CN110602218A - 一种自定义组装云服务的方法及相关装置 - Google Patents
一种自定义组装云服务的方法及相关装置 Download PDFInfo
- Publication number
- CN110602218A CN110602218A CN201910877062.3A CN201910877062A CN110602218A CN 110602218 A CN110602218 A CN 110602218A CN 201910877062 A CN201910877062 A CN 201910877062A CN 110602218 A CN110602218 A CN 110602218A
- Authority
- CN
- China
- Prior art keywords
- service
- application
- user information
- cloud service
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例提供了一种自定义组装的云服务及相关装置,用于通过多个解耦的云服务,向业务应用提供自定义的云服务,且鉴权签名服务由第三方来提供,从而使得前端业务应用通过购买服务商提供的云服务,即可完成业务的开发,提升了云服务的生态性,避免了业务开发的重复性。本发明实施例方法包括:接收由业务应用发送的第一用户信息,所述第一用户信息至少包括业务应用的类型、业务应用端的唯一识别码及第一云服务的识别码;利用第一密钥对所述第一用户信息执行加密;将加密后的第一用户信息发送至所述业务应用,使得所述业务应用利用加密后的第一用户信息向第一云服务发送接入请求。
Description
技术领域
本发明涉及通讯技术领域,尤其涉及一种自定义组装云服务的方法及相关装置。
背景技术
现有的云计算发展过程中,云计算服务提供商一般都需要业务方提供服务器,并在服务器端完成云计算能力的鉴权,再由业务应用前端与云计算厂商进行通讯。
这样会导致出现以下问题:
1、业务方在与云服务通讯前,都需要通过业务方的中心服务器完成鉴权,而当中心服务器故障时,将造成业务应用无法正常执行;
2、目前很多公司在云端中的工作耦合度高,如:用户数据管理、流量管理、消息推送、实时消息广播等,因为各功能模块之间的耦合度高,且目前没有解耦的统一方案,从而在开发业务应用时,针对需要的功能模块,都需要重复开发,导致服务能力和人力的大量浪费。
发明内容
本发明实施例提供了一种自定义组装云服务的方法及相关装置,用于通过多个解耦的云服务,向业务应用提供自定义的云服务,且鉴权签名服务由第三方来提供,从而使得前端业务应用通过购买服务商提供的云服务,即可完成业务的开发,提升了云服务的生态性,避免了业务开发的重复性。
本申请实施例第一方面提供了一种自定义组装云服务的方法,应用于鉴权签名服务一侧,包括:
接收由业务应用发送的第一用户信息,所述第一用户信息至少包括业务应用的类型、业务应用端的唯一识别码及第一云服务的识别码;
利用第一密钥对所述第一用户信息执行加密;
将加密后的第一用户信息发送至所述业务应用,使得所述业务应用利用加密后的第一用户信息向第一云服务发送接入请求。
优选的,当所述业务应用与所述鉴权签名服务不兼容时,所述方法还包括:
所述鉴权签名服务通过适配器接收所述业务应用的第二用户信息;
通过所述适配器将所述第二用户信息发送至业务应用的鉴权服务器进行验证;
若验证通过,则通过所述适配器将所述第二用户信息按照预设的映射规则生成所述第一用户信息。
优选的,加密机制为JWT机制,加密算法为RSA加密算法。
优选的,在将加密后的第一用户信息发送至所述业务应用之后,所述方法还包括:
接收所述业务应用发送的第二密钥请求,以使得所述业务应用通过第二密钥向所述第一云服务发送接入请求,所述第二密钥使得第一云服务无法获取所述第一用户信息;
根据所述第二密钥请求,将所述加密后的第一用户信息更换为所述第二密钥。
优选的,所述方法还包括:
将所述第一密钥和所述第二密钥对应的解密密钥执行本地存储。
本申请实施例第二方面提供了一种自定义组装云服务的方法,应用于第一云服务一侧,包括:
接收所述业务应用发送的接入请求,所述接入请求被所述鉴权签名服务执行了加密;
从所述鉴权签名服务获取解密密钥;
利用所述解密密钥对所述接入请求进行验证;
若验证通过,则允许所述业务应用接入所述第一云服务。
优选的,加密机制为JWT机制,加密算法为RSA加密算法。
优选的,当所述接入请求中包含的加密信息为利用所述RSA加密算法中的私钥加密后的第一用户信息时,所述解密密钥为所述私钥对应的公钥。
优选的,当所述接入请求中包含的加密信息为第二密钥时,所述解密密钥为所述第二密钥对应的解密密钥。
优选的,所述鉴权签名服务集成于所述云服务对应的服务器上;
或,
所述鉴权签名服务设置于独立的服务器上。
优选的,所述业务应用包括客户端应用和服务器端应用;
当所述业务应用为所述客户端应用时,所述允许所述业务应用接入所述第一云服务,包括:
允许所述客户端应用接入所述第一云服务,通过客户端与所述第一云服务进行数据交互;
当所述业务应用为所述服务器端应用时,所述允许所述业务应用接入所述第一云服务,包括:
允许所述服务器端应用接入所述第一云服务,通过应用服务器与所述第一云服务进行数据交互。
本申请实施例第三方面提供了一种自定义组装云服务的方法,应用于业务应用,包括:
向鉴权签名服务发送第一用户信息,使得所述向鉴权签名服务对所述第一用户信息执行加密,所述第一用户信息至少包括业务应用的类型、业务应用的唯一识别码及第一云服务的识别码;
接收加密后的第一用户信息,并利用所述加密后的第一用户信息向第一云服务发送接入请求,使得所述第一云服务从所述鉴权签名服务获取解密密钥,对所述接入请求进行验证;
若验证通过,则接入所述第一云服务。
优选的,当所述业务应用与所述鉴权签名服务不兼容时,所述方法还包括:
通过适配器向所述鉴权签名服务发送所述业务应用的第二用户信息,使得所述鉴权签名服务将所述第二用户信息发送至业务应用的鉴权服务器进行验证;
若验证通过,则通过所述适配器接收所述第一用户信息,所述第一用户信息由所述适配器按照预设的映射规则将所述第二用户信息映射而成。
优选的,加密机制为JWT机制,加密算法为RSA加密算法。
优选的,在所述接收加密后的第一用户信息之后,所述利用所述加密后的第一用户信息向第一云服务发送接入请求之前,所述方法还包括:
向所述鉴权签名服务发送第二密钥请求;
接收所述鉴权签名服务发送的第二密钥,所述第二密钥由所述鉴权签名服务将所述加密后的第一用户信息更换而成。
优选的,当所述接入请求中包含的加密信息为利用所述RSA加密算法中的私钥加密后的第一用户信息时,所述解密密钥为所述私钥对应的公钥。
优选的,当所述接入请求中包含的加密信息为第二密钥时,所述解密密钥为所述第二密钥对应的解密密钥。
优选的,所述业务应用包括客户端应用和服务器端应用;
当所述业务应用为所述客户端应用时,所述接入所述第一云服务,包括:
所述客户端应用接入所述第一云服务,通过客户端与所述第一云服务进行数据交互;
当所述业务应用为所述服务器端应用时,所述接入所述第一云服务,包括:
所述服务器端应用接入所述第一云服务,通过服务器与所述第一云服务进行数据交互。
本申请实施例第四方面提供了一种自定义组装云服务的***,包括本申请实施例第一方面提供的鉴权签名服务,本申请实施例第二方面提供的第一云服务,及本申请实施例第三方面提供的业务应用。
本申请实施例还提供了一种计算机装置,包括处理器,该处理器在执行存储于存储器上的计算机程序时,用于实现本申请实施例第一方面、第二方面或第三方面提供的自定义组装云服务的方法。
本申请实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时,用于实现本申请实施例第一方面、第二方面或第三方面提供的自定义组装云服务的方法。
从以上技术方案可以看出,本发明实施例具有以下优点:
本申请实施例中,用于通过多个解耦的云服务,向业务应用提供自定义的云服务,且鉴权签名服务由第三方来提供,从而使得一方面可以通过第三方提供的鉴权签名服务完成对业务应用方的鉴权,从而避免了因为业务方中心鉴权服务器故障而造成业务瘫痪,提升了鉴权签名服务的灵活性;另一方面使得前端业务应用通过购买服务商提供的云服务,即可完成业务的开发,提升了云服务的生态性,避免了业务开发的重复性。
附图说明
图1为本申请实施例中自定义组装云服务的方法的一个实施例示意图;
图2为本申请实施例中自定义组装云服务的方法的另一个实施例示意图;
图3A为本申请实施例中业务应用为服务器端应用时,业务应用所提供的第一用户信息界面的一个示意图;
图3B为本申请实施例中业务应用为服务器端应用时,业务应用所提供的第一用户信息界面的另一个示意图;
图4为本申请实施例中业务应用为客户端应用时,业务应用所提供的第一用户信息界面的示意图;
图5为本申请实施例中业务应用与鉴权签名服务不兼容时,将业务应用的第二用户信息转换为第一用户信息的界面示意图;
图6为本申请实施例中自定义组装云服务的方法的另一个实施例示意图;
图7为本申请实施例中自定义组装云服务的方法的另一个实施例示意图;
图8为本申请实施例中自定义组装云服务的方法的另一个实施例示意图;
图9为本申请实施例中自定义组装云服务的方法的另一个实施例示意图;
图10为本申请实施例中自定义组装云服务的方法的另一个实施例示意图。
具体实施方式
本发明实施例提供了一种自定义组装云服务的方法及相关装置,用于通过多个解耦的云服务,向业务应用提供自定义的云服务,且鉴权签名服务由第三方来提供,从而使得前端业务应用通过购买服务商提供的云服务,即可完成业务的开发,提升了云服务的生态性,避免了业务开发的重复性。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为了实现云服务的自定义组装,本实施例通过提供解耦的多种云服务,使得前端业务应用通过购买服务厂商提供的云服务,即可完成业务的开发,且这种解耦的云服务,可以提升云服务的生态型,避免对业务的重复开发。
为方便理解,下面对本实施例中的专业术语进行解释:
业务应用端:这里的业务应用端指用户应用端或服务器端。例如:用户端包括:浏览器应用,手机APP等。服务器端包括具体的业务服务或其他云计算服务的后端程序。
Serverless:一种无服务器应用的架构方案。这种方案,可以让常见前端业务,不用自行建立服务器,而是直接购买服务提供商的服务就可以完成业务的开发。面向后端的业务或一些特殊业务,通过云函数进行。
OIDC:全称为,OpenID Connect。是一个以用户为中心的数字身份识别框架,它具有开放、分散性。详情:openid.net
RSA算法:是一种非对称加密算法。在公开密钥加密和电子商业中RSA被广泛使用
JWT:JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。
为方便理解,下面对本申请实施例中自定义组装云服务的方法进行描述,本实施例中的多个云服务设置于多个服务器上,鉴权签名服务也独立于业务应用,设置于独立的服务器上,或集成于云服务的服务器上,即业务应用方可以通过第三方鉴权签名服务来实现对云计算能力的鉴权,从第三方购买所需求的云服务,实现对云服务的自定义组装,完成对前端业务的开发,不仅提升了云服务的生态性,也避免了业务的重复开发。
具体的,请参阅图1,本申请实施例从鉴权签名服务的角度对本申请实施例中自定义组装云服务的方法进行描述,本申请实施例中自定义组装云服务的方法的一个实施例,包括:
101、接收由业务应用发送的第一用户信息,所述第一用户信息至少包括业务应用的类型、业务应用端的唯一识别码及第一云服务的识别码;
容易理解的是,当业务应用需要接入云服务时,一般都需要对用户信息进行鉴权,一方面可以判断该业务应用是否享有接入云服务的权限,另一方面还可以判断该业务应用以何种形式接入云服务,以及接入哪种云服务。
故本实施例中的第一用户信息至少包括业务应用的类型、业务应用端的唯一识别码及第一云服务的识别码;具体的,业务应用的类型包括客户端应用或服务器端的应用,如微信聊天属于客户端应用,即通过客户端与云服务之间进行数据交互,而安全漏洞监测类的业务应用属于服务器端的应用,因为安全漏洞主要是存在服务器侧,需要通过服务器与云服务进行数据交互。
而业务应用端的唯一识别码主要是业务应用端的身份信息,以用于对业务应用端进行鉴权,具体的,当业务应用为客户端应用时,则业务应用端的唯一识别码可以为客户端ID,如用户的电话号码,用户的身份证信息等,而当业务应用为服务器端应用时,则业务应用端的唯一标识码为服务器的client id,即该应用所对应的服务器id;第一云服务的识别码主要是识别该业务应用需要接入哪种类型的云服务。
102、利用第一密钥对所述第一用户信息执行加密;
鉴权签名服务接收到业务应用发送的第一用户信息后,利用第一密钥对该第一用户信息执行加密,本实施例中,优选的加密机制为JWT机制,优选的加密算法为RSA加密算法,则对第一用户信息的加密过程可以理解为利用RSA算法中的私钥对第一用户信息进行签名的过程。
当加密算法为RSA加密算法时,RSA算法定时生成密钥对,鉴权签名服务利用最新生成的密钥对中的私钥对第一用户信息进行签名,并将密钥对中的公钥执行本地存储,然后通过公钥暴露服务对外公布,如通过http协议对外公布。
103、将加密后的第一用户信息发送至所述业务应用,使得所述业务应用利用加密后的第一用户信息向第一云服务发送接入请求。
鉴权签名服务完成对第一用户信息的加密后(即鉴权签名服务利用JWT机制对第一用户信息完成签名后),将加密后的第一用户信息发送至该业务应用,使得业务应用利用加密后的第一用户信息向第一云服务发送接入请求,以用于接入第一云服务。
本申请实施例中,用于通过多个解耦的云服务,向业务应用提供自定义的云服务,且鉴权签名服务由第三方来提供,从而使得一方面可以通过第三方提供的鉴权签名服务完成对业务应用方的鉴权,从而避免了因为业务方中心鉴权服务器故障而造成业务瘫痪,提升了鉴权签名服务的灵活性;另一方面使得前端业务应用通过购买服务商提供的云服务,即可完成业务的开发,提升了云服务的生态性,避免了业务开发的重复性。
基于图1所述的实施例,当用户的业务应用与本实施例中的鉴权签名服务不兼容时,即用户以前的业务应用所提供的鉴权信息与本实施例中所需要的鉴权信息不同时,业务应用可以通过适配器接入本实施例中的鉴权签名服务,以实现业务应用与本实施例中鉴权签名服务的无缝对接。
具体的,下面对本实施例中业务应用通过适配器接入鉴权签名服务的工作流程进行描述,请参阅图2,本申请实施例中自定义组装云服务的方法的另一个实施例,包括:
201、鉴权签名服务通过适配器接收所述业务应用的第二用户信息;
当业务应用与鉴权签名服务不兼容时,本实施例中的鉴权签名服务可以通过适配器接收业务应用的第二用户信息,具体的,第二用户信息可以是用户名和密码。
202、通过所述适配器将所述第二用户信息发送至业务应用的鉴权服务器进行验证,若验证成功,则执行步骤203,若验证失败,则执行步骤204;
当鉴权签名服务通过适配器接收到第二用户信息时,将该第二用户信息发送业务应用原有的鉴权服务器进行验证,若验证成功,则执行步骤203,若验证失败,则执行步骤204。
203、通过适配器将所述第二用户信息按照预设的映射规则生成所述第一用户信息;
若验证成功,则将所述第二用户信息按照预设的映射规则生成第一用户信息,以实现对第一用户信息的加密。
具体的,因为本实施例中的鉴权签名服务是通过JWT机制完成对第一用户信息的加密,即采用RSA算法中的私钥对第一用户信息执行签名,而JWT由Header、payload、signature三部分构成,其中,第二部分payload中存储的是第一用户信息,而本实施例中payload中包含了自定义的几个参数:iss、aud、sub、group、scope,其中,iss参数为RAS算法中公钥的存储地址,aud为服务器端接入端的clientid,sub为业务应用端的唯一标识码,当业务应用为客户端应用时,该sub为客户端的ID,而当业务应用为服务器端应用时,则该sub通常为空,group则为用户的角色或权限信息,如用户为vip或管理员,若业务应用为服务器端应用时,则该group通常为空;而scope则是业务应用所需要接入的云服务标识码,以用于标识业务应用所需要的云服务类型。
而当业务应用与本实施例中的鉴权签名服务不兼容时,可以将业务应用的第二用户信息,如用户名和密码发送至业务原有的鉴权服务器进行鉴权,并在鉴权通过后,获取与第二用户信息对应的第一用户信息,并将第二用户信息按照预设的映射规则转换为本实施例中的第一用户信息,使得鉴权签名服务对第一用户信息执行加密。
具体的,第二用户信息可以根据表1中的映射规则映射为第一用户信息:
表1
需要说明的是,表1只是对映射规则的举例,并不对映射规则本身构成任何限制。
为了更直观的表示业务应用在执行鉴权签名服务时,所提供的的第一用户信息,图3A及图3B给出了业务应用为服务器端应用时,业务应用所提供的第一用户信息界面图,图4给出了业务应用为客户端应用时,业务应用所提供的第一用户信息界面图,图5为业务应用与鉴权签名服务不兼容时,将业务应用的第二用户信息转换为第一用户信息的界面示意图。
其中,图3A所示的签名验证方案为手动配置RSA算法的公钥地址,3B图所示的签名验证方案为JWT机制中自动生成OIDC的token地址(即公钥地址),而图5中的Token过期后可刷新选项,主要是将原有的鉴权方式生成OIDC Server后,则会在生成Token时,自动生成RefreshToken,当token过期后,允许采用RefreshToken自行刷新。
此外,本实施例中将第二用户信息映射为第一用户信息时,不仅支持通过现有鉴权方式生成OIDC Server,还支持根据用户名和密码生成用户端或服务器端OIDC Server。
具体的,将现有鉴权方式生成OIDC Server,是将业务方现有的鉴权服务地址,生成一个新的鉴权地址,具体过程为将业务应用原有的鉴权信息传入适配器,适配器将原有的鉴权信息发送至业务方的鉴权服务器,并在完成验证后,将原有的鉴权地址生成对应的OIDC的token;而根据用户名和密码生成用户端或服务器端OIDC Server,是将用户的用户名密码,发送至原有业务鉴权服务器完成认证,如果认证成功,即可生成OIDC的token,这里的用户名和密码可能包含两种类型:真实用户的用户名和密码,生成的token为用户token;服务器端client_id,生成的token为服务器token。
如3A、3B、图4及图5所示,本实施例中的云服务可以在第三方鉴权签名服务对第一用户信息授权签名后,直接访问所需要的的云服务,即前端应用通过购买服务商提供的云服务,即可完成业务的开发,提升了云服务的生态性,避免了业务开发的重复性。
204、执行其他流程。
若业务应用的鉴权服务器对第二用户信息鉴权失败,则执行其他流程,此处不做具体限制。
本实施例中,在业务应用与鉴权签名服务不兼容时,通过适配器将业务应用接入鉴权签名服务中,提升了本实施例中鉴权签名服务对业务应用的兼容性。
基于图1所述的实施例,为了避免业务应用在利用加密后的第一用户信息向第一云服务发送接入请求时,第一云服务获取第一用户信息中的业务应用端的唯一标识码(如客户端ID或服务器端的clientid),以模仿用户行为,本实施例在将加密后的第一用户信息发送至所述业务应用之后,还可以执行以下步骤,以保证第一用户信息的安全性,具体请参阅图6,本申请实施例中自定义组装云服务的方法的另一个实施例,包括:
601、接收所述业务应用发送的第二密钥请求,以使得所述业务应用通过第二密钥向所述第一云服务发送接入请求,所述第二密钥使得所述第一云服务无法获取所述第一用户信息;
为了避免业务应用利用加密后的第一用户信息向第一云服务发送接入请求,从而造成第一用户信息中业务应用端唯一标识码的泄露,使得第一云服务模拟业务应用端的行为,导致出现安全风险。
本实施例可以在向业务应用发送加密后的第一用户信息后,接收业务应用发送的第二密钥请求,以使得业务应用通过第二密钥向第一云服务发送接入请求,其中,该第二密钥使得第一云服务无法获取第一用户信息。
602、根据所述第二密钥请求,将所述加密后的第一用户信息更换为所述第二密钥。
鉴权签名服务接收到第二密钥请求后,将加密后的第一用户信息更换为第二密钥,使得业务应用通过第二密钥向第一云服务发送接入请求,以避免第一用户信息的泄露。
本实施例中,为避免第一用户信息的泄露,将接入请求中加密后的第一用户信息更换为第二密钥,而第二密钥使得第一云服务无法获取第一用户信息,从而保证了第一用户信息的安全性。
上面从鉴权服务侧对本实施例中自定义组装的云服务进行了描述,下面从第一云服务侧对本实施例中的自定义组装的云服务进行描述,请参阅图7,本申请实施例中自定义组装的云服务的方法的另一个实施例,包括:
701、接收所述业务应用发送的接入请求,所述接入请求由所述鉴权签名服务执行了加密;
当业务应用向第一云服务发送接入请求后,第一云服务即可接收到该接入请求,从而执行步骤702。
由图1所述的实施例可知,该接入请求由鉴权签名服务执行了加密,优选的加密机制为JWT机制,加密算法为RSA算法。
702、从所述鉴权签名服务获取解密密钥;
因为鉴权签名服务在对接入请求加密后,将解密密钥存储于本地,并通过暴露服务将解密密钥进行公布,故第一云服务在接收到业务应用发送的接入请求后,从鉴权签名服务获取解密密钥,以对接入请求进行验证。
703、利用所述解密密钥对所述接入请求进行验证,若验证成功,则执行步骤704,若验证失败,则执行步骤705;
第一云服务从鉴权签名服务获取到解密密钥后,利用该解密密钥对该接入请求进行验证,若验证成功,则执行步骤704,若验证失败,则执行步骤705。
704、允许所述业务应用接入所述第一云服务。
当第一云服务对业务应用的接入请求验证成功,则允许该业务应用接入第一云服务,以获取该业务应用需要的云计算功能。
705、执行其他流程。
若第一云服务对业务应用的接入请求验证失败,则执行其他流程,如拒绝该业务应用接入第一云服务,或提醒该业务应用重新执行鉴权等,此处不做具体限制。
本申请实施例中,从第一云服务侧对自定义组装的云服务进行了描述,且第一云服务只有对业务请求的接入请求验证成功后,才允许业务应用接入第一云服务,提升了第一云服务的安全性,其次,本实施例中的第一云服务设置于独立的服务器上,可以实现多个业务应用接入该第一云服务,提升了第一云服务的生态性。
基于图7所述的实施例,容易理解的是,若步骤701中接入请求中的加密信息为利用RSA算法中的私钥加密后的第一用户信息时,则步骤702中的解密密钥为鉴权签名服务在本地存储的公钥;若步骤702中接入请求中的加密信息为第二密钥时,则步骤702中的解密密钥即为鉴权签名服务在本地存储的与第二密钥对应的解密密钥。
进一步的,本实施例中的业务应用包括客户端的业务应用(如微信应用)和服务器端(如安全漏洞检测)的客户应用,当业务应用为客户端应用时,则业务应用通过客户端与第一云服务进行数据交互,当业务应用为服务器端应用时,则业务应用通过服务器端与第一云服务进行数据交互。
上面从第一云服务侧对本实施例中自定义组装的云服务进行了描述,下面从业务应用侧对本实施例中的自定义组装的云服务进行描述,请参阅图8,本申请实施例中自定义组装的云服务的方法的另一个实施例,包括:
801、向鉴权签名服务发送第一用户信息,使得所述向鉴权签名服务对所述第一用户信息执行加密,所述第一用户信息至少包括业务应用的类型、业务应用的唯一识别码及第一云服务的识别码;
容易理解的是,当业务应用需要接入云服务时,一般都需要对用户信息进行鉴权,一方面可以判断该业务应用是否享有接入云服务的权限,另一方面还可以判断该业务应用以何种形式接入云服务,以及接入哪种云服务。
故本实施例中的第一用户信息至少包括业务应用的类型、业务应用端的唯一识别码及第一云服务的识别码;具体的,业务应用的类型包括客户端应用或服务器端的应用,如微信聊天属于客户端应用,即通过客户端与云服务之间进行数据交互,而安全漏洞监测类的业务应用属于服务器端的应用,因为安全漏洞主要是存在服务器侧,需要通过服务器与云服务进行数据交互。
而业务应用端的唯一识别码主要是业务应用端的身份信息,以用于对业务应用端进行鉴权,具体的,当业务应用为客户端应用时,则业务应用端的唯一识别码可以为客户端ID,如用户的电话号码,用户的身份证信息等,而当业务应用为服务器端应用时,则业务应用端的唯一标识码为服务器的client id,即该应用所对应的服务器id;第一云服务的识别码主要是识别该业务应用需要接入哪种类型的云服务。
鉴权签名服务接收到业务应用发送的第一用户信息后,利用第一密钥对该第一用户信息执行加密,本实施例中,优选的加密机制为JWT机制,优选的加密算法为RSA加密算法,则对第一用户信息的加密过程可以理解为利用RSA算法中的私钥对第一用户信息进行签名的过程。
当加密算法为RSA加密算法时,RSA算法定时生成密钥对,鉴权签名服务利用最新生成的密钥对中的私钥对第一用户信息进行签名,并将密钥对中的公钥执行本地存储,然后通过公钥暴露服务对外公布,如通过http协议对外公布。
802、接收加密后的第一用户信息,并利用所述加密后的第一用户信息向第一云服务发送接入请求,使得所述第一云服务从所述鉴权签名服务获取解密密钥,对所述接入请求进行验证,若验证通过,则执行步骤803,否则,执行步骤804;
当业务应用接收到第一用户信息后,利用加密后的第一用户信息向第一云服发送接入请求,使得所述第一云服务从所述鉴权签名服务获取解密密钥,对所述接入请求进行验证,若验证通过,则执行步骤803,否则,执行步骤804;
可选的,当加密算法为RSA加密算法时,第一云服务从鉴权签名服务中获取到的解密密钥为与加密私钥相对应的公钥。
803、接入所述第一云服务;
当第一云服务对第一用户信息验证通过时,则允许业务应用接入第一云服务,使用云服务上的应用资源。
804、执行其他流程。
当第一云服务对第一用户信息验证不通过时,可以拒绝业务应用接入第一云服,或向第一云服务发送提示信息等,此处不做具体限制。
本申请实施例中,用于通过多个解耦的云服务,向业务应用提供自定义的云服务,且鉴权签名服务由第三方来提供,从而使得一方面可以通过第三方提供的鉴权签名服务完成对业务应用方的鉴权,从而避免了因为业务方中心鉴权服务器故障而造成业务瘫痪,提升了鉴权签名服务的灵活性;另一方面使得前端业务应用通过购买服务商提供的云服务,即可完成业务的开发,提升了云服务的生态性,避免了业务开发的重复性。
基于图8所述的实施例,当用户的业务应用与本实施例中的鉴权签名服务不兼容时,即用户以前的业务应用所提供的鉴权信息与本实施例中所需要的鉴权信息不同时,业务应用可以通过适配器接入本实施例中的鉴权签名服务,以实现业务应用与本实施例中鉴权签名服务的无缝对接。
具体的,下面对本实施例中业务应用通过适配器接入鉴权签名服务的工作流程进行描述,请参阅图9,本申请实施例中自定义组装云服务的方法的另一个实施例,包括:
901、通过适配器向所述鉴权签名服务发送所述业务应用的第二用户信息,使得所述鉴权签名服务将所述第二用户信息发送至业务应用的鉴权服务器进行验证,若验证通过,则执行步骤902,否则,执行步骤903;
当业务应用与鉴权签名服务不兼容时,本实施例中的业务应用可以通过适配器向鉴权签名服务发送第二用户信息,具体的,第二用户信息可以是用户名和密码,使得鉴权签名服务将所述第二用户信息发送至业务应用的鉴权服务器进行验证,若验证通过,则执行步骤902,否则,执行步骤903。
902、若验证通过,通过所述适配器接收所述第一用户信息,所述第一用户信息由所述适配器按照预设的映射规则将所述第二用户信息映射而成;
若验证通过,则通过适配器接收第一用户信息,其中,该第一用户信息是适配器按照预设映射规则将第二用户信息映射而成。
至于具体的映射规则,可以参阅表1所示,此处不再赘述。
903、若验证未通过,执行其他流程。
若验证不通过,则执行其他流程,此处不做具体限制。
本实施例中,在业务应用与鉴权签名服务不兼容时,通过适配器将业务应用接入鉴权签名服务中,提升了本实施例中鉴权签名服务对业务应用的兼容性。
基于图9所述的实施例,为了避免业务应用在利用加密后的第一用户信息向第一云服务发送接入请求时,第一云服务获取第一用户信息中的业务应用端的唯一标识码(如客户端ID或服务器端的clientid),以模仿用户行为,本实施例在接收加密后的第一用户信息之后,还可以执行以下步骤,以保证第一用户信息的安全性,具体请参阅图10,本申请实施例中自定义组装云服务的方法的另一个实施例,包括:
1001、向所述鉴权签名服务发送第二密钥请求;
为了避免业务应用利用加密后的第一用户信息向第一云服务发送接入请求,从而造成第一用户信息中业务应用端唯一标识码的泄露,使得第一云服务模拟业务应用端的行为,导致出现安全风险。
本实施例可以在接收加密后的第一用户信息之后,向鉴权签名服务发送第二密钥请求,以使得业务应用通过第二密钥向第一云服务发送接入请求,其中,该第二密钥使得第一云服务无法获取第一用户信息。
1002、接收所述鉴权签名服务发送的第二密钥,所述第二密钥由所述鉴权签名服务将所述加密后的第一用户信息更换而成。
鉴权签名服务接收到第二密钥请求后,将加密后的第一用户信息更换为第二密钥,使得业务应用在接收到第二密钥后,通过第二密钥向第一云服务发送接入请求,以避免第一用户信息的泄露。
本实施例中,为避免第一用户信息的泄露,将接入请求中加密后的第一用户信息更换为第二密钥,而第二密钥使得第一云服务无法获取第一用户信息,从而保证了第一用户信息的安全性。
进一步的,本实施例中的业务应用包括客户端的业务应用(如微信应用)和服务器端(如安全漏洞检测)的客户应用,当业务应用为客户端应用时,则业务应用通过客户端与第一云服务进行数据交互,当业务应用为服务器端应用时,则业务应用通过服务器端与第一云服务进行数据交互。
本申请实施例还提供了一种自定义组装云服务的***,包括如图1至图6中所述的鉴权签名服务,如图7所述的第一云服务,及如图8至图10所述的业务应用,且业务应用与鉴权签名服务、第一云服务之间相互交互,以实现云服务的自定义组装,而上述三者之间的交互流程可以参考图1至图10所述的自定义组装云服务的方法部分的描述,此处不再赘述。
上面对本实施例中自定义组装的云服务进行了描述,下面从硬件处理的角度对本实施例中的计算机装置进行描述,该计算机装置为组成CDN网络的节点,该计算机装置用于实现鉴权签名服务一侧的功能,本发明实施例中计算机装置一个实施例包括:
处理器以及存储器;
存储器用于存储计算机程序,处理器用于执行存储器中存储的计算机程序时,可以实现如下步骤:
接收由业务应用发送的第一用户信息,所述第一用户信息至少包括业务应用的类型、业务应用端的唯一识别码及第一云服务的识别码;
利用第一密钥对所述第一用户信息执行加密;
将加密后的第一用户信息发送至所述业务应用,使得所述业务应用利用加密后的第一用户信息向第一云服务发送接入请求。
在本发明的一些实施例中,处理器,还可以用于实现如下步骤:
所述鉴权签名服务通过适配器接收所述业务应用的第二用户信息;
通过所述适配器将所述第二用户信息发送至业务应用的鉴权服务器进行验证;
若验证通过,则通过所述适配器将所述第二用户信息按照预设的映射规则生成所述第一用户信息。
在本发明的一些实施例中,处理器,还可以用于实现如下步骤:
接收所述业务应用发送的第二密钥请求,以使得所述业务应用通过第二密钥向所述第一云服务发送接入请求,所述第二密钥使得第一云服务无法获取所述第一用户信息;
根据所述第二密钥请求,将所述加密后的第一用户信息更换为所述第二密钥。
在本发明的一些实施例中,处理器,还可以用于实现如下步骤:
将所述第一密钥和所述第二密钥对应的解密密钥执行本地存储。
该计算机装置用于实现第一云服务一侧的功能,该计算机装置为组成CDN网络的节点,本发明实施例中计算机装置另一实施例包括:
接收所述业务应用发送的接入请求,所述接入请求被所述鉴权签名服务执行了加密;
从所述鉴权签名服务获取解密密钥;
利用所述解密密钥对所述接入请求进行验证;
若验证通过,则允许所述业务应用接入所述第一云服务。
在本发明的一些实施例中,处理器,还可以用于实现如下步骤:
允许所述客户端应用接入所述第一云服务,通过客户端与所述第一云服务进行数据交互;
在本发明的一些实施例中,处理器,还可以用于实现如下步骤:
允许所述服务器端应用接入所述第一云服务,通过应用服务器与所述第一云服务进行数据交互。
该计算机装置用于实现业务应用一侧的功能,该计算机装置为组成CDN网络的节点,本发明实施例中计算机装置另一实施例包括:
向鉴权签名服务发送第一用户信息,使得所述向鉴权签名服务对所述第一用户信息执行加密,所述第一用户信息至少包括业务应用的类型、业务应用的唯一识别码及第一云服务的识别码;
接收加密后的第一用户信息,并利用所述加密后的第一用户信息向第一云服务发送接入请求,使得所述第一云服务从所述鉴权签名服务获取解密密钥,对所述接入请求进行验证;
若验证通过,则接入所述第一云服务。
在本发明的一些实施例中,处理器,还可以用于实现如下步骤:
通过适配器向所述鉴权签名服务发送所述业务应用的第二用户信息,使得所述鉴权签名服务将所述第二用户信息发送至业务应用的鉴权服务器进行验证;
若验证通过,则通过所述适配器接收所述第一用户信息,所述第一用户信息由所述适配器按照预设的映射规则将所述第二用户信息映射而成。
在本发明的一些实施例中,处理器,还可以用于实现如下步骤:
向所述鉴权签名服务发送第二密钥请求;
接收所述鉴权签名服务发送的第二密钥,所述第二密钥由所述鉴权签名服务将所述加密后的第一用户信息更换而成。
当所述业务应用为所述客户端应用时,在本发明的一些实施例中,处理器,还可以用于实现如下步骤:
通过客户端与所述第一云服务进行数据交互;
当所述业务应用为所述服务器端应用时,在本发明的一些实施例中,处理器,还可以用于实现如下步骤:
通过服务器与所述第一云服务进行数据交互。
可以理解的是,无论是鉴权签名服务一侧,第一云服务一侧,还是业务应用一侧,上述说明的计算机装置中的处理器执行所述计算机程序时,也可以实现上述对应的各装置实施例中各单元的功能,此处不再赘述。示例性的,所述计算机程序可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器中,并由所述处理器执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序在所述鉴权签名服务/第一云服务中的执行过程。例如,所述计算机程序可以被分割成上述鉴权签名服务中的各单元,各单元可以实现如上述相应鉴权签名服务说明的具体功能。
所述计算机装置可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述计算机装置可包括但不仅限于处理器、存储器。本领域技术人员可以理解,处理器、存储器仅仅是计算机装置的示例,并不构成对计算机装置的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述计算机装置还可以包括输入输出设备、网络接入设备、总线等。
所述处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable GateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器是所述计算机装置的控制中心,利用各种接口和线路连接整个计算机装置的各个部分。
所述存储器可用于存储所述计算机程序和/或模块,所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现所述计算机装置的各种功能。所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的应用程序等;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(SecureDigital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
本发明还提供了一种计算机可读存储介质,该计算机可读存储介质用于实现鉴权签名服务一侧的功能,其上存储有计算机程序,计算机程序被处理器执行时,处理器,可以用于执行如下步骤:
接收由业务应用发送的第一用户信息,所述第一用户信息至少包括业务应用的类型、业务应用端的唯一识别码及第一云服务的识别码;
利用第一密钥对所述第一用户信息执行加密;
将加密后的第一用户信息发送至所述业务应用,使得所述业务应用利用加密后的第一用户信息向第一云服务发送接入请求。
在本发明的一些实施例中,计算机可读存储介质存储的计算机程序被处理器执行时,处理器,可以具体用于执行如下步骤:
所述鉴权签名服务通过适配器接收所述业务应用的第二用户信息;
通过所述适配器将所述第二用户信息发送至业务应用的鉴权服务器进行验证;
若验证通过,则通过所述适配器将所述第二用户信息按照预设的映射规则生成所述第一用户信息。
在本发明的一些实施例中,计算机可读存储介质存储的计算机程序被处理器执行时,处理器,可以具体用于执行如下步骤:
接收所述业务应用发送的第二密钥请求,以使得所述业务应用通过第二密钥向所述第一云服务发送接入请求,所述第二密钥使得第一云服务无法获取所述第一用户信息;
根据所述第二密钥请求,将所述加密后的第一用户信息更换为所述第二密钥。
在本发明的一些实施例中,计算机可读存储介质存储的计算机程序被处理器执行时,处理器,可以具体用于执行如下步骤:
将所述第一密钥和所述第二密钥对应的解密密钥执行本地存储。
本发明还提供了另一种计算机可读存储介质,该计算机可读存储介质用于实现第一云服务一侧的功能,其上存储有计算机程序,计算机程序被处理器执行时,处理器,可以用于执行如下步骤:
接收所述业务应用发送的接入请求,所述接入请求被所述鉴权签名服务执行了加密;
从所述鉴权签名服务获取解密密钥;
利用所述解密密钥对所述接入请求进行验证;
若验证通过,则允许所述业务应用接入所述第一云服务。
在本发明的一些实施例中,计算机可读存储介质存储的计算机程序被处理器执行时,处理器,可以具体用于执行如下步骤:
允许所述客户端应用接入所述第一云服务,通过客户端与所述第一云服务进行数据交互;
在本发明的一些实施例中,计算机可读存储介质存储的计算机程序被处理器执行时,处理器,可以具体用于执行如下步骤:
允许所述服务器端应用接入所述第一云服务,通过应用服务器与所述第一云服务进行数据交互。
本发明还提供了另一种计算机可读存储介质,该计算机可读存储介质用于实现业务应用一侧的功能,其上存储有计算机程序,计算机程序被处理器执行时,处理器,可以用于执行如下步骤:
向鉴权签名服务发送第一用户信息,使得所述向鉴权签名服务对所述第一用户信息执行加密,所述第一用户信息至少包括业务应用的类型、业务应用的唯一识别码及第一云服务的识别码;
接收加密后的第一用户信息,并利用所述加密后的第一用户信息向第一云服务发送接入请求,使得所述第一云服务从所述鉴权签名服务获取解密密钥,对所述接入请求进行验证;
若验证通过,则接入所述第一云服务。
在本发明的一些实施例中,计算机可读存储介质存储的计算机程序被处理器执行时,处理器,可以具体用于执行如下步骤:
通过适配器向所述鉴权签名服务发送所述业务应用的第二用户信息,使得所述鉴权签名服务将所述第二用户信息发送至业务应用的鉴权服务器进行验证;
若验证通过,则通过所述适配器接收所述第一用户信息,所述第一用户信息由所述适配器按照预设的映射规则将所述第二用户信息映射而成。
在本发明的一些实施例中,计算机可读存储介质存储的计算机程序被处理器执行时,处理器,可以具体用于执行如下步骤:
向所述鉴权签名服务发送第二密钥请求;
接收所述鉴权签名服务发送的第二密钥,所述第二密钥由所述鉴权签名服务将所述加密后的第一用户信息更换而成。
当所述业务应用为所述客户端应用时,在本发明的一些实施例中,计算机可读存储介质存储的计算机程序被处理器执行时,处理器,可以具体用于执行如下步骤:
通过客户端与所述第一云服务进行数据交互;
当所述业务应用为所述服务器端应用时,在本发明的一些实施例中,计算机可读存储介质存储的计算机程序被处理器执行时,处理器,可以具体用于执行如下步骤:
通过服务器与所述第一云服务进行数据交互。
可以理解的是,所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在相应的一个计算机可读取存储介质中。基于这样的理解,本发明实现上述相应的实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的***,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (21)
1.一种自定义组装云服务的方法,其特征在于,多个云服务分别独立设置于多个服务器上,鉴权签名服务独立于业务应用,所述方法应用于所述鉴权签名服务,所述方法包括:
接收由业务应用发送的第一用户信息,所述第一用户信息至少包括业务应用的类型、业务应用端的唯一识别码及第一云服务的识别码;
利用第一密钥对所述第一用户信息执行加密;
将加密后的第一用户信息发送至所述业务应用,使得所述业务应用利用加密后的第一用户信息向第一云服务发送接入请求。
2.根据权利要求1所述的方法,其特征在于,当所述业务应用与所述鉴权签名服务不兼容时,所述方法还包括:
所述鉴权签名服务通过适配器接收所述业务应用的第二用户信息;
所述鉴权签名服务通过所述适配器将所述第二用户信息发送至业务应用的鉴权服务器进行验证;
若验证通过,则通过所述适配器将所述第二用户信息按照预设的映射规则映射为所述第一用户信息。
3.根据权利要求1所述的方法,其特征在于,加密机制为JWT机制,加密算法为RSA加密算法。
4.根据权利要求1至3中任一项所述的方法,其特征在于,在将加密后的第一用户信息发送至所述业务应用之后,所述方法还包括:
接收所述业务应用发送的第二密钥请求,以使得所述业务应用通过第二密钥向所述第一云服务发送接入请求,所述第二密钥使得第一云服务无法获取所述第一用户信息;
根据所述第二密钥请求,将所述加密后的第一用户信息更换为所述第二密钥。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
将所述第一密钥和所述第二密钥对应的解密密钥执行本地存储。
6.一种自定义组装云服务的方法,其特征在于,多个云服务分别独立设置于多个服务器上,鉴权签名服务独立于业务应用,所述方法应用于第一云服务,所述方法包括:
接收所述业务应用发送的接入请求,所述接入请求由所述鉴权签名服务执行了加密;
从所述鉴权签名服务获取解密密钥;
利用所述解密密钥对所述接入请求进行验证;
若验证通过,则允许所述业务应用接入所述第一云服务。
7.根据权利要求6所述的方法,其特征在于,加密机制为JWT机制,加密算法为RSA加密算法。
8.根据权利要求7所述的方法,其特征在于,当所述接入请求中包含的加密信息为利用所述RSA加密算法中的私钥加密后的第一用户信息时,所述解密密钥为所述私钥对应的公钥。
9.根据权利要求7所述的方法,其特征在于,当所述接入请求中包含的加密信息为第二密钥时,所述解密密钥为所述第二密钥对应的解密密钥。
10.根据权利要求6所述的方法,其特征在于,所述鉴权签名服务集成于所述云服务对应的服务器上;
或,
所述鉴权签名服务设置于独立的服务器上。
11.根据权利要求6至10中任一项所述的方法,其特征在于,所述业务应用包括客户端应用和服务器端应用;
当所述业务应用为所述客户端应用时,所述允许所述业务应用接入所述第一云服务,包括:
允许所述客户端应用接入所述第一云服务,通过客户端与所述第一云服务进行数据交互;
当所述业务应用为所述服务器端应用时,所述允许所述业务应用接入所述第一云服务,包括:
允许所述服务器端应用接入所述第一云服务,通过服务器与所述第一云服务进行数据交互。
12.一种自定义组装云服务的方法,其特征在于,多个云服务分别独立设置于多个服务器上,鉴权签名服务独立于业务应用,所述方法应用于业务应用,所述方法包括:
向鉴权签名服务发送第一用户信息,使得所述向鉴权签名服务对所述第一用户信息执行加密,所述第一用户信息至少包括业务应用的类型、业务应用的唯一识别码及第一云服务的识别码;
接收加密后的第一用户信息,并利用所述加密后的第一用户信息向第一云服务发送接入请求,使得所述第一云服务从所述鉴权签名服务获取解密密钥,对所述接入请求进行验证;
若验证通过,则接入所述第一云服务。
13.根据权利要求12所述的方法,其特征在于,当所述业务应用与所述鉴权签名服务不兼容时,所述方法还包括:
通过适配器向所述鉴权签名服务发送所述业务应用的第二用户信息,使得所述鉴权签名服务将所述第二用户信息发送至业务应用的鉴权服务器进行验证;
若验证通过,则通过所述适配器接收所述第一用户信息,所述第一用户信息由所述适配器按照预设的映射规则将所述第二用户信息映射而成。
14.根据权利要求12所述的方法,其特征在于,加密机制为JWT机制,加密算法为RSA加密算法。
15.根据权利要求12至14中任一项所述的方法,其特征在于,在所述接收加密后的第一用户信息之后,所述利用所述加密后的第一用户信息向第一云服务发送接入请求之前,所述方法还包括:
向所述鉴权签名服务发送第二密钥请求;
接收所述鉴权签名服务发送的第二密钥,所述第二密钥由所述鉴权签名服务将所述加密后的第一用户信息更换而成。
16.根据权利要求14所述的方法,其特征在于,当所述接入请求中包含的加密信息为利用所述RSA加密算法中的私钥加密后的第一用户信息时,所述解密密钥为所述私钥对应的公钥。
17.根据权利要求15所述的方法,其特征在于,当所述接入请求中包含的加密信息为第二密钥时,所述解密密钥为所述第二密钥对应的解密密钥。
18.根据权利要求12所述的方法,其特征在于,所述业务应用包括客户端应用和服务器端应用;
当所述业务应用为所述客户端应用时,所述接入所述第一云服务,包括:
所述客户端应用接入所述第一云服务,通过客户端与所述第一云服务进行数据交互;
当所述业务应用为所述服务器端应用时,所述接入所述第一云服务,包括:
所述服务器端应用接入所述第一云服务,通过服务器与所述第一云服务进行数据交互。
19.一种自定义组装云服务的***,其特征在于,包括:如权利要求1至5中任一项所述的鉴权签名服务,如权利要求6至11中任一项所述的第一云服务,及如权利要求12至18中任一项所述的业务应用。
20.一种计算机装置,包括处理器,其特征在于,所述处理器在执行存储于存储器上的计算机程序时,用于实现如权利要求1至5中任一项或权利要求6至11中任一项,或权利要求12至18中任一项所述的自定义组装云服务的方法。
21.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,用于实现如权利要求1至5中任一项或权利要求6至11中任一项,或权利要求12至18中任一项所述的自定义组装云服务的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910877062.3A CN110602218B (zh) | 2019-09-17 | 2019-09-17 | 一种自定义组装云服务的方法及相关装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910877062.3A CN110602218B (zh) | 2019-09-17 | 2019-09-17 | 一种自定义组装云服务的方法及相关装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110602218A true CN110602218A (zh) | 2019-12-20 |
| CN110602218B CN110602218B (zh) | 2023-02-14 |
Family
ID=68860255
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910877062.3A Active CN110602218B (zh) | 2019-09-17 | 2019-09-17 | 一种自定义组装云服务的方法及相关装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110602218B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111460475A (zh) * | 2020-03-27 | 2020-07-28 | 公安部第三研究所 | 基于云服务实现数据对象主体去标识化处理的方法 |
| CN113158218A (zh) * | 2021-05-21 | 2021-07-23 | 上海幻电信息科技有限公司 | 数据加密方法、装置及数据解密方法、装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102347957A (zh) * | 2011-11-18 | 2012-02-08 | 王鑫 | 一种云网络准入鉴别***及准入鉴别技术方法 |
| CN102369714A (zh) * | 2011-08-31 | 2012-03-07 | 华为技术有限公司 | 云计算***中云终端访问云服务器的方法及云计算*** |
| CN102769631A (zh) * | 2012-07-31 | 2012-11-07 | 华为技术有限公司 | 访问云服务器的方法、***和接入设备 |
| CN103313237A (zh) * | 2013-04-19 | 2013-09-18 | 无锡成电科大科技发展有限公司 | 一种移动云终端与云服务器交互的方法及*** |
| US10158486B1 (en) * | 2016-08-09 | 2018-12-18 | Cisco Technology, Inc. | Synchronization of key management services with cloud services |
-
2019
- 2019-09-17 CN CN201910877062.3A patent/CN110602218B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102369714A (zh) * | 2011-08-31 | 2012-03-07 | 华为技术有限公司 | 云计算***中云终端访问云服务器的方法及云计算*** |
| CN102347957A (zh) * | 2011-11-18 | 2012-02-08 | 王鑫 | 一种云网络准入鉴别***及准入鉴别技术方法 |
| CN102769631A (zh) * | 2012-07-31 | 2012-11-07 | 华为技术有限公司 | 访问云服务器的方法、***和接入设备 |
| CN103313237A (zh) * | 2013-04-19 | 2013-09-18 | 无锡成电科大科技发展有限公司 | 一种移动云终端与云服务器交互的方法及*** |
| US10158486B1 (en) * | 2016-08-09 | 2018-12-18 | Cisco Technology, Inc. | Synchronization of key management services with cloud services |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111460475A (zh) * | 2020-03-27 | 2020-07-28 | 公安部第三研究所 | 基于云服务实现数据对象主体去标识化处理的方法 |
| CN111460475B (zh) * | 2020-03-27 | 2023-04-25 | 公安部第三研究所 | 基于云服务实现数据对象主体去标识化处理的方法 |
| CN113158218A (zh) * | 2021-05-21 | 2021-07-23 | 上海幻电信息科技有限公司 | 数据加密方法、装置及数据解密方法、装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110602218B (zh) | 2023-02-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230066033A1 (en) | Trusted communication session and content delivery | |
| US9838205B2 (en) | Network authentication method for secure electronic transactions | |
| US9231925B1 (en) | Network authentication method for secure electronic transactions | |
| TWI734854B (zh) | 資訊安全的驗證方法、裝置和系統 | |
| CN108989346B (zh) | 基于账号隐匿的第三方有效身份托管敏捷认证访问方法 | |
| CN108965230A (zh) | 一种安全通信方法、***及终端设备 | |
| US10237270B2 (en) | Distributed storage of authentication data | |
| CN106452772B (zh) | 终端认证方法和装置 | |
| US11716206B2 (en) | Certificate based security using post quantum cryptography | |
| CN109660534B (zh) | 基于多商户的安全认证方法、装置、电子设备及存储介质 | |
| CN109635572A (zh) | 一种基于区块链的合约签订方法、装置及终端设备 | |
| CN111460457A (zh) | 不动产权登记监管方法、装置、电子设备及存储介质 | |
| CN109815659A (zh) | 基于web项目的安全认证方法、装置、电子设备及存储介质 | |
| CN110602218B (zh) | 一种自定义组装云服务的方法及相关装置 | |
| CN103368918A (zh) | 一种动态口令认证方法、装置及*** | |
| CN113328854A (zh) | 基于区块链的业务处理方法及*** | |
| WO2021035295A1 (en) | "secure environment for cryptographic key generation" | |
| US11032708B2 (en) | Securing public WLAN hotspot network access | |
| CN115022012B (zh) | 一种数据传输方法、装置、***、设备及存储介质 | |
| CN115409511A (zh) | 一种基于区块链的个人信息保护*** | |
| CN111125734B (zh) | 一种数据处理方法及*** | |
| WO2022206811A1 (zh) | 一种云服务***以及基于云服务的数据处理方法 | |
| Sciancalepore et al. | FRACTAL: Single-Channel Multi-factor Transaction Authentication Through a Compromised Terminal | |
| CN114430416A (zh) | 基于区块链***的数据处理方法、装置以及存储介质 | |
| CN116112150A (zh) | 一种服务访问方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |