本發(fā)明涉及一種信息安全領(lǐng)域，特別是涉及一種用于UDP傳輸?shù)恼J(rèn)證系統(tǒng)及認(rèn)證方法。

背景技術(shù)：

UDP(User Datagram Protocol，用戶數(shù)據(jù)報(bào)協(xié)議)是一個(gè)簡(jiǎn)單的面向數(shù)據(jù)報(bào)的運(yùn)輸層協(xié)議。由于UDP在傳輸數(shù)據(jù)報(bào)前不用在客戶和服務(wù)器之間建立一個(gè)連接，且沒有超時(shí)重發(fā)等機(jī)制，因此傳輸速度很快，適用于要求開銷小、傳輸速度快的場(chǎng)合，例如音頻、視頻等大文件數(shù)據(jù)的傳輸。

但在實(shí)際應(yīng)用中，用戶訪問網(wǎng)絡(luò)資源時(shí)，為了保障合法用戶獲得資源和服務(wù)，服務(wù)器應(yīng)當(dāng)能夠驗(yàn)證客戶機(jī)請(qǐng)求的合法性。當(dāng)用戶需要從服務(wù)器獲取音頻、視頻等大文件數(shù)據(jù)時(shí)，采用UDP傳輸盡管可以保證傳輸效率，但服務(wù)器無(wú)法判斷用戶請(qǐng)求的合法性，用戶也無(wú)法驗(yàn)證所收到的數(shù)據(jù)是否在傳輸過程中被非法篡改，這給用戶和服務(wù)器帶來(lái)一定的安全隱患。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明要解決的技術(shù)問題是為了克服現(xiàn)有技術(shù)中UDP傳輸過程中，服務(wù)器無(wú)法判斷用戶請(qǐng)求的合法性，用戶也無(wú)法驗(yàn)證收到的數(shù)據(jù)是否被非法篡改的缺陷，提供一種用于UDP傳輸?shù)恼J(rèn)證系統(tǒng)及認(rèn)證方法。

本發(fā)明是通過下述技術(shù)方案來(lái)解決上述技術(shù)問題的：

本發(fā)明提供了一種用于UDP傳輸?shù)恼J(rèn)證系統(tǒng)，其特點(diǎn)在于，包括客戶機(jī)、服務(wù)器以及認(rèn)證中心；

所述客戶機(jī)用于向所述認(rèn)證中心發(fā)送第一請(qǐng)求，所述第一請(qǐng)求用于請(qǐng)求與所述服務(wù)器進(jìn)行通信；

所述認(rèn)證中心用于在接收到所述第一請(qǐng)求后生成會(huì)話密鑰，并根據(jù)所述會(huì)話密鑰生成第一票據(jù)和第二票據(jù)，并將所述第一票據(jù)和所述第二票據(jù)發(fā)送至所述客戶機(jī)；

所述客戶機(jī)用于解密所述第一票據(jù)得到所述會(huì)話密鑰，通過所述會(huì)話密鑰計(jì)算第二請(qǐng)求的第一哈希值，并將所述第二請(qǐng)求、所述第二票據(jù)及所述第一哈希值發(fā)送至所述服務(wù)器，所述第二請(qǐng)求用于請(qǐng)求從所述服務(wù)器獲取服務(wù)；

所述服務(wù)器用于解密所述第二票據(jù)以得到所述會(huì)話密鑰，并通過所述會(huì)話密鑰驗(yàn)證所述第一哈希值，在驗(yàn)證通過后通過所述會(huì)話密鑰計(jì)算服務(wù)數(shù)據(jù)的第二哈希值，并將所述服務(wù)數(shù)據(jù)及所述第二哈希值發(fā)送至所述客戶機(jī)；

所述客戶機(jī)還用于在接收到所述服務(wù)數(shù)據(jù)及所述第二哈希值后，通過所述會(huì)話密鑰驗(yàn)證所述第二哈希值是否正確，若是，則接受所述服務(wù)數(shù)據(jù)；若否，則丟棄所述服務(wù)數(shù)據(jù)。

較佳地，所述認(rèn)證中心還用于基于所述客戶機(jī)的身份生成私鑰，所述客戶機(jī)還用于保存所述私鑰。

較佳地，所述認(rèn)證中心還用于在接收到所述第一請(qǐng)求后，驗(yàn)證所述客戶機(jī)的身份，并在驗(yàn)證通過后生成所述會(huì)話密鑰。

較佳地，所述認(rèn)證中心用于通過隨機(jī)數(shù)生成器生成所述會(huì)話密鑰，并用所述客戶機(jī)的身份加密所述會(huì)話密鑰以生成所述第一票據(jù)。

較佳地，所述認(rèn)證中心還用于對(duì)所述會(huì)話密鑰及所述客戶機(jī)的身份進(jìn)行加密以生成所述第二票據(jù)，并將所述第一票據(jù)和所述第二票據(jù)發(fā)送至所述客戶機(jī)。

較佳地，所述客戶機(jī)用于用所述私鑰解密所述第一票據(jù)以得到所述會(huì)話密鑰。

較佳地，所述第二票據(jù)中還包括時(shí)間戳信息。

本發(fā)明的目的在于還提供了一種用于UDP傳輸?shù)恼J(rèn)證方法，其特點(diǎn)在于，包括以下步驟：

S₁、客戶機(jī)向認(rèn)證中心發(fā)送第一請(qǐng)求，所述第一請(qǐng)求用于請(qǐng)求與服務(wù)器進(jìn)行通信；

S₂、所述認(rèn)證中心在接收到所述第一請(qǐng)求后生成會(huì)話密鑰，并根據(jù)所述會(huì)話密鑰生成第一票據(jù)和第二票據(jù)，并將所述第一票據(jù)和所述第二票據(jù)發(fā)送至所述客戶機(jī)；

S₃、所述客戶機(jī)解密所述第一票據(jù)得到所述會(huì)話密鑰，通過所述會(huì)話密鑰計(jì)算第二請(qǐng)求的第一哈希值，并將所述第二請(qǐng)求、所述第二票據(jù)及所述第一哈希值發(fā)送至所述服務(wù)器，所述第二請(qǐng)求用于請(qǐng)求從所述服務(wù)器獲取服務(wù)；

S₄、所述服務(wù)器解密所述第二票據(jù)以得到所述會(huì)話密鑰，并通過所述會(huì)話密鑰驗(yàn)證所述第一哈希值，在驗(yàn)證通過后通過所述會(huì)話密鑰計(jì)算服務(wù)數(shù)據(jù)的第二哈希值，并將所述服務(wù)數(shù)據(jù)及所述第二哈希值發(fā)送至所述客戶機(jī)；

S₅、所述客戶機(jī)在接收到所述服務(wù)數(shù)據(jù)及所述第二哈希值后，通過所述會(huì)話密鑰驗(yàn)證所述第二哈希值是否正確，若是，則接受所述服務(wù)數(shù)據(jù)；若否，則丟棄所述服務(wù)數(shù)據(jù)。

較佳地，步驟S₁之前還包括：

S₀₁、所述認(rèn)證中心基于所述客戶機(jī)的身份生成私鑰，所述客戶機(jī)保存所述私鑰。

較佳地，步驟S₂中所述認(rèn)證中心還在接收到所述第一請(qǐng)求后，驗(yàn)證所述客戶機(jī)的身份，并在驗(yàn)證通過后生成所述會(huì)話密鑰。

較佳地，步驟S₂中所述認(rèn)證中心通過隨機(jī)數(shù)生成器生成所述會(huì)話密鑰，并用所述客戶機(jī)的身份加密所述會(huì)話密鑰以生成所述第一票據(jù)。

較佳地，步驟S₂中所述認(rèn)證中心還對(duì)所述會(huì)話密鑰及所述客戶機(jī)的身份進(jìn)行加密以生成所述第二票據(jù)，并將所述第一票據(jù)和所述第二票據(jù)發(fā)送至所述客戶機(jī)。

較佳地，步驟S₃中所述客戶機(jī)用所述私鑰解密所述第一票據(jù)以得到所述會(huì)話密鑰。

較佳地，所述第二票據(jù)中還包括時(shí)間戳信息。

本發(fā)明的積極進(jìn)步效果在于：本發(fā)明與傳統(tǒng)的UDP傳輸相比，能夠在保證傳輸效率的前提下，為服務(wù)器提供驗(yàn)證客戶機(jī)合法性的方法，并為通信雙方提供數(shù)據(jù)一致性檢驗(yàn)，同時(shí)能夠避免非法客戶機(jī)獲取服務(wù)器資源，保障服務(wù)器為合法客戶機(jī)提供服務(wù)。

附圖說明

圖1為本發(fā)明的較佳實(shí)施例的用于UDP傳輸?shù)恼J(rèn)證系統(tǒng)的模塊示意圖。

圖2為本發(fā)明的較佳實(shí)施例的用于UDP傳輸?shù)恼J(rèn)證系統(tǒng)的內(nèi)部結(jié)構(gòu)示意圖。

圖3為本發(fā)明的較佳實(shí)施例的用于UDP傳輸?shù)恼J(rèn)證方法的流程圖。

具體實(shí)施方式

下面通過實(shí)施例的方式進(jìn)一步說明本發(fā)明，但并不因此將本發(fā)明限制在所述的實(shí)施例范圍之中。

如圖1所示，本發(fā)明的用于UDP傳輸?shù)恼J(rèn)證系統(tǒng)包括客戶機(jī)1、服務(wù)器2以及認(rèn)證中心3，其中所述客戶機(jī)1分別與所述服務(wù)器2和所述認(rèn)證中心3通信連接；

所述認(rèn)證中心3可設(shè)于所述服務(wù)器2端，所述認(rèn)證中心3與所述客戶機(jī)1之間建立基于身份的系統(tǒng)，所述認(rèn)證中心3基于所述客戶機(jī)1的身份生成私鑰，所述客戶機(jī)1則用于保存所述私鑰；

當(dāng)用戶需要從所述服務(wù)器2獲取服務(wù)時(shí)，首先所述客戶機(jī)1會(huì)向所述認(rèn)證中心3發(fā)送第一請(qǐng)求，所述第一請(qǐng)求用于請(qǐng)求與所述服務(wù)器2進(jìn)行通信，其具體內(nèi)容可包括“申請(qǐng)與服務(wù)器通信”等；

所述認(rèn)證中心3在接收到所述第一請(qǐng)求后，會(huì)驗(yàn)證所述客戶機(jī)1的身份，即基于所述客戶機(jī)的身份判斷所述第一請(qǐng)求的合法性，并在驗(yàn)證通過后通過隨機(jī)數(shù)生成器為所述客戶機(jī)1和所述服務(wù)器2生成會(huì)話密鑰，并利用基于身份的加密算法對(duì)所述會(huì)話密鑰進(jìn)行加密以生成第一票據(jù)C，然后利用RC4加密算法對(duì)所述會(huì)話密鑰及所述客戶機(jī)的身份進(jìn)行加密以生成第二票據(jù)T，并將所述第一票據(jù)C及所述第二票據(jù)T發(fā)送至所述客戶機(jī)1；其中，優(yōu)選地，所述第二票據(jù)T中還可以包括時(shí)間戳信息。

所述客戶機(jī)1在接收到所述第一票據(jù)C及所述第二票據(jù)T后，會(huì)利用基于身份的解密算法對(duì)所述第一票據(jù)C進(jìn)行解密以得到所述會(huì)話密鑰，然后利用SHA256算法(一種譯作安全散列算法)和所述會(huì)話密鑰計(jì)算第二請(qǐng)求的第一哈希值，并將所述第二請(qǐng)求、所述第一哈希值和所述第二票據(jù)級(jí)聯(lián)后發(fā)送至所述服務(wù)器2；其中，所述第二請(qǐng)求用于請(qǐng)求從所述服務(wù)器獲取服務(wù)，其具體內(nèi)容可包括“獲取服務(wù)”等；

所述服務(wù)器2在收到消息后，首先會(huì)解密所述第二票據(jù)，以得到所述會(huì)話密鑰和所述客戶機(jī)1的身份，然后利用SHA256算法和所述會(huì)話密鑰驗(yàn)證所述第一哈希值，如果驗(yàn)證通過，則根據(jù)所述第二請(qǐng)求向所述客戶機(jī)1提供相應(yīng)服務(wù)，具體地，即利用SHA256算法和所述會(huì)話密鑰計(jì)算服務(wù)數(shù)據(jù)的第二哈希值，并將所述服務(wù)數(shù)據(jù)和所述第二哈希值發(fā)送至所述客戶機(jī)1；

所述客戶機(jī)1在接收到所述服務(wù)數(shù)據(jù)和所述第二哈希值后，會(huì)利用SHA256算法和所述會(huì)話密鑰驗(yàn)證所述第二哈希值是否正確，若是，則表明驗(yàn)證通過，此時(shí)就接受所述服務(wù)數(shù)據(jù)，若否，則表明驗(yàn)證未通過，此時(shí)就丟棄所述服務(wù)數(shù)據(jù)。

在本發(fā)明的具體實(shí)施過程中，所述認(rèn)證中心3可以生成隨機(jī)對(duì)稱密鑰，對(duì)稱密鑰由所述認(rèn)證中心和所述服務(wù)器進(jìn)行秘密保存，其中，所述會(huì)話密鑰可用所述客戶機(jī)1的身份進(jìn)行加密以得到第一票據(jù)，所述會(huì)話密鑰可用所述認(rèn)證中心3與所述服務(wù)器2的對(duì)稱密鑰進(jìn)行加密以得到所述第二票據(jù)。

在本發(fā)明中，如圖2所示，其中示出了本發(fā)明的基于UDP傳輸?shù)恼J(rèn)證系統(tǒng)中所述客戶機(jī)1、所述服務(wù)器2和所述認(rèn)證中心3三者的內(nèi)部結(jié)構(gòu)，所述認(rèn)證中心3和所述客戶機(jī)1之間需要構(gòu)建基于身份的系統(tǒng)，因此所述認(rèn)證中心3內(nèi)部需布設(shè)基于身份的私鑰生成算法、基于身份的加密算法，并存儲(chǔ)所述客戶機(jī)1身份；此外所述認(rèn)證中心3內(nèi)部還部署有RC4加密算法和隨機(jī)數(shù)生成器。所述認(rèn)證中心3和所述服務(wù)器2之間的隨機(jī)數(shù)由隨機(jī)數(shù)生成器生成，并秘密保存在所述認(rèn)證中心3和所述服務(wù)器2。所述客戶機(jī)1需部署基于身份的解密算法和SHA256算法，同時(shí)將對(duì)應(yīng)自己身份的私鑰秘密存儲(chǔ)。所述服務(wù)器2內(nèi)部需部署RC4解密算法和SHA256算法。并且，由于所述客戶機(jī)1分別與所述服務(wù)器2和所述認(rèn)證中心3通信連接，所以三者均包括網(wǎng)絡(luò)接口；在完成上述部署之后，所述客戶機(jī)1與所述服務(wù)器2之間基于UDP協(xié)議的可認(rèn)證通信共需4步通信：1.客戶機(jī)向認(rèn)證中心發(fā)送第一請(qǐng)求；2.認(rèn)證中心向客戶機(jī)發(fā)送第一票據(jù)和第二票據(jù)；3.客戶機(jī)向服務(wù)器發(fā)送第二請(qǐng)求及第二票據(jù)；4.服務(wù)器向客戶機(jī)提供服務(wù)(發(fā)送數(shù)據(jù))。

從而本發(fā)明通過在服務(wù)器端引入一個(gè)認(rèn)證中心，當(dāng)客戶機(jī)需要從服務(wù)器獲取服務(wù)，并通過UDP協(xié)議傳輸數(shù)據(jù)時(shí)，由認(rèn)證中心為客戶機(jī)發(fā)放用戶獲取服務(wù)的第二票據(jù)。認(rèn)證中心與客戶機(jī)之間建立基于身份的系統(tǒng)，便于對(duì)客戶機(jī)身份的管理和請(qǐng)求合法性的判斷。第二票據(jù)中含有認(rèn)證中心為客戶機(jī)與服務(wù)器分配的共享的會(huì)話密鑰，可用于保障通信雙方通過UDP傳輸?shù)臄?shù)據(jù)的一致性。第二票據(jù)采用流密碼RC4加密，確保了協(xié)議的輕量級(jí)。

如圖3所示，本發(fā)明還提供了一種用于UDP傳輸?shù)恼J(rèn)證方法，其利用上述的用于UDP傳輸?shù)恼J(rèn)證系統(tǒng)實(shí)現(xiàn)，包括以下步驟：

步驟101、所述認(rèn)證中心基于所述客戶機(jī)的身份生成私鑰，所述客戶機(jī)保存所述私鑰；

步驟102、客戶機(jī)向認(rèn)證中心發(fā)送第一請(qǐng)求，所述第一請(qǐng)求用于請(qǐng)求與服務(wù)器進(jìn)行通信；

步驟103、所述認(rèn)證中心還在接收到所述第一請(qǐng)求后，驗(yàn)證所述客戶機(jī)的身份，并在驗(yàn)證通過后生成所述會(huì)話密鑰；并根據(jù)所述會(huì)話密鑰生成第一票據(jù)和第二票據(jù)，并將所述第一票據(jù)和所述第二票據(jù)發(fā)送至所述客戶機(jī)；

步驟104、所述客戶機(jī)用所述私鑰解密所述第一票據(jù)以得到所述會(huì)話密鑰，并通過所述會(huì)話密鑰計(jì)算第二請(qǐng)求的第一哈希值，并將所述第二請(qǐng)求、所述第二票據(jù)及所述第一哈希值發(fā)送至所述服務(wù)器，所述第二請(qǐng)求用于請(qǐng)求從所述服務(wù)器獲取服務(wù)；

步驟105、所述服務(wù)器解密所述第二票據(jù)以得到所述會(huì)話密鑰，并通過所述會(huì)話密鑰驗(yàn)證所述第一哈希值，在驗(yàn)證通過后通過所述會(huì)話密鑰計(jì)算服務(wù)數(shù)據(jù)的第二哈希值，并將所述服務(wù)數(shù)據(jù)及所述第二哈希值發(fā)送至所述客戶機(jī)；

步驟106、所述客戶機(jī)在接收到所述服務(wù)數(shù)據(jù)及所述第二哈希值后，通過所述會(huì)話密鑰驗(yàn)證所述第二哈希值是否正確，若是，則接受所述服務(wù)數(shù)據(jù)；若否，則丟棄所述服務(wù)數(shù)據(jù)。

其中，在步驟103中，所述認(rèn)證中心通過隨機(jī)數(shù)生成器生成所述會(huì)話密鑰，并對(duì)所述會(huì)話密鑰進(jìn)行加密以生成第一票據(jù)；所述認(rèn)證中心還對(duì)所述會(huì)話密鑰及所述客戶機(jī)的身份進(jìn)行加密以生成所述第二票據(jù)，并將所述第一票據(jù)和所述第二票據(jù)發(fā)送至所述客戶機(jī)，優(yōu)選地，所述第二票據(jù)中還包括時(shí)間戳信息。在步驟104中，所述客戶機(jī)解密所述第一票據(jù)以得到所述會(huì)話密鑰。

雖然以上描述了本發(fā)明的具體實(shí)施方式，但是本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解，這些僅是舉例說明，本發(fā)明的保護(hù)范圍是由所附權(quán)利要求書限定的。本領(lǐng)域的技術(shù)人員在不背離本發(fā)明的原理和實(shí)質(zhì)的前提下，可以對(duì)這些實(shí)施方式做出多種變更或修改，但這些變更和修改均落入本發(fā)明的保護(hù)范圍。