CN105592048A - 一种认证的方法及装置 - Google Patents

Abstract

本发明提供了一种认证的方法，应用于授权服务器，该方法包括：接收授权应用程序LAP发送的认证消息，确定所述认证消息中是否携带用户令牌Token和合法的用户身份标识UID；如果所述认证消息中携带有合法UID但未携带Token，则为所述LAP分配一个标识所述LAP身份的Token，完成认证；如果所述认证消息中携带有合法UID且携带Token，则根据已保存的token和所述认证消息携带的Token进行认证。本发明还提供了一种认证的装置。采用本发明能够有效防止恶意复制LAP程序，来获取授权信息。

Description

一种认证的方法及装置

技术领域

本发明涉及通信技术领域，特别涉及一种认证的方法及装置。

背景技术

授权服务器模式指LicS(LicenseServer，授权服务器)对授权进行统一管理，LAP(LicenseApplicationProgram，授权应用程序)向LicS发起身份认证，LicS认证通过后，LicS接收LAP授权请求并分配授权。由LAP主动释放授权，或由LicS强制回收授权，以供其它LAP请求授权的一种应用模式。其中，LicS指专门用于存储授权许可(后文简称“授权”)，并对授权进行管理的服务器。LAP指某些需要依赖于授权许可才能够运行的应用程序，此程序一般指产品设备上的某些特性服务程序。

现有技术中LAP向LicS进行身份认证的方法包括：LAP携带用户身份标识(UID)，如MAC地址、SN(SequenceNumber，序列号)或用户名及密码等向LicS发起身份认证，LicS对LAP认证通过后即认为是一个合法的LAP。如果链路断开后重新连接，需要重新进行身份认证。

该技术的缺点是，如果非法用户对LAP进行复制，获取身份标识，如MAC地址、SN、用户名及密码或证书等，LAP以相同的身份向LicS身份认证，此时LicS不能识别LAP身份是否合法。

发明内容

本发明的目的在于提供了一种认证的方法及装置，能够有效防止恶意复制LAP程序，来获取授权信息。

本发明实施例提供了一种认证的方法，应用于授权服务器，该方法包括：接收授权应用程序LAP发送的认证消息，确定所述认证消息中是否携带用户令牌Token和合法的用户身份标识UID；如果所述认证消息中携带有合法UID但未携带Token，则为所述LAP分配一个标识所述LAP身份的Token，完成认证；如果所述认证消息中携带有合法UID且携带Token，则根据已保存的token和所述认证消息携带的Token进行认证。

本发明实施例还提供了一种认证的装置，应用于授权服务器，该装置包括：接收单元，接收授权应用程序LAP发送的认证消息，确定所述认证消息中是否携带用户令牌Token和合法的用户身份标识UID；认证单元，如果所述认证消息中携带有合法UID但未携带Token，则为所述LAP分配一个标识所述LAP身份的Token，完成认证；如果所述认证消息中携带有合法UID且携带Token，则根据已保存的token和所述认证消息携带的Token进行认证。

本发明的有益效果在于，通过授权服务器为LAP分配唯一身份标识Token，然后对LAP进行唯一性的检查，来防止恶意的复制LAP程序，避免非法用户恶意复制LAP程序，导致多个LAP共用授权。

附图说明

图1为本发明实施例认证的方法流程示意图；

图2为本发明实施例认证的装置结构示意图。

具体实施方式

为使本发明的目的、技术方案、及优点更加清楚明白，以下参照附图并举实施例，对本发明进一步详细说明。

本发明是基于授权服务器模式，对LAP身份识别方法进行改进，以防止非法用户复制LAP，盗版使用授权。LAP的UID是可复制的，那么LicS无法通过UID区分LAP的合法性，因此本发明方案由LicS为每个LAP分配唯一身份标识称为用户令牌(Token)。LicS不允许两个相同Token的LAP登录LicS并获取授权。所以，在用户合法复制LAP的情况下，仍然能够安全通过认证，但是在非法复制LAP的情况下，LicS能够及时识别，避免非法用户恶意复制LAP程序，导致多个LAP共用授权。

Token是本发明中LicS为LAP分配的唯一身份标识，也称为LAP令牌。其包括三个域，每个域具有固定字节数，具体包括随机数域，用于标识当前系统时间的时间域和序号域，其中，每分配一个Token，所述序号域中的序号加1。下面以生成的Token的每个域为4个字节为例进行说明。

Token生成算法参考如下：

Token编码格式：RRRRTTTTSSSS

RRRR:4字节随机数

TTTT:4字节的系统时间，以毫秒为单位

SSSS:4字节序号，每成功分配一个Token，序号加1

上述Token生成算法只是本发明的一个实例，只要能够唯一标识一个LAP的令牌生成算法，都在本发明的保护范围内。

合法复制LAP，指的是，用户复制LAP，只复制LAP的UID，在LAP向LicS发送认证消息时，也只携带UID；非法复制LAP，指的是，用户复制LAP，不但复制UID，而且复制与该UID相关联的Token，在LAP向LicS发送认证消息时，同时携带UID和关联的Token。

图1为本发明实施例认证的方法流程示意图，该方法应用于授权服务器，包括以下步骤：

步骤11、接收授权应用程序LAP发送的认证消息，确定所述认证消息中是否携带用户令牌Token和合法的用户身份标识UID；

其中，UID包括LAP的MAC地址、SN或用户名及密码等。在授权服务器接收到认证消息时，首先会判断认证消息中所携带的UID是否合法，即是否已经在授权服务器上进行注册，如未注册，则告知该LAP认证失败；在确定UID为合法UID后，授权服务器会对结合UID对认证消息中携带的Token进行认证。

步骤12、如果所述认证消息中携带有合法UID但未携带Token，则为所述LAP分配一个标识所述LAP身份的Token，完成认证；如果所述认证消息中携带有合法UID且携带Token，则根据已保存的token和所述认证消息携带的Token进行认证。

其中，根据保存的LAP所对应的Token和所述认证消息携带的Token进行认证的方法包括：

判断自身已保存的token和所述认证消息携带的Token是否相同；如果相同，则向已保存的token所对应的LAP发送探测报文；

当接收到已保存的token所对应的LAP对探测报文的响应时，则确定该正在进行认证的LAP是非法LAP，通知正在进行认证的LAP认证失败；

当向已保存的token所对应的LAP重发N次探测报文之后，仍未接收到已保存的token所对应的LAP对探测报文的响应时，则确定正在进行认证的LAP是以已保存的token所对应的LAP的身份重新进行认证，通知正在进行认证的LAP认证通过，完成认证；其中N为自然数。

优选地，在向已保存的token所对应的LAP发送探测报文时，该方法进一步包括：向正在进行认证的LAP发送通知报文，告知该LAP等待授权服务器对已保存的token所对应的LAP的探测结果。

考虑到认证消息交互的安全性，本发明通过SSL(SecureSocketLayer，安全套接层)链路发送和接收认证过程中的消息，防止恶意程序的消息的抓包解析，修改和模拟消息等行为。

进一步地，在完成认证之后，该方法进一步包括：接收完成认证的LAP发送的携带有UID和Token的请求授权消息；根据UID已关联的Token数量与为UID预设的、与之关联的Token的可授权数量判断是否能够进行授权；如果UID已关联的Token数量大于可授权数量时，则不发放证书；如果UID已关联的Token数量不大于可授权数量时，则发放证书。

为清楚说明本发明，下面列举具体场景进行说明。

实施例一、在用户合法复制LAP情况下：

合法复制例如虚拟化应用时，复制多个LAP，每个LAP对于LicS看都是一个新的LAP，虽然UID可能是相同的，但是通过LicS为每个LAP分配Token来区分不同的LAP。合法复制不会携带Token信息。具体如下：

1)LAP1携带UID1，向LicS发送认证消息；LicS验证UID1的合法性，确认合法则认证通过；LicS分配一个LicS认为的唯一标识信息Token1返回给LAP1，完成身份认证，因此LAP1包含UID1和Token1；

其中，LicS验证UID的合法性，就是判断自身存储的UID信息中是否包括UID1，如果包括，则确认UID1合法。

2)如果用户对LAP1进行合法复制形成LAP1’，复制的LAP1’包含了与LAP1相同的UID1，LAP1’会携带UID1向LicS发送认证消息；

3)LicS接收到携带有UID1的LAP认证消息；

4)LicS判断UID1是否合法，确认合法后，因为认证消息中不携带Token信息，LicS判断LAP1’是一个新的LAP，LicS分配一个LicS认为的唯一标识信息Token2返回给LAP1’，完成身份认证，因此LAP1’包含UID1和Token2。

在LicS侧保存有如下对应关系：LAP1-UID1-Token1；

LAP1’-UID1-Token2。

实施例二、在用户非法复制LAP情况下：

1)LAP1携带UID1，向LicS发送认证消息；LicS验证UID1的合法性，确认合法则认证通过；LicS分配一个LicS认为的唯一标识信息Token1返回给LAP1，完成身份认证，因此LAP1包含UID1和Token1；

在LicS侧保存有如下对应关系：LAP1-UID1-Token1；

2)如果用户对LAP1进行非法复制形成LAP1’，复制的LAP1’包含了与LAP1相同的UID1和Token1，LAP1’会携带UID1和Token1向LicS发送认证消息；

还有一种情况，如果LAP1向LicS重新认证，正在进行认证的LAP1”也会携带UID1和Token1向LicS发送认证消息；

3)LicS接收到携带有UID1和Token1的LAP认证消息；

4)LicS首先判断UID1是否合法，确认合法后，判断LicS中是否保存有与接收到的认证消息中相同的Token1，如果有，则认为正在进行认证的LAP可能是一个非法的LAP，也可能是一个正在重新进行认证的LAP；根据LicS已经保存的Token1对应于LAP1，则触发对LAP1的探测机制。

5)LicS向LAP1发送探测报文；

如果LAP1响应探测报文，则确定LAP1正常运行，正在认证的LAP是非法的LAP1’；LicS通知正在认证的LAP1’认证失败；

如果LicS向LAP1重发N次探测报文之后，LAP1仍然不响应探测报文，则确定LAP1已经出现老化，断线等问题，正在认证的LAP是LAP1以原来的身份LAP1”重新进行身份认证；LicS通知正在认证的LAP1”认证通过，完成认证。

其中，正常情况下，LAP1会立即对探测报文进行回应，但可能由于链路间路由跳转较多导致时间延长，或者是其他链路问题，LicS不能很快收到LAP1的响应消息，所以LicS会进行重发探测报文，在LicS重发探测报文N次之后，如果LAP1仍然不响应探测报文，则确定LAP1已经出现老化，断线等问题，正在认证的LAP是LAP1以原来的身份LAP1”重新进行身份认证。其中，N为自然数，可以根据具体应用而变化。

优选情况下，在步骤5)中，可以在LicS向LAP1发送探测报文时，向正在认证的LAP发送通知报文，告知该LAP等待LicS对LAP1的探测结果。LicS会在探测LAP1之后通知正在认证的LAP是认证失败还是认证通过。

在上述实施例一和实施例二中，完成认证之后，完成认证的LAP向LicS发送携带有UID和Token的请求授权消息，请求发放证书。下面以实施例一中完成认证的LAP1’请求授权为例进行说明。

1)在LicS侧，首先为UID1预设与之关联的Token的可授权数量，假设Token的可授权数量为3，则说明UID1最多可以与3个Token对应，并给予授权；

2)LAP1’携带UID1和Token2向LicS发送请求授权消息；

3)LicS根据在本侧保存的对应关系：LAP1-UID1-Token1；

LAP1’-UID1-Token2

可以判断，Token2是第2个与UID1关联的Token，并未超过可授权数量3，因此向LAP1’发放证书。

综上，本发明通过LicS分配LAP身份唯一标识Token，结合LAP探测机制，防止非法复制LAP共享复用授权。

基于同样的发明构思，本发明实施例还提出一种认证的装置，如图2所示，应用于授权服务器，该装置包括：

接收单元201，接收授权应用程序LAP发送的认证消息，确定所述认证消息中是否携带用户令牌Token和合法的用户身份标识UID；

认证单元202，如果所述认证消息中携带有合法UID但未携带Token，则为所述LAP分配一个标识所述LAP身份的Token，完成认证；如果所述认证消息中携带有合法UID且携带Token，则根据已保存的token和所述认证消息携带的Token进行认证。

所述认证单元202具体用于：

判断自身已保存的token和所述认证消息携带的Token是否相同；如果相同，则向已保存的token所对应的LAP发送探测报文；

当接收到已保存的token所对应的LAP对探测报文的响应时，则确定该正在进行认证的LAP是非法LAP，通知正在进行认证的LAP认证失败；

当向已保存的token所对应的LAP重发N次探测报文之后，仍未接收到已保存的token所对应的LAP对探测报文的响应时，则确定正在进行认证的LAP是以已保存的token所对应的LAP的身份重新进行认证，通知正在进行认证的LAP认证通过，完成认证；其中N为自然数。

所述认证单元202在向已保存的token所对应的LAP发送探测报文时，还用于向正在进行认证的LAP发送通知报文，告知该LAP等待授权服务器对已保存的token所对应的LAP的探测结果。

在完成认证之后，所述认证单元202还用于，

接收完成认证的LAP发送的携带有UID和Token的请求授权消息；

根据UID已关联的Token数量与为UID预设的、与之关联的Token的可授权数量判断是否能够进行授权；

如果UID已关联的Token数量大于可授权数量时，则不发放证书；如果UID已关联的Token数量不大于可授权数量时，则发放证书。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。

Claims (10)

1.一种认证的方法，应用于授权服务器，该方法包括：

接收授权应用程序LAP发送的认证消息，确定所述认证消息中是否携带用户令牌Token和合法的用户身份标识UID；

如果所述认证消息中携带有合法UID但未携带Token，则为所述LAP分配一个标识所述LAP身份的Token，完成认证；

如果所述认证消息中携带有合法UID且携带Token，则根据已保存的token和所述认证消息携带的Token进行认证。

2.如权利要求1所述的方法，其特征在于，所述根据已保存的token和所述认证消息携带的Token进行认证的方法包括：

判断自身已保存的token和所述认证消息携带的Token是否相同；如果相同，则向已保存的token所对应的LAP发送探测报文；

当接收到已保存的token所对应的LAP对探测报文的响应时，则确定该正在进行认证的LAP是非法LAP，通知正在进行认证的LAP认证失败；

当向已保存的token所对应的LAP重发N次探测报文之后，仍未接收到已保存的token所对应的LAP对探测报文的响应时，则确定正在进行认证的LAP是以已保存的token所对应的LAP的身份重新进行认证，通知正在进行认证的LAP认证通过，完成认证；其中N为自然数。

3.如权利要求2所述的方法，其特征在于，向已保存的token所对应的LAP发送探测报文时，该方法进一步包括：向正在进行认证的LAP发送通知报文，告知该LAP等待授权服务器对已保存的token所对应的LAP的探测结果。

4.如权利要求1所述的方法，其特征在于，通过安全套接层SSL链路发送和接收认证过程中的消息。

5.如权利要求1所述的方法，其特征在于，所述Token包括随机数域，用于标识当前系统时间的时间域和序号域，其中，每分配一个Token，所述序号域中的序号加1。

6.如权利要求2所述的方法，其特征在于，在完成认证之后，该方法进一步包括：

接收完成认证的LAP发送的携带有UID和Token的请求授权消息；

根据UID已关联的Token数量与为UID预设的、与之关联的Token的可授权数量判断是否能够进行授权；

如果UID已关联的Token数量大于可授权数量时，则不发放证书；

如果UID已关联的Token数量不大于可授权数量时，则发放证书。

7.一种认证的装置，应用于授权服务器，该装置包括：

接收单元，接收授权应用程序LAP发送的认证消息，确定所述认证消息中是否携带用户令牌Token和合法的用户身份标识UID；

认证单元，如果所述认证消息中携带有合法UID但未携带Token，则为所述LAP分配一个标识所述LAP身份的Token，完成认证；如果所述认证消息中携带有合法UID且携带Token，则根据已保存的token和所述认证消息携带的Token进行认证。

8.如权利要求7所述的装置，其特征在于，所述认证单元具体用于：

判断自身已保存的token和所述认证消息携带的Token是否相同；如果相同，则向已保存的token所对应的LAP发送探测报文；

当接收到已保存的token所对应的LAP对探测报文的响应时，则确定该正在进行认证的LAP是非法LAP，通知正在进行认证的LAP认证失败；

当向已保存的token所对应的LAP重发N次探测报文之后，仍未接收到已保存的token所对应的LAP对探测报文的响应时，则确定正在进行认证的LAP是以已保存的token所对应的LAP的身份重新进行认证，通知正在进行认证的LAP认证通过，完成认证；其中N为自然数。

9.如权利要求8所述的装置，其特征在于，所述认证单元在向已保存的token所对应的LAP发送探测报文时，还用于向正在进行认证的LAP发送通知报文，告知该LAP等待授权服务器对已保存的token所对应的LAPLAP的探测结果。

10.如权利要求8所述的装置，其特征在于，在完成认证之后，所述认证单元还用于，

接收完成认证的LAP发送的携带有UID和Token的请求授权消息；

根据UID已关联的Token数量与为UID预设的、与之关联的Token的可授权数量判断是否能够进行授权；

如果UID已关联的Token数量大于可授权数量时，则不发放证书；

如果UID已关联的Token数量不大于可授权数量时，则发放证书。