CN109120644A - 一种基于数字证书和账号口令的双重身份认证方法 - Google Patents
一种基于数字证书和账号口令的双重身份认证方法 Download PDFInfo
- Publication number
- CN109120644A CN109120644A CN201811238899.5A CN201811238899A CN109120644A CN 109120644 A CN109120644 A CN 109120644A CN 201811238899 A CN201811238899 A CN 201811238899A CN 109120644 A CN109120644 A CN 109120644A
- Authority
- CN
- China
- Prior art keywords
- certificate
- user
- account
- server
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种基于数字证书和账号口令的双重身份认证方法,属于身份认证技术领域,本发明为每个终端用户颁发一个证书,证书中保存有用户信息。用户访问业务系统时,需要首先出示自己的证书,业务系统验证证书的有效性,证书验证通过之后,会进一步验证认证请求的账号和口令,账号和口令验证通过之后,会进一步比对证书中的信息是否与当前登录账号匹配,匹配则登录成功;不匹配,则仍然登录失败。采用该方案,即使非法用户取得用户账号和口令,也仍然无法登录系统,有效的保证了系统安全。
Description
技术领域
本发明涉及身份认证技术领域,尤其涉及一种基于数字证书和账号口令的双重身份认证方法。
背景技术
随着信息化的应用越来越广泛,企业和政府的业务系统越来越多,然而安全问题一直一个不容忽视的问题。如今好多业务系统采用http协议,导致各种敏感数据直接在网络上裸奔,风险极大。
随着人们对于安全认识的逐步提高,越来越多的业务系统采用了单向认证的https协议,https协议有效的保障了传输通道的安全性。但是,登录账号和口令一旦泄露,仍然存在很大风险。
发明内容
为了解决以上技术问题,本发明提出了一种基于数字证书和账号口令的双重身份认证方法,即使非法用户取得用户账号和口令,也仍然无法登录系统,有效的保证了系统安全。
本发明提供了一种更安全的认证方式,即数字证书和账号口令的双重认证。为每个终端用户颁发一个证书,证书中保存有用户信息。用户访问业务系统时,需要首先出示自己的证书,业务系统验证证书的有效性,证书验证通过之后,会进一步验证认证请求的账号和口令,账号和口令验证通过之后,会进一步比对证书中的信息是否与当前登录账号匹配,匹配则登录成功;不匹配,则仍然登录失败。
本方案主要包括四部分,
1)、CA中心:负责签发服务器证书和终端用户证书。
2)、证书配置:包括服务器端证书配置和客户端证书配置。
3)、用户管理:负责系统中用户的管理,核心信息包括登录账号和口令。
4)、认证处理:首先是终端用户证书的验证,验证通过后,然后进行账号口令的验证,都验证通过后,比较终端用户证书中的用户信息与认证请求中的账号是否为同一用户,如果是同一用户,则认证成功;否则认证失败。
1)CA中心
可以使用第三方CA中心,也可以自建CA中心,
区别是自建CA中心签发的证书默认是不被浏览器信任的。
自建CA中心,可以采用openssl。
1.1)、生成自签名根证书,
生成两个文件,用于签名服务器端证书和终端用户证书。
1.2)、生成服务器端证书
1.2.1)、为服务器证书生成私钥文件
1.2.2)、为服务器证书生成CSR证书签名请求
1.2.3)、使用根证书签名服务器CSR,生成服务器证书。
1.3)、生成终端用户证书
需要为每一位终端用户分别生成一个证书,证书的CN属性值应能唯一的标识一位用户,如,可以将登录账号作为证书的CN属性值。
2)证书配置
包括服务器端证书配置和客户端证书配置。
2.1)、服务器端证书配置
包括配置服务器证书、开启客户端证书验证、以及配置反向代理。
2.2)、客户端证书配置
客户端证书配置,就是终端用户将终端用户证书安装到本地操作系统中。P12格式证书,直接双击安装即可。
本发明的有益效果是
基于数字证书和账号口令的双重认证,较仅使用账号口令认证,安全性得到很大提升,即使非法用户通过某种方式取得了用户的账号口令,也仍然无法登录系统。
附图说明
图1是本发明的整体认证工作流程示意图。
具体实施方式
下面对本发明的内容进行更加详细的阐述:
本方案核心:基于数字证书和账号口令的双重身份认证。
本方案包括四部分,1)CA中心、2)证书配置、3)用户管理、4)认证处理。
1)CA中心
负责签发服务器证书和终端用户证书。
可以使用第三方CA中心,也可以自建CA中心,
区别是自建CA中心签发的证书默认是不被浏览器信任的。
自建CA中心,可以采用openssl,以下即以openssl为例进行说明。
1.1)、生成自签名根证书
生成两个文件root.key和root.crt,用于签名服务器端证书和终端用户证书。
openssl req-new-x509-nodes-days 3650-newkey rsa:2048-keyout/etc/nginx/ssl/root.key-out/etc/nginx/ssl/root.crt-config/etc/pki/tls/openssl.cnf
1.2)、生成服务器端证书
1.2.1)、为服务器证书生成私钥文件
openssl genrsa-out/etc/nginx/ssl/server.key 2048
1.2.2)、为服务器证书生成CSR证书签名请求
openssl req-new-key/etc/nginx/ssl/server.key-out/etc/nginx/ssl/server.csr-config/etc/pki/tls/openssl.cnf
1.2.3)、使用根证书签名服务器CSR,生成服务器证书。
openssl ca-in/etc/nginx/ssl/server.csr-out/etc/nginx/ssl/server.crt-cert/etc/nginx/ssl/root.crt-keyfile/etc/nginx/ssl/root.key-config/etc/pki/tls/openssl.cnf
1.3)、生成终端用户证书
需要为每一位终端用户分别生成一个证书,证书的CN属性值应能唯一的标识一位用户,如,可以将登录账号作为证书的CN属性值。以终端用户“张三”生成证书为例说明:
1.3.1)、为终端用户“张三”生成私钥
openssl genrsa-out/etc/nginx/ssl/zhangsan.key 2048
1.3.2)、为终端用户“张三”生成证书签名请求
openssl req-new-utf8-key/etc/nginx/ssl/zhangsan.key-out/etc/nginx/ssl/zhangsan.csr-config/etc/pki/tls/openssl.cnf
1.3.3)、使用根证书签名“张三”CSR
openssl ca-in/etc/nginx/ssl/zhangsan.csr-out/etc/nginx/ssl/zhangsan.crt-cert/etc/nginx/ssl/root.crt-keyfile/etc/nginx/ssl/root.key-config/etc/pki/tls/openssl.cnf
1.3.4)、将用户“张三”的公钥和私钥导出为p12格式证书,并启用私钥密码保护。
openssl pkcs12-export-in/etc/nginx/ssl/zhangsan.crt-inkey/etc/nginx/ssl/zhangsan.key-out/etc/nginx/ssl/zhangsan.p12
2)证书配置
包括服务器端证书配置和客户端证书配置。
2.1)、服务器端证书配置
包括配置服务器证书、开启客户端证书验证、以及配置反向代理。
以下以nginx为例进行说明:
配置服务器证书:
ssl_certificate/usr/local/server.crt;#服务器端公钥证书
ssl_certificate_key/usr/local/server.key;#服务器端私钥开启客户端证书验证:
ssl_verify_client on;#开启客户端证书验证
#根证书公钥,用于验证由根证书签发的证书(服务端证书和终端用户证书都是由根证书签发的)
ssl_client_certificate/usr/local/root.crt;
配置反向代理
2.2)、客户端证书配置
客户端证书配置,就是终端用户将终端用户证书安装到本地操作系统中。P12格式证书,直接双击安装即可。
3)用户管理:
负责系统中用户的管理,核心信息包括登录账号和口令。
4)认证处理:
首先是终端用户证书的验证,验证该证书是否由服务器端配置的CA根证书签发的,验证通过后,然后进行账号口令的验证,都验证通过后,比较终端用户证书中的CN属性值与认证请求中的登录账号是否匹配,如果匹配,则认证成功;否则认证失败。
Claims (9)
1.一种基于数字证书和账号口令的双重身份认证方法,其特征在于,
为每个终端用户颁发一个证书,证书中保存有用户信息;用户访问业务系统时,需要首先出示自己的证书,业务系统验证证书的有效性,证书验证通过之后,会进一步验证认证请求的账号和口令,账号和口令验证通过之后,会进一步比对证书中的信息是否与当前登录账号匹配,匹配则登录成功;不匹配,则仍然登录失败。
2.根据权利要求1所述的方法,其特征在于,
进一步的包括,主要分为四部分,1)CA中心、2)证书配置、3)用户管理、4)认证处理;
1)、 CA中心:负责签发服务器证书和终端用户证书;
2)、证书配置:包括服务器端证书配置和客户端证书配置;
3)、用户管理:负责系统中用户的管理,核心信息包括登录账号和口令;
4)、认证处理:首先是终端用户证书的验证,验证通过后,然后进行账号口令的验证,都验证通过后,比较终端用户证书中的用户信息与认证请求中的账号是否为同一用户,如果是同一用户,则认证成功;否则认证失败。
3.根据权利要求2所述的方法,其特征在于,
进一步的包括,使用第三方CA中心或自建CA中心,区别是自建CA中心签发的证书默认是不被浏览器信任的。
4.根据权利要求3所述的方法,其特征在于,
进一步的包括,自建CA中心,采用openssl。
5.根据权利要求4所述的方法,其特征在于,
进一步的包括,生成自签名根证书:生成两个文件,用于签名服务器端证书和终端用户证书。
6.根据权利要求3或4所述的方法,其特征在于,
进一步的包括,生成服务器端证书:
1)、为服务器证书生成私钥文件
2)、为服务器证书生成CSR证书签名请求
3)、使用根证书签名服务器CSR,生成服务器证书。
7.根据权利要求3或4所述的方法,其特征在于,
进一步的包括,生成终端用户证书:为每一位终端用户分别生成一个证书,证书的CN属性值应能唯一的标识一位用户。
8.根据权利要求2所述的方法,其特征在于,
进一步的包括,服务器端证书配置,包括配置服务器证书、开启客户端证书验证、以及配置反向代理。
9.根据权利要求2所述的方法,其特征在于,
进一步的包括,用户端证书配置,就是终端用户将终端用户证书安装到本地操作系统中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811238899.5A CN109120644A (zh) | 2018-10-23 | 2018-10-23 | 一种基于数字证书和账号口令的双重身份认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811238899.5A CN109120644A (zh) | 2018-10-23 | 2018-10-23 | 一种基于数字证书和账号口令的双重身份认证方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109120644A true CN109120644A (zh) | 2019-01-01 |
Family
ID=64854293
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811238899.5A Pending CN109120644A (zh) | 2018-10-23 | 2018-10-23 | 一种基于数字证书和账号口令的双重身份认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109120644A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114004682A (zh) * | 2021-12-31 | 2022-02-01 | 南京都昌信息科技有限公司 | 一种基于编辑器和ca签名的数据处理方法及装置 |
CN114826570A (zh) * | 2022-03-30 | 2022-07-29 | 微位(深圳)网络科技有限公司 | 证书获取方法、装置、设备及存储介质 |
CN115250195A (zh) * | 2022-03-14 | 2022-10-28 | 上海广升信息技术股份有限公司 | 一种基于代理层的拓展mq连接方法及其应用 |
CN116846682A (zh) * | 2023-08-29 | 2023-10-03 | 山东海量信息技术研究院 | 通信信道建立方法、装置、设备及介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101527024A (zh) * | 2008-03-06 | 2009-09-09 | 同方股份有限公司 | 一种安全网上银行系统及其实现方法 |
CN101626292A (zh) * | 2008-07-09 | 2010-01-13 | 上海格尔软件股份有限公司 | 一种Linux登陆保护方法 |
CN103973714A (zh) * | 2014-05-29 | 2014-08-06 | 华翔腾数码科技有限公司 | 电子邮件账户生成方法及系统 |
CN104539635A (zh) * | 2015-01-22 | 2015-04-22 | 成都卫士通信息安全技术有限公司 | 基于Windows7下的安全登录设置方法及其安全登录方法 |
-
2018
- 2018-10-23 CN CN201811238899.5A patent/CN109120644A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101527024A (zh) * | 2008-03-06 | 2009-09-09 | 同方股份有限公司 | 一种安全网上银行系统及其实现方法 |
CN101626292A (zh) * | 2008-07-09 | 2010-01-13 | 上海格尔软件股份有限公司 | 一种Linux登陆保护方法 |
CN103973714A (zh) * | 2014-05-29 | 2014-08-06 | 华翔腾数码科技有限公司 | 电子邮件账户生成方法及系统 |
CN104539635A (zh) * | 2015-01-22 | 2015-04-22 | 成都卫士通信息安全技术有限公司 | 基于Windows7下的安全登录设置方法及其安全登录方法 |
Non-Patent Citations (1)
Title |
---|
筱楠绅: "《使用Nginx配置客户端实现SSL双向认证》", 《CSDN论坛》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114004682A (zh) * | 2021-12-31 | 2022-02-01 | 南京都昌信息科技有限公司 | 一种基于编辑器和ca签名的数据处理方法及装置 |
CN115250195A (zh) * | 2022-03-14 | 2022-10-28 | 上海广升信息技术股份有限公司 | 一种基于代理层的拓展mq连接方法及其应用 |
CN114826570A (zh) * | 2022-03-30 | 2022-07-29 | 微位(深圳)网络科技有限公司 | 证书获取方法、装置、设备及存储介质 |
CN116846682A (zh) * | 2023-08-29 | 2023-10-03 | 山东海量信息技术研究院 | 通信信道建立方法、装置、设备及介质 |
CN116846682B (zh) * | 2023-08-29 | 2024-01-23 | 山东海量信息技术研究院 | 通信信道建立方法、装置、设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9992189B2 (en) | Generation and validation of derived credentials | |
RU2718237C2 (ru) | Системы и способы для аутентификации онлайнового пользователя с использованием сервера безопасной авторизации | |
AU2013368370B2 (en) | Method and apparatus for single sign-on collaboration among mobile devices | |
US9083703B2 (en) | Mobile enterprise smartcard authentication | |
CN109120644A (zh) | 一种基于数字证书和账号口令的双重身份认证方法 | |
US7945779B2 (en) | Securing a communications exchange between computers | |
US10171470B2 (en) | Techniques for secure debugging and monitoring | |
CN111931144B (zh) | 一种操作系统与业务应用统一安全登录认证方法及装置 | |
US20200127998A1 (en) | Server authentication using multiple authentication chains | |
US20100268932A1 (en) | System and method of verifying the origin of a client request | |
CN106921663B (zh) | 基于智能终端软件/智能终端的身份持续认证系统及方法 | |
US20210084020A1 (en) | System and method for identity and authorization management | |
CN102231729A (zh) | 支持多种ca身份认证的方法 | |
US10601809B2 (en) | System and method for providing a certificate by way of a browser extension | |
WO2020035009A1 (zh) | 认证系统及其工作方法 | |
Alizai et al. | Key-based cookie-less session management framework for application layer security | |
CN112600831B (zh) | 一种网络客户端身份认证系统和方法 | |
US20230403155A1 (en) | Whitelisting clients accessing resources via a secure web gateway with time-based one time passwords for authentication | |
JP2020014168A (ja) | 電子署名システム、証明書発行システム、鍵管理システム及び電子証明書発行方法 | |
CN116112242B (zh) | 面向电力调控系统的统一安全认证方法及系统 | |
CN110855442A (zh) | 一种基于pki技术的设备间证书验证方法 | |
Alsaid et al. | Preventing phishing attacks using trusted computing technology | |
CN110505199A (zh) | 基于轻量级非对称身份的Email安全登录方法 | |
CN106603547B (zh) | 一种统一登录方法 | |
CN108512832A (zh) | 一种针对OpenStack身份认证的安全增强方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190101 |