CN103312665A - 用于敏感数据的安全机制 - Google Patents
用于敏感数据的安全机制 Download PDFInfo
- Publication number
- CN103312665A CN103312665A CN2012100607547A CN201210060754A CN103312665A CN 103312665 A CN103312665 A CN 103312665A CN 2012100607547 A CN2012100607547 A CN 2012100607547A CN 201210060754 A CN201210060754 A CN 201210060754A CN 103312665 A CN103312665 A CN 103312665A
- Authority
- CN
- China
- Prior art keywords
- server
- client
- response
- random value
- authentication request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提出一种在电信网络的客户端和服务器之间执行的认证方法,根据本发明的实施例,该方法包括:客户端向服务器发送认证请求;在接收服务器返回的带有随机值的响应消息后,客户端用该随机值和客户安全信息计算响应值并向服务器发送包括授权报头的认证请求,授权报头包括计算的响应值;以及在服务器判断响应值是否正确后,从服务器接收认证确认或拒绝消息。根据本发明的另一实施例,该方法包括:服务器从客户端接收认证请求并向客户端返回带有随机值的响应消息;服务器接收客户端发送的包括授权报头的认证请求,授权报头包括客户端用该随机值计算的响应值;以及服务器判断响应值是否正确,并且根据判断结果向客户端发送认证确认或拒绝消息。
Description
技术领域
本发明涉及通信网络,具体涉及在通信网络中的敏感数据安全机制。
背景技术
OMA ParlayREST(面向ParlayX的RESTful约束)是开放移动联盟OMA颁发的一套标准规范,旨在为OMA中的ParlayXWeb服务规范(子)集指定RESTWeb服务约束。如果消息包含敏感数据,诸如密码、账户号码、和卡号(如在账户管理和支付API中使用的),需要考虑安全性以保护这些数据。但是OMA ParlayREST标准并没有具体定义安全解决方案,没有定义如何传送客户应用敏感数据。
HTTP认证采用质询机制,该机制由服务器使用以指示客户端应当使用哪种认证方案。典型的HTTP认证过程如下:步骤101,Web客户端从Web服务器请求由http认证保护的资源;步骤102,Web服务器返回具有401未授权状态码的HTTP响应并且指示在WWW-认证报头中使用哪种认证机制;步骤103,Web客户端提示用户提示用户输入用户名和口令,然后进行第二次请求,该请求在授权报头中包括用户名和口令;最后,在步骤104中,Web服务器向web客户端提供请求的资源。
发明内容
本发明的基本思想在于提供具体的安全机制以改善ParlayREST标准。本发明提出API敏感数据(即,应用ID、企业ID和口令)将根据RFC2617(HTTP基本和摘要认证)来传送。基本认证将只能在HTTP连接上使用。要求HTTP摘要认证提供REST消息级认证支持,HTTP摘要授权报头用于携带认证ID。
一方面,本发明提出了一种在电信网络的客户端上执行的认证方法,包括:客户端向服务器发送认证请求;在接收服务器返回的带有随机值的响应消息后,客户端用该随机值和客户安全信息计算响应值并向服务器发送包括授权报头的认证请求,所述授权报头包括计算的响应值;以及,在服务器判断所述响应值是否正确后,客户端从服务器接收认证确认或拒绝消息。
根据本发明的实施例,客户安全信息包括用户名、口令、域名、密码信息。
另一方面,本发明提出了一种在电信网络的服务器上执行的认证方法,包括:服务器从客户端接收认证请求并向客户端返回带有随机值的响应消息;服务器接收客户端发送的包括授权报头的认证请求,所述授权报头包括客户端用该随机值计算的响应值;以及服务器判断所述响应值是否正确,并且根据判断结果向客户端发送认证确认或者拒绝消息。
根据本发明的实施例,随机值是服务器随机生成的字符串。
根据本发明的实施例,随机值在特定时间段后失效,并且在所述随机值失效后,如果服务器接收到客户端的另一认证请求,则服务器将向客户端返回带有另一随机值的响应消息。
又一方面,本发明提出了一种在电信网络中使用的客户端设备,包括:用于向服务器发送认证请求的装置;在接收服务器返回的带有随机值的响应消息后,用于采用该随机值和客户安全信息计算响应值并向服务器发送包括授权报头的认证请求的装置,所述授权报头包括计算的响应值;以及,在服务器判断所述响应值是否正确后,用于从服务器接收认证确认或拒绝消息的装置。
本发明还涉及一种在电信网络中使用的服务器,包括:用于从客户端接收认证请求并向客户端返回带有随机值的响应消息的装置;用于接收客户端发送的包括授权报头的认证请求的装置,所述授权报头包括客户端用该随机值计算的响应值;以及,用于判断所述响应值是否正确并且根据判断结果向客户端发送认证确认或者拒绝消息的装置。
本发明的实施例还涉及一种在电信网络中执行的认证方法,包括:客户端向服务器发送授权请求,所述授权请求包括对响应值和口令进行运算而得到的授权报头;以及,服务器根据响应值确定认证是否被接受并向客户端发送确认或拒绝响应。
附图说明
下面将参照附图说明本发明的示例性实施例。在附图中,相同的附图标记表示相同或相似的技术特征。
图1示出现有技术中web客户端和web服务器之间的认证过程;
图2示出根据本发明的实施例,客户端与ParlayREST服务器之间的HTTP基本认证过程;以及
图3示出根据本发明的实施例,客户端与ParlayREST服务器之间的HTTP摘要认证过程。
具体实施方式
图2示出根据本发明的实施例,客户端与ParlayREST服务器执行HTTP基本认证的流程图。
以位置信息为例,在执行认证之前,客户端需要收集以下参数:
username:ULTestEntOp#ULTestClientApp
clientid:ULTestClientApp
entid:ULTestEntOp
secret:17B27E08D5E23871614FA99E33BFBB20
realm=“Alcatel-Lucent 5400ISG”,
uri=“/pxtl/services/TerminalLocationService/getLocation”,
根据本发明的实施例,对username和secret进行base64编码以计算基本授权报头,即Base64(username:secret)。
例如,授权报头的计算结果为:Basic VUxUZXN0RW50T3AjVUxUZXN0Q2xpZW50QXBwOjE3QjI3RTA4RDVFMjM4NzE2MTRGQTk5RTMzQkZCQjIw。
在图2示出的步骤201中,客户端应用向ParlayREST服务器发送HTTP授权请求。该请求包含具有上述计算结果的授权报头。在步骤202中,ParlayREST服务器向客户端发回HTTP响应。该响应包括例如不被认证的状态码401或是认证成功的状态码200。
根据本发明的实施例,用于执行以上方法的客户端配备有计算响应值的装置,该装置对用户名和密码进行计算(例如,Base64)以产生响应值,用于执行以上方法的客户端还配备有将包含该响应值的授权报头发送给ParlayREST服务器的装置。用于执行以上方法的ParlayREST服务器配备有判断接收到的响应值是否正确并向客户端返回认证结果的装置。例如,在通过认证的情况下发送200OK消息,以及在认证未通过的情况下发送401消息。
图3示出了根据本发明的实施例,与ParlayREST服务器执行HTTP摘要认证的流程图。
仍然以位置应用为例,在测试前收集以下信息:
username:ULTestEntOp#ULTestClientApp
clientid:ULTestClientApp
entid:ULTestEntOp
secret:17B27E08D5E23871614FA99E33BFBB20
realm=″Alcatel-Lucent 5400ISG″,
uri=″/pxtl/services/TerminalLocationService/getLocation″,
首先,在步骤301中,客户端向ParlayREST服务器发送不具有授权HTTP报头的HTTP摘要认证请求。在步骤302中,ParlayREST服务器向客户端返回带有WWW认证HTTP报头的HTTP响应,该HTTP认证报头中存储有随机值nonce1,nonce1可以是随机生成的字符串。
在步骤303中,客户端计算授权HTTP报头,并且向ParlayREST服务器发送具有授权HTTP报头的HTTP摘要认证请求。
例如,可以按照如下算法计算授权HTTP报头:
对username、realm和password执行第一次哈希计算:
HA1=MD5(A1)=MD5(username:realm:password)
对method(认证方式)和digestURI(摘要URI)执行第二次哈希计算:
HA2=MD5(A2)=MD5(method:digestURI)
接下来对两次计算出的哈希值以及nonce1进行MD5运算以得出响应值response:
response=MD5(HA1:nonce:HA2)
在该特定实施例中,第一次计算的哈希值:
HA1=MD5(ULTestEntOp#ULTestClientApp:Alcatel-Lucent 5400ISG:17B27E08D5E23871614FA99E33BFBB20)
=334f447ecadfd9774b482566d6e4fbe7
第二次计算的哈希值:
HA2=MD5(GET:/pxtl/services/TerminalLocationService/getLocation)=d9cd339f07447ce982ef8920f3bc37ec
响应值:
response=MD5(334f447ecadfd9774b482566d6e4fbe7:714921331978c766e22da68f21e3d73f:d9cd339f07447ce982ef8920f3bc37ec)=f38204529096bdd76013f8494d219497
response=″f38204529096bdd76013f8494d219497″
因此,客户端向ParlayREST服务器提交的授权报头中将包含以下内容为基础计算的response:
Digest username=″ULTestEntOp#ULTestClientApp″,
realm=″Alcatel-Lucent 5400ISG″,
uri=″/pxtl/services/TerminalLocationService/getLocation″,
nonce=″714921331978c766e22da68f21e3d73f″,
response=″f38204529096bdd76013f8494d219497″
在下面的步骤中,将由服务器端根据username、realm、uri和nonce验证response从而验真客户端的身份,防止response被篡改。具体地说,在接收客户端授权报头之后,ParlayREST服务器将用这种形式的nonce重新计算,并且如果重新计算的哈希部分与来自报头的response相匹配,则在步骤303中回复表示认证成功的200OK消息。
需要注意的是,Nonce应当由ParlayREST服务器生成并且在配置的时间段后过期。Nonce被构造为时间戳H的based 64编码(时间戳:私钥),其中时间戳是服务器生成的时间,私钥是只有服务器知道的数据。接收客户端授权报头之后,ParlayREST服务器将用这种形式的nonce重新计算哈希部分,并且如果重新计算的哈希部分与来自报头的nonce不匹配或者时间戳值不是最近的,则服务器将拒绝请求。在效率和安全性之间折衷考虑,ParlayREST服务器只在一段时间内支持有效的nonce,而不是对于每次请求支持一个一次性的nonce。
假设在nonce1的有效期过去后,客户端向ParlayREST服务器发送带有nonce1的摘要认证请求。由于该nonce1已经过期,ParlayREST服务器在向客户端发送的授权报头中包含了新的随机值nonce2。客户端应当使用新的nonce2值以重新计算摘要授权报头而不提示用户输入新的用户名和口令。
客户端将重复上述计算过程,即对username、realm和password执行第一次哈希计算:HA1=MD5(A1)=MD5(username:realm:password),对method和digestURI执行第二次哈希计算:HA2=MD5(A2)=MD5(method:digestURI),接下来对两次计算出的哈希值以及nonce2进行MD5运算以得出响应值:response=MD5(HA1:nonce:HA2)。
在步骤307中,客户端向ParlayREST服务器提交计算后的授权报头,该报头包含以Digest username、realm、uri、nonce2为基础计算的response。
在接收客户端认证报头之后,ParlayREST服务器将用nonce2重新计算哈希部分,并且如果重新计算的哈希部分与来自报头的nonce2相匹配,则在步骤308中回复表示认证成功的200OK消息。
在根据本发明的实施例中,用于执行上述方法的客户端配备有发送摘要认证请求的装置,该摘要请求不包含授权报头。ParlayREST服务器,例如其包含的回复装置,将向客户端回复带有随机值(例如,nonce1)的响应。客户端用随机值计算响应值并在再次发送给ParlayREST服务器的认证请求中添加授权报头,该授权报头包括有计算的响应值。计算装置对用户名和密码进行计算(例如,Base64)以产生响应值,例如以上计算的response=MD5(HA1:nonce:HA2)。进一步地,ParlayREST服务器配备有判断接收到的响应值是否正确并向客户端返回认证结果的装置。例如,在通过认证的情况下发送200OK消息,以及在认证未通过的情况下发送401消息。ParlayREST服务器判断响应值是否正确可以这样进行:用接收到的请求中包含的nonce1重新计算哈希部分,并且如果重新计算的哈希部分与来自报头的nonce1相匹配,就判断认证通过,否则认证结果为未通过。
需要说明的是,本发明的技术方案本身并不涉及硬件设备本身的改进,可以通过软件或者软件与硬件相结合的方式来实施。因此,以上以功能模块进行描述的客户端和服务器的实现对于本领域技术人员而言,并不存在特别的困难。
尽管结合了实施例来描述本发明,但是本发明并不局限于任何实施例。本发明的范围由权利要求书限定,并且包括各种可选方式、修改和等效替换。
因此,本发明的保护范围应当由所附的权利要求书的内容确定。
Claims (11)
1.一种在电信网络中执行的认证方法,包括:
客户端向服务器发送认证请求;
在接收服务器返回的带有随机值的响应消息后,客户端用该随机值和客户安全信息计算响应值并向服务器发送包括授权报头的认证请求,所述授权报头包括计算的响应值;以及
在服务器判断所述响应值是否正确后,客户端从服务器接收认证确认或拒绝消息。
2.如权利要求1所述的方法,所述客户安全信息包括用户名、口令、域名、密码信息。
3.一种在电信网络中执行的认证方法,包括:
服务器从客户端接收认证请求并向客户端返回带有随机值的响应消息;
服务器接收客户端发送的包括授权报头的认证请求,所述授权报头包括客户端用该随机值计算的响应值;以及
服务器判断所述响应值是否正确,并且根据判断结果向客户端发送认证确认或者拒绝消息。
4.如权利要求3所述的方法,所述随机值是服务器随机生成的字符串。
5.如权利要求3或4所述的方法,其中所述随机值在特定时间段后失效,并且在所述随机值失效后,如果服务器接收到客户端的另一认证请求,则服务器将向客户端返回带有另一随机值的响应消息。
6.一种在电信网络中使用的客户端设备,包括:
用于向服务器发送认证请求的装置;
在接收服务器返回的带有随机值的响应消息后,用于采用该随机值和客户安全信息计算响应值并向服务器发送包括授权报头的认证请求的装置,所述授权报头包括计算的响应值;以及
在服务器判断所述响应值是否正确后,用于从服务器接收认证确认或拒绝消息的装置。
7.如权利要求6所述的客户端设备,所述客户安全信息包括用户名、口令、域名、密码信息。
8.一种在电信网络中使用的服务器,包括:
用于从客户端接收认证请求并向客户端返回带有随机值的响应消息的装置;
用于接收客户端发送的包括授权报头的认证请求的装置,所述授权报头包括客户端用该随机值计算的响应值;以及
用于判断所述响应值是否正确并且根据判断结果向客户端发送认证确认或者拒绝消息的装置。
9.如权利要求8所述的服务器,所述随机值是随机生成的字符串。
10.如权利要求8或9所述的服务器,其中所述随机值在特定时间段后失效,并且在所述随机值失效后,如果服务器接收到客户端的另一认证请求,则服务器包括用于向客户端返回带有另一随机值的响应消息的装置。
11.一种在电信网络中执行的认证方法,包括:
客户端向服务器发送授权请求,所述授权请求包括对响应值和口令进行运算而得到的授权报头;以及
服务器根据响应值确定认证是否被接受并向客户端发送确认或拒绝响应。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012100607547A CN103312665A (zh) | 2012-03-09 | 2012-03-09 | 用于敏感数据的安全机制 |
| PCT/IB2013/000714 WO2013132336A2 (en) | 2012-03-09 | 2013-03-06 | Security mechanism for sensitive data |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012100607547A CN103312665A (zh) | 2012-03-09 | 2012-03-09 | 用于敏感数据的安全机制 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103312665A true CN103312665A (zh) | 2013-09-18 |
Family
ID=48626471
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012100607547A Pending CN103312665A (zh) | 2012-03-09 | 2012-03-09 | 用于敏感数据的安全机制 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN103312665A (zh) |
| WO (1) | WO2013132336A2 (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040225878A1 (en) * | 2003-05-05 | 2004-11-11 | Jose Costa-Requena | System, apparatus, and method for providing generic internet protocol authentication |
| US20090158367A1 (en) * | 2006-03-28 | 2009-06-18 | Objectvideo, Inc. | Intelligent video network protocol |
| CN101534196A (zh) * | 2008-03-12 | 2009-09-16 | 因特伟特公司 | 用于安全调用rest api的方法和装置 |
| US20100293385A1 (en) * | 2009-05-14 | 2010-11-18 | Microsoft Corporation | Http-based authentication |
-
2012
- 2012-03-09 CN CN2012100607547A patent/CN103312665A/zh active Pending
-
2013
- 2013-03-06 WO PCT/IB2013/000714 patent/WO2013132336A2/en active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040225878A1 (en) * | 2003-05-05 | 2004-11-11 | Jose Costa-Requena | System, apparatus, and method for providing generic internet protocol authentication |
| US20090158367A1 (en) * | 2006-03-28 | 2009-06-18 | Objectvideo, Inc. | Intelligent video network protocol |
| CN101534196A (zh) * | 2008-03-12 | 2009-09-16 | 因特伟特公司 | 用于安全调用rest api的方法和装置 |
| US20100293385A1 (en) * | 2009-05-14 | 2010-11-18 | Microsoft Corporation | Http-based authentication |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2013132336A2 (en) | 2013-09-12 |
| WO2013132336A3 (en) | 2013-11-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105608577B (zh) | 实现不可否认性的方法及其支付管理服务器和用户终端 | |
| CN108834144B (zh) | 运营商码号与账号的关联管理方法与系统 | |
| CN109547445B (zh) | 一种验证客户端网络请求合法的方法及系统 | |
| CN101373528B (zh) | 基于位置认证的电子支付系统、设备、及方法 | |
| CN101931533B (zh) | 认证方法、装置和系统 | |
| CN101765108B (zh) | 基于移动终端的安全认证服务平台系统、装置和方法 | |
| US20140006781A1 (en) | Encapsulating the complexity of cryptographic authentication in black-boxes | |
| CN105577612B (zh) | 身份认证方法、第三方服务器、商家服务器及用户终端 | |
| CN103986584A (zh) | 基于智能设备的双因子身份验证方法 | |
| US20100017604A1 (en) | Method, system and device for synchronizing between server and mobile device | |
| CN103944900A (zh) | 一种基于加密的跨站请求攻击防范方法及其装置 | |
| CN101647254A (zh) | 用于为终端设备提供服务的方法和系统 | |
| CN103067338A (zh) | 第三方应用的集中式安全管理方法和系统及相应通信系统 | |
| JP2002271312A (ja) | 公開鍵管理方法 | |
| CN102438013A (zh) | 基于硬件的证书分发 | |
| CN104580256A (zh) | 通过用户设备登录和验证用户身份的方法及设备 | |
| CN103780580A (zh) | 提供能力访问策略的方法、服务器和系统 | |
| CN101309293A (zh) | 基于超文本传输协议的认证方法与认证系统 | |
| CN102811211A (zh) | 支持登录验证的设备和进行登录验证的方法 | |
| US20150280920A1 (en) | System and method for authorization | |
| EP2957064A1 (en) | Method of privacy-preserving proof of reliability between three communicating parties | |
| CN102055764A (zh) | 一种对业务系统的访问操作进行监控的方法及装置 | |
| CN105577606B (zh) | 一种实现认证器注册的方法和装置 | |
| CN103532961A (zh) | 一种基于可信密码模块电网网站身份认证的方法及系统 | |
| KR20090054774A (ko) | 분산 네트워크 환경에서의 통합 보안 관리 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130918 |