专利名称:支持登录验证的设备和进行登录验证的方法
技术领域:
本发明一般涉及多点登录验证技术。更具体地说,本发明涉及一种支持登录验证的设备和进行登录验证的方法。
背景技术:
诸如个人计算机、笔记本计算机和服务器的计算设备和诸如智能电器、无线通信终端的电子设备能够通过诸如显示器的各种接口和诸如互联网的各种连接,为用户提供访问各种功能、服务和资源的能力。相应地,需要提供限制和允许用户访问这些功能、服务和资源的机制。提出了在允许用户访问功能、服务和资源之前进行登录验证的用户登录机制。例 如,在DoS操作系统和Windows操作系统中,用户使用登录名和验证口令(PWD)进行登录验证。这类系统一般是把预先设置好的用户名和验证口令进行数据变化,如计算哈希值(Hash),并将计算结果保存在计算机设备中,以备用户下一次登录验证使用。随着信息技术的日益普及,用户需要进行登录验证的情形越来越多。用户需要记住大量的不同用户名和验证口令对。相应地,提出一种用单一网络名和密码进行多点登录验证的 OpenID 技术,例如参见 http://en. wikipedia. org/wiki/OpenID。在 OpenID 系统中,使用URI (统一资源标识符)(即,OpenID用户名)来标识用户,用户的验证口令被存储在OpenID服务网站上。当登录一个支持OpenID的网站时,输入注册过的OpenID用户名,然后用户当前登录的网站会跳转到OpenID服务网站。当用户在OpenID服务网站提供的登录验证界面输入验证口令并且验证通过后,用户会回到登录的网站并且已经成功登录。
发明内容
OpenID系统中验证过程是由OpenID服务网站完成的,即只有这个服务网站能验证用户身份,其他参与系统中的服务节点必须无条件信任这个服务网站。如果有欺骗者假冒OpenID服务网站,那么就能够使未经授权的用户绕过登录验证。在实际应用中,很多独立的服务节点需要独立地验证访问者的身份,而访问者自身也不愿意重复地配置多种凭证。所以需要一种机制,其保证访问者只需要持有唯一的验证凭证,并且允许不同的访问节点能独立地验证这些凭证。根据本发明的一个方面,提供一种支持登录验证的设备,包括获得装置,其获得用户的凭证中的第一加密信息、第二加密信息、和所有第一解密信息中与所述登录验证关联的第一解密信息,其中所述第一加密信息是通过使用第一加密方法对所述用户的唯一标识进行加密而获得的,所述第二加密信息是通过使用第二加密方法对所述标识进行加密而获得的;解密装置,其根据与所述登录验证关联的第二解密信息和与所述登录验证关联的第一解密信息,使用与所述第二加密方法对应的解密方法对所述第二加密信息进行解密,以获得所述标识;加密装置,其使用所述第一加密方法对所述标识加密以获得第三加密信息;和验证装置,其比较所述第一加密信息和第三加密信息,并且在所述第一加密信息和第三加密信息相同的情况下,确认所述登录验证成功并且允许所述用户访问相应的功能。根据另一个实施例,设备还可以包括接收装置,其从另一设备接收有关要在所述另一设备上进行另一登录验证的通知,其中所述获得装置进一步被配置为响应于所述通知获得所述凭证的内容;和发送装置,其向所述另一设备发送所获得的所述凭证的内容。根据另一个实施例,获得装置可以包括发送装置,其向另一设备发送有关要在所述支持登录验证的设备上进行登录验证的通知;和接收装置,其从所述另一设备接收响应所述通知而返回的所述凭证的内容。根据另一个实施例,验证装置也可以在第一加密信息和第三加密信息相同并且标识未被撤销的情况下,确认登录验证成功并且允许用户访问相应的功能。根据另一个实施例,令G1为阶为素数P的双线性群,gSGi的生成元,e =G1XG1-G2代表双线性映射,第一加密方法是应用单向函数,第二加密信息是ID ·Γ,其中ID表示所述标识,Y = e (g,g)y,第一解密信息为gt'其中不同第一解密信息的相应t值互不相同,所述 第二解密信息为gy/t,其中,与同一登录验证关联的第二解密信息与第一解密信息与相同的t值对应,t、r、y为Zp域中的随机数,与所述第二加密方法对应的解密方法为ID · YVe (gy/
t t · r\
,g )。根据另一个实施例,所有第一解密信息被加密为无法分离的形式,并且获得装置包括解密单元,其在要获得与所述登录验证关联的第一解密信息的情况下,将所述所有第一解密信息解密为能够分离的形式。根据本发明的另一个方面,提供一种进行登录验证的方法,包括获得用户的凭证中的第一加密信息、第二加密信息、和所有第一解密信息中与所述登录验证关联的第一解密信息,其中所述第一加密信息是通过使用第一加密方法对所述用户的唯一标识进行加密而获得的,所述第二加密信息是通过使用第二加密方法对所述标识进行加密而获得的;根据与所述登录验证关联的第二解密信息和与所述登录验证关联的第一解密信息,使用与所述第二加密方法对应的解密方法对所述第二加密信息进行解密,以获得所述标识;使用所述第一加密方法对所述标识加密以获得第三加密信息;和比较所述第一加密信息和第三加密信息,并且在所述第一加密信息和第三加密信息相同的情况下,确认所述登录验证成功并且允许所述用户访问相应的功能。根据另一个实施例,方法还可以包括从设备接收有关要在所述设备上进行另一登录验证的通知;响应于所述通知获得所述凭证的内容;和向所述设备发送所获得的所述凭证的内容。根据另一个实施例,获得步骤可以包括向设备发送有关要进行登录验证的通知;和从所述设备接收响应所述通知而返回的所述凭证的内容。根据另一个实施例,验证步骤可以包括在所述第一加密信息和第三加密信息相同并且所述标识未被撤销的情况下,确认所述登录验证成功并且允许所述用户访问相应的功倉泛。根据另一个实施例,令G1为阶为素数P的双线性群,gSh的生成元,e =G1XG1-G2代表双线性映射,第一加密方法是应用单向函数,第二加密信息是ID ·Γ,其中ID表示所述标识,Y = e (g,g)y,第一解密信息为gt'其中不同第一解密信息的相应t值互不相同,所述第二解密信息为gy/t,其中,与同一登录验证关联的第二解密信息与第一解密信息与相同的t值对应,t、r、y为Zp域中的随机数,与所述第二加密方法对应的解密方法为ID · YVe (gy/
t t · r\
,g )。根据另一个实施例,所有第一解密信息可以被加密为无法分离的形式,并且获得与登录验证关联的第一解密信息的步骤可以包括将所述所有第一解密信息解密为能够分离的形式。根据本发明的另一个方面,提供一种支持登录验证的系统,包括授权中心,其向用户提供凭证,并且向进行相应登录验证的设备提供与所述相应登录验证关联的第二解密信息,所述凭证包含第一加密信息、第二加密信息、和与相应登录验证关联的第一解密信息,其中所述第一加密信息是通过使用第一加密方法对所述用户的唯一标识进行加密而获得的,所述第二加密信息是通过使用第二加密方法对所述标识进行加密而获得的;和所述 设备,每个所述设备包括获得装置,其获得用户的凭证中的第一加密信息、第二加密信息、和所有第一解密信息中与要进行的登录验证关联的第一解密信息;解密装置,其根据与所述要进行的登录验证关联的第二解密信息和与所述要进行的登录验证关联的第一解密信息,使用与所述第二加密方法对应的解密方法对所述第二加密信息进行解密,以获得所述标识;加密装置,其使用所述第一加密方法对所述标识加密以获得第三加密信息;和验证装置,其比较所述第一加密信息和第三加密信息,并且在所述第一加密信息和第三加密信息相同的情况下,确认所进行的登录验证成功并且允许所述用户访问相应的功能。根据另一个实施例,所述设备中的一个设备还可以包括接收装置,其从所述设备中的另一设备接收有关要在所述另一设备上进行另一登录验证的通知,其中所述一个设备的获得装置进一步被配置为响应于所述通知获得所述凭证的内容;和发送装置,其向所述另一设备发送所获得的所述凭证的内容,并且其中,所述另一设备的获得装置可以包括发送单元,其向所述一个设备发送有关要在所述另一设备上进行所述另一登录验证的通知;和接收单元,其从所述一个设备接收响应所述通知而返回的所述凭证的内容。根据另一个实施例,所述验证装置可以进一步被配置为在所述第一加密信息和第三加密信息相同并且所述标识未被撤销的情况下,确认所述登录验证成功并且允许所述用户访问相应的功能。根据另一个实施例,令G1为阶为素数P的双线性群,gSh的生成元,e =G1XG1-G2代表双线性映射,所述第一加密方法是应用单向函数,所述第二加密信息是ID · Γ,其中ID表示所述标识,Y = e(g,g)y,所述第一解密信息为其中不同第一解密信息的相应t值互不相同,所述第二解密信息为gy/t,其中,与同一登录验证关联的第二解密信息与第一解密信息与相同的t值对应,t、r、y为Zp域中的随机数,与所述第二加密方法对应的所述解密方法为10.铲純气门。根据另一个实施例,所述所有第一解密信息可以被加密为无法分离的形式,并且所述获得装置可以包括解密单元,其在要获得与所述登录验证关联的第一解密信息的情况下,将所述所有第一解密信息解密为能够分离的形式。根据本发明的另一个方面,提供一种进行登录验证的方法,包括向用户提供凭证,并且向进行相应登录验证的设备提供与所述相应登录验证关联的第二解密信息,所述凭证包含第一加密信息、第二加密信息、和与相应登录验证关联的第一解密信息,其中所述第一加密信息是通过使用第一加密方法对所述用户的唯一标识进行加密而获得的,所述第二加密信息是通过使用第二加密方法对所述标识进行加密而获得的;和由所述设备中的一个设备获得用户的凭证中的第一加密信息、第二加密信息、和所有第一解密信息中与要进行的登录验证关联的第一解密信息;根据与所述要进行的登录验证关联的第二解密信息和与所述要进行的登录验证关联的第一解密信息,使用与所述第二加密方法对应的解密方法对所述第二加密信息进行解密,以获得所述标识;使用所述第一加密方法对所述标识加密以获得第三加密信息;和比较所述第一加密信息和第三加密信息,并且在所述第一加密信息和第三加密信息相同的情况下,确认所进行的登录验证成功并且允许所述用户访问相应的功能。根据另一个实施例,该方法还可以包括由所述一个设备从所述设备中的另一设备接收有关要在所述另一设备上进行另一登录验证的通知;响应于所述通知获得所述凭证的内容;和向所述另一设备发送所获得的所述凭证的内容,以及由所述另一设备向所述一 个设备发送有关要在所述另一设备上进行所述另一登录验证的通知;从所述一个设备接收响应所述通知而返回的所述凭证的内容;获得用户的凭证中的第一加密信息、第二加密信息、和所有第一解密信息中与所述另一登录验证关联的第一解密信息;根据与所述另一登录验证关联的第二解密信息和与所述另一登录验证关联的第一解密信息,使用与所述第二加密方法对应的解密方法对所述第二加密信息进行解密,以获得所述标识;使用所述第一加密方法对所述标识加密以获得第三加密信息;和比较所述第一加密信息和第三加密信息,并且在所述第一加密信息和第三加密信息相同的情况下,确认所述另一登录验证成功并且允许所述用户访问相应的功能。根据另一个实施例,验证可以包括在所述第一加密信息和第三加密信息相同并且所述标识未被撤销的情况下,确认所述登录验证成功并且允许所述用户访问相应的功能。根据另一个实施例,令G1为阶为素数P的双线性群,gSh的生成元,e =G1XG1-G2代表双线性映射,所述第一加密方法是应用单向函数,所述第二加密信息是ID · Γ,其中ID表示所述标识,Y = e(g,g)y,所述第一解密信息为其中不同第一解密信息的相应t值互不相同,所述第二解密信息为gy/t,其中,与同一登录验证关联的第二解密信息与第一解密信息与相同的t值对应,t、r、y为Zp域中的随机数,与所述第二加密方法对应的所述解密方法为10.铲純气门。根据另一个实施例,所有第一解密信息被加密为无法分离的形式,并且该方法还可以包括在要获得与所述登录验证关联的第一解密信息的情况下,将所述所有第一解密信息解密为能够分离的形式。
参照下面结合附图对本发明实施例的说明,会更加容易地理解本发明的以上和其它目的、特点和优点。在附图中,相同的或对应的技术特征或部件将采用相同或对应的附图标记来表示。在附图中不必依照比例绘制出单元的尺寸和相对位置。图I是图解根据本发明的一个实施例的支持登录验证的系统的概况的示意图。图2是图解根据本发明一个实施例的支持登录验证的设备的示例性结构的框图。图3是图解表项与服务节点之间的对应关系的一个例子的不意图。图4是图解表项与服务节点之间的对应关系的另一个例子的不意图。
图5是图解根据本发明一个实施例的进行登录验证的方法的示例性过程的流程图。图6是图解根据本发明一个实施例的支持登录验证的设备的示例性结构的框图。图7是图解根据本发明一个实施例的进行登录验证的方法的示例性过程的流程图。图8是图解根据本发明一个实施例的支持登录验证的设备的示例性结构的框图。图9是图解根据本发明一个实施例的进行登录验证的方法的示例性过程的流程图。图10是图解其中实现本发明的计算机的示例性结构的框图。·具体实施方式
·下面参照附图来说明本发明的实施例。应当注意,为了清楚的目的,附图和说明中省略了与本发明无关的、本领域普通技术人员已知的部件和处理的表示和描述。图I是图解根据本发明一个实施例的支持登录验证的系统100的概况的示意图。如图I所示,系统100包含授权机构101、用户U1 102! 用户Um 102m、和服务节点S1 103! Sn 103n。诸如个人计算机、笔记本计算机和服务器的计算设备,诸如智能电器、无线通信终端的电子设备和其它能够处理信息的设备可以通过诸如显示器的各种接口和诸如互联网的各种连接,为用户提供访问其各种功能、服务和资源的能力。如果只有经过授权的用户被允许访问这些功能、服务和资源,那么用户需要通过登录验证才能进行访问。不同的登录验证与相应的功能、服务、资源或其组合(这里,也将其简称为功能)相对应。在用户通过一个登录验证的情况下,允许其访问相应的功能、服务、资源或其组合。服务节点是对用户进行登录验证并且允许通过登录验证的用户访问相应功能、服务、资源的设备。例如,在用户启动其笔记本计算机并且以管理员身份登录进入操作系统(S卩,通过一个登录验证,例如输入用户名和密码)的情况下,用户被允许使用或启动笔记本计算机上的各种硬件和软件资源。相应地,与这个登录验证相对应的服务节点为笔记本计算机。例如,在用户启动笔记本计算机上安装的一个应用程序并且通过该应用程序的登录验证的情况下,或者用户通过笔记本计算机登录到因特网上的一个WEB(万维网)网站的情况下,与该应用程序的登录验证相对应的服务节点是笔记本计算机,与该WEB网站的登录验证相对应的服务节点是该WEB网站所驻留的设备。例如,在用户与门禁系统的控制器进行登录验证的情况下,与该控制器的登录验证相对应的服务节点是该控制器。需要注意,相同的设备可以对应于不止一个服务节点。例如,在一个服务器计算机上,进入操作系统需要一个登录验证,启动一个WEB服务器需要一个登录验证,进入WEB服务器托管的WEB网站需要一个登录验证。因而,这个服务器计算机对应于三个服务节点。授权机构101分别为服务节点IOS1 103n生成解密信息D1 Dn。授权机构101根据用户102! 102mm得到的访问服务节点103! 103n的授权,分别为用户 102m生成相应的登录凭证C1 cm。对于每个用户102i,授权机构101为该用户注册一个唯一的标识(ID)。用户的ID可以由授权机构101生成,也可以由用户指定,只要保证其唯一并且满足预定取值要求。预定取值要求取决于登录验证机制所采用的密码。用户102i的登录凭证Ci包含加密信息A、加Si目息 B、和解目息五一{五力,·..,E} > ji,·.{I ...,π}。加密信息A是通过使用加密方法CM1对用户的ID进行加密而获得的,即A =CM1 (ID)。加密方法CM1可以基于任何密码体系,例如对称密钥密码、非对称密钥密码的加密方法。此外,加密方法CM1也可以是单向函数F。加密信息B是通过使用另一加密方法CM2对用户的ID进行加密而获得的,即B =CM2 (ID)。对于一个解密信息Ej,根据与服务节点103」的登录验证关联的解密信息Dj和解密信息Ep使用与加密方法CM2对应的解密方法DM2对加密信息B = CM2 (ID)进行解密,能够获得ID。也就是说,ID = DM2(B, Dj, Ej)。可以通过各种方式来实现加密方法CM2和解密方法DM2。例如,通过用密钥G来加密ID以获得加密信息B,并且在没有密钥G的情况下,根据解密信息&和解密信息得到密钥G以对加密信息B进行解密。可以看出,登录凭证Ci包含的解密信息Ej意味着用户102i被授权访问服务节点 103」,即允许通过服务节点103」的登录验证。从授权中心101获得登录凭证的用户在访问被授权访问的服务节点时,可以通过出示登录凭证来通过服务节点的登录验证。可以通过各种方式来存储和获得登录凭证。例如,可以把登录凭证存储在诸如磁盘、光盘、存储器卡的存储介质中,也可以在本地读取存储介质中存储的登录凭证并且通过诸如有线连接、无线连接的通信连接把所读取的登录凭证传送到进行登录验证的位置。图2是图解根据本发明一个实施例的支持登录验证的设备200的示例性结构的框图。如图2所示,设备200包含获得装置201、解密装置202、加密装置203和验证装置204。当用户U请求访问设备200管理的功能、服务或资源时,设备200可以提示用户U出示其登录凭证C并且对登录凭证C进行登录验证。在通过登录验证后,设备200允许用户U访问期望的功能、服务或资源。获得装置201获得用户的登录凭证C中的加密信息A、加密信息B和解密信息E中与要进行的登录验证V,即进行该登录验证V的服务节点103」(即设备200)关联的解密信息Ε」。可以通过各种方式使解密信息Ej与登录验证V,即进行该登录验证的服务节点关联。根据一个方式,可以在登录凭证中包含一个列表,列表中的每一项对应所有服务节点之一。每个服务节点知道列表中与其对应的表项的位置(例如,序号)。在这样的情况下,如果一个表项中未包含解密信息,则表明该登录凭证不包含访问相应服务节点的授权。包含解密信息的表项的内容可以称为非空的解密信息,未包含解密信息的表项的内容可以称为空的解密信息。图3图解了一个简单的例子,其中通过虚线示出了表项与服务节点之间的对应关系。如图3所示,列表中服务节点Si的相应表项Ii的序号i等于服务节点Si的序号i。图4图解了一个更加复杂的例子,其中列表中服务节点Si的相应表项Ik的序号k是服务节点Si的序号i的散列值H(i)。根据另一个方式,在登录凭证中,每个解密信息Ej可以附有或关联有唯一的标识信息,各个服务节点(例如,设备200)知道其负责的登录验证与相应解密信息的标识信息之间的对应关系。因而,可以在登录凭证中寻找该标识信息。如果找到该标识信息,则能够找到该标识信息所附于或所关联到的解密信息。在这样的情况下,登录凭证可以只包含非空的解密信息。根据另一个方式,解密信息可以由多个部分组成,并且这些部分位于登录凭证中的不同位置。相应的服务节点(例如,设备200)知道该解密信息的各个部分在登录凭证中的位置。应当理解,这里列出的关联方式只是出于说明的目的,解密密钥与服务节点的关联方式不限于这里列出的方式。解密装置202根据与登录验证V关联的解密信息Ej和来自授权中心101的解密信息Dp使用与加密方法CM2对应的解密方法DM2对加密信息B进行解密,以获得用户的标 识 ID ( SP,ID = DM2 (B, Dj, Ej))。加密装置203使用加密方法CM1对标识ID加密以获得加密信息A’ = CM1 (ID)。验证装置204比较加密信息A和加密信息A’,并且在加密信息A和加密信息A’相同的情况下,确认登录验证V成功并且允许用户访问相应的功能。在存在多个如图2所示的设备(例如,服务节点\,···,SiJ的情况下,如果用户希望访问这些设备提供的功能,可以分别向这些设备出示其登录凭证C。这些设备的获得装置可以分别获得登录凭证C中的加密信息A、B和相应的解密信息尽,。这些设备的解密装置分别用其解密信息A·,和相应的解密信息&对加密信息B进行解密以获得用户的标识ID。这些设备的解密装置分别用其解密信息Av和相应的解密信息尽,对加密信息B进行解密以获得用户的标识ID。这些设备的加密装置分别用加密方法CM1对标识ID进行加密以获得加密信息A’。这些设备的验证装置分别确定各自获得的加密信息A’是否与加密信息A相同。如果相同,则登录验证通过。因而,用户能够使用单一登录凭证进行多点登录验证,并且各个登录验证是由各个设备完成的。图5是图解根据本发明一个实施例的进行登录验证的方法500的示例性过程的流程图。如图5所示,方法500从步骤501开始。在步骤503,接收到用户访问服务节点的请求或通知。在步骤505,提示用户出示登录凭证C。在步骤507,获得用户输入的登录凭证C中的加密信息A、加密信息B和解密信息E中与要进行的登录验证V关联的解密信息Ε」。在步骤509,根据与登录验证V关联的解密信息Ej和来自授权中心的解密信息Dj,使用与加密方法CM2对应的解密方法DM2对加密信息B进行解密,以获得用户的标识ID ( SP,ID = DM2 (B, Dj, Ej))。在步骤511,使用加密方法CM1对标识ID加密以获得加密信息A’ = CM1 (ID)。在步骤513,比较加密信息A和加密信息A’。如果加密信息A和加密信息A’相同,则在步骤515确认登录验证V成功并且允许用户访问相应的功能。接着方法在步骤519结束。此外,在步骤513,如果加密信息A和加密信息A’不相同,则在步骤517确认登录验证V不成功并且拒绝用户访问相应的功能。接着方法在步骤519结束。
应当注意,一个支持登录验证的设备也可以被用户用来访问另一个支持登录验证的设备。图6是图解根据本发明一个实施例的支持登录验证的设备600的示例性结构的框图。图6所示的设备600可以被用户用来访问另一个支持登录验证的设备(例如,下文说明的设备800)。如图6所示,设备600包含获得装置601、解密装置602、加密装置603、验证装置604、接收装置605和发送装置606。解密装置602、加密装置603、验证装置604分别与结合图2说明的解密装置202、加密装置203、验证装置204功能相同,这里不在详细说明。当用户U请求访问设备600管理的功能、服务或资源时,设备600可以提示用户U出示其登录凭证C并且对登录凭证C进行登录验证。此时获得装置601获得用户的登录凭证C中的加密信息A、加密信息B和解密信息E中与要进行的登录验证V,即进行该登录验证V的服务节点103」(即设备600)关联的解密信息Ε」。接着由解密装置602、加密装置603、验证装置604完成登录验证V。
此外,用户可以通过设备600来访问另一个支持登录验证的设备。例如,可以将设备600作为客户端来访问WEB网站提供的服务。设备600提供的访问另一设备的功能的功能可以是用户通过登录验证后才允许使用的功能,也可以是不经登录验证便能够使用的功倉泛。为访问另一设备的功能,设备600可以向另一设备发出访问请求。另一设备会相应返回要求登录验证的通知。接收装置605从另一设备接收有关要在另一设备上进行另一登录验证的通知。获得装置601进一步被配置为响应于该通知获得用户凭证C的内容。接着,发送装置606向另一设备发送所获得的用户凭证C的内容。在通过另一设备的登录验证后,另一设备允许用户通过设备600访问其提供的功倉泛。图7是图解根据本发明一个实施例的进行登录验证的方法700的示例性过程的流程图。如图7所示,方法700从步骤701开始。在步骤703,确定是接收到用户访问本设备的请求,还是用户通过本设备请求访问另一设备。如果确定接收到用户访问本设备的请求,则方法700执行步骤705。步骤705及后续的步骤707、709、711、713、715、717、719分别与结合图5说明的步骤505、507、509、511、513、515、517、519功能相同,这里不再详细说明。如果在步骤703确定用户通过本设备请求访问另一设备,则执行步骤721。在步骤721,从另一设备接收有关要在另一设备上进行另一登录验证的通知。在步骤723,响应于该通知获得用户凭证的内容。在步骤725,向另一设备发送所获得的用户凭证的内容。接着方法在步骤719结束。根据结合图6和7描述的实施例,在本设备和另一设备之间实现较松散的耦合,避免由另一设备直接控制本设备来访问登录凭证,从而提高了本设备的安全性,也便于跨平台进行登录验证。在用户本地访问设备的情况下,可以通过设备的输入装置输入登录凭证的内容。在用户从远程设备访问设备的情况下,设备可以通过诸如代理、插件或远程控制协议的方式在远程设备上读取登录凭证的内容。然而,远程设备也可能未提供相应支持以实现这样的方式。因而,设备可以通过与远程设备进行消息通信的方式来远程获得登录凭证,以提供允许用户从远程设备进行访问的途径。图8是图解根据本发明一个实施例的支持登录验证的设备800的示例性结构的框图。图8所示的设备800可以通过与另一个设备(例如,设备600)进行消息通信来远程获得登录凭证。如图8所示,设备800包含获得装置801、解密装置802、加密装置803和验证装置804。解密装置802、加密装置803、验证装置804分别与结合图2说明的解密装置802、加密装置803、验证装置804功能相同,这里不在详细说明。当本地用户U请求访问设备800管理的功能、服务或资源时,设备800可以提示用户U出示其登录凭证C并且对登录凭证C进行登录验证。此时获得装置801获得用户的登录凭证C中的加密信息A、加密信息B和解密信息E中与要进行的登录验证V,即进行该登 录验证V的服务节点103」(即设备800)关联的解密信息E」。接着由解密装置802、加密装置803、验证装置804完成登录验证V。此外,远程用户可以从另一设备远程访问设备800。相应地,获得装置800可以包括发送单元810和接收单元811。在远程用户希望从另一设备远程访问设备800的情况下,例如在收到远程用户从另一设备发送的访问请求的情况下,发送单元810向另一设备发送有关要在设备800上进行登录验证的通知。另一设备收到通知后,在本地读取用户凭证的内容并且发送给设备800。相应地,接收单元811从另一设备接收响应上述通知而返回的登录凭证的内容。获得装置801可以从接收的登录凭证的内容中获得加密信息A、加密信息B和解密信息E中与要进行的登录验证V关联的解密信息E」。接着由解密装置802、加密装置803、验证装置804完成登录验证V。图9是图解根据本发明一个实施例的进行登录验证的方法900的示例性过程的流程图。如图9所示,方法900从步骤901开始。在步骤903,确定是接收到本地用户访问本设备的请求,还是远程用户通过另一设备访问本设备的请求。如果确定接收到本地用户访问本设备的请求,则方法900执行步骤905。步骤905及后续的步骤907、909、911、913、915、917、919分别与结合图5说明的步骤505、507、509、511、513、515、517、519功能相同,这
里不再详细说明。如果在步骤903确定远程用户通过另一设备访问本设备的请求,则执行步骤921。在步骤921,向另一设备发送有关要在本设备上进行登录验证的通知。另一设备收到通知后,在本地读取用户凭证的内容并且发送给本设备。相应地,在步骤923,从另一设备接收响应上述通知而返回的登录凭证的内容。接着到步骤907。应当理解,也可以把结合图6和图8描述的实施例相组合,以及把结合图7和图9描述的实施例相组合。也就是说,在基于上述组合的设备和方法中,用户既可以通过本设备完成远程设备的登录验证以访问远程设备,也可以经由消息通信允许用户使用远程设备通过本设备的登录验证而访问本设备。可能存在由于丢失登录凭证或取消授权等等而需要撤销登录凭证的情形。在这样的情形下,授权中心可以维护关于被撤销的用户的信息,例如通过包含被撤销用户的ID的撤销列表。授权中心定期地、响应关于被撤销用户的信息的变化(撤销或恢复)或响应查询请求而向各个服务节点提供该信息。或者,服务节点可以向授权中心查询具体用户是否被撤销。相应地,在根据本发明的实施例的设备中,验证装置也可以在加密信息A和加密信息A’相同并且标识未被撤销的情况下,确认登录验证成功并且允许用户访问相应的功能。验证装置可以根据授权中心提供的关于被撤销的用户的信息来确定标识是否被撤销,也可以向授权中心查询标识是否被撤销。相应地,在根据本发明的实施例的方法中,验证步骤可以包括在加密信息A和加密信息A’相同并且标识未被撤销的情况下,确认登录验证成功并且允许用户访问相应的功能。可以根据授权中心提供的关于被撤销的用户的信息来确定标识是否被撤销,也可以向授权中心查询标识是否被撤销。 在根据本发明的实施例的一个具体实现中,可以令G1为阶为素数P的双线性群,g为G1的生成元,e =G1XG1 — G2代表双线性映射。加密方法CM1是单向函数F。对于唯一标识为ID的用户,其登录凭证中的加密信息A是F(ID),加密信息B是ID · Y' Y = e(g, g)y。对于登录凭证中包含的每个解密信息EpjEfgV。不同解密信息Ej的相应tj值互不相同。每个解密信息的相应解密信息h为其中r、y为Zp域中的随机数。解密方法 DM2* n>Yle、g \ gtjr)= ID· e(g, gf'rle{g,g)(ylt^r) =ID· e(g, gY'r/ e(g, gY'r= ID。由于解密信息E涉及到用户的授权,可以将登录凭证中的解密信息E加密为不能分离出各个解密信息Ej的形式,以改进登录凭证的安全性。这种加密可以通过各种方式来实现。例如,可以把解密信息E(和/或相关标识信息,如果存在)加密为一个数据块,只有将这个数据块解密,才能够分离出各个解密信息Ε」。例如,可以把解密信息E (和/或相关标识信息,如果存在)打乱到一个数据块中,只有知道打乱的规则才能够分离出各个解密信息Ej。相应地,在根据本发明的实施例的设备中,获得装置可以包括解密单元,其在要获得与登录验证关联的解密信息的情况下,将所有解密信息E解密为能够分离的形式。相应地,在根据本发明的实施例的方法中,获得步骤可以包括在要获得与登录验证关联的解密信息的情况下,将所有解密信息E解密为能够分离的形式。图10是示出其中实现本发明的计算机的示例性结构的框图。在图10中,中央处理单元(CPU) 1001根据只读存储器(ROM) 1002中存储的程序或从存储部分1008加载到随机存取存储器(RAM) 1003的程序执行各种处理。在RAM 1003中,也根据需要存储当CPU 1001执行各种处理等等时所需的数据。CPU 100KROM 1002和RAM 1003经由总线1004彼此连接。输入/输出接口 1005也连接到总线1004。下述部件连接到输入/输出接口 1005 :输入部分1006,包括键盘、鼠标等等;输出部分1007,包括显示器,比如阴极射线管(CRT)、液晶显示器(IXD)等等,和扬声器等等;存储部分1008,包括硬盘等等;和通信部分1009,包括网络接口卡比如LAN卡、调制解调器等等。通信部分1009经由网络比如因特网执行通信处理。根据需要,驱动器1010也连接到输入/输出接口 1005。可拆卸介质1011比如磁盘、光盘、磁光盘、半导体存储器等等根据需要被安装在驱动器1010上,使得从中读出的计算机程序根据需要被安装到存储部分1008中。在通过软件实现上述步骤和处理的情况下,从网络比如因特网或存储介质比如可拆卸介质1011安装构成软件的程序。本领域的技术人员应当理解,这种存储介质不局限于图10所示的其中存储有程序、与方法相分离地分发以向用户提供程序的可拆卸介质1011。可拆卸介质1011的例子 包含磁盘、光盘(包含光盘只读存储器(⑶-ROM)和数字通用盘(DVD))、磁光盘(包含迷你盘(MD)和半导体存储器。或者,存储介质可以是ROM 1002、存储部分1008中包含的硬盘等等,其中存有程序,并且与包含它们的方法一起被分发给用户。在前面的说明书中参照特定实施例描述了本发明。然而本领域的普通技术人员理解,在不偏离如权利要求书限定的本发明的范围的前提下可以进行各种修改和改变。
权利要求
1.一种支持登录验证的设备,包括 获得装置,其获得用户的凭证中的第一加密信息、第二加密信息、和所有第一解密信息中与所述登录验证关联的第一解密信息,其中所述第一加密信息是通过使用第一加密方法对所述用户的唯一标识进行加密而获得的,所述第二加密信息是通过使用第二加密方法对所述标识进行加密而获得的; 解密装置,其根据与所述登录验证关联的第二解密信息和与所述登录验证关联的第一解密信息,使用与所述第二加密方法对应的解密方法对所述第二加密信息进行解密,以获得所述标识; 加密装置,其使用所述第一加密方法对所述标识加密以获得第三加密信息;和 验证装置,其比较所述第一加密信息和第三加密信息,并且在所述第一加密信息和第三加密信息相同的情况下,确认所述登录验证成功并且允许所述用户访问相应的功能。
2.如权利要求I所述的支持登录验证的设备,还包括 接收装置,其从另一设备接收有关要在所述另一设备上进行另一登录验证的通知,其中所述获得装置进一步被配置为响应于所述通知获得所述凭证的内容;和 发送装置,其向所述另一设备发送所获得的所述凭证的内容。
3.如权利要求I所述的支持登录验证的设备,其中所述获得装置包括 发送单元,其向另一设备发送有关要在所述支持登录验证的设备上进行登录验证的通知;和 接收单元,其从所述另一设备接收响应所述通知而返回的所述凭证的内容。
4.如权利要求I至3中任何一个所述的支持登录验证的设备,其中,所述验证装置进一步被配置为在所述第一加密信息和第三加密信息相同并且所述标识未被撤销的情况下,确认所述登录验证成功并且允许所述用户访问相应的功能。
5.如权利要求I至4中任何一个所述的支持登录验证的设备,其中,令G1为阶为素数P的双线性群,g为G1的生成元,e =G1XG1 — G2代表双线性映射, 所述第一加密方法是应用单向函数,所述第二加密信息是ID 其中ID表示所述标识,Y = e(g, g)y, 所述第一解密信息为其中不同第一解密信息的相应t值互不相同, 所述第二解密信息为gyA,其中,与同一登录验证关联的第二解密信息与第一解密信息与相同的t值对应,t、r、y为Zp域中的随机数, 与所述第二加密方法对应的所述解密方法为ID YVe(gy/t,gt’D。
6.如权利要求I至5中任何一个所述的支持登录验证的设备,其中,所述所有第一解密信息被加密为无法分离的形式,并且 所述获得装置包括 解密单元,其在要获得与所述登录验证关联的第一解密信息的情况下,将所述所有第一解密信息解密为能够分离的形式。
7.一种进行登录验证的方法,包括 获得用户的凭证中的第一加密信息、第二加密信息、和所有第一解密信息中与所述登录验证关联的第一解密信息,其中所述第一加密信息是通过使用第一加密方法对所述用户的唯一标识进行加密而获得的,所述第二加密信息是通过使用第二加密方法对所述标识进行加密而获得的; 根据与所述登录验证关联的第二解密信息和与所述登录验证关联的第一解密信息,使用与所述第二加密方法对应的解密方法对所述第二加密信息进行解密,以获得所述标识;使用所述第一加密方法对所述标识加密以获得第三加密信息;和比较所述第一加密信息和第三加密信息,并且在所述第一加密信息和第三加密信息相同的情况下,确认所述登录验证成功并且允许所述用户访问相应的功能。
8.如权利要求7所述的进行登录验证的方法,还包括 从设备接收有关要在所述设备上进行另一登录验证的通知; 响应于所述通知获得所述凭证的内容;和 向所述设备发送所获得的所述凭证的内容。
9.如权利要求7所述的进行登录验证的方法,其中所述获得包括 向设备发送有关要进行登录验证的通知;和 从所述设备接收响应所述通知而返回的所述凭证的内容。
10.如权利要求7至9中任何一个所述的进行登录验证的方法,其中,所述验证包括在所述第一加密信息和第三加密信息相同并且所述标识未被撤销的情况下,确认所述登录验证成功并且允许所述用户访问相应的功能。
11.如权利要求7至10中任何一个所述的进行登录验证的方法,其中,令G1为阶为素数P的双线性群,g为G1的生成元,e =G1XG1 — G2代表双线性映射, 所述第一加密方法是应用单向函数,所述第二加密信息是ID 其中ID表示所述标识,Y = e(g, g)y, 所述第一解密信息为其中不同第一解密信息的相应t值互不相同, 所述第二解密信息为gyA,其中,与同一登录验证关联的第二解密信息与第一解密信息与相同的t值对应,t、r、y为Zp域中的随机数, 与所述第二加密方法对应的所述解密方法为ID YVe(gy/t,gt’D。
12.如权利要求7至11中任何一个所述的进行登录验证的方法,其中,所述所有第一解密信息被加密为无法分离的形式,并且 所述获得与所述登录验证关联的第一解密信息包括 将所述所有第一解密信息解密为能够分离的形式。
13.一种支持登录验证的系统,包括 授权中心,其向用户提供凭证,并且向进行相应登录验证的设备提供与所述相应登录验证关联的第二解密信息,所述凭证包含第一加密信息、第二加密信息、和与相应登录验证关联的第一解密信息,其中所述第一加密信息是通过使用第一加密方法对所述用户的唯一标识进行加密而获得的,所述第二加密信息是通过使用第二加密方法对所述标识进行加密而获得的;和 所述设备,每个所述设备包括 获得装置,其获得用户的凭证中的第一加密信息、第二加密信息、和所有第一解密信息中与要进行的登录验证关联的第一解密信息; 解密装置,其根据与所述要进行的登录验证关联的第二解密信息和与所述要进行的登录验证关联的第一解密信息,使用与所述第二加密方法对应的解密方法对所述第二加密信息进行解密,以获得所述标识; 加密装置,其使用所述第一加密方法对所述标识加密以获得第三加密信息;和验证装置,其比较所述第一加密信息和第三加密信息,并且在所述第一加密信息和第三加密信息相同的情况下,确认所进行的登录验证成功并且允许所述用户访问相应的功倉泛。
14.如权利要求13所述的支持登录验证的系统,其中所述设备中的一个设备还包括接收装置,其从所述设备中的另一设备接收有关要在所述另一设备上进行另一登录验证的通知,其中所述一个设备的获得装置进一步被配置为响应于所述通知获得所述凭证的内容;和 发送装置,其向所述另一设备发送所获得的所述凭证的内容,并且 其中,所述另一设备的获得装置包括 发送单元,其向所述一个设备发送有关要在所述另一设备上进行所述另一登录验证的通知;和 接收单元,其从所述一个设备接收响应所述通知而返回的所述凭证的内容。
15.如权利要求13或14所述的支持登录验证的系统,其中,所述验证装置进一步被配置为在所述第一加密信息和第三加密信息相同并且所述标识未被撤销的情况下,确认所述登录验证成功并且允许所述用户访问相应的功能。
16.如权利要求13至15中任何一个所述的支持登录验证的系统,其中,令G1为阶为素数P的双线性群,g为G1的生成元,e =G1XG1 — G2代表双线性映射, 所述第一加密方法是应用单向函数,所述第二加密信息是ID 其中ID表示所述标识,Y = e(g, g)y, 所述第一解密信息为其中不同第一解密信息的相应t值互不相同, 所述第二解密信息为gyA,其中,与同一登录验证关联的第二解密信息与第一解密信息与相同的t值对应,t、r、y为Zp域中的随机数, 与所述第二加密方法对应的所述解密方法为ID YVe(gy/t,gt’D。
17.如权利要求13至16中任何一个所述的支持登录验证的系统,其中,所述所有第一解密信息被加密为无法分离的形式,并且 所述获得装置包括 解密单元,其在要获得与所述登录验证关联的第一解密信息的情况下,将所述所有第一解密信息解密为能够分离的形式。
18.一种进行登录验证的方法,包括向用户提供凭证,并且向进行相应登录验证的设备提供与所述相应登录验证关联的第二解密信息,所述凭证包含第一加密信息、第二加密信息、和与相应登录验证关联的第一解密信息,其中所述第一加密信息是通过使用第一加密方法对所述用户的唯一标识进行加密而获得的,所述第二加密信息是通过使用第二加密方法对所述标识进行加密而获得的;和由所述设备中的一个设备 获得用户的凭证中的第一加密信息、第二加密信息、和所有第一解密信息中与要进行的登录验证关联的第一解密信息; 根据与所述要进行的登录验证关联的第二解密信息和与所述要进行的登录验证关联的第一解密信息,使用与所述第二加密方法对应的解密方法对所述第二加密信息进行解密,以获得所述标识; 使用所述第一加密方法对所述标识加密以获得第三加密信息;和比较所述第一加密信息和第三加密信息,并且在所述第一加密信息和第三加密信息相同的情况下,确认所进行的登录验证成功并且允许所述用户访问相应的功能。
19.如权利要求18所述的进行登录验证的方法,还包括 由所述一个设备 从所述设备中的另一设备接收有关要在所述另一设备上进行另一登录验证的通知; 响应于所述通知获得所述凭证的内容;和 向所述另一设备发送所获得的所述凭证的内容,以及 由所述另一设备 向所述一个设备发送有关要在所述另一设备上进行所述另一登录验证的通知; 从所述一个设备接收响应所述通知而返回的所述凭证的内容; 获得用户的凭证中的第一加密信息、第二加密信息、和所有第一解密信息中与所述另一登录验证关联的第一解密信息; 根据与所述另一登录验证关联的第二解密信息和与所述另一登录验证关联的第一解密信息,使用与所述第二加密方法对应的解密方法对所述第二加密信息进行解密,以获得所述标识; 使用所述第一加密方法对所述标识加密以获得第三加密信息;和比较所述第一加密信息和第三加密信息,并且在所述第一加密信息和第三加密信息相同的情况下,确认所述另一登录验证成功并且允许所述用户访问相应的功能。
20.如权利要求18或19所述的进行登录验证的方法,其中,所述验证包括在所述第一加密信息和第三加密信息相同并且所述标识未被撤销的情况下,确认所述登录验证成功并且允许所述用户访问相应的功能。
21.如权利要求18至20中任何一个所述的进行登录验证的方法,其中,令G1为阶为素数P的双线性群,g为G1的生成元,e =G1XG1 — G2代表双线性映射, 所述第一加密方法是应用单向函数,所述第二加密信息是ID 其中ID表示所述标识,Y = e(g, g)y, 所述第一解密信息为其中不同第一解密信息的相应t值互不相同, 所述第二解密信息为gyA,其中,与同一登录验证关联的第二解密信息与第一解密信息与相同的t值对应,t、r、y为Zp域中的随机数, 与所述第二加密方法对应的所述解密方法为ID YVe(gy/t,gt’D。
22.如权利要求18至21中任何一个所述的进行登录验证的方法,其中,所述所有第一解密信息被加密为无法分离的形式,并且 所述方法还包括在要获得与所述登录验证关联的第一解密信息的情况下,将所述所有第一解密信息解密为能够分离的形式。
全文摘要
公开了支持登录验证的设备和进行登录验证的方法。设备包含获得装置,其获得凭证中的第一、第二加密信息和与登录验证关联的第一解密信息,第一加密信息是通过使用第一加密方法对用户唯一标识进行加密而获得的,第二加密信息是通过使用第二加密方法对所述标识进行加密而获得的;解密装置,其根据与第二解密信息和第一解密信息,使用与第二加密方法对应的解密方法对第二加密信息进行解密,以获得所述标识;加密装置,其使用第一加密方法对所述标识加密以获得第三加密信息;和验证装置,其比较第一加密信息和第三加密信息,且在第一加密信息和第三加密信息相同的情况下,确认登录验证成功并且允许用户访问相应的功能。
文档编号H04L29/06GK102811211SQ20111015762
公开日2012年12月5日 申请日期2011年5月30日 优先权日2011年5月30日
发明者张智辉 申请人:索尼公司