基于宿管系统的身份识别方法与流程

1.本发明涉及系统安全，特别涉及一种基于宿管系统的身份识别方法。


背景技术：

2.身份验证机制是识别合法用户的凭证。在联网的校园宿管系统中，学生用户必须输入用户名和密码来登录到宿管平台，但泄露密码可能会导致入侵和数据泄露。此外，越来越严格的密码强度需求导致用户无法记住密码。以密码为中心的身份验证模式已经无法适应现代网络宿管平台用户。


技术实现要素：

3.为解决上述现有技术所存在的问题，本发明提出了一种基于宿管系统的身份识别方法，用于宿管系统终端向被访问的校园云服务提供用户的身份识别，包括：
4.向云端代理注册用户，以创建用户的密码和用户标识码，所述密码和用户标识码链接到与用户组相关联的账户；
5.接收所述宿管系统终端的用户的请求，以向所述云端代理注册自身的终端，以创建包括生成终端水印和终端预共享密钥所需的接收到的唯一终端标识符的终端简档，并为所述宿管系统终端创建终端资产标识号；
6.根据用户使用的服务简档，向所述代理注册多个服务，其中服务简档包括服务主体名称、与服务主体名称相关联的用户名、密码和终端资产标识号，以及使用终端水印在宿管系统终端加密的密码；
7.将已注册的用户、宿管系统终端和服务简档存储在云端代理的存储库中；授权所述用户在所述宿管系统终端访问服务，其中所述云端代理在被访问的校园云服务上执行；
8.从用户接收用户终端水印，由宿管系统终端生成用户令牌请求，所述用户令牌请求包含终端资产标识号、账户、时间戳、使用所述终端水印和时间戳生成的数字签名、服务主体名称、与服务相关联的用户名，以及经由云端代理接收的数字签名服务id；由所述宿管系统终端向所述云端代理发送生成的用户令牌请求；
9.处理所接收的用户令牌请求，以生成链接到被访问的校园云服务的一次性用户令牌；
10.将生成的一次性用户令牌发送给宿管系统终端；由宿管系统终端的终端水印来解密所接收的一次性用户令牌中的加密密码；由所述宿管系统终端将解密的密码以及具有一次性用户令牌的预认证令牌转发给被访问的校园云服务的云端代理；
11.由被访问的校园云服务的云端代理验证从客户端应用接收的一次性用户令牌；基于所接收的密码以及包括在所验证的一次性用户令牌中的预认证令牌来认证用户；以及
12.将宿管系统终端访问服务的认证结果通知所述用户。
13.本发明相比现有技术，具有以下优点：
14.本发明提出了一种基于宿管系统的身份识别方法，用户密码无需记忆和手动输
入，并且用于身份识别的终端水印不存储在终端中，阻止了攻击者使用泄露的密码，提高了身份识别的安全性。
附图说明
15.图1是根据本发明实施例的基于宿管系统的身份识别方法的流程图。
具体实施方式
16.下文与图示本发明原理的附图一起提供对本发明一个或者多个实施例的详细描述。结合这样的实施例描述本发明，但是本发明不限于任何实施例。本发明的范围仅由权利要求书限定，并且本发明涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节以便提供对本发明的透彻理解。出于示例的目的而提供所述细节，并且无所述具体细节中的一些或者所有细节也可以根据权利要求书实现本发明。
17.本发明的一方面提供了一种基于宿管系统的身份识别方法。图1是根据本发明实施例的基于宿管系统的身份识别方法流程图。
18.本发明提出了一种用于宿管系统终端相关身份的权威证明的方法。本发明提供了对服务会话中的用户和宿管系统终端的识别，对用户宿管系统终端的来源加水印，基于合法的社交关系对用户进行评分，以及利用有向图进行动态数据融合来对基于属性的关系进行建模。其中用户认证借助于由云端发布的用户令牌和由被访问的校园云服务发布的服务id，在服务会话中与用户的宿管系统终端和用户的社交关系相关联的终端水印，其中附属信息作为包括动态计算的附属权值、组件权值和附属属性的用户令牌被传输。
19.本发明的终端水印并不存储在用户宿管系统终端或代理服务器上，也不在网络上传输，而是使用哈希函数在用户宿管系统终端和代理服务器上自动动态生成。终端水印使用紧密耦合并绑定到用户宿管系统终端的多个终端标识符来生成。此外，终端水印不需要任何外部物理宿管系统终端，例如硬件密钥卡来接收一次性密码。
20.由被访问的校园云服务发布的服务id用服务器私钥进行数字签名，并通过具有扩展服务器验证的安全加密信道传输。用于社交关系的用户令牌仅在服务id验证时生成，并通过安全加密信道传输。
21.在认证过程之前基于与用户宿管系统终端相关联的终端水印、用于在用户宿管系统终端传输用于解密的加密密码之前验证被访问的校园云服务的服务id，以及在用户的宿管系统终端上使用终端水印和用户的个人识别码解密加密的密码，其中该用户的个人识别码仅为用户所有，并且链接到需要用户认证的被访问的校园云服务，或者使用不需要用户认证的被访问的校园云服务的宿管系统终端预共享加密的用户识别码。个人识别码包括服务认证码和用户识别码两种。
22.所述社交关系为生成和发布用户令牌的机制，该用户令牌包括由被访问的校园云服务请求的用户的附属权值、组件权值和附属属性，并且在具有用户认证的服务会话期间被用户同意。用户令牌请求生成需要使用终端水印、宿管系统终端预共享密码和用户识别码。此外，用户的附属关系是其他用户和组织之间的关系。所述服务认证码和用户识别码运行多个用户使用不同的个人识别码安全共享单个终端和相关终端水印。
23.对于需要认证的服务的访问，用pic表示由用户创建的并且仅由用户知道的终端
水印。终端水印由宿管系统终端和代理动态自动生成，以建立服务会话期间用户在宿管系统终端上存在的证明。终端水印用于加密与访问的服务相关联的密码，以便在认证过程期间使用。用户终端水印并不向身份提供者注册，仅用于加密用户的原始身份验证密码。这有助于使用更强的密码和定期更改密码，而不必调用难以记住的密码，以及阻止攻击者使用泄露的密码。
24.对于不需要认证的服务的访问，宿管系统终端使用终端预共享密码对用户标识码进行加密，以便通过安全通道传输到代理。通过要求私密的用户的终端水印来保护受损终端水印不会受到攻击者宿管系统终端的恶意使用，以及通过要求匹配的终端水印来保护受损用户终端水印不会受到攻击者宿管系统终端的恶意使用。此外，终端水印的泄露将需要泄露终端预共享密钥和与用户的注册宿管系统终端相关联的多个终端标识符。
25.与传统的代理认证过程不同，本发明在宿管系统终端提供了对用户的权威识别，而不是基于生物特征或终端属性的用户认证机制。用户向被访问的校园云服务提供身份验证凭据，而不必手动输入难以记住的服务登录密码。方法不会将用户的密码存储在由单个密码保护的库中，以使用表单自动填充进行自动身份验证。用户使用私密的用户终端水印和动态生成的终端水印在宿管系统终端上加密密码，并向代理注册加密的密码，以生成在随后对服务的访问中包括加密密码的用户令牌。加密的密码只能在宿管系统终端上使用动态生成的终端水印和私密的用户终端水印来解密。用户可以对来自一个终端的所有被访问的校园云服务使用相同的终端水印，对一个终端上的每个被访问的校园云服务使用不同的终端水印，或者对同一被访问的校园云服务在不同终端上使用不同的终端水印。如果终端标识符改变，只需一次重新同步注册的宿管系统终端，并且如果用户的终端水印在宿管系统终端上被破坏，只需一次重新加密使用同一用户终端水印保护的所有密码，而不需要改变所有密码。
26.本发明构建了包括实体顶点和关系链接的有向图，将属性作为因变量或自变量进行处理，将属性映射到组件，并评估组件权值和属性在用户的附属权值计算中的相对影响。
27.本发明的社交关系不是基于属性的访问控制，而是基于用于访问后权限管理的有向图中的实体关系的权值，其中实体包括用户、组织和简档，并且关系包括实体的依赖和独立属性。
28.本发明使用多个本地终端标识符和终端预共享密钥，由代理通过安全信道与宿管系统终端共享，通过hash函数动态生成终端水印用于宿管系统终端识别。用户识别基于与服务主体名称相关联的用户名，用户终端水印可以与多个用户宿管系统终端上的多个密码和多个被访问的校园云服务相关联。
29.身份识别的方法基于服务器对注册宿管系统终端的确认，作为用户在识别的宿管系统终端存在的证明，以及基于手动输入的用户终端水印对用户的验证。在身份验证握手或管理会话期间，用户终端水印不通过网络传输。
30.宿管系统终端注册和动态验证基于组账户和终端的多个属性和组件。所述属性包括硬件标识、可信平台模块芯片标识符、处理器标识终端资产标识号等。宿管系统终端的注册宿管系统终端的上述属性用于动态生成全局唯一的终端水印和相关终端资产标识号，在会话中保持不变。
31.全局唯一终端水印由hash函数使用终端预共享密钥psk和与注册宿管系统终端相
关联的终端标识符动态生成，终端预共享密钥通过安全信道与宿管系统终端共享，终端标识符在宿管系统终端自动生成。因此，终端水印不会保存在宿管系统终端或代理中。
32.用户的标识基于账户、宿管系统终端注册和服务简档，其中服务简档中的密码使用终端水印和用户的终端水印来加密，并且包括服务主体名称(例如，url)，客户端通过该名称唯一地标识服务的实例、用户名、密码和终端资产标识号。用户终端水印在宿管系统终端本地输入，以解密服务简档中的密码。包含在服务简档中的密码使用终端水印来加密。
33.在注册宿管系统终端的注册服务的用户会话期间，对代理的用户令牌请求包括终端资产标识号、账户、时间戳、使用终端水印和时间戳生成的数字签名、服务主体名称、访问的服务需要认证的用户名或使用访问的服务不需要认证的终端预共享密钥加密的用户标识码、经由云端代理接收的数字签名的服务id以及访问的服务ip地址。用户令牌响应可以包括服务简档中的加密密码，该密码最初是在服务注册期间使用终端水印加密的。服务简档中的加密密码只能使用用户的终端水印进行解密。通过在宿管系统终端和代理之间的安全信道上使用标准时间戳和消息完整性签名，可以保护用户令牌请求不会受到重放攻击。
34.实时会话中的身份识别需要链接到服务简档的一次性用户令牌一次性用户令牌由代理基于终端水印的验证而发布，以向服务认证被识别的用户，可选的附属上下文包括附属权值、组件权值和分类附属属性。一次性用户令牌可以包括加密的密码或用户的预认证令牌。
35.基于身份识别的社交关系是通过将从多个第三方数据源收集的各种大数据集作为有向图进行处理，并通过用户名、地址、电话号码等来查询而建立。接收到的数据集包括用户简档信息。查询还接收与用户可能关联的组织相关的数据集，该数据集包括组织简档信息。社交关系用于充分限定用户与多个独立和可信节点的关联，以基于用户简档建立完整性。
36.用户的附属权值是对合法属性和关系度量，属性和关系是基于云端可获得的关于用户的信息来确定的。社交关系权值是基于多个分量权值导出的，其中每个分量权值还基于从关于用户的多个数据源接收的相关属性的相对权值和分类来确定。用户简档的隐私是通过以下方式来保护的，首先在用户的宿管系统终端上用私密的用户的终端水印加密数据，随后在远程服务器上用基于用户简档信息和服务器硬件动态生成的服务器平台标识号进一步加密数据。这为用户的静态数据提供了双重保护。
37.从属权值的计算使用有向图，其中一组对象即节点连接在一起，所有的边即链接从一个节点指向另一节点，函数同态加密用于混淆。代理服务通过对用户的定向查询从多个数据源中获取各种用户属性。可以缓存在存储库中的用户属性包括个人、社交、专业和组织领域的信息。用户的静态和关联属性用于构建动态有向图，将实体表示为节点，将关系表示为链接。实体包括用户社区、社交网络、组织、角色。所述关系代表一种关联类型，如亲属、同事、朋友。基于评分函数遍历有向图来计算多个分量权值。权值函数为匹配权值标准的每个实体和关系计算加权权值。
38.社交关系权值计算基于实体之间的相互依赖关系。每个节点都是一个实体，并且可以被分配属性。每个链接代表一个具有静态或动态绝对权值的指定属性的关系。用户实体的附属权值的计算基于有向图中其他实体和关系的加权绝对权值的条件权值。
39.安装在注册宿管系统终端上的应用与需要认证的服务或不需要认证的服务执行
在线会话。服务可以查询正在与服务执行在线会话的用户的附属关系。在注册宿管系统终端向用户提供一组用户控件，以管理操作的身份识别和社交关系模式。用户在访问需要认证的服务时不必记住或手动输入密码。当用户离开注册宿管系统终端时，提供基于接近度的自动禁用操作模式作为安全锁定机制。允许用户在用户访问服务时向服务平台提供确认以公开所请求的附属关系。用户与群组账户的其他成员共享注册的宿管系统终端。
40.在本发明的一个示例性实施例中，代理通过发送认证组件从服务请求预认证令牌，该认证组件包含由服务平台为代理发布的秘密密钥、用户的用户名、可选时间戳和宿管系统终端的可选ip地址。用户令牌包括用户发布给代理的预认证令牌。当包括预认证令牌时，不需要密码，仅有效的用户名就足以向服务认证用户。用户的预认证令牌可以存储在代理存储库中，并基于会话持续时间设置到期日期和时间。
41.代理可以发布用于身份识别和归属的单个用户令牌，或者发布分离的用户令牌，一个用于身份识别的用户令牌和一个用于身份归属的使用令牌。
42.用户访问需要认证来授权用户访问的服务。用户为客户端应用提供终端水印以请求用户令牌，其中，在用户的宿管系统终端上，令牌请求创建的方法需要动态生成的终端水印、终端预共享密钥、终端资产标识号和由接收的代理发布给服务的服务id。代理验证接收到的服务id，并且仅在用相关联的公钥成功验证时，生成并发布具有附属信息和加密密码的用户令牌，用于在具有终端水印的用户宿管系统终端解密。用户名、解密的密码和用户令牌通过加密的安全信道被转发到服务，服务器证书被扩展验证。
43.使用服务主体名称向代理注册。托管服务的服务器的客户端证书和托管代理的代理服务器的服务器证书用于使用安全套接字层或tls建立相互安全的连接。代理生成并返回链接到服务器的完全合法域名的通用唯一服务id。
44.宿管系统终端的用户使用代理服务器的服务器证书通过安全连接向代理注册服务简档。客户端应用在宿管系统终端使用终端水印和用户的终端水印对服务简档中的密码进行加密，然后将其传输到代理。使用代理服务器的硬件密钥进一步加密用户的注册服务简档，并将其存储在代理存储库中。宿管系统终端的客户端应用可以在用户访问服务时查询服务的注册服务简档。
45.综上所述，本发明提出了一种基于宿管系统的身份识别方法，用户密码无需手动输入，并且用于身份识别的终端水印不存储在终端中，阻止了攻击者使用泄露的密码，提高了身份识别的安全性。
46.显然，本领域的技术人员应该理解，上述的本发明的各模块或各步骤可以用通用的计算系统来实现，它们可以集中在单个的计算系统上，或者分布在多个计算系统所组成的网络上，可选地，它们可以用计算系统可执行的程序代码来实现，从而，可以将它们存储在存储系统中由计算系统来执行。这样，本发明不限制于任何特定的硬件和软件结合。
47.应当理解的是，本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理，而不构成对本发明的限制。因此，在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。此外，本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。