描述了一种使用两种令牌来请求访问安全服务器的技术。这些令牌可在没有外部调用的情况下允许服务器查证请求装置是请求中所标识的装置,并且这种请求装置已由受信的身份提供方授权。第一令牌是由受信的身份提供方发布的认证令牌,并且包括客户端装置公钥。第二令牌是所有权证明令牌,这种所有权证明令牌由客户端装置使用与客户端装置公钥相对应的客户端装置私钥进行签名。服务器从认证令牌获得客户端装置公钥,然后使用客户端装置公钥来验证所有权证明令牌。认证令牌可由创建自己的所有权证明令牌的服务器重用,以呈现给第二服务器,进而对第二服务器上的安全服务进行访问。
Authentication token with client key
【技术实现步骤摘要】
【国外来华专利技术】带有客户端密钥的认证令牌
技术介绍
实际上,目前可访问的任何主要网页应用程序都使用令牌对请求访问该应用程序/API的用户进行认证。令牌可使用户仅需一次登录即可访问多个服务器,而不必使登录用户尝试访问的每个服务器。但是客户端必须存储和传输令牌,这意味着,令牌很容易被窃取并呈现,以获得对安全系统的未授权访问。此外,这种基于令牌的技术要求调用可信身份服务器以在呈现令牌时对令牌进行认证。附图说明下面,将参照本申请说明书附图对本申请详细描述。在本申请说明书附图中,附图标记的最左边的数字表示首次示出此附图标的附图。在不同说明书附图中使用相同的附图标记表示相似或相同的项目。图1示出了用于实现本申请所描述的技术的示例性网络架构。图2为具有客户端装置和身份服务器的示例性客户端-服务器系统的示图,并且图中示出了用于生成授权令牌的交互。图3是根据本申请所公开技术所结构化的示例性授权令牌的示图,这种示例性授权令牌包括客户端公钥。图4是根据本申请所公开技术所结构化的示例性所有权证明(POP)令牌的示图,该所有权证明令牌包括客户端公钥。图5是示例性客户端-服务器系统的示图,其中示出了访问安全服务器的请求中的POP令牌的呈现。图6是从客户端装置到安全服务器的HTTP请求的结构的表现。图7是示例性的客户端装置、示例性的第一安全服务器和示例性的第二安全服务器的示图,图中示出了在对第一服务器的请求中以及在对第二服务器的后续请求中POP令牌的呈现和再次呈现。图8是从第一服务器到第二服务器的HTTP请求的结构的示图,这种请求重用了由第一服务器从客户端装置接收的授权令牌。图9是用于在客户端访问安全服务器的请求中创建并使用授权令牌和POP令牌的示例性客户端侧实现的流程图。图10是用于接收包括授权令牌和POP令牌的访问请求的示例性服务器侧方法实现的流程图。具体实施方式网络单点登录协议可定义客户端授权令牌是如何由授权服务器(即,身份提供方)创建的,并最终将此客户端授权令牌递交给服务提供方,从而向服务提供方验证用户。而在这种情况中,是通过呈现认证令牌来验证客户端,而不是通过使用用户标识符和密码来验证客户端。而由于服务提供方并不通过额外的检查来确认用户所呈现的认证令牌为已向其颁发的认证令牌,所以这种令牌是任何拥有认证令牌的行为者都可以使用的“不记名令牌”(bearertoken)。但是,这种不记名令牌很容易被恶意行为者所窃取并再次使用,其中这种恶意行为者未经授权使用但会通过不记名令牌对安全系统进行访问。而此类协议的优势却仅限于防止恶意行为者获得并呈现认证令牌从而冒充有效用户。本申请所公开的技术是对现有技术中的认证令牌及使用技术所做出的改进。根据本申请所公开的技术而生成并使用的授权令牌包括客户端公钥,其与被颁发授权令牌的客户端相关联公钥。当客户端向服务提供方发出访问安全服务的请求时,客户端可包括请求中的授权令牌和所有权证明(POP)令牌(也被称为“密钥持有者令牌”或“HOK令牌”)。服务提供方可用身份提供方公钥来验证授权令牌,以获取客户端公钥,而后,服务提供方可用上述客户端公钥验证POP令牌,以确认发出请求的实体是在请求中识别的实体,即做出请求的客户端为向其颁发访问令牌的客户端。如果认证令牌或POP令牌(例如,插入其他客户端公钥等)发生了变化,则会使令牌的授权失败并使令牌的呈现者完全无法访问所请求的服务。当前的现有技术对在颁发授权令牌时所使用的TLS/SSL(传输层安全性/安全套接字层)公钥进行检查。而这种技术需要重用用于获取身份验证令牌的SSL隧道。由于本申请所公开的技术方案涉及产生独立密钥(即客户端公钥)的客户端,所以无需追踪并重用相同的SSL隧道。因此,处理被更加本地化,这节省了计算资源并允许进行更快的处理。对本申请所公开技术的使用可削弱对认证令牌的恶意使用,从而提高网络安全性。另外,由于可通过认证令牌及POP令牌的方式使验证结果独立地包含于服务提供方请求中,服务提供方不必调用外部权限对请求实体进行验证。因此,本技术减少了提供网络安全性所需的计算资源和网络资源,并可对安全服务进行更快的处理。下面,将参照本申请说明书附图详细描述本申请所公开的新式的技术方案,说明书附图中标识出了在实现所述的系统、装置、方法、计算机可读存储介质等中所使用的元件和操作。示例性网络架构图1示出了用于实现本申请所公开技术(即,用于创建并使用带有客户端公钥的认证令牌的系统和方法)的示例性网络架构100。尽管图中所示的网络架构100示包括蜂窝网络系统,但要注意的是:在一个或更多个实现方式中,本申请所公开的技术也可用于不包括蜂窝组件的网络架构。网络架构100包括由无线电信运营商提供的载波网络102。其中,载波网络102包括:蜂窝网络基站104(1)至蜂窝网络基站104(n),以及核心网络106。尽管在这种示例性中仅示出了两个基站,但是载波网络102可以包括任意数量的基站。载波网络102可根据诸如GSM演进的增强数据速率(EDGE)、宽带码分多址(W-CDMA)、HSPA、LTE、LTE高级、CDMA-2000(码分多址2000)等一种或更多种技术标准来提供电信和数据通信。其中,基站104(1)至基站104(n)负责处理诸如用户装置108(1)至用户装置108(n)中的用户装置与核心网络106之间的语音及数据流量。基站104(1)至基站104(n)中的每一个以可以以通信的方式经由相应的回程110(1)至回程110(n)连接至核心网络106。其中,回程110(1)至回程110(n)中的每一个可由铜缆、光纤缆、微波无线电收发器和/或类似部件实现。核心网络106还向用户装置108(1)至用户装置108(n)提供电信服务和数据通信服务。在本示例中,核心网络将用户装置108(1)至用户装置108(n)连接到诸如互联网112和公共交换电话网(PSTN)114之类的其他电信和数据通信网络。核心网络106包括实现网络组件的一个或更多个服务器116。例如,网络组件可以包括:对传送到PSTN114或来自PSTN114的语音呼叫进行路由处理的服务GPRS支持节点(SGSN),用于对外部分组交换网络与网络之间106的数据通信路由进行处理的网关GPRS支持节点(GGSN)。网络组件可进一步包括分组数据网络(PDN)网关(PGW),这种网关可对GGSN和互联网112之间的数据流进行路由。用户装置108(1)至用户装置108(n)中的每一个是电子通信装置,这种电子通信装置包括但不限于:智能手机、平板电脑、嵌入式计算机系统等。能使用由载波网络102所提供无线通信服务的任何电子装置都能以可通信的方式链接到载波网络102。例如,用户可以使用用户装置108进行语音呼叫、发送和接收文本消息和/或从网112下载内容。用户装置经由基站104可通信地连接至核心网络106。因此,可通过将用户装置108(1)至用户装置108(n)连接到基站104(1)至基站104(n)的无线接口118本文档来自技高网...
【技术保护点】
1.一种方法,包括:/n创建所有权证明(POP)令牌,用客户端私钥对所述所有权证明令牌进行数字化签名,所述客户端私钥与包括在认证令牌中的客户端公钥相对应;/n创建发送至服务器的请求,以访问所述服务器上的安全服务,所述请求至少包括所述认证令牌和所述POP令牌;以及/n将所述请求发送到所述服务器,以访问所述安全服务。/n
【技术特征摘要】
【国外来华专利技术】20171019 US 15/788,7311.一种方法,包括:
创建所有权证明(POP)令牌,用客户端私钥对所述所有权证明令牌进行数字化签名,所述客户端私钥与包括在认证令牌中的客户端公钥相对应;
创建发送至服务器的请求,以访问所述服务器上的安全服务,所述请求至少包括所述认证令牌和所述POP令牌;以及
将所述请求发送到所述服务器,以访问所述安全服务。
2.根据权利要求1所述的方法,进一步包括:
向身份提供方发送用于认证的请求,所述请求包括所述客户端公钥;
从所述身份提供方接收所述认证令牌,所述认证令牌包括所述客户端公钥;
其中由所述身份提供方通过身份提供方私钥对所述认证令牌进行签名,并且所述认证令牌能被身份提供方公钥验证。
3.根据权利要求2所述的方法,其中所述身份提供方与所述服务器具有已建立的信任关系,使得所述服务器具有身份提供方公钥,所述身份提供方公钥与身份提供方私钥相对应,所述身份提供方私钥用于对所述认证令牌进行签名。
4.根据权利要求1所述的方法,其中在从所述认证令牌中提取所述客户端公钥之后,通过所述客户端公钥对所述POP令牌进行验证。
5.根据权利要求1所述的方法,其中所述客户端公钥被嵌入于所述认证令牌中。
6.根据权利要求1所述的方法,其中所述请求进一步包括超文本传输协议(HTTP)请求,并且其中,所述认证令牌和所述POP令牌包含于所述HTTP请求的授权报头内。
7.一种方法,包括:
接收访问安全服务的请求,所述请求包括第一令牌和第二令牌;
从所述第一令牌中提取客户端公钥;
用从所述第一令牌中所提取的所述客户端公钥验证所述第二令牌;以及
一旦验证了所述第二令牌,授权对所述安全服务的访问。
8.根据权利要求7所述的方法,其中所述第一令牌对请求装置进行验证,并且所述第二令牌对所述请求的来源进行验证。
【专利技术属性】
技术研发人员:迈克尔·恩甘,D·麦克道曼,S·K·M·韦卢萨米,K·苏布拉马尼亚姆,
申请(专利权)人:T移动美国公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。