CN105007279B - 认证方法和认证系统 - Google Patents
认证方法和认证系统 Download PDFInfo
- Publication number
- CN105007279B CN105007279B CN201510471383.5A CN201510471383A CN105007279B CN 105007279 B CN105007279 B CN 105007279B CN 201510471383 A CN201510471383 A CN 201510471383A CN 105007279 B CN105007279 B CN 105007279B
- Authority
- CN
- China
- Prior art keywords
- key
- user
- session
- response
- cloud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了认证方法和认证系统。认证方法包括:通过用户端向客户服务端发送第一临时密钥的分配请求信息,通过客户服务端在验证分配请求信息后,生成并向用户端发送包括用户密钥账号、第一临时密钥和会话策略信息的第一响应信息,通过用户端向云端服务器发送基于第一响应信息生成的云端服务请求信息,云端服务请求信息携带用户密钥账号、会话策略信息和使用第一临时密钥生成的云端服务请求信息的签名,通过云端服务器基于用户密钥账号和会话策略信息认证云端服务请求信息的签名,认证通过后向用户端发送响应云端服务请求信息的第二响应信息。本申请实施方式的认证方法减少了客户服务端与云端服务器的交互流程,降低了云端服务器的认证压力。
Description
技术领域
本申请涉及计算机网络技术领域,具体涉及计算机网络认证技术领域,尤其涉及认证方法和认证系统。
背景技术
在公有云服务中,客户(如网站主)需要在网页或应用中向用户(如网民)提供保存于云端的资源(如音视频)的直接访问,以避免数据经过客户的服务器中转带来无谓的网络传输。而云端存储对外提供的应用程序编程接口,为保证安全性,是通过公私钥对请求进行签名实现的,网页或应用访问时,需要配置使用公私钥。但网页或应用是分发到用户(网民)的,存在被恶意用户破译出客户的密钥,进而拿到客户身份进行破坏的风险。
现有技术中,可以通过两种方式避免在公有云服务中客户密钥被泄露:1、允许客户分发密钥的片段到网页或应用,云存储服务端为这类网页或应用访问需要的接口开放特殊认证机制,网页或应用在请求时仅需基于密钥的片段进行请求签名,即可对资源进行访问。2、使用临时密钥机制,即网页或应用先向客户的服务端请求获取一份短期有效的密钥,基于此短期密钥向云端服务进行资源访问。
然而,上述的两种技术,存在以下风险:1、基于密钥片段的授权机制,云端服务所开放的支持密钥片段签名的接口是固定的,在客户有新需求需要增加接口的临时访问时,需要云端服务器升级配置;同时在恶意用户获取到密钥片段后,这些开放的接口也就相当于对其完全开放了,仍然有客户数据会被破坏的问题。2、临时密钥机制由于网页或应用每次向客户端请求临时密钥时,客户端需要向云端的身份识别与访问管理系统IAM进行申请,客户业务上涨或客户业务逻辑不当(如反复申请临时密钥)时,IAM的自身压力过大,影响基础的认证服务。
发明内容
鉴于现有技术中的上述缺陷或不足,期望能够提供一种安全性好、云端服务及认证压力小的方案。为了实现上述一个或多个目的,本申请提供了认证方法和认证系统。
第一方面,本申请提供了一种用于认证系统的用户端的认证方法,所述认证系统包括:用户端、客户服务端和云端服务器,所述方法包括:向所述客户服务端发送第一临时密钥的分配请求信息,所述分配请求信息携带用于验证用户身份的会话身份标识;接收所述客户服务端响应于用户身份通过验证发送的响应所述分配请求信息的第一响应信息,所述第一响应信息包括:用于向云端服务器确认客户身份的用户密钥账号,使用第一会话密钥签名用于描述用户权限的访问控制列表得到的第一临时密钥,以及使用所述第一会话密钥加密所述访问控制列表得到的会话策略信息,其中,所述第一会话密钥为客户服务端持有的与所述云端服务器会话的会话密钥;向所述云端服务器发送基于所述第一响应信息生成的云端服务请求信息,所述云端服务请求信息携带所述用户密钥账号、所述会话策略信息和使用所述第一临时密钥生成的所述云端服务请求信息的签名;接收所述云端服务器发送的响应云端服务请求信息的第二响应信息,其中,所述第二响应信息通过以下步骤得到:所述云端服务器基于所述用户密钥账号和所述会话策略信息,对接收的所述云端服务请求信息的签名进行认证,响应于所述认证通过,向所述用户端发送响应所述云端服务请求信息的第二响应信息。
第二方面,本申请提供了一种用于认证系统的客户服务端的生成第一响应信息的方法,所述认证系统包括:用户端、客户服务端和云端服务器,所述方法包括:接收所述用户端发送的第一临时密钥的分配请求信息,所述分配请求信息携带用于验证用户身份的会话身份标识;基于所述会话身份标识,对用户身份进行验证;响应于用户身份通过验证,生成响应所述分配请求信息的第一响应信息,其中,所述第一响应信息包括:用于向云端服务器确认客户身份的用户密钥账号,使用第一会话密钥签名用于描述用户权限的访问控制列表得到的第一临时密钥,以及使用所述第一会话密钥加密所述访问控制列表得到的会话策略信息,其中,所述第一会话密钥为客户服务端持有的与所述云端服务器会话的会话密钥;向所述用户端发送所述第一响应信息。
第三方面,本申请提供了一种用于认证系统的云端服务器的认证方法,所述认证系统包括:用户端、客户服务端和云端服务器,所述方法包括:接收所述用户端发送的用户密钥账号、会话策略信息和使用第一临时密钥签名的云端服务请求信息,其中,所述第一临时密钥由所述客户服务端使用第一会话密钥对用于描述用户权限的访问控制列表进行签名得到,所述用户密钥账号由所述客户服务端生成以向云端服务器确认客户身份,所述会话策略信息由所述客户服务端使用所述第一会话密钥加密所述访问控制列表得到,所述第一会话密钥为所述客户服务端持有的与所述云端服务器进行会话的会话密钥;基于所述用户密钥账号和所述会话策略信息,对接收的所述云端服务请求信息的签名进行认证;以及响应于所述认证通过,向所述用户端发送响应所述云端服务请求信息的第二响应信息。
第四方面,本申请提供了一种用于认证系统的认证方法,所述认证系统包括:用户端、客户服务端和云端服务器,所述方法包括:所述用户端向所述客户服务端发送第一临时密钥的分配请求信息,所述分配请求信息携带用于验证用户身份的会话身份标识;所述客户服务端接收所述分配请求信息,基于所述会话身份标识,对用户身份进行验证;以及响应于用户身份通过验证,生成响应所述分配请求信息的第一响应信息并向所述用户端发送所述第一响应信息,其中,所述第一响应信息包括:用于向云端服务器确认客户身份的用户密钥账号,使用第一会话密钥签名用于描述用户权限的访问控制列表得到的第一临时密钥,以及使用所述第一会话密钥加密所述访问控制列表得到的会话策略信息,其中,所述第一会话密钥为客户服务端持有的与所述云端服务器会话的会话密钥;所述用户端响应于接收到所述第一响应信息,向所述云端服务器发送基于所述第一响应信息生成的云端服务请求信息,所述云端服务请求信息携带所述用户密钥账号、所述会话策略信息和使用所述第一临时密钥生成的所述云端服务请求信息的签名;所述云端服务器基于接收的所述用户密钥账号和所述会话策略信息,对接收的所述云端服务请求信息的签名进行认证,以及响应于所述认证通过,向所述用户端发送响应所述云端服务请求信息的第二响应信息。
第五方面,本申请提供了一种用于认证系统的用户端,所述用户端用于:向所述客户服务端发送第一临时密钥的分配请求信息,所述分配请求信息携带用于验证用户身份的会话身份标识;接收所述客户服务端响应于用户身份通过验证发送的响应所述分配请求信息的第一响应信息,所述第一响应信息包括:用于向云端服务器确认客户身份的用户密钥账号,使用第一会话密钥签名用于描述用户权限的访问控制列表得到的第一临时密钥,以及使用所述第一会话密钥加密所述访问控制列表得到的会话策略信息,其中,所述第一会话密钥为客户服务端持有的与所述云端服务器会话的会话密钥;向所述云端服务器发送基于所述第一响应信息生成的云端服务请求信息,所述云端服务请求信息携带所述用户密钥账号、所述会话策略信息和使用所述第一临时密钥生成的所述云端服务请求信息的签名;接收所述云端服务器发送的响应云端服务请求信息的第二响应信息,其中,所述第二响应信息通过以下步骤得到:所述云端服务器基于所述用户密钥账号和所述会话策略信息,对接收的所述云端服务请求信息的签名进行认证,响应于所述认证通过,向所述用户端发送响应所述云端服务请求信息的第二响应信息。
第六方面,本申请提供了一种用于认证系统的客户服务端,所述客户服务端用于:接收所述用户端发送的第一临时密钥的分配请求信息,所述分配请求信息携带用于验证用户身份的会话身份标识;基于所述会话身份标识,对用户身份进行验证;响应于用户身份通过验证,生成响应所述分配请求信息的第一响应信息,其中,所述第一响应信息包括:用于向云端服务器确认客户身份的用户密钥账号,使用第一会话密钥签名用于描述用户权限的访问控制列表得到的第一临时密钥,以及使用所述第一会话密钥加密所述访问控制列表得到的会话策略信息,其中,所述第一会话密钥为客户服务端持有的与所述云端服务器会话的会话密钥;向所述用户端发送所述第一响应信息。
第七方面,本申请提供了一种用于认证系统的云端服务器,所述云端服务器用于:接收所述用户端发送的用户密钥账号、会话策略信息和使用第一临时密钥签名的云端服务请求信息,其中,所述第一临时密钥由所述客户服务端使用第一会话密钥对用于描述用户权限的访问控制列表进行签名得到,所述用户密钥账号由所述客户服务端生成以向云端服务器确认客户身份,所述会话策略信息由所述客户服务端使用所述第一会话密钥加密所述访问控制列表得到,所述第一会话密钥为所述客户服务端持有的与所述云端服务器进行会话的会话密钥;基于所述用户密钥账号和所述会话策略信息,对接收的所述云端服务请求信息的签名进行认证;以及响应于所述认证通过,向所述用户端发送响应所述云端服务请求信息的第二响应信息。
第八方面,本申请提供了一种认证系统,所述认证系统包括:用户端,用于向所述客户服务端发送第一临时密钥的分配请求信息,所述分配请求信息携带用于验证用户身份的会话身份标识;接收所述客户服务端响应于用户身份通过验证发送的响应所述分配请求信息的第一响应信息,所述第一响应信息包括:用于向云端服务器确认客户身份的用户密钥账号,使用第一会话密钥签名用于描述用户权限的访问控制列表得到的第一临时密钥,以及使用所述第一会话密钥加密所述访问控制列表得到的会话策略信息,其中,所述第一会话密钥为客户服务端持有的与所述云端服务器会话的会话密钥;向所述云端服务器发送基于所述第一响应信息生成的云端服务请求信息,所述云端服务请求信息携带所述用户密钥账号、所述会话策略信息和使用所述第一临时密钥生成的所述云端服务请求信息的签名;所述客户服务端,用于接收所述分配请求信息,基于所述会话身份标识,对用户身份进行验证;以及响应于用户身份通过验证,生成响应所述分配请求信息的第一响应信息并向所述用户端发送所述第一响应信息;所述云端服务器,用于基于接收的所述用户密钥账号和所述会话策略信息,对接收的所述云端服务请求信息的签名进行认证,以及响应于所述认证通过,向所述用户端发送响应所述云端服务请求信息的第二响应信息。
本申请提供的认证方法和认证系统,通过用户端向客户服务端发送第一临时密钥的分配请求信息,通过客户服务端在验证分配请求信息后,生成并向用户端发送包括用户密钥账号、第一临时密钥和会话策略信息的第一响应信息,通过用户端向云端服务器发送基于第一响应信息生成的云端服务请求信息,云端服务请求信息携带用户密钥账号、会话策略信息和使用第一临时密钥生成的云端服务请求信息的签名,通过云端服务器基于用户密钥账号和会话策略信息认证云端服务请求信息的签名,认证通过后向用户端发送响应云端服务请求信息的第二响应信息。本申请实施方式的认证方法减少了客户服务端与云端服务器的交互流程,降低了云端服务器的认证压力。
附图说明
通过阅读参照以下附图所作的对非限制性实施例的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1示出了可以应用本申请实施例的示例性系统架构;
图2示出了根据本申请实施例的用于认证系统的用户端的认证方法的一种示意性流程图;
图3示出了根据本申请实施例的用于认证系统的客户服务端的生成第一响应信息的方法的一种示意性流程图;
图4示出了根据本申请实施例的用于认证系统的云端服务器的认证方法的一种示意性流程图;
图5示出了根据本申请实施例的认证云端服务请求信息的签名的方法的一种示例性流程图;
图6示出了根据本申请实施例的用于认证系统的认证方法的一个示例性流程图;
图7示出了根据本申请实施例的用于认证系统的认证方法的一个具体应用场景的示例性流程图;
图8示出了根据本申请实施例的认证系统的一种示例性结构图;
图9示出了适于用来实现本申请实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
图1示出了可以应用本申请实施例的示例性系统架构100。
如图1所示,系统架构100可以包括终端设备101、102、网络103和客户端服务器104、云端服务器105。网络103用以在终端设备101、102、客户端服务器104和云端服务器105之间提供通信链路的介质。网络103可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户110可以使用终端设备101、102通过网络103与客户端服务器104和云端服务器105交互,以发送信息或接收信息等。终端设备101、102上可以安装有各种网页或应用,例如视频播放器、网络游戏应用等。
终端设备101、102可以是各种电子设备,包括但不限于个人电脑、智能手机、智能手表、平板电脑、个人数字助理等等。
客户端服务器104和云端服务器105可以是提供各种服务的服务器。服务器可以对接收到的数据进行存储、分析等处理,并将处理结果反馈给其他服务器或终端设备。
需要说明的是,本申请实施例所提供的认证方法以及认证系统可以由终端设备101、102作为认证方法以及认证系统中的用户端执行,由客户端服务器104作为认证方法以及认证系统中的客户服务端执行,由云端服务器105作为认证方法以及认证系统中的云端服务器执行。应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
以下结合图2至图7,说明本申请实施例的用于认证系统的认证方法。在本申请的实施例中,认证系统可以包括用户端、客户服务端和云端服务器。
请参考图2,图2示出了根据本申请实施例的用于认证系统的用户端的认证方法的一种示意性流程图。
如图2所示,用于认证系统的用户端的认证方法可以包括:
首先,在步骤201中,向客户服务端发送第一临时密钥的分配请求信息,分配请求信息携带用于验证用户身份的会话身份标识。
在本实施例中,第一临时密钥的分配请求信息用于向客户服务端请求分配一组临时密钥。该分配请求信息携带有会话身份标识(sessionid),用于向客户服务端提供用户的有效身份证明。
接着,在步骤202中,接收客户服务端响应于用户身份通过验证发送的响应分配请求信息的第一响应信息。
在本实施例中,客户服务端基于接收的分配请求信息中携带的会话身份标识对用户身份进行验证,验证通过之后,认定用户端发送的分配请求信息有效,为用户分配用于向云端服务器确认客户身份的用户密钥账号(access key id,缩写为ak),并根据用户身份确定用于描述用户权限的访问控制列表(ACL,ACL中描述生效失效时间),使用客户服务端持有的与云端服务器会话的会话密钥(第一会话密钥)对访问控制列表进行签名得到第一临时密钥(accesse key secret,缩写为sk),并使用该会话密钥加密访问控制列表得到会话策略信息(session policy),最后将上述的用户密钥账号、第一临时密钥以及会话策略信息作为第一响应信息发送给用户端。其中,对访问控制列表进行签名可以通过数字签名算法来实现,例如使用安全散列算法SHA的一系列密码散列函数来实现;加密访问控制列表可以使用数字加密标准,例如数据加密标准DES、使用3条64位的密钥对数据进行三次加密的数据加密标准3DES和高级加密标准AES等。
在客户服务端发送第一响应信息之后,用户端可以接收上述的第一响应信息(包括ak,sk,session policy)。
之后,在步骤203中,向云端服务器发送基于第一响应信息生成的云端服务请求信息,云端服务请求信息携带用户密钥账号、会话策略信息和使用第一临时密钥生成的云端服务请求信息的签名。
在本实施例中,云端服务请求信息用于向云端请求资源,用户端(发送请求的主体可以为用户端中的网页或应用)使用第一临时密钥签名云端服务请求信息,并携带用户密钥账号确认用户身份,携带会话策略信息作为额外认证数据,发送至云端服务器。
然后,在步骤204中,接收云端服务器发送的响应云端服务请求信息的第二响应信息。
在本实施例中,云端服务器在接收到云端服务请求后,通过以下步骤向用户端发送第一响应信息:云端服务器基于用户密钥账号和会话策略信息,对接收的云端服务请求信息的签名进行认证,响应于认证通过,向用户端发送响应云端服务请求信息的第二响应信息。
云端服务器基于用户密钥账号和会话策略信息,对接收的云端服务请求信息的签名进行认证时,云端服务向身份识别与访问管理系统(Identity and Access Management,缩写为IAM)认证此第一临时密钥的签名,IAM基于用户密钥账号和会话策略信息计算出第二临时密钥,并使用第二临时密钥计算出签名,比对计算出的签名与接收的签名,当比对结果相同时,接收的签名通过认证,并将认证结果返回云端服务,云端服务响应云端服务请求,并将第二响应信息发送给用户端。
用户端从而接收云端服务器向用户端发送的响应云端服务请求信息的第二响应信息。
本申请上述实施例提供的用于认证系统的用户端的认证方法,通过向客户服务端发送第一临时密钥的分配请求信息,接收客户服务端发送的响应分配请求信息的第一响应信息,向云端服务器发送基于第一响应信息生成的云端服务请求信息,云端服务请求信息携带用户密钥账号、会话策略信息和使用第一临时密钥生成的云端服务请求信息的签名,接收云端服务器向用户端发送的响应云端服务请求信息的第二响应信息,减少了客户服务端与云端服务器的交互流程,降低了云端服务器的压力,云端服务器无需部署需承担大流量压力的高性能服务,并且避免了临时密钥请求过多时给云端的IAM服务带来的性能损害。
请参考图3,图3示出了根据本申请实施例的用于认证系统的客户服务端的生成第一响应信息的方法的一种示意性流程图。
如图3所示,用于认证系统的客户服务端的生成第一响应信息的方法可以包括:
首先,在步骤301中,接收用户端发送的第一临时密钥的分配请求信息,分配请求信息携带用于验证用户身份的会话身份标识。
在本实施例中,第一临时密钥的分配请求信息用于向客户服务端请求分配一组临时密钥。该分配请求信息携带的会话身份标识(sessionid),用于向客户服务端提供用户的有效身份凭证。
接着,在步骤302中,基于会话身份标识,对用户身份进行验证。
在本实施例中,会话身份标识可以提供用户的有效身份凭证,客户服务端将提供的用户的有效身份凭证和预留的用户的身份凭证进行比对,若比对结果相同,则用户身份通过验证。
在实际进行身份验证时,若会话身份标识标示为未登录,可以跳转至客户服务端提供的登录页面或第三方登录页面进行登录。
之后,在步骤303中,响应于用户身份通过验证,生成响应分配请求信息的第一响应信息。
其中,第一响应信息包括:用于向云端服务器确认客户身份的用户密钥账号,使用第一会话密钥签名用于描述用户权限的访问控制列表得到的第一临时密钥,以及使用第一会话密钥加密访问控制列表得到的会话策略信息,其中,第一会话密钥为客户服务端持有的与云端服务器会话的会话密钥。
在本实施例中,客户服务端基于接收的分配请求信息中携带的会话身份标识对用户身份进行验证,验证通过之后,认定用户端发送的分配请求信息有效,为用户分配用于向云端服务器确认客户身份的用户密钥账号(access key id,缩写为ak),并根据用户身份确定用于描述用户权限的访问控制列表(ACL,ACL中应描述生效失效时间),使用客户服务端持有的与云端服务器会话的会话密钥对访问控制列表进行签名得到第一临时密钥(accesse key secret,缩写为sk),并使用该会话密钥加密访问控制列表得到会话策略信息(session policy),最后将上述的用户密钥账号、第一临时密钥以及会话策略信息作为第一响应信息发送给用户端。其中,对访问控制列表进行签名可以通过数字签名算法来实现,例如使用安全散列算法SHA的一系列密码散列函数来实现;加密访问控制列表可以使用数字加密标准,例如数据加密标准DES、使用3条64位的密钥对数据进行三次加密的数据加密标准3DES和高级加密标准AES等。
然后,在步骤304中,向用户端发送第一响应信息。
在本实施例中,云端服务器在接收到云端服务请求后,通过以下步骤向用户端发送第一响应信息:云端服务器基于用户密钥账号和会话策略信息,对接收的云端服务请求信息的签名进行认证,响应于认证通过,向用户端发送响应云端服务请求信息的第二响应信息。
本申请上述实施例提供的用于认证系统的客户服务端的生成第一响应信息的方法,通过接收用户端发送的第一临时密钥的分配请求信息,分配请求信息携带用于验证用户身份的会话身份标识,基于会话身份标识,对用户身份进行验证,响应于用户身份通过验证,生成响应分配请求信息的第一响应信息,从而为用户端提供访问云端服务的凭证,无需云端服务器部署需承担大流量压力的高性能服务,并且避免了临时密钥请求过多时给云端的IAM服务带来的性能损害。
请参考图4,图4示出了根据本申请实施例的用于认证系统的云端服务器的认证方法的一种示意性流程图。
如图4所示,用于认证系统的云端服务器的认证方法可以包括:
首先,在步骤401中,接收用户端发送的用户密钥账号、会话策略信息和使用第一临时密钥签名的云端服务请求信息。
其中,第一临时密钥为客户服务端使用第一会话密钥对用于描述用户权限的访问控制列表进行签名得到,用户密钥账号由客户服务端生成以向云端服务器确认客户身份,会话策略信息为客户服务端使用第一会话密钥加密访问控制列表得到,第一会话密钥为客户服务端持有的与云端服务器进行会话的会话密钥。
接着,在步骤402中,基于用户密钥账号和会话策略信息,对接收的云端服务请求信息的签名进行认证。
云端服务器基于用户密钥账号和会话策略信息,对接收的云端服务请求信息的签名进行认证时,云端服务向身份识别与访问管理系统(Identity and Access Management,缩写为IAM)认证此第一临时密钥的签名,IAM基于用户密钥账号和会话策略信息计算出第二临时密钥,并使用第二临时密钥计算出签名,比对计算出的签名与接收的签名,当比对结果相同时,接收的签名通过认证。
之后,在步骤403中,响应于认证通过,向用户端发送响应云端服务请求信息的第二响应信息。
在本实施例中,响应于IAM认证云端服务请求信息的签名通过,将认证结果返回云端服务,云端服务将响应于云端服务请求生成的第二响应信息发送给客户端。
本申请上述实施例提供的用于认证系统的云端服务器的认证方法,通过接收的用户密钥账号和会话策略信息,对接收的云端服务请求信息的签名进行认证,响应于认证通过,向用户端发送响应云端服务请求信息的第二响应信息,从而为用户端提供服务,减少了云端服务器与客户服务端的交互流程,无需云端服务器部署承担大流量压力的高性能服务,并且避免了临时密钥请求过多时给云端的IAM服务带来的性能损害,从而降低了对云端服务器的性能要求。
进一步参考图5,图5示出了根据本申请实施例的认证云端服务请求信息的签名的方法的一种示例性流程图。
如图5所示,认证云端服务请求信息的签名的方法包括:
首先,在步骤501中,基于用户密钥账号,验证客户身份。
接着,在步骤502中,响应于客户身份通过验证,基于会话策略信息和第二会话密钥,得到第二临时密钥,其中,第二会话密钥为云端服务器持有的与客户服务端会话的会话密钥。
在本实施例中,基于会话策略信息和第二会话密钥,得到第二临时密钥的方法步骤与客户服务端生成第一临时密钥的步骤相同,也即首先使用第二会话密钥解密会话策略信息,得到访问控制列表;之后使用第二会话密钥对得到的访问控制列表进行签名,得到第二临时密钥。
之后,在步骤503中,使用第二临时密钥,计算云端服务请求信息的签名。
在本实施例中,使用第二临时密钥计算云端服务请求信息的签名的过程,与用户端使用第一临时密钥对云端服务请求信息的签名过程相同。可以采用多种签名方法实现签名,例如RSA签名和哈希Hash签名等。
然后,在步骤504中,比对接收的云端服务请求信息的签名与计算得到的云端服务请求信息的签名。
然后,在步骤505中,响应于比对的结果相同,确定认证结果为认证通过。
本申请上述例提供的认证云端服务请求信息的签名的方法,在通过用户密钥账号验证客户身份后,基于会话策略信息和第二会话密钥得到第二临时密钥,其中,第二会话密钥为云端服务器持有的与客户服务端会话的会话密钥,之后使用第二临时密钥计算云端服务请求信息的签名,之后比对接收的签名与计算得到的签名,响应于比对的结果相同,确定认证结果为认证通过,简单快捷的实现了对签名的认证,提高了认证效率。
请参考图6,图6示出了根据本申请实施例的用于认证系统的认证方法的一个示例性流程图。
如图6所示,用于认证系统的认证方法包括:
首先,在步骤601中,用户端向客户服务端发送第一临时密钥的分配请求信息,分配请求信息携带用于验证用户身份的会话身份标识。
在本实施例中,第一临时密钥的分配请求信息用于向客户服务端请求分配一组临时密钥。该分配请求信息携带有会话身份标识(sessionid),用于向客户服务端提供用户的有效身份证明。
接着,在步骤602中,客户服务端接收分配请求信息,基于会话身份标识,对用户身份进行验证;以及响应于用户身份通过验证,生成响应分配请求信息的第一响应信息并向用户端发送生成的第一响应信息。
其中,第一响应信息包括:用于向云端服务器确认客户身份的用户密钥账号,使用第一会话密钥签名用于描述用户权限的访问控制列表得到的第一临时密钥,以及使用第一会话密钥加密访问控制列表得到的会话策略信息,其中,第一会话密钥为客户服务端持有的与云端服务器会话的会话密钥。
在本实施例中,客户服务端基于接收的分配请求信息中携带的会话身份标识对用户身份进行验证,验证通过之后,认定用户端发送的分配请求信息有效,为用户分配用于向云端服务器确认客户身份的用户密钥账号(access key id,缩写为ak),并根据用户身份确定用于描述用户权限的访问控制列表(ACL,ACL中应描述生效失效时间),使用客户服务端持有的与云端服务器会话的会话密钥对访问控制列表进行签名得到第一临时密钥(accesse key secret,缩写为sk),并使用该会话密钥加密访问控制列表得到会话策略信息(session policy),最后将上述的用户密钥账号、第一临时密钥以及会话策略信息作为第一响应信息发送给用户端。其中,对访问控制列表进行签名可以通过数字签名算法来实现,例如使用安全散列算法SHA的一系列密码散列函数来实现;加密访问控制列表可以使用数字加密标准,例如数据加密标准DES、使用3条64位的密钥对数据进行三次加密的数据加密标准3DES和高级加密标准AES等。
在本实施例中,会话身份标识可以提供用户的有效身份凭证,客户服务端将提供的用户的有效身份凭证和预留的用户的身份凭证进行比对,若比对结果相同,则用户身份通过验证。
在实际进行身份验证时,若会话身份标识标示为未登录,可以跳转至客户服务端提供的登录页面或第三方登录页面进行登录。
之后,在步骤603中,用户端响应于接收到第一响应信息,向云端服务器发送基于第一响应信息生成的云端服务请求信息,云端服务请求信息携带用户密钥账号、会话策略信息和使用第一临时密钥生成的云端服务请求信息的签名。
在本实施例中,云端服务请求信息用于向云端请求资源,用户端(执行主体可以为用户端中存在的网页或应用)使用第一临时密钥签名云端服务请求信息,并携带用户密钥账号确认用户身份,携带会话策略信息作为额外认证数据,发送至云端服务器。
然后,在步骤604中,云端服务器基于接收的用户密钥账号和会话策略信息,对接收的云端服务请求信息的签名进行认证,以及响应于认证通过,向用户端发送响应云端服务请求信息的第二响应信息。
在本实施例中,对接收的云端服务请求信息的签名进行认证时,认证的方法上述图5中描述的认证云端服务请求信息的签名的方法相同。在此不再赘述。
如图7所示,在本实施例的一个具体的应用场景中,认证方法可以包括以下步骤:
步骤701,用户通过用户端向客户服务端发送请求分配第一临时密钥的请求信息,请求信息携带用于验证用户身份的会话身份标识;
步骤702,客户服务端接收分配请求信息,基于分配请求信息携带的会话身份标识对用户身份进行验证后,生成第一响应信息,第一响应信息包括:用于向云端服务器确认客户身份的用户密钥账号,使用第一会话密钥签名用于描述用户权限的访问控制列表得到的第一临时密钥,以及使用第一会话密钥加密访问控制列表得到的会话策略信息,其中,第一会话密钥为客户服务端持有的与云端服务器会话的会话密钥;
步骤703,客户服务端返回第一响应信息给用户端;
步骤704,用户端向云端服务器的云服务发送用户密钥账号、会话策略信息和使用第一临时密钥签名的云端服务请求信息;
步骤705,云服务基于用户密钥账号、会话策略信息和使用第一临时密钥签名的云端服务请求信息向IAM进行认证;
步骤706,IAM向云服务返回认证成功的结果;
步骤707,云服务向用户端返回响应云端服务请求信息的第二响应信息。
本申请上述实施例提供的用于认证系统的认证方法,通过用户端向客户服务端发送第一临时密钥的分配请求信息,通过客户服务端根据接收的分配请求信息中的会话身份标识对用户身份进行验证,响应于用户身份通过验证,生成响应分配请求信息的第一响应信息并向用户端发送,用户端接收客户服务端发送的响应分配请求信息的第一响应信息,向云端服务器发送基于第一响应信息生成的云端服务请求信息,云端服务请求信息携带用户密钥账号、会话策略信息和使用第一临时密钥生成的云端服务请求信息的签名,通过云端服务器基于用户密钥账号和会话策略信息,对接收的云端服务请求信息的签名进行认证,以及响应于认证通过,向用户端发送响应云端服务请求信息的第二响应信息;通过用户端接收云端服务器向用户端发送的响应云端服务请求信息的第二响应信息,减少了客户服务端与云端服务器的交互流程,降低了云端服务器的压力,云端服务器无需部署需承担大流量压力的高性能服务,并且避免了临时密钥请求过多时给云端的IAM服务带来的性能损害。
请参考图8,图8示出了根据本申请实施例的认证系统的一种示例性结构图。
如图8所示,认证系统包括:用户端810,客户服务端820和云端服务器830。
用户端810,配置用于向客户服务端发送第一临时密钥的分配请求信息,分配请求信息携带用于验证用户身份的会话身份标识;接收客户服务端响应于用户身份通过验证而发送的响应分配请求信息的第一响应信息,其中,第一响应信息包括:用于向云端服务器确认客户身份的用户密钥账号,使用第一会话密钥签名用于描述用户权限的访问控制列表得到的第一临时密钥,以及使用第一会话密钥加密访问控制列表得到的会话策略信息,其中,所述第一会话密钥为所述客户服务端持有的与所述云端服务器进行会话的会话密钥;向云端服务器发送基于第一响应信息生成的云端服务请求信息,云端服务请求信息携带用户密钥账号、会话策略信息和使用第一临时密钥生成的云端服务请求信息的签名。
在本实施例中,第一响应信息为客户服务端对分配请求信息进行验证,响应于验证通过,生成用于描述用户权限的访问控制列表,基于访问控制列表和客户服务端持有的与云端服务器会话的会话密钥,生成并向用户端发送的响应分配请求信息的第一响应信息。
在向云端服务器发送基于第一响应信息生成的云端服务请求信息,云端服务请求信息携带用户密钥账号、会话策略信息和使用第一临时密钥生成的云端服务请求信息的签名之后,用户端810可以接收云端服务器响应所述分配请求信息的第二响应信息
客户服务端820,配置用于接收分配请求信息,基于分配请求信息携带的会话身份标识,对用户身份进行验证;以及响应于用户身份通过验证,生成响应分配请求信息的第一响应信息并向用户端发送生成的第一响应信息。
在本实施例中,生成并发送的响应分配请求信息的第一响应信息与用户端810接收的第一响应信息为同一信息,第一响应信息包括:用于向云端服务器确认客户身份的用户密钥账号,使用第一会话密钥签名用于描述用户权限的访问控制列表得到的第一临时密钥,以及使用第一会话密钥加密访问控制列表得到的会话策略信息,其中,所述第一会话密钥为所述客户服务端持有的与所述云端服务器进行会话的会话密钥。
云端服务器830,配置用于基于接收的用户密钥账号、会话策略信息,对接收的云端服务请求信息的签名进行认证,以及响应于认证通过,向用户端发送响应云端服务请求信息的第二响应信息。
在本实施例中,云端服务器830进一步配置用于基于用户密钥账号,验证客户身份;响应于客户身份通过验证,基于会话策略信息和第二会话密钥,得到第二临时密钥,其中,第二会话密钥为云端服务器持有的与客户服务端会话的会话密钥;使用第二临时密钥,计算云端服务请求信息的签名;比对接收的云端服务请求信息的签名与计算得到的云端服务请求信息的签名;响应于比对的结果相同,确定认证结果为认证通过。
云端服务器830进一步配置用于使用第二会话密钥解密会话策略信息,得到访问控制列表;使用第二会话密钥对得到的访问控制列表进行签名,得到第二临时密钥。
应当理解,装置800中记载的用户端,客户服务端和云端服务器与参考图2至图7中描述的方法中记载的用户端,客户服务端和云端服务器的操作步骤相对应。由此,上文针对认证方法描述的操作和特征同样适用于装置800及其中包含的单元,在此不再赘述。
本申请上述实施例提供的认证系统,通过用户端向客户服务端发送第一临时密钥的分配请求信息,通过客户服务端在验证分配请求信息后,生成并向用户端发送包括用户密钥账号、第一临时密钥和会话策略信息的第一响应信息,通过用户端向云端服务器发送基于第一响应信息生成的云端服务请求信息,云端服务请求信息携带用户密钥账号、会话策略信息和使用第一临时密钥生成的云端服务请求信息的签名,通过云端服务器基于用户密钥账号和会话策略信息认证云端服务请求信息的签名,认证通过后向用户端发送响应云端服务请求信息的第二响应信息。本申请实施方式的认证方法减少了客户服务端与云端服务器的交互流程,降低了云端服务器的认证压力。
本领域技术人员应当理解,在本申请的上述实施例中,第一临时密钥和第二临时密钥代表两个由不同的执行主体根据其持有的会话密钥使用相同的密钥生成方法分别得到的临时密钥,用于验证云端服务请求信息的签名;而第一响应信息和第二响应信息分别为用户端响应第一临时密钥的分配请求信息的响应信息和云端服务器响应用户端的云端服务请求信息的响应信息,两者并不相同;第一会话密钥和第二会话密钥,前者为客户服务端持有的与云端服务器会话的会话密钥,后者为云端服务器持有的与客户服务端会话的会话密钥,两者为对称密钥,使用同一密钥用于加密和解密。
下面参考图9,其示出了适于用来实现本申请实施例的终端设备或服务器的计算机系统900的结构示意图。
如图9所示,计算机系统900包括中央处理单元(CPU)901,其可以根据存储在只读存储器(ROM)902中的程序或者从存储部分908加载到随机访问存储器(RAM)903中的程序而执行各种适当的动作和处理。在RAM 903中,还存储有系统900操作所需的各种程序和数据。CPU 901、ROM 902以及RAM 903通过总线904彼此相连。输入/输出(I/O)接口905也连接至总线904。
以下部件连接至I/O接口905:包括键盘、鼠标等的输入部分906;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分907;包括硬盘等的存储部分908;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分909。通信部分909经由诸如因特网的网络执行通信处理。驱动器910也根据需要连接至I/O接口905。可拆卸介质911,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器910上,以便于从其上读出的计算机程序根据需要被安装入存储部分908。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括有形地包含在机器可读介质上的计算机程序,计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分909从网络上被下载和安装,和/或从可拆卸介质911被安装。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
作为另一方面,本申请还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中装置中所包含的计算机可读存储介质;也可以是单独存在,未装配入终端中的计算机可读存储介质。计算机可读存储介质存储有一个或者一个以上程序,程序被一个或者一个以上的处理器用来执行描述于本申请的认证方法。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (16)
1.一种用于认证系统的用户端的认证方法,所述认证系统包括:用户端、客户服务端和云端服务器,其特征在于,所述方法包括:
向所述客户服务端发送第一临时密钥的分配请求信息,所述分配请求信息携带用于验证用户身份的会话身份标识;
接收所述客户服务端响应于用户身份通过验证发送的响应所述分配请求信息的第一响应信息,所述第一响应信息包括:用于向云端服务器确认客户身份的用户密钥账号,使用第一会话密钥签名用于描述用户权限的访问控制列表得到的第一临时密钥,以及使用所述第一会话密钥加密所述访问控制列表得到的会话策略信息,其中,所述第一会话密钥为客户服务端持有的与所述云端服务器会话的会话密钥;
向所述云端服务器发送基于所述第一响应信息生成的云端服务请求信息,所述云端服务请求信息携带所述用户密钥账号、所述会话策略信息和使用所述第一临时密钥生成的所述云端服务请求信息的签名;
接收所述云端服务器发送的响应云端服务请求信息的第二响应信息,其中,所述第二响应信息通过以下步骤得到:所述云端服务器基于所述用户密钥账号和所述会话策略信息,对接收的所述云端服务请求信息的签名进行认证,响应于所述认证通过,向所述用户端发送响应所述云端服务请求信息的第二响应信息。
2.一种用于认证系统的客户服务端的生成第一响应信息的方法,所述认证系统包括:用户端、客户服务端和云端服务器,其特征在于,所述方法包括:
接收所述用户端发送的第一临时密钥的分配请求信息,所述分配请求信息携带用于验证用户身份的会话身份标识;
基于所述会话身份标识,对用户身份进行验证;
响应于用户身份通过验证,生成响应所述分配请求信息的第一响应信息,其中,所述第一响应信息包括:用于向云端服务器确认客户身份的用户密钥账号,使用第一会话密钥签名用于描述用户权限的访问控制列表得到的第一临时密钥,以及使用所述第一会话密钥加密所述访问控制列表得到的会话策略信息,其中,所述第一会话密钥为客户服务端持有的与所述云端服务器会话的会话密钥;
向所述用户端发送所述第一响应信息。
3.一种用于认证系统的云端服务器的认证方法,所述认证系统包括:用户端、客户服务端和云端服务器,其特征在于,所述方法包括:
接收所述用户端发送的用户密钥账号、会话策略信息和使用第一临时密钥签名的云端服务请求信息,其中,所述第一临时密钥由所述客户服务端使用第一会话密钥对用于描述用户权限的访问控制列表进行签名得到,所述用户密钥账号由所述客户服务端生成以向云端服务器确认客户身份,所述会话策略信息由所述客户服务端使用所述第一会话密钥加密所述访问控制列表得到,所述第一会话密钥为所述客户服务端持有的与所述云端服务器进行会话的会话密钥;
基于所述用户密钥账号和所述会话策略信息,对接收的所述云端服务请求信息的签名进行认证;以及
响应于所述认证通过,向所述用户端发送响应所述云端服务请求信息的第二响应信息。
4.根据权利要求3所述的方法,其特征在于,所述基于所述用户密钥账号和所述会话策略信息,对接收的所述云端服务请求信息的签名进行认证包括:
基于所述用户密钥账号,验证所述客户身份;
响应于所述客户身份通过验证,基于所述会话策略信息和第二会话密钥,得到第二临时密钥,其中,所述第二会话密钥为云端服务器持有的与所述客户服务端会话的会话密钥;
使用所述第二临时密钥,计算所述云端服务请求信息的签名;
比对接收的所述云端服务请求信息的签名与计算得到的云端服务请求信息的签名;
响应于所述比对的结果相同,确定认证结果为认证通过。
5.根据权利要求4所述的方法,其特征在于,所述基于所述会话策略信息和所述第二会话密钥,得到第二临时密钥包括:
使用所述第二会话密钥解密所述会话策略信息,得到所述访问控制列表;
使用所述第二会话密钥对得到的所述访问控制列表进行签名,得到第二临时密钥。
6.一种用于认证系统的认证方法,所述认证系统包括:用户端、客户服务端和云端服务器,其特征在于,所述方法包括:
所述用户端向所述客户服务端发送第一临时密钥的分配请求信息,所述分配请求信息携带用于验证用户身份的会话身份标识;
所述客户服务端接收所述分配请求信息,基于所述会话身份标识,对用户身份进行验证;以及响应于用户身份通过验证,生成响应所述分配请求信息的第一响应信息并向所述用户端发送所述第一响应信息,其中,所述第一响应信息包括:用于向云端服务器确认客户身份的用户密钥账号,使用第一会话密钥签名用于描述用户权限的访问控制列表得到的第一临时密钥,以及使用所述第一会话密钥加密所述访问控制列表得到的会话策略信息,其中,所述第一会话密钥为客户服务端持有的与所述云端服务器会话的会话密钥;
所述用户端响应于接收到所述第一响应信息,向所述云端服务器发送基于所述第一响应信息生成的云端服务请求信息,所述云端服务请求信息携带所述用户密钥账号、所述会话策略信息和使用所述第一临时密钥生成的所述云端服务请求信息的签名;
所述云端服务器基于接收的所述用户密钥账号和所述会话策略信息,对接收的所述云端服务请求信息的签名进行认证,以及响应于所述认证通过,向所述用户端发送响应所述云端服务请求信息的第二响应信息。
7.根据权利要求6所述的方法,其特征在于,所述基于所述用户密钥账号和所述会话策略信息,对接收的所述云端服务请求信息的签名进行认证包括:
基于所述用户密钥账号,验证所述客户身份;
响应于所述客户身份通过验证,基于所述会话策略信息和第二会话密钥,得到第二临时密钥,其中,所述第二会话密钥为云端服务器持有的与所述客户服务端会话的会话密钥;
使用所述第二临时密钥,计算所述云端服务请求信息的签名;
比对接收的所述云端服务请求信息的签名与计算得到的所述云端服务请求信息的签名;
响应于所述比对的结果相同,确定认证结果为认证通过。
8.根据权利要求6所述的方法,其特征在于,所述基于所述会话策略信息和第二会话密钥,得到第二临时密钥包括:
使用所述第二会话密钥解密所述会话策略信息,得到所述访问控制列表;
使用所述第二会话密钥对得到的所述访问控制列表进行签名,得到第二临时密钥。
9.一种用于认证系统的用户端,所述认证系统包括:用户端、客户服务端和云端服务器,其特征在于,所述用户端包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现:
向所述客户服务端发送第一临时密钥的分配请求信息,所述分配请求信息携带用于验证用户身份的会话身份标识;
接收所述客户服务端响应于用户身份通过验证发送的响应所述分配请求信息的第一响应信息,所述第一响应信息包括:用于向云端服务器确认客户身份的用户密钥账号,使用第一会话密钥签名用于描述用户权限的访问控制列表得到的第一临时密钥,以及使用所述第一会话密钥加密所述访问控制列表得到的会话策略信息,其中,所述第一会话密钥为客户服务端持有的与所述云端服务器会话的会话密钥;
向所述云端服务器发送基于所述第一响应信息生成的云端服务请求信息,所述云端服务请求信息携带所述用户密钥账号、所述会话策略信息和使用所述第一临时密钥生成的所述云端服务请求信息的签名;
接收所述云端服务器发送的响应云端服务请求信息的第二响应信息,其中,所述第二响应信息通过以下步骤得到:所述云端服务器基于所述用户密钥账号和所述会话策略信息,对接收的所述云端服务请求信息的签名进行认证,响应于所述认证通过,向所述用户端发送响应所述云端服务请求信息的第二响应信息。
10.一种用于认证系统的客户服务端,所述认证系统包括:用户端、客户服务端和云端服务器,其特征在于,所述客户服务端包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现:
接收所述用户端发送的第一临时密钥的分配请求信息,所述分配请求信息携带用于验证用户身份的会话身份标识;
基于所述会话身份标识,对用户身份进行验证;
响应于用户身份通过验证,生成响应所述分配请求信息的第一响应信息,其中,所述第一响应信息包括:用于向云端服务器确认客户身份的用户密钥账号,使用第一会话密钥签名用于描述用户权限的访问控制列表得到的第一临时密钥,以及使用所述第一会话密钥加密所述访问控制列表得到的会话策略信息,其中,所述第一会话密钥为客户服务端持有的与所述云端服务器会话的会话密钥;
向所述用户端发送所述第一响应信息。
11.一种用于认证系统的云端服务器,所述认证系统包括:用户端、客户服务端和云端服务器,其特征在于,所述云端服务器包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现:
接收所述用户端发送的用户密钥账号、会话策略信息和使用第一临时密钥签名的云端服务请求信息,其中,所述第一临时密钥由所述客户服务端使用第一会话密钥对用于描述用户权限的访问控制列表进行签名得到,所述用户密钥账号由所述客户服务端生成以向云端服务器确认客户身份,所述会话策略信息由所述客户服务端使用所述第一会话密钥加密所述访问控制列表得到,所述第一会话密钥为所述客户服务端持有的与所述云端服务器进行会话的会话密钥;
基于所述用户密钥账号和所述会话策略信息,对接收的所述云端服务请求信息的签名进行认证;
以及响应于所述认证通过,向所述用户端发送响应所述云端服务请求信息的第二响应信息。
12.根据权利要求11所述的云端服务器,其特征在于,所述云端服务器用于基于所述用户密钥账号和所述会话策略信息,对接收的所述云端服务请求信息的签名进行认证包括:
所述云端服务器用于基于所述用户密钥账号,验证所述客户身份;响应于所述客户身份通过验证,基于所述会话策略信息和第二会话密钥,得到第二临时密钥,其中,所述第二会话密钥为云端服务器持有的与所述客户服务端会话的会话密钥;使用所述第二临时密钥,计算所述云端服务请求信息的签名;比对接收的所述云端服务请求信息的签名与计算得到的云端服务请求信息的签名;响应于所述比对的结果相同,确定认证结果为认证通过。
13.根据权利要求12所述的云端服务器,其特征在于,所述云端服务器用于基于所述会话策略信息和所述第二会话密钥,得到第二临时密钥包括:
所述云端服务器用于使用所述第二会话密钥解密所述会话策略信息,得到所述访问控制列表;使用所述第二会话密钥对得到的所述访问控制列表进行签名,得到第二临时密钥。
14.一种认证系统,所述认证系统包括:用户端、客户服务端和云端服务器,其特征在于,所述认证系统包括:
用户端,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现:向所述客户服务端发送第一临时密钥的分配请求信息,所述分配请求信息携带用于验证用户身份的会话身份标识;接收所述客户服务端响应于用户身份通过验证发送的响应所述分配请求信息的第一响应信息,所述第一响应信息包括:用于向云端服务器确认客户身份的用户密钥账号,使用第一会话密钥签名用于描述用户权限的访问控制列表得到的第一临时密钥,以及使用所述第一会话密钥加密所述访问控制列表得到的会话策略信息,其中,所述第一会话密钥为客户服务端持有的与所述云端服务器会话的会话密钥;向所述云端服务器发送基于所述第一响应信息生成的云端服务请求信息,所述云端服务请求信息携带所述用户密钥账号、所述会话策略信息和使用所述第一临时密钥生成的所述云端服务请求信息的签名;
所述客户服务端,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现:接收所述分配请求信息,基于所述会话身份标识,对用户身份进行验证;以及响应于用户身份通过验证,生成响应所述分配请求信息的第一响应信息并向所述用户端发送所述第一响应信息;
所述云端服务器,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现:基于接收的所述用户密钥账号和所述会话策略信息,对接收的所述云端服务请求信息的签名进行认证,以及响应于所述认证通过,向所述用户端发送响应所述云端服务请求信息的第二响应信息。
15.根据权利要求14所述的认证系统,其特征在于,所述云端服务器用于基于接收的所述用户密钥账号和所述会话策略信息,对接收的所述云端服务请求信息的签名进行认证包括:
所述云端服务器用于基于所述用户密钥账号,验证所述客户身份;响应于所述客户身份通过验证,基于所述会话策略信息和第二会话密钥,得到第二临时密钥,其中,所述第二会话密钥为云端服务器持有的与所述客户服务端会话的会话密钥;使用所述第二临时密钥,计算所述云端服务请求信息的签名;比对接收的所述云端服务请求信息的签名与计算得到的所述云端服务请求信息的签名;以及响应于所述比对的结果相同,确定认证结果为认证通过。
16.根据权利要求15所述的认证系统,其特征在于,所述云端服务器用于基于所述会话策略信息和所述第二会话密钥,得到第二临时密钥包括:
所述云端服务器用于使用所述第二会话密钥解密所述会话策略信息,得到所述访问控制列表;使用所述第二会话密钥对得到的所述访问控制列表进行签名,得到第二临时密钥。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510471383.5A CN105007279B (zh) | 2015-08-04 | 2015-08-04 | 认证方法和认证系统 |
PCT/CN2015/095767 WO2017020452A1 (zh) | 2015-08-04 | 2015-11-27 | 认证方法和认证系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510471383.5A CN105007279B (zh) | 2015-08-04 | 2015-08-04 | 认证方法和认证系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105007279A CN105007279A (zh) | 2015-10-28 |
CN105007279B true CN105007279B (zh) | 2018-11-27 |
Family
ID=54379800
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510471383.5A Active CN105007279B (zh) | 2015-08-04 | 2015-08-04 | 认证方法和认证系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN105007279B (zh) |
WO (1) | WO2017020452A1 (zh) |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105376242A (zh) * | 2015-11-26 | 2016-03-02 | 上海斐讯数据通信技术有限公司 | 一种云终端数据访问的认证方法、系统及云终端的管理系统 |
US10951421B2 (en) * | 2016-11-28 | 2021-03-16 | Ssh Communications Security Oyj | Accessing hosts in a computer network |
CN106657152B (zh) * | 2017-02-07 | 2021-05-28 | 腾讯科技(深圳)有限公司 | 一种鉴权方法及服务器、访问控制装置 |
CN109426734A (zh) * | 2017-08-28 | 2019-03-05 | 阿里巴巴集团控股有限公司 | 一种访问方法、装置、系统及电子设备 |
CN110874464A (zh) * | 2018-09-03 | 2020-03-10 | 巍乾全球技术有限责任公司 | 用户身份认证数据的管理方法和设备 |
CN109995759B (zh) * | 2019-03-04 | 2022-10-28 | 平安科技(深圳)有限公司 | 一种物理机接入vpc的方法及相关装置 |
CN110430167B (zh) * | 2019-07-05 | 2021-11-16 | 浙江大华技术股份有限公司 | 临时账户的管理方法、电子设备、管理终端及存储介质 |
CN110401648A (zh) * | 2019-07-16 | 2019-11-01 | 宇龙计算机通信科技(深圳)有限公司 | 获取云服务的方法、装置、电子设备及介质 |
CN112242976B (zh) * | 2019-07-17 | 2022-02-25 | 华为技术有限公司 | 一种身份认证方法及装置 |
CN111177735B (zh) * | 2019-07-30 | 2023-09-22 | 腾讯科技(深圳)有限公司 | 身份认证方法、装置、系统和设备以及存储介质 |
CN110545285B (zh) * | 2019-09-17 | 2022-02-11 | 北京方研矩行科技有限公司 | 一种基于安全芯片的物联网终端安全认证方法 |
CN112579996B (zh) * | 2019-09-29 | 2023-11-03 | 杭州海康威视数字技术股份有限公司 | 临时授权方法及装置 |
CN113450095A (zh) * | 2020-03-24 | 2021-09-28 | 北京沃东天骏信息技术有限公司 | 标识配置的方法及装置 |
CN111818483B (zh) * | 2020-06-29 | 2022-02-11 | 郑州信大捷安信息技术股份有限公司 | 一种基于5g的v2v车联网通信系统及方法 |
CN111935094B (zh) * | 2020-07-14 | 2022-06-03 | 北京金山云网络技术有限公司 | 数据库访问方法、装置、系统及计算机可读存储介质 |
CN114079560B (zh) * | 2020-07-31 | 2024-05-07 | 中移(苏州)软件技术有限公司 | 一种通信加密方法及飞行器、计算机可读存储介质 |
CN111949974A (zh) * | 2020-08-04 | 2020-11-17 | 北京字节跳动网络技术有限公司 | 一种认证的方法、装置、计算机设备及存储介质 |
CN112003706B (zh) * | 2020-08-24 | 2023-07-18 | 北京字节跳动网络技术有限公司 | 一种签名的方法、装置、计算机设备及存储介质 |
CN112000951B (zh) * | 2020-08-31 | 2024-05-17 | 上海商汤智能科技有限公司 | 一种访问方法、装置、系统、电子设备及存储介质 |
CN112187725A (zh) * | 2020-09-03 | 2021-01-05 | 北京金山云网络技术有限公司 | 云计算资源的访问方法、装置、业务线服务和网关 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6275934B1 (en) * | 1998-10-16 | 2001-08-14 | Soft Book Press, Inc. | Authentication for information exchange over a communication network |
KR20080093331A (ko) * | 2007-04-16 | 2008-10-21 | 삼성전자주식회사 | 인증 방법 및 그 장치 |
CN101547095A (zh) * | 2009-02-11 | 2009-09-30 | 广州杰赛科技股份有限公司 | 基于数字证书的应用服务管理系统及管理方法 |
CN102984252A (zh) * | 2012-11-26 | 2013-03-20 | 中国科学院信息工程研究所 | 一种基于动态跨域安全令牌的云资源访问控制方法 |
CN104243452A (zh) * | 2014-08-20 | 2014-12-24 | 宇龙计算机通信科技(深圳)有限公司 | 一种云计算访问控制方法及系统 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102571771B (zh) * | 2011-12-23 | 2014-06-04 | 华中科技大学 | 一种云存储系统的安全认证方法 |
US9253185B2 (en) * | 2012-12-12 | 2016-02-02 | Nokia Technologies Oy | Cloud centric application trust validation |
US20140380417A1 (en) * | 2013-06-25 | 2014-12-25 | Alcatel Lucent | Methods And Devices For Controlling Access To Distributed Resources |
-
2015
- 2015-08-04 CN CN201510471383.5A patent/CN105007279B/zh active Active
- 2015-11-27 WO PCT/CN2015/095767 patent/WO2017020452A1/zh active Application Filing
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6275934B1 (en) * | 1998-10-16 | 2001-08-14 | Soft Book Press, Inc. | Authentication for information exchange over a communication network |
KR20080093331A (ko) * | 2007-04-16 | 2008-10-21 | 삼성전자주식회사 | 인증 방법 및 그 장치 |
CN101547095A (zh) * | 2009-02-11 | 2009-09-30 | 广州杰赛科技股份有限公司 | 基于数字证书的应用服务管理系统及管理方法 |
CN102984252A (zh) * | 2012-11-26 | 2013-03-20 | 中国科学院信息工程研究所 | 一种基于动态跨域安全令牌的云资源访问控制方法 |
CN104243452A (zh) * | 2014-08-20 | 2014-12-24 | 宇龙计算机通信科技(深圳)有限公司 | 一种云计算访问控制方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN105007279A (zh) | 2015-10-28 |
WO2017020452A1 (zh) | 2017-02-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105007279B (zh) | 认证方法和认证系统 | |
US11799668B2 (en) | Electronic identification verification methods and systems with storage of certification records to a side chain | |
CN109309565B (zh) | 一种安全认证的方法及装置 | |
CN109067539B (zh) | 联盟链交易方法、设备及计算机可读存储介质 | |
US9838205B2 (en) | Network authentication method for secure electronic transactions | |
CN109088889B (zh) | 一种ssl加解密方法、系统及计算机可读存储介质 | |
US20180234410A1 (en) | Apparatus and method for implementing composite authenticators | |
EP2954448B1 (en) | Provisioning sensitive data into third party network-enabled devices | |
CN107743133A (zh) | 移动终端及其基于可信安全环境的访问控制方法和系统 | |
CN108566381A (zh) | 一种安全升级方法、装置、服务器、设备和介质 | |
WO2018145127A1 (en) | Electronic identification verification methods and systems with storage of certification records to a side chain | |
US20170070353A1 (en) | Method of managing credentials in a server and a client system | |
CN108809633B (zh) | 一种身份认证的方法、装置及系统 | |
US20160241536A1 (en) | System and methods for user authentication across multiple domains | |
CN107918731A (zh) | 用于控制对开放接口进行访问的权限的方法和装置 | |
CN110189184B (zh) | 一种电子发票存储方法和装置 | |
US11909889B2 (en) | Secure digital signing | |
CN111131416A (zh) | 业务服务的提供方法和装置、存储介质、电子装置 | |
CN110149354A (zh) | 一种基于https协议的加密认证方法和装置 | |
CN110213195A (zh) | 一种登录认证方法、服务器及用户终端 | |
CN110049032A (zh) | 一种双向认证的数据内容加密方法及装置 | |
CN117081736A (zh) | 密钥分发方法、密钥分发装置、通信方法及通信装置 | |
CN110166471A (zh) | 一种Portal认证方法及装置 | |
CN113545004A (zh) | 具有减少攻击面的认证系统 | |
Robinson | Cryptography as a service |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |