CN115549930A - 登录操作系统的验证方法 - Google Patents

登录操作系统的验证方法 Download PDF

Info

Publication number
CN115549930A
CN115549930A CN202211533409.0A CN202211533409A CN115549930A CN 115549930 A CN115549930 A CN 115549930A CN 202211533409 A CN202211533409 A CN 202211533409A CN 115549930 A CN115549930 A CN 115549930A
Authority
CN
China
Prior art keywords
certificate
random number
signature
encrypted
password
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202211533409.0A
Other languages
English (en)
Other versions
CN115549930B (zh
Inventor
常进
张斌
李继国
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Eetrust Technology Co ltd
Original Assignee
Eetrust Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Eetrust Technology Co ltd filed Critical Eetrust Technology Co ltd
Priority to CN202211533409.0A priority Critical patent/CN115549930B/zh
Publication of CN115549930A publication Critical patent/CN115549930A/zh
Application granted granted Critical
Publication of CN115549930B publication Critical patent/CN115549930B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/72Signcrypting, i.e. digital signing and encrypting simultaneously

Abstract

本申请公开了一种登录操作系统的验证方法。其中,该方法包括:接收终端设备读取到的智能卡设备的加密证书;生成明文随机数,基于加密证书对明文随机数进行加密得到密文随机数,将密文随机数返回至终端设备,并将明文随机数保存至Session会话中;接收终端设备返回的待验证数据,其中,待验证数据包括:签名值、智能卡设备的签名证书以及Cookie值,对待验证数据进行验证,在确定验证通过的情况下,将帐号与密码下发至终端设备,其中,帐号与密码用于终端设备登录终端设备的操作系统。本申请解决了由于相关技术中默认采用帐号与密码的校验方式对用户身份鉴别存在的容易造成计算机数据泄露,校验密码易被破解,安全性较差的技术问题。

Description

登录操作系统的验证方法
技术领域
本申请涉及计算机登录领域,具体而言,涉及一种登录操作系统的验证方法。
背景技术
计算机是常用的办公设备,在信息安全领域,对计算机的保护变的尤为重要,例如在对计算机开机登录的身份鉴别。相关技术中,计算机系统默认采用帐号和密码的校验方式实现对用户身份的鉴别,但是这种方式存在安全风险,容易造成计算机的数据的泄露,同时,这种登录身份鉴别方式,也容易被破解,安全性较差,存在一定的安全隐患。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种登录操作系统的验证方法,以至少解决由于相关技术中默认采用帐号与密码的校验方式对用户身份鉴别存在的容易造成计算机数据泄露,校验密码易被破解,安全性较差的技术问题。
根据本申请实施例的一个方面,提供了一种登录操作系统的验证方法,包括: 接收终端设备读取到的智能卡设备的加密证书,其中,智能卡设备预置有签名证书、签名私钥、加密证书以及加密私钥;生成明文随机数,基于加密证书对明文随机数进行加密得到密文随机数,将密文随机数返回至终端设备,并将明文随机数保存至Session会话中;接收终端设备返回的待验证数据,其中,待验证数据包括:签名值、智能卡设备的签名证书以及Cookie值,其中,签名值为终端设备对密文随机数进行解密得到明文随机数,基于明文随机数与签名证书的签名私钥确定的;对待验证数据进行验证,在确定验证通过的情况下,将帐号与密码下发至终端设备,其中,帐号与密码用于终端设备登录终端设备的操作系统。
可选地,对待验证数据进行验证,包括:解析签名证书得到签名公钥,基于签名公钥对签名值进行解密,得到第一摘要值;根据所述Cookie值所携带的Session ID查找对应的目标Session,从目标Session获取明文随机数;从目标Session中获取到的明文随机数,通过摘要算法计算得到该明文随机数对应的第二摘要值;比较第一摘要值与第二摘要值,在第一摘要值与第二摘要值相同的情况下,确定验证通过,并删除Session。
可选地,在Cookie值所携带的Session ID查找不到对应的目标Session的情况下,确定验证失败。
可选地,对待验证数据进行验证,包括:通过根证书对签名证书进行验证, 在确定签名证书可信的情况下,获取证书吊销列表,其中,证书吊销列表用于指示已被吊销的签名证书的序列号集合;获取证书吊销列表的有效时间,将有效时间与本地的实时时间进行比较,在确定有效时间处于实时时间以内的情况下,基于证书吊销列表确定签名证书是否被吊销;在确定签名证书未被吊销的情况下,确定验证通过。
可选地,对待验证数据进行验证,包括:对待验证数据进行解析,确定所述终端设备对应的操作系统帐号;判断操作系统帐号与签名证书对应的序列号是否存在授权关系,在操作系统帐号与序列号存在授权关系的情况下,确定验证通过。
可选地,对待验证数据进行验证,包括:对待验证数据进行解析,确定所述终端设备对应的的硬件标识信息;基于硬件标识信息确定终端登录管理系统中是否注册有终端设备,其中,终端登录管理系统用于对登录操作系统的终端设备进行注册管理;在确定终端登录管理系统中注册有终端设备的情况下,确定验证通过。
可选地,基于加密证书对明文随机数进行加密得到密文随机数,包括:解析加密证书得到智能卡设备对应的加密公钥,基于加密公钥对明文随机数进行加密得到密文随机数。
可选地,将帐号与密码下发至终端设备,包括:解析加密证书得到智能卡设备对应的加密公钥;基于智能卡设备对应的加密公钥对密码进行加密,得到加密后的密码;将加密后的密码与帐号下发至终端设备。
根据本申请实施例的另一方面,还提供了一种登录操作系统的验证方法,包括:在拦截到登录请求后,接收目标对象输入的PIN码,校验PIN码,在校验通过后,获取加密私钥与签名私钥访问权限,从智能卡设备读取加密证书;将加密证书发送至服务端,接收服务端返回的密文随机数,其中,密文随机数为服务端基于加密证书所指示智能卡设备对应的加密公钥加密得到的;根据密文随机数与智能卡设备的签名私钥确定签名值;生成待验证数据,其中,待验证数据包括:签名值、签名证书,以及与服务端第一次通信产生的Cookie;接收服务端的响应结果,响应结果用于指示终端设备是否通过验证,以及终端设备通过验证的情况下,服务端下发的帐号与加密后的密码,其中,帐号与密码用于终端设备登录操作系统,加密后的密码为服务端基于加密证书对应的加密公钥对密码进行加密得到的。
可选地,根据密文随机数与智能卡设备的签名私钥确定签名值,包括:调用加密证书所对应的加密私钥对密文随机数进行解密,得到明文随机数,调用预定摘要算法确定明文随机数的摘要值;基于智能卡设备中签名证书对应的签名私钥对摘要值进行签名,得到签名值。
可选地,在接收服务端的响应结果之后,方法还包括:在响应结果中携带有帐号与加密后的密码的情况下,获取加密证书对应的私钥;基于加密证书对应的加密私钥对加密后的密码进行解密,得到明文密码;将帐号与明文密码填充至操作系统的登录程序。
根据本申请实施例的另一方面,还提供了一种登录操作系统的验证装置,包括:第一接收模块,用于接收终端设备读取到的智能卡设备的加密证书,其中,智能卡预置有签名证书、签名私钥、加密证书以及加密私钥;生成模块,用于生成明文随机数,基于加密证书对明文随机数进行加密得到密文随机数,将密文随机数返回至终端设备,并将明文随机数保存至Session会话中;第二接收模块,用于接收终端设备返回的待验证数据,其中,待验证数据包括:签名值、智能卡设备的签名证书以及Cookie值,其中,签名值为终端设备对密文随机数进行解密得到明文随机数,基于明文随机数与签名证书的签名私钥确定的;验证模块,用于对待验证数据进行验证,在确定验证通过的情况下,将帐号与密码下发至终端设备,其中,帐号与密码用于终端设备登录终端设备的操作系统。
根据本申请实施例的另一方面,还提供了一种非易失性存储介质,存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行任意一种登录操作系统的验证方法。
根据本申请实施例的另一方面,还提供了一种电子设备,包括:处理器;用于存储处理器可执行指令的存储器;其中,处理器被配置为执行指令,以实现任意一种登录操作系统的验证方法。
在本申请实施例中,采用智能卡CA数字证书,签名验签进行用户身份的识别的方式,通过接收终端设备读取到的智能卡设备的加密证书;生成明文随机数,基于加密证书对明文随机数进行加密得到密文随机数,将密文随机数返回至终端设备,并将明文随机数保存至Session会话中;接收终端设备返回的待验证数据,其中,待验证数据包括:签名值、智能卡设备的签名证书以及Cookie值,对待验证数据进行验证,在确定验证通过的情况下,将帐号与密码下发至终端设备,其中,帐号与密码用于终端设备登录终端设备的操作系统,达到了在确认各种验证数据无误后,向终端实时推送帐号与密码的目的,从而实现了基于服务端进行集中管理,提升保证密码安全性,保护计算机数据安全的技术效果,进而解决了由于相关技术中默认采用帐号与密码的校验方式对用户身份鉴别存在的容易造成计算机数据泄露,校验密码易被破解,安全性较差的技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的登录操作系统的验证方法的流程示意图;
图2是根据本申请实施例的另一种登录操作系统的验证方法的流程示意图;
图3是根据本申请实施例的另一种登录操作系统的验证装置的结构示意图;
图4示出了可以用来实施本申请的实施例的示例电子设备400的示意性框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为了便于本领域技术人员更好的理解本申请相关实施例,现对本申请实施例可能涉及的技术术语或者部分名词解释如下:
1.非对称加密算法需要两个密钥:公开密钥(publickey:简称公钥)和私有密钥(privatekey:简称私钥)。公钥与私钥是一对,如果用公钥对数据进行加密,只有用对应的私钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。 非对称加密算法实现机密信息交换的基本过程是:甲方生成一对密钥并将公钥公开,需要向甲方发送信息的其他角色(乙方)使用该密钥(甲方的公钥)对机密信息进行加密后再发送给甲方;甲方再用自己私钥对加密后的信息进行解密。甲方想要回复乙方时正好相反,使用乙方的公钥对数据进行加密,同理,乙方使用自己的私钥来进行解密。另一方面,甲方可以使用自己的私钥对机密信息进行签名后再发送给乙方;乙方再用甲方的公钥对甲方发送回来的数据进行验签。
2.对称加密(也叫私钥加密)指加密和解密使用相同密钥的加密算法。有时又叫传统密码算法,就是加密密钥能够从解密密钥中推算出来,同时解密密钥也可以从加密密钥中推算出来。而在大多数的对称算法中,加密密钥和解密密钥是相同的,所以也称这种加密算法为秘密密钥算法或单密钥算法。它要求发送方和接收方在安全通信之前,商定一个密钥。对称算法的安全性依赖于密钥,泄漏密钥就意味着任何人都可以对他们发送或接收的消息解密,所以密钥的保密性对通信的安全性至关重要。
3.摘要函数在密码学中具有重要的地位,被广泛应用在数字签名,消息认证,数据完整性检测等领域。摘要函数通常被认为需要满足三个基本特性:碰撞稳固性,原根稳固性和第二原根稳固性。2005年,Wang等人给出了MD5算法和SHA-1算法的碰撞攻击方法,现今被广泛应用的MD5算法和SHA-1算法不再是安全的算法。SM3密码摘要算法是中国国家密码管理局2010年公布的中国商用密码杂凑算法标准。SM3算法适用于商用密码应用中的数字签名和验证,是在SHA-256基础上改进实现的一种算法。SM3算法采用Merkle-Damgard结构,消息分组长度为512位,摘要值长度为256位。
SM3算法的压缩函数与SHA-256的压缩函数具有相似的结构,但是SM3算法的设计更加复杂,比如压缩函数的每一轮都使用2个消息字。现今为止,SM3算法的安全性相对较高。
4.DLL的全称是Dynamic Link Library, 中文叫做“动态链接文件”。在Windows操作系统中, DLL对于程序执行是非常重要的, 因为程序在执行的时候, 必须链接到DLL文件, 才能够正确地运行。而有些DLL文件可以被许多程序共用。因此, 程序设计人员可以利用DLL文件, 使程序不至于太过巨大。但是当安装的程序越来越多, DLL文件也就会越来越多, 如果当你删除程序的时候, 没有用的DLL文件没有被删除的话, 久而久之就造成系统的负担了。DLL文件和EXE文件同样可以由编译语言生成,但是DLL没有程序启动入口,所以DLL文件不可执行。
根据本申请实施例,提供了一种登录操作系统的验证方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本申请实施例的登录操作系统的验证方法,如图1所示,该方法包括如下步骤:
步骤S102,接收终端设备读取到的智能卡设备的加密证书,其中,智能卡设备预置有签名证书、签名私钥、加密证书以及加密私钥;
步骤S104,生成明文随机数,基于加密证书对明文随机数进行加密得到密文随机数,将密文随机数返回至终端设备,并将明文随机数保存至Session会话中;
需要说明的是,上述Session为保存在服务端的Session会话。
步骤S106,接收终端设备返回的待验证数据,其中,待验证数据包括:签名值、智能卡设备的签名证书以及Cookie值,其中,签名值为终端设备对密文随机数进行解密得到明文随机数,基于明文随机数与签名证书的签名私钥确定的;
需要说明的是,上述签名证书为CA证书签发系统向用户签发的证书,也可以称为用户证书。
步骤S108,对待验证数据进行验证,在确定验证通过的情况下,将帐号与密码下发至终端设备,其中,帐号与密码用于终端设备登录终端设备的操作系统。
该登录操作系统的验证方法中,接收终端设备读取到的智能卡设备的加密证书;生成明文随机数,基于加密证书对明文随机数进行加密得到密文随机数,将密文随机数返回至终端设备,并将明文随机数保存至Session会话中;接收终端设备返回的待验证数据,其中,待验证数据包括:签名值、智能卡设备的签名证书以及Cookie值,对待验证数据进行验证,在确定验证通过的情况下,将帐号与密码下发至终端设备,其中,帐号与密码用于终端设备登录终端设备的操作系统,达到了在确认各种验证数据无误后,向终端实时推送帐号与密码的目的,从而实现了基于服务端进行集中管理,提升保证密码安全性,保护计算机数据安全的技术效果,进而解决了由于相关技术中默认采用帐号与密码的校验方式对用户身份鉴别存在的容易造成计算机数据泄露,校验密码易被破解,安全性较差的技术问题。
本申请一些实施例中,对待验证数据进行验证,包括:解析签名证书得到签名公钥,基于签名公钥对签名值进行解密,得到第一摘要值;根据Cookie值所携带的Session ID查找对应的目标Session,从目标Session获取明文随机数;从目标Session中获取明文随机数,通过摘要算法计算得到该明文随机数对应的第二摘要值;比较第一摘要值与第二摘要值,在第一摘要值与第二摘要值相同的情况下,确定验证通过,并删除Session。上述摘要算法包括但不限于:SM3摘要算法。
可以理解的,在Cookie值所携带的Session ID查找不到对应的目标Session的情况下,可确定验证失败。
作为一种可选的实施方式,对待验证数据进行验证,还可以为通过根证书对签名证书进行验证, 在确定签名证书可信的情况下,获取证书吊销列表,其中,证书吊销列表用于指示已被吊销的签名证书的序列号集合;获取证书吊销列表的有效时间,将有效时间与本地的实时时间进行比较,在确定有效时间处于实时时间以内的情况下,基于证书吊销列表确定签名证书是否被吊销;在确定签名证书未被吊销的情况下,确定验证通过。
需要说明的是, CA证书签发系统在生成签名证书时,需要把根证书的使用密钥标识符,写入至签名证书(以签名证书授权密钥标识符字段的格式进行保存),因此,在根证书对签名证书进行验证的过程中,可通过解析判断签名证书的授权密钥标识符和根证书的使用密钥标识符是否一致,在两者一致的情况下,可确定签名证书可信。另外,在生成签名证书之后,可用根证书对应的私钥,对签名证书进行签名得到签名值,在验证过程中,该签名值只有根证书的私钥才能验证成功,通过该方式也可确定签名证书是否可信。
本申请一些实施例中,对待验证数据进行验证,包括:对待验证数据进行解析,确定终端设备对应的操作系统帐号;判断操作系统帐号与签名证书对应的序列号是否存在授权关系,在操作系统帐号与序列号存在授权关系的情况下,确定验证通过。
本申请一些可选的实施例中,对待验证数据进行验证,还包括:对待验证数据进行解析,确定终端设备对应的硬件标识信息;基于硬件标识信息确定终端登录管理系统中是否注册有终端设备,其中,终端登录管理系统用于对登录操作系统的终端设备进行注册管理;在确定终端登录管理系统中注册有终端设备的情况下,确定验证通过。
需要说明的是,上述硬件标识信息可以为终端设备的硬盘序列号,也可以结合硬盘序列号、CPU以及操作系统等各个方面信息综合生成的序列号。
本申请一些实施例中,基于加密证书对明文随机数进行加密得到密文随机数,还可以通过如下步骤实现,具体的,解析加密证书得到智能卡设备对应的加密公钥,基于加密公钥对明文随机数进行加密得到密文随机数。
本申请一示例性实施例中,将帐号与密码下发至终端设备,可以通过如下方式实现:解析加密证书得到智能卡设备对应的加密公钥;基于智能卡设备对应的加密公钥对密码进行加密,得到加密后的密码;将加密后的密码与帐号下发至终端设备。
图2是根据本申请实施例的另一种登录操作系统的验证方法,如图2所示,该验证方法包括:
步骤S202,在拦截到登录请求后,接收目标对象输入的PIN码,校验PIN码,在校验通过后,获取加密私钥与签名私钥访问权限,从智能卡设备读取加密证书;
步骤S204,将加密证书发送至服务端,接收服务端返回的密文随机数,其中,密文随机数为服务端基于加密证书所指示智能卡设备对应的加密公钥加密得到的;
步骤S206,根据密文随机数与智能卡设备的签名私钥确定签名值;
步骤S208,生成待验证数据,其中,待验证数据包括:签名值、签名证书,以及与服务端第一次通信产生的Cookie;
步骤S210,接收服务端的响应结果,响应结果用于指示终端设备是否通过验证,以及终端设备通过验证的情况下,服务端下发的帐号与加密后的密码,其中,帐号与密码用于终端设备登录操作系统,加密后的密码为服务端基于加密证书对应的加密公钥对密码进行加密得到的。
该登录操作系统的验证方法中,拦截登录请求后,可调用智能卡设备,从智能卡设备中读取所述智能卡设备的加密证书;将加密证书发送至服务端,接收服务端返回的密文随机数,其中,密文随机数为服务端基于加密证书所指示智能卡设备对应的加密公钥加密得到的;根据密文随机数与智能卡设备的签名私钥确定签名值;生成待验证数据,其中,待验证数据至少包括:签名值、签名证书,以及与服务端第一次通信产生的Cookie;接收服务端的响应结果,响应结果用于指示终端设备是否通过验证,以及终端设备通过验证的情况下,服务端下发的帐号与加密后的密码,其中,帐号与密码用于终端设备登录操作系统,加密后的密码为服务端基于加密证书对应的加密公钥对密码进行加密得到的,达到了在确认各种验证数据无误后,向终端实时推送帐号与密码的目的,从而实现了基于服务端进行集中管理,提升保证密码安全性,保护计算机数据安全的技术效果,进而解决了由于相关技术中默认采用帐号与密码的校验方式对用户身份鉴别存在的容易造成计算机数据泄露,校验密码易被破解,安全性较差的技术问题。
本申请一些可选的实施例中,根据密文随机数与智能卡设备的签名私钥确定签名值,可以通过如下方式实现,具体的,调用加密证书所对应的加密私钥对密文随机数进行解密,得到明文随机数,调用预定摘要算法确定明文随机数的摘要值;基于智能卡设备中签名证书对应的的签名私钥对摘要值进行签名,得到签名值。
本申请一些实施例中,在接收服务端的响应结果之后,在响应结果中携带有帐号与加密后的密码的情况下,获取加密证书对应的私钥;基于加密证书对应的加密私钥对加密后的密码进行解密,得到明文密码;将帐号与明文密码填充至操作系统的登录程序。
现结合一具体实施例对本申请上述技术方案进行说明:
1,首先,可基于微软开源代码Credential Provider,修改认证业务逻辑,编译为DLL动态库,用Com控件注册技术,注入操作系统认证模块。
2,当终端电脑认证登录域时,操作系统可自动加载DLL动态库,拦截登录认证请求。
3,DLL动态库调用智能卡设备,校验PIN码,读取加密证书,通过网络发送至服务端。
4,服务端产生明文随机数,并可以采用X509等技术解析加密证书获取智能卡设备的公钥,并可以通过SM2非对称公钥加密算法加密上述明文随机数,形成密文随机数,返回至DLL动态库;并将明文随机数存储到Session中。
5,DLL动态库调用智能卡设备中得SM2非对称解密算法,利用智能卡设备的加密私钥解密密文随机数,得到明文随机数,并可采用SM3算法计算明文随机数对应的摘要值,最后,可利用签名证书的签名私钥,对该摘要值进行签名得到签名值。
6,DLL动态库将上述签名值、签名证书、终端电脑硬件等信息,形成XML通信报文,采用3DES对称加密算法加密报文,并携带第一次通信产生的Cookie值通过网络发送至服务端。
7,服务端对签名数据验签,接收到二次认证请求。可先从Cookie值中找到对应的Session,从Session中找到明文随机数(该随机数为一次有效的随机数),校验数据签名,具体的,用接收到的智能卡设备的签名证书,解析出智能卡设备的签名公钥,用签名公钥解密接收到的签名值,得到明文摘要值;再用SM3算法对Session中的明文随机数摘要,得到摘要值;再将二者摘要值做对比,两者一致则说明数据验签成功,否则提示数据验签失败。
8,服务端对签名证书验证:(1)通过CA根证书对签名证书验签,校验是否该系统签发证书,证书是否被篡改(2)校验证书有效性,通过CRL证书吊销列表,查询证书是否被吊销,以及证书的有效期是否过期(否则提示证书验证失败)。
9,服务端对终端信息查询,通过硬件信息等信息,查询该终端设备是否在终端登录管理系统中已经注册,如果,已经注册可进行后续流程,否则,需要提示未注册。需要说明的是,上述硬件信息可以为根据终端设备的硬盘,CPU生成的序列号。
10,服务端对签名证书和终端设备的授权关系查询,服务端用证书序列号和终端设备的标识对应关系,如果存在授权关系(否则提示未授权),则确定该终端设备对应的主机帐号和密码,并可将密码采用SM2非对称算法,利用加密证书的公钥进行加密,然后,通过网络传输返回至DLL动态库。
11,DLL动态库可依据服务端的返回结果,先将密码通过SM2非对称算法,用加密证书的私钥进行解密,然后,将主机帐号和密码采用代填操作系统WINLOGON进程,实现操作系统登录,进入桌面。
图3是根据本申请实施例的另一种登录操作系统的验证装置,如图3所示,该验证装置包括:
第一接收模块30,用于接收终端设备读取到的智能卡设备的加密证书,其中,智能卡预置有签名证书、签名私钥、加密证书以及加密私钥;
生成模块32,用于生成明文随机数,基于加密证书对明文随机数进行加密得到密文随机数,将密文随机数返回至终端设备,并将明文随机数保存至Session会话中;
第二接收模块34,用于接收终端设备返回的待验证数据,其中,待验证数据包括:签名值、智能卡设备的签名证书以及Cookie值,其中,签名值为终端设备对密文随机数进行解密得到明文随机数,基于明文随机数与签名证书的签名私钥确定的;
验证模块36,用于对待验证数据进行验证,在确定验证通过的情况下,将帐号与密码下发至终端设备,其中,帐号与密码用于终端设备登录终端设备的操作系统。
该登录操作系统的验证装置中,第一接收模块30,用于接收终端设备读取到的智能卡设备的加密证书;生成模块32,用于生成明文随机数,基于加密证书对明文随机数进行加密得到密文随机数,将密文随机数返回至终端设备,并将明文随机数保存至Session会话中;第二接收模块34,用于接收终端设备返回的待验证数据,其中,待验证数据包括:签名值、智能卡设备的签名证书以及Cookie值;验证模块36,用于对待验证数据进行验证,在确定验证通过的情况下,将帐号与密码下发至终端设备,其中,帐号与密码用于终端设备登录终端设备的操作系统,达到了在确认各种验证数据无误后,向终端实时推送帐号与密码的目的,从而实现了基于服务端进行集中管理,提升保证密码安全性,保护计算机数据安全的技术效果,进而解决了由于相关技术中默认采用帐号与密码的校验方式对用户身份鉴别存在的容易造成计算机数据泄露,校验密码易被破解,安全性较差的技术问题。
根据本申请实施例的另一方面,还提供了一种非易失性存储介质,存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行任意一种登录操作系统的验证方法。
具体地,上述存储介质用于存储以下功能的程序指令,实现以下功能:
接收终端设备读取到的智能卡设备的加密证书,其中,智能卡预置有签名证书、签名私钥、加密证书以及加密私钥;生成明文随机数,基于加密证书对明文随机数进行加密得到密文随机数,将密文随机数返回至终端设备,并将明文随机数保存至Session会话中;接收终端设备返回的待验证数据,其中,待验证数据包括:签名值、智能卡设备的签名证书以及Cookie值,其中,签名值为终端设备对密文随机数进行解密得到明文随机数,基于明文随机数与签名证书的签名私钥确定的;对待验证数据进行验证,在确定验证通过的情况下,将帐号与密码下发至终端设备,其中,帐号与密码用于终端设备登录终端设备的操作系统。
可选地,在本实施例中,上述存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。上述存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
在本申请一示例性实施例中,还提供了一种计算机程序产品,包括计算机程序,计算机程序在被处理器执行时实现上述任一项的登录操作系统的验证方法。
可选地,该计算机程序在被处理器执行时可实现如下步骤:
接收终端设备读取到的智能卡设备的加密证书,其中,智能卡预置有签名证书、签名私钥、加密证书以及加密私钥;生成明文随机数,基于加密证书对明文随机数进行加密得到密文随机数,将密文随机数返回至终端设备,并将明文随机数保存至Session会话中;接收终端设备返回的待验证数据,其中,待验证数据包括:签名值、智能卡设备的签名证书以及Cookie值,其中,签名值为终端设备对密文随机数进行解密得到明文随机数,基于明文随机数与签名证书的签名私钥确定的;对待验证数据进行验证,在确定验证通过的情况下,将帐号与密码下发至终端设备,其中,帐号与密码用于终端设备登录终端设备的操作系统。
根据本申请的实施例提供了一种电子设备,该电子设备包括:至少一个处理器;以及与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行上述任一项的登录操作系统的验证方法。
可选地,上述电子设备还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入设备输出设备和上述处理器连接。
图4示出了可以用来实施本申请的实施例的示例电子设备400的示意性框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本申请的实现。
如图4所示,设备400包括计算单元401,其可以根据存储在只读存储器(ROM)402中的计算机程序或者从存储单元408加载到随机访问存储器(RAM)403中的计算机程序,来执行各种适当的动作和处理。在RAM 403中,还可存储设备400操作所需的各种程序和数据。计算单元401、ROM 402以及RAM 403通过总线404彼此相连。输入/输出(I/O)接口405也连接至总线404。
设备400中的多个部件连接至I/O接口405,包括:输入单元406,例如键盘、鼠标等;输出单元407,例如各种类型的显示器、扬声器等;存储单元408,例如磁盘、光盘等;以及通信单元409,例如网卡、调制解调器、无线通信收发机等。通信单元409允许设备400通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元401可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元401的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元401执行上文所描述的各个方法和处理,例如登录操作系统的验证方法。例如,在一些实施例中,登录操作系统的验证方法可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元408。在一些实施例中,计算机程序的部分或者全部可以经由ROM 402和/或通信单元409而被载入和/或安装到设备400上。当计算机程序加载到RAM 403并由计算单元401执行时,可以执行上文描述的登录操作系统的验证方法的一个或多个步骤。备选地,在其他实施例中,计算单元401可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行登录操作系统的验证方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本申请的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本申请的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,也可以为分布式系统的服务器,或者是结合了区块链的服务器。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。

Claims (12)

1.一种登录操作系统的验证方法,其特征在于,包括:
接收终端设备读取到的智能卡设备的加密证书,其中,所述智能卡设备预置有签名证书、签名私钥、加密证书以及加密私钥;
生成明文随机数,基于所述加密证书对所述明文随机数进行加密得到密文随机数,将所述密文随机数返回至所述终端设备,并将所述明文随机数保存至Session会话中;
接收所述终端设备返回的待验证数据,其中,所述待验证数据包括:签名值、所述智能卡设备的签名证书以及Cookie值,其中,所述签名值为所述终端设备对所述密文随机数进行解密得到所述明文随机数,基于所述明文随机数与签名证书的签名私钥确定的;
对所述待验证数据进行验证,在确定验证通过的情况下,将帐号与密码下发至所述终端设备,其中,所述帐号与所述密码用于所述终端设备登录所述终端设备的操作系统。
2.根据权利要求1所述的验证方法,其特征在于,对所述待验证数据进行验证,包括:
解析所述签名证书得到签名公钥,基于所述签名公钥对所述签名值进行解密,得到第一摘要值;
根据所述Cookie值所携带的Session ID查找对应的目标Session,从所述目标Session获取所述明文随机数;
从所述目标Session中获取明文随机数,通过摘要算法计算得到该明文随机数对应的第二摘要值;
比较所述第一摘要值与所述第二摘要值,在所述第一摘要值与所述第二摘要值相同的情况下,确定验证通过,并删除所述Session。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
在所述Cookie值所携带的Session ID查找不到对应的目标Session的情况下,确定验证失败。
4.根据权利要求2所述的验证方法,其特征在于,对所述待验证数据进行验证,包括:
通过根证书对所述签名证书进行验证, 在确定所述签名证书可信的情况下,获取证书吊销列表,其中,所述证书吊销列表用于指示已被吊销的签名证书的序列号集合;
获取所述证书吊销列表的有效时间,将所述有效时间与本地的实时时间进行比较,在确定所述有效时间处于所述实时时间以内的情况下,基于所述证书吊销列表确定所述签名证书是否被吊销;
在确定所述签名证书未被吊销的情况下,确定验证通过。
5.根据权利要求2所述的验证方法,其特征在于,对所述待验证数据进行验证,包括:
对所述待验证数据进行解析,确定所述终端设备对应的操作系统帐号;
判断所述操作系统帐号与所述签名证书对应的序列号是否存在授权关系,在所述操作系统帐号与所述序列号存在授权关系的情况下,确定验证通过。
6.根据权利要求2所述的验证方法,其特征在于,对所述待验证数据进行验证,包括:
对所述待验证数据进行解析,确定所述终端设备对应的硬件标识信息;
基于所述硬件标识信息确定终端登录管理系统中是否注册有所述终端设备,其中,所述终端登录管理系统用于对登录所述操作系统的终端设备进行注册管理;
在确定所述终端登录管理系统中注册有所述终端设备的情况下,确定验证通过。
7.根据权利要求1所述的验证方法,其特征在于,基于所述加密证书对所述明文随机数进行加密得到密文随机数,包括:
解析所述加密证书得到所述智能卡设备对应的加密公钥,基于所述加密公钥对所述明文随机数进行加密得到所述密文随机数。
8.根据权利要求1至权利要求7任意一项所述的验证方法,其特征在于,将帐号与密码下发至所述终端设备,包括:
解析所述加密证书得到所述智能卡设备对应的加密公钥;
基于所述智能卡设备对应的加密公钥对所述密码进行加密,得到加密后的密码;
将所述加密后的密码与所述帐号下发至所述终端设备。
9.一种登录操作系统的验证方法,其特征在于,包括:
在拦截到登录请求后,接收目标对象输入的PIN码,校验所述PIN码,在校验通过后,获取加密私钥与签名私钥访问权限,从智能卡设备读取加密证书;
将所述加密证书发送至服务端,接收所述服务端返回的密文随机数,其中,所述密文随机数为所述服务端基于所述加密证书所指示智能卡设备对应的加密公钥加密得到的;
根据所述密文随机数与所述智能卡设备的签名私钥确定签名值;
生成待验证数据,其中,所述待验证数据包括:所述签名值、所述签名证书,以及与服务端第一次通信产生的Cookie;
接收所述服务端的响应结果,所述响应结果用于指示终端设备是否通过验证,以及终端设备通过验证的情况下,所述服务端下发的帐号与加密后的密码,其中,所述帐号与所述密码用于所述终端设备登录操作系统,所述加密后的密码为所述服务端基于所述加密证书对应的加密公钥对所述密码进行加密得到的。
10.根据权利要求9所述的验证方法,其特征在于,根据所述密文随机数与所述智能卡设备的签名私钥确定签名值,包括:
调用所述加密证书所对应的加密私钥对所述密文随机数进行解密,得到明文随机数,调用预定摘要算法确定所述明文随机数的摘要值;
基于所述智能卡设备中签名证书对应的签名私钥对所述摘要值进行签名,得到所述签名值。
11.根据权利要求9所述的验证方法,其特征在于,在接收所述服务端的响应结果之后,所述方法还包括:
在所述响应结果中携带有所述帐号与加密后的密码的情况下,获取所述加密证书对应的私钥;
基于所述加密证书对应的加密私钥对所述加密后的密码进行解密,得到明文密码;
将所述帐号与所述明文密码填充至所述操作系统的登录程序。
12.一种登录操作系统的验证装置,其特征在于,包括:
第一接收模块,用于接收终端设备读取到的智能卡设备的加密证书,其中,所述智能卡预置有签名证书、签名私钥、加密证书以及加密私钥;
生成模块,用于生成明文随机数,基于所述加密证书对所述明文随机数进行加密得到密文随机数,将所述密文随机数返回至所述终端设备,并将所述明文随机数保存至Session会话中;
第二接收模块,用于接收所述终端设备返回的待验证数据,其中,所述待验证数据包括:签名值、所述智能卡设备的签名证书以及Cookie值,其中,所述签名值为所述终端设备对所述密文随机数进行解密得到所述明文随机数,基于所述明文随机数与签名证书的签名私钥确定的;
验证模块,用于对所述待验证数据进行验证,在确定验证通过的情况下,将帐号与密码下发至所述终端设备,其中,所述帐号与所述密码用于所述终端设备登录所述终端设备的操作系统。
CN202211533409.0A 2022-12-02 2022-12-02 登录操作系统的验证方法 Active CN115549930B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211533409.0A CN115549930B (zh) 2022-12-02 2022-12-02 登录操作系统的验证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211533409.0A CN115549930B (zh) 2022-12-02 2022-12-02 登录操作系统的验证方法

Publications (2)

Publication Number Publication Date
CN115549930A true CN115549930A (zh) 2022-12-30
CN115549930B CN115549930B (zh) 2023-03-03

Family

ID=84722269

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211533409.0A Active CN115549930B (zh) 2022-12-02 2022-12-02 登录操作系统的验证方法

Country Status (1)

Country Link
CN (1) CN115549930B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117424709A (zh) * 2023-12-19 2024-01-19 鼎铉商用密码测评技术(深圳)有限公司 终端设备的登录方法、设备以及可读存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030005294A1 (en) * 2001-06-29 2003-01-02 Dominique Gougeon System and method for restoring a secured terminal to default status
CN101183932A (zh) * 2007-12-03 2008-05-21 宇龙计算机通信科技(深圳)有限公司 一种无线应用服务的安全认证系统及其注册和登录方法
CN109889548A (zh) * 2019-04-01 2019-06-14 中国工商银行股份有限公司 基于U盾装置的Web网站的认证方法、装置及系统
WO2022083324A1 (zh) * 2020-10-23 2022-04-28 百果园技术(新加坡)有限公司 消息加密方法及装置、消息解密方法及装置、移动终端
CN114553444A (zh) * 2022-04-27 2022-05-27 北京时代亿信科技股份有限公司 身份认证方法、装置及存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030005294A1 (en) * 2001-06-29 2003-01-02 Dominique Gougeon System and method for restoring a secured terminal to default status
CN101183932A (zh) * 2007-12-03 2008-05-21 宇龙计算机通信科技(深圳)有限公司 一种无线应用服务的安全认证系统及其注册和登录方法
CN109889548A (zh) * 2019-04-01 2019-06-14 中国工商银行股份有限公司 基于U盾装置的Web网站的认证方法、装置及系统
WO2022083324A1 (zh) * 2020-10-23 2022-04-28 百果园技术(新加坡)有限公司 消息加密方法及装置、消息解密方法及装置、移动终端
CN114553444A (zh) * 2022-04-27 2022-05-27 北京时代亿信科技股份有限公司 身份认证方法、装置及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117424709A (zh) * 2023-12-19 2024-01-19 鼎铉商用密码测评技术(深圳)有限公司 终端设备的登录方法、设备以及可读存储介质
CN117424709B (zh) * 2023-12-19 2024-04-05 鼎铉商用密码测评技术(深圳)有限公司 终端设备的登录方法、设备以及可读存储介质

Also Published As

Publication number Publication date
CN115549930B (zh) 2023-03-03

Similar Documents

Publication Publication Date Title
CN109309565B (zh) 一种安全认证的方法及装置
EP3318003B1 (en) Confidential authentication and provisioning
US20190089527A1 (en) System and method of enforcing a computer policy
US9838205B2 (en) Network authentication method for secure electronic transactions
US9231925B1 (en) Network authentication method for secure electronic transactions
CN110519309B (zh) 数据传输方法、装置、终端、服务器及存储介质
CN108965230A (zh) 一种安全通信方法、系统及终端设备
US11050570B1 (en) Interface authenticator
US8953805B2 (en) Authentication information generating system, authentication information generating method, client apparatus, and authentication information generating program for implementing the method
CN101241528A (zh) 终端接入可信pda的方法和接入系统
CN114024710A (zh) 一种数据传输方法、装置、系统及设备
CN113674456B (zh) 开锁方法、装置、电子设备和存储介质
CN105099705A (zh) 一种基于usb协议的安全通信方法及其系统
CN111130798A (zh) 一种请求鉴权方法及相关设备
CN112765626A (zh) 基于托管密钥授权签名方法、装置、系统及存储介质
WO2008053279A1 (en) Logging on a user device to a server
CN115549930B (zh) 登录操作系统的验证方法
CN114270386A (zh) 用于同意架构的认证器应用
CN105873043B (zh) 一种用于移动终端的网络私匙的生成及应用方法及其系统
CN108900595B (zh) 访问云存储服务器数据的方法、装置、设备及计算介质
CN114553566B (zh) 数据加密方法、装置、设备及存储介质
Han et al. Scalable and secure virtualization of hsm with scaletrust
CN113508380A (zh) 用于终端实体认证的方法
CN113194090B (zh) 鉴权方法、鉴权装置、终端设备及计算机可读存储介质
CN114553570B (zh) 生成令牌的方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant