亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

安全認(rèn)證的方法、設(shè)備及系統(tǒng)的制作方法

文檔序號(hào):7982241閱讀:504來源:國知局
安全認(rèn)證的方法、設(shè)備及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種安全認(rèn)證的方法、設(shè)備及系統(tǒng),涉及信息安全【技術(shù)領(lǐng)域】,能夠提高認(rèn)證效率,降低資源開銷。本發(fā)明包括:獲取用戶的數(shù)字證書和第一用戶認(rèn)證信息;將所述用戶的數(shù)字證書和第一用戶認(rèn)證信息發(fā)送給認(rèn)證服務(wù)端,;接收服務(wù)端發(fā)送的所述認(rèn)證票據(jù)和所述會(huì)話密鑰信息;從所述會(huì)話密鑰信息中獲取會(huì)話密鑰,并根據(jù)所述會(huì)話密鑰,生成第二用戶認(rèn)證信息;根據(jù)接收的所述認(rèn)證票據(jù)和所述第二用戶認(rèn)證信息,生成認(rèn)證憑據(jù);將所述認(rèn)證憑據(jù)和業(yè)務(wù)請求發(fā)送給業(yè)務(wù)服務(wù)端。本發(fā)明實(shí)施例主要應(yīng)用于認(rèn)證授權(quán)的流程中。
【專利說明】安全認(rèn)證的方法、設(shè)備及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全【技術(shù)領(lǐng)域】,尤其涉及一種安全認(rèn)證的方法、設(shè)備及系統(tǒng)。
【背景技術(shù)】
[0002]目前,分布式應(yīng)用程序的認(rèn)證主要使用基于非對稱加密的PKI (Public KeyInfrastructure,公鑰基礎(chǔ)設(shè)施)技術(shù)或基于對稱加密的Kerberos技術(shù)。其中,PKI使用公私密鑰和數(shù)字證書作為認(rèn)證憑證。而Kerberos協(xié)議架構(gòu)實(shí)現(xiàn)了 SSO (Single-Sign On,單點(diǎn)登錄),即一次認(rèn)證所得到的結(jié)果可以在后續(xù)認(rèn)證過程中反復(fù)被使用。
[0003]在實(shí)現(xiàn)上述兩種加密認(rèn)證時(shí),發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問題:當(dāng)使用PKI技術(shù)時(shí),用戶每次進(jìn)行業(yè)務(wù)處理之前,都必須執(zhí)行一次認(rèn)證操作,認(rèn)證效率比較低;當(dāng)使用Kerberos技術(shù)時(shí),用戶的認(rèn)證信息必須要同一管理存儲(chǔ)和管理,資源開銷大。

【發(fā)明內(nèi)容】

[0004]本發(fā)明的實(shí)施例提供一種安全認(rèn)證的方法、設(shè)備及系統(tǒng),能夠提高認(rèn)證效率,降低資源開銷。
[0005]為達(dá)到上述目的,本發(fā)明的實(shí)施例采用如下技術(shù)方案:
[0006]一種安全認(rèn)證的方法,包括:
[0007]獲取用戶的數(shù)字證書和第一用戶認(rèn)證信息;
[0008]將所述用戶的數(shù)字證書和第一用戶認(rèn)證信息發(fā)送給認(rèn)證服務(wù)端,以使得所述認(rèn)證服務(wù)端在根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息確定所述用戶身法合法時(shí),根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息生成認(rèn)證票據(jù)和會(huì)話密鑰信息;
[0009]接收服務(wù)端發(fā)送的所述認(rèn)證票據(jù)和所述會(huì)話密鑰信息;
[0010]從所述會(huì)話密鑰信息中獲取會(huì)話密鑰,并根據(jù)所述會(huì)話密鑰,生成第二用戶認(rèn)證信息;
[0011]根據(jù)接收的所述認(rèn)證票據(jù)和所述第二用戶認(rèn)證信息,生成認(rèn)證憑據(jù);
[0012]將所述認(rèn)證憑據(jù)和業(yè)務(wù)請求發(fā)送給業(yè)務(wù)服務(wù)端,以使得所述業(yè)務(wù)服務(wù)端根據(jù)所述認(rèn)證憑據(jù)判斷是否響應(yīng)所述業(yè)務(wù)請求。
[0013]一種安全認(rèn)證的方法,包括:
[0014]接收客戶端發(fā)送的用戶的數(shù)字證書和第一用戶認(rèn)證信息;
[0015]根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息,生成認(rèn)證票據(jù)和會(huì)話密鑰信息;
[0016]向客戶端發(fā)送所述認(rèn)證票據(jù)和所述會(huì)話密鑰。
[0017]一種安全認(rèn)證的方法,包括:
[0018]接收用戶發(fā)送的業(yè)務(wù)請求和認(rèn)證票據(jù);
[0019]將所述認(rèn)證票據(jù)發(fā)送給認(rèn)證服務(wù)端;
[0020]接收所述認(rèn)證服務(wù)端發(fā)送的所述認(rèn)證票據(jù)中攜帶的用戶信息;
[0021]判斷所述用戶信息是否合法;[0022]若確定所述用戶信息合法,則響應(yīng)所述用戶發(fā)送的業(yè)務(wù)請求。
[0023]一種客戶端設(shè)備,包括:
[0024]獲取單元,用于獲取用戶的數(shù)字證書和第一用戶認(rèn)證信息;
[0025]發(fā)送單元,用于將所述用戶的數(shù)字證書和第一用戶認(rèn)證信息發(fā)送給認(rèn)證服務(wù)端,以使得所述認(rèn)證服務(wù)端在根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息確定所述用戶身法合法時(shí),根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息生成認(rèn)證票據(jù)和會(huì)話密鑰信息;
[0026]接收單元,用于接收服務(wù)端發(fā)送的所述認(rèn)證票據(jù)和所述會(huì)話密鑰信息;
[0027]生成單元,用于從所述會(huì)話密鑰信息中獲取會(huì)話密鑰,并根據(jù)所述會(huì)話密鑰,生成第二用戶認(rèn)證信息;根據(jù)接收的所述認(rèn)證票據(jù)和所述第二用戶認(rèn)證信息,生成認(rèn)證憑據(jù);
[0028]所述發(fā)送單元,還用于將所述認(rèn)證憑據(jù)和業(yè)務(wù)請求發(fā)送給業(yè)務(wù)服務(wù)端,以使得所述業(yè)務(wù)服務(wù)端根據(jù)所述認(rèn)證憑據(jù)判斷是否響應(yīng)所述業(yè)務(wù)請求。
[0029]一種認(rèn)證服務(wù)端設(shè)備,包括:
[0030]接收單元,用于接收客戶端發(fā)送的用戶的數(shù)字證書和第一用戶認(rèn)證信息;
[0031]生成單元,用于根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息,生成認(rèn)證票據(jù)和會(huì)話密鑰信息;
[0032]發(fā)送單元,用于向客戶端發(fā)送所述認(rèn)證票據(jù)和所述會(huì)話密鑰。
[0033]一種業(yè)務(wù)服務(wù)端設(shè)備,包括:
[0034]接收單元,用于接收用戶發(fā)送的業(yè)務(wù)請求和認(rèn)證票據(jù);
[0035]發(fā)送單元,用于將所述認(rèn)證票據(jù)發(fā)送給認(rèn)證服務(wù)端;
[0036]所述接收單元,還用于接收所述認(rèn)證服務(wù)端發(fā)送的所述認(rèn)證票據(jù)中攜帶的用戶信息;
[0037]判斷單元,用于判斷所述用戶信息是否合法;
[0038]業(yè)務(wù)處理單元,用于在確定所述用戶信息合法時(shí),響應(yīng)所述用戶發(fā)送的業(yè)務(wù)請求。
[0039]一種安全認(rèn)證的系統(tǒng),包括上述客戶端設(shè)備、認(rèn)證服務(wù)端設(shè)備和業(yè)務(wù)服務(wù)端設(shè)備。
[0040]本發(fā)明實(shí)施例提供的一種安全認(rèn)證的方法、設(shè)備及系統(tǒng),通過數(shù)字證書和密鑰加密的方法實(shí)現(xiàn)用戶與認(rèn)證服務(wù)器之間的認(rèn)證流程,使得服務(wù)器在為用戶進(jìn)行認(rèn)證的過程中,不需要集中管理和存儲(chǔ)用戶的認(rèn)證信息,降低了資源開銷。同時(shí),為每個(gè)用戶對應(yīng)生成了認(rèn)證票據(jù),使得用戶可以使用直接認(rèn)證票據(jù)來實(shí)現(xiàn)后續(xù)業(yè)務(wù)處理過程中的認(rèn)證流程,不需要每次都對用戶的數(shù)字證書等信息進(jìn)行認(rèn)證,提高了認(rèn)證效率。
【專利附圖】

【附圖說明】
[0041]為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
[0042]圖1為本發(fā)明實(shí)施例1中的一種安全認(rèn)證的方法示意圖;
[0043]圖2為本發(fā)明實(shí)施例1中的另一種安全認(rèn)證的方法示意圖;
[0044]圖3為本發(fā)明實(shí)施例1中的另一種安全認(rèn)證的方法示意圖;
[0045]圖4為本發(fā)明實(shí)施例2中的一種安全認(rèn)證的方法流程圖;[0046]圖5為本發(fā)明實(shí)施例3中的一種客戶端設(shè)備的組成框圖;
[0047]圖6為本發(fā)明實(shí)施例3中的另一種客戶端設(shè)備的組成框圖;
[0048]圖7為本發(fā)明實(shí)施例3中的另一種客戶端設(shè)備的組成框圖;
[0049]圖8為本發(fā)明實(shí)施例3中的一種認(rèn)證服務(wù)端設(shè)備的組成框圖;
[0050]圖9為本發(fā)明實(shí)施例3中的另一種認(rèn)證服務(wù)端設(shè)備的組成框圖;
[0051]圖10為本發(fā)明實(shí)施例3中的另一種認(rèn)證服務(wù)端設(shè)備的組成框圖;
[0052]圖11為本發(fā)明實(shí)施例3中的另一種認(rèn)證服務(wù)端設(shè)備的組成框圖;
[0053]圖12為本發(fā)明實(shí)施例3中的一種業(yè)務(wù)服務(wù)端設(shè)備的組成框圖;
[0054]圖13為本發(fā)明實(shí)施例3中的一種安全認(rèn)證系統(tǒng)的組成框圖。
【具體實(shí)施方式】
[0055]下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
[0056]實(shí)施例1
[0057]本發(fā)明實(shí)施例提供的一種安全認(rèn)證的方法,如圖1所示,該方法可以由客戶端設(shè)備執(zhí)彳T,包括:
[0058]101、獲取用戶的數(shù)字證書和第一用戶認(rèn)證信息。
[0059]其中,所述獲取用戶的數(shù)字證書和第一用戶認(rèn)證信息的實(shí)現(xiàn)方法具體包括:
[0060]向所述認(rèn)證服務(wù)端發(fā)送認(rèn)證信息獲取請求,所述認(rèn)證信息獲取請求包括用戶信息;接收所述認(rèn)證服務(wù)端根據(jù)所述用戶信息生成的所述用戶的數(shù)字證書和第一用戶認(rèn)證信
肩、O
[0061]其中,所述數(shù)字證書中可以攜帶有擁有此數(shù)字證書的用戶的標(biāo)識(shí)信息和該用戶的公鑰,認(rèn)證服務(wù)端使用系統(tǒng)證書私鑰對該用戶的標(biāo)識(shí)信息和公鑰進(jìn)行加密處理即可得到數(shù)字證書。
[0062]其中,所述第一用戶認(rèn)證信息中可以攜帶有用戶的標(biāo)識(shí)信息、用戶的角色名、用戶認(rèn)證信息生成時(shí)間和由用戶指定的認(rèn)證票據(jù)的相關(guān)時(shí)間,認(rèn)證服務(wù)端使用用戶的私鑰對這些第一用戶認(rèn)證信息中攜帶的信息進(jìn)行加密處理即可得到該第一用戶認(rèn)證信息。
[0063]其中,所述由用戶指定的認(rèn)證票據(jù)的相關(guān)時(shí)間包括認(rèn)證票據(jù)開始生效時(shí)間、開始失效的時(shí)間以及認(rèn)證票據(jù)更新時(shí)間。
[0064]102、將所述用戶的數(shù)字證書和第一用戶認(rèn)證信息發(fā)送給認(rèn)證服務(wù)端,以使得所述認(rèn)證服務(wù)端在根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息確定所述用戶身法合法時(shí),根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息生成認(rèn)證票據(jù)和會(huì)話密鑰信息。
[0065]103、接收服務(wù)端發(fā)送的所述認(rèn)證票據(jù)和所述會(huì)話密鑰信息。
[0066]其中,所述認(rèn)證票據(jù)中可以攜帶有會(huì)話密鑰、用戶的標(biāo)識(shí)信息、用戶的角色名、用戶的地址信息以及認(rèn)證票據(jù)的開始生效時(shí)間、開始失效的時(shí)間和認(rèn)證票據(jù)更新時(shí)間,認(rèn)證服務(wù)端使用系統(tǒng)認(rèn)證密鑰對所述認(rèn)證票據(jù)中攜帶的信息進(jìn)行加密即可得到所述認(rèn)證票據(jù)。
[0067]其中,所述會(huì)話密鑰信息中可以攜帶有會(huì)話密鑰和第一用戶認(rèn)證信息生成時(shí)間,認(rèn)證服務(wù)端使用用戶的公鑰對所述會(huì)話密鑰信息中攜帶的信息進(jìn)行加密即可得到所述會(huì)話密鑰信息。
[0068]104、從所述會(huì)話密鑰信息中獲取會(huì)話密鑰,并根據(jù)所述會(huì)話密鑰,生成第二用戶認(rèn)證信息。
[0069]其中,所述從所述會(huì)話密鑰信息中獲取會(huì)話密鑰的實(shí)現(xiàn)方法為使用用戶的公鑰對所述會(huì)話密鑰信息進(jìn)行加密處理,得到所述會(huì)話密鑰。
[0070]其中,所述根據(jù)所述會(huì)話密鑰,生成第二用戶認(rèn)證信息的實(shí)現(xiàn)方法具體為獲取用戶標(biāo)識(shí)信息;使用所述會(huì)話密鑰對所述用戶標(biāo)識(shí)信息進(jìn)行加密,生成所述第二用戶認(rèn)證信
肩、O
[0071]值得說明的是,所述第二用戶認(rèn)證信息和所述第一用戶認(rèn)證信息是針對同一個(gè)用戶的用戶認(rèn)證信息,但是前述兩個(gè)用戶認(rèn)證信息的內(nèi)容不同,此處的“第一”和“第二”僅作為區(qū)分具有不同內(nèi)容的認(rèn)證信息的標(biāo)識(shí)。
[0072]105、根據(jù)接收的所述認(rèn)證票據(jù)和所述第二用戶認(rèn)證信息,生成認(rèn)證憑據(jù)。
[0073]106、將所述認(rèn)證憑據(jù)和業(yè)務(wù)請求發(fā)送給業(yè)務(wù)服務(wù)端,以使得所述業(yè)務(wù)服務(wù)端根據(jù)所述認(rèn)證憑據(jù)判斷是否響應(yīng)所述業(yè)務(wù)請求。
[0074]本發(fā)明實(shí)施例還提供了一種安全認(rèn)證的方法,如圖2所示,該方法可以由認(rèn)證服務(wù)端設(shè)備實(shí)現(xiàn),包括:
[0075]201、接收客戶端發(fā)送的用戶的數(shù)字證書和第一用戶認(rèn)證信息。
[0076]其中,所述數(shù)字證書和第一用戶認(rèn)證信息的有關(guān)描述與所述步驟101中的有關(guān)描述相同,本發(fā)明實(shí)施例對此不再詳細(xì)描述。
[0077]202、根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息,生成認(rèn)證票據(jù)和會(huì)話密鑰信
肩、O
[0078]其中,所述根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息,生成認(rèn)證票據(jù)和會(huì)話密鑰信息的實(shí)現(xiàn)方法包括:
[0079]為所述用戶分配一個(gè)與所述用戶唯一對應(yīng)的會(huì)話密鑰,并獲取所述用戶的地址信息;使用所述用戶的公鑰對所述第一用戶認(rèn)證信息進(jìn)行解密處理,得到所述用戶的身份信息;使用所述用戶的公鑰對所述會(huì)話密鑰進(jìn)行加密處理,得到所述會(huì)話密鑰信息;使用系統(tǒng)認(rèn)證密鑰對所述用戶的會(huì)話密鑰、地址信息和身份信息一起進(jìn)行加密處理,得到所述認(rèn)證票據(jù)。
[0080]其中,所述認(rèn)證票據(jù)和會(huì)話密鑰信息的有關(guān)描述與所述步驟103中的描述相同,本發(fā)明實(shí)施例對此不再贅述。
[0081]203、向客戶端發(fā)送所述認(rèn)證票據(jù)和所述會(huì)話密鑰。
[0082]本發(fā)明實(shí)施例還提供了一種安全認(rèn)證方法,如圖3所示,該方法可以由業(yè)務(wù)端設(shè)備實(shí)現(xiàn),包括:
[0083]301、接收用戶發(fā)送的業(yè)務(wù)請求和認(rèn)證票據(jù)。
[0084]302、將所述認(rèn)證票據(jù)發(fā)送給認(rèn)證服務(wù)端。
[0085]303、接收所述認(rèn)證服務(wù)端發(fā)送的所述認(rèn)證票據(jù)中攜帶的用戶信息。
[0086]其中,所述用戶信息中可以攜帶有用戶的標(biāo)識(shí)信息和用戶的角色名等信息。
[0087]304、判斷所述用戶信息是否合法。[0088]其中,所述判斷所述用戶信息是否合法的方法可以包括:
[0089]根據(jù)所述用戶的標(biāo)識(shí)信息,在業(yè)務(wù)服務(wù)端中查找是否有此用戶。
[0090]若查找到此用戶,則認(rèn)為該用戶的標(biāo)識(shí)信息合法;若查找不到此用戶,則認(rèn)為該用戶的標(biāo)識(shí)信息不合法。
[0091]進(jìn)一步判斷該用戶是否具有所述用戶的角色名對應(yīng)的權(quán)限;
[0092]若該用戶具有對應(yīng)的權(quán)限,則認(rèn)為該用戶的身份信息合法;否則認(rèn)為該用戶的身份信息不合法。
[0093]305、若確定所述用戶信息合法,則響應(yīng)所述用戶發(fā)送的業(yè)務(wù)請求。
[0094]本發(fā)明實(shí)施例提供了一種安全認(rèn)證的方法,通過數(shù)字證書和密鑰加密的方法實(shí)現(xiàn)用戶與認(rèn)證服務(wù)器之間的認(rèn)證流程,使得服務(wù)器在為用戶進(jìn)行認(rèn)證的過程中,不需要集中管理和存儲(chǔ)用戶的認(rèn)證信息,降低了資源開銷。同時(shí),為每個(gè)用戶對應(yīng)生成了認(rèn)證票據(jù),使得用戶可以使用直接認(rèn)證票據(jù)來實(shí)現(xiàn)后續(xù)業(yè)務(wù)處理過程中的認(rèn)證流程,不需要每次都對用戶的數(shù)字證書等信息進(jìn)行認(rèn)證,提高了認(rèn)證效率。
[0095]實(shí)施例2
[0096]本發(fā)明實(shí)施例提供了一種安全認(rèn)證的方法,可以應(yīng)用于分布式應(yīng)用系統(tǒng)中,該系統(tǒng)主要包括客戶端設(shè)備、認(rèn)證服務(wù)端設(shè)備和業(yè)務(wù)服務(wù)端設(shè)備。
[0097]本發(fā)明實(shí)施例以用戶C的認(rèn)證流程為例具體描述該方法,如圖4所示,該流程包括:`[0098]401、客戶端設(shè)備獲取用戶的數(shù)字證書Cert。和用戶認(rèn)證信息authenticator。
[0099]其中,所述Certc^P authenticator的具體定義如下表1。
[0100]表1 Certc^P authenticator 定義式
[0101]
Cert,'i{C, 1?}?
autlienl icaiora{C, role, Ti, t imes} Ki
T.±11Eiieslamp
limesiT1., T;, 1.[0102]其中,C 為用 戶 C 的標(biāo) 識(shí)信 息,.?+為用戶C的公鑰,Α?為用戶C的私鑰,為認(rèn)證服務(wù)端設(shè)備用于為用戶分配數(shù)字證書時(shí)使用的密鑰,role為用戶的角色名,每個(gè)角色名對應(yīng)一種權(quán)限級(jí)別,T1為認(rèn)證服務(wù)端設(shè)備生成系統(tǒng)時(shí)間,Tb為由客戶端要求的認(rèn)證票據(jù)ticket開始生效的時(shí)間,Te為由客戶端要求的認(rèn)證票據(jù)ticket開始失效的時(shí)間,Tr為由客戶端要求的認(rèn)證票據(jù)ticket更新的時(shí)間。
[0103]其中,所述獲取Certc和authenticator的方法可以為在向認(rèn)證服務(wù)端設(shè)備進(jìn)行認(rèn)證流程之前,用戶通過客戶端設(shè)備向所述認(rèn)證服務(wù)端設(shè)備發(fā)送認(rèn)證信息獲取請求,所述認(rèn)證信息獲取請求包括用戶信息;用戶通過客戶端設(shè)備接收所述認(rèn)證服務(wù)端設(shè)備根據(jù)所述用戶信息生成的所述用戶的數(shù)字證書和用戶認(rèn)證信息。
[0104]402、客戶端設(shè)備將Cert。和authenticator發(fā)送給認(rèn)證服務(wù)端設(shè)備。[0105]403、認(rèn)證服務(wù)端設(shè)備對接收到的Certc^P authenticator進(jìn)行驗(yàn)證,用以判斷用戶的身份是否合法。
[0106]其中,所述認(rèn)證服務(wù)端設(shè)備對接收到的Cert。和authenticator進(jìn)行驗(yàn)證的具體流程為:
[0107]使用私解密Cert。,若能解密,則確定用戶C的數(shù)字證書有效,并進(jìn)一步獲取用戶C的公鑰,并使用用戶C的公鑰對authenticator進(jìn)行解密;獲取用戶C的標(biāo)識(shí)信息以及用戶C的角色名,判斷用戶C是否具有該角色名,若確定用戶C具有此角色名,則認(rèn)定用戶C的身份合法。
[0108]在上述流程中,若不能解密用戶C的Cert?;虼_定用戶C不具有此角色名,則都認(rèn)定用戶C的身份不合法。
[0109]404、認(rèn)證服務(wù)端設(shè)備在確定用戶C身份合法之后,生成會(huì)話密鑰信息sessionkey 以及 ticket。所述 session key 攜帶有 Kss。
[0110]其中,值得說明的是,Kss只有認(rèn)證服務(wù)端設(shè)備和用戶C知道。
[0111]其中,session key和ticket的定義如下表2所示。
[0112]表2session key 和 ticket 的定義式
[0113]
【權(quán)利要求】
1.一種安全認(rèn)證的方法,其特征在于,包括: 獲取用戶的數(shù)字證書和第一用戶認(rèn)證信息; 將所述用戶的數(shù)字證書和第一用戶認(rèn)證信息發(fā)送給認(rèn)證服務(wù)端,以使得所述認(rèn)證服務(wù)端在根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息確定所述用戶身法合法時(shí),根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息生成認(rèn)證票據(jù)和會(huì)話密鑰信息; 接收服務(wù)端發(fā)送的所述認(rèn)證票據(jù)和所述會(huì)話密鑰信息; 從所述會(huì)話密鑰信息中獲取會(huì)話密鑰,并根據(jù)所述會(huì)話密鑰,生成第二用戶認(rèn)證信息; 根據(jù)接收的所述認(rèn)證票據(jù)和所述第二用戶認(rèn)證信息,生成認(rèn)證憑據(jù); 將所述認(rèn)證憑據(jù)和業(yè)務(wù)請求發(fā)送給業(yè)務(wù)服務(wù)端,以使得所述業(yè)務(wù)服務(wù)端根據(jù)所述認(rèn)證憑據(jù)判斷是否響應(yīng)所述業(yè)務(wù)請求。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述獲取用戶的數(shù)字證書和第一用戶認(rèn)證信息包括: 向所述認(rèn)證服務(wù)端發(fā)送認(rèn)證信息獲取請求,所述認(rèn)證信息獲取請求包括用戶信息; 接收所述認(rèn)證服務(wù)端根據(jù)所述用戶信息生成的所述用戶的數(shù)字證書和第一用戶認(rèn)證信息。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述根據(jù)所述會(huì)話密鑰,生成第二用戶認(rèn)證信息包括: 獲取用戶標(biāo)識(shí)信息; 使用所述會(huì)話密鑰對所述用戶標(biāo)識(shí)信息進(jìn)行加密,生成所述第二用戶認(rèn)證信息。
4.一種安全認(rèn)證的方法,其特征在于,包括: 接收客戶端發(fā)送的用戶的數(shù)字證書和第一用戶認(rèn)證信息; 根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息,生成認(rèn)證票據(jù)和會(huì)話密鑰信息; 向客戶端發(fā)送所述認(rèn)證票據(jù)和所述會(huì)話密鑰。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,在所述根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息,生成認(rèn)證票據(jù)和會(huì)話密鑰信息之前,還包括: 根據(jù)所述用戶的數(shù)字證書和所述第一用戶認(rèn)證信息,判斷所述用戶的身份是否合法;若確定所述用戶的身份合法,則執(zhí)行所述根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息,生成認(rèn)證票據(jù)和會(huì)話密鑰信息。
6.根據(jù)權(quán)利要求4或5所述的方法,其特征在于,所述根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息,生成認(rèn)證票據(jù)和會(huì)話密鑰信息包括: 為所述用戶分配一個(gè)與所述用戶唯一對應(yīng)的會(huì)話密鑰,并獲取所述用戶的地址信息; 使用所述用戶的公鑰對所述第一用戶認(rèn)證信息進(jìn)行解密處理,得到所述用戶的身份信息; 使用所述用戶的公鑰對所述會(huì)話密鑰進(jìn)行加密處理,得到所述會(huì)話密鑰信息; 使用系統(tǒng)認(rèn)證密鑰對所述用戶的會(huì)話密鑰、地址信息和身份信息一起進(jìn)行加密處理,得到所述認(rèn)證票據(jù)。
7.根據(jù)權(quán)利要求6所述的方法,其特征在于,還包括: 接收業(yè)務(wù)服務(wù)端發(fā)送的認(rèn)證票據(jù);使用系統(tǒng)認(rèn)證密鑰對所述認(rèn)證票據(jù)進(jìn)行解密處理,得到所述業(yè)務(wù)服務(wù)端發(fā)送的認(rèn)證票據(jù)中攜帶的用戶信息; 將所述業(yè)務(wù)服務(wù)端發(fā)送的認(rèn)證票據(jù)中攜帶的用戶信息發(fā)送給所述業(yè)務(wù)服務(wù)端。
8.一種安全認(rèn)證的方法,其特征在于,包括: 接收用戶發(fā)送的業(yè)務(wù)請求和認(rèn)證票據(jù); 將所述認(rèn)證票據(jù)發(fā)送給認(rèn)證服務(wù)端; 接收所述認(rèn)證服務(wù)端發(fā)送的所述認(rèn)證票據(jù)中攜帶的用戶信息; 判斷所述用戶信息是否合法; 若確定所述用戶信息合法,則響應(yīng)所述用戶發(fā)送的業(yè)務(wù)請求。
9.根據(jù)權(quán)利要求8所述的方法,其特征在于,還包括: 若確定所述用戶信息不合法,則向所述用戶發(fā)送拒絕信息。
10.一種客戶端設(shè)備,其特征在于,包括: 獲取單元,用于獲取用戶的數(shù)字證書和第一用戶認(rèn)證信息; 發(fā)送單元,用于將所述用戶的數(shù)字證書和第一用戶認(rèn)證信息發(fā)送給認(rèn)證服務(wù)端,以使得所述認(rèn)證服務(wù)端在根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息確定所述用戶身法合法時(shí),根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息生成認(rèn)證票據(jù)和會(huì)話密鑰信息; 接收單元,用于接收服務(wù)端發(fā)送的所述認(rèn)證票據(jù)和所述會(huì)話密鑰信息; 生成單元,用于從所述會(huì)話密鑰信息中獲取會(huì)話密鑰,并根據(jù)所述會(huì)話密鑰,生成第二用戶認(rèn)證信息;根據(jù)接收的所述認(rèn)證票據(jù)和所述第二用戶認(rèn)證信息,生成認(rèn)證憑據(jù); 所述發(fā)送單元,還用于將所述認(rèn)證憑據(jù)和業(yè)務(wù)請求發(fā)送給業(yè)務(wù)服務(wù)端,以使得所述業(yè)務(wù)服務(wù)端根據(jù)所述認(rèn)證憑據(jù)判斷是否響應(yīng)所述業(yè)務(wù)請求。
11.根據(jù)權(quán)利要求10所述的客戶端設(shè)備,其特征在于,所述獲取單元包括: 發(fā)送模塊,用于向所述認(rèn)證服務(wù)端發(fā)送認(rèn)證信息獲取請求,所述認(rèn)證信息獲取請求包括用戶信息; 接收模塊,用于接收所述認(rèn)證服務(wù)端根據(jù)所述用戶信息生成的所述用戶的數(shù)字證書和第一用戶認(rèn)證信息。
12.根據(jù)權(quán)利要求10所述的客戶端設(shè)備,其特征在于,所述生成單元包括: 獲取模塊,用于獲取用戶標(biāo)識(shí)信息; 加密模塊,用于使用所述會(huì)話密鑰對所述用戶標(biāo)識(shí)信息進(jìn)行加密,生成所述第二用戶認(rèn)證信息。
13.—種認(rèn)證服務(wù)端設(shè)備,其特征在于,包括: 接收單元,用于接收客戶端發(fā)送的用戶的數(shù)字證書和第一用戶認(rèn)證信息; 生成單元,用于根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息,生成認(rèn)證票據(jù)和會(huì)話密鑰信息; 發(fā)送單元,用于向客戶端發(fā)送所述認(rèn)證票據(jù)和所述會(huì)話密鑰。
14.根據(jù)權(quán)利要求13所述的認(rèn)證服務(wù)端設(shè)備,其特征在于,還包括: 判斷單元,用于根據(jù)所述用戶的數(shù)字證書和所述第一用戶認(rèn)證信息,判斷所述用戶的身份是否合法; 所述生成單元,用于在確定所述用戶的身份合法時(shí),根據(jù)所述用戶的數(shù)字證書和第一用戶認(rèn)證信息,生成認(rèn)證票據(jù)和會(huì)話密鑰信息。
15.根據(jù)權(quán)利要求13或14所述的認(rèn)證服務(wù)端設(shè)備,其特征在于,所述生成單元包括: 分配模塊,用于為所述用戶分配一個(gè)與所述用戶唯一對應(yīng)的會(huì)話密鑰,并獲取所述用戶的地址信息; 解密模塊,用于使用所述用戶的公鑰對所述第一用戶認(rèn)證信息進(jìn)行解密處理,得到所述用戶的身份信息; 加密模塊,用于使用所述用戶的公鑰對所述會(huì)話密鑰進(jìn)行加密處理,得到所述會(huì)話密鑰信息;使用系統(tǒng)認(rèn)證密鑰對所述用戶的會(huì)話密鑰、地址信息和身份信息一起進(jìn)行加密處理,得到所述認(rèn)證票據(jù)。
16.根據(jù)權(quán)利要求15所述的認(rèn)證服務(wù)端設(shè)備,其特征在于,還包括: 所述接收單元,還用于接收業(yè)務(wù)服務(wù)端發(fā)送的認(rèn)證票據(jù); 解密單元,用于使用系統(tǒng)認(rèn)證密鑰對所述認(rèn)證票據(jù)進(jìn)行解密處理,得到所述業(yè)務(wù)服務(wù)端發(fā)送的認(rèn)證票據(jù)中攜帶的用戶信息; 所述發(fā)送單元,用于將所述業(yè)務(wù)服務(wù)端發(fā)送的認(rèn)證票據(jù)中攜帶的用戶信息發(fā)送給所述業(yè)務(wù)服務(wù)端。
17.—種業(yè)務(wù)服務(wù)端設(shè)備,其特征在于,包括: 接收單元,用于接收用戶發(fā)送的業(yè)務(wù)請求和認(rèn)證票據(jù); 發(fā)送單元,用于將所述認(rèn)證票據(jù)發(fā)送給認(rèn)證服務(wù)端; 所述接收單元,還用于 接收所述認(rèn)證服務(wù)端發(fā)送的所述認(rèn)證票據(jù)中攜帶的用戶信息; 判斷單元,用于判斷所述用戶信息是否合法; 業(yè)務(wù)處理單元,用于在確定所述用戶信息合法時(shí),響應(yīng)所述用戶發(fā)送的業(yè)務(wù)請求。
18.根據(jù)權(quán)利要求17所述的業(yè)務(wù)服務(wù)端設(shè)備,其特征在于,所述業(yè)務(wù)處理單元還用于在確定所述用戶信息不合法時(shí),向所述用戶發(fā)送拒絕信息。
19.一種安全認(rèn)證的系統(tǒng),其特征在于,包括如權(quán)利要求8-12中任意一項(xiàng)所述的客戶端設(shè)備、如權(quán)利要求13-16中任意一項(xiàng)所述的認(rèn)證服務(wù)端設(shè)備以及如權(quán)利要求17或18中所述的業(yè)務(wù)服務(wù)端設(shè)備。
【文檔編號(hào)】H04L9/32GK103634265SQ201210295708
【公開日】2014年3月12日 申請日期:2012年8月20日 優(yōu)先權(quán)日:2012年8月20日
【發(fā)明者】吳燁, 楊一飛, 歐陽君沛, 楊廣 申請人:騰訊科技(深圳)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會(huì)獲得點(diǎn)贊!
1