CN103490881B - 认证服务系统、用户认证方法、认证信息处理方法及系统 - Google Patents
认证服务系统、用户认证方法、认证信息处理方法及系统 Download PDFInfo
- Publication number
- CN103490881B CN103490881B CN201310404856.0A CN201310404856A CN103490881B CN 103490881 B CN103490881 B CN 103490881B CN 201310404856 A CN201310404856 A CN 201310404856A CN 103490881 B CN103490881 B CN 103490881B
- Authority
- CN
- China
- Prior art keywords
- user
- tissue
- certificate
- identity information
- public key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种认证服务系统、用户认证方法、认证信息处理方法及系统。所述认证服务系统包括:证书模块,用于根据组织的公钥和系统参数生成组织的公钥证书,并对所述组织的公钥证书进行管理;组织模块,用于保存组织的私钥,并根据组织内的用户的身份信息生成用户的私钥,对所述用户的身份信息进行管理;用户模块,用于根据用户的身份信息向相应的组织模块获取用户的私钥;其中,所述组织的公钥证书用于对组织进行身份认证,所述用户的身份信息用于组织内相应的用户进行身份认证。本发明的认证服务系统以及用户认证方法,无需将所有用户的密钥托管,具有较高的安全性,并且无需生成和管理所有用户的公钥证书,降低了运行管理成本。
Description
技术领域
本发明涉及数字认证服务的技术领域,特别是涉及一种认证服务系统,一种用户认证方法及其系统,以及一种用户认证信息处理方法及其系统。
背景技术
用户认证是数字世界中的一个基本服务。识别用户身份的一种方式是基于对称加密的凭据验证,譬如用户首先在远程登录系统中登记并设置一个密码,然后依据该密码完成密码学运算,来向系统证明用户持有秘密信息。然而,这种认证机制存在单点失效的风险,用户的验证完全依赖于保存机密信息的中央服务器,对该服务器的攻击可能使其拥有的所有用户受到影响。
公钥密码体制的思想,是密码学上一个重要的里程碑。公钥密码体制不仅具有加密的功能,同时还有认证的功能。在公钥体制架构下,用户Alice无论是向另一个用户Bob传送加密信息,还是在收到用户Bob发来的某个签名-消息对后验证签名,都需要使用Bob的公钥来完成。在此,很关键的一点是用户Alice必须对用户Bob的公钥进行认证,即确认他所使用的公钥的确是用户Bob的公钥。在传统的公钥体制架构下,公钥与私钥对的产生是符合一定规则的,并不是任何信息都可以用作公钥和私钥信息的,其形式是一些看起来随机的数字信息,与用户的身份没有任何联系。在使用某个用户的公钥进行加密或验证签名时,一定要确认所使用的公钥的确属于那个宣称拥有它的用户。这需要一个可信赖的第三方CA(Certificate Authority),又称证书机构,向系统中的各个用户发行公钥证书。公钥证书上CA的签名可把用户的身份和他的公钥紧密地联系起来。在这种架构下,CA机构是一个重要部门,负责用户公钥证书生命周期的每一个环节:生成、签发、存储、维护、更新、撤销等。我们把这种需要证书的密码体制称为基于证书的公钥密码体制(PKI)。如果采用公开密钥体制,中央服务器可以仅仅保存公开密钥,而不是机密信息,从而避免上述单点失效。
但是,当终端用户的个数非常多时,CA机构存储证书的数量就会变得非常多,CA系统的负载过大,会影响服务速度。
通常难以建立一个全球统一的CA机构,达到这一目标的复杂性主要在于CA机构之间通过共同协商来建立一致的证书策略,并构建一个全球统一的证书链。为了降低电子认证体系的维护成本,又提出了基于身份的密码学(IBC)的思想,其最初的动机就是为了简化传统的PKI公钥体系架构中CA对各用户证书的管理,其基本的想法就是将用户的身份与其公钥以最自然的方式捆绑在一起:用户的身份信息即为用户的公钥。在基于身份的公钥体制的架构下,当一个用户使用另一个用户的公钥时,只需知道该用户的身份信息,而无需再去获取和验证该用户的公钥证书。如果公钥不需要分发,那么支持公钥密码学所必需的大部分设施就会变得多余了。例如,如果一个用户的公钥在一些标准格式里是他的身份,如一个电子邮件地址,那么一个信息发送者仅仅需要这个用户的电子邮件地址来发给这个用户一个加密的信息,不需要其他的机制来分发公钥。在提出IBC概念的同时,提出了一个采用RSA算法的基于身份的签名算法(IBS)。
然而,基于身份的密码系统也有自身缺点:
(1)密钥托管是一个缺点。PKG(Private Key Generator,私钥生成器)可以有能力来解密任何一个用户的信息或伪造任何一个用户的签名,但遗憾的是,从基于身份的密码体制的基本前提来看,这个缺点是无法避免的。尽管有一些方法可以把托管的弊端的风险最小化,例如使用门限密码让多个实体来共同参与私钥的生成。从隐私的角度来看,托管这一观点是很不安全的。
(2)当用户多的时候,私钥的生成就会变成PKG昂贵的计算。如果当前的日期加入到客户的公钥ID里面,那么PKG每天都要为每一个客户生成一个私钥。
发明内容
为此,针对现有的认证服务系统安全性不高、运行管理成本较大的问题,本发明提出一种认证服务系统,无需将所有用户的密钥托管,具有较高的安全性,并且运行管理成本较低。
一种认证服务系统,包括:
证书模块,用于根据组织的公钥和系统参数生成组织的公钥证书,并对所述组织的公钥证书进行管理,其中,所述组织为证书机构的终端实体;
组织模块,用于保存组织的私钥,并运行私钥生成中心,根据组织内的用户的身份信息生成用户的私钥,对所述用户的身份信息进行管理;
用户模块,用于根据用户的身份信息向相应的组织模块获取用户的私钥。
本发明的认证服务系统中,证书模块只负责生成和管理各个组织的公钥证书,通过所述公钥证书可以对相应的所述组织进行身份认证,通过所述组织的公钥和私钥密码对,可以对组织的数据进行加/解密。而用户属于组织之内,用户的身份由相应的组织管理。所述用户模块使同一组织的用户之间通过用户的身份信息进行身份认证,通过用户的身份信息和私钥进行用户的数据加/解密;而不同一个组织的用户之间则通过相应组织的公钥证书以及该用户的身份信息进行身份认证,通过所述组织的公钥和私钥密码对,以及用户的身份信息和私钥进行用户的数据加/解密。因为一个组织模块只管理自己组织内的用户的身份信息和私钥,而无权处理其他组织的用户私钥,并且对于用户来说,自己所属的组织通常是可信性较高的,所以安全性较高;并且所述证书模块无需对所有用户(相当于用户)生成公钥证书,而只需要对各个组织生成并管理所述公钥证书,因为组织的数量远远少于用户的总数量,因此大大减少了证书机构的管理成本。
针对现有的用户认证方法安全性不高、运行管理成本较大的问题,本发明还提出一种用户认证方法及其系统,无需将所有用户的密钥托管,具有较高的安全性,并且运行管理成本较低。
一种用户认证方法,包括以下步骤:
获取用户的认证请求;
解析所述用户的认证请求,获取所述认证请求中的用户身份信息和用户所在组织的公钥证书,其中,所述组织为证书机构的终端实体;
根据所述用户所在组织的公钥证书以及所述用户身份信息对用户进行身份认证;
其中,所述用户的私钥由所述用户所在的组织运行私钥生成中心,根据用户的身份信息生成;所述组织的公钥证书由CA机构根据组织的公钥和系统参数生成。
一种用户认证系统,包括:
请求获取模块,获取用户的认证请求;
解析模块,用于解析所述用户的认证请求,获取所述认证请求中的用户身份信息和用户所在组织的公钥证书,其中,所述组织为证书机构的终端实体;
认证模块,用于根据所述用户所在组织的公钥证书以及所述用户身份信息对用户进行身份认证;
其中,所述用户的私钥由所述用户所在的组织运行私钥生成中心,根据用户的身份信息生成;所述组织的公钥证书由CA机构根据组织的公钥和系统参数生成。
本发明的用户认证方法及其系统中,用户的私钥由所述用户所在的组织根据用户的身份信息生成;所述组织的公钥证书由CA机构根据组织的公钥和系统参数生成,因此CA机构只负责生成和管理各个组织的公钥证书,通过所述公钥证书可以对相应的所述组织进行身份认证。而用户属于组织之内,用户的身份由相应的组织管理。使同一组织的用户之间通过用户的身份信息进行身份认证;而不同一个组织的用户之间则通过相应组织的公钥证书以及该用户的身份信息进行身份认证。因为一个组织只管理自己组织内的用户的身份信息和私钥,而无权处理其他组织的用户私钥,并且对于用户来说,自己所属的组织通常是可信性较高的,所以安全性较高;并且所述证书模块无需对所有用户(相当于用户)生成公钥证书,而只需要对各个组织生成并管理所述公钥证书,因为组织的数量远远少于用户的总数量,因此大大减少了证书机构的管理成本。
针对现有的认证服务方法安全性不高、运行管理成本较大的问题,本发明还提出一种用户认证方法及其系统,无需将所有用户的密钥托管,具有较高的安全性,并且运行管理成本较低。
一种用户认证信息处理方法,包括以下步骤:
保存组织的私钥,并将组织公钥和系统参数发送至CA机构进行认证,获取组织的公钥证书,其中,所述组织为CA机构的终端实体;
获取所述组织内的用户的身份信息,运行私钥生成中心,根据所述身份信息生成组织内用户的私钥,将所述私钥返回给相应的用户;
其中,所述组织的公钥证书用于对组织进行身份认证,所述用户的身份信息用于组织内相应的用户进行身份认证。
一种用户认证信息处理系统,包括:
组织信息处理模块,用于保存组织的私钥,并将组织公钥和系统参数发送至CA机构进行认证,获取组织的公钥证书,其中,所述组织为CA机构的终端实体;
用户信息处理模块,用于获取所述组织内的用户的身份信息,运行私钥生成中心,根据所述身份信息生成组织内用户的私钥,将所述私钥返回给相应的用户;
其中,所述组织的公钥证书用于对组织进行身份认证,所述用户的身份信息用于组织内相应的用户进行身份认证。本发明的用户认证信息处理方法及其系统,通过将组织的公钥发送至CA机构进行认证,获取组织的公钥证书,可以通过所述组织的公钥证书对相应的组织进行身份认证;获取所述组织内的用户的身份信息,根据所述身份信息生成组织内用户的私钥,将所述私钥返回给相应的用户,因此所述用户的身份信息和用户的私钥构成了用户的公钥和私钥密码对,可以通过所述用户的身份信息组织内相应的用户进行身份认证。
因为只将各个组织的公钥证书交由CA机构生成和管理,无需对所有用户(相当于用户)生成公钥证书,而组织的数量远远少于用户的总数量,因此CA机构的管理成本大大降低。而用户属于组织之内,用户的身份由相应的组织管理,同一组织的用户之间可以直接通过用户的身份信息进行身份认证,而不同一个组织的用户之间则可以通过相应组织的公钥证书以及该用户的身份信息进行身份认证。一个组织只管理自己组织内的用户的身份信息和私钥,而无权处理其他组织的用户私钥,并且对于用户来说,自己所属的组织通常是可信性较高的,所以安全性较高。
附图说明
图1是本发明认证服务系统第一实施方式的结构示意图;
图2是本发明认证服务系统执行证书请求操作的流程示意图;
图3是本发明认证服务系统执行初始私钥分发的流程示意图;
图4是本发明认证服务系统执行身份更新操作的流程示意图;
图5是本发明认证服务系统执行身份撤销操作的流程示意图;
图6是本发明认证服务系统第二实施方式的结构示意图;
图7是本发明认证服务系统执行身份鉴别操作的流程示意图;
图8是本发明认证服务系统执行身份检查操作的流程示意图;
图9是本发明的用户认证方法的步骤流程图;
图10是本发明的用户认证系统的结构流程图;
图11是本发明的用户认证信息处理方法的步骤流程图;
图12是本发明的用户认证信息处理系统的结构流程图。
具体实施方式
请参阅图1,图1是本发明认证服务系统第一实施方式的结构示意图。
所述认证服务系统,包括:
证书模块11,用于根据组织的公钥和系统参数生成组织的公钥证书,并对所述组织的公钥证书进行管理;
组织模块12,用于保存组织的私钥,并根据组织内的用户的身份信息生成用户的私钥,对所述用户的身份信息进行管理;
用户模块13,用于根据用户的身份信息向相应的组织模块获取用户的私钥。
本发明的认证服务系统中,证书模块11只负责生成和管理各个组织的公钥证书,通过所述公钥证书可以对相应的所述组织进行身份认证,通过所述组织的公钥和私钥密码对,可以对组织的数据进行加/解密。而用户属于组织之内,用户的身份由相应的组织管理。所述用户模块13使同一组织的用户之间通过用户的身份信息进行身份认证,通过用户的身份信息和私钥进行用户的数据加/解密;而不同一个组织的用户之间则通过相应组织的公钥证书以及该用户的身份信息进行身份认证,通过所述组织的公钥和私钥密码对,以及用户的身份信息和私钥进行用户的数据加/解密。因为一个组织模块12只管理自己组织内的用户的身份信息和私钥,而无权处理其他组织的用户私钥,并且对于用户来说,自己所属的组织通常是可信性较高的,所以安全性较高;并且所述证书模块无需对所有用户(相当于用户)生成公钥证书,而只需要对各个组织生成并管理所述公钥证书,因为组织的数量远远少于用户的总数量,因此大大减少了证书机构的管理成本。
一般来说,CA机构运行所述证书模块11,用户的单位或者小区等组织运行所述组织模块12,而用户自身的计算机设备中运行所述用户模块13。在CA、组织和组织成员(用户)实体之间定义了一组操作。例如,一个组织向CA发起一个证书请求,或组织成员向组织发起一个初始提取请求。
首先,CA机构运行所述证书模块11,执行一个Setup操作,用于生成供用户使用的系统参数。此时需要选择椭圆曲线参数“groupparams”,这包括选择曲线,选择曲线所在的域,选择生成元(点P)。这些参数通常以配置文件的形式部署到系统中,在多个组织之间共享。
一个组织需要运行组织模块12获取由CA签发的证书,用来实现将它持有的参数、公开密钥、实体名称之间进行绑定。然后,信任CA的任何人可以确信这些公共参数、公开密钥属于该特定组织。需要指出的是,组织对于CA而言仅仅是一个普通的终端实体。
组织充当CA的终端实体(EE)角色,并为其成员运行一个PKG(私钥生成中心(PKG),为组织内的用户生成私钥,该私钥根据用户的身份信息生成,组织中的成员同时也是应用的用户。
进一步地,所述组织的公钥证书用于对组织进行身份认证,所述用户的身份信息用于组织内相应的用户进行身份认证;和/或,
所述用户的身份信息和私钥可进一步用于对同一组织的用户数据进行加/解密;所述组织的公钥和私钥以及其用户的身份信息和私钥,可进一步用于对不同组织的用户数据进行加/解密。
例如,同一组织的用户A需要向用户B发送加密数据,则用户A只需要获取所述用户B的身份信息,利用所述身份信息对数据进行加密后发送给用户B,用户B接收加密数据之后,利用自己的私钥对所述加密数据进行解密。
而对于分别属于两个组织的用户C和用户D,用户C首先要获取用户D所属组织的公钥以及所述用户D在其组织中的身份信息,然后利用所述公钥以及身份信息对数据进行加密后发送给用户D,用户D接收所述解密数据后,利用其所属组织的私钥以及其用户私钥对数据进行解密。
在一个实施方式中,CA有一个数据仓库,用于存储组织的证书和撤销证书状态。组织(终端实体)也有一个数据仓库,用于存储组织成员的实体的撤销状态。亦即,所述证书模块11在证书撤销库中保存已撤销的公钥证书列表,所述组织模块12在身份撤销库中保存已撤销的身份信息列表。
当需要对所述组织进行身份认证时,可通过所述证书模块11查找证书撤销库中的已撤销的公钥证书列表,如果所述组织的公钥证书已经被撤销,则所述组织的身份认证失败。当需要对用户进行身份认证时,可通过所述组织模块12查找身份撤销库中保存已撤销的身份信息列表,如果所述用户的身份信息已经被撤销,则所述用户的身份认证失败。
下面详细说明本发明认证服务系统执行的几种常见的操作:
证书请求操作:
证书请求是指组织向证书模块11请求公钥证书。
在进行证书请求操作时,所述组织模块12运行初始化算法,生成系统参数、组织的公钥和私钥,并根据所述系统参数、组织的公钥生成证书请求,并将所述证书请求发送至所述证书模块11;
所述证书模块11解析所述证书请求,根据所述系统参数、组织的公钥为该组织签发公钥证书,并保存所述组织的公钥证书。
作为一个具体例子说明如下,如图2所示:
1、组织模块12运行初始化算法来生成系统参数SP、公开密钥mPK和私钥mSK。
2、组织模块12根据PKCS#10标准来生成一个证书请求。在CertificationRequestInfo值的subjectPublicKeyInfo元素包含了组织的系统参数SP和公开密钥mPK。证书请求中必须包含符合PKCS#9的extensionRequest属性,证书扩展项为证书主体别名(subjectAltName),其中包含uniformResourceIdentifier参数指明了如何找到该组织的证书库。其他字段应符合PKCS#10标准。
3、CA机构运行的证书模块11验证该证书请求,并为该组织签发一个包含指定证书扩展项的X509.V3证书,签发的证书被存储在CA证书库,供用户通过LDAP协议来访问。
初始私钥分发:
初始私钥分发是指组织模块12根据用户的首次请求,根据用户的身份信息生成用户私钥并下发的操作。
在进行初始私钥分发时,所述用户模块13根据用户的身份信息生成私钥分发请求,并将所述私钥分发请求发送至所述组织模块12;
所述组织模块12解析所述私钥分发请求,获取并保存所述用户的身份信息,并根据所述用户的身份信息生成用户的私钥,将所述用户的私钥返回给所述用户模块13。
作为一个具体例子说明如下,如图3所示:
1、一个用户在所述组织模块12注册,并获得身份验证材料,如用户名和密码。
2、所述用户模块13与所述组织模块12运行一个基于密码的密钥协商协议(如BPKAS SPEKE协议),创建一个会话密钥SK。
3、所述用户模块13构建一个私钥分发请求报文,格式如下:Label|Identity|Timestamp|MAC.
其中,“|”代表串接操作;Label设置为“Initial-Extraction”;Identity=Name|VP|SN,它包括成员名称(Name)、有效期(VP)和序列号(SN);名称由成员随意选取,有效期为申请当前日期和时间,SN设置为0表明这是首次申请私钥;Timestamp用户防止重放攻击,通常所述用户模块13和所述组织模块12之间可以通过特定手段(如NTP协议)来保持时间同步。MAC为消息验证码,利用会话密钥SK,对输入Label|Identity|Timestamp执行HMAC算法来计算得出。
私钥分发请求报文的范例:
Initial-Extraction|Alice@alice.com|current-year|0|Timestamp|MAC
4、所述组织模块12根据Label来判断该报文为私钥分发请求报文,然后验证时间戳和MAC的有效性,还通过验证Identity来确认该用户身份没有被撤销,一个组织模块12通过身份撤销库来保存被撤销的用户身份信息。在验证通过的条件下,所述组织模块12的PKG为该用户身份Identity生成对应的私钥SID。
5、所述组织模块12利用会话密钥SK,通过对称加密算法来加密私钥SID,然后将“SID密文|组织公钥证书|MAC”返回给该用户模块13,其中MAC的计算过程与前面类似。
身份更新:
身份更新是指用户在所述组织模块中的身份信息更新操作。用户必须在其私钥过期之前完成身份更新的过程。由于成员可以通过初始私钥分发请求来获取一个有效的私钥,身份更新的操作并非强制性的,但是该过程比初始申请要更为简单。
在进行身份更新时,所述用户模块13根据预定规则,生成用户的新的身份信息,并根据所述用户的当前身份信息和新的身份信息生成身份更新请求,将所述身份更新请求发送至所述组织模块12;
所述组织模块12解析所述身份更新请求,根据所述用户的当前身份信息对用户身份进行认证,并根据用户的新的身份信息生成所述新的私钥,并将所述新的私钥返回给所述用户模块13。
作为一个具体例子说明如下,如图4所示:
1、用户模块13构建一个身份更新请求报文如下:
Label|Identity|Timestamp|Challenge|Signature
其中,Label设置为“Identity-Update”;Identity为用户当前身份;Timestamp为时间戳;Challenge为用户选择一个随机数Nonce,并采用后继身份对其执行加密操作的结果;后继身份是根据一定的规则,对用户当前身份进行变换得到;譬如,该用户的当前身份为Alice@alice.com|current-year|0,则其后继身份可能为Alice@alice.com|next-year|0;Signature是用户利用私钥SID对报文中前面数据执行数字签名的结果。
2、所述组织模块12根据Label判断该报文的类型为身份更新请求报文,然后验证时间戳、身份、签名的有效性,对身份的验证是确认该用户没有被撤销。在验证通过的条件下,组织模块12的PKG模块为该成员的后继身份Name|VP+1|SN生成对应的私钥。
3、组织模块12将Challenge进行解密获得Nonce,然后加密“SID|Nonce”并返回给用户模块13。
4、用户模块13解密PKG服务器返回的结果,并检查Nonce是否一致,若一致则保存新的私钥。
身份撤销:
身份撤销是指用户的身份信息在组织模块12中记录撤销,通常发生在用户私钥被异常使用的情况下。用户一般需要一段时间才能发现其私钥被异常使用,因此身份撤销操作通常存在一定延迟。如果一个身份的有效期设置为一天,则可以认为不需要身份撤销的操作;如果一个身份的有效期设置为一年,则有必要为其提供身份撤销的机制。
在进行身份撤销时,所述用户模块13根据用户的当前身份信息构建身份撤销请求,并将所述身份撤销请求发送至所述组织模块12;
所述组织模块12解析所述身份撤销请求,根据所述用户的当前身份信息对用户身份进行认证,将所述用户的当前身份信息保存在身份撤销库中。
作为一个具体例子说明如下,如图5所示:
1、用户模块13与组织模块12运行一个基于密码的密钥协商协议(如BPKAS SPEKE协议),创建一个会话密钥SK。
2、用户模块13构建一个身份撤销请求报文如下:
Label|Flag|Identity|Timestamp|[Reason]|MAC
其中,Label设置为“Identity-Revocation”;Flag指示是否基于用户当前身份来产生一个新的私钥;Identity为用户当前身份;Timestamp为时间戳;Reason是可选参数,它声明撤销身份的原因;MAC的计算过程与前面类似。
3、组织模块12根据Label判断该报文的类型为身份撤销请求报文,验证时间戳、签名的有效性。然后,组织模块12按照“Name|VP|SN”来分解Identity,如果“Name|VP”在其身份撤销库中不存在,则将其添加到身份撤销库;如果“Name|VP”在其身份撤销库中存在,并且SN被身份撤销库中记录的序列号更大,则更新该记录,否则不执行任何操作。身份撤销库仅仅记录未过期且别吊销的用户身份信息,如果用户身份信息已过期则自动从身份撤销库中删除。
4、如果Flag标志表明一个用户希望获得新的私钥,组织模块12中的PKG模块为其新的身份“Name|VP|SN+1”产生一个私钥SID。
5、组织模块12利用会话密钥SK,通过对称加密算法来加密私钥SID,然后将“SID密文|组织公钥证书|MAC”返回给该用户模块13,其中MAC的计算过程与前面类似。
请参阅图6,图6是本发明认证服务系统第二实施方式的结构示意图。
本实施方式的认证服务系统与所述第一实施方式的认证服务系统的区别在于,进一步包括应用服务器模块14,所述应用服务器模块14用于根据用户所在的组织的公钥证书对用户所在的组织进行身份认证,根据所述用户的身份信息对用户进行身份认证,并根据上述身份认证结果,对用户开放应用服务的相应权限。
所述应用服务器模块14运行在应用服务器中,所述应用服务器包括各种提供应用服务的服务器,用户可登录应用服务器获取相应的应用服务。一个组织的成员用户可能是某个应用的用户。如果应用要存储所有用户的敏感信息(如口令,或其摘要值),则系统不具备可扩展性。但是,如果应用服务器仅仅保存用户的公开信息,通过利用廉价的存储设备及数据库技术,则可以支持大量用户。通过在应用服务器设置高速缓存,可以加快身份鉴别的过程。应用服务器的高速缓存存储一定时间周期内的组织公钥证书或它们的指纹和已通过验证的用户身份信息。
当所述应用服务器模块14接收到用户认证请求时,根据用户所在的组织的公钥证书对用户所在的组织进行身份认证,根据所述用户的身份信息对用户进行身份认证,如果认证通过,则对所述用户开放相应的应用服务权限,否则认证失败,则不对所述用户开放相应的应用服务权限,或只开放访客的权限。
下面讲述本发明的认证服务系统在结合所述认证服务器之后完成的一些常用的操作:
身份鉴别操作:
身份鉴别是指用户向应用服务器请求某种应用服务时,应用服务器对用户身份进行鉴别的操作。在进行身份鉴别时,所述应用服务器模块14接收用户的身份认证请求,其中,所述身份认证请求中包含用户所在的组织的公钥证书以及用户的身份信息;
所述应用服务器模块14查找服务器缓存中是否存有相同组织的公钥证书,如果有,则根据所述公钥证书对所述组织进行身份认证;否则,向所述证书模块11发送证书验证请求,并接收所述证书模块11返回的证书验证结果,如果验证通过,则根据所述公钥证书对所述组织进行身份认证,并将所述组织的公钥证书保存在服务器缓存中。
所述应用服务器模块14查找服务器缓存中是否存有相同用户的身份信息,如果有,则根据所述用户的身份信息对所述用户进行身份认证;否则,向所述组织模块12发送用户身份验证请求,并接收所述组织模块12返回的用户身份验证结果,如果验证通过,则根据所述用户的身份信息对所述用户进行身份认证,并将所述用户的身份信息保存在服务器缓存中。
所述应用服务器可以定时从所述证书模块的证书撤销库中下载已撤销的公钥证书列表,以及从所述组织模块的身份撤销库中下载已撤销的身份信息列表;
当所述身份认证请求中包含的组织的公钥证书记载于所述已撤销的公钥证书列表时,或者所述身份认证请求中包含的用户的身份信息记载于所述已撤销的身份信息列表时,直接结束所述组织的身份认证,该用户的身份认证失败。
作为一个具体例子说明,如图7所示:
1、用户模块13构建身份鉴别请求报文如下:
Identity|AppName|Timestamp|Signature|Certificate
其中,Identity为用户身份;AppName为应用名称,用于指定消息的目标;Timestamp为时间戳,用于保证报文的新鲜性;Signature是用户私钥对其Identity的签名;Certificate为用户所在组织的公钥证书。
2、应用服务器模块14验证AppName、Timestamp和Signature的有效性,然后将Identity和Certificate在高速缓存中进行匹配,如果相关信息有效并且在缓冲中匹配成功,则为该用户提供服务。如果用户身份无效,则拒绝为该用户提供服务。在其他情况下,服务器仅仅为该用户提供访客服务,直到证书验证及/或身份验证操作成功,才为其提供所有授权服务。
3、如果由用户提供的证书在应用服务器的高速缓存中不存在,应用服务器模块14对该证书执行证书验证操作。验证过程可能包括获取CA的公钥、验证证书签名是否有效、检查证书撤销状态、证书链验证等。验证成功后,应用服务器模块14将该证书及其证书指纹在应用服务器本地缓存中保存指定的周期。应用服务器模块14还需要定期地从CA下载证书吊销列表(CRL),或者通过OCSP协议来验证证书是否被撤销。
4、如果一个由用户提供的身份在应用服务器的高速缓存中不存在,服务器通过执行“身份检查操作”来验证该用户的身份是否已经被撤销。
身份检查操作:
身份检查操作来验证该用户的身份是否已经被撤销。该操作包括以下步骤,如图8所示:
1、应用服务器模块14构建一个身份检查请求报文如下:Label|Identity|Nonce
其中,Label设置为“Identity-Check”;Identity为待检查的身份;Nonce是随机数,以防止重放攻击。然后,应用服务器模块14将该报文发送到证书中subjectAltName指明的位置(身份撤销库的地址)。
2、组织模块12根据Label判断该报文的类型为身份检查请求报文,然后在存储库中查找Identity代表的身份,并构建身份检查响应报文如下:
Label|Identity|Nonce|Status|Signature
其中,Label设置为“Identity-Check-Response”;Identity和Nonce与身份检查请求报文一致;Status为Identity被撤销的状态;Signature是组织利用私钥对临时身份Label|Idneity|Nonce进行签名的结果。换言之,组织模块12的PKG为临时身份Label|Idneity|Nonce发放一个私钥,并使用该私钥对消息Label|Idneity|Nonce进行签名。
3、应用服务器模块14解析身份检查响应报文,然后将Idneity|Nonce与已发出的身份检查请求进行匹配,如果找到与之匹配的请求,应用服务器模块14根据组织公钥证书中的系统参数、临时身份Label|Idneity|Nonce来验证报文中的签名字段。若签名验证成功,用户的身份及其撤销状态被应用服务器模块存储在应用服务器本地高速缓存中,并为其设置一个有效期。
下面通过一个具体的应用场景说明本发明的认证服务系统的运作方法,该应用场景为安全电子邮件:
对于多个信任同一个CA的单位,每个单位内部都运行自己的组织模块12,同时获得了来自于该CA的数字证书,CA运行证书模块11,各个用户运行用户模块13。
1、单位甲的用户Alice给单位乙的用户Bob发送一封加密邮件的场景:
i)如果Alice没有单位乙的公钥数字证书,从则CA处(或者单位乙的网站)获取该数字证书;
ii)使用单位乙数字证书中的公钥信息和系统参数信息构造Bob的用户名(其中序列号部分默认为0,也可以通过Bob的公开信息获得),然后加密给Bob的邮件;
iii)如果Bob没有从本单位获得私钥,需要与单位的PKG联系并且获得私钥;
iv)Bob使用获得的私钥解密邮件。
2、单位甲的Alice给单位乙的Bob发送只签名的电子邮件的场景如下:
i)如果Alice没有签名私钥,需要从本单位的PKG处获取;
ii)Alice使用某种基于身份的签名算法签署邮件,并附在邮件末尾,Alice把自己的用户名也明确放在邮件中;
iii)如果Bob没有单位甲的证书,则从CA处(或者单位甲的网站)获取数字证书;
iv)Bob使用数字证书中单位甲的主公钥和系统参数信息以及邮件中指明的Alice的用户名,验证数字签名,验证时根据需要执行身份检查操作。
在能够完成加解密和数字签名生成和验证的前提下,可以执行任意以数字签名或者加密为底层技术的认证协议,来获得认证功能。
本发明提供了一种认证服务系统,能够有效实现IBC身份撤销,组织模块12通过维护一个身份撤销库,其中保存了在有效期内被撤销的实体,同时在组织公钥证书中通过扩展项来指向该服务器,从而使得应用服务器可以通过查询来获得用户身份信息是否被撤销的状态。
这种认证服务系统还具有以下的优势:
在本发明认证服务系统中所存储的证书是一个域(组织)的PKG的参数,所有隶属于该域的用户的信息都不用存储。CA机构不需要执行任何额外的操作,由于CA仅需为组织提供服务数字证书服务,可以预期组织的个数将大大少于终端用户的个数,所以CA机构的建设可以按照中等数量的证书管理需求来考虑其建设方案。这样的设计理念减小了CA系统存储证书的数量,从而能够减小CA的负载,提高服务速度,提升用户的体验。
指明了系统需要的角色及其相互可能发生交互,实现者可能使用任意类型的密码学算法。例如,CA可以具有分层结构;PKG服务器也可以支持分层的基于身份的密码。身份鉴别的流程也是可扩展的,只要满足向应用服务器证明用户身份由组织完成了检查的目标。应用服务器对资源的授权模型也是非常灵活的,可以面向组织来授权,也可能面向用户及其属性来授权。
每个域可以渐进的部署自己域的PKG。也就是说新的使用混合CA系统的单位和原来的使用CA证书的单位可以共存,并且使用证书的单位如果愿意的话,还可以更新为使用混合CA系统。
域内两个用户通信时,如果通信用户知道本域的系统参数(通常是成立的),那么可以直接使用基于身份的密码体制来完成签名、加密、认证等常见服务。
域内用户的配置可以更加自动化。例如当一个域内用户收到一封用其用户名加密的邮件之后,该用户会主动的要求得到其在域内的私钥,而私钥在经过初始配置之后可以自动的通过安全信道传输。
本发明还提供一种用户认证方法及其系统。
请参阅图9,图9是本发明的用户认证方法的步骤流程图。
所述用户认证方法包括以下步骤:
S101,获取用户的认证请求;
S102,解析所述用户的认证请求,获取所述认证请求中的用户身份信息和用户所在组织的公钥证书;
S103,根据所述用户所在组织的公钥证书以及所述用户身份信息对用户进行身份认证;
其中,所述用户的私钥由所述用户所在的组织根据用户的身份信息生成;所述组织的公钥证书由CA机构根据组织的公钥和系统参数生成。
根据本发明的用户认证方法,用户的私钥由所述用户所在的组织根据用户的身份信息生成;所述组织的公钥证书由CA机构根据组织的公钥和系统参数生成,因此CA机构只负责生成和管理各个组织的公钥证书,通过所述公钥证书可以对相应的所述组织进行身份认证。而用户属于组织之内,用户的身份由相应的组织管理。使同一组织的用户之间通过用户的身份信息进行身份认证;而不同一个组织的用户之间则通过相应组织的公钥证书以及该用户的身份信息进行身份认证。因为一个组织只管理自己组织内的用户的身份信息和私钥,而无权处理其他组织的用户私钥,并且对于用户来说,自己所属的组织通常是可信性较高的,所以安全性较高;并且所述证书模块无需对所有用户(相当于用户)生成公钥证书,而只需要对各个组织生成并管理所述公钥证书,因为组织的数量远远少于用户的总数量,因此大大减少了证书机构的管理成本。
所述认证方法可以由上述应用服务器执行,当用户向应用服务器发出认证请后,服务器接收用户的认证请求,根据所述认证请求中的用户所在组织的公钥证书和用户身份信息对用户进行身份认证。
所述应用服务器模块查找服务器缓存中是否存有相同组织的公钥证书,如果有,则根据所述公钥证书对所述组织进行身份认证;否则,向所述CA机构发送证书验证请求,并接收所述CA机构返回的证书验证结果,如果验证通过,则根据所述公钥证书对所述组织进行身份认证,并将所述组织的公钥证书保存在服务器缓存中;
所述应用服务器模块查找服务器缓存中是否存有相同用户的身份信息,如果有,则根据所述用户的身份信息对所述用户进行身份认证;否则,向所述组织发送用户身份验证请求,并接收所述组织返回的用户身份验证结果,如果验证通过,则根据所述用户的身份信息对所述用户进行身份认证,并将所述用户的身份信息保存在服务器缓存中。
或者,也可以是用户端执行,用户端执行时,同样可先查找本地缓存中是否存有相同组织的公钥证书和所述用户的身份信息,并在认证通过后将所述用户的身份信息保存在本地缓存中。
所述认证请求可以以报文的形式发送,应用服务器或者用户端在接收到相应的报文之后,解析所述报文获得用户身份信息和用户所在组织的公钥证书。
进一步地,所述的用户认证方法,还可以包括以下步骤:
根据用户的身份信息和私钥,对同一组织的用户数据进行加/解密;根据所述组织的公钥和私钥,以及对应的用户的身份信息和私钥,对不同组织的用户数据进行加/解密。
例如,同一组织的用户A需要向用户B发送加密数据,则用户A只需要获取所述用户B的身份信息,利用所述身份信息对数据进行加密后发送给用户B,用户B接收加密数据之后,利用自己的私钥对所述加密数据进行解密。
而对于分别属于两个组织的用户C和用户D,用户C首先要获取用户D所属组织的公钥以及所述用户D在其组织中的身份信息,然后利用所述公钥以及身份信息对数据进行加密后发送给用户D,用户D接收所述解密数据后,利用其所属组织的私钥以及其用户私钥对数据进行解密。
在对不同组织的用户数据进行加/解密时,加密的步骤包括:
获取用户的身份信息以及所述用户所在的组织的公钥证书;根据所述用户所在的组织的公钥以及用户的身份信息对数据进行加密;将加密数据发送至所述用户;
解密的步骤包括:
接收加密数据;根据所述组织的私钥以及对应的用户的私钥对加密数据进行解密。
请参阅图10,图10是本发明用户认证系统的结构示意图。
所述用户认证系统包括:
请求获取模块21,获取用户的认证请求;
解析模块22,用于解析所述用户的认证请求,获取所述认证请求中的用户身份信息和用户所在组织的公钥证书;
认证模块23,用于根据所述用户所在组织的公钥证书以及所述用户身份信息对用户进行身份认证;
其中,所述用户的私钥由所述用户所在的组织根据用户的身份信息生成;所述组织的公钥证书由CA机构根据组织的公钥和系统参数生成。
在一个实施方式中,所述认证模块23包括:
组织身份认证模块,用于查找缓存中是否存有相同组织的公钥证书,如果有,则根据所述公钥证书对所述组织进行身份认证;否则,向CA机构发送证书验证请求,并接收所述CA机构返回的证书验证结果,如果验证通过,则根据所述公钥证书对所述组织进行身份认证,并将所述组织的公钥证书保存在缓存中;
用户身份认证模块,用于查找缓存中是否存有相同用户的身份信息,如果有,则根据所述用户的身份信息对所述用户进行身份认证;否则,向所述组织发送用户身份验证请求,并接收所述组织返回的用户身份验证结果,如果验证通过,则根据所述用户的身份信息对所述用户进行身份认证,并将所述用户的身份信息保存在缓存中。
进一步地,所述的用户认证系统还可包括:加/解密模块。
所述加/解密模块用于根据用户的身份信息和私钥,对同一组织的用户数据进行加/解密;根据所述组织的公钥和私钥,以及对应的用户的身份信息和私钥,对不同组织的用户数据进行加/解密。
在一种实施方式中,所述加/解密模块包括:
加密模块,用于获取用户的身份信息以及所述用户所在的组织的公钥证书,根据所述用户所在的组织的公钥以及用户的身份信息对数据进行加密,将加密数据发送至所述用户;
解密模块,用于接收加密数据,根据所述组织的私钥以及对应的用户的私钥对加密数据进行解密。
本发明还提供一种用户认证信息处理方法及其系统。
请参阅图11,图11是本发明用户认证信息处理方法的流程示意图。
所述用户认证信息处理方法,包括以下步骤:
S201,保存组织的私钥,并将组织公钥和系统参数发送至CA机构进行认证,获取组织的公钥证书;
S202,获取所述组织内的用户的身份信息,根据所述身份信息生成组织内用户的私钥,将所述私钥返回给相应的用户;
其中,所述组织的公钥证书用于对组织进行身份认证,所述用户的身份信息用于组织内相应的用户进行身份认证。
上述用户认证信息处理方法适用于组织服务器,组织可通过建立组织服务器进行组织公钥、私钥和系统参数的生成,请求CA机构进行认证签发公钥证书;同时建立PKG服务器,获取用户身份信息,并根据身份信息生成用户私钥,对用户身份信息进行管理。
通过将组织的公钥发送至CA机构进行认证,获取组织的公钥证书,可以通过所述组织的公钥证书对相应的组织进行身份认证;获取所述组织内的用户的身份信息,根据所述身份信息生成组织内用户的私钥,将所述私钥返回给相应的用户,因此所述用户的身份信息和用户的私钥构成了用户的公钥和私钥密码对,可以通过所述用户的身份信息组织内相应的用户进行身份认证。
因为只将各个组织的公钥证书交由CA机构生成和管理,无需对所有用户(相当于用户)生成公钥证书,而组织的数量远远少于用户的总数量,因此CA机构的管理成本大大降低。而用户属于组织之内,用户的身份由相应的组织管理,同一组织的用户之间可以直接通过用户的身份信息进行身份认证,而不同一个组织的用户之间则可以通过相应组织的公钥证书以及该用户的身份信息进行身份认证。一个组织只管理自己组织内的用户的身份信息和私钥,而无权处理其他组织的用户私钥,并且对于用户来说,自己所属的组织通常是可信性较高的,所以安全性较高。
步骤S201中,可以通过以下方式保存组织的私钥,并将组织公钥和系统参数发送至CA机构进行认证:
运行初始化算法,生成系统参数、组织的公钥和私钥;
并根据所述系统参数、组织的公钥生成证书请求,并将所述证书请求发送至所述CA机构以签发公钥证书。
而在步骤S202中,可以通过以下方式获取所述组织内的用户的身份信息,根据所述身份信息生成组织内用户的私钥:
接收用户发送的私钥分发请求;
解析所述私钥分发请求,获取并保存所述用户的身份信息,并根据所述用户的身份信息生成用户的私钥,将所述用户的私钥返回给所述用户。
进一步地,所述用户认证信息处理方法还可以包括以下步骤:
在身份撤销库中保存已撤销的身份信息列表。
所述已撤销的身份信息列表可以下载到应用服务器,则应用服务器在接收到用户认证请求时,首先将用户的身份信息与所述已撤销的身份信息列表对比,如果用户的身份信息已撤销,则用户认证不成功,应用服务器对用户只开放访客的权限。
请参阅图12,图12是本发明的用户认证信息处理系统的结构示意图。
所述用户认证信息处理系统包括:
组织信息处理模块31,用于保存组织的私钥,并将组织公钥和系统参数发送至CA机构进行认证,获取组织的公钥证书;
用户信息处理模块32,用于获取所述组织内的用户的身份信息,根据所述身份信息生成组织内用户的私钥,将所述私钥返回给相应的用户;
其中,所述组织的公钥证书用于对组织进行身份认证,所述用户的身份信息用于组织内相应的用户进行身份认证。
在一个实施方式中,所述组织信息处理模块31用于运行初始化算法,生成系统参数、组织的公钥和私钥,并根据所述系统参数、组织的公钥生成证书请求,并将所述证书请求发送至所述CA机构以签发公钥证书。
所述用户信息处理模块32用于接收用户发送的私钥分发请求,解析所述私钥分发请求,获取并保存所述用户的身份信息,并根据所述用户的身份信息生成用户的私钥,将所述用户的私钥返回给所述用户。
进一步地,所述用户认证信息处理系统还可以包括身份撤销库模块,用于在身份撤销库中保存已撤销的身份信息列表。本领域普通技术人员可以理解实现上述实施方式中的全部或部分流程以及对应的系统,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各实施方式的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (25)
1.一种认证服务系统,其特征在于,包括:
证书模块,用于根据组织的公钥和系统参数生成组织的公钥证书,并对所述组织的公钥证书进行管理,其中,所述组织为证书机构的终端实体;
组织模块,用于保存组织的私钥,并运行私钥生成中心,根据组织内的用户的身份信息生成用户的私钥,对所述用户的身份信息进行管理;
用户模块,用于根据用户的身份信息向相应的组织模块获取用户的私钥。
2.如权利要求1所述的认证服务系统,其特征在于,
所述组织的公钥证书用于对组织进行身份认证,所述用户的身份信息用于组织内相应的用户进行身份认证;
和/或,
所述用户的身份信息和私钥用于对同一组织的用户数据进行加/解密;所述组织的公钥和私钥以及其用户的身份信息和私钥,用于对不同组织的用户数据进行加/解密。
3.如权利要求1所述的认证服务系统,其特征在于,所述证书模块在证书撤销库中保存已撤销的公钥证书列表,所述组织模块在身份撤销库中保存已撤销的身份信息列表。
4.如权利要求1所述的认证服务系统,其特征在于:
所述组织模块运行初始化算法,生成系统参数、组织的公钥和私钥,并根据所述系统参数、组织的公钥生成证书请求,并将所述证书请求发送至所述证书模块;
所述证书模块解析所述证书请求,根据所述系统参数、组织的公钥为该组织签发公钥证书,并保存所述组织的公钥证书。
5.如权利要求1所述的认证服务系统,其特征在于:
所述用户模块根据用户的身份信息生成私钥分发请求,并将所述私钥分发请求发送至所述组织模块;
所述组织模块解析所述私钥分发请求,获取并保存所述用户的身份信息,并根据所述用户的身份信息生成用户的私钥,将所述用户的私钥返回给所述用户模块。
6.如权利要求1所述的认证服务系统,其特征在于:
所述用户模块根据预定规则,生成用户的新的身份信息,并根据所述用户的当前身份信息和新的身份信息生成身份更新请求,将所述身份更新请求发送至所述组织模块;
所述组织模块解析所述身份更新请求,根据所述用户的当前身份信息对用户身份进行认证,并根据用户的新的身份信息生成所述新的私钥,并将所述新的私钥返回给所述用户模块。
7.如权利要求3所述的认证服务系统,其特征在于:
所述用户模块根据用户的当前身份信息构建身份撤销请求,并将所述身份撤销请求发送至所述组织模块;
所述组织模块解析所述身份撤销请求,根据所述用户的当前身份信息对用户身份进行认证,将所述用户的当前身份信息保存在身份撤销库中。
8.如权利要求1至7任意一项所述的认证服务系统,其特征在于,进一步包括应用服务器模块,所述应用服务器模块用于根据用户所在的组织的公钥证书以及所述用户的身份信息对用户进行身份认证,并根据上述身份认证结果,对用户开放应用服务的相应权限。
9.如权利要求8所述的认证服务系统,其特征在于:所述应用服务器模块接收用户的身份认证请求,其中,所述身份认证请求中包含用户所在的组织的公钥证书以及用户的身份信息;
所述应用服务器模块查找服务器缓存中是否存有相同组织的公钥证书,如果有,则根据所述公钥证书对所述组织进行身份认证;否则,向所述证书模块发送证书验证请求,并接收所述证书模块返回的证书验证结果,如果验证通过,则根据所述公钥证书对所述组织进行身份认证,并将所述组织的公钥证书保存在服务器缓存中;
所述应用服务器模块查找服务器缓存中是否存有相同用户的身份信息,如果有,则根据所述用户的身份信息对所述用户进行身份认证;否则,向所述组织模块发送用户身份验证请求,并接收所述组织模块返回的用户身份验证结果,如果验证通过,则根据所述用户的身份信息对所述用户进行身份认证,并将所述用户的身份信息保存在服务器缓存中。
10.一种用户认证方法,其特征在于,包括以下步骤:
获取用户的认证请求;
解析所述用户的认证请求,获取所述认证请求中的用户身份信息和用户所在组织的公钥证书,其中,所述组织为证书机构的终端实体;
根据所述用户所在组织的公钥证书以及所述用户身份信息对用户进行身份认证;
其中,所述用户的私钥由所述用户所在的组织运行私钥生成中心,根据用户的身份信息生成;所述组织的公钥证书由CA机构根据组织的公钥和系统参数生成。
11.如权利要求10所述的用户认证方法,其特征在于,进一步包括:
根据用户的身份信息和私钥,对同一组织的用户数据进行加/解密;根据所述组织的公钥和私钥,以及对应的用户的身份信息和私钥,对不同组织的用户数据进行加/解密。
12.如权利要求11所述的用户认证方法,其特征在于,对不同组织的用户数据进行加/解密的步骤的步骤中,
加密的步骤包括:
获取用户的身份信息以及所述用户所在的组织的公钥证书;根据所述用户所在的组织的公钥以及用户的身份信息对数据进行加密;将加密数据发送至所述用户;
解密的步骤包括:
接收加密数据;根据所述组织的私钥以及对应的用户的私钥对加密数据进行解密。
13.如权利要求10至12任意一项所述的用户认证方法,其特征在于,根据所述用户所在组织的公钥证书以及所述用户身份信息对用户进行身份认证的步骤包括:
查找缓存中是否存有相同组织的公钥证书,如果有,则根据所述公钥证书对所述组织进行身份认证;否则,向CA机构发送证书验证请求,并接收所述CA机构返回的证书验证结果,如果验证通过,则根据所述公钥证书对所述组织进行身份认证,并将所述组织的公钥证书保存在缓存中;
查找缓存中是否存有相同用户的身份信息,如果有,则根据所述用户的身份信息对所述用户进行身份认证;否则,向所述组织发送用户身份验证请求,并接收所述组织返回的用户身份验证结果,如果验证通过,则根据所述用户的身份信息对所述用户进行身份认证,并将所述用户的身份信息保存在缓存中。
14.一种用户认证系统,其特征在于,包括:
请求获取模块,获取用户的认证请求;
解析模块,用于解析所述用户的认证请求,获取所述认证请求中的用户身份信息和用户所在组织的公钥证书,其中,所述组织为证书机构的终端实体;
认证模块,用于根据所述用户所在组织的公钥证书以及所述用户身份信息对用户进行身份认证;
其中,所述用户的私钥由所述用户所在的组织运行私钥生成中心,根据用户的身份信息生成;所述组织的公钥证书由CA机构根据组织的公钥和系统参数生成。
15.如权利要求14所述的用户认证系统,其特征在于,进一步包括:
加/解密模块,用于根据用户的身份信息和私钥,对同一组织的用户数据进行加/解密;根据所述组织的公钥和私钥,以及对应的用户的身份信息和私钥,对不同组织的用户数据进行加/解密。
16.如权利要求15所述的用户认证系统,其特征在于,所述加/解密模块包括:
加密模块,用于获取用户的身份信息以及所述用户所在的组织的公钥证书,根据所述用户所在的组织的公钥以及用户的身份信息对数据进行加密,将加密数据发送至所述用户;
解密模块,用于接收加密数据,根据所述组织的私钥以及对应的用户的私钥对加密数据进行解密。
17.如权利要求14至16任意一项所述的用户认证系统,其特征在于,所述认证模块包括:
组织身份认证模块,用于查找缓存中是否存有相同组织的公钥证书,如果有,则根据所述公钥证书对所述组织进行身份认证;否则,向CA机构发送证书验证请求,并接收所述CA机构返回的证书验证结果,如果验证通过,则根据所述公钥证书对所述组织进行身份认证,并将所述组织的公钥证书保存在缓存中;
用户身份认证模块,用于查找缓存中是否存有相同用户的身份信息,如果有,则根据所述用户的身份信息对所述用户进行身份认证;否则,向所述组织发送用户身份验证请求,并接收所述组织返回的用户身份验证结果,如果验证通过,则根据所述用户的身份信息对所述用户进行身份认证,并将所述用户的身份信息保存在缓存中。
18.一种用户认证信息处理方法,其特征在于,包括以下步骤:
保存组织的私钥,并将组织公钥和系统参数发送至CA机构进行认证,获取组织的公钥证书,其中,所述组织为CA机构的终端实体;
获取所述组织内的用户的身份信息,运行私钥生成中心,根据所述身份信息生成组织内用户的私钥,将所述私钥返回给相应的用户;
其中,所述组织的公钥证书用于对组织进行身份认证,所述用户的身份信息用于组织内相应的用户进行身份认证。
19.如权利要求18所述的用户认证信息处理方法,其特征在于,保存组织的私钥,并将组织公钥和系统参数发送至CA机构进行认证的步骤包括:
运行初始化算法,生成系统参数、组织的公钥和私钥;
并根据所述系统参数、组织的公钥生成证书请求,并将所述证书请求发送至所述CA机构以签发公钥证书。
20.如权利要求18或者19所述的用户认证信息处理方法,其特征在于,获取所述组织内的用户的身份信息,根据所述身份信息生成组织内用户的私钥,将所述私钥返回给相应的用户的步骤包括:
接收用户发送的私钥分发请求;
解析所述私钥分发请求,获取并保存所述用户的身份信息,并根据所述用户的身份信息生成用户的私钥,将所述用户的私钥返回给所述用户。
21.如权利要求18所述的用户认证信息处理方法,其特征在于,进一步包括以下步骤:
在身份撤销库中保存已撤销的身份信息列表。
22.一种用户认证信息处理系统,其特征在于,包括:
组织信息处理模块,用于保存组织的私钥,并将组织公钥和系统参数发送至CA机构进行认证,获取组织的公钥证书,其中,所述组织为CA机构的终端实体;
用户信息处理模块,用于获取所述组织内的用户的身份信息,运行私钥生成中心,根据所述身份信息生成组织内用户的私钥,将所述私钥返回给相应的用户;
其中,所述组织的公钥证书用于对组织进行身份认证,所述用户的身份信息用于组织内相应的用户进行身份认证。
23.如权利要求22所述的用户认证信息处理系统,其特征在于,所述组织信息处理模块用于运行初始化算法,生成系统参数、组织的公钥和私钥,并根据所述系统参数、组织的公钥生成证书请求,并将所述证书请求发送至所述CA机构以签发公钥证书。
24.如权利要求22或者23所述的用户认证信息处理系统,其特征在于,所述用户信息处理模块用于接收用户发送的私钥分发请求,解析所述私钥分发请求,获取并保存所述用户的身份信息,并根据所述用户的身份信息生成用户的私钥,将所述用户的私钥返回给所述用户。
25.如权利要求22所述的用户认证信息处理系统,其特征在于,进一步包括身份撤销库模块,用于在身份撤销库中保存已撤销的身份信息列表。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310404856.0A CN103490881B (zh) | 2013-09-06 | 2013-09-06 | 认证服务系统、用户认证方法、认证信息处理方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310404856.0A CN103490881B (zh) | 2013-09-06 | 2013-09-06 | 认证服务系统、用户认证方法、认证信息处理方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103490881A CN103490881A (zh) | 2014-01-01 |
| CN103490881B true CN103490881B (zh) | 2017-01-25 |
Family
ID=49830857
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310404856.0A Active CN103490881B (zh) | 2013-09-06 | 2013-09-06 | 认证服务系统、用户认证方法、认证信息处理方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103490881B (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106911477A (zh) * | 2015-12-23 | 2017-06-30 | 上海格尔软件股份有限公司 | 针对慢速的数字证书验证设备缓存其验证结果的加速方法 |
| CN107276965B (zh) * | 2016-04-07 | 2021-05-14 | 阿里巴巴集团控股有限公司 | 服务发现组件的权限控制方法及装置 |
| CN105763566B (zh) * | 2016-04-19 | 2018-11-30 | 成都知道创宇信息技术有限公司 | 一种客户端与服务器之间的通信方法 |
| CN107070667B (zh) * | 2017-06-07 | 2020-08-04 | 国民认证科技(北京)有限公司 | 身份认证方法 |
| CN108512862B (zh) * | 2018-05-30 | 2023-12-05 | 博潮科技(北京)有限公司 | 基于无证书标识认证技术的物联网终端安全认证管控平台 |
| CN109815010A (zh) * | 2018-12-29 | 2019-05-28 | 深圳供电局有限公司 | 一种云平台统一身份认证方法及系统 |
| CN109495277A (zh) * | 2019-01-11 | 2019-03-19 | 济南浪潮高新科技投资发展有限公司 | 一种客户虚拟机证书更新方法 |
| CN109981655B (zh) * | 2019-03-29 | 2022-03-01 | 富士胶片实业发展(上海)有限公司 | 一种传输、接收信息的方法及装置 |
| CN109981666B (zh) * | 2019-04-01 | 2020-08-04 | 北京纬百科技有限公司 | 一种接入方法、接入系统和接入服务器 |
| CN111404871B (zh) * | 2019-11-19 | 2022-07-08 | 杭州海康威视系统技术有限公司 | 服务器对接方法和装置 |
| CN112347460A (zh) * | 2020-10-29 | 2021-02-09 | 深圳市裕展精密科技有限公司 | 用户权限管理方法、电子装置及存储介质 |
| CN114760042A (zh) * | 2020-12-26 | 2022-07-15 | 西安西电捷通无线网络通信股份有限公司 | 一种身份鉴别方法和装置 |
| EP4268410A1 (en) | 2020-12-28 | 2023-11-01 | Keyfactor, Inc. | Remote certificate authority management |
| CN113794570B (zh) * | 2021-09-14 | 2023-06-06 | 广州蚁比特区块链科技有限公司 | 一种基于零知识证明的私钥管理方法及系统 |
| CN113641985B (zh) * | 2021-10-12 | 2022-02-11 | 江苏荣泽信息科技股份有限公司 | 一种分布式可信组织身份访问控制系统及方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1545243A (zh) * | 2003-11-24 | 2004-11-10 | 华中科技大学 | 一种身份认证的方法和系统 |
| CN103281180A (zh) * | 2013-04-18 | 2013-09-04 | 暨南大学 | 一种网络服务中保护用户访问隐私的票据生成方法 |
-
2013
- 2013-09-06 CN CN201310404856.0A patent/CN103490881B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1545243A (zh) * | 2003-11-24 | 2004-11-10 | 华中科技大学 | 一种身份认证的方法和系统 |
| CN103281180A (zh) * | 2013-04-18 | 2013-09-04 | 暨南大学 | 一种网络服务中保护用户访问隐私的票据生成方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103490881A (zh) | 2014-01-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103490881B (zh) | 认证服务系统、用户认证方法、认证信息处理方法及系统 | |
| CN108768988B (zh) | 区块链访问控制方法、设备及计算机可读存储介质 | |
| US11139951B2 (en) | Blockchain system and data processing method for blockchain system | |
| CN108092982B (zh) | 一种基于联盟链的数据存储方法及系统 | |
| Barker et al. | Recommendation for key management part 3: Application-specific key management guidance | |
| CN103281190B (zh) | 安全工作组管理和通信的系统和方法 | |
| CN102594558B (zh) | 一种可信计算环境的匿名数字证书系统及验证方法 | |
| US9397839B2 (en) | Non-hierarchical infrastructure for managing twin-security keys of physical persons or of elements (IGCP/PKI) | |
| CN105681470A (zh) | 基于超文本传输协议的通信方法、服务器、终端 | |
| CN103078841A (zh) | 一种预防性电子数据保全的方法及系统 | |
| CN110267270A (zh) | 一种变电站内传感器终端接入边缘网关身份认证智能合约 | |
| CN114244527B (zh) | 基于区块链的电力物联网设备身份认证方法及系统 | |
| CN102299793A (zh) | 一种基于可信计算密码支撑平台的证书认证系统 | |
| ES2665887T3 (es) | Sistema de datos seguro | |
| CN110417547A (zh) | 基于无证书密码学的抗量子计算保密通信的密钥更新方法和系统 | |
| CN109831458A (zh) | 一种iot电子行为记录管理系统 | |
| US20160080336A1 (en) | Key Usage Detection | |
| CN104735064A (zh) | 一种标识密码系统中标识安全撤销并更新的方法 | |
| CN106027254B (zh) | 一种身份证认证系统中身份证读卡终端使用密钥的方法 | |
| CN116388986B (zh) | 一种基于后量子签名的证书认证系统及认证方法 | |
| CN106027474B (zh) | 一种身份证认证系统中的身份证读卡终端 | |
| Huang et al. | An anatomy of trust in public key infrastructure | |
| Barker et al. | Sp 800-57. recommendation for key management, part 1: General (revised) | |
| CN115883102B (zh) | 基于身份可信度的跨域身份认证方法、系统及电子设备 | |
| Zhang et al. | Data security in cloud storage |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 528200 science and technology road, Nanhai Software Science Park, Nanhai Town, Nanhai District, Foshan, Guangdong Applicant after: Age of security Polytron Technologies Inc Address before: 528200 science and technology road, Nanhai Software Science Park, Nanhai Town, Nanhai District, Foshan, Guangdong Applicant before: Guangdong Certificate Authority Center Co., Ltd. |
|
| COR | Change of bibliographic data | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |