本發明公開了一種聯合認證方法、系統、相關平臺及介質，具體為：在身份提供平臺和服務提供平臺對發起方進行聯合認證時，將手機號碼作為發起方的身份標識，將以短信形式傳遞的驗證碼作為認證基礎，對發起方進行身份認證，流程簡單，復雜度低，而且，由于大多數身份提供平臺和服務提供平臺均支持短信協議，所以，該方法適用于大多數的身份提供平臺和服務提供平臺，通用性較強，此外，由于手機號碼具備唯一性，且以短消息形式傳遞的驗證碼不易被非法終端獲取，所以，該方法不僅保證了認證結果的準確性，也盡可能地避免了由于用戶信息被非法盜取，導致安全性較低的問題。

技術領域

本發明涉及身份認證技術領域，尤其涉及一種聯合認證方法、系統、相關平臺及介質。

背景技術

Openstack是當前比較活躍的云平臺，Openstack主要提供了計算服務(即Nova)、對象存儲服務(即Swift)、鏡像服務(即Glance)、身份認證服務(即Keystone)、網絡和地址管理服務(即Neutron)、UI界面服務(即Horizon)、測量服務(即Ceilometer)、部署編排服務(即Heat)和數據庫服務(即Trove)等，其中，Keystone作為一個基礎核心服務，承擔著Openstack中其它服務的認證工作，這必將給Keystone帶來很大的負擔，因此，為了減少Keystone的負擔，基于Keystone服務和第三方服務的聯合認證方式應運而生。

現有技術中，基于Keystone服務和第三方服務的聯合認證方式主要是以Keystone服務為服務提供方(Service Provider，SP)，以第三方服務為身份提供方(IdentityProvider，IDP)，在SP和IDP聯合對向Openstack發起資源訪問請求的發起方進行認證的過程中，SP和IDP需要通過約定的協議(Protocol)建立可信關系，并以約定的協議為基礎，聯合對發起方進行身份認證。

目前，SP和IDP之間可約定的協議主要有安全聲明標記語言(Security AssertionMarkup Language2.0，SAML2.0)協議，OpenIDConnect(即OIDC)協議，輕量目錄訪問協議(Lightweight Directory Access Protocol，LDAP)和網絡認證(Kerberos)協議，可見，SP和IDP需要同時支持上述至少一種協議才能聯合對發起方進行聯合認證，這必然會給這種聯合認證方式帶來局限性，從而導致這種聯合認證方式的通用性較差。而且，在聯合認證的過程中，一般需要將發起方的用戶名和密碼等用戶信息作為發起方的身份標識，通過約定的協議進行封裝并在SP和IDP之間傳遞，若在傳遞過程中用戶信息被非法盜取，不僅會給用戶帶來安全隱患，還會使整個Openstack平臺陷入安全危機。此外，以上述協議為基礎的聯合認證方法的流程也比較復雜，認證效率比較低。

發明內容

本發明實施例提供了一種云平臺的聯合認證方法、系統、相關平臺及介質，用以解決現有技術中的聯合認證方法存在認證流程復雜、通用性較差、安全性較低的問題。

本發明實施例提供的具體技術方案如下：

一種聯合認證方法，應用于包括身份提供平臺、服務提供平臺和終端的聯合認證系統中，包括：

身份提供平臺接收服務提供平臺重定向的資源訪問請求，并獲取與資源訪問請求的發起方相關聯的手機號碼；

身份提供平臺生成第一驗證碼，并基于手機號碼，將第一驗證碼以短消息形式發送至發起方的終端；

身份提供平臺接收發起方基于終端中的第一驗證碼返回的第二驗證碼，并基于第二驗證碼與第一驗證碼是否匹配成功，確定發起方是否認證通過。

較佳的，身份提供平臺接收服務提供平臺重定向的資源訪問請求之后，獲取與資源訪問請求的發起方相關聯的手機號碼之前，該聯合認證方法還包括：