CN111669380A - 一种基于运维审计系统的免密登录方法 - Google Patents

一种基于运维审计系统的免密登录方法 Download PDF

Info

Publication number
CN111669380A
CN111669380A CN202010469236.5A CN202010469236A CN111669380A CN 111669380 A CN111669380 A CN 111669380A CN 202010469236 A CN202010469236 A CN 202010469236A CN 111669380 A CN111669380 A CN 111669380A
Authority
CN
China
Prior art keywords
data
client
encrypted
message digest
maintenance auditing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010469236.5A
Other languages
English (en)
Other versions
CN111669380B (zh
Inventor
邓轩
范渊
吴永越
郑学新
刘韬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu DBAPPSecurity Co Ltd
Original Assignee
Chengdu DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu DBAPPSecurity Co Ltd filed Critical Chengdu DBAPPSecurity Co Ltd
Priority to CN202010469236.5A priority Critical patent/CN111669380B/zh
Publication of CN111669380A publication Critical patent/CN111669380A/zh
Application granted granted Critical
Publication of CN111669380B publication Critical patent/CN111669380B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

一种基于运维审计系统的免密登录方法,涉及通信领域,基于客户端A和运维审计端B,运维审计端B生成公钥Pa和私钥Pb;客户端A生成公钥Pm和私钥Pn;客户端A使用公钥Pa加密含有公钥Pm和客户端A用户的关键信息后发往运维审计端B;运维审计端B使用私钥Pb解密数据,从数据库中查询是否有匹配该数据的数据,若有则生成一组数据,使用公钥Pm加密后返还客户端A;同时生成消息摘要X;客户端A接收到返还的数据后,生成解密的数据的消息摘要Y,将消息摘要Y使用公钥Pa加密后发送给运维审计端B;运维审计端B使用私钥Pb将接收到的数据解密,判断接收的消息摘要Y和消息摘要X是否相等,若相等则允许登陆。

Description

一种基于运维审计系统的免密登录方法
技术领域
本发明涉及通信领域,特别涉及一种基于运维审计系统的免密登录方法。
背景技术
对称加密算法在加密和解密时使用的是同一个秘钥;而非对称加密算法需要两个密钥来进行加密和解密,这两个秘钥是公开密钥(publickey,简称公钥)和私有密钥(privatekey,简称私钥)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥。
我们一般会使用一个下标范围比较大的数组来存储元素,我们会设计一个哈希函数,使得每个元素的关键字都与一个函数值(即数组下标)相对应,于是用这个数组单元来存储这个元素;也可以简单的理解为,按照关键字为每一个元素“分类”,然后将这个元素存储在相应“类”所对应的地方。但是,不能够保证每个元素的关键字与函数值是一一对应的,因此基友可能出现对于不同的元素,却计算出了相同的函数值,这样就产生了“冲突”,换句话说,就是把不同的元素分在了相同的“类”之中,而哈希表的两大特点就是“直接定址”和“解决冲突”。
随机数种子(random seed)在伪随机数生成器中用于生成伪随机数的初始数值。对于一个伪随机数生成器,从相同的随机数种子出发,可以得到相同的随机数序列。随机数种子通常由当前计算机状态确定,如当前的时间。
SSH 是一种计算机之间加密登录的协议,它相对于telnet和rsh的明文传输, 提供了加密、校验和压缩,使得我们可以很安全的远程操作, 而不用担心信息泄露(当然不是绝对的,加密总有可能被破解,只是比起明文来说那是强了不少),现有的免密登录是基于SSH协议的一种免密码认证登陆方法,一般包括以下步骤:
1.在A上生成公钥私钥;
2.将公钥拷贝给Server B,要重命名成authorized_keys;
3.Server A向Server B发送一个连接请求;
4.Server B得到Server A的信息后,在authorized_keys中查找,如果有相应的用户名和IP,则随机生成一个字符串,并用Server A的公钥加密,发送给Server A;
5.Server A得到Server B发来的消息后,使用私钥进行解密,然后将解密后的字符串发送给Server B,Server B进行和生成的对比,如果一致,则允许免登录。
对于上述步骤2,存在中间人可以获得该公钥进而冒充A,同理中间人也可以在步骤5中进行操作,通过劫持A想B发送的字符串后,中间人重新发送该字符串后冒充A进行登录,因此现有的免密登录方法存在一定的风险。
发明内容
本发明的目的在于:提供了一种基于运维审计系统的免密登录方法,在运维审计系统中使用了免密登陆,通过生成消息摘要,并且验证客户端和运维审计系统的消息摘要,以确保运维审计系统接收到的数据是从客户端发来而不是中间人冒充发来的,通过这种单向认证的方式防止了中间人冒充客户端A,解决了上述问题。
本发明采用的技术方案如下:
一种基于运维审计系统的免密登录方法,基于客户端A和运维审计端B,包括以下步骤:
步骤S1:运维审计端B提供API供用户生成公钥Pa和私钥Pb;客户端A生成公钥Pm和私钥Pn;
步骤S2:客户端A使用公钥Pa将数据M1加密形成加密信息JM1,然后发往运维审计端B,所述数据M1由公钥Pm和客户端A的用户的关键信息组合形成;
步骤S3:运维审计端B得到步骤S2的加密信息JM1后使用私钥Pb解密该加密信息JM1得到数据M1,然后运维审计端B从数据库中查询是否有匹配数据M1的数据,所述数据库存储有客户端A的用户的关键信息;若数据库中有匹配数据M1的数据,则生成一组数据M2,使用公钥Pm加密数据M2得到加密信息JM2后返还给客户端A,同时运维审计端B根据数据M2生成一个消息摘要X;若无则进行拒绝处理;
步骤S4:客户端A接收到步骤S3中返还的加密信息JM2后,使用私钥Pn对加密信息JM2进行解密得到数据M2,并且生成数据M2的消息摘要Y,将所述消息摘要Y使用公钥Pa加密后得到加密信息JM3,并将加密信息JM3发送给运维审计端B;
步骤S5:运维审计端B使用私钥Pb将接收到的步骤S4发送来的加密信息JM3解密,得到消息摘要Y,并且判断接收到的消息摘要Y是否和消息摘要X相等,若相等则允许登陆,若不相等则进行拒绝处理。
为了更好地实现本发明,进一步地,所述步骤S2中客户端A的用户的关键信息包括:用户的ID、用户的ID密码和当前时间戳T。
为了更好地实现本发明,进一步地,所述消息摘要X为运维审计端B生成的数据M2的哈希值,所述消息摘要Y为客户端A解密加密消息JM2得到的数据M2的哈希值。
为了更好地实现本发明,进一步地,所述步骤S3中运维审计端B使用公钥Pm加密数据M2得到加密数据JM2后,再使用私钥Pb对加密数据JM2进行签名;在步骤S4中客户端A在接收到加密消息JM2后,客户端A首先使用公钥Pa验证加密消息JM2中签名的私钥Pb,以确定加密消息JM2来自运维审计端B,然后再使用私钥Pn对加密消息JM2进行解密。
为了更好地实现本发明,进一步地,所述步骤S4中客户端A使用公钥Pa对消息摘要Y进行加密得到加密数据JM3后,再使用私钥Pn对加密数据JM3进行签名;在步骤S5中运维审计端B在接收到加密消息JM3后,首先使用公钥Pm验证签名的私钥Pn,以确定加密数据JM3来自客户端,然后再使用私钥Pb对加密消息JM3进行解密。
为了更好地实现本发明,进一步地,所述步骤S3中数据库中有匹配数据M1的数据时,生成一组数据M2的方法为:根据linux的urandom 与当前时间戳T生成一个挑战码或者字符串。
为了更好地实现本发明,进一步地,对生成的数据M2使用公钥Pm加密时,加入当前时间戳T。
为了更好地实现本发明,进一步地,所述步骤S3中生成消息摘要X和步骤S4中生成消息摘要Y的方法为:使用md5散列函数。
为了更好地实现本发明,进一步地,所述步骤S3和步骤S5中不满足判断条件时进行拒绝处理的方式为:拒绝登陆和/或提示免密登录失败后结束;或在步骤S3中重新遍历数据库中的数据查找匹配数目M1的数据,若有匹配数据则继续进行,若无则拒绝登陆和/或提示免密登录失败后结束,在步骤S5中重新判断接收到的消息摘要Y是否和消息摘要X相等,若相等则允许登陆,若不相等则拒绝登陆和/或提示免密登录失败后结束。
本方案填补了当前运维审计系统免密登陆的空白,方便了用户操作,同时提供给用户API,使得用户具有二次开发的权利,防止了中间人冒充用户进行登录。在本方案中,步骤S2可以简写为:A->B:E{Pa,A(Pm,T,B)},步骤S3中生成消息摘要X的方法可以简写为:B-A:E{Pm,B(T,A)};步骤S4中将所述消息摘要Y使用公钥Pa加密后发送给运维审计端B的方法可以简写为:A->B:E{Pa,A(T,B)}。
在步骤S3中我们后端的运维审计端B返还给前端客户端A数据M2时时,还会在运维审计系统中生成关于该消息的一个消息摘要X,而在客户端A接收到运维审计端B返还过来的数据M2时,也会根据接收到的数据M2生成一个消息摘要Y,并且如步骤S4所述,将消息摘要Y使用公钥Pa加密后发送给运维审计端B,运维审计端B接收到该消息后解密,然后判断消息摘要Y和消息摘要X是否相等,若相等,则证明该用户是真正的运维审计端B的数据库中存有的用户,而不是冒充的中间人向运维审计端B发送消息。另外,本发明中的运维审计端还提供API供用户二次开发,用户可以选择任意的非对称加密算法,生成他需要的公私钥长度,但是为了安全位数需要保证至少2048位。
另外需要说明的是,在本方案中,步骤S3中运维审计端B使用公钥Pm加密数据M2得到加密数据JM2后,再使用私钥Pb对加密数据JM2进行签名,以保证这个加密数据JM2是来自运维审计端B;在步骤S4中客户端A首先使用公钥Pa验证签名的私钥Pb,以确定加密消息JM2来自运维审计端B,然后再使用自己的私钥Pn对加密消息JM2进行解密;所述步骤S4中客户端A使用公钥Pa对消息摘要Y进行加密得到加密数据JM3后,使用私钥Pn对加密数据JM3进行签名,以保证这个加密数据JM3是来自客户端A,对应地,在步骤S5中运维审计端B在接收到加密消息JM3后,也首先使用公钥Pm验证签名的私钥Pn,以确定加密数据JM3来自客户端。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
1.本发明所述的一种基于运维审计系统的免密登录方法,在运维审计系统中使用了免密登陆,通过生成消息摘要,并且验证客户端和运维审计系统的消息摘要,以确保运维审计系统接收到的数据是从客户端发来而不是中间人冒充发来的,通过这种单向认证的方式防止了中间人冒充客户端A;
2.本发明所述的一种基于运维审计系统的免密登录方法,运维审计系统提供API供用户生成公钥和私钥,在运维审计系统中使用了免密登陆,通过生成消息摘要,并且验证客户端和运维审计系统的消息摘要,运维审计端提供API供用户二次开发,用户可以选择任意的非对称加密算法,生成需要的公私钥长度。
附图说明
为了更清楚地说明本技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图,其中:
图1是本发明的原理框图。
具体实施方式
为了更清楚地说明本发明实施例的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,应当理解,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例,因此不应被看作是对保护范围的限定。基于本发明中的实施例,本领域普通技术工作人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合图1对本发明作详细说明。
实施例1
一种基于运维审计系统的免密登录方法,基于客户端A和运维审计端B,包括以下步骤:
步骤S1:运维审计端B提供API供用户生成公钥Pa和私钥Pb;客户端A生成公钥Pm和私钥Pn;
步骤S2:客户端A使用公钥Pa将数据M1加密形成加密信息JM1,然后发往运维审计端B,所述数据M1由公钥Pm和客户端A的用户的关键信息组合形成;
步骤S3:运维审计端B得到步骤S2的加密信息JM1后使用私钥Pb解密该加密信息JM1得到数据M1,然后运维审计端B从数据库中查询是否有匹配数据M1的数据,所述数据库存储有客户端A的用户的关键信息;若数据库中有匹配数据M1的数据,则生成一组数据M2,使用公钥Pm加密数据M2得到加密信息JM2后返还给客户端A,同时运维审计端B根据数据M2生成一个消息摘要X;若无则进行拒绝处理;
步骤S4:客户端A接收到步骤S3中返还的加密信息JM2后,使用私钥Pn对加密信息JM2进行解密得到数据M2,并且生成数据M2的消息摘要Y,将所述消息摘要Y使用公钥Pa加密后得到加密信息JM3,并将加密信息JM3发送给运维审计端B;
步骤S5:运维审计端B使用私钥Pb将接收到的步骤S4发送来的加密信息JM3解密,得到消息摘要Y,并且判断接收到的消息摘要Y是否和消息摘要X相等,若相等则允许登陆,若不相等则进行拒绝处理。
工作原理:本方案填补了当前运维审计系统免密登陆的空白,方便了用户操作,同时提供给用户API,使得用户具有二次开发的权利,防止了中间人冒充用户进行登录。在本方案中,步骤S2可以简写为:A->B:E{Pa,A(Pm,T,B)},步骤S3中生成消息摘要X的方法可以简写为:B-A:E{Pm,B(T,A)};步骤S4中将所述消息摘要Y使用公钥Pa加密后发送给运维审计端B的方法可以简写为:A->B:E{Pa,A(T,B)}。
在步骤S3中我们后端的运维审计端B返还给前端客户端A数据M2时时,还会在运维审计系统中生成关于该消息的一个消息摘要X,而在客户端A接收到运维审计端B返还过来的数据M2时,也会根据接收到的数据M2生成一个消息摘要Y,并且如步骤S4所述,将消息摘要Y使用公钥Pa加密后发送给运维审计端B,运维审计端B接收到该消息后解密,然后判断消息摘要Y和消息摘要X是否相同,若相同,则证明该用户是真正的运维审计端B的数据库中存有的用户,而不是冒充的中间人向运维审计端B发送消息。另外,本发明中的运维审计端还提供API供用户二次开发,用户可以选择任意的非对称加密算法,生成他需要的公私钥长度,但是为了安全位数需要保证至少2048位。
实施例2
本方案在实施例1的基础上,进一步地,所述步骤S2中客户端A的用户的关键信息包括:用户的ID、用户的ID密码和当前时间戳T。
所述步骤S3中数据库中有匹配数据M1的数据时,生成一组数据M2的方法为:根据linux的urandom 与当前时间戳T生成一个挑战码或者字符串。
对生成的数据M2使用公钥Pm加密时,加入当前时间戳T。
消息摘要X为运维审计端B生成的数据M2的哈希值,消息摘要Y为客户端A解密加密消息JM2得到的数据M2的哈希值。
所述步骤S3中运维审计端B使用公钥Pm加密数据M2得到加密数据JM2后,再使用私钥Pb对加密数据JM2进行签名;在步骤S4中客户端A在接收到加密消息JM2后,客户端A首先使用公钥Pa验证加密消息JM2中签名的私钥Pb,以确定加密消息JM2来自运维审计端B,然后再使用私钥Pn对加密消息JM2进行解密。
所述步骤S4中客户端A使用公钥Pa对消息摘要Y进行加密得到加密数据JM3后,再使用私钥Pn对加密数据JM3进行签名;在步骤S5中运维审计端B在接收到加密消息JM3后,首先使用公钥Pm验证签名的私钥Pn,以确定加密数据JM3来自客户端,然后再使用私钥Pb对加密消息JM3进行解密。
所述步骤S3中生成消息摘要X和步骤S4中生成消息摘要Y的方法为:使用md5散列函数。
所述步骤S3和步骤S5中不满足判断条件时进行拒绝处理的方式为:拒绝登陆和/或提示免密登录失败后结束;或在步骤S3中重新遍历数据库中的数据查找匹配数目M1的数据,若有匹配数据则继续进行,若无则拒绝登陆和/或提示免密登录失败后结束,在步骤S5中重新判断接收到的消息摘要Y是否和消息摘要X相等,若相等则允许登陆,若不相等则拒绝登陆和/或提示免密登录失败后结束。
工作原理:在本方案的每个客户端A和运维审计端B之间互相传输数据时,都附加上当前时间戳T,这样一是使得消息发送时间可被记录,二是当前时间戳T的记录使得消息的实时性可被验证,当接收到严重超时或其他时间戳T有异常时,可以对该数据进行重点监测。
另外,本方案中生成的随机挑战码使用Linux系统中的伪设备urandom而不选择random设备,random是linux中默认生成随机数的设备;因为random设备会一直封锁,尝试读取的进程就会进入等待状态,直到系统的中断数充分够用,random设备可以保证数据的随机性。urandom不依赖系统的中断,也就不会造成进程忙等待。提供了系统性能;
另外需要说明的是,在本方案中,步骤S3中运维审计端B使用公钥Pm加密数据M2得到加密数据JM2后,再使用私钥Pb对加密数据JM2进行签名,以保证这个加密数据JM2是来自运维审计端B;在步骤S4中客户端A首先使用公钥Pa验证签名的私钥Pb,以确定加密消息JM2来自运维审计端B,然后再使用自己的私钥Pn对加密消息JM2进行解密;所述步骤S4中客户端A使用公钥Pa对消息摘要Y进行加密得到加密数据JM3后,使用私钥Pn对加密数据JM3进行签名,以保证这个加密数据JM3是来自客户端A,对应地,在步骤S5中运维审计端B在接收到加密消息JM3后,也首先使用公钥Pm验证签名的私钥Pn,以确定加密数据JM3来自客户端。
以上所述,仅是本发明的较佳实施例,并非对本发明做任何形式上的限制,凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化,均落入本发明的保护范围之内。

Claims (9)

1.一种基于运维审计系统的免密登录方法,基于客户端A和运维审计端B,其特征在于:包括以下步骤:
步骤S1:运维审计端B提供API供用户生成公钥Pa和私钥Pb;客户端A生成公钥Pm和私钥Pn;
步骤S2:客户端A使用公钥Pa将数据M1加密形成加密信息JM1,然后发往运维审计端B,所述数据M1由公钥Pm和客户端A的用户的关键信息组合形成;
步骤S3:运维审计端B得到步骤S2的加密信息JM1后使用私钥Pb解密该加密信息JM1得到数据M1,然后运维审计端B从数据库中查询是否有匹配数据M1的数据,所述数据库存储有客户端A的用户的关键信息;若数据库中有匹配数据M1的数据,则生成一组数据M2,使用公钥Pm加密数据M2得到加密信息JM2后返还给客户端A,同时运维审计端B根据数据M2生成一个消息摘要X;若无则进行拒绝处理;
步骤S4:客户端A接收到步骤S3中返还的加密信息JM2后,使用私钥Pn对加密信息JM2进行解密得到数据M2,并且生成数据M2的消息摘要Y,将所述消息摘要Y使用公钥Pa加密后得到加密信息JM3,并将加密信息JM3发送给运维审计端B;
步骤S5:运维审计端B使用私钥Pb将接收到的步骤S4发送来的加密信息JM3解密,得到消息摘要Y,并且判断接收到的消息摘要Y是否和消息摘要X相等,若相等则允许登陆,若不相等则进行拒绝处理。
2.根据权利要求1所述的一种基于运维审计系统的免密登录方法,其特征在于:所述步骤S2中客户端A的用户的关键信息包括:用户的ID、用户的ID密码和当前时间戳T。
3.根据权利要求1所述的一种基于运维审计系统的免密登录方法,其特征在于:所述步骤S3中数据库中有匹配数据M1的数据时,生成一组数据M2的方法为:根据linux的urandom与当前时间戳T生成一个挑战码或者字符串。
4.根据权利要求1或3所述的一种基于运维审计系统的免密登录方法,其特征在于:对生成的数据M2使用公钥Pm加密时,加入当前时间戳T。
5.根据权利要求1所述的一种基于运维审计系统的免密登录方法,其特征在于:所述消息摘要X为运维审计端B生成的数据M2的哈希值,所述消息摘要Y为客户端A解密加密消息JM2得到的数据M2的哈希值。
6.根据权利要求1所述的一种基于运维审计系统的免密登录方法,其特征在于:所述步骤S3中运维审计端B使用公钥Pm加密数据M2得到加密数据JM2后,再使用私钥Pb对加密数据JM2进行签名;在步骤S4中客户端A在接收到加密消息JM2后,客户端A首先使用公钥Pa验证加密消息JM2中签名的私钥Pb,以确定加密消息JM2来自运维审计端B,然后再使用私钥Pn对加密消息JM2进行解密。
7.根据权利要求1所述的一种基于运维审计系统的免密登录方法,其特征在于:所述步骤S4中客户端A使用公钥Pa对消息摘要Y进行加密得到加密数据JM3后,再使用私钥Pn对加密数据JM3进行签名;在步骤S5中运维审计端B在接收到加密消息JM3后,首先使用公钥Pm验证签名的私钥Pn,以确定加密数据JM3来自客户端,然后再使用私钥Pb对加密消息JM3进行解密。
8.根据权利要求1所述的一种基于运维审计系统的免密登录方法,其特征在于:所述步骤S3中生成消息摘要X和步骤S4中生成消息摘要Y的方法为:使用md5散列函数。
9.根据权利要求1所述的一种基于运维审计系统的免密登录方法,其特征在于:所述步骤S3和步骤S5中不满足判断条件时进行拒绝处理的方式为:拒绝登陆和/或提示免密登录失败后结束;或在步骤S3中重新遍历数据库中的数据查找匹配数目M1的数据,若有匹配数据则继续进行,若无则拒绝登陆和/或提示免密登录失败后结束,在步骤S5中重新判断消息摘要Y是否和消息摘要X相等,若相等则允许登陆,若不相等则拒绝登陆和/或提示免密登录失败后结束。
CN202010469236.5A 2020-05-28 2020-05-28 一种基于运维审计系统的免密登录方法 Active CN111669380B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010469236.5A CN111669380B (zh) 2020-05-28 2020-05-28 一种基于运维审计系统的免密登录方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010469236.5A CN111669380B (zh) 2020-05-28 2020-05-28 一种基于运维审计系统的免密登录方法

Publications (2)

Publication Number Publication Date
CN111669380A true CN111669380A (zh) 2020-09-15
CN111669380B CN111669380B (zh) 2022-07-19

Family

ID=72385195

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010469236.5A Active CN111669380B (zh) 2020-05-28 2020-05-28 一种基于运维审计系统的免密登录方法

Country Status (1)

Country Link
CN (1) CN111669380B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030065919A1 (en) * 2001-04-18 2003-04-03 Albert Roy David Method and system for identifying a replay attack by an access device to a computer system
CN105933280A (zh) * 2016-03-15 2016-09-07 天地融科技股份有限公司 身份认证方法和系统
CN110740116A (zh) * 2018-07-20 2020-01-31 北京思源理想控股集团有限公司 一种多应用身份认证的系统及方法
CN110890960A (zh) * 2019-11-16 2020-03-17 杭州安恒信息技术股份有限公司 一种基于多重校验机制的数据重放攻击识别与防护方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030065919A1 (en) * 2001-04-18 2003-04-03 Albert Roy David Method and system for identifying a replay attack by an access device to a computer system
CN105933280A (zh) * 2016-03-15 2016-09-07 天地融科技股份有限公司 身份认证方法和系统
CN110740116A (zh) * 2018-07-20 2020-01-31 北京思源理想控股集团有限公司 一种多应用身份认证的系统及方法
CN110890960A (zh) * 2019-11-16 2020-03-17 杭州安恒信息技术股份有限公司 一种基于多重校验机制的数据重放攻击识别与防护方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
数据通信: "基于SSH的安全通讯研究与应用", 《数据通信》 *

Also Published As

Publication number Publication date
CN111669380B (zh) 2022-07-19

Similar Documents

Publication Publication Date Title
JP4833489B2 (ja) 複数のサーバを使用した遠隔パスワード認証のためのシステム、方法およびソフトウェア
US6959394B1 (en) Splitting knowledge of a password
Ray et al. Secure logging as a service—delegating log management to the cloud
US6950523B1 (en) Secure storage of private keys
US20180097624A1 (en) Systems and methods for distributing and securing data
US8719952B1 (en) Systems and methods using passwords for secure storage of private keys on mobile devices
CA2913444C (en) System and method for user authentication
Backes et al. Cryptographically sound security proofs for basic and public-key kerberos
CN109981255B (zh) 密钥池的更新方法和系统
US11588627B2 (en) Systems and methods for utilizing quantum entropy in single packet authorization for secure network connections
US20120087495A1 (en) Method for generating an encryption/decryption key
CN1611031A (zh) 从公共服务器请求内容时提供客户端保密性的方法和系统
CN104412273A (zh) 用于进行激活的方法和系统
CN113626802B (zh) 一种设备密码的登录验证系统及方法
JPWO2008035450A1 (ja) ワンタイムidによる認証
Dong et al. Cryptographic Protocol
CN109684129B (zh) 数据备份恢复方法、存储介质、加密机、客户端和服务器
CN115473655B (zh) 接入网络的终端认证方法、装置及存储介质
CN111080299A (zh) 一种交易信息的防抵赖方法及客户端、服务器
CN110188545B (zh) 一种基于链式数据库的数据加密方法及装置
CN116866029B (zh) 随机数加密数据传输方法、装置、计算机设备及存储介质
Miculan et al. Automated Symbolic Verification of Telegram's MTProto 2.0
CN117082501A (zh) 一种移动端数据加密方法
Chien et al. Provably secure password-based three-party key exchange with optimal message steps
CN111669380B (zh) 一种基于运维审计系统的免密登录方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant