本实施例公开了身份认证方法、身份认证服务器及相关装置,该方法包括:获取待认证客户端发送的认证请求,该认证请求携带对应已认证客户端的第一签名;根据待认证客户端的第二UserAgent、以及待认证客户端的第二IP地址和固态密钥,生成第二动态密钥;根据第二动态密钥生成第二签名;校验第一签名与第二签名是否一致,以判断待认证客户端与已认证客户端是否为同一客户端;若第一签名与第二签名一致,则确定对待认证客户端认证成功。可见,因不同客户端对应的UserAgen及IP地址不同,故通过比对第一签名和第二签名,即可确定对待认证客户端的认证是否成功,从而便捷有效地防御重放攻击及其带来的信息泄露风险。及其带来的信息泄露风险。及其带来的信息泄露风险。
【技术实现步骤摘要】
身份认证方法、身份认证服务器及相关装置
[0001]本申请实施例涉及互联网
,尤其涉及身份认证方法、身份认证服务器及相关装置。
技术介绍
[0002]随着网络科技的不断发展,网络安全问题也愈来愈备受关注。其中,重放攻击,又称为重播攻击或回放攻击,是指攻击者利用网络监听等方式,盗取认证服务器签发给目标主机的认证凭据(例如,该认证凭据为目标主机已接收过的、来自服务器端的数据包,该数据包常包含目标主机的身份令牌),而后把该认证凭据重新返给认证服务器;此攻击,主要用于迷惑认证系统(可称为服务器端或身份认证服务器)使其通过对伪客户端的身份认证,破坏鉴权认证环节的准确性,从而达到盗取信息的目的。
[0003]针对于此,相关技术并未提供有效的解决方案。
技术实现思路
[0004]本申请实施例提供了身份认证方法、身份认证服务器及相关装置,用以解决切换客户端后身份令牌还能被有效重放的技术问题。
[0005]本申请实施例第一方面提供一种身份认证方法,包括:
[0006]获取待认证客户端发送的认证请求;所述认证请求携带对应已认证客户端的身份令牌;所述身份令牌携带根据第一动态密钥生成的第一签名,所述第一动态密钥是根据所述已认证客户端的第一用户代理字符串UserAgent、所述已认证客户端的第一互联网协议IP地址和固态密钥生成的;
[0007]根据所述待认证客户端的第二UserAgent、以及所述待认证客户端的第二IP地址和所述固态密钥,生成第二动态密钥;
[0008]根据所述第二动态密钥生成第二签名;
[0009]校验所述第一签名与所述第二签名是否一致,以判断所述待认证客户端与所述已认证客户端是否为同一客户端;
[0010]若所述第一签名与所述第二签名一致,则确定对所述待认证客户端认证成功。
[0011]可选地,所述获取待认证客户端发送的认证请求之前,所述方法还包括:
[0012]获取所述已认证客户端发送的签发令牌请求;
[0013]根据所述第一UserAgent、所述第一IP地址和所述固态密钥,生成对应所述已认证客户端的第一动态密钥;
[0014]根据所述第一动态密钥生成第一签名;
[0015]将包括所述第一签名的身份令牌发送至所述已认证客户端。
[0016]可选地,所述根据所述待认证客户端的第二UserAgent、以及所述待认证客户端的第二IP地址和所述固态密钥,生成第二动态密钥包括:
[0017]对所述待认证客户端的第二UserAgent、以及所述待认证客户端的第二IP地址和
所述固态密钥进行信息摘要处理,将得到的信息摘要作为第二动态密钥。
[0018]可选地,所述身份令牌携带的第一签名是对所述身份令牌中的待签名信息进行签名处理得到的;所述根据所述第二动态密钥生成第二签名包括:
[0019]根据所述第二动态密钥对所述身份令牌中的待签名信息进行签名处理,得到第二签名。
[0020]可选地,所述待签名信息包括头部信息以及荷载信息,所述头部信息用于声明签名算法;所述根据所述第二动态密钥对所述身份令牌中的待签名信息进行签名处理,得到第二签名包括:
[0021]根据所述第二动态密钥对所述头部信息以及所述荷载信息进行基于所述签名算法的签名处理,得到第二签名。
[0022]可选地,所述身份令牌还携带有过期时间;所述确定对所述待认证客户端认证成功包括:
[0023]获取当前时间;
[0024]若所述当前时间未超过所述过期时间,则确定对所述待认证客户端认证成功。
[0025]可选地,所述校验所述第一签名与所述第二签名是否一致之后,所述方法还包括:
[0026]若所述第一签名与所述第二签名不一致,则确定对所述待认证客户端认证失败。
[0027]本申请实施例第二方面提供一种身份认证服务器,包括:
[0028]获取单元,用于获取待认证客户端发送的认证请求;所述认证请求携带对应已认证客户端的身份令牌;所述身份令牌携带根据第一动态密钥生成的第一签名,所述第一动态密钥是根据所述已认证客户端的第一用户代理字符串UserAgent、所述已认证客户端的第一互联网协议IP地址和固态密钥生成的;
[0029]处理单元,用于根据所述待认证客户端的第二UserAgent、以及所述待认证客户端的第二IP地址和所述固态密钥,生成第二动态密钥;
[0030]所述处理单元,还用于根据所述第二动态密钥生成第二签名;
[0031]所述处理单元,还用于校验所述第一签名与所述第二签名是否一致,以判断所述待认证客户端与所述已认证客户端是否为同一客户端;
[0032]所述处理单元,还用于若所述第一签名与所述第二签名一致,则确定对所述待认证客户端认证成功。
[0033]可选地,所述处理单元,还用于:
[0034]获取所述已认证客户端发送的签发令牌请求;
[0035]根据所述第一UserAgent、所述第一IP地址和所述固态密钥,生成对应所述已认证客户端的第一动态密钥;
[0036]根据所述第一动态密钥生成第一签名;
[0037]将包括所述第一签名的身份令牌发送至所述已认证客户端。
[0038]可选地,所述处理单元,具体用于对所述待认证客户端的第二UserAgent、以及所述待认证客户端的第二IP地址和所述固态密钥进行信息摘要处理,将得到的信息摘要作为第二动态密钥。
[0039]可选地,所述处理单元,具体用于根据所述第二动态密钥对所述身份令牌中的待签名信息进行签名处理,得到第二签名;所述身份令牌携带的第一签名是对所述身份令牌
中的待签名信息进行签名处理得到的。
[0040]可选地,所述处理单元,具体用于根据所述第二动态密钥对所述头部信息以及所述荷载信息进行基于所述签名算法的签名处理,得到第二签名;所述待签名信息包括头部信息以及荷载信息,所述头部信息用于声明签名算法。
[0041]可选地,所述处理单元,具体用于:
[0042]获取当前时间;
[0043]若所述当前时间未超过所述过期时间,则确定对所述待认证客户端认证成功。
[0044]所述处理单元,还用于若所述第一签名与所述第二签名不一致,则确定对所述待认证客户端认证失败。
[0045]本申请实施例第三方面提供一种身份认证装置,包括:
[0046]中央处理器,存储器以及输入输出接口;
[0047]所述存储器为短暂存储存储器或持久存储存储器;
[0048]所述中央处理器配置为与所述存储器通信,并执行所述存储器中的指令操作以执行本申请实施例第一方面或第一方面的任一具体实现方式所描述的方法。
[0049]本申请实施例第四方面提供一种计算机可读存储介质,包括指令,当所述指令在计算机上运行时,使得计算机执行如本申请实施例第一方面或第一方面的任一具体实现方式所描述的方法。
[0050]本申请本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种身份认证方法,其特征在于,应用于身份认证服务器,包括:获取待认证客户端发送的认证请求;所述认证请求携带对应已认证客户端的身份令牌;所述身份令牌携带根据第一动态密钥生成的第一签名,所述第一动态密钥是根据所述已认证客户端的第一用户代理字符串UserAgent、所述已认证客户端的第一互联网协议IP地址和固态密钥生成的;根据所述待认证客户端的第二UserAgent、以及所述待认证客户端的第二IP地址和所述固态密钥,生成第二动态密钥;根据所述第二动态密钥生成第二签名;校验所述第一签名与所述第二签名是否一致,以判断所述待认证客户端与所述已认证客户端是否为同一客户端;若所述第一签名与所述第二签名一致,则确定对所述待认证客户端认证成功。2.根据权利要求1所述的方法,其特征在于,所述获取待认证客户端发送的认证请求之前,所述方法还包括:获取所述已认证客户端发送的签发令牌请求;根据所述第一UserAgent、所述第一IP地址和所述固态密钥,生成对应所述已认证客户端的第一动态密钥;根据所述第一动态密钥生成第一签名;将包括所述第一签名的身份令牌发送至所述已认证客户端。3.根据权利要求1所述的方法,其特征在于,所述根据所述待认证客户端的第二UserAgent、以及所述待认证客户端的第二IP地址和所述固态密钥,生成第二动态密钥包括:对所述待认证客户端的第二UserAgent、以及所述待认证客户端的第二IP地址和所述固态密钥进行信息摘要处理,将得到的信息摘要作为第二动态密钥。4.根据权利要求1所述的方法,其特征在于,所述身份令牌携带的第一签名是对所述身份令牌中的待签名信息进行签名处理得到的;所述根据所述第二动态密钥生成第二签名包括:根据所述第二动态密钥对所述身份令牌中的待签名信息进行签名处理,得到第二签名。5.根据权利要求4所述的方法,其特征在于,所述待签名信息包括头部信息以及荷载信息,所述头部信息用于声明签名算法;所述根据所述第二动态...
【专利技术属性】
技术研发人员:张进,
申请(专利权)人:金蝶智慧科技深圳有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。