一种开放式智能网关平台的用户登录认证方法
【专利摘要】本发明公开一种开放式智能网关平台的用户登录认证方法,包括:S1:用户设备请求第三方应用客户端对用户资源进行操作;S2:智能网关平台为第三方应用客户端分配临时令牌和连接标识;S3:第三方应用客户端将用户设备导向至智能网关平台的授权页面请求授权;S4:用户在授权页面进行授权,同时第三方应用客户端将连接标识与随机令牌、支持的应用名称返回到智能网关平台;S5:智能网关平台根据连接标识验证用户信息;S6:智能网关平台验证成功,向第三方应用客户端发送访问令牌,使其可以利用访问令牌获取用户资源。本发明解决了开放式智能网关平台支持第三方应用带来的用户登录认证问题,实现了统一、集中式的用户管理。
【专利说明】-种开放式智能网关平台的用户登录认证方法
【技术领域】
[0001] 本发明涉及一种用户登录认证方法,具体涉及的是一种开放式智能网关平台的用 户登录认证方法。
【背景技术】
[0002] 随着移动互联网的高速发展和移动应用的广泛普及,用户对智能网关的需求也与 日俱增。智能网关是多网络接入和内网管理的枢纽,它作为运营商、数字内容提供商以及网 络设备厂商提供网络服务的通道,除了提供宽带数据、语音和视频外,还提供家庭安全、能 源管理、健康监测等其它网络应用和服务,极大地改善了用户的联网体验。
[0003] 近年来,开放式的、可扩展智能网关平台已经成为一种发展趋势,其硬件支持实时 的功能扩展和重构,使得软件可以快速、有效的更新。而开放、可扩展智能网关平台也包括 了第三方web应用、桌面应用以及手机应用等等。这些第三方应用若需要访问存放在智能 网关平台中的用户资源,则其客户端需要获得授权,而如此一来,为了实现对第三方应用客 户端的集中管理,需要统一的用户登录认证方法。然而,现有的智能网关平台的用户登录认 证方式,由于令牌是以明文的形式进行传输,因此在智能网关平台与第三方应用之间交互 信息时,会存在着较大的安全隐患,用户隐私很容易被泄漏。并且,现有的用户登录认证方 式还导致了智能网关平台管理用户账号的复杂度增大,不能快捷有效地管理用户账号。因 此,如何在保障用户隐私和安全前提下,实现智能网关平台的用户登录认证,并降低用户账 号管理的复杂度,便成为亟需解决的问题。
【发明内容】
[0004] 本发明的目的在于提供一种开放式智能网关平台的用户登录认证方法,解决开放 式智能网关平台在与第三方web应用交互信息时安全隐患大、并且对用户账号管理的复杂 度高的问题。
[0005] 为了实现上述目的,本发明采用的技术方案如下:
[0006] -种开放式智能网关平台的用户登录认证方法,包括以下步骤:
[0007] S1 :用户设备访问第三方应用客户端,并请求该第三方应用客户端对存放在智能 网关平台数据库中的用户资源进行操作;
[0008] S2:第三方应用客户端生成一个随机数,并以此作为参数向智能网关平台的汇聚 中心服务器发送分配令牌的请求,汇聚中心服务器储存该随机数,并随机生成一个临时令 牌和与其一一对应的连接标识Session ID,并分配至第三方应用客户端;
[0009] S3:第三方获得临时令牌后,将用户设备导向至智能网关平台的授权页面请求用 户授权;
[0010] S4 :用户在智能网关平台的授权页面进行授权,同时第三方应用客户端生成一个 由临时令牌和之前生成的随机数组成的随机令牌,并按照消息摘要算法MD5的方式进行加 密,然后第三方应用客户端将其获得的连接标识Session ID,以及加密的随机令牌和所支 持的应用名称一同返回到智能网关平台的分流服务器;
[0011] S5 :分流服务器将连接标识Session ID与加密的随机令牌转发至汇聚中心服务 器;
[0012] S6 :汇聚中心服务器检查数据库中是否存在该连接标识Session ID,是,则汇聚 中心服务器根据MD5解密算法和存储的随机数解密得到临时令牌,并与第三方应用客户端 建立加密通道,执行步骤S9 ;否,则汇聚中心服务器更新存储的随机数,向第三方应用客户 端重新分配连接标识Session ID和临时令牌,并发送更新后的随机数,同时将连接标识 Session ID存储于数据库,执行步骤S7 ;
[0013] S7:第三方应用客户端重新生成由临时令牌和接收到的随机数组成的随机令牌, 并按照消息摘要算法MD5的方式进行加密,然后第三方应用客户端再次将其获得的连接标 识Session ID,以及加密的随机令牌和所支持的应用名称一同返回到智能网关平台的分流 服务器;
[0014] S8 :重复步骤S5?S7,直至汇聚中心服务器确认数据库中存在该连接标识 Session ID,然后执行步骤S9;
[0015] S9 :汇聚中心服务器根据连接标识Session ID对用户信息进行验证,判定该用户 信息是否验证成功,是,用户认证成功,则汇聚中心服务器通过加密通道向第三方应用客户 端发送访问令牌,使其可以访问存放在数据库中的用户资源;否,则用户认证失败,返回执 行步骤S4,重新授权。
[0016] 进一步地,所述第三方应用客户端为web应用、桌面应用或手机应用。
[0017] 再进一步地,所述用户设备为手机、平板电脑或PC机。
[0018] 更进一步地,所述步骤S9中,第三方应用客户端访问存放在数据库中的用户资源 的具体过程如下:
[0019] (1)第三方应用客户端利用访问令牌向汇聚中心服务器请求获取用户资源;
[0020] (2)汇聚中心服务器向与用户设备绑定的网关设备发送上传相应用户资源的指 令;
[0021] (3)网关设备上传用户资源到数据库服务器中,第三方应用客户端获取该用户资 源,并完成用户请求的操作。
[0022] 与现有技术相比,本发明具有以下有益效果:
[0023] (1)本发明设计巧妙,构思合理,其允许第三方web应用、桌面应用以及手机应用 等在智能网关平台授权的前提下访问用户存储在平台中的各种信息,而这种授权无需将用 户名和密码提供给第三方应用客户端,很好的保障了用户的隐私和安全性,并且无需用户 再次注册与登录。
[0024] (2)本发明通过将临时令牌与随机数进行合并,组成随机临牌,然后再以MD5进行 加密,能够有效解决令牌以明文形式在平台内进行传输而导致的安全问题,大幅提高了对 用户资源的保护力度,很好地杜绝了用户隐私泄漏的风险。
[0025] (3)本发明通过引入连接标识Session ID,并将其作为网络连接的来源标识,既方 便服务器随时发送信息到第三方应用客户端,又可以依据连接标识Session ID对用户信息 进行数据库查找,因此,大幅提高了智能网关平台管理用户账号的便捷性。
[0026] (4)本发明采用的用户登录认证方法,可以适用于不同的第三方web应用、桌面应 用以及手机应用等,而且在实际应用中易于实现,无需引入额外的硬件成本,因而不仅兼容 性好,而且降低了智能网关平台管理用户账号的复杂度。
【专利附图】
【附图说明】
[0027] 图1为本发明所用到的智能网关平台的硬件系统框图。
[0028] 图2为本发明的流程示意图。
[0029] 图3为用户授权时,第三方应用客户端与智能网关平台交互的流程示意图。
【具体实施方式】
[0030] 下面结合附图和实施例对本发明作进一步说明,本发明的实施方式包括但不限于 下列实施例。
[0031] 实施例
[0032] 本发明提供了一种开放式智能网关平台的用户登录认证方法,适用于开放式智能 网关平台与第三方应用客户端之间交互用户资源信息方面。如图1所示,本发明所涉及到 的智能网关平台,在硬件结构方面,其包括汇聚中心服务器、接入服务器、分流服务器(即 DNS服务器)、数据库服务器以及网关设备。所述接入服务器、分流服务器和数据库服务器 均与汇聚中心服务器连接,所述网关设备则与接入服务器连接。上述服务器和网关设备采 用的具体硬件设备及其配置分别为:接入服务器:至强处理器,8GB内存,双碟镜像,千兆双 网口;汇聚中心服务器:至强处理器,16GB内存,双碟镜像,千兆双网口;数据库服务器:双 至强处理器,16GB内存,双碟镜像,千兆双网口;分流服务器:至强处理器,8GB内存,双碟镜 像,千兆双网口。
[0033] 上述服务器均采用至强处理器,可以更好地符合大数据量的密集连续运算。
[0034] 按照智能网关平台的上述硬件结构,首先令用户设备(例如手机、平板电脑或PC 机)与网关设备进行绑定,其绑定的过程如下:
[0035] (1)将网关设备与接入服务器建立连接;
[0036] (2)网关设备将设备信息发送至接入服务器,并由接入服务器将网关设备的信息 转发至汇聚中心服务器;
[0037] (3)汇聚中心服务器检查数据库服务器中是否存储有该网关设备的设备标识,是, 则汇聚中心服务器根据设备标识对网关设备进行验证;否,则为该网关设备分配设备标识, 并存储于数据库服务器中,然后根据分配的设备标识对该网关设备进行验证;
[0038] (4)汇聚中心服务器判断网关设备是否验证成功,是,则汇聚中心服务器在数据库 中将该网关设备的状态信息修改为"在线",并发送"验证成功"的信息到接入服务器中;否, 则清除原设备标识,反复为网关设备分配设备标识,并进行验证,直至网关设备验证成功, 然后汇聚中心服务器在数据库中将该网关设备的状态信息修改为"在线",并发送"验证成 功"的信息到接入服务器中;
[0039] (5)接入服务器发送"注册成功"的消息到网关设备;
[0040] (6)用户设备登录智能网关平台系统,与分流服务器连接,分流服务器根据网关设 备的状态信息,将用户设备分配至汇聚中心服务器;
[0041] (7)用户设备与网关设备建立UDP连接;
[0042] (8)用户设备请求与网关设备绑定(例如手机扫描二维码登陆智能网关平台系统 后,向智能网关平台系统发起与无线路由器绑定的请求),并发送认证请求(例如智能网关 平台系统随机发送验证码到用户手机,然后用户输入接收到的验证码),网关设备对该认证 请求进行认证;
[0043] (9)网关设备认证成功,并回复用户设备"绑定成功"。
[0044] 下面对本发明的实现流程进行介绍。
[0045] 如图2所示,当用户通过用户设备访问第三方应用(例如web应用、桌面应用或手 机应用)客户端、且请求对存放在智能网关平台数据库中的用户资源进行操作时,第三方 应用客户端便会向智能网关平台的汇聚中心服务器发送请求,然后汇聚中心服务器随机生 成一个临时令牌和与其一一对应的连接标识Session ID,并分配至第三方应用客户端。
[0046] 第三方应用客户端获得临时令牌后,将用户设备导向至智能网关平台的授权页面 请求用户授权。如图3所示,当用户在智能网关平台的授权页面进行授权的同时,第三方 应用客户端生成一个由临时令牌和之前生成的随机数组成的随机令牌,并按照消息摘要算 法MD5的方式进行加密,然后第三方应用客户端将该连接标识Session ID与加密的随机令 牌、所支持的应用名称一同返回到智能网关平台的分流服务器,同时第三方应用客户端更 新之前的随机数,由于消息摘要算法MD5的加密和解密方式均为现有成熟的技术,因此本 实施例不再对其具体的过程进行详细介绍。
[0047] 接着,分流服务器将连接标识Session ID与加密的随机令牌转发至汇聚中心服务 器,然后汇聚中心服务器检查数据库中是否存在该连接标识Session ID,是,则汇聚中心服 务器根据MD5解密算法和存储的随机数解密得到临时令牌,并与第三方应用客户端建立加 密通道,执行下一步;否,则汇聚中心服务器更新存储的随机数,向第三方应用客户端重新 分配连接标识Session ID和临时令牌,并发送更新后的随机数,同时将连接标识Session ID存储于数据库,然后重复检查和确认第三方应用客户端返回的连接标识Session ID。
[0048] 在查找到相同的连接标识Session ID后,汇聚中心服务器与第三方应用客户端建 立加密通道,然后汇聚中心服务器根据连接标识Session ID对用户信息进行验证,判定该 用户信息是否验证成功,是,则用户认证成功,汇聚中心服务器通过加密通道向第三方应用 客户端发送访问令牌,使其可以访问存放在数据库中的用户资源;否,则用户认证失败,返 回重新授权。
[0049] 上述第三方应用客户端访问数据库中的用户资源,可以是用户通过其他云端储存 在智能网关平台数据库中的资源;也可以是用户事先储存在网关设备中的资源,然后在第 三方应用客户端的请求下,将资源上传到智能网关平台的数据库中。本实施例提供了一种 第三方应用客户端需要访问存放在网关设备中的用户资源时的方法,其具体步骤为:(1) 第三方应用客户端利用访问令牌向汇聚中心服务器请求获取用户资源;(2)汇聚中心服务 器向与用户设备绑定的网关设备发送上传相应用户资源的指令;(3)网关设备上传用户资 源到数据库服务器中,第三方应用客户端获取该用户资源,并完成用户请求的操作。
[0050] 为更进一步地阐述本发明的技术方案,本实施例以用户设备与电子商城应用(web 应用)进行信息交互的实例来进行说明。
[0051] 首先,在用户设备的操作下,电子商城应用客户端获取智能网关平台分配的临时 令牌和连接标识Session ID,临时令牌和连接标识Session ID--对应。电子商城应用客 户端获得临时令牌后,将用户导向至智能网关平台的授权页面请求用户授权。
[0052] 用户在智能网关平台的授权页面进行授权,同时电子商城应用客户端返回连接标 识Session ID和随机令牌到智能网关平台,并向智能网关平台注册它所支持的应用名称, 即接收消息的应用名称为电子商城应用。接着,智能网关平台根据连接标识Session ID进 行用户信息验证,由于数据库中没有该连接标识Session ID对应的用户信息,验证失败,重 新分配连接标识Session ID和临时令牌,并将连接标识Session ID存储于数据库,然后重 新检查连接标识。
[0053] 检查通过后,汇聚中心服务器对用户信息进行验证。验证成功后,电子商城应用客 户端获取到访问令牌,可以访问存放在数据库中的用户资源(例如照片、文档、视频等等)。 汇聚中心服务器向网关设备发送上传用户资源的指令。网关设备收到指令后,上传用户资 源到数据库服务器中,电子商城应用客户端获取该用户资源,并完成用户请求的操作。
[0054] 本发明通过上述方法,有效地解决了开放式智能网关平台支持第三方应用所带来 的用户登录认证问题,实现了统一、集中式的用户管理,并提供了更为安全、完善的用户管 理功能。因此,本发明具有很高的应用价值和推广价值。
[0055] 上述实施例仅为本发明的优选实施例,并非对本发明保护范围的限制,但凡采用 本发明的设计原理,以及在此基础上进行非创造性劳动而作出的变化,均应属于本发明的 保护范围之内。
【权利要求】
1. 一种开放式智能网关平台的用户登录认证方法,其特征在于,包括以下步骤: 51 :用户设备访问第三方应用客户端,并请求该第三方应用客户端对存放在智能网关 平台数据库中的用户资源进行操作; 52 :第三方应用客户端生成一个随机数,并以此作为参数向智能网关平台的汇聚中心 服务器发送分配令牌的请求,汇聚中心服务器储存该随机数,并随机生成一个临时令牌和 与其一一对应的连接标识Session ID,并分配至第三方应用客户端; S3:第三方获得临时令牌后,将用户设备导向至智能网关平台的授权页面请求用户授 权; 54 :用户在智能网关平台的授权页面进行授权,同时第三方应用客户端生成一个由临 时令牌和之前生成的随机数组成的随机令牌,并按照消息摘要算法MD5的方式进行加密, 然后第三方应用客户端将其获得的连接标识Session ID,以及加密的随机令牌和所支持的 应用名称一同返回到智能网关平台的分流服务器; 55 :分流服务器将连接标识Session ID与加密的随机令牌转发至汇聚中心服务器; 56 :汇聚中心服务器检查数据库中是否存在该连接标识Session ID,是,则汇聚中心服 务器根据MD5解密算法和存储的随机数解密得到临时令牌,并与第三方应用客户端建立加 密通道,执行步骤S9 ;否,则汇聚中心服务器更新存储的随机数,向第三方应用客户端重新 分配连接标识Session ID和临时令牌,并发送更新后的随机数,同时将连接标识Session ID存储于数据库,执行步骤S7; S7:第三方应用客户端重新生成由临时令牌和接收到的随机数组成的随机令牌,并按 照消息摘要算法MD5的方式进行加密,然后第三方应用客户端再次将其获得的连接标识 Session ID,以及加密的随机令牌和所支持的应用名称一同返回到智能网关平台的分流服 务器; 58 :重复步骤S5?S7,直至汇聚中心服务器确认数据库中存在该连接标识Session ID,然后执行步骤S9 ; 59 :汇聚中心服务器根据连接标识Session ID对用户信息进行验证,判定该用户信息 是否验证成功,是,用户认证成功,则汇聚中心服务器通过加密通道向第三方应用客户端发 送访问令牌,使其可以访问存放在数据库中的用户资源;否,则用户认证失败,返回执行步 骤S4,重新授权。
2. 根据权利要求1所述的一种开放式智能网关平台的用户登录认证方法,其特征在 于,所述第三方应用客户端为web应用、桌面应用或手机应用。
3. 根据权利要求2所述的一种开放式智能网关平台的用户登录认证方法,其特征在 于,所述用户设备为手机、平板电脑或PC机。
4. 根据权利要求1?3任意一项所述的一种开放式智能网关平台的用户登录认证方 法,其特征在于,所述步骤S9中,第三方应用客户端访问存放在数据库中的用户资源的具 体过程如下: (1) 第三方应用客户端利用访问令牌向汇聚中心服务器请求获取用户资源; (2) 汇聚中心服务器向与用户设备绑定的网关设备发送上传相应用户资源的指令; (3) 网关设备上传用户资源到数据库服务器中,第三方应用客户端获取该用户资源,并 完成用户请求的操作。
【文档编号】H04L29/06GK104144167SQ201410406094
【公开日】2014年11月12日 申请日期:2014年8月15日 优先权日:2014年8月15日
【发明者】叶柯, 李可 申请人:深圳市蜂联科技有限公司