CN107395644A - 一种多协议认证系统及方法 - Google Patents
一种多协议认证系统及方法 Download PDFInfo
- Publication number
- CN107395644A CN107395644A CN201710780894.4A CN201710780894A CN107395644A CN 107395644 A CN107395644 A CN 107395644A CN 201710780894 A CN201710780894 A CN 201710780894A CN 107395644 A CN107395644 A CN 107395644A
- Authority
- CN
- China
- Prior art keywords
- authentication
- certification
- value
- rule
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Abstract
本发明公开了一种多协议认证系统,包括多个认证源和认证中心。其中,多个认证源适于响应于用户的登录请求生成相应的认证请求发送给认证中心,其中,认证请求包括用户的账户名、认证源标识和至少一个认证元素值。认证中心适于在接收到认证请求后,对认证请求进行分析,判断该账户名是否具有在认证源标识对应的认证源上登录并允许相应认证协议的权限,当认证通过时,发送认证接收指令给认证源,以便认证源允许该用户在该认证源上运行对应的认证协议。本发明一并公开了相应的多协议认证方法。
Description
技术领域
本发明涉及安全认证技术领域,尤其是一种多协议认证系统及方法。
背景技术
随着技术的进步,网络认证协议也在不断地改进变化中。企业一旦在内部网络大规模部署了某种身份认证系统,很难在现有认证协议的基础上兼容新的认证系统的认证协议,也难以对多种认证元素进行组合匹配。在现有的应用背景下,原有认证系统的改造难度和替换成本很高,难以支撑新的业务系统多认证元素的认证需求。因此,为支撑新的业务系统,现有的做法是保留老的认证系统,再新建一套认证系统,新老多套认证系统共存,但这种方式为运维管理、日志审计、帐号统一等诸多方面带来不便。
因此,需要一种能够有效解决企业内多认证系统兼容问题的安全认证方案。
发明内容
为此,本发明提供了一种多协议认证系统及方法,以力图解决或者至少缓解上面存在的至少一个问题。
根据本发明的一个方面,提供了一种多协议认证系统,包括:多个认证源,适于响应于用户的登录请求生成相应的认证请求发送给认证中心,其中,认证请求包括用户的账户名、认证源标识和至少一个认证元素值;认证中心,包括:输入/输出接口,适于接收认证请求;认证协议适配模块,适于获取认证源标识对应的认证协议和该认证协议的认证规则;认证授权策略模块,适于通过账户名和认证源标识判断该账户名是否具有登录所述认证源的权限;认证值计算模块,适于在判断该账户名具有所述权限时,根据认证规则确定该账户名的至少一个第一认证值;认证放行模块,适于判断至少一个第一认证值与认证请求中的至少一个认证元素值是否一致,并在判断一致时,发送相应控制指令给输入/输出接口;以及输入/输出接口还适于根据认证放行模块的控制指令发送认证接收指令给认证源;认证源还适于在接收到认证接收指令时,允许该用户在该认证源上运行对应的认证协议。
可选地,在根据本发明的多协议认证系统中,在认证中心中还包括:认证协议池,适于存储多条认证协议,其中每条认证协议与适于运行该认证协议的认证源的认证源标识关联存储,且每条认证协议下记录了该认证协议所对应的认证规则;以及认证协议适配模块还适于从认证协议池中获取认证源标识对应的认证协议。
可选地,在根据本发明的多协议认证系统中,认证规则中包含至少一个认证元素和至少一个认证元素的组合规则。
可选地,在根据本发明的多协议认证系统中,认证值计算模块包括:认证元素分解单元,适于根据认证规则分解出所述认证协议对应的至少一个认证元素;以及第一认证值计算模块,适于从分解出的至少一个认证元素中每个认证元素的数据库中查找账户名对应的认证元素的值、并根据组合规则对至少一个认证元素的值进行计算,得到至少一个第一认证值,其中,认证元素的数据库中关联存储用户的账户名及认证元素的值。
可选地,在根据本发明的多协议认证系统中,组合规则包括至少一个认证元素中每个认证元素分别对应的明文或密文的组合,第一认证值计算模块还适于根据组合规则计算每个认证元素对应的第一认证值。
可选地,在根据本发明的多协议认证系统中,认证值计算模块还包括第二认证值计算模块,适于根据组合规则计算认证请求中每个认证元素值的第二认证值;认证放行模块还适于将每个认证元素的第二认证值与第一认证值分别进行比对、并在比对结果是全部一致时判断第一认证值与认证请求中的认证元素值一致。
可选地,在根据本发明的多协议认证系统中,组合规则包括至少一个认证元素中所有认证元素的组合的密文,第一认证值计算模块还适于根据组合规则计算所有认证元素的第一认证值。
可选地,在根据本发明的多协议认证系统中,认证值计算模块还包括第二认证值计算模块,适于根据组合规则计算认证请求中的所有认证元素值的第二认证值;认证放行模块还适于将第二认证值与第一认证值进行比对、并在比对一致时判断第一认证值与认证请求中的认证元素值一致。
可选地,在根据本发明的多协议认证系统中,认证元素包括静态密码、动态密码和生物特征信息中的一种或多种。
可选地,在根据本发明的多协议认证系统中,认证源标识是认证源的IP地址和/或认证源预置的标识位。
根据本发明的又一方面,提供了一种多协议认证方法,该方法适于在认证中心中执行,认证中心与多个认证源相连,包括步骤:接收由认证源发送的认证请求,其中,认证请求是认证源响应于用户的登录请求而生成的,认证请求包括用户的账户名、认证源标识和至少一个认证元素值;从认证协议池中获取认证源标识对应的认证协议和该认证协议的认证规则;通过账户名和认证源标识判断该账户名是否具有登录该认证源的权限;若判断该账户名具有权限,则根据认证规则确定该账户名的至少一个第一认证值;判断至少一个第一认证值与认证请求中的至少一个认证元素值是否一致;以及若判断一致则发送认证接收指令给认证源,允许该用户在该认证源上运行对应的认证协议。
可选地,在根据本发明的多协议认证方法中,还包括预先建立认证协议池的步骤,其中,认证协议池包括多条认证协议,其中每条认证协议与适于运行该认证协议的认证源的认证源标识关联存储,且每条认证协议下记录了该认证协议所对应的认证规则。
可选地,在根据本发明的多协议认证方法中,认证规则中包含至少一个认证元素和所述至少一个认证元素的组合规则。
可选地,在根据本发明的多协议认证方法中,根据认证规则确定该账户名的至少一个第一认证值的步骤包括:根据认证规则确定认证协议对应的至少一个认证元素;从至少一个认证元素中每个认证元素的数据库中查找账户名对应的认证元素的值;以及根据组合规则对至少一个认证元素的值进行计算,得到至少一个第一认证值,其中,认证元素的数据库中关联存储用户的账户名及认证元素的值。
可选地,在根据本发明的多协议认证方法中,组合规则包括至少一个认证元素中每个认证元素分别对应的明文或密文的组合,根据组合规则对至少一个认证元素的值进行计算、得到至少一个第一认证值的步骤包括:根据组合规则计算每个认证元素对应的第一认证值。
可选地,在根据本发明的多协议认证方法中,判断至少一个第一认证值与认证请求中的至少一个认证元素值是否一致的步骤包括:根据组合规则计算认证请求中每个认证元素值的第二认证值;将每个认证元素的第二认证值与第一认证值分别进行比对;以及若比对结果是全部一致则判断第一认证值与认证请求中的认证元素值一致。
可选地,在根据本发明的多协议认证方法中,组合规则包括至少一个认证元素中所有认证元素的组合的密文,根据组合规则对至少一个认证元素的值进行计算、得到至少一个第一认证值的步骤包括:根据组合规则计算所有认证元素的第一认证值。
可选地,在根据本发明的多协议认证方法中,判断至少一个第一认证值与认证请求中的至少一个认证元素值是否一致的步骤包括:根据组合规则计算认证请求中所有认证元素值的第二认证值;将第二认证值与第一认证值进行比对;以及若比对一致则判断所述第一认证值与认证请求中的认证元素值一致。
可选地,在根据本发明的多协议认证方法中,认证元素包括静态密码、动态密码和生物特征信息中的一种或多种。
可选地,在根据本发明的多协议认证方法中,认证源标识是认证源的IP地址和/或认证源预置的标识位。
根据本发明的多协议认证系统,把支持不同认证协议的认证服务器集中部署在一个认证认证中心上,解决了多认证协议账号、授权、登陆安全审计难以集中管理的问题,也解决了在局域网(如,企业内部网络)内同时使用多种认证协议时,须分别部署认证服务器的问题。
附图说明
为了实现上述以及相关目的,本文结合下面的描述和附图来描述某些说明性方面,这些方面指示了可以实践本文所公开的原理的各种方式,并且所有方面及其等效方面旨在落入所要求保护的主题的范围内。通过结合附图阅读下面的详细描述,本公开的上述以及其它目的、特征和优势将变得更加明显。遍及本公开,相同的附图标记通常指代相同的部件或元素。
图1示出了根据本发明一个实施例的多认证系统100的示意图;以及
图2示出了根据本发明一个实施例的多协议认证方法200的流程图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
图1示出了根据本发明一个实施例的多认证系统100的示意图。如图1所示,该多认证系统100包括:认证源110-1、认证源110-2、认证源110-3、…、认证源110-n(以下为方便描述统一用110表示)、和认证中心120。根据本发明的一种实现方式,认证源110可以是服务器,认证中心120可以由多个服务器或计算设备构成。每个认证源110上适于运行一定的认证协议,该认证协议中包含一个或多个认证元素,认证元素包括静态密码、动态密码和生物特征信息(如,指纹)等。
认证源110接收用户的登录请求,并生成相应的认证请求发送至认证中心120,认证中心120分析该认证请求,当该认证请求满足预定规则时发送认证接收指令给相应认证源110,允许该用户在该认证源110上登录并运行对应的认证协议。
如图1,根据本发明的实现方式,认证中心120至少包括:输入/输出接口1202、认证协议适配模块1204、认证协议池12042、认证授权策略模块1206、账号与认证授权策略数据库12062、认证值计算模块1208、多个认证元素数据库12082、认证放行模块1210和日志审计模块1212、认证元素变更/同步模块1214。
认证中心120通过输入/输出接口1202与多个认证源110相连并进行通信,如,接收来自认证源110的认证请求。根据本发明的一个实施例,认证请求中包含用户的账户名、认证源标识和至少一个认证元素值(如,静态密码值)。可选地,认证源标识是认证源110的IP地址和/或对认证源110预置的标识位,用于在系统100中唯一地标识该认证源。
认证协议池12042中存储多条认证协议,其中每条认证协议与适于运行该认证协议的认证源110的认证源标识关联存储,且每条认证协议下记录了该认证协议所对应的认证规则。其中,认证规则中包含该认证协议的所有认证元素和这些认证元素的组合规则。根据本发明的实施例,认证元素的组合规则可以是该认证协议的所有认证元素中每个认证元素分别对应的明文或密文的组合;也可以是该认证协议的所有认证元素的组合的密文。如表1示出了认证协议池的一个示例。
表1认证协议池示例
| 序号 | 认证源标识 | 认证协议 | 认证规则 |
| 1 | IP_addr1 | A | 静态密码哈希值 |
| 2 | IP_addr2 | B | 静态密码+动态密码组合哈希值 |
| 3 | IP_addr3 | C | 静态密码+指纹 |
| … | … | … | … |
以第一条记录(序号“1”)为例,记录了认证源标识为IP_addr1的认证源(以下简称“认证源IP_addr1”)上适于运行认证协议A,认证协议A对应的认证元素为静态密码,其组合规则是静态密码的哈希值(即,静态密码的密文)。第二条记录中记录了认证源IP_addr2上适于运行认证协议B,认证协议B对应的认证元素为静态密码和动态密码,其组合规则是静态密码和动态密码的组合的哈希值(即,静态密码和动态密码的组合的密文)。第三条记录中记录了认证源IP_addr3上适于运行认证协议C,认证协议C对应的认证元素为静态密码和指纹,其组合规则是静态密码和指纹(即,静态密码的明文和指纹的明文)。
认证协议适配模块1204根据认证请求中的认证源标识从认证协议池12042中获取认证源标识对应的认证协议和该认证协议的认证规则。当认证协议适配模块1204从认证协议池12042中识别出该认证请求对应的认证协议后,发送进一步认证指令给认证授权策略模块1206;若未识别出相应认证协议(如,认证协议池12042中不存在该认证源标识),发送相应控制指令给认证放行模块1210,由其指示输入/输出接口发送认证拒绝指令给认证源110。
认证授权策略模块1206通过认证请求中的账户名和认证源标识判断该账户名是否具有登录该认证源的权限。
根据本发明的实施例,账号与认证授权策略数据库12062中预先存储了用户的账户名和该账户名能够登录的认证源的认证源标识,换句话说,账号与认证授权策略数据库12062关联记录了每个账户名能够登录的认证源。如下表2,示出了账号与认证授权策略数据库12062的一个示例。
表2账号与认证授权策略数据库示例
| 序号 | 账户名 | 认证源标识 |
| 1 | User1 | IP_addr1 |
| 2 | User2 | IP_addr2 |
| 3 | User3 | IP_addr3 |
| … | … | … |
根据本发明的又一个实施例,在一些场景中,对某个具体用户,其在不同的认证源110上具有不同的账户名,账号与认证授权策略数据库12062中可以包含用户对应各认证源的账号信息,如表3所示。此时,认证请求中还可以包含用户名,账号与认证授权策略数据库12062还可以判断用户名、认证源标识、账户名是否一致。
表3账号与认证授权策略数据库示例
| 序号 | 用户名 | 认证源标识 | 账户名 |
| 1 | aa | IP_addr1 | User1 |
| 2 | aa | IP_addr2 | User2 |
| 3 | bb | IP_addr3 | User3 |
| … | … | … | … |
当认证授权策略模块1206判断出账户名具有登录认证源的权限后,发送进一步认证指令给认证值计算模块1208。可选地,若认证授权策略模块1206判断出该账户名不具有登录认证源的权限时,发送相应控制指令给认证放行模块1210,由其指示输入/输出接口发送认证拒绝指令给认证源110。
认证值计算模块1208根据认证规则确定该账户名的至少一个第一认证值。根据本发明的一个实施例,认证值计算模块1208包括认证元素分解单元(未示出)和第一认证值计算模块(未示出)。
其中,认证元素分解单元根据认证规则分解出认证协议对应的至少一个认证元素(参见前文中关于表1的描述)。第一认证值计算模块从分解出的至少一个认证元素中每个认证元素的数据库中查找该账户名对应的认证元素的值、并根据组合规则对至少一个认证元素的值进行计算,得到至少一个第一认证值。
在根据本发明的认证中心120上,为每一个认证元素分配一个认证元素的数据库12082,其中关联存储用户的账户名及对应认证元素的值,如表4示出了静态密码的数据库,表5示出了动态密码的数据库。
表4静态密码的数据库示例
| 序号 | 账户名 | 认证元素值 |
| 1 | User1 | abcde |
| 2 | User2 | 12345 |
| 3 | User3 | 1a2b3c |
| … | … | … |
表5动态密码的数据库示例
| 序号 | 账户名 | 认证元素值 |
| 1 | User2 | hdxe |
| 2 | User5 | eif |
| … | … | … |
认证放行模块1210判断至少一个第一认证值与认证请求中的至少一个认证元素值是否一致,并在判断一致时,发送相应控制指令给输入/输出接口1202。
如前文所述,在根据本发明的一种实施例中,组合规则可以是每个认证元素分别对应的明文或密文的组合,在这种情况下,第一认证值计算模块根据组合规则计算每个认证元素对应的第一认证值,可选地,若组合规则中定义的是每个认证元素分别对应的明文,则将每个认证元素的认证元素值作为其第一认证值。根据本发明的一个实施例,认证值计算模块1208还包括第二认证值计算模块(未示出),根据组合规则计算认证请求中每个认证元素值的第二认证值,以便认证放行模块1210将每个认证元素的第二认证值与第一认证值分别进行比对、并在比对结果是全部一致时判断第一认证值与认证请求中的认证元素值一致。
结合前文描述,以User1为例,当其在认证源标识为IP_addr1的认证源上登录时,结合表1、表2可以得到,其对应的认证规则是静态密码哈希值,进而从静态密码的数据库中取到User1对应的静态密码值,如表4,认证元素值为abcde,按照认证规则对abcde进行哈希运算得到第一认证值,同时对认证请求中的认证元素值(即,静态密码值)做同样的哈希运算,得到第二认证值,若经比对第二认证值与第一认证值一致,则允许用户User1在认证源IP_addr1上运行对应的认证协议A。
又如,User3在认证源标识是IP_addr3的认证源上登录时,获取到其对应的认证协议为C,认证规则是静态密码+指纹,那么,按照认证规则分别从静态密码数据库和指纹数据库中获取User3的静态密码值和指纹值,然后分别与认证请求中的静态密码值和指纹值进行比对,若比对通过,则允许用户User3在认证源IP_addr3上运行对应的认证协议C。
可选地,当认证请求中具有多个认证元素值时,可以通过配置密码分隔符来记录多个认证元素值。
根据本发明的另一种实施例,组合规则也可以是所有认证元素的组合的密文。在这种情况下,第一认证值计算模块根据组合规则计算所有认证元素的第一认证值。此时,第二认证值计算模块根据组合规则计算认证请求中的所有认证元素值的第二认证值,以便认证放行模块将第二认证值与第一认证值进行比对、并在比对一致时判断第一认证值与认证请求中的认证元素值一致。
以User2在认证源标识是IP_addr2的认证源上登录为例,其对应的认证协议为B,认证规则是静态密码+动态密码组合哈希值。那么,按照认证规则分别从静态密码数据库和动态密码数据库中获取User2的静态密码值和动态密码值,再将静态密码值和动态密码值组合生成哈希值,作为第一认证值。同样地,提取出认证请求中的静态密码值和动态密码值,进行同样的哈希运算得到第二认证值,两者进行比对,若比对通过,则允许用户User2在认证源IP_addr2上运行对应的认证协议B。
在认证放行模块1210完成相应的认证后,输入/输出接口1202根据认证放行模块1210的控制指令发送认证接收指令或认证拒绝指令给相应认证源110,以便认证源110根据相应的指令允许或拒绝该用户在该认证源上运行对应的认证协议。
根据本发明的又一实施例,认证中心120上还包含日志审计模块1212,从接收到认证请求开始,实时记录认证协议适配模块1202、认证授权策略模块1206、认证放行模块1210等的识别或判断结果。
根据本发明的再一实施例,认证中心120上还包含认证元素变更/同步模块1214,与多个认证元素数据库相耦接,以便于更改或同步认证元素和认证元素值。
需要说明的是,认证请求中的认证元素值即加密后的数据,如,有的认证源客户端不支持密码明文传送,只上传密码哈希值,在这种情况下,根据本发明的实施方式,通过对多个认证元素的组合进行加密来实现认证。
综上,根据本发明的多协议认证系统,把支持不同认证协议的认证服务器集中部署在一个认证平台(即,认证中心120),实现了认证元素同步修改、认证元素共享组合,解决了在局域网(如,企业内部网络)内同时使用多种认证协议时,须分别部署认证服务器的问题,同时也解决了多认证协议账号、授权、登陆安全审计难以集中管理的问题。
如图2示出了根据本发明一个实施例的在认证中心120上执行多协议认证方法200的流程图。基于前文的描述,此处只对步骤进行粗略阐述,具体实施例及实施方式可以参照前文描述。
方法200始于步骤S210,接收由认证源110发送的认证请求,其中,认证请求是认证源110响应于用户的登录请求而生成的,认证请求中包括用户的账户名、认证源标识和至少一个认证元素值。可选地,认证元素值可以是一个,也可以是多个,可以是明文的形式,也可以是加密形式,本发明的实施例对此不做限制。认证源标识是认证源的IP地址和/或认证源预置的标识位。
随后在步骤S220中,从认证协议池中获取认证源标识对应的认证协议和该认证协议的认证规则。
根据本发明的实现方式,方法200还包括预先建立认证协议池的步骤,其中,认证协议池包括多条认证协议,其中每条认证协议与适于运行该认证协议的认证源的认证源标识关联存储,且每条认证协议下记录了该认证协议所对应的认证规则,认证规则中包含至少一个认证元素和所述至少一个认证元素的组合规则。如表1,给出了认证协议池的一个简单示例。
可选地,认证元素包括静态密码、动态密码和生物特征信息中的一种或多种。
随后在步骤S230中,通过账户名和认证源标识判断该账户名是否具有登录该认证源的权限。根据本发明的实施例,认证中心120上预先存储了用户的账户名和该账户名能够登录的认证源的认证源标识。
随后在步骤S240中,若判断该账户名具有登录该认证源的权限,则根据认证规则确定该账户名的至少一个第一认证值;否则发送拒绝指令给认证源110。
具体地,根据认证规则确定该账户名的至少一个第一认证值的步骤包括:首先,根据认证规则确定认证协议对应的至少一个认证元素;然后从这至少一个认证元素中每个认证元素的数据库中查找该账户名对应的认证元素的值;并根据组合规则对至少一个认证元素的值进行计算,得到至少一个第一认证值,其中,每个认证元素的数据库中关联存储了用户的账户名及该认证元素的值。
根据本发明的一种实现方式,组合规则包括至少一个认证元素中每个认证元素分别对应的明文或密文的组合,此时,根据组合规则计算每个认证元素对应的第一认证值。
根据本发明的又一种实现方式,组合规则包括至少一个认证元素中所有认证元素的组合的密文,此时,根据组合规则计算所有认证元素的第一认证值。
随后在步骤S250中,判断所述至少一个第一认证值与认证请求中的至少一个认证元素值是否一致。
对应于上面提到的两种组合规则,当组合规则包括至少一个认证元素中每个认证元素分别对应的明文或密文的组合时,根据组合规则计算认证请求中每个认证元素值的第二认证值;并将每个认证元素的第二认证值与第一认证值分别进行比对;若比对结果是全部一致则判断第一认证值与认证请求中的认证元素值一致。
当组合规则包括至少一个认证元素中所有认证元素的组合的密文时,根据组合规则计算认证请求中所有认证元素值的第二认证值;并将第二认证值与第一认证值进行比对;若比对一致则判断第一认证值与认证请求中的认证元素值一致。
若判断一致则在随后的步骤S260中,发送认证接收指令给认证源110,允许该用户在该认证源上运行对应的认证协议。
应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员应当理解在本文所公开的示例中的设备的模块或单元或组件可以布置在如该实施例中所描述的设备中,或者可替换地可以定位在与该示例中的设备不同的一个或多个设备中。前述示例中的模块可以组合为一个模块或者此外可以分成多个子模块。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
A10、如A1-9中任一项所述的系统,其中认证源标识是认证源的IP地址和/或认证源预置的标识位。
B12、如B11所述的方法,还包括预先建立认证协议池的步骤,其中,认证协议池包括多条认证协议,其中每条认证协议与适于运行该认证协议的认证源的认证源标识关联存储,且每条认证协议下记录了该认证协议所对应的认证规则。
B13、如B12所述的方法,其中,认证规则中包含至少一个认证元素和所述至少一个认证元素的组合规则。
B14、如B13所述的方法,其中,根据认证规则确定该账户名的至少一个第一认证值的步骤包括:根据认证规则确定认证协议对应的至少一个认证元素;从至少一个认证元素中每个认证元素的数据库中查找所述账户名对应的认证元素的值;以及根据组合规则对至少一个认证元素的值进行计算,得到至少一个第一认证值,其中,认证元素的数据库中关联存储用户的账户名及认证元素的值。
B15、如B14所述的方法,其中,组合规则包括至少一个认证元素中每个认证元素分别对应的明文或密文的组合,根据组合规则对至少一个认证元素的值进行计算、得到至少一个第一认证值的步骤包括:根据组合规则计算每个认证元素对应的第一认证值。
B16、如B15所述的方法,其中,判断至少一个第一认证值与认证请求中的至少一个认证元素值是否一致的步骤包括:根据组合规则计算认证请求中每个认证元素值的第二认证值;将每个认证元素的第二认证值与第一认证值分别进行比对;以及若比对结果是全部一致则判断所述第一认证值与认证请求中的认证元素值一致。
B17、如B14所述的方法,其中,组合规则包括至少一个认证元素中所有认证元素的组合的密文,根据组合规则对至少一个认证元素的值进行计算、得到至少一个第一认证值的步骤包括:根据组合规则计算所有认证元素的第一认证值。
B18、如B17所述的方法,其中,判断至少一个第一认证值与认证请求中的至少一个认证元素值是否一致的步骤包括:根据组合规则计算认证请求中所有认证元素值的第二认证值;将第二认证值与第一认证值进行比对;以及若比对一致则判断所述第一认证值与认证请求中的认证元素值一致。
B19、如B13-18中任一项所述的方法,其中,认证元素包括静态密码、动态密码和生物特征信息中的一种或多种。
B20、如B11-19中任一项所述的方法,其中,认证源标识是认证源的IP地址和/或认证源预置的标识位。
此外,所述实施例中的一些在此被描述成可以由计算机系统的处理器或者由执行所述功能的其它装置实施的方法或方法元素的组合。因此,具有用于实施所述方法或方法元素的必要指令的处理器形成用于实施该方法或方法元素的装置。此外,装置实施例的在此所述的元素是如下装置的例子:该装置用于实施由为了实施该发明的目的的元素所执行的功能。
如在此所使用的那样,除非另行规定,使用序数词“第一”、“第二”、“第三”等等来描述普通对象仅仅表示涉及类似对象的不同实例,并且并不意图暗示这样被描述的对象必须具有时间上、空间上、排序方面或者以任意其它方式的给定顺序。
尽管根据有限数量的实施例描述了本发明,但是受益于上面的描述,本技术领域内的技术人员明白,在由此描述的本发明的范围内,可以设想其它实施例。此外,应当注意,本说明书中使用的语言主要是为了可读性和教导的目的而选择的,而不是为了解释或者限定本发明的主题而选择的。因此,在不偏离所附权利要求书的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围,对本发明所做的公开是说明性的,而非限制性的,本发明的范围由所附权利要求书限定。
Claims (10)
1.一种多协议认证系统,包括:
多个认证源,适于响应于用户的登录请求生成相应的认证请求发送给认证中心,其中,所述认证请求包括用户的账户名、认证源标识和至少一个认证元素值;
认证中心,包括:
输入/输出接口,适于接收所述认证请求;
认证协议适配模块,适于获取所述认证源标识对应的认证协议和该认证协议的认证规则;
认证授权策略模块,适于通过所述账户名和认证源标识判断该账户名是否具有登录所述认证源的权限;
认证值计算模块,适于在判断该账户名具有所述权限时,根据所述认证规则确定该账户名的至少一个第一认证值;
认证放行模块,适于判断所述至少一个第一认证值与所述认证请求中的至少一个认证元素值是否一致,并在判断一致时,发送相应控制指令给输入/输出接口;以及
所述输入/输出接口还适于根据所述认证放行模块的控制指令发送认证接收指令给认证源;
所述认证源还适于在接收到认证接收指令时,允许该用户在该认证源上运行对应的认证协议。
2.如权利要求1所述的系统,在所述认证中心中,还包括:
认证协议池,适于存储多条认证协议,其中每条认证协议与适于运行该认证协议的认证源的认证源标识关联存储,且每条认证协议下记录了该认证协议所对应的认证规则;以及
所述认证协议适配模块还适于从所述认证协议池中获取所述认证源标识对应的认证协议。
3.如权利要求2所述的系统,其中,所述认证规则中包含至少一个认证元素和所述至少一个认证元素的组合规则。
4.如权利要求3所述的系统,其中,所述认证值计算模块包括:
认证元素分解单元,适于根据认证规则分解出所述认证协议对应的至少一个认证元素;以及
第一认证值计算模块,适于从分解出的至少一个认证元素中每个认证元素的数据库中查找所述账户名对应的认证元素的值、并根据所述组合规则对至少一个认证元素的值进行计算,得到至少一个第一认证值,
其中,所述认证元素的数据库中关联存储用户的账户名及认证元素的值。
5.如权利要求4所述的系统,其中,所述组合规则包括至少一个认证元素中每个认证元素分别对应的明文或密文的组合,
所述第一认证值计算模块还适于根据组合规则计算每个认证元素对应的第一认证值。
6.如权利要求5所述的系统,其中,
所述认证值计算模块还包括第二认证值计算模块,适于根据所述组合规则计算认证请求中每个认证元素值的第二认证值;
所述认证放行模块还适于将每个认证元素的第二认证值与第一认证值分别进行比对、并在比对结果是全部一致时判断所述第一认证值与认证请求中的认证元素值一致。
7.如权利要求4所述的系统,其中,所述组合规则包括至少一个认证元素中所有认证元素的组合的密文,
所述第一认证值计算模块还适于根据组合规则计算所有认证元素的第一认证值。
8.如权利要求7所述的系统,其中,
所述认证值计算模块还包括第二认证值计算模块,适于根据所述组合规则计算认证请求中的所有认证元素值的第二认证值;
所述认证放行模块还适于将所述第二认证值与第一认证值进行比对、并在比对一致时判断所述第一认证值与认证请求中的认证元素值一致。
9.如权利要求3-8中任一项所述的系统,其中,所述认证元素包括静态密码、动态密码和生物特征信息中的一种或多种。
10.一种多协议认证方法,所述方法适于在认证中心中执行,所述认证中心与多个认证源相连,所述方法包括步骤:
接收由认证源发送的认证请求,其中,所述认证请求是认证源响应于用户的登录请求而生成的,所述认证请求包括用户的账户名、认证源标识和至少一个认证元素值;
从认证协议池中获取所述认证源标识对应的认证协议和该认证协议的认证规则;
通过所述账户名和认证源标识判断该账户名是否具有登录所述认证源的权限;
若判断该账户名具有所述权限,则根据所述认证规则确定该账户名的至少一个第一认证值;
判断所述至少一个第一认证值与所述认证请求中的至少一个认证元素值是否一致;以及
若判断一致则发送认证接收指令给认证源,允许该用户在该认证源上运行对应的认证协议。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710780894.4A CN107395644B (zh) | 2017-09-01 | 2017-09-01 | 一种多协议认证系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710780894.4A CN107395644B (zh) | 2017-09-01 | 2017-09-01 | 一种多协议认证系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107395644A true CN107395644A (zh) | 2017-11-24 |
| CN107395644B CN107395644B (zh) | 2020-05-12 |
Family
ID=60347606
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710780894.4A Active CN107395644B (zh) | 2017-09-01 | 2017-09-01 | 一种多协议认证系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107395644B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112217793A (zh) * | 2020-09-07 | 2021-01-12 | 中国电力科学研究院有限公司 | 一种适用于电力物联网的跨体系信任管理系统 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006020329A2 (en) * | 2004-08-02 | 2006-02-23 | Cisco Technology, Inc. | Method and apparatus for determining authentication capabilities |
| US7421503B1 (en) * | 2003-01-17 | 2008-09-02 | Cisco Technology, Inc. | Method and apparatus for providing multiple authentication types using an authentication protocol that supports a single type |
| CN101742497A (zh) * | 2009-12-24 | 2010-06-16 | 中兴通讯股份有限公司 | 接入认证的实现方法和客户端 |
| CN101867475A (zh) * | 2010-05-27 | 2010-10-20 | 华为终端有限公司 | 远程控制终端业务的接入认证方法和相关设备及通信系统 |
| CN102611683A (zh) * | 2011-12-14 | 2012-07-25 | 上海聚力传媒技术有限公司 | 一种用于执行第三方认证的方法、装置、设备和系统 |
| CN103812651A (zh) * | 2012-11-13 | 2014-05-21 | 深圳市腾讯计算机系统有限公司 | 密码验证方法、装置及系统 |
| CN104639559A (zh) * | 2015-02-27 | 2015-05-20 | 飞天诚信科技股份有限公司 | 一种支持多种认证协议的认证方法、认证服务器及系统 |
| CN105144656A (zh) * | 2013-04-26 | 2015-12-09 | 交互数字专利控股公司 | 用于实现要求的认证确保级别的多因素认证 |
| CN105187391A (zh) * | 2015-08-10 | 2015-12-23 | 上海迈外迪网络科技有限公司 | App及其登录网络接入点方法、服务器及系统 |
-
2017
- 2017-09-01 CN CN201710780894.4A patent/CN107395644B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7421503B1 (en) * | 2003-01-17 | 2008-09-02 | Cisco Technology, Inc. | Method and apparatus for providing multiple authentication types using an authentication protocol that supports a single type |
| WO2006020329A2 (en) * | 2004-08-02 | 2006-02-23 | Cisco Technology, Inc. | Method and apparatus for determining authentication capabilities |
| CN101742497A (zh) * | 2009-12-24 | 2010-06-16 | 中兴通讯股份有限公司 | 接入认证的实现方法和客户端 |
| CN101867475A (zh) * | 2010-05-27 | 2010-10-20 | 华为终端有限公司 | 远程控制终端业务的接入认证方法和相关设备及通信系统 |
| CN102611683A (zh) * | 2011-12-14 | 2012-07-25 | 上海聚力传媒技术有限公司 | 一种用于执行第三方认证的方法、装置、设备和系统 |
| CN103812651A (zh) * | 2012-11-13 | 2014-05-21 | 深圳市腾讯计算机系统有限公司 | 密码验证方法、装置及系统 |
| CN105144656A (zh) * | 2013-04-26 | 2015-12-09 | 交互数字专利控股公司 | 用于实现要求的认证确保级别的多因素认证 |
| CN104639559A (zh) * | 2015-02-27 | 2015-05-20 | 飞天诚信科技股份有限公司 | 一种支持多种认证协议的认证方法、认证服务器及系统 |
| CN105187391A (zh) * | 2015-08-10 | 2015-12-23 | 上海迈外迪网络科技有限公司 | App及其登录网络接入点方法、服务器及系统 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112217793A (zh) * | 2020-09-07 | 2021-01-12 | 中国电力科学研究院有限公司 | 一种适用于电力物联网的跨体系信任管理系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107395644B (zh) | 2020-05-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102514325B1 (ko) | 모델 훈련 시스템 및 방법과, 저장 매체 | |
| CN103618717B (zh) | 多账户客户信息的动态认证方法、装置和系统 | |
| US11227457B2 (en) | Blockchain managed storage | |
| US20210073806A1 (en) | Data processing system utilising distributed ledger technology | |
| CN108292331B (zh) | 用于创建、验证和管理身份的方法及系统 | |
| US11146394B2 (en) | Systems and methods for biometric key generation in data access control, data verification, and path selection in block chain-linked workforce data management | |
| Friedman | Beyond accountability for reasonableness | |
| CN103282909B (zh) | 认证联合系统及id提供者装置 | |
| WO2011019898A1 (en) | Configurable online public key infrastructure (pki) management framework | |
| CN111753014B (zh) | 基于区块链的身份认证方法及装置 | |
| CN108920914B (zh) | 一种权限控制方法及装置 | |
| CN102006286A (zh) | 信息系统的访问管理方法、装置、系统和接入设备 | |
| CN106485156B (zh) | 一种用于文件批量授权的装置和方法 | |
| JP2022104802A (ja) | グループサービス実現方法、装置、機器および記憶媒体 | |
| CN106168963A (zh) | 实时流数据的处理方法、装置及服务器 | |
| US11068908B1 (en) | Skill-based credential verification by a credential vault system (CVS) | |
| CN107395644A (zh) | 一种多协议认证系统及方法 | |
| Ulbricht et al. | CoMaFeDS: Consent management for federated data sources | |
| CN113793119B (zh) | 档案建立方法、装置及存储介质 | |
| US20190182252A1 (en) | Web based background check system and method for access and verification of credentials | |
| CN114218607A (zh) | 数据处理方法及装置 | |
| US20150215318A1 (en) | Case management system | |
| KR101963577B1 (ko) | 질문답변 처리 방법 및 장치 | |
| US20130275753A1 (en) | System and method for verifying credentials | |
| Aali et al. | Evaluation of interaction messages in trust model within collaborative system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Room 311501, Unit 1, Building 5, Courtyard 1, Futong East Street, Chaoyang District, Beijing 100102 Applicant after: Beijing Zhichuangyu Information Technology Co., Ltd. Address before: 100097 Jinwei Building 803, 55 Lanindichang South Road, Haidian District, Beijing Applicant before: Beijing Knows Chuangyu Information Technology Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |