一种安全访问认证处理方法、用户终端和服务端与流程
技术领域
本发明实施例涉及信息安全技术领域,具体涉及一种安全访问认证处理方法、用户终端和服务端。
背景技术:
互联网用户易于受到应用用户身份,密码等私密信息被盗的攻击威胁,入侵者使用获得的私密信息在未经许可的第三方设备上访问用户隐私信息,消费或者转账等侵害操作。
目前有新的技术加强用户登录时的安全,如二次密码验证技术,需要每次登录应用,网络或者系统时使用附加的验证码输入或者输入外设的令牌设备产生的动态密钥,如软件令牌和RSA硬件令牌方法,这些方法增加了手动输入验证码步骤或硬件管理的成本,在提高安全的过程增加了用户使用复杂度;需要一种既提高安全性又简化或者不增加用户使用复杂度的技术。
很多应用使用移动智能设备的固定硬件的参数用来识别设备,如IMEI、计算机主机名、MAC地址、IMSI、计算机硬件序列号信息或者计算机系统固定参数的组合计算而得的信息等等,但是这些信息易于模拟,获得或已经泄漏不能满足对于设备的唯一鉴别的更高安全需求,所以不能用于认证访问授权的凭据来源。需要一种动态验证有效的凭证来保证机密性和有效性。
客户端证书认证理论上可以解决用户在登录时的唯一性认证,但是由于昂贵的解决方案和线下管理成本,目前互联架构无法实现为大部分客户端设备访问互联网提供这项安全服务,需要一种便宜和易于管理的自动化的技术增强用户登录,服务的验证。
目前用于验证和身份识别的硬件外设Key,如银行使用的U盾,RSA公司的SecurID,使用便携硬件单元存储密钥,使用离线方式分发客户端密钥保证安全,使用离线和静态人工维护的方式加载服务端密钥,通过存储密钥的硬件序列号或者设备ID关联签名密钥和验证密钥,这种方式解决了安全问题,也极大的限制了通用性;同时这种方法需要用户管理附加硬件的成本,尤其是如果密钥生命期限到期,目前商用的硬件Key设备,如RSA SecurID只能采取换取新的硬件的方法;需要一种能够在线产生和更新客户端密钥和服务端密钥并自动关联的技术和系统。
现在手机号码和邮件是人们经常使用的验证码和授权码的传递主要方式,如果授权短信码或其他形式的授权信息,二维码,邮件被盗用,就可能授权其他的设备访问应用账户,需要一种技术防止授权码或者验证码被冒用的情况下授权非法设备或者通过冒用的设备访问用户账户和服务,既需要一种授权验证码唯一对应指定应用账号和服务对指定用户端设备的授权或验证技术方法。
目前网络中使用的验证,签名等安全技术方法,都需要面对,生日攻击,暴力破解攻击或中间人攻击对产生凭证的密钥的威胁,需要一种能够改善或增强抗暴力破解攻击,生日攻击的威胁,可以侦测中间人攻击威胁的技术从而提高安全等级。
随着移动计算设备迅速普及,可穿戴设备和物联网发展,具备智能计算能力的设备会迅速扩大,需要被认证的设备对于认证的密钥需求会急剧上升,需要提供认证的密钥有巨大的扩展性,能够提供巨大的扩展空间用于未来物联网各种设备的识别和管理能力。
现有方法中,尚没有一种基于多动态设备验证共享码,动态密钥识别共享码混合独立安全单元用来提供设备应用及账户访问凭证的访问验证技术来解决上述问题。
技术实现要素:
要解决的技术问题是如何提高用户访问的安全性。
针对现有技术中的缺陷,本发明实施例提供一种安全访问认证处理方法、用户终端和服务端,可以有效提高用户访问的安全性。
第一方面,本发明实施例提供了一种安全访问认证处理方法,包括:
用户终端向设备应用关系验证服务端发送设备注册消息建立设备安全注册关系;
所述用户终端中向所述设备应用关系验证服务端发送授权请求消息,并根据所述设备安全注册关系建立应用及帐户与设备安全注册关系;
所述用户终端向应用提供服务端发送应用登陆请求消息;
所述应用提供服务端向所述用户终端发送要求设备应用验证消息;
所述用户终端向所述应用提供服务端发送设备应用访问凭证消息;
所述应用提供服务端处理并向所述设备应用关系验证服务端发送所述设备应用访问凭证消息;
所述设备应用关系验证服务端根据所述应用及帐户与设备安全注册关系对所述设备应用访问凭证消息验证,并向应用提供服务端发送应用安全访问认证结果;
应用提供服务端根据所述应用安全访问认证结果响应用户终端的应用登陆请求消息。
可选地,所述用户终端向设备应用关系验证服务端发送设备注册消息建立设备安全注册关系包括;
所述用户终端与所述设备应用关系验证服务端协商第一动态设备验证共享码和第二动态设备验证共享码,分别存储在用户终端和所述设备应用关系验证服务端;所述设备应用关系验证服务端为所述第一动态设备验证共享码分配对应的第一动态设备验证共享码注册ID,为所述第二动态设备验证共享码分配对应的第二动态设备验证共享码注册ID;
所述设备应用关系验证服务端根据所述设备应用关系验证服务端的所述第一动态设备验证共享码和第二动态设备验证共享码生成第一动态密钥识别共享码;
所述设备应用关系验证服务端向所述用户终端发送带所述第一动态设备验证共享码注册ID和第二动态设备验证共享码注册ID的动态设备共享码验证消息;其中,动态设备共享码验证消息包括:动态设备共享码验证消息子消息体凭证、动态设备共享码验证消息签名;
所述用户终端根据所述用户终端的所述第一动态设备验证共享码和第二动态设备验证共享码验证动态设备共享码验证消息子消息体凭证,使用所述设备应用关系验证服务器公钥验证所述动态设备共享码验证消息签名,验证通过后生成设备注册凭证;
所述用户终端向所述设备应用关系验证服务端发送携带所述设备注册凭证,所述第一动态设备验证共享码注册ID和第二动态设备验证共享码注册ID的设备注册消息;
所述设备应用关系验证服务端根据所述设备注册消息中的所述第一动态设备验证共享码注册ID和第二动态设备验证共享码注册ID对应的在设备应用关系验证服务端的所述第一动态设备验证共享码、所述第二动态设备验证共享码验证所述设备注册消息;
所述设备注册消息验证通过后,所述设备应用关系验证服务端向用户终端反馈携带设备注册确认结果和所述第一动态密钥识别共享码的设备注册确认消息。
可选地,所述设备注册消息包括:设备注册凭证、第一动态设备验证共享码注册ID、第二动态设备验证共享码注册ID中的一种或多种。
可选地,所述动态设备共享码验证消息包括:
动态设备共享码验证主消息体和动态设备共享码验证消息签名;
所述动态设备共享码验证消息主消息体包括动态设备共享码验证消息子消息体和动态设备共享码验证消息子消息体凭证;
所述子消息体包括第一动态设备验证共享码注册ID和第二动态设备验证共享码注册ID和随机数盐值;
所述动态设备共享码验证消息子消息体凭证是所述第一动态设备验证共享码和所述第二动态设备验证共享码产生的;
所述动态设备共享码验证消息签名是是所述设备应用关系验证服务器使用私钥对动态设备共享码验证消息主消息体签名得到的。
可选地,所述用户终端中向所述设备应用关系验证服务端发送授权请求消息,并根据所述设备安全注册关系建立应用及帐户与设备安全注册关系包括:
所述应用提供服务端接收所述用户终端的应用授权请求消息处理,并发送至所述设备应用关系验证服务端;
所述设备应用关系验证服务端根据所述应用授权请求消息生成动态授权码密文并发送至所述应用提供服务端;
所述应用提供服务端依序向所述用户终端发送所述动态授权码密文和随机生成数;
所述用户终端根据所述动态授权码和所述随机生成数生成带授权凭证的授权响应消息并发送至所述应用提供服务端,所述授权消息中包括所述随机生成数和动态授权码密文;
所述应用提供服务端接收所述用户终端的授权响应消息处理,并发送至所述设备应用关系验证服务端;
所述设备应用关系验证服务端根据所述设备安全注册关系验证所述授权响应消息后,再验证所述动态授权码密文并通过所述应用提供服务端向用户终端反馈应用确认结果。
可选地,所述设备应用关系验证服务端根据所述应用授权请求消息生成动态授权码密文包括:
根据所述授权请求消息生成动态授权码;
根据所述授权请求消息生成动态授权密钥;
使用所述动态授权密钥对所述动态授权码加密;
将包括所述动态授权码密文和第一动态密钥识别共享码的授权码消息发送至所述应用提供服务端。
可选地,所述设备应用关系验证服务端根据所述设备安全注册关系验证所述授权响应消息后,再验证授权码密文并通过所述应用提供服务端向用户终端反馈应用确认结果包括:
使用设备安全注册关系验证消息中的授权凭证是否匹配;然后使用设备安全注册关系服务端的授权码密钥解密授权码密文,验证解密后的授权码与所述设备应用关系验证服务端分配的授权码是否匹配;
如果都通过匹配,将该授权码对应的应用、用户ID、授权的服务操作和授权时间和设备关系添加到设备应用列表中。
可选地,还包括更新所述设备安全注册关系:
所述用户终端与所述设备应用关系验证服务端协商第三动态设备验证共享码和第四动态设备验证共享码,分别存储在用户终端和所述设备应用关系验证服务端;
所述设备应用关系验证服务端根据所述设备应用关系验证服务端的所述第三动态设备验证共享码和第四动态设备验证共享码生成第二动态密钥识别共享码;
所述设备应用关系验证服务端向所述用户终端发送带所述第二动态密钥识别共享码和第一动态密钥识别共享码的要求设备更新消息;
所述用户终端根据所述用户终端的所述第一动态设备验证共享码、第二动态设备验证共享码、所述第一动态密钥识别共享码、第三动态设备验证共享码、第四动态设备验证共享码和第二动态密钥识别共享码生成动态设备更新消息,并发送至所述设备应用关系验证服务端;所述动态设备更新消息包括用户终端更新注册凭证、所述第一动态密钥识别共享码和所述第二动态密钥识别共享码;
所述设备应用关系验证服务端根据所述设备应用关系验证服务端的第一动态设备验证共享码、第二动态设备验证共享码、所述第一动态密钥识别共享码、第三动态设备验证共享码、第四动态设备验证共享码和第二动态密钥识别共享码验证所述动态设备更新消息;
所述设备应用关系验证服务端根据所述设备应用关系验证服务端的第三动态设备验证共享码、第四动态设备验证共享码、第二动态密钥识别共享码、第一动态设备验证共享码、第二动态设备验证共享码和所述第一动态密钥识别共享码生成设备更新确认消息;
所述设备应用关系验证服务端向用户终端反馈设备更新注册确认结果。
可选地,所述设备应用关系验证服务端向用户终端反馈设备更新注册确认结果包括:
所述设备应用关系验证服务端向用户终端反馈设备更新确认消息;
所述用户终端根据所述用户终端的第二动态密钥识别共享码对应的第三动态设备验证共享码和第四动态设备验证共享码计算所述设备更新确认消息的主消息体凭证,并根据所述用户终端的第一动态密钥识别共享码对应的第一动态设备验证共享码和第二动态设备验证共享码计算所述设备更新确认消息的子消息体凭证,将计算到的主消息体凭证和子消息体凭证与消息中发送的对应主消息体凭证和子消息体凭证比较验证;
如验证都通过,则所述用户终端将所述用户终端的第三动态设备验证共享码,第四动态设备验证共享码和对应的所述第二动态密钥识别共享码设定为注册成功状态;
所述用户终端保存所述第二动态密钥识别共享码;
所述用户终端向所述设备应用关系验证服务端发送携带使用所述用户终端的第三动态设备验证共享码和第四动态设备验证共享码产生的设备注册凭证和所述第二动态密钥识别共享码的设备更新注册消息;
所述设备应用关系验证服务端根据所述设备应用关系验证服务端的第三动态设备验证共享码、第四动态设备验证共享码和第二动态密钥识别共享码验证所述设备更新注册消息;
所述设备应用关系验证服务端向用户终端反馈设备更新注册确认结果。
可选地,所述用户终端更新注册凭证包括所述动态设备更新消息主消息体凭证和所述动态设备更新消息子消息体凭证:
所述动态设备更新消息子消息体凭证是所述用户终端根据所述用户终端的所述第三动态设备验证共享码和第四动态设备验证共享码计算得到的;
所述动态设备更新消息主消息体凭证是所述用户终端根据所述用户终端的所述第一动态设备验证共享码和第二动态设备验证共享码计算得到的。
可选地,所述要求设备应用验证消息携带会话处理ID。
可选地,所述用户终端向所述应用提供服务端发送设备应用访问凭证消息包括:
产生包括所述会话处理ID的设备应用访问凭证消息体;计算与所述会话处理ID对应的设备应用访问凭证消息体凭证;
生成包括设备应用访问凭证消息体和设备应用访问凭证消息体凭证的设备应用访问凭证消息;
发送设备应用访问凭证消息给应用提供服务器。
可选地,所述设备应用关系验证服务端根据所述应用及帐户与设备安全注册关系对所述设备应用访问凭证消息验证:
使用第一动态密钥识别共享码在应用关系验证服务器内查找第一动态设备验证共享码和第二动态设备验证共享码;
使用第一动态设备验证共享码和第二动态设备验证共享码计算设备应用访问凭证消息的消息体凭证;
比较计算所得凭证与消息中发送的凭证是否一致;如果结果一致,则进一步检查对应的应用及帐户与设备安全注册关系是否具有消息中请求的应用及帐户的授权关系,从而得到检查结果。
另一方面,本发明实施例还提供一种安全访问认证用户终端,包括:
设备注册单元,用于向设备应用关系验证服务端发送设备注册消息建立设备安全注册关系;
应用授权单元,用于向所述设备应用关系验证服务端发送授权请求消息,并根据所述设备安全注册关系建立应用及帐户与设备安全注册关系;
登陆请求单元,用于向应用提供服务端发送应用登陆请求消息;
安全认证请求单元,用于通过应用提供服务端向所述设备应用关系验证服务端发送设备应用验证请求消息;所述设备应用访问凭证消息是应用提供服务端向所述登陆请求单元发送的要求设备应用验证消息生成的;
登陆单元,用于根据所述应用提供服务端的登陆响应结果响应登陆请求消息,所述登陆响应结果是应用提供服务端根据所述设备应用关系验证服务端所述应用及帐户与设备安全注册关系对所述设备应用访问凭证消息验证后生成的。
可选地,设备注册单元,包括:
第一动态设备验证共享码协商单元,用于与所述设备应用关系验证服务端协商产生第一动态设备验证共享码和第二动态设备验证共享码,并分别存储在用户终端和所述设备应用关系验证服务端;
设备注册请求单元,用于生成并向所述设备应用关系验证服务端发送携带设备注册凭证的设备注册消息;所述设备注册消息包括:第一动态设备验证共享码注册ID和第二动态设备验证共享码注册ID;
所述第一动态设备验证共享码注册ID和所述第二动态设备验证共享码注册ID是所述设备应用关系验证服务端为所述第一动态设备验证共享码和第二动态设备验证共享码分配的对应的注册ID生成后向所述用户终端发送的;
所述设备注册消息是根据所述存储在用户终端的所述第一动态设备验证共享码和第二动态设备验证共享码,以及所述第一动态设备验证共享码注册ID和第二动态设备验证共享码注册ID生成的;
设备注册确认单元,用于接收所述设备应用关系验证服务端的第一动态密钥识别共享码和注册确认结果验证并保存,所述注册确认结果是所述设备应用关系验证服务端根据所述设备应用关系验证服务端的第一动态设备验证共享码、第二动态设备验证共享码共享码验证所述设备注册消息后得到的;
所述第一动态密钥识别共享码是所述设备应用关系验证服务端根据所述设备应用关系验证服务端的所述第一动态设备验证共享码和第二动态设备验证共享码生成的。
可选地,所述设备注册消息包括:设备注册凭证、第一动态设备验证共享码注册ID、第二动态设备验证共享码注册ID。
可选地,所述应用授权单元,包括;
应用授权请求单元,用于生成并通过所述应用提供服务端发送向所述设备应用关系验证服务端发送授权请求消息;
应用授权响应单元,用于生成并通过所述应用提供服务端发送向所述设备应用关系验证服务端发送授权响应消息;所述授权响应消息是根据动态授权码密文和随机生成数生成的,所述授权响应消息带授权凭证;所述动态授权码密文是所述设备应用关系验证服务端根据所述应用授权请求消息生成后通过所述应用提供服务端发送的,所述随机生成数是所述应用提供服务端向所述用户终端发送所述动态授权码后发送的;
应用授权确认单元,用于接收所述设备应用关系验证服务端的应用授权确认结果验证并保存,所述授权确认结果是所述设备应用关系验证服务端根据所述设备应用关系验证服务端的第一动态设备验证共享码、第二动态设备验证共享码和第一动态密钥识别共享码验证所述授权响应消息后,再验证授权码密文得到的。
可选地,所述登陆请求单元,还包括应用访问凭证单元用于产生设备应用访问凭证消息体;计算设备应用访问凭证消息体凭证;生成包括设备应用访问凭证消息体和设备应用访问凭证消息体凭证的设备应用访问凭证消息;向应用提供服务器发送设备应用访问凭证消息。
可选地,还包括,设备注册更新单元,包括:
第二动态设备验证共享码协商单元,用于与所述设备应用关系验证服务端协商产生第三动态设备验证共享码和第四动态设备验证共享码,并分别存储在用户终端和所述设备应用关系验证服务端;
设备更新注册请求单元,用于生成并向所述设备应用关系验证服务端发送携带设备更新凭证的动态设备更新消息;所述动态设备更新消息是根据所述存储在用户终端的根据所述用户终端的所述第一动态设备验证共享码、第二动态设备验证共享码、所述第一动态密钥识别共享码、第三动态设备验证共享码、第四动态设备验证共享码和第二动态密钥识别共享码生成的,所述第二动态密钥识别共享码是所述设备应用关系验证服务端根据所述设备应用关系验证服务端的所述第三动态设备验证共享码和第四动态设备验证共享码生成后向所述用户终端发送的;
设备更新注册确认单元,用于接收所述设备应用关系验证服务端的注册确认结果验证并保存,所述更新注册确认结果是所述设备应用关系验证服务端根据所述设备应用关系验证服务端的第一动态设备验证共享码、第二动态设备验证共享码、所述第一动态密钥识别共享码、第二动态设备验证共享码、第三动态设备验证共享码和第四动态密钥识别共享码验证所述动态设备更新消息后得到的。
可选地,所述用户终端更新注册凭证包括动态设备更新消息主消息体凭证和动态设备更新消息子消息体凭证:
所述动态设备更新消息子消息体凭证是所述用户终端根据所述用户终端的所述第三动态设备验证共享码和第四动态设备验证共享码计算得到的;
所述动态设备更新消息主消息体凭证所述用户终端根据所述用户终端的所述第一动态设备验证共享码和第二动态设备验证共享码计算得到的。
另一方面,本发明实施例还包括一种设备应用关系验证服务端,其特征在于,包括:
设备注册确认单元,用于接受用户终端发送的设备注册消息建立设备安全注册关系;
应用授权确认单元,用于接收用户终端发送的授权请求消息,并根据所述设备安全注册关系建立应用及帐户与设备安全注册关系;
安全认证请求确认单元,用于接收通过应用提供服务端发送的设备应用访问凭证消息;所述设备应用访问凭证消息是应用提供服务端向所述登陆请求单元发送的要求设备应用验证消息生成的;
登陆响应单元,用于根据所述应用及帐户与设备安全注册关系对所述设备应用访问凭证消息验证后生成应用安全访问认证结果并通过应用提供服务端发送登陆响应结果,所述用户终端根据所述应用提供服务端的登陆响应结果响应登陆请求消息。
可选地,所述设备注册确认单元包括:
第一动态设备验证共享码协商单元,用于与所述用户终端产生协商第一动态设备验证共享码和第二动态设备验证共享码,并分别存储在用户终端和所述设备应用关系验证服务端;为所述第一动态设备验证共享码和第二动态设备验证共享码分配对应的所述第一动态设备验证共享码注册ID和第二动态设备验证共享码注册ID;
第一动态密钥识别共享码生成单元,用于根据所述设备应用关系验证服务端的所述第一动态设备验证共享码和第二动态设备验证共享码生成并向所述用户终端发送第一动态密钥识别共享码;
设备注册确认单元,用于接收所述用户终端发送的设备注册消息根据所述设备应用关系验证服务端的第一动态设备验证共享码、第二动态设备验证共享码和第一动态密钥识别共享码验证所述设备注册消息后,并向所述用户终端发送设备注册确认结果;所述设备注册消息是根据所述存储在用户终端的所述第一动态设备验证共享码和第二动态设备验证共享码以及所述第一动态设备验证共享码注册ID和第二动态设备验证共享码注册ID生成的,所述设备注册消息携带设备注册凭证以及所述第一动态设备验证共享码注册ID和第二动态设备验证共享码注册ID。
可选地,应用授权确认单元包括;
应用授权请求处理单元,用于接收用户终端发送的授权请求消息并根据所述应用授权请求消息生成动态授权码密文通过所述应用提供服务端发送至所述用户终端;
应用授权响应处理单元,接收用户终端发送的授权响应消息,并根据所述设备应用关系验证服务端的第一动态设备验证共享码、第二动态设备验证共享码和第一动态密钥识别共享码验证所述授权响应消息后,再验证动态授权码密文后,生成授权通知消息并通过应用提供服务端发送至所述用户终端;所述授权响应消息是所述用户终端根据所述动态授权码密文和随机生成数生成的,所述授权响应消息带授权凭证,所述随机生成数是所述应用提供服务端向所述用户终端发送动态授权码密文后发送的。
可选地,所述设备应用关系验证服务端根据所述应用授权请求消息生成动态授权码包括:
根据所述授权请求消息生成动态授权码;
根据所述授权请求消息生成动态授权密钥;
使用所述动态授权密钥对所述动态授权码加密;
将所述动态授权码密文并发送至所述应用提供服务端。
可选地,所述生成授权通知消息包括:
使用设备安全注册关系验证消息中的授权凭证是否匹配;然后使用设备安全注册关系对应的授权码密钥解密的授权码密文,验证解密后的授权码与所述设备应用关系验证服务端分配的授权码是否匹配;
如果都通过匹配,将该授权码对应的应用、用户ID、授权的服务操作和授权时间跟设备关系添加到设备应用列表中。
可选地,所述登陆响应单元还包括,登陆请求验证单元用于,
使用第一动态密钥识别共享码在应用关系验证服务器内查找第一动态设备验证共享码和第二动态设备验证共享码;
使用第一动态设备验证共享码和第二动态设备验证共享码计算设备应用访问凭证消息的消息体凭证;
用于比较计算所得凭证与消息中发送的凭证是否一致;
如果结果一致,则进一步检查对应的应用及帐户与设备安全注册关系是否具有消息中请求的应用及帐户的授权关系,从而得到检查结果。
可选地,还包括,设备注册更新确认单元:
第二动态设备验证共享码协商单元,用于与所述设用户终端协商第三动态设备验证共享码和第四动态设备验证共享码,并分别存储在用户终端和所述设备应用关系验证服务端;
第二动态密钥识别共享码生成单元,用于根据所述设备应用关系验证服务端的所述第三动态设备验证共享码和第四动态设备验证共享码生成并向所述用户终端发送第二动态密钥识别共享码。
设备更新注册请求确认单元,用于接收用户终端发送的动态设备更新消息,并根据所述设备应用关系验证服务端的第一动态设备验证共享码、第二动态设备验证共享码、所述第一动态密钥识别共享码、第三动态设备验证共享码、第四动态设备验证共享码和第二动态密钥识别共享码验证所述动态设备更新消息后得到更新注册确认消息,并向所述用户终端发送;所述动态设备更新消息是根据所述存储在用户终端的根据所述用户终端的所述第一动态设备验证共享码、第二动态设备验证共享码、所述第一动态密钥识别共享码、第三动态设备验证共享码、第四动态设备验证共享码和第二动态密钥识别共享码生成的;动态设备更新消息携带设备更新注册凭证。
可选地,所述户终端更新注册凭证包括动态设备更新消息主消息体凭证和动态设备更新消息子消息体凭证:
所述动态设备更新消息子消息体凭证是所述用户终端根据所述用户终端的所述第三动态设备验证共享码和第四动态设备验证共享码计算得到的;
所述动态设备更新消息主消息体凭证所述用户终端根据所述用户终端的所述第一动态设备验证共享码和第二动态设备验证共享码计算得到的。
由上述技术方案可知,本发明实施例提供的安全访问认证处理方法、用户终端和服务端通过设备认证和应用及帐户授权的双重认证的方式可以有效保证用户终端的应用访问应用服务端的数据安全性,通过本发明实施例可以帮助企业、机构的专业应用网络管理发起应用访问的边界,及设备。用户可以通过上述的方式授权设备与应用及帐户关系。本发明实施例适合自助服务模式,适合多变,灵活的公众用户需求。企业内网可以使用自动化关联企业内服运营部门的方式自动的配置应用和设备关系,从而省去每个员工自助授权的过程,从而实现企业IT访问端设备边界管理。本发明实施例所述方法通过应用账户通过在授权访问的计算机智能设备上访问验证机制,在密码被盗后,第三方设备由于没有被授权而不能访问,系统和帐户持有者由于能够第一时间感知密码泄露并及时补救安全漏洞。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单的介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一个实施例中安全访问认证处理方法流程示意图;
图2为本发明一个实施例中用户终端、应用提供服务端和设备应用关系验证服务端链接关系示意图;
图3为本发明一个实施例中用户终端结构意图;
图4为本发明一个实施例中建立设备安全注册关系流程示意图;
图5为本发明另一个实施例中建立设备安全注册关系流程示意图;
图6为本发明一个实施例中建立应用及帐户与设备安全注册关系流程示意图;
图7为本发明另一个实施例中建立应用及帐户与设备安全注册关系流程示意图;
图8为本发明一个实施例中用户终端登陆安全验证流程示意图;
图9为本发明另一个实施例中用户终端登陆安全验证流程示意图;
图10为本发明一个实施例中更新设备安全注册关系流程示意图;
图11为本发明另一个实施例中更新设备安全注册关系流程示意图;
图12为本发明一个实施例中用户终端产生消息凭证流程示意图;
图13为本发明一个实施例中用户终端结构示意图;
图14为本发明一个实施例中用户终端的设备注册单元结构示意图;
图15为本发明一个实施例中用户终端的应用授权单元结构示意图;
图16为本发明一个实施例中用户终端的设备注册更新单元结构示意图;
图17为本发明一个实施例中设备应用关系验证服务端结构示意图;
图18为本发明一个实施例中设备应用关系验证服务端的设备注册确认单元结构示意图;
图19为本发明一个实施例中设备应用关系验证服务端的应用授权确认单元结构示意图;
图20为本发明一个实施例中设备应用关系验证服务端的设备注册更新确认单元结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供一种安全访问认证处理方法,包括:用户终端向设备应用关系验证服务端发送设备注册消息建立设备安全注册关系;用户终端中向设备应用关系验证服务端发送授权请求消息,并根据设备安全注册关系建立应用及帐户与设备安全注册关系;用户终端向应用提供服务端发送应用登陆请求消息;应用提供服务端向用户终端发送要求设备应用验证消息;用户终端向应用提供服务端发送设备应用访问凭证消息;应用提供服务端处理并向设备应用关系验证服务端发送设备应用访问凭证消息;设备应用关系验证服务端根据验证设备应用访问凭证消息后的结果并向应用提供服务端发送设备应用验证结果消息;应用提供服务端根据设备应用验证结果消息中的应用安全访问认证结果响应用户终端的应用登陆请求消息。下面对被本发明实施例提供的安全访问认证处理方法展开详细的说明。
如图2所示,本发明实施例提供的安全访问认证处理方法主要应用于通过网络连接的用户终端、应用提供服务端和设备应用关系验证服务端的互联网系统中。用户终端是需要与应用提供服务端建立安全应用连接时,需要进一步通过安全认证符的安全认证的各种通信设备,例如手机、PAD、PC,具备联网能力的各种智能设备等。设备应用关系验证服务端是用于管理用户终端上的设备应用关系客户端的服务设备,设备应用关系验证服务端判断设备应用访问凭证消息对于应用客户端申请的账户访问或者服务访问是否来自已授权的设备并提供对应的行为指示给应用提供服务端,例如,具有安全认证功能的服务器均可以实现本发明实施例。应用提供服务端是指各种为用户终端提供预期服务的各种服务器;应用提供服务端其利用设备应用关系验证服务端提供的用户设备访问关系凭证验证结果来决定最终提供给终端用户的服务响应。例如邮件服务器、代码安全管理服务器、档案信息管理服务器、消息管理服务器等。
如图3所示,用户终端可以包括应用客户端、设备应用关系客户端和独立安全单元。应用客户端是指发起用户指定的应用服务请求的各种本地程序和应用,其负责调取本地设备应用关系客户端API(应用程序编程接口,Application Programming Interface)产生用户设备访问关系凭证并把此服务嵌入应用的流程中获取服务。其中设备应用关系客户端是指运行在用户端设备上为用户应用提供发起设备访问凭证服务、本地信息安全加解密服务、验证和签名功能的所有软件集合的总称,其同时提供与用户的UI交换,负责直接与独立安全单元协同工作,与设备应用关系验证服务端会话,辅助或直接产生密钥,更新。设备应用关系客户端是对应用客户端提供安全认证或访问凭证服务和加密解密服务的功能实体;独立安全单元是指用户终端及系统包括的能够提供如下任意一项或多项能力的单元,包括提供可信安全计算、安全存储、安全UI服务的计算机可信单元,嵌入式系统、内置安全硬件单元及系统或者固件单元。独立安全单元只对设备应用关系客户端提供以上所列服务,在实用中,部分功能可在设备应用关系客户端实现。
如图4所示,在本发明实施例中,用户终端需要通过设备应用关系验证服务端验证时,需要先向设备应用关系验证服务端提交设备安全注册使用户终端与设备应用关系验证服务端之间建立设备安全注册关系。具体地,用户终端向设备应用关系验证服务端发送设备注册消息建立设备安全注册关系包括:用户终端与设备应用关系验证服务端协商第一动态设备验证共享码和第二动态设备验证共享码,分别存储在用户终端和设备应用关系验证服务端;设备应用关系验证服务端为第一动态设备验证共享码分配对应的第一动态设备验证共享码注册ID,为第二动态设备验证共享码分配对应的第二动态设备验证共享码注册ID;设备应用关系验证服务端根据设备应用关系验证服务端的第一动态设备验证共享码和第二动态设备验证共享码生成第一动态密钥识别共享码;所述设备应用关系验证服务端向所述用户终端发送带所述第一动态设备验证共享码注册ID和第二动态设备验证共享码注册ID的动态设备共享码验证消息;其中,动态设备共享码验证消息包括:动态设备共享码验证消息子消息体凭证、动态设备共享码验证消息签名;用户终端根据用户终端的第一动态设备验证共享码和第二动态设备验证共享码验证动态设备共享码验证消息子消息体凭证,使用设备应用关系验证服务器公钥验证动态设备共享码验证消息签名,验证通过后生成设备注册凭证;用户终端向设备应用关系验证服务端发送携带设备注册凭证和第一动态设备验证共享码注册ID和第二动态设备验证共享码注册ID的设备注册消息;设备应用关系验证服务端根据设备注册消息中的第一动态设备验证共享码注册ID和第二动态设备验证共享码注册ID对应的在应用关系验证服务端的第一动态设备验证共享码、上述第二动态设备验证共享码验证设备注册消息;设备注册消息验证通过后,设备应用关系验证服务端向用户终端反馈携带设备注册确认结果和第一动态密钥识别共享码的设备注册确认消息。
具体实施时,如图5中为本发明实施例中设备应用关系客户端注册流程图。在本发明实施例中用户终端向设备应用关系验证服务端注册时,用户终端需要先与设备应用关系验证服务端建立会话连接。具体地,设备应用关系客户端与设备应用关系验证服务端建立明文会话或者加密会话连接;设备应用关系客户端通过预置的公钥密码验证会话对方是希望的设备应用关系验证服务端。
如图5所示,用户终端与设备应用关系验证服务端协商第一动态设备验证共享码和第二动态设备验证共享码,分别存储在用户终端和设备应用关系验证服务端。
具体地,步骤S21产生第一动态设备验证共享码分别存储在用户终端和设备应用关系验证服务端;在步骤S21,第一动态设备验证共享码可以使用ECDH算法、Diffie-Hel lman密钥交换算法、或者RSA密钥可靠传递。较优的使用ECDH算法可以获得更高的计算效率,同等安全级别下更短的密钥长度。
步骤S21需要在设备应用关系客户端及独立安全单元结合计算和保存密钥种子信息,继而基于该种子信息产生最终密钥作为第一动态设备验证共享码。
方式一:设备应用关系客户端通过步骤S22将计算密钥的公开参数传递给独立安全单元,在独立安全单元中计算出密钥的种子信息及基于该种子信息的最终密钥,这种方法保证了种子信息和密钥的更高级别安全。
方式二:步骤S21由设备应用关系客户端运行程序计算种子信息,并生成最终的密钥,即第一动态设备验证共享码,通过步骤S22基于种子信息得到的动态设备验证共享码注册到独立安全单元;方式二安全性稍低于方式一,但实现难度较低。
较优的,具体实施时种子信息和密钥,即第一动态设备验证共享码在独立安全单元中计算产生。实施时,步骤S23设备应用关系验证服务端分配第一动态设备验证共享码注册ID与第一动态设备验证共享码对应;在发明实施例中第一动态设备验证共享码注册ID用于标记用户终端设备注册过程中标记第一动态设备验证共享码。如图5所示,同样地,与步骤S21至步骤S22类似,步骤S24至步骤S25产生第二动态设备验证共享码分别存储在用户终端和设备应用关系验证服务端。同时步骤S26设备应用关系验证服务端分配第二动态设备验证共享码注册ID。步骤S23和S26分配的第一动态设备验证共享码注册ID和第二动态设备验证共享码注册ID具有双重作用,下面以第一动态设备验证共享码注册ID为例说明:一方面,第一动态设备验证共享码注册ID标记这次注册是唯一的,如果在验证流程中验证没有通过,则这次注册码就失效,从而防止重放攻击;另一方面在注册的过程中如果通信中断,在新建立的链接中可以继续使用第一动态设备验证共享码注册ID完成如图5所示流程,保障了通信过程的完整性从而适应多变复杂网络环境。
如图5所示,设备应用关系验证服务端根据设备应用关系验证服务端的第一动态设备验证共享码和第二动态设备验证共享码生成第一动态密钥识别共享码。具体地,步骤S27计算动态密钥识别共享码时,使用第一动态设备验证共享码和第二动态设备验证共享码加密产生,加密算法包括但不限于可以是AES256,AES192,优选的使用AES256或使用与其安全级别等同的国家认证的算法和密钥强度;安全密钥长度和算法随着计算机科学是不断演进的,本发明实施例遵循安全验证级别使用业界演进的规律和国家认证的算法。具体地,使用第一动态设备验证共享码加密由设备应用关系验证服务端分配的密钥识别ID得到第一密文,使用第二动态设备验证共享码加密第一密文所得信息作为第一动态密钥识别共享码;并且将此密钥识别ID、第一动态密钥识别共享码、第一动态设备验证共享码和第二动态设备验证共享码绑定对应关系。在密钥识别ID不变的情况下,第一动态密钥识别共享码随着第一动态设备验证共享码和第二动态设备验证共享码的变换而变化。独立安全单元中注册的第一动态设备验证共享码和第二动态设备验证共享码只能被设备应用关系客户端使用;其他未被允许的程序是不能使用独立安全单元中的密钥来计算、加密、验证。
如图5所示,步骤S28设备应用关系验证服务端向用户终端发送带第一动态设备验证共享码注册码ID和第二动态设备验证共享码注册码ID的动态设备共享码验证消息。具体地,设备应用关系验证服务器将第一动态设备验证共享码注册ID,第二动态设备验证共享码注册ID,随机数盐值组成动态设备共享码验证消息子消息体;使用第一动态设备验证共享码和第二动态设备验证共享码为密钥为动态设备共享码验证消息子消息体计算产生动态设备共享码验证消息子消息体凭证;将动态设备共享码验证消息子消息体和动态设备共享码验证消息子消息体凭证组成动态设备共享码验证消息主消息体;设备应用关系验证服务器使用私钥对动态设备共享码验证消息主消息体签名,所得结果是签名Sig;设备应用关系验证服务器将动态设备共享码验证消息主消息体和动态设备共享码验证消息签名Sig组成的动态设备共享码验证消息发送给设备应用关系客户端。
实施中,在使用第一动态设备验证共享码和第二动态设备验证共享码为密钥计算凭证时可以使用计算消息认证码的方法,算法包括但不限于使用单向散列函数实现的HMAC,或使用DES,AES之类的分组密码实现的消息认证码等等方法或算法。较佳的使用单向散列函数实现的HMAC计算消息认证码,其在商用计算机平台,尤其是移动智能平台兼容性较强,HMAC安全级别在商业网络中一致认可,易于市场推广。
用户终端的设备应用关系客户端使用设备应用关系验证服务器公钥验证签名Sig;如验证通过,则进入一下步骤,否则丢弃处理。具体验证过程如下:设备应用关系客户端提取动态设备共享码验证消息子消息体;调用独立安全单元接口计算子消息体凭证;独立安全单元使用存储在用户终端的第一动态设备验证共享码和第二动态设备验证共享码计算动态设备共享码验证消息子消息体凭证;独立安全单元将结果返回给设备应用关系客户端;设备应用关系客户端比较计算结果和消息中包括的动态设备共享码验证消息子消息体凭证;如果一致则继续后续设备注册流程,否则回复错误信息给设备应用关系验证服务器。
验证通过后,后续通信的消息凭证的认证方法基于以下两种方式:
方法一:基于第一动态设备验证共享码和第二动态设备验证共享码计算消息认证码凭证的方法实现;实施时使用第一动态设备验证共享码为密钥为计算对象计算消息认证码MAC值,再使用第二动态设备验证共享码加密该MAC值得到对应计算对象的MAC值密文,将此MAC值密文作为消息体凭证或者子消息体凭证。方法二:在方式一的基础上增加设备应用关系验证服务端私钥的签名,实施时对方法一产生的消息体和消息体凭证合体信息签名。使用方法一可以节省运算和签名验证的步骤。
如图5所示,用户终端根据在用户终端的第一动态设备验证共享码和第二动态设备验证共享码生成设备注册凭证。具体地,步骤S29中设备应用关系客户端发送计算设备注册消息体认证码密文请求给独立安全单元中;步骤S210,独立安全单元使用保存的第一动态设备验证共享码和第二动态设备验证共享码计算设备注册消息体凭证;步骤S211返回消息体凭证,将此返回结果作为设备注册凭证。步骤S29、S210、S211较佳的运算场所是独立安全单元。
设备应用关系客户端产生设备注册消息,使用用户允许的客户端信息,例如时间戳计算机设备型号或品牌等不限于此的一种或多种信息,第一动态设备验证共享码注册ID、第二动态设备验证共享码注册ID、随机数盐值合成产生消息体C。使用第一动态设备验证共享码和第二动态设备验证共享码计算消息体C的凭证。
使用设备应用关系验证服务器加密公钥加密消息体中的部分明文,如随机数盐值得到随机数盐值密文。将此密文代替消息C中的对应的明文,形成最终消息体C1,将消息体C1和消息体C的凭证组成设备注册消息。设备应用关系客户端发送设备注册消息给设备应用关系验证服务器。
使用第二动态设备验证共享码后,即使黑客捕获此报文,大大提高了暴力破解第一动态设备验证共享码和第二动态设备验证共享码的门槛;在所有的后续交互中都使用了这种方法提高安全等级。如图5所示,用户终端将S211返回的消息体凭证作为设备注册凭证,用户终端向设备应用关系验证服务端发送携带设备注册凭证的设备注册消息。具体地,步骤S212设备注册消息,优选的,提供用户许可的客户端信息用于描述注册设备,例如注册时间、设备类型及描述、位置等等。
如图5所示,设备应用关系验证服务端根据第一动态设备验证共享码注册码ID和第二动态设备验证共享码注册码ID查找设备应用关系验证服务端对应的第一动态设备验证共享码、第二动态设备验证共享码验证设备注册消息。具体地,步骤S213发送包括第一动态密钥识别共享码的设备注册确认消息,给用户终端设备应用关系客户端。具体地,设备应用关系验证服务器根据消息中第一动态设备验证共享码注册ID在设备应用关系验证服务器中查找对应的第一动态设备验证共享码,使用第二动态设备验证共享码注册ID查找对应的第二动态设备验证共享码。设备应用关系验证服务器使用解密私钥解密收到的消息体C1中的密文,还原明文的消息体;使用第一动态设备验证共享码和第二动态设备验证共享码计算消息体C的凭证,验证计算的凭证和消息中发送的消息体C的凭证是否一致;如结果通过,则判断为设备注册成功,设备应用关系验证服务器将第一动态设备验证共享码和第二动态设备验证共享码标记为注册成功。
设备注册确认消息包括设备注册确认消息的消息体和设备注册确认消息体凭证;其中设备注册确认消息的消息体至少包括第一动态设备验证共享码注册ID、第二动态设备验证共享码注册ID、注册结果、第一动态密钥识别共享码、随机数。使用第一动态设备验证共享码和第二动态设备验证共享码为密钥计算设备注册确认消息体凭证。设备应用关系验证服务器将设备注册确认消息,发送给设备应用关系客户端。
有益效果,动态设备共享码验证消息通过主消息体签名判断消息来自可信的设备应用关系验证服务器,通过子消息体凭证验证下行方向设备应用关系验证服务器用于产生凭证的第一动态设备验证共享码和第二动态设备验证共享码和设备应用关系客户端的对应密钥是一致的;设备注册消息使用随机数盐值被服务器公钥密码加密传输,只有拥有私钥的服务器才能计算出正确的明文消息体的凭证,保证了上行方向的一致性,从而侦测和防止了在产生第一动态设备验证共享码和第二动态设备验证共享码过程中可能的中间人攻击和完整性破坏。
如图5所示,设备应用关系验证服务端向用户终端反馈设备注册确认结果。具体地,步骤S214将验证通过的第一动态密钥识别共享码保存到独立安全单元提供的安全存储区;同时确认第一动态设备验证共享码和第二动态设备验证共享码注册成功;可以为应用客户端提供服务状态。
设备应用关系客户端使用第一动态设备验证共享码和第二动态设备验证共享码验证消息体凭证;如验证通过,设备应用关系客户端要求独立安全单元保存动态密钥识别共享码,则设备注册成功并流程完成;否则报告错误并结束流程。
如图6所示,在本发明实施例中,建立用户终端的应用及帐户与设备应用关系客户端与设备应用关系验证服务端之间的应用及帐户与设备安全注册关系,在用户终端的应用客户端通过设备应用关系验证服务端验证登陆时,进一步向设备应用关系验证服务端提供应用及帐户与设备安全注册关系认证。具体地,用户终端中的应用客户端向设备应用关系验证服务端发送授权请求消息,并根据设备安全注册关系建立应用及帐户与设备安全注册关系包括:应用提供服务端接收用户终端的授权请求消息处理,并发送至设备应用关系验证服务端;设备应用关系验证服务端根据授权请求消息生成动态授权码密文并发送至应用提供服务端;应用提供服务端依序向用户终端发送动态授权码密文和随机生成数;用户终端根据动态授权码密文和随机生成数生成带授权凭证的授权响应消息并发送至应用提供服务端,授权响应消息中包括动态授权码密文和随机生成数;应用提供服务端接收用户终端的授权响应消息处理,并发送至设备应用关系验证服务端;设备应用关系验证服务端根据设备安全注册关系验证授权响应消息后,再验证动态授权码密文并通过应用提供服务端向用户终端反馈应用确认结果。
具体实施时,如图7为本发明实施例中建立应用及帐户与设备安全注册关系注册流程图;在本发明实施例中用户终端向设备应用关系验证服务端发起应用及帐户与设备安全注册关系注册时,用户终端与应用提供服务端设备应用关系验证服务端建立会话连接。下面以用户终端向设备应用关系验证服务端发起邮件和帐户与设备安全注册关系注册的流程为例对使用户终端与设备应用关系验证服务端之间建立应用及帐户与设备安全注册关系的具体说明。
如图7所示,应用提供服务端接收用户终端的应用授权请求消息处理,并发送至设备应用关系验证服务端。具体地,应用客户端是电子邮件应用客户端,应用提供服务端是电子邮件应用提供服务器。电子邮件应用客户端与设备应用关系客户端交互。步骤S31至步骤S32以提交的应用授权请求消息体为计算对象计算得到应用授权请求消息体凭证,设备应用关系客户端参考在图5中步骤S29、S210和S211完成请求的消息体凭证计算方法计算应用授权请求消息体凭证并返回给设备应用关系客户端,设备应用关系客户端将应用授权请求消息体凭证通过S32返回给电子邮件应用客户端,电子邮件应用客户端将此应用授权请求消息体凭证包含在S33授权请求消息中发出。具体实施时,步骤S33和S35授权请求消息中信息包括但不限于应用ID、用户ID、第一动态密钥识别共享码、应用授权的期限、应用补充的授权信息。如写、登录动作、等等。其中,第一动态密钥识别共享码是通过设备应用关系客户端API查询获得。具体实施时,S34步骤可以由应用决定检查的信息和选项。
应用客户端通过设备应用关系客户端提供的API获得动态密钥识别共享码,应用客户端将包括但不限于应用名称或编号、应用用户ID、授权内容、服务提供商信息,要求的授权码信息传递方式,第一动态密钥识别共享码组成授权请求消息体;其中授权码信息传递方式包括但不限于通过无线通信、有限固定网络通信、短信、二维码、电子邮件等等。应用客户端调用设备应用关系客户端API计算授权请求消息体的凭证;应用客户端使用授权请求消息体和授权请求消息体凭证组成设备应用授权请求消息,发送授权请求消息给应用提供服务器。
应用提供服务器做授权合规检查,如通过,则要求设备应用关系验证服务器验证授权,转发授权请求消息给设备应用关系验证服务器。
如图7所示,设备应用关系验证服务端根据应用授权请求消息生成携带动态授权码密文的授权码消息并发送至应用提供服务端。设备应用关系验证服务端根据应用授权请求消息生成动态授权码包括:根据授权请求消息生成动态授权码;根据授权请求消息中包括的授权码信息传递方式生成对应类型的授权码密钥;对动态授权码加密;将动态授权码密文和第一动态密钥识别共享码组成的授权码消息发送至应用提供服务端。
具体地,设备应用关系验证服务端根据应用授权请求消息生成动态授权码密文包括:根据授权请求消息生成动态授权码;根据授权请求消息生成动态授权密钥;使用动态授权密钥对动态授权码加密;将包括动态授权码密文和第一动态密钥识别共享码的授权码消息发送至应用提供服务端。设备应用关系验证服务器根据授权请求消息中的动态密钥识别共享码,确认发送该授权请求消息的设备是已经注册成功的设备,并在设备应用关系验证服务器中查找对应的第一动态设备验证共享码和第二动态设备验证共享码;使用第一动态设备验证共享码和使用第二动态设备验证共享码验证授权请求消息体凭证;如计算的授权请求消息体凭证与授权请求消息中包括的消息体凭证相等,则根据要求的授权信息传递方式为动态密钥识别共享码分配对应的授权码密钥;产生动态授权码,使用授权码密钥对动态授权码加密产生动态授权码密文M。
具体地,步骤S36产生的动态授权码用于标记这次授权请求中的授权范围和授权关系;动态授权码的授权码信息长度由动态授权码的传递方式决定。动态授权码的传递方式包括但不限于短信、二维码、电子邮件、电话、视频、QQ、微信等等。如使用短信为信息传递方式,则使用较短的密钥。如使用二维码或者电子邮件的方式,则可以传递较长的信息,可以使用AES256算法加密。步骤S39将授权码消息发给电子邮件应用提供服务端。具体实施时,发送授权码消息给应用提供服务端,由于终端客户和应用提供服务端之间有服务的约定,所以优选的,应用提供服务端是授权码密文发送的较佳路径。
在本发明实施例中,使用与动态密钥识别共享码唯一对应的授权码密钥加密授权码,使得授权只对当前动态密钥识别共享码对应的设备授权有效,从而防止了授权码被冒用的侵害。设备应用关系验证服务器将授权码密文M,动态密钥识别共享码组成授权码消息,发送给应用提供服务器。
如图7所示,应用提供服务端依序向用户终端发送动态授权码和随机生成数。具体地,应用提供服务端向用户终端发送动态授权码。应用提供服务器根据当前申请授权的应用账户选择的授权码传递方式和联系方式传递授权码密文M给用户;应用提供服务器向应用客户端发送挑战随机数N用于标记这次授权行为。步骤S311输入授权码信息,包括但不限于屏幕UI输入、摄像头输扫描、图像识别、从邮件内容拷贝粘贴等等。步骤S312发送随机生成数是电子邮件应用提供服务端用来管理这次授权的标记,同时也用于挑战客户端凭证,客户端凭证即是授权响应凭证。电子邮件应用客户端使用步骤S313和S314获得授权响应凭证。
如图7所示,用户终端根据输入的动态授权码和接收到的挑战随机数生成带授权响应凭证的授权响应消息并发送至应用提供服务端,授权响应消息中包括随机生成数和动态授权码密文。具体地,步骤S315授权响应消息发送给电子邮件应用提供服务端。步骤S316电子邮件应用提供服务端记录流程状态并转发消息;步骤S317转发授权响应消息到设备应用关系验证服务端。
具体地,应用客户端按照收到授权码密文M、客户端使用收到的挑战随机数N、时间戳、授权码密文信息M和第一动态密钥识别共享码构成授权响应消息体Q,调用设备应用关系客户端API;设备应用关系客户端将消息体Q作为参数调用安全单元计算得到授权响应消息体凭证,将此授权响应消息体凭证作为授权相应凭证通过设备应用关系客户端返回给应用客户端;应用客户端使用消息体Q和对应消息体Q的授权响应凭证组成授权响应消息,将此消息发送至应用提供服务器;应用提供服务器检查调整随机数有效后转发授权响应消息到设备应用关系验证服务端。
如图7所示,设备应用关系验证服务端根据设备安全注册关系验证授权响应消息后,再验证授权码密文并通过应用提供服务端向用户终端反馈应用确认结果包括:使用设备安全注册关系验证消息中的授权凭证是否匹配;然后使用设备安全注册关系服务端的授权码密钥解密授权码密文,验证解密后的授权码与设备应用关系验证服务端分配的授权码是否匹配;如果都通过匹配,将该授权码对应的应用、用户ID、授权的服务操作和授权时间和设备关系添加到设备应用列表中。具体地,步骤S318设备应用关系验证服务端首先使用消息中的第一动态密钥识别共享码对应的在设备应用关系验证服务端的第一动态设备验证共享码和第二动态设备验证共享码验证消息中的授权响应凭证是否匹配;即比较计算所得的授权响应消息体Q的凭证和授权响应消息体中发送的消息体Q的凭证比较是否相等;如果相等,然后验证授权码密钥解密的动态授权码是否和第一动态密钥识别共享码对应的动态授权码明文一致;如果都通过匹配,将该动态授权码对应的电子邮件应用、用户ID、授权的服务操作和授权时间和设备关系添加到安全设备应用列表中。步骤S319设备应用关系验证服务端发送授权通知消息通知电子邮件应用提供服务端授权流程结束。
具体地,应用提供服务器检查动态密钥识别共享码和挑战随机数后记录授权流程状态,转发授权响应消息给设备应用关系验证服务器。设备应用关系验证服务器根据授权响应消息中第一动态密钥识别共享码查找第一动态设备验证共享码,第二动态设备验证共享码共享码和授权码密钥。使用第一动态设备验证共享码和第二动态设备验证共享码计算得到授权响应消息体凭证;将消息中发送的授权响应消息体凭证与计算所得的授权响应消息体凭证比较;如相等则继续验证授权码,否则停止授权过程。设备应用关系验证服务器使用对应的授权码密钥解密消息中的授权码密文M,用此明文与设备应用关系验证服务器为该次授权分配的授权码明文记录比较,如果一致,则此明文授权码对应的授权项目就被批准并且记录在此第一动态密钥识别共享码对应的设备表项中;同时发送授权通知消息给应用提供服务器;如果不一致,则把相关失败信息包括在授权通知消息中通知应用提供服务器。
步骤S320电子邮件应用提供服务端转发授权通知消息通知用户终端的电子邮件应用客户端。设备应用关系客户端收到授权通知消息,验证消息体凭证通过后,结束授权流程。步骤S321设备应用关系客户端使用设备第一动态设备验证共享码和第二动态设备验证共享码验证授权通知消息;根据结果电子邮件应用客户端将成功的授权应用信息保存到设备应用关系客户端;授权应用信息例如是电子邮件账户、邮件服务商、邮件服务描述信息等。
具体地,授权通知消息由授权响应消息中的挑战随机数和判断结果组成;应用提供服务器根据授权通知消息产生应用对应的行为并通知结果到应用客户端;设备应用关系客户端收到授权通知消息,应用及帐户与设备安全注册关系的授权过程结束。
如图8所示,经过设备注册和应用及帐户授权认证的用户终端向应用提供服务端发起登陆请求并经过设备应用关系验证服务端执行安全认证的具体过程是这样的:用户终端向应用提供服务端发送登陆请求消息;应用提供服务端向用户终端发送要求设备应用验证消息;用户终端向应用提供服务端发送设备应用访问凭证消息;应用提供服务端处理并向设备应用关系验证服务端发送设备应用访问凭证消息;设备应用关系验证服务端根据应用及帐户与设备安全注册关系对设备应用访问凭证消息验证,并向应用提供服务端发送设备应用验证结果消息;应用提供服务端根据设备应用验证结果消息中包括的应用安全访问认证结果响应用户终端的登陆请求消息。通过本发明实施例提供的安全认证方法可以自动化执行应用及帐户访问请求与设备关系验证,节省了用户手动输入验证码的步骤。下面以企业内网代码访问安全登录认证过程为优选例对本发明实施例举例说明。
如图9所示,用户终端向应用提供服务端发送应用登陆请求消息。应用客户端发起访问请求到应用提供服务器,应用提供服务器判断需要设备应用关系认证,应用提供服务器向用户终端发送要求设备应用验证消息,其中消息中包括会话处理ID用来标记这次验证会话。具体地,例如,代码访问客户端向代码服务端发起应用登录请求消息。
如图9所示,应用提供服务端向用户终端发送要求设备应用验证消息。具体地,步骤S42代码服务端发送要求设备应用验证消息要求用户终端的应用客户端执行设备安全验证。
如图9所示,用户终端向应用提供服务端发送设备应用访问凭证消息。具体地,步骤S43调用设备应用关系客户端API,计算设备应用访问凭证消息体凭证;步骤S44使用独立安全单元计算的凭证通过设备应用关系客户端返回给代码访问应用客户端;步骤S45代码访问客户端发送设备应用访问凭证消息给代码服务端。
具体地,应用客户端收到要求设备应用验证消息后,客户端应用程序调用设备应用关系客户端API,提交包括第一动态密钥识别共享码、会话处理ID、时间戳、应用名、应用服务商信息及用户名等信息的设备应用访问凭证消息体,设备应用关系客户端为这次请求产生设备应用访问凭证消息。设备应用访问凭证消息由消息体和加密后的设备应用访问凭证消息体凭证组成;其中消息体包括但不限于应用名称、应用账户、应用补充信息、随机数、时间戳、会话处理ID、第一动态密钥识别共享码。应用客户端调用设备应用关系客户端API计算设备应用访问凭证消息体凭证;安全单元返回凭证;设备应用关系客户端将包括设备应用访问凭证消息体和设备应用访问凭证消息体凭证的设备应用访问凭证消息发给应用客户端;应用客户端发送设备应用访问凭证消息给应用提供服务器。
如图9所示,应用提供服务端处理并向设备应用关系验证服务端发送设备应用访问凭证消息。具体地,步骤S46代码服务端授权检查是这次访问请求的响应,检查会话处理ID是否有效;步骤S47检查完毕后将该设备应用访问凭证消息转发至设备应用关系验证服务端。应用提供服务器收到设备应用访问凭证消息后,检查会话处理ID有效后,将消息发送至设备应用关系验证服务器。
如图9所示,设备应用关系验证服务端根据应用及帐户与设备安全注册关系对设备应用访问凭证消息验证,并向应用提供服务端发送设备应用验证结果消息;应用提供服务端根据设备应用验证结果消息包括的应用安全访问认证结果响应用户终端的应用登陆请求消息。步骤S48设备应用关系验证服务端使用设备应用访问凭证消息中的第一动态密钥识别共享码在设备应用关系验证服务端查找与其对应的第一动态设备验证共享码和第二动态设备验证共享码计算设备应用访问凭证消息体验证凭证;验证消息中的设备应用访问凭证消息体凭证是否和计算的验证凭证结果一致。如果一致,则继续检查设备应用列表是否包括了消息中请求的帐户与代码应用授权和操作授权,从而产生这次应用及帐户的访问是否来自授权的用户终端的判断结果。步骤S49将设备应用验证结果消息发送给代码服务端,代码验证服务端根据消息中指示的结果决定授予当前请求的服务。
具体地,设备应用关系验证服务器收到设备应用访问凭证消息,使用第一动态密钥识别共享码在应用关系验证服务器内查找第一动态设备验证共享码和第二动态设备验证共享码。使用第一动态设备验证共享码和第二动态设备验证共享码计算设备应用访问凭证消息的消息体凭证。比较计算所得凭证与消息中发送的凭证是否一致。如果结果一致,则进一步检查对应的设备是否具有应用,账户或者行为的授权,从而得到检查结果。产生设备应用验证结果消息包括会话处理ID、判断结果和结果补充信息,发送此消息给应用提供服务器;其中消息内容包括但不限于列举的信息,应用提供服务器按照设备应用验证结果消息中的结果和补充信息决定这次访问的需要提供的服务。
如图10所示,在本发明实施例中,为了进一步保证用户终端与应用提供服务端之间通信的安全性,需要给设备安全注册关系设置生命周期,在生命周期到期后需要进一步更新该设备安全注册关系。具体更新设备安全注册关系过程入下:用户终端与设备应用关系验证服务端协商第三动态设备验证共享码和第四动态设备验证共享码,分别存储在用户终端和设备应用关系验证服务端;设备应用关系验证服务端根据设备应用关系验证服务端的第三动态设备验证共享码和第四动态设备验证共享码生成第二动态密钥识别共享码;设备应用关系验证服务端向用户终端发送带第二动态密钥识别共享码和第一动态密钥识别共享码的要求设备更新消息;用户终端根据用户终端的第一动态设备验证共享码、第二动态设备验证共享码、第一动态密钥识别共享码、第三动态设备验证共享码、第四动态设备验证共享码和第二动态密钥识别共享码生成动态设备更新消息,并发送至设备应用关系验证服务端;动态设备更新消息包括用户终端更新注册凭证、第一动态密钥识别共享码和第二动态密钥识别共享码;设备应用关系验证服务端根据设备应用关系验证服务端的第一动态设备验证共享码、第二动态设备验证共享码、第一动态密钥识别共享码、第三动态设备验证共享码、第四动态设备验证共享码和第二动态密钥识别共享码验证动态设备更新消息;设备应用关系验证服务端根据设备应用关系验证服务端的第三动态设备验证共享码、第四动态设备验证共享码、第二动态密钥识别共享码、第一动态设备验证共享码、第二动态设备验证共享码和第一动态密钥识别共享码生成设备更新确认消息;设备应用关系验证服务端向用户终端反馈设备更新注册确认结果。
如图11所示,本发明实施例中,共享码更新的过程用于维护性和自动的系统侧发起的更新,即由设备应用关系验证服务端发起更新:设备应用关系验证服务端为每个注册成功的第一动态设备验证共享码和第二动态设备验证共享码设定生命周期;当生命周期耗尽之前启动第一动态设备验证共享码,第二动态设备验证共享码和动态密钥识别共享码的更新过程;较佳的,从设备应用关系验证服务端侧发起共享码更新的过程用以保证系统在侦测到攻击,有健壮的安全性。
如图11所示,用户终端与设备应用关系验证服务端协商第三动态设备验证共享码和第四动态设备验证共享码,分别存储在用户终端和设备应用关系验证服务端。步骤S71设备应用关系验证服务端与设备应用关系客户端产生第三动态设备验证共享码;步骤S72注册第三动态设备验证共享码到独立安全单元;与步骤S71相同,步骤S73产生第四动态设备验证共享码;步骤S74注册第四动态设备验证共享码到独立安全单元。
如图11所示,设备应用关系验证服务端根据设备应用关系验证服务端的第三动态设备验证共享码和第四动态设备验证共享码生成第二动态密钥识别共享码。具体地,步骤S75设备应用关系验证服务端使用新的第三动态设备验证共享码和第四动态设备验证共享码计算出第二动态密钥识别共享码。
如图11所示,设备应用关系验证服务端向用户终端发送带第二动态密钥识别共享码的要求设备更新消息。具体地,步骤S76设备应用关系验证服务端使用由服务端随机数U、第一动态密钥识别共享码、第二动态密钥识别共享码组成要求设备更新消息的消息体,用设备应用关系验证服务端私钥为要求设备更新消息的消息体的签名组成的要求设备更新消息发送给设备应用关系客户端。
具体地,设备应用关系验证服务器产生要求设备更新消息,至少包括服务器随机数U,当前第一动态密钥识别共享码,第二动态密钥识别共享码组成的消息体,和用设备应用关系验证服务器私钥对消息体的签名组成;设备应用关系验证服务器将要求设备更新消息发送给设备应用关系客户端。
如图11所示,用户终端根据用户终端的第一动态设备验证共享码、第二动态设备验证共享码、第一动态密钥识别共享码、第三动态设备验证共享码、第四动态设备验证共享码和第二动态密钥识别共享码生成动态设备更新消息,并发送至向设备应用关系验证服务端。具体地,设备应用关系客户端使用预置的设备应用关系验证服务端公钥验证要求设备更新消息的签名。通过步骤S77和步骤S78组建动态设备跟新消息:用户终端更新注册凭证包括动态设备更新消息主消息体凭证和动态设备更新消息子消息体凭证:动态设备更新消息子消息体凭证是用户终端根据用户终端的第三动态设备验证共享码和第四动态设备验证共享码计算得到的;动态设备更新消息主消息体凭证是用户终端根据用户终端的第一动态设备验证共享码和第二动态设备验证共享码计算得到的。步骤S77设备应用关系客户端使用,服务端随机数U、时间戳、子消息随机数、第一动态密钥识别共享码、第二动态密钥识别共享码组成动态设备更新消息子消息体。使用第三动态设备验证共享码和第四动态设备验证共享码计算动态设备更新消息子消息体凭证。步骤S78动态设备更新消息子消息体,动态设备更新消息子消息体凭证和主消息随机数组成设备更新消息主消息体,使用当前第一动态设备验证共享码和当前第二动态设备验证共享码计算设备更新消息主消息体凭证;步骤S79设备应用关系客户端产生动态设备更新消息,由动态设备更新消息主消息体和动态设备更新消息主消息体凭证组成动态设备更新消息,发送给设备应用关系验证服务端。
具体地,设备应用关系客户端使用设备应用关系验证服务器公钥验证要求设备更新消息的签名;如果通过继续以下更新过程,否则丢弃。设备应用关系客户端产生动态设备跟新消息,使用服务器随机数U、时间戳、子消息随机数、第一动态密钥识别共享码、第二动态密钥识别共享码组成动态设备更新消息子消息体。使用第三动态设备验证共享码和第四动态设备验证共享码计算动态设备更新消息子消息体凭证。将动态设备更新消息子消息体、动态设备更新消息子消息体凭证和主消息随机数组成动态设备更新消息主消息体,使用第一动态设备验证共享码和第二动态设备验证共享码计算动态设备更新消息主消息体凭证;由动态设备更新消息主消息体和动态设备更新消息主消息体凭证组成动态设备更新消息,发送给设备应用关系验证服务器。
如图11所示,设备应用关系验证服务端根据设备应用关系验证服务端的第一动态设备验证共享码、第二动态设备验证共享码、第一动态密钥识别共享码、第三动态设备验证共享码、第四动态设备验证共享码和第二动态密钥识别共享码验证动态设备更新消息。步骤S710使用第一动态密钥识别共享码对应的第一动态设备验证共享码和第二动态设备验证共享码计算动态设备更新消息主消息体凭证,与消息中发送的对应凭证比较是否一致。步骤S711使用第二动态密钥识别共享码对应的第三动态设备验证共享码和第四动态设备验证共享码验证计算所得动态设备更新消息子消息体凭证,是否与消息中包含的动态设备更新消息子消息凭证一致。如果一致继续以下过程,否则丢弃;此验证表明消息发送者持有第一动态密钥识别共享码和第二动态密钥识别共享码。
具体的说,设备应用关系验证服务端收到动态设备更新消息,使用当前动态密钥识别共享码对应的当前第一动态设备验证共享码和当前第二动态设备验证共享码计算动态设备更新消息的消息体凭证,与发送的动态设备更新消息主消息体凭证比较是否一致;如果一致继续以下过程,否则丢弃。用第三动态密钥识别共享码和第四动态密钥识别共享码计算动态设备更新消息子消息体凭证,与动态设备更新消息中发送的动态设备更新消息子消息体凭证比较如果一致,则新的共享码注册成功,否则丢弃。
步骤S712设备应用关系验证服务端使用随机数、第二动态密钥识别共享码、第二动态密钥识别共享码组成设备更新确认消息子消息体,使用第一动态设备验证共享码和第二动态设备验证共享码计算设备更新确认消息子消息体凭证。
步骤S713设备应用关系验证服务端使用设备更新确认消息子消息体、设备更新确认消息子消息体凭证和主消随机数组成设备更新确认消息主消息体,使用第三动态设备验证共享码和第四动态设备验证共享码计算设备更新确认主消息体凭证。
如图11所示,设备应用关系验证服务端向用户终端反馈设备更新注册确认结果包括:设备应用关系验证服务端向用户终端反馈设备更新确认消息;用户终端根据用户终端的第二动态密钥识别共享码对应的第三动态设备验证共享码和第四动态设备验证共享码计算设备更新确认消息的主消息体凭证,并根据用户终端的第一动态密钥识别共享码对应的第一动态设备验证共享码和第二动态设备验证共享码计算设备更新确认消息的子消息体凭证,将计算到的住消息体凭证和子消息体凭证与消息中发送的对应住消息体凭证和子消息体凭证比较验证;如验证都通过,则用户终端将用户终端的第三动态设备验证共享码,第四动态设备验证共享码和对应的第二动态密钥识别共享码设定为注册成功状态;用户终端保存第二动态密钥识别共享码;用户终端向设备应用关系验证服务端发送携带使用用户终端的第三动态设备验证共享码和第四动态设备验证共享码产生的设备注册凭证和第二动态密钥识别共享码设备更新注册消息;设备应用关系验证服务端根据设备应用关系验证服务端的第三动态设备验证共享码、第四动态设备验证共享码和第二动态密钥识别共享码验证设备更新注册消息;设备应用关系验证服务端向用户终端反馈设备更新注册确认结果。具体地,步骤S714产生设备更新确认消息,实施时使用第三动态设备验证共享码计算主消息体和第四动态设备验证共享码计算设备更新确认消息主消息体凭证,使用设备更新确认消息主消息体凭证和设备更新确认消息主消息体组成设备更新确认消息。
具体地,设备应用关系验证服务器产生设备更新确认消息。设备更新确认消息使用子消息随机数、时间戳、第一动态密钥识别共享码,第二动态密钥识别共享码组成子消息体,使用第一动态设备验证共享码和第二动态设备验证共享码计算设备更新确认消息子消息体凭证;设备应用关系验证服务器使用设备更新确认消息子消息体、设备更新确认消息子消息体凭证和主消随机数组成设备更新确认消息主消息体,使用第三动态设备验证共享码和第四动态设备验证共享码计算设备更新确认消息主消息体凭证。使用设备更新确认消息主消息体和设备更新确认消息主消息体凭证共同组成设备更新确认消息。应用设备关系验证服务器发送设备更新确认消息给设备应用关系客户端。
步骤S714应用设备关系验证服务端发送设备更新确认消息给设备应用关系客户端。具体实施中,设备应用关系客户端检查第二动态密钥识别共享码是否正确;使用对应的第三动态设备验证共享码和第四动态设备验证共享码计算设备更新确认消息主消息体凭证,将其与设备更新确认消息中发送的设备更新确认消息主消息体凭证比较;如果一致,则继续后续流程,否则丢弃;使用第一动态设备验证共享码和第二动态设备验证共享码计算设备更新确认消息子消息体凭证,将其与设备更新确认消息中发送的设备更新确认消息子消息体凭证比较;如两次判断都通过,则设备应用关系客户端将第三动态设备验证共享码和第二动态设备验证共享码设定为注册成功状态。
步骤S715设备应用关系客户端将以第三动态设备验证共享码,第四动态设备验证共享码和第二动态密钥识别共享码更新为当前共享码验证识别和密钥,产生设备更新注册消息。设备应用关系客户端使用客户端随机数、时间戳、第二动态密钥识别共享码、第三动态设备验证共享码和第四动态设备验证共享码生成设备更新注册消息发送给设备应用关系验证服务器。
步骤S716设备应用关系客户端将第二动态密钥识别共享码更新为当前密钥识别共享码并保存到独立安全单元。设备应用关系验证服务端依据设备更新注册消息验证流程完成验证后,在服务端将用第三动态设备验证共享码、第四动态设备验证共享码、第二动态密钥识别共享码作为当前第一动态密钥识别共享码,第一动态设备验证共享码、第二动态设备验证共享码用于以后的验证共享码。步骤S717设备应用关系验证服务端发送设备跟新结束消息给设备应用关系客户端。该消息证实设备应用关系验证服务端和设备应用关系客户端都切换到新的共享码作为验证凭据来源,更新过程结束。
具体地,设备应用关系验证服务器使用消息中包括的第二动态密钥识别共享码查找对应的第三动态设备验证共享码和第四动态设备验证共享码,计算消息体凭证并将其与消息中发送的设备跟新注册消息体凭证比较,验证通过后,将第二动态密钥识别共享码,对应的第三动态设备验证共享码和第四动态设备验证共享码更新为当前验证共享码;发送设备更新结束消息给设备应用关系客户端。设备更新结束消息包括当前第一动态密钥识别共享码、随机数。使用第三动态设备验证共享码和第四动态设备验证共享码计算的设备更新结束消息的消息体凭证。设备应用关系客户端收到设备更新结束消息,检查当前密钥识别共享码,使用第三动态设备验证共享码和第四动态设备验证共享码计算设备更新结束消息体凭证,与消息中发送的凭证比较,验证通过后,设备应用关系验证服务器和设备应用关系客户端都完成切换到第三动态设备验证共享码,第四动态设备验证共享码和新的第二动态密钥识别共享码作为验证凭据来源,更新过程结束。
如图3、图12所示,为本发明实施例中客户端消息的各种认证凭证产生流程是这样的:以下以一种消息为例说明在本发明实施例中的消息凭证的产生过程;步骤S81应用客户端请求获取当前设备的第一动态密钥识别共享码。步骤S82设备应用关系客户端将第一动态密钥识别共享码返回给应用客户端。步骤S83应用客户端将消息体如包括但不限于相关应用名称或ID,用户ID或用户名,访问的服务类型,会话处理ID,应用指定的补充信息,挑战随机数等组成的消息序列提交设备应用关系客户端,请求计算消息体凭证。步骤S84设备应用关系客户端将消息体提交到独立安全单元。步骤S85独立安全单元使用设备应用关系客户端对应的第一动态设备验证共享码计算消息凭证。步骤S86独立安全单元使用对应的第二动态设备验证共享码计算凭证。步骤S87独立安全单元将凭证返回给设备应用关系客户端。步骤S88设备应用关系客户端将凭证返回给应用客户端。
为进一步体现本发明实施例提供的安全访问认证处理方法,的优越性,本发明实施例还提供一种应用上述方法的用户终端。如图13所示,该终端包括:设备注册确认单元,用于向设备应用关系验证服务端发送设备注册消息建立设备安全注册关系;应用授权确认单元,用于向设备应用关系验证服务端发送授权请求消息,并根据设备安全注册关系建立应用及帐户与设备安全注册关系;安全认证请求确认单元,用于通过应用提供服务端向设备应用关系验证服务端发送设备应用访问凭证消息;设备应用访问凭证消息是应用提供服务端向登陆请求单元发送的设备应用验证消息生成的;登陆单元,用于根据应用提供服务端的应用登陆响应消息响应应用登陆请求消息,应用登陆响应消息是应用提供服务端根据是设备应用关系验证服务端对设备应用访问凭证消息认证结果后生成的。下面对本发明实施例和提供的安全访问认证用户终端展开详细的说明。本发明实施例提供的安全认证用户终端的工作原理和过程与上述的安全认证类似,可以参照上述的安全认证方法,再次不再一一赘述了。
如图14所示,设备注册单元,包括:第一动态设备验证共享码协商单元,用于与设备应用关系验证服务端协商第一动态设备验证共享码和第二动态设备验证共享码,并分别存储在用户终端和设备应用关系验证服务端;设备注册请求单元,用于生成并向设备应用关系验证服务端发送携带设备注册凭证的设备注册消息;设备注册消息根据存储在用户终端的第一动态设备验证共享码和第二动态设备验证共享码生成的,第一动态密钥识别共享码是设备应用关系验证服务端根据设备应用关系验证服务端的第一动态设备验证共享码和第二动态设备验证共享码生成后向用户终端发送的;设备注册确认单元,用于接收设备应用关系验证服务端的注册确认结果验证并保存,注册确认结果是设备应用关系验证服务端根据设备应用关系验证服务端的第一动态设备验证共享码、第二动态设备验证共享码和第一动态密钥识别共享码验证设备注册消息后得到的;所述第一动态密钥识别共享码是所述设备应用关系验证服务端根据所述设备应用关系验证服务端的所述第一动态设备验证共享码和第二动态设备验证共享码生成的。设备注册消息包括:设备注册凭证、注册时间、设备类型及描述和设备位置。
如图15所示,应用授权单元,包括;应用授权请求单元,用于生成并通过应用提供服务端发送向设备应用关系验证服务端发送授权请求消息;应用授权响应单元,用于生成并通过应用提供服务端发送向设备应用关系验证服务端发送授权响应消息;授权响应消息是根据动态授权码密文和随机生成数生成的,授权响应消息带授权响应凭证;动态授权码密文是设备应用关系验证服务端根据应用授权请求消息生成后通过应用提供服务端发送的,随机生成数是应用提供服务端向用户终端发送动态授权码后发送的;应用授权确认单元,用于接收设备应用关系验证服务端的应用授权确认结果验证并保存,注册确认结果是设备应用关系验证服务端根据设备应用关系验证服务端的第一动态设备验证共享码、第二动态设备验证共享码和第一动态密钥识别共享码验证授权响应消息后,再验证授权码密文得到的。
安全访问认证用户终端的登陆请求单元,还包括应用访问凭证单元,用于产生设备应用访问凭证消息体;计算设备应用访问凭证消息体凭证;生成包括设备应用访问凭证消息体和设备应用访问凭证消息体凭证的设备应用访问凭证消息;向应用提供服务器发送设备应用访问凭证消息。
如图16所示,安全访问认证用户终端,还包括,设备注册更新单元,包括:第二动态设备验证共享码协商单元,用于与设备应用关系验证服务端协商第三动态设备验证共享码和第四动态设备验证共享码,并分别存储在用户终端和设备应用关系验证服务端;设备更新注册请求单元,用于生成并向设备应用关系验证服务端发送携带设备更新注册凭证的动态设备更新消息;动态设备更新消息是根据存储在用户终端的根据用户终端的第一动态设备验证共享码、第二动态设备验证共享码、第一动态密钥识别共享码、第三动态设备验证共享码、第四动态设备验证共享码和第二动态密钥识别共享码生成的,第二动态密钥识别共享码是设备应用关系验证服务端根据设备应用关系验证服务端的第三动态设备验证共享码和第四动态设备验证共享码生成后向用户终端发送的;设备更新注册确认单元,用于接收设备应用关系验证服务端的注册确认结果验证并保存,更新注册确认结果是设备应用关系验证服务端根据设备应用关系验证服务端的第一动态设备验证共享码、第二动态设备验证共享码、第一动态密钥识别共享码、第三动态设备验证共享码、第四动态设备验证共享码和第二动态密钥识别共享码验证动态设备更新消息后得到的。其中,用户终端更新注册凭证包括动态设备更新消息主消息体凭证和动态设备更新消息子消息体凭证:动态设备更新消息子消息体凭证是用户终端根据用户终端的第三动态设备验证共享码和第四动态设备验证共享码计算得到的;动态设备更新消息主消息体凭证是用户终端根据用户终端的第一动态设备验证共享码和第二动态设备验证共享码计算得到的。
为进一步体现本发明实施例提供的安全访问认证处理方法的优越性,本发明实施例还提供一种应用上述方法的服务端,如图17所示,该设备应用关系验证服务端,包括:设备注册确认单元,用于接受用户终端发送的设备注册消息建立设备安全注册关系;应用授权确认单元,用于接收用户终端发送的授权请求消息,并根据设备安全注册关系建立应用及帐户与设备安全注册关系;安全认证请求确认单元,用于接收通过应用提供服务端发送的设备应用验证请求消息;设备应用访问凭证消息是应用提供服务端向登陆请求单元发送的设备应用验证请求消息生成的;安全访问认证确认单元,接收对设备应用访问凭证消息验证后生成的设备应用验证结果消息并通过应用提供服务端发送的应用登陆响应消息,用户终端根据应用提供服务端的登陆响应结果响应处理。本发明实施例提供的应用及帐户与设备安全注册关系验验证应用服务端访问的工作原理和过程与上述的安全认证类似,可以参照上述的安全认证方法,再次不再一一赘述了。
如图18所示,设备注册确认单元包括:第一动态设备验证共享码协商单元,用于与用户终端协商第一动态设备验证共享码和第二动态设备验证共享码,并分别存储在用户终端和设备应用关系验证服务端;为所述第一动态设备验证共享码和第二动态设备验证共享码分配对应的所述第一动态设备验证共享码注册ID和第二动态设备验证共享码注册ID;第一动态密钥识别共享码生成单元,用于根据设备应用关系验证服务端的第一动态设备验证共享码和第二动态设备验证共享码生成并向用户终端发送第一动态密钥识别共享码。设备注册确认单元,用于接收用户终端发送的设备注册消息根据设备应用关系验证服务端的第一动态设备验证共享码、第二动态设备验证共享码和第一动态密钥识别共享码验证设备注册消息后,并向用户终端发送设备注册确认结果;设备注册消息是根据存储在用户终端的第一动态设备验证共享码和第二动态设备验证共享码生成的,设备注册消息携带设备注册凭证以及所述第一动态设备验证共享码注册ID和第二动态设备验证共享码注册ID。
如图19所示,应用授权确认单元包括;应用授权请求处理单元,用于接收用户终端发送的授权请求消息并根据应用授权请求消息生成动态授权码密文通过应用提供服务端发送至用户终端;应用授权响应处理单元,接收用户终端发送的授权响应消息,并根据设备应用关系验证服务端的第一动态设备验证共享码、第二动态设备验证共享码和第一动态密钥识别共享码验证授权响应消息后,再验证动态授权码密文后,生成授权通知消息并通过应用提供服务端发送至用户终端;授权响应消息是用户终端根据动态授权码密文和随机生成数生成的,授权响应消息带授权响应凭证,随机生成数是应用提供服务端向用户终端发送动态授权码密文后发送的。具体地,设备应用关系验证服务端根据应用授权请求消息生成动态授权码包括:根据授权请求消息生成动态授权码;根据授权请求消息生成动态授权密钥;使用所述动态授权密钥对所述动态授权码加密;将动态授权码密文发送至应用提供服务端。生成授权通知消息包括:使用设备安全注册关系验证消息中的授权凭证是否匹配;然后使用设备安全注册关系对应的授权码密钥解密的授权码密文,验证解密后的授权码与所述设备应用关系验证服务端分配的授权码是否匹配;如果都通过匹配,将该授权码对应的应用、用户ID、授权的服务操作和授权时间跟设备关系添加到设备应用列表中。
设备应用关系验证服务端还的所述登陆响应单元还包括,登陆请求验证单元用于,使用第一动态密钥识别共享码在应用关系验证服务器内查找第一动态设备验证共享码和第二动态设备验证共享码;使用第一动态设备验证共享码和第二动态设备验证共享码计算设备应用访问凭证消息的消息体凭证;用于比较计算所得凭证与消息中发送的凭证是否一致;如果结果一致,则进一步检查对应的应用及帐户与设备安全注册关系是否具有消息中请求的应用及帐户的授权关系,从而得到检查结果。
如图20所示,设备应用关系验证服务端还包括,设备注册更新确认单元:第二动态设备验证共享码协商单元,用于与用户终端协商第三动态设备验证共享码和第四动态设备验证共享码,并分别存储在用户终端和设备应用关系验证服务端;第二动态密钥识别共享码生成单元,用于根据设备应用关系验证服务端的第三动态设备验证共享码和第四动态设备验证共享码生成并向用户终端发送第二动态密钥识别共享码。设备更新注册请求确认单元,用于接收用户终端发送的动态设备跟新消息,并根据设备应用关系验证服务端的第一动态设备验证共享码、第二动态设备验证共享码、第一动态密钥识别共享码、第三动态设备验证共享码、第四动态设备验证共享码和第二动态密钥识别共享码验证动态设备更新消息后得到设备更新确认消息,并向用户终端发送;动态设备更新消息是根据存储在用户终端的根据用户终端的第一动态设备验证共享码、第二动态设备验证共享码、第一动态密钥识别共享码、第三动态设备验证共享码、第四动态设备验证共享码和第二动态密钥识别共享码生成的;动态设备更新消息携带设备更新注册凭证。其中,用户终端更新注册凭证包括动态设备更新消息主消息体凭证和动态设备更新消息子消息体凭证:动态设备更新消息子消息体凭证是用户终端根据用户终端的第三动态设备验证共享码和第四动态设备验证共享码计算得到的;动态设备更新消息主消息体凭证是用户终端根据用户终端的第一动态设备验证共享码和第二动态设备验证共享码计算得到的。
在实施中,本发明具体实施时,具备设备安全注册关系容量扩展能力;本发明实施例以第一动态设备验证共享码为基础,通过第二动态设备验证共享码增强的方法实现验证,类比,可以扩展使用同样的方法产生第五动态设备验证共享码,整个发明的技术和过程不变的情况下取得设备管理数的提升;具体实施时,可以使用第五动态设备共享码对由第一动态设备验证共享码和第二动态设备验证共享码为密钥计算产生的凭证再次加密的方法扩展;第一动态密钥识别共享码对应第一动态设备验证共享码,第二动态设备验证共享码和第五动态设备验证共享码。上述实施例中仅仅是以第一动态设备验证共享码和第二动态设备验证共享码作为优选实施例做了对应的举例说明,应当可以理解,本法发明不仅限于此,其他利用动态设备验证共享码验证的实施例也可以实现本发明。具体地例如,一个动态设备验证共享码、三个动态设备验证共享码或五个动态设备验证共享码等。具体实施方案与上述实施例基本相同,可以参照上述的实施例做相应的适应性改变,在此次就不再作一一赘述了。
实施时,不启用第二动态设备验证共享码,而其余的技术,方法,系统和设备不变的情况下本发明实施例仍然可以部署,可以取得自动,安全和在访问验证过程中不增加终端用户操作复杂度的方法和系统。同理在增加第五动态设备验证共享码的情况下,其作用和方法与第二动态设备验证共享码一致。
具体实施时,在不启用第二动态设备验证共享码功能情况下,防暴力攻击威胁的能力会下降,如生日攻击的威胁;同时单一密钥长度范围限定管理设备应用关系客户端数的上限,所以可以管理的设备数大大减少了,但是对于一些的企业专用场景,如客户端设备不多的场景是足够的;
具体实施时,在不使用第二动态设备验证共享码的情况下,实施时引起的变换如下:本发明实施例中第一动态密钥识别共享码只对应第一动态设备验证共享码;由使用第一动态验证共享码和第二动态验证共享码计算和验证消息体凭证变换为只进行第一动态设备验证共享码相关的计算和比较;动态设备应用关系客户端和设备应用关系验证服务器不管理和分配与第二动态设备验证共享码相关的资源和数据。
综上所述,本发明实施例提供的安全访问认证处理方法、用户终端和服务端通过设备认证和应用授权的双重认证的方式可以有效保证用户终端的应用访问应用服务端的数据安全性。在用户账户及密码被盗的情况下通过动态设备访问凭证技术防止攻击者通过第三方未授权设备访问服务或应用账户相关信息的入侵行为。本发明通过持续自动化的流程产生动态设备凭证,加密和验证省去每次用户应用账户访问手动输入二次用户验证码的步骤。本发明通过双签名机制防止中间人攻击从而保证共享码的端到端安全性。本发明通过动态设备验证共享码机制提高抗暴力攻击和抗生日攻击能力;本发明授权移动智能设备通过验证基于动态设备验证共享码验证方式防止授权验证码被盗后授权其他设备;本发明还提供一种安全,快捷和自动的密钥更新方式达到低成本的系统威胁应对成本和维护成本;本发明提供一种扩展认证客户密钥的方式,在不增加加密算法实现难度和不影响执行效率的情况下实现了扩展,使可以管理的客户端设备大大增加,解决了通用性问题。本发明所述方法通过应用账户通过在授权访问的计算机智能设备上访问验证机制,在密码被盗后,第三方设备由于没有被授权而不能访问,系统和账户持有者由于能够第一时间感知密码泄露并及时补救安全漏洞。
通过本发明可以帮助企业、机构的专业应用网络管理发起应用访问的边界,及设备。用户可以通过上述的方式授权设备应用关系。本发明适合自助服务模式,适合多变,灵活的公众用户需求。企业内网可以使用自动化关联企业内服运营部门的方式自动的配置应用和设备关系,从而省去每个员工自助授权的过程,从而实现企业IT访问端设备边界管理。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。术语“上”、“下”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
本发明的说明书中,说明了大量具体细节。然而能够理解的是,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。类似地,应当理解,为了精简本发明公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释呈反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。本发明并不局限于任何单一的方面,也不局限于任何单一的实施例,也不局限于这些方面和/或实施例的任意组合和/或置换。而且,可以单独使用本发明的每个方面和/或实施例或者与一个或更多其他方面和/或其实施例结合使用。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。
- 还没有人留言评论。精彩留言会获得点赞!