技術(shù)領(lǐng)域

本發(fā)明涉及互聯(lián)網(wǎng)領(lǐng)域，尤其涉及一種單點登錄裝置和方法。

背景技術(shù)

隨著網(wǎng)絡技術(shù)的不斷發(fā)展，基于網(wǎng)絡平臺的應用系統(tǒng)越來越多，并呈現(xiàn)出形式多樣化和技術(shù)復雜化的特點。為了增強系統(tǒng)的安全性，身份認證技術(shù)被越來越多應用于系統(tǒng)的登錄過程。在這種情況下，用戶如果要完成一系列的業(yè)務工作就可能需要進入多個不同的系統(tǒng)，但是不同的系統(tǒng)又同時具有不同的身份校驗憑證(比如用戶名和安全口令)，這不但要求用戶需要記住多套的用戶名和安全口令，而且會極大的影響系統(tǒng)的執(zhí)行效率，使用戶體驗度大打折扣。單點登錄的概念因此被提出，其主要用途就是幫助用戶在進行身份校驗的時候只需要進行一次身份驗證就可以訪問其受信的所有業(yè)務資源。單點登錄的模型主要包括基于經(jīng)紀人的單點登錄模型、基于代理的單點登錄模型、基于網(wǎng)關(guān)的單點登錄模型等。

在基于網(wǎng)關(guān)的單點登錄模型中，會提供一個類似“門”的網(wǎng)關(guān)，用以安全地接入到可信的網(wǎng)絡服務，如圖1所示。網(wǎng)關(guān)可以是防火墻或者是專門用于通訊加密的服務器，其工作方式如下：首先，客戶機要向網(wǎng)關(guān)進行身份驗證，一般要使用加密技術(shù)。為了避免有人假扮網(wǎng)關(guān)來欺騙客戶機，在初始的認證過程中，客戶機可以要求進行相互的身份認證，即客戶機要向網(wǎng)關(guān)證明自己是合法用戶，同時網(wǎng)關(guān)也要向客戶機證明自己是值得信賴的網(wǎng)關(guān)。然后客戶機提出自己訪問資源的請求，網(wǎng)關(guān)通過用戶信息數(shù)據(jù)庫查找該用戶。如果該用戶存在且通過認證，則網(wǎng)關(guān)會授權(quán)用戶使用對應的服務；如果該用戶不存在于用戶信息數(shù)據(jù)庫中，則網(wǎng)關(guān)拒絕其請求。由于在網(wǎng)關(guān)后的所有服務資源處在一個可被信賴的網(wǎng)絡中，所以各種服務可以用其IP地址來表示。這樣，把用戶的身份信息和其有權(quán)訪問的服務資源的IP地址結(jié)合起來，便可以實現(xiàn)單點登錄。因為網(wǎng)關(guān)只要記住該用戶的身份標識,便可以自動讓用戶訪問其有權(quán)訪問的資源,而不需要多余的認證過程。

隨著計算機技術(shù)的飛速發(fā)展，單點登錄模型也日漸成熟，但是仍然存在一些技術(shù)問題。在基于網(wǎng)關(guān)的單點登錄模型中，所有的業(yè)務數(shù)據(jù)轉(zhuǎn)發(fā)和認證過程都要通過一個網(wǎng)關(guān)完成，顯然不能滿足當今大數(shù)據(jù)時代的要求，當業(yè)務數(shù)據(jù)轉(zhuǎn)發(fā)量成指數(shù)增長的時候，很容易導致網(wǎng)關(guān)的癱瘓。

發(fā)明內(nèi)容

(一)要解決的技術(shù)問題

本發(fā)明提供一種單點登錄裝置和方法，以解決現(xiàn)有技術(shù)的基于網(wǎng)關(guān)的單點登錄模型中不能適應大數(shù)據(jù)時代的要求，容易癱瘓的技術(shù)問題。

(二)技術(shù)方案

為解決上述技術(shù)問題，本發(fā)明提供一種單點登錄裝置，包括：服務請求方、服務提供方、安全認證方和網(wǎng)關(guān)群，所述網(wǎng)關(guān)群包括：斷言網(wǎng)關(guān)、多個業(yè)務網(wǎng)關(guān)、流量監(jiān)測器和流量分發(fā)器，其中：

所述服務請求方用于向所述斷言網(wǎng)關(guān)請求安全斷言，當接收到安全斷言后向所述業(yè)務網(wǎng)關(guān)持安全斷言請求服務；

所述服務提供方用于向所述安全認證方請求注冊，注冊成功后向所述業(yè)務網(wǎng)關(guān)提供所述服務請求方所請求的服務；

所述安全認證方用于對所述服務提供方、斷言網(wǎng)關(guān)、業(yè)務網(wǎng)關(guān)提供注冊和吊銷業(yè)務；對所述斷言網(wǎng)關(guān)轉(zhuǎn)發(fā)的所述服務請求方的斷言請求進行身份驗證，驗證通過后向所述斷言網(wǎng)關(guān)提供其安全斷言；

所述網(wǎng)關(guān)群中的斷言網(wǎng)關(guān)用于存儲安全認證方的安全斷言并提供給業(yè)務網(wǎng)關(guān)；向所述安全認證方轉(zhuǎn)發(fā)所述服務請求方的斷言請求，接收所述安全認證方的安全斷言并提供給所述服務請求方；業(yè)務網(wǎng)關(guān)用于接收所述服務請求方的安全斷言和服務請求，將所述安全斷言與斷言網(wǎng)關(guān)所存儲的進行比較驗證，驗證通過后向相應的服務提供方轉(zhuǎn)發(fā)服務請求，并將服務提供方提供的數(shù)據(jù)轉(zhuǎn)發(fā)回服務請求方；流量監(jiān)測器用于統(tǒng)計網(wǎng)絡流量并發(fā)送至流量分發(fā)器；流量分發(fā)器用于控制各業(yè)務網(wǎng)關(guān)的網(wǎng)絡流量，以實現(xiàn)負載均衡。

進一步地，所述安全認證方還用于：

向注冊成功的服務提供方、斷言網(wǎng)關(guān)、業(yè)務網(wǎng)關(guān)發(fā)放數(shù)字證書；

向移除的服務提供方、斷言網(wǎng)關(guān)、業(yè)務網(wǎng)關(guān)吊銷數(shù)字證書。

進一步地，所述流量分發(fā)器還用于：

分析所述流量監(jiān)測器的網(wǎng)絡流量統(tǒng)計信息，將網(wǎng)絡流量平均分發(fā)給所有業(yè)務網(wǎng)關(guān)，實現(xiàn)負載均衡。

進一步地，

所述流量監(jiān)測器還用于：實時統(tǒng)計網(wǎng)關(guān)群的總網(wǎng)絡流量；

相應地，所述流量分發(fā)器還用于：當總網(wǎng)絡流量值超出網(wǎng)關(guān)群的最大負載流量，增加新的業(yè)務網(wǎng)關(guān)。

進一步地，所述流量監(jiān)測器還用于：

強制新的業(yè)務網(wǎng)關(guān)到所述安全認證方進行注冊。

進一步地，

所述流量監(jiān)測器還用于：實時統(tǒng)計網(wǎng)關(guān)群各業(yè)務網(wǎng)關(guān)的網(wǎng)絡流量；