CN104935553A - 统一身份认证平台及认证方法 - Google Patents
统一身份认证平台及认证方法 Download PDFInfo
- Publication number
- CN104935553A CN104935553A CN201410102952.4A CN201410102952A CN104935553A CN 104935553 A CN104935553 A CN 104935553A CN 201410102952 A CN201410102952 A CN 201410102952A CN 104935553 A CN104935553 A CN 104935553A
- Authority
- CN
- China
- Prior art keywords
- client
- end server
- algorithm
- user
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 230000005540 biological transmission Effects 0.000 claims abstract description 25
- 238000004891 communication Methods 0.000 claims description 13
- 230000004044 response Effects 0.000 claims description 4
- OTZZZISTDGMMMX-UHFFFAOYSA-N 2-(3,5-dimethylpyrazol-1-yl)-n,n-bis[2-(3,5-dimethylpyrazol-1-yl)ethyl]ethanamine Chemical compound N1=C(C)C=C(C)N1CCN(CCN1C(=CC(C)=N1)C)CCN1C(C)=CC(C)=N1 OTZZZISTDGMMMX-UHFFFAOYSA-N 0.000 claims description 3
- 241001441724 Tetraodontidae Species 0.000 claims description 3
- 230000008569 process Effects 0.000 description 22
- 238000010586 diagram Methods 0.000 description 9
- 230000006835 compression Effects 0.000 description 5
- 238000007906 compression Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 230000007547 defect Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 230000008676 import Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 238000004064 recycling Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
- 239000013598 vector Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种统一身份认证平台及认证方法。其中认证平台包括密钥中心,用于根据注册请求,由HSM生成的PIN信息,并将PIN信息传送给客户端用户,和后端服务器;客户端,用于利用PIN信息,通过加解密算法对客户端和后端服务器之间传输的数据块进行加解密;网络服务器,用于与客户端或者后端服务器之间利用SSL加解密并传输数据块;后端服务器,用于接收密钥中心发回的进行加解密的PIN信息;利用PIN信息,通过加解密算法,对客户端和后端服务器之间传输的数据块进行加解密。其尽可能保障网络信息传输的安全性,防止第三方通过共享宽带无线链接对信息进行篡改和盗取。
Description
技术领域
本发明涉及网络信息安全技术领域,特别是涉及一种统一身份认证平台及认证方法。
背景技术
在银行、政府、保险等高信息安全的行业中,进行网络信息传输,特别是身份认证时,一般使用传统的SSL(Secure Sockets Layer,安全套接层)进行点对点加密,其传输的信息可以被攻击盗取或者篡改,安全性得不到保障。
发明内容
基于此,有必要针对现有技术的缺陷和不足,提供统一身份认证平台及认证方法,其解决了传统SSL仅能提供点到点的数据安全保护,以及通过网络会话的重复攻击的缺陷,尽可能保障网络信息传输的安全性。
为实现本发明目的而提供的统一身份认证平台包括密钥中心,客户端,网络服务器,后端服务器,其中:
所述密钥中心,用于根据客户端通过网络服务器和后端服务器发来的注册请求,由硬件安全模块生成的PIN信息,并将PIN信息通过可信物理方式递交给客户端用户,以及通过可信方式发送给后端服务器;
所述客户端,用于接收客户端用户输入的PIN信息;利用PIN信息,通过与后端服务器约定的预设加解密算法,对客户端和后端服务器之间传输的数据块进行加解密;
所述网络服务器,用于在客户端和后端服务器之间建立网络连接,并与客户端或者后端服务器之间利用SSL加解密并传输数据块;
所述后端服务器,用于将客户端用户的信息发送给密钥中心,请求密钥中心根据客户端用户的信息生成PIN信息;并接收密钥中心发回的进行加解密的PIN信息;利用PIN信息,通过与客户端约定的预设加解密算法,对客户端和后端服务器之间传输的数据块进行加解密。
作为一种统一身份认证平台的可实施方式,所述客户端,还用于通过网络服务器向后端服务器发出注册请求;
所述后端服务器,还用于接收客户端发来的注册请求,对客户端用户进行注册。
其中,所述网络连接为有线连接或者无线连接。
其中,所述无线连接包括但不限于CDMA2000通信网络连接、WCDMA通信网络连接、TD-CDMA通信网络连接或者TD-LTE通信网络连接。
其中,所述加解密算法,为对称算法或者非对称算法;
所述对称算法为DES算法,3DES算法,TDEA算法,Blowfish算法,RC5算法或者IDEA算法;
所述非对称算法为RSA算法、Elgamal算法、背包算法、Rabin算法、D-H算法或者ECC算法。
作为一种统一身份认证平台的可实施方式,所述用户身份认证的数据块为令牌种子、用户密码、数据块和/或用户个性化数据。
作为一种统一身份认证平台的可实施方式,所述用户个性化数据为用户手写签名图像数据、用户输入的声音、用户的二维码和/或用户选择输入的其他非数字数据。
基于同一发明构思的一种统一身份认证方法,包括如下步骤:
步骤A,密钥中心根据客户端通过网络服务器和后端服务器发来的注册请求,由硬件安全模块生成的PIN信息,并将PIN信息通过可信物理方式递交给客户端用户,以及通过可信方式发送给后端服务器;
步骤B,客户端利用PIN信息,通过与后端服务器约定的预设加解密算法,对客户端和后端服务器之间传输的数据块进行加解密;
步骤C,网络服务器与客户端或者后端服务器之间利用SSL加解密并传输数据块;
步骤D,后端服务器利用PIN信息,通过与客户端约定的预设加解密算法,对客户端和后端服务器之间传输的数据块进行加解密。
作为一种统一身份认证方法的可实施方式,所述步骤A之前还包括如下步骤:
步骤A1,所述客户端通过网络服务器向后端服务器发出注册请求;
步骤A2,网络服务器与客户端或者后端服务器之间利用SSL加解密并传输数据块;
步骤A3,后端服务器接收客户端发来的注册请求,对客户端用户进行注册,并将客户端用户的信息发送给密钥中心,请求密钥中心根据客户端用户的信息生成PIN信息。
本发明的有益效果:本发明提供的统一身份认证平台及认证方法,通过对用户身份认证的数据(包括但不限于令牌种子、用户密码或交易数据)的传输和储存整个过程进行多重认证保护,克服了SSL的缺陷,提供额外的安全功能,尽可能保障网络信息传输的安全性,防止第三方通过共享宽带无线链接对信息进行篡改和盗取。
附图说明
以下结合具体附图及具体实施例,对本发明的统一身份认证平台及认证方法进行进一步详细说明。
图1为本发明的统一身份认证平台的一具体实施例的结构示意图;
图2为本发明的统一身份认证平台的一具体实施例的HSM对传输的密匙加解密过程示意图;
图3为SSL位置示意图;
图4为握手协议构成示意图;
图5为SSL握手第一阶段示意图;
图6为SSL握手第二阶段示意图;
图7为使用RSA的服务端的验证和密钥交换过程示意图;
图8为SSL握手第三阶段示意图;
图9为使用RSA的客户端的验证和密钥交换过程示意图;
图10为SSL握手第四阶段示意图;
图11为从预备主秘密计算主秘密的过程示意图;
图12为从主秘密计算密钥材料过程示意图;
图13为从密钥材料提取加密秘密的过程示意图;
图14为SSL记录协议过程示意图;
图15为本发明的统一身份认证方法的一具体实施例的流程图。
具体实施方式
为了使本发明的技术方案更加清楚,以下结合附图,对本发明的统一身份认证平台及认证方法作进一步详细的说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
本发明提供的统一身份认证平台的实施例,参见图1,本发明实施例提供的统一身份认证平台,包括密钥中心,客户端,网络服务器,后端服务器,其中:
所述密钥中心,用于根据客户端通过网络服务器和后端服务器发来的注册请求,由硬件安全模块(HSM)生成的PIN(Personal Identification Number,个人识别密码)信息,并将PIN信息通过可信物理方式递交给客户端用户,以及通过可信方式发送给后端服务器;
所述客户端,用于通过网络服务器向后端服务器发出注册请求;并接收客户端用户输入的PIN信息;利用PIN信息,通过与后端服务器约定的预设加解密算法,对客户端和后端服务器之间传输的数据块进行加解密;
所述网络服务器,用于在客户端和后端服务器之间建立网络连接,并与客户端或者后端服务器之间利用SSL加解密并传输数据块;
所述后端服务器,用于接收客户端发来的注册请求,对客户端用户进行注册,并将客户端用户的信息发送给密钥中心,请求密钥中心根据客户端用户的信息生成PIN信息;并接收密钥中心发回的进行加解密的PIN信息;利用PIN信息,通过与客户端约定的预设加解密算法,对客户端和后端服务器之间传输的数据块进行加解密。
本发明实施例中,客户端和后端服务器中,在生成、分配、更改和重设PIN(用户密码)信息过程中,利用约定的预设加解密算法对传输的数据块进行第一层加解密后,再利用网络服务器进行第二层加解密,使得在网络传输的认证数据块能够进行很好的保护,第三人通过即使能通过网络攻击获取数据,也因为第一层加密而不能得到在网络服务器上传输的数据块信息,确保端对端的保护,从而有效地保护客户端到后端服务器传输的数据的安全。
进一步地,本发明实施例通过利用硬件安全模块(HSM)生成PIN信息,其生成后直接封装,并通过可信物理方式传递给客户端用户,除客户端用户外,其他人无从得知PIN信息,防止内部威胁,特别是防止系统管理员用已知的密码内容更换用户的密码,使他们能够获得客户端的账户信息,提供较好的保证,尽可能确保除了生成PIN的受信赖的HSM外,没有人可以知道PIN信息,包括网络服务器等中间层服务器在内,并可防止会话重放攻击,以及防止利用GPUs技术来进行密码暴力破解。
作为一种可实施方式,本发明实施例中,所述网络连接为有线连接或者无线连接。
所述无线连接包括但不限于CDMA2000通信网络连接、WCDMA通信网络连接、TD-CDMA通信网络连接或者TD-LTE通信网络连接。
作为一种可实施方式,所述预设的加解密算法,包括但不限于对称算法或者非对称算法。
所述对称算法包括但不限于DES算法,3DES算法,TDEA算法,Blowfish算法,RC5算法,IDEA算法等。
在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。
所述非对称算法包括但不限于RSA算法、Elgamal算法、背包算法、Rabin算法、D-H算法、ECC算法(椭圆曲线加密算法)。
非对称加密算法需要两个密钥:公钥(publickey)和私钥(privatekey)。公钥与私钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。
非对称加密算法实现机密信息交换的基本过程是:甲方生成一对密钥并将其中的一把作为公钥向其它方公开;得到该公钥的乙方使用该密钥对机密信息进行加密后再发送给甲方;甲方再用自己保存的另一把私密钥对加密后的信息进行解密。另一方面,甲方可以使用乙方的公钥对机密信息进行加密后再发送给乙方;乙方再用自己的私匙对加密后的信息进行解密。甲方只能用其公钥解密由其公钥加密后的任何信息。非对称加密算法的保密性比较好,它消除了最终用户交换密钥的需要。
本发明实施例中,作为一种可实施方式,将PIN信息通过可信物理方式递交给客户端用户,包括但不限于通过人手递交的方式,或者邮寄的方式,或者当面获取的方式,递交给客户端用户。所述通过可信方式发送给后端服务器,包括但不限于通过专线网络一对一发送给后端服务器。
作为一种可实施方式,所述用户身份认证的数据块包括但不限于令牌种子、用户密码、数据块和/或用户个性化数据,所述用户个性化数据包括但不限于用户手写签名图像数据、用户输入的声音、用户的二维码和/或用户选择输入的其他非数字数据(如阿拉伯字母等)。
下面详细说明由HSM生成PIN信息的过程:
步骤A1,将PIN打包为R+S+P结构。
其中:R是HSM每次加密都会产生的一个固定长度的随机数;S是在访问的时候用到的一个访问元素;P是通过具体配置而指定的PIN码本身或者散列中的PIN码。所述散列算法为SHA256,或者SM3。
步骤B1,使用对称的KEY的加密方法把R+S+P结构的PIN进行加密。
这种加密方法使用256位AES key算法的,或者使用SM1或者SM4算法。
步骤C1,把加密后的PIN保存到数据库中。
如图2所示,下面详细说明用PIN对传输的数据块进行加解密的过程:
步骤A2,HSM产生“HSM传输密匙”和“密匙加密密匙”。
其中:“HSM传输密匙”用于解密DPX格式文件中的敏感数据;“密匙加密密匙”用于加密“HSM传输密匙”。
步骤B2,HSM通过“密匙加密密匙”加密包装“HSM传输密匙”,形成一个“加密的HSM传输密匙”并将其导入到目标HSM中。
步骤C2,HSM把“密匙加密密匙”分配给不同的技术人员。
步骤D2,将不同技术人员的“密匙加密密匙”都导入到目标HSM中。
步骤E2,使用“密匙加密密匙”解密“加密HSM传输密匙”得到“HSM传输密匙”并导入到目标的HSM中。
下面详细说明如何利用网络服务器的SSL加解密并传输数据块的过程。
安全套接字(SSL)协议,使用握手协议协商加密和MAC算法以及保密密钥,使用握手协议对交换的数据进行加密和签名,使用警报协议定义数据传输过程中,及出现问题如何去解决。其是Web浏览器与Web服务器之间安全交换信息的协议,提供两个基本的安全服务:鉴别与保密。
SSL协议具有三个特性:
①保密:在握手协议中定义了会话密钥后,所有的消息都被加密。
②鉴别:可选的客户端认证,和强制的服务器端认证。
③完整性:传送的消息包括消息完整性检查(使用MAC)。
如图3所示,SSL介于应用层和TCP层之间。应用层数据不再直接传递给传输层,而是传递给SSL层,SSL层对从应用层收到的数据进行加密,并增加自己的SSL头。
1、握手协议
握手协议是客户机和服务器用SSL连接通信时使用的第一个子协议,握手协议包括客户机与服务器之间的一系列消息。SSL中最复杂的协议就是握手协议。该协议允许服务器和客户机相互验证,协商加密和MAC算法以及保密密钥,用来保护在SSL记录中发送的数据。握手协议是在应用程序的数据传输之前使用的。
如图4所示,每个握手协议包含以下3个字段:
(1)类型:表示10种消息类型之一;
(2)长度:表示消息长度字节数;
(3)参数:与消息相关的参数。
如图5所示,SSL握手的第一阶段启动逻辑连接,建立这个连接的安全能力。首先客户机向服务器发出“客户端,你好”消息并等待服务器响应,随后服务器向客户机返回”服务端,你好”消息,对“客户端,你好”消息中的信息进行确认。
“客户端,你好”消息包括版本,服务器随机数,会话ID,密码套件,压缩方法等信息。
“客户端,你好”客户发送“客户端,你好”信息,包含如下内容:
(1)客户端可以支持的SSL最高版本号;
(2)一个用于生成主秘密的32字节的随机数;
(3)一个确定会话的会话ID;
(4)一个客户端可以支持的密码套件列表;
密码套件格式为:每个套件都以“SSL”开头,紧跟着的是密钥交换算法。用“With”这个词把密钥交换算法、加密算法、散列算法分开。
(5)一个客户端可以支持的压缩算法列表。
“服务端,你好”服务器用“服务端,你好”信息应答客户,包括下列内容:
1)一个SSL版本号;
取客户端支持的最高版本号和服务端支持的最高版本号中的较低者。
2)一个用于生成主秘密的32字节的随机数;
客户端一个、服务端一个。
3)会话ID;
4)从客户端的密码套件列表中选择的一个密码套件;
5)从客户端的压缩方法的列表中选择的压缩方法。
这个阶段之后,客户端服务端知道了下列内容:
(1)SSL版本;
(2)密钥交换、信息验证和加密算法;
(3)压缩方法;
(4)有关密钥生成的两个随机数。
如图6所示,服务器启动SSL握手第2阶段,是本阶段所有消息的唯一发送方,客户机是所有消息的唯一接收方。该阶段分为4步:
(a)证书:服务器将数字证书和到根CA整个链发给客户端,使客户端能用服务器证书中的服务器公钥认证服务器。
(b)服务器密钥交换(可选):这里视密钥交换算法而定。
(c)证书请求:服务端可能会要求客户自身进行验证。
(d)服务器握手完成:第二阶段的结束,第三阶段开始的信号。
服务端的验证和密钥交换。这个阶段的前面的(a)证书和(b)服务器密钥交换是基于密钥交换方法的。
在阶段1过程客户端与服务端协商的过程中已经确定使哪种密钥交换算法。
如果协商过程中确定使用RSA交换密钥,那么过程如图7所示:
这个方法中,服务器在它的第一个信息中,发送了RSA加密/解密公钥证书。不过,因为预备主秘密是由客户端在下一个阶段生成并发送的,所以第二个信息是空的。注意,公钥证书会进行从服务器到客户端的验证。当服务器收到预备主秘密时,它使用私钥进行解密。服务端拥有私钥是一个证据,可以证明服务器是一个它在第一个信息发送的公钥证书中要求的实体。
如图8所示,客户机启动SSL握手第3阶段,是本阶段所有消息的唯一发送方,服务器是所有消息的唯一接收方。该阶段分为3步:
(a)证书(可选):为了对服务器证明自身,客户要发送一个证书信息,这是可选的,在IIS中可以配置强制客户端证书认证。
(b)客户机密钥交换:这里客户端将预备主密钥发送给服务端,注意这里会使用服务端的公钥进行加密。
(c)证书验证(可选),对预备秘密和随机数进行签名,证明拥有(a)证书的公钥。
下面也重点介绍一下RSA方式的客户端验证和密钥交换。
如图9所示,除非服务器在阶段II明确请求,否则没有证书信息。客户端密钥交换方法包括阶段II收到的由RSA公钥加密的预备主密钥。
阶段III之后,客户要有服务器进行验证,客户和服务器都知道预备主密钥。
如图10所示,客户机启动SSL握手第4阶段,使服务器结束。该阶段分为4步,前2个消息来自客户机,后2个消息来自服务器。
握手协议完成,如图11、12、13所示,下面描述什么是预备主密钥,主密钥是怎么生成的。为了保证信息的完整性和机密性,SSL需要有六个加密秘密:四个密钥(客户验证密钥(Auth.Key),服务器验证密钥,客户加密密钥(Enc.Key),和服务器加密密钥)和两个IV(初始向量)。为了信息的可信性,客户端需要一个密钥(HMAC),为了加密要有一个密钥,为了分组加密要一个IV,服务也是如此。SSL需要的密钥是单向的,不同于那些在其他方向的密钥。如果在一个方向上有攻击,这种攻击在其他方向是没影响的。
其中,图中PM为预备主秘密;SR为服务器随机数;CR为客户随机数;M为主秘密。
2、记录协议
记录协议在客户机和服务器握手成功后使用,即客户机和服务器鉴别对方和确定安全信息交换使用的算法后,进入SSL记录协议,记录协议向SSL连接提供两个服务:
(1)保密性:使用握手协议定义的秘密密钥实现。
(2)完整性:握手协议定义了MAC,用于保证消息完整性。
如图14所示,记录协议的过程。
3、警报协议
客户机和服务器发现错误时,向对方发送一个警报消息。如果是致命错误,则算法立即关闭SSL连接,双方还会先删除相关的会话号,秘密和密钥。每个警报消息共2个字节,第1个字节表示错误类型,如果是警报,则值为1,如果是致命错误,则值为2;第2个字节制定实际错误类型。
基于同一发明构思,本发明还提供一种统一身份认证方法,如图15所示,包括如下步骤:
步骤S100,客户端通过网络服务器向后端服务器发出注册请求;
步骤S200,网络服务器与客户端或者后端服务器之间利用SSL加解密并传输数据块;
步骤S300,后端服务器接收客户端发来的注册请求,对客户端用户进行注册,并将客户端用户的信息发送给密钥中心,请求密钥中心根据客户端用户的信息生成PIN信息;
步骤S400,密钥中心根据客户端通过网络服务器和后端服务器发来的注册请求,由硬件安全模块(HSM)生成的PIN信息,并将PIN信息通过可信物理方式递交给客户端用户,以及通过可信方式发送给后端服务器;
步骤S500,客户端利用PIN信息,通过与后端服务器约定的预设加解密算法,对客户端和后端服务器之间传输的数据块进行加解密;
步骤S600,网络服务器与客户端或者后端服务器之间利用SSL加解密并传输数据块;
步骤S700,后端服务器利用PIN信息,通过与客户端约定的预设加解密算法,对客户端和后端服务器之间传输的数据块进行加解密。
本发明实施例的统一身份认证方法,以与前述的统一身份认证平台相同的过程处理身份认证,因此,在本发明实施例中,不再对统一身份认证方法进行重复描述。
本发明提供的统一身份认证平台及认证方法,通过对用户身份认证的数据块(包括但不限于令牌种子、用户密码或数据块)的传输和储存整个过程进行多重认证保护,克服了SSL的缺陷,提供额外的安全功能,尽可能保障网络信息传输的安全性,防止第三方通过共享宽带无线链接对信息进行篡改和盗取。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (9)
1.一种统一身份认证平台,其特征在于,包括密钥中心,客户端,网络服务器,后端服务器,其中:
所述密钥中心,用于根据客户端通过网络服务器和后端服务器发来的注册请求,由硬件安全模块生成的PIN信息,并将PIN信息通过可信物理方式递交给客户端用户,以及通过可信方式发送给后端服务器;
所述客户端,用于接收客户端用户输入的PIN信息;利用PIN信息,通过与后端服务器约定的预设加解密算法,对客户端和后端服务器之间传输的数据块进行加解密;
所述网络服务器,用于在客户端和后端服务器之间建立网络连接,并与客户端或者后端服务器之间利用SSL加解密并传输数据块;
所述后端服务器,用于将客户端用户的信息发送给密钥中心,请求密钥中心根据客户端用户的信息生成PIN信息;并接收密钥中心发回的进行加解密的PIN信息;利用PIN信息,通过与客户端约定的预设加解密算法,对客户端和后端服务器之间传输的数据块进行加解密。
2.根据权利要求1所述的统一身份认证平台,其特征在于:
所述客户端,还用于通过网络服务器向后端服务器发出注册请求;
所述后端服务器,还用于接收客户端发来的注册请求,对客户端用户进行注册。
3.根据权利要求1或2所述的统一身份认证平台,其特征在于:
所述网络连接为有线连接或者无线连接。
4.根据权利要求3所述的统一身份认证平台,其特征在于,所述无线连接包括但不限于CDMA2000通信网络连接、WCDMA通信网络连接、TD-CDMA通信网络连接或者TD-LTE通信网络连接。
5.根据权利要求1或2所述的统一身份认证平台,其特征在于,所述加解密算法,为对称算法或者非对称算法;
所述对称算法为DES算法,3DES算法,TDEA算法,Blowfish算法,RC5算法或者IDEA算法;
所述非对称算法为RSA算法、Elgamal算法、背包算法、Rabin算法、D-H算法或者ECC算法。
6.根据权利要求1或2所述的统一身份认证平台,其特征在于,所述用户身份认证的数据块为令牌种子、用户密码、数据块和/或用户个性化数据。
7.根据权利要求6所述的统一身份认证平台,其特征在于,所述用户个性化数据为用户手写签名图像数据、用户输入的声音、用户的二维码和/或用户选择输入的其他非数字数据。
8.一种统一身份认证方法,其特征在于,包括如下步骤:
步骤A,密钥中心根据客户端通过网络服务器和后端服务器发来的注册请求,由硬件安全模块生成的PIN信息,并将PIN信息通过可信物理方式递交给客户端用户,以及通过可信方式发送给后端服务器;
步骤B,客户端利用PIN信息,通过与后端服务器约定的预设加解密算法,对客户端和后端服务器之间传输的数据块进行加解密;
步骤C,网络服务器与客户端或者后端服务器之间利用SSL加解密并传输数据块;
步骤D,后端服务器利用PIN信息,通过与客户端约定的预设加解密算法,对客户端和后端服务器之间传输的数据块进行加解密。
9.根据权利要求8所述的统一身份认证方法,其特征在于,所述步骤A之前还包括如下步骤:
步骤A1,所述客户端通过网络服务器向后端服务器发出注册请求;
步骤A2,网络服务器与客户端或者后端服务器之间利用SSL加解密并传输数据块;
步骤A3,后端服务器接收客户端发来的注册请求,对客户端用户进行注册,并将客户端用户的信息发送给密钥中心,请求密钥中心根据客户端用户的信息生成PIN信息。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410102952.4A CN104935553B (zh) | 2014-03-19 | 2014-03-19 | 统一身份认证平台及认证方法 |
| TW103122182A TW201537937A (zh) | 2014-03-19 | 2014-06-26 | 統一身份認證平臺及認證方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410102952.4A CN104935553B (zh) | 2014-03-19 | 2014-03-19 | 统一身份认证平台及认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104935553A true CN104935553A (zh) | 2015-09-23 |
| CN104935553B CN104935553B (zh) | 2018-09-18 |
Family
ID=54122526
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410102952.4A Active CN104935553B (zh) | 2014-03-19 | 2014-03-19 | 统一身份认证平台及认证方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN104935553B (zh) |
| TW (1) | TW201537937A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105871858A (zh) * | 2016-04-15 | 2016-08-17 | 浪潮集团有限公司 | 一种保证数据安全的方法及系统 |
| CN105939196A (zh) * | 2016-03-15 | 2016-09-14 | 天地融科技股份有限公司 | 身份认证方法和系统 |
| CN106657085A (zh) * | 2016-12-28 | 2017-05-10 | 北京匡恩网络科技有限责任公司 | 数据处理方法和装置及加密装置 |
| CN107294937A (zh) * | 2016-04-11 | 2017-10-24 | 平安科技(深圳)有限公司 | 基于网络通信的数据传输方法、客户端及服务器 |
| CN108206996A (zh) * | 2017-12-08 | 2018-06-26 | 中兴通讯股份有限公司 | 身份验证方法及装置 |
| CN113872989A (zh) * | 2021-10-19 | 2021-12-31 | 南方电网数字电网研究院有限公司 | 基于ssl协议的认证方法、装置、计算机设备和存储介质 |
| CN117134904A (zh) * | 2023-09-01 | 2023-11-28 | 嘉兴嘉赛信息技术有限公司 | 一种基于身份识别与动态加解密通信的方法 |
| CN117134904B (zh) * | 2023-09-01 | 2024-06-28 | 嘉兴嘉赛信息技术有限公司 | 一种基于身份识别与动态加解密通信的方法 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI644227B (zh) * | 2017-05-19 | 2018-12-11 | 台新國際商業銀行股份有限公司 | 配合一行動裝置實現的交互驗證系統及方法 |
| TWI686720B (zh) * | 2018-06-27 | 2020-03-01 | 南臺學校財團法人南臺科技大學 | 基於多重認證鎖定之智慧型通訊裝置 |
| TWI730549B (zh) * | 2019-12-18 | 2021-06-11 | 臺灣網路認證股份有限公司 | 於憑證申請過程中確認金鑰對產生演算法之系統及方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1808482A (zh) * | 2006-02-09 | 2006-07-26 | 北京北大方正电子有限公司 | 可视化的电子签名及验证方法 |
| US20070189541A1 (en) * | 2001-12-21 | 2007-08-16 | Schlumberger Omnes, Inc. | Method and system for initialzing a key management system |
| CN101022455A (zh) * | 2006-12-26 | 2007-08-22 | 北京大学 | 一种Web通信加密方法 |
| US20070288617A1 (en) * | 2006-06-13 | 2007-12-13 | Inter-Tel, Inc. | System and method for networked endpoint registration |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1195973A1 (en) * | 2000-10-05 | 2002-04-10 | Digital Rum Ltd. | Method for registering a user into new services by sending a permanent PIN via SMS or e-mail |
| CN101951320A (zh) * | 2010-09-29 | 2011-01-19 | 北京天地融科技有限公司 | 一种动态密码的实现方法、装置和系统 |
| KR101581606B1 (ko) * | 2011-12-16 | 2015-12-30 | 인텔 코포레이션 | 원격 서버에 대한 안전한 사용자 증명 및 인증 |
-
2014
- 2014-03-19 CN CN201410102952.4A patent/CN104935553B/zh active Active
- 2014-06-26 TW TW103122182A patent/TW201537937A/zh unknown
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070189541A1 (en) * | 2001-12-21 | 2007-08-16 | Schlumberger Omnes, Inc. | Method and system for initialzing a key management system |
| CN1808482A (zh) * | 2006-02-09 | 2006-07-26 | 北京北大方正电子有限公司 | 可视化的电子签名及验证方法 |
| US20070288617A1 (en) * | 2006-06-13 | 2007-12-13 | Inter-Tel, Inc. | System and method for networked endpoint registration |
| CN101022455A (zh) * | 2006-12-26 | 2007-08-22 | 北京大学 | 一种Web通信加密方法 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105939196A (zh) * | 2016-03-15 | 2016-09-14 | 天地融科技股份有限公司 | 身份认证方法和系统 |
| CN105939196B (zh) * | 2016-03-15 | 2019-02-12 | 天地融科技股份有限公司 | 身份认证方法和系统 |
| CN107294937A (zh) * | 2016-04-11 | 2017-10-24 | 平安科技(深圳)有限公司 | 基于网络通信的数据传输方法、客户端及服务器 |
| CN107294937B (zh) * | 2016-04-11 | 2020-11-24 | 平安科技(深圳)有限公司 | 基于网络通信的数据传输方法、客户端及服务器 |
| CN105871858A (zh) * | 2016-04-15 | 2016-08-17 | 浪潮集团有限公司 | 一种保证数据安全的方法及系统 |
| CN106657085A (zh) * | 2016-12-28 | 2017-05-10 | 北京匡恩网络科技有限责任公司 | 数据处理方法和装置及加密装置 |
| CN108206996A (zh) * | 2017-12-08 | 2018-06-26 | 中兴通讯股份有限公司 | 身份验证方法及装置 |
| CN113872989A (zh) * | 2021-10-19 | 2021-12-31 | 南方电网数字电网研究院有限公司 | 基于ssl协议的认证方法、装置、计算机设备和存储介质 |
| CN113872989B (zh) * | 2021-10-19 | 2023-12-05 | 南方电网数字平台科技(广东)有限公司 | 基于ssl协议的认证方法、装置、计算机设备和存储介质 |
| CN117134904A (zh) * | 2023-09-01 | 2023-11-28 | 嘉兴嘉赛信息技术有限公司 | 一种基于身份识别与动态加解密通信的方法 |
| CN117134904B (zh) * | 2023-09-01 | 2024-06-28 | 嘉兴嘉赛信息技术有限公司 | 一种基于身份识别与动态加解密通信的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW201537937A (zh) | 2015-10-01 |
| CN104935553B (zh) | 2018-09-18 |
| TWI571093B (zh) | 2017-02-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104935553B (zh) | 统一身份认证平台及认证方法 | |
| EP3862956B1 (en) | Secure multiparty loss resistant storage and transfer of cryptographic keys for blockchain based systems in conjunction with a wallet management system | |
| CN103118027B (zh) | 基于国密算法建立tls通道的方法 | |
| CN104023013B (zh) | 数据传输方法、服务端和客户端 | |
| US7607012B2 (en) | Method for securing a communication | |
| CN103338215B (zh) | 基于国密算法建立tls通道的方法 | |
| US9705683B2 (en) | Verifiable implicit certificates | |
| CN115549887A (zh) | 用于信息的安全交换的公共秘密的确定和层级确定性密钥 | |
| US11870891B2 (en) | Certificateless public key encryption using pairings | |
| WO2007011897A2 (en) | Cryptographic authentication, and/or establishment of shared cryptographic keys, using a signing key encrypted with a non-one-time-pad encryption, including (but not limited to) techniques with improved security against malleability attacks | |
| CN103986583A (zh) | 一种动态加密方法及其加密通信系统 | |
| EP3673610B1 (en) | Computer-implemented system and method for highly secure, high speed encryption and transmission of data | |
| CN109104278A (zh) | 一种加密解密方法 | |
| CN111416712B (zh) | 基于多个移动设备的量子保密通信身份认证系统及方法 | |
| US20200235915A1 (en) | Computer-implemented system and method for highly secure, high speed encryption and transmission of data | |
| CN114143117A (zh) | 数据处理方法及设备 | |
| CN106230840B (zh) | 一种高安全性的口令认证方法 | |
| US11722466B2 (en) | Methods for communicating data utilizing sessionless dynamic encryption | |
| CN113411187A (zh) | 身份认证方法和系统、存储介质及处理器 | |
| US20240113885A1 (en) | Hub-based token generation and endpoint selection for secure channel establishment | |
| US20220038267A1 (en) | Methods and devices for secured identity-based encryption systems with two trusted centers | |
| CN104915689B (zh) | 一种智能卡信息处理方法 | |
| Lin et al. | Research on authentication and key negotiation based on smart water environment | |
| CN104780049B (zh) | 一种安全读写数据的方法 | |
| US8543815B2 (en) | Authentication method and related devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20231102 Address after: Singapore 750D Caishi Road # 08-01ESR Industrial Park @ Caishi Patentee after: Singapore i-Sprint Technology Co.,Ltd. Address before: Room 1509, Shougang International Building, No. 60, Xizhimen North Street, Haidian District, Beijing 100082 Patentee before: BEIJING ANXUNBEN SCIENCE & TECHNOLOGY Co.,Ltd. |
|
| TR01 | Transfer of patent right |