專利名稱：：基于信任協(xié)商的認(rèn)證系統(tǒng)及用戶登陸和協(xié)同的系統(tǒng)和方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及廣播通信領(lǐng)域，特別是一種基于信任協(xié)商的認(rèn)證系統(tǒng)，采用該認(rèn)證系統(tǒng)的用戶登陸的系統(tǒng)和方法以及采用該認(rèn)證系統(tǒng)的用戶協(xié)同的系統(tǒng)和方法。
背景技術(shù)：
：隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和社會信息化進(jìn)程的全面加快，網(wǎng)絡(luò)與信息系統(tǒng)的重要性日益增強(qiáng)，信息安全問題已經(jīng)成為事關(guān)經(jīng)濟(jì)發(fā)展、公眾利益、社會穩(wěn)定、國家安全的全局性問題。為了加強(qiáng)信息安全保障工作，需要采用多種方式普及信息安全知識，提高大眾的安全意識，并積極探索多種形式的信息安全人才培養(yǎng)途徑。其中，游戲作為一種行之有效的輔助方式，有助于人們獲取安全知識和提高安全意識，達(dá)到事半功倍的效果。國內(nèi)外比較有名的黑客游戲有uplink,HackTheGame,黑客精英系列，黑客基地系列，電腦報(bào)的黑客游戲等。這些游戲開發(fā)者的思路大同小異，注重對玩家的黑客知識的具體應(yīng)用能力的培養(yǎng)，但是形式單一，基本都是具體的應(yīng)用的各種密碼破解方法來破解得到通關(guān)所需要的密碼，對密碼學(xué)知識的要求很高，而對其他方面的黑客知識很少涉及而且沒有任何的劇情。同時(shí)這些游戲存在的一個(gè)共同的問題在于游戲玩家均各自為戰(zhàn)，互相之間沒有交流與溝通，這樣不但大大降低了游戲的趣味性，同時(shí)也不利于玩家之間的相互促進(jìn)學(xué)習(xí)，所以本發(fā)明在同類游戲的基礎(chǔ)上引入了網(wǎng)絡(luò)協(xié)同機(jī)制。另外，雖然目前在信息安全領(lǐng)域之外存在許多其它種類的網(wǎng)絡(luò)協(xié)同游戲，但在現(xiàn)有的網(wǎng)絡(luò)協(xié)同游戲中，由于缺乏相應(yīng)的安全防護(hù)措施，用戶敏感信息泄露、游戲裝備和道具被盜等不安全現(xiàn)象時(shí)有發(fā)生，嚴(yán)重影響了游戲用戶的積極性，甚至引起許多法律糾紛問題。因此現(xiàn)今安全問題已經(jīng)成為了制約網(wǎng)絡(luò)進(jìn)一步發(fā)展和應(yīng)用的關(guān)鍵因素。目前，在Internet上廣泛使用的是基于"用戶名/密碼"對的方案，這需要每個(gè)網(wǎng)站提供一套用戶管理系統(tǒng)，請求該網(wǎng)站服務(wù)或資源的用戶必須首先填寫一定的個(gè)人資料，申請一對用戶名和密碼，以后訪問該站點(diǎn)時(shí)采用已申請的用戶名和密碼登錄。這種方案的優(yōu)點(diǎn)是實(shí)現(xiàn)簡單、直接，因此應(yīng)用較為廣泛。但是，其缺點(diǎn)也是比較明顯首先，這種訪問控制粒度較粗，無法滿足進(jìn)一步劃分的需求；其次，用戶名和密碼的方式較為容易被竊取，一旦竊取了用戶名和密碼則用戶在系統(tǒng)存儲的信息都面臨著被竊取的風(fēng)險(xiǎn)，使系統(tǒng)安全性得不到保障?！┚W(wǎng)站采用了數(shù)字證書的方式來提高系統(tǒng)的安全性，進(jìn)一步確認(rèn)用戶身份和用戶所具有的能力。服務(wù)請求者向服務(wù)提供者提交所持有的數(shù)字證書來表明自身所具備的屬性；服務(wù)提供者的授權(quán)依據(jù)是請求者的屬性是否滿足其訪問請求所對應(yīng)的訪問控制策略。但是，數(shù)字證書中很可能包括一些敏感性的信息，如銀行賬號信息等。對于這類證書，服務(wù)請求者在確定服務(wù)提供者的真實(shí)身份之前應(yīng)該不愿盲目地提交。也就是說，含有敏感屬性信息的證書也需要受到保護(hù)。并且，服務(wù)的請求者和提供者應(yīng)該在完成雙向的驗(yàn)證后才能進(jìn)行交互。在這種情況信任協(xié)商應(yīng)運(yùn)而生，其含義是通過數(shù)字證書和訪問控制策略的交互披露，服務(wù)或資源的請求方和提供方自動(dòng)地建立信任關(guān)系。
發(fā)明內(nèi)容針對上述現(xiàn)有技術(shù)的缺陷，本發(fā)明的目的是提供一種增加網(wǎng)絡(luò)游戲安全性等網(wǎng)絡(luò)應(yīng)用系統(tǒng)的基于信任協(xié)商的認(rèn)證系統(tǒng)，采用該認(rèn)證系統(tǒng)的用戶登陸的系統(tǒng)和方法以及采用該認(rèn)證系統(tǒng)的用戶協(xié)同的系統(tǒng)和方法。為達(dá)到上述目的，本發(fā)明采用如下技術(shù)方案—種基于信任協(xié)商的認(rèn)證系統(tǒng)，包括策略解析模塊、策略處理模塊、證書處理模塊、策略庫模塊、證書庫模塊和一致性檢驗(yàn)?zāi)K；所述策略庫模塊用于存儲策略；所述證書庫模塊用于存儲證書；所述策略解析模塊用于對傳入的策略進(jìn)行解析，判斷策略中是否涉及敏感證書，涉及則交由策略處理模塊進(jìn)行處理，不涉及則交由證書處理模塊進(jìn)行處理；所述策略處理模塊用于從所述策略庫模塊中調(diào)出相應(yīng)的策略，返還給請求方，并將提供的策略存入一致性檢驗(yàn)?zāi)K中；或者根據(jù)策略解析模塊發(fā)來的涉及敏感證書的請求，從策略庫模塊中調(diào)出相應(yīng)的保護(hù)策略，返還給請求方，并將提供的保護(hù)策略存入一致性檢驗(yàn)?zāi)K中；所述證書處理模塊用于根據(jù)策略中所描述的序列，從所述證書庫模塊中調(diào)出證書向證書請求方提供證書鏈，并將收到的證書鏈依據(jù)順序存入到一致性檢驗(yàn)?zāi)K中；所述一致性檢驗(yàn)?zāi)K用于校驗(yàn)收到的證書鏈和策略的一致性，一致則告知請求方信任協(xié)商成功，并向請求方提供相應(yīng)的服務(wù)，否則告知請求方信任協(xié)商失敗，不向請求方提供服務(wù)。本發(fā)明的基于信任協(xié)商的認(rèn)證系統(tǒng)，其中所述一致性檢驗(yàn)?zāi)K中還包括序列集模塊，所述序列集模塊存儲證書鏈?！N采用上述基于信任協(xié)商的認(rèn)證系統(tǒng)的用戶登錄系統(tǒng)，包括用戶模塊、用戶管理模塊和服務(wù)器信任協(xié)商模塊；所述用戶模塊將自身的用戶信息發(fā)送到用戶登管理模塊中，并提出訪問請求；所述用戶管理模塊對用戶信息進(jìn)行校驗(yàn)，校驗(yàn)失敗則告知所述用戶模塊登錄失敗，校驗(yàn)成功則發(fā)送訪問請求到所述服務(wù)器信任協(xié)商模塊；所述服務(wù)器信任協(xié)商模塊接收所述用戶管理模塊發(fā)來的訪問請求，根據(jù)所述用戶管理模塊中的用戶等級等信息，調(diào)出相應(yīng)的策略，返還給所述用戶模塊，并將策略保存；所述用戶模塊接收所述服務(wù)器信任協(xié)商模塊返還的策略，依據(jù)策略要求查找相應(yīng)的證書，形成證書鏈，并將證書鏈發(fā)送給所述服務(wù)器信任協(xié)商模塊；所述服務(wù)器信任協(xié)商模塊將證書鏈依據(jù)順序保存，并對該證書鏈和保存的策略進(jìn)行校驗(yàn)，兩者一致，則告知所述用戶模塊協(xié)商成功，所述用戶模塊可以進(jìn)行相應(yīng)的訪問，否則告知所述用戶模塊登錄失敗。本發(fā)明的用戶登錄系統(tǒng)，其中所述用戶模塊包括用戶登錄模塊和用戶信任協(xié)商模塊，所述用戶信任協(xié)商模塊包括用戶策略解析模塊、用戶策略處理模塊、用戶證書處理模塊、用戶策略庫模塊、用戶證書庫模塊和用戶一致性檢驗(yàn)?zāi)K；所述用戶管理模塊包括用戶注冊管理模塊、用戶登錄管理模塊、用戶等級管理模塊和用戶信息存儲模塊；所述服務(wù)器信6任協(xié)商模塊包括服務(wù)器策略解析模塊、服務(wù)器策略處理模塊、服務(wù)器證書處理模塊、服務(wù)器策略庫模塊、服務(wù)器證書庫模塊和服務(wù)器一致性檢驗(yàn)?zāi)K；所述用戶登錄模塊將自身的用戶信息發(fā)送到所述用戶登錄管理模塊中，并發(fā)送訪問請求；所述用戶登錄管理模塊查詢所述用戶信息存儲模塊中的用戶信息，并對用戶信息進(jìn)行校驗(yàn)，校驗(yàn)失敗則告知所述用戶登錄模塊登錄失敗，校驗(yàn)成功則發(fā)送訪問請求到所述服務(wù)器策略處理模塊；所述服務(wù)器策略處理模塊根據(jù)用戶登錄管理模塊發(fā)來的關(guān)卡訪問請求，根據(jù)所述用戶等級管理模塊中的用戶等級等信息，從服務(wù)器策略庫模塊中調(diào)出相應(yīng)的策略，返還給用戶信任協(xié)商模塊，并將策略保存在服務(wù)器一致性檢驗(yàn)?zāi)K中；所述用戶信任協(xié)商模塊中的用戶策略解析模塊接收服務(wù)器策略處理模塊返還的策略，交給所述用戶證書處理模塊，所述用戶證書處理模塊依據(jù)策略要求從所述用戶證書庫模塊中查找相應(yīng)的證書，形成證書鏈，并將證書鏈發(fā)送給所述服務(wù)器證書處理模塊；所述服務(wù)器證書處理模塊將證書鏈依據(jù)順序存入到所述服務(wù)器一致性檢驗(yàn)?zāi)K中，所述服務(wù)器一致性檢驗(yàn)?zāi)K對該證書鏈和保存的策略進(jìn)行校驗(yàn)，兩者一致，則告知所述用戶登錄模塊協(xié)商成功，所述用戶登錄模塊可以進(jìn)行相應(yīng)的訪問，否則告知所述用戶登錄模塊登陸失敗。本發(fā)明的用戶登錄系統(tǒng)，其中所述服務(wù)器一致性檢驗(yàn)?zāi)K中還包括服務(wù)器序列集模塊，所述服務(wù)器序列集模塊存儲證書鏈?！N采用上述基于信任協(xié)商的認(rèn)證系統(tǒng)的用戶協(xié)同系統(tǒng)，包括至少兩個(gè)用戶模塊，每個(gè)用戶模塊包含有自己的用戶信任協(xié)商模塊，每個(gè)用戶模塊通過網(wǎng)絡(luò)互相連接；用戶甲和用戶乙建立連接，用戶乙返回用戶甲信息，用戶甲信任協(xié)商模塊中的用戶甲策略解析模塊判斷用戶乙返回的信息是策略還是證書；如果是策略則對其進(jìn)行解析，看是否涉及到用戶甲自身擁有的敏感證書，如果解析結(jié)果涉及用戶甲自身擁有的敏感證書，則用戶甲策略解析模塊通知用戶甲策略處理模塊進(jìn)行處理，用戶甲策略處理模塊調(diào)出用戶甲策略庫模塊中的關(guān)于敏感證書的保護(hù)策略，返還給用戶乙信任協(xié)商模塊關(guān)于敏感證書的保護(hù)策略，如果用戶甲策略解析模塊的解析結(jié)果不涉及敏感證書，則用戶甲策略解析模塊通知用戶甲證書處理模塊進(jìn)行處理，用戶甲證書處理模塊依據(jù)用戶乙發(fā)來的訪問控制策略，調(diào)出用戶甲證書庫模塊中的用戶乙發(fā)送來的策略涉及的證書，返還給用戶乙信任協(xié)商模塊；如果用戶甲策略解析模塊判斷用戶乙返回的信息是證書，則通知用戶甲證書處理模塊進(jìn)行處理，用戶甲證書處理模塊將用戶乙返回的證書保存到用戶甲一致性檢驗(yàn)?zāi)K，用戶甲一致性檢驗(yàn)?zāi)K校驗(yàn)該證書和用戶甲之前對用戶乙提出的策略的要求是否一致，若一致，則雙方建立信任關(guān)系，用戶乙可以同用戶甲進(jìn)行協(xié)同交流，了解各自擁有的敏感信息，否則告知用戶乙協(xié)商失敗，雙方不能建立協(xié)同連接?！N采用上述基于信任協(xié)商的認(rèn)證系統(tǒng)的用戶登錄系統(tǒng)的登錄方法，包括以下步驟用戶登錄模塊將用戶自身的用戶名和密碼等用戶信息發(fā)送到用戶登錄管理模塊中，并提出訪問請求；用戶登錄管理模塊查詢用戶信息存儲模塊中的用戶信息，對用戶信息進(jìn)行校驗(yàn)，校驗(yàn)失敗則告知用戶登錄模塊登錄失敗，校驗(yàn)成功則發(fā)送訪問請求到服務(wù)器策略處理模塊，服務(wù)器策略處理模塊根據(jù)用戶登錄管理模塊發(fā)來的訪問請求，根據(jù)用戶等級管理模塊中的用戶等級等信息，從服務(wù)器策略庫模塊中調(diào)出相應(yīng)的策略，返還給用戶信任協(xié)商模塊，并將策略保存在服務(wù)器一致性檢驗(yàn)?zāi)K中；用戶信任協(xié)商模塊中的用戶策略解析模塊接收服務(wù)器策略處理模塊返還的策略，交給用戶證書處理模塊，用戶證書處理模塊依據(jù)策略要求從用戶證書庫模塊中查找相應(yīng)的證書，形成證書鏈，并將證書鏈發(fā)送給服務(wù)器證書處理模塊，服務(wù)器證書處理模塊將證書鏈依據(jù)順序存入到服務(wù)器一致性檢驗(yàn)?zāi)K中的服務(wù)器序列集中；服務(wù)器一致性檢驗(yàn)?zāi)K對服務(wù)器證書處理模塊保存的證書鏈和服務(wù)器策略處理模塊保存的策略進(jìn)行校驗(yàn)，兩者一致，則告知用戶登錄模塊協(xié)商成功，用戶登錄模塊可以進(jìn)行相應(yīng)的訪問，否則告知用戶登陸失敗?！N采用上述基于信任協(xié)商的認(rèn)證系統(tǒng)的用戶協(xié)同系統(tǒng)的協(xié)同方法，包括以下步驟用戶甲信任協(xié)商模塊中的用戶甲策略解析模塊判斷用戶乙返回的信息是策略還是證書；如果是策略，用戶甲策略解析模塊對其進(jìn)行解析，看是否涉及到用戶甲自身擁有的敏感證書，如果解析結(jié)果涉及用戶甲自身擁有的敏感證書，則用戶甲策略解析模塊通知用戶甲策略處理模塊進(jìn)行處理，用戶甲策略處理模塊調(diào)出用戶甲策略庫模塊中的關(guān)于敏感證書的保護(hù)策略，返還給用戶乙信任協(xié)商模塊關(guān)于敏感證書的保護(hù)策略，如果解析結(jié)果不涉及用戶甲自身擁有的敏感證書，則用戶甲策略解析模塊通知用戶甲證書處理模塊進(jìn)行處理，用戶甲證書處理模塊依據(jù)用戶乙發(fā)來的訪問控制策略，調(diào)出用戶甲證書庫模塊中的用戶乙發(fā)送來的策略涉及的證書，返還給用戶乙信任協(xié)商模塊；如果是證書，用戶甲策略解析模塊通知用戶甲證書處理模塊進(jìn)行處理，用戶甲證書處理模塊將用戶乙返回的證書保存到用戶甲一致性檢驗(yàn)?zāi)K，用戶甲一致性檢驗(yàn)?zāi)K校驗(yàn)該證書和用戶甲之前對用戶乙提出的策略的要求是否一致，若一致，則雙方建立信任關(guān)系，用戶乙可以同用戶甲進(jìn)行協(xié)同交流，了解各自擁有的敏感信息，否則告知用戶乙協(xié)商失敗，雙方不能建立協(xié)同連接。信任協(xié)商通過證書交換能夠在處于不同安全域的陌生網(wǎng)絡(luò)實(shí)體之間自動(dòng)地、動(dòng)態(tài)地建立信任關(guān)系；協(xié)商者雙方都可以通過制定策略來保護(hù)自己的敏感性資源，對對方的請求進(jìn)行訪問控制；協(xié)商過程中，不需要可信第三方的參與。由于本發(fā)明采用了信任協(xié)商認(rèn)證的系統(tǒng)和方法，可以進(jìn)一步進(jìn)行認(rèn)證，保證了認(rèn)證的安全性，從而增加了網(wǎng)絡(luò)協(xié)同游戲系統(tǒng)的安全性。圖1是本發(fā)明一種基于信任協(xié)商的認(rèn)證系統(tǒng)的系統(tǒng)框圖；圖2是本發(fā)明一種基于信任協(xié)商的認(rèn)證系統(tǒng)的網(wǎng)絡(luò)攻防游戲系統(tǒng)的系統(tǒng)框圖；圖3是采用本發(fā)明基于信任協(xié)商的認(rèn)證系統(tǒng)的用戶協(xié)同系統(tǒng)框圖；圖4是采用本發(fā)明基于信任協(xié)商的認(rèn)證系統(tǒng)的用戶登錄系統(tǒng)的登錄方法的流程圖；圖5是采用本發(fā)明基于信任協(xié)商的認(rèn)證系統(tǒng)的用戶協(xié)同系統(tǒng)的協(xié)同方法的流程圖；圖6是本發(fā)明用戶登錄時(shí)用戶甲的協(xié)商過程示意圖；圖7是本發(fā)明用戶登錄時(shí)用戶乙的協(xié)商過程示意圖；圖8是本發(fā)明用戶協(xié)商時(shí)用戶甲和用戶乙的協(xié)商過程示意圖；圖9是本發(fā)明用戶協(xié)商時(shí)用戶甲和用戶乙與服務(wù)器的協(xié)商過程示意圖。具體實(shí)施例方式下面結(jié)合附圖對本發(fā)明基于信任協(xié)商的認(rèn)證系統(tǒng)及用戶登錄和協(xié)同的系統(tǒng)和方法的實(shí)施方式進(jìn)行詳細(xì)說明。參見圖l，一種信任協(xié)商的認(rèn)證系統(tǒng)，包括策略解析模塊1、策略處理模塊2、證書處理模塊3、策略庫模塊4、證書庫模塊5和一致性檢驗(yàn)?zāi)K6。策略解析模塊1用于對被請求方傳入的策略進(jìn)行解析，判斷策略中是否涉及敏感證書，涉及則交由策略處理模塊2進(jìn)行處理，不涉及則交由證書處理模塊3進(jìn)行處理；策略處理模塊2被請求則從策略庫模塊4中調(diào)出相應(yīng)的策略，返還給請求方，并將提供的策略存入一致性檢驗(yàn)?zāi)K6中；或者根據(jù)策略解析模塊1發(fā)來的涉及敏感證書的請求，從策略庫模塊4中調(diào)出相應(yīng)的保護(hù)策略，返還給請求方，并將提供的保護(hù)策略存入一致性檢驗(yàn)?zāi)K6中；證書處理模塊3用于根據(jù)策略中所描述的序列，從證書庫模塊5中調(diào)出證書向證書請求方提供證書鏈，并將收到的證書鏈依據(jù)順序存入到一致性檢驗(yàn)?zāi)K6中的序列集模塊7中；策略庫模塊4用于存儲相應(yīng)的策略，包括訪問控制策略以及協(xié)商策略，其中訪問控制策略是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，其任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問，本發(fā)明的訪問控制策略規(guī)定了訪問受保護(hù)資源所需提供的信任證集；協(xié)商策略參與信任協(xié)商的實(shí)體的證書披露規(guī)則，表達(dá)了實(shí)體在完成信任協(xié)商時(shí)所遵循的一種邏輯關(guān)系。比如說，實(shí)體間消息傳遞的順序以及實(shí)體間的各種約束等；證書庫模塊5用于存儲相應(yīng)的證書，證書是由權(quán)威機(jī)構(gòu)頒發(fā)的特權(quán)屬性數(shù)字證書，包括頒發(fā)機(jī)構(gòu)的簽名，信任證持有方的公鑰等，用于對主體進(jìn)行授權(quán)，在本發(fā)明中所使用到的證書大部分是由服務(wù)器為用戶頒發(fā)的；序列集模塊7按順序存儲證書鏈；—致性檢驗(yàn)?zāi)K6用于校驗(yàn)收到的證書鏈和策略的一致性，一致則告知請求方信任協(xié)商成功，并向請求方提供相應(yīng)的服務(wù)，否則告知請求方信任協(xié)商失敗，不向請求方提供服務(wù)。參見圖2，本發(fā)明采用網(wǎng)絡(luò)攻防游戲系統(tǒng)來說明采用本發(fā)明的認(rèn)證系統(tǒng)的用戶登陸系統(tǒng)和用戶協(xié)同系統(tǒng)?！N基于信任協(xié)商的認(rèn)證系統(tǒng)的網(wǎng)絡(luò)攻防游戲系統(tǒng)，包括若干個(gè)用戶模塊10、用戶管理模塊20、服務(wù)器信任協(xié)商模塊30、系統(tǒng)關(guān)卡模塊40、網(wǎng)絡(luò)協(xié)同模塊50和信任度評估模塊80，用戶模塊10包括用戶登錄模塊11和用戶信任協(xié)商模塊12;用戶管理模塊20包括用戶注冊管理模塊21、用戶登錄管理模塊22、用戶等級管理模塊23和用戶信息存儲模塊24;系統(tǒng)關(guān)卡模塊40包括知識問答模塊41、積分管理模塊42和具體關(guān)卡模塊43;網(wǎng)絡(luò)協(xié)同模塊50包括WEB聊天模塊51和在線用戶管理模塊52。本發(fā)明采用基于信任協(xié)商的認(rèn)證系統(tǒng)的用戶登陸系統(tǒng)，包括用戶模塊10、用戶管理模塊20和服務(wù)器信任協(xié)商模塊30，用戶模塊10包括用戶登錄模塊11和用戶信任協(xié)商模塊12;用戶管理模塊20包括用戶注冊管理模塊21、用戶登錄管理模塊22、用戶等級管理模塊23和用戶信息存儲模塊24。用戶登錄模塊11用于用戶進(jìn)行注冊和登錄。用戶注冊管理模塊21用于接收用戶登錄模塊11進(jìn)行的注冊和登錄，為第一次登錄的用戶提供相應(yīng)的用戶注冊界面，用戶注冊成功后將用戶信息存儲在用戶信息存儲模塊24中。用戶登錄管理模塊22，用于對用戶登錄模塊11在登錄過程中提供的用戶信息包括用戶名和密碼，通過查詢用戶信息存儲模塊14中的用戶信息進(jìn)行校驗(yàn)，校驗(yàn)成功后，將用戶信息提供給服務(wù)器信任協(xié)商模塊30以對用戶的身份和權(quán)限進(jìn)行進(jìn)一步驗(yàn)證。用戶等級管理模塊23，存儲用戶通關(guān)后的用戶等級。用戶信息存儲模塊24存儲用戶信息，包括用戶名和密碼等。用戶注冊后，在用戶登錄系統(tǒng)時(shí)，用戶登錄模塊ll將自身的用戶名和密碼等用戶信息發(fā)送到用戶登錄管理模塊22中，并請求訪問相應(yīng)的關(guān)卡，用戶登錄管理模塊22查詢用戶信息存儲模塊24中的用戶信息，并對用戶信息進(jìn)行校驗(yàn)，校驗(yàn)失敗則告知用戶登錄模塊11登錄失敗，校驗(yàn)成功則發(fā)送關(guān)卡訪問請求到服務(wù)器策略處理模塊302，服務(wù)器策略處理模塊302根據(jù)用戶登錄管理模塊22發(fā)來的關(guān)卡訪問請求，根據(jù)用戶等級管理模塊23中的用戶等級等信息，從服務(wù)器策略庫模塊304中調(diào)出相應(yīng)的策略，返還給用戶信任協(xié)商模塊12，并將策略保存在服務(wù)器一致性檢驗(yàn)?zāi)K306中，用戶信任協(xié)商模塊12中的用戶策略解析模塊121接收服務(wù)器策略處理模塊302返還的策略，交給用戶證書處理模塊123，用戶證書處理模塊123依據(jù)策略要求從用戶證書庫模塊125中查找相應(yīng)的證書，形成證書鏈，并將證書鏈發(fā)送給服務(wù)器證書處理模塊303，服務(wù)器證書處理模塊303將證書鏈依據(jù)順序存入到服務(wù)器一致性檢驗(yàn)?zāi)K306中的服務(wù)器序列集307中，同時(shí)服務(wù)器一致性檢驗(yàn)?zāi)K306對該證書鏈和保存的策略進(jìn)行校驗(yàn)，兩者一致，則告知用戶登錄模塊11協(xié)商成功，用戶登錄模塊11可以訪問相應(yīng)的關(guān)卡，否則告知用戶登錄模塊11協(xié)商失敗，用戶登錄模塊11不具有訪問相應(yīng)關(guān)卡的權(quán)限。當(dāng)服務(wù)器一致性檢驗(yàn)?zāi)K306告知用戶協(xié)商成功，用戶登錄模塊11進(jìn)入系統(tǒng)關(guān)卡模塊40進(jìn)行游戲，系統(tǒng)關(guān)卡模塊40包括知識問答模塊41、積分管理模塊42和具體關(guān)卡模塊43，知識問答模塊41以選擇題的方式呈現(xiàn)，涉及本關(guān)卡所要用到的相應(yīng)的信息安全技術(shù)；積分管理模塊42針對知識問答模塊41中的用戶的一共答題數(shù)和答對的題目數(shù)進(jìn)行統(tǒng)計(jì)，每答對一題得一分，并將統(tǒng)計(jì)結(jié)果發(fā)送到具體關(guān)卡模塊43中；具體關(guān)卡模塊43是游戲的主體，采用WEB界面的形式，關(guān)卡中涉及各個(gè)方面的信息安全知識，如加密解密、信息隱藏技術(shù)、拒絕服務(wù)器攻擊和木馬原理等。當(dāng)用戶通過具體關(guān)卡模塊43后，具體關(guān)卡模塊將用戶通關(guān)后的用戶積分和等級等信息發(fā)送到用戶等級管理模塊23中。在用戶進(jìn)行游戲的過程中，可以采取網(wǎng)絡(luò)協(xié)同模塊50進(jìn)行協(xié)同游戲，網(wǎng)絡(luò)系統(tǒng)模塊50包括WEB聊天模塊51和在線用戶管理模塊52，WEB聊天模塊51是用戶溝通的主要界面，它嵌入到游戲系統(tǒng)的WEB界面中，可以為用戶提供私聊和在群里喊話等功能。同時(shí)用戶還可根據(jù)自身需要選擇字體和表情圖案。用戶從在線用戶列表中選擇相應(yīng)的用戶進(jìn)而觸發(fā)各自的信任協(xié)商模塊，通過各自的信任協(xié)商模塊進(jìn)行協(xié)商雙方建立基本的信任關(guān)系，溝通交流，探討攻關(guān)方式以及協(xié)同攻關(guān)。在線用戶管理模塊52對于在線用戶進(jìn)行統(tǒng)計(jì)，并根據(jù)他們的等級高低進(jìn)行排列，方便用戶查找并選擇適當(dāng)?shù)挠脩臬@得幫助或協(xié)同攻關(guān)。信任度評估模塊80根據(jù)具體關(guān)卡模塊43中的用戶的積分記錄，利用公式準(zhǔn)確率=(用戶實(shí)得積分?jǐn)?shù)/用戶應(yīng)得積分?jǐn)?shù))*100%。計(jì)算出用戶的準(zhǔn)確率，并根據(jù)準(zhǔn)確率所在范圍得出用戶的相應(yīng)的信用度，發(fā)送到用戶等級管理模塊23中，方便服務(wù)器信任協(xié)商模塊30中的服務(wù)器策略處理模塊302可以根據(jù)相應(yīng)的信用度為用戶提供不同的策略。采用本發(fā)明的基于信任協(xié)商的認(rèn)證系統(tǒng)的用戶協(xié)同系統(tǒng)，包括至少兩個(gè)個(gè)用戶模塊，每個(gè)用戶模塊含有自己的信任協(xié)商模塊，每個(gè)用戶模塊均通過網(wǎng)絡(luò)互相連接。結(jié)合圖3，以用戶甲信任協(xié)商模塊60和用戶乙信任協(xié)商模塊70為例，具體描述。在用戶甲和用戶乙登錄后，用戶甲和用戶乙分別進(jìn)入系統(tǒng)關(guān)卡模塊40和網(wǎng)絡(luò)協(xié)同模塊50中，當(dāng)用戶甲從在線用戶列表中選擇用戶乙進(jìn)而觸發(fā)各自的信任協(xié)商模塊。此時(shí)，用戶甲對用戶乙的請求建立連接后，或用戶乙對用戶甲的請求建立連接后，用戶甲信任協(xié)商模塊60或用戶乙信任協(xié)商模塊70為對方信任協(xié)商模塊提供一條用戶返回信息。如果用戶甲對用戶乙進(jìn)行請求，則用戶乙返還給用戶甲一條訪問控制策略，如果用戶乙對用戶甲進(jìn)行請求，則用戶甲返還給用戶乙一條訪問控制策略，以用戶甲的工作過程舉例說明用戶甲信任協(xié)商模塊60中的用戶甲策略解析模塊601判斷用戶乙返回的信息是策略還是證書，如果是策略則說明用戶甲向用戶乙請求協(xié)同連接，用戶甲策略解析模塊601對用戶乙信任協(xié)商模塊70返還的策略進(jìn)行解析，看是否涉及到用戶甲自身擁有的敏感證書，如果解析結(jié)果涉及用戶甲自身擁有的敏感證書，則用戶甲策略解析模塊601通知用戶甲策略處理模塊602進(jìn)行處理，用戶甲策略處理模塊602調(diào)出用戶甲策略庫模塊604中的關(guān)于敏感證書的保護(hù)策略，返還給用戶乙信任協(xié)商模塊70關(guān)于敏感證書的保護(hù)策略，如果用戶甲策略解析模塊601的解析結(jié)果不涉及敏感證書，則用戶甲策略解析模塊601通知用戶甲證書處理模塊603進(jìn)行處理，用戶甲證書處理模塊603依據(jù)用戶乙發(fā)來的訪問控制策略，調(diào)出用戶甲證書庫模塊605中的用戶乙發(fā)送來的策略涉及的證書，返還給用戶乙信任協(xié)商模塊70，如果用戶甲策略解析模塊601判斷用戶乙返回的信息是證書，則說明用戶乙向用戶甲請求連接，用戶甲信任協(xié)商模塊60之前返還給用戶乙信任協(xié)商模塊70—條訪問控制策略，用戶乙信任協(xié)商模塊70完成上述用戶甲信任協(xié)商模塊60完成的動(dòng)作，返回給用戶甲信任協(xié)商模塊60證書，則用戶甲策略解析模塊601通知用戶甲證書處理模塊603進(jìn)行處理，用戶甲證書處理模塊603將用戶乙返回的證書保存到用戶甲一致性檢驗(yàn)?zāi)K606，用戶甲一致性檢驗(yàn)?zāi)K606校驗(yàn)該證書和用戶甲之前對用戶乙提出的策略的要求是否一致，若一致，則雙方建立信任關(guān)系，用戶乙可以同用戶甲進(jìn)行協(xié)同交流，了解各自擁有的敏感信息，否則告知用戶乙協(xié)商失敗，雙方不能建立協(xié)同連接。通過用戶信任協(xié)商模塊12與服務(wù)器信任協(xié)商模塊30的交換信任憑證，使服務(wù)器11信任協(xié)商模塊30對用戶的身份的真實(shí)性有了進(jìn)一步確認(rèn)，并根據(jù)用戶提交的信用憑證賦予用戶相應(yīng)的訪問權(quán)限，并通過每個(gè)用戶信任協(xié)商模塊之間交換信任憑證，使得用戶之間可以進(jìn)行協(xié)同交流，共同攻關(guān)。參見圖4，一種采用本發(fā)明的基于信任協(xié)商的認(rèn)證系統(tǒng)的用戶登錄系統(tǒng)的登錄方法，包括以下步驟步驟401，用戶登錄模塊將用戶自身的用戶名和密碼等用戶信息發(fā)送到用戶登錄管理模塊中，并請求訪問相應(yīng)的關(guān)卡。步驟402，用戶登錄管理模塊查詢用戶信息存儲模塊中的用戶信息，對用戶信息進(jìn)行校驗(yàn)，校驗(yàn)失敗則告知用戶登錄模塊登錄失敗，校驗(yàn)成功則發(fā)送關(guān)卡訪問請求到服務(wù)器策略處理模塊。步驟403，服務(wù)器策略處理模塊根據(jù)用戶登錄管理模塊發(fā)來的關(guān)卡訪問請求，根據(jù)用戶等級管理模塊中的用戶等級等信息，從服務(wù)器策略庫模塊中調(diào)出相應(yīng)的策略，返還給用戶信任協(xié)商模塊，并將策略保存在服務(wù)器一致性檢驗(yàn)?zāi)K中。步驟404，用戶信任協(xié)商模塊中的用戶策略解析模塊接收服務(wù)器策略處理模塊返還的策略，交給用戶證書處理模塊。步驟405，用戶證書處理模塊依據(jù)策略要求從用戶證書庫模塊中查找相應(yīng)的證書，形成證書鏈，并將證書鏈發(fā)送給服務(wù)器證書處理模塊。步驟406，服務(wù)器證書處理模塊將證書鏈依據(jù)順序存入到服務(wù)器一致性檢驗(yàn)?zāi)K中的服務(wù)器序列集中。步驟407，服務(wù)器一致性檢驗(yàn)?zāi)K對服務(wù)器證書處理模塊保存的證書鏈和服務(wù)器策略處理模塊保存的策略進(jìn)行校驗(yàn)，兩者一致，則告知用戶登錄模塊協(xié)商成功，用戶登錄模塊可以訪問相應(yīng)的關(guān)卡，否則告知用戶協(xié)商失敗，用戶不具有方位相應(yīng)關(guān)卡的權(quán)限。服務(wù)器信任協(xié)商模塊通過對用戶管理模塊提交的信用憑證的屬性進(jìn)行驗(yàn)證的方式，進(jìn)一步確認(rèn)用戶身份以及用戶所具有的相關(guān)權(quán)限，提高了系統(tǒng)安全性。參見圖5，一種采用本發(fā)明的基于信任協(xié)商的認(rèn)證系統(tǒng)的用戶協(xié)同系統(tǒng)的協(xié)同方法，包括以下步驟步驟501，用戶甲信任協(xié)商模塊中的用戶甲策略解析模塊判斷用戶乙返回的信息是策略還是證書，如果是策略則執(zhí)行步驟502，否則執(zhí)行步驟505。步驟502，用戶甲策略解析模塊對用戶乙返回的信息進(jìn)行解析，看是否涉及到用戶甲自身擁有的敏感證書，如果解析結(jié)果涉及用戶甲自身擁有的敏感證書，則執(zhí)行步驟503，否則執(zhí)行步驟504。步驟503，用戶甲策略解析模塊通知用戶甲策略處理模塊進(jìn)行處理，用戶甲策略處理模塊調(diào)出用戶甲策略庫模塊中的關(guān)于敏感證書的保護(hù)策略，返還給用戶乙信任協(xié)商模塊關(guān)于敏感證書的保護(hù)策略。步驟504，用戶甲策略解析模塊通知用戶甲證書處理模塊進(jìn)行處理，用戶甲證書處理模塊依據(jù)用戶乙發(fā)來的訪問控制策略，調(diào)出用戶甲證書庫模塊中的用戶乙發(fā)送來的策略涉及的證書，返還給用戶乙信任協(xié)商模塊。步驟505，用戶甲策略解析模塊通知用戶甲證書處理模塊進(jìn)行處理，用戶甲證書處理模塊將用戶乙返回的證書保存到用戶甲一致性檢驗(yàn)?zāi)K，用戶甲一致性檢驗(yàn)?zāi)K校驗(yàn)該證書和用戶甲之前對用戶乙提出的策略的要求是否一致，若一致，則執(zhí)行步驟506，否則執(zhí)行步驟507。步驟506，雙方建立信任關(guān)系，用戶乙可以同用戶甲進(jìn)行協(xié)同交流，了解各自擁有的敏感信息。步驟507，告知用戶乙協(xié)商失敗，雙方不能建立協(xié)同連接。下面對本發(fā)明中的一些概念進(jìn)行說明數(shù)字證書(digitalcredential)是用來攜帶用戶身份/屬性等相關(guān)特征的數(shù)字化工具。由于證書代表著用戶的身份，因此，證書必須具有可證實(shí)性和不可偽造性。按照在不同系統(tǒng)中的用途，證書可分為身份證書和屬性證書。認(rèn)證(authentication)用來確認(rèn)參與方身份的真實(shí)性，通過對用戶身份進(jìn)行一致性檢查，防止冒名頂替現(xiàn)象的發(fā)生。在信任協(xié)商開始前，確定通信雙方的身份是否合法，是系統(tǒng)安全得以維持的保障，也是檢查用戶授權(quán)、證書交換以及系統(tǒng)審計(jì)的前提。認(rèn)證的方法主要是檢查用戶所提交的"用戶名-密碼"是否屬實(shí)。對于安全級別高的系統(tǒng)，則還需從用戶提交的證書中提取身份信息來驗(yàn)證用戶身份和用戶所具有的能力。授權(quán)(authorization)是指分析用戶提交的證書，根據(jù)證書上的屬性值，為用戶分配訪問資源的權(quán)限。用戶對資源具有什么樣的操作權(quán)限，或者能夠享受到什么樣的服務(wù)，都體現(xiàn)在系統(tǒng)對用戶的授權(quán)上。在基于身份認(rèn)證的信任管理系統(tǒng)中，對用戶的授權(quán)主要是激活用戶對資源的相應(yīng)控制操作。策略(policy)是用來保護(hù)資源不被合法用戶非授權(quán)訪問，從而規(guī)范合法用戶對資源的操作。訪問控制策略決定了在自動(dòng)信任協(xié)商中暴露哪些證書以及這些證書暴露的先后順序。信任協(xié)商根據(jù)策略保護(hù)的內(nèi)容不同可分為服務(wù)或資源保護(hù)策略和敏感證書保護(hù)策略。根據(jù)描述的復(fù)雜程度，訪問控制策略可分為元策略與復(fù)合策略。元策略是組成復(fù)合策略的基本元素，它們的關(guān)系類似于元數(shù)據(jù)與數(shù)據(jù)的關(guān)系。一般地，系統(tǒng)中提供一些操作，如"A/V/!"來實(shí)現(xiàn)復(fù)合策略的組成與分解。—條元策略中包括<table>tableseeoriginaldocumentpage13</column></row><table>下面對信任協(xié)商的原理進(jìn)行說明信任協(xié)商是根據(jù)我們?nèi)粘Ｉ钪薪⑿湃侮P(guān)系的原理設(shè)計(jì)的。日常生活中我們常常遇到與陌生人建立信任關(guān)系的過程。例如我們在行車過程中遇到交警臨檢，交警需要我們出示駕駛執(zhí)照，而我們?yōu)榱舜_認(rèn)交警的真實(shí)身份，往往需要交警出示其警察證，待交警出示其警察證后我們才出示自身的駕照，這就是一個(gè)簡單的確立信任關(guān)系的過程。在計(jì)算機(jī)網(wǎng)絡(luò)中，通過數(shù)字證書和訪問控制策略的交互披露，服務(wù)或資源的請求方和提供方自動(dòng)地建立信任關(guān)系。這就是信任協(xié)商。舉例說明信任協(xié)商過程信任協(xié)商過程中的雙方需要互相傳遞相關(guān)證書，當(dāng)證書得到驗(yàn)證后，才可以訪問相關(guān)資源，對于訪問策略的描述方式有如下定義定義1:P^為相關(guān)資源的訪問策略，Pc為敏感證書的訪問策略。FK(C1……Ck)為訪問資源的證書鏈，F(xiàn)C(C1……Ck)為訪問敏感證書的證書鏈。當(dāng)F^和Fc所代表的證書鏈為True時(shí)才能公開相應(yīng)的資源和敏感證書。表示形式為PK—FK(C1，C2，…，Ck)，Pc—FC(C1，C2，…，Ck)。為false時(shí)，則不公開相應(yīng)的資源和敏感證書。定義2:C1、C2……Ck分別代表了不同的信任證，它們之間通過邏輯符號A(并)和V(或)相連接組成證書鏈。當(dāng)連接后的證書鏈得到一致性檢驗(yàn)后，對于滿足要求的，則返還證書鏈FK或Fc的值為true,否則為false。例如FK(C1AC2AC3)為針對資源提供的證書鏈，只有當(dāng)Cl，C2，C3均滿足時(shí)，F(xiàn)K的值為true，有PK—FK(C1，C2，C3)。又如FC(C1VC2VC3)為一個(gè)針對敏感證書提供的證書鏈，當(dāng)Cl，C2，C3三個(gè)證書中有一個(gè)符合條件，則Fc的值為true，有Pc—FC(C1，C2，C3)?！獋€(gè)用戶的積分情況是用戶了解信息安全知識多少的一個(gè)反應(yīng)，同時(shí)也從側(cè)面放映了一個(gè)用戶通關(guān)能力的大小。積分高的用戶其通過某一關(guān)卡的真實(shí)性較為可信，而對積分相對較低的用戶通過某一關(guān)卡的真實(shí)性有待更多的檢測。通過公式準(zhǔn)確率=(用戶實(shí)得積分?jǐn)?shù)/用戶應(yīng)得積分?jǐn)?shù))*100%得到用戶準(zhǔn)確率，根據(jù)用戶準(zhǔn)確率的范圍得到如下信用度準(zhǔn)確率0%-10%10%-35%35%-65%65%-90%90%-100%信用度01234在協(xié)商的過程中，以信用度作為參考指標(biāo)，針對不同信用度的用戶提供不同的策略的方式也就是自適應(yīng)策略模式。信用度越高，則協(xié)商過程中的策略越簡單，信用度越低，協(xié)商策略越復(fù)雜。實(shí)例1:現(xiàn)有兩個(gè)用戶都具有可以直接進(jìn)入第三關(guān)關(guān)卡的權(quán)限，但甲乙用戶的積分有所不同，用戶甲完全答對了所有知識問答的題，而乙則答錯(cuò)了所有問題。在登錄時(shí)，甲乙用戶協(xié)商過程如下參見圖6，用戶甲的協(xié)商過程用戶甲提交用戶名和密碼，申請獲得第三關(guān)的權(quán)限；服務(wù)器驗(yàn)證用戶名和密碼，并查詢用戶積分，根據(jù)積分給出甲可以訪問第三關(guān)的策略Pthird;用戶甲搜索證書，并返還FFthird(ClAC2AC3);服務(wù)器驗(yàn)證用戶甲傳來的證書后，告知協(xié)商成功；參見圖7，用戶乙的協(xié)商過程用戶乙提交用戶名和密碼，申請獲得第三關(guān)的權(quán)限；服務(wù)器驗(yàn)證用戶名和密碼，查詢用戶積分，根據(jù)積分給出乙可以訪問第一關(guān)的策略Pfirst;用戶乙搜索證書，返還證書Ffiret(Cl);服務(wù)器驗(yàn)證證書Cl，并返還第二關(guān)權(quán)限的策略P_。nd;14用戶乙搜索證書，返還證書Fse。。nd(C2);服務(wù)器驗(yàn)證證書C2，并返還第三關(guān)權(quán)限的策略Pttod;用戶乙搜索證書，返還證書Fthtel(C3);服務(wù)器驗(yàn)證用戶乙傳來的證書C3后，告知協(xié)商成功；這里Cl、C2和C3分別表示用戶通過一、二、三關(guān)后系統(tǒng)返還給用戶的相應(yīng)的權(quán)限證書。網(wǎng)絡(luò)協(xié)同過程中的信任協(xié)商與登錄過程中的信任協(xié)商所不同的是，用戶不僅要和服務(wù)器進(jìn)行協(xié)商，還要與用戶進(jìn)行協(xié)商。用戶與用戶之間通過交互自身所擁有的證書確保對方身份的可信性，建立信任關(guān)系，協(xié)同攻關(guān)。實(shí)例2:用戶甲和用戶乙均到達(dá)第四關(guān)，且兩人之前的積分均為滿分，第四關(guān)要求兩用戶分別得到由系統(tǒng)隨機(jī)生成的1000和1500以內(nèi)的素?cái)?shù)，兩個(gè)素?cái)?shù)和為通關(guān)密碼。這一過程可以表述如下參見圖8.、圖9，用戶甲向用戶乙提出申請，請求建立協(xié)同管道，并提交自己的積分；用戶乙根據(jù)甲的積分，返還建立溝通的策略要求Pf。池一Ff。rth(ClAC2AC3AC4)，并提供自身積分；用戶甲返還CredentialChain(ClAC2AC3AC4)，并根據(jù)乙的積分提出策略Pforth—Ff。rth(ClAC2AC3AC4);用戶乙驗(yàn)證甲所提交的證書，返還CredentialChain(ClAC2AC3AC4);用戶甲驗(yàn)證用戶乙所提交的證書；雙方協(xié)商成功，溝通后決定由甲獲取1000以內(nèi)的素?cái)?shù)，由乙獲得1500以內(nèi)的素?cái)?shù)；甲乙雙方分別向服務(wù)器發(fā)出請求；服務(wù)器隨機(jī)產(chǎn)生1000以內(nèi)的素?cái)?shù)，和1500以內(nèi)的素?cái)?shù)，分別告知用戶甲和用戶乙，并為他們發(fā)放含有這兩個(gè)數(shù)屬性值的數(shù)字證書C￥和C&。用戶甲和用戶乙分別告知對方自己所擁有的數(shù)值，并交換數(shù)字證書C￥和C&;用戶甲和用戶乙分別向服務(wù)器提交兩數(shù)和；服務(wù)器對甲和乙分別提出訪問第五關(guān)權(quán)限的策略PC5—FC5(C￥AC乙)；用戶甲和用戶乙分別提交自身證書CredentialChain(C甲AC乙)；服務(wù)器驗(yàn)證兩用戶提交的證書，并根據(jù)證書的屬性值的和驗(yàn)證雙方提交的素?cái)?shù)和是否正確。若正確向兩人發(fā)送第五關(guān)的權(quán)限證書C5;雙方通關(guān)成功。這里C1、C2、C3、C4和C5分別代表一到五關(guān)的訪問權(quán)限證書，C￥和C乙分別代表由服務(wù)器發(fā)放給甲和乙，含有所選隨機(jī)數(shù)屬性值的證書。信任協(xié)商通過證書交換能夠在處于不同安全域的陌生網(wǎng)絡(luò)實(shí)體之間自動(dòng)地、動(dòng)態(tài)地建立信任關(guān)系；協(xié)商者雙方都可以通過制定策略來保護(hù)自己的敏感性資源，對對方的請求進(jìn)行訪問控制；協(xié)商過程中，不需要可信第三方的參與。由于本發(fā)明采用了信任協(xié)商認(rèn)證的系統(tǒng)和方法，可以進(jìn)一步進(jìn)行認(rèn)證，保證了認(rèn)證的安全性，從而增加了網(wǎng)絡(luò)協(xié)同游戲系統(tǒng)的安全性。以上的實(shí)施例僅是對本發(fā)明的優(yōu)選實(shí)施方式進(jìn)行描述，并非對本發(fā)明的范圍進(jìn)行限定，在不脫離本發(fā)明設(shè)計(jì)精神的前提下，本領(lǐng)域普通工程技術(shù)人員對本發(fā)明的技術(shù)方案做出的各種變形和改進(jìn)，均應(yīng)落入本發(fā)明的權(quán)利要求書確定的保護(hù)范圍內(nèi)。權(quán)利要求一種基于信任協(xié)商的認(rèn)證系統(tǒng)，其特征在于，包括策略解析模塊(1)、策略處理模塊(2)、證書處理模塊(3)、策略庫模塊(4)、證書庫模塊(5)和一致性檢驗(yàn)?zāi)K(6)；所述策略庫模塊(4)用于存儲策略；所述證書庫模塊(5)用于存儲證書；所述策略解析模塊(1)用于對傳入的策略進(jìn)行解析，判斷策略中是否涉及敏感證書，涉及則交由策略處理模塊(2)進(jìn)行處理，不涉及則交由證書處理模塊(3)進(jìn)行處理；所述策略處理模塊(2)用于從所述策略庫模塊(4)中調(diào)出相應(yīng)的策略，返還給請求方，并將提供的策略存入一致性檢驗(yàn)?zāi)K(6)中；或者根據(jù)策略解析模塊(1)發(fā)來的涉及敏感證書的請求，從策略庫模塊(4)中調(diào)出相應(yīng)的保護(hù)策略，返還給請求方，并將提供的保護(hù)策略存入一致性檢驗(yàn)?zāi)K(6)中；所述證書處理模塊(3)用于根據(jù)策略中所描述的序列，從所述證書庫模塊(5)中調(diào)出證書向證書請求方提供證書鏈，并將收到的證書鏈依據(jù)順序存入到一致性檢驗(yàn)?zāi)K(6)中；所述一致性檢驗(yàn)?zāi)K(6)用于校驗(yàn)收到的證書鏈和策略的一致性，一致則告知請求方信任協(xié)商成功，并向請求方提供相應(yīng)的服務(wù)，否則告知請求方信任協(xié)商失敗，不向請求方提供服務(wù)。2.根據(jù)權(quán)利要求1所述的基于信任協(xié)商的認(rèn)證系統(tǒng)，其特征在于，所述一致性檢驗(yàn)?zāi)K(6)中還包括序列集模塊(7)，所述序列集模塊(7)存儲證書鏈。3.—種采用如權(quán)利要求1或2所述的基于信任協(xié)商的認(rèn)證系統(tǒng)的用戶登錄系統(tǒng)，其特征在于，包括用戶模塊(10)、用戶管理模塊(20)和服務(wù)器信任協(xié)商模塊(30);所述用戶模塊(10)將自身的用戶信息發(fā)送到用戶登管理模塊(20)中，并提出訪問請求；所述用戶管理模塊(20)對用戶信息進(jìn)行校驗(yàn)，校驗(yàn)失敗則告知所述用戶模塊(10)登錄失敗，校驗(yàn)成功則發(fā)送訪問請求到所述服務(wù)器信任協(xié)商模塊(30);所述服務(wù)器信任協(xié)商模塊(30)接收所述用戶管理模塊(20)發(fā)來的訪問請求，根據(jù)所述用戶管理模塊(20)中的用戶等級等信息，調(diào)出相應(yīng)的策略，返還給所述用戶模塊(10)，并將策略保存；所述用戶模塊(10)接收所述服務(wù)器信任協(xié)商模塊(30)返還的策略，依據(jù)策略要求查找相應(yīng)的證書，形成證書鏈，并將證書鏈發(fā)送給所述服務(wù)器信任協(xié)商模塊(30);所述服務(wù)器信任協(xié)商模塊(30)將證書鏈依據(jù)順序保存，并對該證書鏈和保存的策略進(jìn)行校驗(yàn)，兩者一致，則告知所述用戶模塊(10)協(xié)商成功，所述用戶模塊(10)可以進(jìn)行相應(yīng)的訪問，否則告知所述用戶模塊(10)登錄失敗。4.根據(jù)權(quán)利要求3所述的用戶登錄系統(tǒng)，其特征在于，所述用戶模塊(10)包括用戶登錄模塊(11)和用戶信任協(xié)商模塊(12)，所述用戶信任協(xié)商模塊(12)包括用戶策略解析模塊(121)、用戶策略處理模塊(122)、用戶證書處理模塊(123)、用戶策略庫模塊(124)、用戶證書庫模塊(125)和用戶一致性檢驗(yàn)?zāi)K(126);所述用戶管理模塊(20)包括用戶注冊管理模塊(21)、用戶登錄管理模塊(22)、用戶等級管理模塊(23)和用戶信息存儲模塊(24);所述服務(wù)器信任協(xié)商模塊(30)包括服務(wù)器策略解析模塊(301)、服務(wù)器策略處理模塊(302)、服務(wù)器證書處理模塊(303)、服務(wù)器策略庫模塊(304)、服務(wù)器證書庫模塊(305)和服務(wù)器一致性檢驗(yàn)?zāi)K(306);所述用戶登錄模塊(11)將自身的用戶信息發(fā)送到所述用戶登錄管理模塊(22)中，并發(fā)送訪問請求；所述用戶登錄管理模塊(22)查詢所述用戶信息存儲模塊(24)中的用戶信息，并對用戶信息進(jìn)行校驗(yàn)，校驗(yàn)失敗則告知所述用戶登錄模塊(11)登錄失敗，校驗(yàn)成功則發(fā)送訪問請求到所述服務(wù)器策略處理模塊(302);所述服務(wù)器策略處理模塊(302)根據(jù)用戶登錄管理模塊(22)發(fā)來的關(guān)卡訪問請求，根據(jù)所述用戶等級管理模塊(23)中的用戶等級等信息，從服務(wù)器策略庫模塊(304)中調(diào)出相應(yīng)的策略，返還給用戶信任協(xié)商模塊(12)，并將策略保存在服務(wù)器一致性檢驗(yàn)?zāi)K(306)中；所述用戶信任協(xié)商模塊(12)中的用戶策略解析模塊(121)接收服務(wù)器策略處理模塊(302)返還的策略，交給所述用戶證書處理模塊(123)，所述用戶證書處理模塊(123)依據(jù)策略要求從所述用戶證書庫模塊(125)中查找相應(yīng)的證書，形成證書鏈，并將證書鏈發(fā)送給所述服務(wù)器證書處理模塊(303);所述服務(wù)器證書處理模塊(303)將證書鏈依據(jù)順序存入到所述服務(wù)器一致性檢驗(yàn)?zāi)K(306)中，所述服務(wù)器一致性檢驗(yàn)?zāi)K(306)對該證書鏈和保存的策略進(jìn)行校驗(yàn)，兩者一致，則告知所述用戶登錄模塊(11)協(xié)商成功，所述用戶登錄模塊(11)可以進(jìn)行相應(yīng)的訪問，否則告知所述用戶登錄模塊(11)登陸失敗。5.根據(jù)權(quán)利要求4所述的用戶登錄系統(tǒng)，其特征在于，所述服務(wù)器一致性檢驗(yàn)?zāi)K(306)中還包括服務(wù)器序列集模塊(307)，所述服務(wù)器序列集模塊(307)存儲證書鏈。6.—種采用如權(quán)利要求1或2所述的基于信任協(xié)商的認(rèn)證系統(tǒng)的用戶協(xié)同系統(tǒng)，其特征在于，包括至少兩個(gè)用戶模塊，每個(gè)用戶模塊包含有自己的用戶信任協(xié)商模塊，每個(gè)用戶模塊通過網(wǎng)絡(luò)互相連接；用戶甲和用戶乙建立連接，用戶乙返回用戶甲信息，用戶甲信任協(xié)商模塊(60)中的用戶甲策略解析模塊(601)判斷用戶乙返回的信息是策略還是證書；如果是策略則對其進(jìn)行解析，看是否涉及到用戶甲自身擁有的敏感證書，如果解析結(jié)果涉及用戶甲自身擁有的敏感證書，則用戶甲策略解析模塊(601)通知用戶甲策略處理模塊(602)進(jìn)行處理，用戶甲策略處理模塊(602)調(diào)出用戶甲策略庫模塊(604)中的關(guān)于敏感證書的保護(hù)策略，返還給用戶乙信任協(xié)商模塊(70)關(guān)于敏感證書的保護(hù)策略，如果用戶甲策略解析模塊(601)的解析結(jié)果不涉及敏感證書，則用戶甲策略解析模塊(601)通知用戶甲證書處理模塊(603)進(jìn)行處理，用戶甲證書處理模塊(603)依據(jù)用戶乙發(fā)來的訪問控制策略，調(diào)出用戶甲證書庫模塊(605)中的用戶乙發(fā)送來的策略涉及的證書，返還給用戶乙信任協(xié)商模塊(70);如果用戶甲策略解析模塊(601)判斷用戶乙返回的信息是證書，則通知用戶甲證書處理模塊(603)進(jìn)行處理，用戶甲證書處理模塊(603)將用戶乙返回的證書保存到用戶甲一致性檢驗(yàn)?zāi)K(606)，用戶甲一致性檢驗(yàn)?zāi)K(606)校驗(yàn)該證書和用戶甲之前對用戶乙提出的策略的要求是否一致，若一致，則雙方建立信任關(guān)系，用戶乙可以同用戶甲進(jìn)行協(xié)同交流，了解各自擁有的敏感信息，否則告知用戶乙協(xié)商失敗，雙方不能建立協(xié)同連接。7.—種采用權(quán)利要求1或2所述的基于信任協(xié)商的認(rèn)證系統(tǒng)的用戶登錄系統(tǒng)的登錄方法，其特征在于，包括以下步驟用戶登錄模塊將用戶自身的用戶名和密碼等用戶信息發(fā)送到用戶登錄管理模塊中，并提出訪問請求；用戶登錄管理模塊查詢用戶信息存儲模塊中的用戶信息，對用戶信息進(jìn)行校驗(yàn)，校驗(yàn)失敗則告知用戶登錄模塊登錄失敗，校驗(yàn)成功則發(fā)送訪問請求到服務(wù)器策略處理模塊，服務(wù)器策略處理模塊根據(jù)用戶登錄管理模塊發(fā)來的訪問請求，根據(jù)用戶等級管理模塊中的用戶等級等信息，從服務(wù)器策略庫模塊中調(diào)出相應(yīng)的策略，返還給用戶信任協(xié)商模塊，并將策略保存在服務(wù)器一致性檢驗(yàn)?zāi)K中；用戶信任協(xié)商模塊中的用戶策略解析模塊接收服務(wù)器策略處理模塊返還的策略，交給用戶證書處理模塊，用戶證書處理模塊依據(jù)策略要求從用戶證書庫模塊中查找相應(yīng)的證書，形成證書鏈，并將證書鏈發(fā)送給服務(wù)器證書處理模塊，服務(wù)器證書處理模塊將證書鏈依據(jù)順序存入到服務(wù)器一致性檢驗(yàn)?zāi)K中的服務(wù)器序列集中；服務(wù)器一致性檢驗(yàn)?zāi)K對服務(wù)器證書處理模塊保存的證書鏈和服務(wù)器策略處理模塊保存的策略進(jìn)行校驗(yàn)，兩者一致，則告知用戶登錄模塊協(xié)商成功，用戶登錄模塊可以進(jìn)行相應(yīng)的訪問，否則告知用戶登陸失敗。8.—種采用權(quán)利要求1或2所述的基于信任協(xié)商的認(rèn)證系統(tǒng)的用戶協(xié)同系統(tǒng)的協(xié)同方法，其特征在于，包括以下步驟用戶甲信任協(xié)商模塊中的用戶甲策略解析模塊判斷用戶乙返回的信息是策略還是證書；如果是策略，用戶甲策略解析模塊對其進(jìn)行解析，看是否涉及到用戶甲自身擁有的敏感證書，如果解析結(jié)果涉及用戶甲自身擁有的敏感證書，則用戶甲策略解析模塊通知用戶甲策略處理模塊進(jìn)行處理，用戶甲策略處理模塊調(diào)出用戶甲策略庫模塊中的關(guān)于敏感證書的保護(hù)策略，返還給用戶乙信任協(xié)商模塊關(guān)于敏感證書的保護(hù)策略，如果解析結(jié)果不涉及用戶甲自身擁有的敏感證書，則用戶甲策略解析模塊通知用戶甲證書處理模塊進(jìn)行處理，用戶甲證書處理模塊依據(jù)用戶乙發(fā)來的訪問控制策略，調(diào)出用戶甲證書庫模塊中的用戶乙發(fā)送來的策略涉及的證書，返還給用戶乙信任協(xié)商模塊；如果是證書，用戶甲策略解析模塊通知用戶甲證書處理模塊進(jìn)行處理，用戶甲證書處理模塊將用戶乙返回的證書保存到用戶甲一致性檢驗(yàn)?zāi)K，用戶甲一致性檢驗(yàn)?zāi)K校驗(yàn)該證書和用戶甲之前對用戶乙提出的策略的要求是否一致，若一致，則雙方建立信任關(guān)系，用戶乙可以同用戶甲進(jìn)行協(xié)同交流，了解各自擁有的敏感信息，否則告知用戶乙協(xié)商失敗，雙方不能建立協(xié)同連接。全文摘要一種基于信任協(xié)商的認(rèn)證系統(tǒng)包括策略解析模塊、策略處理模塊、證書處理模塊、策略庫模塊、證書庫模塊和一致性檢驗(yàn)?zāi)K；一種采用本發(fā)明的基于信任協(xié)商的認(rèn)證系統(tǒng)的用戶登錄系統(tǒng)，包括用戶模塊、用戶管理模塊和服務(wù)器信任協(xié)商模塊；一種采用本發(fā)明的基于信任協(xié)商的認(rèn)證系統(tǒng)的用戶協(xié)同系統(tǒng)，包括至少兩個(gè)用戶模塊，每個(gè)用戶模塊包含有自己的用戶信任協(xié)商模塊，每個(gè)用戶模塊通過網(wǎng)絡(luò)互相連接；從而提供一種增加網(wǎng)絡(luò)游戲等網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全性的基于信任協(xié)商的認(rèn)證系統(tǒng)，采用該認(rèn)證系統(tǒng)的用戶登陸的系統(tǒng)和方法以及采用該認(rèn)證系統(tǒng)的用戶協(xié)同的系統(tǒng)和方法。文檔編號H04L29/06GK101707613SQ20091024223公開日2010年5月12日申請日期2009年12月10日優(yōu)先權(quán)日2009年12月10日發(fā)明者劉思征,蔣文保申請人:北京信息科技大學(xué)