[发明专利]一种基于跨域身份认证的云计算接入方法

说明书

技术领域

本发明涉及云计算技术、身份认证等领域，具体地说是一种基于跨域身份认证的云计算接入方法。

背景技术

身份认证技术的主要目的是验证通信双方的真实身份，防止非法用户假冒合法用户访问敏感的信息资源。在安全的网络通信中，涉及的通信各方必须通过某种形式的身份验证机制来证明它们的身份，验证用户的身份和所宣称的是否一致，然后才能实现对用户访问控制和记录。跨域身份认证是指在云计算环境下，资源的提供者和使用者可能跨越不同的管理域，因此需要跨域身份认证来解决不同管理域之间资源的相互使用问题。跨域身份认证的主要功能包括单点登陆，跨域授权，并支持灵活、可靠的兼容部署特性。跨域身份认证中，为了对不同管理域的身份权限进行协商，各管理域需要维护不同信任管理域的属性权限映射关系，当涉及到的管理域数目比较少的时候，具有很大的可行性。但是当管理域的数量比较多时，每一个管理域需要维护的数据将十分复杂，给跨域身份认证的管理带来极大的不便。

发明内容

本发明的技术任务是提供一种基于跨域身份认证的云计算接入方法。

本发明的技术任务是按以下方式实现的，该方法步骤如下：

1）通过本地身份认证模块对访问的实体的身份进行鉴别，确认访问的实体属于本管理域还是其它管理域；

2）访问的实体属于本管理域，则通过本地身份与权限管理模块对用户身份和其访问权限进行管理；

3）访问的实体属于本管理域，则根据认证后用户的身份、权限信息和访问授权规则，通过本地授权决策模块决定用户是否能够访问某个资源、进行某项操作、获得某项服务；

4）访问的实体为其他管理域，则通过跨域权限查询模块对访问的实体进行跨域身份认证和授权；

5）通过第三方权限服务模块完成不同管理域之间的权限映射管理，为权限映射提供管理操作；

6）根据跨域权限查询模块的查询请求，通过第三方身份鉴别模块定位实体所在的管理域，并将待认证的实体的身份鉴别请求重新封装后发送给目标域的跨域权限查询模块进行实体身份鉴别；第三方身份鉴别模块结合鉴别的实体身份及权限，通过第三方权限服务模块完成权限的转换，并将转换后的用户权限返回给跨域身份认证的发起者。

所述的步骤4）的具体操作如下：

1）通过跨域权限查询模块对需要进行跨域认证的实体信息请求认证封装，通过第三方身份鉴别模块完成对该实体身份的鉴别；

2）实时响应第三方身份鉴别模块的鉴别请求，对属于本管理域的实体身份进行认证，将认证的结果封装后返回给第三方身份鉴别模块。

所述的步骤5）中管理操作为查询、增加、修改、删除。

一种基于跨域身份认证的云计算接入系统，该系统由本地身份认证模块、本地授权决策模块、本地身份与权限管理模块、跨域权限查询模块、第三方身份鉴别模块、第三方权限服务模块组成。

所述的本地身份认证模块完成对访问的实体的身份鉴别功能，如果该实体属于本管理域，则直接对该实体进行身份和权限进行鉴别；如果该实体为其它管理域的实体，则需要通过跨域权限查询模块进行跨域身份认证和授权。

所述的本地身份与权限管理模块对用户身份和其访问权限进行管理，包括用户身份的变更、用户权限的变更操作。

所述的本地授权决策模块根据认证后用户的身份、权限信息和访问授权规则决定用户是否能够访问某个资源、进行某项操作、获得某项服务。

所述的跨域权限查询模块完成两个方面的功能：

1）是对需要进行跨域认证的实体信息请求认证封装，通过第三方身份鉴别模块完成对该实体身份的鉴别；

2）是实时响应第三方身份鉴别模块的鉴别请求，对属于本管理域的实体身份进行认证，将认证的结果封装后返回给第三方身份鉴别模块。

所述的第三方权限服务模块完成不同管理域之间的权限映射管理，为权限映射提供查询、增加、修改、删除的管理操作。

所述的第三方身份鉴别模块根据跨域权限查询模块的查询请求，定位实体所在的管理域，并将待认证的实体的身份鉴别请求重新封装后发送给目标域的跨域权限查询模块进行实体身份鉴别；并结合鉴别的实体身份及权限，通过第三方权限服务模块完成权限的转换，并将转换后的用户权限返回给跨域身份认证的发起者。

本发明的一种基于跨域身份认证的云计算接入方法和现有技术相比，具有以下特点：

1）对主体身份、属性和权限信息规范描述，通过该规范性的描述可以明确该实体的认证机构，认证的有效期，实体的属性以及该实体在目标机构的权限；