亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

數據云的分布式認證的制作方法

文檔序號:7915342閱讀:355來源:國知局
專利名稱:數據云的分布式認證的制作方法
技術領域
本發(fā)明的示例性實施例一般涉及用戶數據存儲和檢索方法、裝置和計算機程序,并且更具體地,涉及在訪問所存儲的數據時的用戶認證方法、裝置和計算機程序。
背景技術
可能在說明書和/或附圖中出現的下列縮寫定義如下
API應用程序接口⑶N內容分發(fā)/分配網絡HA本地代理HTTP超文本傳輸協議(RFC 2616)RDF資源描述框架SSL安全套接層SSO單點登錄TLS透明層安全協議(RFC 5246)UUID 通用唯一識別碼(RFC 4122)已知為OAuth ( (http//oauth. net)的協議允許網站或者應用(消費者)通過API訪問來自web服務(服務提供商)的受保護的資源,而不要求用戶向消費者公開他們的服務提供商憑證。通常,OAuth為API認證創(chuàng)建可自由實現且通用的方法。RDF數據模型(www. w3. org/RDF)建立在對關于主謂賓表達式(稱為“三元組”)形式的資源(尤其是web資源)的聲明的基礎上。主語代表資源,謂語代表資源的特征或者方面并表達主語和賓語之間的關系。“云”可以被認為指代由一個或者多個第三方提供和維持的關于特定用戶的資源(例如硬件資源和/或軟件資源)集合。該資源集合可被特定用戶通過數據通信網絡獲得。數據通信網絡可以是有線網絡和/或無線網絡,并且可以包括因特網和/或局域網(LAN)。該資源可以向用戶提供服務,諸如數據存儲服務、文字處理服務以及傳統上與個人計算機和/或本地服務器關聯的其它類型的服務和/或應用。與云相關的一些有代表性的美國公開的專利申請包括US2008/0077638 Al,“Distributed Storage in a Computing Environment”,Monk等人;US 2008/0080526 Al,“Migrating Data to New Cloud”,Gounares 等人;以及 US 2009/0088142 Al, “DeviceMigration,,,Baribault 等人。對于云為用戶提供分布式數據存儲的情況可以稱之為“數據云”。在這樣的情況中出現的問題是如何最好地為數據云中特定用戶的數據提供安全性和保密性從而,例如避免對用戶數據的未授權的訪問。

發(fā)明內容
根據本發(fā)明目前優(yōu)選的實施例克服了前述和其它問題并實現了其它優(yōu)勢。
依照示例性實施例的第一方面,一種方法包括響應于用戶對訪問特定存儲的需要認證的數據的需求,向數據云中發(fā)送對所存儲的數據的請求,該請求不標識該用戶;從數據云中接收說明認證范圍和一次性使用的現時(nonce)的響應信息;將說明認證范圍的信息顯示給用戶并且提示用戶提供用戶名和密碼;使用至少部分地使用響應信息生成的具有用戶憑證的認證報頭向數據云中重發(fā)請求,用戶憑證包括用戶名和散列密碼;以及如果用戶憑證有效,則從數據云中接收所請求的存儲數據。依照示例性實施例的另外的方面,一種裝置包括處理器和包括計算機程序代碼的存儲器。存儲器和計算機程序代碼被配置成與處理器一起引起該裝置至少執(zhí)行響應于用戶對訪問特定存儲的需要認證的數據的需求,向數據云中發(fā)送對所存儲的數據的請求,該請求不標識該用戶;從數據云中接收說明認證范圍和一次性使用的現時的響應信息;將說明認證范圍的信息顯示給用戶并且提示用戶提供用戶名和密碼;使用至少部分地使用響應信息生成的具有用戶憑證的認證報頭向數據云中重發(fā)請求,用戶憑證包括用戶名和散列密碼;以及如果用戶憑證有效,則從數據云中接收所請求的存儲數據。


結合所附的附圖從對優(yōu)選實施例的下列詳細描述中,本發(fā)明目前優(yōu)選實施例的前述和其它方面將更顯而易見,其中圖I是圖示了客戶端和數據云,以及根據本發(fā)明的示例性實施例的服務器和數據云之間的消息流的簡化的框圖。圖2是圖示了根據本發(fā)明的示例性實施例的方法的操作以及包含在計算機可讀存儲器中的計算機程序指令的執(zhí)行結果的邏輯流程圖。
具體實施例方式圖I是圖示了客戶端10和數據云20,以及根據本發(fā)明的示例性實施例的客戶端10和數據云20之間的消息流的簡化的框圖。可以是或者包括例如瀏覽器和/或用戶代理的客戶端10包括或者由至少一個數據處理器IOA和諸如存儲器IOB的至少一個計算機可讀介質托管。假設存儲器IOB包括包含計算機軟件指令的程序(PROG) 10C,被執(zhí)行時該計算機軟件指令引起客戶端10根據本發(fā)明的示例性實施例操作。有線和/或無線數據通信網絡12將客戶端10雙向連接到數據云20,更具體地,雙向連接到至少一個服務器22,同樣可以假設服務器22包括至少一個數據處理器(DP)22和諸如存儲器22B的至少一個計算機可讀介質。假設存儲器22B包括包含計算機軟件指令的程序(PROG) 22C,被執(zhí)行時該計算機軟件指令引起服務器22根據本發(fā)明的示例性實施例操作。數據云20還包括多個存儲密鑰-值對(憑證)和其它數據的數據存儲設備或者系統或者存儲器24 (24A、24B、…、24n)。存儲器24可以基于任何合適類型的數據存儲技術,包括但不限于固定和可移動存儲介質、使用磁或光數據存儲讀和寫性能的旋轉盤,以及半導體存儲器。作為示例性和非限制性實施例,客戶端10可以配備在PC、工作站、諸如膝上型計算機或者筆記本式計算機的移動設備、或者無線通信設備(諸如蜂窩電話、個人數字助理、因特網工具或者使能到因特網和/或數據云20的連通性的任何合適類型的用戶設備)中。數據存儲器24可以基于任何合適類型的數據存儲技術,包括但不限于固定和可移動存儲介質、使用磁或光數據存儲讀和寫性能的旋轉盤以及半導體存儲器。為了描述本發(fā)明的示例性實施例,可以假設數據云20中的數據可用于授權服務和應用,并且數據云20控制對數據(例如,對憑證)的訪問。假設所存儲的數據是地理上分布的,并且可從任何地方獲取。數據云20在因特網中可以是開放的。典型的注冊情況包括下列步驟??蛻舳?0從服務器22請求需要認證的(數據)頁面,但不提供用戶名和密碼。月艮務器22以(HTTP)響應碼(例如,“401”響應碼)進行響應,提供認證范圍和隨機生成的、稱為現時的一次性使用的值??蛻舳?0將認證范圍(通常是被訪問的計算機或者系統)顯示給用戶并提示用戶提供用戶名和密碼。一旦用戶名和密碼被提供,客 戶端10重新發(fā)送同樣的請求,但是添加包括具有用戶名和(通常)散列密碼的響應碼的認證報頭。服務器22核對憑證并返回所請求的頁面。如果用戶名無效和/或密碼不正確,則服務器返回錯誤響應(例如,“401”)。在這點上可以看出,如果密鑰必須是靜態(tài)的而不使用現時對密碼進行散列則可能會出問題。這可以使用至少兩個機制類規(guī)避,使用公鑰加密或者使用動態(tài)散列。如果使用PKI,則認證云20中的服務器22 “讀處理程序”可以使用公鑰算法來提供客戶端10和服務器22之間的密碼安全性??蛇x地,可以使用質詢響應散列,其可以以與特定的基于分類(digest)的認證(例如,RFC 2617,HTTP認證基本和分類訪問認證(Basic andDigestAccess Authentication), Franks等人,1999年6月)類似的方式動態(tài)地提供。在本發(fā)明的示例性實施例中,用戶憑證(例如,用戶名和散列密碼)存儲在數據云20中。對該憑證的授權是基于,例如OAuth密鑰和秘密密鑰(secret)中之一,或者基于SSL/TLS0數據可以存儲為〈密鑰,值〉對,其中密鑰是例如用戶名和散列密碼的組合,值是例如關于在某個時間間隔期間(例如,在最后一分鐘內)數據已被訪問多少次的信息。出于安全性原因,數據云可以限制,例如任何應用可以訪問特定憑證的次數。用戶憑證可以具有以下形式〈“用戶名” +散列密碼,accountid〉。該密鑰包含作為唯一條目的憑證。通常,憑證可以包含任何信息,諸如用戶的全名、賬戶標識、移動電話號碼等等。在RDF實體論的情境中考慮,密鑰(憑證)限定了主語,以及賓語的值。密鑰可以具有期滿時間作為起源數據,并且可以被加鹽(salted)。眾所周知,在密碼學中,鹽(salt)包括用作到密鑰派生功能的輸入之一的隨機比特。另一輸入通常是密碼或者密碼短語。密鑰派生功能的輸出存儲為密碼的加密版本。鹽也可以用作密碼或者其它加密算法中的密鑰的一部分。密鑰派生功能通常使用加密散列函數。SSL是使用鹽的一種方案。更優(yōu)選地,可以參考RFC 2898,PKCS 5# =Password-BasedCryptography Specification, 2. 0 版,B. Kaliski, 2000 年 9 月。存儲在數據云20中的數據對于世界范圍內的所有應用、服務等都是可見的(如果用戶/服務具有對數據的適當訪問權限)??蛻舳舜a(例如,JavaScript)可以由多個應用、客戶端組件、服務等共享。客戶端代碼可以具有對存儲在數據云20中的憑證的安全訪問。然而,為了從數據云20提取信息,客戶端10必須能夠提供與存儲在數據云20中的密鑰匹配的密鑰。在使用期間,運行在客戶端10上的認證程序(程序22C的一部分)可以顯示登錄界面并提示用戶輸入憑證。在用戶輸入憑證后,認證程序通過以正確的密鑰訪問數據云來檢查以確定憑證是否有效(例如,認證程序發(fā)送Get ("user name"'+hashed password)(獲取("用戶名"+散列密碼)))。這在圖I中示為操作I。如果密鑰有效,則服務器22返回,例如與用戶關聯的accountid。這在圖I中示出為操作2。假設密鑰有效,cookie (例如,SSO令牌/UUID)由客戶端10創(chuàng)建,例如由客戶端應用或者服務創(chuàng)建。這在圖I中示為操作3。然后,SSO令牌被存入數據云20中,例如使用Put (SSO token)(存入(SS0令牌))消息,如圖I中操作4所示。所創(chuàng)建的cookie (包含SSO令牌)具有有限的生命周期,并且可能只適用于一個瀏覽會話。在接收到SSO令牌后,如果用戶訪問為相同的認證配置的成員的服務,并且如果該瀏覽會話還沒有結束或者期滿,則用戶被自動驗證,并且不被質詢用戶名和密碼。如上所述,數據被存儲為〈密鑰,值〉對。密鑰可以為以下形式 密鑰=〃用戶名〃+〃密碼散列〃,其中用戶名也可以被散列??梢蕴砑幽承?可選的)附加信息(例如,現時、結構(organization))到密鑰中以限制對數據的訪問。根據本發(fā)明的示例性實施例,認證和令牌管理被完全分發(fā)給應用、客戶端和可信的服務。HA僅取決于網絡性能和數據云緩存。憑證密鑰可以緩存并分發(fā)給例如⑶N。此外,應理解的是,需要建立非專用的SSO服務器。實際上SSO建立很容易實現,并且原則上,用戶資料和注冊也可以被分發(fā)給客戶端應用。此外,整體的安全考慮不大于典型的認證流,因為推測憑證存儲器(密鑰-值存儲器24)的正確密鑰所需的嘗試的數量至少與推測具有正確的密碼散列的正確的用戶名所需的嘗試相當。對這些示例性實施例的使用假設存在密鑰管理系統(例如,管理OAuth密鑰和秘密密鑰),盡管這種系統可能存在于任何情況中。通常,令牌可以具有至少與UUID相同的復雜度。兩個或者多個令牌可能具有相同的簽名的概率很小,并且當與例如應用密鑰結合時,沖突發(fā)生的概率可以忽略。圖2是圖示了根據本發(fā)明的示例性實施例的方法的操作以及計算機程序指令的執(zhí)行的結果的邏輯流程圖。根據這些實施例,方法在塊2A處執(zhí)行響應于用戶對訪問特定存儲的需要認證的數據的需求執(zhí)行的步驟,向數據云中發(fā)送對所存儲的數據的請求,該請求不標識用戶。在塊2B處具有從數據云中接收說明認證范圍和一次性使用的現時的響應信息的步驟。在塊2C處具有將說明認證范圍的信息顯示給用戶并且提示用戶提供用戶名和密碼的步驟。在塊2D處具有使用至少部分地使用響應信息生成的具有用戶憑證的認證報頭向數據云中重發(fā)請求的步驟,用戶憑證包括用戶名和散列密碼。在塊2E處執(zhí)行如果用戶憑證有效,則從數據云接收所請求的存儲數據的步驟。圖2中示出的各個塊可以被視為方法步驟、和/或由計算機程序代碼的操作引起的操作,和/或構建以執(zhí)行相關功能的多個耦合的邏輯電路元件。通常,各示例性實施例可以在硬件或者專用電路、軟件、邏輯或者其組合中實現。例如,某些方面可以在硬件中實現,而其它方面可以在由控制器、微處理器或者其它計算設備執(zhí)行的固件或者軟件中實現,但是本發(fā)明不限制于此。雖然本發(fā)明的示例性實施例的各方面可以圖示或者描述為框圖、流程圖,或者使用某些其它圖片表示,但應理解的是,此處描述的這些塊、裝置、系統、技術或者方法可以以非限制性示例實現在硬件、軟件、固件、專用電路或邏輯、通用硬件或控制器或者其它計算設備、或者其某些組合中。 因此應理解的是,本發(fā)明示例性實施例的至少某些方面可以實踐在諸如集成電路芯片和模塊的各種組件中,并且本發(fā)明的示例性實施例可以實現在體現為集成電路的裝置中。集成電路可以包括用于體現可配置以根據本發(fā)明的示例性實施例操作的至少一個或多個數據處理器、數字信號處理器、基帶電路和射頻電路的電路(以及可能的固件)。 在前述描述的基礎上結合附圖,對本發(fā)明的前述示例性實施例的各種修改和變型對于相關領域的技術人員將變得顯而易見。然而,任何以及所有修改仍將落入本發(fā)明的非限制和示例性實施例的范圍內。應注意的是,術語“連接”、“耦合”或者其任何變型表示兩個或者更多個元件之間的直接或者非直接的連接或耦合,并且可以包含兩個元件之間彼此“連接”或“耦合”的一個或者多個中間元件的存在。元件之間的耦·合或者連接可以是物理的、邏輯的或者其組合。作為幾個非限制性和非窮舉的示例,如此處所實現的,兩個元件可以視為通過使用一個或多個導線、電纜和/或印刷電連接以及通過使用電磁能(諸如具有射頻區(qū)、微波區(qū)和光(可見和非可見的)區(qū)波長的電磁能)彼此“連接”或“耦合”。此外,用于描述參數(例如,“密鑰”、“令牌”、“cookie”等)的各個名稱不在任何方面進行限制,這些參數可以由其它合適的名稱識別。此外,分配給不同函數(例如,UUID、SS0、SSL、TLS等)的各個名稱不在任何方面進行限制,這些不同的函數可以由任何合適的名稱識另Ij,并且在某些情況下還可以被提供相同或相似功能性的不用函數替代。此外,可以使用本發(fā)明的各種非限制性和示例性實施例的一些特征來在不使用對應的其它特征的情況下提供優(yōu)勢。這樣,前述描述應理解為僅是對本發(fā)明的原理、教導和示例性實施例的說明,而不對其進行限制。
權利要求
1.一種方法,包括 響應于用戶對訪問特定存儲的需要認證的數據的需求,向數據云中發(fā)送對所存儲的數據的請求,所述請求不標識所述用戶; 從所述數據云接收說明認證范圍的響應信息; 向所述用戶顯示說明所述認證范圍的信息并提示所述用戶提供用戶名和密碼;以及 使用至少部分地使用所述響應信息生成的具有用戶憑證的認證報頭向所述數據云中重發(fā)所述請求,所述用戶憑證包括所述用戶名和散列密碼。
2.如權利要求I所述的方法,其中所述用戶憑證存儲在所述數據云中。
3.如任一在先權利要求所述的方法,其中對所述用戶憑證的授權是基于開放授權密鑰和秘密密鑰的。
4.如權利要求I到2中任一所述的方法,其中對所述用戶憑證的授權是基于安全套接層或者透明層安全協議中至少之一的。
5.如任一在先權利要求所述的方法,其中所述用戶憑證以〈密鑰,值〉對存儲在所述數據云中,其中所述密鑰包括用戶名和散列密碼的組合。
6.如權利要求5所述的方法,其中所述值包括說明在有些間隔時間期間所述數據已被訪問多少次的信息。
7.如任一在先權利要求所述的方法,其中所述用戶憑證中的用戶名也是散列的。
8.如權利要求I所述的方法,其中所述用戶憑證僅在其與已經存儲在所述數據云中的用戶憑證匹配時有效。
9.如任一在先權利要求所述的方法,其中響應于所述用戶憑證有效,進一步包括生成cookie并將所述cookie存儲在所述數據云中。
10.如權利要求9所述的方法,其中所述cookie僅可用于一次性的用戶瀏覽會話。
11.如權利要求10所述的方法,其中所述cookie由單點登錄令牌組成。
12.如任一在先權利要求所述的方法,作為對存儲在計算機可讀存儲介質中的計算機程序指令的執(zhí)行的結果執(zhí)行。
13.一種裝置,包括 處理器;以及 包括計算機程序代碼的存儲器,其中所述存儲器和計算機程序代碼被配置成與所述處理器一起引起所述裝置至少執(zhí)行響應于用戶對訪問特定存儲的需要認證的數據的需求,向數據云中發(fā)送對所存儲的數據的請求,所述請求不標識所述用戶;從所述數據云接收說明認證范圍的響應信息;將說明所述認證范圍的信息顯示給所述用戶并提示所述用戶提供用戶名和密碼;以及使用至少部分地使用所述響應信息生成的具有用戶憑證的認證報頭向所述數據云中重發(fā)所述請求,所述用戶憑證包括所述用戶名和散列密碼。
14.如權利要求13所述的裝置,其中所述用戶憑證存儲在所述數據云中。
15.如權利要求13到14中任一所述的裝置,其中對所述用戶憑證的授權是基于開放授權密鑰和秘密密鑰的。
16.如權利要求13到14中任一所述的裝置,其中對所述用戶憑證的授權是基于安全套接層或者透明層安全協議中至少之一的。
17.如權利要求13到16中任一所述的裝置,其中所述用戶憑證以〈密鑰,值〉對存儲在所述數據云中,其中所述密鑰包括用戶名和散列密碼的組合。
18.如權利要求17所述的裝置,其中所述值包括說明在有些間隔時間期間所述數據已被訪問多少次的信息。
19.如權利要求13到18中任一所述的裝置,其中所述用戶憑證中的用戶名也是散列的。
20.如權利要求13所述的裝置,其中所述用戶憑證僅在其與已經存儲在所述數據云中的用戶憑證匹配時有效。
21.如權利要求13到20中任一所述的裝置,其中響應于所述用戶憑證有效,進一步包括生成cookie并將所述cookie存儲在所述數據云中。
22.如權利要求21所述的裝置,其中所述cookie僅可用于一次性的用戶瀏覽會話。
23.如權利要求22所述的裝置,其中所述cookie由單點登錄令牌組成。
全文摘要
一種方法包括,響應于用戶對訪問特定存儲的需要認證的數據的需求,向數據云中發(fā)送對所存儲的數據的請求,所述請求不標識所述用戶。所述方法進一步包括從所述數據云接收說明認證范圍和一次性使用的現時的響應信息;向所述用戶顯示說明所述認證范圍的信息并提示所述用戶提供用戶名和密碼;使用至少部分地使用響應信息生成的具有用戶憑證的認證報頭向所述數據云中重發(fā)所述請求,所述用戶憑證包括所述用戶名和散列密碼;以及如果所述用戶憑證有效,則從所述數據云接收所請求的存儲數據。
文檔編號H04L9/32GK102687482SQ201080059924
公開日2012年9月19日 申請日期2010年12月21日 優(yōu)先權日2009年12月29日
發(fā)明者A·韋普塞萊寧, J·馬基, T·盧默 申請人:諾基亞公司
網友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1