一种多客户端身份凭证的集中验证控制授权方法与流程

本发明属于web应用身份验证授权安全，具体涉及一种多客户端身份凭证的集中验证控制授权方法。

背景技术：

1、身份验证是指通过获取用户的各种有效信息标识(设备信息，生物特征，用户名密码等)来验证其用户活动身份合法性的过程；身份合法性存在一定的有效时长，此时长是通过身份验证后获取的属性之一称其为自然时效；在其合法身份的前提下对访问内容的权限与能力的开放限制管理我们称作资源授权。

2、一般情况下用户在访问服务端资源时，服务会通过客户端及远程服务器来验证其合法身份，然后服务器根据身份信息赋予或开放部分/全部的资源内容，在此过程中负责验证身份的服务会先将其提交的身份信息完成简单的本地验证，然后再上交至服务器进行完整的合法性检查，检查通过之后验证服务会发放可支持其身份活动的身份凭据(授权码，身份令牌等)。用户使用该授权码可向由控制资源访问的授权服务申请可访问的网络资源。上述流程为常见的网络身份验证及授权过程，验证服务的过程在保障整个流程安全性方面起着举足轻重的地位。

3、传统的用户认证和授权方式通常采用用户名和密码的方式进行身份验证，并通过访问控制列表(acl)或访问令牌(token)进行授权。这种方式存在很多安全风险和缺陷，如密码被盗用、令牌泄露、跨站脚本攻击等。同时通过实际操作使用我们也发现，身份验证与资源授权存在着很紧密的耦合关系，单一的用户身份在使用众多的网络资源这一普遍的实际场景中，并不能有效有能力去集成更多的自有和三方资源去完成资源控制与权限发放。

技术实现思路

1、基于上述问题，本申请提供一种可配置跨平台资源、安全性能高的多客户端身份凭证的集中验证控制授权方法。其技术方案为，

2、一种多客户端身份凭证的集中验证控制授权方法，包括以下步骤，

3、s1.将自有或者三方网络资源所有者注册至资源系统识别库中；

4、s2.用户在使用客户端a领取自己的首发凭证，用户持客户端b握手a完成凭证传递；

5、s3.客户端b使用凭证申请验证：客户端b将凭证数据内容以tcp方式提交至验证服务器，请求反发序列化凭证并发放资源内容；

6、s4.验证服务器反序列化身份凭证；

7、s5.资源服务器根据授权信息提取首发凭证的资源内容，返回凭证授权资源安全域内容：

8、s6.验证服务器使用安全多方计算技术生成新的凭证；绑定终端并下发新的身份凭证至客户端b。

9、优选的，步骤s2中，凭证传递过程采用公私钥加密加哈希算法的方式完成，具体方法如下，

10、s21.客户端a使用哈希算法对消息进行摘要生成，然后使用公钥对摘要签名发送至客户端b；

11、s22.客户端b接收到数据使用私钥解密消息并使用哈希算法生成摘要与收到的摘要进行对比，至此完成数据传输。

12、优选的，步骤s4中，验证服务器接收到客户端b提供的首发凭证，先将凭证内容通过objectoutputstream序列化为字节流，然后通过objectinputstream反序列化为原始对象，检查原始对象的签名信息是否被篡改并与数据库数据进行对比匹配，确保数据的完整性和真实性。

13、优选的，步骤s6中，b客户端的新型凭证计算方法如下，

14、b客户端的新型凭证＝首发凭证内容+密码学随机数+多方计算；

15、首发凭证内容＝a客户端的授权信息+a客户端的资源范围；

16、多方计算＝a客户端的授权信息+a客户端的资源范围+b客户端的身份信息。

17、优选的，步骤s6中，在生成新的凭证信息后，将注册终端发放凭证信息，并以cookie方式随资源一同下发；下次客户端b访问验证服务器时可采用零知识证明方式使其获取自己的认证请求，并继续下发资源。

18、与现有技术相比，本申请优点如下：

19、1.安全性高：该方案服务器与客户端采用公私钥加密算法传递数据，通过握手其他客户端拿取首发凭证后提交至服务器，所有的凭证认证与资源下发均由两服务器自行内部交互完成，极大提升了数据的传输安全性，也防止了资源暴露风险。

20、2.灵活性强：同账号的访问资源会实时更新至反序列化的凭证中，首发凭证之外的其他终端都能实时获取此账号下的资源更新，客户终端勿需频繁刷新凭证，服务端配置资源也更加便捷灵活。

21、3.响应及时：在客户端提交首发凭证之后，只需要一次握手就能拿到该凭证下的所有资源能力，相比传统的认证授权，减少了频繁的资源凭证刷新以及再次握手获取资源的步骤，极大提高了响应速度。

22、4.可配置跨平台资源：由于在凭证反序列化期间资源服务端可配置动态资源，所获取的凭证也能承载更多的资源量与资源域。

23、5.重复易用性：使用认证服务器的凭证反序列化操作，可以很快复制此凭证下部分及所有的资源权限能力，而不需要针对客户端一一遍历资源注册下发，有很强的可复制性和易用性。

技术特征：

1.一种多客户端身份凭证的集中验证控制授权方法，其特征在于，包括以下步骤，

2.根据权利要求1所述的一种多客户端身份凭证的集中验证控制授权方法，其特征在于，步骤s2中，凭证传递过程采用公私钥加密加哈希算法的方式完成，具体方法如下，

3.根据权利要求1所述的一种多客户端身份凭证的集中验证控制授权方法，其特征在于，步骤s4中，验证服务器接收到客户端b提供的首发凭证，先将凭证内容通过objectoutputstream序列化为字节流，然后通过objectinputstream反序列化为原始对象，检查原始对象的签名信息是否被篡改并与数据库数据进行对比匹配，确保数据的完整性和真实性。

4.根据权利要求1所述的一种多客户端身份凭证的集中验证控制授权方法，其特征在于，步骤s6中，b客户端的新型凭证计算方法如下，

5.根据权利要求1所述的一种多客户端身份凭证的集中验证控制授权方法，其特征在于，步骤s6中，在生成新的凭证信息后，将注册终端发放凭证信息，并以cookie方式随资源一同下发；下次客户端b访问验证服务器时可采用零知识证明方式使其获取自己的认证请求，并继续下发资源。

技术总结
本发明属于WEB应用身份验证授权安全技术领域，具体涉及一种多客户端身份凭证的集中验证控制授权方法，包括以下步骤，S1.将自有或者三方网络资源所有者注册至资源系统识别库中；S2.用户在使用客户端A领取自己的首发凭证，用户持客户端B握手A完成凭证传递；S3.客户端B使用凭证申请验证；S4.验证服务器反序列化身份凭证；S5.资源服务器根据凭证授权资源安全域：提取首发凭证并返回资源内容；S6.验证服务器使用安全多方计算技术生成新的凭证绑定终端并下发新的身份凭证至客户端B。其优点在于，由于在凭证反序列化期间资源服务端可配置动态资源，所获取的凭证也能承载更多的资源量与资源域。

技术研发人员：魏传强,吕冰,崔啸,郭强,宿可伟
受保护的技术使用者：山东齐鲁壹点传媒有限公司
技术研发日：
技术公布日：2024/1/16