CN109120644A

CN109120644A - 一种基于数字证书和账号口令的双重身份认证方法

Info

Publication number: CN109120644A
Application number: CN201811238899.5A
Authority: CN
Inventors: 梁圣奇; 黄启庆; 袁骞骞
Original assignee: Shandong Inspur Cloud Information Technology Co Ltd
Current assignee: Shandong Inspur Cloud Information Technology Co Ltd
Priority date: 2018-10-23
Filing date: 2018-10-23
Publication date: 2019-01-01

Abstract

本发明提供一种基于数字证书和账号口令的双重身份认证方法，属于身份认证技术领域，本发明为每个终端用户颁发一个证书，证书中保存有用户信息。用户访问业务系统时，需要首先出示自己的证书，业务系统验证证书的有效性，证书验证通过之后，会进一步验证认证请求的账号和口令，账号和口令验证通过之后，会进一步比对证书中的信息是否与当前登录账号匹配，匹配则登录成功；不匹配，则仍然登录失败。采用该方案，即使非法用户取得用户账号和口令，也仍然无法登录系统，有效的保证了系统安全。

Description

一种基于数字证书和账号口令的双重身份认证方法

技术领域

本发明涉及身份认证技术领域，尤其涉及一种基于数字证书和账号口令的双重身份认证方法。

背景技术

随着信息化的应用越来越广泛，企业和政府的业务系统越来越多，然而安全问题一直一个不容忽视的问题。如今好多业务系统采用http协议，导致各种敏感数据直接在网络上裸奔，风险极大。

随着人们对于安全认识的逐步提高，越来越多的业务系统采用了单向认证的https协议，https协议有效的保障了传输通道的安全性。但是，登录账号和口令一旦泄露，仍然存在很大风险。

发明内容

为了解决以上技术问题，本发明提出了一种基于数字证书和账号口令的双重身份认证方法，即使非法用户取得用户账号和口令，也仍然无法登录系统，有效的保证了系统安全。

本发明提供了一种更安全的认证方式，即数字证书和账号口令的双重认证。为每个终端用户颁发一个证书，证书中保存有用户信息。用户访问业务系统时，需要首先出示自己的证书，业务系统验证证书的有效性，证书验证通过之后，会进一步验证认证请求的账号和口令，账号和口令验证通过之后，会进一步比对证书中的信息是否与当前登录账号匹配，匹配则登录成功；不匹配，则仍然登录失败。

本方案主要包括四部分，

1)、CA中心：负责签发服务器证书和终端用户证书。

2)、证书配置：包括服务器端证书配置和客户端证书配置。

3)、用户管理：负责系统中用户的管理，核心信息包括登录账号和口令。

4)、认证处理：首先是终端用户证书的验证，验证通过后，然后进行账号口令的验证，都验证通过后，比较终端用户证书中的用户信息与认证请求中的账号是否为同一用户，如果是同一用户，则认证成功；否则认证失败。

1)CA中心

可以使用第三方CA中心，也可以自建CA中心，

区别是自建CA中心签发的证书默认是不被浏览器信任的。

自建CA中心，可以采用openssl。

1.1)、生成自签名根证书，

生成两个文件，用于签名服务器端证书和终端用户证书。

1.2)、生成服务器端证书

1.2.1)、为服务器证书生成私钥文件

1.2.2)、为服务器证书生成CSR证书签名请求

1.2.3)、使用根证书签名服务器CSR，生成服务器证书。

1.3)、生成终端用户证书

需要为每一位终端用户分别生成一个证书，证书的CN属性值应能唯一的标识一位用户，如，可以将登录账号作为证书的CN属性值。

2)证书配置

包括服务器端证书配置和客户端证书配置。

2.1)、服务器端证书配置

包括配置服务器证书、开启客户端证书验证、以及配置反向代理。

2.2)、客户端证书配置

客户端证书配置，就是终端用户将终端用户证书安装到本地操作系统中。P12格式证书，直接双击安装即可。

本发明的有益效果是

基于数字证书和账号口令的双重认证，较仅使用账号口令认证，安全性得到很大提升，即使非法用户通过某种方式取得了用户的账号口令，也仍然无法登录系统。

附图说明

图1是本发明的整体认证工作流程示意图。

具体实施方式

下面对本发明的内容进行更加详细的阐述：

本方案核心：基于数字证书和账号口令的双重身份认证。

本方案包括四部分，1)CA中心、2)证书配置、3)用户管理、4)认证处理。

1)CA中心

负责签发服务器证书和终端用户证书。

可以使用第三方CA中心，也可以自建CA中心，

区别是自建CA中心签发的证书默认是不被浏览器信任的。

自建CA中心，可以采用openssl，以下即以openssl为例进行说明。

1.1)、生成自签名根证书

生成两个文件root.key和root.crt，用于签名服务器端证书和终端用户证书。

openssl req-new-x509-nodes-days 3650-newkey rsa:2048-keyout/etc/nginx/ssl/root.key-out/etc/nginx/ssl/root.crt-config/etc/pki/tls/openssl.cnf

1.2)、生成服务器端证书

1.2.1)、为服务器证书生成私钥文件

openssl genrsa-out/etc/nginx/ssl/server.key 2048

1.2.2)、为服务器证书生成CSR证书签名请求

openssl req-new-key/etc/nginx/ssl/server.key-out/etc/nginx/ssl/server.csr-config/etc/pki/tls/openssl.cnf

1.2.3)、使用根证书签名服务器CSR，生成服务器证书。

openssl ca-in/etc/nginx/ssl/server.csr-out/etc/nginx/ssl/server.crt-cert/etc/nginx/ssl/root.crt-keyfile/etc/nginx/ssl/root.key-config/etc/pki/tls/openssl.cnf

1.3)、生成终端用户证书

需要为每一位终端用户分别生成一个证书，证书的CN属性值应能唯一的标识一位用户，如，可以将登录账号作为证书的CN属性值。以终端用户“张三”生成证书为例说明：

1.3.1)、为终端用户“张三”生成私钥

openssl genrsa-out/etc/nginx/ssl/zhangsan.key 2048

1.3.2)、为终端用户“张三”生成证书签名请求

openssl req-new-utf8-key/etc/nginx/ssl/zhangsan.key-out/etc/nginx/ssl/zhangsan.csr-config/etc/pki/tls/openssl.cnf

1.3.3)、使用根证书签名“张三”CSR

openssl ca-in/etc/nginx/ssl/zhangsan.csr-out/etc/nginx/ssl/zhangsan.crt-cert/etc/nginx/ssl/root.crt-keyfile/etc/nginx/ssl/root.key-config/etc/pki/tls/openssl.cnf

1.3.4)、将用户“张三”的公钥和私钥导出为p12格式证书，并启用私钥密码保护。

openssl pkcs12-export-in/etc/nginx/ssl/zhangsan.crt-inkey/etc/nginx/ssl/zhangsan.key-out/etc/nginx/ssl/zhangsan.p12

2)证书配置

包括服务器端证书配置和客户端证书配置。

2.1)、服务器端证书配置

以下以nginx为例进行说明：

配置服务器证书：

ssl_certificate/usr/local/server.crt；#服务器端公钥证书

ssl_certificate_key/usr/local/server.key；#服务器端私钥开启客户端证书验证：

ssl_verify_client on；#开启客户端证书验证

#根证书公钥，用于验证由根证书签发的证书(服务端证书和终端用户证书都是由根证书签发的)

ssl_client_certificate/usr/local/root.crt；

配置反向代理

2.2)、客户端证书配置

3)用户管理：

负责系统中用户的管理，核心信息包括登录账号和口令。

4)认证处理：

首先是终端用户证书的验证，验证该证书是否由服务器端配置的CA根证书签发的，验证通过后，然后进行账号口令的验证，都验证通过后，比较终端用户证书中的CN属性值与认证请求中的登录账号是否匹配，如果匹配，则认证成功；否则认证失败。

Claims

1.一种基于数字证书和账号口令的双重身份认证方法，其特征在于，

为每个终端用户颁发一个证书，证书中保存有用户信息；用户访问业务系统时，需要首先出示自己的证书，业务系统验证证书的有效性，证书验证通过之后，会进一步验证认证请求的账号和口令，账号和口令验证通过之后，会进一步比对证书中的信息是否与当前登录账号匹配，匹配则登录成功；不匹配，则仍然登录失败。

2.根据权利要求1所述的方法，其特征在于，

进一步的包括，主要分为四部分，1）CA中心、2）证书配置、3）用户管理、4）认证处理；

1)、 CA中心：负责签发服务器证书和终端用户证书；

2)、证书配置：包括服务器端证书配置和客户端证书配置；

3)、用户管理：负责系统中用户的管理，核心信息包括登录账号和口令；

3.根据权利要求2所述的方法，其特征在于，

进一步的包括，使用第三方CA中心或自建CA中心，区别是自建CA中心签发的证书默认是不被浏览器信任的。

4.根据权利要求3所述的方法，其特征在于，

进一步的包括，自建CA中心，采用openssl。

5.根据权利要求4所述的方法，其特征在于，

进一步的包括，生成自签名根证书：生成两个文件，用于签名服务器端证书和终端用户证书。

6.根据权利要求3或4所述的方法，其特征在于，

进一步的包括，生成服务器端证书：

1）、为服务器证书生成私钥文件

2）、为服务器证书生成CSR证书签名请求

3）、使用根证书签名服务器CSR，生成服务器证书。

7.根据权利要求3或4所述的方法，其特征在于，

进一步的包括，生成终端用户证书：为每一位终端用户分别生成一个证书，证书的CN属性值应能唯一的标识一位用户。

8.根据权利要求2所述的方法，其特征在于，

进一步的包括，服务器端证书配置，包括配置服务器证书、开启客户端证书验证、以及配置反向代理。

9.根据权利要求2所述的方法，其特征在于，

进一步的包括，用户端证书配置，就是终端用户将终端用户证书安装到本地操作系统中。