采用预处理的身份认证系统和方法

专利名称：采用预处理的身份认证系统和方法
技术领域：
本发明涉及一种采用预处理的身份认证系统和方法。
背景技术：
很多网络资源采用密钥加密的方式进行身份认证和登录。同时，为了使用户与 认证服务器之间每次登录传输的信息都不相同，加密过程中也需要存在变量，如 不同的密钥、随时间变化的加密内容等等。
加密和解密的计算，尤其是非对称加密的计算，是很耗时的。因此，对于有很 多用户的认证服务系统，就产生了以下问题在认证高峰时，服务器性能不足；在 认证空闲时，服务器设备性能闲置。

发明内容
本发明釆用一种采用预处理的身份认证系统和方法，来解决以上提到的问题。 在本发明中，采用由认证服务系统向用户终端发出的信息作为认证加密过程中的变量，使用户每次登录传递的认证信息都不同。而且，本发明中认证服务系统将需要 进行的加解密计算预先执行，在用户终端返回认证信息后，认证服务系统不需再执 行加解密运算而只需直接进行比对就可得出认证结论。这样，本发明将认证服务系 统的加解密运算与终端用户的认证执行分开成了可以分别独立执行的步骤，这样就 带来了以下优点1)认证服务系统的加解密运算量不与用户的认证请求量直接相 关，认证服务系统的加解密运算工作可以按不同时间的负荷情况进行合理和优化的 分配；2)这种系统尤其适合实现于进行分工的多服务器系统上，其中，加解密运 算和用户的认证工作分别执行于专用服务器上，这样做， 一方面由于减少了专用设 备昂贵的加密运算服务器而降低了运营成本，另一方面可以使服务器群组的工作负 荷和内部通信流量得到合理和优化的分配；3)利用将认证与加解密计算分离执行 一尤其是分别在不同的服务器上执行，可以通过访问控制实现对密钥或密码等用户 识别关键内容的有效保护。
本发明是这样实现的 一种采用预处理的身份认证系统和方法，该系统包括终端系统和认证服务系统，其中，终端系统用户具有特征信息X，认证服务系统储存 着对应的特征信息Y，其中，认证服务系统可以根据特征信息Y和关于特征信息X 的信息验证对应关系，该方法包括以下步骤
1) 认证服务系统进行至少包括特征信息Y和认证信息A的数学计算，得
到认证信息AY;
2) 终端系统收到认证信息A或认证信息AY;
3) 终端系统进行至少包括特征信息X和认证信息A的数学计算或者进行 至少包括特征信息X和认证信息AY的数学计算，得到认证信息AX或 认证信息AYX;
4) 认证服务系统收到认证信息AX或认证信息AYX;
5) 认证服务系统根据储存的认证信息AY和收到的认证信息AX进行判 断，或者认证服务系统根据储存的认证信息A和收到的认证信息AYX 进行判断，只有在认证信息AY与AX或者认证信息A与AYX符合对 应关系的条件下，认证才能通过。
其中，所述的特征信息X和特征信息Y可以是密钥X和密钥Y，密钥X和密 钥Y是同一个对称加密的密钥或一对非对称加密的密钥，所述的认证信息A是由 任何符号组成的序列。这时，所述方法的步骤具体为-
1) 认证服务系统以密钥X对认证信息A或其摘要进行加密，得到认证信 息AY;
2) 终端系统收到认证信息A或认证信息AY;
3) 终端系统以密钥Y对认证信息A加密或者对认证信息AY解密，得到 认证信息AX或者认证信息AYX;
4) 认证服务系统收到认证信息AX或认证信息AYX;
5) 认证服务系统根据储存的认证信息AY和收到的认证信息AX进行判 断，或者认证服务系统根据储存的认证信息A或其摘要和收到的认证 信息AYX进行判断，只有在认证信息A与认证信息AYX相符合或认 证信息A与认证信息AYX相符合的条件下，认证才能通过。
其中，所述的特征信息X和特征信息Y可以是由任何符号组成的序列，所述 的认证信息A是数学算法或算法因子A。这时，所述方法的步骤具体为
1) 认证服务系统以数学算法或算法因子A对特征信息Y进行计算，得到 认证信息AY;
2) 终端系统收到数学算法或算法因子A;
3) 终端系统以数学算法或算法因子A对特征信息X进行计算，得到认证
信息AX;
4) 认证服务系统收到认证信息AX;
5) 认证服务系统根据储存的认证信息AY和收到的认证信息AX进行判 断，只有在认证信息AY与认证信息AX相同的条件下，认证才能通过。
其中，所述的数学算法为单向函数、加密算法或以上两者组合，所述的算法因 子为单向函数和加密算法在计算中有关的因子。
其中，所述的认证服务系统可以由一台或多台服务器组成。当所述认证服务系 统由多台服务器组成时，所述的步骤l)与步骤5)可以分别由不同的服务器执行。
其中，所述终端系统为具有计算机功能的系统，包括主机和与之相连接的附件。 其中，主机可以是计算机、手机或其它具有计算机功能的设备。
其中，所述终端系统的附件包括可移动IC，用户密钥X储存在可移动IC上， 可移动IC可与不同的终端系统相互连接。
其中，所述的步骤3)的部分数学运算在可移动IC上生成。
其中，根据具体应用的不同，在基本步骤和程序基础上，本发明的具体实现步 骤会有各种不同的变化。
其中，所述的网络是指互联网。
其中，所述网络的连接方式包括有线方式和无线方式。
其中，所述数学计算是指进行以下一种或几种数学计算加密计算、解密计算、 数字摘要计算等。
本发明还可用于有三方参与的提供第三方身份认证的应用方式。另外，本发明
还可以与其它认证方案相结合，如在终端发往认证服务器的信息中加入时间变量


图1是本发明的基本步骤程序示意图2是本发明的基本系统结构的示意图;
图3是本发明的实施例1的具体步骤程序示意图4是本发明的实施例1的系统结构示意图5是本发明的实施例2和实施例3的具体步骤程序示意图6是本发明的实施例4的系统结构示意图。
具体实施例方式
下面结合附图，对本发明实施例进行详细描述。
实施例l、 2、 3是本发明的步骤流程在具体应用中的3个典型实现。实施例4 是本发明应用于第三方身份认证时的一种典型系统结构。
实施例1
图3是本实施例的具体步骤程序示意图。本实施例中，特征信息X和特征信息 Y分别是密钥X和密钥Y,密钥X和密钥Y是一对非对称加密的密钥，所述的认 证信息A是认证服务系统产生的随机序列。
图4是本实施例的系统结构示意图，其中，认证服务系统由2个服务器群组构 成， 一个专门用于加密和解密运算的加密服务器群组(CS)，另一个用于接收用户 的认证请求和执行认证判断的认证功能服务器群组(AS)。其中，每个注册的用户 在认证服务系统中有用户代码，这个用户代码可以是用户注册时的用户名或是系统 指定生成的。其中，CS上存储着所有用户的用户代码以及对应的密钥Y， AS上存 储着用户代码以及CS为每个用户生成的多对认证信息A和认证信息AY。
本实施例具体包括以下步骤
1) CS为每个新注册用户生成多个认证信息A， CS以该用户对应的密钥Y 对每个认证信息A进行加密，得到认证信息AY;
2) CS将新注册用户的认证信息A和AY传送给AS;
3) 用户通过终端系统向AS发来认证请求，其中包含用户名；
4) AS根据用户名找到用户代码和与该用户对应的一对认证信息A和认证 信息AY;
5) AS向终端系统发送找到的认证信息AY，同时AS向CS请求为该用户 更新一对认证信息A和AY;
6) 终端系统以密钥X对认证信息AY进行解密，生成认证信息AYX;
7) 终端系统向AS发送认证信息AYX和用户名；
8) AS根据储存的认证信息A和收到的认证信息AYX进行判断，如果认 证信息A与认证信息AYX相同则确认认证信息是由该注册用户发出 的，认证可以通过。
本实施例还包括步骤51): CS向AS返回该用户的一对新的认证信息A和AY。 步骤51)的执行时间由CS根据不同的具体情况决定，可以是在步骤5)后即时执行 的、或是周期执行的、或是延期执行的等等。
实施例2
图5是本发明的实施例2的具体步骤程序示意图。本实施例中，特征信息X和 特征信息Y是同一个用户的用户名和用户密码。所述的认证信息A是密钥A，密 钥A是一个对称加密的密码或一对非对称加密密码中的同一个。
本实施例的系统结构与图2所示相同。其中，每个注册的用户在认证服务系统
中都有用户名和用户密码。
本实施例具体包括以下步骤
1) 认证服务系统为每个新注册用户生成多个密钥A和一个或多个随机字 符串(RAND)，认证服务系统以每个密钥A对由特征信息Y和RAND 组成的字符串进行加密，得到认证信息AY，最后，认证服务系统为每 个用户生成了多组密钥A、认证信息AY和RAND;
2) 用户通过终端系统向认证服务系统发来认证请求，其中包含用户名；
3) AS根据用户名找到和与该用户对应的一组密钥A、认证信息AY和 RAND;
4) 认证服务系统向终端系统发送一组密钥A和RAND;
5) 终端系统以密钥A对由特征信息X和RAND组成的字符串进行加密， 生成认证信息AX;
6) 终端系统向认证服务系统发送认证信息AX和用户名；
7) 认证服务系统根据储存的认证信息AY和收到的认证信息AX进行判 断，如果认证信息AY与认证信息AX相同则确认认证信息是由该注册 用户发出的，认证可以通过。
本实施例还包括步骤41):认证服务系统生成该用户的一组新的认证信息A、认证信息AY和RAND。步骤41)的执行时间由认证服务系统根据不同的具体情况 决定，可以是在步骤4)后即时执行的、或是周期执行的、或是延期执行的等等。
实施例3
本实施例的具体步骤程序与图5相同。本实施例中，特征信息X和特征信息Y 分别是密钥X和密钥Y，密钥X和密钥Y是同一对称加密的密钥，所述的认证信 息A是认证服务系统产生的随机序列。其中，每个注册的用户在认证服务系统中有 用户代码，这个用户代码可以是用户注册时的用户名或是系统指定生成的。
本实施例具体包括以下步骤
1) 认证服务系统为每个新注册用户生成多个认证信息A，并以该用户对应 的密钥Y对每个认证信息A进行摘要加密，得到认证信息AY;
2) 用户通过终端系统向认证服务系统发来认证请求，其中包含用户名；
3) 认证服务系统根据用户名找到用户代码和与该用户对应的一对认证信 息A和认证信息AY;
4) 认证服务系统向终端系统发送找到的认证信息A;
5) 终端系统以密钥X和相同的散列算法对认证信息A进行摘要加密，生 成认证信息AX;
6) 终端系统向认证服务系统发送认证信息AY和用户名；
7) 认证服务系统对比储存的认证信息AY和收到的认证信息AX进行对 比，如果认证信息A与认证信息AYX相同则确认认证信息是由该注册 用户发出的，认证可以通过。
本实施例还包括步骤41):认证服务系统生成该用户的一组新的认证信息A、 和认证信息AY。步骤41)的执行时间由认证服务系统根据不同的具体情况决定，可 以是在步骤4)后即时执行的、或是周期执行的、或是延期执行的等等。
实施例4
图6是本发明的实施例4的系统结构示意图。
本实施例是本发明应用于在网上提供第三方身份认证服务的例子。
本实施例中 的系统包括终端系统、应用服务系统和认证服务系统。
其中，认证服务系统由2个服务器群组构成， 一个专门用于加密和解密运算的加密服务器群组(CS)，另一个用于接收用户的认证请求和执行认证判断的认证功 能服务器群组(AS)。
其中，终端系统包括计算机主机和通过主机USB接口相连接的密钥U盘上， 其中用户密钼X储存在密钥U盘上。
当然，本发明还可有其他多种实施例，在不背离本发明精神及其实质的情况下， 本领域技术人员当可根据本发明作出各种相应的改变和变形，但这些相应的改变和 变形都应属于本发明所附的权利要求的保护范围。
权利要求
1、一种采用预处理的身份认证系统和方法，该系统包括终端系统和认证服务系统，两者通过网络相互连接，其特征在于，终端系统用户具有特征信息X，认证服务系统储存着对应的特征信息Y，其中，认证服务系统可以验证特征信息Y和特征信息X的对应关系，该方法包括以下步骤1)认证服务系统进行至少包括特征信息Y和认证信息A的数学计算，得到认证信息AY；2)终端系统收到认证信息A或认证信息AY；3)终端系统进行至少包括特征信息X和认证信息A的数学计算或者进行至少包括特征信息X和认证信息AY的数学计算，得到认证信息AX或认证信息AYX；4)认证服务系统收到认证信息AX或认证信息AYX；5)认证服务系统根据储存的认证信息AY和收到的认证信息AX进行对比，或者认证服务系统根据储存的认证信息A和收到的认证信息AYX进行判断，只有在认证信息AY与AX或者认证信息A与AYX符合对应关系的条件下，认证才能通过。
2、 根据权利要求1所述的采用预处理的身份认证系统和方法，其特征在于， 所述的特征信息X和特征信息Y是密钥X和密钥Y，密钥X和密钥Y是同一个对 称加密的密钥或一对非对称加密的密钥，所述的认证信息A是由任何符号组成的序 列。
3、 根据权利要求2所述的采用预处理的身份认证系统和方法，其特征在于，所述方法的步骤具体为1) 认证服务系统以密钥X对认证信息A或其摘要进行加密，得到认证信息AY;2) 终端系统收到认证信息A或认证信息AY;3) 终端系统以密钥Y对认证信息A加密或者对认证信息AY解密，得到 认证信息AX或者认证信息AYX;4) 认证服务系统收到认证信息AX或认证信息AYX;5) 认证服务系统根据储存的认证信息AY和收到的认证信息AX进行判 断，或者认证服务系统根据储存的认证信息A或其摘要和收到的认证信息AYX进行判断，只有在认证信息A与认证信息AYX相符合或认 证信息A与认证信息AYX相符合的条件下，认证才能通过。
4、 根据权利要求1所述的采用预处理的身份认证系统和方法，其特征在于， 所述的特征信息X和特征信息Y是由任何符号组成的序列，所述的认证信息A是 数学算法或算法因子A。
5、 根据权利要求4所述的采用预处理的身份认证系统和方法，其特征在于， 所述方法的步骤具体为1) 认证服务系统以数学算法或算法因子A对特征信息Y进行计算，得到认证信息AY;2) 终端系统收到数学算法或算法因子A;3) 终端系统以数学算法或算法因子A对特征信息X进行计算，得到认证信息AX;4) 认证服务系统收到认证信息AX;5) 认证服务系统根据储存的认证信息AY和收到的认证信息AX进行判 断，只有在认证信息AY与认证信息AX相同的条件下，认证才能通过。
6、 根据权利要求4所述的采用预处理的身份认证系统和方法，其特征在于， 所述的数学算法为单向函数、加密算法或以上两者组合，所述的算法因子为单向函 数和加密算法在计算中有关的因子。
7、 根据权利要求1所述的采用预处理的身份认证系统和方法，其特征在于， 所述的认证服务系统由多台服务器组成，所述的步骤l)与步骤5)分别由不同的服务 器执行。
8、 根据权利要求1所述的采用预处理的身份认证系统和方法，其特征在于， 所述终端系统为具有计算机功能的系统，包括主机和与之相连接的附件。
9、 根据权利要求1所述的采用预处理的身份认证系统和方法，其特征在于， 所述终端系统的附件包括可移动IC，用户密钥X储存在可移动IC上，可移动IC 可与不同的终端系统相互连接。
10、 根据权利要求1所述的采用预处理的身份认证系统和方法，其特征在 于，所述网络是指互联网。
全文摘要
本发明是一种采用预处理的身份认证系统和方法。在本发明中，采用由认证服务系统向用户终端发出的信息作为认证加密过程中的变量，使用户每次登录传递的认证信息都不同。而且，本发明中认证服务系统将需要进行的加解密计算预先执行，在用户终端返回认证信息后，认证服务系统不需再执行加解密运算而只需直接进行比对就可得出认证结论，这样就带来了以下三个优点1)服务器不同时间负荷的优化；2)多服务器的分工的优化配置；3)安全信息的访问控制。
文档编号H04L9/28GK101202625SQ200710303959
公开日2008年6月18日 申请日期2007年12月24日 优先权日2007年12月24日
发明者任少华 申请人:任少华