CN107040513B - 一种可信访问认证处理方法、用户终端和服务端 - Google Patents
一种可信访问认证处理方法、用户终端和服务端 Download PDFInfo
- Publication number
- CN107040513B CN107040513B CN201611128361.XA CN201611128361A CN107040513B CN 107040513 B CN107040513 B CN 107040513B CN 201611128361 A CN201611128361 A CN 201611128361A CN 107040513 B CN107040513 B CN 107040513B
- Authority
- CN
- China
- Prior art keywords
- application
- message
- client
- binding
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 33
- 238000012795 verification Methods 0.000 claims abstract description 245
- 238000000034 method Methods 0.000 claims abstract description 112
- 230000008569 process Effects 0.000 claims abstract description 46
- 238000013475 authorization Methods 0.000 claims description 341
- 238000012790 confirmation Methods 0.000 claims description 107
- 230000005540 biological transmission Effects 0.000 claims description 56
- 238000004891 communication Methods 0.000 claims description 24
- 238000004364 calculation method Methods 0.000 claims description 10
- 238000012545 processing Methods 0.000 claims description 9
- 230000004044 response Effects 0.000 claims description 3
- 230000000875 corresponding effect Effects 0.000 description 100
- 238000010586 diagram Methods 0.000 description 24
- 230000000977 initiatory effect Effects 0.000 description 22
- 238000005516 engineering process Methods 0.000 description 8
- 238000004590 computer program Methods 0.000 description 7
- 230000001815 facial effect Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 4
- 238000010295 mobile communication Methods 0.000 description 4
- 239000013307 optical fiber Substances 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000002457 bidirectional effect Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 230000001427 coherent effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000013479 data entry Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Abstract
本发明实施例涉及一种可信访问认证处理方法、用户终端和服务端,该方法包括:用户终端向与安全服务端建立设备安全注册关系;用户终端中向安全服务端发送应用客户端绑定消息,并根据设备安全注册关系建立应用客户端与设备安全绑定关系;用户终端与安全服务端建立应用账户可信访问路径验证关系;用户终端向应用服务端发送基于安全连接类型的登陆请求消息;应用服务端处理基于安全连接类型的登陆请求消息后向安全服务端发送登陆请求验证消息;安全服务端根据设备安全注册关系、应用账户可信访问路径验证关系对登陆请求验证消息验证,并向应用服务端发送应用可信访问认证结果;应用服务端根据应用可信访问认证结果响应用户终端的登陆请求消息。
Description
技术领域
本发明实施例涉及信息安全技术领域,具体涉及一种可信访问认证处理方法、用户终端和服务端。
背景技术
本部分向读者介绍可能与本发明的各个方面相关的背景技术,相信能够向读者提供有用的背景信息,从而有助于读者更好地理解本发明的各个方面。因此,可以理解,本部分的说明是用于上述目的,而并非构成对现有技术的承认。
互联网用户易于受到应用用户身份,密码等私密信息被盗的攻击威胁,为了应对威胁,人们需要定期修改密码;但是经过较长时间后,记住用户名和密码是很困难的;网络上频繁发生各种诈骗和钓鱼网站,骗取用户名及密码,需要一种技术在密码被盗后防止偷盗者登陆系统侵害用户,需要一种技术即提高安全保障同时解决易用性问题。
在客户端系统软件应用之间调用软件接口服务时,软件是很难侦测出请求的来源是来自本地预期软件还是被通过代理伪装的,如果为未知来源的请求提供了登陆签名报文,建立的连接安全的保障就没有了,需要一种方法解决这种风险;为了保证访问凭证被用来访问预期的服务,通过验证访问路径是一种可行的技术方法,即验证发起服务的应用客户端,应用客户端与应用服务端之间的会话都需要验证是预期的路径,这样才能保证访问凭证不被冒用;目前尚未有相关技术。
客户端证书认证理论上可以解决用户在登陆时的唯一性认证,但是由于昂贵的解决方案和线下管理成本,目前互联架构无法实现为大部分客户端设备访问互联网提供这项安全服务,需要一种便宜和易于管理的自动化的技术实现用户登陆,服务的验证。
发明内容
要解决的技术问题是如何提高用户访问的安全性。
针对现有技术中的缺陷,本发明实施例提供可信访问认证处理方法、用户终端和服务端,可以有效提高用户访问的安全性。
第一方面,本发明实施例提供了一种可信访问认证处理方法,包括:
用户终端向安全服务端发送安全可信客户端注册消息建立设备安全注册关系;
所述用户终端中向所述安全服务端发送应用客户端绑定消息,并根据所述设备安全注册关系建立应用客户端与设备安全绑定关系;
所述用户终端中向所述安全服务端发送应用及账户授权绑定请求消息,所述安全服务端根据客户端与设备安全绑定关系建立应用账户可信访问路径验证关系;
所述用户终端向所述应用服务端发送基于安全连接类型的登陆请求消息;
所述应用服务端处理所述基于安全连接类型的登陆请求消息后向所述安全服务端发送登陆请求验证消息;
所述安全服务端根据所述设备安全注册关系、所述应用账户可信访问路径验证关系对所述登陆请求验证消息验证,并向所述应用服务端发送应用可信访问认证结果;
所述应用服务端根据所述应用可信访问认证结果响应所述用户终端的登陆请求消息。
可选地,所述用户终端向安全服务端发送安全可信客户端注册消息建立设备安全注册关系包括;
所述用户终端向所述安全服务端发送安全可信客户端注册消息;所述安全服务端验证所述安全可信客户端注册消息;
所述安全服务端为验证通过的安全可信客户端注册消息生成设备数据表项并向所述用户终端反馈安全可信客户端注册确认消息。
可选地,所述设备数据表项包括:安全可信客户端设备用户ID、第二密钥、客户端信息、服务密码。
可选地,所述安全可信客户端注册消息包括:
设备安全注册主消息体和签名;
所述设备安全注册主消息体包括安全可信客户端设备用户ID的密文、设备随机数密文、传输密钥密文、第二密钥、和用户允许的客户端信息;
所述签名是所述用户终端对使用第一密钥对所述设备安全注册主消息体签名得到的。
可选地,所述安全服务端验证所述安全可信客户端注册消息包括:
所述安全服务端根据所述安全可信客户端注册消息中的第二密钥验证消息体签名;
安全服务端使用与所述安全服务端加密公钥对应的私钥解密传输密钥密文,使用传输密钥解密安全可信客户端设备用户ID密文;
验证通过后生成验证结果并产生对应设备数据表项。
可选地,所述向用户终端反馈安全可信客户端注册确认消息包括:
所述安全服务端产生注册确认消息;
所述注册确认消息包括设备注册确认主消息体和签名;
所述设备注册确认主消息体包括:动态握手码;
所述签名是使用安全服务端私钥为所述注册确认消息体产生的签名。
可选地,所述用户终端中向所述安全服务端发送应用客户端绑定消息,并根据所述设备安全注册关系建立应用客户端与设备安全绑定关系包括:
所述用户终端发送应用客户端绑定消息;
所述安全服务端接收所述应用客户端绑定消息并检查,根据检查结果向所述用户终端发送应用客户端绑定确认消息;
所述用户终端在收到所述应用客户端绑定确认消息后应用客户端和安全可信客户端生成绑定码;
所述用户终端在完成绑定证实后向所述向安全服务端发送应用客户端绑定完成消息;
所述安全服务端验证应用客户端绑定完成消息将应用客户端特征添加到设备数据表项中。
可选地,所述应用客户端绑定消息包括:应用客户端特征;使用第一密钥为应用客户端绑定消息体计算的签名。
可选地,所述应用客户端绑定确认消息包括:客户端程序包名称、程序包版本、程序包散列值、程序包大小、应用服务商接入信息和与之对应的应用服务端加密公钥和应用服务端验证签名公钥、注册确认时间戳、本地程序包访问绝对路径和安全连接类型。
可选地,所述用户终端中向所述安全服务端发送应用及账户授权绑定请求消息,所述安全服务端根据客户端与设备安全绑定关系建立应用账户可信访问路径验证关系包括:
所述用户终端向应用服务端发送账户授权请求消息;
所述应用服务端向安全服务端转发账户授权请求消息;
所述安全服务端生成授权码消息发送至应用服务端并向所述用户终端通过独立通道发送授权码密文;
所述用户终端生成并向所述安全服务端发送应用及账户授权绑定请求消息;
所述安全服务端验证应用及账户授权绑定请求消息后,建立应用账户可信访问路径验证关系,并生成应用及账户授权确认消息发送至所述用户终端;
所述安全服务端向所述应用服务端发送授权完成消息;
所述应用服务端设置安全服务端验证标识。
可选地,所述账户授权请求消息包括:
安全可信客户端设备用户ID、授权请求识别码、应用客户端特征、应用服务商接入信息、账户名和应用服务类型。
可选地,所述所述安全服务端生成授权码消息发送至应用服务端并向所述用户终端通过独立通道发送授权码密文包括:
安全服务端收账户授权请求消息,检查安全可信客户端设备用户ID对应的设备数据表项中包括要求授权的应用客户端特征,是已经与安全可信客户端绑定的应用客户端,如不是已绑定应用客户端,则停止后续流程;如果是已经绑定的应用客户端,安全服务端为这次授权请求分配授权码明文并使用服务密码加密后产生授权码密文携带在授权码消息中发送给应用服务端。
可选地,所述应用及账户授权绑定请求消息包括所述应用及账户授权绑定请求消息体和消息体签名:
所述应用及账户授权绑定请求消息体包括:安全可信客户端设备用户ID、应用客户端特征、授权码密文、生物识别特征值、动态握手码、应用服务类型;
所述应用及账户授权绑定请求消息体签名是由第一密钥对于所述应用及账户授权绑定请求消息体的签名。
可选地,所述安全服务端验证所述应用及账户授权绑定请求消息包括:
所述安全服务端使用安全可信客户端设备用户ID对应的应用客户端特征验证消息中包括的应用客户端特征是否一致,如果一致,则继续验证消息的签名,否则终止授权过程;
所述安全服务端使用安全可信客户端设备用户ID对应的第二密钥验证所述应用及账户授权绑定请求消息的签名;
验证通过后,使用安全可信客户端设备用户ID对应的服务密钥解密授权码密文,对照授权码明文和安全服务端本地分配给这次授权请求的授权码是否一致,如果一致则判定应用及账户绑定请求通过授权;
所述安全服务端将授权码对应的授权绑定请求的账户信息、应用服务类型、生物识别特征值添加到所述安全可信客户端设备用户ID对应的设备数据表项中。
可选地,应用及账户授权确认消息包括:
应用客户端特征、应用服务商接入地址、应用服务类型、安全连接类型、账户名、安全可信客户端设备用户ID、新的动态握手码;使用安全服务端私钥为应用及账户授权确认消息产生的消息体签名。
可选地,所述用户终端向所述应用服务端发送登陆请求消息之前还包括:
向所述安全可信客户端向应用服务端发送建立连接消息,所述建立连接消息包括:建立连接的应用接入地址、安全连接类型。
可选地,所述用户终端向所述应用服务端发送登陆请求消息之前还包括:
在安全连接类型配置为非安全链路连接时,所述用户终端向所述应用服务端发送会话上行消息携带加密的会话传输密钥;
所述应用服务端收到所述会话上行消息后,为当前会话分配会话识别ID并使用传输密钥加密后携带在所述会话下行消息中;
所述应用服务端为当前会话产生所述会话下行消息并发送到所述用户终端;
所述安全可信客户端产生与会话识别ID唯一关联的登陆请求消息。
可选地,所述用户终端向所述应用服务端发送登陆请求消息之前还包括:
当所述建立连接消息中的连接类型是安全链路连接时,所述安全可信客户为账户登陆连接产生不唯一关联链路连接的所述登陆请求消息。
可选地,所述安全可信客户端在产生登陆请求消息之前,会检查所述发起登陆消息中包括的应用账户名、应用服务类型、应用客户端特征是否是已经产生可信路径验证关系的应用及账户,如果是,发出所述登陆请求消息,否则,拒绝发出所述登陆请求消息。
可选地,所述应用服务端处理后并向所述安全服务端发送登陆请求消息包括:
当安全连接类型配置为非安全链路连接类型时:
使用当前会话对应的所述会话识别ID附加到所述登陆请求消息后组合成所述登陆请求验证消息发送给所述安全服务端;
当连接类型配置为安全链路连接类型时,将所述登陆请求消息作为所述登陆请求验证消息给所述安全服务端。
可选地,所述安全服务端根据所述设备安全注册关系、所述应用账户可信访问路径验证关系对所述登陆请求验证消息验证,并向应用服务端发送应用可信访问认证结果包括:
安全服务端收到登陆请求消息后根据所述登陆请求消息中安全可信客户端设备用户ID在安全服务端查找动态握手码与登陆请求验证消息中包括的动态握手码比较,如果一致则继续验证消息签名,否则回复应用服务端拒绝登陆,并产生账户攻击报告;
使用安全可信客户端设备用户ID对应的第二密钥验证登陆请求验证消息中包括的消息体签名,如果签名验证通过,则继续验证会话签名;
根据所述登陆请求验证消息中的安全类型决定是否需要验证所述会话签名;
所述应用账户可信访问路径验证关系对所述登陆请求验证消息验证,并向应用服务端发送应用可信访问认证结果;
根据所述签名验证结果进一步对所述登陆请求验证消息进行应用及账户授权绑定验证;
将判断的应用账户可信访问认证结果携带在登陆验证结果消息发送给应用服务端;
应用服务端收到登陆验证结果消息,基于应用账户可信访问认证结果为对应的会话提供后续的服务或拒绝登陆。
可选地,所述根据所述登陆请求消息中的安全类型验证所述会话签名包括:
当包括非安全链路连接时验证会话签名,验证会话签名的方法是使用包括登陆请求消息的消息体和附加的会话识别ID组合的消息序列为计算对象使用第二密钥验证登陆请求验证消息中包括的会话签名是否正确,如果一致则认为该登陆凭证是与当前应用服务端申请的会话对应的登陆凭证,则继续后续流程,否则结束;
当判断为安全链路连接类型时,不验证会话签名。
可选地,所述根据所述签名验证结果进一步对所述登陆请求验证消息进行应用及账户授权绑定验证包括:
检查所述登陆请求消息中包括的应用账户名、应用客户端特征、应用服务类型、生物识别特征值与安全可信客户端设备用户ID对应的在安全服务端的设备数据表项中是否有对应的授权;如有,则判断登陆被允许,否则判断登陆被拒绝。
第二方面,本发明实施例提供一种可信访问用户终端,包括:
设备注册单元,用于终端向安全服务端发送安全可信客户端注册消息并与之建立设备安全注册关系;
设备绑定单元,用于向所述安全服务端发送应用客户端绑定消息,并根据所述设备安全注册关系与之建立应用客户端与设备安全绑定关系;
应用注册单元,用于向安全服务端发送应用及账户授权绑定请求消息,所述安全服务端根据应用客户端与设备安全绑定关系与之建立应用账户可信访问路径验证关系;
登陆请求单元,用于所述应用服务端发送登陆请求消息,所述应用服务端处理后并向所述安全服务端发送登陆请求验证消息;所述安全服务端根据所述设备安全注册关系、所述应用账户可信访问路径验证关系对所述登陆请求消息验证,并向应用服务端发送应用可信访问认证结果;
所述应用可信访问认证结果是所述安全服务端根据所述设备安全注册关系、所述应用账户可信访问路径验证关系对所述登陆请求消息验证得到的。
可选地,所述设备注册单元包括:
安全可信客户端注册消息发送单元,用于向所述安全服务端发送安全可信客户端注册消息;所述安全服务端验证所述安全可信客户端注册消息;所述安全服务端为验证通过的安全可信客户端注册消息生成设备数据表项并向所述用户终端反馈安全可信客户端注册确认消息。
可选地,所述设备绑定单元,包括:
绑定消息发送单元,用于向所述应用服务端发送应用客户端绑定消息;
绑定码生成单元,用于当接收到所述应用客户端绑定确认消息后,通过密钥交换的方法生成对应密钥从而生成绑定码;所述应用客户端绑定确认消息是所述应用服务端接收所述应用客户端绑定消息并检查后发送的;
绑定完成单元,用于完成绑定码验证后,向安全服务端发送应用客户端绑定完成消息。
可选地,所述应用注册单元包括:
授权请求消息发送单元,用于向所述应用服务端发送账户授权请求消息;
所述安全服务端为收到的账户授权请求消息分配授权码,生成授权码消息发送至应用服务端并向所述用户终端通过独立通道发送授权码;
授权绑定请求消息发送单元,接收由所述授权码和应用账户消息携带得授权码密文,应用账户及应用服务类型,用于生成应用及账户授权绑定请求消息并发送;
授权确认消息接收单元,用于接收所述安全服务端发送的应用及账户授权确认消息,所述应用及账户授权确认消息是所述安全服务端验证所述应用及账户授权绑定请求消息后生成的。
可选地,所述用户终端还包括会话请求单元,包括:会话请求单元向所述应用服务端发送会话上行消息;
会话下行消息接收单元,用于接收所述应用服务端发送的会话下行消息;所述会话下行消息是所述应用服务端在收到所述会话上行消息后,实在为连接分配的会话识别ID与建立的会话绑定后发送的。
第三方面,本发明实施还提供一种安全服务端,包括:
设备注册建立单元,用于接收用户终端发送的安全可信客户端注册消息并建立设备安全注册关系;
设备绑定建立单元,用于接收所述用户终端中发送的应用客户端绑定消息,并根据所述设备安全注册关系建立应用客户端与设备安全绑定关系;
应用注册建立单元,用于接收所述用户终端发送的账户授权绑定请求消息,所述安全服务端根据客户端与设备安全绑定关系建立应用账户可信访问路径验证关系;
登陆认证单元,用于根据所述设备安全注册关系、所述应用账户可信访问路径验证关系对登陆请求验证消息验证,并向应用服务端发送应用可信访问认证结果;所述登陆请求消息是所述应用服务端处理登陆请求消息后并向所述安全服务端发送的;所述登陆请求消息是所述用户终端向所述应用服务端发送的;
所述应用服务端根据所述应用可信访问认证结果响应用户终端的登陆请求消息。
可选地,所述设备注册建立单元包括;
安全可信客户端注册消息验证单元,用于验证安全可信客户端注册消息;所述安全可信客户端注册消息是所述用户终端向所述安全服务端发送的;
设备注册反馈单元,用于为验证通过的安全可信客户端注册消息生成设备数据表项并向所述用户终端反馈安全可信客户端注册确认消息。
可选地,所述设备绑定建立单元包括:
应用客户端绑定消息验证单元,验证应用客户端绑定消息并检查,根据检查结果向所述用户终端发送应用客户端绑定确认消息;所述应用客户端绑定消息是用户终端发送的;
所述用户终端根据所述应用客户端绑定确认消息生成绑定码;
应用客户端绑定完成消息接收单元,所述应用客户端绑定完成消息进行验证后,将应用客户端特征添加到设备安全关系表象中完成应用客户端绑定。
可选地,所述应用注册建立单元包括:
授权单元,用于验证账户授权请求消息,生成授权码消息发送至应用服务端并器向所述用户终端发送授权码密文;所述应用及账户授权请求消息是所述用户终端发送的;
授权码验证单元,用于验证应用及账户授权绑定请求消息并生成应用及账户授权确认消息发送至所述用户终端;所述应用及账户授权绑定请求消息是所述用户终端发送的;
还用于向所述应用服务端发送授权完成消息;所述应用服务端设置安全服务端验证标识。
可选地,所述登陆认证单元包括:
握手码验证单元,用于根据消息中所述安全可信客户端设备用户ID查找动态握手码与所述登陆请求消息中包括的动态握手码比较,如果一致则继续验证签名,否则回复应用服务端拒绝登陆,并产生账户攻击报告;
会话签名验证单元,用于使用会话识别ID和所述登陆请求消息主消息体的组合信息计算散列值与使用第二密钥解密会话签名产生的散列值比较,如果一致则认为该登陆凭证是与当前所述应用服务端申请的会话对应的登陆凭证,则继续后续流程,否则结束;
消息体签名验证单元,使用安全可信客户端设备ID对应的第二密钥验证所述登陆请求验证消息中包括的登陆请求消息的主消息体签名,如果验证通过,则继续后续判断,否则产生拒绝登陆结果;
安全客户端设备用户验证单元,用于证安全可信客户端设备用户ID是否具有所述登陆请求消息中包括的应用账户名,应用服务类型,应用客户端特征,生物识别特征的授权项,如果存在,判断为可以访问服务,否则拒绝,根据结果产生所述登陆验证结果消息。
由上述技术方案可知,本发明实施例提供的可信访问认证处理方法、用户终端和服务端通过对应用客户端绑定,通过对用户终端安全可信客户端与应用客户端的双向识别,使用安全可信客户端发起绑定的应用客户端发起应用服务端的连接技术,并且基于连接类别为连接提供唯一的识别,用于识别和验证发起连接的路径和用户账户安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单的介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一个实施例中可信访问认证处理方法流程示意图;
图2为本发明一个实施例中可信访问认证用户终端、应用服务端和安全服务端链接关系示意图;
图3为本发明一个实施例中可信访问认证用户终端结构意图;
图4为本发明一个实施例中建立设备安全注册关系流程示意图;
图5为本发明一个实施例中所述安全可信客户端注册流程示意图;
图6为本发明一个实施例中建立应用客户端与安全可信客户端绑定码产生流程示意图;
图7为本发明一个实施例中应用客户端与用户终端绑定确认流程示意图;
图8为本发明一个实施例中建立应用账户可信访问路径验证关系流程示意图;
图9为本发明一个实施例中应用及账户授权用户终端的流程示意图;
图10为本发明一个实施例中所述可信访问用户终端登陆流程示意图;
图11为本发明一个实施例中所述登陆请求消息判定流程示意图;
图12为本发明一个实施例中可信访问用户终端结构示意图;
图13为本发明一个实施例中可信访问用户终端的设备注册单元结构示意图;
图14为本发明一个实施例中可信访问用户终端的设备绑定单元结构示意图;
图15为本发明一个实施例中可信访问用户终端的应用注册单元结构示意图;
图16为本发明另一个实施例中可信访问用户终端结构示意图;
图17为本发明一个实施例中安全服务端的结构示意图;
图18为本发明一个实施例中安全服务端的设备绑定建立单元结构示意图;
图19为本发明一个实施例中安全服务端的应用注册建立单元结构示意图;
图20为本发明一个实施例中安全服务端的登陆认证单元结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供一种可信访问认证处理方法,包括:用户终端向安全服务端发送安全可信客户端注册消息建立设备安全注册关系;所述用户终端中向所述安全服务端发送应用客户端绑定消息,并根据所述设备安全注册关系建立应用客户端与设备安全绑定关系;所述用户终端中向所述安全服务端发送应用及账户授权绑定请求消息,所述安全服务端根据客户端与设备安全绑定关系建立应用账户可信访问路径验证关系;所述用户终端向所述应用服务端发送基于安全连接类型的登陆请求消息;所述应用服务端处理所述基于安全连接类型的登陆请求消息后向所述安全服务端发送登陆请求验证消息;所述安全服务端根据所述设备安全注册关系、所述应用账户可信访问路径验证关系对所述登陆请求验证消息验证,并向所述应用服务端发送应用可信访问认证结果;所述应用服务端根据所述应用可信访问认证结果响应所述用户终端的登陆请求消息。下面对本发明提供的可信访问认证处理方法展开详细的说明。
如图2所示,本发明实施例提供的可信访问认证处理方法主要应用于通过网络连接的用户终端、应用提供服务端和安全服务端的互联网系统中。用户终端有硬件和软件组成,可以包括安全可信客户端和一个或多个应用客户端;用户终端是需要与应用提供服务端建立应用连接时,需要进一步通过安全认证的各种通信设备,例如手机、PAD、PC等具备联网能力的各种智能设备。安全服务端是接收安全可信客户端注册并建立设备安全关系,接受和验证应用客户端绑定注册,在应用账户通过授权后产生应用账户与设备安全注册关系和应用访问路径的验证关系并基于该验证关系为应用服务端发送的登陆请求验证提供验证服务。例如,具有安全认证功能的服务器均可以实现本发明实施例。应用提供服务端是指各种为用户终端提供预期服务的各种服务器;应用提供服务端其利用安全服务端提供的账户登陆请求判定结果来决定最终提供给终端用户的服务响应。例如邮件服务端、代码安全管理服务端、档案信息管理服务端、消息管理服务端等。
如图3所示,用户终端可以包括应用客户端和安全可信客户端;其中安全可信客户端可以包括计算部分、存储部分和软件系统部分。安全可信客户端的软件系统部分包括设备注册管理模块、应用客户端绑定管理模块和安全环境验证模块。设备注册模块用于发起和管理设备注册过程、管理用户设备的自动方法。应用客户端绑定管理模块用于提供安全软件接口调用验证、在应用客户端和可信应用客户端绑定过程中检查应用客户端在用户终端的参数,发起客户端绑定,与应用客户端协商共享密钥的方式建立绑定码。安全环境验证模块用于机密信息存储和安全计算、发起应用登陆连接请求,应用登陆凭证计算和验证、为应用提供可信登陆凭证、应用账户及应用授权功能。安全可信客户端可以通过串口通信、光纤接口通信,以大网网口、WIFI、2G/3G/4G/5G移动通信接口、USB、蓝牙接口连接安全服务端。发明既适用于对称密码方法,也适用于公钥密码方法。
如图4所示,用户终端产生用户终端向安全服务端发送安全可信客户端注册消息建立设备安全注册关系包括;用户终端向安全服务端发送安全可信客户端注册消息;安全服务端验证安全可信客户端注册消息;安全服务端为验证通过的安全可信客户端注册消息生成设备数据表项并向用户终端反馈安全可信客户端注册确认消息。
具体地,如图5所示,用户终端产生第一密钥和与之对应的第二密钥。如产生公钥密码方式的私钥和公钥;产生密钥的方法可以是通过如TPM模块产生,或者是通过安全可信客户端软件模拟的单元产生。用户终端的安全可信客户端使用第一密钥和对应的第二密钥,通过安全可信客户端由设备注册管理模块发起注册;安全可信客户端系统自动产生安全可信客户端设备用户ID和传输密码。安全可信客户端系统产生伪随机数混合对于当前系统硬件测量的数据,如flash读写性能的漂移,麦克风的声音底噪等数据为种子产生安全可信客户端设备用户ID;安全可信客户端系统使用前述同样的方法产生传输密码。
如图5所示,用户终端产生安全可信客户端注册消息,安全可信客户端使用传输密码加密安全可信客户端设备用户ID,使用预置的安全服务端加密公钥加密传输密码;使用传输密钥加密安全可信客户端随机数Re;安全可信客户端注册消息体包括安全可信客户端设备用户ID密文、安全可信客户端随机数Re密文、传输密钥密文、第二密钥和用户允许的客户端信息。用户允许的客户端信息包括时间戳、设备型号、硬件信息、操作系统软件描述信息。安全可信客户端注册消息使用第一密钥对安全可信客户端注册消息体签名;将包括安全可信客户端注册消息体及其签名组的安全可信客户端注册消息发送给安全服务端;安全可信客户端可以通过串口通信、光纤接口通信,以大网网口、WIFI,2G/3G/4G/5G移动通信接口、USB或蓝牙接口发送安全可信客户端注册消息。
如图5所示,安全服务端收到安全可信客户端注册消息后使用消息中对应的第二密钥验证消息体签名。安全服务端使用与安全服务端加密公钥对应的私钥解密传输密钥密文,使用传输密钥解密安全可信客户端设备用户ID密文,上述验证都通过的情况下,安全服务端系统为当前安全可信客户端注册消息对应的第二密钥生成设备数据表项并分配服务密码,包括安全可信客户端设备用户ID,第二密钥,服务密码;可选的包括客户端信息。安全服务端产生注册确认消息;注册确认消息包括安全可信客户端随机数Re散列值、安全服务端随机数Rs、动态握手码的注册确认消息体;使用安全服务端私钥为注册确认消息体产生签名;将包括注册确认消息体和签名的注册确认消息发送给安全可信客户端。
如图5所示,用户终端的安全可信客户端收到安全可信客户端注册确认消息,使用安全服务端公钥验证消息体签名,验证通过后,保存动态握手码;所述动态握手码在应用及账户授权绑定请求中用于验证握手验证,简单DDOS攻击对于系统的计算负荷。
其次,介绍用户终端中向安全服务端发送应用客户端绑定消息,并根据设备安全注册关系建立应用客户端与设备安全绑定关系。如图6所示,用户终端中向安全服务端发送应用客户端绑定消息,并根据设备安全注册关系建立应用客户端与设备安全绑定关系包括:用户终端发送应用客户端绑定消息;安全服务端接收应用客户端绑定消息并检查,将检查结果向用户终端发送应用客户端绑定确认消息;用户终端收到应用客户端绑定确认消息后生成绑定码。
具体地,如图7所示,安全可信客户端发起应用客户端绑定消息;实用中所述应用客户端特征包括:应用客户端程序包名称、应用客户端版本号、操作系统版本、程序包散列值、程序包版本、程序包大小、应用客户端与运行操作系统软硬件之间产生特征信息,如通过系统调用获得的本地程序绝对访问路径等;所述应用客户端绑定消息包括应用客户端特征,当前时间戳为应用客户端绑定消息体,使用第一密钥计算应用客户端绑定消息体签名;将包括应用客户端绑定消息体及其签名的应用客户端绑定消息发送至安全服务端。如图7所示,安全服务端首先根据应用客户端绑定消息中的应用客户端程序名称、应用客户端版本号和当前操作系统版本检查对应的应用客户端是否是签约的程序,再检查程序包散列值是否与对应操作系统和程序版本号的签约库软件信息是否一致,在检查通过的情况下,发送应用客户端绑定确认消息给安全可信客户端。应用客户端绑定确认消息包括消息体和消息体签名,其中应用客户端绑定确认消息包括签约的应用客户端程序包名称、应用客户端版本号、操作系统版本、程序包散列值、程序包版本、程序包大小、应用服务端加密公钥、应用服务端验证签名公钥、注册确认时间戳、本地程序包访问绝对路径;使用安全服务端私钥为应用客户端绑定消息的消息体签名。
如图7所示,用户终端中安全可信客户端收到应用客户端绑定确认消息,使用预置的安全服务端公钥验证应用客户端绑定确认消息的签名,验证通过后,将消息中发送的所有信息保存包用户终端本地。
如图7所示,安全可信客户端与应用客户端产生共享密钥,在实施中可以使用Diffie-Hellman密钥协商或者RSA传递产生共享密钥。使用RSA传递密钥时,安全可信客户端将第二密钥发送给应用客户端,应用客户端将产生的共享密钥使用第二密钥加密发送给安全可信客户端,安全可信客户端使用第一密钥解密记得共享密钥。
如图7所示,应用客户端和安全可信客户端基于共享密码为种子,使用同样的算法产生绑定码;后续的所有应用客户端与安全可信客户端之间的应用间通信为使用绑定码为加密密钥的通的通信机制。
如图7所示,应用客户端产生绑定验证消息,绑定验证消息包括应用客户端特征,实用中所述应用客户端特征包括:应用客户端程序包名称、应用客户端版本号、操作系统版本、程序包散列值、程序包版本、程序包大小、本地程序包访问绝对路径以及应用客户端与运行操作系统软硬件之间产生特征信息;将绑定验证消息使用绑定码加密的通信机制发送给安全可信客户端。
如图7所示,安全可信客户端使用绑定码解密绑定验证消息,将得到的信息与客户端绑定证实消息中发送的对应信息比较,包括对于应用特征值包括的应用客户端程序包名称、应用客户端版本号、操作系统版本、程序包散列值、程序包版本、程序包大小的比较产生应用客户端绑定结果;在以上都比较通过的情况下判定为应用客户端绑定通过,否则产生绑定失败的结果将结果包括在应用客户端绑定完成消息中发送给安全服务端;在绑定通过的结果情况下绑定证实消息中包括第二密钥和安全可信客户端设备用户ID;应用客户端收到绑定证实消息后,使用绑定码解密后将第二密钥和安全可信客户端设备用户ID保存。
如图7所示,安全可信客户端产生应用客户端绑定完成消息,应用客户端绑定完成消息包括应用客户绑定结果,安全可信客户端设备用户ID和使用第一密钥对消息的签名;安全服务端收到应用客户端绑定完成消息,使用安全可信客户端设备用户ID查找对应的第二密钥验证消息签名,在验证通过的情况下,判断收到应用客户端绑定通过的结果情况下,将应用客户端特征添加到设备数据表项中完成应用客户端绑定;其中应用客户端特征是基于应用客户端信息中任意组合而得,应用客户端信息包括客户端程序包名称、应用客户端版本号、操作系统版本、程序包散列值、程序包版本、程序包大小、应用客户端程序访问绝对路径等等。
再次,介绍用户终端向安全服务端发送应用及账户授权绑定请求消息,建立应用账户可信访问路径验证关系。
如图8所示,用户终端向安全服务端发送应用及账户授权绑定请求消息,建立应用账户可信访问路径验证关系包括:用户终端向应用服务端发送账户授权请求消息;应用服务端向安全服务端转发账户授权请求消息;安全服务端验证账户授权请求消息,生成授权码消息发送至应用服务端;应用服务端根据用户在用户协议中的联系方式使用独立通道发送授权码密文;用户终端根据授权码密文和账户主人的生物识别特征值生成应用及账户授权绑定请求消息;安全服务端验证应用及账户授权绑定请求消息后,并生成应用及账户授权确认消息发送至用户终端;安全服务端向应用服务端发送授权完成消息;应用服务端设置安全服务端验证标识。
如图9所示,具体地,用户终端产生并向应用服务端发送的账户授权请求消息包括安全可信客户端设备用户ID,授权请求识别码、应用客户端特征、应用服务商接入信息、账户名和应用服务类型。应用服务类型是指对应的互联网服务指应用层协议服务。例如:邮件、HTTP、FTP等IETF标准定义的服务,也可以是互联服务上提供某一个服务,例如:微信。应用服务上接入信息可以是域名、URL、IP地址或者是对应于最终互联网服务端的代替信息,例如:短链接等。应用客户端登陆应用账户,用户在应用客户端选择开启安全可信用户终端授权;在实施中,发起授权应用及账户流程也可以从应用客户端,或者安全可信客户端发起,较优的使用从登陆应用账户的应用客户端发起。
如图9所示,应用服务端检查和转发账户授权请求消息给安全服务端;应用服务端检查消息中发送的应用客户端特征、应用服务商接入信息、账户名和应用服务类型是否为应用服务商允许的信息,在检查时允许的情况下发送账户授权请求消息给安全服务端。
如图9所示,安全服务端收到账户授权请求消息,检查安全可信客户端设备用户ID对应的设备数据表项中包括要求授权的应用客户端特征,是已经与安全可信客户端绑定的应用客户端,如不是已绑定应用客户端,则停止后续流程,中断授权过程;如果是已经绑定的应用客户端,安全服务端为这次授权请求分配授权码明文,将给予授权码明文产生的授权码消息发送给应用服务端。具体地,使用安全可信客户端设备用户ID对应的服务密钥,安全服务端产生的授权码明文,使用服务密码加密授权码得到授权码密文;安全服务端将包括授权码密文和授权请求识别码的授权码消息发送给应用服务端。
如图9所示,应用服务端收到授权码消息,通过应用账户对应的授权码发送独立通道发送授权码密文信息到用户终端,如通过短信、彩信、邮件、QQ、电话语音、视频或者微信等方法。
如图9所示,用户终端收到独立通道发送的授权码密文后,将授权码密文输入应用客户端;在实施中也可以输入授权码密文信息到安全可信客户端UI,但是为了一致性,便于用户理解和连贯操作,较优的使用输入授权码密文信息到应用客户端;在实施中,应用客户端和安全可信客户端可以是一个集成的客户端,在这种情况下,系统会自动的绑定,授权码码密文信息直接输入给应用客户端。
如图9所示,应用客户端收到授权码密文信息后,产生授权码和应用账户消息通过与安全可信客户端之间的加密通信发送给安全可信客户端,授权码和应用账户消息包括授权码密文、应用账户名、应用服务类型、应用客户端特征;安全可信客户端得到授权码密文。
如图9所示,安全可信客户端收到授权码和应用账户消息后,开启用户输入生物识别特征值,生物识别特征值可以包括但不限于是基于语音输入的声纹特征值,可以是基于面部识别的面部特征值,也可以是基于指纹输入的指纹特征值。
如图9所示,安全可信客户端产生应用及账户授权绑定请求消息,应用及账户授权绑定请求消息包括安全可信客户端设备用户ID、应用客户端特征,授权码密文、生物识别特征值、动态握手码、应用服务类型;使用安全可信客户端第一密钥对应用及账户授权绑定请求消息体签名,将包括应用及账户授权绑定请求消息体及其签名的应用及账户授权绑定请求消息发送到安全服务端。
如图9所示,安全服务端使用安全可信客户端设备用户ID对应的第二密钥验证应用及账户授权绑定请求消息的签名,验证通过后,验证消息包括的应用客户端特征是否为已经绑定的应用客户端特征,如果验证通过,使用安全可信客户端设备用户ID对应的服务密钥解密授权码密文,对照授权码明文和安全服务端本地分配给这次授权请求的的授权码是否一致,如果一致则判定应用及账户绑定请求通过授权;安全服务端将授权码对应授权请求的账户信息,应用服务类型,生物识别特征值添加到安全可信客户端设备用户ID对应的设备数据表项中,此设备数据表项中的数据作为应用及账户安全可信访问路径验证关系为后续的应用账户登陆提供验证服务。
如图9所示,安全服务端产生应用及账户授权确认消息,包括应用客户端特征、应用服务商接入地址、应用服务类型、连接安全类型、账户名、安全可信客户端设备用户ID、新的动态握手码,使用安全服务端私钥为应用及账户授权确认消息产生消息体签名,将包括应用及账户授权确认消息体及其签名信息的应用及账户授权确认消息发送给用户终端端的安全可信客户端;安全连接类型指应用客户端建立的与应用服务端之间的登陆验证使用安全链路连接验证方式和非安全链路连接验证方式,是运营者根据网络环境判断预设的网络参数;安全链路连接方式是运营者认为网络环境足够安全,所以可以使用较低的安全验证成本就能满足账户验证安全度;非安全链路连接方式是运营者认为网络环境不够安全,所以必须使用更高的的安全验证成本才能满足账户验证安全度。
如图9所示,用户终端中安全可信客户端收到应用及账户授权确认消息,使用安全服务端公钥验证消息签名,验证通过后安全存储携带的信息用于以后的账户登陆,如消息签名验证失败则不存储。
如图9所示,安全服务端发送授权完成消息给应用服务端,消息中包括授权请求识别码、应用服务类型、应用账户名;应用服务端将应用账户名及其应用服务类型标记使能安全服务端验证,开启该标志后,所有访问需要安全服务端验证后根据验证结果提供服务;通过应用及账户授权后,开启安全服务端验证的账户即使在密码被盗的情况,黑客或者偷盗者不能在其他的未授权环境登陆用户账户或者获取服务;用户还可以方便的使用生物识别特征值验证的方法登陆用户,如使用语音,面部识别,指纹等等。
如图10所示,用户终端向应用服务端发送登陆请求消息之前还包括:基于应用客户端收到的登陆连接建立消息中的安全连接类型,建立连接的应用接入地址与应用服务端建立连接;应用客户端产生发起登陆消息,所述发起登陆包括应用服务类型、应用账户名、应用客户端特征;调用安全可信客户端应用软件接口,与安全可信客户端通过绑定码加密通信发送发起登陆消息,安全可信客户端检查请求来源是否为已经绑定的本地程序相关的进程,查找对应于该绑定应用的绑定码,解密得到发起登陆的应用服务类型,应用账户,应用客户端特征;安全可信客户端检查应用客户端,应用服务类型,应用账户名是已经授权的情况下,产生对应应用的登陆连接建立消息和后续的登陆请求消息。
如图10所示,安全可信客户端发送登陆连接建立消息给应用客户端,登陆连接建立消息包括建立连接的应用接入地址,安全连接类型;安全可信客户端使用应用间加密通信将登陆连接建立消息发送给应用客户端;安全连接类型指用户配置的参数用于指明在登陆账户验证的过程中使用安全链路连接类型对应的方法验证还是使用非安全链路连接类型对应的方法验证;对应于不同的安全连接类型安全可信客户端会产生对应的登陆请求消息;实施中建立的链路连接可以是TCP、UDP、SCTP,也可以包括SSL/TLS的连接,如HTTPS、FTPS、SSH,也包括IPSEC VPN技术的加密通道等,还包括在链路连接的建立过程中是否采用有效的手段验证应用服务端是否为官方的应用服务端,是否存在中间人攻击。
如图10所示,安全连接类型配置为非安全链路连接时,虚线部分为特有的对应于非安全链路连接类型时的方法,用户终端在建立的连接会话中向应用服务端发送登陆请求消息之前还包括:用户终端向应用服务端发送携带传输密钥的会话上行消息,会话传输密钥使用应用服务端加密公钥加密后携带;应用服务端收到会话上行消息后,为当前会话分配和绑定会话识别ID,使用应用服务端解密私钥解密得到会话传输密钥;应用服务端使用会话传输密钥加密会话识别ID后携带在会话下行消息中发送到用户终端。具体的,安全可信客户端产生会话传输密钥,使用应用服务端加密公钥加密后携带在会话上行消息中发送到应用客户端,应用客户端在当前连接会话中将会话上行消息转发到应用服务端;应用服务端将携带加密会话识别ID的会话下行消息发送到应用客户端,应用客户端将会话下行消息转发到安全可信客户端,安全可信客户端使用会话传输密钥解密会话识别ID密文得到会话识别ID明文,安全可信客户端基于此会话识别ID产生与连接唯一识别的登陆请求消息。
如图10所示,对应于非安全链路连接的登陆请求消息包括登陆请求消息主消息体、会话签名、消息体签名;其中登陆请求消息主消息体包括:非安全链路连接类型、应用客户端特征,应用账户名、应用服务类型、安全可信客户端设备用户ID、生物识别特征值,和动态握手码;会话签名的产生方式是使用登陆请求消息主消息体和会话识别ID为计算信息序列,使用第一密钥产生的签名;登陆请求消息消息体签名是使用由登陆请求消息主消息体和会话签名组成的信息为计算对象使用第一密钥产生的消息体签名。
如图10所示,在运营者将与该应用服务端的安全连接类型配置为安全链路连接时,用户终端在连接建立后,产生并发送对应于安全链路连接类型的登陆请求消息;具体的,对应于安全链路连接的登陆请求消息包括登陆请求消息主消息体和消息体签名;其中登陆请求消息主消息体包括:安全链路连接类型、应用客户端特征,应用账户名、应用服务类型、安全可信客户端设备用户ID、生物识别特征值,和动态握手码;使用第一密钥为登陆请求消息主消息体计算消息体签名。
如图10所示,应用服务端收到登陆请求消息后,基于消息中包括的安全连接类型处理和产生登陆请求验证消息;具体的说当登陆请求消息中包括安全链路连接类型时,应用服务端将收到的登陆请求消息直接作为登陆请求验证消息发送给安全服务端;当登陆请求消息中包括非安全链路类型时,应用服务端将当前会话对应的会话识别ID明文附加到收到登陆请求消息中从而产生登陆请求验证消息发送给安全服务端。
如图10、图11所示,安全服务端根据设备安全注册关系、应用账户可信访问路径验证关系对登陆请求验证消息验证,并向应用服务端发送应用可信访问认证结果包括:安全服务端收到登陆请求验证消息,根据消息中安全可信客户端设备用户ID查找动态握手码与登陆请求验证消息中包括的动态握手码比较,如果一致则继续验证消息签名,否则回复应用服务端拒绝登陆,并产生账户攻击报告;使用对应的第二密钥验证登陆请求验证消息中包括的消息体签名,如果签名验证通过,则继续验证会话签名;判断登陆请求验证消息中包括的安全连接类型决定是否包括验证会话签名;当包括非安全链路连接时验证会话签名,验证会话签名的方方法是使用包括登陆验证消息的消息体和附加的会话识别ID组合的消息序列为计算对象使用第二密钥验证登陆请求验证消息中包括的会话签名是否正确,如果一致则认为该登陆凭证是与当前应用服务端申请的会话对应的登陆凭证,则继续后续流程,否则结束;当判断为安全链路连接类型时,不需要验证会话签名;下一步是授权判定,检查登陆请求验证消息中包括的应用账户名,应用客户端特征,应用服务类型,生物识别特征值与安全可信客户端设备用户ID对应的在安全服务端的设备数据表项中是否有对应的授权;如有,则判断登陆被允许,否则判断登陆被拒绝;将判断的应用账户可信访问认证结果携带在登陆验证结果消息发送给应用服务端。应用服务端收到登陆验证结果消息,检查应用账户名和应用服务类型的有效性,基于判读结果为会话识别ID对应的会话提供后续的服务或拒绝登陆。
如图10所示,安全服务端向安全可信客户端发送动态握手码更新消息,消息中包括新的动态握手码和安全服务端私钥对消息体的签名;安全可信客户端收到动态握手码更新消息,使用安全服务端公钥验证签名是来自安全服务端,验证通过后安全存储动态握手码。
如图11所示,登陆请求消息使用对应的第二密钥验证登陆验证请求消息中包括的消息签名,如果签名验证通过;此验证用于证明发起连接的用户终端是否为授权应用及账户绑定的客户端设备,比较应用客户端特征判断发起登陆的应用客户端是否为授权绑定的应用客户端;验证会话签名中使用的是有加密传输的会话识别ID,由于会话签名的验证需要应用服务端对于收到登陆请求消息附加正确的会话识别ID才能实现验证,从而实现了会话连接的直接相关和识别,并且登陆验证请求消息只能由应用服务端产生,所以从而实现了登陆验证请求消息只与当前会话连接相关,从而实现防重放,单次有效,中间人攻击的技术。
为进一步体现本发明实施例提供的可信访问认证处理方法,的优越性,本发明实施例还提供一种应用上述方法的可信访问用户终端,如图12所示,该用户终端包括:设备注册单元,用于终端向安全服务端发送安全可信客户端注册消息建立设备安全注册关系;设备绑定单元,用于向安全服务端发送应用客户端绑定消息,并根据设备安全注册关系建立客户端与设备安全绑定关系;应用注册单元,用于向安全服务端发送应用及账户授权绑定请求消息,安全服务端根据应用客户端与设备安全绑定关系建立应用账户可信访问路径验证关系;会话请求单元,用于用户终端发送传输密钥,应用服务端加密安全传输对应于会话的会话识别ID的单元;登陆请求单元,用于向应用服务端发送登陆请求消息,应用服务端处理后并向安全服务端发送登陆请求验证消息;安全服务端根据设备安全注册关系、应用账户可信访问路径验证关系对登陆请求验证消息验证,并向应用服务端发送应用账户可信访问认证结果;应用可信访问认证结果是安全服务端根据设备安全注册关系、应用账户可信访问路径验证关系对登陆请求消息验证得到的。下面对本发明实施例和提供的可信访问认证用户终端展开详细的说明。本发明实施例提供的可信访问用户终端的工作原理和过程与上述的可信访问认证处理方法类似,可以参照上述的可信访问认证处理方法,再次不再一一赘述了。
如图13所示,设备注册单元包括:安全可信客户端注册消息发送单元,用于向安全服务端发送安全可信客户端注册消息;安全服务端验证安全可信客户端注册消息;安全服务端为验证通过的安全可信客户端注册消息生成设备数据表项并向用户终端反馈安全可信客户端注册确认消息。具体的说,用户终端产生第一密钥和与之对应的第二密钥。如产生公钥密码方式的私钥和公钥;产生密钥的方法可以是通过如TPM模块产生,或者是通过安全可信客户端软件模拟的单元产生。
用户终端的安全可信客户端使用第一密钥和对应的第二密钥,通过安全可信客户端由设备注册管理模块发起注册;安全可信客户端系统自动产生安全可信客户端设备用户ID和传输密码。安全可信客户端系统产生伪随机数混合对于当前系统硬件数据为种子产生安全可信客户端设备用户ID;安全可信客户端系统使用随机数为种子的方法产生传输密码。
如图5所示,安全可信客户端使用传输密码加密安全可信客户端设备用户ID,使用预置的安全服务端加密公钥加密传输密码;使用传输密钥加密安全可信客户端随机数Re;安全可信客户端注册消息体包括安全可信客户端设备用户ID密文,安全可信客户端随机数Re密文,传输密钥密文,第二密钥和用户允许的客户端信息包括时间戳、设备型号、硬件信息、操作系统软件描述信息;使用第一密钥对安全可信客户端注册消息体计算签名;将包括安全可信客户端注册消息体及其签名组成的安全可信客户端注册消息发送给安全服务端;安全可信客户端可以通过串口通信、光纤接口通信、以大网网口、WIFI、2G/3G/4G/5G移动通信接口、USB、蓝牙接口发送安全可信客户端注册消息。如图5所示,安全服务端收到安全可信客户端注册消息,使用消息中对应的第二密钥验证消息体签名;安全服务端使用与安全服务端加密公钥对应的私钥解密传输密钥密文,使用传输密钥解密安全可信客户端设备用户ID密文,上述验证都通过的情况下,安全服务端系统为当前安全可信客户端注册消息对应的第二密钥生成设备数据表项,设备数据表包括安全可信客户端设备用户ID、第二密钥、客户端信息、服务密码。安全服务端产生注册确认消息。注册确认消息包括安全可信客户端随机数Re散列值、安全服务端随机数Rs、动态握手码的注册确认消息体;使用安全服务端私钥为安全可信客户端注册确认消息体产生签名。安全服务端将包括注册确认消息体和签名的注册确认消息发送给安全可信客户端。用户终端设备使用预置的安全服务端公钥验证安全可信客户端注册确认消息的签名。
如图14所示,设备绑定单元,包括:绑定消息发送单元,用于向安全服务端发送应用客户端绑定消息;绑定码生成单元,用于与应用客户端协商对称密钥并产生基于此对称密钥产生的绑定码;绑定完成消息发送单元,用于向安全服务端发送应用客户端绑定完成消息;应用客户端绑定确认消息是应用服务端接收应用客户端绑定消息并检查后发送的。安全可信客户端发起应用客户端绑定消息,包括应用客户端特征,所述应用客户端特征包括应用客户端程序名称、应用客户端版本、操作系统版本,程序大小、程序文件的散列值、本地程序绝对访问路径。当前时间戳为应用客户端绑定消息体,使用第一密钥计算应用客户端绑定消息体签名;将包括应用客户端绑定消息体及其签名的应用客户端绑定消息发送至安全服务端。安全服务端首先检查应用客户端程序包是否是签约的程序,基于客户端程序名称、应用客户端版本、操作系统版本,检查对应程序包大小、程序散列值是否与对应操作系统和程序版本号的签约库软件信息是否一致,在检查通过的情况下,发送应用客户端绑定确认消息给安全可信客户端。应用客户端绑定确认消息包括消息体和消息体签名,其中应用客户端绑定确认消息包括签约的应用客户端程序包名称、应用客户端版本、操作系统版本、程序包散列值、程序包大小、应用服务端加密公钥,应用服务端验证签名公钥、注册确认时间戳、本地程序包访问绝对路径、应用服务端接入地址、安全连接类型;使用安全服务端私钥为应用客户端绑定确认消息的消息体签名;用户终端中安全可信客户端收到应用客户端绑定确认消息后,使用预置的安全服务端公钥验证消息签名,验证通过后将应用客户端绑定确认消息中携带的信息本地安全保存用于后续的登陆连接和验证。通过对应用客户端软件的验证和绑定,防止恶意软件伪装实施客户端攻击。
如图15所示,应用注册单元包括:授权请求消息发送单元,用于向应用服务端发送账户授权请求消息,安全服务端检查及账户授权请求消息后生成授权码消息发送至应用服务端并向用户终端发送;授权绑定请求消息发送单元,用于根据应用客户端发送的授权码和应用账户消息生成应用及账户授权绑定请求消息并发送;安全服务端验证应用及账户授权绑定请求消息;授权确认消息接收单元,用于接收安全服务端发送的应用及账户授权确认消息,应用及账户授权确认消息是安全服务端验证应用及账户授权绑定请求消息后生成的,安全服务端向应用服务端发送授权完成消息,应用服务端设置开启安全服务端验证标志。通过应用及账户授权后,开启安全服务端验证的账户即使在密码被盗的情况,黑客或者偷盗者不能在其他的未授权环境登陆用户账户或者获取服务;同时由于授权了生物识别特征,这样在授权的设备上只有账户主人才能安全方便的登陆账户。
如图16所示,在本发明的一个实施例中用户终端该包括通信建立单元,包括:会话请求单元产生并向应用服务端发送会话上行消息,使用应用服务端公钥加密传输密钥生成;会话下行消息接收单元,用于接收应用服务端发送的会话下行消息;会话下行消息是应用服务端在收到会话上行消息后,使用会话传输密钥加密会话识别ID后产生的。用户终端向应用服务端发送登陆请求消息之前还包括:向应用服务端发送建立连接消息,建立连接消息包括:建立连接的应用接入地址,安全连接类型。应用客户端发起应用访问,调用安全可信客户端应用软件接口发送发起登陆消息,查找对应于该绑定应用的绑定码,解密收到的发起登陆消息,安全可信客户端检查请求来源是否为已经绑定的本地程序相关的进程,检查要求登陆的服务类型和账户是否已经授权到用户终端,检查通过后,安全可信客户端产生对应应用账户的登陆连接建立消息。安全可信客户端发送登陆连接建立消息给应用客户端,登陆连接建立消息包括建立连接的应用接入地址,安全连接类型;安全可信客户端使用应用间加密通信将登陆连接建立消息发送给应用客户端;安全连接类型指用户配置的参数用于指明在登陆账户验证的过程中使用安全链路连接类型对应的方法验证还是使用非安全链路连接类型对应的方法验证;对应于不同的安全连接类型安全可信客户端会产生对应的登陆请求消息;实施中建立的链路连接可以是TCP,UDP,SCTP,也可以包括SSL/TLS的连接,如HTTPS、FTPS、SSH,也包括IPSEC VPN技术的加密通道等,还包括在链路连接的建立过程中是否采用有效的手段验证应用服务端是否为官方的应用服务端。应用客户端使用应用间密钥解密登陆连接建立消息,检查接入地址与本程序合法的接入地址一致后发起建立新的连接过程。安全连接类型配置为非安全链路连接时,虚线部分为特有的对应于非安全链路连接类型时的方法,用户终端在建立的连接会话中向应用服务端发送登陆请求消息之前还包括:用户终端向应用服务端发送携带传输密钥的会话上行消息,会话传输密钥使用应用服务端加密公钥加密后携带;应用服务端收到会话上行消息后,为当前会话分配和绑定会话识别ID,使用应用服务端解密私钥解密得到会话传输密钥;应用服务端使用会话传输密钥加密会话识别ID后携带在会话下行消息中发送到用户终端。具体的,安全可信客户端产生会话传输密钥,使用应用服务端加密公钥加密后携带在会话上行消息中发送到应用客户端,应用客户端在当前连接会话中将会话上行消息转发到应用服务端;应用服务端将携带加密会话识别ID的会话下行消息发送到应用客户端,应用客户端将会话下行消息转发到安全可信客户端,安全可信客户端使用会话传输密钥解密会话识别ID密文得到会话识别ID明文,安全可信客户端基于此会话识别ID产生与连接唯一识别的登陆请求消息。
为进一步体现本发明实施例提供的可信访问认证处理方法,的优越性,本发明实施例还提供一种应用上述方法的一种安全服务端,如图17所示,该可信访问服务端包括:设备注册建立单元,用于接收用户终端发送的安全可信客户端注册消息并建立设备安全注册关系;设备绑定建立单元,用于接收用户终端中发送的应用客户端绑定消息,并根据设备安全注册关系建立应用客户端与设备安全绑定关系;应用注册建立单元,用于接收用户终端发送的应用及账户授权绑定请求消息,并根据客户端与设备安全绑定关系建立应用账户可信访问路径验证关系;登陆认证单元,用于根据设备安全注册关系、应用账户可信访问路径验证关系对登陆请求消息验证,并向应用服务端发送应用可信访问认证结果;登陆请求验证消息是应用服务端处理登陆请求并向安全服务端发送的;登陆请求消息是用户终端向应用服务端发送的;应用服务端根据应用可信访问认证结果响应用户终端的登陆请求消息。下面对本发明实施例和提供的可信访问认证用户终端展开详细的说明。本发明实施例提供的安全服务端的工作原理和过程与上述的可信访问认证处理方法类似,可以参照上述的可信访问认证处理方法,再次不再一一赘述了。
如图17所示,设备注册建立单元包括;安全可信客户端注册消息验证单元,用于验证安全可信客户端注册消息;安全可信客户端注册消息是用户终端向安全服务端发送的;设备注册反馈单元,用于为验证通过的安全可信客户端注册消息生成设备数据表项并向用户终端反馈安全可信客户端注册确认消息。用户终端产生第一密钥和与之对应的第二密钥。如产生公钥密码方式的私钥和公钥;产生密钥的方法可以是通过如TPM模块产生,或者是通过安全可信客户端软件模拟的单元产生。用户终端的安全可信客户端使用第一密钥和对应的第二密钥,通过安全可信客户端由设备注册管理模块发起注册;安全可信客户端注册消息包括安全可信客户端设备用户ID密文、传输密码密文、安全可信客户端随机数Re密文、第二密钥、用户允许的客户端信息和使用第一密钥对安全可信客户端注册消息体的签名;安全可信客户端使用传输密码加密安全可信客户端设备用户ID,使用预置的安全服务端加密公钥加密传输密码;用户允许的客户端信息包括时间戳、设备型号、硬件信息、操作系统软件描述信息;将包括安全可信客户端注册消息体及其签名组的安全可信客户端注册消息发送给安全服务端;安全可信客户端可以通过串口通信、光纤接口通信、以大网网口,WIFI、2G/3G/4G/5G移动通信接口、USB、蓝牙接口发送安全可信客户端注册消息。安全服务端收到安全可信客户端注册消息,使用消息中对应的第二密钥验证消息体签名;安全服务端使用与安全服务端加密公钥对应的私钥解密传输密钥密文,使用传输密钥解密安全可信客户端设备用户ID密文,上述验证都通过的情况下,安全服务端系统为当前安全可信客户端注册消息对应的第二密钥生成设备数据表项,包括安全可信客户端设备用户ID,第二密钥,客户端信息,服务密码。安全服务端产生安全可信客户端注册确认消息,注册确认消息包括安全可信客户端随机数Re散列值、安全服务端随机数Rs、动态握手码;使用安全服务端私钥为注册确认消息体产生签名;将包括注册确认消息体和签名的安全可信客户端注册确认消息发送给安全可信客户端。
如图18所示,设备绑定建立单元包括:应用客户端绑定消息验证单元,应用客户端绑定消息并检查,根据检查结果向用户终端发送应用客户端绑定确认消息;应用客户端绑定完成单元,用于接收客户端绑定完成消息,在验证通过的情况下,判断收到应用客户端绑定通过的结果情况下,将应用客户端特征添加到设备数据表项中完成应用客户端绑定;应用客户端绑定消息是用户终端发送的;用户终端收到应用客户端绑定确认消息后生成绑定码。应用客户端绑定完成消息接收单元,所述应用客户端绑定完成消息进行验证后,将应用客户端特征添加到设备安全关系表象中完成应用客户端绑定。安全可信客户端发起应用应用客户端绑定消息,安全服务端首先检查应用客户端程序包是否是签约的程序,检查程序包散列值是否与对应操作系统和程序版本号的签约库软件信息是否一致,在检查通过的情况下,发送应用客户端绑定确认消息给安全可信客户端。安全可信客户端产生应用绑定码,通过对应用客户端软件的验证和绑定,防止恶意软件伪装实施客户端攻击。安全可信客户端与应用客户端产生共享密钥,在实施中可以使用Diffie-Hellman密钥协商或者RSA传递产生共享密钥。使用RSA传递密钥时,安全可信客户端将第二密钥发送给应用客户端,应用客户端将产生的共享密钥使用第二密钥加密发送给安全可信客户端,安全可信客户端使用第一密钥解密记得共享密钥。应用客户端和安全可信客户端基于共享密码为种子,使用同样的算法产生绑定码;后续的所有应用客户端与安全可信客户端之间的应用间通信为使用绑定码为加密密钥的通的通信机制。应用客户端产生绑定验证消息,绑定验证消息包括应用客户端程序包名称、应用客户端版本号、操作系统版本、程序包散列值、程序包版本、程序包大小、本地程序包访问绝对路径;将绑定验证消息使用绑定码加密的通信机制发送给安全可信客户端。安全可信客户端使用绑定码解密绑定验证消息,将得到的信息与客户端绑定证实消息中发送的对应信息比较,包括对于应用客户端程序包名称、应用客户端版本号、操作系统版本、程序包散列值、程序包版本、程序包大小的比较产生应用客户端绑定结果;在以上都比较通过的情况下判定为应用客户端绑定通过,否则产生绑定失败的结果将结果包括在应用客户端绑定完成消息中发送给安全服务端;在绑定通过的结果情况下绑定证实消息中包括第二密钥和安全可信客户端设备用户ID;应用客户端收到绑定证实消息后,使用绑定码解密后将第二密钥和安全可信客户端设备用户ID保存。安全可信客户端产生应用客户端绑定完成消息,应用客户端绑定完成消息包括应用客户绑定结果,安全可信客户端设备用户ID和使用第一密钥对消息的签名;安全服务端收到应用客户端绑定完成消息,使用安全可信客户端设备用户ID查找对应的第二密钥验证消息签名,在验证通过的情况下,判断收到应用客户端绑定通过的结果情况下,将应用客户端特征添加到设备数据表项中完成应用客户端绑定;其中应用客户端特征基于以下信息中任意组合而得、客户端程序包名称、应用客户端版本号、操作系统版本、程序包散列值、程序包版本、程序包大小、应用客户端程序访问绝对路径。
如图19所示、应用注册建立单元包括:授权单元,用于接收并验证账户授权请求消息,生成授权码消息发送至应用服务端,账户授权请求消息是用户终端设备发送的;授权码验证单元,用于验证应用及账户授权绑定请求消息并生成应用及账户授权确认消息发送至用户终端,应用及账户授权绑定请求消息是用户终端发送的,还用于向应用服务端发送授权完成消息,应用服务端设置安全服务端验证标识。具体地,用户终端产生并向应用服务端发送账户授权绑定请求消息;账户授权绑定请求消息包括安全可信客户端设备用户ID,授权请求识别码、应用客户端特征、应用服务商接入信息、账户名和应用服务类型。应用服务类型是指对应的互联网服务指应用层协议服务。例如:邮件、HTTP、FTP等IETF标准定义的服务,也可以是互联服务上提供某一个服务,例如:微信。应用服务上接入信息可以是域名、URL、IP地址或者是对应于最终互联网服务端的代替信息,例如:短链接等。应用客户端登陆应用账户,用户在应用客户端选择开启安全可信用户终端授权;在实施中,发起授权应用及账户流程也可以从应用客户端,或者安全可信客户端发起,较优的使用从登陆应用账户的应用客户端发起。应用服务端检查和转发账户授权请求消息给安全服务端;应用服务端检查消息中发送的应用客户端特征、应用服务商接入信息、账户名和应用服务类型是否为应用服务商允许的信息,在检查时允许的情况下发送账户授权请求消息给安全服务端。安全服务端收到应用及账户授权请求消息,检查安全可信客户端设备用户ID对应的设备数据表项中包括要求授权的应用客户端特征,是已经与安全可信客户端绑定的应用客户端,如不是已绑定应用客户端,则停止后续流程,中断授权过程;如果是已经绑定的应用客户端,安全服务端为这次授权请求分配授权码明文,将给予授权码明文产生的授权码消息发送给应用服务端。具体地,使用安全可信客户端设备用户ID对应的服务密钥,安全服务端产生的授权码明文,使用服务密码加密授权码得到授权码密文;安全服务端将包括授权码密文和授权请求识别码的授权码消息发送给应用服务端。应用服务端收到授权码消息,通过应用账户对应的授权码发送独立通道发送授权码密文信息到用户终端,如通过短信、彩信、邮件、QQ、电话语音、视频或者微信等方法。用户终端收到独立通道发送的授权码密文后,将授权码密文输入应用客户端;在实施中也可以输入授权码密文信息到安全可信客户端UI,但是为了一致性,便于用户理解和连贯操作,较优的使用输入授权码密文信息到应用客户端;在实施中,应用客户端和安全可信客户端可以是一个集成的客户端,在这种情况下,系统会自动的绑定,授权码码密文信息直接输入给应用客户端。应用客户端收到授权码密文信息后,产生授权码和应用账户消息通过与安全可信客户端之间的加密通信发送给安全可信客户端,授权码和应用账户消息包括授权码密文,应用账户名,应用服务类型,应用客户端特征;安全可信客户端得到授权码密文。安全可信客户端收到授权码和应用账户消息后,开启用户输入生物识别特征值,生物识别特征值可以包括但不限于是基于语音输入的声纹特征值,可以是基于面部识别的面部特征值,也可以是基于指纹输入的指纹特征值。安全可信客户端产生应用及账户授权绑定请求消息,应用及账户授权绑定请求消息包括安全可信客户端设备用户ID、应用客户端特征、授权码密文、生物识别特征值、动态握手码;使用安全可信客户端第一密钥对应用及账户授权绑定请求消息体签名,将包括应用及账户授权绑定请求消息体及其签名的应用及账户授权绑定请求消息发送到安全服务端。安全服务端使用安全可信客户端设备用户ID对应的第二密钥验证应用及账户授权绑定请求消息的签名,验证通过后,使用安全可信客户端设备用户ID对应的服务密钥解密授权码密文,对照授权码明文和安全服务端本地分配给这次授权请求的的授权码是否一致,如果一致则判定应用及账户绑定请求通过授权;安全服务端将授权码对应授权请求的账户信息,应用服务类型,生物识别特征值添加到安全可信客户端设备用户ID对应的设备数据表项中,此设备数据表项中的数据作为应用及账户安全可信访问路径验证关系为后续的应用账户登陆提供验证服务。安全服务端产生应用及账户授权确认消息,包括应用客户端特征、应用服务商接入地址、应用服务类型,连接安全类型,账户名、安全可信客户端设备用户ID、新的动态握手码,使用安全服务端私钥为应用及账户授权确认消息产生消息体签名,将包括应用及账户授权确认消息体及其签名信息的应用及账户授权确认消息发送给安全可信客户端;安全连接类型指应用客户端建立的与应用服务端之间的登陆验证使用安全链路连接验证方式和非安全链路连接验证方式,是运用这根据网络环境判断预设的网络参数;安全链路连接方式是运营者认为网络环境足够安全,所以可以使用较低的安全验证成本就能满足账户验证安全度;非安全链路连接方式是运营者认为网络环境不够安全,所以必须使用更高的的安全验证成本才能满足账户验证安全度。用户终端中安全可信客户端收到应用及账户授权确认消息,使用安全服务端公钥验证消息签名,验证通过后安全存储携带的信息用于以后的账户登陆,如消息签名验证失败则不存储。安全服务端发送授权完成消息给应用服务端,消息中包括授权请求识别码、应用服务类型、应用账户名;应用服务端将应用账户名及其应用服务类型标记使能安全服务端验证,开启该标志后,所有访问需要安全服务端验证后根据验证结果提供服务;通过应用及账户授权后,开启安全服务端验证的账户即使在密码被盗的情况,黑客或者偷盗者不能在其他的未授权环境登陆用户账户或者获取服务;用户还可以方便的使用生物识别特征值验证的方法登陆用户,如使用语音、面部识别、指纹等等。
如图20所示,登陆认证单元用于对收到由应用服务端发送的登陆请求执行判定并返回登陆验证结果消息,具体的说,安全服务端根据设备安全注册关系、应用账户可信访问路径验证关系对登陆请求消息验证,并向应用服务端发送应用可信访问认证结果包括:安全服务端收到登陆请求消息,根据消息中安全可信客户端设备用户ID查找动态握手码与登陆请求消息中包括的动态握手码比较,如果一致则继续验证消息签名,否则回复应用服务端拒绝登陆,并产生账户攻击报告;使用对应的第二密钥验证登陆请求消息中包括的消息体签名,如果签名验证通过,则继续验证会话签名;基于登陆请求消息中包括的安全连接类型决定是否包括验证会话签名;当判断为非安全链路连接时需要验证会话签名,验证会话签名的方法是使用包括登陆验证消息的消息体和附加的会话识别ID组合的消息序列为计算对象使用第二密钥验证登陆请求消息中包括的会话签名是否正确,如果一致则认为该登陆凭证是与当前应用服务端申请的会话对应的登陆凭证,则继续后续流程,否则结束;当判断为安全链路连接类型时,不需要验证会话签名;下一步是授权判定,检查登陆请求消息中包括的应用账户名,应用客户端特征,应用服务类型,生物识别特征值与安全可信客户端设备用户ID对应的在安全服务端的设备数据表项中是否有对应的授权;如有,则判断登陆被允许,否则判断登陆被拒绝;将判断的应用账户可信访问认证结果携带在登陆验证结果消息发送给应用服务端。应用服务端收到登陆验证结果消息,检查应用账户名和应用服务类型的有效性,基于判读结果为会话识别ID对应的会话提供后续的服务或拒绝登陆。
用户终端向应用服务端发送登陆请求消息之前还包括:基于应用客户端收到的登陆连接建立消息中的安全连接类型,建立连接的应用接入地址与应用服务端建立连接;应用客户端产生发起登陆消息,发起登陆包括应用服务类型,应用账户名,应用客户端特征;调用安全可信客户端应用软件接口,与安全可信客户端通过绑定码加密通信发送应用登陆,安全可信客户端检查请求来源是否为已经绑定的本地程序相关的进程,查找对应于该绑定应用的绑定码,解密得到发起登陆的应用服务类型,应用账户,应用客户端特征;安全可信客户端检查应用客户端,应用服务类型,应用账户名是已经授权的情况下,产生对应应用的登陆连接建立消息。安全可信客户端发送登陆连接建立消息给应用客户端,登陆连接建立消息包括建立连接的应用接入地址,安全连接类型;安全可信客户端使用应用间加密通信将登陆连接建立消息发送给应用客户端;安全连接类型指用户配置的参数用于指明在登陆账户验证的过程中使用安全链路连接类型对应的方法验证还是使用非安全链路连接类型对应的方法验证;对应于不同的安全连接类型安全可信客户端会产生对应的登陆请求消息;实施中建立的链路连接可以是TCP、UDP、SCTP,也可以包括SSL/TLS的连接,如HTTPS、FTPS、SSH,也包括IPSEC VPN技术的加密通道等,还包括在链路连接的建立过程中是否采用有效的手段验证应用服务端是否为官方的应用服务端。安全连接类型配置为非安全链路连接时,虚线部分为特有的对应于非安全链路连接类型时的方法,用户终端在建立的连接会话中向应用服务端发送登陆请求消息之前还包括:用户终端向应用服务端发送携带传输密钥的会话上行消息,会话传输密钥使用应用服务端加密公钥加密后携带;应用服务端收到会话上行消息后,为当前会话分配和绑定会话识别ID,使用应用服务端解密私钥解密得到会话传输密钥;应用服务端使用会话传输密钥加密会话识别ID后携带在会话下行消息中发送到用户终端。具体的,安全可信客户端产生会话传输密钥,使用应用服务端加密公钥加密后携带在会话上行消息中发送到应用客户端,应用客户端在当前连接会话中将会话上行消息转发到应用服务端;应用服务端将携带加密会话识别ID的会话下行消息发送到应用客户端,应用客户端将会话下行消息转发到安全可信客户端,安全可信客户端使用会话传输密钥解密会话识别ID密文得到会话识别ID明文,安全可信客户端基于此会话识别ID产生与连接唯一识别的登陆请求消息。对应于非安全链路连接的登陆请求消息包括登陆请求消息主消息体、会话签名、消息体签名;其中登陆请求消息主消息体包括:非安全链路连接类型、应用客户端特征、应用账户名、应用服务类型、安全可信客户端设备用户ID、生物识别特征值和动态握手码;会话签名的产生方式是使用登陆请求消息主消息体和会话识别ID为计算信息序列,使用第一密钥产生的签名;登陆请求消息消息体签名是使用由登陆请求消息主消息体和会话签名组成的信息为计算对象使用第一密钥产生的消息体签名。在运营者将与该应用服务端的安全连接类型配置为安全链路连接时,用户终端在连接建立后,产生并发送对应于安全链路连接类型的登陆请求消息;具体的,对应于安全链路连接的登陆请求消息包括登陆请求消息主消息体和消息体签名;其中登陆请求消息主消息体包括:安全链路连接类型、应用客户端特征、应用账户名、应用服务类型、安全可信客户端设备用户ID、生物识别特征值和动态握手码;使用第一密钥为登陆请求消息主消息体计算消息体签名。安全服务端根据设备安全注册关系、应用账户可信访问路径验证关系对登陆请求消息验证,并向应用服务端发送应用可信访问认证结果包括:安全服务端收到登陆请求消息,根据消息中安全可信客户端设备用户ID查找动态握手码与登陆请求消息中包括的动态握手码比较,如果一致则继续验证消息签名,否则回复应用服务端拒绝登陆,并产生账户攻击报告;使用对应的第二密钥验证登陆请求消息中包括的消息体签名,如果签名验证通过,则继续验证会话签名;判断登陆请求消息中包括的安全连接类型决定是否包括验证会话签名;当包括非安全链路连接时验证会话签名,验证会话签名的方方法是使用包括登陆验证消息的消息体和附加的会话识别ID组合的消息序列为计算对象使用第二密钥验证登陆请求消息中包括的会话签名是否正确,如果一致则认为该登陆凭证是与当前应用服务端申请的会话对应的登陆凭证,则继续后续流程,否则结束;当判断为安全链路连接类型时,不需要验证会话签名;下一步是授权判定,检查登陆请求消息中包括的应用账户名,应用客户端特征,应用服务类型,生物识别特征值与安全可信客户端设备用户ID对应的在安全服务端的设备数据表项中是否有对应的授权;如有,则判断登陆被允许,否则判断登陆被拒绝;将判断的应用账户可信访问认证结果携带在登陆验证结果消息发送给应用服务端。应用服务端收到登陆验证结果消息,检查应用账户名和应用服务类型的有效性,基于判读结果为会话识别ID对应的会话提供后续的服务或拒绝登陆。安全服务端向安全可信客户端发送动态握手码更新消息,消息中包括新的动态握手码和安全服务端私钥对消息体的签名;安全可信客户端收到动态握手码更新消息,使用安全服务端公钥验证签名是来自安全服务端,验证通过后安全存储动态握手码。
综上所述,本发明实施例提供的可信访问认证处理方法、用户终端和服务端通过对应用客户端绑定,通过对用户终端安全可信客户端与应用客户端的双向识别,使用安全可信客户端发起绑定的应用客户端发起应用服务端的连接技术,并且基于连接类别为连接提供唯一的识别,用于识别和验证发起连接的路径和用户账户安全。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。术语“上”、“下”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
本发明的说明书中,说明了大量具体细节。然而能够理解的是,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。类似地,应当理解,为了精简本发明公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释呈反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。本发明并不局限于任何单一的方面,也不局限于任何单一的实施例,也不局限于这些方面和/或实施例的任意组合和/或置换。而且,可以单独使用本发明的每个方面和/或实施例或者与一个或更多其他方面和/或其实施例结合使用。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。
Claims (30)
1.一种可信访问认证处理方法,其特征在于,包括:
用户终端向安全服务端发送安全可信客户端注册消息建立设备安全注册关系;
所述用户终端向所述安全服务端发送应用客户端绑定消息,所述安全服务端根据所述设备安全注册关系建立应用客户端与设备安全绑定关系;
所述用户终端向所述安全服务端发送应用及账户授权绑定请求消息,所述安全服务端根据应用客户端与设备安全绑定关系建立应用账户可信访问路径验证关系;
所述用户终端向应用服务端发送基于安全连接类型的登陆请求消息;
所述应用服务端处理所述基于安全连接类型的登陆请求消息后向所述安全服务端发送登陆请求验证消息;
所述安全服务端根据所述设备安全注册关系、所述应用账户可信访问路径验证关系对所述登陆请求验证消息验证,并向所述应用服务端发送应用可信访问认证结果;
所述应用服务端根据所述应用可信访问认证结果响应所述用户终端的登陆请求消息;
所述用户终端向安全服务端发送安全可信客户端注册消息建立设备安全注册关系,包括:
用户终端向安全服务端发送安全可信客户端注册消息;
所述安全服务端验证所述安全可信客户端注册消息;
所述安全服务端为验证通过的安全可信客户端注册消息生成设备数据表项并向所述用户终端反馈安全可信客户端注册确认消息。
2.根据权利要求1所述的可信访问认证处理方法,其特征在于,所述设备数据表项包括:安全可信客户端设备用户ID、第二密钥、安全可信客户端信息、服务密码,其中,所述第二密钥用于验证消息体签名。
3.根据权利要求1所述的可信访问认证处理方法,其特征在于,所述安全服务端验证所述安全可信客户端注册消息包括:
所述安全服务端根据所述安全可信客户端注册消息中的第二密钥验证消息体签名;
安全服务端使用与所述安全服务端加密公钥对应的私钥解密传输密钥密文,使用传输密钥解密安全可信客户端设备用户ID密文;
验证通过后生成验证结果并产生对应设备数据表项。
4.根据权利要求1所述的可信访问认证处理方法,其特征在于,所述安全可信客户端注册消息包括:
设备安全注册主消息体和签名;
所述设备安全注册主消息体包括安全可信客户端设备用户ID的密文、设备随机数密文、传输密钥密文、第二密钥、和用户允许的安全可信客户端信息,其中,所述第二密钥用于验证消息体签名;
所述签名是所述用户终端使用第一密钥对所述设备安全注册主消息体签名得到的。
5.根据权利要求1所述的可信访问认证处理方法,其特征在于,所述向用户终端反馈安全可信客户端注册确认消息包括:
所述安全服务端产生注册确认消息;
所述注册确认消息包括设备注册确认主消息体和签名;
所述设备注册确认主消息体包括:动态握手码;
所述签名是使用安全服务端私钥为所述注册确认主消息体产生的签名。
6.根据权利要求l所述的可信访问认证处理方法,其特征在于,所述用户终端中向所述安全服务端发送应用客户端绑定消息,所述安全服务端根据所述设备安全注册关系建立应用客户端与设备安全绑定关系包括:
所述用户终端发送应用客户端绑定消息;
所述安全服务端接收所述应用客户端绑定消息并检查,根据检查结果向所述用户终端发送应用客户端绑定确认消息;
在所述用户终端收到所述应用客户端绑定确认消息后,应用客户端和安全可信客户端生成绑定码;
所述用户终端在完成绑定证实后向所述安全服务端发送应用客户端绑定完成消息;
所述安全服务端验证应用客户端绑定完成消息后,将应用客户端特征添加到设备数据表项中。
7.根据权利要求6所述的可信访问认证处理方法,其特征在于,所述应用客户端绑定消息包括:应用客户端特征;使用第一密钥为应用客户端绑定消息体计算的签名。
8.根据权利要求6所述的可信访问认证处理方法,其特征在于,所述应用客户端绑定确认消息包括:应用客户端程序包名称、程序包版本、程序包散列值、程序包大小、应用服务商接入信息和与之对应的应用服务端加密公钥和应用服务端验证签名公钥、注册确认时间戳、本地程序包访问绝对路径和安全连接类型。
9.根据权利要求l所述的可信访问认证处理方法,其特征在于,所述用户终端向所述安全服务端发送应用及账户授权绑定请求消息,所述安全服务端根据应用客户端与设备安全绑定关系建立应用账户可信访问路径验证关系包括:
所述用户终端向应用服务端发送账户授权请求消息;
所述应用服务端向安全服务端转发账户授权请求消息;
所述安全服务端生成包括授权码密文和授权请求识别码的授权码消息,将所述授权码消息发送给所述应用服务端;
所述应用服务端收到所述授权码消息,并通过应用账户对应的授权码发送独立通道发送所述授权码密文到所述用户终端;
所述用户终端生成并向所述安全服务端发送应用及账户授权绑定请求消息;
所述安全服务端验证应用及账户授权绑定请求消息后,建立应用账户可信访问路径验证关系,并生成应用及账户授权确认消息发送至所述用户终端;
所述安全服务端向所述应用服务端发送授权完成消息;
所述应用服务端设置安全服务端验证标识。
10.根据权利要求9所述的可信访问认证处理方法,其特征在于,所述账户授权请求消息包括:
安全可信客户端设备用户ID、授权请求识别码、应用客户端特征、应用服务商接入信息、账户名和应用服务类型。
11.根据权利要求9所述的可信访问认证处理方法,其特征在于,所述安全服务端生成包括授权码密文和授权请求识别码的授权码消息,将所述授权码消息发送给所述应用服务端,包括:
安全服务端收到账户授权请求消息,检查安全可信客户端设备用户ID对应的设备数据表项中是否包括要求授权的应用客户端特征,以确定客户端特征是否已经与安全可信客户端绑定,如不是已绑定应用客户端,则停止后续流程;如果是已经绑定的应用客户端,安全服务端为这次授权请求分配授权码明文并使用服务密码加密后产生授权码密文携带在授权码消息中发送给应用服务端。
12.根据权利要求9所述的可信访问认证处理方法,其特征在于,所述应用及账户授权绑定请求消息包括应用及账户授权绑定请求消息体和消息体签名:
所述应用及账户授权绑定请求消息体包括:安全可信客户端设备用户ID、应用客户端特征、授权码密文、生物识别特征值、动态握手码、应用服务类型;
所述应用及账户授权绑定请求消息体签名是由第一密钥对于所述应用及账户授权绑定请求消息体的签名。
13.根据权利要求9所述的可信访问认证处理方法,其特征在于,所述安全服务端验证所述应用及账户授权绑定请求消息包括:
所述安全服务端使用安全可信客户端设备用户ID对应的应用客户端特征验证消息中包括的应用客户端特征是否一致,如果一致,则继续验证消息的签名,否则终止授权过程;
所述安全服务端使用安全可信客户端设备用户ID对应的第二密钥验证所述应用及账户授权绑定请求消息的签名;
验证通过后,使用安全可信客户端设备用户ID对应的服务密钥解密授权码密文,对照授权码明文和安全服务端本地分配给这次授权请求的的授权码是否一致,如果一致则判定应用及账户绑定请求通过授权;
所述安全服务端将授权码对应的授权请求的账户信息、应用服务类型、生物识别特征值添加到所述安全可信客户端设备用户ID对应的设备数据表项中。
14.根据权利要求9所述的可信访问认证处理方法,其特征在于,所述应用及账户授权确认消息包括:
应用客户端特征、应用服务商接入地址、应用服务类型、安全连接类型、账户名、安全可信客户端设备用户ID、新的动态握手码;使用安全服务端私钥为应用及账户授权确认消息产生的消息体签名。
15.根据权利要求l所述的可信访问认证处理方法,其特征在于,所述用户终端向所述应用服务端发送登陆请求消息之前还包括:
所述安全可信客户端向应用服务端发送建立连接消息,所述建立连接消息包括:建立连接的应用接入地址、安全连接类型。
16.根据权利要求1所述的可信访问认证处理方法,其特征在于,所述用户终端向所述应用服务端发送登陆请求消息之前还包括:
在安全连接类型配置为非安全链路连接时,所述用户终端向所述应用服务端发送会话上行消息携带加密的会话传输密钥;
所述应用服务端收到所述会话上行消息后,为当前会话分配会话识别ID并使用传输密钥加密后携带在会话下行消息中;
所述应用服务端为当前会话产生所述会话下行消息并发送到所述用户终端;
所述安全可信客户端产生与会话识别ID唯一关联的登陆请求消息。
17.根据权利要求l所述的可信访问认证处理方法,其特征在于,所述用户终端向所述应用服务端发送登陆请求消息之前还包括:
当建立连接消息中的连接类型是安全链路连接时,所述安全可信客户端为账户登陆连接产生对应于安全链路连接类型的登陆请求消息。
18.根据权利要求16或17所述的可信访问认证处理方法,其特征在于,所述安全可信客户端在产生登陆请求消息之前,会检查发起登陆消息中包括的应用账户名、应用服务类型、应用客户端特征是否是已经产生可信路径验证关系的应用及账户,如果是,发出所述登陆请求消息,否则,拒绝发出所述登陆请求消息。
19.根据权利要求l所述的可信访问认证处理方法,其特征在于,所述应用服务端处理后并向所述安全服务端发送登陆请求验证消息包括:
当安全连接类型配置为非安全链路连接类型时:
使用当前会话对应的会话识别ID附加到所述登陆请求消息后组合成所述登陆请求验证消息发送给所述安全服务端;
当连接类型配置为安全链路连接类型时,将所述登陆请求消息作为所述登陆请求验证消息发送给所述安全服务端。
20.根据权利要求l所述的可信访问认证处理方法,其特征在于,所述安全服务端根据所述设备安全注册关系、所述应用账户可信访问路径验证关系对所述登陆请求验证消息验证,并向应用服务端发送应用可信访问认证结果包括:
安全服务端收到登陆请求验证消息后根据所述登陆请求消息中安全可信客户端设备用户ID在安全服务端查找动态握手码与登陆请求验证消息中包括的动态握手码比较,如果一致则继续验证消息签名,否则回复应用服务端拒绝登陆,并产生账户攻击报告;
使用安全可信客户端设备用户ID对应的第二密钥验证登陆请求验证消息中包括的消息体签名,如果签名验证通过,则继续验证会话签名;
根据所述登陆请求验证消息中的安全连接类型决定是否需要验证所述会话签名;
根据所述应用账户可信访问路径验证关系对所述登陆请求验证消息验证,并向应用服务端发送应用可信访问认证结果;
根据所述消息体签名验证结果进一步对所述登陆请求验证消息进行应用及账户授权绑定验证;
将判断的应用账户可信访问认证结果携带在登陆验证结果消息发送给应用服务端;
应用服务端收到登陆验证结果消息,基于应用账户可信访问认证结果为对应的会话提供后续的服务或拒绝登陆。
21.根据权利要求20所述的可信访问认证处理方法,其特征在于,所述根据所述登陆请求消息中的安全连接类型验证所述会话签名包括:
当包括非安全链路连接时验证会话签名,验证会话签名的方法是使用包括登陆请求消息的消息体和附加的会话识别ID组合的消息序列为计算对象使用第二密钥验证登陆请求验证消息中包括的会话签名是否正确,如果一致则认为登陆凭证是与当前应用服务端申请的会话对应的登陆凭证,则继续后续流程,否则结束;
当判断为安全链路连接类型时,不验证会话签名。
22.根据权利要求20所述的可信访问认证处理方法,其特征在于,所述根据所述消息体签名验证结果进一步对所述登陆请求验证消息进行应用及账户授权绑定验证包括:
检查所述登陆请求验证消息中包括的应用账户名、应用客户端特征、应用服务类型、生物识别特征值,在与安全可信客户端设备用户ID对应的在安全服务端的设备数据表项中是否有对应的授权;如有,则判断登陆被允许,否则判断登陆被拒绝。
23.一种可信访问用户终端,其特征在于,包括:
设备注册单元,用于向安全服务端发送安全可信客户端注册消息建立设备安全注册关系;
设备绑定单元,用于向所述安全服务端发送应用客户端绑定消息,所述安全服务端根据所述设备安全注册关系建立应用客户端与设备安全绑定关系;
应用注册单元,用于向安全服务端发送应用及账户授权绑定请求消息,所述安全服务端根据应用客户端与设备安全绑定关系与之建立应用账户可信访问路径验证关系;
登陆请求单元,用于向应用服务端发送登陆请求消息,所述应用服务端处理后并向所述安全服务端发送登陆请求验证消息;所述安全服务端根据所述设备安全注册关系、所述应用账户可信访问路径验证关系对所述登陆请求验证消息验证,并向应用服务端发送应用可信访问认证结果;
响应接收单元,用于接收登陆请求响应;
所述设备注册单元包括:
安全可信客户端注册消息发送单元,用于向所述安全服务端发送安全可信客户端注册消息;所述安全服务端验证所述安全可信客户端注册消息;所述安全服务端为验证通过的安全可信客户端注册消息生成设备数据表项并向所述用户终端反馈安全可信客户端注册确认消息。
24.根据权利要求23所述的可信访问用户终端,其特征在于,所述设备绑定单元,包括:
绑定消息发送单元,用于向所述安全服务端发送应用客户端绑定消息;
绑定码生成单元,用于当接收到应用客户端绑定确认消息后,通过密钥交换的方法生成对应密钥从而生成绑定码;应用客户端绑定确认消息是所述安全服务端接收所述应用客户端绑定消息并检查后发送的;
绑定完成单元,用于完成绑定码验证后,向安全服务端发送应用客户端绑定完成消息。
25.根据权利要求23所述的可信访问用户终端,其特征在于,
所述应用注册单元包括:
授权请求消息发送单元,用于向所述安全服务端发送账户授权请求消息;
所述安全服务端为收到的账户授权请求消息分配授权码,所述安全服务端生成包括授权码密文和授权请求识别码的授权码消息,将所述授权码消息发送给所述应用服务端;
所述应用服务端收到所述授权码消息,并通过应用账户对应的授权码发送独立通道发送所述授权码密文到所述用户终端;
授权绑定请求消息发送单元,用于将授权码密文输入应用客户端,所述应用客户端产生授权码和应用账户消息通过与安全可信客户端之间的加密通信发送给所述安全可信客户端;
授权确认消息接收单元,用于接收所述安全服务端发送的应用及账户授权确认消息,所述应用及账户授权确认消息是所述安全服务端验证所述应用及账户授权绑定请求消息后生成的。
26.根据权利要求23所述的可信访问用户终端,其特征在于,所述用户终端还包括:
会话请求单元,用于向所述应用服务端发送会话上行消息;
会话下行消息接收单元,用于接收所述应用服务端发送的会话下行消息;所述会话下行消息是所述应用服务端在收到所述会话上行消息后,在为连接分配的会话识别ID与建立的会话绑定后加密发送的。
27.一种安全服务端,其特征在于,包括:
设备注册建立单元,用于接收用户终端发送的安全可信客户端注册消息并建立设备安全注册关系,其中,所述设备注册建立单元包括:安全可信客户端注册消息验证单元,用于验证安全可信客户端注册消息;所述安全可信客户端注册消息是所述用户终端向所述安全服务端发送的;设备注册反馈单元,用于为验证通过的安全可信客户端注册消息生成设备数据表项并向所述用户终端反馈安全可信客户端注册确认消息;
设备绑定建立单元,用于接收所述用户终端发送的应用客户端绑定消息,并根据所述设备安全注册关系建立应用客户端与设备安全绑定关系;
应用注册建立单元,用于接收所述用户终端发送的应用及账户授权绑定请求消息,所述安全服务端根据应用客户端与设备安全绑定关系建立应用账户可信访问路径验证关系;
登陆认证单元,用于根据所述设备安全注册关系、所述应用账户可信访问路径验证关系对登陆请求验证消息验证,并向应用服务端发送应用可信访问认证结果;所述登陆请求验证消息是所述应用服务端处理登陆请求消息后并向所述安全服务端发送的;所述登陆请求消息是所述用户终端向所述应用服务端发送的;
所述应用服务端根据所述应用可信访问认证结果响应用户终端的登陆请求消息。
28.根据权利要求27所述的安全服务端,其特征在于,所述设备绑定建立单元包括:
应用客户端绑定消息验证单元,用于接收所述应用客户端绑定消息并检查,根据检查结果向所述用户终端发送应用客户端绑定确认消息;所述应用客户端绑定消息是用户终端发送的;
所述用户终端根据所述应用客户端绑定确认消息生成绑定码;应用客户端绑定完成消息接收单元,用于对所述应用客户端绑定完成消息进行验证后,将应用客户端特征添加到设备数据表项中完成应用客户端绑定。
29.根据权利要求27所述的安全服务端,其特征在于,所述应用注册建立单元包括:
授权单元,用于验证账户授权请求消息,生成包括授权码密文和授权请求识别码的授权码消息发送至应用服务端,所述应用服务端收到所述授权码消息,并通过应用账户对应的授权码发送独立通道发送所述授权码密文到所述用户终端;所述账户授权请求消息是所述用户终端发送的;
授权码验证单元,用于验证应用及账户授权绑定请求消息并生成应用及账户授权确认消息发送至所述用户终端;所述应用及账户授权绑定请求消息是所述用户终端发送的;
还用于向所述应用服务端发送授权完成消息;所述应用服务端设置安全服务端验证标识。
30.根据权利要求27所述的安全服务端,所述登陆认证单元包括:
握手码验证单元,用于根据消息中安全可信客户端设备用户ID查找动态握手码与所述登陆请求验证消息中包括的动态握手码比较,如果一致则继续验证签名,否则回复应用服务端拒绝登陆,并产生账户攻击报告;
会话签名验证单元,用于使用会话识别ID和登陆请求消息主消息体的组合信息为计算对象使用第二密钥验证签名,如果一致则认为登陆凭证是与当前所述应用服务端申请的会话对应的登陆凭证,则继续后续流程,否则结束;
消息体签名验证单元,使用安全可信客户端设备ID对应的第二密钥验证所述登陆请求验证消息中包括的登陆请求消息的主消息体签名,如果验证通过,则继续后续判断,否则产生拒绝登陆结果;
安全客户端设备用户验证单元,用于检查登陆请求验证消息中包括的应用账户名,应用客户端特征,应用服务类型,生物识别特征值与安全可信客户端设备用户ID对应的在安全服务端的设备数据表项中是否有对应的授权,如果存在,判断为可以访问服务,否则拒绝,根据结果产生登陆验证结果消息。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2016105094945 | 2016-06-30 | ||
| CN201610509494 | 2016-06-30 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107040513A CN107040513A (zh) | 2017-08-11 |
| CN107040513B true CN107040513B (zh) | 2020-06-02 |
Family
ID=59530756
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611128361.XA Expired - Fee Related CN107040513B (zh) | 2016-06-30 | 2016-12-08 | 一种可信访问认证处理方法、用户终端和服务端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107040513B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP4181460A4 (en) * | 2020-11-05 | 2024-01-03 | Tencent Tech Shenzhen Co Ltd | SERVICE COMMUNICATION METHOD, SYSTEM AND DEVICE AND ELECTRONIC DEVICE |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019010863A1 (zh) * | 2017-07-13 | 2019-01-17 | 华为技术有限公司 | 控制可信应用访问的方法和终端 |
| US20190097814A1 (en) * | 2017-09-28 | 2019-03-28 | GM Global Technology Operations LLC | Method and apparatus for application authentication |
| CN108156132B (zh) * | 2017-11-20 | 2023-06-30 | 北京三快在线科技有限公司 | 访问行为数据处理方法、系统、设备及可读存储介质 |
| JP7250788B2 (ja) | 2017-11-28 | 2023-04-03 | ビザ インターナショナル サービス アソシエーション | リレー攻撃を防ぐシステムおよび方法 |
| CN110187912B (zh) * | 2019-05-16 | 2022-03-29 | 华为技术有限公司 | 一种节点选择方法和装置 |
| CN110445751B (zh) * | 2019-06-27 | 2021-08-17 | 布比(北京)网络技术有限公司 | 一种基于重加密的分布式信息共享方法及系统 |
| CN111200601B (zh) * | 2019-12-29 | 2022-09-20 | 航天信息股份有限公司企业服务分公司 | 一种基于通用中转服务对用户与应用进行对接的方法及系统 |
| CN112910867B (zh) * | 2021-01-21 | 2022-11-04 | 四三九九网络股份有限公司 | 一种受信任的设备访问应用的双重验证方法 |
| CN113542260B (zh) * | 2021-07-12 | 2023-05-09 | 宏图智能物流股份有限公司 | 一种基于分发方式的仓库用语音传输方法 |
| CN113765905B (zh) * | 2021-08-27 | 2023-04-18 | 深圳市风云实业有限公司 | 一种基于可信服务代理的数据通信方法 |
| CN114143056B (zh) * | 2021-11-24 | 2024-04-05 | 上海派拉软件股份有限公司 | 一种终端访问方法、装置、电子设备及存储介质 |
| CN114125027B (zh) * | 2021-11-24 | 2024-04-05 | 上海派拉软件股份有限公司 | 一种通信建立方法、装置、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101312453A (zh) * | 2007-05-21 | 2008-11-26 | 联想(北京)有限公司 | 用户终端、登录网络服务系统的方法和绑定/解绑定方法 |
| CN102299930A (zh) * | 2011-09-19 | 2011-12-28 | 北京无限新锐网络科技有限公司 | 一种保障客户端软件安全的方法 |
| US8555362B2 (en) * | 2011-07-20 | 2013-10-08 | Symantec Corporation | Lightweight directory access protocol (LDAP) proxy |
| CN105337997A (zh) * | 2015-11-30 | 2016-02-17 | 广州华多网络科技有限公司 | 一种应用客户端的登录方法及相关设备 |
-
2016
- 2016-12-08 CN CN201611128361.XA patent/CN107040513B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101312453A (zh) * | 2007-05-21 | 2008-11-26 | 联想(北京)有限公司 | 用户终端、登录网络服务系统的方法和绑定/解绑定方法 |
| US8555362B2 (en) * | 2011-07-20 | 2013-10-08 | Symantec Corporation | Lightweight directory access protocol (LDAP) proxy |
| CN102299930A (zh) * | 2011-09-19 | 2011-12-28 | 北京无限新锐网络科技有限公司 | 一种保障客户端软件安全的方法 |
| CN105337997A (zh) * | 2015-11-30 | 2016-02-17 | 广州华多网络科技有限公司 | 一种应用客户端的登录方法及相关设备 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP4181460A4 (en) * | 2020-11-05 | 2024-01-03 | Tencent Tech Shenzhen Co Ltd | SERVICE COMMUNICATION METHOD, SYSTEM AND DEVICE AND ELECTRONIC DEVICE |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107040513A (zh) | 2017-08-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107040513B (zh) | 一种可信访问认证处理方法、用户终端和服务端 | |
| US11799656B2 (en) | Security authentication method and device | |
| CN110380852B (zh) | 双向认证方法及通信系统 | |
| US20190052622A1 (en) | Device and method certificate generation | |
| US10411884B2 (en) | Secure bootstrapping architecture method based on password-based digest authentication | |
| US8868909B2 (en) | Method for authenticating a communication channel between a client and a server | |
| CN109729523B (zh) | 一种终端联网认证的方法和装置 | |
| CN109413201B (zh) | Ssl通信方法、装置及存储介质 | |
| US20120284506A1 (en) | Methods and apparatus for preventing crimeware attacks | |
| CN101978650B (zh) | 安全的网络认证系统和方法 | |
| Jeong et al. | Integrated OTP-based user authentication scheme using smart cards in home networks | |
| US20090307486A1 (en) | System and method for secured network access utilizing a client .net software component | |
| CN104618120A (zh) | 一种移动终端密钥托管数字签名方法 | |
| CN103236931B (zh) | 一种基于tpm的身份验证方法及系统以及相关设备 | |
| US9398024B2 (en) | System and method for reliably authenticating an appliance | |
| CN109347813B (zh) | 物联网设备登录方法、系统、计算机设备和存储介质 | |
| CN109525565B (zh) | 一种针对短信拦截攻击的防御方法及系统 | |
| EP2414983B1 (en) | Secure Data System | |
| CN111800378A (zh) | 一种登录认证方法、装置、系统和存储介质 | |
| Reimair et al. | MoCrySIL-Carry your Cryptographic keys in your pocket | |
| CN113645115A (zh) | 虚拟专用网络接入方法和系统 | |
| CN108737087B (zh) | 邮箱账号密码的保护方法及计算机可读存储介质 | |
| CN114065170A (zh) | 平台身份证书的获取方法、装置和服务器 | |
| Chen et al. | SSL/TLS session-aware user authentication using a gaa bootstrapped key | |
| WO2018010957A1 (en) | Method for providing an enhanced level of authentication related to a secure software client application provided by an application distribution entity in order to be transmitted to a client computing device; system, application distribution entity, software client application, and client computing device for providing an enhanced level of authentication related to a secure software client application, program and computer program product |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20170828 Address after: 100107 Beijing Chaoyang District Wankexingyuan 4 Building 805 Applicant after: Guo Zhengzheng Address before: 100084 Beijing Zhongguancun East Road, No. 1, building No. 8, ground floor, No. CB108-018, No. Applicant before: BEIJING DONGSHI TECHNOLOGY Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20200602 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |