CN101262342A - 分布式授权与验证方法、装置及系统 - Google Patents
分布式授权与验证方法、装置及系统 Download PDFInfo
- Publication number
- CN101262342A CN101262342A CNA2007100854596A CN200710085459A CN101262342A CN 101262342 A CN101262342 A CN 101262342A CN A2007100854596 A CNA2007100854596 A CN A2007100854596A CN 200710085459 A CN200710085459 A CN 200710085459A CN 101262342 A CN101262342 A CN 101262342A
- Authority
- CN
- China
- Prior art keywords
- voucher
- self
- authorization
- demand
- services
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Abstract
一种分布式授权与验证方法,包括:服务提供者产生包括权限凭证及其自我凭证的第一授权信息,并藉此建立与第一服务点的授权关系;第一服务点产生包括该第一授权信息中的权限凭证及其自我凭证的第二授权信息,并藉此建立与服务需求者的授权关系;当收到服务需求者提出的包括其被签发之授权信息的服务需求时,服务提供者要求第一服务点验证该服务需求中的授权信息的自我凭证;第一服务点进行验证;及当第一服务点验证成功时,服务提供者验证该服务需求中的授权信息的权限凭证,并在验证成功时,同意该服务需求。
Description
技术领域
本发明涉及一种授权与验证方法、装置及系统,特别是一种分布式授权与验证方法、装置及系统。
背景技术
随着网络越来越普及,服务需求者(Service Requester)可以通过网络使用由数不清的大大小小服务提供者(Service Provider)所提供的服务。为了使装置可与其它装置进行安全服务分享(Secure Service Sharing),作为服务提供者的装置会先对一些装置进行授权(Delegation),而这些装置又可以对其它装置进行授权,使得所有被授权的装置可以作为服务需求者使用该服务提供者提供的服务。所有装置的授权关系(DelegationRelationship)可以直接由中央服务器进行集中式管理(CentralizedManagement)。
然而,在某些情况下(例如,在限制网络(Restricted Network)环境中),由于所有装置无法存取该中央服务器,将导致不能进行服务分享。因此,在此种情况下,必须使用非集中式管理。
参见图1,美国专利公开No.20020073308揭示了一种用于管理属性凭证(Attribute Certificate)的方法。该方法适用于包括服务提供者11、服务需求者12及数据库13的系统。该服务提供者11是授权者(Delegator)。该服务需求者12是被授权者(Delegatee),并具有属性凭证16。该数据库13存储该服务需求者的公钥凭证(Public Key Certificate)17及该属性凭证的发出机构(IssuingAuthority)的公钥凭证18。
该服务提供者11接收该服务需求者12的属性凭证16,并从该属性凭证16中取出公钥凭证定位器(Locator)161,该公钥凭证定位器161识别该服务需求者的公钥凭证17及该属性凭证的发出机构的公钥凭证18的位置。该服务提供者11利用该公钥凭证定位器161从该数据库13中取出该服务需求者的公钥凭证17及该属性凭证的发出机构的公钥凭证18,并且利用取出的公钥凭证17、18验证该属性凭证16。当验证成功时,该服务提供者11根据存储在该属性凭证16中的权限属性(Authorization Attribute)同意该服务需求者12存取受控制的资源。
当该系统还包括至少具有属性凭证的服务点(Service Node)(图中未示出),使得该服务提供者11是原始授权者,该服务需求者12是目的被授权者,而该服务点先作为中间被授权者被授权后,再作为中间授权者进行授权时,该服务提供者11必须接收及验证该服务点及该服务需求者12的属性凭证。一旦服务点的数目多时,该服务提供者11将耗费大量的计算资源在验证上。
参见图2,美国专利公开No.20040073801揭示了一种串接授权方法。以下以该方法用于包括服务提供者21、二个服务点22、23及服务需求者24的系统为例进行说明。该方法包含以下步骤:
该服务提供者21传送第一授权记号(Delegation Token)到该服务点22;
该服务点22传送响应到该服务提供者21;
该服务提供者21传送第一签章(Signature)到该服务点22,该第一签章包括该第一授权记号的签章;
该服务点22传送第二授权记号到该服务点23;
该服务点23传送响应到该服务点22;
该服务点22传送第二签章到该服务点23,该第二签章包括该服务点22的第二授权记号的签章及来自该服务提供者21的第一授权记号与第一授权记号的签章;
该服务点23传送第三授权记号到该服务需求者24;
该服务需求者24传送响应到该服务点23;及
该服务点23传送第三签章到该服务需求者24,该第三签章包括该服务点23的第三授权记号的签章、来自该服务点22的第二授权记号与第二授权记号的签章及来自该服务提供者21的第一授权记号与第一授权记号的签章。
当该服务需求者24要使用该服务提供者21提供的服务时,必须传送该第三签章到该服务提供者21进行验证。
由于该串接授权方法是将该服务提供者21与该等服务点22、23的授权记号及授权记号的签章串接(Cascade)以产生给该服务需求者24的签章,一旦服务点的数目多时,产生的签章将会过长,不仅耗费大量网络通信资源,且会使得该服务提供者21耗费大量计算资源在验证上。
美国专利公开No.20040117623揭示了一种起始安全通信链接的方法。由于该美国专利公开与上一件美国专利公开的观念相似,因此使用相同的图式及编号来说明。以下以该方法用于包括服务提供者21、二个服务点22、23及服务需求者24的系统为例进行说明。该方法包含以下步骤:
该服务提供者21产生第一消息(Message),该第一消息包括第一记号及第一认证资料(Authentication Data),该第一记号包括第一金钥(Key)及相关的第一要求资料(Request Data),该第一认证资料包括使用该服务提供者21的密钥(Secret Key)操作该第一金钥及该第一要求资料中的至少一个所产生的资料;
该服务提供者21使用该服务提供者21及该服务点22都知道的金钥对该第一消息加密,以形成加密第一消息;
该服务提供者21传送该加密第一消息到该服务点22,以起始安全通信链接(Secure Communications Link);
该服务点22使用该服务点22及该服务提供者21都知道的金钥对该加密第一消息解密;
该服务点22产生第二消息,该第二消息包括第二记号、第二认证资料、该第一记号及该第一认证资料,该第二记号包括第二金钥及相关的第二要求资料,该第二认证资料包括使用该服务点22的密钥操作该第二金钥及该第二要求资料中的至少一个所产生的资料;
该服务点22使用该服务点22及该服务点23都知道的金钥对该第二消息加密,以形成加密第二消息;
该服务点22传送该加密第二消息到该服务点23以起始安全通信链接;
该服务点23使用该服务点23及该服务点22都知道的金钥对该加密第二消息解密;
该服务点23产生第三消息,该第三消息包括第三记号、第三认证资料、第二记号、第二认证资料、该第一记号及该第一认证资料,该第三记号包括第三金钥及相关的第三要求资料,该第三认证资料包括使用该服务点23的密钥操作该第三金钥及该第三要求资料中的至少一个所产生的资料;
该服务点23使用该服务点23及该服务需求者24都知道的金钥对该第三消息加密,以形成加密第三消息;
该服务点23传送该加密第三消息到该服务需求者24以起始安全通信链接;及
该服务需求者24使用该服务需求者24及该服务点23都知道的金钥对该加密第三消息解密。
当该服务需求者24要使用该服务提供者21提供的服务时,必须传送该第三消息到该服务提供者21进行验证。
由于该起始安全通信链接的方法是将该服务提供者21与该服务点22、23的记号及认证资料串接以产生给该服务需求者24的消息,一旦服务点的数目多时,产生的消息将会过长,不仅耗费大量网络通信资源,且会使得该服务提供者21耗费大量计算资源在验证上。
发明内容
因此,本发明的目的是提供一种可以降低传输资料量及避免单点计算量过大的分布式授权与验证方法。
本发明的另一个目的是提供一种可以降低传输资料量及避免单点计算量过大的分布式授权与验证系统。
而本发明的再一目的是提供一种可以降低传输资料量及避免单点计算量过大的分布式授权与验证装置。
根据本发明的一个方面,分布式授权与验证方法适用于包括服务提供者、第一服务点及服务需求者的授权链,且包含以下步骤:
(A)该服务提供者产生包括权限凭证及其自我凭证的第一授权信息,并藉此建立与该第一服务点的授权关系;
(B)该第一服务点产生包括该第一授权信息中的权限凭证及其自我凭证的第二授权信息,并藉此建立与该服务需求者的授权关系;
(C)当收到该服务需求者提出的包括其被签发的授权信息的服务需求时,该服务提供者要求该第一服务点验证该服务需求中的授权信息的自我凭证;
(D)该第一服务点进行验证;及
(E)当该第一服务点验证成功时,该服务提供者验证该服务需求中的授权信息的权限凭证,并在验证成功时,同意该服务需求。
而本发明分布式授权与验证系统包含服务提供者、至少一个服务点、服务需求者,分别作为原始授权者、中间的被授权者与授权者、目的被授权者。
该服务提供者产生包括权限凭证及其自我凭证的第一授权信息,并藉此与其被授权者建立授权关系,且要求该服务需求者的授权者验证服务需求中的自我凭证,当其被授权者验证成功时,验证该服务需求中的权限凭证,并在验证成功时,同意该服务需求。
每一个服务点产生包括该第一授权信息的权限凭证及其自我凭证的第二授权信息,并藉此与其被授权者建立授权关系,且验证被要求验证的自我凭证,并在验证成功时,要求其授权者验证其被签发的第二授权信息的自我凭证。
该服务需求者向该服务提供者提出包括其被签发之授权信息的该服务需求。
而本发明分布式授权与验证装置适用于包括服务提供者、至少一个服务点及服务需求者的授权链,且包含授权单元及验证单元。
该授权单元与其授权者建立授权关系,且产生包括权限凭证及自我凭证的授权信息,并藉此与其被授权者建立授权关系。
该验证单元根据该授权单元建立的授权关系,验证被要求验证的自我凭证。
附图说明
图1是说明现有技术中用于管理属性凭证的方法的示意图;
图2是说明现有技术中的串接授权方法及起始安全通信链接的方法的示意图;
图3是说明本发明分布式授权与验证方法的优选实施例的授权程序的流程图;
图4是说明该方法的优选实施例的验证程序的流程图;
图5是说明本发明分布式授权与验证装置的优选实施例的方框图;
图6是说明该装置安装在服务提供者时的授权动作的流程图;
图7是说明该装置安装在该服务提供者时的验证动作的流程图;
图8是说明该装置安装在服务点时的被授权动作的流程图;
图9是说明该装置安装在该服务点时的授权动作的流程图;
图10是说明该装置安装在该服务点时的验证动作的流程图;
图11是说明本发明分布式授权与验证方法的优选实施例的非正常授权程序的示意图;和
图12是说明本发明分布式授权与验证方法的优选实施例的非正常验证程序的示意图。
具体实施方式
有关本发明的前述及其它技术内容、特点与功效,在以下配合参考图式的优选实施例的详细说明中,将可清楚地呈现。
参见图3与图4,本发明分布式(Distributed)授权与验证方法的优选实施例适用于包括服务提供者36、服务需求者39及至少服务点的授权链(Delegation Chain)。该服务提供者36是原始授权者,该服务需求者39是目的被授权者,而该服务点先作为中间被授权者被授权后,再作为中间授权者进行授权。当该服务需求者39要求该服务提供者36提供服务时,该服务提供者36要求该服务点协助验证对该服务需求者39的授权。该方法包含授权程序及验证程序。以下以该授权链包括两个服务点37、38的情况为例进行说明。
该授权程序包括以下步骤:
在步骤301,该服务提供者36产生第一授权信息。
在本实施例中,授权信息包括授权者的自我凭证(Self-Credentials)及与所允许服务相关的权限凭证(Authority Credentials),且该权限凭证是由原始授权者产生。因此,在步骤301中,该第一授权信息包括该服务提供者36的自我凭证Cprovider及该服务提供者36产生的权限凭证Aprovider。
在步骤302,该服务提供者36更新记录在其离站授权表(OutboundDelegation Table)中的授权关系。
在本实施例中,离站授权表具有授权者的识别符(Identifier)、被授权者的识别符、原始授权者的识别符及授权者产生的授权信息。因此,在步骤302中,该离站授权表具有该服务提供者36的识别符、该服务点37的识别符、该服务提供者36的识别符、该服务提供者36的自我凭证Cprovider及该服务提供者36产生的权限凭证Aprovider。
在步骤303,该服务提供者36传送其产生的第一授权信息到该服务点37(此时作为中间被授权者)。
在步骤304,该服务点37更新记录在其入站授权表(Inbound DelegationTable)中的授权关系。
在本实施例中,入站授权表具有授权者的识别符、被授权者的识别符、原始授权者的识别符及授权者产生的授权信息。因此,在步骤304中,该入站授权表具有该服务提供者36的识别符、该服务点37的识别符、该服务提供者36的识别符、该服务提供者36的自我凭证Cprovider及该服务提供者36产生的权限凭证Aprovider。
通过步骤301至304,该服务提供者36建立与该服务点37的授权关系。
在步骤305,该服务点37(此时作为中间授权者)产生第二授权信息。在此步骤中,该第二授权信息包括该服务点37的自我凭证CA及该服务提供者36产生的权限凭证Aprovider。
在步骤306,该服务点37更新记录在其离站授权表中的授权关系。在此步骤中,该离站授权表具有该服务点37的识别符、该服务点38的识别符、该服务提供者36的识别符、该服务点37的自我凭证CA及该服务提供者36产生的权限凭证Aprovider。
在步骤307,该服务点37传送其产生的第二授权信息到该服务点38(此时作为中间被授权者)。
在步骤308,该服务点38更新记录在其入站授权表中的授权关系。在此步骤中,该入站授权表具有该服务点37的识别符、该服务点38的识别符、该服务提供者36的识别符、该服务点37的自我凭证CA及该服务提供者36产生的权限凭证Aprovider。
通过步骤305至308,该服务点37建立与该服务点38的授权关系。
在步骤309,该服务点38(此时作为中间授权者)产生第三授权信息。在此步骤中,该第三授权信息包括该服务点38的自我凭证CB及该服务提供者36产生的权限凭证Aprovider。
在步骤310,该服务点38更新记录在其离站授权表中的授权关系。在此步骤中,该离站授权表具有该服务点38的识别符、该服务需求者39的识别符、该服务提供者36的识别符、该服务点38的自我凭证CB及该服务提供者36产生的权限凭证Aprovider。
在步骤311,该服务点38传送其产生的第三授权信息到该服务需求者39。
在步骤312,该服务需求者39更新记录在其入站授权表中的授权关系。在此步骤中,该入站授权表具有该服务点38的识别符、该服务需求者39的识别符、该服务提供者36的识别符、该服务点38的自我凭证CB及该服务提供者36产生的权限凭证Aprovider。
通过步骤309至312,该服务点38建立与该服务需求者39的授权关系。
该验证程序包括以下步骤:
在步骤401,该服务需求者39对该服务提供者36提出包括其被签发的授权信息的服务需求。在此步骤中,该授权信息包括该服务点38的自我凭证CB及该服务提供者36产生的权限凭证Aprovider。
在步骤402,该服务提供者36根据其离站授权表存储的授权关系决定该服务需求者39不是由其授权(即判断其离站授权表中的被授权者的识别符与该服务需求者39的识别符不同)。
在步骤403,该服务提供者36要求该服务点38验证该服务需求中的授权信息的自我凭证。在此步骤中,该自我凭证是该服务点38的自我凭证CB。
在步骤404,该服务点38利用其离站授权表存储的授权关系来验证被要求验证的自我凭证。
在本实施例中,该服务点38验证的方式是判断被要求验证的自我凭证是否与其离站授权表中的自我凭证相同(即判断被要求验证的自我凭证是否与其自我凭证相同)以及判断其离站授权表中的被授权者的识别符是否与该服务需求者39的识别符相同(即判断与该服务需求者39之间是否存在授权关系)。
在步骤405,该服务点38利用其入站授权表存储的授权关系决定其是由该服务点37授权。
在步骤406,该服务点38要求该服务点37验证其被签发的第二授权信息的自我凭证。在此步骤中,该自我凭证是该服务点37的自我凭证CA。
在步骤407,该服务点37利用其离站授权表存储的授权关系来验证被要求验证的自我凭证。
在本实施例中,该服务点37验证的方式是判断被要求验证的自我凭证是否与其离站授权表中的自我凭证相同(即判断被要求验证的自我凭证是否与其自我凭证相同)以及判断其离站授权表中的被授权者的识别符是否与该服务点38的识别符相同(即判断与该服务点38之间是否存在授权关系)。
在步骤408,该服务点37利用其入站授权表存储的授权关系决定其是由该服务提供者36授权。
在步骤409,该服务点37要求该服务提供者36验证其被签发的第一授权信息的自我凭证。在此步骤中,该自我凭证是该服务提供者36的自我凭证Cprovider。
在步骤410,该服务提供者36利用其离站授权表存储的授权关系来验证被要求验证的自我凭证及该服务需求中的授权信息的权限凭证。
在本实施例中,该服务提供者36验证的方式是判断被要求验证的自我凭证及该服务需求中的授权信息的权限凭证是否与其离站授权表中的自我凭证及权限凭证相同(即判断被要求验证的自我凭证是否与其自我凭证相同,且该服务需求中的授权信息的权限凭证是否与其产生的权限凭证相同),以及判断其离站授权表中的被授权者的识别符是否与该服务点37的识别符相同(即判断与该服务点37之间是否存在授权关系)。
在步骤411,该服务提供者36同意该服务需求者39提出的服务需求。
虽然本发明的分布式授权与验证方法可以用于包括服务提供者36、服务需求者39及至少一个服务点的授权链中,但也可以用于只有服务提供者及服务需求者的情况。
以上只说明该服务提供者36、该多个服务点37、38及该服务需求者39之间如何作动,而该服务提供者36及该多个服务点37、38所使用的装置及动作流程将在以下详细说明。
参见图5,该服务提供者36及该多个服务点37、38所使用的分布式授权与验证装置包含通信单元501、授权数据库502、金钥数据库503、地址数据库504、地址决定单元505、授权单元506及验证单元507。
该通信单元501用于传送资料到外界及接收外界的资料。
该授权数据库502存储离站授权表及入站授权表中的至少一个,用于记录授权关系。
该金钥数据库503存储至少一个金钥。
该地址数据库504存储该授权链中与其有直接授权或被授权关系的装置的地址信息。
该地址决定单元505用于更新该地址数据库504,且从其中决定该验证单元507所需的地址信息。
参阅图5与图6,当该分布式授权与验证装置安装在该服务提供者36时,该授权单元506在授权时的动作流程包括以下步骤:
在步骤611,产生权限凭证。
在步骤612,根据该金钥数据库503存储的金钥,以对称或非对称密码技术产生该服务提供者36的自我凭证。
在步骤613,更新该授权数据库502存储的离站授权表。此时,该地址决定单元505更新该地址数据库504。
在步骤614,通过该通信单元501传送该权限凭证及该自我凭证到该服务提供者36的被授权者。
参见图5与图7,当该分布式授权与验证装置安装在该服务提供者36时,该验证单元507的动作流程包括以下步骤:
在步骤621,通过该通信单元501接收该服务需求者39传来的包括其被签发的自我凭证及权限凭证的服务需求。跳到步骤622。
在步骤622,根据该授权数据库502存储的离站授权表决定该服务需求者39是否由该服务提供者36授权。如果是,则跳到步骤627,如果否,则跳到步骤623。
在步骤623,通过该通信单元501要求该服务需求者39的授权者验证该服务需求中的自我凭证。此时,该地址决定单元505决定该服务需求者39的授权者的地址信息。然后,跳到步骤624。
在步骤624,通过该通信单元501接收服务点传来的信号(可能是验证失败信号或该服务点在被授权时收到的自我凭证)。然后,跳到步骤625。
在步骤625,决定是否接收到验证失败信号。如果是,则跳到步骤629,如果否,则跳到步骤626。
在步骤626,根据该授权数据库502存储的离站授权表验证在步骤624收到的自我凭证是否正确。如果是,则跳到步骤627,如果否,则跳到步骤629。
在步骤627,根据该授权数据库502存储的离站授权表验证在步骤621收到的权限凭证是否正确。如果是,则跳到步骤628,如果否,则跳到步骤629。
在步骤628,通过该通信单元501传送同意信号到该服务需求者39。
在步骤629,通过该通信单元501传送拒绝信号到该服务需求者39。
参见图5与图8,当该分布式授权与验证装置安装在该服务点37、38时,该授权单元506在被授权时的动作流程包括以下步骤:
在步骤701,通过该通信单元501接收其授权者传来的权限凭证及自我凭证。
在步骤702,更新该授权数据库502存储的入站授权表。此时,该地址决定单元505更新该地址数据库504。
参见图5与图9,当该分布式授权与验证装置安装在该服务点37、38时,该授权单元506在授权时的动作流程包括以下步骤:
在步骤711,准备该服务提供者36产生的权限凭证。
在步骤712,根据该金钥数据库503存储的金钥,以对称或非对称密码技术产生该服务点的自我凭证。
在步骤713,更新该授权数据库502存储的离站授权表。此时,该地址决定单元505更新该地址数据库504。
在步骤714,通过该通信单元501传送该权限凭证及该自我凭证到该服务点的被授权者。
参见图5与图10,当该分布式授权与验证装置安装在该服务点37、38时,该验证单元507的动作流程包括以下步骤:
在步骤721,通过该通信单元501接收被要求验证的自我凭证。跳到步骤722。
在步骤722,根据该授权数据库502存储的离站授权表验证在步骤721中收到的自我凭证是否正确。如果是,则跳到步骤723,如果否,则跳到步骤725。
在步骤723,根据该授权数据库502存储的入站授权表决定该服务点的授权者。然后,跳到步骤724。
在步骤724,通过该通信单元501要求该服务点的授权者验证该服务点被签发的自我凭证。此时,该地址决定单元505决定该服务点的授权者的地址信息。
在步骤725,通过该通信单元501传送验证失败信号到该服务提供者36。此时,该地址决定单元505决定该服务提供者36的地址信息。
值得注意的是,在步骤403及步骤623中,该服务提供者36是借助点对点查询服务,查出该服务需求中的授权信息是由该服务点38所签发的,再要求该服务点38验证该服务需求中的自我凭证,但也可以是该服务提供者36根据其建立的授权关系,要求该服务点37验证该服务需求中的自我凭证,该服务点37进行验证,并在无法验证时,根据其建立的授权关系,要求该服务点38验证该服务需求中的自我凭证。
在步骤725中,该多个服务点37、38通过点对点查询服务,查出该服务提供者36的地址信息,再传送验证失败信号到该服务提供者36,但也可以是该等服务点37、38根据其建立的授权关系,传送验证失败信号到其授权者,该授权者根据其建立的授权关系,传送该验证失败信号到其授权者,如此重复,以传送该验证失败信号到该服务提供者36,例如:该服务点38根据其建立的授权关系,传送验证失败信号到该服务点37,该服务点37根据其建立的授权关系,传送该验证失败信号到该服务提供者36。
本发明分布式授权与验证系统包括上述的服务提供者36、服务点及服务需求者39。
以下举一个简单例子说明本发明如何达成安全服务分享。
参见图11,服务提供者91产生包括权限凭证及其自我凭证的第一授权信息,并欲此建立与服务点92的授权关系。服务点93窃取该第一授权信息,并产生包括该第一授权信息的权限凭证及其自我凭证的第二授权信息,且由此建立与服务点94的授权关系。该服务点94产生包括该第二授权信息的权限凭证及其自我凭证的第三授权信息,并由此建立与服务需求者95的授权关系。
参见图12,该服务需求者95对该服务提供者91提出包括其被签发的授权信息(即该第三授权信息)的服务需求。该服务提供者91要求该服务点94验证该服务需求中的授权信息的自我凭证。该服务点94进行验证,并在验证成功时,要求该服务点93验证该第二授权信息的自我凭证。该服务点93进行验证,并在验证成功时,要求该服务提供者91验证该第一授权信息的自我凭证。该服务提供者91根据其离站授权表进行验证,并确认其与该服务点93之间不存在授权关系(因为该服务点93的识别符没有记录在该服务提供者91的离站授权表中),因此拒绝该服务需者95提出的服务需求。
综上所述,由于每一授权信息是包括该授权者的自我凭证及与所允许服务相关的权限凭证,并不会随着服务点的数目增加而变长,可以降低传输资料量。另外,每一授权信息中的自我凭证是由其产生者进行验证,可以避免该服务提供者的计算量过大。因此,与现有技术相比,确实可以达到本发明的目的。
以上所说明的仅是本发明的优选实施例,而不能以此限定本发明实施的范围,本领域技术人员在不脱离所附权利要求所限定的精神和范围的情况下对本发明内容所作的简单的等效变化与修饰,皆属于本发明涵盖的范围。
Claims (28)
1. 一种分布式授权与验证方法,适用于包括服务提供者、第一服务点及服务需求者的授权链,所述方法包含步骤:
(A)所述服务提供者产生包括权限凭证及其自我凭证的第一授权信息,并藉此建立与所述第一服务点的授权关系;
(B)所述第一服务点产生包括该第一授权信息中的权限凭证及其自我凭证的第二授权信息,并藉此建立与所述服务需求者的授权关系;
(C)当收到所述服务需求者提出的包括其被签发的授权信息的服务需求时,所述服务提供者要求所述第一服务点验证该服务需求中的授权信息的自我凭证;
(D)所述第一服务点进行验证;及
(E)当所述第一服务点验证成功时,所述服务提供者验证该服务需求中的授权信息的权限凭证,并在验证成功时,同意该服务需求。
2. 根据权利要求1所述的分布式授权与验证方法,其中,所述第一服务点验证的方式是根据建立的授权关系判断被要求验证的自我凭证是否与其自我凭证相同。
3. 根据权利要求2所述的分布式授权与验证方法,其中,在步骤(D)中,所述第一服务点还在验证成功时,要求所述服务提供者验证该第一授权信息的自我凭证,在步骤(E)中,所述服务提供者还根据建立的授权关系判断被要求验证的自我凭证是否与其自我凭证相同。
4. 根据权利要求1所述的分布式授权与验证方法,其中,每一个自我凭证是根据对称及非对称密码技术中的一种而产生的。
5. 根据权利要求1所述的分布式授权与验证方法,该授权链还包括第二服务点,其中,在步骤(B)中,所述第一服务点先通过该第二授权信息建立与所述第二服务点的授权关系,所述第二服务点再产生包括该第二授权信息中的权限凭证及其自我凭证的第三授权信息,并通过此建立与该服务需求者的授权关系,在步骤(C)中,所述服务提供者先要求所述第二服务点验证该服务需求中的授权信息的自我凭证,所述第二服务点进行验证,并在验证成功时,再要求所述第一服务点验证该第二授权信息的自我凭证。
6. 根据权利要求5所述的分布式授权与验证方法,其中,在步骤(C)中,所述服务提供者要求所述第二服务点验证该服务需求中的授权信息的自我凭证的方式是:所述服务提供者先根据其建立的授权关系,要求所述第一服务点验证该服务需求中的授权信息的自我凭证,所述第一服务点进行验证,并在无法验证时,再根据其建立的授权关系,要求所述第二服务点验证该服务需求中的授权信息的自我凭证。
7. 根据权利要求5所述的分布式授权与验证方法,其中,在步骤(C)中,所述服务提供者要求该第二服务点验证该服务需求中的授权信息的自我凭证的方式是:该服务提供者先通过点对点查询服务,查出该服务需求中的授权信息是由所述第二服务点所签发的,再要求所述第二服务点验证该服务需求中的授权信息的自我凭证。
8. 根据权利要求5所述的分布式授权与验证方法,其中,每一个服务点验证的方式是根据建立的授权关系判断被要求验证的自我凭证是否与其自我凭证相同。
9. 根据权利要求5所述的分布式授权与验证方法,其中,每一个自我凭证是根据对称及非对称密码技术中的一种而产生的。
10. 一种分布式授权与验证系统,包括:
服务提供者、至少一个服务点、服务需求者,分别作为原始授权者、中间的被授权者与授权者、目的被授权者;
所述服务提供者产生包括权限凭证及其自我凭证的第一授权信息,并藉此与其被授权者建立授权关系,且要求所述服务需求者的授权者验证服务需求中的自我凭证,当其被授权者验证成功时,验证该服务需求中的权限凭证,并在验证成功时,同意该服务需求;
每一个服务点产生包括该第一授权信息的权限凭证及其自我凭证的第二授权信息,并藉此与其被授权者建立授权关系,且验证被要求验证的自我凭证,并在验证成功时,要求其授权者验证其被签发的第二授权信息的自我凭证;
所述服务需求者向该服务提供者提出包括其被签发的授权信息的该服务需求。
11. 根据权利要求10所述的分布式授权与验证系统,其中,每一个服务点验证的方式是根据建立的授权关系判断被要求验证的自我凭证是否与其自我凭证相同。
12. 根据权利要求11所述的分布式授权与验证系统,其中,所述服务提供者的被授权者还在验证成功时,要求所述服务提供者验证该第一授权信息的自我凭证,所述服务提供者还根据建立的授权关系判断被要求验证的自我凭证是否与其自我凭证相同。
13. 根据权利要求10所述的分布式授权与验证系统,其中,每一个自我凭证是根据对称及非对称密码技术中的一种而产生的。
14. 根据权利要求10所述的分布式授权与验证系统,其中,所述服务提供者要求该服务需求者的授权者验证该服务需求中的自我凭证的方式是:所述服务提供者根据其建立的授权关系,要求其被授权者验证该服务需求中的自我凭证,每一个服务点验证该服务需求中的自我凭证,并在无法验证时,根据其建立的授权关系,要求其被授权者验证该服务需求中的自我凭证。
15. 根据权利要求10所述的分布式授权与验证系统,其中,所述服务提供者通过点对点查询服务查出所述服务需求者的授权者。
16. 一种分布式授权与验证装置,适用于包括服务提供者、至少一个服务点及服务需求者的授权链,所述装置包括:
授权单元,与其授权者建立授权关系,且产生包括权限凭证及自我凭证的授权信息,并藉此与其被授权者建立授权关系;及
验证单元,根据所述授权单元建立的授权关系,验证被要求验证的自我凭证。
17. 根据权利要求16所述的分布式授权与验证装置,还包括存储至少一个金钥的金钥数据库,所述授权单元是根据所述金钥数据库存储的金钥,以对称及非对称密码技术中的一种来产生自我凭证。
18. 根据权利要求16所述的分布式授权与验证装置,还包括存储离站授权表及入站授权表中的至少一个的授权数据库,所述离站授权表用于记录与其被授权者的授权关系,所述入站授权表用于记录与其授权者的授权关系。
19. 根据权利要求16所述的分布式授权与验证装置,还包括地址决定单元,所述地址决定单元根据所述授权单元建立的授权关系,存储并决定其被授权者及其授权者的地址信息。
20. 根据权利要求16所述的分布式授权与验证装置,当安装在所述服务提供者时,所述授权单元产生包括权限凭证及该服务提供者的自我凭证的第一授权信息,并藉此与其被授权者建立授权关系,所述验证单元要求所述服务需求者的授权者验证包括所述服务需求者被签发的授权信息的服务需求中的自我凭证,当其被授权者验证成功时,验证该服务需求中的权限凭证,并在验证成功时,同意该服务需求。
21. 根据权利要求20所述的分布式授权与验证装置,其中,所述验证单元还验证由其被授权者要求验证的自我凭证。
22. 根据权利要求21所述的分布式授权与验证装置,其中,所述验证单元验证的方式是根据所述授权单元建立的授权关系判断要被验证的自我凭证是否与该服务提供者之自我凭证相同。
23. 根据权利要求20所述的分布式授权与验证装置,其中,所述验证单元要求所述服务需求者的授权者验证该服务需求中的自我凭证的方式是:所述验证单元根据所述授权单元建立的授权关系,要求其被授权者验证该服务需求中的自我凭证。
24. 根据权利要求20所述的分布式授权与验证装置,其中,所述验证单元通过点对点查询服务查出所述服务需求者的授权者。
25. 根据权利要求16所述的分布式授权与验证装置,当安装在所述服务点时,所述授权单元产生包括第一授权信息的权限凭证及所述服务点的自我凭证的第二授权信息,并由此与其被授权者建立授权关系,该第一授权信息包括权限凭证及所述服务提供者的自我凭证,所述验证单元验证由其被授权者要求验证的自我凭证,并在验证成功时,要求其授权者验证该授权者签发的第二授权信息的自我凭证。
26. 根据权利要求25所述的分布式授权与验证装置,其中,所述验证单元验证的方式是根据所述授权单元建立的授权关系判断要被要验证的自我凭证是否与所述服务点的自我凭证相同。
27. 根据权利要求25所述的分布式授权与验证装置,如果所述装置是所述服务提供者的被授权者,则所述验证单元还在验证成功时,要求所述服务提供者验证该第一授权信息的自我凭证。
28. 根据权利要求25所述的分布式授权与验证装置,其中,所述验证单元还验证由其授权者要求验证的该服务需求中的自我凭证,并在无法验证时,根据所述授权单元建立的授权关系,要求其被授权者验证该服务需求中的自我凭证。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007100854596A CN101262342A (zh) | 2007-03-05 | 2007-03-05 | 分布式授权与验证方法、装置及系统 |
| US12/377,053 US20100154040A1 (en) | 2007-03-05 | 2008-02-29 | Method, apparatus and system for distributed delegation and verification |
| PCT/JP2008/054103 WO2008111494A1 (en) | 2007-03-05 | 2008-02-29 | Method, apparatus and system for distributed delegation and verification |
| JP2009504924A JP5215289B2 (ja) | 2007-03-05 | 2008-02-29 | 分散式の委任および検証のための方法、装置、およびシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007100854596A CN101262342A (zh) | 2007-03-05 | 2007-03-05 | 分布式授权与验证方法、装置及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101262342A true CN101262342A (zh) | 2008-09-10 |
Family
ID=39619208
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007100854596A Pending CN101262342A (zh) | 2007-03-05 | 2007-03-05 | 分布式授权与验证方法、装置及系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20100154040A1 (zh) |
| JP (1) | JP5215289B2 (zh) |
| CN (1) | CN101262342A (zh) |
| WO (1) | WO2008111494A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010072158A1 (zh) * | 2008-12-24 | 2010-07-01 | 华为技术有限公司 | 一种业务链中的用户身份验证方法、设备及系统 |
| CN106960128A (zh) * | 2017-04-01 | 2017-07-18 | 武汉康慧然信息技术咨询有限公司 | 基于分布式验证技术的智慧医疗数据管理方法及系统 |
| CN107862569A (zh) * | 2017-10-31 | 2018-03-30 | 北京知果科技有限公司 | 知识产权经纪人服务方法、装置和服务器 |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5405704B2 (ja) * | 1999-06-18 | 2014-02-05 | イーチャージ コーポレーション | 仮想支払アカウントを用いてインターネットワークを介して商品、サービス及びコンテンツを注文する方法及び装置 |
| US8505078B2 (en) | 2008-12-28 | 2013-08-06 | Qualcomm Incorporated | Apparatus and methods for providing authorized device access |
| US8572709B2 (en) * | 2010-05-05 | 2013-10-29 | International Business Machines Corporation | Method for managing shared accounts in an identity management system |
| AU2010246354B1 (en) | 2010-11-22 | 2011-11-03 | Microsoft Technology Licensing, Llc | Back-end constrained delegation model |
| US9237155B1 (en) | 2010-12-06 | 2016-01-12 | Amazon Technologies, Inc. | Distributed policy enforcement with optimizing policy transformations |
| US8769642B1 (en) * | 2011-05-31 | 2014-07-01 | Amazon Technologies, Inc. | Techniques for delegation of access privileges |
| US11334884B2 (en) * | 2012-05-04 | 2022-05-17 | Institutional Cash Distributors Technology, Llc | Encapsulated security tokens for electronic transactions |
| US10423952B2 (en) * | 2013-05-06 | 2019-09-24 | Institutional Cash Distributors Technology, Llc | Encapsulated security tokens for electronic transactions |
| US10410213B2 (en) * | 2012-05-04 | 2019-09-10 | Institutional Cash Distributors Technology, Llc | Encapsulated security tokens for electronic transactions |
| CN102882882B (zh) * | 2012-10-10 | 2015-11-04 | 深圳数字电视国家工程实验室股份有限公司 | 一种用户资源授权方法 |
| CN104243491B (zh) * | 2014-09-30 | 2017-08-29 | 深圳数字电视国家工程实验室股份有限公司 | 一种可信安全服务的控制方法及系统 |
| CN106911641A (zh) * | 2015-12-23 | 2017-06-30 | 索尼公司 | 用于授权访问的客户端装置、服务器装置和访问控制系统 |
| US10419214B2 (en) * | 2015-12-28 | 2019-09-17 | Dell Products L.P. | Mobile device management delegate for managing isolated devices |
| US10735425B2 (en) | 2017-01-31 | 2020-08-04 | Pivotal Software, Inc. | Invocation path security in distributed systems |
| CN107566337B (zh) | 2017-07-26 | 2019-08-09 | 阿里巴巴集团控股有限公司 | 一种区块链节点间的通信方法及装置 |
| US10735205B1 (en) * | 2019-03-08 | 2020-08-04 | Ares Technologies, Inc. | Methods and systems for implementing an anonymized attestation chain |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000041035A (ja) * | 1998-07-23 | 2000-02-08 | Ntt Data Corp | 認証システム、認証方法、及び記録媒体 |
| US6367009B1 (en) * | 1998-12-17 | 2002-04-02 | International Business Machines Corporation | Extending SSL to a multi-tier environment using delegation of authentication and authority |
| US6711679B1 (en) * | 1999-03-31 | 2004-03-23 | International Business Machines Corporation | Public key infrastructure delegation |
| JP2002139997A (ja) * | 2000-11-02 | 2002-05-17 | Dainippon Printing Co Ltd | 電子捺印システム |
| JP2002163235A (ja) * | 2000-11-28 | 2002-06-07 | Mitsubishi Electric Corp | アクセス権限譲渡装置、共有リソース管理システム及びアクセス権限設定方法 |
| US7356690B2 (en) * | 2000-12-11 | 2008-04-08 | International Business Machines Corporation | Method and system for managing a distributed trust path locator for public key certificates relating to the trust path of an X.509 attribute certificate |
| US7073195B2 (en) * | 2002-01-28 | 2006-07-04 | Intel Corporation | Controlled access to credential information of delegators in delegation relationships |
| GB2392590B (en) * | 2002-08-30 | 2005-02-23 | Toshiba Res Europ Ltd | Methods and apparatus for secure data communication links |
| GB2405566B (en) * | 2002-10-14 | 2005-05-18 | Toshiba Res Europ Ltd | Methods and systems for flexible delegation |
| JP2004272669A (ja) * | 2003-03-10 | 2004-09-30 | Hitachi Ltd | グリッドコンピューティングにおける課金管理方法及び課金管理装置 |
| US20050172013A1 (en) * | 2004-02-04 | 2005-08-04 | Tan Yih-Shin | Methods, systems, and computer program products for configuring rules for service nodes in grid service architecture systems |
| US8340283B2 (en) * | 2004-06-30 | 2012-12-25 | International Business Machines Corporation | Method and system for a PKI-based delegation process |
-
2007
- 2007-03-05 CN CNA2007100854596A patent/CN101262342A/zh active Pending
-
2008
- 2008-02-29 WO PCT/JP2008/054103 patent/WO2008111494A1/en active Application Filing
- 2008-02-29 US US12/377,053 patent/US20100154040A1/en not_active Abandoned
- 2008-02-29 JP JP2009504924A patent/JP5215289B2/ja not_active Expired - Fee Related
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010072158A1 (zh) * | 2008-12-24 | 2010-07-01 | 华为技术有限公司 | 一种业务链中的用户身份验证方法、设备及系统 |
| CN101764791B (zh) * | 2008-12-24 | 2013-08-28 | 华为技术有限公司 | 一种业务链中的用户身份验证方法、设备及系统 |
| CN106960128A (zh) * | 2017-04-01 | 2017-07-18 | 武汉康慧然信息技术咨询有限公司 | 基于分布式验证技术的智慧医疗数据管理方法及系统 |
| CN106960128B (zh) * | 2017-04-01 | 2019-07-02 | 浙江新安国际医院有限公司 | 基于分布式验证技术的智慧医疗数据管理方法及系统 |
| CN107862569A (zh) * | 2017-10-31 | 2018-03-30 | 北京知果科技有限公司 | 知识产权经纪人服务方法、装置和服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20100154040A1 (en) | 2010-06-17 |
| JP5215289B2 (ja) | 2013-06-19 |
| JP2010520518A (ja) | 2010-06-10 |
| WO2008111494A1 (en) | 2008-09-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101262342A (zh) | 分布式授权与验证方法、装置及系统 | |
| CN109617698B (zh) | 发放数字证书的方法、数字证书颁发中心和介质 | |
| CN111049660B (zh) | 证书分发方法、系统、装置及设备、存储介质 | |
| CN108684041B (zh) | 登录认证的系统和方法 | |
| CN100580657C (zh) | 分布式单一注册服务 | |
| CN101547095B (zh) | 基于数字证书的应用服务管理系统及管理方法 | |
| TWI497336B (zh) | 用於資料安全之裝置及電腦程式 | |
| CN104753881B (zh) | 一种基于软件数字证书和时间戳的WebService安全认证访问控制方法 | |
| CN101378315B (zh) | 认证报文的方法、系统、设备和服务器 | |
| CN102217277A (zh) | 基于令牌进行认证的方法和系统 | |
| CN103229452A (zh) | 移动手持设备的识别和通信认证 | |
| CN104767731A (zh) | 一种Restful移动交易系统身份认证防护方法 | |
| CN103001936B (zh) | 一种第三方应用接口授权方法和系统 | |
| KR20140134663A (ko) | 통신단말기의 사용자 id 검증방법 및 관련 시스템 | |
| EP2747377A2 (en) | Trusted certificate authority to create certificates based on capabilities of processes | |
| EP3966997B1 (en) | Methods and devices for public key management using a blockchain | |
| CN113312664B (zh) | 用户数据授权方法及用户数据授权系统 | |
| CN102893575A (zh) | 借助于ipsec和ike第1版认证的一次性密码 | |
| CN100377525C (zh) | 流媒体业务服务实现方法、业务提供系统及运营支撑系统 | |
| US20170104748A1 (en) | System and method for managing network access with a certificate having soft expiration | |
| CN110929231A (zh) | 数字资产的授权方法、装置和服务器 | |
| JP2023548415A (ja) | 保護装置によって達成される対象物の保護を停止する方法 | |
| CN112383401B (zh) | 一种提供身份鉴别服务的用户名生成方法及系统 | |
| JPH05298174A (ja) | 遠隔ファイルアクセスシステム | |
| CN106936760A (zh) | 一种登录Openstack云系统虚拟机的装置和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080910 |