专利名称:基于标识的应用服务网络访问方法及系统的制作方法
技术领域:
本发明涉及数字信息网络技术领域,尤其涉及一种基于标识的应用服务网络访问方法及系统。
背景技术:
随着网络技术的日新月异,发展出越来越多类型的应用服务,而且这样的应用服务还在不断地高速增长。应用服务器作为网络中的一种实体,根据用户端的业务需求,提供可访问的途径,使用户能享受到相应的应用服务,即用户端可以通过应用服务器,访问存放 在各种系统中的各种类型的信息以及享受相关的服务,例如应用服务器可以用于多媒体新闻发布、在线直播、网络广告、电子商务、视频点播、远程教育、远程医疗、网络电台、实时视频会议等网络应用服务的方方面面。随着网络规模和复杂度的不断提高,网络逐渐具有更大的开放性,其安全问题也日益引起广大使用者的高度重视。虽然应用服务器只给通过认证的用户端提供访问权限,但是对于用户端来说,大多数情况下并没有提供一个验证应用服务器的合法性的途径。这将导致一个问题,容易伪造应用服务器的身份来欺骗用户端接入,实现骗取用户端的资费、泄露用户端信息和提供低劣服务等非法目的,从而严重影响应用服务器服务提供商的形象和声誉,导致市场占用率的下降。为解决这个问题,目前普遍采用管理机构对应用服务器和用户端的身份进行认证,使非法的应用服务器和非法的用户端即使接入了应用服务网络,也无法在网络中进行业务数据的交互和传输。目前,网络的认证和鉴别等操作都是基于PKI (Public Key Infrastructure,公钥基础设施)技术的,其存在以下缺点在网络中,必然存在各种不同应用服务器服务提供商建立的不同的应用服务网络,对于用户端来说,每次接入到一个不同的应用服务网络都需要进行用户端信息的注册和身份的验证等工作。而且有些服务提供商自己构建CA(Certificate Authority,认证中心)为用户端颁发数字证书,对于用户端来说,面对着数量越来越庞大的应用服务器服务提供商,必须持有一大堆的证书才能获得相应的应用服务,这对于用户端来说是非常不便的。
发明内容
本发明实施例提出一种基于标识的应用服务网络访问方法及系统,在大规模应用服务网络中对应用服务器和用户端进行统一认证,使用户端能够以同一身份标识访问不同应用服务器,为用户带来很大的便利。本发明实施例提供的基于标识的应用服务网络访问方法,包括
在用户端接入应用服务器的过程中,鉴别服务器根据所述用户端和所述应用服务器的身份标识,获取所述用户端和所述应用服务器的证书,对所述用户端和所述应用服务器的身份进行验证,且在所述用户端和所述应用服务器的身份验证通过后,所述用户端和所述应用服务器协商获得消息鉴别密钥;所述用户端和所述应用服务器根据所述消息鉴别密钥,进行应用服务数据的保密传输。本发明实施例提供的应用服务器系统,包括用户端、应用服务器和鉴别服务器;
在所述用户端接入所述应用服务器的过程中,所述鉴别服务器根据所述用户端和所述
应用服务器的身份标识,获取所述用户端和所述应用服务器的证书,对所述用户端和所述应用服务器的身份进行验证,且在所述用户端和所述应用服务器的身份验证通过后,所述用户端和所述应用服务器协商获得消息鉴别密钥;
所述用户端和所述应用服务器根据所述消息鉴别密钥,进行应用服务数据的保密传输。本发明实施例提供的基于标识的应用服务网络访问方法及系统,适用于大规模应用服务网络,鉴别服务器为接入应用服务网络中的每个用户端和每个应用服务器颁发证书,并保存证书、注册信息和身份标识的对应关系。在用户端接入应用服务器的过程中,鉴别服务器根据用户端和应用服务器的身份标识,获取用户端和应用服务器的证书,对应用服务器和用户端进行统一认证,使用户端能够以同一身份标识访问不同应用服务器,为用户带来很大的便利。而且,在用户端接入应用服务器的过程中,使用身份标识代替证书描述各个角色的身份信息,减少了接入过程中传递消息的报文长度,可以降低通信负荷,极大地提高通信效率。
图I是本发明提供的基于标识的应用服务网络访问方法的一个实施例的流程示意 图2是本发明提供的应用服务器系统的一个实施例的结构示意图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。参见图1,是本发明提供的基于标识的应用服务网络访问方法的一个实施例的流程不意图。本实施例提供的基于标识的应用服务网络访问方法,包括
在用户端接入应用服务器的过程中,鉴别服务器根据所述用户端和所述应用服务器的身份标识,获取所述用户端和所述应用服务器的证书,对所述用户端和所述应用服务器的身份进行验证,且在所述用户端和所述应用服务器的身份验证通过后,所述用户端和所述应用服务器协商获得消息鉴别密钥;
所述用户端和所述应用服务器根据所述消息鉴别密钥,进行应用服务数据的保密传输。其中,在所述用户端接入所述应用服务器之前,还包括
所述鉴别服务器对所述用户端和所述应用服务器进行注册,发放证书和对应的私钥。
所述鉴别服务器绑定并维护所述用户端的证书、注册信息和身份标识的对应关系,以及所述应用服务器的证书、注册信息和身份标识的对应关系。所述鉴别 服务器在本地保存所述鉴别服务器的证书、对应的私钥和身份标识,所述用户端的证书、注册信息和身份标识,以及所述应用服务器的证书、注册信息和身份标识。所述应用服务器在本地保存所述应用服务器的证书、对应的私钥和身份标识,所述鉴别服务器的证书和身份标识,以及所述用户端的证书和身份标识。所述用户端在本地保存所述用户端的证书、对应的私钥和身份标识,所述鉴别服务器的证书和身份标识,以及所述应用服务器的证书和身份标识。具体实施时,当一个应用服务器接入到应用服务器系统中时,需要向鉴别服务器申请颁发一个应用服务器证书和对应的私钥,并绑定身份标识。此外,应用服务器在本地缓存鉴别服务器证书及其身份标识。同理,当用户端接入到应用服务器系统中时,同样需要鉴别服务器颁发一个用户端证书和对应的私钥,并绑定身份标识。此外,用户端在本地缓存鉴别服务器证书及其身份标识。其中,用户端的身份标识、应用服务器的身份标识和鉴别服务器的身份标识是唯一的,分别用于描述用户端、应用服务器和鉴别服务器的身份。所述身份标识可以是从证书中提取出的证书持有者、证书颁发者和证书序列号等信息,或者是对上述信息进行组合后获得的信息,或者其他可以描述其唯一性的信息。如图I所示,在用户端接入应用服务器的过程中,所述用户端和所述应用服务器通过鉴别服务器验证双方的身份标识,并获得消息鉴别密钥,具体包括以下步骤sfse
Si、所述用户端接入应用服务器时,构建接入请求消息,使用用户端证书私钥对所述接入请求消息进行签名后,发送给应用服务器;所述接入请求消息包含用户端身份标识和第一随机数。具体的,用户端接入应用服务器系统时,产生一个用户端随机数,即第一随机数。然后根据用户端信息、用户端证书公钥(从证书中提取)、用户端身份标识、第一随机数等字段构建接入请求消息,并使用用户端证书私钥对所述接入请求消息进行签名后,发送给应用服务器。S2、所述应用服务器接收所述接入请求消息,使用用户端证书公钥验证所述接入请求消息的签名的有效性;在签名验证通过后,保存所述接入请求消息中的用户端身份标识和第一随机数,且构建鉴别请求消息,使用应用服务器证书私钥对所述鉴别请求消息进行签名后,发送给鉴别服务器;所述鉴别请求消息包含用户端身份标识、第一随机数、应用服务器身份标识和第二随机数。具体的,应用服务器接收到所述接入请求消息后,进行如下处理
5201、从应用服务器的本地存储器中读取用户端证书,使用用户端证书公钥验证所述接入请求消息的签名的有效性,若签名验证失败,则接入过程失败;若签名验证通过,则执行 S202 S204 ;
5202、根据所述接入请求消息中的用户端信息,确定用户端的业务权限和服务规则;
5203、确定用户端相关信息有效后,在应用服务器本地保存所述接入请求消息中的用户端身份标识和第一随机数;并且,产生应用服务器随机数,即第二随机数,在应用服务器本地保存所述第二随机数;
S204、根据用户端身份标识、应用服务器身份标识、第一随机数和第二随机数构建鉴别请求消息,并使用应用服务器证书私钥对所述鉴别请求消息进行签名后,发送给鉴别服务器。S3、所述鉴别服务器接收所述鉴别请求消息,根据所述鉴别请求消息中的用户端身份标识和应用服务器身份标识,获取对应的用户端证书和应用服务器证书;使用所述应用服务器证书公钥验证所述鉴别请求消息的签名的有效性,以及验证所述用户端证书和所述应用服务器证书的有效性,获得身份验证结果;构建鉴别响应消息,使用鉴别服务器证书私钥对所述鉴别响应消息进行签名后,发送给所述应用服务器;所述鉴别响应消息包含身份验证结果、第一随机数、第二随机数、用户端身份标识和应用服务器身份标识。具体的,鉴别服务器接收到所述鉴别请求消息后,进行如下处理
5301、根据所述鉴别请求消息中的用户端身份标识和应用服务器身份标识,查询到与所述身份标识绑定的证书信息,进而从鉴别服务器的本地存储器中读取对应的用户端证书和应用服务器证书,并执行S302飞303 ;若无法查询或无法获取证书,则接入过程失败;
5302、提取应用服务器证书公钥,使用所述应用服务器证书公钥验证所述鉴别请求消息的签名的有效性,并验证应用服务器证书和用户端证书的有效期、吊销信息和策略等信息,判断证书的有效性,获得应用服务器和用户端的身份验证结果;
5303、根据身份验证结果、第一随机数、第二随机数、用户端身份标识和应用服务器身份标识构建鉴别响应消息,使用鉴别服务器证书私钥对所述鉴别响应消息进行签名后,发送给所述应用服务器。S4、所述应用服务器接收所述鉴别响应消息,使用鉴别服务器证书公钥验证所述鉴别响应消息的签名的有效性;在签名验证通过后,判断所述鉴别响应消息中的身份验证结果、随机数和身份标识是否有效,若任意一项无效,则接入失败;若每一项都有效,则产生业务密钥,使用用户端证书公钥对所业务密钥进行加密,获得业务密钥密文,且构建接入响应消息,使用应用服务器证书私钥对所述接入响应消息进行签名后,发送给所述用户端;所述接入响应消息包含所述鉴别响应消息、第一随机数、第二随机数、用户端身份标识、应用服务器身份标识和业务密钥密文。具体的,应用服务器接收到所述鉴别响应消息后,进行如下处理
5401、从应用服务器的本地存储器中读取鉴别服务器证书,使用鉴别服务器证书公钥验证所述鉴别响应消息的签名,判断签名是否有效;
5402、根据所述鉴别响应消息中的身份验证结果,判断所述应用服务器和所述用户端的身份是否有效;
5403、从应用服务器的本地存储器中读取第一随机数和第二随机数,分别对应地与所述鉴别响应消息中的第一随机数和第二随机数进行比较,判断随机数是否一致;
5404、从应用服务器的本地存储器中读取应用服务器身份标识和用户端身份标识,分别对应地与所述鉴别响应消息中的应用服务器身份标识和用户端身份标识进行比较,判断身份标识是否一致;
如果上述S401 S404任意一项的判断结果为否,则接入失败;如果上述S401 S404的判断结果全部为是,则执行S405 S406 ;5405、实时产生或者预先产生业务密钥(例如随机数业务密钥),并保存所述业务密钥;使用用户端证书公钥对所述业务密钥进行加密,获得业务密钥密文;同时将所述业务密钥绑定到业务密钥信息中;其中,所述业务密钥信息除了包含业务密钥,还包含业务密钥的索引等信息;
5406、根据所述鉴别响应消息、第一随机数、第二随机数、用户端身份标识、应用服务器身份标识、业务密钥密文和业务密钥信息构建接入响应消息,使用应用服务器证书私钥对所述接入响应消息进行签名后,发送给所述用户端。S5、所述用户端接收所述接入响应消息,使用应用服务器证书公钥验证所述接入响应消息的签名的有效性,使用鉴别服务器证书公钥验证所述接入响应消息中的鉴别响应消息的签名;在签名验证通过后,判断所述接入响应消息中的身份验证结果、随机数和身份标识是否有效,若任意一项无效,则接入失败;若每一项都有效,则使用用户端证书私钥解密所述接入响应消息中的业务密钥密文,获得业务密钥;根据所述业务密钥、第一随机数和第二随机数计算出消息鉴别密钥和消息鉴别码,且构建接入确认消息,发送给所述应用服务器;所述接入确认消息包含第一随机数、第二随机数、用户端身份标识、应用服务器身份 标识、业务密钥和消息鉴别码。具体的,用户端接收到所述接入响应消息后,进行如下处理
5501、从用户端的本地存储器中读取应用服务器证书和鉴别服务器证书,使用应用服务器证书公钥验证所述接入响应消息的签名,使用鉴别服务器证书公钥验证所述接入响应消息中的鉴别响应消息的签名,判断签名是否有效;
5502、根据所述鉴别响应消息中的身份验证结果,判断所述应用服务器和所述用户端的身份验证是否有效;
5503、从用户端的本地存储器中读取第一随机数和第二随机数,分别对应地与所述接入响应消息中的第一随机数和第二随机数进行比较,判断随机数是否一致;
5504、从用户端的本地存储器中读取应用服务器身份标识和用户端身份标识,分别对应地与所述接入响应消息中的应用服务器身份标识和用户端身份标识进行比较,判断身份标识是否一致;
如果上述S501 S504任意一项的判断结果为否,则接入失败;如果上述3501飞504的判断结果全部为是,则执行S505 S507 ;
5505、从用户端的本地存储器中读取用户端证书私钥,使用所述用户端证书私钥解密所述接入响应消息中的业务密钥密文,获得业务密钥,并在本地保存所述业务密钥以及所述接入响应消息中的业务密钥信息;
5506、根据所述业务密钥、第一随机数和第二随机数推导出消息鉴别密钥,并在本地保存所述消息鉴别密钥;
5507、根据第一随机数、第二随机数、用户端身份标识、应用服务器身份标识和业务密钥信息构建接入确认消息,使用消息鉴别密钥计算得到消息鉴别码,将该消息鉴别码附在所述接入确认消息中,然后发送给所述应用服务器。S6、所述应用服务器接收所述接入确认消息,根据本地保存的业务密钥、第一随机数和第二随机数计算消息鉴别密钥和消息鉴别码,当计算出的消息鉴别码与所述接入确认消息的消息鉴别码相同时,判断所述接入确认消息中的随机数、身份标识和业务密钥是否有效,若任意一项无效,则接入失败;若每一项都有效,则保存所述消息鉴别密钥,并打开应用服务资源平台。具体的,应用服务器接收到所述接入确认消息后,进行如下处理
5601、根据应用服务器本地保存的业务密钥、第一随机数和第二随机数计算消息鉴别密钥,并根据所述消息鉴别密钥计算出消息鉴别码,判断计算出来的消息鉴别码与所述接入确认消息的消息鉴别码是否相同;若相同,则保存所述消息鉴别密钥,并执行S602 S604 ;若不同,则接入失败;
5602、从应用服务器的本地存储器中读取第一随机数和第二随机数,分别对应地与所述接入确认消息中的第一随机数和第二随机数进行比较,判断随机数是否一致;
5603、从应用服务器的本地存储器中读取应用服务器身份标识和用户端身份标识,分别对应地与所述接入确认消息中的应用服务器身份标识和用户端身份标识进行比较,判断身份标识是否一致;
5604、从应用服务器的本地存储器中读取业务密钥信息,与所述接入确认消息中的业务密钥信息进行比较,判断是否一致;
如果上述S602 S604任意一项的判断结果为否,则接入失败;如果上述S602 S604的判断结果全部为是,则执行S605;
5605、保存所述消息鉴别密钥,并打开应用服务资源平台。至此,用户端成功接入应用服务器,完成了基于身份标识的双向身份鉴别,同时完成用户端和应用服务器间消息鉴别密钥的同步。用户端和应用服务器执行上述步骤Sf S6,完成相互的身份验证和消息鉴别密钥同步后,即可进行应用服务数据的保密传输。如图I所示,用户端和应用服务器之间的数据传输,具体包括以下步骤S7飞10
S7、所述用户端根据业务使用需求,生成含有用户端身份标识的业务请求消息,并发送
给所述应用服务器。S8、所述应用服务器接收到所述业务请求消息后,根据所述业务请求消息中的用户端身份标识,判断所述用户端是否通过身份验证。S9、所述应用服务器在所述用户端通过身份验证时,根据所述业务请求消息从存储器中读取对应的应用服务数据,在所述应用服务数据中绑定应用服务器标识,使用消息鉴别密钥对设有身份标识的应用服务数据进行加密,生成应用服务数据包,并发送给所述用户端;若所述用户端未通过身份验证,则不向所述用户端提供应用服务数据。S10、所述用户端接收所述应用服务数据包,使用消息鉴别密钥对所述应用服务数据包进行解密,获得应用服务数据和应用服务器身份标识;根据所述应用服务器身份标识判断所述应用服务器是否通过身份验证,若通过身份验证,则将所述应用服务数据提供给用户使用;若未通过身份验证,则丢弃所述应用服务数据。此外,所述应用服务器还保存应用服务资源,以及接入过程中的随机数、业务密钥和消息鉴别密钥。所述用户端还保存接收到的应用服务数据,以及接入过程中的随机数、业务密钥和消息鉴别密钥。本发明实施例提供的基于标识的应用服务网络访问方法,适用于大规模应用服务网络,鉴别服务器为接入应用服务网络中的每个用户端和每个应用服务器颁发证书,并保存证书、注册信息和身份标识的对应关系。在用户端接入应用服务器的过程中,鉴别服务器根据用户端和应用服务器的身份标识,获取用户端和应用服务器的证书,对应用服务器和用户端进行统一认证,使用户端能够以同一身份标识访问不同应用服务器,为用户带来很大的便利。而且,在用户端接入应用服务器的过程中,使用身份标识代替证书描述各个角色的身份信息,减少了接入过程中传递消息的报文长度,可以降低通信负荷,极大地提高通信效率。本发明实施例还提供一种应用服务器系统,能够实现上述的基于标识的应用服务网络访问方法的所有处理流程。 参见图2,是本发明提供的应用服务器系统的一个实施例的结构示意图。本实施例提供的应用服务器系统,包括用户端3、应用服务器2和鉴别服务器I。在用户端3接入所述应用服务器2的过程中,鉴别服务器I根据用户端3和应用服务器2的身份标识,获取用户端3和应用服务器2的证书,对用户端3和应用服务器2的身份进行验证,且在用户端3和应用服务器2的身份验证通过后,用户端3和应用服务器2协商获得消息鉴别密钥。用户端3和应用服务器2根据所述消息鉴别密钥,进行应用服务数据的保密传输。具体的,所述应用服务器2包括第一接入处理单元21,所述用户端3包括第二接入处理单元31,所述鉴别服务器I包括有效性验证单元11。所述用户端的第二接入处理单元,用于在所述用户端接入应用服务器时构建接入请求消息,使用用户端证书私钥对所述接入请求消息进行签名后,发送给应用服务器;所述接入请求消息包含用户端身份标识和第一随机数。所述应用服务器的第一接入处理单元,用于接收所述接入请求消息,使用用户端证书公钥验证所述接入请求消息的签名的有效性;在签名验证通过后,保存所述接入请求消息中的用户端身份标识和第一随机数,且构建鉴别请求消息,使用应用服务器证书私钥对所述鉴别请求消息进行签名后,发送给鉴别服务器;所述鉴别请求消息包含用户端身份标识、第一随机数、应用服务器身份标识和第二随机数。所述鉴别服务器的有效性验证单元,用于接收所述鉴别请求消息,根据所述鉴别请求消息中的用户端身份标识和应用服务器身份标识,获取对应的用户端证书和应用服务器证书;使用所述应用服务器证书公钥验证所述鉴别请求消息的签名的有效性,以及验证所述用户端证书和所述应用服务器证书的有效性,获得身份验证结果;构建鉴别响应消息,使用鉴别服务器证书私钥对所述鉴别响应消息进行签名后,发送给所述应用服务器;所述鉴别响应消息包含身份验证结果、第一随机数、第二随机数、用户端身份标识和应用服务器身份标识。所述应用服务器的第一接入处理单元,还用于接收所述鉴别响应消息,使用鉴别服务器证书公钥验证所述鉴别响应消息的签名的有效性;在签名验证通过后,判断所述鉴别响应消息中的身份验证结果、随机数和身份标识是否有效,若任意一项无效,则接入失败;若每一项都有效,则产生业务密钥,使用用户端证书公钥对所业务密钥进行加密,获得业务密钥密文,且构建接入响应消息,使用应用服务器证书私钥对所述接入响应消息进行签名后,发送给所述用户端;所述接入响应消息包含所述鉴别响应消息、第一随机数、第二随机数、用户端身份标识、应用服务器身份标识和业务密钥密文。所述用户端的第二接入处理单元,还用于接收所述接入响应消息,使用应用服务器证书公钥验证所述接入响应消息的签名的有效性,使用鉴别服务器证书公钥验证所述接入响应消息中的鉴别响应消息的签名;在签名验证通过后,判断所述接入响应消息中的身份验证结果、随机数和身份标识是否有效,若任意一项无效,则接入失败;若每一项都有效,则使用用户端证书私钥解密所述接入响应消息中的业务密钥密文,获得业务密钥;根据所述业务密钥、第一随机数和第二随机数计算出消息鉴别密钥和消息鉴别码,且构建接入确认消息,发送给所述应用服务器;所述接入确认消息包含第一随机数、第二随机数、用户端身份标识、应用服务器身份标识、业务密钥和消息鉴别码。所述应用服务器的第一接入处理模块,还用于接收所述接入确认消息,根据本地保存的业务密钥、第一随机数和第二随机数计算消息鉴别密钥和消息鉴别码,当计算出的消息鉴别码与所述接入确认消息的消息鉴别码相同时,判断所述接入确认消息中的随机数、身份标识和业务密钥是否有效,若任意一项无效,则接入失败;若每一项都有效,则保存所述消息鉴别密钥,并打开应用服务资源平台。 进一步的,所述鉴别服务器I还包括注册单元12、身份标识管理单元13和第一存储单元14。所述注册单元12,用于对所述用户端和所述应用服务器进行注册,发放证书和对应的私钥。所述身份标识管理单元13,用于绑定并维护所述用户端的证书、注册信息和身份标识的对应关系,以及所述应用服务器的证书、注册信息和身份标识的对应关系。所述第一存储单元14,用于保存所述鉴别服务器的证书、对应的私钥和身份标识,所述用户端的证书、注册信息和身份标识,以及所述应用服务器的证书、注册信息和身份标识。所述应用服务器2还包括第二存储单元22,用于保存所述应用服务器的证书、对应的私钥和身份标识,所述鉴别服务器的证书和身份标识,以及所述用户端的证书和身份标识。所述用户端还包括第三存储单元32,用于保存所述用户端的证书、对应的私钥和身份标识,所述鉴别服务器的证书和身份标识,以及所述应用服务器的证书和身份标识。再进一步的,所述应用服务器2还包括第一应用管理单元23和第一数据传输单元24 ;所述用户端3还包括第二应用管理单元33和第二数据传输单元34。所述用户端3的第二应用管理单元33,用于根据业务使用需求,生成含有用户端身份标识的业务请求消息,并发送给所述应用服务器。所述应用服务器2的第一应用管理单元23,用于接收到所述业务请求消息后,根据所述业务请求消息中的用户端身份标识,判断所述用户端是否通过身份验证。所述应用服务器2的第一数据传输单元24,用于在所述用户端通过身份验证时,根据所述业务请求消息从存储器中读取对应的应用服务数据,在所述应用服务数据中绑定应用服务器标识,使用消息鉴别密钥对设有身份标识的应用服务数据进行加密,生成应用服务数据包,并发送给所述用户端;若所述用户端未通过身份验证,则不向所述用户端提供应用服务数据。
所述用户端3的第二数据传输单元34,用于接收所述应用服务数据包,使用消息鉴别密钥对所述应用服务数据包进行解密,获得应用服务数据和应用服务器身份标识;根据所述应用服务器身份标识判断所述应用服务器是否通过身份验证,若通过身份验证,则将所述应用服务数据提供给用户使用;若未通过身份验证,则丢弃所述应用服务数据。此外,所述第二存储单元22还用于保存应用服务资源,以及接入过程中的随机数、业务密钥和消息鉴别密钥。所述第三存储单元32还用于保存接收到的应用服务数据,以及接入过程中的随机数、业务密钥和消息鉴别密钥。本发明实施例提供的基于标识的应用服务网络访问方法及系统,具有如下有益效果
(I)、鉴别服务器为接入应用服务网络中的每个用户端和每个应用服务器颁发证书,并 保存证书、注册信息和身份标识的对应关系;在用户端接入应用服务器的过程中,鉴别服务器根据用户端和应用服务器的身份标识,获取用户端和应用服务器的证书,对应用服务器和用户端进行统一认证,使用户端能够以同一身份标识访问不同应用服务器。(2)、在用户端接入应用服务器的过程中,使用身份标识代替证书描述各个角色的身份信息,减少了接入过程中传递消息的报文长度,可以降低通信负荷,极大地提高通信效率。( 3 )、用户端和应用服务器通过鉴别服务器验证双方的身份标识后,应用服务器向用户端分发消息鉴别密钥,用于进行视频数据的保密传输,避免了网络非法入侵者截获数据并使用。(4)、本发明赋予应用服务器以独立的身份标识,基于应用服务器身份标识的可区分性,方便监管,同时用户端、应用服务器以及鉴别服务器之间在接入过程中的通信无需经过额外的安全信道,节约了使用成本。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random AccessMemory, RAM)等。以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。
权利要求
1.一种基于标识的应用服务网络访问方法,其特征在于,包括 在用户端接入应用服务器的过程中,鉴别服务器根据所述用户端和所述应用服务器的身份标识,获取所述用户端和所述应用服务器的证书,对所述用户端和所述应用服务器的身份进行验证,且在所述用户端和所述应用服务器的身份验证通过后,所述用户端和所述应用服务器协商获得消息鉴别密钥; 所述用户端和所述应用服务器根据所述消息鉴别密钥,进行应用服务数据的保密传 输。
2.如权利要求I所述的基于标识的应用服务网络访问方法,其特征在于,所述在用户端接入应用服务器的过程中,鉴别服务器根据所述用户端和所述应用服务器的身份标识,获取所述用户端和所述应用服务器的证书,对所述用户端和所述应用服务器的身份进行验证,且在所述用户端和所述应用服务器的身份验证通过后,所述用户端和所述应用服务器协商获得消息鉴别密钥,包括 ·51、所述用户端接入应用服务器时,构建接入请求消息,使用用户端证书私钥对所述接入请求消息进行签名后,发送给应用服务器;所述接入请求消息包含用户端身份标识和第一随机数; ·52、所述应用服务器接收所述接入请求消息,使用用户端证书公钥验证所述接入请求消息的签名的有效性;在签名验证通过后,保存所述接入请求消息中的用户端身份标识和第一随机数,且构建鉴别请求消息,使用应用服务器证书私钥对所述鉴别请求消息进行签名后,发送给鉴别服务器;所述鉴别请求消息包含用户端身份标识、第一随机数、应用服务器身份标识和第二随机数; · 53、所述鉴别服务器接收所述鉴别请求消息,根据所述鉴别请求消息中的用户端身份标识和应用服务器身份标识,获取对应的用户端证书和应用服务器证书;使用所述应用服务器证书公钥验证所述鉴别请求消息的签名的有效性,以及验证所述用户端证书和所述应用服务器证书的有效性,获得身份验证结果;构建鉴别响应消息,使用鉴别服务器证书私钥对所述鉴别响应消息进行签名后,发送给所述应用服务器;所述鉴别响应消息包含身份验证结果、第一随机数、第二随机数、用户端身份标识和应用服务器身份标识; · 54、所述应用服务器接收所述鉴别响应消息,使用鉴别服务器证书公钥验证所述鉴别响应消息的签名的有效性;在签名验证通过后,判断所述鉴别响应消息中的身份验证结果、随机数和身份标识是否有效,若任意一项无效,则接入失败;若每一项都有效,则产生业务密钥,使用用户端证书公钥对所业务密钥进行加密,获得业务密钥密文,且构建接入响应消息,使用应用服务器证书私钥对所述接入响应消息进行签名后,发送给所述用户端;所述接入响应消息包含所述鉴别响应消息、第一随机数、第二随机数、用户端身份标识、应用服务器身份标识和业务密钥密文; ·55、所述用户端接收所述接入响应消息,使用应用服务器证书公钥验证所述接入响应消息的签名的有效性,使用鉴别服务器证书公钥验证所述接入响应消息中的鉴别响应消息的签名;在签名验证通过后,判断所述接入响应消息中的身份验证结果、随机数和身份标识是否有效,若任意一项无效,则接入失败;若每一项都有效,则使用用户端证书私钥解密所述接入响应消息中的业务密钥密文,获得业务密钥;根据所述业务密钥、第一随机数和第二随机数计算出消息鉴别密钥和消息鉴别码,且构建接入确认消息,发送给所述应用服务器;所述接入确认消息包含第一随机数、第二随机数、用户端身份标识、应用服务器身份标识、业务密钥和消息鉴别码; S6、所述应用服务器接收所述接入确认消息,根据本地保存的业务密钥、第一随机数和第二随机数计算消息鉴别密钥和消息鉴别码,当计算出的消息鉴别码与所述接入确认消息的消息鉴别码相同时,判断所述接入确认消息中的随机数、身份标识和业务密钥是否有效,若任意一项无效,则接入失败;若每一项都有效,则保存所述消息鉴别密钥,并打开应用服务资源平台。
3.如权利要求2所述的基于标识的应用服务网络访问方法,其特征在于,在所述用户端接入所述应用服务器之前,还包括 所述鉴别服务器对所述用户端和所述应用服务器进行注册,发放证书和对应的私钥; 所述鉴别服务器绑定并维护所述用户端的证书、注册信息和身份标识的对应关系,以及所述应用服务器的证书、注册信息和身份标识的对应关系; 所述鉴别服务器在本地保存所述鉴别服务器的证书、对应的私钥和身份标识,所述用户端的证书、注册信息和身份标识,以及所述应用服务器的证书、注册信息和身份标识; 所述应用服务器在本地保存所述应用服务器的证书、对应的私钥和身份标识,所述鉴别服务器的证书和身份标识,以及所述用户端的证书和身份标识; 所述用户端在本地保存所述用户端的证书、对应的私钥和身份标识,所述鉴别服务器的证书和身份标识,以及所述应用服务器的证书和身份标识。
4.如权利要求r3任一项所述的基于标识的应用服务网络访问方法,其特征在于,所述用户端和所述应用服务器根据所述消息鉴别密钥,进行应用服务数据的保密传输,包括 所述用户端根据业务使用需求,生成含有用户端身份标识的业务请求消息,并发送给所述应用服务器; 所述应用服务器接收到所述业务请求消息后,根据所述业务请求消息中的用户端身份标识,判断所述用户端是否通过身份验证; 所述应用服务器在所述用户端通过身份验证时,根据所述业务请求消息从存储器中读取对应的应用服务数据,在所述应用服务数据中绑定应用服务器标识,使用消息鉴别密钥对设有身份标识的应用服务数据进行加密,生成应用服务数据包,并发送给所述用户端;若所述用户端未通过身份验证,则不向所述用户端提供应用服务数据; 所述用户端接收所述应用服务数据包,使用消息鉴别密钥对所述应用服务数据包进行解密,获得应用服务数据和应用服务器身份标识;根据所述应用服务器身份标识判断所述应用服务器是否通过身份验证,若通过身份验证,则将所述应用服务数据提供给用户使用;若未通过身份验证,则丢弃所述应用服务数据。
5.如权利要求4所述的基于标识的应用服务网络访问方法,其特征在于,所述应用服务器还保存应用服务资源,以及接入过程中的随机数、业务密钥和消息鉴别密钥; 所述用户端还保存接收到的应用服务数据,以及接入过程中的随机数、业务密钥和消息鉴别S钥。
6.一种应用服务器系统,其特征在于,包括用户端、应用服务器和鉴别服务器; 在所述用户端接入所述应用服务器的过程中,所述鉴别服务器根据所述用户端和所述应用服务器的身份标识,获取所述用户端和所述应用服务器的证书,对所述用户端和所述应用服务器的身份进行验证,且在所述用户端和所述应用服务器的身份验证通过后,所述用户端和所述应用服务器协商获得消息鉴别密钥; 所述用户端和所述应用服务器根据所述消息鉴别密钥,进行应用服务数据的保密传输。
7.如权利要求6所述的应用服务器系统,其特征在于,所述应用服务器包括第一接入处理单元,所述用户端包括第二接入处理单元,所述鉴别服务器包括有效性验证单元; 所述用户端的第二接入处理单元,用于在所述用户端接入应用服务器时构建接入请求消息,使用用户端证书私钥对所述接入请求消息进行签名后,发送给应用服务器;所述接入请求消息包含用户端身份标识和第一随机数;· 所述应用服务器的第一接入处理单元,用于接收所述接入请求消息,使用用户端证书公钥验证所述接入请求消息的签名的有效性;在签名验证通过后,保存所述接入请求消息中的用户端身份标识和第一随机数,且构建鉴别请求消息,使用应用服务器证书私钥对所述鉴别请求消息进行签名后,发送给鉴别服务器;所述鉴别请求消息包含用户端身份标识、第一随机数、应用服务器身份标识和第二随机数; 所述鉴别服务器的有效性验证单元,用于接收所述鉴别请求消息,根据所述鉴别请求消息中的用户端身份标识和应用服务器身份标识,获取对应的用户端证书和应用服务器证书;使用所述应用服务器证书公钥验证所述鉴别请求消息的签名的有效性,以及验证所述用户端证书和所述应用服务器证书的有效性,获得身份验证结果;构建鉴别响应消息,使用鉴别服务器证书私钥对所述鉴别响应消息进行签名后,发送给所述应用服务器;所述鉴别响应消息包含身份验证结果、第一随机数、第二随机数、用户端身份标识和应用服务器身份标识; 所述应用服务器的第一接入处理单元,还用于接收所述鉴别响应消息,使用鉴别服务器证书公钥验证所述鉴别响应消息的签名的有效性;在签名验证通过后,判断所述鉴别响应消息中的身份验证结果、随机数和身份标识是否有效,若任意一项无效,则接入失败;若每一项都有效,则产生业务密钥,使用用户端证书公钥对所业务密钥进行加密,获得业务密钥密文,且构建接入响应消息,使用应用服务器证书私钥对所述接入响应消息进行签名后,发送给所述用户端;所述接入响应消息包含所述鉴别响应消息、第一随机数、第二随机数、用户端身份标识、应用服务器身份标识和业务密钥密文; 所述用户端的第二接入处理单元,还用于接收所述接入响应消息,使用应用服务器证书公钥验证所述接入响应消息的签名的有效性,使用鉴别服务器证书公钥验证所述接入响应消息中的鉴别响应消息的签名;在签名验证通过后,判断所述接入响应消息中的身份验证结果、随机数和身份标识是否有效,若任意一项无效,则接入失败;若每一项都有效,则使用用户端证书私钥解密所述接入响应消息中的业务密钥密文,获得业务密钥;根据所述业务密钥、第一随机数和第二随机数计算出消息鉴别密钥和消息鉴别码,且构建接入确认消息,发送给所述应用服务器;所述接入确认消息包含第一随机数、第二随机数、用户端身份标识、应用服务器身份标识、业务密钥和消息鉴别码; 所述应用服务器的第一接入处理模块,还用于接收所述接入确认消息,根据本地保存的业务密钥、第一随机数和第二随机数计算消息鉴别密钥和消息鉴别码,当计算出的消息鉴别码与所述接入确认消息的消息鉴别码相同时,判断所述接入确认消息中的随机数、身份标识和业务密钥是否有效,若任意一项无效,则接入失败;若每一项都有效,则保存所述消息鉴别密钥,并打开应用服务资源平台。
8.如权利要求7所述的应用服务器系统,其特征在于,所述鉴别服务器还包括注册单元、身份标识管理单元和第一存储单元; 所述注册单元,用于对所述用户端和所述应用服务器进行注册,发放证书和对应的私 钥; 所述身份标识管理单元,用于绑定并维护所述用户端的证书、注册信息和身份标识的对应关系,以及所述应用服务器的证书、注册信息和身份标识的对应关系; 所述第一存储单元,用于保存所述鉴别服务器的证书、对应的私钥和身份标识,所述用户端的证书、注册信息和身份标识,以及所述应用服务器的证书、注册信息和身份标识; 所述应用服务器还包括第二存储单元,用于保存所述应用服务器的证书、对应的私钥和身份标识,所述鉴别服务器的证书和身份标识,以及所述用户端的证书和身份标识; 所述用户端还包括第三存储单元,用于保存所述用户端的证书、对应的私钥和身份标识,所述鉴别服务器的证书和身份标识,以及所述应用服务器的证书和身份标识。
9.如权利要求61任一项所述的应用服务器系统,其特征在于,所述应用服务器还包括第一应用管理单元和第一数据传输单元;所述用户端还包括第二应用管理单元和第二数据传输单兀; 所述用户端的第二应用管理单元,用于根据业务使用需求,生成含有用户端身份标识的业务请求消息,并发送给所述应用服务器; 所述应用服务器的第一应用管理单元,用于接收到所述业务请求消息后,根据所述业务请求消息中的用户端身份标识,判断所述用户端是否通过身份验证; 所述应用服务器的第一数据传输单元,用于在所述用户端通过身份验证时,根据所述业务请求消息从存储器中读取对应的应用服务数据,在所述应用服务数据中绑定应用服务器标识,使用消息鉴别密钥对设有身份标识的应用服务数据进行加密,生成应用服务数据包,并发送给所述用户端;若所述用户端未通过身份验证,则不向所述用户端提供应用服务数据; 所述用户端的第二数据传输单元,用于接收所述应用服务数据包,使用消息鉴别密钥对所述应用服务数据包进行解密,获得应用服务数据和应用服务器身份标识;根据所述应用服务器身份标识判断所述应用服务器是否通过身份验证,若通过身份验证,则将所述应用服务数据提供给用户使用;若未通过身份验证,则丢弃所述应用服务数据。
10.如权利要求9所述的应用服务器系统,其特征在于,所述第二存储单元还用于保存应用服务资源,以及接入过程中的随机数、业务密钥和消息鉴别密钥; 所述第三存储单元还用于保存接收到的应用服务数据,以及接入过程中的随机数、业务密钥和消息鉴别密钥。
全文摘要
本发明公开了一种基于标识的应用服务网络访问方法,该方法包括在用户端接入应用服务器的过程中,鉴别服务器根据所述用户端和所述应用服务器的身份标识,获取所述用户端和所述应用服务器的证书,对所述用户端和所述应用服务器的身份进行验证,且在所述用户端和所述应用服务器的身份验证通过后,所述用户端和所述应用服务器协商获得消息鉴别密钥;所述用户端和所述应用服务器根据所述消息鉴别密钥,进行应用服务数据的保密传输。本发明还公开一种应用服务器系统。本发明实施例在大规模应用服务网络中对应用服务器和用户端进行统一认证,使用户端能够以同一身份标识访问不同应用服务器,为用户带来很大的便利。
文档编号H04L9/32GK102739687SQ201210235358
公开日2012年10月17日 申请日期2012年7月9日 优先权日2012年7月9日
发明者杜文元, 林凡, 黄建青 申请人:广州杰赛科技股份有限公司