本发明专利技术涉及信息安全技术领域,公开了一种基于三角稳固法则的服务认证方法。在应用所述服务认证方法进行服务认证过程中,由服务请求终端、业务服务器和认证服务器构成的“业务服务三角”执行单向稳定的服务请求流程,由认证服务器、服务请求终端和信任用户终端构成的“授权认证三角”执行单向稳定的身份认证流程,最后在身份认证成功时授权业务服务器向服务请求终端提供服务,从而完成由服务请求终端发起的服务认证。所述服务认证方法可将用户身份信息从服务请求流程中剥离出来,避免了在服务请求终端、业务服务器及它们的通讯会话中进行交互,从而可从流程架构上规避所有传统盗取用户身份信息的攻击手段,保障服务认证过程中的信息安全。
【技术实现步骤摘要】
本专利技术涉及信息安全
,具体地,涉及。
技术介绍
在网络服务过程中,除了需要在用户终端与业务服务器之间交互服务请求/响应消息外,还需要交互用户身份信息,以便对请求服务的用户进行身份认证,防止服务盗用。传统的服务认证方式是在相同终端、相同业务服务器和相同的通讯会话中传输用户身份信息,并通过一个往返循环的过程完成服务认证,这种服务认证流程架构易遭受到如下三种传统手段的攻击:(1)用户端攻击,在终端非法植入病毒,监听服务认证过程,读取用户身份信息;(2)中间人攻击,通过钓鱼方式或通信劫持方式获取通讯会话权,从非法的通信会话中获取用户身份信息;(3)服务器端攻击,攻击业务服务器的数据库,批量获取用户身份?目息。针对上述传统服务认证方式的问题,有必要提供一种新型的服务认证方法,可在服务认证过程中,避免在服务请求终端、业务服务器及它们的通讯会话中交互用户身份信息,从而可从流程架构上规避所有传统盗取用户身份信息的攻击手段,保障服务认证过程中的信息安全。
技术实现思路
针对前述传统服务认证方式的问题,本专利技术提供了,在服务认证过程中,由服务请求终端、业务服务器和认证服务器构成的“业务服务三角”执行单向稳定的服务请求流程,由认证服务器、服务请求终端和信任用户终端构成的“授权认证三角”执行单向稳定的身份认证流程,最后在身份认证成功时授权业务服务器向服务请求终端提供服务,从而完成由服务请求终端发起的服务认证。所述服务认证方法可将用户身份信息从服务请求流程中剥离出来,避免了在服务请求终端、业务服务器及它们的通讯会话中进行交互,从而可从流程架构上规避所有传统盗取用户身份信息的攻击手段,保障服务认证过程中的信息安全。本专利技术采用的技术方案,提供了,包括如下步骤:S101.服务请求终端建立与业务服务器的第一通讯会话,并将服务请求消息发送给业务服务器;S102.所述业务服务器建立与认证服务器的第二通讯会话,并将包含所述服务请求终端的终端标识符和所述第一通讯会话的会话标识符的QR码请求消息发送给认证服务器;S103.所述认证服务器根据所述服务请求终端的终端标识符建立与所述服务请求终端的第三通讯会话,并将包含所述第一通讯会话的会话标识符和所述第二通讯会话的会话标识符的QR码消息发送给所述服务请求终端;S104.所述服务请求终端以图像形式显示所述QR码消息,信任用户终端通过扫描0R码方式获取所述第一通讯会话的会话标识符和所述第三通讯会话的会话标识符,所述信任用户终端为在所述认证服务器端完成用户注册的终端;S105.所述信任用户终端建立与所述认证服务器的第四通讯会话,并将包含所述第一通讯会话的会话标识符、所述第二通讯会话的会话标识符和用户身份信息的OTA消息发送给所述认证服务器;S106.所述认证服务器对所述OTA消息中的所述用户身份信息进行认证判断,若判定认证成功,则根据所述0TA消息中的所述第二通讯会话的会话标识符,通过所述第二通讯会话向所述业务服务器反馈包含所述第一会话标识符的服务授权消息;S107.所述业务服务器根据所述服务授权消息中的所述第一会话标识符,通过所述第一通讯会话向所述服务请求终端反馈服务响应消息。在应用所述服务认证方法进行服务认证过程中,由服务请求终端、业务服务器和认证服务器构成的“业务服务三角”执行由所述步骤S101至步骤S103描述的、单向稳定的服务请求流程,由认证服务器、服务请求终端和信任用户终端构成的“授权认证三角”执行所述步骤S104至步骤S106描述的、单向稳定的身份认证流程,最后在身份认证成功时授权业务服务器向服务请求终端提供服务,从而完成由服务请求终端发起的服务认证。这种服务认证方法可将用户身份信息从服务请求流程中剥离出来,避免了在服务请求终端、业务服务器及它们的通讯会话中进行交互,从而可从流程架构上规避所有传统盗取用户身份信息的攻击手段,保障服务认证过程中的信息安全。具体的,在所述步骤S102中,所述业务服务器根据OAuth 2.0标准协议建立与认证服务器的第二通讯会话。利用0Auth2.0标准协议可在所述业务服务器与所述认证服务器之间建立国密授权通道,使第二通讯会话具有高安全性,进一步保障服务认证过程中业务服务器与认证服务器之间的信息安全。具体的,在所述步骤S105中,所述信任用户终端根据ECC非对称加密算法及SSL协议建立与所述认证服务器的第四通讯会话。利用ECC非对称加密算法及SSL协议可在所述信任用户终端与所述认证服务器之间建立国密认证通道,使第四通讯会话具有高安全性,进一步保障服务认证过程中信任用户终端与认证服务器之间的信息安全。具体的,所述用户身份信息包括由信任用户终端即时采集的用户生物特征码信息/和信任用户终端的设备硬件信息。所述用户生物特征码信息用于进行用户与认证服务器之间的认证,所述设备硬件信息用于进行信任用户终端与认证服务器之间的认证,由此在身份认证过程中,不但可进行用户与认证服务器之间的认证,还可以进行信任用户终端与认证服务器之间的认证,确保身份认证的正确性,真正实现“我是谁?我就是答案”的认证理念。进一步具体的,所述用户生物特征码信息为指纹信息、声纹信息和人脸信息中的任意一种或它们的任意组合。综上,采用本专利技术所提供的,具有如下有益效果:(1)可将用户身份信息从服务请求流程中剥离出,避免了在服务请求终端、业务服务器及它们的通讯会话中进行交互,从而可从流程架构上规避所有传统盗取用户身份信息的攻击手段,保障服务认证过程中的信息安全;(2)在身份认证过程中,不但可进行用户与认证服务器之间的认证,还可以进行信任用户终端与认证服务器之间的认证,确保身份认证的正确性,真正实现“我是谁?我就是答案”的认证理念。【附图说明】为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是本专利技术提供的基于三角稳固法则的服务认证方法的流程示意图。【具体实施方式】以下将参照附图,通过实施例方式详细地描述本专利技术提供的基于三角稳固法则的服务认证方法。在此需要说明的是,对于这些实施例方式的说明用于帮助理解本专利技术,但并不构成对本专利技术的限定。本文中描述的各种技术可以用于但不限于信息安全
,还可以用于其它类似领域。本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,单独存在B,同时存在A和B三种情况,本文中术语“/和”是描述另一种关联对象关系,表示可以存在两种关系,例如,A/和B,可以表示:单独存在A,单独存在A和B两种情况,另外,本文中字符“/”,一般表示前后关联对象是一种“或”关系。 实施例一图1示出了本专利技术提供的基于三角稳固法则的服务认证方法的流程示意图。所述基于三角稳固法则的服务认证方法,包括如下步骤。S101.服务请求终端建立与业务服务器的第一通讯会话,并将服务请求消息发送给业务服务器。在步骤S101中,所述服务请求终端为配置有显示屏单元、且可以与业务服务器进行无线或有线通信的用户终端,其可以接收来自业务服务器的本文档来自技高网...
【技术保护点】
一种基于三角稳固法则的服务认证方法,其特征在于,包括如下步骤:S101.服务请求终端建立与业务服务器的第一通讯会话,并将服务请求消息发送给业务服务器;S102.所述业务服务器建立与认证服务器的第二通讯会话,并将包含所述服务请求终端的终端标识符和所述第一通讯会话的会话标识符的QR码请求消息发送给认证服务器;S103.所述认证服务器根据所述服务请求终端的终端标识符建立与所述服务请求终端的第三通讯会话,并将包含所述第一通讯会话的会话标识符和所述第二通讯会话的会话标识符的QR码消息发送给所述服务请求终端;S104.所述服务请求终端以图像形式显示所述QR码消息,信任用户终端通过扫描OR码方式获取所述第一通讯会话的会话标识符和所述第三通讯会话的会话标识符,所述信任用户终端为在所述认证服务器端完成用户注册的终端;S105.所述信任用户终端建立与所述认证服务器的第四通讯会话,并将包含所述第一通讯会话的会话标识符、所述第二通讯会话的会话标识符和用户身份信息的OTA消息发送给所述认证服务器;S106.所述认证服务器对所述OTA消息中的所述用户身份信息进行认证判断,若判定认证成功,则根据所述OTA消息中的所述第二通讯会话的会话标识符,通过所述第二通讯会话向所述业务服务器反馈包含所述第一会话标识符的服务授权消息;S107.所述业务服务器根据所述服务授权消息中的所述第一会话标识符,通过所述第一通讯会话向所述服务请求终端反馈服务响应消息。...
【技术特征摘要】
【专利技术属性】
技术研发人员:胥寅,张采荣,
申请(专利权)人:四川省宁潮科技有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。