一种联合认证方法、系统、相关平台及介质技术方案

本发明专利技术公开了一种联合认证方法、系统、相关平台及介质，具体为：在身份提供平台和服务提供平台对发起方进行联合认证时，将手机号码作为发起方的身份标识，将以短信形式传递的验证码作为认证基础，对发起方进行身份认证，流程简单，复杂度低，而且，由于大多数身份提供平台和服务提供平台均支持短信协议，所以，该方法适用于大多数的身份提供平台和服务提供平台，通用性较强，此外，由于手机号码具备唯一性，且以短消息形式传递的验证码不易被非法终端获取，所以，该方法不仅保证了认证结果的准确性，也尽可能地避免了由于用户信息被非法盗取，导致安全性较低的问题。

【技术实现步骤摘要】
一种联合认证方法、系统、相关平台及介质
本专利技术涉及身份认证
，尤其涉及一种联合认证方法、系统、相关平台及介质。
技术介绍
Openstack是当前比较活跃的云平台，Openstack主要提供了计算服务(即Nova)、对象存储服务(即Swift)、镜像服务(即Glance)、身份认证服务(即Keystone)、网络和地址管理服务(即Neutron)、UI界面服务(即Horizon)、测量服务(即Ceilometer)、部署编排服务(即Heat)和数据库服务(即Trove)等，其中，Keystone作为一个基础核心服务，承担着Openstack中其它服务的认证工作，这必将给Keystone带来很大的负担，因此，为了减少Keystone的负担，基于Keystone服务和第三方服务的联合认证方式应运而生。现有技术中，基于Keystone服务和第三方服务的联合认证方式主要是以Keystone服务为服务提供方(ServiceProvider，SP)，以第三方服务为身份提供方(IdentityProvider，IDP)，在SP和IDP联合对向Openstack发起资源访问请求的发起方进行认证的过程中，SP和IDP需要通过约定的协议(Protocol)建立可信关系，并以约定的协议为基础，联合对发起方进行身份认证。目前，SP和IDP之间可约定的协议主要有安全声明标记语言(SecurityAssertionMarkupLanguage2.0，SAML2.0)协议，OpenIDConnect(即OIDC)协议，轻量目录访问协议(LightweightDirectoryAccessProtocol，LDAP)和网络认证(Kerberos)协议，可见，SP和IDP需要同时支持上述至少一种协议才能联合对发起方进行联合认证，这必然会给这种联合认证方式带来局限性，从而导致这种联合认证方式的通用性较差。而且，在联合认证的过程中，一般需要将发起方的用户名和密码等用户信息作为发起方的身份标识，通过约定的协议进行封装并在SP和IDP之间传递，若在传递过程中用户信息被非法盗取，不仅会给用户带来安全隐患，还会使整个Openstack平台陷入安全危机。此外，以上述协议为基础的联合认证方法的流程也比较复杂，认证效率比较低。
技术实现思路
本专利技术实施例提供了一种云平台的联合认证方法、系统、相关平台及介质，用以解决现有技术中的联合认证方法存在认证流程复杂、通用性较差、安全性较低的问题。本专利技术实施例提供的具体技术方案如下：一种联合认证方法，应用于包括身份提供平台、服务提供平台和终端的联合认证系统中，包括：身份提供平台接收服务提供平台重定向的资源访问请求，并获取与资源访问请求的发起方相关联的手机号码；身份提供平台生成第一验证码，并基于手机号码，将第一验证码以短消息形式发送至发起方的终端；身份提供平台接收发起方基于终端中的第一验证码返回的第二验证码，并基于第二验证码与第一验证码是否匹配成功，确定发起方是否认证通过。较佳的，身份提供平台接收服务提供平台重定向的资源访问请求之后，获取与资源访问请求的发起方相关联的手机号码之前，该联合认证方法还包括：身份提供平台通过服务提供平台生成的第一识别码，建立身份提供平台与服务提供平台之间的可信关系。较佳的，身份提供平台通过服务提供平台生成的第一识别码，建立身份提供平台与服务提供平台之间的可信关系，包括：身份提供平台向服务提供平台发起可信关系建立请求；身份提供平台接收服务提供平台以短消息形式发送的第一识别码，其中，第一识别码是服务提供平台在接收到可信关系建立请求并确定身份提供平台合法的情况下随机生成的；身份提供平台采用预设处理方式对第一识别码进行处理，获取第二识别码，并将第二识别码以短消息形式返回至服务提供平台；身份提供平台接收服务提供平台返回的可信关系建立响应，其中，可信关系建立响应是服务提供平台基于身份提供平台返回的第二识别码，确定身份提供平台是否可信的情况下返回的；身份提供平台基于可信关系建立响应，确定可信关系是否建立成功。较佳的，身份提供平台基于第二验证码与第一验证码是否匹配成功，确定发起方是否认证通过，包括：身份提供平台若确定第二验证码与第一验证码匹配成功，则认定发起方认证通过；身份提供平台若确定第二验证码与第一验证码匹配失败，则认定发起方认证不通过。较佳的，若身份提供平台确定发起方认证通过，则该联合认证方法还包括：身份提供平台为发起方配置发起方在服务提供平台上的映射信息；身份提供平台将映射信息和表征发起方认证通过的认证结果返回至服务提供平台，以便服务提供平台基于认证结果确定发起方认证通过后，基于映射信息，为发起方生成访问令牌。一种联合认证方法，应用于包括身份提供平台、服务提供平台和终端的联合认证系统中，包括：服务提供平台接收发起方发起的资源访问请求；服务提供平台将资源访问请求重定向至身份提供平台，以便身份提供平台采用上述联合认证方法对资源访问请求的发起方进行认证。较佳的，该联合认证方法还包括：身份提供平台通过生成的第一识别码，建立身份提供平台与服务提供平台之间的可信关系。较佳的，身份提供平台通过生成的第一识别码，建立身份提供平台与服务提供平台之间的可信关系，包括：服务提供平台接收身份提供平台发起的可信关系建立请求；服务提供平台生成第一识别码，并将第一识别码以短消息形式发送至身份提供平台；服务提供平台采用预设处理方式对第一识别码进行处理，获取第三识别码；服务提供平台接收身份提供平台以短消息形式返回的第二识别码，其中，第二识别码是身份提供平台采用预设处理方式对第一识别码进行处理后获得的；服务提供平台基于第二识别码与第三识别码是否匹配成功，确定身份提供平台是否可信。较佳的，服务提供平台接收身份提供平台发起的可信关系建立请求之后，生成第一识别码之前，该联合认证方法还包括：服务提供平台查找身份提供平台的注册信息；服务提供平台若查找到身份提供平台的注册信息，则在确定注册信息合法时，认定身份提供平台合法。较佳的，该联合认证方法还包括：服务提供平台接收身份提供平台返回的发起方的认证结果和映射信息，若基于认证结果确定发起方认证通过，则基于映射信息，为发起方生成访问令牌。一种身份提供平台，包括：接收模块，用于接收到服务提供平台重定向的资源访问请求；获取模块，用于获取与资源访问请求的发起方相关联的手机号码；生成模块，用于生成第一验证码，并基于手机号码，将第一验证码以短消息形式发送至发起方的终端；认证模块，用于接收发起方基于终端中的第一验证码返回的第二验证码，并基于第二验证码与第一验证码是否匹配成功，确定发起方是否认证通过。较佳的，该身份提供平台还包括建立模块，其中，建立模块，用于在接收模块接收服务提供平台重定向的资源访问请求之后，在获取模块获取与资源访问请求的发起方相关联的手机号码之前，通过服务提供平台生成的第一识别码，建立身份提供平台与服务提供平台之间的可信关系。较佳的，在通过服务提供平台生成的第一识别码，建立身份提供平台与服务提供平台之间的可信关系时，建立模块具体用于：向服务提供平台发起可信关系建立请求；接收服务提供平台以短消息形式发送的第一识别码，其中，第一识别码是服务提供平台在接收到可信关系建立请求并确定身份提本文档来自技高网...

【技术保护点】
1.一种联合认证方法，应用于包括身份提供平台、服务提供平台和终端的联合认证系统中，其特征在于，包括：所述身份提供平台接收所述服务提供平台重定向的资源访问请求，并获取与所述资源访问请求的发起方相关联的手机号码；所述身份提供平台生成第一验证码，并基于所述手机号码，将所述第一验证码以短消息形式发送至所述发起方的终端；所述身份提供平台接收所述发起方基于所述终端中的第一验证码返回的第二验证码，并基于所述第二验证码与所述第一验证码是否匹配成功，确定所述发起方是否认证通过。

【技术特征摘要】
1.一种联合认证方法，应用于包括身份提供平台、服务提供平台和终端的联合认证系统中，其特征在于，包括：所述身份提供平台接收所述服务提供平台重定向的资源访问请求，并获取与所述资源访问请求的发起方相关联的手机号码；所述身份提供平台生成第一验证码，并基于所述手机号码，将所述第一验证码以短消息形式发送至所述发起方的终端；所述身份提供平台接收所述发起方基于所述终端中的第一验证码返回的第二验证码，并基于所述第二验证码与所述第一验证码是否匹配成功，确定所述发起方是否认证通过。2.如权利要求1所述的联合认证方法，其特征在于，所述身份提供平台接收所述服务提供平台重定向的资源访问请求之后，获取与所述资源访问请求的发起方相关联的手机号码之前，所述联合认证方法还包括：所述身份提供平台通过所述服务提供平台生成的第一识别码，建立所述身份提供平台与所述服务提供平台之间的可信关系。3.如权利要求2所述的联合认证方法，其特征在于，所述身份提供平台通过所述服务提供平台生成的第一识别码，建立所述身份提供平台与所述服务提供平台之间的可信关系，包括：所述身份提供平台向所述服务提供平台发起可信关系建立请求；所述身份提供平台接收所述服务提供平台以短消息形式发送的第一识别码，其中，所述第一识别码是所述服务提供平台在接收到所述可信关系建立请求并确定所述身份提供平台合法的情况下随机生成的；所述身份提供平台采用预设处理方式对所述第一识别码进行处理，获取第二识别码，并将所述第二识别码以短消息形式返回至所述服务提供平台；所述身份提供平台接收所述服务提供平台返回的可信关系建立响应，其中，所述可信关系建立响应是所述服务提供平台基于所述身份提供平台返回的所述第二识别码，确定所述身份提供平台是否可信的情况下返回的；所述身份提供平台基于所述可信关系建立响应，确定所述可信关系是否建立成功。4.如权利要求1所述的联合认证方法，其特征在于，所述身份提供平台基于所述第二验证码与所述第一验证码是否匹配成功，确定所述发起方是否认证通过，包括：所述身份提供平台若确定所述第二验证码与所述第一验证码匹配成功，则认定所述发起方认证通过；所述身份提供平台若确定所述第二验证码与所述第一验证码匹配失败，则认定所述发起方认证不通过。5.如权利要求1-4任一项所述的联合认证方法，其特征在于，若所述身份提供平台确定所述发起方认证通过，则所述联合认证方法还包括：所述身份提供平台为所述发起方配置所述发起方在所述服务提供平台上的映射信息；所述身份提供平台将所述映射信息和表征所述发起方认证通过的认证结果返回至所述服务提供平台，以便所述服务提供平台基于所述认证结果确定所述发起方认证通过后，基于所述映射信息，为所述发起方生成访问令牌。6.一种联合认证方法，应用于包括身份提供平台、服务提供平台和终端的联合认证系统中，其特征在于，包括：所述服务提供平台接收发起方发起的资源访问请求；所述服务提供平台将所述资源访问请求重定向至所述身份提供平台，以便所述身份提供平台采用如权利要求1-5任一项所述的联合认证方法对所述资源访问请求的发起方进行认证。7.如权利要求6所述的联合认证方法，其特征在于，所述联合认证方法还包括：所述身份提供平台通过生成的第一识别码，建立所述身份提供平台与所述服务提供平台之间的可信关系。8.如权利要求7所述的联合认证方法，其特征在于，所述身份提供平台通过生成的第一识别码，建立所述身份提供平台与所述服务提供平台之间的可信关系，包括：所述服务提供平台接收所述身份提供平台发起的可信关系建立请求；所述服务提供平台生成第一识别码，并将所述第一识别码以短消息形式发送至所述身份提供平台；所述服务提供平台采用预设处理方式对所述第一识别码进行处理，获取第三识别码；所述服务提供平台接收所述身份提供平台以短消息形式返回的第二识别码，其中，所述第二识别码是所述身份提供平台采用所述预设处理方式对所述第一识别码进行处理后获得的；所述服务提供平台基于所述第二识别码与所述第三识别码是否匹配成功，确定所述身份提供平台是否可信。9.如权利要求8所述的联合认证方法，其特征在于，所述服务提供平台接收所述身份提供平台发起的可信关系建立请求之后，生成第一识别码之前，所述联合认证方法还包括：所述服务提供平台查找所述身份提供平台的注册信息；所述服务提供平台若查找到所述身份提供平台的注册信息，则在确定所述注册信息合法时，认定所述身份提供平台合法。10.如权利要求6-9任一项所述的联合认证方法，其特征在于，所述联合认证方法还包括：所述服务提供平台接收所述身份提供平台返回的所述发起方的认证结果和映射信息，若基于所述认证结果确定所述发起方认证通过，则基于所述映射信息，为所述发起方生成访问令牌。11.一种身份提供平台，其特征在于，包括：接收模块...

【专利技术属性】
技术研发人员：杨巍巍，房耘耘，何磊，
申请(专利权)人：中移苏州软件技术有限公司，中国移动通信集团公司，
类型：发明
国别省市：江苏,32