一种身份认证方法、系统及装置制造方法及图纸

本公开提供了一种身份认证方法、装置及系统，涉及计算机技术领域，尤其涉及云计算技术领域。具体实现方案为：获取业务服务器对应的身份认证请求；身份认证请求中包含认证字符串；根据认证字符串，判断是否需要从认证服务器中拉取身份认证请求的派生密钥；若是，则从认证服务器中拉取身份认证请求的派生密钥，并根据派生密钥对身份认证请求进行鉴权认证；若否，则通过本地缓存对身份认证请求进行鉴权认证，以此降低认证服务器的压力。以此降低认证服务器的压力。以此降低认证服务器的压力。

【技术实现步骤摘要】
一种身份认证方法、系统及装置


[0001]本公开涉及计算机
，进一步涉及云计算
，尤其涉及一种身份认证方法、系统及装置。

技术介绍

[0002]用户在请求业务服务器的服务时需要进行签名认证，签名认证通过后才能获取相关服务。对于云服务来说，云上租户数量的快速增长，租户购买的云上资源也越来越多，导致了云请求流量的快速增长，单点问题、性能问题、热点客户问题日益突出。针对上述问题，可以通过横向扩容认证服务器的方式解决；但这种方式无法处理请求方和认证服务器因为网络问题带来的不可用影响；其次，认证服务器的横向扩容也会增加成本。

技术实现思路

[0003]本公开提供了一种用于身份认证的方法、系统及装置。
[0004]根据本公开的一方面，提供了一种身份认证方法，应用于业务端的认证代理服务器，所述业务端还包括业务服务器，所述方法包括：
[0005]获取所述业务服务器对应的身份认证请求；所述身份认证请求中包含认证字符串；
[0006]根据所述认证字符串，判断是否需要从认证服务器中拉取所述身份认证请求的派生密钥；
[0007]若是，则从所述认证服务器中拉取所述身份认证请求的派生密钥，并根据所述派生密钥对所述身份认证请求进行鉴权认证；
[0008]若否，则通过本地缓存对所述身份认证请求进行鉴权认证。
[0009]根据本公开的另一方面，提供了一种身份认证系统，包括：业务端的认证代理服务器，业务端的业务服务器和认证端的认证服务器；
[0010]所述认证代理服务器，用于获取所述业务服务器对应的身份认证请求；所述身份认证请求中包含认证字符串；根据所述认证字符串，判断是否需要从所述认证服务器中拉取所述身份认证请求的派生密钥；若是，则从所述认证服务器中拉取所述身份认证请求的派生密钥，并根据所述派生密钥对所述身份认证请求进行鉴权认证；若否，则通过本地缓存对所述身份认证请求进行鉴权认证；
[0011]所述业务服务器，用于在所述身份认证请求鉴权认证通过的情况下，响应所述身份认证请求对应的访问请求；
[0012]所述认证端的认证服务器，用于生成所述身份认证请求的派生密钥。
[0013]根据本公开的另一方面，提供了一种身份认证装置，所述装置包括：
[0014]预处理模块，用于获取所述业务服务器对应的身份认证请求；所述身份认证请求中包含认证字符串；
[0015]判断模块，用于根据所述认证字符串，判断是否需要从认证服务器中拉取所述身
份认证请求的派生密钥；
[0016]拉取模块，用于若需要从认证服务器中拉取所述身份认证请求的派生密钥，则从所述认证服务器中拉取所述身份认证请求的派生密钥，并根据所述派生密钥对所述身份认证请求进行鉴权认证；
[0017]本地处理模块，用于若不需要从认证服务器中拉取所述身份认证请求的派生密钥，则通过本地缓存对所述身份认证请求进行鉴权认证。
[0018]根据本公开的另一方面，提供了一种电子设备，包括：
[0019]至少一个处理器；以及
[0020]与所述至少一个处理器通信连接的存储器；其中，
[0021]所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行上述任一身份认证方法。
[0022]根据本公开的另一方面，提供了一种存储有计算机指令的非瞬时计算机可读存储介质，其中，所述计算机指令用于使所述计算机执行上述任一身份认证方法。
[0023]根据本公开的另一方面，提供了一种计算机程序产品，包括计算机程序，所述计算机程序在被处理器执行时实现上述任一身份认证方法。
[0024]本公开提供的身份认证方法，应用于业务端的认证代理服务器，业务端还包括业务服务器，该方法包括：获取业务服务器对应的身份认证请求；身份认证请求中包含认证字符串；根据认证字符串，判断是否需要从认证服务器中拉取身份认证请求的派生密钥；若是，则从认证服务器中拉取身份认证请求的派生密钥，并根据派生密钥对身份认证请求进行鉴权认证；若否，则通过本地缓存对身份认证请求进行鉴权认证。此举能够降低认证服务器的计算压力。
[0025]应当理解，本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征，也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
[0026]附图用于更好地理解本方案，不构成对本公开的限定。其中：
[0027]图1是根据本公开的身份认证方法的第一种流程示意图；
[0028]图2是根据本公开的身份认证方法的第二种流程示意图；
[0029]图3是根据本公开的身份认证方法的第三种流程示意图；
[0030]图4a是相关技术中一种完成认证鉴权的系统部署架构示意图；
[0031]图4b是本公开的一种完成认证鉴权的系统部署架构示意图；
[0032]图5是根据本公开的认证代理服务器的整体架构示意图；
[0033]图6是根据本公开的身份认证方法的第四种流程示意图；
[0034]图7是根据本公开的准备拦截器的处理流程示意图；
[0035]图8是根据本公开的统计拦截器的处理流程示意图；
[0036]图9是根据本公开的标识符和标识上下文的类图；
[0037]图10是根据本公开的鉴权拦截器的处理流程示意图；
[0038]图11是根据本公开的身份认证系统的一种交互示意图；
[0039]图12是根据本公开的身份认证装置的第一种结构示意图；
[0040]图13是根据本公开的身份认证装置的第二种结构示意图；
[0041]图14是根据本公开的身份认证装置的第三种结构示意图；
[0042]图15是用来实现本公开实施例的身份认证方法的电子设备的框图。
具体实施方式
[0043]以下结合附图对本公开的示范性实施例做出说明，其中包括本公开实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本公开的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。
[0044]用户在请求业务服务器的服务时需要进行签名认证，签名认证通过后才能获取相关服务。对于云服务来说，云服务的API(Application Programming Interface，应用程序接口)认证统一使用签名校验机制，当前的签名算法为云服务带来了安全可靠的身份校验机制，拦截了大量的非法请求和恶意攻击。但随着云上租户数量的快速增长，租户购买的云上资源也越来越多，导致了云请求流量的快速增长，单点问题、性能问题、热点客户问题日益突出。首先是单点问题，所有服务在收到用户请求后，都必须向认证服务器提交认证字符串进行验算；一旦认证服务器被攻击或者出现性能瓶颈，无法及时响应签名验证请求，云上的所有服务将受影响；其次是性能问本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种身份认证方法，应用于业务端的认证代理服务器，所述业务端还包括业务服务器，所述方法包括：获取所述业务服务器对应的身份认证请求；所述身份认证请求中包含认证字符串；根据所述认证字符串，判断是否需要从认证服务器中拉取所述身份认证请求的派生密钥；若是，则从所述认证服务器中拉取所述身份认证请求的派生密钥，并根据所述派生密钥对所述身份认证请求进行鉴权认证；若否，则通过本地缓存对所述身份认证请求进行鉴权认证。2.根据权利要求1所述的方法，其中，在所述根据所述认证字符串，判断是否需要从认证服务器中拉取所述身份认证请求的派生密钥之前，所述方法还包括：判断本地缓存中是否已经缓存有所述身份认证请求，若存在则从所述本地缓存中获取身份认证请求的鉴权结果；若不存在，则触发执行根据所述认证字符串，判断是否需要从认证服务器中拉取所述身份认证请求的派生密钥的步骤。3.根据权利要求1所述的方法，其中，所述根据所述认证字符串，判断是否需要从认证服务器中拉取所述身份认证请求的派生密钥，包括：当所述认证字符串表示所述身份认证请求属于预设版本时，更新所述预设版本对应的身份认证请求计数；判断所述预设版本对应的身份认证请求计数是否大于预设阈值；若大于，则基于本地缓存中是否缓存有所述认证字符串中的访问密钥身份标识ID，来判断是否需要为所述身份认证请求从认证服务器拉取派生密钥。4.根据权利要求3所述的方法，其中，所述方法还包括：确定从所述认证服务器拉取派生密钥的开始时间；当距离所述开始时间的时长达到预设时长、且未获取到所述派生密钥的情况下，重新从所述认证服务器中拉取所述身份认证请求的派生密钥；在距离重新开始拉取时刻的时长大于预设时长、且未获取到所述派生密钥的情况下，生成与访问密钥ID对应的拉取失败记录；在重新拉取到派生密钥的情况下，将重新拉取的派生密钥缓存到本地缓存中。5.根据权利要求4所述的方法，所述基于本地缓存中是否缓存有所述认证字符串中的访问密钥身份标识ID，来判断是否需要为所述身份认证请求从认证服务器拉取派生密钥，包括：当所述访问密钥ID不同于缓存中的任一访问密钥ID，或者，所述访问密钥ID对应有拉取失败记录的情况下，判定需要为所述身份认证请求向认证服务器拉取派生密钥。6.根据权利要求4所述的方法，所述通过本地缓存对所述身份认证请求进行鉴权认证，包括：根据所述本地缓存中的派生密钥对所述身份认证请求进行鉴权认证；或判断所述本地缓存中是否已经缓存有所述身份认证请求，若存在则从所述本地缓存中获取身份认证请求的鉴权结果。
7.根据权利要求1所述的方法，其中，所述认证代理服务器运行边车模式的身份识别及访问管理前置机服务。8.一种身份认证装置，所述装置包括：预处理模块，用于获取所述业务服务器对应的身份认证请求；所述身份认证请求中包含认证字符串；判断模块，用于根据所述认证字符串，判断是否需要从认证服务器中拉取所述身份认证请求的派生密钥；拉取模块，用于若需要从认证服务器中拉取所述身份认证请求的派生密钥，则从所述认证服务器中拉取所述身份认证请求的派生密钥，并根据所述派生密钥对所述身份认证请求进行鉴权认证；本地处理模块，用于若不需要从认证服务器中拉取所述身份认证...

【专利技术属性】
技术研发人员：唐杰，
申请(专利权)人：北京百度网讯科技有限公司，
类型：发明
国别省市：