CN115883104A - 终端设备的安全登录方法及装置、非易失性存储介质 - Google Patents
终端设备的安全登录方法及装置、非易失性存储介质 Download PDFInfo
- Publication number
- CN115883104A CN115883104A CN202211521240.7A CN202211521240A CN115883104A CN 115883104 A CN115883104 A CN 115883104A CN 202211521240 A CN202211521240 A CN 202211521240A CN 115883104 A CN115883104 A CN 115883104A
- Authority
- CN
- China
- Prior art keywords
- signature
- client
- management system
- certificate
- side management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种终端设备的安全登录方法及装置、非易失性存储介质。其中,该方法包括:客户端侧认证模块获取第一算法的签名证书;客户端侧认证模块通过签名证书对应的签名私钥、客户端的硬件信息和系统信息封装认证报文,并将认证报文发送至服务端侧管理系统;在服务端侧管理系统对认证报文认证成功的情况下,客户端侧认证模块接收服务端侧管理系统返回的用于登录客户端的账号和密码;客户端侧认证模块利用账号和密码实现登录客户端的操作。本申请解决了现有技术中,计算机系统一般采用账号和密码校验的方式实现对用户身份的鉴别,存在安全性低的技术问题。
Description
技术领域
本申请涉及信息安全领域,具体而言,涉及一种终端设备的安全登录方法及装置、非易失性存储介质。
背景技术
目前,计算机是常用的办公设备,在信息安全领域,对计算机的开机保护变的尤为重要,主要体现在对计算机开机登录用户的身份鉴别。现有的计算机开机登录方法中,计算机系统一般采用账号和密码校验的方式实现对用户身份的鉴别,但是,这种方式存在安全隐患,比如密码泄露、或者密码被暴力破解等可能导致计算机被非法登录等安全隐患。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种终端设备的安全登录方法及装置、非易失性存储介质,以至少解决现有技术中,计算机系统一般采用账号和密码校验的方式实现对用户身份的鉴别,存在安全性低的技术问题。
根据本申请实施例的一个方面,提供了一种终端设备的安全登录方法,包括:客户端侧认证模块获取第一算法的签名证书,其中,签名证书中存储有签名公钥,签名公钥对应的签名私钥包括:由客户端生成的第一签名私钥以及由服务端侧管理系统生成的第二签名私钥;客户端侧认证模块通过签名证书对应的签名私钥、客户端的硬件信息和系统信息封装认证报文,并将认证报文发送至服务端侧管理系统;在服务端侧管理系统对认证报文认证成功的情况下,客户端侧认证模块接收服务端侧管理系统返回的用于登录客户端的账号和密码;客户端侧认证模块利用账号和密码实现登录客户端的操作。
可选地,客户端侧认证模块通过签名证书对应的签名私钥、客户端的硬件信息和系统信息封装认证报文,包括:客户端侧认证模块基于登录客户端的个人身份识别码和客户端的设备标识生成第一认证请求,并将第一认证请求发送至服务端侧管理系统,其中,设备标识为客户端的唯一标识信息;客户端侧认证模块接收服务端侧管理系统返回的密文随机数,其中,密文随机数是服务端侧管理系统接收到第一认证请求后生成第一随机数,并采用第二算法对第一随机数加密得到的,第一随机数存储在服务端侧管理系统的会话对象中;客户端侧认证模块对密文随机数进行预处理,生成第一签名值;客户端侧认证模块根据第一签名值生成最终签名值;客户端侧认证模块将最终签名值、签名证书的证书序列号、客户端的硬件信息和系统信息封装为认证报文。
可选地,客户端侧认证模块对密文随机数进行预处理,生成第一签名值,包括:客户端侧认证模块通过第二算法对密文随机数进行解密,得到第一随机数,并对第一随机数进行预处理,得到第一预处理值;客户端侧认证模块根据第一预处理值以及客户端侧认证模块首次和服务端侧管理系统进行通信时产生的文本数据生成预处理请求,并将预处理请求发送至服务端侧管理系统;客户端侧认证模块接收服务端侧管理系统返回的第二预处理值,并对第二预处理值进行校验,其中,第二预处理值是服务端侧管理系统接收到预处理请求后生成的;客户端侧认证模块对第二预处理值校验成功后,通过第一签名私钥,采用协同签名算法对第一随机数进行计算,生成第一签名值。
可选地,第二预处理值通过以下方法生成:服务端侧管理系统从文本数据中查找会话对象,通过会话对象查找客户端的设备标识,通过设备标识查找签名公钥和第二签名私钥,其中,设备标识预先存储在服务端侧管理系统的会话对象中;服务端侧管理系统利用签名公钥和第二签名私钥对第一预处理值进行校验,校验成功后生成第二随机数,其中,第二随机数存储在服务端侧管理系统的会话对象中;服务端侧管理系统对第二随机数进行预处理,生成第二预处理值。
可选地,客户端侧认证模块根据第一签名值生成最终签名值,包括:客户端侧认证模块根据第一签名值和文本数据生成协同签名请求,并将协同签名请求发送至服务端侧管理系统;客户端侧认证模块接收服务端侧管理系统发送的第二签名值,其中,第二签名值通过以下方法生成:服务端侧管理系统从文本数据中查找会话对象,通过会话对象查找第二随机数;服务端侧管理系统利用协同签名算法对第一签名值和第二随机数进行计算,得到第二签名值;客户端侧认证模块利用协同签名算法对第一随机数和第二签名值进行计算,生成最终签名值。
可选地,客户端侧认证模块将认证报文发送至服务端侧管理系统,包括:客户端侧认证模块利用第二算法对认证报文进行加密,得到加密认证报文;客户端侧认证模块根据加密认证报文以及文本数据生成第二认证请求;客户端侧认证模块将第二认证请求发送至服务端侧管理系统。
可选地,服务端侧管理系统接收到第二认证请求后通过以下第一方法对最终签名值进行验签:根据文本数据查找服务端侧管理系统的会话对象,并从会话对象中查找第一随机数;如果会话对象中不存在第一随机数,确定由于在预设时长内重复发起认证请求导致最终签名值验签失败。
可选地,服务端侧管理系统还通过以下第二方法对所签名证书进行验证:通过根证书验签签名证书是否被篡改,以及签名证书是否为CA证书系统颁发的证书;在证书吊销列表中查询签名证书是否被吊销;通过在线证书状态协议查询签名证书是否处于有效状态;如果签名证书被篡改,或者签名证书不是CA证书系统颁发的证书,或者签名证书被吊销,或者签名证书未处于有效状态,确定对签名证书验证失败。
可选地,服务端侧管理系统还通过以下第三方法对最终签名值进行验签:若签名证书未被修改,且签名证书未被吊销,且签名证书处于有效状态,利用签名证书对最终签名值进行验签。
可选地,服务端侧管理系统还通过以下第四方法对客户端进行认证:从服务端侧管理系统查询客户端的硬件信息和系统信息;若服务端侧管理系统中不存在客户端的硬件信息和系统信息,确定客户端未在服务端侧管理系统进行注册,确定客户端认证失败。
可选地,用于登录客户端的账号和密码通过以下方法得到:如果服务端侧管理系统通过第一方法对最终签名值验签成功,通过第二方法对签名证书验证成功,通过第三方法对最终签名值验签成功以及通过第四方法对客户端认证成功,服务端侧管理系统查询签名证书和客户端之间的是否存在授权关系;如果查询到签名证书和客户端之间的存在授权关系,将用于登录客户端的账号和密码通过第二算法加密后发送至客户端侧认证模块。
可选地,客户端侧认证模块利用账号和密码实现登录客户端的操作,包括:通过第二算法对用于登录客户端的账号和密码进行解密,得到解密后的账号和密码;将解密后的账号和密码采用操作系统登录程序登录客户端运行的操作系统。
根据本申请实施例的另一方面,还提供了另一种终端设备的安全登录方法,包括:服务端侧管理系统接收客户端侧认证模块发送的认证报文,其中,认证报文是客户端侧认证模块通过签名证书对应的签名私钥、客户端的硬件信息和系统信息封装得到的,签名证书中存储有签名公钥,签名公钥对应的签名私钥包括:由客户端生成的第一签名私钥以及由服务端侧管理系统生成的第二签名私钥;服务端侧管理系统对认证报文进行认证;在服务端侧管理系统对认证报文认证成功的情况下,服务端侧管理系统将用于登录客户端的账号和密码发送至客户端侧认证模块,其中,客户端侧认证模块利用账号和密码实现登录客户端的操作。
根据本申请实施例的再一方面,还提供了一种终端设备的安全登录装置,包括:获取模块,用于获取第一算法的签名证书,其中,签名证书中存储有签名公钥,签名公钥对应的签名私钥包括:由客户端生成的第一签名私钥以及由服务端侧管理系统生成的第二签名私钥;第一处理模块,用于通过签名证书对应的签名私钥、客户端的硬件信息和系统信息封装认证报文,并将认证报文发送至服务端侧管理系统;接收模块,用于在服务端侧管理系统对认证报文认证成功的情况下,接收服务端侧管理系统返回的用于登录客户端的账号和密码;第二处理模块,用于利用账号和密码实现登录客户端的操作。
根据本申请实施例的再一方面,还提供了一种非易失性存储介质,非易失性存储介质中存储有程序,其中,在程序运行时控制非易失性存储介质所在设备执行以上的终端设备的安全登录方法。
根据本申请实施例的再一方面,还提供了一种电子设备,包括:存储器和处理器,处理器用于运行存储在存储器中的程序,其中,程序运行时执行以上的终端设备的安全登录方法。
在本申请实施例中,采用客户端侧认证模块获取第一算法的签名证书,其中,签名证书中存储有签名公钥,签名公钥对应的签名私钥包括:由客户端生成的第一签名私钥以及由服务端侧管理系统生成的第二签名私钥;客户端侧认证模块通过签名证书对应的签名私钥、客户端的硬件信息和系统信息封装认证报文,并将认证报文发送至服务端侧管理系统;在服务端侧管理系统对认证报文认证成功的情况下,客户端侧认证模块接收服务端侧管理系统返回的用于登录客户端的账号和密码;客户端侧认证模块利用账号和密码实现登录客户端的操作的方式,通过在计算机开机,用户进行认证登录环节,利用协同签名技术、PKI体系,结合CA数字证书技术,对用户进行强身份认证后,进入计算机操作系统桌面,达到了实现计算机开机登录的安全保护的目的,从而实现了提升了计算机开机的安全性的技术效果,进而解决了现有技术中,计算机系统一般采用账号和密码校验的方式实现对用户身份的鉴别,存在安全性低技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了一种用于实现终端设备的安全登录方法的计算机终端(或移动设备)的硬件结构框图;
图2根据本申请实施例的一种终端设备的安全登录方法的流程图
图3是根据本申请实施例的一种封装认证报文方法的流程图;
图4根据本申请实施例的另一种终端设备的安全登录方法的流程图;
图5是根据本申请实施例的一种终端设备的安全登录装置的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为了更好地理解本申请实施例,以下将本申请实施例中涉及的技术术语解释如下:
PKI:Public Key Infrastructure,公共基础设施,是一个包括硬件、软件、人员、策略和规程的集合,用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能。
CA:是证书的签发机构,负责签发证书、认证证书、管理已颁发证书。证书的内容包括:电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等。证书的格式和验证方法普遍遵循X.509国际标准。
在相关技术中,计算机登录认证方案也有采用智能卡登录方式,授权关系以文件的形式保存至智能卡,对用户和终端进行身份鉴别。这种方式存在一定的安全风险和隐患。智能卡文件信息可以导出,容易被复制,在实际使用过程中,很难保证用户信息的真实性和唯一性。并且校验条件较为简单,容易被破解,无法保证安全性。
为了解决该问题,本申请实施例中提供的技术方案通过在计算机开机,用户进行认证登录环节,利用协同签名技术、PKI体系,结合CA数字证书技术,对用户进行强身份认证后,进入计算机操作系统桌面,达到了实现计算机开机登录的安全保护的目的,从而实现了提升了计算机开机的安全性的技术效果。以下详细说明。
根据本申请实施例,提供了一种终端设备的安全登录方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。图1示出了一种用于实现终端设备的安全登录方法的计算机终端(或移动设备)的硬件结构框图。如图1所示,计算机终端10(或移动设备10)可以包括一个或多个(图中采用102a、102b,……,102n来示出)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输模块106。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为BUS总线的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
应当注意到的是上述一个或多个处理器102和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到计算机终端10(或移动设备)中的其他元件中的任意一个内。如本申请实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器104可用于存储应用软件的软件程序以及模块,如本申请实施例中的终端设备的安全登录方法对应的程序指令/数据存储装置,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的终端设备的安全登录方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与计算机终端10(或移动设备)的用户界面进行交互。
在上述运行环境下,本申请实施例提供了一种终端设备的安全登录方法,如图2所示,该方法包括如下步骤:
步骤S202,客户端侧认证模块获取第一算法的签名证书,其中,签名证书中存储有签名公钥,签名公钥对应的签名私钥包括:由客户端生成的第一签名私钥以及由服务端侧管理系统生成的第二签名私钥。
上述第一算法为SM2算法,SM2算法是国家密码管理局于2010年12月17日发布的椭圆曲线公钥密码算法。在本步骤中,客户端侧认证模块向CA证书颁发系统,申请SM2算法签名证书。
在本申请的实施例中,签名密钥对的私钥包括两部分,一部分由客户端产生并加密存储在本地硬盘,一部分由服务端侧管理系统产生并存储在密码设备中。签名密钥对的公钥由客户端产生的公钥部分和服务端侧管理系统产生的公钥部分计算得出最终的签名公钥,并存储在本地签名证书中。
需要说明的是客户端(也可称为终端设备,或者计算机终端)认证登录时,系统自动加载客户端侧认证模块。客户端侧认证模块预置第一签名私钥D1和公钥分量G1、G2;服务端侧管理系统预置第二签名私钥D2和公钥分量G1、G2。
步骤S204,客户端侧认证模块通过签名证书对应的签名私钥、客户端的硬件信息和系统信息封装认证报文,并将认证报文发送至服务端侧管理系统;
步骤S206,在服务端侧管理系统对认证报文认证成功的情况下,客户端侧认证模块接收服务端侧管理系统返回的用于登录客户端的账号和密码;
步骤S208,客户端侧认证模块利用账号和密码实现登录客户端的操作。
通过上述步骤,通过在计算机开机,用户进行认证登录环节,利用协同签名技术、PKI体系,结合CA数字证书技术,对用户进行强身份认证后,进入计算机操作系统桌面,达到了实现计算机开机登录的安全保护的目的,从而实现了提升了计算机开机的安全性的技术效果。
图3是根据本申请实施例的一种封装认证报文方法的流程图,如图3所示,该方法包括以下步骤:
步骤S302,客户端侧认证模块基于登录客户端的个人身份识别码和客户端的设备标识生成第一认证请求,并将第一认证请求发送至服务端侧管理系统,其中,设备标识为客户端的唯一标识信息;
客户端侧认证模块基于个人身份识别码(Personal Identification Number,PIN),集合客户端的设备标识产生第一认证请求,并通过网络将第一认证请求发送至服务端侧管理系统。
可以理解的是,上述设备标识用于唯一标识客户端,可以是数字符号,也可以是字母符号,这里不做限定。
步骤S304,客户端侧认证模块接收服务端侧管理系统返回的密文随机数,其中,密文随机数是服务端侧管理系统接收到第一认证请求后生成第一随机数,并采用第二算法对第一随机数加密得到的,第一随机数存储在服务端侧管理系统的会话对象中。
服务端侧管理系统在接收到上述第一认证请求后,连接服务器密码机产生随机数R1(即上述第一随机数),通过SM4对称加密算法(即上述第二算法),对明文随机数R1加密,得到R1对应的密文随机数,将密文随机数返回客户端侧认证模块;并将明文随机数R1存储到Session中。
在计算机中,尤其是在网络应用中,Session称为“会话对象”。Session用于存储特定用户会话所需的属性及配置信息。
步骤S306,客户端侧认证模块对密文随机数进行预处理,生成第一签名值;
作为本申请的一个可选的实施例,客户端侧认证模块对密文随机数进行预处理,生成第一签名值,包括以下步骤:
步骤S30602,客户端侧认证模块通过第二算法对密文随机数进行解密,得到第一随机数,并对第一随机数进行预处理,得到第一预处理值。
客户端侧认证模块采用SM4对称解密算法解密密文随机数,得到明文随机数R1。并对明文随机数R1进行预处理运算,得到第一预处理值Q1和P2。
步骤S30604,客户端侧认证模块根据第一预处理值以及客户端侧认证模块首次和服务端侧管理系统进行通信时产生的文本数据生成预处理请求,并将预处理请求发送至服务端侧管理系统。
客户端侧认证模块将预处理值、以及首次和服务端侧管理系统进行通信时产生的Cookie值(即上述文本数据)生成申请服务器协同签名的预处理请求,并通过网络将该预处理请求发送至服务端侧管理系统。
步骤S30606,客户端侧认证模块接收服务端侧管理系统返回的第二预处理值,并对第二预处理值进行校验,其中,第二预处理值是服务端侧管理系统接收到预处理请求后生成的。
根据本申请的一个可选的实施例,第二预处理值通过以下方法生成:服务端侧管理系统从文本数据中查找会话对象,通过会话对象查找客户端的设备标识,通过设备标识查找签名公钥和第二签名私钥,其中,设备标识预先存储在服务端侧管理系统的会话对象中;服务端侧管理系统利用签名公钥和第二签名私钥对第一预处理值进行校验,校验成功后生成第二随机数,其中,第二随机数存储在服务端侧管理系统的会话对象中;服务端侧管理系统对第二随机数进行预处理,生成第二预处理值。
服务端侧管理系统接收到预处理请求后,从Cookie值中找到对应的Session,从Session中找到客户端的设备标识,由设备标识查找对应的客户端私钥分量D2和公钥分量G1、G2。服务端侧管理系统利用客户端私钥分量D2和公钥分量G1、G2对客户端侧认证模块产生的第一预处理值Q1和P2进行校验。校验成功后,服务端侧管理系统连接密码服务器产生随机数R2(即第二随机数),并将随机数R2保存至Session中。服务端侧管理系统对随机数R2进行预处理运算,得到第二预处理值Q2和P1。并将第二预处理值Q2和P1返回至客户端侧认证模块。
步骤S30608,客户端侧认证模块对第二预处理值校验成功后,通过第一签名私钥,采用协同签名算法对第一随机数进行计算,生成第一签名值。
客户端侧认证模块,校验第二预处理值Q2和P1的有效性,校验成功后,通过第一签名私钥D1对第一随机数R1进行计算,得到第一签名值S1。
步骤S308,客户端侧认证模块根据第一签名值生成最终签名值。
作为本申请的一个可选的实施例,执行步骤S308客户端侧认证模块根据第一签名值生成最终签名值,包括以下步骤:
步骤S30802,客户端侧认证模块根据第一签名值和文本数据生成协同签名请求,并将协同签名请求发送至服务端侧管理系统。
客户端侧认证模块根据第一签名值分量S1和Cookie值生成协同签名请求,并将生成的协同签名请求发送至服务端侧管理系统,申请服务器协同签名。
步骤S30804,客户端侧认证模块接收服务端侧管理系统发送的第二签名值,其中,第二签名值通过以下方法生成:服务端侧管理系统从文本数据中查找会话对象,通过会话对象查找第二随机数;服务端侧管理系统利用协同签名算法对第一签名值和第二随机数进行计算,得到第二签名值。
服务端侧管理系统接收协同签名请求,从Cookie值中找到对应的Session,从Session中查找第二随机数R2。
服务端侧管理系统对第二随机数R2和第一签名值S1协同签名计算,得到第二签名值S2,并将第二签名值S2返回至客户端侧认证模块。
步骤S30806,客户端侧认证模块利用协同签名算法对第一随机数和第二签名值进行计算,生成最终签名值。
客户端侧认证模块对第一随机数R1和第二签名值S2,重新签名得到最终签名值S。
步骤S310,客户端侧认证模块将最终签名值、签名证书的证书序列号、客户端的硬件信息和系统信息封装为认证报文。
在本步骤中,客户端侧认证模块将上述签名值S、签名证书的证书序列号、客户端的硬件信息和系统信息,形成JSON通信报文(即上述认证报文)。
作为本申请的一个可选的实施例中,客户端的硬件信息包括但限于客户端的型号、客户端CPU的型号等硬件信息。系统信息为客户端运行的操作系统的信息,例如,Windows操作系统等。
在本申请的一些可选的实施例中,客户端侧认证模块将认证报文发送至服务端侧管理系统,通过以下方法实现:客户端侧认证模块利用第二算法对认证报文进行加密,得到加密认证报文;客户端侧认证模块根据加密认证报文以及文本数据生成第二认证请求;客户端侧认证模块将第二认证请求发送至服务端侧管理系统。
在本步骤中,客户端侧认证模块采用SM4对称加密算法加密认证报文,带上第一次通信产生的Cookie值生成第二认证请求,并通过网络将第二认证请求发送至服务端侧管理系统。
根据本申请的一个可选的实施例,服务端侧管理系统接收到第二认证请求后通过以下第一方法对最终签名值进行验签:根据文本数据查找服务端侧管理系统的会话对象,并从会话对象中查找第一随机数;如果会话对象中不存在第一随机数,确定由于在预设时长内重复发起认证请求导致最终签名值验签失败。
服务端侧管理系统接收到第二认证请求,先从Cookie值中找到对应的Session,从Session中查找明文随机数R1(随机数一次有效,验证成功会清空),如果Session中不存在明文随机数R1,则代表重放,验证失败。
客户端侧认证模块向服务端侧控制系统发起认证请求,如果服务端侧控制系统对客户端侧认证模块认证成功,则将服务端侧管理系统生成的随机数R1在服务端侧管理系统本地缓存预设时长后删除,如果在一定的时长内客户端侧认证模块再次发起携带有随机数R1的认证请求,服务端侧管理系统接收到该认证请求后,并查询到本地缓存不存在相同的随机数R1,则确定存在重放,说明客户端侧认证模块发送的数据包可能是被修改或者替换过的数据包,在这种情况下,验证失败。
根据本申请的另一个可选的实施例,服务端侧管理系统还通过以下第二方法对所签名证书进行验证:通过根证书验签签名证书是否被篡改,以及签名证书是否为CA证书系统颁发的证书;在证书吊销列表中查询签名证书是否被吊销;通过在线证书状态协议查询签名证书是否处于有效状态;如果签名证书被篡改,或者签名证书不是CA证书系统颁发的证书,或者签名证书被吊销,或者签名证书未处于有效状态,确定对签名证书验证失败。
在本步骤中,服务端侧管理系统接收到客户端侧认证模块发送的认证报文后,利用签名证书的证书序列号SN在LDAP中查询签名证书是否被篡改,以及签名证书是否为CA证书系统颁发的证书,然后在CRL中查询签名证书是否被吊销,在OCSP查询证书是否为有效状态。
LDAP是轻量目录访问协议,英文全称是Lightweight Directory AccessProtocol,一般简称为LDAP。
CRL是证书吊销列表,英文全称是Certificate Revocation List,是在网络中使用公钥结构存取服务器的两种常用方法中的一个。
OCSP是指在线证书状态协议,是维护服务器和其它网络资源安全性的两种普遍模式之一。
在本步骤中,如果查询到签名证书被篡改,或者所述签名证书不是所述CA证书系统颁发的证书,或者签名证书被吊销,或者签名证书处于无效状态,确定对签名证书验证失败。
根据本申请的另一个可选的实施例,服务端侧管理系统还通过以下第三方法对最终签名值进行验签:若签名证书未被修改,且签名证书未被吊销,且签名证书处于有效状态,利用签名证书对最终签名值进行验签。
如果通过上文中提到的签名证书验签方法对签名证书验签成功,利用签名证书对生成的最终签名值S进行验签。
作为本申请的一个可选的实施例,服务端侧管理系统还通过以下第四方法对客户端进行认证:从服务端侧管理系统查询客户端的硬件信息和系统信息;若服务端侧管理系统中不存在客户端的硬件信息和系统信息,确定客户端未在服务端侧管理系统进行注册,确定客户端认证失败。
服务端侧管理系统在本地对客户端硬件信息和系统信息进行查询,若查询到客户端的硬件信息和系统信息,则确定客户端预先在服务端侧管理系统成功注册;否则提示客户端未预先在服务端侧管理系统进行注册。
在另一个可选的实施例中,用于登录客户端的账号和密码通过以下方法得到:如果服务端侧管理系统通过第一方法对最终签名值验签成功,通过第二方法对签名证书验证成功,通过第三方法对最终签名值验签成功以及通过第四方法对客户端认证成功,服务端侧管理系统查询签名证书和客户端之间的是否存在授权关系;如果查询到签名证书和客户端之间的存在授权关系,将用于登录客户端的账号和密码通过第二算法加密后发送至客户端侧认证模块。
服务端侧管理系统还需要对签名证书和客户端之间的授权关系查询,服务端侧管理系统本地存储有签名证书的证书序列号和客户端的设备标识之间的对应关系,如果通过查询,确认签名证书和客户端存在授权关系,则将对应该客户端的主机账号和密码,采用SM4对称算法加密,将加密后的主机账号和密码通过网络返回至客户端侧认证模块。
作为本申请的一个可选的实施例,执行步骤S208客户端侧认证模块利用账号和密码实现登录客户端的操作,包括以下步骤:通过第二算法对用于登录客户端的账号和密码进行解密,得到解密后的账号和密码;将解密后的账号和密码采用操作系统登录程序登录客户端运行的操作系统。
客户端侧认证模块通过SM4对称算法对服务端侧管理系统返回的主机账号和密码进行解密,将解密后的主机账号和密码采用代填操作系统WINLOGON进程,实现操作系统登录,然后进入操作系统的桌面。
在计算机登录的相关技术中,关于用户的身份鉴别问题,现有技术中,用户的身份通过账号和密码校验,很难鉴定用户的真伪,如果账号和密码被盗用,或被第三方拦截破解,造成账号和密码的泄露,则存在黑客盗用和攻击,窃取用户数据的风险,本申请提供的技术方案采用PKI密码体系,利用协同签名技术,进行用户身份的鉴别,可以确保用户身份的准确性,并保证私钥不会被破解。
关于计算机账号和密码管理的安全性问题,现有技术种,一般将用户账号和密码分发给服务端存储在计算机本地或智能卡设备。这种存储方式存在安全隐患。本申请提供的技术方案,服务端采用服务端集中管理,并采用密文传输,可以确保密码安全性。
图4根据本申请实施例的另一种终端设备的安全登录方法的流程图,如图4所示,该方法包括以下步骤:
步骤S402,服务端侧管理系统接收客户端侧认证模块发送的认证报文,其中,认证报文是客户端侧认证模块通过签名证书对应的签名私钥、客户端的硬件信息和系统信息封装得到的,签名证书中存储有签名公钥,签名公钥对应的签名私钥包括:由客户端生成的第一签名私钥以及由服务端侧管理系统生成的第二签名私钥。
步骤S404,服务端侧管理系统对认证报文进行认证。
步骤S406,在服务端侧管理系统对认证报文认证成功的情况下,服务端侧管理系统将用于登录客户端的账号和密码发送至客户端侧认证模块,其中,客户端侧认证模块利用账号和密码实现登录客户端的操作。
需要说明的是,图4所示实施例的优选实施方式可以参见图2所示实施例的相关描述,此处不再赘述。
图5是根据本申请实施例的一种终端设备的安全登录装置的结构框图,如图5所示,该装置包括:
获取模块50,用于获取第一算法的签名证书,其中,签名证书中存储有签名公钥,签名公钥对应的签名私钥包括:由客户端生成的第一签名私钥以及由服务端侧管理系统生成的第二签名私钥。
第一处理模块52,用于通过签名证书对应的签名私钥、客户端的硬件信息和系统信息封装认证报文,并将认证报文发送至服务端侧管理系统。
接收模块54,用于在服务端侧管理系统对认证报文认证成功的情况下,接收服务端侧管理系统返回的用于登录客户端的账号和密码。
第二处理模块56,用于利用账号和密码实现登录客户端的操作。
需要说明的是,图5所示实施例的优选实施方式可以参见图2所示实施例的相关描述,此处不再赘述。
需要说明的是,上述终端设备的安全登录装置中的各个模块可以是程序模块(例如是实现某种特定功能的程序指令集合),也可以是硬件模块,对于后者,其可以表现为以下形式,但不限于此:上述各个模块的表现形式均为一个处理器,或者,上述各个模块的功能通过一个处理器实现。
本申请实施例还提供了一种非易失性存储介质,非易失性存储介质中存储有程序,其中,在程序运行时控制非易失性存储介质所在设备执行以上的终端设备的安全登录方法。
上述非易失性存储介质用于存储执行以下功能的程序:客户端侧认证模块获取第一算法的签名证书,其中,签名证书中存储有签名公钥,签名公钥对应的签名私钥包括:由客户端生成的第一签名私钥以及由服务端侧管理系统生成的第二签名私钥;客户端侧认证模块通过签名证书对应的签名私钥、客户端的硬件信息和系统信息封装认证报文,并将认证报文发送至服务端侧管理系统;在服务端侧管理系统对认证报文认证成功的情况下,客户端侧认证模块接收服务端侧管理系统返回的用于登录客户端的账号和密码;客户端侧认证模块利用账号和密码实现登录客户端的操作。以及
服务端侧管理系统接收客户端侧认证模块发送的认证报文,其中,认证报文是客户端侧认证模块通过签名证书对应的签名私钥、客户端的硬件信息和系统信息封装得到的,签名证书中存储有签名公钥,签名公钥对应的签名私钥包括:由客户端生成的第一签名私钥以及由服务端侧管理系统生成的第二签名私钥;服务端侧管理系统对认证报文进行认证;在服务端侧管理系统对认证报文认证成功的情况下,服务端侧管理系统将用于登录客户端的账号和密码发送至客户端侧认证模块,其中,客户端侧认证模块利用账号和密码实现登录客户端的操作。
本申请实施例还提供了一种电子设备,包括:存储器和处理器,处理器用于运行存储在存储器中的程序,其中,程序运行时执行以上的终端设备的安全登录方法。
上述处理器用于运行执行以下功能的程序:客户端侧认证模块获取第一算法的签名证书,其中,签名证书中存储有签名公钥,签名公钥对应的签名私钥包括:由客户端生成的第一签名私钥以及由服务端侧管理系统生成的第二签名私钥;客户端侧认证模块通过签名证书对应的签名私钥、客户端的硬件信息和系统信息封装认证报文,并将认证报文发送至服务端侧管理系统;在服务端侧管理系统对认证报文认证成功的情况下,客户端侧认证模块接收服务端侧管理系统返回的用于登录客户端的账号和密码;客户端侧认证模块利用账号和密码实现登录客户端的操作。以及
服务端侧管理系统接收客户端侧认证模块发送的认证报文,其中,认证报文是客户端侧认证模块通过签名证书对应的签名私钥、客户端的硬件信息和系统信息封装得到的,签名证书中存储有签名公钥,签名公钥对应的签名私钥包括:由客户端生成的第一签名私钥以及由服务端侧管理系统生成的第二签名私钥;服务端侧管理系统对认证报文进行认证;在服务端侧管理系统对认证报文认证成功的情况下,服务端侧管理系统将用于登录客户端的账号和密码发送至客户端侧认证模块,其中,客户端侧认证模块利用账号和密码实现登录客户端的操作。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对相关技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (16)
1.一种终端设备的安全登录方法,其特征在于,包括:
客户端侧认证模块获取第一算法的签名证书,其中,所述签名证书中存储有签名公钥,所述签名公钥对应的签名私钥包括:由客户端生成的第一签名私钥以及由服务端侧管理系统生成的第二签名私钥;
所述客户端侧认证模块通过所述签名证书对应的签名私钥、所述客户端的硬件信息和系统信息封装认证报文,并将所述认证报文发送至所述服务端侧管理系统;
在所述服务端侧管理系统对所述认证报文认证成功的情况下,所述客户端侧认证模块接收所述服务端侧管理系统返回的用于登录所述客户端的账号和密码;所述客户端侧认证模块利用所述账号和密码实现登录所述客户端的操作。
2.根据权利要求1所述的方法,其特征在于,所述客户端侧认证模块通过所述签名证书对应的签名私钥、所述客户端的硬件信息和系统信息封装认证报文,包括:
所述客户端侧认证模块基于登录所述客户端的个人身份识别码和所述客户端的设备标识生成第一认证请求,并将所述第一认证请求发送至所述服务端侧管理系统,其中,所述设备标识为所述客户端的唯一标识信息;
所述客户端侧认证模块接收所述服务端侧管理系统返回的密文随机数,其中,所述密文随机数是所述服务端侧管理系统接收到所述第一认证请求后生成第一随机数,并采用第二算法对所述第一随机数加密得到的,所述第一随机数存储在所述服务端侧管理系统的会话对象中;
所述客户端侧认证模块对所述密文随机数进行预处理,生成第一签名值;
所述客户端侧认证模块根据所述第一签名值生成最终签名值;
所述客户端侧认证模块将所述最终签名值、所述签名证书的证书序列号、所述客户端的硬件信息和系统信息封装为所述认证报文。
3.根据权利要求2所述的方法,其特征在于,所述客户端侧认证模块对所述密文随机数进行预处理,生成第一签名值,包括:
所述客户端侧认证模块通过所述第二算法对所述密文随机数进行解密,得到所述第一随机数,并对所述第一随机数进行预处理,得到第一预处理值;
所述客户端侧认证模块根据所述第一预处理值以及所述客户端侧认证模块首次和所述服务端侧管理系统进行通信时产生的文本数据生成预处理请求,并将所述预处理请求发送至所述服务端侧管理系统;
所述客户端侧认证模块接收所述服务端侧管理系统返回的第二预处理值,并对所述第二预处理值进行校验,其中,所述第二预处理值是所述服务端侧管理系统接收到所述预处理请求后生成的;
所述客户端侧认证模块对所述第二预处理值校验成功后,通过所述第一签名私钥,采用协同签名算法对所述第一随机数进行计算,生成所述第一签名值。
4.根据权利要求3所述的方法,其特征在于,所述第二预处理值通过以下方法生成:
所述服务端侧管理系统从所述文本数据中查找所述会话对象,通过所述会话对象查找所述客户端的设备标识,通过所述设备标识查找所述签名公钥和所述第二签名私钥,其中,所述设备标识预先存储在所述服务端侧管理系统的会话对象中;
所述服务端侧管理系统利用所述签名公钥和所述第二签名私钥对所述第一预处理值进行校验,校验成功后生成第二随机数,其中,所述第二随机数存储在所述服务端侧管理系统的会话对象中;
所述服务端侧管理系统对所述第二随机数进行预处理,生成所述第二预处理值。
5.根据权利要求4所述的方法,其特征在于,所述客户端侧认证模块根据所述第一签名值生成最终签名值,包括:
所述客户端侧认证模块根据所述第一签名值和所述文本数据生成协同签名请求,并将所述协同签名请求发送至所述服务端侧管理系统;
所述客户端侧认证模块接收所述服务端侧管理系统发送的第二签名值,其中,所述第二签名值通过以下方法生成:所述服务端侧管理系统从所述文本数据中查找所述会话对象,通过所述会话对象查找所述第二随机数;所述服务端侧管理系统利用所述协同签名算法对所述第一签名值和所述第二随机数进行计算,得到所述第二签名值;
所述客户端侧认证模块利用所述协同签名算法对所述第一随机数和所述第二签名值进行计算,生成所述最终签名值。
6.根据权利要求3所述的方法,其特征在于,所述客户端侧认证模块将所述认证报文发送至所述服务端侧管理系统,包括:
所述客户端侧认证模块利用所述第二算法对所述认证报文进行加密,得到加密认证报文;
所述客户端侧认证模块根据所述加密认证报文以及所述文本数据生成第二认证请求;
所述客户端侧认证模块将所述第二认证请求发送至所述服务端侧管理系统。
7.根据权利要求6所述的方法,其特征在于,所述服务端侧管理系统接收到所述第二认证请求后通过以下第一方法对所述最终签名值进行验签:
根据所述文本数据查找所述服务端侧管理系统的会话对象,并从所述会话对象中查找所述第一随机数;
如果所述会话对象中不存在所述第一随机数,确定由于在预设时长内重复发起认证请求导致所述最终签名值验签失败。
8.根据权利要求7所述的方法,其特征在于,所述服务端侧管理系统还通过以下第二方法对所签名证书进行验证:
通过根证书验签所述签名证书是否被篡改,以及所述签名证书是否为CA证书系统颁发的证书;
在证书吊销列表中查询所述签名证书是否被吊销;
通过在线证书状态协议查询所述签名证书是否处于有效状态;
如果所述签名证书被篡改,或者所述签名证书不是所述CA证书系统颁发的证书,或者所述签名证书被吊销,或者所述签名证书未处于有效状态,确定对所述签名证书验证失败。
9.根据权利要求8所述的方法,其特征在于,所述服务端侧管理系统还通过以下第三方法对所述最终签名值进行验签:
若所述签名证书未被修改,且所述签名证书未被吊销,且所述签名证书处于所述有效状态,利用所述签名证书对所述最终签名值进行验签。
10.根据权利要求9所述的方法,其特征在于,所述服务端侧管理系统还通过以下第四方法对所述客户端进行认证:
从所述服务端侧管理系统查询所述客户端的硬件信息和系统信息;
若所述服务端侧管理系统中不存在所述客户端的硬件信息和系统信息,确定所述客户端未在所述服务端侧管理系统进行注册,确定所述客户端认证失败。
11.根据权利要求10所述的方法,其特征在于,用于登录所述客户端的账号和密码通过以下方法得到:
如果所述服务端侧管理系统通过所述第一方法对所述最终签名值验签成功,通过所述第二方法对所述签名证书验证成功,通过所述第三方法对所述最终签名值验签成功以及通过所述第四方法对所述客户端认证成功,所述服务端侧管理系统查询所述签名证书和所述客户端之间的是否存在授权关系;
如果查询到所述签名证书和所述客户端之间的存在授权关系,将用于登录所述客户端的账号和密码通过所述第二算法加密后发送至所述客户端侧认证模块。
12.根据权利要求2所述的方法,其特征在于,所述客户端侧认证模块利用所述账号和密码实现登录所述客户端的操作,包括:
通过所述第二算法对用于登录所述客户端的账号和密码进行解密,得到解密后的账号和密码;
将所述解密后的账号和密码采用操作系统登录程序登录所述客户端运行的操作系统。
13.一种终端设备的安全登录方法,其特征在于,包括:
服务端侧管理系统接收客户端侧认证模块发送的认证报文,其中,所述认证报文是所述客户端侧认证模块通过签名证书对应的签名私钥、客户端的硬件信息和系统信息封装得到的,所述签名证书中存储有签名公钥,所述签名公钥对应的签名私钥包括:由所述客户端生成的第一签名私钥以及由所述服务端侧管理系统生成的第二签名私钥;
所述服务端侧管理系统对所述认证报文进行认证;
在所述服务端侧管理系统对所述认证报文认证成功的情况下,所述服务端侧管理系统将用于登录所述客户端的账号和密码发送至所述客户端侧认证模块,其中,所述客户端侧认证模块利用所述账号和密码实现登录所述客户端的操作。
14.一种终端设备的安全登录装置,其特征在于,包括:
获取模块,用于获取第一算法的签名证书,其中,所述签名证书中存储有签名公钥,所述签名公钥对应的签名私钥包括:由客户端生成的第一签名私钥以及由服务端侧管理系统生成的第二签名私钥;
第一处理模块,用于通过所述签名证书对应的签名私钥、所述客户端的硬件信息和系统信息封装认证报文,并将所述认证报文发送至所述服务端侧管理系统;
接收模块,用于在所述服务端侧管理系统对所述认证报文认证成功的情况下,接收所述服务端侧管理系统返回的用于登录所述客户端的账号和密码;
第二处理模块,用于利用所述账号和密码实现登录所述客户端的操作。
15.一种非易失性存储介质,其特征在于,所述非易失性存储介质中存储有程序,其中,在所述程序运行时控制所述非易失性存储介质所在设备执行权利要求1至13中任意一项所述的终端设备的安全登录方法。
16.一种电子设备,其特征在于,包括:存储器和处理器,所述处理器用于运行存储在所述存储器中的程序,其中,所述程序运行时执行权利要求1至13中任意一项所述的终端设备的安全登录方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211521240.7A CN115883104B (zh) | 2022-11-30 | 2022-11-30 | 终端设备的安全登录方法及装置、非易失性存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211521240.7A CN115883104B (zh) | 2022-11-30 | 2022-11-30 | 终端设备的安全登录方法及装置、非易失性存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115883104A true CN115883104A (zh) | 2023-03-31 |
CN115883104B CN115883104B (zh) | 2023-07-21 |
Family
ID=85765001
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211521240.7A Active CN115883104B (zh) | 2022-11-30 | 2022-11-30 | 终端设备的安全登录方法及装置、非易失性存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115883104B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101183932A (zh) * | 2007-12-03 | 2008-05-21 | 宇龙计算机通信科技(深圳)有限公司 | 一种无线应用服务的安全认证系统及其注册和登录方法 |
CN107864144A (zh) * | 2017-11-20 | 2018-03-30 | 珠海市魅族科技有限公司 | 获取动态密码的方法及装置、计算机装置和存储介质 |
CN109873805A (zh) * | 2019-01-02 | 2019-06-11 | 平安科技(深圳)有限公司 | 基于云安全的云桌面登陆方法、装置、设备和存储介质 |
CN111614637A (zh) * | 2020-05-08 | 2020-09-01 | 郑州信大捷安信息技术股份有限公司 | 一种基于软件密码模块的安全通信方法及系统 |
CN112651036A (zh) * | 2020-12-31 | 2021-04-13 | 厦门亿力吉奥信息科技有限公司 | 基于协同签名的身份认证方法及计算机可读存储介质 |
WO2022242003A1 (zh) * | 2021-05-21 | 2022-11-24 | 统信软件技术有限公司 | 基于多方授权的登录方法、认证方法、系统及计算设备 |
-
2022
- 2022-11-30 CN CN202211521240.7A patent/CN115883104B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101183932A (zh) * | 2007-12-03 | 2008-05-21 | 宇龙计算机通信科技(深圳)有限公司 | 一种无线应用服务的安全认证系统及其注册和登录方法 |
CN107864144A (zh) * | 2017-11-20 | 2018-03-30 | 珠海市魅族科技有限公司 | 获取动态密码的方法及装置、计算机装置和存储介质 |
CN109873805A (zh) * | 2019-01-02 | 2019-06-11 | 平安科技(深圳)有限公司 | 基于云安全的云桌面登陆方法、装置、设备和存储介质 |
CN111614637A (zh) * | 2020-05-08 | 2020-09-01 | 郑州信大捷安信息技术股份有限公司 | 一种基于软件密码模块的安全通信方法及系统 |
CN112651036A (zh) * | 2020-12-31 | 2021-04-13 | 厦门亿力吉奥信息科技有限公司 | 基于协同签名的身份认证方法及计算机可读存储介质 |
WO2022242003A1 (zh) * | 2021-05-21 | 2022-11-24 | 统信软件技术有限公司 | 基于多方授权的登录方法、认证方法、系统及计算设备 |
Also Published As
Publication number | Publication date |
---|---|
CN115883104B (zh) | 2023-07-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11757662B2 (en) | Confidential authentication and provisioning | |
CN109728909B (zh) | 基于USBKey的身份认证方法和系统 | |
CN109088889B (zh) | 一种ssl加解密方法、系统及计算机可读存储介质 | |
CN110535628B (zh) | 通过证书签发进行多方安全计算的方法及装置 | |
CN111416807B (zh) | 数据获取方法、装置及存储介质 | |
CN110380852B (zh) | 双向认证方法及通信系统 | |
CN107465689B (zh) | 云环境下的虚拟可信平台模块的密钥管理系统及方法 | |
CN109756500B (zh) | 基于多个非对称密钥池的抗量子计算https通信方法和系统 | |
CN103338215B (zh) | 基于国密算法建立tls通道的方法 | |
CN103051628B (zh) | 基于服务器获取认证令牌的方法及系统 | |
CN110519046B (zh) | 基于一次性非对称密钥对和qkd的量子通信服务站密钥协商方法和系统 | |
CN114520976B (zh) | 用户身份识别卡的认证方法及装置、非易失性存储介质 | |
WO2005025125A1 (ja) | 機器認証システム | |
CN104506534A (zh) | 安全通信密钥协商交互方案 | |
CN108243176B (zh) | 数据传输方法和装置 | |
CN109861813B (zh) | 基于非对称密钥池的抗量子计算https通信方法和系统 | |
CN110020524B (zh) | 一种基于智能卡的双向认证方法 | |
CN108809633B (zh) | 一种身份认证的方法、装置及系统 | |
CN111756530B (zh) | 量子服务移动引擎系统、网络架构及相关设备 | |
CN113411187B (zh) | 身份认证方法和系统、存储介质及处理器 | |
CN108259486B (zh) | 基于证书的端到端密钥交换方法 | |
US8788825B1 (en) | Method and apparatus for key management for various device-server configurations | |
CN111654503A (zh) | 一种远程管控方法、装置、设备及存储介质 | |
JP6465426B1 (ja) | 電子署名システム、証明書発行システム、鍵管理システム及び電子証明書発行方法 | |
Zhou et al. | Trusted channels with password-based authentication and TPM-based attestation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |