国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      采用預(yù)處理的身份認證系統(tǒng)和方法

      文檔序號:7668929閱讀:106來源:國知局
      專利名稱:采用預(yù)處理的身份認證系統(tǒng)和方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及一種采用預(yù)處理的身份認證系統(tǒng)和方法。
      背景技術(shù)
      很多網(wǎng)絡(luò)資源采用密鑰加密的方式進行身份認證和登錄。同時,為了使用戶與 認證服務(wù)器之間每次登錄傳輸?shù)男畔⒍疾幌嗤?,加密過程中也需要存在變量,如 不同的密鑰、隨時間變化的加密內(nèi)容等等。
      加密和解密的計算,尤其是非對稱加密的計算,是很耗時的。因此,對于有很 多用戶的認證服務(wù)系統(tǒng),就產(chǎn)生了以下問題在認證高峰時,服務(wù)器性能不足;在 認證空閑時,服務(wù)器設(shè)備性能閑置。

      發(fā)明內(nèi)容
      本發(fā)明釆用一種采用預(yù)處理的身份認證系統(tǒng)和方法,來解決以上提到的問題。 在本發(fā)明中,采用由認證服務(wù)系統(tǒng)向用戶終端發(fā)出的信息作為認證加密過程中的變量,使用戶每次登錄傳遞的認證信息都不同。而且,本發(fā)明中認證服務(wù)系統(tǒng)將需要 進行的加解密計算預(yù)先執(zhí)行,在用戶終端返回認證信息后,認證服務(wù)系統(tǒng)不需再執(zhí) 行加解密運算而只需直接進行比對就可得出認證結(jié)論。這樣,本發(fā)明將認證服務(wù)系 統(tǒng)的加解密運算與終端用戶的認證執(zhí)行分開成了可以分別獨立執(zhí)行的步驟,這樣就 帶來了以下優(yōu)點1)認證服務(wù)系統(tǒng)的加解密運算量不與用戶的認證請求量直接相 關(guān),認證服務(wù)系統(tǒng)的加解密運算工作可以按不同時間的負荷情況進行合理和優(yōu)化的 分配;2)這種系統(tǒng)尤其適合實現(xiàn)于進行分工的多服務(wù)器系統(tǒng)上,其中,加解密運 算和用戶的認證工作分別執(zhí)行于專用服務(wù)器上,這樣做, 一方面由于減少了專用設(shè) 備昂貴的加密運算服務(wù)器而降低了運營成本,另一方面可以使服務(wù)器群組的工作負 荷和內(nèi)部通信流量得到合理和優(yōu)化的分配;3)利用將認證與加解密計算分離執(zhí)行 一尤其是分別在不同的服務(wù)器上執(zhí)行,可以通過訪問控制實現(xiàn)對密鑰或密碼等用戶 識別關(guān)鍵內(nèi)容的有效保護。
      本發(fā)明是這樣實現(xiàn)的 一種采用預(yù)處理的身份認證系統(tǒng)和方法,該系統(tǒng)包括終端系統(tǒng)和認證服務(wù)系統(tǒng),其中,終端系統(tǒng)用戶具有特征信息X,認證服務(wù)系統(tǒng)儲存 著對應(yīng)的特征信息Y,其中,認證服務(wù)系統(tǒng)可以根據(jù)特征信息Y和關(guān)于特征信息X 的信息驗證對應(yīng)關(guān)系,該方法包括以下步驟
      1) 認證服務(wù)系統(tǒng)進行至少包括特征信息Y和認證信息A的數(shù)學(xué)計算,得
      到認證信息AY;
      2) 終端系統(tǒng)收到認證信息A或認證信息AY;
      3) 終端系統(tǒng)進行至少包括特征信息X和認證信息A的數(shù)學(xué)計算或者進行 至少包括特征信息X和認證信息AY的數(shù)學(xué)計算,得到認證信息AX或 認證信息AYX;
      4) 認證服務(wù)系統(tǒng)收到認證信息AX或認證信息AYX;
      5) 認證服務(wù)系統(tǒng)根據(jù)儲存的認證信息AY和收到的認證信息AX進行判 斷,或者認證服務(wù)系統(tǒng)根據(jù)儲存的認證信息A和收到的認證信息AYX 進行判斷,只有在認證信息AY與AX或者認證信息A與AYX符合對 應(yīng)關(guān)系的條件下,認證才能通過。
      其中,所述的特征信息X和特征信息Y可以是密鑰X和密鑰Y,密鑰X和密 鑰Y是同一個對稱加密的密鑰或一對非對稱加密的密鑰,所述的認證信息A是由 任何符號組成的序列。這時,所述方法的步驟具體為-
      1) 認證服務(wù)系統(tǒng)以密鑰X對認證信息A或其摘要進行加密,得到認證信 息AY;
      2) 終端系統(tǒng)收到認證信息A或認證信息AY;
      3) 終端系統(tǒng)以密鑰Y對認證信息A加密或者對認證信息AY解密,得到 認證信息AX或者認證信息AYX;
      4) 認證服務(wù)系統(tǒng)收到認證信息AX或認證信息AYX;
      5) 認證服務(wù)系統(tǒng)根據(jù)儲存的認證信息AY和收到的認證信息AX進行判 斷,或者認證服務(wù)系統(tǒng)根據(jù)儲存的認證信息A或其摘要和收到的認證 信息AYX進行判斷,只有在認證信息A與認證信息AYX相符合或認 證信息A與認證信息AYX相符合的條件下,認證才能通過。
      其中,所述的特征信息X和特征信息Y可以是由任何符號組成的序列,所述 的認證信息A是數(shù)學(xué)算法或算法因子A。這時,所述方法的步驟具體為
      1) 認證服務(wù)系統(tǒng)以數(shù)學(xué)算法或算法因子A對特征信息Y進行計算,得到 認證信息AY;
      2) 終端系統(tǒng)收到數(shù)學(xué)算法或算法因子A;
      3) 終端系統(tǒng)以數(shù)學(xué)算法或算法因子A對特征信息X進行計算,得到認證
      信息AX;
      4) 認證服務(wù)系統(tǒng)收到認證信息AX;
      5) 認證服務(wù)系統(tǒng)根據(jù)儲存的認證信息AY和收到的認證信息AX進行判 斷,只有在認證信息AY與認證信息AX相同的條件下,認證才能通過。
      其中,所述的數(shù)學(xué)算法為單向函數(shù)、加密算法或以上兩者組合,所述的算法因 子為單向函數(shù)和加密算法在計算中有關(guān)的因子。
      其中,所述的認證服務(wù)系統(tǒng)可以由一臺或多臺服務(wù)器組成。當所述認證服務(wù)系 統(tǒng)由多臺服務(wù)器組成時,所述的步驟l)與步驟5)可以分別由不同的服務(wù)器執(zhí)行。
      其中,所述終端系統(tǒng)為具有計算機功能的系統(tǒng),包括主機和與之相連接的附件。 其中,主機可以是計算機、手機或其它具有計算機功能的設(shè)備。
      其中,所述終端系統(tǒng)的附件包括可移動IC,用戶密鑰X儲存在可移動IC上, 可移動IC可與不同的終端系統(tǒng)相互連接。
      其中,所述的步驟3)的部分數(shù)學(xué)運算在可移動IC上生成。
      其中,根據(jù)具體應(yīng)用的不同,在基本步驟和程序基礎(chǔ)上,本發(fā)明的具體實現(xiàn)步 驟會有各種不同的變化。
      其中,所述的網(wǎng)絡(luò)是指互聯(lián)網(wǎng)。
      其中,所述網(wǎng)絡(luò)的連接方式包括有線方式和無線方式。
      其中,所述數(shù)學(xué)計算是指進行以下一種或幾種數(shù)學(xué)計算加密計算、解密計算、 數(shù)字摘要計算等。
      本發(fā)明還可用于有三方參與的提供第三方身份認證的應(yīng)用方式。另外,本發(fā)明
      還可以與其它認證方案相結(jié)合,如在終端發(fā)往認證服務(wù)器的信息中加入時間變量


      圖1是本發(fā)明的基本步驟程序示意圖2是本發(fā)明的基本系統(tǒng)結(jié)構(gòu)的示意圖;
      圖3是本發(fā)明的實施例1的具體步驟程序示意圖4是本發(fā)明的實施例1的系統(tǒng)結(jié)構(gòu)示意圖5是本發(fā)明的實施例2和實施例3的具體步驟程序示意圖6是本發(fā)明的實施例4的系統(tǒng)結(jié)構(gòu)示意圖。
      具體實施例方式
      下面結(jié)合附圖,對本發(fā)明實施例進行詳細描述。
      實施例l、 2、 3是本發(fā)明的步驟流程在具體應(yīng)用中的3個典型實現(xiàn)。實施例4 是本發(fā)明應(yīng)用于第三方身份認證時的一種典型系統(tǒng)結(jié)構(gòu)。
      實施例1
      圖3是本實施例的具體步驟程序示意圖。本實施例中,特征信息X和特征信息 Y分別是密鑰X和密鑰Y,密鑰X和密鑰Y是一對非對稱加密的密鑰,所述的認 證信息A是認證服務(wù)系統(tǒng)產(chǎn)生的隨機序列。
      圖4是本實施例的系統(tǒng)結(jié)構(gòu)示意圖,其中,認證服務(wù)系統(tǒng)由2個服務(wù)器群組構(gòu) 成, 一個專門用于加密和解密運算的加密服務(wù)器群組(CS),另一個用于接收用戶 的認證請求和執(zhí)行認證判斷的認證功能服務(wù)器群組(AS)。其中,每個注冊的用戶 在認證服務(wù)系統(tǒng)中有用戶代碼,這個用戶代碼可以是用戶注冊時的用戶名或是系統(tǒng) 指定生成的。其中,CS上存儲著所有用戶的用戶代碼以及對應(yīng)的密鑰Y, AS上存 儲著用戶代碼以及CS為每個用戶生成的多對認證信息A和認證信息AY。
      本實施例具體包括以下步驟
      1) CS為每個新注冊用戶生成多個認證信息A, CS以該用戶對應(yīng)的密鑰Y 對每個認證信息A進行加密,得到認證信息AY;
      2) CS將新注冊用戶的認證信息A和AY傳送給AS;
      3) 用戶通過終端系統(tǒng)向AS發(fā)來認證請求,其中包含用戶名;
      4) AS根據(jù)用戶名找到用戶代碼和與該用戶對應(yīng)的一對認證信息A和認證 信息AY;
      5) AS向終端系統(tǒng)發(fā)送找到的認證信息AY,同時AS向CS請求為該用戶 更新一對認證信息A和AY;
      6) 終端系統(tǒng)以密鑰X對認證信息AY進行解密,生成認證信息AYX;
      7) 終端系統(tǒng)向AS發(fā)送認證信息AYX和用戶名;
      8) AS根據(jù)儲存的認證信息A和收到的認證信息AYX進行判斷,如果認 證信息A與認證信息AYX相同則確認認證信息是由該注冊用戶發(fā)出 的,認證可以通過。
      本實施例還包括步驟51): CS向AS返回該用戶的一對新的認證信息A和AY。 步驟51)的執(zhí)行時間由CS根據(jù)不同的具體情況決定,可以是在步驟5)后即時執(zhí)行 的、或是周期執(zhí)行的、或是延期執(zhí)行的等等。
      實施例2
      圖5是本發(fā)明的實施例2的具體步驟程序示意圖。本實施例中,特征信息X和 特征信息Y是同一個用戶的用戶名和用戶密碼。所述的認證信息A是密鑰A,密 鑰A是一個對稱加密的密碼或一對非對稱加密密碼中的同一個。
      本實施例的系統(tǒng)結(jié)構(gòu)與圖2所示相同。其中,每個注冊的用戶在認證服務(wù)系統(tǒng)
      中都有用戶名和用戶密碼。
      本實施例具體包括以下步驟
      1) 認證服務(wù)系統(tǒng)為每個新注冊用戶生成多個密鑰A和一個或多個隨機字 符串(RAND),認證服務(wù)系統(tǒng)以每個密鑰A對由特征信息Y和RAND 組成的字符串進行加密,得到認證信息AY,最后,認證服務(wù)系統(tǒng)為每 個用戶生成了多組密鑰A、認證信息AY和RAND;
      2) 用戶通過終端系統(tǒng)向認證服務(wù)系統(tǒng)發(fā)來認證請求,其中包含用戶名;
      3) AS根據(jù)用戶名找到和與該用戶對應(yīng)的一組密鑰A、認證信息AY和 RAND;
      4) 認證服務(wù)系統(tǒng)向終端系統(tǒng)發(fā)送一組密鑰A和RAND;
      5) 終端系統(tǒng)以密鑰A對由特征信息X和RAND組成的字符串進行加密, 生成認證信息AX;
      6) 終端系統(tǒng)向認證服務(wù)系統(tǒng)發(fā)送認證信息AX和用戶名;
      7) 認證服務(wù)系統(tǒng)根據(jù)儲存的認證信息AY和收到的認證信息AX進行判 斷,如果認證信息AY與認證信息AX相同則確認認證信息是由該注冊 用戶發(fā)出的,認證可以通過。
      本實施例還包括步驟41):認證服務(wù)系統(tǒng)生成該用戶的一組新的認證信息A、認證信息AY和RAND。步驟41)的執(zhí)行時間由認證服務(wù)系統(tǒng)根據(jù)不同的具體情況 決定,可以是在步驟4)后即時執(zhí)行的、或是周期執(zhí)行的、或是延期執(zhí)行的等等。
      實施例3
      本實施例的具體步驟程序與圖5相同。本實施例中,特征信息X和特征信息Y 分別是密鑰X和密鑰Y,密鑰X和密鑰Y是同一對稱加密的密鑰,所述的認證信 息A是認證服務(wù)系統(tǒng)產(chǎn)生的隨機序列。其中,每個注冊的用戶在認證服務(wù)系統(tǒng)中有 用戶代碼,這個用戶代碼可以是用戶注冊時的用戶名或是系統(tǒng)指定生成的。
      本實施例具體包括以下步驟
      1) 認證服務(wù)系統(tǒng)為每個新注冊用戶生成多個認證信息A,并以該用戶對應(yīng) 的密鑰Y對每個認證信息A進行摘要加密,得到認證信息AY;
      2) 用戶通過終端系統(tǒng)向認證服務(wù)系統(tǒng)發(fā)來認證請求,其中包含用戶名;
      3) 認證服務(wù)系統(tǒng)根據(jù)用戶名找到用戶代碼和與該用戶對應(yīng)的一對認證信 息A和認證信息AY;
      4) 認證服務(wù)系統(tǒng)向終端系統(tǒng)發(fā)送找到的認證信息A;
      5) 終端系統(tǒng)以密鑰X和相同的散列算法對認證信息A進行摘要加密,生 成認證信息AX;
      6) 終端系統(tǒng)向認證服務(wù)系統(tǒng)發(fā)送認證信息AY和用戶名;
      7) 認證服務(wù)系統(tǒng)對比儲存的認證信息AY和收到的認證信息AX進行對 比,如果認證信息A與認證信息AYX相同則確認認證信息是由該注冊 用戶發(fā)出的,認證可以通過。
      本實施例還包括步驟41):認證服務(wù)系統(tǒng)生成該用戶的一組新的認證信息A、 和認證信息AY。步驟41)的執(zhí)行時間由認證服務(wù)系統(tǒng)根據(jù)不同的具體情況決定,可 以是在步驟4)后即時執(zhí)行的、或是周期執(zhí)行的、或是延期執(zhí)行的等等。
      實施例4
      圖6是本發(fā)明的實施例4的系統(tǒng)結(jié)構(gòu)示意圖。
      本實施例是本發(fā)明應(yīng)用于在網(wǎng)上提供第三方身份認證服務(wù)的例子。
      本實施例中 的系統(tǒng)包括終端系統(tǒng)、應(yīng)用服務(wù)系統(tǒng)和認證服務(wù)系統(tǒng)。
      其中,認證服務(wù)系統(tǒng)由2個服務(wù)器群組構(gòu)成, 一個專門用于加密和解密運算的加密服務(wù)器群組(CS),另一個用于接收用戶的認證請求和執(zhí)行認證判斷的認證功 能服務(wù)器群組(AS)。
      其中,終端系統(tǒng)包括計算機主機和通過主機USB接口相連接的密鑰U盤上, 其中用戶密鉬X儲存在密鑰U盤上。
      當然,本發(fā)明還可有其他多種實施例,在不背離本發(fā)明精神及其實質(zhì)的情況下, 本領(lǐng)域技術(shù)人員當可根據(jù)本發(fā)明作出各種相應(yīng)的改變和變形,但這些相應(yīng)的改變和 變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護范圍。
      權(quán)利要求
      1、一種采用預(yù)處理的身份認證系統(tǒng)和方法,該系統(tǒng)包括終端系統(tǒng)和認證服務(wù)系統(tǒng),兩者通過網(wǎng)絡(luò)相互連接,其特征在于,終端系統(tǒng)用戶具有特征信息X,認證服務(wù)系統(tǒng)儲存著對應(yīng)的特征信息Y,其中,認證服務(wù)系統(tǒng)可以驗證特征信息Y和特征信息X的對應(yīng)關(guān)系,該方法包括以下步驟1)認證服務(wù)系統(tǒng)進行至少包括特征信息Y和認證信息A的數(shù)學(xué)計算,得到認證信息AY;2)終端系統(tǒng)收到認證信息A或認證信息AY;3)終端系統(tǒng)進行至少包括特征信息X和認證信息A的數(shù)學(xué)計算或者進行至少包括特征信息X和認證信息AY的數(shù)學(xué)計算,得到認證信息AX或認證信息AYX;4)認證服務(wù)系統(tǒng)收到認證信息AX或認證信息AYX;5)認證服務(wù)系統(tǒng)根據(jù)儲存的認證信息AY和收到的認證信息AX進行對比,或者認證服務(wù)系統(tǒng)根據(jù)儲存的認證信息A和收到的認證信息AYX進行判斷,只有在認證信息AY與AX或者認證信息A與AYX符合對應(yīng)關(guān)系的條件下,認證才能通過。
      2、 根據(jù)權(quán)利要求1所述的采用預(yù)處理的身份認證系統(tǒng)和方法,其特征在于, 所述的特征信息X和特征信息Y是密鑰X和密鑰Y,密鑰X和密鑰Y是同一個對 稱加密的密鑰或一對非對稱加密的密鑰,所述的認證信息A是由任何符號組成的序 列。
      3、 根據(jù)權(quán)利要求2所述的采用預(yù)處理的身份認證系統(tǒng)和方法,其特征在于,所述方法的步驟具體為1) 認證服務(wù)系統(tǒng)以密鑰X對認證信息A或其摘要進行加密,得到認證信息AY;2) 終端系統(tǒng)收到認證信息A或認證信息AY;3) 終端系統(tǒng)以密鑰Y對認證信息A加密或者對認證信息AY解密,得到 認證信息AX或者認證信息AYX;4) 認證服務(wù)系統(tǒng)收到認證信息AX或認證信息AYX;5) 認證服務(wù)系統(tǒng)根據(jù)儲存的認證信息AY和收到的認證信息AX進行判 斷,或者認證服務(wù)系統(tǒng)根據(jù)儲存的認證信息A或其摘要和收到的認證信息AYX進行判斷,只有在認證信息A與認證信息AYX相符合或認 證信息A與認證信息AYX相符合的條件下,認證才能通過。
      4、 根據(jù)權(quán)利要求1所述的采用預(yù)處理的身份認證系統(tǒng)和方法,其特征在于, 所述的特征信息X和特征信息Y是由任何符號組成的序列,所述的認證信息A是 數(shù)學(xué)算法或算法因子A。
      5、 根據(jù)權(quán)利要求4所述的采用預(yù)處理的身份認證系統(tǒng)和方法,其特征在于, 所述方法的步驟具體為1) 認證服務(wù)系統(tǒng)以數(shù)學(xué)算法或算法因子A對特征信息Y進行計算,得到認證信息AY;2) 終端系統(tǒng)收到數(shù)學(xué)算法或算法因子A;3) 終端系統(tǒng)以數(shù)學(xué)算法或算法因子A對特征信息X進行計算,得到認證信息AX;4) 認證服務(wù)系統(tǒng)收到認證信息AX;5) 認證服務(wù)系統(tǒng)根據(jù)儲存的認證信息AY和收到的認證信息AX進行判 斷,只有在認證信息AY與認證信息AX相同的條件下,認證才能通過。
      6、 根據(jù)權(quán)利要求4所述的采用預(yù)處理的身份認證系統(tǒng)和方法,其特征在于, 所述的數(shù)學(xué)算法為單向函數(shù)、加密算法或以上兩者組合,所述的算法因子為單向函 數(shù)和加密算法在計算中有關(guān)的因子。
      7、 根據(jù)權(quán)利要求1所述的采用預(yù)處理的身份認證系統(tǒng)和方法,其特征在于, 所述的認證服務(wù)系統(tǒng)由多臺服務(wù)器組成,所述的步驟l)與步驟5)分別由不同的服務(wù) 器執(zhí)行。
      8、 根據(jù)權(quán)利要求1所述的采用預(yù)處理的身份認證系統(tǒng)和方法,其特征在于, 所述終端系統(tǒng)為具有計算機功能的系統(tǒng),包括主機和與之相連接的附件。
      9、 根據(jù)權(quán)利要求1所述的采用預(yù)處理的身份認證系統(tǒng)和方法,其特征在于, 所述終端系統(tǒng)的附件包括可移動IC,用戶密鑰X儲存在可移動IC上,可移動IC 可與不同的終端系統(tǒng)相互連接。
      10、 根據(jù)權(quán)利要求1所述的采用預(yù)處理的身份認證系統(tǒng)和方法,其特征在 于,所述網(wǎng)絡(luò)是指互聯(lián)網(wǎng)。
      全文摘要
      本發(fā)明是一種采用預(yù)處理的身份認證系統(tǒng)和方法。在本發(fā)明中,采用由認證服務(wù)系統(tǒng)向用戶終端發(fā)出的信息作為認證加密過程中的變量,使用戶每次登錄傳遞的認證信息都不同。而且,本發(fā)明中認證服務(wù)系統(tǒng)將需要進行的加解密計算預(yù)先執(zhí)行,在用戶終端返回認證信息后,認證服務(wù)系統(tǒng)不需再執(zhí)行加解密運算而只需直接進行比對就可得出認證結(jié)論,這樣就帶來了以下三個優(yōu)點1)服務(wù)器不同時間負荷的優(yōu)化;2)多服務(wù)器的分工的優(yōu)化配置;3)安全信息的訪問控制。
      文檔編號H04L9/28GK101202625SQ200710303959
      公開日2008年6月18日 申請日期2007年12月24日 優(yōu)先權(quán)日2007年12月24日
      發(fā)明者任少華 申請人:任少華
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1