一種用于多個(gè)信息交互系統(tǒng)的互信認(rèn)證方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種用于多個(gè)信息交互系統(tǒng)的互信認(rèn)證方法����,包括:信息交互系統(tǒng)接收來(lái)自認(rèn)證對(duì)象的信息交互請(qǐng)求;檢測(cè)該信息交互請(qǐng)求中是否包括憑據(jù)��,包括則對(duì)其進(jìn)行驗(yàn)證��,不包括則申請(qǐng)憑據(jù)以繼續(xù)對(duì)信息交互系統(tǒng)的訪問(wèn)���。其中����,憑據(jù)的發(fā)放包括:生成第一主題��;將第一主題轉(zhuǎn)換為字符串后經(jīng)過(guò)處理生成唯一的憑據(jù);將第一主題和唯一的憑據(jù)進(jìn)行對(duì)應(yīng)存儲(chǔ)�����;將唯一的憑據(jù)進(jìn)行發(fā)放�。其中�,憑據(jù)的驗(yàn)證包括:根據(jù)驗(yàn)證請(qǐng)求生成第二主題;判斷第二主題是否與第一主題一致���,并相應(yīng)地發(fā)送驗(yàn)證結(jié)果���。本發(fā)明還公開了相應(yīng)的互信認(rèn)證系統(tǒng)。本發(fā)明能夠以各種數(shù)據(jù)發(fā)起憑據(jù)的申請(qǐng)和驗(yàn)證�����,有效地實(shí)現(xiàn)了多個(gè)信息交互系統(tǒng)的相互信任體系�����。
【專利說(shuō)明】一種用于多個(gè)信息交互系統(tǒng)的互信認(rèn)證方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種認(rèn)證方法及系統(tǒng)���,特別涉及一種用于多個(gè)信息交互系統(tǒng)之間的互 信體系的互信認(rèn)證方法及系統(tǒng)����。
【背景技術(shù)】
[0002] 銀行等企業(yè)往往有多個(gè)獨(dú)立的信息交互系統(tǒng)為用戶提供互聯(lián)網(wǎng)上的web服務(wù),出 于安全的需要�����,各信息交互系統(tǒng)對(duì)用戶提供服務(wù)前必須對(duì)用戶進(jìn)行身份認(rèn)證�����。而用戶在登 陸不同的信息交互系統(tǒng)時(shí)均需要進(jìn)行登錄操作��,給用戶帶來(lái)了不便����,因此需要提供統(tǒng)一身 份認(rèn)證問(wèn)題的解決方案,將身份認(rèn)證的責(zé)任和提供服務(wù)的責(zé)任分離開來(lái)��。
[0003] 基于這個(gè)原因���,需要在身份認(rèn)證之后提供一個(gè)憑據(jù)����,證明一個(gè)認(rèn)證對(duì)象(如用戶���、 進(jìn)程或系統(tǒng))已經(jīng)得到可以在一定條件下獲得信息交互服務(wù)的承諾�����,同時(shí)還要負(fù)責(zé)在這個(gè) 認(rèn)證對(duì)象要求得到信息交互服務(wù)時(shí)驗(yàn)證其所提供的憑據(jù)是否合法有效�。
[0004] 已經(jīng)有多種方式用于憑據(jù)的發(fā)放和驗(yàn)證�����,例如發(fā)送一個(gè)唯一的隨機(jī)數(shù)作為憑據(jù)��, 或者經(jīng)過(guò)密鑰加密的字符串作為憑據(jù)等�,并利用保存在認(rèn)證服務(wù)器端的憑據(jù)或者經(jīng)過(guò)對(duì)應(yīng) 的密鑰解密的憑據(jù)來(lái)驗(yàn)證認(rèn)證對(duì)象所提交的憑據(jù)是否有效。
[0005] 然而�����,現(xiàn)有的憑據(jù)驗(yàn)證方法由于通常包括加解密運(yùn)算�,驗(yàn)證過(guò)程較為復(fù)雜,并且需 要對(duì)信息交互系統(tǒng)和身份認(rèn)證系統(tǒng)進(jìn)行較大幅度的改動(dòng)���,對(duì)于憑據(jù)的申請(qǐng)請(qǐng)求和驗(yàn)證請(qǐng)求 的數(shù)據(jù)格式也有限制性的要求��。
【發(fā)明內(nèi)容】
[0006] 本發(fā)明的目的在于提供一種用于多個(gè)信息交互系統(tǒng)的互信認(rèn)證方法及系統(tǒng)��,其能 夠以各種數(shù)據(jù)發(fā)起憑據(jù)的申請(qǐng)請(qǐng)求和驗(yàn)證請(qǐng)求�,有效地實(shí)現(xiàn)了多個(gè)信息交互系統(tǒng)的相互信 任體系。
[0007] 為此�����,本發(fā)明提出了一種用于多個(gè)信息交互系統(tǒng)的互信認(rèn)證方法��,包括:
[0008] S1�����、所述多個(gè)信息交互系統(tǒng)的其中一個(gè)信息交互系統(tǒng)通過(guò)互聯(lián)網(wǎng)接收來(lái)自認(rèn)證對(duì) 象的信息交互請(qǐng)求�����;
[0009] S2����、檢測(cè)該信息交互請(qǐng)求中是否包括憑據(jù),如果檢測(cè)結(jié)果為包括所述憑據(jù)則進(jìn)行 步驟S3,如果檢測(cè)結(jié)果為不包括所述憑據(jù)則進(jìn)行下列步驟S4-S7 ;
[0010] S3���、所述信息交互系統(tǒng)將驗(yàn)證請(qǐng)求發(fā)送到互信認(rèn)證系統(tǒng)��,并在從所述互信認(rèn)證系 統(tǒng)接收到響應(yīng)于所述驗(yàn)證請(qǐng)求的驗(yàn)證結(jié)果后�,根據(jù)所述驗(yàn)證結(jié)果為所述憑據(jù)為有效或無(wú)效 來(lái)執(zhí)行針對(duì)所述信息交互請(qǐng)求的相應(yīng)操作,其中����,所述驗(yàn)證請(qǐng)求包括所述憑據(jù)和與所述信 息交互請(qǐng)求相關(guān)的參數(shù);
[0011] S4��、將所述認(rèn)證對(duì)象對(duì)所述信息交互系統(tǒng)的訪問(wèn)重定向?yàn)閷?duì)身份認(rèn)證系統(tǒng)的訪 問(wèn)����,所述身份認(rèn)證系統(tǒng)為所述多個(gè)信息交互系統(tǒng)所共用�;
[0012] S5、所述身份認(rèn)證系統(tǒng)向互信認(rèn)證系統(tǒng)發(fā)送憑據(jù)申請(qǐng)請(qǐng)求�,所述憑據(jù)申請(qǐng)請(qǐng)求包 括所述與所述信息交互請(qǐng)求相關(guān)的參數(shù);
[0013] S6���、所述互信認(rèn)證系統(tǒng)根據(jù)所述憑據(jù)申請(qǐng)請(qǐng)求而生成唯一的憑據(jù)���,將該唯一的憑 據(jù)進(jìn)行存儲(chǔ)并發(fā)送給所述身份認(rèn)證系統(tǒng);
[0014] S7��、所述身份認(rèn)證系統(tǒng)將其接收到的該憑據(jù)發(fā)送給所述認(rèn)證對(duì)象����;
[0015] S8���、將所述認(rèn)證對(duì)象當(dāng)前對(duì)所述身份認(rèn)證系統(tǒng)的訪問(wèn)重定向?yàn)閷?duì)所述信息交互系 統(tǒng)的訪問(wèn),并執(zhí)行上述步驟S3�����,
[0016] 其中步驟S6具體包括以下步驟:S61�、根據(jù)所述憑據(jù)申請(qǐng)請(qǐng)求中的所述與所述信 息交互請(qǐng)求相關(guān)的參數(shù)而生成第一主題;S62����、將所述第一主題轉(zhuǎn)換為字符串后經(jīng)過(guò)處理生 成所述唯一的憑據(jù);S63�����、將所述第一主題和所述唯一的憑據(jù)進(jìn)行對(duì)應(yīng)存儲(chǔ)�����;S64����、將所述唯 一的憑據(jù)發(fā)送給所述身份認(rèn)證系統(tǒng),
[0017] 并且,步驟S3中的所述驗(yàn)證結(jié)果由所述互信認(rèn)證系統(tǒng)通過(guò)執(zhí)行以下步驟而發(fā)送: S31���、從所述信息交互系統(tǒng)接收所述驗(yàn)證請(qǐng)求�;S32��、根據(jù)所述驗(yàn)證請(qǐng)求中的所述與所述信息 交互請(qǐng)求相關(guān)的參數(shù)而生成第二主題�����;S33�、根據(jù)所述驗(yàn)證請(qǐng)求中的所述憑據(jù),搜索是否已 存儲(chǔ)有該憑據(jù)以及與其對(duì)應(yīng)存儲(chǔ)的所述第一主題���,如果不存在則向所述信息交互系統(tǒng)發(fā)送 表示所述憑據(jù)為無(wú)效的驗(yàn)證結(jié)果,如果存在則執(zhí)行步驟S34 ;S34��、判斷所述第二主題是否 與所述第一主題一致�����,如果不一致則向所述信息交互系統(tǒng)發(fā)送表示所述憑據(jù)為無(wú)效的驗(yàn)證 結(jié)果�,如果一致則向所述信息交互系統(tǒng)發(fā)送表示所述憑據(jù)為有效的驗(yàn)證結(jié)果。
[0018] 本發(fā)明同時(shí)提出了一種用在上述互信認(rèn)證方法中的互信認(rèn)證系統(tǒng)���,該互信認(rèn)證系 統(tǒng)包括:
[0019] 通信模塊����,其配置為分別與所述身份認(rèn)證系統(tǒng)和所述信息交互系統(tǒng)進(jìn)行通信以接 收所述憑據(jù)申請(qǐng)請(qǐng)求和所述驗(yàn)證請(qǐng)求并發(fā)送所述憑據(jù)和所述驗(yàn)證結(jié)果;
[0020] 主題生成模塊���,其連接到所述通信模塊�,并配置為根據(jù)所述憑據(jù)申請(qǐng)請(qǐng)求中的所 述與所述信息交互請(qǐng)求相關(guān)的參數(shù)而生成所述第一主題�����,以及根據(jù)所述驗(yàn)證請(qǐng)求中的所述 與所述信息交互請(qǐng)求相關(guān)的參數(shù)而生成所述第二主題�;
[0021] 憑據(jù)生成模塊,其連接到所述主題生成模塊和通信模塊�,并配置為將所述主題生 成模塊生成的第一主題轉(zhuǎn)換為字符串并進(jìn)行處理生成所述唯一的憑據(jù)并發(fā)送給所述通信 模塊;
[0022] 存儲(chǔ)模塊�����,其連接到所述主題生成模塊和所述憑據(jù)生成模塊�,并配置為將所述第 一主題和所述唯一的憑據(jù)進(jìn)行對(duì)應(yīng)存儲(chǔ);
[0023] 憑據(jù)驗(yàn)證模塊��,其連接到所述存儲(chǔ)模塊和通信模塊�,并配置為根據(jù)所述驗(yàn)證請(qǐng)求 中的所述憑據(jù)��,搜索所述存儲(chǔ)模塊中是否已存儲(chǔ)有該憑據(jù)以及與其對(duì)應(yīng)存儲(chǔ)的所述第一主 題�����,以及如果存在所述第一主題則判斷所述第二主題是否與所述第一主題一致���,并發(fā)送相 應(yīng)的驗(yàn)證結(jié)果到所述通信模塊。
[0024] 本發(fā)明的互信認(rèn)證系統(tǒng)和互信認(rèn)證方法�,可應(yīng)用于網(wǎng)上銀行系統(tǒng),但不局限于銀 行內(nèi)部��,可廣泛應(yīng)用于多個(gè)信息交互系統(tǒng)之間傳遞認(rèn)證關(guān)系���。
[0025] 相對(duì)于廣泛使用的Kerberos協(xié)議,本發(fā)明的互信認(rèn)證系統(tǒng)和互信認(rèn)證方法有以 下優(yōu)點(diǎn):
[0026] 1����、不要求客戶端了解協(xié)議�,不需要進(jìn)行單向函數(shù)和加解密運(yùn)算���,適用于web瀏覽 器���;
[0027] 2��、對(duì)身份認(rèn)證系統(tǒng)和信息交互系統(tǒng)影響小��,對(duì)身份認(rèn)證方式無(wú)限制,不需要復(fù)雜 的協(xié)議,可以以各種數(shù)據(jù)發(fā)起憑據(jù)的請(qǐng)求和驗(yàn)證�����,請(qǐng)求憑據(jù)的對(duì)象幾乎沒(méi)有限制��;
[0028] 3���、不會(huì)因?yàn)閰⑴c通信的系統(tǒng)之間時(shí)間不同步而導(dǎo)致認(rèn)證失敗�,因?yàn)闀r(shí)間判斷只在 互信認(rèn)證系統(tǒng)內(nèi)進(jìn)行;
[0029] 4�����、靈活度高���,擴(kuò)展性強(qiáng),可以對(duì)每個(gè)憑據(jù)的參與者、使用時(shí)間�、使用地址、使用次數(shù) 等方面單獨(dú)進(jìn)行各種復(fù)雜限制�,并可以根據(jù)應(yīng)用需要進(jìn)行擴(kuò)展。
【專利附圖】
【附圖說(shuō)明】
[0030] 圖1為本發(fā)明的互信認(rèn)證過(guò)程的示意圖���;
[0031] 圖2為本發(fā)明的互信認(rèn)證方法的流程圖��;
[0032] 圖3為圖2所示的本發(fā)明的互信認(rèn)證方法的一個(gè)實(shí)施例中步驟S34及其后步驟的 流程圖��;
[0033] 圖4為圖2所示的本發(fā)明的互信認(rèn)證方法的另一個(gè)實(shí)施例中的步驟S34及其后步 驟的流程圖�;
[0034] 圖5為本發(fā)明的互信認(rèn)證系統(tǒng)的示意性結(jié)構(gòu)框圖�����。
【具體實(shí)施方式】
[0035] 下面結(jié)合附圖對(duì)本發(fā)明的用于多個(gè)信息交互系統(tǒng)的互信認(rèn)證方法和互信認(rèn)證系 統(tǒng)進(jìn)行詳細(xì)說(shuō)明���。
[0036] 圖1為本發(fā)明的互信認(rèn)證過(guò)程的示意圖,圖2為本發(fā)明的互信認(rèn)證方法的流程圖����。
[0037] 首先在步驟S1中�,認(rèn)證對(duì)象(如用戶���、系統(tǒng)���、程序等)通過(guò)互聯(lián)網(wǎng)向信息交互系統(tǒng) 發(fā)送信息交互請(qǐng)求,這里�,該信息交互系統(tǒng)的一個(gè)例子為下載服務(wù)系統(tǒng),該信息交互請(qǐng)求為 要求提供下載文件的請(qǐng)求�����。
[0038] 隨后在S2中,接收到信息交互請(qǐng)求的信息交互系統(tǒng)檢測(cè)該信息交互請(qǐng)求中是否 包括憑據(jù)�,如果檢測(cè)結(jié)果為包括憑據(jù)則進(jìn)行步驟S3的憑據(jù)驗(yàn)證過(guò)程���,如果檢測(cè)結(jié)果為不包 括憑據(jù)則進(jìn)行步驟S4-S7的憑據(jù)申請(qǐng)過(guò)程。
[0039] 在步驟S3所示的憑據(jù)驗(yàn)證過(guò)程中�,信息交互系統(tǒng)將驗(yàn)證請(qǐng)求發(fā)送到互信認(rèn)證系 統(tǒng)���,該驗(yàn)證請(qǐng)求中包括憑據(jù)和與上述信息交互請(qǐng)求相關(guān)的參數(shù),例如用戶標(biāo)識(shí)信息����、下載服 務(wù)器標(biāo)識(shí)信息和下載文件名中的一項(xiàng)或多項(xiàng)信息?���;バ耪J(rèn)證系統(tǒng)響應(yīng)于驗(yàn)證請(qǐng)求而向該信 息交互系統(tǒng)發(fā)送針對(duì)該憑據(jù)的驗(yàn)證結(jié)果����,從而該信息交互系統(tǒng)根據(jù)驗(yàn)證結(jié)果為憑據(jù)有效或 憑據(jù)無(wú)效來(lái)執(zhí)行針對(duì)信息交互請(qǐng)求的相應(yīng)操作��,例如當(dāng)憑據(jù)有效時(shí)則提供下載服務(wù)�,當(dāng)憑 據(jù)無(wú)效時(shí)拒絕提供下載服務(wù)。
[0040] 在步驟S4-S7所示的憑據(jù)申請(qǐng)過(guò)程中����,首先在步驟S4中將認(rèn)證對(duì)象對(duì)信息交互系 統(tǒng)的訪問(wèn)重定向?yàn)閷?duì)身份認(rèn)證系統(tǒng)的訪問(wèn)����,該身份認(rèn)證系統(tǒng)為多個(gè)信息交互系統(tǒng)所共用。 隨后����,在步驟S5中,身份認(rèn)證系統(tǒng)向互信認(rèn)證系統(tǒng)發(fā)送憑據(jù)申請(qǐng)請(qǐng)求����,該憑據(jù)申請(qǐng)請(qǐng)求中 包括了與所述信息交互請(qǐng)求相關(guān)的參數(shù),例如下載服務(wù)器標(biāo)識(shí)信息等�����。在步驟S6中,互信 認(rèn)證系統(tǒng)根據(jù)憑據(jù)申請(qǐng)請(qǐng)求而生成唯一的憑據(jù)�,將該唯一的憑據(jù)進(jìn)行存儲(chǔ)并發(fā)送給身份認(rèn) 證系統(tǒng),身份認(rèn)證系統(tǒng)在步驟S7中將接收到的該憑據(jù)發(fā)送給認(rèn)證對(duì)象��,最后在步驟S8中將 認(rèn)證對(duì)象當(dāng)前對(duì)身份認(rèn)證系統(tǒng)的訪問(wèn)重定向?yàn)閷?duì)信息交互系統(tǒng)的訪問(wèn)�,并執(zhí)行上述步驟S3 中描述的憑據(jù)驗(yàn)證過(guò)程。
[0041] 其中��,步驟S6具體包括以下步驟S61-S64 :
[0042] S61��、根據(jù)憑據(jù)申請(qǐng)請(qǐng)求中的與信息交互請(qǐng)求相關(guān)的參數(shù)生成第一主題�����;
[0043] 主題是由多個(gè)因素組成的���,主題和因素可以按需擴(kuò)展���。因素可以選自以下的項(xiàng):屬 性(例如通用或普通)、時(shí)間�、地點(diǎn)、人物�����、事件主題、IP地址�,URI因素等。
[0044] 在本發(fā)明的一個(gè)實(shí)施例中�,因素可以選自以下的項(xiàng):認(rèn)證對(duì)象的標(biāo)識(shí)信息、憑據(jù)的 使用范圍����、憑據(jù)的使用期限和憑據(jù)的使用次數(shù)。
[0045] S62���、將第一主題轉(zhuǎn)換為字符串后經(jīng)過(guò)處理生成唯一的憑據(jù)�����;
[0046] 在該步驟中,將第一主題轉(zhuǎn)換為字符串后����,對(duì)該字符串采用不同的替代算法進(jìn)行 進(jìn)一步的轉(zhuǎn)換處理后獲得互信認(rèn)證中通用的憑據(jù)。
[0047] 在本發(fā)明一個(gè)實(shí)施例中����,步驟S62具體為:將第一主題轉(zhuǎn)換為字符串��,并在所述字 符串中加入隨機(jī)數(shù)和流水號(hào)后采用HMAC-SHAI算法或AES算法生成唯一的憑據(jù)���。
[0048] 作為示例,步驟S62中的將第一主題轉(zhuǎn)換為字符串是通過(guò)以下其中一種算法實(shí)現(xiàn) 的:XStream的xml格式化��、XStream的json格式化����、BeansXmal格式化和java標(biāo)準(zhǔn)序列 化。前三種方法具有可閱讀性�����,可以用其他算法進(jìn)行替代���,這里�����,如果請(qǐng)求數(shù)據(jù)只是簡(jiǎn)單的 字符串���,此算法可以省略。
[0049] S63�、將第一主題和唯一的憑據(jù)進(jìn)行對(duì)應(yīng)存儲(chǔ)����;
[0050] S64��、將唯一的憑據(jù)發(fā)送給身份認(rèn)證系統(tǒng)�。
[0051] 通過(guò)執(zhí)行步驟S61-64,使得所生成的憑據(jù)與信息交互請(qǐng)求相關(guān)聯(lián),并通過(guò)隨機(jī)數(shù) 和流水號(hào)確保憑據(jù)的唯一和不可偽造性��。
[0052] 此外��,步驟S3中的驗(yàn)證結(jié)果由互信認(rèn)證系統(tǒng)通過(guò)執(zhí)行以下步驟S31-S34后發(fā)送:
[0053] S31����、從信息交互系統(tǒng)接收驗(yàn)證請(qǐng)求;
[0054] S32�����、根據(jù)驗(yàn)證請(qǐng)求中的與信息交互請(qǐng)求相關(guān)的參數(shù)而生成第二主題��;
[0055] 這里�,驗(yàn)證請(qǐng)求中包括憑據(jù)和與上述信息交互請(qǐng)求相關(guān)的參數(shù)�����,例如用戶標(biāo)識(shí)信 息、下載服務(wù)器標(biāo)識(shí)信息和下載文件名中的一項(xiàng)或多項(xiàng)信息���。
[0056] S33����、根據(jù)驗(yàn)證請(qǐng)求中的憑據(jù)����,搜索是否已存儲(chǔ)有該憑據(jù)以及與其對(duì)應(yīng)存儲(chǔ)的第一 主題,如果不存在則向信息交互系統(tǒng)發(fā)送表示憑據(jù)為無(wú)效的驗(yàn)證結(jié)果���,如果存在則執(zhí)行步 驟 S34 ;
[0057] S34�����、判斷第二主題是否與第一主題一致����,如果不一致則向信息交互系統(tǒng)發(fā)送表示 憑據(jù)為無(wú)效的驗(yàn)證結(jié)果���,如果一致則向信息交互系統(tǒng)發(fā)送表示憑據(jù)為有效的驗(yàn)證結(jié)果�。
[0058] 通過(guò)執(zhí)行步驟S31-S34,使得不要求客戶端了解協(xié)議,也不需要進(jìn)行單向函數(shù)和 加解密運(yùn)算就可以實(shí)現(xiàn)互信認(rèn)證過(guò)程��,在確保了驗(yàn)證安全性的同時(shí)使得驗(yàn)證過(guò)程更靈活便 利���。
[0059] 本發(fā)明的互信認(rèn)證方法對(duì)身份認(rèn)證系統(tǒng)和信息交互系統(tǒng)不需要復(fù)雜的協(xié)議���,可以 以各種數(shù)據(jù)發(fā)起憑據(jù)的請(qǐng)求和驗(yàn)證,請(qǐng)求憑據(jù)的對(duì)象幾乎沒(méi)有限制�����。
[0060] 在本發(fā)明的一個(gè)實(shí)施例中����,步驟S34后還包括:如果判定第二主題與第一主題不 一致,則互信認(rèn)證系統(tǒng)刪除存儲(chǔ)的憑據(jù)及對(duì)應(yīng)存儲(chǔ)的第一主題����。通過(guò)本實(shí)施例,能夠在主題 對(duì)比不一致時(shí)及時(shí)刪除已存儲(chǔ)的憑據(jù)及其相關(guān)數(shù)據(jù)����,進(jìn)一步確保了驗(yàn)證過(guò)程的安全性。
[0061] 在本發(fā)明的另一個(gè)實(shí)施例中����,憑據(jù)申請(qǐng)請(qǐng)求中還包括有效期信息,且在步驟S63 中將第一主題和唯一的憑據(jù)及該有效期信息一起對(duì)應(yīng)存儲(chǔ)�,則如圖3所示,步驟S34后還包 括以下步驟S341-S343 :
[0062] S341�����、如果判定第二主題與第一主題一致���,則根據(jù)存儲(chǔ)的有效期信息來(lái)判斷驗(yàn)證 請(qǐng)求中的憑據(jù)是否超時(shí)���;
[0063] S342、如果判定為超時(shí)����,則向信息交互系統(tǒng)發(fā)送表示憑據(jù)為無(wú)效的驗(yàn)證結(jié)果;
[0064] S343����、如果判定為未超時(shí),則向信息交互系統(tǒng)發(fā)送表示憑據(jù)為有效的驗(yàn)證結(jié)果�����。
[0065] 在本實(shí)施例中,對(duì)有效期信息的描述可以包括通過(guò)時(shí)間單位�、時(shí)刻、時(shí)段��、周期時(shí) 亥IJ�����、周期時(shí)間段以及布爾邏輯組合形成的復(fù)雜時(shí)間限制的描述���,用于在需要對(duì)憑據(jù)申請(qǐng)請(qǐng) 求做復(fù)雜限定的情況中���。
[0066] 通過(guò)本實(shí)施例的方案實(shí)現(xiàn)了對(duì)憑據(jù)有效期的驗(yàn)證。并且在本實(shí)施例中��,不會(huì)因?yàn)?參與通信的系統(tǒng)之間時(shí)間不同步而導(dǎo)致認(rèn)證失敗����,因?yàn)闀r(shí)間判斷只在互信認(rèn)證系統(tǒng)內(nèi)進(jìn) 行,而不需要對(duì)不同系統(tǒng)時(shí)間的時(shí)間進(jìn)行同步�。
[0067] 在本發(fā)明的又一個(gè)實(shí)施例中,憑據(jù)申請(qǐng)請(qǐng)求中還包括面值信息����,且在步驟S63中 將第一主題和唯一的憑據(jù)及該面值信息進(jìn)行對(duì)應(yīng)存儲(chǔ)�����,則如圖4所示����,步驟S34后還包括以 下步驟 S344-S347 :
[0068] S344���、如果判定第二主題與第一主題一致,則將面值信息與預(yù)定值進(jìn)行比較���,這里 的預(yù)定值可以例如為〇�����、1或其他正整數(shù)�����;
[0069] S345����、如果比較結(jié)果為面值信息大于預(yù)定值��,則在對(duì)面值信息進(jìn)行扣減處理后,向 信息交互系統(tǒng)發(fā)送表示憑據(jù)為有效的驗(yàn)證結(jié)果��;
[0070] S346���、如果比較結(jié)果為面值信息等于預(yù)定值�,則在刪除憑據(jù)及與其對(duì)應(yīng)存儲(chǔ)的第 一主題和面值信息后��,向信息交互系統(tǒng)發(fā)送表示憑據(jù)為有效的驗(yàn)證結(jié)果��;
[0071] S347�����、如果比較結(jié)果為面值信息小于預(yù)定值�����,則在刪除憑據(jù)及與其對(duì)應(yīng)存儲(chǔ)的第 一主題和面值信息后��,向信息交互系統(tǒng)發(fā)送表示憑據(jù)為無(wú)效的驗(yàn)證結(jié)果����。
[0072] 通過(guò)本實(shí)施例的方案,實(shí)現(xiàn)了對(duì)憑據(jù)使用次數(shù)的驗(yàn)證���,從而一個(gè)憑據(jù)在經(jīng)過(guò)一定 次數(shù)的使用后自然失效�����,并且自動(dòng)清除其在互信認(rèn)證系統(tǒng)中的存儲(chǔ)記錄����,減輕數(shù)據(jù)庫(kù)的管 理負(fù)擔(dān)�����。
[0073] 此外�,作為一個(gè)實(shí)施例,也可以對(duì)存儲(chǔ)在互信認(rèn)證系統(tǒng)中的已經(jīng)過(guò)期但沒(méi)有經(jīng)歷 步驟S3的驗(yàn)證的憑據(jù)進(jìn)行定期或不定期清理�����,從而減輕數(shù)據(jù)庫(kù)的管理負(fù)擔(dān)��。
[0074] 圖5為本發(fā)明的用在上述互信認(rèn)證方法中的互信認(rèn)證系統(tǒng)的示意性結(jié)構(gòu)框圖�����。
[0075] 如圖5所示�,本發(fā)明的互信認(rèn)證系統(tǒng)包括通信模塊1��、主題生成模塊2��、憑據(jù)生成模 塊3��、存儲(chǔ)模塊4以及憑據(jù)驗(yàn)證模塊5�。
[0076] 其中����,通信模塊1用于分別與身份認(rèn)證系統(tǒng)和信息交互系統(tǒng)進(jìn)行通信以分別接收 上述的憑據(jù)申請(qǐng)請(qǐng)求和驗(yàn)證請(qǐng)求,以及用于分別發(fā)送憑據(jù)和驗(yàn)證結(jié)果至身份認(rèn)證系統(tǒng)和信 息交互系統(tǒng)����。
[0077] 主題生成模塊2連接到通信模塊1,用于根據(jù)憑據(jù)申請(qǐng)請(qǐng)求中的與信息交互請(qǐng)求 相關(guān)的參數(shù)而生成第一主題���,以及用于根據(jù)驗(yàn)證請(qǐng)求中的與信息交互請(qǐng)求相關(guān)的參數(shù)而生 成第二主題��。
[0078] 憑據(jù)生成模塊3連接到主題生成模塊2和通信模塊1�,用于將主題生成模塊2生成 的第一主題轉(zhuǎn)換為字符串并進(jìn)行處理生成唯一的憑據(jù)�����,并交由通信模塊1進(jìn)行發(fā)送。
[0079] 存儲(chǔ)模塊4連接到主題生成模塊2和憑據(jù)生成模塊3,用于將第一主題和上述唯一 的憑據(jù)進(jìn)行對(duì)應(yīng)存儲(chǔ)�����,以及在上述對(duì)應(yīng)的實(shí)施例中��,還將有效期信息和/或面值信息也與 憑據(jù)和第一主題一起對(duì)應(yīng)存儲(chǔ)����。
[0080] 憑據(jù)驗(yàn)證模塊5連接到存儲(chǔ)模塊4和通信模塊1,用于根據(jù)驗(yàn)證請(qǐng)求中的憑據(jù)來(lái)搜 索存儲(chǔ)模塊4中是否已存儲(chǔ)有該憑據(jù)以及與其對(duì)應(yīng)存儲(chǔ)的第一主題��,以及如果存在第一主 題則判斷所述第二主題是否與所述第一主題一致�,并根據(jù)判斷結(jié)果而將相應(yīng)的驗(yàn)證結(jié)果交 由通信模塊1進(jìn)行發(fā)送。
[0081] 通過(guò)本發(fā)明的互信認(rèn)證系統(tǒng)�,能夠使得互信認(rèn)證過(guò)程不要求客戶端了解協(xié)議���,也 不需要進(jìn)行單向函數(shù)和加解密運(yùn)算就可以實(shí)現(xiàn)�����,在確保了驗(yàn)證安全性的同時(shí)使得驗(yàn)證過(guò)程 更靈活便利���。
[0082] 在本發(fā)明的一個(gè)實(shí)施例中,如圖5所示的互信支持系統(tǒng)中的憑據(jù)驗(yàn)證模塊5還包 括時(shí)間處理模塊���,該時(shí)間處理模塊用于檢查驗(yàn)證請(qǐng)求中的憑據(jù)是否超時(shí)����,并根據(jù)該是否超 時(shí)的檢查而給出相應(yīng)的驗(yàn)證結(jié)果,從而實(shí)現(xiàn)了對(duì)憑據(jù)的時(shí)效檢驗(yàn)�����。
[0083] 例如�,對(duì)憑據(jù)時(shí)效的約束可以定義為:2012年各單數(shù)月每工作日(周一到周五) 的北京時(shí)間8:30至17:30 (中午12:00至1:00除外),并且按照元旦�����、春節(jié)等假日調(diào)整工作 日���,每月1日和每小時(shí)的最后5分鐘除外����。
[0084] 以上對(duì)本發(fā)明的多個(gè)實(shí)施例進(jìn)行了說(shuō)明����,但本發(fā)明不局限于上述特定實(shí)施例子, 在不背離本發(fā)明精神及其實(shí)質(zhì)情況下,熟悉本領(lǐng)域技術(shù)人員可根據(jù)本發(fā)明作出各種相應(yīng)改 變和變形����,但這些相應(yīng)改變和變形都應(yīng)屬于本發(fā)明所附權(quán)利要求保護(hù)范圍之內(nèi)。
【權(quán)利要求】
1. 一種用于多個(gè)信息交互系統(tǒng)的互信認(rèn)證方法��,包括: 51�、 所述多個(gè)信息交互系統(tǒng)的其中一個(gè)信息交互系統(tǒng)通過(guò)互聯(lián)網(wǎng)接收來(lái)自認(rèn)證對(duì)象的 信息交互請(qǐng)求; 52�����、 檢測(cè)該信息交互請(qǐng)求中是否包括憑據(jù)�,如果檢測(cè)結(jié)果為包括所述憑據(jù)則進(jìn)行步驟 S3,如果檢測(cè)結(jié)果為不包括所述憑據(jù)則進(jìn)行下列步驟S4-S7 ; 53、 所述信息交互系統(tǒng)將驗(yàn)證請(qǐng)求發(fā)送到互信認(rèn)證系統(tǒng)�,并在從所述互信認(rèn)證系統(tǒng)接 收到響應(yīng)于所述驗(yàn)證請(qǐng)求的驗(yàn)證結(jié)果后,根據(jù)所述驗(yàn)證結(jié)果為所述憑據(jù)為有效或無(wú)效來(lái)執(zhí) 行針對(duì)所述信息交互請(qǐng)求的相應(yīng)操作���,其中,所述驗(yàn)證請(qǐng)求包括所述憑據(jù)和與所述信息交 互請(qǐng)求相關(guān)的參數(shù)�; 54、 將所述認(rèn)證對(duì)象對(duì)所述信息交互系統(tǒng)的訪問(wèn)重定向?yàn)閷?duì)身份認(rèn)證系統(tǒng)的訪問(wèn)���,所 述身份認(rèn)證系統(tǒng)為所述多個(gè)信息交互系統(tǒng)所共用�����; 55���、 所述身份認(rèn)證系統(tǒng)向互信認(rèn)證系統(tǒng)發(fā)送憑據(jù)申請(qǐng)請(qǐng)求����,所述憑據(jù)申請(qǐng)請(qǐng)求包括所 述與所述信息交互請(qǐng)求相關(guān)的參數(shù)�; 56、 所述互信認(rèn)證系統(tǒng)根據(jù)所述憑據(jù)申請(qǐng)請(qǐng)求而生成唯一的憑據(jù)�,將該唯一的憑據(jù)進(jìn) 行存儲(chǔ)并發(fā)送給所述身份認(rèn)證系統(tǒng); 57����、 所述身份認(rèn)證系統(tǒng)將其接收到的該憑據(jù)發(fā)送給所述認(rèn)證對(duì)象; 58����、 將所述認(rèn)證對(duì)象當(dāng)前對(duì)所述身份認(rèn)證系統(tǒng)的訪問(wèn)重定向?yàn)閷?duì)所述信息交互系統(tǒng)的 訪問(wèn),并執(zhí)行上述步驟S3���, 其特征在于��,步驟S6具體包括以下步驟: 561�、 根據(jù)所述憑據(jù)申請(qǐng)請(qǐng)求中的所述與所述信息交互請(qǐng)求相關(guān)的參數(shù)而生成第一主 題; 562�����、 將所述第一主題轉(zhuǎn)換為字符串后經(jīng)過(guò)處理生成所述唯一的憑據(jù)����; 563、 將所述第一主題和所述唯一的憑據(jù)進(jìn)行對(duì)應(yīng)存儲(chǔ)��; 564���、 將所述唯一的憑據(jù)發(fā)送給所述身份認(rèn)證系統(tǒng)�����, 并且��,步驟S3中的所述驗(yàn)證結(jié)果由所述互信認(rèn)證系統(tǒng)通過(guò)執(zhí)行以下步驟而發(fā)送: 531�、 從所述信息交互系統(tǒng)接收所述驗(yàn)證請(qǐng)求���; 532、 根據(jù)所述驗(yàn)證請(qǐng)求中的所述與所述信息交互請(qǐng)求相關(guān)的參數(shù)而生成第二主題���; 533����、 根據(jù)所述驗(yàn)證請(qǐng)求中的所述憑據(jù),搜索是否已存儲(chǔ)有該憑據(jù)以及與其對(duì)應(yīng)存儲(chǔ)的 所述第一主題���,如果不存在則向所述信息交互系統(tǒng)發(fā)送表示所述憑據(jù)為無(wú)效的驗(yàn)證結(jié)果�����, 如果存在則執(zhí)行步驟S34 ; 534�、 判斷所述第二主題是否與所述第一主題一致�����,如果不一致則向所述信息交互系統(tǒng) 發(fā)送表示所述憑據(jù)為無(wú)效的驗(yàn)證結(jié)果�,如果一致則向所述信息交互系統(tǒng)發(fā)送表示所述憑據(jù) 為有效的驗(yàn)證結(jié)果。
2. 如權(quán)利要求1所述的用于多個(gè)信息交互系統(tǒng)的互信認(rèn)證方法���,其特征在于�,所述主 題包括多個(gè)因素��,所述因素選自以下的項(xiàng):所述認(rèn)證對(duì)象的標(biāo)識(shí)信息��、所述憑據(jù)的使用范 圍、所述憑據(jù)的使用期限和所述憑據(jù)的使用次數(shù)�����。
3. 如權(quán)利要求1所述的用于多個(gè)信息交互系統(tǒng)的互信認(rèn)證方法��,其特征在于���,步驟S34 后還包括: 如果判定所述第二主題與所述第一主題不一致����,則所述互信認(rèn)證系統(tǒng)刪除存儲(chǔ)的所述 憑據(jù)及對(duì)應(yīng)存儲(chǔ)的所述第一主題�����。
4. 如權(quán)利要求1所述的用于多個(gè)信息交互系統(tǒng)的互信認(rèn)證方法�,其特征在于,憑據(jù)申 請(qǐng)請(qǐng)求中還包括有效期信息�,所述步驟S63具體為將所述第一主題和所述唯一的憑據(jù)及所 述有效期信息進(jìn)行對(duì)應(yīng)存儲(chǔ), 則步驟S34后包括: 5341�、 如果判定所述第二主題與所述第一主題一致,則根據(jù)存儲(chǔ)的所述有效期信息來(lái) 判斷所述驗(yàn)證請(qǐng)求中的所述憑據(jù)是否超時(shí)��; 5342��、 如果判定為超時(shí),則向所述信息交互系統(tǒng)發(fā)送所述表示所述憑據(jù)為無(wú)效的驗(yàn)證 結(jié)果��; 5343���、 如果判定為未超時(shí),則向所述信息交互系統(tǒng)發(fā)送所述表示所述憑據(jù)為有效的驗(yàn) 證結(jié)果���。
5. 如權(quán)利要求1所述的用于多個(gè)信息交互系統(tǒng)的互信認(rèn)證方法���,其特征在于,憑據(jù)申 請(qǐng)請(qǐng)求中還包括面值信息�,所述步驟S63具體為將所述第一主題和所述唯一的憑據(jù)及所述 面值信息進(jìn)行對(duì)應(yīng)存儲(chǔ), 則步驟S34后包括: 5344��、 如果判定所述第二主題與所述第一主題一致���,則將所述面值信息與預(yù)定值進(jìn)行 比較���; 5345、 如果比較結(jié)果為所述面值信息大于所述預(yù)定值���,則在對(duì)所述面值信息進(jìn)行扣減 處理后�����,向所述信息交互系統(tǒng)發(fā)送所述表示所述憑據(jù)為有效的驗(yàn)證結(jié)果����; 5346、 如果比較結(jié)果為所述面值信息等于所述預(yù)定值�����,則在刪除所述憑據(jù)及與其對(duì)應(yīng) 存儲(chǔ)的所述第一主題和面值信息后�,向所述信息交互系統(tǒng)發(fā)送所述表示所述憑據(jù)為有效的 驗(yàn)證結(jié)果; 5347���、 如果比較結(jié)果為所述面值信息小于所述預(yù)定值��,則在刪除所述憑據(jù)及與其對(duì)應(yīng) 存儲(chǔ)的所述第一主題和面值信息后����,向所述信息交互系統(tǒng)發(fā)送所述表示所述憑據(jù)為無(wú)效的 驗(yàn)證結(jié)果���。
6. 如權(quán)利要求1所述的用于多個(gè)信息交互系統(tǒng)的互信認(rèn)證方法��,其特征在于���,該互信 認(rèn)證方法還包括: 對(duì)存儲(chǔ)在所述互信認(rèn)證系統(tǒng)中的已經(jīng)過(guò)期且沒(méi)有經(jīng)歷步驟S3的驗(yàn)證的憑據(jù)進(jìn)行定期 或不定期清理��。
7. 如權(quán)利要求1所述的用于多個(gè)信息交互系統(tǒng)的互信認(rèn)證方法���,其特征在于�����,步驟S62 具體為:將所述第一主題轉(zhuǎn)換為字符串��,并在所述字符串中加入隨機(jī)數(shù)和流水號(hào)后采用 HMAC-SHAI算法或AES算法生成所述唯一的憑據(jù)�����。
8. 如權(quán)利要求1所述的用于多個(gè)信息交互系統(tǒng)的互信認(rèn)證方法����,其特征在于,步驟S62 中的將所述第一主題轉(zhuǎn)換為字符串是通過(guò)以下任一種算法實(shí)現(xiàn)的:XStr eam的xml格式化��、 XStream的json格式化����、BeansXmal格式化和java標(biāo)準(zhǔn)序列化��。
9. 一種用在如權(quán)利要求1至8中任一項(xiàng)所述的互信認(rèn)證方法中的互信認(rèn)證系統(tǒng)�����,其包 括: 通信模塊(1)�,其配置為分別與所述身份認(rèn)證系統(tǒng)和所述信息交互系統(tǒng)進(jìn)行通信以接 收所述憑據(jù)申請(qǐng)請(qǐng)求和所述驗(yàn)證請(qǐng)求并發(fā)送所述憑據(jù)和所述驗(yàn)證結(jié)果�; 主題生成模塊(2),其連接到所述通信模塊(1)�,并配置為根據(jù)所述憑據(jù)申請(qǐng)請(qǐng)求中的 所述與所述信息交互請(qǐng)求相關(guān)的參數(shù)而生成所述第一主題,以及根據(jù)所述驗(yàn)證請(qǐng)求中的所 述與所述信息交互請(qǐng)求相關(guān)的參數(shù)而生成所述第二主題����; 憑據(jù)生成模塊(3),其連接到所述主題生成模塊(2)和通信模塊(1)����,并配置為將所述 主題生成模塊(2)生成的第一主題轉(zhuǎn)換為字符串并進(jìn)行處理生成所述唯一的憑據(jù)并發(fā)送 給所述通信模塊(1); 存儲(chǔ)模塊(4),其連接到所述主題生成模塊(2)和所述憑據(jù)生成模塊(3)��,并配置為將 所述第一主題和所述唯一的憑據(jù)進(jìn)行對(duì)應(yīng)存儲(chǔ)�; 憑據(jù)驗(yàn)證模塊(5),其連接到所述存儲(chǔ)模塊(4)和通信模塊(1)�����,并配置為根據(jù)所述 驗(yàn)證請(qǐng)求中的所述憑據(jù),搜索所述存儲(chǔ)模塊(4)中是否已存儲(chǔ)有該憑據(jù)以及與其對(duì)應(yīng)存儲(chǔ) 的所述第一主題�,以及如果存在所述第一主題則判斷所述第二主題是否與所述第一主題一 致,并發(fā)送相應(yīng)的驗(yàn)證結(jié)果到所述通信模塊(1)�。
10.如權(quán)利要求9所述的互信支持系統(tǒng),其特征在于�����,所述憑據(jù)驗(yàn)證模塊(5)包括時(shí)間 處理模塊�����,其配置為檢查所述驗(yàn)證請(qǐng)求中的所述憑據(jù)是否超時(shí)����,所述憑據(jù)驗(yàn)證模塊(5)配 置為進(jìn)一步根據(jù)該是否超時(shí)的檢查而發(fā)送相應(yīng)的所述驗(yàn)證結(jié)果�����。
【文檔編號(hào)】H04L29/06GK104125070SQ201410370180
【公開日】2014年10月29日 申請(qǐng)日期:2014年7月30日 優(yōu)先權(quán)日:2014年7月30日
【發(fā)明者】曹克, 孫永, 刁風(fēng)圣, 許笠晨, 肖遙 申請(qǐng)人:中國(guó)銀行股份有限公司