CN108769029A - 一种对应用系统鉴权认证装置、方法及系统 - Google Patents
一种对应用系统鉴权认证装置、方法及系统 Download PDFInfo
- Publication number
- CN108769029A CN108769029A CN201810550820.6A CN201810550820A CN108769029A CN 108769029 A CN108769029 A CN 108769029A CN 201810550820 A CN201810550820 A CN 201810550820A CN 108769029 A CN108769029 A CN 108769029A
- Authority
- CN
- China
- Prior art keywords
- consumer
- password
- authentication
- transaction
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
Abstract
本发明公开了一种对应用系统的鉴权认证装置、方法及系统,该鉴权认证装置应用在企业分布式互联场景下的服务提供方应用系统与服务消费方应用系统,由授权中心为提供方和消费方提供并存储统一的应用标识,而提供方和消费方拥有独立的认证模块,消费方的认证模块能够验证应用系统标识和口令的合法性,提供方的认证模块能够验证所调用服务的消费方是否被授权访问。通过将鉴权认证分散在服务的提供方和消费方两端,既增强了企业级认证服务的稳定性也提供了企业级统一的安全鉴权认证方法,实现了在分布式互联场景中基于应用维度的信息鉴权认证的高可用性,并在源头上进行了安全控制,大幅提升了应用间互联访问的安全性。
Description
技术领域
本发明涉及安全认证技术领域,特别是涉及分布式场景下的应用系统的鉴权认证装置、方法及系统。
背景技术
在企业级架构中,存在着大量的应用系统,在各个应用系统间需要相关关联调用。企业内部可能成千上万个交易系统,每个交易系统由提供众多的交易接口供其他应用关联调用。由于大多数的交易系统主要面向企业内部提供服务,起初并未考虑访问权限等安全问题,这些内部系统提供的接口却是很重要的,如果获取到了该接口的调用方式、服务地址就可以被任意调用,对企业内部是非常危险的。因此,在企业内部系统之间提供一种安全可靠的安全机制变得尤为重要。
基于上述原因,很多企业建立了企业服务总线进行消费治理与访问鉴权控制,这种集中式认证需要每次对应用的身份进行校验。随着高可用性的要求,对于分布式的应用互联的场景要求不断增加,集中式认证将面临集中点的压力大、可靠性差和安全认证能力弱等问题,因此,在分布式互联访问的场景中,现有的集中式认证方法已经无法满足接口管控、鉴权认证的复杂性。
发明内容
针对于上述问题,本发明提供一种对应用系统鉴权认证装置、方法及系统,实现满足了在分布式互联场景中信息的鉴权认证的安全性和高可用性。
为了实现上述目的,本发明提供了如下技术方案:
一种对应用系统的鉴权认证装置,应用于服务消费方,包括:消费方调用模块、消费方认证模块,其中,
所述消费方调用模块,用于接收授权中心分配的服务消费方应用的身份认证信息,并将消费方认证信息发送至所述消费方认证模块,其中,所述消费方认证信息包括应用标识和应用口令;
所述消费方认证模块,用于将获得的应用口令,通过摘要生成认证口令,并将所述认证口令和所述应用标识发送至授权中心,若所述授权中心对所述认证口令验证成功,则接收所述授权中心返回的挑战值和访问控制列表;
所述消费方认证模块,还用于在交易调用时,接收服务消费方所需的调用的交易信息,对所述调用的交易信息根据所述访问控制列表进行权限验证,若验证为有权访问则生成调用认证请求信息,并将所述调用认证请求信息随交易报文发送至服务提供方。
可选地,所述消费方认证模块包括:
第一接收单元,用于接收服务消费方所需的调用的交易信息,其中,所述调用的交易信息包括应用标识、应用口令、交易码和交易报文;
第一验证单元,用于将所述应用标识和所述认证口令发送至所述授权中心,若所述授权中心对所述应用标识和所述认证口令验证成功,则根据授权中心返回的挑战值生成访问口令,并将所述访问口令、所述交易码和所述应用标识生成交易口令和全局不重复的唯一标识;
加密单元,用于根据所述访问口令和所述全局不重复唯一标识对所述交易报文进行加密,生成加密报文;
签名单元,用于根据所述访问口令和所述全局不重复唯一标识对所述交易报文进行报文软签名,生成签名戳;
发送单元,用于将所述应用标识、所述全局不重复唯一标识、所述签名戳、所述交易码、所述交易口令和所述加密报文发送至服务提供方;
高可用单元,用于响应所述授权中心不可用时,通过离线文件与数据缓存方式将消费方授权信息进行离线分发与缓存。
一种对应用系统的鉴权认证装置,应用于服务提供方,包括:提供方接受模块和提供方认证模块,其中,
所述提供方接受模块,用于接收授权中心分配的提供方身份认证信息,并将所述提供方身份认证信息发送至所述提供方认证模块,其中,所述提供方身份认证信息包括应用标识和应用口令;
所述提供方认证模块,用于对所述应用标识和所述应用口令进行身份验证生成授权口令,并将所述授权口令发送至所述授权中心,接收所述授权中心返回的访问控制列表;
所述提供方认证模块,还用于在服务消费方交易调用时,对消费方发送的调用请求信息进行鉴权,若鉴权成功则对服务消费方发送的交易报文进行解密获得解密交易报文。
可选地,所述提供方认证模块包括:
第二接收单元,用于接收所述服务消费方发送的调用请求信息,其中,所述调用请求信息包括消费方的应用标识、全局不重复唯一标识、签名摘要戳、交易码、所述交易口令和加密报文;
第二验证单元,用于在向授权中心获取该服务消费方授权访问的应用标识列表、访问交易标识列表、应用访问口令与交易口令列表后,对服务消费方发送的应用标识与交易口令进行身份验证;
签名匹配单元,用于若身份验证成功,根据所述消费方的全局不重复唯一标识和应用访问口令,对所述消费方发送的签名摘要戳进行验证;
解密单元,用于若对所述访问口令验证成功且所述签名摘要戳匹配成功,根据所述服务消费方的全局不重复唯一标识和应用访问口令,对所述服务消费方发送的加密密文进行解密,得到交易报文;
响应单元,用于采用所述服务消费方的应用访问口令和全局不重复唯一标识进行响应报文的签名与加密,其中,进行签名和加密后响应报文通过所述服务方接受模块返回至所述服务消费方。
一种对应用系统的鉴权认证方法,应用于服务消费方,包括:
接收授权中心分配的服务消费方应用的身份认证信息,并将消费方认证信息发送至所述消费方认证模块,其中,所述消费方认证信息包括应用标识和应用口令;
将获得的应用口令,通过摘要生成认证口令,并将所述认证口令和所述应用标识发送至授权中心,若所述授权中心对所述认证口令验证成功,则接收所述授权中心返回的挑战值和访问控制列表;
在交易调用时,接收服务消费方所需的调用的交易信息,对所述调用的交易信息根据所述访问控制列表进行权限验证,若验证为有权访问则生成调用认证请求信息,并将所述调用认证请求信息随交易报文发送至服务提供方。
可选地,所述交易调用时,接收服务消费方所需的调用的交易信息,对所述调用的交易信息根据所述访问控制列表进行权限验证,若验证为有权访问则生成调用认证请求信息,并将所述调用认证请求信息随交易报文发送至服务提供方,包括:
接收服务消费方所需的调用的交易信息,其中,所述调用的交易信息包括应用标识、应用口令、交易码和交易报文;
将所述应用标识和所述认证口令发送至所述授权中心,若所述授权中心对所述应用标识和所述认证口令验证成功,则根据授权中心返回的挑战值生成访问口令,并将所述访问口令、所述交易码和所述应用标识生成交易口令和全局不重复的唯一标识;
根据所述访问口令和所述全局不重复唯一标识对所述交易报文进行加密,生成加密报文;
根据所述访问口令和所述全局不重复唯一标识对所述交易报文进行报文软签名,生成签名戳;
将所述应用标识、所述全局不重复唯一标识、所述签名戳、所述交易码、所述交易口令和所述加密报文发送至服务提供方;
响应所述授权中心不可用时,通过离线文件与数据缓存方式将消费方授权信息进行离线分发与缓存。
一种对应用系统的鉴权认证方法,应用于服务提供方,包括:
接收授权中心分配的提供方身份认证信息,并将所述提供方身份认证信息发送至所述提供方认证模块,其中,所述提供方身份认证信息包括应用标识和应用口令;
对所述应用标识和所述应用口令进行身份验证生成授权口令,并将所述授权口令发送至所述授权中心,接收所述授权中心返回的访问控制列表;
在服务消费方交易调用时,对消费方发送的调用请求信息进行鉴权,若鉴权成功则对服务消费方发送的交易报文进行解密获得解密交易报文。
可选地,所述在服务消费方交易调用时,对消费方发送的调用请求信息进行鉴权,若鉴权成功则对服务消费方发送的交易报文进行解密获得解密交易报文,包括:
接收所述服务消费方发送的调用请求信息,其中,所述调用请求信息包括消费方的应用标识、全局不重复唯一标识、签名摘要戳、交易码、所述交易口令和加密报文;
在向授权中心获取该服务消费方授权访问的应用标识列表、访问交易标识列表、应用访问口令与交易口令列表后,对服务消费方发送的应用标识与交易口令进行身份验证;
若身份验证成功,根据所述消费方的全局不重复唯一标识和应用访问口令,对所述消费方发送的签名摘要戳进行验证;
若对所述访问口令验证成功且所述签名摘要戳匹配成功,根据所述服务消费方的全局不重复唯一标识和应用访问口令,对所述服务消费方发送的加密密文进行解密,得到交易报文;
采用所述服务消费方的应用访问口令和全局不重复唯一标识进行响应报文的签名与加密,其中,进行签名和加密后响应报文通过所述服务方接受模块返回至所述服务消费方。
一种鉴权认证系统,其特征在于,包括:授权中心、服务消费方装置和服务提供方装置,其中,
所述授权中心,用于为服务消费方和服务提供方分配应用标识和应用口令,并在所述服务消费方与所述服务提供方在初始化时进行权限认证,还用于为所述服务消费方与所述服务提供方提供离线缓存同步机制;
所述服务消费方装置包括如上述任意一项所述的鉴权认证装置,所述服务提供方装置包括如上述任意一项所述的鉴权认证装置。
相较于现有技术,本发明提供了一种对应用系统的鉴权认证装置、方法及系统,由授权中心为提供方和消费方提供并存储统一的应用标识,而提供方和消费方拥有独立的认证模块,消费方的认证模块能够验证应用系统标识和口令的合法性,提供方的认证模块能够验证所调用服务的消费方是否被授权访问。通过将鉴权认证分散在服务的提供方和消费方两端,既增强了企业级认证服务的稳定性也提供了企业级统一的安全鉴权认证方法,实现了在分布式互联场景中基于应用维度的信息鉴权认证的高可用性,并在源头上进行了安全控制,大幅提升了应用间互联访问的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种对应用系统的鉴权认证系统的结构示意图;
图2为本发明实施例提供的一种对应用系统的鉴权认证装置的结构示意图;
图3为本发明实施例提供的一种服务消费方初始化的示意图;
图4为本发明实施例提供的一种交易调用时服务消费验证的示意图;
图5为本发明实施例提供的另一种对应用系统的鉴权认证装置的结构示意图;
图6为本发明实施例提供的一种服务提供方初始化的示意图;
图7为本发明实施例提供的一种交易调用时服务提供方验证的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”和“第二”等是用于区别不同的对象,而不是用于描述特定的顺序。此外术语“包括”和“具有”以及他们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有设定于已列出的步骤或单元,而是可包括没有列出的步骤或单元。
在本发明中提供的技术方案主要是应用于分布式互联场景下的应用系统的相关鉴权认证方法,对应的,参见图1,为本发明实施例提供的一种对应用系统的鉴权认证系统,包括了授权中心、服务消费方装置和服务提供方装置。
需要说明的是,服务消费方装置即为本发明实施例提供的对应的鉴权认证装置,而该鉴权认证装置必不可少的是消费方认证模块,因此,消费方调用模块可作为非必须模块耦合在该鉴权认证装置中。在本发明实施例中会描述对应的该消费方调用模块耦合在鉴权认证装置中,同时,若其没有耦合在鉴权认证装置中,其作用可以视为提供认证信息以及与消费方接受模块之间的信息传递。
具体的,授权中心支持多点部署。授权中心用于为服务提供方、服务消费方提供并存储统一的应用标识,提供但不直接存储应用口令,管理并存储应用消费方与服务提供方所提供接口的订阅关系,为分布式服务提供方、服务消费方认证模块提供起应用的权限数据同步功能。
为服务消费方提供与其系统共同部署的分布式客户端认证签名单元,该单元用于配合其他单元在服务消费方进行权限验证,能够验证应用系统标识与口令的合法性,提供报文加密与软签名功能。
为服务提供方提供与其系统共同部署的分布式服务端认证单元,该单元用于配合其他单元进行服务端的权限验证。能够验证服务提供方是否授权访问该系统所提供的接口,验证通信过程中数据的完整性、不可否认性、为服务提供方提供加密数据解密的实现。
本发明实施例提供了一种鉴权认证装置,参见图2,包括:
消费方调用模块10和消费方认证模块11,其中,
消费方模块10,用于接收授权中心分配的服务消费方应用的身份认证信息,并将消费方认证信息发送至所述消费方认证模块,其中,所述消费方认证信息包括应用标识和应用口令;
消费方认证模块11,用于将获得的应用口令,通过摘要生成认证口令,并将所述认证口令和所述应用标识发送至授权中心,若所述授权中心对所述认证口令验证成功,则接收所述授权中心返回的挑战值和访问控制列表;
消费方认证模块11,还用于在交易调用时,接收服务消费方所需的调用的交易信息,对所述调用的交易信息根据所述访问控制列表进行权限验证,若验证为有权访问则生成调用认证请求信息,并将所述调用认证请求信息随交易报文发送至服务提供方。
其中,消费认证模块11包括:
第一接收单元,用于接收服务消费方所需的调用的交易信息,其中,所述调用的交易信息包括应用标识、应用口令、交易码和交易报文;
第一验证单元,用于将所述应用标识和所述认证口令发送至所述授权中心,若所述授权中心对所述应用标识和所述认证口令验证成功,则根据授权中心返回的挑战值生成访问口令,并将所述访问口令、所述交易码和所述应用标识生成交易口令和全局不重复的唯一标识;
加密单元,用于根据所述访问口令和所述全局不重复唯一标识对所述交易报文进行加密,生成加密报文;
签名单元,用于根据所述访问口令和所述全局不重复唯一标识对所述交易报文进行报文软签名,生成签名戳;
发送单元,用于将所述应用标识、所述全局不重复唯一标识、所述签名戳、所述交易码、所述交易口令和所述加密报文发送至服务提供方;
高可用单元,用于响应所述授权中心不可用时,通过离线文件与数据缓存方式将消费方授权信息进行离线分发与缓存。
为了便于对本方案进行说明,在下表中记载了本发明实施例中的主要应用词语。
参见图3,首先对服务消费方进行验证授权初始化,包括以下步骤:
S10、由授权中心分配消费方身份认证信息,该身份认证信息包括:AppId和AppToken,其中,AppId为公开信息,AppToken为一次性随机生成的标识用户身份的口令信息。
S11、消费方调用模块使用自己的AppId与AppToken传入消费方认证模块进行认证初始化。
S12、消费方认证模块在获取应用传入的AppToken后经过与内置的随机码进行哈希计算生成一个AccessToken与应用传入的AppId一起经HTTPS的方式上送到授权中心进行验证。
S13、在授权中心验证口令正确后,返回一个挑战值(challenge值)与访问控制列表,进行客户端的内部验证。
授权中心为集中统一的权限分配装置,为了增加稳定性、安全性,如果授权中心发生故障或网络中断,授权中心提供了离线数据文件(加密传输)的方式,可以提供返回的challenge值域访问控制列表数据供消费方模块载入使用。
在进行初始化后要进行消费方的内部验证,参见图4,还包括:
S14、服务消费方在交易调用时传入消费方应用标识、应用口令、交易码和交易报文给消费方认证装置。
S15、消费方认证装置根据上送请求进行本体权限验证,如果消费方认证通过,返回相应的验证结果、并附带签名戳、统一请求值,如果鉴权验证失败则返回相应的错误信息。
S16、消费方将请求发送服务方。消费方发送请求时携带自身的AppId、UniqueId、UniqueSign、TrCode、TrToken、加密报文,用于服务端进行授权、验证、解密。
消费方认证装置会首先验证应用口令是否与初始化中授权中心验证的授权口令一致,根据初始化时授权中心返回的质询串与应用口令相连后进行摘要计算生成访问口令,其中,在进行摘要计算时客户端和服务端采用统一的摘要算法,例如,SHA-256。
消费方认证模块会使用访问口令与调用的交易码和自身的应用标识生成交易口令,供交易通信中进行授权验证。
消费方认证模块同时还会产生一个全局不重复的UniqueId,UniqueId防止重放攻击。使用AccessToken+UniqueId作为密钥对请求数据进行加密与软签名生成UniqueSign。
消费方认证模块根据上送请求进行本地的权限验证,如果消费方认证通过,返回相应的验证结果、并附带签名戳、全局统一标识,如果鉴权验证失败则返回相应的错误信息。
消费方模块将请求发送至服务端,发送请求时携带自身的AppId、UniqueId、UniqueSign、TrCode、TrToken、加密报文,用于服务端进行授权、验证、解密。
在本发明的实施例中还提供了另一种对应用系统的鉴权认证装置,应用服务提供方,参见图5,包括:
提供方接受模块20和提供方认证模块21,其中,
提供方接受模块20,用于接收授权中心分配的提供方身份认证信息,并将提供方身份认证信息发送至提供方认证模块,其中,提供方身份认证信息包括应用标识和应用口令;
提供方认证模块21,用于对所述应用标识和所述应用口令进行身份验证生成授权口令,并将所述授权口令发送至所述授权中心,接收所述授权中心返回的访问控制列表;
提供方认证模块21,还用于在服务消费方交易调用时,对消费方发送的调用请求信息进行鉴权,若鉴权成功则对服务消费方发送的交易报文进行解密获得解密交易报文。
可选地,提供方认证模块21包括:
第二接收单元,用于接收所述服务消费方发送的调用请求信息,其中,所述调用请求信息包括消费方的应用标识、全局不重复唯一标识、签名摘要戳、交易码、所述交易口令和加密报文;
第二验证单元,用于在向授权中心获取该服务消费方授权访问的应用标识列表、访问交易标识列表、应用访问口令与交易口令列表后,对服务消费方发送的应用标识与交易口令进行身份验证;
签名匹配单元,用于若身份验证成功,根据所述消费方的全局不重复唯一标识和应用访问口令,对所述消费方发送的签名摘要戳进行验证;
解密单元,用于若对所述访问口令验证成功且所述签名摘要戳匹配成功,根据所述服务消费方的全局不重复唯一标识和应用访问口令,对所述服务消费方发送的加密密文进行解密,得到交易报文;
响应单元,用于采用所述服务消费方的应用访问口令和全局不重复唯一标识进行响应报文的签名与加密,其中,进行签名和加密后响应报文通过所述服务方接受模块返回至所述服务消费方。
参见图6,首先对服务端进行初始化。提供方模块由授权中心分配身份认证信息,包括提供方的AppId和AppToken;
S20、提供方接受模块将AppId和AppToken传入到提供方认证模块,进行身份认证,生成验证所需的授权口令进行传输。
S21:提供方将AppId、AppToken传入提供方认证装置,进行身份认证;
S22:提供方认证装置生成验证所需的AuthToken进行传输校验。
然后进行验证授权与响应报文签名加密,参见图7,包括:
S30、提供方在获取到交易上送的信息后将自己的AppId和AppToken与消费方的上送报文信息传入提供方认证模块进行认证。
S31、提供方认证模块进行消费方身份认证、访问控制、验签和解密处理,具体包括:
服务提供方在获取到消费方上送的消费方的应用标识、交易口令后进行身份验证与访问控制。提供方提供多个交易,而不同的交易被多个消费方订阅,因此在服务方初始化过程中获取到了由订阅列表生成的交易口令散列列表。提供方在验证过程中只需在返回的交易散列列表中检测是否包含交易口令,如果包括,则身份与订阅关系认证通过。
交易传送的全局不重复唯一标识可由服务方验证是否重放攻击,该全局不重复唯一标识作为了签名摘要的一部分,因此全局不重复唯一标识可以供消费方进行重放性攻击检测,因全局不重复唯一标识需要存储对比,具体的存储时间长度由提供方根据重放检测间隔决定,因此全局不重复唯一标识的唯一性不在装置内部实现,重放检测交由提供方存储检测,提供方认证模块保证全局不重复唯一标识不被任意修改伪造来避免重放攻击。同时,签名验证保证了报文的完整性。
验证签名摘要有效后进行报文解密处理,解密完成后返回提供方进行交易处理。
S32、在交易处理完成后,服务方将自身的应用标识、应用口令与响应报文传入到提供方接受模块。
S33、提供方认证模块进行提供方的身份验证,在验证通过类似于消费方中的方式,生成UniqueId,使用消费方AccessToken、UniqueId进行响应报文的签名与加密。
S34、提供方将响应报文返回消费方,消费方使用自身AccessToken进行验签与解密。
S35、返回响应报文。
本发明提供了一种对应用系统的鉴权认证装置对应服务提供方和服务消费方,由授权中心为提供方和消费方提供并存储统一的应用标识,而提供方和消费方拥有独立的认证模块,消费方的认证模块能够验证应用系统标识和口令的合法性,提供方的认证模块能够验证所调用服务的消费方是否被授权访问。通过将鉴权认证分散在服务的提供方和消费方两端,既增强了企业级认证服务的稳定性也提供了企业级统一的安全鉴权认证方法,实现了在分布式互联场景中基于应用维度的信息鉴权认证的高可用性,并在源头上进行了安全控制,大幅提升了应用间互联访问的安全性。
对应的,在本发明实施例中还提供了一种对应用系统的鉴权认证方法,应用于服务消费方时,包括:
接收授权中心分配的服务消费方应用的身份认证信息,并将消费方认证信息发送至所述消费方认证模块,其中,所述消费方认证信息包括应用标识和应用口令;
将获得的应用口令,通过摘要生成认证口令,并将所述认证口令和所述应用标识发送至授权中心,若所述授权中心对所述认证口令验证成功,则接收所述授权中心返回的挑战值和访问控制列表;
在交易调用时,接收服务消费方所需的调用的交易信息,对所述调用的交易信息根据所述访问控制列表进行权限验证,若验证为有权访问则生成调用认证请求信息,并将所述调用认证请求信息随交易报文发送至服务提供方。
该方法应用于服务提供方时,包括:
接收授权中心分配的提供方身份认证信息,并将所述提供方身份认证信息发送至所述提供方认证模块,其中,所述提供方身份认证信息包括应用标识和应用口令;
对所述应用标识和所述应用口令进行身份验证生成授权口令,并将所述授权口令发送至所述授权中心,接收所述授权中心返回的访问控制列表;
在服务消费方交易调用时,对消费方发送的调用请求信息进行鉴权,若鉴权成功则对服务消费方发送的交易报文进行解密获得解密交易报文。
本发明实施例应用于分布式服务调用的场景下,将集中式授权分散在各个消费方与提供方,既增强了企业既增强了企业级服务的稳定性也将大量的请求压力分散在了两端,在源头上进行了安全控制。本装置方法在客户端、服务端双方隔离的统一企业级认证方式,简化了应用的开发难度,提高了安全性,加入了企业级的统一管理。具体的:
将验证方法集成在了消费方、提供方的装置中,应用系统只需在本地要调用装置提供的统一的接口即可快速接入使用。身份验证、权限控制、签名校验运算的处理过程基于散列实现,实现方式简单、高效。
在服务调用中,往往为了加强接口管控、访问控制能力,采用集中的认证处理中心,集中式的处理在亿级交易量的企业服务架构中突显出性能差、压力大、集中单点不稳定等问题。采用了分布式的架构,认证过程不依赖集中点,分布式处理认证和增强安全控制,更保障了系统的文档与可靠性。
在消费端、提供端进行双重认证,有效的防止了饶过请求方、饶过认证端的直接访问。在认证过程中,加入了应用身份、访问权限、完整性、不可否认性等安全级别的控制。能够有效的防止应用被中间人攻击。无论消费方或提供方的中间人,在交易传输过程获取、篡改授权口令、交易口令、Challenge、UniqueId等信息,中间人都无法破坏传输过程的完整性、机密性。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (9)
1.一种对应用系统的鉴权认证装置,其特征在于,应用于服务消费方,包括:消费方调用模块、消费方认证模块,其中,
所述消费方调用模块,用于接收授权中心分配的服务消费方应用的身份认证信息,并将消费方认证信息发送至所述消费方认证模块,其中,所述消费方认证信息包括应用标识和应用口令;
所述消费方认证模块,用于将获得的应用口令,通过摘要生成认证口令,并将所述认证口令和所述应用标识发送至授权中心,若所述授权中心对所述认证口令验证成功,则接收所述授权中心返回的挑战值和访问控制列表;
所述消费方认证模块,还用于在交易调用时,接收服务消费方所需的调用的交易信息,对所述调用的交易信息根据所述访问控制列表进行权限验证,若验证为有权访问则生成调用认证请求信息,并将所述调用认证请求信息随交易报文发送至服务提供方。
2.根据权利要求1所述的装置,其特征在于,所述消费方认证模块包括:
第一接收单元,用于接收服务消费方所需的调用的交易信息,其中,所述调用的交易信息包括应用标识、应用口令、交易码和交易报文;
第一验证单元,用于将所述应用标识和所述认证口令发送至所述授权中心,若所述授权中心对所述应用标识和所述认证口令验证成功,则根据授权中心返回的挑战值生成访问口令,并将所述访问口令、所述交易码和所述应用标识生成交易口令和全局不重复的唯一标识;
加密单元,用于根据所述访问口令和所述全局不重复唯一标识对所述交易报文进行加密,生成加密报文;
签名单元,用于根据所述访问口令和所述全局不重复唯一标识对所述交易报文进行报文软签名,生成签名戳;
发送单元,用于将所述应用标识、所述全局不重复唯一标识、所述签名戳、所述交易码、所述交易口令和所述加密报文发送至服务提供方;
高可用单元,用于响应所述授权中心不可用时,通过离线文件与数据缓存方式将消费方授权信息进行离线分发与缓存。
3.一种对应用系统的鉴权认证装置,其特征在于,应用于服务提供方,包括:提供方接受模块和提供方认证模块,其中,
所述提供方接受模块,用于接收授权中心分配的提供方身份认证信息,并将所述提供方身份认证信息发送至所述提供方认证模块,其中,所述提供方身份认证信息包括应用标识和应用口令;
所述提供方认证模块,用于对所述应用标识和所述应用口令进行身份验证生成授权口令,并将所述授权口令发送至所述授权中心,接收所述授权中心返回的访问控制列表;
所述提供方认证模块,还用于在服务消费方交易调用时,对消费方发送的调用请求信息进行鉴权,若鉴权成功则对服务消费方发送的交易报文进行解密获得解密交易报文。
4.根据权利要求3所述的装置,其特征在于,所述提供方认证模块包括:
第二接收单元,用于接收所述服务消费方发送的调用请求信息,其中,所述调用请求信息包括消费方的应用标识、全局不重复唯一标识、签名摘要戳、交易码、所述交易口令和加密报文;
第二验证单元,用于在向授权中心获取该服务消费方授权访问的应用标识列表、访问交易标识列表、应用访问口令与交易口令列表后,对服务消费方发送的应用标识与交易口令进行身份验证;
签名匹配单元,用于若身份验证成功,根据所述消费方的全局不重复唯一标识和应用访问口令,对所述消费方发送的签名摘要戳进行验证;
解密单元,用于若对所述访问口令验证成功且所述签名摘要戳匹配成功,根据所述服务消费方的全局不重复唯一标识和应用访问口令,对所述服务消费方发送的加密密文进行解密,得到交易报文;
响应单元,用于采用所述服务消费方的应用访问口令和全局不重复唯一标识进行响应报文的签名与加密,其中,进行签名和加密后响应报文通过所述服务方接受模块返回至所述服务消费方。
5.一种对应用系统的鉴权认证方法,其特征在于,应用于服务消费方,包括:
接收授权中心分配的服务消费方应用的身份认证信息,并将消费方认证信息发送至所述消费方认证模块,其中,所述消费方认证信息包括应用标识和应用口令;
将获得的应用口令,通过摘要生成认证口令,并将所述认证口令和所述应用标识发送至授权中心,若所述授权中心对所述认证口令验证成功,则接收所述授权中心返回的挑战值和访问控制列表;
在交易调用时,接收服务消费方所需的调用的交易信息,对所述调用的交易信息根据所述访问控制列表进行权限验证,若验证为有权访问则生成调用认证请求信息,并将所述调用认证请求信息随交易报文发送至服务提供方。
6.根据权利要求5所述的方法,其特征在于,所述交易调用时,接收服务消费方所需的调用的交易信息,对所述调用的交易信息根据所述访问控制列表进行权限验证,若验证为有权访问则生成调用认证请求信息,并将所述调用认证请求信息随交易报文发送至服务提供方,包括:
接收服务消费方所需的调用的交易信息,其中,所述调用的交易信息包括应用标识、应用口令、交易码和交易报文;
将所述应用标识和所述认证口令发送至所述授权中心,若所述授权中心对所述应用标识和所述认证口令验证成功,则根据授权中心返回的挑战值生成访问口令,并将所述访问口令、所述交易码和所述应用标识生成交易口令和全局不重复的唯一标识;
根据所述访问口令和所述全局不重复唯一标识对所述交易报文进行加密,生成加密报文;
根据所述访问口令和所述全局不重复唯一标识对所述交易报文进行报文软签名,生成签名戳;
将所述应用标识、所述全局不重复唯一标识、所述签名戳、所述交易码、所述交易口令和所述加密报文发送至服务提供方;
响应所述授权中心不可用时,通过离线文件与数据缓存方式将消费方授权信息进行离线分发与缓存。
7.一种对应用系统的鉴权认证方法,其特征在于,应用于服务提供方,包括:
接收授权中心分配的提供方身份认证信息,并将所述提供方身份认证信息发送至所述提供方认证模块,其中,所述提供方身份认证信息包括应用标识和应用口令;
对所述应用标识和所述应用口令进行身份验证生成授权口令,并将所述授权口令发送至所述授权中心,接收所述授权中心返回的访问控制列表;
在服务消费方交易调用时,对消费方发送的调用请求信息进行鉴权,若鉴权成功则对服务消费方发送的交易报文进行解密获得解密交易报文。
8.根据权利要求7所述的方法,其特征在于,所述在服务消费方交易调用时,对消费方发送的调用请求信息进行鉴权,若鉴权成功则对服务消费方发送的交易报文进行解密获得解密交易报文,包括:
接收所述服务消费方发送的调用请求信息,其中,所述调用请求信息包括消费方的应用标识、全局不重复唯一标识、签名摘要戳、交易码、所述交易口令和加密报文;
在向授权中心获取该服务消费方授权访问的应用标识列表、访问交易标识列表、应用访问口令与交易口令列表后,对服务消费方发送的应用标识与交易口令进行身份验证;
若身份验证成功,根据所述消费方的全局不重复唯一标识和应用访问口令,对所述消费方发送的签名摘要戳进行验证;
若对所述访问口令验证成功且所述签名摘要戳匹配成功,根据所述服务消费方的全局不重复唯一标识和应用访问口令,对所述服务消费方发送的加密密文进行解密,得到交易报文;
采用所述服务消费方的应用访问口令和全局不重复唯一标识进行响应报文的签名与加密,其中,进行签名和加密后响应报文通过所述服务方接受模块返回至所述服务消费方。
9.一种鉴权认证系统,其特征在于,包括:授权中心、服务消费方装置和服务提供方装置,其中,
所述授权中心,用于为服务消费方和服务提供方分配应用标识和应用口令,并在所述服务消费方与所述服务提供方在初始化时进行权限认证,还用于为所述服务消费方与所述服务提供方提供离线缓存同步机制;
所述服务消费方装置包括如权利要求1-2中任意一项所述的鉴权认证装置,所述服务提供方装置包括如权利要求3-4中任意一项所述的鉴权认证装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810550820.6A CN108769029B (zh) | 2018-05-31 | 2018-05-31 | 一种对应用系统鉴权认证装置、方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810550820.6A CN108769029B (zh) | 2018-05-31 | 2018-05-31 | 一种对应用系统鉴权认证装置、方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108769029A true CN108769029A (zh) | 2018-11-06 |
| CN108769029B CN108769029B (zh) | 2021-03-19 |
Family
ID=64001543
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810550820.6A Active CN108769029B (zh) | 2018-05-31 | 2018-05-31 | 一种对应用系统鉴权认证装置、方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108769029B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111800417A (zh) * | 2020-07-06 | 2020-10-20 | 中电万维信息技术有限责任公司 | 基于esb的统一身份认证方法 |
| CN111835692A (zh) * | 2019-04-22 | 2020-10-27 | 中国信息通信研究院 | 一种信息分发管理系统和方法 |
| WO2020215709A1 (zh) * | 2019-04-25 | 2020-10-29 | 平安科技(深圳)有限公司 | 身份认证方法、系统、计算机设备及存储介质 |
| CN111988418A (zh) * | 2020-08-28 | 2020-11-24 | 平安国际智慧城市科技股份有限公司 | 数据处理方法、装置、设备及计算机可读存储介质 |
| CN115208668A (zh) * | 2022-07-15 | 2022-10-18 | 广东广信通信服务有限公司 | 基于服务总线系统技术的应用集成管控方法、系统及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050055570A1 (en) * | 2003-09-04 | 2005-03-10 | Foundry Networks, Inc. | Multiple tiered network security system, method and apparatus using dynamic user policy assignment |
| CN101267367A (zh) * | 2007-03-15 | 2008-09-17 | 华为技术有限公司 | 控制访问家庭网络的方法、系统、认证服务器和家庭设备 |
| CN101431516A (zh) * | 2008-12-04 | 2009-05-13 | 成都市华为赛门铁克科技有限公司 | 分布式安全策略的实现方法、客户端及通信系统 |
| CN102043922A (zh) * | 2009-10-13 | 2011-05-04 | 中兴通讯股份有限公司 | 一种提高corba接口安全性的方法及装置 |
| CN102571550A (zh) * | 2010-12-30 | 2012-07-11 | 北京亿阳信通软件研究院有限公司 | 一种通用的信息交互平台和方法 |
| CN107135206A (zh) * | 2017-04-18 | 2017-09-05 | 北京思特奇信息技术股份有限公司 | 一种互联网环境下接口调用的安全防范方法和系统 |
-
2018
- 2018-05-31 CN CN201810550820.6A patent/CN108769029B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050055570A1 (en) * | 2003-09-04 | 2005-03-10 | Foundry Networks, Inc. | Multiple tiered network security system, method and apparatus using dynamic user policy assignment |
| CN101267367A (zh) * | 2007-03-15 | 2008-09-17 | 华为技术有限公司 | 控制访问家庭网络的方法、系统、认证服务器和家庭设备 |
| CN101431516A (zh) * | 2008-12-04 | 2009-05-13 | 成都市华为赛门铁克科技有限公司 | 分布式安全策略的实现方法、客户端及通信系统 |
| CN102043922A (zh) * | 2009-10-13 | 2011-05-04 | 中兴通讯股份有限公司 | 一种提高corba接口安全性的方法及装置 |
| CN102571550A (zh) * | 2010-12-30 | 2012-07-11 | 北京亿阳信通软件研究院有限公司 | 一种通用的信息交互平台和方法 |
| CN107135206A (zh) * | 2017-04-18 | 2017-09-05 | 北京思特奇信息技术股份有限公司 | 一种互联网环境下接口调用的安全防范方法和系统 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111835692A (zh) * | 2019-04-22 | 2020-10-27 | 中国信息通信研究院 | 一种信息分发管理系统和方法 |
| WO2020215709A1 (zh) * | 2019-04-25 | 2020-10-29 | 平安科技(深圳)有限公司 | 身份认证方法、系统、计算机设备及存储介质 |
| CN111800417A (zh) * | 2020-07-06 | 2020-10-20 | 中电万维信息技术有限责任公司 | 基于esb的统一身份认证方法 |
| CN111988418A (zh) * | 2020-08-28 | 2020-11-24 | 平安国际智慧城市科技股份有限公司 | 数据处理方法、装置、设备及计算机可读存储介质 |
| CN111988418B (zh) * | 2020-08-28 | 2023-11-14 | 平安国际智慧城市科技股份有限公司 | 数据处理方法、装置、设备及计算机可读存储介质 |
| CN115208668A (zh) * | 2022-07-15 | 2022-10-18 | 广东广信通信服务有限公司 | 基于服务总线系统技术的应用集成管控方法、系统及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108769029B (zh) | 2021-03-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9774449B2 (en) | Systems and methods for distributing and securing data | |
| CN104579694B (zh) | 一种身份认证方法及系统 | |
| CN101189827B (zh) | 综合认证和管理服务提供者、终端和用户身份模块的方法以及使用该方法的系统和终端 | |
| CN108769029A (zh) | 一种对应用系统鉴权认证装置、方法及系统 | |
| CN104767731B (zh) | 一种Restful移动交易系统身份认证防护方法 | |
| CN107360571B (zh) | 在移动网络中的匿名相互认证和密钥协商协议的方法 | |
| CN110519046B (zh) | 基于一次性非对称密钥对和qkd的量子通信服务站密钥协商方法和系统 | |
| CN1937498A (zh) | 一种动态密码认证方法、系统及装置 | |
| CN101577917A (zh) | 一种安全的基于手机的动态密码验证方法 | |
| CN102404347A (zh) | 一种基于公钥基础设施的移动互联网接入认证方法 | |
| CA2518032A1 (en) | Methods and software program product for mutual authentication in a communications network | |
| KR100656355B1 (ko) | 분할된 사용자 인증키를 이용한 사용자 인증 방법, 서비스인증 방법 및 그 장치 | |
| CN1716953B (zh) | 会话初始协议认证的方法 | |
| CN111030814A (zh) | 秘钥协商方法及装置 | |
| CN109639426A (zh) | 一种基于标识密码的双向自认证方法 | |
| CN108809633A (zh) | 一种身份认证的方法、装置及系统 | |
| CN110380859A (zh) | 基于非对称密钥池对和dh协议的量子通信服务站身份认证方法和系统 | |
| CN111355591A (zh) | 一种基于实名认证技术的区块链账号安全的管理方法 | |
| JP2001186122A (ja) | 認証システム及び認証方法 | |
| CN108599926A (zh) | 一种基于对称密钥池的HTTP-Digest改进型AKA身份认证系统和方法 | |
| CN110737915A (zh) | 基于联盟链和隐式证书的抗量子计算匿名身份识别方法及系统 | |
| JP2018026631A (ja) | Ssl通信システム、クライアント、サーバ、ssl通信方法、コンピュータプログラム | |
| CN110176989A (zh) | 基于非对称密钥池的量子通信服务站身份认证方法和系统 | |
| CN110866754A (zh) | 一种基于动态口令的纯软件dpva身份认证方法 | |
| CN110519222A (zh) | 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20221114 Address after: 100005 No. 69, inner main street, Dongcheng District, Beijing, Jianguomen Patentee after: AGRICULTURAL BANK OF CHINA Patentee after: Agricultural Bank of China Financial Technology Co.,Ltd. Address before: 100005 No. 69, inner main street, Dongcheng District, Beijing, Jianguomen Patentee before: AGRICULTURAL BANK OF CHINA |