一种认证授权方法与流程

技术特征：

1.一种认证授权方法，其特征在于，包括：

第一数据准备步骤，客户端将用户身份标识的散列值发送给认证服务器；

第一查询步骤，所述认证服务器根据所述用户身份标识的散列值查询用户数据库，得到第一查询结果，所述第一查询结果包括与所述用户相对应的用户信息及用户权限；

认证步骤，所述认证服务器根据所述第一查询结果判断用户是否通过认证，并在所述用户通过认证时，将与所述用户相对应的认证票据发送给所述客户端，所述认证票据包括所述用户权限；

第二数据准备步骤，所述客户端将客户端票据以及与所述用户相对应的客户端用户申请服务标识发送给授权服务器；

第二查询步骤，所述授权服务器根据授权用户申请服务标识查询服务数据库，得到第二查询结果，所述第二查询结果包括与所述授权用户申请服务标识相对应的服务权限；所述授权服务器分别对所述用户权限和所述服务权限进行二进制展开，得到对应所述用户权限的用户权限描述以及对应所述服务权限的服务权限描述；

授权步骤，所述授权服务器根据所述用户权限描述和所述服务权限描述，确定所述用户是否有权申请与所述授权用户申请服务标识相关联的服务。

2.根据权利要求1所述的方法，其特征在于，所述用户权限为十进制数或十六进制数，所述服务权限为十进制数或十六进制数。

3.根据权利要求2所述的方法，其特征在于，所述授权步骤包括：

判断构成所述服务权限描述的二进制展开项与构成所述用户权限描述的二进制展开项是否有交集；

在判断出构成所述服务权限描述的二进制展开项与构成所述用户权限描述的二进制展开项有交集时，确定所述用户有权申请与所述授权用户申请服务标识相关联的服务。

4.根据权利要求1至3中任一项所述的方法，其特征在于，

在所述第一数据准备步骤中，所述客户端将第一消息发送给认证服务器，其中，所述第一消息包括第一数据串和所述用户身份标识的散列值，所述客户端利用用户密钥对由客户端用户身份标识、第一客户端随机值和第一消息时间戳构成的数据串进行加密，以得到所述第一数据串；

在所述第一查询步骤中，所述认证服务器接收所述第一消息，并利用所述第一消息中的用户身份标识的散列值查询用户数据库，得到所述第一查询结果，所述第一查询结果包括具有认证用户身份标识和用户密码的用户信息、所述用户权限、用户权限剩余时间、用户权限剩余次数和会话密钥；

在所述认证步骤中，所述认证服务器根据所述第一消息和所述第一查询结果，判断用户是否通过认证，并在判断出所述用户通过认证时，将第二消息和第三消息分别发送给所述客户端和授权服务器；其中，所述第二消息包括所述认证票据、由所述用户密钥加密的会话密钥以及第二数据串，所述认证服务器利用所述会话密钥对由第一认证随机值、第二消息时间戳和第二认证随机值构成的数据串进行加密，以得到所述第二数据串；所述认证服务器利用服务器共享密钥对由所述第二认证随机值、所述认证票据、所述会话密钥和所述用户身份标识的散列值构成的数据串进行加密，以得到所述第三消息；

所述方法还包括申请步骤，所述客户端接收所述第二消息，并根据所述第一消息和所述第二消息，判断所述认证服务器是否合法，在判断出所述认证服务器合法时，接受所述第二消息，并执行所述第二数据准备步骤；在判断出所述认证服务器不合法时，拒绝所述第二消息，并终止流程；

在所述第二数据准备步骤中，所述客户端将第四消息发送给授权服务器，所述第四消息包括所述客户端票据、第三数据串、用户身份标识的散列值，所述客户端利用所述会话密钥对由第二客户端随机值、第四消息时间戳、客户端用户申请服务标识和第三客户端随机值构成的数据串进行加密，以得到所述第三数据串；

在所述第二查询步骤中，所述授权服务器接收所述第四消息，并根据所述客户端票据的过期状态、所述第三消息和所述第四消息，判断所述用户是否有权查询服务数据库；并在判断出所述用户有权查询服务数据库时，利用授权用户申请服务标识查询所述服务数据库，得到所述第二查询结果，所述第二查询结果包括与所述授权用户申请服务标识相对应的服务权限；所述授权服务器分别对所述用户权限和所述服务权限进行二进制展开，得到对应所述用户权限的用户权限描述以及对应所述服务权限的服务权限描述；

在所述授权步骤中，所述授权服务器根据所述用户权限描述和所述服务权限描述，确定所述用户是否有权申请与所述授权用户申请服务标识相关联的服务，并在所述用户有权申请所述服务时，所述授权服务器将第五消息发送给所述客户端，所述授权服务器利用所述会话密钥对由所述授权用户申请服务标识、第五消息时间戳和第三授权随机值构成的数据串进行加密，以得到所述第五消息；

所述方法还包括服务接受步骤，所述客户端接收所述第五消息，并利用所述第四消息和所述第五消息，判断所述授权服务器是否合法，在判断出所述授权服务器合法时，接受所述第五消息，并接受服务；在判断出所述授权服务器不合法时，拒绝所述第五消息，并终止流程。

5.根据权利要求4所述的方法，其特征在于，

在所述认证步骤中，所述认证服务器根据所述第一消息和所述第一查询结果，判断用户是否通过认证，具体包括：

判断所述用户权限剩余时间、用户权限剩余次数、客户端用户身份标识和第一消息时间戳是否满足第一预设条件，并在判断出满足所述第一预设条件时，确定用户通过认证；其中，所述第一预设条件包括：所述用户权限剩余时间非零，所述用户权限剩余次数非零，所述客户端用户身份标识和所述认证用户身份标识一致，以及所述第一消息时间戳与所述认证服务器当前的时间戳的间隔小于预设的时间间隔阈值；或者

判断所述用户权限剩余时间、客户端用户身份标识和第一消息时间戳是否满足第二预设条件，并在判断出满足所述第二预设条件时，确定用户通过认证；其中，所述第二预设条件包括：所述用户权限剩余时间非零，所述客户端用户身份标识和所述认证用户身份标识一致，以及所述第一消息时间戳与所述认证服务器当前的时间戳的间隔小于预设的时间间隔阈值。

6.根据权利要求4所述的方法，其特征在于，

在所述申请步骤中，所述客户端根据所述第一消息和所述第二消息，判断所述认证服务器是否合法，具体包括：

判断所述第一认证随机值和第二消息时间戳是否满足第三预设条件，并在判断出满足所述第三预设条件时，确定所述认证服务器合法；其中，所述第三预设条件包括：所述第一认证随机值与所述第一客户端随机值一致，并且所述第二消息时间戳与所述客户端当前的时间戳的间隔小于预设的时间间隔阈值。

7.根据权利要求4所述的方法，其特征在于，

在所述第二查询步骤中，所述授权服务器根据所述客户端票据的过期状态、所述第三消息和所述第四消息，判断所述用户是否有权查询服务数据库，具体包括：

判断所述客户端票据的过期状态、所述客户端票据、第二客户端随机值和第四消息时间戳是否满足第四预设条件，并在判断出满足所述第四预设条件时，确定用户有权查询服务数据库；其中，所述第四预设条件包括：所述客户端票据未过期，所述客户端票据与所述认证票据一致，所述第二客户端随机值与所述第二认证随机值一致，并且所述第四消息时间戳与所述授权服务器当前的时间戳的间隔小于预设的时间间隔阈值。

8.根据权利要求4所述的方法，其特征在于，

在所述服务接受步骤中，所述客户端利用所述第四消息和所述第五消息，判断所述授权服务器是否合法，具体包括：

判断所述授权用户申请服务标识、所述第三授权随机值和第五消息时间戳是否满足第五预设条件，并在判断出满足所述第五预设条件时，确定所述授权服务器合法；其中，所述第五预设条件包括：所述授权用户申请服务标识与所述客户端用户申请服务标识一致，所述第三授权随机值与第三客户端随机值一致，并且所述第五消息时间戳与所述客户端当前的时间戳的间隔小于预设的时间间隔阈值。

9.根据权利要求4至8中任一项所述的方法，其特征在于，还包括：

当所述客户端票据的过期状态表征所述客户端票据过期时，重新发起认证授权；

所述重新发起认证授权包括：

在所述第一数据准备步骤中，所述客户端利用所述会话密钥对由客户端用户身份标识、第一客户端随机值和第一消息时间戳构成的数据串进行加密，以得到所述第一数据串；

在所述第一查询步骤中，所述第一查询结果包括具有认证用户身份标识和用户密码的用户信息、所述用户权限、用户权限剩余时间、用户权限剩余次数和新会话密钥；

在所述认证步骤中，所述第二消息包括所述认证票据、由所述会话密钥加密的新会话密钥以及第二数据串，所述认证服务器利用所述新会话密钥对由所述第一认证随机值、第二消息时间戳和第二认证随机值构成的数据串进行加密，以得到所述第二数据串；所述认证服务器利用服务器共享密钥对由所述第二认证随机值、所述认证票据、所述新会话密钥和所述用户身份标识的散列值构成的数据串进行加密，以得到所述第三消息；

在所述第二数据准备步骤中，所述客户端利用所述新会话密钥对由所述第二客户端随机值、第四消息时间戳、客户端用户申请服务标识和第三客户端随机值构成的数据串进行加密，以得到所述第三数据串；

在所述授权步骤中，所述授权服务器利用所述新会话密钥对由所述授权用户申请服务标识、第五消息时间戳和第三授权随机值构成的数据串进行加密，以得到所述第五消息。

10.根据权利要求1所述的方法，其特征在于，还包括：

当所述客户端票据的过期状态表征所述客户端票据未过期时，利用所述客户端票据申请多次服务。