[发明专利]分布式服务授权管理

说明书

技术领域

本发明涉及服务管理，尤其涉及分布式服务授权管理。

背景技术

分布式的基于web的服务通常被称为云服务，并且它们按需提供共享的资源服务、软件和信息。这些云服务通常分布在多个服务器、服务器群集和/和包括群集的数据中心中。用户通过访问因特网并向特定的服务认证自身来访问云服务。云服务通常需要伸缩到几十万用户和上百万个资源，这些用户通常被分成能够允许有效地访问(例如数据中心和/或簇中的)这些资源的标度单位。

对于大多数云服务，开发出使用遍布在安装在多个数据中心中的多个分区的数据库上的资源的方法。已为用户开发出定位资源的有效的算法和解决方案。当用户希望使用云服务时，它们通常诸如通过使用共享的密钥(例如用户名和口令的组合或密码密钥等)来向服务认证。此外，通常授权用户使用特定的服务特定的时间量，并且服务可访问授权信息以标识用户是否可使用感兴趣的资源。

发明内容

提供本发明内容以便以简化形式介绍将在以下具体实施方式中进一步描述的一些概念。本发明内容并不旨在标识出所要求保护的主题的关键特征或必要特征，也不旨在用于限定所要求保护的主题的范围。

有许多用于向诸如基于云的服务(例如基于web的应用程序、数据库等)的分布式服务认证(例如用户认证)和授权事务的技术。某些要求用于密码操作或数据库输入/输出操作的大量的计算开销以确定访问权限，或者要求大量的带宽或客户机资源以维护和传输状态(例如，经签署的令牌、cookies等)。对于某些系统，改变访问权限可能不是即时的，因为系统兑现访问令牌直至它们期满，有时是几小时之后。密钥管理是困难的，因为用于存储、管理和解密这些类型的密钥的资源会是大量的。对于基于经签署的令牌的系统，分布式服务的整体安全性可取决于保护私钥，因为如果私钥被盗用，则服务可能被泄漏。

大多数基于云的服务是无状态的，并且使用经密码签署的令牌来进行认证和授权。这种方式允许控制对资源的访问的前端机器(例如web服务器、应用程序服务器)是无状态的。然而，这种方法有许多缺点，诸如：将管理授权令牌(cookie)的复杂负担放置在执行API请求的客户机上；误编码(或误行为)的客户机可能通过有意地(或无意地)在API请求上传递无效的令牌而使用大量的前端CPU资源；前端机器在允许访问之前必须确认经签署的令牌，这消耗大量的CPU开销来执行密码操作，影响的服务的可伸缩性以及单个前端机器可管理的资源的量；验证经签署的授权令牌的前端机器必须共享用于保护和确认这些令牌的密钥，这是必须安全完成的困难的管理任务；且令牌可能是较大的，由此造成带宽问题，并且可能有效较长的时间段，造成难以撤消授权。

有些云服务使用所标识的随机会话(会话ID)来访问它们的服务。在这些服务中，用户通过某些挑战来向服务认证，但是接着收到发布的在后续请求中使用的会话ID。然而，这种类别的云服务仅管理单个资源(例如用户的收件箱)或位于同处的资源(例如用户的办公室文档)。此外，它们无法处理分布在许多位置上的多个不同的资源(每个具有额外的授权要求)。

因此，公开了提供对先前基于会话ID的授权的变化的一种或多种技术和/或系统，其中使用位置感知、多级内存储来将认证和授权数据高速缓存在多部分文档中。例如，可以在分布式服务使用的任一数据中心、群集或机器处快速检索和高速缓存授权文档。可以将文档分成包含用于特定的分布式服务资源(例如基于web的应用程序和服务)的授权数据的各部分。此外，可随着访问资源按需地添加或移除文档部分。

在向分布式存储的用户提供资源授权的一个实施例中，使用会话ID来访问存储在分布式存储中的授权文档，该会话ID可在用户认证时提供给用户机器(例如随机分配的会话密钥)。会话ID标识用于授权文档的位置，该文档包括具有与用户相关联的主ID的全局部分。如果授权文档有与主ID相关联的带有关于资源的授权数据的资源部分，则向用户授权分布式服务的资源(例如云资源)。

在该实施例中，如果授权文档没有对应于资源的资源部分，则创建局部资源部分(例如在本地应用服务器或群集的高速缓存中)，并且该局部资源部分由资源标识符标识。资源授权数据诸如从(例如后端服务器上的)备份存储加载到局部资源部分中，且带有新创建的资源部分的授权文档被保存到用于资源的分布式存储的本地高速缓存中。

为实现上述及相关目的，下面的描述和附图描绘某些说明性方面和实现。这些方面仅指示了可以实现一个或多个方面的各种方式中的一些方式。结合附图阅读下面的详细描述，则本发明的其他方面、优点和新颖特征将变得清楚。