CN103283204A

CN103283204A - 对受保护内容的访问进行授权的方法

Info

Publication number: CN103283204A
Application number: CN2011800625036A
Authority: CN
Inventors: 迭戈·冈萨雷斯马丁内斯; 大卫·洛扎诺利亚诺斯; 若热·穆努埃拉安德烈奥; 恩里克·维莱斯塔里隆特; 若热·吉伦纳瓦罗
Original assignee: Telefonica SA
Current assignee: Telefonica SA
Priority date: 2010-11-24
Filing date: 2011-10-24
Publication date: 2013-09-04
Anticipated expiration: 2031-10-24
Also published as: US9118648B2; US20140068746A1; WO2012069263A2; EP2643955B1; CA2818955A1; WO2012069263A3; CN103283204B; ES2601009T3; BR112013012964A2; EP2643955A2; AR083988A1

Abstract

本发明涉及一种用于对被称为客户端的第三方应用程序访问用户（1）拥有并寄存在服务器（3）中的受保护资源进行授权的方法。所述方法包括：由所述用户正在使用的客户端向所述服务器索取临时令牌；所述服务器向所述用户发送第一SMS，所述第一SMS提供认证所述用户的手段；通过前面两个步骤中提供的手段来认证所述用户；所述用户对所述客户端授权；所述服务器给所述用户发送第二SMS以提供获得访问令牌所需的一些信息；所述客户端从用户获得前面步骤的信息，并获得访问令牌；所述客户端使用所述访问令牌访问受保护的资源。

Description

对受保护内容的访问进行授权的方法

技术领域

本发明主要涉及一种对电信系统的用户进行认证的方法，特别涉及授权代表用户的第三方在不使用用户证书的情况下访问服务器，所述用户是受保护的内容的所有者。本发明依赖作为要在电信运营商环境中使用的特殊信道的SMS来传输授权相关的信息。

背景技术

随着分布式网络服务和云计算的大量使用，第三方应用程序需要访问服务器托管的资源。这些资源中的大部分通常是受保护的，并且在用户使用资源所有者的证书（通常是用户名和密码）而认证成功之后，需要明确的用户授权。在传统的客户端-服务器认证模式中，访问服务器上受保护的资源的客户端需要提供资源所有者的证书来进行认证并获得访问。

问题是，为了让这些应用程序访问其他网站上的用户数据，它们索取用户名和/或密码。这不仅需要把用户密码透露给其他人—密码通常跟用于网上银行和其他网站的密码相同—而且还给这些应用程序提供不受限制的访问来做它们希望做的事，因此，它们可以做任何事情，包括更改密码和锁定用户。

这意味着，解决方案必须不仅要给用户提供他/她的证书的保密性，而且还要提供把访问限制于他们所控制的资源的有限子集、限制访问持续时间或者把访问限制于由这些资源所支持的HTTP方法的能力。“RFC5849–The OAuth 1.0Protocol”中定义的OAuth协议1.0提供了这样一种基于三条腿模型和网络重定向的解决方案。

OAuth1.0是一种开放的协议，允许根据桌面程序和网站应用程序以简单而且标准的方法确保安全的API（Application ProgrammingInterface，应用程序编程接口）授权，对信任的和非信任的消费者（客户端）都可用。所指定的OAuth可以直接用于同意访问REST（表述性状态转移）服务中的资源，还可以被用于例如基于SOAP（简单对象访问协议）的网站服务中。

为了使客户端访问资源，首先必须通过OAuth API从资源所有者那获得许可。这个许可以令牌的形式表达，并且匹配共享密钥。如已经解释的，所述令牌的目的是使资源所有者不必与客户端分享他的证书。与资源所有者的证书不同，可以发放范围受限和使用期有限并且可以被独立撤销的令牌。

简言之，OAuth协议的主要目的是为消费者提供一种手段以获取有效的访问令牌，协议遵循图1上总结的交互作用，图1示出了三条腿访问方案。

在这个三条腿访问模式中，有两个起至关重要作用的令牌：

首先，请求令牌在委托授权处理中被用作证明。更具体地说，请求令牌被客户端用来请求用户授权访问受保护的资源。要做到这一点，所述用户被重定向到一个入口，在那里，所述用户被认证，并且所述用户对针对他所拥有的受保护资源的访问进行授权。然后，所述客户端接收验证码，并且交换这个代码和用户授权的请求令牌，对于访问令牌，建议具有有限的使用期。

最后，所述客户端使用这个访问令牌代表用户访问API，而不是使用用户的证书（用户名和密码）。访问令牌可以限制对某些API的访问，或者甚至限制访问给定API中的资源。

因此，一步步地，图1涉及客户端2向所述服务器3发送要获得请求令牌4的请求。步骤5和6把请求令牌提供给客户端，并且把这个行为通知给用户1，在步骤7和8用户通知服务器客户端被授权。然后，重定向到客户端9，并且客户端在步骤10和11中获得访问令牌，因此，完成认证12。所述认证之后是步骤13，14，15和16，客户端代表用户访问服务器上的数据。

有使用不同机制的其他认证方法。此外，短消息服务（SMS）已经与其他技术一起被用来给最终用户发送访问资源所需的证书。

例如，美国专利申请公开US 2010/0100725 A1公开了一种用于提供用户认证的方法。当网站或企业服务器系统的用户希望访问网站/服务器上的某些信息或进行某些交易时，他们被要求在用户界面（UI）输入用户名和密码。例如，使用与特定用户名相关联的密码可以提供用户的认证，因为密码通常只由在网站/服务器注册的用户知道。然而，如果密码被那些不是注册用户的人使用（例如，小偷），那么会危及远程访问网站和服务器的安全性。

当前多因素认证技术包括利用电话或移动设备作为第二认证因素。作为一个例子，当网站用户尝试在网上购买商品时，网站主机可以给用户的移动设备（例如，移动电话）发送短消息服务（SMS）消息（例如，文本消息）。在这个例子中，在接收到所述SMS消息后，用户可以回复网站提供的认证密钥。以这种方式，例如，小偷将需要用户的用户名、密码和指定的移动设备来完成认证。

如上所述，主要的问题是OAuth协议是基于网络重定向的（HTTP方法）。这意味着，OAuth适合用于网络应用程序，并且通常适合用于将用户重定向到用于认证的网页而且授权是适当的用户体验这样的使用环境。对于其他环境或应用程序，例如安装在移动手机中的并非基于网络的应用程序，所述网络重定向提供不了适当的用户体验，尤其是在用户必须在网站中输入他的/她的证书作为认证方法的步骤。此外，对于非网络的本地的移动手机应用程序，所述网络重定向意味着应用程序失去了用户流程的控制。

发明内容

本发明涉及一种认证和授权的方法，所述方法包括基于SMS交互的模式。

所提出的方法的目标是通过用SMS交互代替网络重定向来扩展OAuth协议。这改变了用户体验，并且通过定义一种用于对被称为客户端的第三方应用程序访问用户拥有并寄存在服务器中的受保护内容进行授权的方法，实现新的使用方案；所述方法包括：

-由用户正在使用的客户端向服务器索取请求令牌；

-除了用请求令牌响应客户端之外，服务器向用户发送第一SMS，所述第一SMS提供认证所述用户的手段；

-在用户的认证和后面的对客户端对受保护内容的访问进行授权之后，服务器向用户的设备发送第二SMS以提供获得访问令牌所需的一些信息或直接提供访问令牌；

-客户端通过用户输入，或者直接从设备获得前面步骤的信息，并且，如果可应用，则用所述信息交换访问令牌。

-所述客户端使用访问令牌访问受保护的内容。

-所述方法允许只发送第一SMS，只发送第二SMS或发送两者。如果要发送第一SMS，则客户端必须用信号通知用户是谁，其涵盖了用信号通知第一SMS发送到哪里；而如果必须发送第二SMS，则客户端必须用信号通知第二SMS发送到哪里以及怎样发送第二SMS。

本发明包括在客户端中定义第一参数来指出用户是谁以及第一SMS发送到哪里。

用第一SMS来认证用户的手段可以是携带SMS令牌的URL和让用户点击URL的指示，或者，用第一SMS来认证用户的手段可以是SMS令牌和让用户发送带有SMS令牌的SMS到指定号码的指示。

获得访问令牌所需的信息可以是包含在用户提供给客户端的第二SMS中的验证码；或者它可以是包含在第二SMS中的验证/授权码，第二SMS是被发送到指示的用户终端的端口的二进制SMS，客户端从中自动获得验证/授权码。另外，访问令牌可以直接被包含在用户提供给客户端的第二SMS中，或者访问令牌可以被直接包含在第二SMS中，第二SMS是被发送到指示的用户终端的端口的二进制SMS，客户端从中自动获得访问令牌。

本发明还可以包括来自客户端的用于用信号通知需要什么信息以及信息如何被传送的第二参数。

本发明可以使用OAuth协议来进行所述方法的步骤。所述协议中参数的可扩展性允许定义OAuth协议中未指定的额外参数作为本发明的第一参数。第二参数也可以是OAuth协议中被描述为重定向URI的参数，一旦授权被获得（或被拒绝），授权服务器将用户代理重定向回到URI。这个参数在OAuth1.0中命名为oauth_callback。在本文中，它将被称为‘callbackURL’（回调统一资源定位器）。

参照下文所描述的实施方式，将阐明本发明的这些和其他方面。

附图说明

为了完成描述以及对本发明有更好的理解，提供一组附图。所述附图形成了描述的组成部分，并且示出了本发明的优选实施方式，所述优选实施方式不应被理解为对本发明的范围的限制而只是作为如何实施本发明的例子。所述附图包括下列图形：

图1示出了三条腿访问方案的概述。已有技术。

图2示出了OAuth协议中实体之间的交互。

图3示出了OAuth访问的顺序图。

图4示出了本发明的实施方式的顺序图。

具体实施方式

现在将详细描述本发明的优选实施方式。所述提出的方案得到了先前被大量采用的OAuth1.0协议的支持。这个方法考虑了三条腿模型，三条腿模型中，三个不同的实体（或腿）直接参与访问应用程序接口的处理，应用程序接口也称为API：

-API提供者或资源服务器

-消费者或客户端

-最终用户或资源所有者

这些实体之间的交互被概括在图2上。用户向客户端发出对于资源的原始请求21。客户端重定向（22）所述请求到服务器以便进行授权。响应来自请求用户进行认证（23）的服务器区域。然后，用户对客户端授权（24）。客户端获得（25）提供使其访问的令牌。最后，用户确认访问（26）。

这个当前最重要的方法使非信任的客户端能够代表最终用户访问API。为了使这成为可能，最终用户必须通过网络访问直接与API提供者进行交互来认证和明确授权客户端以他/她的名义访问API。通过这种方式，用户不需要与非信任的客户端分享他/她的证书，并且他/她可以对允许客户端执行的行为进行控制，因此，客户端在最终用户负责下进行行动。

所提出的发明定义了OAuth 1.0 RFC中定义的流程的替代流程，从而避免网络重定向以及通过与用户的手机进行SMS交互来代替网络重定向。不同的变化被认为是：

1.所述处理的第一部分在于向最终用户的手机发送认证SMS。所述SMS将包括非信任的消费者不知道的、将被用来认证用户的令牌。接下来，这个令牌被命名为“SMSToken（SMS令牌）”。根据手机特性和可用接入性，最终用户可以使用两个备选方案：

a.SMS可以包括携带SMS令牌的链接，并且用户可以点击链接。通过WAP或Web访问，用户将被认证。即使用户手机使用浏览器，用户也不必将他的证书包括在Web中。在这种方法中，用户将需要使用打开的浏览器来授权消费者（例如：点击“我接受”）。

b.SMS可以直接包括SMS令牌，并且用户可以用另一个携带SMS令牌的SMS回答所述SMS。通过这个SMS访问，用户将被认证，并且请求令牌（与SMS令牌相关联的）将被授权。这第二种备选方案使得能够在手机没有浏览器或不鼓励使用浏览器的情况下实现处理。

在这种方法中，SMS给用户提供足够的关于访问什么和哪个消费者将被授权的信息。

2.该处理的第二部分也有两个备选方案：

a.在第一备选方案中，二进制SMS被发送到指示的用户手机的端口。所述SMS携带OAuth验证码。在没有用户参与的情况下，手机中客户端的应用程序自动获得来自SMS的验证码，并且使用所述验证码以获得访问令牌。这个第二部分应该考虑手机的某些操作系统中的二进制SMS的风险，因为可能存在安全风险。对于这个二进制SMS的备选方案，也应该考虑到客户端必须在接收SMS的用户设备中运行。

b.在第二备选方案中，另一个包含OAuth验证码的SMS被发送到用户的手机。用户将拷贝所述验证码，并且将它提供给客户端来获得访问令牌。在这个第二备选方案中，接收SMS的用户手机不需要是客户端运行的设备。

所述处理的这两个部分是独立的，即：在所提出的机制中，可以只应用处理的第一部分，可以只应用处理的第二部分，或者两个部分都应用。所述处理的第一部分代替第一OAuth重定向，所述处理的第二部分代替第二OAuth重定向或网页浏览器中显示验证码让用户拷贝的替选OAuth处理。

所提出的发明巧妙地使用OAuth参数，并且使用如下的新参数，该参数被集成在OAuth协议中，表示OAuth-SMS被请求以及哪一个新的基于SMS的解决方案的正被请求。

如上所述，考虑了两种不同的模式，即‘OAuth访问’和‘OAuth SMS访问’。第一种模式通过使用网络重定向实现处理，第二种模式通过用SMS交互代替网络重定向实现处理。在引入第二种模式的尝试中，重要的是理解以第一种模式‘OAuth访问’的执行开始的现有的工作流程。图3示出了现有技术中‘OAuth访问’的基本操作。

正如可以从图3中看到的那样，获得访问令牌的处理被分解为三个不同的步骤：

1.通过“HTTP获得请求令牌操作”，获得未授权的请求令牌。

–步骤32、33、34、35和36表示从用户到客户端的访问请求，客户端的响应，向服务器索取请求令牌和服务器的响应。

2.网络授权：这是中间步骤，用户被认证并且客户端被授权访问API。结果是前面获得的请求令牌被授权。

–步骤37：重定向到认证—授权实体（或AA实体）31

–步骤38：用户认证和客户端授权

–步骤39：重定向到客户端

3.通过“HTTP获得访问令牌操作”，获得访问令牌。

–步骤391和392表示客户端向服务器索取访问令牌和来自服务器的相应的响应。

协议的新的模式引入了一些变化，如图4中所示。

正如可以从图4中看到的那样，OAuth1.0中获得访问令牌的处理被分解为以下不同的步骤：

1.通过“HTTP获得请求令牌操作”，获得未授权的请求令牌61。

如果所提出的处理的第一部分被要求作为常规OAuth的替代来执行：

a.客户端包括指出用户是谁和知道发送SMS到哪里的参数。这可以通过使用OAuth协议中未定义的另外的参数来实现，也可以通过OAuth协议中现有参数的再使用或特殊用法来实现。协议中参数的扩展性允许定义新的参数。这个新的参数可以被用作要求使用SMS-OAuth的指示，或者也可以使用不同的特定参数。

b.客户端可选择地包括指出第一SMS是否应该被发送的参数：

Ⅰ.包括携带SMS令牌的URL，通常作为查询参数，以及让用户点击URL的指示。

Ⅱ.或者SMS令牌连同授权信息以及用于由用户把带有请求令牌的SMS发送到指定号码的指示。

它们都使用户认证他自己，因此，授权客户端，并且授权令牌被发送（55）到服务器。

另外，用户可以只须简单回应接收到的SMS。

如果没有包含这个参数，可以应用两种描述的默认的行为。

可以通过其他的参数用法的组合来完成a和b。例如，单个参数可以被用来用信号通知任一不同组合。

如果所提出的方法的第二部分被要求作为常规OAuth的替代来执行：

c.通过callbackURL参数的不同设置，客户端用信号通知SMS访问方法模式正在被用于第二种交互。

Ⅰ.SMS到最终用户

Ⅱ.二进制SMS到指示的端口以唤醒终端中的应用程序。二进制SMS要发送到的端口可以由客户端指定或者可以是预先定义的已知端口。

代替步骤c，callbackURL可以被设置为具有特定值（例如：‘oob’），并且新的参数可以用信号通知SMS/浏览器或二进制SMS模式。

携带用户身份（例如：MSISDN或昵称）的新的参数触发所提出的处理的第一部分。

callbackURL（例如：不包括URL但包括所需的信息，例如二进制SMS模式中应用程序的端口或SMS模式中特殊的字符串）的特定用法触发所提出的处理的第二部分。因此，可以由客户端触发该处理的第一部分、第二部分或第一和第二部分这两者。

前面段落中描述的参数组合是例子，但是使用现有OAuth参数的其他组合以及新参数的定义可以被用来触发所述处理的一个或多个部分。

2-a.如果所述处理的第一部分被触发，则服务器向客户端在请求令牌中请求的用户发送SMS。根据步骤1-b:

ⅰ.SMS包括指向授权及认证（AA）实体的URL51。URL包括SMS令牌，通常作为查询参数。用这种方式，用户使用这个URL来认证他自己，因为SMS被发送到他的手机。用户在打开的网络浏览器中给客户端提供授权，但是不需要用户包含他的证书。

ⅱ.SMS直接包括SMS令牌52、关于授权的信息，并请求用户用包括请求令牌的另一个SMS来回复。用这种方式，通过点击提供的URL53或通过用携带SMS令牌54的另一个SMS回复指定的号码，用户使用SMS回复对消费者授权。用户也被认证，因为SMS被发送到他的手机。

2-b AA实体要求SMS令牌授权，并且获得（56）验证码。如果所述处理的第二部分被触发，则取决于步骤1-c中“获得请求令牌”指出SMS到最终用户还是使用二进制SMS：

a.AA实体给用户的终端发送57带有验证码的SMS。用户给客户端提供（59）这个验证码。

b.AA实体发送（58）携带验证码或访问令牌的二进制SMS到“获得请求令牌”中指示的端口。在没有用户参与的情况下，用户的手机中的应用程序获得（60）验证码或访问令牌。

非信任客户端不知道SMS令牌，但在服务提供者商处SMS令牌和请求令牌之间有存在关联。

3.除了如2-b-b中所描述那样访问令牌已经被以二进制SMS发送的情形以外，通过“HTTP获得访问令牌操作”在步骤391，392中获得访问令牌。

总之，所提出的发明通过用SMS交互代替网络重定向来扩展OAuth协议。这改变了用户体验，并且能够实现新的使用方案，例如如下：

-消除了用户在网络上提供他们的证书（例如，用户名和密码）作为认证机制的要求。

-在那些不允许使用浏览器的设备中使用OAuth。

-当应用程序是手机中的本地的非网络的应用程序时，在浏览器的使用可能中断应用程序的用户界面的情况下，使用OAuth。

无论出于何种原因（例如，手机中客户端一方的应用程序），当应用程序不能够接收HTTP重定向时，使用OAuth。

如前面指出的，这两部分是独立的：可以只应用处理的第一部分，只应用处理的第二部分或者应用两者。处理的第一部分代替第一OAuth重定向，处理的第二部分代替第二OAuth重定向或者在网页浏览器中显示验证码以让用户拷贝的替代OAuth处理。

所提出的方法巧妙地使用OAuth参数，并且使用集成在OAuth API中的新参数，新参数表示OAuth-SMS被请求以及哪个新的基于SMS的解决方案正被请求。

相对于由IETF开发的当前OAuth协议，所提出的发明具有多个优点。

-与现有的OAuth向后兼容：与标准完全兼容。它允许消费者进行信号通知，以及允许服务器检测发送SMS到最终用户的需求或者允许服务器应用现有的OAuth方法。

-增加潜在用户的数量：所提出的方法给许多用户提供访问多种因为受他们的移动设备限制而不能使用的资源。新服务的市场使潜在用户大量增加。

-增强了基于非网络的应用程序中的用户体验：所提出的方法增强了当消费者应用程序不是基于浏览器时的用户体验。

对于这些类型的应用程序，用户可能发现网络重定向更令人反感，因为非网络应用程序需要启动浏览器，以及要求用户提供他们的证书。还可能带给用户缺少安全性的感受。

使用SMS交互，尤其在手机中，会使最终用户有更好的感受。即使当所述第一SMS携带URL时，也是由用户手动点击URL来启动浏览器。这带给用户更加安全的感受。

-对于基于非网络的本地的应用程序的更恰当方式：所定义的机制更适合手机中的本地的应用程序。对于这些应用程序，浏览器的调用意味着失去用户流程的控制。

-非浏览器设备中的适用性：本发明并不在终端不支持浏览器的情况下阻止应用程序访问受保护的资源。相对于调用浏览器来进行用户认证而言，使用SMS回复会给用户带来更好的感受。

–在不支持HTTP重定向的应用程序中具有OAuth适用性，因此，将不能使用需要HTTP重定向的OAuth。

相同解决方案内的不同的实施选择：基于SMS交互的新机制，提供不同的变化。这些变化可以根据客户端特征，应用程序特征（台式机、移动设备、网络）来选择。

应当了解，以上公开的是本发明原理的例子，该公开并不将本发明限制于所描述的实施方式。

Claims

1.一种用于对被称为客户端（2）的第三方应用程序访问用户（1）拥有并寄存在服务器（3）中的受保护资源进行授权的方法，所述方法包括：

-由所述用户正在使用的所述客户端向所述服务器索取临时令牌；

-除了用所述临时令牌响应所述客户端之外，所述服务器向所述用户发送第一短消息服务SMS，所述第一SMS提供认证所述用户的手段；

-通过前面两个步骤中提供的手段认证所述用户；

-所述用户对所述客户端授权；

-所述用户的认证以及所述用户对所述客户端授权之后，所述服务器向所述用户发送第二短消息服务SMS以提供获得访问令牌所需的信息；

-所述客户端从所述用户获得前面步骤的信息，并获得所述访问令牌；

-所述客户端使用所述访问令牌访问受保护的资源。

2.如权利要求1所述的方法，还包括在所述客户端中定义或使用参数来指出所述用户是谁和所述第一SMS发送到哪里。

3.如前述权利要求所述的方法，其中，包含在所述第一SMS中的认证所述用户的手段是携带了所述客户端不知道的令牌的统一资源定位器URL以及由所述用户点击所述URL的指示。

4.如权利要求1到2所述的方法，其中，包含在所述第一SMS中的认证所述用户的手段是所述客户端不知道的令牌以及由所述用户发送带有令牌的SMS到指定的号码的指示。

5.如权利要求1所述的方法，还包括在所述客户端中定义或使用参数来指出SMS或二进制SMS需要在所述用户认证和授权之后发送给所述用户。

6.如前述权利要求中任一项所述的方法，其中，获得访问令牌所需的信息是包含在所述第二SMS中的验证码，所述验证码通过所述用户提供给所述客户端。

7.如权利要求1到6中任一项所述的方法，其中，获得访问令牌所需的信息是包含在所述第二SMS中的验证码，其中所述第二SMS是被发送到指示的所述用户的手机的端口的二进制SMS，所述客户端从中直接获得所述验证码。

8.如权利要求1到6中任一项所述的方法，其中，所述第二SMS中发送的信息是所述访问令牌，并且所述访问令牌通过所述用户提供给所述客户端。

9.如权利要求1到6中任一项所述的方法，其中，所述第二SMS中发送的信息是所述访问令牌，其中所述第二SMS是被发送到指示的所述用户的手机的端口的二进制SMS，所述客户端从中直接获得所述访问令牌。

10.如权利要求1到9所述的方法，其中，标准OAuth协议被用于进行所述方法的步骤。

11.如权利要求2到10中任一项所述的方法，其中，通过使用OAuth协议中未定义的额外参数来定义所述第一参数。

12.如权利要求2到10中任一项所述的方法，其中，通过再利用OAuth协议中定义的参数来定义所述第一参数。

13.如前述权利要求中任一项所述的方法，还包括在所述客户端中定义第二参数用于用信号通知。

14.如权利要求13所述的方法，其中，通过使用OAuth协议中未定义的额外参数来定义所述第二参数。

15.如权利要求11所述的方法，其中，所述第二参数是OAuth协议的回调统一资源定位器callbackURL参数。