用于云服务器的凭证授权的制作方法
【专利摘要】本发明涉及从云服务器(2)授予客户端设备(3,4)访问的方法,包括步骤:授权第一客户端设备(3)的用户,从所述第一客户端设备(3)接收授权凭证请求,生成用于访问云服务器(2)的授权凭证,将所述授权凭证提供给第一客户端设备(3),从第二客户端设备(4)接收所述授权凭证,基于所述授权凭证授予第二客户端设备(4)访问。本发明还涉及一种适于执行上述方法的云服务器。本发明还进一步涉及一种用于请求访问云服务器(2)的方法,包括步骤:授权使用第一客户端设备(3)的用户访问云服务器(2),从第一客户端设备(3)发送授权凭证请求给云服务器(2),在第一客户端设备(3)处接收用于访问云服务器(2)的授权凭证,从第一客户端设备(3)传送所述授权凭证给第二客户端设备(4),从第二客户端设备(4)传送所述授权凭证给云服务器(2),并且从第二客户端设备(4)访问云服务器(2)。
【专利说明】用于云服务器的凭证授权
【技术领域】
[0001]本发明涉及为访问由云服务器所提供的服务的用户授权领域。
【背景技术】
[0002]云服务器提供云服务,其包括经由网络连接可访问的服务。因此,云服务包括数据存储、数据访问、数据库、包括视频流在内的媒体服务以及其他服务。来自云服务器的服务被客户端设备经由网络连接所请求。
[0003]为了访问云服务器,例如为了在视频设备如电视上进行视频的回放,经常需要用户授权。用户授权可以是基于个人用户设备的设备授权,如移动电话,以使得在执行初始授权流程后,无需执行重复的授权便可进一步访问云服务器。在一些已知的系统中,初始授权经由人机交互界面例如键盘执行。一些类型的客户端设备包括简单且不友好的人机交互界面,使得难以使用这些设备进行授权。另有一些类型的客户端设备,特别是例如移动电话的移动客户端设备,可能不适合访问由云服务器所提供的服务,例如,由于这样的客户端设备的硬件或软件限制。
[0004]一些这样的云服务可进一步要求在客户端设备上使用用于授权、浏览和使用云服务的专用软件,或者可绑定至特定厂商,如苹果的iTunes云。因此,可能要求来自特定的客户端设备或使用已知网络如家庭网络的客户端设备。没有现成的允许在异地使用云服务的解决方案。例如,如果第三人没有在云服务器注册,没有解决方案允许在其家中的该第三人的智能电视上观看由云服务提供的视频。
【发明内容】
[0005]多种实施例提供的方法和装置提供了在处于第三方位置并且不需使用额外软件的情况下,用于提供从客户端设备至云服务器的安全访问的解决方案。
[0006]在第一实施例中,提供了用于从云服务器向客户端设备授予访问的方法,包括以下步骤:授权第一客户端设备的用户,从第一客户端设备接收授权凭证请求,生成用于访问云服务器的授权凭证,提供授权凭证给第一客户端设备,从第二客户端设备接收授权凭证,基于该授权凭证向第二客户端设备授予访问。
[0007]在第二实施例中,提供了用于向客户端设备授予访问的云服务器,其中所述云服务器适于执行上述方法。
[0008]在第三实施例中,提供了用于请求访问云服务器的方法,包括以下步骤:向云服务器授权使用第一客户端设备的用户,从第一客户端设备向云服务器发送授权凭证请求,在第一客户端设备接收用于访问云服务器的授权凭证,从第一客户端设备发送授权凭证至第二客户端设备,从第二客户端设备发送授权凭证至云服务器,以及从第二客户端设备访问云服务器。
[0009]在该方法中,第一客户端设备为第二客户端设备提供了基于授权凭证的授权。授权无需第二客户端设备的使用,方便了对第二客户端设备的授权。因此,即使第二客户端设备具有难以用来执行授权的人机交互界面,使用授权凭证,第二客户端设备可被轻松地使用,并且授权可被轻松地执行。因此,云服务器基于第一客户端设备的授权生成授权凭证,以使得能够从第二客户端设备访问云服务器。仅仅需要在云服务器上校验该授权凭证。
[0010]第二客户端设备的人机交互界面可能是简单且不友好的,这使得难以进行授权,并且第一客户端设备,特别是如移动电话这样的移动客户端设备,可能不适于访问由云服务器所提供的服务,二者可以结合使用以提供增强的用户体验。通过使用第二客户端设备可以克服第一客户端所受的限制。这样的限制与硬件或软件相关,如计算机电源、支持的视频能力、声音能力、包括键盘在内的输入装置、或与某些软件类型的兼容性。
[0011]第一客户端设备的用户的授权可基于使用用户ID和密码的机制,如本领域公知的技术。进一步优选地,第一客户端设备的授权使用加密或鉴权来执行。再进一步优选地,基于通过SSL的保护执行授权。第一客户端设备的授权基本上可以在任何时间执行,即在任意上述步骤之前。该授权可以是永久授权,其在第一客户端设备上执行一次,并可以为多个对授权凭证的请求保持有效。
[0012]客户端设备可以是适于访问云服务的任何类型的数据处理设备,包括任何类型的计算机、笔记本电脑、平板电脑、移动电话、包括电视机等的视频回放设备。客户端设备包括特别地为移动使用设计的设备,并且其通常被用户随身携带。所述第一客户端设备优选地为移动设备,如移动电话或其他。所述第二客户端设备可以是任意类型的设备,固定或者移动。云服务器与客户端设备之间的连接可以是使用至网络的有线或无线通路的任意网络连接。优选地,所述网络连接为互联网连接。任何适当的连接都可用于将授权凭证从第一客户端设备传送到第二客户端设备。优选地,使用第一和第二客户端设备之间的安全连接来传送授权凭证。
[0013]根据优选地实施例,授予至第二客户端的访问的步骤所基于的凭证授权包括授予在访问类型、访问数量、数据量、或访问时间方面受限的有限访问。所述有限访问提高了安全性,因为授权凭证只能在指定的受限范围内使用。一些限制基本上是永久的,例如访问类型,其可以是写或读访问。其他的限制是动态的,因此授权凭证可以终止,例如在到达给定的访问云服务器的数量、云服务器与第二客户端设备之间给定的数据传送量、或用于访问云服务器的时间之后。更优地,多种限制条件可被组合。
[0014]根据优选地的实施例,发送授权凭证请求的步骤包括发送对在访问类型、访问数量、数据量、或访问时间受限的有限访问的请求。用户在授权凭证上具有完全的控制权,以使他能够使在任意地点的任意类型的第二客户端设备安全地访问云服务器。特别是,如果用户希望能够使用第二客户端设备来访问云服务器,他可以对应于第二客户端设备的预期用途来事先指定任意的限制条件,以使授权凭证自动地限制对云服务器的访问。
[0015]根据优选的实施例,基于授权凭证授予至第二客户端设备访问的步骤包括向云服务器授予预定义的访问时间段。这增强了安全性,因为在这段时间之后授权凭证就会失效,以使得即使授权凭证被盗,第三方也不能持续的访问云服务器。在该时间段期满以后,授权凭证自动终止,并且不能再被使用。
[0016]根据优选的实施例,发送授权凭证请求的步骤包括,发送用于被请求的授权凭证的有效性的时间段。用户在授权凭证上拥有完全的控制权,以使得他能够使得在任何地点中的任意类型的第二客户端设备安全地访问云服务器。特别是,如果用户希望使用第二客户端设备在指定时间访问云服务器,他可以对应于第二客户端设备的预期用途事先指定具体时间,以使得在用户停止使用第二客户端设备时,授权凭证自动过期。
[0017]根据优选的实施例,所述方法包括在生成授权凭证步骤之后,加密该授权凭证的附加步骤,而且所述方法包括在从第二客户端设备接收到授权凭证后,解密该授权凭证的附加步骤。加密的使用减少了伪造授权凭证的风险。此外,授权凭证中所包括的信息不能被第三方所访问。
[0018]根据优选的实施例,接收授权凭证请求的步骤包括接收被请求服务的标识,生成用于访问云服务器的授权凭证的步骤包括增加被请求服务的标识,并且基于授权凭证授予第二客户端设备访问的步骤包括授予在授权凭证中指定的被请求服务的访问。因此,发送授权凭证请求的步骤包括发送云服务器被请求服务的标识,并且从第二客户端设备访问云服务器步骤包括根据授权凭证请求中所标识的云服务器的被请求服务的标识,访问被请求服务。对云服务器提供的进一步服务的访问受限,以使得用户可以请求授权凭证而无需关心由云服务器提供的其他服务,所述其他服务可能包含用户的个人信息。即使授权凭证被第三方接收,该方也不能访问第一客户端设备的用户没有明确授权的服务。
[0019]根据优选的实施例,云服务器包括媒体服务器、文件服务器、或会议服务器。更优地,媒体服务器为视频流服务器。
[0020]根据优选的实施例,授权使用第一客户端设备的用户访问云服务器的步骤包括将分配给第一客户端设备的用户标识信息提供给云服务器。可借助用户标识信息帮助用户授权,所述用户标识信息被存储在第一客户端设备上。当第一客户端设备从云服务器请求凭证时,无需来自第一客户端设备的用户的进一步交互,用户标识信息可自动地从第一客户端设备传送到云服务器。在互联网浏览器中,该特性使用所谓的cookie来实现。
[0021]根据优选的实施例,将授权凭证从第一客户端设备传送至第二客户端设备的步骤包括使用两个客户端设备之间的点对点连接传送授权凭证。所述点对点连接可以是适于将所述授权凭证仅传送给第二客户端设备的任何类型的连接。所述点对点连接可以是这两个客户端设备之间直接地无线或有线连接。所述点对点连接还可以是经由任何类型的网络服务的逻辑上的点对点连接。优选地,所述点对点连接为短距离通信连接。进一步优选地,所述点对点连接使用加密或认证。
[0022]根据优选的实施例,将授权凭证从第一客户端设备传送到第二客户端设备的步骤使用两个客户端设备之间的根据近场通信标准的连接传送授权凭证。近场通信(NFC)易于使用,并因此适于将授权凭证从任意类型的第一客户端设备传送至支持NFC的任意类型的第二客户端设备。由于通信范围受限,安全性得到提高。
【专利附图】
【附图说明】
[0023]参照附图仅以例示的方式描述了与本发明对应的一些装置的实施例,,其中:
[0024]图1是彼此相互连接的云服务器、第一客户端设备及第二客户端设备的示意图,
[0025]图2是展示了云服务器、第一客户端设备和第二客户端设备之间的方法步骤的图,
[0026]图3示意性地示出了云服务器的实施例,在其中执行所述方法的实现,
[0027]图4示意性地示出了第一和第二客户端设备的实施例,在其中执行了所述方法的实现。
【具体实施方式】
[0028]以上叙述和描绘仅仅示出了本发明的原理部分。因此需要指出本领域技术人员能够遵循本发明的原理设计出多种本文中没有明确描述或展示的实施例,但其仍然包括在本发明的精神和范围之中。此外,所有在此列举的例子主要为了教导和帮助读者理解本发明的原理以及发明人提出的概念以推动本领域技术的发展,并且所举示例还应被理解为不限于本文这些特别列举的例子和条件。另外,本文中所使用的术语“或”,除非另有说明(例如,“否则”或“或在替代方案中”),不具有排他性。此外,文中描述的各种实施例并不互斥,某些实施例可以与一个或多个其他实施例结合,形成新的实施例。
[0029]图1展示了的通信系统I包括云服务器2和两个客户端设备3、4。该实施例中的云服务器2为视频流服务器。需要授权以便访问云服务器2。通信系统I可包含图1中没有体现出的额外的云服务器2或客户端设备3、4。
[0030]客户端设备3、4包括第一客户端设备3,在该实施例中其为移动电话,特别是智能手机;以及第二客户端设备4,在该实施例中其为支持HbbTV的智能电视。
[0031]客户端设备3、4经由网络连接5、6连接至云服务器I。第一客户端设备3与云服务器2之间的网络连接5包括移动网络连接,如使用UMTS或LTE连接。第二客户端设备4与云服务器2之间的网络连接6包括以太网连接。
[0032]客户端设备3、4均装备有用于建立点对点连接7的通信设备,图中未展示细节。在该实施例中的点对点连接7是在该实施例中根据近场通信(NFC)标准建立的连接。
[0033]参考图2示出了一种用于请求访问云服务器2并且从云服务器2授予第二客户端设备4访问的方法。
[0034]首先,在步骤100执行向云服务器2的第一客户端设备3的用户的授权。分配给第一客户端设备3的用户标识信息被提供给云服务器2。用户标识基于用户ID和密码的预授权,其经由SSL连接被传送到云服务器2。
[0035]在步骤110,从第一客户端设备3经由移动网络连接5发送授权凭证请求,并且其被云服务器2所接收。在该实施例中,所述授权凭证请求包括对云服务器2的被请求服务的标识、用于所述被请求的授权凭证有效性的时间段、以及访问限制,所述限制限制了在一天的访问时间内只能有三次访问。
[0036]在步骤120中,云服务器2处理所述授权凭证请求,并且按照指定生成所被请求的授权凭证。因此,所述已生成的用于访问云服务器2的授权凭证包括在步骤110中所请求的被请求服务的标识。
[0037]在步骤130中,云服务器在将授权凭证提供给第一客户端设备3之前,将其加密,第一客户端设备3在步骤140中经由移动网络连接5接收所述授权凭证。
[0038]在步骤150中,第一客户端设备3经由NFC连接7将授权凭证发送给第二客户端设备4。
[0039]在步骤160中,第二客户端设备4开始访问云服务器2。由于需要授权,所述智能电视4经由以太网连接6将授权凭证传送给云服务器2,以使云服务器接收所述授权凭证。
[0040]在步骤170中,云服务器2将从智能电视4接收到的授权凭证解密。
[0041]在步骤180中,第二客户端设备4访问云服务器2。特别是,第二客户端设备4根据在所述授权凭证请求中被标识出的云服务器2的被请求服务的标识访问所述被请求服务。云服务器2基于所述授权凭证,授予所述被请求的访问,即云服务器2授予授权凭证中指定的服务的访问。此外,云服务器2授予如授权凭证请求中指定的有限访问,即,在一天的访问时间内,限制访问数量为三次访问。
[0042]由于步骤110中的授权凭证请求中预定义的时间段已期满,在步骤190中,从第二客户端设备4至云服务器2的访问被中止。所述时间段期满的计算基于在步骤110中从第一客户端设备3至云服务器2授权凭证请求的接收。
[0043]图3示意性地示出了云服务器2的实施例。该云服务器2包括处理器10、数据存储装置11、以及网络接口 12。该网络接口 12适于与网络连接5、6相连接。
[0044]处理器10控制云服务器2的操作。所述处理器10与数据存储装置11协作。数据存储装置11可存储程序数据,如网络拓扑或适当的类似物。数据存储装置11还存储可被处理器10执行的程序13。所述处理器可执行程序13可包括云服务器程序14和网络接口程序15。所述处理器10与处理器可执行程序13协作。
[0045]网络接口 12与处理器10以及网络接口程序15协作以支持在任意适当的通信信道上的通信。
[0046]云服务器程序14执行如在云服务器2上执行的上述方法的步骤。
[0047]在一些实施例中,处理器10可包括如处理器/CPU核心这样的资源,网络接口 12可包括任意适当类型的网络接口,或者数据存储装置11可包括存储器或存储设备。而且,云服务器2可为任意适当的物理硬件配置。
[0048]在一些实施例中,云服务器2可为虚拟机。在一些这样的实施例中,虚拟机可包括来自不同机器或在地理位置上分散的组件。例如,数据存储装置11和处理器10可位于不同的物理机器之中。
[0049]在一些实施例中,云服务器2可为被编程以执行在云服务器2上执行的上述方法的部分的通用计算机。
[0050]当在处理器10上实现了处理器可执行程序13时,程序代码段与处理器10结合以提供操作类似于特定逻辑电路的独特装置。
[0051]图4示意性地示出了客户端设备3、4的实施例。由于第一客户端3和第二客户端4的实现是相同的,将这些设备一起描述。客户端设备3、4可以仅通过用途来分辨。客户端设备既可以被用做第一客户端设备3,也可以被用做第二客户端设备4。
[0052]客户端设备3、4包括处理器20、数据存储装置21、点对点接口 22、以及网络接口23。点对点接口 22适于与点对点连接7相连接。网络接口 23适于与网络连接5、6相连接。
[0053]处理器20控制客户端3、4的操作。处理器20与数据存储装置21协作。数据存储装置21可存储程序数据,如网络拓扑及适当的类似物。数据存储装置21还存储处理器20可执行的程序24。所述处理器可执行程序24可包括第一客户端程序25、第二客户端程序26、点对点接口程序27、以及网络接口程序28。所述处理器20与处理器可执行程序24协作。
[0054]点对点接口 22与处理器20以及点对点接口程序27协作以支持在任意适当的点对点通信信道上的通信。
[0055]网络接口 23与处理器20以及网络接口程序28协作以支持在任意适当的通信信道上的通信。
[0056]第一和第二客户端程序25、26各自执行如在第一和第二客户端设备3、4上执行的上述方法的步骤。
[0057]在一些实施例中,处理器20可包括资源例如处理器20/CPU核心,点对点接口 23可包括任意适当类型的接口,网络接口 23可包括任意适当类型的网络接口,或数据存储装置21可以包括存储器或存储设备。此外,客户端设备3、4可为任意适当的物理硬件配置。
[0058]在一些实施例中,客户端设备3、4可为被编程以执行分别在客户端设备3、4上执行的上述方法的部分的通用计算机。
[0059]当在处理器20上实现了处理器可执行程序24时,程序代码段与处理器20结合以提供操作类似于特定逻辑电路的独特装置。
【权利要求】
1.一种从云服务器(2)向客户端设备(3,4)授予访问的方法,包括下述步骤: 授权第一客户端设备(3)的用户; 从第一客户端设备(3)接收授权凭证请求; 生成用于访问云服务器(2)的授权凭证; 提供所述授权凭证给第一客户端设备(3); 从第二客户端设备(4)接收所述授权凭证; 基于所述授权凭证,向第二客户端设备(4)授予访问。
2.如权利要求1所述的方法,其特征在于: 基于所述授权凭证向第二客户端设备(4)授予访问的步骤包括授予在访问类型、访问数量、数据量、或访问时间方面受限的有限访问。
3.如权利要求1所述的方法,其特征在于: 基于所述授权凭证向第二客户端设备(4)授予访问的步骤包括授予在预定义的时间段内访问云服务器(2)。
4.如权利要求1所述的方法,其特征在于: 所述方法包括在生成授权凭证的步骤之后的加密所述授权凭证的附加步骤, 所述方法包括在从第二客户端设备(4)接收后,对所述授权凭证进行解密的附加步骤。
5.如权利要求1所述的方法,其特征在于: 接收授权凭证请求的步骤包括接收云服务器(2)的被请求服务的标识, 生成用于访问云服务器(2)的授权凭证的步骤包括添加所述被请求服务的标识, 基于授权凭证向第二客户端设备(4)授予访问的步骤包括授予访问在所述授权凭证中指定的被请求服务。
6.一种用于向客户端设备(2,3)授予访问的云服务器(2),其特征在于: 云服务器(2)适于执行权利要求1至5中任一项所述的方法。
7.如权利要求6所述的云服务器(2),其特征在于: 所述云服务器(2)包括媒体服务器、文件服务器、或会议服务器。
8.—种请求访问云服务器的方法,包括下述步骤: 向云服务器(2)授权使用第一客户端设备(3)的用户; 从第一客户端设备(3)发送授权凭证请求至云服务器(2); 在第一客户端设备(3)处接收用于访问云服务器(2)的授权凭证; 从第一客户端设备(3)传送所述授权凭证给第二客户端设备(4); 从第二客户端设备(4)传送所述授权凭证给云服务器(3);以及 从第二客户端设备(4)访问云服务器(2)。
9.如权利要求8所述的方法,其特征在于: 向云服务器(2)授权使用第一客户端设备(3)的用户的步骤包括:将分配给第一客户端设备(3)的用户标识信息提供给云服务器(2)。
10.如权利要求8所述的方法,其特征在于: 从第一客户端设备(3)传送所述授权凭证给第二客户端设备(4)的步骤包括:使用两个客户端设备之间的点对点连接传送所述授权凭证。
11.如权利要求10所述的方法,其特征在于: 从第一客户端设备(3)传送所述授权凭证给第二客户端设备(4)的步骤包括:根据近场通信标准,使用两个客户端设备(3,4)之间的连接传送所述授权凭证。
12.如权利要求8所述的方法,其特征在于: 发送授权凭证请求的步骤包括发送云服务器(2)被请求服务的标识,并且从第二客户端设备(4)访问云服务器(2)的步骤包括:根据在授权凭证请求中标识的云服务器(2)的被请求服务的标识,访问所述被请求服务。
13.如权利要求8所述的方法,其特征在于: 发送授权凭证请求的步骤包括发送用于被请求的授权凭证的有效性的时间段。
14.如权利要求8所述的方法,其特征在于: 发送授权凭证请求的步骤包括:发送对在访问类型、访问数量、数据量、或访问时间方面受限的有限访问的请求。
【文档编号】H04W4/00GK104412561SQ201380035606
【公开日】2015年3月11日 申请日期:2013年6月24日 优先权日:2012年7月5日
【发明者】C·费尔斯特, T·施特劳斯 申请人:阿尔卡特朗讯公司