[发明专利]分布式授权与验证方法、装置及系统

说明书

技术领域

本发明涉及一种授权与验证方法、装置及系统，特别是一种分布式授权与验证方法、装置及系统。

背景技术

随着网络越来越普及，服务需求者(Service Requester)可以通过网络使用由数不清的大大小小服务提供者(Service Provider)所提供的服务。为了使装置可与其它装置进行安全服务分享(Secure Service Sharing)，作为服务提供者的装置会先对一些装置进行授权(Delegation)，而这些装置又可以对其它装置进行授权，使得所有被授权的装置可以作为服务需求者使用该服务提供者提供的服务。所有装置的授权关系(DelegationRelationship)可以直接由中央服务器进行集中式管理(CentralizedManagement)。

然而，在某些情况下(例如，在限制网络(Restricted Network)环境中)，由于所有装置无法存取该中央服务器，将导致不能进行服务分享。因此，在此种情况下，必须使用非集中式管理。

参见图1，美国专利公开No.20020073308揭示了一种用于管理属性凭证(Attribute Certificate)的方法。该方法适用于包括服务提供者11、服务需求者12及数据库13的系统。该服务提供者11是授权者(Delegator)。该服务需求者12是被授权者(Delegatee)，并具有属性凭证16。该数据库13存储该服务需求者的公钥凭证(Public Key Certificate)17及该属性凭证的发出机构(IssuingAuthority)的公钥凭证18。

该服务提供者11接收该服务需求者12的属性凭证16，并从该属性凭证16中取出公钥凭证定位器(Locator)161，该公钥凭证定位器161识别该服务需求者的公钥凭证17及该属性凭证的发出机构的公钥凭证18的位置。该服务提供者11利用该公钥凭证定位器161从该数据库13中取出该服务需求者的公钥凭证17及该属性凭证的发出机构的公钥凭证18，并且利用取出的公钥凭证17、18验证该属性凭证16。当验证成功时，该服务提供者11根据存储在该属性凭证16中的权限属性(Authorization Attribute)同意该服务需求者12存取受控制的资源。

当该系统还包括至少具有属性凭证的服务点(Service Node)(图中未示出)，使得该服务提供者11是原始授权者，该服务需求者12是目的被授权者，而该服务点先作为中间被授权者被授权后，再作为中间授权者进行授权时，该服务提供者11必须接收及验证该服务点及该服务需求者12的属性凭证。一旦服务点的数目多时，该服务提供者11将耗费大量的计算资源在验证上。

参见图2，美国专利公开No.20040073801揭示了一种串接授权方法。以下以该方法用于包括服务提供者21、二个服务点22、23及服务需求者24的系统为例进行说明。该方法包含以下步骤：

该服务提供者21传送第一授权记号(Delegation Token)到该服务点22；

该服务点22传送响应到该服务提供者21；

该服务提供者21传送第一签章(Signature)到该服务点22，该第一签章包括该第一授权记号的签章；

该服务点22传送第二授权记号到该服务点23；

该服务点23传送响应到该服务点22；

该服务点22传送第二签章到该服务点23，该第二签章包括该服务点22的第二授权记号的签章及来自该服务提供者21的第一授权记号与第一授权记号的签章；

该服务点23传送第三授权记号到该服务需求者24；

该服务需求者24传送响应到该服务点23；及

该服务点23传送第三签章到该服务需求者24，该第三签章包括该服务点23的第三授权记号的签章、来自该服务点22的第二授权记号与第二授权记号的签章及来自该服务提供者21的第一授权记号与第一授权记号的签章。

当该服务需求者24要使用该服务提供者21提供的服务时，必须传送该第三签章到该服务提供者21进行验证。

由于该串接授权方法是将该服务提供者21与该等服务点22、23的授权记号及授权记号的签章串接(Cascade)以产生给该服务需求者24的签章，一旦服务点的数目多时，产生的签章将会过长，不仅耗费大量网络通信资源，且会使得该服务提供者21耗费大量计算资源在验证上。