[发明专利]一种基于指纹密钥进行网络认证的方法和系统

说明书

本发明公开了一种基于指纹密钥进行网络认证的方法，包括：用户终端向密钥分发中心发送用户终端发送包括初始指纹密钥的身份信息；密钥分发中心生成会话指纹密钥，并且利用用户终端的初始指纹密钥对会话指纹密钥进行加密，并且利用应用服务器初始密钥对会话指纹密钥和身份信息进行加密；用户终端从密钥分发中心接收加密的会话指纹密钥和加密的许可票据；利用用户终端初始指纹密钥对加密的会话指纹密钥进行解密；用户终端建立包括身份信息认证票据，用户终端利用会话指纹密钥对认证票据进行加密；用户终端发送加密的许可票据和加密的认证票据至应用服务器；以及应用服务器对加密的许可票据和认证票据进行解密，来对用户终端进行验证。

技术领域

本发明涉及网络信息安全领域，并且更具体地，涉及在可信赖第三方参与下的一种用户终端和应用服务器的交互认证方法和系统。

背景技术

在网络通信环境中，为允许用户在非安全网络环境下通信，向服务器以一种安全的方式证明自己的身份，需要为用户和另一实体提供强大的认证服务，现有技术通常是通过密钥系统来实现。基于密钥的认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被做任意地读取、修改和插入数据。在以上情况下，基于密钥系统的认证可以作为一种可信任的第三方认证服务，并且是通过传统的密码技术执行认证服务的。系统设计上一般采用用户终端、服务器端结构与密码系统结合，能够进行相互认证，即用户终端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止replay攻击、保护数据完整性等场合，是一种应用对称密钥体制进行密钥管理的系统。目前的加密方法通常是使用公开密钥加密的方法。

然后，现有的加密系统条件下，由于密码与用户的身份缺乏联系，网络攻击者很容易获得加密数据包，并使用字典攻击找到正确口令，攻击者获得正确口令后，很容易利用得到的用户密钥将自己伪装成合法用户，使用网络服务器的资源。

发明内容

本发明提出了一种基于指纹密钥进行网络认证的方法和系统，以解决将密钥与用户的身份之间缺乏联系的问题。

为了解决上述问题，本发明提供一种基于指纹密钥进行网络认证的方法，所述方法包括：用户终端向密钥分发中心发送所述用户终端的身份信息，所述身份信息包括初始指纹密钥；

密钥分发中心生成会话指纹密钥，并且利用用户终端的初始指纹密钥对会话指纹密钥进行加密，得到加密的会话指纹密钥，并且利用应用服务器初始密钥对会话指纹密钥和身份信息进行加密，得到经过加密的许可票据；

所述用户终端从所述密钥分发中心接收加密的会话指纹密钥和所述加密的许可票据；利用用户终端初始指纹密钥对加密的会话指纹密钥进行解密，获取会话指纹密钥；

所述用户终端对解密后的会话指纹密钥中的会话密码和用户指纹进行验证；验证通过后，所述用户终端建立认证票据，所述认证票据包括所述身份信息，所述用户终端利用所述会话指纹密钥对所述认证票据进行加密；所述用户终端发送所述加密的许可票据和所述加密的认证票据至所述应用服务器；以及

所述应用服务器利用与密钥分发中心的应用服务器初始密钥对来自所述用户终端的所述加密的许可票据进行解密，获取所述用户的身份信息和所述会话指纹密钥；所述应用服务器利用获取的所述会话指纹密钥对所述加密的认证票据进行解密，根据所述认证票据中的身份信息与许可票据中的身份信息来对用户终端进行验证；

如果通过验证，则确定用户终端得到认证；否则服务器认证失败。

优选地，在应用服务器获取所述用户的身份信息和所述会话指纹密钥之后还包括应用服务器对所述许可票据中的身份信息进行鉴别：比较所述许可票据中的身份信息中时间戳记录时间和当前时间的时间偏差，如果时间偏差在可接受的范围内，则确定身份信息通过鉴别。