專利名稱：PaaS平臺與SaaS應用系統(tǒng)的統(tǒng)一安全認證方法
技術領域：
本發(fā)明涉及云計算領域，特別是一種基于云計算的PaaS平臺與SaaS應用系統(tǒng)的統(tǒng)一安全認證方法。
背景技術：
云計算(CloudComputing)是虛擬化(Virtualization)、效用計算(UtilityComputing)、IaaS (基礎設施即服務)、PaaS (平臺即服務)、SaaS (軟件即服務)等概念混合演進并躍升的結果。它提供了一個全新的互聯(lián)網(wǎng)商業(yè)服務模型，即用戶可以通過網(wǎng)絡以按需、易擴展的方式租用所需的服務。G-Cloud云操作系統(tǒng)支持大規(guī)模虛擬計算資源、存儲資源、網(wǎng)絡資源的統(tǒng)一管理，可在已有IT基礎設施的基礎上實現(xiàn)可擴展的高效私有云和混合云。G-Cloud云操作系統(tǒng)主要功能包括計算資源管理、存儲資源管理、網(wǎng)絡資源管理、密鑰對管理、安全組管理、鏡像管理、用戶管理、系統(tǒng)配置等。產(chǎn)品適用于IDC和信息中心等需要進行大規(guī)模資源管理的場景，可以極大地提高服務器的使用率，減少企業(yè)在IT資源維護上的費用和人工成本，輕松實現(xiàn)“節(jié)能減排”、“低碳”等戰(zhàn)略效果，同時很大程度上簡化了物理和虛擬環(huán)境中的服務器管理和應用部署，在規(guī)?；幕A上產(chǎn)生更好的成本效應，是一整套具備可行性、易用性、可擴展性的云計算操作系統(tǒng)解決方案。由于SaaS應用系統(tǒng)各信息系統(tǒng)都有獨立的用戶組織體系，采用“用戶名+密碼”的方式來實現(xiàn)身份認證和授權訪問。從而存在如下一些主要問題1、終端用戶需要記住多個用戶名和密碼；2、終端用戶需要登錄不同的信息系統(tǒng)以獲取信息；3、系統(tǒng)管理員難以應付對用戶的管理；4、難以實施系統(tǒng)使用安全方面的管理措施。5.當前一般只是采用安全墻對文件或者數(shù)據(jù)庫的加解密功能，沒有最終解決用戶訪問的安全性
發(fā)明內(nèi)容
本發(fā)明解決的問題技術問題在于提供一種基于云計算的PaaS平臺與SaaS應用系統(tǒng)的統(tǒng)一安全認證方法；實現(xiàn)安全共享會話一站式登錄，避免多次登錄。本發(fā)明解決上述技術問題的技術方案包括包括以下步驟，第I步，用戶通過瀏覽器訪問SaaS應用系統(tǒng)時，跳轉到PaaS平臺服務器系統(tǒng)登錄界面；第2步，用戶輸入帳號、密碼、驗證碼進行登錄，PaaS平臺驗證通過后到國云安全墻進行身份安全驗證；第3步，國云安全墻根據(jù)不同系統(tǒng)的用戶綁定不同的用戶認證證書，驗證登錄UKey是否合法；第4步，安全墻驗證通過后，PaaS平臺認證鑒權服務器產(chǎn)生用戶憑證，同時產(chǎn)生令牌和登錄用戶的信息，并記錄令牌與用戶憑證之間的對應關系；令牌使用Cookie，并指定Cookie 的域名 Cookie. Domain=〃cncloud. com. cn〃 ；第5步，PaaS平臺認證鑒權服務器把令牌與用戶憑證之間的對應關系表寫入緩存服務器；第6步,SaaS應用服務器通過Redirect到主站頁面,然后URL參數(shù)方式回傳讀取Cookie 中的令牌(Token)；第7步，SaaS應用系統(tǒng)檢測到用戶已持有令牌后，用令牌再次去獲取用戶憑證，獲取成功后允許用戶訪問該授權頁面；第8步，SaaS應用系統(tǒng)根據(jù)令牌(Token)從緩存服務器中獲取對應關系表中的用戶信息；第9步，登錄成功。SaaS應用系統(tǒng)獲取用戶憑證成功后同時產(chǎn)生本地憑證，當該用戶需要再次驗證時先檢查本地憑證。所述的安全墻采用實時加解密的主動加密防泄密，對集成在PaaS平臺上的應用系統(tǒng)權限進行控制。所述方法基于G-Cloud云操作系統(tǒng)，利用所述的系統(tǒng)對服務器集群進行硬件虛擬化，然后根據(jù)應用系統(tǒng)不同要求配置不同的操作系統(tǒng)，對硬件資源進行動態(tài)、統(tǒng)一地分配管理。本發(fā)明的有益效果有

1、本發(fā)明改善了軟件系統(tǒng)的可維護性、可擴展性和可伸縮性、安全性和資源高效利用問題，可以應用于云計算的PaaS平臺系統(tǒng)中。從而實現(xiàn)安全共享會話一站式登錄，避免多次登錄。2、改造了安全墻，安全墻的用戶和P a a S平臺的用戶實現(xiàn)同步，用戶登錄P aa S需要到安全墻里驗證用戶的合法性。利用安全墻的安全功能徹底解決了 PaaS訪問的安全性。3、無縫引入緩存服務器，提高了 200%的性能，有質(zhì)的飛躍。同樣系統(tǒng)的環(huán)境，不加緩存服務器訪問的用戶數(shù)可以支持300人并發(fā)，添加了緩存服務器至少可以支持1000人并發(fā)，達到了理想的效果。


下面結合對附圖對本發(fā)明進一步說明附圖是本發(fā)明統(tǒng)一安全認證流程圖。
具體實施例方式本發(fā)明統(tǒng)一安全認證方法涉及的系統(tǒng)包括云操作系統(tǒng)、國云安全墻、PaaS平臺認證鑒權服務器、SaaS應用服務器、緩存服務器。云操作系統(tǒng)提供支撐云計算平臺的運行能力，包括對云計算平臺的資源管理、配置和容量管理，以及實現(xiàn)云計算服務的自動化部署技術；此外，云操作系統(tǒng)還提供系統(tǒng)的安全備份、監(jiān)控以及災備管理。安全墻是采用加密技術同時使不同系統(tǒng)的用戶綁定不同的用戶認證證書(通過UKey來綁定)，采用實時加解密的主動加密防泄密技術使涉密數(shù)據(jù)“正常用，帶不走，偷走了，沒有用”。PaaS平臺認證鑒權服務器是從瀏覽器中獲取與所述用戶相關的信息，通過用戶名和密碼驗證用戶是否已正確，登錄成功后頒發(fā)令牌和憑證，所屬的憑證是用戶信息和令牌的關系表。的SaaS應用服務器是用戶通過瀏覽器發(fā)出登錄業(yè)務系統(tǒng)的請求，并提供給所述PaaS平臺認證鑒權服務器處理服務器。分站憑證主要用于減少重復驗證時網(wǎng)絡的交互，比如用戶已在分站a上登錄過，當他再次訪問分站a時，就不必使用令牌去主站驗證了，因為分站a已有該用戶的憑證。緩存服務器是用來保存PaaS平臺認證鑒權服務器生成的令牌和用戶信息所用。本發(fā)明先由云操作系統(tǒng)部署包括前端代理、Portal、云控制器、云存儲控制器、共享存儲服務器、集群控制器、主節(jié)點控制器、備節(jié)點控制器、塊設備存儲控制器、證書簽發(fā)中心、監(jiān)控控制器的安裝與配置；然后，采用實時加解密技術、主動加密技術、大型數(shù)據(jù)庫加密支持技術對國云在線PaaS平臺和平臺上的SaaS系統(tǒng)的用戶數(shù)據(jù)進行加密，保障用戶數(shù)據(jù)安全。再利用云操作系統(tǒng)提供的虛擬技術建設PaaS平臺，集成SaaS系統(tǒng)。如圖1所示，本發(fā)明PaaS平臺與SaaS應用系統(tǒng)的統(tǒng)一安全認證按以下具體步驟進行第I步，用戶通過瀏覽器訪問SaaS應用系統(tǒng)，跳轉PaaS平臺服務器系統(tǒng)登錄界面；第2步，用戶輸入帳號、密碼、驗證碼進行登錄，PaaS平臺驗證通過后到國云安全墻進行身份安全驗證。第3步，國云安全墻根據(jù)不同系統(tǒng)的用戶綁定不同的用戶認證證書，驗證登錄UKey是否合法。第4步，安全墻驗證通過后，PaaS平臺認證鑒權服務器產(chǎn)生憑證，同時產(chǎn)生令牌和登錄用戶的信息，并記錄令牌與用戶憑證之間的對應關系。令牌要在各跨域中進行流通，令牌使用 Cookie,并指定 Cookie 的域名 Cookie. Domain=〃cncloud. com. cn〃。第5步，PaaS平臺認證鑒權服務器把令牌與用戶憑證之間的對應關系表寫入緩存服務器。第6步,SaaS應用服務器通過Redirect到主站頁面,然后URL參數(shù)方式回傳讀取Cookie 中的令牌(Token)。第7步，SaaS應用系統(tǒng)檢測到用戶已持有令牌，于是用令牌再次去獲取用戶憑證，獲取成功后允許用戶訪問該授權頁面。同時產(chǎn)生本地憑證，當該用戶需要再次驗證時將先檢查本地憑證，以減少網(wǎng)絡交互。第8步，SaaS應用系統(tǒng)根據(jù)令牌(Token)從緩存服務器中獲取對應關系表中的用戶信息。第9步，登錄成功?；诒景l(fā)明系統(tǒng)的上述方法，使本發(fā)明具有以下特點1、利用G-Cloud的容錯功能實現(xiàn)數(shù)據(jù)完整性，保障存儲的數(shù)據(jù)不丟失，并進行多個副本的災備。多層和全方位數(shù)據(jù)傳送安全，通過https協(xié)議實現(xiàn)傳輸安全性，保障數(shù)據(jù)在互聯(lián)網(wǎng)傳輸過程中都是經(jīng)過加密的，以防止數(shù)據(jù)在傳輸過程中被截包泄露。通過國云科技自主研發(fā)的安全墻實現(xiàn)訪問控制，保障服務器和數(shù)據(jù)隔離。2、 令牌令牌由PaaS平臺頒發(fā)，PaaS平臺頒發(fā)令牌同時生成用戶憑證，并記錄令牌與用戶憑證之間的對應關系，以根據(jù)用戶提供的令牌響應對應的憑證；令牌要在各跨域SaaS應用系統(tǒng)中進行流通，所以令牌使用PaaS平臺的Cookie,并指定Cookie.Domain=〃cncloud. com. cn〃。各SaaS應用系統(tǒng)如何共享PaaS平臺的Cookie,從SaaS應用系統(tǒng)Redirect到PaaS平臺頁面,然后該頁面讀取Cookie并以URL參數(shù)方式回傳即可。3、PaaS平臺憑證=PaaS平臺憑證是一個關系表，包含了三個字段令牌、憑證數(shù)據(jù)、過期時間。采用緩存服務器保存關系表。4、SaaS應用系統(tǒng)憑證SaaS應用系統(tǒng)憑證主要用于減少重復驗證時網(wǎng)絡的交互，比如用戶已在SaaS應用系統(tǒng)a上登錄過，當他再次訪問SaaS應用系統(tǒng)a時,就不必使用令牌去PaaS平臺驗證了，因為SaaS應用系統(tǒng)a已有該用戶的憑證。SaaS應用系統(tǒng)憑證相對比較簡單，采用Session保存。5、用戶退出用戶退出時分別清空PaaS平臺憑證與當前SaaS應用系統(tǒng)憑證。如果要求SaaS應用系統(tǒng)a點退出，SaaS應用系統(tǒng)b、SaaS應用系統(tǒng)c也退出，可自行擴展接口清空每個SaaS應用系統(tǒng)憑證。6、PaaS平臺過期憑·證/令牌清除，定時清除字緩存服務器。
權利要求
1.基于云計算的PaaS平臺與SaaS應用系統(tǒng)的統(tǒng)一安全認證方法，其特征在于包括以下步驟，第I步，用戶通過瀏覽器訪問SaaS應用系統(tǒng)時，跳轉到PaaS平臺服務器系統(tǒng)登錄界面；第2步，用戶輸入帳號、密碼、驗證碼進行登錄，PaaS平臺驗證通過后到國云安全墻進行身份安全驗證；第3步，國云安全墻根據(jù)不同系統(tǒng)的用戶綁定不同的用戶認證證書，驗證登錄UKey是否合法；第4步，安全墻驗證通過后，PaaS平臺認證鑒權服務器產(chǎn)生用戶憑證，同時產(chǎn)生令牌和登錄用戶的信息，并記錄令牌與用戶憑證之間的對應關系；令牌使用Cookie，并指定 Cookie 的域名 Cookie. Domain=〃cncloud. com. cn〃 ；第5步，PaaS平臺認證鑒權服務器把令牌與用戶憑證之間的對應關系表寫入緩存服務器；第6步，SaaS應用服務器通過Redirect到主站頁面，然后URL參數(shù)方式回傳讀取 Cookie 中的令牌(Token)；第7步，SaaS應用系統(tǒng)檢測到用戶已持有令牌后，用令牌再次去獲取用戶憑證，獲取成功后允許用戶訪問該授權頁面；第8步，SaaS應用系統(tǒng)根據(jù)令牌(Token)從緩存服務器中獲取對應關系表中的用戶信第9步,登錄成功。
2.根據(jù)權利要求1所述的統(tǒng)一安全認證方法，其特征在于=SaaS應用系統(tǒng)獲取用戶憑證成功后同時產(chǎn)生本地憑證，當該用戶需要再次驗證時先檢查本地憑證。
3.根據(jù)權利要求1所述的統(tǒng)一安全認證方法，其特征在于所述的安全墻采用實時加解密的主動加密防泄密，對集成在PaaS平臺上的應用系統(tǒng)權限進行控制。
4.根據(jù)權利要求2所述的統(tǒng)一安全認證方法，其特征在于所述的安全墻采用實時加解密的主動加密防泄密，對集成在PaaS平臺上的應用系統(tǒng)權限進行控制。
5.根據(jù)權利要求1至4任一項所述的統(tǒng)一安全認證方法,其特征在于所述方法基于 G-Cloud云操作系統(tǒng)，利用所述的系統(tǒng)對服務器集群進行硬件虛擬化，然后根據(jù)應用系統(tǒng)不同要求配置不同的操作系統(tǒng)，對硬件資源進行動態(tài)、統(tǒng)一地分配管理。
全文摘要
本發(fā)明涉及云計算領域，特別是一種基于云計算的PaaS平臺與SaaS應用系統(tǒng)的統(tǒng)一安全認證方法。本發(fā)明采用PaaS平臺作為SaaS應用的集中驗證服務器。用戶首先登錄PaaS平臺，登錄成功后產(chǎn)生唯一數(shù)據(jù)標識，用于識別授權用戶令牌，把令牌和用戶信息組成關系表寫入緩存服務器。此令牌做為進入各SaaS應用系統(tǒng)的唯一憑證。本發(fā)明改善了軟件系統(tǒng)的可維護性、可擴展性和可伸縮性、安全性和資源高效利用問題，實現(xiàn)安全共享會話一站式登錄，避免多次登錄；可以應用于云計算的PaaS平臺和SaaS平臺統(tǒng)一認證中。
文檔編號H04L29/08GK103051631SQ201210566128
公開日2013年4月17日 申請日期2012年12月21日 優(yōu)先權日2012年12月21日
發(fā)明者張來卿, 丁繼鋒, 齊兆勇, 孫傲冰, 季統(tǒng)凱 申請人:國云科技股份有限公司