認(rèn)證方法和認(rèn)證系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本申請(qǐng)涉及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)領(lǐng)域,具體涉及計(jì)算機(jī)網(wǎng)絡(luò)認(rèn)證技術(shù)領(lǐng)域���,尤其涉及認(rèn)證方法和認(rèn)證系統(tǒng)���。
【背景技術(shù)】
[0002]在公有云服務(wù)中�,客戶(如網(wǎng)站主)需要在網(wǎng)頁或應(yīng)用中向用戶(如網(wǎng)民)提供保存于云端的資源(如音視頻)的直接訪問���,以避免數(shù)據(jù)經(jīng)過客戶的服務(wù)器中轉(zhuǎn)帶來無謂的網(wǎng)絡(luò)傳輸��。而云端存儲(chǔ)對(duì)外提供的應(yīng)用程序編程接口��,為保證安全性���,是通過公私鑰對(duì)請(qǐng)求進(jìn)行簽名實(shí)現(xiàn)的,網(wǎng)頁或應(yīng)用訪問時(shí)��,需要配置使用公私鑰���。但網(wǎng)頁或應(yīng)用是分發(fā)到用戶(網(wǎng)民)的�����,存在被惡意用戶破譯出客戶的密鑰�����,進(jìn)而拿到客戶身份進(jìn)行破壞的風(fēng)險(xiǎn)。
[0003]現(xiàn)有技術(shù)中�����,可以通過兩種方式避免在公有云服務(wù)中客戶密鑰被泄露:1、允許客戶分發(fā)密鑰的片段到網(wǎng)頁或應(yīng)用��,云存儲(chǔ)服務(wù)端為這類網(wǎng)頁或應(yīng)用訪問需要的接口開放特殊認(rèn)證機(jī)制�,網(wǎng)頁或應(yīng)用在請(qǐng)求時(shí)僅需基于密鑰的片段進(jìn)行請(qǐng)求簽名,即可對(duì)資源進(jìn)行訪問����。2、使用臨時(shí)密鑰機(jī)制����,即網(wǎng)頁或應(yīng)用先向客戶的服務(wù)端請(qǐng)求獲取一份短期有效的密鑰,基于此短期密鑰向云端服務(wù)進(jìn)行資源訪問����。
[0004]然而,上述的兩種技術(shù)����,存在以下風(fēng)險(xiǎn):1、基于密鑰片段的授權(quán)機(jī)制���,云端服務(wù)所開放的支持密鑰片段簽名的接口是固定的����,在客戶有新需求需要增加接口的臨時(shí)訪問時(shí),需要云端服務(wù)器升級(jí)配置�����;同時(shí)在惡意用戶獲取到密鑰片段后����,這些開放的接口也就相當(dāng)于對(duì)其完全開放了,仍然有客戶數(shù)據(jù)會(huì)被破壞的問題���。2���、臨時(shí)密鑰機(jī)制由于網(wǎng)頁或應(yīng)用每次向客戶端請(qǐng)求臨時(shí)密鑰時(shí),客戶端需要向云端的身份識(shí)別與訪問管理系統(tǒng)IAM進(jìn)行申請(qǐng)��,客戶業(yè)務(wù)上漲或客戶業(yè)務(wù)邏輯不當(dāng)(如反復(fù)申請(qǐng)臨時(shí)密鑰)時(shí)���,IAM的自身壓力過大���,影響基礎(chǔ)的認(rèn)證服務(wù)。
【發(fā)明內(nèi)容】
[0005]鑒于現(xiàn)有技術(shù)中的上述缺陷或不足�����,期望能夠提供一種安全性好����、云端服務(wù)及認(rèn)證壓力小的方案。為了實(shí)現(xiàn)上述一個(gè)或多個(gè)目的��,本申請(qǐng)?zhí)峁┝苏J(rèn)證方法和認(rèn)證系統(tǒng)�。
[0006]第一方面,本申請(qǐng)?zhí)峁┝艘环N用于認(rèn)證系統(tǒng)的用戶端的認(rèn)證方法�,所述認(rèn)證系統(tǒng)包括:用戶端、客戶服務(wù)端和云端服務(wù)器��,所述方法包括:向所述客戶服務(wù)端發(fā)送第一臨時(shí)密鑰的分配請(qǐng)求信息��,所述分配請(qǐng)求信息攜帶用于驗(yàn)證用戶身份的會(huì)話身份標(biāo)識(shí)��;接收所述客戶服務(wù)端響應(yīng)于用戶身份通過驗(yàn)證發(fā)送的響應(yīng)所述分配請(qǐng)求信息的第一響應(yīng)信息�����,所述第一響應(yīng)信息包括:用于向云端服務(wù)器確認(rèn)客戶身份的用戶密鑰賬號(hào)��,使用第一會(huì)話密鑰簽名用于描述用戶權(quán)限的訪問控制列表得到的第一臨時(shí)密鑰��,以及使用所述第一會(huì)話密鑰加密所述訪問控制列表得到的會(huì)話策略信息,其中�,所述第一會(huì)話密鑰為客戶服務(wù)端持有的與所述云端服務(wù)器會(huì)話的會(huì)話密鑰;向所述云端服務(wù)器發(fā)送基于所述第一響應(yīng)信息生成的云端服務(wù)請(qǐng)求信息���,所述云端服務(wù)請(qǐng)求信息攜帶所述用戶密鑰賬號(hào)����、所述會(huì)話策略信息和使用所述第一臨時(shí)密鑰生成的所述云端服務(wù)請(qǐng)求信息的簽名��;接收所述云端服務(wù)器發(fā)送的響應(yīng)云端服務(wù)請(qǐng)求信息的第二響應(yīng)信息��,其中��,所述第二響應(yīng)信息通過以下步驟得到:所述云端服務(wù)器基于所述用戶密鑰賬號(hào)和所述會(huì)話策略信息����,對(duì)接收的所述云端服務(wù)請(qǐng)求信息的簽名進(jìn)行認(rèn)證,響應(yīng)于所述認(rèn)證通過��,向所述用戶端發(fā)送響應(yīng)所述云端服務(wù)請(qǐng)求信息的第二響應(yīng)信息��。
[0007]第二方面���,本申請(qǐng)?zhí)峁┝艘环N用于認(rèn)證系統(tǒng)的客戶服務(wù)端的生成第一響應(yīng)信息的方法���,所述認(rèn)證系統(tǒng)包括:用戶端�����、客戶服務(wù)端和云端服務(wù)器,所述方法包括:接收所述用戶端發(fā)送的第一臨時(shí)密鑰的分配請(qǐng)求信息�����,所述分配請(qǐng)求信息攜帶用于驗(yàn)證用戶身份的會(huì)話身份標(biāo)識(shí)��;基于所述會(huì)話身份標(biāo)識(shí)��,對(duì)用戶身份進(jìn)行驗(yàn)證��;響應(yīng)于用戶身份通過驗(yàn)證�,生成響應(yīng)所述分配請(qǐng)求信息的第一響應(yīng)信息,其中��,所述第一響應(yīng)信息包括:用于向云端服務(wù)器確認(rèn)客戶身份的用戶密鑰賬號(hào)��,使用第一會(huì)話密鑰簽名用于描述用戶權(quán)限的訪問控制列表得到的第一臨時(shí)密鑰�����,以及使用所述第一會(huì)話密鑰加密所述訪問控制列表得到的會(huì)話策略信息,其中�,所述第一會(huì)話密鑰為客戶服務(wù)端持有的與所述云端服務(wù)器會(huì)話的會(huì)話密鑰;向所述用戶端發(fā)送所述第一響應(yīng)信息��。
[0008]第三方面�,本申請(qǐng)?zhí)峁┝艘环N用于認(rèn)證系統(tǒng)的云端服務(wù)器的認(rèn)證方法,所述認(rèn)證系統(tǒng)包括:用戶端���、客戶服務(wù)端和云端服務(wù)器����,所述方法包括:接收所述用戶端發(fā)送的用戶密鑰賬號(hào)�����、會(huì)話策略信息和使用第一臨時(shí)密鑰簽名的云端服務(wù)請(qǐng)求信息��,其中���,所述第一臨時(shí)密鑰由所述客戶服務(wù)端使用第一會(huì)話密鑰對(duì)用于描述用戶權(quán)限的訪問控制列表進(jìn)行簽名得到����,所述用戶密鑰賬號(hào)由所述客戶服務(wù)端生成以向云端服務(wù)器確認(rèn)客戶身份,所述會(huì)話策略信息由所述客戶服務(wù)端使用所述第一會(huì)話密鑰加密所述訪問控制列表得到��,所述第一會(huì)話密鑰為所述客戶服務(wù)端持有的與所述云端服務(wù)器進(jìn)行會(huì)話的會(huì)話密鑰��;基于所述用戶密鑰賬號(hào)和所述會(huì)話策略信息����,對(duì)接收的所述云端服務(wù)請(qǐng)求信息的簽名進(jìn)行認(rèn)證���;以及響應(yīng)于所述認(rèn)證通過�,向所述用戶端發(fā)送響應(yīng)所述云端服務(wù)請(qǐng)求信息的第二響應(yīng)信息���。
[0009]第四方面����,本申請(qǐng)?zhí)峁┝艘环N用于認(rèn)證系統(tǒng)的認(rèn)證方法���,所述認(rèn)證系統(tǒng)包括:用戶端�����、客戶服務(wù)端和云端服務(wù)器���,所述方法包括:所述用戶端向所述客戶服務(wù)端發(fā)送第一臨時(shí)密鑰的分配請(qǐng)求信息��,所述分配請(qǐng)求信息攜帶用于驗(yàn)證用戶身份的會(huì)話身份標(biāo)識(shí)�����;所述客戶服務(wù)端接收所述分配請(qǐng)求信息���,基于所述會(huì)話身份標(biāo)識(shí),對(duì)用戶身份進(jìn)行驗(yàn)證���;以及響應(yīng)于用戶身份通過驗(yàn)證���,生成響應(yīng)所述分配請(qǐng)求信息的第一響應(yīng)信息并向所述用戶端發(fā)送所述第一響應(yīng)信息,其中�,所述第一響應(yīng)信息包括:用于向云端服務(wù)器確認(rèn)客戶身份的用戶密鑰賬號(hào),使用第一會(huì)話密鑰簽名用于描述用戶權(quán)限的訪問控制列表得到的第一臨時(shí)密鑰�����,以及使用所述第一會(huì)話密鑰加密所述訪問控制列表得到的會(huì)話策略信息�,其中,所述第一會(huì)話密鑰為客戶服務(wù)端持有的與所述云端服務(wù)器會(huì)話的會(huì)話密鑰�����;所述用戶端響應(yīng)于接收到所述第一響應(yīng)信息,向所述云端服務(wù)器發(fā)送基于所述第一響應(yīng)信息生成的云端服務(wù)請(qǐng)求信息�����,所述云端服務(wù)請(qǐng)求信息攜帶所述用戶密鑰賬號(hào)���、所述會(huì)話策略信息和使用所述第一臨時(shí)密鑰生成的所述云端服務(wù)請(qǐng)求信息的簽名�����;所述云端服務(wù)器基于接收的所述用戶密鑰賬號(hào)和所述會(huì)話策略信息,對(duì)接收的所述云端服務(wù)請(qǐng)求信息的簽名進(jìn)行認(rèn)證����,以及響應(yīng)于所述認(rèn)證通過,向所述用戶端發(fā)送響應(yīng)所述云端服務(wù)請(qǐng)求信息的第二響應(yīng)信息�。
[0010]第五方面,本申請(qǐng)?zhí)峁┝艘环N用于認(rèn)證系統(tǒng)的用戶端�,所述用戶端用于:向所述客戶服務(wù)端發(fā)送第一臨時(shí)密鑰的分配請(qǐng)求信息,所述分配請(qǐng)求信息攜帶用于驗(yàn)證用戶身份的會(huì)話身份標(biāo)識(shí)���;接收所述客戶服務(wù)端響應(yīng)于用戶身份通過驗(yàn)證發(fā)送的響應(yīng)所述分配請(qǐng)求信息的第一響應(yīng)信息���,所述第一響應(yīng)信息包括:用于向云端服務(wù)器確認(rèn)客戶身份的用戶密鑰賬號(hào)�����,使用第一會(huì)話密鑰簽名用于描述用戶權(quán)限的訪問控制列表得到的第一臨時(shí)密鑰�����,以及使用所述第一會(huì)話密鑰加密所述訪問控制列表得到的會(huì)話策略信息����,其中�����,所述第一會(huì)話密鑰為客戶服務(wù)端持有的與所述云端服務(wù)器會(huì)話的會(huì)話密鑰�;向所述云端服務(wù)器發(fā)送基于所述第一響應(yīng)信息生成的云端服務(wù)請(qǐng)求信息���,所述云端服務(wù)請(qǐng)求信息攜帶所述用戶密鑰賬號(hào)�����、所述會(huì)話策略信息和使用所述第一臨時(shí)密鑰生成的所述云端服務(wù)請(qǐng)求信息的簽名�;接收所述云端服務(wù)器發(fā)送的響應(yīng)云端服務(wù)請(qǐng)求信息的第二響應(yīng)信息,其中�,所述第二響應(yīng)信息通過以下步驟得到:所述云端服務(wù)器基于所述用戶密鑰賬號(hào)和所述會(huì)話策略信息,對(duì)接收的所述云端服務(wù)請(qǐng)求信息的簽名進(jìn)行認(rèn)證���,響應(yīng)于所述認(rèn)證通過��,向所述用戶端發(fā)送響應(yīng)所述云端服務(wù)請(qǐng)求信息的第二響應(yīng)信息�。
[0011]第六方面����,本申請(qǐng)?zhí)峁┝艘环N用于認(rèn)證系統(tǒng)的客戶服務(wù)端,所述客戶服務(wù)端用于:接收所述用戶端發(fā)送的第一臨時(shí)密鑰的分配請(qǐng)求信息����,所述分配請(qǐng)求信息攜帶用于驗(yàn)證用戶身份的會(huì)話身份標(biāo)識(shí);基于所述會(huì)話身份標(biāo)識(shí)���,對(duì)用戶身份進(jìn)行驗(yàn)證;響應(yīng)于用戶身份通過驗(yàn)證��,生成響應(yīng)所述分配請(qǐng)求信息的第一響應(yīng)信息�����,其中,所述第一響應(yīng)信息包括:用于向云端服務(wù)器確認(rèn)客戶身份的用戶密鑰賬號(hào)����,使用第一會(huì)話密鑰簽名用于描述用戶權(quán)限的訪問控制列表得到的第一臨時(shí)密鑰,以及使用所述第一會(huì)話密鑰加密所述訪問控制列表得到的會(huì)話策略信息��,其中�,所述第一會(huì)話密鑰為客戶服務(wù)端持有的與所述云端服務(wù)器會(huì)話的會(huì)話密鑰;向所述用戶端發(fā)送所述第一響應(yīng)信息��。
[0012]第七方面��,本申請(qǐng)?zhí)峁┝艘环N用于認(rèn)證系統(tǒng)的云端服務(wù)器���,所述云端服務(wù)器用于:接收所述用戶端發(fā)送的用戶密鑰賬號(hào)�����、會(huì)話策略信息和使用第一臨時(shí)密鑰簽名的云端服務(wù)請(qǐng)求信息��,其中���,所述第一臨時(shí)密鑰由所述客戶服務(wù)端使用第一會(huì)話密鑰對(duì)用于描述用戶權(quán)限的訪問控制列表進(jìn)行簽名得到,所述用戶密鑰賬號(hào)由所述客戶服務(wù)端生成以向云端服務(wù)器確認(rèn)客戶身份,所述會(huì)話策略信息由所述客戶服務(wù)端使用所述第一會(huì)話密鑰加密所述訪問控制列表得到�����,所述第一會(huì)話密鑰為所述客戶服務(wù)端持有的與所述云端服務(wù)器進(jìn)行會(huì)話的會(huì)話密鑰��;基于所述用戶密鑰賬號(hào)和所述會(huì)話策略信息���,對(duì)接收的所述云端服務(wù)請(qǐng)求信息的簽名進(jìn)行認(rèn)證�;以及響應(yīng)于所述認(rèn)證通過��,向所述用戶端發(fā)送響應(yīng)所述云端服務(wù)請(qǐng)求信息的第二響應(yīng)信息���。
[0013]第八方面���,本申請(qǐng)?zhí)峁┝艘环N認(rèn)證系統(tǒng),所述認(rèn)證系統(tǒng)包括:用戶端����,用于向所述客戶服務(wù)端發(fā)送第一臨時(shí)密鑰的分配請(qǐng)求信息,所述分配請(qǐng)求信息攜帶用于驗(yàn)證用戶身份的會(huì)話身份標(biāo)識(shí)�����;接收所述客戶服務(wù)端響應(yīng)于用戶身份通過驗(yàn)證發(fā)送的響應(yīng)所述分配請(qǐng)求信息的第一響應(yīng)信息���,所述第一響應(yīng)信息包括:用于向云端服務(wù)器確認(rèn)客戶身份的用戶密鑰賬號(hào)����,使用第一會(huì)話密鑰簽名用于描述用戶權(quán)限的訪問控制列表得到的第一臨時(shí)密鑰���,以及使用所述第一會(huì)話密鑰加密所述訪問控制列表得到的會(huì)話策略信息���,其中,所述第一會(huì)話密鑰為客戶服務(wù)端持有的與所述云端服務(wù)器會(huì)話的會(huì)話密鑰��;向所述云端服務(wù)器發(fā)送基于所述第一響應(yīng)信息生成的云端服務(wù)請(qǐng)求信息��,所述云端服務(wù)請(qǐng)求信息攜帶所述用戶密鑰賬號(hào)����、所述會(huì)話策略信息和使用所述第一臨時(shí)密鑰生成的所述云端服務(wù)請(qǐng)求信息的簽名;所述客戶服務(wù)端���,用于接收所述分配請(qǐng)求信息���,基于所述會(huì)話身份標(biāo)識(shí),對(duì)用戶身份進(jìn)行驗(yàn)證;以及響應(yīng)于用戶身份通過驗(yàn)證��,生成響應(yīng)所述分配請(qǐng)求信息的第一響應(yīng)信息并向所述用戶端發(fā)送所述第一響應(yīng)信息���;所述云端服務(wù)器�,用于基于接收的所述用戶密鑰賬號(hào)和所述會(huì)話策略信息�����,對(duì)接收的所述云端服務(wù)請(qǐng)求信息的簽名進(jìn)行認(rèn)證����,以及響應(yīng)于所述認(rèn)證通過,向所述用戶端發(fā)送響應(yīng)所述云端服務(wù)請(qǐng)求信息的第二響應(yīng)信息�����。
[0014]本申請(qǐng)?zhí)峁┑恼J(rèn)證方法和認(rèn)證系統(tǒng)����,通過用戶端向客戶服務(wù)端發(fā)送第一臨時(shí)密鑰的分配請(qǐng)求信息,通過客戶服務(wù)端在驗(yàn)證分配請(qǐng)求信息后���,生成并向用戶端發(fā)送包括用戶密鑰賬號(hào)�����、第一臨時(shí)密鑰和會(huì)話策略信息的第一響應(yīng)信息�����,通過用戶端向云端服務(wù)器發(fā)送基于第一響應(yīng)信息生成的云端服務(wù)請(qǐng)求信息����,云端服務(wù)請(qǐng)求信息攜帶用戶密鑰賬號(hào)��、會(huì)話策略信息和使用第一臨時(shí)密鑰生成的云端服務(wù)請(qǐng)求信息的簽名���,通過云端服務(wù)器基于用戶密鑰賬號(hào)和會(huì)話策略信息認(rèn)證云端服務(wù)請(qǐng)求信息的簽名���,認(rèn)證通過后向