专利名称:第三方应用的集中式安全管理方法和系统及相应通信系统的制作方法
技术领域:
本发明涉及通信领域,具体地,涉及对于要访问用户的受保护资源的第三方应用/客户端进行集中式安全管理的技术。
背景技术:
目前,互联网服务之间的整合已经成为必然趋势。许多服务提供商为了给自己的用户提供更好的服务,允许第三方应用/客户端通过调用“开放网络API (ApplicationProgramming Interface) ”为用户提供更多应用。开放平台的核心问题在于用户认证、授权以及第三方应用/客户端安全地使用开放的网络API接口。对于用户来说,一般不会希望第三方直接使用自己的用户名和密码来访问用户受保护的网络资源,除非双方具有很强的信任关系。OAuth(Open Authorization)协议正是为了解决服务整合时的“认证和授权”这一根本问题而生的。由IETF(互联网工程任务组)开发的OAuth协议是目前国际通用的授权方式,其为第三方应用/客户端提供了一种代表资源拥有者访问受保护资源的方法。在第三方应用/客户端访问受保护资源之前,它必须先从资源拥有者获取授权,即访问授权许可(访问授权许可代表资源拥有者提供的授权,其类型取决于第三方应用/客户端使用的获取方式和授权服务器所支持的方式),然后用访问许可交换访问令牌(代表访问授权许可的作用域、持续时间和其它属性)。第三方应用/客户端通过向资源服务器出示访问令牌来访问受保护资源。OAuth协议的最新 版本OAuth 2. O以简化实现为原则,并对更多的接入形式予以支持,如同时支持“Web应用、桌面应用、移动终端、家庭设备”等等。OAuth 2. O允许用户授权第三方网站或应用/客户端访问用户的受保护资源,而无须揭露其长期认证凭证或身份信息。这样,用户敏感信息的私密性得到保护。为此,服务提供商需要管理用户的资源并且构建IETF OAuth 2. O中定义的授权服务器,该授权服务器负责-管理用户;-管理第三方应用/客户端;-发放访问授权许可(参见IETFOAuth 2. O中的定义),第三方应用/客户端利用该访问授权许可来申请访问令牌;-授权服务器与用户之间相互认证;-授权服务器与第三方应用/客户端之间相互认证;-验证访问授权许可;-发放访问令牌,第三方应用/客户端利用该访问令牌访问用户的受保护资源。图1示意性地示出了根据IETF OAuth 2. O的系统和工作流。图1所示的工作流如下1.第三方应用/客户端计划访问存储于资源服务器中的用户的受保护资源;
2.资源服务器发现该第三方应用/客户端不具有有效的访问令牌,并且重定向该第三方应用/客户端到用户代理以获得用户的授权;3.在用户授权第三方应用/客户端之前,用户必须经由授权服务器的认证,同时有可能用户还需要认证授权服务器;4.授权服务器经由用户代理发送访问授权许可给第三方应用/客户端;5.第三方应用/客户端提交身份标识、访问授权许可和它自己的认证凭证给授权服务器以申请访问令牌;6.在授权服务器与第三方应用/客户端相互认证并且验证了授权访问许可之后,授权服务器发放访问令牌给第三方应用/客户端;7.第三方应用/客户端提交访问令牌给资源服务器以访问用户资源;8.如果访问令牌有效,则资源服务器对第三方应用/客户端响应以数据。然而,IETF OAuth 2. O仅对于大型服务提供商是非常有利的,因为他们能够自己承担对第三方网站或应用/客户端的管理,例如身份标识、认证、认证凭证管理等。其对于中小型服务提供商而言却并不容易,因为他们必须付出高昂的成本来管理第三方应用/客户端。此外,如果大型服务提供商已经在内部部署了分离的资源服务器,则他们必须开发和部署重叠的组件来管理第三方网站和应用/客户端。此外,由于存在许多第三方应用/客户端,其中一些可能是由个人开发和提供的,因此,攻击者有可能开发恶意的网络API来滥用网络API进行非法访问用户的资源。因此,在许可第三方应用/客户端访问用户的受保护资源之前,确保所有第三方应用/客户端都安全可信并非易事。
发明内容
为了解决上述现有技术中的问题,根据本发明的一个方面,提出了一种用于对于要访问存储于资源服务器中的用户的受保护资源的第三方应用进行集中式安全管理的方法。根据该方法,由用于集中管理所述第三方应用的集中式安全管理系统负责验证所述第三方应用的安全性并且在发布所述第三方应用之前对其进行数字签名,并且发放用于使得所述集中式安全管理系统能够认证该第三方应用的认证凭证。该方法包括所述第三方应用将它的身份标识、认证凭证和所述访问授权许可以可区分的方式发送至所述集中式安全管理系统;所述集中式安全管理系统在成功认证所述第三方应用之后,将所述访问授权许可转发给所述授权服务器;以及如果授权服务器验证所述访问授权许可成功且有效,则所述授权服务器经由所述集中式安全管理系统向所述第三方应用发放用于访问所述用户的受保护资源的访问令牌。根据本发明的另一个方面,提出了一种用于对于访问存储于资源服务器中的用户的受保护资源的第三方应用进行集中式安全管理的系统,其包括第一接收装置,用于接收由所述第三方应用以可区分的方式发送的该第三方应用的身份标识、认证凭证和所述访问授权许可;第一认证装置,用于在接收所述身份标识、认证凭证和所述访问授权许可之后使用所述身份标识和认证凭证认证所述第三方应用;第一转发装置,用于在成功认证所述第三方应用之后将来自所述第三方应用的访问授权许可转发给所述授权服务器;和第二转发装置,用于将由所述授权服务器所发放的访问令牌转发给所述第三方应用。
优选地,根据本发明的系统还可以包括第二接收装置,用于接收来自个人开发者或业务提供商开发的并使用个人开发者或业务提供商的私钥进行数字签名的第三方应用;第二认证装置,用于使用个人开发者或业务提供商的数字证书认证经由所述第二接收装置接收到的第三方应用的数字签名;安全检查装置,用于在所述第二认证装置成功认证后检测所述第三方应用是否包含恶意代码或病毒;数字签名装置,用于在成功地对所述第三方应用进行安全检查后,使用所述系统的私钥对该第三方应用进行数字签名;第三方应用注册和管理装置,用于对所述第三方应用进行统一分配身份标识、认证凭证及其相关属性管理;和证书管理装置,用于对所有相关数字证书进行生成、分发、撤销等统一管理。根据本发明的又另一个方面,提出了一种通信系统,其包括至少一个授权服务器、至少一个资源服务器、用户代理、第三方应用以及根据本发明的用于对于访问存储于资源服务器中的用户的受保护资源的第三方应用进行集中式安全管理的系统。
通过阅读下面结合附图对本发明具体实施例的说明,本发明的上述及其他特征和优点将变得更加明显。其中图1示意性地示出了现有技术中的IETF 0Auth2. O的系统和工作流程;图2示意性地示出了根据本发明的对第三方应用的集中式安全管理的系统和工作流程;图3示是根据本发 明一个实施例的用于第三方应用的集中式安全管理的方法的流程图;和图4是根据本发明一个实施例的用于第三方应用的集中式安全管理的系统的框图。
具体实施例方式本发明的基本思想是对于要访问存储于资源服务器中的用户的受保护资源的第三方应用/客户端进行集中式安全管理。为了简洁,下文中将“第三方应用/客户端”统称为“第三方应用”。图2示意性地示出了对第三方应用的集中式安全管理的系统和工作流。如图2所示,与图1中的现有技术方案相比较,添加了一个集中式安全管理系统,该系统能够执行如下功能-在官方发布第三方应用之前 使用个人开发者或业务提供商的数字证书验证经由个人开发者或业务提供商的私钥进行签名的第三方应用,以确保第三方应用的可溯源性; 验证该第三方应用是否安全,例如检查防病毒/防恶意软件, 以其私钥签署第三方应用以使得服务提供商或终端用户在安装该第三方应用之前能够使用其数字证书检验该第三方应用安全性、真实性和可靠性, 向第三方应用发放用于认证的凭证,例如数字证书或密钥;-官方发布该第三方应用;-在该第三方应用访问用户的受保护资源之前 该集中式安全管理系统与该第三方应用之间的相互认证,
管理第三方应用的身份信息及其认证凭证。与图1所示的现有技术相比,图2中的第三方应用有可能需要将其身份标识、认证凭证和访问授权许可分别打包或者通过分别标记该身份标识、认证凭证和访问授权许可,以使得根据本发明的集中式安全管理服务器能够分别识别出它们。在图2中,授权服务器_1/资源服务器_1、授权服务器_2/资源服务器_2和授权服务器_n/资源服务器_n可能属于 不同的中小型服务提供商,或 分离地部署若干资源服务器的同一个大型服务提供商。与图1所示的现有技术相比,图2中的授权服务器」需要能够区分直接来自第三方应用或者来自集中式安全管理系统的如图所示的步骤5中的消息,该区分例如可以通过一个标记来实现。如果该步骤5中的消息直接来自第三方应用,则授权服务器」应当认证该第三方应用并验证访问授权许可;如果该步骤5中的消息来自集中式安全管理系统,则授权服务器」应当仅验证访问授权许可。与图1中的现有技术方案相比,图2中的工作流程存在如下更改-在步骤5中,第三方应用的身份标识、认证凭证和访问授权许可以可区分的方式被发送给集中式安全管理系统,其中,可区分的方式是指该身份标识、认证凭证和访问授权许可或者是被分别打包,或者是被分别标记,以使得所述集中式安全管理系统能够区分出它们。
-在步骤6中,包括以下两个子步骤 6-1 :在成功认证第三方应用之后,集中式安全管理系统将访问授权许可转发给授权服务器_n。如果该访问授权许可有效,则授权服务器_11将为第三方应用发放的访问令牌发送给集中式安全管理系统。在本发明中,所述访问授权许可和所述访问令牌例如符合由IETF定义的授权协议0Auth2. O。
6-2 :集中式安全管理系统将访问令牌转发给第三方应用。此外,根据本发明的方案,如果第三方应用不具有有效的访问令牌,则资源服务器将该第三方应用的访问请求重定向至所述用户代理。应当指出,根据本发明的集中式安全管理系统包括一个服务器群,该服务器群可以包括例如证书发放管理服务器、第三方应用的安全性检查服务器、第三方应用的注册管理服务器、第三方应用的认证服务器,第三方应用存储与发布服务器,等等。还应当指出,在本发明中,假定用户同意第三方应用访问其受保护资源。用户在授权所述第三方应用访问其受保护资源之前必须通过授权服务器的认证以确认该用户身份真实且具有权限授予第三方应用访问其受保护的网络资源,从而使得该第三方应用获得访问授权许可继而获得访问令牌。根据本发明的方案,进行用户认证既可以是由用户代理直接与授权服务器通信,也可以是由用户代理经由所述集中式安全管理系统重定向到授权服务器。同样地,所述访问授权许可既可以由授权服务器经由用户代理向第三方应用发送,也可以由授权服务器经由所述集中式安全管理系统和用户代理向第三方应用发送。此外,根据本发明的集中式安全管理系统还能够执行以下功能-当收到由个人开发者或业务提供商开发并用该个人开发者或业务提供商的私钥签名的第三方应用时,使用个人开发者或业务提供商的数字证书认证该第三方应用的数字签名,以确保该第三方应用的可溯源性;-在认证成功后检测该第三方应用是否包含恶意代码或病毒;-在成功地对该第三方应用进行安全检测后,使用该集中式安全管理系统的私钥来对该第三方应用进行数字签名,以便在安装该第三方应用时能够确其真实、安全、可靠性;-对该第三方应用进行统一分配身份标识、认证凭证及其相关属性管理;-对所有涉及到的数字证书进行统一管理,如生成、发放、撤销等管理。通过使用本发明的集中式安全管理系统,可以为中小型服务提供商节约大量成本并且减轻其负荷(即只需负责管理用户及其受保护的资源),同时也能够使得大型服务提供商为其分离部署的多个内部资源服务器提供对第三方应用的集中式管理。此外,通过使用本发明的方案,还能够确保第三方应用更加安全和可信,因为第三方应用是由可信的第三方机构(即本发明的集中式安全管理系统)来进行安全管理的。下面参照图3来描述根据本发明一个实施例的用于对第三方应用进行集中式安全管理的方法。本实施例的方法可以适用于例如前面图2所示的系统,关于上述系统的描述在此不再重复。如图3所示,首先,在步骤301中,所述第三方应用将它的身份标识、认证凭证和所述访问授权许可以可区分的方式发送至所述集中式安全管理系统。在这里,所述认证凭证可以例如是数字证书、密码或口令,所述访问授权许可例如符合由IETF定义的授权协议0Auth2. O。所述可区分的方式是指所述身份标识、所述认证凭证和所述访问授权许可或者是被分别打包,或者是被分别标记,以使得所述集中式安全管理系统能够区分出它们。如前文所述,在本实施例中,假定所 述用户同意所述第三方应用访问其受保护资源。当所述第三方应用请求访问所述资源服务器中的所述用户的受保护资源时,如果所述第三方应用不具有有效的访问令牌,则所述资源服务器将该第三方应用的访问请求重定向至所述用户代理。应当指出,所述用户在授权所述第三方应用访问之前必须由所述授权服务器认证,以使得所述第三方应用获得访问授权许可从而凭借该访问授权许可获得访问令牌,其中,所述授权服务器对所述用户的认证既可以由所述用户代理直接向该授权服务器进行认证来实现,也可以由所述用户代理经由所述集中式安全管理系统重定向到该授权服务器进行认证来实现。还应当指出,所述第三方应用是在所述授权服务器向所述第三方应用发送访问授权许可之后向所述集中式安全管理系统发送该第三方应用的身份标识、认证凭证和所述访问授权许可的,其中,所述访问授权许可既可以由所述授权服务器经由所述用户代理向所述第三方应用发送,也可以由所述授权服务器经由所述集中式安全管理系统和所述用户代理向所述第三方应用发送。接着,在步骤302中,所述集中式安全管理系统在成功认证所述第三方应用之后,将所述访问授权许可转发给所述授权服务器。在这里,所述访问授权许可例如符合由IETF定义的0Auth2. O。接着,在步骤303中,如果所述访问授权许可有效,则所述授权服务器经由所述集中式安全管理系统向所述第三方应用发放用于访问所述用户的受保护资源的访问令牌。在这里,所述访问令牌例如符合由IETF定义的0Auth2. O。由此,所述第三方应用可以通过将所述访问令牌提交给所述资源服务器来访问所述用户的受保护资源。在本实施例中,所述集中式安全管理系统、所述用户代理、所述第三方应用、所述授权服务器以及所述资源服务器之间的交互过程可以遵循现有的和将来的任何解决方案、标准、规范等的方式,例如但不限于前面所述的0Auth2. O。通过以上描述可知,采用本实施例的用于对第三方应用进行集中式安全管理的方法,通过在现有系统中添加新的集中式安全管理系统,能够为中小型服务提供商节约大量成本并且减轻其负荷(即只需负责管理用户的受保护资源),同时也能够使得大型服务提供商为其分离部署的多个内部资源服务器提供对第三方应用的集中式管理。此外,通过使用本发明的方案,还能够确保第三方应用更加安全和可信,因为第三方应用是由可信的第三方机构(即本发明的集中式安全管理系统)来进行安全管理的。在同一发明构思下,根据本发明的另一个方面,提供了一种用于对于访问存储于资源服务器中的用户的受保护资源的第三方应用进行集中式安全管理的系统。下面就结合附图对其进行说明。图4示出了根据本发明一个实施例的集中式安全管理系统400。该系统400包括接收装置401、认证装置402、第一转发装置403和第二转发装置404。同样地,假定所述用户同意所述第三方应用访问其受保护资源。具体地,当所述第三方应用请求访问受保护资源时,在所述授权服务器成功认证所述用户并且向所述第三方应用发送访问授权许可之后,所述接收装置401接收由所述第三方应用以可区分的方式发送的该第三方应用的身份标识、认证凭证和所述访问授权许可。所述可区分的方式是指所述身份标识、所述认证凭证和所述访问授权许可或者是被分别打包,或者是被分别标记,以使得所述集中式安全管理系统能够区分出它们。在接收所述身份标识、认证凭证和所述访问授权许可之后,所述认证装置402使用所述身份标识、认证凭证认证所述第三方应用。在成功认证所述第三方应用之后,所述第一转发装置403将来自所述第三方应用的访问授权许可转发给所述授权服务器,并且所述第二转发装置404将 由所述授权服务器所发放的访问令牌转发给所述第三方应用。由此,所述第三方应用可以通过将所述访问令牌提交给所述资源服务器来访问所述用户的受保护资源。如前文所述,所述集中式安全管理系统400还执行以下功能-当收到由个人开发者或业务提供商开发并用该个人开发者或业务提供商的私钥签名的第三方应用时,使用个人开发者或业务提供商的数字证书认证该第三方应用的数字签名,以确保该第三方应用的可溯源性;-在认证成功后检测该第三方应用是否包含恶意代码或病毒;-在成功地对该第三方应用进行安全检测后,使用该集中式安全管理系统的私钥来对该第三方应用进行数字签名,以便在安装该第三方应用时能够使用该集中式安全管理系统的数字证书来确保第三方应用的真实、安全、可靠性;-对该第三方应用进行统一分配身份标识、认证凭证及其相关属性管理;-对所有涉及到的数字证书进行统一管理,如生成、发放、撤销等管理。应当指出,所述集中式安全管理系统对第三方应用的安全性检测可以遵循现有的和将来的任何解决方案、标准、规范等的方式。在实施上,本实施例的集中式安全管理系统400以及其包含的接收装置401、认证装置402、第一转发装置403和第二转发装置404,可以以软件、硬件或软件和硬件组合的方式来实现。例如,本领域技术人员熟悉多种可用来实现这些部件的设备,诸如微处理器、微控制器、专用集成电路(ASIC)、可编程逻辑设备(PLD)和/或现场可编程门阵列(FPGA)等。本实施例的集中式安全管理系统的各个组成部分也可以物理地分开实现而操作上地相互连接。在操作上,上述结合图4说明的实施例的用于对于访问存储于资源服务器中的用户的受保护资源的第三方应用进行集中式安全管理的系统,可以实现前面描述的用于对第三方应用进行集中式安全管理的方法。通过使用该系统,能够为中小型服务提供商节约大量成本并且减轻其负荷(即只需负责管理用户的受保护资源),同时也能够使得大型服务提供商为其分离部署的多个内部资源服务器提供对第三方应用的集中式管理。此外,还能够确保第三方应用更加安全和可信,因为第三方应用是由可信的第三方机构(即所述集中式安全管理系统)来进行安全管理的。在同一发明构思下,根据本发明的又另一方面,还提出了一种通信系统,该通信系统包括至少一个授权服务器、至少一个资源服务器、用户代理、第三方应用以及根据本发明的集中式安全管理系统。此外,所述通信系统还可以包括其他网络单元,例如路由器等。以上虽然通过一些示例性的实施例对本发明的用于对第三方应用进行集中式安全管理的方法、用于对于访问存储于资源服务器中的用户的受保护资源的第三方应用进行集中式安全管理的系统、以及包括至少一个授权服务器、至少一个资源服务器、用户代理、第三方应用以及根据本发明的集中式安全管理系统的通信系统进行了详细的描述,但是以上这些实施例并不是穷举 的,本领域技术人员可以在本发明的精神和范围内实现各种变化和修改。因此,本发明并不限于这些实施例,本发明的范围仅由所附权利要求为准。
权利要求
1.一种用于对于要访问存储于资源服务器中的用户的受保护资源的第三方应用进行集中式安全管理的方法,其特征在于,由用于集中管理所述第三方应用的集中式安全管理系统负责验证所述第三方应用的安全性并且对所述第三方应用进行数字签名,并且发放用于使得所述集中式安全管理系统能够认证该第三方应用的认证凭证,该方法包括下列步骤 -所述第三方应用将它的身份标识、认证凭证和所述访问授权许可以可区分的方式发送至所述集中式安全管理系统; -所述集中式安全管理系统在成功认证所述第三方应用之后,将所述身份标识和访问授权许可转发给所述授权服务器;以及 -如果所述访问授权许可有效,则所述授权服务器经由所述集中式安全管理系统向所述第三方应用发放用于访问所述用户的受保护资源的访问令牌。
2.根据权利要求1所述的方法,其中, -所述访问授权许可和所述访问令牌符合由IETF定义的授权协议0Auth2. O ;和/或 -所述认证凭证是数字证书、密钥或口令中的一个。
3.根据权利要求1或2所述的方法,其中 -所述用户在授权所述第三方应用访问之前必须由所述授权服务器认证,以使得所述第三方应用获得访问授权许可从而凭借该访问授权许可获得访问令牌;和/或 -所述第三方应用是在所述授权服务器向所述第三方应用发送访问授权许可之后向所述集中式安全管理系统发送该第三方应用的身份标识、认证凭证和所述访问授权许可的。
4.根据权利要求1至3中任意一项所述的方法,还包括 -当所述第三方应用请求访问所述资源服务器中的所述用户的受保护资源时,如果所述第三方应用不具有有效的访问令牌,则所述资源服务器将该第三方应用的访问请求重定向至所述用户代理;和/或 -在所述授权服务器经由所述集中式安全管理系统向所述第三方应用发放所述访问令牌之后,所述第三方应用将所述访问令牌提交给所述资源服务器以访问所述用户的受保护资源。
5.根据权利要求3所述的方法,其中 -所述授权服务器对所述用户的认证是由所述用户代理直接向该授权服务器进行认证来实现的;以及 -所述访问授权许可是由所述授权服务器经由所述用户代理向所述第三方应用发送的。
6.根据权利要求3所述的方法,其中 -所述授权服务器对所述用户的认证是由所述用户代理经由所述集中式安全管理系统重定向到该授权服务器进行认证来实现的;以及 -以下中的至少一个所述访问授权许可是由所述授权服务器经由所述集中式安全管理系统和所述用户代理向所述第三方应用发送的,或所述访问授权许可是由所述授权服务器经由所述用户代理向所述第三方应用发送的。
7.根据权利要求1至3中任意一项所述的方法,其中,所述可区分的方式包括以下中的至少一个所述第三方应用将所述身份标识、所述认证凭证和所述访问授权许可分别打包,或者所述第三方应用分别标记所述身份标识、所述认证凭证和所述访问授权许可。
8.一种用于对于访问存储于资源服务器中的用户的受保护资源的第三方应用进行集中式安全管理的系统,其特征在于,所述系统负责验证所述第三方应用的安全性并且对所述第三方应用进行数字签名,并且发放用于使得该系统能够认证该第三方应用的认证凭证,所述系统包括 -第一接收装置,用于接收由所述第三方应用以可区分的方式发送的该第三方应用的身份标识、认证凭证和所述访问授权许可; -第一认证装置,用于在接收所述身份标识、认证凭证和所述访问授权许可之后使用所述身份标识和认证凭证认证所述第三方应用; -第一转发装置,用于在成功认证所述第三方应用之后将来自所述第三方应用的身份标识和所述访问授权许可转发给所述授权服务器;和 -第二转发装置,用于将由所述授权服务器所发放的访问令牌转发给所述第三方应用。
9.根据权利要求8所述的系统,还包括 -第二接收装置,用于接收来自个人开发者或业务提供商开发的并使用个人开发者或业务提供商的私钥进行数字签名的第三方应用; -第二认证装置,用于使用个人开发者或业务提供商开发的数字证书认证经由所述第二接收装置接收到的第三方应用的数字签名; -安全检查装置,用于在所述第二认证装置成功认证后检测所述第三方应用是否包含恶意代码或病毒; -数字签名装置,用于在成功地对所述第三方应用进行安全检查后,使用所述系统的私钥对该第三方应用进行数字签名; -第三方应用注册和管理装置,用于对所述第三方应用进行统一分配身份标识、认证凭证及其相关属性管理; -证书管理装置,用于对所有相关数字证书进行统一管理。
10.根据权利要求8或9所述的系统,其中 -所述访问授权许可和所述访问令牌符合由IETF定义的授权协议OAuth2. O ;和/或 -所述认证凭证是数字证书、密钥或口令中的一个;和/或 -所述证书管理装置对所述数字证书的管理包括生成、发放和撤销。
11.根据权利要求8至10中任意一项所述的系统,其中 -对所有相关数字证书进行统一管理包括生成、发放和撤销;和/或-所述第三方应用是在所述授权服务器向所述第三方应用发送访问授权许可之后向所述系统发送该第三方应用的身份标识、认证凭证和所述访问授权的;和/或 -所述用户通过用户代理在授权所述第三方应用访问之前必须由所述授权服务器认证,以使得所述第三方应用获得访问授权许可从而凭借所述访问授权许可获得访问令牌;和/或 -当所述第三方应用请求访问所述资源服务器中的所述用户的受保护资源时,如果所述第三方应用不具有有效的访问令牌,则所述资源服务器将该第三方应用的访问请求重定向至所述用户代理;和/或 -在所述授权服务器经由所述系统向所述第三方应用发放所述访问令牌之后,所述第三方应用将所述访问令牌提交给所述资源服务器以访问所述用户的受保护资源。
12.根据权利要求11所述的系统,其中 -所述授权服务器对所述用户的认证是由所述用户代理直接向该授权服务器进行认证来实现的;以及 -所述访问授权许可是由所述授权服务器经由所述用户代理向所述第三方应用发送的。
13.根据权利要求11所述的系统,其中; -所述授权服务器对所述用户的认证是由所述用户代理经由所述系统重定向到该授权服务器进行认证来实现的;以及 -以下中的至少一个所述访问授权许可是由所述授权服务器经由所述系统和所述用户代理向所述第三方应用发送的,或所述访问授权许可是由所述授权服务器经由所述用户代理向所述第三方应用发送的。
14.根据权利要求8至10中任意一项所述的系统,其中,所述可区分的方式包括以下中的至少一个所述第三方应用将所述身份标识、所述认证凭证和所述访问授权许可分别打包,或者所述第三方应用分别标记所述身份标识、所述认证凭证和所述访问授权许可。
15.一种通信系统,包括 -至少一个授权服务器; -至少一个资源服务器; -用户代理; _第二方应用;以及 -根据权利要求7至14所述的用于对于访问存储于资源服务器中的用户的受保护资源的第三方应用进行集中式安全管理的系统。
全文摘要
本发明提供了对第三方应用进行集中式安全管理的方法和系统以及包括至少一个授权服务器、至少一个资源服务器、用户代理、第三方应用和集中式安全管理系统的通信系统,其中,由第三方应用的集中式安全管理系统负责验证第三方应用的安全性并且对其进行数字签名,并且发放使得该集中式安全管理系统能够认证该第三方应用的认证凭证。该方法包括第三方应用将其身份标识、认证凭证和访问授权许可以可区分的方式发送至集中式安全管理系统;该集中式安全管理系统在成功认证该第三方应用后将身份标识、访问授权许可转发给授权服务器;如果该访问授权许可有效,则该授权服务器经由该集中式安全管理系统向该第三方应用发放用于访问受保护资源的访问令牌。
文档编号H04L29/06GK103067338SQ201110319068
公开日2013年4月24日 申请日期2011年10月20日 优先权日2011年10月20日
发明者胡志远, 骆志刚, 万永根 申请人:上海贝尔股份有限公司