CN110740116B - 一种多应用身份认证的***及方法 - Google Patents

一种多应用身份认证的***及方法 Download PDF

Info

Publication number
CN110740116B
CN110740116B CN201810808854.0A CN201810808854A CN110740116B CN 110740116 B CN110740116 B CN 110740116B CN 201810808854 A CN201810808854 A CN 201810808854A CN 110740116 B CN110740116 B CN 110740116B
Authority
CN
China
Prior art keywords
client
public key
service center
proxy
application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810808854.0A
Other languages
English (en)
Other versions
CN110740116A (zh
Inventor
郭拉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Siyuan Ideal Holding Group Co ltd
Original Assignee
Beijing Siyuan Ideal Holding Group Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Siyuan Ideal Holding Group Co ltd filed Critical Beijing Siyuan Ideal Holding Group Co ltd
Priority to CN201810808854.0A priority Critical patent/CN110740116B/zh
Publication of CN110740116A publication Critical patent/CN110740116A/zh
Application granted granted Critical
Publication of CN110740116B publication Critical patent/CN110740116B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供了一种多应用身份认证的***及方法,***包括客户端、应用端和代理服务中心,客户端通过代理服务中心与应用端建立连接。客户端和代理服务中心分别生成公钥、私钥对;客户端接收代理服务中心发送的代理公钥;客户端请求登录某一应用端,将信息包采用代理公钥加密,发送至代理服务中心;代理服务中心采用代理私钥解密信息包,并将客户端公钥发送至相应的应用端;应用端验证客户端公钥,并根据验证结果将授权信息通过代理服务中心返回客户端。本发明通过预先设定的协议制定了客户端、代理服务中心、应用端的标准规范,并设计了安全机制,既简化了客户端身份认证,又保证了数据传输过程中的安全性。

Description

一种多应用身份认证的***及方法
技术领域
本发明属于通信领域,具体涉及一种多应用身份认证的***及方法。
背景技术
现有技术中,不同的应用,不同的软件存在各自不同的用户体系。用户登录时,每次均需输入用户名、密码,过程繁琐;而且对于登录不同应用采用不同密码的用户,需记忆多个用户名、密码,容易混淆或忘记;此外,多次输入容易发生密码被窃取的危险,安全性较低。
发明内容
为了克服现有技术的问题,本发明提供了一种在应用端建立用户客户端秘钥与用户身份的对应关系,应用端通过代理服务中心获取用户客户端秘钥从而验证用户身份,实现一次登录持续使用的多应用用户身份认证***及方法。
本发明提供以下技术方案:
一种多应用身份认证***,包括客户端、应用端、代理服务中心,所述客户端通过所述代理服务中心与所述应用端建立连接。
进一步地,所述代理服务中心包括代理密钥生成模块、代理密钥存储模块、控制模块、加密解密模块,所述代理密钥生成模块用于生成代理公钥、私钥对;所述代理密钥存储模块用于存储代理公钥、私钥对;所述控制模块用于根据预先设定的通信协议与所述客户端和应用端通信;所述加密解密模块用于通信数据的加密、解密。
进一步地,所述客户端包括客户端密钥生成模块、客户端密钥存储模块、控制模块、加密解密模块,所述客户端密钥生成模块用于生成客户端公钥、私钥对;所述客户端密钥存储模块用于存储客户端公钥、私钥对;所述控制模块用于根据所述通信协议与所述代理服务中心通信;所述加密解密模块用于通信数据的加密、解密。
进一步地,所述应用端包括账户存储模块、控制模块、加密解密模块,所述账户存储模块用于存储客户端公钥与账户信息的对应关系;所述控制模块用于根据所述通信协议与所述代理服务中心通信,且用于查询核对客户端公钥;所述加密解密模块用于通信数据的加密、解密。
一种利用多应用身份认证***进行身份认证的方法,包括以下步骤:
步骤一客户端生成客户端公钥、私钥对,存储在客户端;代理服务中心生成代理公钥、私钥对,存储在代理服务中心;
步骤二所述客户端接收代理服务中心发送的代理公钥;
步骤三所述客户端请求登录某一应用端,将包含客户端公钥、应用端信息的信息包采用代理公钥加密,发送至代理服务中心;
步骤四代理服务中心采用代理私钥解密信息包,并将客户端公钥发送至相应的应用端;
步骤五应用端验证客户端公钥,并根据验证结果将授权信息通过所述代理服务中心返回所述客户端。
进一步地,在步骤三中,所述信息包还包括时间戳数据以及利用客户端私钥加密时间戳形成的签名。
进一步地,步骤四中,代理服务中心用客户端公钥解密签名,对应信息包中的时间戳数据进行验证,验证通过则将客户端公钥发送至相应的应用端。
若所述客户端是首次登录应用端,应用端无客户端公钥记录,则步骤五中,应用端验证客户端公钥失败,应用端向代理服务中心返回授权地址,代理服务中心采用客户端公钥加密授权地址并发送至所述客户端;客户端采用客户端私钥解密获得授权地址,客户端输入账户信息,经应用端验证通过后,实现客户端对应用端的登录;应用端保存客户端公钥与账户信息的对应关系。
若所述客户端非首次登录应用端,应用端已保存客户端公钥,则在步骤五中,应用端验证客户端公钥成功,应用端生成已授权的地址路径AAP发送至代理服务中心,代理服务中心将AAP采用客户端公钥加密,发送至所述客户端;客户端采用客户端私钥解密,获得AAP,完成应用端登录。
进一步地,在步骤四中,代理服务中心采用代理私钥加密客户端公钥发送到应用端;步骤五中,应用端采用代理公钥解密并验证客户端公钥,并用代理公钥加密授权信息返回代理服务中心。
进一步地,所述公钥、私钥生成采用非对称算法。
一种多应用身份认证***进行身份认证的方法,包括以下步骤:
步骤一客户端生成客户端公钥、私钥对,存储在客户端;代理服务中心生成代理公钥、私钥对,存储在代理服务中心;
步骤二所述客户端向代理服务中心发送客户端公钥;
步骤三所述客户端请求登录某一应用端,将包含客户端公钥、应用端信息的信息包采用客户端私钥加密发送至代理服务中心;
步骤四代理服务中心采用客户端公钥解密信息包,并将客户端公钥发送至相应的应用端;
步骤五应用端验证客户端公钥,并根据验证结果将授权信息通过所述代理服务中心返回所述客户端。
采用上述技术方案,本发明具有如下有益效果:
1、本发明通过预先设定的协议制定了客户端、代理服务中心、应用端的标准规范,并设计了安全机制,既简化了客户端身份认证,又保证了数据传输过程中的安全性;
2、应用端保存客户端公钥与账号信息之间的对应关系,用户再次登录该应用端时,无需再次输入账号信息,客户端自动发送客户端公钥信息,应用端通过保存的客户端公钥与账号信息之间的对应关系完成身份认证,实现了一次登录持续使用的技术效果,为用户减轻了负担;
3、非对称性加密是基于客户端公钥与私钥的唯一对应性,利用客户端私钥加密签名,代理服务中心采用客户端公钥解密,并进行身份验证,身份信息难以被篡改,能够保证用户身份安全性;
4、非对称加密的安全信息通信方法,在客户端和代理服务中心及应用端之间建立一个唯一的密钥信道,通过用户身份验证及信息解码两重安全保障,加强信息传输的安全性。
附图说明
图1为本发明身份认证***的结构示意图;
图2为本发明身份认证方法的流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,下面结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的结构图及具体实施例仅用以解释本发明,并不用于限定本发明。
实施例1
本发明提供了一种多应用身份认证***,如图1所示,包括客户端、应用端、代理服务中心,客户端通过代理服务中心与应用端建立连接。
代理服务中心包括代理密钥生成模块、代理密钥存储模块、控制模块、加密解密模块。代理密钥生成模块用于生成代理公钥、私钥对;代理密钥存储模块用于存储代理公钥、私钥对;控制模块用于根据预先设定的通信协议与客户端和应用端通信;加密解密模块用于通信数据的加密、解密。代理服务中心可以是代理服务器,也可以是实现同样功能的软件开发工具包(SDK)。
客户端包括客户端密钥生成模块、客户端密钥存储模块、控制模块、加密解密模块。客户端密钥生成模块用于生成客户端公钥、私钥对;客户端密钥存储模块用于存储客户端公钥、私钥对;控制模块用于根据通信协议与代理服务中心通信;加密解密模块用于通信数据的加密、解密。
应用端包括账户存储模块、控制模块、加密解密模块。账户存储模块用于存储客户端公钥与账户信息的对应关系;控制模块用于根据通信协议与代理服务中心通信,且用于查询核对客户端公钥;加密解密模块用于通信数据的加密、解密。
客户端通过代理服务中心与应用端通信,并通过代理服务中心将其密钥发送应用端,应用端将客户端密钥与账户信息建立对应关系,并以此作为账户身份认证的依据,从而实现了客户端以此登录持续使用的技术效果。
实施例2
本发明提供了一种多应用身份认证的方法,如图2所示,包括以下步骤:
步骤一客户端生成客户端公钥、私钥对,存储在客户端;代理服务中心生成代理公钥、私钥对,存储在代理服务中心;
步骤二所述客户端接收代理服务中心发送的代理公钥;
步骤三所述客户端请求登录某一应用端,将包含客户端公钥、应用端信息的信息包采用代理公钥加密,发送至代理服务中心;
步骤四代理服务中心采用代理私钥解密信息包,并将客户端公钥发送至相应的应用端;
步骤五应用端验证客户端公钥;
当所述客户端为首次登录应用端时,应用端无客户端公钥记录,应用端验证客户端公钥失败,应用端向代理服务中心返回授权地址,代理服务中心采用客户端公钥加密授权地址并发送至客户端;客户端采用客户端私钥解密获得授权地址,客户端输入账户信息,经应用端验证通过后,实现客户端对应用端的登录;应用端保存客户端公钥与账户信息的对应关系。
当客户端非首次登录应用端时,应用端已保存客户端公钥,应用端验证客户端公钥成功,应用端生成已授权的地址路径(AAP)发送至代理服务中心,代理服务中心将AAP采用客户端公钥加密,发送至客户端;客户端采用客户端私钥解密,获得AAP,完成应用端登录。
优选地,在步骤三中,信息包还包括时间戳数据以及利用客户端私钥加密时间戳形成的签名。步骤四中,代理服务中心用客户端公钥解密签名,对应信息包中的时间戳数据进行验证,验证通过则将客户端公钥发送至相应的应用端。从而进一步提高通信的安全性。
本发明中公钥、私钥的生成可以采用非对称加密算法,如:RSA算法。
实施例3
本发明提供了另一种多应用身份认证的方法,包括以下步骤:
步骤一客户端生成客户端公钥、私钥对,存储在客户端,代理服务中心生成代理公钥、私钥对,存储在代理服务中心;
步骤二所述客户端向代理服务中心发送客户端公钥;
步骤三所述客户端请求登录某一应用端,将包含客户端公钥、应用端信息的信息包采用客户端私钥加密,发送至代理服务中心;
步骤四代理服务中心采用客户端公钥解密信息包,并采用代理私钥加密客户端公钥发送到应用端;
步骤五中,应用端用代理公钥解密并查询客户端公钥,并用代理公钥加密授权信息返回代理服务中心,允许应用端登录。
以上所述实施例仅表达了本发明的实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

Claims (4)

1.一种利用多应用身份认证***进行身份认证的方法,其特征在于,包括以下步骤:
步骤一 客户端生成客户端公钥、私钥对,存储在客户端;代理服务中心生成代理公钥、私钥对,存储在代理服务中心;
步骤二 所述客户端接收代理服务中心发送的代理公钥;
步骤三 所述客户端请求登录某一应用端,将包含客户端公钥、应用端信息的信息包采用代理公钥加密,发送至代理服务中心;
步骤四 代理服务中心采用代理私钥解密信息包,并将客户端公钥发送至相应的应用端;
步骤五 应用端验证客户端公钥,并根据验证结果将授权信息通过所述代理服务中心返回所述客户端;
若所述客户端是首次登录应用端,应用端无客户端公钥记录,则步骤五中,应用端验证客户端公钥失败,应用端向代理服务中心返回授权地址,代理服务中心采用客户端公钥加密授权地址并发送至所述客户端;客户端采用客户端私钥解密获得授权地址,客户端输入账户信息,经应用端验证通过后,实现客户端对应用端的登录;应用端保存客户端公钥与账户信息的对应关系。
2.根据权利要求1所述的多应用身份认证的方法,其特征在于,若所述客户端非首次登录应用端,应用端已保存客户端公钥,则在步骤五中,应用端验证客户端公钥成功,应用端生成已授权的地址路径AAP发送至代理服务中心,代理服务中心将AAP采用客户端公钥加密,发送至所述客户端;客户端采用客户端私钥解密,获得AAP,完成应用端登录。
3.根据权利要求1所述的多应用身份认证的方法,其特征在于,在步骤四中,代理服务中心采用代理私钥加密客户端公钥发送到应用端;步骤五中,应用端采用代理公钥解密并验证客户端公钥,并用代理公钥加密授权信息返回代理服务中心。
4.根据权利要求1所述的多应用身份认证的方法,其特征在于,所述公钥、私钥生成采用非对称算法。
CN201810808854.0A 2018-07-20 2018-07-20 一种多应用身份认证的***及方法 Active CN110740116B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810808854.0A CN110740116B (zh) 2018-07-20 2018-07-20 一种多应用身份认证的***及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810808854.0A CN110740116B (zh) 2018-07-20 2018-07-20 一种多应用身份认证的***及方法

Publications (2)

Publication Number Publication Date
CN110740116A CN110740116A (zh) 2020-01-31
CN110740116B true CN110740116B (zh) 2023-06-30

Family

ID=69235835

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810808854.0A Active CN110740116B (zh) 2018-07-20 2018-07-20 一种多应用身份认证的***及方法

Country Status (1)

Country Link
CN (1) CN110740116B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111431972B (zh) * 2020-03-05 2022-09-20 北京龙归科技有限公司 基于idp代理的应用授权方法、设备、存储介质及***
CN111669380B (zh) * 2020-05-28 2022-07-19 成都安恒信息技术有限公司 一种基于运维审计***的免密登录方法
CN113676468B (zh) * 2021-08-17 2023-06-06 北京计算机技术及应用研究所 一种基于消息验证技术的三方增强认证***设计方法
CN115065559B (zh) * 2022-08-15 2022-12-27 浙江毫微米科技有限公司 一种身份认证***、方法、装置、电子设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105376221A (zh) * 2015-10-30 2016-03-02 福建天晴数码有限公司 基于动态密码的游戏消息加密机制及游戏***
CN105391734A (zh) * 2015-12-10 2016-03-09 布比(北京)网络技术有限公司 一种安全登录***及方法、登录服务器和认证服务器
CN105471833A (zh) * 2015-05-14 2016-04-06 瑞数信息技术(上海)有限公司 一种安全通讯方法和装置
CN108134787A (zh) * 2017-12-21 2018-06-08 恒宝股份有限公司 一种身份认证方法及认证装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105471833A (zh) * 2015-05-14 2016-04-06 瑞数信息技术(上海)有限公司 一种安全通讯方法和装置
CN105376221A (zh) * 2015-10-30 2016-03-02 福建天晴数码有限公司 基于动态密码的游戏消息加密机制及游戏***
CN105391734A (zh) * 2015-12-10 2016-03-09 布比(北京)网络技术有限公司 一种安全登录***及方法、登录服务器和认证服务器
CN108134787A (zh) * 2017-12-21 2018-06-08 恒宝股份有限公司 一种身份认证方法及认证装置

Also Published As

Publication number Publication date
CN110740116A (zh) 2020-01-31

Similar Documents

Publication Publication Date Title
US9847882B2 (en) Multiple factor authentication in an identity certificate service
US9838205B2 (en) Network authentication method for secure electronic transactions
CA2590989C (en) Protocol and method for client-server mutual authentication using event-based otp
CA2463034C (en) Method and system for providing client privacy when requesting content from a public server
US7562221B2 (en) Authentication method and apparatus utilizing proof-of-authentication module
CN106713279B (zh) 一种视频终端身份认证***
CN111512608B (zh) 基于可信执行环境的认证协议
CN110740116B (zh) 一种多应用身份认证的***及方法
JP6471112B2 (ja) 通信システム、端末装置、通信方法、及びプログラム
CN110519046B (zh) 基于一次性非对称密钥对和qkd的量子通信服务站密钥协商方法和***
US20200320178A1 (en) Digital rights management authorization token pairing
CN108809633B (zh) 一种身份认证的方法、装置及***
MXPA04007547A (es) Sistema y metodo para proporcionar un protocolo de manejo de clave con verificacion de cliente de autorizacion.
CN108809936B (zh) 一种基于混合加密算法的智能移动终端身份验证方法及其实现***
CN102404337A (zh) 数据加密方法和装置
CN106992978B (zh) 网络安全管理方法及服务器
KR101639714B1 (ko) 스마트 그리드 기기 인증 방법
US9917694B1 (en) Key provisioning method and apparatus for authentication tokens
CN111654503A (zh) 一种远程管控方法、装置、设备及存储介质
CN111917536A (zh) 身份认证密钥的生成方法、身份认证的方法、装置及***
CN107409043B (zh) 基于中央加密的存储数据对产品的分布式处理
CN109412799B (zh) 一种生成本地密钥的***及其方法
CN108881153B (zh) 用于登入的认证方法
KR102053993B1 (ko) 인증서를 이용한 사용자 인증 방법
CN110086627B (zh) 基于非对称密钥池对和时间戳的量子通信服务站密钥协商方法和***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant