CN101252438A - 基于可移动式ic的第三方身份认证系统 - Google Patents
基于可移动式ic的第三方身份认证系统 Download PDFInfo
- Publication number
- CN101252438A CN101252438A CNA2008100841567A CN200810084156A CN101252438A CN 101252438 A CN101252438 A CN 101252438A CN A2008100841567 A CNA2008100841567 A CN A2008100841567A CN 200810084156 A CN200810084156 A CN 200810084156A CN 101252438 A CN101252438 A CN 101252438A
- Authority
- CN
- China
- Prior art keywords
- service system
- terminal
- mobile type
- algorithm
- application service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明采用一种基于可移动式IC的第三方身份认证系统,来解决互联网用户登录网络资源的安全性和便捷性的问题。本发明具体实现为:本发明由第三方提供安全认证,用户具有一个可移动式IC,可以在不同终端上实现安全的身份认证,使用便捷而且不用担心密码被盗。
Description
技术领域
本发明涉及一种基于可移动式IC的第三方身份认证系统。
背景技术
互联网提供的资源和服务的数量非常巨大并增长迅猛,互联网已经成为人们获取信息资源和信息服务的主要渠道,许多网上资源和服务要求用户进行登录和验证,这就出现了一些问题。首先,每个网络资源都采用不同的登录信息,登录信息繁多难记。其次,简单的用户名加密码的方式也存在着安全性太低的问题,满足不了很多网上应用的需要。一些对用户来说重要的资源和服务,如:网络游戏帐号、电子商务帐号等等,常常面临着网上安全性不足的困扰。最后,很多用户有着移动中登陆互联网资源或服务的需求,这就需要保证用户能够在不同环境中的终端上安全获取相同的权限。
现有一些第三方认证的解决方案,但都存在一些缺陷。
例如,有的解决方案是用户将在网上资源的用户名和密码保存在一个固定的网上认证服务方,用户登录该网上资源时由网上认证服务方以用户的用户名和密码自动完成网上资源的登录,这种方式虽然便捷,但是仍然采用固定不变的用户名和密码的方式向网上资源登录,安全性得不到保证。
又例如,有的解决方案采用终端用户在通过网上认证服务方的身份认证后,发送一个基于时间有效期的用户认证确认信息。这种方式里由于在有效期内认证确认信息是相同的,导致认证确认信息可能被盗用,如:无法防止同一IP或同一终端的重放攻击。
再例如,有的解决方案通过其它通信终端进行认证,如采用向用户QQ终端发送一个认证号码的方式。但这种方式里,用户的其它通信终端(如:QQ)不是主动参与传递认证信息过程的,因此,认证信息的传递需要经过用户的参与,需要用户进行再输入或拷贝粘贴的工作,繁琐而且容易出错。
最后,现有的方案里,网上认证服务方本身仍然采用用户名和密码的登录方式,安全性较低。
发明内容
本发明采用一种基于可移动式IC的第三方身份认证系统,来解决以上提到的问题。本发明由第三方提供安全认证,用户具有一个可移动式IC,一方面,通过由第三方完成的一次身份认证就可以便捷地访问各种不同的网络资源,另一方面,可移动式IC可以在不同终端上实现安全的身份认证。
本发明是这样实现的:该系统包括可移动式IC、终端、应用服务系统和认证服务系统,其中,终端、应用服务系统和认证服务系统分别连接于互联网,应用服务系统是通过互联网向终端用户提供服务的计算机系统,用户在终端上通过互联网使用应用服务系统提供的服务,应用服务系统通过认证服务系统对终端用户进行身份认证,其中,终端用户拥有可移动式IC,可移动式IC通过计算机外设标准接口连接于终端,认证服务系统通过可移动式IC对终端用户进行身份认证,认证服务系统在终端用户通过身份认证后可以将该终端用户的认证信息直接传递或经过终端传递给应用服务系统,其中,只有当可移动式IC与终端的连接标记有效时,认证服务系统才能向应用服务系统传递认证信息。
其中,每个认证信息只使用一次,并且无法由前一次的认证信息推知。
其中,当所述认证信息经过终端进行传递时,认证服务系统或应用服务系统能够通过终端上运行的应用程序向对方转发认证信息,终端程序能够识别该认证信息并完成对认证信息的转发,终端用户不需要知道认证信息的内容,终端用户不需要参与转发的过程。
其中,只有当可移动式IC与终端的连接标记有效时,认证服务系统才能向应用服务系统传递认证信息。所述的连接标记可以是连接认证后生成的有效期的标记、或是依赖特定程序对象的标记、或是当前连接是否有效的标记。例如:当可移动式IC通过认证服务系统认证后,认证服务系统就会生成一个时间有效期的标记,在此有效期内该终端的连接标记是有交的。又如:当可移动式IC通过认证服务系统认证后,终端上运行一程序对象,在该程序对象运行期间该终端的连接标记有效,在该程序中止时该终端的连接标记失效。再如:连接标记还可以设计成,当可移动式IC与终端相连接时,该终端的连接标记是有效的。
其中,所述的计算机外设标准接口为用于计算机与外部设备和可移动式存储设备相互连接通讯的有线或无线的标准接口,该标准接口是即插即用的,如:USB接口、蓝牙接口等等。即插即用是指:外设通过该接口与开机的计算机主机相连接后就可以马上相互通讯和使用,而不需重新启动计算机主机。
其中,终端、应用服务系统和认证服务系统是相互独立的。其中,所述的终端、应用服务系统和认证服务系统相互独立,是指三者分别独立运营,三者分别独立地连接于互联网,三者不属于同一独立实体,三者之间不具有归属关系。终端、应用服务系统和认证服务系统三者中任何一方对另一方的系统权限不拥有管理权或控制权。
其中,可移动式IC存储着数学算法或算法因子X,认证服务系统储存着对应的数学算法或算法因子Y,数学算法或算法因子X和数学算法或算法因子Y之间存在着对应关系,认证服务系统可以基于数学算法或算法因子X和数学算法或算法因子Y的对应关系对终端用户进行身份认证。根据具体实现的不同,数学算法或算法因子X和Y还可以和外部变量或参数结合起来进行计算以提高安全性,如:加入时间变量、加入认证服务器向终端发送的即时参数、加入计数器参数、加入随机变量、加入用户名和密码等等。
其中,数学算法或算法因子X和数学算法或算法因子Y是同一个对称加密的密钥、或一对非对称加密的密钥、或动态密码算法。
其中,所述可移动式IC可进行关于数学算法或算法因子X的数学运算,并将运算结果通过标准接口发送给终端。所述的数学运算可以为:加密、解密、数字摘要计算、单向函数计算、或动态密码计算等。所述的可移动式IC为具有计算和储存功能的集成电路,包括芯片和外围电路。
其中,终端用户在应用服务系统中具有用户识别码(APID),终端用户在认证服务系统中也具有用户识别码(AUID),APID与AUID存在对应关系,应用服务系统或者认证服务系统储存着APID与AUID的对应关系。所述的用户识别码可以是任何符号组成的序列。例如:APID和AUID可以是终端用户在应用服务系统和认证服务系统上的登录用户名或由系统随机生成的唯一字符串。又例如:AUID可以是“应用服务系统名称+APID”,应用服务系统可以直接基于APID得到AUID并把它发往相应的认证服务系统去请求身份认证。又例如:AUID可以是认证服务系统为终端用户生成的一个字符串,认证服务系统或者应用服务系统储存着该AUID与APID的对应关系列表,认证服务系统或者应用服务系统可以根据该列表和APID得到AUID。
其中,所述应用服务系统为多个,一个终端用户可以在几个应用服务系统上分别拥有几个不同的APID,这些APID可以对应于该用户的可移动式IC在同一个认证服务系统上的同一个AUID。
其中,所述认证服务系统为一个或多个,一个终端用户的可移动式IC可以分别在几个认证服务系统上拥有AUID,这些AUID可以对应于该用户在同一个应用服务系统上的同一个APID。
其中,所述终端为可连接于互联网的具有计算机功能的设备。
其中,所述应用服务系统为服务器或服务器群组,所述的认证服务系统为服务器或服务器群组。
其中,所述互联网的连接方式包括有线方式和无线方式。
其中,所述用户识别码是由任何符号组成的序列。
其中,所述的应用服务系统为在互联网上提供资源和服务的计算机系统。
其中,同一个可移动式IC可以在同一应用服务系统或认证服务系统上拥有多个APID或AUID。
在本发明中,为防止恶意爆发登陆请求和移动式IC丢失等问题,可以设置终端用户在认证服务系统、应用服务系统或移动式IC上登陆时需输入登陆密码。例如:在终端用户以登陆用户名和登陆密码通过了认证服务系统的简单认证后,再由认证服务系统通过移动式IC对其进行身份认证。又例如:在终端用户以登陆用户名和登陆密码通过了应用服务系统的简单认证后,应用服务系统再通过认证服务系统对终端进行身份认证。再例如:用户只有通过了移动式IC的登陆密码验证,才能以该移动式IC向认证服务系统进行身份认证。
本发明的内容是关于第三方的认证服务系统通过可移动式IC实现对终端用户的身份认证,而认证服务系统向应用服务系统传递终端用户的认证信息的具体方式则可以结合采用各种可能的方法。
其中,认证信息可以是任何信息,认证信息可以是由认证服务系统或应用服务系统生成的,认证信息的作用是将认证服务系统对终端的身份认证以某种方式告知应用服务系统。
本发明采用可移动式IC和第三方认证的方式相结合,可以使用户以最低的一次的硬件成本和时间成本实现在众多网络资源上的安全便捷的身份认证,即:一方面,用户只需拥有一个可移动式IC就可以实现对不同网上资源的安全认证,另一方面,用户只需通过向一个固定的第三方认证就可以实现对不同网上资源的访问。
附图说明
图1是本发明一实施例的系统结构示意图;
具体实施方式
图1是本发明一实施例的系统结构示意图。本实施例中,可移动式IC为USB闪存,其中存储着密钥X。终端为一具有USB接口的计算机,可移动式IC通过USB接口与终端相连接。应用服务系统为一互联网服务供应商的服务器设备。认证服务系统是第三方认证服务提供商的服务器设备。
本实施例的一种工作流程为:用户在终端上运行可移动IC上储存的可执行程序或登录认证服务系统网页,终端以可移动IC上的密钥X通过认证服务系统的身份认证;用户终端向应用服务系统请求认证,应用服务系统向认证服务系统请求对用户终端进行身份认证;认证服务系统向应用服务系统返回认证的结果。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,本领域技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (10)
1、一种基于可移动式IC的第三方身份认证系统,该系统包括可移动式IC、终端、应用服务系统和认证服务系统,其中,终端、应用服务系统和认证服务系统分别连接于互联网,应用服务系统是通过互联网向终端用户提供服务的计算机系统,用户在终端上通过互联网使用应用服务系统提供的服务,应用服务系统通过认证服务系统对终端用户进行身份认证,其特征在于,终端用户拥有可移动式IC,可移动式IC通过计算机外设标准接口连接于终端,认证服务系统通过可移动式IC对终端用户进行身份认证,认证服务系统在终端用户通过身份认证后可以将该终端用户的认证信息直接传递或经过终端传递给应用服务系统,其中,只有当可移动式IC与终端的连接标记有效时,认证服务系统才能向应用服务系统传递认证信息。
2、根据权利要求1所述的基于可移动式IC的第三方身份认证系统,其特征在于,每个认证信息只使用一次,并且无法由前一次的认证信息推知。
3、根据权利要求1至2其中之一所述的基于可移动式IC的第三方身份认证系统,其特征在于,当所述认证信息经过终端进行传递时,认证服务系统或应用服务系统能够通过终端上运行的应用程序向对方转发认证信息,终端程序能够识别该认证信息并完成对认证信息的转发,终端用户不需要知道认证信息的内容,终端用户不需要参与转发的过程。
4、根据权利要求1所述的基于可移动式IC的第三方身份认证系统,其特征在于,所述的计算机外设标准接口为用于计算机与外部设备和可移动式存储设备相互连接通讯的有线或无线的标准接口,该标准接口是即插即用的。
5、根据权利要求1所述的基于可移动式IC的第三方身份认证系统,其特征在于,终端、应用服务系统和认证服务系统是相互独立的。
6、根据权利要求1所述的基于可移动式IC的第三方身份认证系统,其特征在于,可移动式IC存储着数学算法或算法因子X,认证服务系统储存着对应的数学算法或算法因子Y,数学算法或算法因子X和数学算法或算法因子Y之间存在着对应关系,认证服务系统可以基于数学算法或算法因子X和数学算法或算法因子Y的对应关系对终端用户进行身份认证。
7、根据权利要求7所述的基于可移动式IC的第三方身份认证系统,其特征在于,数学算法或算法因子X和数学算法或算法因子Y是同一个对称加密的密钥、或一对非对称加密的密钥、或动态密码算法。
8、根据权利要求7所述的基于可移动式IC的第三方身份认证系统,其特征在于,所述可移动式IC可进行关于数学算法或算法因子X的数学运算,并将运算结果通过标准接口发送给终端。
9、根据权利要求1所述的基于可移动式IC的第三方身份认证系统,其特征在于,终端用户在应用服务系统中具有用户识别码(APID),终端用户在认证服务系统中也具有用户识别码(AUID),APID与AUID存在对应关系,应用服务系统或者认证服务系统储存着APID与AUID的对应关系。
10、根据权利要求9所述的基于可移动式IC的第三方身份认证系统,其特征在于,所述应用服务系统为多个,一个终端用户可以在几个应用服务系统上分别拥有几个不同的APID,这些APID可以对应于该用户的可移动式IC在同一个认证服务系统上的同一个AUID。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008100841567A CN101252438A (zh) | 2008-01-10 | 2008-03-27 | 基于可移动式ic的第三方身份认证系统 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810055847 | 2008-01-10 | ||
| CN200810055847.4 | 2008-01-10 | ||
| CNA2008100841567A CN101252438A (zh) | 2008-01-10 | 2008-03-27 | 基于可移动式ic的第三方身份认证系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101252438A true CN101252438A (zh) | 2008-08-27 |
Family
ID=39955636
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2008100841567A Pending CN101252438A (zh) | 2008-01-10 | 2008-03-27 | 基于可移动式ic的第三方身份认证系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101252438A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009089764A1 (fr) * | 2008-01-10 | 2009-07-23 | Shaohua Ren | Système et procédé d'authentification de réseau sécurisé |
| CN102510336A (zh) * | 2011-12-05 | 2012-06-20 | 任少华 | 安全的认证系统或方法 |
| CN104081804A (zh) * | 2013-01-17 | 2014-10-01 | 华为技术有限公司 | 一种移动网络对终端认证的方法和网元、终端 |
| CN105007274A (zh) * | 2015-07-27 | 2015-10-28 | 尤磊 | 一种基于移动终端的身份认证系统和方法 |
| WO2016107367A1 (zh) * | 2015-01-04 | 2016-07-07 | 华为技术有限公司 | 物联网中的认证信息的转发方法、装置以及转发器 |
-
2008
- 2008-03-27 CN CNA2008100841567A patent/CN101252438A/zh active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009089764A1 (fr) * | 2008-01-10 | 2009-07-23 | Shaohua Ren | Système et procédé d'authentification de réseau sécurisé |
| CN102510336A (zh) * | 2011-12-05 | 2012-06-20 | 任少华 | 安全的认证系统或方法 |
| CN104081804A (zh) * | 2013-01-17 | 2014-10-01 | 华为技术有限公司 | 一种移动网络对终端认证的方法和网元、终端 |
| CN104081804B (zh) * | 2013-01-17 | 2018-03-13 | 华为技术有限公司 | 一种移动网络对终端认证的方法和网元、终端 |
| WO2016107367A1 (zh) * | 2015-01-04 | 2016-07-07 | 华为技术有限公司 | 物联网中的认证信息的转发方法、装置以及转发器 |
| US10880297B2 (en) | 2015-01-04 | 2020-12-29 | Huawei Technologies Co., Ltd. | Forwarding method, forwarding apparatus, and forwarder for authentication information in Internet of Things |
| CN105007274A (zh) * | 2015-07-27 | 2015-10-28 | 尤磊 | 一种基于移动终端的身份认证系统和方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101978650B (zh) | 安全的网络认证系统和方法 | |
| CN101005359B (zh) | 一种实现终端设备间安全通信的方法及装置 | |
| CN103297403B (zh) | 一种实现动态密码认证的方法和系统 | |
| CN102984127B (zh) | 一种以用户为中心的移动互联网身份管理及认证方法 | |
| CN102171969B (zh) | 用于操作网络的方法,用于其的系统管理设备、网络和计算机程序 | |
| CN102624739B (zh) | 一种适用于客户端平台的认证授权方法和系统 | |
| EP4066434B1 (en) | Password-authenticated public key establishment | |
| CN105791272A (zh) | 一种物联网中的安全通信方法及装置 | |
| CN107251035A (zh) | 账户恢复协议 | |
| CN104883367B (zh) | 一种辅助验证登陆的方法、系统和应用客户端 | |
| CN113612605A (zh) | 使用对称密码技术增强mqtt协议身份认证方法、系统和设备 | |
| CN101291223A (zh) | 由第三方提供身份认证服务的系统和方法 | |
| CN101252577B (zh) | 一种三方密钥协商产生方法 | |
| CN102333085B (zh) | 安全的网络认证系统和方法 | |
| CN101202631A (zh) | 基于密钥和时间戳的身份认证系统和方法 | |
| CN101304318A (zh) | 安全的网络认证系统和方法 | |
| CN114765534B (zh) | 基于国密标识密码算法的私钥分发系统和方法 | |
| CN105075219A (zh) | 包括安全性管理服务器和家庭网络的网络系统、以及用于在网络系统中包括设备的方法 | |
| CN113411187A (zh) | 身份认证方法和系统、存储介质及处理器 | |
| CN103368831B (zh) | 一种基于熟客识别的匿名即时通讯系统 | |
| CN101252438A (zh) | 基于可移动式ic的第三方身份认证系统 | |
| CN103312672A (zh) | 身份认证方法及系统 | |
| CN106209835A (zh) | 对等网络通讯系统和方法 | |
| CN103546292A (zh) | 多识别码的第三方认证系统或方法 | |
| CN101442523A (zh) | 通过第三方的身份认证系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080827 |