CN111213339A - 带有客户端密钥的认证令牌 - Google Patents

Abstract

描述了一种使用两种令牌来请求访问安全服务器的技术。这些令牌可在没有外部调用的情况下允许服务器查证请求装置是请求中所标识的装置，并且这种请求装置已由受信的身份提供方授权。第一令牌是由受信的身份提供方发布的认证令牌，并且包括客户端装置公钥。第二令牌是所有权证明令牌，这种所有权证明令牌由客户端装置使用与客户端装置公钥相对应的客户端装置私钥进行签名。服务器从认证令牌获得客户端装置公钥，然后使用客户端装置公钥来验证所有权证明令牌。认证令牌可由创建自己的所有权证明令牌的服务器重用，以呈现给第二服务器，进而对第二服务器上的安全服务进行访问。

Description

带有客户端密钥的认证令牌

背景技术

实际上，目前可访问的任何主要网页应用程序都使用令牌对请求访问该应用程序/API的用户进行认证。令牌可使用户仅需一次登录即可访问多个服务器，而不必使登录用户尝试访问的每个服务器。但是客户端必须存储和传输令牌，这意味着，令牌很容易被窃取并呈现，以获得对安全系统的未授权访问。此外，这种基于令牌的技术要求调用可信身份服务器以在呈现令牌时对令牌进行认证。

附图说明

下面，将参照本申请说明书附图对本申请详细描述。在本申请说明书附图中，附图标记的最左边的数字表示首次示出此附图标的附图。在不同说明书附图中使用相同的附图标记表示相似或相同的项目。

图1示出了用于实现本申请所描述的技术的示例性网络架构。

图2为具有客户端装置和身份服务器的示例性客户端-服务器系统的示图，并且图中示出了用于生成授权令牌的交互。

图3是根据本申请所公开技术所结构化的示例性授权令牌的示图，这种示例性授权令牌包括客户端公钥。

图4是根据本申请所公开技术所结构化的示例性所有权证明(POP)令牌的示图，该所有权证明令牌包括客户端公钥。

图5是示例性客户端-服务器系统的示图，其中示出了访问安全服务器的请求中的POP令牌的呈现。

图6是从客户端装置到安全服务器的HTTP请求的结构的表现。

图7是示例性的客户端装置、示例性的第一安全服务器和示例性的第二安全服务器的示图，图中示出了在对第一服务器的请求中以及在对第二服务器的后续请求中POP令牌的呈现和再次呈现。

图8是从第一服务器到第二服务器的HTTP请求的结构的示图，这种请求重用了由第一服务器从客户端装置接收的授权令牌。

图9是用于在客户端访问安全服务器的请求中创建并使用授权令牌和POP令牌的示例性客户端侧实现的流程图。

图10是用于接收包括授权令牌和POP令牌的访问请求的示例性服务器侧方法实现的流程图。

具体实施方式

网络单点登录协议可定义客户端授权令牌是如何由授权服务器(即，身份提供方)创建的，并最终将此客户端授权令牌递交给服务提供方，从而向服务提供方验证用户。而在这种情况中，是通过呈现认证令牌来验证客户端，而不是通过使用用户标识符和密码来验证客户端。

而由于服务提供方并不通过额外的检查来确认用户所呈现的认证令牌为已向其颁发的认证令牌，所以这种令牌是任何拥有认证令牌的行为者都可以使用的“不记名令牌”(bearer token)。但是，这种不记名令牌很容易被恶意行为者所窃取并再次使用，其中这种恶意行为者未经授权使用但会通过不记名令牌对安全系统进行访问。而此类协议的优势却仅限于防止恶意行为者获得并呈现认证令牌从而冒充有效用户。

本申请所公开的技术是对现有技术中的认证令牌及使用技术所做出的改进。根据本申请所公开的技术而生成并使用的授权令牌包括客户端公钥，其与被颁发授权令牌的客户端相关联公钥。当客户端向服务提供方发出访问安全服务的请求时，客户端可包括请求中的授权令牌和所有权证明(POP)令牌(也被称为“密钥持有者令牌”或“HOK令牌”)。

服务提供方可用身份提供方公钥来验证授权令牌，以获取客户端公钥，而后，服务提供方可用上述客户端公钥验证POP令牌，以确认发出请求的实体是在请求中识别的实体，即做出请求的客户端为向其颁发访问令牌的客户端。如果认证令牌或POP令牌(例如，插入其他客户端公钥等)发生了变化，则会使令牌的授权失败并使令牌的呈现者完全无法访问所请求的服务。

当前的现有技术对在颁发授权令牌时所使用的TLS/SSL(传输层安全性/安全套接字层)公钥进行检查。而这种技术需要重用用于获取身份验证令牌的SSL隧道。由于本申请所公开的技术方案涉及产生独立密钥(即客户端公钥)的客户端，所以无需追踪并重用相同的SSL隧道。因此，处理被更加本地化，这节省了计算资源并允许进行更快的处理。

对本申请所公开技术的使用可削弱对认证令牌的恶意使用，从而提高网络安全性。另外，由于可通过认证令牌及POP令牌的方式使验证结果独立地包含于服务提供方请求中，服务提供方不必调用外部权限对请求实体进行验证。因此，本技术减少了提供网络安全性所需的计算资源和网络资源，并可对安全服务进行更快的处理。

下面，将参照本申请说明书附图详细描述本申请所公开的新式的技术方案，说明书附图中标识出了在实现所述的系统、装置、方法、计算机可读存储介质等中所使用的元件和操作。

示例性网络架构

图1示出了用于实现本申请所公开技术(即，用于创建并使用带有客户端公钥的认证令牌的系统和方法)的示例性网络架构100。尽管图中所示的网络架构100示包括蜂窝网络系统，但要注意的是：在一个或更多个实现方式中，本申请所公开的技术也可用于不包括蜂窝组件的网络架构。

网络架构100包括由无线电信运营商提供的载波网络102。其中，载波网络102包括：蜂窝网络基站104(1)至蜂窝网络基站104(n)，以及核心网络106。尽管在这种示例性中仅示出了两个基站，但是载波网络102可以包括任意数量的基站。载波网络102可根据诸如GSM演进的增强数据速率(EDGE)、宽带码分多址(W-CDMA)、HSPA、LTE、LTE高级、CDMA-2000(码分多址2000)等一种或更多种技术标准来提供电信和数据通信。

其中，基站104(1)至基站104(n)负责处理诸如用户装置108(1)至用户装置108(n)中的用户装置与核心网络106之间的语音及数据流量。基站104(1)至基站104(n)中的每一个以可以以通信的方式经由相应的回程110(1)至回程110(n)连接至核心网络106。其中，回程110(1)至回程110(n)中的每一个可由铜缆、光纤缆、微波无线电收发器和/或类似部件实现。

核心网络106还向用户装置108(1)至用户装置108(n)提供电信服务和数据通信服务。在本示例中，核心网络将用户装置108(1)至用户装置108(n)连接到诸如互联网112和公共交换电话网(PSTN)114之类的其他电信和数据通信网络。核心网络106包括实现网络组件的一个或更多个服务器116。例如，网络组件可以包括：对传送到PSTN 114或来自PSTN114的语音呼叫进行路由处理的服务GPRS支持节点(SGSN)，用于对外部分组交换网络与网络之间106的数据通信路由进行处理的网关GPRS支持节点(GGSN)。网络组件可进一步包括分组数据网络(PDN)网关(PGW)，这种网关可对GGSN和互联网112之间的数据流进行路由。

用户装置108(1)至用户装置108(n)中的每一个是电子通信装置，这种电子通信装置包括但不限于：智能手机、平板电脑、嵌入式计算机系统等。能使用由载波网络102所提供无线通信服务的任何电子装置都能以可通信的方式链接到载波网络102。例如，用户可以使用用户装置108进行语音呼叫、发送和接收文本消息和/或从网112下载内容。用户装置经由基站104可通信地连接至核心网络106。因此，可通过将用户装置108(1)至用户装置108(n)连接到基站104(1)至基站104(n)的无线接口118(1)至无线接口118(n)对用户装置108(1)至用户装置108(n)与核心网络106之间的通信流量进行处理。

用户装置108(1)至用户装置108(n)中的每个用户装置还能经由除运营商网络无线服务之外的无线网络连接而连接到包括互联网在内的网络。如图所示，装置108(1)包括与网络120(1)的连接，装置108(2)包括与网络120(2)的连接，装置108(3)包括与网络120(3)的连接，装置108(4)包括到网络120(4)的连接，并且装置108(n)包括到网络120(n)的连接。其中，可通过诸如

WiFi、网格(Mesh)等或有线连接的本领域中已知任何方法来建立上述无线连接。

图中所示用户装置108(1)至用户装置108(n)的每个用户装置分别存储有认证122(1)至认证序122(n)。认证应用程序122是执行本申请所述的客户端侧的操作的应用程序，下面，将参照后续附图更详细地描述认证应用122。

除了蜂窝网络102之外，图1还包括：身份服务提供方(IDP)124以及一个或更多个服务提供方服务器126。IDP 124可执行本申请所公开的IDP操作，而服务提供方服务器126执行本申请所公开的服务提供方服务器操作。用户装置108(1)至用户装置108(n)中的任何一个用户装置都可以调用服务提供方服务器126，以通过向服务提供方服务器126呈现带有或不带有其他POP令牌的认证令牌来请求访问服务提供方服务器126所提供的一个或更多个服务。下面，将参考后续附图对IDP 124和服务提供方服务器126进行更详细的描述。

示例性的客户端和服务器

图2表示根据至少本申请所描述技术的实现方式而构造的示例性客户端-服务器系统200。需要注意的是，图2包括用虚线边框示出的若干个元件。虚线边框指示特定元件不必出现于本申请所描述的一种或更多种操作的开始，但可在操作期间的某些时刻变为可用。在以下描述中，需要注意的是，示例性的客户端-服务器系统200中上述元件何时被创建或以其他方式可用。

示例性的客户端-服务器系统200包括：示例性的客户端装置202；以及示例性的身份提供方204。客户端装置202是可执行本申请所描述操作的基于处理器的任何装置(例如，蜂窝电话、平板电脑、手持式计算装置及个人计算机等)。身份提供方204是由认证实体托管的服务器，其中认证实体可向已查证的实体提供凭据，实体可使用上述凭据对信任来自身份提供方204的凭据的安全服务进行访问。通常，可通过安全服务来指示这种信任关系，安全服务能对与身份提供方204相关联的公钥可进行访问。

示例性的客户端装置202包括具有电子电路的处理器206，电子电路通过由指令代码指定的基本算术电路、逻辑电路、控制电路、存储器和输入/输出(I/O)操作来执行上述代码段。处理器206可以是可通过诸如

或

之类的公司所购买的产品，或者处理器206也可以是经定制而与特定系统一起工作并对特定系统进行控制的一种处理器。

示例性客户端装置202还包括：通信接口208和各种硬件210。通信接口208有助于与位于示例性客户端装置202外部的组件进行通信，并且为示例性客户端装置202提供联网能力。例如，示例性的客户端装置202可通过通信接口208经由诸如互联网112(图1)或另一个网络120(图1)之类的一个或更多个网络与其他电子装置(例如，膝上型计算机、计算机、其他服务器等)交换数据。示例性客户端装置202与其他电子装置之间的通信可用于以任何种类的已知通信协议来发送和接收数据和/或语音通信。

各种硬件210包括：硬件组件以及用于执行客户端操作的相关联的软件和/或固件。各种硬件202中包括诸如键盘、鼠标、显示器、麦克风、照相机等可供用户与示例性客户端装置202进行交互的一个或更多个用户界面硬件组件。

客户端装置202还包括可存储数据、可执行指令、模块、组件、数据结构等的存储器212。可用诸如计算机存储介质之类的计算机可读介质来实现存储器212。计算机可读介质包括了至少两种类型的计算机可读介质，即计算机存储介质和通信介质。计算机存储介质包括：易失性介质、非易失性介质、可移除介质和不可移除介质，上述计算机存储介质可用存储诸如计算机可读指令、数据结构、程序模块或其他数据之类的信息的任何方法或技术实现。上述计算机存储介质包括但不限于：RAM、ROM、EEPROM、闪存或其他存储技术、CD-ROM、数字多功能磁盘(DVD)或其他光学存储、卡式磁带、磁带、磁盘存储器、其他磁性存储装置或可用于存储所期望的信息并可通过计算装置访问的任何其他非传输介质。与之不同的是，通信介质可体现为计算机可读指令、数据结构、程序模块、或是位于诸如载波信号的调制数据信号或其他传输机制中的其它数据。

操作系统214存储在存储器212中。操作系统214包括多个组件，这些组件可使示例性客户端装置202通过各种输入(例如，用户控件、网络接口和/或存储装置)接收和发送数据并使用处理器206处理数据以生成输出。操作系统214可以包括用于呈现输出(例如，于电子显示器上显示数据、将数据存储在存储器中，将数据发送到另一电子装置等)的呈现组件。另外，操作系统206可以包括其它组件，这些组件可执行通常与操作系统相关联的各种附加功能。存储器212还存储各种软件应用程序216或程序，其可支持电子装置功能或提供与电子客户端本身相关或不相关的通用装置用户功能或私钥装置用户功能。

认证应用程序218也存储在存储器214中。认证应用程序218包括代码段，上述代码段可在处理器206上执行，以实现本申请所公开的客户端侧的功能。通常，认证应用程序218能够生成和/或收集相关数据，以向身份提供方204阐释向身份提供方204提出的对于认证令牌的请求，上述认证令牌可用于访问并执行安全服务器上的授权交易。

认证应用程序218包括密码单元220，此密码单元220用于创建客户端私钥222和客户端公钥224，并且此密码单元用于创建数字签名并对其进行验证。在至少一个替代实现方式中，加密单元220并非认证应用程序218的一部分，而在这种情况下，可以从不同的来源获得客户私钥222和客户公钥224。在上述情况下，也可以在认证应用程序218之外进行密码操作。认证应用程序218还包括请求生成器226，此请求生成器226用于创建并发送执行本申请所公开技术所需的请求和令牌。

身份提供方(IDP)204包括：IDP密码单元228、IDP私钥230，IDP公钥232和授权令牌生成器234。IDP密码单元228包括代码段，尤其是执行上述代码段可创建数字签名，验证数字签名，并可对在客户端装置202和IDP 204之间传输的数据进行编码、解码、加密和解密。IDP私钥230和IDP公钥232是对于身份提供方204的唯一密钥，并且私钥公钥用于数字签名和/或加密操作。认证令牌生成器234用于创建认证令牌，客户端装置202可使用上述认证令牌来访问安全服务器(未示出)。下面，将结合客户端装置202和身份提供方204之间的操作对上述组件进行更为详细的描述。

在下面的讨论中，将对某些替代性实限方式中一个或更多个特定元件所执行的某些操作进行描述。然而，需要注意的是，可通过除本申请所公开元件之外的元件部分地或整体地执行上述操作。而本申请中对于特定元件所进行的描述并非通过特定元件对操作或步骤进行限制。

作为访问一个或更多个安全服务的第一步，客户端装置202可向一个或更多个安全服务所信任的身份提供方204注册。通常，可通过注册过程在一个或更多个安全服务与身份提供方204之间建立信任，而在此注册过程中，可在身份提供方204中注册服务并接收IDP公钥232。作为注册请求的一部分，认证应用程序218将客户端公钥224传送到身份提供方204。而在至少一种实现方式中，请求操作是在请求主体中对客户端公钥224进行编码的HTTP(超文本传输协议)POST(公告)。还可以包括与客户端装置202和/或客户端装置202的用户相关的其他信息。上述信息可以包括：交易标识符、用于对认证令牌进行数字签名的算法标识、消息传递令牌，客户端标识符等。

身份提供方204从客户端装置202接收客户端公钥224并且选择性地在本地存储装置公钥224。IDP令牌生成器234可创建认证令牌236，认证令牌236包括：装置公钥224，以及与客户端装置202和/或其用户有关的各种其他信息。在至少一个实现方式中，认证令牌236是JavaScript对象标记(JSON)网页令牌(JWT)。关于图3示出并描述了作为JWT的认证令牌236的结构和内容。

示例性认证令牌

图3示出了根据本申请所述技术中的一种或更多种实现方式的认证令牌300。图中所示出的认证令牌300为具有标准JSON网页令牌(JWT)格式的数据结构，但是不脱离本申请权利要求所限定范围的其它格式也是可以使用的。认证令牌300包括：报头302、有效负载304和签名306。

报头302包括报头数据308，这种报头数据308通常由两部分组成，这两个部分为：令牌的类型，以及与令牌一起使用的数字签名算法(例如HMAC SHA256、RSASSA-PSS等)。可使用Base64、Base64url或其他一些相互认可的机制对报头数据308进行编码，以产生报头302。报头的示例如下：

b64({

typ:'JWT',

alg:'PS256'

})

在上述示例中，报头指示令牌类型是JSON网页令牌，并且PS256算法可与该令牌一起使用。

有效负载304(有时称为“主体”)包括关于实体的声明，并且还可以包含附加数据。在所提供的示例中，有效负载304至少包括：客户端公钥310(类似于图2的客户端公钥228)以及与客户端装置202(图2)相关联的唯一用户标识符(UUID)。通常，有效负载304还将包含其它信息，诸如标识令牌的发行者、令牌的主题，令牌的到期时间等的信息。可对客户端公钥310和其他数据(如果存在的话)进行编码，以产生有效负载304。尽管在图3中基于Base64示出了这种编码方式，但是，这种编码方式也可以使用任何已知的编码方式，只要所使用的编码方式适合本申请所述技术的目的即可。有效负载的示例如下所示：

b64({

"exp":"84600",

"iat":"1481699266017",

"iss":"https://account.t-mobile.com",

"aud":"mytmo",

"nonce":"NONCE",

"authjime":"1481699265",

"at":"3285.432656yt245462$％3521 1 12m4",

"sub":"U-96be1 cf7-0f9f-450c-bdbe-1 1d6e12f9926",

"rt":"R5,T2,M2"

"acr":"loa2",

"amr":"password",

"cnf":"CLIENTS public KEY",

"enttype":"ABFZ"

"ent":

"eJyNjjsOwjAQR08ytQs7WZu10yiQaLgAcgHBRaTgSLFdRbk7YEQD4tOsNNo3ozcjhZT6McLNKCIMuzMcckgZi8Cx68YSc4l7zM+wL5dTmG6Q5ZXR1 DYSAuvN9g 7FMgyiHpjGKtlGXmDoY6gl_75Qiw1LaBn4RP/6VeHXgrw6PtqGPEIAsFbWWtbTE yjLhT6eWuDr55QrkPI53"

})

在这个示例中，有效负载将发布者标识为“account.t-mobile.com”，将UUID标识为“U-96be1 cf7-0f9f-450c-bdbe-1 1d6e12f9926”，并且有效负载也标识出了客户端公钥。

通过身份提供方私钥312(例如，图2的IDP私钥230)对经编码的报头302及经编码的有效负载304进行签名可创建签名306。其中，可使用报头数据308中所识别的数字签名算法(例如，HMAC SHA256、RSASSA-PSS等)创建签名306。签名306可用于查证令牌的发送者是否为令牌所声明的发送者并可用于确保消息自从发送者始发并未被改变。

再参考图2，身份提供方204将认证令牌240发送到客户端装置202，更具体而言，身份提供方204将认证令牌240发送到客户端装置202的认证应用程序218。身份提供方204可以在向客户端装置202发送认证令牌240之前在本地存储认证令牌246。当认证应用程序218接收到认证令牌240之后，可将认证令牌240存储在客户端装置202的存储器212中。

利用目前为止所描述的元件，客户端装置202可通过向安全服务提供方呈现授权令牌236而请求对安全服务进行访问。但是，如前所述，通过网络发送授权令牌236会使授权令牌236面临被恶意行为者挪用和使用的风险。

为了防止授权令牌被恶意行为者所检测到并进行窃取，认证应用程序218还用于创建POP令牌238，上述POP令牌238可用于访问安全服务的请求中。类似于前文结合图3所述的认证令牌300，POP令牌238可以是JSON网页令牌。如下所述，可以使用嵌入在认证令牌236中的客户端公钥224对POP令牌238进行验证。因此，服务提供方可以查证提出访问请求的实体与向其发出认证令牌236的实体相同。如果认证和/或POP令牌238被盗，则服务提供方不允许请求者访问服务提供方。此外，除非认证令牌300和私钥都为恶意行为者所窃取，否则行为者无法使用认证令牌300。

示例性所有权证明(POP)令牌

图4示出了根据本申请所述技术的一种或更多种实施方式的所有权证明(POP)令牌400。图中所示出的POP令牌400具有标准JSON网页令牌(JWT)格式的数据结构，但在不脱离本申请权利要求所保护范围的情况下，也可以使用其他格式。其中，POP令牌400可包括：报头402、有效负载404和签名406。

其中，报头402可包括报头数据408，报头数据408通常由令牌的类型以及与令牌一起使用的数字签名算法(例如HMAC SHA256，RSASSA-PSS等)两部分组成，但报头数据并非必须由上述两部分组成。报头数据408使用Base64、Base64url或其他一些互相承认的方案进行编码，以产生报头402。

有效负载404包括有效负载数据410，这种有效负载数据410包括关于实体的声明和/或诸如提示令牌颁发者、令牌主旨等信息的其他数据。可对有效负载数据410进行编码，以产生有效负载304。虽然，在图4中示出的示例中根据Base64进行上述编码，但只要所使用的编码方法符合本申请所述技术的目的，也可以使用任何已知的编码方法。

通过利用客户端私钥密钥412(如图2所示的客户端私钥密钥224)对经编码的报头402和经编码的有效负载404进行签名，可创建签名406。可使用在报头数据408中标识的数字签名算法(例如，HMAC SHA256、RSASSA-PSS等)创建签名406。签名406用于查证POP令牌的发送者是向其颁发认证令牌的实体，并用于确保消息自从发送者始发并未被改变。

示例性客户端-服务器交互

图5是示例性客户端-服务器系统500的图示，其中可以使用认证令牌(类似于图2的认证令牌246)。客户端-服务器系统500包括客户端装置502，其类似于关于图2示出并描述的示例性电子装置202。客户端-服务器系统500还包括服务器504，其被配置为提供授权并对安全服务进行访问。服务器504包括认证模块506，其可以访问身份提供方的公钥508(类似于图2中的IDP公钥232)。

客户端装置502具有POP令牌510，其中POP令牌510的结构类似于图2中POP令牌246。同时，客户端装置502还具有认证令牌512，其类似于IDP 204(图2)发出的认证令牌236。在初始操作中，客户端装置502在发往访问服务器504的请求中提供POP令牌510和认证令牌512。如将在下面更详细地讨论的，在至少一种实施方式中，这些令牌可包含于HTTP请求内。在令牌可以包含在授权报头中的情况下，使用HTTP请求提供了一种可将令牌传递到服务器504的通用而简单的方法。但是，也可使用替代性方法来传递POP令牌510和认证令牌512。而服务器504可以存储POP令牌510和认证令牌512的本地副本。

由于服务器504与身份提供方具有现存的信任关系，如IDP公钥508的服务器所有权所指示的，服务器504可使用IDP公钥508来对认证令牌512进行验证并提取客户端公用密钥514。然后，认证模块506可以使用客户端公用密钥514来使通过与客户端公用密钥514相对应的私钥密钥所签名的POP令牌510进行验证。

因此，服务器504至少能够确认两件事：(1)使用客户端公钥514从服务器504所信任的身份提供方获取认证令牌512；以及(2)自从由客户端装置502创建POP令牌510，该POP令牌510未发生改变。此外，由于客户端私钥从未在网络上进行传输，因此未授权实体无法通过窃取和使用客户端私钥来访问服务器504。

示例性HTTP请求：客户端到服务器

图6示出了来自客户端装置并用于访问由服务器提供的安全服务的HTTP请求600的结构。HTTP请求600包括：报头602和主体604。HTTP授权报头的语法为：<type(类型)><credentials(凭证)>，其中<type>为“Basic(基本)”、“Bearer(载体)”、“Digest(摘要)”、“Mutual(相互)”或其他一些公认的类型。其中<credentials>是与请求的发送者相关的标识符，通常<包括用户标识符和密码，但是本技术涉及单点登录(SSO)过程，而上述单点登录过程无需使客户端在针对安全服务器的每一个请求中都包括用户ID和密码。

在本示例中，认证令牌606和POP令牌608包含于头部602凭证中。与图3所示的认证令牌300类似，认证令牌606包括来自受信身份提供方的报头数据610、客户端公钥612和签名614。POP令牌类似于POP令牌400(图4)，并且POP令牌包括：报头数据616、主体数据618以及用客户端私钥(图2，222)创建的签名620。最后，HTTP请求600可包括位于请求600的主体604中的参数622。

请注意，其他数据也可以包括在HTTP请求600中。但是，图6旨在提出一种方式，其中认证令牌和POP令牌包含于对由安全服务器所提供的安全服务器进行访问的请求中。

示例性客户端-服务器-服务器交互

图7示出了示例性客户端-服务器-服务器系统700，其中可以使用(类似于图2的授权令牌246的)认证令牌。客户端-服务器-服务器系统700描述了在创建可与认证令牌一起呈现给第二服务器的修改后POP令牌的过程中如何通过第一服务器重用认证令牌。当已经被客户端访问的服务器需要代表客户端或代表其自身访问第二服务器时，上述设置是很有用的。通过上述方式，客户端可以访问第二服务器，这种过程可能对客户端不透明，而第二服务器也无需进行身份验证处理或向身份提供方发起呼叫。

客户端-服务器-服务器系统700包括客户端装置702，这种客户端装置类似于关于图2示出并描述的示例性电子装置202。同时，客户端-服务器-服务器系统700还包括第一服务器704和第二服务器706，上述两个服务器都用于提供对安全服务进行授权和访问。

客户端装置702具有POP令牌708，这种POP令牌与图2中的POP令牌246具有类似的结构。客户端装置702还具有认证令牌710，这种认证令牌类似于IDP204(图2)发出的认证令牌236。第一服务器704包括认证模块712，这种认证模块可以访问身份提供方的公钥714(类似于图2的IDP公钥232)，其利用公钥714已和第一服务器704已建立了信任关系公钥公钥。第一服务器704还包括：第一服务器公钥716以及相应的第一服务器私钥718。

第二服务器706包括认证模块720，由于身份提供方与第二服务器706之间具有信任关系，所以身份验证模块720可对身份提供方公钥714进行访问。第二服务器704还具有第二服务器公钥722以及相应的第二服务器私有密钥724。

最初，客户端装置702在访问第一服务器704的请求中提供POP令牌708和认证令牌710。上述请求可采用HTTP请求的形式(如图6所示)，其中所包括的POP令牌708和认证令牌710可作为HTTP授权报头。然而，也可以使用其它方式将POP令牌708和认证令牌710从客户端装置702发送到第一服务器704。第一服务器704可以存储POP令牌的本地副本708和认证令牌710的本地副本。

使用上述技术方案，可使认证模块712从认证令牌710获得客户端公钥726，并且认证模块712可用客户端公钥726对POP令牌708进行验证。在本示例中，当出现第一服务器704需要代表客户端装置702访问第二服务器706的情况时，第一服务器704的认证模块712可以创建额外的POP令牌728。这种新的POP令牌728的产生方式与上文结合图4所示出并描述的POP令牌400的产生方式相同。进而，可使第一服务器704对其针对第二服务器706做出的请求进行签名。

新的POP令牌728包括对应于第一服务器704的数据，并可用第一服务器的私钥718对POP令牌进行签名。请求从第一服务器704发送到第二服务器706。这种请求包括：认证令牌710和新的POP令牌728。第二服务器706接收请求并对认证令牌710和新的POP令牌728进行储存。使用上述技术方案，第二服务器706的认证模块720可从认证令牌710获得客户端公钥726，并将客户端公钥726存储于本地。而后，认证模块720可查证新的POP令牌728，以确认新的POP令牌由请求实体(第一服务器704)创建。需要注意的是，POP令牌708(即第一POP令牌)也可以包括在这种请求中，以使第二服务器706可以识别已签名的交易链。

第二服务器706，目前至少可以证明两件事：(1)认证令牌710是由受信的身份提供方颁发给客户端装置702的；以及(2)新的POP令牌728是由请求中标识的发送实体(第一服务器704)发送的。因此，知道了没有对认证令牌710以及POP令牌728和708进行修改或误用且客户端装置702和请求实体(第一服务器704)是可以信任的，便可对请求链进行验证。

根据需要，可以重用认证令牌710并将其传递给后续的服务器。由于每个服务器都会收到包含有由先前服务器所创建的认证令牌和POP令牌的请求，因为可由请求中所接收到的信息对请求实体(装置或一个或更多个先前服务器)进行验证，所以无需对身份服务进行调用。与当前可用的技术相比，上述技术节省了计算资源和网络带宽。

同时，上述技术的其他变体实施方式也是可用的。例如，第一服务器704可在不修改请求的情况下将请求传递到第二服务器706。在这样的实例中，第二服务器706接收POP令牌708和认证令牌710，而且第二服务器706不必知晓其中牵涉到第一服务器704。在一种替代性实施方式中，第一服务器704可以为其自身获取不同的认证令牌(未示出)并创建新的POP令牌(未示出)，从概念上讲，其涵盖了POP令牌708和认证令牌710以及新的POP令牌。这种技术实际上是围绕所收到的请求嵌套新的POP令牌。

示例性HTTP请求：第一服务器到第二服务器

图8示出了来自第一服务器(Server1)并用于访问由第二服务器(Server2)提供的安全服务的HTTP请求800的结构。HTTP请求800包括：报头802和主体804。报头802包括：认证令牌806和POP令牌808。与图3所示的认证令牌300类似，认证令牌806包括来自受信身份提供方的报头数据810、公用密钥812及签名814。类似于POP令牌400(图4)，并且POP令牌808包括利用客户端私钥(图2，222)所创建的报头数据816、主体数据818和签名820。最后，HTTP请求800包括请求800的主体804中的参数822。

需要注意的是，在HTTP请求800中也可以包括其他数据。但在图8所示出的方式中，授权令牌和POP令牌可包含于从第一服务器送往第二服务器的访问请求中，其中第二服务器使用了已对第一服务器进行访问的户端公钥。

示例性方法实施-客户端

图9是独立的验证请求方法在客户端进行操作的示例性方法实现的流程图900，上述独立的验证请求方法使用具有客户端公钥的认证令牌和通过客户端私钥签名的POP令牌。流程图900示为逻辑流程图中方框的集合，而这种逻辑流程图可用于代表通过硬件、软件或软硬件的结合所执行的一系列操作。在使用软件的环境中，方框代表计算机可执行指令，当由一个或更多个处理器执行时上述计算机可执行指令，可执行本申请所公开的操作。通常，上述计算机可执行指令可包括：例程、程序、组件、数据结构以及用于执行特定任务或实现特定抽象数据类型的其它结构类型。本申请说明书中所公开的操作顺序并不希望被理解为限制，并且可通过任何顺序和/或并行地组合任意数量的所描述的方框以实现这种方法。在以下的描述中，将结合上述说明书附图中所标出的元件及标号进行描述。

在方框902处，客户端装置202中认证应用程序218的请求生成器226可创建发送给身份提供方204的请求。这种请求包括客户端公钥224。在至少一种实现方式中，上述请求为HTTP请求，并且客户端公钥224包含于HTTP请求的授权报头中。在方框904处，可将请求传送到身份提供方204。

响应上述请求，客户端装置202可从身份提供方接收认证令牌236。认证令牌236包含嵌入其中的客户端公钥224。认证令牌236可以是JSON网页令牌(JWT)，其中客户端公钥224包含在JWT的有效负载中。

当客户端装置202拥有认证令牌236时，客户端装置创建用客户端公钥224签名的资产证明(POP)令牌238(方框908)。这种操作可以由诸如请求生成器226、认证应用程序218、密码模块220等客户端装置202的任何组件来完成。创建POP令牌238的客户端装置202的特定组件并不是关键的，而在这种操作可能会因不同的实施方式而异。

在方框910，请求生成器226创建包含有认证令牌236和POP令牌238的请求。在至少一种实施方式中，这种请求是HTTP请求，这种HTTP请求包括认证报头中的认证令牌236和POP令牌238。在方框912中，将包含认证令牌236和POP令牌238的请求发送到运行安全服务的服务器(图5，504)。

示例性方法实现-服务器

图10是独立的验证请求方法在服务器端进行操作的示例性方法实现的流程图1000，上述独立的验证请求方法可使用具有客户端公钥的认证令牌和通过客户端私钥签名的POP令牌。流程图1000示出了逻辑流程图中方框的集合，而这种逻辑流程图可用于代表通过硬件、软件或软硬件的结合所执行的一系列操作。在使用软件的环境中，方框代表计算机可执行指令，当由一个或更多个处理器执行时上述计算机可执行指令，可执行本申请所公开的操作。通常，上述计算机可执行指令可包括：例程、程序、组件、数据结构以及用于执行特定任务或实现特定抽象数据类型的其它结构类型。本申请说明书中所公开的操作顺序并不希望被解读为限制，并且可通过任何顺序和/或并行地组合任意数量的所描述的方框以实现这种方法。在以下的描述中，将结合上述说明书附图中所标出的元件及标号进行描述。

在方框1002中，运行安全服务的服务器504(图5)从客户端装置502接收访问安全服务的请求。该请求包括认证令牌512和POP令牌514。虽然也可以使用其它请求格式，但在至少一种实现方式中，请求是在授权报头中包括认证令牌512和POP令牌514的HTTP请求。认证令牌512在构造上与先前描述的那些认证令牌相似，并且上述认证令牌包括客户端公钥。

在方框1004，服务器504通过从受信的身份提供方204(图2)获得的公钥508对认证令牌512进行验证公钥。因此，服务器504可以访问包括在认证令牌512中的客户端公钥514。在方框1006中，服务器504用客户端公钥514对POP令牌514进行验证。在方框1008中，服务器504尝试验证在POP令牌中标识的客户端装置202是实际请求者，并尝试验证认证令牌是由受信身份提供方204颁发给客户端装置502的令牌。

如果多个令牌中的一个令牌不能被验证(方框1010的“否”分支)，则服务器504在方框1012处拒绝访问或仅提供受限访问。如果认证令牌510和POP令牌512都有效(方框1010的“是”分支)，则服务器504授权对客户端装置502进行访问(方框1014)。

结论

虽然已通过特定于结构性特征和/或方法动作的语言描述了本主题内容，但应当理解的是，本申请权利要求书中限定的主题内容并不限于其中所描述的特定特征和/或动作。而是，特定特征及动作被公开为实现权利要求的示例性形式。

Claims (15)

1.一种方法，包括：

创建所有权证明(POP)令牌，用客户端私钥对所述所有权证明令牌进行数字化签名，所述客户端私钥与包括在认证令牌中的客户端公钥相对应；

创建发送至服务器的请求，以访问所述服务器上的安全服务，所述请求至少包括所述认证令牌和所述POP令牌；以及

将所述请求发送到所述服务器，以访问所述安全服务。

2.根据权利要求1所述的方法，进一步包括：

向身份提供方发送用于认证的请求，所述请求包括所述客户端公钥；

从所述身份提供方接收所述认证令牌，所述认证令牌包括所述客户端公钥；

其中由所述身份提供方通过身份提供方私钥对所述认证令牌进行签名，并且所述认证令牌能被身份提供方公钥验证。

3.根据权利要求2所述的方法，其中所述身份提供方与所述服务器具有已建立的信任关系，使得所述服务器具有身份提供方公钥，所述身份提供方公钥与身份提供方私钥相对应，所述身份提供方私钥用于对所述认证令牌进行签名。

4.根据权利要求1所述的方法，其中在从所述认证令牌中提取所述客户端公钥之后，通过所述客户端公钥对所述POP令牌进行验证。

5.根据权利要求1所述的方法，其中所述客户端公钥被嵌入于所述认证令牌中。

6.根据权利要求1所述的方法，其中所述请求进一步包括超文本传输协议(HTTP)请求，并且其中，所述认证令牌和所述POP令牌包含于所述HTTP请求的授权报头内。

7.一种方法，包括：

接收访问安全服务的请求，所述请求包括第一令牌和第二令牌；

从所述第一令牌中提取客户端公钥；

用从所述第一令牌中所提取的所述客户端公钥验证所述第二令牌；以及

一旦验证了所述第二令牌，授权对所述安全服务的访问。

8.根据权利要求7所述的方法，其中所述第一令牌对请求装置进行验证，并且所述第二令牌对所述请求的来源进行验证。

9.根据权利要求7所述的方法，其中所述第一令牌是由受信的身份提供方创建并签名的，并且其中，所述提取进一步包括：使用身份提供方公钥对所述第一令牌进行验证，以获取所述客户端公钥。

10.根据权利要求7所述的方法，其中所述请求为授权报头中包括所述第一令牌和所述第二令牌的超文本传输协议(HTTP)请求。

11.根据权利要求7所述的方法，还包括：

创建由服务器私钥签名的第三令牌；

通过将所述第一令牌和所述第三令牌发送到第二服务器来请求对所述第二服务器的访问；并且

其中，所述第一令牌用于验证客户端装置，并且所述第三令牌用于验证请求实体，并且所述第二服务器基于对至少所述第一令牌的验证来授权所述客户端装置进行访问。

12.一种或更多种计算机可读介质，包含计算机可执行指令，包括：

当被执行时，接收来自客户端装置的访问安全服务的请求的代码段，所述请求包括第一令牌和第二令牌；

当被执行时，从所述第一令牌中提取客户端公钥的代码段；

当被执行时，用从所述第一令牌中所提取的所述客户端公钥验证所述第二令牌的代码段；以及

当被执行时，一旦成功验证了所述第二令牌，授权对所述安全服务的访问的代码段。

13.根据权利要求12所述的一种或更多种计算机可读介质，还包括：

当被执行时，创建由第一服务器私钥签名的第三令牌的代码段；

当被执行时，创建对所述第二服务器的请求的代码段，所述请求包括所述第一令牌和所述第三令牌；并且

其中，所述第三令牌能通过第一服务器公钥被验证，并且所述第一令牌能通过身份提供方公钥被验证。

14.根据权利要求12所述的一种或更多种计算机可读介质，其中所述客户端装置公钥能通过利用创建所述第一令牌的身份提供方的公钥从所述第一令牌提取。

15.根据权利要求12所述的一种或更多种计算机可读介质，其中所述第一令牌是将客户端装置公钥存储在所述第一令牌的经数字签名的主体中的JSON网页令牌。

Images