流量壓力的高性能服務(wù),并且避免了臨時密鑰請求過多時給云端的IAM服務(wù)帶來的性能損害。
[0102]請參考圖8,圖8示出了根據(jù)本申請實施例的認(rèn)證系統(tǒng)的一種示例性結(jié)構(gòu)圖。
[0103]如圖8所示,認(rèn)證系統(tǒng)包括:用戶端810,客戶服務(wù)端820和云端服務(wù)器830。
[0104]用戶端810,配置用于向客戶服務(wù)端發(fā)送第一臨時密鑰的分配請求信息,分配請求信息攜帶用于驗證用戶身份的會話身份標(biāo)識;接收客戶服務(wù)端響應(yīng)于用戶身份通過驗證而發(fā)送的響應(yīng)分配請求信息的第一響應(yīng)信息,其中,第一響應(yīng)信息包括:用于向云端服務(wù)器確認(rèn)客戶身份的用戶密鑰賬號,使用第一會話密鑰簽名用于描述用戶權(quán)限的訪問控制列表得到的第一臨時密鑰,以及使用第一會話密鑰加密訪問控制列表得到的會話策略信息,其中,所述第一會話密鑰為所述客戶服務(wù)端持有的與所述云端服務(wù)器進行會話的會話密鑰;向云端服務(wù)器發(fā)送基于第一響應(yīng)信息生成的云端服務(wù)請求信息,云端服務(wù)請求信息攜帶用戶密鑰賬號、會話策略信息和使用第一臨時密鑰生成的云端服務(wù)請求信息的簽名。
[0105]在本實施例中,第一響應(yīng)信息為客戶服務(wù)端對分配請求信息進行驗證,響應(yīng)于驗證通過,生成用于描述用戶權(quán)限的訪問控制列表,基于訪問控制列表和客戶服務(wù)端持有的與云端服務(wù)器會話的會話密鑰,生成并向用戶端發(fā)送的響應(yīng)分配請求信息的第一響應(yīng)信息。
[0106]在向云端服務(wù)器發(fā)送基于第一響應(yīng)信息生成的云端服務(wù)請求信息,云端服務(wù)請求信息攜帶用戶密鑰賬號、會話策略信息和使用第一臨時密鑰生成的云端服務(wù)請求信息的簽名之后,用戶端810可以接收云端服務(wù)器響應(yīng)所述分配請求信息的第二響應(yīng)信息
[0107]客戶服務(wù)端820,配置用于接收分配請求信息,基于分配請求信息攜帶的會話身份標(biāo)識,對用戶身份進行驗證;以及響應(yīng)于用戶身份通過驗證,生成響應(yīng)分配請求信息的第一響應(yīng)信息并向用戶端發(fā)送生成的第一響應(yīng)信息。
[0108]在本實施例中,生成并發(fā)送的響應(yīng)分配請求信息的第一響應(yīng)信息與用戶端810接收的第一響應(yīng)信息為同一信息,第一響應(yīng)信息包括:用于向云端服務(wù)器確認(rèn)客戶身份的用戶密鑰賬號,使用第一會話密鑰簽名用于描述用戶權(quán)限的訪問控制列表得到的第一臨時密鑰,以及使用第一會話密鑰加密訪問控制列表得到的會話策略信息,其中,所述第一會話密鑰為所述客戶服務(wù)端持有的與所述云端服務(wù)器進行會話的會話密鑰。
[0109]云端服務(wù)器830,配置用于基于接收的用戶密鑰賬號、會話策略信息,對接收的云端服務(wù)請求信息的簽名進行認(rèn)證,以及響應(yīng)于認(rèn)證通過,向用戶端發(fā)送響應(yīng)云端服務(wù)請求信息的第二響應(yīng)信息。
[0110]在本實施例中,云端服務(wù)器830進一步配置用于基于用戶密鑰賬號,驗證客戶身份;響應(yīng)于客戶身份通過驗證,基于會話策略信息和第二會話密鑰,得到第二臨時密鑰,其中,第二會話密鑰為云端服務(wù)器持有的與客戶服務(wù)端會話的會話密鑰;使用第二臨時密鑰,計算云端服務(wù)請求信息的簽名;比對接收的云端服務(wù)請求信息的簽名與計算得到的云端服務(wù)請求信息的簽名;響應(yīng)于比對的結(jié)果相同,確定認(rèn)證結(jié)果為認(rèn)證通過。
[0111]云端服務(wù)器830進一步配置用于使用第二會話密鑰解密會話策略信息,得到訪問控制列表;使用第二會話密鑰對得到的訪問控制列表進行簽名,得到第二臨時密鑰。
[0112]應(yīng)當(dāng)理解,裝置800中記載的用戶端,客戶服務(wù)端和云端服務(wù)器與參考圖2至圖7中描述的方法中記載的用戶端,客戶服務(wù)端和云端服務(wù)器的操作步驟相對應(yīng)。由此,上文針對認(rèn)證方法描述的操作和特征同樣適用于裝置800及其中包含的單元,在此不再贅述。
[0113]本申請上述實施例提供的認(rèn)證系統(tǒng),通過用戶端向客戶服務(wù)端發(fā)送第一臨時密鑰的分配請求信息,通過客戶服務(wù)端在驗證分配請求信息后,生成并向用戶端發(fā)送包括用戶密鑰賬號、第一臨時密鑰和會話策略信息的第一響應(yīng)信息,通過用戶端向云端服務(wù)器發(fā)送基于第一響應(yīng)信息生成的云端服務(wù)請求信息,云端服務(wù)請求信息攜帶用戶密鑰賬號、會話策略信息和使用第一臨時密鑰生成的云端服務(wù)請求信息的簽名,通過云端服務(wù)器基于用戶密鑰賬號和會話策略信息認(rèn)證云端服務(wù)請求信息的簽名,認(rèn)證通過后向用戶端發(fā)送響應(yīng)云端服務(wù)請求信息的第二響應(yīng)信息。本申請實施方式的認(rèn)證方法減少了客戶服務(wù)端與云端服務(wù)器的交互流程,降低了云端服務(wù)器的認(rèn)證壓力。
[0114]本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解,在本申請的上述實施例中,第一臨時密鑰和第二臨時密鑰代表兩個由不同的執(zhí)行主體根據(jù)其持有的會話密鑰使用相同的密鑰生成方法分別得到的臨時密鑰,用于驗證云端服務(wù)請求信息的簽名;而第一響應(yīng)信息和第二響應(yīng)信息分別為用戶端響應(yīng)第一臨時密鑰的分配請求信息的響應(yīng)信息和云端服務(wù)器響應(yīng)用戶端的云端服務(wù)請求信息的響應(yīng)信息,兩者并不相同;第一會話密鑰和第二會話密鑰,前者為客戶服務(wù)端持有的與云端服務(wù)器會話的會話密鑰,后者為云端服務(wù)器持有的與客戶服務(wù)端會話的會話密鑰,兩者為對稱密鑰,使用同一密鑰用于加密和解密。
[0115]下面參考圖9,其示出了適于用來實現(xiàn)本申請實施例的終端設(shè)備或服務(wù)器的計算機系統(tǒng)900的結(jié)構(gòu)示意圖。
[0116]如圖9所示,計算機系統(tǒng)900包括中央處理單元(CPU)901,其可以根據(jù)存儲在只讀存儲器(ROM) 902中的程序或者從存儲部分908加載到隨機訪問存儲器(RAM) 903中的程序而執(zhí)行各種適當(dāng)?shù)膭幼骱吞幚怼T赗AM 903中,還存儲有系統(tǒng)900操作所需的各種程序和數(shù)據(jù)。CPU 90KROM 902以及RAM 903通過總線904彼此相連。輸入/輸出(I/O)接口905也連接至總線904。
[0117]以下部件連接至I/O接口 905:包括鍵盤、鼠標(biāo)等的輸入部分906 ;包括諸如陰極射線管(CRT)、液晶顯示器(LCD)等以及揚聲器等的輸出部分907 ;包括硬盤等的存儲部分908 ;以及包括諸如LAN卡、調(diào)制解調(diào)器等的網(wǎng)絡(luò)接口卡的通信部分909。通信部分909經(jīng)由諸如因特網(wǎng)的網(wǎng)絡(luò)執(zhí)行通信處理。驅(qū)動器910也根據(jù)需要連接至I/O接口 905。可拆卸介質(zhì)911,諸如磁盤、光盤、磁光盤、半導(dǎo)體存儲器等等,根據(jù)需要安裝在驅(qū)動器910上,以便于從其上讀出的計算機程序根據(jù)需要被安裝入存儲部分908。
[0118]特別地,根據(jù)本公開的實施例,上文參考流程圖描述的過程可以被實現(xiàn)為計算機軟件程序。例如,本公開的實施例包括一種計算機程序產(chǎn)品,其包括有形地包含在機器可讀介質(zhì)上的計算機程序,計算機程序包含用于執(zhí)行流程圖所示的方法的程序代碼。在這樣的實施例中,該計算機程序可以通過通信部分909從網(wǎng)絡(luò)上被下載和安裝,和/或從可拆卸介質(zhì)911被安裝。
[0119]附圖中的流程圖和框圖,圖示了按照本發(fā)明各種實施例的系統(tǒng)、方法的可能實現(xiàn)的體系架構(gòu)、功能和操作。在這點上,流程圖或框圖中的每個方框可以代表一個模塊、程序段、或代碼的一部分,模塊、程序段、或代碼的一部分包含一個或多個用于實現(xiàn)規(guī)定的邏輯功能的可執(zhí)行指令。也應(yīng)當(dāng)注意,在有些作為替換的實現(xiàn)中,方框中所標(biāo)注的功能也可以以不同于附圖中所標(biāo)注的順序發(fā)生。例如,兩個接連地表示的方框?qū)嶋H上可以基本并行地執(zhí)行,它們有時也可以按相反的順序執(zhí)行,這依所涉及的功能而定。也要注意的是,框圖和/或流程圖中的每個方框、以及框圖和/或流程圖中的方框的組合,可以用執(zhí)行規(guī)定的功能或操作的專用的基于硬件的系統(tǒng)來實現(xiàn),或者可以用專用硬件與計算機指令的組合來實現(xiàn)。
[0120]作為另一方面,本申請還提供了一種計算機可讀存儲介質(zhì),該計算機可讀存儲介質(zhì)可以是上述實施例中裝置中所包含的計算機可讀存儲介質(zhì);也可以是單獨存在,未裝配入終端中的計算機可讀存儲介質(zhì)。計算機可讀存儲介質(zhì)存儲有一個或者一個以上程序,程序被一個或者一個以上的處理器用來執(zhí)行描述于本申請的認(rèn)證方法。
[0121]以上描述僅為本申請的較佳實施例以及對所運用技術(shù)原理的說明。本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解,本申請中所涉及的發(fā)明范圍,并不限于上述技術(shù)特征的特定組合而成的技術(shù)方案,同時也應(yīng)涵蓋在不脫離發(fā)明構(gòu)思的情況下,由上述技術(shù)特征或其等同特征進行任意組合而形成的其它技術(shù)方案。例如上述特征與本申請中公開的(但不限于)具有類似功能的技術(shù)特征進行互相替換而形成的技術(shù)方案。
【主權(quán)項】
1.一種用于認(rèn)證系統(tǒng)的用戶端的認(rèn)證方法,所述認(rèn)證系統(tǒng)包括:用戶端、客戶服務(wù)端和云端服務(wù)器,其特征在于,所述方法包括: 向所述客戶服務(wù)端發(fā)送第一臨時密鑰的分配請求信息,所述分配請求信息攜帶用于驗證用戶身份的會話身份標(biāo)識; 接收所述客戶服務(wù)端響應(yīng)于用戶身份通過驗證發(fā)送的響應(yīng)所述分配請求信息的第一響應(yīng)信息,所述第一響應(yīng)信息包括:用于向云端服務(wù)器確認(rèn)客戶身份的用戶密鑰賬號,使用第一會話密鑰簽名用于描述用戶權(quán)限的訪問控制列表得到的第一臨時密鑰,以及使用所述第一會話密鑰加密所述訪問控制列表得到的會話策略信息,其中,所述第一會話密鑰為客戶服務(wù)端持有的與所述云端服務(wù)器會話的會話密鑰; 向所述云端服務(wù)器發(fā)送基于所述第一響應(yīng)信息生成的云端服務(wù)請求信息,所述云端服務(wù)請求信息攜帶所述用戶密鑰賬號、所述會話策略信息和使用所述第一臨時密鑰生成的所述云端服務(wù)請求信息的簽名; 接收所述云端服務(wù)器發(fā)送的響應(yīng)云端服務(wù)請求信息的第二響應(yīng)信息,其中,所述第二響應(yīng)信息通過以下步驟得到:所述云端服務(wù)器基于所述用戶密鑰賬號和所述會話策略信息,對接收的所述云端服務(wù)請求信息的簽名進行認(rèn)證,響應(yīng)于所述認(rèn)證通過,向所述用戶端發(fā)送響應(yīng)所述云端服務(wù)請求信息的第二響應(yīng)信息。2.一種用于認(rèn)證系統(tǒng)的客戶服務(wù)端的生成第一響應(yīng)信息的方法,所述認(rèn)證系統(tǒng)包括:用戶端、客戶服務(wù)端和云端服務(wù)器,其特征在于,所述方法包括: 接收所述用戶端發(fā)送的第一臨時密鑰的分配請求信息,所述分配請求信息攜帶用于驗證用戶身份的會話身份標(biāo)識; 基于所述會話身份標(biāo)識,對用戶身份進行驗證; 響應(yīng)于用戶身份通過驗證,生成響應(yīng)所述分配請求信息的第一響應(yīng)信息,其中,所述第一響應(yīng)信息包括:用于向云端服務(wù)器確認(rèn)客戶身份的用戶密鑰賬號,使用第一會話密鑰簽名用于描述用戶權(quán)限的訪問控制列表得到的第一臨時密鑰,以及使用所述第一會話密鑰加密所述訪問控制列表得到的會話策略信息,其中,所述第一會話密鑰為客戶服務(wù)端持有的與所述云端服務(wù)器會話的會話密鑰; 向所述用戶端發(fā)送所述第一響應(yīng)信息。3.一種用于認(rèn)證系統(tǒng)的云端服務(wù)器的認(rèn)證方法,所述認(rèn)證系統(tǒng)包括:用戶端、客戶服務(wù)端和云端服務(wù)器,其特征在于,所述方法包括: 接收所述用戶端發(fā)送的用戶密鑰賬號、會話策略信息和使用第一臨時密鑰簽名的云端服務(wù)請求信息,其中,所述第一臨時密鑰由所述客戶服務(wù)端使用第一會話密鑰對用于描述用戶權(quán)限的訪問控制列表進行簽名得到,所述用戶密鑰賬號由所述客戶服務(wù)端生成以向云端服務(wù)器確認(rèn)客戶身份,所述會話策略信息由所述客戶服務(wù)端使用所述第一會話