CN103095650A - 一种适用于瘦客户端的云服务身份认证方法 - Google Patents

一种适用于瘦客户端的云服务身份认证方法 Download PDF

Info

Publication number
CN103095650A
CN103095650A CN2011103390180A CN201110339018A CN103095650A CN 103095650 A CN103095650 A CN 103095650A CN 2011103390180 A CN2011103390180 A CN 2011103390180A CN 201110339018 A CN201110339018 A CN 201110339018A CN 103095650 A CN103095650 A CN 103095650A
Authority
CN
China
Prior art keywords
cloud service
authentication
user
login
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2011103390180A
Other languages
English (en)
Other versions
CN103095650B (zh
Inventor
陈祺
赵淦森
季统凯
岳强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Computing Technology of CAS
Original Assignee
Institute of Computing Technology of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Computing Technology of CAS filed Critical Institute of Computing Technology of CAS
Priority to CN201110339018.0A priority Critical patent/CN103095650B/zh
Publication of CN103095650A publication Critical patent/CN103095650A/zh
Application granted granted Critical
Publication of CN103095650B publication Critical patent/CN103095650B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及云计算技术领域,特别是一种适用于瘦客户端的云服务身份认证方法。本发明由客户端模块完成用户相应的服务请求工作;登录认证云服务模块处理用户登录验证和进行用户身份确认;登录认证根云服务模块接收访问验证云服务模块发来的用户身份验证请求,向登录认证云服务模块申请协助完成身份验证;并返回相应的结果;访问验证云服务模块接收云服务模块发来的用户身份验证请求,最后向云服务模块返回相应的结果;云服务模块接收用户的服务请求,向访问验证云服务模块请求相应的身份验证,根据返回的信息进行相应的处理后,回复客户端模块的请求;本发明有效解决了瘦客户端的云服务身份认证;可应用于瘦客户端的云服务身份认证。

Description

一种适用于瘦客户端的云服务身份认证方法
技术领域
本发明涉及云计算技术领域,特别是一种适用于瘦客户端的云服务身份认证方法。
背景技术
在实际生活中,用户经常需要访问各种不同的网络服务器上的服务,例如登录网上银行进行电子商务操作,登录邮件服务器进行电子邮件查收等等。由于开放网络环境的复杂性,用户会担心:其登录的是真实的网络服务么?我的个人信息或口令会在交易过程中被泄漏么?这就需要一种有效的网络身份认证机制,能够帮助网络互不相识的通信双方相互确认真实身份并建立安全通信,防止非法用户假冒合法用户窃取敏感数据。当前著名的认证方式主要是Kerberos协议和OpenID单点登录协议。
Kerberos协议就是一种应用于开放式网络环境,基于可信任第三方的TCP/IP网络安全认证协议,它将认证从不安全的工作转移到集中的认证服务器上;为开放网络环境中的两个主体提供身份认证,并通过会话密钥对通信进行加密。Kerberos协议是目前较为著名,也相对较为成熟的一种身份认证机制,在学术界和工业界都获得了广泛的支持,被众多操作系统选作身份认证的基础平台。
OpenID单点登录协议:OpenID是一个去中心化的网上身份认证系统。对于支持OpenID的网站,用户不需要记住像用户名和密码这样的传统验证标记。取而代之的是,他们只需要预先在一个作为OpenID身份提供者的网站上注册。OpenID是去中心化的,任何网站都可以使用OpenID来作为用户登录的一种方式,任何网站也都可以作为OpenID身份提供者。OpenID既解决了问题而又不需要依赖于中心性的网站来确认数字身份。
虽然当前的身份认证协议已经比较成熟,但是这些协议却不适用于瘦客户端的工作环境。因为在这些协议中,客户端和其它服务端的交互次数太多,会很快耗尽客户端的能量。
发明内容
本发明解决的技术问题是提供一种安全且方便的适用于手机等瘦客户端的云服务身份认证方法。
本发明解决上述技术问题的技术方案是:
所述的方法由:
客户端模块完成用户相应的服务请求工作;
登录认证云服务模块处理用户登录验证和进行用户身份确认;
登录认证根云服务模块接收访问验证云服务模块发来的用户身份验证请求,向登录认证云服务模块申请协助完成身份验证;并向访问验证云服务模块返回相应的结果;
访问验证云服务模块接收云服务模块发来的用户身份验证请求,若是初次进行验证,则向登录认证根云服务模块申请协助完成身份验证;否则直接从数据库中获取相应的验证信息进行校验;最后向云服务模块返回相应的结果;
云服务模块接收用户的服务请求,向访问验证云服务模块请求相应的身份验证,根据返回的信息进行相应的处理后,回复客户端模块的请求。
登录认证根云服务模块接收用户的登录请求,进行验证,若成功则记录相应的信息到数据库;最后返回相应的信息给客户端模块;在用户身份确认时,接收登录认证根云服务模块发送的用户身份验证请求并完成验证过程,最后返回验证结果给登录认证根云服务。
包括以下实施步骤:
第1步,用户将其“身份ID,时间t,和值H(用户key,t)异或认证云服务key”发送到登录认证云服务模块请求登录;
第2步,登录认证云服务模块处理用户登录验证,在接收到用户的登录请求后,进行验证,若成功则记录相应的信息到数据库;最后返回相应的信息“index和hash值H(认证云服务key,t,index)”给用户;
第3步,用户发送信息“(用户ID,index,服务商ID,t1->P),(认证根云服务key异或H(认证云服务key,P)->KD),H(认证云服务key,KD,P),H(认证根云服务key,KD,P)”给云服务模块请求服务;
第4步,云服务模块发送信息“访问验证云服务ID,service_request_source”到访问验证云服务模块进行身份验证;
第5步,访问验证云服务模块接收到云服务模块的用户身份验证请求后,若是初次进行验证,则向登录根认证云服务模块发送信息“登录认证根云服务ID,访问验证云服务ID,service_request_source”申请协助完成身份验证;否则直接从数据库中获取相应的验证信息进行校验;
第6步,登录认证根云服务模块在接收到访问验证云服务模块发来的的用户身份验证请求后,向登录认证云服务模块发送信息“登录认证根云服务ID,访问验证云服务ID,service_request_source”申请协助完成身份验证;
第7步,登录认证云服务模块接收登录根认证云服务模块发送的用户身份验证请求并完成验证过程,最后返回验证结果“登录认证根云服务ID,访问验证云服务ID,用户ID,云服务商ID,t,Enc(kidp-r云服务商key)”给登录根认证云服务模块;
第8步,登录根认证云服务模块发送“访问验证云服务ID,用户ID,云服务商ID,t,Enc(kidp-rskey)”到访问验证云服务模块;
第9步,访问验证云服务模块发送“用户ID,云服务商ID,t,Enc(kidp-r云服务商key)”给云服务模块;
第10步,云服务模块回复用户的请求,若从访问验证云服务模块处得到的验证信息是正确的,则发送“云服务商ID,H(根认证云服务key,t1,云服务商ID,用户ID)”用户,从而用户可成功登录并获得相应的云服务;若从访问验证云服务处得到的验证信息是不正确的,则用户不能登录。
当用户再次访问同一服务时,在访问验证服务模块上直接进行验证;若访问验证服务模块验证失败,则访问验证服务模块按照第一次登录的验证步骤进行再次验证。
本发明通过增加一些除客户端以外的其它模块之间的通信交互次数来降低客户端与其它模块之间的通信交互次数来构造出了一个安全的统一身份认证认证协议,该协议与传统的Kerberos协议及openID单点登录协议相比,虽然增加了一些除客户端以外的其它模块之间的通信交互次数,但是它的确有效降低了客户端与其它模块之间的通信交互次数,从而适合于瘦客户端的应用环境。而传统的Kerberos协议及openID单点登录协议并不适用于瘦客户的应用环境。另外,由于在协议应用中,除客户端外,其它服务都是由云提供,有足够强大的处理能力,因此可以支持协议的运行。本发明综合使用对称密码技术,Hash认证码技术和PKI技术,给出了一种适用于瘦客户端使用的登录认证方法,以保证瘦客户端用户可以安全的进行登录认证。PKI技术和对称密码技术与Hash认证码技术相比,它需要更大的存储空间和计算量,所以它不适用于瘦客户端的身份认证。由于本发明的方法要用于瘦客户端的身份认证,从而客户端和其它端间传递的数据都是使用的Hash认证码技术和对称密码技术,而在其它的具有较强处理能力的云端之间传递的数据是使用的PKI技术。其中Hash认证码技术和对称密码技术具体体现在客户端和其它端间的数据传输,PKI技术体现在具有较强处理能力的云端之间的数据传输。
附图说明
下面结合附图对本发明进一步说明:
图1是本发明的第一次身份验证的整体架构及实施步骤示意图;
图2是本发明的第二次以后身份验证的整体架构及实施步骤示意图。
具体实施方式
如图1所示,本发明的方法由客户端模块(用户)、登录认证云服务模块、登录认证根云服务模块、访问验证云服务模块、云服务模块(云服务商)完成。客户端模块:完成客户端相应的服务请求工作。登录认证云服务模块:一是处理用户登录验证,接收用户的登录请求,进行验证,若成功则记录相应的信息到数据库,最后返回相应的信息给客户端;二是用户身份确认,接收登录认证根云服务发送的用户身份验证请求并完成验证过程,最后返回验证结果给登录认证根云服务。登录认证根云服务模块:接收访问验证云服务发来的的用户身份验证请求,向登录认证云服务申请协助完成身份验证;并向访问验证云服务返回相应的结果。访问验证云服务模块:接收云服务商发来的用户身份验证请求,若是初次进行验证,则向登录认证根云服务申请协助完成身份验证;否则直接从数据库中获取相应的验证信息进行校验。最后向云服务商返回相应的结果。云服务模块:接收用户的服务请求,向访问验证云服务请求相应的身份验证,根据返回的信息进行相应的处理后,回复客户端的请求。
本发明在进行身份认证是,由有以下实施步骤:
第1步,用户将其“身份ID,时间t,和值H(用户key,t)异或认证云服务key”发送到登录认证云服务请求登录;
第2步,登录认证云服务处理用户登录验证。在接收到用户的登录请求后,进行验证,若成功则记录相应的信息到数据库。最后返回相应的信息“index和hash值H(认证云服务key,t,index)”给用户;
第3步,用户发送信息“(用户ID,index,服务商ID,t1->P),(认证根云服务key异或H(认证云服务key,P)->KD),H(认证云服务key,KD,P),H(认证根云服务key,KD,P)”给云服务商请求服务;
第4步云服务商发送信息“访问验证云服务ID,service_request_source”到访问验证云服务进行身份验证;
第5步访问验证云服务接收到云服务商的用户身份验证请求后,若是初次进行验证,则向登录根认证云服务发送信息“登录认证根云服务ID,访问验证云服务ID,service_request_source”申请协助完成身份验证;否则直接从数据库中获取相应的验证信息进行校验;
第6步,登录认证根云服务在接收到访问验证云服务发来的的用户身份验证请求后,向登录认证云服务发送信息“登录认证根云服务ID,访问验证云服务ID,service_request_source”申请协助完成身份验证;
第7步,登录认证云服务接收登录根认证云服务发送的用户身份验证请求并完成验证过程,最后返回验证结果“登录认证根云服务ID,访问验证云服务ID,用户ID,云服务商ID,t,Enc(kidp-r云服务商key)”给登录根认证云服务;
第8步,登录根认证云服务发送“访问验证云服务ID,用户ID,云服务商ID,t,Enc(kidp-rskey)”到访问验证云服务;
第9步,访问验证云服务发送“用户ID,云服务商ID,t,Enc(kidp-r云服务商key)”给云服务商;
第10步,云服务商回复用户的请求,若从访问验证云服务处得到的验证信息是正确的,则发送“云服务商ID,H(根认证云服务key,t1,云服务商ID,用户ID)”用户,从而用户可成功登录并获得相应的云服务;若从访问验证云服务处得到的验证信息是不正确的,则用户不能登录。
如图2所示,当用户再次访问同一服务时,由于之前已经验证过身份,因此只需要在访问验证服务上直接进行验证即可,若访问验证服务验证失败,则访问验证服务会按照第一次登录的验证步骤进行再次验证;这样处理的目的是防止用户退出登录之后再次登录并去访问同一服务时,在访问验证服务上验证会失败,失败原因是:rkey在每次登录的都不一样。
上述第4、5、6步的service_request_source代表的是第3步的请求数据,为了使过程图清晰,故在此采用该名词表示。
此外,云计算(Cloud Computing)是2007年诞生的新名词,目前仍没有公认的定义。云计算是一种商业计算模型,它将计算任务分部在大量计算机构成的资源池上,使用户能够按需获取计算力、存储空间和信息服务。而云计算操作系统是云计算后台的整体管理运营系统,它是指构架于服务器、存储、网络等基础硬件资源和单机操作系统、中间件、数据库等基础软件管理海量的基础硬件、软资源之上的云平台综合管理系统。由于云计算服务的提供者具有强大的信息处理能力,从而可以处理我们所提出的专利的通信交互次数。

Claims (4)

1.一种适用于瘦客户端的云服务身份认证方法,其特征在于:所述的方法由:
客户端模块完成用户相应的服务请求工作;
登录认证云服务模块处理用户登录验证和进行用户身份确认;
登录认证根云服务模块接收访问验证云服务模块发来的用户身份验证请求,向登录认证云服务模块申请协助完成身份验证;并向访问验证云服务模块返回相应的结果;
访问验证云服务模块接收云服务模块发来的用户身份验证请求,若是初次进行验证,则向登录认证根云服务模块申请协助完成身份验证;否则直接从数据库中获取相应的验证信息进行校验;最后向云服务模块返回相应的结果;
云服务模块接收用户的服务请求,向访问验证云服务模块请求相应的身份验证,根据返回的信息进行相应的处理后,回复客户端模块的请求。
2.根据权利要求1所述的云服务身份认证方法,其特征在于:登录认证根云服务模块接收用户的登录请求,进行验证,若成功则记录相应的信息到数据库;最后返回相应的信息给客户端模块;在用户身份确认时,接收登录认证根云服务模块发送的用户身份验证请求并完成验证过程,最后返回验证结果给登录认证根云服务。
3.根据权利1或2所述的云服务身份认证方法,其特征在于:包括以下实施步骤:
第1步,用户将其“身份ID,时间t,和值H(用户key,t)异或认证云服务key”发送到登录认证云服务模块请求登录;
第2步,登录认证云服务模块处理用户登录验证,在接收到用户的登录请求后,进行验证,若成功则记录相应的信息到数据库;最后返回相应的信息“index和hash值H(认证云服务key,t,index)”给用户;
第3步,用户发送信息“(用户ID,index,服务商ID,t1->P),(认证根云服务key异或H(认证云服务key,P)->KD),H(认证云服务key,KD,P),H(认证根云服务key,KD,P)”给云服务模块请求服务;
第4步,云服务模块发送信息“访问验证云服务ID,service_request_source”到访问验证云服务模块进行身份验证;
第5步,访问验证云服务模块接收到云服务模块的用户身份验证请求后,若是初次进行验证,则向登录根认证云服务模块发送信息“登录认证根云服务ID,访问验证云服务ID,service_request_source”申请协助完成身份验证;否则直接从数据库中获取相应的验证信息进行校验;
第6步,登录认证根云服务模块在接收到访问验证云服务模块发来的的用户身份验证请求后,向登录认证云服务模块发送信息“登录认证根云服务ID,访问验证云服务ID,service_request_source”申请协助完成身份验证;
第7步,登录认证云服务模块接收登录根认证云服务模块发送的用户身份验证请求并完成验证过程,最后返回验证结果“登录认证根云服务ID,访问验证云服务ID,用户ID,云服务商ID,t,Enc(kidp-r云服务商key)”给登录根认证云服务模块;
第8步,登录根认证云服务模块发送“访问验证云服务ID,用户ID,云服务商ID,t,Enc(kidp-rskey)”到访问验证云服务模块;
第9步,访问验证云服务模块发送“用户ID,云服务商ID,t,Enc(kidp-r云服务商key)”给云服务模块;
第10步,云服务模块回复用户的请求,若从访问验证云服务模块处得到的验证信息是正确的,则发送“云服务商ID,H(根认证云服务key,t1,云服务商ID,用户ID)”用户,从而用户可成功登录并获得相应的云服务;若从访问验证云服务处得到的验证信息是不正确的,则用户不能登录。
4.根据权利3所述的云服务身份认证方法,其特征在于:当用户再次访问同一服务时,在访问验证服务模块上直接进行验证;若访问验证服务模块验证失败,则访问验证服务模块按照第一次登录的验证步骤进行再次验证。
CN201110339018.0A 2011-10-31 2011-10-31 一种适用于瘦客户端的云服务身份认证方法 Active CN103095650B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201110339018.0A CN103095650B (zh) 2011-10-31 2011-10-31 一种适用于瘦客户端的云服务身份认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201110339018.0A CN103095650B (zh) 2011-10-31 2011-10-31 一种适用于瘦客户端的云服务身份认证方法

Publications (2)

Publication Number Publication Date
CN103095650A true CN103095650A (zh) 2013-05-08
CN103095650B CN103095650B (zh) 2017-05-24

Family

ID=48207792

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201110339018.0A Active CN103095650B (zh) 2011-10-31 2011-10-31 一种适用于瘦客户端的云服务身份认证方法

Country Status (1)

Country Link
CN (1) CN103095650B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104579690A (zh) * 2015-01-23 2015-04-29 济南同智伟业软件股份有限公司 云端key系统及使用方法
CN106534041A (zh) * 2015-09-09 2017-03-22 腾讯科技(深圳)有限公司 验证方法、验证平台及客户端
CN112291188A (zh) * 2019-09-23 2021-01-29 中建材信息技术股份有限公司 注册验证方法及系统、注册验证服务器、云服务器

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1627683A (zh) * 2003-12-09 2005-06-15 鸿富锦精密工业(深圳)有限公司 单一认证授权管理系统及方法
CN101154251A (zh) * 2006-09-27 2008-04-02 中国科学院自动化研究所 基于射频识别的信息保密管理系统及其方法
CN101472236A (zh) * 2007-12-26 2009-07-01 北京华夏未来信息技术有限公司 一种应用系统发布的方法和装置
US20090313320A1 (en) * 2008-06-17 2009-12-17 The Go Daddy Group, Inc. Branded and comarketed domain-based thick client system
CN102143149A (zh) * 2010-12-10 2011-08-03 华为技术有限公司 云终端访问云的方法、系统及云接入管理设备

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1627683A (zh) * 2003-12-09 2005-06-15 鸿富锦精密工业(深圳)有限公司 单一认证授权管理系统及方法
CN101154251A (zh) * 2006-09-27 2008-04-02 中国科学院自动化研究所 基于射频识别的信息保密管理系统及其方法
CN101472236A (zh) * 2007-12-26 2009-07-01 北京华夏未来信息技术有限公司 一种应用系统发布的方法和装置
US20090313320A1 (en) * 2008-06-17 2009-12-17 The Go Daddy Group, Inc. Branded and comarketed domain-based thick client system
CN102143149A (zh) * 2010-12-10 2011-08-03 华为技术有限公司 云终端访问云的方法、系统及云接入管理设备

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104579690A (zh) * 2015-01-23 2015-04-29 济南同智伟业软件股份有限公司 云端key系统及使用方法
CN104579690B (zh) * 2015-01-23 2018-07-10 济南同智伟业软件股份有限公司 云端key系统及使用方法
CN106534041A (zh) * 2015-09-09 2017-03-22 腾讯科技(深圳)有限公司 验证方法、验证平台及客户端
CN106534041B (zh) * 2015-09-09 2020-08-07 腾讯科技(深圳)有限公司 验证方法、验证平台及客户端
CN112291188A (zh) * 2019-09-23 2021-01-29 中建材信息技术股份有限公司 注册验证方法及系统、注册验证服务器、云服务器
CN112291188B (zh) * 2019-09-23 2023-02-10 中建材信息技术股份有限公司 注册验证方法及系统、注册验证服务器、云服务器

Also Published As

Publication number Publication date
CN103095650B (zh) 2017-05-24

Similar Documents

Publication Publication Date Title
US10257699B2 (en) Mobile device user authentication for accessing protected network resources
Lim et al. Blockchain technology the identity management and authentication service disruptor: a survey
US20200351105A1 (en) User authentication with self-signed certificate and identity verification
CN102201915B (zh) 一种基于单点登录的终端认证方法和装置
US9264232B2 (en) Cryptographic device that binds an additional authentication factor to multiple identities
CN106170964B (zh) 基于不同身份服务的用户虚拟身份
CN101938473B (zh) 单点登录系统及单点登录方法
WO2016127914A1 (zh) 一种用于重定向的方法、装置及系统
US8527762B2 (en) Method for realizing an authentication center and an authentication system thereof
US20120260330A1 (en) User authentication for intermediate representational state transfer (rest) client via certificate authority
US20150163222A1 (en) Strong user authentication for accessing protected network
US10609070B1 (en) Device based user authentication
WO2015076846A1 (en) Secure proxy to protect private data
CN103259663A (zh) 一种云计算环境下的用户统一认证方法
CN103139200A (zh) 一种web service单点登录的方法
CN102143131B (zh) 用户注销方法及认证服务器
CN101304318A (zh) 安全的网络认证系统和方法
CN103716285A (zh) 一种单点登录方法、代理服务器及系统
CN105580312A (zh) 用于认证设备的用户的方法和系统
CN107819570A (zh) 一种基于可变Cookie的跨域单点登录方法
Rana et al. Efficient design of an authenticated key agreement protocol for dew-assisted IoT systems
CN103634111A (zh) 单点登录方法和系统及单点登录客户端
CN103716280A (zh) 数据传输方法、服务器及系统
CN105100068A (zh) 一种实现单点登录的系统及方法
CN102255904A (zh) 一种通信网络以及对终端的认证方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant