CN100499453C - 一种客户端认证的方法 - Google Patents
一种客户端认证的方法 Download PDFInfo
- Publication number
- CN100499453C CN100499453C CNB2004100703130A CN200410070313A CN100499453C CN 100499453 C CN100499453 C CN 100499453C CN B2004100703130 A CNB2004100703130 A CN B2004100703130A CN 200410070313 A CN200410070313 A CN 200410070313A CN 100499453 C CN100499453 C CN 100499453C
- Authority
- CN
- China
- Prior art keywords
- client
- random number
- application server
- certificate
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
一种客户端认证的方法,设置对客户端进行认证的客户端认证中心,并将所设置的客户端认证中心与应用服务器连接,该方法还包括以下步骤:A.客户端对应用服务器发起携带客户端软件版本信息的接入请求,应用服务器再向客户端认证中心发起对该客户端进行认证的请求;B.客户端认证中心对客户端的信息进行认证;C.判断客户端是否通过步骤B中的认证,如果通过,则应用服务器接受所述客户端的接入请求,否则,拒绝该客户端的接入请求。该方法有效地避免了非法用户通过客户端与服务器建立连接而发起的恶意攻击,规范了网络秩序;同时也方便运营商对用户的行为进行规范和管理。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种客户端认证的方法。
背景技术
近年来随着信息技术和网络应用的不断延伸和发展,快速、便捷的互联网和移动网络已经成为政府、企业和个人进行信息传递和交流的平台。无论有线网络还是无线网络,其业务均是按照标准的协议进行的,因此网络中的服务器经常会受到来自于客户端的攻击,导致数据信息大量丢失和损坏,增加网络维护的人力与物力。
目前避免用户通过客户端对服务器攻击的方法为:对客户端的用户身份进行鉴权、对客户端与服务器之间的消息进行加密保护以及对传输的数据进行完整性校验等。现有技术中对用户信息的保护方式有以下两种:
(1)加密与认证。
在有线网络中,客户端与应用服务器(AS)按照如图1所示的简单鉴权流程进行加密与认证。所述的简单鉴权流程包括以下步骤:
步骤101.客户端与AS协商加密算法。
本步骤中,客户端首先与AS交流双方所能够支持的加密算法;然后,客户端与AS协商具体所采用的加密算法。
步骤102.客户端将用户名及该用户名所对应的密码发送给AS。
步骤103.AS收到客户端的用户名和密码后,按照步骤101中协商的加密算法进行鉴权,判断用户名与密码的对应关系是否正确;然后,AS将鉴权应答发送给客户端,指明鉴权结果。
上述流程主要应用于对安全要求较低的场合中,如点对点协议(PPP)的连接建立等。如果客户端与AS已经存在了默认的加密算法,则双方无须执行步骤101,而是直接使用默认的算法进行鉴权。
在诸如全球移动通讯系统(GSM)等移动网络中,客户端与AS按照图2所示的流程进行鉴权。该方法包括以下步骤:
步骤201.客户端向AS发送鉴权请求,并提供运营商预先分配的用户标识。
步骤202~203.AS向数据库发送鉴权参数请求,而后数据库向AS返回鉴权参数应答。
通过上述两个步骤,AS根据步骤201中的用户标识从数据库中获取该客户端的鉴权参数,该鉴权参数包括一个随机数、加密算法序号以及使用加密算法序号所对应的加密算法对所述随机数进行加密后的结果。
步骤204~206.AS将鉴权参数下发给客户端后,客户端将加密计算结果上报给AS,AS再将鉴权结果返回给客户端。
在上述步骤204~206中,首先,AS将鉴权参数中的加密算法序号和随机数发送给客户端,由客户端根据加密算法序号在自身数据库中选择加密算法;然后,客户端利用选择出来的加密算法对来自于AS的随机数进行加密后,将结果发送给AS;最后,AS将客户端发送来的随机数加密结果和从数据库中获取的随机数加密结果进行比较,如果一致,则认为鉴权成功,即使用该客户端的用户合法,则AS和客户端继续使用该加密算法对后续传输的信息进行加密;否则,认为鉴权失败,即使用该客户端的用户非法,并拒绝其接入。
(2)数字证书。
数字证书是用于有线网络中建立客户端身份和电子资产的数据文件,能够保证安全地在线通信,并常常被用于保护在线交易等。
数字证书由认证中心(CA)作为可信赖的第三方来发放。CA对证书持有者的身份进行认证并通过签署证书来证明证书的真实性。当证书由CA进行数字签署后,由于证书中含有持有者的姓名和电子邮件地址、发证CA的名称、序列号以及证书的有效期或失效期等信息,因此数字证书的持有者可以将其作为证明自己身份的电子护照。
数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户设定一个公钥并由本人向一组用户公开,用于加密和验证签名;同时还利用自己设定的仅为本人所知的私钥进行解密和签名。当发送一份保密文件时,发送方使用接收方的公钥对传输的数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。数字证书方式保证加解密是一个不可逆的过程,即只有得到用户的私钥才能对使用该私钥对应的公钥加密的数据进行解密。
数字证书是有线网络中安全级别较高的认证方式,它主要应用于诸如电子商务等信息传递过程中。如图3所示,数字证书方式包括以下步骤:
步骤301.用户A利用自身的私钥对待发送的数据信息进行签名,表明自身身份。
步骤302~304.用户A首先与CA进行会话,请求用户B的公钥;然后,CA将用户B的公钥下发给用户A;而后,用户A使用用户B的公钥对数据进行加密。
步骤305.用户A将加密后的数据,即密文,发送给用户B。
步骤306.用户B接收到用户A发送的密文后,使用自身的私钥对密文进行解密。
在实际的应用中,如果用户A不愿在传输的信息中标明发送方,则可以直接从步骤302开始执行数字证书方式的认证流程。
在客户端与服务器组成的网络中,客户端可以看作是上述的用户A,而服务器则为上述的用户B。
现有技术各认证方法的缺点是:
1.在有线网络的加密与认证方式中,由于服务器只鉴权使用客户端的用户的身份,而用户名及其所对应的密码十分容易被他人伪造,从而能够建立与服务器的连接,因此安全性较低。
2.在移动网络的加密与认证方式中,保证安全性的主要措施是加密算法的保密,而一旦加密算法泄露,则十分容易被他人假冒合法用户与服务器建立连接,进而发起恶意攻击。
3.在数字证书方式中,证书中所包含的各种证明其安全性的信息能够被CA以外的他人通过模拟CA的方式伪造;另外,CA对每种客户端软件只颁发一个数字证书,则他人可以通过复制合法用户的软件而与服务器建立连接,进而发起恶意攻击。
4.对于运营商而言,由于缺乏对客户端软件的有效控制手段,因此在升级、管理、运营等方面存在诸如无法对客户端软件进行统一升级与收费等问题;另外,非法客户端软件会给用户造成业务不成熟的印象,破坏运营商的形象。
发明内容
有鉴于此,本发明的目的在于提供一种客户端认证的方法,防止客户端对服务器的攻击。
为实现上述目的,本发明提供了一种客户端认证的方法,该方法包括以下步骤:
A.客户端对应用服务器发起携带客户端软件版本信息的接入请求,应用服务器再向客户端认证中心发起对该客户端进行认证的请求;
B.客户端认证中心对客户端的信息进行认证;
C.判断客户端是否通过步骤B中的认证,如果通过,则应用服务器接受所述客户端的接入请求,否则,拒绝该客户端的接入请求。
所述客户端接入归属区,则所述的客户端认证中心为归属区客户端认证中心。
所述的步骤B包括以下步骤:
B11.应用服务器向客户端认证中心请求该客户端的加密公钥序号以及含有客户端认证中心用相应私钥签名的随机数,而后,客户端认证中心根据客户端的版本信息参数选择随机数和公钥序号,并使用相应私钥对随机数进行签名后,将随机数与公钥序号一起发送给应用服务器;
B12.应用服务器将随机数和公钥序号下发给客户端,并请求客户端提交认证标识,客户端根据公钥序号选择公钥后,对随机数的数字签名进行验证,如果客户端确认该随机数的发送方为客户端认证中心,则对随机数和供应商的签名证书进行加密运算,并将客户端自身的软件版本号携带于加密后的签名证书中,否则,结束本认证流程;
B13.客户端将由加密证书及加密后的随机数组成的客户端认证标识发送给应用服务器,应用服务器将客户端认证标识提交给客户端认证中心;
B14.客户端认证中心对认证标识解密后进行鉴权,然后将鉴权结果通过认证应答的方式发送给应用服务器。
采用客户端接入归属区的认证用户身份和软件方式,则所述的步骤B11进一步包括:
客户端认证中心将随机数与公钥序号发送给应用服务器的同时,要求应用服务器提供有效的用户标识,而后,应用服务器对用户的身份进行认证,如果用户的身份合法,则继续执行步骤B12,否则,拒绝其接入应用服务器,并结束客户端接入归属区的用户身份和软件认证流程;
所述的步骤B12进一步包括:
应用服务器将随机数和公钥序号下发给客户端的同时,判断自身是否含有该客户端的用户标识,如果是,则要求客户端提交包含软件认证标识的客户端认证标识,否则,要求客户端提供包含软件认证标识和用户标识的客户端认证标识。
所述的步骤B12进一步包括:
如果客户端确认该随机数的发送方为客户端认证中心,则将用户标识加入到加密后的签名证书中。
所述客户端接入拜访区,则所述的客户端认证中心包括归属区客户端认证中心和拜访区客户端认证中心。
所述的步骤B包括以下步骤:
B21.应用服务器向拜访区客户端认证中心请求该客户端的加密公钥序号以及含有客户端认证中心用相应私钥签名的随机数,而后,拜访区客户端认证中心向该客户端的归属区客户端认证中心发送加密公钥序号请求,归属区客户端认证中心根据客户端的版本信息参数选择随机数和公钥序号,并使用相应私钥对随机数进行签名后,将随机数与公钥序号一起发送给拜访区客户端认证中心,拜访区客户端认证中心再对应用服务器进行加密公钥序号应答;
B22.应用服务器将随机数和公钥序号下发给客户端,并请求客户端提交认证标识,客户端根据公钥序号选择公钥后,对随机数的数字签名进行验证,如果客户端确认该随机数的发送方为客户端认证中心,则对随机数和供应商的签名证书进行加密运算,并将客户端自身的软件版本号携带于加密后的签名证书中,否则,结束本认证流程;
B23.客户端将由加密证书及加密后的随机数组成的客户端认证标识发送给应用服务器,应用服务器将客户端认证标识提交给拜访区客户端认证中心,拜访区客户端认证中心向归属区客户端认证中心发送认证请求,提交客户端认证标识;
B24.归属区客户端认证中心对认证标识解密后进行鉴权,然后将结果通过认证应答的方式发送给拜访区客户端认证中心,拜访区客户端认证中心再将结果发送给应用服务器。
采用客户端接入拜访区的认证用户身份和软件方式,则所述的B21进一步包括:
归属区客户端认证中心将随机数与公钥序号通过加密公钥序号应答的方式发送给拜访区客户端认证中心,要求拜访区客户端认证中心提供有效的用户标识,拜访区客户端认证中心再对应用服务器进行加密公钥序号应答,而后,应用服务器对用户的身份进行认证,如果用户的身份合法,则继续执行步骤B22,否则,拒绝其接入应用服务器,并结束客户端接入拜访区的用户身份和软件认证流程;
所述的步骤B22进一步包括:
应用服务器将随机数和公钥序号下发给客户端的同时,判断自身是否含有该客户端的用户标识,如果是,则要求客户端提交包含软件认证标识的客户端认证标识,否则,要求客户端提供包含软件认证标识和用户标识的客户端认证标识。
所述的步骤B22进一步包括:
如果客户端确认该随机数的发送方为客户端认证中心,则还要将用户标识加入到加密后的签名证书中。
应用本发明,客户端认证中心(CCC)对用户使用的客户端软件进行认证,只有认证成功,才允许客户端接入服务器;另外,在对安全性要求较高的情况下,CCC对用户的身份和客户端软件均进行鉴权,充分保证了信息交互的安全性。具体而言,本发明具有如下有益效果:
1.运营商对不同客户端软件分配不同的公钥和证书,并且对同种客户端软件的不同版本也分配不同的公钥和证书,提高了防伪力度,避免了非法用户通过与服务器建立连接而发起的恶意攻击,规范了网络秩序。
2.在对安全性要求较高的情况下,CCC首先认证用户的身份,在用户身份合法的情况下再对客户端软件进行鉴权,在鉴权成功的情况下才允许客户端的接入。通过双重认证,保证与服务器建立连接的用户身份及该用户使用的客户端软件均合法,有效地防止了通过非法复制合法的客户端软件而与服务器建立连接的行为。
3.本发明中只有供应商发布的正规客户端软件才能够通过认证,因此提高了各软件供应商的经济效益。
4.对于运营商而言,通过本发明可以掌握客户端软件的关键信息,能够较为方便的进行统一升级和收费等,容易规范和管理用户的行为。
附图说明
图1为现有有线网络中加密与认证方式的流程图。
图2为现有移动网络中加密与认证方式的流程图。
图3为现有数字证书方式的流程图。
图4为本发明客户端认证过程示意图。
图5为本发明客户端接入归属区的认证客户端软件方式实施例的示意图。
图6为本发明客户端接入拜访区的认证客户端软件方式实施例的示意图。
图7为本发明客户端接入归属区的认证用户身份和软件方式实施例的示意图。
图8为本发明客户端接入拜访区的认证用户身份和软件方式实施例的示意图。
具体实施方式
为使本发明的目的、技术方案更加清楚明白,以下参照附图并举实施例,对本发明做进一步的详细说明。
本发明为一种客户端认证的方法,其基本思想是:建立一个包括客户端、客户端认证中心和AS在内的网络,当客户端请求接入AS时,AS将客户端的信息提交给客户端认证中心,由客户端认证中心进行鉴权,而后接受鉴权成功的客户端的接入请求。
本发明为了实现对客户端的认证,提出了客户端认证中心的概念。客户端认证中心的英文全称为:Client Certification Center,缩写为CCC,它是一种运营商的节点,其作用是鉴别证书的真伪。CCC与AS之间、不同网络的CCC之间均通过通信接口相连接,本发明中,将CCC与AS之间的通信接口称为Ca接口,将不同网络之间CCC的接口称为Can接口。
本发明中,运营商根据供应商的请求从CA请求密钥对,然后将密钥对中的公钥分配给供应商的软件,同时还会提供一个诸如序列号的证书。每种软件从运营商获取的公钥和证书均不相同,即不同供应商开发的软件拥有不同的公钥和证书,并且同一软件的不同版本也拥有不同的公钥和证书。
本发明按照图4所示的流程对客户端进行认证。首先,运营商的CCC对供应商的软件分配证书,并将该证书连同从CA获得的公钥库一起发送给供应商,所述的公钥库可以通过空中下载(OTA)方式动态更新;然后,供应商用自身的私钥进行数字签名,再将签名证书放入到客户端将要使用的软件中;客户端软件首先向运营商的CCC请求公钥序号和随机数,而后在运营商发送来的公钥库中寻找上述公钥序号所对应的公钥,然后再利用公钥和随机数对签名证书进行加密,并根据鉴权需要在加密证书中携带自身信息,如客户端的标识或客户端软件的版本号等;客户端将携带了各种信息的加密证书发送到运营商的CCC,进行验证。
上述CCC验证的具体过程为:CCC首先利用相应的私钥进行解密,分离出供应商的签名证书、随机数和客户端携带于加密证书中的信息;然后利用供应商私钥所对应的公钥将签名证书解密,判断证书的真伪,同时对随机数和客户端信息进行核对,判断客户端是否合法。
客户端的认证方法可以通过认证客户端软件以及认证客户端身份和客户端软件两种方式,避免服务器受到来自于客户端的攻击。由于客户端可以直接接入服务器或者通过异地代理接入服务器,所以无论是有线网络还是移动网络均可以分为客户端接入归属区和拜访区两种情况。因此,本发明客户端的认证方法共分为如下四种情况:客户端接入归属区的认证客户端软件方式、客户端接入拜访区的认证客户端软件方式、客户端接入归属区的认证用户身份和软件方式以及客户端接入拜访区的认证用户身份和软件方式。
实施例1:客户端接入归属区的认证客户端软件方式。
客户端接入归属区包括两种情况:一种为有线网络的CCC中含有要求接入的客户端信息,另一种为移动网络的客户端未发生漫游。在上述两种情况下,CCC通过Ca接口与AS相连,AS再与客户端连接在一起。
如图5所示,该方法包括以下步骤:
步骤501.客户端对AS发起携带客户端软件版本信息的接入请求。
本步骤中,客户端软件的版本信息包括发行公司及版本号等。
步骤502~504.AS向CCC请求该客户端的加密公钥序号以及含有CCC用相应私钥签名的随机数;而后,CCC根据客户端的版本信息选择随机数和公钥序号,并使用相应私钥对随机数进行签名后,将随机数与公钥序号一起携带于加密公钥序号请求中发送给AS;然后,AS将随机数和公钥序号通过加密公钥序号应答的方式下发给客户端,并请求客户端提交认证标识。
步骤505.客户端根据公钥序号选择公钥,同时对随机数的数字签名进行验证;在确认了该随机数的发送方为CCC后,对随机数和供应商的签名证书进行加密运算,并将客户端自身的软件版本号携带于加密后的签名证书中。
本步骤在确认随机数的发送方时,由于该随机数是CCC用请求接入AS的客户端的私钥进行加密签名的,因此客户端使用自身的公钥对该随机数进行解密,如果能够解密则表明随机数的发送方是CCC;否则,客户端认为随机数的发送方不是CCC。
步骤506.客户端将由加密证书、加密后的随机数及软件版本号组成的客户端认证标识通过认证标识应答的方式发送给AS。
步骤507.AS将客户端认证标识通过认证请求提交给CCC。
步骤508~509.CCC对认证标识解密后进行鉴权,然后将结果通过认证应答的方式发送给AS;AS再根据鉴权结果对客户端进行接入应答,指明是否接受客户端的连接。
本步骤中,如果解密后的证书真实、随机数正确并且软件版本号合法,则CCC认为该客户端软件通过鉴权;否则,该客户端软件鉴权失败。
由于本实施例中,客户端接入的是归属区,所以本实施例中的CCC为归属区CCC(HCCC)。
实施例2:客户端接入拜访区的认证客户端软件方式。
当有线网络的客户端接入了不含有其安全信息的CCC、或者移动网络中客户端发生漫游时,客户端接入的均是拜访区CCC(VCCC)。由于VCCC没有客户端的安全信息,因此VCCC需要与客户端的HCCC之间进行交互,完成对客户端软件的鉴权。
如图6所示,客户端接入拜访区的认证客户端软件方式包括以下步骤:
步骤601.客户端对AS发起携带客户端软件版本信息的接入请求。
本步骤中,客户端软件的版本信息包括发行公司及版本号等。
步骤602~606.AS向VCCC请求该客户端的加密公钥序号以及含有CCC用相应私钥签名的随机数;由于VCCC不含有该客户端的安全信息,因此VCCC向该客户端的HCCC请求加密公钥序号;而后,HCCC根据客户端的版本信息参数选择随机数和公钥序号,并使用相应私钥对随机数进行签名后,将随机数与公钥序号一起通过加密公钥序号应答的方式发送给VCCC,VCCC再对AS进行加密公钥序号应答;然后,AS将随机数和公钥序号通过认证标识请求的方式下发给客户端,并请求客户端提交认证标识。
步骤607.客户端根据公钥序号选择公钥,同时对随机数的数字签名进行验证;在确认了该随机数的发送方为CCC后,对随机数和供应商的签名证书进行加密运算,并将客户端自身的软件版本号携带于加密后的签名证书中。
步骤608~609.客户端将由加密证书、加密后的随机数及软件版本号组成的客户端认证标识通过认证标识应答的方式发送给AS;AS再将客户端认证标识通过认证请求发送给VCCC,请求认证。
步骤610.VCCC将客户端认证标识通过认证请求的方式提交给HCCC,请求HCCC对该客户端软件进行认证。
步骤611~613.HCCC对认证标识解密后进行鉴权,然后将结果通过认证应答的方式发送给VCCC;VCCC再将鉴权结果传送给AS;AS再根据鉴权结果对客户端进行接入应答,指明是否接收客户端的连接。
本实施例与实施例1的不同之处在于:VCCC不包含要求接入的客户端的安全信息,因此由VCCC作为中转、由HCCC对客户端的软件进行鉴权;从具体流程的角度而言,本实施例增加了步骤603、604、610及611四个步骤。
实施例3:客户端接入归属区的认证用户身份和软件方式。
在对安全性要求较高的情况下,CCC可以先对客户端的身份进行鉴权;如果客户端身份合法,则继续对客户端软件进行鉴权,否则,直接拒绝该客户端的连接请求。为了能够验证客户端的身份,运营商在给用户开户时将客户端软件证书与用户身份标识建立对应关系并存储在CCC中。
如图7所示,客户端接入归属区的认证用户身份和软件方式包括以下步骤:
步骤701.客户端对AS发起携带客户端软件版本信息的接入请求。
步骤702.AS将客户端软件的版本信息发送给CCC,请求该客户端软件的加密公钥序号以及含有CCC用相应私钥签名的随机数。
步骤703.CCC根据客户端软件的版本信息选择随机数和公钥序号,并使用相应私钥对随机数进行签名后,将随机数与公钥序号一起通过加密公钥序号应答的方式发送给AS,同时要求AS提供有效的用户标识。
本步骤中有效的用户标识是指非AS帐号的标识,如用户的手机号码或者用户名等等。
步骤704.AS对用户的身份进行认证,如果用户的身份合法,则继续执行步骤705;否则,拒绝其接入AS,并结束客户端接入归属区的用户身份和软件认证流程。
本步骤使用如图1所示的现有方法认证用户的身份。
步骤705.AS将随机数和公钥序号通过认证标识请求的方式下发给客户端,并判断自身是否含有该客户端的用户标识,如果是,则要求客户端提交包含软件认证标识的客户端认证标识;否则要求客户端提供包含软件认证标识和用户标识的客户端认证标识。
步骤706.客户端根据公钥序号选择公钥,同时对随机数的数字签名进行验证;在确认了该随机数的发送方为CCC后,对随机数和供应商的签名证书进行加密运算,并将客户端自身的软件版本号携带于加密后的签名证书中;另外,在需要客户端提供用户标识的情况下,将用户标识加入到加密后的签名证书中。
步骤707.客户端将由加密证书以及加密后的随机数组成的客户端认证标识通过认证应答的方式发送给AS。
步骤708.AS将客户端认证标识提交给CCC。
步骤709~710.CCC对客户端认证标识解密后进行鉴权,然后将结果通过认证应答的方式发送给AS;AS再根据鉴权结果对客户端进行接入应答,指明是否接收客户端的连接。
本步骤中,如果解密后的证书真实、随机数正确、软件版本号合法并且用户标识与软件版本号的对应关系正确,则CCC认为该客户端通过鉴权;否则,该客户端鉴权失败。
本实施例只有在欲发起连接的用户以及该用户所使用的客户端软件均合法的情况下,才建立客户端到服务器的连接,提高了安全性。另外,如果合法的客户端软件被其他用户非法复制,则CCC能够通过检查用户与客户端软件的对应关系而发现该非法复制情况,进而拒绝所有使用该客户端软件的非法用户的连接。
由于本实施例中,客户端接入的是归属区,所以本实施例中的CCC为HCCC。
实施例4:客户端接入拜访区的认证用户身份和软件方式。
如图8所示,本实施例包括以下步骤:
步骤801.客户端对AS发起携带客户端软件版本信息的接入请求。
步骤802~803.AS向VCCC请求加密公钥序号以及含有CCC用相应私钥签名的随机数;VCCC向该客户端的HCCC请求加密公钥序号;
步骤804~805.HCCC根据客户端软件的版本信息选择随机数和公钥序号,并使用相应私钥对随机数进行签名后,将随机数与公钥序号一起通过加密公钥序号应答的方式发送给VCCC,同时要求VCCC提供有效的用户标识;VCCC再将对AS进行加密公钥序号应答。
步骤806.AS对用户的身份进行认证,如果用户的身份合法,则继续执行步骤807;否则,拒绝其接入AS,并结束接入拜访区情况下对用户身份和客户端软件的认证流程。
本步骤使用如图1所示的现有方法认证用户的身份。
步骤807.AS将随机数和公钥序号下发给客户端,并判断自身是否含有该客户端的用户标识,如果是,则要求客户端提交包含软件认证标识的客户端认证标识;否则要求客户端提供包含软件认证标识和用户标识的客户端认证标识。
步骤808.客户端根据公钥序号选择公钥,同时对随机数的数字签名进行验证;在确认了该随机数的发送方为CCC后,对随机数和供应商的签名证书进行加密运算,并将客户端自身的软件版本号携带于加密后的签名证书中;另外,在需要客户端提供用户标识的情况下,将用户标识加入到加密后的签名证书中。
步骤809~810.客户端将由加密证书以及加密后的随机数组成的客户端认证标识通过认证标识应答的方式发送给AS;AS再将客户端认证标识发送给VCCC,请求认证。
步骤811.VCCC将客户端认证标识提交给HCCC,请求HCCC对该客户端软件进行认证。
步骤812~814.HCCC对认证标识解密后进行鉴权,然后将结果通过认证应答的方式发送给VCCC;VCCC再将鉴权结果传送给AS;AS再根据鉴权结果对客户端进行接入应答,指明是否接收客户端的连接。
本实施例与实施例3的不同之处在于:VCCC不包含要求接入的客户端的安全信息,因此由VCCC作为中转、由HCCC对客户端的软件进行鉴权;从具体流程的角度而言,本实施例增加了步骤803、804、811及812四个步骤。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1、一种客户端认证的方法,其特征在于,设置对客户端进行认证的客户端认证中心,并将所设置的客户端认证中心与应用服务器连接,该方法还包括以下步骤:
A.客户端对应用服务器发起携带客户端软件版本信息的接入请求,应用服务器再向客户端认证中心发起对该客户端进行认证的请求;
B.客户端认证中心对客户端的信息进行认证;
C.判断客户端是否通过步骤B中的认证,如果通过,则应用服务器接受所述客户端的接入请求,否则,拒绝该客户端的接入请求。
2、如权利要求1所述的方法,其特征在于,所述客户端接入归属区,则所述的客户端认证中心为归属区客户端认证中心。
3、如权利要求1或2所述的方法,其特征在于,所述的步骤B包括以下步骤:
B11.应用服务器向客户端认证中心请求该客户端的加密公钥序号以及含有客户端认证中心用相应私钥签名的随机数,而后,客户端认证中心根据客户端的版本信息参数选择随机数和公钥序号,并使用相应私钥对随机数进行签名后,将随机数与公钥序号一起发送给应用服务器;
B12.应用服务器将随机数和公钥序号下发给客户端,并请求客户端提交认证标识,客户端根据公钥序号选择公钥后,对随机数的数字签名进行验证,如果客户端确认该随机数的发送方为客户端认证中心,则对随机数和供应商的签名证书进行加密运算,并将客户端自身的软件版本号携带于加密后的签名证书中,否则,结束本认证流程;
B13.客户端将由加密证书及加密后的随机数组成的客户端认证标识发送给应用服务器,应用服务器将客户端认证标识提交给客户端认证中心;
B14.客户端认证中心对认证标识解密后进行鉴权,然后将鉴权结果通过认证应答的方式发送给应用服务器。
4、如权利要求3所述的方法,其特征在于,采用客户端接入归属区的认证用户身份和软件方式,则所述的步骤B11进一步包括:
客户端认证中心将随机数与公钥序号发送给应用服务器的同时,要求应用服务器提供有效的用户标识,而后,应用服务器对用户的身份进行认证,如果用户的身份合法,则继续执行步骤B12,否则,拒绝其接入应用服务器,并结束客户端接入归属区的用户身份和软件认证流程;
所述的步骤B12进一步包括:
应用服务器将随机数和公钥序号下发给客户端的同时,判断自身是否含有该客户端的用户标识,如果是,则要求客户端提交包含软件认证标识的客户端认证标识,否则,要求客户端提供包含软件认证标识和用户标识的客户端认证标识。
5、如权利要求4所述的方法,其特征在于,所述的步骤B12进一步包括:
如果客户端确认该随机数的发送方为客户端认证中心,则将用户标识加入到加密后的签名证书中。
6、如权利要求1所述的方法,其特征在于,所述客户端接入拜访区,则所述的客户端认证中心包括归属区客户端认证中心和拜访区客户端认证中心。
7、如权利要求1或6所述的方法,其特征在于,所述的步骤B包括以下步骤:
B21.应用服务器向拜访区客户端认证中心请求该客户端的加密公钥序号以及含有客户端认证中心用相应私钥签名的随机数,而后,拜访区客户端认证中心向该客户端的归属区客户端认证中心发送加密公钥序号请求,归属区客户端认证中心根据客户端的版本信息参数选择随机数和公钥序号,并使用相应私钥对随机数进行签名后,将随机数与公钥序号一起发送给拜访区客户端认证中心,拜访区客户端认证中心再对应用服务器进行加密公钥序号应答;
B22.应用服务器将随机数和公钥序号下发给客户端,并请求客户端提交认证标识,客户端根据公钥序号选择公钥后,对随机数的数字签名进行验证,如果客户端确认该随机数的发送方为客户端认证中心,则对随机数和供应商的签名证书进行加密运算,并将客户端自身的软件版本号携带于加密后的签名证书中,否则,结束本认证流程;
B23.客户端将由加密证书及加密后的随机数组成的客户端认证标识发送给应用服务器,应用服务器将客户端认证标识提交给拜访区客户端认证中心,拜访区客户端认证中心向归属区客户端认证中心发送认证请求,提交客户端认证标识;
B24.归属区客户端认证中心对认证标识解密后进行鉴权,然后将结果通过认证应答的方式发送给拜访区客户端认证中心,拜访区客户端认证中心再将结果发送给应用服务器。
8、如权利要求7所述的方法,其特征在于,采用客户端接入拜访区的认证用户身份和软件方式,则所述的B21进一步包括:
归属区客户端认证中心将随机数与公钥序号通过加密公钥序号应答的方式发送给拜访区客户端认证中心,要求拜访区客户端认证中心提供有效的用户标识,拜访区客户端认证中心再对应用服务器进行加密公钥序号应答,而后,应用服务器对用户的身份进行认证,如果用户的身份合法,则继续执行步骤B22,否则,拒绝其接入应用服务器,并结束客户端接入拜访区的用户身份和软件认证流程;
所述的步骤B22进一步包括:
应用服务器将随机数和公钥序号下发给客户端的同时,判断自身是否含有该客户端的用户标识,如果是,则要求客户端提交包含软件认证标识的客户端认证标识,否则,要求客户端提供包含软件认证标识和用户标识的客户端认证标识。
9、如权利要求8所述的方法,其特征在于,所述的步骤B22进一步包括:
如果客户端确认该随机数的发送方为客户端认证中心,则还要将用户标识加入到加密后的签名证书中。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100703130A CN100499453C (zh) | 2004-07-29 | 2004-07-29 | 一种客户端认证的方法 |
| PCT/CN2005/001157 WO2006024216A1 (fr) | 2004-07-29 | 2005-07-29 | Procede pour mettre en oeuvre la certification et systemes correspondants |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100703130A CN100499453C (zh) | 2004-07-29 | 2004-07-29 | 一种客户端认证的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1728636A CN1728636A (zh) | 2006-02-01 |
| CN100499453C true CN100499453C (zh) | 2009-06-10 |
Family
ID=35927668
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100703130A Expired - Fee Related CN100499453C (zh) | 2004-07-29 | 2004-07-29 | 一种客户端认证的方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN100499453C (zh) |
| WO (1) | WO2006024216A1 (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101192926B (zh) * | 2006-11-28 | 2011-03-30 | 北京握奇数据系统有限公司 | 帐号保护的方法及系统 |
| JP2008181228A (ja) * | 2007-01-23 | 2008-08-07 | Sony Corp | 管理システムおよび管理方法、端末装置、管理サーバ、並びにプログラム |
| CN101127744B (zh) * | 2007-09-29 | 2010-10-13 | 杭州华三通信技术有限公司 | 对非法客户端进行隔离提示的方法和系统以及网关设备 |
| US20100241861A1 (en) * | 2007-12-05 | 2010-09-23 | Tetsuro Yoshimoto | Dhcp client server system, dhcp client device and dhcp server device |
| CN101860521B (zh) * | 2009-04-13 | 2013-05-08 | 中国联合网络通信集团有限公司 | 认证处理方法及系统 |
| CN101998575B (zh) * | 2009-08-24 | 2013-04-24 | 华为技术有限公司 | 一种接入控制的方法、装置和系统 |
| CN102202040B (zh) * | 2010-03-26 | 2014-06-04 | 联想(北京)有限公司 | 一种对客户端进行认证方法及装置 |
| CN103795692B (zh) * | 2012-10-31 | 2017-11-21 | 中国电信股份有限公司 | 开放授权方法、系统与认证授权服务器 |
| TWI529537B (zh) * | 2013-06-04 | 2016-04-11 | 晨星半導體股份有限公司 | 具有移動高畫質連接埠之顯示器及其信號處理方法 |
| CN103327489B (zh) * | 2013-06-28 | 2017-04-05 | 宇龙计算机通信科技(深圳)有限公司 | 认证的方法和系统 |
| US10033720B2 (en) * | 2014-05-28 | 2018-07-24 | Futurewei Technologies, Inc. | Method and system for creating a certificate to authenticate a user identity |
| CN113886848A (zh) * | 2021-09-23 | 2022-01-04 | 深圳优地科技有限公司 | 信息验证方法、装置、机器人及存储介质 |
| CN114826570A (zh) * | 2022-03-30 | 2022-07-29 | 微位(深圳)网络科技有限公司 | 证书获取方法、装置、设备及存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100811419B1 (ko) * | 2000-12-07 | 2008-03-07 | 주식회사 케이티 | 공개키 암호화를 이용하는 인증 프로토콜에서의서비스거부공격에 대한 방어 방법 |
| WO2003050995A1 (en) * | 2001-12-07 | 2003-06-19 | Qualcomm Incorporated | Authentication in a hybrid communications network |
| CN1268093C (zh) * | 2002-03-08 | 2006-08-02 | 华为技术有限公司 | 无线局域网加密密钥的分发方法 |
-
2004
- 2004-07-29 CN CNB2004100703130A patent/CN100499453C/zh not_active Expired - Fee Related
-
2005
- 2005-07-29 WO PCT/CN2005/001157 patent/WO2006024216A1/zh active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| CN1728636A (zh) | 2006-02-01 |
| WO2006024216A1 (fr) | 2006-03-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110971415B (zh) | 一种天地一体化空间信息网络匿名接入认证方法及系统 | |
| KR102134302B1 (ko) | 무선 네트워크 접속 방법 및 장치, 및 저장 매체 | |
| JP4599852B2 (ja) | データ通信装置および方法、並びにプログラム | |
| FI115098B (fi) | Todentaminen dataviestinnässä | |
| US8214649B2 (en) | System and method for secure communications between at least one user device and a network entity | |
| CN101783800B (zh) | 一种嵌入式系统安全通信方法、装置及系统 | |
| US20230421394A1 (en) | Secure authentication of remote equipment | |
| CN1929371B (zh) | 用户和外围设备协商共享密钥的方法 | |
| JP4803145B2 (ja) | 鍵共有方法、鍵配信システム | |
| KR102177794B1 (ko) | 사물인터넷 블록체인 환경에서의 디바이스 분산 인증 방법 및 이를 이용한 디바이스 분산 인증 시스템 | |
| JP2008099267A (ja) | ネットワーク内で無線端末と設備との間のセッションを保護する方法 | |
| CA2551113A1 (en) | Authentication system for networked computer applications | |
| CN103229452A (zh) | 移动手持设备的识别和通信认证 | |
| CN101136748A (zh) | 一种身份认证方法及系统 | |
| EP1493243B1 (en) | Secure file transfer | |
| CN100499453C (zh) | 一种客户端认证的方法 | |
| CN108964896B (zh) | 一种基于群组密钥池的Kerberos身份认证系统和方法 | |
| CN110493162A (zh) | 基于可穿戴设备的身份认证方法及系统 | |
| JP4783340B2 (ja) | 移動ネットワーク環境におけるデータトラフィックの保護方法 | |
| CN108964895B (zh) | 基于群组密钥池和改进Kerberos的User-to-User身份认证系统和方法 | |
| CN100450305C (zh) | 一种基于通用鉴权框架的安全业务通信方法 | |
| US20040255121A1 (en) | Method and communication terminal device for secure establishment of a communication connection | |
| CN114760046A (zh) | 一种身份鉴别方法和装置 | |
| CN108965266B (zh) | 一种基于群组密钥池和Kerberos的User-to-User身份认证系统和方法 | |
| JP2004194196A (ja) | パケット通信認証システム、通信制御装置及び通信端末 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090610 Termination date: 20130729 |