CN114760114A - 身份认证方法、装置、设备及介质 - Google Patents

身份认证方法、装置、设备及介质 Download PDF

Info

Publication number
CN114760114A
CN114760114A CN202210325210.2A CN202210325210A CN114760114A CN 114760114 A CN114760114 A CN 114760114A CN 202210325210 A CN202210325210 A CN 202210325210A CN 114760114 A CN114760114 A CN 114760114A
Authority
CN
China
Prior art keywords
information
access
identity
certificate
signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210325210.2A
Other languages
English (en)
Other versions
CN114760114B (zh
Inventor
李子阳
邱振涛
宗瑞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Weway Shenzhen Network Technology Co ltd
Original Assignee
Weway Shenzhen Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Weway Shenzhen Network Technology Co ltd filed Critical Weway Shenzhen Network Technology Co ltd
Priority to CN202210325210.2A priority Critical patent/CN114760114B/zh
Publication of CN114760114A publication Critical patent/CN114760114A/zh
Application granted granted Critical
Publication of CN114760114B publication Critical patent/CN114760114B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/72Signcrypting, i.e. digital signing and encrypting simultaneously

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及信息安全领域,揭露一种身份认证方法,包括:接收客户端发送的服务访问请求,其中,服务访问请求包括访问信息和访问证书,访问信息包括客户端的身份信息;对访问证书进行验证,在访问证书验证通过后,对访问信息进行解密,得到解密信息;对解密信息进行签名认证,生成服务访问请求的认证结果。本发明还涉及一种区块链技术,认证结果可以存储在区块链节点中。本发明还提出一种身份认证装置、设备以及介质。本发明可以提高身份信息的安全性。

Description

身份认证方法、装置、设备及介质
技术领域
本发明涉及信息安全领域,尤其涉及一种身份认证方法、装置、电子设备及计算机可读存储介质。
背景技术
在网络环境下的信息世界,身份是区别于其他个体的一种标识。为了与其他个体有所区别,身份必须具有唯一性,且唯一性是有条件的,比如电话号码,在一个区域内是唯一的,如果考虑多个区域,可能会有相同的号码,但只要再添加区域号段,又能唯一区分开来。网络环境下的身份不仅仅用于标识一个人,也可以用于标识一个机器、一个物体,甚至一个虚拟的东西(比如进程、会话过程等),因此,网络环境下的身份是在一定范围内用于标识事、物、人的字符串。
网络环境下的身份认证不是对事物的资质审查,而是对事物真实性的确认,例如,在通信过程中,身份认证就是要确认通信过程中另一端的个体是谁(比如,人、物、虚拟过程),进而进行通信。通常的通信协议都需要知道对方的身份信息,但这种身份信息仅用于识别,不能保证该身份信息是真实的,使得该身份信息在传输过程中常常被恶意篡改或信息窃取,导致通信过程中的安全风险较高。
发明内容
本发明提供一种身份认证方法、装置、电子设备及计算机可读存储介质,其主要目的是为了提高身份信息的安全性。
为实现上述目的,本发明提供的一种身份认证方法,包括:
接收客户端发送的服务访问请求,其中,所述服务访问请求包括访问信息和访问证书,所述访问信息包括所述客户端的身份信息;
对所述访问证书进行验证,在所述访问证书验证通过后,对所述访问信息进行解密,得到解密信息;
对所述解密信息进行签名认证,生成所述服务访问请求的认证结果。
可选地,所述对所述访问证书进行验证,包括:
获取所述访问证书的发送方的数字签名,并验证所述数字签名与预设公钥是否匹配;
若所述数字签名与所述预设公钥匹配,确定所述访问证书验证通过;
若所述数字签名与所述预设公钥不匹配,确定所述访问证书验证不通过。
可选地,所述对所述访问信息进行解密,得到解密信息,包括:
将所述访问信息转换为加密字符串,并将所述加密字符串划分为第一加密字符串、第二加密字符串及第三加密字符串;
判断所述第一加密字符串是否满足预设的椭圆曲线方程,若所述第一加密字符串满足所述椭圆曲线方程,利用预设的椭圆曲线公钥密码算法对所述第一加密字符串进行解密,得到第一解密明文,并验证所述第二加密字符串的派生函数是否全为零值;
若所述第二加密字符串的派生函数不全为零值,确定所述派生函数的值为所述第二加密字符串的第二解密明文;
利用哈希算法对所述第三加密字符串进行解密,得到第三解密明文;
拼接所述第一解密明文、所述第二解密明文及所述第三解密明文,得到解密信息。
可选地,所述对所述解密信息进行签名认证,生成所述服务访问请求的认证结果,包括:
对所述解密信息进行签名,得到签名身份;
获取所述签名身份的签名私钥,利用所述签名私钥对预设的签名身份公钥进行认证,生成所述服务访问请求的认证结果。
可选地,所述对所述解密信息进行签名,得到签名身份,包括:
利用预构建的加密算法生成解密信息公钥和解密信息私钥,并将所述解密信息私钥和所述解密信息公钥存储至预设的证书请求文件中;
根据所述证书请求文件生成公钥证书;
获取预设服务器私钥,根据所述预设服务器私钥对所述公钥证书进行签名,得到签名身份。
可选地,所述根据所述预设服务器私钥对所述公钥证书进行签名,得到签名身份,包括:
将所述公钥证书进行编码,得到公钥证书字符串;
根据所述预设服务器私钥,通过利用预设的签名算法对所述公钥证书字符串进行签名,得到签名身份。
可选地,所述访问信息包括:访问地址、访问对象及访问域名。
为了解决上述问题,本发明还提供一种身份认证装置,所述装置包括:
请求接收模块,接收客户端发送的服务访问请求,其中,所述服务访问请求包括访问信息和访问证书,所述访问信息包括所述客户端的身份信息;
解密模块,用于对所述访问证书进行验证,在所述访问证书验证通过后,对所述访问信息进行解密,得到解密信息;
认证模块,用于对所述解密信息进行签名认证,生成所述服务访问请求的认证结果。
为了解决上述问题,本发明还提供一种电子设备,所述电子设备包括:
存储器,存储至少一个计算机程序;及
处理器,执行所述存储器中存储的计算机程序以实现上述所述的身份认证方法。
为了解决上述问题,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一个计算机程序,所述至少一个计算机程序被电子设备中的处理器执行以实现上述所述的身份认证方法。
本发明实施例中,首先接收客户端发出的服务访问请求,其中,所述服务访问请求包括访问信息和访问证书,所述访问信息包括所述客户端的身份信息;其次,对所述访问证书进行验证,在所述访问证书验证通过后,对所述服务访问请求中的访问信息进行解密,得到解密信息,通过对服务访问请求中的访问证书进行验证,可以判断服务访问请求是否为伪造的指令,初步加强身份信息保护;对所述解密信息进行签名认证,以生成所述服务访问请求的认证结果,其中,所述解密信息是对访问信息进行解密所得,且访问信息包括了客户端的身份信息,可以进一步验证了客户端身份的合法性,并加强了对客户端身份的第二重保护,也保护身份信息在整个传输过程中不被其他人窃取甚至篡改,通过两重验证,提高了身份信息的安全性。因此本发明实施例提出的身份认证方法、装置、电子设备及可存储介质可以提高身份信息的安全性。
附图说明
图1为本发明一实施例提供的身份认证方法的流程示意图;
图2为本发明一实施例提供的身份认证装置的模块示意图;
图3为本发明一实施例提供的实现身份认证方法的电子设备的内部结构示意图;
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例提供一种身份认证方法。所述身份认证方法的执行主体包括但不限于服务端、终端等能够被配置为执行本申请实施例提供的该方法的电子设备中的至少一种。换言之,所述身份认证方法可以由安装在终端设备或服务端设备的软件或硬件来执行,所述软件可以是区块链平台。所述服务端包括但不限于:单台服务器、服务器集群、云端服务器或云端服务器集群等。
参照图1所示的本发明一实施例提供的身份认证方法的流程示意图,在本发明实施例中,所述身份认证方法包括:
S1、接收客户端发送的服务访问请求,其中,所述服务访问请求包括访问信息和访问证书,所述访问信息包括所述客户端的身份信息。
本发明实施例中,所述服务访问请求的请求内容或请求目的因不同的业务场景而异,比如,在通讯场景中,所述服务访问请求可以是用于发起通话的请求。
本发明实施例中,所述服务访问请求包括访问信息和访问证书。
详细地,所述访问信息包括:访问地址、访问对象及访问域名。
本发明实施例中,所述访问证书是指通讯时各方身份信息的数字认证,主要作用是识别服务访问请求的发送方的身份。
本发明一实施例中,身份认证方法的执行主体为网关,该网关集成CA服务器的功能,则网关接收客户端发送的服务访问请求。具体的,当所有来自客户端的服务访问请求先经过网关,然后通过路由这些请求到对应的微服务,可以避免内网地址暴露在外部,相比起调用每个服务访问请求指定的服务,客户端直接跟网关交互进行交互,并且网关会提供给每一个客户端一个特定API,减少客户端与服务器端的通信次数,提高交互效率。
本发明另一实施例中,身份认证方法的执行主体为CA服务器(该CA服务器是集成网关功能,可以用于签发证书、认证证书及管理已颁发证书),则CA服务器接收客户端发送的服务访问请求。
S2、对所述访问证书进行验证,在所述访问证书验证通过后,对所述访问信息进行解密,得到解密信息。
本发明一实施例中,所述服务访问请求进入网关后,对访问证书进行验证,验证通过后使用SM2国密算法对请求进行解密,再利用网关路由转发到内部其他微服务。
详细地,所述对所述访问证书进行验证,包括:
获取所述访问证书的发送方的数字签名,并验证所述数字签名与预设公钥是否匹配;
若所述数字签名与所述预设公钥匹配,确定所述访问证书验证通过;
若所述数字签名与所述预设公钥不匹配,确定所述访问证书验证不通过。
本发明一实施例中,所述发送方的数字签名是标志发送方的网址信息的加密数字,主要用于接收方验证发送方身份的合法性。
本发明实施例中,当网关或CA服务器为服务访问请求的接收方时,接收方需要使用发送方的公钥才能解开数字签名得到子系统的网址信息。
本发明实施例中,所述解密信息由对访问信息进行解密得到,因此,解密信息具体可以包括所述客户端的身份信息(如姓名、工号ID及职位等),及访问地址、访问对象及访问域名,其中,所述访问地址可以为发起访问请求的系统网站地址;所述访问域名可以是发起访问请求的系统网站IP地址。
较佳地,可以通过SM2国密算法对所述服务访问请求中的访问信息进行解密。
详细地,所述对所述访问信息进行解密,得到解密信息,包括:
将所述访问信息转换为加密字符串,并将所述加密字符串划分为第一加密字符串、第二加密字符串及第三加密字符串;
判断所述第一加密字符串是否满足预设的椭圆曲线方程,若所述第一加密字符串满足所述椭圆曲线方程,利用预设的椭圆曲线公钥密码算法对所述第一加密字符串进行解密,得到第一解密明文,并验证所述第二加密字符串的派生函数是否全为零值;
若所述第二加密字符串的派生函数不全为零值,确定所述派生函数的值为所述第二加密字符串的第二解密明文;
利用哈希算法对所述第三加密字符串进行解密,得到第三解密明文;
拼接所述第一解密明文、所述第二解密明文及所述第三解密明文,得到解密信息。
本发明一实施例中,所述加密字符串是指访问信息加密所得的比特串(即由数字和字母组成的字符串),其中第一加密字符串可以看作C1、第二加密字符串可以看作C2及第三加密字符串可以看作C3
本发明一可选实施例中,定义一条唯一的椭圆曲线,且判断C1、C2、C3都应该满足该曲线,首先判断C1是否满足预设的椭圆曲线方程,若C1不满足所述椭圆曲线方程,直接显示解密错误并退出解密过程;若C1满足所述椭圆曲线方程,利用第一公钥对P(X1,Y1)对C1进行解密,得到第一解密明文C1′。
进一步地,通过下列公式可以验证C2的派生函数是否全为零值:
t=KDF(X2||Y2,klen)
其中,KDF为派生函数,(X2||Y2)为第二公钥对,klen为第二加密字符串对应的明文长度,也是访问信息真正的明文。
若C2的派生函数KDF全为零值,直接显示解密错误并退出解密过程;若C2的派生函数KDF不全为零值,确定所述KDF的值为C2的第二解密明文C2′。
本发明一实施例中,C3是杂凑值,主要作用是校验数据,利用hash算法对C3进行解密,得到第三解密明文C3′。
S3、对所述解密信息进行签名认证,生成所述服务访问请求的认证结果。
本发明实施例中,当网关对所述解密信息进行签名认证时,可以采用预设的服务路由方式将所述解密信息传输至网关的CA服务器功能模块中,以通过所述CA服务器功能模块对所述解密信息进行签名认证,或者,还可以由网关直接调用CA服务器中的证书签名模块对解密信息进行签名认证。
具体地,可以采用预设的服务路由方式将所述解密信息传输至CA服务器功能模块中,将所述解密信息看作是p10数据(即发送到CA服务器功能模块的服务访问请求认证信息),并使用预设服务器私钥对所述p10数据进行签名并进行数据审核,数据审核通过后得到服务访问请求的认证结果,其中,所述p10数据是CA服务器功能模块中的常用的数据,且p10数据包含的信息仍是解密信息。
本发明另一实施例中,当CA服务器对所述解密信息进行签名认证时,可以直接通过所述CA服务器对所述解密信息进行签名认证。
本发明又一实施例中,可以由网关接收客户端发送的服务访问请求,并对所述访问证书进行验证,在所述访问证书验证通过后,对所述访问信息进行解密,得到解密信息;再由CA服务器对解密信息进行签名认证,生成所述服务访问请求的认证结果。
详细地,所述对所述解密信息进行签名认证,生成所述服务访问请求的认证结果,包括:
对所述解密信息进行签名,得到签名身份;
获取所述签名身份的签名私钥,利用所述签名私钥对预设的签名身份公钥进行认证,生成所述服务访问请求的认证结果。
本发明一实施例中,所述签名身份是对所述解密信息进行再加密所得,利用签名私钥对预设的签名身份公钥进行认证,若签名私钥对预设的签名身份公钥相匹配,即所述服务访问请求的认证结果为发送方的身份信息(如姓名、工号ID及职位);若签名私钥对预设的签名身份公钥不匹配,所述服务访问请求的认证结果为发送方身份验证错误。
例如,解密信息X+经过对X进行签名后的结果为Y,当接收方接收到Y后,通过预设的签名身份公钥对Y进行认证得到Z,若Z与X相等,得到服务访问请求的认证结果为发送方的身份信息;若Z与X不相等,得到服务访问请求的认证结果为发送方身份验证错误。
进一步地,所述对所述解密信息进行签名,得到签名身份,包括:
利用预构建的加密算法生成解密信息公钥和解密信息私钥,并将所述解密信息私钥和所述解密信息公钥存储至预设的证书请求文件中;
根据所述证书请求文件生成成公钥证书;
获取预设服务器私钥,根据所述预设服务器私钥对所述公钥证书进行签名,得到签名身份。
本发明一实施例中,所述公钥证书是指将解密信息公钥与解密信息进行连接后颁发的证书,所述公钥证书的主要内容包括:电子签证机关的信息、解密信息、解密信息公钥和有效期等;主要作用是确保解密信息除发送方和接收方外不被他人窃取,进而确保解密信息在传输过程中不被篡改。
详细地,所述根据所述预设服务器私钥对所述公钥证书进行签名,得到签名身份,包括:
将所述公钥证书进行编码,得到公钥证书字符串;
根据所述预设服务器私钥,通过利用预设的签名算法对所述公钥证书字符串进行签名,得到签名身份。
本发明另一实施例中,根据所述预设服务器私钥对所述公钥证书进行签名可以进一步证实发送方的身份,发送方利用获取的预设服务器私钥对公钥证书进行签名,接收方可使用发送方的公钥对签名进行验证,以确认发送方的身份,进一步提高了身份信息的安全性。
本发明实施例中,首先接收客户端发出的服务访问请求,其中,所述服务访问请求包括访问信息和访问证书,所述访问信息包括所述客户端的身份信息;其次,对所述访问证书进行验证,在所述访问证书验证通过后,对所述服务访问请求中的访问信息进行解密,得到解密信息,通过对服务访问请求中的访问证书进行验证,可以判断服务访问请求是否为伪造的指令,初步加强身份信息保护;对所述解密信息进行签名认证,以生成所述服务访问请求的认证结果,其中,所述解密信息是对访问信息进行解密所得,且访问信息包括了客户端的身份信息,可以进一步验证了客户端身份的合法性,并加强了对客户端身份的第二重保护,也保护身份信息在整个传输过程中不被其他人窃取甚至篡改,通过两重验证,提高了身份信息的安全性。因此本发明实施例提出的身份认证方法可以提高身份信息的安全性。
如图2所示,是本发明身份认证装置的功能模块图。
本发明所述身份认证装置100可以安装于电子设备中。根据实现的功能,所述身份认证装置可以包括请求接收模块101、解密模块102、认证模块103,本发所述模块也可以称之为单元,是指一种能够被电子设备处理器所执行,并且能够完成固定功能的一系列计算机程序段,其存储在电子设备的存储器中。
在本实施例中,关于各模块/单元的功能如下:
所述请求接收模块101,用于接收客户端发送的服务访问请求,其中,所述服务访问请求包括访问信息和访问证书,所述访问信息包括所述客户端的身份信息。
本发明实施例中,所述服务访问请求的请求内容或请求目的因不同的业务场景而异,比如,在通讯场景中,所述服务访问请求可以是用于发起通话的请求。
本发明实施例中,所述服务访问请求包括访问信息和访问证书。
详细地,所述访问信息包括:访问地址、访问对象及访问域名。
本发明实施例中,所述访问证书是指通讯时各方身份信息的数字认证,主要作用是识别服务访问请求的发送方的身份。
本发明一实施例中,身份认证方法的执行主体为网关,该网关集成CA服务器的功能,则网关接收客户端发送的服务访问请求。具体的,当所有来自客户端的服务访问请求先经过网关,然后通过路由这些请求到对应的微服务,可以避免内网地址暴露在外部,相比起调用每个服务访问请求指定的服务,客户端直接跟网关交互进行交互,并且网关会提供给每一个客户端一个特定API,减少客户端与服务器端的通信次数,提高交互效率。
本发明另一实施例中,身份认证方法的执行主体为CA服务器(该CA服务器是集成网关功能,可以用于签发证书、认证证书及管理已颁发证书),则CA服务器接收客户端发送的服务访问请求。
所述解密模块102,用于对所述访问证书进行验证,在所述访问证书验证通过后,对所述访问信息进行解密,得到解密信息。
本发明一实施例中,所述服务访问请求进入网关后,对访问证书进行验证,验证通过后使用SM2国密算法对请求进行解密,再利用网关路由转发到内部其他微服务。
详细地,所述解密模块102通过执行下述操作对所述访问证书进行验证,包括:
获取所述访问证书的发送方的数字签名,并验证所述数字签名与预设公钥是否匹配;
若所述数字签名与所述预设公钥匹配,确定所述访问证书验证通过;
若所述数字签名与所述预设公钥不匹配,确定所述访问证书验证不通过。
本发明一实施例中,所述发送方的数字签名是标志发送方的网址信息的加密数字,主要用于接收方验证发送方身份的合法性。
本发明实施例中,当网关或CA服务器为服务访问请求的接收方时,接收方需要使用发送方的公钥才能解开数字签名得到子系统的网址信息。
本发明实施例中,所述解密信息由对访问信息进行解密得到,因此,解密信息具体可以包括所述客户端的身份信息(如姓名、工号ID及职位等),及访问地址、访问对象及访问域名,其中,所述访问地址可以为发起访问请求的系统网站地址;所述访问域名可以是发起访问请求的系统网站IP地址。
较佳地,可以通过SM2国密算法对所述服务访问请求中的访问信息进行解密。
详细地,所述对所述访问信息进行解密,得到解密信息,包括:
将所述访问信息转换为加密字符串,并将所述加密字符串划分为第一加密字符串、第二加密字符串及第三加密字符串;
判断所述第一加密字符串是否满足预设的椭圆曲线方程,若所述第一加密字符串满足所述椭圆曲线方程,利用预设的椭圆曲线公钥密码算法对所述第一加密字符串进行解密,得到第一解密明文,并验证所述第二加密字符串的派生函数是否全为零值;
若所述第二加密字符串的派生函数不全为零值,确定所述派生函数的值为所述第二加密字符串的第二解密明文;
利用哈希算法对所述第三加密字符串进行解密,得到第三解密明文;
拼接所述第一解密明文、所述第二解密明文及所述第三解密明文,得到解密信息。
本发明一实施例中,所述加密字符串是指访问信息加密所得的比特串(即由数字和字母组成的字符串),其中第一加密字符串可以看作C1、第二加密字符串可以看作C2及第三加密字符串可以看作C3
本发明一可选实施例中,定义一条唯一的椭圆曲线,且判断C1、c2、C3都应该满足该曲线,首先判断C1是否满足预设的椭圆曲线方程,若C1不满足所述椭圆曲线方程,直接显示解密错误并退出解密过程;若C1满足所述椭圆曲线方程,利用第一公钥对P(X1,Y1)对C1进行解密,得到第一解密明文C1′。
进一步地,通过下列公式可以验证C2的派生函数是否全为零值:
t=KDF(X2||Y2,klen)
其中,KDF为派生函数,(X2||Y2)为第二公钥对,klen为第二加密字符串对应的明文长度,也是访问信息真正的明文。
若C2的派生函数KDF全为零值,直接显示解密错误并退出解密过程;若C2的派生函数KDF不全为零值,确定所述KDF的值为C2的第二解密明文C2′。
本发明一实施例中,C3是杂凑值,主要作用是校验数据,利用hash算法对C3进行解密,得到第三解密明文C3′。
所述认证模块103,用于对所述解密信息进行签名认证,生成所述服务访问请求的认证结果。
本发明实施例中,当网关对所述解密信息进行签名认证时,可以采用预设的服务路由方式将所述解密信息传输至网关的CA服务器功能模块中,以通过所述CA服务器功能模块对所述解密信息进行签名认证,或者,还可以由网关直接调用CA服务器中的证书签名模块对解密信息进行签名认证。
具体地,可以采用预设的服务路由方式将所述解密信息传输至CA服务器功能模块中,将所述解密信息看作是p10数据(即发送到CA服务器功能模块的服务访问请求认证信息),并使用预设服务器私钥对所述p10数据进行签名并进行数据审核,数据审核通过后得到服务访问请求的认证结果,其中,所述p10数据是CA服务器功能模块中的常用的数据,且p10数据包含的信息仍是解密信息。
本发明另一实施例中,当CA服务器对所述解密信息进行签名认证时,可以直接通过所述CA服务器对所述解密信息进行签名认证。
本发明又一实施例中,可以由网关接收客户端发送的服务访问请求,并对所述访问证书进行验证,在所述访问证书验证通过后,对所述访问信息进行解密,得到解密信息;再由CA服务器对解密信息进行签名认证,生成所述服务访问请求的认证结果。
详细地,所述认证模块103通过执行下述操作对所述解密信息进行签名认证,生成所述服务访问请求的认证结果,包括:
对所述解密信息进行签名,得到签名身份;
获取所述签名身份的签名私钥,利用所述签名私钥对预设的签名身份公钥进行认证,生成所述服务访问请求的认证结果。
本发明一实施例中,所述签名身份是对所述解密信息进行再加密所得,利用签名私钥对预设的签名身份公钥进行认证,若签名私钥对预设的签名身份公钥相匹配,即所述服务访问请求的认证结果为发送方的身份信息(如姓名、工号ID及职位);若签名私钥对预设的签名身份公钥不匹配,所述服务访问请求的认证结果为发送方身份验证错误。
例如,解密信息X+经过对X进行签名后的结果为Y,当接收方接收到Y后,通过预设的签名身份公钥对Y进行认证得到Z,若Z与X相等,得到服务访问请求的认证结果为发送方的身份信息;若Z与X不相等,得到服务访问请求的认证结果为发送方身份验证错误。
进一步地,所述认证模块103通过执行下述操作对所述解密信息进行签名,得到签名身份,包括:
利用预构建的加密算法生成解密信息公钥和解密信息私钥,并将所述解密信息私钥和所述解密信息公钥存储至预设的证书请求文件中;
根据所述证书请求文件生成成公钥证书;
获取预设服务器私钥,根据所述预设服务器私钥对所述公钥证书进行签名,得到签名身份。
本发明一实施例中,所述公钥证书是指将解密信息公钥与解密信息进行连接后颁发的证书,所述公钥证书的主要内容包括:电子签证机关的信息、解密信息、解密信息公钥和有效期等;主要作用是确保解密信息除发送方和接收方外不被他人窃取,进而确保解密信息在传输过程中不被篡改。
详细地,所述认证模块103通过执行下述操作根据所述预设服务器私钥对所述公钥证书进行签名,得到签名身份,包括:
将所述公钥证书进行编码,得到公钥证书字符串;
根据所述预设服务器私钥,通过利用预设的签名算法对所述公钥证书字符串进行签名,得到签名身份。
本发明另一实施例中,根据所述预设服务器私钥对所述公钥证书进行签名可以进一步证实发送方的身份,发送方利用获取的预设服务器私钥对公钥证书进行签名,接收方可使用发送方的公钥对签名进行验证,以确认发送方的身份,进一步提高了身份信息的安全性。
本发明实施例中,首先接收客户端发出的服务访问请求,其中,所述服务访问请求包括访问信息和访问证书,所述访问信息包括所述客户端的身份信息;其次,对所述访问证书进行验证,在所述访问证书验证通过后,对所述服务访问请求中的访问信息进行解密,得到解密信息,通过对服务访问请求中的访问证书进行验证,可以判断服务访问请求是否为伪造的指令,初步加强身份信息保护;对所述解密信息进行签名认证,以生成所述服务访问请求的认证结果,其中,所述解密信息是对访问信息进行解密所得,且访问信息包括了客户端的身份信息,可以进一步验证了客户端身份的合法性,并加强了对客户端身份的第二重保护,也保护身份信息在整个传输过程中不被其他人窃取甚至篡改,通过两重验证,提高了身份信息的安全性。因此本发明实施例提出的身份认证装置可以提高身份信息的安全性。
如图3所示,是本发明实现身份认证方法的电子设备的结构示意图。
所述电子设备可以包括处理器10、存储器11、通信总线12和通信接口13,还可以包括存储在所述存储器11中并可在所述处理器10上运行的计算机程序,如身份认证程序。
其中,所述存储器11至少包括一种类型的介质,所述介质包括闪存、移动硬盘、多媒体卡、卡型存储器(例如:SD或DX存储器等)、磁性存储器、本地磁盘、光盘等。所述存储器11在一些实施例中可以是电子设备的内部存储单元,例如该电子设备的移动硬盘。所述存储器11在另一些实施例中也可以是电子设备的外部存储设备,例如电子设备上配备的插接式移动硬盘、智能存储卡(Smart Media Card,SMC)、安全数字(Secure Digital,SD)卡、闪存卡(Flash Card)等。进一步地,所述存储器11还可以既包括电子设备的内部存储单元也包括外部存储设备。所述存储器11不仅可以用于存储安装于电子设备的应用软件及各类数据,例如身份认证程序的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。
所述处理器10在一些实施例中可以由集成电路组成,例如可以由单个封装的集成电路所组成,也可以是由多个相同功能或不同功能封装的集成电路所组成,包括一个或者多个中央处理器(Central Processing unit,CPU)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。所述处理器10是所述电子设备的控制核心(Control Unit),利用各种接口和线路连接整个电子设备的各个部件,通过运行或执行存储在所述存储器11内的程序或者模块(例如身份认证程序等),以及调用存储在所述存储器11内的数据,以执行电子设备的各种功能和处理数据。
所述通信总线12可以是外设部件互连标准(perIPheral componentinterconnect,简称PCI)总线或扩展工业标准结构(extended industry standardarchitecture,简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。所述通信总线12总线被设置为实现所述存储器11以及至少一个处理器10等之间的连接通信。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
图3仅示出了具有部件的电子设备,本领域技术人员可以理解的是,图3示出的结构并不构成对所述电子设备的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
例如,尽管未示出,所述电子设备还可以包括给各个部件供电的电源(比如电池),优选地,电源可以通过电源管理装置与所述至少一个处理器10逻辑相连,从而通过电源管理装置实现充电管理、放电管理、以及功耗管理等功能。电源还可以包括一个或一个以上的直流或交流电源、再充电装置、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。所述电子设备还可以包括多种传感器、蓝牙模块、Wi-Fi模块等,在此不再赘述。
可选地,所述通信接口13可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等),通常用于在该电子设备与其他电子设备之间建立通信连接。
可选地,所述通信接口13还可以包括用户接口,用户接口可以是显示器(Display)、输入单元(比如键盘(Keyboard)),可选地,用户接口还可以是标准的有线接口、无线接口。可选地,在一些实施例中,显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在电子设备中处理的信息以及用于显示可视化的用户界面。
应该了解,所述实施例仅为说明之用,在专利申请范围上并不受此结构的限制。
所述电子设备中的所述存储器11存储的身份认证程序是多个计算机程序的组合,在所述处理器10中运行时,可以实现:
接收客户端发送的服务访问请求,其中,所述服务访问请求包括访问信息和访问证书,所述访问信息包括所述客户端的身份信息;
对所述访问证书进行验证,在所述访问证书验证通过后,对所述访问信息进行解密,得到解密信息;
对所述解密信息进行签名认证,生成所述服务访问请求的认证结果。
具体地,所述处理器10对上述计算机程序的具体实现方法可参考图1对应实施例中相关步骤的描述,在此不赘述。
进一步地,所述电子设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取介质中。所述计算机可读介质可以是非易失性的,也可以是易失性的。所述计算机可读介质可以包括:能够携待所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)。
本发明实施例还可以提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序在被电子设备的处理器所执行时,可以实现:
接收客户端发送的服务访问请求,其中,所述服务访问请求包括访问信息和访问证书,所述访问信息包括所述客户端的身份信息;
对所述访问证书进行验证,在所述访问证书验证通过后,对所述访问信息进行解密,得到解密信息;
对所述解密信息进行签名认证,生成所述服务访问请求的认证结果。
进一步地,所述计算机可读存储介质可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据区块链节点的使用所创建的数据等。
在本发明所提供的几个实施例中,应该理解到,所揭露的介质、设备、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。
因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。
本发明所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。
此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。系统权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第二等词语用来表示名称,而并不表示任何特定的顺序。
最后应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。

Claims (10)

1.一种身份认证方法,其特征在于,所述方法包括:
接收客户端发送的服务访问请求,其中,所述服务访问请求包括访问信息和访问证书,所述访问信息包括所述客户端的身份信息;
对所述访问证书进行验证,在所述访问证书验证通过后,对所述访问信息进行解密,得到解密信息;
对所述解密信息进行签名认证,生成所述服务访问请求的认证结果。
2.如权利要求1所述的身份认证方法,其特征在于,所述对所述访问证书进行验证,包括:
获取所述访问证书的发送方的数字签名,并验证所述数字签名与预设公钥是否匹配;
若所述数字签名与所述预设公钥匹配,确定所述访问证书验证通过;
若所述数字签名与所述预设公钥不匹配,确定所述访问证书验证不通过。
3.如权利要求1所述的身份认证方法,其特征在于,所述对所述访问信息进行解密,得到解密信息,包括:
将所述访问信息转换为加密字符串,并将所述加密字符串划分为第一加密字符串、第二加密字符串及第三加密字符串;
判断所述第一加密字符串是否满足预设的椭圆曲线方程,若所述第一加密字符串满足所述椭圆曲线方程,利用预设的椭圆曲线公钥密码算法对所述第一加密字符串进行解密,得到第一解密明文,并验证所述第二加密字符串的派生函数是否全为零值;
若所述第二加密字符串的派生函数不全为零值,确定所述派生函数的值为所述第二加密字符串的第二解密明文;
利用哈希算法对所述第三加密字符串进行解密,得到第三解密明文;
拼接所述第一解密明文、所述第二解密明文及所述第三解密明文,得到解密信息。
4.如权利要求1所述的身份认证方法,其特征在于,所述对所述解密信息进行签名认证,生成所述服务访问请求的认证结果,包括:
对所述解密信息进行签名,得到签名身份;
获取所述签名身份的签名私钥,利用所述签名私钥对预设的签名身份公钥进行认证,生成所述服务访问请求的认证结果。
5.如权利要求4所述的身份认证方法,其特征在于,所述对所述解密信息进行签名,得到签名身份,包括:
利用预构建的加密算法生成解密信息公钥和解密信息私钥,并将所述解密信息私钥和所述解密信息公钥存储至预设的证书请求文件中;
根据所述证书请求文件生成公钥证书;
获取预设服务器私钥,根据所述预设服务器私钥对所述公钥证书进行签名,得到签名身份。
6.如权利要求5所述的身份认证方法,其特征在于,所述根据所述预设服务器私钥对所述公钥证书进行签名,得到签名身份,包括:
将所述公钥证书进行编码,得到公钥证书字符串;
根据所述预设服务器私钥,通过利用预设的签名算法对所述公钥证书字符串进行签名,得到签名身份。
7.如权利要求1所述的身份认证方法,其特征在于,所述访问信息包括:访问地址、访问对象及访问域名。
8.一种身份认证装置,其特征在于,所述装置包括:
请求接收模块,接收客户端发送的服务访问请求,其中,所述服务访问请求包括访问信息和访问证书,所述访问信息包括所述客户端的身份信息;
解密模块,用于对所述访问证书进行验证,在所述访问证书验证通过后,对所述访问信息进行解密,得到解密信息;
认证模块,用于对所述解密信息进行签名认证,生成所述服务访问请求的认证结果。
9.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序指令,所述计算机程序指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至7中任一项所述的身份认证方法。
10.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的身份认证方法。
CN202210325210.2A 2022-03-29 2022-03-29 身份认证方法、装置、设备及介质 Active CN114760114B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210325210.2A CN114760114B (zh) 2022-03-29 2022-03-29 身份认证方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210325210.2A CN114760114B (zh) 2022-03-29 2022-03-29 身份认证方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN114760114A true CN114760114A (zh) 2022-07-15
CN114760114B CN114760114B (zh) 2024-03-12

Family

ID=82329923

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210325210.2A Active CN114760114B (zh) 2022-03-29 2022-03-29 身份认证方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN114760114B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115834253A (zh) * 2023-02-15 2023-03-21 布比(北京)网络技术有限公司 身份验证方法、身份验证系统、客户端和服务端
CN115842632A (zh) * 2022-11-15 2023-03-24 宁德时代新能源科技股份有限公司 身份认证方法、装置、设备及介质
CN117318975A (zh) * 2023-02-28 2023-12-29 日照云控大数据科技有限公司 适用于企业数据化的智能检索处理方法及系统
CN117318975B (zh) * 2023-02-28 2024-05-31 日照云控大数据科技有限公司 适用于企业数据化的智能检索处理方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9231925B1 (en) * 2014-09-16 2016-01-05 Keypasco Ab Network authentication method for secure electronic transactions
CN110598422A (zh) * 2019-08-01 2019-12-20 浙江葫芦娃网络集团有限公司 一种基于移动数字证书的可信身份验证系统及方法
CN110677376A (zh) * 2018-07-03 2020-01-10 中国电信股份有限公司 认证方法、相关设备和系统及计算机可读存储介质
CN112994889A (zh) * 2021-04-29 2021-06-18 北京信安世纪科技股份有限公司 基于sm2的数据处理方法、系统以及电子设备
CN114125158A (zh) * 2021-11-19 2022-03-01 微位(深圳)网络科技有限公司 基于可信电话的防骚扰方法、装置、设备及存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9231925B1 (en) * 2014-09-16 2016-01-05 Keypasco Ab Network authentication method for secure electronic transactions
CN110677376A (zh) * 2018-07-03 2020-01-10 中国电信股份有限公司 认证方法、相关设备和系统及计算机可读存储介质
CN110598422A (zh) * 2019-08-01 2019-12-20 浙江葫芦娃网络集团有限公司 一种基于移动数字证书的可信身份验证系统及方法
CN112994889A (zh) * 2021-04-29 2021-06-18 北京信安世纪科技股份有限公司 基于sm2的数据处理方法、系统以及电子设备
CN114125158A (zh) * 2021-11-19 2022-03-01 微位(深圳)网络科技有限公司 基于可信电话的防骚扰方法、装置、设备及存储介质

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115842632A (zh) * 2022-11-15 2023-03-24 宁德时代新能源科技股份有限公司 身份认证方法、装置、设备及介质
CN115834253A (zh) * 2023-02-15 2023-03-21 布比(北京)网络技术有限公司 身份验证方法、身份验证系统、客户端和服务端
CN115834253B (zh) * 2023-02-15 2023-04-14 布比(北京)网络技术有限公司 身份验证方法、身份验证系统、客户端和服务端
CN117318975A (zh) * 2023-02-28 2023-12-29 日照云控大数据科技有限公司 适用于企业数据化的智能检索处理方法及系统
CN117318975B (zh) * 2023-02-28 2024-05-31 日照云控大数据科技有限公司 适用于企业数据化的智能检索处理方法及系统

Also Published As

Publication number Publication date
CN114760114B (zh) 2024-03-12

Similar Documents

Publication Publication Date Title
US11799668B2 (en) Electronic identification verification methods and systems with storage of certification records to a side chain
CN109862041B (zh) 一种数字身份认证方法、设备、装置、系统及存储介质
CN109756485B (zh) 电子合同签署方法、装置、计算机设备及存储介质
JP6543040B2 (ja) リモートアクセス、リモートデジタル署名のためのシステムおよび方法
US20160119784A1 (en) Authentication of phone caller identity
WO2018145127A1 (en) Electronic identification verification methods and systems with storage of certification records to a side chain
CN114760114B (zh) 身份认证方法、装置、设备及介质
CN112069547B (zh) 一种供应链责任主体身份认证方法及系统
JP2000222360A (ja) 認証方法、認証システム及び認証処理プログラム記録媒体
CN110189184B (zh) 一种电子发票存储方法和装置
CN113055380B (zh) 报文处理方法、装置、电子设备及介质
CN102769623A (zh) 基于数字证书和生物识别信息进行双重认证的方法
CN111695097A (zh) 登录检验方法、装置及计算机可读存储介质
CN111241492A (zh) 一种产品多租户安全授信方法、系统及电子设备
CN112446050B (zh) 应用于区块链系统的业务数据处理方法及装置
CN111225001B (zh) 区块链去中心化通讯方法、电子设备及系统
CN114125158B (zh) 基于可信电话的防骚扰方法、装置、设备及存储介质
CN112150151B (zh) 安全支付方法、装置、电子设备及存储介质
CN114519206A (zh) 一种匿名签署电子合同的方法及签名系统
CN114629663A (zh) 基于区块链的数字商品交易方法及装置
CN114584347A (zh) 验证短信收发方法、服务器、终端及存储介质
CN111369332A (zh) 基于区块链的数据处理方法及装置
CN114826613B (zh) 基于区块链的身份信息查询方法、装置、设备及存储介质
TWI576779B (zh) Method and Method of Payment Authentication System for Internet of Things
CN116743382B (zh) 电子投票方法、信任中心终端、投票终端及可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant