一种基于三角稳固法则的服务认证方法
【技术领域】
[0001]本发明涉及信息安全技术领域,具体地,涉及一种基于三角稳固法则的服务认证方法。
【背景技术】
[0002]在网络服务过程中,除了需要在用户终端与业务服务器之间交互服务请求/响应消息外,还需要交互用户身份信息,以便对请求服务的用户进行身份认证,防止服务盗用。传统的服务认证方式是在相同终端、相同业务服务器和相同的通讯会话中传输用户身份信息,并通过一个往返循环的过程完成服务认证,这种服务认证流程架构易遭受到如下三种传统手段的攻击:(1)用户端攻击,在终端非法植入病毒,监听服务认证过程,读取用户身份信息;(2)中间人攻击,通过钓鱼方式或通信劫持方式获取通讯会话权,从非法的通信会话中获取用户身份信息;(3)服务器端攻击,攻击业务服务器的数据库,批量获取用户身份?目息。
[0003]针对上述传统服务认证方式的问题,有必要提供一种新型的服务认证方法,可在服务认证过程中,避免在服务请求终端、业务服务器及它们的通讯会话中交互用户身份信息,从而可从流程架构上规避所有传统盗取用户身份信息的攻击手段,保障服务认证过程中的信息安全。
【发明内容】
[0004]针对前述传统服务认证方式的问题,本发明提供了一种基于三角稳固法则的服务认证方法,在服务认证过程中,由服务请求终端、业务服务器和认证服务器构成的“业务服务三角”执行单向稳定的服务请求流程,由认证服务器、服务请求终端和信任用户终端构成的“授权认证三角”执行单向稳定的身份认证流程,最后在身份认证成功时授权业务服务器向服务请求终端提供服务,从而完成由服务请求终端发起的服务认证。所述服务认证方法可将用户身份信息从服务请求流程中剥离出来,避免了在服务请求终端、业务服务器及它们的通讯会话中进行交互,从而可从流程架构上规避所有传统盗取用户身份信息的攻击手段,保障服务认证过程中的信息安全。
[0005]本发明采用的技术方案,提供了一种基于三角稳固法则的服务认证方法,包括如下步骤:S101.服务请求终端建立与业务服务器的第一通讯会话,并将服务请求消息发送给业务服务器;S102.所述业务服务器建立与认证服务器的第二通讯会话,并将包含所述服务请求终端的终端标识符和所述第一通讯会话的会话标识符的QR码请求消息发送给认证服务器;S103.所述认证服务器根据所述服务请求终端的终端标识符建立与所述服务请求终端的第三通讯会话,并将包含所述第一通讯会话的会话标识符和所述第二通讯会话的会话标识符的QR码消息发送给所述服务请求终端;S104.所述服务请求终端以图像形式显示所述QR码消息,信任用户终端通过扫描0R码方式获取所述第一通讯会话的会话标识符和所述第三通讯会话的会话标识符,所述信任用户终端为在所述认证服务器端完成用户注册的终端;S105.所述信任用户终端建立与所述认证服务器的第四通讯会话,并将包含所述第一通讯会话的会话标识符、所述第二通讯会话的会话标识符和用户身份信息的OTA消息发送给所述认证服务器;S106.所述认证服务器对所述OTA消息中的所述用户身份信息进行认证判断,若判定认证成功,则根据所述0TA消息中的所述第二通讯会话的会话标识符,通过所述第二通讯会话向所述业务服务器反馈包含所述第一会话标识符的服务授权消息;S107.所述业务服务器根据所述服务授权消息中的所述第一会话标识符,通过所述第一通讯会话向所述服务请求终端反馈服务响应消息。在应用所述服务认证方法进行服务认证过程中,由服务请求终端、业务服务器和认证服务器构成的“业务服务三角”执行由所述步骤S101至步骤S103描述的、单向稳定的服务请求流程,由认证服务器、服务请求终端和信任用户终端构成的“授权认证三角”执行所述步骤S104至步骤S106描述的、单向稳定的身份认证流程,最后在身份认证成功时授权业务服务器向服务请求终端提供服务,从而完成由服务请求终端发起的服务认证。这种服务认证方法可将用户身份信息从服务请求流程中剥离出来,避免了在服务请求终端、业务服务器及它们的通讯会话中进行交互,从而可从流程架构上规避所有传统盗取用户身份信息的攻击手段,保障服务认证过程中的信息安全。
[0006]具体的,在所述步骤S102中,所述业务服务器根据OAuth 2.0标准协议建立与认证服务器的第二通讯会话。利用0Auth2.0标准协议可在所述业务服务器与所述认证服务器之间建立国密授权通道,使第二通讯会话具有高安全性,进一步保障服务认证过程中业务服务器与认证服务器之间的信息安全。
[0007]具体的,在所述步骤S105中,所述信任用户终端根据ECC非对称加密算法及SSL协议建立与所述认证服务器的第四通讯会话。利用ECC非对称加密算法及SSL协议可在所述信任用户终端与所述认证服务器之间建立国密认证通道,使第四通讯会话具有高安全性,进一步保障服务认证过程中信任用户终端与认证服务器之间的信息安全。
[0008]具体的,所述用户身份信息包括由信任用户终端即时采集的用户生物特征码信息/和信任用户终端的设备硬件信息。所述用户生物特征码信息用于进行用户与认证服务器之间的认证,所述设备硬件信息用于进行信任用户终端与认证服务器之间的认证,由此在身份认证过程中,不但可进行用户与认证服务器之间的认证,还可以进行信任用户终端与认证服务器之间的认证,确保身份认证的正确性,真正实现“我是谁?我就是答案”的认证理念。
[0009]进一步具体的,所述用户生物特征码信息为指纹信息、声纹信息和人脸信息中的任意一种或它们的任意组合。
[0010]综上,采用本发明所提供的一种基于三角稳固法则的服务认证方法,具有如下有益效果:(1)可将用户身份信息从服务请求流程中剥离出,避免了在服务请求终端、业务服务器及它们的通讯会话中进行交互,从而可从流程架构上规避所有传统盗取用户身份信息的攻击手段,保障服务认证过程中的信息安全;(2)在身份认证过程中,不但可进行用户与认证服务器之间的认证,还可以进行信任用户终端与认证服务器之间的认证,确保身份认证的正确性,真正实现“我是谁?我就是答案”的认证理念。
【附图说明】
[0011]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0012]图1是本发明提供的基于三角稳固法则的服务认证方法的流程示意图。
【具体实施方式】
[0013]以下将参照附图,通过实施例方式详细地描述本发明提供的基于三角稳固法则的服务认证方法。在此需要说明的是,对于这些实施例方式的说明用于帮助理解本发明,但并不构成对本发明的限定。
[0014]本文中描述的各种技术可以用于但不限于信息安全技术领域,还可以用于其它类似领域。
[0015]本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,单独存在B,同时存在A和B三种情况,本文中术语“/和”是描述另一种关联对象关系,表示可以存在两种关系,例如,A/和B,可以表示:单独存在A,单独存在A和B两种情况,另外,本文中字符“/”,一般表示前后关联对象是一种“或”关系。
实施例一
[0016]图1示出了本发明提供的基于三角稳固法则的服务认证方法的流程示意图。所述基于三角稳固法则的服务认证方法,包括如下步骤。
[0017]S101.服务请求终端建立与业务服务器的第一通讯会话,并将服务请求消息发送给业务服务器。
[0018]在步骤S101中,所述服务请求终端为配置有显示屏单元、且可以与业务服务器进行无线或有线通信的用户终端,其可以接收来自业务服务器的网络应用服务(例如接入网络、登录论坛网站或云平台等网络服务),例如个人电脑、智能手机、智能手表或平板电脑的等。所述业务服务器为服务供应商侧提供网络应用服务的设备,例如存放应用网站或运行云平台的服务器。
[0019]S102.所述业务服务器建立与认证服务器的第二通讯会话,并将包含所述服务请求终端的终端标识符和所述第一通讯会话的会话标识符的QR码请求消息发送给认证服务器。
[0020]在步骤S102中,所述业务服务器在接收到所述服务请求消息后,立即生成包含所述服务请求终端的终端标识符和所述第一通讯会话的会话标识符的QR码请求消息,然后建立与认证服务器的第二通讯会话,将所述QR码请求消息发送给所述认证服务器。具体的,所述业务服务器根据OAuth 2.0标准协议建立与认证服务器的第二通讯会话。利用0Auth2.0标准协议可在所述业务服务器与所述TAC认证服务器之间建立国密授权通道,使第二通讯会话具有高安全性,进一步保障服务认证过程中业务服务器与认证服务器之间的信息安全。作为举例的,如图1所示,所述认证服务器为TCA(Two Channel Authenticat1n,双通道认证)认证服务器(一种实现带外认证的认证服务器,既可以在用户注册阶段作为用户身份标记产生和发放者,也可以作为用户身份的判定者),可以根据注册的用户身份信息对待认证的用户身份信息进行认证判断,并在判定认证成功时,授权所述业务服务器为服务请求终端提供相应的网络应用服务。
[0021]S103.所述认证服务器根据所述服务请求终端的终端标识符建立与所述服务请求终端的第三通讯会话,并将包含所述第一通讯会话的会话标识符和所述第二通讯会话的会话标识符的QR码消息发送给所述服务请求终端。
[0022]在步骤S103中,所