專利名稱:基于云計(jì)算的身份認(rèn)證的方法、系統(tǒng)及云端服務(wù)器的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于數(shù)據(jù)業(yè)務(wù)技術(shù)領(lǐng)域,尤其涉及一種基于云計(jì)算的身份認(rèn)證的方法、系統(tǒng)及云端服務(wù)器。
背景技術(shù):
目前,由于云計(jì)算系統(tǒng)的無(wú)所不在的特性,大大方便了用戶可以在任何可連接上網(wǎng)的地方登錄進(jìn)入云計(jì)算系統(tǒng)。因此,云計(jì)算的賬號(hào)安全逐漸受到重視。如現(xiàn)有的一種用于云計(jì)算系統(tǒng),該系統(tǒng)包括位于云計(jì)算系統(tǒng)的賬戶保安系統(tǒng)和用戶手機(jī),賬戶保安系統(tǒng)監(jiān)控云計(jì)算系統(tǒng)的各賬戶,當(dāng)賬戶保安系統(tǒng)發(fā)現(xiàn)對(duì)受監(jiān)控的賬戶進(jìn)行操作時(shí),賬戶保安系統(tǒng)會(huì)通過(guò)電話網(wǎng)絡(luò)致電該賬戶的用戶手機(jī),請(qǐng)用戶輸入確認(rèn)信息,并核對(duì)用戶的確認(rèn)信息無(wú)誤后,賬戶保安系統(tǒng)才允許云計(jì)算系統(tǒng)進(jìn)行該受監(jiān)控的操作,從 而保障云計(jì)算系統(tǒng)的賬戶安全,即使密碼被黑客偷取了,沒(méi)有用戶手機(jī)也是不能對(duì)賬戶進(jìn)行任何受監(jiān)控的操作,包括登錄、訪問(wèn)受保護(hù)數(shù)據(jù)等操作。然而,現(xiàn)有的賬戶保安系統(tǒng)所采用的身份認(rèn)證算法單一,不能針對(duì)不同性能的用戶手機(jī)選取不同強(qiáng)度的身份認(rèn)證算法,不能滿足身份認(rèn)證的安全性要求。
發(fā)明內(nèi)容
為了解決上述問(wèn)題,本發(fā)明的目的是提供一種基于云計(jì)算的身份認(rèn)證的方法、系統(tǒng)及云端服務(wù)器,可根據(jù)不同的用戶設(shè)備選取不同的身份認(rèn)證算法,提高身份認(rèn)證的安全性。為了達(dá)到上述目的,本發(fā)明提供一種基于云計(jì)算的身份認(rèn)證的方法,所述方法包括接收來(lái)自用戶設(shè)備的身份認(rèn)證信息;從所述身份認(rèn)證信息中獲取用戶設(shè)備的標(biāo)識(shí)信息,并選取與所述用戶設(shè)備的標(biāo)識(shí)信息對(duì)應(yīng)的身份認(rèn)證算法;根據(jù)選取的所述身份認(rèn)證算法,進(jìn)行所述用戶設(shè)備的身份認(rèn)證的計(jì)算。優(yōu)選地,所述選取與所述標(biāo)識(shí)信息對(duì)應(yīng)的身份認(rèn)證算法的步驟具體包括根據(jù)所述用戶設(shè)備的標(biāo)識(shí)信息,獲取所述用戶設(shè)備的用戶設(shè)備類型;根據(jù)所述用戶設(shè)備類型,得到與所述用戶設(shè)備的標(biāo)識(shí)信息對(duì)應(yīng)的身份認(rèn)證算法和共享密鑰SK。優(yōu)選地,所述身份認(rèn)證信息還包括用戶設(shè)備產(chǎn)生的隨機(jī)數(shù)RNKm ;所述根據(jù)選取的所述身份認(rèn)證算法,進(jìn)行所述用戶設(shè)備的身份認(rèn)證的計(jì)算的步驟具體為利用選取的所述身份認(rèn)證算法,根據(jù)所述用戶設(shè)備產(chǎn)生的隨機(jī)數(shù)RNKm、云端服務(wù)器產(chǎn)生的序列號(hào)SQN和共享密鑰SK,進(jìn)行所述用戶設(shè)備的身份認(rèn)證的計(jì)算,并得到云端服務(wù)器側(cè)的認(rèn)證令牌TKN。。
優(yōu)選地,在計(jì)算得到所述云端服務(wù)器側(cè)的認(rèn)證令牌TKN。之后,所述方法還包括所述用戶設(shè)備接收非授權(quán)應(yīng)答信息,所述非授權(quán)應(yīng)答信息包括所述云端服務(wù)器側(cè)的認(rèn)證令牌TKN。、所述云端服務(wù)器產(chǎn)生的隨機(jī)數(shù)RNK。、所述云端服務(wù)器產(chǎn)生的序列號(hào)SQN ;所述用戶設(shè)備接收到所述非授權(quán)應(yīng)答信息后,通過(guò)與所述云端服務(wù)器選取的身份認(rèn)證算法相同的算法,根據(jù)所述用戶設(shè)備產(chǎn)生的隨機(jī)數(shù)RNKm、所述共享密鑰SK和所述云端服務(wù)器產(chǎn)生的序列號(hào)SQN,計(jì)算得到用戶設(shè)備側(cè)的認(rèn)證令牌TKNm ;當(dāng)所述用戶設(shè)備側(cè)的認(rèn)證令牌TKNm與所述云端服務(wù)器側(cè)的認(rèn)證令牌TKN。相同時(shí),得到的身份認(rèn)證結(jié)果為所述云端服務(wù)器的身份合法。優(yōu)選地,所述方法還包括接收所述用戶設(shè)備側(cè)的消息認(rèn)證碼MACm,所述用戶設(shè)備側(cè)的消息認(rèn)證碼MACm由所述用戶設(shè)備通過(guò)與所述云端服務(wù)器選取的身份認(rèn)證算法相同的算法,根據(jù)所述云端服務(wù)器側(cè)的認(rèn)證令牌TKN。、所述云端服務(wù)器產(chǎn)生的隨機(jī)數(shù)RNK。、所述共享密鑰SK和所述用戶設(shè)備的標(biāo)識(shí)信息計(jì)算得到;通過(guò)所述身份認(rèn)證算法,根據(jù)所述云端服務(wù)器側(cè)的認(rèn)證令牌TKN。、所述云端服務(wù)器產(chǎn)生的隨機(jī)數(shù)RNK。、所述共享密鑰SK和所述用戶設(shè)備的標(biāo)識(shí)信息,計(jì)算得到云端服務(wù)器側(cè)的消息認(rèn)證碼MACc;當(dāng)所述用戶設(shè)備側(cè)的消息認(rèn)證碼MACm與云端服務(wù)器側(cè)的消息認(rèn)證碼MAC。相同時(shí),則通過(guò)所述用戶設(shè)備的身份認(rèn)證,并向所述用戶設(shè)備發(fā)送授權(quán)信息。優(yōu)選地,所述身份認(rèn)證算法為單向哈希函數(shù)。為了達(dá)到上述目的,本發(fā)明還提供一種基于云計(jì)算的身份認(rèn)證的系統(tǒng),所述系統(tǒng)包括用戶設(shè)備和云端服務(wù)器,其中所述用戶設(shè)備,用于向所述云端服務(wù)器發(fā)送身份認(rèn)證信息;
所述云端服務(wù)器,用于接收來(lái)自所述用戶設(shè)備的身份認(rèn)證信息,從所述身份認(rèn)證信息中獲取用戶設(shè)備的標(biāo)識(shí)信息,并選取與所述用戶設(shè)備的標(biāo)識(shí)信息對(duì)應(yīng)的身份認(rèn)證算法,最后根據(jù)選取的所述身份認(rèn)證算法,進(jìn)行所述用戶設(shè)備的身份認(rèn)證的計(jì)算,得到云端服務(wù)器側(cè)的認(rèn)證令牌TKN。。優(yōu)選地,所述用戶設(shè)備還用于接收所述云端服務(wù)器發(fā)送的非授權(quán)應(yīng)答信息,所述非授權(quán)應(yīng)答信息包括所述云端服務(wù)器側(cè)的認(rèn)證令牌TKN。、云端服務(wù)器產(chǎn)生的隨機(jī)數(shù)RNK。、云端服務(wù)器產(chǎn)生的序列號(hào)SQN,然后通過(guò)與所述云端服務(wù)器選取的身份認(rèn)證算法相同的算法,根據(jù)所述用戶設(shè)備產(chǎn)生的隨機(jī)數(shù)RNKm、共享密鑰SK和所述云端服務(wù)器產(chǎn)生的序列號(hào)SQN,計(jì)算得到用戶設(shè)備側(cè)的認(rèn)證令牌TKNm,當(dāng)所述用戶設(shè)備側(cè)的認(rèn)證令牌TKNm與所述云端服務(wù)器側(cè)的認(rèn)證令牌TKN。相同時(shí),得到的身份認(rèn)證結(jié)果為所述云端服務(wù)器的身份合法。為了達(dá)到上述目的,本發(fā)明還提供一種云端服務(wù)器,包括身份認(rèn)證信息接收模塊,用于接收來(lái)自用戶設(shè)備的身份認(rèn)證信息;身份認(rèn)證算法選取模塊,用于從所述身份認(rèn)證信息中獲取用戶設(shè)備的標(biāo)識(shí)信息,并選取與所述用戶設(shè)備的標(biāo)識(shí)信息對(duì)應(yīng)的身份認(rèn)證算法;身份認(rèn)證服務(wù)模塊,用于根據(jù)選取的所述身份認(rèn)證算法,進(jìn)行所述用戶設(shè)備的身份認(rèn)證的計(jì)算。
優(yōu)選地,所述云端服務(wù)器還包括身份認(rèn)證信息存儲(chǔ)模塊,與所述身份認(rèn)證算法選取模塊連接,用于存儲(chǔ)所述用戶設(shè)備的身份認(rèn)證信息、共享密鑰SK和身份認(rèn)證算法。由上述技術(shù)方案可知,本發(fā)明的實(shí)施例具有如下有益效果首先,云端服務(wù)器可根據(jù)不同的用戶設(shè)備選取不同的身份認(rèn)證算法,例如根據(jù)用戶設(shè)備的類型,來(lái)選取不同強(qiáng)度的單向哈希函數(shù)來(lái)進(jìn)行身份認(rèn)證計(jì)算,有效提高了身份認(rèn)證的安全性;其次,用戶設(shè)備也可對(duì)云端服務(wù)器進(jìn)行身份驗(yàn)證,當(dāng)云端服務(wù)器的身份合法時(shí),才繼續(xù)進(jìn)行后續(xù)的身份認(rèn)證流程,從而實(shí)現(xiàn)了云端服務(wù)器側(cè)和用戶設(shè)備側(cè)的雙向身份認(rèn)證,有效提高了身份認(rèn)證的安全性。
圖I為本發(fā)明的實(shí)施例中基于云計(jì)算的身份認(rèn)證的方法流程圖;
圖2為本發(fā)明的實(shí)施例中基于云計(jì)算的身份認(rèn)證的工作流程圖;圖3為本發(fā)明的實(shí)施例中基于云計(jì)算的身份認(rèn)證的系統(tǒng)結(jié)構(gòu)圖;圖4為本發(fā)明的實(shí)施例中云端服務(wù)器的結(jié)構(gòu)框圖。
具體實(shí)施例方式為了使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白,下面結(jié)合實(shí)施例和附圖,對(duì)本發(fā)明實(shí)施例做進(jìn)一步詳細(xì)地說(shuō)明。在此,本發(fā)明的示意性實(shí)施例及說(shuō)明用于解釋本發(fā)明,但并不作為對(duì)本發(fā)明的限定。如圖I所示,為本發(fā)明的實(shí)施例中基于云計(jì)算的身份認(rèn)證的方法流程圖,具體步驟如下步驟101、用戶設(shè)備向云端服務(wù)器發(fā)送身份認(rèn)證信息;在執(zhí)行步驟101之前,用戶設(shè)備可采用現(xiàn)有的方式產(chǎn)生隨機(jī)數(shù)RNKm,用戶設(shè)備產(chǎn)生的隨機(jī)數(shù)RNKm可通過(guò)偽隨機(jī)數(shù)生成函數(shù)生成,用于保證身份認(rèn)證信息的新鮮性,消除重放攻擊,然后開(kāi)始執(zhí)行步驟101。在步驟101中,用戶設(shè)備通過(guò)移動(dòng)通信網(wǎng)絡(luò)向云端服務(wù)器發(fā)送身份認(rèn)證信息,該身份認(rèn)證信息包括用戶名(Username)、用戶設(shè)備的標(biāo)識(shí)信息(DeviceID)和用戶設(shè)備產(chǎn)生的隨機(jī)數(shù)RNKm,其中該用戶設(shè)備產(chǎn)生的隨機(jī)數(shù)RNKm的位數(shù)一般為128位。步驟102、云端服務(wù)器接收來(lái)自用戶設(shè)備的身份認(rèn)證信息;步驟103、云端服務(wù)器從身份認(rèn)證信息中獲取用戶設(shè)備的標(biāo)識(shí)信息,并選取與用戶設(shè)備的標(biāo)識(shí)信息對(duì)應(yīng)的身份認(rèn)證算法;例如,云端服務(wù)器首先根據(jù)用戶設(shè)備的標(biāo)識(shí)信息,以及用戶設(shè)備的標(biāo)識(shí)信息與用戶設(shè)備類型的對(duì)應(yīng)關(guān)系,獲取用戶設(shè)備的用戶設(shè)備類型;然后,云端服務(wù)器根據(jù)用戶設(shè)備類型,以及用戶設(shè)備類型與身份認(rèn)證算法的對(duì)應(yīng)關(guān)系,得到與用戶設(shè)備的標(biāo)識(shí)信息對(duì)應(yīng)的身份認(rèn)證算法和共享密鑰SK。在本實(shí)施例中,在云端服務(wù)器上可預(yù)先設(shè)置用戶設(shè)備的標(biāo)識(shí)信息與用戶設(shè)備類型的對(duì)應(yīng)關(guān)系,以及預(yù)先設(shè)置用戶設(shè)備類型與身份認(rèn)證算法的對(duì)應(yīng)關(guān)系。用戶設(shè)備的標(biāo)識(shí)信息與用戶設(shè)備類型的對(duì)應(yīng)關(guān)系可以是一對(duì)一的對(duì)應(yīng)關(guān)系,用戶設(shè)備的標(biāo)識(shí)信息與用戶設(shè)備類型的對(duì)應(yīng)關(guān)系也可以是多對(duì)一的對(duì)應(yīng)關(guān)系。同理,用戶設(shè)備類型與身份認(rèn)證算法的對(duì)應(yīng)關(guān)系可以是一對(duì)一的對(duì)應(yīng)關(guān)系,用戶設(shè)備類型與身份認(rèn)證算法的對(duì)應(yīng)關(guān)系也可以是多對(duì)一的對(duì)應(yīng)關(guān)系。如下表所示
用戶設(shè)備的標(biāo)識(shí)信息用I備類身狐證算法共g密
權(quán)利要求
1.一種基于云計(jì)算的身份認(rèn)證的方法,其特征在于,所述方法包括 接收來(lái)自用戶設(shè)備的身份認(rèn)證信息; 從所述身份認(rèn)證信息中獲取用戶設(shè)備的標(biāo)識(shí)信息,并選取與所述用戶設(shè)備的標(biāo)識(shí)信息對(duì)應(yīng)的身份認(rèn)證算法; 根據(jù)選取的所述身份認(rèn)證算法,進(jìn)行所述用戶設(shè)備的身份認(rèn)證的計(jì)算。
2.根據(jù)權(quán)利要求I所述的方法,其特征在于,所述選取 與所述標(biāo)識(shí)信息對(duì)應(yīng)的身份認(rèn)證算法的步驟具體包括 根據(jù)所述用戶設(shè)備的標(biāo)識(shí)信息,獲取所述用戶設(shè)備的用戶設(shè)備類型; 根據(jù)所述用戶設(shè)備類型,得到與所述用戶設(shè)備的標(biāo)識(shí)信息對(duì)應(yīng)的身份認(rèn)證算法和共享密鑰SK。
3.根據(jù)權(quán)利要求I所述的方法,其特征在于,所述身份認(rèn)證信息還包括用戶設(shè)備產(chǎn)生的隨機(jī)數(shù)RNKm ; 所述根據(jù)選取的所述身份認(rèn)證算法,進(jìn)行所述用戶設(shè)備的身份認(rèn)證的計(jì)算的步驟具體為 利用選取的所述身份認(rèn)證算法,根據(jù)所述用戶設(shè)備產(chǎn)生的隨機(jī)數(shù)RNKm、云端服務(wù)器產(chǎn)生的序列號(hào)SQN和共享密鑰SK,進(jìn)行所述用戶設(shè)備的身份認(rèn)證的計(jì)算,并得到云端服務(wù)器側(cè)的認(rèn)證令牌TKN。。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,在計(jì)算得到所述云端服務(wù)器側(cè)的認(rèn)證令牌TKN。之后,所述方法還包括 所述用戶設(shè)備接收非授權(quán)應(yīng)答信息,所述非授權(quán)應(yīng)答信息包括所述云端服務(wù)器側(cè)的認(rèn)證令牌TKN。、所述云端服務(wù)器產(chǎn)生的隨機(jī)數(shù)RNK。、所述云端服務(wù)器產(chǎn)生的序列號(hào)SQN ; 所述用戶設(shè)備接收到所述非授權(quán)應(yīng)答信息后,通過(guò)與所述云端服務(wù)器選取的身份認(rèn)證算法相同的算法,根據(jù)所述用戶設(shè)備產(chǎn)生的隨機(jī)數(shù)RNKm、所述共享密鑰SK和所述云端服務(wù)器產(chǎn)生的序列號(hào)SQN,計(jì)算得到用戶設(shè)備側(cè)的認(rèn)證令牌TKNm ; 當(dāng)所述用戶設(shè)備側(cè)的認(rèn)證令牌TKNm與所述云端服務(wù)器側(cè)的認(rèn)證令牌TKN。相同吋,得到的身份認(rèn)證結(jié)果為所述云端服務(wù)器的身份合法。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述方法還包括 接收所述用戶設(shè)備側(cè)的消息認(rèn)證碼MACm,所述用戶設(shè)備側(cè)的消息認(rèn)證碼MACm由所述用戶設(shè)備通過(guò)與所述云端服務(wù)器選取的身份認(rèn)證算法相同的算法,根據(jù)所述云端服務(wù)器側(cè)的認(rèn)證令牌TKN。、所述云端服務(wù)器產(chǎn)生的隨機(jī)數(shù)RNK。、所述共享密鑰SK和所述用戶設(shè)備的標(biāo)識(shí)イM息計(jì)算得到; 通過(guò)所述身份認(rèn)證算法,根據(jù)所述云端服務(wù)器側(cè)的認(rèn)證令牌TKN。、所述云端服務(wù)器產(chǎn)生的隨機(jī)數(shù)RNK。、所述共享密鑰SK和所述用戶設(shè)備的標(biāo)識(shí)信息,計(jì)算得到云端服務(wù)器側(cè)的消息認(rèn)證碼MACc ; 當(dāng)所述用戶設(shè)備側(cè)的消息認(rèn)證碼MACm與云端服務(wù)器側(cè)的消息認(rèn)證碼MAC。相同時(shí),則通過(guò)所述用戶設(shè)備的身份認(rèn)證,并向所述用戶設(shè)備發(fā)送授權(quán)信息。
6.根據(jù)權(quán)利要求I所述的方法,其特征在于,所述身份認(rèn)證算法為單向哈希函數(shù)。
7.一種基于云計(jì)算的身份認(rèn)證的系統(tǒng),其特征在于,所述系統(tǒng)包括用戶設(shè)備和云端服務(wù)器,其中所述用戶設(shè)備,用于向所述云端服務(wù)器發(fā)送身份認(rèn)證信息; 所述云端服務(wù)器,用于接收來(lái)自所述用戶設(shè)備的身份認(rèn)證信息,從所述身份認(rèn)證信息中獲取用戶設(shè)備的標(biāo)識(shí)信息,并選取與所述用戶設(shè)備的標(biāo)識(shí)信息對(duì)應(yīng)的身份認(rèn)證算法,最后根據(jù)選取的所述身份認(rèn)證算法,進(jìn)行所述用戶設(shè)備的身份認(rèn)證的計(jì)算,得到云端服務(wù)器側(cè)的認(rèn)證令牌TKN。。
8.根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于,所述用戶設(shè)備還用于接收所述云端服務(wù)器發(fā)送的非授權(quán)應(yīng)答信息,所述非授權(quán)應(yīng)答信息包括所述云端服務(wù)器側(cè)的認(rèn)證令牌TKN。、云端服務(wù)器產(chǎn)生的隨機(jī)數(shù)RNK。、云端服務(wù)器產(chǎn)生的序列號(hào)SQN,然后通過(guò)與所述云端服務(wù)器選取的身份認(rèn)證算法相同的算法,根據(jù)所述用戶設(shè)備產(chǎn)生的隨機(jī)數(shù)RNKm、共享密鑰SK和所述云端服務(wù)器產(chǎn)生的序列號(hào)SQN,計(jì)算得到用戶設(shè)備側(cè)的認(rèn)證令牌TKNm,當(dāng)所述用戶設(shè)備側(cè)的認(rèn)證令牌TKNm與所述云端服務(wù)器側(cè)的認(rèn)證令牌TKN。相同時(shí),得到的身份認(rèn)證結(jié)果為所述 云端服務(wù)器的身份合法。
9.一種云端服務(wù)器,其特征在于,包括 身份認(rèn)證信息接收模塊,用于接收來(lái)自用戶設(shè)備的身份認(rèn)證信息; 身份認(rèn)證算法選取模塊,用于從所述身份認(rèn)證信息中獲取用戶設(shè)備的標(biāo)識(shí)信息,并選取與所述用戶設(shè)備的標(biāo)識(shí)信息對(duì)應(yīng)的身份認(rèn)證算法; 身份認(rèn)證服務(wù)模塊,用于根據(jù)選取的所述身份認(rèn)證算法,進(jìn)行所述用戶設(shè)備的身份認(rèn)證的計(jì)算。
10.根據(jù)權(quán)利要求9所述的云端服務(wù)器,其特征在于,所述云端服務(wù)器還包括 身份認(rèn)證信息存儲(chǔ)模塊,與所述身份認(rèn)證算法選取模塊連接,用于存儲(chǔ)所述用戶設(shè)備的身份認(rèn)證信息、共享密鑰SK和身份認(rèn)證算法。
全文摘要
本發(fā)明提供一種基于云計(jì)算的身份認(rèn)證的方法、系統(tǒng)及云端服務(wù)器,該云端服務(wù)器包括身份認(rèn)證信息接收模塊,用于接收來(lái)自用戶設(shè)備的身份認(rèn)證信息;身份認(rèn)證算法選取模塊,用于從所述身份認(rèn)證信息中獲取用戶設(shè)備的標(biāo)識(shí)信息,并選取與所述用戶設(shè)備的標(biāo)識(shí)信息對(duì)應(yīng)的身份認(rèn)證算法;身份認(rèn)證服務(wù)模塊,用于根據(jù)選取的所述身份認(rèn)證算法,進(jìn)行所述用戶設(shè)備的身份認(rèn)證的計(jì)算。由于可根據(jù)不同的用戶設(shè)備選取不同的身份認(rèn)證算法,從而提高身份認(rèn)證的安全性。
文檔編號(hào)H04L29/08GK102752269SQ201110101220
公開(kāi)日2012年10月24日 申請(qǐng)日期2011年4月21日 優(yōu)先權(quán)日2011年4月21日
發(fā)明者余士韜, 呂漢鑫, 孔軼, 李英, 林茂, 胡金龍, 陳濤, 雷志勇, 黃偉湘, 黃克書(shū), 黃昭文 申請(qǐng)人:中國(guó)移動(dòng)通信集團(tuán)廣東有限公司