本发明专利技术公开了一种基于UAF和IBC的统一身份认证方法及装置,方法包括:通过UAF和IBC对注册的用户身份进行认证,在完成用户身份认证后,通过OAuth协议执行资源访问过程。本发明专利技术能够通过UAF实现“无口令”的认证,能过IBC实现用户能通过统一认证平台认证身份,无需各业务服务器分别绑定用户账户和公钥,实现统一的身份认证,有效提升了认证的安全性和效率。
A Unified Identity Authentication Method and Device Based on UAF and IBC
【技术实现步骤摘要】
一种基于UAF和IBC的统一身份认证方法及装置
本专利技术涉及身份认证
,尤其涉及一种基于UAF(UniversalAuthenticationFramework,通用认证框架)和IBC(Identity-BasedCryptography,基于标识的密码技术)的统一身份认证方法及装置。
技术介绍
目前国家电网公司大力推进“国上国网”等电力新兴业务建设,交费、办电、能源服务等业务繁多,现有静态、封闭的身份管理机制存在身份认证方式单一、安全隐患排查困难的问题。为了增强电力业务身份认证安全强度,降低认证成本,需要研究新的统一身份认证授权方案,实现各种电力业务“一证通办”的目标。目前大多数业务系统采用“用户名+口令”方式实现用户的在线身份认证,用户首先通过在线服务或网站进行注册,将用户名和口令与用户账户进行绑定,在随后的登录过程中,只需要通过用户名和口令的方式完成用户在线认证。但这种认证方式存在口令易泄露、复杂口令易遗忘、弱口令等问题。为了解决上述问题,FIDO(FastIdentityOnline,在线快速身份认证)联盟成立,旨在创建一套标准的开放协议实现强用户认证,以此消除或减弱用户对口令的依赖。目前FIDO给出UAF和U2F(UniversalSecondFactor,通用第二因子协议)两套协议,UAF能够实现“无口令”的强用户认证,U2F则增加第二因子提升现有口令认证机制的安全性。UAF在注册时将用户在服务器端的账户和UAF设备绑定在一起,随后在认证过程中,用户无需输入口令,只需要在UAF设备中通过生物特征识别或简单的PIN即可完成认证实现账户登录。但UAF需要用户在服务器端进行注册,将用户账户和公钥绑定,并没有解决统一身份认证问题,尤其是用户身份认证涉及多个业务统或跨域多资源访问时,分别需要进行注册和认证,使用并不方便。IBC能够将用户的身份信息作为公钥,无需数字证书绑定,因此非常适用于身份认证。在IBC中,首先由KGC(KeyGenerationCenter,密钥生成中心)生成主公钥和主私钥,然后KGC再利用自己的密钥根据用户的身份信息ID(如名称、e-mail、身份证号等)为用户生在私钥,用户的ID即为公钥,能够非常简单地实现用户身份认证。但IBC存在密钥更新难题,即若某个用户私钥泄露,或者需要用户更换ID,此时身份的自证性会大打折扣,或者由KGC更换主私钥和主公钥,此时所有用户的私钥都需要重新更新,造成非常大的麻烦。因此,如何更加有效的进行统一身份认证,是一项亟待解决的问题。
技术实现思路
有鉴于此,本专利技术提供了一种基于UAF和IBC的统一身份认证方法,能够通过UAF实现“无口令”的认证,能过IBC实现用户能通过统一认证平台认证身份,无需各业务服务器分别绑定用户账户和公钥,实现统一的身份认证,有效提升了认证的安全性和效率。本专利技术提供了一种基于UAF和IBC的统一身份认证方法,包括:通过UAF和IBC对注册的用户身份进行认证;在完成用户身份认证后,通过OAuth协议执行资源访问过程。优选地,所述在通过UAF和IBC对注册的用户身份进行认证前,还包括:注册用户身份。优选地,所述注册用户身份,包括:用户终端生成用户ID,并将所述用户ID发送至统一认证平台;所述统一认证平台对所述用户ID进行认证,根据主公钥和主私钥为用户生成私钥,并将所述私钥返回至所述用户终端进行存储。优选地,所述通过UAF和IBC对注册的用户身份进行认证,包括:所述用户终端中的应用生成资源访问请求,并将所述资源访问请求发送至资源服务器;所述资源服务器在接收到所述资源访问请求后,通过挑战应答方式要求对用户的身份进行认证;所述用户终端通过所述私钥进行签名,并将签名信息发送至所述资源服务器;所述资源服务器利用所述统一认证平台主公钥验证接收到的所述签名信息,验证通过后,完成用户身份认证。优选地,所述在完成用户身份认证后,通过OAuth协议执行资源访问过程,包括:所述资源服务器向授权服务器发送访问授权请求;所述授权服务器在接收到访问授权请求后,通过查询用户ID的访问权限,为用户颁发资源访问令牌;所述资源服务器在接收到资源访问令牌后,将相应的资源发送至所述用户终端中的应用。一种基于UAF和IBC的统一身份认证装置,包括:用户身份认证模块,用于通过UAF和IBC对注册的用户身份进行认证;资源访问授权模块,用于在完成用户身份认证后,通过OAuth协议执行资源访问过程。优选地,所述装置还包括:用户身份注册模块,用于注册用户身份。优选地,所述用户身份注册模块包括:用户终端和统一认证平台;其中:所述用户终端生成用户ID,并将所述用户ID发送至所述统一认证平台;所述统一认证平台对所述用户ID进行认证,根据主公钥和主私钥为用户生成私钥,并将所述私钥返回至所述用户终端进行存储。优选地,所述用户身份认证模块包括:资源服务器,其中:所述用户终端中的应用生成资源访问请求,并将所述资源访问请求发送至所述资源服务器;所述资源服务器在接收到所述资源访问请求后,通过挑战应答方式要求对用户的身份进行认证;所述用户终端通过所述私钥进行签名,并将签名信息发送至所述资源服务器;所述资源服务器利用所述统一认证平台主公钥验证接收到的所述签名信息,验证通过后,完成用户身份认证。优选地,所述资源访问授权模块包括:授权服务器,其中:所述资源服务器向所述授权服务器发送访问授权请求;所述授权服务器在接收到访问授权请求后,通过查询用户ID的访问权限,为用户颁发资源访问令牌;所述资源服务器在接收到资源访问令牌后,将相应的资源发送至所述用户终端中的应用。综上所述,本专利技术公开了一种基于UAF和IBC的统一身份认证方法,当需要进行统一身份认证时,首先通过UAF和IBC对注册的用户身份进行认证,然后在完成用户身份认证后,通过OAuth协议执行资源访问过程。本专利技术能够通过UAF实现“无口令”的认证,能过IBC实现用户能通过统一认证平台认证身份,无需各业务服务器分别绑定用户账户和公钥,实现统一的身份认证,有效提升了认证的安全性和效率。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术公开的一种基于UAF和IBC的统一身份认证方法实施例1的方法流程图;图2为本专利技术公开的一种基于UAF和IBC的统一身份认证方法实施例2的方法流程图;图3为本专利技术公开的一种基于UAF和IBC的统一身份认证方法实施例3的方法流程图;图4为本专利技术公开的一种基于UAF和IBC的统一身份认证装置实施例1的结构示意图;图5为本专利技术公开的一种基于UAF和IBC的统一身份认证装置实施例2的结构示意图;图6为本专利技术公开的一种基于UAF和IBC的统一身份认证装置实施例3的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其本文档来自技高网...
【技术保护点】
1.一种基于UAF和IBC的统一身份认证方法,其特征在于,包括:通过UAF和IBC对注册的用户身份进行认证;在完成用户身份认证后,通过OAuth协议执行资源访问过程。
【技术特征摘要】
1.一种基于UAF和IBC的统一身份认证方法,其特征在于,包括:通过UAF和IBC对注册的用户身份进行认证;在完成用户身份认证后,通过OAuth协议执行资源访问过程。2.根据权利要求1所述的方法,其特征在于,所述在通过UAF和IBC对注册的用户身份进行认证前,还包括:注册用户身份。3.根据权利要求2所述的方法,其特征在于,所述注册用户身份,包括:用户终端生成用户ID,并将所述用户ID发送至统一认证平台;所述统一认证平台对所述用户ID进行认证,根据主公钥和主私钥为用户生成私钥,并将所述私钥返回至所述用户终端进行存储。4.根据权利要求3所述的方法,其特征在于,所述通过UAF和IBC对注册的用户身份进行认证,包括:所述用户终端中的应用生成资源访问请求,并将所述资源访问请求发送至资源服务器;所述资源服务器在接收到所述资源访问请求后,通过挑战应答方式要求对用户的身份进行认证;所述用户终端通过所述私钥进行签名,并将签名信息发送至所述资源服务器;所述资源服务器利用所述统一认证平台主公钥验证接收到的所述签名信息,验证通过后,完成用户身份认证。5.根据权利要求4所述的方法,其特征在于,所述在完成用户身份认证后,通过OAuth协议执行资源访问过程,包括:所述资源服务器向授权服务器发送访问授权请求;所述授权服务器在接收到访问授权请求后,通过查询用户ID的访问权限,为用户颁发资源访问令牌;所述资源服务器在接收到资源访问令牌后,将相应的资源发送至所述用户终端中的应用。6.一种基于U...
【专利技术属性】
技术研发人员:王栋,甄平,玄佳兴,王洪凯,方舟,刘俊艳,王俊生,薛真,周磊,
申请(专利权)人:国网电子商务有限公司,国网雄安金融科技集团有限公司,国网浙江省电力有限公司,国家电网有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。