专利名称:一种认证中心的实现方法
技术领域:
本发明属于用户身份认证领域,具体涉及一种对密码安全要求性较高的多应用系统的用 户身份认证中心的实现方法。
背景技术:
随着企业业务的发展,企业业务应用系统数量迅速增加。目前对用户的身份认证大多由 各个业务的应用系统完成,因此,为了访问不同的应用系统,用户必须分别在不同的应用系 统一一输入自身的用户凭证。在应用系统数量迅速增加和市场化迅猛发展的情况下,这种模 式的弊端日益明显,尤其是在应用系统成倍增加的情况下,这样弊端表现的尤为突出。现在 有的系统虽然实现了对用户身份统一认证,但是大都是将用户密码计算的响应码和随机码等 信息发到认证中心进行认证授权。如果将这些信息截获,则可以无限制的骗取认证中心的信 任,对信息安全构成了严重的威胁。因此,有必要提供一种对信息安全的认证实现方法。
发明内容
本发明的目的在于克服现有技术的不足,提供一种有较高安全性能的认证中心的实现方 法,该方法不仅能实现对用户身份的统一认证,同时还具有足够的安全性。 为解决上述技术问题,本发明是通过以下技术方案实现的 一种认证中心的实现方法,其特征在于,包括如下步骤
A、 客户端(User Equipment, UE)向认证中心(Authentication Center, AC)认证, 并申请登陆应用系统的临时认证信息,认证中心分配给客户端第一认证随机码,客户端根据 该第一认证随机码计算第一响应码(Re印onseCode)并将第一响应码发给认证中心,认证中 心认证授权后分配临时认证信息给客户端;
B、 客户端向应用系统发起登陆请求,应用系统分配给客户端第二认证随机码,客户端利 用该第二认证随机码及所述临时认证信息计算第二响应码,并将第二响应码发送到应用系统;C、 应用系统将第二响应码发送到认证中心,认证中心进行认证授权;
D、 认证中心回复认证结果给应用系统,应用系统回复认证结果给客户端。 上述方法中,所述第一认证随机码、第二认证随机码是以MD5(message-digest algorithm
5,信息-摘要算法)的形式保存。
上述方法中,所述计算第一响应码、第二响应码时使用MD5和SHA1 (Secure Hash
Algorithm,安全哈希算法)混合加密算法。
上述方法中,所述临时认证信息包括客户端帐号、应用系统ID和临时密码(Token)。
上述方法中,所述临时认证信息具有唯一性和时效性,有效期大约一分钟。
所述步骤A中,认证中心分配给客户端临时认证信息时是以直接使用对称的加密算法方
式或SSL (Secure Socket Layer, 安全套接字层)或TLS (Transport Layer Security, 传
输层安全)方式传输的。
所述直接使用对称的加密算法方式是DES (Data Encryption Standard,数据加密标准)
或3DES (Triple DES,三次数据加密标准)或AES (Advanced Encryption Standard,高级
加密标准)。
所述步骤C中,若认证通过,则认证中心清除所述临时认证信息。 使用本发明认证中心的实现方法具有以下有益效果
由于临时密码是针对具体某个应用系统生成的,并且还具有时效性,所以能保证用户临 时认证信息的安全性,进而使该认证中心的实现方法具有足够的安全性。
图1是本发明的认证系统的组网示意图2是本发明认证系统各个网元的信令流程图。
具体实施例方式
为了更好地理解本发明,下面结合附图和具体实施例对本发明作进一步地描述。 请参阅图1,认证系统包括通过接入网关2相连的客户端UE 4、应用服务器AS (Application Server,应用服务器)3和认证中心AC 1。图中以客户端UE为例,客户端 UE 4将使用应用服务器AS 3提供的服务;认证中心AC 1用于对客户端UE 4进行认证授权。 请参阅图2,该图是本发明认证系统各个网元的信令流程图,以客户端UE和认证中心AC之间以HTTP协议(Hypertext Transfer Protocol,超文件传输协议)为接口,应用服务器 AS和认证中心AC之间以SOAP协议(Simple Object Access Protocol,简单对象访问协议) 为例描述本发明的认证中心实现流程,其包括如下步骤
步骤201: UE在正式使用AS业务之前,首先向AC发起认证请求,同时申请用于登陆AS 的临时认证信息;
步骤202: AC回复401 (即要求进行鉴权)同时分配认证随机码;
步骤203: UE利用AC分配的认证随机码计算响应码;
步骤204: UE将响应码发送到AC, AC对UE认证授权,同时为UE分配用于登陆AS的临 时认证信息,该临时认证信息包括UE帐号、应用系统ID (即AS的ID)和临时密码(Token); 其中,应用系统ID是由AC为AS分配的标识符,为GUID (Globally Unique Identifier, 全球唯一标识符);为了能够将临时认证信息安全的传送到UE,可以采用以下几种安全模式
1) 直接使用对称的加密算法方式
加密算法包括DES、 3DES、 AES等,如DES,速度较快,适用于加密大量数据的场合, 且安全等级要求较低的系统;3DES,基于DES,对一块数据用三个不同的密钥进行三次加 密,强度更高,用于安全等级要求较高的系统;AES,是下一代的加密算法标准,速度快, 安全级别高,可以应用于金融、电信和政府数字信息的加密;
2) SSL/TLS方式
步骤205: UE向AS发起登陆请求;
步骤206: AS回复401 (即要求进行鉴权),分配认证随机码;出于对密码安全的考虑, AC、 AS的认证随机码可以是以MD5的形式保存,计算响应码时使用MD5和SHA1混合加密算 法,更具安全性;
步骤207: UE利用AS分配的认证随机码以及AC分配的临时认证信息计算响应码,并将 响应码发送到AS;
步骤208: AS将UE的响应码透传到AC;
步骤209: AC根据AS的应用标识和AS透传的响应码进行认证授权,并回复认证结果到 AS,如果认证通过,则AC清除临时认证信息; 步骤201: AS将认证结果回复到UE。
上述流程中,临时认证信息是由AC根据UE所访问的AS而统一分配的,具有唯一性和时
6效性,只能使用一次,这样大大增强了认证的安全性。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,应当指出,对于本领域的普 通技术人员来说,凡是本发明的精神和原则之内所作的任何修改、等同替换或改进等,均应 包含在本发明的保护范围之内。
权利要求
1. 一种认证中心的实现方法,其特征在于,包括如下步骤A、客户端向认证中心认证,并申请登陆应用系统的临时认证信息,认证中心分配给客户端第一认证随机码,客户端根据该第一认证随机码计算第一响应码并将第一响应码发给认证中心,认证中心认证授权后分配临时认证信息给客户端;B、客户端向应用系统发起登陆请求,应用系统分配给客户端第二认证随机码,客户端利用该第二认证随机码及所述临时认证信息计算第二响应码,并将第二响应码发送到应用系统;C、应用系统将第二响应码发送到认证中心,认证中心进行认证授权;D、认证中心回复认证结果给应用系统,应用系统回复认证结果给客户端。
2. 根据权利要求1所述的认证中心的实现方法,其特征在于,所述第一认证随机码、第 二认证随机码是以MD5的形式保存。
3. 根据权利要求1或2所述的认证中心的实现方法,其特征在于,所述计算第一响应码、 第二响应码时使用MD5和SHA1混合加密算法。
4. 根据权利要求3所述的认证中心的实现方法,其特征在于,所述临时认证信息包括客 户端帐号、应用系统ID和临时密码。
5. 根据权利要求4所述的认证中心的实现方法,其特征在于,所述临时认证信息具有唯 一性和时效性。
6. 根据权利要求4所述的认证中心的实现方法,其特征在于,所述歩骤A中,认证中心 分配给客户端临时认证信息时是以直接使用对称的加密算法方式或SSL或TLS方式传输的。
7. 根据权利要求6所述的认证中心的实现方法,其特征在于,所述直接使用对称的加密 算法方式是DES或3DES或AES。
8.根据权利要求l所述的认证中心的实现方法,其特征在于,步骤C中,若认证通过,则认证中心清除所述临时认证信息。
全文摘要
本发明公开了一种认证中心的实现方法,其包括如下步骤客户端向认证中心认证并申请登陆应用系统的临时认证信息,认证中心分配给客户端第一认证随机码,然后客户端计算第一响应码并将第一响应码发给认证中心,认证中心认证授权后分配临时认证信息给客户端;客户端向应用系统发起登陆请求,应用系统分配给客户端第二认证随机码,客户端利用该第二认证随机码及所述临时认证信息计算第二响应码,并将第二响应码发送到应用系统;应用系统将第二响应码发送到认证中心,认证中心进行认证授权;认证中心回复认证结果给应用系统,应用系统回复认证结果给客户端。由于临时认证信息具有唯一性和时效性,具有足够的安全性,因此本发明可广泛应用于认证领域。
文档编号H04L9/32GK101483525SQ200910105248
公开日2009年7月15日 申请日期2009年1月22日 优先权日2009年1月22日
发明者卞志俊, 崔振峰, 希 陈 申请人:中兴通讯股份有限公司