JP6943511B2 - リソース処理方法、装置、システムおよびコンピュータ読み取り可能な媒体 - Google Patents

リソース処理方法、装置、システムおよびコンピュータ読み取り可能な媒体 Download PDF

Info

Publication number
JP6943511B2
JP6943511B2 JP2020517453A JP2020517453A JP6943511B2 JP 6943511 B2 JP6943511 B2 JP 6943511B2 JP 2020517453 A JP2020517453 A JP 2020517453A JP 2020517453 A JP2020517453 A JP 2020517453A JP 6943511 B2 JP6943511 B2 JP 6943511B2
Authority
JP
Japan
Prior art keywords
resource
cloud service
interface
authentication
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020517453A
Other languages
English (en)
Other versions
JP2020535530A (ja
Inventor
哲 袁
哲 袁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Publication of JP2020535530A publication Critical patent/JP2020535530A/ja
Application granted granted Critical
Publication of JP6943511B2 publication Critical patent/JP6943511B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/564Enhancement of application control based on intercepted application data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Description

本願は、2017年09月30日に中国特許局に出願された、出願番号が201710914860.Xであり、出願名称が「リソース処理方法、装置、システムおよびコンピュータ読み取り可能な媒体」である中国特許出願の優先権を主張し、その全ての内容が、参照することにより本願に組み込まれる。
本願は、インターネット技術の分野に関し、特に、リソース処理方法、装置、システムおよびコンピュータ読み取り可能な媒体に関する。
現在、クラウドサービスの権限管理は、一般的には、クライアントがクラウドインターフェースを呼び出すシナリオに向けられており、対応する認可ポリシーを定義することにより、ユーザ側がクラウドサービスによって提供されるリソースへのアクセス権限を管理するということを完成させることである。このような権限管理方式は、事前認可方式に属し、主にクラウドサービスプロバイダがユーザの権限を管理する問題を解決するために使用されるものである。
従来技術では、クライアントはインターフェースを使用して、クラウドサービスAによって提供されるリソースへの処理要求を開始でき、このクライアントを使用しているユーザが認証に合格した場合、バックグラウンドサーバはこのリソースを処理することができる。但し、バックグラウンドサーバがクラウドサービスAのリソースを処理する際に、他の2つのクラウドサービスによって提供されるリソースにアクセスする必要がある場合、クライアントは引き続き2回の処理要求を別々に開始する必要があり、またユーザに対して2回の認証を別々に行う必要があり、すべての認証に合格した場合のみ、バックグラウンドサーバが他の2つのクラウドサービスによって提供されるリソースにアクセスすることは許可される。このようなシナリオでは、ユーザ側に対して3つの呼び出しロジックを相応的に配置する必要があり、そのため、設計の複雑さとメンテナンスコストはいずれも比較的高くなってしまう。さらに、ユーザ側のクライアントが3回の要求を開始する必要があるため、クラウドサービスによって提供されるリソースへの処理効率を低下させる。
これに鑑みて、本願の実施例は、リソース処理方法、装置、システムおよびコンピュータ読み取り可能な媒体を提供し、設計の複雑さやンテナンスコストをある程度で低減させ、クラウドサービスによって提供されるリソースへの処理効率を向上させる。
一態様では、本願の実施例は、インターフェースデバイス、バックグラウンドサーバ、および認証サーバを含むシステムに適用されるリソース処理方法を提供し、このシステムにおいて、前記インターフェースデバイスには、第1クラウドサービスに対応する第1インターフェースと、第2クラウドサービスに対応する第2インターフェースとが少なくとも配置され、前記の方法には、
前記バックグラウンドサーバは、前記第1インターフェースからのリソース処理指示を取得することと、
前記バックグラウンドサーバは、前記リソース処理指示に従って識別を行い、処理対象のリソースを決定することと、
前記処理対象のリソースには前記第2クラウドサービスによって提供されるリソースが含まれる場合、前記バックグラウンドサーバは、リソース処理要求を前記第2インターフェースに送信し、前記第2インターフェースは、前記リソース処理要求に従って、前記第2クラウドサービスによって提供されるリソースにアクセスするための認証要求を認証サーバに対して開始することと、
前記認証サーバは、前記認証要求に応答して、前記第2クラウドサービスによって提供されるリソースへのアクセスを認証し、認証に合格した場合、認証合格メッセージを前記第2インターフェースに返信することと、
前記第2インターフェースは、前記認証合格メッセージに応答して、リソース処理指示を前記バックグラウンドサーバに送信することと、
前記バックグラウンドサーバは、前記第2インターフェースからのリソース処理指示に応答して、前記処理対象のリソースを処理することと、が含まれる。
別の態様では、本願の実施例は、また、インターフェースデバイス、バックグラウンドサーバ、および認証サーバを含むシステムに適用されるリソース処理方法を提供し、このシステムにおいて、前記インターフェースデバイスには、第1クラウドサービスに対応する第1インターフェースと、第2クラウドサービスに対応する第2インターフェースとが少なくとも配置され、前記の方法がバックグラウンドサーバによって実行され、前記の方法には、
第1インターフェースからのリソース処理指示を取得することであって、ここで、前記リソース処理指示は、第1インターフェースが認証合格メッセージに応答して送信するものであり、前記認証合格メッセージが、認証サーバが第1クラウドサービスによって提供されるリソースへのアクセスを認証する際の認証合格メッセージであることと、
前記リソース処理指示に従って識別を行い、処理対象のリソースを決定することと、
前記処理対象のリソースには前記第2クラウドサービスによって提供されるリソースが含まれる場合、リソース処理要求を第2インターフェースに送信することと、
前記第2インターフェースからのリソース処理指示に応答して、前記処理対象のリソースを処理することであって、ここで、前記リソース処理指示は、第2インターフェースが認証合格メッセージに応答して送信するものであり、前記認証合格メッセージが、認証サーバが第2クラウドサービスによって提供されるリソースへのアクセスを認証する際の認証合格メッセージであることと、が含まれる。
別の態様では、本願の実施例は、また、インターフェースデバイス、バックグラウンドサーバ、および認証サーバを含むシステムに適用されるリソース処理方法を提供し、このシステムにおいて、前記インターフェースデバイスには、第1クラウドサービスに対応する第1インターフェースと、第2クラウドサービスに対応する第2インターフェースとが少なくとも配置され、この方法が認証サーバによって実行され、前記の方法には、
第2インターフェースによって送信された、前記第2クラウドサービスによって提供されるリソースにアクセスするための認証要求を受信することであって、ここで、前記認証要求は、前記第2インターフェースがバックグラウンドサーバによって送信されるリソース処理要求を受信した後に送信するものであり、また、前記バックグラウンドサーバが第1インターフェースからのリソース処理指示に従って識別した処理対象のリソースには、第2クラウドサービスによって提供されるリソースが含まれることと、
前記認証要求に応答して、前記第2クラウドサービスによって提供されるリソースへへのアクセスを認証することと、
認証に合格した場合、認証合格メッセージを前記第2インターフェースに返信することと、が含まれる。
本願の実施例は、また、インターフェースデバイス、バックグラウンドサーバ、および認証サーバを含むリソース処理システムを提供し、前記インターフェースデバイスには、第1クラウドサービスに対応する第1インターフェースと、第2クラウドサービスに対応する第2インターフェースとが少なくとも配置され、
前記バックグラウンドサーバは、前記第1インターフェースからのリソース処理指示を取得し、
前記バックグラウンドサーバは、また、前記リソース処理指示に従って識別を行い、処理対象のリソースを決定し、
前記処理対象のリソースには前記第2クラウドサービスによって提供されるリソースが含まれる場合、前記バックグラウンドサーバは、また、リソース処理要求を前記第2インターフェースに送信し、
前記第2インターフェースは、前記リソース処理要求に従って、前記第2クラウドサービスによって提供されるリソースにアクセスするための認証要求を前記認証サーバに対して開始し、
前記認証サーバは、前記認証要求に応答して、前記第2クラウドサービスによって提供されるリソースへのアクセスを認証し、認証に合格した場合、認証合格メッセージを前記第2インターフェースに返信し、
前記第2インターフェースは、前記認証合格メッセージに応答して、また、リソース処理指示を前記バックグラウンドサーバに送信し、
前記バックグラウンドサーバは、前記第2インターフェースからのリソース処理指示に応答して、また、前記処理対象のリソースを処理する。
本願の実施例は、コンピュータプログラムが記憶されている記憶媒体をも提供し、前記コンピュータプログラムがプロセッサによって実行された後、上記のリソース処理方法が実現されることができる。
本願の実施例の技術的解決策をより明確に説明するために、以下では、実施例において必要とされる図面を簡単に説明する。明らかに、以下の説明における図面は、本願のいくつかの実施例にすぎず、当業者にとっては、創造的な労働を行わない前提で、これらの図面に基づいて他の図面を取得することができる。
本願の実施例によって提供される技術的解決策が適用されるシステムのアーキテクチャの例示図である。 本願の実施例によって提供されるリソース処理方法のインタラクションフローの概略図である。 本願の実施例によって提供されるリソース処理方法の別のインタラクションフローの概略図である。 本願の実施例によって提供されるリソース処理方法のバックグラウンドサーバ側での概略フローチャートである。 本願の実施例によって提供されるリソース処理方法の認証サーバ側での概略フローチャートである。 本願の実施例によって提供されるリソース処理方法の一実施形態のフローの例示図である。 本願の実施例によって提供されるインターフェースと認証サーバとの間のアイデンティティ検証方法のインタラクションフローの例示図である。 本願の実施例によって提供されるインターフェースとバックグラウンドサーバとの間のアイデンティティ検証方法のインタラクションフローの例示図である。 本願の実施例によって提供されるリソース処理システムの概略構造図である。 本願の実施例によって提供されるバックグラウンドサーバにおけるソース処理装置の機能ブロック図である。 本願の実施例によって提供される認証サーバにおけるリソース処理装置の別の機能ブロック図である。 出願の実施例によって提供されるバックグラウンドサーバにおけるリソース処理装置のハードウェアアーキテクチャ図である。 本願の実施例によって提供される認証サーバにおけるリソース処理装置のハードウェアアーキテクチャ図である。
本願の技術的解決策をより良く理解するために、以下では、図面を参照しながら、本願の実施例を詳細に説明する。
従来の技術においてバックグラウンドサーバが特定のクラウドサービスによって提供されるリソースを処理するプロセスでは、他のクラウドサービスによって提供されるリソースにアクセスする必要がある場合、ユーザ側がリソース処理要求を別々に開始する必要があること、かつ、認証が別々に実行されることに起因する設計の複雑さおよびメテナンスコストが比較的高くなり、および、処理効率が比較的低くなるのような問題について、本願の実施例は、対応するソリューションを提供し、即ち、バックグラウンドサーバが第1クラウドサービスによって提供されるリソースを処理するプロセスでは、第2クラウドサービスによって提供されるリソースにアクセスする必要がある場合、バックグラウンドサーバは、この第2クラウドサービスに対応する第2インターフェースに対してリソース処理要求を開始し、これによって、第1クラウドサービスが第2クラウドサービスによって提供されるリソースにアクセスすることへの認証をこの第2インターフェースが認証サーバに対して開始するということがトリガーされ、認証に合格した場合、この第2クラウドサービスに対応する第2インターフェースを介して、バックグラウンドサーバがリソース処理を行うということがトリガーされる。
この考えに導かれ、本願の実施例は、以下の実施形態を提供する。
本願の実施例によって提供される技術的解決策が適用されるシステムのアーキテクチャの例示図である図1を参照されたい。図1に示すように、このシステムは、インターフェースデバイス、バックグラウンドサーバ、認証サーバ、および1つまたは複数のクラウドサービスを含む。
図1に示すように、このシステムにおいて、前記インターフェースデバイスには、第1インターフェースと第2インターフェースとが少なくとも配置され、図1では、第1インターフェースおよび第2インターフェースのみを例として例示され、インターフェースデバイスに含まれるインターフェースの数が限定されない。ここで、前記第1インターフェースは第1クラウドサービスに対応し、前記第2インターフェースは第2クラウドサービスに対応し、各クラウドサービスは、対応する1つまたは複数のインターフェースがあってもよいし、本願の実施例は、これに対して特に限定しない。各クラウドサービスに対応するインターフェースは、ユーザ側またはバックグラウンドサーバによって開始された、このクラウドサービスによって提供されるリソースへのリソース処理要求を処理する。各インターフェースが受信されたリソース処理要求を処理する場合、インターフェースデバイスにおける各インターフェースは、アクセスレイヤーおよびプロセスコントローラとして機能し、この要求の処理フローを担当して、各操作のフローをリンクする一方、各サーバは、インターフェースとのインタラクションを別々に行うことで、対応する操作および処理を完了する。1つの特定の実施形態では、本願の実施例に係るインターフェースは、クラウドアプリケーションプログラミングインターフェース(API:Application Programming Interface)であってもよい。
説明すべきものとして、クラウドサービスは、インターネットの関連サービスの追加、使用および配信モードに基づいて、動的で、拡張が容易な、多くの場合に仮想化されたリソースをインターネット経由で提供する。一実施形態では、クラウドサービスは、クラウドサーバによって負担されることができ、クラウドサービスプロバイダは、クラウドサーバを介してクラウドサービスを公開する。ここで、クラウドサービスによって提供されるリソースは、クラウドサービスの構成部分に属するものである。例えば、クラウドサービスによって提供されるリソースには、クラウド仮想ホスト、コンテンツ配信ネットワーク(CDN:Content Delivery Network)、仮想プライベートネットワークなどが含まれるが、これらに限定されない。ここでは、クラウドサービスによって提供されるリソースのみに対して例を挙げて説明し、クラウドサービスによって提供されるリソースの種類や数などが限定されない。
説明すべきものとして、クラウドサービスプロバイダは、自分が提供できるクラウドサービスをクラウドサーバによって公開することを主に担当し、ベンダとは、クラウドサービスプロバイダに登録して、クラウドサービスによって提供されるリソースを使用するユーザを指し、クラウドサービスによって提供されるリソースの使用者に相当する。クラウドサービスプロバイダは、同時に、ベンダになることもでき、つまり、他のクラウドサービスのユーザであってもよく、同様に、ベンダは、同時に、クラウドサービスプロバイダになることもでき、クラウドサービスを他のユーザに提供する。
図1に示すように、認証サーバは、各インターフェースによって送信された認証要求に応答して、認証を実行し、認証要求を送信したインターフェースに、対応する認証結果を返信する。前記バックグラウンドサーバは、インターフェースのリソース処理指示に応答して、リソースを処理する。セキュリティ性および権利管理の容易さを考慮し、クライアントはクラウドサービスによって提供されるリソースを直接に操作および処理するのではないが、バックグラウンドサーバはその代わりに操作および処理を実行し、そのため、バックグラウンドサーバは、リソース処理の実際のエグゼキュータであり、クラウドサービスによって提供されるリソースを操作および処理するために使用される。例えば、クラウドサービスによって提供されるリソースに対する操作は、クラウド仮想ホストの申請、クラウド仮想ホストの変更、または、いくつかのクラウド仮想ホストのクラスター化などであってもよい。当業者は、これが単なる例に過ぎず、リソースのタイプおよび操作のタイプが限定されない、ということを理解することができる。
図1に示すシステムに基づいて、本願の実施例は、リソース処理方法を提出し、本願の実施例によって提供されるリソース処理方法のインタラクションフローの概略図である図2を参照されたい。図2に示すように、この方法は、次のステップを含み、即ち、
201で、バックグラウンドサーバは、第1インターフェースからのリソース処理指示を取得する。
202で、バックグラウンドサーバは、リソース処理指示に従って識別を行い、処理対象のリソースを決定する。
203で、処理対象のリソースには第2クラウドサービスによって提供されるリソースが含まれる場合、バックグラウンドサーバは、リソース処理要求を第2インターフェースに送信し、第2インターフェースは、リソース処理要求に従って、認証サーバに対して第2クラウドサービスによって提供されるリソースにアクセスするための認証要求を開始する。
204で、認証サーバは、認証要求に応答して、第2クラウドサービスによって提供されるリソースへのアクセスを認証し、認証に合格した場合、認証合格メッセージを第2インターフェースに返信する。
205で、第2インターフェースは、認証合格メッセージに応答して、リソース処理指示をバックグラウンドサーバに送信する。
206で、バックグラウンドサーバは、第2インターフェースからのリソース処理指示に応答して、処理対象のリソースを処理する。
一実施形態では、図3に示すように、ステップ201の前に、以下のステップがさらに含まれてもよい。
200a、第1インターフェースは、クライアントによって送信されたリソース処理要求に応答して、認証サーバに対して第1クラウドサービスによって提供されるリソースにアクセスするための認証要求を開始する。
200b、認証サーバは、第1クラウドサービスによって提供されるリソースにアクセスするための認証要求に応答して、第1クラウドサービスによって提供されるリソースへのアクセスを認証し、認証に合格した場合、認証合格メッセージを第1インターフェースに返信する。
200c、第1インターフェースは、認証合格メッセージに応答して、リソース処理指示をバックグラウンドサーバに送信する。
ここで、ステップ200cは、図3においてステップ201と重複するため、図3においてステップ200cが反映されていない。
ステップ200aについて、本願の実施例は、以下の実施形態を提供し、即ち、
1つの特定の実施形態では、クライアントは、処理される必要がある、第1クラウドサービスに対応する第1インターフェースを呼び出すことで、リソース処理要求をこの第1インターフェースに送信することができ、このリソース処理要求には、
クライアントが第1インターフェースを呼び出す際に入力したユーザの署名情報と、
処理が要求された、第1クラウドサービスによって提供されるリソースの情報とが含まれる。
本願の実施例においてクライアントまたはバックグラウンドサーバがインターフェースを呼び出すことにより、関連する要求をインターフェースに送信することを実現でき、2つの表現は同じ意味を有する、ということが理解され得る。
さらに、第1インターフェースは、クライアントによって送信されたリソース処理要求に応答して、このリソース処理要求に付けられている、クライアントが第1インターフェースを呼び出す際に入力したユーザの署名情報と、処理が要求された、第1クラウドサービスによって提供されるリソースの情報とに基づいて、第1クラウドサービスによって提供されるリソースにアクセスするための認証要求を生成し、この認証要求には、以下の情報、即ち、
クライアントが第1インターフェースを呼び出す際に入力したユーザの署名情報と、
処理が要求された、第1クラウドサービスによって提供されるリソースの情報と、
第1インターフェースの情報と、が含まれる。
説明すべきものとして、処理が要求された、第1クラウドサービスによって提供されるリソースの情報には、処理が要求された、第1クラウドサービスによって提供されるリソースの識別情報と、このリソースで実行するように要求された特定の処理方式とが含まれる。例えば、リソースは、第1クラウドサービスによって提供される、ある特定のクラウド仮想ホストであり、特定の処理方式は、あるデータをクラウド仮想ホストから読み取るということである。または、例えば、リソースは、第1クラウドサービスによって提供される、いくつかの特定のクラウド仮想ホストであり、特定の処理方式は、いくつかのクラウド仮想ホストをクラスタ化するということである。
ステップ200bについて、本願の実施例は、以下の実施形態を提供し、即ち、
一実施形態では、認証サーバは、第1インターフェースによって送信された、第1クラウドサービスによって提供されるリソースにアクセスするための認証要求に応答して、この認証要求に付けられている、処理が要求された、第1クラウドサービスによって提供されるリソースの情報と、第1インターフェースの情報と、ローカルに記憶されているユーザの情報とに基づいて、ユーザの署名情報を生成する。その後、認証サーバは、自身によって生成されたユーザの署名情報と、この認証要求に付けられているユーザの署名情報とを比較して、比較結果が2つの署名情報が同じである場合、認証に合格したと判断し、クライアントが第1クラウドサービスによって提供されるリソースへのアクセス権限を持っていることが表され、認証サーバが、認証合格メッセージを第1インターフェースに返信し、逆に、比較結果が2つの署名情報が同じではない場合、認証に失敗したと判断し、クライアントが第1クラウドサービスによって提供されるリソースへのアクセス権限を持っていないことが表され、認証サーバが、認証失敗メッセージを第1インターフェースに返信する。
ステップ200cについて、本願の実施例は、以下の実施形態を提供し、即ち、
一実施形態では、第1インターフェースは、認証サーバによって返信された認証合格メッセージに応答して、リソース処理指示をバックグラウンドサーバに送信し、これにより、バックグラウンドサーバは、クライアントによって要求された、第1クラウドサービスによって提供されるリソースを処理する。ここで、このリソース処理指示には、処理が要求された、第1クラウドサービスによって提供されるリソースの情報が付けられてもよいし、これにより、バックグラウンドサーバは、この情報に従って、指定されたリソースに対して、指定された処理を実行する。
別の実施形態では、第1インターフェースは、認証サーバによって返信された認証失敗メッセージに応答して、認証失敗指示をクライアントに返信し、クライアントはさらに、認証失敗指示に従って、認証失敗をユーザに提示し、今回、クライアントが第1クラウドサービスによって提供されるリソースにアクセスするプロセスは終了する。
ステップ202について、本願の実施例は、以下の実施形態を提供し、即ち、
本願の実施例において、バックグラウンドサーバが何時、インターフェースを介して認証要求を開始するかということについて、以下の2つの実施形態が提供され、即ち、
第1実施形態で、バックグラウンドサーバは、第1インターフェースからのリソース処理指示を受信した後、まず、リソース処理指示に従って識別を行い、処理対象のリソースを決定することができ、処理対象のリソースには第1クラウドサービスによって提供されるリソース以外の、他のクラウドサービスによって提供されるリソースも含まれる場合、他のクラウドサービスによって提供されるリソースについて、対応するインターフェースを介して、認証サーバに対して認証要求を開始することができ、バックグラウンドサーバがすべてのリソースに対応する認証合格メッセージを取得した場合、リソース処理を行う。
つまり、バックグラウンドサーバは、リソースを処理する前に、各リソースへのアクセス権限を取得することができる。
第2実施形態で、バックグラウンドサーバは、第1インターフェースからのリソース処理指示を受信した後、まず、第1クラウドサービスによって提供されるリソースを処理し、処理プロセスの中で、処理されようとするリソースが第1クラウドサービスに属しておらず、第2クラウドサービスに属していることが判明した場合、バックグラウンドサーバが、第2クラウドサービスによって提供されるリソースについて、対応するインターフェースを介して、認証サーバに対して認証要求を開始することができ、バックグラウンドサーバが認証合格メッセージを受信した場合、第2クラウドサービスによって提供されるリソースを処理し、その後、第2クラウドサービスによって提供されるリソースへの処理が実行された後、また、第1クラウドサービスによって提供されるリソースを続けて処理し、あるいは、他のクラウドサービスへの認証要求を開始することができる。
つまり、バックグラウンドサーバは、他のクラウドサービスによって提供されるリソースにアクセスする必要があることを検出した場合、このリソースへのアクセス権限を取得することができる。
バックグラウンドサーバが第1インターフェースからのリソース処理指示を受信した後、このリソース処理指示に付けられている、処理が要求された、第1クラウドサービスによって提供されるリソースの情報に従って、この第1クラウドサービスによって提供されるリソースを処理する場合、このリソースはこの処理を応答して、他のリソースにアクセスする必要があれば、バックグラウンドサーバは、このリソースから返信された、他のリソースにアクセスする必要がある要求を取得でき、この要求に基づいて、バックグラウンドサーバは、処理対象のリソースを決定することができる。
例えば、クライアントが第1クラウドサービスによって提供される仮想プライベートネットワークを処理するように要求する場合、バックグラウンドサーバは、指定されたデータを仮想プライベートネットワークから読み取る必要があり、しかしながら、仮想プライベートネットワークがバックグラウンドサーバのデータ読み取り要求に応答した後、データ読み取りタスクを完了するために、あるクラウド仮想ホストのセキュリティグループ情報を取得する必要があると発見し、でも、あるクラウド仮想ホストのセキュリティグループ情報を取得する際に、クラウド仮想ホストおよびセキュリティグループに関連することがあり、そのため、仮想プライベートネットワークは、これら2つのリソースの情報をバックグラウンドサーバに返信し、バックグラウンドサーバは、返信された情報に従って、処理対象のリソースには、あるクラウド仮想ホストと、このクラウド仮想ホストのセキュリティグループとが含まれると決定する。
さらに、一実施形態では、バックグラウンドサーバは、処理対象のリソースを決定した後、処理対象のースに含まれる1つまたは複数のリソースに基づいて、クラウドサービスとリソースとの間の事前設定された対応関係に従って、処理対象のリソースにおける各リソースに対応するクラウドサービスを取得する。その後、バックグラウンドサーバは、取得されたクラウドサービスには、第2クラウドサービスが含まれるかどうか、つまり第1クラウドサービス以外の他のクラウドサービスが含まれるかどうかを判断する。バックグラウンドサーバが、取得されたクラウドサービスには第2クラウドサービスが含まれると判断した場合、バックグラウンドサーバは、処理対象のリソースには第2クラウドサービスによって提供されるリソースが含まれる、つまり、処理対象のリソースには第1クラウドサービスによって提供されるリソース以外のリソースが含まれると判断し、その後、ステップ203が実行される。逆に、バックグラウンドサーバが、取得されたクラウドサービスがすべて第1クラウドサービスであると判断した場合、バックグラウンドサーバは、処理対象のリソースには第2クラウドサービスによって提供されるリソースが含まれない、つまり、処理対象のリソースには第1クラウドサービスによって提供されるリソースのみが含まれると判断する。
本願の実施例では、処理対象のリソースには第1クラウドサービスによって提供されるリソースのみが含まれる場合、バックグラウンドサーバは、処理対象のリソースのすべての処理が完了するまで、処理対象のリソースを続けて処理し、処理結果を第1インターフェースに返信することができ、これにより、第1インターフェースは、処理結果をクライアントに返信する。
ステップ203について、本願の実施例は、以下の実施形態を提供し、即ち、
一実施形態では、バックグラウンドサーバが、処理対象のリソースには第2クラウドサービスによって提供されるリソースが含まれるとが決定した場合、バックグラウンドサーバは、リソース処理要求を第2インターフェースに送信し、このリソース処理要求には、第1クラウドサービスの署名情報と、前記処理対象のリソースに含まれる、前記第2クラウドサービスによって提供されるリソースの情報とが付けられている。ここで、前記第1クラウドサービスの署名情報は、事前にバックグラウンドサーバで配置されてもよく、あるいは、必要に応じてバックグラウンドサーバにより一時的に生成されてもよいし、本願の実施例は、これに対して特に限定しない。
さらに、第2インターフェースは、バックグラウンドサーバによって送信されたリソース処理要求に従って、第2クラウドサービスによって提供されるリソースにアクセスするための認証要求を認証サーバに対して開始する。ここで、この認証要求には、第1クラウドサービスの署名情報と、処理対象のリソースに含まれる、第2クラウドサービスによって提供されるリソースの情報と、第2インターフェースの情報とが付けられている。一実施形態では、第2インターフェースは、そのなかの情報をリソース処理要求から抽出し、その後、抽出された情報と自身の情報とに基づいて、この認証要求を生成して認証サーバに送信することができる。
1つの特定の実施形態では、バックグラウンドサーバと第2インターフェースとの間のセキュリティ性を考慮して、バックグラウンドサーバは、内部ネットワークインターフェースを介して、第2インターフェースを呼び出すことができる。
本願の実施例において、クライアントは、第1クラウドサービスによって提供されるリソースへのリソース処理要求を開始するが、バックグラウンドサーバが第1クラウドサービスによって提供されるリソースを処理するプロセスでは、このリソースがこの処理に応答すれば、このリソースは、他のクラウドサービスによって提供されるリソースにアクセスする必要があり、これが本願の実施例では第2クラウドサービスによって提供されるリソースと呼ばれ、このとき、クライアントは、第2クラウドサービスによって提供されるリソースへのリソース処理要求を開始するのではないが、バックグラウンドサーバはその代わりに、第2クラウドサービスによって提供されるリソースへのリソース処理要求を開始する。この場合、第2クラウドサービスによって提供されるリソースの使用者は、第1クラウドサービスに相当し、そのため、第1クラウドサービスは、通常のベンダではなく(つまり使用者であり、通常のベンダはユーザであり)、スーパベンダである。スーパベンダは、自身によって提供されるクラウドサービスに対応するインターフェースと、リソースへのアクセス権限とを備え、他のクラウドサービスプロバイダに対して、自分によって提供されるクラウドサービスのリソースと、インターフェースへのアクセス権限とを付与することもでき、他のクラウドサービスプロバイダによって提供されるリソースと、インターフェースにアクセスするための権限とを他のクラウドサービスプロバイダーによって付与されることもでき、クラウドサービス間の権限インターワーキング、および、インターフェース間の権限インターワーキングが実現される。これに基づいて、バックグラウンドサーバが第2インターフェースに対してリソース処理要求を開始する場合、第1クラウドサービスの署名情報が付けられている。相応的に、第2インターフェースが認証サーバに対して認証要求を開始する場合、第1クラウドサービスの署名情報も付けられ、これは、第2クラウドサービスによって提供されるリソースへのアクセス要求を開始するために使用されるものである。相応的に、認証サーバは、第1クラウドサービスの署名情報を受信し、第1クラウドサービスの署名情報にも基づいて、第1クラウドサービスによる、第2クラウドサービスによって提供されるリソースへのアクセス権限を認証する。
ステップ204について、本願の実施例は、以下の実施形態を提供し、即ち、
一実施形態では、認証サーバは、第2インターフェースによって送信された、第2クラウドサービスによって提供されるリソースにアクセスするための認証要求に応答して、この認証要求に付けられている、処理が要求された、第2クラウドサービスによって提供されるリソースの情報と、第2インターフェースの情報と、ローカルに記憶されている第1クラウドサービスの情報とに基づいて、ユーザの署名情報を生成する。その後、認証サーバは、自身によって生成されたユーザの署名情報と、この認証要求に付けられているユーザの署名情報とを比較して、比較結果が2つの署名情報が同じである場合、認証が合格したと判断し、第1クラウドサービスが第2クラウドサービスによって提供されるリソースへのアクセス権限を持っていることが表され、認証サーバが、認証合格メッセージを第2インターフェースに返信し、逆に、比較結果が2つの署名情報が同じではない場合、認証が失敗したと判断し、第1クラウドサービスが第2クラウドサービスによって提供されるリソースへのアクセス権限を持っていないことが表され、認証サーバが、認証失敗メッセージを第2インターフェースに返信する。
1つの特定の実施形態では、認証サーバは、署名情報を生成する際に、第1クラウドサービスの情報をこの第1クラウドサービスのプリセットポリシー情報から取得することができ、取得された第1クラウドサービスの情報に基づいて、第1クラウドサービスの署名情報を取得することができる。
例えば、第1クラウドサービスのポリシー情報は表1のように示されてもよい。
Figure 0006943511
例えば、表1に示すように、認可者は第2クラウドサービスであり、つまり、アクセスされるのは、第2クラウドサービスによって提供されるリソースである。アクセス可能なインターフェースとは、第1クラウドサービスが呼び出すことができる、第2クラウドサービスに対応するインターフェースを指し、例えば第2クラウドサービスのクラウドAPI(X)およびクラウドAPI(F)である。クラウドAPI(X)およびクラウドAPI(F)は、第2クラウドサービスに対応するすべてのインターフェースであってもよく、あるいは、第2クラウドサービスに対応する一部のインターフェースであってもよい。処理可能なリソースとは、第1クラウドサービスが第2クラウドサービスによって提供される、どれらのリソースにアクセスすることができるかということを指す。条件とは、第1クラウドサービスが第2クラウドサービスによって提供される特定のリソースにアクセスする際に、どれらの条件を備える必要があるかということを指し、例えば、リソースの処理時間や回数などである。有効性とは、被認可者による呼び出し可能なインターフェースおよび処理可能なリソースに対する権限が有効かどうかを指し、「有効性」は「許可された」である場合、被認可者がポリシー情報に定義されたインターフェースおよび対応するリソースを呼び出すことは、現在許可され、「有効性」は「許可された」ではない場合、被認可者がポリシー情報に定義されたたインターフェースおよび対応するリソースを呼び出すことは、現在許可されていない。
説明すべきものとして、第1クラウドサービスが第2クラウドサービスのリソースへのアクセス権限を持っていると、これは、権利管理の事前認可段階で第1クラウドサービスが認可されたためであり、認可された後、認証サーバは、第1クラウドサービスのポリシー情報を記憶して、署名情報の生成および認証の実行に使用することができる。逆に、アクセス権限が持っていないと、これは、権利管理の事前認可段階で第1クラウドサービスが認可されていないか、または、認可されたリソースには第2クラウドサービスによって提供されるリソースが含まれていないか、あるいは、認可されたインターフェースには、リソース処理要求を送信するために使用されるインターフェースなどが存在していないかためであり、このようにして、署名情報が生成される場合、認証サーバが記憶している第1クラウドサービスのポリシー情報と、受信された第1クラウドサービスの署名情報とが一致ではなく、認証に合格することができない。
一実施形態では、インターフェースホワイトリストは、認証サーバに事前配置されてもよい。認証サーバは、第2インターフェースによって送信された認証要求を受信した場合、まず、それに付けられている第2インターフェースの情報に従って、第2インターフェースがインターフェースホワイトリストに属しているかどうかを判断し、属している場合、認証サーバは認証要求に応答して、上記の認証を実行することができ、逆に、属していない場合、認証サーバは認証要求に応答しなくてもよいし、あるいは、アイデンティティが合法ではないという通知メッセージを、第2インターフェースに返信してもよい。
ステップ205について、本願の実施例は、以下の実施形態を提供し、即ち、
一実施形態では、第2インターフェースは、認証サーバによって返信された認証合格メッセージに応答して、バックグラウンドサーバにリソース処理指示を送信し、これにより、バックグラウンドサーバは、要求された、第2クラウドサービスによって提供されるリソースを処理する。ここで、このリソース処理指示には、処理が要求された、第2クラウドサービスによって提供されるリソースの情報が付けられてもよいし、これによって、バックグラウンドサーバは、この情報に従って、指定されたリソースに対して、指定された処理を実行する。
別の実施形態では、第2インターフェースは、認証サーバによって返信された認証失敗メッセージに応答して、認証失敗指示をクライアントに返信し、クライアントはさらに、認証失敗指示に従って、認証失敗をユーザに提示し、今回、第1クラウドサービスが第2クラウドサービスによって提供されるリソースをアクセスするプロセスは終了する。
ステップ206について、本願の実施例は、以下の実施形態を提供し、即ち、
一実施形態では、バックグラウンドサーバは、第2インターフェースからのリソース処理指示に応答して、処理対象のリソースを処理する。
説明すべきものとして、第2インターフェースが第2クラウドサービスに対応するため、バックグラウンドサーバは、リソース処理指示を第2インターフェースから受信した場合、第2クラウドサービスによって提供されるリソースを処理できることを知って、そのため、バックグラウンドサーバは、このリソース処理指示に応答して、第2クラウドサービスによって提供されるリソースを処理して、第2クラウドサービスによって提供されるリソースへの処理を完了した後、第1クラウドサービスによって提供されるリソースを続けて処理することができる。
バックグラウンドサーバが、第1クラウドサービスの署名情報と、処理対象のリソースに含まれる、第2クラウドサービスによって提供されるリソースの情報とが付けられているリソース処理要求を、第2インターフェースに送信することについて、1つの特定の実施形態では、バックグラウンドサーバは、第1暗号化キーを使用して、リソース処理要求に付けられている情報を暗号化して、暗号化して得られた情報が付けられているリソース処理要求を第2インターフェースに送信することができる。
相応的に、第2インターフェースが、第1クラウドサービスの署名情報と、処理対象のリソースに含まれる、第2クラウドサービスによって提供されるリソースの情報と、第2インターフェースの情報とが付けられている認証要求を認証サーバに開始することについて、1つの特定の実施形態では、第2インターフェースは、第1復号化キーを使用して、リソース処理要求に付けられている情報を復号化して、復号化に成功した場合、第2暗号化キーを使用して、復号化して得られた情報を暗号化し、つまり、第2暗号化キーを使用して、第2インターフェースの情報と、復号化して得られた情報とを暗号化して、暗号化して得られた情報が付けられている認証要求を認証サーバに送信する。
説明すべきものとして、本願の実施例では、バックグラウンドサーバと各クラウドサービスに対応するインターフェースとの間のインタラクション情報について、暗号化手段および復号化手段を介して、情報の基本的なセキュリティ性が確保されることができる。バックグラウンドサーバと各インターフェースとの間で、相互信頼メカニズムが事前に確立され、暗号化キーおよび対応する復号化キーが相互信頼メカニズムによって決定されることができる。このようにして、バックグラウンドサーバが第2インターフェースに送信したリソース処理要求における各情報は暗号化されることができ、相応的に、第2インターフェースは、受信したリソース処理要求における情報を復号化し、復号化に成功した場合、両方の間で相互信頼メカニズムが確立されており、かつ、情報が一定のセキュリティ保証を持っているということが表される。
相応的に、認証サーバが、認証要求に付けられている各情報に従って、第2クラウドサービスによって提供されるリソースへのアクサスを認証することについて、1つの特定の実施形態では、認証サーバは、第2復号化キーを使用して、第2インターフェースによって送信された認証要求における情報を復号化することができ、復号化に成功した場合、復号化して得られた情報に基づいて、第2クラウドサービスによって提供されるリソースへのアクセスを認証する。
説明すべきものとして、本願の実施例では、各クラウドサービスに対応するインターフェースと認証サーバとの間のインタラクション情報について、暗号化手段および復号化手段を介して、情報の基本的なセキュリティ性が確保されることができる。各インターフェースと認証サーバとの間で、相互信頼メカニズムが事前に確立され、暗号化キーおよび対応する復号化キーが相互信頼メカニズムによって決定されることができる。このようにして、第2インターフェースが認証サーバに送信した情報は暗号化されることができ、相応的に、認証サーバは、受信した認証要求における情報を復号化し、復号化に成功した場合、両方の間で相互信頼メカニズムが確立されており、かつ、情報が一定のセキュリティ保証を持っているということが表される。
さらに、説明すべきものとして、ステップ200aから200cにおいて、係ている第1インターフェースと認証サーバとの間の情報やりとり、および、第1インターフェースとバックグラウンドサーバとの間の情報やりとりについては、上述の相互信頼メカニズムを使用することもでき、また、インタラクションプロセスでは、暗号化手段と復号化手段を使用して、情報のセキュリティ性を確保することもでき、ここでは改めて言及しない。
本願の実施例によって提供されるリソース処理方法のバックグラウンドサーバ側での概略フローチャートである図4を参照されたい。図4に示すように、この方法は、以下のステップを含み、即ち、
401で、第1インターフェースからのリソース処理指示を取得する。
402で、前記リソース処理指示に従って識別を行い、処理対象のリソースを決定する。
ステップ402の特定の実施形態について、ステップ202に対する関連説明を参照することができ、ここでは改めて言及しない。
403で、前記処理対象のリソースには前記第2クラウドサービスによって提供されるリソースが含まれる場合、リソース処理要求を前記第2インターフェースに送信する。
ステップ403の特定の実施形態について、ステップ203に対する関連説明を参照することができ、ここでは改めて言及しない。
404で、前記第2インターフェースからの前記リソース処理指示に応答して、前記処理対象のリソースを処理する。
ステップ404の特定の実施形態について、ステップ206に対する関連説明を参照することができ、ここでは改めて言及しない。
本願の実施例によって提供されるリソース処理方法の認証サーバ側での概略フローチャートである図5を参照されたい。図5に示すように、この方法は、以下のステップを含み、即ち、
501で、第2インターフェースによって送信された、前記第2クラウドサービスによって提供されるリソースにアクセスするための認証要求を受信する。
ステップ501の特定の実施形態について、ステップ204に対する関連説明を参照することができ、ここでは改めて言及しない。
502で、前記認証要求に応答して、前記第2クラウドサービスによって提供されるリソースへのアクセスを認証する。
ステップ502の特定の実施形態について、ステップ204に対する関連説明を参照することができ、ここでは改めて言及しない。
503で、認証に合格した場合、認証合格メッセージを前記第2インターフェースに返信する。
ステップ503の特定の実施形態について、ステップ204に対する関連説明を参照することができ、ここでは改めて言及しない。
本願の実施例によって提供されるリソース処理方法の一実施形態のフローの例示図である図6を参照されたい。この実施例では、クラウドサービスAおよびクラウドサービスAに対応するクラウドAPI(X)と、クラウドサービスBおよびクラウドサービスBに対応するクラウドAPI(Y)とを例として、本願の実施例によって提供されるリソース処理方法について例を挙げて説明する。
601で、クライアントは、ユーザの署名情報と、クラウドサービスAによって提供されるリソースの情報とが付けられているリソース処理要求を、クラウドサービスAに対応するクラウドAPI(X)に送信する。
602で、クラウドAPI(X)は、クライアントによって送信されたリソース処理要求に応答して、ユーザの署名情報と、クラウドサービスAによって提供されるリソースの情報と、ラウドAPI(X)の情報とが付けられている認証要求を、認証サーバに送信する。
603で、認証サーバは、クラウドAPI(X)からの認証要求に応答して、クライアントがクラウドサービスAによって提供されるリソースをアクセスすることを認証し、認証に合格した場合、ステップ604が実行され、認証に失敗した場合、認証失敗メッセージをクラウドAPI(X)に返信する。説明すべきものとして、本実施例では、認証合格を例として、例を挙げて説明する。そのため、図6には認証失敗のフローが示されていない。
認証サーバは、認証要求に付けられている、クラウドサービスAによって提供されるリソースの情報と、クラウドAPI(X)の情報と、ローカルに記憶されているユーザ情報とに従って、ユーザの署名情報を生成し、その後、自身によって生成されたユーザの署名情報と、認証要求に付けられているユーザの署名情報とを比較して、比較結果が2つの署名情報が同じである場合、認証に合格したと判断し、クライアントがクラウドサービスAによって提供されるリソースへのアクセス権限を持っていることが表され、そして、ステップ604が実行され、逆に、比較結果が2つの署名情報が同じではない場合、認証に失敗したと判断し、クライアントがクラウドサービスAによって提供されるリソースへのアクセス権限を持っていないことが表され、認証サーバが認証失敗メッセージをクラウドAPI(X)に返信する。
604で、認証サーバは、認証合格メッセージをクラウドAPI(X)に返信する。
605で、クラウドAPI(X)は、認証サーバによって返信された認証合格メッセージに応答して、処理が要求された、クラウドサービスAによって提供されるリソースの情報が付けられているリソース処理指示を、バックグラウンドサーバに送信する。
606で、バックグラウンドサーバは、リソース処理指示に応答して、リソース処理指示に従って識別を行い、処理対象のリソースを決定し、処理対象のリソースにはクラウドサービスBによって提供されるリソースも含まれる場合、クラウドサービスAの署名情報と、クラウドサービスBによって提供されるリソースの情報とが付けられているリソース処理要求を、クラウドサービスBに対応するクラウドAPI(Y)に送信する。
607で、クラウドAPI(Y)は、バックグラウンドサーバからのリソース処理要求に応答して、クラウドサービスAの署名情報と、クラウドサービスBによって提供されるリソースの情報と、クラウドAPI(Y)の情報とが付けられている認証要求を、認証サーバに送信する。
608で、認証サーバは、クラウドAPI(X)からの認証要求に応答して、クラウドサービスAがクラウドサービスBによって提供されるリソースにアクセスすることを認証し、認証に合格した場合、ステップ609が実行され、認証に失敗した場合、認証失敗メッセージをクラウドAPI(Y)に返信する。説明すべきものとして、本実施例では、認証合格を例として、例を挙げて説明する。そのため、図6には認証失敗のフローが示されていない。
認証サーバは、認証要求に付けられている、クラウドサービスBによって提供されるリソースの情報と、クラウドAPI(Y)の情報と、ローカルに記憶されているクラウドサービスAの認証情報とに従って、クラウドサービスAの署名情報を生成し、その後、自身によって生成されたクラウドサービスAの署名情報と、認証要求に付けられているクラウドサービスAの署名情報とを比較して、比較結果が2つの署名情報が同じである場合、認証に合格したと判断し、クラウドサービスAがクラウドサービスBによって提供されるリソースへのアクセス権限を持っていることが表され、そして、ステップ609が実行され、逆に、比較結果が2つの署名情報が同じではない場合、認証に失敗したと判断し、クラウドサービスAがクラウドサービスBによって提供されるリソースへのアクセス権限を持っていないことが表され、認証サーバが認証失敗メッセージをクラウドAPI(Y)に返信する。
609で、認証サーバは、認証合格メッセージをクラウドAPI(Y)に返信する。
610で、クラウドAPI(Y)は、認証サーバによって返信された認証合格メッセージに応答して、処理が要求された、クラウドサービスBによって提供されるリソースの情報が付けられているリソース処理指示を、バックグラウンドサーバに送信する。
611で、バックグラウンドサーバは、リソース処理指示に応答して、クラウドサービスAによって提供されるリソースを処理し、その後、クラウドサービスBによって提供されるリソースを処理し、最後に、クラウドサービスAによって提供されるリソースを処理する。
上記のインターフェースと認証サーバとの間、および、インターフェースとバックグラウンドサーバとの間では、いずれも、相互信頼メカニズムを事前に確立して、暗号化キーおよび復号化キーを相互信頼メカニズムによって決定する必要がある。本願の実施例では、インターフェースと認証サーバとの間のインタラクション、および、インターフェースとバックグラウンドサーバとの間のインタラクションはいずれも内部インタラクションに属するということを考慮するため、軽量レベルの相互信頼メカニズムが採用されてもよいし、一方で、サービスのパフォーマンスを改善することができ、他方で、基本的なセキュリティ性を確保することもできる。
本願の実施例では、上記の相互信頼メカニズムが以下の態様を通じて確立される。
一、認証サーバによるインターフェースへのアイデンティティ検証
二、インターフェースによる認証サーバへのアイデンティティ検証
三、バックグラウンドサーバによるインターフェースへのアイデンティティ検証
四、インターフェースによるバックグラウンドサーバへのアイデンティティ検証
ここで、インターフェースに係るアイデンティティ検証は、署名メカニズムを使用して実現されてもよい。各インターフェースおよび各インターフェースに対応するクラウドサービスに対して証明書が割り当てられ、インターフェースは認証サーバにアクセスする際に、この証明書を要求に追加する必要があり、この証明書を、例えば上記の第1インターフェースの情報または第2インターフェースの情報のような、インターフェースの情報として使用し、つまり、この証明書をインターフェースの情報として使用して、認証サーバにアクセスする。説明すべこのとして、各インターフェースおよび各インターフェースに対応するクラウドサービスの証明書は、証明書サーバによってオフラインで割り当てられてもよい。この証明書が上記のリソース処理方法で使用される場合、証明書に対して、対称キーを使用して暗号化および復号化を行うことができ、あるいは、非対称キーを使用して暗号化および復号化を行うこともできる。
バックグラウンドサーバと認証サーバに係るアイデンティティ検証について、証明書が証明書サーバによってオフラインで割り当てられる必要もあり、この証明書を上記のリソース処理方法で使用する場合、非対称キーを使用して暗号化および復号化を行うことができ、あるいは、対称キーを使用して暗号化および復号化を行うこともできる。公開キーがサーバにアクセスする側に保存されてもよく、秘密キーがサーバ自体に保存されてもよいし、これにより、攻撃される可能性をある程度で低減させることができ、また、インタラクション情報のセキュリティ性を確保することもできる。
本願の一実施例により提供されるインターフェースと認証サーバとの間のアイデンティティ検証方法のインタラクションフローの例示図である図7を参照されたい。図7に示すように、この方法は、次のステップを含み、即ち、
701で、証明書サーバは、証明書Pub_CA(Pub_Auth,Domain...)および公開キーを認証サーバに対して割り当て、また、対応する秘密キーが認証サーバに事前設定されており、認証サーバは、割り当てられた証明書および公開キーを記憶する。
702で、証明書サーバは、証明書をインターフェースに対して割り当て、この証明書がインターフェース識別子(API_ID)および秘密キー(API_Secret)を使用して構成されてもよい。
ステップ701とステップ702は、証明書サーバの証明書オフライン割り当てステージに属する。
本願の実施例では、証明書の割り当てに関与する公開キーおよび秘密キーは、対称キーであってもよく、あるいは、非対称キーであってもよい。異なるアプリケーションシナリオに従って、対称キーまたは非対称キーを使用するかを決定することができる。例えば、高いパフォーマンス要件および低いセキュリティ要件を備えるサービスシナリオに対して、対称キーを使用でき、低いパフォーマンス要件を備えるサービスシナリオに対して、非対称キーを使用でき、本願の実施例は、これに対して特に限定しない。
703で、インターフェースは、証明書取得要求を認証サーバに送信する。
704で、認証サーバは、証明書取得要求に応答して、以前に証明書サーバによって割り当てられた証明書を公開キーで暗号化して、証明書取得応答を介してインターフェースに返信する。
705で、インターフェースは、以前に証明書サーバによって提供された秘密キーを使用して、受信された証明書を復号化し、復号化に成功した場合、インターフェースおよび認証サーバのアイデンティティ検証が両方とも合格し、そして、ステップ706が実行される。
説明すべきものとして、ここではインターフェースが秘密キーを使用して証明書を成功に復号化した場合、この秘密キーおよび暗号化された証明書の公開キーが、マッチされている暗号化キーと復号化キーの1つのペアであるということが表され、そのため、認証サーバのアイデンティティが証明され、インターフェースのアイデンティティも証明されており、両方のアイデンティティがいずれも合格した。
706で、インターフェースと認証サーバとの間で、暗号化キーと復号化キーのネゴシエーションが実行され、ネゴシエーションされた後、インターフェースは暗号化キーを所有し、認証サーバは復号化キーを所有しており、この暗号化キーと復号化キーがインターフェースによって開始された認証要求に付けられている情報への暗号化および復号化に使用されることができ、これにより、通信のセキュリティ性が確保される。
ステップ703〜ステップ706は、インターフェースと認証サーバとの間のキーネゴシエーションステージに属する。ステップ703〜ステップ706は、キーネゴシエーションを完成するために、インターフェースが認証サーバとのインタラクションを行う前に実行される必要がある。このようにして、両者がインタラクションを行う必要がある場合、暗号化キーと復号化キーを直接に使用することができ、これにより、インターフェースと認証サーバとの間のインタラクション効率およびインターフェースの実行パフォーマンスを向上させる。また、ステップ703〜ステップ706は、定期的に実行されてもよく、このようにして、インターフェースと認証サーバとの間で、暗号化キーと復号化キーを更新するために、定期的にキーネゴシエーションが実行されてもよいし、これによって、情報のインタラクションのセキュリティ性をさらに向上させる。
説明すべきものとして、上記のインターフェースとは、例えば第1インターフェースや第2インターフェースなどのような、インターフェースデバイスにおける、クラウドサービスに対応するインターフェースを指し、つまり、インターフェースデバイスにおける各インターフェースは、いずれも上記の方法に基づいて、認証サーバとの間のアイデンティティ検証を実現できる。
本願の実施例によって提供されるインターフェースとバックグラウンドサーバとの間のアイデンティティ検証方法のインタラクションフローの例示図である図8を参照されたい。図8に示すように、この方法は、以下のステップを含み、即ち、
801で、証明書サーバは、証明書Pub_CA1(Pub_Auth1,Domain...)および公開キーをバックグラウンドサーバに対して割り当て、また、対応する秘密キーがバックグラウンドサーバに事前設定されており、バックグラウンドサーバは、割り当てられた証明書および公開キーを記憶する。
802で、証明書サーバは、証明書をインターフェースに対して割り当て、この証明書がインターフェース識別子(API_ID)および秘密キー(API_Secret)を使用して構成されてもよい。
ステップ801とステップ802は、証明書サーバの証明書オフライン割り当てステージに属する。
803で、インターフェースは、証明書取得要求をバックグラウンドサーバに送信する。
804で、バックグラウンドサーバは、証明書取得要求に応答して、以前に証明書サーバによって割り当てられた証明書を公開キーで暗号化して、証明書取得応答を介してインターフェースに返信する。
805で、インターフェースは、以前に証明書サーバによって提供された秘密キーを使用して、受信された証明書を復号化し、復号化に成功した場合、インターフェースおよびバックグラウンドサーバのアイデンティティ検証が両方とも合格し、そして、ステップ806が実行される。
説明すべきものとして、ここではインターフェースが秘密キーを使用して証明書を成功に復号化した場合、この秘密キーおよび暗号化された証明書の公開キーとが、マッチされている暗号化キーと復号化キーの1つのペアであるということが表され、そのため、バックグラウンドサーバのアイデンティティが証明され、インターフェースのアイデンティティも証明されており、両方のアイデンティティがいずれも合格した。
806で、インターフェースとバックグラウンドサーバとの間で、暗号化キーと復号化キーのネゴシエーションが実行され、ネゴシエーションされた後、インターフェースは暗号化キーを所有し、バックグラウンドサーバは復号化キーを所有しており、この暗号化キーと復号化キーがインターフェースによって開始された認証要求に付けられている情報への暗号化および復号化に使用されることができ、これにより、通信のセキュリティ性が確保される。
ステップ803〜ステップ806は、インターフェースとバックグラウンドサーバとの間のキーネゴシエーションステージに属する。ステップ803〜ステップ806は、キーネゴシエーションを完成するために、インターフェースがバックグラウンドサーバとのインタラクションを行う前に実行される必要がある。このようにして、両者がインタラクションを行う必要がある場合、暗号化キーと復号化キーを直接に使用することができ、これにより、インターフェースとバックグラウンドサーバとの間のインタラクション効率およびインターフェースの実行パフォーマンスを向上させる。また、ステップ803〜ステップ806は、定期的に実行されてもよく、このようにして、インターフェースとバックグラウンドサーバとの間で、暗号化キーと復号化キーを更新するために、定期的にキーネゴシエーションが実行されてもよいし、これによって、情報のインタラクションのセキュリティ性をさらに向上させる。
説明すべきものとして、上記のインターフェースとは、例えば第1インターフェースや第2インターフェースなどのような、インターフェースデバイスにおける、クラウドサービスに対応するインターフェースを指し、つまり、インターフェースデバイスにおける各インターフェースは、いずれも上記の方法に基づいて、バックグラウンドサーバとのアイデンティティ検証を実現できる。
本願の実施例は、上記の方法の実施例における各ステップおよび方法を実現するための装置の実施例をさらに提供する。
本願の実施例によって提供されるリソース処理システムの概略構造図である図9を参照されたい。図9に示すように、このシステムは、インターフェースデバイス100と、バックグラウンドサーバ200と、認証サーバ300とを含み、前記インターフェースデバイス100には、第1クラウドサービスに対応する第1インターフェース101と、第2クラウドサービスに対応する第2インターフェース102とが少なくとも配置され、
前記バックグラウンドサーバ200は、前記第1インターフェース101からのリソース処理指示を取得し、
前記バックグラウンドサーバ200は、また、前記リソース処理指示に従って識別を行い、処理対象のリソースを決定し、
前記処理対象のリソースには前記第2クラウドサービスによって提供されるリソースが含まれる場合、前記バックグラウンドサーバ200は、また、リソース処理要求を前記第2インターフェース102に送信し、
前記第2インターフェース102は、前記リソース処理要求に従って、前記第2クラウドサービスによって提供されるリソースにアクセスするための認証要求を認証サーバ300に対して開始し、
前記認証サーバ300は、前記認証要求に応答して、前記第2クラウドサービスによって提供されるリソースへのアクセスを認証し、認証に合格した場合、認証合格メッセージを前記第2インターフェース102に返信し、
前記第2インターフェース102は、また、前記認証合格メッセージに応答して、リソース処理指示を前記バックグラウンドサーバ200に送信し、
前記バックグラウンドサーバ200は、また、前記第2インターフェースからのリソース処理指示に応答して、前記処理対象のリソースを処理する。
本実施例における各ユニットは、図2に示す方法を実行することができるため、本実施例で詳細に説明されない部分については、図2に対する関連説明を参照することができる。
本願の実施例によって提供されるリソース処理装置の機能ブロック図である図10を参照されたい。このリソース処理装置がインターフェースデバイス、バックグラウンドサーバ、および認証サーバを含むシステムに適用され、このシステムにおいて、前記インターフェースデバイスには、第1クラウドサービスに対応する第1インターフェースと、第2クラウドサービスに対応する第2インターフェースとが少なくとも配置され、前記装置が前記バックグラウンドサーバに位置され、図10に示すように、前記装置は、
第1インターフェースからのリソース処理指示を取得する受信ユニット201と、
前記リソース処理指示に従って識別を行い、処理対象のリソースを決定するリソース識別ユニット202と、
前記処理対象のリソースには前記第2クラウドサービスによって提供されるリソースが含まれる場合、リソース処理要求を前記第2インターフェースに送信する送信ユニット203と、
前記第2インターフェースからのリソース処理指示に応答して、前記処理対象のリソースを処理するリソース処理ユニット204と、を含む。
前記装置は、さらに、
クラウドサービスとリソースとの間の事前設定された対応関係に従って、前記処理対象のリソースにおける各リソースに対応するクラウドサービスを取得し、かつ、取得されたクラウドサービスには第2クラウドサービスが含まれるかどうかを判断し、かつ、取得されたクラウドサービスには第2クラウドサービスが含まれると判定した場合、前記処理対象のリソースには前記第2クラウドサービスによって提供されるリソースが含まれると判定するリソース判定ユニット205を、含む。
本願の実施例によって提供されるリソース処理装置の他の機能ブロック図である図11を参照されたい。このリソース処理装置がインターフェースデバイス、バックグラウンドサーバ、および認証サーバを含むシステムに適用され、このシステムにおいて、前記インターフェースデバイスには、第1クラウドサービスに対応する第1インターフェースと、第2クラウドサービスに対応する第2インターフェースとが少なくとも配置され、前記装置が前記認証サーバに位置され、図11に示すように、前記装置は、
第2インターフェースによって送信された、前記第2クラウドサービスによって提供されるリソースにアクセスするための認証要求を受信する受信ユニット301と、
前記認証要求に応答して、前記第2クラウドサービスによって提供されるリソースへのアクセスを認証する認証ユニット302と、
認証に合格した場合、認証合格メッセージを前記第2インターフェースに返信する送信ユニット303と、を含む。
本願の実施例によって提供されるリソース処理装置のハードウェアアーキテクチャ図である図12を参照されたい。リソース処理装置は、インターフェースデバイス、バックグラウンドサーバ、および認証サーバを含むシステムに適用される。このシステムにおいて、前記インターフェースデバイスには、第1クラウドサービスに対応する第1インターフェースと、第2クラウドサービスに対応する第2インターフェースとが少なくとも配置され、前記装置が、前記バックグラウンドサーバに位置される。図12に示すように、前記装置は、プロセッサとメモリとを含み、前記メモリが、前記プロセッサが実行可能な命令を記憶し、前記命令が実行される場合、前記プロセッサが、図4に示すような、バックグラウンドサーバ側に適用されるリソース処理方法を実行し、ここでは改めて言及しない。
本願の実施例によって提供されるリソース処理装置のハードウェアアーキテクチャ図である図13参照されたい。リソース処理装置は、インターフェースデバイス、バックグラウンドサーバ、および認証サーバを含むシステムに適用される。このシステムにおいて、前記インターフェースデバイスには、第1クラウドサービスに対応する第1インターフェースと、第2クラウドサービスに対応する第2インターフェースとが少なくとも配置され、前記装置が、前記認証サーバに位置される。図13に示すように、前記装置は、プロセッサとメモリとを含み、前記メモリが、前記プロセッサが実行可能な命令を記憶し、前記命令が実行される場合、前記プロセッサが、図5に示すような、認証サーバ側に適用されるリソース処理方法を実行し、ここでは改めて言及しない。
本願の実施例は、コンピュータ実行可能な命令を含むコンピュータ可読媒体をさらに提供し、このコンピュータ実行可能な命令が実行される際に、
第1インターフェースからリソース処理指示を取得するステップと、
前記リソース処理指示に従って識別を行い、処理対象のリソースを決定するステップと、
前記処理対象のリソースには第2クラウドサービスによって提供されるリソースが含まれる場合、リソース処理要求を第2インターフェースに送信するステップと、
前記第2インターフェースからのリソース処理指示に応答して、前記処理対象のリソースを処理するステップと、が実行される。
本願の実施例は、コンピュータ実行可能な命令を含むコンピュータ可読媒体をさらに提供し、前記コンピュータ実行可能な命令が実行される際に、
第2クラウドサービスによって送信された、前記クラウドサービスによって提供されるリソースにアクセスするための認証要求を受信するステップと、
前記認証要求に応答して、前記第2クラウドサービスによって提供されるリソースへのアクセスを認証するステップと、
認証に合格した場合、認証合格メッセージを第2インターフェースに返信するステップと、が実行される。
本願の実施例の技術的解決策は、以下の有益な効果を有し、即ち、
本願の実施例において、バックグラウンドサーバが第1クラウドサービスによって提供されるリソースを処理するプロセスでは、第2クラウドサービスによって提供されるリソースにアクセスする必要がある場合、バックグラウンドサーバは、この第2クラウドサービスに対応する第2インターフェースに対してリソース処理要求を開始し、これにより、この第2インターフェースが、第2クラウドサービスによって提供するリソースを第1クラウドサービスがアクセスするための認証を認証サーバに対して開始するということがトリガーされ、認証に合格した場合、この第2クラウドサービスに対応する第2インターフェースを介して、バックグラウンドサーバがリソース処理を実行するということがトリガーされる。従来技術と比較して、リソースを処理するプロセスでは、他のクラウドサービスによって提供されるリソースにアクセスする必要がある場合、バックグラウンドサーバはその代わりに、他のクラウドサービスに対応するインターフェースに対してリソース処理要求を開始し、これにより、認証サーバが認証を実行するということがトリガーされ、これによって、ユーザ側で複数の呼び出しロジックを配置することが避けられ、ユーザ側が認証のための情報を提供することも必要としない。したがって、ユーザ側のクライアントの設計の複雑さとメンテナンスコストを低減させ、また、リソースを処理するプロセスでは、バックグラウンドサーバが他のクラウドサービスによって提供されるリソースへのアクセスを必要とすることを識別できるため、バックグラウンドサーバは、リソース処理要求を直接に開始することができ、これにより、クライアントとのインタラクションを行うことにより、クライアントにリソース処理要求を開始させるということが回避され、したがって、リソース処理効率を向上させる。
一方で、本願の実施例には軽量レベルの相互信頼メカニズムが追加されており、インターフェースと認証サーバとの間で、インターフェースとバックグラウンドサーバとの間で、アイデンティティ検証が実行されることができ、また、アイデンティティ検証後にネゴシエートされたキーに基づいて、インタラクション情報が暗号化し処理され、処理の効率を確保する前提で、ある程度のセキュリティ性とトレーサビリティ性が確保される。
当業者は、説明の便宜および簡潔にするために、上記のシステム、装置およびユニットの具体的な作業プロセスについては、上記方法の実施例における対応するプロセスを参照できること、を明確に理解することができ、ここでは改めて言及しない。
さらに、本願の各実施例における各機能ユニットは、1つの処理ユニットに統合されてもよく、各ユニットが物理的に別々に存在してもよいし、2つ以上のユニットが1つのユニットに統合されてもよい。上記の統合されたユニットは、ハードウェアの形式で実現されてもよく、ハードウェアにソフトウェア機能ユニットを加えた形式で実現されてもよい。
ソフトウェア機能ユニットの形式で実現される上記の統合されたユニットは、1つのコンピュータ可読記憶媒体に記憶されてもよい。上記のソフトウェア機能ユニットは、1つの記憶媒体に記憶されており、コンピュータ装置(パーソナルコンピュータ、サーバ、またはネットワーク装置など)またはプロセッサー(Processor)には、本願の各実施例で説明した方法の一部のステップを実行させるためのいくつかの命令が含まれる。前述の記憶媒体には、プログラムコードを記憶できるさまざまな媒体が含まれており、例えばUディスク、モバイルハードディスク、読み取り専用メモリ(ROM :Read−Only Memory)、ランダムアクセスメモリ(RAM :Random Access Memory)、磁気ディスクまたは光ディスクなどである。
100 インターフェースデバイス
101 第1インターフェース
102 第2インターフェース
200 バックグラウンドサーバ
300 認証サーバ
300 第2クラウドサービスによって提供されるリソースにアクセスするための認証要求を認証サーバ
301 第2クラウドサービスによって提供されるリソースにアクセスするための認証要求を受信する受信ユニット
302 第2クラウドサービスによって提供されるリソースへのアクセスを認証する認証ユニット
303 第2インターフェースに返信する送信ユニット

Claims (14)

  1. インターフェースデバイス、バックグラウンドサーバ、および認証サーバを含むシステムに適用されるリソース処理方法であって、このシステムにおいて、前記インターフェースデバイスには、第1クラウドサービスに対応する第1インターフェースと、第2クラウドサービスに対応する第2インターフェースとが少なくとも配置され、前記の方法には、
    前記バックグラウンドサーバは、前記第1インターフェースからのリソース処理指示を取得することと、
    前記バックグラウンドサーバは、前記リソース処理指示に従って識別を行い、処理対象のリソースを決定することと、
    前記処理対象のリソースには前記第2クラウドサービスによって提供されるリソースが含まれる場合、前記バックグラウンドサーバは、リソース処理要求を前記第2インターフェースに送信し、前記第2インターフェースは、前記リソース処理要求に従って、前記第2クラウドサービスによって提供されるリソースにアクセスするための認証要求を前記認証サーバに対して開始することと、
    前記認証サーバは、前記認証要求に応答して、前記第2クラウドサービスによって提供されるリソースへのアクセスを認証し、認証に合格した場合、認証合格メッセージを前記第2インターフェースに返信することと、
    前記第2インターフェースは、前記認証合格メッセージに応答して、リソース処理指示を前記バックグラウンドサーバに送信することと、
    前記バックグラウンドサーバは、前記第2インターフェースからのリソース処理指示に応答して、前記処理対象のリソースを処理することと、が含まれる、
    ことを特徴とする方法。
  2. 前記バックグラウンドサーバが第1インターフェースからのリソース処理指示を取得する前に、さらに、
    前記第1インターフェースは、クライアントによって送信されたリソース処理要求に応答して、前記第1クラウドサービスによって提供されるリソースにアクセスするための認証要求を認証サーバに対して開始することと、
    前記認証サーバは、前記第1クラウドサービスによって提供されるリソースにアクセスするための認証要求に応答して、前記第1クラウドサービスによって提供されるリソースへのアクセスを認証し、認証に合格した場合、認証合格メッセージを前記第1インターフェースに返信することと、
    前記第1インターフェースは、認証合格メッセージに応答して、リソース処理指示を前記バックグラウンドサーバに送信することと、を含む、
    ことを特徴とする請求項1に記載の方法。
  3. 前記バックグラウンドサーバがリソース処理要求を前記第2インターフェースに送信することは、前記第1クラウドサービスの署名情報と、前記処理対象のリソースに含まれる、前記第2クラウドサービスによって提供されるリソースの情報とが付けられているリソース処理要求を、前記第2インターフェースに送信することを含み、
    前記第2インターフェースが前記リソース処理要求に従って、前記第2クラウドサービスによって提供されるリソースにアクセスするための認証要求を認証サーバに対して開始することは、前記第2インターフェースが、前記第1クラウドサービスの署名情報と、前記処理対象のリソースに含まれる、前記第2クラウドサービスによって提供されるリソースの情報と、前記第2インターフェースの情報とが付けられている認証要求を、前記認証サーバに対して開始することを含み、
    前記認証サーバが前記認証要求に応答して、前記第2クラウドサービスによって提供されるリソースへのアクセスを認証することは、前記認証サーバが、前記認証要求に付けられている各情報に従って、前記第2クラウドサービスによって提供されるリソースへのアクセスを認証することを含む、
    ことを特徴とする請求項1または2に記載の方法。
  4. 前記バックグラウンドサーバが、前記第1クラウドサービスの署名情報と、前記処理対象のリソースに含まれる、前記第2クラウドサービスによって提供されるリソースの情報とが付けられているリソース処理要求を前記第2インターフェースに送信することは、前記バックグラウンドサーバが、第1暗号化キーを使用して、前記リソース処理要求に付けられている情報を暗号化して、暗号化して得られた情報が付けられているリソース処理要求を前記第2インターフェースに送信することを含み、
    前記第2インターフェースが、前記第1クラウドサービスの署名情報と、前記処理対象のリソースに含まれる、前記第2クラウドサービスによって提供されるリソースの情報と、前記第2インターフェースの情報とが付けられている認証要求を、前記認証サーバに対して開始することは、前記第2インターフェースが、第1復号化キーを使用して、リソース処理要求に付けられている情報を復号化し、復号化に成功した場合、第2暗号化キーを使用して、復号化して得られた情報を暗号化して、暗号化して得られた情報が付けられている認証要求を認証サーバに送信することを含み、
    前記認証サーバが、前記認証要求に付けられている各情報に従って、前記第2クラウドサービスによって提供されるリソースへのアクセスを認証することは、前記認証サーバが、第2復号化キーを使用して、前記第2インターフェースによって送信された認証要求における情報を復号化し、復号化に成功した場合、復号化して得られた情報に基づいて、第2クラウドサービスによって提供されるリソースへのアクセスを認証することを含む、
    ことを特徴とする請求項3に記載の方法。
  5. 前記処理対象のリソースには前記第2クラウドサービスによって提供されるリソースが含まれる場合、リソース処理要求を前記第2インターフェースに送信する前に、さらに、
    クラウドサービスとリソースとの間の事前設定された対応関係に従って、前記処理対象のリソースにおける各リソースに対応するクラウドサービスを取得することと、
    取得されたクラウドサービスには第2クラウドサービスが含まれるかどうかを判断することと、
    取得されたクラウドサービスには第2クラウドサービスが含まれると判定した場合、前記処理対象のリソースには前記第2クラウドサービスによって提供されるリソースが含まれると判定することと、を含む、
    ことを特徴とする請求項1に記載の方法。
  6. インターフェースデバイス、バックグラウンドサーバ、および認証サーバを含むシステムに適用されるリソース処理方法であって、このシステムにおいて、前記インターフェースデバイスには、第1クラウドサービスに対応する第1インターフェースと、第2クラウドサービスに対応する第2インターフェースとが少なくとも配置され、この方法が前記バックグラウンドサーバによって実行され、前記の方法には、
    第1インターフェースからのリソース処理指示を取得することであって、ここで、前記リソース処理指示は、第1インターフェースが認証合格メッセージに応答して送信するものであり、前記認証合格メッセージが、認証サーバが第1クラウドサービスによって提供されるリソースへのアクセスを認証する際の認証合格メッセージであることと、
    前記リソース処理指示に従って識別を行い、処理対象のリソースを決定することと、
    前記処理対象のリソースには前記第2クラウドサービスによって提供されるリソースが含まれる場合、リソース処理要求を第2インターフェースに送信することと、
    前記第2インターフェースからのリソース処理指示に応答して、前記処理対象のリソースを処理することであって、ここで、前記リソース処理指示は、第2インターフェースが認証合格メッセージに応答して送信するものであり、前記認証合格メッセージが、認証サーバが第2クラウドサービスによって提供されるリソースへのアクセスを認証する際の認
    証合格メッセージであることと、が含まれる、
    ことを特徴とする方法。
  7. 前記処理対象のリソースには前記第2クラウドサービスによって提供されるリソースが含まれる場合、リソース処理要求を前記第2インターフェースに送信する前に、さらに、
    クラウドサービスとリソースとの間の事前設定された対応関係に従って、前記処理対象のリソースにおける各リソースに対応するクラウドサービスを取得することと、
    取得されたクラウドサービスには第2クラウドサービスが含まれるかどうかを判断することと、
    取得されたクラウドサービスには第2クラウドサービスが含まれると判定した場合、前記処理対象のリソースには前記第2クラウドサービスによって提供されるリソースが含まれると判定することと、を含む、
    ことを特徴とする請求項6に記載の方法。
  8. リソース処理要求を前記第2インターフェースに送信する前に、さらに、
    前記第1クラウドサービスの署名情報を生成することと、
    前記リソース処理要求には、前記第1クラウドサービスの署名情報と、前記処理対象のリソースに含まれる、前記第2クラウドサービスによって提供されるリソースの情報とが付けられていることと、を含む、
    ことを特徴とする請求項6に記載の方法。
  9. インターフェースデバイス、バックグラウンドサーバ、および認証サーバを含むリソース処理システムであって、前記インターフェースデバイスには、第1クラウドサービスに対応する第1インターフェースと、第2クラウドサービスに対応する第2インターフェースとが少なくとも配置され、
    前記バックグラウンドサーバは、前記第1インターフェースからのリソース処理指示を取得し、
    前記バックグラウンドサーバは、また、前記リソース処理指示に従って識別を行い、処理対象のリソースを決定し、
    前記処理対象のリソースには前記第2クラウドサービスによって提供されるリソースが含まれる場合、前記バックグラウンドサーバは、また、リソース処理要求を前記第2インターフェースに送信し、
    前記第2インターフェースは、前記リソース処理要求に従って、前記第2クラウドサービスによって提供されるリソースにアクセスするための認証要求を前記認証サーバに対して開始し、
    前記認証サーバは、前記認証要求に応答して、前記第2クラウドサービスによって提供されるリソースへのアクセスを認証し、認証に合格した場合、認証合格メッセージを前記第2インターフェースに返信し、
    前記第2インターフェースは、前記認証合格メッセージに応答して、また、リソース処理指示を前記バックグラウンドサーバに送信し、
    前記バックグラウンドサーバは、前記第2インターフェースからのリソース処理指示に応答して、また、前記処理対象のリソースを処理する、
    ことを特徴とするシステム。
  10. 前記バックグラウンドサーバが第1インターフェースからのリソース処理指示を取得する前に、前記第1インターフェースは、クライアントによって送信されたリソース処理要求に応答して、第1クラウドサービスによって提供されるリソースにアクセスするための認証要求を前記認証サーバに対して開始し、
    前記認証サーバは、前記第1クラウドサービスによって提供されるリソースにアクセスするための認証要求に応答して、前記第1クラウドサービスによって提供されるリソースへのアクセスを認証し、認証に合格した場合、認証合格メッセージを前記第1インターフェースに返信し、
    前記第1インターフェースは、認証合格メッセージに応答して、リソース処理指示を前記バックグラウンドサーバに送信する、
    ことを特徴とする請求項に記載のシステム。
  11. 前記バックグラウンドサーバは、さらに、前記第1クラウドサービスの署名情報と、前記処理対象のリソースに含まれる、前記第2クラウドサービスに提供されるリソースの情報とが付けられているリソース処理要求を、前記第2インターフェースに送信し、
    前記第2インターフェースは、第1クラウドサービスの署名情報と、前記処理対象のリソースに含まれる、前記第2クラウドサービスによって提供されるリソースの情報と、前記第2インターフェースの情報とが付けられている認証要求を、認証サーバに対して開始し、
    前記認証サーバは、前記認証要求に応答して、前記認証要求に付けられている各情報に従って、前記第2クラウドサービスによって提供されるリソースへのアクセスを認証する、
    ことを特徴とする請求項または10に記載のシステム。
  12. 前記バックグラウンドサーバは、さらに、第1暗号化キーを使用して、前記リソース処理要求に付けられている情報を暗号化し、暗号化して得られた情報が含まれるリソース処理要求を前記第2インターフェースに送信し、
    第2インターフェースは、さらに、第1復号化キーを使用して、リソース処理要求に付けられている情報を復号化し、復号化に成功した場合、第2暗号化キーを使用して、復号化して得られた情報を暗号化し、暗号化して得られた情報が付けられている認証要求を認証サーバに送信し、
    前記認証サーバは、さらに、第2復号化キーを使用して、第2インターフェースによって送信された認証要求における情報を復号化し、復号化に成功した場合、復号化して得られた情報に基づいて、前記第2クラウドサービスによって提供されるリソースへのアクセスを認証する、
    ことを特徴とする請求項11に記載のシステム。
  13. 前記認証サーバは、さらに、前記第2インターフェースの情報と、アクセスされる必要がある、前記第2クラウドサービスによって提供されるリソースと、ローカルに記憶されている前記第1クラウドサービスの情報とに従って、前記第1クラウドサービスの署名情報を生成し、
    前記認証サーバは、前記第2インターフェースを介して受信された第1クラウドサービスの署名情報と、自身によって生成された第1クラウドサービスの署名情報とを比較して、2つの署名情報が同じである場合、認証に合格したと判断する、
    ことを特徴とする請求項11に記載のシステム。
  14. ロセッサに、請求項1〜のいずれか一項に記載のリソース処理方法を実行させるためのコンピュータプログラム
JP2020517453A 2017-09-30 2018-09-11 リソース処理方法、装置、システムおよびコンピュータ読み取り可能な媒体 Active JP6943511B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201710914860.XA CN109600337B (zh) 2017-09-30 2017-09-30 资源处理方法、装置、系统及计算机可读介质
CN201710914860.X 2017-09-30
PCT/CN2018/104986 WO2019062536A1 (zh) 2017-09-30 2018-09-11 资源处理方法、装置、系统及计算机可读介质

Publications (2)

Publication Number Publication Date
JP2020535530A JP2020535530A (ja) 2020-12-03
JP6943511B2 true JP6943511B2 (ja) 2021-10-06

Family

ID=65900756

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020517453A Active JP6943511B2 (ja) 2017-09-30 2018-09-11 リソース処理方法、装置、システムおよびコンピュータ読み取り可能な媒体

Country Status (6)

Country Link
US (1) US11190503B2 (ja)
EP (1) EP3664405B1 (ja)
JP (1) JP6943511B2 (ja)
KR (1) KR102338718B1 (ja)
CN (1) CN109600337B (ja)
WO (1) WO2019062536A1 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11212269B2 (en) * 2018-12-18 2021-12-28 American Megatrends International, Llc Secure remote online debugging of firmware on deployed hardware
CN112346880B (zh) * 2019-08-07 2023-10-31 腾讯科技(深圳)有限公司 接口调用方法、装置、计算机可读存储介质和计算机设备
CN110650142B (zh) * 2019-09-25 2022-05-24 腾讯科技(深圳)有限公司 访问请求处理方法、装置、系统、存储介质和计算机设备
CN110719288A (zh) * 2019-10-12 2020-01-21 深圳市道通科技股份有限公司 云端服务访问的方法、云端服务器及终端
JP7490620B2 (ja) 2021-08-27 2024-05-27 キヤノン株式会社 情報処理装置および情報処理システムの方法
CN114100143A (zh) * 2021-11-11 2022-03-01 腾讯科技(深圳)有限公司 一种云服务控制方法及相关装置
CN116055147B (zh) * 2022-12-30 2024-08-16 中国电子科技集团公司第三十研究所 一种基于标识的云服务轻量型身份认证方法

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7685206B1 (en) * 2004-02-12 2010-03-23 Microsoft Corporation Authorization and access control service for distributed network resources
JP4334515B2 (ja) * 2005-08-30 2009-09-30 日本電信電話株式会社 サービス提供サーバ、認証サーバ、および認証システム
JP5040367B2 (ja) * 2007-03-02 2012-10-03 日本電気株式会社 サービス連携システム、サービス連携方法、およびサービス連携プログラム
JP5153591B2 (ja) * 2008-11-26 2013-02-27 株式会社日立製作所 認証仲介サーバ、プログラム、認証システム及び選択方法
US20110137805A1 (en) * 2009-12-03 2011-06-09 International Business Machines Corporation Inter-cloud resource sharing within a cloud computing environment
CN102255933B (zh) * 2010-05-20 2016-03-30 中兴通讯股份有限公司 云服务中介、云计算方法及云系统
CN102546561B (zh) * 2010-12-30 2016-10-05 联想(北京)有限公司 终端设备、服务器、信息处理系统及其信息处理方法
CN102369714A (zh) * 2011-08-31 2012-03-07 华为技术有限公司 云计算系统中云终端访问云服务器的方法及云计算系统
CN103019837A (zh) * 2011-09-27 2013-04-03 中国移动通信集团公司 资源调度方法、装置及终端设备
JP5988699B2 (ja) * 2012-05-30 2016-09-07 キヤノン株式会社 連携システム、その連携方法、情報処理システム、およびそのプログラム。
US8875166B2 (en) * 2012-11-08 2014-10-28 Sharp Laboratories Of America, Inc. Method and cloud security framework for implementing tenant license verification
WO2014100687A2 (en) * 2012-12-21 2014-06-26 Deka Products Limited Partnership System, method, and apparatus for electronic patient care
CN104052775B (zh) * 2013-03-14 2016-11-23 腾讯科技(深圳)有限公司 一种云平台服务的权限管理方法、装置和系统
US9154488B2 (en) * 2013-05-03 2015-10-06 Citrix Systems, Inc. Secured access to resources using a proxy
US20150026772A1 (en) * 2013-07-16 2015-01-22 Samsung Electronics Co., Ltd. Media based authentication and authorization for secure services
US10650424B2 (en) * 2015-03-17 2020-05-12 International Business Machines Corporation Dynamic cloud solution catalog
KR102368614B1 (ko) * 2015-08-12 2022-02-25 삼성전자주식회사 인증 처리 방법 및 이를 지원하는 전자 장치
CN106559453A (zh) * 2015-09-29 2017-04-05 中兴通讯股份有限公司 云互通的外部资源管理方法、装置及系统
US10169265B2 (en) * 2015-10-16 2019-01-01 Gopro, Inc. Configurable input / output connector in a camera
JP2017079419A (ja) * 2015-10-21 2017-04-27 日本電信電話株式会社 サーバ認証システム、端末、サーバ、サーバ認証方法、プログラム
CN106933648B (zh) * 2015-12-31 2020-11-03 中国电信股份有限公司 用于多租户容器资源管理的方法和系统
WO2017131887A1 (en) * 2016-01-29 2017-08-03 Google Inc. Local device authentication
US9935955B2 (en) * 2016-03-28 2018-04-03 Zscaler, Inc. Systems and methods for cloud based unified service discovery and secure availability
CN106060017A (zh) * 2016-05-19 2016-10-26 上海承蓝科技股份有限公司 一种数据管控的云平台及方法
JP6471728B2 (ja) * 2016-06-23 2019-02-20 ブラザー工業株式会社 特定のサーバ及び通信装置
CN106657152B (zh) * 2017-02-07 2021-05-28 腾讯科技(深圳)有限公司 一种鉴权方法及服务器、访问控制装置
US10523648B2 (en) * 2017-04-03 2019-12-31 Microsoft Technology Licensing, Llc Password state machine for accessing protected resources
US10749868B2 (en) * 2018-06-29 2020-08-18 Microsoft Technology Licensing, Llc Registration of the same domain with different cloud services networks

Also Published As

Publication number Publication date
CN109600337B (zh) 2020-12-15
KR20200038991A (ko) 2020-04-14
JP2020535530A (ja) 2020-12-03
US11190503B2 (en) 2021-11-30
WO2019062536A1 (zh) 2019-04-04
US20200195632A1 (en) 2020-06-18
EP3664405A1 (en) 2020-06-10
EP3664405B1 (en) 2022-06-15
KR102338718B1 (ko) 2021-12-14
CN109600337A (zh) 2019-04-09
EP3664405A4 (en) 2020-07-08

Similar Documents

Publication Publication Date Title
JP6943511B2 (ja) リソース処理方法、装置、システムおよびコンピュータ読み取り可能な媒体
WO2021114923A1 (zh) 针对隐私数据的数据存储、数据读取方法及装置
US9846778B1 (en) Encrypted boot volume access in resource-on-demand environments
CN105187362B (zh) 一种桌面云客户端和服务端之间连接认证的方法及装置
US9729531B2 (en) Accessing a computer resource using an access control model and policy
US8196186B2 (en) Security architecture for peer-to-peer storage system
CN102195957B (zh) 一种资源共享方法、装置及系统
EP1914658B1 (en) Identity controlled data center
KR20170062529A (ko) 빠른 스마트 카드 로그온 및 연합된 풀 도메인 로그온
CN102404314A (zh) 远程资源单点登录
WO2014120621A2 (en) Securing communication over a network using client integrity verification
US10298388B2 (en) Workload encryption key
JP2016531528A (ja) プライバシー機密情報の交換を制御するための方法およびシステム
TW201638822A (zh) 進程的身份認證方法和裝置
JP5452192B2 (ja) アクセス制御システム、アクセス制御方法およびプログラム
JP2024503854A (ja) データ取得方法、装置、機器及び記憶媒体
US10516655B1 (en) Encrypted boot volume access in resource-on-demand environments
CN110138765B (zh) 数据处理方法、装置、计算机设备和计算机可读存储介质
EP4184859A1 (en) Cloud key management for system management
CN111190700A (zh) 一种针对虚拟化设备的跨域安全访问与资源控制方法
US11177958B2 (en) Protection of authentication tokens
Sciancalepore et al. Multi-Domain Access Rights Composition in Federated IoT Platforms.
EP3752939A1 (en) Registration of data at a sensor reader and request of data at the sensor reader
CN114329574B (zh) 基于域管平台的加密分区访问控制方法、系统及计算设备
CN115426155A (zh) 集群节点的访问方法、装置、设备及存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200326

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210524

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210721

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210810

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210902

R150 Certificate of patent or registration of utility model

Ref document number: 6943511

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150