一種基于三角穩(wěn)固法則的服務(wù)認(rèn)證方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全技術(shù)領(lǐng)域,具體地���,涉及一種基于三角穩(wěn)固法則的服務(wù)認(rèn)證方法��。
【背景技術(shù)】
[0002]在網(wǎng)絡(luò)服務(wù)過程中��,除了需要在用戶終端與業(yè)務(wù)服務(wù)器之間交互服務(wù)請(qǐng)求/響應(yīng)消息外���,還需要交互用戶身份信息,以便對(duì)請(qǐng)求服務(wù)的用戶進(jìn)行身份認(rèn)證����,防止服務(wù)盜用�����。傳統(tǒng)的服務(wù)認(rèn)證方式是在相同終端����、相同業(yè)務(wù)服務(wù)器和相同的通訊會(huì)話中傳輸用戶身份信息,并通過一個(gè)往返循環(huán)的過程完成服務(wù)認(rèn)證�,這種服務(wù)認(rèn)證流程架構(gòu)易遭受到如下三種傳統(tǒng)手段的攻擊:(1)用戶端攻擊,在終端非法植入病毒�,監(jiān)聽服務(wù)認(rèn)證過程,讀取用戶身份信息;(2)中間人攻擊�����,通過釣魚方式或通信劫持方式獲取通訊會(huì)話權(quán)����,從非法的通信會(huì)話中獲取用戶身份信息;(3)服務(wù)器端攻擊�,攻擊業(yè)務(wù)服務(wù)器的數(shù)據(jù)庫,批量獲取用戶身份?目息��。
[0003]針對(duì)上述傳統(tǒng)服務(wù)認(rèn)證方式的問題�,有必要提供一種新型的服務(wù)認(rèn)證方法,可在服務(wù)認(rèn)證過程中����,避免在服務(wù)請(qǐng)求終端、業(yè)務(wù)服務(wù)器及它們的通訊會(huì)話中交互用戶身份信息����,從而可從流程架構(gòu)上規(guī)避所有傳統(tǒng)盜取用戶身份信息的攻擊手段,保障服務(wù)認(rèn)證過程中的信息安全�。
【發(fā)明內(nèi)容】
[0004]針對(duì)前述傳統(tǒng)服務(wù)認(rèn)證方式的問題,本發(fā)明提供了一種基于三角穩(wěn)固法則的服務(wù)認(rèn)證方法�����,在服務(wù)認(rèn)證過程中,由服務(wù)請(qǐng)求終端�����、業(yè)務(wù)服務(wù)器和認(rèn)證服務(wù)器構(gòu)成的“業(yè)務(wù)服務(wù)三角”執(zhí)行單向穩(wěn)定的服務(wù)請(qǐng)求流程���,由認(rèn)證服務(wù)器�、服務(wù)請(qǐng)求終端和信任用戶終端構(gòu)成的“授權(quán)認(rèn)證三角”執(zhí)行單向穩(wěn)定的身份認(rèn)證流程�����,最后在身份認(rèn)證成功時(shí)授權(quán)業(yè)務(wù)服務(wù)器向服務(wù)請(qǐng)求終端提供服務(wù)�,從而完成由服務(wù)請(qǐng)求終端發(fā)起的服務(wù)認(rèn)證。所述服務(wù)認(rèn)證方法可將用戶身份信息從服務(wù)請(qǐng)求流程中剝離出來��,避免了在服務(wù)請(qǐng)求終端����、業(yè)務(wù)服務(wù)器及它們的通訊會(huì)話中進(jìn)行交互����,從而可從流程架構(gòu)上規(guī)避所有傳統(tǒng)盜取用戶身份信息的攻擊手段���,保障服務(wù)認(rèn)證過程中的信息安全。
[0005]本發(fā)明采用的技術(shù)方案�,提供了一種基于三角穩(wěn)固法則的服務(wù)認(rèn)證方法,包括如下步驟:S101.服務(wù)請(qǐng)求終端建立與業(yè)務(wù)服務(wù)器的第一通訊會(huì)話�,并將服務(wù)請(qǐng)求消息發(fā)送給業(yè)務(wù)服務(wù)器;S102.所述業(yè)務(wù)服務(wù)器建立與認(rèn)證服務(wù)器的第二通訊會(huì)話���,并將包含所述服務(wù)請(qǐng)求終端的終端標(biāo)識(shí)符和所述第一通訊會(huì)話的會(huì)話標(biāo)識(shí)符的QR碼請(qǐng)求消息發(fā)送給認(rèn)證服務(wù)器�����;S103.所述認(rèn)證服務(wù)器根據(jù)所述服務(wù)請(qǐng)求終端的終端標(biāo)識(shí)符建立與所述服務(wù)請(qǐng)求終端的第三通訊會(huì)話����,并將包含所述第一通訊會(huì)話的會(huì)話標(biāo)識(shí)符和所述第二通訊會(huì)話的會(huì)話標(biāo)識(shí)符的QR碼消息發(fā)送給所述服務(wù)請(qǐng)求終端��;S104.所述服務(wù)請(qǐng)求終端以圖像形式顯示所述QR碼消息�,信任用戶終端通過掃描0R碼方式獲取所述第一通訊會(huì)話的會(huì)話標(biāo)識(shí)符和所述第三通訊會(huì)話的會(huì)話標(biāo)識(shí)符,所述信任用戶終端為在所述認(rèn)證服務(wù)器端完成用戶注冊(cè)的終端����;S105.所述信任用戶終端建立與所述認(rèn)證服務(wù)器的第四通訊會(huì)話,并將包含所述第一通訊會(huì)話的會(huì)話標(biāo)識(shí)符�、所述第二通訊會(huì)話的會(huì)話標(biāo)識(shí)符和用戶身份信息的OTA消息發(fā)送給所述認(rèn)證服務(wù)器���;S106.所述認(rèn)證服務(wù)器對(duì)所述OTA消息中的所述用戶身份信息進(jìn)行認(rèn)證判斷,若判定認(rèn)證成功�����,則根據(jù)所述0TA消息中的所述第二通訊會(huì)話的會(huì)話標(biāo)識(shí)符����,通過所述第二通訊會(huì)話向所述業(yè)務(wù)服務(wù)器反饋包含所述第一會(huì)話標(biāo)識(shí)符的服務(wù)授權(quán)消息;S107.所述業(yè)務(wù)服務(wù)器根據(jù)所述服務(wù)授權(quán)消息中的所述第一會(huì)話標(biāo)識(shí)符��,通過所述第一通訊會(huì)話向所述服務(wù)請(qǐng)求終端反饋服務(wù)響應(yīng)消息�。在應(yīng)用所述服務(wù)認(rèn)證方法進(jìn)行服務(wù)認(rèn)證過程中,由服務(wù)請(qǐng)求終端��、業(yè)務(wù)服務(wù)器和認(rèn)證服務(wù)器構(gòu)成的“業(yè)務(wù)服務(wù)三角”執(zhí)行由所述步驟S101至步驟S103描述的�、單向穩(wěn)定的服務(wù)請(qǐng)求流程,由認(rèn)證服務(wù)器���、服務(wù)請(qǐng)求終端和信任用戶終端構(gòu)成的“授權(quán)認(rèn)證三角”執(zhí)行所述步驟S104至步驟S106描述的�����、單向穩(wěn)定的身份認(rèn)證流程��,最后在身份認(rèn)證成功時(shí)授權(quán)業(yè)務(wù)服務(wù)器向服務(wù)請(qǐng)求終端提供服務(wù)�����,從而完成由服務(wù)請(qǐng)求終端發(fā)起的服務(wù)認(rèn)證��。這種服務(wù)認(rèn)證方法可將用戶身份信息從服務(wù)請(qǐng)求流程中剝離出來�����,避免了在服務(wù)請(qǐng)求終端��、業(yè)務(wù)服務(wù)器及它們的通訊會(huì)話中進(jìn)行交互���,從而可從流程架構(gòu)上規(guī)避所有傳統(tǒng)盜取用戶身份信息的攻擊手段,保障服務(wù)認(rèn)證過程中的信息安全�����。
[0006]具體的���,在所述步驟S102中��,所述業(yè)務(wù)服務(wù)器根據(jù)OAuth 2.0標(biāo)準(zhǔn)協(xié)議建立與認(rèn)證服務(wù)器的第二通訊會(huì)話��。利用0Auth2.0標(biāo)準(zhǔn)協(xié)議可在所述業(yè)務(wù)服務(wù)器與所述認(rèn)證服務(wù)器之間建立國密授權(quán)通道����,使第二通訊會(huì)話具有高安全性,進(jìn)一步保障服務(wù)認(rèn)證過程中業(yè)務(wù)服務(wù)器與認(rèn)證服務(wù)器之間的信息安全���。
[0007]具體的����,在所述步驟S105中��,所述信任用戶終端根據(jù)ECC非對(duì)稱加密算法及SSL協(xié)議建立與所述認(rèn)證服務(wù)器的第四通訊會(huì)話����。利用ECC非對(duì)稱加密算法及SSL協(xié)議可在所述信任用戶終端與所述認(rèn)證服務(wù)器之間建立國密認(rèn)證通道,使第四通訊會(huì)話具有高安全性�����,進(jìn)一步保障服務(wù)認(rèn)證過程中信任用戶終端與認(rèn)證服務(wù)器之間的信息安全��。
[0008]具體的�����,所述用戶身份信息包括由信任用戶終端即時(shí)采集的用戶生物特征碼信息/和信任用戶終端的設(shè)備硬件信息���。所述用戶生物特征碼信息用于進(jìn)行用戶與認(rèn)證服務(wù)器之間的認(rèn)證���,所述設(shè)備硬件信息用于進(jìn)行信任用戶終端與認(rèn)證服務(wù)器之間的認(rèn)證,由此在身份認(rèn)證過程中�����,不但可進(jìn)行用戶與認(rèn)證服務(wù)器之間的認(rèn)證�,還可以進(jìn)行信任用戶終端與認(rèn)證服務(wù)器之間的認(rèn)證,確保身份認(rèn)證的正確性�,真正實(shí)現(xiàn)“我是誰?我就是答案”的認(rèn)證理念����。
[0009]進(jìn)一步具體的,所述用戶生物特征碼信息為指紋信息���、聲紋信息和人臉信息中的任意一種或它們的任意組合����。
[0010]綜上,采用本發(fā)明所提供的一種基于三角穩(wěn)固法則的服務(wù)認(rèn)證方法��,具有如下有益效果:(1)可將用戶身份信息從服務(wù)請(qǐng)求流程中剝離出�,避免了在服務(wù)請(qǐng)求終端、業(yè)務(wù)服務(wù)器及它們的通訊會(huì)話中進(jìn)行交互�,從而可從流程架構(gòu)上規(guī)避所有傳統(tǒng)盜取用戶身份信息的攻擊手段,保障服務(wù)認(rèn)證過程中的信息安全��;(2)在身份認(rèn)證過程中��,不但可進(jìn)行用戶與認(rèn)證服務(wù)器之間的認(rèn)證�,還可以進(jìn)行信任用戶終端與認(rèn)證服務(wù)器之間的認(rèn)證,確保身份認(rèn)證的正確性���,真正實(shí)現(xiàn)“我是誰���?我就是答案”的認(rèn)證理念。
【附圖說明】
[0011]為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案�����,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹�,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例����,對(duì)于本領(lǐng)域普通技術(shù)人員來講���,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖�。
[0012]圖1是本發(fā)明提供的基于三角穩(wěn)固法則的服務(wù)認(rèn)證方法的流程示意圖���。
【具體實(shí)施方式】
[0013]以下將參照附圖�����,通過實(shí)施例方式詳細(xì)地描述本發(fā)明提供的基于三角穩(wěn)固法則的服務(wù)認(rèn)證方法�����。在此需要說明的是��,對(duì)于這些實(shí)施例方式的說明用于幫助理解本發(fā)明�,但并不構(gòu)成對(duì)本發(fā)明的限定����。
[0014]本文中描述的各種技術(shù)可以用于但不限于信息安全技術(shù)領(lǐng)域,還可以用于其它類似領(lǐng)域���。
[0015]本文中術(shù)語“和/或”�,僅僅是一種描述關(guān)聯(lián)對(duì)象的關(guān)聯(lián)關(guān)系,表示可以存在三種關(guān)系���,例如��,A和/或B���,可以表示:單獨(dú)存在A,單獨(dú)存在B�,同時(shí)存在A和B三種情況,本文中術(shù)語“/和”是描述另一種關(guān)聯(lián)對(duì)象關(guān)系�����,表示可以存在兩種關(guān)系�,例如,A/和B����,可以表示:單獨(dú)存在A,單獨(dú)存在A和B兩種情況��,另外�,本文中字符“/”��,一般表示前后關(guān)聯(lián)對(duì)象是一種“或”關(guān)系�。
實(shí)施例一
[0016]圖1示出了本發(fā)明提供的基于三角穩(wěn)固法則的服務(wù)認(rèn)證方法的流程示意圖�����。所述基于三角穩(wěn)固法則的服務(wù)認(rèn)證方法�,包括如下步驟。
[0017]S101.服務(wù)請(qǐng)求終端建立與業(yè)務(wù)服務(wù)器的第一通訊會(huì)話����,并將服務(wù)請(qǐng)求消息發(fā)送給業(yè)務(wù)服務(wù)器����。
[0018]在步驟S101中,所述服務(wù)請(qǐng)求終端為配置有顯示屏單元����、且可以與業(yè)務(wù)服務(wù)器進(jìn)行無線或有線通信的用戶終端,其可以接收來自業(yè)務(wù)服務(wù)器的網(wǎng)絡(luò)應(yīng)用服務(wù)(例如接入網(wǎng)絡(luò)���、登錄論壇網(wǎng)站或云平臺(tái)等網(wǎng)絡(luò)服務(wù))����,例如個(gè)人電腦、智能手機(jī)��、智能手表或平板電腦的等���。所述業(yè)務(wù)服務(wù)器為服務(wù)供應(yīng)商側(cè)提供網(wǎng)絡(luò)應(yīng)用服務(wù)的設(shè)備�����,例如存放應(yīng)用網(wǎng)站或運(yùn)行云平臺(tái)的服務(wù)器�。
[0019]S102.所述業(yè)務(wù)服務(wù)器建立與認(rèn)證服務(wù)器的第二通訊會(huì)話��,并將包含所述服務(wù)請(qǐng)求終端的終端標(biāo)識(shí)符和所述第一通訊會(huì)話的會(huì)話標(biāo)識(shí)符的QR碼請(qǐng)求消息發(fā)送給認(rèn)證服務(wù)器���。
[0020]在步驟S102中��,所述業(yè)務(wù)服務(wù)器在接收到所述服務(wù)請(qǐng)求消息后�����,立即生成包含所述服務(wù)請(qǐng)求終端的終端標(biāo)識(shí)符和所述第一通訊會(huì)話的會(huì)話標(biāo)識(shí)符的QR碼請(qǐng)求消息���,然后建立與認(rèn)證服務(wù)器的第二通訊會(huì)話,將所述QR碼請(qǐng)求消息發(fā)送給所述認(rèn)證服務(wù)器�。具體的�����,所述業(yè)務(wù)服務(wù)器根據(jù)OAuth 2.0標(biāo)準(zhǔn)協(xié)議建立與認(rèn)證服務(wù)器的第二通訊會(huì)話�。利用0Auth2.0標(biāo)準(zhǔn)協(xié)議可在所述業(yè)務(wù)服務(wù)器與所述TAC認(rèn)證服務(wù)器之間建立國密授權(quán)通道����,使第二通訊會(huì)話具有高安全性,進(jìn)一步保障服務(wù)認(rèn)證過程中業(yè)務(wù)服務(wù)器與認(rèn)證服務(wù)器之間的信息安全���。作為舉例的�,如圖1所示�����,所述認(rèn)證服務(wù)器為TCA(Two Channel Authenticat1n�����,雙通道認(rèn)證)認(rèn)證服務(wù)器(一種實(shí)現(xiàn)帶外認(rèn)證的認(rèn)證服務(wù)器�����,既可以在用戶注冊(cè)階段作為用戶身份標(biāo)記產(chǎn)生和發(fā)放者���,也可以作為用戶身份的判定者)�,可以根據(jù)注冊(cè)的用戶身份信息對(duì)待認(rèn)證的用戶身份信息進(jìn)行認(rèn)證判斷�����,并在判定認(rèn)證成功時(shí)����,授權(quán)所述業(yè)務(wù)服務(wù)器為服務(wù)請(qǐng)求終端提供相應(yīng)的網(wǎng)絡(luò)應(yīng)用服務(wù)。
[0021]S103.所述認(rèn)證服務(wù)器根據(jù)所述服務(wù)請(qǐng)求終端的終端標(biāo)識(shí)符建立與所述服務(wù)請(qǐng)求終端的第三通訊會(huì)話�,并將包含所述第一通訊會(huì)話的會(huì)話標(biāo)識(shí)符和所述第二通訊會(huì)話的會(huì)話標(biāo)識(shí)符的QR碼消息發(fā)送給所述服務(wù)請(qǐng)求終端。
[0022]在步驟S103中�,所