专利名称:网络认证系统和方法
技术领域:
本发明涉及一种网络认证系统和方法。
背景技术:
本发明是发明人的一项在先发明申请“安全的网络认证系统和方法”所包括的一种具体实现的补充和改进。该在先发明申请“安全的网络认证系统和方法”的国内申请号为 200810116168. 3,该在先发明的 PCT 申请号为 “PCT/CN2008/073863”。
发明内容
本发明是这样实现的,一种网络认证系统和方法,其中,包括用户方、服务方和中介方,三方通过网络相互连接,用户方在通过服务方认证后能接入服务方的指定的服务或资源,服务方通过中介方对用户方进行服务方认证,当用户方通过中介方认证后用户方才能通过服务方认证,不同的服务方可以通过同一中介方对同一用户方进行服务方认证,其特征在于在用户方通过中介方的中介方认证后用户方运行的认证程序将会保持与中介方的有效的认证标识,当用户方请求接入服务方时要进行服务方认证,在服务方认证中,只有所述的认证标识有效那么中介方才会将该用户方的验证凭证发送给服务方,只有当服务方收到并验证该验证凭证正确后服务方认证才会通过,在服务方认证通过后服务方就会根据用户方权限响应用户方的接入请求,其中,只要认证程序中止运行那么该认证程序的认证连接或认证标识就会失效,其中,所述认证标识和认证凭证是一对相对应的约定算法或约定算法的一对相对应的参数,所述认证凭证的验证是通过该约定算法的计算进行的。其中,当用户方请求接入服务方时,用户方会向服务方发送以认证标识计算生成的认证信息,服务方会以收到的验证凭证对该认证信息进行验证计算,只有验证计算结果正确时该验证凭证才是正确的而且服务方认证才会通过。其中,所述认证标识和认证凭证是一对非对称加密的密钥,其中,认证标识和验证凭证分别是该对非对称加密密钥中的一个。其中,在认证凭证的验证结果正确后,用户方和服务方还可以通过所述认证标识和认证凭证组成的非对称密钥对交换一个对称加密密钥从而建立一个对称加密的加密连接。其中,所述认证标识和认证凭证是一对非对称加密的密钥,该非对称密钥对是由用户方或中介方生成的,在用户方通过中介方认证后,用户方或中介方会将该非对称密钥对中的一个发送给对方。其中,所述认证标识和认证凭证是一对相对应的密钥,所述认证凭证的验证是通过该对密钥的加密解密计算来进行的。其中,在认证凭证的验证结果正确后,用户方和服务方还可以基于所述认证标识和认证凭证组成的密钥对建立加密连接。其中,用户方每次通过中介方认证后所保持的认证标识是无法从用户方先前的认证标识或其它用户的认证标识中得出的。其中,用户方每次保持的认证标识是随机生成的。
其中,所述一对相对应的约定算法或约定算法的一对相对应的参数可以是相同的或者是不同的。其中,所述一对相对应的约定算法可以是同一个对称加密密钥,或者是一对非对称加密密钥。其中,当认证程序中止运行时用户方对服务方的指定的服务或资源的接入也会中止。认证程序在中止时,可以通知服务方中止接入,也可以中止用户方接入服务方的程序对象的运行。其中,用户方被允许接入服务方的指定服务或资源的程序对象不是认证程序。用户方接入服务方的具体程序对象是非认证程序的其它程序对象,这些其它程序对象可以是用户启动的,也可以是认证程序在用户方启动的。其中,用户方、服务方和中介方通过互联网相连接。其中,三方的信息传递通过互联网来进行。其中,认证标识或验证凭证还有时间有效期,过期的认证连接或认证标识或验证凭证会失效。其中,认证标识的有效期可以由用户方在认证程序上设定,也可以由中介方设定。认证程序可以在认证标识要过期时提示用户进行中介方认证刷新认证标识,或者可以自动进行中介方认证以刷新认证标识。其中,中介方与服务方也拥有相对应的约定算法,服务方能够通过该约定算法计算检查收到的验证凭证是否来自中介方或者验证凭证是以该约定算法进行加密的传递。其中,中介方拥有一个中介方私钥,服务方可以获得与之对应的中介方公钥,服务方以中介方该公钥计算检查收到的验证凭证是否来自中介方。其中,所述约定算法可以是加密解密算法、或数字签名算法、或单向散列函数算法、或动态密码算法等等。其中,用户方与服务方之间的信息传递不经过中介方,或者服务方允许用户方接入而建立的连接不经过中介方。其中,验证凭证或者是由一个信息构成,或者是由两个分别发送的信息组成。当凭证由两个信息构成时,这两个信息可以是相同的或是不同的。其中,两个信息可以由相同的路由或不同的路由进行发送。其中,服务方以得到的这两个信息构成的凭证来判断服务方认证是否通过。其中,所述的认证标识有效是指该认证标识存在并正确,所述的认证标识失效是指该认证标识或者不存在,或者被删除,或者已过期,或者不正确。其中,服务方确认凭证正确后服务方会允许来自用户方终端的一个连接或端口接入指定的服务或资源,该连接或端口是用户方向服务方发送所述以认证标识计算生成的认证信息的那个端口或连接。其中,在用户方进行中介方认证前,用户方已经与中介方建立了加密连接。例如 用户方先与中介方建立SSL连接,然后用户方再进行中介方认证,在中介方认证通过后,该 SSL连接就是认证连接,而后用户方和中介方会通过该SSL连接传递用户方公钥或用户方私钥。其中,所述的用户方请求接入服务方,具体是用户在用户方的认证程序界面上请求对服务方的接入。其中,在用户方通过中介方认证后,用户方也可以在认证程序不中止驻留运行的情况下使认证标识失效。其中,在服务方认证通过后,用户方还会保持与中介方有效的认证连接,只有在该认证连接有效时所述认证标识才是有效的。其中,用户方的用户拥有可移动外设,只有在该可移动外设与用户方通过有线或无线的方式相连接通讯在条件下,用户方才能通过中介方认证。其中,可移动外设连接于用户方的具体方式为有线连接或无线连接,如USB接口的数据线、蓝牙无线接口、红外连接等等。其中,用户可移动外设可以通过有线或无线接口与不同的终端相连接。其中,在用户方对服务方的指定的服务或资源的接入中止后,用户方需要重新通过中介方进行服务方认证才能再接入。其中,所述的三方对信息的传递也可以都通过用户方进行。其中,服务方可以是另一个用户方,用户方和服务方可以互换角色并重新执行以上服务方认证步骤,从而可以完成相互认证。即用户方也可以同样的方式通过中介方对服务方进行认证。其中,所述连接认证的过程应该是由所述三方系统上运行的程序通过计算机网络完成的。其中,服务方可以是通过互联网向用户方提供资源和服务的服务器系统,如各种网站等。服务方也可以是在互联网上的其它用户的终端,例如以上相互认证就可应用于即时通讯系统中两个用户终端建立两个终端间点对点连接的握手过程。其中,服务方的指定的资源或服务可以是文件资源、浏览器服务、多媒体资源或服务、音视频连接、即时通讯对话服务、搜索服务、网上账户操作服务、网上交易服务等等。其中,中介方是在互联网上进行第三方认证的计算机系统。其中,用户方是具有计算机功能的设备,如PC机、手机、服务器、服务器群组等。其中,用户方的用户在服务方系统中具有用户识别码(APID),用户方的用户在中介方系统中也具有用户识别码(AUID),APID与AUID存在对应关系。其中,该对应关系由服务方系统或者中介方系统所储存。其中,所述用户识别码是由任何符号组成的序列。例如 APID和AUID可以是用户方的用户在服务方和中介方的用户名或是服务方和中介方为用户方的用户生成的序列号。又如AUID可以是APID+服务方名称或地址。其中,服务方对应保存着用户方用户的APID与用户权限。其中,服务方与中介方之间、或中介方与终端之间、或服务方与用户方之间的通讯信路可以是加密的,如采用SSL方式建立的连接。其中,中介方认证可以通过不同方式来进行,例如用户名密码的方式、可移动IC 的方式、通过用户方其它终端反馈认证号码的方式等等。其中,所述三方通过互联网相互连接,所述三方都连接于互联网。
图1是本发明的网络结构示意图,图2是实施例1的步骤示意图,图3是实施例2的步骤示意图。
具体实施例方式实施例1在本实施例中,用户在中介方已注册有用户账号(AUID),用户在服务方也已注册有用户账号(APID)。其中,服务方是一个ICP。其中,用户已经将自己的服务方账号与中介方账号关联起来,该关联关系同时保存在服务方和中介方的系统中。该关联的过程也可以采用本发明的方案,以下说明的步骤是用户在关联账号后通过中介方账号登录服务方账号的过程。本实施例的具体步骤如下1)用户使用用户方终端的认证程序通过中介方认证后,中介方会与用户方认证程序保持有效的会话连接,用户方生成一对非对称加密密钥(RSA密钥)作为用户方公钥和用户方私钥,用户方将用户方私钥作为认证标识保存起来并将用户方公钥发送中介方,中介方将用户方公钥与用户账号对应保存起来;2)当用户在认证程序界面上点击登录服务方的选项时,认证程序在用户方终端上新生成一个指向服务方地址的浏览器对象或其它特定程序的对象,该新生成的程序对象向服务方发送连接请求,该连接请求中包括用户在服务方的用户名、用户在中介方的用户名、 服务方名称和生成时间,并且,该连接请求还包括以用户方私钥进行的数字签名;3)在服务方收到来自用户的连接请求后,服务方向中介方发送一个认证请求,该认证请求中包括用户在服务方的用户名、用户在中介方的用户名和服务方名称;4)在中介方收到来自服务方的认证请求后,中介方会检查该用户的会话连接是否有效,中介方也还可以进一步检查该用户的认证标识的心跳响应或问答响应是否有效,如果该用户的会话连接是有效的或者会话连接和认证标识的响应都是有效的,那么中介方就认为该用户的认证标识是有效的,中介方就会向服务方发送与该用户账号对应的用户方公钥;5)在服务方收到来自中介方的用户方公钥后,服务方以该公钥验证用户的连接请求是否正确,服务方还可以验证用户的连接请求是否过期,如果该连接请求正确且未过期, 则来自中介方的用户方公钥(验证凭证)是有效的,服务方还可以基于该公钥与中介方再进行几次问答响应,如果问答响应正确,则用户方通过了服务方认证。其中,用户方和服务方还可以通过认证标识和认证凭证组成的该RSA密钥对建立加密连接,具体可以有以下两种方式第一种方式是,服务方具有服务方私钥而用户方可以获得服务方对应的公钥,在以上步骤幻中,在用户方向服务方发送的连接请求中还包括有由服务方公钥加密的DES密钥,用户方和服务方以该DES密钥建立加密连接;第二种方式是,在以上步骤5)中,服务方以该用户对应的用户方公钥加密DES密钥并发送给用户方,服务方和用户方以该DES密钥建立加密连接。另外,在本实施例中,用户方私钥和用户方私钥也可以是由中介方生成的。S卩,以上实施例1的步骤1)也可以是1)用户使用用户方终端的认证程序通过中介方认证后,中介方会与用户方认证程序保持有效的会话连接,中介方生成一对非对称加密密钥(RSA密钥)作为用户方公钥和用户方私钥,中介方将用户方私钥作为认证标识发送给用户方终端上的认证程序,并将用户方公钥与用户账号对应保存起来。实施例2在本实施例中,中介方是一个即时通讯服务商并且可以提供端到端的加密通讯服务。用户方和服务方都是中介方的用户终端,用户方和服务方通过中介方进行相互认证并建立加密连接。认证程序是一个即时通讯服务的客户端程序。本实施例的具体步骤如下1)用户方终端的认证程序通过中介方认证后,中介方会与用户方认证程序保持有效的会话连接,中介方生成一对非对称加密密钥(ECC密钥)作用户方公钥和用户方私钥, 中介方将用户方私钥作为认证标识发送给用户方终端上的认证程序,并将用户方公钥与用户方的用户账号对应保存起来;2)服务方终端的认证程序通过中介方认证后,中介方会与服务方认证程序保持有效的会话连接,中介方生成一对非对称加密密钥(ECC密钥)作服务方公钥和服务方私钥, 中介方将服务方私钥作为认证标识发送给服务方终端上的认证程序,并将服务方公钥与服务方的用户账号对应保存起来;3)当用户在认证程序界面上点击服务方的选项时,认证程序向中介方查询服务方是否在线(即服务方的认证标识是否有效),如果服务方在线则中介方分别向用户方和服务方发送服务方公钥和用户方公钥,同时,用户方认证程序生成一个新的对话窗口并向服务方发送连接请求,该连接请求包括以用户方私钥进行的数字签名;4)在服务方收到来自用户的连接请求后,服务方向用户方发送一个连接请求,该连接请求包括以服务方私钥进行的数字签名;5)在服务方和用户方收到来自中介方的用户方公钥和服务方公钥后,服务方和用户方分别以对方的公钥验证对方的连接请求是否正确,还可以验证对方的连接请求是否过期,如果对方的连接请求都正确且未过期,则来自中介方的对方公钥(验证凭证)是有效的,如果双方的验认凭证都通过了对方的验证则双方的相互认证通过并建立连接。其中,本实施例的步骤1)和步骤幻的执行顺序可以有前后变化,或者两步骤也可以同时执行。其中,用户方和服务方还可以通过用户方密钥对或服务方密钥对建立加密连接, 例如通过用户方密钥对或服务方密钥对交换一个AES密钥并以该AES密钥建立加密连接。另外,在本实施例中,用户方密钥对和服务方密钥对也可以是由用户方和服务方分别生成的。即,以上实施例2的步骤1)和步骤2)也可以是1)用户方的认证程序通过中介方认证后,中介方会与用户方认证程序保持有效的会话连接,用户方生成一对非对称加密密钥(ECC密钥)作为用户方公钥和用户方私钥,用户方将用户方私钥作为认证标识保存起来并将用户方公钥发送中介方,中介方将用户方公钥与用户方在中介方的用户账号对应保存起来;2)服务方的认证程序通过中介方认证后,中介方会与服务方认证程序保持有效的会话连接,服务方方生成一对非对称加密密钥(ECC密钥)作为服务方公钥和服务方私钥, 服务方将服务方私钥作为认证标识保存起来并将服务方公钥发送中介方,中介方将服务方公钥与服务方在中介方的用户账号对应保存起来。当然,本发明还可根据具体情况或结合其它系统方法而产生许多其它实施例。
权利要求
1.一种网络认证系统和方法,其中,包括用户方、服务方和中介方,三方通过网络相互连接,用户方在通过服务方认证后能接入服务方的指定的服务或资源,服务方通过中介方对用户方进行服务方认证,当用户方通过中介方认证后用户方才能通过服务方认证,不同的服务方可以通过同一中介方对同一用户方进行服务方认证,其特征在于在用户方通过中介方的中介方认证后用户方运行的认证程序将会保持与中介方的有效的认证标识,当用户方请求接入服务方时要进行服务方认证,在服务方认证中,只有所述的认证标识有效那么中介方才会将该用户方的验证凭证发送给服务方,只有当服务方收到并验证该验证凭证正确后服务方认证才会通过,在服务方认证通过后服务方就会根据用户方权限响应用户方的接入请求,其中,只要认证程序中止运行那么该认证程序的认证连接或认证标识就会失效,其中,所述认证标识和认证凭证是一对相对应的约定算法或约定算法的一对相对应的参数,所述认证凭证的验证是通过该约定算法的计算进行的。
2.根据权利要求1所述的网络认证系统和方法,其特征在于,当用户方请求接入服务方时,用户方会向服务方发送以认证标识计算生成的认证信息,服务方会以收到的验证凭证对该认证信息进行验证计算,只有验证计算结果正确时该验证凭证才是正确的而且服务方认证才会通过。
3.根据权利要求2所述的网络认证系统和方法,其特征在于,服务方确认凭证正确后服务方会允许来自用户方终端的一个连接或端口接入指定的服务或资源,该连接或端口是用户方向服务方发送所述以认证标识计算生成的认证信息的那个端口或连接。
4.根据权利要求1所述的网络认证系统和方法,其特征在于,所述认证标识和认证凭证是一对非对称加密的密钥,其中,认证标识和验证凭证分别是该对非对称加密密钥中的一个。
5.根据权利要求4所述的网络认证系统和方法,其特征在于,该非对称密钥对是由用户方或中介方生成的,在用户方通过中介方认证后,用户方或中介方会将该非对称密钥对中的一个发送给对方。
6.根据权利要求1所述的网络认证系统和方法,其特征在于,在服务方认证通过后,用户方还会保持与中介方有效的认证连接,只有在该认证连接有效时所述认证标识才是有效的。
7.根据权利要求1所述的网络认证系统和方法,其特征在于,服务方是另一个用户方, 用户方和服务方会互换角色并重新执行以上服务方认证步骤,从而完成相互认证。
8.根据权利要求1所述的网络认证系统和方法,其特征在于,用户方的用户在服务方系统中具有用户识别码(APID),用户方的用户在中介方系统中也具有用户识别码(AUID), APID与AUID存在对应关系。
9.根据权利要求1所述的网络认证系统和方法,其特征在于,用户方每次通过中介方认证后所保持的认证标识是无法从用户方先前的认证标识或其它用户的认证标识中得出的。
全文摘要
本发明为一种网络认证系统和方法,是关于安全便捷地进行第三方认证的系统和方法,是发明人的一项在先发明申请“安全的网络认证系统和方法”所包括的一种具体实现的补充和改进。
文档编号H04L9/30GK102420798SQ20101029298
公开日2012年4月18日 申请日期2010年9月27日 优先权日2010年9月27日
发明者任少华 申请人:任少华