專利名稱:一種分布式認證方法及認證系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機網(wǎng)絡(luò)安全領(lǐng)域,特別涉及一種計算機網(wǎng)絡(luò)終端的分布式認證方法及認證系統(tǒng)����。
背景技術(shù):
目前的遠程授權(quán)認證方法一般都是單層的C/S或B/S認證體系���,相對來說比較容易被黑客破解攻擊,在涉及需要高度安全的智能家居等用戶隱私的場所�����,好的認證體系非常重要����,現(xiàn)在大多采用一次一密認證技術(shù)和數(shù)字簽名技術(shù)來提高安全認證等級,但這種認證技術(shù)也很難說不被攻克�����,例如黑客直接攻擊后臺數(shù)據(jù)庫服務(wù)器�����,獲取原始加密數(shù)據(jù)后就可以較容易的破解這種認證體系��。
發(fā)明內(nèi)容
本發(fā)明為克服目前認證方式常常破解的不足���,公開一種分布式認證方法及認證系統(tǒng)��。本發(fā)明所采用的技術(shù)方案包括兩個方面���,其中第一個方面的技術(shù)方案是:一種分布式認證方法��,作為被訪問控制用戶的遠程授權(quán)訪問終端和作為控制用戶的客戶端通過網(wǎng)絡(luò)連接,遠程授權(quán)訪問終端和客戶端在通過網(wǎng)絡(luò)的認證信令服務(wù)器登錄��,客戶端要訪問遠程授權(quán)訪問終端還需要進行如下步驟進行認證:步驟1�����、認證信令服務(wù)器將已經(jīng)授權(quán)給該客戶端的遠程授權(quán)訪問終端的地址列表發(fā)送給該客戶端��;步驟2���、客戶端輸入準備訪問控制的遠程授權(quán)訪問終端授權(quán)的密碼通過協(xié)議打包成密碼協(xié)議包發(fā)送給認證信令服務(wù)器���;步驟3、認證信令服務(wù)器對接收到的步驟2中的密碼協(xié)議包進行解析��;步驟4�����、認證信令服務(wù)器根據(jù)解析的地址將密碼協(xié)議包轉(zhuǎn)發(fā)給客戶端準備訪問控制的遠程授權(quán)訪問終端;步驟5�����、所述的遠程授權(quán)訪問終端收到密碼協(xié)議包后進行搜索本地嵌入式數(shù)據(jù)庫對數(shù)據(jù)進行校驗�,通過后回應(yīng)成功信息發(fā)送給認證信令服務(wù)器,認證信令服務(wù)器再轉(zhuǎn)發(fā)給客戶端���;步驟6�����、如果步驟5認證成功����,客戶端將控制命令以步驟2的方式打包成命令包���,以督3和步驟4的方式傳送到所述的遠程授權(quán)訪問終端�����,所述的遠程授權(quán)訪問終端響應(yīng)控制命令����。進一步的,上述的分布式認證方法中:步驟2中�����,所述的密碼協(xié)議包包括遠程授權(quán)訪問終端設(shè)置遠程授權(quán)用戶ID號和遠程授權(quán)密碼���。進一步的���,上述的分布式認證方法中:遠程授權(quán)訪問終端或者客戶端通過網(wǎng)絡(luò)的認證信令服務(wù)器登錄包括以下步驟:步驟01�����、遠程授權(quán)訪問終端或者客戶端將登錄用戶ID號和登錄用戶密碼加密打包成遠程授權(quán)訪問終端登錄包�;步驟02、遠程授權(quán)訪問終端或者客戶端將遠程授權(quán)訪問終端登錄包發(fā)送給認證信令服務(wù)器�;步驟03、認證信令服務(wù)器接收遠程授權(quán)訪問終端登錄包后解密�;步驟04、認證信令服務(wù)器通過從數(shù)據(jù)庫服務(wù)器取數(shù)據(jù)進行比對��,如果登錄用戶ID號和登錄用戶密碼通過比對存在并相同�����,則認為認證通過,并允許登錄成功�。本發(fā)明技術(shù)方案的另一方面是一種根據(jù)上述分布式認證方法的認證系統(tǒng),包括連接到網(wǎng)絡(luò)中的作為被訪問控制用戶的遠程授權(quán)訪問終端和作為控制用戶的客戶端��、認證信令服務(wù)器和數(shù)據(jù)庫服務(wù)器�����;所述的遠程授權(quán)訪問終端內(nèi)設(shè)置有嵌入式數(shù)據(jù)庫和授權(quán)認證程序���,所述的授權(quán)認證程序利用接收到由所述的認證信令服務(wù)器(4)轉(zhuǎn)發(fā)的由所述的客戶端發(fā)送的遠程授權(quán)用戶ID和遠程授權(quán)密碼與所述的嵌入式數(shù)據(jù)庫中保存的相應(yīng)數(shù)據(jù)比對�����。進一步的�����,上述的認證系統(tǒng)中:所述的遠程授權(quán)訪問終端和客戶端內(nèi)均設(shè)置有登錄網(wǎng)絡(luò)所需要的登錄用戶ID號和登錄用戶密碼��。進一步的���,上述的認證系統(tǒng)中:所述的客戶端包括連接到網(wǎng)絡(luò)中的計算機客戶端和通過無線通信連接到網(wǎng)絡(luò)的智能移動終端。進一步的���,上述的認證系統(tǒng)中:所述的網(wǎng)絡(luò)包括廣電網(wǎng)或互聯(lián)網(wǎng)或局域網(wǎng)���。本發(fā)明與現(xiàn)有技術(shù)相比���,具有以下優(yōu)點及有益效果:(I)本發(fā)明在現(xiàn)有集中加密認證基礎(chǔ)上增加分布式加密認證體系,在嵌入式系統(tǒng)中存儲認證信息�����,遠程客戶不能直接訪問到遠程授權(quán)訪問終端的數(shù)據(jù)信息���,而是通過認證信令服務(wù)器中轉(zhuǎn),極大地增加了黑客破解的難度�,增加了系統(tǒng)安全性,使系統(tǒng)安全在原先體系基礎(chǔ)上提高了一個數(shù)量級��。(2)本發(fā)明由用戶自己設(shè)置遠程授權(quán)用戶ID號和遠程授權(quán)訪問的密碼�����,此信息保存在遠程授權(quán)訪問終端中���,運營商維護人員也不能查看此數(shù)據(jù)信息��,可以增加用戶私有的隱私信息的高安全特性�����。(3)本發(fā)明的認證信令服務(wù)器的用戶管理模塊可對終端用戶和遠程訪問用戶進行授權(quán)管理和遠程授權(quán)訪問終端授權(quán)數(shù)量的進行收費管理��,讓運營商實現(xiàn)運營收入�,實現(xiàn)可
運營可管理。
圖1�、本發(fā)明系統(tǒng)框圖。圖中:1����、遠程授權(quán)認證終端,2��、遠程授權(quán)用戶ID號�����,3��、遠程授權(quán)訪問的密碼�,4、認證信令服務(wù)器����,5����、數(shù)據(jù)庫服務(wù)器����,6、智能移動終端�,7、計算機客戶端�,8、授權(quán)認證程序���,9��、嵌入式數(shù)據(jù)庫,10����、登錄用戶ID號,11�����、登錄用戶密碼。
具體實施例方式為了使本發(fā)明的目的���、技術(shù)方案及優(yōu)點更加清楚明白�,以下結(jié)合附圖及實施例���,對本發(fā)明進行進一步詳細說明�。應(yīng)當理解�����,此處所描述的具體實施例僅僅用以解釋本發(fā)明��,并不用于限定本發(fā)明�。如圖1所示,本實施例是一種分布式認證系統(tǒng)����,包括連接到網(wǎng)絡(luò)中的作為被訪問控制用戶的遠程授權(quán)訪問終端I和作為控制用戶的客戶端、認證信令服務(wù)器4和數(shù)據(jù)庫服務(wù)器5 ;其中����,作為控制用戶的客戶端包括連接到網(wǎng)絡(luò)中的計算機客戶端7通過無線通信連接到網(wǎng)絡(luò)的智能移動終端6等各種拉入到網(wǎng)絡(luò)的智能終端。本實施例中,遠程授權(quán)訪問終端I內(nèi)設(shè)置有嵌入式數(shù)據(jù)庫9和授權(quán)認證程序8��,授權(quán)認證程序8利用接收到由認證信令服務(wù)器4轉(zhuǎn)發(fā)的由客戶端發(fā)送的遠程授權(quán)用戶ID2和遠程授權(quán)密碼3與嵌入式數(shù)據(jù)庫9中保存的相應(yīng)數(shù)據(jù)比對����。如果比對正確,則可認為客戶端可以對本遠程授權(quán)訪問終端I進行訪問���。同時為了登錄到網(wǎng)絡(luò)遠程授權(quán)訪問終端I和客戶端內(nèi)均設(shè)置有登錄網(wǎng)絡(luò)所需要的登錄用戶ID號10和登錄用戶密碼11�。這里網(wǎng)絡(luò)包括廣電網(wǎng)或互聯(lián)網(wǎng)或局域網(wǎng)��。上述分布式認證系統(tǒng)的認證過程包括集中式認證和分布式認證����,具體步驟如下:集中式認證的認證過程:遠程授權(quán)訪問終端1、智能移動終端6或計算機客戶端7通過輸入登錄用戶ID號10和登錄用戶密碼11登錄認證信令服務(wù)器4�����,登錄是通過網(wǎng)絡(luò)登錄的�����,一般在傳送到登錄認證信令服務(wù)器4前需要經(jīng)過加密算法加密�,目前�����,加密算法非常成熟,有很多算法�,本實施例采用其中一種加密算法就可以了。認證信令服務(wù)器4接收到登錄用戶ID號10和登錄用戶密碼11并進行解密��,這里具體加解密算法與上面的加密算法配對����,通過從數(shù)據(jù)庫服務(wù)器7取數(shù)據(jù)進行比對,目前比對所用數(shù)字簽名等方式��,如果用戶名和登錄密碼通過比對存在并相同�����,則認為認證通過��,并允許登錄成功��,這樣就完成了集中式認證過程���。分布式授權(quán)認證的過程:智能移動終端6或計算機客戶端7有時需要遠程訪問或控制遠程授權(quán)訪問終端I的數(shù)據(jù)或設(shè)備�,比如智能家居或視頻監(jiān)控設(shè)備等,需要智能移動終端5或計算機客戶端6輸入或獲取遠程授權(quán)用戶ID號2�,此遠程授權(quán)用戶ID號2可以和登錄時所用的登錄用戶ID號10相同,是通過其它途徑在事先告知智能移動終端5或計算機客戶端6��。遠程授權(quán)密碼3和想要訪問控制的目的終端用戶ID號10��,經(jīng)過加密���,這里加密方法不限��,通過網(wǎng)絡(luò)��,這里的網(wǎng)絡(luò)包括廣電網(wǎng)或互聯(lián)網(wǎng)或局域網(wǎng)等����,傳送到認證信令服務(wù)器4����,由認證信令服務(wù)器4解析并轉(zhuǎn)發(fā)到目的終端用戶ID號10所登錄的遠程授權(quán)訪問終端1,遠程授權(quán)訪問終端I的終端授權(quán)認證程序通過解密�,這里解密算法不限但與加密方法是協(xié)調(diào)統(tǒng)一的,并比對認證����,這里比對所用數(shù)字簽名等技術(shù)不限可以為任意方法���,如果比對成功則認證通過��,則經(jīng)原路返回比對結(jié)果���,智能移動終端5或計算機客戶端6可以訪問和控制遠程授權(quán)訪問終端I的數(shù)據(jù)或設(shè)備�,比如智能家居或視頻監(jiān)控設(shè)備等�����;如果比對失敗則認證失敗��,則經(jīng)原路返回比對結(jié)果��,遠程授權(quán)訪問終端I拒絕智能移動終端5或計算機客戶端6可以訪問和控制遠程授權(quán)訪問終端I的數(shù)據(jù)或設(shè)備����。具體認證過程如下:為實現(xiàn)這些功能,定義了以下的通信流程:第一步�����,遠程授權(quán)訪問終端I作為被訪問控制用戶以登錄用戶ID號10和登錄用戶密碼11 (經(jīng)過加密算法加密��,加解密算法不限)通過網(wǎng)絡(luò)連接發(fā)送信息到認證信令服務(wù)器6進行登錄,登錄成功則進入正常守護狀態(tài)��;第二步����,客戶端也就是控制用戶,包括計算機客戶端哮智能移動終端����,作為控制用戶以登錄用戶ID號10和登錄用戶密碼11,經(jīng)過加密算法加密����,這里加解密算法不限,通過網(wǎng)絡(luò)連接發(fā)送信息到認證信令服務(wù)器4進行登錄�����,登錄成功后服務(wù)器將已經(jīng)授權(quán)給該控制用戶遠程授權(quán)訪問終端I地址列表發(fā)送給該客戶端���,這里遠程授權(quán)訪問終端I可能有幾個�����?���?蛻舳诵枰刂七h程授權(quán)訪問終端時先輸入授權(quán)密碼,由遠程授權(quán)訪問終端設(shè)置遠程授權(quán)用戶ID號和遠程授權(quán)密碼�,通過協(xié)議打包發(fā)送給服務(wù)器,服務(wù)器解析后根據(jù)地址轉(zhuǎn)發(fā)給遠程授權(quán)訪問終端���,遠程授權(quán)訪問終端收到后進行搜索本地嵌入式數(shù)據(jù)庫4對數(shù)據(jù)進行校驗,通過后回應(yīng)成功信息發(fā)送給認證信令服務(wù)器�����,認證信令服務(wù)器再轉(zhuǎn)發(fā)給客戶端�����;第三步���,如果認證信令服務(wù)器認證成功�,客戶端則可以以同樣的方式發(fā)送控制命令給遠程授權(quán)訪問終端(認證信令服務(wù)器負責(zé)轉(zhuǎn)發(fā))��,遠程授權(quán)訪問終端收到命令后則通過發(fā)送高頻無線信號給各設(shè)備����,各設(shè)備響應(yīng)命令達到控制的目的����。以上所述�,僅為本發(fā)明較佳的具體實施方式
,但本發(fā)明的保護范圍并不局限于此�����,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)�,可輕易想到的變化或替換,都應(yīng)涵蓋在本發(fā)明的保護范圍之內(nèi)�。因此,本發(fā)明的保護范圍應(yīng)該以權(quán)利要求的保護范圍為準�。
權(quán)利要求
1.一種分布式認證方法,作為被訪問控制用戶的遠程授權(quán)訪問終端(I)和作為控制用戶的客戶端通過網(wǎng)絡(luò)連接����,遠程授權(quán)訪問終端(I)和客戶端在通過網(wǎng)絡(luò)的認證信令服務(wù)器(4)登錄,其特征在于:客戶端要訪問遠程授權(quán)訪問終端(I)還需要進行如下步驟進行認證: 步驟1���、認證信令服務(wù)器(4)將已經(jīng)授權(quán)給該客戶端的遠程授權(quán)訪問終端(I)的地址列表發(fā)送給該客戶端���; 步驟2、客戶端輸入準備訪問控制的遠程授權(quán)訪問終端(I)授權(quán)的密碼通過協(xié)議打包成密碼協(xié)議包發(fā)送給認證信令服務(wù)器(4)��; 步驟3、認證信令服務(wù)器(4)對接收到的步驟2中的密碼協(xié)議包進行解析���; 步驟4��、認證信令服務(wù)器(4)根據(jù)解析的地址將密碼協(xié)議包轉(zhuǎn)發(fā)給客戶端準備訪問控制的遠程授權(quán)訪問終端(I)�����; 步驟5、所述的遠程授權(quán)訪問終端(I)收到密碼協(xié)議包后進行搜索本地嵌入式數(shù)據(jù)庫對數(shù)據(jù)進行校驗�����,通過后回應(yīng)成功信息發(fā)送給認證信令服務(wù)器���,認證信令服務(wù)器再轉(zhuǎn)發(fā)給客戶端����; 步驟6�����、如果步驟5認證成功�����,客戶端將控制命令以步驟2的方式打包成命令包,以步驟3和步驟4的方式傳送到所述的遠程授權(quán)訪問終端(I)���,所述的遠程授權(quán)訪問終端(I)響應(yīng)控制命令����。
2.根據(jù)權(quán)利要求1所述的分布式認證方法���,其特征在于:步驟2中�����,所述的密碼協(xié)議包包括遠程授權(quán)訪問終端(I)設(shè)置遠程授權(quán)用戶ID號和遠程授權(quán)密碼�。
3.根據(jù)權(quán)利要求1所 述的分布式認證方法���,其特征在于:遠程授權(quán)訪問終端(I)或者客戶端通過網(wǎng)絡(luò)的認證信令服務(wù)器(4)登錄包括以下步驟: 步驟01��、遠程授權(quán)訪問終端(I)或者客戶端將登錄用戶ID號(10)和登錄用戶密碼(11)加密打包成遠程授權(quán)訪問終端登錄包��; 步驟02�����、遠程授權(quán)訪問終端(I)或者客戶端將遠程授權(quán)訪問終端登錄包發(fā)送給認證信令服務(wù)器⑷��; 步驟03�����、認證信令服務(wù)器(4)接收遠程授權(quán)訪問終端登錄包后解密�; 步驟04、認證信令服務(wù)器(4)通過從數(shù)據(jù)庫服務(wù)器(5)取數(shù)據(jù)進行比對�����,如果登錄用戶ID號(10)和登錄用戶密碼(11)通過比對存在并相同����,則認為認證通過���,并允許登錄成功��。
4.一種根據(jù)權(quán)利要求1至3中任一所述的分布式認證方法的認證系統(tǒng)��,包括連接到網(wǎng)絡(luò)中的作為被訪問控制用戶的遠程授權(quán)訪問終端(I)和作為控制用戶的客戶端��、認證信令服務(wù)器(4)和數(shù)據(jù)庫服務(wù)器(5);其特征在于:所述的遠程授權(quán)訪問終端(I)內(nèi)設(shè)置有嵌入式數(shù)據(jù)庫(9)和授權(quán)認證程序(8)����,所述的授權(quán)認證程序(8)利用接收到由所述的認證信令服務(wù)器(4)轉(zhuǎn)發(fā)的由所述的客戶端發(fā)送的遠程授權(quán)用戶ID(2)和遠程授權(quán)密碼(3)與所述的嵌入式數(shù)據(jù)庫(9)中保存的相應(yīng)數(shù)據(jù)比對。
5.根據(jù)權(quán)利要求4所述的認證系統(tǒng)���,其特征在于:所述的遠程授權(quán)訪問終端(I)和客戶端內(nèi)均設(shè)置有登錄網(wǎng)絡(luò)所需要的登錄用戶ID號(10)和登錄用戶密碼(11)�。
6.根據(jù)權(quán)利要求5所述的認證系統(tǒng)��,其特征在于:所述的客戶端包括連接到網(wǎng)絡(luò)中的計算機客戶端(7)和通過無線通信連接到網(wǎng)絡(luò)的智能移動終端(6)����。
7.根據(jù)權(quán)利要求4至6中任一所述的認證系統(tǒng),其特征在于:所述的網(wǎng)絡(luò)包括廣電網(wǎng)或互聯(lián)網(wǎng) 或局域網(wǎng)�����。
全文摘要
本發(fā)明公開了一種分布式認證方法以及認證系統(tǒng)����,該系統(tǒng)包括連接到網(wǎng)絡(luò)中的遠程授權(quán)訪問終端和客戶端、認證信令服務(wù)器和數(shù)據(jù)庫服務(wù)器���;遠程授權(quán)訪問終端內(nèi)設(shè)置有嵌入式數(shù)據(jù)庫和授權(quán)認證程序��,授權(quán)認證程序利用接收到由認證信令服務(wù)器轉(zhuǎn)發(fā)的由客戶端發(fā)送的遠程授權(quán)用戶ID和遠程授權(quán)密碼與嵌入式數(shù)據(jù)庫中保存的相應(yīng)數(shù)據(jù)比對�����。該方法公開了該系統(tǒng)集中式和分布式認證過程�����。本發(fā)明在現(xiàn)有集中加密認證基礎(chǔ)上增加分布式加密認證體系����,在遠程授權(quán)訪問終端中嵌入存儲認證信息,遠程客戶不能直接訪問到遠程授權(quán)訪問終端的數(shù)據(jù)信息����,而是通過認證信令服務(wù)器中轉(zhuǎn),極大地增加了黑客破解的難度��,增加了系統(tǒng)安全性�,使系統(tǒng)安全在原先體系基礎(chǔ)上提高了一個數(shù)量級�。
文檔編號H04L29/06GK103152326SQ201310039948
公開日2013年6月12日 申請日期2013年2月1日 優(yōu)先權(quán)日2013年2月1日
發(fā)明者鄺霖, 黎富起, 蔡偉洋, 溫永紅, 周天平, 李圣堯 申請人:深圳市巨雷科技有限公司