CN107040501B - 基于平台即服务的认证方法和装置 - Google Patents
基于平台即服务的认证方法和装置 Download PDFInfo
- Publication number
- CN107040501B CN107040501B CN201610079965.3A CN201610079965A CN107040501B CN 107040501 B CN107040501 B CN 107040501B CN 201610079965 A CN201610079965 A CN 201610079965A CN 107040501 B CN107040501 B CN 107040501B
- Authority
- CN
- China
- Prior art keywords
- authentication server
- paas
- check code
- user authentication
- request message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Abstract
本发明实施例公开了一种基于PaaS的认证方法和装置,该方法包括:PaaS鉴权服务器接收用户认证服务器发送的第一请求消息,该第一请求消息用于请求用户认证服务器的校验码;该PaaS鉴权服务器对第一校验码进行加密得到加密后的第一校验码;该PaaS鉴权服务器向该用户认证服务器发送该加密后的第一校验码;该PaaS鉴权服务器接收该用户认证服务器发送的第二请求消息,该第二请求消息携带第二校验码;当该第一校验码与该第二校验码相同时,该PaaS鉴权服务器向该用户认证服务器发送第一访问令牌,能够提高应用程序访问PaaS资源安全性,也能够防止病毒的侵入和数据的丢失。
Description
技术领域
本发明涉及云计算领域,特别涉及云计算领域中基于平台即服务的认证方法和装置。
背景技术
随着网络技术的发展,云计算应用越来越普遍。云计算可以为用户提供共享的软硬件资源和信息,用户通过网络按需租用或订购云端的服务后,可以随时获取、按需使用、随时扩展等。云计算对用户设备要求较低,使用方便,可以轻松实现不同设备间的数据与应用的共享,节省了设备成本。云计算服务包括软件即服务(Software as a Service,简称“SaaS”)、平台即服务(Platform as a Service,简称“PaaS”)和基础架构即服务(Infrastructure as a Service简称“IaaS”),PaaS可以为应用程序提供快速、高效的服务。但随着云技术的不断成熟,近年来基于PaaS的应用呈现加速增长趋势,云端与移动终端结合应用逐渐普及,新的应用场景下包括PaaS平台以及云服务、独立软件开发商(Independent Software Vendors,简称“ISV”)和用户。PaaS平台提供PaaS资源;ISV以订购或租用的方式使用PaaS资源,并为最终用户提供完整的应用;最终用户从ISV间接使用PaaS资源。但是在新的应用场景下缺少统一认证的方法,导致用户通过ISV使用PaaS资源的安全性降低,进而导致数据丢失、病毒侵入等问题。
发明内容
本发明实施例提供的基于PaaS的认证方法和装置,可以增加用户访问PaaS资源的安全性。
第一方面,提供了一种基于PaaS的认证方法,该方法包括:PaaS鉴权服务器接收用户认证服务器发送的第一请求消息,该第一请求消息用于请求用户认证服务器的校验码;该PaaS鉴权服务器对第一校验码进行加密得到加密后的第一校验码;该PaaS鉴权服务器向该用户认证服务器发送该加密后的第一校验码;该PaaS鉴权服务器接收该用户认证服务器发送的第二请求消息,该第二请求消息携带第二校验码;当该第一校验码与该第二校验码相同时,该PaaS鉴权服务器向该用户认证服务器发送第一访问令牌,以便于该用户认证服务器管理的用户通过应用程序访问PaaS资源。
这样,PaaS鉴权服务器向用户认证服务器发送加密后的第一校验码,用户认证服务器对该加密后的第一校验码进行解密获得解密后的第二校验码,PaaS鉴权服务器对用户认证服务器发送的第二校验码进行认证,来确定用户认证服务器的身份,确定用户服务器的身份之后,向用户认证服务器发送第一访问令牌,第一访问令牌用于应用程序访问PaaS资源,能够对用户认证服务器的身份进行认证,进一步可以提高应用程序访问PaaS资源安全性,也能够防止病毒的侵入和数据的丢失等。
可选地,该PaaS鉴权服务器将向将加密之前的第一校验码加入到校验码集合,该校验码集合为该鉴权服务器向多个用户认证服务器发送的多个加密后的第一校验码加密之前的多个第一校验码组成的,当PaaS鉴权服务器接收到该用户认证服务器发送的第二校验码时,将该第二校验码与该校验码集合中的第一校验码进行比较,确定与第二校验码相同的第一校验码时,PaaS鉴权服务器向用户认证服务器发送第一访问令牌。
在第一方面的第一种可能的实现方式中,在该PaaS鉴权服务器向该用户认证服务器发送该第一访问令牌之后,该方法还包括:该PaaS鉴权服务器接收该应用程序发送的第二访问令牌;该PaaS鉴权服务器确定该第二访问令牌是否与该第一访问令牌相同;当该第二访问令牌与该第一访问令牌相同时,允许该应用程序访问该PaaS资源。
PaaS鉴权服务器在认证过用户认证服务器的身份之后,通过验证PaaS鉴权服务器接收到的应用程序的第二访问令牌与PaaS鉴权服务器发给用户认证服务器的第一访问令牌是否相同,来对应用程序的身份进行二次认证,进一步确保应用程序访问PaaS资源的安全性。
结合第一方面的上述可能的实现方式,在第一方面的第二种可能的实现方式中,在该PaaS鉴权服务器向该用户认证服务器发送加密后的第一校验码之前,该方法还包括:该PaaS鉴权服务器确定该用户认证服务器的优先级信息;根据该优先级信息确定向该用户认证服务器发送该加密后的第一校验码。若存在多个用户认证服务器的情况,当前PaaS资源访问拥堵时,PaaS鉴权服务器可以根据多个用户认证服务器的优先级确定用户认证服务器访问PaaS资源的先后顺序。
结合第一方面的上述可能的实现方式,在第一方面的第三种可能的实现方式中,在该PaaS鉴权服务器接收用户认证服务器发送的第一请求消息之后,该方法还包括:该PaaS鉴权服务器根据该第一请求消息确定该用户认证服务器是否具有访问该PaaS资源的权限,该第一请求消息携带该用户认证服务器的标识信息,该标识信息用于标识该用户认证服务器的身份;其中,该PaaS鉴权服务器向该用户认证服务器发送该加密后的第一校验码,包括:当该PaaS鉴权服务器确定该用户认证服务器具有访问该PaaS资源的权限时,该PaaS鉴权服务器向该用户认证服务器发送该加密后的第一校验码,当用户认证服务器购买或租用了PaaS资源后,用户认证服务器就具有访问PaaS资源的权限。
结合第一方面的上述可能的实现方式,在第一方面的第四种可能的实现方式中,该PaaS鉴权服务器对第一校验码进行加密得到加密后的第一校验码之前,该方法还包括:该PaaS鉴权服务器接收该用户认证服务器发送的公钥;其中,该PaaS鉴权服务器对第一校验码进行加密,包括:该PaaS鉴权服务器利用该公钥对该第一校验码进行加密。
结合第一方面的上述可能的实现方式,在第一方面的第五种可能的实现方式中,该PaaS鉴权服务器对第一校验码进行加密得到加密后的第一校验码之前,该方法还包括:该PaaS鉴权服务器生成该用户认证服务器的公钥;其中,该PaaS鉴权服务器对该第一校验码进行加密得到加密后的第一校验码,包括:该PaaS鉴权服务器利用该公钥对该第一校验码进行加密得到该加密后的第一校验码。
结合第一方面的上述可能的实现方式,在第一方面的第六种可能的实现方式中,PaaS鉴权服务器接收应用程序发送的第二访问令牌,包括:PaaS鉴权服务器接收PaaS资源服务器发送的第二访问令牌,第二访问令牌携带于该应用程序向该PaaS资源服务器发送的访问请求消息中,该PaaS资源服务器中保存该PaaS资源。
结合第一方面的上述可能的实现方式,在第一方面的第七种可能的实现方式中,该PaaS鉴权服务器与该用户认证服务器之间采用安全套接字层协议或传输层安全协议通信。
第二方面,提供了一种基于PaaS的认证方法,该方法包括:用户认证服务器向PaaS鉴权服务器发送第一请求消息,该第一请求消息用于请求该用户认证服务器的校验码;该用户认证服务器接收PaaS鉴权服务器发送的加密后的第一校验码;该用户认证服务器对该加密后的第一校验码进行解密获得第二校验码;该用户认证服务器向该PaaS鉴权服务器发送第二请求消息,该第二请求消息携带该第二校验码,以便于该PaaS鉴权服务器根据该第二校验码确定向该用户认证服务器发送第一访问令牌;该用户认证服务器接收该PaaS鉴权服务器发送的该第一访问令牌。用户认证服务器对该加密后的第一校验码正确解密后,则该第二校验码与该第一校验码相同。
在第二方面的第一种可能的实现方式中,该在该用户认证服务器向PaaS鉴权服务器发送第一请求消息之前,该方法还包括:该用户认证服务器接收应用程序发送的第三请求消息,该第三请求消息用于请求访问令牌;该用户认证服务器向PaaS鉴权服务器发送第一请求消息,包括:该用户认证服务器根据该第三请求消息向该PaaS鉴权服务器发送该第一请求消息;
结合第二方面的上述可能的实现方式,在第二方面的第二种可能的实现方式中,在该用户认证服务器接收该PaaS鉴权服务器发送的该第一访问令牌之后,该方法还包括:该用户认证服务器向该应用程序发送该第一访问令牌。
结合第二方面的上述可能的实现方式,在第二方面的第三种可能的实现方式中,在该用户认证服务器向PaaS鉴权服务器发送第一请求消息之前,该方法还包括:该用户认证服务器向该PaaS鉴权服务器发送该用户认证服务器的公钥;其中,该用户认证服务器接收PaaS鉴权服务器发送的加密后的第一校验码,包括:该用户认证服务器接收PaaS鉴权服务器发送的利用该公钥对第一校验码进行加密得到的该加密后的第一校验码;该用户认证服务器对该加密后的第一校验码进行解密获得第二校验码,包括:该用户认证服务器利用该用户认证服务器的私钥对该加密后的第一校验码进行解密获得该第二校验码。
结合第二方面的上述可能的实现方式,在第二方面的第四种可能的实现方式中,在该用户认证服务器向PaaS鉴权服务器发送第一请求消息之前,该方法还包括:该用户认证服务器接收该PaaS鉴权服务器发送的该用户认证服务器的私钥;其中,该用户认证服务器接收PaaS鉴权服务器发送的加密后的第一校验码,包括:该用户认证服务器接收PaaS鉴权服务器发送的利用公钥对第一校验码进行加密得到的该加密后的第一校验码;该用户认证服务器对该加密后的第一校验码进行解密获得第二校验码,包括:该用户认证服务器利用该私钥对该加密后的第一校验码进行解密获得该第二校验码。
结合第二方面的上述可能的实现方式,在第二方面的第五种可能的实现方式中,该用户认证服务器保存该应用程序的用户身份信息。
结合第二方面的上述可能的实现方式,在第二方面的第六种可能的实现方式中,该用户认证服务器对该应用程序采用中央认证服务、安全断言标记语言、开放身份认证中任意一种认证方法进行认证。
结合第二方面的上述可能的实现方式,在第二方面的第七种可能的实现方式中,该用户认证服务器与该PaaS鉴权服务器之间采用安全套接字层协议或传输层安全协议通信。
结合第二方面的上述可能的实现方式,在第二方面的第八种可能的实现方式中,该用户认证服务器与该应用程序之间采用安全套接字层协议或传输层安全协议通信。
第三方面,提供了一种基于PaaS的认证装置,用于执行上述第一方面或第一方面的任意可能的实现方式中的方法。具体地,该装置包括用于执行上述第一方面或第一方面的任意可能的实现方式中的方法的单元。
第四方面,提供了一种基于PaaS的认证装置,用于执行上述第二方面或第二方面的任意可能的实现方式中的方法。具体地,该装置包括用于执行上述第二方面或第二方面的任意可能的实现方式中的方法的单元。
第五方面,提供了一种基于PaaS的认证系统,该系统包括第三方面或第三方面任意可能的实现方式中的装置和第四方面或第四方面任意可能的实现方式中的装置。
在第五方面的第一种可能的实现方式中,该系统包括第三方面或第三方面任意可能的实现方式中的装置和第四方面或第四方面任意可能的实现方式中的装置可以同时部署在PaaS平台中。或者,第三方面或第三方面任意可能的实现方式中的装置部署于PaaS平台中,第四方面或第四方面任意可能的实现方式中的装置部署于ISV服务器中。
结合第五方面的上述可能的实现方式,在第五方面的第二种可能的实现方式中,该系统还包括:应用程序。
第六方面,提供了一种基于PaaS的认证装置,该装置包括:接收器、发送器、存储器、处理器和总线系统。其中,该接收器、该发送器、该存储器和该处理器通过该总线系统相连,该存储器用于存储指令,该处理器用于执行该存储器存储的指令,以控制接收器接收信号,并控制发送器发送信号,并且当该处理器执行该存储器存储的指令时,该执行使得该处理器执行第一方面或第一方面的任意可能的实现方式中的方法。
第七方面,提供了一种基于PaaS的认证装置,该装置包括:接收器、发送器、存储器、处理器和总线系统。其中,该接收器、该发送器、该存储器和该处理器通过该总线系统相连,该存储器用于存储指令,该处理器用于执行该存储器存储的指令,以控制接收器接收信号,并控制发送器发送信号,并且当该处理器执行该存储器存储的指令时,该执行使得该处理器执行第二方面或第二方面的任意可能的实现方式中的方法。
第八方面,提供了一种计算机可读介质,用于存储计算机程序,该计算机程序包括用于执行第一方面或第一方面的任意可能的实现方式中的方法的指令。
第九方面,提供了一种计算机可读介质,用于存储计算机程序,该计算机程序包括用于执行第二方面或第二方面的任意可能的实现方式中的方法的指令。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,显而易见地,下面所描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的应用场景示意图。
图2是根据本发明实施例的基于PaaS的认证方法示意图。
图3是根据本发明实施例的另一基于PaaS的认证方法示意图。
图4是根据本发明实施例的基于PaaS的认证装置示意图。
图5是根据本发明实施例的另一基于PaaS的认证装置示意图。
图6是根据本发明实施例的基于PaaS的认证系统示意图。
图7是根据本发明实施例的基于PaaS的认证装置示意图。
图8是根据本发明实施例的另一基于PaaS的认证装置示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都应属于本发明保护的范围。
PaaS平台是服务提供商为终端设备提供整体的服务平台,包括硬件的租赁以及一些测试环境的搭建。PaaS平台包括一些开发环境、测试环境、编程语言以及部署机制等。PaaS平台通常是针对开发测试人员以及企业中部署与管理方面的部门。
图1示出了本发明实施例的应用场景示意图,应用程序110用于通过ISV120访问PaaS平台中的PaaS资源,ISV120用于向PaaS平台130订购或租用PaaS资源,PaaS平台130用于接受ISV120的订购或租用,并向应用程序110提供PaaS资源,通常情况下,用户是通过该应用程序访问PaaS资源的。可选地,PaaS平台130可以包括PaaS鉴权服务器和PaaS资源服务器。可选地,ISV120可以包括ISV服务器和用户认证服务器,用户认证服务器可以对其管理的用户的身份进行认证,ISV120可以开发应用程序110,当用户需要通过应用程序110访问PaaS资源时,应用程序110向用户认证服务器发送请求消息来请求访问PaaS资源的访问令牌(Access Token)。
下面结合图2至图3对本发明实施例的基于PaaS的认证方法进行详细的说明。
图2示出了本发明实施例的基于PaaS的认证方法200,该方法200包括:
S201,用户认证服务器向PaaS鉴权服务器发送第一请求消息,该第一请求消息用于请求校验码;
S202,PaaS鉴权服务器接收到第一请求消息后,对第一校验码进行加密得到加密后的第一校验码;
S203,PaaS鉴权服务器对第一校验码进行加密得到加密后的第一校验码之后,向用户认证服务器发送该加密后的第一校验码;
S204,该用户认证服务器接收PaaS鉴权服务器发送的该加密后的第一校验码之后,该用户认证服务器对该加密后的第一校验码进行解密获得第二校验码;
S205,该用户认证服务器对该加密后的第一校验码进行解密获得第二校验码后,该用户认证服务器向该PaaS鉴权服务器发送第二请求消息,该第二请求消息携带该第二校验码;
S206,PaaS鉴权服务器确定第一校验码与该第二校验码是否相同;
S207,当该第一校验码与该第二校验码相同时,该PaaS鉴权服务器向该用户认证服务器发送第一访问令牌,以便于该用户认证服务器管理的用户通过应用程序访问PaaS资源。
具体而言,用户认证服务器向PaaS鉴权服务器发送第一请求消息,第一请求消息用于向PaaS鉴权服务器请求校验码。PaaS鉴权服务器接收到第一请求消息后,PaaS鉴权服务器向用户认证服务器发送对第一校验码进行加密得到的加密后的第一校验码,用户认证服务器接收PaaS鉴权服务器发送的加密后的第一校验码后,对该加密后的第一校验码进行解密获得第二校验码;然后用户认证服务器向PaaS鉴权服务器发送第二请求消息,第二请求消息用于请求第一访问令牌,第一访问令牌用于应用程序访问PaaS资源,并且第二请求消息携带第二校验码;当该第一校验码与该第二校验码相同时,PaaS鉴权服务器核实了用户认证服务器的身份,则该PaaS鉴权服务器向用户认证服务器发送第一访问令牌,以便于应用程序根据该第一访问令牌访问PaaS资源。这样,能够确保应用程序访问PaaS资源的安全,访问资源的安全性提高,也能够防止病毒的侵入和数据的丢失等。
当该第一校验码与该第二校验码不相同时,PaaS鉴权服务器确定该用户认证服务器的属于伪装身份,PaaS鉴权服务器拒绝向用户认证服务器发送第一访问令牌,防止伪装的用户认证服务器访问PaaS资源。
作为一个可选实施例,在S201,用户认证服务器向PaaS鉴权服务器发送第一请求消息之前,该方法200还包括:用户认证服务器接收应用程序发送的第三请求消息,用户认证服务器在接收到第三请求消息后根据第三请求消息向PaaS鉴权服务器发送第一请求消息。第三请求消息用于请求访问令牌,这里的访问令牌可以是第一访问令牌,也可以不是第一访问令牌,即应用程序在发送请求访问令牌的消息时,并不确定应用程序需要的是哪个访问令牌,所以应用程序请求的访问令牌可能是第一访问令牌也可能不是第一访问令牌,本发明实施例不作限制。
作为一个可选实施例,在S202,PaaS鉴权服务器接收到第一请求消息后,对第一校验码进行加密得到加密后的第一校验码之前,该方法200还包括:该用户认证服务器向该PaaS鉴权服务器发送该用户认证服务器的公钥;
S202,PaaS鉴权服务器接收到第一请求消息后,对第一校验码进行加密得到加密后的第一校验码,包括:PaaS鉴权服务器接收到第一请求消息后,对第一校验码利用该公钥进行加密得到加密后的第一校验码;
S204,该用户认证服务器对该加密后的第一校验码进行解密获得第二校验码,包括:该用户认证服务器利用该用户认证服务器的私钥对该加密后的第一校验码进行解密获得该第二校验码。
具体而言,用户认证服务器在租用或购买PaaS资源后,用户认证服务器生成一对密钥,密钥包括私钥和公钥,用户认证服务器将公钥发送给PaaS鉴权服务器,PaaS鉴权服务器接收到用户认证服务器发送的第一请求消息后,PaaS鉴权服务器利用该公钥对第一校验码进行加密得到加密后的第一校验码,PaaS鉴权服务器将该加密后的第一校验码发送给用户认证服务器之后,用户认证服务器利用私钥解密完成后,向PaaS鉴权服务器发送第二请求消息来请求第一访问令牌,并且将解密后的第二校验码携带在该第二请求消息中,PaaS鉴权服务器接收到该第二请求消息之后,对接收到的第二校验码和第一校验码进行比较,当第二校验码与第一校验码相同时,PaaS鉴权服务器确定用户认证服务器有权访问PaaS资源,并向用户认证服务器发送唯一的第一访问令牌,确保应用程序利用该第一访问令牌来访问PaaS资源。这样能保证密钥的安全性,即PaaS鉴权服务器并不知道用户认证服务器的解密的私钥,进一步保证了用户认证服务器身份的准确性。
应理解,PaaS鉴权服务器也可以生成一对密钥,密钥包括公钥和私钥,PaaS鉴权服务器将私钥发送给用户认证服务器,利用公钥对第一校验码进行加密得到加密后的第一校验码,用户认证服务器用PaaS鉴权服务器发送的私钥进行解密,这样PaaS鉴权服务器保存了私钥和公钥。
也应理解,上述的加密解密过程属于非对称加密的方法,在本发明实施例中也可以采用对称加密的方法,本发明实施例不限于此。
作为一个可选实施例,在S207,当该第一校验码与该第二校验码相同时,该PaaS鉴权服务器向该用户认证服务器发送第一访问令牌之后,该方法还包括:用户认证服务器接收该第一访问令牌,并向该应用程序发送该第一访问令牌,以便于应用程序该第一访问令牌访问PaaS资源。
作为一个可选实施例,该PaaS鉴权服务器接收应用程序发送的第二访问令牌,包括:该PaaS鉴权服务器接收该PaaS资源服务器发送的第二访问令牌,该第二访问令牌携带于该应用程序向该PaaS资源服务器发送的访问请求消息中。
作为一个可选实施例,在S207,该PaaS鉴权服务器向该用户认证服务器发送该第一访问令牌之后,该方法200还包括:该PaaS鉴权服务器接收应用程序发送的第二访问令牌;该PaaS鉴权服务器确定该第二访问令牌是否与该第一访问令牌相同;当该第二访问令牌与该第一访问令牌相同时,允许该应用程序PaaS资源。当该第二访问令牌与该第一访问令牌不相同时,禁止该应用程序PaaS资源。
应理解,PaaS鉴权服务器可以是发送一个访问令牌,接收到应用程序访发送的访问令牌后,与PaaS鉴权服务器向用户认证服务器发送的一个访问令牌进行比较,也可以是接收到应用程序发送的访问令牌与发送出去的多个访问令牌进行比较,本发明实施例不作限制。即PaaS鉴权服务器验证多个用户认证服务器的身份后,可以向多个用户认证服务器发送多个不同的访问令牌,即N个用户认证服务器对应N个不同的访问令牌。多个用户认证服务器中的每个用户认证服务器在接收到PaaS鉴权服务器的访问令牌后,每个用户认证服务器向其管理的用户使用的应用程序发送访问令牌,多个用户认证服务器中的第一用户认证服务器对应的应用程序接收到访问令牌后,携带访问令牌去访问PaaS资源,PaaS鉴权服务器根据第一用户认证服务器对应应用程序携带的访问令牌与N个访问令牌逐一进行比较,确定是否是PaaS鉴权服务器发送出去N个访问令牌中的一个,如果确定是是PaaS鉴权服务器发送出去N个访问令牌中的一个,则确定该应用程序有访问PaaS资源的权限。
作为一个可选实施例,在PaaS鉴权服务器接收到第一请求消息后,该方法200还包括:该PaaS鉴权服务器根据该第一请求消息确定该用户认证服务器是否具有访问该PaaS平台的权限;其中,该PaaS鉴权服务器向该用户认证服务器发送该加密后的第一校验码,包括:当该PaaS鉴权服务器确定该用户认证服务器具有访问该PaaS平台的权限时,该PaaS鉴权服务器向该用户认证服务器发送该加密后的第一校验码,即用户认证服务器是否在PaaS订购或租赁了该PaaS资源;当PaaS鉴权服务器确定用户认证服务器已经租赁或订购了该PaaS资源,确定用户认证服务器具有访问PaaS资源的权限,此时,PaaS鉴权服务器向用户认证服务器发送该加密后的第一校验码。
作为一个可选实施例,在S203,PaaS鉴权服务器向用户认证服务器发送该加密后的第一校验码之前,该方法200还包括:该PaaS鉴权服务器确定该用户认证服务器的优先级信息,根据该优先级信息确定向该用户认证服务器发送该加密后的第一校验码。即存在多个用户认证服务器时,多个用户认证服务器同时向PaaS鉴权服务器发送请求消息时,PaaS鉴权服务器可以根据多个用户认证服务器的优先级选择性地向用户认证服务器发送加密后的第一校验码,可以按优先级(如VIP等级)发送加密后的第一校验码,也可以当前PaaS资源的使用情况确定向特定的用户认证服务器发送加密后的第一校验码。
作为一个可选实施例,该用户认证服务器保存该应用程序的用户身份信息。这样能确保用户身份信息独立与PaaS平台存在,能够保证用户身份信息的安全性。
作为一个可选实施例,该用户认证服务器与该PaaS鉴权服务器之间采用安全套接字层(Secure Socket Layer,简称“SSL”)协议或传输层安全(Transport Layer Security,简称“TLS”)协议通信。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性,以实现客户端和服务器之间的安全通讯。SSL协议由SSL记录协议和SSL握手协议两层组成。TLS协议用于两个应用程序之间提供保密性和数据完整性。TLS协议由TLS记录协议和TLS握手协议两层组成。
作为一个可选实施例,该用户认证服务器与该应用程序之间采用SSL协议或TLS协议通信。
作为一个可选实施例,该方法200还包括:该用户认证服务器与该应用程序之间采用中央认证服务(Central Authentication Service简称“CAS”)、安全断言标记语言(Security Assertion Markup Language,简称“SAML”)、开放身份认证(Open Identity简称“OpenID”)中任意一种方式进行认证,即应用程序与用户认证服务器之间采用现有的认证方法进行认证。
在本发明实施例中,可以存在多个ISV,多个ISV中的每个ISV中包括一个用户认证服务器,即PaaS鉴权服务器可以认证多个用户认证服务器的身份,并认证多个用户认证服务器对应应用程序的身份,即PaaS鉴权服务器支持多租户(Multi-tenancy)的认证。
因此,本发明实施例提供的基于PaaS的认证方法,用户认证服务器购买或订购了PaaS资源之后,用户认证服务器生成一对密钥,用户认证服务器保存自己的私钥,并将公钥发送给PaaS鉴权服务器。应用程序需要访问PaaS资源时,向用户认证服务器发送第三请求消息,来请求访问令牌,用户认证服务器根据该第三请求消息,向PaaS鉴权服务器发送第一请求消息来请求校验码,此时,PaaS鉴权服务器首先验证该用户认证服务器是否购买或租用过PaaS资源,当确定该用户认证服务器已经订购或租用了PaaS资源之后,利用公钥对第一校验码进行加密获得加密后的第一校验码,然后将该加密后的第一校验码发送给用户认证服务器,用户认证服务器用私钥进行解密,解密完成后将解密后的第二校验码发送给PaaS鉴权服务器。PaaS鉴权服务器对第二校验码进行认证,来确定用户认证服务器的身份,确定用户服务器的身份之后,向用户认证服务器发送第一访问令牌,用户认证服务器将该第一访问令牌发送给应用程序,应用程序向PaaS资源服务器发送访问PaaS资源的访问消息,访问消息中携带该第一访问令牌,PaaS资源服务器接收到该访问消息后向PaaS鉴权服务器发送该第一访问令牌,当PaaS鉴权服务器确定PaaS资源服务器发送的第一访问令牌与PaaS鉴权服务器发送给用户认证服务器的第一访问令牌相同时,允许应用程序访问PaaS资源。PaaS鉴权服务器通过与用户认证服务器利用校验码进行第一级认证,认证用户认证服务器的身份,PaaS鉴权服务器对第一访问令牌进行第二级认证,两次认证能够确保应用程序访问PaaS资源的安全,利用用户认证服务器生成的公钥进行加密,私钥进行解密,能够保证私钥的隐秘性。用户认证服务器保存用户的身份信息,进一步确保用户的身份信息不会被PaaS平台中的其他用户窃取,能够提高PaaS资源访问的安全性,也能够防止病毒的侵入和数据的丢失等。
作为一个优选实施例,图3示出了本发明实施例的基于PaaS的认证方法300,该方法300包括:
S301,用户认证服务器向PaaS鉴权服务器发送公钥;
S302,应用程序向用户认证服务器发送第三请求消息,用于请求访问令牌;
S303,应用程序向用户认证服务器发送第三请求消息后,用户认证服务器向PaaS鉴权服务器发送第一请求消息,该第一请求消息用于请求校验码;
S304,PaaS鉴权服务器接收到第一请求消息后,该PaaS鉴权服务器根据第一请求消息确定该用户认证服务器是否具有访问PaaS资源的权限;
S305,当该用户认证服务器具有访问PaaS资源的权限时,该PaaS鉴权服务器向该用户认证服务器发送利用公钥对第一校验码进行加密得到的加密后的第一校验码;
S306,该用户认证服务器接收PaaS鉴权服务器发送的加密后的第一校验码后,该用户认证服务器利用私钥对该加密后的第一校验码进行解密获得第二校验码;
S307,该用户认证服务器对该加密后的第一校验码进行解密获得第二校验码后,该用户认证服务器向该PaaS鉴权服务器发送第二请求消息,该第二请求消息携带该第二校验码;
S308,当向该用户认证服务器发送的第一校验码与该第二校验码相同时,该PaaS鉴权服务器向该用户认证服务器发送该第一访问令牌。
S309,用户认证服务器接收到第一访问令牌后,向应用程序发送该第一访问令牌,以便于应用程序根据该第一访问令牌访问PaaS资源;
S310,应用程序向PaaS鉴权服务器发送第一访问令牌;
S311,PaaS鉴权服务器接收到应用程序发送的第一访问令牌后,PaaS鉴权服务器确定应用程序发送的第一访问令牌是否与PaaS鉴权服务器向用户认证服务器发送的第一访问令牌相同,当确定访问令牌相同时,允许应用程序访问PaaS资源。
具体而言,用户认证服务器订购或者租用PaaS资源后,向PaaS资源服务器提供公钥,应用程序需要访问PaaS资源时,向用户认证服务器发送第三请求消息,用来请求访问PaaS资源,用户认证服务器接收到第三请求消息后向PaaS鉴权服务器发送第一请求消息,向PaaS资源服务器请求校验码,PaaS资源服务器利用公钥对第一校验码进行加密得到加密后的第一校验码后,向用户认证服务器发送该加密后的第一校验码,用户认证服务器利用私钥对该加密后的第一校验码进行解密,并将解密后的第二校验码携带在第二请求消息中,来请求第一访问令牌,PaaS资源服务器对用户认证服务器发送的第二校验码进行验证,以确保用户认证服务器的身份,当确定第二校验码与第一校验码相同时,向用户认证服务器发送具有唯一访问资格的第一访问令牌,用户认证服务器将该第一访问令牌发送给应用程序,应用程序接收到该第一访问令牌时,向PaaS鉴权服务器发送该第一访问令牌,PaaS鉴权服务器对该第一访问令牌进行鉴定,确定该第一访问令牌与PaaS鉴权服务器向用户认证服务器发送的第一访问令牌是否相同,如果相同则确定应用程序具有访问PaaS资源的权限,通过PaaS鉴权服务器与用户认证服务器的第一级的校验码的认证和PaaS鉴权服务器与应用程序第二级的第一访问令牌的认证,这样,提高了资源访问的安全性,可以防止病毒的侵入和数据的丢失等。
应理解,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
上文中结合图2至图3,详细描述了根据本发明实施例的基于PaaS的认证方法,下面将结合图4至图8,详细描述根据本发明实施例的基于PaaS的认证装置和系统。
图4示出了本发明实施例提供的基于PaaS的认证装置400,该装置可以是PaaS鉴权服务器,该装置400包括:
接收模块410,用于接收用户认证服务器发送的第一请求消息,该第一请求消息用于请求用户认证服务器的校验码;
处理模块420,用于对该第一校验码进行加密得到加密后的第一校验码;
发送模块430,用于向该用户认证服务器发送加密后的第一校验码;
该接收模块410还用于:接收该用户认证服务器发送的第二请求消息,该第二请求消息携带第二校验码;
当该第一校验码与该第二校验码相同时,该发送模块430还用于向该用户认证服务器发送第一访问令牌,以便于该用户认证服务器管理的用户通过应用程序访问PaaS资源。
作为一个可选实施例,该接收模块410还用于:在向该用户认证服务器发送该第一访问令牌之后,接收该应用程序发送的第二访问令牌;该处理模块420还用于:确定该第二访问令牌是否与该第一访问令牌相同;当该第二访问令牌与该第一访问令牌相同时,允许该应用程序访问该PaaS资源。
作为一个可选实施例,该发送模块430还用于:在向该用户认证服务器发送加密后的第一校验码之前,确定该用户认证服务器的优先级信息,根据该优先级信息确定向该用户认证服务器发送该加密后的第一校验码。
作为一个可选实施例,该处理模块420还用于:在该接收模块410接收用户认证服务器发送的第一请求消息之后,根据该第一请求消息确定该用户认证服务器是否具有访问该PaaS资源的权限;该发送模块430具体用于:当该处理模块420确定该用户认证服务器具有访问该PaaS资源的权限时,向该用户认证服务器发送该加密后的第一校验码。
作为一个可选实施例,该接收模块410还用于:该处理模块420对第一校验码进行加密得到加密后的第一校验码之前,接收该用户认证服务器发送的公钥;该处理模块420具体还用于:利用该公钥对第一校验码进行加密得到加密后的第一校验码。
作为一个可选实施例,PaaS平台包括该装置400。
因此,本发明实施例提供的基于PaaS的认证装置,用户认证服务器生成一对密钥,用户认证服务器保存自己的私钥,该装置400接收用户认证服务器发送的公钥。该装置400接收用户认证服务器发送的第一请求消息,此时,该装置首先验证该用户认证服务器是否购买或租用过PaaS资源,当确定该用户认证服务器已经订购或租用了PaaS资源之后,利用公钥对第一校验码进行加密获得加密后的第一校验码,然后将该加密后的第一校验码发送给用户认证服务器,用户认证服务器用私钥对加密后的第一校验码进行解密得到第二校验码,该装置接收用户认证服务器发送的第二校验码。通过对第二校验码进行认证,来确定用户认证服务器的身份,确定用户服务器的身份之后,向用户认证服务器发送第一访问令牌,然后接收应用程序发送的第二访问令牌,应用程序发送的第二访问令牌与向用户认证服务器发送的第一访问令牌相同时,允许应用程序访问PaaS资源,通过与用户认证服务器利用校验码进行第一级认证,认证用户服务器的身份。进一步地,该装置400对第一访问令牌进行第二级认证,两次认证能够确保应用程序访问PaaS资源的安全,也能够防止病毒的侵入和数据的丢失等。
图5示出了本发明实施例提供的基于PaaS的认证装置500,该装置可以是用户认证服务器,如可以是ISV用户认证服务器,该装置500包括:
发送模块510,用于向PaaS鉴权服务器发送第一请求消息,该第一请求消息用于请求该用户认证服务器的校验码;
接收模块520,用于接收PaaS鉴权服务器发送的加密后的第一校验码;
处理模块530,用于对该加密后的第一校验码进行解密获得第二校验码;
该发送模块510还用于:向该PaaS鉴权服务器发送第二请求消息,所述第二请求消息携带所述第二校验码,以便于所述PaaS鉴权服务器根据所述第二校验码确定向该装置500发送第一访问令牌;
该接收模块520还用于:接收该PaaS鉴权服务器发送的该第一访问令牌。
作为一个可选实施例,该接收模块520还用于:在该发送模块510向PaaS鉴权服务器发送第一请求消息之前,接收应用程序发送的第三请求消息,该第三请求消息用于请求访问令牌;该发送模块510具体用于:根据该第三请求消息向该PaaS鉴权服务器发送该第一请求消息;该发送模块510还用于:在该接收模块520接收该PaaS鉴权服务器发送的该第一访问令牌之后,向该应用程序发送该第一访问令牌。
作为一个可选实施例,该发送模块510还用于:在该发送模块510向PaaS鉴权服务器发送第一请求消息之前,向该PaaS鉴权服务器发送该用户认证服务器的公钥;该接收模块520具体用于:接收PaaS鉴权服务器发送的利用该公钥对第一校验码进行加密得到的该加密后的第一校验码;该处理模块530具体用于:利用该装置的私钥对该加密后的第一校验码进行解密获得该第二校验码。
作为一个可选实施例,该装置500还包括:保存模块,用于保存该应用程序的用户身份信息。
作为一个可选实施例,ISV服务器包括该装置500。
因此,本发明实施例提供的基于PaaS的认证装置,该装置500确定一对密钥,该装置500保存自己的私钥,并将公钥发送给PaaS鉴权服务器。应用程序需要访问PaaS资源时,向该装置500发送第三请求消息,来请求访问令牌,该装置500根据该第三请求消息,向PaaS鉴权服务器发送第一请求消息来请求校验码,此时,PaaS鉴权服务器首先验证该装置500的身份,身份验证通过后,PaaS鉴权服务器利用公钥对第一校验码进行加密获得加密后的第一校验码,该装置500接收PaaS鉴权服务器发送的加密后的第一校验码,并利用私钥进行解密,解密完成后将解密后的第二校验码发送给PaaS鉴权服务器。PaaS鉴权服务器对第二校验码进行认证,认证完成后,接收PaaS鉴权服务器发送的第一访问令牌,该装置500将该第一访问令牌发送给应用程序,应用程序将该第一访问令牌发送给PaaS鉴权服务器,以便PaaS鉴权服务器对该第一访问令牌进行验证,认证通过时允许应用程序访问PaaS资源。通过校验码进行第一级认证,对第一访问令牌进行第二级认证,两次认证能够确保应用程序访问PaaS资源的安全,利用公钥进行加密,私钥进行解密,能够保证私钥的隐秘性。该装置500保存用户的身份信息,进一步确保用户的身份信息不会被PaaS平台中的其他用户窃取,能够提高PaaS资源访问的安全性,也能够防止病毒的侵入和数据的丢失等。
可选地,装置400可以部署在如图1所示的PaaS平台130中,装置500可以部署在如图1该的ISV120中;装置400和装置500也可以都部署在如图1的ISV120中,本发明实施例对此不作限制。
应理解,图4和图5描述的本发明实施例的装置能够实现上述方法的各个步骤,为避免重复,此处不再详述。
图6示出了本发明实施例提供的基于PaaS的认证系统600,如图所述该系统600包括,装置400、装置500和应用程序110。
图7示出了本发明实施例提供的基于PaaS的认证装置700,该装置700包括接收器710、处理器720、发送器730、存储器740和总线系统750。其中,接收器710、处理器720、发送器730和存储器740通过总线系统750相连,该存储器740用于存储指令,该处理器720用于执行该存储器740存储的指令,以控制该接收器710接收信号,并控制该发送器730发送指令。
其中,该接收器710用于接收用户认证服务器发送的第一请求消息,该第一请求消息用于请求用户认证服务器的校验码;该处理器720用于对第一校验码进行加密得到加密后的第一校验码;该发送器730用于向该用户认证服务器发送加密后的第一校验码;
该接收器710还用于:接收该用户认证服务器发送的第二请求消息,该第二请求消息携带第二校验码;
当该第一校验码与该第二校验码相同时,该发送器730还用于向该用户认证服务器发送第一访问令牌,以便于该用户认证服务器管理的用户通过应用程序访问PaaS资源。
作为一个可选实施例,该接收器710还用于:在向该用户认证服务器发送该第一访问令牌之后,接收该应用程序发送的第二访问令牌;该处理器720还用于:确定该第二访问令牌是否与该第一访问令牌相同;当该第二访问令牌与该第一访问令牌相同时,允许该应用程序访问该PaaS资源。
作为一个可选实施例,该发送器730还用于:在该发送器730向该用户认证服务器发送加密后的第一校验码之前,确定该用户认证服务器的优先级信息,根据该优先级信息确定向该用户认证服务器发送该加密后的第一校验码。
作为一个可选实施例,该处理器720还用于:在该接收器710接收用户认证服务器发送的第一请求消息之后,根据该第一请求消息确定该用户认证服务器是否具有访问该PaaS资源的权限;该发送器730具体用于:当该处理器720确定该用户认证服务器具有访问该PaaS资源的权限时,向该用户认证服务器发送该加密后的第一校验码。
作为一个可选实施例,该接收器710还用于:该处理器720对第一校验码进行加密得到加密后的第一校验码之前,接收该用户认证服务器发送的公钥;该处理器720具体还用于:利用该公钥对第一校验码进行加密得到加密后的第一校验码。
应理解,装置800可以具体为上述实施例中的PaaS鉴权服务器,并且可以用于执行上述方法实施例中与PaaS鉴权服务器对应的各个步骤和/或流程。可选地,该存储器740可以包括只读存储器和随机存取存储器,并向处理器提供指令和数据。存储器的一部分还可以包括非易失性随机存取存储器。例如,存储器还可以存储设备类型的信息。该处理器720可以用于执行存储器中存储的指令,并且该处理器执行该指令时,该处理器可以执行上述方法实施例中与PaaS鉴权服务器对应的各个步骤。
图8示出了本发明实施例提供的基于PaaS的认证装置800,该装置800包括接收器810、处理器820、发送器830、存储器840和总线系统850。其中,接收器810、处理器820、发送器830和存储器840通过总线系统850相连,该存储器840用于存储指令,该处理器820用于执行该存储器840存储的指令,以控制该接收器810接收信号,并控制该发送器830发送指令。
其中,该发送器830用于向PaaS鉴权服务器发送第一请求消息,该第一请求消息用于请求该用户认证服务器的第一校验码;接收器810用于接收PaaS鉴权服务器发送的加密后的第一校验码;处理器820用于对该加密后的第一校验码进行解密获得第二校验码;
该发送器830还用于向该PaaS鉴权服务器发送第二请求消息,该第二请求消息携带该第二校验码,以便于该PaaS鉴权服务器根据该第二校验码确定向该装置发送第一访问令牌;
该接收器810还用于接收该PaaS鉴权服务器发送的该第一访问令牌。
作为一个可选实施例,该接收器810还用于:在该发送器830向PaaS鉴权服务器发送第一请求消息之前,接收应用程序发送的第三请求消息,该第三请求消息用于请求访问令牌;该发送器830具体用于:根据该第三请求消息向该PaaS鉴权服务器发送该第一请求消息;该发送器830还用于:在该接收器810接收该PaaS鉴权服务器发送的该第一访问令牌之后,向该应用程序发送该第一访问令牌。
作为一个可选实施例,该发送器830还用于:在该发送器830向PaaS鉴权服务器发送第一请求消息之前,向该PaaS鉴权服务器发送该用户认证服务器的公钥;该接收器810具体用于:接收PaaS鉴权服务器发送的利用该公钥对第一校验码进行加密得到的该加密后的第一校验码;该处理器820具体用于:利用该装置800的私钥对该加密后的第一校验码进行解密获得该第二校验码。
作为一个可选实施例,存储器840用于存储该应用程序的用户身份信息。
应理解,装置800可以具体为上述实施例中的用户认证服务器,并且可以用于执行上述方法实施例中与用户认证服务器对应的各个步骤和/或流程。可选地,该存储器840可以包括只读存储器和随机存取存储器,并向处理器提供指令和数据。存储器的一部分还可以包括非易失性随机存取存储器。例如,存储器还可以存储设备类型的信息。该处理器820可以用于执行存储器中存储的指令,并且该处理器执行该指令时,该处理器可以执行上述方法实施例中与用户认证服务器对应的各个步骤。
应理解,图7和图8描述的本发明实施例的装置能够实现上述方法的各个步骤,为避免重复,此处不再详述。
应理解,在本发明实施例中,处理器可以是中央处理单元(Central ProcessingUnit,CPU),处理器还可以是其他通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本发明实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器执行存储器中的指令,结合其硬件完成上述方法的步骤。为避免重复,这里不再详细描述。
应理解,图7和图8描述的本发明实施例的装置能够实现上述中的方法的各个步骤,为避免重复,此处不再详述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例中描述的各方法步骤和单元,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各实施例的步骤及组成。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。本领域普通技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,简称为“ROM”)、随机存取存储器(Random Access Memory,简称为“RAM”)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (18)
1.一种基于平台即服务PaaS的认证方法,其特征在于,所述方法包括:
PaaS鉴权服务器接收用户认证服务器发送的第一请求消息,所述第一请求消息用于请求用户认证服务器的校验码;
所述PaaS鉴权服务器对第一校验码进行加密得到加密后的第一校验码;
所述PaaS鉴权服务器向所述用户认证服务器发送所述加密后的第一校验码;
所述PaaS鉴权服务器接收所述用户认证服务器发送的第二请求消息,所述第二请求消息携带第二校验码;
当所述第一校验码与所述第二校验码相同时,所述PaaS鉴权服务器向所述用户认证服务器发送第一访问令牌,以便于所述用户认证服务器管理的用户通过应用程序访问PaaS资源。
2.根据权利要求1所述的方法,其特征在于,在所述PaaS鉴权服务器向所述用户认证服务器发送所述第一访问令牌之后,所述方法还包括:
所述PaaS鉴权服务器接收所述应用程序发送的第二访问令牌;
所述PaaS鉴权服务器确定所述第二访问令牌是否与所述第一访问令牌相同;
当所述第二访问令牌与所述第一访问令牌相同时,允许所述应用程序访问所述PaaS资源。
3.根据权利要求1或2所述的方法,其特征在于,在所述PaaS鉴权服务器向所述用户认证服务器发送加密后的第一校验码之前,所述方法还包括:
所述PaaS鉴权服务器确定所述用户认证服务器的优先级信息;
根据所述优先级信息确定向所述用户认证服务器发送所述加密后的第一校验码。
4.根据权利要求1或2所述的方法,其特征在于,在所述PaaS鉴权服务器接收用户认证服务器发送的第一请求消息之后,所述方法还包括:
所述PaaS鉴权服务器根据所述第一请求消息确定所述用户认证服务器是否具有访问所述PaaS资源的权限,所述第一请求消息携带所述用户认证服务器的标识信息;
其中,所述PaaS鉴权服务器向所述用户认证服务器发送所述加密后的第一校验码,包括:
当所述PaaS鉴权服务器确定所述用户认证服务器具有访问所述PaaS资源的权限时,所述PaaS鉴权服务器向所述用户认证服务器发送所述加密后的第一校验码。
5.根据权利要求1或2所述的方法,其特征在于,所述PaaS鉴权服务器对第一校验码进行加密得到加密后的第一校验码之前,所述方法还包括:
所述PaaS鉴权服务器接收所述用户认证服务器发送的公钥;
其中,所述PaaS鉴权服务器对第一校验码进行加密得到加密后的第一校验码,包括:
所述PaaS鉴权服务器利用所述公钥对所述第一校验码进行加密得到所述加密后的第一校验码。
6.一种基于平台即服务PaaS的认证方法,其特征在于,所述方法包括:
用户认证服务器向PaaS鉴权服务器发送第一请求消息,所述第一请求消息用于请求所述用户认证服务器的校验码;
所述用户认证服务器接收PaaS鉴权服务器发送的加密后的第一校验码;
所述用户认证服务器对所述加密后的第一校验码进行解密获得第二校验码;
所述用户认证服务器向所述PaaS鉴权服务器发送第二请求消息,所述第二请求消息携带所述第二校验码,以便于所述PaaS鉴权服务器根据所述第二校验码确定向所述用户认证服务器发送第一访问令牌;
所述用户认证服务器接收所述PaaS鉴权服务器发送的所述第一访问令牌。
7.根据权利要求6所述的方法,其特征在于,在所述用户认证服务器向PaaS鉴权服务器发送第一请求消息之前,所述方法还包括:
所述用户认证服务器接收应用程序发送的第三请求消息,所述第三请求消息用于请求访问令牌;
所述用户认证服务器向PaaS鉴权服务器发送第一请求消息,包括:
所述用户认证服务器根据所述第三请求消息向所述PaaS鉴权服务器发送所述第一请求消息;
在所述用户认证服务器接收所述PaaS鉴权服务器发送的所述第一访问令牌之后,所述方法还包括:
所述用户认证服务器向所述应用程序发送所述第一访问令牌。
8.根据权利要求6或7所述的方法,其特征在于,在所述用户认证服务器向PaaS鉴权服务器发送第一请求消息之前,所述方法还包括:
所述用户认证服务器向所述PaaS鉴权服务器发送所述用户认证服务器的公钥;
其中,所述用户认证服务器接收PaaS鉴权服务器发送的加密后的第一校验码,包括:
所述用户认证服务器接收PaaS鉴权服务器发送的利用所述公钥对第一校验码进行加密得到的所述加密后的第一校验码;
所述用户认证服务器对所述加密后的第一校验码进行解密获得第二校验码,包括:
所述用户认证服务器利用所述用户认证服务器的私钥对所述加密后的第一校验码进行解密获得所述第二校验码。
9.根据权利要求7所述的方法,其特征在于,所述用户认证服务器保存所述应用程序的用户身份信息。
10.一种基于平台即服务PaaS的认证装置,其特征在于,所述装置包括:
接收模块,用于接收用户认证服务器发送的第一请求消息,所述第一请求消息用于请求用户认证服务器的校验码;
处理模块,用于对第一校验码进行加密得到加密后的第一校验码;
发送模块,用于向所述用户认证服务器发送所述加密后的第一校验码;
所述接收模块还用于:接收所述用户认证服务器发送的第二请求消息,所述第二请求消息携带第二校验码;
当所述第一校验码与所述第二校验码相同时,所述发送模块还用于向所述用户认证服务器发送第一访问令牌,以便于所述用户认证服务器管理的用户通过应用程序访问PaaS资源。
11.根据权利要求10所述的装置,其特征在于,所述接收模块还用于:在向所述用户认证服务器发送所述第一访问令牌之后,接收所述应用程序发送的第二访问令牌;
所述处理模块还用于:确定所述第二访问令牌是否与所述第一访问令牌相同;当所述第二访问令牌与所述第一访问令牌相同时,允许所述应用程序访问所述PaaS资源。
12.根据权利要求10或11所述的装置,其特征在于,所述发送模块还用于:
在所述发送模块向所述用户认证服务器发送所述加密后的第一校验码之前,确定所述用户认证服务器的优先级信息,根据所述优先级信息确定向所述用户认证服务器发送所述加密后的第一校验码。
13.根据权利要求10或11所述的装置,其特征在于,所述处理模块还用于:
在所述接收模块接收用户认证服务器发送的第一请求消息之后,根据所述第一请求消息确定所述用户认证服务器是否具有访问所述PaaS资源的权限,所述第一请求消息携带所述用户认证服务器的标识信息;
所述发送模块具体用于:当所述处理模块确定所述用户认证服务器具有访问所述PaaS资源的权限时,向所述用户认证服务器发送所述加密后的第一校验码。
14.根据权利要求10或11所述的装置,其特征在于,所述接收模块还用于:
所述处理模块对所述第一校验码进行加密得到加密后的第一校验码之前,接收所述用户认证服务器发送的公钥;
所述处理模块具体还用于:利用所述公钥对所述第一校验码进行加密得到所述加密后的第一校验码。
15.一种基于平台即服务PaaS的认证装置,其特征在于,所述装置包括:
发送模块,用于向PaaS鉴权服务器发送第一请求消息,所述第一请求消息用于请求所述装置的校验码;
接收模块,用于接收PaaS鉴权服务器发送的加密后的第一校验码;
处理模块,用于对所述加密后的第一校验码进行解密获得第二校验码;
所述发送模块还用于:向所述PaaS鉴权服务器发送第二请求消息,所述第二请求消息携带所述第二校验码,以便于所述PaaS鉴权服务器根据所述第二校验码确定向所述装置发送第一访问令牌;
所述接收模块还用于:接收所述PaaS鉴权服务器发送的所述第一访问令牌。
16.根据权利要求15所述的装置,其特征在于,所述接收模块还用于:
在所述发送模块向PaaS鉴权服务器发送第一请求消息之前,接收应用程序发送的第三请求消息,所述第三请求消息用于请求访问令牌;
所述发送模块具体用于:根据所述第三请求消息向所述PaaS鉴权服务器发送所述第一请求消息;
所述发送模块还用于:在所述接收模块接收所述PaaS鉴权服务器发送的所述第一访问令牌之后,向所述应用程序发送所述第一访问令牌。
17.根据权利要求15或16所述的装置,其特征在于,所述发送模块还用于:
在所述发送模块向PaaS鉴权服务器发送第一请求消息之前,向所述PaaS鉴权服务器发送所述装置的公钥;
所述接收模块具体用于:接收PaaS鉴权服务器发送的利用所述公钥对所述第一校验码进行加密得到的所述加密后的第一校验码;
所述处理模块具体用于:利用所述装置的私钥对所述加密后的第一校验码进行解密获得所述第二校验码。
18.根据权利要求16所述的装置,其特征在于,所述装置还包括:
保存模块,用于保存所述应用程序的用户身份信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610079965.3A CN107040501B (zh) | 2016-02-04 | 2016-02-04 | 基于平台即服务的认证方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610079965.3A CN107040501B (zh) | 2016-02-04 | 2016-02-04 | 基于平台即服务的认证方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107040501A CN107040501A (zh) | 2017-08-11 |
| CN107040501B true CN107040501B (zh) | 2020-01-31 |
Family
ID=59533002
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610079965.3A Active CN107040501B (zh) | 2016-02-04 | 2016-02-04 | 基于平台即服务的认证方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107040501B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107483465A (zh) * | 2017-08-30 | 2017-12-15 | 武汉斗鱼网络科技有限公司 | 验证请求的方法 |
| CN111654864B (zh) * | 2020-06-15 | 2023-05-26 | 河北幸福消费金融股份有限公司 | 二次鉴权方法及相关设备 |
| US11777944B2 (en) | 2021-06-29 | 2023-10-03 | International Business Machines Corporation | Scalable authentication management |
| CN114124401B (zh) * | 2021-11-02 | 2023-11-17 | 佛吉亚歌乐电子(丰城)有限公司 | 一种数据鉴权方法、装置、设备及存储介质 |
| CN114157482A (zh) * | 2021-12-02 | 2022-03-08 | 建信金融科技有限责任公司 | 一种业务访问控制方法、装置、控制设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101272260A (zh) * | 2007-03-21 | 2008-09-24 | 华为技术有限公司 | 业务鉴权的方法和通用业务订购管理设备及通信系统 |
| CN104184736A (zh) * | 2014-08-25 | 2014-12-03 | 四川九成信息技术有限公司 | 一种实现安全云计算的方法和系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9461996B2 (en) * | 2010-05-07 | 2016-10-04 | Citrix Systems, Inc. | Systems and methods for providing a single click access to enterprise, SAAS and cloud hosted application |
-
2016
- 2016-02-04 CN CN201610079965.3A patent/CN107040501B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101272260A (zh) * | 2007-03-21 | 2008-09-24 | 华为技术有限公司 | 业务鉴权的方法和通用业务订购管理设备及通信系统 |
| CN104184736A (zh) * | 2014-08-25 | 2014-12-03 | 四川九成信息技术有限公司 | 一种实现安全云计算的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107040501A (zh) | 2017-08-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10069806B2 (en) | Secure transfer and use of secret material in a shared environment | |
| EP3453136B1 (en) | Methods and apparatus for device authentication and secure data exchange between a server application and a device | |
| KR101904177B1 (ko) | 데이터 처리 방법 및 장치 | |
| EP3314809B1 (en) | Distributing an authentication key to an application installation | |
| US11102191B2 (en) | Enabling single sign-on authentication for accessing protected network services | |
| CN105007577B (zh) | 一种虚拟sim卡参数管理方法、移动终端及服务器 | |
| CN107040501B (zh) | 基于平台即服务的认证方法和装置 | |
| CN101841525A (zh) | 安全接入方法、系统及客户端 | |
| KR20200013764A (ko) | 제1 애플리케이션과 제2 애플리케이션 사이의 상호 대칭 인증을 위한 방법 | |
| US10516653B2 (en) | Public key pinning for private networks | |
| US9323911B1 (en) | Verifying requests to remove applications from a device | |
| CN113726774A (zh) | 客户端登录认证方法、系统和计算机设备 | |
| CN110856170B (zh) | 数据传输方法、装置及物联网通信系统 | |
| CN106992978B (zh) | 网络安全管理方法及服务器 | |
| CN110138558B (zh) | 会话密钥的传输方法、设备及计算机可读存储介质 | |
| KR20170017455A (ko) | 세션 키 및 인증 토큰에 기반한 상호 인증 장치들 간의 상호 인증 방법 및 상호 인증 장치들 | |
| CN104486322A (zh) | 终端接入认证授权方法及终端接入认证授权系统 | |
| CN110771087B (zh) | 私钥更新 | |
| US11170094B2 (en) | System and method for securing a communication channel | |
| CN113395249A (zh) | 客户端登录认证方法、系统和计算机设备 | |
| WO2017130200A1 (en) | System and method for securing a communication channel | |
| CN114024682A (zh) | 跨域单点登录方法、服务设备及认证设备 | |
| CN114595465A (zh) | 数据加密处理方法、装置及电子设备 | |
| CN111246480A (zh) | 基于sim卡的应用通信方法、系统、设备及存储介质 | |
| CN111404901A (zh) | 信息验证方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |