CN108243145B - 一种多源身份认证方法 - Google Patents
一种多源身份认证方法 Download PDFInfo
- Publication number
- CN108243145B CN108243145B CN201611207619.5A CN201611207619A CN108243145B CN 108243145 B CN108243145 B CN 108243145B CN 201611207619 A CN201611207619 A CN 201611207619A CN 108243145 B CN108243145 B CN 108243145B
- Authority
- CN
- China
- Prior art keywords
- authentication
- point
- user
- password
- authentication information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/23—Reliability checks, e.g. acknowledgments or fault reporting
Abstract
本发明涉及一种多源身份认证方法,用于从多个身份认证点验证用户身份,其特征在于,该方法包括:用户客户端从每个正常进行身份认证的身份认证点获取认证信息;用户客户端基于存储的认证信息向新的身份认证点请求身份认证;所述新的身份认证点根据接收到的认证信息判断通过其累积的安全性是否达到了自身的要求;如果达到了,则直接通过该用户的身份认证,否则要求用户进行正常的身份认证。
Description
【技术领域】
本发明属于计算机安全领域,尤其涉及一种多源身份认证方法。
【背景技术】
近年来,随着信息化浪潮进一步进入人们的生活,人们都通过电子化的方式处理各种个人事务,从而也需要电子化地对个人身份进行认证。但是,与日常生活不同,电子化的身份认证不能通过每次出示身份证地形式进行,而一般是通过输入用户名和密码的方式进行。
但是,大量的身份认证会造成用户体验下降,对于需要使用多种电子化服务,或者处理多种个人事务的人来说,反复的身份认证是一件很影响用户体验的事情。造成当前这种状况的主要原因是各个身份认证点都是独立运行,所以不得不进行单独的身份认证。因此当前亟需一种简单、方便、安全的身份认证方法、
【发明内容】
为了解决现有技术中的上述问题,本发明提出了一种多源身份认证方法。
本发明采用的技术方案如下:
一种多源身份认证方法,用于从多个身份认证点验证用户身份,该方法包括:
(1)用户客户端从每个正常进行身份认证的身份认证点获取认证信息;
(2)用户客户端基于存储的认证信息向新的身份认证点请求身份认证;
(3)所述新的身份认证点根据接收到的认证信息判断通过其累积的安全性是否达到了自身的要求;如果达到了,则直接通过该用户的身份认证,否则要求用户进行正常的身份认证。
进一步地,所述身份认证点包括银行,电子邮箱,网上论坛和社交网络。
本发明的有益效果包括:提高网络身份认证的便利性和安全性。
【附图说明】
此处所说明的附图是用来提供对本发明的进一步理解,构成本申请的一部分,但并不构成对本发明的不当限定,在附图中:
图1是本发明方法的基本流程图。
【具体实施方式】
下面将结合附图以及具体实施例来详细说明本发明,其中的示意性实施例以及说明仅用来解释本发明,但并不作为对本发明的限定。
本发明方法所应用的系统结构包括用户所使用的客户端,以及客户端通过互联网连接的各种类型的身份认证点,包括但不限于银行、网络论坛、电子邮箱、社交网络等等需要身份认证的网络站点,这些身份认证点都需要用户输入用户名、密码进行身份认证,才能允许客户端访问网站内部的内容。
实际上,在现实应用中,每个身份认证点本身的安全性是不同的。例如,通常而言,银行的安全性极高,电子邮箱的安全性也比较高,但可能不及银行,网络论坛的安全性就相对较低。因而本发明将使用的各个身份认证点按照其安全性分级。根据本发明的一个实施例,将身份认证点的安全等级分为5级,安全性从1级到5级依次增高,安全高的银行可以设为5级,电子邮箱为4级,网络论坛可以根据网站架构和管理程度设为1-3级。
本发明给每个身份认证点各颁发一个数字证书,数字证书中包括了身份认证点的标识符WebID和安全等级SLevel,以作为数字证书中的两个字段。基于该数字证书,每个身份认证点也具有了其相应的公钥和私钥。具体的数字证书技术和颁发方法已经是本领域中公知的技术,本发明不再赘述。
在本发明中,用户在所有身份认证点需要使用同一个用户名进行认证,但是密码可以是不同的。基于密码的复杂性,本发明将密码按照其复杂程度分级,即密码复杂度分级。根据本发明的一个实施例,密码复杂度也分为5级,复杂度从1级到5级依次增高。具体的复杂度计算方式如下:
(1)如果密码的长度(即密码中的字符数量)小于等6,则该密码的复杂度为1;否则按照下述方式计算复杂度;
(2)如果密码中只有数字,或只有字母,则该密码的复杂度为2;
(3)如果密码中包括了数字和字母,但没有其他类型字符,并且字母都是小写或都是大写,则该密码的复杂度为3;
(4)如果密码中包括了数字和字母,但没有其他类型字符,并且既有大写字母,又有小写字母,则该密码的复杂度为4;
(5)如果密码中包括了数字、字母和其他类型字符,则该密码的复杂度为5。
以上所述只是一种示例性的分级方法,本领域技术人员可以采用别的密码复杂度分级方法,本发明对此不作限制。
下面对本发明的方法做出详细说明:
首先需要说明的是,以下方法中,客户端和各身份认证点之间的通信都是在安全信道中进行的,例如通过https协议。
在初始状态下,即用户还没有在任何身份认证点进行认证时,用户正常使用用户名、密码方式在任意一个身份认证点Web1进行认证,在身份认证成功后,所述身份认证点Web1为该用户生成一个认证信息Login,该认证信息由所述身份认证点发送到客户端,客户端保存该认证信息。
所述认证信息是以下五元组,即:
Login={WebID,username,Time,PLevel,Sig}
其中,WebID是该身份认证点Web1的标识符,username是认证的用户名,Time是在Web1认证的时间,PLevel是在Web1认证所使用的密码的复杂度,Sig是身份认证点Web1使用其私钥对四元组{WebID,username,Time,PLevel}所做的数字签名。
在首次身份认证之后,用户如果需要在另一个身份认证点W认证,客户端首先检查其拥有的所有认证信息,根据每个认证信息中的时间值,去除掉过期的认证信息。可以预先设置一个过期的时间阈值,计算当前时间和认证信息中的认证时间的时间差,如果该时间差大于该时间阈值,就认为该认证信息已过期。
在去除了过期认证信息后,假设剩余了n个有效认证信息,记为L1,L2,……,Ln,Li={WebIDi,username,Timei,PLeveli,Sigi},其中,WebIDi是Li所属身份认证点的标识符,Timei是用户在Li所属身份认证点的认证时间,PLeveli是用户在Li所属身份认证点的认证密码的复杂度,Sigi是Li所属身份认证点对四元组{{WebIDi,username,Timei,PLeveli}所做的数字签名。
客户端将剩余的n个有效认证信息发送给需要认证的身份认证点W,该身份认证点W首先对接收的有效认证信息再次做一遍检查,以确认其都没有过期,去除过期的认证信息。
然后,该身份认证点W根据各个有效认证信息里的身份认证点标识符WebIDi获取相应身份认证点的数字证书,使用这些数字证书对各个有效认证信息里的数字签名进行验证,去除签名验证不通过的认证信息。
经过上述两个去除步骤,剩下了k个有效认证信息,假设为L1,L2,……,Lk,该身份认证点W从WebIDi所对应的数字证书中获取其相应的身份认证点安全等级SLeveli,1≤i≤k,则该身份认证点W使用该k个有效认证信息计算一个认证值P,即:
该身份认证点W判断P≥PLevelmax×SLevelW是否成立,其中PLevelmax是密码复杂度的最大可能值,以前述实施例而言,PLevelmax=5;SLevelW是该身份认证点W自身的安全等级。
如果上述不等式成立,则该身份认证点W直接接受该用户的身份认证,即通过该用户以用户名username的身份认证。如果上述不等式成立,则该身份认证点W要求该用户通过输入用户名、密码进行正常的身份认证,并在正常认证后生成相应的认证信息发送给该客户端。
通过本发明的上述方法,用户在每次使用用户名、密码在身份认证点进行认证后,都能获得一定量的认证值,每个身份认证点都是一个认证值的来源,当从多个源获取累积的认证值足够时,就可以直接使用其他任意身份认证点,从而方便了用户的身份认证,并且无需设置一个单独的身份认证点,提高了系统整体的安全性。
以上所述仅是本发明的较佳实施方式,故凡依本发明专利申请范围所述的构造、特征及原理所做的等效变化或修饰,均包括于本发明专利申请范围内。
Claims (3)
1.一种多源身份认证方法,用于从多个身份认证点验证用户身份,所述方法应用的系统结构包括用户所使用的客户端,以及客户端通过互联网连接的各种类型的身份认证点,包括但不限于银行、电子邮箱、社交网络需要身份认证的网络站点,这些身份认证点都需要用户输入用户名、密码进行身份认证,才能允许客户端访问网站内部的内容;
所述身份认证点的安全等级分为5级,安全性从1级到5级依次增高,安全高的银行设为5级,电子邮箱为4级,网络论坛根据网站架构和管理程度设为1-3级;
所述多源身份认证方法给每个身份认证点各颁发一个数字证书,数字证书将包括的身份认证点的标识符WebID和安全等级SLevel作为数字证书中的两个字段,基于所述数字证书,每个身份认证点也具有了其相应的公钥和私钥;
用户在所有身份认证点使用同一个用户名以及不同的密码进行认证;所述多源身份认证方法将密码按照其复杂程度分为从1级到5级依次增高的五个级别;
其特征在于,所述方法包括:
步骤1 所述密码复杂度计算方式如下:
步骤1.1 如果密码中的字符数量小于等于6,则所述密码的复杂度为1;否则按照下述方式计算复杂度;
步骤1.2 如果密码中只有数字,或只有字母,则所述密码的复杂度为2;
步骤1.3 如果密码中包括了数字和字母,但没有其他类型字符,并且字母都是小写或都是大写,则所述密码的复杂度为3;
步骤1.4 如果密码中包括了数字和字母,但没有其他类型字符,并且既有大写字母,又有小写字母,则所述密码的复杂度为4;
步骤1.5 如果密码中包括了数字、字母和其他类型字符,则所述密码的复杂度为5;
步骤2 用户客户端从每个正常进行身份认证的身份认证点获取认证信息,客户端和各身份认证点之间的通信都是在通过https协议的安全信道中进行;
在初始状态下,即用户还没有在任何身份认证点进行认证时,用户正常使用用户名、密码方式在任意一个身份认证点Web1进行认证,在身份认证成功后,所述身份认证点Web1为用户生成一个认证信息Login,所述认证信息由所述身份认证点发送到客户端,客户端保存所述认证信息;
步骤3 用户客户端基于存储的认证信息向新的身份认证点请求身份认证;
所述认证信息是以下五元组:
Login={WebID,username,Time,PLevel,Sig}
其中,WebID是所述身份认证点Web1的标识符,username是认证的用户名,Time是在Web1认证的时间,PLevel是在Web1认证所使用的密码的复杂度,Sig是身份认证点Web1使用其私钥对四元组{WebID,username,Time,PLevel}所做的数字签名;
在首次身份认证之后,用户如果需要在另一个身份认证点W认证,客户端首先检查其拥有的所有认证信息,根据每个认证信息中的时间值,去除掉过期的认证信息;可以预先设置一个过期的时间阈值,计算当前时间和认证信息中的认证时间的时间差,如果所述时间差大于预先设定的时间阈值,就认为所述认证信息已过期;
去除过期认证信息后剩余的n个有效认证信息记为L1,L2,……,Ln,Li={WebIDi,username,Timei,PLeveli,Sigi},其中,WebIDi是Li所属身份认证点的标识符,Timei是用户在Li所属身份认证点的认证时间,PLeveli是用户在Li所属身份认证点的认证密码的复杂度,Sigi是Li所属身份认证点对四元组{WebIDi,username,Timei,PLeveli}所做的数字签名;
客户端将剩余的n个有效认证信息发送给需要认证的身份认证点W,所述身份认证点W首先对接收的有效认证信息再次做一遍检查,以确认其都没有过期,去除过期的认证信息;
然后,所述身份认证点W根据各个有效认证信息里的身份认证点标识符WebIDi获取相应身份认证点的数字证书,使用这些数字证书对各个有效认证信息里的数字签名进行验证,去除签名验证不通过的认证信息;
经过上述两个去除步骤后剩下的k个有效认证信息为L1,L2……Lk,所述身份认证点W从WebIDi所对应的数字证书中获取其相应的身份认证点安全等级SLeveli,1≤i≤k,则所述身份认证点W使用k个有效认证信息计算一个认证值P
所述身份认证点W判断P≥PLevelmax×SLevelW是否成立,其中PLevelmax是密码复杂度的最大可能值,PLevelmax=5;SLevelW是所述身份认证点W自身的安全等级;
如果上述不等式成立,则所述身份认证点W直接接受用户以用户名为username的身份认证的身份认证;如果上述不等式不成立,则所述身份认证点W要求用户通过输入用户名、密码进行正常的身份认证,并在正常认证后生成相应的认证信息发送给客户端;
步骤4 所述身份认证点W根据接收到的认证信息判断通过其累积的安全性是否达到了自身的要求;如果达到了,则直接通过用户的身份认证,否则要求用户进行正常的身份认证。
2.根据权利要求1所述的多源身份认证方法,其特征在于,所述身份认证点包括银行。
3.根据权利要求1所述的多源身份认证方法,其特征在于,所述身份认证点包括电子邮箱。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611207619.5A CN108243145B (zh) | 2016-12-23 | 2016-12-23 | 一种多源身份认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611207619.5A CN108243145B (zh) | 2016-12-23 | 2016-12-23 | 一种多源身份认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108243145A CN108243145A (zh) | 2018-07-03 |
CN108243145B true CN108243145B (zh) | 2019-04-26 |
Family
ID=62703577
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611207619.5A Active CN108243145B (zh) | 2016-12-23 | 2016-12-23 | 一种多源身份认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108243145B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109831435B (zh) * | 2019-01-31 | 2021-06-01 | 广州银云信息科技有限公司 | 一种数据库操作方法、系统及代理服务器和存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101388774A (zh) * | 2008-10-24 | 2009-03-18 | 焦点科技股份有限公司 | 一种在不同系统间自动认证识别用户身份并且登录的方法 |
CN101888297A (zh) * | 2010-07-16 | 2010-11-17 | 浙江省人大常委会办公厅信息中心 | 一种基于信任的跨域认证方法 |
CN102904885A (zh) * | 2012-09-26 | 2013-01-30 | 北京工业大学 | 多身份认证信息特征复合认证方法 |
CN105592014A (zh) * | 2014-10-24 | 2016-05-18 | 阿里巴巴集团控股有限公司 | 一种可信终端验证方法、装置 |
CN106202452A (zh) * | 2016-07-15 | 2016-12-07 | 复旦大学 | 大数据平台的统一数据资源管理系统与方法 |
-
2016
- 2016-12-23 CN CN201611207619.5A patent/CN108243145B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101388774A (zh) * | 2008-10-24 | 2009-03-18 | 焦点科技股份有限公司 | 一种在不同系统间自动认证识别用户身份并且登录的方法 |
CN101888297A (zh) * | 2010-07-16 | 2010-11-17 | 浙江省人大常委会办公厅信息中心 | 一种基于信任的跨域认证方法 |
CN102904885A (zh) * | 2012-09-26 | 2013-01-30 | 北京工业大学 | 多身份认证信息特征复合认证方法 |
CN105592014A (zh) * | 2014-10-24 | 2016-05-18 | 阿里巴巴集团控股有限公司 | 一种可信终端验证方法、装置 |
CN106202452A (zh) * | 2016-07-15 | 2016-12-07 | 复旦大学 | 大数据平台的统一数据资源管理系统与方法 |
Also Published As
Publication number | Publication date |
---|---|
CN108243145A (zh) | 2018-07-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3574625B1 (de) | Verfahren zum durchführen einer authentifizierung | |
US10652282B2 (en) | Brokered authentication with risk sharing | |
CN105429760B (zh) | 一种基于tee的数字证书的身份验证方法及系统 | |
CN108989278A (zh) | 认证服务系统及方法 | |
US8091120B2 (en) | Adaptive authentication methods, systems, devices, and computer program products | |
US10367797B2 (en) | Methods, systems, and media for authenticating users using multiple services | |
US7770207B2 (en) | System, apparatus, program, and method for authentication | |
US8438617B2 (en) | User authentication based on voucher codes | |
CN109815010A (zh) | 一种云平台统一身份认证方法及系统 | |
US20040010697A1 (en) | Biometric authentication system and method | |
US20170147600A1 (en) | Techniques for securely sharing files from a cloud storage | |
CN109863490A (zh) | 生成包括保证分数的认证断言 | |
CN103368954B (zh) | 一种基于口令和生物特征的智能卡注册登录方法 | |
CN106453422B (zh) | 一种基于移动终端动态认证方法及系统 | |
Oh et al. | The security limitations of sso in openid | |
CN109067785A (zh) | 集群认证方法、装置 | |
CN107634834A (zh) | 一种基于多终端多场景的可信身份认证方法 | |
CN109495486A (zh) | 一种基于JWT的单页Web应用集成CAS的方法 | |
US9754209B1 (en) | Managing knowledge-based authentication systems | |
CN108243145B (zh) | 一种多源身份认证方法 | |
CN109862006A (zh) | 一种区块链系统接入方法、装置及系统 | |
CN106603547B (zh) | 一种统一登录方法 | |
CN109981277A (zh) | 一种对USBKey进行自动安全认证的方法及系统 | |
EP3767513B1 (de) | Verfahren zur sicheren durchführung einer fernsignatur sowie sicherheitssystem | |
TW201626281A (zh) | 資訊系統認證之方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: 101399 No. 2 East Airport Road, Shunyi Airport Economic Core Area, Beijing (1st, 5th and 7th floors of Industrial Park 1A-4) Applicant after: Zhongke Star Map Co., Ltd. Address before: 101399 Building 1A-4, National Geographic Information Technology Industrial Park, Guomen Business District, Shunyi District, Beijing Applicant before: Space Star Technology (Beijing) Co., Ltd. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |