CN101951321A - 一种实现身份认证的装置、***及方法 - Google Patents
一种实现身份认证的装置、***及方法 Download PDFInfo
- Publication number
- CN101951321A CN101951321A CN2010105072489A CN201010507248A CN101951321A CN 101951321 A CN101951321 A CN 101951321A CN 2010105072489 A CN2010105072489 A CN 2010105072489A CN 201010507248 A CN201010507248 A CN 201010507248A CN 101951321 A CN101951321 A CN 101951321A
- Authority
- CN
- China
- Prior art keywords
- authentication
- band
- information
- subscriber equipment
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 230000004044 response Effects 0.000 claims description 91
- 238000012545 processing Methods 0.000 claims description 32
- 238000003860 storage Methods 0.000 claims description 23
- 238000012795 verification Methods 0.000 claims description 19
- 230000005540 biological transmission Effects 0.000 claims description 18
- 230000010365 information processing Effects 0.000 claims description 5
- 238000005516 engineering process Methods 0.000 abstract description 24
- 230000008901 benefit Effects 0.000 abstract description 4
- 238000012986 modification Methods 0.000 abstract description 4
- 230000004048 modification Effects 0.000 abstract description 4
- 238000012423 maintenance Methods 0.000 abstract description 3
- 238000005259 measurement Methods 0.000 abstract 2
- 230000003542 behavioural effect Effects 0.000 description 16
- 230000008569 process Effects 0.000 description 15
- 238000004458 analytical method Methods 0.000 description 8
- 230000006399 behavior Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 238000013475 authorization Methods 0.000 description 4
- 238000006243 chemical reaction Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 230000002427 irreversible effect Effects 0.000 description 4
- 238000007726 management method Methods 0.000 description 4
- 230000008676 import Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000005094 computer simulation Methods 0.000 description 1
- 238000013144 data compression Methods 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- PWPJGUXAGUPAHP-UHFFFAOYSA-N lufenuron Chemical compound C1=C(Cl)C(OC(F)(F)C(C(F)(F)F)F)=CC(Cl)=C1NC(=O)NC(=O)C1=C(F)C=CC=C1F PWPJGUXAGUPAHP-UHFFFAOYSA-N 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000002459 sustained effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种实现身份认证的装置、***及方法,在现有普通身份认证技术的基础上,通过增加对用户设备的度量认证方式来实现用户身份和用户使用的用户设备的绑定;或者,增加带外身份认证的方式;或者,通过增加对用户设备的度量认证以及带外身份认证相结合的方式来阻断网络上对用户身份的攻击,从而提高了身份认证的安全性、保障合法用户的利益,解决中间人攻击、连接劫持攻击等问题。而且,本发明提供的身份认证的***能够和已经存在各种身份认证***相兼容,实施时无需对原有认证***作过大修改,投入成本低、管理维护容易、而且能够大大提升身份认证***的安全性。
Description
本申请是申请日为2008年10月23日、申请号为200810224837.9,发明名称为“一种实现身份认证的装置、***及方法”的申请的分案申请。
技术领域
本发明涉及认证技术,特别涉及一种实现身份认证的装置、***及方法。
背景技术
目前,随着互联网技术的飞速发展,网上交易已经深入到人们的日常生活与工作中,其中,“网上银行”与“电子商务”的应用是最具有代表性的应用。举例来说,“网上银行”作为一种全新的银行客户服务提交渠道,客户无论在家里、办公室,还是在旅途中都可以通过互联网络办理包括查询、转账、缴费等各种银行业务,管理自己的资产。
但互联网技术在带给人们极大方便的同时,互联网络的安全性问题也日益突出地显现出来,例如,对于网上银行,客户通过互联网络进行交易时,客户的用户识别码(例如帐号)和密码等资料在交易过程中极易被攻击者拦截或盗取,攻击者利用拦截或盗取的用户识别码和密码进行非法操作,直接侵害了客户的利益,这不仅直接影响到网上交易的信誉,也对网上交易发展产生不利的负面影响。
为了加强互联网络信息传输的安全性,需要建立互联网络信息传输的安全体系,以保证互联网络***中的数据只能被有对应权限的人访问;同时,还需要提供某种身份验证机制,来保证存储在互联网络***的客户的用户身份与使用互联网络***的客户所宣称的身份一致,只有通过身份认证的用户,才能访问***资源和进行操作。因此,对于互联网络来说,身份认证管理是整个信息安全体系的基础,如果没有有效的身份认证管理手段、方法和措施,访问互联网络***的客户的身份就很容易被攻击者伪造,导致攻击者得以进入安全防范体系。例如,近年来国内多次发生的“假冒网站”以及客户资金被盗案件的主要原因,就是由于客户的用户身份被盗用。
下面对现有技术建立互联网络信息传输的安全体系的几种认证技术进行描述,主要包括:
一、动态密码身份认证
动态密码身份认证技术也称为“一次一密”技术,即用户每次使用的密码都根据时间或使用次数等来动态产生,并且每个密码只能使用一次。
用户设备可以使用专有令牌来产生动态密码,在使用时用户只需要将令牌上显示的当前密码输入,认证服务器端采用相同的算法计算当前有效密码即可实现身份的确认。
具体来说,动态密码身份认证的原理在于,用户每次使用的密码由专有令牌产生,而且每次使用的密码都不相同,由于密码使用一次后就失效,因而,即使攻击者截获该密码,也无法使用该密码仿冒合法用户身份,所以只要认证服务器端通过密码验证就可以认为该用户的身份是可靠的。通过采用一次一密的方法,动态密码身份认证技术有效地保证了用户身份的安全性,且与后续提到的IC卡认证、USB Key认证、生物特征认证相比,成本较低,目前的动态密码方式大多采用硬件方式、基于时间同步或事件的令牌。
虽然,动态密码身份认证技术使用方便,但其安全性并不理想。例如,当遭遇病毒或攻击者的攻击时,如果用户输入动态密码并通过网络传送,位于用户设备与认证服务器通信通道间的攻击者便可通过键盘监听或内存读取等方式截获动态密码后进行攻击,可以使用户无法完成登录,并造成网络连接断开、连接超时等假象;另一方面攻击者还可以利用截获的动态密码假冒用户登录到认证服务器,进行非法操作,使用户蒙受损失。
二、通用串行总线(USB,Universal Serial Bus)Key数字证书身份认证
USB Key数字证书身份认证通过基于USB接口的USB key硬件设备来执行认证,是近几年发展起来的一种身份认证技术。USB Key采用内置单片机或智能卡芯片,存储用户基于公钥基础设施(PKI,Public Key Infrastructure)构架的数字证书。该数字证书是由可信任的第三方认证机构颁发的一组包含用户身份信息(密钥)的数据结构,PKI构架通过采用密码学算法构建了一套完善的流程来保证数字证书的持有人的身份和数据安全。具体来说,数字证书身份认证的原理是:发送方产生一段文字信息并对这段文字信息进行单向不可逆的变换,然后,发送方再用自己的秘密密钥对进行单向不可逆的变换生成的文字变换进行加密,并将产生的原始文字信息和加密后的文字变换结果传送给指定的接收者,这段经过加密后的文字变换结果就被称作为数字签名。接收者接收原始文字信息和加密后的文字变换结果,将接收到的原始文字信息进行同样的单项不可逆的变换,同时利用发送方的公开密钥对接收的加密的文字变换结果进行解密,如果解密后的文字变换结果和接收方自身进行的单项不可逆的文字变换结果一致,则接收方认为发送方通过了身份认证,可以相信对方的身份。
然而,USB Key数字证书身份认证的数字证书本身也是一种数字身份,还是存在被非法复制的危险,于是,现有的USB Key作为数字证书存储介质增加了很多自毁措施,以确保在受到破解的时候自动毁灭所存储的数字证书;以及,强化了PKI构架体系的一些安全措施,使得USB Key可以保证用户数字证书无法被复制。
但是,由于部署和维护USB Key数字证书身份认证的CA中心的成本非常巨大,而且需要在用户设备为每一用户配置一个USB KEY,造成用户使用成本较高;此外,每次使用时都需要将USB KEY***到用户设备的USB接口中,如果用户设备不具有USB接口、或USB接口损坏、或USB KEY损坏,用户将无法访问CA中心;而且,不管是签名信息,还是数字证书,在网络中传输时,仍然无法阻止每一次认证中的中间人攻击。
现有提出的一种改进方法是将通信链路信道进行加密,如使用安全套接层(SSL,Security Socket Layer)协议保护,可以阻止网络截获签名信息或数字证书,但该加密信道仍然无法阻止每一次认证中的连接劫持攻击。举例来说,当浏览器指向https://xxx.com连接时,数字证书会在SSL握手期间进行交换,数字证书中保存的公钥被用于会话的加密。连接时如果用户没有CA中心的公钥,浏览器就会提示用户接受还是拒绝这个数字证书,而对于大量站点发行的证书,用户并没有相应站点的公钥来检查证书的合法性,因而,对于普通的交互式客户程序,例如,浏览器,可能造成使SSL连接失去意义,从而使用户无法分辨站点使用未知CA中心的提示信息是真的还是自己遭到了连接劫持攻击;进一步地,即使用户以前曾经浏览过这个站点并保存了它的数字证书,也仍然可能被攻击者得逞;另外,由于目前的攻击技术能很容易地突破SSL协议,所以即使用户能够检查网站数字证书的合法性,在身份认证中仍会遭到类似连接劫持的攻击。
三、生物特征身份认证
生物特征身份认证是基于用户独一无二的生物特征,例如,指纹识别、虹膜识别等来验证用户身份的技术。由于它直接使用人的物理特征来表示每一个人的数字身份,不同的人具有相同生物特征的可能性可以忽略不计,因此,从理论上说,生物特征身份认证是最可靠的身份认证方式。但现有的生物特征身份认证,基于生物特征识别技术成熟度的影响,还具有较大的局限性。首先,生物特征识别的准确性和稳定性还有待提高,特别是如果用户身体受到伤病或污渍的影响,往往导致无法正常识别,造成合法用户无法登陆的情况;其次,由于研发投入较大和产量较小的原因,生物特征认证***的成本非常高,目前只适合于一些安全性要求非常高的场合,如部队等使用,还无法做到大面积推广;此外,如果在网络上传输生物特征信息进行身份认证,则无法阻止重传攻击、中间人攻击等。重传攻击,即将截获的信息重新发送给验证服务器进行认证,从而获取访问身份的攻击;中间人(MITM,Man-in-the-Middle Attack)攻击,是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。然后入侵者把这台计算机模拟一台或两台原始计算机,使“中间人”能够与原始计算机建立活动连接并允许其读取或修改传递的信息,然而两个原始计算机用户却认为他们是在互相通信。通常,这种“拦截数据——修改数据——发送数据”的过程就被称为“会话劫持”(Session Hijack)。
四、集成电路(IC,Integrate Circuit)卡认证
IC卡认证是基于IC卡硬件的不可复制特性来保证用户身份不会被仿冒的技术。IC卡内置集成电路,卡片中存有与用户身份相关的数据,由专门的厂商通过专门的设备生产,可以认为是不可复制的硬件。IC卡由合法用户随身携带,登录时将IC卡***专用的读卡器读取其中的信息,以验证用户的身份。由于每次从IC卡中读取的数据是静态的,攻击者通过内存扫描或网络监听等技术比较容易截取到用户的身份验证信息,因此存在较大的安全隐患。
由上述可见,现有常用的身份认证方法,身份认证安全性较低,损害了合法用户的利益,此外,还存在以下缺陷:
(一)、身份认证技术实现复杂。如USB KEY数字证书身份认证;
(二)、成本较高。如USB KEY数字证书身份认证、生物特征身份认证;
(三)、维护复杂。如USB KEY数字证书认证;
(四)、适用场景受限、方便性差。如生物特征认证、USB KEY数字证书身份认证。
发明内容
有鉴于此,本发明的一个主要目的在于提供一种实现身份认证的装置,提高身份认证的安全性、保障合法用户的利益。
本发明的另一个主要目的在于提供一种实现身份认证的***,提高身份认证的安全性、保障合法用户的利益。
本发明的再一个主要目的在于提供一种实现身份认证的方法,提高身份认证的安全性、保障合法用户的利益。
为达到上述目的,本发明提供了一种实现身份认证的带外身份认证服务器,所述带外身份认证服务器包括:信息接收模块、信息处理模块、带外身份认证凭证信息存储模块、带外身份认证凭证信息比对模块、以及信息发送模块,其中,
信息接收模块,用于将接收的来自认证授权执行者的带外身份认证请求信息、以及用户设备返回的带外身份认证凭证信息,发送至信息处理模块;
信息处理模块,用于根据接收的带外身份认证请求信息,生成带外身份认证凭证信息,发送至带外身份认证凭证信息存储模块、以及信息发送模块;接收信息接收模块发送的用户设备返回的带外身份认证凭证信息,发送至带外身份认证凭证信息比对模块;
带外身份认证凭证信息存储模块,用于存储信息处理模块生成的带外身份认证凭证信息;
带外身份认证凭证信息比对模块,用于接收来自信息处理模块的带外身份认证凭证信息,验证是否与带外身份认证凭证信息存储模块存储的带外身份认证凭证信息一致,如果一致,向信息发送模块发送包含带外身份认证成功信息的带外身份认证请求响应信息;
信息发送模块,用于将接收的带外身份认证请求响应信息以及带外身份认证凭证信息发送。
一种实现身份认证的***,该***包括:认证授权执行者、带外身份认证服务器、身份认证策略模块,其中,
认证授权执行者,用于在确定用户设备通过普通身份认证,并获知用户设备需要执行带外身份认证时,向带外身份认证服务器发送带外身份认证请求信息,进行带外身份认证;如果确定带外身份认证成功,通知用户设备进入业务***;
带外身份认证服务器,用于接收带外身份认证请求信息,生成带外身份认证凭证信息,发送至用户设备;验证用户设备返回的带外身份认证凭证信息与自身发送至用户设备的带外身份认证凭证信息是否一致,如果一致,通过认证授权执行者通知用户设备进入业务***;
身份认证策略模块,用于与认证授权执行者交互,确定自身预先存储的身份认证策略中包含用户设备的带外身份认证注册信息,通知认证授权执行者执行对用户设备的带外身份认证。
所述***进一步包括用户设备度量引擎,用于根据认证授权执行者发送的度量认证请求信息,与用户设备交互获取用户设备的度量认证信息;对获取的度量认证信息进行度量处理,形成度量值,与预先存储的注册用户设备度量值进行匹配比对,如果匹配比对一致,则通过认证授权执行者与身份认证策略模块交互确定用户设备是否进行带外身份认证。
所述带外身份认证服务器包括:信息接收模块、信息处理模块、带外身份认证凭证信息存储模块、带外身份认证凭证信息比对模块、以及信息发送模块,其中,
信息接收模块,用于将接收的来自认证授权执行者的带外身份认证请求信息、以及用户设备返回的带外身份认证凭证信息,发送至信息处理模块;
信息处理模块,用于根据接收的带外身份认证请求信息,生成带外身份认证凭证信息,发送至带外身份认证凭证信息存储模块、以及信息发送模块;接收信息接收模块发送的用户设备返回的带外身份认证凭证信息,发送至带外身份认证凭证信息比对模块;
带外身份认证凭证信息存储模块,用于存储信息处理模块生成的带外身份认证凭证信息;
带外身份认证凭证信息比对模块,用于接收来自信息处理模块的带外身份认证凭证信息,验证是否与带外身份认证凭证信息存储模块存储的带外身份认证凭证信息一致,如果一致,向信息发送模块发送包含带外身份认证成功信息的带外身份认证请求响应信息;
信息发送模块,用于将接收的带外身份认证凭证信息发送至用户设备,以及将接收的带外身份认证请求响应信息发送至认证授权执行者。
所述***进一步包括:普通身份认证服务器,用于与用户设备、认证授权执行者交互,执行对用户的普通身份认证。
所述用户设备度量引擎包括:度量信息收集模块和度量信息校验模块,其中,
度量信息收集模块,用于根据预先存储的度量信息策略以及接收的度量认证请求信息,收集用户设备的度量认证信息;
度量信息校验模块,用于对用户设备的度量认证信息进行度量处理,并将处理后形成的度量值与预先存储的所述用户设备的注册用户设备度量值进行匹配比对,如果匹配比对一致,通知所述用户设备通过身份认证。
一种实现身份认证的方法,该方法包括:
在确定用户设备通过普通身份认证后,认证授权执行者从身份认证策略模块获知用户设备需要执行带外身份认证时,向带外身份认证服务器发送带外身份认证请求信息;
带外身份认证服务器接收带外身份认证请求信息,生成带外身份认证凭证信息,发送至用户设备,验证用户设备返回的带外身份认证凭证信息与自身生成的带外身份认证凭证信息是否一致,如果一致,则通过认证授权执行者通知用户设备进入业务***。
通过短消息***、电话或邮件方式发送所述带外身份认证凭证信息至所述用户设备。
由上述的技术方案可见,本发明提供的一种实现身份认证的装置、***及方法,在现有普通身份认证技术的基础上,通过增加对用户设备的度量认证方式来实现用户身份和用户使用的用户设备的绑定,阻止网络上针对身份认证实施的大部分攻击;或者,在现有普通身份认证技术的基础上,增加带外身份认证来阻断网络上对用户身份的攻击;或者,在现有普通身份认证技术的基础上,通过增加对用户设备的度量认证以及带外身份认证来阻断网络上对用户身份的攻击,从而提高了身份认证的安全性、保障合法用户的利益,解决攻击者的中间攻击、连接劫持攻击等问题。而且,本发明提供的身份认证的***能够和已经存在各种身份认证***相兼容,实施时无需对原有认证***作过大修改,投入成本低、管理维护容易、而能够大大提升身份认证***的安全性。
附图说明
图1a为本发明实现身份认证的***结构示意图;
图1b为本发明实现身份认证的***另一结构示意图;
图2为本发明实现身份认证的方法流程示意图;
图3为本发明实现身份认证策略注册的流程示意图;
图4为本发明实现身份认证的方法具体流程示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对本发明作进一步地详细描述。
本发明提供的实现身份认证的装置、***及方法,在现有身份认证技术的基础上,通过增加对用户设备的度量认证的方式来实现用户身份和用户使用的用户设备的绑定,可以阻止网络上针对身份认证实施的大部分攻击、或者,使攻击者攻击的难度加大;进一步地,增加带外身份认证来阻断网络上对用户身份的攻击,进一步提高身份认证的安全性、保障合法用户的利益,从根本上解决攻击者的中间攻击、连接劫持攻击等问题。
实际应用中,由于用户总是通过用户设备执行身份认证,下面描述中,将用户与用户设备进行绑定。
图1a为本发明实现身份认证的***结构示意图,参见图1a,该***包括:用户设备、认证授权执行者、身份认证策略模块、普通身份认证服务器、用户设备度量引擎,其中,
普通身份认证服务器,用于与用户设备、认证授权执行者交互,执行对用户设备的普通身份认证;
认证授权执行者,用于在确定用户设备通过普通身份认证,与身份认证策略模块交互获知用户设备需要执行度量认证时,向用户设备度量引擎发送度量认证请求信息,进行度量认证;如果确定度量认证成功,通知用户设备进入业务***;
实际应用中,可以是确定用户设备度量引擎返回的度量认证请求响应信息中包含绑定成功信息,认为度量认证成功。
身份认证策略模块,用于与认证授权执行者交互,确定自身预先存储的身份认证策略中包含用户设备的度量认证注册信息,通知认证授权执行者执行对用户设备的度量认证;
用户设备度量引擎,用于接收度量认证请求信息,与用户设备交互获取用户设备的度量认证信息;对获取的度量信息进行完整性等处理,形成度量值,与预先存储的注册用户设备度量值进行匹配比对,如果匹配比对一致,则通过认证授权执行者通知用户设备进入业务***;
如果匹配比对一致,用户设备度量引擎认为度量认证成功,向认证授权执行者返回携带绑定成功信息的度量认证请求响应信息;
用户设备,用于与用户设备度量引擎交互,将自身的度量认证信息发送至用户设备度量引擎。
用户设备度量引擎进一步用于接收度量认证注册请求信息,按照预先设置的度量信息策略,生成获取度量认证注册请求信息,发送至用户设备,并对用户设备返回的度量认证注册信息进行完整性处理,形成注册用户设备度量值并存储。
度量认证注册信息包括每个用户设备对应的网卡信息、操作***信息、浏览器信息、IP地址所在的地理位置信息、用户设备名称信息、用户行为信息等;
预先设置的度量信息策略可以是度量认证注册信息中的一种或几种。
生成获取度量认证注册请求信息包括:生成与预先设置的度量信息策略相对应的信息,例如,预先设置的度量信息策略包括网卡信息和操作***信息,则生成包含用户设备网卡信息和操作***信息的获取度量认证注册请求信息,用户设备将自身的网卡信息和操作***信息携带在度量认证注册信息中。
实际应用中,该***也可以只包含认证授权执行者、用户设备度量引擎、身份认证策略模块,用户利用该***直接进行度量认证,而不需执行普通身份认证。
普通身份认证服务器与用户设备、认证授权执行者交互,执行对用户的普通身份认证,普通身份认证服务器采用的身份认证技术可以是动态密码身份认证、数字证书身份认证、生物特征身份认证、可信终端身份认证等,与现有身份认证相类似,下面进行简要描述:
认证授权执行者,用于接收用户设备发送的访问请求,向普通身份认证服务器发送普通身份认证请求;接收普通身份认证要求信息,将自身生成的认证身份信息和普通身份认证要求信息携带在访问请求响应信息中,发送至用户设备;
用户设备,用于接收访问请求响应信息,确定认证授权执行者的身份认证通过,向普通身份认证服务器发送普通身份认证要求响应信息;
普通身份认证服务器,用于接收普通身份认证请求,向认证授权执行者返回普通身份认证要求信息;根据接收的普通身份认证要求响应信息进行身份认证,确定用户设备通过普通身份认证,向认证授权执行者返回携带用户设备通过普通身份认证信息的用户设备认证身份响应信息。
用户设备度量引擎包括探测中间件模块、度量信息收集模块、度量信息校验模块、以及度量注册信息模块,
探测中间件模块,用于接收度量认证请求信息,通知度量信息收集模块收集用户设备的度量信息;接收度量信息收集模块返回的用户设备的度量信息,从度量注册信息模块中获取预先存储的该用户设备的注册用户设备度量值,将用户设备的度量信息以及该用户设备的注册用户设备度量值发送至度量信息校验模块;将度量信息校验模块返回的信息进行发送;
度量信息收集模块,用于接收来自探测中间件模块的通知收集用户设备的度量信息的信息,根据预先存储的度量信息策略,收集用户设备的度量认证信息;
度量信息校验模块,用于对接收的用户设备的度量认证信息进行度量处理,并将处理后形成的度量值与接收的用户设备的注册用户设备度量值进行匹配比对,如果匹配比对一致,向探测中间件模块返回通知所述用户设备通过身份认证的信息。
探测中间件模块还接收度量认证注册请求信息,相应地,用户设备度量引擎进一步包括度量注册信息模块,
度量信息收集模块进一步用于根据预先存储的度量信息策略以及来自探测中间件模块的通知收集用户设备的度量注册信息的信息,收集用户设备的度量认证注册信息,
度量注册信息模块,用于根据探测中间件模块发送的用户设备的度量认证注册信息,进行度量处理,形成度量值作为所述用户设备的注册用户设备度量值。
实际应用中,该用户设备度量引擎还可以包括行为分析判断模块,用于收集和记录用户的行为特征,并根据预先设定的行为分析算法对用户的行为特征进行判断和分析。
度量信息策略包括:每个用户设备对应的网卡信息、操作***信息、浏览器信息、IP地址所在的地理位置信息、用户设备名称信息、用户行为信息中的一种或任意组合。
在本发明另一实施例中,用户设备度量引擎包括度量信息收集模块、度量信息校验模块、度量注册信息模块、以及行为分析判断模块,
度量信息收集模块,用于根据预先存储的度量信息策略以及接收的信息,收集用户设备的度量信息;
实际应用中,度量信息收集模块根据接收的度量认证注册请求信息或度量认证请求信息以及预先存储的度量信息策略,收集与度量信息策略相关的用户设备的度量信息。具体为,度量信息收集模块将根据度量认证注册请求收集的与预先存储的度量信息策略相关的用户设备的度量认证注册信息发送至度量注册信息模块,以及将根据度量认证请求收集的与度量信息策略相关的用户设备的度量认证信息发送至度量信息校验模块;
用户设备的度量信息包括网卡信息、操作***信息、浏览器信息、IP地址所在的地理位置信息、用户设备名称信息、用户行为信息等信息。对应于度量认证注册请求信息,用户设备的度量信息为度量认证注册信息;对应于度量认证请求信息,用户设备的度量信息为度量认证信息。
预先存储的度量信息策略用于指示度量信息收集模块所应收集的用户设备的度量信息,例如,收集用户设备的网卡信息、操作***信息、浏览器信息、IP地址所在的地理位置信息、机器名称信息、访问者行为信息等信息中的一种或一种以上信息。
度量信息策略可以针对所有的用户设备,也可以根据不同的用户设备设置不同的度量信息策略。
较佳地,度量信息收集模块根据接收的度量认证注册请求信息收集的与度量信息策略相关的用户设备的度量认证注册信息,与根据接收的度量认证请求信息收集的与度量信息策略相关的用户设备的度量认证信息相同,即,度量认证注册信息与度量认证信息包含的内容相同。不同的是,其收集用户设备的度量信息的时间点不同。
度量信息校验模块,用于根据度量信息收集模块收集的用户设备的度量信息,进行度量处理,并将处理后形成的度量值与度量注册信息模块中该用户设备的注册用户设备度量值进行匹配比对,如果匹配比对一致,生成携带绑定成功信息的度量认证请求响应信息,发送至认证授权执行者;如果匹配比对不一致,生成携带绑定失败信息或注册提示信息的度量认证请求响应信息,发送至认证授权执行者。
实际应用中,度量信息校验模块如果确定匹配比对一致,相当于对用户和用户使用的用户设备进行绑定,这个绑定并不唯一,可以根据使用环境的变换进行灵活增加和变更,但进行变更前必须通过普通身份认证。
度量注册信息模块,用于根据度量信息收集模块收集的用户设备的度量信息,进行度量处理,形成度量值作为该用户设备的注册用户设备度量值;
度量处理包括对选取的用户设备的度量信息进行完整性处理,或者数据压缩处理,或者加密处理等。
行为分析判断模块,用于收集和记录用户的行为特征,并根据预先设定的行为分析算法对用户的行为特征进行判断和分析。
实际应用中,用户设备度量引擎也可以不包括行为分析判断模块。
行为分析判断模块通过收集和记录用户的行为特征,并进行判断和分析,强化对用户的安全认证,例如,记录度量信息收集模块根据度量认证注册请求收集用户设备的度量信息的时间信息等用户的行为特征,当行为分析判断模块判断用户的行为特征异常时,可以要求用户执行进一步的认证以确认该用户合法。
实际应用中,图1所示的身份认证的***还可以进一步包括带外身份认证服务器,
认证授权执行者,用于在确定用户设备通过度量认证,与身份认证策略模块交互获知用户设备需要执行带外身份认证时,向带外身份认证服务器发送带外身份认证请求信息;如果确定带外身份认证服务器返回的带外身份认证请求响应信息中包含带外身份认证成功信息,通知用户设备进入业务***;
身份认证策略模块,用于与认证授权执行者交互,确定自身预先存储的身份认证策略中包含用户设备的带外身份认证注册信息,通知认证授权执行者执行对用户设备的带外身份认证;
带外身份认证服务器,用于接收带外身份认证请求信息,生成带外身份认证凭证信息,发送至用户设备;验证用户设备返回的带外身份认证凭证信息与自身发送至用户设备的带外身份认证凭证信息是否一致,如果一致,向认证授权执行者返回包含带外身份认证成功信息的带外身份认证请求响应信息。
带外身份认证服务器包括:信息接收模块、信息处理模块、带外身份认证凭证信息存储模块、带外身份认证凭证信息比对模块、以及信息发送模块,其中,
信息接收模块,用于将接收的带外身份认证请求信息、以及用户设备返回的带外身份认证凭证信息,发送至信息处理模块;
信息处理模块,用于接收带外身份认证请求信息,生成带外身份认证凭证信息,发送至带外身份认证凭证信息存储模块、以及信息发送模块;接收信息接收模块发送的用户设备返回的带外身份认证凭证信息,发送至带外身份认证凭证信息比对模块;
带外身份认证凭证信息存储模块,用于存储信息处理模块生成的带外身份认证凭证信息;
带外身份认证凭证信息比对模块,用于验证来自信息处理模块的带外身份认证凭证信息是否与来自带外身份认证凭证信息存储模块存储的带外身份认证凭证信息一致,如果一致,向信息发送模块发送包含带外身份认证成功信息的带外身份认证请求响应信息;
信息发送模块,用于将接收的带外身份认证凭证信息发送至用户设备,以及将接收的带外身份认证请求响应信息发送至认证授权执行者。
本实施例中,身份认证策略模块实际是一个数据库服务器,存放每个用户的身份认证策略,一个用户对应一条身份认证策略,身份认证策略形式可以表示为:用户-普通身份认证-度量认证-带外身份认证,也可以表示为:用户-普通身份认证-度量认证,还可以表示为:用户-普通身份认证-带外身份认证。度量值可以是对度量信息进行完整性运算后得到的完整性值。
图1b为本发明实现身份认证的***另一结构示意图,参见图1b,该***包括:用户设备、认证授权执行者、身份认证策略模块、普通身份认证服务器、带外身份认证服务器,其中,
普通身份认证服务器,用于与用户设备、认证授权执行者交互,执行对用户的普通身份认证;
认证授权执行者,用于在确定用户设备通过普通身份认证,与身份认证策略模块交互获知用户设备需要执行带外身份认证时,向带外身份认证服务器发送带外身份认证请求信息,进行带外身份认证;如果确定带外身份认证成功,通知用户设备进入业务***;
实际应用中,带外身份认证服务器如果确定带外身份认证成功,向认证授权执行者返回带外身份认证请求响应信息,包含带外身份认证成功信息,认证授权执行者接收带外身份认证请求响应信息,根据包含的带外身份认证成功信息,通知用户设备进入业务***。
身份认证策略模块,用于与认证授权执行者交互,确定自身预先存储的身份认证策略中包含用户设备的带外身份认证注册信息,通知认证授权执行者执行对用户设备的带外身份认证;
带外身份认证服务器,用于接收带外身份认证请求信息,生成带外身份认证凭证信息,发送至用户设备;验证用户设备返回的带外身份认证凭证信息与自身发送至用户设备的带外身份认证凭证信息是否一致,如果一致,通过认证授权执行者通知用户设备进入业务***。
实际应用中,带外身份认证服务器确定带外身份认证成功,向认证授权执行者返回包含带外身份认证成功信息的带外身份认证请求响应信息。带外身份认证服务器结构与图1a中的带外身份认证服务器结构相类似,在此不再赘述。
实际应用中,用户设备可以通过该***完成带外身份认证注册。
普通身份认证服务器,用于与用户设备、认证授权执行者交互,执行对用户的普通身份认证;
认证授权执行者,用于在确定用户设备通过普通身份认证后,向用户设备询问是否注册带外认证策略;接收到用户设备发送的带外认证策略注册信息,发送至身份认证策略模块;
身份认证策略模块,用于接收带外认证策略注册信息,为该用户设备执行带外认证策略注册。
本实施例中,也可以单独应用用户设备度量引擎或带外身份认证服务器完成身份认证。
图2为本发明实现身份认证的方法流程示意图,参见图2,该流程包括:
步骤201,用户设备向认证授权执行者发送访问请求;
步骤202,认证授权执行者接收访问请求,向普通身份认证服务器发送普通身份认证请求,接收返回的普通身份认证要求信息,向用户设备发送访问请求响应信息,携带自身认证身份信息;
本步骤中,认证授权执行者接收访问请求,可以根据访问请求包含的用户设备标识,确定对该用户设备的身份认证策略,身份认证策略可以是用户设备预先设置在认证授权执行者中,例如,设置普通身份认证标识为1,度量认证标识为2,带外身份认证标识为3,标识高的认证同时包含对标识低的认证。举例来说,如果用户设备预先设置的身份认证策略标识为3,则表示用户设备需要依次进行普通身份认证、度量认证、以及带外身份认证;也可以是将身份认证策略设置在身份认证策略模块中,而默认普通身份认证为必须执行的流程,在普通身份认证通过后,由认证授权执行者查询身份认证策略模块中的身份认证策略,从而获取是否还需要执行度量认证、或带外身份认证、或度量认证和带外身份认证。
本实施例中,需要对用户设备依次进行普通身份认证、度量认证、以及带外身份认证。
认证授权执行者接收访问请求,确定用户设备身份认证策略标识后,向普通身份认证服务器发送普通身份认证请求,接收普通身份认证服务器返回的普通身份认证要求信息,向用户设备发送访问请求响应信息,携带自身认证身份信息,自身认证身份信息可以是认证授权执行者用自身私钥生成的数字签名信息。
实际应用中,认证授权执行者根据用户设备的不同应用以及用户设备所支持的身份认证技术,可以采用相应的动态密码身份认证、USB Key数字证书身份认证、生物特征身份认证或IC卡认证方式,向用户设备发送对应的认证身份信息。
步骤203,用户设备接收访问请求响应信息,验证认证授权执行者的认证身份信息,如验证通过,向验证认证授权执行者返回普通身份认证要求响应信息;
本步骤中,用户设备接收访问请求响应信息,根据认证授权执行者发送的认证身份信息,采用对应的认证方式,例如,认证授权执行者采用动态密码身份认证发送认证身份信息,则用户设备采用对应的动态密码身份认证技术验证认证授权执行者的认证身份信息,验证流程与现有流程相类似,在此不再赘述。
如果用户设备通过对认证授权执行者的认证身份信息验证,则认为该认证授权执行者是可信任的,用户设备将自身认证身份信息进行处理,如一次密码、签名信息、生物特征等,并将处理的认证身份信息携带在普通身份认证要求响应信息中;否则,向认证授权执行者返回携带认证失败的普通身份认证要求响应信息。
步骤204,认证授权执行者接收普通身份要求响应信息,将包含的用户设备认证身份信息向普通身份认证服务器发送;
步骤205,普通身份认证服务器接收用户设备认证身份信息,进行身份认证,向认证授权执行者返回用户设备认证身份响应信息;
本步骤中,普通身份认证服务器接收用户设备认证身份信息,进行身份认证的流程与现有身份认证流程相类似,在此不再赘述。
如果身份认证通过,则在返回的用户设备认证身份响应信息中携带认证身份成功信息,否则,在返回的用户设备认证身份响应信息中携带认证身份失败信息,拒绝用户设备的认证请求。
步骤206,认证授权执行者接收用户设备认证身份响应信息,确定身份认证通过,发送度量认证请求信息;
本步骤中,如果认证授权执行者已确定用户设备身份认证策略标识,如本实施例中,需要依次对用户设备再进行度量认证和带外身份认证,向用户设备度量引擎发送度量认证请求信息。
如果用户的身份认证策略存储在身份认证策略模块中,则向身份认证策略模块发送度量认证查询请求信息,执行步骤206a~步骤206b(图中未示出)。
步骤206a,身份认证策略模块接收度量认证查询请求信息,查询存储的身份认证策略,向认证授权执行者返回度量认证查询请求响应信息;
本步骤中,身份认证策略模块接收度量认证查询请求信息,根据查询得到的身份认证策略,确定是否需要执行进一步的身份认证,如不需要,向认证授权执行者返回度量认证查询请求响应信息,通知用户设备可以进入业务***;如果需要,向认证授权执行者返回度量认证查询请求响应信息,指示认证授权执行者执行后续的身份认证。
实际应用中,如果身份认证策略模块查询到用户需要执行度量认证和带外身份认证时,可以是将用户设备身份认证策略标识携带在度量认证查询请求响应信息中,后续中当度量认证通过时,不再向身份认证策略模块发送带外身份认证查询请求信息,而是直接执行带外身份认证;当然,实际应用中,也可以是在后续中度量认证通过时,再向身份认证策略模块发送带外身份认证查询请求信息,获取用户是否需要执行带外身份认证的信息。
步骤206b,身份认证策略模块接收度量认证查询请求响应信息,确定需要进行度量认证,发送度量认证请求信息;
本步骤中,如果接收的度量认证查询请求响应信息中包含不需要再认证信息,通知用户设备可以进入业务***;否则,根据度量认证查询请求响应信息中包含的指示信息,如用户设备身份认证策略标识,向用户设备度量引擎发送度量认证请求信息。
步骤207,用户设备度量引擎接收度量认证请求信息,执行对用户设备的度量认证,向认证授权执行者返回度量认证请求响应信息;
本步骤中,用户设备度量引擎接收度量认证请求信息,获取该用户设备的度量认证信息,对该度量认证信息进行度量处理,例如,对度量认证信息执行完整性处理,形成度量值,与预先存储的用户注册的度量值进行匹配比对,如果匹配比对一致,则向认证授权执行者返回度量认证请求响应信息,携带绑定成功信息;如果匹配比对不一致,则向认证授权执行者返回度量认证请求响应信息,携带绑定失败信息或注册提示信息。
用户设备度量引擎接收度量认证请求信息,执行对用户设备的度量认证时,可以是主动搜集用户设备的度量认证信息;也可以是用户设备度量引擎监测到用户设备上电后,主动搜集用户设备的度量认证信息并进行存储。较佳地,收集用户设备的度量认证信息采用非标准协议,这样,增加攻击者获知用户设备度量引擎收集度量信息行为的发生时间的难度。
用户设备的度量认证信息包括但不限于:网卡信息、操作***信息、浏览器信息、IP地址所在的地理位置信息、用户设备名称信息或用户行为信息,或任意组合。
如果匹配比对一致,例如将收集到的网卡信息、操作***信息、浏览器信息等进行完整性计算,获得完整性值,与数据库中注册的完整性值作匹配比对,如果一致,将用户设备身份与用户设备进行绑定,这样,由于是认证服务侧的用户设备度量引擎主动收集用户设备度量信息,对于一个攻击者,无法阻止或伪造认证服务侧对用户设备的度量信息收集,因而,强化了用户设备身份认证的安全性,可以有效阻止重传攻击、中间人攻击等。
具体来说,当对用户的普通认证完成后,根据用户设备身份认证策略,由认证侧的用户设备度量引擎主动发起对用户设备的度量认证信息收集,攻击者很难确定收集度量认证信息行为的发生时间(除非控制验证服务侧的服务器);而且,收集用户设备的度量认证信息采用非标准协议,也增加了攻击者获知用户设备度量引擎收集度量认证信息行为的发生时间的难度。
步骤208,认证授权执行者接收度量认证请求响应信息,如果确定需要执行带外身份认证,向带外身份认证服务器发送带外身份认证请求;
本步骤中,如果度量认证请求响应信息中携带有绑定成功信息,则认证授权执行者根据已确定的用户设备身份认证策略标识,或,向认证策略服务器查询获取的用户带外身份认证策略状况,如果确定用户设备不需要进行后续认证,通知用户设备可以进入业务***;如果确定用户设备需要进行后续认证,向带外身份认证服务器发送带外身份认证请求。
如果度量认证请求响应信息中携带有绑定失败信息或注册提示信息,则认证授权执行者通知用户设备绑定失败或重新进行注册,拒绝用户设备进入业务***。
步骤209,带外身份认证服务器接收带外身份认证请求,生成带外身份认证凭证信息,发送至用户设备;
本步骤中,带外身份认证服务器接收带外身份认证请求,生成带外身份认证凭证信息,如一次密码、电话、短消息、邮件等,并通过传输***,例如,短消息***、电话或邮件等方式发送至用户。
步骤210,用户设备接收带外身份认证凭证信息并返回给带外身份认证服务器;
本步骤中,用户设备接收带外身份认证凭证信息,通过与接收带外身份认证凭证信息同样的传输***,例如,短消息***、电话或邮件等方式,将接收的带外身份认证凭证信息发送至带外身份认证服务器。
步骤211,带外身份认证服务器接收带外身份认证凭证信息,向认证授权执行者返回带外身份认证请求响应信息;
本步骤中,带外身份认证服务器接收带外身份认证凭证信息,将接收的带外身份认证凭证信息与自身发送至用户的带外身份认证凭证信息进行验证,如果一致,则带外身份认证通过,向认证授权执行者返回带外身份认证请求响应信息,携带带外身份认证成功信息;如果在预设的时间窗口内没有接收到用户的反馈信息(带外身份认证凭证信息),或用户返回的带外身份认证凭证信息与自身发送至用户的带外身份认证凭证信息不一致,则向认证授权执行者返回带外身份认证请求响应信息,携带带外身份认证失败信息,或注册提示信息。
步骤212,认证授权执行者接收带外身份认证请求响应信息,确定带外身份认证通过,通知用户设备可以进入业务***。
本步骤中,如果返回的带外身份认证请求响应信息包含带外身份认证失败信息,或注册提示信息,通知用户设备带外身份认证失败或重新进行注册,拒绝用户设备进入业务***。
至此,该流程结束。
图3为本发明实现身份认证策略注册的流程示意图,参见图3,该流程包括:
步骤301,用户设备(来访的用户)向认证授权执行者请求访问,并要求对认证授权执行者进行可信身份认证;
步骤302,认证授权执行者向普通身份认证服务器请求对来访的用户的身份认证,普通身份认证服务器通过用户设备向来访的用户返回相应的身份认证要求,同时认证授权执行者生成自己的身份信任信息,并返回给来访的用户;
本步骤中,身份认证要求可以是动态密码身份认证信息、USB Key数字证书身份认证信息、生物特征身份认证信息或IC卡认证信息。
身份信任信息为认证授权执行者利用自身的私钥生成的签名信息。
步骤303,用户设备接收信息,确定认证授权执行者的身份认证通过,向普通身份认证服务器发送普通身份认证要求响应信息;
本步骤中,用户设备接收访问请求响应信息,对包含的认证授权执行者的认证身份信息进行验证,例如,利用认证授权执行者的公钥验证接收的签名信息,
如果通过验证,表明该认证授权执行者是可信的,然后,根据接收的普通身份认证要求信息,通过认证授权执行者向普通身份认证服务器发送普通身份认证要求响应信息,例如,普通身份认证要求信息为要求用户设备输入密码信息,则用户设备输入密码信息作为普通身份认证要求响应信息,发送至普通身份认证服务器。
如果未通过验证,则结束流程。
步骤304,普通身份认证服务器接收普通身份认证要求响应信息,进行身份认证,向认证授权执行者返回用户设备认证身份响应信息;
该步骤与步骤205相类似。
步骤305,认证授权执行者向用户设备度量引擎发送度量认证注册请求信息;
本步骤中,认证授权执行者确定用户身份认证通过,向用户设备度量引擎发送度量认证注册请求信息。
步骤306,用户设备度量引擎接收度量认证注册请求信息,执行对用户设备的度量认证注册;
本步骤中,用户设备度量引擎接收度量认证注册请求信息,触发对用户设备度量认证注册信息的主动收集,按照预先存储的度量信息策略,如网卡信息、操作***信息、浏览器信息、IP地址所在的地理位置信息、用户设备名称信息、用户行为信息等一种或任意组合,收集与预先存储的度量信息策略相对应的信息,例如,预先存储的度量信息策略包括网卡信息和操作***信息,则用户设备度量引擎主动收集用户设备的网卡信息和操作***信息。
用户设备度量引擎对主动收集的度量认证注册信息执行完整性处理生成注册度量值,并将注册度量值结果信息进行存储。
步骤307,用户设备度量引擎将用户设备的度量认证策略信息发送至身份认证策略模块;
本步骤中,用户设备度量引擎在身份认证策略模块中写入要求对用户设备执行度量认证的度量认证策略,如用户设备要求执行度量认证策略。
步骤308,身份认证策略模块接收度量认证策略信息,进行存储,向认证授权执行者发送度量认证注册响应信息;
步骤309,用户设备度量引擎将度量认证注册响应信息发送至认证授权执行者;
实际应用中,步骤307与步骤309并没有先后顺序之分。
步骤310,认证授权执行者接收到用户设备度量引擎和身份认证策略模块发送的度量认证注册响应信息,将是否注册带外认证策略信息携带在度量认证注册响应信息中,发送至用户设备;
步骤311,用户设备接收度量认证注册响应信息,获知度量认证注册成功,确认继续注册带外认证策略,将带外认证策略注册信息发送至认证授权执行者;
本步骤中,用户设备需要注册带外认证策略并进行相应处理。
步骤312,认证授权执行者将接收的带外认证策略注册信息转发至身份认证策略模块;
步骤313,身份认证策略模块接收带外认证策略注册信息,为该用户执行带外认证策略注册,向认证授权执行者返回带外认证策略注册响应信息;
步骤314,认证授权执行者将带外认证策略注册响应信息转发给用户设备。
至此,身份认证策略注册流程结束。
实际应用中,根据用户设备的需要,可以在身份认证策略模块中只注册度量认证策略,也可以只注册带外认证策略,也可以是同时注册度量认证策略和带外认证策略,还可以是直接进行度量认证或带外认证。
在完成注册后,后续中,可以对用户设备身份进行认证,以便进入业务***执行业务操作。所应说明的是,如果注册与身份认证不在同一次执行,则在注册和身份认证过程中,需要分别执行普通身份认证。
以下以认证授权执行者与身份认证策略模块交互获取用户设备需要进行的身份认证为例,对本发明身份认证进行详细描述。
图4为本发明实现身份认证的方法具体流程示意图,参见图4,该流程包括:
步骤401,用户设备(来访的用户)向认证授权执行者请求访问,并要求对认证授权执行者进行可信身份认证;
步骤402,认证授权执行者向普通身份认证服务器请求对来访的用户的身份认证,普通身份认证服务器通过用户设备向来访的用户返回相应的身份认证要求,同时认证授权执行者生成自己的身份信任信息,并返回给来访的用户;
本步骤中,身份认证要求可以是动态密码身份认证信息、USB Key数字证书身份认证信息、生物特征身份认证信息或IC卡认证信息。
身份信任信息为认证授权执行者利用自身的私钥生成的签名信息。
步骤403,用户设备接收访问请求响应信息,确定认证授权执行者的身份认证通过,向普通身份认证服务器发送普通身份认证要求响应信息;
本步骤中,用户设备接收访问请求响应信息,对包含的认证授权执行者的认证身份信息进行验证,例如,利用认证授权执行者的公钥验证接收的签名信息,
如果通过验证,表明该认证授权执行者是可信的,然后,根据接收的普通身份认证要求信息,向普通身份认证服务器发送普通身份认证要求响应信息,例如,普通身份认证要求信息为要求用户输入密码信息,则用户输入密码信息作为普通身份认证要求响应信息,通过用户设备发送至普通身份认证服务器。
如果未通过验证,则结束流程。
步骤404,普通身份认证服务器接收普通身份认证要求响应信息,进行身份认证,向认证授权执行者返回用户设备认证身份响应信息;
该步骤与步骤205相类似。
步骤405,认证授权执行者向身份认证策略模块发送度量认证查询请求信息;
本步骤中,认证授权执行者确定普通用户身份认证通过,向身份认证策略模块发送度量认证查询请求信息。
步骤406,身份认证策略模块接收度量认证查询请求信息,查询存储的身份认证策略,向认证授权执行者返回度量认证查询请求响应信息;
本步骤中,身份认证策略模块接收度量认证查询请求信息,查询自身存储的身份认证策略,如果该用户的身份认证策略不包含度量认证注册信息,向认证授权执行者返回度量认证查询请求响应信息,通知用户设备可以进入业务***;如果包含度量认证注册信息,向认证授权执行者返回度量认证查询请求响应信息,通知认证授权执行者执行度量认证。
步骤407,认证授权执行者接收度量认证查询请求响应信息,确定需要进行度量认证,向用户设备度量引擎发送度量认证请求信息;
步骤408,用户设备度量引擎接收度量认证请求信息,向用户设备发送请求获取度量认证信息;
本步骤中,用户设备度量引擎按照策略预先定义的信息,向用户设备发送相应的请求获取度量认证信息。
步骤409,用户设备接收请求获取度量认证信息,将对应的自身的度量认证信息发送至用户设备度量引擎;
步骤410,用户设备度量引擎接收度量认证信息,执行对用户设备的度量认证,向认证授权执行者返回度量认证请求响应信息;
本步骤中,用户设备度量引擎根据获取的该用户设备的度量信息,对该度量信息进行完整性处理,形成度量值,与预先存储的用户注册的度量值进行匹配比对,如果匹配比对一致,则向认证授权执行者返回度量认证请求响应信息,携带绑定成功信息;如果匹配比对不一致,则向认证授权执行者返回度量认证请求响应信息,携带绑定失败信息或注册提示信息。
步骤411,认证授权执行者接收度量认证请求响应信息,如果确定包含绑定成功信息,向身份认证策略模块发送带外身份认证查询请求信息;
步骤412,身份认证策略模块接收带外身份认证查询请求信息,查询存储的身份认证策略,向认证授权执行者返回带外身份认证查询请求响应信息;
本步骤中,身份认证策略模块接收带外身份认证查询请求信息,查询自身存储的身份认证策略,如果该用户的身份认证策略不包含带外身份认证注册信息,向认证授权执行者返回带外身份认证查询请求响应信息,通知用户设备可以进入业务***;如果包含带外身份认证注册信息,向认证授权执行者返回带外身份认证查询请求响应信息,通知认证授权执行者执行带外身份认证。
步骤413,认证授权执行者接收带外身份认证查询请求响应信息,确定需要进行带外身份认证,向带外身份认证服务器发送带外身份认证请求信息;
步骤414,带外身份认证服务器接收带外身份认证请求信息,生成带外身份认证凭证信息,发送至用户设备;
本步骤中,带外身份认证服务器接收带外身份认证请求,生成带外身份认证凭证信息,如一次密码、电话、短消息、邮件等,并通过传输***,例如,短消息***、电话或邮件等方式发送至用户设备。
实际应用中,为了信息传输的安全性,发送带外身份认证凭证信息的传输***网络与身份认证的网络不同。
步骤415,用户设备接收带外身份认证凭证信息并返回给带外身份认证服务器;
本步骤中,用户设备接收带外身份认证凭证信息,通过与接收带外身份认证凭证信息同样的传输***发送至带外身份认证服务器。
步骤416,带外身份认证服务器接收带外身份认证凭证信息,向认证授权执行者返回带外身份认证请求响应信息;
本步骤中,带外身份认证服务器将接收的带外身份认证凭证信息与自身发送至用户的带外身份认证凭证信息进行验证,如果一致,则带外身份认证通过,向认证授权执行者返回带外身份认证请求响应信息,携带带外身份认证成功信息;如果在预设的时间窗口内没有接收到用户的反馈信息,或用户返回的信息与自身发送至用户的信息不一致,则向认证授权执行者返回带外身份认证请求响应信息,携带带外身份认证失败信息,或注册提示信息。
步骤417,认证授权执行者接收带外身份认证请求响应信息,确定带外身份认证通过,通知用户设备可以进入业务***;
本步骤中,如果返回的带外身份认证请求响应信息包含带外身份认证失败信息,或注册提示信息,通知用户设备带外身份认证失败或重新进行注册,拒绝用户设备进入业务***。
步骤418,用户设备进入业务***,执行业务操作,业务***向用户设备返回相应的业务操作结果。
至此,该流程结束。
由上述实施例可见,本发明提供的一种实现身份认证的方法及***,在现有普通身份认证技术的基础上,通过认证授权执行者向用户设备度量引擎发送度量认证请求信息,用户设备度量引擎与用户设备交互获取用户设备的度量认证信息,对获取的度量信息进行完整性处理,形成度量值,与预先存储的注册用户设备度量值进行匹配比对,如果匹配比对一致,则通过认证授权执行者通知用户设备进入业务***,从而通过增加对用户设备的度量认证的方式来实现用户身份和用户使用的用户设备的绑定,可以阻止网络上针对身份认证实施的大部分攻击、使攻击者攻击的难度加大;或者,在现有普通身份认证技术的基础上,通过认证授权执行者向带外身份认证服务器发送带外身份认证请求信息,带外身份认证服务器生成带外身份认证凭证信息,发送至用户设备,并验证用户设备返回的带外身份认证凭证信息与自身发送至用户设备的带外身份认证凭证信息是否一致,如果一致,通过认证授权执行者通知用户设备进入业务***,从而阻断网络上对用户身份的攻击,解决攻击者的中间攻击、连接劫持攻击等问题;或者,在现有普通身份认证技术的基础上,通过增加对用户设备的度量认证方式来实现用户身份和用户使用的用户设备的绑定,阻止网络上针对身份认证实施的大部分攻击;进一步地,再增加带外身份认证来阻断网络上对用户身份的攻击,从而提高了身份认证的安全性、保障合法用户的利益,从根本上解决攻击者的中间攻击、连接劫持攻击等问题。而且,本发明提供的身份认证的方法及***能够和已经存在各种身份认证***相兼容,实施时无需对原有认证***作过大修改,而能够大大提升身份认证***的安全性。此外,该***投入成本低、管理维护容易、用户使用方便,可以根据实际的安全要求分阶段实施,逐步提高安全级别,能应用于各种要求对用户身份进行强认证的场景,尤其适用于各种网上银行、手机银行、重要资源访问的强身份认证要求。
以上举较佳实施例,对本发明的目的、技术方案和优点进行了进一步详细说明,所应理解的是,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种实现身份认证的带外身份认证服务器,其特征在于,所述带外身份认证服务器包括:信息接收模块、信息处理模块、带外身份认证凭证信息存储模块、带外身份认证凭证信息比对模块、以及信息发送模块,其中,
信息接收模块,用于将接收的来自认证授权执行者的带外身份认证请求信息、以及用户设备返回的带外身份认证凭证信息,发送至信息处理模块;
信息处理模块,用于根据接收的带外身份认证请求信息,生成带外身份认证凭证信息,发送至带外身份认证凭证信息存储模块、以及信息发送模块;接收信息接收模块发送的用户设备返回的带外身份认证凭证信息,发送至带外身份认证凭证信息比对模块;
带外身份认证凭证信息存储模块,用于存储信息处理模块生成的带外身份认证凭证信息;
带外身份认证凭证信息比对模块,用于接收来自信息处理模块的带外身份认证凭证信息,验证是否与带外身份认证凭证信息存储模块存储的带外身份认证凭证信息一致,如果一致,向信息发送模块发送包含带外身份认证成功信息的带外身份认证请求响应信息;
信息发送模块,用于将接收的带外身份认证请求响应信息以及带外身份认证凭证信息发送。
2.一种实现身份认证的***,其特征在于,该***包括:认证授权执行者、带外身份认证服务器、身份认证策略模块,其中,
认证授权执行者,用于在确定用户设备通过普通身份认证,并获知用户设备需要执行带外身份认证时,向带外身份认证服务器发送带外身份认证请求信息,进行带外身份认证;如果确定带外身份认证成功,通知用户设备进入业务***;
带外身份认证服务器,用于接收带外身份认证请求信息,生成带外身份认证凭证信息,发送至用户设备;验证用户设备返回的带外身份认证凭证信息与自身发送至用户设备的带外身份认证凭证信息是否一致,如果一致,通过认证授权执行者通知用户设备进入业务***;
身份认证策略模块,用于与认证授权执行者交互,确定自身预先存储的身份认证策略中包含用户设备的带外身份认证注册信息,通知认证授权执行者执行对用户设备的带外身份认证。
3.如权利要求2所述的***,其特征在于,所述***进一步包括用户设备度量引擎,用于根据认证授权执行者发送的度量认证请求信息,与用户设备交互获取用户设备的度量认证信息;对获取的度量认证信息进行度量处理,形成度量值,与预先存储的注册用户设备度量值进行匹配比对,如果匹配比对一致,则通过认证授权执行者与身份认证策略模块交互确定用户设备是否进行带外身份认证。
4.如权利要求3所述的***,其特征在于,所述带外身份认证服务器包括:信息接收模块、信息处理模块、带外身份认证凭证信息存储模块、带外身份认证凭证信息比对模块、以及信息发送模块,其中,
信息接收模块,用于将接收的来自认证授权执行者的带外身份认证请求信息、以及用户设备返回的带外身份认证凭证信息,发送至信息处理模块;
信息处理模块,用于根据接收的带外身份认证请求信息,生成带外身份认证凭证信息,发送至带外身份认证凭证信息存储模块、以及信息发送模块;接收信息接收模块发送的用户设备返回的带外身份认证凭证信息,发送至带外身份认证凭证信息比对模块;
带外身份认证凭证信息存储模块,用于存储信息处理模块生成的带外身份认证凭证信息;
带外身份认证凭证信息比对模块,用于接收来自信息处理模块的带外身份认证凭证信息,验证是否与带外身份认证凭证信息存储模块存储的带外身份认证凭证信息一致,如果一致,向信息发送模块发送包含带外身份认证成功信息的带外身份认证请求响应信息;
信息发送模块,用于将接收的带外身份认证凭证信息发送至用户设备,以及将接收的带外身份认证请求响应信息发送至认证授权执行者。
5.如权利要求3所述的***,其特征在于,所述***进一步包括:普通身份认证服务器,用于与用户设备、认证授权执行者交互,执行对用户的普通身份认证。
6.如权利要求3所述的***,其特征在于,所述用户设备度量引擎包括:度量信息收集模块和度量信息校验模块,其中,
度量信息收集模块,用于根据预先存储的度量信息策略以及接收的度量认证请求信息,收集用户设备的度量认证信息;
度量信息校验模块,用于对用户设备的度量认证信息进行度量处理,并将处理后形成的度量值与预先存储的所述用户设备的注册用户设备度量值进行匹配比对,如果匹配比对一致,通知所述用户设备通过身份认证。
7.一种实现身份认证的方法,其特征在于,该方法包括:
在确定用户设备通过普通身份认证后,认证授权执行者从身份认证策略模块获知用户设备需要执行带外身份认证时,向带外身份认证服务器发送带外身份认证请求信息;
带外身份认证服务器接收带外身份认证请求信息,生成带外身份认证凭证信息,发送至用户设备,验证用户设备返回的带外身份认证凭证信息与自身生成的带外身份认证凭证信息是否一致,如果一致,则通过认证授权执行者通知用户设备进入业务***。
8.如权利要求7所述的方法,其特征在于,通过短消息***、电话或邮件方式发送所述带外身份认证凭证信息至所述用户设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105072489A CN101951321B (zh) | 2008-10-23 | 2008-10-23 | 一种实现身份认证的装置、***及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105072489A CN101951321B (zh) | 2008-10-23 | 2008-10-23 | 一种实现身份认证的装置、***及方法 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008102248379A Division CN101374050B (zh) | 2008-10-23 | 2008-10-23 | 一种实现身份认证的装置、***及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101951321A true CN101951321A (zh) | 2011-01-19 |
| CN101951321B CN101951321B (zh) | 2012-11-14 |
Family
ID=43454685
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010105072489A Expired - Fee Related CN101951321B (zh) | 2008-10-23 | 2008-10-23 | 一种实现身份认证的装置、***及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101951321B (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103873445A (zh) * | 2012-12-17 | 2014-06-18 | 钟海燕 | 基于生物识别认证的网络接入控制***及其方法 |
| CN103888257A (zh) * | 2013-11-03 | 2014-06-25 | 北京工业大学 | 一种基于tpcm的网络摄像机身份认证方法 |
| CN104219664A (zh) * | 2013-05-31 | 2014-12-17 | 上海一键通信科技有限公司 | 基于设备地理位置坐标信息的身份认证方法 |
| CN104618402A (zh) * | 2015-03-10 | 2015-05-13 | 四川省宁潮科技有限公司 | 基于带外认证的虚拟桌面云连接方法 |
| CN105939520A (zh) * | 2016-03-18 | 2016-09-14 | 李明 | 一种通信连接的建立方法、设备及*** |
| CN106453415A (zh) * | 2016-12-01 | 2017-02-22 | 江苏通付盾科技有限公司 | 基于区块链的设备认证方法、认证服务器及用户设备 |
| CN106911627A (zh) * | 2015-12-22 | 2017-06-30 | 中国科学院软件研究所 | 一种基于eID的真实身份安全控制方法及其*** |
| CN107483416A (zh) * | 2017-07-27 | 2017-12-15 | 湖南浩丰文化传播有限公司 | 身份验证的方法及装置 |
| CN107749844A (zh) * | 2017-10-16 | 2018-03-02 | 维沃移动通信有限公司 | 身份验证方法及移动终端 |
| CN108282461A (zh) * | 2017-12-22 | 2018-07-13 | 中国电子科技集团公司第三十研究所 | 一种支持生物特征的eap协议改进方法 |
| CN109905369A (zh) * | 2019-01-24 | 2019-06-18 | 平安科技(深圳)有限公司 | 员工账号被盗的预警方法、装置及计算机可读存储介质 |
| CN110300972A (zh) * | 2017-02-20 | 2019-10-01 | 信特尼有限公司 | 匿名证明 |
| CN112906752A (zh) * | 2021-01-26 | 2021-06-04 | 山西三友和智慧信息技术股份有限公司 | 一种基于浏览历史序列的用户身份认证方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101136748B (zh) * | 2006-08-31 | 2012-03-07 | 普天信息技术研究院 | 一种身份认证方法及*** |
| CN101155033B (zh) * | 2006-09-26 | 2010-05-19 | 中兴通讯股份有限公司 | 一种确认客户端身份的方法 |
-
2008
- 2008-10-23 CN CN2010105072489A patent/CN101951321B/zh not_active Expired - Fee Related
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103873445A (zh) * | 2012-12-17 | 2014-06-18 | 钟海燕 | 基于生物识别认证的网络接入控制***及其方法 |
| CN104219664A (zh) * | 2013-05-31 | 2014-12-17 | 上海一键通信科技有限公司 | 基于设备地理位置坐标信息的身份认证方法 |
| CN104219664B (zh) * | 2013-05-31 | 2019-04-12 | 上海评驾科技有限公司 | 基于设备地理位置坐标信息的身份认证方法 |
| CN103888257A (zh) * | 2013-11-03 | 2014-06-25 | 北京工业大学 | 一种基于tpcm的网络摄像机身份认证方法 |
| CN103888257B (zh) * | 2013-11-03 | 2017-01-18 | 北京工业大学 | 一种基于tpcm的网络摄像机身份认证方法 |
| CN104618402A (zh) * | 2015-03-10 | 2015-05-13 | 四川省宁潮科技有限公司 | 基于带外认证的虚拟桌面云连接方法 |
| CN106911627B (zh) * | 2015-12-22 | 2019-09-17 | 中国科学院软件研究所 | 一种基于eID的真实身份安全控制方法及其*** |
| CN106911627A (zh) * | 2015-12-22 | 2017-06-30 | 中国科学院软件研究所 | 一种基于eID的真实身份安全控制方法及其*** |
| CN105939520A (zh) * | 2016-03-18 | 2016-09-14 | 李明 | 一种通信连接的建立方法、设备及*** |
| CN106453415A (zh) * | 2016-12-01 | 2017-02-22 | 江苏通付盾科技有限公司 | 基于区块链的设备认证方法、认证服务器及用户设备 |
| CN110300972B (zh) * | 2017-02-20 | 2023-04-18 | 信特尼有限公司 | 匿名证明 |
| CN110300972A (zh) * | 2017-02-20 | 2019-10-01 | 信特尼有限公司 | 匿名证明 |
| CN107483416A (zh) * | 2017-07-27 | 2017-12-15 | 湖南浩丰文化传播有限公司 | 身份验证的方法及装置 |
| CN107749844A (zh) * | 2017-10-16 | 2018-03-02 | 维沃移动通信有限公司 | 身份验证方法及移动终端 |
| CN108282461A (zh) * | 2017-12-22 | 2018-07-13 | 中国电子科技集团公司第三十研究所 | 一种支持生物特征的eap协议改进方法 |
| CN108282461B (zh) * | 2017-12-22 | 2020-08-14 | 中国电子科技集团公司第三十研究所 | 一种支持生物特征的eap协议改进方法 |
| CN109905369A (zh) * | 2019-01-24 | 2019-06-18 | 平安科技(深圳)有限公司 | 员工账号被盗的预警方法、装置及计算机可读存储介质 |
| CN109905369B (zh) * | 2019-01-24 | 2022-11-04 | 平安科技(深圳)有限公司 | 员工账号被盗的预警方法、装置及计算机可读存储介质 |
| CN112906752A (zh) * | 2021-01-26 | 2021-06-04 | 山西三友和智慧信息技术股份有限公司 | 一种基于浏览历史序列的用户身份认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101951321B (zh) | 2012-11-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101374050B (zh) | 一种实现身份认证的装置、***及方法 | |
| CN101951321B (zh) | 一种实现身份认证的装置、***及方法 | |
| KR102431834B1 (ko) | 상이한 채널들을 통해 강한 인증 이벤트를 운반하기 위한 시스템 및 방법 | |
| CN108989346B (zh) | 基于账号隐匿的第三方有效身份托管敏捷认证访问方法 | |
| CN101765108B (zh) | 基于移动终端的安全认证服务平台***、装置和方法 | |
| CN102088353B (zh) | 基于移动终端的双因子认证方法及*** | |
| CN101873331B (zh) | 一种安全认证方法和*** | |
| TW201741922A (zh) | 一種基於生物特徵的安全認證方法及裝置 | |
| KR101214839B1 (ko) | 인증 방법 및 그 시스템 | |
| US20070118745A1 (en) | Multi-factor authentication using a smartcard | |
| CN109325342A (zh) | 身份信息管理方法、装置、计算机设备和存储介质 | |
| CN103297437A (zh) | 一种移动智能终端安全访问服务器的方法 | |
| CN102195932A (zh) | 一种基于两个隔离设备实现网络身份认证的方法和*** | |
| CN112953970A (zh) | 一种身份认证方法及身份认证*** | |
| CN101808077B (zh) | 信息安全输入处理***和方法以及智能卡 | |
| CN103401686B (zh) | 一种用户互联网身份认证***及其应用方法 | |
| JP2001186122A (ja) | 認証システム及び認証方法 | |
| CN101521576B (zh) | 互联网用户身份认证的方法和*** | |
| CN108400989B (zh) | 一种共享资源身份认证的安全认证设备、方法及*** | |
| CN102083066B (zh) | 统一安全认证的方法和*** | |
| Me et al. | A mobile based approach to strong authentication on Web | |
| US20120290483A1 (en) | Methods, systems and nodes for authorizing a securized exchange between a user and a provider site | |
| KR20170070379A (ko) | 이동통신 단말기 usim 카드 기반 암호화 통신 방법 및 시스템 | |
| CN105743883B (zh) | 一种网络应用的身份属性获取方法及装置 | |
| AnilKumar | Secure I-voting system using QR code and biometric authentication. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: CHINA POTEVIO CO., LTD. Free format text: FORMER OWNER: PUTIAN IT TECH INST CO., LTD. Effective date: 20130923 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20130923 Address after: 100080, No. two, 2 street, Zhongguancun science and Technology Park, Beijing, Haidian District Patentee after: CHINA POTEVIO CO.,LTD. Address before: 100080 Beijing, Haidian, North Street, No. two, No. 6, No. Patentee before: PETEVIO INSTITUTE OF TECHNOLOGY Co.,Ltd. |
|
| ASS | Succession or assignment of patent right |
Owner name: PUTIAN IT TECH INST CO., LTD. Free format text: FORMER OWNER: CHINA POTEVIO CO., LTD. Effective date: 20131202 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20131202 Address after: 100080 Beijing, Haidian, North Street, No. two, No. 6, No. Patentee after: PETEVIO INSTITUTE OF TECHNOLOGY Co.,Ltd. Address before: 100080, No. two, 2 street, Zhongguancun science and Technology Park, Beijing, Haidian District Patentee before: CHINA POTEVIO CO.,LTD. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20121114 Termination date: 20211023 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |