专利名称:一种实现身份认证的装置、系统及方法
技术领域:
本发明涉及认证技术,特别涉及一种实现身份认证的装置、系统及方法。
背景技术:
目前,随着互联网技术的飞速发展,网上交易已经深入到人们的日常生活与工作 中,其中,“网上银行”与“电子商务”的应用是最具有代表性的应用。举例来说,“网上银行” 作为一种全新的银行客户服务提交渠道,客户无论在家里、办公室,还是在旅途中都可以通 过互联网络办理包括查询、转账、缴费等各种银行业务,管理自己的资产。但互联网技术在带给人们极大方便的同时,互联网络的安全性问题也日益突出地 显现出来,例如,对于网上银行,客户通过互联网络进行交易时,客户的用户识别码(例如 帐号)和密码等资料在交易过程中极易被攻击者拦截或盗取,攻击者利用拦截或盗取的用 户识别码和密码进行非法操作,直接侵害了客户的利益,这不仅直接影响到网上交易的信 誉,也对网上交易发展产生不利的负面影响。为了加强互联网络信息传输的安全性,需要建立互联网络信息传输的安全体系, 以保证互联网络系统中的数据只能被有对应权限的人访问;同时,还需要提供某种身份验 证机制,来保证存储在互联网络系统的客户的用户身份与使用互联网络系统的客户所宣称 的身份一致,只有通过身份认证的用户,才能访问系统资源和进行操作。因此,对于互联网 络来说,身份认证管理是整个信息安全体系的基础,如果没有有效的身份认证管理手段、方 法和措施,访问互联网络系统的客户的身份就很容易被攻击者伪造,导致攻击者得以进入 安全防范体系。例如,近年来国内多次发生的“假冒网站”以及客户资金被盗案件的主要原 因,就是由于客户的用户身份被盗用。下面对现有技术建立互联网络信息传输的安全体系的几种认证技术进行描述,主 要包括一、动态密码身份认证动态密码身份认证技术也称为“一次一密”技术,即用户每次使用的密码都根据时 间或使用次数等来动态产生,并且每个密码只能使用一次。用户设备可以使用专有令牌来产生动态密码,在使用时用户只需要将令牌上显示 的当前密码输入,认证服务器端采用相同的算法计算当前有效密码即可实现身份的确认。具体来说,动态密码身份认证的原理在于,用户每次使用的密码由专有令牌产生, 而且每次使用的密码都不相同,由于密码使用一次后就失效,因而,即使攻击者截获该密 码,也无法使用该密码仿冒合法用户身份,所以只要认证服务器端通过密码验证就可以认 为该用户的身份是可靠的。通过采用一次一密的方法,动态密码身份认证技术有效地保证 了用户身份的安全性,且与后续提到的IC卡认证、USB Key认证、生物特征认证相比,成本较低,目前的动态密码方式大多采用硬件方式、基于时间同步或事件的令牌。虽然,动态密码身份认证技术使用方便,但其安全性并不理想。例如,当遭遇病毒 或攻击者的攻击时,如果用户输入动态密码并通过网络传送,位于用户设备与认证服务器 通信通道间的攻击者便可通过键盘监听或内存读取等方式截获动态密码后进行攻击,可以 使用户无法完成登录,并造成网络连接断开、连接超时等假象;另一方面攻击者还可以利用 截获的动态密码假冒用户登录到认证服务器,进行非法操作,使用户蒙受损失。二、通用串行总线(USB,Universal Serial Bus)Key数字证书身份认证USB Key数字证书身份认证通过基于USB接口的USB key硬件设备来执行认证, 是近几年发展起来的一种身份认证技术。USB Key采用内置单片机或智能卡芯片,存储用 户基于公钥基础设施(PKI,Public Key Infrastructure)构架的数字证书。该数字证书 是由可信任的第三方认证机构颁发的一组包含用户身份信息(密钥)的数据结构,PKI构 架通过采用密码学算法构建了一套完善的流程来保证数字证书的持有人的身份和数据安 全。具体来说,数字证书身份认证的原理是发送方产生一段文字信息并对这段文字信息 进行单向不可逆的变换,然后,发送方再用自己的秘密密钥对进行单向不可逆的变换生成 的文字变换进行加密,并将产生的原始文字信息和加密后的文字变换结果传送给指定的接 收者,这段经过加密后的文字变换结果就被称作为数字签名。接收者接收原始文字信息和 加密后的文字变换结果,将接收到的原始文字信息进行同样的单项不可逆的变换,同时利 用发送方的公开密钥对接收的加密的文字变换结果进行解密,如果解密后的文字变换结果 和接收方自身进行的单项不可逆的文字变换结果一致,则接收方认为发送方通过了身份认 证,可以相信对方的身份。然而,USB Key数字证书身份认证的数字证书本身也是一种数字身份,还是存在被 非法复制的危险,于是,现有的USB Key作为数字证书存储介质增加了很多自毁措施,以确 保在受到破解的时候自动毁灭所存储的数字证书;以及,强化了 PKI构架体系的一些安全 措施,使得USB Key可以保证用户数字证书无法被复制。但是,由于部署和维护USB Key数字证书身份认证的CA中心的成本非常巨大,而 且需要在用户设备为每一用户配置一个USB KEY,造成用户使用成本较高;此外,每次使用 时都需要将USB KEY插入到用户设备的USB接口中,如果用户设备不具有USB接口、或USB 接口损坏、或USB KEY损坏,用户将无法访问CA中心;而且,不管是签名信息,还是数字证 书,在网络中传输时,仍然无法阻止每一次认证中的中间人攻击。现有提出的一种改进方法是将通信链路信道进行加密,如使用安全套接层(SSL, Security Socket Layer)协议保护,可以阻止网络截获签名信息或数字证书,但该加密信 道仍然无法阻止每一次认证中的连接劫持攻击。举例来说,当浏览器指向httpS://XXX. com 连接时,数字证书会在SSL握手期间进行交换,数字证书中保存的公钥被用于会话的加密。 连接时如果用户没有CA中心的公钥,浏览器就会提示用户接受还是拒绝这个数字证书,而 对于大量站点发行的证书,用户并没有相应站点的公钥来检查证书的合法性,因而,对于普 通的交互式客户程序,例如,浏览器,可能造成使SSL连接失去意义,从而使用户无法分辨 站点使用未知CA中心的提示信息是真的还是自己遭到了连接劫持攻击;进一步地,即使用 户以前曾经浏览过这个站点并保存了它的数字证书,也仍然可能被攻击者得逞;另外,由 于目前的攻击技术能很容易地突破SSL协议,所以即使用户能够检查网站数字证书的合法
5性,在身份认证中仍会遭到类似连接劫持的攻击。三、生物特征身份认证生物特征身份认证是基于用户独一无二的生物特征,例如,指纹识别、虹膜识别等 来验证用户身份的技术。由于它直接使用人的物理特征来表示每一个人的数字身份,不同 的人具有相同生物特征的可能性可以忽略不计,因此,从理论上说,生物特征身份认证是最 可靠的身份认证方式。但现有的生物特征身份认证,基于生物特征识别技术成熟度的影 响,还具有较大的局限性。首先,生物特征识别的准确性和稳定性还有待提高,特别是如果 用户身体受到伤病或污渍的影响,往往导致无法正常识别,造成合法用户无法登陆的情况; 其次,由于研发投入较大和产量较小的原因,生物特征认证系统的成本非常高,目前只适合 于一些安全性要求非常高的场合,如部队等使用,还无法做到大面积推广;此外,如果在网 络上传输生物特征信息进行身份认证,则无法阻止重传攻击、中间人攻击等。重传攻击,即 将截获的信息重新发送给验证服务器进行认证,从而获取访问身份的攻击;中间人(MITM, Man-in-the-Middle Attack)攻击,是一种“间接”的入侵攻击,这种攻击模式是通过各种技 术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台 计算机就称为“中间人”。然后入侵者把这台计算机模拟一台或两台原始计算机,使“中间 人”能够与原始计算机建立活动连接并允许其读取或修改传递的信息,然而两个原始计算 机用户却认为他们是在互相通信。通常,这种“拦截数据——修改数据——发送数据”的过 程就被称为“会话劫持”(Session Hijack)。四、集成电路(IC,IntegrateCircuit)卡认证IC卡认证是基于IC卡硬件的不可复制特性来保证用户身份不会被仿冒的技术。 IC卡内置集成电路,卡片中存有与用户身份相关的数据,由专门的厂商通过专门的设备生 产,可以认为是不可复制的硬件。IC卡由合法用户随身携带,登录时将IC卡插入专用的读 卡器读取其中的信息,以验证用户的身份。由于每次从IC卡中读取的数据是静态的,攻击 者通过内存扫描或网络监听等技术比较容易截取到用户的身份验证信息,因此存在较大的 安全隐患。由上述可见,现有常用的身份认证方法,身份认证安全性较低,损害了合法用户的 利益,此外,还存在以下缺陷(一 )、身份认证技术实现复杂。如USB KEY数字证书身份认证;( 二 )、成本较高。如USB KEY数字证书身份认证、生物特征身份认证;(三)、维护复杂。如USBKEY数字证书认证;(四)、适用场景受限、方便性差。如生物特征认证、USBKEY数字证书身份认证。
发明内容
有鉴于此,本发明的一个主要目的在于提供一种实现身份认证的装置,提高身份 认证的安全性、保障合法用户的利益。本发明的另一个主要目的在于提供一种实现身份认证的系统,提高身份认证的安 全性、保障合法用户的利益。本发明的再一个主要目的在于提供一种实现身份认证的方法,提高身份认证的安 全性、保障合法用户的利益。
为达到上述目的,本发明提供了一种实现身份认证的带外身份认证服务器,所述 带外身份认证服务器包括信息接收模块、信息处理模块、带外身份认证凭证信息存储模 块、带外身份认证凭证信息比对模块、以及信息发送模块,其中,信息接收模块,用于将接收的来自认证授权执行者的带外身份认证请求信息、以 及用户设备返回的带外身份认证凭证信息,发送至信息处理模块;信息处理模块,用于根据接收的带外身份认证请求信息,生成带外身份认证凭证 信息,发送至带外身份认证凭证信息存储模块、以及信息发送模块;接收信息接收模块发送 的用户设备返回的带外身份认证凭证信息,发送至带外身份认证凭证信息比对模块;带外身份认证凭证信息存储模块,用于存储信息处理模块生成的带外身份认证凭 证信息;带外身份认证凭证信息比对模块,用于接收来自信息处理模块的带外身份认证凭 证信息,验证是否与带外身份认证凭证信息存储模块存储的带外身份认证凭证信息一致, 如果一致,向信息发送模块发送包含带外身份认证成功信息的带外身份认证请求响应信 息;信息发送模块,用于将接收的带外身份认证请求响应信息以及带外身份认证凭证 信息发送。一种实现身份认证的系统,该系统包括认证授权执行者、带外身份认证服务器、 身份认证策略模块,其中,认证授权执行者,用于在确定用户设备通过普通身份认证,并获知用户设备需要 执行带外身份认证时,向带外身份认证服务器发送带外身份认证请求信息,进行带外身份 认证;如果确定带外身份认证成功,通知用户设备进入业务系统;带外身份认证服务器,用于接收带外身份认证请求信息,生成带外身份认证凭证 信息,发送至用户设备;验证用户设备返回的带外身份认证凭证信息与自身发送至用户设 备的带外身份认证凭证信息是否一致,如果一致,通过认证授权执行者通知用户设备进入 业务系统;身份认证策略模块,用于与认证授权执行者交互,确定自身预先存储的身份认证 策略中包含用户设备的带外身份认证注册信息,通知认证授权执行者执行对用户设备的带 外身份认证。所述系统进一步包括用户设备度量引擎,用于根据认证授权执行者发送的度量认 证请求信息,与用户设备交互获取用户设备的度量认证信息;对获取的度量认证信息进行 度量处理,形成度量值,与预先存储的注册用户设备度量值进行匹配比对,如果匹配比对一 致,则通过认证授权执行者与身份认证策略模块交互确定用户设备是否进行带外身份认 证。所述带外身份认证服务器包括信息接收模块、信息处理模块、带外身份认证凭证 信息存储模块、带外身份认证凭证信息比对模块、以及信息发送模块,其中,信息接收模块,用于将接收的来自认证授权执行者的带外身份认证请求信息、以 及用户设备返回的带外身份认证凭证信息,发送至信息处理模块;信息处理模块,用于根据接收的带外身份认证请求信息,生成带外身份认证凭证 信息,发送至带外身份认证凭证信息存储模块、以及信息发送模块;接收信息接收模块发送的用户设备返回的带外身份认证凭证信息,发送至带外身份认证凭证信息比对模块;带外身份认证凭证信息存储模块,用于存储信息处理模块生成的带外身份认证凭 证信息;带外身份认证凭证信息比对模块,用于接收来自信息处理模块的带外身份认证凭 证信息,验证是否与带外身份认证凭证信息存储模块存储的带外身份认证凭证信息一致, 如果一致,向信息发送模块发送包含带外身份认证成功信息的带外身份认证请求响应信 息;信息发送模块,用于将接收的带外身份认证凭证信息发送至用户设备,以及将接 收的带外身份认证请求响应信息发送至认证授权执行者。所述系统进一步包括普通身份认证服务器,用于与用户设备、认证授权执行者交 互,执行对用户的普通身份认证。所述用户设备度量引擎包括度量信息收集模块和度量信息校验模块,其中,度量信息收集模块,用于根据预先存储的度量信息策略以及接收的度量认证请求 信息,收集用户设备的度量认证信息;度量信息校验模块,用于对用户设备的度量认证信息进行度量处理,并将处理后 形成的度量值与预先存储的所述用户设备的注册用户设备度量值进行匹配比对,如果匹配 比对一致,通知所述用户设备通过身份认证。一种实现身份认证的方法,该方法包括在确定用户设备通过普通身份认证后,认证授权执行者从身份认证策略模块获知 用户设备需要执行带外身份认证时,向带外身份认证服务器发送带外身份认证请求信息;带外身份认证服务器接收带外身份认证请求信息,生成带外身份认证凭证信息, 发送至用户设备,验证用户设备返回的带外身份认证凭证信息与自身生成的带外身份认证 凭证信息是否一致,如果一致,则通过认证授权执行者通知用户设备进入业务系统。通过短消息系统、电话或邮件方式发送所述带外身份认证凭证信息至所述用户设 备。由上述的技术方案可见,本发明提供的一种实现身份认证的装置、系统及方法,在 现有普通身份认证技术的基础上,通过增加对用户设备的度量认证方式来实现用户身份和 用户使用的用户设备的绑定,阻止网络上针对身份认证实施的大部分攻击;或者,在现有普 通身份认证技术的基础上,增加带外身份认证来阻断网络上对用户身份的攻击;或者,在现 有普通身份认证技术的基础上,通过增加对用户设备的度量认证以及带外身份认证来阻断 网络上对用户身份的攻击,从而提高了身份认证的安全性、保障合法用户的利益,解决攻击 者的中间攻击、连接劫持攻击等问题。而且,本发明提供的身份认证的系统能够和已经存在 各种身份认证系统相兼容,实施时无需对原有认证系统作过大修改,投入成本低、管理维护 容易、而能够大大提升身份认证系统的安全性。
图Ia为本发明实现身份认证的系统结构示意图;图Ib为本发明实现身份认证的系统另一结构示意图;图2为本发明实现身份认证的方法流程示意图3为本发明实现身份认证策略注册的流程示意图;图4为本发明实现身份认证的方法具体流程示意图。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对 本发明作进一步地详细描述。本发明提供的实现身份认证的装置、系统及方法,在现有身份认证技术的基础上, 通过增加对用户设备的度量认证的方式来实现用户身份和用户使用的用户设备的绑定,可 以阻止网络上针对身份认证实施的大部分攻击、或者,使攻击者攻击的难度加大;进一步 地,增加带外身份认证来阻断网络上对用户身份的攻击,进一步提高身份认证的安全性、保 障合法用户的利益,从根本上解决攻击者的中间攻击、连接劫持攻击等问题。实际应用中,由于用户总是通过用户设备执行身份认证,下面描述中,将用户与用 户设备进行绑定。图Ia为本发明实现身份认证的系统结构示意图,参见图la,该系统包括用户设 备、认证授权执行者、身份认证策略模块、普通身份认证服务器、用户设备度量引擎,其中,普通身份认证服务器,用于与用户设备、认证授权执行者交互,执行对用户设备的 普通身份认证;认证授权执行者,用于在确定用户设备通过普通身份认证,与身份认证策略模块 交互获知用户设备需要执行度量认证时,向用户设备度量引擎发送度量认证请求信息,进 行度量认证;如果确定度量认证成功,通知用户设备进入业务系统;实际应用中,可以是确定用户设备度量引擎返回的度量认证请求响应信息中包含 绑定成功信息,认为度量认证成功。身份认证策略模块,用于与认证授权执行者交互,确定自身预先存储的身份认证 策略中包含用户设备的度量认证注册信息,通知认证授权执行者执行对用户设备的度量认 证;用户设备度量引擎,用于接收度量认证请求信息,与用户设备交互获取用户设备 的度量认证信息;对获取的度量信息进行完整性等处理,形成度量值,与预先存储的注册用 户设备度量值进行匹配比对,如果匹配比对一致,则通过认证授权执行者通知用户设备进 入业务系统;如果匹配比对一致,用户设备度量引擎认为度量认证成功,向认证授权执行者返 回携带绑定成功信息的度量认证请求响应信息;用户设备,用于与用户设备度量引擎交互,将自身的度量认证信息发送至用户设 备度量引擎。用户设备度量引擎进一步用于接收度量认证注册请求信息,按照预先设置的度量 信息策略,生成获取度量认证注册请求信息,发送至用户设备,并对用户设备返回的度量认 证注册信息进行完整性处理,形成注册用户设备度量值并存储。度量认证注册信息包括每个用户设备对应的网卡信息、操作系统信息、浏览器信 息、IP地址所在的地理位置信息、用户设备名称信息、用户行为信息等;预先设置的度量信息策略可以是度量认证注册信息中的一种或几种。
9
生成获取度量认证注册请求信息包括生成与预先设置的度量信息策略相对应的 信息,例如,预先设置的度量信息策略包括网卡信息和操作系统信息,则生成包含用户设备 网卡信息和操作系统信息的获取度量认证注册请求信息,用户设备将自身的网卡信息和操 作系统信息携带在度量认证注册信息中。实际应用中,该系统也可以只包含认证授权执行者、用户设备度量引擎、身份认证 策略模块,用户利用该系统直接进行度量认证,而不需执行普通身份认证。普通身份认证服务器与用户设备、认证授权执行者交互,执行对用户的普通身份 认证,普通身份认证服务器采用的身份认证技术可以是动态密码身份认证、数字证书身份 认证、生物特征身份认证、可信终端身份认证等,与现有身份认证相类似,下面进行简要描 述认证授权执行者,用于接收用户设备发送的访问请求,向普通身份认证服务器发 送普通身份认证请求;接收普通身份认证要求信息,将自身生成的认证身份信息和普通身 份认证要求信息携带在访问请求响应信息中,发送至用户设备;用户设备,用于接收访问请求响应信息,确定认证授权执行者的身份认证通过,向 普通身份认证服务器发送普通身份认证要求响应信息;普通身份认证服务器,用于接收普通身份认证请求,向认证授权执行者返回普通 身份认证要求信息;根据接收的普通身份认证要求响应信息进行身份认证,确定用户设备 通过普通身份认证,向认证授权执行者返回携带用户设备通过普通身份认证信息的用户设 备认证身份响应信息。用户设备度量引擎包括探测中间件模块、度量信息收集模块、度量信息校验模块、 以及度量注册信息模块,探测中间件模块,用于接收度量认证请求信息,通知度量信息收集模块收集用户 设备的度量信息;接收度量信息收集模块返回的用户设备的度量信息,从度量注册信息模 块中获取预先存储的该用户设备的注册用户设备度量值,将用户设备的度量信息以及该用 户设备的注册用户设备度量值发送至度量信息校验模块;将度量信息校验模块返回的信息 进行发送;度量信息收集模块,用于接收来自探测中间件模块的通知收集用户设备的度量信 息的信息,根据预先存储的度量信息策略,收集用户设备的度量认证信息;度量信息校验模块,用于对接收的用户设备的度量认证信息进行度量处理,并将 处理后形成的度量值与接收的用户设备的注册用户设备度量值进行匹配比对,如果匹配比 对一致,向探测中间件模块返回通知所述用户设备通过身份认证的信息。探测中间件模块还接收度量认证注册请求信息,相应地,用户设备度量引擎进一 步包括度量注册信息模块,度量信息收集模块进一步用于根据预先存储的度量信息策略以及来自探测中间 件模块的通知收集用户设备的度量注册信息的信息,收集用户设备的度量认证注册信息,度量注册信息模块,用于根据探测中间件模块发送的用户设备的度量认证注册信 息,进行度量处理,形成度量值作为所述用户设备的注册用户设备度量值。实际应用中,该用户设备度量引擎还可以包括行为分析判断模块,用于收集和记 录用户的行为特征,并根据预先设定的行为分析算法对用户的行为特征进行判断和分析。
度量信息策略包括每个用户设备对应的网卡信息、操作系统信息、浏览器信息、 IP地址所在的地理位置信息、用户设备名称信息、用户行为信息中的一种或任意组合。在本发明另一实施例中,用户设备度量引擎包括度量信息收集模块、度量信息校 验模块、度量注册信息模块、以及行为分析判断模块,度量信息收集模块,用于根据预先存储的度量信息策略以及接收的信息,收集用 户设备的度量信息;实际应用中,度量信息收集模块根据接收的度量认证注册请求信息或度量认证请 求信息以及预先存储的度量信息策略,收集与度量信息策略相关的用户设备的度量信息。 具体为,度量信息收集模块将根据度量认证注册请求收集的与预先存储的度量信息策略相 关的用户设备的度量认证注册信息发送至度量注册信息模块,以及将根据度量认证请求收 集的与度量信息策略相关的用户设备的度量认证信息发送至度量信息校验模块;用户设备的度量信息包括网卡信息、操作系统信息、浏览器信息、IP地址所在的地 理位置信息、用户设备名称信息、用户行为信息等信息。对应于度量认证注册请求信息,用 户设备的度量信息为度量认证注册信息;对应于度量认证请求信息,用户设备的度量信息 为度量认证信息。预先存储的度量信息策略用于指示度量信息收集模块所应收集的用户设备的度 量信息,例如,收集用户设备的网卡信息、操作系统信息、浏览器信息、IP地址所在的地理位 置信息、机器名称信息、访问者行为信息等信息中的一种或一种以上信息。度量信息策略可以针对所有的用户设备,也可以根据不同的用户设备设置不同的 度量信息策略。较佳地,度量信息收集模块根据接收的度量认证注册请求信息收集的与度量信息 策略相关的用户设备的度量认证注册信息,与根据接收的度量认证请求信息收集的与度量 信息策略相关的用户设备的度量认证信息相同,即,度量认证注册信息与度量认证信息包 含的内容相同。不同的是,其收集用户设备的度量信息的时间点不同。度量信息校验模块,用于根据度量信息收集模块收集的用户设备的度量信息,进 行度量处理,并将处理后形成的度量值与度量注册信息模块中该用户设备的注册用户设备 度量值进行匹配比对,如果匹配比对一致,生成携带绑定成功信息的度量认证请求响应信 息,发送至认证授权执行者;如果匹配比对不一致,生成携带绑定失败信息或注册提示信息 的度量认证请求响应信息,发送至认证授权执行者。实际应用中,度量信息校验模块如果确定匹配比对一致,相当于对用户和用户使 用的用户设备进行绑定,这个绑定并不唯一,可以根据使用环境的变换进行灵活增加和变 更,但进行变更前必须通过普通身份认证。度量注册信息模块,用于根据度量信息收集模块收集的用户设备的度量信息,进 行度量处理,形成度量值作为该用户设备的注册用户设备度量值;度量处理包括对选取的用户设备的度量信息进行完整性处理,或者数据压缩处 理,或者加密处理等。行为分析判断模块,用于收集和记录用户的行为特征,并根据预先设定的行为分 析算法对用户的行为特征进行判断和分析。实际应用中,用户设备度量引擎也可以不包括行为分析判断模块。
行为分析判断模块通过收集和记录用户的行为特征,并进行判断和分析,强化对 用户的安全认证,例如,记录度量信息收集模块根据度量认证注册请求收集用户设备的度 量信息的时间信息等用户的行为特征,当行为分析判断模块判断用户的行为特征异常时, 可以要求用户执行进一步的认证以确认该用户合法。实际应用中,图1所示的身份认证的系统还可以进一步包括带外身份认证服务 器,认证授权执行者,用于在确定用户设备通过度量认证,与身份认证策略模块交互 获知用户设备需要执行带外身份认证时,向带外身份认证服务器发送带外身份认证请求信 息;如果确定带外身份认证服务器返回的带外身份认证请求响应信息中包含带外身份认证 成功信息,通知用户设备进入业务系统;身份认证策略模块,用于与认证授权执行者交互,确定自身预先存储的身份认证 策略中包含用户设备的带外身份认证注册信息,通知认证授权执行者执行对用户设备的带 外身份认证;带外身份认证服务器,用于接收带外身份认证请求信息,生成带外身份认证凭证 信息,发送至用户设备;验证用户设备返回的带外身份认证凭证信息与自身发送至用户设 备的带外身份认证凭证信息是否一致,如果一致,向认证授权执行者返回包含带外身份认 证成功信息的带外身份认证请求响应信息。带外身份认证服务器包括信息接收模块、信息处理模块、带外身份认证凭证信息 存储模块、带外身份认证凭证信息比对模块、以及信息发送模块,其中,信息接收模块,用于将接收的带外身份认证请求信息、以及用户设备返回的带外 身份认证凭证信息,发送至信息处理模块;信息处理模块,用于接收带外身份认证请求信息,生成带外身份认证凭证信息,发 送至带外身份认证凭证信息存储模块、以及信息发送模块;接收信息接收模块发送的用户 设备返回的带外身份认证凭证信息,发送至带外身份认证凭证信息比对模块;带外身份认证凭证信息存储模块,用于存储信息处理模块生成的带外身份认证凭 证信息;带外身份认证凭证信息比对模块,用于验证来自信息处理模块的带外身份认证凭 证信息是否与来自带外身份认证凭证信息存储模块存储的带外身份认证凭证信息一致,如 果一致,向信息发送模块发送包含带外身份认证成功信息的带外身份认证请求响应信息;信息发送模块,用于将接收的带外身份认证凭证信息发送至用户设备,以及将接 收的带外身份认证请求响应信息发送至认证授权执行者。本实施例中,身份认证策略模块实际是一个数据库服务器,存放每个用户的身份 认证策略,一个用户对应一条身份认证策略,身份认证策略形式可以表示为用户-普通身 份认证_度量认证-带外身份认证,也可以表示为用户-普通身份认证-度量认证,还可 以表示为用户-普通身份认证-带外身份认证。度量值可以是对度量信息进行完整性运 算后得到的完整性值。图Ib为本发明实现身份认证的系统另一结构示意图,参见图lb,该系统包括用 户设备、认证授权执行者、身份认证策略模块、普通身份认证服务器、带外身份认证服务器, 其中,
普通身份认证服务器,用于与用户设备、认证授权执行者交互,执行对用户的普通 身份认证;认证授权执行者,用于在确定用户设备通过普通身份认证,与身份认证策略模块 交互获知用户设备需要执行带外身份认证时,向带外身份认证服务器发送带外身份认证请 求信息,进行带外身份认证;如果确定带外身份认证成功,通知用户设备进入业务系统;实际应用中,带外身份认证服务器如果确定带外身份认证成功,向认证授权执行 者返回带外身份认证请求响应信息,包含带外身份认证成功信息,认证授权执行者接收带 外身份认证请求响应信息,根据包含的带外身份认证成功信息,通知用户设备进入业务系 统。身份认证策略模块,用于与认证授权执行者交互,确定自身预先存储的身份认证 策略中包含用户设备的带外身份认证注册信息,通知认证授权执行者执行对用户设备的带 外身份认证;带外身份认证服务器,用于接收带外身份认证请求信息,生成带外身份认证凭证 信息,发送至用户设备;验证用户设备返回的带外身份认证凭证信息与自身发送至用户设 备的带外身份认证凭证信息是否一致,如果一致,通过认证授权执行者通知用户设备进入 业务系统。实际应用中,带外身份认证服务器确定带外身份认证成功,向认证授权执行者返 回包含带外身份认证成功信息的带外身份认证请求响应信息。带外身份认证服务器结构与 图Ia中的带外身份认证服务器结构相类似,在此不再赘述。 实际应用中,用户设备可以通过该系统完成带外身份认证注册。普通身份认证服务器,用于与用户设备、认证授权执行者交互,执行对用户的普通 身份认证;认证授权执行者,用于在确定用户设备通过普通身份认证后,向用户设备询问是 否注册带外认证策略;接收到用户设备发送的带外认证策略注册信息,发送至身份认证策 略模块;身份认证策略模块,用于接收带外认证策略注册信息,为该用户设备执行带外认 证策略注册。本实施例中,也可以单独应用用户设备度量引擎或带外身份认证服务器完成身份 认证。图2为本发明实现身份认证的方法流程示意图,参见图2,该流程包括步骤201,用户设备向认证授权执行者发送访问请求;步骤202,认证授权执行者接收访问请求,向普通身份认证服务器发送普通身份认 证请求,接收返回的普通身份认证要求信息,向用户设备发送访问请求响应信息,携带自身 认证身份信息;本步骤中,认证授权执行者接收访问请求,可以根据访问请求包含的用户设备标 识,确定对该用户设备的身份认证策略,身份认证策略可以是用户设备预先设置在认证授 权执行者中,例如,设置普通身份认证标识为1,度量认证标识为2,带外身份认证标识为3, 标识高的认证同时包含对标识低的认证。举例来说,如果用户设备预先设置的身份认证策 略标识为3,则表示用户设备需要依次进行普通身份认证、度量认证、以及带外身份认证;也可以是将身份认证策略设置在身份认证策略模块中,而默认普通身份认证为必须执行的 流程,在普通身份认证通过后,由认证授权执行者查询身份认证策略模块中的身份认证策 略,从而获取是否还需要执行度量认证、或带外身份认证、或度量认证和带外身份认证。本实施例中,需要对用户设备依次进行普通身份认证、度量认证、以及带外身份认 证。认证授权执行者接收访问请求,确定用户设备身份认证策略标识后,向普通身份 认证服务器发送普通身份认证请求,接收普通身份认证服务器返回的普通身份认证要求信 息,向用户设备发送访问请求响应信息,携带自身认证身份信息,自身认证身份信息可以是 认证授权执行者用自身私钥生成的数字签名信息。实际应用中,认证授权执行者根据用户设备的不同应用以及用户设备所支持的身 份认证技术,可以采用相应的动态密码身份认证、USB Key数字证书身份认证、生物特征身 份认证或IC卡认证方式,向用户设备发送对应的认证身份信息。步骤203,用户设备接收访问请求响应信息,验证认证授权执行者的认证身份信 息,如验证通过,向验证认证授权执行者返回普通身份认证要求响应信息;本步骤中,用户设备接收访问请求响应信息,根据认证授权执行者发送的认证身 份信息,采用对应的认证方式,例如,认证授权执行者采用动态密码身份认证发送认证身 份信息,则用户设备采用对应的动态密码身份认证技术验证认证授权执行者的认证身份信 息,验证流程与现有流程相类似,在此不再赘述。如果用户设备通过对认证授权执行者的认证身份信息验证,则认为该认证授权执 行者是可信任的,用户设备将自身认证身份信息进行处理,如一次密码、签名信息、生物特 征等,并将处理的认证身份信息携带在普通身份认证要求响应信息中;否则,向认证授权执 行者返回携带认证失败的普通身份认证要求响应信息。步骤204,认证授权执行者接收普通身份要求响应信息,将包含的用户设备认证身 份信息向普通身份认证服务器发送;步骤205,普通身份认证服务器接收用户设备认证身份信息,进行身份认证,向认 证授权执行者返回用户设备认证身份响应信息;本步骤中,普通身份认证服务器接收用户设备认证身份信息,进行身份认证的流 程与现有身份认证流程相类似,在此不再赘述。如果身份认证通过,则在返回的用户设备认证身份响应信息中携带认证身份成功 信息,否则,在返回的用户设备认证身份响应信息中携带认证身份失败信息,拒绝用户设备 的认证请求。步骤206,认证授权执行者接收用户设备认证身份响应信息,确定身份认证通过, 发送度量认证请求信息;本步骤中,如果认证授权执行者已确定用户设备身份认证策略标识,如本实施例 中,需要依次对用户设备再进行度量认证和带外身份认证,向用户设备度量引擎发送度量 认证请求信息。如果用户的身份认证策略存储在身份认证策略模块中,则向身份认证策略模块发 送度量认证查询请求信息,执行步骤206a 步骤206b (图中未示出)。步骤206a,身份认证策略模块接收度量认证查询请求信息,查询存储的身份认证
14策略,向认证授权执行者返回度量认证查询请求响应信息;本步骤中,身份认证策略模块接收度量认证查询请求信息,根据查询得到的身份 认证策略,确定是否需要执行进一步的身份认证,如不需要,向认证授权执行者返回度量认 证查询请求响应信息,通知用户设备可以进入业务系统;如果需要,向认证授权执行者返回 度量认证查询请求响应信息,指示认证授权执行者执行后续的身份认证。实际应用中,如果身份认证策略模块查询到用户需要执行度量认证和带外身份认 证时,可以是将用户设备身份认证策略标识携带在度量认证查询请求响应信息中,后续中 当度量认证通过时,不再向身份认证策略模块发送带外身份认证查询请求信息,而是直接 执行带外身份认证;当然,实际应用中,也可以是在后续中度量认证通过时,再向身份认证 策略模块发送带外身份认证查询请求信息,获取用户是否需要执行带外身份认证的信息。步骤206b,身份认证策略模块接收度量认证查询请求响应信息,确定需要进行度 量认证,发送度量认证请求信息;本步骤中,如果接收的度量认证查询请求响应信息中包含不需要再认证信息,通 知用户设备可以进入业务系统;否则,根据度量认证查询请求响应信息中包含的指示信息, 如用户设备身份认证策略标识,向用户设备度量引擎发送度量认证请求信息。步骤207,用户设备度量引擎接收度量认证请求信息,执行对用户设备的度量认 证,向认证授权执行者返回度量认证请求响应信息;本步骤中,用户设备度量引擎接收度量认证请求信息,获取该用户设备的度量认 证信息,对该度量认证信息进行度量处理,例如,对度量认证信息执行完整性处理,形成度 量值,与预先存储的用户注册的度量值进行匹配比对,如果匹配比对一致,则向认证授权执 行者返回度量认证请求响应信息,携带绑定成功信息;如果匹配比对不一致,则向认证授权 执行者返回度量认证请求响应信息,携带绑定失败信息或注册提示信息。用户设备度量引擎接收度量认证请求信息,执行对用户设备的度量认证时,可以 是主动搜集用户设备的度量认证信息;也可以是用户设备度量引擎监测到用户设备上电 后,主动搜集用户设备的度量认证信息并进行存储。较佳地,收集用户设备的度量认证信息 采用非标准协议,这样,增加攻击者获知用户设备度量引擎收集度量信息行为的发生时间 的难度。用户设备的度量认证信息包括但不限于网卡信息、操作系统信息、浏览器信息、 IP地址所在的地理位置信息、用户设备名称信息或用户行为信息,或任意组合。如果匹配比对一致,例如将收集到的网卡信息、操作系统信息、浏览器信息等进行 完整性计算,获得完整性值,与数据库中注册的完整性值作匹配比对,如果一致,将用户设 备身份与用户设备进行绑定,这样,由于是认证服务侧的用户设备度量引擎主动收集用户 设备度量信息,对于一个攻击者,无法阻止或伪造认证服务侧对用户设备的度量信息收集, 因而,强化了用户设备身份认证的安全性,可以有效阻止重传攻击、中间人攻击等。具体来说,当对用户的普通认证完成后,根据用户设备身份认证策略,由认证侧的 用户设备度量引擎主动发起对用户设备的度量认证信息收集,攻击者很难确定收集度量认 证信息行为的发生时间(除非控制验证服务侧的服务器);而且,收集用户设备的度量认证 信息采用非标准协议,也增加了攻击者获知用户设备度量引擎收集度量认证信息行为的发 生时间的难度。
步骤208,认证授权执行者接收度量认证请求响应信息,如果确定需要执行带外身 份认证,向带外身份认证服务器发送带外身份认证请求;本步骤中,如果度量认证请求响应信息中携带有绑定成功信息,则认证授权执行 者根据已确定的用户设备身份认证策略标识,或,向认证策略服务器查询获取的用户带外 身份认证策略状况,如果确定用户设备不需要进行后续认证,通知用户设备可以进入业务 系统;如果确定用户设备需要进行后续认证,向带外身份认证服务器发送带外身份认证请 求。如果度量认证请求响应信息中携带有绑定失败信息或注册提示信息,则认证授权 执行者通知用户设备绑定失败或重新进行注册,拒绝用户设备进入业务系统。步骤209,带外身份认证服务器接收带外身份认证请求,生成带外身份认证凭证信 息,发送至用户设备;本步骤中,带外身份认证服务器接收带外身份认证请求,生成带外身份认证凭证 信息,如一次密码、电话、短消息、邮件等,并通过传输系统,例如,短消息系统、电话或邮件 等方式发送至用户。步骤210,用户设备接收带外身份认证凭证信息并返回给带外身份认证服务器;本步骤中,用户设备接收带外身份认证凭证信息,通过与接收带外身份认证凭证 信息同样的传输系统,例如,短消息系统、电话或邮件等方式,将接收的带外身份认证凭证 信息发送至带外身份认证服务器。步骤211,带外身份认证服务器接收带外身份认证凭证信息,向认证授权执行者返 回带外身份认证请求响应信息;本步骤中,带外身份认证服务器接收带外身份认证凭证信息,将接收的带外身份 认证凭证信息与自身发送至用户的带外身份认证凭证信息进行验证,如果一致,则带外身 份认证通过,向认证授权执行者返回带外身份认证请求响应信息,携带带外身份认证成功 信息;如果在预设的时间窗口内没有接收到用户的反馈信息(带外身份认证凭证信息),或 用户返回的带外身份认证凭证信息与自身发送至用户的带外身份认证凭证信息不一致,则 向认证授权执行者返回带外身份认证请求响应信息,携带带外身份认证失败信息,或注册 提示信息。步骤212,认证授权执行者接收带外身份认证请求响应信息,确定带外身份认证通 过,通知用户设备可以进入业务系统。本步骤中,如果返回的带外身份认证请求响应信息包含带外身份认证失败信息, 或注册提示信息,通知用户设备带外身份认证失败或重新进行注册,拒绝用户设备进入业 务系统。至此,该流程结束。图3为本发明实现身份认证策略注册的流程示意图,参见图3,该流程包括步骤301,用户设备(来访的用户)向认证授权执行者请求访问,并要求对认证授 权执行者进行可信身份认证;步骤302,认证授权执行者向普通身份认证服务器请求对来访的用户的身份认证, 普通身份认证服务器通过用户设备向来访的用户返回相应的身份认证要求,同时认证授权 执行者生成自己的身份信任信息,并返回给来访的用户;
本步骤中,身份认证要求可以是动态密码身份认证信息、USB Key数字证书身份认 证信息、生物特征身份认证信息或IC卡认证信息。身份信任信息为认证授权执行者利用自身的私钥生成的签名信息。步骤303,用户设备接收信息,确定认证授权执行者的身份认证通过,向普通身份 认证服务器发送普通身份认证要求响应信息;本步骤中,用户设备接收访问请求响应信息,对包含的认证授权执行者的认证身 份信息进行验证,例如,利用认证授权执行者的公钥验证接收的签名信息,如果通过验证,表明该认证授权执行者是可信的,然后,根据接收的普通身份认证 要求信息,通过认证授权执行者向普通身份认证服务器发送普通身份认证要求响应信息, 例如,普通身份认证要求信息为要求用户设备输入密码信息,则用户设备输入密码信息作 为普通身份认证要求响应信息,发送至普通身份认证服务器。如果未通过验证,则结束流程。步骤304,普通身份认证服务器接收普通身份认证要求响应信息,进行身份认证, 向认证授权执行者返回用户设备认证身份响应信息;该步骤与步骤205相类似。步骤305,认证授权执行者向用户设备度量引擎发送度量认证注册请求信息;本步骤中,认证授权执行者确定用户身份认证通过,向用户设备度量引擎发送度 量认证注册请求信息。步骤306,用户设备度量引擎接收度量认证注册请求信息,执行对用户设备的度量 认证注册;本步骤中,用户设备度量引擎接收度量认证注册请求信息,触发对用户设备度量 认证注册信息的主动收集,按照预先存储的度量信息策略,如网卡信息、操作系统信息、浏 览器信息、IP地址所在的地理位置信息、用户设备名称信息、用户行为信息等一种或任意组 合,收集与预先存储的度量信息策略相对应的信息,例如,预先存储的度量信息策略包括网 卡信息和操作系统信息,则用户设备度量引擎主动收集用户设备的网卡信息和操作系统信 肩、O用户设备度量引擎对主动收集的度量认证注册信息执行完整性处理生成注册度 量值,并将注册度量值结果信息进行存储。步骤307,用户设备度量引擎将用户设备的度量认证策略信息发送至身份认证策 略模块;本步骤中,用户设备度量引擎在身份认证策略模块中写入要求对用户设备执行度 量认证的度量认证策略,如用户设备要求执行度量认证策略。步骤308,身份认证策略模块接收度量认证策略信息,进行存储,向认证授权执行 者发送度量认证注册响应信息;步骤309,用户设备度量引擎将度量认证注册响应信息发送至认证授权执行者;实际应用中,步骤307与步骤309并没有先后顺序之分。步骤310,认证授权执行者接收到用户设备度量引擎和身份认证策略模块发送的 度量认证注册响应信息,将是否注册带外认证策略信息携带在度量认证注册响应信息中, 发送至用户设备;
步骤311,用户设备接收度量认证注册响应信息,获知度量认证注册成功,确认继 续注册带外认证策略,将带外认证策略注册信息发送至认证授权执行者;本步骤中,用户设备需要注册带外认证策略并进行相应处理。步骤312,认证授权执行者将接收的带外认证策略注册信息转发至身份认证策略 模块;步骤313,身份认证策略模块接收带外认证策略注册信息,为该用户执行带外认证 策略注册,向认证授权执行者返回带外认证策略注册响应信息;步骤314,认证授权执行者将带外认证策略注册响应信息转发给用户设备。至此,身份认证策略注册流程结束。实际应用中,根据用户设备的需要,可以在身份认证策略模块中只注册度量认证 策略,也可以只注册带外认证策略,也可以是同时注册度量认证策略和带外认证策略,还可 以是直接进行度量认证或带外认证。在完成注册后,后续中,可以对用户设备身份进行认证,以便进入业务系统执行业 务操作。所应说明的是,如果注册与身份认证不在同一次执行,则在注册和身份认证过程 中,需要分别执行普通身份认证。以下以认证授权执行者与身份认证策略模块交互获取用户设备需要进行的身份 认证为例,对本发明身份认证进行详细描述。图4为本发明实现身份认证的方法具体流程示意图,参见图4,该流程包括步骤401,用户设备(来访的用户)向认证授权执行者请求访问,并要求对认证授 权执行者进行可信身份认证;步骤402,认证授权执行者向普通身份认证服务器请求对来访的用户的身份认证, 普通身份认证服务器通过用户设备向来访的用户返回相应的身份认证要求,同时认证授权 执行者生成自己的身份信任信息,并返回给来访的用户;本步骤中,身份认证要求可以是动态密码身份认证信息、USB Key数字证书身份认 证信息、生物特征身份认证信息或IC卡认证信息。身份信任信息为认证授权执行者利用自身的私钥生成的签名信息。步骤403,用户设备接收访问请求响应信息,确定认证授权执行者的身份认证通 过,向普通身份认证服务器发送普通身份认证要求响应信息;本步骤中,用户设备接收访问请求响应信息,对包含的认证授权执行者的认证身 份信息进行验证,例如,利用认证授权执行者的公钥验证接收的签名信息,如果通过验证,表明该认证授权执行者是可信的,然后,根据接收的普通身份认证 要求信息,向普通身份认证服务器发送普通身份认证要求响应信息,例如,普通身份认证要 求信息为要求用户输入密码信息,则用户输入密码信息作为普通身份认证要求响应信息, 通过用户设备发送至普通身份认证服务器。如果未通过验证,则结束流程。步骤404,普通身份认证服务器接收普通身份认证要求响应信息,进行身份认证, 向认证授权执行者返回用户设备认证身份响应信息;该步骤与步骤205相类似。步骤405,认证授权执行者向身份认证策略模块发送度量认证查询请求信息;
18
本步骤中,认证授权执行者确定普通用户身份认证通过,向身份认证策略模块发 送度量认证查询请求信息。步骤406,身份认证策略模块接收度量认证查询请求信息,查询存储的身份认证策 略,向认证授权执行者返回度量认证查询请求响应信息;本步骤中,身份认证策略模块接收度量认证查询请求信息,查询自身存储的身份 认证策略,如果该用户的身份认证策略不包含度量认证注册信息,向认证授权执行者返回 度量认证查询请求响应信息,通知用户设备可以进入业务系统;如果包含度量认证注册信 息,向认证授权执行者返回度量认证查询请求响应信息,通知认证授权执行者执行度量认 证。步骤407,认证授权执行者接收度量认证查询请求响应信息,确定需要进行度量认 证,向用户设备度量引擎发送度量认证请求信息;步骤408,用户设备度量引擎接收度量认证请求信息,向用户设备发送请求获取度 量认证信息;本步骤中,用户设备度量引擎按照策略预先定义的信息,向用户设备发送相应的 请求获取度量认证信息。步骤409,用户设备接收请求获取度量认证信息,将对应的自身的度量认证信息发 送至用户设备度量引擎;步骤410,用户设备度量引擎接收度量认证信息,执行对用户设备的度量认证,向 认证授权执行者返回度量认证请求响应信息;本步骤中,用户设备度量引擎根据获取的该用户设备的度量信息,对该度量信息 进行完整性处理,形成度量值,与预先存储的用户注册的度量值进行匹配比对,如果匹配比 对一致,则向认证授权执行者返回度量认证请求响应信息,携带绑定成功信息;如果匹配比 对不一致,则向认证授权执行者返回度量认证请求响应信息,携带绑定失败信息或注册提 /J^fn 息。步骤411,认证授权执行者接收度量认证请求响应信息,如果确定包含绑定成功信 息,向身份认证策略模块发送带外身份认证查询请求信息;步骤412,身份认证策略模块接收带外身份认证查询请求信息,查询存储的身份认 证策略,向认证授权执行者返回带外身份认证查询请求响应信息;本步骤中,身份认证策略模块接收带外身份认证查询请求信息,查询自身存储的 身份认证策略,如果该用户的身份认证策略不包含带外身份认证注册信息,向认证授权执 行者返回带外身份认证查询请求响应信息,通知用户设备可以进入业务系统;如果包含带 外身份认证注册信息,向认证授权执行者返回带外身份认证查询请求响应信息,通知认证 授权执行者执行带外身份认证。步骤413,认证授权执行者接收带外身份认证查询请求响应信息,确定需要进行带 外身份认证,向带外身份认证服务器发送带外身份认证请求信息;步骤414,带外身份认证服务器接收带外身份认证请求信息,生成带外身份认证凭 证信息,发送至用户设备;本步骤中,带外身份认证服务器接收带外身份认证请求,生成带外身份认证凭证 信息,如一次密码、电话、短消息、邮件等,并通过传输系统,例如,短消息系统、电话或邮件等方式发送至用户设备。实际应用中,为了信息传输的安全性,发送带外身份认证凭证信息的传输系统网 络与身份认证的网络不同。步骤415,用户设备接收带外身份认证凭证信息并返回给带外身份认证服务器;本步骤中,用户设备接收带外身份认证凭证信息,通过与接收带外身份认证凭证 信息同样的传输系统发送至带外身份认证服务器。步骤416,带外身份认证服务器接收带外身份认证凭证信息,向认证授权执行者返 回带外身份认证请求响应信息;本步骤中,带外身份认证服务器将接收的带外身份认证凭证信息与自身发送至用 户的带外身份认证凭证信息进行验证,如果一致,则带外身份认证通过,向认证授权执行者 返回带外身份认证请求响应信息,携带带外身份认证成功信息;如果在预设的时间窗口内 没有接收到用户的反馈信息,或用户返回的信息与自身发送至用户的信息不一致,则向认 证授权执行者返回带外身份认证请求响应信息,携带带外身份认证失败信息,或注册提示 fn息ο步骤417,认证授权执行者接收带外身份认证请求响应信息,确定带外身份认证通 过,通知用户设备可以进入业务系统;本步骤中,如果返回的带外身份认证请求响应信息包含带外身份认证失败信息, 或注册提示信息,通知用户设备带外身份认证失败或重新进行注册,拒绝用户设备进入业 务系统。步骤418,用户设备进入业务系统,执行业务操作,业务系统向用户设备返回相应 的业务操作结果。至此,该流程结束。由上述实施例可见,本发明提供的一种实现身份认证的方法及系统,在现有普通 身份认证技术的基础上,通过认证授权执行者向用户设备度量引擎发送度量认证请求信 息,用户设备度量引擎与用户设备交互获取用户设备的度量认证信息,对获取的度量信息 进行完整性处理,形成度量值,与预先存储的注册用户设备度量值进行匹配比对,如果匹配 比对一致,则通过认证授权执行者通知用户设备进入业务系统,从而通过增加对用户设备 的度量认证的方式来实现用户身份和用户使用的用户设备的绑定,可以阻止网络上针对身 份认证实施的大部分攻击、使攻击者攻击的难度加大;或者,在现有普通身份认证技术的基 础上,通过认证授权执行者向带外身份认证服务器发送带外身份认证请求信息,带外身份 认证服务器生成带外身份认证凭证信息,发送至用户设备,并验证用户设备返回的带外身 份认证凭证信息与自身发送至用户设备的带外身份认证凭证信息是否一致,如果一致,通 过认证授权执行者通知用户设备进入业务系统,从而阻断网络上对用户身份的攻击,解决 攻击者的中间攻击、连接劫持攻击等问题;或者,在现有普通身份认证技术的基础上,通过 增加对用户设备的度量认证方式来实现用户身份和用户使用的用户设备的绑定,阻止网络 上针对身份认证实施的大部分攻击;进一步地,再增加带外身份认证来阻断网络上对用户 身份的攻击,从而提高了身份认证的安全性、保障合法用户的利益,从根本上解决攻击者的 中间攻击、连接劫持攻击等问题。而且,本发明提供的身份认证的方法及系统能够和已经存 在各种身份认证系统相兼容,实施时无需对原有认证系统作过大修改,而能够大大提升身份认证系统的安全性。此外,该系统投入成本低、管理维护容易、用户使用方便,可以根据实 际的安全要求分阶段实施,逐步提高安全级别,能应用于各种要求对用户身份进行强认证 的场景,尤其适用于各种网上银行、手机银行、重要资源访问的强身份认证要求。
以上举较佳实施例,对本发明的目的、技术方案和优点进行了进一步详细说明,所 应理解的是,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的 精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
一种实现身份认证的带外身份认证服务器,其特征在于,所述带外身份认证服务器包括信息接收模块、信息处理模块、带外身份认证凭证信息存储模块、带外身份认证凭证信息比对模块、以及信息发送模块,其中,信息接收模块,用于将接收的来自认证授权执行者的带外身份认证请求信息、以及用户设备返回的带外身份认证凭证信息,发送至信息处理模块;信息处理模块,用于根据接收的带外身份认证请求信息,生成带外身份认证凭证信息,发送至带外身份认证凭证信息存储模块、以及信息发送模块;接收信息接收模块发送的用户设备返回的带外身份认证凭证信息,发送至带外身份认证凭证信息比对模块;带外身份认证凭证信息存储模块,用于存储信息处理模块生成的带外身份认证凭证信息;带外身份认证凭证信息比对模块,用于接收来自信息处理模块的带外身份认证凭证信息,验证是否与带外身份认证凭证信息存储模块存储的带外身份认证凭证信息一致,如果一致,向信息发送模块发送包含带外身份认证成功信息的带外身份认证请求响应信息;信息发送模块,用于将接收的带外身份认证请求响应信息以及带外身份认证凭证信息发送。
2.一种实现身份认证的系统,其特征在于,该系统包括认证授权执行者、带外身份认 证服务器、身份认证策略模块,其中,认证授权执行者,用于在确定用户设备通过普通身份认证,并获知用户设备需要执行 带外身份认证时,向带外身份认证服务器发送带外身份认证请求信息,进行带外身份认证; 如果确定带外身份认证成功,通知用户设备进入业务系统;带外身份认证服务器,用于接收带外身份认证请求信息,生成带外身份认证凭证信息, 发送至用户设备;验证用户设备返回的带外身份认证凭证信息与自身发送至用户设备的带 外身份认证凭证信息是否一致,如果一致,通过认证授权执行者通知用户设备进入业务系 统;身份认证策略模块,用于与认证授权执行者交互,确定自身预先存储的身份认证策略 中包含用户设备的带外身份认证注册信息,通知认证授权执行者执行对用户设备的带外身 份认证。
3.如权利要求2所述的系统,其特征在于,所述系统进一步包括用户设备度量引擎,用 于根据认证授权执行者发送的度量认证请求信息,与用户设备交互获取用户设备的度量认 证信息;对获取的度量认证信息进行度量处理,形成度量值,与预先存储的注册用户设备度 量值进行匹配比对,如果匹配比对一致,则通过认证授权执行者与身份认证策略模块交互 确定用户设备是否进行带外身份认证。
4.如权利要求3所述的系统,其特征在于,所述带外身份认证服务器包括信息接收模 块、信息处理模块、带外身份认证凭证信息存储模块、带外身份认证凭证信息比对模块、以 及信息发送模块,其中,信息接收模块,用于将接收的来自认证授权执行者的带外身份认证请求信息、以及用 户设备返回的带外身份认证凭证信息,发送至信息处理模块;信息处理模块,用于根据接收的带外身份认证请求信息,生成带外身份认证凭证信息, 发送至带外身份认证凭证信息存储模块、以及信息发送模块;接收信息接收模块发送的用户设备返回的带外身份认证凭证信息,发送至带外身份认证凭证信息比对模块;带外身份认证凭证信息存储模块,用于存储信息处理模块生成的带外身份认证凭证信息;带外身份认证凭证信息比对模块,用于接收来自信息处理模块的带外身份认证凭证信 息,验证是否与带外身份认证凭证信息存储模块存储的带外身份认证凭证信息一致,如果 一致,向信息发送模块发送包含带外身份认证成功信息的带外身份认证请求响应信息;信息发送模块,用于将接收的带外身份认证凭证信息发送至用户设备,以及将接收的 带外身份认证请求响应信息发送至认证授权执行者。
5.如权利要求3所述的系统,其特征在于,所述系统进一步包括普通身份认证服务 器,用于与用户设备、认证授权执行者交互,执行对用户的普通身份认证。
6.如权利要求3所述的系统,其特征在于,所述用户设备度量引擎包括度量信息收集 模块和度量信息校验模块,其中,度量信息收集模块,用于根据预先存储的度量信息策略以及接收的度量认证请求信 息,收集用户设备的度量认证信息;度量信息校验模块,用于对用户设备的度量认证信息进行度量处理,并将处理后形成 的度量值与预先存储的所述用户设备的注册用户设备度量值进行匹配比对,如果匹配比对 一致,通知所述用户设备通过身份认证。
7.一种实现身份认证的方法,其特征在于,该方法包括在确定用户设备通过普通身份认证后,认证授权执行者从身份认证策略模块获知用户 设备需要执行带外身份认证时,向带外身份认证服务器发送带外身份认证请求信息;带外身份认证服务器接收带外身份认证请求信息,生成带外身份认证凭证信息,发送 至用户设备,验证用户设备返回的带外身份认证凭证信息与自身生成的带外身份认证凭证 信息是否一致,如果一致,则通过认证授权执行者通知用户设备进入业务系统。
8.如权利要求7所述的方法,其特征在于,通过短消息系统、电话或邮件方式发送所述 带外身份认证凭证信息至所述用户设备。
全文摘要
本发明公开了一种实现身份认证的装置、系统及方法,在现有普通身份认证技术的基础上,通过增加对用户设备的度量认证方式来实现用户身份和用户使用的用户设备的绑定;或者,增加带外身份认证的方式;或者,通过增加对用户设备的度量认证以及带外身份认证相结合的方式来阻断网络上对用户身份的攻击,从而提高了身份认证的安全性、保障合法用户的利益,解决中间人攻击、连接劫持攻击等问题。而且,本发明提供的身份认证的系统能够和已经存在各种身份认证系统相兼容,实施时无需对原有认证系统作过大修改,投入成本低、管理维护容易、而且能够大大提升身份认证系统的安全性。
文档编号H04L9/32GK101951321SQ201010507248
公开日2011年1月19日 申请日期2008年10月23日 优先权日2008年10月23日
发明者姚俊武, 王四军 申请人:普天信息技术研究院有限公司