【技术实现步骤摘要】
一种可信访问认证处理方法、用户终端和服务端
本专利技术实施例涉及信息安全
,具体涉及一种可信访问认证处理方法、用户终端和服务端。
技术介绍
本部分向读者介绍可能与本专利技术的各个方面相关的
技术介绍
,相信能够向读者提供有用的背景信息,从而有助于读者更好地理解本专利技术的各个方面。因此,可以理解,本部分的说明是用于上述目的,而并非构成对现有技术的承认。互联网用户易于受到应用用户身份,密码等私密信息被盗的攻击威胁,为了应对威胁,人们需要定期修改密码;但是经过较长时间后,记住用户名和密码是很困难的;网络上频繁发生各种诈骗和钓鱼网站,骗取用户名及密码,需要一种技术在密码被盗后防止偷盗者登陆系统侵害用户,需要一种技术即提高安全保障同时解决易用性问题。在客户端系统软件应用之间调用软件接口服务时,软件是很难侦测出请求的来源是来自本地预期软件还是被通过代理伪装的,如果为未知来源的请求提供了登陆签名报文,建立的连接安全的保障就没有了,需要一种方法解决这种风险;为了保证访问凭证被用来访问预期的服务,通过验证访问路径是一种可行的技术方法,即验证发起服务的应用客户端,应用客户端与应用服务端之间的会话都需要验证是预期的路径,这样才能保证访问凭证不被冒用;目前尚未有相关技术。客户端证书认证理论上可以解决用户在登陆时的唯一性认证,但是由于昂贵的解决方案和线下管理成本,目前互联架构无法实现为大部分客户端设备访问互联网提供这项安全服务,需要一种便宜和易于管理的自动化的技术实现用户登陆,服务的验证。
技术实现思路
要解决的技术问题是如何提高用户访问的安全性。针对现有技术中的缺陷,本专利技术实 ...
【技术保护点】
一种可信访问认证处理方法,其特征在于,包括:用户终端向安全服务端发送安全可信客户端注册消息建立设备安全注册关系;所述用户终端中向所述安全服务端发送应用客户端绑定消息,并根据所述设备安全注册关系建立应用客户端与设备安全绑定关系;所述用户终端中向所述安全服务端发送应用及账户授权绑定请求消息,所述安全服务端根据客户端与设备安全绑定关系建立应用账户可信访问路径验证关系;所述用户终端向所述应用服务端发送基于安全连接类型的登陆请求消息;所述应用服务端处理所述基于安全连接类型的登陆请求消息后向所述安全服务端发送登陆请求验证消息;所述安全服务端根据所述设备安全注册关系、所述应用账户可信访问路径验证关系对所述登陆请求验证消息验证,并向所述应用服务端发送应用可信访问认证结果;所述应用服务端根据所述应用可信访问认证结果响应所述用户终端的登陆请求消息。
【技术特征摘要】
2016.06.30 CN 20161050949451.一种可信访问认证处理方法,其特征在于,包括:用户终端向安全服务端发送安全可信客户端注册消息建立设备安全注册关系;所述用户终端中向所述安全服务端发送应用客户端绑定消息,并根据所述设备安全注册关系建立应用客户端与设备安全绑定关系;所述用户终端中向所述安全服务端发送应用及账户授权绑定请求消息,所述安全服务端根据客户端与设备安全绑定关系建立应用账户可信访问路径验证关系;所述用户终端向所述应用服务端发送基于安全连接类型的登陆请求消息;所述应用服务端处理所述基于安全连接类型的登陆请求消息后向所述安全服务端发送登陆请求验证消息;所述安全服务端根据所述设备安全注册关系、所述应用账户可信访问路径验证关系对所述登陆请求验证消息验证,并向所述应用服务端发送应用可信访问认证结果;所述应用服务端根据所述应用可信访问认证结果响应所述用户终端的登陆请求消息。2.根据权利要求1所述的可信访问认证处理方法,其特征在于,所述用户终端向安全服务端发送安全可信客户端注册消息建立设备安全注册关系包括;所述用户终端向所述安全服务端发送安全可信客户端注册消息;所述安全服务端验证所述安全可信客户端注册消息;所述安全服务端为验证通过的安全可信客户端注册消息生成设备数据表项并向所述用户终端反馈安全可信客户端注册确认消息。3.根据权利要求2所述的可信访问认证处理方法,其特征在于,所述设备数据表项包括:安全可信客户端设备用户ID、第二密钥、客户端信息、服务密码。4.根据权利要求2所述的可信访问认证处理方法,其特征在于,所述安全服务端验证所述安全可信客户端注册消息包括:所述安全服务端根据所述安全可信客户端注册消息中的第二密钥验证消息体签名;安全服务端使用与所述安全服务端加密公钥对应的私钥解密传输密钥密文,使用传输密钥解密安全可信客户端设备用户ID密文;验证通过后生成验证结果并产生对应设备数据表项。5.根据权利要求1所述的可信访问认证处理方法,其特征在于,所述用户终端中向所述安全服务端发送应用客户端绑定消息,并根据所述设备安全注册关系建立应用客户端与设备安全绑定关系包括:所述用户终端发送应用客户端绑定消息;所述安全服务端接收所述应用客户端绑定消息并检查,根据检查结果向所述用户终端发送应用客户端绑定确认消息;所述用户终端在收到所述应用客户端绑定确认消息后应用客户端和安全可信客户端生成绑定码;所述用户终端在完成绑定证实后向所述安全服务端发送应用客户端绑定完成消息;所述安全服务端验证应用客户端绑定完成消息将应用客户端特征添加到设备数据表项中。6.根据权利要求1所述的可信访问认证处理方法,其特征在于,所述用户终端中向所述安全服务端发送应用及账户授权绑定请求消息,所述安全服务端根据客户端与设备安全绑定关系建立应用账户可信访问路径验证关系包括:所述用户终端向应用服务端发送账户授权请求消息;所述应用服务端向安全服务端转发账户授权请求消息;所述安全服务端生成授权码消息发送至应用服务端并向所述用户终端通过独立通道发送授权码密文;所述用户终端生成并向所述安全服务端发送应用及账户授权绑定请求消息;所述安全服务端验证应用及账户授权绑定请求消息后,建立应用账户可信访问路径验证关系,并生成应用及账户授权确认消息发送至所述用户终端;所述安全服务端向所述应用服务端发送授权完成消息;所述应用服务端设置安全服务端验证标识。7.根据权利要求6所述的可信访问认证处理方法,其特征在于,所述安全服务端生成授权码消息发送至应用服务端并向所述用户终端通过独立通道发送授权码密文包括:安全服务端收到账户授权请求消息,检查安全可信客户端设备用户ID对应的设备数据表项中包括要求授权的应用客户端特征值,是已经与安全可信客户端绑定的应用客户端,如不是已绑定应用客户端,则停止后续流程;如果是已经绑定的应用客户端,安全服务端为这次授权请求分配授权码明文并使用服务密码加密后产生授权码密文携带在授权码消息中发送给应用服务端。8.根据权利要求6所述的可信访问认证处理方法,其特征在于,所述安全服务端验证所述应用及账户授权绑定请求消息包括:所述安全服务端使用安全可信客户端设备用户ID对应的应用客户端特征验证消息中包括的应用客户端特征是否一致,如果一致,则继续验证消息的签名,否则终止授权过程;所述安全服务端使用安全可信客户端设备用户ID对应的第二密钥验证所述应用及账户授权绑定请求消息的签名;验证通过后,使用安全可信客户端设备用户ID对应的服务密钥解密授权码密文,对照授权码明文和安全服务端本地分配给这次授权请求的的授权码是否一致,如果一致则判定应用及账户绑定请求通过授权;所述安全服务端将授权码对应的授权绑定请求的账户信息、应用服务类型、生物识别特征值添加到所述安全可信客户端设备用户ID对应的设备数据表项中。9.根据权利要求1所述的可信访问认证处理方法,其特征在于,所述用户终端向所述应用服务端发送登陆请求消息之前还包括:在安全连接类型配置为非安全链路连接时,所述用户终端向所述应用服务端发送会话上行消息携带加密的会话传输密钥;所述应用服务端收到所述会话上行消息后,为当前会话分配会话识别ID...
【专利技术属性】
技术研发人员:郭铮铮,
申请(专利权)人:北京动石科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。