專利名稱:一種實(shí)現(xiàn)身份認(rèn)證的裝置��、系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及認(rèn)證技術(shù)��,特別涉及一種實(shí)現(xiàn)身份認(rèn)證的裝置�����、系統(tǒng)及方法�。
背景技術(shù):
目前�����,隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展�,網(wǎng)上交易已經(jīng)深入到人們的日常生活與工作 中,其中���,“網(wǎng)上銀行”與“電子商務(wù)”的應(yīng)用是最具有代表性的應(yīng)用���。舉例來說,“網(wǎng)上銀行” 作為一種全新的銀行客戶服務(wù)提交渠道���,客戶無論在家里����、辦公室,還是在旅途中都可以通 過互聯(lián)網(wǎng)絡(luò)辦理包括查詢���、轉(zhuǎn)賬、繳費(fèi)等各種銀行業(yè)務(wù)��,管理自己的資產(chǎn)��。但互聯(lián)網(wǎng)技術(shù)在帶給人們極大方便的同時(shí)��,互聯(lián)網(wǎng)絡(luò)的安全性問題也日益突出地 顯現(xiàn)出來��,例如�����,對于網(wǎng)上銀行����,客戶通過互聯(lián)網(wǎng)絡(luò)進(jìn)行交易時(shí),客戶的用戶識(shí)別碼(例如 帳號)和密碼等資料在交易過程中極易被攻擊者攔截或盜取����,攻擊者利用攔截或盜取的用 戶識(shí)別碼和密碼進(jìn)行非法操作�,直接侵害了客戶的利益�����,這不僅直接影響到網(wǎng)上交易的信 譽(yù)���,也對網(wǎng)上交易發(fā)展產(chǎn)生不利的負(fù)面影響�。為了加強(qiáng)互聯(lián)網(wǎng)絡(luò)信息傳輸?shù)陌踩?���,需要建立互?lián)網(wǎng)絡(luò)信息傳輸?shù)陌踩w系, 以保證互聯(lián)網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)只能被有對應(yīng)權(quán)限的人訪問����;同時(shí),還需要提供某種身份驗(yàn) 證機(jī)制���,來保證存儲(chǔ)在互聯(lián)網(wǎng)絡(luò)系統(tǒng)的客戶的用戶身份與使用互聯(lián)網(wǎng)絡(luò)系統(tǒng)的客戶所宣稱 的身份一致����,只有通過身份認(rèn)證的用戶���,才能訪問系統(tǒng)資源和進(jìn)行操作����。因此,對于互聯(lián)網(wǎng) 絡(luò)來說����,身份認(rèn)證管理是整個(gè)信息安全體系的基礎(chǔ),如果沒有有效的身份認(rèn)證管理手段��、方 法和措施�,訪問互聯(lián)網(wǎng)絡(luò)系統(tǒng)的客戶的身份就很容易被攻擊者偽造�,導(dǎo)致攻擊者得以進(jìn)入 安全防范體系。例如�����,近年來國內(nèi)多次發(fā)生的“假冒網(wǎng)站”以及客戶資金被盜案件的主要原 因���,就是由于客戶的用戶身份被盜用�����。下面對現(xiàn)有技術(shù)建立互聯(lián)網(wǎng)絡(luò)信息傳輸?shù)陌踩w系的幾種認(rèn)證技術(shù)進(jìn)行描述�,主 要包括一、動(dòng)態(tài)密碼身份認(rèn)證動(dòng)態(tài)密碼身份認(rèn)證技術(shù)也稱為“一次一密”技術(shù)���,即用戶每次使用的密碼都根據(jù)時(shí) 間或使用次數(shù)等來動(dòng)態(tài)產(chǎn)生�,并且每個(gè)密碼只能使用一次�。用戶設(shè)備可以使用專有令牌來產(chǎn)生動(dòng)態(tài)密碼,在使用時(shí)用戶只需要將令牌上顯示 的當(dāng)前密碼輸入���,認(rèn)證服務(wù)器端采用相同的算法計(jì)算當(dāng)前有效密碼即可實(shí)現(xiàn)身份的確認(rèn)��。具體來說���,動(dòng)態(tài)密碼身份認(rèn)證的原理在于,用戶每次使用的密碼由專有令牌產(chǎn)生��, 而且每次使用的密碼都不相同��,由于密碼使用一次后就失效��,因而��,即使攻擊者截獲該密 碼�����,也無法使用該密碼仿冒合法用戶身份,所以只要認(rèn)證服務(wù)器端通過密碼驗(yàn)證就可以認(rèn) 為該用戶的身份是可靠的��。通過采用一次一密的方法�,動(dòng)態(tài)密碼身份認(rèn)證技術(shù)有效地保證 了用戶身份的安全性,且與后續(xù)提到的IC卡認(rèn)證����、USB Key認(rèn)證、生物特征認(rèn)證相比���,成本較低�,目前的動(dòng)態(tài)密碼方式大多采用硬件方式�、基于時(shí)間同步或事件的令牌�����。雖然��,動(dòng)態(tài)密碼身份認(rèn)證技術(shù)使用方便��,但其安全性并不理想����。例如�,當(dāng)遭遇病毒 或攻擊者的攻擊時(shí)��,如果用戶輸入動(dòng)態(tài)密碼并通過網(wǎng)絡(luò)傳送����,位于用戶設(shè)備與認(rèn)證服務(wù)器 通信通道間的攻擊者便可通過鍵盤監(jiān)聽或內(nèi)存讀取等方式截獲動(dòng)態(tài)密碼后進(jìn)行攻擊,可以 使用戶無法完成登錄���,并造成網(wǎng)絡(luò)連接斷開���、連接超時(shí)等假象;另一方面攻擊者還可以利用 截獲的動(dòng)態(tài)密碼假冒用戶登錄到認(rèn)證服務(wù)器����,進(jìn)行非法操作,使用戶蒙受損失�。二、通用串行總線(USB�,Universal Serial Bus)Key數(shù)字證書身份認(rèn)證USB Key數(shù)字證書身份認(rèn)證通過基于USB接口的USB key硬件設(shè)備來執(zhí)行認(rèn)證, 是近幾年發(fā)展起來的一種身份認(rèn)證技術(shù)�。USB Key采用內(nèi)置單片機(jī)或智能卡芯片,存儲(chǔ)用 戶基于公鑰基礎(chǔ)設(shè)施(PKI��,Public Key Infrastructure)構(gòu)架的數(shù)字證書�����。該數(shù)字證書 是由可信任的第三方認(rèn)證機(jī)構(gòu)頒發(fā)的一組包含用戶身份信息(密鑰)的數(shù)據(jù)結(jié)構(gòu),PKI構(gòu) 架通過采用密碼學(xué)算法構(gòu)建了一套完善的流程來保證數(shù)字證書的持有人的身份和數(shù)據(jù)安 全�。具體來說,數(shù)字證書身份認(rèn)證的原理是發(fā)送方產(chǎn)生一段文字信息并對這段文字信息 進(jìn)行單向不可逆的變換����,然后,發(fā)送方再用自己的秘密密鑰對進(jìn)行單向不可逆的變換生成 的文字變換進(jìn)行加密���,并將產(chǎn)生的原始文字信息和加密后的文字變換結(jié)果傳送給指定的接 收者�,這段經(jīng)過加密后的文字變換結(jié)果就被稱作為數(shù)字簽名����。接收者接收原始文字信息和 加密后的文字變換結(jié)果,將接收到的原始文字信息進(jìn)行同樣的單項(xiàng)不可逆的變換��,同時(shí)利 用發(fā)送方的公開密鑰對接收的加密的文字變換結(jié)果進(jìn)行解密����,如果解密后的文字變換結(jié)果 和接收方自身進(jìn)行的單項(xiàng)不可逆的文字變換結(jié)果一致�����,則接收方認(rèn)為發(fā)送方通過了身份認(rèn) 證,可以相信對方的身份�����。然而�,USB Key數(shù)字證書身份認(rèn)證的數(shù)字證書本身也是一種數(shù)字身份,還是存在被 非法復(fù)制的危險(xiǎn)�,于是,現(xiàn)有的USB Key作為數(shù)字證書存儲(chǔ)介質(zhì)增加了很多自毀措施�����,以確 保在受到破解的時(shí)候自動(dòng)毀滅所存儲(chǔ)的數(shù)字證書��;以及����,強(qiáng)化了 PKI構(gòu)架體系的一些安全 措施,使得USB Key可以保證用戶數(shù)字證書無法被復(fù)制�����。但是���,由于部署和維護(hù)USB Key數(shù)字證書身份認(rèn)證的CA中心的成本非常巨大��,而 且需要在用戶設(shè)備為每一用戶配置一個(gè)USB KEY���,造成用戶使用成本較高�;此外�����,每次使用 時(shí)都需要將USB KEY插入到用戶設(shè)備的USB接口中��,如果用戶設(shè)備不具有USB接口�、或USB 接口損壞、或USB KEY損壞����,用戶將無法訪問CA中心;而且�,不管是簽名信息,還是數(shù)字證 書�����,在網(wǎng)絡(luò)中傳輸時(shí)�����,仍然無法阻止每一次認(rèn)證中的中間人攻擊?���,F(xiàn)有提出的一種改進(jìn)方法是將通信鏈路信道進(jìn)行加密,如使用安全套接層(SSL��, Security Socket Layer)協(xié)議保護(hù)����,可以阻止網(wǎng)絡(luò)截獲簽名信息或數(shù)字證書,但該加密信 道仍然無法阻止每一次認(rèn)證中的連接劫持攻擊����。舉例來說,當(dāng)瀏覽器指向httpS://XXX. com 連接時(shí)�,數(shù)字證書會(huì)在SSL握手期間進(jìn)行交換,數(shù)字證書中保存的公鑰被用于會(huì)話的加密���。 連接時(shí)如果用戶沒有CA中心的公鑰,瀏覽器就會(huì)提示用戶接受還是拒絕這個(gè)數(shù)字證書�,而 對于大量站點(diǎn)發(fā)行的證書,用戶并沒有相應(yīng)站點(diǎn)的公鑰來檢查證書的合法性�����,因而�,對于普 通的交互式客戶程序,例如����,瀏覽器�����,可能造成使SSL連接失去意義�,從而使用戶無法分辨 站點(diǎn)使用未知CA中心的提示信息是真的還是自己遭到了連接劫持攻擊��;進(jìn)一步地�,即使用 戶以前曾經(jīng)瀏覽過這個(gè)站點(diǎn)并保存了它的數(shù)字證書��,也仍然可能被攻擊者得逞�����;另外,由 于目前的攻擊技術(shù)能很容易地突破SSL協(xié)議����,所以即使用戶能夠檢查網(wǎng)站數(shù)字證書的合法
5性�,在身份認(rèn)證中仍會(huì)遭到類似連接劫持的攻擊。三��、生物特征身份認(rèn)證生物特征身份認(rèn)證是基于用戶獨(dú)一無二的生物特征�,例如,指紋識(shí)別����、虹膜識(shí)別等 來驗(yàn)證用戶身份的技術(shù)。由于它直接使用人的物理特征來表示每一個(gè)人的數(shù)字身份����,不同 的人具有相同生物特征的可能性可以忽略不計(jì),因此���,從理論上說�����,生物特征身份認(rèn)證是最 可靠的身份認(rèn)證方式�����。但現(xiàn)有的生物特征身份認(rèn)證����,基于生物特征識(shí)別技術(shù)成熟度的影 響,還具有較大的局限性�。首先,生物特征識(shí)別的準(zhǔn)確性和穩(wěn)定性還有待提高��,特別是如果 用戶身體受到傷病或污漬的影響�����,往往導(dǎo)致無法正常識(shí)別����,造成合法用戶無法登陸的情況; 其次���,由于研發(fā)投入較大和產(chǎn)量較小的原因���,生物特征認(rèn)證系統(tǒng)的成本非常高,目前只適合 于一些安全性要求非常高的場合�,如部隊(duì)等使用���,還無法做到大面積推廣;此外��,如果在網(wǎng) 絡(luò)上傳輸生物特征信息進(jìn)行身份認(rèn)證����,則無法阻止重傳攻擊�����、中間人攻擊等���。重傳攻擊�,即 將截獲的信息重新發(fā)送給驗(yàn)證服務(wù)器進(jìn)行認(rèn)證�����,從而獲取訪問身份的攻擊�;中間人(MITM, Man-in-the-Middle Attack)攻擊�����,是一種“間接”的入侵攻擊,這種攻擊模式是通過各種技 術(shù)手段將受入侵者控制的一臺(tái)計(jì)算機(jī)虛擬放置在網(wǎng)絡(luò)連接中的兩臺(tái)通信計(jì)算機(jī)之間��,這臺(tái) 計(jì)算機(jī)就稱為“中間人”���。然后入侵者把這臺(tái)計(jì)算機(jī)模擬一臺(tái)或兩臺(tái)原始計(jì)算機(jī)�,使“中間 人”能夠與原始計(jì)算機(jī)建立活動(dòng)連接并允許其讀取或修改傳遞的信息�����,然而兩個(gè)原始計(jì)算 機(jī)用戶卻認(rèn)為他們是在互相通信����。通常,這種“攔截?cái)?shù)據(jù)——修改數(shù)據(jù)——發(fā)送數(shù)據(jù)”的過 程就被稱為“會(huì)話劫持”(Session Hijack)����。四、集成電路(IC����,IntegrateCircuit)卡認(rèn)證IC卡認(rèn)證是基于IC卡硬件的不可復(fù)制特性來保證用戶身份不會(huì)被仿冒的技術(shù)。 IC卡內(nèi)置集成電路����,卡片中存有與用戶身份相關(guān)的數(shù)據(jù)�,由專門的廠商通過專門的設(shè)備生 產(chǎn)�,可以認(rèn)為是不可復(fù)制的硬件。IC卡由合法用戶隨身攜帶�����,登錄時(shí)將IC卡插入專用的讀 卡器讀取其中的信息�����,以驗(yàn)證用戶的身份�����。由于每次從IC卡中讀取的數(shù)據(jù)是靜態(tài)的����,攻擊 者通過內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽等技術(shù)比較容易截取到用戶的身份驗(yàn)證信息����,因此存在較大的 安全隱患。由上述可見��,現(xiàn)有常用的身份認(rèn)證方法����,身份認(rèn)證安全性較低��,損害了合法用戶的 利益����,此外���,還存在以下缺陷(一 )�����、身份認(rèn)證技術(shù)實(shí)現(xiàn)復(fù)雜��。如USB KEY數(shù)字證書身份認(rèn)證�;( 二 )��、成本較高���。如USB KEY數(shù)字證書身份認(rèn)證����、生物特征身份認(rèn)證;(三)���、維護(hù)復(fù)雜��。如USBKEY數(shù)字證書認(rèn)證�����;(四)�、適用場景受限�����、方便性差���。如生物特征認(rèn)證、USBKEY數(shù)字證書身份認(rèn)證��。
發(fā)明內(nèi)容
有鑒于此���,本發(fā)明的一個(gè)主要目的在于提供一種實(shí)現(xiàn)身份認(rèn)證的裝置�����,提高身份 認(rèn)證的安全性�、保障合法用戶的利益。本發(fā)明的另一個(gè)主要目的在于提供一種實(shí)現(xiàn)身份認(rèn)證的系統(tǒng)�����,提高身份認(rèn)證的安 全性����、保障合法用戶的利益。本發(fā)明的再一個(gè)主要目的在于提供一種實(shí)現(xiàn)身份認(rèn)證的方法���,提高身份認(rèn)證的安 全性�����、保障合法用戶的利益����。
為達(dá)到上述目的����,本發(fā)明提供了一種實(shí)現(xiàn)身份認(rèn)證的帶外身份認(rèn)證服務(wù)器,所述 帶外身份認(rèn)證服務(wù)器包括信息接收模塊���、信息處理模塊�、帶外身份認(rèn)證憑證信息存儲(chǔ)模 塊、帶外身份認(rèn)證憑證信息比對模塊����、以及信息發(fā)送模塊,其中����,信息接收模塊,用于將接收的來自認(rèn)證授權(quán)執(zhí)行者的帶外身份認(rèn)證請求信息����、以 及用戶設(shè)備返回的帶外身份認(rèn)證憑證信息,發(fā)送至信息處理模塊���;信息處理模塊�,用于根據(jù)接收的帶外身份認(rèn)證請求信息��,生成帶外身份認(rèn)證憑證 信息����,發(fā)送至帶外身份認(rèn)證憑證信息存儲(chǔ)模塊��、以及信息發(fā)送模塊;接收信息接收模塊發(fā)送 的用戶設(shè)備返回的帶外身份認(rèn)證憑證信息��,發(fā)送至帶外身份認(rèn)證憑證信息比對模塊��;帶外身份認(rèn)證憑證信息存儲(chǔ)模塊��,用于存儲(chǔ)信息處理模塊生成的帶外身份認(rèn)證憑 證信息�;帶外身份認(rèn)證憑證信息比對模塊,用于接收來自信息處理模塊的帶外身份認(rèn)證憑 證信息�����,驗(yàn)證是否與帶外身份認(rèn)證憑證信息存儲(chǔ)模塊存儲(chǔ)的帶外身份認(rèn)證憑證信息一致��, 如果一致��,向信息發(fā)送模塊發(fā)送包含帶外身份認(rèn)證成功信息的帶外身份認(rèn)證請求響應(yīng)信 息��;信息發(fā)送模塊��,用于將接收的帶外身份認(rèn)證請求響應(yīng)信息以及帶外身份認(rèn)證憑證 信息發(fā)送����。一種實(shí)現(xiàn)身份認(rèn)證的系統(tǒng),該系統(tǒng)包括認(rèn)證授權(quán)執(zhí)行者��、帶外身份認(rèn)證服務(wù)器、 身份認(rèn)證策略模塊��,其中�,認(rèn)證授權(quán)執(zhí)行者,用于在確定用戶設(shè)備通過普通身份認(rèn)證����,并獲知用戶設(shè)備需要 執(zhí)行帶外身份認(rèn)證時(shí),向帶外身份認(rèn)證服務(wù)器發(fā)送帶外身份認(rèn)證請求信息�����,進(jìn)行帶外身份 認(rèn)證����;如果確定帶外身份認(rèn)證成功,通知用戶設(shè)備進(jìn)入業(yè)務(wù)系統(tǒng)��;帶外身份認(rèn)證服務(wù)器�����,用于接收帶外身份認(rèn)證請求信息���,生成帶外身份認(rèn)證憑證 信息�����,發(fā)送至用戶設(shè)備����;驗(yàn)證用戶設(shè)備返回的帶外身份認(rèn)證憑證信息與自身發(fā)送至用戶設(shè) 備的帶外身份認(rèn)證憑證信息是否一致��,如果一致��,通過認(rèn)證授權(quán)執(zhí)行者通知用戶設(shè)備進(jìn)入 業(yè)務(wù)系統(tǒng)����;身份認(rèn)證策略模塊,用于與認(rèn)證授權(quán)執(zhí)行者交互�,確定自身預(yù)先存儲(chǔ)的身份認(rèn)證 策略中包含用戶設(shè)備的帶外身份認(rèn)證注冊信息,通知認(rèn)證授權(quán)執(zhí)行者執(zhí)行對用戶設(shè)備的帶 外身份認(rèn)證��。所述系統(tǒng)進(jìn)一步包括用戶設(shè)備度量引擎��,用于根據(jù)認(rèn)證授權(quán)執(zhí)行者發(fā)送的度量認(rèn) 證請求信息��,與用戶設(shè)備交互獲取用戶設(shè)備的度量認(rèn)證信息�;對獲取的度量認(rèn)證信息進(jìn)行 度量處理,形成度量值��,與預(yù)先存儲(chǔ)的注冊用戶設(shè)備度量值進(jìn)行匹配比對,如果匹配比對一 致���,則通過認(rèn)證授權(quán)執(zhí)行者與身份認(rèn)證策略模塊交互確定用戶設(shè)備是否進(jìn)行帶外身份認(rèn) 證��。所述帶外身份認(rèn)證服務(wù)器包括信息接收模塊��、信息處理模塊����、帶外身份認(rèn)證憑證 信息存儲(chǔ)模塊�����、帶外身份認(rèn)證憑證信息比對模塊���、以及信息發(fā)送模塊�,其中�,信息接收模塊,用于將接收的來自認(rèn)證授權(quán)執(zhí)行者的帶外身份認(rèn)證請求信息����、以 及用戶設(shè)備返回的帶外身份認(rèn)證憑證信息,發(fā)送至信息處理模塊�����;信息處理模塊��,用于根據(jù)接收的帶外身份認(rèn)證請求信息����,生成帶外身份認(rèn)證憑證 信息,發(fā)送至帶外身份認(rèn)證憑證信息存儲(chǔ)模塊�、以及信息發(fā)送模塊;接收信息接收模塊發(fā)送的用戶設(shè)備返回的帶外身份認(rèn)證憑證信息����,發(fā)送至帶外身份認(rèn)證憑證信息比對模塊;帶外身份認(rèn)證憑證信息存儲(chǔ)模塊��,用于存儲(chǔ)信息處理模塊生成的帶外身份認(rèn)證憑 證信息���;帶外身份認(rèn)證憑證信息比對模塊��,用于接收來自信息處理模塊的帶外身份認(rèn)證憑 證信息�,驗(yàn)證是否與帶外身份認(rèn)證憑證信息存儲(chǔ)模塊存儲(chǔ)的帶外身份認(rèn)證憑證信息一致����, 如果一致����,向信息發(fā)送模塊發(fā)送包含帶外身份認(rèn)證成功信息的帶外身份認(rèn)證請求響應(yīng)信 息����;信息發(fā)送模塊,用于將接收的帶外身份認(rèn)證憑證信息發(fā)送至用戶設(shè)備����,以及將接 收的帶外身份認(rèn)證請求響應(yīng)信息發(fā)送至認(rèn)證授權(quán)執(zhí)行者。所述系統(tǒng)進(jìn)一步包括普通身份認(rèn)證服務(wù)器��,用于與用戶設(shè)備����、認(rèn)證授權(quán)執(zhí)行者交 互,執(zhí)行對用戶的普通身份認(rèn)證��。所述用戶設(shè)備度量引擎包括度量信息收集模塊和度量信息校驗(yàn)?zāi)K����,其中,度量信息收集模塊���,用于根據(jù)預(yù)先存儲(chǔ)的度量信息策略以及接收的度量認(rèn)證請求 信息���,收集用戶設(shè)備的度量認(rèn)證信息����;度量信息校驗(yàn)?zāi)K���,用于對用戶設(shè)備的度量認(rèn)證信息進(jìn)行度量處理,并將處理后 形成的度量值與預(yù)先存儲(chǔ)的所述用戶設(shè)備的注冊用戶設(shè)備度量值進(jìn)行匹配比對�,如果匹配 比對一致,通知所述用戶設(shè)備通過身份認(rèn)證�。一種實(shí)現(xiàn)身份認(rèn)證的方法,該方法包括在確定用戶設(shè)備通過普通身份認(rèn)證后���,認(rèn)證授權(quán)執(zhí)行者從身份認(rèn)證策略模塊獲知 用戶設(shè)備需要執(zhí)行帶外身份認(rèn)證時(shí)��,向帶外身份認(rèn)證服務(wù)器發(fā)送帶外身份認(rèn)證請求信息��;帶外身份認(rèn)證服務(wù)器接收帶外身份認(rèn)證請求信息�����,生成帶外身份認(rèn)證憑證信息��, 發(fā)送至用戶設(shè)備�,驗(yàn)證用戶設(shè)備返回的帶外身份認(rèn)證憑證信息與自身生成的帶外身份認(rèn)證 憑證信息是否一致,如果一致��,則通過認(rèn)證授權(quán)執(zhí)行者通知用戶設(shè)備進(jìn)入業(yè)務(wù)系統(tǒng)����。通過短消息系統(tǒng)、電話或郵件方式發(fā)送所述帶外身份認(rèn)證憑證信息至所述用戶設(shè) 備����。由上述的技術(shù)方案可見,本發(fā)明提供的一種實(shí)現(xiàn)身份認(rèn)證的裝置�、系統(tǒng)及方法,在 現(xiàn)有普通身份認(rèn)證技術(shù)的基礎(chǔ)上��,通過增加對用戶設(shè)備的度量認(rèn)證方式來實(shí)現(xiàn)用戶身份和 用戶使用的用戶設(shè)備的綁定���,阻止網(wǎng)絡(luò)上針對身份認(rèn)證實(shí)施的大部分攻擊�;或者�����,在現(xiàn)有普 通身份認(rèn)證技術(shù)的基礎(chǔ)上���,增加帶外身份認(rèn)證來阻斷網(wǎng)絡(luò)上對用戶身份的攻擊�����;或者����,在現(xiàn) 有普通身份認(rèn)證技術(shù)的基礎(chǔ)上,通過增加對用戶設(shè)備的度量認(rèn)證以及帶外身份認(rèn)證來阻斷 網(wǎng)絡(luò)上對用戶身份的攻擊����,從而提高了身份認(rèn)證的安全性���、保障合法用戶的利益����,解決攻擊 者的中間攻擊�、連接劫持攻擊等問題。而且�,本發(fā)明提供的身份認(rèn)證的系統(tǒng)能夠和已經(jīng)存在 各種身份認(rèn)證系統(tǒng)相兼容,實(shí)施時(shí)無需對原有認(rèn)證系統(tǒng)作過大修改���,投入成本低�、管理維護(hù) 容易、而能夠大大提升身份認(rèn)證系統(tǒng)的安全性���。
圖Ia為本發(fā)明實(shí)現(xiàn)身份認(rèn)證的系統(tǒng)結(jié)構(gòu)示意圖����;圖Ib為本發(fā)明實(shí)現(xiàn)身份認(rèn)證的系統(tǒng)另一結(jié)構(gòu)示意圖;圖2為本發(fā)明實(shí)現(xiàn)身份認(rèn)證的方法流程示意圖3為本發(fā)明實(shí)現(xiàn)身份認(rèn)證策略注冊的流程示意圖;圖4為本發(fā)明實(shí)現(xiàn)身份認(rèn)證的方法具體流程示意圖�����。
具體實(shí)施例方式為使本發(fā)明的目的��、技術(shù)方案和優(yōu)點(diǎn)更加清楚����,下面將結(jié)合附圖及具體實(shí)施例對 本發(fā)明作進(jìn)一步地詳細(xì)描述���。本發(fā)明提供的實(shí)現(xiàn)身份認(rèn)證的裝置�、系統(tǒng)及方法��,在現(xiàn)有身份認(rèn)證技術(shù)的基礎(chǔ)上���, 通過增加對用戶設(shè)備的度量認(rèn)證的方式來實(shí)現(xiàn)用戶身份和用戶使用的用戶設(shè)備的綁定����,可 以阻止網(wǎng)絡(luò)上針對身份認(rèn)證實(shí)施的大部分攻擊、或者��,使攻擊者攻擊的難度加大��;進(jìn)一步 地���,增加帶外身份認(rèn)證來阻斷網(wǎng)絡(luò)上對用戶身份的攻擊���,進(jìn)一步提高身份認(rèn)證的安全性、保 障合法用戶的利益���,從根本上解決攻擊者的中間攻擊���、連接劫持攻擊等問題���。實(shí)際應(yīng)用中�����,由于用戶總是通過用戶設(shè)備執(zhí)行身份認(rèn)證���,下面描述中����,將用戶與用 戶設(shè)備進(jìn)行綁定���。圖Ia為本發(fā)明實(shí)現(xiàn)身份認(rèn)證的系統(tǒng)結(jié)構(gòu)示意圖��,參見圖la���,該系統(tǒng)包括用戶設(shè) 備、認(rèn)證授權(quán)執(zhí)行者�、身份認(rèn)證策略模塊、普通身份認(rèn)證服務(wù)器�、用戶設(shè)備度量引擎,其中�,普通身份認(rèn)證服務(wù)器,用于與用戶設(shè)備�、認(rèn)證授權(quán)執(zhí)行者交互,執(zhí)行對用戶設(shè)備的 普通身份認(rèn)證��;認(rèn)證授權(quán)執(zhí)行者�����,用于在確定用戶設(shè)備通過普通身份認(rèn)證,與身份認(rèn)證策略模塊 交互獲知用戶設(shè)備需要執(zhí)行度量認(rèn)證時(shí)����,向用戶設(shè)備度量引擎發(fā)送度量認(rèn)證請求信息,進(jìn) 行度量認(rèn)證�����;如果確定度量認(rèn)證成功�����,通知用戶設(shè)備進(jìn)入業(yè)務(wù)系統(tǒng)���;實(shí)際應(yīng)用中�����,可以是確定用戶設(shè)備度量引擎返回的度量認(rèn)證請求響應(yīng)信息中包含 綁定成功信息����,認(rèn)為度量認(rèn)證成功�����。身份認(rèn)證策略模塊�,用于與認(rèn)證授權(quán)執(zhí)行者交互,確定自身預(yù)先存儲(chǔ)的身份認(rèn)證 策略中包含用戶設(shè)備的度量認(rèn)證注冊信息�����,通知認(rèn)證授權(quán)執(zhí)行者執(zhí)行對用戶設(shè)備的度量認(rèn) 證��;用戶設(shè)備度量引擎�����,用于接收度量認(rèn)證請求信息���,與用戶設(shè)備交互獲取用戶設(shè)備 的度量認(rèn)證信息�����;對獲取的度量信息進(jìn)行完整性等處理�,形成度量值�����,與預(yù)先存儲(chǔ)的注冊用 戶設(shè)備度量值進(jìn)行匹配比對�,如果匹配比對一致�,則通過認(rèn)證授權(quán)執(zhí)行者通知用戶設(shè)備進(jìn) 入業(yè)務(wù)系統(tǒng)��;如果匹配比對一致���,用戶設(shè)備度量引擎認(rèn)為度量認(rèn)證成功����,向認(rèn)證授權(quán)執(zhí)行者返 回?cái)y帶綁定成功信息的度量認(rèn)證請求響應(yīng)信息����;用戶設(shè)備,用于與用戶設(shè)備度量引擎交互��,將自身的度量認(rèn)證信息發(fā)送至用戶設(shè) 備度量引擎��。用戶設(shè)備度量引擎進(jìn)一步用于接收度量認(rèn)證注冊請求信息��,按照預(yù)先設(shè)置的度量 信息策略��,生成獲取度量認(rèn)證注冊請求信息�����,發(fā)送至用戶設(shè)備�,并對用戶設(shè)備返回的度量認(rèn) 證注冊信息進(jìn)行完整性處理,形成注冊用戶設(shè)備度量值并存儲(chǔ)��。度量認(rèn)證注冊信息包括每個(gè)用戶設(shè)備對應(yīng)的網(wǎng)卡信息��、操作系統(tǒng)信息��、瀏覽器信 息�����、IP地址所在的地理位置信息����、用戶設(shè)備名稱信息、用戶行為信息等�;預(yù)先設(shè)置的度量信息策略可以是度量認(rèn)證注冊信息中的一種或幾種。
9
生成獲取度量認(rèn)證注冊請求信息包括生成與預(yù)先設(shè)置的度量信息策略相對應(yīng)的 信息��,例如�,預(yù)先設(shè)置的度量信息策略包括網(wǎng)卡信息和操作系統(tǒng)信息,則生成包含用戶設(shè)備 網(wǎng)卡信息和操作系統(tǒng)信息的獲取度量認(rèn)證注冊請求信息�,用戶設(shè)備將自身的網(wǎng)卡信息和操 作系統(tǒng)信息攜帶在度量認(rèn)證注冊信息中。實(shí)際應(yīng)用中�����,該系統(tǒng)也可以只包含認(rèn)證授權(quán)執(zhí)行者、用戶設(shè)備度量引擎���、身份認(rèn)證 策略模塊����,用戶利用該系統(tǒng)直接進(jìn)行度量認(rèn)證�,而不需執(zhí)行普通身份認(rèn)證。普通身份認(rèn)證服務(wù)器與用戶設(shè)備��、認(rèn)證授權(quán)執(zhí)行者交互��,執(zhí)行對用戶的普通身份 認(rèn)證�����,普通身份認(rèn)證服務(wù)器采用的身份認(rèn)證技術(shù)可以是動(dòng)態(tài)密碼身份認(rèn)證�����、數(shù)字證書身份 認(rèn)證��、生物特征身份認(rèn)證�����、可信終端身份認(rèn)證等,與現(xiàn)有身份認(rèn)證相類似����,下面進(jìn)行簡要描 述認(rèn)證授權(quán)執(zhí)行者���,用于接收用戶設(shè)備發(fā)送的訪問請求�,向普通身份認(rèn)證服務(wù)器發(fā) 送普通身份認(rèn)證請求�����;接收普通身份認(rèn)證要求信息����,將自身生成的認(rèn)證身份信息和普通身 份認(rèn)證要求信息攜帶在訪問請求響應(yīng)信息中,發(fā)送至用戶設(shè)備����;用戶設(shè)備,用于接收訪問請求響應(yīng)信息��,確定認(rèn)證授權(quán)執(zhí)行者的身份認(rèn)證通過����,向 普通身份認(rèn)證服務(wù)器發(fā)送普通身份認(rèn)證要求響應(yīng)信息���;普通身份認(rèn)證服務(wù)器,用于接收普通身份認(rèn)證請求����,向認(rèn)證授權(quán)執(zhí)行者返回普通 身份認(rèn)證要求信息;根據(jù)接收的普通身份認(rèn)證要求響應(yīng)信息進(jìn)行身份認(rèn)證����,確定用戶設(shè)備 通過普通身份認(rèn)證,向認(rèn)證授權(quán)執(zhí)行者返回?cái)y帶用戶設(shè)備通過普通身份認(rèn)證信息的用戶設(shè) 備認(rèn)證身份響應(yīng)信息��。用戶設(shè)備度量引擎包括探測中間件模塊��、度量信息收集模塊�����、度量信息校驗(yàn)?zāi)K���、 以及度量注冊信息模塊�����,探測中間件模塊�,用于接收度量認(rèn)證請求信息,通知度量信息收集模塊收集用戶 設(shè)備的度量信息�;接收度量信息收集模塊返回的用戶設(shè)備的度量信息,從度量注冊信息模 塊中獲取預(yù)先存儲(chǔ)的該用戶設(shè)備的注冊用戶設(shè)備度量值�����,將用戶設(shè)備的度量信息以及該用 戶設(shè)備的注冊用戶設(shè)備度量值發(fā)送至度量信息校驗(yàn)?zāi)K�;將度量信息校驗(yàn)?zāi)K返回的信息 進(jìn)行發(fā)送����;度量信息收集模塊,用于接收來自探測中間件模塊的通知收集用戶設(shè)備的度量信 息的信息��,根據(jù)預(yù)先存儲(chǔ)的度量信息策略���,收集用戶設(shè)備的度量認(rèn)證信息�����;度量信息校驗(yàn)?zāi)K�,用于對接收的用戶設(shè)備的度量認(rèn)證信息進(jìn)行度量處理��,并將 處理后形成的度量值與接收的用戶設(shè)備的注冊用戶設(shè)備度量值進(jìn)行匹配比對,如果匹配比 對一致�,向探測中間件模塊返回通知所述用戶設(shè)備通過身份認(rèn)證的信息。探測中間件模塊還接收度量認(rèn)證注冊請求信息��,相應(yīng)地����,用戶設(shè)備度量引擎進(jìn)一 步包括度量注冊信息模塊,度量信息收集模塊進(jìn)一步用于根據(jù)預(yù)先存儲(chǔ)的度量信息策略以及來自探測中間 件模塊的通知收集用戶設(shè)備的度量注冊信息的信息����,收集用戶設(shè)備的度量認(rèn)證注冊信息,度量注冊信息模塊���,用于根據(jù)探測中間件模塊發(fā)送的用戶設(shè)備的度量認(rèn)證注冊信 息�,進(jìn)行度量處理�,形成度量值作為所述用戶設(shè)備的注冊用戶設(shè)備度量值。實(shí)際應(yīng)用中���,該用戶設(shè)備度量引擎還可以包括行為分析判斷模塊�,用于收集和記 錄用戶的行為特征�����,并根據(jù)預(yù)先設(shè)定的行為分析算法對用戶的行為特征進(jìn)行判斷和分析。
度量信息策略包括每個(gè)用戶設(shè)備對應(yīng)的網(wǎng)卡信息���、操作系統(tǒng)信息����、瀏覽器信息�、 IP地址所在的地理位置信息、用戶設(shè)備名稱信息��、用戶行為信息中的一種或任意組合����。在本發(fā)明另一實(shí)施例中�,用戶設(shè)備度量引擎包括度量信息收集模塊、度量信息校 驗(yàn)?zāi)K�、度量注冊信息模塊、以及行為分析判斷模塊���,度量信息收集模塊�,用于根據(jù)預(yù)先存儲(chǔ)的度量信息策略以及接收的信息�,收集用 戶設(shè)備的度量信息;實(shí)際應(yīng)用中�,度量信息收集模塊根據(jù)接收的度量認(rèn)證注冊請求信息或度量認(rèn)證請 求信息以及預(yù)先存儲(chǔ)的度量信息策略�����,收集與度量信息策略相關(guān)的用戶設(shè)備的度量信息�����。 具體為�����,度量信息收集模塊將根據(jù)度量認(rèn)證注冊請求收集的與預(yù)先存儲(chǔ)的度量信息策略相 關(guān)的用戶設(shè)備的度量認(rèn)證注冊信息發(fā)送至度量注冊信息模塊�,以及將根據(jù)度量認(rèn)證請求收 集的與度量信息策略相關(guān)的用戶設(shè)備的度量認(rèn)證信息發(fā)送至度量信息校驗(yàn)?zāi)K���;用戶設(shè)備的度量信息包括網(wǎng)卡信息���、操作系統(tǒng)信息、瀏覽器信息�����、IP地址所在的地 理位置信息��、用戶設(shè)備名稱信息、用戶行為信息等信息�����。對應(yīng)于度量認(rèn)證注冊請求信息�,用 戶設(shè)備的度量信息為度量認(rèn)證注冊信息;對應(yīng)于度量認(rèn)證請求信息���,用戶設(shè)備的度量信息 為度量認(rèn)證信息��。預(yù)先存儲(chǔ)的度量信息策略用于指示度量信息收集模塊所應(yīng)收集的用戶設(shè)備的度 量信息�����,例如��,收集用戶設(shè)備的網(wǎng)卡信息��、操作系統(tǒng)信息、瀏覽器信息����、IP地址所在的地理位 置信息、機(jī)器名稱信息�、訪問者行為信息等信息中的一種或一種以上信息。度量信息策略可以針對所有的用戶設(shè)備�����,也可以根據(jù)不同的用戶設(shè)備設(shè)置不同的 度量信息策略。較佳地���,度量信息收集模塊根據(jù)接收的度量認(rèn)證注冊請求信息收集的與度量信息 策略相關(guān)的用戶設(shè)備的度量認(rèn)證注冊信息����,與根據(jù)接收的度量認(rèn)證請求信息收集的與度量 信息策略相關(guān)的用戶設(shè)備的度量認(rèn)證信息相同�����,即����,度量認(rèn)證注冊信息與度量認(rèn)證信息包 含的內(nèi)容相同。不同的是�,其收集用戶設(shè)備的度量信息的時(shí)間點(diǎn)不同。度量信息校驗(yàn)?zāi)K���,用于根據(jù)度量信息收集模塊收集的用戶設(shè)備的度量信息�����,進(jìn) 行度量處理�,并將處理后形成的度量值與度量注冊信息模塊中該用戶設(shè)備的注冊用戶設(shè)備 度量值進(jìn)行匹配比對,如果匹配比對一致���,生成攜帶綁定成功信息的度量認(rèn)證請求響應(yīng)信 息�����,發(fā)送至認(rèn)證授權(quán)執(zhí)行者��;如果匹配比對不一致�����,生成攜帶綁定失敗信息或注冊提示信息 的度量認(rèn)證請求響應(yīng)信息��,發(fā)送至認(rèn)證授權(quán)執(zhí)行者�����。實(shí)際應(yīng)用中�,度量信息校驗(yàn)?zāi)K如果確定匹配比對一致���,相當(dāng)于對用戶和用戶使 用的用戶設(shè)備進(jìn)行綁定,這個(gè)綁定并不唯一,可以根據(jù)使用環(huán)境的變換進(jìn)行靈活增加和變 更����,但進(jìn)行變更前必須通過普通身份認(rèn)證。度量注冊信息模塊���,用于根據(jù)度量信息收集模塊收集的用戶設(shè)備的度量信息��,進(jìn) 行度量處理���,形成度量值作為該用戶設(shè)備的注冊用戶設(shè)備度量值;度量處理包括對選取的用戶設(shè)備的度量信息進(jìn)行完整性處理����,或者數(shù)據(jù)壓縮處 理,或者加密處理等�����。行為分析判斷模塊�����,用于收集和記錄用戶的行為特征���,并根據(jù)預(yù)先設(shè)定的行為分 析算法對用戶的行為特征進(jìn)行判斷和分析���。實(shí)際應(yīng)用中���,用戶設(shè)備度量引擎也可以不包括行為分析判斷模塊。
行為分析判斷模塊通過收集和記錄用戶的行為特征��,并進(jìn)行判斷和分析��,強(qiáng)化對 用戶的安全認(rèn)證��,例如�����,記錄度量信息收集模塊根據(jù)度量認(rèn)證注冊請求收集用戶設(shè)備的度 量信息的時(shí)間信息等用戶的行為特征��,當(dāng)行為分析判斷模塊判斷用戶的行為特征異常時(shí)�, 可以要求用戶執(zhí)行進(jìn)一步的認(rèn)證以確認(rèn)該用戶合法。實(shí)際應(yīng)用中�����,圖1所示的身份認(rèn)證的系統(tǒng)還可以進(jìn)一步包括帶外身份認(rèn)證服務(wù) 器�����,認(rèn)證授權(quán)執(zhí)行者��,用于在確定用戶設(shè)備通過度量認(rèn)證�����,與身份認(rèn)證策略模塊交互 獲知用戶設(shè)備需要執(zhí)行帶外身份認(rèn)證時(shí)�����,向帶外身份認(rèn)證服務(wù)器發(fā)送帶外身份認(rèn)證請求信 息�����;如果確定帶外身份認(rèn)證服務(wù)器返回的帶外身份認(rèn)證請求響應(yīng)信息中包含帶外身份認(rèn)證 成功信息���,通知用戶設(shè)備進(jìn)入業(yè)務(wù)系統(tǒng)���;身份認(rèn)證策略模塊,用于與認(rèn)證授權(quán)執(zhí)行者交互�����,確定自身預(yù)先存儲(chǔ)的身份認(rèn)證 策略中包含用戶設(shè)備的帶外身份認(rèn)證注冊信息,通知認(rèn)證授權(quán)執(zhí)行者執(zhí)行對用戶設(shè)備的帶 外身份認(rèn)證�����;帶外身份認(rèn)證服務(wù)器���,用于接收帶外身份認(rèn)證請求信息���,生成帶外身份認(rèn)證憑證 信息,發(fā)送至用戶設(shè)備���;驗(yàn)證用戶設(shè)備返回的帶外身份認(rèn)證憑證信息與自身發(fā)送至用戶設(shè) 備的帶外身份認(rèn)證憑證信息是否一致�����,如果一致����,向認(rèn)證授權(quán)執(zhí)行者返回包含帶外身份認(rèn) 證成功信息的帶外身份認(rèn)證請求響應(yīng)信息�����。帶外身份認(rèn)證服務(wù)器包括信息接收模塊����、信息處理模塊���、帶外身份認(rèn)證憑證信息 存儲(chǔ)模塊、帶外身份認(rèn)證憑證信息比對模塊�、以及信息發(fā)送模塊�,其中,信息接收模塊����,用于將接收的帶外身份認(rèn)證請求信息、以及用戶設(shè)備返回的帶外 身份認(rèn)證憑證信息�����,發(fā)送至信息處理模塊�����;信息處理模塊����,用于接收帶外身份認(rèn)證請求信息�,生成帶外身份認(rèn)證憑證信息��,發(fā) 送至帶外身份認(rèn)證憑證信息存儲(chǔ)模塊、以及信息發(fā)送模塊;接收信息接收模塊發(fā)送的用戶 設(shè)備返回的帶外身份認(rèn)證憑證信息���,發(fā)送至帶外身份認(rèn)證憑證信息比對模塊���;帶外身份認(rèn)證憑證信息存儲(chǔ)模塊,用于存儲(chǔ)信息處理模塊生成的帶外身份認(rèn)證憑 證信息;帶外身份認(rèn)證憑證信息比對模塊,用于驗(yàn)證來自信息處理模塊的帶外身份認(rèn)證憑 證信息是否與來自帶外身份認(rèn)證憑證信息存儲(chǔ)模塊存儲(chǔ)的帶外身份認(rèn)證憑證信息一致,如 果一致���,向信息發(fā)送模塊發(fā)送包含帶外身份認(rèn)證成功信息的帶外身份認(rèn)證請求響應(yīng)信息�;信息發(fā)送模塊,用于將接收的帶外身份認(rèn)證憑證信息發(fā)送至用戶設(shè)備����,以及將接 收的帶外身份認(rèn)證請求響應(yīng)信息發(fā)送至認(rèn)證授權(quán)執(zhí)行者。本實(shí)施例中����,身份認(rèn)證策略模塊實(shí)際是一個(gè)數(shù)據(jù)庫服務(wù)器����,存放每個(gè)用戶的身份 認(rèn)證策略,一個(gè)用戶對應(yīng)一條身份認(rèn)證策略���,身份認(rèn)證策略形式可以表示為用戶-普通身 份認(rèn)證_度量認(rèn)證-帶外身份認(rèn)證�����,也可以表示為用戶-普通身份認(rèn)證-度量認(rèn)證��,還可 以表示為用戶-普通身份認(rèn)證-帶外身份認(rèn)證����。度量值可以是對度量信息進(jìn)行完整性運(yùn) 算后得到的完整性值�。圖Ib為本發(fā)明實(shí)現(xiàn)身份認(rèn)證的系統(tǒng)另一結(jié)構(gòu)示意圖���,參見圖lb����,該系統(tǒng)包括用 戶設(shè)備��、認(rèn)證授權(quán)執(zhí)行者�、身份認(rèn)證策略模塊�、普通身份認(rèn)證服務(wù)器�、帶外身份認(rèn)證服務(wù)器�����, 其中���,
普通身份認(rèn)證服務(wù)器,用于與用戶設(shè)備�����、認(rèn)證授權(quán)執(zhí)行者交互,執(zhí)行對用戶的普通 身份認(rèn)證��;認(rèn)證授權(quán)執(zhí)行者����,用于在確定用戶設(shè)備通過普通身份認(rèn)證,與身份認(rèn)證策略模塊 交互獲知用戶設(shè)備需要執(zhí)行帶外身份認(rèn)證時(shí)����,向帶外身份認(rèn)證服務(wù)器發(fā)送帶外身份認(rèn)證請 求信息,進(jìn)行帶外身份認(rèn)證�����;如果確定帶外身份認(rèn)證成功�,通知用戶設(shè)備進(jìn)入業(yè)務(wù)系統(tǒng);實(shí)際應(yīng)用中��,帶外身份認(rèn)證服務(wù)器如果確定帶外身份認(rèn)證成功��,向認(rèn)證授權(quán)執(zhí)行 者返回帶外身份認(rèn)證請求響應(yīng)信息�����,包含帶外身份認(rèn)證成功信息,認(rèn)證授權(quán)執(zhí)行者接收帶 外身份認(rèn)證請求響應(yīng)信息�����,根據(jù)包含的帶外身份認(rèn)證成功信息��,通知用戶設(shè)備進(jìn)入業(yè)務(wù)系 統(tǒng)��。身份認(rèn)證策略模塊�����,用于與認(rèn)證授權(quán)執(zhí)行者交互���,確定自身預(yù)先存儲(chǔ)的身份認(rèn)證 策略中包含用戶設(shè)備的帶外身份認(rèn)證注冊信息���,通知認(rèn)證授權(quán)執(zhí)行者執(zhí)行對用戶設(shè)備的帶 外身份認(rèn)證;帶外身份認(rèn)證服務(wù)器��,用于接收帶外身份認(rèn)證請求信息�,生成帶外身份認(rèn)證憑證 信息,發(fā)送至用戶設(shè)備���;驗(yàn)證用戶設(shè)備返回的帶外身份認(rèn)證憑證信息與自身發(fā)送至用戶設(shè) 備的帶外身份認(rèn)證憑證信息是否一致�����,如果一致��,通過認(rèn)證授權(quán)執(zhí)行者通知用戶設(shè)備進(jìn)入 業(yè)務(wù)系統(tǒng)�����。實(shí)際應(yīng)用中����,帶外身份認(rèn)證服務(wù)器確定帶外身份認(rèn)證成功����,向認(rèn)證授權(quán)執(zhí)行者返 回包含帶外身份認(rèn)證成功信息的帶外身份認(rèn)證請求響應(yīng)信息。帶外身份認(rèn)證服務(wù)器結(jié)構(gòu)與 圖Ia中的帶外身份認(rèn)證服務(wù)器結(jié)構(gòu)相類似�����,在此不再贅述���。 實(shí)際應(yīng)用中���,用戶設(shè)備可以通過該系統(tǒng)完成帶外身份認(rèn)證注冊�����。普通身份認(rèn)證服務(wù)器�����,用于與用戶設(shè)備�、認(rèn)證授權(quán)執(zhí)行者交互�����,執(zhí)行對用戶的普通 身份認(rèn)證�����;認(rèn)證授權(quán)執(zhí)行者����,用于在確定用戶設(shè)備通過普通身份認(rèn)證后,向用戶設(shè)備詢問是 否注冊帶外認(rèn)證策略�;接收到用戶設(shè)備發(fā)送的帶外認(rèn)證策略注冊信息,發(fā)送至身份認(rèn)證策 略模塊�����;身份認(rèn)證策略模塊,用于接收帶外認(rèn)證策略注冊信息���,為該用戶設(shè)備執(zhí)行帶外認(rèn) 證策略注冊�����。本實(shí)施例中��,也可以單獨(dú)應(yīng)用用戶設(shè)備度量引擎或帶外身份認(rèn)證服務(wù)器完成身份 認(rèn)證�。圖2為本發(fā)明實(shí)現(xiàn)身份認(rèn)證的方法流程示意圖��,參見圖2���,該流程包括步驟201,用戶設(shè)備向認(rèn)證授權(quán)執(zhí)行者發(fā)送訪問請求�����;步驟202�,認(rèn)證授權(quán)執(zhí)行者接收訪問請求,向普通身份認(rèn)證服務(wù)器發(fā)送普通身份認(rèn) 證請求���,接收返回的普通身份認(rèn)證要求信息���,向用戶設(shè)備發(fā)送訪問請求響應(yīng)信息�����,攜帶自身 認(rèn)證身份信息�;本步驟中����,認(rèn)證授權(quán)執(zhí)行者接收訪問請求,可以根據(jù)訪問請求包含的用戶設(shè)備標(biāo) 識(shí)����,確定對該用戶設(shè)備的身份認(rèn)證策略,身份認(rèn)證策略可以是用戶設(shè)備預(yù)先設(shè)置在認(rèn)證授 權(quán)執(zhí)行者中���,例如���,設(shè)置普通身份認(rèn)證標(biāo)識(shí)為1,度量認(rèn)證標(biāo)識(shí)為2��,帶外身份認(rèn)證標(biāo)識(shí)為3���, 標(biāo)識(shí)高的認(rèn)證同時(shí)包含對標(biāo)識(shí)低的認(rèn)證�����。舉例來說����,如果用戶設(shè)備預(yù)先設(shè)置的身份認(rèn)證策 略標(biāo)識(shí)為3,則表示用戶設(shè)備需要依次進(jìn)行普通身份認(rèn)證�、度量認(rèn)證、以及帶外身份認(rèn)證�;也可以是將身份認(rèn)證策略設(shè)置在身份認(rèn)證策略模塊中,而默認(rèn)普通身份認(rèn)證為必須執(zhí)行的 流程�����,在普通身份認(rèn)證通過后�����,由認(rèn)證授權(quán)執(zhí)行者查詢身份認(rèn)證策略模塊中的身份認(rèn)證策 略����,從而獲取是否還需要執(zhí)行度量認(rèn)證��、或帶外身份認(rèn)證、或度量認(rèn)證和帶外身份認(rèn)證��。本實(shí)施例中�����,需要對用戶設(shè)備依次進(jìn)行普通身份認(rèn)證���、度量認(rèn)證��、以及帶外身份認(rèn) 證�。認(rèn)證授權(quán)執(zhí)行者接收訪問請求����,確定用戶設(shè)備身份認(rèn)證策略標(biāo)識(shí)后,向普通身份 認(rèn)證服務(wù)器發(fā)送普通身份認(rèn)證請求��,接收普通身份認(rèn)證服務(wù)器返回的普通身份認(rèn)證要求信 息�����,向用戶設(shè)備發(fā)送訪問請求響應(yīng)信息��,攜帶自身認(rèn)證身份信息�����,自身認(rèn)證身份信息可以是 認(rèn)證授權(quán)執(zhí)行者用自身私鑰生成的數(shù)字簽名信息。實(shí)際應(yīng)用中�,認(rèn)證授權(quán)執(zhí)行者根據(jù)用戶設(shè)備的不同應(yīng)用以及用戶設(shè)備所支持的身 份認(rèn)證技術(shù),可以采用相應(yīng)的動(dòng)態(tài)密碼身份認(rèn)證���、USB Key數(shù)字證書身份認(rèn)證����、生物特征身 份認(rèn)證或IC卡認(rèn)證方式�,向用戶設(shè)備發(fā)送對應(yīng)的認(rèn)證身份信息。步驟203�,用戶設(shè)備接收訪問請求響應(yīng)信息,驗(yàn)證認(rèn)證授權(quán)執(zhí)行者的認(rèn)證身份信 息�����,如驗(yàn)證通過����,向驗(yàn)證認(rèn)證授權(quán)執(zhí)行者返回普通身份認(rèn)證要求響應(yīng)信息��;本步驟中���,用戶設(shè)備接收訪問請求響應(yīng)信息�����,根據(jù)認(rèn)證授權(quán)執(zhí)行者發(fā)送的認(rèn)證身 份信息����,采用對應(yīng)的認(rèn)證方式,例如�,認(rèn)證授權(quán)執(zhí)行者采用動(dòng)態(tài)密碼身份認(rèn)證發(fā)送認(rèn)證身 份信息,則用戶設(shè)備采用對應(yīng)的動(dòng)態(tài)密碼身份認(rèn)證技術(shù)驗(yàn)證認(rèn)證授權(quán)執(zhí)行者的認(rèn)證身份信 息��,驗(yàn)證流程與現(xiàn)有流程相類似����,在此不再贅述。如果用戶設(shè)備通過對認(rèn)證授權(quán)執(zhí)行者的認(rèn)證身份信息驗(yàn)證����,則認(rèn)為該認(rèn)證授權(quán)執(zhí) 行者是可信任的,用戶設(shè)備將自身認(rèn)證身份信息進(jìn)行處理����,如一次密碼、簽名信息、生物特 征等�����,并將處理的認(rèn)證身份信息攜帶在普通身份認(rèn)證要求響應(yīng)信息中��;否則�,向認(rèn)證授權(quán)執(zhí) 行者返回?cái)y帶認(rèn)證失敗的普通身份認(rèn)證要求響應(yīng)信息。步驟204�,認(rèn)證授權(quán)執(zhí)行者接收普通身份要求響應(yīng)信息,將包含的用戶設(shè)備認(rèn)證身 份信息向普通身份認(rèn)證服務(wù)器發(fā)送�;步驟205,普通身份認(rèn)證服務(wù)器接收用戶設(shè)備認(rèn)證身份信息����,進(jìn)行身份認(rèn)證,向認(rèn) 證授權(quán)執(zhí)行者返回用戶設(shè)備認(rèn)證身份響應(yīng)信息�����;本步驟中��,普通身份認(rèn)證服務(wù)器接收用戶設(shè)備認(rèn)證身份信息�����,進(jìn)行身份認(rèn)證的流 程與現(xiàn)有身份認(rèn)證流程相類似�,在此不再贅述。如果身份認(rèn)證通過�����,則在返回的用戶設(shè)備認(rèn)證身份響應(yīng)信息中攜帶認(rèn)證身份成功 信息�,否則,在返回的用戶設(shè)備認(rèn)證身份響應(yīng)信息中攜帶認(rèn)證身份失敗信息�����,拒絕用戶設(shè)備 的認(rèn)證請求�����。步驟206���,認(rèn)證授權(quán)執(zhí)行者接收用戶設(shè)備認(rèn)證身份響應(yīng)信息��,確定身份認(rèn)證通過��, 發(fā)送度量認(rèn)證請求信息�;本步驟中�,如果認(rèn)證授權(quán)執(zhí)行者已確定用戶設(shè)備身份認(rèn)證策略標(biāo)識(shí)���,如本實(shí)施例 中,需要依次對用戶設(shè)備再進(jìn)行度量認(rèn)證和帶外身份認(rèn)證�,向用戶設(shè)備度量引擎發(fā)送度量 認(rèn)證請求信息。如果用戶的身份認(rèn)證策略存儲(chǔ)在身份認(rèn)證策略模塊中�����,則向身份認(rèn)證策略模塊發(fā) 送度量認(rèn)證查詢請求信息�,執(zhí)行步驟206a 步驟206b (圖中未示出)。步驟206a�,身份認(rèn)證策略模塊接收度量認(rèn)證查詢請求信息,查詢存儲(chǔ)的身份認(rèn)證
14策略���,向認(rèn)證授權(quán)執(zhí)行者返回度量認(rèn)證查詢請求響應(yīng)信息����;本步驟中���,身份認(rèn)證策略模塊接收度量認(rèn)證查詢請求信息�,根據(jù)查詢得到的身份 認(rèn)證策略�����,確定是否需要執(zhí)行進(jìn)一步的身份認(rèn)證,如不需要����,向認(rèn)證授權(quán)執(zhí)行者返回度量認(rèn) 證查詢請求響應(yīng)信息��,通知用戶設(shè)備可以進(jìn)入業(yè)務(wù)系統(tǒng)�����;如果需要�����,向認(rèn)證授權(quán)執(zhí)行者返回 度量認(rèn)證查詢請求響應(yīng)信息�,指示認(rèn)證授權(quán)執(zhí)行者執(zhí)行后續(xù)的身份認(rèn)證。實(shí)際應(yīng)用中����,如果身份認(rèn)證策略模塊查詢到用戶需要執(zhí)行度量認(rèn)證和帶外身份認(rèn) 證時(shí),可以是將用戶設(shè)備身份認(rèn)證策略標(biāo)識(shí)攜帶在度量認(rèn)證查詢請求響應(yīng)信息中���,后續(xù)中 當(dāng)度量認(rèn)證通過時(shí)�,不再向身份認(rèn)證策略模塊發(fā)送帶外身份認(rèn)證查詢請求信息��,而是直接 執(zhí)行帶外身份認(rèn)證;當(dāng)然���,實(shí)際應(yīng)用中���,也可以是在后續(xù)中度量認(rèn)證通過時(shí),再向身份認(rèn)證 策略模塊發(fā)送帶外身份認(rèn)證查詢請求信息����,獲取用戶是否需要執(zhí)行帶外身份認(rèn)證的信息。步驟206b�,身份認(rèn)證策略模塊接收度量認(rèn)證查詢請求響應(yīng)信息,確定需要進(jìn)行度 量認(rèn)證�����,發(fā)送度量認(rèn)證請求信息����;本步驟中,如果接收的度量認(rèn)證查詢請求響應(yīng)信息中包含不需要再認(rèn)證信息���,通 知用戶設(shè)備可以進(jìn)入業(yè)務(wù)系統(tǒng)�����;否則���,根據(jù)度量認(rèn)證查詢請求響應(yīng)信息中包含的指示信息���, 如用戶設(shè)備身份認(rèn)證策略標(biāo)識(shí),向用戶設(shè)備度量引擎發(fā)送度量認(rèn)證請求信息����。步驟207����,用戶設(shè)備度量引擎接收度量認(rèn)證請求信息,執(zhí)行對用戶設(shè)備的度量認(rèn) 證�,向認(rèn)證授權(quán)執(zhí)行者返回度量認(rèn)證請求響應(yīng)信息;本步驟中��,用戶設(shè)備度量引擎接收度量認(rèn)證請求信息���,獲取該用戶設(shè)備的度量認(rèn) 證信息����,對該度量認(rèn)證信息進(jìn)行度量處理�,例如���,對度量認(rèn)證信息執(zhí)行完整性處理,形成度 量值���,與預(yù)先存儲(chǔ)的用戶注冊的度量值進(jìn)行匹配比對�,如果匹配比對一致�����,則向認(rèn)證授權(quán)執(zhí) 行者返回度量認(rèn)證請求響應(yīng)信息�����,攜帶綁定成功信息����;如果匹配比對不一致,則向認(rèn)證授權(quán) 執(zhí)行者返回度量認(rèn)證請求響應(yīng)信息��,攜帶綁定失敗信息或注冊提示信息�。用戶設(shè)備度量引擎接收度量認(rèn)證請求信息,執(zhí)行對用戶設(shè)備的度量認(rèn)證時(shí)���,可以 是主動(dòng)搜集用戶設(shè)備的度量認(rèn)證信息���;也可以是用戶設(shè)備度量引擎監(jiān)測到用戶設(shè)備上電 后����,主動(dòng)搜集用戶設(shè)備的度量認(rèn)證信息并進(jìn)行存儲(chǔ)�����。較佳地��,收集用戶設(shè)備的度量認(rèn)證信息 采用非標(biāo)準(zhǔn)協(xié)議���,這樣,增加攻擊者獲知用戶設(shè)備度量引擎收集度量信息行為的發(fā)生時(shí)間 的難度�����。用戶設(shè)備的度量認(rèn)證信息包括但不限于網(wǎng)卡信息����、操作系統(tǒng)信息、瀏覽器信息����、 IP地址所在的地理位置信息��、用戶設(shè)備名稱信息或用戶行為信息�,或任意組合���。如果匹配比對一致���,例如將收集到的網(wǎng)卡信息、操作系統(tǒng)信息�����、瀏覽器信息等進(jìn)行 完整性計(jì)算���,獲得完整性值�����,與數(shù)據(jù)庫中注冊的完整性值作匹配比對����,如果一致�����,將用戶設(shè) 備身份與用戶設(shè)備進(jìn)行綁定,這樣�,由于是認(rèn)證服務(wù)側(cè)的用戶設(shè)備度量引擎主動(dòng)收集用戶 設(shè)備度量信息,對于一個(gè)攻擊者����,無法阻止或偽造認(rèn)證服務(wù)側(cè)對用戶設(shè)備的度量信息收集, 因而�����,強(qiáng)化了用戶設(shè)備身份認(rèn)證的安全性����,可以有效阻止重傳攻擊、中間人攻擊等�����。具體來說�����,當(dāng)對用戶的普通認(rèn)證完成后����,根據(jù)用戶設(shè)備身份認(rèn)證策略,由認(rèn)證側(cè)的 用戶設(shè)備度量引擎主動(dòng)發(fā)起對用戶設(shè)備的度量認(rèn)證信息收集���,攻擊者很難確定收集度量認(rèn) 證信息行為的發(fā)生時(shí)間(除非控制驗(yàn)證服務(wù)側(cè)的服務(wù)器)�;而且�����,收集用戶設(shè)備的度量認(rèn)證 信息采用非標(biāo)準(zhǔn)協(xié)議�,也增加了攻擊者獲知用戶設(shè)備度量引擎收集度量認(rèn)證信息行為的發(fā) 生時(shí)間的難度。
步驟208����,認(rèn)證授權(quán)執(zhí)行者接收度量認(rèn)證請求響應(yīng)信息,如果確定需要執(zhí)行帶外身 份認(rèn)證�,向帶外身份認(rèn)證服務(wù)器發(fā)送帶外身份認(rèn)證請求;本步驟中���,如果度量認(rèn)證請求響應(yīng)信息中攜帶有綁定成功信息���,則認(rèn)證授權(quán)執(zhí)行 者根據(jù)已確定的用戶設(shè)備身份認(rèn)證策略標(biāo)識(shí),或�,向認(rèn)證策略服務(wù)器查詢獲取的用戶帶外 身份認(rèn)證策略狀況���,如果確定用戶設(shè)備不需要進(jìn)行后續(xù)認(rèn)證,通知用戶設(shè)備可以進(jìn)入業(yè)務(wù) 系統(tǒng)����;如果確定用戶設(shè)備需要進(jìn)行后續(xù)認(rèn)證,向帶外身份認(rèn)證服務(wù)器發(fā)送帶外身份認(rèn)證請 求����。如果度量認(rèn)證請求響應(yīng)信息中攜帶有綁定失敗信息或注冊提示信息,則認(rèn)證授權(quán) 執(zhí)行者通知用戶設(shè)備綁定失敗或重新進(jìn)行注冊����,拒絕用戶設(shè)備進(jìn)入業(yè)務(wù)系統(tǒng)。步驟209����,帶外身份認(rèn)證服務(wù)器接收帶外身份認(rèn)證請求,生成帶外身份認(rèn)證憑證信 息����,發(fā)送至用戶設(shè)備;本步驟中����,帶外身份認(rèn)證服務(wù)器接收帶外身份認(rèn)證請求,生成帶外身份認(rèn)證憑證 信息��,如一次密碼���、電話���、短消息、郵件等��,并通過傳輸系統(tǒng)�,例如,短消息系統(tǒng)��、電話或郵件 等方式發(fā)送至用戶���。步驟210�,用戶設(shè)備接收帶外身份認(rèn)證憑證信息并返回給帶外身份認(rèn)證服務(wù)器�����;本步驟中���,用戶設(shè)備接收帶外身份認(rèn)證憑證信息�,通過與接收帶外身份認(rèn)證憑證 信息同樣的傳輸系統(tǒng),例如���,短消息系統(tǒng)�、電話或郵件等方式���,將接收的帶外身份認(rèn)證憑證 信息發(fā)送至帶外身份認(rèn)證服務(wù)器��。步驟211�����,帶外身份認(rèn)證服務(wù)器接收帶外身份認(rèn)證憑證信息����,向認(rèn)證授權(quán)執(zhí)行者返 回帶外身份認(rèn)證請求響應(yīng)信息����;本步驟中,帶外身份認(rèn)證服務(wù)器接收帶外身份認(rèn)證憑證信息�����,將接收的帶外身份 認(rèn)證憑證信息與自身發(fā)送至用戶的帶外身份認(rèn)證憑證信息進(jìn)行驗(yàn)證��,如果一致,則帶外身 份認(rèn)證通過�,向認(rèn)證授權(quán)執(zhí)行者返回帶外身份認(rèn)證請求響應(yīng)信息����,攜帶帶外身份認(rèn)證成功 信息;如果在預(yù)設(shè)的時(shí)間窗口內(nèi)沒有接收到用戶的反饋信息(帶外身份認(rèn)證憑證信息)�����,或 用戶返回的帶外身份認(rèn)證憑證信息與自身發(fā)送至用戶的帶外身份認(rèn)證憑證信息不一致����,則 向認(rèn)證授權(quán)執(zhí)行者返回帶外身份認(rèn)證請求響應(yīng)信息,攜帶帶外身份認(rèn)證失敗信息�����,或注冊 提示信息�。步驟212,認(rèn)證授權(quán)執(zhí)行者接收帶外身份認(rèn)證請求響應(yīng)信息��,確定帶外身份認(rèn)證通 過�����,通知用戶設(shè)備可以進(jìn)入業(yè)務(wù)系統(tǒng)。本步驟中�,如果返回的帶外身份認(rèn)證請求響應(yīng)信息包含帶外身份認(rèn)證失敗信息, 或注冊提示信息���,通知用戶設(shè)備帶外身份認(rèn)證失敗或重新進(jìn)行注冊���,拒絕用戶設(shè)備進(jìn)入業(yè) 務(wù)系統(tǒng)。至此����,該流程結(jié)束。圖3為本發(fā)明實(shí)現(xiàn)身份認(rèn)證策略注冊的流程示意圖��,參見圖3���,該流程包括步驟301��,用戶設(shè)備(來訪的用戶)向認(rèn)證授權(quán)執(zhí)行者請求訪問��,并要求對認(rèn)證授 權(quán)執(zhí)行者進(jìn)行可信身份認(rèn)證�;步驟302�,認(rèn)證授權(quán)執(zhí)行者向普通身份認(rèn)證服務(wù)器請求對來訪的用戶的身份認(rèn)證, 普通身份認(rèn)證服務(wù)器通過用戶設(shè)備向來訪的用戶返回相應(yīng)的身份認(rèn)證要求,同時(shí)認(rèn)證授權(quán) 執(zhí)行者生成自己的身份信任信息���,并返回給來訪的用戶�;
本步驟中�����,身份認(rèn)證要求可以是動(dòng)態(tài)密碼身份認(rèn)證信息�����、USB Key數(shù)字證書身份認(rèn) 證信息��、生物特征身份認(rèn)證信息或IC卡認(rèn)證信息�����。身份信任信息為認(rèn)證授權(quán)執(zhí)行者利用自身的私鑰生成的簽名信息�����。步驟303�����,用戶設(shè)備接收信息�����,確定認(rèn)證授權(quán)執(zhí)行者的身份認(rèn)證通過�,向普通身份 認(rèn)證服務(wù)器發(fā)送普通身份認(rèn)證要求響應(yīng)信息;本步驟中���,用戶設(shè)備接收訪問請求響應(yīng)信息����,對包含的認(rèn)證授權(quán)執(zhí)行者的認(rèn)證身 份信息進(jìn)行驗(yàn)證����,例如,利用認(rèn)證授權(quán)執(zhí)行者的公鑰驗(yàn)證接收的簽名信息�����,如果通過驗(yàn)證���,表明該認(rèn)證授權(quán)執(zhí)行者是可信的��,然后�,根據(jù)接收的普通身份認(rèn)證 要求信息,通過認(rèn)證授權(quán)執(zhí)行者向普通身份認(rèn)證服務(wù)器發(fā)送普通身份認(rèn)證要求響應(yīng)信息�����, 例如���,普通身份認(rèn)證要求信息為要求用戶設(shè)備輸入密碼信息�����,則用戶設(shè)備輸入密碼信息作 為普通身份認(rèn)證要求響應(yīng)信息,發(fā)送至普通身份認(rèn)證服務(wù)器��。如果未通過驗(yàn)證��,則結(jié)束流程�����。步驟304��,普通身份認(rèn)證服務(wù)器接收普通身份認(rèn)證要求響應(yīng)信息����,進(jìn)行身份認(rèn)證, 向認(rèn)證授權(quán)執(zhí)行者返回用戶設(shè)備認(rèn)證身份響應(yīng)信息;該步驟與步驟205相類似���。步驟305�����,認(rèn)證授權(quán)執(zhí)行者向用戶設(shè)備度量引擎發(fā)送度量認(rèn)證注冊請求信息�;本步驟中�����,認(rèn)證授權(quán)執(zhí)行者確定用戶身份認(rèn)證通過�,向用戶設(shè)備度量引擎發(fā)送度 量認(rèn)證注冊請求信息。步驟306�����,用戶設(shè)備度量引擎接收度量認(rèn)證注冊請求信息����,執(zhí)行對用戶設(shè)備的度量 認(rèn)證注冊;本步驟中�,用戶設(shè)備度量引擎接收度量認(rèn)證注冊請求信息,觸發(fā)對用戶設(shè)備度量 認(rèn)證注冊信息的主動(dòng)收集�,按照預(yù)先存儲(chǔ)的度量信息策略��,如網(wǎng)卡信息�、操作系統(tǒng)信息�����、瀏 覽器信息�、IP地址所在的地理位置信息�、用戶設(shè)備名稱信息����、用戶行為信息等一種或任意組 合�����,收集與預(yù)先存儲(chǔ)的度量信息策略相對應(yīng)的信息�,例如����,預(yù)先存儲(chǔ)的度量信息策略包括網(wǎng) 卡信息和操作系統(tǒng)信息,則用戶設(shè)備度量引擎主動(dòng)收集用戶設(shè)備的網(wǎng)卡信息和操作系統(tǒng)信 肩��、O用戶設(shè)備度量引擎對主動(dòng)收集的度量認(rèn)證注冊信息執(zhí)行完整性處理生成注冊度 量值,并將注冊度量值結(jié)果信息進(jìn)行存儲(chǔ)���。步驟307�,用戶設(shè)備度量引擎將用戶設(shè)備的度量認(rèn)證策略信息發(fā)送至身份認(rèn)證策 略模塊����;本步驟中,用戶設(shè)備度量引擎在身份認(rèn)證策略模塊中寫入要求對用戶設(shè)備執(zhí)行度 量認(rèn)證的度量認(rèn)證策略�,如用戶設(shè)備要求執(zhí)行度量認(rèn)證策略。步驟308�,身份認(rèn)證策略模塊接收度量認(rèn)證策略信息,進(jìn)行存儲(chǔ)�,向認(rèn)證授權(quán)執(zhí)行 者發(fā)送度量認(rèn)證注冊響應(yīng)信息��;步驟309���,用戶設(shè)備度量引擎將度量認(rèn)證注冊響應(yīng)信息發(fā)送至認(rèn)證授權(quán)執(zhí)行者;實(shí)際應(yīng)用中�,步驟307與步驟309并沒有先后順序之分。步驟310�����,認(rèn)證授權(quán)執(zhí)行者接收到用戶設(shè)備度量引擎和身份認(rèn)證策略模塊發(fā)送的 度量認(rèn)證注冊響應(yīng)信息��,將是否注冊帶外認(rèn)證策略信息攜帶在度量認(rèn)證注冊響應(yīng)信息中�����, 發(fā)送至用戶設(shè)備�;
步驟311,用戶設(shè)備接收度量認(rèn)證注冊響應(yīng)信息�����,獲知度量認(rèn)證注冊成功�����,確認(rèn)繼 續(xù)注冊帶外認(rèn)證策略�����,將帶外認(rèn)證策略注冊信息發(fā)送至認(rèn)證授權(quán)執(zhí)行者����;本步驟中,用戶設(shè)備需要注冊帶外認(rèn)證策略并進(jìn)行相應(yīng)處理���。步驟312��,認(rèn)證授權(quán)執(zhí)行者將接收的帶外認(rèn)證策略注冊信息轉(zhuǎn)發(fā)至身份認(rèn)證策略 模塊�;步驟313���,身份認(rèn)證策略模塊接收帶外認(rèn)證策略注冊信息��,為該用戶執(zhí)行帶外認(rèn)證 策略注冊���,向認(rèn)證授權(quán)執(zhí)行者返回帶外認(rèn)證策略注冊響應(yīng)信息;步驟314�����,認(rèn)證授權(quán)執(zhí)行者將帶外認(rèn)證策略注冊響應(yīng)信息轉(zhuǎn)發(fā)給用戶設(shè)備。至此����,身份認(rèn)證策略注冊流程結(jié)束。實(shí)際應(yīng)用中�����,根據(jù)用戶設(shè)備的需要����,可以在身份認(rèn)證策略模塊中只注冊度量認(rèn)證 策略,也可以只注冊帶外認(rèn)證策略�,也可以是同時(shí)注冊度量認(rèn)證策略和帶外認(rèn)證策略,還可 以是直接進(jìn)行度量認(rèn)證或帶外認(rèn)證���。在完成注冊后���,后續(xù)中,可以對用戶設(shè)備身份進(jìn)行認(rèn)證��,以便進(jìn)入業(yè)務(wù)系統(tǒng)執(zhí)行業(yè) 務(wù)操作����。所應(yīng)說明的是,如果注冊與身份認(rèn)證不在同一次執(zhí)行�,則在注冊和身份認(rèn)證過程 中,需要分別執(zhí)行普通身份認(rèn)證���。以下以認(rèn)證授權(quán)執(zhí)行者與身份認(rèn)證策略模塊交互獲取用戶設(shè)備需要進(jìn)行的身份 認(rèn)證為例�����,對本發(fā)明身份認(rèn)證進(jìn)行詳細(xì)描述�。圖4為本發(fā)明實(shí)現(xiàn)身份認(rèn)證的方法具體流程示意圖����,參見圖4,該流程包括步驟401���,用戶設(shè)備(來訪的用戶)向認(rèn)證授權(quán)執(zhí)行者請求訪問��,并要求對認(rèn)證授 權(quán)執(zhí)行者進(jìn)行可信身份認(rèn)證���;步驟402,認(rèn)證授權(quán)執(zhí)行者向普通身份認(rèn)證服務(wù)器請求對來訪的用戶的身份認(rèn)證����, 普通身份認(rèn)證服務(wù)器通過用戶設(shè)備向來訪的用戶返回相應(yīng)的身份認(rèn)證要求�����,同時(shí)認(rèn)證授權(quán) 執(zhí)行者生成自己的身份信任信息���,并返回給來訪的用戶;本步驟中���,身份認(rèn)證要求可以是動(dòng)態(tài)密碼身份認(rèn)證信息�、USB Key數(shù)字證書身份認(rèn) 證信息�����、生物特征身份認(rèn)證信息或IC卡認(rèn)證信息�。身份信任信息為認(rèn)證授權(quán)執(zhí)行者利用自身的私鑰生成的簽名信息。步驟403��,用戶設(shè)備接收訪問請求響應(yīng)信息��,確定認(rèn)證授權(quán)執(zhí)行者的身份認(rèn)證通 過����,向普通身份認(rèn)證服務(wù)器發(fā)送普通身份認(rèn)證要求響應(yīng)信息�;本步驟中��,用戶設(shè)備接收訪問請求響應(yīng)信息�,對包含的認(rèn)證授權(quán)執(zhí)行者的認(rèn)證身 份信息進(jìn)行驗(yàn)證�,例如,利用認(rèn)證授權(quán)執(zhí)行者的公鑰驗(yàn)證接收的簽名信息�,如果通過驗(yàn)證,表明該認(rèn)證授權(quán)執(zhí)行者是可信的�����,然后�,根據(jù)接收的普通身份認(rèn)證 要求信息,向普通身份認(rèn)證服務(wù)器發(fā)送普通身份認(rèn)證要求響應(yīng)信息����,例如,普通身份認(rèn)證要 求信息為要求用戶輸入密碼信息����,則用戶輸入密碼信息作為普通身份認(rèn)證要求響應(yīng)信息, 通過用戶設(shè)備發(fā)送至普通身份認(rèn)證服務(wù)器�。如果未通過驗(yàn)證,則結(jié)束流程���。步驟404�,普通身份認(rèn)證服務(wù)器接收普通身份認(rèn)證要求響應(yīng)信息,進(jìn)行身份認(rèn)證�, 向認(rèn)證授權(quán)執(zhí)行者返回用戶設(shè)備認(rèn)證身份響應(yīng)信息;該步驟與步驟205相類似�����。步驟405����,認(rèn)證授權(quán)執(zhí)行者向身份認(rèn)證策略模塊發(fā)送度量認(rèn)證查詢請求信息;
18
本步驟中����,認(rèn)證授權(quán)執(zhí)行者確定普通用戶身份認(rèn)證通過,向身份認(rèn)證策略模塊發(fā) 送度量認(rèn)證查詢請求信息����。步驟406,身份認(rèn)證策略模塊接收度量認(rèn)證查詢請求信息���,查詢存儲(chǔ)的身份認(rèn)證策 略�����,向認(rèn)證授權(quán)執(zhí)行者返回度量認(rèn)證查詢請求響應(yīng)信息�����;本步驟中���,身份認(rèn)證策略模塊接收度量認(rèn)證查詢請求信息,查詢自身存儲(chǔ)的身份 認(rèn)證策略�,如果該用戶的身份認(rèn)證策略不包含度量認(rèn)證注冊信息,向認(rèn)證授權(quán)執(zhí)行者返回 度量認(rèn)證查詢請求響應(yīng)信息����,通知用戶設(shè)備可以進(jìn)入業(yè)務(wù)系統(tǒng);如果包含度量認(rèn)證注冊信 息���,向認(rèn)證授權(quán)執(zhí)行者返回度量認(rèn)證查詢請求響應(yīng)信息��,通知認(rèn)證授權(quán)執(zhí)行者執(zhí)行度量認(rèn) 證�����。步驟407��,認(rèn)證授權(quán)執(zhí)行者接收度量認(rèn)證查詢請求響應(yīng)信息�����,確定需要進(jìn)行度量認(rèn) 證���,向用戶設(shè)備度量引擎發(fā)送度量認(rèn)證請求信息���;步驟408,用戶設(shè)備度量引擎接收度量認(rèn)證請求信息�,向用戶設(shè)備發(fā)送請求獲取度 量認(rèn)證信息;本步驟中����,用戶設(shè)備度量引擎按照策略預(yù)先定義的信息,向用戶設(shè)備發(fā)送相應(yīng)的 請求獲取度量認(rèn)證信息�。步驟409,用戶設(shè)備接收請求獲取度量認(rèn)證信息���,將對應(yīng)的自身的度量認(rèn)證信息發(fā) 送至用戶設(shè)備度量引擎�;步驟410�,用戶設(shè)備度量引擎接收度量認(rèn)證信息,執(zhí)行對用戶設(shè)備的度量認(rèn)證���,向 認(rèn)證授權(quán)執(zhí)行者返回度量認(rèn)證請求響應(yīng)信息����;本步驟中,用戶設(shè)備度量引擎根據(jù)獲取的該用戶設(shè)備的度量信息�,對該度量信息 進(jìn)行完整性處理,形成度量值����,與預(yù)先存儲(chǔ)的用戶注冊的度量值進(jìn)行匹配比對,如果匹配比 對一致��,則向認(rèn)證授權(quán)執(zhí)行者返回度量認(rèn)證請求響應(yīng)信息�����,攜帶綁定成功信息�����;如果匹配比 對不一致��,則向認(rèn)證授權(quán)執(zhí)行者返回度量認(rèn)證請求響應(yīng)信息�,攜帶綁定失敗信息或注冊提 /J^fn 息�����。步驟411,認(rèn)證授權(quán)執(zhí)行者接收度量認(rèn)證請求響應(yīng)信息����,如果確定包含綁定成功信 息,向身份認(rèn)證策略模塊發(fā)送帶外身份認(rèn)證查詢請求信息���;步驟412����,身份認(rèn)證策略模塊接收帶外身份認(rèn)證查詢請求信息�,查詢存儲(chǔ)的身份認(rèn) 證策略,向認(rèn)證授權(quán)執(zhí)行者返回帶外身份認(rèn)證查詢請求響應(yīng)信息�����;本步驟中����,身份認(rèn)證策略模塊接收帶外身份認(rèn)證查詢請求信息,查詢自身存儲(chǔ)的 身份認(rèn)證策略�,如果該用戶的身份認(rèn)證策略不包含帶外身份認(rèn)證注冊信息,向認(rèn)證授權(quán)執(zhí) 行者返回帶外身份認(rèn)證查詢請求響應(yīng)信息�����,通知用戶設(shè)備可以進(jìn)入業(yè)務(wù)系統(tǒng);如果包含帶 外身份認(rèn)證注冊信息���,向認(rèn)證授權(quán)執(zhí)行者返回帶外身份認(rèn)證查詢請求響應(yīng)信息�,通知認(rèn)證 授權(quán)執(zhí)行者執(zhí)行帶外身份認(rèn)證���。步驟413��,認(rèn)證授權(quán)執(zhí)行者接收帶外身份認(rèn)證查詢請求響應(yīng)信息�����,確定需要進(jìn)行帶 外身份認(rèn)證�����,向帶外身份認(rèn)證服務(wù)器發(fā)送帶外身份認(rèn)證請求信息;步驟414�,帶外身份認(rèn)證服務(wù)器接收帶外身份認(rèn)證請求信息,生成帶外身份認(rèn)證憑 證信息���,發(fā)送至用戶設(shè)備��;本步驟中�,帶外身份認(rèn)證服務(wù)器接收帶外身份認(rèn)證請求,生成帶外身份認(rèn)證憑證 信息���,如一次密碼���、電話、短消息����、郵件等,并通過傳輸系統(tǒng)�����,例如���,短消息系統(tǒng)��、電話或郵件等方式發(fā)送至用戶設(shè)備��。實(shí)際應(yīng)用中��,為了信息傳輸?shù)陌踩?���,發(fā)送帶外身份認(rèn)證憑證信息的傳輸系統(tǒng)網(wǎng) 絡(luò)與身份認(rèn)證的網(wǎng)絡(luò)不同。步驟415���,用戶設(shè)備接收帶外身份認(rèn)證憑證信息并返回給帶外身份認(rèn)證服務(wù)器�;本步驟中�����,用戶設(shè)備接收帶外身份認(rèn)證憑證信息���,通過與接收帶外身份認(rèn)證憑證 信息同樣的傳輸系統(tǒng)發(fā)送至帶外身份認(rèn)證服務(wù)器���。步驟416,帶外身份認(rèn)證服務(wù)器接收帶外身份認(rèn)證憑證信息�����,向認(rèn)證授權(quán)執(zhí)行者返 回帶外身份認(rèn)證請求響應(yīng)信息�;本步驟中����,帶外身份認(rèn)證服務(wù)器將接收的帶外身份認(rèn)證憑證信息與自身發(fā)送至用 戶的帶外身份認(rèn)證憑證信息進(jìn)行驗(yàn)證,如果一致,則帶外身份認(rèn)證通過����,向認(rèn)證授權(quán)執(zhí)行者 返回帶外身份認(rèn)證請求響應(yīng)信息,攜帶帶外身份認(rèn)證成功信息����;如果在預(yù)設(shè)的時(shí)間窗口內(nèi) 沒有接收到用戶的反饋信息,或用戶返回的信息與自身發(fā)送至用戶的信息不一致���,則向認(rèn) 證授權(quán)執(zhí)行者返回帶外身份認(rèn)證請求響應(yīng)信息��,攜帶帶外身份認(rèn)證失敗信息���,或注冊提示 fn息ο步驟417,認(rèn)證授權(quán)執(zhí)行者接收帶外身份認(rèn)證請求響應(yīng)信息�����,確定帶外身份認(rèn)證通 過����,通知用戶設(shè)備可以進(jìn)入業(yè)務(wù)系統(tǒng);本步驟中��,如果返回的帶外身份認(rèn)證請求響應(yīng)信息包含帶外身份認(rèn)證失敗信息, 或注冊提示信息�,通知用戶設(shè)備帶外身份認(rèn)證失敗或重新進(jìn)行注冊,拒絕用戶設(shè)備進(jìn)入業(yè) 務(wù)系統(tǒng)��。步驟418����,用戶設(shè)備進(jìn)入業(yè)務(wù)系統(tǒng),執(zhí)行業(yè)務(wù)操作��,業(yè)務(wù)系統(tǒng)向用戶設(shè)備返回相應(yīng) 的業(yè)務(wù)操作結(jié)果�����。至此�����,該流程結(jié)束���。由上述實(shí)施例可見����,本發(fā)明提供的一種實(shí)現(xiàn)身份認(rèn)證的方法及系統(tǒng)�����,在現(xiàn)有普通 身份認(rèn)證技術(shù)的基礎(chǔ)上����,通過認(rèn)證授權(quán)執(zhí)行者向用戶設(shè)備度量引擎發(fā)送度量認(rèn)證請求信 息,用戶設(shè)備度量引擎與用戶設(shè)備交互獲取用戶設(shè)備的度量認(rèn)證信息��,對獲取的度量信息 進(jìn)行完整性處理����,形成度量值,與預(yù)先存儲(chǔ)的注冊用戶設(shè)備度量值進(jìn)行匹配比對�,如果匹配 比對一致,則通過認(rèn)證授權(quán)執(zhí)行者通知用戶設(shè)備進(jìn)入業(yè)務(wù)系統(tǒng)���,從而通過增加對用戶設(shè)備 的度量認(rèn)證的方式來實(shí)現(xiàn)用戶身份和用戶使用的用戶設(shè)備的綁定��,可以阻止網(wǎng)絡(luò)上針對身 份認(rèn)證實(shí)施的大部分攻擊���、使攻擊者攻擊的難度加大;或者�����,在現(xiàn)有普通身份認(rèn)證技術(shù)的基 礎(chǔ)上,通過認(rèn)證授權(quán)執(zhí)行者向帶外身份認(rèn)證服務(wù)器發(fā)送帶外身份認(rèn)證請求信息����,帶外身份 認(rèn)證服務(wù)器生成帶外身份認(rèn)證憑證信息,發(fā)送至用戶設(shè)備����,并驗(yàn)證用戶設(shè)備返回的帶外身 份認(rèn)證憑證信息與自身發(fā)送至用戶設(shè)備的帶外身份認(rèn)證憑證信息是否一致,如果一致�,通 過認(rèn)證授權(quán)執(zhí)行者通知用戶設(shè)備進(jìn)入業(yè)務(wù)系統(tǒng),從而阻斷網(wǎng)絡(luò)上對用戶身份的攻擊�,解決 攻擊者的中間攻擊、連接劫持攻擊等問題����;或者,在現(xiàn)有普通身份認(rèn)證技術(shù)的基礎(chǔ)上�,通過 增加對用戶設(shè)備的度量認(rèn)證方式來實(shí)現(xiàn)用戶身份和用戶使用的用戶設(shè)備的綁定,阻止網(wǎng)絡(luò) 上針對身份認(rèn)證實(shí)施的大部分攻擊����;進(jìn)一步地,再增加帶外身份認(rèn)證來阻斷網(wǎng)絡(luò)上對用戶 身份的攻擊��,從而提高了身份認(rèn)證的安全性���、保障合法用戶的利益��,從根本上解決攻擊者的 中間攻擊��、連接劫持攻擊等問題����。而且�,本發(fā)明提供的身份認(rèn)證的方法及系統(tǒng)能夠和已經(jīng)存 在各種身份認(rèn)證系統(tǒng)相兼容,實(shí)施時(shí)無需對原有認(rèn)證系統(tǒng)作過大修改��,而能夠大大提升身份認(rèn)證系統(tǒng)的安全性���。此外����,該系統(tǒng)投入成本低����、管理維護(hù)容易、用戶使用方便�,可以根據(jù)實(shí) 際的安全要求分階段實(shí)施,逐步提高安全級別��,能應(yīng)用于各種要求對用戶身份進(jìn)行強(qiáng)認(rèn)證 的場景,尤其適用于各種網(wǎng)上銀行�、手機(jī)銀行、重要資源訪問的強(qiáng)身份認(rèn)證要求��。
以上舉較佳實(shí)施例�,對本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)進(jìn)行了進(jìn)一步詳細(xì)說明����,所 應(yīng)理解的是,以上所述僅為本發(fā)明的較佳實(shí)施例而已�,并不用以限制本發(fā)明,凡在本發(fā)明的 精神和原則之內(nèi)�,所作的任何修改、等同替換��、改進(jìn)等�����,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)����。
權(quán)利要求
一種實(shí)現(xiàn)身份認(rèn)證的帶外身份認(rèn)證服務(wù)器,其特征在于,所述帶外身份認(rèn)證服務(wù)器包括信息接收模塊���、信息處理模塊����、帶外身份認(rèn)證憑證信息存儲(chǔ)模塊����、帶外身份認(rèn)證憑證信息比對模塊��、以及信息發(fā)送模塊�,其中,信息接收模塊����,用于將接收的來自認(rèn)證授權(quán)執(zhí)行者的帶外身份認(rèn)證請求信息、以及用戶設(shè)備返回的帶外身份認(rèn)證憑證信息���,發(fā)送至信息處理模塊����;信息處理模塊�����,用于根據(jù)接收的帶外身份認(rèn)證請求信息,生成帶外身份認(rèn)證憑證信息�����,發(fā)送至帶外身份認(rèn)證憑證信息存儲(chǔ)模塊�����、以及信息發(fā)送模塊�����;接收信息接收模塊發(fā)送的用戶設(shè)備返回的帶外身份認(rèn)證憑證信息�,發(fā)送至帶外身份認(rèn)證憑證信息比對模塊;帶外身份認(rèn)證憑證信息存儲(chǔ)模塊�,用于存儲(chǔ)信息處理模塊生成的帶外身份認(rèn)證憑證信息;帶外身份認(rèn)證憑證信息比對模塊�,用于接收來自信息處理模塊的帶外身份認(rèn)證憑證信息,驗(yàn)證是否與帶外身份認(rèn)證憑證信息存儲(chǔ)模塊存儲(chǔ)的帶外身份認(rèn)證憑證信息一致���,如果一致���,向信息發(fā)送模塊發(fā)送包含帶外身份認(rèn)證成功信息的帶外身份認(rèn)證請求響應(yīng)信息;信息發(fā)送模塊,用于將接收的帶外身份認(rèn)證請求響應(yīng)信息以及帶外身份認(rèn)證憑證信息發(fā)送�����。
2.一種實(shí)現(xiàn)身份認(rèn)證的系統(tǒng)����,其特征在于,該系統(tǒng)包括認(rèn)證授權(quán)執(zhí)行者����、帶外身份認(rèn) 證服務(wù)器、身份認(rèn)證策略模塊��,其中���,認(rèn)證授權(quán)執(zhí)行者,用于在確定用戶設(shè)備通過普通身份認(rèn)證��,并獲知用戶設(shè)備需要執(zhí)行 帶外身份認(rèn)證時(shí)����,向帶外身份認(rèn)證服務(wù)器發(fā)送帶外身份認(rèn)證請求信息,進(jìn)行帶外身份認(rèn)證��; 如果確定帶外身份認(rèn)證成功,通知用戶設(shè)備進(jìn)入業(yè)務(wù)系統(tǒng)����;帶外身份認(rèn)證服務(wù)器,用于接收帶外身份認(rèn)證請求信息�����,生成帶外身份認(rèn)證憑證信息�����, 發(fā)送至用戶設(shè)備��;驗(yàn)證用戶設(shè)備返回的帶外身份認(rèn)證憑證信息與自身發(fā)送至用戶設(shè)備的帶 外身份認(rèn)證憑證信息是否一致�����,如果一致�����,通過認(rèn)證授權(quán)執(zhí)行者通知用戶設(shè)備進(jìn)入業(yè)務(wù)系 統(tǒng)�;身份認(rèn)證策略模塊,用于與認(rèn)證授權(quán)執(zhí)行者交互�,確定自身預(yù)先存儲(chǔ)的身份認(rèn)證策略 中包含用戶設(shè)備的帶外身份認(rèn)證注冊信息�,通知認(rèn)證授權(quán)執(zhí)行者執(zhí)行對用戶設(shè)備的帶外身 份認(rèn)證�。
3.如權(quán)利要求2所述的系統(tǒng),其特征在于����,所述系統(tǒng)進(jìn)一步包括用戶設(shè)備度量引擎,用 于根據(jù)認(rèn)證授權(quán)執(zhí)行者發(fā)送的度量認(rèn)證請求信息���,與用戶設(shè)備交互獲取用戶設(shè)備的度量認(rèn) 證信息�;對獲取的度量認(rèn)證信息進(jìn)行度量處理����,形成度量值,與預(yù)先存儲(chǔ)的注冊用戶設(shè)備度 量值進(jìn)行匹配比對����,如果匹配比對一致,則通過認(rèn)證授權(quán)執(zhí)行者與身份認(rèn)證策略模塊交互 確定用戶設(shè)備是否進(jìn)行帶外身份認(rèn)證��。
4.如權(quán)利要求3所述的系統(tǒng)��,其特征在于�,所述帶外身份認(rèn)證服務(wù)器包括信息接收模 塊�����、信息處理模塊、帶外身份認(rèn)證憑證信息存儲(chǔ)模塊�����、帶外身份認(rèn)證憑證信息比對模塊����、以 及信息發(fā)送模塊,其中�,信息接收模塊,用于將接收的來自認(rèn)證授權(quán)執(zhí)行者的帶外身份認(rèn)證請求信息�����、以及用 戶設(shè)備返回的帶外身份認(rèn)證憑證信息�����,發(fā)送至信息處理模塊�����;信息處理模塊�,用于根據(jù)接收的帶外身份認(rèn)證請求信息����,生成帶外身份認(rèn)證憑證信息��, 發(fā)送至帶外身份認(rèn)證憑證信息存儲(chǔ)模塊����、以及信息發(fā)送模塊;接收信息接收模塊發(fā)送的用戶設(shè)備返回的帶外身份認(rèn)證憑證信息���,發(fā)送至帶外身份認(rèn)證憑證信息比對模塊���;帶外身份認(rèn)證憑證信息存儲(chǔ)模塊,用于存儲(chǔ)信息處理模塊生成的帶外身份認(rèn)證憑證信息���;帶外身份認(rèn)證憑證信息比對模塊�,用于接收來自信息處理模塊的帶外身份認(rèn)證憑證信 息���,驗(yàn)證是否與帶外身份認(rèn)證憑證信息存儲(chǔ)模塊存儲(chǔ)的帶外身份認(rèn)證憑證信息一致�,如果 一致����,向信息發(fā)送模塊發(fā)送包含帶外身份認(rèn)證成功信息的帶外身份認(rèn)證請求響應(yīng)信息;信息發(fā)送模塊�����,用于將接收的帶外身份認(rèn)證憑證信息發(fā)送至用戶設(shè)備��,以及將接收的 帶外身份認(rèn)證請求響應(yīng)信息發(fā)送至認(rèn)證授權(quán)執(zhí)行者�����。
5.如權(quán)利要求3所述的系統(tǒng)���,其特征在于�,所述系統(tǒng)進(jìn)一步包括普通身份認(rèn)證服務(wù) 器����,用于與用戶設(shè)備、認(rèn)證授權(quán)執(zhí)行者交互���,執(zhí)行對用戶的普通身份認(rèn)證�����。
6.如權(quán)利要求3所述的系統(tǒng)�����,其特征在于��,所述用戶設(shè)備度量引擎包括度量信息收集 模塊和度量信息校驗(yàn)?zāi)K���,其中�,度量信息收集模塊�����,用于根據(jù)預(yù)先存儲(chǔ)的度量信息策略以及接收的度量認(rèn)證請求信 息����,收集用戶設(shè)備的度量認(rèn)證信息;度量信息校驗(yàn)?zāi)K����,用于對用戶設(shè)備的度量認(rèn)證信息進(jìn)行度量處理,并將處理后形成 的度量值與預(yù)先存儲(chǔ)的所述用戶設(shè)備的注冊用戶設(shè)備度量值進(jìn)行匹配比對����,如果匹配比對 一致,通知所述用戶設(shè)備通過身份認(rèn)證。
7.一種實(shí)現(xiàn)身份認(rèn)證的方法�,其特征在于,該方法包括在確定用戶設(shè)備通過普通身份認(rèn)證后�����,認(rèn)證授權(quán)執(zhí)行者從身份認(rèn)證策略模塊獲知用戶 設(shè)備需要執(zhí)行帶外身份認(rèn)證時(shí)�����,向帶外身份認(rèn)證服務(wù)器發(fā)送帶外身份認(rèn)證請求信息���;帶外身份認(rèn)證服務(wù)器接收帶外身份認(rèn)證請求信息,生成帶外身份認(rèn)證憑證信息���,發(fā)送 至用戶設(shè)備����,驗(yàn)證用戶設(shè)備返回的帶外身份認(rèn)證憑證信息與自身生成的帶外身份認(rèn)證憑證 信息是否一致����,如果一致,則通過認(rèn)證授權(quán)執(zhí)行者通知用戶設(shè)備進(jìn)入業(yè)務(wù)系統(tǒng)�����。
8.如權(quán)利要求7所述的方法,其特征在于��,通過短消息系統(tǒng)��、電話或郵件方式發(fā)送所述 帶外身份認(rèn)證憑證信息至所述用戶設(shè)備���。
全文摘要
本發(fā)明公開了一種實(shí)現(xiàn)身份認(rèn)證的裝置�、系統(tǒng)及方法����,在現(xiàn)有普通身份認(rèn)證技術(shù)的基礎(chǔ)上,通過增加對用戶設(shè)備的度量認(rèn)證方式來實(shí)現(xiàn)用戶身份和用戶使用的用戶設(shè)備的綁定���;或者����,增加帶外身份認(rèn)證的方式���;或者����,通過增加對用戶設(shè)備的度量認(rèn)證以及帶外身份認(rèn)證相結(jié)合的方式來阻斷網(wǎng)絡(luò)上對用戶身份的攻擊,從而提高了身份認(rèn)證的安全性���、保障合法用戶的利益���,解決中間人攻擊、連接劫持攻擊等問題���。而且,本發(fā)明提供的身份認(rèn)證的系統(tǒng)能夠和已經(jīng)存在各種身份認(rèn)證系統(tǒng)相兼容���,實(shí)施時(shí)無需對原有認(rèn)證系統(tǒng)作過大修改�����,投入成本低�����、管理維護(hù)容易����、而且能夠大大提升身份認(rèn)證系統(tǒng)的安全性��。
文檔編號H04L9/32GK101951321SQ201010507248
公開日2011年1月19日 申請日期2008年10月23日 優(yōu)先權(quán)日2008年10月23日
發(fā)明者姚俊武, 王四軍 申請人:普天信息技術(shù)研究院有限公司