CN109462572A - 基于加密卡和UsbKey的多因子认证方法和系统及安全网关 - Google Patents

基于加密卡和UsbKey的多因子认证方法和系统及安全网关 Download PDF

Info

Publication number
CN109462572A
CN109462572A CN201811070267.2A CN201811070267A CN109462572A CN 109462572 A CN109462572 A CN 109462572A CN 201811070267 A CN201811070267 A CN 201811070267A CN 109462572 A CN109462572 A CN 109462572A
Authority
CN
China
Prior art keywords
user
certificate
usbkey
information
end message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811070267.2A
Other languages
English (en)
Other versions
CN109462572B (zh
Inventor
明宏
孙侠
刘光前
余秦勇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 32 Research Institute
Original Assignee
CETC 32 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 32 Research Institute filed Critical CETC 32 Research Institute
Priority to CN201811070267.2A priority Critical patent/CN109462572B/zh
Publication of CN109462572A publication Critical patent/CN109462572A/zh
Application granted granted Critical
Publication of CN109462572B publication Critical patent/CN109462572B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2103Challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提供了一种基于加密卡和UsbKey的多因子认证方法和系统及安全网关、介质,包括终端信息收集装置,对收集自终端的用户信息、设备信息进行加密形成终端信息文件;用户接入审核装置,对终端信息文件中的用户信息进行审核,审核通过则对用户信息、设备信息设置允许接入标志;用户发卡装置,对有允许接入标志的用户信息、设备信息,生成用户证书、设备证书;将用户证书、设备证书及证书对应的私钥写入到UsbKey中;用户接入装置,对用户进行接入。用户认证的所有信息都使用证书、UsbKey绑定并通过UsbKey和加密卡实现挑战算法,实现多因子认证、加解密硬件实现,安全性更高,性能更好,算法替换方便,能够适应不同的安全等级应用场景。

Description

基于加密卡和UsbKey的多因子认证方法和系统及安全网关
技术领域
本发明涉及数据中心安全接入领域,尤其是涉及一种加密卡和UsbKey的多因子认证方法和系统及安全网关。
背景技术
现阶段云中心的安全接入普遍采用VPN网关来实现,目前市场上的VPN服务器在用户认证的方式上有以下几种方式,例如,采用用户名+口令进行认证,采用UsbKey进行用户身份认证,采用短信或者指纹认证,但普遍都存在如下问题:无论采用口令、指令、指纹方式都是强调用户的身份问题,忽略了接入设备的身份问题;并且,采用短信、指纹方式的认证增加了硬件成本。上述VPN网关的加、解密方法普遍采用软件方式实现,认证效率低,算法和密钥容易泄露,在一些安全性要求较高的场所无法适用。
专利文献CN106488452A公开了一种结合指纹的移动终端安全接入认证方法,包括建立加密通道、用户注册、用户信息审核和用户业务访问四个步骤。客户端收集终端特性信息,包括USBKEY序列号、数字证书序列号、移动终端序列号和用户指纹特性信息,通过加密通道上传到安全接入网关,安全接入网关验证终端信息的完整性和有效性,根据验证结果决定终端是否能访问受保护的服务器。通过将指纹识别技术与传统的身份识别方式相结合,使得标识身份的媒介和自然人本身直接相关,实现了将身份识别和被识别人本身真正对应起来,有效提升移动终端信息接入的安全性水平,更有利于便捷的移动技术在信息化应用中发挥作用。上述专利文献存在以下缺陷:认证方法主要利用用户指纹,移动终端号,PIN码进行认证,无法避免伪造证书;先利用UsbKey中的证书和服务端建立通道,通道建立后将指纹信息,终端信息,序列号信息发送服务端进行数据库查询,查询无误后认证通过,作为认证信息的指纹信息、终端信息、证书序列号信息没有做进一步处理,有伪造的风险,比如另外一个用户通过自己的UsbKey和服务端建立通道后,通过伪造传输指纹信息、终端信息、证书序列号就可以登录系统;利用UsbKey中的证书和服务端建立通道,是标准的SSL通道,业务和控制通道用的是同一个,业务通道安全性不高。
发明内容
针对上述问题,本发明的目的是提供一种基于加密卡和UsbKey的多因子认证方法和系统及安全网关。
本发明公开的一种基于加密卡和UsbKey的多因子认证方法,包括如下步骤:
终端信息收集步骤:对收集自终端的用户信息、设备信息进行加密,形成终端信息文件;
用户接入审核步骤:在服务端对所述终端信息文件中的用户信息进行审核,审核通过则对所述用户信息、设备信息设置允许接入标志;
用户发卡步骤:根据设置有允许接入标志的所述用户信息、设备信息,分别生成用户证书、设备证书;将用户证书、设备证书、用户证书的证书私钥、设备证书的证书私钥写入到UsbKey中;
用户接入步骤:根据所述UsbKey,对用户进行接入。
优选地,在所述终端信息收集步骤中,由终端信息收集工具收集用户信息、设备信息,首先在终端上运行终端信息收集工具,终端信息收集工具收集用户输入的用户名、密码作为用户信息,终端信息收集工具收集终端的设备信息,对用户信息、设备信息进行加密形成终端信息文件;
在所述用户接入审核步骤中,令服务端接受管理员登录服务器的终端管理界面,导入终端信息文件,对终端信息文件中的用户信息进行审核,审核通过则对所述用户信息、设备信息设置允许接入标志;
在用户发卡步骤中,令服务端接受管理员登录发卡界面,根据获取的未发卡用户列表,选择需要发卡的用户的用户信息、设备信息,分别生成用户证书、设备证书;其中,所述发卡用于指示是否发放UsbKey。
优选地,所述用户接入步骤,包括如下步骤:
用户口令验证步骤:将来自客户端的用户名、用户口令送入UsbKey进行PIN码验证,验证通过,则进入SSL协议标准协商步骤继续执行;所述客户端在所述终端上运行;
SSL协议标准协商步骤:生成加密密钥,所述加密密钥作为用户认证、设备认证、业务通道加密密钥的保护密钥;
用户证书验证步骤:令客户端通过用户名从UsbKey中加载用户证书,将用户证书用加密密钥加密后发送给服务端,令服务端通过加密密钥解密用户证书并通过验证后,用所述用户证书的证书公钥进行口令挑战;
用户证书挑战应答步骤:令客户端加载用户证书的证书私钥对挑战进行应答,应答成功后,令服务端返回应答成功消息并记录用户名,进入设备证书验证步骤继续执行;
设备证书验证步骤:令客户端从UsbKey中加载设备证书,将设备证书用加密密钥加密后发送给服务端,令服务端通过加密密钥解密设备证书并通过验证后,用所述设备证书的证书公钥进行口令挑战;
设备证书挑战应答步骤:令客户端加载设备证书的证书私钥对挑战进行应答,应答成功后,令服务端返回应答成功消息,进入允许接入判断步骤继续执行;
允许接入判断步骤:判断用户名对应的用户信息是否设置有允许接入标志;若是,则进入业务密钥协商步骤继续执行;若否,则拒绝接入服务端;
业务密钥协商步骤:令客户端和服务端协商业务通道密钥,生成协商密钥,令服务端将协商密钥存入加密卡中,令客户端将协商密钥存入UsbKey中,建立业务通信隧道。
优选地,所述设备信息包括终端上的网卡MAC、终端上的硬盘序列号;将所述终端上的网卡MAC、所述终端上的硬盘序列号拼接成连接字符串,根据所述连接字符串得出的sha1序列号作为所述设备证书的证书名称;所述客户端通过所述sha1序列号从UsbKey中加载设备证书;所述用户证书使用从终端信息收集工具收集得到的用户名作为所述用户证书的证书名称;所述UsbKey的PIN码设置为从终端信息收集工具收集得到的密码。
本发明公开的一种基于加密卡和UsbKey的多因子认证系统,包括如下装置:
终端信息收集装置:对收集自终端的用户信息、设备信息进行加密,形成终端信息文件;
用户接入审核装置:在服务端对所述终端信息文件中的用户信息进行审核,审核通过则对所述用户信息、设备信息设置允许接入标志;
用户发卡装置:根据设置有允许接入标志的所述用户信息、设备信息,分别生成用户证书、设备证书;将用户证书、设备证书、用户证书的证书私钥、设备证书的证书私钥写入到UsbKey中;
用户接入装置:根据所述UsbKey,对用户进行接入。
优选地,在所述终端信息收集装置中,由终端信息收集工具收集用户信息、设备信息,首先在终端上运行终端信息收集工具,终端信息收集工具收集用户输入的用户名、密码作为用户信息,终端信息收集工具收集终端的设备信息,对用户信息、设备信息进行加密形成终端信息文件;
在所述用户接入审核装置中,令服务端接受管理员登录服务器的终端管理界面,导入终端信息文件,对终端信息文件中的用户信息进行审核,审核通过则对所述用户信息、设备信息设置允许接入标志;
在用户发卡装置中,令服务端接受管理员登录发卡界面,根据获取的未发卡用户列表,选择需要发卡的用户的用户信息、设备信息,分别生成用户证书、设备证书;其中,所述发卡用于指示是否发放UsbKey。
优选地,所述用户接入装置,包括如下装置:
用户口令验证装置:将来自客户端的用户名、用户口令送入UsbKey进行PIN码验证,验证通过,则触发SSL协议标准协商装置继续执行;所述客户端在所述终端上运行;
SSL协议标准协商装置:生成加密密钥,所述加密密钥作为用户认证、设备认证、业务通道加密密钥的保护密钥;
用户证书验证装置:令客户端通过用户名从UsbKey中加载用户证书,将用户证书用加密密钥加密后发送给服务端,令服务端通过加密密钥解密用户证书并通过验证后,用所述用户证书的证书公钥进行口令挑战;
用户证书挑战应答装置:令客户端加载用户证书的证书私钥对挑战进行应答,应答成功后,令服务端返回应答成功消息并记录用户名,触发设备证书验证装置继续执行;
设备证书验证装置:令客户端从UsbKey中加载设备证书,将设备证书用加密密钥加密后发送给服务端,令服务端通过加密密钥解密设备证书并通过验证后,用所述设备证书的证书公钥进行口令挑战;
设备证书挑战应答装置:令客户端加载设备证书的证书私钥对挑战进行应答,应答成功后,令服务端返回应答成功消息,触发允许接入判断装置继续执行;
允许接入判断装置:判断用户名对应的用户信息是否设置有允许接入标志;若是,则触发业务密钥协商装置继续执行;若否,则拒绝接入服务端;
业务密钥协商装置:令客户端和服务端协商业务通道密钥,生成协商密钥,令服务端将协商密钥存入加密卡中,令客户端将协商密钥存入UsbKey中,建立业务通信隧道。优选地,令服务端将协商密钥存入加密卡对应的session当中。
优选地,所述设备信息包括终端上的网卡MAC、终端上的硬盘序列号;将所述终端上的网卡MAC、所述终端上的硬盘序列号拼接成连接字符串,根据所述连接字符串得出的sha1序列号作为所述设备证书的证书名称;所述客户端通过所述sha1序列号从UsbKey中加载设备证书;所述用户证书使用从终端信息收集工具收集得到的用户名作为所述用户证书的证书名称;所述UsbKey的PIN码设置为从终端信息收集工具收集得到的密码。
本发明公开了一种存储有计算机程序的计算机可读存储介质,所述计算机程序被处理器执行时实现上述的方法的步骤。
本发明公开了一种基于加密卡和UsbKey的多因子认证安全网关,包含上述基于加密卡和UsbKey的多因子认证系统;或者,包括上述的存储有计算机程序的计算机可读存储介质。
与现有技术相比,本发明具有如下有益效果:
1、在UsbKey设备上实现多因子认证,成本低,安全性高。
2、业务通信密钥存入UsbKey和加密卡中,安全通道的加、解密都由专有硬件来完成,性能得到提高。
3、用户的认证、通信的加密解密都由专有硬件实现,无法进行软件代码跟踪,便于算法替换,能够适应不同的安全等级应用场景,系统的适用范围更广。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1为本发明的用户安全接入流程图。
图2为本发明的用户发卡流程图。
图3为本发明的原理框架图。
具体实施方式
下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明,但不以任何形式限制本发明。应当指出的是,对本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进。这些都属于本发明的保护范围。
在实施例中,基于加密卡和UsbKey的多因子认证系统,包括如下装置:
终端信息收集装置:对收集自终端的用户信息、设备信息进行加密,形成终端信息文件;
用户接入审核装置:在服务端对所述终端信息文件中的用户信息进行审核,审核通过则对所述用户信息、设备信息设置允许接入标志;
用户发卡装置:根据设置有允许接入标志的所述用户信息、设备信息,分别生成用户证书、设备证书;将用户证书、设备证书、用户证书的证书私钥、设备证书的证书私钥写入到UsbKey中;
用户接入装置:根据所述UsbKey,对用户进行接入。
优选地,在所述终端信息收集装置中,由终端信息收集工具收集用户信息、设备信息,首先在终端上运行终端信息收集工具,终端信息收集工具收集用户输入的用户名、密码作为用户信息,终端信息收集工具收集终端的设备信息,对用户信息、设备信息进行加密形成终端信息文件;
在所述用户接入审核装置中,令服务端接受管理员登录服务器的终端管理界面,导入终端信息文件,对终端信息文件中的用户信息进行审核,审核通过则对所述用户信息、设备信息设置允许接入标志;
在用户发卡装置中,令服务端接受管理员登录发卡界面,根据获取的未发卡用户列表,选择需要发卡的用户的用户信息、设备信息,分别生成用户证书、设备证书;其中,所述发卡用于指示是否发放UsbKey。
优选地,所述用户接入装置,包括如下装置:
用户口令验证装置:将来自客户端的用户名、用户口令送入UsbKey进行PIN码验证,验证通过,则触发SSL协议标准协商装置继续执行;所述客户端在所述终端上运行;
SSL协议标准协商装置:生成加密密钥,所述加密密钥作为用户认证、设备认证、业务通道加密密钥的保护密钥;
用户证书验证装置:令客户端通过用户名从UsbKey中加载用户证书,将用户证书用加密密钥加密后发送给服务端,令服务端通过加密密钥解密用户证书并通过验证后,用所述用户证书的证书公钥进行口令挑战;
用户证书挑战应答装置:令客户端加载用户证书的证书私钥对挑战进行应答,应答成功后,令服务端返回应答成功消息并记录用户名,触发设备证书验证装置继续执行;
设备证书验证装置:令客户端从UsbKey中加载设备证书,将设备证书用加密密钥加密后发送给服务端,令服务端通过加密密钥解密设备证书并通过验证后,用所述设备证书的证书公钥进行口令挑战;
设备证书挑战应答装置:令客户端加载设备证书的证书私钥对挑战进行应答,应答成功后,令服务端返回应答成功消息,触发允许接入判断装置继续执行;
允许接入判断装置:判断用户名对应的用户信息是否设置有允许接入标志;若是,则触发业务密钥协商装置继续执行;若否,则拒绝接入服务端;
业务密钥协商装置:令客户端和服务端协商业务通道密钥,生成协商密钥,令服务端将协商密钥存入加密卡中,令客户端将协商密钥存入UsbKey中,建立业务通信隧道。优选地,令服务端将协商密钥存入加密卡对应的session当中。
优选地,所述设备信息包括终端上的网卡MAC、终端上的硬盘序列号;将所述终端上的网卡MAC、所述终端上的硬盘序列号拼接成连接字符串,根据所述连接字符串得出的sha1序列号作为所述设备证书的证书名称;所述客户端通过所述sha1序列号从UsbKey中加载设备证书;所述用户证书使用从终端信息收集工具收集得到的用户名作为所述用户证书的证书名称;所述UsbKey的PIN码设置为从终端信息收集工具收集得到的密码。
本领域技术人员能够通过基于加密卡和UsbKey的多因子认证方法的步骤流程实现所述基于加密卡和UsbKey的多因子认证系统。
本领域技术人员可以将基于加密卡和UsbKey的多因子认证方法理解为基于加密卡和UsbKey的多因子认证的一个优选例。具体地,所述基于加密卡和UsbKey的多因子认证方法包括如下步骤:
终端信息收集步骤:对收集自终端的用户信息、设备信息进行加密,形成终端信息文件;
用户接入审核步骤:在服务端对所述终端信息文件中的用户信息进行审核,审核通过则对所述用户信息、设备信息设置允许接入标志;
用户发卡步骤:根据设置有允许接入标志的所述用户信息、设备信息,分别生成用户证书、设备证书;将用户证书、设备证书、用户证书的证书私钥、设备证书的证书私钥写入到UsbKey中;
用户接入步骤:根据所述UsbKey,对用户进行接入。
具体地,在所述终端信息收集步骤中,由终端信息收集工具收集用户信息、设备信息,首先在终端上运行终端信息收集工具,终端信息收集工具收集用户输入的用户名、密码作为用户信息,终端信息收集工具收集终端的设备信息,对用户信息、设备信息进行加密形成终端信息文件;
在所述用户接入审核步骤中,令服务端接受管理员登录服务器的终端管理界面,导入终端信息文件,对终端信息文件中的用户信息进行审核,审核通过则对所述用户信息、设备信息设置允许接入标志;
在用户发卡步骤中,令服务端接受管理员登录发卡界面,根据获取的未发卡用户列表,选择需要发卡的用户的用户信息、设备信息,分别生成用户证书、设备证书;其中,所述发卡用于指示是否发放UsbKey。
具体地,所述用户接入步骤,包括如下步骤:
用户口令验证步骤:将来自客户端的用户名、用户口令送入UsbKey进行PIN码验证,验证通过,则进入SSL协议标准协商步骤继续执行;所述客户端在所述终端上运行;
SSL协议标准协商步骤:生成加密密钥,所述加密密钥作为用户认证、设备认证、业务通道加密密钥的保护密钥;
用户证书验证步骤:令客户端通过用户名从UsbKey中加载用户证书,将用户证书用加密密钥加密后发送给服务端,令服务端通过加密密钥解密用户证书并通过验证后,用所述用户证书的证书公钥进行口令挑战;
用户证书挑战应答步骤:令客户端加载用户证书的证书私钥对挑战进行应答,应答成功后,令服务端返回应答成功消息并记录用户名,进入设备证书验证步骤继续执行;
设备证书验证步骤:令客户端从UsbKey中加载设备证书,将设备证书用加密密钥加密后发送给服务端,令服务端通过加密密钥解密设备证书并通过验证后,用所述设备证书的证书公钥进行口令挑战;
设备证书挑战应答步骤:令客户端加载设备证书的证书私钥对挑战进行应答,应答成功后,令服务端返回应答成功消息,进入允许接入判断步骤继续执行;
允许接入判断步骤:判断用户名对应的用户信息是否设置有允许接入标志;若是,则进入业务密钥协商步骤继续执行;若否,则拒绝接入服务端;
业务密钥协商步骤:令客户端和服务端协商业务通道密钥,生成协商密钥,令服务端将协商密钥存入加密卡中,令客户端将协商密钥存入UsbKey中,建立业务通信隧道。
具体地,所述设备信息包括终端上的网卡MAC、终端上的硬盘序列号;将所述终端上的网卡MAC、所述终端上的硬盘序列号拼接成连接字符串,根据所述连接字符串得出的sha1序列号作为所述设备证书的证书名称;所述客户端通过所述sha1序列号从UsbKey中加载设备证书;所述用户证书使用从终端信息收集工具收集得到的用户名作为所述用户证书的证书名称;所述UsbKey的PIN码设置为从终端信息收集工具收集得到的密码。
本领域技术人员能够通过基于加密卡和UsbKey的多因子认证系统的装置实现基于加密卡和UsbKey的多因子认证安全网关的搭建。具体地,所述基于加密卡和UsbKey的多因子认证安全网关包含上述基于加密卡和UsbKey的多因子认证系统。或者,所述基于加密卡和UsbKey的多因子认证安全网关,包括存储有计算机程序的计算机可读存储介质,所述计算机程序被处理器执行时实现所述基于加密卡和UsbKey的多因子认证方法的步骤。
下面通过优选例,对本发明进行更为具体的说明。
图1中所示的安全接入模块通过开源的Openvpn实现,实际应用中可根据不同应用场景采购所述的UsbKey和加密卡。用户认证的所有信息都通过证书和UsbKey绑定并通过UsbKey和加密卡实现挑战算法,如果UsbKey和设备没有被同时窃取,通过伪造信息登录系统基本不可能,就算同时窃取任然需要突破用户名和PIN码,同时挑战算法都由硬件实现,软件无法跟踪。
优选地,本发明提供一种基于加密卡和UsbKey的多因子认证系统,包括如下装置:终端信息收集装置,其用于收集客户端接入所使用的用户信息、设备信息;客户端安全接入装置,其用于在客户接入过程中与服务端进行消息交互;服务端安全接入装置,其用于在客户接入过程中与客户端进行信息验证及消息交互;服务端终端管理装置,其用于管理服务端的用户信息、设备信息。
终端信息收集装置,其用于收集客户端接入所使用的用户信息、设备信息,信息收集后可以通过服务端终端管理装置的终端管理界面导入。客户端安全接入装置,其用于在客户接入过程中与服务端进行消息交互,将通过用户名从UsbKey中加载的用户证书、通过设备网卡MAC加硬盘序列号通过sha1得到的序列号从UsbKey中加载的设备证书,将用户证书和设备证书分别发送给服务端进行验证,待服务端验证后对用户证书的口令挑战应答、设备证书的口令挑战应答。服务端安全接入装置,其用于在客户接入过程中与客户端进行信息验证及消息交互,服务端接收到客户端发送的用户证书、设备证书,分别对证书发起口令挑战,接收到客户端的挑战应答后,对口令应答做验证,验证通过之后,从服务端终端管理装置中获取设备、用户关联信息,确认关联信息后对用户接入标志进行审查,审查用户是为允许用户接入的用户后,确认准许接入结果,向客户端返回连接成功消息,打开业务隧道进行通信,进入业务密钥协商。客户端和服务端对业务通道密钥协商完成后,服务端将协商密钥存入加密卡对应的session当中,客户端存入UsbKey中,建立业务通信隧道。如果审查用户为不允许用户接入的用户后,确认不能接入结果,向客户端返回失败信息,关闭连接。如果从服务端终端管理装置中获取设备、用户关联信息后发现用户与设备未做关联,则确认未关联的结果,向客户端返回失败信息,关闭连接。如果在用户证书、设备证书的口令挑战过程中挑战失败,确认挑战应答失败结果,向客户端返回失败信息,关闭连接。服务端终端管理装置,其用于管理服务端的用户信息、设备信息,依据用户信息、设备信息进行用户发卡操作,终端信息收集装置收集用户信息、设备信息后导入到服务端终端管理装置中,导入的信息设置未发卡的初始标记并将信息存储在相关数据库中,首先在终端信息收集装置的发卡界面中获取未发卡的用户列表,选择需要发卡的用户,获取用户、设备关联信息,生成用户证书、设备证书,将生成的用户证书、设备证书写入UsbKey中并发给客户,完成用户发卡流程。
本发明用户认证的所有信息都使用证书、UsbKey绑定并通过UsbKey和加密卡实现挑战算法,实现多因子认证、加解密硬件实现,安全性更高,性能更好,算法替换方便,能够适应不同的安全等级应用场景。本发明增加一重设备因子,设备信息由相关程序事先收集,收集后生成设备证书存入UsbKey中,当用户的证书,设备信息被窃取后,如果没有相关的终端设备也无法登陆到数据中心,提高了接入的安全性。业务密钥协商后,密钥存入客户端的UsbKey和服务端的加密卡中,安全通道的加,解密都由专有硬件来完成,性能得到提高,同时专有硬件是无法进行代码跟踪的,比软件实现的加、解密算法安全性更高,而且便于替换,可使系统的适用范围更广。本发明的具体的实施中可通过开源的Openvpn实现安全接入模块;然后实现终端管理模块;最后根据不同应用场景采购相关UsbKey和加密卡。
优选地,本发明提供一种基于加密卡和UsbKey的多因子认证方法,包括如下步骤:
步骤1:终端信息收集,由终端信息收集工具收集用户、设备信息,首先在用户设备上运行终端信息收集工具,用户输入用户名、密码,终端信息收集工具收集设备信息,按照一定格式加密保持,形成终端信息文件;
步骤2:用户接入审核,管理员登录服务器的终端管理界面,导入终端信息文件,对终端信息文件中的用户信息进行审核,审核通过则设置允许接入标志;
步骤3:用户发卡,管理员登录发卡界面,从终端管理模块获取未发卡用户列表,选择需要发卡的用户,从终端管理模块获取用户、设备关联信息,生成用户证书、设备证书,将生成的用户证书、设备证书、对应证书的证书私钥写入到UsbKey中。
步骤4:用户接入,具体步骤为:
步骤4.1:用户口令验证,用户在客户端输入用户名、用户口令,客户端程序将用户口令送入UsbKey进行PIN码验证,验证通过,则进入步骤4.2;
步骤4.2:SSL协议标准协商,生成加密密钥,所述加密密钥作为用户认证、设备认证、业务通道加密密钥的保护密钥;
步骤4.3:用户证书验证,客户端通过用户名从UsbKey中加载用户证书,将用户证书用加密密钥加密后发送给服务端,服务端通过加密密钥解密验证后用证书公钥进行口令挑战;
步骤4.4:客户端加载用户证书私钥对挑战进行应答,应答成功后,服务端返回应答成功消息并记录用户ID,进入步骤4.5;
步骤4.5:设备证书验证,客户端从UsbKey中加载设备证书,将设备证书用加密密钥加密后发送给服务端,服务端通过加密密钥解密验证后用证书公钥进行口令挑战;
步骤4.6:客户端加载设备证书私钥对挑战进行应答,应答成功后,服务端返回应答成功消息,进入步骤4.7;
步骤4.7:用户接入标志判断,查看服务器端用户是否允许接入,如果允许接入,进入步骤4.8;
步骤4.8:业务密钥协商,客户端和服务端协商业务通道密钥,生成协商密钥,服务端将协商密钥存入加密卡中,客户端将协商密钥存入UsbKey中,建立业务通信隧道。
具体地,步骤1中所述的设备信息包括设备上的网卡MAC、硬盘序列号。步骤3中用户证书的证书名称是用户名,UsbKey的PIN码设置为用户口令。步骤3中设备证书的证书名称是MAC加硬盘序列号得出的sha1序列号。步骤4.5中客户端通过设备MAC加硬盘序列号通过shal得到的序列号从UsbKey中加载设备证书。
本领域技术人员知道,除了以纯计算机可读程序代码方式实现本发明提供的系统、装置及其各个模块以外,完全可以通过将方法步骤进行逻辑编程来使得本发明提供的系统、装置及其各个模块以逻辑门、开关、专用集成电路、可编程逻辑控制器以及嵌入式微控制器等的形式来实现相同程序。所以,本发明提供的系统、装置及其各个模块可以被认为是一种硬件部件,而对其内包括的用于实现各种程序的模块也可以视为硬件部件内的结构;也可以将用于实现各种功能的模块视为既可以是实现方法的软件程序又可以是硬件部件内的结构。
以上对本发明的具体实施例进行了描述。需要理解的是,本发明并不局限于上述特定实施方式,本领域技术人员可以在权利要求的范围内做出各种变形或修改,这并不影响本发明的实质内容。在不冲突的情况下,本申请的实施例和实施例中的特征可以任意相互组合。

Claims (10)

1.一种基于加密卡和UsbKey的多因子认证方法,其特征在于,包括如下步骤:
终端信息收集步骤:对收集自终端的用户信息、设备信息进行加密,形成终端信息文件;
用户接入审核步骤:在服务端对所述终端信息文件中的用户信息进行审核,审核通过则对所述用户信息、设备信息设置允许接入标志;
用户发卡步骤:根据设置有允许接入标志的所述用户信息、设备信息,分别生成用户证书、设备证书;将用户证书、设备证书、用户证书的证书私钥、设备证书的证书私钥写入到UsbKey中;
用户接入步骤:根据所述UsbKey,对用户进行接入。
2.根据权利要求1所述的基于加密卡和UsbKey的多因子认证方法,其特征在于,
在所述终端信息收集步骤中,由终端信息收集工具收集用户信息、设备信息,首先在终端上运行终端信息收集工具,终端信息收集工具收集用户输入的用户名、密码作为用户信息,终端信息收集工具收集终端的设备信息,对用户信息、设备信息进行加密形成终端信息文件;
在所述用户接入审核步骤中,令服务端接受管理员登录服务器的终端管理界面,导入终端信息文件,对终端信息文件中的用户信息进行审核,审核通过则对所述用户信息、设备信息设置允许接入标志;
在用户发卡步骤中,令服务端接受管理员登录发卡界面,根据获取的未发卡用户列表,选择需要发卡的用户的用户信息、设备信息,分别生成用户证书、设备证书;其中,所述发卡用于指示是否发放UsbKey。
3.根据权利要求1所述的基于加密卡和UsbKey的多因子认证方法,其特征在于,所述用户接入步骤,包括如下步骤:
用户口令验证步骤:将来自客户端的用户名、用户口令送入UsbKey进行PIN码验证,验证通过,则进入SSL协议标准协商步骤继续执行;所述客户端在所述终端上运行;
SSL协议标准协商步骤:生成加密密钥,所述加密密钥作为用户认证、设备认证、业务通道加密密钥的保护密钥;
用户证书验证步骤:令客户端通过用户名从UsbKey中加载用户证书,将用户证书用加密密钥加密后发送给服务端,令服务端通过加密密钥解密用户证书并通过验证后,用所述用户证书的证书公钥进行口令挑战;
用户证书挑战应答步骤:令客户端加载用户证书的证书私钥对挑战进行应答,应答成功后,令服务端返回应答成功消息并记录用户名,进入设备证书验证步骤继续执行;
设备证书验证步骤:令客户端从UsbKey中加载设备证书,将设备证书用加密密钥加密后发送给服务端,令服务端通过加密密钥解密设备证书并通过验证后,用所述设备证书的证书公钥进行口令挑战;
设备证书挑战应答步骤:令客户端加载设备证书的证书私钥对挑战进行应答,应答成功后,令服务端返回应答成功消息,进入允许接入判断步骤继续执行;
允许接入判断步骤:判断用户名对应的用户信息是否设置有允许接入标志;若是,则进入业务密钥协商步骤继续执行;若否,则拒绝接入服务端;
业务密钥协商步骤:令客户端和服务端协商业务通道密钥,生成协商密钥,令服务端将协商密钥存入加密卡中,令客户端将协商密钥存入UsbKey中,建立业务通信隧道。
4.根据权利要求3所述的基于加密卡和UsbKey的多因子认证方法,其特征在于,所述设备信息包括终端上的网卡MAC、终端上的硬盘序列号;将所述终端上的网卡MAC、所述终端上的硬盘序列号拼接成连接字符串,根据所述连接字符串得出的sha1序列号作为所述设备证书的证书名称;所述客户端通过所述sha1序列号从UsbKey中加载设备证书;所述用户证书使用从终端信息收集工具收集得到的用户名作为所述用户证书的证书名称;所述UsbKey的PIN码设置为从终端信息收集工具收集得到的密码。
5.一种基于加密卡和UsbKey的多因子认证系统,其特征在于,包括如下装置:
终端信息收集装置:对收集自终端的用户信息、设备信息进行加密,形成终端信息文件;
用户接入审核装置:在服务端对所述终端信息文件中的用户信息进行审核,审核通过则对所述用户信息、设备信息设置允许接入标志;
用户发卡装置:根据设置有允许接入标志的所述用户信息、设备信息,分别生成用户证书、设备证书;将用户证书、设备证书、用户证书的证书私钥、设备证书的证书私钥写入到UsbKey中;
用户接入装置:根据所述UsbKey,对用户进行接入。
6.根据权利要求5所述的基于加密卡和UsbKey的多因子认证系统,其特征在于,
在所述终端信息收集装置中,由终端信息收集工具收集用户信息、设备信息,首先在终端上运行终端信息收集工具,终端信息收集工具收集用户输入的用户名、密码作为用户信息,终端信息收集工具收集终端的设备信息,对用户信息、设备信息进行加密形成终端信息文件;
在所述用户接入审核装置中,令服务端接受管理员登录服务器的终端管理界面,导入终端信息文件,对终端信息文件中的用户信息进行审核,审核通过则对所述用户信息、设备信息设置允许接入标志;
在用户发卡装置中,令服务端接受管理员登录发卡界面,根据获取的未发卡用户列表,选择需要发卡的用户的用户信息、设备信息,分别生成用户证书、设备证书;其中,所述发卡用于指示是否发放UsbKey。
7.根据权利要求5所述的基于加密卡和UsbKey的多因子认证系统,其特征在于,所述用户接入装置,包括如下装置:
用户口令验证装置:将来自客户端的用户名、用户口令送入UsbKey进行PIN码验证,验证通过,则触发SSL协议标准协商装置继续执行;所述客户端在所述终端上运行;
SSL协议标准协商装置:生成加密密钥,所述加密密钥作为用户认证、设备认证、业务通道加密密钥的保护密钥;
用户证书验证装置:令客户端通过用户名从UsbKey中加载用户证书,将用户证书用加密密钥加密后发送给服务端,令服务端通过加密密钥解密用户证书并通过验证后,用所述用户证书的证书公钥进行口令挑战;
用户证书挑战应答装置:令客户端加载用户证书的证书私钥对挑战进行应答,应答成功后,令服务端返回应答成功消息并记录用户名,触发设备证书验证装置继续执行;
设备证书验证装置:令客户端从UsbKey中加载设备证书,将设备证书用加密密钥加密后发送给服务端,令服务端通过加密密钥解密设备证书并通过验证后,用所述设备证书的证书公钥进行口令挑战;
设备证书挑战应答装置:令客户端加载设备证书的证书私钥对挑战进行应答,应答成功后,令服务端返回应答成功消息,触发允许接入判断装置继续执行;
允许接入判断装置:判断用户名对应的用户信息是否设置有允许接入标志;若是,则触发业务密钥协商装置继续执行;若否,则拒绝接入服务端;
业务密钥协商装置:令客户端和服务端协商业务通道密钥,生成协商密钥,令服务端将协商密钥存入加密卡中,令客户端将协商密钥存入UsbKey中,建立业务通信隧道。
8.根据权利要求7所述的基于加密卡和UsbKey的多因子认证系统,其特征在于,所述设备信息包括终端上的网卡MAC、终端上的硬盘序列号;将所述终端上的网卡MAC、所述终端上的硬盘序列号拼接成连接字符串,根据所述连接字符串得出的sha1序列号作为所述设备证书的证书名称;所述客户端通过所述sha1序列号从UsbKey中加载设备证书;所述用户证书使用从终端信息收集工具收集得到的用户名作为所述用户证书的证书名称;所述UsbKey的PIN码设置为从终端信息收集工具收集得到的密码。
9.一种存储有计算机程序的计算机可读存储介质,其特征在于,所述计算机程序被处理器执行时实现权利要求1至4中任一项所述的方法的步骤。
10.一种基于加密卡和UsbKey的多因子认证安全网关,其特征在于,包含权利要求5至8中任一种基于加密卡和UsbKey的多因子认证系统;或者,包括权利要求9所述的存储有计算机程序的计算机可读存储介质。
CN201811070267.2A 2018-09-13 2018-09-13 基于加密卡和UsbKey的多因子认证方法、系统、存储介质及安全网关 Active CN109462572B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811070267.2A CN109462572B (zh) 2018-09-13 2018-09-13 基于加密卡和UsbKey的多因子认证方法、系统、存储介质及安全网关

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811070267.2A CN109462572B (zh) 2018-09-13 2018-09-13 基于加密卡和UsbKey的多因子认证方法、系统、存储介质及安全网关

Publications (2)

Publication Number Publication Date
CN109462572A true CN109462572A (zh) 2019-03-12
CN109462572B CN109462572B (zh) 2021-03-23

Family

ID=65606718

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811070267.2A Active CN109462572B (zh) 2018-09-13 2018-09-13 基于加密卡和UsbKey的多因子认证方法、系统、存储介质及安全网关

Country Status (1)

Country Link
CN (1) CN109462572B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110798475A (zh) * 2019-11-05 2020-02-14 北谷电子有限公司上海分公司 一种安全认证方法、装置、设备和存储介质
CN111625804A (zh) * 2020-05-22 2020-09-04 浙江大华技术股份有限公司 一种登录方法及设备
CN111970117A (zh) * 2020-06-07 2020-11-20 中信银行股份有限公司 证书下载方法、装置及设备
CN115225350A (zh) * 2022-07-01 2022-10-21 浪潮云信息技术股份公司 基于国密证书的政务云加密登录验证方法及存储介质
CN115225350B (zh) * 2022-07-01 2024-05-31 浪潮云信息技术股份公司 基于国密证书的政务云加密登录验证方法及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101188616A (zh) * 2007-12-12 2008-05-28 四川长虹电器股份有限公司 终端申请证书的方法
CN101527633A (zh) * 2008-12-31 2009-09-09 北京飞天诚信科技有限公司 智能密钥设备获取数字证书的系统及方法
CN101601257A (zh) * 2007-02-09 2009-12-09 阿尔卡特朗讯公司 由用户和设备管理网络接入安全策略的系统和方法
US20130046973A1 (en) * 2011-08-17 2013-02-21 Cleversafe, Inc. Facilitating access of a dispersed storage network
CN105812367A (zh) * 2016-03-15 2016-07-27 浙江神州量子网络科技有限公司 一种量子网络中网络接入设备的认证系统及认证方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101601257A (zh) * 2007-02-09 2009-12-09 阿尔卡特朗讯公司 由用户和设备管理网络接入安全策略的系统和方法
CN101188616A (zh) * 2007-12-12 2008-05-28 四川长虹电器股份有限公司 终端申请证书的方法
CN101527633A (zh) * 2008-12-31 2009-09-09 北京飞天诚信科技有限公司 智能密钥设备获取数字证书的系统及方法
US20130046973A1 (en) * 2011-08-17 2013-02-21 Cleversafe, Inc. Facilitating access of a dispersed storage network
CN105812367A (zh) * 2016-03-15 2016-07-27 浙江神州量子网络科技有限公司 一种量子网络中网络接入设备的认证系统及认证方法

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110798475A (zh) * 2019-11-05 2020-02-14 北谷电子有限公司上海分公司 一种安全认证方法、装置、设备和存储介质
CN110798475B (zh) * 2019-11-05 2021-08-03 北谷电子有限公司上海分公司 一种安全认证方法、装置、设备和存储介质
CN111625804A (zh) * 2020-05-22 2020-09-04 浙江大华技术股份有限公司 一种登录方法及设备
CN111625804B (zh) * 2020-05-22 2023-08-11 浙江大华技术股份有限公司 一种登录方法及设备
CN111970117A (zh) * 2020-06-07 2020-11-20 中信银行股份有限公司 证书下载方法、装置及设备
CN111970117B (zh) * 2020-06-07 2022-09-30 中信银行股份有限公司 证书下载方法、装置及设备
CN115225350A (zh) * 2022-07-01 2022-10-21 浪潮云信息技术股份公司 基于国密证书的政务云加密登录验证方法及存储介质
CN115225350B (zh) * 2022-07-01 2024-05-31 浪潮云信息技术股份公司 基于国密证书的政务云加密登录验证方法及存储介质

Also Published As

Publication number Publication date
CN109462572B (zh) 2021-03-23

Similar Documents

Publication Publication Date Title
CN111614637B (zh) 一种基于软件密码模块的安全通信方法及系统
CN105050081B (zh) 网络接入设备接入无线网络接入点的方法、装置和系统
CN111931144B (zh) 一种操作系统与业务应用统一安全登录认证方法及装置
CN110086608A (zh) 用户认证方法、装置、计算机设备及计算机可读存储介质
CN112953970B (zh) 一种身份认证方法及身份认证系统
CN104283886B (zh) 一种基于智能终端本地认证的web安全访问的实现方法
US20040139028A1 (en) System, process and article for conducting authenticated transactions
CN111431719A (zh) 一种移动终端密码保护模块、移动终端及密码保护方法
CN109039652B (zh) 一种数字通证的生成及应用方法
CN108989346A (zh) 基于账号隐匿的第三方有效身份托管敏捷认证访问模式
CN102045367A (zh) 实名认证的注册方法及认证服务器
TW200533138A (en) Apparatus, system, and method for authorized remote access to a target system
CN106878245A (zh) 图形码信息提供、获取方法、装置及终端
CN107545188B (zh) 应用的管理方法、装置及系统
CN103326999A (zh) 一种基于云服务的文件安全管理系统
CN106488452A (zh) 一种结合指纹的移动终端安全接入认证方法
US20030135734A1 (en) Secure mutual authentication system
CN113515756B (zh) 基于区块链的高可信数字身份管理方法及系统
CN109462572A (zh) 基于加密卡和UsbKey的多因子认证方法和系统及安全网关
CN106572082A (zh) 一种审批签名验证方法、移动设备、终端设备及系统
CN109309645A (zh) 一种软件分发安全保护方法
CN107426223A (zh) 云文档加密及解密方法、加密及解密装置、以及处理系统
CN109587100A (zh) 一种云计算平台用户认证处理方法及系统
CN109829722A (zh) 一种电子支付系统的用户身份实名认证方法
WO2022042745A1 (zh) 一种密钥管理方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant