用於雲伺服器的憑證授權的製作方法

2023-08-02 14:20:46

用於雲伺服器的憑證授權的製作方法
【專利摘要】本發明涉及從雲伺服器(2)授予客戶端設備(3，4)訪問的方法，包括步驟：授權第一客戶端設備(3)的用戶，從所述第一客戶端設備(3)接收授權憑證請求，生成用於訪問雲伺服器(2)的授權憑證，將所述授權憑證提供給第一客戶端設備(3)，從第二客戶端設備(4)接收所述授權憑證，基於所述授權憑證授予第二客戶端設備(4)訪問。本發明還涉及一種適於執行上述方法的雲伺服器。本發明還進一步涉及一種用於請求訪問雲伺服器(2)的方法，包括步驟：授權使用第一客戶端設備(3)的用戶訪問雲伺服器(2)，從第一客戶端設備(3)發送授權憑證請求給雲伺服器(2)，在第一客戶端設備(3)處接收用於訪問雲伺服器(2)的授權憑證，從第一客戶端設備(3)傳送所述授權憑證給第二客戶端設備(4)，從第二客戶端設備(4)傳送所述授權憑證給雲伺服器(2)，並且從第二客戶端設備(4)訪問雲伺服器(2)。
【專利說明】用於雲伺服器的憑證授權

【技術領域】
[0001]本發明涉及為訪問由雲伺服器所提供的服務的用戶授權領域。

【背景技術】
[0002]雲伺服器提供雲服務，其包括經由網絡連接可訪問的服務。因此，雲服務包括數據存儲、數據訪問、資料庫、包括視頻流在內的媒體服務以及其他服務。來自雲伺服器的服務被客戶端設備經由網絡連接所請求。
[0003]為了訪問雲伺服器，例如為了在視頻設備如電視上進行視頻的回放，經常需要用戶授權。用戶授權可以是基於個人用戶設備的設備授權，如行動電話，以使得在執行初始授權流程後，無需執行重複的授權便可進一步訪問雲伺服器。在一些已知的系統中，初始授權經由人機互動界面例如鍵盤執行。一些類型的客戶端設備包括簡單且不友好的人機互動界面，使得難以使用這些設備進行授權。另有一些類型的客戶端設備，特別是例如行動電話的移動客戶端設備，可能不適合訪問由雲伺服器所提供的服務，例如，由於這樣的客戶端設備的硬體或軟體限制。
[0004]一些這樣的雲服務可進一步要求在客戶端設備上使用用於授權、瀏覽和使用雲服務的專用軟體，或者可綁定至特定廠商，如蘋果的iTunes雲。因此，可能要求來自特定的客戶端設備或使用已知網絡如家庭網絡的客戶端設備。沒有現成的允許在異地使用雲服務的解決方案。例如，如果第三人沒有在雲伺服器註冊，沒有解決方案允許在其家中的該第三人的智能電視上觀看由雲服務提供的視頻。


【發明內容】

[0005]多種實施例提供的方法和裝置提供了在處於第三方位置並且不需使用額外軟體的情況下，用於提供從客戶端設備至雲伺服器的安全訪問的解決方案。
[0006]在第一實施例中，提供了用於從雲伺服器向客戶端設備授予訪問的方法，包括以下步驟:授權第一客戶端設備的用戶，從第一客戶端設備接收授權憑證請求，生成用於訪問雲伺服器的授權憑證，提供授權憑證給第一客戶端設備，從第二客戶端設備接收授權憑證，基於該授權憑證向第二客戶端設備授予訪問。
[0007]在第二實施例中，提供了用於向客戶端設備授予訪問的雲伺服器，其中所述雲伺服器適於執行上述方法。
[0008]在第三實施例中，提供了用於請求訪問雲伺服器的方法，包括以下步驟:向雲伺服器授權使用第一客戶端設備的用戶，從第一客戶端設備向雲伺服器發送授權憑證請求，在第一客戶端設備接收用於訪問雲伺服器的授權憑證，從第一客戶端設備發送授權憑證至第二客戶端設備，從第二客戶端設備發送授權憑證至雲伺服器，以及從第二客戶端設備訪問雲伺服器。
[0009]在該方法中，第一客戶端設備為第二客戶端設備提供了基於授權憑證的授權。授權無需第二客戶端設備的使用，方便了對第二客戶端設備的授權。因此，即使第二客戶端設備具有難以用來執行授權的人機互動界面，使用授權憑證，第二客戶端設備可被輕鬆地使用，並且授權可被輕鬆地執行。因此，雲伺服器基於第一客戶端設備的授權生成授權憑證，以使得能夠從第二客戶端設備訪問雲伺服器。僅僅需要在雲伺服器上校驗該授權憑證。
[0010]第二客戶端設備的人機互動界面可能是簡單且不友好的，這使得難以進行授權，並且第一客戶端設備，特別是如行動電話這樣的移動客戶端設備，可能不適於訪問由雲伺服器所提供的服務，二者可以結合使用以提供增強的用戶體驗。通過使用第二客戶端設備可以克服第一客戶端所受的限制。這樣的限制與硬體或軟體相關，如計算機電源、支持的視頻能力、聲音能力、包括鍵盤在內的輸入裝置、或與某些軟體類型的兼容性。
[0011]第一客戶端設備的用戶的授權可基於使用用戶ID和密碼的機制，如本領域公知的技術。進一步優選地，第一客戶端設備的授權使用加密或鑑權來執行。再進一步優選地，基於通過SSL的保護執行授權。第一客戶端設備的授權基本上可以在任何時間執行，即在任意上述步驟之前。該授權可以是永久授權，其在第一客戶端設備上執行一次，並可以為多個對授權憑證的請求保持有效。
[0012]客戶端設備可以是適於訪問雲服務的任何類型的數據處理設備，包括任何類型的計算機、筆記本電腦、平板電腦、行動電話、包括電視機等的視頻回放設備。客戶端設備包括特別地為移動使用設計的設備，並且其通常被用戶隨身攜帶。所述第一客戶端設備優選地為行動裝置，如行動電話或其他。所述第二客戶端設備可以是任意類型的設備，固定或者移動。雲伺服器與客戶端設備之間的連接可以是使用至網絡的有線或無線通路的任意網絡連接。優選地，所述網絡連接為網際網路連接。任何適當的連接都可用於將授權憑證從第一客戶端設備傳送到第二客戶端設備。優選地，使用第一和第二客戶端設備之間的安全連接來傳送授權憑證。
[0013]根據優選地實施例，授予至第二客戶端的訪問的步驟所基於的憑證授權包括授予在訪問類型、訪問數量、數據量、或訪問時間方面受限的有限訪問。所述有限訪問提高了安全性，因為授權憑證只能在指定的受限範圍內使用。一些限制基本上是永久的，例如訪問類型，其可以是寫或讀訪問。其他的限制是動態的，因此授權憑證可以終止，例如在到達給定的訪問雲伺服器的數量、雲伺服器與第二客戶端設備之間給定的數據傳送量、或用於訪問雲伺服器的時間之後。更優地，多種限制條件可被組合。
[0014]根據優選地的實施例，發送授權憑證請求的步驟包括發送對在訪問類型、訪問數量、數據量、或訪問時間受限的有限訪問的請求。用戶在授權憑證上具有完全的控制權，以使他能夠使在任意地點的任意類型的第二客戶端設備安全地訪問雲伺服器。特別是，如果用戶希望能夠使用第二客戶端設備來訪問雲伺服器，他可以對應於第二客戶端設備的預期用途來事先指定任意的限制條件，以使授權憑證自動地限制對雲伺服器的訪問。
[0015]根據優選的實施例，基於授權憑證授予至第二客戶端設備訪問的步驟包括向雲伺服器授予預定義的訪問時間段。這增強了安全性，因為在這段時間之後授權憑證就會失效，以使得即使授權憑證被盜，第三方也不能持續的訪問雲伺服器。在該時間段期滿以後，授權憑證自動終止，並且不能再被使用。
[0016]根據優選的實施例，發送授權憑證請求的步驟包括，發送用於被請求的授權憑證的有效性的時間段。用戶在授權憑證上擁有完全的控制權，以使得他能夠使得在任何地點中的任意類型的第二客戶端設備安全地訪問雲伺服器。特別是，如果用戶希望使用第二客戶端設備在指定時間訪問雲伺服器，他可以對應於第二客戶端設備的預期用途事先指定具體時間，以使得在用戶停止使用第二客戶端設備時，授權憑證自動過期。
[0017]根據優選的實施例，所述方法包括在生成授權憑證步驟之後，加密該授權憑證的附加步驟，而且所述方法包括在從第二客戶端設備接收到授權憑證後，解密該授權憑證的附加步驟。加密的使用減少了偽造授權憑證的風險。此外，授權憑證中所包括的信息不能被第三方所訪問。
[0018]根據優選的實施例，接收授權憑證請求的步驟包括接收被請求服務的標識，生成用於訪問雲伺服器的授權憑證的步驟包括增加被請求服務的標識，並且基於授權憑證授予第二客戶端設備訪問的步驟包括授予在授權憑證中指定的被請求服務的訪問。因此，發送授權憑證請求的步驟包括發送雲伺服器被請求服務的標識，並且從第二客戶端設備訪問雲伺服器步驟包括根據授權憑證請求中所標識的雲伺服器的被請求服務的標識，訪問被請求服務。對雲伺服器提供的進一步服務的訪問受限，以使得用戶可以請求授權憑證而無需關心由雲伺服器提供的其他服務，所述其他服務可能包含用戶的個人信息。即使授權憑證被第三方接收，該方也不能訪問第一客戶端設備的用戶沒有明確授權的服務。
[0019]根據優選的實施例，雲伺服器包括媒體伺服器、文件伺服器、或會議伺服器。更優地，媒體伺服器為視頻流伺服器。
[0020]根據優選的實施例，授權使用第一客戶端設備的用戶訪問雲伺服器的步驟包括將分配給第一客戶端設備的用戶標識信息提供給雲伺服器。可藉助用戶標識信息幫助用戶授權，所述用戶標識信息被存儲在第一客戶端設備上。當第一客戶端設備從雲伺服器請求憑證時，無需來自第一客戶端設備的用戶的進一步交互，用戶標識信息可自動地從第一客戶端設備傳送到雲伺服器。在網際網路瀏覽器中，該特性使用所謂的cookie來實現。
[0021]根據優選的實施例，將授權憑證從第一客戶端設備傳送至第二客戶端設備的步驟包括使用兩個客戶端設備之間的點對點連接傳送授權憑證。所述點對點連接可以是適於將所述授權憑證僅傳送給第二客戶端設備的任何類型的連接。所述點對點連接可以是這兩個客戶端設備之間直接地無線或有線連接。所述點對點連接還可以是經由任何類型的網絡服務的邏輯上的點對點連接。優選地，所述點對點連接為短距離通信連接。進一步優選地，所述點對點連接使用加密或認證。
[0022]根據優選的實施例，將授權憑證從第一客戶端設備傳送到第二客戶端設備的步驟使用兩個客戶端設備之間的根據近場通信標準的連接傳送授權憑證。近場通信(NFC)易於使用，並因此適於將授權憑證從任意類型的第一客戶端設備傳送至支持NFC的任意類型的第二客戶端設備。由於通信範圍受限，安全性得到提高。

【專利附圖】

【附圖說明】
[0023]參照附圖僅以例示的方式描述了與本發明對應的一些裝置的實施例，，其中:
[0024]圖1是彼此相互連接的雲伺服器、第一客戶端設備及第二客戶端設備的示意圖，
[0025]圖2是展示了雲伺服器、第一客戶端設備和第二客戶端設備之間的方法步驟的圖，
[0026]圖3示意性地示出了雲伺服器的實施例，在其中執行所述方法的實現，
[0027]圖4示意性地示出了第一和第二客戶端設備的實施例，在其中執行了所述方法的實現。

【具體實施方式】
[0028]以上敘述和描繪僅僅示出了本發明的原理部分。因此需要指出本領域技術人員能夠遵循本發明的原理設計出多種本文中沒有明確描述或展示的實施例，但其仍然包括在本發明的精神和範圍之中。此外，所有在此列舉的例子主要為了教導和幫助讀者理解本發明的原理以及發明人提出的概念以推動本領域技術的發展，並且所舉示例還應被理解為不限於本文這些特別列舉的例子和條件。另外，本文中所使用的術語「或」，除非另有說明(例如，「否則」或「或在替代方案中」)，不具有排他性。此外，文中描述的各種實施例並不互斥，某些實施例可以與一個或多個其他實施例結合，形成新的實施例。
[0029]圖1展示了的通信系統I包括雲伺服器2和兩個客戶端設備3、4。該實施例中的雲伺服器2為視頻流伺服器。需要授權以便訪問雲伺服器2。通信系統I可包含圖1中沒有體現出的額外的雲伺服器2或客戶端設備3、4。
[0030]客戶端設備3、4包括第一客戶端設備3，在該實施例中其為行動電話，特別是智慧型手機；以及第二客戶端設備4，在該實施例中其為支持HbbTV的智能電視。
[0031]客戶端設備3、4經由網絡連接5、6連接至雲伺服器I。第一客戶端設備3與雲伺服器2之間的網絡連接5包括行動網路連接，如使用UMTS或LTE連接。第二客戶端設備4與雲伺服器2之間的網絡連接6包括乙太網連接。
[0032]客戶端設備3、4均裝備有用於建立點對點連接7的通信設備，圖中未展示細節。在該實施例中的點對點連接7是在該實施例中根據近場通信(NFC)標準建立的連接。
[0033]參考圖2示出了一種用於請求訪問雲伺服器2並且從雲伺服器2授予第二客戶端設備4訪問的方法。
[0034]首先，在步驟100執行向雲伺服器2的第一客戶端設備3的用戶的授權。分配給第一客戶端設備3的用戶標識信息被提供給雲伺服器2。用戶標識基於用戶ID和密碼的預授權，其經由SSL連接被傳送到雲伺服器2。
[0035]在步驟110，從第一客戶端設備3經由行動網路連接5發送授權憑證請求，並且其被雲伺服器2所接收。在該實施例中，所述授權憑證請求包括對雲伺服器2的被請求服務的標識、用於所述被請求的授權憑證有效性的時間段、以及訪問限制，所述限制限制了在一天的訪問時間內只能有三次訪問。
[0036]在步驟120中，雲伺服器2處理所述授權憑證請求，並且按照指定生成所被請求的授權憑證。因此，所述已生成的用於訪問雲伺服器2的授權憑證包括在步驟110中所請求的被請求服務的標識。
[0037]在步驟130中，雲伺服器在將授權憑證提供給第一客戶端設備3之前，將其加密，第一客戶端設備3在步驟140中經由行動網路連接5接收所述授權憑證。
[0038]在步驟150中，第一客戶端設備3經由NFC連接7將授權憑證發送給第二客戶端設備4。
[0039]在步驟160中，第二客戶端設備4開始訪問雲伺服器2。由於需要授權，所述智能電視4經由乙太網連接6將授權憑證傳送給雲伺服器2，以使雲伺服器接收所述授權憑證。
[0040]在步驟170中，雲伺服器2將從智能電視4接收到的授權憑證解密。
[0041]在步驟180中，第二客戶端設備4訪問雲伺服器2。特別是，第二客戶端設備4根據在所述授權憑證請求中被標識出的雲伺服器2的被請求服務的標識訪問所述被請求服務。雲伺服器2基於所述授權憑證，授予所述被請求的訪問，即雲伺服器2授予授權憑證中指定的服務的訪問。此外，雲伺服器2授予如授權憑證請求中指定的有限訪問，即，在一天的訪問時間內，限制訪問數量為三次訪問。
[0042]由於步驟110中的授權憑證請求中預定義的時間段已期滿，在步驟190中，從第二客戶端設備4至雲伺服器2的訪問被中止。所述時間段期滿的計算基於在步驟110中從第一客戶端設備3至雲伺服器2授權憑證請求的接收。
[0043]圖3示意性地示出了雲伺服器2的實施例。該雲伺服器2包括處理器10、數據存儲裝置11、以及網絡接口 12。該網絡接口 12適於與網絡連接5、6相連接。
[0044]處理器10控制雲伺服器2的操作。所述處理器10與數據存儲裝置11協作。數據存儲裝置11可存儲程序數據，如網絡拓撲或適當的類似物。數據存儲裝置11還存儲可被處理器10執行的程序13。所述處理器可執行程序13可包括雲伺服器程序14和網絡接口程序15。所述處理器10與處理器可執行程序13協作。
[0045]網絡接口 12與處理器10以及網絡接口程序15協作以支持在任意適當的通信信道上的通信。
[0046]雲伺服器程序14執行如在雲伺服器2上執行的上述方法的步驟。
[0047]在一些實施例中，處理器10可包括如處理器/CPU核心這樣的資源，網絡接口 12可包括任意適當類型的網絡接口，或者數據存儲裝置11可包括存儲器或存儲設備。而且，雲伺服器2可為任意適當的物理硬體配置。
[0048]在一些實施例中，雲伺服器2可為虛擬機。在一些這樣的實施例中，虛擬機可包括來自不同機器或在地理位置上分散的組件。例如，數據存儲裝置11和處理器10可位於不同的物理機器之中。
[0049]在一些實施例中，雲伺服器2可為被編程以執行在雲伺服器2上執行的上述方法的部分的通用計算機。
[0050]當在處理器10上實現了處理器可執行程序13時，程序代碼段與處理器10結合以提供操作類似於特定邏輯電路的獨特裝置。
[0051]圖4示意性地示出了客戶端設備3、4的實施例。由於第一客戶端3和第二客戶端4的實現是相同的，將這些設備一起描述。客戶端設備3、4可以僅通過用途來分辨。客戶端設備既可以被用做第一客戶端設備3，也可以被用做第二客戶端設備4。
[0052]客戶端設備3、4包括處理器20、數據存儲裝置21、點對點接口 22、以及網絡接口23。點對點接口 22適於與點對點連接7相連接。網絡接口 23適於與網絡連接5、6相連接。
[0053]處理器20控制客戶端3、4的操作。處理器20與數據存儲裝置21協作。數據存儲裝置21可存儲程序數據，如網絡拓撲及適當的類似物。數據存儲裝置21還存儲處理器20可執行的程序24。所述處理器可執行程序24可包括第一客戶端程序25、第二客戶端程序26、點對點接口程序27、以及網絡接口程序28。所述處理器20與處理器可執行程序24協作。
[0054]點對點接口 22與處理器20以及點對點接口程序27協作以支持在任意適當的點對點通信信道上的通信。
[0055]網絡接口 23與處理器20以及網絡接口程序28協作以支持在任意適當的通信信道上的通信。
[0056]第一和第二客戶端程序25、26各自執行如在第一和第二客戶端設備3、4上執行的上述方法的步驟。
[0057]在一些實施例中，處理器20可包括資源例如處理器20/CPU核心，點對點接口 23可包括任意適當類型的接口，網絡接口 23可包括任意適當類型的網絡接口，或數據存儲裝置21可以包括存儲器或存儲設備。此外，客戶端設備3、4可為任意適當的物理硬體配置。
[0058]在一些實施例中，客戶端設備3、4可為被編程以執行分別在客戶端設備3、4上執行的上述方法的部分的通用計算機。
[0059]當在處理器20上實現了處理器可執行程序24時，程序代碼段與處理器20結合以提供操作類似於特定邏輯電路的獨特裝置。
【權利要求】
1.一種從雲伺服器(2)向客戶端設備(3，4)授予訪問的方法，包括下述步驟: 授權第一客戶端設備(3)的用戶； 從第一客戶端設備(3)接收授權憑證請求； 生成用於訪問雲伺服器(2)的授權憑證； 提供所述授權憑證給第一客戶端設備(3)； 從第二客戶端設備(4)接收所述授權憑證； 基於所述授權憑證，向第二客戶端設備(4)授予訪問。
2.如權利要求1所述的方法，其特徵在於: 基於所述授權憑證向第二客戶端設備(4)授予訪問的步驟包括授予在訪問類型、訪問數量、數據量、或訪問時間方面受限的有限訪問。
3.如權利要求1所述的方法，其特徵在於: 基於所述授權憑證向第二客戶端設備(4)授予訪問的步驟包括授予在預定義的時間段內訪問雲伺服器(2)。
4.如權利要求1所述的方法，其特徵在於: 所述方法包括在生成授權憑證的步驟之後的加密所述授權憑證的附加步驟， 所述方法包括在從第二客戶端設備(4)接收後，對所述授權憑證進行解密的附加步驟。
5.如權利要求1所述的方法，其特徵在於: 接收授權憑證請求的步驟包括接收雲伺服器(2)的被請求服務的標識， 生成用於訪問雲伺服器(2)的授權憑證的步驟包括添加所述被請求服務的標識， 基於授權憑證向第二客戶端設備(4)授予訪問的步驟包括授予訪問在所述授權憑證中指定的被請求服務。
6.一種用於向客戶端設備(2，3)授予訪問的雲伺服器(2)，其特徵在於: 雲伺服器(2)適於執行權利要求1至5中任一項所述的方法。
7.如權利要求6所述的雲伺服器(2)，其特徵在於: 所述雲伺服器(2)包括媒體伺服器、文件伺服器、或會議伺服器。
8.—種請求訪問雲伺服器的方法，包括下述步驟: 向雲伺服器(2)授權使用第一客戶端設備(3)的用戶； 從第一客戶端設備(3)發送授權憑證請求至雲伺服器(2); 在第一客戶端設備(3)處接收用於訪問雲伺服器(2)的授權憑證； 從第一客戶端設備(3)傳送所述授權憑證給第二客戶端設備(4)； 從第二客戶端設備(4)傳送所述授權憑證給雲伺服器(3);以及 從第二客戶端設備(4)訪問雲伺服器(2)。
9.如權利要求8所述的方法，其特徵在於: 向雲伺服器(2)授權使用第一客戶端設備(3)的用戶的步驟包括:將分配給第一客戶端設備(3)的用戶標識信息提供給雲伺服器(2)。
10.如權利要求8所述的方法，其特徵在於: 從第一客戶端設備(3)傳送所述授權憑證給第二客戶端設備(4)的步驟包括:使用兩個客戶端設備之間的點對點連接傳送所述授權憑證。
11.如權利要求10所述的方法，其特徵在於: 從第一客戶端設備(3)傳送所述授權憑證給第二客戶端設備(4)的步驟包括:根據近場通信標準，使用兩個客戶端設備(3，4)之間的連接傳送所述授權憑證。
12.如權利要求8所述的方法，其特徵在於: 發送授權憑證請求的步驟包括發送雲伺服器(2)被請求服務的標識，並且從第二客戶端設備(4)訪問雲伺服器(2)的步驟包括:根據在授權憑證請求中標識的雲伺服器(2)的被請求服務的標識，訪問所述被請求服務。
13.如權利要求8所述的方法，其特徵在於: 發送授權憑證請求的步驟包括發送用於被請求的授權憑證的有效性的時間段。
14.如權利要求8所述的方法，其特徵在於: 發送授權憑證請求的步驟包括:發送對在訪問類型、訪問數量、數據量、或訪問時間方面受限的有限訪問的請求。
【文檔編號】H04W4/00GK104412561SQ201380035606
【公開日】2015年3月11日 申請日期:2013年6月24日 優先權日:2012年7月5日
【發明者】C·費爾斯特, T·施特勞斯 申請人:阿爾卡特朗訊公司