CN115766192A - 基于ukey的离线安全认证方法、装置、设备及介质 - Google Patents
基于ukey的离线安全认证方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN115766192A CN115766192A CN202211409480.8A CN202211409480A CN115766192A CN 115766192 A CN115766192 A CN 115766192A CN 202211409480 A CN202211409480 A CN 202211409480A CN 115766192 A CN115766192 A CN 115766192A
- Authority
- CN
- China
- Prior art keywords
- random number
- ukey
- terminal
- digital certificate
- offline
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 58
- 238000004422 calculation algorithm Methods 0.000 claims description 28
- 238000003860 storage Methods 0.000 claims description 17
- 238000004364 calculation method Methods 0.000 claims description 5
- 238000012795 verification Methods 0.000 abstract description 6
- 230000000694 effects Effects 0.000 abstract description 5
- 230000006870 function Effects 0.000 description 9
- 239000011159 matrix material Substances 0.000 description 8
- 238000004891 communication Methods 0.000 description 7
- 238000004590 computer program Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 6
- 230000009471 action Effects 0.000 description 4
- 238000005192 partition Methods 0.000 description 4
- 238000007792 addition Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 239000000203 mixture Substances 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000004075 alteration Effects 0.000 description 2
- 238000005336 cracking Methods 0.000 description 2
- 125000004122 cyclic group Chemical group 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012067 mathematical method Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 230000006798 recombination Effects 0.000 description 1
- 238000005215 recombination Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本公开实施例公开了一种基于UKEY的离线安全认证方法、装置、设备及介质。其中,该方法包括终端生成随机数;认证平台对随机数进行加密,得到加密随机数;认证平台根据预设的关键用户数据生成数字证书;将数字证书存储至预设的UKEY;将随机数和加密随机数存储至终端;在检测到UKEY插入离线的终端后,通过UKEY对加密随机数进行解密,得到解密随机数;将解密随机数与随机数进行比对,若比对成功,则确定数字证书有效,读取数字证书的关键用户数据,以使终端完成离线登录。该方法/系统能够实现,当UKEY插入离线的终端时,实现对用户身份进行安全验证的技术效果。
Description
技术领域
本公开涉及安全认证技术领域,尤其涉及一种基于UKEY的离线安全认证方法、装置、设备及介质。
背景技术
随着电子信息和互联网不断发展,各个企事业单位中的应用系统逐渐增加,通常,用户使用终端访问应用系统,需要在终端插入UKEY向应用系统的服务器发起请求认证,同时终端必须与服务器保持通信连接才能进行用户身份的验证。
若插入UKEY的终端处于离线网络状态(例如出差、网络信息差),则无法完成对用户身份的验证及用户无法登录应用系统,导致了UKEY的使用场景受到极大的限制。
发明内容
有鉴于此,本公开实施例提供了一种基于UKEY的离线安全认证方法、装置、设备及介质,能够解决现有技术中,当插入UKEY的终端处于离线网络状态时,无法对用户身份的验证的技术问题。
第一方面,本公开实施例提供了一种基于UKEY的离线安全认证方法,采用如下技术方案:
终端生成随机数;
认证平台对所述随机数进行加密,得到加密随机数;
所述认证平台根据预设的关键用户数据生成数字证书;
将所述数字证书存储至预设的UKEY;
将所述随机数和所述加密随机数存储至所述终端;
在测到所述UKEY插入离线的所述终端后,通过所述UKEY对所述加密随机数进行解密,得到解密随机数;
将所述解密随机数与所述随机数进行比对,若比对成功,则确定所述数字证书有效,读取所述数字证书的关键用户数据,以使所述终端完成离线登录。
可选地,所述认证平台根据预设的关键用户数据生成数字证书,包括:
获取具有登录服务器权限的用户属性信息作为预设的关键用户数据;
所述认证平台利用私钥对所述关键用户数据进行签名,生成所述数字证书。
可选地,所述终端生成随机数,包括:
所述终端对所述终端的MAC地址、所述终端的第一时间戳进行加密,生成随机数。
可选地,所述对所述终端的MAC地址、所述终端的第一时间戳进行加密,所述终端生成随机数,包括:
读取所述MAC地址的字符串,对所述MAC地址的字符串进行HASH运算,得到所述MAC地址的随机因子;
读取所述第一时间戳的字符串,对所述第一时间戳的字符串进行乘同余法计算,得到所述第一时间戳的随机因子;
根据预设的加密算法,对所述MAC地址的随机因子与所述第一时间戳的随机因子进行加密运算,所述终端生成随机数。
可选地,所述通过所述UKEY对所述加密随机数进行解密,得到解密随机数,包括:
将所述终端保存的加密随机数发送至所述UKEY;
所述UKEY中还存储有解密算法和密钥,通过所述UKEY中的解密算法和密钥对所述加密随机数进行解密,得到所述解密随机数;
将所述解密随机数发送至所述终端。
可选地,所述通过所述UKEY中的解密算法和密钥对所述加密随机数进行解密,得到所述解密随机数,包括:
根据所述解密算法和所述密钥的公钥对所述加密随机数的随机数矩阵的各个二元组进行解密运算,得到所述解密随机数。
可选地,在所述在测到所述UKEY插入离线的所述终端之后,该方法还包括:
输入所述UKEY的PIN码;
验证所述PIN码是否正确,若正确,则通过所述UKEY对所述加密随机数进行解密,得到解密随机数。
可选地,所述基于UKEY的离线安全认证方法还包括:在所述在测到所述UKEY插入在线的所述终端后,调用所述服务器的接口,读取所述数字证书的关键用户数据,以使所述终端完成在线登录。
可选地,所述将所述解密随机数与所述随机数进行比对,包括:
读取所述解密随机数的第一MD5值,及读取所述随机数的第二MD5值;
将所述第一MD5值与所述第二MD5值进行比对;
若二者一致,则确定所述数字证书有效。
可选地,所述基于UKEY的离线安全认证方法还包括:
若比对失败,则确定所述数字证书无效,生成停止执行所述终端的离线登录的提示消息。
第二方面,本公开实施例还提供一种基于UKEY的离线安全认证装置,包括:
随机数生成模块,用于供终端生成随机数;
加密模块,用于供所述认证平台对所述随机数进行加密,得到加密随机数;
证书生成模块,用于供所述认证平台根据预设的关键用户数据生成数字证书;
存储模块,用于将所述数字证书存储至预设的UKEY,以及将所述随机数和所述加密随机数存储至所述终端;
解密模块,用于在检测到所述UKEY插入离线的所述终端后,通过所述UKEY对所述加密随机数进行解密,得到解密随机数;
比对模块,用于将所述解密随机数与所述随机数进行比对,若比对成功,则确定所述数字证书有效,读取所述数字证书的关键用户数据,以使所述终端完成离线登录。
第三方面,本公开实施例还提供了一种电子设备,采用如下技术方案:
所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述基于UKEY的离线安全认证方法。
第四方面,本公开实施例还提供了一种计算机可读存储介质,该计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行上述基于UKEY的离线安全认证方法。
本公开实施例提供的基于UKEY的离线安全认证方法,将UKEY插入离线的终端时,UKEY自动对终端的加密随机数进行解密,得到解密随机数,当解密随机数与随机数比对成功后,读取数字证书的关键用户数据,以完成对服务器的应用程序的离线登录。本公开实施例中通过以上方法能够在离线网络状态下,实现对用户身份进行安全验证的技术效果。
上述说明仅是本公开技术方案的概述,为了能更清楚了解本公开的技术手段,而可依照说明书的内容予以实施,并且为让本公开的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。
附图说明
为了更清楚地说明本公开实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本公开实施例提供的基于UKEY的离线安全认证方法的流程图示意图;
图2为本公开实施例提供的基于UKEY的离线安全认证装置的模块示意图;
图3为本公开实施例提供的一种电子设备的原理框图。
具体实施方式
下面结合附图对本公开实施例进行详细描述。
应当明确,以下通过特定的具体实例说明本公开的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本公开的其他优点与功效。显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。本公开还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本公开的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
需要说明的是,下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见,本文中所描述的方面可体现于广泛多种形式中,且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开,所属领域的技术人员应了解,本文中所描述的一个方面可与任何其它方面独立地实施,且可以各种方式组合这些方面中的两者或两者以上。举例来说,可使用本文中所阐述的任何数目各方面来实施设备及/或实践方法。另外,可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。
还需要说明的是,以下实施例中所提供的图示仅以示意方式说明本公开的基本构想,图式中仅显示与本公开中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
另外,在以下描述中,提供具体细节是为了便于透彻理解实例。然而,所属领域的技术人员将理解,可在没有这些特定细节的情况下实践所述方面。
本公开提供一种基于UKEY的离线安全认证方法。参照图1所示,图1为本公开实施例提供的基于UKEY的离线安全认证方法的流程图示意图。该方法可以由一个电子设备执行,该电子设备可以由软件和/或硬件实现。基于UKEY的离线安全认证方法包括:
步骤S10:终端生成随机数。
具体地,所述步骤S10包括:
所述终端对所述终端的MAC地址、所述终端的第一时间戳进行加密,生成随机数。
根据预设的加密算法对MAC地址的字符串和第一时间戳的字符串进行随机加密,得到终端的随机数。其中,预设的加密算法包括但不限于国密SM2或国密SM4算法;MAC地址是指局域网地址,MAC英文全称是Media Access ControlAddres,MAC地址是网络设备制造商在生产时烧录在一种闪存芯片里,用来确认网络设备位置的位址,可以理解为物理地址;第一时间戳是指获取MAC地址产生的时间点,例如,在北京时间2022年09月01日13:00PM获取MAC地址,将2022年09月01日13:00PM转换成Unix timestamp时间戳并作为第一时间戳。
在一个实施例中,所述终端对所述终端的MAC地址、所述终端的第一时间戳进行加密,生成随机数,包括:
读取所述MAC地址的字符串,对所述MAC地址的字符串进行HASH运算(即先进行加减操作,后进行求余操作),得到所述MAC地址的随机因子;
读取所述第一时间戳的字符串,对所述第一时间戳的字符串进行乘同余法计算(即先进行加减操作和取绝对值操作,后进行求余操作),得到所述第一时间戳的随机因子;
根据预设的加密算法,对所述MAC地址的随机因子与所述第一时间戳的随机因子进行加密运算,所述终端生成随机数。
其中,HASH运算是一种接受一个不限长度的输入(input)返回一个固定长度的输出(output)的哈希算法;乘同余法是运用初等数论中的同余运算产生均匀伪随机数的一类数学方法。
本实施例中,终端生成的随机数可以为64位、128位、256位随机数,生成的随机数的位数越大,则暴力破解难度越大,有效地提高了随机数的安全性。
步骤S20:认证平台对所述随机数进行加密,得到加密随机数。
本实施例中,认证平台为证书颁发机构(例如,认证平台为CA证书颁发机构,CA机构是为网站和其他实体颁发数字证书的受信任组织)。认证平台利用私钥对随机数进行加密,得到加密随机数。
在一个实施例中,所述认证平台对所述随机数进行加密,得到加密随机数,包括:
根据所述随机数的数字序列生成随机数矩阵,所述认证平台利用私钥对所述随机数矩阵进行加密,得到所述加密随机数。
具体地,读取随机数的数字序列并排列成n×n的随机数矩阵,将随机数矩阵每个元素为由两个长度为相同的随机数据块构成的一个二元组,得到多个不同的二元组,利用认证平台的私钥对各个二元组进行循环加密运算,得到加密随机数。
步骤S30:所述认证平台根据预设的关键用户数据生成数字证书,将所述数字证书存储至预设的UKEY。
本实施例中,预设的关键用户数据可以由服务器发送至认证平台,其中,服务器是指用户使用UKEY在终端上要登录的设备,终端上安装有该服务器的应用程序,通过用户对该服务器的使用,服务器能自动获取用户登录服务器的属性信息并作为预设的关键用户数据。认证平台根据该关键用户数据生成数字证书,将数字证书存储至由认证平台颁发给对应用户的UKEY中。将数字证书存储至预设的UKEY中,可以节省将数字证书返回给服务器进行安装的程序,也是实现对服务器的应用程序进行离线登录重要环节之一。
数字证书是一种采用公钥体制,即利用一对互相匹配的密钥进行加密、解密,每个用户自己设定一把特定的仅为本人所知的私钥,用它进行解密和签名,同时设定一把公钥并由本人公开,为一组用户所共享,用于加密和验证签名。
UKEY是一种USB接口的小巧的硬件设备,其内置CPU、存储器、操作系统(例如为COS芯片操作系统),用于储存用户的密钥、数字证书、加密算法、解密算法等。
在一个实施例中,所述认证平台根据预设的关键用户数据生成数字证书,包括:
A11、获取具有登录服务器权限的用户属性信息作为预设的关键用户数据;
本实施例中,从服务器的用户权限列表中获取具有登录服务器权限的用户属性信息,用户属性信息包括但不限于用户账号、用户姓名、用户ID号;通过预设的哈希算法(例如,预设的哈希算法为MD5算法、HMAC-SHA1算法等)对用户属性信息进行散列值计算,将得到的散列值结果作为预设的关键用户数据。通过获取关键用户数据可以节省对用户重复使用密码和帐号的登录操作,实现对用户的登录快速验证。
A12、所述认证平台利用私钥对所述关键用户数据进行签名,生成所述数字证书。
服务器将关键用户数据发送至认证平台,认证平台对关键用户数据生成一个私钥和公钥,将关键用户数据与公钥进行绑定,利用该私钥对绑定后的关键用户数据与公钥进行签名,生成终端的数字证书。通过生成数字证书可以提高UKEY的安全性和兼容性。
步骤S40:将所述随机数和所述加密随机数存储至所述终端。
本实施例中,通过将加密随机数和随机数存储至同一文件夹内,可以防止数据存储混乱,及方便后期维护时能快速查找关联的数据,有效地提高工作效率。
本实施例中,通过预设的内存监测程序(例如预设的内存监测程序为memtest)来监测终端的硬盘各分区的剩余容量,若主分区的剩余容量(例如C盘)大于预设值(例如预设值为50G),则读取服务器的应用程序在终端的安装路径的文件夹位置(例如,计算机/C盘下),在该文件夹位置内新建一个文件夹并将随机数和加密随机数进行存储。在其它实施例中,若主分区的剩余容量(例如C盘)小于或等于预设值,则根据内存监测程序选取剩余容量最大的分区来存储随机数和加密随机数,以保证终端系统的流畅运行。
在一个实施例中,在所述将所述随机数和所述加密随机数存储至所述终端之前,该方法还包括:
建立所述认证平台与所述终端之间的认证接口。
通过预先建立的认证接口,将随机数和加密随机数发送至所述终端进行存储,确保了认证平台与终端之间传输数据的安全性,有效地规避了数据泄露或意图不明用户的入侵。
本公开通过上述步骤S10-步骤S40,在非离线网络状态下,通过认证平台将写有关键用户数据的数字证书、解密算法、密钥存储至UKEY,将认证平台加密后的加密随机数和终端生成的随机数存储至终端本地,可以使得后续即使UKEY与终端之间无网络,也可以验证数字证书的有效性。
步骤S50:在检测到所述UKEY插入离线的所述终端后,通过所述UKEY对所述加密随机数进行解密,得到解密随机数。
本实施例中,当终端处于离线网络状态(例如,用户工作出差或网络信号差)时,用户需要处理业务而将UKEY插入离线终端后,终端的硬件检测程序自动检测到新硬件需要运行启动,将加密随机数发送至UKEY进行解密,得到解密随机数。
在一个实施例中,所述通过所述UKEY对所述加密随机数进行解密,得到解密随机数,包括:
将所述终端保存的加密随机数发送至所述UKEY;
所述UKEY中还存储有解密算法和密钥,通过所述UKEY中的解密算法和密钥对所述加密随机数进行解密,得到所述解密随机数;
将所述解密随机数发送至所述终端。
在一个实施例中,所述通过所述UKEY中的解密算法和密钥对所述加密随机数进行解密,得到所述解密随机数,包括:
根据所述解密算法和所述密钥的公钥对所述加密随机数的随机数矩阵的各个二元组进行解密运算,得到所述解密随机数。
具体地,利用UKEY中的解密算法和密钥的公钥对加密随机数的随机数矩阵的各个二元组进行循环解密运算,将得到的解密结果排序成1×n2的数字序列并作为终端的解密随机数。通过UKEY的密钥对加密随机数的解密,不仅能确保密钥具有唯一性和可靠性,也确保终端的加密随机数没有被篡改或伪造。
在一个实施例中,在所述在测到所述UKEY插入离线的所述终端之后,该方法还包括:
输入所述UKEY的PIN码;
验证所述PIN码是否正确,若正确,则通过所述UKEY对所述加密随机数进行解密,得到解密随机数。
当处于离线终端检测到有UKEY插入时,自启动UKEY内置的芯片操作系统,并在终端上显示出UKEY的登录界面,当用户在该登录界面输入的PIN码为正确时,读取预先存储在终端的加密随机数并发送至UKEY进行解密,得到解密随机数。
每个UKEY都有一个硬件PIN码,PIN码可以理解为使用UKEY所需的密码,只有知道PIN码的人才有权使用UKEY。通过用户同时拥有UKEY和PIN码,双因子认证确保用户的身份认证,利用PIN码设置最大重试次数限制(例如,重试次数为3次),连续输入错误会锁死。有效地防止UKEY丢失后,被不合法的用户反复重试。
在一个实施例中,在所述在测到所述UKEY插入在线的所述终端后,调用所述服务器的接口,读取所述数字证书的关键用户数据,以使所述终端完成在线登录。
如果处于网络状态下的终端检测到UKEY插入时,在用户输入正确的PIN码后,直接读取数字证书的关键用户数据,以使终端与服务器进行通信连接,实现用户登录服务器进行业务操作。本公开的UKEY可以满足用户的在线网络和/或离线网络的使用场景,有效地克服了现有技术中的UKEY的单一使用场景的限制。
步骤S60:将所述解密随机数与所述随机数进行比对,若比对成功,则确定所述数字证书有效,读取所述数字证书的关键用户数据,以使所述终端完成离线登录。
在实施例中,将UKEY解密后的解密随机数发送至终端,将存储终端内的随机数与解密随机数进行比对,当两者的密码散列函数完整一致时,说明UKEY的数字证书是有效的,读取数字证书的关键用户数据,以完成对服务器的离线登录,实现用户在服务器的离线状态下进行业务操作。
在一个实施例中,所述将所述解密随机数与所述随机数进行比对,包括:
读取所述解密随机数的第一MD5值,及读取所述随机数的第二MD5值;
将所述第一MD5值与所述第二MD5值进行比对;
若二者一致,则确定所述数字证书有效。
MD5值是一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致;MD5值等同于随机数的ID,它的值是唯一的。如果随机数已被修改(例如嵌入式病毒,特洛伊木马等),其MD5值将发生变化。因此,若解密随机数的第一MD5值与随机数的第二MD5值不一致,可能是随机数已被修改过或泄露,则证明数字证书无效。
在一个实施例中,基于UKEY的离线安全认证方法还包括:
若比对失败,则确定所述数字证书无效,生成停止执行所述终端的离线登录的提示消息。
比对失败代表解密随机数的第一MD5值与随机数的第二MD5值不一致,说明UKEY的数字证书是无效或伪造的;在终端的界面生成停止执行离线登录的提示消息(例如,您好,您使用的UKEY为无效UKEY,请检查再重试)。
在一个实施例中,所述读取所述数字证书的关键用户数据,以使所述终端完成离线登录,包括:
读取所述数字证书的关键用户数据,将所述关键用户数据输入至所述终端对应服务器的应用程序进行离线登录。
确定数字证书为有效后,将终端内安装的服务器的应用程序作初始启动,并读取UKEY中数字证书的关键用户数据所包含的用户账号、用户姓名、用户ID号进行验证,在关键用户数据验证成功后,自动完成对服务器的离线登录,用户可以在终端处于离线网络的状态下,对服务器的应用程序进行业务操作。
本公开通过上述步骤S50-步骤S60,将UKEY插入离线终端时,将加密随机解密,得到解密随机数,将解密随机数与随机数进行比对,比对成功时,读取数字证书的关键用户数据,以完成对服务器的应用程序的离线登录。提高了UKEY登录的兼容性和安全性,也降低了终端与服务器的通信频率,有效防止数据在传输中发生泄露的风险。
本公开通过步骤S10-步骤S60,认证平台对终端生成的随机数进行加密,得到加密随机数,增大暴力破解随机数的难度,有效地提高了随机数的安全性;及认证平台根据预设的关键用户数据生成数字证书,将数字证书存储至预设的UKEY,将随机数和加密随机数存储至终端,确保了UKEY与终端之间连接的安全性。
将UKEY插入离线的终端时,UKEY自动对终端的加密随机数进行解密,得到解密随机数,当解密随机数与随机数比对成功后,读取数字证书的关键用户数据,以完成对服务器的应用程序的离线登录。实现在离线网络状态下,对用户身份的安全验证的技术效果。
参照图2所示,本公开实施例提供的基于UKEY的离线安全认证装置的模块示意图。
本公开所述基于UKEY的离线安全认证方法较佳实施例的模块可以安装于电子设备中。根据实现的功能,所述基于UKEY的离线安全认证装置的模块可以包括随机数生成模块110、加密模块120、证书生成模块130、存储模块140、解密模块150及比对模块160。本发所述模块也可以称之为单元,是指一种能够被电子设备处理器所执行,并且能够完成固定功能的一系列计算机程序段,其存储在电子设备的存储器中。
本实施例,关于各模块/单元的功能如下:
随机数生成模块110,用于供终端生成随机数;
加密模块120,用于供所述认证平台对所述随机数进行加密,得到加密随机数;
证书生成模块130,用于供所述认证平台根据预设的关键用户数据生成数字证书;
存储模块140,用于将所述数字证书存储至预设的UKEY,以及将所述随机数和所述加密随机数存储至所述终端;
解密模块150,用于在检测到所述UKEY插入离线的所述终端后,通过所述UKEY对所述加密随机数进行解密,得到解密随机数;
比对模块160,用于将所述解密随机数与所述随机数进行比对,若比对成功,则确定所述数字证书有效,读取所述数字证书的关键用户数据,以使所述终端完成离线登录。
在一个实施例中,所述认证平台根据预设的关键用户数据生成数字证书,包括:
获取具有登录服务器权限的用户属性信息作为预设的关键用户数据;
所述认证平台利用私钥对所述关键用户数据进行签名,生成所述数字证书。
在一个实施例中,所述终端生成随机数,包括:
所述终端对所述终端的MAC地址、所述终端的第一时间戳进行加密,生成随机数。
在一个实施例中,所述对所述终端的MAC地址、所述终端的第一时间戳进行加密,所述终端生成随机数,包括:
读取所述MAC地址的字符串,对所述MAC地址的字符串进行HASH运算,得到所述MAC地址的随机因子;
读取所述第一时间戳的字符串,对所述第一时间戳的字符串进行乘同余法计算,得到所述第一时间戳的随机因子;
根据预设的加密算法,对所述MAC地址的随机因子与所述第一时间戳的随机因子进行加密运算,所述终端生成随机数。
在一个实施例中,所述通过所述UKEY对所述加密随机数进行解密,得到解密随机数,包括:
将所述终端保存的加密随机数发送至所述UKEY;
所述UKEY中还存储有解密算法和密钥,通过所述UKEY中的解密算法和密钥对所述加密随机数进行解密,得到所述解密随机数;
将所述解密随机数发送至所述终端。
在一个实施例中,所述通过所述UKEY中的解密算法和密钥对所述加密随机数进行解密,得到所述解密随机数,包括:
根据所述解密算法和所述密钥的公钥对所述加密随机数的随机数矩阵的各个二元组进行解密运算,得到所述解密随机数。
在一个实施例中,基于UKEY的离线安全认证装置还包括PIN验证模块,用于在所述在测到所述UKEY插入离线的所述终端之后,输入所述UKEY的PIN码;验证所述PIN码是否正确,若正确,则通过所述UKEY对所述加密随机数进行解密,得到解密随机数。
在一个实施例中,基于UKEY的离线安全认证装置还包括接口调用模块,用于在所述在测到所述UKEY插入在线的所述终端后,调用所述服务器的接口,读取所述数字证书的关键用户数据,以使所述终端完成在线登录。
在一个实施例中,所述将所述解密随机数与所述随机数进行比对,包括:
读取所述解密随机数的第一MD5值,及读取所述随机数的第二MD5值;
将所述第一MD5值与所述第二MD5值进行比对;
若二者一致,则确定所述数字证书有效。
在一个实施例中,基于UKEY的离线安全认证装置还包括提示模块,用于在比对失败时,确定所述数字证书无效,生成停止执行所述终端的离线登录的提示消息。
根据本公开实施例的电子设备包括存储器和处理器。该存储器用于存储非暂时性计算机可读指令。具体地,存储器可以包括一个或多个计算机程序产品,该计算机程序产品可以包括各种形式的计算机可读存储介质,例如易失性存储器和/或非易失性存储器。该易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。该非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。
该处理器可以是中央处理单元(CPU)或者具有数据处理能力和/或指令执行能力的其它形式的处理单元,并且可以控制电子设备中的其它组件以执行期望的功能。在本公开的一个实施例中,该处理器用于运行该存储器中存储的该计算机可读指令,使得该电子设备执行前述的本公开各实施例的基于UKEY的离线安全认证方法全部或部分步骤。
本领域技术人员应能理解,为了解决如何获得良好用户体验效果的技术问题,本实施例中也可以包括诸如通信总线、接口等公知的结构,这些公知的结构也应包含在本公开的保护范围之内。
如图3为本公开实施例提供的一种电子设备的原理框图。其示出了适于用来实现本公开实施例中的电子设备的结构示意图。图3示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图3所示,电子设备可以包括处理装置(例如中央处理器、图形处理器等),其可以根据存储在只读存储器(ROM)中的程序或者从存储装置加载到随机访问存储器(RAM)中的程序而执行各种适当的动作和处理。在RAM中,还存储有电子设备操作所需的各种程序和数据。处理装置、ROM以及RAM通过总线彼此相连。输入/输出(I/O)接口也连接至总线。
通常,以下装置可以连接至I/O接口:包括例如传感器或者视觉信息采集设备等的输入装置;包括例如显示屏等的输出装置;包括例如磁带、硬盘等的存储装置;以及通信装置。通信装置可以允许电子设备与其他设备(比如边缘计算设备)进行无线或有线通信以交换数据。虽然图3示出了具有各种装置的电子设备,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在非暂态计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置从网络上被下载和安装,或者从存储装置被安装,或者从ROM被安装。在该计算机程序被处理装置执行时,执行本公开实施例的基于UKEY的离线安全认证方法的全部或部分步骤。
有关本实施例的详细说明可以参考前述各实施例中的相应说明,在此不再赘述。
根据本公开实施例的计算机可读存储介质,其上存储有非暂时性计算机可读指令。当该非暂时性计算机可读指令由处理器运行时,执行前述的本公开各实施例的基于UKEY的离线安全认证方法的全部或部分步骤。
上述计算机可读存储介质包括但不限于:光存储介质(例如:CD-ROM和DVD)、磁光存储介质(例如:MO)、磁存储介质(例如:磁带或移动硬盘)、具有内置的可重写非易失性存储器的媒体(例如:存储卡)和具有内置ROM的媒体(例如:ROM盒)。
有关本实施例的详细说明可以参考前述各实施例中的相应说明,在此不再赘述。
以上结合具体实施例描述了本公开的基本原理,但是,需要指出的是,在本公开中提及的优点、优势、效果等仅是示例而非限制,不能认为这些优点、优势、效果等是本公开的各个实施例必须具备的。另外,上述公开的具体细节仅是为了示例的作用和便于理解的作用,而非限制,上述细节并不限制本公开为必须采用上述具体的细节来实现。
在本公开中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序,本公开中涉及的器件、装置、设备、系统的方框图仅作为例示性的例子并且不意图要求或暗示必须按照方框图示出的方式进行连接、布置、配置。如本领域技术人员将认识到的,可以按任意方式连接、布置、配置这些器件、装置、设备、系统。诸如“包括”、“包含”、“具有”等等的词语是开放性词汇,指“包括但不限于”,且可与其互换使用。这里所使用的词汇“或”和“和”指词汇“和/或”,且可与其互换使用,除非上下文明确指示不是如此。这里所使用的词汇“诸如”指词组“诸如但不限于”,且可与其互换使用。
另外,如在此使用的,在以“至少一个”开始的项的列举中使用的“或”指示分离的列举,以便例如“A、B或C的至少一个”的列举意味着A或B或C,或AB或AC或BC,或ABC(即A和B和C)。此外,措辞“示例的”不意味着描述的例子是优选的或者比其他例子更好。
还需要指出的是,在本公开的系统和方法中,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本公开的等效方案。
可以不脱离由所附权利要求定义的教导的技术而进行对在此所述的技术的各种改变、替换和更改。此外,本公开的权利要求的范围不限于以上所述的处理、机器、制造、事件的组成、手段、方法和动作的具体方面。可以利用与在此所述的相应方面进行基本相同的功能或者实现基本相同的结果的当前存在的或者稍后要开发的处理、机器、制造、事件的组成、手段、方法或动作。因而,所附权利要求包括在其范围内的这样的处理、机器、制造、事件的组成、手段、方法或动作。
提供所公开的方面的以上描述以使本领域的任何技术人员能够做出或者使用本公开。对这些方面的各种修改对于本领域技术人员而言是非常显而易见的,并且在此定义的一般原理可以应用于其他方面而不脱离本公开的范围。因此,本公开不意图被限制到在此示出的方面,而是按照与在此公开的原理和新颖的特征一致的最宽范围。
为了例示和描述的目的已经给出了以上描述。此外,此描述不意图将本公开的实施例限制到在此公开的形式。尽管以上已经讨论了多个示例方面和实施例,但是本领域技术人员将认识到其某些变型、修改、改变、添加和子组合。
Claims (10)
1.一种基于UKEY的离线安全认证方法,其特征在于,包括:
终端生成随机数;
认证平台对所述随机数进行加密,得到加密随机数;
所述认证平台根据预设的关键用户数据生成数字证书;
将所述数字证书存储至预设的UKEY;
将所述随机数和所述加密随机数存储至所述终端;
在检测到所述UKEY插入离线的所述终端后,通过所述UKEY对所述加密随机数进行解密,得到解密随机数;
将所述解密随机数与所述随机数进行比对,若比对成功,则确定所述数字证书有效,读取所述数字证书的关键用户数据,以使所述终端完成离线登录。
2.根据权利要求1所述的基于UKEY的离线安全认证方法,其特征在于,所述认证平台根据预设的关键用户数据生成数字证书,包括:
获取具有登录服务器权限的用户属性信息作为预设的关键用户数据;
所述认证平台利用私钥对所述关键用户数据进行签名,生成所述数字证书。
3.根据权利要求1所述的基于UKEY的离线安全认证方法,其特征在于,所述终端生成随机数,包括:
所述终端对所述终端的MAC地址、所述终端的第一时间戳进行加密,生成随机数。
4.根据权利要求3所述的基于UKEY的离线安全认证方法,其特征在于,所述对所述终端的MAC地址、所述终端的第一时间戳进行加密,所述终端生成随机数,包括:
读取所述MAC地址的字符串,对所述MAC地址的字符串进行HASH运算,得到所述MAC地址的随机因子;
读取所述第一时间戳的字符串,对所述第一时间戳的字符串进行乘同余法计算,得到所述第一时间戳的随机因子;
根据预设的加密算法,对所述MAC地址的随机因子与所述第一时间戳的随机因子进行加密运算,所述终端生成随机数。
5.根据权利要求1所述的基于UKEY的离线安全认证方法,其特征在于,还包括:在所述在测到所述UKEY插入在线的所述终端后,调用所述服务器的接口,读取所述数字证书的关键用户数据,以使所述终端完成在线登录。
6.根据权利要求1所述的基于UKEY的离线安全认证方法,其特征在于,所述将所述解密随机数与所述随机数进行比对,包括:
读取所述解密随机数的第一MD5值,及读取所述随机数的第二MD5值;
将所述第一MD5值与所述第二MD5值进行比对;
若二者一致,则确定所述数字证书有效。
7.根据权利要求1所述的基于UKEY的离线安全认证方法,其特征在于,还包括:
若比对失败,则确定所述数字证书无效,生成停止执行所述终端的离线登录的提示消息。
8.一种基于UKEY的离线安全认证装置,其特征在于,包括:
随机数生成模块,用于供终端生成随机数;
加密模块,用于供所述认证平台对所述随机数进行加密,得到加密随机数;
证书生成模块,用于供所述认证平台根据预设的关键用户数据生成数字证书;
存储模块,用于将所述数字证书存储至预设的UKEY,以及将所述随机数和所述加密随机数存储至所述终端;
解密模块,用于在检测到所述UKEY插入离线的所述终端后,通过所述UKEY对所述加密随机数进行解密,得到解密随机数;
比对模块,用于将所述解密随机数与所述随机数进行比对,若比对成功,则确定所述数字证书有效,读取所述数字证书的关键用户数据,以使所述终端完成离线登录。
9.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-7任一所述的基于UKEY的离线安全认证方法。
10.一种计算机可读存储介质,其特征在于,该计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行权利要求1-7任一所述的基于UKEY的离线安全认证方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211409480.8A CN115766192A (zh) | 2022-11-11 | 2022-11-11 | 基于ukey的离线安全认证方法、装置、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211409480.8A CN115766192A (zh) | 2022-11-11 | 2022-11-11 | 基于ukey的离线安全认证方法、装置、设备及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115766192A true CN115766192A (zh) | 2023-03-07 |
Family
ID=85369338
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211409480.8A Pending CN115766192A (zh) | 2022-11-11 | 2022-11-11 | 基于ukey的离线安全认证方法、装置、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115766192A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117294528A (zh) * | 2023-11-24 | 2023-12-26 | 北京亿赛通科技发展有限责任公司 | 一种基于Ukey的安全认证方法、装置及系统 |
-
2022
- 2022-11-11 CN CN202211409480.8A patent/CN115766192A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117294528A (zh) * | 2023-11-24 | 2023-12-26 | 北京亿赛通科技发展有限责任公司 | 一种基于Ukey的安全认证方法、装置及系统 |
CN117294528B (zh) * | 2023-11-24 | 2024-02-09 | 北京亿赛通科技发展有限责任公司 | 一种基于Ukey的安全认证方法、装置及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109756338B (zh) | 认证装置、验证装置的计算机实现方法和计算机可读介质 | |
CN110474898B (zh) | 数据加解密和密钥分布方法、装置、设备及可读存储介质 | |
CN110519260B (zh) | 一种信息处理方法及信息处理装置 | |
JP4638912B2 (ja) | ディストリビューションcdを使用した、署名されたグループにおけるダイレクトプルーフの秘密鍵を装置に伝達する方法 | |
CN110401615B (zh) | 一种身份认证方法、装置、设备、系统及可读存储介质 | |
CN106571951B (zh) | 审计日志获取方法、系统及装置 | |
WO2019095567A1 (zh) | 单点登录的校验装置、方法及计算机可读存储介质 | |
CN106850699A (zh) | 一种移动终端登录认证方法及系统 | |
CN110677376B (zh) | 认证方法、相关设备和系统及计算机可读存储介质 | |
CN111726224A (zh) | 一种基于量子保密通信的数据完整性快速认证方法、系统、终端及存储介质 | |
CN107920052B (zh) | 一种加密方法及智能装置 | |
US20160182230A1 (en) | Secure token-based signature schemes using look-up tables | |
CN111030814A (zh) | 秘钥协商方法及装置 | |
CN111814132B (zh) | 安全认证方法及装置、安全认证芯片、存储介质 | |
CN103269271A (zh) | 一种备份电子签名令牌中私钥的方法和系统 | |
CN112241527B (zh) | 物联网终端设备的密钥生成方法、系统及电子设备 | |
CN111241492A (zh) | 一种产品多租户安全授信方法、系统及电子设备 | |
CN114172664B (zh) | 数据加密、数据解密方法、装置、电子设备及存储介质 | |
CN111125665A (zh) | 认证方法及设备 | |
CN115766192A (zh) | 基于ukey的离线安全认证方法、装置、设备及介质 | |
CN110659522B (zh) | 存储介质安全认证方法、装置、计算机设备和存储介质 | |
CN105873043B (zh) | 一种用于移动终端的网络私匙的生成及应用方法及其系统 | |
CN115242471B (zh) | 信息传输方法、装置、电子设备及计算机可读存储介质 | |
CN116432241A (zh) | 一种文本加密系统及方法 | |
CN114817956A (zh) | 一种usb通信对象验证方法、系统、装置及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |