CN108696536A - 一种安全认证方法 - Google Patents
一种安全认证方法 Download PDFInfo
- Publication number
- CN108696536A CN108696536A CN201810721370.2A CN201810721370A CN108696536A CN 108696536 A CN108696536 A CN 108696536A CN 201810721370 A CN201810721370 A CN 201810721370A CN 108696536 A CN108696536 A CN 108696536A
- Authority
- CN
- China
- Prior art keywords
- server
- signature
- client
- digital certificate
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3821—Electronic credentials
- G06Q20/38215—Use of certificates or encrypted proofs of transaction rights
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3825—Use of electronic signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Finance (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供了一种安全认证方法,涉及信息安全的技术领域,通过客户端接收到开启业务指令时,向服务器发送业务请求;若所述服务器返回的身份验证请求,对自身进行签名密码验证,若自身通过签名密码验证,向服务器发送用户数字签名和用户数字证书;若服务器返回的验证通过信息,向服务器发送验证服务器签名请求;若服务器返回的服务器数字签名和服务器数字证书,验证服务器返回的服务器数字签名和服务器数字证书;若验证通过,建立与服务器之间的安全信道,以避免交易数据中敏感信息易泄露,非授权用户访问服务器,仿冒用户访问服务器的问题,可以提高交易数据传输过程中的安全性。
Description
技术领域
本发明涉及信息安全技术领域,尤其是涉及一种安全认证方法。
背景技术
移动技术和互联网已经成为信息通讯技术发展的主要驱动力,移动技术的使用开辟了广阔的移动交互的空间,移动交易平台已经成为普及与流行的生活、工作方式。然而移动交易平台中存在许多信息安全问题,例如交易数据中包含的用户身份信息、业务数据等大量敏感信息易泄露,非授权用户访问服务器,仿冒用户访问服务器等问题。
发明内容
有鉴于此,本发明的目的在于提供一种安全认证方法,以解决现有技术中移动交易平台中用户身份信息、业务数据等大量敏感信息易泄露,非授权用户访问服务器,仿冒用户访问服务器的技术问题。
第一方面,本发明实施例提供了一种安全认证方法,所述方法包括如下步骤:
当接收到到开启业务指令时,向服务器发送业务请求;
若接收到所述服务器在接收到所述业务请求后返回的身份验证请求,获取用户输入的签名密码;
利用所述签名密码对自身进行签名密码验证,若自身通过签名密码验证,获取用户数字签名和用户数字证书,向所述服务器发送用户数字签名和用户数字证书;
若接收到所述服务器根据所述数字签名和数字证书返回的验证通过信息,向所述服务器发送验证服务器签名请求;
若接收到所述服务器在接收到所述验证服务器签名请求后返回的服务器数字签名和服务器数字证书,验证所述服务器返回的服务器数字签名和服务器数字证书;
若验证通过,建立与服务器之间的安全信道。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,所述方法还包括:若未通过签名密码验证,接收到所述服务器返回的新的身份验证要求,获取用户新的签名密码,用于重新进行签名密码验证。
结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,其中,所述客户端存有所述服务器的公钥。
结合第一方面,本发明实施例提供了第一方面的第三种可能的实施方式,其中,所述数字签名,包括:私钥。
结合第一方面,本发明实施例提供了第一方面的第四种可能的实施方式,其中,所述数字证书,包括:X.509数字证书。
结合第一方面,本发明实施例提供了第一方面的第五种可能的实施方式,其中,所述签名密码,包括:PIN码。
第二方面,本发明实施例还提供一种安全认证方法,应用于服务器,所述方法包括如下步骤:
若接收到客户端发送的业务请求,向客户端发送身份验证请求;
若接收到所述客户端在接收到所述身份验证请求后返回的用户数字签名和用户数字证书,对所述用户数字签名和用户数字证书进行验证;
若通过验证,向所述客户端发送验证通过信息;
若接收到所述客户端发送的服务器签名请求,向所述客户端发送服务器数字签名和服务器数字证书。
结合第二方面,本发明实施例提供了第二方面的第一种可能的实施方式,其中,所述服务器存有所述客户端的公钥。
本发明实施例带来了以下有益效果:本发明通过客户端接收到开启业务指令时,向服务器发送业务请求;所述服务器若接收到客户端发送的业务请求,向客户端发送身份验证请求;所述客户端若接收到所述服务器在接收到所述业务请求后返回的身份验证请求,获取用户输入的签名密码;利用所述签名密码对自身进行签名密码验证,若自身通过签名密码验证,获取用户数字签名和用户数字证书,向所述服务器发送用户数字签名和用户数字证书;所述服务器若接收到所述客户端在接收到所述身份验证请求后返回的用户数字签名和用户数字证书,对所述用户数字签名和用户数字证书进行验证;若通过验证,向所述客户端发送验证通过信息;所述客户端若接收到所述服务器根据所述数字签名和数字证书返回的验证通过信息,向所述服务器发送验证服务器签名请求;所述服务器若接收到所述客户端发送的服务器签名请求,向所述客户端发送服务器数字签名和服务器数字证书;所述客户端若接收到所述服务器在接收到所述验证服务器签名请求后返回的服务器数字签名和服务器数字证书,验证所述服务器返回的服务器数字签名和服务器数字证书;若验证通过,建立与服务器之间的安全信道。通过客户端和服务器的交互,得到通过双向验证的安全信道,通过所述安全信道传输交易数据可以避免交易数据中敏感信息易泄露,非授权用户访问服务器,仿冒用户访问服务器的问题,可以提高交易数据传输过程中的安全性。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种安全认证方法流程图;
图2为本发明实施例提供的另一种安全认证方法流程图;
图3为本发明实施例提供的另一种安全认证方法流程图;
图4为本发明实施例提供的一种安全认证方法交互图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前移动交易平台中存在交易数据中包含的用户身份信息、业务数据等大量敏感信息易泄露,非授权用户访问服务器,仿冒用户访问服务器等问题,基于此,本发明实施例提供的一种安全认证方法,以解决交易数据中敏感信息易泄露,非授权用户访问服务器,仿冒用户访问服务器的问题,并且通过这种相互认证的方式建立了一条安全信道,无需再进行传输加密及解密,实现快速安全的移动办公功能。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种安全认证方法进行详细介绍,本发明实施例提供的一种安全认证方法,如图1所示的一种安全认证方法流程图,所述方法包括如下步骤:
步骤S101,当接收到开启业务指令时,向服务器发送业务请求;
在本发明实施例中,所述客户端包括:手机、PC端和平板电脑,用户使用客户端开启交易业务时,所述客户端接收到开启业务指令,向服务器发送业务请求,开启建立安全信道前的相互认证工作。
步骤S102,若接收到所述服务器在接收到所述业务请求后返回的身份验证请求,获取用户输入的签名密码;
在本发明实施例中,所述客户端使用的签名密码包括:PIN码。PIN码是手机的USIM卡的一种安全措施,用户通过移动客户端向认证平台发送身份认证请求,客户端首先会要求用户输入自己的个人PIN码来进行用户个体身份认证;用户个体身份认证通过后移动客户端才会把请求发送到移动身份认证平台:之后,用户可以选择通过动态口令或PKI数字签名来进行客户端的身份认证;身份认证通过后,用户才能使用授权的服务。也就是说,用户在认证过程中必须具备两个条件:一个拥有自己的个人PIN码,另外一个是拥有自己所持有的移动客户端。这样的话,即使用户的移动客户端丢失,在用户的个人PIN码没有泄露的情况下,另外一个使用该移动客户端的人也没法通过认证服务器的身份认证。当客户端需要用户输入PIN码时,具体工作步骤如下:1)完整性检查请求消息:USIM→ME:Request,randUSIM,UID,Cert USIM在此步,用户身份标识模块(USIM,Universal Subscriber IdentityModule)产生并存储随机数rand USIM,并构造要求对移动设备(ME,Mobile Equipment)的完整性进行检查的请求消息,消息中还包括:UID和USIM的证书;2)ME的回复消息:ME→USIM:Result,ID ME,rand ME,Sign ME(rand USIM,UID,rand ME,result),Cert ME在MTM收到请求消息后,MTM存储随机数rand USIM,然后MTM产生一个新的随机数rand ME。MTM对完整性检查的结果、rand ME、rand USIM和UID进行签名。并构造回复消息,将签名与ID ME,rand USIM和ME的证书一起回复给USIM;3)认证请求消息:USIM→ME:E ME(EK,ID ME,randME),Sign USIM(rand USIM,UID,O,EME(EK,IDME,rand ME))USIM收到回复消息后,验证前面的合法性和完整性检查的结果。然后,USIM检查签名中包含的随机数rand USIM是否和自己保存的相同。此步需要的主要是,如果MTM和USIM是有相同的认证机构(CA)那么由于USIM中存有所属CA的证书,因此,可以省略对MTM证书的验证,否则,证书的验证需要额外的开销。在对回复消息完成检查后,USIM产生了一个用于USIM和MTM间加密使用的密钥EK。USIM使用ME的公钥加密EK、IDME和rand ME,并对此加密消息、rand USIM、UID和O进行签名。然后将构造的认证请求消息发送给ME;4)认证回复消息:ME→USIM:Sign USIM(EK,rand USIM,UID,O)在ME收到认证请求消息后,验证签名的合法性,并自己计算对相同内容(其中O使用MTM中存储的值)的签名并解密消息体。如果签名合法,并且计算的签名和收到的相同,则证明USIM和MTM的所有者相同:如签名合法,但计算的签名和收到的不同,则证明USIM的所有者与MTM的所有者不同。ME对EK,rand USIM、ID ME、O进行签名,并将此消息作认证回复消息发给USIM。此消息使用的O是MTM中存储的值。当USIM收到消息后,验证签名的有效性,并判断ME是否与自身有相同的所有者。前四步实现了USIM对ME完整性检查,同时支持USIM和MTM的互认证。同时,还实现了USIM和ME间加密密钥的协商。并且通过对签名的验证还可以完成对ME,USIM的所有者的判断。在前四步执行完成后,ME根据协议执行的要求,从User处获取用户的身份特征;5)采集的用户信息:ME→USIM:EEK(rand ME,H(PW)or BD),Sign ME(EEK(rand ME,H(PW)or BD))安全移动平台保证了硬件的完整性和软件系统的完整性。在此步中,ME通过BR或KB采集用户输入的口令(PW)或生物特征数据(BD,Biometric Data)。为保证口令或BD数据在USIM和ME间传输的安全,MTM使用前面协商的加密密钥EK加密rand ME,H(PW)或BD,并对加密消息体签名,作为采集用户信息发送给USIM;6)认证结果回复消息:USIM→ME:EEK(rand ME,rand USIM,result),Sign USIM(EEK(rand ME,rand USIM,result))在收到用户消息后,USIM验证签名并解密消息,获得H(PW)或BD。然后执行对口令或BD的比价验证。USIM将验证结果进行加密,并对加密消息进行签名,共同作为认证结果回复消息发给ME。通过上述验证方法,可以确保第三方盗用用户的客户端与服务器建立连接,确保是用户本人对用户的客户端进行操作。
步骤S103,利用所述签名密码对自身进行签名密码验证,若自身通过签名密码验证,获取用户数字签名和用户数字证书,向所述服务器发送用户数字签名和用户数字证书;
步骤S104,若接收到所述服务器根据所述数字签名和数字证书返回的验证通过信息,向所述服务器发送验证服务器签名请求;
步骤S105,若接收到所述服务器在接收到所述验证服务器签名请求后返回的服务器数字签名和服务器数字证书,验证所述服务器返回的服务器数字签名和服务器数字证书;
在本发明实施例中,数字签名包括:私钥,在所述服务器中存有所述用户的公钥,在客户端中存有所述服务器的公钥。公钥与私钥的作用是:用公钥加密的内容只能用私钥解密,用私钥加密的内容只能用公钥解密,这样能保证双方在通信时,通信内容不会被第三方查看,且能保证内容的发送方为需要通信的一端。其具体工作原理如下:报文发送方从报文文本中生成一个128位的散列值,并用自己的专用密钥对这个散列值进行加密,形成发送方的数字签名;然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方;报文接收方首先从接收到的原始报文中计算出128位的散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可否认性。本方法采用RSA算法实现数字签名,RSA算法的关键是确定欧拉函数φ(n)的素数p和q,密钥产生过程如下:
1)随机选择两个大质数p与q,令n=p×q,p,q∈[1075,10100];
2)计算n的欧拉函数值φ(n)=(p-1)×(q-1);
3)随机选择一个大正整数e,e<n且与φ(n)互质;
4)根据e,φ(n),计算d,使得d×e=1modφ(n),则(p,q)和(d,e)则是两对密钥,选择其中一个为公钥,则另外一个就是私钥。客户端收到身份认证服务器发送的身份认证要求后,首先要求用户输入签名密码(USIM卡的PIN码),客户端如果验证签名密码正确,则利用保存在客户端的用户私钥完成数字签名,并将签名内容再次发送到身份认证服务器。身份认证服务器收到客户端的数字签名后,利用保存在服务器上的该用户公钥进行数字签名认证,客户端身份认证通过后方服务器向客户端发送签名验证通过信息。通过身份认证服务器利用保存在服务器端的服务器私钥进行数字签名,客户端利用保存在客户端的服务器公钥进行签名认证。客户端收到身份认证服务器的认证通过信息后,发送消息,要求对服务器的身份进行认证。身份认证服务器收到客户端的服务器身份认证要求后,利用保存在服务器端的服务器私钥进行数字签名,并将签名信息发送到客户端。客户端收到身份认证服务器发过来的数字签名信息后,利用保存在客户端的服务器公钥进行签名认证。最终达到相互认证的关系,避免出现非授权用户访问服务器,仿冒用户访问服务器的问题。
步骤S106,若验证通过,建立与服务器之间的安全信道。
在本发明实施例中,根据非对称密码学的原理,每个证书持有人都有一对公钥和私钥,这两把密钥可以互为加解密。公钥是公开的,不需要保密,而私钥是由证书持人自己持有,并且必须妥善保管和注意保密。数字证书则是由证书认证机构(CA)对证书申请者真实身份验证之后,用CA的根证书对申请人的一些基本信息以及申请人的公钥进行签名(相当于加盖发证书机构的公章)后形成的一个数字文件。CA完成签发证书后,会将证书发布在CA的证书库(目录服务器)中,任何人都可以查询和下载,因此数字证书和公钥一样是公开的。可以这样说,数字证书就是经过CA认证过的公钥,而私钥一般情况都是由证书持有者在自己本地生成的,由证书持有者自己负责保管。具体使用时,签名操作是发送方用私钥进行签名,接受方用发送方证书来验证签名;加密操作则是用接受方的证书进行加密,接受方用自己的私钥进行解密。使用数字证书可以避免第三方偷换公钥以进行伪装,窃取信息的行为。通过上述使用数字签名和数字证书双保险的方法,以解决交易数据中敏感信息易泄露,非授权用户访问服务器,仿冒用户访问服务器的问题,可以提高交易数据传输过程中的安全性。
在本发明实施例的又一实施例中,如图2所示的另一种安全认证方法流程图,所述方法包括:
步骤S101,当接收到开启业务指令时,向服务器发送业务请求;
步骤S102,若接收到所述服务器在接收到所述业务请求后返回的身份验证请求,获取用户输入的签名密码,利用所述签名密码对自身进行签名密码验证;
步骤S103,利用所述签名密码对自身进行签名密码验证,若自身通过签名密码验证,获取用户数字签名和用户数字证书,向所述服务器发送用户数字签名和用户数字证书;
步骤S104,若接收到所述服务器根据所述数字签名和数字证书返回的验证通过信息,向所述服务器发送验证服务器签名请求;
步骤S105,若接收到所述服务器在接收到所述验证服务器签名请求后返回的服务器数字签名和服务器数字证书,验证所述服务器返回的服务器数字签名和服务器数字证书;
步骤S106,若验证通过,建立与服务器之间的安全信道。
步骤S107,若未通过签名密码验证,接收到所述服务器返回的新的身份验证要求,获取用户新的签名密码,用于重新进行签名密码验证。
在本发明实施例中,用户若输入错误密码未能通过移动终端的认证,在接收到所述服务器返回的新的身份验证要求,可以获得再次输入密码认证的权利。具体验证次数依据实际使用的密码形式而定,若使用的签名密码为PIN码,如果输入三次PIN码错误,手机便会自动锁卡。所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本发明实施例的又一实施例中,本发明实施例还提供一种安全认证方法,应用于服务器,与上述实施例提供的一种安全认证方法具有相同的技术特征,所以也能解决相同的技术问题,达到相同的技术效果。如图3所示的另一种安全认证方法流程图,所述方法包括如下步骤:
步骤S301,若接收到客户端发送的业务请求,向客户端发送身份验证请求;
步骤S302,若接收到所述客户端在接收到所述身份验证请求后返回的用户数字签名和用户数字证书,对所述用户数字签名和用户数字证书进行验证;
在本发明实施例中,所述服务器存有所述客户端的公钥。根据非对称密码学的原理,每个证书持有人都有一对公钥和私钥,这两把密钥可以互为加解密。公钥是公开的,不需要保密,而私钥是由证书持人自己持有,并且必须妥善保管和注意保密。数字证书则是由证书认证机构(CA)对证书申请者真实身份验证之后,用CA的根证书对申请人的一些基本信息以及申请人的公钥进行签名(相当于加盖发证书机构的公章)后形成的一个数字文件。CA完成签发证书后,会将证书发布在CA的证书库(目录服务器)中,任何人都可以查询和下载,因此数字证书和公钥一样是公开的。可以这样说,数字证书就是经过CA认证过的公钥,而私钥一般情况都是由证书持有者在自己本地生成的,由证书持有者自己负责保管。具体使用时,签名操作是发送方用私钥进行签名,接受方用发送方证书来验证签名;加密操作则是用接受方的证书进行加密,接受方用自己的私钥进行解密。使用数字证书可以避免第三方偷换公钥以进行伪装,窃取信息的行为。所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
步骤S303,若通过验证,向所述客户端发送验证通过信息;
步骤S304,若接收到所述客户端发送的服务器签名请求,向所述客户端发送服务器数字签名和服务器数字证书。
在本发明实施例中,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本发明实施例的又一实施例中,本发明实施例还提供了一种安全认证方法,如图4所示的一种安全认证方法交互图,所述方法包括如下步骤:
步骤S401,客户端当接收到开启业务指令时,向服务器发送业务请求;
步骤S402,服务器若接收到客户端发送的业务请求,向客户端发送身份验证请求;
步骤S403,客户端若接收到所述服务器在接收到所述业务请求后返回的身份验证请求,获取用户输入的签名密码;
步骤S404,客户端利用所述签名密码对自身进行签名密码验证,若自身通过签名密码验证,获取用户数字签名和用户数字证书,向所述服务器发送用户数字签名和用户数字证书;
步骤S405,服务器若接收到所述客户端在接收到所述身份验证请求后返回的用户数字签名和用户数字证书,对所述用户数字签名和用户数字证书进行验证;
步骤S406,服务器若通过验证,向所述客户端发送验证通过信息;
步骤S407,客户端若接收到所述服务器根据所述数字签名和数字证书返回的验证通过信息,向所述服务器发送验证服务器签名请求;
步骤S408,服务器若接收到所述客户端发送的服务器签名请求,向所述客户端发送服务器数字签名和服务器数字证书;
步骤S409,客户端若接收到所述服务器在接收到所述验证服务器签名请求后返回的服务器数字签名和服务器数字证书,验证所述服务器返回的服务器数字签名和服务器数字证书;
步骤S410,若验证通过,建立与服务器之间的安全信道。
在本发明实施例中,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
本发明实施例所提供的进行一种安全认证方法的计算机程序产品,包括存储了处理器可执行的非易失的程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种安全认证方法,应用于客户端,其特征在于,所述方法包括如下步骤:
当接收到开启业务指令时,向服务器发送业务请求;
若接收到所述服务器在接收到所述业务请求后返回的身份验证请求,获取用户输入的签名密码;
利用所述签名密码对自身进行签名密码验证,若自身通过签名密码验证,获取用户数字签名和用户数字证书,向所述服务器发送用户数字签名和用户数字证书;
若接收到所述服务器根据所述数字签名和数字证书返回的验证通过信息,向所述服务器发送验证服务器签名请求;
若接收到所述服务器在接收到所述验证服务器签名请求后返回的服务器数字签名和服务器数字证书,验证所述服务器返回的服务器数字签名和服务器数字证书;
若验证通过,建立与服务器之间的安全信道。
2.根据权利要求1所述的安全认证方法,其特征在于,所述方法还包括:若未通过签名密码验证,接收到所述服务器返回的新的身份验证要求,获取用户新的签名密码,用于重新进行签名密码验证。
3.根据权利要求1所述的安全认证方法,其特征在于,所述客户端存有所述服务器的公钥。
4.根据权利要求1所述的安全认证方法,其特征在于,所述数字签名,包括:私钥。
5.根据权利要求1所述的安全认证方法,其特征在于,所述数字证书,包括:X.509数字证书。
6.根据权利要求1所述的安全认证方法,其特征在于,所述签名密码,包括:PIN码。
7.一种安全认证方法,应用于服务器,其特征在于,所述方法包括如下步骤:
若接收到客户端发送的业务请求,向客户端发送身份验证请求;
若接收到所述客户端在接收到所述身份验证请求后返回的用户数字签名和用户数字证书,对所述用户数字签名和用户数字证书进行验证;
若通过验证,向所述客户端发送验证通过信息;
若接收到所述客户端发送的服务器签名请求,向所述客户端发送服务器数字签名和服务器数字证书。
8.根据权利要求7所述的安全认证方法,其特征在于,所述服务器存有所述客户端的公钥。
9.一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,其特征在于,所述程序代码使所述处理器执行所述权利要求1至8任一所述的方法。
10.一种具有处理器可执行的非易失的程序代码的计算机可读介质,其特征在于,所述程序代码使所述处理器执行所述权利要求1至8任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810721370.2A CN108696536A (zh) | 2018-07-03 | 2018-07-03 | 一种安全认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810721370.2A CN108696536A (zh) | 2018-07-03 | 2018-07-03 | 一种安全认证方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108696536A true CN108696536A (zh) | 2018-10-23 |
Family
ID=63851186
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810721370.2A Pending CN108696536A (zh) | 2018-07-03 | 2018-07-03 | 一种安全认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108696536A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109413076A (zh) * | 2018-11-06 | 2019-03-01 | 北京奇虎科技有限公司 | 域名解析方法及装置 |
| CN111931164A (zh) * | 2020-06-28 | 2020-11-13 | 航天信息股份有限公司 | 一种用于确定密码安全等级的方法及系统 |
| CN112035867A (zh) * | 2020-11-06 | 2020-12-04 | 成都掌控者网络科技有限公司 | 一种Web应用权限管理方法、系统、设备及存储介质 |
| CN112164220A (zh) * | 2020-09-22 | 2021-01-01 | 江西锦路科技开发有限公司 | 一种高速公路服务区拥堵监测及自动导引系统 |
| CN112232363A (zh) * | 2020-11-05 | 2021-01-15 | 北京三维天地科技股份有限公司 | 一种基于5g的无接触式样品信息采集设备 |
| CN112738103A (zh) * | 2020-12-29 | 2021-04-30 | 北京深思数盾科技股份有限公司 | 信息校验方法、装置及电子设备 |
| CN113742710A (zh) * | 2021-09-14 | 2021-12-03 | 广东中星电子有限公司 | 双向认证系统 |
| CN114066339A (zh) * | 2020-08-04 | 2022-02-18 | 中国移动通信集团终端有限公司 | 货物签收的方法、装置、设备及存储介质 |
| CN114980095A (zh) * | 2021-05-08 | 2022-08-30 | 中移互联网有限公司 | 数据访问方法及数据访问装置 |
| CN115941217A (zh) * | 2021-08-17 | 2023-04-07 | 中金金融认证中心有限公司 | 用于安全通信的方法和其相关产品 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101431415A (zh) * | 2008-12-12 | 2009-05-13 | 天柏宽带网络科技(北京)有限公司 | 一种双向认证的方法 |
| CN102075522A (zh) * | 2010-12-22 | 2011-05-25 | 北京航空航天大学 | 一种结合数字证书和动态密码的安全认证与交易方法 |
| US20150135294A1 (en) * | 2012-03-12 | 2015-05-14 | China Iwncomm Co., Ltd. | Method, device, and system for authentication |
| CN106936790A (zh) * | 2015-12-30 | 2017-07-07 | 上海格尔软件股份有限公司 | 基于数字证书实现客户端和服务器端进行双向认证的方法 |
-
2018
- 2018-07-03 CN CN201810721370.2A patent/CN108696536A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101431415A (zh) * | 2008-12-12 | 2009-05-13 | 天柏宽带网络科技(北京)有限公司 | 一种双向认证的方法 |
| CN102075522A (zh) * | 2010-12-22 | 2011-05-25 | 北京航空航天大学 | 一种结合数字证书和动态密码的安全认证与交易方法 |
| US20150135294A1 (en) * | 2012-03-12 | 2015-05-14 | China Iwncomm Co., Ltd. | Method, device, and system for authentication |
| CN106936790A (zh) * | 2015-12-30 | 2017-07-07 | 上海格尔软件股份有限公司 | 基于数字证书实现客户端和服务器端进行双向认证的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 周珅珅: "基于SSL双向认证技术安全服务系统的设计与实现", 《中国优秀硕士学位论文全文数据库(电子期刊)》 * |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109413076B (zh) * | 2018-11-06 | 2022-11-29 | 北京奇虎科技有限公司 | 域名解析方法及装置 |
| CN109413076A (zh) * | 2018-11-06 | 2019-03-01 | 北京奇虎科技有限公司 | 域名解析方法及装置 |
| CN111931164A (zh) * | 2020-06-28 | 2020-11-13 | 航天信息股份有限公司 | 一种用于确定密码安全等级的方法及系统 |
| CN114066339A (zh) * | 2020-08-04 | 2022-02-18 | 中国移动通信集团终端有限公司 | 货物签收的方法、装置、设备及存储介质 |
| CN112164220B (zh) * | 2020-09-22 | 2022-08-02 | 江西锦路科技开发有限公司 | 一种高速公路服务区拥堵监测及自动导引系统 |
| CN112164220A (zh) * | 2020-09-22 | 2021-01-01 | 江西锦路科技开发有限公司 | 一种高速公路服务区拥堵监测及自动导引系统 |
| CN112232363A (zh) * | 2020-11-05 | 2021-01-15 | 北京三维天地科技股份有限公司 | 一种基于5g的无接触式样品信息采集设备 |
| CN112035867A (zh) * | 2020-11-06 | 2020-12-04 | 成都掌控者网络科技有限公司 | 一种Web应用权限管理方法、系统、设备及存储介质 |
| CN112738103A (zh) * | 2020-12-29 | 2021-04-30 | 北京深思数盾科技股份有限公司 | 信息校验方法、装置及电子设备 |
| CN112738103B (zh) * | 2020-12-29 | 2022-03-22 | 北京深思数盾科技股份有限公司 | 信息校验方法、装置及电子设备 |
| CN114980095A (zh) * | 2021-05-08 | 2022-08-30 | 中移互联网有限公司 | 数据访问方法及数据访问装置 |
| CN114980095B (zh) * | 2021-05-08 | 2023-10-27 | 中移互联网有限公司 | 数据访问方法及数据访问装置 |
| CN115941217A (zh) * | 2021-08-17 | 2023-04-07 | 中金金融认证中心有限公司 | 用于安全通信的方法和其相关产品 |
| CN115941217B (zh) * | 2021-08-17 | 2024-03-29 | 中金金融认证中心有限公司 | 用于安全通信的方法和其相关产品 |
| CN113742710A (zh) * | 2021-09-14 | 2021-12-03 | 广东中星电子有限公司 | 双向认证系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108696536A (zh) | 一种安全认证方法 | |
| CN108270571B (zh) | 基于区块链的物联网身份认证系统及其方法 | |
| US20230104934A1 (en) | Method and system for zero-knowledge and identity based key management for decentralized applications | |
| CN109495274B (zh) | 一种去中心化智能锁电子钥匙分发方法及系统 | |
| CN101300808B (zh) | 安全认证的方法和设置 | |
| JP4776245B2 (ja) | ユニバーサルパーベイシブトランザクションフレームワークのためのオピニオン登録アプリケーション | |
| TWI497336B (zh) | 用於資料安全之裝置及電腦程式 | |
| KR100843081B1 (ko) | 보안 제공 시스템 및 방법 | |
| ES2644739T3 (es) | Solicitud de certificados digitales | |
| CA2652084C (en) | A method and apparatus to provide authentication and privacy with low complexity devices | |
| US7793102B2 (en) | Method for authentication between a portable telecommunication object and a public access terminal | |
| RU2584500C2 (ru) | Криптографический способ аутентификации и идентификации с шифрованием в реальном времени | |
| JP2000357156A (ja) | 認証シード配布のためのシステムおよび方法 | |
| CN109963282A (zh) | 在ip支持的无线传感网络中的隐私保护访问控制方法 | |
| US10504109B2 (en) | Method for the mutual authentication of entities having previously initiated an online transaction | |
| JP2012521109A (ja) | 身元認証及び共有鍵生成の方法 | |
| CN103490881A (zh) | 认证服务系统、用户认证方法、认证信息处理方法及系统 | |
| CN103974255A (zh) | 一种车辆接入系统和方法 | |
| CN106936588A (zh) | 一种硬件控制锁的托管方法、装置及系统 | |
| CN112565294B (zh) | 一种基于区块链电子签名的身份认证方法 | |
| Kravitz | Transaction immutability and reputation traceability: Blockchain as a platform for access controlled iot and human interactivity | |
| CN113364597A (zh) | 一种基于区块链的隐私信息证明方法及系统 | |
| CN110176989B (zh) | 基于非对称密钥池的量子通信服务站身份认证方法和系统 | |
| CN113365264B (zh) | 一种区块链无线网络数据传输方法、装置及系统 | |
| JP2005122567A (ja) | デバイス間において認証用情報を委譲する情報処理方法及び情報処理システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181023 |