多云应用网关的身份认证方法、装置、计算机设备及介质与流程

1.本发明涉及数据处理领域，尤其涉及一种多云应用网关的身份认证方法、装置、计算机设备及介质。


背景技术：

2.随着计算机技术的快速发展，越来越多的事务通过网络进行处理，一些大的互联网公司，为满足业务需要，采用多云环境作为解决方案，多云环境是同时使用两个或多个云计算平台。部署可能使用公共云，私有云或两者的某种组合。多云部署旨在硬件/软件故障的情况下提供冗余，并避免供应商的锁定，多云应用网关是整个多云系统架构的第一道防线，在发生非法攻击时，也是被攻击的第一个目标，因此安全认证网关自身的安全性显得尤为重要。


技术实现要素：

3.本发明实施例提供一种多云应用网关的身份认证方法、装置、计算机设备和存储介质，以提高多云应用网关的身份认证的安全性。
4.为了解决上述技术问题，本技术实施例提供一种多云应用网关的身份认证方法，包括：
5.在接收到客户端的身份验证请求时，从所述身份验证中获取请求来源标识和身份验证信息；
6.基于所述请求来源标识，确定所述身份验证请求的登录类型，其中，所述登录类型包括跨域登录和域内登录；
7.若所述登录类型为域内登录，则通过单因素论证的方式对所述身份验证信息进行身份验证，或者，若所述登录类型为域内登录，则通过双因素论证的方式对所述身份验证信息进行身份验证；
8.若所述登录类型为跨域登录，则采用kerberos协议的方式，对所述身份验证信息进行身份认证。
9.可选地，所述请求来源标识为太网地址、物理地址ip地址或者中的至少一种。
10.可选地，所述基于所述请求来源标识，确定所述身份验证请求的登录类型包括：
11.将所述请求来源标识与每个登录类型对应的来源库中的地址标识进行对比，确定所述请求来源标识所述的来源库；
12.基于所述请求来源标识所属的来源库，确定所述请求来源标识的登录类型。
13.可选地，所述单因素论证的方式包括登录窗口验证和数字证书验证。
14.可选地，所述若所述登录类型为域内登录，则通过单因素论证进行身份验证包括：
15.对所述身份验证信息进行对比验证，得到验证结果；
16.在验证结果为验证失败时，向客户端发送验证失败的提示，并重新从所述客户端接收身份验证信息进行验证，若验证结果为验证失败的次数超过预设次数，则对该身份验
证信息对应的账户进行锁定；
17.在验证结果为验证成功时，生成所述身份验证信息对应的临时令牌，并基于所述临时令牌，进行多云应用登录。
18.可选地，所述若所述登录类型为域内登录，则通过双因素论证的方式对所述身份验证信息进行身份验证包括：
19.采用单因素验证结合一次性口令otp的方式，对所述身份验证信息进行身份验证。
20.为了解决上述技术问题，本技术实施例还提供一种多云应用网关的身份认证装置，包括：
21.请求接收模块，用于在接收到客户端的身份验证请求时，从所述身份验证中获取请求来源标识和身份验证信息；
22.类型确定模块，用于基于所述请求来源标识，确定所述身份验证请求的登录类型，其中，所述登录类型包括跨域登录和域内登录；
23.第一验证模块，用于若所述登录类型为域内登录，则通过单因素论证的方式对所述身份验证信息进行身份验证，或者，若所述登录类型为域内登录，则通过双因素论证的方式对所述身份验证信息进行身份验证；
24.第二验证模块，用于若所述登录类型为跨域登录，则采用kerberos协议的方式，对所述身份验证信息进行身份认证。
25.可选地，所述类型确定模块包括：
26.来源确定单元，用于将所述请求来源标识与每个登录类型对应的来源库中的地址标识进行对比，确定所述请求来源标识所述的来源库；
27.类型判断单元，用于基于所述请求来源标识所属的来源库，确定所述请求来源标识的登录类型。
28.可选地，所述第一验证模块包括：
29.信息对比单元，用于对所述身份验证信息进行对比验证，得到验证结果；
30.第一处理单元，用于在验证结果为验证失败时，向客户端发送验证失败的提示，并重新从所述客户端接收身份验证信息进行验证，若验证结果为验证失败的次数超过预设次数，则对该身份验证信息对应的账户进行锁定；
31.第二处理单元，用于在验证结果为验证成功时，生成所述身份验证信息对应的临时令牌，并基于所述临时令牌，进行多云应用登录。
32.为了解决上述技术问题，本技术实施例还提供一种计算机设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述多云应用网关的身份认证方法的步骤。
33.为了解决上述技术问题，本技术实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述多云应用网关的身份认证方法的步骤。
34.本发明实施例提供的多云应用网关的身份认证方法、装置、计算机设备及存储介质，在接收到客户端的身份验证请求时，从身份验证中获取请求来源标识和身份验证信息，基于请求来源标识，确定身份验证请求的登录类型，其中，登录类型包括跨域登录和域内登录，若登录类型为域内登录，则通过单因素论证的方式对身份验证信息进行身份验证，或
者，若登录类型为域内登录，则通过双因素论证的方式对身份验证信息进行身份验证，若登录类型为跨域登录，则采用kerberos协议的方式，对身份验证信息进行身份认证，实现通过针对不同场景采用相对应的验证方式，避免统一标准导致一些场景的安全漏洞，提高对多云环境网关登录验证的安全性。
附图说明
35.为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例的描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
36.图1是本技术的应用环境示意图；
37.图2是本技术的多云应用网关的身份认证方法的一个实施例的流程图；
38.图3是根据本技术的多云应用网关的身份认证装置的一个实施例的结构示意图；
39.图4是根据本技术的计算机设备的一个实施例的结构示意图。
具体实施方式
40.除非另有定义，本文所使用的所有的技术和科学术语与属于本技术的技术领域的技术人员通常理解的含义相同；本文中在申请的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本技术；本技术的说明书和权利要求书及上述附图说明中的术语“包括”和“具有”以及它们的任何变形，意图在于覆盖不排他的包含。本技术的说明书和权利要求书或上述附图中的术语“第一”、“第二”等是用于区别不同对象，而不是用于描述特定顺序。
41.在本文中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本技术的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是，本文所描述的实施例可以与其它实施例相结合。
42.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
43.请参阅图1，图1为本实施例数据数据访问请求的处理的应用环境示意图，分别包括用户，多云应用网关、若干个业务系统(应用系统)和验证服务器等，用户向多云应用网关请求身份验证(过程1)，多云应用网关采集用户的身份验证信息(过程2)，多云应用网关基于采集到的身份验证信息与验证服务器进行交互验证(过程3和过程4)，在验证通过后，跳转到用户需要访问的业务系统。
44.所有全局负载均衡会自动同步配置和性能数据。当任何一个数据中心的服务器均衡宕机，对整个dns服务器没有影响。
45.请参阅图2，图2示出本发明实施例提供的一种多云应用网关的身份认证方法，详述如下：
46.s201：在接收到客户端的身份验证请求时，从身份验证中获取请求来源标识和身份验证信息。
47.具体地，在客户端第一次访问多云系统某个应用时，需要进行身份验证，服务端接收客户端的身份验证请求，并从中获取请求来源标识和身份验证信息。
48.可选地，请求来源标识为太网地址、物理地址或者ip地址中的至少一种。
49.s202：基于请求来源标识，确定身份验证请求的登录类型，其中，登录类型包括跨域登录和域内登录。
50.其中，域内登录是指采用某个云服务器登录该云服务器对应的应用，跨域登录是指采用某个云服务器登录访问另外一个云服务器中的应用。
51.在一具体可选实施方式中，步骤s202中，基于请求来源标识，确定身份验证请求的登录类型包括：
52.将请求来源标识与每个登录类型对应的来源库中的地址标识进行对比，确定请求来源标识的来源库；
53.基于请求来源标识所属的来源库，确定请求来源标识的登录类型。
54.其中，服务端存储有每个云计算平台的来源库，来源库中记录有该云计算平台对应的地址标识，地址包括但不限于太网地址、物理地址或者ip地址等。
55.本实施例中，基于判断请求来源标识所属的来源库，快速判断登录类型，从而在后续选择合适的方式进行登录，提高多云登录效率。
56.s203：若登录类型为域内登录，则通过单因素论证的方式对身份验证信息进行身份验证，或者，若登录类型为域内登录，则通过双因素论证的方式对身份验证信息进行身份验证。
57.可选地，单因素论证的方式包括登录窗口验证和数字证书验证。
58.其中，登录窗口验证是指用户在访问通过多云应用网关发布的信息系统时，当第一次登录或超时，会弹出一个登录窗口，基于登录窗口接收到账号密码等身份验证信息，再基于这些身份验证信息进行登录验证。
59.其中，数字证书认证，也称为m-tls，即需要同时验证服务端和客户端的数字证书，通常用于对于安全性要求非常高的业务场景，具体实现如下：
60.在客户端安装数字证书(或usb key数字证书)，用户通过https访问业务系统，多云应用网关请求客户端提交数字证书；
61.多云应用网关通过ocsp协议和pki通信,验证该客户端的数字证书是否合法；
62.pki(public key infrastructure，公钥基础设施)向ca权威机构发起请求,对客户端数字证书的合法性进行校验；
63.多云应用网关从客户端数字证书中提取san(subject alternative name) 并和ldap中用户的upn(user principal name)进行匹配.匹配成功后, luccitech多云应用网关会从kerberos获取该用户的service ticket(服务凭证) 和访问的业务系统的service ticket(服务凭证)
64.用户被授权访问业务系统。
65.可选地，若登录类型为域内登录，则通过双因素论证的方式对身份验证信息进行身份验证包括：
66.采用单因素验证结合一次性口令otp的方式，对身份验证信息进行身份验证。
67.其中，一次性口令(one-time password，otp)也称动态口令，是只针对用户的单次登录操作或者用户通过电脑及其他数码设备于服务器进行交互有效的、根据算法动态生成的口令，一次性动态口令，是根据专门的算法每隔 60秒生成一个与时间相关的、不可预测的随机数字组合，每个口令只能使用一次，每天可以产生43200个密码。
68.生成一次性口令的算法主要包括但不限于：基于时间的时间同步 (time-synchronized)算法、基于特定的事件(比如之前生成的密码)的事件同步(event-synchronized)算法和通过一方发起挑战，另一方根据挑战生成能证明用户身份的挑战/应答(challenge/response)算法等。
69.otp属于验证用户身份的众多方式的一种，通常用于验证涉及用户资金等重要财产安全的账户的登录、注销、资金转移等敏感操作的人的身份。
70.s204：若登录类型为跨域登录，则采用kerberos协议的方式，对身份验证信息进行身份认证。
71.其中，kerberos是一种网络认证协议，其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下，kerberos作为一种可信任的第三方认证服务，是通过传统的密码技术(如：共享密钥)执行认证服务的。
72.认证过程具体如下：客户机向认证服务器(as)发送请求，要求得到某服务器的证书，然后as的响应包含这些用客户端密钥加密的证书。证书的构成为：1)服务器“ticket”；2)一个临时加密密钥(又称为会话密钥“session key”)。客户机将ticket(包括用服务器密钥加密的客户机身份和一份会话密钥的拷贝)传送到服务器上。会话密钥可以(现已经由客户机和服务器共享)用来认证客户机或认证服务器，也可用来为通信双方以后的通讯提供加密服务，或通过交换独立子会话密钥为通信双方提供进一步的通信加密服务。
73.上述认证交换过程需要只读方式访问kerberos数据库。但有时，数据库中的记录必须进行修改，如添加新的规则或改变规则密钥时。修改过程通过客户机和第三方kerberos服务器(kerberos管理器kadm)间的协议完成。有关管理协议在此不作介绍。另外也有一种协议用于维护多份kerberos数据库的拷贝，这可以认为是执行过程中的细节问题，并且会不断改变以适应各种不同数据库技术。
74.在一具体实施方式中，多云应用网关支持saml协议，saml有两个角色，服务提供方(sp，即service provider)和身份提供方(idp，即identityprovider)，其中身份提供方承担了跨域的单点登录，身份认证和授权的功能，目前有不少厂家，比如微软的ad fs就是saml的身份提供方，将ad账户系统和idp集成在一起，构成一个完整的跨域账户系统，统一身份认证和授权以及单点登录的saml解决方案。
75.本实施例中，在接收到客户端的身份验证请求时，从身份验证中获取请求来源标识和身份验证信息，基于请求来源标识，确定身份验证请求的登录类型，其中，登录类型包括跨域登录和域内登录，若登录类型为域内登录，则通过单因素论证的方式对身份验证信息进行身份验证，或者，若登录类型为域内登录，则通过双因素论证的方式对身份验证信息进行身份验证，若登录类型为跨域登录，则采用kerberos协议的方式，对身份验证信息进行
身份认证，实现通过针对不同场景采用相对应的验证方式，避免统一标准导致一些场景的安全漏洞，提高对多云环境网关登录验证的安全性。
76.在一具体可选实施方式中，步骤s203中，若登录类型为域内登录，则通过单因素论证进行身份验证包括：
77.对身份验证信息进行对比验证，得到验证结果；
78.在验证结果为验证失败时，向客户端发送验证失败的提示，并重新从客户端接收身份验证信息进行验证，若验证结果为验证失败的次数超过预设次数，则对该身份验证信息对应的账户进行锁定；
79.在验证结果为验证成功时，生成身份验证信息对应的临时令牌，并基于临时令牌，进行多云应用登录。
80.其中，对比验证具体可以是通过字符匹配的方式。
81.其中，预设次数可根据实际需要进行设定，例如5次，此处不做限制。
82.本实施例中，对身份验证信息进行对比验证，得到验证结果，在验证结果为验证失败时，向客户端发送验证失败的提示，并重新从客户端接收身份验证信息进行验证，若验证结果为验证失败的次数超过预设次数，则对该身份验证信息对应的账户进行锁定，在验证结果为验证成功时，生成身份验证信息对应的临时令牌，并基于临时令牌，进行多云应用登录，实现域内的快速登录验证。
83.应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。
84.图3示出与上述实施例多云应用网关的身份认证方法一一对应的多云应用网关的身份认证装置的原理框图。如图3所示，该多云应用网关的身份认证装置包括请求接收模块31、类型确定模块32、第一验证模块33和第二验证模块34。各功能模块详细说明如下：
85.请求接收模块31，用于在接收到客户端的身份验证请求时，从身份验证中获取请求来源标识和身份验证信息；
86.类型确定模块32，用于基于请求来源标识，确定身份验证请求的登录类型，其中，登录类型包括跨域登录和域内登录；
87.第一验证模块33，用于若登录类型为域内登录，则通过单因素论证的方式对身份验证信息进行身份验证，或者，若登录类型为域内登录，则通过双因素论证的方式对身份验证信息进行身份验证；
88.第二验证模块34，用于若登录类型为跨域登录，则采用kerberos协议的方式，对身份验证信息进行身份认证。
89.可选地，类型确定模块32包括：
90.来源确定单元，用于将请求来源标识与每个登录类型对应的来源库中的地址标识进行对比，确定请求来源标识的来源库；
91.类型判断单元，用于基于请求来源标识所属的来源库，确定请求来源标识的登录类型。
92.可选地，第一验证模块33包括：
93.信息对比单元，用于对身份验证信息进行对比验证，得到验证结果；
94.第一处理单元，用于在验证结果为验证失败时，向客户端发送验证失败的提示，并重新从客户端接收身份验证信息进行验证，若验证结果为验证失败的次数超过预设次数，则对该身份验证信息对应的账户进行锁定；
95.第二处理单元，用于在验证结果为验证成功时，生成身份验证信息对应的临时令牌，并基于临时令牌，进行多云应用登录。
96.关于多云应用网关的身份认证装置的具体限定可以参见上文中对于多云应用网关的身份认证方法的限定，在此不再赘述。上述多云应用网关的身份认证装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
97.为解决上述技术问题，本技术实施例还提供计算机设备。具体请参阅图4，图4为本实施例计算机设备基本结构框图。
98.所述计算机设备4包括通过系统总线相互通信连接存储器41、处理器42、网络接口43。需要指出的是，图中仅示出了具有组件连接存储器41、处理器 42、网络接口43的计算机设备4，但是应理解的是，并不要求实施所有示出的组件，可以替代的实施更多或者更少的组件。其中，本技术领域技术人员可以理解，这里的计算机设备是一种能够按照事先设定或存储的指令，自动进行数值计算和/或信息处理的设备，其硬件包括但不限于微处理器、专用集成电路(application specific integrated circuit，asic)、可编程门阵列(field－ programmable gate array，fpga)、数字处理器(digital signal processor，dsp)、嵌入式设备等。
99.所述计算机设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述计算机设备可以与用户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行人机交互。
100.所述存储器41至少包括一种类型的可读存储介质，所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如，sd或d界面显示存储器等)、随机访问存储器(ram)、静态随机访问存储器(sram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、可编程只读存储器(prom)、磁性存储器、磁盘、光盘等。在一些实施例中，所述存储器41可以是所述计算机设备4的内部存储单元，例如该计算机设备4的硬盘或内存。在另一些实施例中，所述存储器41也可以是所述计算机设备4的外部存储设备，例如该计算机设备4上配备的插接式硬盘，智能存储卡(smart media card,smc)，安全数字(secure digital,sd)卡，闪存卡(flash card)等。当然，所述存储器 41还可以既包括所述计算机设备4的内部存储单元也包括其外部存储设备。本实施例中，所述存储器41通常用于存储安装于所述计算机设备4的操作系统和各类应用软件，例如电子文件的控制的程序代码等。此外，所述存储器 41还可以用于暂时地存储已经输出或者将要输出的各类数据。
101.所述处理器42在一些实施例中可以是中央处理器(central processingunit，cpu)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器42通常用于控制所述计算机设备4的总体操作。本实施例中，所述处理器 42用于运行所述存储器41中存储的程序代码或者处理数据，例如运行数据访问的程序代码。
102.所述网络接口43可包括无线网络接口或有线网络接口，该网络接口43 通常用于
在所述计算机设备4与其他电子设备之间建立通信连接。
103.本技术还提供了另一种实施方式，即提供一种计算机可读存储介质，所述计算机可读存储介质存储有数据访问程序，所述数据访问程序可被至少一个处理器执行，以使所述至少一个处理器执行如上述的多云应用网关的身份认证方法的步骤。
104.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本技术各个实施例所述的方法。
105.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本技术各个实施例所述的方法。
106.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本技术各个实施例所述的方法。
107.显然，以上所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例，附图中给出了本技术的较佳实施例，但并不限制本技术的专利范围。本技术可以以许多不同的形式来实现，相反地，提供这些实施例的目的是使对本技术的公开内容的理解更加透彻全面。尽管参照前述实施例对本技术进行了详细的说明，对于本领域的技术人员来而言，其依然可以对前述各具体实施方式所记载的技术方案进行修改，或者对其中部分技术特征进行等效替换。凡是利用本技术说明书及附图内容所做的等效结构，直接或间接运用在其他相关的技术领域，均同理在本技术专利保护范围之内。