[发明专利]认证方法和认证系统

权利要求书

1.一种用于认证系统的用户端的认证方法，所述认证系统包括：用户端、客户服务端和云端服务器，其特征在于，所述方法包括：

向所述客户服务端发送第一临时密钥的分配请求信息，所述分配请求信息携带用于验证用户身份的会话身份标识；

接收所述客户服务端响应于用户身份通过验证发送的响应所述分配请求信息的第一响应信息，所述第一响应信息包括：用于向云端服务器确认客户身份的用户密钥账号，使用第一会话密钥签名用于描述用户权限的访问控制列表得到的第一临时密钥，以及使用所述第一会话密钥加密所述访问控制列表得到的会话策略信息，其中，所述第一会话密钥为客户服务端持有的与所述云端服务器会话的会话密钥；

向所述云端服务器发送基于所述第一响应信息生成的云端服务请求信息，所述云端服务请求信息携带所述用户密钥账号、所述会话策略信息和使用所述第一临时密钥生成的所述云端服务请求信息的签名；

接收所述云端服务器发送的响应云端服务请求信息的第二响应信息，其中，所述第二响应信息通过以下步骤得到：所述云端服务器基于所述用户密钥账号和所述会话策略信息，对接收的所述云端服务请求信息的签名进行认证，响应于所述认证通过，向所述用户端发送响应所述云端服务请求信息的第二响应信息。

2.一种用于认证系统的客户服务端的生成第一响应信息的方法，所述认证系统包括：用户端、客户服务端和云端服务器，其特征在于，所述方法包括：

接收所述用户端发送的第一临时密钥的分配请求信息，所述分配请求信息携带用于验证用户身份的会话身份标识；

基于所述会话身份标识，对用户身份进行验证；

响应于用户身份通过验证，生成响应所述分配请求信息的第一响应信息，其中，所述第一响应信息包括：用于向云端服务器确认客户身份的用户密钥账号，使用第一会话密钥签名用于描述用户权限的访问控制列表得到的第一临时密钥，以及使用所述第一会话密钥加密所述访问控制列表得到的会话策略信息，其中，所述第一会话密钥为客户服务端持有的与所述云端服务器会话的会话密钥；

向所述用户端发送所述第一响应信息。

3.一种用于认证系统的云端服务器的认证方法，所述认证系统包括：用户端、客户服务端和云端服务器，其特征在于，所述方法包括：

接收所述用户端发送的用户密钥账号、会话策略信息和使用第一临时密钥签名的云端服务请求信息，其中，所述第一临时密钥由所述客户服务端使用第一会话密钥对用于描述用户权限的访问控制列表进行签名得到，所述用户密钥账号由所述客户服务端生成以向云端服务器确认客户身份，所述会话策略信息由所述客户服务端使用所述第一会话密钥加密所述访问控制列表得到，所述第一会话密钥为所述客户服务端持有的与所述云端服务器进行会话的会话密钥；

基于所述用户密钥账号和所述会话策略信息，对接收的所述云端服务请求信息的签名进行认证；以及

响应于所述认证通过，向所述用户端发送响应所述云端服务请求信息的第二响应信息。

4.根据权利要求3所述的方法，其特征在于，所述基于所述用户密钥账号和所述会话策略信息，对接收的所述云端服务请求信息的签名进行认证包括：

基于所述用户密钥账号，验证所述客户身份；

响应于所述客户身份通过验证，基于所述会话策略信息和第二会话密钥，得到第二临时密钥，其中，所述第二会话密钥为云端服务器持有的与所述客户服务端会话的会话密钥；

使用所述第二临时密钥，计算所述云端服务请求信息的签名；

比对接收的所述云端服务请求信息的签名与计算得到的云端服务请求信息的签名；

响应于所述比对的结果相同，确定认证结果为认证通过。

5.根据权利要求4所述的方法，其特征在于，所述基于所述会话策略信息和所述第二会话密钥，得到第二临时密钥包括：

使用所述第二会话密钥解密所述会话策略信息，得到所述访问控制列表；

使用所述第二会话密钥对得到的所述访问控制列表进行签名，得到第二临时密钥。