一种服务鉴权方法、装置、系统及存储介质与流程

[0001]
本申请涉及安全技术领域，尤其涉及一种服务鉴权方法、装置、系统及存储介质。


背景技术：

[0002]
随着云计算技术的不断发展，越来越多的企业或个人选择将业务部署在云环境中，例如，游戏业务、金融业务等等。
[0003]
在业务实现过程中，云上与业务相关的服务间将按照业务逻辑相互调用。目前，云上服务鉴权的过程比较简单，安全性较低。


技术实现要素：

[0004]
本申请的多个方面提供一种服务鉴权方法、装置、系统及存储介质，用以提高服务的安全性。
[0005]
本申请实施例提供一种服务鉴权方法，包括：
[0006]
根据第一服务器和第二服务器各自的身份信息分别为所述第一服务器和所述第二服务器配置专属密钥文件，所述第一服务器上运行有第一服务，所述专属密钥文件中包含所述第一服务的服务密钥；
[0007]
基于所述服务密钥加密所述第一服务的鉴权凭证；
[0008]
将加密的所述鉴权凭证配置给所述第一服务器和所述第二服务器，以供所述第二服务器向所述第一服务器发送针对所述第一服务的服务请求，以及供所述第一服务器对所述服务请求进行鉴权。
[0009]
本申请实施例还提供一种服务鉴权方法，应用于运行有第一服务的服务器，包括：
[0010]
接收针对所述第一服务的服务请求；
[0011]
根据自身的身份信息从所述服务器的专属密钥文件中获取所述第一服务的服务密钥；
[0012]
基于所述服务密钥解密出所述第一服务的鉴权凭证；
[0013]
根据所述鉴权凭证对所述服务请求进行鉴权。
[0014]
本申请实施例还提供一种服务鉴权方法，应用于对第一服务存在调用需求的服务器，包括：
[0015]
在需要调用所述第一服务的情况下，根据自身的身份信息从所述服务器的专属密钥文件中获取所述第一服务的服务密钥；
[0016]
基于所述服务密钥解密出所述第一服务的鉴权凭证；
[0017]
根据所述鉴权凭证向所述第一服务所在的服务器发起针对所述第一服务的服务请求，以供所述服务器对所述服务请求进行鉴权。
[0018]
本申请实施例还提供一种鉴权管理设备，包括存储器和处理器；
[0019]
所述存储器用于存储一条或多条计算机指令；
[0020]
所述处理器与所述存储器耦合，用于执行所述一条或多条计算机指令，以用于：
[0021]
根据第一服务器和第二服务器各自的身份信息分别为所述第一服务器和所述第二服务器配置专属密钥文件，所述第一服务器上运行有第一服务，所述专属密钥文件中包含所述第一服务的服务密钥；
[0022]
基于所述服务密钥加密所述第一服务的鉴权凭证；
[0023]
将加密的所述鉴权凭证配置给所述第一服务器和所述第二服务器，以供所述第二服务器向所述第一服务器发送针对所述第一服务的服务请求，以及供所述第一服务器对所述服务请求进行鉴权。
[0024]
本申请实施例还提供一种服务器，包括：存储器、处理器和通信组件；
[0025]
所述存储器用于存储一条或多条计算机指令；
[0026]
所述处理器与所述存储器及所述通信组件耦合，用于执行所述一条或多条计算机指令，以用于：
[0027]
通过所述通信组件接收针对所述第一服务的服务请求；
[0028]
根据自身的身份信息从所述服务器的专属密钥文件中获取所述第一服务的服务密钥；
[0029]
基于所述服务密钥解密出所述第一服务的鉴权凭证；
[0030]
根据所述鉴权凭证对所述服务请求进行鉴权。
[0031]
本申请实施例还提供一种服务器，包括：存储器、处理器和通信组件；
[0032]
所述存储器用于存储一条或多条计算机指令；
[0033]
所述处理器与所述存储器及所述通信组件耦合，用于执行所述一条或多条计算机指令，以用于：
[0034]
在需要调用第一服务的情况下，根据自身的身份信息从所述服务器的专属密钥文件中获取所述第一服务的服务密钥；
[0035]
基于所述服务密钥解密出所述第一服务的鉴权凭证；
[0036]
根据所述鉴权凭证通过所述通信组件向所述第一服务所在的第一服务器发起针对所述第一服务的服务请求，以供所述第一服务器对所述服务请求进行鉴权。
[0037]
本申请实施例还提供一种服务鉴权系统，包括：鉴权管理设备、第一服务器和第二服务器，所述第一服务器上运行有第一服务；
[0038]
所述鉴权管理设备，用于根据所述第一服务器和所述第二服务器各自的设备信息分别为所述第一服务器和所述第二服务器配置专属密钥文件，所述专属密钥文件中包含所述第一服务的服务密钥，所述服务密钥用于加解密所述第一服务的鉴权凭证；
[0039]
所述第二服务器，用于根据自身的设备信息从其专属密钥文件中获取所述服务密钥，基于所述服务密钥解密出所述第一服务的鉴权凭证；根据所述鉴权凭证向所述第一服务器发送服务请求，以请求所述第一服务；
[0040]
所述第一服务器，用于根据自身的设备信息从其专属密钥文件中获取所述服务密钥，基于所述服务密钥解密出所述第一服务的鉴权凭证；基于所述鉴权凭证对所述服务请求进行鉴权。
[0041]
本申请实施例还提供一种服务鉴权系统，包括：密钥管理设备、权限管理设备、第一服务器和第二服务器；
[0042]
所述密钥管理设备用于根据所述第一服务器和所述第二服务器各自的身份信息
分别为所述第一服务器和所述第二服务器配置专属密钥文件，以及根据所述权限管理设备的请求，基于第一服务的服务密钥对第一服务的鉴权凭证进行加密；其中，所述专属密钥文件中包含所述第一服务的服务密钥，所述服务密钥用于加解密所述第一服务的鉴权凭证；
[0043]
所述权限管理设备用于向所述密钥管理设备申请对第一服务的鉴权凭证的保护，接收所述密钥管理设备返回的加密后的第一服务的鉴权凭证，并将所述加密后的第一服务的鉴权凭证配置给所述第一服务器和所述第二服务器。
[0044]
本申请实施例还提供一种存储计算机指令的计算机可读存储介质，当所述计算机指令被一个或多个处理器执行时，致使所述一个或多个处理器执行前述的服务鉴权方法。
[0045]
在本申请实施例中，为运行有第一服务的服务器以及对第一服务存在调用需求的各服务器分别配置专属密钥文件，以将第一服务的服务密钥专属配置给相关服务器，可有效保证服务密钥的专属性，从而避免服务密钥的泄露；基于服务密钥对第一服务的鉴权凭证进行加密，可保证鉴权凭证的安全性。据此，本申请实施例中，可实现服务鉴权过程的全链路保护，有效保证服务鉴权过程的安全性，从而保证第一服务的安全。
附图说明
[0046]
此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：
[0047]
图1a为本申请一实施例提供的一种服务鉴权系统的结构示意图；
[0048]
图1b为本申请另一实施例提供的另一种服务鉴权系统的结构示意图；
[0049]
图2为本申请一实施例提供的一种服务鉴权系统的示例性业务场景示意图；
[0050]
图3为本申请又一实施例提供的一种服务鉴权方法的流程示意图；
[0051]
图4为本申请又一实施例提供的另一种服务鉴权方法的流程示意图；
[0052]
图5为本申请又一实施例提供的又一种服务鉴权方法的流程示意图；
[0053]
图6为本申请又一实施例提供的一种鉴权管理设备的结构示意图；
[0054]
图7为本申请又一实施例提供的一种服务器的结构示意图；
[0055]
图8为本申请又一实施例提供的另一种服务器的结构示意图。
具体实施方式
[0056]
为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。
[0057]
目前，服务鉴权的过程比较简单，安全性较低。为改善现有技术存在的问题，本申请的一些实施例中：为运行有第一服务的服务器以及对第一服务存在调用需求的各服务器分别配置专属密钥文件，以将第一服务的服务密钥专属配置给相关服务器，可有效保证服务密钥的专属性，从而避免服务密钥的泄露；基于服务密钥对第一服务的鉴权凭证进行加密，可保证鉴权凭证的安全性。据此，本申请实施例中，可实现服务鉴权过程的全链路保护，有效保证服务鉴权过程的安全性，从而保证第一服务的安全。
[0058]
以下结合附图，详细说明本申请各实施例提供的技术方案。
[0059]
图1a为本申请一实施例提供的服务鉴权系统的结构示意图。如图1a所示，该系统包括：鉴权管理设备10、第一服务器20和第二服务器30。
[0060]
本实施例提供的服务鉴权系统可应用于各种需要进行服务鉴权的场景中，例如，云上服务间鉴权、局域网内服务间鉴权等等，本实施的对应用场景不作限定。
[0061]
在不同的应用场景中，鉴权管理设备10、第一服务器20和第二服务器30可采用不同的物理实现形式。例如，在云场景中，鉴权管理设备10、第一服务器20和第二服务器30的物理实现形式可以是云服务器、云主机、虚拟中心等等。又例如，在家庭物联网场景中，第一服务器20和第二服务器20可以是物联网中的设备，如天猫精灵、智能电视等设备；鉴权管理设备10则可以是家庭物联网中的控制设备，也可以是与家庭物联网连接的云服务器等等。本实施例对此不作限定。
[0062]
本实施例中，对服务的类型不作限定，例如，在云场景中，本申请实施例可为云数据库服务、网络服务、分析服务、应用服务、视频服务、费用服务等等云服务提供鉴权。又例如，在家庭物联网场景中，本实施例可为语音控制服务、网关服务等提供鉴权。本文中，将以第一服务为例进行服务鉴权方案的描述，应当理解的是，第一服务可以是任意需要进行鉴权的服务。
[0063]
如图1a所示，第一服务器20上运行有第一服务，第一服务器20的数量可以为一个或多个，第二服务器30为对第一服务具有调用需求的服务器，第二服务器30的数量也可为一个或多个，其中，第二服务器30上运行有对第一服务具有调用需求的一个或多个服务，为方便描述，后文中，将第二服务器30上运行的这类服务称为第二服务。
[0064]
鉴权管理设备是指管理服务调用权限的设备，本实施例中，鉴权管理设备10可根据第一服务器20和第二服务器30各自的身份信息分别为第一服务器20和第二服务器30配置专属密钥文件。其中，身份信息可以是设备id、mac地址等等能够唯一标识设备身份的信息，本实施例对此不作限定。
[0065]
在实际应用中，鉴权管理设备10可向服务管理员提供关于第一服务的配置界面，服务管理员可通过配置界面输入与第一服务相关的第一服务器20和第二服务器30的设备id、mac地址等服务器信息。据此，鉴权管理设备10可基于用户的上述配置操作确定出与第一服务相关的第一服务器20和第二服务器30。当然，当与第一服务相关的第一服务器20和第二服务器30数量庞大时，鉴权管理设备10也可从用户的资产管理信息中确定出与第一服务相关的第一服务器20和第二服务器30，其中，资产管理信息中记载了用户名下各服务相关的服务器信息。本实施例中，可尽量全面地确定与第一服务相关的第一服务器20和第二服务器30，以为第一服务的鉴权提供尽量全面地保护。
[0066]
在确定出第一服务相关的第一服务器20和第二服务器30的基础上，鉴权管理设备10可获取到第一服务器20和第二服务器30各自的身份信息。
[0067]
基于此，鉴权管理设备10可根据第一服务器20和第二服务器30各自的身份信息，分别为第一服务器20和第二服务器30配置专属密钥文件。专属密钥文件中包含第一服务的服务密钥。
[0068]
本实施例中，专属密钥文件具有专属性，第一服务器20和第二服务器30只能解读属于自己的专属密钥文件，而无法解读不属于自己的专属密钥文件。这样，即使专属密钥文件被窃取，窃取方也无法解读该专属密钥文件，可保证服务密钥的安全性。
[0069]
鉴权管理设备10，还可基于服务密钥对第一服务的鉴权凭证进行加密，并将加密后的第一服务的鉴权凭证配置给第一服务器20和第二服务器30。第一服务的鉴权凭证可以是由鉴权管理设备10生成，当然，也可由鉴权管理设备10从其它渠道获取到，本实施例对此不作限定。鉴权凭证可以采用数字证书等格式，本实施例对此不作限定。另外，鉴权管理设备10在将加密后的第一服务的鉴权凭证配置给第一服务器20和第二服务器30的过程中，可将加密后的第一服务的鉴权凭证的访问地址提供给第一服务器20和第二服务器30，也可将加密后的第一服务的鉴权凭证提供给第一服务器20和第二服务器30，本实施例对此不作限定。
[0070]
据此，第一服务器20和第二服务器30将分别获得为其配置的专属密钥文件和经加密的鉴权凭证。
[0071]
对第二服务器30来说，在其上的第二服务需要调用第一服务的情况下，可根据其自身的身份信息，从为其配置的专属密钥文件中获取第一服务的服务密钥。
[0072]
正如上文提及的，专属密钥文件具有专属性，第二服务器30可基于其身份信息确定其对应的专属密钥文件，以从其专属密钥文件中获取到第一服务的服务密钥。
[0073]
第二服务器30可根据获取到的第一服务的服务密钥解密鉴权管理设备10为其配置的经加密的第一服务的鉴权凭证，以获得第一服务的鉴权凭证。第二服务器30可根据第一服务的鉴权凭证向第一服务器20发起针对第一服务的服务请求。
[0074]
对第一服务器20来说，在接收到服务请求的情况下，可根据其自身的身份信息，从为其配置的专属密钥文件中获取第一服务的服务密钥。
[0075]
正如上文提及的，专属密钥文件具有专属性，第一服务器20可基于其身份信息确定其对应的专属密钥文件，以从其专属密钥文件中获取到第一服务的服务密钥。
[0076]
第一服务器20可根据获取到的第一服务的服务密钥解密鉴权管理设备10为其配置的经加密的第一服务的鉴权凭证，以获得第一服务的鉴权凭证。第一服务器20可根据第一服务的鉴权凭证对接收到的服务请求进行鉴权。
[0077]
若服务请求中的鉴权凭证与第一服务器20所获得的第一服务的鉴权凭证相匹配，则确定该服务请求通过鉴权；而若不匹配，则确定该服务请求未通过鉴权。
[0078]
本实施例中，通过专属密钥文件将第一服务的服务密钥绑定至第一服务相关的服务器，对于与第一服务不相关的服务器，即是窃取到某专属密钥文件，也无法获知其中的服务密钥，而第一服务的鉴权凭证已通过服务密钥进行加密，这使得，第一服务相关的服务器可使用第一服务的鉴权凭证，而第一服务不相关的服务器无法使用第一服务的鉴权凭证。据此，与第一服务不相关的服务器发起的服务请求将无法通过鉴权，这有效保证了第一服务的安全。
[0079]
图2为本申请一实施例提供的一种鉴权服务系统的示例性业务场景示意图。如图2所示的示例性业务场景中，服务提供方以第一服务器为载体提供支付服务(对应图2中的服务a)，服务请求方以第二服务器为载体运行订单服务(对应图2中的服务b)，若服务请求方的订单服务存在对支付服务的调用需求，本实施例中，鉴权管理设备10分别为服务请求方和服务提供方配置专属密钥文件，并将支付服务的密钥携带在专属密钥文件中，其中，以身份信息表征专属密钥文件的专属性。鉴权管理设备10还利用支付服务的密钥加密支付服务的鉴权凭证，并将支付服务的加密后鉴权凭证配置给服务提供方和服务请求方。
[0080]
据此，当服务请求方中的订单服务发生对服务提供方中的支付服务的调用需求时，若服务请求方具备对支付服务的调用权限，则可从其上的专属密钥文件中解密出支付服务的密钥，并利用支付服务的密钥解密出支付服务的鉴权凭证，进而基于加密后的鉴权凭证向服务提供方发起调用请求；而服务提供方则可以同样的方式解密出支付服务的鉴权凭证，并将服务请求方发送过来的鉴权凭证与服务提供方自行解密出的鉴权凭证进行比对，若比对一致，则确定服务请求方具备对支付服务的调用权限，服务提供方可允许服务请求方调用支付服务。
[0081]
而若服务请求方不具备对支付服务的调用权限时，即使其从其它渠道偷取专属密钥文件，由于专属密钥文件的专属性，服务请求方也无法解读出支付服务的密钥，进而也就无法解读出支付服务的鉴权凭证，因此，这种情况下，服务请求方将无法向服务提供方提供正确的鉴权凭证，这种情况下，服务提供方将不允许服务请求方调用支付服务。
[0082]
从而，可保证服务请求方提供的支付服务的安全性。
[0083]
在上述或下述实施例中，鉴权管理设备10可将专属密钥文件和经加密的鉴权凭证发送至至第一服务器20和第二服务器30，第一服务器20和第二服务器30可将专属密钥文件和经加密的鉴权凭证保持在其本地。第一服务器20和第二服务器30可在服务鉴权过程中直接使用其本地的专属密钥文件和经加密的鉴权凭证，而无需再依赖鉴权管理设备10。这样，即使鉴权管理设备10出现故障，也不会影响第一服务器20和第二服务器30之间的服务鉴权，可避免单点故障对用户业务的影响。
[0084]
当然，本实施例中，鉴权管理设备10也可不将专属密钥文件和经加密的鉴权凭证分发至第一服务器20和第二服务器30，第一服务器20和第二服务器30可在需要时向鉴权管理设备10请求专属密钥文件和经加密的鉴权凭证。
[0085]
另外，鉴权管理设备10也可单独将专属密钥文件或者单独将经加密的鉴权凭证分发给第一服务器20和第二服务器30，本实施例对此不作限定。
[0086]
在上述或下述实施例中，鉴权管理设备10可为第一服务创建服务密钥；获取第一服务器20和第二服务器30的身份信息；根据服务密钥以及第一服务器20和第二服务器30各自的身份信息，分别为第一服务器20和第二服务器30生成专属密钥文件。
[0087]
本实施例中，鉴权管理设备10可为不同服务生成不同的服务密钥，当然，本实施例并不限于此。另外，本实施例对服务密钥的实现形式也不做限定。
[0088]
本实施例中，可基于第一服务器20和第二服务器30各自的身份信息，分别为第一服务器20和第二服务器30生成专属密钥文件，以支持专属密钥文件的专属性。
[0089]
在实际应用中，鉴权管理设备10可分别以第一服务器20和第二服务器30的身份信息作为验证字段，以服务密钥作为内容字段，为第一服务器20和第二服务器30生成专属密钥文件。也即是，对于某第一服务器20来说，鉴权管理设备10可以该服务器的身份信息作为验证字段，以第一服务的服务密钥作为内容字段，生成该服务器对应的专属密钥文件。这样，与第一服务相关的每个服务器将获得以其自身的身份信息作为验证字段的专属密钥文件。
[0090]
基于此，第一服务器20和第二服务器30可在需要使用第一服务的服务密钥时，采集自身实际的身份信息，根据实际采集到的身份信息，确定所述服务器对应的专属密钥文件，从确定出的专属密钥文件中解读出服务密钥。
[0091]
如上文提及的，在一些情况下，专属密钥文件可能已存储在第一服务器20和第二服务器30的本地，第一服务器20和第二服务器30可根据实际采集到的身份信息，判断本地存储的是否为其对应的专属密钥文件。具体地，第一服务器20和第二服务器30可在实际采集到的身份信息与其本地存储的专属密钥文件的验证字段中的身份信息一致的情况下，确定本地存储的专属密钥文件为其对应的专属密钥文件。
[0092]
在另一些情况下，专属密钥文件也可能并未存储在第一服务器20和第二服务器30的本地，本实施例中，第一服务器20和第二服务器30可根据实际采集到的身份信息，查找其对应的专属密钥文件。具体地，第一服务器20和第二服务器30可查找验证字段中的身份信息与其实际采集到的身份信息一致的专属密钥文件，以确定出其对应的专属密钥文件。
[0093]
当然，本实施例中并不限于上述的专属密钥文件生成方式以及专属性判断方式，鉴权管理设备10可采用其它方式生成专属密钥文件，第一服务器20和第二服务器30可采用其它方式确定其对应的专属密钥文件。
[0094]
另外，本实施例中，可在第一服务器20和第二服务器30中集成用于进行专属性判断的软件开发工具包(sdk，software development kit)，第一服务器20和第二服务器30可使用sdk确定自身对应的专属密钥文件。
[0095]
据此，对于窃取他方专属密钥文件的情况，由于窃取方实际的身份信息与其窃取的专属密钥文件的验证字段中的身份信息不一致，窃取方将无法解读其窃取到的专属密钥文件，从而避免服务密钥的泄露。
[0096]
在上述或下述实施例中，鉴权管理设备10还可确定第一服务的权限分配信息，权限分配信息中包含不同请求方对第一服务的调用权限范围。
[0097]
正如前文提及的，鉴权管理设备10可向用户提供配置界面，用户可通过配置界面设定服务间的调用权限范围，调用权限范围可包括不同粒度的权限范围，例如，资源级别、服务级别、操作级别、接口级别的权限范围等，本实施例对此不作限定。
[0098]
值得说明的是，此处的请求方是服务维度的，而非服务器维度的，也即是，权限分配信息中，可包含不同的第二服务对第一服务的调用权限范围。而单个第二服务器30上可能会存在多个对第一服务存在调用需求的第二服务，对于第二服务器30上的不同第二服务，调用权限范围可能不同。
[0099]
鉴权管理设备10可第一服务的将权限分配信息提供给第一服务器20。在实际应用中，鉴权管理设备10可基于第一服务的服务密钥对第一服务的权限分配信息进行加密，并将加密后的权限分配信息提供给第一服务器20，以保证权限分配信息的完整性。当然，本实施例中，鉴权管理设备10还可采用其它实现方式来保证第一服务的权限分配信息的完整性，本实施例对此不作限定。
[0100]
据此，第一服务器20将获得第一服务的权限分配信息，第一服务器20可基于第一服务的权限分配信息对针对第一服务的服务请求进行鉴权。也即是，判断针对第一服务的服务请求是否满足权限分配信息中记录的调用权限范围。在权限分配信息被加密的情况下，第一服务器20可基于第一服务的服务密钥解密获得第一服务的权限分配信息。
[0101]
图1b为本申请另一实施例提供的一种服务鉴权系统的结构示意图。如图1b所示，该系统包括密钥管理设备40、权限管理设备50、第一服务器60和第二服务器70。其中，第一服务器60上运行有第一服务。
[0102]
本实施例提供的服务鉴权系统与图1a所示的服务鉴权系统的区别在于，将图1a中的鉴权管理设备的功能部署在密钥管理设备40和权限管理设备50中实现。
[0103]
本实施例中，密钥管理设备40用于根据第一服务器60和第二服务器70各自的身份信息分别为第一服务器60和第二服务器70配置专属密钥文件。其中，密钥管理设备40可根据第一服务器60和第二服务器70各自的身份信息，分别向第一服务器60和第二服务器70发送其各自的专属密钥文件，以供第一服务器60和第二服务器70保存至本地。其中，虽然图1b中未示出，但密钥管理设备40与第一服务器60和第二服务器70之间可存在通信链路，以支持通信过程。
[0104]
权限管理设备50用于向密钥管理设备40申请对第一服务的鉴权凭证的保护，以供密钥管理设备40基于第一服务的服务密钥对第一服务的鉴权凭证进行加密，并返回给权限管理设备50。
[0105]
据此，权限管理设备50可将加密后的第一服务的鉴权凭证配置给第一服务器60和第二服务器70。
[0106]
另外，权限管理设备50还可用于生成或更新第一服务的权限分配信息，以供第一服务器60根据权限分配信息对服务请求进行鉴权。权限管理设备50还可向密钥管理设备40申请对权限分配信息的保护，以供密钥管理设备40基于第一服务的服务密钥对第一服务的权限分配信息进行加密，并返回给权限管理设备50。
[0107]
权利管理设备可将经加密的第一服务的鉴权凭证及权限分配信息保存在其本地，以供第一服务器60和第二服务器70调用，或将加密的第一服务的鉴权凭证及权限分配信息发送至第一服务器60和第二服务器70。
[0108]
本实施例中的其它技术细节可参考前述各实施例中的相关描述，在此不再赘述，但这不应造成对本申请保护范围的损失。
[0109]
图3为本申请又一实施例提供的一种服务鉴权方法的流程示意图。该方法适用于鉴权管理设备，如图3所示，该方法包括：
[0110]
300、根据第一服务器和第二服务器各自的身份信息分别为第一服务器和第二服务器配置专属密钥文件，第一服务器上运行有第一服务，专属密钥文件中包含第一服务的服务密钥；
[0111]
301、基于服务密钥加密第一服务的鉴权凭证；
[0112]
302、将加密的鉴权凭证配置给第一服务器和第二服务器，以供第二服务器向第一服务器发送针对第一服务的服务请求，以及供第一服务器对服务请求进行鉴权。
[0113]
在一可选实施例中，该方法还包括：
[0114]
为第一服务创建服务密钥；
[0115]
获取第一服务器和第二服务器的身份信息；
[0116]
根据服务密钥以及第一服务器和第二服务器各自的身份信息，分别为第一服务器和第二服务器生成专属密钥文件。
[0117]
在一可选实施例中，步骤根据服务密钥以及第一服务器和第二服务器各自的身份信息，分别为第一服务器和第二服务器生成专属密钥文件，包括：
[0118]
分别以第一服务器和第二服务器的身份信息作为验证字段，以服务密钥作为内容字段，为第一服务器和第二服务器生成专属密钥文件。
[0119]
在一可选实施例中，该方法还包括：
[0120]
确定第一服务的权限分配信息，权限分配信息中包含不同请求方对第一服务的调用权限范围；
[0121]
将权限分配信息提供给第一服务器，以供第一服务器根据权限分配信息对服务请求进行鉴权。
[0122]
在一可选实施例中，步骤将权限分配信息提供给第一服务器，包括：
[0123]
基于服务密钥对权限分配信息进行加密；
[0124]
将加密的权限分配信息发送给第一服务器。
[0125]
值得说明的是，本实施例中相关的技术细节可参考前述服务鉴权系统中针对鉴权管理设备的相关描述，为节省篇幅，在此不再重复赘述，但这不应造成本申请保护范围的损失。
[0126]
图4为本申请又一实施例提供的另一种服务鉴权方法的流程示意图。该方法适用于运行有第一服务的服务器，如图4所示，该方法包括：
[0127]
400、接收针对第一服务的服务请求；
[0128]
401、根据自身的身份信息从服务器的专属密钥文件中获取第一服务的服务密钥；
[0129]
402、基于服务密钥解密出第一服务的鉴权凭证；
[0130]
403、根据鉴权凭证对服务请求进行鉴权。
[0131]
在一可选实施例中，步骤401包括：
[0132]
采集实际的身份信息；
[0133]
根据实际采集到的身份信息，确定服务器的专属密钥文件；
[0134]
从服务器的专属密钥文件中解读出服务密钥。
[0135]
在一可选实施例中，步骤根据实际采集到的身份信息，确定服务器的专属密钥文件，包括：
[0136]
将验证字段中的身份信息与实际采集到的身份信息一致的专属密钥文件，确定为服务器对应的专属密钥文件。
[0137]
在一可选实施例中，该方法还包括：
[0138]
获取服务器的专属密钥文件及经服务密钥加密的鉴权凭证，并保存在本地。
[0139]
在一可选实施例中，该方法还包括：
[0140]
获取第一服务的权限分配信息并保存在本地，权限分配信息中包含不同请求方对第一服务的调用权限范围；
[0141]
基于权限分配信息对服务请求进行鉴权。
[0142]
值得说明的是，本实施例中相关的技术细节可参考前述服务鉴权系统中针对第一服务器的相关描述，为节省篇幅，在此不再重复赘述，但这不应造成本申请保护范围的损失。
[0143]
图5为本申请又一实施例提供的又一种服务鉴权方法的流程示意图。该方法适应于对第一服务存在调用需求的服务器，如图5所示，该方法包括：
[0144]
500、在需要调用第一服务的情况下，根据自身的身份信息从服务器的专属密钥文件中获取第一服务的服务密钥；
[0145]
501、基于服务密钥解密出第一服务的鉴权凭证；
[0146]
502、根据鉴权凭证向第一服务所在的服务器发起针对第一服务的服务请求，以供服务器对服务请求进行鉴权。
[0147]
在一可选实施例中，步骤500，包括：
[0148]
采集实际的身份信息；
[0149]
根据实际采集到的身份信息，确定服务器的专属密钥文件；
[0150]
从服务器的专属密钥文件中解读出服务密钥。
[0151]
在一可选实施例中，步骤根据实际采集到的身份信息，确定服务器的专属密钥文件，包括：
[0152]
将验证字段中的身份信息与实际采集到的身份信息一致的专属密钥文件，确定为服务器对应的专属密钥文件。
[0153]
在一可选实施例中，该方法还包括：
[0154]
获取服务器的专属密钥文件及经服务密钥加密的鉴权凭证，并保存在本地。
[0155]
值得说明的是，本实施例中相关的技术细节可参考前述服务鉴权系统中针对第二服务器的相关描述，为节省篇幅，在此不再重复赘述，但这不应造成本申请保护范围的损失。
[0156]
需要说明的是，上述实施例所提供方法的各步骤的执行主体均可以是同一设备，或者，该方法也由不同设备作为执行主体。比如，步骤100至步骤102的执行主体可以为设备a；又比如，步骤100和101的执行主体可以为设备a，步骤102的执行主体可以为设备b；等等。
[0157]
另外，在上述实施例及附图中的描述的一些流程中，包含了按照特定顺序出现的多个操作，但是应该清楚了解，这些操作可以不按照其在本文中出现的顺序来执行或并行执行，操作的序号如100、101等，仅仅是用于区分开各个不同的操作，序号本身不代表任何的执行顺序。另外，这些流程可以包括更多或更少的操作，并且这些操作可以按顺序执行或并行执行。需要说明的是，本文中的“第一”、“第二”等描述，是用于区分不同的服务、服务器、模块等，不代表先后或主次顺序。
[0158]
图6为本申请又一实施例提供的一种鉴权管理设备的结构示意图，如图6所示，该设备包括存储器60和处理器61。
[0159]
处理器61，与存储器60耦合，用于执行存储器中的计算机程序，以用于：
[0160]
根据第一服务器和第二服务器各自的身份信息分别为第一服务器和第二服务器配置专属密钥文件，第一服务器上运行有第一服务，专属密钥文件中包含第一服务的服务密钥；
[0161]
基于服务密钥加密第一服务的鉴权凭证；
[0162]
将加密的鉴权凭证配置给第一服务器和第二服务器，以供第二服务器向第一服务器发送针对第一服务的服务请求，以及供第一服务器对服务请求进行鉴权。
[0163]
在一可选实施例中，处理器61：
[0164]
为第一服务创建服务密钥；
[0165]
获取第一服务器和第二服务器的身份信息；
[0166]
根据服务密钥以及第一服务器和第二服务器各自的身份信息，分别为第一服务器和第二服务器生成专属密钥文件。
[0167]
在一可选实施例中，处理器61在根据服务密钥以及第一服务器和第二服务器各自
的身份信息，分别为第一服务器和第二服务器生成专属密钥文件时，用于：
[0168]
分别以第一服务器和第二服务器的身份信息作为验证字段，以服务密钥作为内容字段，为第一服务器和第二服务器生成专属密钥文件。
[0169]
在一可选实施例中，处理器61还用于：
[0170]
确定第一服务的权限分配信息，权限分配信息中包含不同请求方对第一服务的调用权限范围；
[0171]
将权限分配信息提供给第一服务器，以供第一服务器根据权限分配信息对服务请求进行鉴权。
[0172]
在一可选实施例中，处理器61在将权限分配信息提供给第一服务器时，用于：
[0173]
基于服务密钥对权限分配信息进行加密；
[0174]
将加密的权限分配信息发送给第一服务器。
[0175]
进一步，如图6所示，该鉴权管理设备还包括：通信组件62和电源组件63等其它组件。图6中仅示意性给出部分组件，并不意味着鉴权管理设备只包括图6所示组件。
[0176]
值得说明的是，本实施例中相关的技术细节可参考前述服务鉴权系统中针对鉴权管理设备的相关描述，为节省篇幅，在此不再重复赘述，但这不应造成本申请保护范围的损失。
[0177]
相应地，本申请实施例还提供一种存储有计算机程序的计算机可读存储介质，计算机程序被执行时能够实现上述方法实施例中可由鉴权管理设备执行的各步骤。
[0178]
图7为本申请又一实施例提供的一种服务器的结构示意图，如图7所示，该服务器包括存储器70、处理器71和通信组件72。
[0179]
处理器71，与存储器70及通信组件82耦合，用于执行存储器中的计算机程序，以用于：
[0180]
通过通信组件72接收针对第一服务的服务请求；
[0181]
根据自身的身份信息从服务器的专属密钥文件中获取第一服务的服务密钥；
[0182]
基于服务密钥解密出第一服务的鉴权凭证；
[0183]
根据鉴权凭证对服务请求进行鉴权。
[0184]
在一可选实施例中，处理器71在根据自身的身份信息从服务器的专属密钥文件中获取第一服务的服务密钥时，用于：
[0185]
采集实际的身份信息；
[0186]
根据实际采集到的身份信息，确定服务器的专属密钥文件；
[0187]
从服务器的专属密钥文件中解读出服务密钥。
[0188]
在一可选实施例中，处理器71在根据实际采集到的身份信息，确定服务器的专属密钥文件时，用于：
[0189]
将验证字段中的身份信息与实际采集到的身份信息一致的专属密钥文件，确定为服务器对应的专属密钥文件。
[0190]
在一可选实施例中，处理器71还用于：
[0191]
获取服务器的专属密钥文件及经服务密钥加密的鉴权凭证，并保存在本地。
[0192]
在一可选实施例中，处理器71还用于：
[0193]
获取第一服务的权限分配信息并保存在本地，权限分配信息中包含不同请求方对
第一服务的调用权限范围；
[0194]
基于权限分配信息对服务请求进行鉴权。
[0195]
进一步，如图7所示，该服务器还包括：电源组件73等其它组件。图7中仅示意性给出部分组件，并不意味着服务器只包括图7所示组件。
[0196]
值得说明的是，本实施例中相关的技术细节可参考前述服务鉴权系统中针对第一服务器的相关描述，为节省篇幅，在此不再重复赘述，但这不应造成本申请保护范围的损失。
[0197]
相应地，本申请实施例还提供一种存储有计算机程序的计算机可读存储介质，计算机程序被执行时能够实现上述方法实施例中可由服务器执行的各步骤。
[0198]
图8为本申请又一实施例提供的一种服务器的结构示意图，如图8所示，该服务器包括存储器80、处理器81和通信组件82。
[0199]
处理器81，与存储器80及通信组件82耦合，用于执行存储器80中的计算机程序，以用于：
[0200]
在需要调用第一服务的情况下，根据自身的身份信息从服务器的专属密钥文件中获取第一服务的服务密钥；
[0201]
基于服务密钥解密出第一服务的鉴权凭证；
[0202]
根据鉴权凭证向第一服务所在的服务器发起针对第一服务的服务请求，以供服务器对服务请求进行鉴权。
[0203]
在一可选实施例中，处理器81在根据自身的身份信息从服务器的专属密钥文件中获取第一服务的服务密钥时，用于：
[0204]
采集实际的身份信息；
[0205]
根据实际采集到的身份信息，确定服务器的专属密钥文件；
[0206]
从服务器的专属密钥文件中解读出服务密钥。
[0207]
在一可选实施例中，处理器81在根据实际采集到的身份信息，确定服务器的专属密钥文件时，用于：
[0208]
将验证字段中的身份信息与实际采集到的身份信息一致的专属密钥文件，确定为服务器对应的专属密钥文件。
[0209]
在一可选实施例中，处理器81还用于：
[0210]
获取服务器的专属密钥文件及经服务密钥加密的鉴权凭证，并保存在本地。
[0211]
值得说明的是，本实施例中相关的技术细节可参考前述服务鉴权系统中针对第二服务器的相关描述，为节省篇幅，在此不再重复赘述，但这不应造成本申请保护范围的损失。
[0212]
进一步，如图8所示，该服务器还包括：电源组件83等其它组件。图8中仅示意性给出部分组件，并不意味着服务器只包括图8所示组件。
[0213]
相应地，本申请实施例还提供一种存储有计算机程序的计算机可读存储介质，计算机程序被执行时能够实现上述方法实施例中可由服务器执行的各步骤。
[0214]
其中，图6～8中的存储器，用于存储计算机程序，并可被配置为存储其它各种数据以支持在设备上的操作。存储器可以由任何型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(sram)，电可擦除可编程只读存储器(eeprom)，可擦除可编
程只读存储器(eprom)，可编程只读存储器(prom)，只读存储器(rom)，磁存储器，快闪存储器，磁盘或光盘。
[0215]
其中，图6～8中的通信组件，被配置为便于通信组件所在设备和其他设备之间有线或无线方式的通信。通信组件所在设备可以接入基于通信标准的无线网络，如wifi，2g或3g，或它们的组合。在一个示例性实施例中，通信组件经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，所述通信组件可基于近场通信(nfc)技术、射频识别(rfid)技术、红外数据协会(irda)技术、超宽带(uwb)技术、蓝牙(bt)技术或其它技术来实现，以促进短程通信。
[0216]
其中，图6～8中的电源组件，为电源组件所在设备的各种组件提供电力。电源组件可以包括电源管理系统，一个或多个电源，及其他与为电源组件所在设备生成、管理和分配电力相关联的组件。
[0217]
本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0218]
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0219]
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0220]
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0221]
在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
[0222]
内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。内存是计算机可读介质的示例。
[0223]
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可
编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带式磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
[0224]
还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
[0225]
以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。