CN102916965A - 一种云服务接口的安全认证机制及其认证*** - Google Patents
一种云服务接口的安全认证机制及其认证*** Download PDFInfo
- Publication number
- CN102916965A CN102916965A CN2012104200224A CN201210420022A CN102916965A CN 102916965 A CN102916965 A CN 102916965A CN 2012104200224 A CN2012104200224 A CN 2012104200224A CN 201210420022 A CN201210420022 A CN 201210420022A CN 102916965 A CN102916965 A CN 102916965A
- Authority
- CN
- China
- Prior art keywords
- user
- information
- client
- security
- service end
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种通过在soap(简单对象访问协议)协议,添加安全头信息的方式,在云接口服务的每次调用的时候,自动将证书文件的用户信息加载到协议安全头。从而实现了证书信息的自动管理,提高了证书用户信息在网络传输中的安全性。并且构建服务器用户权限属性规则库,实现用户认证和权限授予分离,解决了传统认证即获得权限的弊端,提高了资源操作的安全性。
Description
技术领域
本发明涉及云技术领域,特别是涉及一种云服务接口的安全认证机制及其认证***。
背景技术
云技术作为互联网技术中的重要应用,在大范围的普及使用时,由于涉及的众多用户使用,所以在安全方面显得非常重要,因此需要采用身份验证机制对用户进行验证,目前,身份认证安全机制主要有两种比较传统的技术:1、基于用户和密码的认证方式。服务器保存用户的用户名和密码信息。当用户提供正确的用户名和匹配的密码时候,用户身份认证成功。这是最古老也是当前应用最广的身份验证机制;2、基于证书文件的认证方式。服务器给授权的合法用户生成一个能够认证用户信息的证书文件。证书文件通常包含了用户的相关信息,并以特定的形式加密。当用户提供相应的证书文件申请服务器身份认证的时候,服务器校验证书合法后提供证书文件用户对应的身份和权限给申请用户。
但是,密码和证书形式的身份认证都是一次性长授权操作,即在一次身份认证成功后就授予用户长时间多操作的合法权限。在B/S(浏览器/服务器)结构的程序中表现为身份认证后建立session会话,之后的身份权限操作都基于这个session进行;C/S(客户端/服务器)结构的程序表现为,有一个认证界面,当通过认证这个流程界面后,即进入获得了其他流程界面操作的权限。
同时传统用户信息的传输做法是,作为调用函数方法的参数,在通信中传输。这样做法的弊端在于,用户信息(包括敏感的密码等信息)用显示的方式暴露在程序代码和通信过程中。
针对,云服务扩展接口的实际情况。云服务扩展接口通常是web service等方式提供给外部程序功能方法调用。并不建立session会话,也没有认证界面流程控制。所以,如果采用传统的密码和证书文件进行身份认证,需要在每个功能方法参数中都包含密码或证书信息。这对密码和证书的管理存在很大挑战,密码证书也容易在网络传输中被截获破解。
发明内容
为了克服现有技术的不足,本发明的一个技术目的是提供一种有效提高云服务接口安全的云服务接口的安全认证机制。
为了克服现有技术的不足,本发明的另一个技术目的是提供一种有效提高云服务接口安全的云服务接口的安全认证***。
为实现上述第一个技术目的,本发明采用的技术方案如下:
一种云服务接口的安全认证机制,用于客户端与服务端的连接,包括客户端认证和授权两个步骤,服务端对客户端认证后再进行授权,所述认证还包括以下步骤:
客户端发起连接请求时,对soap协议通信信息添加客户端的数字证书信息作为安全头,并发送到服务端;
服务端对soap协议通信信息的安全头进行合法性验证。
优选地,所述数字证书信息为服务端公钥和客户端私钥,所述数字证书信息为服务端统一生成并发放到客户端中。
优选地,所述合法性验证为采用安全体系X.509的非对称密钥认证加密标准。
优选地,所述授权为:服务端通过获取的用户的属性信息和服务器端预设的用户属性权限规则库进行匹配判定,根据用户的具体属性信息授予用户与该属性信息相应的源操作权限,所述用户的属性信息为预设的用户个人信息。
优选地,所述匹配判定为:根据用户的属性与预设的用户属性权限规则库中的所有用户属性权限规则进行实时的判断,匹配出用户的属性信息所符合的用户属性权限规则,并根据用户属性权限规则授予用户相应的源操作权限。
优选地,所述匹配判定还包括:为根据当前时间结合用户的属性信息与用户属性权限规则进行动态的匹配判定.
为实现上述第二个技术目的,本发明采用的技术方案如下:
一种云服务接口的安全认证***,用于客户端与服务端的连接,其特征在于,包括安全头附加模块,所述全头附加模块设置在客户端,所述安全头附加模块用于截获soap协议的通信信息,并把客户端的证书信息作为安全头信息附加到soap协议通信信息中一起发送到服务端,服务端对安全头进行合法性验证。
优选地,所述数字证书信息为服务端公钥和客户端私钥,所述数字证书信息为服务端统一生成并发放到客户端中。
优选地,还包括授权模块,所述授权模块设置在服务端,所述授权模块根据务端对安全头进行合法性验证结果,对客户端进行授权。
优选地,所述授权模块包括:用户属性权限规则库,所述用户属性权限规则库用于服务端通过获取的用户的属性信息和服务器端预设的用户属性权限规则库进行匹配判定,根据用户的具体属性信息授予用户与该属性信息相应的源操作权限,所述用户的属性信息为预设的用户个人信息。
与现有技术相比,本发明的优点在于:
本发明技术方案优点一、用户认证信息不显示的暴露在程序代码和传输通信过程中,并实现了用户身份信息的自动化管理,方便改善了用户证书信息的管理,提高了信息传输的安全性。优点二、实现了用户身份认证和操作授权分离,提高了安全性。分离了用户认证和授权后,即使用户身份得到认证,用户也需要通过属性权限规则才能获得相应的资源操作权限,提高了安全性降低了风险。
附图说明
图1为本发明的认证机制的流程图;
图2为本发明的功能模块图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细的说明。应当理解,此处所描述的具体实施例仅仅用于解释发明,并不用于限定发明。
云服务接口,通常采用webservice等形式,对外部程序提供一组云资源操作的功能方法接口。云服务接口,不存在操作界面,也不和外部客户程序建立长连接。外部程序通过身份认证后,每次获得一个独立的云资源操作方法的调用操作权。
如图1~2所示,本发明提供一种云服务接口的安全认证机制,用于客户端与服务端的连接,包括客户端认证和授权两个步骤,服务端对客户端认证后再进行授权,所述认证还包括以下步骤:
客户端发起连接请求时,对soap协议通信信息添加客户端的数字证书信息作为安全头,并发送到服务端;
服务端对soap协议通信信息的安全头进行合法性验证。
在一具体实施例中为应用到客户端与服务端连接的过程中,所述的客户端为向云服务器请求连接的终端,服务端为云服务器中响应连接请求的节点服务器或云内部任一设备。
客户端与服务端的连接过程如下:
S1)客户端向服务端请求连接;
S2)端验客户证是否拥有与服务端相对应的数字证书,若有则转步骤S4),若没有则转步骤S3);
S3)服务端向客户端发放数字证书,并记录该证书;
其中,证书密钥分发:利用JDK的工具keytool(证书生成方法不限于此),生成一对证书。服务器证书包括:服务器私钥和客户端公钥信息;客户端证书包括:服务器公钥和客户端私钥信息;并把客户端证书分发给客户端。
S4)客户端对soap协议通信信息添加客户端的数字证书信息作为安全头,并发送到服务端;
S5)服务端获取安全头;
S6)服务端验证用户信息,进行用户的认证;若不通过则返回步骤S1),若通过则转到步骤S7);
其中,当客户端进行云服务接口调用时候,此模块自动截获soap协议的通信信息,并把客户端的证书信息(服务器公钥和客户端私钥)作为安全头信息附加到soap协议通信信息中一起发生到服务器端。服务器端获取到soap通信信息后,首先分析安全头用户身份信息合法性。上述中对用户的认证过程遵守安全体系X.509的非对称密钥认证加密标准,通信过程如下:
1、客户端发送信息到服务端;用客户端文件证书client私钥将用户信息和通信信息加密,发送到服务器端。
2、服务器端接受到客户端通信信息,获取客户端用户,然后用客户端client公钥解密通信信息。通过用客户端client公钥解密加密的通信信息(私钥,公钥匹配),完成对client合法身份的认证。
3、同理,服务器向客户端返回信息,用服务器私钥加密返回信息,客户端程序用服务器公钥解密完成身份认证和通信。
S7)客户端进行服务端业务功能的操作。
其中在安全头中,除了有证书文件的签名摘要和加密信息,还采用hmac等算法对用户,密码,属性等关键信息进行了混淆加密操作。做到了用户证书签名和公私钥加密与传统用户密码口令认证的结合。
本发明技术方案,主要解决云服务接口的安全认证管理和权限获取问题。身份认证原型采用证书文件方式,但利用了soap安全头信息附加自动管理,和服务器用户属性权限规则库进行授权管理。使得用户信息管理更加自动化,简单化;也加强了用户信息和云资源的安全性。
服务器通过上述身份认证后,并没用直接授予合法认证用户,云资源的操作权限。其在步骤S6和S7之间包括步骤S61用户权限的判定,服务器通过获取的用户的属性信息和服务器端的用户属性权限规则库进行匹配,根据用户的具体属性授予用户合法的云资源操作权限范围。这样就通过用户属性信息,实现了身份认证和操作授权分离,提高了云资源操作的安全性。
其中,所述授权步骤为:服务端通过获取的用户的属性信息和服务器端预设的用户属性权限规则库进行匹配判定,根据用户的具体属性信息授予用户与该属性信息相应的源操作权限,所述用户的属性信息为预设的用户个人信息。
其中,用户的属性,指的是用户的动态属性。比如说:用户年龄,根据用户的出生年月计算用户年龄,规则库限制满18岁才有权限访问对应资源。这样的规则,不同于传统的访问权限列表。他是动态灵活的,比如用户今年17岁不能访问相关资源,当明年根据用户出生年月可以计算得到用户18岁就可以访问相关资源了,而无需对***规则做任何修改,用户权限就得到了体现。对应用户出生年月属性的获取可以使用外部接口(比如公安身份证数据接口)更加安全。又比如:用户登录时间属性,权限规则库规定只有8点到18点,上班时间用户才有资源访问权限,***更加用户登录时间获取***时间来赋予用户资源访问权限,相对***获取时间具有临时性和不可修改性也提高了安全性。再比如用户ip地址,用户缴费等属性。总之,规则库体现的不是用户的权限,而是用户属性的权限。这样具有一次性,不可修改,灵活,安全的特点。
优选地,所述匹配判定为:根据用户的属性与预设的用户属性权限规则库中的所有用户属性权限规则进行实时的判断,匹配出用户的属性信息所符合的用户属性权限规则,并根据用户属性权限规则授予用户相应的源操作权限。
优选地,所述匹配判定还包括:为根据当前时间结合用户的属性信息与用户属性权限规则进行动态的匹配判定。
Claims (10)
1. 一种云服务接口的安全认证机制,用于客户端与服务端的连接,包括客户端认证和授权两个步骤,其特征在于,服务端对客户端认证后再进行授权,所述认证还包括以下步骤:
客户端发起连接请求时,对soap协议通信信息添加客户端的数字证书信息作为安全头,并发送到服务端;
服务端对soap协议通信信息的安全头进行合法性验证。
2. 根据权利要求1所述的云服务接口的安全认证机制,其特征在于,所述数字证书信息为服务端公钥和客户端私钥,所述数字证书信息为服务端统一生成并发放到客户端中。
3. 根据权利要求1所述的云服务接口的安全认证机制,其特征在于,所述合法性验证为采用安全体系X.509的非对称密钥认证加密标准。
4. 根据权利要求1所述的云服务接口的安全认证机制,其特征在于,所述授权为:服务端通过获取的用户的属性信息和服务器端预设的用户属性权限规则库进行匹配判定,根据用户的具体属性信息授予用户与该属性信息相应的源操作权限,所述用户的属性信息为预设的用户个人信息。
5. 根据权利要求4所述的云服务接口的安全认证机制,其特征在于,所述匹配判定为:根据用户的属性与预设的用户属性权限规则库中的所有用户属性权限规则进行实时的判断,匹配出用户的属性信息所符合的用户属性权限规则,并根据用户属性权限规则授予用户相应的源操作权限。
6. 根据权利要求4所述的云服务接口的安全认证机制,其特征在于,所述匹配判定还包括:为根据当前时间结合用户的属性信息与用户属性权限规则进行动态的匹配判定。
7. 一种云服务接口的安全认证***,用于客户端与服务端的连接,其特征在于,包括安全头附加模块,所述全头附加模块设置在客户端,所述安全头附加模块用于截获soap协议的通信信息,并把客户端的证书信息作为安全头信息附加到soap协议通信信息中一起发送到服务端,服务端对安全头进行合法性验证。
8. 根据权利要求7所述的云服务接口的安全认证***,其特征在于,所述数字证书信息为服务端公钥和客户端私钥,所述数字证书信息为服务端统一生成并发放到客户端中。
9. 根据权利要求7所述的云服务接口的安全认证***,其特征在于,还包括授权模块,所述授权模块设置在服务端,所述授权模块根据务端对安全头进行合法性验证结果,对客户端进行授权。
10. 根据权利要求9所述的云服务接口的安全认证***,其特征在于,所述授权模块包括:用户属性权限规则库,所述用户属性权限规则库用于服务端通过获取的用户的属性信息和服务器端预设的用户属性权限规则库进行匹配判定,根据用户的具体属性信息授予用户与该属性信息相应的源操作权限,所述用户的属性信息为预设的用户个人信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2012104200224A CN102916965A (zh) | 2012-10-29 | 2012-10-29 | 一种云服务接口的安全认证机制及其认证*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2012104200224A CN102916965A (zh) | 2012-10-29 | 2012-10-29 | 一种云服务接口的安全认证机制及其认证*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102916965A true CN102916965A (zh) | 2013-02-06 |
Family
ID=47615199
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2012104200224A Pending CN102916965A (zh) | 2012-10-29 | 2012-10-29 | 一种云服务接口的安全认证机制及其认证*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102916965A (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103177592A (zh) * | 2013-03-12 | 2013-06-26 | 四川省宁潮科技有限公司 | 车云智士***及其实现方法 |
CN105187449A (zh) * | 2015-09-30 | 2015-12-23 | 北京恒华伟业科技股份有限公司 | 一种接口调用方法及装置 |
CN106991298A (zh) * | 2016-01-21 | 2017-07-28 | 阿里巴巴集团控股有限公司 | 应用程序对接口的访问方法、授权请求方法及装置 |
CN108616540A (zh) * | 2018-05-09 | 2018-10-02 | 聚龙股份有限公司 | 一种基于跨平台加密算法与声明式过滤认证的平台认证方法及*** |
CN109446224A (zh) * | 2018-09-25 | 2019-03-08 | 中交广州航道局有限公司 | 数据推送方法、装置、计算机设备和可读存储介质 |
CN109587100A (zh) * | 2017-09-29 | 2019-04-05 | 阿里巴巴集团控股有限公司 | 一种云计算平台用户认证处理方法及*** |
CN111967014A (zh) * | 2020-07-16 | 2020-11-20 | 北京轩宇信息技术有限公司 | 一种防御StarBleed漏洞的方法及装置 |
CN112491886A (zh) * | 2020-11-27 | 2021-03-12 | 北京明朝万达科技股份有限公司 | 基于网络***的安全控制方法、***、装置和存储介质 |
CN113794729A (zh) * | 2021-09-17 | 2021-12-14 | 上海仙塔智能科技有限公司 | 针对avp设备的通信处理方法、装置、电子设备与介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102263809A (zh) * | 2010-05-31 | 2011-11-30 | ***通信集团贵州有限公司 | 一种基于企业服务总线实现服务安全管控的方法及装置 |
-
2012
- 2012-10-29 CN CN2012104200224A patent/CN102916965A/zh active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102263809A (zh) * | 2010-05-31 | 2011-11-30 | ***通信集团贵州有限公司 | 一种基于企业服务总线实现服务安全管控的方法及装置 |
Non-Patent Citations (1)
Title |
---|
SAM THOMPSON: "实现WS-Security", 《IBM官网/DEVELOPERWORKS/WEBSERVICES》 * |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103177592B (zh) * | 2013-03-12 | 2017-04-26 | 上海金融云服务集团安全技术有限公司 | 车云智士***及其实现方法 |
CN103177592A (zh) * | 2013-03-12 | 2013-06-26 | 四川省宁潮科技有限公司 | 车云智士***及其实现方法 |
CN105187449B (zh) * | 2015-09-30 | 2018-10-02 | 北京恒华伟业科技股份有限公司 | 一种接口调用方法及装置 |
CN105187449A (zh) * | 2015-09-30 | 2015-12-23 | 北京恒华伟业科技股份有限公司 | 一种接口调用方法及装置 |
US10878066B2 (en) | 2016-01-21 | 2020-12-29 | Banma Zhixing Network (Hongkong) Co., Limited | System and method for controlled access to application programming interfaces |
CN106991298A (zh) * | 2016-01-21 | 2017-07-28 | 阿里巴巴集团控股有限公司 | 应用程序对接口的访问方法、授权请求方法及装置 |
CN106991298B (zh) * | 2016-01-21 | 2021-02-02 | 斑马智行网络(香港)有限公司 | 应用程序对接口的访问方法、授权请求方法及装置 |
CN109587100A (zh) * | 2017-09-29 | 2019-04-05 | 阿里巴巴集团控股有限公司 | 一种云计算平台用户认证处理方法及*** |
CN108616540A (zh) * | 2018-05-09 | 2018-10-02 | 聚龙股份有限公司 | 一种基于跨平台加密算法与声明式过滤认证的平台认证方法及*** |
CN109446224A (zh) * | 2018-09-25 | 2019-03-08 | 中交广州航道局有限公司 | 数据推送方法、装置、计算机设备和可读存储介质 |
CN111967014A (zh) * | 2020-07-16 | 2020-11-20 | 北京轩宇信息技术有限公司 | 一种防御StarBleed漏洞的方法及装置 |
CN111967014B (zh) * | 2020-07-16 | 2023-08-11 | 北京轩宇信息技术有限公司 | 一种防御StarBleed漏洞的方法及装置 |
CN112491886A (zh) * | 2020-11-27 | 2021-03-12 | 北京明朝万达科技股份有限公司 | 基于网络***的安全控制方法、***、装置和存储介质 |
CN113794729A (zh) * | 2021-09-17 | 2021-12-14 | 上海仙塔智能科技有限公司 | 针对avp设备的通信处理方法、装置、电子设备与介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8532620B2 (en) | Trusted mobile device based security | |
CN102916965A (zh) | 一种云服务接口的安全认证机制及其认证*** | |
US9699167B1 (en) | Distributed authentication | |
EP2391083B1 (en) | Method for realizing authentication center and authentication system | |
CN102377788B (zh) | 单点登录***及其单点登录方法 | |
US10050791B2 (en) | Method for verifying the identity of a user of a communicating terminal and associated system | |
US20150281958A1 (en) | Method and Apparatus for Securing a Connection in a Communications Network | |
US10133861B2 (en) | Method for controlling access to a production system of a computer system not connected to an information system of said computer system | |
CN103973736A (zh) | 一种数据共享的方法及装置 | |
CA2942765C (en) | Persistent authentication system incorporating one time pass codes | |
US11777743B2 (en) | Method for securely providing a personalized electronic identity on a terminal | |
CN114765534B (zh) | 基于国密标识密码算法的私钥分发***和方法 | |
US11811739B2 (en) | Web encryption for web messages and application programming interfaces | |
US20160057141A1 (en) | Network system comprising a security management server and a home network, and method for including a device in the network system | |
JP4847483B2 (ja) | 個人属性情報提供システムおよび個人属性情報提供方法 | |
CN104243435A (zh) | 一种基于OAuth的HTTP协议的通讯方法 | |
CN112953711B (zh) | 数据库安全连接***及方法 | |
CN112800448A (zh) | 数据库安全连接方法、代理服务器及存储介质 | |
CN108616530B (zh) | 基于互联网Web端的统一身份认证体系及其认证方法 | |
CN110225011B (zh) | 用户节点的认证方法、设备及计算机可读存储介质 | |
CN111107038B (zh) | 加密方法、解密方法及装置 | |
WO2014125572A1 (ja) | 共通鍵共有システム及びその方法 | |
You et al. | Research and design of web single sign-on scheme | |
CN106059759A (zh) | 一种cp‑abe密文访问控制的架构方法 | |
Grishchenko et al. | Overview of authentication algorithms in distributed software systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130206 |