专利名称:安全的网络认证系统和方法
技术领域:
本发明涉及一种安全的网络认证系统和方法。
背景技术:
互联阿提供的资源和服务的数量非常巨大并增长迅猛,互联网已经成为人们获 取信息资源和信息服务的主要渠道,许多网上资源和服务要求用户进行登录和验 证,但是,用户在不同网站上的登录信息繁多难记而且存在着安全性太低的问题。
目前有通过标准浏览器的Cookie技术实现在门户实现集中统一认证的方案,但 是存在很大缺陷。第一,在这种方案里,用户只需在门户上认证一次就可以访问方 案内的所有资源站点,这样的话,在Cookie的保存期内,其它人就可以用同一台电 脑以该用户的权限访问资源站点,如果用户使用公用电脑或他人的电脑(例如,网 吧或同事的电脑)那么安全隐患就更大。第二,标准浏览器和Cookie技术用于存储 这种重要的认证信息时其本身存在限制和缺陷,例如,Cookie在一些应用场合被禁 用,Cookie在各种浏览器中都有容量限制,标准浏览器和Cookie不能自动读取可 移动外设等等。
另外,还有一种应用用户将自己在资源站点的用户名和密码都存储在一个统 一的门户网站上,当用户在门户网站登陆后由门户网站以该用户在资源站点的用户 名和密码向资源站点进行登陆。这种方案实质上是用户通过门户以用户名和密码登 陆资源站点。这种方案缺点很多,例如首先,用户需要将自己在每个资源站点注 册的用户名和密码记录在门户中,这样用户就将自己在资源站点的权限全部赋与门 户了,而资源站点无法区分用户和门户也就丧失了对用户权限的安全保障,其次, 门户站点以固定的用户名和密码向资源站点登陆也存在很大的安全隐患。
此外,目前即时通讯对话的中P2P连接的建立广泛采用的通过服务器传递IP 地址的方式在一些NAT场合下无法应用,而且,IP地址传递无法在服务方实现安
全的验证。 发明内容本发明采用一种安全的网络认证系统和方法,来解决以上提到的问题。 本发明是这样实现的, 一种安全的网络认证系统和方法,其中,包括用户方、 服务方和中介方,三方中至少有一方能够分别与其余两方通过有线或无线的方式相 互连接通讯,用户方在通过服务方认证后能接入服务方的指定的服务或资源,服务 方通过中介方对用户方进行服务方认证,当用户方通过中介方认证后用户方才能通 过服务方认证,不同的服务方可以通过同一中介方对同一用户方进行服务方认证, 其特征在于在用户方通过中介方的中介方认证后用户方运行的认证程序将会保持 与中介方的有效的认证连接或者保持有效的认证标识,当用户方请求接入服务方时 要进行服务方认证,在服务方认证中,如果所述的认证连接或认证标识有效那么中 介方就会将该用户方的验证凭证以经过或不经过用户方的方式发送给服务方,只有 当服务方收到并验证该验证凭证正确后服务方认证才会通过,在服务方认证通过后 服务方就会根据用户方权限响应用户方的接入请求,其中,只要认证程序中止运行 那么该认证程序的认证连接或认证标识就会失效,其中,所述的验证凭证是一个以 整体发送的信息或者是由两个分别发送的信息构成的,其中,用户方不需要将自己 在服务方注册的可以直接在服务方完成接入认证的用户名和密码发送给或保存在 中介方。
还可以,当认证程序中止运行时用户方对服务方的指定的服务或资源的接入也 会中止。认证程序在中止时,可以通知服务方中止接入,也可以中止用户方接入服 务方的程序对象的运行。
还可以,用户方被允许接入服务方的指定服务或资源的程序对象不是认证程 序。用户方接入服务方的具体程序对象是非认证程序的其它程序对象,这些其它程 序对象可以是用户启动的,也可以是认证程序在用户方启动的。
还可以,用户方、服务方和中介方通过互联网相连接。其中,三方的信息传递 通过互联网来进行。
还可以,验证凭证中,或者包含关于生成时间的信息,或者包含由服务方或中 介方生成的随机信息。例如在每次服务方认证过程中,服务方会首先会生成一个 随机序列并发送给中介方,中介方在向服务方发送的凭证中会加入该随机序列,服 务方收到凭证后会核对该随机序列,只有当该随机序列正确的情况下该凭证才是正 确的。又例如凭证的内容包含有凭证的生成时间并进行数字签名。又例如凭证的内容中包含着由中介方生成的随机数,该随机数与用户方AUID、凭证生成时间 和服务方域名构成一个字符串,该字符串和该随机数两信息构成该凭证,该字符串 和该随机数分别以经过和不经过用户方的路由发送给服务方,服务方收到两个信息 后会对比字符串中的随机数与单独的随机数是否相同,只有两个随机数相同时该凭 证才是正确的。
还可以,中介方发出的用户方的验证凭证的内容无法由前一个该中介方发出的 该用户方的验证凭证推知。
还可以,每个验证凭证只能完成一次服务方认证。例如服务方在用户方接入 后又收到该用户方的验证凭证,则服务方不会接收该验证凭证,此外,这种情况下 服务方还可以中止用户方的当前接入以要求用户方再次进行服务方认证。
还可以,认证连接或认证标识或验证凭证还有时间有效期,过期的认证连接或 认证标识或验证凭证会失效。其中,认证标识的有效期可以由用户方在认证程序上 设定,也可以由中介方设定。认证程序可以在认证标识要过期时提示用户进行中介 方认证刷新认证标识,或者可以自动进行中介方认证以刷新认证标识。例如中介 方认证依赖于用户方密钥,只要用户方密钥连接或保存于用户方终端则认证程序可 以自动进行中介方认证。
还可以,中介方与服务方拥有相对应的约定算法,服务方能够通过拥有的约定 算法验证收到的验证凭证是否正确。其中,用户方通过中介方认证的凭证可以是由 两部分信息组成的,服务方能够通过拥有的约定算法判断凭证中的两部分信息是否 相匹配,如果相匹配则凭证是由中介方发出的或是正确的。
还可以,所述约定算法可以是加密解密算法、或数字签名算法、或单向函数算
法、或动态密码算法等等。例如所述约定算法为基于RSA+SHA的数字签名算法, 中介方拥有RSA私钥和特定SHA,服务方可以取得中介方私钥对应的RSA公钥和 特定SHA,中介方生成包括用户方AUID、生成时间和服务方域名的字符串并进行 数字签名,该字符串和其数字签名就构成了用户方通过中介方认证的凭证,中介方 将该凭证以整体通过用户方发送给服务方,或者中介方将该凭证的字符串和数字签 名两部分信息分别以通过和不通过用户方的路径发送给服务方,服务方收到该凭证 后以RSA公钥+特定SHA验证该凭证中字符串与其数字签名是否匹配,如果匹配 则确认凭证正确。还可以,所述的验证凭证不是用户方的网络地址,所述的验证凭证的验证不是 通过对比用户方的网络地址实现的。所述凭证的验证不基于网络地址或IP地址,这 样就适合于更多的应用场合(如一些NAT应用中),而且,这样可以实现对凭证的 验证从而提高安全性。
还可以,验证凭证或者是由一个信息构成,或者是由两个分别发送的信息组成。 当凭证由两个信息构成时,这两个信息可以是相同的或是不同的。其中,两个信息 可以由相同的路由或不同的路由进行发送。其中,服务方以得到的这两个信息构成 的凭证来判断服务方认证是否通过。
还可以,所述的认证连接或认证标识的有效是指该认证连接或认证标识存在并 正确,所述的认证连接或认证标识的失效是指该认证连接或认证标识或者不存在, 或者被删除,或者不正确。
还可以,用户方的认证程序和保存认证标识的方式不是标准浏览器的Cookie 方式。其中,认证程序可以不是标准浏览器,认证标识的保存方式也可以不是Cookie 的方式。认证程序可以是标准浏览器加上专门的认证功能执行模块来构成,或者是 专门的认证功能执行程序。
还可以,认证程序也可以是标准浏览器,而认证标识的保存方式是以会话 Cookie的方式进行保存。这时,由于标准浏览器功能的限制,用户需要通过从认证 程序的界面中选择需要登陆的服务方来请求接入服务方。
还可以,服务方确认凭证正确后服务方会允许来自用户方终端的一个连接或端 口接入指定的服务或资源,该连接或端口是用户方向服务方转发凭证的那个端口或 连接。
还可以,所述的用户方请求接入服务方,具体是用户方直接向服务方发出接入 请求或者用户方向中介方发出接入服务方的请求。其中,用户方可以直接在服务方 界面上请求接入,用户方也可以在认证程序界面上请求对服务方的接入。
还可以,所述认证连接是在用户方通过中介方认证后用户方运行的认证程序与 中介方建立的会话连接。在这种应用中,为保证安全性该SessionID可以具有随机 性和足够多的位数,如SessionID为1024位的不重复的随机序列。
还可以,认证标识为一个随机长字符串,或一个加密的字符串,或一个加密密 钥,或一个动态密码算法,或一个单向函数等等。其中,认证标识可以是认证程序与中介方建立会话的SessionID。
还可以,在服务方认证中,用户方的认证程序会向中介方发送关于认证标识的 信息以使中介方对认证标识和用户方进行验证,当验证正确后中介方会将验证凭证 以经过或不经过用户方的方式发送给服务方。
还可以,所述的关于认证标识的信息或者是认证标识本身,或者与认证标识具
有可验证的数学对应关系的信息。例如认证标识是一对非对称密钥中的一个或者 是一个对称密钥,中介方拥有该对非对称密钥中的另 一个或者也拥有该对称密钥, 认证程序以认证标识的密钥对特定信息进行加密或数字签名并将加密信息或数字 签名发送给中介方(中介方也拥有该特定信息,例如,该特定信息为系统当前时间 或中介方生成并向用户方发送的随机信息),该加密信息或数字签名就是关于认证 标识的信息,中介方以拥有的密钥对该加密信息或数字签名进行验证,如果正确则 验证通过。
还可以,在用户方通过中介方认证后,用户方也可以在认证程序不中止驻留运 行的情况下使认证连接或认证标识失效。
还可以,该用户方拥有可移动外设,只有在该可移动外设与用户方终端通过有 线或无线的方式相连接通讯在条件下,用户方才能通过中介方认证。其中,可移动 外设连接于终端的具体方式为有线连接或无线连接,如USB接口的数据线、蓝牙 无线接口、红外连接等等。其中,用户方可移动外可以通过有线或无线接口与不同 的终端相连接。其中,与用户方可移动外设相连接的终端就是用户方终端。例如 用户方拥有USB接口的IC,该IC中存储着私钥,通过在IC上以该私钥进行计算
来完成中介方认证。
还可以,在进行服务方认证之前,用户方已经通过了服务方的一次简单认证。 这次认证可以通过登陆密码的方式进行,可以防止恶意爆发登陆请求等问题。 还可以,服务方能够分别与其余两方通过有线或无线的方式相互连接通讯。 还可以,用户方能够分别与其余两方通过有线或无线的方式相互连接通讯。 还可以,在用户方对服务方的指定的服务或资源的接入中止后,用户方需要重 新通过中介方进行服务方认证才能再接入。
还可以,认证程序与两个不同地址或不同域名的外部对象都进行信息传递不会 导致认证连接或认证标识失效,该信息传递或者是认证程序识别并接收来自服务方或中介方的信息,或者是认证程序向服务方或中介方发送信息。 还可以,所述的三方对信息的传递也可以都通过用户方进行。 还可以,用户方也可以同样的方式通过中介方对服务方进行认证,即终端和服务方在以上连接认证过程中所执行的步骤进行对换,终端就可以对服务方完成认证。还可以,所述连接认证的过程应该是由所述三方系统上运行的程序通过计算机 网络完成的。还可以,服务方可以是通过互联网向用户方提供资源和服务的服务器系统,如 各种网站等。服务方也可以是在互联网上的其它用户的终端,在对所述用户方的认 证通过后,所述用户方的终端就会被允许接入到该其它用户的终端的指定的服务或 资源,例如本发明可用于即时通讯系统中两个用户终端建立两个终端间点对点连 接的握手过程。还可以,服务方的指定的资源或服务可以是文件资源、浏览器服务、多媒体资 源或服务、音视频连接、即时通讯对话服务、搜索服务、网上帐户操作服务、网上 交易服务等等。对于服务方,具体例如网络游戏运营商、网上论坛、即时通讯工 具服务商、资源下载站点、网上银行、网上商店、已接入即时通信系统(如MSN) 的一个终端等等。还可以,中介方是在互联网上进行第三方认证的计算机系统。还可以,用户方终端、服务方和中介方是具有计算机功能的设备,如PC机、 手机、服务器、服务器群组等。还可以,用户方在服务方系统中具有用户识别码(APID),用户方在中介方系 统中也具有用户识别码(AUID), APID与AUID存在对应关系。其中,该对应关 系由服务方系统或者中介方系统所掌握。其中,所述用户识别码是由任何符号组成 的序列。例如APID和AUID可以是用户方在服务方和中介方的用户名或是服务 方和中介方为用户方生成的序列号。又如AUID可以是APID+服务方名称或地址。 其中,服务方对应保存着用户方的APID与用户方权限。还可以,服务方与中介方之间、或中介方与终端之间、或服务方与用户方之间 的通讯信路可以是加密的,如采用SSL方式建立的连接。还可以,中介方认证可以通过不同方式来进行,例如用户名密码的方式、可移动IC的方式、通过用户方其它终端返馈认证号码的方式等等。还可以,本发明可以通过在即时通讯终端或浏览器的客户端软件上加载专门的 模块来实现,这时,认证程序就是该即时通讯终端或浏览器的客户端软件。本发明可以和本发明人已经申请的其它方案相结合从而构成新的方案,包括 可以结合基于认证信息的闭合传递的方案来完成服务方认证("通过第三方的身份 认证系统和方法",专利申请号200810056123.1),还可以结合用户方与中介方拥 有对应约定算法的方式完成服务方认证("基于约定算法的第三方认证系统和方 法",专利申请号200810114706.5)。例如以下应用方案服务方能够验证中介方 的数字签名,用户方通过中介方认证后用户方就与中介方.建立了会话,在服务方认 证过程中,中介方生成的一个带有数字签名的信息并分别以经过和不经过用户方的 方式发送给服务方,服务方收到的两个的信息就是用户通过认证的凭证,服务方对 比两个信息并验证数字签名,只有两个信息相同而且数字签名正确时凭证才会是正 确的。再例如以下应用方案服务方能够验证中介方的数字签名,用户方通过中介 方认证后中介方就会向用户方发送一个DES密钥作为认证标识,在服务方认证过程 中,首先服务方向用户方和中介方分别发送同一个随机序列,用户方以该DES密钥 加密随机序列并将加密信息发送给中介方,中介方解密得到随机序列并将之与从服 务方收到的进行对比,如果两个随机序列相同则认证标识有效,如果认证标识有效 则中介方就以用户方AUID和生成时间等构成一个序列并进行数字签名然后将该序列和数字签名 一起发送服务方。本发明采用一种安全的网络认证系统和方法使服务方通过中介方对用户方进 行认证,认证方法可靠、安全、便捷。
图l、 2、 3分别为以下实施例1、 2、 3的流程示意图。
具体实施方式
本发明可以根据不同需要采用不同的实现方式,以下选取几种典型的举例说明。实施例1本施例中,中介方拥有权威机构颁发的数字证书,服务方可以利用该数字证书 验证中介方的数字签名,用户方以用户名和登陆密码的方式通过中介方认证,认证 程序为用户方从中介方下载的专用程序。本施例的具体步骤为用户在终端上运行认证程序,该认证程序自动与中介方 建立SSL连接,用户在该认证程序中输入AUID和密码进行登陆,该认证程序向中 介方发送用户的AUID和密码,中介方核对用户名和密码,如果正确则继续进行以 下步骤否则中止,中介方将该用户方的AUID、该SSL的ID和当前系统时间相对 应保存起来(用户方保存的该SSL的DES密钥就是认证标识),当用户需要接入某 个服务方的资源时,用户可以在认证程序界面上选择该服务方资源的链接或输入该 服务方资源的地址,认证程序将用户方AUID和该服务方资源的地址以SSL连接发 送给中介方(服务方资源地址和AUID的SSL加密信息就是关于认证标识的信息), 在中介方从SSL连接收到AUID后如果中介方核对AUID正确并且时间未过有效期 则继续进行以下步骤否则中止,中介方以当前系统时间、用户方的AUID和服务方 资源的地址构成一个序列并对该序列进行数字签名(该序列及其数字签名就是验证 凭证),中介方将凭证发送给用户方的认证程序,用户终端上运行的认证程序建立 一个新的指向为服务方资源地址的浏览器对象并将凭证以表单方式提交,服务方收 到凭证后如果验证凭证的数字签名正确而且凭证生成时间未过有效期则继续以下 步骤否则中止,服务方根据用户方的AUID得到APID和用户方权限,如果用户方 权限允许那么服务方就允许用户终端的浏览器接入该服务方资源,当认证程序中止 驻留运行时认证程序会中止与中介方的SSL连接。另外,认证程序还可以记录建立的每个浏览器,当认证程序中止驻留运行时也 可以同时关闭自己建立的所有浏览器窗口 。实施例2本施例中,中介方拥有权威机构颁发的数字证书,服务方可以利用该数字证书 验证中介方的数字签名,用户方以用户名和登陆密码的方式通过中介方认证,认证 程序为一浏览器。本施例的具体步骤为用户在终端上运行一浏览器对象并输入中介方地址(该浏览器对象作为认证程序),中介方与该浏览器建立基于SSL连接的会话,其中, 中介方生成一个1024位的随机序列作为与该用户方浏览器建立的会话的SessionID,用户在中介方推出的界面上输入AUID和密码进行登陆,中介方核对 AUID和密码,如果正确则继续进行以下步骤否则中止,中介方将该用户方的AUID、 SessionID和当前系统时间相对应地保存起来,当用户需要接入某个服务方的资源 时,用户可以在该浏览器里由中介方推出的界面上选择该服务方资源的链接或输入 该服务方资源的地址,浏览器将该服务方资源的地址和AUID通过已建立的会话连 接发送给中介方,如果中介方找到匹配的SessionID和AUID并且时间未过有效期 则继续进行以下步骤否则中止,中介方以当前系统时间、用户方的AUID和服务方 资源的地址构成一个序列并对该序列进行数字签名(该序列及其数字签名就是用户 方通过中介方认证的凭证),中介方通过用户终端上运行的浏览器建立一个新的指 向服务方资源地址的浏览器对象或将该浏览器重定向至并将凭证以表单方式提交, 服务方收到凭证后如果验证凭证的数字签名正确而且凭证生成时间未过有效期则 继续以下步骤否则中止,服务方根据用户方的AUID得到APID和用户方权限,如 果用户方权限允许则服务方允许用户终端的浏览器接入该服务方资源,当作为认证 程序的浏览器进行重定向或者中止运行时就会失去该浏览器的SessionID并中止与 中介方的会话(即认证连接)。实施例3本施例中,服务方预先已知中介方的固定IP地址,用户方以用户名和登陆密码 的方式通过中介方认证,认证程序为用户方从中介方下载的专用程序。本施例的具体步骤为用户在终端上运行认证程序,认证程序与中介方建立会话而且Session 是中介方生成的1024位的随机序列,用户在该认证程序中输入用 户名和密码进行登陆,该认证程序向中介方发送用户的用户名和密码,中介方核对 用户名和密码,如果正确则继续进行以下步骤否则中止,中介方根据用户方的用户 名得到该用户方的AUID,中介方将该用户方的AUID、与用户方认证程序建立的 会话的SessionID和当前系统时间相对应地保存起来,当用户需要接入某个服务方 的资源时,用户打开一个新的浏览器并输入该服务方资源的地址,用户方在服务方 的界面上输入用户方在服务方的用户名,服务方根据用户方在服务方的用户名得到 该用户方的APID,服务方将生成一个1024位的随机数,服务方将随机数和该用户 方的APID起保存起来并同时发送给中介方,中介方根据该APID得到用户方的AUID,中介方根据AUID找到与用户方认证程序建立的会话,如果该会话未过期则中介方将收到的随机数和服务方资源地址发送给用户方认证程序(该随机数就是 验证凭证),用户方认证程序在用户方终端上运行的浏览器对象中寻找指向该服务 方资源的,如果没找到就建立一个新的指向该服务方资源的浏览器对象,认证程序 将用户方在服务方的用户名和该随机数一起以表单的形式通过找到的或新建立的 浏览器对象发送给服务方,服务方收到后找到用户方APID和生成的随机数,如果 核对收到的随机数正确并且未过期则继续以下步骤否则中止,服务方根据用户方 APID得到用户方权限,如果用户方权限允许则服务方允许用户终端的浏览器接入 该服务方资源,当认证程序中止驻留运行时认证程序会中止与中介方的会话。另外,认证程序还可以记录建立的每个浏览器,当认证程序中止驻留运行时也 可以同时关闭接入服务方的所有浏览器窗口。当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下, 本领域技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和 变形都应属于本发明所附的权利要求的保护范围。
权利要求
1、一种安全的网络认证系统和方法,其中,包括用户方、服务方和中介方,三方中至少有一方能够分别与其余两方通过有线或无线的方式相互连接通讯,用户方在通过服务方认证后能接入服务方的指定的服务或资源,服务方通过中介方对用户方进行服务方认证,当用户方通过中介方认证后用户方才能通过服务方认证,不同的服务方可以通过同一中介方对同一用户方进行服务方认证,其特征在于在用户方通过中介方的中介方认证后用户方运行的认证程序将会保持与中介方的有效的认证连接或者保持有效的认证标识,当用户方请求接入服务方时要进行服务方认证,在服务方认证中,如果所述的认证连接或认证标识有效那么中介方就会将该用户方的验证凭证以经过或不经过用户方的方式发送给服务方,只有当服务方收到并验证该验证凭证正确后服务方认证才会通过,在服务方认证通过后服务方就会根据用户方权限响应用户方的接入请求,其中,只要认证程序中止运行那么该认证程序的认证连接和认证标识就会失效,其中,所述的验证凭证是一个以整体发送的信息或者是由两个分别发送的信息构成的,其中,用户方不需要将自己在服务方注册的可以直接在服务方完成接入认证的用户名和密码发送给或保存在中介方。
2、 根据权利要求1所述的安全的网络认证系统和方法,其特征在于,当认证 程序中止运行时用户方对服务方的指定的服务或资源的接入也会中止。
3、 根据权利要求1所述的安全的网络认证系统和方法,其特征在于,用户方 被允许接入服务方的指定服务或资源的程序对象不是认证程序。
4、 根据权利要求l所述的安全的网络认证系统和方法,其特征在于,用户方、 服务方和中介方通过互联网相连接。
5、 根据权利要求1所述的安全的网络认证系统和方法,其特征在于,验证凭 证中,或者包含关于生成时间的信息,或者包含由服务方或中介方生成的随机信息。
6、 根据权利要求1所述的安全的网络认证系统和方法,其特征在于,中介方 发出的用户方的验证凭证的内容无法由前一个该中介方发出的该用户方的验证凭 证推知。
7、 根据权利要求1所述的安全的网络认证系统和方法,其特征在于,每个验证凭证只能完成一次服务方认证。
8、 根据权利要求1所述的安全的网络认证系统和方法,其特征在于,认证连 接或认证标识或验证凭证还有时间有效期,过期的认证连接或认证标识或验证凭证会失效。
9、 根据权利要求1所述的安全的网络认证系统和方法,其特征在于,中介方 与服务方拥有相对应的约定算法,服务方能够通过拥有的约定算法验证收到的验证 凭证是否正确。
10、 根据权利要求1所述的安全的网络认证系统和方法,其特征在于,所述 的验证凭证不是用户方的网络地址,所述的验证凭证的验证不是通过对比用户方的 网络地址实现的。
全文摘要
本发明采用一种安全的网络认证系统和方法,来解决互联网用户登录网络资源的安全性和便捷性的问题。本发明中,用户方必须先经过中介方认证才能通过服务方认证,优点为安全、高效、便捷。
文档编号H04L29/06GK101304318SQ200810116168
公开日2008年11月12日 申请日期2008年7月4日 优先权日2008年7月4日
发明者任少华 申请人:任少华