CN110213246A - 一种广域多因子身份认证系统 - Google Patents

一种广域多因子身份认证系统 Download PDF

Info

Publication number
CN110213246A
CN110213246A CN201910404731.5A CN201910404731A CN110213246A CN 110213246 A CN110213246 A CN 110213246A CN 201910404731 A CN201910404731 A CN 201910404731A CN 110213246 A CN110213246 A CN 110213246A
Authority
CN
China
Prior art keywords
authentication
user
information
identity
identity authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910404731.5A
Other languages
English (en)
Other versions
CN110213246B (zh
Inventor
颜涛
郭子昕
魏兴慎
黄益彬
何迎利
朱江
刘苇
孙圣武
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
NARI Group Corp
Nari Information and Communication Technology Co
Original Assignee
State Grid Corp of China SGCC
NARI Group Corp
Nari Information and Communication Technology Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, NARI Group Corp, Nari Information and Communication Technology Co filed Critical State Grid Corp of China SGCC
Priority to CN201910404731.5A priority Critical patent/CN110213246B/zh
Publication of CN110213246A publication Critical patent/CN110213246A/zh
Application granted granted Critical
Publication of CN110213246B publication Critical patent/CN110213246B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Abstract

本发明公开了一种广域多因子身份认证系统,包括身份认证SDK模块,用于读取身份认证终端用户信息并和身份认证服务器进行交互,对身份认证流程、网络通信、数据加解密传输进行安全封装;数字证书系统,用户人员证书等证书实体的签发和管理,支持将人员证书、安全标签导入身份认证终端和统一身份认证服务器,将设备证书、程序证书导入统一身份认证服务器;身份认证终端;和统一身份认证服务器,集中管理和维护用户信息、设备信息、业务应用信息,提供身份认证和安全审计服务;在用户身份认证和业务应用程序入网认证通过后,将认证结果返送至业务应用程序,获取登录用户及业务应用程序的访问权限。本发明灵活性和安全性更高,通过数字证书签发系统实现用户的统一授权和管理。

Description

一种广域多因子身份认证系统
技术领域
本发明涉及一种广域多因子身份认证系统,属于网络安全防护技术领域。
背景技术
随着大云物移智等技术在电力调度控制系统中的深入研究和应用,各业务应用系统体系架构逐渐向云计算架构体系演进,出现以业务为核心,实现广泛共享,导致共享的资源更多,共享的范围更大,则需加强人员在广域范围内的身份认证和授权管理。云架构模式下的业务应用系统呈现广域分布、逻辑统一的特点,需要在全网范围内对人员进行身份认证,以及人员身份在整个调度系统的身份识别,需构建统一的身份认证体系。
身份认证是业务访问的入口,是业务安全的第一道防线,传统的用户名+口令、动态密码、智能锁Ukey等身份认证方法安全性不高、用户名和密码等信息易泄露、记忆繁琐等问题,已不能满足广域网内系统对身份认证提出的灵活性、高强度、防窃取、防伪造的要求;传统的基于ACL访问控制列表或基于角色的访问控制模型无法实现细颗粒度控制,无法体现资源之间层级结构和用户之间从属关系;基于人脸、指纹、指静脉等生物体征识别认证技术代表了安全认证领域的最新发展,该技术具有唯一性、保密性和方便性等特点,以生物特征作为识别因子具有不易遗忘,防伪造等优点,可随身“携带”,真正实现随时随地可用的优势。
另外传统的身份认证手段,往往仅机械式的比对人员的合法性,而忽略了对其他参与主体“设备”、“程序”和“行为”的验证,无事后审计和非法登录访问的追述定位机制,因此亟需革新现有的身份认证方式,为用户提供一种新的具有更高安全性、免密性、防伪造、方便快捷智能化的身份认证方法,能够实现全系统范围内的用户管理和人员在广域网范围内的身份认证,满足广域网各业务应用系统对人员身份的认证和授权管理的要求。
发明内容
针对现有技术存在的不足,本发明目的是提供一种广域多因子身份认证系统,通过数字证书签发系统实现用户的统一授权和管理,从而提供了高强度、免密、智能的身份认证服务。
为了实现上述目的,本发明是通过如下的技术方案来实现:
本发明的广域多因子身份认证系统包括身份认证SDK模块,用于读取身份认证终端的用户信息并和身份认证服务器进行交互,对身份认证流程、网络通信、数据加解密传输进行安全封装,为业务应用程序(指系统的应用对象)提供统一透明的API接口;并读取所述身份认证终端的用户认证信息发送至统一身份认证服务器进行用户身份认证;
数字证书系统,用于根据注册的具有业务应用访问权限的可信用户的人员信息,生成人员证书,并授权签发至身份认证终端,用于实现可信用户与身份认证终端的绑定;根据可信用户的权限信息,生成安全标签,根据业务应用程序运行的主机设备信息,生成设备证书,根据所述业务应用程序的业务应用程序信息(包括应用标识、应用名称、版本号),生成程序证书;并将所述人员证书、安全标签导入身份认证终端和统一身份认证服务器,将所述设备证书、程序证书导入统一身份认证服务器;
身份认证终端,用于采集身份认证用户的身份认证信息;并根据存储在身份认证终端中的具有业务应用程序访问权限的可信用户的身份认证信息进行验证,验证通过后,将可信用户的身份认证信息和人员信息、人员证书、安全标签进行绑定,以及生成的数字签名发送至统一身份认证服务器进行用户身份认证;
和统一身份认证服务器,用于集中管理和维护用户信息、设备信息、业务应用程序信息,提供身份认证和安全审计服务;所述业务应用程序通过调用身份认证SDK模块,在用户身份认证和业务应用程序入网认证通过后,将认证结果返送至所述业务应用程序,获取登录用户及业务应用程序的访问权限。
上述身份认证SDK模块内嵌于业务应用程序中,以API接口提供安全认证服务。
上述用户认证信息包括但不限于用户名、应用标识、硬件设备标识、指纹或人脸特征数据、签名。上述业务应用程序调用身份认证SDK模块相关API接口实现将硬件信息、业务应用程序信息发送至统一身份认证服务器进行主机的入网认证。
上述主机的入网认证方法如下:
云终端设备上线前,需要向所述统一身份认证服务器提交注册入网信息,统一身份认证服务器审核后存入可信设备信息库,用于后续设备认证;
设备上电启动之后,首先发起入网认证请求,将硬件识别信息IP、MAC地址、安全加密芯片上传到统一身份认证服务器进行验证;
所述统一身份认证服务器收到设备认证信息后,查询可信设备信息库进行比对验证,若匹配成功,则认证通过,并将认证结果信息及硬件标识返回给终端设备;
所述终端设备收到认证成功标识后,保存认证结果标识并开启系统操作权限,否则禁止用户启动任何应用程序;
所述统一身份认证服务器配置终端设备与用户、应用程序之间的关联绑定,进而实现多级关联认证。
终端用户通过指纹Ukey登录所属业务应用系统进行业务查询,所述身份认证流程具体步骤如下:
终端用户身份已经和指纹Ukey进行绑定,Ukey经证书系统签发授权;
指纹验证成功,调用获取Ukey人员数字证书认证信息,所述Ukey人员数字证书认证信息包括用户名、证书序列号、签名值和安全标签;
获取Ukey身份认证信息后,所属统一身份认证服务器进行认证;
所述统一身份认证服务器收到用户信息后根据证书序列号匹配公钥证书验证签名、验证用户名,如果认证成功,返回成功标识;
业务系统收到认证成功标识,则允许用户登录,并根据角色信息进行相关业务操作;
用户操作完之后,主动退出登录,也可直接拔出Ukey,主机自动识别Ukey已拔出,则自动注销用户并关闭应用。
上述统一身份认证服务器根据用户身份认证结果和业务应用模块入网认证结果和对应的时间信息,生成用户访问日志;根据访问日志和大数据风控模型,及预先设定的风险因子的风险权重系数,计算身份认证异常风险评估值,若大于设定阈值,写入告警表,并及时锁定用户,等待统一身份认证服务器系统管理员进行人工干预。
上述统一身份认证服务器系统根据身份认证异常分析结果,若风险评估值大于设定阈值,提示系统管理员对用户身份认证信息进行核实,并在必要条件下提醒管理员更新用户认证信息及认证服务器系统配置。
上述统一身份认证服务器采用分级部署构架模式,分级部署的多个统一身份认证服务器通过通信连接,形成身份认证系统的多级级联,用于对用户身份认证进行逐级授权管理:一级认证服务是认证流程的根节点,所有二级认证服务器需要向一级认证服务器注册、授权和被管理。
上述身份认证终端包括指纹Ukey设备、指静脉设备和人脸识别智能摄像头。
本发明通过配置身份认证终端对用户认证信息进行存储,计算,智能化、灵活性和安全性更高;通过数字证书签发系统实现用户的统一授权和管理。
附图说明
图1为本发明所述方法实施例的结构组成框图;
图2为按照本发明的一个实施例的身份认证方法总体的业务流程图;
图3为终端设备入网认证的示意图;
图4为系统用户登录身份认证流程图;
图5为本发明身份认证终端身份认证要素组成示意图;
图6为本发明的日志审计和大数据风控模型。
具体实施方式
为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体实施方式,进一步阐述本发明。
为实现上述目的,本发明提供一种广域网安全身份认证系统,构建了由两级身份认证中心组成的广域身份认证服务体系架构,为全网业务系统提供统一的身份认证服务。该方法主要应用于由身份认证终端、身份认证SDK模块,统一身份认证服务器、数字证书系统构成的认证服务体系如图1所示。
本发明的身份认证方法所应用的系统中,各设备的作用如下:
(1)数字证书系统:基于PKI理论体系,提供业务应用数据网内所有人员、设备、业务应用等实体对象的集中授权和管理,签发设备、人员、程序、安全标签等各种实体数字证书供统一身份认证服务器认证身份的合法性。
(2)身份认证终端:特指指纹Ukey设备、指静脉设备、人脸识别智能摄像头等生物特征识别终端;用于用户基本信息、证书、密码等认证要素的安全存储载体,实现生物特征信息的采集、存储、计算和识别,实现认证信息的签名。
(3)统一身份认证服务器:提供用户管理、设备管理、应用管理、身份认证、身份签名、安全管理和日志审计等功能,接收业务应用系统的认证请求,进行认证并返回认证结果信息,跨域访问请求的授权、签名和验签。
(4)身份认证SDK模块:内嵌于业务应用程序中,对身份认证流程、网络通信、数据加解密传输进行了安全封装,以API接口为业务应用程序提供安全认证服务。用于读取身份认证终端的用户信息(包括但不限于用户名、应用标识、硬件设备标识、指纹或人脸特征数据、签名等)并和身份认证服务器进行交互返回认证结果信息和用户权限信息。
本发明的身份认证方法流程包括以下步骤(参见图4):
1、上诉身份认证中身份授权流程,由证书系统录入管理人员集中收集、受理和审查终端用户的证书需求,确保真实可靠后,通过文件的形式向CA中心提交证书请求,经审核管理员审核后,由CA中心集中制作数字证书后发送给证书系统签发管理人员,再由签发管理人员将数字证书分发给终端用户使用。
2、上述身份认证中的主机设备入网认证流程(参见图3):
1)云终端设备上线前,需要向统一身份认证服务器提交注册入网信息,统一身份认证服务器审核后存入可信设备信息库,用于后续设备认证;
2)设备上电启动之后,首先发起入网认证请求,将硬件识别信息IP、MAC地址、安全加密芯片或其他硬件识别信息上传到统一身份认证服务器进行验证;
3)认证服器收到设备认证信息后,查询可信设备信息库进行比对验证,若匹配成功,则认证通过,并将认证结果信息及硬件标识返回给终端设备;
4)终端设备收到认证成功标识后,保存认证结果标识并开启系统操作权限,否则禁止用户启动任何应用程序。
5)统一身份认证服务器可配置终端设备与用户、应用程序之间的关联绑定,进而实现多级关联认证。
3、上述身份认证中的用户登录系统身份认证流程:为表述清晰,以终端用户通过指纹Ukey登录所属业务应用系统进行业务查询为例,说明业务系统对用户的登录身份认证流程。
1)终端用户身份已经和指纹Ukey进行绑定,Ukey经证书系统签发授权。
2)用户插入Ukey,打开业务系统,根据登录界面提示刷指纹验证;
3)指纹验证成功,由认证服务模块接口或执行操作系统调用获取Ukey人员数字证书认证信息(如用户名、证书序列号、签名值、安全标签等);
4)业务系统获取Ukey身份认证信息后,调用认证服务模块接口发送给所属统一身份认证服务器,进行认证;
5)统一身份认证服务器收到用户信信后根据证书序列号匹配公钥证书验证签名、验证用户名等信息,如果认证成功,返回成功标识给D5000系统
6)业务系统收到认证成功标识,则允许该用户登录,并根据角色信息进行相关业务操作。
7)用户操作完之后,可主动退出登录,亦可直接拔出Ukey,主机自动识别Ukey已拔出,则自动注销用户并关闭应用。
参见图5,上述用户利用身份认证终端登录业务系统中涉及的认证要素和认证步骤:首先是身份认证终端(如指纹Ukey)内部生成一个随机数,利用身份认证终端中的匹配的私钥对其进行签名,得到签名数据;接着,业务应用读取本地对应的用户签名证书,对身份认证终端获取的签名数据进行验签,如果验证通过则证明用户合法,用户成功登录后,读取身份认证终端中安全标签内容进行校验、分析进而控制该用户的操作权限。
本发明旨在提供一种基于生物识别技术和数字证书技术的广域网身份安全认证实现方法,该方法以调度数字证书系统为用户可信授权和管理中心,利用人员生物体征信息(包含指纹、人脸、指静脉)作为用户可信认证的唯一标识,以属性证书(包含安全标签)作为权限管理和访问控制模型,并以智能身份认证终端作为身份信息和权限信息的安全存储载体,结合电力调度业务应用场景建立了上下两级身份认证服务组成的广域身份认证体系架构,涵盖授权、认证、审计三个子过程的方法流程,以实现用户身份认证行为的完整闭环管理,为业务系统安全访问提供安全、免密、智能的身份认证服务。
参见图2,本发明的一种广域多因子身份认证系统的工作流程如下:
步骤1:向调度数字证书系统发起注册申请;
步骤2:所述调度数字证书系统根据注册的具有业务应用模块访问权限的可信用户的人员信息,生成人员证书;根据可信用户的权限信息,生成安全标签;根据业务应用模块的设备信息,生成设备证书;根据业务应用模块的业务应用程序信息,生成程序证书;
调度数字证书系统将人员证书、安全标签导入身份认证终端和统一身份认证服务器;
将设备证书、程序证书导入业务应用模块和统一身份认证服务器;
步骤3:身份认证终端采集可信用户的身份认证信息,将可信用户的身份认证信息和人员信息、人员证书、安全标签进行绑定;
步骤4:身份认证终端采集身份认证用户的身份认证信息,并根据存储在认证终端中的具有业务应用模块访问权限的可信用户的身份认证信息进行验证,验证通过后,身份认证终端将与可信用户人份认证信息绑定的人员信息、人员证书、安全标签,以及生成的数字签名发送至统一身份认证服务器进行用户身份认证;
步骤5:业务应用模块将硬件信息、业务应用程序信息发送至统一身份认证服务器进行业务应用模块入网认证;
步骤6:若用户身份认证和业务应用模块入网认证通过,身份认证服务器将认证结果返送至所述业务应用模块,身份认证用户获取业务应用模块的访问权限。
步骤7:根据用户身份认证结果和业务应用模块入网认证结果和对应的时间信息,生成用户访问日志。
步骤8:根据访问日志和大数据风控模型(参见图6),及预先设定的时间、地点等风险因子的风险权重系数,计算身份认证异常风险评估值,若大于设定阈值,写入告警表,并及时锁定该用户,等待统一身份认证服务器网关系统管理员进行人工干预。
步骤9:根据身份认证异常分析结果,若风险评估值大于设定阈值,提示身份认证用户进行身份认证的确认,并在必要条件下更新用户认证信息及网关服务器配置
步骤10:统一身份认证服务器采用分级部署构架模式,分级部署的多个统一身份认证服务器通过通信连接,形成身份认证系统的多级级联,用于对用户身份认证进行逐级授权管理:一级认证服务是认证流程的根节点,所有二级认证服务器需要向一级认证服务器注册、授权,和被管理。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (10)

1.一种广域多因子身份认证系统,其特征在于,包括
身份认证SDK模块,用于读取身份认证终端的用户信息并和身份认证服务器进行交互,对身份认证流程、网络通信、数据加解密传输进行安全封装,为业务应用程序提供统一透明的API接口;并读取所述身份认证终端的用户认证信息发送至统一身份认证服务器进行用户身份认证;
数字证书系统,用于根据注册的具有业务应用访问权限的可信用户的人员信息,生成人员证书,并授权签发至身份认证终端,用于实现可信用户与身份认证终端的绑定;根据可信用户的权限信息,生成安全标签,根据业务应用程序运行的主机设备信息,生成设备证书,根据所述业务应用程序的业务应用程序信息,生成程序证书;并将所述人员证书、安全标签导入身份认证终端和统一身份认证服务器,将所述设备证书、程序证书导入统一身份认证服务器;
身份认证终端,用于采集身份认证用户的身份认证信息;并根据存储在身份认证终端中的具有业务应用程序访问权限的可信用户的身份认证信息进行验证,验证通过后,将可信用户的身份认证信息和人员信息、人员证书、安全标签进行绑定,以及生成的数字签名发送至统一身份认证服务器进行用户身份认证;
和统一身份认证服务器,用于集中管理和维护用户信息、设备信息、业务应用程序信息,提供身份认证和安全审计服务;所述业务应用程序通过调用身份认证SDK模块,在用户身份认证和业务应用程序入网认证通过后,将认证结果返送至所述业务应用程序,获取登录用户及业务应用程序的访问权限。
2.根据权利要求1所述的广域多因子身份认证系统,其特征在于,所述身份认证SDK模块内嵌于业务应用程序中,以API接口提供安全认证服务。
3.根据权利要求1所述的广域多因子身份认证系统,其特征在于,所述用户认证信息包括但不限于用户名、应用标识、硬件设备标识、指纹或人脸特征数据、签名。
4.根据权利要求1所述的广域多因子身份认证系统,其特征在于,所述业务应用程序调用身份认证SDK模块相关API接口实现将硬件信息、业务应用程序信息发送至统一身份认证服务器进行主机的入网认证。
5.根据权利要求4所述的广域多因子身份认证系统,其特征在于,所述主机的入网认证方法如下:
云终端设备上线前,需要向所述统一身份认证服务器提交注册入网信息,统一身份认证服务器审核后存入可信设备信息库,用于后续设备认证;
设备上电启动之后,首先发起入网认证请求,将硬件识别信息IP、MAC地址、安全加密芯片上传到统一身份认证服务器进行验证;
所述统一身份认证服务器收到设备认证信息后,查询可信设备信息库进行比对验证,若匹配成功,则认证通过,并将认证结果信息及硬件标识返回给终端设备;
所述终端设备收到认证成功标识后,保存认证结果标识并开启系统操作权限,否则禁止用户启动任何应用程序;
所述统一身份认证服务器配置终端设备与用户、应用程序之间的关联绑定,进而实现多级关联认证。
6.根据权利要求1所述的广域多因子身份认证系统,其特征在于,终端用户通过指纹Ukey登录所属业务应用系统进行业务查询,所述身份认证流程具体步骤如下:
终端用户身份已经和指纹Ukey进行绑定,Ukey经证书系统签发授权;
指纹验证成功,调用获取Ukey人员数字证书认证信息,所述Ukey人员数字证书认证信息包括用户名、证书序列号、签名值和安全标签;
获取Ukey身份认证信息后,所属统一身份认证服务器进行认证;
所述统一身份认证服务器收到用户信息后根据证书序列号匹配公钥证书验证签名、验证用户名,如果认证成功,返回成功标识;
业务系统收到认证成功标识,则允许用户登录,并根据角色信息进行相关业务操作;
用户操作完之后,主动退出登录,也可直接拔出Ukey,主机自动识别Ukey已拔出,则自动注销用户并关闭应用。
7.根据权利要求1所述的广域多因子身份认证系统,其特征在于,所述统一身份认证服务器根据用户身份认证结果和业务应用模块入网认证结果和对应的时间信息,生成用户访问日志;根据访问日志和大数据风控模型,及预先设定的风险因子的风险权重系数,计算身份认证异常风险评估值,若大于设定阈值,写入告警表,并及时锁定用户,等待统一身份认证服务器系统管理员进行人工干预。
8.根据权利要求1所述的广域多因子身份认证系统,其特征在于,所述统一身份认证服务器系统根据身份认证异常分析结果,若风险评估值大于设定阈值,提示系统管理员对用户身份认证信息进行核实,并在必要条件下提醒管理员更新用户认证信息及认证服务器系统配置。
9.根据权利要求1所述的广域多因子身份认证系统,其特征在于,
所述统一身份认证服务器采用分级部署构架模式,分级部署的多个统一身份认证服务器通过通信连接,形成身份认证系统的多级级联,用于对用户身份认证进行逐级授权管理:一级认证服务是认证流程的根节点,所有二级认证服务器需要向一级认证服务器注册、授权和被管理。
10.根据权利要求1所述的广域多因子身份认证系统,其特征在于,所述身份认证终端包括指纹Ukey设备、指静脉设备和人脸识别智能摄像头。
CN201910404731.5A 2019-05-16 2019-05-16 一种广域多因子身份认证系统 Active CN110213246B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910404731.5A CN110213246B (zh) 2019-05-16 2019-05-16 一种广域多因子身份认证系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910404731.5A CN110213246B (zh) 2019-05-16 2019-05-16 一种广域多因子身份认证系统

Publications (2)

Publication Number Publication Date
CN110213246A true CN110213246A (zh) 2019-09-06
CN110213246B CN110213246B (zh) 2021-11-12

Family

ID=67787355

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910404731.5A Active CN110213246B (zh) 2019-05-16 2019-05-16 一种广域多因子身份认证系统

Country Status (1)

Country Link
CN (1) CN110213246B (zh)

Cited By (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110601895A (zh) * 2019-09-19 2019-12-20 国家电网有限公司 电力通信系统数据控制方法和装置
CN111259358A (zh) * 2020-01-07 2020-06-09 数字广东网络建设有限公司 登录方法、装置、计算机设备和存储介质
CN111274563A (zh) * 2020-01-07 2020-06-12 腾讯科技(深圳)有限公司 一种安全认证的方法以及相关装置
CN111476695A (zh) * 2020-03-27 2020-07-31 南京慧智灵杰信息技术有限公司 基于互联网移动通信技术的社区矫正电子定位系统
CN111898143A (zh) * 2020-07-16 2020-11-06 北京金和网络股份有限公司 动态权限管理方法、装置及终端
CN111931144A (zh) * 2020-06-03 2020-11-13 南京南瑞信息通信科技有限公司 一种操作系统与业务应用统一安全登录认证方法及装置
CN112084997A (zh) * 2020-09-22 2020-12-15 江西锦路科技开发有限公司 一种工程量拆分及统计系统
CN112152997A (zh) * 2020-08-20 2020-12-29 同济大学 面向设备识别的双因子认证方法、系统、介质及服务端
CN112423298A (zh) * 2020-11-25 2021-02-26 公安部交通管理科学研究所 一种道路交通信号管控设施身份认证系统及方法
CN112839030A (zh) * 2020-12-24 2021-05-25 航天信息股份有限公司 基于消息驱动的证书调用系统及方法
CN112953932A (zh) * 2021-02-07 2021-06-11 北京中船信息科技有限公司 基于ca证书的身份认证网关集成设计方法及集成系统
CN113672897A (zh) * 2021-07-22 2021-11-19 北京奇艺世纪科技有限公司 数据通信方法、装置、电子设备及存储介质
CN114697091A (zh) * 2022-03-18 2022-07-01 江苏林洋能源股份有限公司 一种支持授信通信管理多层级探针的方法
CN115085980A (zh) * 2022-05-31 2022-09-20 北京融讯智晖技术有限公司 一种基于融合视频云的网络准入管理系统
CN115189958A (zh) * 2022-07-18 2022-10-14 西安热工研究院有限公司 一种实现多级架构之间认证漫游和鉴权的方法
CN115529142A (zh) * 2022-10-09 2022-12-27 阳光电源股份有限公司 登录管理方法、装置、设备及介质
CN116112242A (zh) * 2023-01-10 2023-05-12 中国南方电网有限责任公司 面向电力调控系统的统一安全认证方法及系统
CN116155631A (zh) * 2023-04-21 2023-05-23 四川中电启明星信息技术有限公司 一种企业级的正反向级联认证方法及系统
CN117155704A (zh) * 2023-10-26 2023-12-01 西安热工研究院有限公司 一种可信dcs上位机节点快速添加方法、系统、设备及介质
CN117235771A (zh) * 2023-11-07 2023-12-15 荣耀终端有限公司 一种应用程序的权限管控方法和电子设备
CN117828573A (zh) * 2024-03-04 2024-04-05 深圳市领德创科技有限公司 一种基于指纹技术的智能加密u盘

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN200980081Y (zh) * 2006-12-08 2007-11-21 西安电子科技大学 一种网络身份认证系统
CN105024819A (zh) * 2015-05-29 2015-11-04 北京中亦安图科技股份有限公司 一种基于移动终端的多因子认证方法及系统
CN107800725A (zh) * 2017-12-11 2018-03-13 公安部第研究所 一种数字证书远程在线管理装置及方法
US9928839B1 (en) * 2013-12-04 2018-03-27 United Services Automobile Association (Usaa) Systems and methods for authentication using voice biometrics and device verification
US20180309758A1 (en) * 2016-05-09 2018-10-25 Aetna Inc. Unified authentication software development kit
CN108737376A (zh) * 2018-04-16 2018-11-02 北京明朝万达科技股份有限公司 一种基于指纹和数字证书的双因子认证方法及系统
CN108769043A (zh) * 2018-06-06 2018-11-06 中国联合网络通信集团有限公司 可信应用认证系统和可信应用认证方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN200980081Y (zh) * 2006-12-08 2007-11-21 西安电子科技大学 一种网络身份认证系统
US9928839B1 (en) * 2013-12-04 2018-03-27 United Services Automobile Association (Usaa) Systems and methods for authentication using voice biometrics and device verification
CN105024819A (zh) * 2015-05-29 2015-11-04 北京中亦安图科技股份有限公司 一种基于移动终端的多因子认证方法及系统
US20180309758A1 (en) * 2016-05-09 2018-10-25 Aetna Inc. Unified authentication software development kit
CN107800725A (zh) * 2017-12-11 2018-03-13 公安部第研究所 一种数字证书远程在线管理装置及方法
CN108737376A (zh) * 2018-04-16 2018-11-02 北京明朝万达科技股份有限公司 一种基于指纹和数字证书的双因子认证方法及系统
CN108769043A (zh) * 2018-06-06 2018-11-06 中国联合网络通信集团有限公司 可信应用认证系统和可信应用认证方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
刘苇; 廖鹏; 陈叶; 祁龙云; 魏兴慎; 宋子锋: ""基于操作系统增强的WEB系统安全防护技术"", 《电力信息与通信技术》 *

Cited By (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110601895A (zh) * 2019-09-19 2019-12-20 国家电网有限公司 电力通信系统数据控制方法和装置
CN111259358B (zh) * 2020-01-07 2022-09-06 数字广东网络建设有限公司 登录方法、装置、计算机设备和存储介质
CN111259358A (zh) * 2020-01-07 2020-06-09 数字广东网络建设有限公司 登录方法、装置、计算机设备和存储介质
CN111274563A (zh) * 2020-01-07 2020-06-12 腾讯科技(深圳)有限公司 一种安全认证的方法以及相关装置
CN111476695A (zh) * 2020-03-27 2020-07-31 南京慧智灵杰信息技术有限公司 基于互联网移动通信技术的社区矫正电子定位系统
CN111931144A (zh) * 2020-06-03 2020-11-13 南京南瑞信息通信科技有限公司 一种操作系统与业务应用统一安全登录认证方法及装置
CN111931144B (zh) * 2020-06-03 2023-04-07 南京南瑞信息通信科技有限公司 一种操作系统与业务应用统一安全登录认证方法及装置
CN111898143A (zh) * 2020-07-16 2020-11-06 北京金和网络股份有限公司 动态权限管理方法、装置及终端
CN111898143B (zh) * 2020-07-16 2024-04-16 北京金和网络股份有限公司 动态权限管理方法、装置及终端
CN112152997A (zh) * 2020-08-20 2020-12-29 同济大学 面向设备识别的双因子认证方法、系统、介质及服务端
CN112084997A (zh) * 2020-09-22 2020-12-15 江西锦路科技开发有限公司 一种工程量拆分及统计系统
CN112084997B (zh) * 2020-09-22 2021-08-24 江西锦路科技开发有限公司 一种工程量拆分及统计系统
CN112423298A (zh) * 2020-11-25 2021-02-26 公安部交通管理科学研究所 一种道路交通信号管控设施身份认证系统及方法
CN112423298B (zh) * 2020-11-25 2022-01-18 公安部交通管理科学研究所 一种道路交通信号管控设施身份认证系统及方法
CN112839030B (zh) * 2020-12-24 2022-09-20 航天信息股份有限公司 基于消息驱动的证书调用系统及方法
CN112839030A (zh) * 2020-12-24 2021-05-25 航天信息股份有限公司 基于消息驱动的证书调用系统及方法
CN112953932A (zh) * 2021-02-07 2021-06-11 北京中船信息科技有限公司 基于ca证书的身份认证网关集成设计方法及集成系统
CN112953932B (zh) * 2021-02-07 2022-12-20 北京中船信息科技有限公司 基于ca证书的身份认证网关集成设计方法及集成系统
CN113672897A (zh) * 2021-07-22 2021-11-19 北京奇艺世纪科技有限公司 数据通信方法、装置、电子设备及存储介质
CN113672897B (zh) * 2021-07-22 2024-03-08 北京奇艺世纪科技有限公司 数据通信方法、装置、电子设备及存储介质
CN114697091A (zh) * 2022-03-18 2022-07-01 江苏林洋能源股份有限公司 一种支持授信通信管理多层级探针的方法
CN114697091B (zh) * 2022-03-18 2024-03-12 江苏林洋能源股份有限公司 一种支持授信通信管理多层级探针的方法
CN115085980B (zh) * 2022-05-31 2024-02-27 北京融讯智晖技术有限公司 一种基于融合视频云的网络准入管理系统
CN115085980A (zh) * 2022-05-31 2022-09-20 北京融讯智晖技术有限公司 一种基于融合视频云的网络准入管理系统
CN115189958A (zh) * 2022-07-18 2022-10-14 西安热工研究院有限公司 一种实现多级架构之间认证漫游和鉴权的方法
CN115189958B (zh) * 2022-07-18 2024-01-19 西安热工研究院有限公司 一种实现多级架构之间认证漫游和鉴权的方法
CN115529142A (zh) * 2022-10-09 2022-12-27 阳光电源股份有限公司 登录管理方法、装置、设备及介质
CN116112242A (zh) * 2023-01-10 2023-05-12 中国南方电网有限责任公司 面向电力调控系统的统一安全认证方法及系统
CN116112242B (zh) * 2023-01-10 2024-04-16 中国南方电网有限责任公司 面向电力调控系统的统一安全认证方法及系统
CN116155631B (zh) * 2023-04-21 2023-07-28 四川中电启明星信息技术有限公司 一种企业级的正反向级联认证方法及系统
CN116155631A (zh) * 2023-04-21 2023-05-23 四川中电启明星信息技术有限公司 一种企业级的正反向级联认证方法及系统
CN117155704A (zh) * 2023-10-26 2023-12-01 西安热工研究院有限公司 一种可信dcs上位机节点快速添加方法、系统、设备及介质
CN117155704B (zh) * 2023-10-26 2024-01-16 西安热工研究院有限公司 一种可信dcs上位机节点快速添加方法、系统、设备及介质
CN117235771A (zh) * 2023-11-07 2023-12-15 荣耀终端有限公司 一种应用程序的权限管控方法和电子设备
CN117235771B (zh) * 2023-11-07 2024-04-23 荣耀终端有限公司 一种应用程序的权限管控方法和电子设备
CN117828573A (zh) * 2024-03-04 2024-04-05 深圳市领德创科技有限公司 一种基于指纹技术的智能加密u盘

Also Published As

Publication number Publication date
CN110213246B (zh) 2021-11-12

Similar Documents

Publication Publication Date Title
CN110213246A (zh) 一种广域多因子身份认证系统
US11093643B2 (en) Method and system for accessing anonymized data
US10475273B2 (en) Architecture for access management
CN1859096B (zh) 一种安全认证系统及方法
CN102420690B (zh) 一种工业控制系统中身份与权限的融合认证方法及系统
US20050289085A1 (en) Secure domain network
US20040034774A1 (en) System and method for privilege delegation and control
US9092016B2 (en) Universal validation module for access control systems
US10530586B2 (en) Method, hardware and digital certificate for authentication of connected devices
AU2004254771A1 (en) User authentication system
CN112330855A (zh) 一种电子锁安全管理方法、设备及系统
CN110545274A (zh) 一种基于人证合一的uma服务的方法、装置和系统
US9769164B2 (en) Universal validation module for access control systems
CN109670825A (zh) 一种基于证书关联的数字资产实名登记系统
CN112543184A (zh) 一种基于区块链的设备认证激活方法
US20170104748A1 (en) System and method for managing network access with a certificate having soft expiration
KR20230104921A (ko) 보호 장치에 의해 달성되는 오브젝트의 보호를 중단하는 방법
CN112383401B (zh) 一种提供身份鉴别服务的用户名生成方法及系统
CN106936760A (zh) 一种登录Openstack云系统虚拟机的装置和方法
WO2018207174A1 (en) Method and system for sharing a network enabled entity
CN116112242B (zh) 面向电力调控系统的统一安全认证方法及系统
CN107679379A (zh) 一种声纹识别系统和识别方法
CN111222858A (zh) 一种区块链指纹识别认证个人钱包的实现方法
CN115459920A (zh) 一种基于智能合约的无证书联盟链上身份认证方法及系统
US11461451B2 (en) Document signing system for mobile devices

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant