CN117081783A - 分布式网络下的身份认证方法、系统、终端、介质及应用 - Google Patents
分布式网络下的身份认证方法、系统、终端、介质及应用 Download PDFInfo
- Publication number
- CN117081783A CN117081783A CN202310880663.6A CN202310880663A CN117081783A CN 117081783 A CN117081783 A CN 117081783A CN 202310880663 A CN202310880663 A CN 202310880663A CN 117081783 A CN117081783 A CN 117081783A
- Authority
- CN
- China
- Prior art keywords
- user
- identity
- authentication
- authentication server
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 238000012795 verification Methods 0.000 claims abstract description 26
- 230000003993 interaction Effects 0.000 claims abstract description 7
- 230000004044 response Effects 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 4
- 230000008569 process Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008092 positive effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明属于网络安全技术领域,公开了分布式网络下的身份认证方法、系统、终端、介质及应用。用户在本地和异地登录应用系统时,与本地认证服务器和异地认证服务器进行信息交互;用户登录到应用系统后,每次访问系统资源时进行用户身份的真实性验证,确认用户宣称的身份。本发明提出了一种基于数字证书高强度认证协议的单点登录模型。该模型能够用一个口令即可在登录到一个应用系统后访问所有有权限的应用系统、社交网络实现自动登录。另外,该模型不但适用于电子政务大规模的分布式的广域网环境,而且大大满足了电子政务的安全需求:不仅采用了受高强度密码保护的强认证方式,而且对重放攻击是安全的。
Description
技术领域
本发明属于网络安全技术领域,尤其涉及分布式网络下的身份认证方法、系统、终端、介质及应用。
背景技术
目前,如何使一个内部用户既能访问到处于不同地理位置的、不同业务、不同级别的系统又能得到相应的权限控制,是电子政务应用系统建设中需要解决的一个重要课题,在这样的应用环境中,安全的单点登录显得尤其迫切。借助安全的单点登录系统,用户仅仅需要记住一个口令即可自动登录到一个应用系统后访问所有有权限的应用系统而不需要重新登录。
当前的单点登录系统,无论是国外CA公司的eTrust、RSA公司的clearTrust、HP公司的Select Access,存在着以下的缺陷:要么单点登录仅局限于局域网环境,不适于社交网络下分布式的广域网环境;要么使用的是弱认证方式,在社交网络中应该使用受密码保护的强认证方式。
通过上述社交网络环境下的身份认证分析,现有技术存在的问题及缺陷为:
(1)基于口令的用户身份认证:基于口令的用户身份认证一直是分布环境中最广泛使用的一种认证方法。但它对于重放攻击和字典攻击没有抵抗力。到现在为止,人们已经提出了多种基于口令认证的方案,但是这些方案所运用的技术并不比公钥密码体制和Diffie-Hellman密钥交换计数更先进,而且它们还对整个系统造成了更加严重的计算开销。
(2)S/key认证:
每一次认证时系统产生的一次性口令不同,这样即使口令被窃听也无关紧要。然而使用S/key的用户需输入一次性口令,因而使用起来比较烦琐。
(3)Kerberos身份认证:
在分布式计算环境下,用户访问系统时的位置是可变的,同时用户所要访问的系统资源也不是固定的。Kerberos给出了一种具有较高安全性能的用户身份认证和资源访问认证的机制。但Kerberos存在安全缺陷,而且这种协议的使用需要复杂的设置。
发明内容
为克服相关技术中存在的问题,本发明公开实施例提供了一种分布式网络下的身份认证方法、系统、终端、介质及应用,还涉及一种分布式网络环境下的单点登录模型。
所述技术方案如下:一种分布式网络下的身份认证方法,包括:
用户在本地和异地登录应用系统时,与本地认证服务器和异地认证服务器进行信息交互;
用户登录到应用系统后,每次访问系统资源时进行用户身份的真实性验证,确认用户宣称的身份。
在本发明一实施例中,本地认证服务器进行本地认证的方法包括:
s1、用户向本地认证服务器发出登录请求;
s2、本地认证服务器SL产生用户随机数R发送给A,并在本地认证服务器中保存该随机数;
s3、用户对该随机数进行签名,并将用户的身份信息、签名信息以及公钥证书(A,SK -1(R),CertA)发往本地认证服务器SL;
本地认证服务器SL对用户的签名验证,如果签名验证正确,则产生该用户的身份票据TA,加密保存在本地认证服务器,并将密文EK(TA)发给用户;如果用户签名不正确,则用户认证失败,不能登录;
s4、用户收到本地认证服务器SL发来的信息EK(TA),解密后得到身份票据TA,并将身份票据TA保存在用户USB Token中。
在本发明一实施例中,异地认证服务器进行异地认证的方法包括:
1)用户A向异地认证服务器SR发出登录认证请求;
2)异地认证服务器SR产生用户随机数R,将其发送给A,并在异地认证服务器中保存该随机数;
3)用户对随机数签名,将用户信息、签名信息以及公钥证书(A,SK -1(R),CertA)发往异地认证服务器SR;
异地认证服务器SR判断如果用户登录的是异地认证服务器,通知用户重定向到本地认证服务器进行身份认证;
4)异地认证服务器通知用户重定向;
5)用户收到重定向通知后,将用户认证信息重新发往用户的本地认证服务器SL;进行本地认证;
6)用户收到本地认证服务器SL发来的信息EK(TA),解密后得到身份票据TA,并将身份票据TA保存在用户USB Token中。
在本发明一实施例中,所述进行用户身份的真实性验证包括本地身份真实性验证,所述本地身份真实性验证包括:
(1)用户利用保存在Token中的身份票据TA和身份信息,将得到用户身份真实性信息I(Fi(TA))发到本地认证服务器;
(2)异地认证服务器发送给用户重定向请求;
(3)本地认证服务器SL安全的利用用户票据从I(Fi(TA))得到用户信息并于保存的用户信息进行比较,如果一致,则用户身份真实,返回应答允许用户访问系统资源;否则是假冒用户,返回应答信息,要求用户进行身份认证,进行本地身份认证。
在本发明一实施例中,所述进行用户身份的真实性验证还包括异地身份真实性验证,所述异地身份真实性验证包括:
(a)用户利用保存在Token中的身份票据TA和身份信息,得到用户身份真实性信息I(Fi(TA))发到异地认证服务器;
异地认证服务器SR收到身份真实性信息后,判断如果用户登录的是异地认证服务器,通知用户重定向到本地认证服务器;
(b)异地认证服务器发送给用户重定向请求;
(c)用户收到重定向通知后,将用户身份真实性信息重新发往用户的本地认证服务器SL;随后进行本地认证;
(d)本地认证服务器SL安全的利用用户票据从I(Fi(TA))得到用户信息并与保存的用户信息进行比较,如果一致,则用户身份真实,返回应答允许用户访问系统资源;否则是假冒用户,返回应答信息,要求用户进行身份认证,进行本地身份认证。
在本发明一实施例中,进行用户身份的真实性验证,确认用户宣称的身份或,还需进行安全性分析。
本发明的另一目的在于提供一种分布式网络下的身份认证系统包括:
本地认证单元,用于用户在本地和异地登录应用系统时,与本地认证服务器和异地认证服务器进行信息交互;
身份真实性验证单元,用于用户登录到应用系统后,每次访问系统资源时进行用户身份的真实性验证,确认用户宣称的身份。
本发明的另一目的在于提供一种信息数据处理终端,所述信息数据处理终端包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行所述分布式网络下的身份认证方法。
本发明的另一目的在于提供一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行所述分布式网络下的身份认证方法。
本发明的另一目的在于提供一种所述分布式网络下的身份认证方法在电子政务安全需求上应用。
结合上述的所有技术方案,本发明所具备的优点及积极效果为:
本发明提供一种基于USB Token和X.509数字证书的分布式网络下的身份认证协议(Token&Certificate-Based AuthenticationProtocol),简称TCBAP协议。它能够实现分布式网络环境下的单点登录功能,并且对重放攻击是安全的,能够保证用户身份的真实性和用户票据的保密性。
相比于现有技术,本发明的优点进一步包括:本发明提出了一种基于数字证书高强度认证协议的单点登录模型。该模型能够用一个口令即可在登录到一个应用系统后访问所有有权限的应用系统、社交网络实现自动登录。另外,该模型不但适用于电子政务大规模的分布式的广域网环境,而且大大满足了电子政务的安全需求:不仅采用了受高强度密码保护的强认证方式,而且对重放攻击是安全的。
当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本发明的公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
图1是本发明实施例提供的本地认证阶段原理图。
图2是本发明实施例提供的本地身份真实性验证阶段原理图。
图3是本发明实施例提供的异地身份真实性验证阶段原理图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明的具体实施方式做详细的说明。在下面的描述中阐述了很多具体细节以便于充分理解本发明。但是本发明能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似改进,因此本发明不受下面公开的具体实施的限制。
需要说明的是,当元件被称为“固定于”另一个元件,它可以直接在另一个元件上或者也可以存在居中的元件。当一个元件被认为是“连接”另一个元件,它可以是直接连接到另一个元件或者可能同时存在居中元件。
除非另有定义,本发明所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本发明中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。本发明所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。
本发明提供一种分布式网络下的身份认证方法,包括:
用户在本地和异地登录应用系统时,与本地认证服务器和异地认证服务器进行信息交互;
用户登录到应用系统后,每次访问系统资源时进行用户身份的真实性验证,确认用户宣称的身份。
本发明还提供一种分布式网络下的身份认证系统包括:
本地认证单元,用于用户在本地和异地登录应用系统时,与本地认证服务器和异地认证服务器进行信息交互;
身份真实性验证单元,用于用户登录到应用系统后,每次访问系统资源时进行用户身份的真实性验证,确认用户宣称的身份。
下面结合具体实施例对本发明的技术方案作进一步描述。
本发明相关符号定义:
A:用户的身份标识,其中包含用户所在地信息。
SL:本地认证服务器的身份标识。
SR:异地认证服务器的身份标识,与用户不属于同一地区。
IA:用户A的个人信息。
R:随机数。
CertA:用户A的数字证书。
EK(m):使用公钥为k的RSA算法对明文m加密。
使用私钥为K-1的RSA算法对密文C解密。
使用私钥为K-1的RSA算法对明文m签名。
Vk(c):使用公钥为K的RSA算法对签名信息C进行签名验证。
F(m):对消息m进行置换的置换函数。
TA:用户A通过身份认证后的身份票据,表明用户已经成功登录。该身份票据动态变化。
I(m):通过对m和用户个人信息利用分组加密算法进行加密运算,产生用户的身份真实性信息,即证明该用户确实是他所宣称的身份,而不是假冒者。
M从X向Y发送信息M。
本发明的实施例提供一种基于USB Token和X.509数字证书的分布式网络下的身份认证协议(Token&Certificate-Based Authentication Protocol),简称TCBAP协议。TCBAP协议包括两个阶段,认证阶段和身份真实性验证阶段。当用户登录应用系统时,执行身份认证过程;而当用户访问系统资源时,执行身份真实性验证过程。
在本发明一优选实施例中,(1)身份认证阶段包括:
用户在本地和异地登录应用系统时,用户需要与本地认证服务器和异地认证服务器进行信息交互,因此本发明将其分为本地认证和异地认证阶段。
其中,本地认证阶段包括:
当用户在本地登录应用系统时,用户和本地认证服务器之间运行挑战-应答协议。图1表示TCBAP协议的本地认证阶段。
具体认证过程如下
s1、Login Request:用户向本地认证服务器发出登录请求;
s2、R,本地认证服务器SL产生用户随机数R发送给A,并在本地认证服务器中保存该随机数;
s3、 用户对该随机数进行签名,并将用户的身份信息、签名信息以及公钥证书/>发往本地认证服务器SL。
本地认证服务器SL对用户的签名验证,如果签名验证正确,则产生该用户的身份票据TA,加密保存在本地认证服务器,并将密文EK(TA)发给用户;如果用户签名不正确,则用户认证失败,不能登录。
s4、用户收到本地认证服务器SL发来的信息EK(TA),解密后得到身份票据TA,并将其保存在用户USB Token中。
在本发明一优选实施例中,(2)异地认证阶段包括:
1)A,Login Request,用户A向异地认证服务器SR发出登录认证请求。
2)异地认证服务器SR产生用户随机数R,将其发送给A,并在异地认证服务器中保存该随机数。
3)用户对随机数签名,将用户信息、签名信息以及公钥证书/>发往异地认证服务器SR;
异地认证服务器SR判断如果用户登录的是异地认证服务器,那么通知用户重定向到本地认证服务器进行身份认证。
4)异地认证服务器通知用户重定向。
5)用户收到重定向通知后,将用户认证信息重新发往用户的本地认证服务器SL。随后的过程如本地认证阶段所述。
6)本步骤的处理同本地认证步骤的第s4步,用户收到本地认证服务器SL发来的信息EK(TA),解密后得到身份票据TA,并将其保存在用户USB Token中。
在本发明一优选实施例中,身份真实性验证阶段包括:
用户通过身份认证登录到应用系统后,每次访问系统资源都需要验证用户身份的真实性,即系统需要确认请求访问系统资源的用户确实是他宣称的身份,以防止非法用户假冒用户身份进行非法操作。
其中,(1)本地身份真实性验证阶段包括:
用户访问本地系统资源时的身份真实性验证如图2所示。
具体验证过程如下:
s1、用户利用保存在Token中的身份票据TA和身份信息,将得到用户身份真实性信息I(Fi(TA))发到本地认证服务器。
s2、异地认证服务器发送给用户重定向请求。
s3、本地认证服务器SL安全的利用用户票据从I(Fi(TA))得到用户信息并于保存的用户信息进行比较,如果一致,则用户身份真实,返回应答允许用户访问系统资源;否则是假冒用户,返回应答信息,要求用户进行身份认证,因此转到本地身份认证。
(2)异地身份真实性验证阶段包括:
用户访问异地系统资源时的身份真实性验证如图3所示。
具体验证过程如下:
s1、用户利用保存在Token中的身份票据TA和身份信息,得到用户身份真实性信息I(Fi(TA))发到异地认证服务器。
异地认证服务器SR收到身份真实性信息后,判断如果用户登录的是异地认证服务器,通知用户重定向到本地认证服务器。
s2、异地认证服务器发送给用户重定向请求。
s3、用户收到重定向通知后,将用户身份真实性信息重新发往用户的本地认证服务器SL。随后的过程如本地认证阶段所述。
S4、该处理同本地身份真实性验证的第s3步。即:认证服务器SL安全的利用用户票据从I(Fi(TA))得到用户信息并于保存的用户信息进行比较,如果一致,则用户身份真实,返回应答允许用户访问系统资源;否则是假冒用户,返回应答信息,要求用户进行身份认证,因此转到本地身份认证。
下面结合安全性分析对本发明的技术方案作进一步描述。
本发明不仅能够实现分布式网络环境下的单点登录功能,而且对重放攻击是安全的,能够保证用户身份的真实性和用户票据的保密性。具体安全性分析如下:
(1)模型对单点登录功能的应用性:
当用户登录成功后,就获得了一个该用户的有效的登录票据,即保存在Token中的身份票据TA。当用户登录另外一个不同的应用系统时,用户与认证服务器之间会运行一个对用户透明的交互协议,如果该用户是合法的,那么不需要用户作任何操作即可登录到另外一个应用系统,既实现了单点登录。
(2)用户身份的真实性:
在TCBAP协议中,本发明使用的RSA算法和对称密码算法在计算上是安全的。因而攻击者无法获得用户的私钥信息,从而无法在认证阶段假冒用户的签名。在身份真实性验证阶段,密码算法的安全性也使攻击者无法通过获得用户的身份票据假冒用户身份,从而用户身份的真实性能够得以保证。
(3)身份票据的保密性:
身份票据是在密码卡内产生的,身份票据出卡后都是以密文的状态存在:在服务器端,攻击者无法解密票据;在发往用户的过程中,身份票据是以用户的公钥加密的,RSA算法的安全性使得只有该用户能够解密;在用户端,该身份票据是保存在USB Token中,非法用户没有办法得到它;因此TCBAP保证了用户身份票据的保密性。
(4)重放攻击:
在用户身份认证阶段,假设攻击者截获到用户的身份认证信息并重新发送到认证服务器。认证服务器取不到随机数(用户登录成功,用户的随机数被删除),所以拒绝该攻击者的登录请求,攻击者的重放攻击失败。
在身份真实性验证阶段,假设攻击者在用户进行第次身份认证时,截获到发送到认证服务器的身份真实性信息A,I(Fi(TA)),并重新发送到认证服务器企图登录。但是由于服务器端保存的用户身份票据已经变化,所以认证服务器不能从I(Fi(TA))得到用户真正的个人信息,从而身份真实性验证失败,攻击者无法访问系统资源。
总之,攻击者没有机会利用重发攻击假冒的身份登录和使用应用系统。
本领域技术人员在考虑说明书及实践这里公开的公开后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由所附的权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围应由所附的权利要求来限制。
Claims (10)
1.一种分布式网络下的身份认证方法,其特征在于,所述分布式网络下的身份认证方法包括:
用户在本地和异地登录应用系统时,与本地认证服务器和异地认证服务器进行信息交互;
用户登录到应用系统后,每次访问系统资源时进行用户身份的真实性验证,确认用户宣称的身份。
2.根据权利要求1所述的分布式网络下的身份认证方法,其特征在于,本地认证服务器进行本地认证的方法包括:
s1、用户向本地认证服务器发出登录请求;
s2、本地认证服务器SL产生用户随机数R发送给A,并在本地认证服务器中保存该随机数;
s3、用户对该随机数进行签名,并将用户的身份信息、签名信息以及公钥证书发往本地认证服务器SL;
本地认证服务器SL对用户的签名验证,如果签名验证正确,则产生该用户的身份票据TA,加密保存在本地认证服务器,并将密文EK(TA)发给用户;如果用户签名不正确,则用户认证失败,不能登录;
s4、用户收到本地认证服务器SL发来的信息EK(TA),解密后得到身份票据TA,并将身份票据TA保存在用户USBToken中。
3.根据权利要求1所述的分布式网络下的身份认证方法,其特征在于,异地认证服务器进行异地认证的方法包括:
1)用户A向异地认证服务器SR发出登录认证请求;
2)异地认证服务器SR产生用户随机数R,将其发送给A,并在异地认证服务器中保存该随机数;
3)用户对随机数签名,将用户信息、签名信息以及公钥证书发往异地认证服务器SR;
异地认证服务器SR判断如果用户登录的是异地认证服务器,通知用户重定向到本地认证服务器进行身份认证;
4)异地认证服务器通知用户重定向;
5)用户收到重定向通知后,将用户认证信息重新发往用户的本地认证服务器SL;进行本地认证;
6)用户收到本地认证服务器SL发来的信息EK(TA),解密后得到身份票据TA,并将身份票据TA保存在用户USBToken中。
4.根据权利要求1所述的分布式网络下的身份认证方法,其特征在于,所述进行用户身份的真实性验证包括本地身份真实性验证,所述本地身份真实性验证包括:
(1)用户利用保存在Token中的身份票据TA和身份信息,将得到用户身份真实性信息I(Fi(TA))发到本地认证服务器;
(2)异地认证服务器发送给用户重定向请求;
(3)本地认证服务器SL安全的利用用户票据从I(Fi(TA))得到用户信息并与保存的用户信息进行比较,如果一致,则用户身份真实,返回应答允许用户访问系统资源;否则是假冒用户,返回应答信息,要求用户进行身份认证,进行本地身份认证。
5.根据权利要求1所述的分布式网络下的身份认证方法,其特征在于,所述进行用户身份的真实性验证还包括异地身份真实性验证,所述异地身份真实性验证包括:
(a)用户利用保存在Token中的身份票据TA和身份信息,得到用户身份真实性信息I(Fi(TA))发到异地认证服务器;
异地认证服务器SR收到身份真实性信息后,判断如果用户登录的是异地认证服务器,通知用户重定向到本地认证服务器;
(b)异地认证服务器发送给用户重定向请求;
(c)用户收到重定向通知后,将用户身份真实性信息重新发往用户的本地认证服务器SL;随后进行本地认证;
(d)本地认证服务器SL安全的利用用户票据从I(Fi(TA))得到用户信息并于保存的用户信息进行比较,如果一致,则用户身份真实,返回应答允许用户访问系统资源;否则是假冒用户,返回应答信息,要求用户进行身份认证,进行本地身份认证。
6.根据权利要求1所述的分布式网络下的身份认证方法,其特征在于,进行用户身份的真实性验证,确认用户宣称的身份或,还需进行安全性分析。
7.一种实施权利要求1~6任意一项所述分布式网络下的身份认证方法的分布式网络下的身份认证系统,其特征在于,所述分布式网络下的身份认证系统包括:
本地认证单元,用于用户在本地和异地登录应用系统时,与本地认证服务器和异地认证服务器进行信息交互;
身份真实性验证单元,用于用户登录到应用系统后,每次访问系统资源时进行用户身份的真实性验证,确认用户宣称的身份。
8.一种信息数据处理终端,其特征在于,所述信息数据处理终端包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行权利要求1~6任意一项所述分布式网络下的身份认证方法。
9.一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行权利要求1~6任意一项所述分布式网络下的身份认证方法。
10.一种如权利要求1~6任意一项所述分布式网络下的身份认证方法在电子政务安全需求上应用。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310880663.6A CN117081783A (zh) | 2023-07-18 | 2023-07-18 | 分布式网络下的身份认证方法、系统、终端、介质及应用 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310880663.6A CN117081783A (zh) | 2023-07-18 | 2023-07-18 | 分布式网络下的身份认证方法、系统、终端、介质及应用 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117081783A true CN117081783A (zh) | 2023-11-17 |
Family
ID=88708756
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310880663.6A Pending CN117081783A (zh) | 2023-07-18 | 2023-07-18 | 分布式网络下的身份认证方法、系统、终端、介质及应用 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117081783A (zh) |
-
2023
- 2023-07-18 CN CN202310880663.6A patent/CN117081783A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Chang et al. | An efficient and secure multi-server password authentication scheme using smart cards | |
US8091120B2 (en) | Adaptive authentication methods, systems, devices, and computer program products | |
EP2098006B1 (en) | Authentication delegation based on re-verification of cryptographic evidence | |
CN104065652B (zh) | 一种身份验证方法、装置、系统及相关设备 | |
US9294288B2 (en) | Facilitating secure online transactions | |
US7793340B2 (en) | Cryptographic binding of authentication schemes | |
KR101563828B1 (ko) | 신뢰성있는 인증 및 로그온을 위한 방법 및 장치 | |
EP2345235B1 (en) | Fast and transparent client reauthentication | |
US20100217975A1 (en) | Method and system for secure online transactions with message-level validation | |
US10250589B2 (en) | System and method for protecting access to authentication systems | |
WO2009014704A1 (en) | System and method for secured network access | |
Gupta et al. | An identity based access control and mutual authentication framework for distributed cloud computing services in IoT environment using smart cards | |
CN109716725B (zh) | 数据安全系统及其操作方法和计算机可读存储介质 | |
WO2018030289A1 (ja) | Ssl通信システム、クライアント、サーバ、ssl通信方法、コンピュータプログラム | |
Shaju et al. | BISC authentication algorithm: An efficient new authentication algorithm using three factor authentication for mobile banking | |
CN114553480B (zh) | 跨域单点登录方法、装置、电子设备及可读存储介质 | |
CN110866754A (zh) | 一种基于动态口令的纯软件dpva身份认证方法 | |
EP2070248B1 (en) | System and method for facilitating secure online transactions | |
Kizza | Authentication | |
Yasin et al. | Enhancing anti-phishing by a robust multi-level authentication technique (EARMAT). | |
CN117081783A (zh) | 分布式网络下的身份认证方法、系统、终端、介质及应用 | |
Kumari et al. | Hacking resistance protocol for securing passwords using personal device | |
US20240171380A1 (en) | Methods and devices for authentication | |
Looi et al. | Enhancing sesamev4 with smart cards | |
TWI746504B (zh) | 實現會話標識同步的方法及裝置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |