CN103490899A - 一种基于第三方服务的应用云安全认证方法 - Google Patents
一种基于第三方服务的应用云安全认证方法 Download PDFInfo
- Publication number
- CN103490899A CN103490899A CN201310446268.3A CN201310446268A CN103490899A CN 103490899 A CN103490899 A CN 103490899A CN 201310446268 A CN201310446268 A CN 201310446268A CN 103490899 A CN103490899 A CN 103490899A
- Authority
- CN
- China
- Prior art keywords
- cloud
- service
- user
- application
- token
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种基于第三方服务的应用云安全认证方法,其具体步骤为:云用户向签名认证服务云提交请求服务信息,签名认证服务云接收云用户请求信息,向第三方目录认证服务云验证云用户证书的有效性,经过应用门户目录服务云签发密文用户登录令牌和数字信封,然后对应用门户目录服务云签发的密文用户登录令牌及数字信封进行认证服务签名,并回送给云用户,云用户对获取的密文用户登录令牌、数字信封及认证服务签名信息进行用户签名,然后提交给应用服务,请求相应的服务,应用服务验证后为云用户提供相应的服务。该一种基于第三方服务的应用云安全认证方法和现有技术相比,确保信息来源的真实性和不可抵赖性,加固了信息传输过程的安全性。
Description
技术领域
本发明涉及云计算技术领域,具体的说是一种可应用于电子政务、电子商务、行业等云服务领域中并基于第三方服务的应用云安全认证方法。
背景技术
云计算作为一个新兴的网络应用模式,有非常好的应用和发展前景,而云计算作为一种新兴的商业模式,对它的研究还处于初级阶段,还有很多问题尚待解决,其安全问题尤为突出,而身份认证与访问控制管理正是云计算安全的主要问题之一,在云计算基础上提供的云服务,同样存在急需解决的安全问题,安全问题已成为云计算及云服务推广的一大阻碍,主要来源于数据共享带来的安全问题、访问者的身份不确定性和云服务提供商的超级特权导致的潜在危险。为此,根据云计算中数据存储、云服务和云用户群体的特点,第三方服务将是最佳的选择方案,云访问者需经过第三方身份认证,对不同访问主体采取不同访问控制策略,以提供分级的安全特性,使云服务提供商不再享有超级特权,使得云端数据访问者及访问安全无须依赖于服务器的绝对可信,为云计算提供了更为可靠的安全特性。
发明内容
本发明的技术任务是解决现有技术的不足,提供一种实用性强、基于第三方服务的应用云安全认证方法。
本发明的技术方案是按以下方式实现的,该一种基于第三方服务的应用云安全认证方法,其具体步骤为:
一、云用户向签名认证服务云提交请求服务信息;
二、签名认证服务云接收到云用户请求信息后,向第三方目录认证服务云验证云用户证书的有效性;
三、经过应用门户目录服务云签发密文用户登录令牌和数字信封,然后对应用门户目录服务云签发的密文用户登录令牌及数字信封进行认证服务签名;
四、步骤三中的密文用户登录令牌及数字信封回送给云用户,云用户对获取的密文用户登录令牌、数字信封及认证服务签名信息进行数字签名,作为登录应用服务云的临时唯一性请求信息,并将此请求提交给应用服务云,请求相应的服务;
五、应用服务云验证相应的签名及令牌信息,为云用户提供相应的服务;
六、如果用户超过一定时间未访问本服务时,用户状态置为停止,之后需重复一到五步骤重新登录。
所述步骤一中的云用户请求服务信息包括:用户数字证书、云用户请求登录应用门户信息。
所述步骤三的详细过程为:签名认证服务云将用户请求信息及令牌有效期提交给应用门户目录服务云,经过应用门户目录服务云权限验证,验证通过后将用户证书、令牌有效期、用户状态、应用门户信息后进行加密得密文用户登录令牌,同时采用应用门户目录服务公钥将会话密钥加密产生数字信封。
所述步骤三中的加密方法用会话密钥,采用SM1、DES或3DES算法加密。
所述步骤四中的数字签名算法采用RSA、SM2或ECC算法。
所述步骤五的详细过程为:应用服务云收到用户请求信息,首先验证用户签名和签名认证服务云签名,然后打开数字信封,解密密文用户登录令牌,并再次用令牌中的用户证书验证云用户签名,核对令牌有效期,检测用户状态,比对应用门户信息,应用服务云所有验证通过,为用户开通应用权限,提供相应的服务。
本发明与现有技术相比所产生的有益效果是:
本发明的一种基于第三方服务的应用云安全认证方法解决现有应用云服务中身份认证、统一管理的问题,将签名认证服务云、第三方认证目录服务云、应用门户目录服务云和应用服务云相结合,实现了统一云认证和应用门户权限管理,为云用户提供了安全可信的第三方认证服务,真正解决了云服务安全方面的难题;整个云服务过程与第三方服务紧密结合,验证云用户身份的真实性、合法性,签名技术的应用确保信息来源的真实性和不可抵赖性,密文用户登录令牌和数字信封技术加固了信息传输过程的安全性,实用性强,易于推广。
附图说明
附图1是本发明的安全认证方法模型图。
附图2是本发明的云用户令牌信息示意图。
具体实施方式
下面结合附图对本发明的一种基于第三方服务的应用云安全认证方法作详细说明。
如附图1、图2所示,现提供一种基于第三方服务的应用云安全认证方法,其具体步骤为:
一、云用户向签名认证服务云提交请求服务信息;
二、签名认证服务云接收到云用户请求信息后,向第三方目录认证服务云验证云用户证书的有效性;
三、经过应用门户目录服务云签发密文用户登录令牌和数字信封,然后对应用门户目录服务云签发的密文用户登录令牌及数字信封进行认证服务签名;
四、步骤三中的密文用户登录令牌及数字信封回送给云用户,云用户对获取的密文用户登录令牌、数字信封及认证服务签名信息进行数字签名,作为登录应用服务云的临时唯一性请求信息,并将此请求提交给应用服务云,请求相应的服务;
五、应用服务云验证相应的签名及令牌信息,为云用户提供相应的服务;
六、如果用户超过一定时间未访问本服务时,用户状态置为停止,之后需重复一到五步骤重新登录。
所述步骤一中的云用户请求服务信息包括:用户数字证书、云用户请求登录应用门户信息。
所述步骤三的详细过程为:签名认证服务云将用户请求信息及令牌有效期提交给应用门户目录服务云,经过应用门户目录服务云权限验证,验证通过后将用户证书、令牌有效期、用户状态、应用门户信息后进行加密得密文用户登录令牌,同时采用应用门户目录服务公钥将会话密钥加密产生数字信封。
所述步骤三中的加密方法用会话密钥,采用SM1、DES或3DES算法加密。
所述步骤四中的数字签名算法采用RSA、SM2或ECC算法。
所述步骤五的详细过程为:应用服务云收到用户请求信息,首先验证用户签名和签名认证服务云签名,然后打开数字信封,解密密文用户登录令牌,并再次用令牌中的用户证书验证云用户签名,核对令牌有效期,检测用户状态,比对应用门户信息,应用服务云所有验证通过,为用户开通应用权限,提供相应的服务。
其具体的实施过程为:
第1步,云用户向签名认证服务云发送请求信息(请求信息包括:云用户数字证书、云用户请求登录的应用服务云域名或服务ip地址)。
第2步,签名认证服务云将云用户请求信息发送到第三方认证目录服务云进行身份认证,如果数字证书被吊销、注销、挂失或过期均为无效证书,如果验证无效,则返回云用户无效的请求,云用户请求结束。
第3步,签名认证服务云将云用户请求信息发送到应用门户目录服务云进行权限验证,应用门户目录服务云首先验证云用户请求登录的应用服务云域名或服务ip地址是否正确,如果错误返回验证失败,如果正确应用门户目录服务云将云用户的请求信息包括:云用户证书、令牌有效期、用户状态(有效用户、未激活状态)、应用门户信息等信息进行加密(用会话密钥、采用SM1算法加密),得密文用户登录令牌,同时采用应用门户目录服务公钥将会话密钥加密产生数字信封,将密文用户登录令牌和数字信封送回签名认证服务云。
第4步,签名认证服务云将应用门户目录服务云返回的密文用户登录令牌和数字信封进行数字签名(签名算法用RSA或SM2或ECC),一并回送给云用户。
第5步,云用户对获取的密文用户登录令牌、数字信封及认证服务签名进行数字签名,作为登录应用服务云的临时唯一性请求信息,然后云用户向应用服务云发送请求服务信息。
第6步,应用服务云收到用户请求信息,首先验证用户签名和签名认证服务云签名,然后打开数字信封,解密密文用户登录令牌,验证用户应用门户信息匹配性,并再次用令牌中的用户证书验证云用户签名,核对令牌有效期,检测用户状态,如果所有信息验证通过,为用户开通应用权限(用户状态置为‘激活’),提供相应的服务。
如果用户超过一定时间未访问应用服务云时,用户状态置为‘停止’,之后需重复1-6步骤重新登录请求服务。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种基于第三方服务的应用云安全认证方法,其特征在于,其具体步骤为:
一、云用户向签名认证服务云提交请求服务信息;
二、签名认证服务云接收到云用户请求信息后,向第三方目录认证服务云验证云用户证书的有效性;
三、经过应用门户目录服务云签发密文用户登录令牌和数字信封,然后对应用门户目录服务云签发的密文用户登录令牌及数字信封进行认证服务签名;
四、步骤三中的密文用户登录令牌及数字信封回送给云用户,云用户对获取的密文用户登录令牌、数字信封及认证服务签名信息进行数字签名,作为登录应用服务云的临时唯一性请求信息,并将此请求提交给应用服务云,请求相应的服务;
五、应用服务云验证相应的签名及令牌信息,为云用户提供相应的服务;
六、如果用户超过一定时间未访问本服务时,用户状态置为停止,之后需重复一到五步骤重新登录。
2.根据权利要求1所述的一种基于第三方服务的应用云安全认证方法,其特征在于,所述步骤一中的云用户请求服务信息包括:用户数字证书、云用户请求登录应用门户信息。
3.根据权利要求1所述的一种基于第三方服务的应用云安全认证方法,其特征在于,所述步骤三的详细过程为:签名认证服务云将用户请求信息及令牌有效期提交给应用门户目录服务云,经过应用门户目录服务云权限验证,验证通过后将用户证书、令牌有效期、用户状态、应用门户信息后进行加密得密文用户登录令牌,同时采用应用门户目录服务公钥将会话密钥加密产生数字信封。
4.根据权利要求3所述的一种基于第三方服务的应用云安全认证方法,其特征在于,所述步骤三中的加密方法用会话密钥,采用SM1、DES或3DES算法加密。
5.根据权利要求1所述的一种基于第三方服务的应用云安全认证方法,其特征在于,所述步骤四中的数字签名算法采用RSA、SM2或ECC算法。
6.根据权利要求1所述的一种基于第三方服务的应用云安全认证方法,其特征在于,所述步骤五的详细过程为:应用服务云收到用户请求信息,首先验证用户签名和签名认证服务云签名,然后打开数字信封,解密密文用户登录令牌,并再次用令牌中的用户证书验证云用户签名,核对令牌有效期,检测用户状态,比对应用门户信息,应用服务云所有验证通过,为用户开通应用权限,提供相应的服务。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310446268.3A CN103490899A (zh) | 2013-09-27 | 2013-09-27 | 一种基于第三方服务的应用云安全认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310446268.3A CN103490899A (zh) | 2013-09-27 | 2013-09-27 | 一种基于第三方服务的应用云安全认证方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103490899A true CN103490899A (zh) | 2014-01-01 |
Family
ID=49830873
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310446268.3A Pending CN103490899A (zh) | 2013-09-27 | 2013-09-27 | 一种基于第三方服务的应用云安全认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103490899A (zh) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104243452A (zh) * | 2014-08-20 | 2014-12-24 | 宇龙计算机通信科技(深圳)有限公司 | 一种云计算访问控制方法及*** |
CN104935606A (zh) * | 2015-07-07 | 2015-09-23 | 成都睿峰科技有限公司 | 一种云计算网络中的终端登录方法 |
CN104980401A (zh) * | 2014-04-09 | 2015-10-14 | 北京亿赛通科技发展有限责任公司 | Nas服务器数据安全存储***、安全存储及读取方法 |
WO2016101745A1 (zh) * | 2014-12-23 | 2016-06-30 | 飞天诚信科技股份有限公司 | 一种激活移动终端令牌的方法 |
CN106339597A (zh) * | 2016-08-31 | 2017-01-18 | 孟玲 | 一种基于云计算的智能医疗远程监护*** |
CN106375334A (zh) * | 2016-09-28 | 2017-02-01 | 郑州云海信息技术有限公司 | 一种分布式***的认证方法 |
CN106682028A (zh) * | 2015-11-10 | 2017-05-17 | 阿里巴巴集团控股有限公司 | 获取网页应用的方法、装置及*** |
CN107425983A (zh) * | 2017-08-08 | 2017-12-01 | 北京明朝万达科技股份有限公司 | 一种基于web服务的统一身份认证方法及***平台 |
CN108965230A (zh) * | 2018-05-09 | 2018-12-07 | 深圳市中信网安认证有限公司 | 一种安全通信方法、***及终端设备 |
CN109214159A (zh) * | 2018-08-31 | 2019-01-15 | 武汉文楚智信科技有限公司 | 一种用于终端人脸识别云服务的用户信息保护***和方法 |
CN109525583A (zh) * | 2018-11-26 | 2019-03-26 | 中国科学院数据与通信保护研究教育中心 | 一种用于第三方提供身份管理的服务***的虚假凭证检测方法及*** |
CN110493301A (zh) * | 2019-06-19 | 2019-11-22 | 莫毓昌 | 用于云组合和云用户协商服务交付的通用架构平台 |
CN110519236A (zh) * | 2019-08-07 | 2019-11-29 | 武汉金百瑞科技股份有限公司 | 一种网站集群下安全的账户与权限控制的方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20060099797A (ko) * | 2005-03-15 | 2006-09-20 | 주식회사 트루씨 | 통합 로그인 서비스 방법 및 시스템 |
CN102710605A (zh) * | 2012-05-08 | 2012-10-03 | 重庆大学 | 一种云制造环境下的信息安全管控方法 |
CN103248481A (zh) * | 2012-02-10 | 2013-08-14 | 工业和信息化部电信传输研究所 | 一种基于应用数字签名认证的开放api公共授权访问控制的方法 |
-
2013
- 2013-09-27 CN CN201310446268.3A patent/CN103490899A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20060099797A (ko) * | 2005-03-15 | 2006-09-20 | 주식회사 트루씨 | 통합 로그인 서비스 방법 및 시스템 |
CN103248481A (zh) * | 2012-02-10 | 2013-08-14 | 工业和信息化部电信传输研究所 | 一种基于应用数字签名认证的开放api公共授权访问控制的方法 |
CN102710605A (zh) * | 2012-05-08 | 2012-10-03 | 重庆大学 | 一种云制造环境下的信息安全管控方法 |
Cited By (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104980401B (zh) * | 2014-04-09 | 2018-05-01 | 北京亿赛通科技发展有限责任公司 | Nas服务器数据安全存储***、安全存储及读取方法 |
CN104980401A (zh) * | 2014-04-09 | 2015-10-14 | 北京亿赛通科技发展有限责任公司 | Nas服务器数据安全存储***、安全存储及读取方法 |
CN104243452A (zh) * | 2014-08-20 | 2014-12-24 | 宇龙计算机通信科技(深圳)有限公司 | 一种云计算访问控制方法及*** |
CN104243452B (zh) * | 2014-08-20 | 2018-02-02 | 宇龙计算机通信科技(深圳)有限公司 | 一种云计算访问控制方法及*** |
WO2016101745A1 (zh) * | 2014-12-23 | 2016-06-30 | 飞天诚信科技股份有限公司 | 一种激活移动终端令牌的方法 |
CN104935606A (zh) * | 2015-07-07 | 2015-09-23 | 成都睿峰科技有限公司 | 一种云计算网络中的终端登录方法 |
CN106682028A (zh) * | 2015-11-10 | 2017-05-17 | 阿里巴巴集团控股有限公司 | 获取网页应用的方法、装置及*** |
WO2017080385A1 (zh) * | 2015-11-10 | 2017-05-18 | 阿里巴巴集团控股有限公司 | 获取网页应用的方法、装置及*** |
CN106682028B (zh) * | 2015-11-10 | 2021-01-26 | 阿里巴巴集团控股有限公司 | 获取网页应用的方法、装置及*** |
CN106339597A (zh) * | 2016-08-31 | 2017-01-18 | 孟玲 | 一种基于云计算的智能医疗远程监护*** |
CN106375334A (zh) * | 2016-09-28 | 2017-02-01 | 郑州云海信息技术有限公司 | 一种分布式***的认证方法 |
CN107425983A (zh) * | 2017-08-08 | 2017-12-01 | 北京明朝万达科技股份有限公司 | 一种基于web服务的统一身份认证方法及***平台 |
CN108965230A (zh) * | 2018-05-09 | 2018-12-07 | 深圳市中信网安认证有限公司 | 一种安全通信方法、***及终端设备 |
CN108965230B (zh) * | 2018-05-09 | 2021-10-15 | 深圳市中信网安认证有限公司 | 一种安全通信方法、***及终端设备 |
CN109214159A (zh) * | 2018-08-31 | 2019-01-15 | 武汉文楚智信科技有限公司 | 一种用于终端人脸识别云服务的用户信息保护***和方法 |
CN109214159B (zh) * | 2018-08-31 | 2021-11-02 | 武汉文楚智信科技有限公司 | 一种用于终端人脸识别云服务的用户信息保护***和方法 |
CN109525583A (zh) * | 2018-11-26 | 2019-03-26 | 中国科学院数据与通信保护研究教育中心 | 一种用于第三方提供身份管理的服务***的虚假凭证检测方法及*** |
CN109525583B (zh) * | 2018-11-26 | 2021-03-12 | 中国科学院数据与通信保护研究教育中心 | 一种用于第三方提供身份管理的服务***的虚假凭证检测方法及*** |
CN110493301A (zh) * | 2019-06-19 | 2019-11-22 | 莫毓昌 | 用于云组合和云用户协商服务交付的通用架构平台 |
CN110519236A (zh) * | 2019-08-07 | 2019-11-29 | 武汉金百瑞科技股份有限公司 | 一种网站集群下安全的账户与权限控制的方法 |
CN110519236B (zh) * | 2019-08-07 | 2022-05-24 | 武汉金百瑞科技股份有限公司 | 一种网站集群下安全的账户与权限控制的方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103490899A (zh) | 一种基于第三方服务的应用云安全认证方法 | |
CN105577665B (zh) | 一种云环境下的身份和访问控制管理***及方法 | |
CN103780618B (zh) | 一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法 | |
US20180330073A1 (en) | Authentication device and system | |
CN103856478B (zh) | 一种可信网络的证书签发、认证方法及相应的设备 | |
US9026789B2 (en) | Trusted certificate authority to create certificates based on capabilities of processes | |
CN102377788B (zh) | 单点登录***及其单点登录方法 | |
CN101286843B (zh) | 点对点模式下单点登录方法 | |
CN105791272A (zh) | 一种物联网中的安全通信方法及装置 | |
CN104753881A (zh) | 一种基于软件数字证书和时间戳的WebService安全认证访问控制方法 | |
WO2012018528A2 (en) | Methods for anonymous authentication and key agreement | |
CN108206821A (zh) | 一种身份认证的方法及*** | |
CN101938473A (zh) | 单点登录***及单点登录方法 | |
CN103152179A (zh) | 一种适用于多应用***的统一身份认证方法 | |
CN102546173B (zh) | 基于证书的数字签名***及签名方法 | |
CN105516119A (zh) | 基于代理重签名的跨域身份认证方法 | |
EP2608477A1 (en) | Trusted certificate authority to create certificates based on capabilities of processes | |
CN105791294B (zh) | 一种实现用户数据完整性和机密性的方法 | |
KR101491553B1 (ko) | 인증서 기반의 dms를 이용한 안전한 스마트그리드 통신 시스템 및 방법 | |
CN113536347A (zh) | 一种基于数字签名的招投标方法及*** | |
CN110891067B (zh) | 一种可撤销的多服务器隐私保护认证方法及*** | |
US9716707B2 (en) | Mutual authentication with anonymity | |
CN110855442A (zh) | 一种基于pki技术的设备间证书验证方法 | |
CN105471579B (zh) | 一种信任登录方法及装置 | |
CN103916358B (zh) | 一种密钥扩散及校验方法和*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140101 |