基于密码学的集中式身份管理、分布式认证与授权的方法技术

本发明专利技术涉及一种基于密码学的集中式身份管理、分布式认证与授权的系统，其特征在于，包括：认证服务器；认证凭证服务器；应用服务器；客户端。本发明专利技术的另一个技术方案是提供了一种新用户增加方法，其特征在于，包括以下步骤：本发明专利技术的另一个技术方案是提供了一种用户信息的更改方法。本发明专利技术的另一个技术方案是提供了一种用户或者用户信息的删除方法。本发明专利技术的另一个技术方案是提供了一种用户的认证授权方法。

【技术实现步骤摘要】
基于密码学的集中式身份管理、分布式认证与授权的方法
本专利技术涉及一种基于密码学的分布式认证与授权的方法，属于软件、区块链、物联网、云计算、安全领域。
技术介绍
鉴权(authentication)是指验证用户是否拥有访问系统的权利。传统的鉴权是通过密码来验证的。这种方式的前提是，每个获得密码的用户都已经被授权。在建立用户时，就为此用户分配一个密码，用户的密码可以由管理员指定，也可以由用户自行申请。这种方式的弱点十分明显：一旦密码被偷或用户遗失密码，情况就会十分麻烦，需要管理员对用户密码进行重新修改，而修改密码之前还要人工验证用户的合法身份。授权(Authorization)发生在认证成功之后，系统在执行具体的功能模块之前，其简要的流程如下：(1)获取用户的登录信息(fromCookieorSession)。(2)通过模块唯一标识和用户角色信息获取当前用户在当前模块的权限。(3)把用户当前模块的权限信息写入上下文(Context)中。避免一个请求多次读取权限信息，后面的操作就可以直接从上下文中获取。鉴权与授权都涉及到系统与用户的本文档来自技高网...

【技术保护点】
1.一种基于密码学的集中式身份管理、分布式认证与授权的系统，其特征在于，包括：/n认证服务器，至少用于：/na)根据用户的权限数据与用户的认证数据，通过哈希的方式生成用户唯一的用户ID，以及该ID完成认证所需要的信息；/nb)根据用户ID以及用户数据生成全部用户的指纹；/nc)为每个用户生成用户ID在上述数据指纹中的证据；/nd)增加、更新、删除用户，以及用户的授权数据；/n认证凭证生成服务器，至少用于存储认证服务器生成的用户ID与证据，以及所有的不含有敏感信息的中间状态数据，同时，至少用于完成全部用户指纹的发布、更新；/n应用服务器，与认证凭证服务器进行连接，用于订阅认证凭证服务器的全部用户...

【技术特征摘要】
1.一种基于密码学的集中式身份管理、分布式认证与授权的系统，其特征在于，包括：
认证服务器，至少用于：
a)根据用户的权限数据与用户的认证数据，通过哈希的方式生成用户唯一的用户ID，以及该ID完成认证所需要的信息；
b)根据用户ID以及用户数据生成全部用户的指纹；
c)为每个用户生成用户ID在上述数据指纹中的证据；
d)增加、更新、删除用户，以及用户的授权数据；
认证凭证生成服务器，至少用于存储认证服务器生成的用户ID与证据，以及所有的不含有敏感信息的中间状态数据，同时，至少用于完成全部用户指纹的发布、更新；
应用服务器，与认证凭证服务器进行连接，用于订阅认证凭证服务器的全部用户指纹的更新；
客户端，至少保存如下信息：
a)客户端ID，以及客户端存在于全部用户指纹中的证据。
b)客户端的密码方式。


2.如权利要求1所述的一种基于密码学的集中式身份管理、分布式认证与授权的系统，其特征在于，所述应用服务器与所述认证凭证服务器保持间断连接，所述应用服务器订阅所述认证凭证服务器的全部用户指纹的更新的过程通过懒惰订阅的方式进行。


3.基于权利要求1所述的基于密码学的集中式身份管理、分布式认证与授权的系统的新用户增加方法，其特征在于，包括以下步骤：
步骤101、用户向系统提交用户数据，该用户数据包含基本的用户信息；
步骤102、认证服务器根据用户提供的用户数据以及用户的认证信息，生成用户的用户ID；
步骤103、认证服务器根据每个用户的用户ID，将用户插入到密码累加器中，密码累加器最终输出用户授权签名User-set-Signature；
步骤104、认证服务器等待一定的时间T，在时间T内，重复执行步骤102及步骤103，认证服务器为接收到用户数据的新用户生成对应的用户ID，并输出对应的用户授权签名User-set-Signature；
步骤105、当T超时之后，认证服务器为收到用户数据的所有用户统一生成用户指纹证据，该用户指纹证据用于证明用户属于当前的用户授权签名User-set-Signature；
步骤106、认证服务器将用户数据以及证据信息发送给最终用户。


4.如权利要求3所述的一种新用户增加方法，其特征在于，步骤106中，在发送的过程中，使用非对称加密的方式进行发送以确保发送的信息安全。


5.基于权利要求1所述的基于密码学的集中式身份管理、分布式认证与授权的系统的用户信息的更改方法，其特征在于，包括以下步骤：
步骤201、用户向认证服务器提交更改请求以及需要更改的数据；
步骤202、认证服务器基于更改请求确认用户是否有效，同时，判断需要更改的数据是否有效，若均有效，则进入下一步；
步骤203、认证服务器根据需要更改的数据中所包含的新的用户信息重新生成新的用户ID；
步骤204、认证服务器根据针对当前用户所生成的新的用户ID以及已有的用户ID，将新的用户ID增加到密码累加器中，并在密码累加器中删除已有的用户ID；
步骤205、认证服务器需要等待一定的时间T，在时间T内，重复执行步骤204，认证服务器为接收到的所有更改请求以及需要更改的数据生成新的用户ID增加到密码累加器中，并在密码累加器中删除所有已有的用户ID；
步骤206、当T超时之后认证服务器为所有的用户统一生成用户指纹证据；
步骤207、认证服务器将授权数据以及用户的基本信息以及证据等信息通过用户的公钥将数据发送给最终用...

【专利技术属性】
技术研发人员：冯金军，
申请(专利权)人：上海瑾琛网络科技有限公司，
类型：发明
国别省市：上海;31