CN115883105A - 认证连接方法、系统、电子设备及计算机存储介质 - Google Patents
认证连接方法、系统、电子设备及计算机存储介质 Download PDFInfo
- Publication number
- CN115883105A CN115883105A CN202211548900.0A CN202211548900A CN115883105A CN 115883105 A CN115883105 A CN 115883105A CN 202211548900 A CN202211548900 A CN 202211548900A CN 115883105 A CN115883105 A CN 115883105A
- Authority
- CN
- China
- Prior art keywords
- client
- authentication gateway
- digital certificate
- random number
- security authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了认证连接方法、系统、电子设备及计算机存储介质,认证连接方法包括若安全认证网关判断客户端存在数字证书,则安全认证网关接收客户端发送的获取随机数请求。安全认证网关将根据获取随机数请求生成的随机数返回至客户端。客户端将对随机数进行签名生成的签名信息发送至安全认证网关。安全认证网关根据签名信息判断数字证书是否有效,若安全认证网关判断数字证书有效,则下发网络连接信息至客户端,网络连接信息用于客户端与内网服务器建立网络连接。本发明的方案保证了客户端与内网服务器建立专用网络连接之前的认证连接过程的安全性,保证了用户信息的安全,从而避免用户信息的泄露隐患。
Description
技术领域
本发明实施例涉及计算机技术领域,尤其涉及一种认证连接方法、系统、电子设备及计算机存储介质。
背景技术
VPN是虚拟专用网络,用于在公用网络上建立专用网络,进行加密通讯,在企业网络中有广泛运用,例如通过在移动终端如手机或平板上安装VPN客户端,连接企业内部应用资源,实现任何时间、任何地点的远程办公。
使用VPN之前需要先认证连接,现有技术中的VPN认证连接方式主要包括:静态密码方式、动态口令技术和短信验证码方式。在静态密码方式下的登录验证机制采用初始密码或者过于简单的静态密码,非法入侵者若窃听到VPN登录账号的账号名及密码,即可得到合法访问权限,并可通过合法访问权限访问企业内部系统,用户信息安全面临威胁;动态口令技术需要与服务端进行交互,容易在交互时受到中间攻击;短信验证码方式采用明文发送,存在验证码泄露风险。上述认证连接的方式都无法保证用户信息安全,导致用户信息泄露隐患。
发明内容
有鉴于此,本发明实施例提供一种认证连接方法、系统、电子设备及计算机存储介质,以至少解决上述问题。
根据本发明实施例的第一方面,提供了一种认证连接方法,该认证连接方法包括若安全认证网关判断客户端存在数字证书,则安全认证网关接收客户端发送的获取随机数请求。安全认证网关将根据获取随机数请求生成的随机数返回至客户端。客户端将对随机数进行签名生成的签名信息发送至安全认证网关。安全认证网关根据签名信息判断数字证书是否有效,若安全认证网关判断数字证书有效,则下发网络连接信息至客户端,网络连接信息用于客户端与内网服务器建立网络连接。
在一种实现方式中,该认证连接方法还包括若安全认证网关判断客户端不存在数字证书,则安全认证网关接收客户端发送的数字证书请求。安全认证网关将数字证书请求转发至数字证书验证机构。数字证书验证机构根据接收的数字证书请求,下发数字证书至安全认证网关。安全认证网关将数字证书转发至客户端。
在另一种实现方式中,客户端将对随机数进行签名生成的签名信息发送至安全认证网关之前,还包括客户端接收输入的验证码,判断输入的验证码与预设的验证码是否一致。若输入的验证码与预设的验证码一致,则客户端获取签名权限,签名权限用于许可客户端对随机数进行签名,生成签名信息。基于签名权限,客户端对随机数进行签名,生成签名信息。
在另一种实现方式中,基于签名权限,客户端对随机数进行签名,生成签名信息,包括客户端生成一组密钥对,一组密钥对包括用户私钥和用户公钥。客户端使用用户私钥,对随机数通过国密算法进行加密,生成签名信息。
在另一种实现方式中,该认证连接方法还包括客户端将用户公钥发送至安全认证网关201。
在另一种实现方式中,安全认证网关根据签名信息判断数字证书是否有效,包括安全认证网关判断接收的用户公钥与签名信息中的用户私钥是否属于一组密钥对。若用户公钥与用户私钥属于一组密钥对,则数字证书有效。
在另一种实现方式中,网络连接信息包括内网服务器的IP地址、内网服务器的端口号以及用户令牌,内网服务器的IP地址和内网服务器的端口号用于客户端查找内网服务器,用户令牌用于客户端与内网服务器建立网络连接。
根据本发明实施例的第二方面,提供了一种认证连接系统,包括安全认证网关和客户端。其中,若安全认证网关判断客户端存在数字证书,则安全认证网关接收客户端发送的获取随机数请求。安全认证网关将根据获取随机数请求生成的随机数返回至客户端。客户端将对随机数进行签名生成的签名信息发送至安全认证网关。安全认证网关根据签名信息判断数字证书是否有效,若安全认证网关判断数字证书有效,则下发网络连接信息至客户端,网络连接信息用于客户端与内网服务器建立网络连接。
根据本发明实施例的第三方面,提供了一种电子设备,包括处理器、存储程序的存储器。其中,程序包括指令,指令在由处理器执行时使处理器执行如上述方面的任一项的服务器和安全认证网关所执行的步骤。
根据本发明实施例的第四方面,提供了一种计算机存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述方面的任一项的服务器和安全认证网关所执行的步骤。
在本发明实施例的方案中,提供了一种认证连接方法,该认证连接方法通过进行对客户端是否存在数字证书,以及数字证书是否有效的双重判断,保证了客户端与内网服务器建立专用网络连接之前的认证连接过程的安全性,保证了用户信息的安全,从而避免用户信息的泄露隐患。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明实施例中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1为本发明实施例的认证连接方法的步骤流程图。
图2为与图1实施例对应的认证连接系统的结构框图。
图3为根据本发明的另一实施例的一种电子设备的结构示意图。
具体实施方式
为了对本发明实施例的技术特征、目的和效果有更加清楚的理解,现对照附图说明本发明实施例的具体实施方式。
在本文中,“示意性”表示“充当实例、例子或说明”,不应将在本文中被描述为“示意性”的任何图示、实施方式解释为一种更优选的或更具优点的技术方案。
为使图面简洁,各图中只示意性地表示出了与本发明相关的部分,它们并不代表其作为产品的实际结构。另外,为使图面简洁便于理解,在有些图中具有相同结构或功能的部件,仅示意性地绘示了其中的一个或多个,或仅标示出了其中的一个或多个。
为了使本领域的人员更好地理解本发明实施例中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明实施例一部分实施例,而不是全部的实施例。基于本发明实施例中的实施例,本领域普通技术人员所获得的所有其他实施例,都应当属于本发明实施例保护的范围。
下面结合本发明实施例附图进一步说明本发明实施例具体实现。
根据本发明实施例的第一方面,提供了一种认证连接方法。参见图1,图1为本发明实施例的认证连接方法的步骤流程图。
如图1所示,本实施例主要包括以下步骤:
步骤S110,若安全认证网关201判断客户端202存在数字证书,则安全认证网关201接收客户端202发送的获取随机数请求。
应理解,安全认证网关201是通过网络层、应用层安全协议,集合反向代理、隧道加密的高性能综合网关,作用于数据传输安全问题,在本发明的实施例中作为服务器端发挥作用。
还应理解,数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证,人们可以在网上用它来识别对方的身份。因此数字证书又称为数字标识。数字证书对网络用户在计算机网络交流中的信息和数据等以加密或解密的形式保证了信息和数据的完整性和安全性。数字证书由数字证书验证机构(CA认证机构)下发。数字证书类似于现实生活中的身份证、营业执照、军官证等证件,起到了证明网络用户身份及其公钥合法性的作用。
示例性地,安全认证网关201判断客户端202是否存在数字证书,若客户端202存在数字证书,则证明客户端202的身份是真实存在的,安全认证网关201接收客户端202发送的获取随机数请求。
安全认证网关201通过判断客户端202是否存在数字证书,以判断客户端202的身份真实性,并根据判断客户端202存在数字证书则接收获取随机数请求,提高了客户端认证连接的安全性。
步骤S120,安全认证网关201将根据获取随机数请求生成的随机数返回至客户端202。
示例性地,安全认证网关201接收客户端202发送的获取随机数请求,并生成针对该获取随机数请求的随机数,将随机数返回至客户端202,该随机数用于后续进行加密操作。
应理解,随机数的作用就是使密文变的不可预测,假如随机数是5,5*1=5,密文将偏移5位,同时将随机数5也发给接收方。接收方也用相同的算法5*1=5,从而得知这一次的解密密钥是5,要反向偏移5位而不是固定的3位。并且随机数是不可重复的,这样每次的密文都会完成不同,无法预测。
安全认证网关201通过将随机数返回客户端202,以便客户端202对随机数进行加密操作。
步骤S130,客户端202将对随机数进行签名生成的签名信息发送至安全认证网关201。
示例性地,客户端202对随机数进行签名即对随机数进行加密,客户端202对随机数通过基于国密SM2的协同签名算法进行签名,生成签名信息,并将签名信息发送安全认证网关201,用于实现客户端202的连接认证。
通过客户端202对随机数进行签名生成签名信息并将该签名信息用于客户端202的连接认证,提高了客户端连接认证的安全性。
步骤S140,安全认证网关201根据签名信息判断数字证书是否有效,若安全认证网关201判断数字证书有效,则下发网络连接信息至客户端202,网络连接信息用于客户端202与内网服务器建立网络连接。
应理解,有效的数字证书需要满足以下三个条件:
(1)数字证书没有过期。数字证书的内容中包含数字证书的有效起始日期和有效终止日期,超过该日期范围的数字证书就是无效的。
(2)数字证书对应的密钥没有被修改或丢失。如果发生数字证书中的公钥被修改或数字证书公钥所对应的私钥丢失,其所对应的数字证书均应被视为无效。
(3)数字证书不在证书撤销列表中。数字证书验证机构会保存一张证书撤销列表,就像黑名单一样,将所有已撤销证书的信息列在该表中。如果证书信息(如序列号)已在证书撤销列表中,则该证书就是无效的,不能用于证明该证书拥有者的用户身份。
示例性地,若安全认证网关201判断数字证书没有过期、数字证书对应的密钥没有被修改或丢失以及数字证书不在证书撤销列表中,则该数字证书有效,安全认证网关201下发网络连接信息至客户端202,网络连接信息用于客户端202与内网服务器建立网络连接。
综上,在本发明实施例的方案中,提供了一种认证连接方法,该认证连接方法通过进行对客户端202是否存在数字证书,以及数字证书是否有效的双重判断,保证了客户端202与内网服务器建立专用网络连接之前的认证连接过程的安全性,保证了用户信息的安全,从而避免用户信息的泄露隐患。
在一种实现方式中,该认证连接方法还包括若安全认证网关201判断客户端202不存在数字证书,则安全认证网关201接收客户端202发送的数字证书请求。安全认证网关201将数字证书请求转发至数字证书验证机构。数字证书验证机构根据接收的数字证书请求,下发数字证书至安全认证网关201。安全认证网关201将数字证书转发至客户端202。
示例性地,若安全认证网关201判断客户端202不存在数字证书,则客户端202不能进行连接认证,客户端202需要先申请数字证书。客户端202向安全认证网关201发送数字证书请求,安全认证网关201接收客户端202发送的数字证书请求,并将数字证书请求转发至数字证书验证机构(CA认证机构),由数字证书验证机构下发数字证书给客户端202。
应理解,数字证书验证机构(CA认证机构)是值得信赖的第三方实体颁发数字证书机构并管理为最终用户数据加密的公共密钥和证书。CA的责任是确保公司或用户收到有效的身份认证是唯一证书。
应理解,安全认证网关201将数字证书验证机构下发的数字证书转发给客户端202,同时安全认证网关201将数字证书存储在数据库中。客户端202将数字证书客户端202的安装路径下。
通过安全认证网关201判断客户端202不存在数字证书,需要先申请数字证书,保证了客户端202的连接认证必须携带数字证书,提高了客户端202连接认证的安全性。
在另一种实现方式中,客户端202将对随机数进行签名生成的签名信息发送至安全认证网关201之前,还包括客户端202接收输入的验证码,判断输入的验证码与预设的验证码是否一致。若输入的验证码与预设的验证码一致,则客户端202获取签名权限,签名权限用于许可客户端202对随机数进行签名,生成签名信息。基于签名权限,客户端202对随机数进行签名,生成签名信息。
示例性地,客户端202还需要接收输入的验证码,通过输入的验证码确认用户的身份信息,验证码还可以是PIN码,用户身份信息确认后即可获得签名权限,此时用户才能够通过客户端202对对随机数进行签名,生成签名信息。
通过输入验证码获取签名权限,确保了用户信息的真实性,提高了客户端202连接认证的安全性,保证了用户信息的安全,从而避免用户信息的泄露隐患。
在另一种实现方式中,基于签名权限,客户端202对随机数进行签名,生成签名信息,包括客户端202生成一组密钥对,一组密钥对包括用户私钥和用户公钥。客户端202使用用户私钥,对随机数通过国密算法进行加密,生成签名信息。
示例性地,在获得签名权限后,客户端202生成一组密钥对:用户私钥和用户公钥,客户端202使用用户私钥,对随机数通过国密算法进行加密,生成签名信息。
客户端202使用用户私钥,对随机数通过国密算法进行加密,生成签名信息,用于进行连接认证前的客户端身份验证,保证了客户端连接认证的安全性。
在另一种实现方式中,该认证连接方法还包括客户端202将用户公钥发送至安全认证网关201。
应理解,客户端202将用户公钥发送至安全认证网关201。
在另一种实现方式中,安全认证网关201根据签名信息判断数字证书是否有效,包括安全认证网关201判断接收的用户公钥与签名信息中的用户私钥是否属于一组密钥对。若用户公钥与用户私钥属于一组密钥对,则数字证书有效。
通过判断接收的用户公钥与签名信息中的用户私钥是否属于一组密钥对,判断数字证书有效,其实质是安全认证网关201与客户端202的相互认证,保证了客户端连接认证的安全性,保证了用户信息的安全,从而避免用户信息的泄露隐患。
在另一种实现方式中,网络连接信息包括内网服务器的IP地址、内网服务器的端口号以及用户令牌,内网服务器的IP地址和内网服务器的端口号用于客户端202查找内网服务器,用户令牌用于客户端202与内网服务器建立网络连接。
应理解,用户令牌是服务端生成的一串字符串,作为客户端进行请求的一个令牌,当第一次登录后,服务器生成一个用户令牌便将此用户令牌返回给客户端,以后客户端只需带上这个用户令牌前来请求数据即可,无需再次带上用户名和密码。
还应理解,用户令牌是在客户端202频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并进行相应提示,在这样的背景下,用户令牌便应运而生。
通过使用用户令牌减轻了服务器的压力,减少频繁的查询数据库,提高了数据处理效率。客户端202还可以携带用户令牌,根据网络连接信息与内网服务器建立专用VPN网络连接。
在另一种实现方式中,该认证连接方法还包括安全认证网关201获取用户令牌预设的有效期限,预设的有效期限包括生效次数和生效时间段。
在另一种实现方式中,该认证连接方法还包括安全认证网关201判断用户令牌是否失效,若用户令牌的当前生效次数和当前生效时间段不在预设的生效次数和生效时间段内,则用户令牌失效,安全认证网关201再次判断数字证书是否有效,若数字证书是否有效,安全认证网关201更新用户令牌的有效期限,并下发网络连接信息至客户端202。
通过将网络连接信息和用户令牌的有效期限、及数字证书是否有效结合在一起,提高了客户端202进行连接认证的安全性,保证了用户信息的安全,从而避免用户信息的泄露隐患。
根据本发明实施例的第二方面,提供了一种认证连接系统200,参见图2,图2为与图1实施例对应的认证连接系统200的结构框图。
本实施例的认证连接系统200包括安全认证网关201和客户端202。
其中,若安全认证网关201判断客户端202存在数字证书,则安全认证网关201接收客户端202发送的获取随机数请求。安全认证网关201将根据获取随机数请求生成的随机数返回至客户端202。客户端202将对随机数进行签名生成的签名信息发送至安全认证网关201。安全认证网关201根据签名信息判断数字证书是否有效,若安全认证网关201判断数字证书有效,则下发网络连接信息至客户端202,网络连接信息用于客户端202与内网服务器建立网络连接。
在本发明实施例的方案中,提供了一种认证连接系统200,该认证连接系统200通过进行对客户端202是否存在数字证书,以及数字证书是否有效的双重判断,保证了客户端202与内网服务器建立专用网络连接之前的认证连接过程的安全性,保证了用户信息的安全,从而避免用户信息的泄露隐患。
在另一种实现方式中,该认证连接系统200还用于实现若安全认证网关201201判断客户端202不存在数字证书,则安全认证网关201接收客户端202发送的数字证书请求。安全认证网关201将数字证书请求转发至数字证书验证机构。数字证书验证机构根据接收的数字证书请求,下发数字证书至安全认证网关201。安全认证网关201将数字证书转发至客户端202。
在另一种实现方式中,该认证连接系统200还用于实现客户端202接收输入的验证码,判断输入的验证码与预设的验证码是否一致。若输入的验证码与预设的验证码一致,则客户端202获取签名权限,签名权限用于许可客户端202对随机数进行签名,生成签名信息。基于签名权限,客户端202对随机数进行签名,生成签名信息。
在另一种实现方式中,该认证连接系统200还用于实现客户端202生成一组密钥对,一组密钥对包括用户私钥和用户公钥。客户端202使用用户私钥,对随机数通过国密算法进行加密,生成签名信息。
在另一种实现方式中,该认证连接系统200还用于实现客户端202将用户公钥发送至安全认证网关201。
在另一种实现方式中,该认证连接系统200还用于实现安全认证网关201判断接收的用户公钥与签名信息中的用户私钥是否属于一组密钥对。若用户公钥与用户私钥属于一组密钥对,则数字证书有效。
本实施例的系统用于实现前述多个方法实施例中相应的方法,并具有相应的方法实施例的有益效果。此外,本实施例的系统中的安全认证网关201和客户端202的功能实现均可参照前述方法实施例中的相应部分的描述。
根据本发明实施例的第三方面,提供了一种电子设备,用于执行计算机程序时实现如上述步骤中任一项的安全认证网关201和客户端202所执行的步骤,如图3所示,表示出了根据本申请实施例的一种电子设备的结构示意图,本申请具体实施例并不对电子设备的具体实现做限定。该电子设备300可以包括:处理器(processor)302、通信接口(Communications Interface)304、存储器(memory)306、以及通信总线308。
处理器302、通信接口304、以及存储器306通过通信总线308完成相互间的通信。通信接口304,用于与其它电子设备或服务器进行通信。
处理器302,用于执行程序310,具体可以执行上述方法实施例中的相关步骤。
具体地,程序310可以包括程序代码,该程序代码包括计算机操作指令。
处理器302可能是处理器CPU,或者是特定集成电路ASIC(Application SpecificIntegrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。智能设备包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。
存储器306,用于存放程序310。存储器306可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序310具体可以用于使得处理器302执行以实现实施例中所描述任一项的安全认证网关201和客户端202所执行的步骤:若安全认证网关201判断客户端202存在数字证书,则安全认证网关201接收客户端202发送的获取随机数请求。安全认证网关201将根据获取随机数请求生成的随机数返回至客户端202。客户端202将对随机数进行签名生成的签名信息发送至安全认证网关201。安全认证网关201根据签名信息判断数字证书是否有效,若安全认证网关201判断数字证书有效,则下发网络连接信息至客户端202,网络连接信息用于客户端202与内网服务器建立网络连接。
此外,程序310中各步骤的具体实现可以参见上述方法实施例中的相应步骤和单元中对应的描述,在此不赘述。所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的设备和模块的具体工作过程,可以参考前述方法实施例中的对应过程描述,在此不再赘述。
需要指出,根据实施的需要,可将本发明实施例中描述的各个部件/步骤拆分为更多部件/步骤,也可将两个或多个部件/步骤或者部件/步骤的部分操作组合成新的部件/步骤,以实现本发明实施例的目的。
本发明示例性实施例还提供一种存储有计算机指令的非瞬时计算机可读存储介质,其中,计算机指令用于使计算机执行本申请各实施例的方法。
上述根据本发明实施例的方法可在硬件、固件中实现,或者被实现为可存储在记录介质(诸如CD ROM、RAM、软盘、硬盘或磁光盘)中的软件或计算机代码,或者被实现通过网络下载的原始存储在远程记录介质或非暂时机器可读介质中并将被存储在本地记录介质中的计算机代码,从而在此描述的方法可被存储在使用通用计算机、处理器或者可编程或硬件(诸如ASIC或FPGA)的记录介质上的这样的软件处理。可以理解,计算机、处理器、微处理器控制器或可编程硬件包括可存储或接收软件或计算机代码的存储组件(例如,RAM、ROM、闪存等),当所述软件或计算机代码被计算机、处理器或硬件访问且执行时,实现在此描述的方法。此外,当通用计算机访问用于实现在此示出的方法的代码时,代码的执行将通用计算机转换为用于执行在此示出的方法的专用计算机。
至此,已经对本发明的特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作可以按照不同的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序,以实现期望的结果。在某些实施方式中,多任务处理和并行处理可以是有利的。
需要说明的是,本发明实施例中所有方向性指示(诸如上、下、左、右、后……)仅用于解释在某一特定姿态(如附图所示)下各部件之间的相对位置关系、运动情况等,如果该特定姿态发生改变时,则该方向性指示也相应地随之改变。
在本发明的描述中,术语“第一”、“第二”仅用于方便描述不同的部件或名称,而不能理解为指示或暗示顺序关系、相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。
应当理解,虽然本说明书是按照各个实施例描述的,但并非每个实施例仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
本发明实施例的示例旨在简明地说明本发明实施例的技术特点,使得本领域技术人员能够直观了解本发明实施例的技术特点,并不作为本发明实施例的不当限定。
最后应说明的是:以上实施方式仅用于说明本发明实施例,而并非对本发明实施例的限制,有关技术领域的普通技术人员,在不脱离本发明实施例的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明实施例的范畴,本发明实施例的专利保护范围应由权利要求限定。
Claims (10)
1.一种认证连接方法,其特征在于,包括:
若安全认证网关判断客户端存在数字证书,则所述安全认证网关接收所述客户端发送的获取随机数请求;
所述安全认证网关将根据所述获取随机数请求生成的随机数返回至所述客户端;
所述客户端将对所述随机数进行签名生成的签名信息发送至所述安全认证网关;
所述安全认证网关根据所述签名信息判断所述数字证书是否有效,若所述安全认证网关判断所述数字证书有效,则下发网络连接信息至所述客户端,所述网络连接信息用于所述客户端与内网服务器建立网络连接。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述安全认证网关判断所述客户端不存在所述数字证书,则所述安全认证网关接收所述客户端发送的数字证书请求;
所述安全认证网关将所述数字证书请求转发至数字证书验证机构;
所述数字证书验证机构根据接收的所述数字证书请求,下发所述数字证书至所述安全认证网关;
所述安全认证网关将所述数字证书转发至所述客户端。
3.根据权利要求1所述的方法,其特征在于,所述客户端将对所述随机数进行签名生成的签名信息发送至所述安全认证网关之前,还包括:
所述客户端接收输入的验证码,判断所述输入的验证码与预设的验证码是否一致;
若所述输入的验证码与所述预设的验证码一致,则所述客户端获取签名权限,所述签名权限用于许可所述客户端对所述随机数进行签名,生成所述签名信息;
基于所述签名权限,所述客户端对所述随机数进行签名,生成所述签名信息。
4.根据权利要求3所述的方法,其特征在于,所述基于所述签名权限,所述客户端对所述随机数进行签名,生成所述签名信息,包括:
所述客户端生成一组密钥对,所述一组密钥对包括用户私钥和用户公钥;
所述客户端使用所述用户私钥,对所述随机数通过国密算法进行加密,生成签名信息。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
所述客户端将所述用户公钥发送至所述安全认证网关201。
6.根据权利要求5所述的方法,其特征在于,所述安全认证网关根据所述签名信息判断所述数字证书是否有效,包括:
所述安全认证网关判断接收的所述用户公钥与所述签名信息中的所述用户私钥是否属于所述一组密钥对;
若所述用户公钥与所述用户私钥属于所述一组密钥对,则所述数字证书有效。
7.根据权利要求1所述的方法,其特征在于,所述网络连接信息包括所述内网服务器的IP地址、所述内网服务器的端口号以及用户令牌,所述内网服务器的IP地址和所述内网服务器的端口号用于所述客户端查找所述内网服务器,所述用户令牌用于所述客户端与所述内网服务器建立网络连接。
8.一种认证连接系统,其特征在于,包括:
安全认证网关和客户端;
其中,若安全认证网关判断客户端存在数字证书,则所述安全认证网关接收所述客户端发送的获取随机数请求;
所述安全认证网关将根据所述获取随机数请求生成的随机数返回至所述客户端;
所述客户端将对所述随机数进行签名生成的签名信息发送至所述安全认证网关;
所述安全认证网关根据所述签名信息判断所述数字证书是否有效,若所述安全认证网关判断所述数字证书有效,则下发网络连接信息至所述客户端,所述网络连接信息用于所述客户端与内网服务器建立网络连接。
9.一种电子设备,其特征在于,包括:
处理器;
存储程序的存储器;
其中,所述程序包括指令,所述指令在由所述处理器执行时使所述处理器执行根据权利要求1-7中任一项所述的服务器和安全认证网关所执行的步骤。
10.一种计算机存储介质,其特征在于,其上存储有计算机程序,该程序被处理器执行时实现如权利要求1-7中任一项所述的服务器和安全认证网关所执行的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211548900.0A CN115883105A (zh) | 2022-12-05 | 2022-12-05 | 认证连接方法、系统、电子设备及计算机存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211548900.0A CN115883105A (zh) | 2022-12-05 | 2022-12-05 | 认证连接方法、系统、电子设备及计算机存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115883105A true CN115883105A (zh) | 2023-03-31 |
Family
ID=85765896
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211548900.0A Pending CN115883105A (zh) | 2022-12-05 | 2022-12-05 | 认证连接方法、系统、电子设备及计算机存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115883105A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117319067A (zh) * | 2023-10-24 | 2023-12-29 | 上海宁盾信息科技有限公司 | 一种基于数字证书的身份认证方法、系统及可读存储介质 |
-
2022
- 2022-12-05 CN CN202211548900.0A patent/CN115883105A/zh active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117319067A (zh) * | 2023-10-24 | 2023-12-29 | 上海宁盾信息科技有限公司 | 一种基于数字证书的身份认证方法、系统及可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11799656B2 (en) | Security authentication method and device | |
EP3879784A1 (en) | Client authentication and access token ownership validation | |
US11128477B2 (en) | Electronic certification system | |
CN106878318B (zh) | 一种区块链实时轮询云端系统 | |
US7020778B1 (en) | Method for issuing an electronic identity | |
US6052784A (en) | Network discovery system and method | |
US8689300B2 (en) | Method and system for generating digital fingerprint | |
US8751792B2 (en) | Method and system for entity public key acquiring, certificate validation and authentication by introducing an online credible third party | |
US8856525B2 (en) | Authentication of email servers and personal computers | |
Xue et al. | A distributed authentication scheme based on smart contract for roaming service in mobile vehicular networks | |
CN107517194B (zh) | 一种内容分发网络的回源认证方法和装置 | |
CN111800262B (zh) | 数字资产的处理方法、装置和电子设备 | |
CN111030814A (zh) | 秘钥协商方法及装置 | |
CN112989426B (zh) | 授权认证方法及装置、资源访问令牌的获取方法 | |
CN109272314B (zh) | 一种基于两方协同签名计算的安全通信方法及系统 | |
CN110020869B (zh) | 用于生成区块链授权信息的方法、装置及系统 | |
CN113382002B (zh) | 数据请求方法、请求应答方法、数据通信系统及存储介质 | |
CN111800378A (zh) | 一种登录认证方法、装置、系统和存储介质 | |
CN113595985A (zh) | 一种基于国密算法安全芯片的物联网安全云平台实现方法 | |
CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
Cui et al. | Security analysis of openstack keystone | |
CN115277168A (zh) | 一种访问服务器的方法以及装置、系统 | |
CN115883105A (zh) | 认证连接方法、系统、电子设备及计算机存储介质 | |
Liou et al. | T-auth: A novel authentication mechanism for the IoT based on smart contracts and PUFs | |
KR20090054774A (ko) | 분산 네트워크 환경에서의 통합 보안 관리 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |