CN107222485B - 一种授权方法以及相关设备 - Google Patents
一种授权方法以及相关设备 Download PDFInfo
- Publication number
- CN107222485B CN107222485B CN201710447707.0A CN201710447707A CN107222485B CN 107222485 B CN107222485 B CN 107222485B CN 201710447707 A CN201710447707 A CN 201710447707A CN 107222485 B CN107222485 B CN 107222485B
- Authority
- CN
- China
- Prior art keywords
- service provider
- cloud service
- side server
- provider side
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明实施例公开了一种授权方法以及相关设备。本发明实施例方法包括:云服务提供商侧服务器接收终端设备发送的第一临时证书,所述云服务提供商侧服务器根据所述第一临时证书确定目标权限,所述云服务提供商侧服务器将第二临时证书发送给所述终端设备,所述第二临时证书用于指示所述目标权限,以使所述终端设备通过所述第二临时证书访问所述云服务提供商侧服务器上的所述目标资源。可见,所述云服务提供商侧服务器可通过所述第二临时证书实现对所述终端设备进行精细化的权限管理,即使得所述终端设备对所述云服务提供商侧服务器仅具有目标权项的访问,同时保证了终端设备访问所述云服务提供商侧服务器的目标资源的安全性和灵活性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及的是一种授权方法以及服务器。
背景技术
终端设备在访问资源时,需要资源拥有者的授权,终端设备在资源拥有者的授权下,即可进行资源的访问。
现有技术所提供的授权方式包括如下步骤:
步骤101、所述终端设备向资源所有者(英文全称:Resource Owner,英文简称:RO)发送请求信息;
所述终端设备作为资源的请求方,通过所述请求信息请求资源,所述请求信息包括要访问的资源路径,操作类型,终端设备的用户身份等信息。
步骤102、所述资源所有者将授权码Authorization Code Grant发送给终端设备。
其中,所述资源所有者将所述授权码Authorization Code Grant作为授权凭证发送给所述终端设备。
步骤103、所述终端设备向授权服务器(英文全称:Authorization Server,英文简称:AS)发送访问令牌请求信息。
其中,所述访问令牌请求信息包括所述授权码以及终端设备的用户的身份凭证。
步骤104、所述授权服务器将访问令牌发送给所述终端设备。
步骤105、所述终端设备将所述访问令牌发送给资源服务器(英文全称:ResourceServer,英文简称:RS)。
步骤106、所述资源服务器根据所述访问令牌将资源发送给所述终端设备。
现有技术所示的授权方式,所述资源所有者对所述终端设备的授权过程为实时授权,无法对终端设备定义精细化的权限需求,一般是把权限分成粗粒度的些类别,这种方式是无法满足云服务的精细化权限管理需求,而且以访问令牌来作为授权后访问资源的凭证,安全性较低。
发明内容
本发明实施例提供了一种授权方法以及相关设备。
本发明实施例第一方面提供了一种授权方法,包括:
云服务提供商侧服务器接收终端设备发送的第一临时证书,所述第一临时证书用于请求访问所述云服务提供商侧服务器上的资源;
所述云服务提供商侧服务器根据所述第一临时证书确定目标权限,所述目标权限用于指示具有访问所述云服务提供商侧服务器上的目标资源的权限;
所述云服务提供商侧服务器将第二临时证书发送给所述终端设备,所述第二临时证书用于指示所述目标权限,以使所述终端设备通过所述第二临时证书访问所述云服务提供商侧服务器上的所述目标资源。
本发明实施例第二方面提供了一种授权方法,包括:
终端设备将第一临时证书发送给云服务提供商侧服务器,所述第一临时证书用于请求访问所述云服务提供商侧服务器上的资源,所述云服务提供商侧服务器为云服务提供商侧的服务器,所述终端设备为第三方服务商侧的服务器;
所述终端设备接收所述云服务提供商侧服务器发送的第二临时证书,所述第二临时证书用于指示具有目标权限,所述目标权限用于指示具有访问所述云服务提供商侧服务器上的目标资源的权限;
所述终端设备通过所述第二临时证书访问所述云服务提供商侧服务器上的所述目标资源。
本发明实施例第三方面提供了一种云服务提供商侧服务器,包括:
接收单元,用于接收终端设备发送的第一临时证书,所述第一临时证书用于请求访问所述云服务提供商侧服务器上的资源;
确定单元,用于根据所述第一临时证书确定目标权限,所述目标权限用于指示具有访问所述云服务提供商侧服务器上的目标资源的权限;
发送单元,用于将第二临时证书发送给所述终端设备,所述第二临时证书用于指示所述目标权限,以使所述终端设备通过所述第二临时证书访问所述云服务提供商侧服务器上的所述目标资源。
本发明实施例第四方面提供了一种终端设备,包括:
发送单元,用于将第一临时证书发送给云服务提供商侧服务器,所述第一临时证书用于请求访问所述云服务提供商侧服务器上的资源;
接收单元,用于接收所述云服务提供商侧服务器发送的第二临时证书,所述第二临时证书用于指示目标权限,所述目标权限用于指示具有访问所述云服务提供商侧服务器上的目标资源的权限;
访问单元,用于通过所述第二临时证书访问所述云服务提供商侧服务器上的所述目标资源。
本发明实施例第五方面提供了一种云服务提供商侧服务器,包括:
一个或多个中央处理器、存储器、总线***、以及一个或多个程序,所述中央处理器和所述存储器通过所述总线***相连;
其中所述一个或多个程序被存储在所述存储器中,所述一个或多个程序包括指令,所述指令当被所述云服务提供商侧服务器执行时使所述云服务提供商侧服务器执行如本发明实施例第一方面所提供的所述的方法。
本发明实施例第六方面提供了一种终端设备,包括:
一个或多个处理器单元、存储单元、总线***、以及一个或多个程序,所述处理器单元和所述存储单元通过所述总线***相连;
其中所述一个或多个程序被存储在所述存储单元中,所述一个或多个程序包括指令,所述指令当被所述终端设备执行时使所述终端设备执行如本发明第二方面所示的所述的方法。
从以上技术方案可以看出,本发明实施例具有以下优点:
所述云服务提供商侧服务器可通过所述第二临时证书实现对所述终端设备进行精细化的权限管理,即使得所述终端设备对所述云服务提供商侧服务器仅具有目标权项的访问,同时保证了终端设备访问所述云服务提供商侧服务器的目标资源的安全性和灵活性。
附图说明
图1为现有技术所提供的授权方法的步骤流程示意图;
图2为本发明所提供的云服务***的结构的一种实施例结构示意图;
图3为本发明所提供的云服务提供商侧服务器的一种实施例结构示意图;
图4为本发明所提供的终端设备的一种实施例结构示意图;
图5为本发明所提供的授权方法的一种实施例步骤流程图;
图6为本发明所提供的授权方法的另一种实施例步骤流程图;
图7为本发明所提供的授权方法的另一种实施例步骤流程图;
图8为本发明所提供的预选权限的创建示意图;
图9为本发明所提供的云服务提供商侧服务器另一种实施例结构示意图;
图10为本发明所提供的终端设备的另一种实施例结构示意图;
图11为本发明所提供的应用场景的一种示例图。
具体实施方式
本发明实施例提供了一种授权方法,本实施例所示的授权方法基于云服务***,本实施例所示的云服务***的结构可参见图2所示,其中,所述云服务***包括云服务提供商侧服务器。且本实施例所示的云服务提供商侧服务器为云服务提供商的服务平台侧的服务器。
本实施例所示的所述云服务***还包括至少一个终端设备202,本实施例以所述终端设备202的数目为一个为例进行示例性说明。
本实施例所示的终端设备202为第三方服务商侧的设备。
其中,所述第三方服务商为入驻云服务提供商建立的以云计算产品为基础的服务平台,提供给云服务开发商的软件、服务、建站、企业应用服务,以帮助用户更好的使用云计算产品和服务。
本实施例所示的所述云服务提供商侧服务器可为资源所有者Resource Owner,或所述云服务提供商侧服务器可为资源服务器Resource Server,或所述云服务提供商侧服务器可为授权服务器Authorization Server。
本实施例中,所述终端设备202即可通过OAUTH协议向所述云服务提供商侧服务器请求授权。
以下结合图3所示对所述云服务提供商侧服务器的结构进行可选的说明,具体的,本实施例对所述云服务提供商侧服务器结构的说明为可选的示例,不做限定,只要所述云服务提供商侧服务器能够实现对所述终端设备202的授权,以使所述终端设备202能够根据授权访问所述云服务提供商侧服务器上的资源即可。
所述云服务提供商侧服务器可因配置或性能不同而产生比较大的差异,可以包括一个或一个以***处理器(central processing units,CPU)301(例如,一个或一个以上处理器)和存储器302,一个或一个以上存储应用程序303或数据304的存储介质305(例如一个或一个以上海量存储设备)。其中,存储器302和存储介质305可以是短暂存储或持久存储。存储在存储介质305的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器301可以设置为与存储介质305通信,在云服务提供商侧服务器上执行存储介质305中的一系列指令操作。
云服务提供商侧服务器还可以包括一个或一个以上电源306,一个或一个以上有线或无线网络接口307,一个或一个以上输入输出接口308,和/或,一个或一个以上操作***309,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
以下结合图4所示对本实施例所示的终端设备202的具体结构进行示例性说明。
所述终端设备包括输入单元405、处理器单元403、输出单元401、通信单元407、存储单元404、射频电路408等组件。
这些组件通过一条或多条总线进行通信。本领域技术人员可以理解,图4中示出的终端设备的结构并不构成对本发明的限定,它既可以是总线形结构,也可以是星型结构,还可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
在本发明实施方式中,所述终端设备可以是任何移动或便携式电子设备,包括但不限于智能手机、移动电脑、平板电脑、个人数字助理(Personal Digital Assistant,PDA)、媒体播放器、智能电视等。
所述终端设备包括:
输出单元401,用于输出待显示的图像。
具体的,所述输出单元401包括但不限于影像输出单元4011和声音输出单元4012。
所述影像输出单元4011用于输出文字、图片和/或视频。所述影像输出单元4011可包括显示面板,例如采用液晶显示器(英文全称:Liquid Crystal Display,英文简称:LCD)、有机发光二极管(英文全称:Organic Light-Emitting Diode,英文简称:OLED)、场发射显示器(英文全称:field emission display,英文简称FED)等形式来配置的显示面板。或者所述影像输出单元4011可以包括反射式显示器,例如电泳式(electrophoretic)显示器,或利用光干涉调变技术(英文全称:Interferometric Modulation of Light)的显示器。
所述影像输出单元4011可以包括单个显示器或不同尺寸的多个显示器。在本发明的具体实施方式中,触摸屏亦可同时作为输出单元401的显示面板。
例如,当触摸屏检测到在其上的触摸或接近的手势操作后,传送给处理器单元403以确定触摸事件的类型,随后处理器单元403根据触摸事件的类型在显示面板上提供相应的视觉输出。虽然在图4中,输入单元405与输出单元401是作为两个独立的部件来实现终端设备的输入和输出功能,但是在某些实施例中,可以将触摸屏与显示面板集成一体而实现终端设备的输入和输出功能。例如,所述影像输出单元4011可以显示各种图形化用户接口(英文全称:Graphical User Interface,英文简称GUI)以作为虚拟控制组件,包括但不限于窗口、卷动轴、图标及剪贴簿,以供用户通过触控方式进行操作。
在本发明具体实施方式中,所述影像输出单元4011包括滤波器及放大器,用来将处理器单元403所输出的视频滤波及放大。声音输出单元4012包括数字模拟转换器,用来将处理器单元403所输出的音频信号从数字格式转换为模拟格式。
处理器单元403,用于运行相应的代码,对接收信息进行处理,以生成并输出相应的界面。
具体的,所述处理器单元403为终端设备的控制中心,利用各种接口和线路连接整个终端设备的各个部分,通过运行或执行存储在存储单元内的软件程序和/或模块,以及调用存储在存储单元内的数据,以执行终端设备的各种功能和/或处理数据。所述处理器单元403可以由集成电路(英文全称:Integrated Circuit,英文简称:IC)组成,例如可以由单颗封装的IC所组成,也可以由连接多颗相同功能或不同功能的封装IC而组成。
举例来说,所述处理器单元403可以仅包括中央处理器(英文全称:CentralProcessing Unit,英文简称:CPU),也可以是图形处理器(英文全称:Graphics ProcessingUnit,英文简称:GPU),数字信号处理器(英文全称:Digital Signal Processor,英文简称:DSP)、及通信单元中的控制芯片(例如基带芯片)的组合。在本发明实施方式中,CPU可以是单运算核心,也可以包括多运算核心。
存储单元404,用于存储代码和数据,代码供处理器单元403运行。
具体的,存储单元404可用于存储软件程序以及模块,处理器单元403通过运行存储在存储单元404的软件程序以及模块,从而执行终端设备的各种功能应用以及实现数据处理。存储单元404主要包括程序存储区和数据存储区,其中,程序存储区可存储操作***、至少一个功能所需的应用程序,比如声音播放程序、图像播放程序等等;数据存储区可存储根据终端设备的使用所创建的数据(比如音频数据、电话本等)等。
在本发明具体实施方式中,存储单元404可以包括易失性存储器,例如非挥发性动态随机存取内存(英文全称:Nonvolatile Random Access Memory,英文简称NVRAM)、相变化随机存取内存(英文全称:Phase Change RAM,英文简称PRAM)、磁阻式随机存取内存(英文全称:Magetoresistive RAM,英文简称MRAM)等,还可以包括非易失性存储器,例如至少一个磁盘存储器件、电子可擦除可编程只读存储器(英文全称:Electrically ErasableProgrammable Read-Only Memory,英文简称EEPROM)、闪存器件,例如反或闪存(英文全称:NOR flash memory)或是反及闪存(英文全称:NAND flash memory)。
非易失存储器储存处理器单元403所执行的操作***及应用程序。所述处理器单元403从所述非易失存储器加载运行程序与数据到内存并将数字内容储存于大量储存装置中。所述操作***包括用于控制和管理常规***任务,例如内存管理、存储设备控制、电源管理等,以及有助于各种软硬件之间通信的各种组件和/或驱动器。
在本发明实施方式中,所述操作***可以是Google公司的Android***、Apple公司开发的iOS***或Microsoft公司开发的Windows操作***等,或者是Vxworks这类的嵌入式操作***。
所述应用程序包括安装在终端设备上的任何应用,包括但不限于浏览器、电子邮件、即时消息服务、文字处理、键盘虚拟、窗口小部件(Widget)、加密、数字版权管理、语音识别、语音复制、定位(例如由全球定位***提供的功能)、音乐播放等等。
输入单元405,用于实现用户与终端设备的交互和/或信息输入到终端设备中。
例如,所述输入单元405可以接收用户输入的数字或字符信息,以产生与用户设置或功能控制有关的信号输入。在本发明具体实施方式中,输入单元405可以是触摸屏,也可以是其他人机交互界面,例如实体输入键、麦克风等,还可是其他外部信息撷取装置,例如摄像头等。
本发明实施例所示的触摸屏,可收集用户在其上触摸或接近的操作动作。比如用户使用手指、触笔等任何适合的物体或附件在触摸屏上或接近触摸屏的位置的操作动作,并根据预先设定的程式驱动相应的连接装置。可选的,触摸屏可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸操作,并将检测到的触摸操作转换为电信号,以及将所述电信号传送给触摸控制器;触摸控制器从触摸检测装置上接收所述电信号,并将它转换成触点坐标,再送给所述处理器单元403。
所述触摸控制器还可以接收处理器单元403发来的命令并执行。此外,所述触摸屏可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触摸屏。
在本发明的其他实施方式中,所述输入单元405所采用的实体输入键可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。麦克风形式的输入单元405可以收集用户或环境输入的语音并将其转换成电信号形式的、处理器单元403可执行的命令。
在本发明的其他一些实施方式中,所述输入单元405还可以是各类传感器件,例如霍尔器件,用于侦测终端设备的物理量,例如力、力矩、压力、应力、位置、位移、速度、加速度、角度、角速度、转数、转速以及工作状态发生变化的时间等,转变成电量来进行检测和控制。其他的一些传感器件还可以包括重力感应计、三轴加速计、陀螺仪、电子罗盘、环境光传感器、接近传感器、温度传感器、湿度传感器、压力传感器、心率传感器、指纹识别器等。
通信单元407,用于建立通信信道,使终端设备通过所述通信信道以连接至远程服务器,并从所述远程服务器下媒体数据。所述通信单元407可以包括无线局域网(英文全称:Wireless Local Area Network,英文简称:wireless LAN)模块、蓝牙模块、基带模块等通信模块,以及所述通信模块对应的射频(英文全称:Radio Frequency,英文简称:RF)电路,用于进行无线局域网络通信、蓝牙通信、红外线通信及/或蜂窝式通信***通信,例如宽带码分多重接入(英文全称:Wideband Code Division Multiple Access,英文简称:W-CDMA)及/或高速下行封包存取(英文全称:High Speed Downlink Packet Access,英文简称HSDPA)。所述通信模块用于控制终端设备中的各组件的通信,并且可以支持直接内存存取。
在本发明的不同实施方式中,所述通信单元407中的各种通信模块一般以集成电路芯片(英文全称:Integrated Circuit Chip)的形式出现,并可进行选择性组合,而不必包括所有通信模块及对应的天线组。例如,所述通信单元407可以仅包括基带芯片、射频芯片以及相应的天线以在一个蜂窝通信***中提供通信功能。经由所述通信单元407建立的无线通信连接,例如无线局域网接入或WCDMA接入,所述终端设备可以连接至蜂窝网(英文全称:Cellular Network)或因特网。在本发明的一些可选实施方式中,所述通信单元407中的通信模块,例如基带模块可以集成到处理器单元403中,典型的如高通(Qualcomm)公司提供的APQ+MDM系列平台。
射频电路408,用于信息收发或通话过程中接收和发送信号。例如,将基站的下行信息接收后,给处理器单元403处理;另外,将设计上行的数据发送给基站。通常,所述射频电路408包括用于执行这些功能的公知电路,包括但不限于天线***、射频收发机、一个或多个放大器、调谐器、一个或多个振荡器、数字信号处理器、编解码(Codec)芯片组、用户身份模块(SIM)卡、存储器等等。此外,射频电路408还可以通过无线通信与网络和其他设备通信。
所述无线通信可以使用任一通信标准或协议,包括但不限于全球移动通讯***(英文全称:Global System of Mobile communication,英文简称:GSM)、通用分组无线服务(英文全称:General Packet Radio Service,英文简称:GPRS)、码分多址(英文全称:Code Division Multiple Access,英文简称:CDMA)、宽带码分多址(英文全称:WidebandCode Division Multiple Access,英文简称:WCDMA)、高速上行行链路分组接入技术(英文全称:High Speed Uplink Packet Access,英文简称:HSUPA)、长期演进(英文全称:LongTerm Evolution,英文简称:LTE)、电子邮件、短消息服务(英文全称:Short MessagingService,英文简称:SMS)等。
电源409,用于给终端设备的不同部件进行供电以维持其运行。作为一般性理解,所述电源409可以是内置的电池,例如常见的锂离子电池、镍氢电池等,也包括直接向终端设备供电的外接电源,例如AC适配器等。在本发明的一些实施方式中,所述电源409还可以作更为广泛的定义,例如还可以包括电源管理***、充电***、电源故障检测电路、电源转换器或逆变器、电源状态指示器(如发光二极管),以及与终端设备的电能生成、管理及分布相关联的其他任何组件。
基于图1至图4所示,以下结合图5所示以云服务提供商侧服务器为执行主体对本发明实施例所提供的授权方法进行详细说明:
步骤501、云服务提供商侧服务器接收终端设备发送的第一临时证书。
所述第一临时证书用于请求访问所述云服务提供商侧服务器上的资源;
具体的,在所述终端设备需要向所述云服务提供商侧服务器请求访问所述云服务提供商侧服务器上的资源的情况下,用户即可登录所述终端设备的目标网站,所述目标网站为用于获取所述云服务提供商侧服务器授权的网站,通过登录所述网站以使所述终端设备能够将所述第一临时证书发送给所述云服务提供商侧服务器。
在终端设备需要获取所述云服务提供商侧服务器授权的情况下,所述终端设备即可向所述云服务提供商侧服务器发送所述第一临时证书。
步骤502、所述云服务提供商侧服务器根据所述第一临时证书确定目标权限。
其中,所述目标权限用于指示具有访问所述云服务提供商侧服务器上的目标资源的权限。
步骤503、所述云服务提供商侧服务器将第二临时证书发送给所述终端设备。
本实施例所示的所述第二临时证书是短期凭证。可将所述第二临时证书的有效时间配置几分钟到几小时。一旦第二临时证书的凭证到期,则云服务提供商侧服务器将不再识别所述第二临时证书,从而使得所述终端设备无法再通过所述第二临时证书访问所述云服务提供商侧服务器上的目标资源。
本实施例所示的云服务提供商侧服务器执行授权方法的具体执行过程,请详见图7所示的实施例。
基于图1至图4所示,以下结合图6所示以终端设备为执行主体对本发明实施例所提供的授权方法进行详细说明:
步骤601、终端设备将第一临时证书发送给云服务提供商侧服务器。
所述第一临时证书的说明可参见图5所示的实施例,具体在本实施例中不做赘述。
步骤602、所述终端设备接收所述云服务提供商侧服务器发送的第二临时证书。
所述第二临时证书的说明可参见图5所示的实施例,具体在本实施例中不做赘述。
步骤603、所述终端设备通过所述第二临时证书访问所述云服务提供商侧服务器上的所述目标资源。
本实施例所示的终端设备执行授权方法的具体执行过程,请详见图7所示的实施例。
以下结合图7所示对图5和图6所示的授权方法的执行流程进行具体的详细说明:
如图7所示,所述授权方法包括:
步骤701、所述终端设备将请求信息发送给云服务提供商侧服务器。
本实施例所示的所述终端设备的具体说明,请详见上述实施例所示,具体在本实施例中不做赘述。
具体的,本实施例所示的所述请求信息包括所述终端设备已存储的第一令牌信息Token。
其中,所述第一令牌信息Token用于所述终端设备向所述云服务提供商侧服务器进行认证。
本实施例对所述第一令牌信息Token的类型可为多种,本实施例对所述第一令牌信息Token的类型不做限定。
本实施例所示的终端设备通过所述第一令牌信息Token向所述云服务提供商侧服务器请求认证,从而使得所述云服务提供商侧服务器能够基于所述第一令牌信息Token判断出所述终端设备是否伪造,是否越权,是否过期等。
更具体的,本实施例所示的所述终端设备可存储有云服务提供商侧服务器的统一资源定位符URL地址,则本实施例所示的所述终端设备即可根据所述统一资源定位符URL地址向所述云服务提供商侧服务器发送所述请求信息。
更具体的,本实施例所示的终端设备可根据所述URL地址将所述请求信息发送至所述云服务提供商侧服务器上用于对终端设备进行认证的网站。
步骤702、所述云服务提供商侧服务器接收所述终端设备发送的请求信息。
具体的,所述云服务提供商侧服务器的具体说明请详见上述实施例所示,具体在本实施例中不做赘述。
步骤703、所述云服务提供商侧服务器生成第四签名信息。
具体的,本实施例所示的所述云服务提供商侧服务器在接收到所述请求信息后,即可对第一密钥标识、所述第一令牌信息以及所述云服务提供商侧服务器所生成的随机回复信息echoInfo进行加密计算以生成第四签名信息。
具体的,本实施例所示的所述云服务提供商侧服务器根据已存储的长期密钥对第一密钥标识、所述第一令牌信息以及所述云服务提供商侧服务器所生成的随机回复信息echoInfo进行加密计算以生成第四签名信息。
步骤704、所述云服务提供商侧服务器将所述第四签名信息发送给所述终端设备。
步骤705、所述终端设备判断所述第四签名信息是否满足第一条件,若是,则执行步骤706。
本实施例中,在终端设备接收到所述第四签名信息后,即可对所述第四签名信息进行解密计算以获取所述第四签名信息所包含的第一密钥标识、所述第一令牌信息以及所述云服务提供商侧服务器所生成的随机回复信息echoInfo。
本实施例所示的所述第一条件为:所述第四签名信息所包括的所述第一令牌信息与所述终端设备已存储的所述第一令牌信息相同。
本实施例中,若所述终端设备判断出所述第四签名信息所包括的所述第一令牌信息与所述终端设备已存储的所述第一令牌信息相同的情况下,即所述终端设备确定出所述第四签名信息满足所述第一条件的情况下,则可继续执行步骤706。
步骤706、所述终端设备将第五签名信息发送给所述云服务提供商侧服务器。
具体的,本实施例所示的终端设备将所述第四签名信息所包括的所述随机回复信息发送给所述云服务提供商侧服务器。
具体发送方式为,所述终端设备对所接收到的所述随机回复信息进行加密计算以生成所述第五签名信息,即所述终端设备所生成的所述第五签名信息包括有所述随机回复信息。
本实施例所示的所述终端设备即可通过所述第五签名信息将所述随机回复信息发送给所述云服务提供商侧服务器。
本实施例中,所述终端设备可调用所述云服务提供商侧服务器的目标接口以实现所述终端设备与所述云服务提供商侧服务器之间的数据交互。
具体的,所述云服务提供商侧服务器的目标接口可为所述云服务提供商侧服务器的接口API OpenServiceAuhorization。
本实施例所示的终端设备通过所述第五签名信息调用所述云服务提供商侧服务器的目标接口。
步骤707、所述云服务提供商侧服务器获取第五签名信息所包括的所述随机回复信息。
具体的,所述云服务提供商侧服务器对所述第五签名信息进行解密计算以获取所述第五签名信息所包括的所述随机回复信息。
步骤708、所述云服务提供商侧服务器判断所述第五签名信息是否满足第二条件,若是,则执行步骤709。
本实施例中,所述云服务提供商侧服务器在获取到所述第五签名信息所包括的所述随机回复信息后,即可判断所述第五签名信息是否满足第二条件。
其中,所述第二条件为:所述第五签名信息所包括的所述随机回复信息与所述云服务提供商侧服务器所生成的所述随机回复信息相同。
在所述云服务提供商侧服务器判断出所述第五签名信息所包括的所述随机回复信息与所述云服务提供商侧服务器所生成的所述随机回复信息相同,即所述第五签名信息满足所述第二条件的情况下,则所述云服务提供商侧服务器与所述终端设备之间完成URL确认,则完成URL确认的所述云服务提供商侧服务器与所述终端设备之间即可进行数据交互。
具体的,所述云服务提供商侧服务器与所述终端设备之间完成URL确认后,所述云服务提供商侧服务器的所述目标接口API OpenServiceAuhorization被所述终端设备成功调用。
步骤709、所述云服务提供商侧服务器生成第一签名信息。
具体的,本实施例所示的所述云服务提供商侧服务器对加密票据进行加密计算以生成第一签名信息,其中,所述加密票据用于对所述终端设备进行认证。
步骤710、所述云服务提供商侧服务器将所述第一签名信息发送给所述终端设备。
本实施例中,在所述云服务提供商侧服务器生成所述第一签名信息后,即可将已生成的所述第一签名信息发送给所述云服务提供商侧服务器。
步骤711、所述终端设备将第二签名信息发送给所述云服务提供商侧服务器。
具体的,本实施例所示的所述终端设备在接收到所述第一签名信息后,即可对所述第一签名信息进行解密计算以获取所述第一签名信息所包括的所述加密票据。
更具体的,所述终端设备对所述加密票据进行加密计算以生成所述第二签名信息,可见,所述终端设备所生成的所述第二签名信息中包括所述加密票据。
步骤712、所述云服务提供商侧服务器获取所述第二签名信息所包括的所述加密票据。
具体的,本实施例所示的所述云服务提供商侧服务器可接收所述终端设备所发送的所述第二签名信息,并对所述第二签名信息进行解密计算以获取所述第二签名信息所包括的所述加密票据。
步骤713、所述云服务提供商侧服务器获取第三签名信息。
具体的,所述云服务提供商侧服务器在获取到所述第二签名信息所包括的所述加密票据后,即可对所述第二签名信息所包括的所述加密票据进行加密计算以生成所述第三签名信息。
步骤714、所述云服务提供商侧服务器在确定满足第三条件的情况下,将第一临时证书发送给所述终端设备。
具体的,本实施例所示的所述云服务提供商侧服务器判断所述第二签名信息和所述第三签名信息是否相同,若所述第二签名信息和所述第三签名信息相同,则所述云服务提供商侧服务器即可确定出满足所述第三条件,即本实施例所示的所述第三条件为:所述第三签名信息与所述第二签名信息相同。
可选的,所述终端设备可通过所述终端设备的长期密钥对所述加密票据进行加密计算,并通过加密计算后的加密票据向所述云服务提供商侧服务器请求所述第一临时证书,在所述终端设备获取到所述第一临时证书后,所述终端设备即可通过所述第一临时证书完成与所述云服务提供商侧服务器之间的认证环节,相互认证后的所述终端设备和所述云服务提供商侧服务器即可进行实时授权流程,其中,本实施例所示的所述实时授权流程的基础是oAuth2.0协议实时授权流程请详见下述实施例所示。
步骤715、所述终端设备向所述云服务提供商侧服务器发送的第一临时证书。
其中,所述第一临时证书用于请求访问所述云服务提供商侧服务器上的资源。
本实施例所示的所述第一临时证书向所述终端设备已调用的目标接口APIOpenServiceAuhorization请求获取预授权码precode。
通过本实施例所示的所述预授权码precode能够有效的防止恶意或假冒的终端设备向所述云服务提供商侧服务器获取授权,从而有效的提升了实时授权过程的安全。
步骤716、所述云服务提供商侧服务器将预授权码发送给所述终端设备。
具体的,本实施例所示的所述云服务提供商侧服务器在获取到所述第一临时证书后,即可判断所述云服务提供商侧服务器所存储的第一临时证书和当前所接收到的所述第一临时证书是否相同,若是,则所述云服务提供商侧服务器即可将所述预授权码发送给所述终端设备。
步骤717、所述终端设备获取用户提交的认证信息。
具体的,本实施例所示的所述终端设备在接收到所述预授权码后,即可将所述目标网站进行跳转,从而使得所述目标网站跳转到包含有所述预授权码的所述云服务提供商侧服务器的登录页面中。
具体的,本实施例所示的所述登录页面中还包括有密钥标识。
本实施例所示的所述登录页面即可接收用户输入的用于进行登录的用户名和密码以进行身份认证。
具体的,本实施例以所述认证信息包括所述用户的用户名和密码为例进行示例性的说明,在具体应用中,所述认证信息还可包括用于认证的其他信息,具体在本实施例中不做限定。
本实施例中,所述云服务提供商侧服务器可预先存储有多个用户名以及与各所述用户名对应的密码,所述用户可通过所述终端设备向所述云服务提供商侧服务器的登录页面输入所述认证信息,若所述云服务提供商侧服务器确定出所述用户当前所输入的所述认证信息已存储在所述云服务提供商侧服务器上,则确定所述用户经过了认证。
步骤718、所述云服务提供商侧服务器获取已选定权限。
本实施例中,在所述云服务提供商侧服务器根据所述用户所提交的所述认证信息确定出所述用户已经过认证,则所述云服务提供商侧服务器即可向用户提供权限列表。
具体的,所述权限列表包括多个待选定权限。
所述用户通过所述权限列表即可在所述多个待选定权限中选定需要的权限。
具体的,所述云服务提供商侧服务器通过所述权限列表接收用户输入的选定操作。
所述云服务提供商侧服务器确定已选定权限,所述已选定权限为所述选定操作在所述权限列表中所选定的所述多个待选定权限中的至少一个权限。
例如,在所述权限列表中有一个待选定权限为通过QQ登录微博,若用户在所述权限列表中选定了通过QQ登录微博的权限,则所述云服务提供商侧服务器即可确定通过QQ登录微博的权限为已选定权限。
具体的,在所述云服务提供商侧服务器获取到所述已选定权限后,即可将已选定权限与用户的认证信息进行绑定,则在后续用户通过该认证信息进行登录时,可获取到与认证信息绑定的所述已选定权限,从而避免了用户的重复选定。
步骤719、所述云服务提供商侧服务器确定预选权限。
所述预选权限为所述终端设备在所述云服务提供商侧服务器上已选定的权限。
具体的,本实施例所示的预选权限为用户实现定义好策略,所述策略为所述终端设备在所述云服务提供商侧服务器上所能够访问的资源。
如图8所示,所述策略为包括权限和授权对象,权限包括效力、资源、授权接口、授权条件等,授权对象为权限所对应的用户,即本实施例所示的所述云服务提供商侧服务器在确定所述预选权限的过程中,所述云服务提供商侧服务器可通过权限和授权对象实现对预选权限的配置。
具体的,所述云服务提供商侧服务器可根据终端设备所注册的行业领域或服务领域对所述策略进行创建。
具体的,所述云服务提供商侧服务器创建好策略之后,所述终端设备就默认可以执行预授权策略里描述的资源了。
步骤720、所述云服务提供商侧服务器确定目标权限。
具体的,所述云服务提供商侧服务器确定所述已选定权限和所述预选权限的交集为所述目标权限。
在实施例中,若本实施例中所述终端设备没有经由所述权限列表获取已选定权限,则本实施例所示的所述目标权限为所述预选权限。
具体的,所述终端设备在注册后,会根据所注册的行业领域或服务领域,给与云服务提供商侧服务器的默认授权策略。这样用户进入终端设备的站点后,在不选择其他策略的情况下,将默认允许终端使用默认的预选权限约束所述终端设备访问所述云服务提供商侧服务器的资源。
在实施例中,若所述终端设备经由所述权限列表获取已选定权限,则本实施例所示的所述目标权限为所述已选定权限和所述预选权限的交集。
即所述目标权限同时包括在所述已选定权限和所述预选权限中。
通过本实施例所示的实时授权流程,能够使得使用所述终端设备的用户被所述云服务提供商侧服务器授予所述目标权限,从而使得所述云服务提供商侧服务器控制所述终端设备对所述云服务提供商侧服务器访问,使得所述终端设备只能够访问所述云服务提供商侧服务器上的所述目标资源,且所述云服务提供商侧服务器还能够控制用户访问所述目标资源的访问方式以及时机等,具体在本实施例中不做限定。
以下结合图11所示结合具体应用场景对目标权限进行说明:
如图11所示,本实施例所示的预选权限为“云主机管理权限(云主机重启、申请、查看等)”,即本实施例所示的所述预选权限为云服务提供商侧服务器默认委托给所述终端设备的权限。
图11所示的已选定权限为“开发商自定义第三方角色”,云服务提供商侧服务器通过所述已选定权限对所述终端设备进行精细化的权限管理。
采用如图11所示的应用场景,所述终端设备能够在用户的操作下,通过微信登录大众点评网,而且所述云服务提供商侧服务器能够通过目标权限对通过微信登录大众点评网的权限进行限定,例如,可限定通过微信登录所述大众点评网的时间,次数等,具体在本实施例中不做限定。
步骤721、所述云服务提供商侧服务器将授权码发送给所述终端设备。
具体的,本实施例中,在所述云服务提供商侧服务器确定出所述目标权限的情况下,所述云服务提供商侧服务器将所述云服务提供商侧服务器已存储的授权码发送给所述终端设备。
步骤722、所述终端设备将第六签名信息发送给所述云服务提供商侧服务器。
其中,所述终端设备接收到所述云服务提供商侧服务器发送的所述授权码后,即可对所述授权码和所述第一临时证书进行加密计算以生成的第六签名信息。
步骤723、所述云服务提供商侧服务器判断所述第六签名信息是否满足第四条件,若是,则将目标访问参数发送给所述终端设备。
具体的,所述云服务提供商侧服务器在接收到所述第六签名信息的情况下,所述云服务提供商侧服务器即可对所述第六签名信息进行解密计算以获取所述第六签名信息所包括的所述授权码和所述第一临时证书。
所述第四条件为:所述第六签名信息所包括的所述授权码和所述云服务提供商侧服务器已存储的所述授权码相同。
所述第四条件还可为,所述第六签名信息所包括的所述第一临时证书和所述云服务提供商侧服务器已存储的所述第一临时证书相同。
在所述云服务提供商侧服务器判断出所述第六签名信息满足所述第四条件的情况下,所述云服务提供商侧服务器即可将用于访问所述目标资源的目标访问参数发送给所述终端设备。
其中,所述目标权限用于指示具有访问所述云服务提供商侧服务器上的目标资源的权限。
所述目标访问参数包括第二令牌信息、第二密钥标识以及第二临时证书。
本实施例所示的所述第二临时证书是短期凭证。可将所述第二临时证书的有效时间配置几分钟到几小时。一旦第二临时证书的凭证到期,则云服务提供商侧服务器将不再识别所述第二临时证书,从而使得所述终端设备无法再通过所述第二临时证书访问所述云服务提供商侧服务器上的目标资源。
步骤724、所述云服务提供商侧服务器将所述目标访问参数发送给所述终端设备。
本实施例中,所述终端设备即可通过已接收到的所述目标访问参数对所述云服务提供商侧服务器上的目标资源进行访问,具体的访问过程如下:
步骤725、所述终端设备将第七签名信息发送给所述云服务提供商侧服务器。
其中,所述终端设备在接收到所述目标访问参数的情况下,所述终端设备即可对所述目标访问参数进行加密计算以生成的第七签名信息。
步骤726、所述云服务提供商侧服务器生成第八签名信息。
其中,所述云服务提供商侧服务器对所述云服务提供商侧服务器所生成的所述目标访问参数进行加密计算以生成第八签名信息。
步骤727、所述云服务提供商侧服务器确定所述终端设备具有访问所述目标资源的所述目标权限。
具体的,若所述云服务提供商侧服务器确定出所述第七签名信息与所述第八签名信息相同,则所述云服务提供商侧服务器确定所述终端设备具有访问所述目标资源的所述目标权限。
所述目标权限的所述终端设备即可访问所述云服务提供商侧服务器上的目标资源。
可见,采用本实施例所示的授权方法,则所述云服务提供商侧服务器可对所述终端设备进行精细化的权限管理,从而使得所述云服务提供商侧服务器即可向所述终端设备开放接入的能力,同时保证了终端设备访问所述云服务提供商侧服务器的目标资源的安全性和灵活性,而且所述云服务提供商侧服务器与所述终端设备之间通过签名信息进行数据交互,从而提升了数据交互过程中的安全。
以下结合图9所示对本发明实施例所提供的云服务提供商侧服务器的具体结构进行详细说明:
本实施例所示的所述云服务提供商侧服务器用于执行图9所示的授权方法,具体执行过程请详见图9所示,具体在本实施例中不做赘述。
本实施例所示的所述云服务提供商侧服务器包括:
第一处理单元901,用于对加密票据进行加密计算以生成第一签名信息,将所述第一签名信息发送给所述终端设备,接收所述终端设备发送的第二签名信息,所述第二签名信息包括所述终端设备对所述第一签名信息进行解密计算以获取到的所述加密票据,对所述第二签名信息进行解密计算以获取所述第二签名信息所包括的所述加密票据,对所述加密票据进行加密计算以生成第三签名信息,若确定出所述第三签名信息与所述第二签名信息相同,则将所述第一临时证书发送给所述终端设备。
所述第一处理单元901将所述第一签名信息发送给所述终端设备之前,所述第一处理单元具体用于,接收所述终端设备发送的请求信息,所述请求信息包括所述终端设备已存储的第一令牌信息,对第一密钥标识、所述第一令牌信息以及所述云服务提供商侧服务器所生成的随机回复信息进行加密计算以生成第四签名信息,将所述第四签名信息发送给所述终端设备,以使在所述终端设备确定出所述第四签名信息所包括的所述第一令牌信息与所述终端设备已存储的所述第一令牌信息相同的情况下,所述终端设备将第五签名信息发送给所述云服务提供商侧服务器,所述第五签名信息包括所述随机回复信息,对所述第五签名信息进行解密计算以获取所述第五签名信息所包括的所述随机回复信息,确定出所述第五签名信息所包括的所述随机回复信息与所述云服务提供商侧服务器所生成的所述随机回复信息相同的情况下,则触发执行将所述第一签名信息发送给所述终端设备步骤。
接收单元902,用于接收终端设备发送的第一临时证书,所述第一临时证书用于请求访问所述云服务提供商侧服务器上的资源;
确定单元903,用于根据所述第一临时证书确定目标权限,所述目标权限用于指示具有访问所述云服务提供商侧服务器上的目标资源的权限;
其中,所述确定单元903用于根据所述第一临时证书生成权限列表,所述权限列表包括多个待选定权限,通过所述权限列表接收用户输入的选定操作,确定已选定权限,所述已选定权限为所述选定操作在所述权限列表中所选定的所述多个待选定权限中的至少一个权限,确定预选权限,所述预选权限为所述终端设备在所述云服务提供商侧服务器上已选定的权限,确定所述已选定权限和所述预选权限的交集为所述目标权限。
发送单元904,用于将第二临时证书发送给所述终端设备,所述第二临时证书用于指示所述目标权限,以使所述终端设备通过所述第二临时证书访问所述云服务提供商侧服务器上的所述目标资源。
其中,所述发送单元904用于将所述云服务提供商侧服务器已存储的授权码发送给所述终端设备,接收所述终端设备发送第六签名信息,所述第六签名信息为所述终端设备对所述授权码和所述第一临时证书进行加密计算以生成的签名信息,若判断所述第六签名信息所包括的所述授权码和所述云服务提供商侧服务器已存储的所述授权码相同,则将用于访问所述目标资源的目标访问参数发送给所述终端设备,所述目标访问参数包括第二令牌信息、第二密钥标识以及所述第二临时证书。
第二处理单元905,用于接收所述终端设备发送的用于访问所述目标资源的第七签名信息,所述第七签名信息为所述终端设备对所述目标访问参数进行加密计算以生成的签名信息,对所述云服务提供商侧服务器所生成的所述目标访问参数进行加密计算以生成第八签名信息,若确定出所述第七签名信息与所述第八签名信息相同,则确定所述终端设备具有访问所述目标资源的所述目标权限。
以下结合图10所示对本发明实施例所提供的终端设备的具体结构进行详细说明:
本实施例所示的所述云服务提供商侧服务器用于执行图5所示的授权方法,具体执行过程请详见图5所示,具体在本实施例中不做赘述。
本实施例所示的所述终端设备包括:
第一处理单元1001,用于接收所述云服务提供商侧服务器发送的第一签名信息,所述第一签名信息为所述云服务提供商侧服务器对加密票据进行加密计算以生成的签名信息,对所述第一签名信息进行解密计算以获取所述加密票据,对所述加密票据进行加密计算以获取第二签名信息,将所述第二签名信息发送给所述云服务提供商侧服务器,以使所述云服务提供商侧服务器在确定出第三签名信息和第二签名信息相同的情况下,所述云服务提供商侧服务器将所述第一临时证书发送给所述终端设备,所述第三签名信息包括所述加密票据,接收所述云服务提供商侧服务器发送的所述第一临时证书。
所述第一处理单元1001在接收所述云服务提供商侧服务器发送的第一签名信息的过程中,具体用于向所述云服务提供商侧服务器发送请求信息,所述请求信息包括所述终端设备已存储的第一令牌信息,以使所述云服务提供商侧服务器向所述终端设备发送第四签名信息,其中,所述第四签名信息包括第一密钥标识、所述第一令牌信息以及所述云服务提供商侧服务器所生成的随机回复信息,接收所述第四签名信息,若确定出所述第四签名信息所包括的所述第一令牌信息与所述终端设备已存储的所述第一令牌信息相同的情况下,则对所述随机回复信息进行加密计算以生成第五签名信息,将所述第五签名信息发送给所述云服务提供商侧服务器,以使在所述云服务提供商侧服务器确定出所述第五签名信息所包括的所述随机回复信息与所述云服务提供商侧服务器所生成的所述随机回复信息相同的情况下,将所述第一签名信息发送给所述终端设备。
发送单元1002,用于将第一临时证书发送给云服务提供商侧服务器,所述第一临时证书用于请求访问所述云服务提供商侧服务器上的资源;
其中,所述发送单元1002用于,接收所述云服务提供商侧服务器发送的所述云服务提供商侧服务器已存储的授权码,对所述授权码和所述第一临时证书进行加密计算以生成的第六签名信息,将所述第六签名信息发送给所述云服务提供商侧服务器,以使若所述云服务提供商侧服务器判断出所述第六签名信息所包括的所述授权码和所述云服务提供商侧服务器已存储的所述授权码相同,则将用于访问所述目标资源的目标访问参数发送给所述终端设备,所述目标访问参数包括第二令牌信息、第二密钥标识以及所述第二临时证书,接收所述目标访问参数。
接收单元1003,用于接收所述云服务提供商侧服务器发送的第二临时证书,所述第二临时证书用于指示目标权限,所述目标权限用于指示具有访问所述云服务提供商侧服务器上的目标资源的权限;
访问单元1004,用于通过所述第二临时证书访问所述云服务提供商侧服务器上的所述目标资源。
第二处理单元1005,用于对所述目标访问参数进行加密计算以生成第七签名信息,将所述第七签名信息发送给所述云服务提供商侧服务器,以使若所述云服务提供商侧服务器确定出所述第七签名信息与第八签名信息相同,则确定所述终端设备具有访问所述目标资源的所述目标权限,所述第八签名信息为所述云服务提供商侧服务器对所述云服务提供商侧服务器所生成的所述目标访问参数进行加密计算以生成的签名信息。
基于图3所示的云服务提供商侧服务器可知,所述云服务提供商侧服务器包括:
一个或多个所述中央处理器301、存储器302、总线***、以及一个或多个程序,所述中央处理器301和所述存储器302通过所述总线***相连。
其中所述一个或多个程序被存储在所述存储器302中,所述一个或多个程序包括指令,所述指令当被所述云服务提供商侧服务器执行时使所述云服务提供商侧服务器执行如图5、图6或图7所示的方法,具体执行流程在本实施例中不做赘述。
基于图4所示的终端设备可知,所述终端设备包括一个或多个处理器单元403、存储单元404、总线***、以及一个或多个程序,所述处理器单元403和所述存储单元404通过所述总线***相连;
其中所述一个或多个程序被存储在所述存储单元404中,所述一个或多个程序包括指令,所述指令当被所述终端设备执行时使所述终端设备执行如图5所示的方法,具体执行过程在本实施例中不做赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的***,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (15)
1.一种授权方法,其特征在于,包括:
云服务提供商侧服务器接收终端设备发送的第一临时证书,所述第一临时证书用于请求访问所述云服务提供商侧服务器上的资源;
所述云服务提供商侧服务器根据所述第一临时证书确定目标权限,所述根据所述第一临时证书确定目标权限包括:根据所述第一临时证书生成权限列表,所述权限列表包括多个待选定权限;通过所述权限列表接收用户输入的选定操作;确定已选定权限,所述已选定权限为所述选定操作在所述权限列表中所选定的所述多个待选定权限中的至少一个权限;确定预选权限,所述预选权限为所述终端设备在所述云服务提供商侧服务器上已选定的权限;确定所述已选定权限和所述预选权限的交集为所述目标权限,所述目标权限用于指示具有访问所述云服务提供商侧服务器上的目标资源的权限;
所述云服务提供商侧服务器将第二临时证书发送给所述终端设备,所述第二临时证书用于指示所述目标权限,以使所述终端设备通过所述第二临时证书访问所述云服务提供商侧服务器上的所述目标资源。
2.根据权利要求1所述的授权方法,其特征在于,所述云服务提供商侧服务器接收终端设备发送的第一临时证书之前,所述方法还包括:
所述云服务提供商侧服务器对加密票据进行加密计算以生成第一签名信息;
所述云服务提供商侧服务器将所述第一签名信息发送给所述终端设备;
所述云服务提供商侧服务器接收所述终端设备发送的第二签名信息,所述第二签名信息包括所述终端设备对所述第一签名信息进行解密计算以获取到的所述加密票据;
所述云服务提供商侧服务器对所述第二签名信息进行解密计算以获取所述第二签名信息所包括的所述加密票据;
所述云服务提供商侧服务器对所述加密票据进行加密计算以生成第三签名信息;
若所述云服务提供商侧服务器确定出所述第三签名信息与所述第二签名信息相同,则所述云服务提供商侧服务器将所述第一临时证书发送给所述终端设备。
3.根据权利要求2所述的授权方法,其特征在于,所述云服务提供商侧服务器将所述第一签名信息发送给所述终端设备之前,所述方法还包括:
所述云服务提供商侧服务器接收所述终端设备发送的请求信息,所述请求信息包括所述终端设备已存储的第一令牌信息;
所述云服务提供商侧服务器对第一密钥标识、所述第一令牌信息以及所述云服务提供商侧服务器所生成的随机回复信息进行加密计算以生成第四签名信息;
所述云服务提供商侧服务器将所述第四签名信息发送给所述终端设备,以使在所述终端设备确定出所述第四签名信息所包括的所述第一令牌信息与所述终端设备已存储的所述第一令牌信息相同的情况下,所述终端设备将第五签名信息发送给所述云服务提供商侧服务器,所述第五签名信息包括所述随机回复信息;
所述云服务提供商侧服务器对所述第五签名信息进行解密计算以获取所述第五签名信息所包括的所述随机回复信息;
若所述云服务提供商侧服务器确定出所述第五签名信息所包括的所述随机回复信息与所述云服务提供商侧服务器所生成的所述随机回复信息相同的情况下,触发执行所述云服务提供商侧服务器将所述第一签名信息发送给所述终端设备步骤。
4.根据权利要求1所述的授权方法,其特征在于,所述云服务提供商侧服务器将第二临时证书发送给所述终端设备包括:
所述云服务提供商侧服务器将所述云服务提供商侧服务器已存储的授权码发送给所述终端设备;
所述云服务提供商侧服务器接收所述终端设备发送第六签名信息,所述第六签名信息为所述终端设备对所述授权码和所述第一临时证书进行加密计算以生成的签名信息;
若所述云服务提供商侧服务器判断所述第六签名信息所包括的所述授权码和所述云服务提供商侧服务器已存储的所述授权码相同,则所述云服务提供商侧服务器将用于访问所述目标资源的目标访问参数发送给所述终端设备,所述目标访问参数包括第二令牌信息、第二密钥标识以及所述第二临时证书。
5.根据权利要求4所述的授权方法,其特征在于,所述方法还包括:
所述云服务提供商侧服务器接收所述终端设备发送的用于访问所述目标资源的第七签名信息,所述第七签名信息为所述终端设备对所述目标访问参数进行加密计算以生成的签名信息;
所述云服务提供商侧服务器对所述云服务提供商侧服务器所生成的所述目标访问参数进行加密计算以生成第八签名信息;
若所述云服务提供商侧服务器确定出所述第七签名信息与所述第八签名信息相同,则所述云服务提供商侧服务器确定所述终端设备具有访问所述目标资源的所述目标权限。
6.一种授权方法,其特征在于,包括:
终端设备将第一临时证书发送给云服务提供商侧服务器,所述第一临时证书用于请求访问所述云服务提供商侧服务器上的资源;
所述终端设备接收所述云服务提供商侧服务器发送的第二临时证书,所述第二临时证书用于指示目标权限,所述目标权限用于指示具有访问所述云服务提供商侧服务器上的目标资源的权限;所述云服务提供商侧服务器用于:根据所述第一临时证书生成权限列表,所述权限列表包括多个待选定权限;通过所述权限列表接收用户输入的选定操作;确定已选定权限,所述已选定权限为所述选定操作在所述权限列表中所选定的所述多个待选定权限中的至少一个权限;确定预选权限,所述预选权限为所述终端设备在所述云服务提供商侧服务器上已选定的权限;确定所述已选定权限和所述预选权限的交集为所述目标权限;
所述终端设备通过所述第二临时证书访问所述云服务提供商侧服务器上的所述目标资源。
7.根据权利要求6所述的授权方法,其特征在于,所述终端设备将第一临时证书发送给云服务提供商侧服务器之前,所述方法还包括:
所述终端设备接收所述云服务提供商侧服务器发送的第一签名信息,所述第一签名信息为所述云服务提供商侧服务器对加密票据进行加密计算以生成的签名信息;
所述终端设备对所述第一签名信息进行解密计算以获取所述加密票据;
所述终端设备对所述加密票据进行加密计算以获取第二签名信息;
所述终端设备将所述第二签名信息发送给所述云服务提供商侧服务器,以使所述云服务提供商侧服务器在确定出第三签名信息和第二签名信息相同的情况下,所述云服务提供商侧服务器将所述第一临时证书发送给所述终端设备,所述第三签名信息包括所述加密票据;
所述终端设备接收所述云服务提供商侧服务器发送的所述第一临时证书。
8.根据权利要求7所述的授权方法,其特征在于,所述终端设备接收所述云服务提供商侧服务器发送的第一签名信息之前,所述方法还包括:
所述终端设备向所述云服务提供商侧服务器发送请求信息,所述请求信息包括所述终端设备已存储的第一令牌信息,以使所述云服务提供商侧服务器向所述终端设备发送第四签名信息,其中,所述第四签名信息包括第一密钥标识、所述第一令牌信息以及所述云服务提供商侧服务器所生成的随机回复信息;
所述终端设备接收所述第四签名信息;
若所述终端设备确定出所述第四签名信息所包括的所述第一令牌信息与所述终端设备已存储的所述第一令牌信息相同的情况下,则所述终端设备对所述随机回复信息进行加密计算以生成第五签名信息;
所述终端设备将所述第五签名信息发送给所述云服务提供商侧服务器,以使在所述云服务提供商侧服务器确定出所述第五签名信息所包括的所述随机回复信息与所述云服务提供商侧服务器所生成的所述随机回复信息相同的情况下,将所述第一签名信息发送给所述终端设备。
9.根据权利要求6所述的授权方法,其特征在于,所述终端设备接收所述云服务提供商侧服务器发送的第二临时证书包括:
所述终端设备接收所述云服务提供商侧服务器发送的所述云服务提供商侧服务器已存储的授权码;
所述终端设备对所述授权码和所述第一临时证书进行加密计算以生成的第六签名信息;
所述终端设备将所述第六签名信息发送给所述云服务提供商侧服务器,以使若所述云服务提供商侧服务器判断出所述第六签名信息所包括的所述授权码和所述云服务提供商侧服务器已存储的所述授权码相同,则将用于访问所述目标资源的目标访问参数发送给所述终端设备,所述目标访问参数包括第二令牌信息、第二密钥标识以及所述第二临时证书;
所述终端设备接收所述目标访问参数。
10.根据权利要求9所述的授权方法,其特征在于,所述方法还包括:
所述终端设备对所述目标访问参数进行加密计算以生成第七签名信息;
所述终端设备将所述第七签名信息发送给所述云服务提供商侧服务器,以使若所述云服务提供商侧服务器确定出所述第七签名信息与第八签名信息相同,则确定所述终端设备具有访问所述目标资源的所述目标权限,所述第八签名信息为所述云服务提供商侧服务器对所述云服务提供商侧服务器所生成的所述目标访问参数进行加密计算以生成的签名信息。
11.一种云服务提供商侧服务器,其特征在于,包括:
接收单元,用于接收终端设备发送的第一临时证书,所述第一临时证书用于请求访问所述云服务提供商侧服务器上的资源;
确定单元,用于根据所述第一临时证书确定目标权限,其中包括:根据所述第一临时证书生成权限列表,所述权限列表包括多个待选定权限;通过所述权限列表接收用户输入的选定操作;确定已选定权限,所述已选定权限为所述选定操作在所述权限列表中所选定的所述多个待选定权限中的至少一个权限;确定预选权限,所述预选权限为所述终端设备在所述云服务提供商侧服务器上已选定的权限;确定所述已选定权限和所述预选权限的交集为所述目标权限;所述目标权限用于指示具有访问所述云服务提供商侧服务器上的目标资源的权限;
发送单元,用于将第二临时证书发送给所述终端设备,所述第二临时证书用于指示所述目标权限,以使所述终端设备通过所述第二临时证书访问所述云服务提供商侧服务器上的所述目标资源。
12.一种终端设备,其特征在于,包括:
发送单元,用于将第一临时证书发送给云服务提供商侧服务器,所述第一临时证书用于请求访问所述云服务提供商侧服务器上的资源;
接收单元,用于接收所述云服务提供商侧服务器发送的第二临时证书,所述第二临时证书用于指示目标权限,所述目标权限用于指示具有访问所述云服务提供商侧服务器上的目标资源的权限;所述云服务提供商侧服务器用于:根据所述第一临时证书生成权限列表,所述权限列表包括多个待选定权限;通过所述权限列表接收用户输入的选定操作;确定已选定权限,所述已选定权限为所述选定操作在所述权限列表中所选定的所述多个待选定权限中的至少一个权限;确定预选权限,所述预选权限为所述终端设备在所述云服务提供商侧服务器上已选定的权限;确定所述已选定权限和所述预选权限的交集为所述目标权限;
访问单元,用于通过所述第二临时证书访问所述云服务提供商侧服务器上的所述目标资源。
13.一种云服务提供商侧服务器,其特征在于,包括:
一个或多个中央处理器、存储器、总线***、以及一个或多个程序,所述中央处理器和所述存储器通过所述总线***相连;
其中所述一个或多个程序被存储在所述存储器中,所述一个或多个程序包括指令,所述指令当被所述云服务提供商侧服务器执行时使所述云服务提供商侧服务器执行如权利要求1至5任一项所述的授权方法。
14.一种终端设备,其特征在于,包括:
一个或多个处理器单元、存储单元、总线***、以及一个或多个程序,所述处理器单元和所述存储单元通过所述总线***相连;
其中所述一个或多个程序被存储在所述存储单元中,所述一个或多个程序包括指令,所述指令当被所述终端设备执行时使所述终端设备执行如权利要求6至10任一项所述的授权方法。
15.一种计算机可读存储介质,其特征在于,计算机可读存储介质中存储有指令,所述指令用于使计算机设备执行如权利要求1-5任一项所述的授权方法的步骤,或者如权利要求6-10任一项所述的授权方法的步骤。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710447707.0A CN107222485B (zh) | 2017-06-14 | 2017-06-14 | 一种授权方法以及相关设备 |
PCT/CN2018/089039 WO2018228199A1 (zh) | 2017-06-14 | 2018-05-30 | 一种授权方法以及相关设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710447707.0A CN107222485B (zh) | 2017-06-14 | 2017-06-14 | 一种授权方法以及相关设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107222485A CN107222485A (zh) | 2017-09-29 |
CN107222485B true CN107222485B (zh) | 2020-08-21 |
Family
ID=59948556
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710447707.0A Active CN107222485B (zh) | 2017-06-14 | 2017-06-14 | 一种授权方法以及相关设备 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN107222485B (zh) |
WO (1) | WO2018228199A1 (zh) |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107222485B (zh) * | 2017-06-14 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 一种授权方法以及相关设备 |
CN110798434B (zh) * | 2018-08-03 | 2022-04-08 | Emc Ip控股有限公司 | 计算机***、计算装置所进行的方法和存储介质 |
CN110839005B (zh) * | 2018-08-17 | 2023-08-01 | 恩智浦美国有限公司 | 装置利用云平台的安全登记 |
CN109450984B (zh) * | 2018-10-16 | 2021-12-21 | 深信服科技股份有限公司 | 一种云架构的管理方法、设备及计算机可读存储介质 |
EP3878153A4 (en) * | 2018-11-06 | 2021-11-03 | Visa International Service Association | SYSTEMS AND PROCEDURES FOR MANAGING A TRANSACTION STATE OBJECT |
CN109547444B (zh) * | 2018-11-28 | 2021-01-05 | 腾讯科技(深圳)有限公司 | 虚拟对象获取方法、装置及电子设备 |
GB2579590B (en) | 2018-12-04 | 2021-10-13 | Imagination Tech Ltd | Workload repetition redundancy |
GB2579591B (en) * | 2018-12-04 | 2022-10-26 | Imagination Tech Ltd | Buffer checker |
CN111159736B (zh) * | 2019-12-25 | 2022-03-25 | 联通(广东)产业互联网有限公司 | 一种区块链的应用管控方法及*** |
CN113553600B (zh) * | 2020-04-23 | 2024-06-14 | 花瓣云科技有限公司 | 资源获取方法、***、服务器及存储介质 |
CN112364307B (zh) * | 2020-09-30 | 2024-03-12 | 深圳市为汉科技有限公司 | 软件授权方法及相关设备 |
CN112000942B (zh) * | 2020-10-30 | 2021-01-22 | 成都掌控者网络科技有限公司 | 基于授权行为的权限列表匹配方法、装置、设备及介质 |
CN113794673B (zh) * | 2021-01-29 | 2024-02-09 | 北京京东拓先科技有限公司 | 数据共享方法和装置 |
CN113779516B (zh) * | 2021-06-29 | 2023-08-18 | 青岛海尔科技有限公司 | 一种设备控制方法、装置、存储介质及电子装置 |
CN113438314B (zh) * | 2021-06-29 | 2023-10-24 | 青岛海尔科技有限公司 | 一种设备控制方法、装置、存储介质及电子装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101043403A (zh) * | 2007-03-15 | 2007-09-26 | 西安电子科技大学 | 基于域的数字版权保护家庭网络*** |
CN103109510A (zh) * | 2012-10-16 | 2013-05-15 | 华为技术有限公司 | 一种资源安全访问方法及装置 |
CN103685267A (zh) * | 2013-12-10 | 2014-03-26 | 小米科技有限责任公司 | 数据访问方法及装置 |
CN105208042A (zh) * | 2015-10-15 | 2015-12-30 | 黄云鸿 | 一种资源安全访问方法及*** |
CN106487765A (zh) * | 2015-08-31 | 2017-03-08 | 索尼公司 | 授权访问方法以及使用该方法的设备 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030125012A1 (en) * | 2001-12-28 | 2003-07-03 | Allen Lee S. | Micro-credit certificate for access to services on heterogeneous access networks |
US20090307759A1 (en) * | 2008-06-06 | 2009-12-10 | Microsoft Corporation | Temporary Domain Membership for Content Sharing |
CN107222485B (zh) * | 2017-06-14 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 一种授权方法以及相关设备 |
-
2017
- 2017-06-14 CN CN201710447707.0A patent/CN107222485B/zh active Active
-
2018
- 2018-05-30 WO PCT/CN2018/089039 patent/WO2018228199A1/zh active Application Filing
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101043403A (zh) * | 2007-03-15 | 2007-09-26 | 西安电子科技大学 | 基于域的数字版权保护家庭网络*** |
CN103109510A (zh) * | 2012-10-16 | 2013-05-15 | 华为技术有限公司 | 一种资源安全访问方法及装置 |
CN103685267A (zh) * | 2013-12-10 | 2014-03-26 | 小米科技有限责任公司 | 数据访问方法及装置 |
CN106487765A (zh) * | 2015-08-31 | 2017-03-08 | 索尼公司 | 授权访问方法以及使用该方法的设备 |
CN105208042A (zh) * | 2015-10-15 | 2015-12-30 | 黄云鸿 | 一种资源安全访问方法及*** |
Also Published As
Publication number | Publication date |
---|---|
WO2018228199A1 (zh) | 2018-12-20 |
CN107222485A (zh) | 2017-09-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107222485B (zh) | 一种授权方法以及相关设备 | |
CN111066284B (zh) | 一种业务证书管理方法、终端及服务器 | |
EP2875463B1 (en) | Method and system for browser identity | |
CN107113302B (zh) | 多租户计算***中的安全性和许可架构 | |
EP3044987B1 (en) | Method and system for verifying an account operation | |
US8544072B1 (en) | Single sign-on service | |
CN108632253B (zh) | 基于移动终端的客户数据安全访问方法及装置 | |
US20150319173A1 (en) | Co-verification method, two dimensional code generation method, and device and system therefor | |
US9635018B2 (en) | User identity verification method and system, password protection apparatus and storage medium | |
EP2887615A1 (en) | Cloud-based scalable authentication for electronic devices | |
CN107451813B (zh) | 支付方法、支付设备和支付服务器 | |
CN103634109A (zh) | 操作权限验证方法和装置 | |
KR20170096117A (ko) | 멀티-테넌트 컴퓨팅 시스템의 보안 및 허가 아키텍처 | |
WO2017211205A1 (zh) | 一种白名单更新方法和装置 | |
CN110574350B (zh) | 执行优先生成第二因素认证的方法和*** | |
CN104954126B (zh) | 敏感操作验证方法、装置及*** | |
EP3272093B1 (en) | Method and system for anti-phishing using smart images | |
US11017066B2 (en) | Method for associating application program with biometric feature, apparatus, and mobile terminal | |
WO2018000370A1 (zh) | 一种移动终端的认证方法及移动终端 | |
CN106815518B (zh) | 一种应用安装方法及电子设备 | |
CN110474864B (zh) | 一种注册、登录移动应用程序的方法及电子设备 | |
KR20130143263A (ko) | 트러스티드 플랫폼 기반의 개방형 아이디 인증 방법, 이를 위한 장치 및 시스템 | |
CN110795737A (zh) | 对电子身份证的业务适用范围进行升级的方法和终端设备 | |
CN113037741A (zh) | 一种鉴权方法和相关装置 | |
CN109413119B (zh) | 一种网页分享的方法以及相关设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |