一种基于随机关联码的用户多认证凭证关联方法

摘要

本发明公开了一种基于随机关联码的用户多认证凭证关联方法，其以用户多认证凭证中某一认证凭证为主认证凭证，并以此来生成在一定有效期内代表主认证凭证的随机关联码，并与主认证凭证形成对应关系；再以随机关联码与主认证凭证之间的对应关系，完成其它认证凭证与主认证凭证的关联。该方法可以在保证安全的前提下使用户可以方便的关联多张认证凭证。

说明书

技术领域

本发明涉及信息安全领域，更具体的涉及一种在多个认证凭证间建立关 联的方法。

背景技术

在使用数字证书的环境中。通常为每一个用户签发一张证书。该证书存 储于一个硬件的介质中。如，USB Key、TF卡等。当用户使用应用系统的特 定功能时，用户需要根据应用的需要将证书介质插在电脑、智能手机等设备 上，并由应用程序进行访问。

随着智能手机和移动互联网的普及，越来越多的应用可以同时在PC及 移动终端上同时使用。如果，这样的应用要使用数字证书作为身份认证的凭 证那么就要面临一个问题：在PC上普遍使用的USB Key无法在智能手机上 使用。因为智能手机上没有标准尺寸的USB接口。在智能手机上使用数字 证书通常以TF卡（MicroSD卡）作为证书的存储介质。为了能让用户同时 在PC及智能手机上使用应用就需要给用户签发两张证书：一张存储在USB Key中，在PC上使用。一张存储在TF卡中，在手机上使用。而且应用系统 中需要将这两张证书关联在一个系统帐号上。

由此可见，如何即方便又安全的关联两张证书是应用开发者需要解决的 问题。

发明内容

针对现有技术中跨设备、多认证凭证之间无法快速、安全关联的问题， 本发明的目的在于提供一种多认证凭证关联的方法，该方法可以在保证安全 的前提下使用户可以方便的关联多张认证凭证。

为了达到上述目的，本发明采用如下的技术方案：

一种基于随机关联码的用户多认证凭证关联方法，所述关联方法以用户 多认证凭证中某一认证凭证为主认证凭证，并以此来生成在一定有效期内代 表主认证凭证的随机关联码，并与主认证凭证形成对应关系；再以随机关联 码与主认证凭证之间的对应关系，完成其它认证凭证与主认证凭证的关联。

在本方案的有限方案中，在进行关联时输入一个有效的关联码，以该关 联码与主认证凭证之间的对应关系，确认待关联认证凭证与对应主认证凭证 的关联。

进一步的，所述关联方法具体基于认证服务器实施，包括如下步骤：

（1）认证服务器为用户颁发多个有效的认证凭证，用户以其中任一认 证凭证为主认证凭证，其余有效认证凭证为次认证凭证；

（2）用户使用主认证凭证通过客户端向认证服务器发出生成关联码的 请求；

（3）认证服务器针对该请求生成一具有一定时效的随机关联码，并记 录此关联码与主认证凭证的对应关系，然后将关联码返回客户端展示给用 户；

（4）用户将需要关联到主认证凭证的某次认证凭证连同步骤（3）返回 的关联码一起，通过客户端向认证服务器发出关联到主认证凭证的请求；

（5）认证服务器收到关联请求，先对发起关联请求的客户端所提供的 认证凭证进行认证，若认证失败则结束关联过程；

（6）在认证凭证通过认证后，认证服务器根据关联请求中提交的关联 码，在数据库中查找存储的对应的关联码；如果找不到对应的关联码，或关 联码已经过期，则关联失败；

（7）在查找到存储的对应的关联码且该关联码有效后，认证服务器记 录步骤（4）中提交的次认证凭证与步骤（3）中关联码所对应的主认证凭证 的关联关系，至此完成两个认证凭证的关联。

再进一步的，所述方法中涉及的关联码的生成算法如下：

关联码=MD5（主认证凭据唯一标识+时间戳+随机数）。

通过实施上述方案，用户在没有系统管理员参与的情况下自主的完成了 两个认证凭证的关联。在安全性方面，关联码的生成过程考虑了唯一性和随 机性，并引入了有效期的机制。从而保证了安全性。

附图说明

以下结合附图和具体实施方式来进一步说明本发明。

图1为本发明进行多认证凭证关联的原理流程图；

图2为本发明一实例中进行关联过程示意图；

图3为本发明实例中产生的关联码的示意图。

具体实施方式

为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了 解，下面结合具体图示，进一步阐述本发明。

针对同一用户不得不使用多个认证凭证使用同一应用系统的应用场景。 这种场景下，应用系统通常需要将多个认证凭证进行关联。为此，本发明提 供的基于随机关联码的用户多认证凭证关联方法，能够帮助系统使用者自主 完成多个认证凭证之间关联，且整个关联过程简单易行且安全可靠。

本发明的关联方法的关键点在于，以用户多认证凭证中某一认证凭证为 主认证凭证，根据该主认证凭证的特征（如主认证凭证的唯一标识）生成一 在一段时间内有效的随机关联码，该随机关联码在其有效期内将代表主认证 凭证，再以随机关联码与主认证凭证之间的对应关系，完成其它认证凭证与 主认证凭证的关联。

由此，在进行关联时输入一个有效的关联码，以该关联码与主认证凭证 之间的对应关系，确认待关联认证凭证与哪一个主认证凭证关联，并完成关 联。

基于上述原理，认证凭证的关联环节具体过程如下（参见图1）：

由图可知，整个关联过程基于认证服务器进行，其具有一系统数据库， 用于存储相关的关联码以及其与主认证凭证之间的对应关系等信息。

在关联操作前，首先认证服务器要为用户颁发多个有效的认证凭证，如 图所示的认证凭证A和认证凭证B，这些认证凭证中每个认证凭证都就自己 唯一的标识。同时，用户以其中任一认证凭证为主认证凭证（如图中的认证 凭证A），在认证服务器中为用户注册帐号，而其余的认证凭证将作为次认 证凭证，如图中的认证凭证B。

据此，认证凭证的关联环节具体包括如下步骤：

（1）用户使用主认证凭证A从PC登录系统，通过客户端A向认证服 务器发出生成关联码的请求。

（2）认证服务器接收该请求后，将根据请求中主认证凭证A的特征（即 主认证凭证的唯一标识）生成一随机关联码，并在系统数据库中记录此关联 码，以及该关联码与主认证凭证的关系。

该步骤在进行生成随机关联码时，认证服务器提取主认证凭证A的唯一 标识、获取此时对应的时间戳以及产生一5位随机数，认证服务器再此次为 参数进行关联码的计算，具体采用如下生成算法：

关联码=MD5（主认证凭据唯一标识+时间戳+随机数）。

在生成随机关联码时基于主认证凭据唯一标识和随机数保证了关联码 的随机性和安全性，同时其中的时间戳实现关联码的有效性。

（3）在记录完成后，认证服务器将关联码返回客户端A，并由运行客 户端A的PC展示给用户。

（4）用户需要将次认证凭证B关联到主认证凭证A时，利用需要关联 的次认证凭证B运行系统客户端B，再由客户端B根据步骤（3）中返回的 随机关联码和次认证凭证B生成关联到主认证凭证的请求，并发送给认证服 务器，该请求中包括步骤（3）中在PC上展示的关联码。

（5）认证服务器收到关联请求，先对发起关联请求的客户端B所提供 的次认证凭证B进行认证，若认证失败则结束关联过程，若认证通过进行关 联码认证。

（6）认证服务器关联请求中提交的关联码，在系统数据库中查找在步 骤（2）生成并存储的关联码，如果找不到对应的关联码，或关联码已经过 期，则关联失败；若查找对应的关联码且处于有效期内，则进行关联操作。

（7）认证服务器记录步骤（4）中提交的次认证凭证与步骤（2）中关 联码所对应的主认证凭证的关联关系，至此完成两个认证凭证的关联。

以下将以一具体应用实例来说明本发明实施的过程。需要说明的是，以 下实例只是用于解释本发明如何工作，并不用于限定本发明。

本应用实例安全云盘系统为例。该系统基于互联网为用户提供文件的安 全存储和共享。该系统同时支持在PC及智能手机上使用。用户可以将文件 存放在云盘上，并能在任何一台可以访问到服务器的设备（手机或电脑）上 使用所存放的文件。为了保证文件的安全，系统使用了数字证书对用户进行 认证，并使用基于证书的数字信封技术对文件进行加密保护。在这一实例中， 用户如果要同时通过电脑和智能手机使用该系统就需要为用户颁发两张证 书，分别用于电脑和手机。因为，电脑上所使用的USB Key无法在手机上使 用。该应用实施中利用本发明提供的方法对用户的两张证书进行关联，具体 步骤如下：

首先，在用户注册环节。管理员将根据用户USB Key中的证书注册系统 账号。使用该USB Key成为主认证凭证。在完成上述环节后，用户就可以进 行关联的步骤（如图1所示）：

1.用户在电脑上使用的USB key登录到系统中。在些过程中系统对用 户所提交的证书进行了有效性的验证，并确认该证书在系统中已经注册了帐 号。该客户端称之为客户端A。该步骤中所使用USB Key中的证书称之为认 证证书A。

2.用户在已经登录的客户端A中，点击“关联其它证书”的按钮。向服 务器发起生成关联码的请求。

3.服务器收到服务的请求，使用以下算法生成关联码：

关联码=MD5（此刻的时间戳+证书A的DN项+5位的随机数）

上述算法形成的并返回的关联码形如：

ccb15b43a593812d22ab35c325123b84。

4.服务器将生成的关联码记录在系统数据库中，并设定该关联码对应 的主认证凭证A及关联码的过期时间。

5.服务器将步骤3中生成的关联码返回给客户端A。如图2所示，客 户端A将其展示在客户端界面上。为了进一步的优化易用性，客户端可以将 关联码生成二维码，便于手机扫描关联。

6.用户将手机上使用的TF卡，插在手机上。并启动应用的手机客户端。 这个客户端我们称之为客户端B。此步骤中TF卡中存储的证书称为认证证 书B。

7.用户在客户端B上点击“关联到主证书”。软件提示用户输入关联码。 用户输入步骤5中所展示的关联码。并提交请求。

8.服务端收到客户端B提交的关联请求。选对其提交的证书的效性进 行认证。如果证书不是系统接受的的有效证书，则关联失败。如果证书有效， 则进行后续步骤。

9.系统根据步骤7中所提交的关联码在系统数据库查找对应记录。如 果不存在对应记录，或关联码已经过期。则关联失败。

10.系统记录证书A与证书B的关联，完成关联操作。

在上述案例中，使用了USB Key（或TF卡）存储的数字证书作为认证 凭证。应用也可以选择其它类型的认证凭证实施该方案。当使用其它类型的 认证凭证时，关联过程是一致的，只是关联码生成时采用的认证凭证的唯一 标识依认证凭证的类型而有所有同。

以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行 业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明 书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下， 本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范 围内。本发明要求保护范围由所附的权利要求书及其等效物界定。