CN102195957B - 一种资源共享方法、装置及系统 - Google Patents
一种资源共享方法、装置及系统 Download PDFInfo
- Publication number
- CN102195957B CN102195957B CN201010132564.2A CN201010132564A CN102195957B CN 102195957 B CN102195957 B CN 102195957B CN 201010132564 A CN201010132564 A CN 201010132564A CN 102195957 B CN102195957 B CN 102195957B
- Authority
- CN
- China
- Prior art keywords
- resource
- shared
- request
- sharing
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明实施例提供了一种资源共享方法、装置及系统。该方法包括:接收第一域的共享方发送的资源共享请求,该资源共享请求中包括请求共享的资源对应的资源标识及被共享方信息;对该资源标识及该被共享方信息进行处理,生成授权验证信息;向第二域的被共享方发送资源共享消息,所述资源共享消息中包括所述授权验证信息;接收第二域的请求方发送的资源访问请求,所述资源访问请求中包括所述资源标识、请求方信息及所述授权验证信息;根据所述资源访问请求中包含的所述资源标识、所述请求方信息及所述授权验证信息,判断是否允许所述请求方访问所述资源标识对应的资源。该方法可节省权限检查的存储、管理开销,提高运行效率。
Description
技术领域
本发明涉及通信领域,具体地涉及一种资源共享方法、装置及系统。
背景技术
信息共享是社交网络服务(SNS,Social Network Service)应用中的一项基础功能,互联网中存在多种社交网络服务,例如Facebook,Xiaonei等,用户归属于某个特定的社交网络服务,用户可以在社交网络服务中管理和使用应用,包括安装、授权、使用、卸载等,一个应用(例如开心农场)可以同时在多个社交网路服务器上进行部署,供用户安装使用。用户、社交网络和应用三方越来越多地出现在以全分布式的形态进行组合的场景中。同时,用户通过使用应用,会产生或收集一定数量的信息资源。在好友分享时,这些信息资源基于隐私保护和合理授权的原则,需要通过某种机制被授权给选定的好友进行访问。
现有技术的方案的前置条件为:一、网络上存在两个社交网络服务,一个应用在两个社交网路服务上都进行了注册,注册的含义是社交网络服务器确认了应用,记录了对应的应用标识,并开放了相关的功能接口如用户认证接口和消息读写接口供应用服务调用。二、存在两个不同的用户:用户1和用户2分别是不同的社交网络服务上的合法注册用户,记用户1的社交网络服务为用户1归属域服务器,用户2的社交网络服务为用户2归属域服务器;假设用户1为共享方,用户2为被共享方。三、用户1保存用户2的信息作为通讯联系人或好友,后续统称为好友,用户2的信息包括用户2的标识和用户2归属域服务器地址。用户1进行资源共享时会选择用户2的信息作为共享对象。
图1为现有技术的应用服务器执行共享授权检查的方法流程图。现有技术方案是在共享时应用服务器记录用户的资源共享授权信息,并在资源访问时根据记录的资源共享授权信息进行共享授权检查,如图1所示,该方法包括:
S101-S104、用户1通过用户代理软件UA(User Agent,用户代理,例如用户的浏览器)登录用户1的归属域服务器;
S105、用户1点击应用服务器地址连接,访问应用服务器,访问消息中包括:用户1标识,用户1归属服务器地址,令牌1,其中令牌1是用户1归属域服务器签发的用户1身份验证信息;
S106-S107、应用服务器收到用户请求后,通过用户1的归属域服务器来验证用户1的身份;
S108、应用服务器确认身份验证结果;若用户1是合法用户,则返回用户1UA的定制化应用资源页面,用户可以对应用数据进行增、删、改、查等操作;
S109、用户1选择请求共享的私有应用资源,如私人相册,网盘文件等,并将该应用资源共享给跨域的好友用户;
S110-S112、应用服务器从用户1的归属服务器请求获取用户1的好友列表数据,并返回给用户1以供用户1选择;
S113、用户1从好友列表中选择好友用户2(用户2标识,用户2归属域服务器地址),返回给应用服务器。用户1执行了该操作后,实际上完成了用户1对其好友2的资源共享的授权过程。
S114、应用服务器执行操作检查;检查的内容包括例如:用户2的归属域服务器是否向应用服务器开放了的消息发送接口等。
S115、应用服务器调用消息发送接口,向用户2的归属域服务器发送资源共享消息;该资源共享消息中包括:资源标识、应用服务器地址、用户2标识、用户1标识、用户1归属服务器地址;
S116、用户2归属域服务器通过检查该资源共享消息的参数,如用户2标识的合法性,及用户1的归属服务器的合法性等,来检查应用服务器发消息的权限;
S117、用户2归属服务器记录该资源共享消息,记录的具体位置,可能是用户2的收件箱或专门的共享消息表中,用户2上线后能够看到该共享消息;
S118、用户2归属服务器返回资源共享消息接收成功的响应;
S119、应用服务器在资源共享完成后,需要记录用户1本次资源共享的共享授权信息,至少包含的信息有:资源标识、用户2标识、用户2归属域服务器地址,操作时间信息等;至此,用户1的资源共享操作完成,后续步骤为被共享方用户2的资源查看流程。
S120~S124用户2登录归属域服务器;查看共享消息(用户1共享给用户2的资源信息);点击访问用户1在应用服务器上的共享的资源;
S125、用户2点击共享资源地址信息,包含有资源标识和应用服务器地址,请求应用服务器授权访问;资源访问请求消息包括:用户2标识、用户2的归属域服务器地址、令牌2;其中令牌2是用户2归属域服务器签名并下发给用户2UA的身份凭证数据,用于后续资源查看请求过程中对用户2身份的确认;
S126-S127、应用服务器请求用户2的归属域服务器验证用户2的身份,请求参数包括:用户2标识和令牌2,并获取验证结果;
S128、应用服务器使用资源标识和用户2标识检索资源授权数据库,检查是否存在对用户2的资源授权信息,其中资源授权记录包括资源标识、用户2标识、用户2归属域服务器地址,通过检索和匹配授权信息,应用服务器确认合法授权用户2的资源访问请求;
S129、向用户2返回定制化的包含授权资源的页面。
发明人在实现本发明的过程中发现,现有技术至少存在以下不足:一方面,在执行共享操作时,应用服务器需要在本地记录用户的跨域共享授权信息,从而需要额外的数据存储和管理开销,如清理过期的记录和无效的记录;另一方面,在处理访问请求时,应用服务器需要读取本地记录进行权限检查,从而需要开发相关的业务逻辑,产生更多的工作量。
发明内容
本发明实施例提供了一种资源共享方法、装置及系统。
一方面,本发明实施例提供了一种资源共享方法,所述方法包括:接收第一域的共享方发送的资源共享请求,所述资源共享请求中包括请求共享的资源对应的资源标识及被共享方信息;对所述资源标识及所述被共享方信息进行处理,生成授权验证信息;向第二域的被共享方发送资源共享消息,所述资源共享消息中包括所述授权验证信息;接收第二域的请求方发送的资源访问请求,所述资源访问请求中包括所述资源标识、请求方信息及所述授权验证信息;根据所述资源访问请求中包含的所述资源标识、所述请求方信息及所述授权验证信息,判断是否允许所述请求方访问所述资源标识对应的资源。
另一方面,本发明实施例提供了一种应用服务器,所述应用服务器包括:第一接收单元,用于接收第一域的共享方发送的资源共享请求,所述资源共享请求中包括请求共享的资源对应的资源标识及被共享方信息;信息生成单元,用于对所述资源标识及所述被共享方信息进行处理,生成授权验证信息;发送单元,用于向第二域的被共享方发送资源共享消息,所述资源共享消息中包括所述授权验证信息;第二接收单元,用于接收第二域的请求方发送的资源访问请求,所述资源访问请求中包括所述资源标识、所述请求方信息及所述授权验证信息;授权验证单元,用于根据所述资源访问请求中包含的所述资源标识、所述请求方信息及所述授权验证信息,判断是否允许所述请求方访问所述资源标识对应的资源。
又一方面,本发明实施例提供了一种资源共享系统,所述系统包括:共享方设备,用于向应用服务器发送资源共享请求,所述资源共享请求中包括请求共享的资源对应的资源标识及被共享方信息;应用服务器,用于接收第一域的共享方发送的资源共享请求,所述资源共享请求中包括请求共享的资源对应的资源标识及被共享方信息;对所述资源标识及所述被共享方信息进行处理,生成授权验证信息;向第二域的被共享方发送资源共享消息,所述资源共享消息中包括所述授权验证信息;接收第二域的请求方发送的资源访问请求,所述资源访问请求中包括所述资源标识、所述请求方信息及所述授权验证信息;根据所述资源访问请求中包含的所述资源标识、所述请求方信息及所述授权验证信息,判断是否允许所述请求方访问所述资源标识对应的资源。
本发明实施例提供的上述技术方案,通过对资源共享请求包含的资源标识及被共享方信息进行处理,生成授权验证信息,并将该授权验证信息发送至被共享方;然后在被共享方进行资源访问时,根据资源访问请求中包含的资源标识、被共享方信息及授权验证信息,判断是否允许所述被共享方访问所述资源标识对应的资源;从而当共享方在应用服务器上执行资源共享时,不需要在应用服务器本地记录用户的跨域共享授权信息,节省了数据存储开销和管理开销,例如无需清理过期的记录和无效的记录;请求方在访问共享的资源时,应用服务器不需要读取本地记录进行权限检查,从而不需要开发相关的业务逻辑,该权限验证过程具备更高的运行效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图做一简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术的应用服务器执行共享授权检查的方法流程图;
图2为本发明实施例的资源共享方法的流程图;
图3为本发明实施例的另一种资源共享方法的流程图;
图3A为本发明实施例依据图3所示方法的具体信令交互流程图;
图3B为本发明实施例依据图3所示方法的另一种具体信令交互流程图;
图4为本发明实施例的又一种资源共享方法的流程图;
图4A为本发明实施例依据图4所示方法的具体信令交互流程图;
图5为本发明实施例的又一种资源共享方法的流程图;
图5A为本发明实施例依据图5所示方法的具体信令交互流程图;
图6为本发明实施例的一种应用服务器的功能框图;
图7为本发明实施例的另一种应用服务器的功能框图;
图8为本发明实施例的又一种应用服务器的功能框图;
图9为本发明实施例的又一种应用服务器的功能框图;
图10为本发明实施例的资源共享系统的功能框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例涉及一种在分布式社会化网络服务中,不同网络中的用户进行应用资源共享的解决方案。本发明实施例解决的技术问题是如何安全高效地实现跨域或跨站(Cross Domain)用户间的资源共享和授权。进一步地,本发明实施例的目的在于:提供一种分布式社交网络环境中用户间的跨域资源共享方案;并且实现访问用户的非公开资源时需要执行共享授权检测,以保护用户隐私和数据安全。
本发明实施例提供了一种资源共享方法。图2为本发明实施例的资源共享方法的流程图。如图2所示,该方法的执行主体为应用服务器,包括如下步骤:
S201、接收第一域的共享方发送的资源共享请求,所述资源共享请求中包括请求共享的资源对应的资源标识及被共享方信息;
具体地,被共享方信息可以包括被共享方标识和被共享方归属域服务器的网络地址;可选地,被共享方可以为一个或多个。
S202、对所述资源标识及所述被共享方信息进行处理,生成授权验证信息;
具体地,对该资源标识及该被共享方信息进行处理的方式例如为散列处理、或者加密处理、或者散列处理结合加密处理,在此暂不展开详述。所述授权验证信息包括资源共享摘要、资源共享签名或资源共享密文等;例如在发明的一个实施例中,是通过HMAC(Hash based Message Authentication Code散列消息鉴别码)摘要技术生成资源共享摘要;在本发明的另一实施例中是通过数字签名技术(Digital Signature Algorithm,DSS)生成资源共享签名;在本发明的又一个实施例中是通过加密技术生成资源共享密文。
S203、向第二域的被共享方发送资源共享消息,所述资源共享消息中包括所述授权验证信息;
具体地,上述资源共享消息中还可以进一步包括共享方标识和共享方归属域服务器的网络地址。资源共享消息的发送方式不限于直接发送,也可以为间接发送,例如由应用服务器先发送至被共享方的归属域服务器进行记录或存储,然后由被共享方的归属域服务器转发至被共享方;或者依次通过第一域的共享方归属域服务器和第二域的被共享方归属域服务器,将所述资源共享消息发送至所述被共享方。
S204、接收第二域的请求方发送的资源访问请求,所述资源访问请求中包括所述资源标识、请求方信息及所述授权验证信息;
具体地,该请求方可以是被共享方,也可以不是被共享方,该请求方例如可以通过例如窃取、伪造或拷贝等手段获取上述资源标识、上述授权验证信息、应用服务器地址等信息。
S205、根据所述资源访问请求中包含的所述资源标识、所述请求方信息及所述授权验证信息,判断是否允许所述请求方访问所述资源标识对应的资源。
具体地,在S205中应用服务器对请求方该问被共享资源的权限进行检查,通过资源访问请求中的信息来判断获取的授权验证信息是否为应用服务器自已签发出去的授权验证信息,从而可以确认是否授权请求方访问被共享的资源。
本发明实施例的资源共享方法,当共享方在应用服务器上执行资源共享时,不需要在应用服务器本地记录用户的跨域共享授权信息,节省了数据存储开销和管理开销,如清理过期的记录和无效的记录;请求方在访问共享的资源时,应用服务器不需要读取本地记录进行权限检查,从而不需要开发相关的业务逻辑,使着该权限验证过程具备更高的运行效率。
本发明实施例提供还了另一种资源共享方法。图3为本发明实施例的另一种资源共享方法的流程图。如图3所示,该方法包括:
S301、接收第一域的共享方发送的资源共享请求,所述资源共享请求中包括请求共享的资源对应的资源标识、被共享方标识和被共享方归属域服务器地址;
S302、根据预设的密钥对对所述资源标识、所述被共享方标识和所述被共享方归属域服务器地址进行散列处理,生成资源共享摘要;
具体地,上述散列处理可以基于散列消息鉴别码HMAC,HMAC是散列消息认证码计算逻辑,是现有的一种消息认证技术。预设的密钥可以为应用服务器独享的私有密钥;资源共享摘要的生成方法遵守具体的HMAC算法处理约定:对包含预设的密钥、资源标识、被共享方标识、被共享方归属域服务器地址在内的信息进行散列。
S303、向第二域的被共享方发送资源共享消息,所述资源共享消息中包括所述资源共享摘要;
可选地,上述向第二域的被共享方发送资源共享消息,具体可以包括:向第二域的被共享方归属域服务器发送资源共享消息,并通过上述第二域的被共享方归属域服务器将上述资源共享消息发送至第二域的被共享方;上述发送至第二域的被共享方归属域服务器的资源共享消息中还可以包括:请求共享的资源对应的资源标识、资源共享摘要、共享方标识、共享方归属域服务器地址和被共享方标识。被共享方归属域服务器存储或记录资源共享消息中包含的上述信息,并在被共享方上线或登录后发送至被共享方。
S304、接收第二域的请求方发送的资源访问请求,所述资源访问请求中包括所述资源标识、所述资源共享摘要、请求方标识和所述请求方归属域服务器地址;
可选地,上述资源访问请求中还可以包括请求方的令牌,请求方的归属域服务器可以根据该令牌验证被请求方的身份,并向应用服务器返回身份验证结果。
S305、根据所述预设的密钥对所述资源访问请求中包含的所述资源标识、所述请求方标识和所述请求方归属域服务器地址进行散列处理,生成资源请求摘要;
散列处理的过程同S302,采用与S302中相同的摘要技术和相同的密钥,具体地,资源请求摘要的生成方法遵守具体的HMAC算法处理约定:对包含预设的密钥、资源标识,请求方标识,请求方归属域服务器地址在内的信息进行散列。
S306、对比所述资源请求摘要和所述资源访问请求中包含的资源共享摘要是否一致,当一致时,允许所述请求方访问所述资源标识对应的资源。
具体地,当对比结果不一致时,拒绝该请求方的资源访问请求。当对比结果为一致时,表示该请求方即为被共享方,则允许上述请求方访问上述资源标识对应的资源,应用服务器可以向请求方返回包含授权资源的页面。
假如请求方通过例如伪造、窃取或拷贝等手段非法获取了资源标识、资源共享摘要、应用服务器地址等关键信息,而没有获取被共享方的身份信息例如被共享方标识以及服务器下发的身份验证信息即令牌,并且在资源访问请求中携带的身份信息为请求方的标识,则在S305-S306的授权验证过程中,应用服务器生成的资源请求摘要将不同于资源共享摘要,从而应用服务器拒绝该请求方的资源访问请求,有效防止了请求方顶替被共享方非法获取被共享的资源的发生。
图3A为本发明实施例依据图3所示方法的具体信令交互流程图。假设用户1为共享方,用户2为被共享方,若用户1与用户2来自相同的归属域服务器,则作为跨域共享的一种特例,资源共享流程相同。以下以用户1和用户2分别来自不同的归属域服务器为例进行说明,如图3A所示,此种情况下的信令交互流程包括如下步骤:
S301A、用户1在用户代理软件UA中输入用户1归属域服务器的网络地址,请求访问用户1的归属域服务器;
S302A、用户1的归属域服务器返回用户登录界面;
S303A、用户1填写用户标识和鉴权信息,发送至用户1的归属域服务器;
S304A、用户1的归属域服务器执行用户身份认证,若用户认证成功,则用户1的归属域服务器向用户1UA返回认证结果信息,该认证结果信息包括:应用服务器地址,用户1标识,用户1归属域服务器地址,令牌1。其中,应用服务器地址是随上述认证结果信息返回,一般用户登录后会通过定制化界面显示用户安装的应用列表,用户可以直接点击访问应用;令牌是归属域服务器产生的可被认证的用于标识用户身份的信息,具有时间属性,采用现有成熟技术生成。
S305A、用户1点击应用服务器地址连接,访问应用服务器,访问请求消息包括:用户1标识,用户1归属服务器地址,令牌1;
S306A、应用服务器收到用户1的访问请求后,需要验证用户1的身份,以便向用户1返回相应的定制界面和资源;应用服务器发送令牌1至用户1的归属域服务器,请求用户1归属域服务器验证用户1的身份;
S307A、用户1归属服务器验证令牌1,验证的方法取决于令牌生成的方法,可以采用现有技术,用户1归属域服务器返回验证结果信息给应用服务器;
S308A、应用服务器确认身份验证结果;若用户1是合法用户,则返回用户1UA的定制化应用资源页面,用户1可以对应用数据进行增、删、改、查等操作;
S309A、用户1选择请求共享的私有应用资源,如私人相册,网盘文件等,以将应用资源共享给跨域的好友用户;此时,应用服务器还没有用户1的好友信息,需要从用户1的归属域服务器上去获取用户1的好友信息,并呈现给用户1选择。
S310A、应用服务器向用户1的归属服务器请求用户1的好友列表数据;
S311A、用户1归属服务器返回用户1的好友列表数据;实际情况下用户1的好友可能是多个;
S312A、应用服务器通过定制化界面的展现返回用户1的好友列表;
S313A、用户1从好友列表中选择好友用户2(用户2标识,用户2归属域服务器地址),返回给应用服务器。用户1执行了该操作实际上完成用户1对其好友2的资源共享的授权过程。
S314A、应用服务器执行操作检查;检查的内容包括:用户2的归属域服务器是否向应用服务器开放了消息发送接口等。
S315A、应用服务器调用消息发送接口,向用户2的归属域服务器发送资源共享消息;该资源共享消息携带的信息有:资源标识、应用服务器地址、资源共享摘要,用户1标识、用户1归属域服务器地址,用户2标识;其中,资源共享摘要的生成方法遵守具体的HMAC算法处理约定:对包含应用密钥、资源标识,用户2标识,用户2归属服务器地址在内的信息进行散列。HMAC是散列消息认证码计算逻辑,是现有的一种消息认证技术,而应用密钥可以是应用服务器独享的私有密钥;
S316A、用户2的归属域服务器检查该资源共享消息的参数,如用户2标识的合法性,用户1的归属服务器的合法性等,以检查应用服务器发消息的权限;
S317A、用户2归属服务器记录该资源共享消息,记录的具体位置,可能是用户2的收件箱或专门的共享消息表中,使用户2上线后能够看到该资源共享消息;
S318A、用户2归属服务器返回资源共享消息接收成功的响应;
S319A、None;此步骤为空操作,应用服务器不需要记录任何授权数据,从而不会产生与此相关的存储、鉴权、管理、维护方面的开销;
至此,用户1完成了向用户2进行应用资源共享的过程,后续流程是被共享用户2登录归属域服务器完成共享资源查看的流程,资源查看流程与资源共享流程是时序上异步的两个过程。
S320A~S324A、用户2登录其归属域服务器;查看共享消息(用户1共享给用户2的资源信息);点击访问用户1在应用服务器上的共享资源;
其中在S323A中,用户2的归属域服务器向用户2返回用户2标识、用户2归属域服务器地址、用户2的令牌2、资源标识、应用服务器地址和资源共享摘要等信息。
S325A、用户2点击共享资源地址信息,包含有资源标识和应用服务器地址,请求应用服务器;资源访问请求消息包括:用户2标识、用户2的归属域服务器地址、令牌2、资源共享摘要;其中令牌2是用户2归属域服务器签名并下发给用户2UA的身份凭证数据,用于后续资源查看请求过程中对用户2身份的确认;
S326A、应用服务器接收到资源访问请求,该请求中包含请求者的用户标识和身份令牌;应用服务器会向请求者的归属域服务器申请验证身份令牌,若身份验证失败,则直接拒绝该资源访问请求;若身份验证成功,则继续执行后续的授权信息的匹配过程;
具体地,应用服务器根据收到的请求判断这是一个资源数据的访问请求,应用服务器首先需要确定请求者的身份,若请求者就是用户1本人,则直接返回用户1的资源;在此共享授权的场景中,请求者的身份是用户2,应用服务器请求用户2的归属域服务器,要求验证用户2的身份;请求参数包括:用户2标识和令牌2;
S327A、用户2归属域服务器验证令牌2,返回对用户2的身份鉴别结果;
S328A、应用服务器确认用户2的身份后,确认资源请求中的用户2标识和用户2归属域服务器是合法有效非伪造的信息,然后应用服务器使用S315A中相同摘要技术,以资源请求消息中的参数:资源标识,用户2标识,用户2归属域服务器地址,生成资源请求摘要,其中,资源请求摘要的生成方法遵守具体的HMAC算法处理约定:对包含应用密钥、资源标识,用户2标识,用户2归属服务器地址在内的信息进行散列。然后,对比生成的资源请求摘要和资源请求消息中携带的资源共享摘要是否相等,若两者相等则执行下一步,否则拒绝用户的资源访问请求;
S329A、返回定制化的包含授权资源的页面。
图3B为本发明实施例依据图3所示方法的另一种具体信令交互流程图。图3B所示的流程与图3A所示的流程基本类似,不同之处在于,出于对平台安全性的考虑,将共享消息接口作为归属服务器平台之间的对等开放能力,避免应用服务器直接向用户归属域发送,故应用服务器并不直接向被共享方归属域服务器发送消息。如图3B所示,该流程包括:
S301B-S314B与S301A-S314A、S319B与S319A、S316A-S317A与S316B-S317B均相同,在此不赘述。
S315B1、应用服务器向用户1归属域服务器发送资源共享消息,该资源共享消息包括:资源标识,资源共享摘要,用户1标识,用户1归属域服务器,用户2标识,用户2归属域服务器地址;
S315B2、用户1归属域服务器检查共享消息的执行权限,包括目的地用户2的归属域服务器是否开放了共享消息的收发接口等;
S315B3、用户1归属域服务器转发共享消息至用户2的归属域服务器,消息包括:资源标识、资源共享摘要、用户1标识、用户1归属域服务器地址和用户2标识;
S318B1、用户2归属域服务器向用户1的归属域服务器返回资源共享消息接收成功的响应;
S318B2、用户1的归属域服务器将该成功响应转发至应用服务器。
采用本发明实施例中图3或图3A或图3B所示的方法,在共享方执行共享操作时,应用服务器不需要记录任何共享授权数据,例如至少包括请求共享的资源标识、共享方标识、共享方归属域服务器地址、被共享方标识、被共享方归属域服务器地址、操作时间信息等。由于不需要记录任何共享授权记录,从而可以减少存储、管理、维护、鉴权方面的开销。在权限验证步骤中,通过根据资源访问请求中包含的参数生成资源请求摘要,并对比资源请求摘要和资源访问请求中包含的资源共享摘要是否一致,来实现权限检查,提高了运行效率。
本发明实施例还提供了又一种资源共享方法。图4为本发明实施例的又一种资源共享方法的流程图。如图4所示,该方法包括如下步骤:
S401、接收第一域的共享方发送的资源共享请求,所述资源共享请求中包括请求共享的资源对应的资源标识、被共享方标识和被共享方归属域服务器地址;
该S401与S301相同,在此不赘述。
S402、对所述资源标识、所述被共享方标识和所述被共享方归属域服务器地址进行散列处理,生成第一资源请求散列值;
S403、根据预设的密钥对所述第一资源请求散列值进行加密处理,生成资源共享签名;
具体地,S402-S403中通过先散列处理再加密处理生成的资源共享签名的步骤包括:1)以资源标识,被共享方标识,被共享方归属域服务器地址为参数进行散列处理,生成第一资源请求散列值,散列的方法可以采用SHA-1,MD5等算法,但不以此为限;2)对生成的第一资源共享散列值使用应用私钥进行加密,生成资源请求签名,加密方法可以采用对称或非对称加密算法。例如对称加密算法可以采用DES(Data Encryption Standard,数据加密标准)、AES(Advanced Encryption Standard,高级加密标准)等,非对称加密算法可以采用RSA算法、ElGamal算法等,但不以此为限;预设的密钥是应用服务器持有的密钥,对应于对称加密算法,预设的密钥是应用服务器独有私密密钥;对应于非对称加密算法,预设的密钥是应用服务器的非对称密钥对的私钥;HASH是预定的散列摘要算法,本领域技术人员可以理解。
S404、向第二域的被共享方发送资源共享消息,所述资源共享消息中包括所述资源共享签名;
S404的过程类似于图3中的S303,不同之处在于,以资源共享签名取代了资源共享摘要。
S405、接收第二域的请求方发送的资源访问请求,所述资源访问请求中包括所述资源共享签名、所述资源标识、请求方标识、请求方归属域服务器地址;
S406、对资源访问请求中包含的所述资源标识、所述被请求方标识和所述请求方归属域服务器地址进行散列处理,生成第二资源请求散列值;
S407、根据所述预设的密钥对所述第二资源请求散列值进行加密处理,生成资源请求签名;
具体地,S406-S407中可以参照S402-S403中相同的方法生成资源请求签名。在此不赘述。
S408、对比所述资源请求签名与所述资源访问请求中包含的资源共享签名是否一致,当一致时,允许所述请求方访问所述资源标识对应的资源。
图4A为本发明实施例依据图4所示方法的具体信令交互流程图。图4A所示流程和图3A所示流程相似,不同的步骤包括:步骤S415A、S423A、S425A及S428A。
S415A、应用服务器调用消息发送接口,向用户2的归属域服务器发送资源共享消息;该资源共享消息携带的信息有:资源标识,应用服务器地址,资源共享签名,用户1标识,用户1归属服务器地址,用户2标识;其中,资源共享签名的生成方法遵守具体的加解密算法和散列算法的约定:先对包括资源标识,用户2标识,用户2归属域服务器地址的信息使用散列算法处理,生成中间结果的散列值,再使用加密算法进行对生成的算列值进行加密处理,加密密钥为应用私钥。其中,具体的加密算法为某种对称加密算法或非对称加密算法,应用私钥是应用服务器持有的密钥。当选择使用对称加密算法时,应用私钥是应用服务器独有私密密钥,但选择使用非对称加密算法时,应用私钥是应用服务器的非对称密钥对的私钥;散列算法为预定的散列摘要算法;应用服务器生成资源共享签名;
S423A、用户2的归属域服务器向用户2返回用户2标识、用户2归属域服务器地址、用户2的令牌2、资源标识、应用服务器地址、资源共享签名等信息;
S425A、应用服务器接收用户2发送的资源访问请求,该资源访问请求中包括:资源标识、资源共享签名、用户2标识、用户2归属域服务器地址和令牌2;
S428A、应用服务器确认用户2的身份后,确认资源请求消息中的用户2标识和用户2归属域服务器是合法有效非伪造的信息,然后应用服务器使用对应于步骤S403中的加密算法和散列算法,以资源请求中的参数:资源标识,用户2标识,用户2归属域服务器地址,生成资源请求签名,生成资源请求签名的具体步骤包括:1)以资源标识、用户2标识、用户2归属域服务器地址为参数进行散列处理,生成第二资源请求散列值,其中,散列处理算法与S403相同;2)对生成的第二资源请求散列值使用应用私钥进行加密,生成资源请求签名,其中加密算法与步骤S403步骤使用的加密算法相同。再对比资源请求签名和资源请求消息中携带的资源共享签名是否相等,若两者相等则执行下一步,否则拒绝用户的资源访问请求。
通过本发明实施例的方法,应用服务器对其发出的资源共享消息进行签名,生成可验证的资源共享摘要(也称消息认证码)或资源共享签名,并将生成的资源共享摘要或资源共享签名作为资源共享消息的参数一并发送至被共享方,其它参数还包含共享的资源标识和被共享的用户信息;请求方在请求资源时,再携带该资源共享摘要或资源共享签名;应用服务器验证资源请求消息包含的参数与资源访问请求包含的资源共享签名或资源共享摘要的信息是否一致,如一致则通过授权验证。
本发明实施例的图4所示的方法,可以减少存储、管理、维护、鉴权方面的开销,并提高了权限检查的运行效率。
本发明实施例还提供了又一种资源共享方法。图5为本发明实施例的又一种资源共享方法的流程图。如图5所示,该方法包括如下步骤:
S501、接收第一域的共享方发送的资源共享请求,所述资源共享请求中包括请求共享的资源对应的资源标识、被共享方标识和被共享方归属域服务器地址;
具体地,S501与S301或S401相同,在此不赘述。
S502、根据预设的密钥对所述资源标识、所述被共享方标识和所述被共享方归属域服务器地址进行加密处理,生成资源共享密文;
具体地,资源共享密文的生成方法遵守具体的加解密算法的约定:对包括资源标识,被共享方标识,被共享方归属域服务器地址的信息使用加密算法进行加密处理,加密密钥为预设的密钥。其中,具体的加密算法为某种对称加密算法或非对称加密算法,应用私钥是应用服务器持有的密钥,当选择使用对称加密算法时,应用私钥是应用服务器独有私密密钥,但选择使用非对称加密算法时,应用私钥是应用服务器的非对称密钥对的私钥;
S503、向第二域的被共享方发送资源共享消息,所述资源共享消息中包括所述资源共享密文;
S504、接收第二域的请求方发送的资源访问请求,所述资源访问请求中包括所述资源共享密文、请求方标识、请求方归属域服务器地址;
S505、根据预设的密钥,对所述资源访问请求中包含的资源共享密文进行解密处理,获得解密后的资源标识、请求方标识和请求方归属域服务器地址;
具体地,S505中的解密算法对应于S502中采用的加密算法,可采用与S502中相同或相应的密钥进行解密,即若当S502步骤中采用对称加密算法进行处理时,本步骤将采用相同的解密算法和相同的预设的密钥进行解密;若S502步骤中采用非对称加密算法时,本步骤将采用相同的非对称解密算法和非对称密钥对中的另一个密钥进行解密处理。
S506、分别对比解密后的资源标识、请求方标识和请求方归属域服务器地址与资源访问请求中包含的资源标识、请求方标识和请求方归属域服务器地址是否一致,当一致时,允许所述请求方访问所述资源标识对应的资源。
图5A为本发明实施例依据图5所示方法的具体信令交互流程图。图5A与图4A、图3A的流程相似,不同的步骤包括:S515A、S523A、S525A和S528A。
S515A、应用服务器调用消息发送接口,向用户2的归属域服务器发送资源共享消息;该资源共享消息携带的信息有:资源标识,应用服务器地址,资源共享密文,用户1标识,用户1归属服务器地址,用户2标识;其中,资源共享密文的生成方法遵守具体的加解密算法的约定:对包括资源标识,用户2标识,用户2归属域服务器地址的信息使用加密算法进行加密处理,加密密钥为预设的应用私钥。其中,具体的加密算法为某种对称加密算法或非对称加密算法,应用私钥是应用服务器持有的密钥,当选择使用对称加密算法时,应用私钥是应用服务器独有私密密钥,但选择使用非对称加密算法时,应用私钥是应用服务器的非对称密钥对的私钥;应用服务器生成资源共享密文;
S523A、用户2的归属域服务器向用户2返回用户2标识、用户2归属域服务器地址、用户2的令牌2、资源标识、应用服务器地址和资源共享密文等信息;
S525A、应用服务器接收用户2发送的资源访问请求,该资源访问请求中包括:资源标识、资源共享密文、用户2标识、用户2归属域服务器地址和令牌2;
S528A、应用服务器确认用户2的身份后,确认资源请求中的用户2标识和用户2归属域服务器是合法有效非伪造的信息,然后应用服务器使用对应步骤S515A中的加密算法,以资源请求中的资源共享密文进行解密,得到解密的共享的授权参数,再使用解密的参数对比资源请求消息中的参数:资源标识,用户2标识,用户2归属域服务器地址,检查是否一致,若参数完全一致则执行下一步,否则拒绝用户2的资源访问请求;
本发明实施例图5所示的方法,在应用服务器上执行资源共享时,不需要在应用服务器本地记录用户的跨站共享授权信息,节省了数据存储开销和管理开销,如清理过期的记录和无效的记录;请求方在访问共享的授权资源时,应用服务器不需要读取本地记录进行权限检查,从而不需要开发相关的业务逻辑,与现有技术方案对比,具备更高的运行效率。
本发明实施例还提供了一种应用服务器。图6为本发明实施例的一种应用服务器的功能框图。如图6所示,该应用服务器60包括:
第一接收单元601,用于接收第一域的共享方发送的资源共享请求,所述资源共享请求中包括请求共享的资源对应的资源标识及被共享方信息;
信息生成单元602,用于对所述资源标识及所述被共享方信息进行处理,生成授权验证信息;
发送单元603,用于向第二域的被共享方发送资源共享消息,所述资源共享消息中包括所述授权验证信息;
第二接收单元604,用于接收第二域的请求方发送的资源访问请求,所述资源访问请求中包括所述资源标识、请求方信息及所述授权验证信息;
授权验证单元605,用于根据所述资源访问请求中包含的所述资源标识、所述请求方信息及所述授权验证信息,判断是否允许所述请求方访问所述资源标识对应的资源。
具体地,所述被共享方信息包括被共享方标识和被共享方归属域服务器地址;所述请求方信息包括请求方标识和请求方归属域服务器地址;所述授权验证信息可以包括资源共享摘要、资源共享签名或资源共享密文。
上述信息生成单元602和授权验证单元605的功能已在上述方法实施例中详细描述,在此不赘述。
可选地,所述发送单元603,还可以用于向第二域的被共享方归属域服务器发送资源共享消息,并将所述资源共享消息发送至所述第二域的被共享方;具体的发送过程包括:通过所述被共享方归属域服务器进行发送,或者依次通过第一域的共享方归属域服务器和第二域的被共享方归属域服务器进行发送。
本发明实施例的应用服务器,不需要记录用户的跨站共享授权信息,节省了数据存储开销和管理开销,如清理过期的记录和无效的记录;请求方在访问共享的资源时,应用服务器不需要读取本地记录进行权限检查,从而不需要开发相关的业务逻辑,该权限验证过程具备更高的运行效率。
本发明实施例还提供了另一种应用服务器。图7为本发明实施例的另一种应用服务器的功能框图。如图7所示,该应用服务器70包括:
第一接收单元701,用于接收第一域的共享方发送的资源共享请求,所述资源共享请求中包括请求共享的资源对应的资源标识、被共享方标识和被共享方归属域服务器地址;
信息生成单元702,用于根据预设的密钥对所述资源标识、所述被共享方标识和所述被共享方归属域服务器地址进行散列处理,生成资源共享摘要;
发送单元703,用于向第二域的被共享方发送资源共享消息,所述资源共享消息中包括所述资源共享摘要;
第二接收单元704,用于接收所述被共享方发送的资源访问请求,所述资源访问请求中包括所述资源共享摘要、请求方标识和所述请求方归属域服务器地址;
授权验证单元705,包括:生成子单元7051,用于根据所述预设的密钥对所述资源访问请求中包含的所述资源标识、所述请求方标识和所述请求方归属域服务器地址进行散列处理,生成资源请求摘要;对比子单元7052,用于对比所述资源请求摘要和所述资源访问请求中包含的资源共享摘要是否一致,当一致时,允许所述请求方访问所述资源标识对应的资源。
具体地,所述散列处理可以基于散列消息鉴别码HMAC。
上述信息生成单元702述和授权验证单元705的具体功能已在上述方法实施例中详述,在此不赘述。
本发明实施例还提供又一种应用服务器。图8为本发明实施例的又一种应用服务器的功能框图。如图8所示,该应用服务器80包括:
第一接收单元801,用于接收第一域的共享方发送的资源共享请求,所述资源共享请求中包括请求共享的资源对应的资源标识、被共享方标识和被共享方归属域服务器地址;
信息生成单元802,包括:第一生成子单元8021,用于对所述资源标识、所述被共享方标识和所述被共享方归属域服务器地址进行散列处理,生成第一资源请求散列值;第二生成子单元8022,用于根据预设的密钥对所述第一资源请求散列值进行加密处理,生成资源共享签名;
发送单元803,用于向第二域的被共享方发送资源共享消息,所述资源共享消息中包括所述资源共享签名;
第二接收单元804,用于接收第二域的请求方发送的资源访问请求,所述资源访问请求中包括所述资源共享签名、所述资源标识、所述请求方标识和所述请求方归属域服务器地址;
授权验证单元805,包括:第三生成子单元8051,用于对资源访问请求中包含的所述资源标识、所述请求方标识和所述请求方归属域服务器地址进行散列处理,生成第二资源请求散列值;第四生成子单元8052,用于根据所述预设的密钥对所述第二资源请求散列值进行加密处理,生成资源请求签名;对比子单元8053,用于对比所述资源请求签名与所述资源访问请求中包含的资源共享签名是否一致,当一致时,允许所述请求方访问所述资源标识对应的资源。
上述信息生成单元802和授权验证单元805的功能已在上述方法实施例中详细描述,在此不赘述。所述加密处理可以基于对称或不对称加密算法,所述预设的密钥可以为应用服务器的私钥。
本发明实施例还提供又一种应用服务器。图9为本发明实施例的又一种应用服务器的功能框图。如图9所示,该应用服务器90包括:
第一接收单元901,用于接收第一域的共享方发送的资源共享请求,所述资源共享请求中包括请求共享的资源对应的资源标识、被共享方标识和被共享方归属域服务器地址;
信息生成单元902,用于根据预设的密钥对所述资源标识、所述被共享方标识和所述被共享方归属域服务器地址进行加密处理,生成资源共享密文;
发送单元903,用于向第二域的被共享方发送资源共享消息,所述资源共享消息中包括所述资源共享密文;
第二接收单元904,用于接收第二域的请求方发送的资源访问请求,所述资源访问请求中包括所述资源共享密文、所述资源标识、请求方标识和请求方归属域服务器地址;
授权验证单元905,包括:解密子单元9051,用于根据预设的密钥,对所述资源访问请求中包含的资源共享密文进行解密处理,获得解密后的资源标识、请求方标识和请求方归属域服务器地址;对比子单元9052,用于分别对比解密后的资源标识、请求方标识和请求方归属域服务器地址与资源访问请求中包含的资源标识、请求方标识和请求方归属域服务器地址是否一致,当一致时,允许所述请求方访问所述资源标识对应的资源。
具体地,所述加密处理可以基于对称或不对称加密算法,所述预设的密钥为应用服务器的私钥。
上述信息生成单元902和授权验证单元905的功能已在上述方法实施例中详细描述,在此不赘述。
本发明实施例的应用服务器,当共享方在应用服务器上执行资源共享时,应用服务器不需在本地记录用户的跨站共享授权信息,节省了数据存储开销和管理开销,如清理过期的记录和无效的记录;请求方在访问共享的资源时,应用服务器不需要读取本地记录进行权限检查,从而不需要开发相关的业务逻辑,该权限验证过程具备更高的运行效率。
本发明实施例还提供了一种资源共享系统。图10为本发明实施例的资源共享系统的功能框图。如图10所示,该系统100包括:
共享方设备110,用于向应用服务器发送资源共享请求,所述资源共享请求中包括请求共享的资源对应的资源标识及被共享方信息;
应用服务器120,用于接收第一域的共享方发送的资源共享请求,所述资源共享请求中包括请求共享的资源对应的资源标识及被共享方信息;对所述资源标识及所述被共享方信息进行处理,生成授权验证信息;向第二域的被共享方发送资源共享消息,所述资源共享消息中包括所述授权验证信息;接收第二域的请求方发送的资源访问请求,所述资源访问请求中包括所述资源标识、请求方信息及所述授权验证信息;根据所述资源访问请求中包含的所述资源标识、所述请求方信息及所述授权验证信息,判断是否允许所述请求方访问所述资源标识对应的资源。
该系统也可以进一步包括请求方设备130,其用于向所述应用服务器发送资源访问请求,所述资源访问请求中包括所述资源标识、请求方信息及所述授权验证信息。
本发明实施例的系统可以节省数据存储开销和管理开销,并提高权限验证过程的运行效率。
当然,本发明实施例的装置及系统的相关描述可以进一步参照方法实施例的相关部分的描述,在此不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上实施例仅用以说明本发明实施例的技术方案,而非对其限制;尽管参照前述实施例对本发明实施例进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明实施例各实施例技术方案的精神和范围。
Claims (11)
1.一种资源共享方法,其特征在于,所述方法包括:
接收第一域的共享方发送的资源共享请求,所述资源共享请求中包括请求共享的资源对应的资源标识及被共享方信息;所述被共享方信息包括被共享方标识和被共享方归属域服务器地址;
对所述资源标识及所述被共享方信息进行处理,生成授权验证信息;
向第二域的被共享方发送资源共享消息,所述资源共享消息中包括所述授权验证信息;
接收第二域的请求方发送的资源访问请求,所述资源访问请求中包括所述资源标识、请求方信息及所述授权验证信息;
根据所述资源访问请求中包含的所述资源标识、所述请求方信息及所述授权验证信息,判断是否允许所述请求方访问所述资源标识对应的资源;
其中,所述向第二域的被共享方发送资源共享消息,包括:向第二域的被共享方归属域服务器发送资源共享消息,并将所述资源共享消息发送至所述第二域的被共享方;具体的发送过程包括:通过所述被共享方归属域服务器进行发送,或者依次通过第一域的共享方归属域服务器和第二域的被共享方归属域服务器进行发送。
2.根据权利要求1所述的资源共享方法,其特征在于,所述请求方信息包括请求方标识和请求方归属域服务器地址;所述授权验证信息包括资源共享摘要、资源共享签名或资源共享密文。
3.根据权利要求2所述的资源共享方法,其特征在于,
所述对所述资源标识及所述被共享方信息进行处理,生成授权验证信息包括:
根据预设的密钥对所述资源标识、所述被共享方标识和所述被共享方归属域服务器地址进行散列处理,生成资源共享摘要;
所述根据所述资源访问请求中包含的所述资源标识、所述请求方信息及所述授权验证信息,判断是否允许所述请求方访问所述资源标识对应的资源,包括:
根据所述预设的密钥对所述资源访问请求中包含的所述资源标识、所述请求方标识和所述请求方归属域服务器地址进行散列处理,生成资源请求摘要;对比所述资源请求摘要和所述资源访问请求中包含的资源共享摘要是否一致,当一致时,允许所述请求方访问所述资源标识对应的资源。
4.根据权利要求2所述的资源共享方法,其特征在于,
所述对所述资源标识及所述被共享方信息进行处理,生成授权验证信息,包括:
对所述资源标识、所述被共享方标识和所述被共享方归属域服务器地址进行散列处理,生成第一资源请求散列值;根据预设的密钥对所述第一资源请求散列值进行加密处理,生成资源共享签名;
所述根据资源访问请求中包含的所述资源标识、所述请求方信息及所述授权验证信息,判断是否允许所述请求方访问所述资源标识对应的资源,包括:
对资源访问请求中包含的所述资源标识、所述请求方标识和所述请求方归属域服务器地址进行散列处理,生成第二资源请求散列值;根据所述预设的密钥对所述第二资源请求散列值进行加密处理,生成资源请求签名;对比所述资源请求签名与所述资源访问请求中包含的资源共享签名是否一致,当一致时,允许所述请求方访问所述资源标识对应的资源。
5.根据权利要求2所述的资源共享方法,其特征在于,
所述对所述资源标识及所述被共享方信息进行处理,生成授权验证信息,包括:
根据预设的密钥对所述资源标识、所述被共享方标识和所述被共享方归属域服务器地址进行加密处理,生成资源共享密文;
所述根据资源访问请求中包含的所述资源标识、所述请求方信息及所述授权验证信息,判断是否允许所述请求方访问所述资源标识对应的资源,包括:
根据预设的密钥,对所述资源访问请求中包含的资源共享密文进行解密处理,获得解密后的资源标识、请求方标识和请求方归属域服务器地址;分别对比解密后的资源标识、请求方标识和请求方归属域服务器地址与资源访问请求中包含的资源标识、请求方标识和请求方归属域服务器地址是否一致,当一致时,允许所述被共享方访问所述资源标识对应的资源。
6.一种应用服务器,其特征在于,所述应用服务器包括:
第一接收单元,用于接收第一域的共享方发送的资源共享请求,所述资源共享请求中包括请求共享的资源对应的资源标识及被共享方信息;所述被共享方信息包括被共享方标识和被共享方归属域服务器地址;
信息生成单元,用于对所述资源标识及所述被共享方信息进行处理,生成授权验证信息;
发送单元,用于向第二域的被共享方发送资源共享消息,所述资源共享消息中包括所述授权验证信息;
第二接收单元,用于接收第二域的请求方发送的资源访问请求,所述资源访问请求中包括所述资源标识、请求方信息及所述授权验证信息;
授权验证单元,用于根据所述资源访问请求中包含的所述资源标识、所述请求方信息及所述授权验证信息,判断是否允许所述请求方访问所述资源标识对应的资源;
其中,所述发送单元,具体用于向第二域的被共享方归属域服务器发送资源共享消息,并将所述资源共享消息发送至所述第二域的被共享方;具体的发送过程包括:通过所述被共享方归属域服务器进行发送,或者依次通过第一域的共享方归属域服务器和第二域的被共享方归属域服务器进行发送。
7.根据权利要求6所述的应用服务器,其特征在于,所述请求方信息包括请求方标识和请求方归属域服务器地址;所述授权验证信息包括资源共享摘要、资源共享签名或资源共享密文。
8.根据权利要求7所述的应用服务器,其特征在于
所述信息生成单元,还用于根据预设的密钥对所述资源标识、所述被共享方标识和所述被共享方归属域服务器地址进行散列处理,生成资源共享摘要;
所述授权验证单元包括:
生成子单元,用于根据所述预设的密钥对所述资源访问请求中包含的所述资源标识、所述请求方标识和所述请求方归属域服务器地址进行散列处理,生成资源请求摘要;
对比子单元,用于对比所述资源请求摘要和所述资源访问请求中包含的资源共享摘要是否一致,当一致时,允许所述请求方访问所述资源标识对应的资源。
9.根据权利要求7所述的应用服务器,其特征在于,
所述信息生成单元包括:
第一生成子单元,用于对所述资源标识、所述被共享方标识和所述被共享方归属域服务器地址进行散列处理,生成第一资源请求散列值;
第二生成子单元,用于根据预设的密钥对所述第一资源请求散列值进行加密处理,生成资源共享签名;
所述授权验证单元包括:
第三生成子单元,用于对资源访问请求中包含的所述资源标识、所述请求方标识和所述请求方归属域服务器地址进行散列处理,生成第二资源请求散列值;
第四生成子单元,用于根据所述预设的密钥对所述第二资源请求散列值进行加密处理,生成资源请求签名;
对比子单元,用于对比所述资源请求签名与所述资源访问请求中包含的资源共享签名是否一致,当一致时,允许所述请求方访问所述资源标识对应的资源。
10.根据权利要求7所述的应用服务器,其特征在于,
所述信息生成单元,还用于根据预设的密钥对所述资源标识、所述被共享方标识和所述被共享方归属域服务器地址进行加密处理,生成资源共享密文;
所述授权验证单元包括:
解密子单元,用于根据预设的密钥,对所述资源访问请求中包含的资源共享密文进行解密处理,获得解密后的资源标识、请求方标识和请求方归属域服务器地址;
对比子单元,用于分别对比解密后的资源标识、请求方标识和请求方归属域服务器地址与资源访问请求中包含的资源标识、请求方标识和请求方归属域服务器地址是否一致,当一致时,允许所述请求方访问所述资源标识对应的资源。
11.一种资源共享系统,其特征在于,所述系统包括:
共享方设备,用于向应用服务器发送资源共享请求,所述资源共享请求中包括请求共享的资源对应的资源标识及被共享方信息;所述被共享方信息包括被共享方标识和被共享方归属域服务器地址;
应用服务器,用于接收第一域的共享方发送的资源共享请求,所述资源共享请求中包括请求共享的资源对应的资源标识及被共享方信息;对所述资源标识及所述被共享方信息进行处理,生成授权验证信息;向第二域的被共享方发送资源共享消息,所述资源共享消息中包括所述授权验证信息;接收第二域的请求方发送的资源访问请求,所述资源访问请求中包括所述资源标识、请求方信息及所述授权验证信息;根据所述资源访问请求中包含的所述资源标识、所述请求方信息及所述授权验证信息,判断是否允许所述请求方访问所述资源标识对应的资源;
其中,所述应用服务器向第二域的被共享方发送资源共享消息时,具体用于向第二域的被共享方归属域服务器发送资源共享消息,并将所述资源共享消息发送至所述第二域的被共享方;具体的发送过程包括:通过所述被共享方归属域服务器进行发送,或者依次通过第一域的共享方归属域服务器和第二域的被共享方归属域服务器进行发送。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010132564.2A CN102195957B (zh) | 2010-03-19 | 2010-03-19 | 一种资源共享方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010132564.2A CN102195957B (zh) | 2010-03-19 | 2010-03-19 | 一种资源共享方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102195957A CN102195957A (zh) | 2011-09-21 |
| CN102195957B true CN102195957B (zh) | 2014-03-05 |
Family
ID=44603352
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010132564.2A Expired - Fee Related CN102195957B (zh) | 2010-03-19 | 2010-03-19 | 一种资源共享方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102195957B (zh) |
Families Citing this family (43)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103166828B (zh) * | 2011-12-12 | 2017-03-15 | 中兴通讯股份有限公司 | 社交网络的互操作方法及系统 |
| CN103166931A (zh) * | 2011-12-15 | 2013-06-19 | 华为技术有限公司 | 一种安全传输数据方法,装置和系统 |
| CN103220307B (zh) * | 2012-01-19 | 2017-07-21 | 华为技术有限公司 | 订阅方法、订阅授权方法及Feeds生成服务器 |
| CN103516675A (zh) * | 2012-06-21 | 2014-01-15 | 华为软件技术有限公司 | 资源标识共享方法、终端和管理平台 |
| CN102761549B (zh) * | 2012-07-03 | 2015-04-22 | 中国联合网络通信集团有限公司 | 资源共享的处理方法和系统以及业务平台 |
| CN102882882B (zh) * | 2012-10-10 | 2015-11-04 | 深圳数字电视国家工程实验室股份有限公司 | 一种用户资源授权方法 |
| CN103795692B (zh) * | 2012-10-31 | 2017-11-21 | 中国电信股份有限公司 | 开放授权方法、系统与认证授权服务器 |
| CN103841125B (zh) * | 2012-11-20 | 2018-10-12 | 中国移动通信集团公司 | 一种健康数据共享方法和系统 |
| CN102984000B (zh) * | 2012-11-22 | 2015-06-24 | 百度在线网络技术(北京)有限公司 | 基于Policy语言的云资源的权限管理方法以及装置 |
| CN102946397B (zh) * | 2012-11-26 | 2015-11-25 | 北京奇虎科技有限公司 | 用户认证方法及系统 |
| CN103036967B (zh) * | 2012-12-10 | 2017-03-15 | 北京奇虎科技有限公司 | 一种下载管理设备、方法及数据下载系统 |
| CN103929442A (zh) * | 2013-01-10 | 2014-07-16 | 中兴通讯股份有限公司 | 一种资源共享方法及装置 |
| CN103248678A (zh) * | 2013-04-24 | 2013-08-14 | 天脉聚源(北京)传媒科技有限公司 | 一种数据资源共享方法、服务端和客户端 |
| CN103327100B (zh) * | 2013-06-21 | 2017-04-19 | 华为技术有限公司 | 资源处理方法和站点服务器 |
| CN104618217B (zh) * | 2014-03-24 | 2018-09-04 | 腾讯科技(北京)有限公司 | 分享资源的方法、终端、服务器及系统 |
| CN105516059B (zh) * | 2014-09-25 | 2018-11-06 | 阿里巴巴集团控股有限公司 | 一种资源访问控制方法和装置 |
| US20160110555A1 (en) * | 2014-10-21 | 2016-04-21 | Institute For Information Industry | Resource sharing apparatus, method, and non-transitory computer readable storage medium thereof |
| CN105610593B (zh) * | 2014-11-05 | 2020-06-16 | 中兴通讯股份有限公司 | 网管系统中资源标识分配的方法及装置 |
| CN104539577A (zh) * | 2014-11-27 | 2015-04-22 | 英业达科技有限公司 | 信息推送系统及其方法 |
| CN104468612B (zh) * | 2014-12-24 | 2017-06-23 | 无锡儒安科技有限公司 | 基于对称加密的保护隐私的属性匹配方法 |
| CN105790931B (zh) * | 2014-12-26 | 2019-05-24 | 中国移动通信集团公司 | 一种密钥分发方法、网络设备、终端设备及系统 |
| CN104683219B (zh) * | 2015-02-13 | 2018-01-19 | 腾讯科技(深圳)有限公司 | 信息交互方法及装置 |
| CN104734856B (zh) * | 2015-03-05 | 2017-12-26 | 中国科学院信息工程研究所 | 一种抗服务器端信息泄露的口令认证方法 |
| CN105072172B (zh) * | 2015-07-31 | 2019-03-19 | 网宿科技股份有限公司 | 一种基于内容分发网络的热点统计及推送方法及系统 |
| CN106685901B (zh) * | 2015-11-10 | 2020-06-02 | 华为技术有限公司 | 用于处理跨域数据的方法、第一服务器及第二服务器 |
| CN106959982A (zh) * | 2016-01-08 | 2017-07-18 | 深圳市星电商科技有限公司 | 获取资源的方法、装置和系统、监测方法和装置 |
| CN105577691B (zh) * | 2016-02-03 | 2019-06-18 | 飞天诚信科技股份有限公司 | 一种安全访问方法和服务器 |
| CN107517179B (zh) * | 2016-06-15 | 2021-03-30 | 阿里巴巴集团控股有限公司 | 一种鉴权方法、装置和系统 |
| CN107872794A (zh) * | 2016-09-26 | 2018-04-03 | 平安科技(深圳)有限公司 | 渠道接入控制方法及装置 |
| CN106534324B (zh) * | 2016-11-18 | 2019-07-26 | Oppo广东移动通信有限公司 | 一种数据共享方法及云服务器 |
| CN109150811B (zh) * | 2017-06-27 | 2021-05-28 | 深圳市中兴微电子技术有限公司 | 一种实现可信会话的方法及装置、计算设备 |
| CN111418182B (zh) * | 2017-12-08 | 2023-10-27 | 索尼公司 | 信息处理装置、登记装置、信息处理方法、登记方法和计算机程序 |
| CN109962839B (zh) * | 2017-12-26 | 2021-09-07 | 中国移动通信集团山东有限公司 | 一种资源共享处理方法及装置 |
| CN108833507B (zh) * | 2018-05-31 | 2020-11-10 | 长安大学 | 一种共享产品的授权认证系统及方法 |
| CN109684867A (zh) * | 2018-11-20 | 2019-04-26 | 深圳供电局有限公司 | 一种网盘文件协同与访问的控制方法、装置及系统 |
| CN110224818B (zh) * | 2019-06-03 | 2022-11-11 | 北京信安世纪科技股份有限公司 | 跨浏览器的签名license控制方法 |
| CN110636054B (zh) * | 2019-09-05 | 2020-08-21 | 珠海格力电器股份有限公司 | 资源的复用方法、装置、设备和系统 |
| CN110661817B (zh) * | 2019-10-25 | 2022-08-26 | 新华三大数据技术有限公司 | 资源访问方法、装置及服务网关 |
| CN112948841B (zh) * | 2019-12-10 | 2023-03-14 | 浙江宇视科技有限公司 | 一种基于用户的资源管理方法和系统 |
| US11425125B2 (en) * | 2020-06-24 | 2022-08-23 | Google Llc | Shared resource identification |
| CN112235277A (zh) * | 2020-10-09 | 2021-01-15 | 北京达佳互联信息技术有限公司 | 资源请求方法、资源响应方法及相关设备 |
| CN112199656B (zh) * | 2020-12-03 | 2021-02-26 | 湖北亿咖通科技有限公司 | 业务平台的访问权限获取方法和业务平台的访问控制方法 |
| CN113691555B (zh) * | 2021-09-01 | 2023-01-31 | 中国人民解放军31007部队 | 一种面向业务活动的信息资源共享方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101378368A (zh) * | 2008-09-28 | 2009-03-04 | 腾讯科技(深圳)有限公司 | 一种信息交互的方法及系统 |
| CN101472242A (zh) * | 2007-12-27 | 2009-07-01 | 华为技术有限公司 | 一种业务聚合系统和方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8302164B2 (en) * | 2004-07-22 | 2012-10-30 | Facebook, Inc. | Authorization and authentication based on an individual's social network |
-
2010
- 2010-03-19 CN CN201010132564.2A patent/CN102195957B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101472242A (zh) * | 2007-12-27 | 2009-07-01 | 华为技术有限公司 | 一种业务聚合系统和方法 |
| CN101378368A (zh) * | 2008-09-28 | 2009-03-04 | 腾讯科技(深圳)有限公司 | 一种信息交互的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102195957A (zh) | 2011-09-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102195957B (zh) | 一种资源共享方法、装置及系统 | |
| KR101508360B1 (ko) | 데이터 전송 장치 및 방법, 그리고 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체 | |
| CN104113534B (zh) | 应用程序app的登录系统及方法 | |
| US20150172283A1 (en) | Method of Authentication by Token | |
| US11736304B2 (en) | Secure authentication of remote equipment | |
| CN101772024B (zh) | 一种用户身份确定方法及装置和系统 | |
| KR20130129429A (ko) | 이동 단말기의 신분을 관리하는 방법 및 장치 | |
| CN102378170A (zh) | 一种鉴权及业务调用方法、装置和系统 | |
| TW201215070A (en) | Key Management Systems and methods for shared secret ciphers | |
| CN104767731A (zh) | 一种Restful移动交易系统身份认证防护方法 | |
| CN103095861A (zh) | 确定设备是否处于网络内部 | |
| CN103986723B (zh) | 一种保密通信控制、保密通信方法及装置 | |
| CN102970135B (zh) | 用于发现共享秘密而不泄漏非共享秘密的方法和设备 | |
| US7707424B2 (en) | Secure file transfer | |
| CN112769568B (zh) | 雾计算环境中的安全认证通信系统、方法、物联网设备 | |
| JP6943511B2 (ja) | リソース処理方法、装置、システムおよびコンピュータ読み取り可能な媒体 | |
| CN106027473A (zh) | 身份证读卡终端与云认证平台数据传输方法和系统 | |
| CN112861157A (zh) | 一种基于去中心化身份和代理重加密的数据共享方法 | |
| CN104243452B (zh) | 一种云计算访问控制方法及系统 | |
| CN103973698B (zh) | 一种云存储环境中的用户访问权限回收方法 | |
| CN103997405B (zh) | 一种密钥生成方法及装置 | |
| CN114142995B (zh) | 面向区块链中继通信网络的密钥安全分发方法及装置 | |
| CN100499453C (zh) | 一种客户端认证的方法 | |
| CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
| WO2017210914A1 (zh) | 传输信息的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140305 Termination date: 20160319 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |