[发明专利]一种联合认证方法、系统、相关平台及介质

说明书

本发明公开了一种联合认证方法、系统、相关平台及介质，具体为：在身份提供平台和服务提供平台对发起方进行联合认证时，将手机号码作为发起方的身份标识，将以短信形式传递的验证码作为认证基础，对发起方进行身份认证，流程简单，复杂度低，而且，由于大多数身份提供平台和服务提供平台均支持短信协议，所以，该方法适用于大多数的身份提供平台和服务提供平台，通用性较强，此外，由于手机号码具备唯一性，且以短消息形式传递的验证码不易被非法终端获取，所以，该方法不仅保证了认证结果的准确性，也尽可能地避免了由于用户信息被非法盗取，导致安全性较低的问题。

技术领域

本发明涉及身份认证技术领域，尤其涉及一种联合认证方法、系统、相关平台及介质。

背景技术

Openstack是当前比较活跃的云平台，Openstack主要提供了计算服务(即Nova)、对象存储服务(即Swift)、镜像服务(即Glance)、身份认证服务(即Keystone)、网络和地址管理服务(即Neutron)、UI界面服务(即Horizon)、测量服务(即Ceilometer)、部署编排服务(即Heat)和数据库服务(即Trove)等，其中，Keystone作为一个基础核心服务，承担着Openstack中其它服务的认证工作，这必将给Keystone带来很大的负担，因此，为了减少Keystone的负担，基于Keystone服务和第三方服务的联合认证方式应运而生。

现有技术中，基于Keystone服务和第三方服务的联合认证方式主要是以Keystone服务为服务提供方(Service Provider，SP)，以第三方服务为身份提供方(IdentityProvider，IDP)，在SP和IDP联合对向Openstack发起资源访问请求的发起方进行认证的过程中，SP和IDP需要通过约定的协议(Protocol)建立可信关系，并以约定的协议为基础，联合对发起方进行身份认证。

目前，SP和IDP之间可约定的协议主要有安全声明标记语言(Security AssertionMarkup Language2.0，SAML2.0)协议，OpenIDConnect(即OIDC)协议，轻量目录访问协议(Lightweight Directory Access Protocol，LDAP)和网络认证(Kerberos)协议，可见，SP和IDP需要同时支持上述至少一种协议才能联合对发起方进行联合认证，这必然会给这种联合认证方式带来局限性，从而导致这种联合认证方式的通用性较差。而且，在联合认证的过程中，一般需要将发起方的用户名和密码等用户信息作为发起方的身份标识，通过约定的协议进行封装并在SP和IDP之间传递，若在传递过程中用户信息被非法盗取，不仅会给用户带来安全隐患，还会使整个Openstack平台陷入安全危机。此外，以上述协议为基础的联合认证方法的流程也比较复杂，认证效率比较低。

发明内容

本发明实施例提供了一种云平台的联合认证方法、系统、相关平台及介质，用以解决现有技术中的联合认证方法存在认证流程复杂、通用性较差、安全性较低的问题。

本发明实施例提供的具体技术方案如下：

一种联合认证方法，应用于包括身份提供平台、服务提供平台和终端的联合认证系统中，包括：

身份提供平台接收服务提供平台重定向的资源访问请求，并获取与资源访问请求的发起方相关联的手机号码；

身份提供平台生成第一验证码，并基于手机号码，将第一验证码以短消息形式发送至发起方的终端；

身份提供平台接收发起方基于终端中的第一验证码返回的第二验证码，并基于第二验证码与第一验证码是否匹配成功，确定发起方是否认证通过。

较佳的，身份提供平台接收服务提供平台重定向的资源访问请求之后，获取与资源访问请求的发起方相关联的手机号码之前，该联合认证方法还包括：