WO2012055339A1

WO2012055339A1 - 一种云计算服务的认证路由系统、方法和认证路由器

Info

Publication number: WO2012055339A1
Application number: PCT/CN2011/081136
Authority: WO
Inventors: 林兆骥; 陈小华
Original assignee: 中兴通讯股份有限公司
Priority date: 2010-10-26
Filing date: 2011-10-21
Publication date: 2012-05-03
Also published as: CN102457493A; CN102457493B; US8898747B2; EP2624501A4; EP2624501A1; US20130219476A1

Description

一种云计算服务的认证路由系统、方法和认证路由器技术领域

本发明涉及云计算技术领域，尤其涉及一种云计算服务的认证路由系统、方法和认证路由器。背景技术

随着计算机技术的快速发展，云计算正在越来越受关注，无论是互联网厂商和运营商，还是通信厂商和基础网络运营商，都对云计算表现出极大的关注。

狭义的云计算是指互联网技术（IT, Internet Technology )基础设施的交付和使用模式，指通过网络以按需、易扩展的方式获得所需的资源；广义的云计算是指服务的交付和使用模式，指通过网络以按需、易扩展的方式获得所需的服务。这种服务可以是 IT和软件、互联网相关的，也可以是任意其他的服务，云计算具有超大规模、虚拟化、可靠安全等优点。对于网络运营商而言，云计算可以使运营成本和操作维护成本大大降低，达到节能减排的目的，除此之外，还可以扩大运营的范围，而不仅仅受限于管道运营。在云计算环境下，一切资源都是可以运营的，都可以作为服务提供，包括应用程序、软件、平台、处理能力、存储、网络、计算资源以及其他基础设施等。对于用户而言，云计算使得随时、随地消费服务成为可能，用户可以不需要大量投资而获得运营业务所需的 IT资源，完全可以根据自己的需求来租用， IT资源像水、电和煤气一样，按需获取和计费。

云计算一般有三种主要的服务模式，基础设施即服务（ IaaS , Infrastructure as a Service, )、平台月良务 ( PaaS, Platform as a Service )和软件即月良务 ( SaaS , Software as a Service )。在云计算场景下，大量的用户信息都集中在云计算提供商，与传统的互联网业务相比，其信息更集中、信息资产价值更高、面临的攻击也会更多，这就要求云计算服务提供商能够具备更强大的用户认证机制来保障只有合法的用户才能够访问被授权的资源。

传统的解决方案是：每个云计算服务提供商都拥有自身的一套用户认证系统，一般称为本地认证服务器，如轻量目录访问协议（ LDAP , Lightweight Directory Access Protocol )目录服务器或者认证授权计费（ AAA, Authentication Authorization Accounting )月良务器等 , 用于认证用户对云计算服务的访问。这种方法的缺点是：云计算用户数量往往非常庞大，云计算服务提供商认证开销将大大增加；用户需要在不同的云计算服务提供商注册，用户体验差，而且隐私泄露的风险加大；除此之外，不同云计算服务提供商的认证解决方案各不相同，安全强度也不同，根据木桶原理，安全强度最弱的云计算服务提供商认证系统一旦被攻破，就很有可能使得其他云计算服务提供商的用户认证也受到威胁，因为一般用户为了便于记忆会使用相同或相似的认证凭证。发明内容

有鉴于此，本发明的主要目的在于提供一种云计算服务的认证路由系统、方法和认证路由器，以保证用户在使用云计算服务时，针对不同类型的用户终端和不同的网络接入方式，均能提供一致的用户认证体验和较高的认证安全强度，并有效保障用户的隐私安全。

为达到上述目的，本发明的技术方案是这样实现的：

本发明提供了一种云计算服务的认证路由系统，该系统包括：用户终端、认证路由器和认证服务器，其中，

所述认证路由器，设置为执行对云计算服务的注册，并保存注册成功的云计算服务的注册信息；还设置为，接收所述云计算服务对用户终端的认证请求，并根据保存的对应所述云计算服务的注册信息，将所述对用户终端的认证请求路由到相应的认证服务器；

所述用户终端，设置为请求和使用云计算服务；

所述认证服务器，设置为按照自身的认证机制对所述用户终端进行认证。

所述注册信息包括：云计算服务的索引号、云计算服务选定的认证机制、提供所述认证机制的认证服务器地址和所述认证服务器的路由策略。

所述认证路由器进一步包括：注册模块，设置为接收所述云计算服务的注册请求，向请求注册的云计算服务提供可选的认证机制列表，并接收所述云计算服务从列表中选定的认证机制，根据所述云计算服务选定的认证机制保存所述云计算服务的注册信息。

所述云计算服务对用户终端的认证请求中至少携带所述云计算服务的索引号；

相应的，所述认证路由器进一步包括：认证路由模块，设置为根据所述认证请求中携带的云计算服务的索引号，并根据预先设定的策略为所述云计算服务选择认证机制；根据所选认证机制查找注册信息中对应的认证服务器地址，将所述认证请求路由到相应的认证服务器。

所述认证服务器进一步设置为，在对所述用户终端进行认证时，如果所述用户终端不支持所述认证服务器的认证机制，则告知所述认证路由器；相应的，所述认证路由器的认证路由模块进一步设置为，在所述认证服务器告知用户终端不支持选择的认证机制时，根据预先设定的策略为所述云计算服务选择其他认证机制，并根据所选认证机制查找注册信息中对应的认证服务器地址，将所述认证请求路由到相应的认证服务器进行认证。

所述认证服务器进一步设置为，在对所述用户终端的认证完成后，向认证路由器返回认证结果；所述认证路由器将认证结果返回给云计算服务，所述云计算服务根据收到的认证结果，决定是否向所述用户终端提供云计算服务。

本发明还提供了一种云计算服务的认证路由方法，该方法包括：认证路由器执行对云计算服务的注册，并保存注册成功的云计算服务的注册信息；

用户终端请求云计算服务时，所述认证路由器接收被请求的云计算服务发送的对所述用户终端的认证请求；

所述认证路由器根据保存的对应所述云计算服务的注册信息，将所述用户终端的认证请求路由到相应的认证服务器进行认证。

所述认证路由器执行对云计算服务的注册，并保存注册信息，具体为：认证路由器接收所述云计算服务的注册请求；

认证路由器向请求注册的云计算服务提供可选的认证机制列表；所述云计算服务根据安全需求和策略，从可选的认证机制列表中选定合适的认证机制并返回给认证路由器；

认证路由器根据所述云计算服务选定的认证机制保存所述云计算服务的注册信息。

所述认证路由器根据所述认证请求中携带的云计算服务的索引号，并根据预先设定的策略为所述云计算服务选择认证机制；根据所选认证机制查找注册信息中对应的认证服务器地址，将所述认证请求路由到相应的认证服务器。

该方法进一步包括：认证服务器在对用户终端进行认证时，如果所述用户终端不支持认证服务器的认证机制，则告知所述认证路由器；

认证路由器根据预先设定的策略为所述云计算服务选择其他认证机制，并根据所选认证机制查找注册信息中对应的认证服务器地址，将所述认证请求路由到相应的认证服务器进行认证。

该方法进一步包括：

认证服务器在对所述用户终端的认证完成后，向认证路由器返回认证结果；

所述认证路由器将认证结果返回给云计算服务；

所述云计算服务根据收到的认证结果，决定是否向所述用户终端提供云计算服务。

本发明还提供了一种认证路由器，包括：

注册模块，设置为执行对云计算服务的注册，并保存注册成功的云计算服务的注册信息；

认证路由模块，设置为接收所述云计算服务对用户终端的认证请求，并根据保存的对应所述云计算服务的注册信息，将所述对用户终端的认证请求路由到相应的认证服务器进行认证。

所述注册模块进一步设置为，接收所述云计算服务的注册请求，向请求注册的云计算服务提供可选的认证机制列表，并接收所述云计算服务从列表中选定的认证机制，根据所述云计算服务选定的认证机制保存所述云计算服务的注册信息。

所述云计算服务对用户终端的认证请求中至少携带所述云计算服务的索引号；相应的，所述认证路由模块进一步设置为，根据所述认证请求中携带的云计算服务的索引号，并根据预先设定的策略为所述云计算服务选择认证机制；根据所选认证机制查找注册信息中对应的认证服务器地址，将所述认证请求路由到相应的认证服务器。

所述认证路由模块进一步设置为，在从所述认证服务器获知用户终端不支持选择的认证机制时，根据预先设定的策略为所述云计算服务选择其他认证机制，并根据所选认证机制查找注册信息中对应的认证服务器地址，将所述认证请求路由到相应的认证服务器进行认证。

所述认证路由模块进一步设置为，在所述认证服务器对用户终端的认证完成后，将认证服务器返回的认证结果转发给所述云计算服务。

本发明所提供的一种云计算服务的认证路由系统、方法和认证路由器，通过在云计算服务提供商内部署云计算服务认证路由器，使得云计算服务提供商可以借助其他更专业的认证基础设施为用户提供访问认证，由此实现减少云计算服务提供商的认证开销；使得认证和服务授权分离；保护用户的隐私；降低因为大规模用户访问云计算服务提供商而造成的认证单点失效问题，使得云计算服务的提供更加可靠、可信。附图说明

图 1为本发明实施例中云计算服务的认证路由系统的结构示意图；图为本发明实施例中云计算服务向认证路由器注册的流程图；图 3为本发明实施例中用户请求云计算服务的认证流程图；

图 4为本发明实施例中一种云计算服务的认证路由方法的流程图；图 5 为本发明实施例中一种云计算服务的认证路由系统的组成结构示意图。具体实施方式

下面结合附图和具体实施例对本发明的技术方案进一步详细阐述。本发明所提供的一种云计算服务的统一认证框架，如图 1 所示，该框架可以划分为三个域：认证服务提供商域、云计算服务提供商域和用户终端域。认证服务提供商域负责提供专业的云计算服务接入的用户认证，主要功能由认证服务器来完成，认证服务提供商域可以由网络提供商的认证基础设施构成，如：第三代合作伙伴计划（3GPP , The 3rd Generation Partnership Project ) 网络中的认证相关网元，或者归属用户服务器（HSS, Home Subscriber Server ) /答权中心 ( AuC, Authentication Center )或归属位置寄存器（HLR, Home Location Register ) /AuC及引导服务功能（BSF, Bootstrapping Service Function )或固定网络中的 AAA服务器，也可以是纯粹的身份提供商（Identity Provider ); 云计算服务提供商域中与认证相关的功能实体包括本地认证服务器和认证路由器，其中本地认证服务器负责本地用户的身份认证，认证路由器负责云计算服务的认证信息管理和维护、认证服务器的路由；用户终端域主要包括用户终端，负责认证请求与服务消费。

在云计算服务提供商域中，用户终端访问各种云计算服务可能需要不同安全强度的认证机制，云计算服务所需要的认证机制需要提前在认证路由器中预置；认证路由器是用户终端访问云计算服务时的认证边界入口功能实体，云计算服务通过一系列规定的注册流程和标准化的认证注册接口向认证路由器进行注册。注册流程如图 2所示，具体包括以下步驟：

步驟 201 , 云计算服务向认证路由器请求注册。

步驟 202, 认证路由器向云计算服务提供可选的认证机制。

提供这些认证机制的认证服务都是可以由云计算提供商认可的并且已经和云计算服务提供商提前建立信任关系的认证服务提供商提供。比较常用的认证机制有：基于用户身份识别模块（SIM, Subscriber Identity Module ) 卡的认证、基于通用集成电路卡（UICC, Universal Integrated Circuit Card ) 的认证、基于用户名口令的认证、基于证书的认证等等。

步驟 203 ,根据云计算服务的安全需求和策略，在认证路由器提供的认证机制列表中选择合适的认证机制（选择的认证机制可以为多种）。

步驟 204,根据云计算服务作出的选择，认证路由器保存云计算服务的索引号、被选定的认证机制、提供该认证机制的认证服务器的地址（如认证服务器的统一资源定位符 URL )和认证服务器的路由策略等信息。

步驟 205 , 认证路由器向云计算服务返回注册成功消息。

一旦某个云计算服务在认证路由器中注册完成后，那么终端用户访问云计算服务的认证就会根据预定的策略被路由到相应的认证服务器，由该认证服务器完成对用户的认证。在云计算服务没有向认证路由器注册的情况下，可以默认由本地认证服务器完成对用户的认证或者根本不需要对用户进行认证而让用户直接访问服务，这些接口可以在认证路由器的策略中设定。用户终端访问云计算服务的完整的认证流程如图 3 所示，具体包括以下步驟：

步驟 301 ,用户终端请求云计算服务，这些服务可以是 SaaS服务、 PaaS 服务或 IaaS服务。

步驟 302, 云计算服务请求认证路由器对用户终端的请求进行认证，请求消息中至少需要携带云计算服务的索引号。

步驟 303 ,认证路由器根据计算服务的索引号，并根据预先设定的策略为云计算服务选择认证机制。所述预先设定的策略可以是：按照认证机制的安全强度由高到低的顺序选择、按照认证机制的复杂度由低到高的顺序选择等等。

步驟 304,根据选择的认证机制对应的认证服务器的地址，将认证请求路由至相应的认证服务器。

步驟 305 , 认证服务器使用选定的认证机制对终端用户进行认证。

需要说明的是，如果终端用户不支持该认证机制，那么跳转至步驟 303 , 重复上述流程，直到路由到合适的认证服务器为止。认证路由器可以根据云计算服务的要求设置路由策略，以满足整个认证过程在时延或者协议开销或者认证安全强度等方面的需求。

步驟 306, 如果认证服务器对终端用户认证完成，那么向认证路由器返回认证结果。

步驟 307, 认证路由器将认证结果返回给云计算服务。

步驟 308, 云计算服务根据收到的认证结果，决定是否可以向终端用户提供服务。

需要指出的是，上述流程中的认证服务器可以是云计算服务提供商本地认证服务器，也可以是非本地认证服务器，云计算服务提供商可以提供接口使得认证服务提供方与之建立信任关系，并添加如云计算服务提供商的认证路由器中。

结合以上技术方案的描述可以看出，本发明云计算服务的认证路由技术包含图 4所示的操作思路。如图 4所示，图 4为本发明实施例的云计算服务的认证路由方法的流程图，该流程主要包括以下步驟：

步驟 401 ,认证路由器执行对云计算服务的注册，并保存注册成功的云计算服务的注册信息。

该注册信息至少包括：云计算服务的索引号、提供认证机制的认证服务器地址；还可以进一步包括：云计算服务选定的认证机制、认证服务器的路由策略。本发明的注册信息并非仅限于上述所举，还可以根据实际需要进行扩展。

具体的：认证路由器接收云计算服务的注册请求；认证路由器向请求注册的云计算服务提供可选的认证机制列表；云计算服务根据安全需求和认证路由器根据云计算服务选定的认证机制保存云计算服务的上述注册信步驟 402, 用户终端请求云计算服务时，认证路由器接收被请求的云计算服务发送的对该用户终端的认证请求。

云计算服务对用户终端的认证请求中至少携带云计算服务的索引号；认证路由器根据认证请求中携带的云计算服务的索引号，并根据预先设定的策略为云计算服务选择认证机制；根据所选认证机制查找注册信息中对应的认证服务器地址，将认证请求路由到相应的认证服务器。

步驟 403 ,认证路由器根据保存的对应云计算服务的注册信息，将用户终端的认证请求路由到相应的认证服务器进行认证。

认证服务器在对用户终端进行认证时，如果用户终端不支持认证服务器的认证机制，则告知认证路由器；认证路由器根据预先设定的策略为云计算服务选择其他认证机制，并根据所选认证机制查找注册信息中对应的认证服务器地址，将认证请求路由到相应的认证服务器进行认证。

此外，认证服务器在对用户终端的认证完成后，向认证路由器返回认证结果，认证路由器将认证结果返回给云计算服务，云计算服务根据收到的认证结果决定是否向用户终端提供云计算服务。

对应上述云计算服务的认证路由方法，本发明的云计算服务的认证路由系统，如图 5所示，包括：用户终端 10、认证路由器 20和认证服务器 30。其中，认证路由器 20, 用于执行对云计算服务的注册，并保存注册成功的云计算服务的以下注册信息：云计算服务的索引号、云计算服务选定的认证机制、提供认证机制的认证服务器地址和认证服务器的路由策略。用户终端 10, 用于请求和使用云计算服务；认证路由器 20还用于，接收云计算服务对用户终端 10的认证请求，并根据保存的对应云计算服务的注册信息，将用户终端 10的认证请求路由到相应的认证服务器 30。认证服务器 30, 用于按照自身的认证机制对用户终端 10进行认证。

其中，认证路由器 20进一步包括：注册模块 21和认证路由模块 22。注册模块 21 , 用于执行对云计算服务的注册，并保存注册成功的云计算服务的注册信息。具体的：接收云计算服务的注册请求，向请求注册的云计算服务提供可选的认证机制列表，并接收云计算服务从列表中选定的认证机制，根据云计算服务选定的认证机制保存云计算服务的注册信息。认证路由模块 22, 用于接收云计算服务对用户终端 10的认证请求，并根据保存的对应云计算服务的注册信息，将对用户终端 10的认证请求路由到相应的认证服务器进行认证。

进一步的，云计算服务对用户终端 10的认证请求中至少携带云计算服务的索引号；那么相应的，认证路由模块 20还用于，根据认证请求中携带的云计算服务的索引号，并根据预先设定的策略为云计算服务选择认证机制；根据所选认证机制查找注册信息中对应的认证服务器地址，将认证请求路由到相应的认证服务器 30。

进一步的，认证路由模块 20还可用于，在从认证服务器 30获知用户终端 10不支持选择的认证机制时，根据预先设定的策略为云计算服务选择其他认证机制，并根据所选认证机制查找注册信息中对应的认证服务器地址，将认证请求路由到相应的认证服务器 30重新进行认证。

进一步的，认证路由模块 20还可用于，在认证服务器 30对用户终端 10的认证完成后，将认证服务器返回的认证结果转发给云计算服务。

综上所述，本发明通过在云计算服务提供商内部署云计算服务认证路由器，使得云计算服务提供商可以借助其他更专业的认证基础设施为用户提供访问认证，由此实现减少云计算服务提供商的认证开销；使得认证和服务授权分离；保护用户的隐私；降低因为大规模用户访问云计算服务提供商而造成的认证单点失效问题，使得云计算服务的提供更加可靠、可信。

以上所述，仅为本发明的较佳实施例，并非用于限定本发明的保护范围。

Claims

权利要求书

1、一种云计算服务的认证路由系统，该系统包括：用户终端、认证路由器和认证服务器，其中，

所述用户终端，设置为请求和使用云计算服务；

2、根据权利要求 1所述云计算服务的认证路由系统，其中，所述注册信息包括：云计算服务的索引号、云计算服务选定的认证机制、提供所述认证机制的认证服务器地址和所述认证服务器的路由策略。

3、根据权利要求 1或 2所述云计算服务的认证路由系统，其中，所述认证路由器进一步包括：注册模块，设置为接收所述云计算服务的注册请求，向请求注册的云计算服务提供可选的认证机制列表，并接收所述云计算服务从列表中选定的认证机制，根据所述云计算服务选定的认证机制保存所述云计算服务的注册信息。

4、根据权利要求 2所述云计算服务的认证路由系统，其中，所述云计算服务对用户终端的认证请求中至少携带所述云计算服务的索引号；

5、根据权利要求 4所述云计算服务的认证路由系统，其中，所述认证服务器进一步设置为，在对所述用户终端进行认证时，如果所述用户终端不支持所述认证服务器的认证机制，则告知所述认证路由器；

相应的，所述认证路由器的认证路由模块进一步设置为，在所述认证服务器告知用户终端不支持选择的认证机制时，根据预先设定的策略为所述云计算服务选择其他认证机制，并根据所选认证机制查找注册信息中对应的认证服务器地址，将所述认证请求路由到相应的认证服务器进行认证。

6、根据权利要求 1或 2所述云计算服务的认证路由系统，其中，所述认证服务器进一步设置为，在对所述用户终端的认证完成后，向认证路由器返回认证结果；

所述认证路由器将认证结果返回给云计算服务，所述云计算服务根据收到的认证结果，决定是否向所述用户终端提供云计算服务。

7、一种云计算服务的认证路由方法，该方法包括：

认证路由器执行对云计算服务的注册，并保存注册成功的云计算服务的注册信息；

8、根据权利要求 7所述云计算服务的认证路由方法，其中，所述注册信息包括：云计算服务的索引号、云计算服务选定的认证机制、提供所述认证机制的认证服务器地址和所述认证服务器的路由策略。

9、根据权利要求 7或 8所述云计算服务的认证路由方法，其中，所述认证路由器执行对云计算服务的注册，并保存注册信息，具体为：

认证路由器接收所述云计算服务的注册请求；

10、根据权利要求 8所述云计算服务的认证路由方法，其中，所述云计算服务对用户终端的认证请求中至少携带所述云计算服务的索引号；所述认证路由器根据所述认证请求中携带的云计算服务的索引号，并根据预先设定的策略为所述云计算服务选择认证机制；根据所选认证机制查找注册信息中对应的认证服务器地址，将所述认证请求路由到相应的认证服务器。

11、根据权利要求 10所述云计算服务的认证路由方法，其中，该方法进一步包括：

认证服务器在对用户终端进行认证时，如果所述用户终端不支持认证服务器的认证机制，则告知所述认证路由器；

12、根据权利要求 7或 8所述云计算服务的认证路由方法，其中，该方法进一步包括：

所述认证路由器将认证结果返回给云计算服务；

13、一种认证路由器，包括：注册模块，设置为执行对云计算服务的注册，并保存注册成功的云计算服务的注册信息；

14、根据权利要求 13所述认证路由器，其中，所述注册信息包括：云计算服务的索引号、云计算服务选定的认证机制、提供所述认证机制的认证服务器地址和所述认证服务器的路由策略。

15、根据权利要求 13或 14所述认证路由器，其中，所述注册模块进一步设置为，接收所述云计算服务的注册请求，向请求注册的云计算服务提供可选的认证机制列表，并接收所述云计算服务从列表中选定的认证机制，根据所述云计算服务选定的认证机制保存所述云计算服务的注册信息。

16、根据权利要求 14所述认证路由器，其中，所述云计算服务对用户终端的认证请求中至少携带所述云计算服务的索引号；

相应的，所述认证路由模块进一步设置为，根据所述认证请求中携带的云计算服务的索引号，并根据预先设定的策略为所述云计算服务选择认证机制；根据所选认证机制查找注册信息中对应的认证服务器地址，将所述认证请求路由到相应的认证服务器。

17、根据权利要求 16所述认证路由器，其中，所述认证路由模块进一步设置为，在从所述认证服务器获知用户终端不支持选择的认证机制时，根据预先设定的策略为所述云计算服务选择其他认证机制，并根据所选认证机制查找注册信息中对应的认证服务器地址，将所述认证请求路由到相应的认证服务器进行认证。

18、根据权利要求 13或 14所述认证路由器，其中，所述认证路由模块进一步设置为，在所述认证服务器对用户终端的认证完成后，将认证服务器返回的认证结果转发给所述云计算服务。