[发明专利]支持登录验证的设备和进行登录验证的方法

说明书

技术领域

本发明一般涉及多点登录验证技术。更具体地说，本发明涉及一种支持登录验证的设备和进行登录验证的方法。

背景技术

诸如个人计算机、笔记本计算机和服务器的计算设备和诸如智能电器、无线通信终端的电子设备能够通过诸如显示器的各种接口和诸如互联网的各种连接，为用户提供访问各种功能、服务和资源的能力。相应地，需要提供限制和允许用户访问这些功能、服务和资源的机制。

提出了在允许用户访问功能、服务和资源之前进行登录验证的用户登录机制。例如，在DoS操作系统和Windows操作系统中，用户使用登录名和验证口令(PWD)进行登录验证。这类系统一般是把预先设置好的用户名和验证口令进行数据变化，如计算哈希值(Hash)，并将计算结果保存在计算机设备中，以备用户下一次登录验证使用。

随着信息技术的日益普及，用户需要进行登录验证的情形越来越多。用户需要记住大量的不同用户名和验证口令对。相应地，提出一种用单一网络名和密码进行多点登录验证的OpenID技术，例如参见http://en.wikipedia.org/wiki/OpenID。在OpenID系统中，使用URI(统一资源标识符)(即，OpenID用户名)来标识用户，用户的验证口令被存储在OpenID服务网站上。当登录一个支持OpenID的网站时，输入注册过的OpenID用户名，然后用户当前登录的网站会跳转到OpenID服务网站。当用户在OpenID服务网站提供的登录验证界面输入验证口令并且验证通过后，用户会回到登录的网站并且已经成功登录。

发明内容

OpenID系统中验证过程是由OpenID服务网站完成的，即只有这个服务网站能验证用户身份，其他参与系统中的服务节点必须无条件信任这个服务网站。如果有欺骗者假冒OpenID服务网站，那么就能够使未经授权的用户绕过登录验证。在实际应用中，很多独立的服务节点需要独立地验证访问者的身份，而访问者自身也不愿意重复地配置多种凭证。所以需要一种机制，其保证访问者只需要持有唯一的验证凭证，并且允许不同的访问节点能独立地验证这些凭证。

根据本发明的一个方面，提供一种支持登录验证的设备，包括：获得装置，其获得用户的凭证中的第一加密信息、第二加密信息、和所有第一解密信息中与所述登录验证关联的第一解密信息，其中所述第一加密信息是通过使用第一加密方法对所述用户的唯一标识进行加密而获得的，所述第二加密信息是通过使用第二加密方法对所述标识进行加密而获得的；解密装置，其根据与所述登录验证关联的第二解密信息和与所述登录验证关联的第一解密信息，使用与所述第二加密方法对应的解密方法对所述第二加密信息进行解密，以获得所述标识；加密装置，其使用所述第一加密方法对所述标识加密以获得第三加密信息；和验证装置，其比较所述第一加密信息和第三加密信息，并且在所述第一加密信息和第三加密信息相同的情况下，确认所述登录验证成功并且允许所述用户访问相应的功能。

根据另一个实施例，设备还可以包括：接收装置，其从另一设备接收有关要在所述另一设备上进行另一登录验证的通知，其中所述获得装置进一步被配置为响应于所述通知获得所述凭证的内容；和发送装置，其向所述另一设备发送所获得的所述凭证的内容。

根据另一个实施例，获得装置可以包括：发送装置，其向另一设备发送有关要在所述支持登录验证的设备上进行登录验证的通知；和接收装置，其从所述另一设备接收响应所述通知而返回的所述凭证的内容。

根据另一个实施例，验证装置也可以在第一加密信息和第三加密信息相同并且标识未被撤销的情况下，确认登录验证成功并且允许用户访问相应的功能。

根据另一个实施例，令G₁为阶为素数p的双线性群，g为G₁的生成元，e：G₁×G₁→G₂代表双线性映射，第一加密方法是应用单向函数，第二加密信息是ID·Y^r，其中ID表示所述标识，Y＝e(g，g)^y，第一解密信息为g^t·r，其中不同第一解密信息的相应t值互不相同，所述第二解密信息为g^y/t，其中，与同一登录验证关联的第二解密信息与第一解密信息与相同的t值对应，t、r、y为Z_p域中的随机数，与所述第二加密方法对应的解密方法为ID·Y^r/e(g^y/t，g^t·r)。