本发明专利技术公开了一种基于网络安全的用户认证授权系统,包括客户(C)、服务端(S)、授权数据库(DB)、认证授权服务(A);其中,客户(C)和服务端(S)相连,客户(C)同时与认证授权服务(A)相连,服务端(S)与认证授权服务(A)相连,授权数据库(DB)与认证授权服务(A)相连。本发明专利技术的有益效果:本发明专利技术将认证和授权集成在一个系统中,不设集中的认证数据库,避免了对集中认证数据库的单点攻击,并使得安全信息管理在同一系统中管理,增强了系统的可管理性,进而增强了安全性;同时只将授权证书发给了服务方,避免了证书内容的不必要泄露。
【技术实现步骤摘要】
一种基于网络安全的用户认证授权系统
本专利技术涉及网络安全
,具体涉及一种基于网络安全的用户认证授权系统,主要应用于电子政务、电子商务等网络应用领域。
技术介绍
现有网络安全认证授权系统一般通过认证系统来验证用户身份的合法性,再根据每种服务的访问控制规则,通过授权系统来对不同服务请求给予不同的授权控制。这样把认证和授权分开在两个系统中,认证和授权信息的对应就必须在外部网络环境中完成,这种结构的系统就容易遭受外部网络环境中的恶意攻击,泄密的可能性也大大增加。同时,这种系统还需要设立在线的集中认证数据库,存在着外部对集中认证数据库的单点攻击的风险,造成网络安全认证授权系统的管理十分困难。
技术实现思路
本专利技术克服了上述网络安全系统的不足之处,目的在于提供一种在不同密级的网络计算环境下进行安全认证和授权系统,使得安全认证和授权在同一系统中管理,增强了系统的可管理性,进而增强了安全性。本专利技术是通过以下技术方案达到上述目的:一种网络安全认证授权系统,包括客户(C)、服务端(S)、授权数据库(DB)、认证授权服务(A);其中,客户(C)和服务端(S)相连,客户(C)同时与认证授权服务(A)相连,服务端(S)与认证授权服务(A)相连,授权数据库(DB)与认证授权服务(A)相连;安全认证授权实现过程:1)首先由客户(C)通过认证授权服务(A)认证后实现登录;2)由客户(C)向服务端(S)发出加密的服务授权请求;3)服务端(S)向认证授权服务(A)转发加密的服务授权请求;4)认证授权服务(A)解密后得到服务授权请求;5)认证授权服务(A)通过授权数据库(DB)验证服务授权请求的合法性;6)验证成功后向服务端(S)发送加密的授权认证;7)由服务端(S)向客户(C)告之授权已成功;8))客户(C)向服务端(S)发出加密的服务请求;9)服务端(S)解密后得到服务请求;10)服务端(S)向客户(C)发送加密的响应信息;11)客户(C)解密后得到服务端(S)地响应信息。作为优选,客户(C)和服务端(S)都可以有多个。作为优选,网络安全认证授权系统还包括一认证中心(CA),负责管理和分发公钥证书的认证中心(CA)为离线系统。作为优选,网络安全认证授权系统还包括一授权中心(AA),负责管理和分发授权证书的授权中心(AA)为离线系统,授权证书由人工导入授权数据库(DB)。作为优选,网络安全认证授权系统还包括代理服务端(S1),代理服务端(S1)一端与客户(C)连接,另一端与服务端(S)连接,客户(C)通过代理服务端(S1)进行认证授权及服务请求。作为优选,网络安全认证授权系统还包括安全代理(P),安全代理(P)一端与客户(C)连接,另一端直接或通过代理服务(S1)连接服务端(S),安全代理(P)负责确认信息来自客户(C)或服务端(S)。本专利技术的有益效果:本专利技术将认证和授权集成在一个系统中,不设集中的认证数据库,避免了对集中认证数据库的单点攻击,并使得安全信息管理在同一系统中管理,增强了系统的可管理性,进而增强了安全性;同时只将授权证书发给了服务方,避免了证书内容的不必要泄露。附图说明图1是本专利技术实施例1中网络安全认证授权系统的结构示意图。具体实施方式下面结合附图通过实施例对本专利技术作进一步阐述:实施例1:如图1所示,网络安全认证授权系统由客户(C)、服务端(S)、认证授权服务(A)、网闸(GAP)、代理服务端(S1)、安全代理(P)、客户安全组件(SSC)、服务端安全组件(SSS)、认证中心(CA)和授权中心(AA)组成;其中,客户(C)与客户安全组件(SSC)相连,客户安全组件(SSC)与安全代理(P)相连,安全代理(P)与代理服务端(S1)相连,代理服务端(S1)与网闸(GAP)相连,网闸(GAP)与认证授权服务(A)相连,网闸(GAP)同时与服务端安全组件(SSS)相连,服务端安全组件(SSS)与服务端(S)相连,服务端安全组件(SSS)同时与认证授权服务(A)相连,认证授权服务(A)与授权数据库(DB)相连;认证中心(CA)负责分发公钥证书,而授权中心(AA)负责管理和分发授权证书;认证中心(CA)和授权中心(AA)可以离线工作;授权证书在授权信息改变后,由人工将授权证书导入授权数据库(DB)。客户和服务都可以有多个;安全代理(P)除了在客户和服务之间转发消息外,还确认消息确是来自客户和服务方。本专利技术的工作过程如下:一、登录:客户(C)用带签字的Diffie-Helmem密钥协商协议产生信息((t,gx),{t,gx}Kpc,Certc),通过客户安全组件(SSC)把它发送给安全代理(P)。其中,t为当前的时间(时间戳),c为客户的用户名,gx为Diffie-Hellman协议中的公钥,对应的私钥为x,Kpc为代表客户(c)的私钥,{gx}Kpc为用Kpc对gx的加密,Certc为对应的公钥证书。1、安全代理(P)用公钥证书Certc验证(t,gx)的时间戳{t,gx}Kpc,并检查自己的时间戳表,确认没有(t,gx),并把(t,gx)加入自己的时间戳表,时间戳的失效时间按照系统政策确定。安全代理(P)向认证授权服务(A)转发((t,gx,{t,gx}Kpc,Certc)。2、认证授权服务(A)依次验证以下三件事:1)公钥证书Certc有效并可信;2)公钥证书所代表的客户(c)有效并具有向系统访问的权限;3)用公钥证书Certc验证(t,gx)和其签字{t,gx}Kpc。在验证上述三件事后,认证授权服务(A)产生Diffie-Hellman密钥对(y,gy),并计算客户(C)和认证授权服务(A)的会话密钥Kca=gx)y。按照服务策略决定密钥的有效期限Eca,并随机产生初始序列号nca。此时,认证授权服务(A)创建客户(C)的唯一的登录会话标识符lid,并将信息(lid,Eca,nca,Kcp,{Kcp}Kca,gy,{gy}Kpa,Certa)作为响应发送给安全代理(P)。其中,Kpa为认证授权服务的公钥,Certa为认证授权服务的公钥证书,Kcp为客户和安全代理之间的会话密钥,其有效期为Eca。3、安全代理(P)留下lid和Kcp,用lid为关键字保存Kcp。并向客户(C)转发(lid,Eca,nca,{Kcp}Kca,gy,{gy}Kpa,Certa)。4、同样,客户(C)依次验证以下三件事:1)公钥证书Certa有效并可信;2)公钥证书所代表的认证授权服务(A)正确;3)Diffie-Hellman公钥gy和其签字{gy}Kpa吻合,即可用认证授权服务(A)的公钥证书Certa验证。在验证上述三件事后,客户(c)计算gyx。在数值上,gyx=gxy,所以,gyx=Kca。客户解密{Kcp}Kca,得Kcp。客户保留lid,Kca,Eca,nca和Kcp。至此,客户(C)已成功地向认证授权服务(A)登录,并且获得了和安全代理(P)的一个密钥,这一密钥可用于发给安全代理(P)信息的对称电子签字密钥。二、服务授权请求:1、客户(C)向安全代理(P)发出代理服务授权请求(c,s,s1,ip,lid,{c,s,s1,ip,nca+1}Kca′、′Kcp).这个请求由七项数据组成:第一项c为客户(C)的用户名;第二项s为本文档来自技高网...
【技术保护点】
1.一种基于网络安全的用户认证授权系统,其特征在于包括客户(C)、服务端(S)、授权数据库(DB)、认证授权服务(A);客户(C)和服务端(S)相连,客户(C)同时与认证授权服务(A)相连,服务端(S)与认证授权服务(A)相连,授权数据库(DB)与认证授权服务(A)相连;其中:客户(C)用于:1)向服务端(S)发出加密的服务授权请求;2)接受服务端(S)发出的授权成功的信息;3)向服务端(S)发出加密的服务请求;4)接受服务端(S)发出的加密的响应信息,解密后得到服务端(S)的响应信息;服务端(S)用于:1)接受客户(C)发出加密的服务授权请求,并向认证授权服务(A)转发;2)接受认证授权服务(A)发送加密的授权认证信息;3)接受客户(C)发出加密的服务请求;服务端(S)解密后得到服务请求;4)向客户(C)发送加密的响应信息;认证授权服务(A)用于:1)接受服务端(S)发出加密的服务授权请求;并解密;2)授权验证,并向服务端(S)发送加密的授权认证;授权数据库(DB)用于:1)保存并提供验证服务授权请求合法性的信息。
【技术特征摘要】
1.一种基于网络安全的用户认证授权系统,其特征在于包括客户(C)、服务端(S)、授权数据库(DB)、认证授权服务(A);客户(C)和服务端(S)相连,客户(C)同时与认证授权服务(A)相连,服务端(S)与认证授权服务(A)相连,授权数据库(DB)与认证授权服务(A)相连;其中:客户(C)用于:1)向服务端(S)发出加密的服务授权请求;2)接受服务端(S)发出的授权成功的信息;3)向服务端(S)发出加密的服务请求;4)接受服务端(S)发出的加密的响应信息,解密后得到服务端(S)的响应信息;服务端(S)用于:1)接受客户(C)发出加密的服务授权请求,并向认证授权服务(A)转发;2)接受认证授权服务(A)发送加密的授权认证信息;3)接受客户(C)发出加密的服务请求;服务端(S)解密后得到服务请求;4)向客户(C)发送加密的响应信息;认证授权服务(A)用于:1)接受服务端(S)发出加密的服务授权请求;并解密;2)授权验证,并向服务端(S)发送加密的授权认证;授权数据库(DB)用于:...
【专利技术属性】
技术研发人员:高亚宁,
申请(专利权)人:陕西合度电子信息科技有限公司,
类型:发明
国别省市:陕西,61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。