一種用於發現服務的用戶身份驗證方法及系統的製作方法
2023-10-06 11:04:39
一種用於發現服務的用戶身份驗證方法及系統的製作方法
【專利摘要】本發明涉及一種用於發現服務的用戶身份驗證方法及系統。由多個用戶身份驗證伺服器構成DHT網絡,每個伺服器的標識通過計算該伺服器擁有者的公鑰與其提供的一個隨機數的哈希值得到;每個用戶身份驗證伺服器分別基於PKI對用戶的身份進行驗證,通過後生成封裝成SAML格式的票據,然後將票據分為多個較小的數據分片並存儲;DS伺服器接收用戶的查詢請求,計算出相應數據分片的存儲位置並恢復出原始的票據,然後根據恢復後的票據對用戶的身份進行驗證,通過後返回與查詢物品RFID標識相關的企業信息伺服器地址。採用本發明,用戶只需要被驗證一次身份就能在一段時間內多次訪問DS,可以簡化用戶訪問DS的流程,並降低用戶的資源消耗。
【專利說明】-種用於發現服務的用戶身份驗證方法及系統
【技術領域】
[0001] 本發明屬於信息【技術領域】,具體涉及一種用於發現服務的用戶身份驗證方法及系 統。
【背景技術】
[0002] 近年來,RFID (Radio-Frequency Identification)被大規模用於製造業、物流業、 零售業等行業中物品的標識。發現服務(Discovery Service, DS)作為實現對供應鏈中物 品進行跟蹤和追溯的關鍵性支撐服務,被設計用於為用戶提供物品RFID標識與存儲該物 品詳細信息的多個企業的信息伺服器(Information Service, IS)地址之間的映射服務。 DS中存儲的物品與相關IS伺服器地址之間的映射信息能夠反映出物品的流通模式、企業 之間的貿易關係等商業敏感信息。因此,DS必須首先對用戶的身份進行驗證,在確定用戶 的身份後,再根據其訪問控制策略決定是否允許該用戶的訪問。
[0003] 當前,DS主要採用兩種方案對用戶的身份進行驗證:(1)基於用戶名/密碼的用 戶身份驗證方案;(2)基於PKI (Public-Key Infrastructure)的用戶身份驗證方案。第一 種方案的優點是,該方案非常簡單,並且很容易實現。但是,第一種方案的缺點是用戶需要 提前向所有DS中的伺服器註冊自己的用戶名和密碼,這非常不便於用戶訪問DS。此外,DS 中的每個伺服器需要分別維護大量的用戶身份信息,這對其也是一個很大的負擔。因此,基 於用戶名/密碼的用戶身份驗證方案,不適合在DS中應用。在基於PKI的用戶身份驗證方 案中,用戶需要先從其信任的CA(Certificate Authority)處得到一個X. 509證書,這個證 書包含該用戶的公鑰(Public Key)和私鑰(Private Key)等信息。在用戶訪問DS時,DS 將基於PKI對用戶的身份進行驗證。這種方案的優點是,用戶不需要提前向所有DS中的服 務器註冊自己的身份信息。用戶為獲取物品的詳細信息,需要經常訪問DS。但是DS每次在 允許用戶訪問前,都需要基於PKI對用戶的身份進行驗證,這不僅增加了用戶訪問DS的復 雜度,而且消耗了用戶的大量資源(CPU、帶寬等)。因此,基於PKI的用戶身份驗證方案不 能很好的滿足用戶的實際使用需求。綜上所述,當前在DS中用於對用戶進行身份驗證的兩 種主流方案,都不能很好的滿足實際的應用需求。
【發明內容】
[0004] 本發明針對當前用於在DS中對用戶進行身份驗證的兩種主流方案的不足,提出 一種用戶只需要被驗證一次身份,就能夠在一段時間內多次訪問DS的用戶身份驗證方案, 以簡化用戶訪問DS的流程,並且降低用戶的資源消耗。
[0005] 為實現上述目的,本發明採用如下技術方案:
[0006] -種用於發現服務的用戶身份驗證方法,其步驟包括:
[0007] 1)由多個用戶身份驗證服務提供者(UIASP,User Identity Authentication Service Provider)提供的用戶身份驗證伺服器構成DHT (Distributed Hash Table,分布 式哈希表)網絡,每個用戶身份驗證伺服器的標識通過計算該伺服器擁有者(某個WASP) 的公鑰與其提供的一個隨機數的哈希值得到;
[0008] 2)每個用戶身份驗證伺服器分別基於PKI對用戶的身份進行驗證,驗證通過後生 成一個封裝成SAML (Security Assertion Markup Language,安全斷言標記語言)格式的票 據(Ticket);
[0009] 3)用戶身份驗證伺服器基於 IDA (Information Dispersal Algorithm)在一個有 限域中將票據分為多個較小的數據分片;
[0010] 4)在完成對票據的分片後,用戶身份驗證伺服器根據用戶指定的key,通過哈希 鏈(Hash Chain)的方法計算各數據分片的存儲位置,然後存儲這些數據分片;
[0011] 5)DS中的伺服器接收用戶的查詢請求,根據用戶查詢請求中包含的key,採用哈 希鏈的方法計算出相應數據分片在用戶身份驗證伺服器中的存儲位置,並檢索和獲取這些 數據分片,然後根據這些數據分片恢復出原始的票據;
[0012] 6)DS中的伺服器根據恢復後的票據對用戶的身份進行驗證,通過驗證後,DS中的 伺服器向用戶返回與查詢物品RFID標識相關的企業信息伺服器地址。
[0013] 一種採用上述方法的用於發現服務的用戶身份驗證系統,包括:
[0014] 多個用戶身份驗證伺服器,由用戶身份驗證服務提供者(UIASP)提供,各用戶身 份驗證伺服器構成的DHT網絡,每個伺服器的標識通過計算該伺服器擁有者的公鑰與其提 供的一個隨機數的哈希值得到;每個用戶身份驗證伺服器分別基於PKI對用戶的身份進行 驗證,驗證通過後生成一個封裝成SAML格式的票據,然後在一個有限域中將票據分為多個 較小的數據分片並存儲;
[0015] DS伺服器,用於根據用戶的查詢請求檢索和獲取相應的數據分片,根據這些數據 分片恢復出原始的票據,然後根據恢復後的票據對用戶的身份進行驗證,通過驗證後向用 戶返回與查詢物品RFID標識相關的企業信息伺服器地址;
[0016] 企業信息伺服器,存儲物品的詳細信息,供用戶訪問以獲取物品相關信息。
[0017] 與現有技術相比,本發明的有益效果如下:
[0018] 1) 一次驗證,多次訪問:
[0019] 在接收到用戶的身份驗證請求後,⑶IAS將基於PKI對用戶的身份進行驗證。如 果用戶通過身份驗證,CUIAS將為該用戶生成一個票據,並使用IDA將其分為多個分片,然 後存儲在CUIAS中。當用戶訪問DS時,DS將根據用戶查詢請求中包含的參數從CUIAS中 檢索相應的分片,並進行數據恢復,然後根據恢復後的票據確定用戶是否通過CUIAS的身 份驗證。因此,在票據的有效時間內,用戶只需要被CUIAS驗證一次身份,就可以多次訪問 DS,從而能夠簡化用戶訪問DS的流程,降低用戶的資源開銷。
[0020] 2)跨平臺兼容性:
[0021] 在用戶身份驗證的過程中,涉及到用戶、DS伺服器等多個參與方。這些參與方所 使用設備的硬體和軟體可能是多種多樣的,例如,X86或ARM CPU、Windows或Linux操作系 統等。在本方案中,CUIAS基於SAML和PKI實現,因此,具有跨平臺兼容性,能夠支持基於 不同硬體體系或作業系統的設備。
[0022] 3)性能可擴展:
[0023] 隨著RFID在全球範圍內大規模的應用,DS將需要處理大量的用戶查詢請求。因 此,為DS提供用戶身份驗證的服務也需要具備性能可擴展性,以滿足不斷增長的需求。在 本文中,⑶IAS被實現為一個DHT網絡,能夠支持伺服器動態的加入和退出,具有很好的性 能可擴展性。
【專利附圖】
【附圖說明】
[0024] 圖1是本發明的⑶IAS的系統結構示意圖。
[0025] 圖2是本發明方法的驗證與查詢流程圖。
【具體實施方式】
[0026] 為使本發明的上述目的、特徵和優點能夠更加明顯易懂,下面通過具體實施例和 附圖,對本發明做進一步說明。
[0027] 1.CUIAS系統結構簡介
[0028] 針對DS已有的兩種主流用戶身份驗證方案的不足,提出一種基於SAML(Security Assertion Markup Language)和 PKI 實現的稱為 CUIAS(Centralized User Identity Authentication Service)的集中式用戶身份驗證方案,用於在全球範圍內為DS提供用戶 身份的驗證服務。
[0029] CUIAS 被部署為一個由多個 UIASP (User Identity Authentication Service Provider,用戶身份驗證服務提供者)提供的伺服器構成的DHT(Distributed Hash Table) 網絡,如圖1所示。由於DHT網絡能夠支持伺服器動態的加入和退出,因此⑶IAS具有強大 的性能可擴展性。此外,大多數DHT網絡,例如,Chord、Pastry和Tapestry,能夠通過0 (log N)跳完成在DHT網絡中的數據查找,其中N是DHT網絡中的伺服器總數。⑶IAS中每個服 務器的標識通過計算該伺服器擁有者(某個WASP)的公鑰與其提供的一個隨機數的哈希 值得到,即伺服器ID = hash(UIASP的公鑰,隨機數)。
[0030] 每個nASP分別基於PKI對用戶的身份進行驗證。用戶可以選擇自己信任的nASP 為自己提供身份驗證服務。在用戶的身份被驗證通過後,UIASP將生成一個固定長度的封裝 成SAML斷言格式的票據(ticket)。在這個票據中包含提供身份驗證服務的WASP的公鑰、 用戶的公鑰、票據生成時間(ticket generation time)、票據有效時間(ticket validity time)和票據數字籤名(ticket digital signature)。其中,票據有效時間由用戶在其身 份驗證的過程中指定,決定了該票據的有效時間長度。票據數字籤名由UIASP使用自己的 私鑰對票據的MD5(Message Digest Algorithm 5)校驗和進行籤名得到,以保證票據的數 據完整性。
[0031] IDA (Information Dispersal Algorithm)是一種糾刪碼算法,通過將一個長度為 L的文件F分為n(n>m)個分片Fi (1彡i彡η),並且每個分片的長度為L/m,那麼任意的m 個或更多個分片就能夠恢復出原始文件F,但是(m-1)個或更少的分片不能恢復出原始文 件F。IDA能夠有效的保證數據的可用性,在數據存儲領域中應用廣泛。為了保證數據可用 性,UIASP基於IDA在一個有限域中將票據分為多個較小的數據分片,具體流程參考後文第 3節。
[0032] 在完成對票據的分片後,UIASP將根據用戶指定的key,通過哈希鏈(Hash Chain) 的方法計算這些分片在⑶IAS中的存儲位置,然後將這些分片存儲在⑶IAS中,具體流程參 考後文第4節。
[0033] DS中的伺服器在收到用戶的查詢請求後,將根據用戶查詢請求中包含的key,採 用哈希鏈的方法計算出相應分片在CUIAS中的存儲位置,並檢索和獲取這些分片。當DS服 務器成功獲得足夠數量的分片後,將根據這些分片恢復原始的票據,具體流程參考後文第5 節。
[0034] DS中的伺服器根據恢復後的票據,對用戶的身份進行驗證。如果用戶的身份通過 驗證,DS中的伺服器將根據自己的訪問控制策略決定給用戶返回哪些結果。
[0035] 2.驗證與查詢過程
[0036] 為了獲取物品的詳細信息,用戶需要首先通過⑶IAS進行身份驗證,然後再訪問 DS,以獲得存儲物品相關信息的多個伺服器的地址。假設用戶選擇WASP Μ為其提供身份 驗證服務,則具體的驗證與查詢流程如下,如圖2所示。
[0037] Step 1:用戶向HASP Μ發送一個驗證請求。在這個驗證請求中,包含了該用戶的 公鑰(public key)。
[0038] Step 2:UIASP Μ生成一個一次性的消息,其中包含HASP Μ的公鑰、時間戳和一個 隨機數。然後UIASP Μ使用用戶的公鑰對這個消息進行加密,並返回給用戶。
[0039] St印3:用戶使用自己的私鑰對消息解密,然後再使用UIASP Μ的公鑰對之前消 息解密後的內容進行加密,並返回給WASP Μ。
[0040] St印4:UIASP Μ使用自己的私鑰解密用戶返回的消息。如果該消息的內容與其在 Step 2中發送的消息的內容相同,那麼就可以確定該用戶的身份。然後,UIASP Μ發送一個 消息給用戶,請求參數n、m、key和票據有效時間(ticket validity time)的值。
[0041] Step 5:用戶接收到UIASP Μ發送的消息,向其返回參數n、m、key和ticket validity time 的值。
[0042] St印6:UIASP M根據用戶返回的參數生成ticket,然後基於IDA和參數n、m對這 個票據進行分片,具體過程參考後文第3節。
[0043] St印7: UIASP Μ根據用戶返回的參數key計算這些分片在⑶IAS中的存儲位置, 並將這些分片存儲在⑶IAS中,具體過程參考4. 4節。
[0044] St印8:用戶發送一個包含物品RFID標識和參數n、m、key和UIASP Μ的公鑰的 查詢請求給某個DS伺服器(假定該伺服器為Β)。
[0045] St印9: DS伺服器Β使用key計算η個分片在⑶IAS中的存儲位置,並檢索這些 分片,具體過程參考後文第4節。當DS伺服器Β成功的檢索到m或更多個分片後,將使用 IDA恢復原始的ticket,具體過程參考後文第5節。
[0046] St印10:DS伺服器B使用恢復後的ticket對用戶的身份進行驗證。在確定用戶 的身份後,DS伺服器B將根據自己的訪問控制策略向用戶返回與查詢物品RFID標識相關 的伺服器地址。
[0047] St印11:用戶根據DS伺服器B返回的結果,訪問這些伺服器,以獲取物品在整個 供應鏈中的詳細信息。
[0048] 3.數據分片
[0049] 在HASP Μ生成ticket (標記為T)後,UIASP Μ將基於IDA算法和參數n、m在有 一個有限域中將該ticket分為n (n>m)個分片,每個分片的長度是L/m,那麼,其中任意的m 個或更多個分片能夠恢復出原始票據T,但是,(m-1)個或更少的分片不能恢復出原始票據 τ。首先,將T看作一個8位字節的串,即T = bi,b2,…,K,其中bi(l彡i彡L)是一個8位 的字節,則4可以被認為是一個介於0與255之間的整數。其次,我們選擇一個大於255的 素數p = 257,則可將T看作是有限域Zp中元素組成的串,並且以下所有的計算都在有限域 Zp中執行。UIASP Μ基於IDA和參數n、m對T的具體分片流程如下:
[0050] 1)UIASP Μ選擇η個向量
【權利要求】
1. 一種用於發現服務的用戶身份驗證方法,其步驟包括: 1) 由多個用戶身份驗證服務提供者提供的用戶身份驗證伺服器構成DHT網絡,每個用 戶身份驗證伺服器的標識通過計算該伺服器擁有者的公鑰與其提供的一個隨機數的哈希 值得到; 2) 每個用戶身份驗證伺服器分別基於PKI對用戶的身份進行驗證,驗證通過後生成一 個封裝成SAML格式的票據; 3) 用戶身份驗證伺服器基於IDA在一個有限域中將票據分為多個較小的數據分片; 4) 在完成對票據的分片後,用戶身份驗證伺服器根據用戶指定的key,通過哈希鏈的 方法計算各數據分片的存儲位置,然後存儲這些數據分片; 5)DS中的伺服器接收用戶的查詢請求,根據用戶查詢請求中包含的key,採用哈希鏈 的方法計算出相應數據分片在用戶身份驗證伺服器中的存儲位置,並檢索和獲取這些數據 分片,然後根據這些數據分片恢復出原始的票據; 6)DS中的伺服器根據恢復後的票據對用戶的身份進行驗證,通過驗證後,DS中的服務 器向用戶返回與查詢物品RFID標識相關的企業信息伺服器地址。
2. 如權利要求1所述的方法,其特徵在於,步驟2)所述票據中包含:提供身份驗證服 務的用戶身份驗證伺服器的公鑰、用戶的公鑰、票據生成時間、票據有效時間和票據數字籤 名;所述票據有效時間由用戶在其身份驗證的過程中指定,決定該票據的有效時間長度; 所述票據數字籤名用以保證票據的數據完整性。
3. 如權利要求2所述的方法,其特徵在於:所述票據數字籤名由用戶身份驗證伺服器 使用自己的私鑰對票據的MD5校驗和進行籤名得到。
4. 如權利要求1所述的方法,其特徵在於:步驟3)將票據分為n個分片Fi,n>m,I<i<n,並且每個分片的長度為L/m;步驟5)根據任意的m個或更多個分片恢復出原始 的票據。
5. 如權利要求4所述的方法,其特徵在於,步驟3)對票據進行分片的具體方法是: 首先,將T看作一個8位字節的串,即T=Id1,b2,…,,其中IDi是一個8位的字節, I<i<L,則h可以被認為是一個介於O與255之間的整數; 其次,選擇一個大於255的素數p,將T看作是有限域Zp中元素組成的串,並且以下所 有的計算都在有限域Zp中執行;某個用戶身份驗證伺服器M基於IDA和參數n、m對T的具 體分片流程如下: a)M選擇n個向量
,其中的任意m個向量都是線性 無關的; b)M將T分為長度為m的多個部分,即
c)M計算
如下面公式所示:
d)M將ai和Ti組合在一起作為第i個分片
其中,%和Ti之間使用";"區分。
6. 如權利要求5所述的方法,其特徵在於,步驟4)對分片進行存儲的具體方法是: 首先,M為每個分片生成一個TTL值,並將其附加在對應的分片中,每個分片的TTL值 是一個大於其原始票據中票據有效時間的隨機數; 然後,M計算每個分片的存儲位置Li,i= 1,…,n,公式如下:
M將Li作為第i個分片的標識符,並將其附加在第i個分片的頭部;然後M為每個分片 生成一個MD5校驗和並將其附加在分片尾部;最後M將這些分片根據其存儲位置進行散列 存儲。
7. 如權利要求6所述的方法,其特徵在於,步驟5)中,設DS伺服器成功獲得了m個數 據分片,則根據該m個數據分片恢復出原始票據的方法是: DS伺服器從分片i中獲取向量aieZ;^和TieZ;:,1彡i彡m,令4
則A是一個m*m的矩陣,將f1的第i行標記為(an,…,aj,那麼
1彡j彡L,1彡k彡L/m,如下面公式所示:
據此,可以得到原始票據
8. -種採用權利要求1所述方法的用於發現服務的用戶身份驗證系統,其特徵在於, 包括: 多個用戶身份驗證伺服器,由用戶身份驗證服務提供者提供,各用戶身份驗證伺服器 構成的DHT網絡,每個伺服器的標識通過計算該伺服器擁有者的公鑰與其提供的一個隨機 數的哈希值得到;每個用戶身份驗證伺服器分別基於PKI對用戶的身份進行驗證,驗證通 過後生成一個封裝成SAML格式的票據,然後在一個有限域中將票據分為多個較小的數據 分片並存儲; DS伺服器,用於根據用戶的查詢請求檢索和獲取相應的數據分片,根據這些數據分片 恢復出原始的票據,然後根據恢復後的票據對用戶的身份進行驗證,通過驗證後向用戶返 回與查詢物品RFID標識相關的企業信息伺服器地址; 企業信息伺服器,存儲物品的詳細信息,供用戶訪問以獲取物品相關信息。
【文檔編號】H04L29/06GK104243462SQ201410452212
【公開日】2014年12月24日 申請日期:2014年9月5日 優先權日:2014年9月5日
【發明者】劉鵬, 孔寧, 田野, 李曉東, 閻保平 申請人:中國科學院計算機網絡信息中心