CN111428213B - 双因子的认证设备及其方法和计算机可读存储介质 - Google Patents
双因子的认证设备及其方法和计算机可读存储介质 Download PDFInfo
- Publication number
- CN111428213B CN111428213B CN202010234994.9A CN202010234994A CN111428213B CN 111428213 B CN111428213 B CN 111428213B CN 202010234994 A CN202010234994 A CN 202010234994A CN 111428213 B CN111428213 B CN 111428213B
- Authority
- CN
- China
- Prior art keywords
- login
- target
- certificate
- private key
- factor authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 47
- 238000012795 verification Methods 0.000 claims abstract description 62
- VBMOHECZZWVLFJ-GXTUVTBFSA-N (2s)-2-[[(2s)-6-amino-2-[[(2s)-6-amino-2-[[(2s,3r)-2-[[(2s,3r)-2-[[(2s)-6-amino-2-[[(2s)-2-[[(2s)-6-amino-2-[[(2s)-2-[[(2s)-2-[[(2s)-2,6-diaminohexanoyl]amino]-5-(diaminomethylideneamino)pentanoyl]amino]propanoyl]amino]hexanoyl]amino]propanoyl]amino]hexan Chemical compound NC(N)=NCCC[C@@H](C(O)=O)NC(=O)[C@H](CCCCN)NC(=O)[C@H](CCCCN)NC(=O)[C@H]([C@@H](C)O)NC(=O)[C@H]([C@H](O)C)NC(=O)[C@H](CCCCN)NC(=O)[C@H](C)NC(=O)[C@H](CCCCN)NC(=O)[C@H](C)NC(=O)[C@H](CCCN=C(N)N)NC(=O)[C@@H](N)CCCCN VBMOHECZZWVLFJ-GXTUVTBFSA-N 0.000 claims abstract description 22
- 108010068904 lysyl-arginyl-alanyl-lysyl-alanyl-lysyl-threonyl-threonyl-lysyl-lysyl-arginine Proteins 0.000 claims abstract description 22
- 238000004891 communication Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000010276 construction Methods 0.000 description 2
- 230000009977 dual effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000013011 mating Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种双因子认证方法,双因子认证方法包括以下步骤:在检测到用户的账号登录平台,且UKey设备连接平台所在的终端时,在UKey设备中确定目标登录证书以及目标私钥,其中,UKey设备存储多种登录证书以及登录证书对应的私钥,UKey设备对应的厂商的硬件支持PKCS#11标准,且UKey设备中的登陆证书以及私钥通过支持PKCS#11标准的工具导入UKey设备;根据目标登录证书以及目标私钥对账号进行第一次登录验证;在第一次登录验证通过后,获取输入的密码,并根据密码对账号进行第二次登录验证;在第二次登录验证通过后,判定账号登录成功。本发明还公开一种双因子的认证设备和计算机可读存储介质。本发明双因子认证的验证成本较低。
Description
技术领域
本发明涉及登录验证技术领域,尤其涉及一种双因子的认证设备及其方法和计算机可读存储介质。
背景技术
登录认证方式包括单一密码认证的方式,也即采用密码进行登录认证。而单一密码认证存在密码泄露和被暴力破解密码的问题,也即单一密码认证存在较为严重的安全隐患。
双因子认证是指结合密码以及实物(信用卡、SMS手机、令牌或指纹等生物标志)两种条件对用户进行认证的方法。相对于单一密码认证,双因子认证大大提高了系统安全性。
但用于双因子认证的UKey设备只支持一个平台的证书以及私钥,使得UKey设备需要定制,导致双因子认证的验证成本较高。
发明内容
本发明的主要目的在于提供一种双因子的认证设备及其方法和计算机可读存储介质,旨在解决双因子认证的验证成本较高的问题。
为实现上述目的,本发明提供一种双因子认证方法,所述双因子认证方法包括以下步骤:
在检测到用户的账号登录平台,且UKey设备连接所述平台所在的终端时,在所述UKey设备中确定目标登录证书以及目标私钥,其中,所述UKey设备存储多种登录证书以及所述登录证书对应的私钥,所述UKey设备对应的厂商的硬件支持PKCS#11标准,且所述UKey设备中的登陆证书以及私钥通过支持PKCS#11标准的工具导入所述UKey设备;
根据所述目标登录证书以及所述目标私钥对所述账号进行第一次登录验证;
在第一次登录验证通过后,获取输入的密码,并根据所述密码对所述账号进行第二次登录验证;
在第二次登录验证通过后,判定所述账号登录成功。
在一实施例中,所述根据所述目标登录证书以及所述目标私钥对所述账号进行第一次登录验证的步骤包括:
判断所述目标登录证书是否为合法证书;
在所述目标登录证书为合法证书时,获取所述目标登录证书对应的公钥;
判断所述公钥与所述目标私钥是否为配对密钥,其中,在所述公钥与所述目标私钥为配对密钥时,判定第一次登录验证通过。
在一实施例中,所述判断所述公钥与所述目标私钥是否为配对密钥的步骤包括:
生成随机数,并对所述随机数进行哈希运算得到第一随机种子;
根据所述目标私钥对所述第一随机种子进行签名得到签名信息;
采用所述公钥对所述签名信息进行解密得到第二随机种子;
判断所述第一随机种子与所述第二随机种子是否一致,其中,在所述第一随机种子与所述第二随机种子一致时,判定所述公钥与所述目标私钥为配对密钥。
在一实施例中,所述判断所述目标登录证书是否为合法证书的步骤包括:
判断所述目标登录证书是否为受信用的授权认证中心签发的证书,其中,在所述目标登录证书为受信用的授权认证中心签发的证书时,判定所述目标登录证书为合法证书。
在一实施例中,所述判断所述目标登录证书是否为合法证书的步骤之后,还包括:
在所述目标登录证书为合法证书时,获取所述目标登录证书的预设位置对应的字段;
根据所述字段判断所述目标登录证书与所述账户对应的用户是否绑定;
在所述目标登录证书与所述账户对应的用户绑定时,执行所述获取所述目标登录证书对应的公钥的步骤。
在一实施例中,所述根据所述字段判断所述目标登录证书与所述账户对应的用户是否绑定的步骤之后,还包括:
在所述目标登录证书未与所述账户对应的用户绑定时,输出向UKey设备重新导入登录证书的建议信息。
在一实施例中,所述在所述认证设备中获取所述平台对应的目标登录证书以及目标私钥的步骤之前,还包括:
获取导入的登录证书以及私钥;
将各种所述登录证书以及所述登录证书对应的私钥写入至UKey设备中。
在一实施例中,所述在所述UKey设备中确定目标登录证书以及目标私钥的步骤包括:
确定所述平台对应的证书的类型;
在所述UKey设备中确定所述类型对应的登录证书以及所述登录证书对应的私钥,以作为目标登录证书以及目标私钥。
为实现上述目的,本发明还提供一种双因子的认证设备,所述双因子的认证设备包括存储器、处理器以及存储在所述存储器并可在所述处理器上运行的双因子的认证程序,所述双因子的认证程序被所述处理器执行时实现如上所述的双因子的认证方法的各个步骤。
为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有双因子的认证程序,所述双因子的认证程序被处理器执行时实现如上所述的双因子的认证方法的各个步骤。
本发明实施例提供的双因子的认证设备及其方法和计算机可读存储介质,双因子的认证设备在检测到账户登录平台且UKey设备连接平台所在的终端时,在UKey设备中的多种登录证书中确定目标登录证书以及目标登录证书对应的目标私钥,从而根据目标登录证书以及目标私钥对账户进行第一登录验证,并在第一次登陆验证通过后,获取输入的密码,以根据密码进行第二次登录验证,第二次登陆验证通过后,即可判定账号登录成功。由于各个厂商的硬件均支持PKCS#11标准,使得UKey设备中能够兼容各个平台编写的登录证书以及私钥,也即可通过一个UKey设备进行不同的平台的双因子的登录认证,双因子认证的验证成本较低。
附图说明
图1为本发明实施例涉及的双因子的认证设备的硬件结构示意图;
图2为本发明双因子的认证方法第一实施例的流程示意图;
图3为图2中步骤S10的细化流程示意图;
图4为图2中步骤S20的细化流程示意图;
图5为本发明双因子的认证方法第二实施例中步骤S20的细化流程示意图;
图6为本发明双因子的认证方法第三实施例的流程示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例提供一种解决方案:在检测到用户的账号登录平台,且UKey设备连接所述平台所在的终端时,在所述UKey设备中确定目标登录证书以及目标私钥,其中,所述UKey设备存储多种登录证书以及所述登录证书对应的私钥,所述UKey设备对应的厂商的硬件支持PKCS#11标准,且所述UKey设备中的登陆证书以及私钥通过支持PKCS#11标准的工具导入所述UKey设备;根据所述目标登录证书以及所述目标私钥对所述账号进行第一次登录验证;在第一次登录验证通过后,获取输入的密码,并根据所述密码对所述账号进行第二次登录验证;在第二次登录验证通过后,判定所述账号登录成功。
由于各个厂商的硬件均支持PKCS#11标准,使得UKey设备中能够兼容各个平台编写的登录证书以及私钥,也即可通过一个UKey设备进行不同的平台的双因子的登录认证,双因子认证的验证成本较低。
如图1所示,图1是本发明实施例方案涉及的双因子的认证设备的硬件结构示意图。
如图1所示,双因子的认证设备可以包括:处理器1001,例如中央处理器(CPU),通信总线1002、用户接口1003,存储器1005,显示屏1006,显示屏1006上设有信号接收装置。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display),可选用户接口1003还可以包括标准的有线接口以及无线接口,而用户接口1003的有线接口在本发明中可为通用串行总线(Universal Serial Bus,USB)接口。存储器1005可以是高速随机存取存储器(RAM);也可以是稳定的存储器,比如,非易失存储器,具体可为,磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对双因子的认证设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括:操作系统、网络通信模块、用户接口模块、以及双因子的认证程序。在图1中,处理器1001可以用于调用存储器1005中存储的双因子的认证程序,并执行以下操作:
在检测到用户的账号登录平台,且UKey设备连接所述平台所在的终端时,在所述UKey设备中确定目标登录证书以及目标私钥,其中,所述UKey设备存储多种登录证书以及所述登录证书对应的私钥,所述UKey设备对应的厂商的硬件支持PKCS#11标准,且所述UKey设备中的登陆证书以及私钥通过支持PKCS#11标准的工具导入所述UKey设备;
根据所述目标登录证书以及所述目标私钥对所述账号进行第一次登录验证;
在第一次登录验证通过后,获取输入的密码,并根据所述密码对所述账号进行第二次登录验证;
在第二次登录验证通过后,判定所述账号登录成功。
在一实施例中,处理器1001可以用于调用存储器1005中存储的双因子的认证程序,并执行以下操作:
判断所述目标登录证书是否为合法证书;
在所述目标登录证书为合法证书时,获取所述目标登录证书对应的公钥;
判断所述公钥与所述目标私钥是否为配对密钥,其中,在所述公钥与所述目标私钥为配对密钥时,判定第一次登录验证通过。
在一实施例中,处理器1001可以用于调用存储器1005中存储的双因子的认证程序,并执行以下操作:
生成随机数,并对所述随机数进行哈希运算得到第一随机种子;
根据所述目标私钥对所述第一随机种子进行签名得到签名信息;
采用所述公钥对所述签名信息进行解密得到第二随机种子;
判断所述第一随机种子与所述第二随机种子是否一致,其中,在所述第一随机种子与所述第二随机种子一致时,判定所述公钥与所述目标私钥为配对密钥。
在一实施例中,处理器1001可以用于调用存储器1005中存储的双因子的认证程序,并执行以下操作:
判断所述目标登录证书是否为受信用的授权认证中心签发的证书,其中,在所述目标登录证书为受信用的授权认证中心签发的证书时,判定所述目标登录证书为合法证书。
在一实施例中,处理器1001可以用于调用存储器1005中存储的双因子的认证程序,并执行以下操作:
在所述目标登录证书为合法证书时,获取所述目标登录证书的预设位置对应的字段;
根据所述字段判断所述目标登录证书与所述账户对应的用户是否绑定;
在所述目标登录证书与所述账户对应的用户绑定时,执行所述获取所述目标登录证书对应的公钥的步骤。
在一实施例中,处理器1001可以用于调用存储器1005中存储的双因子的认证程序,并执行以下操作:
在所述目标登录证书未与所述账户对应的用户绑定时,输出向UKey设备重新导入登录证书的建议信息。
在一实施例中,处理器1001可以用于调用存储器1005中存储的双因子的认证程序,并执行以下操作:
获取导入的登录证书以及私钥;
将各种所述登录证书以及所述登录证书对应的私钥写入至UKey设备中。
在一实施例中,处理器1001可以用于调用存储器1005中存储的双因子的认证程序,并执行以下操作:
确定所述平台对应的证书的类型;
在所述UKey设备中确定所述类型对应的登录证书以及所述登录证书对应的私钥,以作为目标登录证书以及目标私钥。
本实施例根据上述方案,双因子的认证设备在检测到账户登录平台且UKey设备连接平台所在的终端时,在UKey设备中的多种登录证书中确定目标登录证书以及目标登录证书对应的目标私钥,从而根据目标登录证书以及目标私钥对账户进行第一登录验证,并在第一次登陆验证通过后,获取输入的密码,以根据密码进行第二次登录验证,第二次登陆验证通过后,即可判定账号登录成功。由于各个厂商的硬件均支持PKCS#11标准,使得UKey设备中能够兼容各个平台编写的登录证书以及私钥,也即可通过一个UKey设备进行不同的平台的双因子的登录认证,双因子认证的验证成本较低。
基于上述双因子的认证设备的硬件构架,提出本发明双因子的认证方法的各个实施例。
参照图2,图2为本发明双因子的认证方法的第一实施例,所述双因子的认证方法包括以下步骤:
步骤S10,在检测到用户的账号登录平台,且UKey设备连接所述平台所在的终端时,在所述UKey设备中确定目标登录证书以及目标私钥,其中,所述UKey设备存储多种登录证书以及所述登录证书对应的私钥,所述UKey设备对应的厂商的硬件支持PKCS#11标准,且所述UKey设备中的登陆证书以及私钥通过支持PKCS#11标准的工具导入所述UKey设备;
在本实施例中,执行主体为双因子的认证设备。为了便于表述,以下采用认证设备指代双因子的认证设备。认证设备可视为服务器,也即服务器为后端平台,平台可以是任意需要进行验证的平台,例如,游戏平台、支付平台等等。终端装载有APP,APP连接认证设备。终端在检测到APP被打开,APP会显示登录界面,此时,APP会向认证设备发送用户的账号登录平台的消息,同时,终端需要检测是否连接有UKey设备,若终端连接有UKey设备,APP会向认证平台发送UKey设备连接平台所在终端的信息。UKey设备中存储有多种登录证书,且登录证书关联对应的私钥,登录证书以及登陆证书对应的私钥由用户通过工具导入至UKey设备内的,工具是基于PKCS#11标准接口进行编写的,且UKey设备对应的厂商的硬件支持PKCS#11标准,从而使得UKey设备中兼容不同类型的登陆证书以及登陆证书对应的私钥。
PKCS#11标准定义了与密码令牌(如硬件安全模块(HSM)和智能卡)的独立于平台的API,并将API本身命名为“Cryptoki”(来自“加密令牌接口”,发音为“crypto-key”,但是“PKCS#11”通常用于指代API以及定义它的标准)。API定义了最常用的加密对像类型(RSA密钥,X.509证书,DES/三重DES密钥等)以及使用,创建/生成,修改和删除这些对象所需的所有功能。
终端会读取UKey设备中的所有登录证书以及登录证书对应的私钥,从而确定目标登录证书以及目标私钥。具体的,参照图3,也即步骤S10包括:
步骤S11,确定所述平台对应的证书的类型;
步骤S12,在所述UKey设备中确定所述类型对应的登录证书以及所述登录证书对应的私钥,以作为目标登录证书以及目标私钥。
每个平台设置有对应的登录证书,例如,建设银行的平台对应建设银行的登录证书。认证设备确定平台的类型,从而在UKey设备中各个登录证书中确定类型对应的登录证书,类型所对应的登录证书即为目标登录证书,而目标登录证书对应有私钥,该私钥即为目标私钥。
步骤S20,根据所述目标登录证书以及所述目标私钥对所述账号进行第一次登录验证;
在确定目标登录证书以及目标私钥后,认证设备通过目标登录证书以及目标私钥对账号进行第一次登录验证,具体的,参照图4,也即步骤S20包括:
步骤S21,判断所述目标登录证书是否为合法证书;
认证设备会对目标登录证书进行合法性的判断以确定目标登录证书是否为合法证书。具体的,认证设备判断目标登录证书是否为受信用的授权认证中心签发的证书,也即认证设备对目标登录证书进行识别,以确定目标登录证书是否有CA机构签发的标识,若含有,则可判定目标登录证书为受信用的授权认证中心签发的证书。
步骤S22,在所述目标登录证书为合法证书时,获取所述目标登录证书对应的公钥;
步骤S23,判断所述公钥与所述目标私钥是否为配对密钥,其中,在所述公钥与所述目标私钥为配对密钥时,判定第一次登录验证通过。
在判定目标登录证书为合法证书后,认证设备对目标私钥进行验证。认证设备上设有平台对应的公钥,仅需确定公钥以及目标私钥为配对密钥,目标私钥的验证即可通过。具体的,认证设备生成一段随机数,再对随机数进行哈希运算得到第一随机种子。认证设备采用目标私钥对第一随机种子进行加密签名得到签名信息,再采用公钥对签名信息进行解密得到第二随机种子,最后判断第一随机种子是否与第二随机种子一致。若第一随机种子与第二随机种子一致,即可判定目标私钥与公钥为一对密钥,也即目标私钥以及公钥为配对密钥。认证设备在判定目标私钥与公钥为配对密钥时,即判定第一次登录验证通过。
步骤S30,在第一次登录验证通过后,获取输入的密码,并根据所述密码对所述账号进行第二次登录验证;
步骤S40,在第二次登录验证通过后,判定所述账号登录成功。
在第一次登录验证通过后,认证设备获取输入的密码,密码即为用户在平台的登录界面上输入的密码。认证设备获取账号对应的预设密码,并将输入的密码与预设密码进行比对,若预设密码与输入的密码一致时,账号的第二次登陆验证通过,也即认证设备判定账号登录成功,此时,认证设备向平台所在终端输出的平台的首页或者默认操作界面,以提示用户登录成功。
需要说明的是,认证设备包括PAM模块(Pluggable Authentication Modules,可插拔认证模块)以及PKCS11模块。PAM模块用于对用户进行初步检验,PKCS11模块则用于对UKey进行第一次以及第二次的登录认证。
在本实施例提供的技术方案中,双因子的认证设备在检测到账户登录平台且UKey设备连接平台所在的终端时,在UKey设备中的多种登录证书中确定目标登录证书以及目标登录证书对应的目标私钥,从而根据目标登录证书以及目标私钥对账户进行第一登录验证,并在第一次登陆验证通过后,获取输入的密码,以根据密码进行第二次登录验证,第二次登陆验证通过后,即可判定账号登录成功。由于各个厂商的硬件均支持PKCS#11标准,使得UKey设备中能够兼容各个平台编写的登录证书以及私钥,也即可通过一个UKey设备进行不同的平台的双因子的登录认证,双因子认证的验证成本较低。
参照图5,图5为本发明双因子的认证方法的第二实施例,基于第一实施例,所述步骤S21之后,还包括:
步骤S24,在所述目标登录证书为合法证书时,获取所述目标登录证书的预设位置对应的字段;
步骤S25,根据所述字段判断所述目标登录证书与所述账户对应的用户是否绑定;
步骤S26,在所述目标登录证书与所述账户对应的用户绑定时,执行所述获取所述目标登录证书对应的公钥的步骤。
在本实施例中,认证设备中设有动态库文件(基于pam_pkcs11-0.6.11开源代码所修改),用于验证UKey中的证书和私钥的合法性,以及检查证书和用户的绑定关系。该动态库文件主要是配合Linux PAM安全框架进行使用,在Linux操作系统中提供了一个PAM框架,只需要配置在/etc/pam.d目录下的相关文件(su、login等),就可以在该操作进行PAM认证的时候加载自己的动态库,并对该认证过程进行干预,同时影响最终操作的处理结果。
可以理解的是,第一次登录验证其实是包含有三次验证,第一次验证为对证书的合法性进行验证;第二验证为对证书是否与用户进行绑定的验证;第三次验证即为对私钥进行验证。因此,认证设备在判定目标登录证书为合法证书后,再判断目标登录证书是否与账号对应的用户绑定。具体的,认证设备从目标登录证书中获取预设位置的字段,预设位置可为目标登录证书的主题中的CN字段,通过CN字段即可判断目标登录证书是否与用户进行绑定。在用户与目标登录证书绑定后,会在CN字段中生成一个预设字符串,若CN字段中含有预设字符串,目标登录证书则与用户绑定;若CN字段中不含有预设字符串,目标登录证书则未与用户绑定。
在判定目标登录证书与账户对应的用户绑定时,则执行获取目标登录证书对应的公钥,以对目标私钥进行验证。而在判定目标登录证书与账户对应的用户未绑定时,则输出向UKey设备重新导入登录证书的建议信息。
在本实施例提供的技术方案中,目标登录证书的合法性验证通过后,判断目标登录证书与用户是否绑定,避免非法用户采用UKey进行登录,提高了系统的安全性。
参照图6,图6为本发明双因子的认证方法的第三实施例,基于第一或第二实施例,所述步骤S10之前,还包括:
步骤S50,获取导入的登录证书以及私钥;
步骤S60,将各种所述登录证书以及所述登录证书对应的私钥写入至UKey设备中。
在本实施例中,用户可以在平台的官方上下载登录证书,并请求平台为登录证书配置对应的私钥,且用户需要在平台上完成注册。因此,用户采用终端可下载不同厂商提供的登录证书以及登录证书对应的私钥。
用户可自行将不同的登录证书以及登录证书对应的私钥写入至UKey设备中。具体的,可编写一个写入工具,写入工具根据PKCS#11标准接口进行编写。在下载各个登录证书以及对应的私钥后,通过写入工具将各个登录证书以及登录证书对应的私钥写入至UKey设备中。
在本实施例提供的技术方案中,获取导入的登录证书以及私钥,并将各种登录证书以及登录证书对应的私钥写入至UKey中,使得用户可采用UKey设备进行支持PKCS#11的不同厂商对应的平台的登录验证。
本发明还提供一种双因子的认证设备,所述双因子的认证设备包括存储器、处理器以及存储在所述存储器并可在所述处理器上运行的双因子的认证程序,所述双因子的认证程序被所述处理器执行时实现如上实施例所述的双因子的认证方法的各个步骤。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有双因子的认证程序,所述双因子的认证程序被处理器执行时实现如上实施例所述的双因子的认证方法的各个步骤。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (7)
1.一种双因子认证方法,其特征在于,所述双因子认证方法包括以下步骤:
在检测到用户的账号登录平台,且UKey设备连接所述平台所在的终端时,在所述UKey设备中确定目标登录证书以及目标私钥,其中,所述UKey设备存储多种登录证书以及所述登录证书对应的私钥,所述UKey设备对应的厂商的硬件支持PKCS#11标准,且所述UKey设备中的登陆证书以及私钥通过支持PKCS#11标准的工具导入所述UKey设备;根据所述目标登录证书以及所述目标私钥对所述账号进行第一次登录验证;
在第一次登录验证通过后,获取输入的密码,并根据所述密码对所述账号进行第二次登录验证;
在第二次登录验证通过后,判定所述账号登录成功;
所述根据所述目标登录证书以及所述目标私钥对所述账号进行第一次登录验证的步骤包括:
判断所述目标登录证书是否为合法证书;
在所述目标登录证书为合法证书时,获取所述目标登录证书的预设位置对应的字段,所述预设位置对应的字段包括目标登录证书的主题中的CN字段;
若CN字段中含有预设字符串,则确定所述目标登录证书与所述账号对应的用户绑定;
在所述目标登录证书与所述账号对应的用户绑定时,获取所述目标登录证书对应的公钥;
判断所述公钥与所述目标私钥是否为配对密钥,其中,在所述公钥与所述目标私钥为配对密钥时,判定第一次登录验证通过;
所述判断所述公钥与所述目标私钥是否为配对密钥的步骤包括:
生成随机数,并对所述随机数进行哈希运算得到第一随机种子;
根据所述目标私钥对所述第一随机种子进行签名得到签名信息;
采用所述公钥对所述签名信息进行解密得到第二随机种子;
判断所述第一随机种子与所述第二随机种子是否一致,其中,在所述第一随机种子与所述第二随机种子一致时,判定所述公钥与所述目标私钥为配对密钥。
2.如权利要求1所述的双因子认证方法,其特征在于,所述判断所述目标登录证书是否为合法证书的步骤包括:
判断所述目标登录证书是否为受信用的授权认证中心签发的证书,其中,在所述目标登录证书为受信用的授权认证中心签发的证书时,判定所述目标登录证书为合法证书。
3.如权利要求1所述的双因子认证方法,其特征在于,所述根据所述字段判断所述目标登录证书与所述账号对应的用户是否绑定的步骤之后,还包括:
在所述目标登录证书未与所述账号对应的用户绑定时,输出向UKey设备重新导入登录证书的建议信息。
4.如权利要求1-3任一项所述的双因子认证方法,其特征在于,所述在检测到用户的账号登录平台,且UKey设备连接所述平台所在的终端时,在所述UKey设备中确定目标登录证书以及目标私钥的步骤之前,还包括:
获取导入的登录证书以及私钥;
将各种所述登录证书以及所述登录证书对应的私钥写入至UKey设备中。
5.如权利要求1-3任一项所述的双因子认证方法,其特征在于,所述在所述UKey设备中确定目标登录证书以及目标私钥的步骤包括:
确定所述平台对应的证书的类型;
在所述UKey设备中确定所述类型对应的登录证书以及所述登录证书对应的私钥,以作为目标登录证书以及目标私钥。
6.一种双因子的认证设备,其特征在于,所述双因子的认证设备包括存储器、处理器以及存储在所述存储器并可在所述处理器上运行的双因子认证程序,所述双因子认证程序被所述处理器执行时实现如权利要求1-5任一项所述的双因子认证方法的各个步骤。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有双因子认证程序,所述双因子认证程序被处理器执行时实现如权利要求1-5任一项所述的双因子认证方法的各个步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010234994.9A CN111428213B (zh) | 2020-03-27 | 2020-03-27 | 双因子的认证设备及其方法和计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010234994.9A CN111428213B (zh) | 2020-03-27 | 2020-03-27 | 双因子的认证设备及其方法和计算机可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111428213A CN111428213A (zh) | 2020-07-17 |
CN111428213B true CN111428213B (zh) | 2024-02-02 |
Family
ID=71549166
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010234994.9A Active CN111428213B (zh) | 2020-03-27 | 2020-03-27 | 双因子的认证设备及其方法和计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111428213B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112468442B (zh) * | 2020-10-28 | 2022-06-07 | 苏州浪潮智能科技有限公司 | 双因子认证方法、装置、计算机设备及存储介质 |
CN114598481B (zh) * | 2020-11-19 | 2024-05-31 | 卫宁健康科技集团股份有限公司 | 一种授权认证方法、装置、电子设备及存储介质 |
CN112818333B (zh) * | 2021-01-30 | 2022-04-05 | 郑州信大捷安信息技术股份有限公司 | 一种智能密码钥匙的切换登录认证、通信方法及系统 |
CN112989309B (zh) * | 2021-05-21 | 2021-08-20 | 统信软件技术有限公司 | 基于多方授权的登录方法、认证方法、系统及计算设备 |
CN113794729A (zh) * | 2021-09-17 | 2021-12-14 | 上海仙塔智能科技有限公司 | 针对avp设备的通信处理方法、装置、电子设备与介质 |
CN114547565B (zh) * | 2021-12-29 | 2024-02-20 | 中国长江电力股份有限公司 | 一种用于水电站监控系统的双因子认证登录方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104735085A (zh) * | 2015-04-15 | 2015-06-24 | 上海汉邦京泰数码技术有限公司 | 一种终端双因子安全登录防护方法 |
CN108173659A (zh) * | 2017-12-18 | 2018-06-15 | 河北华沃通信科技有限公司 | 一种基于ukey设备的证书管理方法、系统及终端设备 |
CN109728909A (zh) * | 2019-03-21 | 2019-05-07 | 郑建建 | 基于USBKey的身份认证方法和系统 |
CN110035071A (zh) * | 2019-03-26 | 2019-07-19 | 南瑞集团有限公司 | 一种面向工控系统的远程双因子双向认证方法、客户端及服务端 |
-
2020
- 2020-03-27 CN CN202010234994.9A patent/CN111428213B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104735085A (zh) * | 2015-04-15 | 2015-06-24 | 上海汉邦京泰数码技术有限公司 | 一种终端双因子安全登录防护方法 |
CN108173659A (zh) * | 2017-12-18 | 2018-06-15 | 河北华沃通信科技有限公司 | 一种基于ukey设备的证书管理方法、系统及终端设备 |
CN109728909A (zh) * | 2019-03-21 | 2019-05-07 | 郑建建 | 基于USBKey的身份认证方法和系统 |
CN110035071A (zh) * | 2019-03-26 | 2019-07-19 | 南瑞集团有限公司 | 一种面向工控系统的远程双因子双向认证方法、客户端及服务端 |
Also Published As
Publication number | Publication date |
---|---|
CN111428213A (zh) | 2020-07-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111428213B (zh) | 双因子的认证设备及其方法和计算机可读存储介质 | |
CN112771826B (zh) | 一种应用程序登录方法、应用程序登录装置及移动终端 | |
CN111404696B (zh) | 协同签名方法、安全服务中间件、相关平台及系统 | |
JP4067985B2 (ja) | アプリケーション認証システムと装置 | |
JP5844471B2 (ja) | インターネットベースのアプリケーションへのアクセスを制御する方法 | |
US20120311322A1 (en) | Secure Access to Data in a Device | |
EP3425842A1 (en) | Communication system, hardware security module, terminal device, communication method, and program | |
CN107145769B (zh) | 一种数字版权管理drm方法、设备及系统 | |
JP5613596B2 (ja) | 認証システム、端末装置、認証サーバ、およびプログラム | |
CN108496323B (zh) | 一种证书导入方法及终端 | |
CN107944234B (zh) | 一种Android设备的刷机控制方法 | |
CN111814132B (zh) | 安全认证方法及装置、安全认证芯片、存储介质 | |
CN103269271A (zh) | 一种备份电子签名令牌中私钥的方法和系统 | |
CN108092764B (zh) | 一种密码管理方法、设备和具有存储功能的装置 | |
CN110661797B (zh) | 一种数据保护方法、终端、以及计算机可读存储介质 | |
CN112468294A (zh) | 一种车载tbox的访问方法及鉴权设备 | |
CN103475661B (zh) | 认证程序的安全获取方法及系统 | |
CN111125665A (zh) | 认证方法及设备 | |
KR20070059891A (ko) | 어플리케이션 인증 보안 시스템 및 그 인증 보안 방법 | |
JP2015104020A (ja) | 通信端末装置、通信端末関連付けシステム、通信端末関連付け方法、及びコンピュータプログラム | |
JP5277888B2 (ja) | アプリケーション発行システム、装置及び方法 | |
EP2985712A1 (en) | Application encryption processing method, apparatus, and terminal | |
CN103281188A (zh) | 一种备份电子签名令牌中私钥的方法和系统 | |
KR20130100032A (ko) | 코드 서명 기법을 이용한 스마트폰 어플리케이션 배포 방법 | |
CN115935318A (zh) | 一种信息处理方法、装置、服务器、客户端及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |