专利名称:安全的认证系统或方法
技术领域:
本发明涉及一种安全的认证系统或方法。
背景技术:
用户在不同终端上登陆同一网络账号和用户在同一终端上登陆不同网络账号时存在使用不便和安全性不高的问题。而可移动IC无法同时应用于多个网站。
发明内容
本发明是这样实现的,一种安全的认证系统或方法,其中,包括终端、服务方、中介方和可移动IC芯片,其中,终端的用户在服务方具有服务方账号,终端的用户在中介方具有中介方账号,其中,终端的用户能够将中介方账号和服务方账号相关联,中介方会记录该关联,其中,当用户使用终端通过中介方认证并登录中介方后,中介方会将与该用户的中介方账号相关联的服务方账号信息发送到终端,用户在终端的中介方界面上选择一个相关联的服务方账号后终端就会向该服务方请求登录用户的该服务方账号,服务方在收到终端的登录请求后会对终端进行服务方认证,只有服务方认证通过后服务方才会允许终端登录该服务方账号,其中,用户具有可移动IC芯片,服务方认证是通过该可移动IC芯片进行的,只有在该可移动IC芯片连接于终端时服务方认证才能通过。其中,可移动IC芯片中保存有一个认证标识的私有部分,中介方保存有该认证标识的公开部分,该私有部分和公开部分能够通过相对应的计算进行相互认证。其中,可移动 IC芯片是中介方发布的。其中,该认证标识是一对非对称加密的密钥。其中,私有部分是私钥,公开部分是公钥。其中,在服务方认证中,终端会向服务方发送以认证标识的私有部分计算生成的认证信息。其中,服务方会以认证标识的公开部分对该认证信息进行验证计算,只有验证计算结果正确时服务方认证才会通过。其中,认证信息有时间有效期,过期的认证信息会失效。其中,在服务方认证中,服务方和中介方之间会传递该认证标识的公开部分。只有该传递正确完成后,服务方认证才能通过。其中,或者是中介方向服务方传送该认证标识的公开部分,或者是服务方向中介方传送该认证标识的公开部分然后由中介方向服务方返回确认信息。其中,在用户将服务方账号与中介方账号相关联时,服务方和中介方之间会传递该认证标识的公开部分。只有该传递正确完成后,关联才能成功。其中,或者是中介方向服务方传送该认证标识的公开部分,或者是服务方向中介方传送该认证标识的公开部分然后由中介方向服务方返回确认信息。其中,在关联成功后,服务方会记录用户的认证标识的公开部分。其中,在用户将中介方账号和服务方账号相关联后,服务方也会记录该关联。
其中,终端登录服务方的程序对象与终端登录中介方的程序对象是两个不同的程序对象。其中,终端向服务方发送认证信息的程序对象与终端登录中介方的程序对象是两个不同的程序对象。其中,所述的可移动IC芯片保存着密钥,服务方认证中以该密钥进行计算和认证。其中,可移动IC芯片中保存着用户私钥。其中,在服务方认证中,服务方会通过用户公钥和可移动IC芯片中的用户私钥的对应关系通过计算对终端进行认证。其中,终端在登录用户的服务方账号后,终端与服务方就会建立连接,用户就可以通过该连接使用服务方的指定的资源和服务。其中,同一用户的不同服务方账号能与该用户的同一中介方账号相关联。其中,同一用户也可以在同一中介方拥有多个中介方账号。其中,在通过服务方认证后,终端和服务方通过所述认证标识的公开部分和私有部分所组成的密钥对建立加密连接。其中,在通过服务方认证后,终端和服务方通过所述认证标识的公开部分和私有部分所组成的密钥对传递密钥并建立加密连接。例如通过认证标识建立SSL连接。其中,终端、服务方和中介方通过互联网相连接。其中,三方的信息传递通过互联网来进行。其中,中介方与服务方也拥有相对应的约定算法,服务方能够通过该约定算法计算检查收到的确认信息是否来自中介方,或者,确认信息是以该约定算法进行加密的传递。 其中,所述约定算法可以是加密解密算法、或数字签名算法、或单向散列函数算法、或动态密码算法等等。其中,所述约定算法是非对称加密算法。其中,终端与服务方之间的信息传递不经过中介方,或者服务方允许终端登录而建立的连接不经过中介方。其中,服务方认证通过后服务方会允许来自终端的一个连接或端口登录,该连接或端口是终端向服务方发送所述以认证标识计算生成的认证信息的那个端口或连接。其中,在终端对服务方的登录中止后,终端需要重新进行服务方认证才能再登录。其中,服务方可以是通过互联网向终端提供资源和服务的服务器系统,如各种网站等。服务方也可以是在互联网上的其它用户的终端,例如以上相互认证就可应用于即时通讯系统中两个用户终端建立两个终端间点对点连接的握手过程。其中,中介方是在互联网上进行第三方认证的计算机系统。其中,终端是具有计算机功能的设备,如PC机、手机、服务器、服务器群组等。其中,用户也使用可移动IC芯片来登录中介方。
图1是本发明的网络结构示意图。
具体实施例方式实施例1在本实施例中,用户在中介方已注册有用户账号(AUID),用户在服务方也已注册有用户账号(APID)。其中,服务方是一个ICP。其中,用户已经将自己的服务方账号APID与中介方账号AUID关联起来,该关联关系同时保存在服务方和中介方的系统中。用户拥有中介方发布的USB密钥,USB密钥中保存有用户私钥和用户公钥,中介方系统中保存着与该用户的中介方账号对应的用户公钥。本实施例的具体步骤如下1)用户将可移动IC与终端相连接,用户使用终端的认证程序通过中介方认证,中介方向终端的认证程序返回与用户的中介方账号相关联的所有服务方账号信息;2)当用户在认证程序界面上点击登录服务方的选项时,认证程序在终端上新生成一个指向服务方地址的浏览器对象或其它特定程序的对象,该新生成的程序对象向服务方发送连接请求,该连接请求中包括用户的服务方账号、用户的中介方账号、服务方名称和生成时间,并且,该连接请求还包括用户公钥和以用户私钥进行的数字签名;3)在服务方收到来自用户的连接请求后,服务方向中介方发送一个认证请求, 该认证请求中包括用户在服务方的用户名、用户在中介方的用户名、服务方名称和用户公钥;4)在中介方收到来自服务方的认证请求后,中介方核对服务方发来的终端公钥与自己保存的用户公钥是否一致,如果用户公钥一致,那么中介方就会向服务方发送表示该用户公钥正确的确认信息;5)在服务方收到来自中介方的确认信息后,服务方以用户公钥验证用户的连接请求的数字签名是否正确,服务方还可以验证用户的连接请求是否过期,只有该连接请求的数字签名正确且未过期,该终端才能通过身份认证,服务方还可以基于用户公钥与终端上连接的可移动IC再进行几次问答响应,如果问答响应正确,则终端通过了服务方认证。6)服务方认证通过后,服务方就会允许终端登录用户的该服务方账号并建立连接。其中,终端接入的服务方的程序对象可以是浏览器或其它专用程序,接入后,用户就可以在终端上通过该程序连接和使用服务方的指定的服务和资源。其中,终端和服务方还可以通过用户公钥和用户私钥建立加密连接,具体可以有以下两种方式第一种方式是,服务方具有服务方私钥而终端可以获得服务方对应的公钥,在以上步骤2)中,在终端向服务方发送的连接请求中还包括有由服务方公钥加密的DES密钥, 终端和服务方以该DES密钥建立加密连接;第二种方式是,在以上步骤5)中,服务方以该用户公钥加密DES密钥并发送给终端,服务方和终端以该DES密钥建立加密连接。实施例2在本实施例中,用户在中介方已注册有用户账号(AUID),用户在服务方也已注册有用户账号(APID)。其中,服务方是一个ICP。其中,用户拥有中介方发布的USB密钥,USB 密钥中保存有用户私钥和用户公钥,中介方系统中保存着与该用户的中介方账号对应的用户公钥。其中,用户已经将自己的服务方账号APID与中介方账号AUID关联起来,该关联关系同时保存在服务方和中介方的系统中。同时,在关联过程中,服务方也同时保存了该用户的用户公钥。本实施例的具体步骤如下
1)用户将可移动IC与终端相连接,用户使用终端的认证程序通过中介方认证,中介方向终端的认证程序返回与用户的中介方账号相关联的所有服务方账号信息;
2)当用户在认证程序界面上点击登录服务方的选项时,认证程序在终端上新生成一个指向服务方地址的浏览器对象或其它特定程序的对象,该新生成的程序对象向服务方发送连接请求,该连接请求中包括用户的服务方账号、用户的中介方账号、服务方名称和生成时间,并且,该连接请求还包括用户公钥和以用户私钥进行的数字签名;
3)在服务方收到来自用户的连接请求后,服务方以用户公钥验证用户的连接请求的数字签名是否正确,服务方还可以验证用户的连接请求是否过期,只有该连接请求的数字签名正确且未过期,该终端才能通过身份认证,服务方还可以基于用户公钥与终端上连接的可移动IC再进行几次问答响应,如果问答响应正确,则终端通过了服务方认证。
4)服务方认证通过后,服务方就会允许终端登录用户的该服务方账号并建立连接。其中,终端接入的服务方的程序对象可以是浏览器或其它专用程序,接入后,用户就可以在终端上通过该程序连接和使用服务方的指定的服务和资源。
实施例3
在本实施例中,用户在中介方已注册有用户账号(AUID),用户在服务方也已注册有用户账号(APID)。其中,服务方是一个ICP。其中,用户拥有某CA发布的USB密钥,USB 密钥中保存有用户私钥和用户公钥。其中,服务方系统中保存着与该用户的服务方账号对应的用户公钥,这个保存可以是在用户注册服务方账号的过程中或在用户登录服务方账号后进行的。
其中,用户已经将自己的服务方账号APID与中介方账号AUID关联起来,该关联关系中介方的系统中。
本实施例的具体步骤如下
1)用户将可移动IC与终端相连接,用户使用终端的认证程序通过中介方认证,中介方向终端的认证程序返回与用户的中介方账号相关联的所有服务方账号信息;
2)当用户在认证程序界面上点击登录服务方的选项时,认证程序在终端上新生成一个指向服务方地址的浏览器对象或其它特定程序的对象,该新生成的程序对象向服务方发送连接请求,该连接请求中包括用户的服务方账号、用户的中介方账号、服务方名称和生成时间,并且,该连接请求还包括用户公钥和以用户私钥进行的数字签名;
3)在服务方收到来自用户的连接请求后,服务方以用户公钥验证用户的连接请求的数字签名是否正确,服务方还可以验证用户的连接请求是否过期,只有该连接请求的数字签名正确且未过期,该终端才能通过身份认证,服务方还可以基于用户公钥与终端上连接的可移动IC再进行几次问答响应,如果问答响应正确,则终端通过了服务方认证。
4)服务方认证通过后,服务方就会允许终端登录用户的该服务方账号并建立连接。其中,终端接入的服务方的程序对象可以是浏览器或其它专用程序,接入后,用户就可以在终端上通过该程序连接和使用服务方的指定的服务和资源。
当然,本发明还可根据具体情况或结合其它系统方法而产生许多其它实施例。
权利要求
1.一种安全的认证系统或方法,其中,包括终端、服务方、中介方和可移动IC芯片,其中,终端的用户在服务方具有服务方账号,终端的用户在中介方具有中介方账号,其中,终端的用户能够将中介方账号和服务方账号相关联,中介方会记录该关联,其中,当用户使用终端通过中介方认证并登录中介方后,中介方会将与该用户的中介方账号相关联的服务方账号信息发送到终端,用户在终端的中介方界面上选择一个相关联的服务方账号后终端就会向该服务方请求登录用户的该服务方账号,服务方在收到终端的登录请求后会对终端进行服务方认证,只有服务方认证通过后服务方才会允许终端登录该服务方账号,其中,用户具有可移动IC芯片,服务方认证是通过该可移动IC芯片进行的,只有在该可移动IC芯片连接于终端时服务方认证才能通过。
2.根据权利要求1所述的安全的认证系统或方法,其特征在于,可移动IC芯片中保存有一个认证标识的私有部分,中介方保存有该认证标识的公开部分,该私有部分和公开部分能够通过相对应的计算进行相互认证。
3.根据权利要求2所述的安全的认证系统或方法,其特征在于,该认证标识是一对非对称加密的密钥,其中,私有部分是私钥,公开部分是公钥。
4.根据权利要求2所述的安全的认证系统或方法,其特征在于,在服务方认证中,终端会向服务方发送以认证标识的私有部分计算生成的认证信息。
5.根据权利要求4所述的安全的认证系统或方法,其特征在于,服务方会以认证标识的公开部分对该认证信息进行验证计算,只有验证计算结果正确时服务方认证才会通过。
6.根据权利要求4所述的安全的认证系统或方法,其特征在于,在服务方认证中,服务方和中介方之间会传递该认证标识的公开部分。
7.根据权利要求2所述的安全的认证系统或方法,其特征在于,在用户将服务方账号与中介方账号相关联时,服务方和中介方之间会传递该认证标识的公开部分。
8.根据权利要求1所述的安全的认证系统或方法,其特征在于,在用户将中介方账号和服务方账号相关联后,服务方也会记录该关联。
9.根据权利要求1所述的安全的认证系统或方法,其特征在于,终端登录服务方的程序对象与终端登录中介方的程序对象是两个不同的程序对象。
10.根据权利要求1所述的安全的认证系统或方法,其特征在于,所述的可移动IC芯片保存着密钥,服务方认证中以该密钥进行计算和认证。
全文摘要
本发明为一种安全的认证系统或方法,以可移动IC的方式解决用户在不同终端上登陆同一网络账号和用户在同一终端上登陆不同网络账号时存在使用不便和安全性不高的问题。
文档编号H04L29/06GK102510336SQ201110397410
公开日2012年6月20日 申请日期2011年12月5日 优先权日2011年12月5日
发明者任少华 申请人:任少华