CN101247407B - 网络认证服务系统和方法 - Google Patents
网络认证服务系统和方法 Download PDFInfo
- Publication number
- CN101247407B CN101247407B CN200810102058.1A CN200810102058A CN101247407B CN 101247407 B CN101247407 B CN 101247407B CN 200810102058 A CN200810102058 A CN 200810102058A CN 101247407 B CN101247407 B CN 101247407B
- Authority
- CN
- China
- Prior art keywords
- message
- authentication
- blocking module
- network
- interception
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
Abstract
本发明实施例涉及一种网络认证服务系统和方法。该网络认证服务系统应用于网络应用层,包括网络服务安全装置,用于拦截网络应用层交互的报文并对所述报文进行认证处理。该网络认证服务方法包括拦截网络应用层交互的报文并对所述报文进行认证处理。通过本发明实施例可以对传输的报文进行安全处理,并且安全认证方式多样。
Description
技术领域
本发明涉及网络通信领域,尤其是一种网络认证服务系统和方法。
背景技术
随着网络(Web)服务由技术概念到实践应用的不断发展,Web服务将是未来应用架构的一个极为重要的模式。Web服务具有与语言和平台无关的特性,因此在跨企业、跨因特网链接应用程序时,其优势愈来愈明显。Web服务采用扩展标记语言(Extensible Markup Language,以下简称XML)来进行数据交换,在默认情况下,XML是明文编码的;同时,大部分Web服务使用超文本传输协议(Hypertext Transfer Protocol,以下简称HTTP)作为传输协议,HTTP也是使用明文方式来传输数据的,这就造成在不加密的传输协议上传输不加密的信息,从而使信息传输的保密性受到威胁。而企业对Web服务的安全性具有以下基本要求:首先,数据在因特网上传输时不应该被第三方看到;其次,数据的收发双方能够确定数据的来源;再次,数据的收发双方能够确定在传输过程中数据没有被篡改。但是,上述的Web服务方式不能满足企业对安全性的基本要求,为此,企业采用不同的方式,如安全套接层协议(Secure Socket Layer,以下简称SSL)来解决“数据在传输时不被第三方看到”的问题,采用数字签名和数字证书技术来解决“确定数据的来源”、“确定数据未被篡改”的问题。
基于上述技术及企业对安全级别的不同要求,按照安全级别从低到高的顺序,现在由如下一些技术来保证企业Web服务的安全性:
1、应用认证机制实现安全性,如在J2EE Web服务中应用默认的访问机制,及在Servlet技术中应用过滤器进行访问控制;
2、应用加密的数据传输协议实现安全性,如采用SSL、HTTPS等;
上述的方法都能实现一定的安全性,但也存在不足,对于采用认证机制的方式,虽然通过身份验证的方式保护了对资源的访问,但是,由于数据在传输过程中仍旧是明文的形式,因此不能保证信息在传输过程中不被窃取;对于采用加密的数据传输协议的方式,由于SSL作用于传输层,那么脱离了传输层就不能保证Web服务的安全性,由于没有涉及XML处理,其只能实现数据的全部加密或签名,不能针对某部分,并且,其依附于传输层,违背Web服务与传输层无关的原则。
发明内容
本发明实施例是提供一种网络认证服务系统和方法,实现满足不同企业的Web服务的安全性要求。
本发明实施例提供了一种网络认证服务系统,对应于网络应用层,包括:
网络服务安全装置,用于拦截网络应用层交互的SOAP报文,所述网络服务安全装置包括:客户端拦截模块,用于拦截网络服务客户端发送和接收的SOAP报文;服务端拦截模块,用于拦截网络服务服务端接收和发送的SOAP报文;
认证服务器,用于对拦截后的报文进行认证处理;
所述客户端拦截模块包括客户端发送拦截模块和客户端接收拦截模块;
所述认证服务器用于提供第一认证码,并根据客户验证消息对认证报文进行认证;所述客户端发送拦截模块用于拦截请求报文,并在认证服务器返回所述第一认证码后,查询出用户密码,生成第一应答串,并用第一应答串加密所述请求报文的报文头得到加密报文;所述客户端接收拦截模块用于拦截认证报文,并发送所述认证报文的客户验证消息;
所述生成第一应答串包括:
将用户帐号+随机串realm+用户密码进行md5散列,再进行十六进制编码,生成第一密钥key1;
先将请求报文的报文体进行md5散列,并将散列的结果进行十六进制字符编码,生成第二密钥key2;
将key1+“:”+第一随机数nonce+“:”+第二随机数cnonce+“:”+key2进行md5散列,再将散列的结果进行十六进制字符编码,生成最终的第一应答串。
本发明实施例提供了一种网络认证服务方法,对应于网络应用层,包括:
拦截网络应用层交互的SOAP报文,所述网络应用层交互的SOAP报文包括:由客户端拦截模块拦截的网络服务客户端发送和接收的SOAP报文,及由服务端拦截模块拦截的网络服务服务端接收和发送的SOAP报文;并由认证服务器对拦截后的报文进行认证处理;具体包括:
拦截请求报文;
在认证服务器返回第一认证码后,查询出用户密码,生成第一应答串,并用第一应答串对所述请求报文的报文头进行加密处理得到加密报文,并发送所述加密报文;
接收加密报文,并通过认证服务器对接收的加密报文进行认证处理;
解密通过认证的加密报文;
所述生成第一应答串包括:
将用户帐号+随机串realm+用户密码进行md5散列,再进行十六进制编码,生成第一密钥key1;
先将请求报文的报文体进行md5散列,并将散列的结果进行十六进制字符编码,生成第二密钥key2;
将key1+“:”+第一随机数nonce+“:”+第二随机数cnonce+“:”+key2进行md5散列,再将散列的结果进行十六进制字符编码,生成最终的第一应答串。
本发明实施例通过对网络应用层内交互的报文进行拦截,对拦截后的报文进行安全相关的处理,能够实现报文的安全传输。
附图说明
图1为本发明网络认证服务系统实施例一结构示意图;
图2为本发明网络认证服务系统实施例一对应的网络协议关系示意图;
图3为本发明网络认证服务系统实施例二结构示意图;
图4为本发明网络认证服务系统实施例中拦截模块网络关系示意图;
图5为本发明网络认证服务方法实施例一流程图;
图6为本发明网络认证服务方法实施例二流程图;
图7为本发明网络认证服务方法实施例中认证流程图。
具体实施方式
下面结合附图和具体实施例进一步说明本发明的技术方案。
图1为本发明网络认证服务系统实施例一结构示意图,该实施例包括:
网络服务安全装置11和认证服务器12。网络服务安全装置11用于拦截网络应用层交互的报文;认证服务器12用于对拦截后的报文进行认证处理。参见图2,本实施例中的Web服务安全装置对应的协议WS-Defy是在现有网络服务安全规范(Web Services Security,以下简称WS-Security)之上的一种扩展,WS-Security对应于OSI的应用层,建立在简单对象接入协议(Simple Object Access Protocol,以下简称SOAP)标准规范上,其使用XML签名可以确保消息的完整性,消息在传输过程中未被修改,同时,使用XML加密可以使SOAP消息的一部分保密,提供消息机密性。如,应用层的Web服务客户端和Web服务服务端之间进行报文的交互,如Web服务客户端向Web服务服务端发送调用函数的请求报文,Web服务服务端向Web服务客户端返回相应的应答报文等;该系统设置于Web服务客户端和Web服务服务端之间,用于拦截Web服务客户端和Web服务服务端之间交互的报文,并对该报文进行认证处理,如拦截Web服务客户端向Web服务服务端发送的请求报文并对请求报文进行认证处理,拦截Web服务服务端向Web服务客户端发送的应答报文并对应答报文进行认证处理。
其中,网络安全装置11可以具体包括:客户端拦截模块111,服务端拦截模块112;客户端拦截模块111用于拦截Web服务客户端发送和接收的报文;服务端拦截模块112用于拦截Web服务服务端接收和发送的报文。认证服务器12对客户端拦截模块111和服务端拦截模块112拦截的报文进行认证处理。Web服务在发送和接收SOAP报文前拥有多个阶段,每个阶段都可以注册拦截(Handler),对SOAP报文进行前置和后置处理的加工操作。Web服务发送SOAP报文时,通过发送拦截模块(OutHandler),对SOAP报文进行加密、签名、添加用户身份信息等后置处理操作。而在接收SOAP报文时,则通过接收拦截模块(InHandler)对SOAP进行解密、验证签名,用户身份认证等前置操作。请求和响应的SOAP在发送之前可以通过注册的OutHanlder进行加工处理,让SOAP转换为WS-Security的保护格式。而Web服务服务端或Web服务客户端在接收SOAP报文之前,可以通过注册的InHandler,将WS-Security保护格式的SOAP报文转换为正常的SOAP报文进行处理。这些操作完全独立于业务处理逻辑,实施WS-Defy对于Web服务的业务操作是透明的。
本实施例通过对Web服务发送或接收的报文进行拦截,并且可对拦截后的报文进行安全鉴权和认证,实现安全认证的多样化,并且通过认证服务器进行认证,可以结合企业的单点登录(Single Sign On,以下简称SSO)认证方案,将认证服务器设置于单点登录服务器,实现统一安全认证。并且,由于本实施例采用XML加密,对应于应用层,因此可以实现部分数据的加密,并且不依赖传输层实现安全传输。
图3为本发明网络认证服务系统实施例二结构示意图,并参照图4所示的网络关系示意图,相比于实施例一,该实施例的客户端拦截模块111具体包括客户端发送拦截模块1111和客户端接收拦截模块1112;服务端拦截模块112具体包括服务端接收拦截模块1121和服务端发送拦截模块1122。客户端发送拦截模块1111用于拦截网络服务客户端发送的请求报文,向认证服务器12获取第一认证码,并根据该第一认证码对所述请求报文进行加密处理得到加密报文;服务端接收拦截模块1121用于拦截网络服务服务端接收的加密报文,并发送用于认证所述加密报文的服务验证消息给认证服务器12,认证服务器12根据该服务验证消息对拦截的该加密报文进行认证;服务端发送拦截模块1122用于拦截网络服务服务端发送的应答报文,向认证服务器12获取第二认证码,并用该第二认证码封装所述应答报文得到认证报文;客户端接收拦截模块1112用于拦截网络服务客户端接收的认证报文,并发送用于对所述认证报文进行认证的客户验证消息给认证服务器12,认证服务器12根据该客户验证消息对拦截的认证报文进行认证。,
本实施中的客户端、服务端采用不同的模块对接收、发送的报文分别进行拦截处理,由于对接收、发送的报文分开处理,有利于提高设备使用时的灵活性。
图5为本发明网络认证服务方法实施例一流程图,该实施例包括:拦截应用层交互的报文,并对拦截后的报文进行认证处理,具体包括:
步骤51:Web服务安全装置(如,客户端发送拦截模块)拦截Web服务客户端发送的请求报文;
步骤52:Web服务安全装置(如,客户端发送拦截模块)为所述请求报文进行加密处理(如,向认证服务器申请认证码并将该认证码匹配给该请求报文)得到加密报文,并将该加密报文发送给Web服务服务端;
步骤53:Web服务安全装置(如,服务端接收拦截模块)接收加密报文(实际应用中,加密报文可以直接发送给Web服务端,但由于该加密报文要进行认证,因此在加密报文中可增加回调函数以使该加密报文回调到服务端接收拦截模块处,以便进一步的认证),并通过认证服务器对该接收的加密报文进行认证处理;
步骤54:Web服务安全装置(如,服务端接收拦截模块)解密通过认证的加密报文。
本实施例能够对Web服务客户端和Web服务服务端之间交互的报文进行拦截,进而对拦截后的报文进行认证等相关安全处理,实现报文的安全传输。
图6为本发明网络认证服务方法实施例二流程图,该实施例包括:
步骤60:Web服务客户端发送SOAP请求报文。
步骤61:客户端发送拦截模块(客户端OutHandler)对接收到的请求报文进行拦截处理。根据WS-Security的规定,该请求报文包括报文体和报文头,报文头中包括客户端配置的用户帐号等信息。在Web服务客户端实现拦截可以通过配置的方式,如可以通过在Web服务中注册OutHandler服务,当Web服务客户端向Web服务服务端发送SOAP请求报文时,根据配置文件客户端OutHandler将实现拦截此请求报文。OutHandler服务对客户端发送的SOAP请求报文进行前置处理,添加WS-Security信息和导入必要的JAR包。因此使用DOMOutHandler将DOM转换为STAX的流模型,此外通过定义一个WSS4JOutHandler完成在SOAP头添加认证信息的操作,此OutHandler能够连通认证服务器以进行认证信息的请求和应答。
步骤62:客户端发送拦截模块拦截该请求报文后,向认证服务器发送用于获取第一认证码的申请消息。
步骤63:客户端发送拦截模块利用根据申请消息获取的第一认证码对拦截后的请求报文进行加密封装并发送。其中加密报文的形成具体包括:客户端拦截模块从认证服务器获取第一认证码并自生成随机数(步骤631);根据所述请求报文中携带的用户帐号查询出用户密码(步骤632);根据所述认证码、随机数、用户帐号、用户密码和所述请求报文的报文体生成第一应答串,并用所述第一应答串和用户帐号加密封装所述请求报文(步骤633)。对应于上述对拦截的报文进行加密的算法可以为:
第一步:认证服务器根据客户端拦截模块发送的申请请求,向客户端拦截模块发送第一认证码,第一认证码包括随机数nonce和随机串realm;
第二步,客户端拦截模块自生成一随机数cnonce,并根据用户帐号查询出用户密码;
第三步,根据Web服务服务端和Web服务客户端约定的算法生成第一应答串(responsel)。第一应答串的生成算法为:
1、将用户帐号+realm+用户密码进行md5散列,再进行十六进制编码(小写),生成key1。
2、先将请求报文的报文体进行md5散列,并将散列的结果进行十六进制字符编码,生成key2。
3、将key1+“:”+nonce+“:”+cnonce+“:”+key2进行md5散列,再将散列的结果进行十六进制字符编码,生成最终的第一应答串。
第四步,用生成的第一应答串加密SOAP请求报文的报文头,加密后的SOAP报文头中至少包括第一应答串和用户帐号。
第五步,将封装后的SOAP报文发送给Web服务服务端。
步骤64:服务端接收拦截模块(服务端InHandler)拦截回调的加密报文(由于实际应用中报文通常会发给Web服务服务端,为了对报文进行验证,因此需要回调到服务端InHandler,也可以通过通过配置将报文直接发给服务端InHandler,此时不需要回调)。在此之前包括:服务端接收拦截模块从Web服务服务端回调加密的请求报文(步骤641)。相似于在Web服务客户端进行的OutHandler配置,因为Web服务服务端同样需要拦截,因此Web服务服务端要进行InHandler配置,具体为:Web服务服务端创建一个applicationContext-ws-security.xml,让Web服务拥有认证和拦截功能。此配置文件主要配置Web服务的名称、负责将STAX流模型的SOAP转换为DOM模型、认证或鉴权的方式、导入的必要类、回调实现类以实现将加密的请求报文从Web服务端回调至服务端InHandler处。此InHandler能够连通认证服务器以进行认证信息的请求和应答。
步骤65:认证服务器根据服务端接收拦截模块(服务端InHandler)发送的服务验证消息对加密报文进行认证。服务验证消息的形成具体包括:
步骤651:服务端接收拦截模块根据该回调的加密报文中携带的用户帐号向认证模块查询获取上述第一认证码,该第一认证码为nonce和realm。
步骤652:认证服务器向服务端接收拦截模块发送第一认证码,然后失效原来的第一认证码nonce,并生成存储新的第二认证码nextnonce。
步骤653:服务端接收拦截模块根据所述用户帐号查询出用户密码。
步骤654:服务端接收拦截模块根据上述第一认证码(nonce和realm)、用户帐号、用户密码和回调的加密报文的报文体生成第二应答串(response2)。第二应答串的生成方法与第一应答串的生成方法原理相同,只是在生成第一应答串的时是对请求报文的报文体进行散列,在生成第二应答串时是对回调的加密报文的报文体进行散列。
步骤655:服务端接收拦截模块将回调的加密报文中携带的第一应答串和上述生成的第二应答串添加进服务验证消息中,并发送给认证服务器。
认证服务器认证过程具体为:认证服务器通过比较所述第一应答串和第二应答串是否相同来判断加密报文是否通过认证,若第一应答串和第二应答串相同,则表明通过认证,否则表明未通过认证,对于通过认证的加密报文,执行步骤656,对于未通过认证的加密报文,执行步骤657。
步骤656:认证服务器向服务端接收拦截模块发送验证通过的消息,并指示服务端接收拦截模块解密通过认证的加密报文。
步骤657:认证服务器向Web服务客户端发送请求认证未通过之类的提示,结束。
上述流程实现了Web服务服务端对Web服务客户端发送的SOAP请求报文的认证鉴权,之后Web服务服务端需要向Web服务客户端发送应答报文,Web服务客户端同样可实现对应答报文的鉴权,因此本实施例在上述流程之后还可以包括:
步骤66:Web服务服务端发送认证报文,所述认证报文对与上述请求报文相应的应答报文添加认证获得的。认证报文的得到具体包括:
步骤661:Web服务服务端返回与上述请求报文相应的应答报文;
步骤662:服务端发送拦截模块(服务端OutHandler)拦截该应答报文;
步骤663:服务端发送拦截模块向认证服务器获取第二认证码nextnonce;
步骤664:服务端发送拦截模块将该第二认证码添加到应答报文的报文头中,得到认证报文。
步骤67:客户端接收拦截模块(客户端InHandler)拦截该认证报文。该认证报文可以通过配置直接发送到客户端接收拦截模块,也可以先发送给Web服务客户端,再从Web服务客户端回调给该客户端接收拦截模块。
步骤68:客户端接收拦截模块发送客户验证消息给认证服务器。所述客户验证消息包括所述认证报文中携带的第二认证码nextnonce,,若认证报文未被修改,则认证码nextnonce与认证服务器中存储的相同,若认证报文被更改,则认证报文中携带的认证码也将被更改。
步骤69:认证服务器通过比较所述客户验证消息中的第二认证码和自身存储的第二认证码nextnonce是否相同来判断所述请求报文的应答报文是否通过认证,若客户端接收拦截模块发送的第二认证码和认证服务器存储的第二认证码相同,则表明认证报文未被篡改,即Web服务服务端发送的应答报文通过认证,执行步骤691,否则表明未通过认证,执行步骤692。
步骤691:认证服务器指示客户端接收拦截模块向Web服务客户端发送解密后的认证报文,即发送所述请求报文的应答报文。
步骤692:认证服务器向Web服务客户端发送应答认证未通过之类的提示。
上述流程示出了SOAP报文从Web服务客户端到Web服务服务端、Web服务服务端认证、Web服务服务端返回应答报文、Web服务客户端认证的整个SOAP报文传输过程,针对认证服务器的认证过程可以参见图7,即包括:
步骤71:客户端发送拦截模块(客户端OutHandler)向认证服务器请求第一认证码。
步骤72:客户端OutHandler接收该第一认证码。将该第一认证码匹配给请求报文后实现对请求报文的加密。
步骤73:服务端接收拦截模块(服务端InHandler)接收到加密报文后,向认证服务器发送确认第一认证码的请求,即用于认证接收到的加密报文是否被篡改。
步骤74:认证服务器根据服务端InHandler发送的信息对加密报文进行认证,并返回相应的结果。
步骤75:服务端发送拦截模块(服务端OutHandler)向认证服务器请求第二认证码,得到认证报文。如加密报文是有效的(通过认证),服务端向客户端返回应答报文,类似于客户端发送请求报文,服务端对发送的应答报文添加认证,以使客户端可以验证接收的报文是否被篡改。因此,在返回应答报文时,服务端可以将第二认证码添加给应答报文得到认证报文,客户端接收到该认证报文后要进行认证,如确认第二认证码。
步骤76:认证服务器返回第二认证码,以使服务端OutHandler对应答报文添加认证。
步骤77:客户端接收拦截模块(客户端InHandler)发送确认第二认证码的请求给认证服务器。
步骤78:认证服务器返回相应的认证结果。
本实施例中的认证方式是采用用户帐号和用户密码的方式,可替代的是,对拦截后的报文也可以采用数字签名认证、指纹认证等。并且,本实施例为了实现灵活的认证方式,客户端拦截模块和服务端拦截模块分为了接收和发送两个模块,可替代的是客户端和服务端分别用一个拦截模块,或者客户端和服务端共用一个拦截模块,实现拦截报文的功能。
本实施例通过扩展WS-Security安全规范,即采用对SOAP报文进行拦截的方式,可以实现Web服务安全认证方式多样化;本实施例通过认证模块进行认证,可以结合企业的单点登录(Single Sign On,以下简称SSO)认证方案,将认证模块设置于单点登录服务器,实现统一安全认证;本实施例并没有采用加密的传输层协议,如HTTPS协议,保证了Web服务与传输层的无关性,并且,采用WS-Security中的XML进行数据交换,可以只对SOAP报文头进行加密,而不需对整个SOAP报文进行加密,这些都节省了性能开销;本实施例的客户端和服务端设置有拦截模块,可以通过拦截模块对业务进行安全方面的特殊处理,如日志审议、数据包压缩等。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (8)
1.一种网络认证服务系统,其特征在于,对应于网络应用层,包括:
网络服务安全装置,用于拦截网络应用层交互的SOAP报文,所述网络服务安全装置包括:客户端拦截模块,用于拦截网络服务客户端发送和接收的SOAP报文;服务端拦截模块,用于拦截网络服务服务端接收和发送的SOAP报文;
认证服务器,用于对拦截后的报文进行认证处理;
所述客户端拦截模块包括客户端发送拦截模块和客户端接收拦截模块;
所述认证服务器用于提供第一认证码,并根据客户验证消息对认证报文进行认证;所述客户端发送拦截模块用于拦截请求报文,并在认证服务器返回所述第一认证码后,查询出用户密码,生成第一应答串,并用第一应答串加密所述请求报文的报文头得到加密报文;所述客户端接收拦截模块用于拦截认证报文,并发送所述认证报文的客户验证消息;
所述生成第一应答串包括:
将用户帐号+随机串realm+用户密码进行md5散列,再进行十六进制编码,生成key1;
先将请求报文的报文体进行md5散列,并将散列的结果进行十六进制字符编码,生成key2;
将key1+“:”+随机数nonce+“:”+随机数cnonce+“:”+key2进行md5散列,再将散列的结果进行十六进制字符编码,生成最终的第一应答串;
所述第一认证码包括随机数nonce和随机串realm,随机数cnonce是所述客户端拦截模块自生成的。
2.根据权利要求1所述的网络认证服务系统,其特征在于:
所述服务端拦截模块包括服务端接收拦截模块和服务端发送拦截模块;
所述认证服务器用于提供第二认证码,并根据服务验证消息对加密报文进行认证;所述服务端接收拦截模块用于拦截加密报文,并发送所述加密报文的服务验证消息;所述服务端发送拦截模块用于拦截应答报文,并将所述第二认证码添加到所述应答报文中得到认证报文。
3.一种网络认证服务方法,其特征在于,对应于网络应用层,包括:
拦截网络应用层交互的SOAP报文,所述网络应用层交互的SOAP报文包括:由客户端拦截模块拦截的网络服务客户端发送和接收的SOAP报文,及由服务端拦截模块拦截的网络服务服务端接收和发送的SOAP报文;并由认证服务器对拦截后的报文进行认证处理;具体包括:
拦截请求报文;
在认证服务器返回第一认证码后,查询出用户密码,生成第一应答串,并用第一应答串对所述请求报文的报文头进行加密处理得到加密报文,并发送所述加密报文;
接收加密报文,并通过认证服务器对接收的加密报文进行认证处理;
解密通过认证的加密报文;
所述生成第一应答串包括:
将用户帐号+realm+用户密码进行md5散列,再进行十六进制编码,生成第一密钥key1;
先将请求报文的报文体进行md5散列,并将散列的结果进行十六进制字符编码,生成第二密钥key2;
将key1+“:”+随机数nonce+“:”+随机数cnonce+“:”+key2进行md5散列,再将散列的结果进行十六进制字符编码,生成最终的第一应答串;
所述第一认证码包括随机数nonce和随机串realm,随机数cnonce是所 述客户端拦截模块自生成的。
4.根据权利要求3所述的网络认证服务方法,其特征在于,所述在认证服务器返回所述第一认证码后,查询出用户密码,生成第一应答串,并用第一应答串对所述请求报文的报文头进行加密处理得到加密报文包括:
发送用于获取第一认证码的申请消息,所述第一认证码包括随机数nonce和随机串realm;
根据所述申请消息获取第一认证码,并生成随机数cnonce;
根据所述请求报文中携带的用户帐号查询出用户密码;
根据所述第一认证码、随机数cnonce、用户帐号、用户密码和所述请求报文的报文体生成第一应答串,并用所述第一应答串加密所述请求报文的报文头后得到加密报文。
5.根据权利要求4所述的网络认证服务方法,其特征在于,所述对接收的加密报文进行认证处理包括:
根据接收的加密报文中携带的用户帐号获取所述第一认证码和用户密码;
根据所述第一认证码、随机数cnonce、用户帐号、用户密码和接收的加密报文的报文体生成第二应答串,所述第二应答串的生成方法与第一应答串的生成方法相同;
若所述第一应答串和第二应答串相同,则接收的加密报文通过认证,若所述第一应答串和第二应答串不相同,则接收的加密报文未通过认证。
6.根据权利要求3所述的网络认证服务方法,其特征在于,所述解密通过认证的加密报文之后还包括:
拦截与所述加密报文相应的应答报文;
为所述应答报文添加认证得到认证报文;
接收认证报文并通过认证服务器对接收的认证报文进行认证处理;
解密通过认证的认证报文。
7.根据权利要求6所述的网络认证服务方法,其特征在于,所述为所述 应答报文添加认证得到认证报文包括:
生成并存储第二认证码;
用所述第二认证码封装所述应答报文得到认证报文。
8.根据权利要求7所述的网络认证服务方法,其特征在于,所述对认证报文进行认证处理具体为:若所述认证报文中携带的第二认证码和存储的第二认证码相同,则所述认证报文通过认证,若所述认证报文中携带的第二认证码和存储的第二认证码不相同,则所述认证报文未通过认证。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810102058.1A CN101247407B (zh) | 2008-03-17 | 2008-03-17 | 网络认证服务系统和方法 |
| PCT/CN2009/070753 WO2009115017A1 (zh) | 2008-03-17 | 2009-03-12 | 网络认证服务系统和方法 |
| US12/885,216 US20110035582A1 (en) | 2008-03-17 | 2010-09-17 | Network authentication service system and method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810102058.1A CN101247407B (zh) | 2008-03-17 | 2008-03-17 | 网络认证服务系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101247407A CN101247407A (zh) | 2008-08-20 |
| CN101247407B true CN101247407B (zh) | 2013-03-13 |
Family
ID=39947605
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810102058.1A Active CN101247407B (zh) | 2008-03-17 | 2008-03-17 | 网络认证服务系统和方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20110035582A1 (zh) |
| CN (1) | CN101247407B (zh) |
| WO (1) | WO2009115017A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106506552A (zh) * | 2016-12-28 | 2017-03-15 | 北京奇艺世纪科技有限公司 | 一种http请求传输方法及装置 |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101247407B (zh) * | 2008-03-17 | 2013-03-13 | 华为技术有限公司 | 网络认证服务系统和方法 |
| US8375211B2 (en) * | 2009-04-21 | 2013-02-12 | International Business Machines Corporation | Optimization of signing soap body element |
| CN101860549B (zh) * | 2010-06-25 | 2013-03-27 | 山东中创软件商用中间件股份有限公司 | 一种Web Service下访问会话数据处理方法及装置 |
| WO2012139042A2 (en) * | 2011-04-08 | 2012-10-11 | Dexcom, Inc. | Systems and methods for processing and transmitting sensor data |
| CN103812838A (zh) * | 2012-11-13 | 2014-05-21 | 中国移动通信集团公司 | 一种服务调用方法和设备及系统 |
| CN103179127B (zh) * | 2013-03-28 | 2016-03-02 | 华为技术有限公司 | 一种处理消息的方法、装置及系统 |
| CN103607374A (zh) * | 2013-10-28 | 2014-02-26 | 中国航天科工集团第二研究院七〇六所 | 基于身份认证和数据包过滤技术的网络资源访问控制方法 |
| JP6538704B2 (ja) | 2013-11-07 | 2019-07-03 | デックスコム・インコーポレーテッド | 分析物値の伝送及び連続的監視のためのシステム及び方法 |
| CN103841105B (zh) * | 2014-03-04 | 2017-02-08 | 上海地慧光电科技有限公司 | 一种网络用户验证授权系统 |
| CN104954124B (zh) * | 2014-03-28 | 2018-02-23 | 华为技术有限公司 | 加密和解密数据处理方法、装置和系统 |
| CN104333556B (zh) * | 2014-11-14 | 2017-09-15 | 成都卫士通信息安全技术有限公司 | 基于资源服务管理系统安全认证网关分布式配置管理方法 |
| CN104394080A (zh) * | 2014-11-28 | 2015-03-04 | 杭州华三通信技术有限公司 | 实现安全组功能的方法及装置 |
| JP6739036B2 (ja) * | 2015-08-31 | 2020-08-12 | パナソニックIpマネジメント株式会社 | コントローラ |
| CN105591928B (zh) * | 2015-09-15 | 2018-09-21 | 中国银联股份有限公司 | 用于云平台网络的安全控制方法 |
| CN106549757B (zh) * | 2015-09-21 | 2020-03-06 | 北大方正集团有限公司 | Web服务的数据真伪识别方法、服务端和客户端 |
| CN105530127B (zh) * | 2015-12-10 | 2019-02-01 | 北京奇虎科技有限公司 | 一种代理服务器处理网络访问请求的方法和代理服务器 |
| US11329831B2 (en) * | 2016-06-08 | 2022-05-10 | University Of Florida Research Foundation, Incorporated | Practical end-to-end cryptographic authentication for telephony over voice channels |
| CN108259406B (zh) * | 2016-12-28 | 2020-12-29 | 中国电信股份有限公司 | 检验ssl证书的方法和系统 |
| WO2021146150A1 (en) * | 2020-01-13 | 2021-07-22 | Paxmentys, LLC | Cognitive readiness determination and control system and method |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1801805A (zh) * | 2005-01-07 | 2006-07-12 | 华为技术有限公司 | 解决IPv6网络中应用层协议安全问题的方法 |
| CN1859291A (zh) * | 2005-12-13 | 2006-11-08 | 华为技术有限公司 | 一种对网络报文安全封装的方法 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6996714B1 (en) * | 2001-12-14 | 2006-02-07 | Cisco Technology, Inc. | Wireless authentication protocol |
| US20050044377A1 (en) * | 2003-08-18 | 2005-02-24 | Yen-Hui Huang | Method of authenticating user access to network stations |
| KR100576722B1 (ko) * | 2003-12-26 | 2006-05-03 | 한국전자통신연구원 | 웹서비스에 대한 메시지 보안 처리 시스템 및 방법 |
| US20070083918A1 (en) * | 2005-10-11 | 2007-04-12 | Cisco Technology, Inc. | Validation of call-out services transmitted over a public switched telephone network |
| CN101075869B (zh) * | 2006-05-18 | 2012-01-11 | 中兴通讯股份有限公司 | 网络认证的实现方法 |
| CN200941622Y (zh) * | 2006-06-19 | 2007-08-29 | 福建星网锐捷网络有限公司 | 一种网络认证授权系统及使用的交换机 |
| CN101098221A (zh) * | 2006-06-26 | 2008-01-02 | 华为技术有限公司 | 一种无线蜂窝网络中网络层安全认证方法 |
| CN101247407B (zh) * | 2008-03-17 | 2013-03-13 | 华为技术有限公司 | 网络认证服务系统和方法 |
-
2008
- 2008-03-17 CN CN200810102058.1A patent/CN101247407B/zh active Active
-
2009
- 2009-03-12 WO PCT/CN2009/070753 patent/WO2009115017A1/zh active Application Filing
-
2010
- 2010-09-17 US US12/885,216 patent/US20110035582A1/en not_active Abandoned
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1801805A (zh) * | 2005-01-07 | 2006-07-12 | 华为技术有限公司 | 解决IPv6网络中应用层协议安全问题的方法 |
| CN1859291A (zh) * | 2005-12-13 | 2006-11-08 | 华为技术有限公司 | 一种对网络报文安全封装的方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106506552A (zh) * | 2016-12-28 | 2017-03-15 | 北京奇艺世纪科技有限公司 | 一种http请求传输方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20110035582A1 (en) | 2011-02-10 |
| CN101247407A (zh) | 2008-08-20 |
| WO2009115017A1 (zh) | 2009-09-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101247407B (zh) | 网络认证服务系统和方法 | |
| CN101674304B (zh) | 一种网络身份认证系统及方法 | |
| CN101510877B (zh) | 单点登录方法和系统、通信装置 | |
| CN103391197B (zh) | 一种基于手机令牌和NFC技术的Web身份认证方法 | |
| CN1835437B (zh) | 用于web服务的可信第三方认证的方法 | |
| CN101964791B (zh) | 客户端与web应用的通讯认证系统及认证方法 | |
| CN105208024B (zh) | 不使用https的数据安全传输方法及系统、客户端和服务端 | |
| EP1906584B1 (en) | Method, system and device for game data transmission | |
| CN101399666A (zh) | 文件数字证书安全控制方法及系统 | |
| CN1977559B (zh) | 保护在用户之间进行通信期间交换的信息的方法和系统 | |
| CN104767731A (zh) | 一种Restful移动交易系统身份认证防护方法 | |
| CN101393628A (zh) | 一种新型的网上安全交易系统和方法 | |
| CN112020038A (zh) | 一种适用于轨道交通移动应用的国产加密终端 | |
| CN107094156A (zh) | 一种基于p2p模式的安全通信方法及系统 | |
| KR100850506B1 (ko) | 사용자 인증의 이중 강화를 위한 보안 관리 웹 서비스시스템 및 방법 | |
| CN104683107A (zh) | 数字证书保管方法和装置、数字签名方法和装置 | |
| CN104579657A (zh) | 身份认证方法及装置 | |
| CN101577620A (zh) | 一种以太网无源光网络(epon)系统认证方法 | |
| CN104869000B (zh) | 一种基于标识密码跨域安全通信方法及系统 | |
| KR101204980B1 (ko) | 임의성을 강화시킨 일회용 패스워드 등록 및 인증 방법과 시스템 | |
| CN101437228B (zh) | 基于智能卡的无线业务的实现方法、装置和系统 | |
| CN111125655A (zh) | 一种针对oss-api接口安全通信的方法 | |
| CN111539032B (zh) | 一种抗量子计算破解的电子签名应用系统及其实现方法 | |
| CN114301612A (zh) | 信息处理方法、通信设备和加密设备 | |
| CN111935164A (zh) | 一种https接口请求方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: HUIZHOU ZHITAI ENTERPRISE MANAGEMENT CO., LTD. Free format text: FORMER OWNER: HUAWEI TECHNOLOGY CO., LTD. Effective date: 20150402 |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 518129 SHENZHEN, GUANGDONG PROVINCE TO: 516003 HUIZHOU, GUANGDONG PROVINCE |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20150402 Address after: 516003 Guangdong province Huizhou City Mountain Road No. 4 Building 12 layer Dweh No. 06 A District Patentee after: Huizhou wisdom Enterprise Management Co., Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: Huawei Technologies Co., Ltd. |
|
| ASS | Succession or assignment of patent right |
Owner name: HANGZHOU EONER NEW TECHNOLOGY CO., LTD. Free format text: FORMER OWNER: HUIZHOU ZHITAI ENTERPRISE MANAGEMENT CO., LTD. Effective date: 20150819 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| C53 | Correction of patent for invention or patent application | ||
| CB03 | Change of inventor or designer information |
Inventor after: Lv Yangbo Inventor before: Zheng Hongwei |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: INVENTOR; FROM: ZHENG HONGWEI TO: LV YANGBO |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20150819 Address after: Xihu District Hangzhou City, Zhejiang province 310000 Wensan Road No. 630, room 218 Patentee after: Hangzhou Yi Wang new science and technology Co., Ltd Address before: 516003 Guangdong province Huizhou City Mountain Road No. 4 Building 12 layer Dweh No. 06 A District Patentee before: Huizhou wisdom Enterprise Management Co., Ltd. |
|
| C56 | Change in the name or address of the patentee | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Xihu District Hangzhou City, Zhejiang province 310000 Wensan Road No. 630, room 218 Patentee after: Zhejiang 1one Technology Co., Ltd. Address before: Xihu District Hangzhou City, Zhejiang province 310000 Wensan Road No. 630, room 218 Patentee before: Hangzhou Yi Wang new science and technology Co., Ltd |