[发明专利]一种多源身份认证方法有效
| 申请号: | 201611207619.5 | 申请日: | 2016-12-23 |
| 公开(公告)号: | CN108243145B | 公开(公告)日: | 2019-04-26 |
| 发明(设计)人: | 黄玉甫;唐德可;熊兆 | 申请(专利权)人: | 中科星图股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;G06F21/31;H04L12/58 |
| 代理公司: | 北京安博达知识产权代理有限公司 11271 | 代理人: | 徐国文 |
| 地址: | 101399 北京市顺义区临空经济核*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明涉及一种多源身份认证方法,用于从多个身份认证点验证用户身份,其特征在于,该方法包括:用户客户端从每个正常进行身份认证的身份认证点获取认证信息;用户客户端基于存储的认证信息向新的身份认证点请求身份认证;所述新的身份认证点根据接收到的认证信息判断通过其累积的安全性是否达到了自身的要求;如果达到了,则直接通过该用户的身份认证,否则要求用户进行正常的身份认证。 | ||
| 搜索关键词: | 身份认证 用户客户端 认证信息 多源 认证信息判断 验证用户身份 存储 | ||
【主权项】:
1.一种多源身份认证方法,用于从多个身份认证点验证用户身份,所述方法应用的系统结构包括用户所使用的客户端,以及客户端通过互联网连接的各种类型的身份认证点,包括但不限于银行、电子邮箱、社交网络需要身份认证的网络站点,这些身份认证点都需要用户输入用户名、密码进行身份认证,才能允许客户端访问网站内部的内容;所述身份认证点的安全等级分为5级,安全性从1级到5级依次增高,安全高的银行设为5级,电子邮箱为4级,网络论坛根据网站架构和管理程度设为1‑3级;所述多源身份认证方法给每个身份认证点各颁发一个数字证书,数字证书将包括的身份认证点的标识符WebID和安全等级SLevel作为数字证书中的两个字段,基于所述数字证书,每个身份认证点也具有了其相应的公钥和私钥;用户在所有身份认证点使用同一个用户名以及不同的密码进行认证;所述多源身份认证方法将密码按照其复杂程度分为从1级到5级依次增高的五个级别;其特征在于,所述方法包括:步骤1 所述密码复杂度计算方式如下:步骤1.1 如果密码中的字符数量小于等于6,则所述密码的复杂度为1;否则按照下述方式计算复杂度;步骤1.2 如果密码中只有数字,或只有字母,则所述密码的复杂度为2;步骤1.3 如果密码中包括了数字和字母,但没有其他类型字符,并且字母都是小写或都是大写,则所述密码的复杂度为3;步骤1.4 如果密码中包括了数字和字母,但没有其他类型字符,并且既有大写字母,又有小写字母,则所述密码的复杂度为4;步骤1.5 如果密码中包括了数字、字母和其他类型字符,则所述密码的复杂度为5;步骤2 用户客户端从每个正常进行身份认证的身份认证点获取认证信息,客户端和各身份认证点之间的通信都是在通过https协议的安全信道中进行;在初始状态下,即用户还没有在任何身份认证点进行认证时,用户正常使用用户名、密码方式在任意一个身份认证点Web1进行认证,在身份认证成功后,所述身份认证点Web1为用户生成一个认证信息Login,所述认证信息由所述身份认证点发送到客户端,客户端保存所述认证信息;步骤3 用户客户端基于存储的认证信息向新的身份认证点请求身份认证;所述认证信息是以下五元组:Login={WebID,username,Time,PLevel,Sig}其中,WebID是所述身份认证点Web1的标识符,username是认证的用户名,Time是在Web1认证的时间,PLevel是在Web1认证所使用的密码的复杂度,Sig是身份认证点Web1使用其私钥对四元组{WebID,username,Time,PLevel}所做的数字签名;在首次身份认证之后,用户如果需要在另一个身份认证点W认证,客户端首先检查其拥有的所有认证信息,根据每个认证信息中的时间值,去除掉过期的认证信息;可以预先设置一个过期的时间阈值,计算当前时间和认证信息中的认证时间的时间差,如果所述时间差大于预先设定的时间阈值,就认为所述认证信息已过期;去除过期认证信息后剩余的n个有效认证信息记为L1,L2,……,Ln,Li={WebIDi,username,Timei,PLeveli,Sigi},其中,WebIDi是Li所属身份认证点的标识符,Timei是用户在Li所属身份认证点的认证时间,PLeveli是用户在Li所属身份认证点的认证密码的复杂度,Sigi是Li所属身份认证点对四元组{WebIDi,username,Timei,PLeveli}所做的数字签名;客户端将剩余的n个有效认证信息发送给需要认证的身份认证点W,所述身份认证点W首先对接收的有效认证信息再次做一遍检查,以确认其都没有过期,去除过期的认证信息;然后,所述身份认证点W根据各个有效认证信息里的身份认证点标识符WebIDi获取相应身份认证点的数字证书,使用这些数字证书对各个有效认证信息里的数字签名进行验证,去除签名验证不通过的认证信息;经过上述两个去除步骤后剩下的k个有效认证信息为L1,L2……Lk,所述身份认证点W从WebIDi所对应的数字证书中获取其相应的身份认证点安全等级SLeveli,1≤i≤k,则所述身份认证点W使用k个有效认证信息计算一个认证值P![]()
所述身份认证点W判断P≥PLevelmax×SLevelW是否成立,其中PLevelmax是密码复杂度的最大可能值,PLevelmax=5;SLevelW是所述身份认证点W自身的安全等级;如果上述不等式成立,则所述身份认证点W直接接受用户以用户名为username的身份认证的身份认证;如果上述不等式不成立,则所述身份认证点W要求用户通过输入用户名、密码进行正常的身份认证,并在正常认证后生成相应的认证信息发送给客户端;步骤4 所述身份认证点W根据接收到的认证信息判断通过其累积的安全性是否达到了自身的要求;如果达到了,则直接通过用户的身份认证,否则要求用户进行正常的身份认证。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中科星图股份有限公司,未经中科星图股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201611207619.5/,转载请声明来源钻瓜专利网。
- 上一篇:一种LTE系统中AS安全模式过程优化方法
- 下一篇:一种信息提交方法
