CN103312672A - 身份认证方法及系统 - Google Patents
身份认证方法及系统 Download PDFInfo
- Publication number
- CN103312672A CN103312672A CN2012100636323A CN201210063632A CN103312672A CN 103312672 A CN103312672 A CN 103312672A CN 2012100636323 A CN2012100636323 A CN 2012100636323A CN 201210063632 A CN201210063632 A CN 201210063632A CN 103312672 A CN103312672 A CN 103312672A
- Authority
- CN
- China
- Prior art keywords
- authenticator
- identity authentication
- identity
- authentication
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000012795 verification Methods 0.000 claims description 52
- 230000003993 interaction Effects 0.000 claims description 12
- 238000005516 engineering process Methods 0.000 abstract description 13
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 230000002457 bidirectional effect Effects 0.000 description 4
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0421—Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/42—Anonymization, e.g. involving pseudonyms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供的身份认证方法及其系统,涉及身份认证领域,其解决了现有的身份认证技术无法保护个人隐私,且包含个人隐私的认证技术又必须提供可跟踪能力的问题。该身份认证方法,包括:1)第一认证者向第二认证者发送第一身份认证消息;2)第二认证者向第一认证者发送第二身份认证消息;3)第一认证者向认证服务器发送第三身份认证消息;4)认证服务器根据第三身份认证消息验证第二认证者所处安全域的合法性;5)认证服务器向第一认证者发送第四身份认证消息;6)第一认证者收到第四身份认证消息后进行验证。该身份认证系统主要包括:第一认证者、第二认证者、第二认证者所处的安全域、认证服务器。
Description
技术领域
本发明涉及身份认证领域,尤其是一种身份认证方法及系统。
背景技术
当今社会,人们越来越重视对自身隐私的保护,在很多要验证居民身份的场合,人们并不希望在自己身份合法性被验证的同时又将自己的身份信息公开给对方,从而充分保护自己的隐私。例如,在对一些敏感事件进行表决时,表决人既希望以合法的身份完成表决,又不希望暴露自己的身份;在一些消费场合,消费者在进行支付时并不希望商户知道自己的个人信息;网络用户在以可管控的身份登录网络后,在很多时候并不希望自己的身份信息暴露给公众。目前,这类隐私保护的需求越来越明显。
提供身份认证服务的技术有多种,目前通常采用的是基于公钥密码技术的身份认证方法,这种方法通过数字签名完成对被认证者身份合法性的验证,同时被认证者的身份信息也将公开给认证者,很明显这类技术在为上述应用场合提供认证服务时有明显的局限性,因为它无法保护用户的隐私。另一方面,提供隐私保护的身份认证技术,又必须提供可追踪能力,便于管理者在必要时的管控。
发明内容
本发明为解决背景技术中存在的目前的身份认证技术无法保护个人隐私,且包含个人隐私的认证技术又必须提供可跟踪能力的问题,提出一种身份认证方法及系统。
本发明的技术解决方案如下:
一种身份认证方法,包括以下步骤:
1)第一认证者向第二认证者发送第一身份认证消息,发起认证过程;
2)第二认证者向第一认证者发送第二身份认证消息,消息中包括第二认证者所处安全域的标识以及第二认证者的身份认证信息;
3)第一认证者向认证服务器发送第三身份认证消息,消息中包括第二认证者所处安全域的标识;
4)认证服务器收到第三身份认证消息后,根据第三身份认证消息验证第二认证者所处安全域的合法性;
5)认证服务器向第一认证者发送第四身份认证消息,消息中包括认证服务器对第二认证者所处安全域的验证结果以及认证服务器对包含第二认证者所处安全域的验证结果在内信息的身份认证信息;
6)第一认证者收到第四身份认证消息后验证第二认证者身份的合法性。
本发明还提供一种身份认证系统,其特殊之处在于,所述系统包括:第一认证者、第二认证者、第二认证者所处的安全域、认证服务器;在第一认证者与第二认证者之间的身份认证过程中,第二认证者仅与第一认证者进行信息交互,认证服务器仅与第一认证者进行信息交互;其中,
所述第二认证者与第一认证者进行的信息交互包括:第一认证者向第二认证者发送第一身份认证消息;第二认证者向第一认证者发送第二身份认证消息,消息中包括第二认证者所处安全域的标识以及第二认证者的身份认证信息;所述认证服务器与第一认证者进行的信息交互包括:第一认证者向认证服务器发送第三身份认证消息,第三身份认证消息中包括第二认证者所处安全域的标识;认证服务器向第一认证者发送第四身份认证消息,第四身份认证消息中包括认证服务器对第二认证者所处安全域的验证结果以及认证服务器对包含第二认证者所处安全域的验证结果在内信息的身份认证信息。
本发明的有益效果在于:
在认证过程中使得第二认证者在匿名的情况下完成认证活动,在第二认证者被认证的同时也保护了第二认证者的隐私。
附图说明
图1为本发明流程示意图。
具体实施方式
本发明的系统包括第一认证者、第二认证者、第二认证者所处的安全域、认证服务器。所述第一认证者和第二认证者可互为认证者与被认证者;所述第一认证者具有自己的公开认证信息和私有认证信息,私有认证信息用来产生供其他认证者认证第一认证者的身份认证信息,公开认证信息对外公开用于其他认证者验证第一认证者的身份认证信息,第一认证者具有标识,该标识可以是第一认证者的标识符,也可以是第一认证者的身份证明信息;所述安全域是一种带有边界性质且边界内实体共享某一公开认证信息的逻辑划分,安全域内的实体各自具有自己的私有认证信息,用来生成供其他认证者认证该实体的身份认证信息,安全域的公开认证信息对外公开便于其他认证者验证该实体的身份认证信息,安全域具有标识,该标识可以是安全域的标识符,也可以是安全域的身份证明信息;所述认证服务器用来为认证者提供来自可信第三方的认证服务,帮助认证者完成对被认证者的身份认证,认证服务器具有私有认证信息以及相应的公开认证信息,公开认证信息用于公开给其他实体,用于验证认证服务器利用私有认证信息产生的身份认证信息。在本发明系统实现第一认证者与第二认证者之间的身份认证过程中,第二认证者仅与第一认证者进行信息交互(信息交互具体内容参照本法明提供的身份认证方法),认证服务器仅与第一认证者交互信息(信息交互具体内容参照本法明提供的身份认证方法)。
本发明身份认证方法,包括以下步骤:
步骤一、第一认证者向第二认证者发送第一身份认证消息,发起认证过程;
步骤二、第二认证者向第一认证者发送第二身份认证消息,消息中包括第二认证者所处安全域的标识以及第二认证者的身份认证信息;
步骤三、第一认证者向认证服务器发送第三身份认证消息,消息中包括第二认证者所处安全域的标识;
步骤四、认证服务器收到第三身份认证消息后,根据第二身份认证消息验证第二认证者所处安全域的合法性;
步骤五、认证服务器向第一认证者返回第四身份认证消息,消息中包括第二认证者所处安全域的验证结果以及认证服务器对包括该验证结果在内信息的身份认证信息;
步骤六、第一认证者收到第四身份认证消息后,验证第二认证者身份的合法性。
在其他实施方式中,第一身份认证消息中可进一步包含第一时变参数(时变参数可以是时间标记、顺序号或随机数),由第一认证者产生;在第二身份认证消息中的第二认证者的身份认证信息中进一步包含第一时变参数及第一认证者的标识符;在第四身份认证消息的认证服务器的身份认证信息中进一步包含第三时变参数。
具体的,上述步骤六中,第一认证者收到第四身份认证消息后,验证第二认证者身份的合法性的具体实现方式可包括如下步骤:
1)第一认证者验证第四身份认证消息中的认证服务器的身份认证信息是否有效,并在认证服务器的身份认证信息中的第三时变参数的情况下验证第三身份认证消息中第一认证者产生的第三时变参数与包含在认证服务器的身份认证信息中的第三时变参数是否相符,若均为是,则执行步骤2);否则,第一认证者完成对第二认证者的身份认证;
2)第一认证者若根据认证服务器对第二认证者所处安全域的验证结果判断第二认证者所处安全域合法有效,则执行步骤3),否则,确定第二认证者非法,第一认证者完成对第二认证者的身份认证;
3)第一认证者从第四身份认证消息中获取第二认证者所处安全域的公开认证信息,根据该公开认证信息验证第二认证者的身份认证信息是否有效、并在第二认证者的身份认证信息中包含第一时变参数的情况下检查第一身份认证消息中第一认证者产生的第一时变参数与包含在第二认证者的身份认证信息中的第一时变参数是否一致,若全部为是,则确定第二认证者合法,否则,确定第二认证者非法。
在其他实施方式中,步骤一中第一身份认证消息中还进一步包括第一认证者的标识;步骤三中第三身份认证消息中还包括第一认证者的标识;步骤四中认证服务器还根据第三身份认证消息验证第二认证者所处安全域的合法性;对第四身份认证消息进行调整:在第四身份认证消息中增加认证服务器对第一认证者的验证结果以及认证服务器对包括第一认证者的验证结果在内的信息的身份认证信息,或者,在第四身份认证消息中增加认证服务器对第一认证者的验证结果且在第四身份认证消息中的认证服务器的身份认证信息中进一步包括认证服务器对第一认证者的验证结果。
进一步地,步骤二中,第二身份认证消息中还可包括第二认证者产生的第二时变参数,第二身份认证消息中第二认证者的身份认证信息中还可包括第二时变参数;步骤三中,第三身份认证消息中还可包括第二时变参数。
如此,在步骤六中第一认证者确定第二认证者身份合法之后,可增加步骤七、第一认证者可向第二认证者发送第五身份认证消息,消息中包括第一认证者的身份认证信息;以及可增加步骤八、第二认证者收到第五身份认证消息后,对第五身份认证消息进行验证并根据验证情况确定第一认证者身份的合法性。
上述第二认证者对第五身份认证消息进行验证并根据验证情况确定第一认证者的合法性,
包括如下步骤:
1)第二认证者验证认证服务器对包括第一认证者的验证结果在内的信息的身份认证信息是否有效,并在认证服务器对包含第一认证者的验证结果在内信息的身份认证信息中包含第二时变参数情况下检查第二身份认证消息中第二认证者产生的第二时变参数与包含在认证服务器对包含第一认证者的验证结果在内信息的身份认证信息中的第二时变参数是否相符,若相符则执行2),否则,确定第一认证者非法;
2)第二认证者若根据认证服务器对第一认证者的验证结果判断第一认证者合法有效,则执行3),否则,确定第一认证者非法;
3)第二认证者获取第一认证者的公开认证信息,根据该公开认证信息验证第一认证者是否有效、并检查第二认证者所处安全域的标识符与包含在第一认证者的身份认证信息中的第二认证者所处安全域的标识符是否一致、并在第二认证者的身份认证信息中包含第二时变参数情况下检查第二身份认证消息中第二认证者产生的第二时变参数与包含在第二认证者的身份认证信息中的第二时变参数是否一致,若均为是,则确定第一认证者合法,否则,确定第一认证者非法。
上述步骤四中,认证服务器根据第三身份认证消息验证第二认证者所处安全域的标识检查第二认证者所处安全域的合法性,可采用两种方式:
第一,若第三身份认证消息中的第二认证者所处安全域的标识为第二认证者所处安全域的标识符,则认证服务器查找第二认证者所处安全域的公开认证信息,若查找到,则确定第二认证者所处安全域合法,否则,确定第二认证者所处安全域非法;
第二,若第三身份认证消息中的第二认证者所处安全域的标识为第二认证者所处安全域的身份证明信息,则认证服务器检查其身份证明信息的有效性,若有效,则确定第二认证者所处安全域合法,否则,确定第二认证者所处安全域非法。
上述步骤四中,认证服务器还根据第三身份认证消息验证第一认证者的合法性,可采用两种方式:
第一,若第三身份认证消息中的第一认证者的标识为第一认证者的标识符,则认证服务器查找第一认证者的公开认证信息,若查找到,则确定第一认证者合法,否则,确定第一认证者非法;
第二,若第三身份认证消息中的第一认证者的标识为第一认证者的身份证明信息,则认证服务器检查其身份证明信息的有效性,若有效,则确定第一认证者合法,否则,确定第一认证者非法。
本发明中,第一身份认证消息、第二身份认证消息和第三身份认证消息还分别包括可选字段。
为便于理解本发明的身份认证方法,以下提供了两个较佳实施例。
第一较佳实施例
第一较佳实施例是实现第一认证者对第二认证者的身份认证过程的较佳实施例,包括如下步骤:
步骤1、第一认证者发送第一身份认证消息到第二认证者,第一身份认证消息包括第一认证者产生的第一时变参数及第一可选字段;
步骤2、第二认证者向第一认证者发送第二身份认证消息,第二身份认证消息包括第二认证者所处安全域的标识、第二可选字段以及第二认证者对包含第一认证者标识符、第一时变参数以及第三可选字段在内的信息的身份认证信息;
步骤3、第一认证者向认证服务器发送第三身份认证消息,消息中包括第二认证者所处安全域的标识、第一认证者产生的第三时变参数以及第四可选字段;
步骤4、认证服务器收到第三身份认证消息后,根据第二认证者所处安全域的标识验证第二认证者所处安全域的合法性;
认证服务器检查第二认证者所处安全域的合法性可采用如下方法:
在第二身份认证消息中,如果第二认证者所处安全域的标识为第二认证者所处安全域的标识符,则认证服务器查找第二认证者所处安全域的有效公开认证信息;如果第二认证者所处安全域的标识为第二认证者所处安全域的身份证明信息,则认证服务器检查第二认证者所处安全域的身份证明信息的有效性。
步骤5、认证服务器检查完第二认证者所处安全域的合法性后,向第一认证者返回第四身份认证信息,第四身份认证信息包括认证服务器对第二认证者所处安全域的验证结果、认证服务器对包括第二认证者所处安全域验证结果、第三时变参数以及第五可选字段在内的身份认证信息;
步骤6、第一认证者收到第四身份认证信息后,验证第二认证者身份的合法性,过程如下:
6.1)第一认证者根据认证服务器的公开认证信息,验证认证服务器对第二认证者所处安全域验证结果、第三时变参数以及第五可选字段在内的身份认证信息是否有效,并检查第三身份认证消息中第一认证者产生的第三时变参数与包含认证服务器对第二认证者所处安全域验证结果、第三时变参数以及第五可选字段在内的身份认证信息中的第三时变参数是否相符,若是则执行6.2);否则,确定第二认证者非法;
6.2)第一认证者得到认证服务器对第二认证者所处安全域的验证结果,若根据该验证结果判断第二认证者所处安全域合法有效,则执行6.3);否则,确定第二认证者非法;
6.3)第一认证者获取第二认证者所处安全域的公开认证信息,根据该公开认证信息验证第二认证者对包括第二认证者所处安全域的标识符、第一时变参数、第三可选字段在内的信息的身份认证信息是否有效,并检查第二认证者所处安全域的区分符与包含在第二认证者对包括第二认证者所处安全域的标识符、第一时变参数、第三可选字段在内的信息的身份认证信息中的第二认证者所处安全域的区分符是否一致,校验第一身份认证消息中第一认证者产生的第一时变参数与包含在第二认证者对包括第二认证者所处安全域的标识符、第一时变参数、第三可选字段的信息的身份认证信息中的第一时变参数是否一致,若是,则确定第二认证者合法,否则,确定第二认证者非法。第一认证者完成对第二认证者的认证。
通过上述的第一认证者对第二认证者的身份认证过程,可以实现第一认证者对第二认证者身份合法性的认证,并保护第二认证者的身份信息不被暴露。
第二较佳实施例
第一较佳实施例是实现第一认证者和第二认证者之间的双向身份认证过程的较佳实施例,包括如下步骤:
步骤1、第一认证者发送第一身份认证消息到第二认证者,第一身份认证消息包括第一认证者产生的第一时变参数、第一认证者的标识以及第一可选字段;
步骤2、第二认证者向第一认证者发送第二身份认证消息,第二身份认证消息包括第二认证者所处安全域的标识、第一时变参数、第二认证者产生的第二时变参数、第二可选字段以及第二认证者对包括第二认证者所处安全域的标识符、第一时变参数、第二认证者产生的第二时变参数、第一认证者的标识符以及第三可选字段在内的信息的身份认证信息;
步骤3、第一认证者向认证服务器发送第三身份认证消息,消息中包括第二认证者所处安全域的标识、第二时变参数、第一认证者产生的第三时变参数、第一认证者的标识以及第四可选字段;
步骤4、认证服务器收到第三身份认证消息后,认证服务器检查第二认证者所处安全域和第一认证者的合法性可采用如下方法:
在第三身份认证消息中,如果第二认证者所处安全域的标识为第二认证者所处安全域的标识符,则认证服务器查找第二认证者所处安全域的有效公开认证信息;如果第二认证者所处安全域的标识为第二认证者所处安全域的身份证明信息,则认证服务器检查第二认证者所处安全域的身份证明信息的有效性;如果第一认证者的标识为第一认证者的标识符,则认证服务器查找第一认证者的有效公开认证信息;如果第一认证者的标识为第一认证者的身份证明信息,则认证服务器检查第一认证者的身份证明信息的有效性。
步骤5、认证服务器检查完第二认证者所处安全域和第一认证者的合法性后,向第一认证者返回第四身份认证信息,
第四身份认证信息可以是包括认证服务器对第二认证者所处安全域的验证结果、认证服务器对第一认证者的验证结果、认证服务器对包括第二认证者所处安全域验证结果、第三时变参数以及第五可选字段在内的信息的身份认证信息以及认证服务器对包括第一认证者的验证结果、第二时变参数以及第六可选字段在内的信息的身份认证信息的消息;
第四身份认证消息还可以是包括认证服务器对第二认证者所处安全域的验证结果、认证服务器对第一认证者的验证结果、认证服务器对包括第二认证者所处安全域验证结果、第三时变参数、第一认证者的验证结果、第二时变参数以及第七可选字段在内的信息的身份认证信息的消息;
步骤6、第一认证者收到第四身份认证信息后,验证第二认证者身份的合法性,过程如下:
6.1)第一认证者根据认证服务器的公开认证信息,验证认证服务器对包括第二认证者所处安全域验证结果、第一时变参数以及第四可选字段在内的信息的身份认证信息或认证服务器对包括第二认证者所处安全域验证结果、第一时变参数、第一认证者的验证结果、第二认证者产生的第三时变参数以及第六可选字段在内的信息的身份认证信息是否有效,并检查第一身份认证消息中第一认证者产生的第一时变参数与包含在认证服务器对包括第二认证者所处安全域验证结果、第一时变参数以及第四可选字段在内的信息的身份认证信息或认证服务器对包括第二认证者所处安全域验证结果、第一时变参数、第一认证者的验证结果、第二认证者产生的第三时变参数以及第六可选字段在内的信息的身份认证信息中的第一时变参数是否相符,若是则执行6.2);否则,确定第二认证者非法,并结束认证过程或执行步骤7;
6.2)第一认证者得到认证服务器对第二认证者所处安全域的验证结果,若根据该结果判断第二认证者所处安全域合法有效,则执行6.3),否则,确定第二认证者非法,并结束认证过程或执行步骤7;
6.3)第一认证者获取第二认证者所处安全域的公开认证信息,根据该公开认证信息验证第二认证者对包括第二认证者所处安全域的标识符、第一时变参数、第二认证者产生的第二时变参数、第一认证者的标识符以及第三可选字段在内的信息的身份认证信息是否有效,并检查第二认证者所处安全域的区分符与包含在第二认证者对包括第二认证者所处安全域的标识符、第一时变参数、第二认证者产生的第二时变参数、第一认证者的标识符以及第三可选字段在内的信息的身份认证信息中的第二认证者所处安全域的区分符是否一致,校验第一身份认证消息中第一认证者产生的第一时变参数与包含在第二认证者对包括第二认证者所处安全域的标识符、第一时变参数、第二认证者产生的第二时变参数、第一认证者的标识符以及第三可选字段在内的信息的身份认证信息中的第一时变参数是否一致,若是,则确定第二认证者合法,否则,确定第二认证者非法。第一认证者完成对第二认证者的认证。
步骤7、第一认证者向第二认证者发送第五身份认证消息,该消息
可以是包括认证服务器对第一认证者的验证结果、第八可选字段、认证服务器对包括第一认证者的验证结果、第二时变参数以及第六可选字段在内的信息的身份认证信息以及第一认证者对包括第二认证者所处安全域的标识符、第一时变参数、第二认证者产生的第二时变参数、第一认证者的标识符以及第九可选字段在内的信息的身份认证信息的消息;
也可以是包括第一时变参数、第十可选字段、认证服务器对第二认证者所处安全域的验证结果、认证服务器对第一认证者的验证结果、认证服务器对包括第二认证者所处安全域验证结果、第三时变参数以及第五可选字段在内的信息的身份认证信息以及认证服务器对包括第一认证者的验证结果、第二时变参数以及第六可选字段在内的信息的身份认证信息以及第一认证者对包括第二认证者所处安全域的标识符、第一时变参数、第二认证者产生的第二时变参数、第一认证者的标识符以及第九可选字段在内的信息的身份认证信息的消息;
步骤8、第二认证者收到第五身份认证消息后,对该消息进行验证,过程可以为:
8.1)利用认证服务器的公开认证信息验证认证服务器对包含第一认证者的验证结果在内的信息的身份认证信息是否有效,并检查第二身份认证消息中第二认证者产生的第二时变参数与包含在认证服务器对包含第一认证者的验证结果在内的信息的身份认证信息中的第二时变参数是否相符,若均为是,则执行8.2);否则,确定第一认证者非法;
8.2)第二认证者得到认证服务器对第一认证者的验证结果,若根据该验证结果判断第一认证者合法有效,则执行8.3),否则,确定第一认证者非法;第二认证者完成对第一认证者的认证;
8.3)第二认证者获得第一认证者的公开认证信息,根据该公开认证信息验证第一认证者对包括第二认证者所处安全域的标识符、第一时变参数、第二认证者产生的第二时变参数、第一认证者的标识符以及第九可选字段在内的信息的身份认证信息是否有效,并检查第一认证者的标识符与包含在第一认证者对包括第二认证者所处安全域的标识符、第一时变参数、第二认证者产生的第二时变参数、第一认证者的标识符以及第九可选字段在内的信息的身份认证信息中的第一认证者的标识符是否一致,校验第二身份认证消息中第二认证者产生的第二时变参数与包含在第一认证者对包括第二认证者所处安全域的标识符、第一时变参数、第二认证者产生的第二时变参数、第一认证者的标识符以及第九可选字段在内的信息的身份认证信息中的第二时变参数是否一致,若是,则确定第一认证者合法,否则,确定第一认证者非法。第二认证者完成对第一认证者的认证。
通过上述的第二认证者和第一认证者之间的双向认证过程,可以实现两实体间的双向身份合法性认证,并保护第二认证者的身份信息不被暴露。
通过上述的第二认证者和第一认证者之间的双向认证过程,可以实现两实体间的双向身份合法性认证,并保护第二认证者的身份信息不被暴露。
前文中所出现的第一可选字段、第二可选字段、第三可选字段…的存在性和内容均是不确定的,其意义主要是考虑到实施者可以根据其具体需求自行定义可选文本内容以达到扩展的目的,因而,在其他实施例中,可选文本也可省去。
前文中提到的第一认证者的私有认证信息可以是信息安全领域公钥密码体制中的私钥等信息。
前文中提到的第二认证者的私有认证信息可以是信息安全领域公钥密码体制中的匿名签名密钥等信息。
前文提及第一认证者或认证服务器的身份认证信息可以是利用私有认证信息,并采用数字签名等信息安全技术,计算生成的信息。
前文提及第二认证者的身份认证信息可以是利用私有认证信息,并采用匿名数字签名等信息安全技术,计算生成的信息。
前文提及的第一时变参数和第三时变参数均为第一认证者产生的时变参数,二者可以相同,也可以不同。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种身份认证方法,其特征在于,所述方法包括以下步骤:
1)第一认证者向第二认证者发送第一身份认证消息,发起认证过程;
2)第二认证者向第一认证者发送第二身份认证消息,消息中包括第二认证者所处安全域的标识以及第二认证者的身份认证信息;
3)第一认证者向认证服务器发送第三身份认证消息,消息中包括第二认证者所处安全域的标识;
4)认证服务器收到第三身份认证消息后,根据第三身份认证消息验证第二认证者所处安全域的合法性;
5)认证服务器向第一认证者发送第四身份认证消息,消息中包括认证服务器对第二认证者所处安全域的验证结果以及认证服务器对包含第二认证者所处安全域的验证结果在内信息的身份认证信息;
6)第一认证者收到第四身份认证消息后验证第二认证者身份的合法性。
2.如权利要求1所述的身份认证方法,其特征在于:所述步骤4)中,认证服务器根据第三身份认证消息验证第二认证者所处安全域的合法性的具体步骤包括:
若第三身份认证消息中的第二认证者所处安全域的标识为第二认证者所处安全域的标识符,则认证服务器查找第二认证者所处安全域的公开认证信息,若查找到,则确定第二认证者所处安全域合法,否则,确定第二认证者所处安全域非法;或者
若第三身份认证消息中的第二认证者所处安全域的标识为第二认证者所处安全域的身份证明信息,则认证服务器检查其身份证明信息的有效性,若有效,则确定第二认证者所处安全域合法,否则,确定第二认证者所处安全域非法。
3.如权利要求1所述的身份认证方法,其特征在于:所述步骤6)中,第一认证者收到第四身份认证消息后,验证第二认证者身份的合法性的具体步骤包括:
6.1)第一认证者验证第四身份认证消息中的认证服务器的身份认证信息是否有效,若是,则执行步骤6.2),否则,第一认证者完成对第二认证者的身份认证;
6.2)第一认证者若根据认证服务器对第二认证者所处安全域的验证结果判断第二认证者所处安全域合法有效,则执行步骤6.3),否则,确定第二认证者非法,第一认证者完成对第二认证者的身份认证;
6.3)第一认证者从第四身份认证消息中获取第二认证者所处安全域的公开认证信息,根据该公开认证信息验证第二认证者的身份认证信息是否有效,若是,则确定第二认证者合法,否则,确定第二认证者非法。
4.如权利要求1所述的身份认证方法,其特征在于:
在其他实施方式中,第一身份认证消息中可进一步包含第一时变参数,第一时变参数由第一认证者产生;
在第二身份认证消息中的第二认证者的身份认证信息中进一步包含第一时变参数及第一认证者的标识符;
在第四身份认证消息的认证服务器的身份认证信息中进一步包含第三时变参数;
所述步骤6)中,第一认证者收到第四身份认证消息后,验证第二认证者身份的合法性的具体步骤包括:
6.1)第一认证者验证第四身份认证消息中的认证服务器的身份认证信息是否有效,并验证第三身份认证消息中第一认证者产生的第三时变参数与包含在认证服务器的身份认证信息中的第三时变参数是否相符,若均为是,则执行步骤6.2),否则,第一认证者完成对第二认证者的身份认证;
6.2)第一认证者若根据认证服务器对第二认证者所处安全域的验证结果判断第二认证者所处安全域合法有效,则执行步骤6.3),否则,确定第二认证者非法,第一认证者完成对第二认证者的身份认证;
6.3)第一认证者从第四身份认证消息中获取第二认证者所处安全域的公开认证信息,根据该公开认证信息验证第二认证者的身份认证信息是否有效并检查第一身份认证消息中第一认证者产生的第一时变参数与包含在第二认证者的身份认证信息中的第一时变参数是否一致,若均为是,则确定第二认证者合法,否则,确定第二认证者非法。
5.如权利要求1或2或3或4所述的身份认证方法,其特征在于:
所述步骤1)中,第一身份认证消息中还包括第一认证者的标识;
所述步骤3)中,第三身份认证消息中还包括第一认证者的标识;
所述步骤4)中,认证服务器还根据第三身份认证消息验证第二认证者所处安全域的合法性;
所述步骤4)中,在第四身份认证消息中增加认证服务器对第一认证者的验证结果以及认证服务器对包括第一认证者的验证结果在内的信息的身份认证信息;或者,在第四身份认证消息中增加认证服务器对第一认证者的验证结果且在第四身份认证消息中的认证服务器的身份认证信息中进一步包括认证服务器对第一认证者的验证结果;
所述身份认证方法还包括以下步骤:
7)第一认证者向第二认证者发送第五身份认证消息,第五身份认证消息中包括第一认证者的身份认证信息;
8)第二认证者收到第五身份认证消息后,对第五身份认证消息进行验证并根据验证情况确定第一认证者身份的合法性。
6.如权利要求5所述的身份认证方法,其特征在于:所述步骤4)中,认证服务器还根据第三身份认证消息验证第一认证者的合法性,具体步骤包括:
若第三身份认证消息中的第一认证者的标识为第一认证者的标识符,则认证服务器查找第一认证者的公开认证信息,若查找到,则确定第一认证者合法,否则,确定第一认证者非法;或者
若第三身份认证消息中的第一认证者的标识为第一认证者的身份证明信息,则认证服务器检查其身份证明信息的有效性,若有效,则确定第一认证者合法,否则,确定第一认证者非法。
7.如权利要求5所述的身份认证方法,其特征在于:所述步骤8)中,第二认证者对第五身份认证消息进行验证并根据验证情况确定第一认证者的合法性的具体步骤包括:
8.1)第二认证者验证认证服务器对包括第一认证者的验证结果在内的信息的身份认证信息是否有效,若是,则执行8.2),否则,确定第一认证者非法;
8.2)第二认证者若根据认证服务器对第一认证者的验证结果判断第一认证者合法有效,则执行8.3),否则,确定第一认证者非法;
8.3)第二认证者获取第一认证者的公开认证信息,根据该公开认证信息验证第一认证者是否有效、并检查第二认证者所处安全域的标识符与包含在第一认证者的身份认证信息中的第二认证者所处安全域的标识符是否一致,若均为是,则确定第一认证者合法,否则,确定第一认证者非法。
8.如权利要求5所述的身份认证方法,其特征在于:
所述步骤2)中,第二身份认证消息中还可包括第二认证者产生的第二时变参数,第二身份认证消息中第二认证者的身份认证信息中还可包括第二时变参数;
所述步骤3)中,第三身份认证消息中还可包括第二时变参数;
所述步骤8)中,第二认证者对第五身份认证消息进行验证并根据验证情况确定第一认证者的合法性的具体步骤包括:
8.1)第二认证者验证认证服务器对包括第一认证者的验证结果在内的信息的身份认证信息是否有效,并检查第二身份认证消息中第二认证者产生的第二时变参数与包含在认证服务器对包含第一认证者的验证结果在内信息的身份认证信息中的第二时变参数是否相符,若均为是,则执行8.2),否则,确定第一认证者非法;
8.2)第二认证者若根据认证服务器对第一认证者的验证结果判断第一认证者合法有效,则执行8.3),否则,确定第一认证者非法;
8.3)第二认证者获取第一认证者的公开认证信息,根据该公开认证信息验证第一认证者是否有效、并检查第二认证者所处安全域的标识符与包含在第一认证者的身份认证信息中的第二认证者所处安全域的标识符是否一致、并检查第二身份认证消息中第二认证者产生的第二时变参数与包含在第二认证者的身份认证信息中的第二时变参数是否一致,若均为是,则确定第一认证者合法,否则,确定第一认证者非法。
9.一种身份认证系统,其特征在于,所述系统包括:第一认证者、第二认证者、第二认证者所处的安全域、认证服务器;在第一认证者与第二认证者之间的身份认证过程中,第二认证者仅与第一认证者进行信息交互,认证服务器仅与第一认证者进行信息交互;其中,
所述第二认证者与第一认证者进行的信息交互包括:第一认证者向第二认证者发送第一身份认证消息;第二认证者向第一认证者发送第二身份认证消息,消息中包括第二认证者所处安全域的标识以及第二认证者的身份认证信息;
所述认证服务器与第一认证者进行的信息交互包括:第一认证者向认证服务器发送第三身份认证消息,第三身份认证消息中包括第二认证者所处安全域的标识;认证服务器向第一认证者发送第四身份认证消息,第四身份认证消息中包括认证服务器对第二认证者所处安全域的验证结果以及认证服务器对包含第二认证者所处安全域的验证结果在内信息的身份认证信息。
10.如权利要求9所述的认证系统,其特征在于:认证服务器收到第三身份认证消息后,根据第三身份认证消息验证第二认证者所处安全域的合法性;第一认证者收到第四身份认证消息后验证第二认证者身份的合法性。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012100636323A CN103312672A (zh) | 2012-03-12 | 2012-03-12 | 身份认证方法及系统 |
| EP13760861.8A EP2827528A4 (en) | 2012-03-12 | 2013-03-12 | METHOD, DEVICE AND SYSTEM FOR IDENTITY AUTHENTICATION |
| KR1020147028097A KR101679771B1 (ko) | 2012-03-12 | 2013-03-12 | 아이덴티티 인증을 위한 방법, 디바이스 및 시스템 |
| US14/384,425 US20150106898A1 (en) | 2012-03-12 | 2013-03-12 | Method, device, and system for identity authentication |
| PCT/CN2013/072494 WO2013135170A1 (zh) | 2012-03-12 | 2013-03-12 | 身份认证方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012100636323A CN103312672A (zh) | 2012-03-12 | 2012-03-12 | 身份认证方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103312672A true CN103312672A (zh) | 2013-09-18 |
Family
ID=49137458
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012100636323A Pending CN103312672A (zh) | 2012-03-12 | 2012-03-12 | 身份认证方法及系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20150106898A1 (zh) |
| EP (1) | EP2827528A4 (zh) |
| KR (1) | KR101679771B1 (zh) |
| CN (1) | CN103312672A (zh) |
| WO (1) | WO2013135170A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103532961A (zh) * | 2013-10-21 | 2014-01-22 | 国家电网公司 | 一种基于可信密码模块电网网站身份认证的方法及系统 |
| CN108347404A (zh) * | 2017-01-24 | 2018-07-31 | 中国移动通信有限公司研究院 | 一种身份认证方法及装置 |
| CN108574569A (zh) * | 2017-03-08 | 2018-09-25 | 中国移动通信有限公司研究院 | 一种基于量子密钥的认证方法及认证装置 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9722803B1 (en) | 2016-09-12 | 2017-08-01 | InfoSci, LLC | Systems and methods for device authentication |
| US10419226B2 (en) | 2016-09-12 | 2019-09-17 | InfoSci, LLC | Systems and methods for device authentication |
| US11463439B2 (en) | 2017-04-21 | 2022-10-04 | Qwerx Inc. | Systems and methods for device authentication and protection of communication on a system on chip |
| CN109714168B (zh) | 2017-10-25 | 2022-05-27 | 阿里巴巴集团控股有限公司 | 可信远程证明方法、装置和系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1805341A (zh) * | 2006-01-11 | 2006-07-19 | 西安电子科技大学 | 跨安全域的网络认证和密钥分配方法 |
| CN101453476A (zh) * | 2009-01-06 | 2009-06-10 | 中国人民解放军信息工程大学 | 一种跨域认证方法和系统 |
| CN101984577A (zh) * | 2010-11-12 | 2011-03-09 | 西安西电捷通无线网络通信股份有限公司 | 匿名实体鉴别方法及系统 |
| CN101997688A (zh) * | 2010-11-12 | 2011-03-30 | 西安西电捷通无线网络通信股份有限公司 | 一种匿名实体鉴别方法及系统 |
| US20110154045A1 (en) * | 2009-12-18 | 2011-06-23 | Electronics And Telecommunications Research Institute | Anonymous authentication service method for providing local linkability |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101366277B1 (ko) * | 2006-09-07 | 2014-02-20 | 엘지전자 주식회사 | 도메인에서 ro 이동을 위한 멤버쉽 확인 방법 및 장치 |
| CN101286844B (zh) * | 2008-05-29 | 2010-05-12 | 西安西电捷通无线网络通信有限公司 | 一种支持快速切换的实体双向鉴别方法 |
| US8413256B2 (en) * | 2008-08-26 | 2013-04-02 | Cox Communications, Inc. | Content protection and digital rights management (DRM) |
| CN101888297A (zh) * | 2010-07-16 | 2010-11-17 | 浙江省人大常委会办公厅信息中心 | 一种基于信任的跨域认证方法 |
-
2012
- 2012-03-12 CN CN2012100636323A patent/CN103312672A/zh active Pending
-
2013
- 2013-03-12 KR KR1020147028097A patent/KR101679771B1/ko active IP Right Grant
- 2013-03-12 US US14/384,425 patent/US20150106898A1/en not_active Abandoned
- 2013-03-12 EP EP13760861.8A patent/EP2827528A4/en not_active Withdrawn
- 2013-03-12 WO PCT/CN2013/072494 patent/WO2013135170A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1805341A (zh) * | 2006-01-11 | 2006-07-19 | 西安电子科技大学 | 跨安全域的网络认证和密钥分配方法 |
| CN101453476A (zh) * | 2009-01-06 | 2009-06-10 | 中国人民解放军信息工程大学 | 一种跨域认证方法和系统 |
| US20110154045A1 (en) * | 2009-12-18 | 2011-06-23 | Electronics And Telecommunications Research Institute | Anonymous authentication service method for providing local linkability |
| CN101984577A (zh) * | 2010-11-12 | 2011-03-09 | 西安西电捷通无线网络通信股份有限公司 | 匿名实体鉴别方法及系统 |
| CN101997688A (zh) * | 2010-11-12 | 2011-03-30 | 西安西电捷通无线网络通信股份有限公司 | 一种匿名实体鉴别方法及系统 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103532961A (zh) * | 2013-10-21 | 2014-01-22 | 国家电网公司 | 一种基于可信密码模块电网网站身份认证的方法及系统 |
| CN108347404A (zh) * | 2017-01-24 | 2018-07-31 | 中国移动通信有限公司研究院 | 一种身份认证方法及装置 |
| CN108347404B (zh) * | 2017-01-24 | 2021-10-26 | 中国移动通信有限公司研究院 | 一种身份认证方法及装置 |
| CN108574569A (zh) * | 2017-03-08 | 2018-09-25 | 中国移动通信有限公司研究院 | 一种基于量子密钥的认证方法及认证装置 |
| CN108574569B (zh) * | 2017-03-08 | 2021-11-19 | 中国移动通信有限公司研究院 | 一种基于量子密钥的认证方法及认证装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20140138260A (ko) | 2014-12-03 |
| EP2827528A4 (en) | 2015-10-07 |
| EP2827528A1 (en) | 2015-01-21 |
| US20150106898A1 (en) | 2015-04-16 |
| WO2013135170A1 (zh) | 2013-09-19 |
| KR101679771B1 (ko) | 2016-11-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102664885B (zh) | 一种基于生物特征加密和同态算法的身份认证方法 | |
| CN103440444B (zh) | 电子合同的签订方法 | |
| CN105141425B (zh) | 一种基于混沌映射的可保护身份的双向认证方法 | |
| CN109327313A (zh) | 一种具有隐私保护特性的双向身份认证方法、服务器 | |
| JP2006260538A5 (zh) | ||
| Yu et al. | Privacy-preserving power request in smart grid networks | |
| CN103312672A (zh) | 身份认证方法及系统 | |
| CN105553666B (zh) | 一种智能电力终端安全认证系统及方法 | |
| CN101483525A (zh) | 一种认证中心的实现方法 | |
| EP2827529B1 (en) | Method, device, and system for identity authentication | |
| CN105072110A (zh) | 一种基于智能卡的双因素远程身份认证方法 | |
| EP3360279A1 (en) | Public key infrastructure&method of distribution | |
| CN107493165A (zh) | 一种具有强匿名性的车联网认证及密钥协商方法 | |
| CN110945833B (zh) | 一种用于多模标识网络隐私保护与身份管理的方法及系统 | |
| KR101635598B1 (ko) | 인증을 위한 방법, 디바이스 및 시스템 | |
| CN109644137A (zh) | 具有签名消息的基于令牌的认证 | |
| Lee et al. | Comment on" A remote user authentication scheme using smart cards with forward secrecy | |
| CN102833239B (zh) | 基于网络身份标识实现客户端账户信息嵌套保护的方法 | |
| Frederiksen | A holistic approach to enhanced security and privacy in digital health passports | |
| EP3178073B1 (en) | Security management system for revoking a token from at least one service provider terminal of a service provider system | |
| CN102685126A (zh) | 一种网络平台身份认证系统和方法 | |
| Sherman et al. | Location authentication through power line communication: Design, protocol, and analysis of a new out-of-band strategy | |
| Kefallinos et al. | A public key infrastructure model for privacy‐enhancing general purpose eIDs | |
| Ferrer-Gomila | Anonymous and Transferable Electronic Ticketing Scheme | |
| Moon et al. | Main and Sub-Device Authentication Protocol in Ubiquitous Office Network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130918 |