CN110704834A - 一种使用密码学的数字证书认证方法 - Google Patents
一种使用密码学的数字证书认证方法 Download PDFInfo
- Publication number
- CN110704834A CN110704834A CN201910985849.1A CN201910985849A CN110704834A CN 110704834 A CN110704834 A CN 110704834A CN 201910985849 A CN201910985849 A CN 201910985849A CN 110704834 A CN110704834 A CN 110704834A
- Authority
- CN
- China
- Prior art keywords
- digital certificate
- access equipment
- password
- cryptography
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及数字证书技术领域,具体为一种使用密码学的数字证书认证方法,包括以下步骤:将接入设备与登录设备连接,登录设备与服务器连接,服务器中预存有各个用户的密码数据;所述接入设备接收所述登录用户提交的密码学操作请求;所述密码学操作包括在接入设备中获取当前的时间,获得当前时间所位于的时间段,调取接入设备中与当前时间段对应的密码矩阵,密码矩阵会因时间的变化而进行变化,即时登陆时受到木马病毒的攻击,木马病毒也只能窃取某个时间段的密码矩阵,由于密码矩阵是持续变换的,从而难以与服务器中的密码匹配,进而无法身份信息和数据,安全性能更高,能够满足高安全性的敏感服务器的使用。
Description
技术领域
本发明涉及数字证书技术领域,具体为一种使用密码学的数字证书认证方法。
背景技术
随着互联网及业务系统应用的逐步深入,电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了某些敏感或有价值的数据被滥用的风险。如何防范风险,增强网上安全问题显得尤为重要。PKI(Public KeyInfrastructure,公钥基础设施),是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,有效保证用户的身份安全和数据安全。然而数字证书实质上表现为带有用户信息和密钥的一个数据文件,如何保护数字证书本身又成为PKI体系中最薄弱的环节,目前一般的做法是采用USB Key来保存数字证书和用户私钥。每个USB Key都带有PIN(Personal Identification Number,个人识别密码)码保护,这样USB Key的硬件和PIN码构成了可以使用证书的两个必要因子,即双因素认证。
USB Key是一种USB接口的硬件设备,主体是一块安全芯片,私钥和数字证书存储在此安全芯片硬件装置中。但是,现有的USB Key存在着一些安全性的缺陷,现有的私钥一旦被木马病毒窃取后,就能盗取身份信息和数据,威胁网络用户的身份安全和数据安全。
发明内容
为了提高网络用户的身份安全和数据安全,本发明提供一种使用密码学的数字证书认证方法。
本发明解决其技术问题采用以下技术方案来实现:
本发明所述的一种使用密码学的数字证书认证方法,包括以下步骤:
将接入设备与登录设备连接,登录设备与服务器连接,服务器中预存有各个用户的密码数据;
所述接入设备接收所述登录用户提交的密码学操作请求;
所述密码学操作包括在接入设备中获取当前的时间,获得当前时间所位于的时间段,调取接入设备中与当前时间段对应的密码矩阵;
所述登录设备将接入设备中所述密码矩阵与所述服务器中的所述密码数据进行对比确认;
当对比成功后,所述接入设备将预存的数字证书发送到所述登录设备,进行数字证书的认证。
优选的,所述接入设备在接收所述登录用户提交的密码学操作请求前,还包括以下步骤:
确认当前使用者是否有权限启动接入设备,确认方式为包括但不限于密码输入、指纹识别、虹膜识别或面部识别。
优选的,所述接入设备中预存有多个用户的数字证书,不同用户的数字证书间互补干涉,数字证书只能通过与该用户对应的确认方式调取。
优选的,在同一预先设定的时间阈内所述密码矩阵不变,在当前的时间从一个时间阈进入另一个时间阈后,密码矩阵会更换为与当前时间阈对应的密码矩阵。
优选的,所述接入设备在接收所述登录用户提交的密码学操作请求前,还包括以下步骤:
在所述接入设备中预存各个用户的数字证书、私钥和用于对PIN码进行验证的验证码进行预存:其中,所述数字证书、所述私钥和所述验证码一一对应。
优选的,所述服务器中预存有所有时间阈中的所述密码矩阵。
与现有技术相比,本发明的有益效果是:本发明所述的一种使用密码学的数字证书认证方法,基于数字证书的密码学操作方法采用接入设备集中存储和管理用户数字证书,可以批量更新证书,不存在证书丢失的问题,密码矩阵会因时间的变化而进行变化,即时登陆时受到木马病毒的攻击,木马病毒也只能窃取某个时间段的密码矩阵,由于密码矩阵是持续变换的,从而难以与服务器中的密码匹配,进而无法身份信息和数据,安全性能更高,能够满足高安全性的敏感服务器的使用。
附图说明
图1为本发明的方法流程示意图。
具体实施方式
下面将结合本发明实施方式中的附图,对本发明实施方式中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施方式,而不是全部的实施方式。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,本发明提供一种较佳的实施例:
一种使用密码学的数字证书认证方法,包括以下步骤:
预先在服务器中所有时间阈中的密码矩阵;
预先在接入设备中预存多个用户的数字证书、私钥和用于对PIN码进行验证的验证码:其中,数字证书、私钥和验证码一一对应,接入设备可以基于USBKey等具有能够运算和计时的安全芯片的硬件设备,主要分为四个模块:证书管理模块,密码学计算模块、用户身份验证模块和网络管理模块;证书管理模块保管局域网所有用户的数字证书、私钥和用于对PIN码进行验证的验证码,密码学计算模块根据时间对密码矩阵进行更换,用户身份验证模块用于确认当前使用者是否有权限启动接入设备,包括但不限于密码输入组件、指纹识别组件、虹膜识别组件或面部识别组件,网络管理模块实现网络连接的功能。
将接入设备与登录设备连接,登录设备与服务器连接,服务器中预存有各个用户的密码数据;登录设备可采用虚拟CSP代替Windows内置的CSP程序。虚拟CSP与IE之间采用Microsoft提供的加密应用程序接口(即CryptographyAPI,CryptoAPI),这样IE不需要做任何修改,即可安全的通过CryptoAPI调用虚拟CSP,虚拟CSP与接入设备之间建立安全通道,所有的密码学操作由虚拟CSP发送至接入设备完成;虚拟CSP和接入设备之间可预先建立好安全通道。IE将通过加密应用编程接口(即CryptoAPI)函数枚举到虚拟CSP,并通过加密系统编程接口(即CryptoAPI)与虚拟CSP通信。
确认当前使用者是否有权限启动接入设备,确认方式为包括但不限于密码输入、指纹识别、虹膜识别或面部识别,接入设备中预存有多个用户的数字证书,不同用户的数字证书间互补干涉,数字证书只能通过与该用户对应的确认方式调取,通过确认方式,每个用户只能调取与自己匹配的数字证书、私钥和验证码;
接入设备接收登录用户提交的密码学操作请求;密码学操作包括在接入设备中获取当前的时间,获得当前时间所位于的时间段,调取接入设备中与当前时间段对应的密码矩阵;在同一预先设定的时间阈内密码矩阵不变,在当前的时间从一个时间阈进入另一个时间阈后,密码矩阵会更换为与当前时间阈对应的密码矩阵,密码矩阵会因时间的变化而进行变化,即时登陆时受到木马病毒的攻击,木马病毒也只能窃取某个时间段的密码矩阵,由于密码矩阵是持续变换的,从而难以与服务器中的密码匹配,进而无法身份信息和数据,安全性能更高;
所述登录设备将接入设备中密码矩阵与服务器中的密码数据进行对比确认;
当对比成功后,接入设备将预存的数字证书发送到登录设备,进行数字证书的认证。
虽然在上文中已经参考实施例对本发明进行了描述,然而在不脱离本发明的范围的情况下,可以对其进行各种改进并且可以用等效物替换其中的部件。尤其是,只要不存在结构冲突,本发明所披露的实施例中的各项特征均可通过任意方式相互结合起来使用,在本说明书中未对这些组合的情况进行穷举性的描述仅仅是出于省略篇幅和节约资源的考虑。因此,本发明并不局限于文中公开的特定实施例,而是包括落入权利要求的范围内的所有技术方案。
Claims (6)
1.一种使用密码学的数字证书认证方法,其特征在于,包括以下步骤:
将接入设备与登录设备连接,登录设备与服务器连接,服务器中预存有各个用户的密码数据;
所述接入设备接收所述登录用户提交的密码学操作请求;
所述密码学操作包括在接入设备中获取当前的时间,获得当前时间所位于的时间段,调取接入设备中与当前时间段对应的密码矩阵;
所述登录设备将接入设备中所述密码矩阵与所述服务器中的所述密码数据进行对比确认;
当对比成功后,所述接入设备将预存的数字证书发送到所述登录设备,进行数字证书的认证。
2.根据权利要求1所述的一种使用密码学的数字证书认证方法,其特征在于:所述接入设备在接收所述登录用户提交的密码学操作请求前,还包括以下步骤:
确认当前使用者是否有权限启动接入设备,确认方式为包括但不限于密码输入、指纹识别、虹膜识别或面部识别。
3.根据权利要求2所述的一种使用密码学的数字证书认证方法,其特征在于:所述接入设备中预存有多个用户的数字证书,不同用户的数字证书间互补干涉,数字证书只能通过与该用户对应的确认方式调取。
4.根据权利要求1所述的一种使用密码学的数字证书认证方法,其特征在于:在同一预先设定的时间阈内所述密码矩阵不变,在当前的时间从一个时间阈进入另一个时间阈后,密码矩阵会更换为与当前时间阈对应的密码矩阵。
5.根据权利要求1所述的一种使用密码学的数字证书认证方法,其特征在于:所述接入设备在接收所述登录用户提交的密码学操作请求前,还包括以下步骤:
在所述接入设备中预存各个用户的数字证书、私钥和用于对PIN码进行验证的验证码进行预存:其中,所述数字证书、所述私钥和所述验证码一一对应。
6.根据权利要求4所述的一种使用密码学的数字证书认证方法,其特征在于:所述服务器中预存有所有时间阈中的所述密码矩阵。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910985849.1A CN110704834A (zh) | 2019-10-17 | 2019-10-17 | 一种使用密码学的数字证书认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910985849.1A CN110704834A (zh) | 2019-10-17 | 2019-10-17 | 一种使用密码学的数字证书认证方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110704834A true CN110704834A (zh) | 2020-01-17 |
Family
ID=69201082
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910985849.1A Pending CN110704834A (zh) | 2019-10-17 | 2019-10-17 | 一种使用密码学的数字证书认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110704834A (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101051908A (zh) * | 2007-05-21 | 2007-10-10 | 北京飞天诚信科技有限公司 | 动态密码认证系统及方法 |
CN101420302A (zh) * | 2008-12-01 | 2009-04-29 | 成都市华为赛门铁克科技有限公司 | 安全认证方法和设备 |
CN103152344A (zh) * | 2013-03-06 | 2013-06-12 | 广东数字证书认证中心有限公司 | 基于数字证书的密码学操作方法及装置 |
CN105743648A (zh) * | 2014-12-09 | 2016-07-06 | 航天信息股份有限公司 | 一种应用于身份认证的指纹usbkey、指纹中心服务器及系统与方法 |
CN109039595A (zh) * | 2018-06-07 | 2018-12-18 | 深圳市叮咚云智能家居有限公司 | 一种降低物联网终端临时密码下发时延的方法、装置和服务器 |
CN109587123A (zh) * | 2018-11-21 | 2019-04-05 | 许继集团有限公司 | 双因子验证方法及认证服务器、生物特征验证服务器 |
CN109995697A (zh) * | 2017-12-29 | 2019-07-09 | 广州微言科技有限公司 | 一种使用密码学的数字证书认证方法 |
-
2019
- 2019-10-17 CN CN201910985849.1A patent/CN110704834A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101051908A (zh) * | 2007-05-21 | 2007-10-10 | 北京飞天诚信科技有限公司 | 动态密码认证系统及方法 |
CN101420302A (zh) * | 2008-12-01 | 2009-04-29 | 成都市华为赛门铁克科技有限公司 | 安全认证方法和设备 |
CN103152344A (zh) * | 2013-03-06 | 2013-06-12 | 广东数字证书认证中心有限公司 | 基于数字证书的密码学操作方法及装置 |
CN105743648A (zh) * | 2014-12-09 | 2016-07-06 | 航天信息股份有限公司 | 一种应用于身份认证的指纹usbkey、指纹中心服务器及系统与方法 |
CN109995697A (zh) * | 2017-12-29 | 2019-07-09 | 广州微言科技有限公司 | 一种使用密码学的数字证书认证方法 |
CN109039595A (zh) * | 2018-06-07 | 2018-12-18 | 深圳市叮咚云智能家居有限公司 | 一种降低物联网终端临时密码下发时延的方法、装置和服务器 |
CN109587123A (zh) * | 2018-11-21 | 2019-04-05 | 许继集团有限公司 | 双因子验证方法及认证服务器、生物特征验证服务器 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20190281028A1 (en) | System and method for decentralized authentication using a distributed transaction-based state machine | |
US20190364032A1 (en) | Method for carrying out a two-factor authentication | |
US20180082050A1 (en) | Method and a system for secure login to a computer, computer network, and computer website using biometrics and a mobile computing wireless electronic communication device | |
US9160732B2 (en) | System and methods for online authentication | |
US8689290B2 (en) | System and method for securing a credential via user and server verification | |
US8769289B1 (en) | Authentication of a user accessing a protected resource using multi-channel protocol | |
EP1914658B1 (en) | Identity controlled data center | |
CN111512608B (zh) | 基于可信执行环境的认证协议 | |
US9055061B2 (en) | Process of authentication for an access to a web site | |
US20120204245A1 (en) | Secure authentication using one-time passwords | |
CN106453361B (zh) | 一种网络信息的安全保护方法及系统 | |
CN111756533A (zh) | 用于安全密码生成的系统、方法和存储介质 | |
CN107733636B (zh) | 认证方法以及认证系统 | |
TWM623435U (zh) | 使用多安全層級驗證客戶身分與交易服務之系統 | |
EP3513539B1 (en) | User sign-in and authentication without passwords | |
US20090220075A1 (en) | Multifactor authentication system and methodology | |
US8806216B2 (en) | Implementation process for the use of cryptographic data of a user stored in a data base | |
JP5186648B2 (ja) | 安全なオンライン取引を容易にするシステム及び方法 | |
TW202207667A (zh) | 通訊系統中改善安全性之認證及驗證方法 | |
CN106936760A (zh) | 一种登录Openstack云系统虚拟机的装置和方法 | |
CN111259362B (zh) | 一种硬件数字证书载体的身份鉴别方法 | |
CN110704834A (zh) | 一种使用密码学的数字证书认证方法 | |
Wala'a et al. | Modified USB Security Token for User Authentication. | |
EP2860935B1 (en) | A computer implemented method to prevent attacks against authorization systems and computer programs products thereof | |
Kumari et al. | Hacking resistance protocol for securing passwords using personal device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200117 |
|
RJ01 | Rejection of invention patent application after publication |