模用户访问云计算服务提供商而造成的认证单点失效问题,使得云计算服务的提供更加可靠、可信。
附图说明
图1为本发明实施例中云计算服务的认证路由系统的结构示意图;
图2为本发明实施例中云计算服务向认证路由器注册的流程图;
图3为本发明实施例中用户请求云计算服务的认证流程图;
图4为本发明实施例中一种云计算服务的认证路由方法的流程图;
图5为本发明实施例中一种云计算服务的认证路由系统的组成结构示意图。
具体实施方式
下面结合附图和具体实施例对本发明的技术方案进一步详细阐述。
本发明所提供的一种云计算服务的统一认证框架,如图1所示,该框架可以划分为三个域:认证服务提供商域、云计算服务提供商域和用户终端域。认证服务提供商域负责提供专业的云计算服务接入的用户认证,主要功能由认证服务器来完成,认证服务提供商可以由网络提供商的认证基础设施构成,如:第三代合作伙伴计划(3GPP,The3rdGenerationPartnershipProject)网络中的认证相关网元,或者归属用户服务器(HSS,HomeSubscriberServer)/鉴权中心(AuC,AuthenticationCenter)或归属位置寄存器(HLR,HomeLocationRegister)/AuC及引导服务功能(BSF,BootstrappingServiceFunction)或固定网络中的AAA服务器,也可以是纯粹的身份提供商(IdentityProvider);云计算服务提供商域中与认证相关的功能实体包括本地认证服务器和认证路由器,其中本地认证服务器负责本地用户的身份认证,认证路由器负责云计算服务的认证信息管理和维护、认证服务器的路由;用户终端域主要包括用户终端,负责认证请求与服务消费。
在云计算服务提供商域中,用户终端访问各种云计算服务可能需要不同安全强度的认证机制,云计算服务所需要的认证机制需要提前在认证路由器中预置;认证路由器是用户终端访问云计算服务时的认证边界入口功能实体,云计算服务通过一系列规定的注册流程和标准化的认证注册接口向认证路由器进行注册。注册流程如图2所示,具体包括以下步骤:
步骤201,云计算服务向认证路由器请求注册。
步骤202,认证路由器向云计算服务提供可选的认证机制。
提供这些认证机制的认证服务都是可以由云计算提供商认可的并且已经和云计算服务提供商提前建立信任关系的认证服务提供商提供。比较常用的认证机制有:基于用户身份识别模块(SIM,SubscriberIdentityModule)卡的认证、基于通用集成电路卡(UICC,UniversalIntegratedCircuitCard)的认证、基于用户名口令的认证、基于证书的认证等等。
步骤203,根据云计算服务的安全需求和策略,在认证路由器提供的认证机制列表中选择合适的认证机制(选择的认证机制可以为多种)。
步骤204,根据云计算服务作出的选择,认证路由器保存云计算服务的索引号、被选定的认证机制、提供该认证机制的认证服务器的地址(如认证服务器的统一资源定位符URL)和认证服务器的路由策略等信息。
步骤205,认证路由器向云计算服务返回注册成功消息。
一旦某个云计算服务在认证路由器中注册完成后,那么终端用户访问云计算服务的认证就会根据预定的策略被路由到相应的认证服务器,由该认证服务器完成对用户的认证。在云计算服务没有向认证路由器注册的情况下,可以默认由本地认证服务器完成对用户的认证或者根本不需要对用户进行认证而让用户直接访问服务,这些接口可以在认证路由器的策略中设定。用户终端访问云计算服务的完整的认证流程如图3所示,具体包括以下步骤:
步骤301,用户终端请求云计算服务,这些服务可以是SaaS服务、PaaS服务或IaaS服务。
步骤302,云计算服务请求认证路由器对用户终端的请求进行认证,请求消息中至少需要携带云计算服务的索引号。
步骤303,认证路由器根据计算服务的索引号,并根据预先设定的策略为云计算服务选择认证机制。所述预先设定的策略可以是:按照认证机制的安全强度由高到低的顺序选择、按照认证机制的复杂度由低到高的顺序选择等等。
步骤304,根据选择的认证机制对应的认证服务器的地址,将认证请求路由至相应的认证服务器。
步骤305,认证服务器使用选定的认证机制对终端用户进行认证。
需要说明的是,如果终端用户不支持该认证机制,那么跳转至步骤303,重复上述流程,直到路由到合适的认证服务器为止。认证路由器可以根据云计算服务的要求设置路由策略,以满足整个认证过程在时延或者协议开销或者认证安全强度等方面的需求。
步骤306,如果认证服务器对终端用户认证完成,那么向认证路由器返回认证结果。
步骤307,认证路由器将认证结果返回给云计算服务。
步骤308,云计算服务根据收到的认证结果,决定是否可以向终端用户提供服务。
需要指出的是,上述流程中的认证服务器可以是云计算服务提供商本地认证服务器,也可以是非本地认证服务器,云计算服务提供商可以提供接口使得认证服务提供方与之建立信任关系,并添加如云计算服务提供商的认证路由器中。
结合以上技术方案的描述可以看出,本发明云计算服务的认证路由技术包含图4所示的操作思路。如图4所示,图4为本发明实施例的云计算服务的认证路由方法的流程图,该流程主要包括以下步骤:
步骤401,认证路由器执行对云计算服务的注册,并保存注册成功的云计算服务的注册信息。
该注册信息至少包括:云计算服务的索引号、提供认证机制的认证服务器地址;还可以进一步包括:云计算服务选定的认证机制、认证服务器的路由策略。本发明的注册信息并非仅限于上述所举,还可以根据实际需要进行扩展。
具体的:认证路由器接收云计算服务的注册请求;认证路由器向请求注册的云计算服务提供可选的认证机制列表;云计算服务根据安全需求和策略,从可选的认证机制列表中选定合适的认证机制并返回给认证路由器;认证路由器根据云计算服务选定的认证机制保存云计算服务的上述注册信息。
步骤402,用户终端请求云计算服务时,认证路由器接收被请求的云计算服务发送的对该用户终端的认证请求。
云计算服务对用户终端的认证请求中至少携带云计算服务的索引号;认证路由器根据认证请求中携带的云计算服务的索引号,并根据预先设定的策略为云计算服务选择认证机制;根据所选认证机制查找注册信息中对应的认证服务器地址,将认证请求路由到相应的认证服务器。
步骤403,认证路由器根据保存的对应云计算服务的注册信息,将用户终端的认证请求路由到相应的认证服务器进行认证。
认证服务器在对用户终端进行认证时,如果用户终端不支持认证服务器的认证机制,则告知认证路由器;认证路由器根据预先设定的策略为云计算服务选择其他认证机制,并根据所选认证机制查找注册信息中对应的认证服务器地址,将认证请求路由到相应的认证服务器进行认证。
此外,认证服务器在对用户终端的认证完成后,向认证路由器返回认证结果,认证路由器将认证结果返回给云计算服务,云计算服务根据收到的认证结果决定是否向用户终端提供云计算服务。
对应上述云计算服务的认证路由方法,本发明的云计算服务的认证路由系统,如图5所示,包括:用户终端10、认证路由器20和认证服务器30。其中,认证路由器20,用于执行对云计算服务的注册,并保存注册成功的云计算服务的以下注册信息:云计算服务的索引号、云计算服务选定的认证机制、提供认证机制的认证服务器地址和认证服务器的路由策略。用户终端10,用于请求和使用云计算服务;认证路由器20还用于,接收云计算服务对用户终端10的认证请求,并根据保存的对应云计算服务的注册信息,将用户终端10的认证请求路由到相应的认证服务器30。认证服务器30,用于按照自身的认证机制对用户终端10进行认证。
其中,认证路由器20进一步包括:注册模块21和认证路由模块22。注册模块21,用于执行对云计算服务的注册,并保存注册成功的云计算服务的注册信息。具体的:接收云计算服务的注册请求,向请求注册的云计算服务提供可选的认证机制列表,并接收云计算服务从列表中选定的认证机制,根据云计算服务选定的认证机制保存云计算服务的注册信息。认证路由模块22,用于接收云计算服务对用户终端10的认证请求,并根据保存的对应云计算服务的注册信息,将对用户终端10的认证请求路由到相应的认证服务器进行认证。
进一步的,云计算服务对用户终端10的认证请求中至少携带云计算服务的索引号;那么相应的,认证路由模块20还用于,根据认证请求中携带的云计算服务的索引号,并根据预先设定的策略为云计算服务选择认证机制;根据所选认证机制查找注册信息中对应的认证服务器地址,将认证请求路由到相应的认证服务器30。
进一步的,认证路由模块20还可用于,在从认证服务器30获知用户终端10不支持选择的认证机制时,根据预先设定的策略为云计算服务选择其他认证机制,并根据所选认证机制查找注册信息中对应的认证服务器地址,将认证请求路由到相应的认证服务器30重新进行认证。
进一步的,认证路由模块20还可用于,在认证服务器30对用户终端10的认证完成后,将认证服务器返回的认证结果转发给云计算服务。
综上所述,本发明通过在云计算服务提供商内部署云计算服务认证路由器,使得云计算服务提供商可以借助其他更专业的认证基础设施为用户提供访问认证,由此实现减少云计算服务提供商的认证开销;使得认证和服务授权分离;保护用户的隐私;降低因为大规模用户访问云计算服务提供商而造成的认证单点失效问题,使得云计算服务的提供更加可靠、可信。
以上所述,仅为本发明的较佳实施例,并非用于限定本发明的保护范围。
Claims (12)
1.一种云计算服务的认证路由系统,其特征在于,该系统包括:用户终端、认证路由器和认证服务器,其中,
所述认证路由器,用于执行对云计算服务的注册,并保存注册成功的云计算服务的注册信息;还用于,接收所述云计算服务对用户终端的认证请求,并根据保存的对应所述云计算服务的注册信息,将所述对用户终端的认证请求路由到相应的认证服务器;
所述用户终端,用于请求和使用云计算服务;
所述认证服务器,用于按照自身的认证机制对所述用户终端进行认证;还用于在对所述用户终端进行认证时,如果所述用户终端不支持所述认证服务器的认证机制,则告知所述认证路由器;
所述认证路由器,还用于在所述认证服务器告知用户终端不支持选择的认证机制时,根据预先设定的策略为所述云计算服务选择其他认证机制,并根据所选认证机制查找注册信息中对应的认证服务器地址,将所述认证请求路由到相应的认证服务器进行认证;
所述注册信息包括:云计算服务的索引号、云计算服务选定的认证机制、提供所述认证机制的认证服务器地址和所述认证服务器的路由策略。
2.根据权利要求1所述云计算服务的认证路由系统,其特征在于,所述认证路由器进一步包括:注册模块,用于接收所述云计算服务的注册请求,向请求注册的云计算服务提供可选的认证机制列表,并接收所述云计算服务从列表中选定的认证机制,根据所述云计算服务选定的认证机制保存所述云计算服务的注册信息。
3.根据权利要求1所述云计算服务的认证路由系统,其特征在于,所述云计算服务对用户终端的认证请求中至少携带所述云计算服务的索引号;
相应的,所述认证路由器进一步包括:认证路由模块,用于根据所述认证请求中携带的云计算服务的索引号,并根据预先设定的策略为所述云计算服务选择认证机制;根据所选认证机制查找注册信息中对应的认证服务器地址,将所述认证请求路由到相应的认证服务器。
4.根据权利要求1所述云计算服务的认证路由系统,其特征在于,所述认证服务器进一步用于,在对所述用户终端的认证完成后,向认证路由器返回认证结果;
所述认证路由器将认证结果返回给云计算服务,所述云计算服务根据收到的认证结果,决定是否向所述用户终端提供云计算服务。
5.一种云计算服务的认证路由方法,其特征在于,该方法包括:
认证路由器执行对云计算服务的注册,并保存注册成功的云计算服务的注册信息;
用户终端请求云计算服务时,所述认证路由器接收被请求的云计算服务发送的对所述用户终端的认证请求;
所述认证路由器根据保存的对应所述云计算服务的注册信息,将所述用户终端的认证请求路由到相应的认证服务器进行认证;
认证服务器在对用户终端进行认证时,如果所述用户终端不支持认证服务器的认证机制,则告知所述认证路由器;
认证路由器根据预先设定的策略为所述云计算服务选择其他认证机制,并根据所选认证机制查找注册信息中对应的认证服务器地址,将所述认证请求路由到相应的认证服务器进行认证;
所述注册信息包括:云计算服务的索引号、云计算服务选定的认证机制、提供所述认证机制的认证服务器地址和所述认证服务器的路由策略。
6.根据权利要求5所述云计算服务的认证路由方法,其特征在于,所述认证路由器执行对云计算服务的注册,并保存注册信息,具体为:
认证路由器接收所述云计算服务的注册请求;
认证路由器向请求注册的云计算服务提供可选的认证机制列表;
所述云计算服务根据安全需求和策略,从可选的认证机制列表中选定合适的认证机制并返回给认证路由器;
认证路由器根据所述云计算服务选定的认证机制保存所述云计算服务的注册信息。
7.根据权利要求5所述云计算服务的认证路由方法,其特征在于,所述云计算服务对用户终端的认证请求中至少携带所述云计算服务的索引号;
所述认证路由器根据所述认证请求中携带的云计算服务的索引号,并根据预先设定的策略为所述云计算服务选择认证机制;根据所选认证机制查找注册信息中对应的认证服务器地址,将所述认证请求路由到相应的认证服务器。
8.根据权利要求5所述云计算服务的认证路由方法,其特征在于,该方法进一步包括:
认证服务器在对所述用户终端的认证完成后,向认证路由器返回认证结果;
所述认证路由器将认证结果返回给云计算服务;
所述云计算服务根据收到的认证结果,决定是否向所述用户终端提供云计算服务。
9.一种认证路由器,其特征在于,包括:
注册模块,用于执行对云计算服务的注册,并保存注册成功的云计算服务的注册信息;
认证路由模块,用于接收所述云计算服务对用户终端的认证请求,并根据保存的对应所述云计算服务的注册信息,将所述对用户终端的认证请求路由到相应的认证服务器进行认证;还用于在从所述认证服务器获知用户终端不支持选择的认证机制时,根据预先设定的策略为所述云计算服务选择其他认证机制,并根据所选认证机制查找注册信息中对应的认证服务器地址,将所述认证请求路由到相应的认证服务器进行认证;
所述注册信息包括:云计算服务的索引号、云计算服务选定的认证机制、提供所述认证机制的认证服务器地址和所述认证服务器的路由策略。
10.根据权利要求9所述认证路由器,其特征在于,所述注册模块进一步用于,接收所述云计算服务的注册请求,向请求注册的云计算服务提供可选的认证机制列表,并接收所述云计算服务从列表中选定的认证机制,根据所述云计算服务选定的认证机制保存所述云计算服务的注册信息。
11.根据权利要求9所述认证路由器,其特征在于,所述云计算服务对用户终端的认证请求中至少携带所述云计算服务的索引号;
相应的,所述认证路由模块进一步用于,根据所述认证请求中携带的云计算服务的索引号,并根据预先设定的策略为所述云计算服务选择认证机制;根据所选认证机制查找注册信息中对应的认证服务器地址,将所述认证请求路由到相应的认证服务器。
12.根据权利要求9所述认证路由器,其特征在于,所述认证路由模块进一步用于,在所述认证服务器对用户终端的认证完成后,将认证服务器返回的认证结果转发给所述云计算服务。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010520650.0A CN102457493B (zh) | 2010-10-26 | 2010-10-26 | 一种云计算服务的认证路由系统、方法和认证路由器 |
| PCT/CN2011/081136 WO2012055339A1 (zh) | 2010-10-26 | 2011-10-21 | 一种云计算服务的认证路由系统、方法和认证路由器 |
| EP11835612.0A EP2624501A4 (en) | 2010-10-26 | 2011-10-21 | AUTHENTICATION ROUTING SYSTEM, METHOD AND AUTHENTICATION ROUTER FOR A CLOUD COMPUTING SERVICE |
| US13/881,225 US8898747B2 (en) | 2010-10-26 | 2011-10-21 | Authentication routing system and method for cloud computing service and authentication router |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010520650.0A CN102457493B (zh) | 2010-10-26 | 2010-10-26 | 一种云计算服务的认证路由系统、方法和认证路由器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102457493A CN102457493A (zh) | 2012-05-16 |
| CN102457493B true CN102457493B (zh) | 2015-12-16 |
Family
ID=45993164
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010520650.0A Expired - Fee Related CN102457493B (zh) | 2010-10-26 | 2010-10-26 | 一种云计算服务的认证路由系统、方法和认证路由器 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8898747B2 (zh) |
| EP (1) | EP2624501A4 (zh) |
| CN (1) | CN102457493B (zh) |
| WO (1) | WO2012055339A1 (zh) |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9148381B2 (en) | 2011-10-21 | 2015-09-29 | Qualcomm Incorporated | Cloud computing enhanced gateway for communication networks |
| US9116893B2 (en) | 2011-10-21 | 2015-08-25 | Qualcomm Incorporated | Network connected media gateway for communication networks |
| WO2013106454A1 (en) * | 2012-01-09 | 2013-07-18 | Qualcomm Incorporated | Cloud computing controlled gateway for communication networks |
| US8959335B2 (en) * | 2012-04-17 | 2015-02-17 | Gemalto Sa | Secure password-based authentication for cloud computing services |
| US8862883B2 (en) * | 2012-05-16 | 2014-10-14 | Cisco Technology, Inc. | System and method for secure cloud service delivery with prioritized services in a network environment |
| US9137131B1 (en) * | 2013-03-12 | 2015-09-15 | Skyhigh Networks, Inc. | Network traffic monitoring system and method to redirect network traffic through a network intermediary |
| CN103281173A (zh) * | 2013-04-27 | 2013-09-04 | 网银国际股份有限公司 | 复数网络平台的密钥管理方法 |
| JP6507486B2 (ja) * | 2013-05-10 | 2019-05-08 | 株式会社リコー | 情報処理装置、プログラム、情報管理方法及び情報処理システム |
| JP6488673B2 (ja) * | 2013-12-06 | 2019-03-27 | 株式会社リコー | 情報処理装置、プログラム、情報管理方法、情報処理システム |
| CN104753879B (zh) * | 2013-12-30 | 2019-03-15 | 中国银联股份有限公司 | 终端认证云服务提供者的方法及系统、云服务提供者认证终端的方法及系统 |
| US10389709B2 (en) * | 2014-02-24 | 2019-08-20 | Amazon Technologies, Inc. | Securing client-specified credentials at cryptographically attested resources |
| US9832252B2 (en) * | 2014-03-27 | 2017-11-28 | Genband Us Llc | Systems, methods, and computer program products for third party authentication in communication services |
| CN103997437A (zh) * | 2014-05-29 | 2014-08-20 | 上海斐讯数据通信技术有限公司 | 一种测试云服务器注册功能的方法 |
| US10757197B2 (en) | 2014-07-18 | 2020-08-25 | Microsoft Technology Licensing, Llc | Self-extending cloud |
| JP6027069B2 (ja) * | 2014-09-18 | 2016-11-16 | 富士フイルム株式会社 | Vpnアクセス制御システム、その作動方法及びプログラム、並びにvpnルータ及びサーバ |
| US10193864B2 (en) * | 2014-09-19 | 2019-01-29 | Comcast Cable Communications, Llc | Cloud interface for use of cloud services |
| CN106211152B (zh) | 2015-04-30 | 2019-09-06 | 新华三技术有限公司 | 一种无线接入认证方法及装置 |
| CN105072197A (zh) * | 2015-08-28 | 2015-11-18 | 深圳市云工匠信息技术有限公司 | 一种信息推荐方法及装置 |
| CN105554004B (zh) * | 2015-12-24 | 2018-12-11 | 北京轻元科技有限公司 | 一种混合云计算环境中容器服务的认证系统和方法 |
| US10567387B1 (en) * | 2016-09-13 | 2020-02-18 | Symantec Corporation | Systems and methods for managing computing device access to local area computer networks |
| CN107249209A (zh) * | 2017-06-09 | 2017-10-13 | 苏州汉明科技有限公司 | 无线局域网网关管理方法及系统 |
| US10749868B2 (en) | 2018-06-29 | 2020-08-18 | Microsoft Technology Licensing, Llc | Registration of the same domain with different cloud services networks |
| CN111988267B (zh) * | 2019-05-24 | 2023-10-20 | 阿里巴巴集团控股有限公司 | 针对计算设备的认证方法及装置 |
| CN110933147B (zh) * | 2019-11-15 | 2020-07-17 | 链睿信息服务(南通)有限公司 | 一种基于云计算的信息技术分析系统 |
| CN111865964B (zh) * | 2020-07-16 | 2022-05-20 | 北京望京科技孵化服务有限公司 | 一种基于企业私有云加密文件系统的身份认证系统 |
| US11777944B2 (en) * | 2021-06-29 | 2023-10-03 | International Business Machines Corporation | Scalable authentication management |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1874226A (zh) * | 2006-06-26 | 2006-12-06 | 杭州华为三康技术有限公司 | 终端接入方法及系统 |
| WO2007015254A2 (en) * | 2005-08-03 | 2007-02-08 | Aladdin Knowledge Systems Ltd. | Security server in a cloud |
| CN101170566A (zh) * | 2007-11-20 | 2008-04-30 | 中兴通讯股份有限公司 | 一种多域认证方法及系统 |
| CN101309139A (zh) * | 2007-05-15 | 2008-11-19 | 盛大计算机(上海)有限公司 | 通行证认证系统 |
| CN101582762A (zh) * | 2009-04-02 | 2009-11-18 | 北京飞天诚信科技有限公司 | 基于动态口令进行身份认证的方法和系统 |
| CN101741840A (zh) * | 2008-11-26 | 2010-06-16 | 株式会社日立制作所 | 认证中介服务器、程序、认证系统以及选择方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100512190C (zh) * | 2005-05-30 | 2009-07-08 | 中兴通讯股份有限公司 | 移动通信网与无线城域网的互通系统及其方法 |
| US9210173B2 (en) | 2008-11-26 | 2015-12-08 | Red Hat, Inc. | Securing appliances for use in a cloud computing environment |
| WO2010110182A1 (ja) * | 2009-03-24 | 2010-09-30 | 日本電気株式会社 | 仲介装置、仲介方法、プログラム及び仲介システム |
| CN101719829B (zh) * | 2009-06-11 | 2012-02-29 | 中兴通讯股份有限公司 | 一种实现idm系统间互操作的处理方法和系统 |
| CN201491033U (zh) * | 2009-08-20 | 2010-05-26 | 福建富士通信息软件有限公司 | 一种业务系统的统一认证平台 |
| CN101834846B (zh) * | 2010-03-30 | 2012-10-17 | 王兴强 | 一种未成年人健康网站认证系统及其认证方法 |
-
2010
- 2010-10-26 CN CN201010520650.0A patent/CN102457493B/zh not_active Expired - Fee Related
-
2011
- 2011-10-21 US US13/881,225 patent/US8898747B2/en not_active Expired - Fee Related
- 2011-10-21 WO PCT/CN2011/081136 patent/WO2012055339A1/zh active Application Filing
- 2011-10-21 EP EP11835612.0A patent/EP2624501A4/en not_active Withdrawn
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007015254A2 (en) * | 2005-08-03 | 2007-02-08 | Aladdin Knowledge Systems Ltd. | Security server in a cloud |
| CN1874226A (zh) * | 2006-06-26 | 2006-12-06 | 杭州华为三康技术有限公司 | 终端接入方法及系统 |
| CN101309139A (zh) * | 2007-05-15 | 2008-11-19 | 盛大计算机(上海)有限公司 | 通行证认证系统 |
| CN101170566A (zh) * | 2007-11-20 | 2008-04-30 | 中兴通讯股份有限公司 | 一种多域认证方法及系统 |
| CN101741840A (zh) * | 2008-11-26 | 2010-06-16 | 株式会社日立制作所 | 认证中介服务器、程序、认证系统以及选择方法 |
| CN101582762A (zh) * | 2009-04-02 | 2009-11-18 | 北京飞天诚信科技有限公司 | 基于动态口令进行身份认证的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2012055339A1 (zh) | 2012-05-03 |
| CN102457493A (zh) | 2012-05-16 |
| US8898747B2 (en) | 2014-11-25 |
| EP2624501A4 (en) | 2015-12-09 |
| EP2624501A1 (en) | 2013-08-07 |
| US20130219476A1 (en) | 2013-08-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102457493B (zh) | 一种云计算服务的认证路由系统、方法和认证路由器 | |
| CN112423301B (zh) | 专网注册管理方法和amf网元 | |
| US10972463B2 (en) | Blockchain-based NB-IoT devices | |
| CN110958111B (zh) | 一种基于区块链的电力移动终端身份认证机制 | |
| JP4722056B2 (ja) | 個別化およびアイデンティティ管理のための方法および装置 | |
| US8806608B2 (en) | Authentication server and method for controlling mobile communication terminal access to virtual private network | |
| CN102457376B (zh) | 一种云计算服务统一认证的方法和系统 | |
| CN103339901A (zh) | 内容导向网络环境中的终端和中间节点以及终端和中间节点的通信方法 | |
| CN101052032B (zh) | 一种业务实体认证方法及装置 | |
| JP2014527326A (ja) | 無線lan接続装置およびその動作方法 | |
| CN105763464A (zh) | 数据流量共享方法、装置和系统 | |
| CN110944319B (zh) | 5g通信身份验证方法、设备及存储介质 | |
| CN101022651A (zh) | 一种组合鉴权架构及其实现方法 | |
| CN109862605A (zh) | 一种用于终端设备的连网方法及设备 | |
| JP2004241976A (ja) | 移動通信ネットワークシステムおよび移動端末認証方法 | |
| CN115002769B (zh) | 流量分流方法、核心网网元、电子设备和介质 | |
| CN109982277A (zh) | 一种业务授权方法及装置 | |
| CN103067532A (zh) | 一种移动互联网用户统一标识管理方法及系统 | |
| CN111132305A (zh) | 5g用户终端接入5g网络的方法、用户终端设备及介质 | |
| CN100479570C (zh) | 连接建立方法、系统、网络应用实体及用户终端 | |
| Lin et al. | Proxy-based federated authentication: a transparent third-party solution for cloud-edge federation | |
| CN109863790A (zh) | 蜂窝网络辅助的wlan发现和选择 | |
| CN107733767B (zh) | 一种社交关系网的建立方法、装置和系统 | |
| CN101720085B (zh) | 智能卡应用方法、装置 | |
| CN102202291B (zh) | 无卡终端及其业务访问方法及系统、有卡终端及初始化服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20151216 Termination date: 20201026 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |