CN101674284B - 一种认证方法、系统及用户侧服务器和认证服务器 - Google Patents
一种认证方法、系统及用户侧服务器和认证服务器 Download PDFInfo
- Publication number
- CN101674284B CN101674284B CN 200810119732 CN200810119732A CN101674284B CN 101674284 B CN101674284 B CN 101674284B CN 200810119732 CN200810119732 CN 200810119732 CN 200810119732 A CN200810119732 A CN 200810119732A CN 101674284 B CN101674284 B CN 101674284B
- Authority
- CN
- China
- Prior art keywords
- dynamic password
- server
- user side
- certificate server
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明公开一种认证方法,应用于具有第一硬件安全单元的用户侧服务器,其特征在于,包括以下步骤:接收动态口令;通过由认证服务器颁布的电子证书对所述动态口令进行签名,得到动态口令签名信息;将所述动态口令和所述动态口令签名信息发送至所述认证服务器,所述认证服务器存有合法动态口令;接收所述认证服务器返回的动态口令验证结果及动态口令签名信息验证结果;当所述动态口令验证结果与所述动态口令签名信息验证结果均为通过验证时,所述用户侧服务器通过认证。本发明还提供另一种认证方法、系统及用户侧服务器和认证服务器,用于实现认证服务器登陆和用户侧服务器登陆的安全。
Description
技术领域
本发明涉及一种认证方法,尤指一种认证方法、系统及用户侧服务器和认证服务器。
背景技术
动态口令(OTP,One-Time Password)是Token(令牌)的一种,动态口令是一种常用的安全登陆方法。为了保证登陆的安全,动态口令被广泛应用于银行或大型企业中。
RSA公司的产品SecurID SID700等设备统称为Token。Token狭义的讲也可以用OTP、动态密码等名称表示。
现有Token设备的使用过程如下:
Token生产商将原始密钥导入Token,同时激活时间同步因子。
Token生产商将相关信息存入认证服务器(CA Server)。
Token根据时间同步因子,对原始密钥进行迭代计算,间隔固定的时间,产生新的输出信息,并进行显示。间隔固定的时间一般可以是60秒。
Token登录其他系统时,需要提交USERID(用户身份)和PASSWORD(口令)以及Token产生的输出信息。
Token登录的系统服务商校验PASSWORD,并将Token输出信息提交至Token服务商的服务中心进行认证,两次认证都确认后,则认为用户身份可靠。由于Token设备在很短的时间内就会改变输出信息,因此输出信息的安全性比较高,用户只需保证Token原始密钥的私密性,就可以保证Token输出信息的不可预知性。但通过Token登录的系统服务商,无法保证用户侧服务器登陆的安全性。
因此,如何使用一种认证方法、系统及用户侧服务器和认证服务器,保证用户侧服务器登陆的安全性,是本领域技术人员需要解决的技术问题。
发明内容
本发明的目的是提供一种认证方法、系统及用户侧服务器和认证服务器,用于实现认证服务器登陆和用户侧服务器登陆的安全。
为实现本发明目的,根据本发明的一个方面,提供了一种认证方法,应用于具有第一硬件安全单元的用户侧服务器,包括以下步骤:
接收动态口令;
通过由认证服务器颁布的电子证书对所述动态口令进行签名,得到动态口令签名信息;
将所述动态口令和所述动态口令签名信息发送至所述认证服务器,所述认证服务器存有合法动态口令;
接收所述认证服务器返回的动态口令验证结果及动态口令签名信息验证结果;
当所述动态口令验证结果与所述动态口令签名信息验证结果均为通过验证时,所述用户侧服务器通过认证。
优选地,所述认证方法还包括:
将一随机数以及通过所述电子证书对所述随机数进行签名得到的随机数签名信息发送到所述认证服务器;
接收所述认证服务器返回的随机数根证书签名信息,所述认证服务器包括第二硬件安全单元,所述第二硬件单元内存有由所述认证服务器的上级认证服务器颁布的根证书,所述随机数根证书签名信息为经过所述根证书签名后得到的信息;
对所述随机数根证书签名信息进行验证得到随机数验证结果;
当所述随机数验证结果为通过验证时,所述认证服务器通过认证。
优选地,所述接收动态口令具体为:接收计算机提供的所述动态口令,当所述动态口令验证结果为通过验证时,所述计算机通过认证。
优选地,所述方法还包括:
记录所述计算机的登陆请求和操作信息。
优选地,所述认证方法还包括:接收所述认证服务器对所述计算机的登陆请求和操作信息的查询和管理。
优选地,所述方法还包括:
向所述认证服务器发送所述计算机的登陆时间和操作信息的合法性查询;
接收所述认证服务器的查询答复。
根据本发明的另一个方面,还提供了一种认证方法,应用于具有第二硬件安全单元的认证服务器,包括以下步骤:
接收用户侧服务器发送的动态口令,随机数和动态口令签名信息,所述动态口令签名信息为所述用户侧服务器通过由认证服务器颁布的电子证书对所述动态口令进行签名得到的信息;
将所述动态口令与所述认证服务器内部的合法动态口令进行比较,得到动态口令验证结果;
将所述动态口令签名信息与所述认证服务器内部的合法电子证书对所述动态口令进行签名的合法动态口令签名信息进行比较,得到动态口令签名信息验证结果;
将所述动态口令验证结果及所述动态口令签名信息验证结果发送至所述用户侧服务器用以验证所述用户侧服务器的合法性;
通过内置于所述第二硬件安全单元内的根证书对所述随机数进行签名,得到随机数根证书签名信息;
向所述用户侧服务器发送所述随机数根证书签名信息;
接收所述用户侧服务器反馈的随机数根证书签名信息验证结果,当所述随机数根证书签名信息验证结果为通过验证时,所述认证服务器通过认证。
优选地,所述动态口令是计算机发送至所述用户侧服务器的动态口令。
优选地,所述方法还包括:
向所述用户侧服务器发送所述计算机的登陆请求和操作信息的查询和管理;所述用户侧服务器记录所述计算机的登陆所述用户侧服务器的信息。
优选地,所述方法还包括:
记录所述用户侧服务器的准确登陆时间和登陆后操作是否合法;并将记录结果发送所述用户侧服务器。
根据本发明的另一个方面,还提供了一种认证系统,所述系统包括:
用户侧服务器,用于将动态口令和动态口令签名信息发送至所述认证服务器;以及
认证服务器,具有合法动态口令,用于向所述用户侧服务器发送所述动态口令和动态口令签名信息的验证结果;
所述动态口令签名信息为通过由所述认证服务器颁布的电子证书对所述动态口令进行签名得到的信息。
优选地,所述用户侧服务器包括随机数发生单元,用于产生随机数;
所述用户侧服务器,用于将动态口令、随机数和动态口令签名信息和随机数签名信息发送至所述认证服务器;
所述认证服务器包括第二硬件安全单元,内置根证书,所述根证书用于对接收到的所述随机数进行签名后;所述认证服务器向所述用户侧服务器发送所述动态口令和动态口令签名信息的验证结果,并将所述随机数签名信息发送至所述用户侧服务器。
优选地,所述用户侧服务器内设置第一硬件安全单元,所述第一硬件安全单元内置所述认证服务器颁布的电子证书。
根据本发明的另一个方面,还提供了一种用户侧服务器,所述用户侧服务器包括:
电子证书签名单元,用于为动态口令按照电子证书进行签名,得到电子证书签名所述动态口令的信息;
用户侧服务器发送单元,用于将动态口令和电子证书签名单元签名的电子证书签名所述动态口令的信息发送至所述认证服务器;
用户侧服务器接收单元,用于接收认证服务器返回的所述动态口令和电子证书签名所述动态口令的信息的验证结果。
优选地,所述用户侧服务器还包括与所述用户侧服务器发送单元和所述电子证书签名单元均相连的用于产生随机数的随机数发生单元;
所述用户侧服务器发送单元,用于将动态口令、所述随机数发生单元产生的随机数和所述电子证书签名单元产生的电子证书签名所述动态口令和随机数的签名信息发送至所述认证服务器;
用户侧服务器接收单元用于接收认证服务器返回的所述动态口令和电子证书签名的验证结果,以及所述认证服务器对所述随机数签名后的随机数签名信息。
优选地,所述用户侧服务器还包括内置的第一硬件安全单元,所述第一硬件安全单元内置所述认证服务器颁布的电子证书。
优选地,所述第一硬件安全单元用于存储用户侧服务器接收单元接收计算机发送的所述动态口令和所述计算机的登陆用户侧服务器信息。
优选地,所述用户侧服务器还包括与所述用户侧服务器接收单元相连的用户侧服务器存储单元,用于存储用户侧服务器接收单元接收计算机发送的所述动态口令和所述计算机的登陆用户侧服务器信息。
根据本发明的另一个方面,还提供了一种认证服务器,所述认证服务器包括认证服务器接收单元,认证服务器第一存储单元,动态口令比较单元,电子证书匹配单元和认证服务器发送单元;
认证服务器接收单元,用于接收用户侧服务器发送的动态口令和电子证书签名所述动态口令的信息;
认证服务器第一存储单元,用于存储合法动态口令和合法电子证书;
动态口令比较单元,用于将认证服务器接收单元接收到的所述动态口令与认证服务器第一存储单元存储的合法动态口令进行比较,通过认证服务器发送单元返回所述动态口令的验证结果;
电子证书匹配单元,用于将认证服务器接收单元接收到的所述电子证书签名所述动态口令的信息与认证服务器第一存储单元存储的合法电子证书匹配比较,通过认证服务器发送单元返回所述电子证书签名所述动态口令的信息的验证结果。
优选地,所述认证服务器还包括与所述认证服务器接收单元和所述认证服务器发送单元均相连的随机数签名单元,用于对所述认证服务器接收单元接收到的随机数进行签名得到随机数签名信息;通过所述认证服务器发送单元将所述随机数签名信息发送至用户侧服务器。
优选地,所述认证服务器包括内置根证书的第二硬件安全单元;
所述随机数签名单元通过调用第二硬件安全单元的根证书,对随机数进行签名得到随机数签名信息。
优选地,所述认证服务器还包括与所述认证服务器发送单元相连的查询请求单元,用于向所述用户侧服务器发送所述计算机的登陆请求和操作信息的查询和管理请求。
优选地,所述认证服务器还包括与所述认证服务器接收单元和所述认证服务器发送单元均相连的认证服务器第二存储单元,用于记录所述认证服务器接收单元接收的所述用户侧服务器的准确登陆时间和登陆后操作是否合法;并将准确登陆时间和操作是否合法的结果通过所述认证服务器发送单元发送用户侧服务器。
与上述现有技术相比,本发明实施例所述认证方法,用户侧服务器将动态口令和电子证书签名动态口令后得到的电子证书签名动态口令信息发送至认证服务器。认证服务器判断接收到的动态口令是否与合法动态口令信息一致,如果一致,则向用户侧服务器发送所述动态口令验证通过的结果。如果不一致,则向用户侧服务器发送所述动态口令验证不能通过的结果。
认证服务器判断接收到的电子证书签名动态口令信息是否通过验证,如果通过验证,则向用户侧服务器发送所述电子证书签名动态口令信息验证通过的结果。反之,则向用户侧服务器发送所述电子证书签名动态口令信息不能通过的结果。当认证服务器判断接收到的动态口令与合法动态口令信息一致,且认证服务器确认接收到的电子证书签名动态口令信息通过验证,则接受用户侧服务器的登陆。
通过本发明实施例所述认证方法,可以实现认证服务器对用户侧服务器的认证,保证了认证服务器登陆和用户侧服务器登陆的安全。
附图说明
图1是本发明所述认证方法第一实施例流程图;
图2是本发明所述认证方法第二实施例流程图;
图3是本发明所述认证方法第三实施例流程图;
图4是本发明所述认证方法第四实施例流程图;
图5是本发明所述认证系统实施例结构图;
图6是本发明实施例所述用户侧服务器结构图;
图7是本发明所述认证服务器第一实施例结构图;
图8是本发明所述认证服务器第二实施例结构图。
具体实施方式
本发明提供一种认证方法,用于实现认证服务器登陆和用户侧服务器登陆的安全。
为了使本领域技术人员更清楚地了解本发明所述双向认证方法,下面结合具体附图进行详细说明。
参见图1,该图为本发明所述认证方法第一实施例流程图。
S100、将动态口令和电子证书签名动态口令的信息发送至具有合法动态口令信息的认证服务器。
用户侧服务器可以将动态口令通过电子证书进行签名得到电子证书签名动态口令的信息。所述电子证书是认证服务器颁布的电子证书。
第一硬件安全单元是基于用户侧服务器的TPM\TCM\MTM。第一硬件安全单元用于表征用户侧服务器平台身份。第一硬件安全单元可以内置认证服务器颁布的电子证书。
然后,用户侧服务器再将动态口令和电子证书签名动态口令的信息发送至认证服务器。所述认证服务器内预先存储有合法动态口令信息。
认证服务器将接收到的动态口令与认证服务器内部存储的合法动态口令信息进行比较,判断是否一致。如果接收到的动态口令与认证服务器内部存储的合法动态口令信息一致,认证服务器则向用户侧服务器发送动态口令通过验证的信息。如果接收到的动态口令与认证服务器内部存储的合法动态口令信息不一致,认证服务器则向用户侧服务器发送动态口令没有通过验证的信息。
由于用户侧服务器是根据认证服务器颁布的电子证书,将动态口令进行电子证书签名得到电子证书签名动态口令的信息,因此认证服务器可以将接收到的电子证书签名动态口令的信息与认证服务器颁布的电子证书即认证服务器内部的合法电子证书进行匹配比较,判断是否一致。
如果接收到的电子证书签名动态口令的信息与认证服务器内部的合法电子证书一致,认证服务器则向用户侧服务器发送电子证书签名动态口令的信通过验证的信息。如果接收到的电子证书签名动态口令的信息与认证服务器内部的合法电子证书不一致,认证服务器则向用户侧服务器发送电子证书签名动态口令的信没有通过验证的信息。
认证服务器可以分别发送所述动态口令的验证结果和电子证书签名动态口令的信息的验证结果,也可以等待动态口令和电子证书签名动态口令的信息都验证完成后,将两个验证结果一起发送至用户侧服务器。
S200、接收认证服务器返回的所述动态口令和电子证书签名动态口令的信息的验证结果。
用户侧服务器接收认证服务器返回的所述动态口令和电子证书签名动态口令的信息的验证结果。
本发明实施例所述认证方法,用户侧服务器将动态口令和电子证书签名动态口令后得到的电子证书签名动态口令信息发送至认证服务器。认证服务器判断接收到的动态口令是否与合法动态口令信息一致,如果一致,则向用户侧服务器发送所述动态口令验证通过的结果。如果不一致,则向用户侧服务器发送所述动态口令验证不能通过的结果。
认证服务器判断接收到的电子证书签名动态口令信息是否通过验证,如果通过验证,则向用户侧服务器发送所述电子证书签名动态口令信息验证通过的结果。反之,则向用户侧服务器发送所述电子证书签名动态口令信息不能通过的结果。当认证服务器判断接收到的动态口令与合法动态口令信息一致,且认证服务器确认接收到的电子证书签名动态口令信息通过验证,则接受用户侧服务器的登陆。
通过本发明实施例所述认证方法,可以实现认证服务器对用户侧服务器的认证,保证了认证服务器登陆和用户侧服务器登陆的安全。
参见图2,该图为本发明所述认证方法第二实施例流程图。
本发明所述认证方法第二实施例相对第一实施例的区别在于,用户侧服务器还向认证服务器发送随机数和电子证书签名随机数得到的随机数的签名信息。
本发明第二实施例所述认证方法,具体包括以下步骤:
S210、将动态口令、随机数和电子证书签名所述动态口令的信息和随机数的签名信息发送至具有合法动态口令信息的认证服务器。
随机数可以由第一硬件安全单元的真随机数发生器产生,也可由其他方式产生。
用户侧服务器可以将动态口令和随机数分别通过电子证书进行签名得到电子证书签名动态口令的信息和随机数的签名信息。所述电子证书是认证服务器颁布的电子证书。
所述电子证书可以是基于用户侧服务器的第一硬件安全单元内置的所述认证服务器颁布的电子证书。
然后,用户侧服务器再将动态口令、随机数和电子证书签名动态口令的信息和随机数的签名信息发送至认证服务器。所述认证服务器内预先存储有合法动态口令信息。
认证服务器判断接收到的动态口令是否与合法动态口令信息一致,如果一致,则向用户侧服务器发送所述动态口令验证通过的结果。如果不一致,则向用户侧服务器发送所述动态口令验证不能通过的结果。
认证服务器判断接收到的电子证书签名动态口令信息是否通过验证,如果通过验证,则向用户侧服务器发送所述电子证书签名动态口令信息验证通过的结果。反之,则向用户侧服务器发送所述电子证书签名动态口令信息不能通过的结果。
认证服务器将接收到的随机数的签名信息按照所述电子证书解密后获得所述随机数,判断所述随机数是否与接收到的随机数一致,如果一致,则向用户侧服务器发送所述随机数的签名信息验证通过的结果。反之,则向用户侧服务器发送所述随机数的签名信息不能通过的结果。
当认证服务器判断接收到的动态口令与合法动态口令信息一致,且认证服务器确认接收到的电子证书签名动态口令信息和随机数的签名信息通过验证,则接受用户侧服务器的登陆。
S220、接收认证服务器返回的所述动态口令和电子证书签名动态口令的信息以及随机数的签名信息的验证结果。
用户侧服务器接收认证服务器返回的所述动态口令和电子证书签名动态口令的信息以及随机数的签名信息的验证结果。
S230、接收认证服务器返回的随机数根证书签名信息;所述随机数根证书签名信息是认证服务器对接收到的随机数进行签名后的信息。
认证服务器将步骤S210获得的随机数按照认证服务器的根证书进行签名得到随机数根证书签名信息。认证服务器将随机数根证书签名信息发送至用户侧服务器。
所述认证服务器具有内置根证书的第二硬件安全单元。所述根证书可以是上一级的认证服务器颁布的电子证书。用户侧服务器可以从所述上一级的认证服务器获得所述根证书。
第二硬件安全单元可以是基于认证服务器的TPM\TCM\MTM,且第二硬件安全单元可以内置上级认证服务器颁布的电子证书。
认证服务器拥有动态口令的原始密钥及相关算法和配置软件,可以验证动态口令的输出是否合法。
所述随机数签名信息是认证服务器对接收到的随机数进行所述根证书签名后的信息。
用户侧服务器接收认证服务器返回的随机数根证书签名信息。
S240、对所述随机数签名信息进行验证。
用户侧服务器根据从所述上一级的认证服务器获得所述根证书,对所述随机数签名信息进行验证,从而可以实现对认证服务器的认证。
本发明第二实施例所述认证方法,由于增加了随机数的发送和随技术签名信息校验,可以实现用户侧服务器和认证服务器的双向认证。
参见图3,该图为本发明所述认证方法第三实施例流程图。
本发明所述认证方法第三实施例相对第一、第二实施例的区别在于,增加了接收计算机提供的所述动态口令的步骤。
本发明第三实施例所述认证方法具体包括以下步骤:
S310、接收计算机提供的所述动态口令。
用户可以拥有一个现有的已被置入密钥的OTP,能够产生动态口令。用户通过普通PC或者办公PC登陆用户侧服务器时,需要提交动态口令。
用户侧服务器接收计算机提供的所述动态口令。
S320、将所述动态口令和电子证书签名动态口令的信息发送至具有合法动态口令信息的认证服务器。
S330、接收认证服务器返回的所述动态口令和电子证书签名动态口令的信息的验证结果。
S340、根据所述动态口令的验证结果确定所述计算机的合法性。
用户侧服务器可以根据认证服务器返回的所述动态口令的验证结果,确定所述计算机的合法性。
当认证服务器返回的所述动态口令通过验证的结果时,确定所述计算机合法。当认证服务器返回的所述动态口令没有通过验证的结果时,确定所述计算机不合法。
本发明第三实施例所述认证方法,由于动态口令是由计算机提供的,因此可以实现计算机和用户侧服务器的认证。
当然,如果本发明第三实施例所述认证方法,在第二实施例的基础上,在步骤S210之前增加步骤S310,并且在步骤S240之后增加步骤S340,那么本发明第三实施例所述认证方法就可以实现计算机、用户侧服务器和认证服务器三方认证。
本发明实施例所述认证方法还可以包括记录所述计算机的登陆请求和操作信息的步骤。
用户侧服务器可以通过第一硬件安全单元记录计算机的登陆请求,例如登陆的时间、计算机提供的动态口令、以及登陆的IP地址等信息。
用户侧服务器还可以通过第一硬件安全单元记录计算机登陆后的操作,例如读、写、删除等操作信息。
本发明实施例所述认证方法还可以包括接收认证服务器对所述计算机的登陆请求和操作信息的查询和管理。
由于用户侧服务器记录了计算机的登陆请求和操作信息,因此认证服务器可以向用户侧服务器发送所述计算机的登陆请求和操作信息的查询和管理。
认证服务器可以向用户侧服务器的第一硬件安全单元存储的信息进行回溯和管理。
认证服务器可以存储有计算机的登陆时间和操作信息,用户侧服务器可以向认证服务器发送所述计算机的登陆时间和操作信息的合法性查询。认证服务器根据所述查询请求,向用户侧服务器发送所述计算机的登陆时间以及具体操作信息是否合法的结论。
上文所述的认证方法都是以用户侧服务器为主体进行的描述,为了更清楚地说明本发明实施例所述认证方法的过程,下面以认证服务器侧为例进行说明。
参见图4,该图为本发明所述认证方法第四实施例流程图。
本发明所述认证方法第四实施例相对第一实施例的区别在于,以认证服务器为主体的认证过程。
本发明第四实施例所述认证方法,包括以下步骤:
S410、接收用户侧服务器发送的动态口令和电子证书签名动态口令的信息。
认证服务器接收用户侧服务器发送的动态口令和电子证书签名动态口令的信息。所述电子证书可以是基于用户侧服务器的第一硬件安全单元内置的所述认证服务器颁布的电子证书。
动态口令可以是用户侧服务器接收计算机获得的。
认证服务器也可以接收用户侧服务器发送的动态口令、随机数和电子证书签名所述动态口令和随机数的签名信息。
S420、将接收到的所述动态口令与认证服务器内部的合法动态口令进行比较,返回所述动态口令的验证结果。
S430、将接收到的所述电子证书签名动态口令的信息与认证服务器内部的合法电子证书匹配比较,返回所述电子证书签名动态口令的信息的验证结果。
如果认证服务器接收到用户侧服务器发送的动态口令、随机数和电子证书签名所述动态口令和随机数的签名信息时,认证服务器分别将接收到的所述电子证书签名动态口令的信息和随机数的签名信息与认证服务器内部的合法电子证书匹配比较,返回所述电子证书签名动态口令的信息的验证结果。
本发明第四实施例所述认证方法,可以实现认证服务器对用户侧服务器的认证,保证了认证服务器登陆和用户侧服务器登陆的安全。
认证服务器接返回所述电子证书签名所述动态口令的信息的验证结果以后,还可以包括:
向用户侧服务器发送随机数根证书签名信息。所述随机数根证书签名信息是认证服务器对接收到的随机数进行签名后的信息。
所述认证服务器可以具有内置根证书的第二硬件安全单元。所述根证书可以是上一级的认证服务器颁布的电子证书。用户侧服务器可以从所述上一级的认证服务器获得所述根证书。
接收用户侧服务器反馈的所述随机数根证书签名信息验证结果。
本发明实施例所述认证方法,由于增加了随机数根证书签名信息的验证,可以实现用户侧服务器和认证服务器的双向认证。
所述认证方法还可以包括:
向所述用户侧服务器发送所述计算机的登陆请求和操作信息的查询和管理;所述用户侧服务器记录所述计算机的登陆用户侧服务器信息。
所述认证方法还可以包括:
记录所述用户侧服务器的准确登陆时间和登陆后操作是否合法;并将记录结果发送所述用户侧服务器。
本发明还提供一种认证系统,用于实现认证服务器登陆和用户侧服务器登陆的安全。
参见图5,该图为本发明所述认证系统实施例结构图。
本发明实施例所述认证系统包括用户侧服务器1和认证服务器2。
用户侧服务器1,用于将动态口令和电子证书签名所述动态口令的信息发送至所述认证服务器2。
用户侧服务器1可以内设置第一硬件安全单元。第一硬件安全单元内置所述认证服务器颁布的电子证书。用户侧服务器1用所述电子证书为动态口令进行签名得到电子证书签名所述动态口令的信息。
认证服务器2具有合法动态口令信息,用于向所述用户侧服务器1发送所述动态口令和电子证书签名的验证结果。
本发明实施例所述认证系统,可以实现认证服务器2对用户侧服务器1的认证,保证了认证服务器2登陆和用户侧服务器1登陆的安全。
用户侧服务器1可以包括用于产生随机数的随机数发生单元11。
用户侧服务器1将动态口令、随机数和电子证书签名所述动态口令和随机数的签名信息发送至所述认证服务器2。
认证服务器2可以包括根证书。所述认证服务器2可以包括内置根证书的第二硬件安全单元。
所述根证书用于对接收到的随机数进行签名后的信息。认证服务器2向用户侧服务器1发送所述动态口令和电子证书签名的验证结果,并将所述随机数签名信息发送至用户侧服务器1。
本发明实施例所述认证系统,由于认证服务器2可以对随机数根证书签名信息进行验证,可以实现用户侧服务器1和认证服务器2的双向认证。
本发明还提供一种用户侧服务器,用于实现认证服务器登陆和用户侧服务器登陆的安全。
参见图6,该图为本发明实施例所述用户侧服务器结构图。
本发明实施例所述用户侧服务器1包括电子证书签名单元101、用户侧服务器发送单元102和用户侧服务器接收单元103。
电子证书签名单元101,用于为动态口令按照电子证书进行签名,得到电子证书签名所述动态口令的信息。
用户侧服务器发送单元102,用于将动态口令和电子证书签名单元101签名的电子证书签名所述动态口令的发送至所述认证服务器2。
用户侧服务器接收单元103,用于接收认证服务器2返回的所述动态口令和电子证书签名所述动态口令的信息的验证结果。
本发明实施例所述用户侧服务器1,可以为认证服务器2提供认证的基础即所述动态口令和电子证书签名所述动态口令的信息。
所述用户侧服务器1还可以包括与所述用户侧服务器发送单元102和所述电子证书签名单元101均相连的用于产生随机数的随机数发生单元11。
所述用户侧服务器发送单元102将动态口令、所述随机数发生单元11产生的随机数和所述电子证书签名单元101产生的电子证书签名所述动态口令和随机数的签名信息发送至所述认证服务器2。
用户侧服务器接收单元103接收认证服务器2返回的所述动态口令和电子证书签名的验证结果,以及所述认证服务器2对所述随机数签名后的随机数签名信息。
本发明实施例所述用户侧服务器1,为实现认证服务器2的认证提供了条件即随机数发生单元11能够产生随机数。
用户侧服务器1可以包括内置的第一硬件安全单元12,第一硬件安全单元12与电子证书签名单元101相连,第一硬件安全单元12内置所述认证服务器颁布的电子证书。
随机数发生单元11可以是第一硬件安全单元12的真随机数发生器。
第一硬件安全单元12用于存储用户侧服务器接收单元103接收计算机发送的所述动态口令和所述计算机的登陆用户侧服务器信息。
所述用户侧服务器还可以包括与用户侧服务器接收单元103相连的用户侧服务器存储单元104,用于存储用户侧服务器接收单元103接收计算机发送的所述动态口令和所述计算机的登陆用户侧服务器信息。
本发明还提供一种认证服务器,用于实现认证服务器登陆和用户侧服务器登陆的安全。
参见图7,该图为本发明所述认证服务器第一实施例结构图。
本发明第一实施例所述认证服务器2包括认证服务器接收单元201,认证服务器第一存储单元202,动态口令比较单元203,电子证书匹配单元204和认证服务器发送单元205。
认证服务器接收单元201,用于接收用户侧服务器1发送的动态口令和电子证书签名所述动态口令的信息;
认证服务器第一存储单元202,用于存储合法动态口令和合法电子证书;
动态口令比较单元203,用于将认证服务器接收单元201接收到的所述动态口令与存储单元202存储的合法动态口令进行比较,通过认证服务器发送单元205返回所述动态口令的验证结果;
电子证书匹配单元204,用于将认证服务器接收单元201接收到的所述电子证书签名所述动态口令的信息与认证服务器第一存储单元202存储的合法电子证书匹配比较,通过认证服务器发送单元205返回所述电子证书签名所述动态口令的信息的验证结果。
本发明实施例所述认证服务器2可以实现用户侧服务器1的认证,保证了用户侧服务器的登陆安全。
参见图8,该图为本发明所述认证服务器第二实施例结构图。
本发明所述认证服务器第二实施例相对第一实施例增加了与所述认证服务器接收单元201和所述认证服务器发送单元205均相连的随机数签名单元206。
随机数签名单元206,用于对所述认证服务器接收单元201接收到的随机数进行签名得到随机数签名信息;通过所述认证服务器发送单元205将所述随机数签名信息发送至用户侧服务器1。
本发明实施例所述认证服务器2由于增加了随机数签名单元206,可以实现用户侧服务器对认证服务器的认证。
本发明实施例所述认证服务器可以包括内置根证书的第二硬件安全单元21。
随机数签名单元206通过调用第二硬件安全单元21的根证书,对随机数进行签名得到随机数签名信息。
本发明实施例所述认证服务器还可以包括与所述认证服务器发送单元205相连的查询请求单元207。
查询请求单元207用于向所述用户侧服务器1发送所述计算机的登陆请求和操作信息的查询和管理请求。
所述认证服务器还可以包括与所述认证服务器接收单元201和所述认证服务器发送单元205均相连的认证服务器第二存储单元208,用于记录所述认证服务器接收单元201接收的所述用户侧服务器1的准确登陆时间和登陆后操作是否合法;并将准确登陆时间和操作是否合法的结果通过所述认证服务器发送单元205发送至用户侧服务器1。
认证服务器第一存储单元202和认证服务器第二存储单元208可以通过一个存储器或者两个存储器实现。
认证服务器第一存储单元202和认证服务器第二存储单元208可以由第二硬件安全单元21实现对应的存储功能。
以上所述仅为本发明的优选实施方式,并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的权利要求保护范围之内。
Claims (23)
1.一种认证方法,应用于具有第一硬件安全单元的用户侧服务器,其特征在于,包括以下步骤:
接收动态口令;
通过由认证服务器颁布的电子证书对所述动态口令进行签名,得到动态口令签名信息;
将所述动态口令和所述动态口令签名信息发送至所述认证服务器,所述认证服务器存有合法动态口令;
接收所述认证服务器返回的动态口令验证结果及动态口令签名信息验证结果;
当所述动态口令验证结果与所述动态口令签名信息验证结果均为通过验证时,所述用户侧服务器通过认证。
2.根据权利要求1所述的认证方法,其特征在于,还包括:
将一随机数以及通过所述电子证书对所述随机数进行签名得到的随机数签名信息发送到所述认证服务器;
接收所述认证服务器返回的随机数根证书签名信息,所述认证服务器包括第二硬件安全单元,所述第二硬件单元内存有由所述认证服务器的上级认证服务器颁布的根证书,所述随机数根证书签名信息为经过所述根证书签名后得到的信息;
对所述随机数根证书签名信息进行验证得到随机数验证结果;
当所述随机数验证结果为通过验证时,所述认证服务器通过认证。
3.根据权利要求1或2所述的认证方法,其特征在于,所述接收动态口令具体为:接收计算机提供的所述动态口令,当所述动态口令验证结果为通过验证时,所述计算机通过认证。
4.根据权利要求3所述的认证方法,其特征在于,所述方法还包括:
记录所述计算机的登陆请求和操作信息。
5.根据权利要求4所述的认证方法,其特征在于,所述方法还包括:接收所述认证服务器对所述计算机的登陆请求和操作信息的查询和管理。
6.根据权利要求5所述的认证方法,其特征在于,所述方法还包括:
向所述认证服务器发送所述计算机的登陆时间和操作信息的合法性查询;
接收所述认证服务器的查询答复。
7.一种认证方法,应用于具有第二硬件安全单元的认证服务器,其特征在于,包括以下步骤:
接收用户侧服务器发送的动态口令,随机数和动态口令签名信息,所述动态口令签名信息为所述用户侧服务器通过由认证服务器颁布的电子证书对所述动态口令进行签名得到的信息;
将所述动态口令与所述认证服务器内部的合法动态口令进行比较,得到动态口令验证结果;
将所述动态口令签名信息与所述认证服务器内部的合法电子证书对所述动态口令进行签名的合法动态口令签名信息进行比较,得到动态口令签名信息验证结果;
将所述动态口令验证结果及所述动态口令签名信息验证结果发送至所述用户侧服务器用以验证所述用户侧服务器的合法性;
通过内置于所述第二硬件安全单元内的根证书对所述随机数进行签名,得到随机数根证书签名信息;
向所述用户侧服务器发送所述随机数根证书签名信息;
接收所述用户侧服务器反馈的随机数根证书签名信息验证结果,当所述随机数根证书签名信息验证结果为通过验证时,所述认证服务器通过认证。
8.根据权利要求7所述的认证方法,其特征在于,所述动态口令是计算机发送至所述用户侧服务器的动态口令。
9.根据权利要求8所述的认证方法,其特征在于,所述方法还包括:
向所述用户侧服务器发送所述计算机的登陆请求和操作信息的查询和管理;所述用户侧服务器记录所述计算机的登陆所述用户侧服务器的信息。
10.根据权利要求9所述的认证方法,其特征在于,所述方法还包括:
记录所述用户侧服务器的准确登陆时间和登陆后操作是否合法;并将记录结果发送所述用户侧服务器。
11.一种认证系统,其特征在于,所述系统包括:用户侧服务器和认证服务器,
所述用户侧服务器,用于将动态口令和动态口令签名信息发送至所述认证服务器;
所述用户侧服务器包括:
电子证书签名单元,用于为动态口令按照电子证书进行签名,得到电子证书签名所述动态口令的信息;
用户侧服务器发送单元,用于将动态口令和电子证书签名单元签名的电子证书签名所述动态口令的信息发送至所述认证服务器;
用户侧服务器接收单元,用于接收认证服务器返回的所述动态口令和电子证书签名所述动态口令的信息的验证结果;
认证服务器,具有合法动态口令,用于向所述用户侧服务器发送所述动态口令和动态口令签名信息的验证结果;
所述认证服务器包括:
认证服务器接收单元,用于接收用户侧服务器发送的动态口令和电子证书签名所述动态口令的信息;
认证服务器第一存储单元,用于存储合法动态口令和合法电子证书;
动态口令比较单元,用于将认证服务器接收单元接收到的所述动态口令与认证服务器第一存储单元存储的合法动态口令进行比较,通过认证服务器发送单元返回所述动态口令的验证结果;
电子证书匹配单元,用于将认证服务器接收单元接收到的所述电子证书签名所述动态口令的信息与认证服务器第一存储单元存储的合法电子证书匹配比较,通过认证服务器发送单元返回所述电子证书签名所述动态口令的信息的验证结果;
所述动态口令签名信息为通过由所述认证服务器颁布的电子证书对所述动态口令进行签名得到的信息。
12.根据权利要求11所述的认证系统,其特征在于,所述用户侧服务器包括随机数发生单元,用于产生随机数;
所述用户侧服务器,用于将动态口令、随机数和动态口令签名信息和随机数签名信息发送至所述认证服务器;
所述认证服务器包括第二硬件安全单元,内置根证书,所述根证书用于对接收到的所述随机数进行签名;所述认证服务器向所述用户侧服务器发送所述动态口令和动态口令签名信息的验证结果,并将所述随机数签名信息发送至所述用户侧服务器。
13.根据权利要求11或12所述的认证系统,其特征在于,所述用户侧服务器内设置第一硬件安全单元,所述第一硬件安全单元内置所述认证服务器颁布的电子证书。
14.一种用户侧服务器,其特征在于,所述用户侧服务器包括:
电子证书签名单元,用于为动态口令按照电子证书进行签名,得到电子证书签名所述动态口令的信息;
用户侧服务器发送单元,用于将动态口令和电子证书签名单元签名的电子证书签名所述动态口令的信息发送至认证服务器;
用户侧服务器接收单元,用于接收认证服务器返回的所述动态口令和电子证书签名所述动态口令的信息的验证结果。
15.根据权利要求14所述的用户侧服务器,其特征在于,所述用户侧服务器还包括与所述用户侧服务器发送单元和所述电子证书签名单元均相连的用于产生随机数的随机数发生单元;
所述用户侧服务器发送单元,用于将动态口令、所述随机数发生单元产生的随机数和所述电子证书签名单元产生的电子证书签名所述动态口令和随机数的签名信息发送至所述认证服务器;
用户侧服务器接收单元用于接收认证服务器返回的所述动态口令和电子证书签名的验证结果,以及所述认证服务器对所述随机数签名后的随机数签名信息。
16.根据权利要求14所述的用户侧服务器,其特征在于,所述用户侧服务器还包括内置的第一硬件安全单元,所述第一硬件安全单元内置所述认证服务器颁布的电子证书。
17.根据权利要求16所述的用户侧服务器,其特征在于,所述第一硬件安全单元用于存储用户侧服务器接收单元接收计算机发送的所述动态口令和所述计算机的登陆用户侧服务器信息。
18.根据权利要求14所述的用户侧服务器,其特征在于,所述用户侧服务器还包括与所述用户侧服务器接收单元相连的用户侧服务器存储单元,用于存储用户侧服务器接收单元接收计算机发送的所述动态口令和所述计算机的登陆用户侧服务器信息。
19.一种认证服务器,其特征在于,所述认证服务器包括认证服务器接收单元,认证服务器第一存储单元,动态口令比较单元,电子证书匹配单元和认证服务器发送单元;
认证服务器接收单元,用于接收用户侧服务器发送的动态口令和电子证书签名所述动态口令的信息;
认证服务器第一存储单元,用于存储合法动态口令和合法电子证书;
动态口令比较单元,用于将认证服务器接收单元接收到的所述动态口令与认证服务器第一存储单元存储的合法动态口令进行比较,通过认证服务器发送单元返回所述动态口令的验证结果;
电子证书匹配单元,用于将认证服务器接收单元接收到的所述电子证书签名所述动态口令的信息与认证服务器第一存储单元存储的合法电子证书匹配比较,通过认证服务器发送单元返回所述电子证书签名所述动态口令的信息的验证结果。
20.根据权利要求19所述的认证服务器,其特征在于,所述认证服务器还包括与所述认证服务器接收单元和所述认证服务器发送单元均相连的随机数签名单元,用于对所述认证服务器接收单元接收到的随机数进行签名得到随机数签名信息;通过所述认证服务器发送单元将所述随机数签名信息发送至用户侧服务器。
21.根据权利要求20所述的认证服务器,其特征在于,所述认证服务器包括内置根证书的第二硬件安全单元;
所述随机数签名单元通过调用第二硬件安全单元的根证书,对随机数进行签名得到随机数签名信息。
22.根据权利要求20所述的认证服务器,其特征在于,所述认证服务器还包括与所述认证服务器发送单元相连的查询请求单元,用于向所述用户侧服务器发送计算机的登陆请求和操作信息的查询和管理请求。
23.根据权利要求20所述的认证服务器,其特征在于,所述认证服务器还包括与所述认证服务器接收单元和所述认证服务器发送单元均相连的认证服务器第二存储单元,用于记录所述认证服务器接收单元接收的所述用户侧服务器的准确登陆时间和登陆后操作是否合法;并将准确登陆时间和操作是否合法的结果通过所述认证服务器发送单元发送用户侧服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200810119732 CN101674284B (zh) | 2008-09-08 | 2008-09-08 | 一种认证方法、系统及用户侧服务器和认证服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200810119732 CN101674284B (zh) | 2008-09-08 | 2008-09-08 | 一种认证方法、系统及用户侧服务器和认证服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101674284A CN101674284A (zh) | 2010-03-17 |
| CN101674284B true CN101674284B (zh) | 2012-12-19 |
Family
ID=42021274
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200810119732 Active CN101674284B (zh) | 2008-09-08 | 2008-09-08 | 一种认证方法、系统及用户侧服务器和认证服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101674284B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102082788A (zh) * | 2010-12-15 | 2011-06-01 | 北京信安世纪科技有限公司 | 一种防止网络钓鱼的设备和系统 |
| CN102638447B (zh) * | 2012-02-10 | 2014-08-06 | 宗祥后 | 基于用户自主产生的动态口令对系统登录的方法和装置 |
| CN103220280A (zh) * | 2013-04-03 | 2013-07-24 | 天地融科技股份有限公司 | 动态口令牌、动态口令牌数据传输方法及系统 |
| CN104935555B (zh) * | 2014-03-20 | 2018-06-15 | 华为技术有限公司 | 客户端证书认证方法、服务器、客户端及系统 |
| CN105184606A (zh) * | 2015-08-25 | 2015-12-23 | 山东开创集团有限公司 | 一种分销系统的子系统与服务器数据通信的方法 |
| CN109586922A (zh) * | 2018-12-20 | 2019-04-05 | 武汉璞华大数据技术有限公司 | 动态密码离线认证方法及装置 |
| CN109586923A (zh) * | 2018-12-20 | 2019-04-05 | 武汉璞华大数据技术有限公司 | 单次密码离线认证方法及装置 |
| WO2020252753A1 (zh) * | 2019-06-20 | 2020-12-24 | 深圳市网心科技有限公司 | 区块链节点设备及其认证方法、装置、存储介质 |
| CN110177124B (zh) * | 2019-06-20 | 2022-02-25 | 深圳市迅雷网络技术有限公司 | 基于区块链的身份认证方法及相关设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1992592A (zh) * | 2005-12-30 | 2007-07-04 | 腾讯科技(深圳)有限公司 | 动态口令认证系统和方法 |
| CN101163014A (zh) * | 2007-11-30 | 2008-04-16 | 中国电信股份有限公司 | 一种动态口令身份认证系统和方法 |
-
2008
- 2008-09-08 CN CN 200810119732 patent/CN101674284B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1992592A (zh) * | 2005-12-30 | 2007-07-04 | 腾讯科技(深圳)有限公司 | 动态口令认证系统和方法 |
| CN101163014A (zh) * | 2007-11-30 | 2008-04-16 | 中国电信股份有限公司 | 一种动态口令身份认证系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101674284A (zh) | 2010-03-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101674284B (zh) | 一种认证方法、系统及用户侧服务器和认证服务器 | |
| CN113190822B (zh) | 身份认证方法、个人安全内核节点、和电子设备 | |
| CN107888382B (zh) | 一种基于区块链的数字身份验证的方法、装置和系统 | |
| CN107171794B (zh) | 一种基于区块链和智能合约的电子文书签署方法 | |
| CN110677376B (zh) | 认证方法、相关设备和系统及计算机可读存储介质 | |
| CN106506146A (zh) | 基于区块链技术的交易信息校验方法、装置及系统 | |
| CN106503589A (zh) | 区块链交易信息正确性的校验方法、装置及系统 | |
| CN106230784A (zh) | 一种设备验证方法及装置 | |
| CN112733178B (zh) | 基于数字证书认证的跨链信任方法、装置、设备以及介质 | |
| CN101419686A (zh) | 一种基于互联网的网上合同签订系统 | |
| CN105516195A (zh) | 一种基于应用平台登录的安全认证系统及其认证方法 | |
| CN110417820A (zh) | 单点登录系统的处理方法、装置及可读存储介质 | |
| CN111160909B (zh) | 区块链供应链交易隐藏静态监管系统及方法 | |
| CN106452796B (zh) | 认证授权方法、涉税业务平台和相关设备 | |
| CN110324344A (zh) | 账号信息认证的方法及装置 | |
| CN106572082A (zh) | 一种审批签名验证方法、移动设备、终端设备及系统 | |
| CN112905979B (zh) | 电子签名授权方法以及装置、存储介质、电子装置 | |
| CN106161348A (zh) | 一种单点登录的方法、系统以及终端 | |
| CN110298152A (zh) | 一种保护用户隐私和系统安全的线上身份管理方法 | |
| CN110414983A (zh) | 基于区块链的征信信息处理方法、装置、设备及存储介质 | |
| CN113127822A (zh) | 一种基于企业链码的企业电子印章管理方法及系统 | |
| US20080162355A1 (en) | System and method for helping and verifying a signer to sign electronic orders | |
| CN110909388B (zh) | 一种去中心化的电子学历管理系统及方法 | |
| CN106603567B (zh) | 一种web管理员的登录管理方法及装置 | |
| CN111931230A (zh) | 数据授权方法和装置、存储介质和电子装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |