CN103051631B - PaaS平台与SaaS应用系统的统一安全认证方法 - Google Patents
PaaS平台与SaaS应用系统的统一安全认证方法 Download PDFInfo
- Publication number
- CN103051631B CN103051631B CN201210566128.5A CN201210566128A CN103051631B CN 103051631 B CN103051631 B CN 103051631B CN 201210566128 A CN201210566128 A CN 201210566128A CN 103051631 B CN103051631 B CN 103051631B
- Authority
- CN
- China
- Prior art keywords
- user
- token
- application system
- platform
- voucher
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及云计算领域,特别是一种基于云计算的PaaS平台与SaaS应用系统的统一安全认证方法。本发明采用PaaS平台作为SaaS应用的集中验证服务器。用户首先登录PaaS平台,登录成功后产生唯一数据标识,用于识别授权用户令牌,把令牌和用户信息组成关系表写入缓存服务器。此令牌做为进入各SaaS应用系统的唯一凭证。本发明改善了软件系统的可维护性、可扩展性和可伸缩性、安全性和资源高效利用问题,实现安全共享会话一站式登录,避免多次登录;可以应用于云计算的PaaS平台和SaaS平台统一认证中。
Description
技术领域
本发明涉及云计算领域,特别是一种基于云计算的PaaS平台与SaaS应用系统的统一安全认证方法。
背景技术
云计算(Cloud Computing)是虚拟化(Virtualization)、效用计算(UtilityComputing)、laaS(基础设施即服务)、PaaS(平台即服务)、SaaS(软件即服务)等概念混合演进并跃升的结果。它提供了一个全新的互联网商业服务模型,即用户可以通过网络以按需、易扩展的方式租用所需的服务。
G-Cloud云操作系统支持大规模虚拟计算资源、存储资源、网络资源的统一管理,可在已有IT基础设施的基础上实现可扩展的高效私有云和混合云。G-Cloud云操作系统主要功能包括计算资源管理、存储资源管理、网络资源管理、密钥对管理、安全组管理、镜像管理、用户管理、系统配置等。产品适用于IDC和信息中心等需要进行大规模资源管理的场景,可以极大地提高服务器的使用率,减少企业在IT资源维护上的费用和人工成本,轻松实现“节能减排”、“低碳”等战略效果,同时很大程度上简化了物理和虚拟环境中的服务器管理和应用部署,在规模化的基础上产生更好的成本效应,是一整套具备可行性、易用性、可扩展性的云计算操作系统解决方案。
由于SaaS应用系统各信息系统都有独立的用户组织体系,采用“用户名+密码”的方式来实现身份认证和授权访问。从而存在如下一些主要问题:1、终端用户需要记住多个用户名和密码;2、终端用户需要登录不同的信息系统以获取信息;3、系统管理员难以应付对用户的管理;4、难以实施系统使用安全方面的管理措施。5.当前一般只是采用安全墙对文件或者数据库的加解密功能,没有最终解决用户访问的安全性。
发明内容
本发明解决的问题技术问题在于提供一种基于云计算的PaaS平台与SaaS应用系统的统一安全认证方法;实现安全共享会话一站式登录,避免多次登录。
本发明解决上述技术问题的技术方案包括:
包括以下步骤,
第1步,用户通过浏览器访问SaaS应用系统时,跳转到PaaS平台服务器系统登录界面;
第2步,用户输入帐号、密码、验证码进行登录,PaaS平台验证通过后到国云安全墙进行身份安全验证;
第3步,国云安全墙根据不同系统的用户绑定不同的用户认证证书,验证登录UKey是否合法;
第4步,安全墙验证通过后,PaaS平台认证鉴权服务器产生用户凭证,同时产生令牌和登录用户的信息,并记录令牌与用户凭证之间的对应关系;令牌使用Cookie,并指定Cookie的域名Cookie.Domain="cncloud.com.cn";
第5步,PaaS平台认证鉴权服务器把令牌与用户凭证之间的对应关系表写入缓存服务器;
第6步,SaaS应用服务器通过Redirect到主站页面,然后URL参数方式回传读取Cookie中的令牌(Token);
第7步,SaaS应用系统检测到用户已持有令牌后,用令牌再次去获取用户凭证,获取成功后允许用户访问授权页面;
第8步,SaaS应用系统根据令牌(Token)从缓存服务器中获取对应关系表中的用户信息;
第9步,登录成功;
SaaS应用系统获取用户凭证成功后同时产生本地凭证,当该用户需要再次验证时先检查本地凭证;
所述的安全墙采用实时加解密的主动加密防泄密,对集成在PaaS平台上的应用系统权限进行控制。
所述方法基于G-Cloud云操作系统,利用所述的系统对服务器集群进行硬件虚拟化,然后根据应用系统不同要求配置不同的操作系统,对硬件资源进行动态、统一地分配管理。
本发明的有益效果有:
1、本发明改善了软件系统的可维护性、可扩展性和可伸缩性、安全性和资源高效利用问题,可以应用于云计算的PaaS平台系统中。从而实现安全共享会话一站式登录,避免多次登录。
2、改造了安全墙,安全墙的用户和PaaS平台的用户实现同步,用户登录PaaS需要到安全墙里验证用户的合法性。利用安全墙的安全功能彻底解决了PaaS访问的安全性。
3、无缝引入缓存服务器,提高了200%的性能,有质的飞跃。同样系统的环境,不加缓存服务器访问的用户数可以支持300人并发,添加了缓存服务器至少可以支持1000人并发,达到了理想的效果。
附图说明
下面结合对附图对本发明进一步说明:
附图是本发明统一安全认证流程图。
具体实施方式
本发明统一安全认证方法涉及的系统包括云操作系统、国云安全墙、PaaS平台认证鉴权服务器、SaaS应用服务器、缓存服务器。云操作系统提供支撑云计算平台的运行能力,包括对云计算平台的资源管理、配置和容量管理,以及实现云计算服务的自动化部署技术;此外,云操作系统还提供系统的安全备份、监控以及灾备管理。安全墙是采用加密技术同时使不同系统的用户绑定不同的用户认证证书(通过UKey来绑定),采用实时加解密的主动加密防泄密技术使涉密数据“正常用,带不走,偷走了,没有用”。PaaS平台认证鉴权服务器是从浏览器中获取与所述用户相关的信息,通过用户名和密码验证用户是否已正确,登录成功后颁发令牌和凭证,所属的凭证是用户信息和令牌的关系表。的SaaS应用服务器是用户通过浏览器发出登录业务系统的请求,并提供给所述PaaS平台认证鉴权服务器处理服务器。分站凭证主要用于减少重复验证时网络的交互,比如用户已在分站a上登录过,当他再次访问分站a时,就不必使用令牌去主站验证了,因为分站a已有该用户的凭证。缓存服务器是用来保存PaaS平台认证鉴权服务器生成的令牌和用户信息所用。
本发明先由云操作系统部署包括前端代理、Portal、云控制器、云存储控制器、共享存储服务器、集群控制器、主节点控制器、备节点控制器、块设备存储控制器、证书签发中心、监控控制器的安装与配置;然后,采用实时加解密技术、主动加密技术、大型数据库加密支持技术对国云在线PaaS平台和平台上的SaaS系统的用户数据进行加密,保障用户数据安全。再利用云操作系统提供的虚拟技术建设PaaS平台,集成SaaS系统。
如图1所示,本发明PaaS平台与SaaS应用系统的统一安全认证按以下具体步骤进行:
第1步,用户通过浏览器访问SaaS应用系统,跳转PaaS平台服务器系统登录界面;
第2步,用户输入帐号、密码、验证码进行登录,PaaS平台验证通过后到国云安全墙进行身份安全验证。
第3步,国云安全墙根据不同系统的用户绑定不同的用户认证证书,验证登录UKey是否合法。
第4步,安全墙验证通过后,PaaS平台认证鉴权服务器产生凭证,同时产生令牌和登录用户的信息,并记录令牌与用户凭证之间的对应关系。令牌要在各跨域中进行流通,令牌使用Cookie,并指定Cookie的域名Cookie.Domain="cncloud.com.cn"。
第5步,PaaS平台认证鉴权服务器把令牌与用户凭证之间的对应关系表写入缓存服务器。
第6步,SaaS应用服务器通过Redirect到主站页面,然后URL参数方式回传读取Cookie中的令牌(Token)。
第7步,SaaS应用系统检测到用户已持有令牌,于是用令牌再次去获取用户凭证,获取成功后允许用户访问该授权页面。同时产生本地凭证,当该用户需要再次验证时将先检查本地凭证,以减少网络交互。
第8步,SaaS应用系统根据令牌(Token)从缓存服务器中获取对应关系表中的用户信息。
第9步,登录成功。
基于本发明系统的上述方法,使本发明具有以下特点:
1、利用G-Cloud的容错功能实现数据完整性,保障存储的数据不丢失,并进行多个副本的灾备。多层和全方位数据传送安全,通过https协议实现传输安全性,保障数据在互联网传输过程中都是经过加密的,以防止数据在传输过程中被截包泄露。通过国云科技自主研发的安全墙实现访问控制,保障服务器和数据隔离。
2、令牌:令牌由PaaS平台颁发,PaaS平台颁发令牌同时生成用户凭证,并记录令牌与用户凭证之间的对应关系,以根据用户提供的令牌响应对应的凭证;令牌要在各跨域SaaS应用系统中进行流通,所以令牌使用PaaS平台的Cookie,并指定Cookie.Domain="cncloud.com.cn"。各SaaS应用系统如何共享PaaS平台的Cookie,从SaaS应用系统Redirect到PaaS平台页面,然后该页面读取Cookie并以URL参数方式回传即可。
3、PaaS平台凭证:PaaS平台凭证是一个关系表,包含了三个字段:令牌、凭证数据、过期时间。采用缓存服务器保存关系表。
4、SaaS应用系统凭证:SaaS应用系统凭证主要用于减少重复验证时网络的交互,比如用户已在SaaS应用系统a上登录过,当他再次访问SaaS应用系统a时,就不必使用令牌去PaaS平台验证了,因为SaaS应用系统a已有该用户的凭证。SaaS应用系统凭证相对比较简单,采用Session保存。
5、用户退出:用户退出时分别清空PaaS平台凭证与当前SaaS应用系统凭证。如果要求SaaS应用系统a点退出,SaaS应用系统b、SaaS应用系统c也退出,可自行扩展接口清空每个SaaS应用系统凭证。
6、PaaS平台过期凭证/令牌清除,定时清除字缓存服务器。
Claims (2)
1.基于云计算的PaaS平台与SaaS应用系统的统一安全认证方法,其特征在于:包括以下步骤,
第1步,用户通过浏览器访问SaaS应用系统时,跳转到PaaS平台服务器系统登录界面;
第2步,用户输入帐号、密码、验证码进行登录,PaaS平台验证通过后到国云安全墙进行身份安全验证;
第3步,国云安全墙根据不同系统的用户绑定不同的用户认证证书,验证登录UKey是否合法;
第4步,安全墙验证通过后,PaaS平台认证鉴权服务器产生用户凭证,同时产生令牌和登录用户的信息,并记录令牌与用户凭证之间的对应关系;令牌使用Cookie,并指定Cookie的域名Cookie.Domain=″cncloud.com.cn″;
第5步,PaaS平台认证鉴权服务器把令牌与用户凭证之间的对应关系表写入缓存服务器;
第6步,SaaS应用服务器通过Redirect到主站页面,然后URL参数方式回传读取Cookie中的令牌(Token);
第7步,SaaS应用系统检测到用户已持有令牌后,用令牌再次去获取用户凭证,获取成功后允许用户访问授权页面;
第8步,SaaS应用系统根据令牌(Token)从缓存服务器中获取对应关系表中的用户信息;
第9步,登录成功;
SaaS应用系统获取用户凭证成功后同时产生本地凭证,当该用户需要再次验证时先检查本地凭证;
所述的安全墙采用实时加解密的主动加密防泄密,对集成在PaaS平台上的应用系统权限进行控制。
2.根据权利要求1所述的统一安全认证方法,其特征在于:所述方法基于G-Cloud云操作系统,利用所述的系统对服务器集群进行硬件虚拟化,然后根据应用系统不同要求配置不同的操作系统,对硬件资源进行动态、统一地分配管理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210566128.5A CN103051631B (zh) | 2012-12-21 | 2012-12-21 | PaaS平台与SaaS应用系统的统一安全认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210566128.5A CN103051631B (zh) | 2012-12-21 | 2012-12-21 | PaaS平台与SaaS应用系统的统一安全认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103051631A CN103051631A (zh) | 2013-04-17 |
CN103051631B true CN103051631B (zh) | 2015-07-15 |
Family
ID=48064130
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210566128.5A Active CN103051631B (zh) | 2012-12-21 | 2012-12-21 | PaaS平台与SaaS应用系统的统一安全认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103051631B (zh) |
Families Citing this family (37)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103209223B (zh) * | 2013-04-27 | 2016-08-10 | 中国农业银行股份有限公司 | 分布式应用会话信息共享方法、系统和应用服务器 |
CN103259663A (zh) * | 2013-05-07 | 2013-08-21 | 南京邮电大学 | 一种云计算环境下的用户统一认证方法 |
CN103780607B (zh) * | 2014-01-13 | 2017-07-04 | 西安电子科技大学 | 基于不同权限的重复数据删除的方法 |
CN103812865B (zh) * | 2014-01-28 | 2017-02-01 | 北京仿真中心 | 一种云资源平台下实现用户透明登录的方法 |
CN103841117B (zh) * | 2014-03-21 | 2017-06-06 | 北京京东尚科信息技术有限公司 | 一种基于Cookie机制的JAAS登录方法和服务器 |
CN103984600B (zh) * | 2014-05-07 | 2017-06-06 | 福建今日特价网络有限公司 | 一种基于云计算的财务数据处理方法 |
CN104158807B (zh) * | 2014-08-14 | 2017-07-28 | 福州环亚众志计算机有限公司 | 一种基于PaaS的安全云计算方法和系统 |
CN105847220A (zh) * | 2015-01-14 | 2016-08-10 | 北京神州泰岳软件股份有限公司 | 一种认证方法、系统和服务平台 |
CN106162574B (zh) * | 2015-04-02 | 2020-08-04 | 成都鼎桥通信技术有限公司 | 集群系统中应用统一鉴权方法、服务器与终端 |
CN106211152B (zh) | 2015-04-30 | 2019-09-06 | 新华三技术有限公司 | 一种无线接入认证方法及装置 |
CN106533685B (zh) * | 2015-09-09 | 2020-12-08 | 腾讯科技(深圳)有限公司 | 身份认证方法、装置及系统 |
CN107016524A (zh) * | 2015-12-18 | 2017-08-04 | Sap欧洲公司 | 受控参考进程可扩展性框架 |
CN105430102B (zh) * | 2015-12-28 | 2018-11-06 | 东软集团股份有限公司 | SaaS网站与第三方系统的集成方法、系统及其装置 |
US10320844B2 (en) | 2016-01-13 | 2019-06-11 | Microsoft Technology Licensing, Llc | Restricting access to public cloud SaaS applications to a single organization |
CN105871851B (zh) * | 2016-03-31 | 2018-11-30 | 广州中国科学院计算机网络信息中心 | 基于SaaS身份认证方法 |
US10242205B2 (en) | 2016-08-23 | 2019-03-26 | Red Hat, Inc. | Automatic parameter value generation |
CN106411941B (zh) * | 2016-11-24 | 2019-05-07 | 济南浪潮高新科技投资发展有限公司 | 一种云环境下安全认证资源分配和管理方法 |
CN106603535B (zh) * | 2016-12-17 | 2019-08-20 | 苏州亿阳值通科技发展股份有限公司 | 基于SaaS平台的安全系统构架 |
CN108540433B (zh) * | 2017-03-06 | 2020-10-27 | 华为技术有限公司 | 用户身份校验方法及装置 |
CN107026864A (zh) * | 2017-04-14 | 2017-08-08 | 东莞中国科学院云计算产业技术创新与育成中心 | 基于云计算的孵化在线SaaS平台 |
CN107438067A (zh) * | 2017-06-27 | 2017-12-05 | 北京溢思得瑞智能科技研究院有限公司 | 一种基于mesos容器云平台的多租户构建方法及系统 |
US11120108B2 (en) | 2017-09-30 | 2021-09-14 | Oracle International Corporation | Managing security artifacts for multilayered applications |
CN107911363A (zh) * | 2017-11-14 | 2018-04-13 | 福建中金在线信息科技有限公司 | 用户信息保存方法、装置和服务器 |
CN107862198A (zh) * | 2017-11-17 | 2018-03-30 | 浪潮软件股份有限公司 | 一种访问验证方法、系统及客户端 |
CN107948214A (zh) * | 2018-01-17 | 2018-04-20 | 北京网信云服信息科技有限公司 | 一种共享登录方法及装置 |
CN109005159B (zh) * | 2018-07-03 | 2021-02-19 | 中国联合网络通信集团有限公司 | 终端访问系统服务器的数据处理方法与认证服务器 |
CN109067542B (zh) * | 2018-07-12 | 2021-07-06 | 杭州安恒信息技术股份有限公司 | Token生成方法、基于Token的追踪方法及装置 |
CN109327597A (zh) * | 2018-08-03 | 2019-02-12 | 奇酷互联网络科技(深圳)有限公司 | 移动终端和私密系统的进入的方法、装置 |
CN109829271B (zh) * | 2018-12-27 | 2021-07-20 | 深圳云天励飞技术有限公司 | 鉴权方法及相关产品 |
CN109684873B (zh) * | 2018-12-29 | 2020-12-29 | 金蝶软件(中国)有限公司 | 数据访问控制方法、装置、计算机设备和存储介质 |
CN112511352B (zh) * | 2020-12-01 | 2023-01-24 | 深圳市鹰硕技术有限公司 | 一种用户管理方法及系统 |
CN112559994B (zh) * | 2020-12-25 | 2023-12-01 | 北京百度网讯科技有限公司 | 访问控制方法、装置、设备及存储介质 |
CN113922986B (zh) * | 2021-09-09 | 2024-02-09 | 南京优飞保科信息技术有限公司 | 一种多终端权限管理方法和设备 |
CN114124571B (zh) * | 2021-12-09 | 2024-07-16 | 上海甄云信息科技有限公司 | 一种多路对接的单点登录方法及系统 |
CN114513344B (zh) * | 2022-01-26 | 2024-05-24 | 鼎捷软件股份有限公司 | 云应用间的集成系统及其方法 |
CN114745156A (zh) * | 2022-03-15 | 2022-07-12 | 湖南常德牌水表制造有限公司 | 分布式单点登录实现方法、装置、电子设备及存储介质 |
CN117951120B (zh) * | 2024-03-26 | 2024-07-23 | 浪潮云信息技术股份公司 | 一种CloudBeaver数据库管理系统集成到云平台的方法及装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101014958A (zh) * | 2004-07-09 | 2007-08-08 | 松下电器产业株式会社 | 管理用户认证和服务授权以获得单次登录来接入多个网络接口的系统和方法 |
CN102571948A (zh) * | 2011-12-29 | 2012-07-11 | 国云科技股份有限公司 | 基于云计算的PaaS平台系统及其实现方法 |
-
2012
- 2012-12-21 CN CN201210566128.5A patent/CN103051631B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101014958A (zh) * | 2004-07-09 | 2007-08-08 | 松下电器产业株式会社 | 管理用户认证和服务授权以获得单次登录来接入多个网络接口的系统和方法 |
CN102571948A (zh) * | 2011-12-29 | 2012-07-11 | 国云科技股份有限公司 | 基于云计算的PaaS平台系统及其实现方法 |
Also Published As
Publication number | Publication date |
---|---|
CN103051631A (zh) | 2013-04-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103051631B (zh) | PaaS平台与SaaS应用系统的统一安全认证方法 | |
CN103475666B (zh) | 一种物联网资源的数字签名认证方法 | |
CN105991734B (zh) | 一种云平台管理方法及系统 | |
CN103259663A (zh) | 一种云计算环境下的用户统一认证方法 | |
CN106411857B (zh) | 一种基于虚拟隔离机制的私有云gis服务访问控制方法 | |
CN101242272B (zh) | 基于移动代理和断言的网格跨域安全平台的实现方法 | |
CN107483491A (zh) | 一种云环境下分布式存储的访问控制方法 | |
CN112632164B (zh) | 一种实现可信权限访问的通用跨链编程接口方法 | |
US8140853B2 (en) | Mutually excluded security managers | |
US20110283106A1 (en) | Method for realizing authentication center and authentication system | |
CN112822675A (zh) | 面向MEC环境的基于OAuth2.0的单点登录机制 | |
US20150149530A1 (en) | Redirecting Access Requests to an Authorized Server System for a Cloud Service | |
CN103428203A (zh) | 接入访问控制方法及设备 | |
CN110891060A (zh) | 一种基于多业务系统集成的统一认证系统 | |
CN106790555A (zh) | 一种社区化教育资源共享服务接口的实现方法和系统 | |
CN102984045B (zh) | 虚拟专用网的接入方法及虚拟专用网客户端 | |
CN105262780B (zh) | 一种权限控制方法及系统 | |
JP2006053923A5 (zh) | ||
CN106330813A (zh) | 一种处理授权的方法、设备和系统 | |
CN109150800A (zh) | 一种登录访问方法、系统和存储介质 | |
CN104580081A (zh) | 一种集成式单点登录系统 | |
WO2009129719A1 (zh) | 网络服务中的票据认证方法、系统及实体 | |
CN103607403A (zh) | 一种nat网络环境下使用安全域的方法、装置和系统 | |
Chen et al. | Design of web service single sign-on based on ticket and assertion | |
CN110620750A (zh) | 一种分布式系统的网络安全验证方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP02 | Change in the address of a patent holder | ||
CP02 | Change in the address of a patent holder |
Address after: 523808 19th Floor, Cloud Computing Center, Chinese Academy of Sciences, No. 1 Kehui Road, Songshan Lake Hi-tech Industrial Development Zone, Dongguan City, Guangdong Province Patentee after: G-Cloud Technology Co., Ltd. Address before: 523808 No. 14 Building, Songke Garden, Songshan Lake Science and Technology Industrial Park, Dongguan City, Guangdong Province Patentee before: G-Cloud Technology Co., Ltd. |