[发明专利]采用预处理的身份认证系统和方法

说明书

技术领域

本发明涉及一种采用预处理的身份认证系统和方法。

背景技术

很多网络资源采用密钥加密的方式进行身份认证和登录。同时，为了使用户与认证服务器之间每次登录传输的信息都不相同，加密过程中也需要存在变量，如：不同的密钥、随时间变化的加密内容等等。

加密和解密的计算，尤其是非对称加密的计算，是很耗时的。因此，对于有很多用户的认证服务系统，就产生了以下问题：在认证高峰时，服务器性能不足；在认证空闲时，服务器设备性能闲置。

发明内容

本发明采用一种采用预处理的身份认证系统和方法，来解决以上提到的问题。在本发明中，采用由认证服务系统向用户终端发出的信息作为认证加密过程中的变量，使用户每次登录传递的认证信息都不同。而且，本发明中认证服务系统将需要进行的加解密计算预先执行，在用户终端返回认证信息后，认证服务系统不需再执行加解密运算而只需直接进行比对就可得出认证结论。这样，本发明将认证服务系统的加解密运算与终端用户的认证执行分开成了可以分别独立执行的步骤，这样就带来了以下优点：1)认证服务系统的加解密运算量不与用户的认证请求量直接相关，认证服务系统的加解密运算工作可以按不同时间的负荷情况进行合理和优化的分配；2)这种系统尤其适合实现于进行分工的多服务器系统上，其中，加解密运算和用户的认证工作分别执行于专用服务器上，这样做，一方面由于减少了专用设备昂贵的加密运算服务器而降低了运营成本，另一方面可以使服务器群组的工作负荷和内部通信流量得到合理和优化的分配；3)利用将认证与加解密计算分离执行一尤其是分别在不同的服务器上执行，可以通过访问控制实现对密钥或密码等用户识别关键内容的有效保护。

本发明是这样实现的：一种采用预处理的身份认证系统和方法，该系统包括终端系统和认证服务系统，其中，终端系统用户具有特征信息X，认证服务系统储存着对应的特征信息Y，其中，认证服务系统可以根据特征信息Y和关于特征信息X的信息验证对应关系，该方法包括以下步骤：

1)认证服务系统进行至少包括特征信息Y和认证信息A的数学计算，得到认证信息AY；

2)终端系统收到认证信息A或认证信息AY；

3)终端系统进行至少包括特征信息X和认证信息A的数学计算或者进行至少包括特征信息X和认证信息AY的数学计算，得到认证信息AX或认证信息AYX；

4)认证服务系统收到认证信息AX或认证信息AYX；

5)认证服务系统根据储存的认证信息AY和收到的认证信息AX进行判断，或者认证服务系统根据储存的认证信息A和收到的认证信息AYX进行判断，只有在认证信息AY与AX或者认证信息A与AYX符合对应关系的条件下，认证才能通过。

其中，所述的特征信息X和特征信息Y可以是密钥X和密钥Y，密钥X和密钥Y是同一个对称加密的密钥或一对非对称加密的密钥，所述的认证信息A是由任何符号组成的序列。这时，所述方法的步骤具体为：

1)认证服务系统以密钥X对认证信息A或其摘要进行加密，得到认证信息AY；

2)终端系统收到认证信息A或认证信息AY；

3)终端系统以密钥Y对认证信息A加密或者对认证信息AY解密，得到认证信息AX或者认证信息AYX；

4)认证服务系统收到认证信息AX或认证信息AYX；

5)认证服务系统根据储存的认证信息AY和收到的认证信息AX进行判断，或者认证服务系统根据储存的认证信息A或其摘要和收到的认证信息AYX进行判断，只有在认证信息A与认证信息AYX相符合或认证信息A与认证信息AYX相符合的条件下，认证才能通过。。

其中，所述的特征信息X和特征信息Y可以是由任何符号组成的序列，所述的认证信息A是数学算法或算法因子A。这时，所述方法的步骤具体为：

1)认证服务系统以数学算法或算法因子A对特征信息Y进行计算，得到认证信息AY；

2)终端系统收到数学算法或算法因子A；

3)终端系统以数学算法或算法因子A对特征信息X进行计算，得到认证信息AX；

4)认证服务系统收到认证信息AX；

5)认证服务系统根据储存的认证信息AY和收到的认证信息AX进行判断，只有在认证信息AY与认证信息AX相同的条件下，认证才能通过。

其中，所述的数学算法为单向函数、加密算法或以上两者组合，所述的算法因子为单向函数和加密算法在计算中有关的因子。