一种认证授权方法技术
Authentication and authorization method
The invention discloses a method of authorization authentication, including the first step, the first step for data query, authentication procedures, application steps, second steps, second steps of data preparation, authorization and query service accepts steps. The method of the present invention authorized certification, from the two aspects of the client and the server to simplify the logic, reduces the communication, so as to realize the lightweight authentication and authorization system, but also ensure adequate security.
【技术实现步骤摘要】
本专利技术涉及网络安全领域,尤其涉及一种认证授权方法。
技术介绍
随着互联网的迅猛发展,入侵与反入侵、网络攻击与防御措施愈演愈烈,网络安全问题越来越严重。因此,如何保证通信双方的信息在互联网上安全、可靠进行传输是人们一直关注的问题。针对于此,各种认证协议和权限描述方法应运而生。综合分析前人已有的研究成果,对于认证协议和权限描述方法存在诸多问题。具体包括:(1)目前的认证协议和权限描述方法都对应于大型系统、复杂权限描述、用户繁多、网络状况复杂、安全条件恶劣的情况,然而将其应用到小型系统、用户较少、服务和业务不复杂、安全条件不复杂的情况并不适用;(2)轻量级的认证协议对于有一定计算能力的智能终端或者其他需要轻量化、减轻消耗、简化客户端的情况研究不多,而且现有的技术一般都是功能全面但是复杂或者简单但是功能少。对于如何在功能和轻量化之间寻求平衡,还需更多的研究。因此,目前亟待提出一种认证授权方法,以将认证授权系统轻量化的同时还具有足够的安全性。
技术实现思路
本专利技术要实现的目的在于,针对小型系统、智能终端和用户较少的情况设计轻量化认证协议和权限描述方法,从客户端和服务器两方面简化逻辑、降低能量与功率消耗、减少通信次数,从而将整个认证授权系统轻量化,同时在轻量化的基础上力求具有足够的安全性。为实现上述目的,本专利技术提出了一种认证授权方法,以实现轻量化的基础上还能保证足够的安全性。本专利技术的技术方案为:一种认证授权方法,包括:第一数据准备步骤,客户端将用户身份标识的散列值发送给认证服务器;第一查询步骤,所述认证服务器根据所述用户身份标识的散列值查询用户数据库,得...
【技术保护点】
一种认证授权方法,其特征在于,包括:第一数据准备步骤,客户端将用户身份标识的散列值发送给认证服务器;第一查询步骤,所述认证服务器根据所述用户身份标识的散列值查询用户数据库,得到第一查询结果,所述第一查询结果包括与所述用户相对应的用户信息及用户权限;认证步骤,所述认证服务器根据所述第一查询结果判断用户是否通过认证,并在所述用户通过认证时,将与所述用户相对应的认证票据发送给所述客户端,所述认证票据包括所述用户权限;第二数据准备步骤,所述客户端将客户端票据以及与所述用户相对应的客户端用户申请服务标识发送给授权服务器;第二查询步骤,所述授权服务器根据授权用户申请服务标识查询服务数据库,得到第二查询结果,所述第二查询结果包括与所述授权用户申请服务标识相对应的服务权限;所述授权服务器分别对所述用户权限和所述服务权限进行二进制展开,得到对应所述用户权限的用户权限描述以及对应所述服务权限的服务权限描述;授权步骤,所述授权服务器根据所述用户权限描述和所述服务权限描述,确定所述用户是否有权申请与所述授权用户申请服务标识相关联的服务。
【技术特征摘要】
1.一种认证授权方法,其特征在于,包括:第一数据准备步骤,客户端将用户身份标识的散列值发送给认证服务器;第一查询步骤,所述认证服务器根据所述用户身份标识的散列值查询用户数据库,得到第一查询结果,所述第一查询结果包括与所述用户相对应的用户信息及用户权限;认证步骤,所述认证服务器根据所述第一查询结果判断用户是否通过认证,并在所述用户通过认证时,将与所述用户相对应的认证票据发送给所述客户端,所述认证票据包括所述用户权限;第二数据准备步骤,所述客户端将客户端票据以及与所述用户相对应的客户端用户申请服务标识发送给授权服务器;第二查询步骤,所述授权服务器根据授权用户申请服务标识查询服务数据库,得到第二查询结果,所述第二查询结果包括与所述授权用户申请服务标识相对应的服务权限;所述授权服务器分别对所述用户权限和所述服务权限进行二进制展开,得到对应所述用户权限的用户权限描述以及对应所述服务权限的服务权限描述;授权步骤,所述授权服务器根据所述用户权限描述和所述服务权限描述,确定所述用户是否有权申请与所述授权用户申请服务标识相关联的服务。2.根据权利要求1所述的方法,其特征在于,所述用户权限为十进制数或十六进制数,所述服务权限为十进制数或十六进制数。3.根据权利要求2所述的方法,其特征在于,所述授权步骤包括:判断构成所述服务权限描述的二进制展开项与构成所述用户权限描述的二进制展开项是否有交集;在判断出构成所述服务权限描述的二进制展开项与构成所述用户权限描述的二进制展开项有交集时,确定所述用户有权申请与所述授权用户申请服务标识相关联的服务。4.根据权利要求1至3中任一项所述的方法,其特征在于,在所述第一数据准备步骤中,所述客户端将第一消息发送给认证服务器,其中,所述第一消息包括第一数据串和所述用户身份标识的散列值,所述客户端利用用户密钥对由客户端用户身份标识、第一客户端随机值和第一消息时间戳构成的数据串进行加密,以得到所述第一数据串;在所述第一查询步骤中,所述认证服务器接收所述第一消息,并利用所述第一消息中的用户身份标识的散列值查询用户数据库,得到所述第一查询结果,所述第一查询结果包括具有认证用户身份标识和用户密码的用户信息、所述用户权限、用户权限剩余时间、用户权限剩余次数和会话密钥;在所述认证步骤中,所述认证服务器根据所述第一消息和所述第一查询结果,判断用户是否通过认证,并在判断出所述用户通过认证时,将第二消息和第三消息分别发送给所述客户端和授权服务器;其中,所述第二消息包括所述认证票据、由所述用户密钥加密的会话密钥以及第二数据串,所述认证服务器利用所述会话密钥对由第一认证随机值、第二消息时间戳和第二认证随机值构成的数据串进行加密,以得到所述第二数据串;所述认证服务器利用服务器共享密钥对由所述第二认证随机值、所述认证票据、所述会话密钥和所述用户身份标识的散列值构成的数据串进行加密,以得到所述第三消息;所述方法还包括申请步骤,所述客户端接收所述第二消息,并根据所述第一消息和所述第二消息,判断所述认证服务器是否合法,在判断出所述认证服务器合法时,接受所述第二消息,并执行所述第二数据准备步骤;在判断出所述认证服务器不合法时,拒绝所述第二消息,并终止流程;在所述第二数据准备步骤中,所述客户端将第四消息发送给授权服务器,所述第四消息包括所述客户端票据、第三数据串、用户身份标识的散列值,所述客户端利用所述会话密钥对由第二客户端随机值、第四消息时间戳、客户端用户申请服务标识和第三客户端随机值构成的数据串进行加密,以得到所述第三数据串;在所述第二查询步骤中,所述授权服务器接收所述第四消息,并根据所述客户端票据的过期状态、所述第三消息和所述第四消息,判断所述用户是否有权查询服务数据库;并在判断出所述用户有权查询服务数据库时,利用授权用户申请服务标识查询所述服务数据库,得到所述第二查询结果,所述第二查询结果包括与所述授权用户申请服务标识相对应的服务权限;所述授权服务器分别对所述用户权限和所述服务权限进行二进制展开,得到对应所述用户权限的用户权限描述以及对应所述服务权限的服务权限描述;在所述授权步骤中,所述授权服务器根据所述用户权限描述和所述服务权限描述,确定所述用户是否有权申请与所述授权用户申请服务标识相关联的服务,并在所述用户有权申请所述服务时,所述授权服务器将第五消息发送给所述客户端,所述授权服务器利用所述会话密钥对由所述授权用户申请服务标识、第五消息时间戳和第三授权随机值构成的数据串进行加密,以得到所述第五消息;所述方法还包括服务接受步骤,所述客户端...
【专利技术属性】
技术研发人员:杨成,沈萦华,吴晓雨,张楠,朱亚平,
申请(专利权)人:中国传媒大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。