CN102143134B - 分布式身份认证方法、装置与系统 - Google Patents
分布式身份认证方法、装置与系统 Download PDFInfo
- Publication number
- CN102143134B CN102143134B CN201010251922.1A CN201010251922A CN102143134B CN 102143134 B CN102143134 B CN 102143134B CN 201010251922 A CN201010251922 A CN 201010251922A CN 102143134 B CN102143134 B CN 102143134B
- Authority
- CN
- China
- Prior art keywords
- user
- authentication
- random number
- uul
- idp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明实施例提供一种分布式身份认证方法、装置与系统,该方法包括:UA向应用依赖方RP发送访问请求;接收RP返回的包含了随机数的认证质询消息;采用私钥PK对随机数进行加密,生成加密后的随机数;向RP发送携带加密后的随机数的认证请求消息,使RP对加密后的随机数进行解密,并比较解密后的随机数与认证质询消息中的随机数,若两者一致则认证通过。由于RP验证用户身份所需的公钥信息可由用户标识UUL直接或者间接获得,所以RP对用户身份验证与身份提供方IDP无关,从而实现分布式身份认证。该技术方案能提供更安全、简便、高效的分布式身份认证,使用户身份更加方便携带,用户使用一个身份就能访问所有支持本发明认证方法的应用网站。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种分布式身份认证方法、装置与系统。
背景技术
随着WEB2.0技术以及社交网络平台技术的发展,用户以及应用之间的身份认证问题将成为最重要的问题之一。现有技术一般采用中心化(Centralized)的认证方式,即,用户访问每个网站都会经历账户注册、身份认证等过程。这些分散的身份注册和认证功能无论对应用网站的发展还是用户体验都是一种潜在的阻碍。这种认证方式存在一些缺陷和不足,主要包括:
1、归属不同网络社群的用户不能进行有效的交流;
2、用户的身份和用户数据在用户控制之下不能完全开放;
3、应用不能方便的获得用户身份和用户数据;
4、用户体验比较差,用户为了和不同网络的用户交往而建立并维护多个账号身份。
一种中心化的认证方式为PKI(Public Key Infrastructure,公钥基础设施),PKI是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。PKI采用的是中心授信和层级结构的信任推导机制,各参与方都信任同一CA(Certificate Authority,认证中心),由该CA来核对和验证各参与方的身份,也可由上级CA通过签名的方式对下级CA进行授信,这样,各个参与方都通过信任同一个根证书而建立起来信任链和信任关系。
由于PKI是一种中心化(Centralized)的认证方式,身份的签发是由CA来完成,证书的分发由用户完成,其中,签是签署,即用CA的私钥对证书进行签名;发指分发,即下载或提供存储介质。证书中包含有用户的身份标识,用户身份标识是一种非全局、非统一的用户标识。这种情况下,用户标识是否被伪造和篡改只能通过用户对签发证书的CA的信任来确定,而通常情况下,一般用户还是很难清楚到底哪些CA签发的证书是可以信任的。因此,PKI认证技术存在如下局限:
1、因为没有规范全局的证书访问机制,用户证书不具有可访问性,因此证书的分发和获取都非常的困难;
2、采用层级结构的信任推导机制,来保障用户标识的唯一性及合法性,不能构成一个自由开放的用户标识提供体系;
3、用户信息不容易附着和获得,因为用户信息附带在用户证书中,证书中所附着的用户信息是有限而且难于变化的。
一种分布式身份认证技术是YADIS(Yet Another Decentralized IdentityInteroperability System,一种分布式身份互操作体系)技术。Yadis制定了一些规范用于支持:
1、可以用于多种网络服务的身份标识,该标识可以代表一个人或者是一个网络实体。身份标识使用标准语法和规范的名域空间。
2、用于描述身份标识所能提供的服务的一整套语法,以及语素定义。
3、通过该身份标识可以获得描述该标识的XRDS(eXtensible ResourceDescriptor Sequence,可扩展资源描述序列)文档,该文档用于描述服务类型和入口地址的映射关系。
YADIS主要以URL作为身份标识ID,通过该ID可以发现捆绑在该ID上的服务。具体地,YADIS标识是一个可访问标识,通过该标识可以获得XRDS文档,XRDS文档可以描述服务类型和服务地址URI的映射,其中服务是一些能力集。例如:可以通过XRDS文档的描述发现该用户的Blog是否提供Pingback服务以及提供服务的Pingback地址,这样就可以在自己的Blog上回复该用户的日志。
XRDS文档中包含了很多的服务条目,每个条目最主要包含两个信息,一个是服务类型,一个是服务提供入口地址URI。服务类型代表服务消费方和服务提供方双方必须遵从的协议;入口地址意指消费方通过使用服务类型所规定的协议访问该地址,可以获得所期望的结果和信息。基于以上的规范和协议,可以使得身份标识上所描述和提供的多种服务可以很好的共存和互操作。
当一个用户提供了一个Yadis ID给应用网站Relying Party,应用网站将通过检索XRDS文档去发现该Yadis ID提供了哪些服务。例如“Flickr”网站为用户提供照片服务,这样可以在该用户的ID所对应的XRDS文档中加入照片分享的服务描述,这样该用户的朋友就可以给该用户分享照片了。
Yadis是一个High Level的协议和规范,它规定了如何去发现一个Yadis ID上所提供的服务和信息,但是具体的服务、协议和信息内容等规范不在Yadis的规范范畴,而是由扩展协议规定具体的服务。
另一种分布式身份认证技术是OpenID技术,OpenID就是基于Yadis的一个实现。
OpenID是目前为止应用最为广泛的去中心化(Decentralized)的分布式认证服务,目前很多大的ICP(Internet Content Provider,因特网内容提供商)都提供了OpenID服务以及对OpenID认证的支持,用户可以在OpenID服务提供商处申请一个OpenID,当然如果没有严格的身份审查,也可以申请多个,然后就可以在支持OpenID登录的应用网站使用OpenID进行登录并使用该应用网站提供的服务,OpenID认证不需要繁琐的用户注册过程,也不要用户记住那么多的账号和密码。
OpenID认证的相关术语如下:
(1)OpenID Provider,简称OP:OpenID提供者,即提供OpenID注册的服务商,对用户身份鉴权。
(2)Relying Party:应用依赖方,简称RP,也就是用户要访问的网站,RP需要通过OP鉴权终端用户的身份。
(3)End User:终端用户。
(4)Identifier:OpenID的具体标识,可以是一个HTTP、HTTPS或者XRI(Extensible Resource Identifier,可扩展的资源标识)。
(5)User-Agent:用户浏览器。
OpenID的一个典型的应用场景就是:当终端用户登录一个支持OpenID的网站RP时,该用户选择了以OpenID的方式登录该网站,OpenID是该用户在另一个网站OP注册的一个URL。RP根据用户提供的OpenID去发现OP,然后请求该OP对该用户身份进行鉴权。OP收到RP请求后,会要求用户登录OP认证页面进行鉴权,鉴权通过后,OP会提醒该用户是否容许外部网站对该用户鉴权。如果用户同意后,OP将鉴权结果返回给RP。
下面就OpenID的认证流程进行简要的介绍,图1就是OpenID的认证流程:
S101、终端用户请求登录RP网站,用户选择了以OpenID方式来登录;
S102、RP将OpenId的登录界面以表单Http Form形式返回给终端用户;
S103、终端用户以OpenID登录RP网站;
S104、RP网站对用户的OpenID进行标准化,确定OpenID的具体格式,如XRI格式或者是HTTP格式等等;
S105、RP解析OpenID,根据解析结果发现OP;如果OpenId是XRI,就采用XRI解析,如果是URL,则用Yadis协议解析,若Yadis解析失败,则用Http发现;
S106、RP跟OP建立一个关联;两者之间可以建立一个安全通道,用于传输信息并降低交互次数;
S107、OP处理RP的关联请求;
S108、RP请求OP对用户身份进行鉴权;
S109、OP对用户鉴权,请求用户进行登录认证;
S110、用户登录OP;
S111、OP将鉴权结果返回给RP;
S112、RP对OP的结果进行分析;
S113、RP分析后,如用户合法,则返回用户鉴权成功,可以使用RP服务。
OpenID技术存在一些缺陷和影响用户体验的地方:
第一类缺陷、OpenID通过表单触发(S102),用户需要在应用网站提供的表单中填入OpenID标识来触发OpenID认证过程,这样就需要一个用户干预(end-user intervention)的过程,用户必须填入表单项。虽然也可以使用浏览器插件实现自动表单填充,但是,遗留的问题是:
1、表单内容有限,不能提供认证方法及加密算法协商。
2、不能提供认证方法上的一些参数选项。
3、不能很好的规范化表单的内容,所以对规范的制定和规范的遵从都存在影响。
第二类缺陷、OpenID通过浏览器跳转方式在应用网站与OP之间协商认证的签名Token(S111和S112),而认证的主体由OpenID的OP完成,也就是说由OP完成对用户身份的确认,然后通过浏览器中转的方式,传递一个签名的Token给应用网站,应用网站通过Token完成对用户的认证过程,这种方式存在以下一些问题:
1、通过浏览器跳转方式实现用户认证,其实现复杂、效率低。
2、用户在应用网站上进行OpenID认证,又必须到跳转到OP进行身份认证,用户干预环节多,用户操作麻烦。
3、通过应用网站跳转到OP认证的方式易使用户信息被钓鱼(Phishing)网站获得、安全性较低。
发明内容
本发明实施例提供一种分布式身份认证方法、装置与系统,解决了现有的分布式认证方式所存在的上述问题,提供了一种更安全、更简便、更高效的分布式认证方式。
本发明实施例提供一种分布式身份认证方法,所述方法包括:向应用依赖方RP发送访问请求;接收所述RP返回的包含了随机数的认证质询消息;采用私钥PK对所述随机数进行加密,生成加密后的随机数;向所述RP发送认证请求消息,所述认证请求消息中携带所述加密后的随机数。
本发明实施例还提供一种分布式身份认证方法,所述方法包括:接收用户代理UA发送的访问请求,根据所述访问请求向所述UA返回包含随机数的认证质询消息;接收所述UA发送的认证请求消息,所述认证请求消息中包含所述UA采用私钥PK对所述随机数加密后的随机数;从所述访问请求或所述认证请求消息中获得统一用户标识UUL;根据所述UUL从用户身份提供商IDP处获得包含了公钥信息的用户证书Cert;采用所述公钥对所述加密后的随机数进行解密,并将解密后的随机数与所述认证质询消息中的随机数进行比较,如果两者一致则认证通过。
本发明实施例还提供一种分布式身份认证方法,所述方法包括:产生包含公钥信息的用户证书Cert和私钥文件,提供所述私钥文件的分发机制,使用户代理UA通过所述分发机制获取所述私钥文件;接收应用依赖方RP的证书获取请求,所述证书获取请求中包含已注册的用户身份标识ID;向所述RP返回与所述用户身份标识ID对应的包含了所述公钥信息的用户证书Cert。
本发明实施例还提供一种分布式身份认证装置,所述装置包括:访问请求单元,用于向应用依赖方RP发送访问请求;认证质询接收单元,用于接收所述RP返回的包含了随机数的认证质询消息;加密单元,用于采用私钥PK对所述随机数进行加密,生成加密后的随机数;认证请求单元,用于向所述RP发送认证请求消息,所述认证请求消息中携带所述加密后的随机数。
本发明实施例还提供一种分布式身份认证装置,所述装置包括:认证质询发送单元,用于接收用户代理UA发送的访问请求,根据所述访问请求向所述UA返回包含随机数的认证质询消息;认证请求接收单元,用于接收所述UA发送的认证请求消息,所述认证请求消息中包含所述UA采用私钥PK对所述随机数加密后的随机数;用户标识获取单元,用于从所述访问请求或所述认证请求消息中获得统一用户标识UUL;用户证书获取单元,根据所述UUL从用户身份提供商IDP处获得包含了公钥信息的用户证书Cert;认证单元,用于采用所述公钥对所述加密后的随机数进行解密,并将解密后的随机数与所述认证质询消息中的随机数进行比较,如果两者一致则认证通过。
本发明实施例还提供一种分布式身份认证装置,所述装置包括:认证信息提供单元,用于产生包含公钥信息的用户证书Cert和私钥文件,提供所述私钥文件的分发机制,使用户代理UA通过所述分发机制获取所述私钥文件;证书获取请求接收单元,用于接收应用依赖方RP的证书获取请求,所述证书获取请求中包含已注册的用户身份标识ID;证书发送单元,用于向所述RP返回与所述用户身份标识ID对应的包含了所述公钥信息的用户证书Cert。
本发明实施例还提供一种分布式身份认证系统,所述系统包括:用户身份提供方IDP、用户代理UA,以及应用依赖方RP;所述IDP,用于产生包含公钥信息的用户证书Cert和私钥文件,提供所述私钥文件的分发机制,使用户代理UA通过所述分发机制获取所述私钥文件;接收应用依赖方RP的证书获取请求,所述证书获取请求中包含已注册的用户身份标识ID;向所述RP返回与所述用户身份标识ID对应的包含了所述公钥信息的用户证书Cert;
所述RP,用于接收用户代理UA发送的访问请求,根据所述访问请求向所述UA返回包含随机数的认证质询消息;接收所述UA发送的认证请求消息,所述认证请求消息中包含所述UA采用私钥PK对所述随机数加密后的随机数;从所述访问请求或所述认证请求中获得统一用户标识UUL;根据所述UUL从用户身份提供商IDP处获得包含了公钥信息的用户证书Cert;采用所述公钥对所述加密后的随机数进行解密,并将解密后的随机数与所述认证质询消息中的随机数进行比较,如果两者一致则认证通过。
本发明实施例的分布式身份认证方法、装置与系统,UA在请求RP服务时,与RP之间直接进行认证,不需要跳转到其他网站进行认证,减少了用户干预的次数,避免了信息被钓鱼的可能性,相对于其他相关的分布式认证技术,能提供更安全的、更简便、更高效的分布式身份认证,使得用户身份更加方便携带,用户使用一个身份就能访问所有支持本发明认证方法的应用网站。
附图说明
图1为与现有技术的一种分布式身份认证技术OpenID的认证流程图;
图2为本发明实施例的分布式身份认证系统的体系架构图;
图3为本发明实施例的分布式身份认证系统的一种信令交互流程图;
图4为本发明实施例的分布式身份认证系统的另一种信令交互流程图;
图5为本发明实施例依据图3所示认证方法的具体信令交互流程图;
图6为现有技术中模式对话框的界面图;
图7为本发明实施例含有表单的认证质询界面图;
图8为本发明实施例用户选择一个身份标识进行身份认证的界面图;
图9为本发明实施例UA的整体功能框图;
图10为本发明实施例UA的另一种功能框图;
图11为本发明实施例RP的功能框图;
图12为本发明实施例图11中的认证单元1105的细化功能框图;
图13为本发明实施例IDP的功能框图;
图14为本发明实施例系统的一种实现架构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种分布式身份认证方法、装置与系统,相对于其他相关的分布式认证技术,该技术能提供更安全的、更简便的分布式身份认证,使得用户身份更加方便携带,用户使用一个身份就能访问所有支持本发明认证方法的应用网站。
本发明实施例提供了一种分布式身份认证系统。图2为本发明实施例分布式身份认证系统的体系架构图,如图2所示,该系统中参与认证的实体(Entity)包括:IDP 21(Identity Provider,用户身份提供方),用来提供用户身份信息;UA 22(User Agent,用户代理),为客户端应用程序,一般为浏览器(Browser);RP 23(Relying Party,依赖方),一般为用户访问的应用服务器。
具体地:IDP 21,用于产生包含公钥信息的用户证书Cert和私钥文件,提供所述私钥文件的分发机制,使UA 22通过所述分发机制获取所述私钥文件;接收RP 23的证书获取请求,所述证书获取请求中包含已注册的用户身份标识ID;向RP 23返回与所述用户身份标识ID对应的包含了所述公钥信息的用户证书Cert。
UA 22,用于向RP 23发送访问请求;接收RP 23返回的包含了随机数的认证质询消息;采用私钥PK对所述随机数进行加密,生成加密后的随机数,其中加密采用非对称加密算法;对所述认证质询消息做出响应,向RP 23发送认证请求消息,所述认证请求消息中携带所述加密后的随机数。
RP 23,用于接收UA 22发送的访问请求,根据所述访问请求向UA 22返回包含随机数的认证质询消息;接收UA 22发送的认证请求消息,所述认证请求消息中包含UA 22采用私钥PK对所述随机数加密后的随机数,其中加密采用非对称加密算法;从所述访问请求或所述认证请求消息中获得统一用户标识UUL;根据所述UUL从IDP 21处获得包含了公钥信息的用户证书Cert;采用所述公钥对所述加密后的随机数进行解密,并将解密后的随机数与所述认证质询消息中的随机数进行比较,如果两者一致则认证通过,否则,认证失败。本发明实施例的方法可以利用XRDS(eXtensible Resource Descriptor Sequence,可扩展资源描述序列)文档来发现用户的证书信息,具体的服务发现过程将在后续实施例中详细描述。
本发明实施例用户的身份信息主要包括以下几部分:UUL(Universal UserLocator,统一用户定位符)、Cert(Certification,用户证书)和PK(Private Key,用户私钥),其中,所述UUL一般为一个URI(Uniform Resource Identifier,统一资源标识),如HTTP URL,XRI等;证书Cert中包含了用户的公钥信息,本发明实施例的证书以采用X.509协议为例进行表示;PK(由IDP提供给最终用户,提供的介质不限。
本发明实施例系统的工作原理为:用户通过用户代理UA,向应用网站RP发送访问请求,其中用户代理一般为浏览器;如果应用网站RP需要对用户进行认证,RP返回一个需要认证的质询(Challenge,rfc2617),要求用户认证,该质询中包含必要的认证描述信息,如本发明认证方法标识、用户签名随机数Nonce和保护域Realm等;UA收到质询后,使用该用户的私钥对Nonce进行签名,通过认证请求消息提交签名后的Nonce给RP;其中,本发明实施例可以在访问请求或认证请求中携带统一用户标识UUL;RP从访问请求或认证请求中获取UUL,根据UUL获得用户证书信息;然后,RP根据获取的证书信息对签名后的Nonce解密,通过比较之前发送的Nonce和解密后的Nonce是否一致来验证用户身份;如果一致则验证通过,RP返回UA请求的响应。其中,RP根据Realm可区分用户访问范围的信息,相关内容请本领域技术人员参阅RFC2617规范,在此不赘述。
下面通过信令交互流程图来进一步详细描述本发明实施例的系统的工作过程,以及该系统包括的各实体的工作方法。
图3为本发明实施例的分布式身份认证系统的一种信令交互流程图。如图3所示,该分布式身份认证系统执行身份认证的过程具体包括如下步骤:
S301、UA向应用依赖方RP发送访问请求;
可选地,本发明实施例可以在所述访问请求的HTTP From Header字段中携带统一用户标识UUL。可选地,也可在该访问请求中不携带UUL,而是通过在后续的认证请求中携带UUL。
可选地,本发明实施例在S301之前还可以包括:通过加密信道SSL从用户身份提供方IDP获取用户私钥文件,或者从包含所述私钥文件的存储介质中获取用户私钥文件,所述私钥文件中包含了私钥PK和统一用户标识UUL。
具体地,所述IDP,可以用于产生包含公钥信息的用户证书Cert和私钥文件,并提供所述私钥文件的分发机制,使用户代理UA通过所述分发机制获取所述私钥文件。该IDP提供的私钥文件的分发机制具体可以包括:提供可供下载的私钥文件,使用户代理UA下载所述私钥文件并安装于本地;或者将所述私钥文件存储于存储介质,例如USB存储设备等,使用户代理UA通过插接所述USB设备获得所述私钥文件。
其中,在用户注册和申请证书通过之后,IDP会生成包含公钥信息的用户证书的私钥文件。
S302、RP向根据该访问请求向UA返回包含随机数的认证质询消息;
可选地,所述认证质询消息可以包括HTTP 401 Unauthorized消息;所述认证质询消息的WWW-Authentication Header字段中除了包含认证所需的随机数Nonce之外还可以进一步包含:所述分布式身份认证方法的标识以及至少一个非对称加密算法参数。其中,HTTP 401 Unauthorized消息是RFC2617规范中的内容,应用服务器RP利用这个响应向UA发起认证质询(Challenge),UA需对这个认证质询做出认证响应,携带认证信息到应用服务器,以便通过应用服务器的认证。此外,www Authentication Header在现有的规范中已经存在了两个认证方法标识,一个是basic,另一个是digest,分别用于标识两种不同的认证方法,而本发明实施例由于采用了一种新的认证方法,所以需要一个新的认证方法标识,本发明实施例的认证方法标识可以采用不和已存在的认证方法标识相重复的任意标识。
可选地,本发明实施例的非对称加密算法参数可以包括RSA(Rivest、Shamir、Adlernan加密算法)非对称加密算法或者ECC(Elliptic CurvesCryptography,椭圆曲线密码学)非对称加密算法。
S303、UA采用私钥PK对所述随机数进行加密,生成加密后的随机数,其中加密采用非对称加密算法;
可选地,S303具体包括:从所述认证质询消息中解析出所述分布式身份认证方法的标识,以及从所述加密算法参数中选择一个非对称加密算法,采用所述私钥PK对所述随机数基于选择的非对称加密算法进行加密。
S304、UA对所述认证质询消息做出响应,向所述RP发送认证请求消息,所述认证请求消息中携带所述加密后的随机数。
可选地,所述认证请求中可以包含UA选择的非对称加密算法。
可选地,本发明实施例还可以在所述认证请求的HTTP AuthorizationHeader字段中携带所述UUL;可选地,所述认证请求中携带的UUL为用户设置的默认UUL,或者从UA提供的UUL列表中选择的一个UUL。采用默认的UUL进行身份认证或者从UA提供的UUL列表中选择一个UUL进行身份认证这两种方式是由用户设置的。当用户设置了默认的UUL后,则直接采用默认的UUL进行身份认证;否则,UA会提供给用户一个UUL列表进行UUL选择,并对用户选择的UUL进行身份认证。这两种方式将会在后续实施例中进行详细描述。
S305、RP从所述访问请求或所述认证请求消息中获得统一用户标识UUL,然后,向用户身份提供商IDP发送包含该UUL的证书获取请求,以便根据所述UUL从IDP处获得包含公钥信息的用户证书Cert;
可选地,所述UUL可以为在所述IDP上注册的用户身份标识ID;在这种情况下,S305中具体包括:向IDP发送包含已注册的用户身份标识ID的证书获取请求,以便从所述IDP中获得与所述用户身份标识ID对应的Cert。
可选地,所述Cert采用X.509协议描述。
S306、IDP向RP返回与所述UUL对应的包含了公钥信息的用户证书Cert。
可选地,S306的具体过程也可以包括:IDP向RP返回与所述用户身份标识ID对应的包含了公钥信息的用户证书Cert。
S307、RP采用所述公钥对所述加密后的随机数进行解密,并将解密后的随机数与所述认证质询消息中的随机数进行比较,如果两者一致则认证通过,否则,认证失败。
可选地,采用所述公钥对所述加密后的随机数进行解密包括:根据所述UA选择的非对称加密算法,采用所述公钥对加密后的随机数进行解密。
S308、RP在完成认证后向UA返回访问请求的结果,完成用户认证过程。
图4为本发明实施例的分布式身份认证系统的另一种信令交互流程图。如图4所示,该分布式身份认证系统执行身份认证的过程具体包括如下步骤:
S401、UA向RP发送访问请求。
S402、RP根据所述访问请求向UA返回认证质询消息,所述认证质询消息中包含用于传统表单认证的HTML表单和随机数。
具体地,S402中认证质询消息包含用于传统表单认证的HTML表单,是为了实现对传统表单认证方法的兼容。
S403、UA获得用户的UUL,并对所述随机数进行加密。
具体地,当用户选择传统表单认证时,接收用户的表单输入,以便将所述表单输入的身份信息提供给所述RP进行认证;或者,
当用户选择所述分布式身份认证时,接收用户选择的用户身份,获得与所述用户身份对应的统一用户标识UUL以及用户私钥PK,以便将所述UUL以及加密后的随机数提供给所述RP进行认证;或者将用户默认设置的UUL提供给RP进行认证。
可选地,当用户选择所述分布式身份认证时,接收用户选择的用户身份具体包括:UA响应用户对认证快捷按键的点击操作,呈现用于认证的UUL列表;并接收用户从所述列表中选择的用户身份。
对所述随机数进行加密的具体过程包括:采用私钥PK对所述随机数进行加密,生成加密后的随机数,其中加密可以采用非对称加密算法。
S404、UA对所述认证质询消息做出响应,向所述RP发送认证请求消息,所述认证请求消息中携带所述加密后的随机数以及所述UUL。
可选地,S404具体可以包括:响应用户对所述UUL列表的选择操作,向所述RP发送包含所述用户选择UUL的认证请求消息。
S405-S406、RP根据该认证请求中包含的UUL,获得IDP服务描述信息。
具体地,本发明实施例的UUL包含所述IDP的服务描述信息的URL地址,RP根据该URL地址访问该URL对应的网页(例如个人博客),以获得IDP的服务描述信息。所述服务描述信息包括所述IDP的地址和所述用户在所述IDP上注册的用户身份标识ID。从而,RP可从所述UUL包含的服务描述信息中获得所述IDP的地址和所述用户在所述IDP上注册的用户身份标识ID。
可选地,所述服务描述信息采用XRDS文档或者HTML Link标签描述。
S407、RP根据获得的IDP地址,向IDP发送包含所述用户身份标识ID的证书获取请求。
S408、IDP向RP返回与所述用户身份标识ID对应的包含公钥的Cert。
S409、RP采用所述公钥对所述加密后的随机数进行解密,并将解密后的随机数与所述认证质询消息中的随机数进行比较,如果两者一致则认证通过,否则,认证失败。
S410、RP在完成认证后,向UA返回访问请求的结果。
进一步地,图4所示方法还可以包括如下处理过程:
UA对所述UUL身份提供口令保护或生物认证保护,这样,用户必须进行口令验证或者生物验证后才能使用特定的UUL。
UA根据所述UUL访问用户的基本信息,所述基本信息包含下列信息中的一种或多种组合:姓名、别名、头像和签名档,所述UUL可选地为用户身份标识ID,UA向IDP发送包含了所述用户身份标识ID的用户信息请求。IDP接收用户代理UA发送包含了所述用户身份标识ID的用户信息请求;并根据所述用户身份标识ID向所述UA返回用户基本信息,所述基本信息包括下列的一种或多种:姓名、别名、头像和签名档。
UA与IDP交互,注册和/或注销用户的证书Cert,向IDP发送注册和/或注销请求。IDP接收UA的注册和/或注销请求;根据所述注册和/或注销请求,注册和/或注销所述用户的Cert。
以下结合具体的例子对本发明实施例的分布式身份认证的技术方案进行详细说明。图5为本发明实施例依据图3所示认证方法的具体信令交互流程图,如图5所示,该方法包括:
S501、用户代理UA向应用网站RP提交访问请求,并携带用户标识(UUL),该请求消息格式举例如下:
GET/dir/index.html HTTP/1.1
Host:www.someRP.com(HTTP协议中RP的域名)
From:http://someuser.someIDP.com(UA的UUL)
S502、应用网站RP生成一个随机的Nonce值,然后向客户端发起一个包含该随机的Nonce值的认证质询,要求用户认证;
该认证质询消息格式举例如下:
HTTP/1.1 401 Unauthorized
Server:HTTPd/0.9
Date:Sun,10 Dec 2009 20:28:40 GMT
WWW-Authenticate:UUL realm=http://www.somerp.com/someres(realm为RFC2617的规范,一个网站上有很多保护域,一个身份只能访问规定的保护域的内容;UUL为认证方法标识),
nonce=″dcd98b7102dd2f0e8b11d0f600bfb0c093″(nonce为用户签名随机数),
uul=http://someuser.someIDP.com(UA的UUL)
Content-Type:text/html
Content-Length:311
<!DOCTYPE HTML PUBLIC″-//W3C//DTD HTML 4.01 Transitional//EN″
″http://www.w3.org/TR/1999/REC-html401-19991224/loose.dtd″>
<HTML>
<HEAD>
<TITLE>Error</TITLE>
<META HTTP-EQUIV=″Content-Type″CONTENT=″text/html;
charset=ISO-8859-1″>
</HEAD>
<BODY><H1>401 Unauthorized.</H1></BODY>
</HTML>
可选地,为了兼容现有的表单认证,在HTTP的消息体中还可以包含一个含有表单(Form Authentication)认证的认证页面的HTML文本。
S503、用户代理接收到应用网站认证质询后,用户代理UA使用用户的私钥(Private Key)利用非对称加密算法对应用网站RP传来的Nonce进行加密签名,生成Response。加密算法举例如下:
Response=RSA encrypt(PK,Nonce)
S504、用户代理UA再次向应用网站RP发起请求,并携带加密过的Nonce值给服务器。再次发送的请求消息格式举例如下:
GET/dir/index.html HTTP/1.1
Host:www.somerp.com(表示请求的RP域名)
Authorization UUL uul=″http://someuser.someIDP.com″,(UUL用于标识本发明实施例的分布式认证方法,uul=http://someuser.someIDP.com表示统一用户标识)
realm=″http://www.somerp.com/someres″,(表示用户能够访问的域)
nonce=″dcd98b7102dd2f0e8b11d0f600bfb0c093″,(表示随机数)
uri=″/dir/index.html″,(表示请求RP上的目标网页的URI)
response=″6629fae49393a05397450978507c4ef1″(表示加密过的nonce),
S505、应用网站RP在接收到到用户代理UA的请求后,通过用户标识(UUL),向IDP请求获取用户证书以及其他用户信息;该请求消息格式举例如下:
GET/HTTP/1.1
Host:someuser.someIDP.com(UA的UUL)
Referer:www.somerp.com(表示请求的源Host)
Accept:txt/html,*/*
S506、用户身份提供商IDP返回含有用户证书信息或者含有用户证书信息参考URI的内容给RP,内容格式可以是HTML文档或者XRDS文档。以返回的是用户证书信息参考URI为例:
HTTP/1.1 200OK
Server:HTTPd/0.9
Date:Sun,10Dec 2009 20:26:47 GMT
Content-Type:text/html
Content-Length:453
<!DOCTYPE HTML PUBLIC″-//W3C//DTD HTML 4.01 Transitional//EN″
″http://www.w3.org/TR/1999/REC-html401-19991224/loose.dtd″>
<HTML>
<HEAD>
<TITLE>Personal Page</TITLE>
<link rel=″uul.provider uul.server″(IDP服务的入口地址标识,表示下面href所指示的地址是IDP服务的入口地址)
href=″http://www.someidp.com/uul/server″/>
<link rel=″uul.local_id uul.delegate″
href=″http://someuser.someidp.com/″/>(IDP用户本地标识的指示器,表示下面href所指示的地址是用户在IDP上的标识,RP使用该标识在上述IDP服务的入口地址上获取用户证书)
</HEAD>
<BODY>
</BODY>
</HTML>
如果通过参考URI获得证书,则还需要利用rel描述的URI地址获取用户证书,获取的用户证书信息举例如下:
HTTP/1.1 200OK
Server:HTTPd/0.9
Date:Sun,10Dec 2009 20:27:00 GMT
Content-Type:text/x509
Content-Length:1131
Q2VydGlmaWNhdGU6DQogICBEYXRhOg0KICAgICAgIFZlcnNpb246ID
MgKDB4MikNCiAgICAgICBT
ZXJpYWwgTnVtYmVyOiAxICgweDEpDQogICAgICAgU2lnbmF0dXJlIEF
sZ29yaXRobTogbWQ1V2l0
aFJTQUVuY3J5cHRpb24NCiAgICAgICBJc3N1ZXI6IEM9WkEsIFNUPVd1
c3Rlcm4gQ2FwZSwgTD1D
YXBlIFRvd24sIE89VGhhd3RlIENvbnN1bHRpbmcgY2MsDQogICAgICAg
ICAgICAgICBPVT1DZXJ0
aWZpY2F0aW9uIFNlcnZpY2VzIERpdmlzaW9uLA0KICAgICAgICAgICA
gICAgQ049VGhhd3RlIFNl
cnZlciBDQS9lbWFpbEFkZHJlc3M9c2VydmVyLWNlcnRzQHRoYXd0ZS5j
b20NCiAgICAgICBWYWxp
ZGl0eQ0KICAgICAgICAgICBOb3QgQmVmb3JlOiBBdWcgIDEgMDA6M
DA6MDAgMTk5NiBHTVQNCiAg
ICAgICAgICAgTm90IEFmdGVyIDogRGVjIDMxIDIzOjU5OjU5IDIwMjA
gR01UDQogICAgICAgU3Vi
amVidDogQz1aQSwgU1Q9V2VzdGV(用户证书的base64编码文件)
上述返回的信息为x.509用户证书的base64编码文件,通过BASE64的解码得到用户证书信息举例如下,具体内容参见X.509 v3规范:
Subject Public Key Info:
Public Key Algorithm:rsaEncryption
RSA Public Key:(1024bit)
Modulus(1024bit):
00:d3:a4:50:6e:c8:ff:56:6b:e6:cf:5d:b6:ea:0c:
68:75:47:a2:aa:c2:da:84:25:fc:a8:f4:47:51:da:
85:b5:20:74:94:86:1e:0f:75:c9:e9:08:61:f5:06:
6d:30:6e:15:19:02:e9:52:c0:62:db:4d:99:9e:e2:
6a:0c:44:38:cd:fe:be:e3:64:09:70:c5:fe:b1:6b:
29:b6:2f:49:c8:3b:d4:27:04:25:10:97:2f:e7:90:
6d:c0:28:42:99:d7:4c:43:de:c3:f5:21:6d:54:9f:
5d:c3:58:e1:c0:e4:d9:5b:b0:b8:dc:b4:7b:df:36:
3a:c2:b5:66:22:12:d6:87:0d(用户证书的解码文件)
S507、应用网站RP获取用户代理UA请求中的加密过的Nonce值,使用非对称加密算法,利用之前获取用户的公钥信息对加密后的Nonce进行解密操作,对用户进行认证。解密算法举例如下:
Nonce=RSA decrypt(PublicKey,Response)
应用网站上保留有之前对用户代理发起质询时的Nonce状态,通过匹配(两者相等),可以确认用户身份;
S508、应用网站RP返回用户代理UA所访问的目标请求的响应,完成用户认证过程。认证成功返回请求的目标页面的HTML文本,认证失败返回认证失败的错误页面或再一次发起质询。
可选地,本发明实施例的方法还包括:用户证书的注册和注销的过程。在用户私钥丢失,或者私钥的保护口令遗忘后,用户可以向用户标识提供商IDP申请新的用户证书;在应用网站RP向用户标识提供商IDP获取该用户证书时,IDP可以向RP返回新的认证证书,旧的用户证书即被收回。RP为了保证用户的隐私以及数据安全,应该避免使用用户证书的缓存,或者减少证书缓存刷新时间。缓存证书可以减少认证时间,使用缓存的情况下,如果用户更换了证书,认证就不能通过了。
一般情况下,用户标识提供商(IDP)可以提供开放注册功能,用户可以通过开放注册功能申请用户标识。另外一种情况是不开放注册功能,如公司为员工提供身份标识服务、学校为学生和教师提供身份标识服务等。在IDP提供开放注册功能的情况下,用户可以在网上填写注册申请,提交个人信息给用户标识提供商(IDP),更为严格的情况,用户可能必须提供个人的身份证明,以便IDP可以确认用户身份。在填写并提交注册申请给IDP后,IDP可以利用部分PKI(Public Key Infrastructure)相关的技术生成用户证书以及对应的私钥,其中用户证书中包含有用户的公钥信息,如,X.509 v3格式的文档。
可选的,如果为了严格保障用户证书权威性,或者说保障用户身份信息的真实性,IDP在给用户签发用户证书时,可以使用第三方权威的授权中心(CA)的证书对用户证书进行签名,这样可以声明用户证书的权威性。当然,即便是IDP自签的用户证书,也一样能够保障用户标识的唯一性与合法性,并不存在身份伪造的可能性,因为,与PKI体系不同,用户证书是与一个统一资源标识(URI)绑定的,而PKI体系中的用户标识是包含在用户证书内的。
可选地,本发明实施例的方法还包括:采用自动认证方式对用户进行认证。自动登录认证可以认为就是SSO(Single Sign On,单点登录认证),即用户只需登录一次,就可以访问其他网站,但SSO方式有很多。本发明可以支持非用户干预的、自动的用户认证和登录方式,在用户代理UA的设置选项上,可以提供以下设置选项:
1、是否使用自动身份认证
2、选择用户身份标识,该标识用于自动登录认证。
选择用户标识并不是必要的,但是大多数情况下都需要选择用户标识,例如用户和家人公用了一台电脑,在网吧使用了公共电脑,或者用户有多个IDP的账号,这些情况都会对用户标识进行选择。
3、受信任应用网站列表
在自动认证方式下,用户代理UA接收的所有涉及本发明实施例认证方法的交互操作都在后台进行,在非用户干预的情况下进行身份认证,这样可以给用户提供更加便捷身份认证功能和体验。
在大多数情况下,有条件的自动登录认证是非常重要的,例如以下场景:
用户代理UA要求用户选择一个合适的用户身份标识(用户标识和私钥始终是绑定的,不同的标识对应不同的私钥),同时要求用户输入该标识的密码保护(如果不是一个私人的计算机,用户的身份就需要保护,密码保护就是使用密码对用户的私钥进行加密,只有输入了正确的密码,才能使用该用户的私钥进行登录认证);
用户访问应用网站【B】;
采用上述方式,用户每次访问不同的应用网站时,用户代理UA都要求用户进行认证操作,这样的用户体验是非常差的,所以,一般情况下建议,在用户代理(UA,一般为浏览器Browser)的一个窗口(主进程)不关闭的情况下,在窗口的选项卡中访问其他应用网站,如果该应用站点在受信任应用网站列表中,则采用自动认证方式,实现更具普遍意义的单点登录认证(SSO,Single Sign ON)。
可选地,本发明实施例的方法还支持非自动认证方式并实现与表单认证结合,使用户能够选择不同的认证方式。如果在用户代理的选项中设置为不使用自动登录认证,或者一般情况下,用户开始了一个新的用户代理UA(一般为浏览器Browser)窗口的情况下,使用非自动登录认证方式。
在非自动认证方式下,用户利用用户代理访问应用网站,用户代理可以接受来自应用网站的认证质询(Challenge),用户代理可以提供一种交互功能,让用户选择身份标识,并输入该标识的密码保护,然后用户代理利用该用户标识完成用户的身份认证过程。
现有技术的UA在接收到认证质询后,会呈现一个模式对话框(ModalDialog),请参阅图6,用户必须对该模式对话框(Modal Dialog)做出响应,输入或者选择必要的认证信息后,交由用户代理UA完成身份认证过程,但是由用户代理或者用户代理的宿主系统提供的模式对话框,通常是简单、单调、缺乏一些丰富的辅助功能给最终用户。而表单认证(Form Login)所能够带给用户的价值,也成为其流行的原因。表单是HTML文本,可以包含丰富的界面和功能,用户感觉更友好。
本发明实施例通过改变用户代理的交互模式,简少了用户干预的次数,可选地,为了兼容现有的表单认证方式,还将传统的表单认证和本发明实施例的基于质询的认证方式有机的结合在一起。对此,本发明实施例的方法能取得以下有益技术效果:
1、用户代理不使用模式对话框与用户交互,完成用户身份认证过程;
2、应用网站通过HTTP 401 Unauthorized返回表单认证页面,而不是HTTP200OK;这样该认证页面中就可以含有一个认证质询(Challenge);
3、用户代理在方便而且显著的位置呈现用户对该认证质询操作的快捷方式,如按钮等,用户点了这个按钮就自动认证,或者多用户的情况下,弹出选择用户身份的对话框或用户界面;
4、用户代理能够在呈现本发明实施例的认证快捷按钮的同时呈现出表单认证的用户界面。因为用户不一定拥有UUL IDP账号,在没有IDP账号的情况下,只能使用RP提供的账号进行传统的表单登录。例如,如果QQ Zone支持UUL登录,而用户没有UUL IDP提供的账号,则仍然可以使用传统QQ账号登录该用户的QQ Zone,从而为用户提供了便利,实现了对传统登录方式的兼容。
图7为含有表单的认证质询界面,图8为用户选择一个身份标识进行身份认证的界面。在图7和图8中,在点击用户地址栏的登录按钮后,就会弹出一个UUL列表供用户选择一个登录的身份UUL,用来呈现和收集用户的选择和输入的信息。用户代理可以利用用户的输入和选择的结果,获得用户标识(UUL)以及用户的私钥信息,完成本发明所述认证方法的认证过程。用户代理UA经过以上改变后,用户可以选择使用户本发明中所涉及的认证方法,也可以使用传统的表单认证方法,并且可以在表单界面中提供更友好的用户界面和更有价值的用户功能。
可选地,本发明实施例的方法还支持个性化用户标识与IDP服务发现(Discovery)。目前,多数互联网用户都有个人的博客,个人博客的地址作为一个用户的重要标识,需要能够作为可认证的用户身份标识而存在,但是,博客服务提供者并不一定能够提供用户身份的认证服务,本发明实施例的方法提供一种简单的服务发现机制,只要在个人博客的主页(用户标识URL所对应的网页)上描述IDP服务的入口地址,就可以通过该描述去发现IDP的服务。这样,即便如Wordpress这样的没有IDP服务的个人博客用户,也可以使用个人博客的主页地址作为自己的身份标识。
本发明实施例的方法可以在个人博客主页的头域(Header)中插入如下信息:
<link rel=″uul.provider uul.server″(该rel所对应的href地址就是IDP的入口地址)
href=″http://www.someidp.com/uul/server″/>
<link rel=″uul.local_id uul.delegate″(该rel所对应的href地址是UA的UUL,根据该UUL在IDP中查找用户的证书信息)
href=″http://someuser.someidp.com/″/>
这样应用网站可以通过该描述信息发现IDP所提供的身份认证服务能力。上述方法利用了YADIS的服务发现能力。YADIS可以提供XRDS basedDiscovery以及HTML based Discovery。上述例子为HTML based Discovery。
请再次参阅图4,和图5不同的是,图4增加了两个步骤S405和S406,通过这两个步骤可以从博客中获得IDP的服务信息,进而从IDP获得用户证书。
除了个人博客以外,任何一个可访问的URL都可以利用IDP的服务发现能力,成为一个可认证的用户标识。用户可以在任何可以编辑的网页上插入HTML LINK REL标签,该标签描述了用户的IDP服务URI和用户的UUL,该网页所在的地址就可以作为用户的个人标识了。
本发明实施例的方法还包括用户标识生成与私钥(Private Key)的分发过程。在IDP生成用户证书和私钥(Private Key)后,用户代理UA可以通过加密信道(SSL)下载用户私钥到本地,并通过设置密码保护或者通过Secure Driver(加密盘)等对用户私钥进行保护,也可以通过其他安全的途径分发给最终用户,这些途径包括但不限于:USP Key、Smart Card以及SIM Card。
本发明实施例中用户公钥信息或者公钥的获取途径(Discovery)的描述信息放在用户的主页上(用户标识对应的页面或者内容),应用网站RP通过访问用户标识所对应的主页获得用户的证书,便可以对用户的身份进行认证。
本发明实施例还提供一种分布式身份认证装置,该装置对应于UA22。图9为本发明实施例UA的整体功能框图。如图9所示,该装置90包括:访问请求单元901,用于向应用依赖方RP发送访问请求;认证质询接收单元902,用于接收所述RP返回的包含了随机数的认证质询消息;加密单元903,用于采用私钥PK对所述随机数进行加密,生成加密后的随机数;认证请求单元904,用于向所述RP发送认证请求消息,所述认证请求消息中携带所述加密后的随机数。
可选地,所述访问请求单元901,用于在所述访问请求的HTTP FromHeader字段中携带统一用户标识UUL,向应用依赖方RP发送包含所述UUL的访问请求。
可选地,所述认证请求单元904,用于在所述认证请求消息的HTTPAuthorization Header字段中携带所述UUL,向应用依赖方RP发送包含所述UUL的访问请求。
可选地,所述认证质询消息包括:HTTP 401 Unauthorized消息;所述认证质询消息的WWW-Authentication Header字段中包含:所述分布式身份认证方法的标识至少一个非对称加密算法参数和认证所需的随机数Nonce;所述加密单元1303,具体用于解析所述认证质询消息以得到所述分布式身份认证方法的标识,从所述加密算法参数中选择一个非对称加密算法,采用所述私钥PK对所述随机数采用选择的非对称加密算法进行加密。可选地,所述非对称加密算法包括:RSA非对称加密算法或者椭圆曲线ECC非对称加密算法。
图10为本发明实施例UA的另一种功能框图。和图13的实施例不同的是,图10的认证质询接收单元1002所接收的认证质询消息中还包含用于传统表单认证的HTML表单;并且图10的装置在图9的装置基础上新增加了界面显示单元和认证选择单元,用于兼容传统表单认证的方式。
具体地,图10的装置100包括:访问请求单元1001,用于向应用依赖方RP发送访问请求;认证质询接收单元1002,用于接收所述RP返回的认证质询消息,所述认证质询消息中包含了随机数以及用于传统表单认证的HTML表单;界面显示单元1003,用于同时提供传统表单认证和所述分布式身份认证方式供用户选择;认证选择单元1004,用于当用户选择所述传统表单认证时,接收用户的表单输入,将所述表单输入的身份信息提交所述RP进行认证;当用户选择所述分布式身份认证时,接收用户选择的用户身份,将所述UUL对应的身份信息以及加密后的随机数提供给所述RP进行认证;加密单元1005,用于采用私钥PK对所述随机数采用非对称加密算法进行加密,生成加密后的随机数;认证请求单元1006,用于对所述认证质询消息做出响应,向所述RP发送认证请求消息,所述认证请求消息中携带所述加密后的随机数;
可选地,如图10所示,该装置100还包括:设置单元1007,用于提供自动认证的设置,接收用户设置的默认UUL;所述认证请求单元1004,用于向所述RP发送携带有所述默认UUL的认证请求消息。
可选地,所述界面显示单元1003,还用于在接收到所述认证质询消息后,呈现认证快捷按键;响应用户对该快捷按键的点击操作,呈现用于认证的UUL列表;所述认证请求单元1006,用于响应用户对所述UUL列表的选择操作,向所述RP发送包含所述用户选择UUL的认证请求消息。
可选地,所述装置100还包括:身份保护单元1008,用于对所述UUL身份提供口令保护或生物认证保护。
可选地,所述装置100还包括:私钥获取单元1009,用于通过加密信道SSL从用户身份提供方IDP获取用户私钥文件,或者从包含所述私钥文件的存储介质中获取用户私钥文件,所述私钥文件中包含了私钥PK和统一用户标识UUL。
可选地,所述装置100还包括:用户信息获取单元1010,用于根据所述UUL访问用户的基本信息,所述基本信息包含下列信息中的一种或多种组合:姓名、别名、头像、签名档。
可选地,所述装置100还包括:注册注销单元1011,用于与用户身份提供方IDP交互,注册和/或注销用户的证书Cert。
本发明实施例还提供一种分布式身份认证装置,该装置对应于RP23,图11为本发明实施例该装置RP23的功能框图。如图11所示,该装置110包括:认证质询发送单元1101,用于接收用户代理UA发送的访问请求,根据所述访问请求向所述UA返回包含随机数的认证质询消息;认证请求接收单元1102,用于接收所述UA发送的认证请求消息,所述认证请求中包含所述UA采用私钥PK对所述随机数加密后的随机数;用户标识获取单元1103,用于从所述访问请求或所述认证请求消息中获得统一用户标识UUL;用户证书获取单元1104,根据所述UUL从用户身份提供商IDP处获得包含了公钥信息的用户证书Cert;认证单元1105,用于采用所述公钥对所述加密后的随机数进行解密,并将解密后的随机数与所述认证质询消息中的随机数进行比较,如果两者一致则认证通过,否则,认证失败。
可选地,本发明实施例的认证质询消息包括:HTTP 401 Unauthorized消息;在所述认证质询消息中的WWW-Authentication Header中包含非对称加密算法参数,以供所述UA选择;所述UA提交的认证请求中包含了UA选择的非对称加密算法。图12为本发明实施例认证单元1105的细化功能框图。如图12所示,认证单元1105包括:解密单元1201,用于根据所述UA选择的非对称加密算法,采用所述公钥对加密后的随机数进行解密;比较单元1202,将解密后的随机数与所述认证质询消息中的随机数进行比较,如果两者一致则认证通过,否则,认证失败。可选地,本发明实施例的加密算法为RSA非对称加密算法或者椭圆曲线ECC非对称加密算法。
可选地,所述UUL为在所述IDP上注册的用户身份标识ID;用户证书获取单元1104,用于从所述IDP中获得与所述用户身份标识ID对应的Cert。
可选地,所述UUL为包含所述IDP的服务描述信息的URL地址;所述服务描述信息包括所述IDP的地址和所述用户在所述IDP上注册的用户身份标识ID;所述用户证书获取单元1104,用于从所述UUL对应的URL地址中获得IDP的服务描述信息,所述IDP的服务描述信息包括所述IDP的地址和所述用户在所述IDP上注册的用户身份标识ID;从所述IDP中获得与所述用户身份标识ID对应的Cert。
可选地,所述服务描述信息采用XRDS文档或者HTML Link标签描述。
可选地,所述Cert采用X.509协议描述。
本发明实施例还提供一种分布式身份认证装置,该装置对应于IDP21。图13为本发明实施例IDP的功能框图。如图13所示,该装置130包括:认证信息提供单元1301,用于产生包含公钥信息的用户证书Cert和私钥文件,提供所述私钥文件的分发机制,使用户代理UA通过所述分发机制获取所述私钥文件;证书获取请求接收单元1302,用于接收应用依赖方RP的证书获取请求,所述证书获取请求中包含已注册的用户身份标识ID;证书发送单元1303,用于向所述RP返回与所述用户身份标识ID对应的包含了所述公钥信息的用户证书Cert。
可选地,所述认证信息提供单元1301,用于提供可供下载的私钥文件,使用户代理UA下载所述私钥文件并安装于本地;或者将所述私钥文件存储于USB存储设备,使用户代理UA通过插接所述USB设备获得所述私钥文件。
可选地,所述装置130还包括:用户信息请求接收单元1304,用于接收用户代理UA发送包含了所述用户身份标识ID的用户信息请求;用户信息发送单元1305,用于根据所述用户身份标识ID向所述UA返回用户基本信息,所述基本信息包括下列的一种或多种:姓名、别名、头像、签名档。
可选地,所述装置130还包括:注册注销请求接收单元1306,用于接收UA的注册和/或注销请求;注册注销单元1307,用于根据所述注册和/或注销请求,注册和/或注销所述用户的Cert。
图14为本发明实施例系统的一种实现架构图。本发明实施例可以通过浏览器插件(ActiveX、XPcom)的方式提供对用户代理UA侧的认证支持。对于应用网站RP侧,可以提供一组多平台、多语言的标准化的认证组件框架,用来支持本发明实施例所涉及的认证方法。另外在一些非安全的网络环境中,可以结合一些强认证技术,用来保护用户身份和私钥的安全,包括但不限于以下一些技术:生物认证、USB key、Smart Card已经SIM Card。
本发明实施例可以基于SIP协议实现,SIP是一个开放的,分布的呼叫控制协议,基于本发明实施例提供的UUL认证技术,可以实现SIP协议的双向用户认证,相对于HTTP Digest认证,UUL与SIM卡结合在一起,就可以实现更加安全方便的用户认证机制。
综上所述,本发明实施例提供的分布式身份认证技术方案,用户身份实现了可携带(Portability),即可以使用该身份登录到任何支持本发明认证方法的网站,使用方法更加简单、方便,丰富及改善了用户认证体验。具体地,本发明实施例提供的分布式身份认证技术具有以下特点并取得了如下有益的技术效果:
(1)本发明实施例的方法为每个用户分配一个UUL(通常为统一资源标识URI),通过该URL可以获得一个确定的用户证书;该证书与一个公钥(PublicKey)唯一对应;通过非对称加密算法,用户证书与用户私钥(Private Key)可以相互验证;采用“用户标识(URI)=>用户证书=>用户私钥(Private Key)=>用户”的方式对用户身份进行验证。
因为URI具有唯一的可访问性,如果想要篡改用户身份标识,只有如下两种比较大的可能性:
a、DNS劫持;
b、篡改用户主页(用户身份标识对应的页面或内容)。
一般情况下,以上两种情况都不会发生,所以,一个IDP自签的用户证书所验证的用户标识(URI)也是一般情况下是可信的。因此,PKI的层级结构在本发明实施例的方法中并不是一个必要的条件,这样可以大大地促进PKI的普及与发展。
(2)本发明实施例中统一用户标识UUL中所提供的用户信息、用户证书、用户标识可能提供的其他服务,既可以基于Yadis的发现机制获得,也可以采用其它的服务发现机制,如Html Based Discovery(基于Html的服务发现机制)。
(3)本发明实施例的认证方法,使用基于质询(rfc 2617)的认证协商机制,从而可以有效的解决OpenID存在的第一类缺陷,首先、由于RFC2617规定了算法协商,所以可提供认证方法及加密算法协商;其次、由于RFC2617规定了参数选项,所以可提供认证方式上的一些参数选项;最后、基于HTTP协议的扩展可以更好的规范化认证协议。另外,采用本发明实施例的非对称加密认证方法,由RP利用公钥技术对最终用户认证,可以有效的解决OpenID存在的第二类缺陷,使着分布式认证过程更简单、方便、安全。
(4)本发明实施例的用户信息和证书是分离的。在DNS不被劫持的情况下,URI也是不能篡改的。在必要的情况下,本发明实施例可以使用权威的CA对用户证书进行签名,可以防止因DNS劫持或网页被篡改造成的隐私泄露,而OpenID是不能防止这些漏洞的,因此,本发明实施例的认证方法更加安全。
(5)本发明实施例的方法可以通过全局用户标识(URI)获得用户证书,而不是把用户标识局限在用户证书内,因为URI具有全局唯一性,所以即便是IDP自签的用户证书,同样具有身份唯一性的效果,而不需要CA的层层签名和授权。
(6)本发明实施例的方法通过全局用户标识(URI)获得用户证书,使得证书的获取和分发更加容易。本发明实施例的方法可以通过用户全局标识(URI)获得用户的信息,而不是把信息附着在用户证书上,信息的附着的数量以及信息的变化频度不再是一个不可解决的问题。例如,可以同时获得证书信息和其他关于用户的附加信息(在用户已公开这些附加信息的前提下),包括但不限定于头像、姓名、年龄、电话号码等。
(7)本发明实施例的方法通过采用非对称加密算法,扩展rfc2617基于http质询(Challenge)的认证方式,通过RP与UA之间的质询--响应方式,利用用户的公钥与私钥信息,采用非对称加密算法进行认证。由于应用网站RP可以利用用户标识的URI(Universal Resource Identifier)访问一个去中心化的(Decentralized)用户身份提供方IDP上的用户信息,因此可以实现与用户身份提供方IDP无关的分布式认证功能。与IDP无关是指,无需知道关于任何IDP的任何信息,任何IDP的用户都可以登录到该应用网站。
(8)本发明实施例还优化了用户代理(一般为浏览器Browser)对http 401认证质询(Challenge)的响应方式,改变了UA(浏览器)对认证质询的交互方式,从而可同时使用传统表单登录和本发明所涉及的认证质询方式登录,不再弹出传统模式对话框。使得基于Challenge的认证方式同基于表单(Form)的认证方式可以有机的结合在一起,用户认证更加简单、方便、灵活,带来了更好的用户认证体验。
(9)本发明实施例的方法、装置与系统对网络安全以及网络分级等应用有着重要意义。在目前的互联网上充斥着各种各样的内容,有些内容对于青少年以及儿童是存在负面影响,所以网络内容分级十分重要。通过采用本发明实施例的UUL认证技术,学校或者学校托管于授信的用户身份提供商IDP,可以提供学生用户的身份证书,该证书中可以包含用户的“名字”与“出生年份”信息(参见Rfc2527),学生用户的私钥可以使用USB key或者Smart Card的形式发放,在网吧或者公共图书馆等开放上网环境中使用UUL认证方式访问网络,从而应用服务器就可以有针对性地提供相应级别的分级内容给相匹配的学生用户,有利于为青少年营造绿色、健康的网络环境。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上实施例仅用以说明本发明实施例的技术方案,而非对其限制;尽管参照前述实施例对本发明实施例进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明实施例各实施例技术方案的精神和范围。
Claims (21)
1.一种分布式身份认证方法,其特征在于,所述方法包括:
向应用依赖方RP发送访问请求;
接收所述RP返回的包含了随机数的认证质询消息;
通过加密信道SSL从用户身份提供方IDP获取用户私钥文件,或者从包含所述私钥文件的存储介质中获取用户私钥文件,所述私钥文件中包含了私钥PK和统一用户标识UUL;
采用私钥PK对所述随机数进行加密,生成加密后的随机数;
向所述RP发送认证请求消息,所述认证请求消息中携带所述加密后的随机数;
所述RP根据所述UUL从所述IDP处获得包含了公钥信息的用户证书Cert;
采用所述公钥对所述加密后的随机数进行解密,并将解密后的随机数与所述认证质询消息中的随机数进行比较,如果两者一致则认证通过。
2.根据权利要求1所述的方法,其特征在于,
在所述访问请求的HTTP From Header字段中携带统一用户标识UUL;或者,在所述认证请求消息的HTTP Authorization Header字段中携带所述UUL。
3.根据权利要求1所述的方法,其特征在于,所述认证质询消息包括:HTTP401Unauthorized消息;所述认证质询消息中的WWW-AuthenticationHeader字段中包含:所述分布式身份认证方法的标识、至少一个非对称加密算法参数和认证所需的随机数Nonce;
所述采用私钥PK对所述随机数进行加密包括:解析所述认证质询消息以得到所述分布式身份认证方法的标识,从所述加密算法参数中选择一个非对称加密算法,采用所述私钥PK对所述随机数采用选择的非对称加密算法进行加密。
4.根据权利要求3所述的方法,其特征在于,所述认证质询消息中还包含用于传统表单认证的HTML表单;所述方法还包括:
同时提供传统表单认证和所述分布式身份认证方式供用户选择;
当用户选择所述传统表单认证时,接收用户的表单输入,将所述表单输入的身份信息提交所述RP进行认证;
当用户选择所述分布式身份认证时,接收用户选择的用户身份,获得与所述用户身份对应的统一用户标识UUL以及用户私钥PK,将所述UUL以及加密后的随机数提供给所述RP进行认证。
5.根据权利要求2所述的方法,其特征在于,所述方法还包括:提供自动认证的设置,接收用户设置的默认UUL;
向所述RP发送认证请求消息包括:向所述RP发送携带有所述默认UUL的认证请求消息。
6.根据权利要求2所述的方法,其特征在于,所述方法还包括:
在接收到所述认证质询消息后,呈现认证快捷按键;
响应用户对该快捷按键的点击操作,呈现用于认证的UUL列表;
向所述RP发送认证请求消息包括:响应用户对所述UUL列表的选择操作,向所述RP发送包含所述用户选择UUL的认证请求消息。
7.一种分布式身份认证方法,其特征在于,所述方法包括:
接收用户代理UA发送的访问请求,根据所述访问请求向所述UA返回包含随机数的认证质询消息;
接收所述UA发送的认证请求消息,所述认证请求消息中包含所述UA采用私钥PK对所述随机数加密后的随机数;
从所述访问请求或所述认证请求消息中获得统一用户标识UUL;
根据所述UUL从用户身份提供商IDP处获得包含了公钥信息的用户证书Cert;
采用所述公钥对所述加密后的随机数进行解密,并将解密后的随机数与所述认证质询消息中的随机数进行比较,如果两者一致则认证通过;
其中,所述PK和所述UUL由所述UA通过加密信道SSL从用户身份提供方IDP获取,或者从包含所述私钥文件的存储介质中获取。
8.根据权利要求7所述的方法,其特征在于,所述认证质询消息包括:HTTP401Unauthorized消息;在所述认证质询消息中的WWW-AuthenticationHeader中包含非对称加密算法参数,以供所述UA选择;
UA提交的所述认证请求中包含了UA选择的非对称加密算法;根据所述UA选择的非对称加密算法,采用所述公钥对加密后的随机数进行解密。
9.根据权利要求7所述的方法,其特征在于,所述UUL为在所述IDP上注册的用户身份标识ID;
根据所述UUL从用户身份提供商IDP处获得包含了公钥信息的用户证书Cert包括:从所述IDP中获得与所述用户身份标识ID对应的Cert。
10.根据权利要求7所述的方法,其特征在于,所述UUL为包含所述IDP的服务描述信息的URL地址;所述服务描述信息包括所述IDP的地址和所述用户在所述IDP上注册的用户身份标识ID;
根据所述UUL从用户身份提供商IDP处获得包含了公钥信息的用户证书Cert还包括:
从所述UUL对应的URL地址中获得IDP的服务描述信息,所述IDP的服务描述信息包括所述IDP的地址和所述用户在所述IDP上注册的用户身份标识ID;
从所述IDP中获得与所述用户身份标识ID对应的Cert。
11.一种分布式身份认证装置,其特征在于,所述装置包括:
访问请求单元,用于向应用依赖方RP发送访问请求;
认证质询接收单元,用于接收所述RP返回的包含了随机数的认证质询消息;
私钥获取单元,用于通过加密信道SSL从用户身份提供方IDP获取用户私钥文件,或者从包含所述私钥文件的存储介质中获取用户私钥文件,所述私钥文件中包含了私钥PK和统一用户标识UUL;
加密单元,用于采用所述PK对所述随机数进行加密,生成加密后的随机数;
认证请求单元,用于向所述RP发送认证请求消息,所述认证请求消息中携带所述加密后的随机数;
用户证书获取单元,用于使所述RP根据所述UUL从用户身份提供商IDP处获得包含了公钥信息的用户证书Cert;
认证单元,用于采用所述公钥对所述加密后的随机数进行解密,并将解密后的随机数与所述认证质询消息中的随机数进行比较,如果两者一致则认证通过。
12.根据权利要求11所述的装置,其特征在于,
所述访问请求单元,用于在所述访问请求的HTTP From Header字段中携带所述UUL,向应用依赖方RP发送包含所述UUL的访问请求;或者,
所述认证请求单元,用于在所述认证请求消息的HTTP AuthorizationHeader字段中携带所述UUL,向应用依赖方RP发送包含所述UUL的访问请求。
13.根据权利要求11所述的装置,其特征在于,所述认证质询消息包括:HTTP401Unauthorized消息;所述认证质询消息中的WWW-AuthenticationHeader字段中包含:所述分布式身份认证方法的标识、至少一个非对称加密算法参数和认证所需的随机数Nonce;
所述加密单元,具体用于解析所述认证质询消息以得到所述分布式身份认证方法的标识,从所述加密算法参数中选择一个非对称加密算法,采用所述私钥PK对所述随机数采用选择的非对称加密算法进行加密。
14.根据权利要求12所述的装置,其特征在于,所述认证质询消息中还包含用于传统表单认证的HTML表单;所述装置还包括:
界面显示单元,用于同时提供传统表单认证和所述分布式身份认证方式供用户选择;
认证选择单元,用于当用户选择所述传统表单认证时,接收用户的表单输入,将所述表单输入的身份信息提交所述RP进行认证;当用户选择所述分布式身份认证时,接收用户选择的用户身份,获得与所述用户身份对应的统一用户标识UUL以及用户私钥PK,将所述UUL对应的身份信息以及加密后的随机数提供给所述RP进行认证。
15.根据权利要12所述的装置,其特征在于,所述装置还包括:
设置单元,用于提供自动认证的设置,接收用户设置的默认UUL;
所述认证请求单元,用于向所述RP发送携带有所述默认UUL的认证请求消息。
16.根据权利要求15所述的装置,其特征在于,
界面显示单元,还用于在接收到所述认证质询消息后,呈现认证快捷按键;响应用户对该快捷按键的点击操作,呈现用于认证的UUL列表;
所述认证请求单元,用于响应用户对所述UUL列表的选择操作,向所述RP发送包含所述用户选择UUL的认证请求消息。
17.一种分布式身份认证装置,其特征在于,所述装置包括:
认证质询发送单元,用于接收用户代理UA发送的访问请求,根据所述访问请求向所述UA返回包含随机数的认证质询消息;
认证请求接收单元,用于接收所述UA发送的认证请求消息,所述认证请求消息中包含所述UA采用私钥PK对所述随机数加密后的随机数;其中,所述PK和统一用户标识UUL由所述UA通过加密信道SSL从用户身份提供方IDP获取,或者从包含所述私钥文件的存储介质中获取;
用户标识获取单元,用于从所述访问请求或所述认证请求消息中获得所述UUL;
用户证书获取单元,根据所述UUL从用户身份提供商IDP处获得包含了公钥信息的用户证书Cert;
认证单元,用于采用所述公钥对所述加密后的随机数进行解密,并将解密后的随机数与所述认证质询消息中的随机数进行比较,如果两者一致则认证通过。
18.根据权利要求17所述的装置,其特征在于,所述认证质询消息包括:HTTP401Unauthorized消息;在所述认证质询消息中的WWW-AuthenticationHeader中包含非对称加密算法参数,以供所述UA选择;所述UA提交的认证请求中包含了UA选择的非对称加密算法;所述认证单元包括:
解密单元,用于根据所述UA选择的非对称加密算法,采用所述公钥对加密后的随机数进行解密。
19.根据权利要求17所述的装置,其特征在于,所述UUL为在所述IDP上注册的用户身份标识ID;
用户证书获取单元,用于从所述IDP中获得与所述用户身份标识ID对应的Cert。
20.根据权利要求17所述的装置,其特征在于,所述UUL为包含所述IDP的服务描述信息的URL地址;所述服务描述信息包括所述IDP的地址和所述用户在所述IDP上注册的用户身份标识ID;
所述用户证书获取单元,用于从所述UUL对应的URL地址中获得IDP的服务描述信息,所述IDP的服务描述信息包括所述IDP的地址和所述用户在所述IDP上注册的用户身份标识ID;从所述IDP中获得与所述用户身份标识ID对应的Cert。
21.一种分布式身份认证系统,其特征在于,所述系统包括:用户身份提供方IDP、用户代理UA,以及应用依赖方RP;
所述IDP,用于产生包含公钥信息的用户证书Cert和私钥文件,提供所述私钥文件的分发机制,使用户代理UA通过所述分发机制获取所述私钥文件;接收应用依赖方RP的证书获取请求,所述证书获取请求中包含已注册的用户身份标识ID;向所述RP返回与所述用户身份标识ID对应的包含了所述公钥信息的用户证书Cert;
所述RP,用于接收用户代理UA发送的访问请求,根据所述访问请求向所述UA返回包含随机数的认证质询消息;接收所述UA发送的认证请求消息,所述认证请求消息中包含所述UA采用私钥PK对所述随机数加密后的随机数;从所述访问请求或所述认证请求消息中获得统一用户标识UUL;根据所述UUL从用户身份提供商IDP处获得包含了公钥信息的用户证书Cert;采用所述公钥对所述加密后的随机数进行解密,并将解密后的随机数与所述认证质询消息中的随机数进行比较,如果两者一致则认证通过。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010251922.1A CN102143134B (zh) | 2010-08-05 | 2010-08-05 | 分布式身份认证方法、装置与系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010251922.1A CN102143134B (zh) | 2010-08-05 | 2010-08-05 | 分布式身份认证方法、装置与系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102143134A CN102143134A (zh) | 2011-08-03 |
CN102143134B true CN102143134B (zh) | 2014-04-30 |
Family
ID=44410362
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010251922.1A Active CN102143134B (zh) | 2010-08-05 | 2010-08-05 | 分布式身份认证方法、装置与系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102143134B (zh) |
Families Citing this family (32)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102984046B (zh) * | 2011-09-07 | 2015-12-16 | 阿里巴巴集团控股有限公司 | 一种即时通讯业务的处理方法及相应的网络设备 |
CN102624687A (zh) * | 2011-11-28 | 2012-08-01 | 苏州奇可思信息科技有限公司 | 基于移动终端的联网程序用户验证方法 |
CN103685327B (zh) * | 2012-08-30 | 2017-12-22 | 百度在线网络技术(北京)有限公司 | 代理云环境中的用户抓取外部网页的方法和装置 |
CN102984127B (zh) * | 2012-11-05 | 2015-06-03 | 武汉大学 | 一种以用户为中心的移动互联网身份管理及认证方法 |
CN103440462A (zh) * | 2013-08-28 | 2013-12-11 | 成都卫士通信息产业股份有限公司 | 一种提高安全微处理器安全保密性能的嵌入式控制方法 |
CN103491094B (zh) * | 2013-09-26 | 2016-10-05 | 成都三零瑞通移动通信有限公司 | 一种基于c/s模式的快速身份认证方法 |
CN103501229B (zh) * | 2013-09-27 | 2017-02-01 | 武钢集团昆明钢铁股份有限公司 | 一种基于供应链管理的电子商务平台安全认证系统进行安全认证的方法 |
CN104639321B (zh) * | 2013-11-12 | 2018-03-23 | 中国移动通信集团公司 | 一种身份认证方法、设备及系统 |
CN103763631B (zh) * | 2014-01-07 | 2018-06-01 | 青岛海信电器股份有限公司 | 认证方法、服务器和电视机 |
CN103746815B (zh) * | 2014-02-14 | 2017-11-03 | 浙江中控研究院有限公司 | 安全通信方法及装置 |
CN105024813B (zh) * | 2014-04-15 | 2018-06-22 | 中国银联股份有限公司 | 一种服务器、用户设备以及用户设备与服务器的交互方法 |
US10033720B2 (en) * | 2014-05-28 | 2018-07-24 | Futurewei Technologies, Inc. | Method and system for creating a certificate to authenticate a user identity |
CN105450582B (zh) * | 2014-06-24 | 2019-10-18 | 华为技术有限公司 | 业务处理方法、终端、服务器及系统 |
CN104468580B (zh) * | 2014-12-10 | 2017-08-11 | 北京众享比特科技有限公司 | 适用于分布式存储的认证方法 |
CN107852405B (zh) * | 2015-07-02 | 2021-02-02 | 康维达无线有限责任公司 | 用于服务层的内容安全性的装置 |
CN105407102B (zh) * | 2015-12-10 | 2019-05-17 | 四川长虹电器股份有限公司 | http请求数据可靠性验证方法 |
CN105701421A (zh) * | 2016-03-09 | 2016-06-22 | 成都爆米花信息技术有限公司 | 云盘数据修改方法 |
CN106210008B (zh) * | 2016-06-30 | 2019-08-02 | 北京世纪好未来教育科技有限公司 | 数据交互方法、客户端及系统 |
EP3511853B1 (en) * | 2016-09-26 | 2021-11-24 | Huawei Technologies Co., Ltd. | Security authentication method, integrated circuit and system |
CN107154932A (zh) * | 2017-04-07 | 2017-09-12 | 北京深思数盾科技股份有限公司 | 一种应用的访问控制方法及装置 |
JP6921654B2 (ja) | 2017-06-29 | 2021-08-18 | キヤノン株式会社 | 情報処理装置、方法、及びプログラム |
CN107659395B (zh) * | 2017-10-30 | 2021-09-24 | 武汉大学 | 一种多服务器环境下基于身份的分布式认证方法及系统 |
CN108566367B (zh) * | 2018-02-07 | 2020-09-25 | 海信集团有限公司 | 一种终端的认证方法和装置 |
CN109067798B (zh) * | 2018-09-28 | 2021-03-05 | 中国联合网络通信集团有限公司 | 反向互联的认证方法和装置 |
CN109657170B (zh) * | 2018-10-17 | 2023-02-10 | 平安普惠企业管理有限公司 | 网页加载方法、装置、计算机设备及存储介质 |
CN112087753B (zh) * | 2019-06-14 | 2021-12-03 | 华为技术有限公司 | 认证的方法、装置及系统 |
US11165579B2 (en) * | 2019-08-29 | 2021-11-02 | American Express Travel Related Services Company, Inc. | Decentralized data authentication |
CN111245830B (zh) * | 2020-01-10 | 2021-12-24 | 成都中科合迅科技有限公司 | 一种非对称加密的无中心化的用户认证和授权方法 |
CN114268434A (zh) * | 2021-12-28 | 2022-04-01 | 晋商博创(北京)科技有限公司 | 非对称口令认证方法、装置及存储介质 |
CN114448707A (zh) * | 2022-02-08 | 2022-05-06 | 易信(厦门)信用服务技术有限公司 | 一种基于供应链金融的数据传输方法 |
CN115085921B (zh) * | 2022-07-22 | 2023-01-20 | 北京智芯微电子科技有限公司 | 模型训练方法、节点检测方法、装置、设备及介质 |
CN115065559B (zh) * | 2022-08-15 | 2022-12-27 | 浙江毫微米科技有限公司 | 一种身份认证系统、方法、装置、电子设备及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1805341A (zh) * | 2006-01-11 | 2006-07-19 | 西安电子科技大学 | 跨安全域的网络认证和密钥分配方法 |
CN101552986A (zh) * | 2009-05-06 | 2009-10-07 | 中兴通讯股份有限公司 | 一种流媒体业务的接入认证方法及系统 |
CN101674304A (zh) * | 2009-10-15 | 2010-03-17 | 浙江师范大学 | 一种网络身份认证系统及方法 |
-
2010
- 2010-08-05 CN CN201010251922.1A patent/CN102143134B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1805341A (zh) * | 2006-01-11 | 2006-07-19 | 西安电子科技大学 | 跨安全域的网络认证和密钥分配方法 |
CN101552986A (zh) * | 2009-05-06 | 2009-10-07 | 中兴通讯股份有限公司 | 一种流媒体业务的接入认证方法及系统 |
CN101674304A (zh) * | 2009-10-15 | 2010-03-17 | 浙江师范大学 | 一种网络身份认证系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN102143134A (zh) | 2011-08-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102143134B (zh) | 分布式身份认证方法、装置与系统 | |
CN102483779B (zh) | 从id-令牌中读取属性的方法及其计算机系统 | |
US8117459B2 (en) | Personal identification information schemas | |
Chadwick | Federated identity management | |
US9172541B2 (en) | System and method for pool-based identity generation and use for service access | |
US8627437B2 (en) | Method for reading attributes from an ID token | |
Chadwick et al. | Improved identity management with verifiable credentials and fido | |
CN103139181B (zh) | 一种开放式认证的授权方法、装置和系统 | |
US20070204168A1 (en) | Identity providers in digital identity system | |
CN106789897B (zh) | 用于移动终端应用程序的数字证书验证方法及系统 | |
JP2018038068A (ja) | 通信端末および関連システムのユーザーの識別情報を確認するための方法 | |
JPWO2009050924A1 (ja) | 利用者認証システム及びその方法 | |
Laborde et al. | A user-centric identity management framework based on the W3C verifiable credentials and the FIDO universal authentication framework | |
EP2957064B1 (en) | Method of privacy-preserving proof of reliability between three communicating parties | |
WO2014042992A2 (en) | Establishing and using credentials for a common lightweight identity | |
KR20090068183A (ko) | 자기통제 강화형 디지털 아이덴터티 공유 장치 및 그 방법 | |
US10601809B2 (en) | System and method for providing a certificate by way of a browser extension | |
MX2012011105A (es) | Autoridad de certificado. | |
CN109981287A (zh) | 一种代码签名方法及其存储介质 | |
US11924211B2 (en) | Computerized device and method for authenticating a user | |
CN101547097B (zh) | 基于数字证书的数字媒体管理系统及管理方法 | |
KR20210064076A (ko) | 익명 크리덴셜 인증 시스템 및 그 방법 | |
JP2009118110A (ja) | 認証システムのメタデータプロビジョニング方法、システム、そのプログラムおよび記録媒体 | |
Yildiz et al. | A tutorial on the interoperability of self-sovereign identities | |
CN106533681B (zh) | 一种支持部分出示的属性证明方法与系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |