[发明专利]基于云计算的统一认证管理开放系统

说明书

技术领域

本发明属于登录身份鉴权认证领域，具体涉及一种基于云计算的统一身份认证鉴权的管理开放系统。

背景技术

随着互联网技术的不断成熟，各种门户应用、社交APP等层出不穷，而这些应用和网站绝大部分都需要用户注册，注册成功后方能进行后续操作。如果用户在所有门户和应用使用同一个账号登录，会出现一个应用密码泄露的时候，所有应用账号都存在安全风险的情况。如果不同应用设置不同账号，则太多的账号容易造成遗忘和混淆。

目前业界较为流行的做法是，使用第三方账号登录体系（例如微博、QQ、人人等平台）来授权获取用户信息，从而省去了注册新账号的麻烦。对用户而言，第三方账号登录带来最大的好处就是方便。一方面可以省去一个注册流程，另一方面也不用费心去记各种账号密码，可以用微博等账号一号走遍天下。另外通过微博、QQ等平台可以更容易地对好友进行分享并与好友实现互动。

使用第三方平台账号登录，目前业界通用的做法使用Oauth协议认证，以新浪微博使用较为成熟的Oauth1.0协议认证过程为例进行说明。

如图1所示，为了使用微博开放平台提供的API(应用程序接口)，你需要先注册一个应用。系统给每一个应用一个专属的AppKey和AppSecret。Key跟Secret的使用方式跟其他一些协议中的公钥私钥的方案相类似，你可以使用你所熟悉的编程语言将key和secret结合，为你发出的每个请求添加签名，以此来向微博开放平台表明自己身份的合法性。通过调用开放平台提供的API即可使用第三方平台的用户数据达到登录鉴权的效果。

现有的第三方开放平台都是各自独立开发、部署，各平台虽说都以Oauht协议来定义API，但在使用上存在较大差别。

现有第三方认证平台实现存在如下缺陷：

1.第三方平台对OAuth标准的理解不同，实现上也有所不同，对于应用的接入方来说需要对接不同的平台，实现不同的版本，成本较高。

2.虽然现在第三方账号登录普遍使用OAuth技术，可以让你无需将微博等第三方平台的用户名和密码提供给应用，在一定程度上保证了用户名与密码的安全。但通过授权该应用却可以访问用户的很多资源，比如评论、好友、生日等信息，而且许多在授权时都是默认选项，用户非常容易因此就泄露了自己的信息。

3.现有平台对于用户身份校验的形式较为单一，普遍采用用户名加静态密码的形式，安全性不高。

4.最大的问题在于目前第三方平台数量较多，没有一个统一第三方认证平台。

发明内容

为了解决现有技术在实现身份认证能力上的单一性、局限性，第三方认证平台标准规范不一致性，本发明目的是：提供一种基于云计算的统一认证管理开放系统和方法，实现了身份认证能力的统一管理和输出；同时，对于接入使用身份认证能力的用户而言，只需要申请接入身份认证能力开放平台，无需再与第三方平台对接，降低了身份认证能力的使用门槛，大大降低了用户的使用成本和开发周期。

本发明的技术方案是：

一种基于云计算的统一认证管理开放系统，其特征在于，所述系统部署于云平台，包括集中帐号管理模块、集中认证管理模块、集中权限管理模块、集中审计管理模块；

所述集中账号管理模块，用于对账号进行统一集中管理，包括被管理资源帐号的创建、删除及同步、帐号管理生命周期；

所述集中认证管理模块，用于提供不同强度的认证方式，包括静态口令认证方式、双因子认证方式以及生物特征认证方式；

所述集中权限管理模块，用于对用户的资源访问权限进行集中控制，对于安全级别较低的应用，仅返回认证成功失败信息；对于安全级别较高的应用，返回较为详尽的用户信息；

所述集中审计管理模块，用于对用户信息访问的操作日志集中记录管理和分析。

优选的，所述集中账号管理模块还用于进行帐号密码策略，密码强度、生存周期的设定。

优选的，所述系统进行API封装对外发布，按照接入应用的安全级别进行分级管理。

本发明还公开了一种基于上述的基于云计算的统一认证管理开放系统的用户申请使用能力API的方法，包括如下步骤：