所提出的方法有利地利用与标准加密算法相结合的标准HTTP认证质询方法以便得到新的质询响应方法,所述新的质询响应方法能够使用用于移动设备的当前操作系统(包括由美国加利福尼亚州库比蒂诺的Apple公司开发的iOS)的现有应用程序接口(API)。所提出的方法有利地使得能够实现通过使用智能卡的应用了协议HTTPs的两因素认证。这有利地促进移动设备上现有PKI基础设施的使用。
【技术实现步骤摘要】
【国外来华专利技术】
本实施例设及用于认证设备的用户的方法和系统。更具体地,本实施例设及用于 通过使用被指派给用户的证书(credential)来对着服务器认证设备的用户的方法和系统。 所述证书至少包括公共凭证(certificate)和私有密钥。证书由至少临时对接到设备的认 证控制器所存储。
技术介绍
相当大的数目的机密应用要求两因素认证。两个因素通常是具有(HAVE),如具有 认证控制器,和知道化NOW),如知道个人标识号或PINW便访问认证控制器。 认证控制器指代在设备可操作之前或随同设备的使用而帮助认证设备的用户的 功能设备。将在本上下文中被提及到的运样的认证控制器包括所谓的智能卡,其通常包括 处理器、存储器和连接接口。智能卡被提供有用于处理被录入到智能卡中的输入和用于生 成响应的软件。尽管W下在本描述中,运样的认证控制器将主要被称为智能卡,但显而易见 的是实施例不限于仅使用在智能卡中。 许多公司已经建立了公共密钥基础设施,也称为PKI,其中智能卡被操作用于存储 和提供被指派给特定用户或用户群组的证书W便认证用户或用户群组的一个成员。[000引运些证书可W包括诸如私有凭证、公共凭证、私有密钥和公共密钥之类的数据,其 有助于提供用户的两因素认证。
技术实现思路
移动设备的使用迅速前进,连同对于认证运样的移动设备的用户的需求。商业供 应者优选智能卡认证也用于移动设备,与公司权限服务相一致。尽管集成在移动设备中的 或可连接为外部附件的各种智能卡读取器是通常可用的,但是移动设备的一些操作系统并 不遵照运种auf认证。虽然支持将凭证存储在移动设备的较紧密环境中,但是在移动设备上 执行的多数操作系统不能处理存储在外部智能卡上的凭证。 因此,在本领域中存在对于一种认证设备的用户的方法的需要,所述方法克服了 目前的操作系统在处理被存储在外部智能卡上的凭证中的缺陷,从而保持了从常规台式计 算机已知的智能卡认证过程的安全标准。 根据本专利技术的各种实施例的系统和方法提供设备的用户的认证。 在一个实施例中,公开了一种用于对着服务器而认证设备的用户的方法,所述方 法使用被指派给所述用户的证书,所述证书至少包括公共凭证和私有密钥,所述证书由至 少临时地对接到所述设备的认证控制器所存储,所述方法包括W下步骤: a) 由所述设备接收由所述服务器发出的认证请求,所述认证请求至少包括质询 (challenge); b) 由所述设备计算所述质询的散列(hash)值并向所述认证控制器传送所述散列值; C)由所述设备请求所述认证控制器通过用所述私有密钥对所述散列值进行签名来计 算签名,并从所述认证控制器接收所述签名; d) 由所述设备通过对所述签名进行编码来组成第一串; e) 由所述设备从所述认证控制器读取所述公共密钥凭证,并通过对所述公共密钥凭 证进行编码来组成第二串; f) 通过使用包括专用于用户名串和口令串的级联的串文字(string literal)的响应 格式并将所述第一串和所述第二串的级联插入到所述串文字中来组成对所述认证请求进 行应答的响应;W及; g) 向所述服务器传送所述响应。 根据实施例,公开了一种用于对着服务器而认证设备的用户的方法,包括W下步 骤: a) 由所述服务器接收由所述设备发送的响应,所述响应被响应性地发送到在前的认 证请求; b) 标识被包括在所述响应中的串文字,所述串文字专用于用户名串和口令串的级联; C)将所述串文字分解成第一串和第二串; d) 从所述第一串或第二串之一提取质询的散列值、公共密钥凭证和签名; e) 用服务器所提供的相应证书来验证所述散列值、所述公共密钥凭证和所述签名;W 及; f) 如果所述验证步骤递送肯定结果则向所述设备传送认证消息。 根据实施例,提出了一种设备,所述设备支持通过使用被指派给用户的证书而对 着服务器来认证所述用户,所述证书至少包括公共凭证和私有密钥,所述证书由至少临时 对接到所述设备的认证控制器所存储,所述设备包括: a) 用于接收由所述服务器发出的认证请求的装置,所述认证请求至少包括质询; b) 用于计算所述质询的散列值并用于向所述认证控制器传送所述散列值的装置; C)用于请求所述认证控制器通过用所述私有密钥对所述散列值进行签名来计算签名 并从所述认证控制器接收所述签名的装置; d) 用于通过对所述签名进行编码来组成第一串的装置; e) 用于从所述认证控制器读取所述公共密钥凭证并用于通过对所述公共密钥凭证进 行编码来组成第二串的装置; f) 用于通过使用包括专用于用户名串和口令串的级联的串文字的响应格式并将所述 第一串和所述第二串的级联插入到所述串文字中来组成对所述认证请求进行应答的响应 的装置;W及; g) 用于向所述服务器传送所述响应的装置。【附图说明】 本专利技术的目的W及另外的优势将从结合附图所理解的优选实施例的W下描述中 变得更显而易见并容易领会,所述附图伴随W下的图: 附图示出根据实施例的用于对着服务器而认证设备的用户的步骤的流程图。【具体实施方式】 在附图中,描绘了用于认证用户的步骤的流程图。 为了在设备DVC和服务器之间安全地交换被存储在智能卡上的证书,建立安全的 HTTP(超文本传输协议)连接或HTTPs连接。 在第一步骤100中,由设备例如通过请求服务器SRV的HTTPs资源来请求HTTPs连 接,所述服务器SRV可W是安全网站。 在后续步骤110中,服务器SRV接收设备的请求并计算质询,例如具有128字节的长 度的随机数。 在后续步骤120中,服务器SRV发出认证请求。针对认证的请求被共同的HTTP (S)认 证质询消息所要求,例如HTTP基础认证或HTTP客户端凭证认证。认证质询消息包括串文字, 所述串文字是域(realm)串和包含质询的共同字符编码的串的级联。共同字符编码的示例 是基础64(Base 64)。域串包含特定域的文本标识符,其可W用于标识所要求的认证方法。 特定域的示例性标识符是〉〉MobiIe化rd<<,其请求使用智能卡的认证方法。由步骤120发送 到设备的认证质询消息具有W下示例性结构: httpBa孩资。3场IeCar巧牛技:迁36贸4{〇_打这11该呈19巧5) 在后续步骤130中,由设备DVC接收认证请求。设备DVC计算被包括在认证请求中的质询 的散列值。可选地,计算例如具有128字节的长度的随机数的种子。质询和可选地种子用于 计算散列值。具体地,由所接收的质询和种子的级联组成串文字。该串文字的SHAl散列值通 过W下来计算: ha狡h -沒HAl (Ch為1.1錢:巧9檐|孩贷治过) W便接收散列值。 在后续步骤140中,设备DVC请求智能卡AUT通过用存储在智能卡AUT上的私有密钥 对散列值进行签名来计算签名。 在步骤150中,智能卡接收该请求,并且在步骤150中,计算签名。在实施例中,通过 应用PKCS#1算法来计算签名。通过访问智能卡AUT,提示设备DVC的用户录入被指派给智能 卡AUT的个人标识号或PINW便释放访问智能卡AUT的步骤。不能从卡读取私有密钥,因而, 该操作或对散列值进行签名需要在智能卡AUT上执行。智能卡AUT通过W下来计算签名: sign筑ture ^ 咨主ha毀妃)。 在本文档来自技高网...
【技术保护点】
一种用于通过使用被指派给用户的证书来对着服务器而认证设备的所述用户的方法,所述证书至少包括公共凭证和私有密钥,所述证书由至少临时地对接到所述设备的认证控制器所存储,所述方法包括以下步骤:a) 由所述设备接收由所述服务器发出的认证请求,所述认证请求至少包括质询;b) 由所述设备计算所述质询的散列值并向所述认证控制器传送所述散列值;c) 由所述设备请求所述认证控制器通过用所述私有密钥对所述散列值进行签名来计算签名,并从所述认证控制器接收所述签名;d) 由所述设备通过对所述签名进行编码来组成第一串;e) 由所述设备从所述认证控制器读取所述公共密钥凭证,并通过对所述公共密钥凭证进行编码来组成第二串;f) 通过使用包括专用于用户名串和口令串的级联的串文字的响应格式并将所述第一串和所述第二串的级联插入到所述串文字中来组成对所述认证请求进行应答的响应;以及;g) 向所述服务器传送所述响应。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:K特德特,T沃尔夫,
申请(专利权)人:西门子公司,
类型:发明
国别省市:德国;DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。