CN103312499B - 一种身份认证方法及系统 - Google Patents
一种身份认证方法及系统 Download PDFInfo
- Publication number
- CN103312499B CN103312499B CN201210063650.1A CN201210063650A CN103312499B CN 103312499 B CN103312499 B CN 103312499B CN 201210063650 A CN201210063650 A CN 201210063650A CN 103312499 B CN103312499 B CN 103312499B
- Authority
- CN
- China
- Prior art keywords
- authenticator
- authentication
- information
- message
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/42—Anonymization, e.g. involving pseudonyms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0421—Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供的一种身份认证方法及其系统,属于身份认证领域,解决了现有的身份认证技术无法保护个人隐私,且包含个人隐私的认证技术又必须提供可跟踪能力的技术问题。该身份认证方法主要包括第一认证者向第二认证者发送第一身份认证消息,第二认证者向认证服务器发送第二身份认证消息,认证服务器根据第二身份认证消息验证第二认证者所处安全域的合法性,认证服务器向第二认证者返回第三身份认证消息,第二认证者收到第三身份认证消息后,向第一认证者发送第四身份认证消息,第一认证者对第四身份认证消息进行验证。该认证系统主要包括第一认证者、第二认证者、第二认证者所处的安全域一级认证服务器。
Description
技术领域
本发明涉及身份认证领域,尤其是一种身份认证方法及系统。
背景技术
当今社会,人们越来越重视对自身隐私的保护,在很多要验证居民身份的场合,人们并不希望在自己身份合法性被验证的同时又将自己的身份信息公开给对方,从而充分保护自己的隐私。例如,在对一些敏感事件进行表决时,表决人既希望以合法的身份完成表决,又不希望暴露自己的身份;在一些消费场合,消费者在进行支付时并不希望商户知道自己的个人信息;网络用户在以可管控的身份登录网络后,在很多时候并不希望自己的身份信息暴露给公众。目前,这类隐私保护的需求越来越明显。
提供身份认证服务的技术有多种,目前通常采用的是基于公钥密码技术的身份认证方法,这种方法通过数字签名完成对被认证者身份合法性的验证,同时被认证者的身份信息也将公开给认证者,很明显这类技术在为上述应用场合提供认证服务时有明显的局限性,因为它无法保护用户的隐私。另一方面,提供隐私保护的身份认证技术,又必须提供可追踪能力,便于管理者在必要时的管控。
发明内容
本发明为解决背景技术中存在的目前的身份认证技术无法保护个人隐私,且包含个人隐私的认证技术又必须提供可跟踪能力的问题,提出一种身份认证方法及系统。
本发明的技术解决方案是:
一种身份认证方法,包括以下步骤:
1)第一认证者向第二认证者发送第一身份认证消息;
2)第二认证者向认证服务器发送第二身份认证消息,第二身份认证消息中包括第二认证者所处安全域的标识;
3)认证服务器收到第二身份认证消息后,根据第二身份认证消息验证第二认证者所处安全域的合法性,产生对第二认证者所处安全域的验证结果;
4)认证服务器向第二认证者返回第三身份认证消息,第三身份认证消息中包括第二认证者所处安全域的验证结果以及认证服务器对包含第二认证者所处安全域的验证结果在内信息的身份认证信息;
5)第二认证者收到第三身份认证消息后,向第一认证者发送第四身份认证消息,第四身份认证消息中包括第二认证者所处安全域的标识、第二认证者所处安全域的验证结果、认证服务器对包含第二认证者所处安全域的验证结果在内信息的身份认证信息以及第二认证者对包含第一认证者的标识符在内信息的身份认证信息;
6)第一认证者收到第四身份认证消息后,对第四身份认证消息进行验证并根据验证情况确定第二认证者身份的合法性。
本发明还提供一种身份认证系统,其特殊之处在于,所述系统包括:第一认证者、第二认证者、第二认证者所处的安全域、认证服务器;在第一认证者与第二认证者之间的身份认证过程中,第一认证者仅与第二认证者进行信息交互,认证服务器仅与第二认证者交互信息。
本发明的有益效果在于:
在认证过程中使得第二认证者在匿名的情况下完成认证活动,在第二认证者被认证的同时也保护了第二认证者的隐私。
附图说明
图1为本发明的示意图。
具体实施方式
本发明的系统包括第一认证者、第二认证者、第二认证者所处的安全域、认证服务器。所述第一认证者和第二认证者可互为认证者与被认证者;所述第一认证者具有自己的公开认证信息和私有认证信息,私有认证信息用来产生供其他认证者认证第一认证者的身份认证信息,公开认证信息对外公开用于其他认证者验证第一认证者的身份认证信息,第一认证者具有标识,该标识可以是第一认证者的标识符,也可以是第一认证者的身份证明信息;所述安全域是一种带有边界性质且边界内实体共享某一公开认证信息的逻辑划分,安全域内的实体各自具有自己的私有认证信息,用来生成供其他认证者认证该实体的身份认证信息,安全域的公开认证信息对外公开便于其他认证者验证该实体的身份认证信息,安全域具有标识,该标识可以是安全域的标识符,也可以是安全域的身份证明信息;所述认证服务器用来为认证者提供来自可信第三方的认证服务,帮助认证者完成对被认证者的身份认证,认证服务器具有私有认证信息以及相应的公开认证信息,公开认证信息用于公开给其他实体,用于验证认证服务器利用私有认证信息产生的身份认证信息。在本发明系统实现第一认证者与第二认证者之间的身份认证过程中,第一认证者仅与第二认证者进行信息交互(信息交互具体内容参照本发明提供的身份认证方法),认证服务器仅与第二认证者交互信息(信息交互具体内容参照本发明提供的身份认证方法)。
本发明身份认证方法,包括以下步骤:
步骤一、第一认证者向第二认证者发送第一身份认证消息;
步骤二、第二认证者向认证服务器发送第二身份认证消息,消息中包括第二认证者所处安全域的标识;
步骤三、认证服务器收到第二身份认证消息后,根据第二认证者所处安全域的标识认证第二认证者所处安全域的合法性;
步骤四、认证服务器向第二认证者返回第三身份认证消息,消息中包括对第二认证者所处安全域的验证结果以及认证服务器对包含第二认证者所处安全域的验证结果在内信息的身份认证信息;
步骤五、第二认证者收到第三身份认证消息后,向第一认证者发送第四身份认证消息,消息中包括第二认证者所处安全域的标识、认证服务器对第二认证者所处安全域的验证结果、认证服务器对包括第二认证者所处安全域的验证结果在内信息的身份认证信息以及第二认证者对包含第一认证者的标识符在内信息的身份认证信息;
步骤六、第一认证者收到第四身份认证消息后,对该消息进行验证,并根据验证情况确定第二认证者身份的合法性。
在一种实施方式中,第一身份认证消息中可进一步包含第一时变参数,第一时变参数由第一认证者产生,第一时变参数可以是时间标记、顺序号或随机数;在第二身份认证消息中,可进一步包含第一时变参数;在第三身份认证消息的认证服务器的身份认证信息中,可进一步包含第一时变参数;在第四身份认证消息的第二认证者的身份认证信息中,可进一步包含第一时变参数。
具体地,
上述步骤三中,认证服务器检查第二认证者所处安全域的合法性可采用如下方法:
如果第二身份认证消息中第二认证者所处安全域的标识为第二认证者所处安全域的标识符,则认证服务器查找第二认证者所处安全域的有效公开认证信息;或者,如果第二认证者所处安全域的标识为第二认证者所处安全域的身份证明信息,则认证服务器检查第二认证者所处安全域的身份证明信息的有效性。
上述步骤五中,第一认证者对第四身份认证消息进行验证并根据验证情况确定第二认证者的合法性,其具体实现方式可以包括如下步骤:
1)第一认证者验证认证服务器的身份认证信息是否有效,并在认证服务器的身份认证信息中包含第一时变参数时验证第一身份认证消息中第一认证者产生的第一时变参数与包含在认证服务器的身份认证信息中的第一时变参数是否相符,若均为是,则执行步骤2);否则,确定第二认证者非法;
2)第一认证者若根据认证服务器对第二认证者所处安全域的验证结果判断第二认证者所处安全域合法有效,则执行步骤3),否则,确定第二认证者非法;
3)第一认证者获取第二认证者所处安全域的公开认证信息,根据该公开认证信息验证第二认证者的身份认证信息是否有效、并检查第一认证者的标识符与包含在第二认证者的身份认证信息中的第一认证者的标识符是否一致、并在第二认证者的身份认证信息中包含第一时变参数时检查第一身份认证消息中第一认证者产生的第一时变参数与包含在第二认证者的身份认证信息中的第一时变参数是否一致,若全部为是,则确定第二认证者合法,否则,确定第二认证者非法。
进一步地,在第一身份认证消息中还包括第一认证者的标识;第二身份认证消息中还包括第一认证者的标识;认证服务器还根据第一认证者的标识验证第一认证者的合法性,并产生认证服务器对第一认证者的验证结果;并在第三身份认证消息增加认证服务器对第一认证者的验证结果;
相应的,在步骤五中第一认证者确定第二认证者身份合法之后,第一认证者可向第二认证者发送第五身份认证消息,消息中包括第一认证者的身份认证信息;第二认证者收到第五身份认证消息后,对第五身份认证消息进行验证,并根据验证情况确定第一认证者身份的合法性。
进一步地,在其他实施方式中,第二身份认证消息中可进一步包含第二时变参数,第二时变参数由第二认证者产生,第二时变参数可以是时间标记、顺序号或随机数;在第三身份认证消息的认证服务器对包含第一认证者的验证结果在内信息的身份认证信息中,可进一步包含第二时变参数。
上述第二认证者对第五身份认证消息进行验证并根据验证结果确定第一认证者的合法性,其具体实现方式可以采用如下两种方式:
第一种,包括如下步骤:
1)第二认证者验证认证服务器对包含第一认证者的验证结果的身份认证信息是否有效,并在认证服务器的身份认证信息中包含第二时变参数时检查第二认证消息中第二认证者产生的第二时变参数与包含在认证服务器对包含第二时变参数在内信息的身份认证信息中的第二时变参数是否相符,若相符则执行2),否则,确定第一认证者非法;
2)第二认证者若根据认证服务器对第一认证者的验证结果判断第一认证者合法有效,则执行3),否则,确定第一认证者非法;
3)第二认证者获取第一认证者的公开认证信息,根据该公开认证信息验证第一认证者的身份认证信息是否有效,检查第二认证者所处安全域的标识符与包含在第一认证者的身份认证信息中的第二认证者所处安全域的标识符是否一致,并在第二认证者的身份认证信息中包含第二时变参数时检查第五身份认证消息中第二认证者产生的第二时变参数与包含在第二认证者的身份认证信息中的第二时变参数是否一致,若均为是,则确定第一认证者合法,否则,确定第一认证者非法。
第二种,在第二认证者向第一认证者发送第四身份认证消息之前,第二认证者首先验证认证服务器对包含第一认证者的验证结果的身份认证信息是否有效,并在认证服务器的身份认证消息中包含第二时变参数时检查第二身份认证消息中第二认证者产生的第二时变参数与包含在验证认证服务器对包含第一认证者的验证结果的身份认证消息中的第二时变参数是否相符,若均为是,则向第一认证者发送第四身份认证消息。于是,第二认证者验证第一认证者包括如下步骤:
1)第二认证者若根据认证服务器对第一认证者的验证结果判断第一认证者合法有效,则执行步骤2),否则,确定第一认证者非法;
2)第二认证者获取第一认证者的公开认证信息,根据该公开认证信息验证第一认证者的身份认证信息是否有效、并检查第二认证者所处安全域的标识符与包含在第一认证者的身份认证信息中的第二认证者所处安全域的标识符是否一致,并检查第五身份认证消息中第二认证者产生的第二时变参数与包含在第二认证者的身份认证信息中的第二时变参数是否一致,若均为是,则确定第一认证者合法,否则,确定第一认证者非法。
前述步骤三中,认证服务器根据第二认证者所处安全域的标识认证第二认证者所处安全域的合法性,可采用两种方式:
方式一,若第二身份认证消息中的第二认证者所处安全域的标识为第二认证者所处安全域的标识符,则认证服务器查找第二认证者所处安全域的公开认证信息,若查找到,则确定第二认证者所处安全域合法,否则,确定第二认证者所处安全域非法;
方式二,若第二身份认证消息中的第二认证者所处安全域的标识为第二认证者所处安全域的身份证明信息,则认证服务器检查其身份证明信息的有效性,若有效,则确定第二认证者所处安全域合法,否则,确定第二认证者所处安全域非法。
另外,在其他实施方式中,可在步骤一之前由第二认证者向第一认证者发送第零身份认证消息,第零身份认证消息中包括第二认证者所处安全域的标识。相应的,去除第四身份认证消息中的第二认证者所处安全域的标识;第一身份认证消息中还包括第一认证者的标识;第二身份认证消息中还包括第一认证者的标识;认证服务器还根据第二身份认证消息验证第一认证者的合法性而产生对第一认证者的验证结果;对第三身份认证消息做如下调整:第三身份认证消息中增加第一认证者的验证结果以及认证服务器对包含第一认证者的验证结果在内信息的身份认证信息,或者,第三身份认证消息中增加第一认证者的验证结果且第三身份认证消息中的认证服务器的身份认证信息中进一步包含第一认证者的验证结果;在第二认证者发送第四身份认证消息之前,对第三身份认证消息进行验证并根据验证结果确定第一认证者的合法性。进一步地,可在第零身份认证消息中增加第二认证者产生的第三时变参数第二时变参数可以是时间标记、顺序号或随机数;在第一身份认证消息中增加第三时变参数,第一身份认证消息中第一认证者的身份认证信息中进一步包括第三时变参数。于是,本段中所述的“在第二认证者发送第四身份认证消息之前,对第三身份认证消息进行验证并根据验证结果确定第一认证者的合法性”的具体实现步骤包括:
5.1)第二认证者验证认证服务器对包含第一认证者的验证结果在内信息的身份认证信息是否有效,若是,则执行5.2),否则,确定第一认证者非法;
5.2)第二认证者若根据认证服务器对第一认证者的验证结果判断第一认证者合法有效,则执行5.3),否则,确定第一认证者非法;
5.3)第二认证者获取第一认证者的公开认证信息,根据该公开认证信息验证第一认证者的身份认证信息是否有效、并检查第二认证者所处安全域的标识符与包含在第一认证者的身份认证信息中的第二认证者所处安全域的标识符是否一致,当第一认证者的身份认证消息中保护第三时变参数时校验第零身份认证消息中第二认证者产生的第三时变参数与包含在第一认证者的身份认证消息中的第三时变参数是否一致,若均为是,则确定第一认证者合法,否则,确定第一认证者非法。
本发明中,第一身份认证消息、第二身份认证消息和第三身份认证消息还可分别包括可选字段。
为便于理解本发明的身份认证方法,以下提供了三个较佳实施例。
第一较佳实施例
第一较佳实施例是实现第一认证者对第二认证者的身份认证的较佳实施例,包括如下步骤:
步骤1、第一认证者发送第一身份认证消息到第二认证者,第一身份认证消息包括第一认证者产生的第一时变参数及第一可选字段;
步骤2、第二认证者向认证服务器发送第二身份认证消息,第二身份认证消息包括第一时变参数、第二认证者所处安全域的标识及第二可选字段;
步骤3、认证服务器收到第二身份认证消息后,根据第二认证者所处安全域的标识检查第二认证者所处安全域的合法性;
认证服务器检查第二认证者所处安全域的合法性可采用如下方法:
在第二身份认证消息中,如果第二认证者所处安全域的标识为第二认证者所处安全域的标识符,则认证服务器查找第二认证者所处安全域的有效公开认证信息;如果第二认证者所处安全域的标识为第二认证者所处安全域的身份证明信息,则认证服务器检查第二认证者所处安全域的身份证明信息的有效性。
步骤4、认证服务器检查完第二认证者所处安全域的合法性后,向第二认证者返回第三身份认证消息;第三身份认证消息包括认证服务器对第二认证者所处安全域的验证结果,以及认证服务器对包含第二认证者所处安全域验证结果、第一时变参数及第三可选字段在内信息的身份认证信息;
步骤5、第二认证者收到第三身份认证信息后,向第一认证者发送第四身份认证消息;第四身份认证消息中包括第二认证者所处安全域的标识,认证服务器对第二认证者所处安全域的验证结果,认证服务器对包含第二认证者所处安全域验证结果、第一时变参数以及第三可选字段在内的身份认证信息,以及第二认证者对包含第二认证者所处安全域的标识符、第一时变参数及第六可选字段在内信息的身份认证信息。
步骤6、第一认证者收到第四身份认证消息后,对第四身份认证消息进行验证并根据验证情况确定第二认证者身份的合法性,过程如下:
6.1)第一认证者根据认证服务器的公开认证信息,验证认证服务器对包含第二认证者所处安全域验证结果、第一时变参数及第三可选字段在内信息的身份认证信息是否有效,并验证第一身份认证消息中第一认证者产生的第一时变参数与包含在认证服务器对包含第二认证者所处安全域验证结果、第一时变参数及第三可选字段在内的身份认证信息中的第一时变参数是否相符,若是则执行6.2);否则,确定第二认证者非法;
6.2)第一认证者得到第二认证者所处安全域的验证结果,若根该验证结果判断第二认证者所处安全域合法有效,则执行6.3);否则,确定第二认证者非法;
6.3)第一认证者获取第二认证者所处安全域的公开认证信息,根据该公开认证信息验证第二认证者的身份认证信息是否有效,校验第一身份认证消息中第一认证者产生的第一时变参数与包含在第二认证者的身份认证信息中的第一时变参数是否一致,若是,则确定第二认证者合法,否则,确定第二认证者非法。第一认证者完成对第二认证者的鉴别。
通过上述的第一认证者对第二认证者的身份认证过程,可以实现第一认证者对第二认证者身份合法性的认证,并保护第二认证者的身份信息不被暴露。
第二较佳实施例
第二较佳实施例是实现第一认证者和第二认证者之间的双向身份认证的较佳实施例,包括如下步骤:
步骤1、第一认证者发送第一身份认证消息给第二认证者,第一身份认证消息包括第一认证者产生的第一时变参数、第一认证者的标识及第一可选字段。
步骤2、第二认证者收到第一身份认证消息后,向认证服务器发送第二身份认证消息,第二身份认证消息包括第一认证者产生的第一时变参数、第二认证者产生的第二时变参数、第二认证者所处安全域的标识、第一认证者的标识及第二可选字段。
步骤3、认证服务器收到第二身份认证消息后,根据第二认证者所处安全域的标识和第一认证者的标识检查第二认证者所处安全域和第一认证者的合法性。
认证服务器检查第二认证者所处安全域和第一认证者的合法性可采用如下方法:
在第二身份认证消息中,如果第二认证者所处安全域的标识为第二认证者所处安全域的标识符,则认证服务器查找第二认证者所处安全域的有效公开认证信息;如果第二认证者所处安全域的标识为第二认证者所处安全域的身份证明信息,则认证服务器检查第二认证者所处安全域的身份证明信息的有效性;如果第一认证者的标识为第一认证者的标识符,则认证服务器查找第一认证者的有效公开认证信息;如果第一认证者的标识为第一认证者的身份证明信息,则认证服务器检查第一认证者的身份证明信息的有效性。
步骤4、认证服务器检查完第二认证者所处安全域和第一认证者的合法性后,向第二认证者返回第三身份认证信息,
第三身份认证信息可以是包括认证服务器对第二认证者所处安全域的验证结果,认证服务器对第一认证者的验证结果,认证服务器对包含第二认证者所处安全域验证结果、第一时变参数及第四可选字段在内信息的身份认证信息,以及认证服务器对包含第一认证者的验证结果、第二时变参数及第五可选字段在内信息的身份认证信息的消息;
第三身份认证消息还可以是包括认证服务器对第二认证者所处安全域的验证结果,认证服务器对第一认证者的验证结果,以及认证服务器对包含第二认证者所处安全域验证结果、第一时变参数、第一认证者的验证结果、第二认证者产生的第三时变参数以及第六可选字段在内信息的身份认证信息的消息;
步骤5、第二认证者收到第三身份认证信息后,向第一认证者发送第四身份认证消息;该消息中包括第二认证者所处安全域的标识,第三时变参数,认证服务器对第二认证者所处安全域的验证结果,认证服务器对包含第二认证者所处安全域验证结果、第一时变参数及第四可选字段在内信息的身份认证信息,第二认证者对包含第一时变参数、第三时变参数、第一认证者的标识符、第二认证者所处安全域的标识符及第七可选字段在内信息的身份认证信息,以及第八可选字段;
步骤6、第一认证者收到第四身份认证消息后,对该消息进行验证,过程如下:
6.1)第一认证者根据认证服务器的公开认证信息,验证认证服务器对包含第二认证者所处安全域验证结果、第一时变参数及第四可选字段在内信息的身份认证信息或认证服务器对包含第二认证者所处安全域验证结果、第一时变参数、第一认证者的验证结果、第二时变参数及第六可选字段在内信息的身份认证信息是否有效,并检查第一身份认证消息中第一认证者产生的第一时变参数与包含在认证服务器对包含第二认证者所处安全域验证结果、第一时变参数及第四可选字段在内信息的身份认证信息或认证服务器对包含第二认证者所处安全域验证结果、第一时变参数、第一认证者的验证结果、第三时变参数及第六可选字段在内信息的身份认证信息中的第一时变参数是否相符,若是则执行6.2);否则,确定第二认证者非法,并结束鉴别过程或执行步骤7;
6.2)第一认证者得到认证服务器对第二认证者所处安全域的验证结果,若根据该结果判断第二认证者所处安全域合法有效,则执行6.3),否则,确定第二认证者非法,并结束鉴别过程或执行步骤7;
6.3)第一认证者获取第二认证者所处安全域的公开认证信息,根据该公开认证信息验证第二认证者的身份认证信息是否有效,并检查第一认证者的标识符与包含在第二认证者的身份认证信息中的第一认证者的标识符是否一致,校验第一身份认证消息中第一认证者产生的第一时变参数与包含在第二认证者的身份认证信息中的第一时变参数是否一致,若是,则确定第二认证者合法,否则,确定第二认证者非法。第一认证者完成对第二认证者的鉴别,执行步骤7。
步骤7、第一认证者向第二认证者发送第五身份认证消息,该消息为第一认证者对包含第一时变参数、第三时变参数、第一认证者的标识符、第二认证者所处安全域的标识符及第九可选字段在内信息的身份认证消息;
步骤8、第二认证者收到第五身份认证消息后,对该消息进行验证,过程可以为:
8.1)利用认证服务器的公开认证信息验证认证服务器的身份认证消息是否有效,并检查第二身份认证消息中第二认证者产生的第一时变参数与包含在验证认证服务器的身份认证消息中的第一时变参数是否相符,并在验证认证服务器的身份认证消息是否有效、并检查检查第二身份认证消息中第二认证者产生的第一时变参数与包含在验证认证服务器的身份认证消息中的第一时变参数是否相符,若均为是,则执行8.2);否则,确定第一认证者非法;
8.2)第二认证者得到认证服务器对第一认证者的验证结果,若根据该验证结果判断第一认证者合法有效,则执行8.3),否则,确定第一认证者非法;第二认证者完成对第一认证者的鉴别;
8.3)第二认证者获得第一认证者的公开认证信息,根据该公开认证信息验证第一认证者的身份认证消息是否有效,并检查第二认证者所处安全域的标识符与包含在第一认证者的身份认证消息中的第二认证者所处安全域的标识符是否一致,校验第四身份认证消息中第二认证者产生的第三时变参数与包含在第一认证者的身份认证消息中的第三时变参数是否一致,若是,则确定第一认证者合法,否则,确定第一认证者非法。第二认证者完成对第一认证者的鉴别。
其中,上述8.1)可提前至上述步骤5中执行,即上述步骤5中第二认证者收到第三身份认证信息之后,第二认证者向第一认证者发送第四身份认证消息之前,先执行8.1)中的“利用认证服务器的公开认证信息验证认证服务器的身份认证消息是否有效,并检查第二身份认证消息中第二认证者产生的第一时变参数与包含在验证认证服务器的身份认证消息中的第一时变参数是否相符,并在验证认证服务器的身份认证消息是否有效、并检查检查第二身份认证消息中第二认证者产生的第一时变参数与包含在验证认证服务器的身份认证消息中的第一时变参数是否相符”,验证通过后再向第一认证者发送第四身份认证消息,且当执行到步骤8时,直接从步骤8.2)开始执行
通过上述的第二认证者和第一认证者之间的双向认证过程,可以实现两实体间的双向身份合法性认证,并保护第二认证者的身份信息不被暴露。
第三较佳实施例
本实较佳施例是实现第一认证者和第二认证者之间的双向身份认证过程的较佳实施例,包括如下步骤:
步骤0、第二认证者发送第零身份认证消息给第一认证者,第零身份认证消息中包括第二认证者产生的第三时变参数、第二认证者所处安全域的标识以及第一可选字段。
步骤1、第一认证者发送第一身份认证消息给第二认证者,第一身份认证消息包括第一认证者产生的第一时变参数,第二认证者产生的第三时变参数,第二可选字段,以及第一认证者对包含第一认证者的标识、第一认证者产生的第一时变参数、第二认证者产生的第三时变参数、第二认证者所处安全域的标识及第三可选字段在内信息的身份认证消息。
步骤2、第二认证者收到第一身份认证消息后,向认证服务器发送第二身份认证消息,第二身份认证消息包括第一认证者产生的第一时变参数、第二认证者产生的第二时变参数、第二认证者所处安全域的标识、第一认证者的标识及第四可选字段。
步骤3、认证服务器收到第二身份认证消息后,根据第二认证者所处安全域的标识和第一认证者的标识检查第二认证者所处安全域和第一认证者的合法性。
认证服务器检查第二认证者所处安全域和第一认证者的合法性可采用如下方法:
在第二身份认证消息中,如果第二认证者所处安全域的标识为第二认证者所处安全域的标识符,则认证服务器查找第二认证者所处安全域的有效公开认证信息;如果第二认证者所处安全域的标识为第二认证者所处安全域的身份证明信息,则认证服务器检查第二认证者所处安全域的身份证明信息的有效性;如果第一认证者的标识为第一认证者的标识符,则认证服务器查找第一认证者的有效公开认证信息;如果第一认证者的标识为第一认证者的身份证明信息,则认证服务器检查第一认证者的身份证明信息的有效性。
步骤4、认证服务器向第二认证者返回第三身份认证信息,
第三身份认证信息可以是包括认证服务器对第二认证者所处安全域的验证结果,认证服务器对第一认证者的验证结果,认证服务器对包含第二认证者所处安全域验证结果、第一时变参数及第五可选字段在内信息的身份认证信息,以及认证服务器对包含第一认证者的验证结果、第二时变参数及第六可选字段在内信息的身份认证信息的消息;
第三身份认证消息还可以是包括认证服务器对第二认证者所处安全域的验证结果,认证服务器对第一认证者的验证结果,以及认证服务器对包含第二认证者所处安全域验证结果、第一时变参数、第一认证者的验证结果、第二时变参数及第七可选字段在内信息的身份认证信息的消息;
步骤5、第二认证者收到第三身份认证信息后,向第一认证者发送第四身份认证消息;第四身份认证消息中包括第二认证者所处安全域的标识,第三时变参数,认证服务器对第二认证者所处安全域的验证结果,认证服务器对包含第二认证者所处安全域验证结果、第一时变参数及第四可选字段在内信息的身份认证信息,第二认证者对包含第一时变参数、第三时变参数、第一认证者的标识符、第二认证者所处安全域的标识符及第七可选字段在内信息的身份认证信息,以及第八可选字段;其中,在发送第四身份认证消息之前,执行如下过程:
5.1)利用认证服务器的公开认证信息验证认证服务器的身份认证消息是否有效,并检查第二身份认证消息中第二认证者产生的第一时变参数与包含在验证认证服务器的身份认证信息中的第一时变参数是否相符,并在验证认证服务器的身份认证信息是否有效、并检查第二身份认证消息中第二认证者产生的第一时变参数与包含在认证服务器的身份认证消息中的第一时变参数是否相符,若均为是,则执行5.2);否则,确定第一认证者非法;
5.2)第二认证者得到认证服务器对第一认证者的验证结果,若根据该验证结果判断第一认证者合法有效,则执行5.3),否则,确定第一认证者非法;
5.3)第二认证者获得第一认证者的公开认证信息,根据该公开认证信息验证第一认证者的身份认证消息是否有效,并检查第二认证者所处安全域的标识符与包含在第一认证者的身份认证消息中的第二认证者所处安全域的标识符是否一致,校验第零身份认证消息中第二认证者产生的第三时变参数与包含在第一认证者的身份认证消息中的第三时变参数是否一致,若均为是,则确定第一认证者合法,否则,确定第一认证者非法。第二认证者完成对第一认证者的鉴别。
步骤6、第一认证者收到第四身份认证消息后,对该消息进行验证,过程如下:
6.1)第一认证者根据认证服务器的公开认证信息,验证认证服务器的身份认证信息是否有效,并检查第一身份认证消息中第一认证者产生的第一时变参数与包含在认证服务器的身份认证信息中的第一时变参数是否相符,若均为是,则执行6.2);否则,确定第二认证者非法;
6.2)第一认证者得到认证服务器对第二认证者所处安全域的验证结果,若根据该结果判断第二认证者所处安全域合法有效,则执行6.3),否则,确定第二认证者非法;
6.3)第一认证者获取第二认证者所处安全域的公开认证信息,根据该公开认证信息验证第二认证者的身份认证信息是否有效,并检查第一认证者的标识符与包含在第二认证者的身份认证信息中的第一认证者的标识符是否一致,校验第一身份认证消息中第一认证者产生的第一时变参数与包含在第二认证者的身份认证信息中的第一时变参数是否一致,若均为是,则确定第二认证者合法,否则,确定第二认证者非法。第一认证者完成对第二认证者的鉴别。
通过上述的第二认证者和第一认证者之间的双向认证过程,可以实现两实体间的双向身份合法性认证,并保护第二认证者的身份信息不被暴露。
前文中所出现的第一可选字段、第二可选字段、第三可选字段…的存在性和内容均是不确定的,其意义主要是考虑到实施者可以根据其具体需求自行定义可选字段内容以达到扩展的目的,因而,在其他实施例中,可选字段也可省去。
前文中提到的第一认证者的私有认证信息可以是信息安全领域公钥密码体制中的私钥等信息。
前文中提到的第二认证者的私有认证信息可以是信息安全领域公钥密码体制中的匿名签名密钥等信息。
前文中所出现的第二时变参数和第三时变参数均为第二认证者产生的时变参数,二者可以相同,也可以不同。
前文提及第一认证者或认证服务器的身份认证信息可以是利用私有认证信息,并采用数字签名等信息安全技术,计算生成的信息。
前文提及第二认证者的身份认证信息可以是利用私有认证信息,并采用匿名数字签名等信息安全技术,计算生成的信息。
尽管已描述了本发明的优选实施方式,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (14)
1.一种身份认证方法,其特征在于,所述方法包括以下步骤:
1)第一认证者向第二认证者发送第一身份认证消息,所述第一身份认证消息中还包括第一认证者的标识;2)第二认证者向认证服务器发送第二身份认证消息,第二身份认证消息中包括第二认证者所处安全域的标识,所述第二身份认证消息中还包括第一认证者的标识;
3)认证服务器收到第二身份认证消息后,根据第二身份认证消息验证第二认证者所处安全域的合法性,产生对第二认证者所处安全域的验证结果;所述认证服务器还根据第二身份认证消息验证第一认证者的合法性而产生对第一认证者的验证结果;
4)认证服务器向第二认证者返回第三身份认证消息,第三身份认证消息中包括第二认证者所处安全域的验证结果以及认证服务器对包含第二认证者所处安全域的验证结果在内信息的身份认证信息;所述第三身份认证消息中还包括第一认证者的验证结果以及认证服务器对包含第一认证者的验证结果在内信息的身份认证信息;或者,第三身份认证消息中还包括第一认证者的验证结果,且第三身份认证消息中的认证服务器的身份认证信息中进一步包含第一认证者的验证结果;
5)第二认证者收到第三身份认证消息后,向第一认证者发送第四身份认证消息,第四身份认证消息中包括第二认证者所处安全域的标识、第二认证者所处安全域的验证结果、认证服务器对包含第二认证者所处安全域的验证结果在内信息的身份认证信息以及第二认证者对包含第一认证者的标识符在内信息的身份认证信息;
6)第一认证者收到第四身份认证消息后,对第四身份认证消息进行验证并根据验证情况确定第二认证者身份的合法性;
7)第一认证者向第二认证者发送第五身份认证消息,第五身份认证消息中包括第一认证者对包含第二认证者标识符在内信息的身份认证信息;
8)第二认证者收到第五身份认证消息后,验证第一认证者身份的合法性。
2.如权利要求1所述的身份认证方法,其特征在于:所述步骤3)中,认证服务器根据第二身份认证消息验证第二认证者所处安全域的合法性的具体步骤包括:
若第二身份认证消息中的第二认证者所处安全域的标识为第二认证者所处安全域的标识符,则认证服务器查找第二认证者所处安全域的公开认证信息,若查找到,则确定第二认证者所处安全域合法,否则,确定第二认证者所处安全域非法;或者
若第二身份认证消息中的第二认证者所处安全域的标识为第二认证者所处安全域的身份证明信息,则认证服务器检查其身份证明信息的有效性,若有效,则确定第二认证者所处安全域合法,否则,确定第二认证者所处安全域非法。
3.如权利要求1所述的身份认证方法,其特征在于:所述步骤6)中,第一认证者对第四身份认证消息进行验证并根据验证情况确定第二认证者的合法性,其具体实现方式包括如下步骤:
6.1)第一认证者验证认证服务器的身份认证信息是否有效,若是,则执行步骤6.2),否则,确定第二认证者非法;
6.2)第一认证者若根据第二认证者所处安全域的验证结果判断第二认证者所处安全域合法有效,则执行步骤6.3),否则,确定第二认证者非法;
6.3)第一认证者获取第二认证者所处安全域的公开认证信息,根据该公开认证信息验证第二认证者的身份认证信息是否有效、并检查第一认证者的标识符与包含在第二认证者的身份认证信息中的第一认证者的标识符是否一致,若全部为是,则确定第二认证者合法,否则,确定第二认证者非法。
4.如权利要求1所述的身份认证方法,其特征在于:
所述步骤1)中的第一身份认证消息中进一步包括第一时变参数,第一时变参数由第一认证者产生;
所述步骤2)中的第二身份认证消息中进一步包括第一时变参数;
所述步骤4)中的第三身份认证消息的认证服务器的身份认证信息中,进一步包含第一时变参数;
所述步骤5)中的第四身份认证消息的第二认证者的身份认证信息中,进一步包含第一时变参数;
所述步骤6)中,第一认证者对第四身份认证消息进行验证并根据验证情况确定第二认证者的合法性,其具体实现方式包括如下步骤:
6.1)第一认证者验证认证服务器的身份认证信息是否有效,并验证第一身份认证消息中第一认证者产生的第一时变参数与包含在认证服务器的身份认证信息中的第一时变参数是否相符,若均为是,则执行步骤6.2),否则,确定第二认证者非法;
6.2)第一认证者若根据第二认证者所处安全域的验证结果判断第二认证者所处安全域合法有效,则执行步骤6.3),否则,确定第二认证者非法;
6.3)第一认证者获取第二认证者所处安全域的公开认证信息,根据该公开认证信息验证第二认证者的身份认证信息是否有效、并检查第一认证者的标识符与包含在第二认证者的身份认证信息中的第一认证者的标识符是否一致、并检查第一身份认证消息中第一认证者产生的第一时变参数与包含在第二认证者的身份认证信息中的第一时变参数是否一致,若全部为是,则确定第二认证者合法,否则,确定第二认证者非法。
5.如权利要求1所述的身份认证方法,其特征在于:所述步骤3)中,认证服务器还根据第二身份认证消息验证第一认证者的合法性,具体步骤包括:
若第二身份认证消息中的第一认证者的标识为第一认证者的标识符,则认证服务器查找第一认证者的公开认证信息,若查找到,则确定第一认证者合法,否则,确定第一认证者非法;或者
若第二身份认证消息中的第一认证者的标识为第一认证者的身份证明信息,则认证服务器检查其身份证明信息的有效性,若有效,则确定第一认证者合法,否则,确定第一认证者非法。
6.如权利要求1所述的身份认证方法,其特征在于:所述步骤8)中,第二认证者验证第一认证者的合法性的具体步骤包括:
8.1)第二认证者验证认证服务器对包含第一认证者的验证结果在内信息的身份认证信息是否有效,若是,则执行8.2),否则,确定第一认证者非法;
8.2)第二认证者若根据认证服务器对第一认证者的验证结果判断第一认证者合法有效,则执行8.3),否则,确定第一认证者非法;
8.3)第二认证者获取第一认证者的公开认证信息,根据该公开认证信息验证第一认证者的身份认证信息是否有效、并检查第二认证者所处安全域的标识符与包含在第一认证者的身份认证信息中的第二认证者所处安全域的标识符是否一致,若均为是,则确定第一认证者合法,否则,确定第一认证者非法。
7.如权利要求1所述的身份认证方法,其特征在于:
在所述步骤5)中,在第二认证者向第一认证者发送第四身份认证消息之前,第二认证者验证认证服务器对包含第一认证者的验证结果在内信息的身份认证信息是否有效;并在验证认证服务器对包含第一认证者的验证结果在内信息的身份认证信息有效时,向第一认证者发送第四身份认证消息;
所述步骤8)中,第二认证者验证第一认证者的合法性的具体步骤包括:
8.1)第二认证者若根据认证服务器对第一认证者的验证结果判断第一认证者合法有效,则执行步骤8.2),否则,确定第一认证者非法;
8.2)第二认证者获取第一认证者的公开认证信息,根据该公开认证信息验证第一认证者的身份认证信息是否有效、并检查第二认证者所处安全域的标识符与包含在第一认证者的身份认证信息中的第二认证者所处安全域的标识符是否一致,若均为是,则确定第一认证者合法,否则,确定第一认证者非法。
8.如权利要求1所述的身份认证方法,其特征在于:
在所述步骤2)中,第二身份认证消息中可进一步包含第二时变参数,第二时变参数由第二认证者产生;
在所述步骤3)中,第三身份认证消息的认证服务器对包含第一认证者的验证结果在内信息的身份认证信息中,进一步包含第二时变参数;
所述步骤8)中,第二认证者验证第一认证者的合法性的具体步骤包括:
8.1)第二认证者验证认证服务器对包含第一认证者的验证结果的身份认证信息是否有效,并检查第二认证消息中第二认证者产生的第二时变参数与包含在认证服务器对包含第二时变参数在内信息的身份认证信息中的第二时变参数是否相符,若相符则执行8.2),否则,确定第一认证者非法;
8.2)第二认证者若根据认证服务器对第一认证者的验证结果判断第一认证者合法有效,则执行8.3),否则,确定第一认证者非法;
8.3)第二认证者获取第一认证者的公开认证信息,根据该公开认证信息验证第一认证者的身份认证信息是否有效、检查第二认证者所处安全域的标识符与包含在第一认证者的身份认证信息中的第二认证者所处安全域的标识符是否一致、并检查第五身份认证消息中第二认证者产生的第二时变参数与包含在第二认证者的身份认证信息中的第二时变参数是否一致,若均为是,则确定第一认证者合法,否则,确定第一认证者非法。
9.如权利要求1所述的身份认证方法,其特征在于:
在所述步骤2)中,第二身份认证消息中可进一步包含第二时变参数,第二时变参数由第二认证者产生;
在所述步骤3)中,第三身份认证消息的认证服务器对包含第一认证者的验证结果在内信息的身份认证信息中,进一步包含第二时变参数;
在所述步骤5)中,在第二认证者向第一认证者发送第四身份认证消息之前,第二认证者首先验证认证服务器对包含第一认证者的验证结果的身份认证信息是否有效、检查第二身份认证消息中第二认证者产生的第二时变参数与包含在验证认证服务器对包含第一认证者的验证结果的身份认证消息中的第一时变参数是否相符,若均为是,向第一认证者发送第四身份认证消息;
所述步骤8)中,第二认证者验证第一认证者的合法性的具体步骤包括:
8.1)第二认证者若根据认证服务器对第一认证者的验证结果判断第一认证者合法有效,则执行步骤8.2),否则,确定第一认证者非法;
8.2)第二认证者获取第一认证者的公开认证信息,根据该公开认证信息验证第一认证者的身份认证信息是否有效、并检查第二认证者所处安全域的标识符与包含在第一认证者的身份认证信息中的第二认证者所处安全域的标识符是否一致、并检查第五身份认证消息中第二认证者产生的第二时变参数与包含在第二认证者的身份认证信息中的第二时变参数是否一致,若均为是,则确定第一认证者合法,否则,确定第一认证者非法。
10.如权利要求1或2或3或4所述的身份认证方法,其特征在于:所述身份认证方法还包括:
步骤0)第二认证者发送第零身份认证消息给第一认证者,第零身份认证消息中包括第二认证者所处安全域的标识;
所述步骤1)中的第一身份认证消息中还包括第一认证者的标识;
所述步骤2)中的第二身份认证消息中还包括第一认证者的标识;
所述步骤3)中,认证服务器还根据第二身份认证消息验证第一认证者的合法性而产生对第一认证者的验证结果;
在所述步骤4)中,第三身份认证消息中还包括第一认证者的验证结果以及认证服务器对包含第一认证者的验证结果在内信息的身份认证信息;或者,第三身份认证消息中还包括第一认证者的验证结果,且第三身份认证消息中的认证服务器的身份认证信息中进一步包含第一认证者的验证结果;
在所述步骤5)中,去除第四身份认证消息中的第二认证者所处安全域的标识;并且在第二认证者发送第四身份认证消息之前,对第三身份认证消息进行验证并根据验证情况确定第一认证者的合法性。
11.如权利要求10所述的身份认证方法,其特征在于:所述步骤3)中,认证服务器还根据第二身份认证消息验证第一认证者的合法性,具体步骤包括:
若第二身份认证消息中的第一认证者的标识为第一认证者的标识符,则认证服务器查找第一认证者的公开认证信息,若查找到,则确定第一认证者合法,否则,确定第一认证者非法;或者
若第二身份认证消息中的第一认证者的标识为第一认证者的身份证明信息,则认证服务器检查其身份证明信息的有效性,若有效,则确定第一认证者合法,否则,确定第一认证者非法。
12.如权利要求10所述的身份认证方法,其特征在于:所述步骤5)中,第二认证者对第三身份认证消息进行验证并根据验证情况确定第一认证者的合法性的具体步骤包括:
5.1)第二认证者验证认证服务器对包含第一认证者的验证结果在内信息的身份认证信息是否有效,若是,则执行5.2),否则,确定第一认证者非法;
5.2)第二认证者若根据认证服务器对第一认证者的验证结果判断第一认证者合法有效,则执行5.3),否则,确定第一认证者非法;
5.3)第二认证者获取第一认证者的公开认证信息,根据该公开认证信息验证第一认证者的身份认证信息是否有效、并检查第二认证者所处安全域的标识符与包含在第一认证者的身份认证信息中的第二认证者所处安全域的标识符是否一致,若均为是,则确定第一认证者合法,否则,确定第一认证者非法。
13.如权利要求10所述的身份认证方法,其特征在于:
在所述步骤0)中,第零身份认证消息中可进一步包括第三时变参数,第三时变参数由第二认证者产生;
在所述步骤1)中,第一身份认证消息还包括第三时变参数,第一认证者的身份认证信息中进一步包括第三时变参数;
所述步骤5)中,第二认证者对第三身份认证消息进行验证并根据验证结果确定第一认证者的合法性的具体步骤包括:
5.1)第二认证者验证认证服务器对包含第一认证者的验证结果在内信息的身份认证信息是否有效,若是,则执行5.2),否则,确定第一认证者非法;
5.2)第二认证者若根据认证服务器对第一认证者的验证结果判断第一认证者合法有效,则执行5.3),否则,确定第一认证者非法;
5.3)第二认证者获取第一认证者的公开认证信息,根据该公开认证信息验证第一认证者的身份认证信息是否有效、并检查第二认证者所处安全域的标识符与包含在第一认证者的身份认证信息中的第二认证者所处安全域的标识符是否一致,校验第零身份认证消息中第二认证者产生的第三时变参数与包含在第一认证者的身份认证消息中的第三时变参数是否一致,若均为是,则确定第一认证者合法,否则,确定第一认证者非法。
14.一种身份认证系统,其特征在于,所述系统包括:第一认证者、第二认证者、第二认证者所处的安全域、认证服务器;在第一认证者与第二认证者之间的身份认证过程中,第一认证者仅与第二认证者进行信息交互,认证服务器仅与第二认证者交互信息;具体是:
第一认证者向第二认证者发送第一身份认证消息,所述第一身份认证消息中还包括第一认证者的标识;
第二认证者向认证服务器发送第二身份认证消息,第二身份认证消息中包括第二认证者所处安全域的标识,所述第二身份认证消息中还包括第一认证者的标识;
认证服务器收到第二身份认证消息后,根据第二身份认证消息验证第二认证者所处安全域的合法性,产生对第二认证者所处安全域的验证结果;所述认证服务器还根据第二身份认证消息验证第一认证者的合法性而产生对第一认证者的验证结果;
认证服务器向第二认证者返回第三身份认证消息,第三身份认证消息中包括第二认证者所处安全域的验证结果以及认证服务器对包含第二认证者所处安全域的验证结果在内信息的身份认证信息;所述第三身份认证消息中还包括第一认证者的验证结果以及认证服务器对包含第一认证者的验证结果在内信息的身份认证信息;或者,第三身份认证消息中还包括第一认证者的验证结果,且第三身份认证消息中的认证服务器的身份认证信息中进一步包含第一认证者的验证结果;
第二认证者收到第三身份认证消息后,向第一认证者发送第四身份认证消息,第四身份认证消息中包括第二认证者所处安全域的标识、第二认证者所处安全域的验证结果、认证服务器对包含第二认证者所处安全域的验证结果在内信息的身份认证信息以及第二认证者对包含第一认证者的标识符在内信息的身份认证信息;
第一认证者收到第四身份认证消息后,对第四身份认证消息进行验证并根据验证情况确定第二认证者身份的合法性;
第一认证者还向第二认证者发送第五身份认证消息,第五身份认证消息中包括第一认证者对包含第二认证者标识符在内信息的身份认证信息;
第二认证者收到第五身份认证消息后,验证第一认证者身份的合法性。
Priority Applications (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210063650.1A CN103312499B (zh) | 2012-03-12 | 2012-03-12 | 一种身份认证方法及系统 |
JP2014561277A JP2015512109A (ja) | 2012-03-12 | 2013-03-12 | 身分認証方法、装置及びシステム |
KR1020147028096A KR101631635B1 (ko) | 2012-03-12 | 2013-03-12 | 아이덴티티 인증을 위한 방법, 디바이스 및 시스템 |
PCT/CN2013/072497 WO2013135171A1 (zh) | 2012-03-12 | 2013-03-12 | 一种身份认证方法、装置及系统 |
US14/384,445 US10291614B2 (en) | 2012-03-12 | 2013-03-12 | Method, device, and system for identity authentication |
EP13760980.6A EP2827529B1 (en) | 2012-03-12 | 2013-03-12 | Method, device, and system for identity authentication |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210063650.1A CN103312499B (zh) | 2012-03-12 | 2012-03-12 | 一种身份认证方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103312499A CN103312499A (zh) | 2013-09-18 |
CN103312499B true CN103312499B (zh) | 2018-07-03 |
Family
ID=49137310
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210063650.1A Active CN103312499B (zh) | 2012-03-12 | 2012-03-12 | 一种身份认证方法及系统 |
Country Status (6)
Country | Link |
---|---|
US (1) | US10291614B2 (zh) |
EP (1) | EP2827529B1 (zh) |
JP (1) | JP2015512109A (zh) |
KR (1) | KR101631635B1 (zh) |
CN (1) | CN103312499B (zh) |
WO (1) | WO2013135171A1 (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101390480B1 (ko) * | 2013-10-15 | 2014-04-30 | 펜타시큐리티시스템 주식회사 | 정품 인증 서비스 제공 장치 및 방법 |
US10630665B2 (en) * | 2016-04-18 | 2020-04-21 | Blackberry Limited | Authenticating messages |
JP7066380B2 (ja) * | 2017-11-17 | 2022-05-13 | キヤノン株式会社 | システム、システムにおける方法、情報処理装置、情報処理装置における方法、およびプログラム |
CN109150857B (zh) * | 2018-08-01 | 2021-02-09 | 中国联合网络通信集团有限公司 | 信息认证的方法和装置 |
CN109510830B (zh) * | 2018-11-22 | 2021-01-29 | 南方电网科学研究院有限责任公司 | 一种智能电表的认证方法、装置、介质及设备 |
CN110536296A (zh) * | 2019-04-18 | 2019-12-03 | 中兴通讯股份有限公司 | 认证参数发送方法和装置以及认证参数处理方法和装置 |
CN111431850B (zh) * | 2020-02-18 | 2022-04-19 | 北京网聘咨询有限公司 | 云计算中跨域安全认证方法 |
Family Cites Families (88)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS6336634A (ja) | 1986-07-31 | 1988-02-17 | Advance Co Ltd | 暗号鍵共有方式 |
US7028187B1 (en) * | 1991-11-15 | 2006-04-11 | Citibank, N.A. | Electronic transaction apparatus for electronic commerce |
US5491750A (en) | 1993-12-30 | 1996-02-13 | International Business Machines Corporation | Method and apparatus for three-party entity authentication and key distribution using message authentication codes |
US6094485A (en) * | 1997-09-18 | 2000-07-25 | Netscape Communications Corporation | SSL step-up |
US6636833B1 (en) * | 1998-03-25 | 2003-10-21 | Obis Patents Ltd. | Credit card system and method |
WO2000001108A2 (en) | 1998-06-30 | 2000-01-06 | Privada, Inc. | Bi-directional, anonymous electronic transactions |
US20020004900A1 (en) | 1998-09-04 | 2002-01-10 | Baiju V. Patel | Method for secure anonymous communication |
EP1102430A1 (en) | 1999-10-27 | 2001-05-23 | Telefonaktiebolaget Lm Ericsson | Method and arrangement in an ad hoc communication network |
JP3466975B2 (ja) | 1999-11-02 | 2003-11-17 | 日本電信電話株式会社 | 公開鍵証明証の有効性確認システム及びその方法並びにそのプログラムを記録した媒体 |
AU2001260087A1 (en) | 2000-05-22 | 2001-12-03 | Stephan J. Engberg | A system and method for establishing a privacy communication path |
US6970562B2 (en) | 2000-12-19 | 2005-11-29 | Tricipher, Inc. | System and method for crypto-key generation and use in cryptosystem |
WO2002096151A1 (en) | 2001-05-22 | 2002-11-28 | Flarion Technologies, Inc. | Authentication system for mobile entities |
EP1282089B1 (en) | 2001-08-03 | 2009-12-16 | Telefonaktiebolaget LM Ericsson (publ) | Method and devices for inter-terminal payments |
JP3754342B2 (ja) | 2001-10-30 | 2006-03-08 | 日本電信電話株式会社 | 公開鍵証明書の有効性検証システム |
JP3822555B2 (ja) | 2001-11-09 | 2006-09-20 | 株式会社エヌ・ティ・ティ・ドコモ | 安全なネットワークアクセス方法 |
US7577425B2 (en) | 2001-11-09 | 2009-08-18 | Ntt Docomo Inc. | Method for securing access to mobile IP network |
JP3831331B2 (ja) | 2001-11-09 | 2006-10-11 | 株式会社エヌ・ティ・ティ・ドコモ | モバイルipネットワークへのアクセスを安全にする方法 |
FR2834403B1 (fr) * | 2001-12-27 | 2004-02-06 | France Telecom | Systeme cryptographique de signature de groupe |
US7418596B1 (en) | 2002-03-26 | 2008-08-26 | Cellco Partnership | Secure, efficient, and mutually authenticated cryptographic key distribution |
US20030190046A1 (en) * | 2002-04-05 | 2003-10-09 | Kamerman Matthew Albert | Three party signing protocol providing non-linkability |
US20030195857A1 (en) | 2002-04-10 | 2003-10-16 | Alessandro Acquisti | Communication technique to verify and send information anonymously among many parties |
CN101453331A (zh) | 2002-04-15 | 2009-06-10 | 株式会社Ntt都科摩 | 利用双线性映射的签名方案 |
JP4574957B2 (ja) | 2002-05-30 | 2010-11-04 | 株式会社東芝 | グループ管理機関装置、利用者装置、サービス提供者装置及びプログラム |
JP2004015665A (ja) | 2002-06-10 | 2004-01-15 | Takeshi Sakamura | 電子チケット流通システムにおける認証方法およびicカード |
RU2005100852A (ru) | 2002-06-17 | 2005-06-10 | Конинклейке Филипс Электроникс Н.В. (Nl) | Система для проведения аутентификации между устройствами при помощи групповых сертификатов |
US7624270B2 (en) | 2002-11-26 | 2009-11-24 | Cisco Technology, Inc. | Inter subnet roaming system and method |
FR2855343B1 (fr) | 2003-05-20 | 2005-10-07 | France Telecom | Procede de signature electronique de groupe avec anonymat revocable, equipements et programmes pour la mise en oeuvre du procede |
CN1581183A (zh) * | 2003-07-31 | 2005-02-16 | 上海贝尔阿尔卡特股份有限公司 | 移动环境中匿名微支付及其认证的方法 |
CA2541824A1 (en) * | 2003-10-08 | 2005-04-14 | Stephan J. Engberg | Method and system for establishing a communication using privacy enhancing techniques |
KR100537514B1 (ko) | 2003-11-01 | 2005-12-19 | 삼성전자주식회사 | 그룹 구성원의 신원 정보를 기반으로 한 전자 서명 방법및 전자 서명을 수행한 그룹 구성원의 신원 정보를획득하기 위한 방법 및 그룹 구성원의 신원 정보를기반으로 한 전자 서명 시스템 |
CN100388850C (zh) | 2003-12-18 | 2008-05-14 | 中国电子科技集团公司第三十研究所 | 数字蜂窝移动通信系统用户切换时的双向鉴别方法 |
FR2867930A1 (fr) | 2004-03-16 | 2005-09-23 | France Telecom | Procede d'authentification anonyme |
US7472277B2 (en) | 2004-06-17 | 2008-12-30 | International Business Machines Corporation | User controlled anonymity when evaluating into a role |
WO2006000990A2 (en) | 2004-06-25 | 2006-01-05 | Koninklijke Philips Electronics N.V. | Anonymous certificates with anonymous certificate show |
WO2006021236A1 (en) | 2004-08-26 | 2006-03-02 | Ntt Docomo, Inc. | Method and apparatus for supporting secure handover |
WO2006027933A1 (ja) | 2004-09-03 | 2006-03-16 | Nec Corporation | グループ署名システム、メンバ状態判定装置、グループ署名方法及びメンバ状態判定プログラム |
US7412232B2 (en) | 2004-12-22 | 2008-08-12 | Research In Motion Limited | Method and system for controlling software loads on a third-party mobile station |
CN100389555C (zh) | 2005-02-21 | 2008-05-21 | 西安西电捷通无线网络通信有限公司 | 一种适合有线和无线网络的接入认证方法 |
CN1645393A (zh) * | 2005-02-23 | 2005-07-27 | 北京邮电大学 | 一种实现小额支付的通信交互方法 |
EP1867094A2 (en) | 2005-03-15 | 2007-12-19 | Trapeze Networks, Inc. | System and method for distributing keys in a wireless network |
US20060274695A1 (en) | 2005-06-03 | 2006-12-07 | Nokia Corporation | System and method for effectuating a connection to a network |
KR100652125B1 (ko) | 2005-06-03 | 2006-12-01 | 삼성전자주식회사 | 서비스 제공자, 단말기 및 사용자 식별 모듈 간을총괄적으로 인증하여 관리할 수 있도록 하는 상호 인증방법 및 이를 이용한 시스템과 단말 장치 |
JP2007004461A (ja) | 2005-06-23 | 2007-01-11 | Nec Corp | サービス提供システム、アウトソーシング業者装置、サービス提供方法およびプログラム |
JP2007049379A (ja) * | 2005-08-09 | 2007-02-22 | Toshiba Corp | 本人確認方法 |
US20070055881A1 (en) | 2005-09-02 | 2007-03-08 | Fuchs Kenneth C | Method for securely exchanging public key certificates in an electronic device |
CN100546245C (zh) | 2006-01-11 | 2009-09-30 | 西安电子科技大学 | 跨安全域的网络认证和密钥分配方法 |
WO2007105749A1 (ja) | 2006-03-16 | 2007-09-20 | Nec Corporation | グループ署名システムおよび情報処理方法 |
CN1835008A (zh) | 2006-04-21 | 2006-09-20 | 李黎军 | 一种移动支付方法 |
KR101366277B1 (ko) | 2006-09-07 | 2014-02-20 | 엘지전자 주식회사 | 도메인에서 ro 이동을 위한 멤버쉽 확인 방법 및 장치 |
US8520850B2 (en) * | 2006-10-20 | 2013-08-27 | Time Warner Cable Enterprises Llc | Downloadable security and protection methods and apparatus |
WO2008085207A2 (en) * | 2006-12-29 | 2008-07-17 | Prodea Systems, Inc. | Multi-services application gateway |
US8301901B2 (en) | 2007-03-06 | 2012-10-30 | Emc Corporation | System and method for expressing and evaluating signed reputation assertions |
CN101335622B (zh) | 2007-06-27 | 2012-08-29 | 日电(中国)有限公司 | 使用匿名柔性凭证的用于分布式授权的方法和装置 |
JP4851497B2 (ja) * | 2007-07-17 | 2012-01-11 | インテル コーポレイション | 双線形マップからの直接匿名認証のための装置および方法 |
CN101374153B (zh) | 2007-08-23 | 2012-02-29 | 中国移动通信集团公司 | 安全激活第三方应用的方法、第三方服务器、终端及系统 |
KR100962399B1 (ko) * | 2007-08-24 | 2010-06-11 | 한국전자통신연구원 | 익명 공개 키 기반구조 제공 방법 및 이를 이용한 서비스제공 방법 |
CN101141711B (zh) | 2007-10-12 | 2010-11-10 | 中兴通讯股份有限公司 | 一种集群系统资源建立的并行处理方法 |
CN101136928B (zh) | 2007-10-19 | 2012-01-11 | 北京工业大学 | 一种可信网络接入控制系统 |
CN100553193C (zh) * | 2007-10-23 | 2009-10-21 | 西安西电捷通无线网络通信有限公司 | 一种基于可信第三方的实体双向鉴别方法及其系统 |
CN101222328B (zh) * | 2007-12-14 | 2010-11-03 | 西安西电捷通无线网络通信股份有限公司 | 一种实体双向鉴别方法 |
CA2716335A1 (en) | 2008-02-22 | 2009-08-27 | Stephen C. Bono | Systems and methods for secure workgroup management and communication |
CN101247223B (zh) * | 2008-03-06 | 2010-06-09 | 西安西电捷通无线网络通信有限公司 | 一种基于可信第三方的实体双向鉴别方法 |
CN101286844B (zh) | 2008-05-29 | 2010-05-12 | 西安西电捷通无线网络通信有限公司 | 一种支持快速切换的实体双向鉴别方法 |
US8121073B2 (en) | 2008-06-13 | 2012-02-21 | International Business Machines Corporation | Future forwarding zones in a network |
CN101621374A (zh) | 2008-06-30 | 2010-01-06 | 华为技术有限公司 | 一种网络认证的方法、装置、系统及服务器 |
US8413256B2 (en) | 2008-08-26 | 2013-04-02 | Cox Communications, Inc. | Content protection and digital rights management (DRM) |
TW201012024A (en) | 2008-09-08 | 2010-03-16 | Richtek Technology Corp | Battery system and controlling method thereof and the charger for the battery system |
CN101364876B (zh) | 2008-09-12 | 2011-07-06 | 西安西电捷通无线网络通信股份有限公司 | 一种实现实体的公钥获取、证书验证及鉴别的方法 |
US20100169650A1 (en) * | 2008-12-31 | 2010-07-01 | Brickell Ernest F | Storage minimization technique for direct anonymous attestation keys |
CN101453476B (zh) | 2009-01-06 | 2011-12-07 | 中国人民解放军信息工程大学 | 一种跨域认证方法和系统 |
EP2441207B8 (fr) | 2009-06-12 | 2020-08-05 | Orange | Procédé cryptographique d'authentification anonyme et d'identification séparée d'un utilisateur |
CN101599959B (zh) | 2009-07-10 | 2012-07-25 | 西北工业大学 | 基于身份的匿名双向认证方法 |
US9841282B2 (en) * | 2009-07-27 | 2017-12-12 | Visa U.S.A. Inc. | Successive offer communications with an offer recipient |
CN101640593B (zh) * | 2009-08-28 | 2011-11-02 | 西安西电捷通无线网络通信股份有限公司 | 一种引入在线第三方的实体双向鉴别方法 |
CN101645776B (zh) | 2009-08-28 | 2011-09-21 | 西安西电捷通无线网络通信股份有限公司 | 一种引入在线第三方的实体鉴别方法 |
CN101635624B (zh) | 2009-09-02 | 2011-06-01 | 西安西电捷通无线网络通信股份有限公司 | 引入在线可信第三方的实体鉴别方法 |
US8499158B2 (en) | 2009-12-18 | 2013-07-30 | Electronics And Telecommunications Research Institute | Anonymous authentication service method for providing local linkability |
CN101764742B (zh) | 2009-12-30 | 2015-09-23 | 福建星网锐捷网络有限公司 | 一种网络资源访问控制系统及方法 |
US20180053157A1 (en) * | 2010-01-08 | 2018-02-22 | Blackhawk Network, Inc. | Systems and methods for consumer modifiable payment card transactions |
CN101888297A (zh) | 2010-07-16 | 2010-11-17 | 浙江省人大常委会办公厅信息中心 | 一种基于信任的跨域认证方法 |
CN101984577B (zh) * | 2010-11-12 | 2013-05-01 | 西安西电捷通无线网络通信股份有限公司 | 匿名实体鉴别方法及系统 |
CN101997688B (zh) | 2010-11-12 | 2013-02-06 | 西安西电捷通无线网络通信股份有限公司 | 一种匿名实体鉴别方法及系统 |
US9237142B2 (en) | 2011-01-07 | 2016-01-12 | Interdigital Patent Holdings, Inc. | Client and server group SSO with local openID |
US9760871B1 (en) * | 2011-04-01 | 2017-09-12 | Visa International Service Association | Event-triggered business-to-business electronic payment processing apparatuses, methods and systems |
US20120271692A1 (en) * | 2011-04-23 | 2012-10-25 | Xingang Huang | Method and System for Smart Phone Based Virtual Card |
US8707046B2 (en) | 2011-05-03 | 2014-04-22 | Intel Corporation | Method of anonymous entity authentication using group-based anonymous signatures |
CN203337806U (zh) | 2013-08-01 | 2013-12-11 | 向智勇 | 电量查询装置 |
US9419455B2 (en) | 2013-09-06 | 2016-08-16 | Broadcom Corporation | Multimode battery charger |
-
2012
- 2012-03-12 CN CN201210063650.1A patent/CN103312499B/zh active Active
-
2013
- 2013-03-12 US US14/384,445 patent/US10291614B2/en active Active
- 2013-03-12 WO PCT/CN2013/072497 patent/WO2013135171A1/zh active Application Filing
- 2013-03-12 JP JP2014561277A patent/JP2015512109A/ja active Pending
- 2013-03-12 EP EP13760980.6A patent/EP2827529B1/en active Active
- 2013-03-12 KR KR1020147028096A patent/KR101631635B1/ko active IP Right Grant
Also Published As
Publication number | Publication date |
---|---|
US20150128238A1 (en) | 2015-05-07 |
KR101631635B1 (ko) | 2016-06-17 |
JP2015512109A (ja) | 2015-04-23 |
CN103312499A (zh) | 2013-09-18 |
EP2827529B1 (en) | 2017-10-04 |
EP2827529A4 (en) | 2015-04-22 |
KR20140138259A (ko) | 2014-12-03 |
US10291614B2 (en) | 2019-05-14 |
EP2827529A1 (en) | 2015-01-21 |
WO2013135171A1 (zh) | 2013-09-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103312499B (zh) | 一种身份认证方法及系统 | |
CN104601593B (zh) | 基于挑战方式实现网络电子身份认证过程中防追踪的方法 | |
CN101170407B (zh) | 一种安全地生成密钥对和传送公钥或证书申请文件的方法 | |
CN104753881B (zh) | 一种基于软件数字证书和时间戳的WebService安全认证访问控制方法 | |
CN104639516B (zh) | 身份认证方法、设备及系统 | |
ES2819192T3 (es) | Identificación de una entidad anónima como parte de un grupo | |
CN109309565A (zh) | 一种安全认证的方法及装置 | |
CN109067801A (zh) | 一种身份认证方法、身份认证装置及计算机可读介质 | |
CN103338202B (zh) | 一种基于智能卡的远程用户密码双重验证方法 | |
CN110519046A (zh) | 基于一次性非对称密钥对和qkd的量子通信服务站密钥协商方法和系统 | |
CN101257489A (zh) | 一种保护账号安全的方法 | |
CN101997688A (zh) | 一种匿名实体鉴别方法及系统 | |
KR101679771B1 (ko) | 아이덴티티 인증을 위한 방법, 디바이스 및 시스템 | |
CN110505055A (zh) | 基于非对称密钥池对和密钥卡的外网接入身份认证方法和系统 | |
CN106101160A (zh) | 一种系统登录方法及装置 | |
CN105024813B (zh) | 一种服务器、用户设备以及用户设备与服务器的交互方法 | |
Alzuwaini et al. | An Efficient Mechanism to Prevent the Phishing Attacks. | |
CN108667801A (zh) | 一种物联网接入身份安全认证方法及系统 | |
CN101854357B (zh) | 网络认证监控方法及系统 | |
JP2015516616A (ja) | 認証方法、装置及びシステム | |
Lee et al. | Comment on" A remote user authentication scheme using smart cards with forward secrecy | |
CN105429986B (zh) | 一种网络实名验证和隐私保护的系统 | |
Khan et al. | Further cryptanalysis of ‘a remote authentication scheme using mobile device’ | |
CN107317681A (zh) | 一种量子保密通信可信组网认证方法和系统 | |
Lee et al. | Security Improvement to a Remote User Authentication Scheme for Multi-Server Environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |