CN114615046A

CN114615046A - 一种基于国密证书的管理员双因子认证方法

Info

Publication number: CN114615046A
Application number: CN202210223946.9A
Authority: CN
Inventors: 郭卫霞; 车业蒙; 崔冬; 尚雄; 邢博涵; 黄冠杰; 齐英俊; 王路杰
Original assignee: Inner Mongolia Datang International Tuoketuo Power Generation Co Ltd; China Datang Corp Science and Technology Research Institute Co Ltd
Current assignee: Inner Mongolia Datang International Tuoketuo Power Generation Co Ltd; China Datang Corp Science and Technology Research Institute Co Ltd
Priority date: 2022-03-07
Filing date: 2022-03-07
Publication date: 2022-06-10
Anticipated expiration: 2042-03-07

Abstract

本发明涉及一种基于国密证书的管理员双因子认证方法，包括：对设备进行初始化，生成国密证书，包括安全加密设备的加密证书CertB和管理员A的签名证书CertA；管理员A使用国密证书登录安全加密设备：管理员A和安全加密设备B建立SSL连接后，管理员A发送请求，请求登录安全加密设备B；安全加密设备B生成随机数R_B,并将安全加密设备B的加密证书CertB发送给管理员A；管理员A收到加密证书CertB后，对TokenAB,即RA||sSA，进行加密；安全加密设备B收到加密后的TokenAB后，执行解密，签名验签，用户名、口令一致性比对操作。本发明实现了管理员通过标准浏览器使用国密证书登录安全加密设备，既实现了双因子认证，又使用国密证书，提高了管理员登录设备的安全强度。

Description

一种基于国密证书的管理员双因子认证方法

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于国密证书的管理员双因子认证方法。

背景技术

在网络攻击威胁日盛的当下，企业要想确保自身网络环境的安全防护，安全加密设备是必不可少的网安设备之一。安全加密设备主要是作用在内部和外部网络的环境间产生一种保护的屏障，从而实现对计算机不安全网络因素的阻断，但是安全加密设备也是网络攻击的对象。

企业部署安全加密设备，需要专职管理员对设备进行管理和配置。管理员登录安全加密设备，大多数情况下使用用户名和密码的方式认证。网络攻击者通过暴力破解管理员密码登录安全加密设备，篡改配置实施更深入的破坏。为了增强管理员认证的安全性，不再使用用户名/密码单一的认证方式，而是采用双因子认证的方式。双因子认证的方式有证书认证、OTP令牌、短信认证等。

管理员登录安全加密设备，采用HTTPS方式，使用SSL协议对数据加密保护。SSL协议本身可以进行证书认证，属于双因子认证的一种方式。

SSL证书认证的方式有两种：国际证书认证和国密证书认证。其中国际证书认证采用国际协议，SSL连接过程中采用国际算法完成认证。国密证书认证采用国密协议，SSL连接过程采用国密算法(SM1/SM2/SM3/SM4)的一套标准。

标准浏览器仅支持SSL国际协议，支持基于国际证书的SSL证书认证，不支持基于国密证书的国密SSL协议，也就是说，在标准浏览器无法支持管理员使用国密证书进行SSL双因子认证登录安全加密设备。国际证书通常是RSA算法(2048位)，国密证书现阶段采用的是ECC算法，ECC算法由国家密码管理局于2010年12月发布，是我国自主设计的公钥密码算法，在椭圆曲线密码理论基础改进而来，其加密强度比RSA算法(2048位)更高。

发明内容

本发明的目的是一种基于国密证书的管理员双因子认证方法，实现管理员通过标准浏览器使用国密证书登录安全加密设备，既实现双因子认证，又使用国密证书，提高管理员登录设备的安全强度。

本发明提供了一种基于国密证书的管理员双因子认证方法，包括如下步骤：

对设备进行初始化，生成国密证书，包括安全加密设备的加密证书CertB和管理员A的签名证书CertA；

管理员A使用国密证书登录安全加密设备的流程包括：

步骤1，管理员A和安全加密设备B建立SSL连接后，管理员A发送请求，请求登录安全加密设备B；

步骤2，安全加密设备B生成随机数R_B,并将安全加密设备B的加密证书CertB发送给管理员A；

步骤3，管理员A收到加密证书CertB后，执行以下操作：

1)生成随机数R_A；

2)管理员A用管理员签名证书CertA对随机数R_A、随机数R_B、用户名、口令、进行签名，得到sSA；

3)管理员A用安全加密设备B的CertB加密密钥对中的公钥，对TokenAB,即RA||sSA，进行加密；

4)将加密后的TokenAB发送给安全加密设备B；

步骤4，安全加密设备B收到加密后的TokenAB后，执行以下操作：

(1)安全加密设备B用加密密钥对的私钥解密TokenAB，获得RA||sSA；

(2)安全加密设备B用设备中保存的管理员A的签名密钥对公钥对sSA进行签名验签；成功将得到随机数R_A、随机数R_b、用户名、口令；

(3)安全加密设备B将获得的R_A与验签中得到的R_A进行比较，同时将自己生成的R_B与验签获得的R_B进行比较，均一致则通过，否则失败报错；

(4)安全加密设备B将验签中得到的用户名、口令与保存在设备中的用户名、口令进行一致性比对，一致则登录成功，否则登录失败；

(5)安全加密设备B将登录成功/失败的消息返回给管理员A。

进一步地，该方法还包括：管理员A登录成功后，更新管理员的签名证书。

借由上述方案，通过基于国密证书的管理员双因子认证方法，具有如下技术效果：

1)实现管理员使用国密证书依赖国际SSL协议进行双因子认证登录安全加密设备，SSL连接依然使用国际协议，支持标准浏览器使用国密证书访问安全加密设备。

2)管理员使用国密签名证书，保证管理员认证数据的完整性、防伪造和不可抵赖性，国密签名证书使用ECC算法，加密强度比国际证书使用的RSA算法更高。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，并可依照说明书的内容予以实施，以下以本发明的较佳实施例并配合附图详细说明如后。

附图说明

图1是本发明基于国密证书的管理员双因子认证方法的流程图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

参图1所示，本实施例提供了一种基于国密证书的管理员双因子认证方法，

首先设备初始化，会生成国密证书即安全加密设备的加密证书CertB和管理员A的签名证书CertA，下面是管理员A使用国密证书登录安全加密设备的流程：

1.管理员A和安全加密设备建立SSL连接后，管理员A发送请求，请求登录安全加密设备B。

2.安全加密设备B生成随机数R_B,并将安全加密设备的加密证书CertB发送给管理员A。

3.管理员A收到后，执行以下操作：

1)生成随机数R_A。

2)管理员A用管理员签名证书CertA对随机数R_A、随机数R_B、用户名、

口令、进行签名，得到sSA。

3)管理员A用安全加密设备B的CertB加密密钥对中的公钥，对TokenAB,即R_A||sSA，进行加密。

4)将加密后的TokenAB发送给安全加密设备B。

4.安全加密设备B收到后，执行以下操作：

1)安全加密设备B用加密密钥对的私钥解密TokenAB，获得R_A||sSA。

2)安全加密设备B用设备中保存的管理员A的签名密钥对公钥对sSA进行签名验签。成功将得到随机数R_A、随机数R_b、用户名、口令。

3)安全加密设备B将获得的R_A与验签中得到的R_A进行比较，同时将自己生成的R_B与验签获得R_B进行比较，均一致则通过，否则失败报错。

4)安全加密设备B将验签中得到的用户名、口令与保存在设备中的进行一致性比对，一致则登录成功，否则登录失败。

安全加密设备B将登录成功/失败的消息返回给管理员A。管理员A登录成功后，可以更新管理员的签名证书。

该基于国密证书的管理员双因子认证方法，具有如下技术效果：

以上所述仅是本发明的优选实施方式，并不用于限制本发明，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变型，这些改进和变型也应视为本发明的保护范围。

Claims

1.一种基于国密证书的管理员双因子认证方法，其特征在于，包括如下步骤：

管理员A使用国密证书登录安全加密设备的流程包括：

步骤3，管理员A收到加密证书CertB后，执行以下操作：

1)生成随机数R_A；

4)将加密后的TokenAB发送给安全加密设备B；

(5)安全加密设备B将登录成功/失败的消息返回给管理员A。

2.根据权利要求1所述的基于国密证书的管理员双因子认证方法，其特征在于，还包括：管理员A登录成功后，更新管理员的签名证书。