CN117439771A - 身份认证方法及装置 - Google Patents

身份认证方法及装置 Download PDF

Info

Publication number
CN117439771A
CN117439771A CN202311228614.0A CN202311228614A CN117439771A CN 117439771 A CN117439771 A CN 117439771A CN 202311228614 A CN202311228614 A CN 202311228614A CN 117439771 A CN117439771 A CN 117439771A
Authority
CN
China
Prior art keywords
client
trusted
application
server
identity information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311228614.0A
Other languages
English (en)
Inventor
张锐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alipay Hangzhou Information Technology Co Ltd
Original Assignee
Alipay Hangzhou Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alipay Hangzhou Information Technology Co Ltd filed Critical Alipay Hangzhou Information Technology Co Ltd
Priority to CN202311228614.0A priority Critical patent/CN117439771A/zh
Publication of CN117439771A publication Critical patent/CN117439771A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本说明书涉及一种身份认证方法及装置,方法应用于应用客户端且包括:通过预先部署的第一切面底座,在应用客户端的第一预设切点处注入第一切面程序;在应用客户端访问应用服务端时,生成用于访问应用服务端的访问请求;通过第一切面程序构造访问令牌,并将访问令牌插入访问请求中;其中,访问令牌包括可信身份信息;将携带访问令牌的访问请求发送至应用服务端,以使应用服务端接收携带访问令牌的访问请求,并根据访问令牌的可信身份信息验证应用客户端是否可信。本说明书的身份认证方法及装置,通过预先注入在应用客户端和应用服务端的预设切点的切面程序实现身份认证,从而避免对其他功能造成干扰。

Description

身份认证方法及装置
技术领域
本说明书涉及身份认证技术领域,更具体地涉及一种身份认证方法及装置。
背景技术
基于互联网技术的发展,用户可通过安装在终端设备上的各种应用程序(即应用客户端)实现不同的功能。应用客户端在实现其功能时,通常需要与应用服务端进行信息交互,例如访问应用服务端的数据,调用应用服务端的接口等等;因此应用服务端需对应用客户端进行身份认证,避免非法应用客户端调用隐私数据,造成隐私泄露。
现有技术中,通常在开发阶段就将身份认证功能加入应用客户端和应用服务端,这样,当应用客户端需要访问应用服务端时,应用服务端将对应用客户端进行身份认证,身份认证通过后,再接受应用客户端的访问请求。
但是,现有的身份认证功能与应用程序的其他功能是耦合的,当需要对身份认证功能进行修改时,需要对应用程序的源代码进行修改,导致对应用程序的其他功能造成干扰。
发明内容
本说明书的目的之一在于提供一种身份认证方法,通过预先注入在应用客户端的第一预设切点的第一切面程序实现身份认证,从而使身份认证功能与应用客户端的其他功能解耦,避免对其他功能造成干扰。
基于上述目的,本说明书一方面提供一种身份认证方法,应用于应用客户端,所述方法包括:
通过预先部署的第一切面底座,在所述应用客户端的第一预设切点处注入第一切面程序;
在所述应用客户端访问应用服务端时,生成用于访问应用服务端的访问请求;
通过所述第一切面程序构造访问令牌,并将所述访问令牌插入所述访问请求中;其中,所述访问令牌包括可信身份信息;
将携带所述访问令牌的访问请求发送至应用服务端,以使所述应用服务端接收携带所述访问令牌的访问请求,并根据所述访问令牌的可信身份信息验证所述应用客户端是否可信。
进一步地,在一些实施方式中,通过所述第一切面程序构造访问令牌,具体包括:
通过所述第一切面程序判断所述应用客户端中是否存在可信身份信息;
若否,则通过所述第一切面程序向身份服务端申请可信身份信息;
所述第一切面程序根据所述可信身份信息构造访问令牌。
进一步地,在一些实施方式中,向身份服务端申请可信身份信息,具体包括:
采集所述应用客户端的度量数据;
将所述度量数据发送至所述身份服务端;
接收所述身份服务端对所述度量数据进行安全校验后生成并发送的所述可信身份信息。
进一步地,在一些实施方式中,所述可信身份信息包括客户端公钥,根据所述可信身份信息构造访问令牌,具体包括:
生成令牌有效期;
利用客户端私钥对所述可信身份信息和所述令牌有效期进行签名,得到第一签名结果;
根据所述可信身份信息和所述第一签名结果构造访问令牌。
本说明书的另一目的在于提供一种身份认证方法,通过预先注入在应用服务端的第二预设切点的第二切面程序实现身份认证,从而使身份认证功能与应用服务端的其他功能解耦,避免对其他功能造成干扰。
基于上述目的,本说明书另一方面提供一种身份认证方法,应用于应用服务端,所述方法包括:
通过预先部署的第二切面底座,在所述应用服务端的第二预设切点处注入第二切面程序;
在应用客户端访问应用服务端时,接收所述应用客户端发送的携带访问令牌的访问请求;其中,所述访问令牌包括可信身份信息;
通过所述第二切面程序根据所述访问令牌的可信身份信息验证所述应用客户端是否可信。
进一步地,在一些实施方式中,所述可信身份信息包括客户端公钥和利用预置的身份服务端私钥对所述客户端公钥进行签名后得到的第二签名结果;根据所述访问令牌的可信身份信息验证所述应用客户端是否可信,具体包括:
利用预置的身份服务端公钥对所述第二签名结果进行验签;
若验签通过,则所述应用客户端可信。
进一步地,在一些实施方式中,所述可信身份信息包括还包括客户端公钥的有效期,所述第二签名结果为利用所述身份服务端私钥对所述客户端公钥和所述客户端公钥的有效期进行签名后得到的;
利用预置的身份服务端公钥对所述第二签名结果进行验签,若验签通过,则所述应用客户端可信,具体包括:
利用预置的身份服务端公钥对所述第二签名结果进行验签;
在验签通过后,校验所述客户端公钥的有效期是否过期;
若否,则所述应用客户端可信。
进一步地,在一些实施方式中,所述访问令牌还包括令牌有效期和利用客户端私钥对所述可信身份信息和所述令牌有效期进行签名后的第一签名结果;
在验签通过后,校验所述应用客户端的有效期是否过期,若否,则所述应用客户端可信,具体包括:
在验签通过后,校验所述客户端公钥的有效期是否过期;
若否,则利用所述客户端公钥对所述第一签名结果进行验签;
在验签通过后,校验所述令牌有效期是否过期;
若否,则所述应用客户端可信。
本说明书的又一目的在于提供一种身份认证方法,以使应用服务端通过可信身份信息实现对应用客户端的身份认证。
基于上述目的,本说明书又一方面提供一种身份认证方法,应用于身份服务端,所述方法包括:
在应用客户端向身份服务端申请可信身份信息时,接收应用客户端发送的度量数据;
对所述度量数据进行安全校验;
在所述安全校验通过后,生成可信身份信息;
将所述可信身份信息发送至所述应用客户端。
进一步地,在一些实施方式中,在所述安全校验通过后,生成可信身份信息,将所述可信身份信息发送至所述应用客户端,具体包括:
在所述安全校验通过后,生成客户端私钥和客户端公钥;
利用预置的身份服务端私钥对所述客户端公钥进行签名,得到第二签名结果;
根据所述客户端公钥和所述第二签名结果构造所述可信身份信息;
将所述可信身份信息和所述客户端私钥发送至所述应用客户端。
进一步地,在一些实施方式中,利用预置的身份服务端私钥对所述客户端公钥进行签名,得到第二签名结果,根据所述客户端公钥和所述第二签名结果构造所述可信身份信息,具体包括:
生成客户端公钥的有效期;
利用预置的身份服务端私钥对所述客户端公钥和所述客户端公钥的有效期进行签名,得到第二签名结果;
根据所述客户端公钥、所述客户端公钥的有效期和所述第二签名结果构造可信身份信息。
本说明书的又一目的在于提供一种身份认证装置,通过预先注入在应用客户端的第一预设切点的第一切面程序实现身份认证,从而使身份认证功能与应用客户端的其他功能解耦,避免对其他功能造成干扰。
基于上述目的,本说明书又一方面提供一种身份认证装置,应用于应用客户端,所述装置包括:
第一注入模块,设置为通过预先部署的第一切面底座,在所述应用客户端的第一预设切点处注入第一切面程序;
第一生成模块,设置为在所述应用客户端访问应用服务端时,生成用于访问应用服务端的访问请求;
构造模块,设置为通过所述第一切面程序构造访问令牌,并将所述访问令牌插入所述访问请求中;其中,所述访问令牌包括可信身份信息;
第一发送模块,设置为将携带所述访问令牌的访问请求发送至应用服务端,以使所述应用服务端接收携带所述访问令牌的访问请求,并根据所述访问令牌的可信身份信息验证所述应用客户端是否可信。
进一步地,在一些实施方式中,通过所述第一切面程序构造访问令牌,具体包括:
通过所述第一切面程序判断所述应用客户端中是否存在可信身份信息;
若否,则通过所述第一切面程序向身份服务端申请可信身份信息;
所述第一切面程序根据所述可信身份信息构造访问令牌。
进一步地,在一些实施方式中,向身份服务端申请可信身份信息,具体包括:
采集所述应用客户端的度量数据;
将所述度量数据发送至所述身份服务端;
接收所述身份服务端对所述度量数据进行安全校验后生成并发送的所述可信身份信息。
进一步地,在一些实施方式中,所述可信身份信息包括客户端公钥,根据所述可信身份信息构造访问令牌,具体包括:
生成令牌有效期;
利用客户端私钥对所述可信身份信息和所述令牌有效期进行签名,得到第一签名结果;
根据所述可信身份信息和所述第一签名结果构造访问令牌。
本说明书又一目的在于提供一种身份认证装置,通过预先注入在应用服务端的第二预设切点的第二切面程序实现身份认证,从而使身份认证功能与应用服务端的其他功能解耦,避免对其他功能造成干扰。
基于上述目的,本说明书又一方面提供一种身份认证装置,应用于应用服务端,所述装置包括:
第二注入模块,设置为通过预先部署的第二切面底座,在所述应用服务端的第二预设切点处注入第二切面程序;
第一接收模块,设置为在应用客户端访问应用服务端时,接收所述应用客户端发送的携带访问令牌的访问请求;其中,所述访问令牌包括可信身份信息;
验证模块,设置为通过所述第二切面程序根据所述访问令牌的可信身份信息验证所述应用客户端是否可信。
进一步地,在一些实施方式中,所述可信身份信息包括客户端公钥和利用预置的身份服务端私钥对所述客户端公钥进行签名后得到的第二签名结果;根据所述访问令牌的可信身份信息验证所述应用客户端是否可信,具体包括:
利用预置的身份服务端公钥对所述第二签名结果进行验签;
若验签通过,则所述应用客户端可信。
进一步地,在一些实施方式中,所述可信身份信息包括还包括客户端公钥的有效期,所述第二签名结果为利用所述身份服务端私钥对所述客户端公钥和所述客户端公钥的有效期进行签名后得到的;
利用预置的身份服务端公钥对所述第二签名结果进行验签,若验签通过,则所述应用客户端可信,具体包括:
利用预置的身份服务端公钥对所述第二签名结果进行验签;
在验签通过后,校验所述客户端公钥的有效期是否过期;
若否,则所述应用客户端可信。
进一步地,在一些实施方式中,所述访问令牌还包括令牌有效期和利用客户端私钥对所述可信身份信息和所述令牌有效期进行签名后的第一签名结果;
在验签通过后,校验所述应用客户端的有效期是否过期,若否,则所述应用客户端可信,具体包括:
在验签通过后,校验所述客户端公钥的有效期是否过期;
若否,则利用所述客户端公钥对所述第一签名结果进行验签;
在验签通过后,校验所述令牌有效期是否过期;
若否,则所述应用客户端可信。
本说明书又一目的在于提供一种身份认证装置,以使应用服务端通过可信身份信息实现对应用客户端的身份认证。
基于上述目的,本说明书提供一种身份认证装置,应用于身份服务端,所述装置包括:
第二接收模块,设置为在应用客户端向身份服务端申请可信身份信息时,接收应用客户端发送的度量数据;
校验模块,设置为对所述度量数据进行安全校验;
第二生成模块,设置为在所述安全校验通过后,生成可信身份信息;
第二发送模块,设置为将所述可信身份信息发送至所述应用客户端。
进一步地,在一些实施方式中,在所述安全校验通过后,生成可信身份信息,将所述可信身份信息发送至所述应用客户端,具体包括:
在所述安全校验通过后,生成客户端私钥和客户端公钥;
利用预置的身份服务端私钥对所述客户端公钥进行签名,得到第二签名结果;
根据所述客户端公钥和所述第二签名结果构造所述可信身份信息;
将所述可信身份信息和所述客户端私钥发送至所述应用客户端。
进一步地,在一些实施方式中,利用预置的身份服务端私钥对所述客户端公钥进行签名,得到第二签名结果,根据所述客户端公钥和所述第二签名结果构造所述可信身份信息,具体包括:
生成客户端公钥的有效期;
利用预置的身份服务端私钥对所述客户端公钥和所述客户端公钥的有效期进行签名,得到第二签名结果;
根据所述客户端公钥、所述客户端公钥的有效期和所述第二签名结果构造可信身份信息。
附图说明
图1为根据本说明书实施例的应用于应用客户端的身份认证方法的流程图;
图2为根据本说明书实施例的应用于应用服务端的身份认证方法的流程图;
图3为根据本说明书实施例的应用于身份服务端的身份认证方法的流程图;
图4为根据本说明书实施例的应用于应用客户端的身份认证装置的流程图;
图5为根据本说明书实施例的应用于应用服务端的身份认证装置的流程图;
图6为根据本说明书实施例的应用于身份服务端的身份认证装置的流程图。
具体实施方式
下面结合附图,给出本说明书的较佳实施例,并予以详细描述。
安全切面是指通过采用面向切面编程(Aspect-oriented Programming,AOP)的方式,在不修改应用程序的情况下,在应用程序的运行逻辑中动态的添加或修改用于实现安全切面功能的切面程序的方法。使得在实现安全切面功能的同时,使实现安全切面功能的程序与应用程序解耦,从而避免高耦合导致的开发迭代问题。
这里说的切面程序,即基于功能运行逻辑来实现安全切面功能的增强程序。可通过采用面向切面编程的方式,将切面程序注入至应用程序的相应切点处,该切面程序在执行应用程序的过程中被触发执行,实现所需的安全切面功能。
而应用程序在执行功能时,应用程序通常通过方法之间的调用进行功能执行。因此,可将应用程序中的任意方法作为切面程序的切入点,即上述所说的切点,并将切面程序注入对应切点。使得应用程序在执行至切点,即调用该切点对应的应用程序的方法时,执行在该切点注入的切面程序。
通常,负责将切面程序注入至切点的过程的代码存在较高的可复用性,因此,通常将实现这一过程的程序抽象为一个服务模块,即切面底座。切面底座可从提供安全切面功能的服务器获取需要部署的切面程序以及获取切面程序在应用程序中注入的切点,在应用容器启动后被唤醒并在应用程序的切点处注入对应的切面程序。
应用程序可以是功能平台的服务器中提供功能服务的应用程序。其中,功能服务可以是功能平台的服务器向用户提供的功能服务,如,查询功能、支付功能等。功能服务还可以是功能平台的某服务器向其他服务器提供的功能服务,如,结算功能等。
当然了,由上述描述可知,为了使安全切面功能的程序与应用程序解耦,本说明书通过采用面向切面编程的方式使得安全切面功能的程序与应用程序在功能执行时相互交织,但又互相平行可各自独立维护。因此,区别于应用程序的功能提供方,提供安全切面功能的第三方可通过服务器管理安全切面功能所涉及的内容,例如,安全切面功能管控策略的配置、切面程序的版本迭代、切面程序的部署规则配置等等。当然,提供安全切面功能的可以是第三方,也可以是功能提供方。
服务器在管理安全切面功能所涉及的内容时,可通过配置文件记录各种配置信息,例如各种策略的配置、切面程序的部署规则配置等。使得切面底座可根据配置文件完成对切面程序的部署,或者服务器可根据配置文件实现安全切面功能。
在实际应用中,功能提供方通常设置有包括若干物理机或物理服务器的机房,通过物理机提供应用程序所需的物理资源。当然,一个应用程序可能无需整个物理机的所有物理资源,于是,一般还会通过虚拟化技术在一个物理机上运行多个虚拟主机(virtualhosting)。各个虚拟主机之间是互相独立的,各自享有物理机的部分物理资源。然后,可在虚拟主机中部署应用容器,并通过应用容器运行应用程序。应用容器通常包含分配给该应用容器的物理资源,如CPU、内存等,以及提供给该应用容器的运行环境,如操作系统(Operating System,OS)或其他运行环境数据,如,容器的序列(Serial Number,SN)号、分配的IP(Influential Property)、应用名、租户、环境变量等)。应用程序可部署在应用容器中以执行功能。
而在基于安全切面执行功能的场景中,功能提供方或者提供安全切面功能的第三方的服务器可提供服务器,通过服务器管理安全切面功能所涉及的内容,并将切面底座部署在应用容器中,通过切面底座将切面程序注入应用容器中的应用程序中,以为功能提供方的应用容器提供安全切面功能的支持。
于是,可预先在功能提供方的应用容器中部署切面底座。一般情况下,在启动应用容器时,可唤起提供给应用容器的操作系统,以及运行预先部署的切面底座,通过切面底座从服务器中得到切面程序和应用程序的切点,并将切面程序注入应用容器中的应用程序的切点处。此外,切面底座也可在应用程序执行过程中,从服务器中得到切面程序和应用程序的切点,并将切面程序注入应用容器中的应用程序的切点处。
当然,切面底座如何从服务器中得到部署切面程序所需的信息,可根据需要设置。例如,可以是根据配置文件主动从服务器中拉取所需的信息,或者服务器可主动下发使切面底座接收所需的信息。
将切面程序注入应用程序的切点后,应用程序在执行过程中,即可触发该切面程序从而实现相应的安全切面功能。
应用客户端在实现功能时,通常需要与应用服务端进行信息交互,例如访问应用服务端的数据,调用应用服务端的接口等等,若应用服务端不对应用客户端的身份进行认证,那么非法客户端可以任意访问一些敏感的服务和数据,造成数据泄漏,从而带来大量的安全风险。现有技术中主要存在两种认证方式,一种是基于CA(证书授权)中心的认证方式,应用客户端向权威的CA中心申请证书,在需要访问应用服务端时,应用客户端将CA中心颁发的证书发送至应用服务端,由应用服务端验证该证书是否可信,若是,则信任应用客户端,并接受其访问请求;但是这种方式的证书的长度过大,无法适用于对报文大小敏感的场景,且无法做到灵活的凭证有效期控制;另一种是基于公钥/私钥等对称密钥的认证方式,应用客户端和应用服务端均保存一份相同的私钥,在应用客户端访问应用服务端时,应用客户端会带上公钥和利用私钥对访问请求签名后的签名信息,应用服务端则根据公钥搜索到对应的私钥,然后利用私钥对访问请求进行加密,也得到一个签名信息,然后将两个签名信息进行对比,若相同,则说明应用客户端可信,身份认证通过;反之,则身份认证不通过;但是,这种方式中私钥的传递很难保证安全,泄漏风险高,且应用服务端需要维护所有客户端的私钥,量大风险高。此外,现有的身份认证功能均是与应用客户端的其他功能耦合在一起,当需要对身份认证功能进行修改(例如,修改证书有效期、轮换私钥等)时,需要对应用客户端的源代码进行修改,并对应用客户端的其他功能造成干扰,十分不便。
基于此,本说明书提供一种基于安全切面的身份认证方法,通过注入在应用客户端和应用服务端的预设切点的切面程序实现身份认证,从而使身份认证功能与应用客户端和应用服务端的其他功能解耦,避免对其他功能造成干扰。
如图1所示,本说明书实施例提供一种身份认证方法,应用于应用客户端,该方法包括以下步骤:
S110:通过预先部署的第一切面底座,在应用客户端的第一预设切点处注入第一切面程序。
在一些实施例中,第一预设切点的位置可根据需要进行选择,针对不同的应用客户端,第一预设切点的位置也不同。切面程序的注入方式可以为静态注入,也可以为动态注入。通常来说,第一预设切点的位置可以为生成访问请求的函数处,这样,在生成访问请求后,即可触发第一切面程序,由第一切面程序实现身份认证功能。
S120:在应用客户端访问应用服务端时,生成用于访问应用服务端的访问请求。
访问请求中可包括所请求的信息,例如需要访问的数据、调用的接口等等。
S130:通过第一切面程序构造访问令牌,并将访问令牌插入访问请求中;其中,访问令牌包括可信身份信息。
在一些实施例中,访问令牌根据应用客户端中预存的可信身份信息构造得到。应用客户端的可信身份信息则由身份服务端(即用于颁发和管理可信身份信息的第三方服务端)颁发。具体地,通过第一切面程序构造访问令牌,包括步骤:
S131:通过第一切面程序判断应用客户端中是否存在可信身份信息;
S132:若否,则通过第一切面程序向身份服务端申请可信身份信息;
S133:第一切面程序根据可信身份信息构造访问令牌。
在一些实施例中,在向身份服务端申请可信身份信息时,可向身份服务端提供一些证明应用客户端身份的数据,以便于身份服务端根据这些数据验证应用客户端的身份,在验证通过后,身份服务端再为应用服务端颁发可信身份信息。具体地,向身份服务端申请可信身份信息包括步骤:
S132a:采集应用客户端的度量数据;
S132b:将度量数据发送至身份服务端;以使身份服务端对该度量数据进行安全校验,在安全校验通过后,身份服务端生成可信身份信息并将可信身份信息发送至第一切面程序;
S132c:接收身份服务端发送的可信身份信息。
在一些实施例中,应用客户端的度量数据可以包括应用名称、进程信息、可执行的二进制文件、机器信息等。身份服务端中预存有应用客户端的标准度量数据,在接收到应用客户端的度量数据后,身份服务端可将其与标准度量数据进行对比,以进行安全校验,若对比结果为相同,则说明接收到的度量数据是安全的,安全校验通过,然后身份服务端会生成可信身份信息,并发送至第一切面程序;反之,则说明接收到的度量数据是不安全的,安全校验不通过,身份服务端拒绝可信身份信息的申请。
在一些实施例中,访问令牌中还可包括令牌有效期,身份服务端在安全校验通过后,会生成客户端私钥和客户端公钥,然后根据客户端公钥构造可信身份信息,然后再将客户端私钥和可信身份信息一起发送给应用客户端;根据可信身份信息构造访问令牌,具体包括步骤:
S133a:生成令牌有效期;
S133b:利用客户端私钥对可信身份信息和令牌有效期进行签名,得到第一签名结果;
S133c:根据可信身份信息和第一签名结果构造访问令牌。
在一些实施例中,访问令牌还可包括身份标识(例如名字、工号、email地址等等)和/或其他任何合适的扩展信息(例如,应用客户端放到哪个机房等),此时第一签名结果为第一切面程序利用客户端私钥对可信身份信息、令牌有效期、客户端身份标识和/或其他任何合适的扩展信息得到的,在应用服务端验证应用客户端可信后,应用服务端信任客户端身份标识和/或其他任何合适的扩展信息,确认应用客户端为身份标识中描述的主体。
在一个示例性的实施例中,访问令牌可以采用JWT格式。JWT全称为Json WebToken,其是以JWS(JSON Web签名)或JWE(JSON Web加密)结构编码的JSON格式字符序列。JWT包括header(头部)、payload(有效载荷)和signature(签名),JWT中的内容可根据需要进行灵活定制。在该示例性实施例中,访问令牌可表示为:JWT=header{typ,alg,kid}.payload{expire,sub,ext}.signature,其中,typ为令牌类型,此处即为JWT,alg为签名所用的算法,例如可以为HMAC SHA256算法,kid为一个可选的报头,此处为可信身份信息;expire为令牌有效期,sub为应用身份标识,ext为扩展信息,signature为对header和payload的签名(即第一签名结果)。
S140:将携带访问令牌的访问请求发送至应用服务端,以使应用服务端接收携带访问令牌的访问请求,并根据访问令牌的可信身份信息验证应用客户端是否可信。
在一些实施例中,应用服务端接收携带访问令牌的访问请求后,会先验证访问令牌中的可信身份信息是否由身份服务端颁发,若是,则认为该应用客户端可信,应用服务端会接受该应用客户端的访问请求;若否,则认为该应用客户端不可信,应用服务端会拒绝该访问请求。
在一些实施例中,可通过预先注入在应用服务端的第二预设切点处的第二切面程序来根据可信身份信息验证应用客户端是否可信。第二预设切点的位置可根据需要进行选择,例如可设置在应用服务端的接收函数处,这样,当应用服务端接收到携带访问令牌的访问请求后,即可触发第二切面程序实现应用客户端的身份认证。
在一些实施例中,可信身份信息可包括客户端公钥和利用预置的身份服务端私钥对客户端公钥进行签名后得到的第二签名结果;应用服务端接收到携带访问令牌的访问请求后,可利用预置的身份服务端公钥对可信身份信息中的第二签名结果进行验签,若验签通过,则说明该可信身份信息是由身份服务端颁发给应用客户端的,该应用客户端可信;反之,则该应用客户端不可信。
在一些实施例中,可信息身份信息还可包括客户端公钥的有效期(由身份服务端生成),第二签名结果则为利用预置的身份服务端私钥对客户端公钥和客户端公钥的有效期进行签名后得到的,此时,应用服务端会先对第二签名结果进行验签,在验签通过后,再对客户端公钥的有效期进行校验,若没有过期,则认为应用客户端可信;反之,则认为应用客户端不可信。
在一些实施例中,当访问令牌包括令牌有效期时,应用服务端会先验证可信身份信息的客户端公钥是否可信(即是否由身份服务端颁发和/或是否过期),若可信,则利用客户端公钥对第一签名结果进行验签,在验签通过后,再校验令牌有效期是否过期,若否,则认为应用客户端可信。
由于可信身份信息只包括客户端公钥、第二签名结果(或客户端公钥、客户端公钥的有效期和第二签名结果),其结构简单,长度小,访问令牌的内容可以灵活定制,因此访问令牌的长度也较小,可以减少占用空间,在发送给应用服务端的报文长度一定时,可以为访问请求留下更多的空间,因此可以携带更多的信息,从而满足对报文大小敏感的场景。
本说明书实施例的身份认证方法具有三级凭证,包括身份服务端私钥、客户端私钥和访问令牌,其中身份服务端私钥只有身份服务端知悉,客户端私钥是由身份服务端生成并发送给应用客户端的,只有应用客户端和身份服务端知悉,访问令牌则是由应用客户端根据可信身份信息和客户端私钥生成的;通过三级凭证机制,可减小凭证泄漏造成的身份冒用等风险,从而实现更安全的访问控制;应用服务端只需管理一个身份服务端公钥,即可实现各应用客户端的身份认证,量少,风险低。
在一些实施例中,身份服务端私钥、客户端私钥、可信身份信息和访问令牌均可以设置有效期,例如,身份服务端私钥的有效期可以为5年,客户端私钥和可信身份信息的有效期为1年,令牌有效期为1小时。
通过切面服务器,将第一切面程序注入应用客户端的第一预设切点和/或第二切面程序注入应用服务端的第二预设切点,从而实现身份认证,可以大大缩短研发周期,对原有功能无干扰。切面服务器还可以采集第一切面程序和第二切面程序运行过程中的数据(例如时间戳、上下文参数等等),从而实现切面程序运行时的监控和问题调试。切面服务器还可以通过更新切面配置来实现切面程序的管控,无需重新注入切面程序,生效快。例如,当客户端私钥和可信身份信息需要轮换时,切面服务器可更新切面配置,并下发至第一切面程序,使得第一切面程序重新申请新的客户端私钥和可信身份信息。通过切面服务器的管控,可以灵活、快速地实现密钥轮换和应急响应,使得应用客户端和应用服务端更加安全,例如,当客户端私钥和可信身份信息被攻击者窃取时,可通过更新切面配置,来更新客户端私钥和可信身份信息,或者将令牌有效期改为1分钟,使得攻击者无法获取应用服务端的认可;又或者,在某些特殊情况下,切面服务器可紧急关闭切面功能,从而防止数据泄漏。
如图2所示,本说明书另一实施例提供一种身份认证方法,应用于应用服务端,该方法包括以下步骤:
S210:通过预先部署的第二切面底座,在应用服务端的第二预设切点处注入第二切面程序;
S220:在应用客户端访问应用服务端时,接收应用客户端发送的携带访问令牌的访问请求;其中,访问令牌包括可信身份信息;
S230:通过第二切面程序根据访问令牌的可信身份信息验证应用客户端是否可信。
在一些实施例中,第二预设切点的位置可根据需要进行选择,针对不同的应用客户端,第二预设切点的位置也不同。切面程序的注入方式可以为静态注入,也可以为动态注入。通常来说,第二预设切点的位置可以为接收访问请求的函数处,这样,应用服务端在接收到应用客户端的访问请求后,即可触发第二切面程序,由第二切面程序实现身份认证功能。
在一些实施例中,可信身份信息可包括客户端公钥和利用预置的身份服务端私钥对客户端公钥进行签名后得到的第二签名结果,应用服务端中存储有预置的身份服务端公钥,根据访问令牌的可信身份信息验证应用客户端是否可信,具体包括:
利用预置的身份服务端公钥对第二签名结果进行验签;若验签通过,则应用客户端可信。
在一些实施例中,可信身份信息是由权威的身份服务端颁发给应用客户端的,身份服务端私钥和身份服务端公钥可以是厂商预置的一对对称密钥,身份服务端私钥由身份服务端保管,身份服务端公钥则由应用服务端保管;或者,身份服务端私钥和身份服务端公钥是由身份服务端预先生成的,生成后,身份服务端会将身份服务端公钥发送至应用服务端。可信身份信息的第二签名结果室利用身份服务端私钥进行签名后得到的,应用服务端通过身份服务端公钥对其进行验签,即可确定该第二签名结果是否由身份服务端私钥签名,从而确定可信身份信息是否由身份服务端颁发,若是身份服务端颁发,则认为可信身份信息可信;否则,认为其不可信。
在一些实施例中,可信身份信息还可包括客户端公钥的有效期,第二签名结果则为利用身份服务端私钥对客户端公钥和客户端公钥的有效期进行签名后得到的,此时,根据访问令牌的可信身份信息验证应用客户端是否可信,具体包括:
利用预置的身份服务端公钥对第二签名结果进行验签;
在验签通过后,校验客户端公钥的有效期是否过期;
若否,则应用客户端可信。
客户端公钥的有效期是由身份服务端生成的,通过设置客户端公钥的有效期,可以实现对可信身份信息的灵活控制。
在一些实施例中,访问令牌还可包括令牌有效期和利用客户端私钥对可信身份信息和令牌有效期进行签名后的第一签名结果;此时,根据所述访问令牌的可信身份信息验证所述应用客户端是否可信,具体包括:
利用预置的身份服务端公钥对第二签名结果进行验签;
在验签通过后,校验客户端公钥的有效期是否过期;
若否,则利用客户端公钥对第一签名结果进行验签;
在验签通过后,校验令牌有效期是否过期;
若否,则应用客户端可信。
客户端私钥是由身份服务端生成并发送给应用客户端的,访问令牌则是应用客户端根据客户端私钥和可信身份信息构造得到的,通过设置令牌有效期,可以实现对访问令牌的灵活控制。
在一些实施例中,访问令牌还可以包括身份标识和/或其他任何合适的扩展信息,此时第一签名结果为利用客户端私钥对可信身份信息、令牌有效期、客户端身份标识和/或其他任何合适的扩展信息得到的,在应用服务端验证应用客户端可信后,应用服务端信任客户端身份标识和/或其他任何合适的扩展信息,确认应用客户端为身份标识中描述的主体。
如图3所示,本说明书实施例还提供一种身份认证方法,应用于身份服务端,该方法包括以下步骤:
S310:在应用客户端向身份服务端申请可信身份信息时,接收应用客户端发送的度量数据;
S320:对度量数据进行安全校验;
S330:在安全校验通过后,生成可信身份信息;
S340:将可信身份信息发送至应用客户端。
身份服务端是用于颁发和管理可信身份信息的权威机构,身份服务端认为其所颁发的可信身份信息是可信的,因此,身份服务端在为应用客户端颁发可信身份信息时,需要先对应用客户端的身份进行安全校验。在一些实施例中,应用客户端的度量数据可以包括应用名称、进程信息、可执行的二进制文件、机器信息等,身份服务端中预存有应用客户端的标准度量数据,在接收到应用客户端的度量数据后,身份服务端可将其与标准度量数据进行对比,以进行安全校验,若对比结果为相同,则说明接收到的度量数据是安全的,安全校验通过,然后身份服务端会生成可信身份信息,并发送至应用客户端;反之,则说明接收到的度量数据是不安全的,安全校验不通过,身份服务端拒绝可信身份信息的申请。
在一些实施例中,可信身份信息可包括客户端公钥,此时步骤S330和步骤S340具体包括:
在安全校验通过后,生成客户端私钥和客户端公钥;
利用预置的身份服务端私钥对客户端公钥进行签名,得到第二签名结果;
根据客户端公钥和第二签名结果构造可信身份信息;
将可信身份信息和客户端私钥发送至应用客户端。
在一些实施例中,可信身份信息还可包括客户端公钥的有效期,此时步骤S330和步骤S340具体包括:
在安全校验通过后,生成客户端私钥和客户端公钥;
生成客户端公钥的有效期;
利用预置的身份服务端私钥对客户端公钥和客户端公钥的有效期进行签名,得到第二签名结果;
根据客户端公钥、客户端公钥的有效期和第二签名结果构造可信身份信息;
将可信身份信息和客户端私钥发送至应用客户端。
由于可信身份信息仅包括客户端公钥、客户端公钥的有效期和第二签名结果,其结构简单,长度小,因此可以适用于对报文大小敏感的场景。
在一些实施例中,身份服务端私钥可以是厂商预置的,由身份服务端保存,其对应的身份服务端公钥则由应用服务端保存。在另一些实施例中,身份服务端私钥和身份服务端公钥也可以是由身份服务端预先生成的,身份服务端私钥由身份服务端自己保管,身份服务端公钥则发送给应用服务端保管。
本说明书实施例的身份认证方法,通过预先注入在应用客户端的第一切面程序和预先注入在应用客户端的第二切面程序实现身份认证功能,可大大缩短研发周期,对应用的原有功能无干扰;通过身份服务端私钥、客户端私钥和访问令牌三级凭证机制,可以减小凭证泄漏造成的身份冒用等安全风险,实现更安全的访问控制;可信身份信息的结构简单,长度小,访问令牌的内容也可以灵活定制,从而满足对报文大小敏感的场景;通过切面服务器管控切面配置,可以灵活、快速地实现密钥轮换和应急响应,非常有利于生产环境落地。
如图4所示,本说明书实施例还提供一种身份认证装置,应用于应用客户端,该装置包括:第一注入模块11、第一生成模块12、构造模块13和第一发送模块14。
其中,第一注入模块11设置为通过预先部署的第一切面底座,在应用客户端的第一预设切点处注入第一切面程序。
在一些实施例中,第一预设切点的位置可根据需要进行选择,针对不同的应用客户端,第一预设切点的位置也不同。切面程序的注入方式可以为静态注入,也可以为动态注入。通常来说,第一预设切点的位置可以为生成访问请求的函数处,这样,在生成访问请求后,即可触发第一切面程序,由第一切面程序实现身份认证功能。
第一生成模块12设置为在应用客户端访问应用服务端时,生成用于访问应用服务端的访问请求。
构造模块13设置为通过所述第一切面程序构造访问令牌,并将访问令牌插入访问请求中;其中,访问令牌包括可信身份信息。
在一些实施例中,通过第一切面程序构造访问令牌,具体包括:
通过第一切面程序判断应用客户端中是否存在可信身份信息;
若否,则通过第一切面程序向身份服务端申请可信身份信息;
第一切面程序根据可信身份信息构造访问令牌。
在一些实施例中,向身份服务端申请可信身份信息,具体包括:
采集应用客户端的度量数据;
将度量数据发送至身份服务端;以使身份服务端对该度量数据进行安全校验,在安全校验通过后,身份服务端生成可信身份信息并将可信身份信息发送至第一切面程序;
接收身份服务端发送的可信身份信息。
在一些实施例中,应用客户端的度量数据可以包括应用名称、进程信息、可执行的二进制文件、机器信息等。身份服务端中预存有应用客户端的标准度量数据,在接收到应用客户端的度量数据后,身份服务端可将其与标准度量数据进行对比,以进行安全校验,若对比结果为相同,则安全校验通过;反之,则安全校验不通过。
在一些实施例中,访问令牌中还可包括令牌有效期;根据可信身份信息构造访问令牌,具体包括:
生成令牌有效期;
利用客户端私钥对可信身份信息和令牌有效期进行签名,得到第一签名结果;
根据可信身份信息和第一签名结果构造访问令牌。
在一些实施例中,访问令牌还可包括身份标识和/或其他任何合适的扩展信息,此时第一签名结果为第一切面程序利用客户端私钥对可信身份信息、令牌有效期、客户端身份标识和/或其他任何合适的扩展信息得到的,在应用服务端验证应用客户端可信后,应用服务端信任客户端身份标识和/或其他任何合适的扩展信息,确认应用客户端为身份标识中描述的主体。
在一个示例性的实施例中,访问令牌可以采用JWT格式,其可表示为:JWT=header{typ,alg,kid}.payload{expire,sub,ext}.signature,其中,typ为令牌类型,此处即为JWT,alg为签名所用的算法,例如可以为HMAC SHA256算法,kid为一个可选的报头,此处为可信身份信息;expire为令牌有效期,sub为应用身份标识,ext为扩展信息,signature为对header和payload的签名(即第一签名结果)。
第一发送模块14设置为将携带访问令牌的访问请求发送至应用服务端,以使应用服务端接收携带访问令牌的访问请求,并根据访问令牌的可信身份信息验证应用客户端是否可信。
在一些实施例中,可通过预先注入在应用服务端的第二预设切点处的第二切面程序来根据可信身份信息验证应用客户端是否可信。第二预设切点的位置可根据需要进行选择,例如可设置在应用服务端的接收函数处,这样,当应用服务端接收到携带访问令牌的访问请求后,即可触发第二切面程序实现应用客户端的身份认证。
在一些实施例中,可信身份信息可包括客户端公钥和利用预置的身份服务端私钥对客户端公钥进行签名后得到的第二签名结果;应用服务端接收到携带访问令牌的访问请求后,可利用预置的身份服务端公钥对可信身份信息中的第二签名结果进行验签,若验签通过,则应用客户端可信;反之,则该应用客户端不可信。
在一些实施例中,可信息身份信息还可包括客户端公钥的有效期,第二签名结果则为利用预置的身份服务端私钥对客户端公钥和客户端公钥的有效期进行签名后得到的,此时,应用服务端会先对第二签名结果进行验签,在验签通过后,再对客户端公钥的有效期进行校验,若没有过期,则认为应用客户端可信;反之,则认为应用客户端不可信。
当访问令牌包括令牌有效期时,应用服务端会先验证可信身份信息的客户端公钥是否可信(即是否由身份服务端颁发和/或是否过期),若可信,则利用客户端公钥对第一签名结果进行验签,在验签通过后,再校验令牌有效期是否过期,若否,则认为应用客户端可信。
如图5所示,本说明书实施例还提供一种身份认证装置,应用于应用服务端,该装置包括:第二注入模块21、第一接收模块22和验证模块23。
其中,第二注入模块21设置为通过预先部署的第二切面底座,在应用服务端的第二预设切点处注入第二切面程序。
第一接收模块22设置为在应用客户端访问应用服务端时,接收应用客户端发送的携带访问令牌的访问请求;其中,访问令牌包括可信身份信息。
验证模块23设置为通过第二切面程序根据访问令牌的可信身份信息验证应用客户端是否可信。
在一些实施例中,第二预设切点的位置可根据需要进行选择,针对不同的应用客户端,第二预设切点的位置也不同。切面程序的注入方式可以为静态注入,也可以为动态注入。通常来说,第二预设切点的位置可以为接收访问请求的函数处,这样,应用服务端在接收到应用客户端的访问请求后,即可触发第二切面程序,由第二切面程序实现身份认证功能。
在一些实施例中,可信身份信息可包括客户端公钥和利用预置的身份服务端私钥对客户端公钥进行签名后得到的第二签名结果,应用服务端中存储有预置的身份服务端公钥,根据访问令牌的可信身份信息验证应用客户端是否可信,具体包括:
利用预置的身份服务端公钥对第二签名结果进行验签;若验签通过,则应用客户端可信。
在一些实施例中,可信身份信息是由权威的身份服务端颁发给应用客户端的,身份服务端私钥和身份服务端公钥可以是厂商预置的一对对称密钥,身份服务端私钥由身份服务端保管,身份服务端公钥则由应用服务端保管;或者,身份服务端私钥和身份服务端公钥是由身份服务端预先生成的,生成后,身份服务端会将身份服务端公钥发送至应用服务端。
在一些实施例中,可信身份信息还可包括客户端公钥的有效期,第二签名结果则为利用身份服务端私钥对客户端公钥和客户端公钥的有效期进行签名后得到的,此时,根据访问令牌的可信身份信息验证应用客户端是否可信,具体包括:
利用预置的身份服务端公钥对第二签名结果进行验签;
在验签通过后,校验客户端公钥的有效期是否过期;
若否,则应用客户端可信。
客户端公钥的有效期是由身份服务端生成的,通过设置客户端公钥的有效期,可以实现对可信身份信息的灵活控制。
在一些实施例中,访问令牌还可包括令牌有效期和利用客户端私钥对可信身份信息和令牌有效期进行签名后的第一签名结果;此时,根据所述访问令牌的可信身份信息验证所述应用客户端是否可信,具体包括:
利用预置的身份服务端公钥对第二签名结果进行验签;
在验签通过后,校验客户端公钥的有效期是否过期;
若否,则利用客户端公钥对第一签名结果进行验签;
在验签通过后,校验令牌有效期是否过期;
若否,则应用客户端可信。
客户端私钥是由身份服务端生成并发送给应用客户端的,访问令牌则是应用客户端根据客户端私钥和可信身份信息构造得到的,通过设置令牌有效期,可以实现对访问令牌的灵活控制。
如图6所示,本说明书实施例还提供一种身份认证装置,应用于身份认证服务端,该装置包括:第二接收模块31、校验模块32、第二生成模块33和第二发送模块34。
其中,第二接收模块31设置为在应用客户端向身份服务端申请可信身份信息时,接收应用客户端发送的度量数据。
校验模块32设置为对度量数据进行安全校验。
第二生成模块33设置为在安全校验通过后,生成可信身份信息。
第二发送模块34设置为将可信身份信息发送至应用客户端。
在一些实施例中,应用客户端的度量数据可以包括应用名称、进程信息、可执行的二进制文件、机器信息等,身份服务端中预存有应用客户端的标准度量数据,在接收到应用客户端的度量数据后,身份服务端可将其与标准度量数据进行对比,以进行安全校验,若对比结果为相同,则说明接收到的度量数据是安全的,安全校验通过,然后身份服务端会生成可信身份信息,并发送至应用客户端;反之,则说明接收到的度量数据是不安全的,安全校验不通过,身份服务端拒绝可信身份信息的申请。
在一些实施例中,第二生成模块33进一步设置为:在安全校验通过后,生成客户端私钥和客户端公钥;利用预置的身份服务端私钥对客户端公钥进行签名,得到第二签名结果;根据客户端公钥和第二签名结果构造可信身份信息。第二发送模块34则进一步设置为:将可信身份信息和客户端私钥发送至应用客户端。
在一些实施例中,可信身份信息还可包括客户端公钥的有效期,此时第二生成模块33设置为:在安全校验通过后,生成客户端私钥和客户端公钥;生成客户端公钥的有效期;利用预置的身份服务端私钥对客户端公钥和客户端公钥的有效期进行签名,得到第二签名结果;根据客户端公钥、客户端公钥的有效期和第二签名结果构造可信身份信息。第二发送模块34则设置为:将可信身份信息和客户端私钥发送至应用客户端。
在一些实施例中,身份服务端私钥可以是厂商预置的,由身份服务端保存,其对应的身份服务端公钥则由应用服务端保存。在另一些实施例中,身份服务端私钥和身份服务端公钥也可以是由身份服务端预先生成的,身份服务端私钥由身份服务端自己保管,身份服务端公钥则发送给应用服务端保管。
本说明书实施例的身份认证装置,通过预先注入在应用客户端的第一切面程序和预先注入在应用客户端的第二切面程序实现身份认证功能,可大大缩短研发周期,对应用的原有功能无干扰;通过身份服务端私钥、客户端私钥和访问令牌三级凭证机制,可以减小凭证泄漏造成的身份冒用等安全风险,实现更安全的访问控制;可信身份信息的结构简单,长度小,访问令牌的内容也可以灵活定制,从而满足对报文大小敏感的场景;通过切面服务器管控切面配置,可以灵活、快速地实现密钥轮换和应急响应,非常有利于生产环境落地。
本说明书的又一实施例提供一种可读存储介质,其上存储有计算机程序,当计算机程序在计算机中执行时,令计算机执行本说明书上述实施例中的方法的步骤。
本说明书又一实施例提供一种计算设备,其包括存储器和处理器,存储器中存储有可执行代码,当处理器执行可执行代码时,其执行本说明书上述实施例中的方法的步骤。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本说明书时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本说明书的实施例可提供为方法、系统、或计算机程序产品。因此,本说明书可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本说明书可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本说明书是参照根据本说明书实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本说明书的实施例可提供为方法、系统或计算机程序产品。因此,本说明书可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本说明书可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本说明书可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本说明书,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述的,仅为本说明书的较佳实施例,并非用以限定本说明书的范围,本说明书的上述实施例还可以做出各种变化。即凡是依据本说明书申请的权利要求书及说明书内容所作的简单、等效变化与修饰,皆落入本说明书专利的权利要求保护范围。本说明书未详尽描述的均为常规技术内容。

Claims (22)

1.一种身份认证方法,应用于应用客户端,所述方法包括:
通过预先部署的第一切面底座,在所述应用客户端的第一预设切点处注入第一切面程序;
在所述应用客户端访问应用服务端时,生成用于访问应用服务端的访问请求;
通过所述第一切面程序构造访问令牌,并将所述访问令牌插入所述访问请求中;其中,所述访问令牌包括可信身份信息;
将携带所述访问令牌的访问请求发送至应用服务端,以使所述应用服务端接收携带所述访问令牌的访问请求,并根据所述访问令牌的可信身份信息验证所述应用客户端是否可信。
2.根据权利要求1所述的身份认证方法,通过所述第一切面程序构造访问令牌,具体包括:
通过所述第一切面程序判断所述应用客户端中是否存在可信身份信息;
若否,则通过所述第一切面程序向身份服务端申请可信身份信息;
所述第一切面程序根据所述可信身份信息构造访问令牌。
3.根据权利要求2所述的身份认证方法,向身份服务端申请可信身份信息,具体包括:
采集所述应用客户端的度量数据;
将所述度量数据发送至所述身份服务端;
接收所述身份服务端对所述度量数据进行安全校验后生成并发送的所述可信身份信息。
4.根据权利要求2所述的身份认证方法,所述可信身份信息包括客户端公钥,根据所述可信身份信息构造访问令牌,具体包括:
生成令牌有效期;
利用客户端私钥对所述可信身份信息和所述令牌有效期进行签名,得到第一签名结果;
根据所述可信身份信息和所述第一签名结果构造访问令牌。
5.一种身份认证方法,应用于应用服务端,所述方法包括:
通过预先部署的第二切面底座,在所述应用服务端的第二预设切点处注入第二切面程序;
在应用客户端访问应用服务端时,接收所述应用客户端发送的携带访问令牌的访问请求;其中,所述访问令牌包括可信身份信息;
通过所述第二切面程序根据所述访问令牌的可信身份信息验证所述应用客户端是否可信。
6.根据权利要求5所述的身份认证方法,所述可信身份信息包括客户端公钥和利用预置的身份服务端私钥对所述客户端公钥进行签名后得到的第二签名结果;根据所述访问令牌的可信身份信息验证所述应用客户端是否可信,具体包括:
利用预置的身份服务端公钥对所述第二签名结果进行验签;
若验签通过,则所述应用客户端可信。
7.根据权利要求6所述的身份认证方法,所述可信身份信息包括还包括客户端公钥的有效期,所述第二签名结果为利用所述身份服务端私钥对所述客户端公钥和所述客户端公钥的有效期进行签名后得到的;
利用预置的身份服务端公钥对所述第二签名结果进行验签,若验签通过,则所述应用客户端可信,具体包括:
利用预置的身份服务端公钥对所述第二签名结果进行验签;
在验签通过后,校验所述客户端公钥的有效期是否过期;
若否,则所述应用客户端可信。
8.根据权利要求7所述的身份认证方法,所述访问令牌还包括令牌有效期和利用客户端私钥对所述可信身份信息和所述令牌有效期进行签名后的第一签名结果;
在验签通过后,校验所述应用客户端的有效期是否过期,若否,则所述应用客户端可信,具体包括:
在验签通过后,校验所述客户端公钥的有效期是否过期;
若否,则利用所述客户端公钥对所述第一签名结果进行验签;
在验签通过后,校验所述令牌有效期是否过期;
若否,则所述应用客户端可信。
9.一种身份认证方法,应用于身份服务端,所述方法包括:
在应用客户端向身份服务端申请可信身份信息时,接收应用客户端发送的度量数据;
对所述度量数据进行安全校验;
在所述安全校验通过后,生成可信身份信息;
将所述可信身份信息发送至所述应用客户端。
10.根据权利要求9所述的身份认证方法,在所述安全校验通过后,生成可信身份信息,将所述可信身份信息发送至所述应用客户端,具体包括:
在所述安全校验通过后,生成客户端私钥和客户端公钥;
利用预置的身份服务端私钥对所述客户端公钥进行签名,得到第二签名结果;
根据所述客户端公钥和所述第二签名结果构造所述可信身份信息;
将所述可信身份信息和所述客户端私钥发送至所述应用客户端。
11.根据权利要求10所述的身份认证方法,利用预置的身份服务端私钥对所述客户端公钥进行签名,得到第二签名结果,根据所述客户端公钥和所述第二签名结果构造所述可信身份信息,具体包括:
生成客户端公钥的有效期;
利用预置的身份服务端私钥对所述客户端公钥和所述客户端公钥的有效期进行签名,得到第二签名结果;
根据所述客户端公钥、所述客户端公钥的有效期和所述第二签名结果构造可信身份信息。
12.一种身份认证装置,应用于应用客户端,所述装置包括:
第一注入模块,设置为通过预先部署的第一切面底座,在所述应用客户端的第一预设切点处注入第一切面程序;
第一生成模块,设置为在所述应用客户端访问应用服务端时,生成用于访问应用服务端的访问请求;
构造模块,设置为通过所述第一切面程序构造访问令牌,并将所述访问令牌插入所述访问请求中;其中,所述访问令牌包括可信身份信息;
第一发送模块,设置为将携带所述访问令牌的访问请求发送至应用服务端,以使所述应用服务端接收携带所述访问令牌的访问请求,并根据所述访问令牌的可信身份信息验证所述应用客户端是否可信。
13.根据权利要求12所述的身份认证装置,通过所述第一切面程序构造访问令牌,具体包括:
通过所述第一切面程序判断所述应用客户端中是否存在可信身份信息;
若否,则通过所述第一切面程序向身份服务端申请可信身份信息;
所述第一切面程序根据所述可信身份信息构造访问令牌。
14.根据权利要求13所述的身份认证装置,向身份服务端申请可信身份信息,具体包括:
采集所述应用客户端的度量数据;
将所述度量数据发送至所述身份服务端;
接收所述身份服务端对所述度量数据进行安全校验后生成并发送的所述可信身份信息。
15.根据权利要求13所述的身份认证装置,所述可信身份信息包括客户端公钥,根据所述可信身份信息构造访问令牌,具体包括:
生成令牌有效期;
利用客户端私钥对所述可信身份信息和所述令牌有效期进行签名,得到第一签名结果;
根据所述可信身份信息和所述第一签名结果构造访问令牌。
16.一种身份认证装置,应用于应用服务端,所述装置包括:
第二注入模块,设置为通过预先部署的第二切面底座,在所述应用服务端的第二预设切点处注入第二切面程序;
第一接收模块,设置为在应用客户端访问应用服务端时,接收所述应用客户端发送的携带访问令牌的访问请求;其中,所述访问令牌包括可信身份信息;
验证模块,设置为通过所述第二切面程序根据所述访问令牌的可信身份信息验证所述应用客户端是否可信。
17.根据权利要求16所述的身份认证装置,所述可信身份信息包括客户端公钥和利用预置的身份服务端私钥对所述客户端公钥进行签名后得到的第二签名结果;根据所述访问令牌的可信身份信息验证所述应用客户端是否可信,具体包括:
利用预置的身份服务端公钥对所述第二签名结果进行验签;
若验签通过,则所述应用客户端可信。
18.根据权利要求17所述的身份认证装置,所述可信身份信息包括还包括客户端公钥的有效期,所述第二签名结果为利用所述身份服务端私钥对所述客户端公钥和所述客户端公钥的有效期进行签名后得到的;
利用预置的身份服务端公钥对所述第二签名结果进行验签,若验签通过,则所述应用客户端可信,具体包括:
利用预置的身份服务端公钥对所述第二签名结果进行验签;
在验签通过后,校验所述客户端公钥的有效期是否过期;
若否,则所述应用客户端可信。
19.根据权利要求18所述的身份认证装置,所述访问令牌还包括令牌有效期和利用客户端私钥对所述可信身份信息和所述令牌有效期进行签名后的第一签名结果;
在验签通过后,校验所述应用客户端的有效期是否过期,若否,则所述应用客户端可信,具体包括:
在验签通过后,校验所述客户端公钥的有效期是否过期;
若否,则利用所述客户端公钥对所述第一签名结果进行验签;
在验签通过后,校验所述令牌有效期是否过期;
若否,则所述应用客户端可信。
20.一种身份认证装置,应用于身份服务端,所述装置包括:
第二接收模块,设置为在应用客户端向身份服务端申请可信身份信息时,接收应用客户端发送的度量数据;
校验模块,设置为对所述度量数据进行安全校验;
第二生成模块,设置为在所述安全校验通过后,生成可信身份信息;
第二发送模块,设置为将所述可信身份信息发送至所述应用客户端。
21.根据权利要求20所述的身份认证装置,在所述安全校验通过后,生成可信身份信息,将所述可信身份信息发送至所述应用客户端,具体包括:
在所述安全校验通过后,生成客户端私钥和客户端公钥;
利用预置的身份服务端私钥对所述客户端公钥进行签名,得到第二签名结果;
根据所述客户端公钥和所述第二签名结果构造所述可信身份信息;
将所述可信身份信息和所述客户端私钥发送至所述应用客户端。
22.根据权利要求21所述的身份认证装置,利用预置的身份服务端私钥对所述客户端公钥进行签名,得到第二签名结果,根据所述客户端公钥和所述第二签名结果构造所述可信身份信息,具体包括:
生成客户端公钥的有效期;
利用预置的身份服务端私钥对所述客户端公钥和所述客户端公钥的有效期进行签名,得到第二签名结果;
根据所述客户端公钥、所述客户端公钥的有效期和所述第二签名结果构造可信身份信息。
CN202311228614.0A 2023-09-21 2023-09-21 身份认证方法及装置 Pending CN117439771A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311228614.0A CN117439771A (zh) 2023-09-21 2023-09-21 身份认证方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311228614.0A CN117439771A (zh) 2023-09-21 2023-09-21 身份认证方法及装置

Publications (1)

Publication Number Publication Date
CN117439771A true CN117439771A (zh) 2024-01-23

Family

ID=89552491

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311228614.0A Pending CN117439771A (zh) 2023-09-21 2023-09-21 身份认证方法及装置

Country Status (1)

Country Link
CN (1) CN117439771A (zh)

Similar Documents

Publication Publication Date Title
US9867051B2 (en) System and method of verifying integrity of software
CN105164633B (zh) 由可信提供商进行的配置和验证
JP6222592B2 (ja) モバイルアプリケーション管理のためのモバイルアプリケーションのアイデンティティの検証
US10708067B2 (en) Platform attestation and registration for servers
US9871821B2 (en) Securely operating a process using user-specific and device-specific security constraints
JP5516821B2 (ja) 仮想化及び認証を用いた電子ネットワークにおける複数のクライアントの遠隔保守のためのシステム及び方法
KR101861401B1 (ko) 장치 기능과 애플리케이션의 결합
CN106716957B (zh) 高效且可靠的认证
CN110555293A (zh) 用于保护数据的方法、装置、电子设备和计算机可读介质
CN118159967A (zh) 对在隔离环境中实现的计算资源的访问的控制
CN116601916A (zh) 作为用于密钥散列消息认证码用户认证和授权的密钥材料的基于属性的加密密钥
CN116668056A (zh) 将oidc认证扩展到服务账户以实现双重授权
KR20160109241A (ko) 리소스의 안전성 검증 장치와 서버 및 검증방법
CN117439771A (zh) 身份认证方法及装置
US11977620B2 (en) Attestation of application identity for inter-app communications
Tamrakar et al. On rehoming the electronic id to TEEs
CN116248274A (zh) Did的生成方法、装置、可读存储介质及电子设备
CN113987461A (zh) 身份认证方法、装置和电子设备
CN117857051A (zh) 鉴权方法、装置、可读存储介质及电子设备
CN116432163A (zh) 认证信息处理方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination