CN110321682B - 一种基于uaf和ibc的统一身份认证方法及装置 - Google Patents
一种基于uaf和ibc的统一身份认证方法及装置 Download PDFInfo
- Publication number
- CN110321682B CN110321682B CN201910614005.6A CN201910614005A CN110321682B CN 110321682 B CN110321682 B CN 110321682B CN 201910614005 A CN201910614005 A CN 201910614005A CN 110321682 B CN110321682 B CN 110321682B
- Authority
- CN
- China
- Prior art keywords
- user
- resource
- authentication
- uaf
- ibc
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 62
- 238000004891 communication Methods 0.000 title description 2
- 230000008569 process Effects 0.000 claims abstract description 27
- 238000013475 authorization Methods 0.000 claims description 46
- 230000007246 mechanism Effects 0.000 claims description 8
- 230000004044 response Effects 0.000 claims description 8
- 238000012795 verification Methods 0.000 claims description 8
- 238000010586 diagram Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 2
- 230000001010 compromised effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Telephonic Communication Services (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于UAF和IBC的统一身份认证方法及装置,方法包括:通过UAF和IBC对注册的用户身份进行认证,在完成用户身份认证后,通过OAuth协议执行资源访问过程。本发明能够通过UAF实现“无口令”的认证,能过IBC实现用户能通过统一认证平台认证身份,无需各业务服务器分别绑定用户账户和公钥,实现统一的身份认证,有效提升了认证的安全性和效率。
Description
技术领域
本发明涉及身份认证技术领域,尤其涉及一种基于UAF(UniversalAuthentication Framework,通用认证框架)和IBC(Identity-Based Cryptography,基于标识的密码技术)的统一身份认证方法及装置。
背景技术
目前国家电网公司大力推进“国上国网”等电力新兴业务建设,交费、办电、能源服务等业务繁多,现有静态、封闭的身份管理机制存在身份认证方式单一、安全隐患排查困难的问题。为了增强电力业务身份认证安全强度,降低认证成本,需要研究新的统一身份认证授权方案,实现各种电力业务“一证通办”的目标。
目前大多数业务***采用“用户名+口令”方式实现用户的在线身份认证,用户首先通过在线服务或网站进行注册,将用户名和口令与用户账户进行绑定,在随后的登录过程中,只需要通过用户名和口令的方式完成用户在线认证。但这种认证方式存在口令易泄露、复杂口令易遗忘、弱口令等问题。
为了解决上述问题,FIDO(Fast Identity Online,在线快速身份认证)联盟成立,旨在创建一套标准的开放协议实现强用户认证,以此消除或减弱用户对口令的依赖。目前FIDO给出UAF和U2F(Universal Second Factor,通用第二因子协议)两套协议,UAF能够实现“无口令”的强用户认证,U2F则增加第二因子提升现有口令认证机制的安全性。UAF在注册时将用户在服务器端的账户和UAF设备绑定在一起,随后在认证过程中,用户无需输入口令,只需要在UAF设备中通过生物特征识别或简单的PIN即可完成认证实现账户登录。但UAF需要用户在服务器端进行注册,将用户账户和公钥绑定,并没有解决统一身份认证问题,尤其是用户身份认证涉及多个业务统或跨域多资源访问时,分别需要进行注册和认证,使用并不方便。
IBC能够将用户的身份信息作为公钥,无需数字证书绑定,因此非常适用于身份认证。在IBC中,首先由KGC(Key Generation Center,密钥生成中心)生成主公钥和主私钥,然后KGC再利用自己的密钥根据用户的身份信息ID(如名称、e-mail、身份证号等)为用户生在私钥,用户的ID即为公钥,能够非常简单地实现用户身份认证。但IBC存在密钥更新难题,即若某个用户私钥泄露,或者需要用户更换ID,此时身份的自证性会大打折扣,或者由KGC更换主私钥和主公钥,此时所有用户的私钥都需要重新更新,造成非常大的麻烦。
因此,如何更加有效的进行统一身份认证,是一项亟待解决的问题。
发明内容
有鉴于此,本发明提供了一种基于UAF和IBC的统一身份认证方法,能够通过UAF实现“无口令”的认证,能过IBC实现用户能通过统一认证平台认证身份,无需各业务服务器分别绑定用户账户和公钥,实现统一的身份认证,有效提升了认证的安全性和效率。
本发明提供了一种基于UAF和IBC的统一身份认证方法,包括:
通过UAF和IBC对注册的用户身份进行认证;
在完成用户身份认证后,通过OAuth协议执行资源访问过程。
优选地,所述在通过UAF和IBC对注册的用户身份进行认证前,还包括:
注册用户身份。
优选地,所述注册用户身份,包括:
用户终端生成用户ID,并将所述用户ID发送至统一认证平台;
所述统一认证平台对所述用户ID进行认证,根据主公钥和主私钥为用户生成私钥,并将所述私钥返回至所述用户终端进行存储。
优选地,所述通过UAF和IBC对注册的用户身份进行认证,包括:
所述用户终端中的应用生成资源访问请求,并将所述资源访问请求发送至资源服务器;
所述资源服务器在接收到所述资源访问请求后,通过挑战应答方式要求对用户的身份进行认证;
所述用户终端通过所述私钥进行签名,并将签名信息发送至所述资源服务器;
所述资源服务器利用所述统一认证平台主公钥验证接收到的所述签名信息,验证通过后,完成用户身份认证。
优选地,所述在完成用户身份认证后,通过OAuth协议执行资源访问过程,包括:
所述资源服务器向授权服务器发送访问授权请求;
所述授权服务器在接收到访问授权请求后,通过查询用户ID的访问权限,为用户颁发资源访问令牌;
所述资源服务器在接收到资源访问令牌后,将相应的资源发送至所述用户终端中的应用。
一种基于UAF和IBC的统一身份认证装置,包括:
用户身份认证模块,用于通过UAF和IBC对注册的用户身份进行认证;
资源访问授权模块,用于在完成用户身份认证后,通过OAuth协议执行资源访问过程。
优选地,所述装置还包括:
用户身份注册模块,用于注册用户身份。
优选地,所述用户身份注册模块包括:用户终端和统一认证平台;其中:
所述用户终端生成用户ID,并将所述用户ID发送至所述统一认证平台;
所述统一认证平台对所述用户ID进行认证,根据主公钥和主私钥为用户生成私钥,并将所述私钥返回至所述用户终端进行存储。
优选地,所述用户身份认证模块包括:资源服务器,其中:
所述用户终端中的应用生成资源访问请求,并将所述资源访问请求发送至所述资源服务器;
所述资源服务器在接收到所述资源访问请求后,通过挑战应答方式要求对用户的身份进行认证;
所述用户终端通过所述私钥进行签名,并将签名信息发送至所述资源服务器;
所述资源服务器利用所述统一认证平台主公钥验证接收到的所述签名信息,验证通过后,完成用户身份认证。
优选地,所述资源访问授权模块包括:授权服务器,其中:
所述资源服务器向所述授权服务器发送访问授权请求;
所述授权服务器在接收到访问授权请求后,通过查询用户ID的访问权限,为用户颁发资源访问令牌;
所述资源服务器在接收到资源访问令牌后,将相应的资源发送至所述用户终端中的应用。
综上所述,本发明公开了一种基于UAF和IBC的统一身份认证方法,当需要进行统一身份认证时,首先通过UAF和IBC对注册的用户身份进行认证,然后在完成用户身份认证后,通过OAuth协议执行资源访问过程。本发明能够通过UAF实现“无口令”的认证,能过IBC实现用户能通过统一认证平台认证身份,无需各业务服务器分别绑定用户账户和公钥,实现统一的身份认证,有效提升了认证的安全性和效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明公开的一种基于UAF和IBC的统一身份认证方法实施例1的方法流程图;
图2为本发明公开的一种基于UAF和IBC的统一身份认证方法实施例2的方法流程图;
图3为本发明公开的一种基于UAF和IBC的统一身份认证方法实施例3的方法流程图;
图4为本发明公开的一种基于UAF和IBC的统一身份认证装置实施例1的结构示意图;
图5为本发明公开的一种基于UAF和IBC的统一身份认证装置实施例2的结构示意图;
图6为本发明公开的一种基于UAF和IBC的统一身份认证装置实施例3的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,为本发明公开的一种基于UAF和IBC的统一身份认证方法实施例1的方法流程图,所述方法可以包括以下步骤:
S101、通过UAF和IBC对注册的用户身份进行认证;
当需要进行统一身份认证时,首先通过UAF和IBC对注册的用户身份进行认证;其中:
UAF是由FIDO联盟制定的一套开放认证协议,实现用户“无口令”的强身份认证。UAF在注册时将用户在服务器端的账户和UAF设备绑定在一起,随后在认证过程中,用户无需输入口令,只需要在UAF设备中通过生物特征识别或简单的PIN码即可完成认证实现账户登录。
IBC是基于传统的PKI(Public Key Infrastructure,公开密钥基础设施)基础上发展而来,主要简化在具体安全应用在大量数字证书的交换问题,使安全应用更加易于部署和使用。IBC密码技术使用的是非对称密码体系,加密与解密使用两套不同的密钥,每个人的公钥就是他的身份标识,比如email地址,电话号码等。而私钥则以数据的形式由用户自己掌握,密钥管理相当简单,可以很方便的对数据信息进行加解密。IBC的基础技术包括数据加密、数字签名、数据完整性机制、数字信封,用户识别,用户认证等。
在通过UAF和IBC对注册的用户身份进行认证的过程中,通过UAF机制保护IBC私钥,防止其泄露,然后通过IBC实现统一身份认证。
S102、在完成用户身份认证后,通过OAuth协议执行资源访问过程。
OAuth协议是开放的授权标准,允许第三方通过服务提供商提供的临时令牌获取用户资源,无需用户名和密码,具有简单、开放、安全的特点。
综上所述,在上述实施例中,当需要进行统一身份认证时,首先通过UAF和IBC对注册的用户身份进行认证,然后在完成用户身份认证后,通过OAuth协议执行资源访问过程。本发明能够通过UAF实现“无口令”的认证,能过IBC实现用户能通过统一认证平台认证身份,无需各业务服务器分别绑定用户账户和公钥,实现统一的身份认证,有效提升了认证的安全性和效率。
如图2所示,为本发明公开的一种基于UAF和IBC的统一身份认证方法实施例2的方法流程图,所述方法可以包括以下步骤:
S201、注册用户身份;
当需要进行统一身份认证时,首先需要对用户的初始ID信息进行注册,即,对用户的身份进行注册。其中,用户的ID可以为用户的姓名、邮箱、身份证号等。
S202、通过UAF和IBC对注册的用户身份进行认证;
S203、在完成用户身份认证后,通过OAuth协议执行资源访问过程。
综上所述,在上述实施例中,当需要进行统一身份认证时,首先注册用户身份,然后通过UAF和IBC对注册的用户身份进行认证,然后在完成用户身份认证后,通过OAuth协议执行资源访问过程。本发明能够通过UAF实现“无口令”的认证,能过IBC实现用户能通过统一认证平台认证身份,无需各业务服务器分别绑定用户账户和公钥,实现统一的身份认证,有效提升了认证的安全性和效率。
如图3所示,为本发明公开的一种基于UAF和IBC的统一身份认证方法实施例3的方法流程图,所述方法可以包括以下步骤:
S301、用户终端生成用户ID,并将用户ID发送至统一认证平台;
当需要进行统一身份认证时,用户首先需要进行初始ID信息注册,其中,初始ID可以为用户的姓名、邮箱、身份证号等,并将用户ID传给统一认证平台。
S302、统一认证平台对用户ID进行认证,根据主公钥和主私钥为用户生成私钥,并将私钥返回至所述用户终端进行存储;
统一认证平台主要充当IBC密码体制中密钥生成中心(Key Generation Center,KGC)的角色,在对用户ID进行认证之后,根据主公钥和主私钥为用户生成私钥,并将生成的私钥返回至用户终端,由用户安全存储在UAF设备中,完成注册过程。
S303、用户终端中的应用生成资源访问请求,并将资源访问请求发送至资源服务器;
当用户终端中的第三方应用(如用户手机的APP等)需要通过用户访问应用服务器资源时,用户终端中的应用生成资源访问请求,向资源服务器发送资源访问请求。
S304、资源服务器在接收到资源访问请求后,通过挑战应答方式要求对用户的身份进行认证;
资源服务器接收到资源访问请求后,通过挑战应答方式要求对用户的身份进行认证,即选择一个随数N,要求用户用私钥对N进行签名。
S305、用户终端通过私钥进行签名,并将签名信息发送至资源服务器;
用户接收到挑战数N之后,通过指纹等生物特解锁UAF设备,然后利用私钥对N进行签名,然后将签名信息发送给资源服务器。
S306、资源服务器利用统一认证平台主公钥验证接收到的签名信息,验证通过后,完成用户身份认证;
资源服务器则利用统一认证平台主公钥验证接收到的用户签名信息,验证通过后,即可完成用户ID身份认证。
S307、资源服务器向授权服务器发送访问授权请求;
在完成用户ID身份认证后,资源服务器向授权服务器发送访问授权请求。
S308、授权服务器在接收到访问授权请求后,通过查询用户ID的访问权限,为用户颁发资源访问令牌;
授权服务器通过查询用户ID的访问权限,为用户颁发资源访问令牌。
S309、资源服务器在接收到资源访问令牌后,将相应的资源发送至用户终端中的应用。
接收到用户ID的资源访问许可之后,资源服务器将相应的资源发送给第三方应用,完成整个身份认证和授权过程。
综上所述,本发明基于UAF和IBC提出一种统一的身份认证授权方案,通过UAF实现“无口令”的认证,通过IBC实现用户能通过统一认证平台认证身份,无需各业务服务器分别绑定用户账户和公钥,实现统一的身份认证,提升了认证的安全性和效率。另外,将私钥存储在UAF硬件设备,仅在内部实现签名功能,不会在硬件外部使用,从而有效提升了IBC密钥的安全性,防止了私钥泄露。
如图4所示,为本发明公开的一种基于UAF和IBC的统一身份认证装置实施例1的结构示意图,所述装置可以包括:
用户身份认证模块401,用于通过UAF和IBC对注册的用户身份进行认证;
当需要进行统一身份认证时,首先通过UAF和IBC对注册的用户身份进行认证;其中:
UAF是由FIDO联盟制定的一套开放认证协议,实现用户“无口令”的强身份认证。UAF在注册时将用户在服务器端的账户和UAF设备绑定在一起,随后在认证过程中,用户无需输入口令,只需要在UAF设备中通过生物特征识别或简单的PIN码即可完成认证实现账户登录。
IBC是基于传统的PKI(Public Key Infrastructure,公开密钥基础设施)基础上发展而来,主要简化在具体安全应用在大量数字证书的交换问题,使安全应用更加易于部署和使用。IBC密码技术使用的是非对称密码体系,加密与解密使用两套不同的密钥,每个人的公钥就是他的身份标识,比如email地址,电话号码等。而私钥则以数据的形式由用户自己掌握,密钥管理相当简单,可以很方便的对数据信息进行加解密。IBC的基础技术包括数据加密、数字签名、数据完整性机制、数字信封,用户识别,用户认证等。
在通过UAF和IBC对注册的用户身份进行认证的过程中,通过UAF机制保护IBC私钥,防止其泄露,然后通过IBC实现统一身份认证。
资源访问授权模块402,用于在完成用户身份认证后,通过OAuth协议执行资源访问过程。
OAuth协议是开放的授权标准,允许第三方通过服务提供商提供的临时令牌获取用户资源,无需用户名和密码,具有简单、开放、安全的特点。
综上所述,在上述实施例中,当需要进行统一身份认证时,首先通过UAF和IBC对注册的用户身份进行认证,然后在完成用户身份认证后,通过OAuth协议执行资源访问过程。本发明能够通过UAF实现“无口令”的认证,能过IBC实现用户能通过统一认证平台认证身份,无需各业务服务器分别绑定用户账户和公钥,实现统一的身份认证,有效提升了认证的安全性和效率。
如图5所示,为本发明公开的一种基于UAF和IBC的统一身份认证装置实施例2的结构示意图,所述装置可以包括:
用户身份注册模块501,用于注册用户身份;
当需要进行统一身份认证时,首先需要对用户的初始ID信息进行注册,即,对用户的身份进行注册。其中,用户的ID可以为用户的姓名、邮箱、身份证号等。
用户身份认证模块502,用于通过UAF和IBC对注册的用户身份进行认证;
资源访问授权模块503,用于在完成用户身份认证后,通过OAuth协议执行资源访问过程。
综上所述,在上述实施例中,当需要进行统一身份认证时,首先注册用户身份,然后通过UAF和IBC对注册的用户身份进行认证,然后在完成用户身份认证后,通过OAuth协议执行资源访问过程。本发明能够通过UAF实现“无口令”的认证,能过IBC实现用户能通过统一认证平台认证身份,无需各业务服务器分别绑定用户账户和公钥,实现统一的身份认证,有效提升了认证的安全性和效率。
如图6所示,为本发明公开的一种基于UAF和IBC的统一身份认证装置实施例3的结构示意图,所述装置可以包括:用户终端601、统一认证平台602、资源服务器603和授权服务器604;其中:
用户终端601生成用户ID,并将用户ID发送至统一认证平台602;
当需要进行统一身份认证时,用户首先需要进行初始ID信息注册,其中,初始ID可以为用户的姓名、邮箱、身份证号等,并将用户ID传给统一认证平台。
统一认证平台602对用户ID进行认证,根据主公钥和主私钥为用户生成私钥,并将私钥返回至用户终端601进行存储;
统一认证平台主要充当IBC密码体制中密钥生成中心(Key Generation Center,KGC)的角色,在对用户ID进行认证之后,根据主公钥和主私钥为用户生成私钥,并将生成的私钥返回至用户终端,由用户安全存储在UAF设备中,完成注册过程。
用户终端601中的应用生成资源访问请求,并将资源访问请求发送至资源服务器603;
当用户终端中的第三方应用(如用户手机的APP等)需要通过用户访问应用服务器资源时,用户终端中的应用生成资源访问请求,向资源服务器发送资源访问请求。
资源服务器603在接收到资源访问请求后,通过挑战应答方式要求对用户的身份进行认证;
资源服务器接收到资源访问请求后,通过挑战应答方式要求对用户的身份进行认证,即选择一个随数N,要求用户用私钥对N进行签名。
用户终端601通过私钥进行签名,并将签名信息发送至资源服务器603;
用户接收到挑战数N之后,通过指纹等生物特解锁UAF设备,然后利用私钥对N进行签名,然后将签名信息发送给资源服务器。
资源服务器603利用统一认证平台602主公钥验证接收到的签名信息,验证通过后,完成用户身份认证;
资源服务器则利用统一认证平台主公钥验证接收到的用户签名信息,验证通过后,即可完成用户ID身份认证。
资源服务器603向授权服务器604发送访问授权请求;
在完成用户ID身份认证后,资源服务器向授权服务器发送访问授权请求。
授权服务器604在接收到访问授权请求后,通过查询用户ID的访问权限,为用户颁发资源访问令牌;
授权服务器通过查询用户ID的访问权限,为用户颁发资源访问令牌。
资源服务器603在接收到资源访问令牌后,将相应的资源发送至用户终端601中的应用。
接收到用户ID的资源访问许可之后,资源服务器将相应的资源发送给第三方应用,完成整个身份认证和授权过程。
综上所述,本发明基于UAF和IBC提出一种统一的身份认证授权方案,通过UAF实现“无口令”的认证,通过IBC实现用户能通过统一认证平台认证身份,无需各业务服务器分别绑定用户账户和公钥,实现统一的身份认证,提升了认证的安全性和效率。另外,将私钥存储在UAF硬件设备,仅在内部实现签名功能,不会在硬件外部使用,从而有效提升了IBC密钥的安全性,防止了私钥泄露。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种基于UAF和IBC的统一身份认证方法,其特征在于,包括:
通过UAF和IBC对注册的用户身份进行认证;其中,认证过程中通过UAF机制保护IBC私钥;在完成用户身份认证后,通过OAuth协议执行资源访问过程;其中,将IBC私钥存储在UAF硬件设备中。
2.根据权利要求1所述的方法,其特征在于,所述通过UAF和IBC对注册的用户身份进行认证前,还包括:
注册用户身份。
3.根据权利要求2所述的方法,其特征在于,所述注册用户身份,包括:
用户终端生成用户ID,并将所述用户ID发送至统一认证平台;
所述统一认证平台对所述用户ID进行认证,根据主公钥和主私钥为用户生成私钥,并将所述私钥返回至所述用户终端进行存储。
4.根据权利要求3所述的方法,其特征在于,所述通过UAF和IBC对注册的用户身份进行认证,包括:
所述用户终端中的应用生成资源访问请求,并将所述资源访问请求发送至资源服务器;
所述资源服务器在接收到所述资源访问请求后,通过挑战应答方式要求对用户的身份进行认证;
所述用户终端通过所述私钥进行签名,并将签名信息发送至所述资源服务器;
所述资源服务器利用所述统一认证平台主公钥验证接收到的所述签名信息,验证通过后,完成用户身份认证。
5.根据权利要求4所述的方法,其特征在于,所述在完成用户身份认证后,通过OAuth协议执行资源访问过程,包括:
所述资源服务器向授权服务器发送访问授权请求;
所述授权服务器在接收到访问授权请求后,通过查询用户ID的访问权限,为用户颁发资源访问令牌;
所述资源服务器在接收到资源访问令牌后,将相应的资源发送至所述用户终端中的应用。
6.一种基于UAF和IBC的统一身份认证装置,其特征在于,包括:
用户身份认证模块,用于通过UAF和IBC对注册的用户身份进行认证;其中,认证过程中通过UAF机制保护IBC私钥;将IBC私钥存储在UAF硬件设备中;
资源访问授权模块,用于在完成用户身份认证后,通过OAuth协议执行资源访问过程。
7.根据权利要求6所述的装置,其特征在于,还包括:
用户身份注册模块,用于注册用户身份。
8.根据权利要求7所述的装置,其特征在于,所述用户身份注册模块包括:用户终端和统一认证平台;其中:
所述用户终端生成用户ID,并将所述用户ID发送至所述统一认证平台;
所述统一认证平台对所述用户ID进行认证,根据主公钥和主私钥为用户生成私钥,并将所述私钥返回至所述用户终端进行存储。
9.根据权利要求8所述的装置,其特征在于,所述用户身份认证模块包括:资源服务器,其中:
所述用户终端中的应用生成资源访问请求,并将所述资源访问请求发送至所述资源服务器;
所述资源服务器在接收到所述资源访问请求后,通过挑战应答方式要求对用户的身份进行认证;
所述用户终端通过所述私钥进行签名,并将签名信息发送至所述资源服务器;
所述资源服务器利用所述统一认证平台主公钥验证接收到的所述签名信息,验证通过后,完成用户身份认证。
10.根据权利要求9所述的装置,其特征在于,所述资源访问授权模块包括:授权服务器,其中:
所述资源服务器向所述授权服务器发送访问授权请求;
所述授权服务器在接收到访问授权请求后,通过查询用户ID的访问权限,为用户颁发资源访问令牌;
所述资源服务器在接收到资源访问令牌后,将相应的资源发送至所述用户终端中的应用。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910614005.6A CN110321682B (zh) | 2019-07-08 | 2019-07-08 | 一种基于uaf和ibc的统一身份认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910614005.6A CN110321682B (zh) | 2019-07-08 | 2019-07-08 | 一种基于uaf和ibc的统一身份认证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110321682A CN110321682A (zh) | 2019-10-11 |
| CN110321682B true CN110321682B (zh) | 2021-10-22 |
Family
ID=68121472
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910614005.6A Active CN110321682B (zh) | 2019-07-08 | 2019-07-08 | 一种基于uaf和ibc的统一身份认证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110321682B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110784395B (zh) * | 2019-11-04 | 2023-02-21 | 航天信息股份有限公司 | 一种基于fido认证的邮件安全登录方法及*** |
| CN113099448B (zh) * | 2019-12-20 | 2022-07-19 | 紫光同芯微电子有限公司 | 一种适用于大容量sim卡的终端身份认证方法 |
| CN111245870B (zh) * | 2020-04-26 | 2020-08-14 | 国网电子商务有限公司 | 基于移动终端的身份认证方法及相关装置 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105827571B (zh) * | 2015-01-06 | 2019-09-13 | 华为技术有限公司 | 基于uaf协议的多模态生物特征认证方法和设备 |
| US20180254909A1 (en) * | 2017-03-06 | 2018-09-06 | Lamark Solutions, Inc. | Virtual Identity Credential Issuance and Verification Using Physical and Virtual Means |
| CN107454077B (zh) * | 2017-08-01 | 2020-05-19 | 北京迪曼森科技有限公司 | 一种基于iki标识认证的单点登录方法 |
| CN108900309B (zh) * | 2018-05-17 | 2020-08-18 | 北京岸思信息科技有限公司 | 一种鉴权方法及鉴权*** |
| CN109347857A (zh) * | 2018-11-14 | 2019-02-15 | 天津市国瑞数码安全***股份有限公司 | 一种基于标识的通用跨网认证方法 |
| CN109815666B (zh) * | 2018-12-26 | 2020-12-25 | 航天信息股份有限公司 | 基于fido协议的身份认证方法、装置、存储介质和电子设备 |
-
2019
- 2019-07-08 CN CN201910614005.6A patent/CN110321682B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN110321682A (zh) | 2019-10-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111245870B (zh) | 基于移动终端的身份认证方法及相关装置 | |
| CN109150548B (zh) | 一种数字证书签名、验签方法及***、数字证书*** | |
| KR101904177B1 (ko) | 데이터 처리 방법 및 장치 | |
| US9780950B1 (en) | Authentication of PKI credential by use of a one time password and pin | |
| JP6586446B2 (ja) | 通信端末および関連システムのユーザーの識別情報を確認するための方法 | |
| AU2006298507B2 (en) | Method and arrangement for secure autentication | |
| US8724819B2 (en) | Credential provisioning | |
| EP2879421B1 (en) | Terminal identity verification and service authentication method, system, and terminal | |
| JP2016096547A (ja) | 否認防止方法、このための決済管理サーバおよび使用者端末 | |
| CN104618120A (zh) | 一种移动终端密钥托管数字签名方法 | |
| CN109495445A (zh) | 基于物联网的身份认证方法、装置、终端、服务器及介质 | |
| CN110321682B (zh) | 一种基于uaf和ibc的统一身份认证方法及装置 | |
| US8302175B2 (en) | Method and system for electronic reauthentication of a communication party | |
| JP2012530311A5 (zh) | ||
| CN102195932A (zh) | 一种基于两个隔离设备实现网络身份认证的方法和*** | |
| CN107609878B (zh) | 一种共享汽车的安全认证方法及*** | |
| CN106921639A (zh) | 移动数字证书申请方法及装置 | |
| CN110830264B (zh) | 业务数据验证方法、服务器、客户端及可读存储介质 | |
| Kerttula | A novel federated strong mobile signature service—the finnish case | |
| CN110807854A (zh) | 一种开锁策略配置方法及设备 | |
| JP4499575B2 (ja) | ネットワークセキュリティ方法およびネットワークセキュリティシステム | |
| Ou et al. | Adaptation of proxy certificates to non-repudiation protocol of agent-based mobile payment systems | |
| CN114329610A (zh) | 区块链隐私身份保护方法、装置、存储介质及*** | |
| Gadacz | Evaluation of electric mobility authentication approaches | |
| AU2015271650A1 (en) | Identity verification |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 100032 room 8018, 8 / F, building 7, Guangyi street, Xicheng District, Beijing Patentee after: State Grid Digital Technology Holdings Co.,Ltd. Patentee after: Guowang Xiongan Finance Technology Group Co.,Ltd. Patentee after: STATE GRID ZHEJIANG ELECTRIC POWER Co.,Ltd. Patentee after: STATE GRID CORPORATION OF CHINA Address before: 311 guanganmennei street, Xicheng District, Beijing 100053 Patentee before: STATE GRID ELECTRONIC COMMERCE Co.,Ltd. Patentee before: Guowang Xiongan Finance Technology Group Co.,Ltd. Patentee before: STATE GRID ZHEJIANG ELECTRIC POWER Co.,Ltd. Patentee before: STATE GRID CORPORATION OF CHINA |
|
| CP03 | Change of name, title or address |