CN101931533B - 认证方法、装置和系统 - Google Patents
认证方法、装置和系统 Download PDFInfo
- Publication number
- CN101931533B CN101931533B CN201010260404.6A CN201010260404A CN101931533B CN 101931533 B CN101931533 B CN 101931533B CN 201010260404 A CN201010260404 A CN 201010260404A CN 101931533 B CN101931533 B CN 101931533B
- Authority
- CN
- China
- Prior art keywords
- authentication
- application server
- client
- access request
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0846—Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明揭示了一种认证方法,包括:认证网关根据接收到的客户端发送的访问请求,返回携带临时认证信息的访问响应消息;客户端根据访问响应消息携带的临时认证信息生成认证码;客户端通过应用服务器发送携带认证码的认证请求到认证网关;当验证认证请求通过时,认证网关回复携带H(A1)加密信息的认证响应到应用服务器缓存。本发明还提供对应的装置和系统。采用客户端首次访问请求由认证网关认证,后续的认证由应用服务器实现,对系统处理性能影响小;当访问请求在统一认证网关认证通过后,会将包含密码信息的H(A1)加密信息发送到应用服务器,后续的认证由应用服务器实现,对系统处理性能影响小;节约了网络资源的同时提高了用户体验。
Description
技术领域
本发明涉及到通信技术领域,特别涉及到一种认证方法、装置和系统。
背景技术
随着企业业务的发展,企业业务应用系统数量也随着迅速增加。目前企业业务应用系统的实现方式是,用户的密码信息分别由各个业务的应用服务器各自保存。当用户需要访问不同的应用服务器时,先向应用服务器提供自身的用户密码,当应用服务器验证用户密码正确时,用户可以使用对应业务。
在具体实施过程中,每次访问应用服务器,用户必须向不同的应用服务器一一输入用户密码。在应用系统成倍增加的情况时,用户必须多次输入,造成资源浪费的同时用户体验也不好。
发明内容
本发明的主要目的为提供一种实现统一认证的认证方法以及装置和系统,避免了用户向不同的应用服务器一一输入用户密码造成用户体验不好。
本发明提出一种认证方法,包括:
认证网关根据接收到的客户端发送的访问请求,返回携带临时认证信息的访问响应消息;
客户端根据所述访问响应消息携带的临时认证信息生成认证码;
客户端通过应用服务器发送携带所述认证码的认证请求到认证网关;
当验证所述认证请求通过时,所述认证网关回复携带H(A1)加密信息的认证响应到应用服务器缓存。
进一步,所述认证网关回复携带H(A1)加密信息的认证响应到应用服务器缓存后包括:
应用服务器根据认证响应处理客户端的访问请求,并缓存H(A1)加密信息。
进一步,所述应用服务器处理客户端的访问请求,并缓存H(A1)加密信息后包括:
客户端发送携带认证信息的第二访问请求到应用服务器;
应用服务器使用H(A1)加密信息对第二访问请求进行认证。
进一步,所述应用服务器处理客户端的访问请求,并缓存H(A1)加密信息后还包括:
当超过预定时间时,客户端发送携带认证信息的第三访问请求到应用服务器;
所述应用服务器转发所述第三访问请求到认证网关;
认证网关根据所述第三访问请求返回生成的携带临时认证信息的访问响应消息;
客户端根据所述访问响应消息携带的临时认证信息生成认证码;
客户端通过应用服务器发送携带所述认证码的认证请求到认证网关;
当验证所述认证请求通过时,所述认证网关回复携带新H(A1)加密信息的认证响应到应用服务器;
所述应用服务器处理客户端的访问请求,并缓存所述新H(A1)加密信息。
进一步,所述认证网关根据接收到的客户端发送的访问请求,返回携带临时认证信息的访问响应消息前包括:
客户端发送访问请求到应用服务器;
应用服务器转发所述访问请求到认证网关。
本发明还提供一种应用服务器,包括:
接收模块,用于接收客户端发送的携带认证码的认证请求,接收认证网关根据所述携带认证码的认证请求返回的携带H(A1)加密信息的认证响应;
转发模块,用于转发所述携带认证码的认证请求到认证网关;
缓存模块,用于缓存H(A1)加密信息。
进一步,所述装置还包括:
处理模块,用于根据认证响应处理客户端的访问请求。
进一步,所述接收模块还用于接收客户端发送的携带认证信息的第二访问请求;
所述处理模块还用于使用H(A1)加密信息对第二访问请求进行认证。
进一步,所述接收模块还用于当超过预定时间时,接收客户端发送的携带认证信息的第三访问请求,接收客户端根据所述访问响应消息携带的临时认证信息生成认证码,当验证所述认证请求通过时,接收所述认证网关回复的携带新H(A1)加密信息的认证响应;
转发模块还用于转发所述第三访问请求到认证网关,并转发认证网关根据所述第三访问请求返回生成的携带临时认证信息的访问响应消息到客户端,转发携带所述认证码的认证请求到认证网关;
缓存模块还用于缓存所述新H(A1)加密信息。
进一步,所述接收模块还用于接收客户端发送的访问请求;
转发模块还用于所述访问请求到认证网关。
本发明还提供一种认证网关,包括:
接收模块,用于接收客户端通过应用服务器发送的访问请求和携带认证码的认证请求;
响应模块,用于根据所述访问请求返回携带临时认证信息的访问响应消息;
验证模块,用于验证所述携带认证码的认证请求;
发送模块,用于当所述认证请求验证通过时,发送回复携带H(A1)加密信息的认证响应到应用服务器。
进一步,所述接收模块还用于接收客户端通过应用服务器转发的认证请求和认证码。
本发明还提供一种认证系统,包括:
应用服务器,用于接收所述访问请求和认证请求并转发到认证网关,接收认证网关发送的访问响应消息并转发,接收认证网关发送的携带H(A1)加密信息的认证响应,缓存所述H(A1)加密信息。
认证网关,用于根据访问请求返回携带临时认证信息的访问响应消息,验证所述认证请求通过时,回复携带H(A1)加密信息的认证响应。
进一步,所述系统还包括:
客户端,用于发送访问请求,接收访问响应信息,根据所述访问响应消息携带的临时认证信息生成认证码,发送携带所述认证码的认证请求。
本发明采用客户端第一次的访问请求由认证网关实现认证,后续的认证由应用服务器实现,对原有系统处理性能影响极小;当客户端的访问请求在统一认证网关认证通过后,才会将包含密码信息的H(A1)加密信息发送到应用服务器,后续的认证由应用服务器实现;避免了用户必须向不同的应用服务器一一输入用户密码,节约了网络资源的同时提高了用户体验。
技术效果请和独权方案对应,从权效果可放到实施例中描述。
附图说明
图1为本发明一种认证方法一实施例的流程图;
图2为本发明一种认证方法另一实施例的流程图;
图3为本发明一种应用服务器一实施例的结构示意图;
图4为本发明一种认证网关一实施例的结构示意图;
图5为本发明一种认证系统一实施例的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1,为本发明一种认证方法一实施例的流程图。
步骤S 101、客户端发送访问请求到应用服务器;
当客户端需要发起某一业务时,首先发送访问请求到应用服务器。
步骤S102、应用服务器转发访问请求到认证网关;
应用服务器接收到客户发送的访问请求后,根据预置规则转发该携带有应用服务器域名的访问请求到认证网关。
步骤S103、认证网关返回携带临时认证信息的访问响应消息;
由于访问请求不包含认证信息,认证网关接收到访问请求后可以回复要求客户端进行认证的响应消息,例如可以用401消息作为访问响应消息同时附带临时认证随机码信息。
步骤S104、应用服务器转发携带临时认证信息的访问响应消息到客户端;
应用服务器根据401消息中的地址指向,转发401消息到客户端。
步骤S105、客户端根据临时认证信息生成认证码;
客户端接收到401消息后,获取附带的临时认证信息,提示用户输入用户密码;然后利用用户密码和临时认证信息生成认证码。
步骤S106、客户端发送认证请求到应用服务器;
客户端生成认证码后,发送认证请求到应用服务器,认证请求携带认证码。
步骤S107、应用服务器转发认证请求到认证网关;
应用服务器接收到认证请求后转发到认证网关,该认证请求同样携带认证码以及应用服务器域名。
步骤S108、认证网关根据认证请求进行认证;
认证网关接收到认证请求后获取其中携带的认证码,根据该认证码进行认证。具体的认证过程为:认证网关根据预存的用户密码和预置的规则计算出认证网关认证码,将该认证网关认证码和认证请求后获取其中携带的认证码进行比对,当比对结果相同时,认证通过,继续步骤S109。
步骤S109、认证网关发送H(A1)加密信息到应用服务器;
认证网关校验客户端的认证信息,如果认证通过则使用用户名、密码和应用服务器域名等信息计算H(A1)加密信息,将认证结果和H(A1)加密信息一起发送到应用服务器。为了保证H(A1)加密信息的安全,可以使用对称加密算法如DES、3DES、AES等。
步骤S110、应用服务器缓存H(A1)加密信息。
应用服务器接收到认证网关发送的认证结果和H(A1)加密信息后,根据认证结果处理客户端的请求,并缓存H(A1)加密信息。
这样当客户端再次发起认证请求时,应用服务器可以根据缓存的H(A1)加密信息对客户端的认证请求进行处理,而无需客户端根据多个业务多次发起认证。
本发明采用客户端第一次的访问请求由认证网关实现认证,后续的认证由应用服务器实现,对原有系统处理性能影响极小;当客户端的访问请求在统一认证网关认证通过后,才会将包含密码信息的H(A1)加密信息发送到应用服务器,后续的认证由应用服务器实现,对原有系统处理性能影响极小;避免了用户必须向不同的应用服务器一一输入用户密码,节约了网络资源的同时提高了用户体验。
参照图2,为本发明一种认证方法一实施例的流程图;
图2为客户端访问某一应用服务器例描述本发明的认证方法实现流程,其包括如下步骤:
步骤S201、客户端向应用服务器发起访问请求;
客户端需要使用应用服务器所提供的服务时,向该应用服务器发起访问请求;
步骤S202、应用服务器转发访问请求到认证网关;
应用服务器首先确认本地是否保存用户的认证信息;当本地未保存用户的认证信息时,将访问请求转发到认证网关,同时携带应用服务器自身的域名;
步骤S203、认证网关回复携带临时认证信息的访问响应信息;
因访问请求不包含认证信息,认证网关可以回复401信息作为访问响应信息同时附带临时认证随机码信息;
步骤S204、应用服务器转发访问响应信息到客户端;
应用服务器透传认证网关的回复401信息和临时认证随机码信息到客户端;
步骤S205、客户端生成认证信息;
客户端使用用户输入的密码和认证网关的认证随机码计算得到认证信息。
步骤S206、客户端发起认证请求;
客户端发起携带认证信息的认证请求。
步骤S207、应用服务器转发认证请求到认证网关;
应用服务器将携带认证信息的认证请求转发到认证网关,同时携带应用服务器自身的域名;
步骤S208、认证网关校验认证信息;
认证网关校验客户端的认证信息,如果认证通过则使用用户名、密码和应用服务器域名等信息计算H(A1)加密信息,将认证结果和H(A1)加密信息一起发送到应用服务器。为了保证H(A1)的安全,可以使用对称加密算法如DES、3DES、AES等,但具体实现并不仅限于此。
步骤S209、认证网关发送H(A1)加密信息到应用服务器;
认证通过认证网关可以使用用户名、密码和应用服务器域名等信息计算H(A1)加密信息,将认证结果和H(A1)加密信息一起发送到应用服务器。
步骤S210、应用服务器缓存H(A1)加密信息;
如果认证通过,应用服务器处理客户端的访问请求,并缓存H(A1)加密信息用于客户端后续访问请求的认证。接着应用服务器返回处理结果,同时分配应用服务器自身的认证随机码。
步骤S211、客户端再次发起携带认证信息的访问请求到应用服务器;
步骤S212、应用服务器使用本地缓存的H(A1)加密信息对该请求进行认证,如果认证通过则返回处理结果。
具体的,应用服务器可以根据H(A1)加密信息得到认证网关认证码,当客户端再次发起认证时,应用服务器可以获取客户端根据用户密码计算得到的认证码,然后对比客户端认证码和认证网关认证码,二者一致时认证通过,二者不同时认证失败。
进一步的,在步骤S209中,应用服务器缓存H(A1)加密信息后超过预定时间后,客户端再次发起访问请求时,将利用步骤S201重新发起一次认证,当认证网关认证通过后发送新H(A1)加密信息到应用服务器,应用服务器缓存新H(A1)加密信息。
由于用户的密码保存在认证网关处,而实际上绝大多数的鉴权都由应用服务器完成,因此当用户修改了保存在认证网关的密码之后,将引起应用服务器和认证网关之间密码不相同的问题。为解决此问题本发明实施例提出的一种密码准实时同步的实现策略:
应用服务器处保存的H(A1)加密信息具有时效性(例如有效期为5分钟),距离上一次获取H(A1)加密信息的时间间隔在此范围之内则使用应用服务器本地的信息对客户端的请求认证,当超时该时间则在按照图2所示的流程,将客户端的请求转发到认证网关,由认证网关实现对客户端的鉴权,同时应用服务器将再次获取最新的H(A1)加密信息。
1、如果能识别出用户登录性质的第一条信令,可以在处理该登陆请求时强制通过认证网关而不通过应用服务器认证,将用户的认证信息发送到认证网关,当用户密码修改后,用户只要重新登录新密码即可同步生效;
2、当如上方法无法满足要求时,可以通过设定H(A1)认证信息的有效期(例如5分钟)的方式来实现。即当H(A1)的信息过了有效期,应用服务器将再次通过认证网关对客户端的访问请求进行认证,以便获取最新的H(A1)信息。通过此策略当用户密码修改后,新密码最长只需再过5分钟即可生效。
上述流程中,只有当认证网关对客户端的访问请求认证通过后,才将H(A1)加密信息发送到应用服务器,并可根据安全需要通过对称加密的方式返回,这样大大增强了认证的安全性;由于客户端的访问请求并不是每次都通过认证网关认证,因此可以大大提高认证网关的处理能力,对应用服务器的性能影响也极小;此外由于本发明实施例所提出的认证方法对客户端是透明的,系统的改造并不涉及大量终端设备,因此实现方法简单。
参照图3,为本发明一种应用服务器一实施例的结构示意图;
本发明实施例提供的应用服务器包括:
接收模块31,用于接收客户端发送的携带认证码的认证请求,接收认证网关根据所述携带认证码的认证请求返回的携带H(A1)加密信息的认证响应;
转发模块32,用于转发所述携带认证码的认证请求到认证网关;
缓存模块33,用于缓存H(A1)加密信息。
进一步,所述装置还包括:
处理模块34,用于根据认证响应处理客户端的访问请求。
进一步,所述接收模块31还用于接收客户端发送的携带认证信息的第二访问请求;
所述处理模块33还用于使用H(A1)加密信息对第二访问请求进行认证。
进一步,所述接收模块31还用于当超过预定时间时,接收客户端发送的携带认证信息的第三访问请求,接收客户端根据所述访问响应消息携带的临时认证信息生成认证码,当验证所述认证请求通过时,接收所述认证网关回复的携带新H(A1)加密信息的认证响应;
转发模块32还用于转发所述第三访问请求到认证网关,并转发认证网关根据所述第三访问请求返回生成的携带临时认证信息的访问响应消息到客户端,转发携带所述认证码的认证请求到认证网关;
缓存模块33还用于缓存所述新H(A1)加密信息。
进一步,所述接收模块31还用于接收客户端发送的访问请求;
转发模块32还用于所述访问请求到认证网关。
客户端需要使用应用服务器所提供的服务时,向该应用服务器发起访问请求,接收模块31接收该访问请求,然后转发模块32首先确认本地是否保存用户的认证信息;当本地未保存用户的认证信息时,将访问请求转发到认证网关,同时携带应用服务器自身的域名。认证网关根据访问请求回复携带临时认证信息的访问响应信息,接收模块31接收该访问响应信息。转发模块32转发该访问响应信息到客户端。客户端接收到访问请求后可以再次发送携带认证信息的认证请求,接收模块31接收该认证请求后交由转发模块32转发到认证网关,转发模块32转发认证请求时同样携带应用服务器的域名。
当携带有认证信息的认证请求到达认证网关进行认证后,认证网关可以返回携带认证结果和H(A1)加密信息到接收模块31;处理模块34根据认证结果处理认证请求后转发模块32转发认证结果到客户端。缓存模块33缓存H(A1)加密信息,用于客户端后续访问请求的认证。缓存模块33缓存H(A1)加密信息后超过预定时间后,客户端再次发起访问请求时,所述接收模块31还用于当超过预定时间时,接收客户端发送的携带认证信息的第三访问请求,接收客户端根据所述访问响应消息携带的临时认证信息生成认证码,当验证所述认证请求通过时,接收所述认证网关回复的携带新H(A1)加密信息的认证响应;转发模块32还用于转发所述第三访问请求到认证网关,并转发认证网关根据所述第三访问请求返回生成的携带临时认证信息的访问响应消息到客户端,转发携带所述认证码的认证请求到认证网关;缓存模块33还用于缓存所述新H(A1)加密信息。
参照图4、为本发明一种认证网关一实施例的结构示意图;
本发明实施例提供的认证网关包括:
接收模块41,用于接收客户端通过应用服务器发送的访问请求和携带认证码的认证请求;
响应模块42,用于根据所述访问请求返回携带临时认证信息的访问响应消息;
验证模块43,用于验证所述携带认证码的认证请求;
发送模块44,用于当所述认证请求验证通过时,发送回复携带H(A1)加密信息的认证响应到应用服务器。
进一步,所述接收模块41还用于接收客户端通过应用服务器转发的认证请求和认证码。
当接收模块41接收到访问请求后,因访问请求不包含认证信息,发送模块44可以回复401信息作为访问响应信息同时附带临时认证随机码信息;当接收模块41接收到携带认证信息以及应用服务器域名的认证请求后,验证模块43校验客户端的认证信息,如果认证通过则使用用户名、密码和应用服务器域名等信息计算H(A1)加密信息,发送模块44将认证结果和H(A1)加密信息一起发送到应用服务器。为了保证H(A1)的安全,可以使用对称加密算法如DES、3DES、AES等,但具体实现并不仅限于此。
参照图5,为本发明一种认证系统一实施例的结构示意图;
本发明实施例提供的认证系统包括:
应用服务器51,用于接收所述访问请求和认证请求并转发到认证网关52,接收认证网关52发送的访问响应消息并转发,接收认证网关52发送的携带H(A1)加密信息的认证响应,缓存所述H(A1)加密信息。
进一步,本发明实施例提供的认证系统还可以包括:
客户端53,用于发送访问请求,接收访问响应信息,根据所述访问响应消息携带的临时认证信息生成认证码,发送携带所述认证码的认证请求。
认证网关52,用于根据访问请求返回携带临时认证信息的访问响应消息,验证所述认证请求通过时,回复携带H(A1)加密信息的认证响应。
本发明实施例中应用服务器51可以为图3对应实施例提供的应用服务器;认证网关53可以为图4对应实施例提供的认证网关。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (7)
1.一种认证方法,其特征在于,包括:
认证网关根据接收到的客户端发送的访问请求,返回携带临时认证信息的访问响应消息;
客户端根据所述访问响应消息携带的临时认证信息生成认证码;
客户端通过应用服务器发送携带所述认证码的认证请求到认证网关;
当验证所述认证请求通过时,所述认证网关回复携带H(A1)加密信息的认证响应到应用服务器缓存;
所述认证网关回复携带H(A1)加密信息的认证响应到应用服务器缓存包括:
应用服务器根据认证响应处理客户端的访问请求,并缓存H(A1)加密信息;
所述应用服务器处理客户端的访问请求,并缓存H(A1)加密信息后还包括:
当超过预定时间时,客户端发送携带认证信息的第三访问请求到应用服务器;
所述应用服务器转发所述第三访问请求到认证网关;
认证网关根据所述第三访问请求返回生成的携带临时认证信息的访问响应消息;
客户端根据所述访问响应消息携带的临时认证信息生成新的认证码;
客户端通过应用服务器发送携带新的认证码的认证请求到认证网关;
当验证所述认证请求通过时,所述认证网关回复携带新H(A1)加密信息的认证响应到应用服务器;
所述应用服务器处理客户端的访问请求,并缓存所述新H(A1)加密信息。
2.根据权利要求1所述的方法,其特征在于,所述应用服务器处理客户端的访问请求,并缓存H(A1)加密信息后包括:
客户端发送携带认证信息的第二访问请求到应用服务器;
应用服务器使用H(A1)加密信息对第二访问请求进行认证。
3.根据权利要求1所述的方法,其特征在于,所述认证网关根据接收到的客户端发送的访问请求,返回携带临时认证信息的访问响应消息前包括:
客户端发送访问请求到应用服务器;
应用服务器转发所述访问请求到认证网关。
4.一种应用服务器,其特征在于,包括:
接收模块,用于接收客户端发送的访问请求,并接收客户端发送的携带认证码的认证请求,接收认证网关根据所述携带认证码的认证请求返回的携带H(A1)加密信息的认证响应;
转发模块,用于转发访问请求到认证网关,并转发所述携带认证码的认证请求到认证网关;
缓存模块,用于缓存H(A1)加密信息;
处理模块,用于根据认证响应处理客户端的访问请求;
所述接收模块还用于当超过预定时间时,接收客户端发送的携带认证信息的第三访问请求,接收客户端根据访问响应消息携带的临时认证信息生成新的认证码,当验证所述认证请求通过时,接收所述认证网关回复的携带新H(A1)加密信息的认证响应;
转发模块还用于转发所述第三访问请求到认证网关,并转发认证网关根据所述第三访问请求返回生成的携带临时认证信息的访问响应消息到客户端,转发携带新的认证码的认证请求到认证网关;
缓存模块还用于缓存所述新H(A1)加密信息。
5.根据权利要求4所述的应用服务器,其特征在于,所述接收模块还用于接收客户端发送的携带认证信息的第二访问请求;
所述处理模块还用于使用H(A1)加密信息对第二访问请求进行认证。
6.一种认证系统,其特征在于,包括认证网关、客户端及应用服务器,其中:
认证网关根据接收到的客户端发送的访问请求,返回携带临时认证信息的访问响应消息;
客户端根据所述访问响应消息携带的临时认证信息生成认证码;
客户端通过应用服务器发送携带所述认证码的认证请求到认证网关;
当验证所述认证请求通过时,所述认证网关回复携带H(A1)加密信息的认证响应到应用服务器缓存;
所述认证网关回复携带H(A1)加密信息的认证响应到应用服务器缓存包括:
应用服务器根据认证响应处理客户端的访问请求,并缓存H(A1)加密信息;
所述应用服务器处理客户端的访问请求,并缓存H(A1)加密信息后还包括:
当超过预定时间时,客户端发送携带认证信息的第三访问请求到应用服务器;
所述应用服务器转发所述第三访问请求到认证网关;
认证网关根据所述第三访问请求返回生成的携带临时认证信息的访问响应消息;
客户端根据所述访问响应消息携带的临时认证信息生成新的认证码;
客户端通过应用服务器发送携带新的认证码的认证请求到认证网关;
当验证所述认证请求通过时,所述认证网关回复携带新H(A1)加密信息的认证响应到应用服务器;
所述应用服务器处理客户端的访问请求,并缓存所述新H(A1)加密信息。
7.根据权利要求6所述的系统,其特征在于,所述应用服务器为权利要求4或5所述的应用服务器。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010260404.6A CN101931533B (zh) | 2010-08-23 | 2010-08-23 | 认证方法、装置和系统 |
| PCT/CN2011/070716 WO2012024910A1 (zh) | 2010-08-23 | 2011-01-27 | 认证方法、装置和系统 |
| EP11819285.5A EP2552049A4 (en) | 2010-08-23 | 2011-01-27 | AUTHENTICATION PROCESS, DEVICE AND SYSTEM |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010260404.6A CN101931533B (zh) | 2010-08-23 | 2010-08-23 | 认证方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101931533A CN101931533A (zh) | 2010-12-29 |
| CN101931533B true CN101931533B (zh) | 2014-09-10 |
Family
ID=43370469
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010260404.6A Active CN101931533B (zh) | 2010-08-23 | 2010-08-23 | 认证方法、装置和系统 |
Country Status (3)
| Country | Link |
|---|---|
| EP (1) | EP2552049A4 (zh) |
| CN (1) | CN101931533B (zh) |
| WO (1) | WO2012024910A1 (zh) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101931533B (zh) * | 2010-08-23 | 2014-09-10 | 中兴通讯股份有限公司 | 认证方法、装置和系统 |
| CN102223584A (zh) * | 2011-06-24 | 2011-10-19 | 百视通网络电视技术发展有限责任公司 | 一种视频播放认证系统及其方法 |
| CN103036858B (zh) * | 2011-10-09 | 2018-10-26 | 南京中兴软件有限责任公司 | 用户接入互联网的系统、实现方法、acf和pag |
| CN103051598B (zh) * | 2011-10-17 | 2017-04-26 | 中兴通讯股份有限公司 | 安全接入互联网业务的方法、用户设备和分组接入网关 |
| CN104009960B (zh) * | 2013-02-22 | 2018-01-26 | 中兴通讯股份有限公司 | 一种实现手机客户端即时通信的方法及装置 |
| CN105340308B (zh) * | 2013-06-24 | 2019-11-01 | 瑞典爱立信有限公司 | 促进客户端设备和应用服务器之间的通信的网关、客户端设备和方法 |
| CN104270391B (zh) * | 2014-10-24 | 2018-10-19 | 中国建设银行股份有限公司 | 一种访问请求的处理方法及装置 |
| CN105704104A (zh) * | 2014-11-27 | 2016-06-22 | 华为技术有限公司 | 一种认证方法及接入设备 |
| CN104506320B (zh) * | 2014-12-15 | 2018-04-17 | 山东中创软件工程股份有限公司 | 一种身份认证的方法及系统 |
| CN106453378A (zh) * | 2016-11-03 | 2017-02-22 | 东软集团股份有限公司 | 数据认证的方法、装置及系统 |
| TWI637621B (zh) * | 2017-01-05 | 2018-10-01 | 緯創資通股份有限公司 | 物聯網讀取裝置、安全存取方法以及控制中心設備 |
| CN108964885B (zh) * | 2017-05-27 | 2021-03-05 | 华为技术有限公司 | 鉴权方法、装置、系统和存储介质 |
| CN109391601B (zh) * | 2017-08-10 | 2021-02-12 | 华为技术有限公司 | 一种授予终端网络权限的方法、装置及设备 |
| CN108650209B (zh) * | 2018-03-06 | 2021-05-14 | 北京信安世纪科技股份有限公司 | 一种单点登录的方法、系统、装置及认证方法 |
| CN110324296B (zh) * | 2018-03-30 | 2021-11-26 | 武汉斗鱼网络科技有限公司 | 一种弹幕服务器连接方法、装置及客户端 |
| CN110782359A (zh) * | 2019-10-24 | 2020-02-11 | 泰康保险集团股份有限公司 | 保单复效方法、装置、计算机存储介质及电子设备 |
| CN111400777B (zh) * | 2019-11-14 | 2023-05-02 | 杭州海康威视系统技术有限公司 | 一种网络存储系统、用户认证方法、装置及设备 |
| CN111478923A (zh) * | 2020-04-28 | 2020-07-31 | 华为技术有限公司 | 访问请求的响应方法、装置和电子设备 |
| CN111770068B (zh) * | 2020-06-15 | 2022-12-30 | 上海翌旭网络科技有限公司 | 一种基于最优链路选择的一致性鉴权方法 |
| CN114205131B (zh) * | 2021-12-06 | 2024-03-22 | 广西电网有限责任公司梧州供电局 | 一种面向变电站测控及pmu设备的安全认证方法 |
| CN115174142B (zh) * | 2022-05-27 | 2024-01-12 | 深圳市世强元件网络有限公司 | 一种网关统一认证管理方法、装置、存储介质和计算机 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050273607A1 (en) * | 2003-06-12 | 2005-12-08 | Takeshi Yamana | User authentication system |
| CN1794626A (zh) * | 2005-06-24 | 2006-06-28 | 华为技术有限公司 | 一种防止重放攻击的方法 |
| CN101675640A (zh) * | 2007-02-28 | 2010-03-17 | 思科技术公司 | 认证网关的自发起端到端监控 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7003668B2 (en) * | 2000-11-03 | 2006-02-21 | Fusionone, Inc. | Secure authentication of users via intermediate parties |
| CN1212716C (zh) * | 2002-07-16 | 2005-07-27 | 北京创原天地科技有限公司 | 因特网上不同应用系统间用户认证信息共享的方法 |
| CN1567294A (zh) * | 2003-06-14 | 2005-01-19 | 华为技术有限公司 | 一种对用户进行认证的方法 |
| CN1627683A (zh) * | 2003-12-09 | 2005-06-15 | 鸿富锦精密工业(深圳)有限公司 | 单一认证授权管理系统及方法 |
| CN100561918C (zh) * | 2005-01-13 | 2009-11-18 | 华为技术有限公司 | 基于内容提供系统的认证系统及认证方法 |
| CN1901448B (zh) * | 2005-07-21 | 2010-12-01 | 华为技术有限公司 | 通信网络中接入认证的系统及实现方法 |
| US8826397B2 (en) * | 2009-01-15 | 2014-09-02 | Visa International Service Association | Secure remote authentication through an untrusted network |
| CN101483525A (zh) * | 2009-01-22 | 2009-07-15 | 中兴通讯股份有限公司 | 一种认证中心的实现方法 |
| CN101931533B (zh) * | 2010-08-23 | 2014-09-10 | 中兴通讯股份有限公司 | 认证方法、装置和系统 |
-
2010
- 2010-08-23 CN CN201010260404.6A patent/CN101931533B/zh active Active
-
2011
- 2011-01-27 WO PCT/CN2011/070716 patent/WO2012024910A1/zh active Application Filing
- 2011-01-27 EP EP11819285.5A patent/EP2552049A4/en not_active Withdrawn
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050273607A1 (en) * | 2003-06-12 | 2005-12-08 | Takeshi Yamana | User authentication system |
| CN1794626A (zh) * | 2005-06-24 | 2006-06-28 | 华为技术有限公司 | 一种防止重放攻击的方法 |
| CN101675640A (zh) * | 2007-02-28 | 2010-03-17 | 思科技术公司 | 认证网关的自发起端到端监控 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101931533A (zh) | 2010-12-29 |
| WO2012024910A1 (zh) | 2012-03-01 |
| EP2552049A1 (en) | 2013-01-30 |
| EP2552049A4 (en) | 2015-04-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101931533B (zh) | 认证方法、装置和系统 | |
| KR101508360B1 (ko) | 데이터 전송 장치 및 방법, 그리고 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체 | |
| CN101510877B (zh) | 单点登录方法和系统、通信装置 | |
| US8527762B2 (en) | Method for realizing an authentication center and an authentication system thereof | |
| CN114679293A (zh) | 基于零信任安全的访问控制方法、设备及存储介质 | |
| CN102946314B (zh) | 一种基于浏览器插件的客户端用户身份认证方法 | |
| EP2596596B1 (en) | Automated provisioning of a network appliance | |
| JP2017521934A (ja) | クライアントとサーバとの間の相互検証の方法 | |
| CN101651666A (zh) | 一种基于虚拟专用网的身份认证及单点登录的方法和装置 | |
| CN101715638A (zh) | 为获取解密密钥而请求密钥获取的安全电子消息系统 | |
| CN103428077B (zh) | 一种安全收发邮件的方法和系统 | |
| CN104135494A (zh) | 一种基于可信终端的同账户非可信终端登录方法及系统 | |
| CN103297403A (zh) | 一种实现动态密码认证的方法和系统 | |
| US20130103944A1 (en) | Hypertext Link Verification In Encrypted E-Mail For Mobile Devices | |
| KR20090089394A (ko) | 네트워크의 클라이언트 장치로의 보안 패스워드 분배 | |
| CN104486087B (zh) | 一种基于远程硬件安全模块的数字签名方法 | |
| CN105577612A (zh) | 身份认证方法、第三方服务器、商家服务器及用户终端 | |
| CN104735065A (zh) | 一种数据处理方法、电子设备及服务器 | |
| CA2986401C (en) | Authenticating a system based on a certificate | |
| Ustun et al. | An improved security scheme for IEC 61850 MMS messages in intelligent substation communication networks | |
| KR102567737B1 (ko) | 보안 메시지 서비스 제공 방법 및 이를 위한 장치 | |
| Huang et al. | A token-based user authentication mechanism for data exchange in RESTful API | |
| CN101924635B (zh) | 一种用户身份认证的方法及装置 | |
| CN108259176B (zh) | 基于手机卡的数字签名方法、系统以及终端 | |
| CA2793422C (en) | Hypertext link verification in encrypted e-mail for mobile devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |