安全認(rèn)證的方法、設(shè)備及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種安全認(rèn)證的方法���、設(shè)備及系統(tǒng)��,涉及信息安全【技術(shù)領(lǐng)域】�����,能夠提高認(rèn)證效率�����,降低資源開銷��。本發(fā)明包括:獲取用戶的數(shù)字證書和第一用戶認(rèn)證信息�����;將所述用戶的數(shù)字證書和第一用戶認(rèn)證信息發(fā)送給認(rèn)證服務(wù)端��,��;接收服務(wù)端發(fā)送的所述認(rèn)證票據(jù)和所述會話密鑰信息��;從所述會話密鑰信息中獲取會話密鑰����,并根據(jù)所述會話密鑰�����,生成第二用戶認(rèn)證信息���;根據(jù)接收的所述認(rèn)證票據(jù)和所述第二用戶認(rèn)證信息����,生成認(rèn)證憑據(jù)���;將所述認(rèn)證憑據(jù)和業(yè)務(wù)請求發(fā)送給業(yè)務(wù)服務(wù)端���。本發(fā)明實(shí)施例主要應(yīng)用于認(rèn)證授權(quán)的流程中�。
【專利說明】安全認(rèn)證的方法���、設(shè)備及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全【技術(shù)領(lǐng)域】�,尤其涉及一種安全認(rèn)證的方法�、設(shè)備及系統(tǒng)。
【背景技術(shù)】
[0002]目前�,分布式應(yīng)用程序的認(rèn)證主要使用基于非對稱加密的PKI (Public KeyInfrastructure,公鑰基礎(chǔ)設(shè)施)技術(shù)或基于對稱加密的Kerberos技術(shù)。其中,PKI使用公私密鑰和數(shù)字證書作為認(rèn)證憑證�。而Kerberos協(xié)議架構(gòu)實(shí)現(xiàn)了 SSO (Single-Sign On,單點(diǎn)登錄),即一次認(rèn)證所得到的結(jié)果可以在后續(xù)認(rèn)證過程中反復(fù)被使用����。
[0003]在實(shí)現(xiàn)上述兩種加密認(rèn)證時(shí),發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問題:當(dāng)使用PKI技術(shù)時(shí)���,用戶每次進(jìn)行業(yè)務(wù)處理之前����,都必須執(zhí)行一次認(rèn)證操作���,認(rèn)證效率比較低�����;當(dāng)使用Kerberos技術(shù)時(shí)�,用戶的認(rèn)證信息必須要同一管理存儲和管理,資源開銷大��。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的實(shí)施例提供一種安全認(rèn)證的方法��、設(shè)備及系統(tǒng)�����,能夠提高認(rèn)證效率���,降低資源開銷。
[0005]為達(dá)到上述目的��,本發(fā)明的實(shí)施例采用如下技術(shù)方案:
[0006]一種安全認(rèn)證的方法�����,包括:
[0007]獲取用戶的數(shù)字證書和第一用戶認(rèn)證信息���;
[0008]將所述用戶的數(shù)字證書和第一用戶認(rèn)證信息發(fā)送給認(rèn)證服務(wù)端��,以使得所述認(rèn)證服務(wù)端在根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息確定所述用戶身法合法時(shí)��,根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息生成認(rèn)證票據(jù)和會話密鑰信息��;
[0009]接收服務(wù)端發(fā)送的所述認(rèn)證票據(jù)和所述會話密鑰信息��;
[0010]從所述會話密鑰信息中獲取會話密鑰�����,并根據(jù)所述會話密鑰���,生成第二用戶認(rèn)證信息����;
[0011]根據(jù)接收的所述認(rèn)證票據(jù)和所述第二用戶認(rèn)證信息��,生成認(rèn)證憑據(jù)���;
[0012]將所述認(rèn)證憑據(jù)和業(yè)務(wù)請求發(fā)送給業(yè)務(wù)服務(wù)端���,以使得所述業(yè)務(wù)服務(wù)端根據(jù)所述認(rèn)證憑據(jù)判斷是否響應(yīng)所述業(yè)務(wù)請求。
[0013]一種安全認(rèn)證的方法�,包括:
[0014]接收客戶端發(fā)送的用戶的數(shù)字證書和第一用戶認(rèn)證信息;
[0015]根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息,生成認(rèn)證票據(jù)和會話密鑰信息���;
[0016]向客戶端發(fā)送所述認(rèn)證票據(jù)和所述會話密鑰��。
[0017]一種安全認(rèn)證的方法�����,包括:
[0018]接收用戶發(fā)送的業(yè)務(wù)請求和認(rèn)證票據(jù)�;
[0019]將所述認(rèn)證票據(jù)發(fā)送給認(rèn)證服務(wù)端���;
[0020]接收所述認(rèn)證服務(wù)端發(fā)送的所述認(rèn)證票據(jù)中攜帶的用戶信息;
[0021]判斷所述用戶信息是否合法����;[0022]若確定所述用戶信息合法,則響應(yīng)所述用戶發(fā)送的業(yè)務(wù)請求���。
[0023]一種客戶端設(shè)備��,包括:
[0024]獲取單元��,用于獲取用戶的數(shù)字證書和第一用戶認(rèn)證信息����;
[0025]發(fā)送單元,用于將所述用戶的數(shù)字證書和第一用戶認(rèn)證信息發(fā)送給認(rèn)證服務(wù)端�,以使得所述認(rèn)證服務(wù)端在根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息確定所述用戶身法合法時(shí),根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息生成認(rèn)證票據(jù)和會話密鑰信息��;
[0026]接收單元����,用于接收服務(wù)端發(fā)送的所述認(rèn)證票據(jù)和所述會話密鑰信息;
[0027]生成單元��,用于從所述會話密鑰信息中獲取會話密鑰�����,并根據(jù)所述會話密鑰�,生成第二用戶認(rèn)證信息;根據(jù)接收的所述認(rèn)證票據(jù)和所述第二用戶認(rèn)證信息�����,生成認(rèn)證憑據(jù)���;
[0028]所述發(fā)送單元�����,還用于將所述認(rèn)證憑據(jù)和業(yè)務(wù)請求發(fā)送給業(yè)務(wù)服務(wù)端��,以使得所述業(yè)務(wù)服務(wù)端根據(jù)所述認(rèn)證憑據(jù)判斷是否響應(yīng)所述業(yè)務(wù)請求��。
[0029]一種認(rèn)證服務(wù)端設(shè)備�����,包括:
[0030]接收單元����,用于接收客戶端發(fā)送的用戶的數(shù)字證書和第一用戶認(rèn)證信息;
[0031]生成單元���,用于根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息,生成認(rèn)證票據(jù)和會話密鑰信息�;
[0032]發(fā)送單元,用于向客戶端發(fā)送所述認(rèn)證票據(jù)和所述會話密鑰�。
[0033]一種業(yè)務(wù)服務(wù)端設(shè)備,包括:
[0034]接收單元���,用于接收用戶發(fā)送的業(yè)務(wù)請求和認(rèn)證票據(jù)���;
[0035]發(fā)送單元�,用于將所述認(rèn)證票據(jù)發(fā)送給認(rèn)證服務(wù)端����;
[0036]所述接收單元,還用于接收所述認(rèn)證服務(wù)端發(fā)送的所述認(rèn)證票據(jù)中攜帶的用戶信息���;
[0037]判斷單元�,用于判斷所述用戶信息是否合法�����;
[0038]業(yè)務(wù)處理單元���,用于在確定所述用戶信息合法時(shí)�����,響應(yīng)所述用戶發(fā)送的業(yè)務(wù)請求��。
[0039]一種安全認(rèn)證的系統(tǒng)���,包括上述客戶端設(shè)備����、認(rèn)證服務(wù)端設(shè)備和業(yè)務(wù)服務(wù)端設(shè)備���。
[0040]本發(fā)明實(shí)施例提供的一種安全認(rèn)證的方法����、設(shè)備及系統(tǒng)��,通過數(shù)字證書和密鑰加密的方法實(shí)現(xiàn)用戶與認(rèn)證服務(wù)器之間的認(rèn)證流程�����,使得服務(wù)器在為用戶進(jìn)行認(rèn)證的過程中���,不需要集中管理和存儲用戶的認(rèn)證信息�����,降低了資源開銷。同時(shí)�����,為每個(gè)用戶對應(yīng)生成了認(rèn)證票據(jù),使得用戶可以使用直接認(rèn)證票據(jù)來實(shí)現(xiàn)后續(xù)業(yè)務(wù)處理過程中的認(rèn)證流程����,不需要每次都對用戶的數(shù)字證書等信息進(jìn)行認(rèn)證,提高了認(rèn)證效率��。
【專利附圖】
【附圖說明】
[0041]為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案����,下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地���,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例�����,對于本領(lǐng)域普通技術(shù)人員來講����,在不付出創(chuàng)造性勞動(dòng)的前提下����,還可以根據(jù)這些附圖獲得其他的附圖。
[0042]圖1為本發(fā)明實(shí)施例1中的一種安全認(rèn)證的方法示意圖���;
[0043]圖2為本發(fā)明實(shí)施例1中的另一種安全認(rèn)證的方法示意圖��;
[0044]圖3為本發(fā)明實(shí)施例1中的另一種安全認(rèn)證的方法示意圖����;
[0045]圖4為本發(fā)明實(shí)施例2中的一種安全認(rèn)證的方法流程圖;[0046]圖5為本發(fā)明實(shí)施例3中的一種客戶端設(shè)備的組成框圖���;
[0047]圖6為本發(fā)明實(shí)施例3中的另一種客戶端設(shè)備的組成框圖���;
[0048]圖7為本發(fā)明實(shí)施例3中的另一種客戶端設(shè)備的組成框圖;
[0049]圖8為本發(fā)明實(shí)施例3中的一種認(rèn)證服務(wù)端設(shè)備的組成框圖�����;
[0050]圖9為本發(fā)明實(shí)施例3中的另一種認(rèn)證服務(wù)端設(shè)備的組成框圖���;
[0051]圖10為本發(fā)明實(shí)施例3中的另一種認(rèn)證服務(wù)端設(shè)備的組成框圖���;
[0052]圖11為本發(fā)明實(shí)施例3中的另一種認(rèn)證服務(wù)端設(shè)備的組成框圖;
[0053]圖12為本發(fā)明實(shí)施例3中的一種業(yè)務(wù)服務(wù)端設(shè)備的組成框圖�����;
[0054]圖13為本發(fā)明實(shí)施例3中的一種安全認(rèn)證系統(tǒng)的組成框圖�。
【具體實(shí)施方式】
[0055]下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚���、完整地描述�����,顯然��,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例�����,而不是全部的實(shí)施例���。基于本發(fā)明中的實(shí)施例�,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍�����。
[0056]實(shí)施例1
[0057]本發(fā)明實(shí)施例提供的一種安全認(rèn)證的方法���,如圖1所示���,該方法可以由客戶端設(shè)備執(zhí)彳T��,包括:
[0058]101����、獲取用戶的數(shù)字證書和第一用戶認(rèn)證信息�����。
[0059]其中��,所述獲取用戶的數(shù)字證書和第一用戶認(rèn)證信息的實(shí)現(xiàn)方法具體包括:
[0060]向所述認(rèn)證服務(wù)端發(fā)送認(rèn)證信息獲取請求���,所述認(rèn)證信息獲取請求包括用戶信息����;接收所述認(rèn)證服務(wù)端根據(jù)所述用戶信息生成的所述用戶的數(shù)字證書和第一用戶認(rèn)證信
肩��、O
[0061]其中���,所述數(shù)字證書中可以攜帶有擁有此數(shù)字證書的用戶的標(biāo)識信息和該用戶的公鑰��,認(rèn)證服務(wù)端使用系統(tǒng)證書私鑰對該用戶的標(biāo)識信息和公鑰進(jìn)行加密處理即可得到數(shù)字證書�。
[0062]其中�����,所述第一用戶認(rèn)證信息中可以攜帶有用戶的標(biāo)識信息��、用戶的角色名�����、用戶認(rèn)證信息生成時(shí)間和由用戶指定的認(rèn)證票據(jù)的相關(guān)時(shí)間����,認(rèn)證服務(wù)端使用用戶的私鑰對這些第一用戶認(rèn)證信息中攜帶的信息進(jìn)行加密處理即可得到該第一用戶認(rèn)證信息。
[0063]其中��,所述由用戶指定的認(rèn)證票據(jù)的相關(guān)時(shí)間包括認(rèn)證票據(jù)開始生效時(shí)間�、開始失效的時(shí)間以及認(rèn)證票據(jù)更新時(shí)間。
[0064]102�����、將所述用戶的數(shù)字證書和第一用戶認(rèn)證信息發(fā)送給認(rèn)證服務(wù)端,以使得所述認(rèn)證服務(wù)端在根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息確定所述用戶身法合法時(shí)�����,根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息生成認(rèn)證票據(jù)和會話密鑰信息�����。
[0065]103��、接收服務(wù)端發(fā)送的所述認(rèn)證票據(jù)和所述會話密鑰信息���。
[0066]其中��,所述認(rèn)證票據(jù)中可以攜帶有會話密鑰���、用戶的標(biāo)識信息、用戶的角色名�����、用戶的地址信息以及認(rèn)證票據(jù)的開始生效時(shí)間���、開始失效的時(shí)間和認(rèn)證票據(jù)更新時(shí)間����,認(rèn)證服務(wù)端使用系統(tǒng)認(rèn)證密鑰對所述認(rèn)證票據(jù)中攜帶的信息進(jìn)行加密即可得到所述認(rèn)證票據(jù)。
[0067]其中����,所述會話密鑰信息中可以攜帶有會話密鑰和第一用戶認(rèn)證信息生成時(shí)間,認(rèn)證服務(wù)端使用用戶的公鑰對所述會話密鑰信息中攜帶的信息進(jìn)行加密即可得到所述會話密鑰信息���。
[0068]104、從所述會話密鑰信息中獲取會話密鑰��,并根據(jù)所述會話密鑰��,生成第二用戶認(rèn)證信息���。
[0069]其中�,所述從所述會話密鑰信息中獲取會話密鑰的實(shí)現(xiàn)方法為使用用戶的公鑰對所述會話密鑰信息進(jìn)行加密處理����,得到所述會話密鑰。
[0070]其中�����,所述根據(jù)所述會話密鑰,生成第二用戶認(rèn)證信息的實(shí)現(xiàn)方法具體為獲取用戶標(biāo)識信息�;使用所述會話密鑰對所述用戶標(biāo)識信息進(jìn)行加密,生成所述第二用戶認(rèn)證信
肩��、O
[0071]值得說明的是����,所述第二用戶認(rèn)證信息和所述第一用戶認(rèn)證信息是針對同一個(gè)用戶的用戶認(rèn)證信息,但是前述兩個(gè)用戶認(rèn)證信息的內(nèi)容不同�����,此處的“第一”和“第二”僅作為區(qū)分具有不同內(nèi)容的認(rèn)證信息的標(biāo)識�����。
[0072]105�、根據(jù)接收的所述認(rèn)證票據(jù)和所述第二用戶認(rèn)證信息,生成認(rèn)證憑據(jù)����。
[0073]106、將所述認(rèn)證憑據(jù)和業(yè)務(wù)請求發(fā)送給業(yè)務(wù)服務(wù)端�,以使得所述業(yè)務(wù)服務(wù)端根據(jù)所述認(rèn)證憑據(jù)判斷是否響應(yīng)所述業(yè)務(wù)請求。
[0074]本發(fā)明實(shí)施例還提供了一種安全認(rèn)證的方法��,如圖2所示,該方法可以由認(rèn)證服務(wù)端設(shè)備實(shí)現(xiàn)�,包括:
[0075]201、接收客戶端發(fā)送的用戶的數(shù)字證書和第一用戶認(rèn)證信息���。
[0076]其中�����,所述數(shù)字證書和第一用戶認(rèn)證信息的有關(guān)描述與所述步驟101中的有關(guān)描述相同���,本發(fā)明實(shí)施例對此不再詳細(xì)描述�。
[0077]202、根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息�,生成認(rèn)證票據(jù)和會話密鑰信
肩、O
[0078]其中��,所述根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息����,生成認(rèn)證票據(jù)和會話密鑰信息的實(shí)現(xiàn)方法包括:
[0079]為所述用戶分配一個(gè)與所述用戶唯一對應(yīng)的會話密鑰,并獲取所述用戶的地址信息�;使用所述用戶的公鑰對所述第一用戶認(rèn)證信息進(jìn)行解密處理,得到所述用戶的身份信息����;使用所述用戶的公鑰對所述會話密鑰進(jìn)行加密處理���,得到所述會話密鑰信息;使用系統(tǒng)認(rèn)證密鑰對所述用戶的會話密鑰��、地址信息和身份信息一起進(jìn)行加密處理�,得到所述認(rèn)證票據(jù)。
[0080]其中���,所述認(rèn)證票據(jù)和會話密鑰信息的有關(guān)描述與所述步驟103中的描述相同����,本發(fā)明實(shí)施例對此不再贅述�。
[0081]203、向客戶端發(fā)送所述認(rèn)證票據(jù)和所述會話密鑰�。
[0082]本發(fā)明實(shí)施例還提供了一種安全認(rèn)證方法,如圖3所示���,該方法可以由業(yè)務(wù)端設(shè)備實(shí)現(xiàn)��,包括:
[0083]301�����、接收用戶發(fā)送的業(yè)務(wù)請求和認(rèn)證票據(jù)���。
[0084]302�、將所述認(rèn)證票據(jù)發(fā)送給認(rèn)證服務(wù)端���。
[0085]303��、接收所述認(rèn)證服務(wù)端發(fā)送的所述認(rèn)證票據(jù)中攜帶的用戶信息�。
[0086]其中����,所述用戶信息中可以攜帶有用戶的標(biāo)識信息和用戶的角色名等信息。
[0087]304�、判斷所述用戶信息是否合法��。[0088]其中��,所述判斷所述用戶信息是否合法的方法可以包括:
[0089]根據(jù)所述用戶的標(biāo)識信息�,在業(yè)務(wù)服務(wù)端中查找是否有此用戶。
[0090]若查找到此用戶����,則認(rèn)為該用戶的標(biāo)識信息合法�����;若查找不到此用戶�����,則認(rèn)為該用戶的標(biāo)識信息不合法����。
[0091]進(jìn)一步判斷該用戶是否具有所述用戶的角色名對應(yīng)的權(quán)限�;
[0092]若該用戶具有對應(yīng)的權(quán)限,則認(rèn)為該用戶的身份信息合法����;否則認(rèn)為該用戶的身份信息不合法。
[0093]305���、若確定所述用戶信息合法��,則響應(yīng)所述用戶發(fā)送的業(yè)務(wù)請求����。
[0094]本發(fā)明實(shí)施例提供了一種安全認(rèn)證的方法��,通過數(shù)字證書和密鑰加密的方法實(shí)現(xiàn)用戶與認(rèn)證服務(wù)器之間的認(rèn)證流程,使得服務(wù)器在為用戶進(jìn)行認(rèn)證的過程中���,不需要集中管理和存儲用戶的認(rèn)證信息���,降低了資源開銷。同時(shí)��,為每個(gè)用戶對應(yīng)生成了認(rèn)證票據(jù)����,使得用戶可以使用直接認(rèn)證票據(jù)來實(shí)現(xiàn)后續(xù)業(yè)務(wù)處理過程中的認(rèn)證流程,不需要每次都對用戶的數(shù)字證書等信息進(jìn)行認(rèn)證����,提高了認(rèn)證效率。
[0095]實(shí)施例2
[0096]本發(fā)明實(shí)施例提供了一種安全認(rèn)證的方法��,可以應(yīng)用于分布式應(yīng)用系統(tǒng)中����,該系統(tǒng)主要包括客戶端設(shè)備��、認(rèn)證服務(wù)端設(shè)備和業(yè)務(wù)服務(wù)端設(shè)備�。
[0097]本發(fā)明實(shí)施例以用戶C的認(rèn)證流程為例具體描述該方法�����,如圖4所示�����,該流程包括:`[0098]401��、客戶端設(shè)備獲取用戶的數(shù)字證書Cert����。和用戶認(rèn)證信息authenticator�。
[0099]其中,所述Certc^P authenticator的具體定義如下表1�。
[0100]表1 Certc^P authenticator 定義式
[0101]
Cert,'i{C, 1?}?
autlienl icaiora{C, role, Ti, t imes} Ki
T.±11Eiieslamp
limesiT1., T;, 1.[0102]其中,C 為用 戶 C 的標(biāo) 識信 息���,.?+為用戶C的公鑰�,Α?為用戶C的私鑰�����,為認(rèn)證服務(wù)端設(shè)備用于為用戶分配數(shù)字證書時(shí)使用的密鑰,role為用戶的角色名���,每個(gè)角色名對應(yīng)一種權(quán)限級別��,T1為認(rèn)證服務(wù)端設(shè)備生成系統(tǒng)時(shí)間���,Tb為由客戶端要求的認(rèn)證票據(jù)ticket開始生效的時(shí)間,Te為由客戶端要求的認(rèn)證票據(jù)ticket開始失效的時(shí)間����,Tr為由客戶端要求的認(rèn)證票據(jù)ticket更新的時(shí)間。
[0103]其中����,所述獲取Certc和authenticator的方法可以為在向認(rèn)證服務(wù)端設(shè)備進(jìn)行認(rèn)證流程之前,用戶通過客戶端設(shè)備向所述認(rèn)證服務(wù)端設(shè)備發(fā)送認(rèn)證信息獲取請求���,所述認(rèn)證信息獲取請求包括用戶信息�;用戶通過客戶端設(shè)備接收所述認(rèn)證服務(wù)端設(shè)備根據(jù)所述用戶信息生成的所述用戶的數(shù)字證書和用戶認(rèn)證信息�����。
[0104]402�����、客戶端設(shè)備將Cert�。和authenticator發(fā)送給認(rèn)證服務(wù)端設(shè)備。[0105]403�、認(rèn)證服務(wù)端設(shè)備對接收到的Certc^P authenticator進(jìn)行驗(yàn)證,用以判斷用戶的身份是否合法。
[0106]其中�����,所述認(rèn)證服務(wù)端設(shè)備對接收到的Cert��。和authenticator進(jìn)行驗(yàn)證的具體流程為:
[0107]使用私解密Cert�����。���,若能解密���,則確定用戶C的數(shù)字證書有效,并進(jìn)一步獲取用戶C的公鑰����,并使用用戶C的公鑰對authenticator進(jìn)行解密;獲取用戶C的標(biāo)識信息以及用戶C的角色名,判斷用戶C是否具有該角色名��,若確定用戶C具有此角色名��,則認(rèn)定用戶C的身份合法��。
[0108]在上述流程中���,若不能解密用戶C的Cert�����?�;虼_定用戶C不具有此角色名�����,則都認(rèn)定用戶C的身份不合法��。
[0109]404�、認(rèn)證服務(wù)端設(shè)備在確定用戶C身份合法之后�����,生成會話密鑰信息sessionkey 以及 ticket。所述 session key 攜帶有 Kss��。
[0110]其中�����,值得說明的是�����,Kss只有認(rèn)證服務(wù)端設(shè)備和用戶C知道�。
[0111]其中�����,session key和ticket的定義如下表2所示���。
[0112]表2session key 和 ticket 的定義式
[0113]
【權(quán)利要求】
1.一種安全認(rèn)證的方法����,其特征在于���,包括: 獲取用戶的數(shù)字證書和第一用戶認(rèn)證信息���; 將所述用戶的數(shù)字證書和第一用戶認(rèn)證信息發(fā)送給認(rèn)證服務(wù)端����,以使得所述認(rèn)證服務(wù)端在根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息確定所述用戶身法合法時(shí)�����,根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息生成認(rèn)證票據(jù)和會話密鑰信息�; 接收服務(wù)端發(fā)送的所述認(rèn)證票據(jù)和所述會話密鑰信息; 從所述會話密鑰信息中獲取會話密鑰���,并根據(jù)所述會話密鑰�,生成第二用戶認(rèn)證信息��; 根據(jù)接收的所述認(rèn)證票據(jù)和所述第二用戶認(rèn)證信息���,生成認(rèn)證憑據(jù)�����; 將所述認(rèn)證憑據(jù)和業(yè)務(wù)請求發(fā)送給業(yè)務(wù)服務(wù)端���,以使得所述業(yè)務(wù)服務(wù)端根據(jù)所述認(rèn)證憑據(jù)判斷是否響應(yīng)所述業(yè)務(wù)請求��。
2.根據(jù)權(quán)利要求1所述的方法�,其特征在于�����,所述獲取用戶的數(shù)字證書和第一用戶認(rèn)證信息包括: 向所述認(rèn)證服務(wù)端發(fā)送認(rèn)證信息獲取請求���,所述認(rèn)證信息獲取請求包括用戶信息; 接收所述認(rèn)證服務(wù)端根據(jù)所述用戶信息生成的所述用戶的數(shù)字證書和第一用戶認(rèn)證信息��。
3.根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述根據(jù)所述會話密鑰�����,生成第二用戶認(rèn)證信息包括: 獲取用戶標(biāo)識信息���; 使用所述會話密鑰對所述用戶標(biāo)識信息進(jìn)行加密���,生成所述第二用戶認(rèn)證信息�����。
4.一種安全認(rèn)證的方法��,其特征在于�,包括: 接收客戶端發(fā)送的用戶的數(shù)字證書和第一用戶認(rèn)證信息�����; 根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息��,生成認(rèn)證票據(jù)和會話密鑰信息��; 向客戶端發(fā)送所述認(rèn)證票據(jù)和所述會話密鑰���。
5.根據(jù)權(quán)利要求4所述的方法��,其特征在于����,在所述根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息��,生成認(rèn)證票據(jù)和會話密鑰信息之前,還包括: 根據(jù)所述用戶的數(shù)字證書和所述第一用戶認(rèn)證信息���,判斷所述用戶的身份是否合法�;若確定所述用戶的身份合法���,則執(zhí)行所述根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息�����,生成認(rèn)證票據(jù)和會話密鑰信息���。
6.根據(jù)權(quán)利要求4或5所述的方法,其特征在于��,所述根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息����,生成認(rèn)證票據(jù)和會話密鑰信息包括: 為所述用戶分配一個(gè)與所述用戶唯一對應(yīng)的會話密鑰���,并獲取所述用戶的地址信息���; 使用所述用戶的公鑰對所述第一用戶認(rèn)證信息進(jìn)行解密處理,得到所述用戶的身份信息�����; 使用所述用戶的公鑰對所述會話密鑰進(jìn)行加密處理,得到所述會話密鑰信息���; 使用系統(tǒng)認(rèn)證密鑰對所述用戶的會話密鑰��、地址信息和身份信息一起進(jìn)行加密處理�����,得到所述認(rèn)證票據(jù)���。
7.根據(jù)權(quán)利要求6所述的方法,其特征在于�,還包括: 接收業(yè)務(wù)服務(wù)端發(fā)送的認(rèn)證票據(jù);使用系統(tǒng)認(rèn)證密鑰對所述認(rèn)證票據(jù)進(jìn)行解密處理��,得到所述業(yè)務(wù)服務(wù)端發(fā)送的認(rèn)證票據(jù)中攜帶的用戶信息����; 將所述業(yè)務(wù)服務(wù)端發(fā)送的認(rèn)證票據(jù)中攜帶的用戶信息發(fā)送給所述業(yè)務(wù)服務(wù)端。
8.一種安全認(rèn)證的方法���,其特征在于��,包括: 接收用戶發(fā)送的業(yè)務(wù)請求和認(rèn)證票據(jù)���; 將所述認(rèn)證票據(jù)發(fā)送給認(rèn)證服務(wù)端����; 接收所述認(rèn)證服務(wù)端發(fā)送的所述認(rèn)證票據(jù)中攜帶的用戶信息����; 判斷所述用戶信息是否合法; 若確定所述用戶信息合法����,則響應(yīng)所述用戶發(fā)送的業(yè)務(wù)請求。
9.根據(jù)權(quán)利要求8所述的方法�,其特征在于,還包括: 若確定所述用戶信息不合法����,則向所述用戶發(fā)送拒絕信息�。
10.一種客戶端設(shè)備,其特征在于���,包括: 獲取單元���,用于獲取用戶的數(shù)字證書和第一用戶認(rèn)證信息��; 發(fā)送單元��,用于將所述用戶的數(shù)字證書和第一用戶認(rèn)證信息發(fā)送給認(rèn)證服務(wù)端��,以使得所述認(rèn)證服務(wù)端在根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息確定所述用戶身法合法時(shí)�����,根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息生成認(rèn)證票據(jù)和會話密鑰信息�; 接收單元����,用于接收服務(wù)端發(fā)送的所述認(rèn)證票據(jù)和所述會話密鑰信息; 生成單元����,用于從所述會話密鑰信息中獲取會話密鑰,并根據(jù)所述會話密鑰��,生成第二用戶認(rèn)證信息����;根據(jù)接收的所述認(rèn)證票據(jù)和所述第二用戶認(rèn)證信息���,生成認(rèn)證憑據(jù); 所述發(fā)送單元����,還用于將所述認(rèn)證憑據(jù)和業(yè)務(wù)請求發(fā)送給業(yè)務(wù)服務(wù)端,以使得所述業(yè)務(wù)服務(wù)端根據(jù)所述認(rèn)證憑據(jù)判斷是否響應(yīng)所述業(yè)務(wù)請求�。
11.根據(jù)權(quán)利要求10所述的客戶端設(shè)備,其特征在于���,所述獲取單元包括: 發(fā)送模塊��,用于向所述認(rèn)證服務(wù)端發(fā)送認(rèn)證信息獲取請求��,所述認(rèn)證信息獲取請求包括用戶信息����; 接收模塊�,用于接收所述認(rèn)證服務(wù)端根據(jù)所述用戶信息生成的所述用戶的數(shù)字證書和第一用戶認(rèn)證信息。
12.根據(jù)權(quán)利要求10所述的客戶端設(shè)備����,其特征在于,所述生成單元包括: 獲取模塊����,用于獲取用戶標(biāo)識信息; 加密模塊���,用于使用所述會話密鑰對所述用戶標(biāo)識信息進(jìn)行加密�����,生成所述第二用戶認(rèn)證信息�����。
13.—種認(rèn)證服務(wù)端設(shè)備����,其特征在于�����,包括: 接收單元���,用于接收客戶端發(fā)送的用戶的數(shù)字證書和第一用戶認(rèn)證信息���; 生成單元��,用于根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息���,生成認(rèn)證票據(jù)和會話密鑰信息; 發(fā)送單元�����,用于向客戶端發(fā)送所述認(rèn)證票據(jù)和所述會話密鑰�����。
14.根據(jù)權(quán)利要求13所述的認(rèn)證服務(wù)端設(shè)備�,其特征在于,還包括: 判斷單元����,用于根據(jù)所述用戶的數(shù)字證書和所述第一用戶認(rèn)證信息,判斷所述用戶的身份是否合法����; 所述生成單元,用于在確定所述用戶的身份合法時(shí)�,根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息����,生成認(rèn)證票據(jù)和會話密鑰信息�����。
15.根據(jù)權(quán)利要求13或14所述的認(rèn)證服務(wù)端設(shè)備�����,其特征在于��,所述生成單元包括: 分配模塊��,用于為所述用戶分配一個(gè)與所述用戶唯一對應(yīng)的會話密鑰����,并獲取所述用戶的地址信息�; 解密模塊,用于使用所述用戶的公鑰對所述第一用戶認(rèn)證信息進(jìn)行解密處理�����,得到所述用戶的身份信息��; 加密模塊,用于使用所述用戶的公鑰對所述會話密鑰進(jìn)行加密處理����,得到所述會話密鑰信息;使用系統(tǒng)認(rèn)證密鑰對所述用戶的會話密鑰��、地址信息和身份信息一起進(jìn)行加密處理�,得到所述認(rèn)證票據(jù)。
16.根據(jù)權(quán)利要求15所述的認(rèn)證服務(wù)端設(shè)備�����,其特征在于�,還包括: 所述接收單元,還用于接收業(yè)務(wù)服務(wù)端發(fā)送的認(rèn)證票據(jù)���; 解密單元����,用于使用系統(tǒng)認(rèn)證密鑰對所述認(rèn)證票據(jù)進(jìn)行解密處理����,得到所述業(yè)務(wù)服務(wù)端發(fā)送的認(rèn)證票據(jù)中攜帶的用戶信息; 所述發(fā)送單元,用于將所述業(yè)務(wù)服務(wù)端發(fā)送的認(rèn)證票據(jù)中攜帶的用戶信息發(fā)送給所述業(yè)務(wù)服務(wù)端��。
17.—種業(yè)務(wù)服務(wù)端設(shè)備�����,其特征在于����,包括: 接收單元��,用于接收用戶發(fā)送的業(yè)務(wù)請求和認(rèn)證票據(jù)��; 發(fā)送單元���,用于將所述認(rèn)證票據(jù)發(fā)送給認(rèn)證服務(wù)端��; 所述接收單元����,還用于 接收所述認(rèn)證服務(wù)端發(fā)送的所述認(rèn)證票據(jù)中攜帶的用戶信息��; 判斷單元����,用于判斷所述用戶信息是否合法��; 業(yè)務(wù)處理單元���,用于在確定所述用戶信息合法時(shí),響應(yīng)所述用戶發(fā)送的業(yè)務(wù)請求�。
18.根據(jù)權(quán)利要求17所述的業(yè)務(wù)服務(wù)端設(shè)備,其特征在于�����,所述業(yè)務(wù)處理單元還用于在確定所述用戶信息不合法時(shí)�,向所述用戶發(fā)送拒絕信息。
19.一種安全認(rèn)證的系統(tǒng)����,其特征在于,包括如權(quán)利要求8-12中任意一項(xiàng)所述的客戶端設(shè)備�、如權(quán)利要求13-16中任意一項(xiàng)所述的認(rèn)證服務(wù)端設(shè)備以及如權(quán)利要求17或18中所述的業(yè)務(wù)服務(wù)端設(shè)備。
【文檔編號】H04L9/32GK103634265SQ201210295708
【公開日】2014年3月12日 申請日期:2012年8月20日 優(yōu)先權(quán)日:2012年8月20日
【發(fā)明者】吳燁, 楊一飛, 歐陽君沛, 楊廣 申請人:騰訊科技(深圳)有限公司