[发明专利]第三方应用的集中式安全管理方法和系统及相应通信系统

说明书

技术领域

本发明涉及通信领域，具体地，涉及对于要访问用户的受保护资源的第三方应用/客户端进行集中式安全管理的技术。

背景技术

目前，互联网服务之间的整合已经成为必然趋势。许多服务提供商为了给自己的用户提供更好的服务，允许第三方应用/客户端通过调用“开放网络API(Application Programming Interface)”为用户提供更多应用。开放平台的核心问题在于用户认证、授权以及第三方应用/客户端安全地使用开放的网络API接口。对于用户来说，一般不会希望第三方直接使用自己的用户名和密码来访问用户受保护的网络资源，除非双方具有很强的信任关系。OAuth(Open Authorization)协议正是为了解决服务整合时的“认证和授权”这一根本问题而生的。

由IETF(互联网工程任务组)开发的OAuth协议是目前国际通用的授权方式，其为第三方应用/客户端提供了一种代表资源拥有者访问受保护资源的方法。在第三方应用/客户端访问受保护资源之前，它必须先从资源拥有者获取授权，即访问授权许可(访问授权许可代表资源拥有者提供的授权，其类型取决于第三方应用/客户端使用的获取方式和授权服务器所支持的方式)，然后用访问许可交换访问令牌(代表访问授权许可的作用域、持续时间和其它属性)。第三方应用/客户端通过向资源服务器出示访问令牌来访问受保护资源。

OAuth协议的最新版本OAuth 2.0以简化实现为原则，并对更多的接入形式予以支持，如同时支持“Web应用、桌面应用、移动终端、家庭设备”等等。OAuth 2.0允许用户授权第三方网站或应用/客户端访问用户的受保护资源，而无须揭露其长期认证凭证或身份信息。这样，用户敏感信息的私密性得到保护。

为此，服务提供商需要管理用户的资源并且构建IETF OAuth 2.0中定义的授权服务器，该授权服务器负责：

-管理用户；

-管理第三方应用/客户端；

-发放访问授权许可(参见IETF OAuth 2.0中的定义)，第三方应用/客户端利用该访问授权许可来申请访问令牌；

-授权服务器与用户之间相互认证；

-授权服务器与第三方应用/客户端之间相互认证；

-验证访问授权许可；

-发放访问令牌，第三方应用/客户端利用该访问令牌访问用户的受保护资源。

图1示意性地示出了根据IETF OAuth 2.0的系统和工作流。

图1所示的工作流如下：

1.第三方应用/客户端计划访问存储于资源服务器中的用户的受保护资源；

2.资源服务器发现该第三方应用/客户端不具有有效的访问令牌，并且重定向该第三方应用/客户端到用户代理以获得用户的授权；

3.在用户授权第三方应用/客户端之前，用户必须经由授权服务器的认证，同时有可能用户还需要认证授权服务器；

4.授权服务器经由用户代理发送访问授权许可给第三方应用/客户端；

5.第三方应用/客户端提交身份标识、访问授权许可和它自己的认证凭证给授权服务器以申请访问令牌；

6.在授权服务器与第三方应用/客户端相互认证并且验证了授权访问许可之后，授权服务器发放访问令牌给第三方应用/客户端；

7.第三方应用/客户端提交访问令牌给资源服务器以访问用户资源；

8.如果访问令牌有效，则资源服务器对第三方应用/客户端响应以数据。

然而，IETF OAuth 2.0仅对于大型服务提供商是非常有利的，因为他们能够自己承担对第三方网站或应用/客户端的管理，例如身份标识、认证、认证凭证管理等。其对于中小型服务提供商而言却并不容易，因为他们必须付出高昂的成本来管理第三方应用/客户端。此外，如果大型服务提供商已经在内部部署了分离的资源服务器，则他们必须开发和部署重叠的组件来管理第三方网站和应用/客户端。

此外，由于存在许多第三方应用/客户端，其中一些可能是由个人开发和提供的，因此，攻击者有可能开发恶意的网络API来滥用网络API进行非法访问用户的资源。因此，在许可第三方应用/客户端访问用户的受保护资源之前，确保所有第三方应用/客户端都安全可信并非易事。

发明内容