CN109600337A - 资源处理方法、装置、系统及计算机可读介质 - Google Patents
资源处理方法、装置、系统及计算机可读介质 Download PDFInfo
- Publication number
- CN109600337A CN109600337A CN201710914860.XA CN201710914860A CN109600337A CN 109600337 A CN109600337 A CN 109600337A CN 201710914860 A CN201710914860 A CN 201710914860A CN 109600337 A CN109600337 A CN 109600337A
- Authority
- CN
- China
- Prior art keywords
- resource
- interface
- cloud service
- authentication
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/564—Enhancement of application control based on intercepted application data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供了一种资源处理方法、装置、系统及计算机可读介质。一方面,当后台服务器根据接收到的资源处理指示进行识别,确定待处理资源;当待处理资源包括第二云服务提供的资源时,向所述第二接口发送资源处理请求,第二接口根据资源处理请求,向鉴权服务器发起用于访问第二云服务提供的资源的鉴权请求;鉴权服务器对访问第二云服务提供的资源进行鉴权,若鉴权通过,向第二接口返回鉴权通过消息;响应于鉴权通过消息,第二接口向后台服务器发送资源处理指示;响应于来自第二接口的资源处理指示,后台服务器对待处理资源进行处理。本发明实施例能够在一定程度上降低了设计复杂性、维护成本,提高了对云服务提供的资源的处理效率。
Description
【技术领域】
本发明涉及互联网技术领域,尤其涉及一种资源处理方法、装置、系统及计算机可读介质。
【背景技术】
目前,云服务的权限管理,一般是针对客户端调用云接口的场景,通过定义相应的授权策略,完成用户侧对云服务所提供的资源的访问权限进行管理。这种权限管理方式属于预授权方式,主要用于解决云服务提供者对用户的权限管理问题。
现有技术中,客户端可以使用接口发起对云服务A提供的资源的处理请求,如果使用该客户端的用户通过鉴权,后台服务器可以对该资源进行处理。但是,如果后台服务器在对云服务A的资源进行处理时,需要访问另外的两个云服务提供的资源,则客户端需要继续分别发起两次处理请求,并需要对用户进行分别两次鉴权,只有当鉴权全部通过时,才允许后台服务器访问另外的两个云服务提供的资源。这种场景下,还需要相应的对用户侧配置三套调用逻辑,因此设计复杂性和维护成本都比较高。而且,均需要用户侧的客户端发起这三次请求,降低了对云服务提供的资源的处理效率。
【发明内容】
有鉴于此,本发明实施例提供了一种资源处理方法、装置、系统及计算机可读介质,在一定程度上降低了设计复杂性、维护成本,提高了对云服务提供的资源的处理效率。
一方面,本发明实施例提供了一种资源处理方法,应用于包括接口设备、后台服务器和鉴权服务器的系统,在该系统中,所述接口设备配置有包括第一接口和第二接口在内的若干个接口,所述第一接口对应第一云服务,所述第二接口对应第二云服务;所述方法包括:
所述后台服务器获取来自所述第一接口的资源处理指示;
所述后台服务器根据所述资源处理指示进行识别,确定待处理资源;
当所述待处理资源包括所述第二云服务提供的资源时,所述后台服务器向所述第二接口发送资源处理请求,所述第二接口根据所述资源处理请求,向所述鉴权服务器发起用于访问所述第二云服务提供的资源的鉴权请求;
所述鉴权服务器响应于所述鉴权请求,对访问所述第二云服务提供的资源进行鉴权,若鉴权通过,向所述第二接口返回鉴权通过消息;
响应于所述鉴权通过消息,所述第二接口向所述后台服务器发送资源处理指示;
响应于来自所述第二接口的资源处理指示,所述后台服务器对所述待处理资源进行处理。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述后台服务器获取来自第一接口的第一资源处理指示之前,还包括:
所述第一接口响应于客户端发送的资源处理请求,向所述鉴权服务器发起用于访问所述第一云服务提供的资源的鉴权请求;
所述鉴权服务器响应于所述用于访问所述第一云服务提供的资源的鉴权请求,对访问所述第一云服务提供的资源进行鉴权,若鉴权通过,向所述第一接口返回鉴权通过消息;
响应于鉴权通过消息,所述第一接口向所述后台服务器发送资源处理指示。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述后台服务器向所述第二接口发送资源处理请求,包括:所述后台服务器向所述第二接口发送携带有所述第一云服务的签名信息、所述待处理资源所包括的且由所述第二云服务提供的资源的信息的资源处理请求;
所述第二接口根据所述资源处理请求,向所述鉴权服务器发起用于访问所述第二云服务提供的资源的鉴权请求,包括:所述第二接口向所述鉴权服务器发起携带有所述第一云服务的签名信息、所述待处理资源所包括的且由所述第二云服务提供的资源的信息以及所述第二接口的信息的鉴权请求;
所述鉴权服务器响应于所述鉴权请求,对访问所述第二云服务提供的资源进行鉴权,包括:所述鉴权服务器根据所述鉴权请求所携带的各信息,对所述访问所述第二云服务提供的资源进行鉴权。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述后台服务器向所述第二接口发送携带有所述第一云服务的签名信息、所述待处理资源所包括的且由所述第二云服务提供的资源的信息的资源处理请求,包括:所述后台服务器利用第一加密秘钥对所述资源处理请求携带的信息进行加密,并向所述第二接口发送资源处理请求,所述资源处理请求携带有加密后得到的信息;
所述第二接口向所述鉴权服务器发起携带有所述第一云服务的签名信息、所述待处理资源所包括的且由所述第二云服务提供的资源的信息以及所述第二接口的信息的所述鉴权请求,包括:所述第二接口利用第一解密秘钥对资源处理请求所携带的信息进行解密,如果解密成功,利用第二加密秘钥对解密后得到的信息进行加密,并向鉴权服务器发送鉴权请求,所述鉴权请求携带加密后得到的信息;
所述鉴权服务器根据所述鉴权请求所携带的各信息,对访问所述第二云服务提供的资源进行鉴权,包括:所述鉴权服务器利用第二解密秘钥对所述第二接口发送的鉴权请求中的信息进行解密,如果解密成功,基于解密后得到的信息对访问所述第二云服务提供的资源进行鉴权。
另一方面,本发明实施例还提供了一种资源处理方法,应用于包括接口设备、后台服务器和鉴权服务器的系统,在该系统中,所述接口设备配置有包括第一接口和第二接口在内的若干个接口,所述第一接口对应第一云服务,所述第二接口对应第二云服务;所述方法执行于所述后台服务器上;所述方法包括:
获取来自第一接口的资源处理指示;
根据所述资源处理指示进行识别,确定待处理资源;
当所述待处理资源包括所述第二云服务提供的资源时,向所述第二接口发送资源处理请求;
响应于来自所述第二接口的资源处理指示,对所述待处理资源进行处理。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,,当所述待处理资源包括所述第二云服务提供的资源时,向所述第二接口发送资源处理请求之前,还包括:
根据预设的云服务与资源的对应关系,获取所述待处理资源中每个资源对应的云服务;
判断获取的云服务是否包括第二云服务;
判断出获取的云服务包括第二云服务时,确定所述待处理资源包括所述第二云服务提供的资源。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,,向所述第二接口发送资源处理请求之前,还包括:生成第一云服务的签名信息;
所述资源处理请求携带所述第一云服务的签名信息、所述待处理资源所包括的且由所述第二云服务提供的资源的信息。
另一方面,本发明实施例还提供了一种资源处理方法,应用于包括接口设备、后台服务器和鉴权服务器的系统,在该系统中,所述接口设备配置有包括第一接口和第二接口在内的若干个接口,所述第一接口对应第一云服务,所述第二接口对应第二云服务;所述方法执行于所述鉴权服务器上,所述方法包括:
接收第二接口发送的用于访问所述第二云服务提供的资源的鉴权请求;
响应于所述鉴权请求,对访问所述第二云服务提供的资源进行鉴权;
若鉴权通过,向所述第二接口返回鉴权通过消息。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,,所述鉴权请求携带所述第一云服务的签名信息、所述待处理资源所包括的且由所述第二云服务提供的资源的信息以及所述第二接口的信息;
响应于所述鉴权请求,对访问所述第二云服务提供的资源进行鉴权,包括:
根据所述第二接口的信息、需要访问的第二云服务提供的资源以及本地存储的所述第一云服务的信息,生成所述第一云服务的签名信息;
将通过所述第二接口接收到的第一云服务的签名信息与自身生成的第一云服务的签名信息进行比对,若两个签名信息相同,确定鉴权通过。
本发明实施例还提供了一种资源处理系统,包括接口设备、后台服务器和鉴权服务器,所述接口设备配置有包括第一接口和第二接口在内的若干个接口,所述第一接口对应第一云服务,所述第二接口对应第二云服务;
所述后台服务器,用于获取来自所述第一接口的资源处理指示;
所述后台服务器,还用于根据所述资源处理指示进行识别,确定待处理资源;
当所述待处理资源包括所述第二云服务提供的资源时,所述后台服务器,还用于向所述第二接口发送资源处理请求;
所述第二接口,用于根据所述资源处理请求,向所述鉴权服务器发起用于访问所述第二云服务提供的资源的鉴权请求;
所述鉴权服务器,用于响应于所述鉴权请求,对访问所述第二云服务提供的资源进行鉴权,若鉴权通过,向所述第二接口返回鉴权通过消息;
响应于所述鉴权通过消息,所述第二接口,还用于向所述后台服务器发送资源处理指示;
响应于来自所述第二接口的资源处理指示,所述后台服务器,还用于对所述待处理资源进行处理。
另一方面,本发明实施例还提供了一种资源处理装置,应用于包括接口设备、后台服务器和鉴权服务器的系统,在该系统中,所述接口设备配置有包括第一接口和第二接口在内的若干个接口,所述第一接口对应第一云服务,所述第二接口对应第二云服务;所述装置位于所述后台服务器;所述装置包括:
接收单元,用于获取来自第一接口的资源处理指示;
资源识别单元,用于根据所述资源处理指示进行识别,确定待处理资源;
发送单元,用于当所述待处理资源包括所述第二云服务提供的资源时,向所述第二接口发送资源处理请求;
资源处理单元,用于响应于来自所述第二接口的资源处理指示,对所述待处理资源进行处理。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,,所述装置还包括:
资源判别单元,用于根据预设的云服务与资源的对应关系,获取所述待处理资源中每个资源对应的云服务;以及,判断获取的云服务是否包括第二云服务;以及,判断出获取的云服务包括第二云服务时,确定所述待处理资源包括所述第二云服务提供的资源。
另一方面,本发明实施例还提供了一种资源处理装置,应用于包括接口设备、后台服务器和鉴权服务器的系统,在该系统中,所述接口设备配置有包括第一接口和第二接口在内的若干个接口,所述第一接口对应第一云服务,所述第二接口对应第二云服务;所述装置位于所述鉴权服务器,所述装置包括:
接收单元,用于接收第二接口发送的用于访问所述第二云服务提供的资源的鉴权请求;
鉴权单元,用于响应于所述鉴权请求,对访问所述第二云服务提供的资源进行鉴权;
发送单元,用于若鉴权通过,向所述第二接口返回鉴权通过消息。
另一方面,本发明实施例还提供了一种计算机可读介质,包括:计算机可执行指令,当该计算机可执行指令被运行时执行以下步骤;
获取来自第一接口的资源处理指示;
根据所述资源处理指示进行识别,确定待处理资源;
当所述待处理资源包括所述第二云服务提供的资源时,向所述第二接口发送资源处理请求;
响应于来自所述第二接口的资源处理指示,对所述待处理资源进行处理。
另一方面,本发明还提供了一种计算机可读介质,包括:计算机可执行指令,当该计算机可执行指令被运行时执行以下步骤;
接收第二接口发送的用于访问所述第二云服务提供的资源的鉴权请求;
响应于所述鉴权请求,对访问所述第二云服务提供的资源进行鉴权;
若鉴权通过,向所述第二接口返回鉴权通过消息。
上述技术方案中的一个技术方案具有如下有益效果:
本发明实施例中,当后台服务器对第一云服务提供的资源进行处理的过程中,需要访问第二云服务提供的资源时,由后台服务器向该第二云服务对应的第二接口发起资源处理请求,以触发该第二接口向鉴权服务器发起对第一云服务访问第二云服务提供的资源进行鉴权,当鉴权通过时,通过该第二云服务对应的第二接口触发后台服务器进行资源处理。与现有技术相比,在对资源进行处理的过程中,如果需要访问其他云服务提供的资源,由后台服务器代为向其他云服务对应的接口发起资源处理请求,以触发鉴权服务器进行鉴权,避免了在用户侧配置多套调用逻辑,不需要用户侧再提供信息进行鉴权,因此降低了用户侧的客户端的设计复杂行和维护成本,而且在对资源进行处理的过程中,后台服务器可以识别出需要访问其他云服务提供的资源,因此后台服务器可以直接发起资源处理请求,避免再与客户端交互,以使客户端发起资源处理请求,因此,提高了资源处理效率。
【附图说明】
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1是本发明实施例所提供的技术方案所应用的系统的架构示例图;
图2是本发明实施例所提供的资源处理方法的交互流程示意图;
图3是本发明实施例所提供的资源处理方法的另一交互流程示意图;
图4是本发明实施例所提供的资源处理方法在后台服务器侧的流程示意图;
图5是本发明实施例所提供的资源处理方法在鉴权服务器侧的流程示意图;
图6是本发明实施例所提供的资源处理方法的一种实施方案的流程示例图;
图7是本发明实施例所提供的接口与鉴权服务器之间的身份验证方法的交互流程示例图;
图8是本发明实施例所提供的接口与后台服务器之间的身份验证方法的交互流程示例图;
图9是本发明实施例所提供的资源处理系统的结构示意图;
图10是本发明实施例所提供的资源处理装置的功能方块图;
图11是本发明实施例所提供的资源处理装置的另一功能方块图。
【具体实施方式】
为了更好的理解本发明的技术方案,下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
应当理解,本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
应当理解,尽管在本发明实施例中可能采用术语第一、第二等来描述云服务,但这些云服务不应限于这些术语。这些术语仅用来将云服务彼此区分开。例如,在不脱离本发明实施例范围的情况下,第一云服务也可以被称为第二云服务,类似地,第二云服务也可以被称为第一云服务。
取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
针对现有技术中当后台服务器对指定云服务提供的资源进行处理的过程中,需要访问其他云服务提供的资源时,需要用户侧分别发起资源处理请求,并进行分别鉴权所带来的设计复杂度和维护成本较高,以及处理效率较低的这一类问题,本发明实施例提供了相应的解决思路:当后台服务器对第一云服务提供的资源进行处理的过程中,需要访问第二云服务提供的资源时,由后台服务器向该第二云服务对应的第二接口发起资源处理请求,以触发该第二接口向鉴权服务器发起对第一云服务访问第二云服务提供的资源进行鉴权,当鉴权通过时,通过该第二云服务对应的第二接口触发后台服务器进行资源处理。
在该思路的引导下,本发明实施例提供了以下可行的实施方案。
请参考图1,其为本发明实施例所提供的技术方案所应用的系统的架构示例图,如图1所示,该系统包括接口设备、后台服务器、鉴权服务器、一个或者多个云服务。
如图1所示,在该系统中,所述接口设备配置有包括第一接口和第二接口在内的若干个接口,图1中仅以第一接口和第二接口为例进行示例,并不用于限定接口设备所包含的接口数量。其中,所述第一接口对应第一云服务,所述第二接口对应第二云服务,每个云服务可以有对应的一个或者多个接口,本发明实施例对此不进行特别限定。每个云服务对应的接口用于处理由用户侧或者后台服务器发起的对该云服务提供的资源的资源处理请求。在每个接口对收到的资源处理请求进行处理时,接口设备中的各接口作为接入层和流程控制器,用于负责该请求的处理流程,串起各操作流程,而各服务器分别与接口进行交互,以完成相应的操作和处理。在一种具体的实施方案中,本发明实施例中所涉及的接口可以为云应用程序编程接口(Application Programming Interface,API)。
需要说明的是,云服务是基于互联网的相关服务的增加、使用和交付模式,通过互联网来提供动态且易扩展且经常是虚拟化的资源。在一种可行的实施方案中,云服务可以通过云服务器所承载,云服务提供者通过云服务器发布云服务。其中,云服务所提供的资源属于云服务的一个组成部分。例如,云服务所提供的资源可以包括但不限于:云虚拟主机、内容分发网络(Content Delivery Network,CDN)、虚拟私有网络等,这里仅对云服务所提供的资源进行举例说明,并不用于限定云服务所提供的资源的类型和数目。
需要说明的是,云服务提供者主要负责通过云服务器发布自身能够提供的云服务,开发商指的是向云服务提供商进行注册并使用云服务提供的资源的用户,相当于是云服务提供的资源的使用者。云服务提供者同时也可以是开发商,即是其他云服务的用户,同理,开发商同时可以是云服务提供者,向其他用户提供云服务。
如图1所示,鉴权服务器用于响应各接口发送的鉴权请求,进行鉴权,并向发送鉴权请求的接口返回相应的鉴权结果。所述后台服务器用于响应于接口的资源处理指示,对资源进行处理,鉴于安全性考虑以及便于权限管理,并不是由客户端直接对云服务提供的资源进行操作和处理,而是由后台服务器代为执行操作和处理,因此,后台服务器是资源处理的真正执行者,用于对云服务提供的资源进行操作和处理。例如,对云服务提供的资源进行操作可以为申请云虚拟主机、修改云虚拟主机或者将若干云虚拟主机组成集群等,本领域技术人员可以理解,这里仅为举例说明,并不用于对资源的类型和操作类型进行限定。
基于图1所示的系统,本发明实施例给出一种资源处理方法,请参考图2,其为本发明实施例所提供的资源处理方法的交互流程示意图,如图所示,该方法包括以下步骤:
201、后台服务器获取来自第一接口的资源处理指示。
202、后台服务器根据资源处理指示进行识别,确定待处理资源。
203、当待处理资源包括第二云服务提供的资源时,后台服务器向第二接口发送资源处理请求,第二接口根据资源处理请求,向鉴权服务器发起用于访问第二云服务提供的资源的鉴权请求。
204、鉴权服务器响应于鉴权请求,对访问第二云服务提供的资源进行鉴权,若鉴权通过,向第二接口返回鉴权通过消息。
205、响应于鉴权通过消息,第二接口向后台服务器发送资源处理指示。
206、响应于来自第二接口的资源处理指示,后台服务器对待处理资源进行处理。
在一种可选的实施方案中,如图3所示,在步骤201之前,还可以包括以下步骤:
200a、第一接口响应于客户端发送的资源处理请求,向鉴权服务器发起用于访问第一云服务提供的资源的鉴权请求。
200b、鉴权服务器响应于用于访问第一云服务提供的资源的鉴权请求,对访问第一云服务提供的资源进行鉴权,若鉴权通过,向第一接口返回鉴权通过消息。
200c、响应于鉴权通过消息,第一接口向后台服务器发送资源处理指示。
其中,步骤200c在图3中与步骤201重合,因此图3中没有体现步骤200c。
针对步骤200a,本发明实施例提供了以下可行的实施方案:
在一个具体的实施方案中,客户端可以调用需要处理的第一云服务对应的第一接口,以向该第一接口发送资源处理请求,该资源处理请求携带以下信息:
客户端在调用第一接口时输入的用户的签名信息;以及,
请求处理的第一云服务所提供的资源的信息。
可以理解的是,本发明实施例中客户端或者后台服务器,可以通过调用接口,实现向接口发送相关请求,两种描述的意思相同。
进一步的,第一接口响应于客户端发送的资源处理请求,根据该资源处理请求携带的、客户端在调用第一接口时输入的用户的签名信息、以及请求处理的第一云服务所提供的资源的信息,生成用于访问第一云服务提供的资源的鉴权请求。该鉴权请求携带以下信息:
客户端在调用第一接口时输入的用户的签名信息;
请求处理的第一云服务所提供的资源的信息;以及,
第一接口的信息。
需要说明的是,请求处理的第一云服务所提供的资源的信息可以包含请求处理的第一云服务所提供的资源的标识信息以及请求对该资源进行的具体处理方式。例如,资源是第一云服务所提供的某指定云虚拟主机,具体处理方式从云虚拟主机中读取某数据。或者,又例如,资源是第一云服务所提供的若干指定云虚拟主机,具体处理方式是将若干云虚拟主机组成集群。
针对步骤200b,本发明实施例提供了以下可行的实施方案:
在一种可行的实施方案中,鉴权服务器响应于第一接口发送的用于访问第一云服务提供的资源的鉴权请求,根据该鉴权请求所携带的请求处理的第一云服务所提供的资源的信息、第一接口的信息以及本地存储的用户信息,生成用户的签名信息。然后,鉴权服务器将自身生成的用户的签名信息与该鉴权请求中携带的用户的签名信息进行比对,如果比对结果是两个签名信息相同,则确定鉴权通过,说明客户端具有对第一云服务提供的该资源的访问权限,鉴权服务器向第一接口返回鉴权通过消息。相反的,如果比对结果是两个签名不相同,则确定鉴权没通过,说明客户端不具有对第一云服务提供的该资源的访问权限,鉴权服务器向第一接口返回鉴权失败消息。
针对步骤200c,本发明实施例提供了以下可行的实施方案:
在一种可行的实施方案中,第一接口响应于鉴权服务器返回的鉴权通过消息,向后台服务器发送资源处理指示,以使得后台服务器对客户端所请求的第一云服务提供的资源进行处理。其中,该资源处理指示中可以携带请求处理的第一云服务所提供的资源的信息,以便于后台服务器根据该信息,对指定资源进行指定处理。
在另一种可行的实施方案中,第一接口响应于鉴权服务器返回的鉴权失败消息,向客户端返回鉴权失败指示,客户端进一步根据鉴权失败指示向用户提示鉴权失败,本次客户端对第一云服务提供的资源的访问流程结束。
针对步骤202,本发明实施例提供了以下可行的实施方案:
本发明实施例中,对后台服务器何时通过接口发起鉴权请求,提供了以下两种可行的实施方案:
第一种、后台服务器接收到来自第一接口的资源处理指示之后,可以先根据资源处理指示进行识别,确定待处理资源,当待处理资源还包含除第一云服务提供的资源以外的其他云服务提供的资源时,可以先对访问其他云服务提供的资源,通过相应的接口向鉴权服务器发起鉴权请求,当后台服务器得到所有资源对应的鉴权通过消息时,才开始进行资源处理。
也即,后台服务器可以在对资源进行处理之前,先获取对各资源的访问权限。
第二种、后台服务器接收到来自第一接口的资源处理指示之后,先对第一云服务提供的资源进行处理,在处理过程中,如果发现即将处理的资源不属于第一云服务,而是属于第二云服务,则后台服务器可以对第二云服务提供的资源,通过相应的接口向鉴权服务器发起鉴权请求,当后台服务器得到鉴权通过消息时,才开始进行第二云服务提供的资源的处理,然后执行完对第二云服务提供的资源的处理之后,还可以继续对第一云服务提供的资源进行处理,或者发起针对其他云服务的鉴权请求。
也即,后台服务器可以在检测到需要访问其他云服务提供的资源时,才获取对该资源的访问权限。
后台服务器接收到来自第一接口的资源处理指示之后,根据该资源处理指示中携带的请求处理的第一云服务所提供的资源的信息,对该第一云服务所提供的资源进行处理时,该资源响应该处理,如果需要访问其他资源,后台服务器可以获取该资源返回的需要访问其他资源的请求,基于该请求,后台服务器可以确定待处理资源。
例如,客户端请求处理第一云服务提供的虚拟私有网络,后台服务器需要从虚拟私有网络读取指定数据,然而,虚拟私有网络响应于后台服务器的数据读取请求后,发现需要获取某云虚拟主机的安全组信息才能完成数据读取任务,而获取某云虚拟主机的安全组信息时,会涉及到云虚拟主机以及安全组,因此虚拟私有网络向后台服务器返回这两种资源的信息,后台服务器根据返回的信息,确定待处理资源包含某云虚拟主机和该云虚拟主机的安全组。
进一步的,在一种可行的实施方案中,后台服务器在确定待处理资源之后,基于待处理资源中包含的一个或多个资源,并根据预设的云服务与资源的对应关系,获取待处理资源中每个资源对应的云服务。然后,后台服务器判断获取的云服务是否包括第二云服务,也即,是否包括除第一云服务以外的其他云服务。如果后台服务器判断出获取的云服务包括第二云服务,后台服务器确定待处理资源包括第二云服务提供的资源,也即,待处理资源中包含除第一云服务提供的资源以外的其他资源,然后执行步骤203。相反,如果后台服务器判断出获取的云服务都是第一云服务,后台服务器确定待处理资源不包括第二云服务提供的资源,也即,待处理资源中只包含第一云服务提供的资源。
本发明实施例中,如果待处理资源中只包含第一云服务提供的资源,后台服务器可以继续对待处理资源进行处理,直至待处理资源的所有处理都完成后,向第一接口返回处理结果,以使所述第一接口将处理结果返回给客户端。
针对步骤203,本发明实施例提供了以下可行的实施方案:
在一种可行的实施方案中,当后台服务器确定待处理资源包括第二云服务提供的资源时,后台服务器向第二接口发送资源处理请求。该资源处理请求携带所述第一云服务的签名信息、所述待处理资源所包括的且由所述第二云服务提供的资源的信息。其中,所述第一云服务的签名信息可以预先配置在后台服务器中,或者,也可以由后台服务器根据需求临时生成,本发明实施例中对此不进行特别限定。
进一步的,第二接口根据后台服务器发送的资源处理请求,向鉴权服务器发起用于访问第二云服务提供的资源的鉴权请求。其中,该鉴权请求携带有第一云服务的签名信息、待处理资源所包括的且由第二云服务提供的资源的信息以及第二接口的信息。在一种可行的实施方案中,第二接口可以从资源处理请求中提取其中的信息,然后基于提取的信息与自身的信息,生成该鉴权请求,并发送至鉴权服务器。
在一种具体的实施方案中,考虑到后台服务器与第二接口之间的安全性,后台服务器可以通过内网接口调用第二接口。
可以理解的是,本发明实施例中,由客户端发起对第一云服务提供的资源的资源处理请求,但是后台服务器对第一云服务提供的该资源进行处理的过程中,如果该资源响应该处理,该资源需要访问其他云服务提供的资源,本发明实施例中称为第二云服务提供的资源,此时,后台服务器代为发起第二云服务提供的资源的资源处理请求,而不是由客户端发起第二云服务提供的资源的资源处理请求。此时,第二云服务提供的资源的使用者相当于是第一云服务,因此,第一云服务不是一个普通开发商(即使用者,普通开发商是用户),而是一个超级开发商。超级开发商具有自身所提供的云服务对应的接口以及资源的访问权限,也可以授予其他云服务提供者对自身提供的云服务的资源和接口的访问权限,也可以被其他云服务提供者授予访问其他云服务提供商提供的资源和接口的权限,实现了云服务之间的权限互通,以及接口之间的权限互通。基于此,后台服务器向第二接口发起资源处理请求时,携带的是第一云服务的签名信息。相应的,第二接口向鉴权服务器发起鉴权请求时,也携带有第一云服务的签名信息,用于发起对第二云服务提供的资源的访问请求。相应的,鉴权服务器接收到的是第一云服务的签名信息,也是基于该第一云服务的签名信息,对第一云服务对第二云服务提供的资源的访问权限进行鉴权。
针对步骤204,本发明实施例提供了以下可行的实施方案:
在一种可行的实施方案中,鉴权服务器响应于第二接口发送的用于访问第二云服务提供的资源的鉴权请求,根据该鉴权请求所携带的请求处理的第二云服务所提供的资源的信息、第二接口的信息以及本地存储的第一云服务的信息,生成用户的签名信息。然后,鉴权服务器将自身生成的用户的签名信息与该鉴权请求中携带的用户的签名信息进行比对;如果比对结果是两个签名信息相同,则确定鉴权通过,说明第一云服务具有对第二云服务提供的该资源的访问权限,鉴权服务器向第二接口返回鉴权通过消息。相反的,如果比对结果是两个签名不相同,则确定鉴权没通过,说明第一云服务不具有对第二云服务提供的该资源的访问权限,鉴权服务器向第二接口返回鉴权失败消息。
在一种具体的实施方案中,鉴权服务器生成签名信息时,可以根据从预设的该第一云服务的策略信息中获取第一云服务的信息,并基于获得的第一云服务的信息,得到第一云服务的签名信息。
例如,第一云服务的策略信息可以如表1所示。
表1
举例说明,如表1所示,授权者为第二云服务,也即,访问的是第二云服务提供的资源。可访问的接口指的是第一云服务可以调用的与第二云服务对应的接口,如第二云服务的云API(X)和云API(F)。云API(X)和云API(F)可以是第二云服务对应的所有接口,或者也可以使第二云服务对应的部分接口。可处理的资源指的是第一云服务可以访问第二云服务所提供的哪些资源;条件指的是第一云服务访问第二云服务提供的指定资源时需要具备哪些条件,如资源的处理时间和次数等;效力指的是被授权者对于可调用的接口和可处理的资源的权限是否有效,如果效力是允许,则当前允许被授权者调用策略信息中定义的接口以及相应的资源,如果效力是不允许,则当前不允许被授权者调用策略信息中定义的接口以及相应的资源。
需要说明的是,第一云服务对第二云服务的资源如果具有访问权限,则是因为在权限管理的预授权阶段对第一云服务进行了授权,授权之后,鉴权服务器可以存储第一云服务的策略信息,后续用于生成签名信息并进行鉴权。相反,如果不具有访问权限,则是因为在权限管理的预授权阶段没有对第一云服务进行了授权,或者授权的资源中没有第二云服务提供的资源,或者授权的接口中没有用于发送资源处理请求的接口等,如此,鉴权服务器存储的第一云服务的策略信息在生成签名信息时,与接收到的第一云服务的签名信息不一致,无法通过鉴权。
在一种可选的实施方案中,可以在鉴权服务器中预先配置接口白名单,当鉴权服务器接收到第二接口发送的鉴权请求时,先根据其携带的第二接口的信息,判断第二接口是否属于接口白名单,如果属于,鉴权服务器可以对鉴权请求进行响应,执行上述鉴权。相反的,如果不属于,鉴权服务器可以不对鉴权请求进行响应,或者,也可以向第二接口返回身份不合法的通知消息。
针对步骤205,本发明实施例提供了以下可行的实施方案:
在一种可行的实施方案中,第二接口响应于鉴权服务器返回的鉴权通过消息,向后台服务器发送资源处理指示,以使得后台服务器对所请求的第二云服务提供的资源进行处理。其中,该资源处理指示中可以携带请求处理的第二云服务所提供的资源的信息,以便于后台服务器根据该信息,对指定资源进行指定处理。
在另一种可行的实施方案中,第二接口响应于鉴权服务器返回的鉴权失败消息,向客户端返回鉴权失败指示,客户端进一步根据鉴权失败指示向用户提示鉴权失败,本次第一云服务对第二云服务提供的资源的访问流程结束。
针对步骤206,本发明实施例提供了以下可行的实施方案:
在一种可行的实施方案中,响应于来自第二接口的资源处理指示,后台服务器对待处理资源进行处理。
需要说明的是,由于第二接口对应第二云服务,如果从第二接口接收到资源处理指示,后台服务器获知可以对第二云服务所提供的资源进行处理,因此,响应于该资源处理指示,后台服务器可以对第二云服务所提供的资源进行处理,并在对第二云服务所提供的资源进行处理完成之后,继续对第一云服务提供的资源进行处理。
针对后台服务器向第二接口发送携带有第一云服务的签名信息、待处理资源所包括的且由第二云服务提供的资源的信息的资源处理请求,在一种具体的实施方案中,后台服务器可以利用第一加密秘钥对资源处理请求携带的信息进行加密,并向第二接口发送资源处理请求,资源处理请求携带有加密后得到的信息。
相应的,针对第二接口向鉴权服务器发起携带有第一云服务的签名信息、待处理资源所包括的且由第二云服务提供的资源的信息以及第二接口的信息的鉴权请求,在一种具体的实施方案中,第二接口利用第一解密秘钥对资源处理请求所携带的信息进行解密,如果解密成功,利用第二加密秘钥对解密后得到的信息进行加密,也即,利用第二加密秘钥对第二接口的信息以及解密后得到的信息进行加密,并向鉴权服务器发送鉴权请求,所述鉴权请求携带加密后得到的信息。
需要说明的是,本发明实施例中,后台服务器与各云服务对应的接口之间的交互信息,可以通过加密和解密手段来保证信息的基本安全性。后台服务器与各接口之间可以预先建立互信机制,通过互信机制确定加密秘钥以及对应的解密秘钥。如此,后台服务器在向第二接口发送的资源处理请求中各信息可以经过加密处理,相应的,第二接口对接收到的资源处理请求中的信息进行解密处理,如果能够解密成功,说明双方已经建立了互信机制,信息具有一定的安全性保障。
相应的,针对鉴权服务器根据鉴权请求所携带的各信息,对访问第二云服务提供的资源进行鉴权,在一种具体的实施方案中,鉴权服务器可以利用第二解密秘钥对第二接口发送的鉴权请求中的信息进行解密,如果解密成功,基于解密后得到的信息对访问第二云服务提供的资源进行鉴权。
需要说明的是,本发明实施例中,各云服务对应的接口与鉴权服务器之间的交互信息,可以通过加密和解密手段来保证信息的基本安全性。各接口与鉴权服务器之间可以预先建立互信机制,通过互信机制确定加密秘钥以及对应的解密秘钥。如此,第二接口向鉴权服务器发送的各信息可以经过加密处理,相应的,鉴权服务器对接收到的鉴权请求中的信息进行解密处理,如果能够解密成功,说明双方已经建立了互信机制,信息具有一定的安全性保障。
此外,需要说明的是,在步骤200a至步骤200c中,所涉及的第一接口与鉴权服务器之间的信息交互、第一接口与后台服务器之间的信息交互,也可以使用上述互信机制,并在交互过程中使用加密和解密手段来保障信息安全性,这里不再赘述。
请参考图4,其为本发明实施例所提供的资源处理方法在后台服务器侧的流程示意图,如图所示,该方法包括以下步骤:
401、获取来自第一接口的资源处理指示。
402、根据所述资源处理指示进行识别,确定待处理资源。
步骤402的具体实施方案可以参考针对步骤202的相关描述,这里不再赘述。
403、当所述待处理资源包括所述第二云服务提供的资源时,向所述第二接口发送资源处理请求。
步骤403的具体实施方案可以参考针对步骤203的相关描述,这里不再赘述。
404、响应于来自所述第二接口的所述资源处理指示,对所述待处理资源进行处理。
步骤404的具体实施方案可以参考针对步骤206的相关描述,这里不再赘述。
请参考图5,其为本发明实施例所提供的资源处理方法在鉴权服务器侧的流程示意图,如图所示,该方法包括以下步骤:
501、接收第二接口发送的用于访问所述第二云服务提供的资源的鉴权请求。
步骤501的具体实施方案可以参考针对步骤204的相关描述,这里不再赘述。
502、响应于所述鉴权请求,对访问所述第二云服务提供的资源进行鉴权。
步骤502的具体实施方案可以参考针对步骤204的相关描述,这里不再赘述。
503、若鉴权通过,向所述第二接口返回鉴权通过消息。
步骤503的具体实施方案可以参考针对步骤204的相关描述,这里不再赘述。
请参考图6,其为本发明实施例所提供的资源处理方法的一种实施方案的流程示例图,本实施例中,以云服务A、云服务A对应的云API(X)云服务B、云服务B对应的云API(Y)为例,对本发明实施例所提供的资源处理方法进行举例说明。
601、客户端向云服务A对应的云API(X)发送资源处理请求,其中携带用户的签名信息、云服务A提供的资源的信息。
602、云API(X)响应于客户端发送的资源处理请求,向鉴权服务器发送鉴权请求,其中携带用户的签名信息、云服务A提供的资源的信息以及云API(X)的信息。
603、鉴权服务器响应于来自云API(X)的鉴权请求,对客户端访问云服务A提供的资源进行鉴权,如果鉴权通过,执行步骤604。如果鉴权失败,向云API(X)返回鉴权失败消息,需要说明的是,本实施例以鉴权通过为例进行举例说明,因此鉴权失败的流程图6中没有示出。
鉴权服务器根据鉴权请求所携带的云服务A提供的资源的信息、云API(X)的信息以及本地存储的用户信息,生成用户的签名信息。然后将自身生成的用户的签名信息与鉴权请求中携带的用户的签名信息进行比对,如果比对结果是两个签名信息相同,则确定鉴权通过,说明客户端具有对云服务A提供的该资源的访问权限,然后执行步骤604。相反的,如果比对结果是两个签名不相同,则确定鉴权没通过,说明客户端不具有对云服务A提供的该资源的访问权限,鉴权服务器向云API(X)返回鉴权失败消息。
604、鉴权服务器向云API(X)返回鉴权通过消息。
605、云API(X)响应于鉴权服务器返回的鉴权通过消息,向后台服务器发送资源处理指示。该资源处理指示中可以携带请求处理的云服务A所提供的资源的信息。
606、后台服务器响应于资源处理指示,根据资源处理指示进行识别,确定待处理资源,当待处理资源还包含云服务B提供的资源时,向云服务B对应的云API(Y)发送资源处理请求,该资源处理请求携带云服务A的签名信息、云服务B提供的资源的信息。
607、响应于来自后台服务器的资源处理请求,云API(Y)向鉴权服务器发送鉴权请求,其中携带云服务A的签名信息、云服务B提供的资源的信息以及云API(Y)的信息。
608、鉴权服务器响应于来自云API(X)的鉴权请求,对云服务A访问云服务B提供的资源进行鉴权,如果鉴权通过,执行步骤609。如果鉴权失败,向云API(Y)返回鉴权失败消息,需要说明的是,本实施例以鉴权通过为例进行举例说明,因此鉴权失败的流程图6中没有示出。
鉴权服务器根据鉴权请求所携带的云服务B提供的资源的信息、云API(Y)的信息以及本地存储的云服务A的鉴权信息,生成云服务A的签名信息。然后将自身生成的云服务A的签名信息与鉴权请求中携带的云服务A的签名信息进行比对,如果比对结果是两个签名信息相同,则确定鉴权通过,说明云服务A具有对云服务B提供的该资源的访问权限,然后执行步骤609。相反的,如果比对结果是两个签名不相同,则确定鉴权没通过,说明云服务A不具有对云服务B提供的该资源的访问权限,鉴权服务器向云API(Y)返回鉴权失败消息。
609、鉴权服务器向云API(Y)返回鉴权通过消息。
610、云API(Y)响应于鉴权服务器返回的鉴权通过消息,向后台服务器发送资源处理指示。该资源处理指示中可以携带请求处理的云服务B所提供的资源的信息。
611、后台服务器响应于资源处理指示,对云服务A提供的资源进行处理,然后对云服务B所提供的资源进行处理,最后对云服务A提供的资源进行处理。
上面提到接口与鉴权服务器之间、接口与后台服务器之间,均需要预先建立互信机制,并通过互信机制确定加密秘钥和解密秘钥。本发明实施例中,考虑到接口与鉴权服务器之间、接口与后台服务器之间属于内部交互,因此可以采用轻量级的互信机制,一方面可以提高服务性能,另外一方面还可以保证基本的安全性。
本发明实施例中,通过以下几方面建立上述涉及的互信机制:
一、鉴权服务器对接口的身份验证
二、接口对鉴权服务器的身份验证
三、后台服务器对接口的身份验证
四、接口对后台服务器的身份验证
其中,涉及接口的身份验证,可以采用签名机制实现,为每个接口以及每个接口所对应的云服务分配证书,接口访问鉴权服务器时,需要在请求中添加该证书,将该证书作为接口的信息,如上述涉及的第一接口的信息或者第二接口的信息,也即,利用该证书作为接口的信息来访问鉴权服务器。需要说明的是,每个接口以及每个接口所对应的云服务的证书可以由证书服务器进行离线分配,该证书用于上述资源处理方法时,证书可以利用对称秘钥进行加密和解密,或者,也可以使用非对称秘钥进行加密和解密。
涉及后台服务器与鉴权服务器的身份验证,也需要由证书服务器进行离线分配证书,该证书在用于上述资源处理方法时,可以利用非对称秘钥进行加密和解密,或者也可以使用对称秘钥进行加密和解密。访问服务器的一侧可以保存公钥,服务器自身保存私钥,从而可以在一定程度上降低被攻击的概率,同时还可以保证交互信息的安全性。
请参考图7,其为本发明实施例所提供的接口与鉴权服务器之间的身份验证方法的交互流程示例图,如图7所示,该方法包括以下步骤:
701、证书服务器向鉴权服务器分配证书Pub_CA(Pub_Auth,Domain……)和公钥,且鉴权服务器中预设有对应的私钥,鉴权服务器对分配的证书和公钥进行存储。
702、证书服务器向接口分配证书,可以利用接口标识(API_ID)和私钥(API_Secret)构成该证书。
步骤701和步骤702属于证书服务器离线分配证书阶段。
本发明实施例中,分配证书时涉及的公钥和私钥可以是对称秘钥,或者,也可以是非对称秘钥。可以根据不同的应用场景,决定使用对称秘钥还是非对称秘钥。例如,对于性能要求较高且安全性要求不高的业务场景,可以使用对称秘钥,对于性能要求不高的业务场景,可以使用非对称秘钥,本发明实施例对此不进行特别限定。
703、接口向鉴权服务器发送证书获取请求。
704、鉴权服务器响应于证书获取请求,将之前证书服务器分配的证书经过公钥加密后,通过证书获取响应返回给接口。
705、接口利用之前证书服务器提供的私钥,对接收到的证书进行解密,如果解密成功,接口与鉴权服务器的身份验证都通过,然后执行步骤706。
需要说明的是,这里如果接口利用私钥对证书进行解密成功,说明,该私钥与加密证书的公钥是相匹配的一对加密秘钥和解密秘钥,因此既证明了鉴权服务器的身份,也证明了接口的身份,双方身份验证都通过。
706、接口与鉴权服务器之间进行加密秘钥和解密秘钥的协商,协商后接口持有加密秘钥,鉴权服务器持有解密秘钥,该加密秘钥和解密秘钥可以用于对接口发起的鉴权请求中携带的信息进行加密和解密,以保证通信的安全性。
步骤703至步骤706属于接口与鉴权服务器之间的密钥协商阶段,步骤703至步骤706需要在接口与鉴权服务器交互之前进行,以完成密钥协商,这样当两者需要进行交互时,可以直接使用加密秘钥和解密秘钥,提高了接口与鉴权服务器之间的交互效率以及接口的执行性能。另外,步骤703至步骤706也可以周期的执行,这样,接口与鉴权服务器之间可以定期的进行秘钥协商,以更新加密秘钥和解密秘钥,进一步提高了信息交互的安全性。
需要说明的是,上述涉及的接口指的是接口设备中与云服务对应的接口,如第一接口、第二接口等,也即,接口设备中的各接口均基于上述方法实现与鉴权服务器之间的身份验证。
请参考图8,其为本发明实施例所提供的接口与后台服务器之间的身份验证方法的交互流程示例图,如图8所示,该方法包括以下步骤:
801、证书服务器向后台服务器分配证书Pub_CA1(Pub_Auth1,Domain……)和公钥,且鉴权服务器中预设有对应的私钥,后台服务器对分配的证书和公钥进行存储。
802、证书服务器向接口分配证书,可以利用接口标识(API_ID)和私钥(API_Secret)构成该证书。
步骤801和步骤802属于证书服务器离线分配证书阶段。
本发明实施例中,分配证书时涉及的公钥和私钥可以是对称秘钥,或者,也可以是非对称秘钥。可以根据不同的应用场景,决定使用对称秘钥还是非对称秘钥。例如,对于性能要求较高且安全性要求不高的业务场景,可以使用对称秘钥,对于性能要求不高的业务场景,可以使用非对称秘钥,本发明实施例对此不进行特别限定。
803、接口向后台服务器发送证书获取请求。
804、后台服务器响应于证书获取请求,将之前证书服务器分配的证书经过公钥加密后,通过证书获取响应返回给接口。
805、接口利用之前证书服务器提供的私钥,对接收到的证书进行解密,如果解密成功,接口与后台服务器的身份验证都通过,然后执行步骤706。
需要说明的是,这里如果接口利用私钥对证书进行解密成功,说明,该私钥与加密证书的公钥是相匹配的一对加密秘钥和解密秘钥,因此既证明了后台服务器的身份,也证明了接口的身份,双方身份验证都通过。
806、接口与后台服务器之间进行加密秘钥和解密秘钥的协商,协商后接口持有加密秘钥,后台服务器持有解密秘钥,该加密秘钥和解密秘钥可以用于对接口发起的鉴权请求中携带的信息进行加密和解密,以保证通信的安全性。
步骤803至步骤806属于接口与后台服务器之间的密钥协商阶段,步骤803至步骤806需要在接口与后台服务器交互之前进行,以完成密钥协商,这样当两者需要进行交互时,可以直接使用加密秘钥和解密秘钥,提高了接口与后台服务器之间的交互效率以及接口的执行性能。另外,步骤803至步骤806也可以周期的执行,这样,接口与后台服务器之间可以定期的进行秘钥协商,以更新加密秘钥和解密秘钥,进一步提高了信息交互的安全性。
需要说明的是,上述涉及的接口指的是接口设备中与云服务对应的接口,如第一接口、第二接口等,也即,接口设备中的各接口均基于上述方法实现与鉴权服务器之间的身份验证。
本发明实施例进一步给出实现上述方法实施例中各步骤及方法的装置实施例。
请参考图9,其为本发明实施例所提供的资源处理系统的结构示意图。如图所示,该系统包括接口设备100、后台服务器200和鉴权服务器300,所述接口设备100配置有包括第一接口101和第二接口102在内的若干个接口,所述第一接口101对应第一云服务,所述第二接口102对应第二云服务。
所述后台服务器200,用于获取来自所述第一接口101的资源处理指示;
所述后台服务器200,还用于根据所述资源处理指示进行识别,确定待处理资源;
当所述待处理资源包括所述第二云服务提供的资源时,所述后台服务器200,还用于向所述第二接口102发送资源处理请求;
所述第二接口102,用于根据所述资源处理请求,向所述鉴权服务器300发起用于访问所述第二云服务提供的资源的鉴权请求;
所述鉴权服务器300,用于响应于所述鉴权请求,对访问所述第二云服务提供的资源进行鉴权,若鉴权通过,向所述第二接口102返回鉴权通过消息;
响应于所述鉴权通过消息,所述第二接口102,还用于向所述后台服务器200发送资源处理指示;
响应于来自所述第二接口的资源处理指示,所述后台服务器200,还用于对所述待处理资源进行处理。
由于本实施例中的各单元能够执行图2所示的方法,本实施例未详细描述的部分,可参考对图2的相关说明。
请参考图10,其为本发明实施例所提供的资源处理装置的功能方块图。应用于包括接口设备、后台服务器和鉴权服务器的系统,在该系统中,所述接口设备配置有包括第一接口和第二接口在内的若干个接口,所述第一接口对应第一云服务,所述第二接口对应第二云服务;所述装置位于所述后台服务器;如图10所示,所述装置包括:
接收单元201,用于获取来自第一接口的资源处理指示;
资源识别单元202,用于根据所述资源处理指示进行识别,确定待处理资源;
发送单元203,用于当所述待处理资源包括所述第二云服务提供的资源时,向所述第二接口发送资源处理请求;
资源处理单元204,用于响应于来自所述第二接口的资源处理指示,对所述待处理资源进行处理。
可选的,所述装置还包括:
资源判别单元205,用于根据预设的云服务与资源的对应关系,获取所述待处理资源中每个资源对应的云服务;以及,判断获取的云服务是否包括第二云服务;以及,判断出获取的云服务包括第二云服务时,确定所述待处理资源包括所述第二云服务提供的资源。
请参考图11,其为本发明实施例所提供的资源处理装置的另一功能方块图。应用于包括接口设备、后台服务器和鉴权服务器的系统,在该系统中,所述接口设备配置有包括第一接口和第二接口在内的若干个接口,所述第一接口对应第一云服务,所述第二接口对应第二云服务;所述装置位于所述鉴权服务器,如图11所示,所述装置包括:
接收单元301,用于接收第二接口发送的用于访问所述第二云服务提供的资源的鉴权请求;
鉴权单元302,用于响应于所述鉴权请求,对访问所述第二云服务提供的资源进行鉴权;
发送单元303,用于若鉴权通过,向所述第二接口返回鉴权通过消息。
本发明实施例还提供了一种计算机可读介质,包括:计算机可执行指令,当该计算机可执行指令被运行时执行以下步骤;
获取来自第一接口的资源处理指示;
根据所述资源处理指示进行识别,确定待处理资源;
当所述待处理资源包括所述第二云服务提供的资源时,向所述第二接口发送资源处理请求;
响应于来自所述第二接口的资源处理指示,对所述待处理资源进行处理。
本发明实施例还提供了一种计算机可读介质,包括:计算机可执行指令,当该计算机可执行指令被运行时执行以下步骤;
接收第二接口发送的用于访问所述第二云服务提供的资源的鉴权请求;
响应于所述鉴权请求,对访问所述第二云服务提供的资源进行鉴权;
若鉴权通过,向所述第二接口返回鉴权通过消息。
本发明实施例的技术方案具有以下有益效果:
本发明实施例中,当后台服务器对第一云服务提供的资源进行处理的过程中,需要访问第二云服务提供的资源时,由后台服务器向该第二云服务对应的第二接口发起资源处理请求,以触发该第二接口向鉴权服务器发起对第一云服务访问第二云服务提供的资源进行鉴权,当鉴权通过时,通过该第二云服务对应的第二接口触发后台服务器进行资源处理。与现有技术相比,在对资源进行处理的过程中,如果需要访问其他云服务提供的资源,由后台服务器代为向其他云服务对应的接口发起资源处理请求,以触发鉴权服务器进行鉴权,避免了在用户侧配置多套调用逻辑,不需要用户侧再提供信息进行鉴权,因此降低了用户侧的客户端的设计复杂行和维护成本,而且在对资源进行处理的过程中,后台服务器可以识别出需要访问其他云服务提供的资源,因此后台服务器可以直接发起资源处理请求,避免再与客户端交互,以使客户端发起资源处理请求,因此,提高了资源处理效率。
另一方面,本发明实施例中还增加了轻量级的互信机制,接口与鉴权服务器之间,接口与后台服务器之间能够进行身份验证,并且基于身份验证后协商的秘钥,对交互信息进行加密处理,在保证处理效率的前提下,还保证了一定程度的安全性和可回溯性。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机装置(可以是个人计算机,服务器,或者网络装置等)或处理器(Processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (15)
1.一种资源处理方法,其特征在于,应用于包括接口设备、后台服务器和鉴权服务器的系统,在该系统中,所述接口设备配置有包括第一接口和第二接口在内的若干个接口,所述第一接口对应第一云服务,所述第二接口对应第二云服务;所述方法包括:
所述后台服务器获取来自所述第一接口的资源处理指示;
所述后台服务器根据所述资源处理指示进行识别,确定待处理资源;
当所述待处理资源包括所述第二云服务提供的资源时,所述后台服务器向所述第二接口发送资源处理请求,所述第二接口根据所述资源处理请求,向所述鉴权服务器发起用于访问所述第二云服务提供的资源的鉴权请求;
所述鉴权服务器响应于所述鉴权请求,对访问所述第二云服务提供的资源进行鉴权,若鉴权通过,向所述第二接口返回鉴权通过消息;
响应于所述鉴权通过消息,所述第二接口向所述后台服务器发送资源处理指示;
响应于来自所述第二接口的资源处理指示,所述后台服务器对所述待处理资源进行处理。
2.根据权利要求1所述的方法,其特征在于,所述后台服务器获取来自第一接口的第一资源处理指示之前,还包括:
所述第一接口响应于客户端发送的资源处理请求,向所述鉴权服务器发起用于访问所述第一云服务提供的资源的鉴权请求;
所述鉴权服务器响应于所述用于访问所述第一云服务提供的资源的鉴权请求,对访问所述第一云服务提供的资源进行鉴权,若鉴权通过,向所述第一接口返回鉴权通过消息;
响应于鉴权通过消息,所述第一接口向所述后台服务器发送资源处理指示。
3.根据权利要求1或2所述的方法,其特征在于,所述后台服务器向所述第二接口发送资源处理请求,包括:所述后台服务器向所述第二接口发送携带有所述第一云服务的签名信息、所述待处理资源所包括的且由所述第二云服务提供的资源的信息的资源处理请求;
所述第二接口根据所述资源处理请求,向所述鉴权服务器发起用于访问所述第二云服务提供的资源的鉴权请求,包括:所述第二接口向所述鉴权服务器发起携带有所述第一云服务的签名信息、所述待处理资源所包括的且由所述第二云服务提供的资源的信息以及所述第二接口的信息的鉴权请求;
所述鉴权服务器响应于所述鉴权请求,对访问所述第二云服务提供的资源进行鉴权,包括:所述鉴权服务器根据所述鉴权请求所携带的各信息,对所述访问所述第二云服务提供的资源进行鉴权。
4.根据权利要求3所述的方法,其特征在于,所述后台服务器向所述第二接口发送携带有所述第一云服务的签名信息、所述待处理资源所包括的且由所述第二云服务提供的资源的信息的资源处理请求,包括:所述后台服务器利用第一加密秘钥对所述资源处理请求携带的信息进行加密,并向所述第二接口发送资源处理请求,所述资源处理请求携带有加密后得到的信息;
所述第二接口向所述鉴权服务器发起携带有所述第一云服务的签名信息、所述待处理资源所包括的且由所述第二云服务提供的资源的信息以及所述第二接口的信息的所述鉴权请求,包括:所述第二接口利用第一解密秘钥对资源处理请求所携带的信息进行解密,如果解密成功,利用第二加密秘钥对解密后得到的信息进行加密,并向鉴权服务器发送鉴权请求,所述鉴权请求携带加密后得到的信息;
所述鉴权服务器根据所述鉴权请求所携带的各信息,对访问所述第二云服务提供的资源进行鉴权,包括:所述鉴权服务器利用第二解密秘钥对所述第二接口发送的鉴权请求中的信息进行解密,如果解密成功,基于解密后得到的信息对访问所述第二云服务提供的资源进行鉴权。
5.一种资源处理方法,其特征在于,应用于包括接口设备、后台服务器和鉴权服务器的系统,在该系统中,所述接口设备配置有包括第一接口和第二接口在内的若干个接口,所述第一接口对应第一云服务,所述第二接口对应第二云服务;所述方法执行于所述后台服务器上;所述方法包括:
获取来自第一接口的资源处理指示;
根据所述资源处理指示进行识别,确定待处理资源;
当所述待处理资源包括所述第二云服务提供的资源时,向所述第二接口发送资源处理请求;
响应于来自所述第二接口的资源处理指示,对所述待处理资源进行处理。
6.根据权利要求5所述的方法,其特征在于,当所述待处理资源包括所述第二云服务提供的资源时,向所述第二接口发送资源处理请求之前,还包括:
根据预设的云服务与资源的对应关系,获取所述待处理资源中每个资源对应的云服务;
判断获取的云服务是否包括第二云服务;
判断出获取的云服务包括第二云服务时,确定所述待处理资源包括所述第二云服务提供的资源。
7.根据权利要求5所述的方法,其特征在于,向所述第二接口发送资源处理请求之前,还包括:生成第一云服务的签名信息;
所述资源处理请求携带所述第一云服务的签名信息、所述待处理资源所包括的且由所述第二云服务提供的资源的信息。
8.一种资源处理方法,其特征在于,应用于包括接口设备、后台服务器和鉴权服务器的系统,在该系统中,所述接口设备配置有包括第一接口和第二接口在内的若干个接口,所述第一接口对应第一云服务,所述第二接口对应第二云服务;所述方法执行于所述鉴权服务器上,所述方法包括:
接收第二接口发送的用于访问所述第二云服务提供的资源的鉴权请求;
响应于所述鉴权请求,对访问所述第二云服务提供的资源进行鉴权;
若鉴权通过,向所述第二接口返回鉴权通过消息。
9.根据权利要求8所述的方法,其特征在于,所述鉴权请求携带所述第一云服务的签名信息、所述待处理资源所包括的且由所述第二云服务提供的资源的信息以及所述第二接口的信息;
响应于所述鉴权请求,对访问所述第二云服务提供的资源进行鉴权,包括:
根据所述第二接口的信息、需要访问的第二云服务提供的资源以及本地存储的所述第一云服务的信息,生成所述第一云服务的签名信息;
将通过所述第二接口接收到的第一云服务的签名信息与自身生成的第一云服务的签名信息进行比对,若两个签名信息相同,确定鉴权通过。
10.一种资源处理系统,其特征在于,包括接口设备、后台服务器和鉴权服务器,所述接口设备配置有包括第一接口和第二接口在内的若干个接口,所述第一接口对应第一云服务,所述第二接口对应第二云服务;
所述后台服务器,用于获取来自所述第一接口的资源处理指示;
所述后台服务器,还用于根据所述资源处理指示进行识别,确定待处理资源;
当所述待处理资源包括所述第二云服务提供的资源时,所述后台服务器,还用于向所述第二接口发送资源处理请求;
所述第二接口,用于根据所述资源处理请求,向所述鉴权服务器发起用于访问所述第二云服务提供的资源的鉴权请求;
所述鉴权服务器,用于响应于所述鉴权请求,对访问所述第二云服务提供的资源进行鉴权,若鉴权通过,向所述第二接口返回鉴权通过消息;
响应于所述鉴权通过消息,所述第二接口,还用于向所述后台服务器发送资源处理指示;
响应于来自所述第二接口的资源处理指示,所述后台服务器,还用于对所述待处理资源进行处理。
11.一种资源处理装置,其特征在于,应用于包括接口设备、后台服务器和鉴权服务器的系统,在该系统中,所述接口设备配置有包括第一接口和第二接口在内的若干个接口,所述第一接口对应第一云服务,所述第二接口对应第二云服务;所述装置位于所述后台服务器;所述装置包括:
接收单元,用于获取来自第一接口的资源处理指示;
资源识别单元,用于根据所述资源处理指示进行识别,确定待处理资源;
发送单元,用于当所述待处理资源包括所述第二云服务提供的资源时,向所述第二接口发送资源处理请求;
资源处理单元,用于响应于来自所述第二接口的资源处理指示,对所述待处理资源进行处理。
12.根据权利要求11所述的装置,其特征在于,所述装置还包括:
资源判别单元,用于根据预设的云服务与资源的对应关系,获取所述待处理资源中每个资源对应的云服务;以及,判断获取的云服务是否包括第二云服务;以及,判断出获取的云服务包括第二云服务时,确定所述待处理资源包括所述第二云服务提供的资源。
13.一种资源处理装置,其特征在于,应用于包括接口设备、后台服务器和鉴权服务器的系统,在该系统中,所述接口设备配置有包括第一接口和第二接口在内的若干个接口,所述第一接口对应第一云服务,所述第二接口对应第二云服务;所述装置位于所述鉴权服务器,所述装置包括:
接收单元,用于接收第二接口发送的用于访问所述第二云服务提供的资源的鉴权请求;
鉴权单元,用于响应于所述鉴权请求,对访问所述第二云服务提供的资源进行鉴权;
发送单元,用于若鉴权通过,向所述第二接口返回鉴权通过消息。
14.一种计算机可读介质,其特征在于,包括:计算机可执行指令,当该计算机可执行指令被运行时执行以下步骤;
获取来自第一接口的资源处理指示;
根据所述资源处理指示进行识别,确定待处理资源;
当所述待处理资源包括所述第二云服务提供的资源时,向所述第二接口发送资源处理请求;
响应于来自所述第二接口的资源处理指示,对所述待处理资源进行处理。
15.一种计算机可读介质,其特征在于,包括:计算机可执行指令,当该计算机可执行指令被运行时执行以下步骤;
接收第二接口发送的用于访问所述第二云服务提供的资源的鉴权请求;
响应于所述鉴权请求,对访问所述第二云服务提供的资源进行鉴权;
若鉴权通过,向所述第二接口返回鉴权通过消息。
Priority Applications (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710914860.XA CN109600337B (zh) | 2017-09-30 | 2017-09-30 | 资源处理方法、装置、系统及计算机可读介质 |
KR1020207007631A KR102338718B1 (ko) | 2017-09-30 | 2018-09-11 | 리소스 처리 방법, 장치, 및 시스템, 및 컴퓨터 판독가능 매체 |
EP18863724.3A EP3664405B1 (en) | 2017-09-30 | 2018-09-11 | Resource processing between two cloudsystems |
PCT/CN2018/104986 WO2019062536A1 (zh) | 2017-09-30 | 2018-09-11 | 资源处理方法、装置、系统及计算机可读介质 |
JP2020517453A JP6943511B2 (ja) | 2017-09-30 | 2018-09-11 | リソース処理方法、装置、システムおよびコンピュータ読み取り可能な媒体 |
US16/803,443 US11190503B2 (en) | 2017-09-30 | 2020-02-27 | Resource processing method, apparatus, and system, and computer-readable medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710914860.XA CN109600337B (zh) | 2017-09-30 | 2017-09-30 | 资源处理方法、装置、系统及计算机可读介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109600337A true CN109600337A (zh) | 2019-04-09 |
CN109600337B CN109600337B (zh) | 2020-12-15 |
Family
ID=65900756
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710914860.XA Active CN109600337B (zh) | 2017-09-30 | 2017-09-30 | 资源处理方法、装置、系统及计算机可读介质 |
Country Status (6)
Country | Link |
---|---|
US (1) | US11190503B2 (zh) |
EP (1) | EP3664405B1 (zh) |
JP (1) | JP6943511B2 (zh) |
KR (1) | KR102338718B1 (zh) |
CN (1) | CN109600337B (zh) |
WO (1) | WO2019062536A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110719288A (zh) * | 2019-10-12 | 2020-01-21 | 深圳市道通科技股份有限公司 | 云端服务访问的方法、云端服务器及终端 |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11212269B2 (en) * | 2018-12-18 | 2021-12-28 | American Megatrends International, Llc | Secure remote online debugging of firmware on deployed hardware |
CN112346880B (zh) * | 2019-08-07 | 2023-10-31 | 腾讯科技(深圳)有限公司 | 接口调用方法、装置、计算机可读存储介质和计算机设备 |
CN110650142B (zh) * | 2019-09-25 | 2022-05-24 | 腾讯科技(深圳)有限公司 | 访问请求处理方法、装置、系统、存储介质和计算机设备 |
JP7490620B2 (ja) | 2021-08-27 | 2024-05-27 | キヤノン株式会社 | 情報処理装置および情報処理システムの方法 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102546561A (zh) * | 2010-12-30 | 2012-07-04 | 联想(北京)有限公司 | 终端设备、服务器、信息处理系统及其信息处理方法 |
CN103019837A (zh) * | 2011-09-27 | 2013-04-03 | 中国移动通信集团公司 | 资源调度方法、装置及终端设备 |
CN104969227A (zh) * | 2012-12-21 | 2015-10-07 | 德卡产品有限公司 | 用于电子病人护理的系统、方法和设备 |
CN105989190A (zh) * | 2015-03-17 | 2016-10-05 | 国际商业机器公司 | 云基础架构及用于部署云基础架构的方法 |
CN106060017A (zh) * | 2016-05-19 | 2016-10-26 | 上海承蓝科技股份有限公司 | 一种数据管控的云平台及方法 |
CN106559453A (zh) * | 2015-09-29 | 2017-04-05 | 中兴通讯股份有限公司 | 云互通的外部资源管理方法、装置及系统 |
US20170109302A1 (en) * | 2015-10-16 | 2017-04-20 | Gopro, Inc. | Configurable input / output connector in a camera |
CN106657152A (zh) * | 2017-02-07 | 2017-05-10 | 腾讯科技(深圳)有限公司 | 一种鉴权方法及服务器、访问控制装置 |
CN106933648A (zh) * | 2015-12-31 | 2017-07-07 | 中国电信股份有限公司 | 用于多租户容器资源管理的方法和系统 |
CN107070863A (zh) * | 2016-01-29 | 2017-08-18 | 谷歌公司 | 本地设备认证 |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7685206B1 (en) * | 2004-02-12 | 2010-03-23 | Microsoft Corporation | Authorization and access control service for distributed network resources |
JP4334515B2 (ja) * | 2005-08-30 | 2009-09-30 | 日本電信電話株式会社 | サービス提供サーバ、認証サーバ、および認証システム |
JP5040367B2 (ja) * | 2007-03-02 | 2012-10-03 | 日本電気株式会社 | サービス連携システム、サービス連携方法、およびサービス連携プログラム |
JP5153591B2 (ja) * | 2008-11-26 | 2013-02-27 | 株式会社日立製作所 | 認証仲介サーバ、プログラム、認証システム及び選択方法 |
US20110137805A1 (en) * | 2009-12-03 | 2011-06-09 | International Business Machines Corporation | Inter-cloud resource sharing within a cloud computing environment |
CN102255933B (zh) * | 2010-05-20 | 2016-03-30 | 中兴通讯股份有限公司 | 云服务中介、云计算方法及云系统 |
CN102369714A (zh) * | 2011-08-31 | 2012-03-07 | 华为技术有限公司 | 云计算系统中云终端访问云服务器的方法及云计算系统 |
JP5988699B2 (ja) * | 2012-05-30 | 2016-09-07 | キヤノン株式会社 | 連携システム、その連携方法、情報処理システム、およびそのプログラム。 |
US8875166B2 (en) * | 2012-11-08 | 2014-10-28 | Sharp Laboratories Of America, Inc. | Method and cloud security framework for implementing tenant license verification |
CN104052775B (zh) * | 2013-03-14 | 2016-11-23 | 腾讯科技(深圳)有限公司 | 一种云平台服务的权限管理方法、装置和系统 |
US9154488B2 (en) * | 2013-05-03 | 2015-10-06 | Citrix Systems, Inc. | Secured access to resources using a proxy |
US20150026772A1 (en) * | 2013-07-16 | 2015-01-22 | Samsung Electronics Co., Ltd. | Media based authentication and authorization for secure services |
KR102368614B1 (ko) * | 2015-08-12 | 2022-02-25 | 삼성전자주식회사 | 인증 처리 방법 및 이를 지원하는 전자 장치 |
JP2017079419A (ja) * | 2015-10-21 | 2017-04-27 | 日本電信電話株式会社 | サーバ認証システム、端末、サーバ、サーバ認証方法、プログラム |
US9935955B2 (en) * | 2016-03-28 | 2018-04-03 | Zscaler, Inc. | Systems and methods for cloud based unified service discovery and secure availability |
JP6471728B2 (ja) * | 2016-06-23 | 2019-02-20 | ブラザー工業株式会社 | 特定のサーバ及び通信装置 |
US10523648B2 (en) * | 2017-04-03 | 2019-12-31 | Microsoft Technology Licensing, Llc | Password state machine for accessing protected resources |
US10749868B2 (en) * | 2018-06-29 | 2020-08-18 | Microsoft Technology Licensing, Llc | Registration of the same domain with different cloud services networks |
-
2017
- 2017-09-30 CN CN201710914860.XA patent/CN109600337B/zh active Active
-
2018
- 2018-09-11 KR KR1020207007631A patent/KR102338718B1/ko active IP Right Grant
- 2018-09-11 JP JP2020517453A patent/JP6943511B2/ja active Active
- 2018-09-11 WO PCT/CN2018/104986 patent/WO2019062536A1/zh unknown
- 2018-09-11 EP EP18863724.3A patent/EP3664405B1/en active Active
-
2020
- 2020-02-27 US US16/803,443 patent/US11190503B2/en active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102546561A (zh) * | 2010-12-30 | 2012-07-04 | 联想(北京)有限公司 | 终端设备、服务器、信息处理系统及其信息处理方法 |
CN103019837A (zh) * | 2011-09-27 | 2013-04-03 | 中国移动通信集团公司 | 资源调度方法、装置及终端设备 |
CN104969227A (zh) * | 2012-12-21 | 2015-10-07 | 德卡产品有限公司 | 用于电子病人护理的系统、方法和设备 |
CN105989190A (zh) * | 2015-03-17 | 2016-10-05 | 国际商业机器公司 | 云基础架构及用于部署云基础架构的方法 |
CN106559453A (zh) * | 2015-09-29 | 2017-04-05 | 中兴通讯股份有限公司 | 云互通的外部资源管理方法、装置及系统 |
US20170109302A1 (en) * | 2015-10-16 | 2017-04-20 | Gopro, Inc. | Configurable input / output connector in a camera |
CN106933648A (zh) * | 2015-12-31 | 2017-07-07 | 中国电信股份有限公司 | 用于多租户容器资源管理的方法和系统 |
CN107070863A (zh) * | 2016-01-29 | 2017-08-18 | 谷歌公司 | 本地设备认证 |
CN106060017A (zh) * | 2016-05-19 | 2016-10-26 | 上海承蓝科技股份有限公司 | 一种数据管控的云平台及方法 |
CN106657152A (zh) * | 2017-02-07 | 2017-05-10 | 腾讯科技(深圳)有限公司 | 一种鉴权方法及服务器、访问控制装置 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110719288A (zh) * | 2019-10-12 | 2020-01-21 | 深圳市道通科技股份有限公司 | 云端服务访问的方法、云端服务器及终端 |
Also Published As
Publication number | Publication date |
---|---|
CN109600337B (zh) | 2020-12-15 |
JP6943511B2 (ja) | 2021-10-06 |
EP3664405A4 (en) | 2020-07-08 |
KR20200038991A (ko) | 2020-04-14 |
KR102338718B1 (ko) | 2021-12-14 |
EP3664405B1 (en) | 2022-06-15 |
JP2020535530A (ja) | 2020-12-03 |
US20200195632A1 (en) | 2020-06-18 |
US11190503B2 (en) | 2021-11-30 |
WO2019062536A1 (zh) | 2019-04-04 |
EP3664405A1 (en) | 2020-06-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111090876B (zh) | 调用合约的方法及装置 | |
CN109600337A (zh) | 资源处理方法、装置、系统及计算机可读介质 | |
CN105007279B (zh) | 认证方法和认证系统 | |
WO2018145605A1 (zh) | 鉴权方法及服务器、访问控制装置 | |
CA3053316A1 (en) | Method for providing simplified account registration service and user authentication service, and authentication server using same | |
CN107743133A (zh) | 移动终端及其基于可信安全环境的访问控制方法和系统 | |
CN112000951B (zh) | 一种访问方法、装置、系统、电子设备及存储介质 | |
CN109361668A (zh) | 一种数据可信传输方法 | |
CN109522726A (zh) | 小程序的鉴权方法、服务器及计算机可读存储介质 | |
CN108809659A (zh) | 动态口令的生成、验证方法及系统、动态口令系统 | |
CN105100102B (zh) | 一种权限配置以及信息配置方法和装置 | |
CN102404314A (zh) | 远程资源单点登录 | |
JP2018504789A (ja) | 決済認証システム、方法及び装置 | |
CN112688773A (zh) | 一种令牌的生成和校验方法及装置 | |
CN110933484A (zh) | 一种无线投屏设备的管理方法及装置 | |
US9443067B1 (en) | System for the distribution and deployment of applications, with provisions for security and policy conformance | |
US20170359170A1 (en) | Workload encryption key | |
EP4245015A1 (en) | Secure digital signing | |
CN112131597A (zh) | 一种生成加密信息的方法、装置和智能设备 | |
CN106534047A (zh) | 一种基于Trust应用的信息传输方法及装置 | |
TWM585941U (zh) | 帳戶資料處理系統 | |
US11790115B1 (en) | Privacy preserving data processing in a Solid ecosystem using agents | |
JP2003308298A (ja) | オンラインapi実行時の権限認証方法 | |
US11954672B1 (en) | Systems and methods for cryptocurrency pool management | |
CN109818903A (zh) | 数据传输方法、系统、装置和计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |