CN107911344A - 一种云平台的安全对接方法 - Google Patents
一种云平台的安全对接方法 Download PDFInfo
- Publication number
- CN107911344A CN107911344A CN201711038328.2A CN201711038328A CN107911344A CN 107911344 A CN107911344 A CN 107911344A CN 201711038328 A CN201711038328 A CN 201711038328A CN 107911344 A CN107911344 A CN 107911344A
- Authority
- CN
- China
- Prior art keywords
- cloud platform
- safe
- tokenid
- business
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种云平台的安全对接方法,云平台包括提供API接口的业务云平台和通过API接口与之配合的安全云平台;安全对接方法包括业务云平台单点登录安全云平台的方法和安全云平台向业务云平台请求数据的方法。本发明通过设置业务云平台单点登录安全云平台的方法和安全云平台向业务云平台请求数据的方法,利用业务云平台向安全云平台发放用户唯一标识符tokenID,使安全云平台和业务云平台之间实现单点登录,每次请求都需要携带加密操作的tokenID,保证安全云平台和业务云平台的API接口调用操作安全正常进行。本发明通过token技术有效解决业务云平台与安全云平台间的API调用安全问题,租户数量无限制,扩展性好。
Description
技术领域
本发明涉及数字信息的传输,例如电报通信的技术领域,特别涉及一种有效解决业务云平台与安全云平台之间API调用的安全问题的云平台的安全对接方法。
背景技术
云平台是云计算落实的重要环节之一,其允许开发者们将写好的程序放在“云”里运行,或是使用“云”里提供的服务,或二者皆是。
云平台一般包括安全云平台和业务云平台,其中,安全云平台即客户端,业务云平台即第三方接入平台,为服务端。在安全云平台和业务云平台对接的时候,往往是业务云平台提供API接口供安全云平台申请虚拟化资源,为安全业务提供运行环境,这些对接的API一般包括虚拟机的创建(含获取VPC网络列表、虚拟机模板列表、镜像列表、网卡配置、磁盘配置)、删除,重启、关机等接口。
为了确保业务云平台不被入侵,一般需要对上述API的使用者做身份验证,传统的身份验证是通过Cookie完成的。API接口一般通过HTTP协议完成,HTTP是一种没有状态的协议,其并不知道是谁在访问应用,为了完成身份验证,当用户请求登录的时候,服务端会生成一条记录,在这个记录里附带说明登录的用户信息,然后把这条记录的ID号发送给客户端,客户端收到以后把这个ID号存储在Cookie里,下次这个用户再向服务端发送请求的时候会携带这个Cookie,由服务端进行验证,如果能在服务端这里找到对应的记录,则说明用户已经通过了身份验证,将用户请求的数据返回给客户端。
然而,现有技术中,Cookie存在一定的技术缺陷,由于Cookie的安全性较低,恶意人员可以分析存放在本地的Cookie并进行Cookie欺骗的操作,如果不能解决API调用的安全问题,业务云平台将暴露出来,随时会被其他业务调用,引发资源被删除或者篡改等严重的问题;除此之外,由于Cookie数据是保存在磁盘上的,为了减少磁盘的占用,很多***要求单个Cookie的数据量不能超过4K,一个用户最多保存20个Cookie,上述规格会约束安全云平台上的租户数量,扩展性比较差。
发明内容
为了解决现有技术中存在的问题,本发明提供一种优化的云平台的安全对接方法,借助token技术实现对API接口进行安全加密的目的,确保安全云对业务云平台下发的指令是合法的,保证业务云平台与安全云平台之间API调用的安全。
本发明所采用的技术方案是,一种云平台的安全对接方法,所述云平台包括安全云平台和业务云平台,所述业务云平台提供API接口,所述安全云平台通过API接口与业务云平台配合;所述安全对接方法包括业务云平台单点登录安全云平台的方法和安全云平台向业务云平台请求数据的方法。
优选地,所述业务云平台单点登录安全云平台的方法包括以下步骤:
步骤1.1:用户登录业务云平台;
步骤1.2:业务云平台验证用户名和密码;若验证通过,则生成用户唯一标识符tokenID,进行下一步,否则,返回步骤1.1;
步骤1.3:利用用户唯一标识符tokenID生成请求信息,从业务云平台单点登录至安全云平台;
步骤1.4:用户唯一标识符tokenID由业务云平台单点传输至安全云平台成功,安全云平台允许被使用,单点登录成功。
优选地,所述步骤1.3中,请求信息以用户唯一标识符tokenID为请求头。
优选地,所述步骤1.4中,用户唯一标识符tokenID通过HTTPS安全协议进行传输。
优选地,所述安全云平台向业务云平台请求数据的方法包括以下步骤:
步骤2.1:安全云平台查找用户唯一标识符tokenID;
步骤2.2:安全云平台在每个HTTP请求中添加tokenID字符;
步骤2.3:HTTP请求由安全云平台发送至业务云平台,业务云平台验证tokenID;
步骤2.4:tokenID验证通过,则业务云平台返回请求的相应的数据结果;否则,返回未授权信息。
优选地,所述步骤2.2中,tokenID字符被添加在每个HTTP请求的请求头中。
优选地,所述用户唯一标识符tokenID包括用于标识用户身份唯一性的用户信息字符。
优选地,所述用户唯一标识符tokenID还包括用于标识tokenID生成时间及其有效期的用户登录时间信息字符。
优选地,所述tokenID为对称加密的字符串。
优选地,所述tokenID采用Base64编码。
本发明提供了一种优化的云平台的安全对接方法,通过业务云平台提供API接口,安全云平台通过API接口与业务云平台配合,设置业务云平台单点登录安全云平台的方法和安全云平台向业务云平台请求数据的方法,利用业务云平台向作为API调用方的安全云平台发放一个用户唯一标识符tokenID,使得安全云平台和业务云平台之间需要实现单点登录,且每次的请求都需要携带此用户唯一标识符tokenID,由于tokenID会进行加密操作,因而能保证安全云平台和业务云平台之间的API接口调用操作能安全、正常的进行。本发明通过token技术,有效解决了业务云平台与安全云平台之间的API调用的安全问题,对于租户数量没有限制,扩展性好。
附图说明
图1为本发明的业务云平台单点登录安全云平台的方法流程图;
图2为本发明的安全云平台向业务云平台请求数据的方法流程图。
具体实施方式
下面结合实施例对本发明做进一步的详细描述,但本发明的保护范围并不限于此。
本发明涉及一种云平台的安全对接方法,所述云平台包括安全云平台和业务云平台,所述业务云平台提供API接口,所述安全云平台通过API接口与业务云平台配合;所述安全对接方法包括业务云平台单点登录安全云平台的方法和安全云平台向业务云平台请求数据的方法。
本发明中,安全云平台接入业务云平台,使用其虚拟化资源的服务,安全云平台将频繁调用业务云平台的API接口请求数据,为了降低服务端压力、确保数据的安全,并且要确认安全云平台的身份,业务云平台会向安全云平台下发一个用户唯一标识符tokenID作为令牌,而该tokenID应当是世界上独一无二的,这个和用户相关的tokenID是整个对接方法的关键。
本发明中,安全对接方法包括两个子方法:业务云平台单点登录安全云平台的方法和安全云平台向业务云平台请求数据的方法。业务云平台单点登录安全云平台的方法是指安全云平台和业务云平台之间需要实现单点登录,用户登录业务云平台就会生成一个用户相关的独一无二的tokenID,当从业务云平台单点登录到安全云平台上时,tokenID就会被下发到安全云平台;安全云平台向业务云平台请求数据的方法是指安全云平台在调用API时,就需要携带前述tokenID作为认证的凭证。
所述业务云平台单点登录安全云平台的方法包括以下步骤。
步骤1.1:用户登录业务云平台。
步骤1.2:业务云平台验证用户名和密码;若验证通过,则生成用户唯一标识符tokenID,进行下一步,否则,返回步骤1.1。
步骤1.3:利用用户唯一标识符tokenID生成请求信息,从业务云平台单点登录至安全云平台。
所述步骤1.3中,请求信息以用户唯一标识符tokenID为请求头。
步骤1.4:用户唯一标识符tokenID由业务云平台单点传输至安全云平台成功,安全云平台允许被使用,单点登录成功。
所述步骤1.4中,用户唯一标识符tokenID通过HTTPS安全协议进行传输。
本发明中,HTTPS安全协议是由HTTP和SSL协议共同构建的可进行加密传输、身份认证的网络协议,相对于HTTP协议,HTTPS安全协议更为安全。
所述安全云平台向业务云平台请求数据的方法包括以下步骤。
步骤2.1:安全云平台查找用户唯一标识符tokenID。
步骤2.2:安全云平台在每个HTTP请求中添加tokenID字符。
所述步骤2.2中,tokenID字符被添加在每个HTTP请求的请求头中。
步骤2.3:HTTP请求由安全云平台发送至业务云平台,业务云平台验证tokenID。
步骤2.4:tokenID验证通过,则业务云平台返回请求的相应的数据结果;否则,返回未授权信息。
本发明中,未授权信息一般为“401 Unauthorized”。
所述用户唯一标识符tokenID包括用于标识用户身份唯一性的用户信息字符。
所述用户唯一标识符tokenID还包括用于标识tokenID生成时间及其有效期的用户登录时间信息字符。
所述tokenID为对称加密的字符串。
所述tokenID采用Base64编码。
本发明中,tokenID一般情况下基于token技术生成,需要保证独一性、安全性和保密性。
本发明中,为了确保API对接的安全性, tokenID从制作开始的每一步都要确保安全,tokenID的生成代表了用户授权这一操作,业务云平台通过下发tokenID来给安全云平台授权获取用户受保护数据的资格,且不会因此而泄露用户的登录凭证信息。
本发明中,tokenID对于安全云平台来说应该是非透明的,安全云平台应当只知道这是一个字符串,能够用它来获取用户的受保护资源,对于字符串内部所含的信息应该无从知晓,也不能通过其它方法去解密其中的信息。
本发明中,基于tokenID的保密性,其应该是一类对称加密得到的字符串,采用Base64编码,并且只有授权服务器持有对称密钥,用于对生成的tokenID进行加密和验证。
本发明中,为了保证安全性,tokenID在传输过程中也要确保不可泄漏、不被解密。BEARER类型的tokenID是在RFC6750中定义的一种token类型,OAuth2.0协议RFC6749对其也有所提及,算是对RFC6749的一个补充。BEARER类型的tokenID是建立在HTTP/1.1版本之上的token类型,需要TLS(Transport Layer Security)提供安全支持,该协议主要规定了BEARER类型tokenID的客户端请求和服务端验证的具体细节。所以不管是业务云平台单点登录到安全平台还是安全平台请求API,都是基于HTTPS的,使用RSA非对称加密算法,确保传输数据的安全性。tokenID的双向传递都是添加在请求的头部信息中,而不会直接暴露在URL中。
本发明中,给出一种实施例,即tokenID的生成依赖用户名等用户信息,得到一个字符串序列,后续API调用的时候把这个字符串作为参数携带到业务云平台,相当于可以识别用户,即用户唯一标识符tokenID包括用于标识用户身份唯一性的用户信息字符。
本发明中,更进一步,用户唯一标识符tokenID还包括用于标识tokenID生成时间及其有效期的用户登录时间信息字符,保证用户唯一标识符tokenID的复杂程度更高。
本发明中,由于各个业务云平台对于加密的操作可以依据技术人员的需求自行设置且对外保密,因此本领域技术人员可以据此自行选用加密手段进行加密。
本发明通过业务云平台提供API接口,安全云平台通过API接口与业务云平台配合,设置业务云平台单点登录安全云平台的方法和安全云平台向业务云平台请求数据的方法,利用业务云平台向作为API调用方的安全云平台发放一个用户唯一标识符tokenID,使得安全云平台和业务云平台之间需要实现单点登录,且每次的请求都需要携带此用户唯一标识符tokenID,由于tokenID会进行加密操作,因而能保证安全云平台和业务云平台之间的API接口调用操作能安全、正常的进行。本发明通过token技术,有效解决了业务云平台与安全云平台之间的API调用的安全问题,对于租户数量没有限制,扩展性好。
Claims (10)
1.一种云平台的安全对接方法,所述云平台包括安全云平台和业务云平台,其特征在于:所述业务云平台提供API接口,所述安全云平台通过API接口与业务云平台配合;所述安全对接方法包括业务云平台单点登录安全云平台的方法和安全云平台向业务云平台请求数据的方法。
2.根据权利要求1所述的一种云平台的安全对接方法,其特征在于:所述业务云平台单点登录安全云平台的方法包括以下步骤:
步骤1.1:用户登录业务云平台;
步骤1.2:业务云平台验证用户名和密码;若验证通过,则生成用户唯一标识符tokenID,进行下一步,否则,返回步骤1.1;
步骤1.3:利用用户唯一标识符tokenID生成请求信息,从业务云平台单点登录至安全云平台;
步骤1.4:用户唯一标识符tokenID由业务云平台单点传输至安全云平台成功,安全云平台允许被使用,单点登录成功。
3.根据权利要求2所述的一种云平台的安全对接方法,其特征在于:所述步骤1.3中,请求信息以用户唯一标识符tokenID为请求头。
4.根据权利要求2所述的一种云平台的安全对接方法,其特征在于:所述步骤1.4中,用户唯一标识符tokenID通过HTTPS安全协议进行传输。
5.根据权利要求1所述的一种云平台的安全对接方法,其特征在于:所述安全云平台向业务云平台请求数据的方法包括以下步骤:
步骤2.1:安全云平台查找用户唯一标识符tokenID;
步骤2.2:安全云平台在每个HTTP请求中添加tokenID字符;
步骤2.3:HTTP请求由安全云平台发送至业务云平台,业务云平台验证tokenID;
步骤2.4:tokenID验证通过,则业务云平台返回请求的相应的数据结果;否则,返回未授权信息。
6.根据权利要求1所述的一种云平台的安全对接方法,其特征在于:所述步骤2.2中,tokenID字符被添加在每个HTTP请求的请求头中。
7.根据权利要求2或5所述的一种云平台的安全对接方法,其特征在于:所述用户唯一标识符tokenID包括用于标识用户身份唯一性的用户信息字符。
8.根据权利要求7所述的一种云平台的安全对接方法,其特征在于:所述用户唯一标识符tokenID还包括用于标识tokenID生成时间及其有效期的用户登录时间信息字符。
9.根据权利要求2或5所述的一种云平台的安全对接方法,其特征在于:所述tokenID为对称加密的字符串。
10.根据权利要求2或5所述的一种云平台的安全对接方法,其特征在于:所述tokenID采用Base64编码。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711038328.2A CN107911344A (zh) | 2017-10-28 | 2017-10-28 | 一种云平台的安全对接方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711038328.2A CN107911344A (zh) | 2017-10-28 | 2017-10-28 | 一种云平台的安全对接方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107911344A true CN107911344A (zh) | 2018-04-13 |
Family
ID=61842378
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711038328.2A Pending CN107911344A (zh) | 2017-10-28 | 2017-10-28 | 一种云平台的安全对接方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107911344A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109391689A (zh) * | 2018-10-08 | 2019-02-26 | 郑州云海信息技术有限公司 | 一种微服务应用程序编程接口调用的方法及装置 |
| CN110581897A (zh) * | 2019-09-30 | 2019-12-17 | 山东浪潮通软信息科技有限公司 | 一种单向网络环境下实现两个***之间数据交互的方法 |
| CN111556047A (zh) * | 2020-04-24 | 2020-08-18 | 杭州安恒信息技术股份有限公司 | 一种私有云环境下安全服务的部署方法 |
| CN113127109A (zh) * | 2021-05-12 | 2021-07-16 | 平安信托有限责任公司 | 接口调用方法、装置、电子设备及可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101202753A (zh) * | 2007-11-29 | 2008-06-18 | 中国电信股份有限公司 | 一种客户端访问插件应用***的方法和装置 |
| CN103747076A (zh) * | 2013-12-31 | 2014-04-23 | 曙光云计算技术有限公司 | 云平台的访问方法和装置 |
| CN103795712A (zh) * | 2014-01-17 | 2014-05-14 | 歌尔声学股份有限公司 | 在调用Web Service时进行认证的方法及装置 |
| CN106302346A (zh) * | 2015-05-27 | 2017-01-04 | 阿里巴巴集团控股有限公司 | Api调用的安全认证方法、装置、*** |
| US20170140146A1 (en) * | 2015-11-13 | 2017-05-18 | Microsoft Technology Licensing, Llc | Unlock and recovery for encrypted devices |
-
2017
- 2017-10-28 CN CN201711038328.2A patent/CN107911344A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101202753A (zh) * | 2007-11-29 | 2008-06-18 | 中国电信股份有限公司 | 一种客户端访问插件应用***的方法和装置 |
| CN103747076A (zh) * | 2013-12-31 | 2014-04-23 | 曙光云计算技术有限公司 | 云平台的访问方法和装置 |
| CN103795712A (zh) * | 2014-01-17 | 2014-05-14 | 歌尔声学股份有限公司 | 在调用Web Service时进行认证的方法及装置 |
| CN106302346A (zh) * | 2015-05-27 | 2017-01-04 | 阿里巴巴集团控股有限公司 | Api调用的安全认证方法、装置、*** |
| US20170140146A1 (en) * | 2015-11-13 | 2017-05-18 | Microsoft Technology Licensing, Llc | Unlock and recovery for encrypted devices |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109391689A (zh) * | 2018-10-08 | 2019-02-26 | 郑州云海信息技术有限公司 | 一种微服务应用程序编程接口调用的方法及装置 |
| CN110581897A (zh) * | 2019-09-30 | 2019-12-17 | 山东浪潮通软信息科技有限公司 | 一种单向网络环境下实现两个***之间数据交互的方法 |
| CN111556047A (zh) * | 2020-04-24 | 2020-08-18 | 杭州安恒信息技术股份有限公司 | 一种私有云环境下安全服务的部署方法 |
| CN113127109A (zh) * | 2021-05-12 | 2021-07-16 | 平安信托有限责任公司 | 接口调用方法、装置、电子设备及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10880732B2 (en) | Authentication of phone caller identity | |
| EP3424195B1 (en) | Encrypted password transport across untrusted cloud network | |
| US9137223B2 (en) | Apparatus and method for transmitting data, and recording medium storing program for executing method of the same in computer | |
| US8925046B2 (en) | Device, method, and recording medium | |
| US9825917B2 (en) | System and method of dynamic issuance of privacy preserving credentials | |
| CN104113534B (zh) | 应用程序app的登录***及方法 | |
| US8745394B1 (en) | Methods and systems for secure electronic communication | |
| US20130061298A1 (en) | Authenticating session passwords | |
| CN105072125B (zh) | 一种http通信***及方法 | |
| US20080155267A1 (en) | Identity management system with an untrusted identity provider | |
| CN107251035A (zh) | 账户恢复协议 | |
| US20180062863A1 (en) | Method and system for facilitating authentication | |
| CN107026824A (zh) | 一种消息加密、解密方法和装置 | |
| CN107911344A (zh) | 一种云平台的安全对接方法 | |
| CN105516157A (zh) | 基于独立加密的网络信息安全输入***和方法 | |
| US20080155664A1 (en) | Identity management system with an untrusted identity provider | |
| CN105897746A (zh) | 一种跨网站登录方法、终端及网站服务器 | |
| CN113949566B (zh) | 资源访问方法、装置、电子设备和介质 | |
| JP2023532976A (ja) | ユーザの身元の検証のための方法およびシステム | |
| CN109740319A (zh) | 数字身份验证方法及服务器 | |
| CN110022207A (zh) | 密钥管理及处理数据的方法和装置 | |
| CN113545004A (zh) | 具有减少攻击面的认证*** | |
| EP3511852B1 (en) | Method for providing an enhanced level of authentication related to a secure software client application that is provided, by an application distribution entity, in order to be transmitted to a client computing device; system, software client application instance or client computing device, third party server entity, and program and computer program product | |
| CN109302287A (zh) | 消息转发方法和*** | |
| CN108234136B (zh) | 一种安全访问方法、终端设备及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180413 |