[发明专利]基于相互验证机制进行访问控制的IDaaS系统

说明书

本申请公开基于相互验证机制进行访问控制的IDaaS系统，包括：服务请求设备、身份管理设备及服务提供设备；服务请求设备，将包括第一虚拟身份的预设注册信息发给身份管理设备，将包括由第一虚拟身份生成的第一签名结果的预设服务访问请求发给服务提供设备；服务提供设备根据接收的第二虚拟身份从身份管理设备获取第二公钥以对第一签名结果解密成功后，将包括第二公钥、第二虚拟身份及第三公钥的预设验证请求发给服务请求设备，使服务请求设备从接收的预设验证请求中确定出第一虚拟身份，将包括第三公钥、第一虚拟身份预设验证响应发给服务提供设备解密，以确定验证预设响应中虚拟身份是否为第二虚拟身份；综上，通过相互验证，可抵制身份伪造。

技术领域

本申请涉及信息安全技术领域，尤其涉及基于相互验证机制进行访问控制的IDaaS系统。

背景技术

在智慧校园的统一认证管理系统的建设探索中面临信息安全问题，如遭受身份伪造攻击、身份盗窃攻击等问题。

发明内容

基于以上存在的问题以及现有技术的缺陷，本申请提供基于相互验证机制进行访问控制的IDaaS系统，采用本申请，通过服务请求设备、身体管理设备以及服务提供设备之间相互验证虚拟身份的机制，以抵制身份伪造攻击、身份盗窃攻击等，提高IDaaS系统中信息的安全性。

第一方面，本申请提供了基于相互验证机制进行访问控制的IDaaS系统，该系统包括：

服务请求设备、身份管理设备以及服务提供设备；所述服务请求设备、身份管理设备以及服务提供设备之间通过网络进行连接；

所述服务请求设备，用于生成包括第一公钥和第一私钥的秘钥对，基于所述第一公钥生成第一虚拟身份，并将包括所述第一公钥和所述第一公钥关联的所述第一虚拟身份的预设注册信息发送给所述身份管理设备，以及通过所述第一私钥对所述第一虚拟身份进行签名，生成第一签名结果，将包括所述第一签名结果的预设服务访问请求发送给所述服务提供设备；

所述身份管理设备，用于对接收的注册信息进行数字签名，将获得的第二数字签名结果存储于所述身份管理设备的数据库中；所述注册信息包括：所述预设注册信息；

所述服务提供设备，用于：响应于接收到服务访问请求，根据所述服务访问请求中的第二虚拟身份访问所述身份管理设备，从所述数据库中获取所述第二虚拟身份关联的第二公钥，以对所述服务访问请求中所述第一签名结果进行解密，并生成包括第三公钥和第三私钥的密钥对；所述服务访问请求包括：所述预设服务访问请求；

所述服务提供设备，还用于：如果所述第一签名结果解密成功，通过所述第二公钥将所述第二虚拟身份与所述第三公钥进行加密，获得第一加密结果，并将包括所述第一加密结果的预设验证请求发送给所述服务请求设备；

所述服务请求设备，还用于：确定接收到的验证请求的加密结果中虚拟身份是否为所述第一虚拟身份，如果是，则通过所述第三公钥将所述第一虚拟身份加密，获得第二加密结果，并将包括所述第二加密结果的预设验证响应发送给所述服务提供设备；所述验证请求的加密结果中虚拟身份包括：所述预设验证请求的第二加密结果中第二虚拟身份；

所述服务提供设备，还用于：响应于接收到所述服务请求设备发送的验证响应，通过所述第三私钥对所述验证响应中的加密结果进行解密，确定所述验证响应中的虚拟身份是否为所述第二虚拟身份；所述验证响应中的虚拟身份包括：所述预设验证响应中的所述第一虚拟身份；

所述服务提供设备，还用于：如果确定出所述验证响应中的虚拟身份为所述第二虚拟身份，则发送确认指示给所述服务请求设备，所述确认指示用于指示出所述服务请求设备成功访问所述服务提供设备。

结合第一方面，在一些可选的实施例中，

所述身份管理设备，具体用于：