分布式网络下的身份认证方法、系统、终端、介质及应用与流程

本发明属于网络安全，尤其涉及分布式网络下的身份认证方法、系统、终端、介质及应用。

背景技术：

1、目前，如何使一个内部用户既能访问到处于不同地理位置的、不同业务、不同级别的系统又能得到相应的权限控制，是电子政务应用系统建设中需要解决的一个重要课题，在这样的应用环境中，安全的单点登录显得尤其迫切。借助安全的单点登录系统，用户仅仅需要记住一个口令即可自动登录到一个应用系统后访问所有有权限的应用系统而不需要重新登录。

2、当前的单点登录系统，无论是国外ca公司的etrust、rsa公司的cleartrust、hp公司的select access，存在着以下的缺陷：要么单点登录仅局限于局域网环境，不适于社交网络下分布式的广域网环境；要么使用的是弱认证方式，在社交网络中应该使用受密码保护的强认证方式。

3、通过上述社交网络环境下的身份认证分析，现有技术存在的问题及缺陷为：

4、(1)基于口令的用户身份认证：基于口令的用户身份认证一直是分布环境中最广泛使用的一种认证方法。但它对于重放攻击和字典攻击没有抵抗力。到现在为止，人们已经提出了多种基于口令认证的方案，但是这些方案所运用的技术并不比公钥密码体制和diffie-hellman密钥交换计数更先进，而且它们还对整个系统造成了更加严重的计算开销。

5、(2)s/key认证：

6、每一次认证时系统产生的一次性口令不同，这样即使口令被窃听也无关紧要。然而使用s/key的用户需输入一次性口令，因而使用起来比较烦琐。

7、(3)kerberos身份认证：

8、在分布式计算环境下，用户访问系统时的位置是可变的，同时用户所要访问的系统资源也不是固定的。kerberos给出了一种具有较高安全性能的用户身份认证和资源访问认证的机制。但kerberos存在安全缺陷，而且这种协议的使用需要复杂的设置。

技术实现思路

1、为克服相关技术中存在的问题，本发明公开实施例提供了一种分布式网络下的身份认证方法、系统、终端、介质及应用，还涉及一种分布式网络环境下的单点登录模型。

2、所述技术方案如下：一种分布式网络下的身份认证方法，包括：

3、用户在本地和异地登录应用系统时，与本地认证服务器和异地认证服务器进行信息交互；

4、用户登录到应用系统后，每次访问系统资源时进行用户身份的真实性验证，确认用户宣称的身份。

5、在本发明一实施例中，本地认证服务器进行本地认证的方法包括：

6、s1、用户向本地认证服务器发出登录请求；

7、s2、本地认证服务器sl产生用户随机数r发送给a，并在本地认证服务器中保存该随机数；

8、s3、用户对该随机数进行签名，并将用户的身份信息、签名信息以及公钥证书(a,sk-1(r),certa)发往本地认证服务器sl；

9、本地认证服务器sl对用户的签名验证，如果签名验证正确，则产生该用户的身份票据ta，加密保存在本地认证服务器，并将密文ek(ta)发给用户；如果用户签名不正确，则用户认证失败，不能登录；

10、s4、用户收到本地认证服务器sl发来的信息ek(ta)，解密后得到身份票据ta，并将身份票据ta保存在用户usb token中。

11、在本发明一实施例中，异地认证服务器进行异地认证的方法包括：

12、1)用户a向异地认证服务器sr发出登录认证请求；

13、2)异地认证服务器sr产生用户随机数r，将其发送给a，并在异地认证服务器中保存该随机数；

14、3)用户对随机数签名，将用户信息、签名信息以及公钥证书(a,sk-1(r),certa)发往异地认证服务器sr；

15、异地认证服务器sr判断如果用户登录的是异地认证服务器，通知用户重定向到本地认证服务器进行身份认证；

16、4)异地认证服务器通知用户重定向；

17、5)用户收到重定向通知后，将用户认证信息重新发往用户的本地认证服务器sl；进行本地认证；

18、6)用户收到本地认证服务器sl发来的信息ek(ta)，解密后得到身份票据ta，并将身份票据ta保存在用户usb token中。

19、在本发明一实施例中，所述进行用户身份的真实性验证包括本地身份真实性验证，所述本地身份真实性验证包括：

20、(1)用户利用保存在token中的身份票据ta和身份信息，将得到用户身份真实性信息i(fi(ta))发到本地认证服务器；

21、(2)异地认证服务器发送给用户重定向请求；

22、(3)本地认证服务器sl安全的利用用户票据从i(fi(ta))得到用户信息并于保存的用户信息进行比较，如果一致，则用户身份真实，返回应答允许用户访问系统资源；否则是假冒用户，返回应答信息，要求用户进行身份认证，进行本地身份认证。

23、在本发明一实施例中，所述进行用户身份的真实性验证还包括异地身份真实性验证，所述异地身份真实性验证包括：

24、(a)用户利用保存在token中的身份票据ta和身份信息，得到用户身份真实性信息i(fi(ta))发到异地认证服务器；

25、异地认证服务器sr收到身份真实性信息后，判断如果用户登录的是异地认证服务器，通知用户重定向到本地认证服务器；

26、(b)异地认证服务器发送给用户重定向请求；

27、(c)用户收到重定向通知后，将用户身份真实性信息重新发往用户的本地认证服务器sl；随后进行本地认证；

28、(d)本地认证服务器sl安全的利用用户票据从i(fi(ta))得到用户信息并与保存的用户信息进行比较，如果一致，则用户身份真实，返回应答允许用户访问系统资源；否则是假冒用户，返回应答信息，要求用户进行身份认证，进行本地身份认证。

29、在本发明一实施例中，进行用户身份的真实性验证，确认用户宣称的身份或，还需进行安全性分析。

30、本发明的另一目的在于提供一种分布式网络下的身份认证系统包括：

31、本地认证单元，用于用户在本地和异地登录应用系统时，与本地认证服务器和异地认证服务器进行信息交互；

32、身份真实性验证单元，用于用户登录到应用系统后，每次访问系统资源时进行用户身份的真实性验证，确认用户宣称的身份。

33、本发明的另一目的在于提供一种信息数据处理终端，所述信息数据处理终端包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行所述分布式网络下的身份认证方法。

34、本发明的另一目的在于提供一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时，使得所述处理器执行所述分布式网络下的身份认证方法。

35、本发明的另一目的在于提供一种所述分布式网络下的身份认证方法在电子政务安全需求上应用。

36、结合上述的所有技术方案，本发明所具备的优点及积极效果为：

37、本发明提供一种基于usb token和x.509数字证书的分布式网络下的身份认证协议(token&certificate-based authenticationprotocol)，简称tcbap协议。它能够实现分布式网络环境下的单点登录功能，并且对重放攻击是安全的，能够保证用户身份的真实性和用户票据的保密性。

38、相比于现有技术，本发明的优点进一步包括：本发明提出了一种基于数字证书高强度认证协议的单点登录模型。该模型能够用一个口令即可在登录到一个应用系统后访问所有有权限的应用系统、社交网络实现自动登录。另外，该模型不但适用于电子政务大规模的分布式的广域网环境，而且大大满足了电子政务的安全需求：不仅采用了受高强度密码保护的强认证方式，而且对重放攻击是安全的。

39、当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本发明的公开。