述认证服务器在接收到所述QR码请求消息后,立即应用QR (Quick Response,快速反应)编码算法对所述第一通讯会话的会话标识符和所述第二通讯会话的会话标识符进行编码处理,生成QR码(一种二维条码,可以通过编码方式存储大量的数字信息)消息,然后建立与认证服务器的第二通讯会话,将所述QR码请求消息发送给所述认证服务器。
[0023]S104.所述服务请求终端以图像形式显示所述QR码消息,信任用户终端通过扫描0R码方式从所述QR码消息中获取所述第一通讯会话的会话标识符和所述第三通讯会话的会话标识符,所述信任用户终端为在所述认证服务器端完成用户注册的终端。
[0024]在步骤S104中,所述服务请求终端在接收到所述QR码消息后,以图像形式在显示屏单元上显示所述QR码消息,例如二维QR码图片。所述信任用户终端为配置有摄像单元、且可以与所述认证服务器进行有线通信或无线通信的用户终端,例如智能手机、平板电脑和笔记本等。所述信任用户终端可以但不限于按照如下扫描0R码方式扫描QR码:首先启动所述信任用户终端的摄像单元,然后扫描获取在所述服务请求终端的显示屏单元上显示的QR码图像,最后通过内置的QR解码算法对所述QR码图像进行解码,获取所述第一通讯会话的会话标识符和所述第三通讯会话的会话标识符。
[0025]S105.所述信任用户终端建立与所述认证服务器的第四通讯会话,并将包含所述第一通讯会话的会话标识符、所述第二通讯会话的会话标识符和用户身份信息的0ΤΑ消息发送给所述认证服务器。
[0026]在步骤S105中,所述信任用户终端在获取所述第一通讯会话的会话标识符和所述第三通讯会话的会话标识符后,立即对所述第一通讯会话的会话标识符、所述第二通讯会话的会话标识符和用户身份信息进行加密处理,生成可上传至所述认证服务器的OTA (One trust authenticat1n,一次性动态认证)消息,然后建立与所述认证服务器的第四通讯会话,将所述0ΤΑ消息发送给所述认证服务器。具体的,所述信任用户终端根据ECC非对称加密算法及SSL协议建立与所述认证服务器的第四通讯会话。利用ECC非对称加密算法及SSL协议可在所述信任用户终端与所述TAC认证服务器之间建立国密认证通道,使第四通讯会话具有高安全性,进一步保障服务认证过程中的信息安全。
[0027]在步骤S105中,具体的,所述用户身份信息包括由信任用户终端即时采集的用户生物特征码信息/和信任用户终端的设备硬件信息。所述用户生物特征码信息用于进行用户与TCA认证服务器之间的认证,所述设备硬件信息用于进行信任用户终端与TCA认证服务器之间的认证,由此在身份认证过程中,不但可进行用户与TCA认证服务器之间的认证,还可以进行信任用户终端与TCA认证服务器之间的认证,确保身份认证的正确性,真正实现“我是谁?我就是答案”的认证理念(即生成身份标记的权限应当且由用户自己拥有,谁可以判定我是谁的权限应当且由用户本人授予)。进一步具体的,所述用户生物特征码信息为指纹信息、声纹信息和人脸信息中的任意一种或它们的任意组合。所述信任用户终端上还配置有具有对应采集功能的采集单元采集所述用户生物特征码信息,例如配置指纹扫描单元采集指纹信息,配置录音单元采集声纹信息,配置摄像单元采集人脸信息。
[0028]S106.所述认证服务器对所述0ΤΑ消息中的所述用户身份信息进行认证判断,若判定认证成功,则根据所述0ΤΑ消息中的所述第二通讯会话的会话标识符,通过所述第二通讯会话向所述业务服务器反馈包含所述第一会话标识符的服务授权消息。
[0029]在步骤S106中,所述认证服务器在接收到所述0ΤΑ消息后,立即对其进行相应的解密处理,得到所述第一通讯会话的会话标识符、所述第二通讯会话的会话标识符和用户身份信息,然后根据所述信任用户终端注册的用户身份信息对上传的所述0ΤΑ消息中的用户身份信息进行认证判断,若判定认证成功,则允许所述业务服务器为所述服务请求终端提供相应的网络应用服务,即根据所述0ΤΑ消息中的所述第二通讯会话的会话标识符找回第二通讯会话,通过所述第二通讯会话向所述业务服务器反馈包含所述第一会话标识符的服务授权消息。
[0030]S107.所述业务服务器根据所述服务授权消息中的所述第一会话标识符,通过所述第一通讯会话向所述服务请求终端反馈服务响应消息。
[0031]在步骤S107中,所述业务服务器在接收到所述服务授权消息后,根据所述第一会话标识符找回第一通讯会话,通过所述第一通讯会话向所述服务请求终端反馈针对所述服务请求消息的服务响应消息,完成服务认证过程。
[0032]在应用所述服务认证方法进行服务认证过程中,由服务请求终端、业务服务器和TCA认证服务器构成的“业务服务三角”执行由所述步骤S101至步骤S103描述的、单向稳定的服务请求流程,由TCA认证服务器、服务请求终端和信任用户终端构成的“授权认证三角”执行所述步骤S104至步骤S106描述的、单向稳定的身份认证流程,最后在身份认证成功时授权业务服务器向服务请求终端提供服务,从而完成由服务请求终端发起的服务认证。这种服务认证方法可将用户身份信息从服务请求流程中剥离出来,避免了在服务请求终端、业务服务器及它们的通讯会话中进行交互,从而可从流程架构上规避所有传统盗取用户身份信息的攻击手段,保障服务认证过程中的信息安全。
[0033]综上,本实施例所提供的基于三角稳固法则的服务认证方法,具有如下有益效果:
(1)可将用户身份信息从服务请求流程中剥离出,避免了在服务请求终端、业务服务器及它们的通讯会话中进行交互,从而可从流程架构上规避所有传统盗取用户身份信息的攻击手段,保障服务认证过程中的信息安全;(2)在身份认证过程中,不但可进行用户与TCA认证服务器之间的认证,还可以进行信任用户终端与TCA认证服务器之间的认证,确保身份认证的正确性,真正实现“我是谁?我就是答案”的认证理念。
[0034]如上所述,可较好的实现本发明。对于本领域的技术人员而言,根据本发明的教导,设计出不同形式的基于三角稳固法则的服务认证方法并不需要创造性的劳动。在不脱离本发明的原理和精神的情况下对这些实施例进行变化、修改、替换、整合和变型仍落入本发明的保护范围内。
【主权项】
1.一种基于三角稳固法则的服务认证方法,其特征在于,包括如下步骤: 5101.服务请求终端建立与业务服务器的第一通讯会话,并将服务请求消息发送给业务服务器; 5102.所述业务服务器建立与认证服务器的第二通讯会话,并将包含所述服务请求终端的终端标识符和所述第一通讯会话的会话标识符的QR码请求消息发送给认证服务器; 5103.所述认证服务器根据所述服务请求终端的终端标识符建立与所述服务请求终端的第三通讯会话,并将包含所述第一通讯会话的会话标识符和所述第二通讯会话的会话标识符的QR码消息发送给所述服务请求终端; 5104.所述服务请求终端以图像形式显示所述QR码消息,信任用户终端通过扫描OR码方式获取所述第一通讯会话的会话标识符和所述第三通讯会话的会话标识符,所述信任用户终端为在所述认证服务器端完成用户注册的终端; 5105.所述信任用户终端建立与所述认证服务器的第四通讯会话,并将包含所述第一通讯会话的会话标识符、所述第二通讯会话的会话标识符和用户身份信息的OTA消息发送给所述认证服务器; 5106.所述认证服务器对所述OTA消息中的所述用户身份信息进行认证判断,若判定认证成功,则根据所述OTA消息中的所述第二通讯会话的会话标识符,通过所述第二通讯会话向所述业务服务器反馈包含所述第一会话标识符的服务授权消息; 5107.所述业务服务器根据所述服务授权消息中的所述第一会话标识符,通过所述第一通讯会话向所述服务请求终端反馈服务响应消息。2.如权利要求1所述的一种基于三角稳固法则的服务认证方法,其特征在于,在所述步骤S102中,所述业务服务器根据OAuth 2.0标准协议建立与认证服务器的第二通讯会话。3.如权利要求1所述的一种基于三角稳固法则的服务认证方法,其特征在于,在所述步骤S105中,所述信任用户终端根据ECC非对称加密算法及SSL协议建立与所述认证服务器的第四通讯会话。4.如权利要求1所述的一种基于三角稳固法则的服务认证方法,其特征在于,所述用户身份信息包括由信任用户终端即时采集的用户生物特征码信息/和信任用户终端的设备硬件信息。5.如权利要求4所述的一种基于三角稳固法则的服务认证方法,其特征在于,所述用户生物特征码信息为指纹信息、声纹信息和人脸信息中的任意一种或它们的任意组合。
【专利摘要】本发明涉及信息安全技术领域,公开了一种基于三角稳固法则的服务认证方法。在应用所述服务认证方法进行服务认证过程中,由服务请求终端、业务服务器和认证服务器构成的“业务服务三角”执行单向稳定的服务请求流程,由认证服务器、服务请求终端和信任用户终端构成的“授权认证三角”执行单向稳定的身份认证流程,最后在身份认证成功时授权业务服务器向服务请求终端提供服务,从而完成由服务请求终端发起的服务认证。所述服务认证方法可将用户身份信息从服务请求流程中剥离出来,避免了在服务请求终端、业务服务器及它们的通讯会话中进行交互,从而可从流程架构上规避所有传统盗取用户身份信息的攻击手段,保障服务认证过程中的信息安全。
【IPC分类】H04L29/06
【公开号】CN105262762
【申请号】CN201510729095
【发明人】胥寅, 张采荣
【申请人】四川省宁潮科技有限公司
【公开日】2016年1月20日
【申请日】2015年10月30日