S接收到携带有UIDl和Tokenl的LAP认证消息;
[0048]4) LicS首先判断UIDl是否合法,确认合法后,判断LicS中是否保存有与接收到的认证消息中相同的Tokenl,如果有,则认为正在进行认证的LAP可能是一个非法的LAP,也可能是一个正在重新进行认证的LAP ;根据LicS已经保存的Tokenl对应于LAPl,则触发对LAPl的探测机制。
[0049]5) LicS向LAPl发送探测报文;
[0050]如果LAPl响应探测报文,则确定LAPl正常运行,正在认证的LAP是非法的LAP1’ ;LicS通知正在认证的LAP1’认证失败;
[0051]如果LicS向LAPl重发N次探测报文之后,LAPl仍然不响应探测报文,则确定LAPl已经出现老化,断线等问题,正在认证的LAP是LAPl以原来的身份LAP1”重新进行身份认证;LicS通知正在认证的LAPI”认证通过,完成认证。
[0052]其中,正常情况下,LAPI会立即对探测报文进行回应,但可能由于链路间路由跳转较多导致时间延长,或者是其他链路问题,LicS不能很快收到LAPl的响应消息,所以LicS会进行重发探测报文,在LicS重发探测报文N次之后,如果LAPl仍然不响应探测报文,则确定LAPl已经出现老化,断线等问题,正在认证的LAP是LAPl以原来的身份LAP1”重新进行身份认证。其中,N为自然数,可以根据具体应用而变化。
[0053]优选情况下,在步骤5)中,可以在LicS向LAPl发送探测报文时,向正在认证的LAP发送通知报文,告知该LAP等待LicS对LAPl的探测结果。LicS会在探测LAPl之后通知正在认证的LAP是认证失败还是认证通过。
[0054]在上述实施例一和实施例二中,完成认证之后,完成认证的LAP向LicS发送携带有UID和Token的请求授权消息,请求发放证书。下面以实施例一中完成认证的LAP1’请求授权为例进行说明。
[0055]I)在LicS侧,首先为UIDl预设与之关联的Token的可授权数量,假设Token的可授权数量为3,则说明UIDl最多可以与3个Token对应,并给予授权;
[0056]2) LAP1’携带UIDl和Token2向LicS发送请求授权消息;
[0057]3) LicS根据在本侧保存的对应关系:LAPl-UIDl-Tokenl ;
[0058]LAP1,-UIDl-Token2
[0059]可以判断,Token2是第2个与UIDl关联的Token,并未超过可授权数量3,因此向LAPI’发放证书。
[0060]综上,本发明通过LicS分配LAP身份唯一标识Token,结合LAP探测机制,防止非法复制LAP共享复用授权。
[0061]基于同样的发明构思,本发明实施例还提出一种认证的装置,如图2所示,应用于授权服务器,该装置包括:
[0062]接收单元201,接收授权应用程序LAP发送的认证消息,确定所述认证消息中是否携带用户令牌Token和合法的用户身份标识UID ;
[0063]认证单元202,如果所述认证消息中携带有合法UID但未携带Token,则为所述LAP分配一个标识所述LAP身份的Token,完成认证;如果所述认证消息中携带有合法UID且携带Token,则根据已保存的token和所述认证消息携带的Token进行认证。
[0064]所述认证单元202具体用于:
[0065]判断自身已保存的token和所述认证消息携带的Token是否相同;如果相同,则向已保存的token所对应的LAP发送探测报文;
[0066]当接收到已保存的token所对应的LAP对探测报文的响应时,则确定该正在进行认证的LAP是非法LAP,通知正在进行认证的LAP认证失败;
[0067]当向已保存的token所对应的LAP重发N次探测报文之后,仍未接收到已保存的token所对应的LAP对探测报文的响应时,则确定正在进行认证的LAP是以已保存的token所对应的LAP的身份重新进行认证,通知正在进行认证的LAP认证通过,完成认证;其中N为自然数。
[0068]所述认证单元202在向已保存的token所对应的LAP发送探测报文时,还用于向正在进行认证的LAP发送通知报文,告知该LAP等待授权服务器对已保存的token所对应的LAP的探测结果。
[0069]在完成认证之后,所述认证单元202还用于,
[0070]接收完成认证的LAP发送的携带有UID和Token的请求授权消息;
[0071]根据UID已关联的Token数量与为UID预设的、与之关联的Token的可授权数量判断是否能够进行授权;
[0072]如果UID已关联的Token数量大于可授权数量时,则不发放证书;如果UID已关联的Token数量不大于可授权数量时,则发放证书。
[0073]以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
【主权项】
1.一种认证的方法,应用于授权服务器,该方法包括: 接收授权应用程序LAP发送的认证消息,确定所述认证消息中是否携带用户令牌Token和合法的用户身份标识UID ; 如果所述认证消息中携带有合法UID但未携带Token,则为所述LAP分配一个标识所述LAP身份的Token,完成认证; 如果所述认证消息中携带有合法UID且携带Token,则根据已保存的token和所述认证消息携带的Token进行认证。2.如权利要求1所述的方法,其特征在于,所述根据已保存的token和所述认证消息携带的Token进行认证的方法包括: 判断自身已保存的token和所述认证消息携带的Token是否相同;如果相同,则向已保存的token所对应的LAP发送探测报文; 当接收到已保存的token所对应的LAP对探测报文的响应时,则确定该正在进行认证的LAP是非法LAP,通知正在进行认证的LAP认证失败; 当向已保存的token所对应的LAP重发N次探测报文之后,仍未接收到已保存的token所对应的LAP对探测报文的响应时,则确定正在进行认证的LAP是以已保存的token所对应的LAP的身份重新进行认证,通知正在进行认证的LAP认证通过,完成认证;其中N为自然数。3.如权利要求2所述的方法,其特征在于,向已保存的token所对应的LAP发送探测报文时,该方法进一步包括:向正在进行认证的LAP发送通知报文,告知该LAP等待授权服务器对已保存的token所对应的LAP的探测结果。4.如权利要求1所述的方法,其特征在于,通过安全套接层SSL链路发送和接收认证过程中的消息。5.如权利要求1所述的方法,其特征在于,所述Token包括随机数域,用于标识当前系统时间的时间域和序号域,其中,每分配一个Token,所述序号域中的序号加I。6.如权利要求2所述的方法,其特征在于,在完成认证之后,该方法进一步包括: 接收完成认证的LAP发送的携带有UID和Token的请求授权消息; 根据UID已关联的Token数量与为UID预设的、与之关联的Token的可授权数量判断是否能够进行授权; 如果UID已关联的Token数量大于可授权数量时,则不发放证书; 如果UID已关联的Token数量不大于可授权数量时,则发放证书。7.—种认证的装置,应用于授权服务器,该装置包括: 接收单元,接收授权应用程序LAP发送的认证消息,确定所述认证消息中是否携带用户令牌Token和合法的用户身份标识UID ; 认证单元,如果所述认证消息中携带有合法UID但未携带Token,则为所述LAP分配一个标识所述LAP身份的Token,完成认证;如果所述认证消息中携带有合法UID且携带Token,则根据已保存的token和所述认证消息携带的Token进行认证。8.如权利要求7所述的装置,其特征在于,所述认证单元具体用于: 判断自身已保存的token和所述认证消息携带的Token是否相同;如果相同,则向已保存的token所对应的LAP发送探测报文; 当接收到已保存的token所对应的LAP对探测报文的响应时,则确定该正在进行认证的LAP是非法LAP,通知正在进行认证的LAP认证失败; 当向已保存的token所对应的LAP重发N次探测报文之后,仍未接收到已保存的token所对应的LAP对探测报文的响应时,则确定正在进行认证的LAP是以已保存的token所对应的LAP的身份重新进行认证,通知正在进行认证的LAP认证通过,完成认证;其中N为自然数。9.如权利要求8所述的装置,其特征在于,所述认证单元在向已保存的token所对应的LAP发送探测报文时,还用于向正在进行认证的LAP发送通知报文,告知该LAP等待授权服务器对已保存的token所对应的LAPLAP的探测结果。10.如权利要求8所述的装置,其特征在于,在完成认证之后,所述认证单元还用于, 接收完成认证的LAP发送的携带有UID和Token的请求授权消息; 根据UID已关联的Token数量与为UID预设的、与之关联的Token的可授权数量判断是否能够进行授权; 如果UID已关联的Token数量大于可授权数量时,则不发放证书; 如果UID已关联的Token数量不大于可授权数量时,则发放证书。
【专利摘要】本发明提供了一种认证的方法,应用于授权服务器,该方法包括:接收授权应用程序LAP发送的认证消息,确定所述认证消息中是否携带用户令牌Token和合法的用户身份标识UID;如果所述认证消息中携带有合法UID但未携带Token,则为所述LAP分配一个标识所述LAP身份的Token,完成认证;如果所述认证消息中携带有合法UID且携带Token,则根据已保存的token和所述认证消息携带的Token进行认证。本发明还提供了一种认证的装置。采用本发明能够有效防止恶意复制LAP程序,来获取授权信息。
【IPC分类】H04L29/06
【公开号】CN105592048
【申请号】CN201510555547
【发明人】刘永, 李秀中, 兰晓成, 王全文
【申请人】杭州华三通信技术有限公司
【公开日】2016年5月18日
【申请日】2015年9月2日