CN110610075A - 一种双因子证书管理系统及方法 - Google Patents

一种双因子证书管理系统及方法 Download PDF

Info

Publication number
CN110610075A
CN110610075A CN201910778919.6A CN201910778919A CN110610075A CN 110610075 A CN110610075 A CN 110610075A CN 201910778919 A CN201910778919 A CN 201910778919A CN 110610075 A CN110610075 A CN 110610075A
Authority
CN
China
Prior art keywords
certificate
service
factor
micro
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910778919.6A
Other languages
English (en)
Inventor
李俊昌
徐峥
霍文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Wave Intelligent Technology Co Ltd
Original Assignee
Suzhou Wave Intelligent Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Wave Intelligent Technology Co Ltd filed Critical Suzhou Wave Intelligent Technology Co Ltd
Priority to CN201910778919.6A priority Critical patent/CN110610075A/zh
Publication of CN110610075A publication Critical patent/CN110610075A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种双因子证书管理系统,包括微服务服务器,所述微服务服务器包括接口模块、参数校验模块、证书生成模块和存储模块;所述接口模块用于对接应用服务器;所述参数校验模块用于校验应用服务器传入参数;所述证书生成模块用于创建和导入客户端证书;所述存储模块用于存储用户信息和客户端证书。本发明还公开了一种利用上述双因子证书管理系统的方法,包括:应用服务对接双因子证书管理微服务;系统管理员登录应用服务;客户端证书生成;客户端证书下载;客户端证书安装。本发明通过上述系统及方法,增加了客户端证书管理的便捷性,对操作人员非常友好,大大降低了技术要求,降低了证书管理的难度。

Description

一种双因子证书管理系统及方法
技术领域
本发明涉及网络安全领域,具体涉及一种双因子证书管理系统及方法。
背景技术
随着科技的发展,网络上出现了越来越多的网站,大多数的网站都需要进行用户登录操作,但是,很多网站还停留在用简单的用户名+密码的方式进行登录,非常不安全。在这种情况下,需要一种安全的方式对用户登录进行保护,采用用户名+密码与证书双因子认证的形式,即使用户的用户名跟密码被窃取,但是没有对应的证书的话,仍无法进行登录,提高了用户登录的安全性。
而目前客户端证书的生成和管理方式不够便捷,一般将证书管理集成在应用服务中,管理非常困难。而Spring boot微服务是由Pivotal团队提供的Java平台上的全新框架,其设计目的是用来简化新Spring应用的初始搭建以及开发过程。该框架使用了特定的方式来进行配置,不再需要定义样板化的配置,为快速应用开发领域提供了一系列的解决方案。
发明内容
为了解决上述问题,本发明提供了一种双因子证书管理系统,通过微服务方式实现双因子证书管理,增加证书管理便捷性,降低证书管理难度。
为实现上述目的,本发明采用以下技术方案:
一种双因子证书管理系统,包括微服务服务器,所述微服务服务器包括接口模块、参数校验模块、证书生成模块和存储模块;
所述接口模块用于对接应用服务器;
所述参数校验模块用于校验应用服务器传入参数;
所述证书生成模块用于创建和导入客户端证书;
所述存储模块用于存储用户信息和客户端证书。
进一步地,所述接口模块采用restful API接口,包括客户端证书生成接口、客户端证书下载接口和客户端证书删除接口。
进一步地,所述证书生成模块封装keytool命令。
进一步地,所述存储模块采用redis存储。
本发明还提供了一种双因子证书管理方法,利用上述双因子证书管理系统,具体步骤如下,
应用服务对接双因子证书管理微服务;
系统管理员登录应用服务;
客户端证书生成:系统管理员新增用户,调用双因子证书管理微服务,生成用户客户端证书;
客户端证书下载:系统管理员调用双因子证书管理微服务,下载客户端证书,发送给用户;
客户端证书安装:用户安装客户端证书。
进一步地,还包括:
客户端证书删除:系统管理员删除用户,调用双因子证书生成微服务,删除用户客户端证书。
进一步地,客户端证书生成的具体步骤包括:
应用服务保存新增用户信息,调用双因子证书管理微服务的证书生成接口;
双因子证书管理微服务校验应用服务传入参数,如果传入参数缺少用户名或密码,提示应用服务缺少参数;
微服务通过redis进行用户名校验,如果用户名已经存在,提示应用服务用户已存在;
校验通过,客户端证书生成,提示客户端证书生成成功。
进一步地,客户端证书下载的具体步骤包括:
应用服务调用双因子证书管理微服务的证书下载接口;
双因子证书管理微服务校验应用服务传入参数,如果传入参数缺少用户名,提示应用服务缺少参数;
根据传入用户名查找证书,如果微服务没有该用户证书,提示应用服务证书不存在;
双因子证书管理微服务向应用服务返回查找到的证书。
进一步地,客户端证书删除的具体步骤包括:
应用服务调用双因子证书管理微服务的证书删除接口;
双因子证书管理微服务校验应用服务传入参数,如果传入参数缺少用户名,提示应用服务缺少参数;
微服务进行redis中用户名删除;
微服务进行证书删除;
提示删除成功。
进一步地,应用服务与微服务之间的数据传输采用非对称加密。
本发明的有益效果是:
本发明通过提供一种双因子证书管理系统及方法,增加了客户端证书管理的便捷性,降低了证书管理的难度。
通过java将keytool命令进行封装,不需要使用者掌握keytool工具的使用方法,也不需要在命令行界面进行操作,只需将使用的应用服务端对接管理系统相应的接口,即可进行web端的操作,对操作人员非常友好,大大降低了技术要求,无需进行任何命令行的编写即可实现证书的管理。
通过证书管理微服务的部署,使客户端证书的生成和管理不需要对应用服务器修改任何配置,只需要修改进行接口对接的业务即可实现可视化的证书管理操作。同时,将所有证书存储在微服务服务器上,可以方便实现对证书的统一管理。
附图说明
图1是本发明实施例双因子证书管理方法流程图;
图2是本发明实施例客户端证书生成流程图;
图3是本发明实施例客户端证书下载流程图;
图4是本发明实施例客户端证书删除流程图。
具体实施方式
为能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。
本发明提供了一种双因子证书管理系统,包括微服务服务器,所述微服务服务器包括接口模块、参数校验模块、证书生成模块和存储模块;
所述接口模块用于对接应用服务器;
所述参数校验模块用于校验应用服务器传入参数;
所述证书生成模块用于创建和导入客户端证书;
所述存储模块用于存储用户信息和客户端证书。
本实施例的双因子证书管理系统基于Spring Boot微服务框架开发,所述接口模块对外提供restfulAPI接口,包括客户端证书生成接口、客户端证书下载接口和客户端证书删除接口。
证书生成模块封装keytool命令,用于创建证书或者把证书从其它文件中导入到Java自己的TrustStore文件中。主要封装的命令行包括:
1、生成根证书:
keytool-genkey-validity 3650-keysize 2048-alias owner-keyalg RSA-keystore keystore.jks-dname
CN=(owner),OU=(langchao_ca),O=(SS),L=(SD),ST=(JN),CN=(CN)-storepass 123456-v
2、生成客户端证书:
(1)生成客户端证书
keytool-genkey-validity 835-keysize 2048-alias user1-keyalg RSA-storetype PKCS12-keystore user1.p12-dname CN=(user1),OU=(langchaoCA),O=(langchao),L=(SD),ST=(JN),C=(CN)-storepass 123456–v
(2)生成客户端签名请求
keytool-export-alias user1-keystore user1.p12–storetype PKCS12-storepass 123456–rfc–file user1.cer
(3)客户端公钥导入到客户端证书中
keytool-import-noprompt-trustcacerts-v-alias user1-file user1.cer-keystore user1.p12-storepass 123456
所述存储模块采用redis存储系统进行存储。数据缓存在内存中,并且会周期性的把更新的数据写入磁盘或者把修改操作写入追加的记录文件,并且在此基础上实现了master-slave(主从)同步。
本实施例双因子证书管理系统的管理方法流程如图1所示:
应用服务对接双因子证书管理微服务;
系统管理员登录应用服务;
客户端证书生成:系统管理员新增用户,调用双因子证书管理微服务,生成用户客户端证书;
客户端证书下载:系统管理员调用双因子证书管理微服务,下载客户端证书,发送给用户;
客户端证书安装:用户安装客户端证书。
客户端证书安装完成后,用户即可在登录应用服务的时候,进行证书认证。
同时,本实施例的双因子证书管理方法,还具有客户端证书删除功能,管理员在删除用户的时候,调用双因子证书生成微服务,删除用户客户端证书。
如图2所示,本实施例客户端证书生成的具体步骤包括:
应用服务系统管理员登录应用服务;
系统管理员进入用户管理界面,点击“用户新增”进行用户新增;
系统管理员点击“保存用户”,保存新增用户信息,应用服务调用双因子证书管理微服务的证书生成接口;
双因子证书管理微服务校验应用服务传入参数,如果传入参数缺少用户名或密码,提示应用服务缺少参数;
微服务通过redis进行用户名校验,如果用户名已经存在,提示应用服务用户已存在;
校验通过后,客户端证书生成,提示客户端证书生成成功。
如图3所示,本实施例客户端证书下载的具体步骤包括:
应用服务系统管理员登录应用服务;
系统管理员进入用户管理界面,点击“证书下载”进行证书下载;
应用服务调用双因子证书管理微服务的证书下载接口;
双因子证书管理微服务校验应用服务传入参数,如果传入参数缺少用户名,提示应用服务缺少参数;
根据传入用户名查找证书,如果微服务没有该用户证书,提示应用服务证书不存在;
校验通过并查找到后,双因子证书管理微服务向应用服务返回查找到的证书。
如图4所示,本实施例客户端证书删除的具体步骤包括:
应用服务系统管理员登录应用服务;
系统管理员进入用户管理界面,点击“用户删除”进行用户删除;
应用服务调用双因子证书管理微服务的证书删除接口;
双因子证书管理微服务校验应用服务传入参数,如果传入参数缺少用户名,提示应用服务缺少参数;
微服务进行redis中用户名删除;
微服务进行证书删除;
提示删除成功。
本实施例的应用服务与微服务之间的数据传输采用非对称加密或其他加密形式,确保数据的安全可靠性。
上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制。对于所属领域的技术人员来说,在上述说明的基础上还可以做出其它不同形式的修改或变形。这里无需也无法对所有的实施方式予以穷举。在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。

Claims (10)

1.一种双因子证书管理系统,其特征是,包括微服务服务器,所述微服务服务器包括接口模块、参数校验模块、证书生成模块和存储模块;
所述接口模块用于对接应用服务器;
所述参数校验模块用于校验应用服务器传入参数;
所述证书生成模块用于创建和导入客户端证书;
所述存储模块用于存储用户信息和客户端证书。
2.根据权利要求1所述的双因子证书管理系统,其特征是,所述接口模块采用restfulAPI接口,包括客户端证书生成接口、客户端证书下载接口和客户端证书删除接口。
3.根据权利要求1所述的双因子证书管理系统,其特征是,所述证书生成模块封装keytool命令。
4.根据权利要求1所述的双因子证书管理系统,其特征是,所述存储模块采用redis存储。
5.一种双因子证书管理方法,利用权利要求1-4所述的双因子证书管理系统,其特征是,
应用服务对接双因子证书管理微服务;
系统管理员登录应用服务;
客户端证书生成:系统管理员新增用户,调用双因子证书管理微服务,生成用户客户端证书;
客户端证书下载:系统管理员调用双因子证书管理微服务,下载客户端证书,发送给用户;
客户端证书安装:用户安装客户端证书。
6.根据权利要求5所述的双因子证书管理方法,其特征是,还包括:
客户端证书删除:系统管理员删除用户,调用双因子证书生成微服务,删除用户客户端证书。
7.根据权利要求5所述的双因子证书管理方法,其特征是,客户端证书生成的具体步骤包括:
应用服务保存新增用户信息,调用双因子证书管理微服务的证书生成接口;
双因子证书管理微服务校验应用服务传入参数,如果传入参数缺少用户名或密码,提示应用服务缺少参数;
微服务通过redis进行用户名校验,如果用户名已经存在,提示应用服务用户已存在;
校验通过,客户端证书生成,提示客户端证书生成成功。
8.根据权利要求5所述的双因子证书管理方法,其特征是,客户端证书下载的具体步骤包括:
应用服务调用双因子证书管理微服务的证书下载接口;
双因子证书管理微服务校验应用服务传入参数,如果传入参数缺少用户名,提示应用服务缺少参数;
根据传入用户名查找证书,如果微服务没有该用户证书,提示应用服务证书不存在;
双因子证书管理微服务向应用服务返回查找到的证书。
9.根据权利要求6所述的双因子证书管理方法,其特征是,客户端证书删除的具体步骤包括:
应用服务调用双因子证书管理微服务的证书删除接口;
双因子证书管理微服务校验应用服务传入参数,如果传入参数缺少用户名,提示应用服务缺少参数;
微服务进行redis中用户名删除;
微服务进行证书删除;
提示删除成功。
10.根据权利要求5-9所述的任意一种双因子证书管理方法,其特征是,应用服务与微服务之间的数据传输采用非对称加密。
CN201910778919.6A 2019-08-22 2019-08-22 一种双因子证书管理系统及方法 Pending CN110610075A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910778919.6A CN110610075A (zh) 2019-08-22 2019-08-22 一种双因子证书管理系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910778919.6A CN110610075A (zh) 2019-08-22 2019-08-22 一种双因子证书管理系统及方法

Publications (1)

Publication Number Publication Date
CN110610075A true CN110610075A (zh) 2019-12-24

Family

ID=68890867

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910778919.6A Pending CN110610075A (zh) 2019-08-22 2019-08-22 一种双因子证书管理系统及方法

Country Status (1)

Country Link
CN (1) CN110610075A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112468442A (zh) * 2020-10-28 2021-03-09 苏州浪潮智能科技有限公司 双因子认证方法、装置、计算机设备及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103326999A (zh) * 2012-12-14 2013-09-25 无锡华御信息技术有限公司 一种基于云服务的文件安全管理系统
CN103888422A (zh) * 2012-12-21 2014-06-25 华为技术有限公司 安全证书更新方法、客户端、服务器
CN105491062A (zh) * 2015-12-30 2016-04-13 北京神州绿盟信息安全科技股份有限公司 一种客户端软件保护方法、装置及客户端
CN106789004A (zh) * 2016-12-15 2017-05-31 国云科技股份有限公司 一种高效安全的网络通信方法
US20180249333A1 (en) * 2015-03-22 2018-08-30 Apple Inc. Methods and apparatus for user authentication and human intent verification in mobile devices
CN109995699A (zh) * 2017-12-29 2019-07-09 上海智显光电科技有限公司 多媒体设备管理系统及管理方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103326999A (zh) * 2012-12-14 2013-09-25 无锡华御信息技术有限公司 一种基于云服务的文件安全管理系统
CN103888422A (zh) * 2012-12-21 2014-06-25 华为技术有限公司 安全证书更新方法、客户端、服务器
US20180249333A1 (en) * 2015-03-22 2018-08-30 Apple Inc. Methods and apparatus for user authentication and human intent verification in mobile devices
CN105491062A (zh) * 2015-12-30 2016-04-13 北京神州绿盟信息安全科技股份有限公司 一种客户端软件保护方法、装置及客户端
CN106789004A (zh) * 2016-12-15 2017-05-31 国云科技股份有限公司 一种高效安全的网络通信方法
CN109995699A (zh) * 2017-12-29 2019-07-09 上海智显光电科技有限公司 多媒体设备管理系统及管理方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112468442A (zh) * 2020-10-28 2021-03-09 苏州浪潮智能科技有限公司 双因子认证方法、装置、计算机设备及存储介质
CN112468442B (zh) * 2020-10-28 2022-06-07 苏州浪潮智能科技有限公司 双因子认证方法、装置、计算机设备及存储介质

Similar Documents

Publication Publication Date Title
JP6437589B2 (ja) 企業アプリケーションストアの提供
TWI608361B (zh) 電子裝置、伺服器、通訊系統及通訊方法
US7987357B2 (en) Disabling remote logins without passwords
CN103067344B (zh) 在云环境中自动分发安全规则的非侵入性方法和设备
CN107122674B (zh) 一种应用于运维审计系统的oracle数据库的访问方法
KR101541591B1 (ko) Vdi 환경에서의 싱글 사인온 시스템 및 방법
JP2018518738A (ja) サーバまたは他の装置からのエントロピーに基づくクライアント装置の認証
CN101567893A (zh) 一种实现在web应用中文件上传的方法及系统
CN110602123A (zh) 一种基于微服务的单点证书认证系统及方法
US10757104B1 (en) System and method for authentication in a computing system
CN111064708B (zh) 授权认证方法、装置及电子设备
CN110276197A (zh) 基于共享黑名单撤销jwt令牌实时生效的方法
CN111953634B (zh) 终端设备的访问控制方法、装置、计算机设备和存储介质
CN110610075A (zh) 一种双因子证书管理系统及方法
CN116015767A (zh) 一种数据处理方法、装置、设备及介质
KR101839049B1 (ko) 서버단 세션 관리 방식 및 쿠키 정보 공유 방식을 병행 지원하는 싱글 사인온 인증 방법
CN114282267A (zh) 令牌生成方法、令牌验签方法、装置、设备及存储介质
CN114021111B (zh) 登录认证方法、装置、电子设备及计算机可读存储介质
CN114281805B (zh) 一种基于WhatsApp软件的数据迁移方法、装置及终端设备
CN104301285B (zh) 用于web系统的登录方法
CN106096435A (zh) 基于好友互助方式的智能手机敏感数据保护系统和方法
CN114024727B (zh) 一种跨域单点登录方法、系统、鉴权服务器和可读介质
CN110417754B (zh) 一种基于主机代理服务权限认证的方法及装置
KR20090123651A (ko) 이메일 데이터의 보안 방법 및 시스템
CN103001775A (zh) 一种基于企业服务总线的安全管理系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20191224

RJ01 Rejection of invention patent application after publication