CN114268506A - 接入服务方设备的方法、接入方设备和服务方设备 - Google Patents
接入服务方设备的方法、接入方设备和服务方设备 Download PDFInfo
- Publication number
- CN114268506A CN114268506A CN202111624825.7A CN202111624825A CN114268506A CN 114268506 A CN114268506 A CN 114268506A CN 202111624825 A CN202111624825 A CN 202111624825A CN 114268506 A CN114268506 A CN 114268506A
- Authority
- CN
- China
- Prior art keywords
- client
- access
- information
- service
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 37
- 238000012795 verification Methods 0.000 claims description 19
- 238000004364 calculation method Methods 0.000 claims description 10
- 230000005540 biological transmission Effects 0.000 claims description 2
- 230000015654 memory Effects 0.000 description 23
- 230000008569 process Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 6
- 230000009471 action Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 229910003460 diamond Inorganic materials 0.000 description 3
- 239000010432 diamond Substances 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 229910052737 gold Inorganic materials 0.000 description 1
- 230000002427 irreversible effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
Images
Abstract
本申请公开了用于接入面向企业的服务方设备的方法、接入面向企业的服务方设备的接入方设备、以及面向企业的服务方设备。该包括:客户端在成功登录接入方设备后,向接入方设备发出接入请求;接入方设备为客户端分配身份标识信息;接入方设备根据接入请求,获取应用标识和应用密钥,并基于预定加密算法,使用应用密钥以及包含身份标识信息和应用标识的内容要素,计算出签名信息;接入方设备经由客户端将内容要素和签名信息发送给服务方设备;服务方设备基于预定加密算法,使用应用密钥以及接收到的内容要素,计算出验证信息,并基于验证信息和接收到的签名信息,来判断是否验证成功。本发明中的认证服务和业务服务两者彼此独立,确保用户信息的安全性。
Description
技术领域
本申请涉及一种用于接入面向企业的服务方设备的方法、接入方设备和服务方设备。
背景技术
身份认证技术用于对访问者的身份合法性进行核验,对身份核验通过的用户放行并准许其访问相应的服务端资源或具体的业务服务,身份核验失败的用户则拒绝其访问对应的服务资源,与此同时认证方案还应当具备一定的抗恶意攻击能力,即用于标识已认证的来访者的身份凭证信息难以被伪造、难以被窃取,即使被盗取其影响范围也可控,有可靠渠道可以吊销身份凭证信息。
现有技术中,存在一种方案,其适用场景可简化描述如下:服务方同时也是认证方,即服务方自身维护了一套用户注册信息,认证时只需先匹配登录信息同服务方中保存的用户注册信息是否一致,一致则认证通过,同时服务方也一并知晓了认证结果。这种方案基于一个前提,即认证方同时也是服务方,业务服务与认证服务二者不可分离,即等同于服务方知晓注册用户的注册信息细节。例如,微软的Hotmail邮件服务,客户端需使用在Hotmail注册的账号并且使用密码完成登录,完成身份认证,登录成功后才可以收发电子邮件(请求具体业务)。
现有技术中,还存在另一种方案,在该方案所覆盖的场景中,身份认证服务是统一的一个第三方,业务服务方不负责身份认证,而是借助第三方完成认证,且信任第三方的认证结果,为通过认证的用户提供业务服务。例如,使用微信登录信息来登录拼多多客户端,微信方对用户的身份信息进行认证(身份认证),同时微信向拼多多客户端颁发一份身份凭证,用户在拼多多客户端使用微信颁发的身份凭证去线上购物(请求具体业务)。
然而,对于面向企业(toB)的服务方的业务场景,存在多个接入方,且每个接入方都有自己的用户注册信息,服务方是具体业务服务的提供方,此时身份认证方和业务服务方是角色分离的,且同时存在多个身份认证方(因为每个接入方都维护了一套自己的客户信息注册系统),因此以上两种方案都无法满足这种toB业务场景的需求。
发明内容
本申请实施例提供了一种用于接入面向企业的服务方设备的方法、接入面向企业的服务方设备的接入方设备、以及面向企业的服务方设备。
第一方面,本申请实施例提供了一种用于接入面向企业的服务方设备的方法,所述方法包括:客户端在成功登录接入方设备后,向所述接入方设备发出要接入所述服务方设备的接入请求;所述接入方设备为所述客户端分配专用于所述客户端的身份标识信息;所述接入方设备根据所述接入请求,获取所述服务方设备提供的专用于所述接入方设备的应用标识和应用密钥,并基于预定加密算法,使用所述应用密钥以及包含所述身份标识信息和所述应用标识的内容要素,计算出专用于所述客户端的签名信息;所述接入方设备经由所述客户端将所述内容要素和所述签名信息发送给所述服务方设备;所述服务方设备基于所述预定加密算法,使用所述应用密钥以及接收到的所述内容要素,计算出验证信息,并基于所述验证信息和接收到的所述签名信息,来判断是否验证成功。
在上述第一方面的一种可能的实现中,所述预定加密算法是HMAC算法。
在上述第一方面的一种可能的实现中,所述内容要素还包括所述接入请求的时间戳以及额外信息,其中,所述额外信息是所述接入方设备为所述客户端设置的与所述服务方设备的业务相关的信息。
在上述第一方面的一种可能的实现中,所述接入方设备通过加密信道将所述内容要素和所述签名信息发送给所述客户端,然后,所述客户端将所述内容要素和所述签名信息发送给所述服务方设备。
在上述第一方面的一种可能的实现中,如果所述验证信息和接收到的所述签名信息相同,则判断出验证成功,使得所述客户端能够向所述服务方设备请求服务。
在上述第一方面的一种可能的实现中,在验证成功后,所述客户端使用所述身份标识信息,向所述服务方设备请求服务,并且所述服务方设备基于接收到的所述内容要素,确定是否执行所述客户端所请求的服务。
在上述第一方面的一种可能的实现中,所述身份标识信息包含用户标识和令牌组,所述令牌组包含访问令牌和签名令牌,
其中,所述服务方设备使用接收到的所述内容要素中的所述身份标识信息所包含的所述用户标识和所述访问令牌,对所述客户端进行识别,并且在识别成功后,使用所述签名令牌来判断是否执行所述客户端所请求的服务。
在上述第一方面的一种可能的实现中,所述客户端是所述接入方设备的注册客户端,其中,所述接入方设备对所述客户端进行认证,以确定所述客户端是否能够成功登陆所述接入方设备。
第二方面,本申请实施例提供了一种接入面向企业的服务方设备的接入方设备,用于执行第一方面的方法,所述接入方设备包括:接收单元,从成功登录的客户端接收要接入所述服务方设备的接入请求;分配单元,为所述客户端分配专用于所述客户端的身份标识信息;第一计算单元,根据所述接入请求,获取所述服务方设备提供的专用于所述接入方设备的应用标识和应用密钥,并基于预定加密算法,使用所述应用密钥以及包含所述身份标识信息和所述应用标识的内容要素,计算出专用于所述客户端的签名信息;发送单元,用于经由所述客户端将所述内容要素和所述签名信息发送给所述服务方设备。
在上述第二方面的一种可能的实现中,还包括认证单元,对所述客户端进行认证,以确定所述客户端是否能够成功登陆所述接入方设备。
上述接收单元、分配单元、第一计算单元、发送单元、认证单元可以通过电子设备中具有这些模块或单元功能的处理器实现。
第三方面,本申请实施例提供了一种面向企业的服务方设备,用于执行上述第一方面所述的方法,包括:第二计算单元,基于所述预定加密算法,使用所述应用密钥以及接收到的所述内容要素,计算出验证信息;验证单元,基于所述验证信息和接收到的所述签名信息,来判断是否验证成功。
上述第二计算单元、验证单元可以通过电子设备中具有这些模块或单元功能的处理器实现。
本发明中,由接入方负责对用户(客户端)进行认证服务,而服务方只需要负责提供业务服务,认证服务和业务服务两者彼此独立,因此接入方的用户信息无需向服务方或其他第三方公开,确保用户信息的安全性。另外,本发明中基于HAMC算法,可以有效地保护用户信息,以防止被伪造。进一步,本发明中完全基于HAMC算法,与传统的非对称加密算法在实现上更加简单和高效。
附图说明
图1根据本申请的一些实施例,示出了用于接入面向企业的服务方设备的场景示意图;
图2根据本申请的一些实施例,示出了用于接入面向企业的服务方设备的方法的流程示意图;
图3根据本申请的一些实施例,示出了接入面向企业的服务方设备的接入方设备的结构图;
图4根据本申请的一些实施例,示出了面向企业的服务方设备的结构图;
图5根据本申请的一些实施例,示出了电子设备的示意图。
具体实施方式
下面将结合附图对本申请的实施例作进一步地详细描述。
图1示出了本申请实施例的用于接入面向企业的服务方设备的场景示意图。如图1所示,多个接入方(例如接入方11、接入方12)可以例如通过网络与服务方设备10进行通信。图1中仅示出了两个接入方,但是可以理解的是,接入方的数量可以是任意个,而不受限制。
服务方设备10例如是为各个接入方提供服务的服务方的业务服务器10,业务服务器10例如可以提供实时音视频的业务,或者可以提供虚拟币消费的业务等等。
本实施例中,以接入方11为例进行说明,可以理解的是,其他接入方可以以类似的方式进行操作。接入方例如是游戏公司等等。
如图1所示,接入方11包括接入方设备111(例如,接入方服务器111)以及接入方客户端112,接入方客户端112是接入方11自己开发的客户端应用,供用户使用。可以理解的是,接入方客户端112可以安装在用户的电子设备(例如,移动终端、平板电脑、笔记本等等)上。可以理解的是,不同的接入方客户端112可以对应于不同的用户。图1中仅示出了一个接入方客户端112,但是可以理解的是,接入方11的接入方客户端112的数量可以是任意个,而不受限制。
本实施例中,以接入方客户端112(以下简称为“客户端112”)为例进行说明,可以理解的是,其他客户端112可以以类似的方式进行操作。
可以理解的是,接入方服务器111、接入方客户端112以及业务服务器10之间通过网络进行通信。
下面描述接入方11接入业务服务器10的过程。
接入方11的接入方服务器111(以下简称为“服务器111”)向业务服务器10发出接入请求后,业务服务器10向服务器111分配专属的应用标识(AppId)和应用密钥(AppKey),AppId和AppKey都是预定长度的字符串,但是内容并不相同。可以理解的是,业务服务器10为不同接入方的服务器分配的AppId和AppKey都是不相同的。此时,服务器111和业务服务器10都知晓AppId和AppKey。
另外,服务器111会在客户端112中埋入AppId,因此客户端112知晓AppId,但不知晓AppKey。
通过上述过程,接入方11和业务服务器10之间建立了信任关系。
另外,客户端112的用户A在使用客户端112时,先使用注册信息进行身份注册,使得用户A成为接入方11的注册用户,即,客户端112是接入方11的服务器111的注册客户端。如此,用户A(即,客户端112)和接入方11之间建立了信任关系。
图2示出了根据本申请的实施例的用于接入面向企业的服务方设备的方法的流程示意图。下面结合图1和图2进行详细说明书。
在步骤S201,客户端112在成功登录服务器111后,向服务器111发出要接入业务服务器10的接入请求。
如上所述,客户端112是接入方11的服务器111的注册客户端,在客户端112要登陆服务器111时,由服务器111对客户端112进行认证,以确定客户端112是否能够成功登陆服务器111。可以理解的是,对于客户端112的身份认证是由接入方11的服务器111来完成的,而非依赖于业务服务器10或其他第三方。如此,可以确保客户端112的身份信息的安全。
在步骤S202,服务器111在接收到接入请求后,为客户端112分配专用的身份标识信息。身份标识信息包括用户标识(uid)和令牌组(token组)。可以理解的是,服务器111为不同客户端分配不同的uid和token组。
在步骤S203,服务器111根据接入请求,获取业务服务器10提供的专用于服务器111的AppId和AppKey。可以理解的是,AppId和AppKey是在上述接入方11接入业务服务器10的过程中被分配的。
然后,服务器111基于预定加密算法,使用AppKey以及包含身份标识信息和AppId的内容要素,计算出专用于客户端112的签名信息。其中,预定加密算法例如是HMAC算法,服务器111基于HMAC算法,使用AppKey以及内容要素,计算出签名信息。
HMAC算法由HASH算法改进而来,其基本过程是:给定任意长度明文D,约定一个密钥B,D和B共同参与数学运算后生成定长内容C(比如HMAC MD5对应的定长是16个字节),并且此过程不可逆,即只能由D和B一起生成C,无法由C反推出D和B。并且只有正确的明文D和正确的密钥B才能再次生成相同的C。
可以理解的是,预定加密算法可以包括其他算法,只要该算法是通过可公开信息加不可公开信息组成目标内容,对该目标内容执行单向散列算法(HASH算法)即可满足场景。该算法只要满足如下两点即可:1)参与运算的内容由可公开信息和不可公开信息构成。2)算法必须是单向散列算法,可正向校验但不可逆向还原。
在步骤S204,服务器111经由客户端112将内容要素和签名信息发送给业务服务器10。具体的,服务器111通过加密信道将内容要素和签名信息发送给客户端112,加密信道例如是HTTPS,WSS等。然后,客户端112将内容要素和签名信息发送给业务服务器10。
加密信道现有标准化的方案TLS/SSL(安全传输层协议),HTTPS或WSS均为其场景化应用,TLS/SSL用于HTTP,即为HTTPS,用于WS(WebSocket)即为WSS。
在步骤S205,服务器111基于HMAC算法,使用专属于服务器111的AppKey以及接收到的内容要素,计算出验证信息,并基于验证信息和接收到的签名信息,来判断是否验证成功。
具体的,如果计算出的验证信息和接收到的签名信息相同,则判断出验证成功,客户端112能够向业务服务器10请求服务,即,业务服务器10能够向客户端112提供服务。
在验证成功后,客户端112使用身份标识信息,向业务服务器10请求服务,并且业务服务器10基于接收到的内容要素,确定是否执行客户端10所请求的服务。
如上所述,身份标识信息包含用户标识(uid)和令牌组(token组)。可以理解的是,在用户A成功登陆服务器111之后(即,用户A被服务器111认证之后),服务器111就为用户A(客户端112)分配了专用的身份标识信息,即,uid和token组。token组包括访问令牌(AccessToken)和签名令牌(SignatureToken)
当用户A通过客户端112向业务服务器10请求服务时,会向业务服务器10发出uid和token组。业务服务器10使用上述接收到的内容要素中的身份标识信息所包含的uid和AccessToken,对客户端112进行识别。可以理解的是,如果业务服务器10接收到的uid和AccessToken与客户端112发来的uid和AccessToken相同,则识别成功。
然后,业务服务器10使用上述接收到的内容要素中的身份标识信息所包含的SignatureToken来判断是否执行客户端112所请求的服务。可以理解的是,如果业务服务器10接收到的SignatureToken与客户端112发来的SignatureToken相同,则同意执行客户端112所请求的服务。
在用户请求服务的过程中,即使通信内容被拦截并被篡改,但是篡改者无法知晓SignatureToken,并且无法伪造,因此,业务服务器10可以通过SignatureToken来判断出通信内容被篡改,并且不执行被篡改的内容。
本发明中,由接入方负责对用户(客户端)进行认证,而服务方只需要负责提供业务服务,认证服务和业务服务两者彼此独立,因此接入方的用户信息无需向服务方或其他第三方公开,确保用户信息的安全性。另外,本发明中基于HAMC算法,可以有效地保护用户信息,以防止被伪造。进一步,本发明中完全基于HAMC算法,与传统的非对称加密算法在实现上更加简单和高效。
进一步,上述内容要素还包括接入请求的时间戳以及额外信息,其中,额外信息是服务器111为客户端112设置的与业务服务器10所提供的业务相关的信息。
在时间戳的有效期范围内,来自客户端112的过期的请求内容一律不会处理,因此可以极大地简化业务服务器10应对极端意外的设计逻辑,从而进一步防止业务服务器10被恶意攻击。
进一步,额外信息是服务器111为客户端112设置的与业务服务器10所提供的业务相关的信息,例如是用于客户端112的指令流水号(TraceId)、权限掩码等等。
例如,在ToB场景中,用户A的客户端112在消费虚拟金币,如果由于用户侧的网络环境发生了wifi切换而产生网络抖动,导致刚好在这个临界点用户A点了一次消费,却导致系统自动成功发出两个同样的消费指令,此时,虽然业务服务器10收到了两个消费指令,但是其有相同的指令流水号(TraceId),所以业务上可以确认用户本质上只想执行一次消费,从而避免了重复消费。
另外,例如,用户A的客户端112是分级别的,并具有对应的权限掩码。例如用户A是钻石用户,具有对应的钻石级别的权限掩码。但业务服务器10并不清楚每个用户的级别,具体的区分规则,是由接入方11的服务器111去管理。业务服务器10在接收到内容要素中的这个权限掩码后,可以根据对应的钻石级别提供对应的服务。
可以理解的是,在执行业务的过程中,各种额外信息也需要被签名保护,防止被恶意篡改。
通过使用时间戳,可以进一步防止业务服务器10被恶意攻击,而通过使用各种额外信息,可以使得业务服务器10能够更有效地提供业务,并且不受其他恶意的攻击。
图3是根据本发明的实施例的接入面向企业的服务方设备的接入方设备的结构图。接入方设备例如是图1中的接入方服务器111,服务方设备例如是图1中的业务服务器10。
如图3所示,接入方服务器111包括接收单元1111、分配单元1112、第一计算单元1113、发送单元1114。接收单元1111从成功登录的客户端112接收要接入业务服务器10的接入请求。分配单元1112为客户端112分配专用于客户端112的身份标识信息。第一计算单元1113根据接入请求,获取业务服务器10提供的专用于接入方服务器111的应用标识和应用密钥,并基于预定加密算法,使用应用密钥以及包含身份标识信息和应用标识的内容要素,计算出专用于客户端112的签名信息。发送单元1114用于经由客户端112将内容要素和签名信息发送给业务服务器10。
接入方服务器111还包括认证单元1115,用于对客户端112进行认证,以确定客户端112是否能够成功登陆接入方服务器111。
可以理解的是,接收单元1111、分配单元1112、第一计算单元1113、发送单元1114、以及认证单元1115可以通过电子设备中具有这些模块或单元功能的处理器实现。
图4是根据本发明的实施例的面向企业的服务方设备的结构图,服务方设备例如是图1中的业务服务器10。如图4所示,业务服务器10包括第二计算单元101和验证单元102。第二计算单元101基于预定加密算法,使用应用密钥以及接收到的内容要素,计算出验证信息。验证单元102基于验证信息和接收到的签名信息,来判断是否验证成功。可以理解的是,第二计算单元101和验证单元102可以通过电子设备中具有这些模块或单元功能的处理器实现。
现在参考图5,图5示意性地示出了根据本发明的实施例的示例电子设备1400。在一个实施例中,电子设备1400可以包括一个或多个处理器1404,与处理器1404中的至少一个连接的系统控制逻辑1408,与系统控制逻辑1408连接的系统内存1412,与系统控制逻辑1408连接的非易失性存储器(NVM)1416,以及与系统控制逻辑1408连接的网络接口1420。
在一些实施例中,处理器1404可以包括一个或多个单核或多核处理器。在一些实施例中,处理器1404可以包括通用处理器和专用处理器(例如,图形处理器,应用处理器,基带处理器等)的任意组合。处理器1404可以被配置为执行各种符合的实施例。
在一些实施例中,系统控制逻辑1408可以包括任意合适的接口控制器,以向处理器1404中的至少一个和/或与系统控制逻辑1408通信的任意合适的设备或组件提供任意合适的接口。
在一些实施例中,系统控制逻辑1408可以包括一个或多个存储器控制器,以提供连接到系统内存1412的接口。系统内存1412可以用于加载以及存储数据和/或指令。在一些实施例中电子设备1400的内存1412可以包括任意合适的易失性存储器,例如合适的动态随机存取存储器(DRAM)。
NVM/存储器1416可以包括用于存储数据和/或指令的一个或多个有形的、非暂时性的计算机可读介质。在一些实施例中,NVM/存储器1416可以包括闪存等任意合适的非易失性存储器和/或任意合适的非易失性存储设备,例如HDD(Hard Disk Drive,硬盘驱动器),CD(Compact Disc,光盘)驱动器,DVD(Digital Versatile Disc,数字通用光盘)驱动器中的至少一个。
NVM/存储器1416可以包括安装电子设备1400的设备上的一部分存储资源,或者它可以由设备访问,但不一定是设备的一部分。例如,可以经由网络接口1420通过网络访问NVM/存储器1416。
特别地,系统内存1412和NVM/存储器1416可以分别包括:指令1424的暂时副本和永久副本。指令1424可以包括:由处理器1404中的至少一个执行时导致电子设备1400实施如图2所示的方法的指令。在一些实施例中,指令1424、硬件、固件和/或其软件组件可另外地/替代地置于系统控制逻辑1408,网络接口1420和/或处理器1404中。
网络接口1420可以包括收发器,用于为电子设备1400提供无线电接口,进而通过一个或多个网络与任意其他合适的设备(如前端模块,天线等)进行通信。在一些实施例中,网络接口1420可以集成于电子设备1400的其他组件。例如,网络接口1420可以集成于处理器1404的,系统内存1412,NVM/存储器1416,和具有指令的固件设备(未示出)中的至少一种,当处理器1404中的至少一个执行所述指令时,电子设备1400实现如图2所示的方法。
网络接口1420可以进一步包括任意合适的硬件和/或固件,以提供多输入多输出无线电接口。例如,网络接口1420可以是网络适配器,无线网络适配器,电话调制解调器和/或无线调制解调器。
在一个实施例中,处理器1404中的至少一个可以与用于系统控制逻辑1408的一个或多个控制器的逻辑封装在一起,以形成系统封装(SiP)。在一个实施例中,处理器1404中的至少一个可以与用于系统控制逻辑1408的一个或多个控制器的逻辑集成在同一管芯上,以形成片上系统(SoC)。
电子设备1400可以进一步包括:输入/输出(I/O)设备1432。I/O设备1432可以包括用户界面,使得用户能够与电子设备1400进行交互;外围组件接口的设计使得外围组件也能够与电子设备1400交互。在一些实施例中,电子设备1400还包括传感器,用于确定与电子设备1400相关的环境条件和位置信息的至少一种。
在一些实施例中,用户界面可包括但不限于显示器(例如,液晶显示器,触摸屏显示器等),扬声器,麦克风,一个或多个相机(例如,静止图像照相机和/或摄像机),手电筒(例如,发光二极管闪光灯)和键盘。
本申请公开的机制的各实施例可以被实现在硬件、软件、固件或这些实现方法的组合中。本申请的实施例可实现为在可编程系统上执行的计算机程序或程序代码,该可编程系统包括至少一个处理器、存储系统(包括易失性和非易失性存储器和/或存储元件)、至少一个输入设备以及至少一个输出设备。
可将程序代码应用于输入指令,以执行本申请描述的各功能并生成输出信息。可以按已知方式将输出信息应用于一个或多个输出设备。为了本申请的目的,处理系统包括具有诸如例如数字信号处理器(DSP)、微控制器、专用集成电路(ASIC)或微处理器之类的处理器的任何系统。
程序代码可以用高级程序化语言或面向对象的编程语言来实现,以便与处理系统通信。在需要时,也可用汇编语言或机器语言来实现程序代码。事实上,本申请中描述的机制不限于任何特定编程语言的范围。在任一情形下,该语言可以是编译语言或解释语言。
在一些情况下,所公开的实施例可以以硬件、固件、软件或其任何组合来实现。所公开的实施例还可以被实现为由一个或多个暂时或非暂时性机器可读(例如,计算机可读)存储介质承载或存储在其上的指令,其可以由一个或多个处理器读取和执行。例如,指令可以通过网络或通过其他计算机可读介质分发。因此,机器可读介质可以包括用于以机器(例如,计算机)可读的形式存储或传输信息的任何机制,包括但不限于,软盘、光盘、光碟、只读存储器(CD-ROM)、磁光盘、只读存储器(ROM)、随机存取存储器(RAM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、磁卡或光卡、闪存、或用于利用因特网以电、光、声或其他形式的传播信号来传输信息(例如,载波、红外信号数字信号等)的有形的机器可读存储器。因此,机器可读介质包括适合于以机器(例如,计算机)可读的形式存储或传输电子指令或信息的任何类型的机器可读介质。
在附图中,可以以特定布置和/或顺序示出一些结构或方法特征。然而,应该理解,可能不需要这样的特定布置和/或排序。而是,在一些实施例中,这些特征可以以不同于说明性附图中所示的方式和/或顺序来布置。另外,在特定图中包括结构或方法特征并不意味着暗示在所有实施例中都需要这样的特征,并且在一些实施例中,可以不包括这些特征或者可以与其他特征组合。
需要说明的是,本申请各设备实施例中提到的各单元/模块都是逻辑单元/模块,在物理上,一个逻辑单元/模块可以是一个物理单元/模块,也可以是一个物理单元/模块的一部分,还可以以多个物理单元/模块的组合实现,这些逻辑单元/模块本身的物理实现方式并不是最重要的,这些逻辑单元/模块所实现的功能的组合才是解决本申请所提出的技术问题的关键。此外,为了突出本申请的创新部分,本申请上述各设备实施例并没有将与解决本申请所提出的技术问题关系不太密切的单元/模块引入,这并不表明上述设备实施例并不存在其它的单元/模块。
需要说明的是,在本专利的示例和说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
虽然通过参照本申请的某些优选实施例,已经对本申请进行了图示和描述,但本领域的普通技术人员应该明白,可以在形式上和细节上对其作各种改变,而不偏离本申请的精神和范围。
Claims (11)
1.一种用于接入面向企业的服务方设备的方法,其特征在于,所述方法包括:
客户端在成功登录接入方设备后,向所述接入方设备发出要接入所述服务方设备的接入请求;
所述接入方设备为所述客户端分配专用于所述客户端的身份标识信息;
所述接入方设备根据所述接入请求,获取所述服务方设备提供的专用于所述接入方设备的应用标识和应用密钥,并基于预定加密算法,使用所述应用密钥以及包含所述身份标识信息和所述应用标识的内容要素,计算出专用于所述客户端的签名信息;
所述接入方设备经由所述客户端将所述内容要素和所述签名信息发送给所述服务方设备;
所述服务方设备基于所述预定加密算法,使用所述应用密钥以及接收到的所述内容要素,计算出验证信息,并基于所述验证信息和接收到的所述签名信息,来判断是否验证成功。
2.根据权利要求1所述的方法,其特征在于,所述预定加密算法是HMAC算法。
3.根据权利要求2所述的方法,其特征在于,所述内容要素还包括所述接入请求的时间戳以及额外信息,其中,所述额外信息是所述接入方设备为所述客户端设置的与所述服务方设备的业务相关的信息。
4.根据权利要求1所述的方法,其特征在于,所述接入方设备通过加密信道将所述内容要素和所述签名信息发送给所述客户端,然后,所述客户端将所述内容要素和所述签名信息发送给所述服务方设备。
5.根据权利要求1所述的方法,其特征在于,如果所述验证信息和接收到的所述签名信息相同,则判断出验证成功,使得所述客户端能够向所述服务方设备请求服务。
6.根据权利要求1所述的方法,其特征在于,在验证成功后,所述客户端使用所述身份标识信息,向所述服务方设备请求服务,并且所述服务方设备基于接收到的所述内容要素,确定是否执行所述客户端所请求的服务。
7.根据权利要求6所述的方法,其特征在于,所述身份标识信息包含用户标识和令牌组,所述令牌组包含访问令牌和签名令牌,
其中,所述服务方设备使用接收到的所述内容要素中的所述身份标识信息所包含的所述用户标识和所述访问令牌,对所述客户端进行识别,并且在识别成功后,使用所述签名令牌来判断是否执行所述客户端所请求的服务。
8.根据权利要求1所述的方法,其特征在于,所述客户端是所述接入方设备的注册客户端,其中,所述接入方设备对所述客户端进行认证,以确定所述客户端是否能够成功登陆所述接入方设备。
9.一种接入面向企业的服务方设备的接入方设备,用于执行如权利要求1所述的方法,其特征在于,所述接入方设备包括:
接收单元,从成功登录的客户端接收要接入所述服务方设备的接入请求;
分配单元,为所述客户端分配专用于所述客户端的身份标识信息;
第一计算单元,根据所述接入请求,获取所述服务方设备提供的专用于所述接入方设备的应用标识和应用密钥,并基于预定加密算法,使用所述应用密钥以及包含所述身份标识信息和所述应用标识的内容要素,计算出专用于所述客户端的签名信息;
发送单元,用于经由所述客户端将所述内容要素和所述签名信息发送给所述服务方设备。
10.根据权利要求9所述的接入方设备,其特征在于,还包括认证单元,对所述客户端进行认证,以确定所述客户端是否能够成功登陆所述接入方设备。
11.一种面向企业的服务方设备,用于执行如权利要求1所述的方法,其特征在于,包括:
第二计算单元,基于所述预定加密算法,使用所述应用密钥以及接收到的所述内容要素,计算出验证信息;
验证单元,基于所述验证信息和接收到的所述签名信息,来判断是否验证成功。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111624825.7A CN114268506A (zh) | 2021-12-28 | 2021-12-28 | 接入服务方设备的方法、接入方设备和服务方设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111624825.7A CN114268506A (zh) | 2021-12-28 | 2021-12-28 | 接入服务方设备的方法、接入方设备和服务方设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114268506A true CN114268506A (zh) | 2022-04-01 |
Family
ID=80830797
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111624825.7A Pending CN114268506A (zh) | 2021-12-28 | 2021-12-28 | 接入服务方设备的方法、接入方设备和服务方设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114268506A (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103607284A (zh) * | 2013-12-05 | 2014-02-26 | 潘志彪 | 身份认证方法及设备、服务器 |
| CN103795690A (zh) * | 2012-10-31 | 2014-05-14 | 华为技术有限公司 | 一种云访问控制的方法、代理服务器和系统 |
| US20140289508A1 (en) * | 2013-03-21 | 2014-09-25 | Tencent Technology (Shenzhen) Company Limited | Method, client and system of identity authentication |
| CN108964885A (zh) * | 2017-05-27 | 2018-12-07 | 华为技术有限公司 | 鉴权方法、装置、系统和存储介质 |
| CN108965230A (zh) * | 2018-05-09 | 2018-12-07 | 深圳市中信网安认证有限公司 | 一种安全通信方法、系统及终端设备 |
| CN110324276A (zh) * | 2018-03-28 | 2019-10-11 | 腾讯科技(深圳)有限公司 | 一种登录应用的方法、系统、终端和电子设备 |
| CN112688773A (zh) * | 2019-10-17 | 2021-04-20 | 浙江大搜车软件技术有限公司 | 一种令牌的生成和校验方法及装置 |
-
2021
- 2021-12-28 CN CN202111624825.7A patent/CN114268506A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103795690A (zh) * | 2012-10-31 | 2014-05-14 | 华为技术有限公司 | 一种云访问控制的方法、代理服务器和系统 |
| US20140289508A1 (en) * | 2013-03-21 | 2014-09-25 | Tencent Technology (Shenzhen) Company Limited | Method, client and system of identity authentication |
| CN103607284A (zh) * | 2013-12-05 | 2014-02-26 | 潘志彪 | 身份认证方法及设备、服务器 |
| CN108964885A (zh) * | 2017-05-27 | 2018-12-07 | 华为技术有限公司 | 鉴权方法、装置、系统和存储介质 |
| CN110324276A (zh) * | 2018-03-28 | 2019-10-11 | 腾讯科技(深圳)有限公司 | 一种登录应用的方法、系统、终端和电子设备 |
| CN108965230A (zh) * | 2018-05-09 | 2018-12-07 | 深圳市中信网安认证有限公司 | 一种安全通信方法、系统及终端设备 |
| CN112688773A (zh) * | 2019-10-17 | 2021-04-20 | 浙江大搜车软件技术有限公司 | 一种令牌的生成和校验方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11438168B2 (en) | Authentication token request with referred application instance public key | |
| US11171783B2 (en) | System and method for decentralized identity management, authentication and authorization of applications | |
| WO2022262078A1 (zh) | 基于零信任安全的访问控制方法、设备及存储介质 | |
| US20200169406A1 (en) | Security authentication method and device | |
| US8196186B2 (en) | Security architecture for peer-to-peer storage system | |
| US8056139B2 (en) | Method and system for authorizing multimedia multicasting | |
| RU2297037C2 (ru) | Управление защищенной линией связи в динамических сетях | |
| TWI438642B (zh) | 供應數位身份表徵的系統及方法 | |
| WO2017020452A1 (zh) | 认证方法和认证系统 | |
| EP2560341A2 (en) | Authentication and binding of multiple devices | |
| US11671418B2 (en) | Methods and systems for accessing a resource | |
| US20090154707A1 (en) | Method and system for distributing group key in video conference system | |
| US11546159B2 (en) | Long-lasting refresh tokens in self-contained format | |
| CN112968910B (zh) | 一种防重放攻击方法和装置 | |
| CN113422679B (zh) | 密钥生成方法、装置和系统、加密方法、电子设备以及计算机可读存储介质 | |
| CN111181931B (zh) | 一种基于用户终端认证的授权系统及方法 | |
| US8875244B1 (en) | Method and apparatus for authenticating a user using dynamic client-side storage values | |
| KR20090054774A (ko) | 분산 네트워크 환경에서의 통합 보안 관리 방법 | |
| Tiwari et al. | Design and Implementation of Enhanced Security Algorithm for Hybrid Cloud using Kerberos | |
| CN115459929A (zh) | 安全验证方法、装置、电子设备、系统、介质和产品 | |
| CN114268506A (zh) | 接入服务方设备的方法、接入方设备和服务方设备 | |
| US20200053059A1 (en) | Secure Method to Replicate On-Premise Secrets in a Cloud Environment | |
| CN114826616B (zh) | 数据处理方法、装置、电子设备和介质 | |
| KR102534012B1 (ko) | 컨텐츠 제공자의 보안등급을 인증하는 시스템 및 그 방법 | |
| CN117768188A (zh) | 一种数据平台加密安全通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |