分布式网络下的身份认证方法技术

本发明专利技术属于网络安全技术领域，公开了分布式网络下的身份认证方法

【技术实现步骤摘要】
分布式网络下的身份认证方法、系统、终端、介质及应用


[0001]本专利技术属于网络安全
，尤其涉及分布式网络下的身份认证方法
、
系统
、
终端
、
介质及应用
。

技术介绍

[0002]目前，如何使一个内部用户既能访问到处于不同地理位置的
、
不同业务
、
不同级别的系统又能得到相应的权限控制，是电子政务应用系统建设中需要解决的一个重要课题，在这样的应用环境中，安全的单点登录显得尤其迫切
。
借助安全的单点登录系统，用户仅仅需要记住一个口令即可自动登录到一个应用系统后访问所有有权限的应用系统而不需要重新登录
。
[0003]当前的单点登录系统，无论是国外
CA
公司的
eTrust、RSA
公司的
clearTrust、HP
公司的
Select Access
，存在着以下的缺陷：要么单点登录仅局限于局域网环境，不适于社交网络下分布式的广域网环境；要么使用的是弱认证方式，在社交网络中应该使用受密码保护的强认证方式
。
[0004]通过上述社交网络环境下的身份认证分析，现有技术存在的问题及缺陷为：
[0005](1)
基于口令的用户身份认证：基于口令的用户身份认证一直是分布环境中最广泛使用的一种认证方法
。
但它对于重放攻击和字典攻击没有抵抗力
。
到现在为止，人们已经提出了多种基于口令认证的方案，但是这些方案所运用的技术并不比公钥密码体制和
Diffie
‑
Hellman
密钥交换计数更先进，而且它们还对整个系统造成了更加严重的计算开销
。
[0006](2)S/key
认证：
[0007]每一次认证时系统产生的一次性口令不同，这样即使口令被窃听也无关紧要
。
然而使用
S/key
的用户需输入一次性口令，因而使用起来比较烦琐
。
[0008](3)Kerberos
身份认证：
[0009]在分布式计算环境下，用户访问系统时的位置是可变的，同时用户所要访问的系统资源也不是固定的
。Kerberos
给出了一种具有较高安全性能的用户身份认证和资源访问认证的机制
。
但
Kerberos
存在安全缺陷，而且这种协议的使用需要复杂的设置
。

技术实现思路

[0010]为克服相关技术中存在的问题，本专利技术公开实施例提供了一种分布式网络下的身份认证方法
、
系统
、
终端
、
介质及应用，还涉及一种分布式网络环境下的单点登录模型
。
[0011]所述技术方案如下：一种分布式网络下的身份认证方法，包括：
[0012]用户在本地和异地登录应用系统时，与本地认证服务器和异地认证服务器进行信息交互；
[0013]用户登录到应用系统后，每次访问系统资源时进行用户身份的真实性验证，确认用户宣称的身份
。
[0014]在本专利技术一实施例中，本地认证服务器进行本地认证的方法包括：
[0015]s1、
用户向本地认证服务器发出登录请求；
[0016]s2、
本地认证服务器
S
L
产生用户随机数
R
发送给
A
，并在本地认证服务器中保存该随机数；
[0017]s3、
用户对该随机数进行签名，并将用户的身份信息
、
签名信息以及公钥证书
(A,S
K
‑1(R),Cert
A
)
发往本地认证服务器
S
L
；
[0018]本地认证服务器
S
L
对用户的签名验证，如果签名验证正确，则产生该用户的身份票据
T
A
，加密保存在本地认证服务器，并将密文
E
K
(T
A
)
发给用户；如果用户签名不正确，则用户认证失败，不能登录；
[0019]s4、
用户收到本地认证服务器
S
L
发来的信息
E
K
(T
A
)
，解密后得到身份票据
T
A
，并将身份票据
T
A
保存在用户
USB Token
中
。
[0020]在本专利技术一实施例中，异地认证服务器进行异地认证的方法包括：
[0021]1)
用户
A
向异地认证服务器
S
R
发出登录认证请求；
[0022]2)
异地认证服务器
S
R
产生用户随机数
R
，将其发送给
A
，并在异地认证服务器中保存该随机数；
[0023]3)
用户对随机数签名，将用户信息
、
签名信息以及公钥证书
(A,S
K
‑1(R),Cert
A
)
发往异地认证服务器
S
R
；
[0024]异地认证服务器
S
R
判断如果用户登录的是异地认证服务器，通知用户重定向到本地认证服务器进行身份认证；
[0025]4)
异地认证服务器通知用户重定向；
[0026]5)
用户收到重定向通知后，将用户认证信息重新发往用户的本地认证服务器
S
L
；进行本地认证；
[0027]6)
用户收到本地认证服务器
S
L
发来的信息
E
K
(T
A
)
，解密后得到身份票据
T
A
，并将身份票据
T
A
保存在用户
USB Token
中
。
[0028]在本专利技术一实施例中，所述进行用户身份的真实性验证包括本地身份真实性验证，所述本地身份真实性验证包括：
[0029](1)
用户利用保存在
Token
中的身份票据
T
A
和身份信息，将得到用户身份真实性信息
I(F
i
(T
A
))
发到本地认证服务器；
[0030](2)
异地认证服务器发送给用户重定向请求；
[0031](3)
本地认证服务器
S
L
安全的利用用户票据从...

【技术保护点】

【技术特征摘要】
1.
一种分布式网络下的身份认证方法，其特征在于，所述分布式网络下的身份认证方法包括：用户在本地和异地登录应用系统时，与本地认证服务器和异地认证服务器进行信息交互；用户登录到应用系统后，每次访问系统资源时进行用户身份的真实性验证，确认用户宣称的身份
。2.
根据权利要求1所述的分布式网络下的身份认证方法，其特征在于，本地认证服务器进行本地认证的方法包括：
s1、
用户向本地认证服务器发出登录请求；
s2、
本地认证服务器
S
L
产生用户随机数
R
发送给
A
，并在本地认证服务器中保存该随机数；
s3、
用户对该随机数进行签名，并将用户的身份信息
、
签名信息以及公钥证书发往本地认证服务器
S
L
；本地认证服务器
S
L
对用户的签名验证，如果签名验证正确，则产生该用户的身份票据
T
A
，加密保存在本地认证服务器，并将密文
E
K
(T
A
)
发给用户；如果用户签名不正确，则用户认证失败，不能登录；
s4、
用户收到本地认证服务器
S
L
发来的信息
E
K
(T
A
)
，解密后得到身份票据
T
A
，并将身份票据
T
A
保存在用户
USBToken
中
。3.
根据权利要求1所述的分布式网络下的身份认证方法，其特征在于，异地认证服务器进行异地认证的方法包括：
1)
用户
A
向异地认证服务器
S
R
发出登录认证请求；
2)
异地认证服务器
S
R
产生用户随机数
R
，将其发送给
A
，并在异地认证服务器中保存该随机数；
3)
用户对随机数签名，将用户信息
、
签名信息以及公钥证书发往异地认证服务器
S
R
；异地认证服务器
S
R
判断如果用户登录的是异地认证服务器，通知用户重定向到本地认证服务器进行身份认证；
4)
异地认证服务器通知用户重定向；
5)
用户收到重定向通知后，将用户认证信息重新发往用户的本地认证服务器
S
L
；进行本地认证；
6)
用户收到本地认证服务器
S
L
发来的信息
E
K
(T
A
)
，解密后得到身份票据
T
A
，并将身份票据
T
A
保存在用户
USBToken
中
。4.
根据权利要求1所述的分布式网络下的身份认证方法，其特征在于，所述进行用户身份的真实性验证包括本地身...

【专利技术属性】
技术研发人员：周勇林，贾宇，刘汪洋，丁嘉伟，
申请(专利权)人：深圳市网联安瑞网络科技有限公司，
类型：发明
国别省市：