CN110287685A - 基于国产cpu、操作系统和数据库的key认证方法及系统 - Google Patents

Abstract

本发明提供一种基于国产CPU、操作系统和数据库的KEY认证方法及系统，属于身份认证技术领域，本发明由运行在基于国产CPU和OS的主机上的KEY交互程序、应用系统Web前端和运行在基于国产CPU和OS服务器上的应用系统服务程序、KEY认证服务组成，实现了基于国产CPU、操作系统和数据库环境的KEY用户登记和认证方法。

Description

基于国产CPU、操作系统和数据库的KEY认证方法及系统

技术领域

本发明涉及身份认证技术领域，尤其涉及一种基于国产CPU、操作系统和数据库的KEY认证方法及系统。

背景技术

在国家的大力扶持下，具有自主知识产权的全国产软硬件有了较快的发展，尤其是近年来我国涌现了众多具有自主知识产权的基础软硬件产品。龙芯、飞腾、北大众志等具有自主知识产权的高端通用芯片蓬勃发展，技术水平达到了同类产品的世界先进水平。

同时，国产基础软件产品的发展也欣欣向荣，神通数据库、达梦数据库、东方通中间件、金蝶中间件、中标麒麟操作系统、中标Office办公软件、Wps Office办公软件等国产基础软件产品不断涌现出来。这些基础软硬件产品在性能、易用性等方面达到或接近世界先进水平。

随着国产基础软硬件的蓬勃的发展，给国产基础软硬件的推广和使用带来了前所未有的机遇。应用系统对用户身份认证是信息安全重要组成部分。最常用的身份认证方式有:用户名/密码认证方式、生物特征认证方式(例如识别、声音识别等),KEY认证方式。用户名/密码认证方式存在诸多安全隐患(例如密码泄露等)；生物特征认证方式有非常广阔的前景，但是技术实现难度大，成本高，响应速度偏慢，实用性不强。

发明内容

为了解决以上技术问题，本发明提出了一种基于国产CPU、操作系统和数据库的KEY认证方法，供统一的KEY用户登记和认证服务，并提供统一的服务调用接口，适用于基于国产CPU和操作系统的不同应用系统使用调用服务通用的接口方法体，实现能够在适配国产CPU、操作系统的不同的应用程序上使用，具有通用性和可移植性，为适配在国产环境基于国产CPU和操作系统环境下的应用程序提供了一种安全、便捷、高效的认证方法。

本发明的技术方案是：

基于国产CPU、操作系统和数据库的KEY认证方法，

认证终端依据KEY中的证书信息加密认证服务器返回的认证信息，并传递给KEY认证服务，KEY认证服务依据认证终端传递的用户标识获取预存的KEY信息，解密加密后的认证信息，并与认证服务器中预存的认证信息进行比对，比对一致则认证通过。

进一步的，

认证终端通过驱动调用KEY接口，KEY检查自身当前状态是否为验证已通过，是则返回用户标识、签名私钥和签名算法，认证终端使用所述签名私钥根据所述签名算法对待签名数据进行运算生成登录认证系统所需的凭据信息，否则结束操作。

认证终端依据用户标识从认证服务器获取唯一的认证信息，用于KEY认证服务解密对比，认证终端依据KEY中的证书私钥及加密算法加密认证服务器返回的认证信息，并将KEY中的用户标识及加密后的认证信息一同传递到KEY认证服务。

KEY认证服务需要依据认证终端传递的用户标识从数据库中获取预存的KEY信息，用于被加密的认证信息解密；KEY认证服务对比通过后，需从认证服务器获取用户标识对应的登录信息，并返回给认证终端，用于认证终端登录。

进一步的，

具体工作步骤如下：

1)认证时首先调用Key交互程序完成KEY的PIN验证，获取KEY标识、KEY公钥、KEY签名算法，传递给应用系统服务程序和认证程序，应用系统服务程序建立KEY标识和登录用户的映射关系保存到数据库中，KEY认证服务建立KEY对应的初始化认证信息；

2)登录时，调用KEY交互程序完成KEY的PIN验证，获取KEY标识、KEY签名算法、KEY私钥，并对后台KEY认证服务随便生成的认证信息进行加密，传递给后台应用系统服务程序和KEY认证服务，KEY认证服务由KEY标识获取对应的KEY公钥，KEY签名算法，对加密后的认证信息进行解密，与初始的认证信息进行比对，若比一致则确定KEY为真，若KEY为真应用程序获取KEY标识对应的用户，并完成该用户的自动登录。

此外，本发明还公开了一种基于国产CPU、操作系统和数据库的KEY认证系统，

主要由运行在基于国产CPU和OS的主机上的KEY交互部分、Web前端及运行在基于国产CPU和OS的服务器上的应用系统服务部分、KEY认证部分组成；

其中，

KEY交互部分运行在基于国产CPU和OS的主机上，主要通过KEY提供的API接口，与KEY进行交互；

Web前端运行在基于国产CPU和OS的主机上，接受用户的操作指令，实现KEY交互部分和应用系统服务部分的信息传递。

应用系统服务部分运行在基于国产CPU和OS的服务器上，实现KEY与指定用户的绑定及KEY用户登录：KEY登记时实现了KEY和用户的一一映射，并将映射关系存储到数据库中；KEY认证登录时，调用KEY认证服务实现KEY的真伪验证，通过获取的KEY标识，获取登录用户信息，实现用户的自动登录；

KEY认证部分运行在基于国产CPU和OS的服务器上，实现KEY的注册及真伪验证。

进一步的，

应用系统WEB前端，通过调用KEY交互部分，完成KEY的PIN验证，获取KEY的私钥、公钥、签名算法、KEY标识信息；认证时，KEY交互部分通过KEY签名算法、KEY私钥，实现对认证信息的加密；

进一步的，

实现KEY的注册及真伪验证，即

KEY登记时，通过KEY标识对KEY进行注册，保存KEY签名算法、签名公钥；

KEY认证登录时，生成认证信息，并对加密的认证信息进行解密，完成信息比对，实现KEY真伪验证。

再进一步的，

实现KEY登记时，首先应用系统web前端调用KEY交互程序，弹出KEY验证提示框，提示用户输入KEY的PIN码进行验证，PIN验证成功后，获取签名公钥、签名算法及KEY标识，并将签名公钥、签名算法、KEY标识信息打包，通过网络传递给应用系统服务程序，应用系统服务程序获取签名公钥、签名算法、KEY标识信息后，建立登记用户和Key标识的映射关系，并保存到数据库中，并将KEY标识、签名公钥和签名算法信息传递给KEY认证服务，完成相应KEY注册及KEY信息初始化。

再进一步的，

实现KEY认证登录时，首先完成KEY的PIN码验证，其次对KEY进行真伪鉴别，确定KEY为真之后，根据获取的KEY标识，实现指定用户的应用系统安全登录；

KEY认证服务部分随机生成一段认证信息，经应用程序传递给KEY交互部分，KEY交互部分完成PIN验证后，获取KEY的签名标识、签名算法、签名私钥信息，通过KEY的签名算法、签名私钥对认证信息进行加密，将加密后的信息与Key标识一起打包，由应用系统WEB前端传递给应用系统服务程序；应用系统服务程序接收到信息后将加密的认证信息和Key标识传递给KEY认证部分，KEY认证部分通过KEY标识获取KEY的公钥和签名算法，对认证信息进行加密，并与初试的认证信息进行比对，若比对一致，验证KEY为真，应用系统通过KEY标识获取对应的指定用户，实现用户的安全登录。

认证登录流程如下：

1)、当用户执行KEY用户认证登录时，应用系统web前端通过浏览器插件方式调用KEY交互部分，弹出KEY验证提示框，提示用户输入KEY的PIN码进行验证，若验证成功，执行步骤2)，否则提示KEY的PING码验证失败；

2)、PIN验证通过后，由后台KEY认证部分随机生成一段认证信息，经应用系统服务部分，传递给应用系统WEB前端。

3)、应用系统WEB前端将认证信息传递给KEY交互部分并调用KEY交互部分，对认证信息进行加密；

4)、KEY交互部分获取KEY签名私钥、KEY签名算法、KEY标识，通过KEY签名私钥，使用KEY签名算法，对认证信息进行加密，和KEY标识一起打包，由应用系统WEB前端，传递给后台应用系统服务部分；

5)、应用系统服务程序获取KEY标识和加密后的认证信息后，首先查询是否存在该KEY标识对应的登录用户，若存在将KEY标识和加密的认证信息传递给KEY认证服务程序进行KEY认证；否则通过应用系统WEB前端，提供用户当前KEY未进行登记；

6)、KEY认证部分接受到KEY标识和加密的认证信息后，使用KEY标识对应的KEY签名算法、KEY公钥对加密的认证信息进行解密，解密后的信息与初始的认证信息进行对比，将对比结果传递给应用系统服务程序；

7)、应用系统服务部分接收到对比结果后，若信息对比一致，则获取KEY标识对应的系统用户，完成用户的自动登录，否则，通过应用系统WEB前端，提示用户KEY验证失败，请插入正确KEY。

本发明的有益效果是

(1)本方法实现了双因子认证，即用户必须拥有KEY并知道其PIN码才能完成身份认证。大大提高了应用系统信息的安全性。

(2)本方法不需要用户输入用户名及密码，比传统的登录方法更快捷、准确，为基于国产CPU、操作系统环境下的应用系统提供了一种更方便快捷、安全可靠的系统登录方法，大大提高了应用系统登录操作易用性。

(3)本方法在使用密文传递用户认证信息，防止中间人进行网络监听及重放攻击，提高了应用系统信息的安全性。

(4)本方法独立于系统之外，不受应用系统类型的限制，具有良好通用性和兼容性。

(5)本方法提供了丰富的接口，并提供了业务场景使用实例，业务功能移植简便，开发效率高、性能稳定，为基于国产CPU、操作系统环境下的应用系统提供了快速、简便、高效、稳定的系统登录解决方案。

附图说明

图1是Key注册业务流程；

图2是Key认证业务流程。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

使用KEY进行身份认证时将KEY与用户电脑的USB接口连接并输人PIN码然后完成认证，非常方便。KEY认证方式实现了双因子认证，即用户必须拥有KEY并知道其PIN码才能完成身份认证。这种情况下，即使用户泄露了密码或者丢失KEY，非法用户也不能曾充其登录系统，大大提高了应用系统信息的安全性。

本发明由运行在基于国产CPU和OS的主机上的KEY交互程序、Web前端及运行在基于国产CPU和OS的服务器上的应用系统服务程序、KEY认证程序组成，实现基于国产CPU和OS环境下应用系统的KEY登记及认证登录。

KEY交互程序运行在基于国产CPU和OS的主机上，主要通过KEY提供的API接口，与KEY进行交互。应用系统WEB前端通过调用KEY交互程序，完成KEY的PIN验证，获取KEY的私钥、公钥、签名算法、KEY标识等信息。认证时，KEY交互程序实现通过KEY签名算法、KEY私钥，实现对认证信息的加密。

应用系统Web前端运行在基于国产CPU和OS的主机上，接受用户的操作指令，实现KEY交互程序和应用系统服务程序的信息传递。

应用系统服务程序运行在基于国产CPU和OS的服务器上，实现KEY与指定用户的绑定及KEY用户登录：KEY登记时实现了KEY和用户的一一映射，并将映射关系存储到数据库中；KEY认证登录时，调用KEY认证服务实现KEY的真伪验证，通过获取的KEY标识，获取登录用户信息，实现用户的自动登录。

KEY认证服务运行在基于国产CPU和OS的服务器上，实现KEY的注册及真伪验证：KEY登记时，通过KEY标识对KEY进行注册，保存KEY签名算法、签名公钥；

KEY认证登录时，生成认证信息，并对加密的认证信息进行解密，完成信息比对，实现KEY真伪验证。

基于国产CPU和OS实现应用系统KEY登记

基于国产CPU和OS环境下实现KEY登记时，首先应用系统web前端调用KEY交互程序，弹出KEY验证提示框，提示用户输入KEY的PIN码进行验证，PIN验证成功后，获取签名公钥、签名算法及KEY标识，并将签名公钥、签名算法、KEY标识信息打包，通过网络传递给应用系统服务程序，应用系统服务程序获取签名公钥、签名算法、KEY标识信息后，建立登记用户和Key标识的映射关系，并保存到数据库中，并将KEY标识、签名公钥和签名算法信息传递给KEY认证服务，完成相应KEY注册及KEY信息初始化。

基于国产CPU和OS实现应用系统KEY认证登录

基于国产CPU和OS环境下实现KEY认证登录时，首先与登记一样，完成KEY的PIN码验证，其次对KEY进行真伪鉴别，确定KEY为真之后，根据获取的KEY标识，实现指定用户的应用系统安全登录。

KEY认证服务程序随机生成一段认证信息，经应用程序传递给KEY交互程序，KEY交互程序完成PIN验证后，获取KEY的签名标识、签名算法、签名私钥信息，通过KEY的签名算法、签名私钥对认证信息进行加密，将加密后的信息与Key标识一起打包，由应用系统WEB前端传递给应用系统服务程序；应用系统服务程序接收到信息后将加密的认证信息和Key标识传递给KEY认证服务，KEY认证服务通过KEY标识获取KEY的公钥和签名算法，对认证信息进行加密，并与初试的认证信息进行比对，若比对一致，验证KEY为真，应用系统通过KEY标识获取对应的指定用户，实现用户的安全登录。

基于国产CPU、操作系统和数据库的KEY用户登记流程

1、当用户执行KEY用户登记时，应用系统web前端通过浏览器插件方式调用KEY交互程序，弹出KEY验证提示框，提示用户输入KEY的PIN码进行验证，若验证成功，执行步骤2，否则提示KEY的PING码验证失败。

2、PIN验证通过后，KEY交互程序获取KEY的签名公钥、签名算法及KEY标识，并将签名公钥、签名算法、KEY标识信息打包后,由应用系统WEB前端通过网络传递给应用系统服务程序。

3、应用系统服务程序接受到打包信息后，获取对应的KEY表示、KEY签名算法、KEY公钥，建立登记用户和KEY标识的映射关系，并保存到数据库中。

4、应用系统服务程序将KEY标识、KEY签名算法、KEY公钥传递给KEY认证服务程序。

5、KEY认证服务程序通过KEY标识对KEY进行注册，保存对应的KEY签名算法、KEY公钥。

基于国产CPU、操作系统和数据库的KEY用户认证登录流程

1、当用户执行KEY用户认证登录时，应用系统web前端通过浏览器插件方式调用KEY交互程序，弹出KEY验证提示框，提示用户输入KEY的PIN码进行验证，若验证成功，执行步骤2，否则提示KEY的PING码验证失败。

2、PIN验证通过后，由后台KEY认证服务随机生成一段认证信息，经应用系统服务程序，传递给应用系统WEB前端。

3、应用系统WEB前端将认证信息传递给KEY交互程序并调用KEY交互程序，对认证信息进行加密。

4、KEY交互程序获取KEY签名私钥、KEY签名算法、KEY标识，通过KEY签名私钥，使用KEY签名算法，对认证信息进行加密，和KEY标识一起打包，由应用系统WEB前端，传递给后台应用系统服务程序。

5、应用系统服务程序获取KEY标识和加密后的认证信息后，首先查询是否存在该KEY标识对应的登录用户，若存在将KEY标识和加密的认证信息传递给KEY认证服务程序进行KEY认证；否则通过应用系统WEB前端，提供用户当前KEY未进行登记。

6、，KEY认证服务程序接受到KEY标识和加密的认证信息后，使用KEY标识对应的KEY签名算法、KEY公钥对加密的认证信息进行解密，解密后的信息与初始的认证信息进行对比，将对比结果传递给应用系统服务程序。

7、应用系统服务程序接收到对比结果后，若信息对比一致，则获取KEY标识对应的系统用户，完成用户的自动登录，否则，通过应用系统WEB前端，提示用户KEY验证失败，请插入正确KEY。

提供了可独立运行的Key交互服务和Key认证两大服务，提供了完整的从Key PIN码校验、Key信息采集、Key加解密以及Key认证的业务流程所需的丰富的业务接口，为基于国产CPU、操作系统环境下的Key认证提供了一套完整的解决方案，部署灵活，可适用于多种场景。

以上所述仅为本发明的较佳实施例，仅用于说明本发明的技术方案，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等，均包含在本发明的保护范围内。

Claims (10)

1.基于国产CPU、操作系统和数据库的KEY认证方法，其特征在于，

认证终端依据KEY中的证书信息加密认证服务器返回的认证信息，并传递给KEY认证服务，KEY认证服务依据认证终端传递的用户标识获取预存的KEY信息，解密加密后的认证信息，并与认证服务器中预存的认证信息进行比对，比对一致则认证通过。

2.根据权利要求1所述的方法，其特征在于，

认证终端通过驱动调用KEY接口，KEY检查自身当前状态是否为验证已通过，是则返回用户标识、签名私钥和签名算法，认证终端使用所述签名私钥根据所述签名算法对待签名数据进行运算生成登录认证系统所需的凭据信息，否则结束操作。

3.根据权利要求2所述的方法，其特征在于，

认证终端依据用户标识从认证服务器获取唯一的认证信息，用于KEY认证服务解密对比，认证终端依据KEY中的证书私钥及加密算法加密认证服务器返回的认证信息，并将KEY中的用户标识及加密后的认证信息一同传递到KEY认证服务。

4.根据权利要求3所述的方法，其特征在于，

KEY认证服务需要依据认证终端传递的用户标识从数据库中获取预存的KEY信息，用于被加密的认证信息解密；KEY认证服务对比通过后，需从认证服务器获取用户标识对应的登录信息，并返回给认证终端，用于认证终端登录。

5.根据权利要求4所述的方法，其特征在于，

具体工作步骤如下：

1)认证时首先调用Key交互程序完成KEY的PIN验证，获取KEY标识、KEY公钥、KEY签名算法，传递给应用系统服务程序和认证程序，应用系统服务程序建立KEY标识和登录用户的映射关系保存到数据库中，KEY认证服务建立KEY对应的初始化认证信息；

2)登录时，调用KEY交互程序完成KEY的PIN验证，获取KEY标识、KEY签名算法、KEY私钥，并对后台KEY认证服务随便生成的认证信息进行加密，传递给后台应用系统服务程序和KEY认证服务，KEY认证服务由KEY标识获取对应的KEY公钥，KEY签名算法，对加密后的认证信息进行解密，与初始的认证信息进行比对，若比一致则确定KEY为真，若KEY为真应用程序获取KEY标识对应的用户，并完成该用户的自动登录。

6.基于国产CPU、操作系统和数据库的KEY认证系统，其特征在于，

主要由运行在基于国产CPU和OS的主机上的KEY交互部分、Web前端及运行在基于国产CPU和OS的服务器上的应用系统服务部分、KEY认证部分组成；

其中，

KEY交互部分运行在基于国产CPU和OS的主机上，主要通过KEY提供的API接口，与KEY进行交互；

应用系统WEB前端，通过调用KEY交互部分，完成KEY的PIN验证，获取KEY的私钥、公钥、签名算法、KEY标识信息；认证时，KEY交互部分通过KEY签名算法、KEY私钥，实现对认证信息的加密；

Web前端运行在基于国产CPU和OS的主机上，接受用户的操作指令，实现KEY交互部分和应用系统服务部分的信息传递。

应用系统服务部分运行在基于国产CPU和OS的服务器上，实现KEY与指定用户的绑定及KEY用户登录：KEY登记时实现了KEY和用户的一一映射，并将映射关系存储到数据库中；KEY认证登录时，调用KEY认证服务实现KEY的真伪验证，通过获取的KEY标识，获取登录用户信息，实现用户的自动登录；

KEY认证部分运行在基于国产CPU和OS的服务器上，实现KEY的注册及真伪验证。

7.根据权利要求6所述的系统，其特征在于，

实现KEY的注册及真伪验证，即

KEY登记时，通过KEY标识对KEY进行注册，保存KEY签名算法、签名公钥；

KEY认证登录时，生成认证信息，并对加密的认证信息进行解密，完成信息比对，实现KEY真伪验证。

8.根据权利要求7所述的系统，其特征在于，

实现KEY登记时，首先应用系统web前端调用KEY交互程序，弹出KEY验证提示框，提示用户输入KEY的PIN码进行验证，PIN验证成功后，获取签名公钥、签名算法及KEY标识，并将签名公钥、签名算法、KEY标识信息打包，通过网络传递给应用系统服务程序，应用系统服务程序获取签名公钥、签名算法、KEY标识信息后，建立登记用户和Key标识的映射关系，并保存到数据库中，并将KEY标识、签名公钥和签名算法信息传递给KEY认证服务，完成相应KEY注册及KEY信息初始化。

9.根据权利要求8所述的系统，其特征在于，

实现KEY认证登录时，首先完成KEY的PIN码验证，其次对KEY进行真伪鉴别，确定KEY为真之后，根据获取的KEY标识，实现指定用户的应用系统安全登录；

KEY认证服务部分随机生成一段认证信息，经应用程序传递给KEY交互部分，KEY交互部分完成PIN验证后，获取KEY的签名标识、签名算法、签名私钥信息，通过KEY的签名算法、签名私钥对认证信息进行加密，将加密后的信息与Key标识一起打包，由应用系统WEB前端传递给应用系统服务程序；应用系统服务程序接收到信息后将加密的认证信息和Key标识传递给KEY认证部分，KEY认证部分通过KEY标识获取KEY的公钥和签名算法，对认证信息进行加密，并与初试的认证信息进行比对，若比对一致，验证KEY为真，应用系统通过KEY标识获取对应的指定用户，实现用户的安全登录。

10.根据权利要求9所述的系统，其特征在于，

认证登录流程如下：

1)、当用户执行KEY用户认证登录时，应用系统web前端通过浏览器插件方式调用KEY交互部分，弹出KEY验证提示框，提示用户输入KEY的PIN码进行验证，若验证成功，执行步骤2)，否则提示KEY的PING码验证失败；

2)、PIN验证通过后，由后台KEY认证部分随机生成一段认证信息，经应用系统服务部分，传递给应用系统WEB前端。

3)、应用系统WEB前端将认证信息传递给KEY交互部分并调用KEY交互部分，对认证信息进行加密；

4)、KEY交互部分获取KEY签名私钥、KEY签名算法、KEY标识，通过KEY签名私钥，使用KEY签名算法，对认证信息进行加密，和KEY标识一起打包，由应用系统WEB前端，传递给后台应用系统服务部分；

5)、应用系统服务程序获取KEY标识和加密后的认证信息后，首先查询是否存在该KEY标识对应的登录用户，若存在将KEY标识和加密的认证信息传递给KEY认证服务程序进行KEY认证；否则通过应用系统WEB前端，提供用户当前KEY未进行登记；

6)、KEY认证部分接受到KEY标识和加密的认证信息后，使用KEY标识对应的KEY签名算法、KEY公钥对加密的认证信息进行解密，解密后的信息与初始的认证信息进行对比，将对比结果传递给应用系统服务程序；

7)、应用系统服务部分接收到对比结果后，若信息对比一致，则获取KEY标识对应的系统用户，完成用户的自动登录，否则，通过应用系统WEB前端，提示用户KEY验证失败，请插入正确KEY。