[发明专利]第三方应用的集中式安全管理方法和系统及相应通信系统

权利要求书

1.一种用于对于要访问存储于资源服务器中的用户的受保护资源的第三方应用进行集中式安全管理的方法，其特征在于，由用于集中管理所述第三方应用的集中式安全管理系统负责检测所述第三方应用是否包含恶意代码或病毒并且对所述第三方应用进行数字签名，并且发放用于使得所述集中式安全管理系统能够认证该第三方应用的认证凭证，该方法包括下列步骤：

-所述集中式安全管理系统从所述第三方应用接收以可区分的方式至所述集中式安全管理系统的所述第三方应用的身份标识、认证凭证和访问授权许可，所述可区分的方式允许授权服务器区分所述身份标识、认证凭证和访问授权许可是从所述集中式安全管理系统接收的还是直接从所述第三方应用接收的；

-在接收所述身份标识、认证凭证和所述访问授权许可之后，所述集中式安全管理系统使用所述身份标识和认证凭证认证所述第三方应用；

-在成功认证所述第三方应用之后，所述集中式安全管理系统将所述身份标识和访问授权许可转发给所述授权服务器；以及

-所述集中式安全管理系统将由所述授权服务器向所述第三方应用发放用于访问所述用户的受保护资源的访问令牌转发给所述第三方应用。

2.根据权利要求1所述的方法，其中，

-所述访问授权许可和所述访问令牌符合由IETF定义的授权协议OAuth2.0；和/或

-所述认证凭证是数字证书、密钥或口令中的一个。

3.根据权利要求2所述的方法，其中：

-所述用户在授权所述第三方应用访问之前必须由所述授权服务器认证，以使得所述第三方应用获得访问授权许可从而凭借该访问授权许可获得访问令牌；和/或

-所述第三方应用是在所述授权服务器向所述第三方应用发送访问授权许可之后向所述集中式安全管理系统发送该第三方应用的身份标识、认证凭证和所述访问授权许可的。

4.根据权利要求1至3中任意一项所述的方法，还包括：

-当所述第三方应用请求访问所述资源服务器中的所述用户的受保护资源时，如果所述第三方应用不具有有效的访问令牌，则所述资源服务器将该第三方应用的访问请求重定向至用户代理；和/或

-在所述授权服务器经由所述集中式安全管理系统向所述第三方应用发放所述访问令牌之后，所述第三方应用将所述访问令牌提交给所述资源服务器以访问所述用户的受保护资源。

5.根据权利要求3所述的方法，其中：

-所述授权服务器对所述用户的认证是由用户代理直接向该授权服务器进行认证来实现的；以及

-所述访问授权许可是由所述授权服务器经由所述用户代理向所述第三方应用发送的。

6.根据权利要求3所述的方法，其中：

-所述授权服务器对所述用户的认证是由用户代理经由所述集中式安全管理系统重定向到该授权服务器进行认证来实现的；以及

-以下中的至少一个：所述访问授权许可是由所述授权服务器经由所述集中式安全管理系统和所述用户代理向所述第三方应用发送的，或所述访问授权许可是由所述授权服务器经由所述用户代理向所述第三方应用发送的。

7.根据权利要求1至3中任意一项所述的方法，其中，所述可区分的方式包括以下中的至少一个：所述第三方应用将所述身份标识、所述认证凭证和所述访问授权许可分别打包，或者所述第三方应用分别标记所述身份标识、所述认证凭证和所述访问授权许可。

8.一种用于对于访问存储于资源服务器中的用户的受保护资源的第三方应用进行集中式安全管理的系统，其特征在于，所述系统负责检测所述第三方应用是否包含恶意代码或病毒并且对所述第三方应用进行数字签名，并且发放用于使得该系统能够认证该第三方应用的认证凭证，所述系统包括：

-第一接收装置，用于接收由所述第三方应用以可区分的方式发送的该第三方应用的身份标识、认证凭证和访问授权许可，所述可区分的方式允许授权服务器区分所述身份标识、认证凭证和访问授权许可是从所述集中式安全管理系统接收的还是直接从所述第三方应用接收的；

-第一认证装置，用于在接收所述身份标识、认证凭证和所述访问授权许可之后使用所述身份标识和认证凭证认证所述第三方应用；

-第一转发装置，用于在成功认证所述第三方应用之后将来自所述第三方应用的身份标识和所述访问授权许可转发给所述授权服务器；和

-第二转发装置，用于将由所述授权服务器所发放的访问令牌转发给所述第三方应用。