一種以用戶為中心的移動互聯網身份管理及認證方法,該方法在移動平臺上設置用戶身份代理負責管理用戶身份信息,用戶可以通過身份代理創建自己的身份信息卡,也可以通過身份代理請求和管理可信第三方頒發身份信息。用戶的身份信息以虛擬卡的形式表示。用戶的身份信息由用戶自己管理,僅將Web站點需要的必要身份信息提交給Web站點。用戶身份信息的提交需要得到用戶的授權,從而在身份管理中體現以用戶為中心以及身份信息用戶可控的特點。用戶在Web站點注冊或登錄時主要通過公私鑰進行身份認證,不再依賴于用戶名/密碼的身份認證方式。如果RP具有合法的數字證書,則該系統可通過身份管理代理驗證RP的數字證書,防止釣魚攻擊。
【技術實現步驟摘要】
【技術保護點】
一種以用戶為中心的移動互聯網身份管理及認證方法,用于用戶通過用戶端上的用戶端應用程序連接到Web站點時進行認證,其特征在于:在用戶端設置負責管理用戶公私鑰對和身份信息的用戶身份代理,記為IdA;用戶的身份信息采用虛擬卡向用戶預登錄的Web站點提供,所述虛擬卡為用戶提供的自建卡或第三方身份提供者提供的托管卡;采用自建卡的注冊過程包括以下步驟,第一步,用戶端應用程序訪問支持虛擬卡登錄的某Web站點,該Web站點記為RP;第二步,RP將所需要的身份信息發送給用戶端應用程序;第三步,用戶端應用程序調用IdA;IdA向用戶提供選卡界面,并在選卡后向用戶提示要提交給RP的身份信息,用戶授權提交后進入第四步;第四步,IdA請求與RP建立SSL安全連接;第五步,RP與IdA建立SSL安全連接,RP產生一個隨機數nonce1,發送給IdA;在建立SSL安全連接的協商過程中,通信雙方交換各自的公鑰;第六步,IdA生成一個隨機數nonce2和會話密鑰K,并用RP的公鑰加密會話密鑰K;隨后,將用戶端和RP的標識、nonce1、用戶端的公鑰以及RP需要的身份信息進行摘要運算,并通過用戶端的私鑰進行簽名,生成身份令牌Token;最后將身份令牌Token、IdA自己的公鑰、以及RP需要的身份信息通過會話密鑰加密后作為自簽名的身份信息一起發送給RP;自簽名的身份信息表示為SSL{EPubkRP{K},rp,c,nonce1,nonce2,EK{PubkC,claims,SigPrikC?(SHA1(rp,c,nonce1,PubkC,claims)}?},其中rp和c分別表示RP和用戶端的標識,claims表示發送給RP的身份信息,?PubkRP表示RP的公鑰,K?表示會話密鑰,PubkC?表示用戶端的公鑰,EPubkRP{K}表示用RP的公鑰PubkRP加密密鑰K,EK{}表示用密鑰K對消息加密,nonce1是RP發送的隨機數,nonce2是IdA產生的隨機數,?SHA1表示所采用的hash算法,SigPrikC{}表示利用用戶端的私鑰對消息進行簽名,SSL{}表示以SSL方式發送;第七步,RP收到IdA所發送自簽名的身份信息之后,利用用戶端的公鑰驗證數字簽名,如果簽名驗證成功,則獲得用戶端的IdA發送的身份信息,并為該用戶生成一個User?ID,同時利用會話密鑰將User?ID和nonce2加密,通過SSL方式發給IdA;IdA解密信息后,比較nonce2值是否與自己創建的nonce2一致,如果是,則記錄UserID,將UserID與CardID建立關聯,允許用戶端應用程序訪問RP的授權資源;采用托管卡的注冊過程包括以下步驟,????第一步,用戶端應用程序訪問支持虛擬卡登錄的某Web站點,該Web站點記為RP;第二步,RP將所需要的身份信息發送給用戶端應用程序;第三步,用戶端應用程序調用IdA;IdA向用戶提供選卡界面,并在選卡后進入第四步;第四步,IdA將用戶端定向到IdP,用戶在IdP進行身份認證;第五步,身份認證成功后,IdP給IdA發送一個用IdP私鑰簽名的身份令牌Token,以及IdP的公鑰和RP需要的身份信息;身份令牌Token中包括RP需要的身份信息,IdP產生的隨機數nonce及IdP和RP的標識,并用IdP的私鑰簽名;第六步,IdA將IdP發送給RP的身份信息顯示給用戶,在用戶授權提交后,請求與RP建立SSL安全連接;第七步,RP與IdA建立SSL連接,并產生一個隨機數nonce1發送給IdA;第八步,IdA產生一個會話密鑰,將IdP簽發的身份令牌Token、IdP的公鑰以及產生的隨機數nonce2,以會話密鑰加密后將信息發送給RP;具體發送的信息格式為SSL{EPubkRP{K},rp,c,?nonce1,?nonce2,EK{nonce1,nonce2,?idp,c,?nonce,?claims,PubKIdP?,SigprivkIdP(SHA1(idp,rp,?nonce,?claims)?)}},其中,rp和c、idp分別表示RP和用戶端、IdP的標識,claims表示發送給RP的身份信息,PubkRP表示RP的公鑰,K表示IdA生成的會話密鑰,EPubkRP{K}表示用RP的公鑰PubkRP加密密鑰K,EK{}表示用密鑰K對消息加密,nonce是IdP產生的隨機數,nonce1是RP發送的隨機數,nonce2是IdA產生的隨機數,?PubKIdP表示IdP的公鑰;SHA1表示所采用的hash算法,SigprivkIdP表示利用Id...
【技術特征摘要】
【專利技術屬性】
技術研發人員:王鵑,謝旭暉,周斯珺,宋蕊霞,楊明,何琪,蔣萬偉,余茗婧,唐西銘,王勇,
申請(專利權)人:武漢大學,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。