CN109639695A - 基于互信架构的动态身份认证方法、电子设备及存储介质 - Google Patents

基于互信架构的动态身份认证方法、电子设备及存储介质 Download PDF

Info

Publication number
CN109639695A
CN109639695A CN201811569541.0A CN201811569541A CN109639695A CN 109639695 A CN109639695 A CN 109639695A CN 201811569541 A CN201811569541 A CN 201811569541A CN 109639695 A CN109639695 A CN 109639695A
Authority
CN
China
Prior art keywords
information
user
user terminal
registration
service provider
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201811569541.0A
Other languages
English (en)
Inventor
王凤
许志明
潘志宏
万智萍
刘少江
倪伟传
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xinhua College Of Zhongshan University
Xinhua College of Sun Yat Sen University
Original Assignee
Xinhua College Of Zhongshan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xinhua College Of Zhongshan University filed Critical Xinhua College Of Zhongshan University
Priority to CN201811569541.0A priority Critical patent/CN109639695A/zh
Publication of CN109639695A publication Critical patent/CN109639695A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了基于互信架构的动态身份认证方法,包括:接收用户的注册请求信息,生成用户登陆ID及登陆密码,并提供第一加密信息至用户端以使用户端生成随机号码和第一信息,根据第一信息生成用户虚拟身份标识;同时生成第一认证信息至服务提供系统;接收用户端输入的登陆请求信息,所述登陆请求请信息包括用户登陆ID及登陆密码,根据所述登陆密码、第一加密信息以及随机号码生成第一比对信息。本发明使用户端与安全服务系统之间建立其互信体系,安全服务系统能够监管用户端的状态,使用户端在状态异常或者被攻击者用作攻击发起节点时能够被安全服务系统从网络中剔除。

Description

基于互信架构的动态身份认证方法、电子设备及存储介质
技术领域
本发明涉及互信架构的通信技术领域,尤其涉及基于互信架构的动态身份认证方法、电子设备及存储介质。
背景技术
互联网服务的多元化和通信技术服务的普及带动了移动设备的快速发展,这使得与移动设备关系紧密的无线网络服务需求量比以往任何时候都更加旺盛。在移动设备上通过不同接入网络登陆个人账号信息来访问服务系统的方式相比通过单一的接入网络进行身份验证的方式更具便捷性,因此更多的身份验证过程在异构移动无线网络上完成。而异构移动网络所涉及的安全关键业务需要强大的安全访问控制技术作为支撑,确保唯一合法用户的账号等安全敏感信息不被他人非法获取。如今的异构移动无线网络提供了多种安全服务形式,在此基础上所提出的相关安全策略有:加密、认证、访问控制、密钥管理、证书管理等等。
其中,基于个人信息例如ID/密码和数字证书的认证方法是目前被用于网络安全敏感服务的最为广泛的一种身份验证手段。然而个人信息会由于用户自身的各种疏忽以及遭到其他非法的技术侵入手段而泄露,例如智能卡的遗失或被盗,访问信息被非法追踪和收集等。即使目前通过应用层和网络层同时实施安全认证,然而由于网络层和应用层之间的依赖性,无论网络层具有多高的安全级别,应用层具有的安全风险仍然存在。由于异构网络服务是用户和服务提供系统之间的交互,服务安全性基于它们之间的相互信任。换句话说,用户终端和服务提供者系统彼此信任对方的身份。用户终端可以通过不同的接入网络同时访问服务提供系统。当唯一合法用户的认证信息被他人非法盗取后,服务提供系统也无法区分访问的对象是否为合法的用户。
发明内容
为了克服现有技术的不足,本发明的目的之一在于提供基于互信架构的动态身份认证方法,其能解决现有技术不能识别对象是否为合法的问题。
本发明的目的之二在于提供一种电子设备,其能解决现有技术不能识别对象是否为合法的问题。
本发明的目的之三在于提供一种存储介质,其能解决现有技术不能识别对象是否为合法的问题。
本发明的目的之一采用以下技术方案实现:
基于互信架构的动态身份认证方法,包括如下步骤:
注册请求步骤:接收用户的注册请求信息,生成用户登陆ID及登陆密码,并提供第一加密信息至用户端以使用户端生成随机号码和第一信息,根据第一信息生成用户虚拟身份标识;同时生成第一认证信息至服务提供系统;
登陆认证步骤:接收用户端输入的登陆请求信息,所述登陆请求请信息包括用户登陆ID及登陆密码,根据所述登陆密码、第一加密信息以及随机号码生成第一比对信息,根据所述用户注册ID和第一比对信息生成第一比对认证信息,判断到第一认证信息与第一比对认证信息一致且验证时间小于预设值时,允许该用户端的用户登录;所述验证时间为当前时间戳与用户端输出登录请求信息的时间戳之差;
状态获取步骤:接收用户端的实时状态数据,当判断到用户端的实时状态数据异常,则暂停用户端与服务提供系统之间的访问。
优选的,在注册请求步骤中,具体包括如下步骤:
S10:接收用户的注册请求信息;
S11:选取第一加密信息发送至用户端使用户端输入用户注册ID和注册密码,并使用户端产生第一随机数,根据第一加密信息、第一随机数和注册密码生成第一信息;
S12:接收用户端的第一信息并保存,将第一信息、第一随机数和用户注册ID绑定为验证信息,重新接收用户输入的验证信息记为二次信息,判断验证信息和和二次信息是否一致,若是,执行下一步,否则,重复本步骤;
S13:根据第一随机数和用户注册ID生成用户端的虚拟身份标识,并根据所述用户端的虚拟身份标识生成第一安全信息,发送该第一安全信息至服务提供系统;
S14:选取第二加密信息发送至服务提供系统使服务提供系统生成第二随机数,以使服务系统系统根据自身的身份标识、第二随机数生成服务提供系统的虚拟身份标识,并使服务提供系统根据所述服务提供系统的虚拟身份标识生成、第二加密信息和第一安全信息生成第二安全信息;
S15:接收来自服务提供系统的第二安全信息,并根据第一信息和用户注册ID计算得到组合信息,发送该组合信息至服务提供系统。
优选的,登陆认证步骤具体包括:
S20:接收用户端输入的登陆请求信息,所述登陆请求请信息包括用户登陆ID及登陆密码;
S21:根据所述登陆密码、第一加密信息以及随机号码计算生成第一比对信息;
S22:根据第一比对信息和用户注册ID计算生成第一比对认证信息;
S23:判断第一认证信息与第一比对认证信息是否一致,并且判断验证时间是否小于预设值,若均为是,则允许该用户端的用户登录,否则,拒绝该用户端的用户登陆;所述验证时间为当前时间戳与用户端输出登录请求信息的时间戳之差。
优选的,状态获取步骤还包括当判断到用户端的实时状态数据正常时,创建会话密钥以使用户端与服务提供系统进行安全通信。
优选的,还包括密码变更步骤:接收用户在用户端输入的新的登陆密码,使用户端根据新的登陆密码和第一随机数生成新的第一信息,以及根据所述新的第一信息和用户注册ID生成新的组合信息,并接收来自用户端的用户注册ID、新的登陆密码以及新的第一信息。
本发明的目的之二采用以下技术方案实现:
一种电子设备,包括存储器、处理器以及存储在存储器中并可被处理器执行的计算机程序,所述计算机程序被处理器执行时实现如下步骤:
注册请求步骤:接收用户的注册请求信息,生成用户登陆ID及登陆密码,并提供第一加密信息至用户端以使用户端生成随机号码和第一信息,根据第一信息生成用户虚拟身份标识;同时生成第一认证信息至服务提供系统;
登陆认证步骤:接收用户端输入的登陆请求信息,所述登陆请求请信息包括用户登陆ID及登陆密码,根据所述登陆密码、第一加密信息以及随机号码生成第一比对信息,根据所述用户注册ID和第一比对信息生成第一比对认证信息,判断到第一认证信息与第一比对认证信息一致且验证时间小于预设值时,允许该用户端的用户登录;所述验证时间为当前时间戳与用户端输出登录请求信息的时间戳之差;
状态获取步骤:接收用户端的实时状态数据,当判断到用户端的实时状态数据异常,则暂停用户端与服务提供系统之间的访问。
优选的,在注册请求步骤中,具体包括如下步骤:
S10:接收用户的注册请求信息;
S11:选取第一加密信息发送至用户端使用户端输入用户注册ID和注册密码,并使用户端产生第一随机数,根据第一加密信息、第一随机数和注册密码生成第一信息;
S12:接收用户端的第一信息并保存,将第一信息、第一随机数和用户注册ID绑定为验证信息,重新接收用户输入的验证信息记为二次信息,判断验证信息和和二次信息是否一致,若是,执行下一步,否则,重复本步骤;
S13:根据第一随机数和用户注册ID生成用户端的虚拟身份标识,并根据所述用户端的虚拟身份标识生成第一安全信息,发送该第一安全信息至服务提供系统;
S14:选取第二加密信息发送至服务提供系统使服务提供系统生成第二随机数,以使服务系统系统根据自身的身份标识、第二随机数生成服务提供系统的虚拟身份标识,并使服务提供系统根据所述服务提供系统的虚拟身份标识生成、第二加密信息和第一安全信息生成第二安全信息;
S15:接收来自服务提供系统的第二安全信息,并根据第一信息和用户注册ID计算得到组合信息,发送该组合信息至服务提供系统。
优选的,登陆认证步骤具体包括:
S20:接收用户端输入的登陆请求信息,所述登陆请求请信息包括用户登陆ID及登陆密码;
S21:根据所述登陆密码、第一加密信息以及随机号码计算生成第一比对信息;
S22:根据第一比对信息和用户注册ID计算生成第一比对认证信息;
S23:判断第一认证信息与第一比对认证信息是否一致,并且判断验证时间是否小于预设值,若均为是,则允许该用户端的用户登录,否则,拒绝该用户端的用户登陆;所述验证时间为当前时间戳与用户端输出登录请求信息的时间戳之差。
优选的,状态获取步骤还包括当判断到用户端的实时状态数据正常时,创建会话密钥以使用户端与服务提供系统进行安全通信。
本发明的目的之三采用以下技术方案实现:
一种存储介质,其上存储有可被处理器执行的计算机程序,所述计算机程序被处理器执行时,实现如本发明目的之一所述的动态身份认证方法。
相比现有技术,本发明的有益效果在于:
本发明使用户端与安全服务系统之间建立其互信体系,安全服务系统能够监管用户端的状态,使用户端在状态异常或者被攻击者用作攻击发起节点时能够被安全服务系统从网络中剔除。建立起用户端、服务提供系统和安全服务系统三者之间的互相验证机制,加强了用户节点身份认证的安全性。
附图说明
图1为本发明的基于互信架构的动态身份认证方法的流程图。
具体实施方式
下面,结合附图以及具体实施方式,对本发明做进一步描述:
实施例一
本发明为了保护异构无线网络中用户节点的隐私数据,加强网络的安全防护机制,提供一种基于基于互信架构的动态身份认证方法,建立起用户与安全服务系统之间的互信机制,使用户端的状态在网络中得到安全监控。在确保用户端正常的条件下,采用一种动态化身份认证协议使用户端能够正常访问网络服务,并且采用更多的加密信息及互相验证机制来确保用户数据的安全性。实验仿真分析结果表明,该方法可以防范多种网络攻击,并且协议的能量代价更低。
本发明中下文涉及到的符号定义包括:Ui:用户端;SYi:服务提供系统;SSi:安全服务系统;IDi:用户的注册ID码,是用户的唯一身份标识符;SIDi:服务提供系统的身份标识;X1、第一加密信息;X2、第二加密信息;a、第一随机数;b,第二随机数;WIDi、用户端的虚拟身份标识;WDIDi:服务提供系统的虚拟身份标识;TSi:客户端产生的时间戳,key:用户端、服务提供系统和安全服务系统之间共享的会话密钥。
具体如图1所示,包括如下步骤:
S1:注册请求步骤:接收用户的注册请求信息,生成用户登陆ID及登陆密码,并提供第一加密信息至用户端以使用户端生成随机号码和第一信息,根据第一信息生成用户虚拟身份标识;同时生成第一认证信息至服务提供系统;
本步骤具体包括如下子步骤:
S10:接收用户的注册请求信息;
S11:选取第一加密信息发送至用户端使用户端输入用户注册ID和注册密码,并使用户端产生第一随机数,根据第一加密信息、第一随机数和注册密码生成第一信息;
S12:接收用户端的第一信息并保存,将第一信息、第一随机数和用户注册ID绑定为验证信息,重新接收用户输入的验证信息记为二次信息,判断验证信息和和二次信息是否一致,若是,执行下一步,否则,重复本步骤;
S13:根据第一随机数和用户注册ID生成用户端的虚拟身份标识,并根据所述用户端的虚拟身份标识生成第一安全信息,发送该第一安全信息至服务提供系统;
S14:选取第二加密信息发送至服务提供系统使服务提供系统生成第二随机数,以使服务系统系统根据自身的身份标识、第二随机数生成服务提供系统的虚拟身份标识,并使服务提供系统根据所述服务提供系统的虚拟身份标识生成、第二加密信息和第一安全信息生成第二安全信息;
S15:接收来自服务提供系统的第二安全信息,并根据第一信息和用户注册ID计算得到组合信息,发送该组合信息至服务提供系统。
本步骤中,当用户端需要访问服务提供系统时,需要向安全服务系统申请注册,假设此时安全服务系统SSi通过了用户节点Ui的注册申请请求,则接下来需要Ui完成注册信息的填写并上传该信息NNi,核实注册信息NNi有效后,SSi此时会随机选取两个加密信息X1和X2分别发至Ui和SYi
用户端在接收到加密信息X1后,用户可以开始注册IDi和密码,假设用户注册密码为Pdi。在注册密码完成后,用户端会产生一个第一随机数a,接着计算出第一信息Ai,表达式为:Ai=H(a||Pdi||X1),其中H(·)表示哈希函数。得到信息Ai后Ui通过安全信道将信息(Ai,a,IDi)即验证信息提交至SSi,使SSi可以开始对信息进行验证。SSi成功接收信息(Ai,a,IDi)后,会返回一个信息(NNi),该(NNi)需要用户填写一些关键的身份信息,用户填写后提交(NNi′)至SSi,SSi确认NNi与(NNi′)之间关键信息是否一致,一致则执行下一步。SSi开始计算一个属于Ui的受保护虚拟身份标识:WIDi=H(IDi||a),Gi=H(WIDi||X1),并且SSi在安全信道下将信息(Gi)发送至至服务提供系SYi
服务提供系统SYi接收到信息(Gi)后,首先会选择一个随机数b,并且使用会结合其身份SIDi进行计算:WSIDi=H(SIDi||b),GSi=H(WSIDi||Gi||X2),接着SYi将信息(GSi)发送至SSi,SSi在计算Fi=H(IDi||Ai)后,将信息(Fi)发送至SYi,注册认证完毕。
S2:登陆认证步骤:接收用户端输入的登陆请求信息,所述登陆请求请信息包括用户登陆ID及登陆密码,根据所述登陆密码、第一加密信息以及随机号码生成第一比对信息,根据所述用户注册ID和第一比对信息生成第一比对认证信息,判断到第一认证信息与第一比对认证信息一致且验证时间小于预设值时,允许该用户端的用户登录;所述验证时间为当前时间戳与用户端输出登录请求信息的时间戳之差;
具体包括如下步骤:
S20:接收用户端输入的登陆请求信息,所述登陆请求请信息包括用户登陆ID及登陆密码;
S21:根据所述登陆密码、第一加密信息以及随机号码计算生成第一比对信息;
S22:根据第一比对信息和用户注册ID计算生成第一比对认证信息;
S23:判断第一认证信息与第一比对认证信息是否一致,并且判断验证时间是否小于预设值,若均为是,则允许该用户端的用户登录,否则,拒绝该用户端的用户登陆;所述验证时间为当前时间戳与用户端输出登录请求信息的时间戳之差。
当用户Ui想访问服务提供系统SYi时,首先Ui需要提交IDi和Pdi,当提交完成后,SYi开始计算:Ai *=H(a||Pdi||X1),Fi *=H(IDi||Ai *),在计算出Fi *后,服务提供系统SYi会验证Fi *是否满足Fi *=Fi,且系统验证时间是否满足:T-TSi<Δt,其中T是当前时间戳,TSi表示由用户端输出登录请求信息的时间戳,Δt表示系统的验证时间。满足以上条件时,SYi则允许Ui登陆。
S3:状态获取步骤:接收用户端的实时状态数据,当判断到用户端的实时状态数据异常,则暂停用户端与服务提供系统之间的访问。
本步骤中,还包括当判断到用户端的实时状态数据正常时,创建会话密钥以使用户端与服务提供系统进行安全通信。
用户在成功访问服务提供系统后,为了时刻监督用户的状态,用户端需要与安全服务系统建立互信体系,两者之间进行信息交互,使安全服务系统能够获取用户端的状态数据,如果状态数据异常,即超出安全服务系统事先规定好的数值范围,例如用户端在单位时间内访问服务提供系统的数据量过大,或者用户端IP地址不停频繁变更,影响其他用户正常访问,则安全服务系统在经过状态验证后暂停用户端对服务提供系统的访问。在状态数据无异常的条件下,才进行密钥协商,创建会话密匙保障用户端与服务提供系统的安全通信会话。密钥协商阶段的步骤为:
Ui选择一个随机数n1,并生成一个当前时间戳值TSi,接着用户端开始计算: 经过计算后,Ui通过安全信道将信息(Ei,Ri,Zi,NIDi,TSi)发送至服务提供系统Si。在接收到信号后,SYi开始检查会话延迟,假设T1是当前的时间戳值,如果出现T1-TSi≥Δt,则表示会话超时,SYi将会停止会话。如果T-TSi<Δt,则SYi会选择一个随机数n2,接着开始计算:Li=H(GSi||n2||Zi||TSi),在取得Ji和Li计算值后,SYi会结合Ui发送的信息通过安全信道将整合信息(Ei,Ri,Zi,NIDi,TSi,Ji,Li)发送至安全服务系统SSi。在接收到SYi的信息后,SSi会选择一个随机数n3,并检查会话延迟,满足条件时接着计算:GSj=H(WSIDi||X2),Li *=H(n2||GSj||Zi||TSi),在计算结束后,SSi验证Li *=Li条件是否满足,如果Li *≠Li,SSi会终止会话操作,否则接着计算:Ei=H(WIDi||X1),SSi接着验证Zi *=Zi条件是否满足,如果满足则继续计算: 并将信息(Oi,Qi,Yi,SCi)发送至SYi。在接收到信息(Oi,Qi,Yi,SCi)后,SYi开始计算:并且验证条件Qi *=Qi是否满足,Qi *≠Qi时SYi停止会话操作,否则,SYi发送信息(Yi,SCi)至Ui。最终,用户端Ui、服务提供系统SYi和安全服务系统SSi取得会话密匙:
另外,本发明还包括密码变更步骤:接收用户在用户端输入的新的登陆密码,使用户端根据新的登陆密码和第一随机数生成新的第一信息,以及根据所述新的第一信息和用户注册ID生成新的组合信息,并接收来自用户端的用户注册ID、新的登陆密码以及新的第一信息。
本发明为了验证有效性,在在实验仿真部分,为了验证该动态化身份认证协议在防范网络攻击上的安全性能,采用了另外两种异构无线网络的身份认证协议进行对比分析。实验中模仿了几种常见的网络攻击类型,并得到了表1的安全功能对比情况表。
表1安全功能对比情况
窃听攻击是攻击者通过入侵到网络中的某一参与用户中,通过植入设备或程序,从而获取网络其他交互用户的数据。在本协议中,由于协议的参与者有用户端,服务提供系统和安全服务系统,恶意攻击者即使入侵到某一用户端,也无法从公共信道中获取其他用户的数据,这是由于SSi并不向其他用户共享加密信息X1和X2,因此采用窃听攻击即使攻击者通过某一用户端窃取到其他用户端的信息Ai,由于无法破译X1,因此无法获取Pdi。而在Durresi的协议和Samuel的协议中,由于缺少加密信息X1,当信息Ai被窃取时,密码Pdi很可能被破译。
拒绝服务攻击是攻击者在网络中对主系统进行不断频繁访问,使得网络带宽不断被消耗,造成其他用户无法正常访问的情况。对于本文采用的动态化身份认证协议,由于协议的登陆验证阶段采用了时间戳值,时间戳值使得攻击者无法基于早期的信息进行频繁登陆,因此拒绝服务攻击很难成功实施。在Samuel的协议中,验证信息缺乏时间戳值,容易被攻击者采用早期信息进行频繁登陆,消耗网络带宽。伪装攻击,即攻击者通过某些手段伪装成合法用户接入网络,再对网络展开攻击。在本文协议中,由于采用了基于互信架构的状态验证阶段,因此,即使恶意攻击者成功注册并登录,如果采用该用户端对网络展开异常操作,安全服务系统也会中止该用户访问继续服务,从而制止攻击者进一步对网络造成破坏。而协议和协议则没有采取机制监测用户的状态,在攻击者伪装合法用户登录后,无法阻止其操作。
重放攻击又称为重播攻击,它是由攻击者发送一个目的主机已接收过的包,达到欺骗系统的目的,例如通过盗取认证凭据,再把它重新发给认证服务器,使认证服务器通过攻击者的登陆验证。然而本文协议在登陆阶段采用了当前时间戳值,因此即使盗取先前的认证凭据,也无法通过安全服务系统的认证。而Samuel’协议并没有采用当前时间戳值,因此先前的认证凭据会欺骗系统,使攻击者通过登陆认证。
实施例二
本实施例提供一种电子设备,包括存储器、处理器以及存储在存储器中并可被处理器执行的计算机程序,其特征在于,所述计算机程序被处理器执行时实现如下步骤:
注册请求步骤:接收用户的注册请求信息,生成用户登陆ID及登陆密码,并提供第一加密信息至用户端以使用户端生成随机号码和第一信息,根据第一信息生成用户虚拟身份标识;同时生成第一认证信息至服务提供系统;
登陆认证步骤:接收用户端输入的登陆请求信息,所述登陆请求请信息包括用户登陆ID及登陆密码,根据所述登陆密码、第一加密信息以及随机号码生成第一比对信息,根据所述用户注册ID和第一比对信息生成第一比对认证信息,判断到第一认证信息与第一比对认证信息一致且验证时间小于预设值时,允许该用户端的用户登录;所述验证时间为当前时间戳与用户端输出登录请求信息的时间戳之差;
状态获取步骤:接收用户端的实时状态数据,当判断到用户端的实时状态数据异常,则暂停用户端与服务提供系统之间的访问。
本实施例提供的电子设备其执行的工作原理和流程与实施例一的动态身份验证方法完全一致,在此不再赘述。
在注册请求步骤中,具体包括如下步骤:
S10:接收用户的注册请求信息;
S11:选取第一加密信息发送至用户端使用户端输入用户注册ID和注册密码,并使用户端产生第一随机数,根据第一加密信息、第一随机数和注册密码生成第一信息;
S12:接收用户端的第一信息并保存,将第一信息、第一随机数和用户注册ID绑定为验证信息,重新接收用户输入的验证信息记为二次信息,判断验证信息和和二次信息是否一致,若是,执行下一步,否则,重复本步骤;
S13:根据第一随机数和用户注册ID生成用户端的虚拟身份标识,并根据所述用户端的虚拟身份标识生成第一安全信息,发送该第一安全信息至服务提供系统;
S14:选取第二加密信息发送至服务提供系统使服务提供系统生成第二随机数,以使服务系统系统根据自身的身份标识、第二随机数生成服务提供系统的虚拟身份标识,并使服务提供系统根据所述服务提供系统的虚拟身份标识生成、第二加密信息和第一安全信息生成第二安全信息;
S15:接收来自服务提供系统的第二安全信息,并根据第一信息和用户注册ID计算得到组合信息,发送该组合信息至服务提供系统。
进一步的,登陆认证步骤具体包括:
S20:接收用户端输入的登陆请求信息,所述登陆请求请信息包括用户登陆ID及登陆密码;
S21:根据所述登陆密码、第一加密信息以及随机号码计算生成第一比对信息;
S22:根据第一比对信息和用户注册ID计算生成第一比对认证信息;
S23:判断第一认证信息与第一比对认证信息是否一致,并且判断验证时间是否小于预设值,若均为是,则允许该用户端的用户登录,否则,拒绝该用户端的用户登陆;所述验证时间为当前时间戳与用户端输出登录请求信息的时间戳之差。
状态获取步骤还包括当判断到用户端的实时状态数据正常时,创建会话密钥以使用户端与服务提供系统进行安全通信。
实施例三
本实施例提供一种存储介质,其上存储有可被处理器执行的计算机程序,所述计算机程序被处理器执行时,实现如本发明所述的动态身份认证方法。
对本领域的技术人员来说,可根据以上描述的技术方案以及构思,做出其它各种相应的改变以及形变,而所有的这些改变以及形变都应该属于本发明权利要求的保护范围之内。

Claims (10)

1.基于互信架构的动态身份认证方法,其特征在于,包括如下步骤:
注册请求步骤:接收用户的注册请求信息,生成用户登陆ID及登陆密码,并提供第一加密信息至用户端以使用户端生成随机号码和第一信息,根据第一信息生成用户虚拟身份标识;同时生成第一认证信息至服务提供系统;
登陆认证步骤:接收用户端输入的登陆请求信息,所述登陆请求请信息包括用户登陆ID及登陆密码,根据所述登陆密码、第一加密信息以及随机号码生成第一比对信息,根据所述用户注册ID和第一比对信息生成第一比对认证信息,判断到第一认证信息与第一比对认证信息一致且验证时间小于预设值时,允许该用户端的用户登录;所述验证时间为当前时间戳与用户端输出登录请求信息的时间戳之差;
状态获取步骤:接收用户端的实时状态数据,当判断到用户端的实时状态数据异常,则暂停用户端与服务提供系统之间的访问。
2.如权利要求1所述的动态身份认证方法,其特征在于,在注册请求步骤中,具体包括如下步骤:
S10:接收用户的注册请求信息;
S11:选取第一加密信息发送至用户端使用户端输入用户注册ID和注册密码,并使用户端产生第一随机数,根据第一加密信息、第一随机数和注册密码生成第一信息;
S12:接收用户端的第一信息并保存,将第一信息、第一随机数和用户注册ID绑定为验证信息,重新接收用户输入的验证信息记为二次信息,判断验证信息和和二次信息是否一致,若是,执行下一步,否则,重复本步骤;
S13:根据第一随机数和用户注册ID生成用户端的虚拟身份标识,并根据所述用户端的虚拟身份标识生成第一安全信息,发送该第一安全信息至服务提供系统;
S14:选取第二加密信息发送至服务提供系统使服务提供系统生成第二随机数,以使服务系统系统根据自身的身份标识、第二随机数生成服务提供系统的虚拟身份标识,并使服务提供系统根据所述服务提供系统的虚拟身份标识生成、第二加密信息和第一安全信息生成第二安全信息;
S15:接收来自服务提供系统的第二安全信息,并根据第一信息和用户注册ID计算得到组合信息,发送该组合信息至服务提供系统。
3.如权利要求2所述的动态身份认证方法,其特征在于,登陆认证步骤具体包括:
S20:接收用户端输入的登陆请求信息,所述登陆请求请信息包括用户登陆ID及登陆密码;
S21:根据所述登陆密码、第一加密信息以及随机号码计算生成第一比对信息;
S22:根据第一比对信息和用户注册ID计算生成第一比对认证信息;
S23:判断第一认证信息与第一比对认证信息是否一致,并且判断验证时间是否小于预设值,若均为是,则允许该用户端的用户登录,否则,拒绝该用户端的用户登陆;所述验证时间为当前时间戳与用户端输出登录请求信息的时间戳之差。
4.如权利要求3所述的动态身份认证方法,其特征在于,状态获取步骤还包括当判断到用户端的实时状态数据正常时,创建会话密钥以使用户端与服务提供系统进行安全通信。
5.如权利要求4所述的动态身份认证方法,其特征在于,其特征在于,还包括密码变更步骤:接收用户在用户端输入的新的登陆密码,使用户端根据新的登陆密码和第一随机数生成新的第一信息,以及根据所述新的第一信息和用户注册ID生成新的组合信息,并接收来自用户端的用户注册ID、新的登陆密码以及新的第一信息。
6.一种电子设备,包括存储器、处理器以及存储在存储器中并可被处理器执行的计算机程序,其特征在于,所述计算机程序被处理器执行时实现如下步骤:
注册请求步骤:接收用户的注册请求信息,生成用户登陆ID及登陆密码,并提供第一加密信息至用户端以使用户端生成随机号码和第一信息,根据第一信息生成用户虚拟身份标识;同时生成第一认证信息至服务提供系统;
登陆认证步骤:接收用户端输入的登陆请求信息,所述登陆请求请信息包括用户登陆ID及登陆密码,根据所述登陆密码、第一加密信息以及随机号码生成第一比对信息,根据所述用户注册ID和第一比对信息生成第一比对认证信息,判断到第一认证信息与第一比对认证信息一致且验证时间小于预设值时,允许该用户端的用户登录;所述验证时间为当前时间戳与用户端输出登录请求信息的时间戳之差;
状态获取步骤:接收用户端的实时状态数据,当判断到用户端的实时状态数据异常,则暂停用户端与服务提供系统之间的访问。
7.如权利要求6所述的电子设备,其特征在于,在注册请求步骤中,具体包括如下步骤:
S10:接收用户的注册请求信息;
S11:选取第一加密信息发送至用户端使用户端输入用户注册ID和注册密码,并使用户端产生第一随机数,根据第一加密信息、第一随机数和注册密码生成第一信息;
S12:接收用户端的第一信息并保存,将第一信息、第一随机数和用户注册ID绑定为验证信息,重新接收用户输入的验证信息记为二次信息,判断验证信息和和二次信息是否一致,若是,执行下一步,否则,重复本步骤;
S13:根据第一随机数和用户注册ID生成用户端的虚拟身份标识,并根据所述用户端的虚拟身份标识生成第一安全信息,发送该第一安全信息至服务提供系统;
S14:选取第二加密信息发送至服务提供系统使服务提供系统生成第二随机数,以使服务系统系统根据自身的身份标识、第二随机数生成服务提供系统的虚拟身份标识,并使服务提供系统根据所述服务提供系统的虚拟身份标识生成、第二加密信息和第一安全信息生成第二安全信息;
S15:接收来自服务提供系统的第二安全信息,并根据第一信息和用户注册ID计算得到组合信息,发送该组合信息至服务提供系统。
8.如权利要求7所述的电子设备,其特征在于,登陆认证步骤具体包括:
S20:接收用户端输入的登陆请求信息,所述登陆请求请信息包括用户登陆ID及登陆密码;
S21:根据所述登陆密码、第一加密信息以及随机号码计算生成第一比对信息;
S22:根据第一比对信息和用户注册ID计算生成第一比对认证信息;
S23:判断第一认证信息与第一比对认证信息是否一致,并且判断验证时间是否小于预设值,若均为是,则允许该用户端的用户登录,否则,拒绝该用户端的用户登陆;所述验证时间为当前时间戳与用户端输出登录请求信息的时间戳之差。
9.如权利要求8所述的电子设备,其特征在于,状态获取步骤还包括当判断到用户端的实时状态数据正常时,创建会话密钥以使用户端与服务提供系统进行安全通信。
10.一种存储介质,其特征在于,其上存储有可被处理器执行的计算机程序,所述计算机程序被处理器执行时,实现如权利要求1-5任一项所述的动态身份认证方法。
CN201811569541.0A 2018-12-21 2018-12-21 基于互信架构的动态身份认证方法、电子设备及存储介质 Pending CN109639695A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811569541.0A CN109639695A (zh) 2018-12-21 2018-12-21 基于互信架构的动态身份认证方法、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811569541.0A CN109639695A (zh) 2018-12-21 2018-12-21 基于互信架构的动态身份认证方法、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN109639695A true CN109639695A (zh) 2019-04-16

Family

ID=66076237

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811569541.0A Pending CN109639695A (zh) 2018-12-21 2018-12-21 基于互信架构的动态身份认证方法、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN109639695A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111865558A (zh) * 2019-05-19 2020-10-30 北京骑胜科技有限公司 服务数据处理方法、装置、电子设备及存储介质
CN115174062A (zh) * 2022-06-30 2022-10-11 中国联合网络通信集团有限公司 云服务认证方法、装置、设备及存储介质

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111865558A (zh) * 2019-05-19 2020-10-30 北京骑胜科技有限公司 服务数据处理方法、装置、电子设备及存储介质
CN115174062A (zh) * 2022-06-30 2022-10-11 中国联合网络通信集团有限公司 云服务认证方法、装置、设备及存储介质
CN115174062B (zh) * 2022-06-30 2024-04-09 中国联合网络通信集团有限公司 云服务认证方法、装置、设备及存储介质

Similar Documents

Publication Publication Date Title
US8819803B1 (en) Validating association of client devices with authenticated clients
CN103581108B (zh) 一种登录验证方法、客户端、服务器及系统
CN106330850B (zh) 一种基于生物特征的安全校验方法及客户端、服务器
TWI633775B (zh) 終端識別方法、機器識別碼註冊方法及相應系統、設備
CN103747036B (zh) 一种桌面虚拟化环境下的可信安全增强方法
US8214890B2 (en) Login authentication using a trusted device
CN104869102B (zh) 基于xAuth协议的授权方法、装置和系统
US20120324545A1 (en) Automated security privilege setting for remote system users
CN108880822A (zh) 一种身份认证方法、装置、系统及一种智能无线设备
US10263782B2 (en) Soft-token authentication system
US9311485B2 (en) Device reputation management
WO2017185450A1 (zh) 终端的认证方法及系统
CN103581184A (zh) 移动终端访问企业内网服务器的方法和系统
CN109861968A (zh) 资源访问控制方法、装置、计算机设备及存储介质
CN102571874B (zh) 一种分布式系统中的在线审计方法及装置
CN111294796A (zh) 一种基于零知识证明的智能手机登录管理系统
US8572724B2 (en) Method and apparatus for network session validation
CN101867588A (zh) 一种基于802.1x的接入控制系统
CN109639695A (zh) 基于互信架构的动态身份认证方法、电子设备及存储介质
Aljawarneh et al. A web client authentication system using smart card for e-systems: initial testing and evaluation
CN109495458A (zh) 一种数据传输的方法、系统及相关组件
CN101854357A (zh) 网络认证监控方法及系统
CN109218318A (zh) 一种基于设备知识的物联网网关登录检测方法
Tiwari et al. Design and Implementation of Enhanced Security Algorithm for Hybrid Cloud using Kerberos
Liu et al. Risk‐Based Dynamic Identity Authentication Method Based on the UCON Model

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20190416

RJ01 Rejection of invention patent application after publication