[发明专利]基于密码学的集中式身份管理、分布式认证与授权的方法

权利要求书

1.一种基于密码学的集中式身份管理、分布式认证与授权的系统，其特征在于，包括：

认证服务器，至少用于：

a)根据用户的权限数据与用户的认证数据，通过哈希的方式生成用户唯一的用户ID，以及该ID完成认证所需要的信息；

b)根据用户ID以及用户数据生成全部用户指纹；

c)为每个用户生成用户ID在上述指纹中的证据；

d)增加、更新、删除用户以及用户的授权数据；

认证凭证生成服务器，至少用于存储认证服务器生成的用户ID与证据，以及所有的不含有敏感信息的中间状态数据，同时，至少用于完成全部用户指纹的发布、更新；

应用服务器，与认证凭证生成服务器进行连接，用于订阅认证凭证生成服务器的全部用户指纹的更新；

客户端，至少保存如下信息：

a)客户端ID，以及客户端存在于全部用户指纹中的证据；

b)客户端的密码方式。

2.如权利要求1所述的一种基于密码学的集中式身份管理、分布式认证与授权的系统，其特征在于，所述应用服务器与所述认证凭证生成服务器保持间断连接，所述应用服务器通过懒惰订阅的方式订阅所述认证凭证生成服务器的全部用户指纹的更新的过程。

3.基于权利要求1所述的基于密码学的集中式身份管理、分布式认证与授权的系统的新用户增加方法，其特征在于，包括以下步骤：

步骤101、用户向系统提交用户数据，该用户数据包含基本的用户信息；

步骤102、认证服务器根据用户提供的用户数据以及用户的认证信息，生成用户的用户ID；

步骤103、认证服务器根据每个用户的用户ID，将用户插入到密码累加器中，密码累加器最终输出用户授权签名User-set-Signature；

步骤104、认证服务器等待一定的时间T，在时间T内，重复执行步骤102及步骤103，认证服务器为接收到用户数据的新用户生成对应的用户ID，并输出对应的用户授权签名User-set-Signature；

步骤105、当T超时之后，认证服务器为收到用户数据的所有用户统一生成用户指纹证据，该用户指纹证据用于证明用户属于当前的用户授权签名User-set-Signature；

步骤106、认证服务器将用户数据以及用户指纹证据信息发送给最终用户。

4.如权利要求3所述的基于密码学的集中式身份管理、分布式认证与授权的系统的新用户增加方法，其特征在于，步骤106中，在发送的过程中，使用非对称加密的方式进行发送以确保发送的信息安全。

5.基于权利要求1所述的基于密码学的集中式身份管理、分布式认证与授权的系统的用户信息的更改方法，其特征在于，包括以下步骤：

步骤201、用户向认证服务器提交更改请求以及需要更改的数据；

步骤202、认证服务器基于更改请求确认用户是否有效，同时，判断需要更改的数据是否有效，若均有效，则进入下一步；

步骤203、认证服务器根据需要更改的数据中所包含的新的用户信息重新生成新的用户ID；

步骤204、认证服务器根据针对当前用户所生成的新的用户ID以及已有的用户ID，将新的用户ID增加到密码累加器中，并在密码累加器中删除已有的用户ID；

步骤205、认证服务器需要等待一定的时间T，在时间T内，重复执行步骤204，认证服务器为接收到的所有更改请求以及需要更改的数据生成新的用户ID增加到密码累加器中，并在密码累加器中删除所有已有的用户ID；

步骤206、当T超时之后认证服务器为所有的用户统一生成用户指纹证据；

步骤207、认证服务器将授权数据以及用户的基本信息以及用户指纹证据通过用户的公钥将数据发送给最终用户。