CN116112242A - 面向电力调控系统的统一安全认证方法及系统 - Google Patents

面向电力调控系统的统一安全认证方法及系统 Download PDF

Info

Publication number
CN116112242A
CN116112242A CN202310047862.9A CN202310047862A CN116112242A CN 116112242 A CN116112242 A CN 116112242A CN 202310047862 A CN202310047862 A CN 202310047862A CN 116112242 A CN116112242 A CN 116112242A
Authority
CN
China
Prior art keywords
authentication
identity
service
network access
desktop module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202310047862.9A
Other languages
English (en)
Other versions
CN116112242B (zh
Inventor
陶文伟
曹扬
吴金宇
苏扬
张文哲
陈刚
易思瑶
王景
白洁音
梁野
邵立嵩
王春艳
王昊
燕天娇
李航
廖陆林
吴群
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Kedong Electric Power Control System Co Ltd
China Southern Power Grid Co Ltd
Original Assignee
Beijing Kedong Electric Power Control System Co Ltd
China Southern Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Kedong Electric Power Control System Co Ltd, China Southern Power Grid Co Ltd filed Critical Beijing Kedong Electric Power Control System Co Ltd
Publication of CN116112242A publication Critical patent/CN116112242A/zh
Application granted granted Critical
Publication of CN116112242B publication Critical patent/CN116112242B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/062Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Abstract

本发明公开了一种面向电力调控系统的统一安全认证方法及系统,所述方法包括:利用入网认证客户端与认证中心进行入网认证,并获得认证中心发送的入网认证结果;利用桌面模块与入网认证客户端进行通信,获取入网认证结果,根据所述入网认证结果,打开用户登录界面,或直接退出;利用桌面模块与认证中心进行身份认证,认证成功后,认证中心发送身份标识至桌面模块,并由桌面模块保存;利用APP客户端向桌面模块获取身份标识,然后将服务请求和身份标识一起发给服务,进行服务访问。本发明使用双向认证,保证人机访问的全流程安全。

Description

面向电力调控系统的统一安全认证方法及系统
技术领域
本发明属于安全认证技术领域,具体涉及一种面向电力调控系统的统一安全认证方法及系统。
背景技术
目前主流的安全认证方案主要包括如下几种:
(1)Li等人提出了一种高效的基于生物特征的智能卡远程用户认证方案。该方案的安全性基于单向哈希函数、生物特征识别和智能卡。此外,该方案允许用户自由更改密码,并提供了用户与远程服务器之间的相互认证。许多远程身份验证方案使用时间戳来抵御重放攻击,用户和远程服务器之间需要同步时钟。但是在他们的方案中使用了随机数来代替时间戳,因此不再需要两个实体之间同步时钟,效率更高。
(2)李晓天等人基于椭圆曲线密码提出了一个更安全的、匿名的三因子多服务器环境下的身份认证方案。该方案使用口令与智能卡相结合的设计,并借助模糊提取器,解决了如下问题:由于口令的低熵性,一旦智能卡丢失,协议可能遭受离线口令猜测攻击。模糊提取器的使用避免了身份频繁验证出错,又让攻击者难以猜出口令值,兼顾了方案的安全性与实用性。
(3)谢晓东等人采用基于动态口令技术的矩阵卡来增强数字证书的访问控制,以数字证书实现客户端、服务器双向身份认证,提高了系统的安全性,降低了用户端成本,比较好地解决了用户在面向WEB服务的分布式环境中统一身份认证的问题。通过动态口令、数字证书和单点登录等关键技术的应用,实现统一的身份认证管理,使用户可以只需进行一次身份认证就可达到对多个应用系统进行访问,提高了用户工作效率,增强了系统安全性,减轻了繁重的管理负担。
(4)张春瑞等人提出使用数字证书作为认证方式,设计并实现了基于数字证书的多域多系统下的统一身份认证。改造用户认证的方式,使用PKI/CA系统给用户颁发的x509v3数字证书,证书及对应的私钥存放于USBkey中(私钥永不出USBkey),使用同一个USBkey可以登录不同安全域中多种操作系统,既可以远程登录也可以本地登录。
(5)张彦荣等人针对“国分省一体化运行管理平台”用户身份认证系统提出了一种基于数字证书的UKey身份认证方案。采用国家密码局发布的SM2密码算法,保证了登录系统身份的真实性和可靠性;采用UKey设备与用户口令相结合的双因子认证方式,有效地保证每个用户在登录系统中身份的唯一性和合法性,该认证方式能最大限度地保证系统和文件的安全。
(6)张富友等人设计并实现了一套基于移动端可信环境的身份鉴别的统一身份认证系统,用户使用生物特征即可完成身份鉴别登录,避免了用户频繁地输入用户名与口令。主要解决了两个问题:在移动端实现单点登录功能;利用移动端设备的可信执行环境为统一身份认证系统提供安全可靠的身份鉴别服务。
(7)罗政彬对基于生物特征的远程身份认证方案进行了深入研究,分析了方案中存在的安全缺陷并提出新的基于生物特征的盲身份认证方案,该方案可以有效的解决对于用户隐私模板保护以及信任问题的担心。之所以称为盲身份认证是因为它不会将除了用户以外的明文用户信息提供给认证服务器该协议是基于非对称密码加密体系对生物数据进行加密,同时拥有生物认证和公钥密码体系的优点。该认证协议可以在公共网络上运行,并且可以提供无法抵赖的身份识别机制。
(8)孔小景等人提出了一种生物特征作为唯一输入的解决方法,即单因子的可撤销生物特征认证方法。首先,利用扩展的特征向量,通过预定义的滑动窗口和哈希函数随机化生成二进制种子;然后替换不同的辅助数据来生成可撤销模板;最后,由查询生物特征向量对辅助数据进行解码,提高了性能和安全性。在指纹数据库FVC2002和FVC2004的实验结果表明,该方法不仅满足可撤销生物特征识别的四个设计标准,同时抵御了三种安全攻击。
(9)Jia等人提出了一种改进的基于动态密码的身份认证方案,引入了基于身份的加密和签名思想,保证了更高的安全级别。认证过程包括哈希函数操作、数字签名验证、解密操作,且每个函数在一轮中只执行一次。
(10)Jiang等人设计了一种新的一次性密码认证方案。该方案利用SM2加密算法和散列函数来保证数据传输的安全性,提供了客户端和服务器之间的相互认证,抵抗了各种攻击,有效地保护了用户的身份信息。
可见,现有的身份认证方案大多基于动态口令、数字证书、生物特征技术等对用户进行身份认证,这些方案都是通用方案。由于电力调控系统架构的特殊性,从而导致上述方案无法直接应用于电力调控系统,需根据电力调控系统的特点进行针对性设计。同时,上述方案只针对人进行了认证,并未对设备和服务进行认证,无法保证人机访问的全流程安全。
发明内容
针对上述问题,本发明提出一种面向电力调控系统的统一安全认证方法及系统,使用双向认证,保证人机访问的全流程安全。
为了实现上述技术目的,达到上述技术效果,本发明通过以下技术方案实现:
第一方面,本发明提供了一种面向电力调控系统的统一安全认证方法,应用于终端,所述终端内设有认证客户端、桌面模块和APP客户端,所述方法包括:
利用入网认证客户端与认证中心进行入网认证,并获得认证中心发送的入网认证结果;
利用桌面模块与入网认证客户端进行通信,获取入网认证结果,根据所述入网认证结果,打开用户登录界面,或直接退出;
利用桌面模块与认证中心进行身份认证,认证成功后,认证中心发送身份标识至桌面模块,并由桌面模块保存;
利用APP客户端向桌面模块获取身份标识,然后将服务请求和身份标识一起发给服务,进行服务访问。
可选地,所述利用入网认证客户端与认证中心进行入网认证,并获得认证中心发送的入网认证结果,包括以下步骤:
终端启动时,利用入网认证客户端读取终端的硬件信息,并基于所述硬件信息生成设备唯一标识码,然后发给安全认证网关,使得安全认证网关解析终端的IP和设备唯一标识码,生成入网认证请求,然后发给认证中心;认证中心根据终端的IP,对所述设备唯一标识码进行认证,并将认证结果发给安全认证网关;安全认证网关收到认证结果后,标记终端是否认证通过,同时将认证结果返回给所述入网认证客户端;
利用入网认证客户端记录接收到的认证结果。
可选地,所述桌面模块和APP客户端在进行人机访问时,所有的数据包都会经过安全认证网关,安全认证网关解析数据包后获取到终端的IP,根据该终端在安全认证网关中记录的认证状态,确定是否转发数据包,如果是认证成功状态,则转发该数据包,否则直接丢弃该数据包。
可选地,所述利用桌面模块与认证中心进行身份认证,认证成功后,认证中心发送身份标识至桌面模块,包括以下步骤:
启动所述桌面模块,选择登录方式,输入用户凭证,由所述桌面模块基于用户凭证生成身份认证请求,并发给认证中心,使得认证中心对用户凭证进行认证,认证通过后,根据用户名生成身份标识和刷新标识,其中,所述刷新标识用于在身份标识过期时获取新的身份标识;认证中心将认证结果、身份标识和刷新标识一起返回给桌面模块;
利用所述人机云桌面解析认证结果,如果认证成功,则将身份标识和刷新标识保存起来。
可选地,当所述用户凭证为指纹时,所述利用桌面模块与认证中心进行身份认证,包括以下步骤:
启动所述桌面模块,选择指纹识别登录,获得用户通过指纹Key输入的指纹,所述指纹Key内置有密钥文件和数字证书,指纹Key内部首先验证指纹,指纹验证通过后,读取Key中的密钥文件,获取用户名和私钥,然后生成一个随机数,对随机数进行私钥签名,生成签名信息,最后将用户名、随机数和签名信息发给认证中心,使得认证中心首先根据用户名,读取证书库获取用户证书并提取公钥,然后对随机数和签名信息进行公钥验签,如果验签通过,则指纹识别认证成功。
可选地,当所述用户凭证为人脸信息时,所述利用桌面模块与认证中心进行身份认证,包括以下步骤:
启动所述桌面模块,获得用户输入的用户名,选择人脸识别登录,所述桌面模块控制摄像头对用户进行人脸检测,检测到人脸后,进行活体检测,如果活体检测通过,则提取人脸特征信息,最后将用户名和人脸特征信息发给认证中心,使得认证中心首先根据用户名,读取人脸库获取用户照片,然后针对获取到的用户照片提取人脸特征信息,与桌面模块发来的人脸特征信息,进行人脸比对,如果比对成功,则人脸识别认证成功。
可选地,所述利用APP客户端向桌面模块获取身份标识,然后将服务请求和身份标识一起发给服务,进行服务访问,包括以下步骤:
利用APP客户端与桌面模块通信获取用户身份标识;
利用桌面模块发送刷新标识给认证中心,使得认证中心将新的身份标识后返回给桌面模块;
利用桌面模块将新的身份标识返回给APP客户端;
利用APP客户端生成服务请求,首先使用密钥生成算法根据身份标识计算出一个对称加密密钥M,然后使用M将所述服务请求进行加密,最后将加密后的服务请求和身份标识一起组装成安全报文,调用服务请求接口发给服务总线,使得服务总线的服务响应接口收到安全报文后,解析出加密的服务请求和身份标识,首先对身份标识进行验证,如果验证成功,则使用密钥生成算法根据身份标识计算出对称密钥M,并使用M加密出原始的服务请求报文,如果验证失败,则直接返回错误,拒绝提供服务;如果验证成功,则由服务请求对应的服务根据请求报文,进行服务响应,生成响应报文,并由服务总线调用安全认证SDK接口将响应报文加密后,发给APP客户端;
利用APP客户端解密响应报文,获取服务响应结果。
可选地,所述身份标识包括身份信息和签名信息,所述身份信息由签发者、使用者、签发时间、有效期组成,所述签名信息保存的是使用认证中心私钥对身份信息进行SM2签名的签名结果;
所述身份标识的生成需要认证中心的私钥,而该私钥不对外公开;认证中心的公钥证书随安全认证SDK一起部署在业务应用中,业务应用调用安全认证SDK的相关接口即可对身份标识进行验证;所述业务应用中包括服务。
第二方面,本发明提供了一种面向电力调控系统的统一安全认证方法,应用于认证中心,所述方法包括:
利用认证中心与入网认证客户端进行入网认证,并将入网认证结果发送至入网认证客户端,使得桌面模块与入网认证客户端进行通信,获取入网认证结果,根据所述入网认证结果,打开用户登录界面,或直接退出;
利用认证中心与桌面模块进行身份认证,认证成功后,发送身份标识至桌面模块,并由桌面模块保存,使得APP客户端向桌面模块获取身份标识,然后将服务请求和身份标识一起发给服务,进行服务访问。
第三方面,本发明提供了一种面向电力调控系统的统一安全认证系统,包括终端、认证中心和业务应用;所述终端内设有认证客户端、桌面模块和APP客户端;所述业务应用内置有若干个服务;
所述入网认证客户端与认证中心进行入网认证,并获得认证中心发送的入网认证结果;
所述桌面模块与入网认证客户端进行通信,获取入网认证结果,根据所述入网认证结果,打开用户登录界面,或直接退出;
所述桌面模块与认证中心进行身份认证,认证成功后,认证中心发送身份标识至桌面模块,并由桌面模块保存;
所述APP客户端向桌面模块获取身份标识,然后将服务请求和身份标识一起发给服务,进行服务访问。
可选地,所述认证中心内设有入网认证模块、服务认证模块和身份认证模块;
终端启动时,利用入网认证客户端读取终端的硬件信息,并基于所述硬件信息生成设备唯一标识码,然后发给安全认证网关,使得安全认证网关解析终端的IP和设备唯一标识码,生成入网认证请求,然后发给认证中心的入网认证模块;入网认证模块根据终端的IP,对所述设备唯一标识码进行认证,并将认证结果发给安全认证网关;安全认证网关收到认证结果后,标记终端是否认证通过,同时将认证结果返回给所述入网认证客户端;入网认证客户端记录接收到的认证结果;
启动所述桌面模块,选择登录方式,输入用户凭证,由所述桌面模块基于用户凭证生成身份认证请求,并发给认证中心的身份认证模块,身份认证模块对用户凭证进行认证,认证通过后,根据用户名生成身份标识和刷新标识,其中,所述刷新标识用于在身份标识过期时获取新的身份标识;身份认证模块将认证结果、身份标识和刷新标识一起返回给桌面模块;人机云桌面解析认证结果,如果认证成功,则将身份标识和刷新标识保存起来;
APP客户端与桌面模块通信获取用户身份标识;桌面模块发送刷新标识给认证中心,认证中心将新的身份标识后返回给桌面模块;桌面模块将新的身份标识返回给APP客户端;APP客户端生成服务请求,首先使用密钥生成算法根据身份标识计算出一个对称加密密钥M,然后使用M将所述服务请求进行加密,最后将加密后的服务请求和身份标识一起组装成安全报文,调用服务请求接口发给服务总线,服务总线的服务响应接口收到安全报文后,解析出加密的服务请求和身份标识,首先对身份标识进行验证,如果验证成功,则使用密钥生成算法根据身份标识计算出对称密钥M,并使用M加密出原始的服务请求报文,如果验证失败,则直接返回错误,拒绝提供服务;如果验证成功,则由服务请求对应的服务根据请求报文,进行服务响应,生成响应报文,并由服务总线调用安全认证SDK接口将响应报文加密后,发给APP客户端;APP客户端解密响应报文,获取服务响应结果。
可选地,当服务A启动时,使用数字证书与认证中心进行双向认证;认证成功后,认证中心根据服务名为其生成身份标识,用于服务表明自己的身份,只有认证成功的服务才能进行服务注册;服务A在访问服务B时,首先使用密钥生成算法根据身份标识计算出对称加密密钥M,然后使用M将服务请求进行加密,最后将加密后的服务请求和身份标识一起组装成安全报文,发送给服务B;服务响应接口收到安全报文后,解析出加密的服务请求和身份标识,首先对身份标识进行验证,如果验证成功,则使用密钥生成算法根据身份标识计算出对称密钥M,并使用M加密出原始的服务请求报文,如果验证失败,则直接返回错误,拒绝提供服务;服务B根据原始请求报文进行服务响应;服务总线将响应报文加密后发给服务A,服务A解密报文,获取服务响应结果。
与现有技术相比,本发明的有益效果:
本发明根据电力调控系统“物理分布、逻辑统一”的全新体系架构特点以及人机云终端的位置无关、同景展示特性,提出了统一安全认证方法及系统,在人机云终端启动时,利用认证中心进行终端入网认证;利用认证中心与终端对用户进行身份认证,保证人机访问的全流程安全。
本发明在服务启动时,基于数字证书对其进行认证,在服务被调用时,使用国密算法对调用者身份进行验证,保证服务启动和访问安全;使用国密算法对服务总线进行安全加固,实现服务通信数据的加密传输,保证服务之间数据交互的通信安全;通过对云终端、用户身份、服务的认证以及通信加密,实现了人机访问的全链路安全。
附图说明
为了使本发明的内容更容易被清楚地理解,下面根据具体实施例并结合附图,对本发明作进一步详细的说明,其中:
图1为本发明一种实施例的终端、认证中心和业务应用中服务之间的认证过程示意图;
图2为本发明一种实施例的入网认证流程示意图;
图3为本发明一种实施例的身份认证流程示意图;
图4为本发明一种实施例的指纹识别流程示意图;
图5为本发明一种实施例的人脸识别流程示意图;
图6为本发明一种实施例的服务认证流程示意图;
图7为本发明一种实施例的面向电力调控系统的统一安全认证系统的架构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明的保护范围。
下面结合附图对本发明的应用原理作详细的描述。
实施例1
本发明实施例中提供了一种面向电力调控系统的统一安全认证方法,应用于终端,所述终端内设有认证客户端、桌面模块和APP客户端,如图1所示,所述方法包括以下步骤:
(1)利用入网认证客户端与认证中心进行入网认证,并获得认证中心发送的入网认证结果;
(2)利用桌面模块与入网认证客户端进行通信,获取入网认证结果,根据所述入网认证结果,打开用户登录界面,或直接退出;所述的桌面模块可以选用人机云桌面;
(3)利用桌面模块与认证中心进行身份认证,认证成功后,认证中心发送身份标识至桌面模块,并由桌面模块保存;
(4)利用APP客户端向桌面模块获取身份标识,然后将服务请求和身份标识一起发给服务,进行服务访问。
在具体实施过中,所述终端可以选择人机云终端,所述桌面模块为人机云桌面。
在本发明实施例的一种具体实施方式中,所述利用入网认证客户端与认证中心进行入网认证,并获得认证中心发送的入网认证结果,如图2所示,包括以下步骤:
终端启动时,利用入网认证客户端读取终端的硬件信息,并基于所述硬件信息生成设备唯一标识码,然后发给安全认证网关,使得安全认证网关解析终端的IP和设备唯一标识码,生成入网认证请求,然后发给认证中心;认证中心根据终端的IP,对所述设备唯一标识码进行认证,并将认证结果发给安全认证网关;安全认证网关收到认证结果后,标记终端是否认证通过,同时将认证结果返回给所述入网认证客户端;
利用入网认证客户端记录接收到的认证结果;
在具体实施过程中,若入网认证成功,则可接入电力调控系统;
所述设备唯一标识码的生成过程为:由终端的CPU、内存、硬盘、主板序列号、IP和MAC地址等信息组成,经过硬件指纹生成算法计算出一个代表人机云终端的字符串,该字符串即为该人机云终端的设备唯一识别码,用于后续的入网认证。
在本发明实施例的一种具体实施方式中,所述桌面模块和APP客户端在进行人机访问时,所有的数据包都会经过安全认证网关,安全认证网关解析数据包后获取到终端的IP,根据该终端在安全认证网关中记录的认证状态,确定是否转发数据包,如果是认证成功状态,则转发该数据包,否则直接丢弃该数据包,实现数据过滤。
在本发明实施例的一种具体实施方式中,所述利用桌面模块与认证中心进行身份认证,认证成功后,认证中心发送身份标识至桌面模块,如图3所示,包括以下步骤:
启动所述桌面模块,选择登录方式,输入用户凭证,由所述桌面模块基于用户凭证(如口令、指纹、人脸)生成身份认证请求,并发给认证中心,使得认证中心对用户凭证进行认证,认证通过后,根据用户名生成身份标识和刷新标识,其中,所述刷新标识用于在身份标识过期时获取新的身份标识;认证中心将认证结果、身份标识和刷新标识一起返回给桌面模块;
利用所述人机云桌面解析认证结果,如果认证成功,则将身份标识和刷新标识保存起来;
整个通信过程,均基于国密SM2和SM4算法采用数字信封技术,实现一次一密的加密通信,防止身份认证数据被窃取,具体参见图4。
在本发明实施例的一种具体实施方式中,当所述用户凭证为指纹时,所述利用桌面模块与认证中心进行身份认证,包括以下步骤:
启动所述桌面模块,选择指纹识别登录,获得用户通过指纹Key输入的指纹,所述指纹Key内置有密钥文件和数字证书,指纹Key内部首先验证指纹,指纹验证通过后,读取Key中的密钥文件,获取用户名和私钥,然后生成一个随机数,对随机数进行私钥签名,生成签名信息,最后将用户名、随机数和签名信息发给认证中心,使得认证中心首先根据用户名,读取证书库获取用户证书并提取公钥,然后对随机数和签名信息进行公钥验签,如果验签通过,则指纹识别认证成功。
在本发明实施例的一种具体实施方式中,当所述用户凭证为人脸信息时,所述利用桌面模块与认证中心进行身份认证,如图5所示,包括以下步骤:
启动所述桌面模块,获得用户输入的用户名,选择人脸识别登录,所述桌面模块控制摄像头对用户进行人脸检测,检测到人脸后,进行活体检测,如果活体检测通过,则提取人脸特征信息,最后将用户名和人脸特征信息发给认证中心,使得认证中心首先根据用户名,读取人脸库获取用户照片,然后针对获取到的用户照片提取人脸特征信息,与桌面模块发来的人脸特征信息,进行人脸比对,如果比对成功,则人脸识别认证成功。
在本发明实施例的一种具体实施方式中,所述利用APP客户端向桌面模块获取身份标识,然后将服务请求和身份标识一起发给服务,进行服务访问,如图6所示,包括以下步骤:
利用APP客户端与桌面模块通信获取用户身份标识;
利用桌面模块发送刷新标识给认证中心,使得认证中心将新的身份标识后返回给桌面模块;
利用桌面模块将新的身份标识返回给APP客户端;
利用APP客户端生成服务请求,首先使用密钥生成算法根据身份标识计算出一个对称加密密钥M,然后使用M将所述服务请求进行加密,最后将加密后的服务请求和身份标识一起组装成安全报文,调用服务请求接口发给服务总线,使得服务总线的服务响应接口收到安全报文后,解析出加密的服务请求和身份标识,首先对身份标识进行验证,如果验证成功,则使用密钥生成算法根据身份标识计算出对称密钥M,并使用M加密出原始的服务请求报文,如果验证失败,则直接返回错误,拒绝提供服务;如果验证成功,则由服务请求对应的服务根据请求报文,进行服务响应,生成响应报文,并由服务总线调用安全认证SDK接口将响应报文加密后,发给APP客户端;
利用APP客户端解密响应报文,获取服务响应结果。
在本发明实施例的一种具体实施方式中,所述身份标识包括身份信息和签名信息,所述身份信息由签发者、使用者、签发时间、有效期组成,所述签名信息保存的是使用认证中心私钥对身份信息进行SM2签名的签名结果;
所述身份标识的生成需要认证中心的私钥,而该私钥不对外公开;认证中心的公钥证书随安全认证SDK一起部署在业务应用中,业务应用调用安全认证SDK的相关接口即可对身份标识进行验证;所述业务应用中包括服务。
实施例2
本发明实施例中提供了一种面向电力调控系统的统一安全认证方法,应用于认证中心,所述方法包括:
利用认证中心与入网认证客户端进行入网认证,并将入网认证结果发送至入网认证客户端,使得桌面模块与入网认证客户端进行通信,获取入网认证结果,根据所述入网认证结果,打开用户登录界面,或直接退出;
利用认证中心与桌面模块进行身份认证,认证成功后,发送身份标识至桌面模块,并由桌面模块保存,使得APP客户端向桌面模块获取身份标识,然后将服务请求和身份标识一起发给服务,进行服务访问。
在本发明实施例的一种具体实施方式中,所述认证中心内设有入网认证模块、服务认证模块和身份认证模块;
终端启动时,利用入网认证客户端读取终端的硬件信息,并基于所述硬件信息生成设备唯一标识码,然后发给安全认证网关,使得安全认证网关解析终端的IP和设备唯一标识码,生成入网认证请求,然后发给认证中心的入网认证模块;入网认证模块根据终端的IP,对所述设备唯一标识码进行认证,并将认证结果发给安全认证网关;安全认证网关收到认证结果后,标记终端是否认证通过,同时将认证结果返回给所述入网认证客户端;入网认证客户端记录接收到的认证结果;
启动所述桌面模块,选择登录方式,输入用户凭证,由所述桌面模块基于用户凭证生成身份认证请求,并发给认证中心的身份认证模块,身份认证模块对用户凭证进行认证,认证通过后,根据用户名生成身份标识和刷新标识,其中,所述刷新标识用于在身份标识过期时获取新的身份标识;身份认证模块将认证结果、身份标识和刷新标识一起返回给桌面模块;人机云桌面解析认证结果,如果认证成功,则将身份标识和刷新标识保存起来;
APP客户端与桌面模块通信获取用户身份标识;桌面模块发送刷新标识给认证中心,认证中心将新的身份标识后返回给桌面模块;桌面模块将新的身份标识返回给APP客户端;APP客户端生成服务请求,首先使用密钥生成算法根据身份标识计算出一个对称加密密钥M,然后使用M将所述服务请求进行加密,最后将加密后的服务请求和身份标识一起组装成安全报文,调用服务请求接口发给服务总线,服务总线的服务响应接口收到安全报文后,解析出加密的服务请求和身份标识,首先对身份标识进行验证,如果验证成功,则使用密钥生成算法根据身份标识计算出对称密钥M,并使用M加密出原始的服务请求报文,如果验证失败,则直接返回错误,拒绝提供服务;如果验证成功,则由服务请求对应的服务根据请求报文,进行服务响应,生成响应报文,并由服务总线调用安全认证SDK接口将响应报文加密后,发给APP客户端;APP客户端解密响应报文,获取服务响应结果。
实施例3
本发明实施例中提供了一种面向电力调控系统的统一安全认证系统,如图7所示,包括终端、认证中心和业务应用;所述终端内设有认证客户端、桌面模块和APP客户端;所述业务应用内置有若干个服务;
所述入网认证客户端与认证中心进行入网认证,并获得认证中心发送的入网认证结果;
所述桌面模块与入网认证客户端进行通信,获取入网认证结果,根据所述入网认证结果,打开用户登录界面,或直接退出;
所述桌面模块与认证中心进行身份认证,认证成功后,认证中心发送身份标识至桌面模块,并由桌面模块保存;
所述APP客户端向桌面模块获取身份标识,然后将服务请求和身份标识一起发给服务,进行服务访问。
在本发明实施例的一种具体实施方式中,所述认证中心内设有入网认证模块、服务认证模块和身份认证模块;
终端启动时,利用入网认证客户端读取终端的硬件信息,并基于所述硬件信息生成设备唯一标识码,然后发给安全认证网关,使得安全认证网关解析终端的IP和设备唯一标识码,生成入网认证请求,然后发给认证中心的入网认证模块;入网认证模块根据终端的IP,对所述设备唯一标识码进行认证,并将认证结果发给安全认证网关;安全认证网关收到认证结果后,标记终端是否认证通过,同时将认证结果返回给所述入网认证客户端;入网认证客户端记录接收到的认证结果;
启动所述桌面模块,选择登录方式,输入用户凭证,由所述桌面模块基于用户凭证生成身份认证请求,并发给认证中心的身份认证模块,身份认证模块对用户凭证进行认证,认证通过后,根据用户名生成身份标识和刷新标识,其中,所述刷新标识用于在身份标识过期时获取新的身份标识;身份认证模块将认证结果、身份标识和刷新标识一起返回给桌面模块;人机云桌面解析认证结果,如果认证成功,则将身份标识和刷新标识保存起来;
APP客户端与桌面模块通信获取用户身份标识;桌面模块发送刷新标识给认证中心,认证中心将新的身份标识后返回给桌面模块;桌面模块将新的身份标识返回给APP客户端;APP客户端生成服务请求,首先使用密钥生成算法根据身份标识计算出一个对称加密密钥M,然后使用M将所述服务请求进行加密,最后将加密后的服务请求和身份标识一起组装成安全报文,调用服务请求接口发给服务总线,服务总线的服务响应接口收到安全报文后,解析出加密的服务请求和身份标识,首先对身份标识进行验证,如果验证成功,则使用密钥生成算法根据身份标识计算出对称密钥M,并使用M加密出原始的服务请求报文,如果验证失败,则直接返回错误,拒绝提供服务;如果验证成功,则由服务请求对应的服务根据请求报文,进行服务响应,生成响应报文,并由服务总线调用安全认证SDK接口将响应报文加密后,发给APP客户端;APP客户端解密响应报文,获取服务响应结果。
在本发明实施例的一种具体实施方式中,当服务A启动时,使用数字证书与认证中心进行双向认证;认证成功后,认证中心根据服务名为其生成身份标识,用于服务表明自己的身份,只有认证成功的服务才能进行服务注册;服务A在访问服务B时,首先使用密钥生成算法根据身份标识计算出对称加密密钥M,然后使用M将服务请求进行加密,最后将加密后的服务请求和身份标识一起组装成安全报文,发送给服务B;服务响应接口收到安全报文后,解析出加密的服务请求和身份标识,首先对身份标识进行验证,如果验证成功,则使用密钥生成算法根据身份标识计算出对称密钥M,并使用M加密出原始的服务请求报文,如果验证失败,则直接返回错误,拒绝提供服务;服务B根据原始请求报文进行服务响应;服务总线将响应报文加密后发给服务A,服务A解密报文,获取服务响应结果。
下面结合一具体实施方式对本发明实施例中的面向电力调控系统的统一安全认证系统的工作过程进行详细说明。
本发明实施例中的统一安全认证总共分三个部分:
(1)业务应用侧:部署安全认证SDK(即安全认证软件开发工具包),业务应用的服务通过安全认证SDK与认证中心交互,实现双向认证和加密通信。
(2)认证中心侧:部署统一安全认证服务,主要包括入网认证、身份认证、服务认证、认证凭证管理、身份标识管理和日志审计等模块。其中,入网认证通过校验人机云终端的设备唯一标识码(即硬件指纹信息),实现对人机云终端的入网认证;身份认证通过口令、电力调度数字证书、和生物特征识别技术,实现对用户的多因子身份认证;服务认证基于数字证书对服务进行双向认证,并利用国密算法对服务调用者身份进行鉴别,实现服务访问安全;认证凭证管理对认证凭证,如云终端硬件指纹信息、口令、人脸特征向量、数字证书等进行统一的管理;身份标识管理主要用于身份标识的生成、验证、刷新等;日志审计模块主要用于记录安全认证服务的运行和认证日志等。
(3)人机云终端侧:部署入网认证客户端,用于入网认证,同时部署安全认证SDK供人机云桌面和APP客户端使用,以实现基于生物特征识别的身份认证和基于数字证书的服务安全访问。
统一安全认证的总体流程分五个部分:
(1)人机云终端启动时,使用入网认证客户端与认证中心进行入网认证,成功后,接入系统。
(2)人机云桌面在启动时,与入网认证客户端进行通信,获取入网认证结果,如果入网认证通过,则打开用户登录界面,否则直接退出。
(3)用户登录时,与认证中心进行身份认证,认证成功后,认证中心为其颁发一个身份标识,并由人机云桌面保存起来。
(4)用户使用APP客户端进行服务访问时,首先向人机云桌面获取身份标识,然后将服务请求和身份标识一起发给服务。
(5)服务首先对身份标识进行验证,确认人机云终端的身份合法后,再进行服务响应。
如图3所示,所述入网认证包括以下详细的步骤:
1)提取设备唯一标识码(即硬件指纹信息):人机云终端启动时,入网认证客户端读取云终端的硬件信息,生成设备唯一标识码,发给安全认证网关,申请入网;
2)认证请求:安全认证网关收到入网申请后,解析人机云终端的IP和设备唯一标识码,生成入网认证请求,发给认证中心;
3)入网认证:认证中心根据人机云终端的IP,对设备唯一标识码进行认证,并将结果发给安全认证网关;
4)返回认证结果:安全认证网关收到认证结果后,标记该人机云终端是否认证通过,同时将认证结果返回给入网认证客户端,入网认证客户端记录认证结果。
5)数据过滤:人机云桌面和APP客户端在进行人机访问时,其所有的数据包都会经过安全认证网关,安全认证网关解析数据包进而获取人机云终端的IP,根据该人机云终端在安全认证网关中记录的认证状态,确定是否转发数据包,如果是认证成功状态,则转发该数据包,否则直接丢弃该数据包。
其中,唯一标识码的生成过程为:由人机云终端的CPU、内存、硬盘、主板序列号、IP和MAC地址等信息组成,经过硬件指纹生成算法计算出一个代表人机云终端的字符串,该字符串即为该人机云终端的设备唯一识别码,用于后续的入网认证。
本发明结合口令、数字证书、生物特征识别等技术,为用户提供口令、指纹、人脸等多种认证手段相组合的多因子身份认证,同时在用户身份认证成功后,为其生成一个基于国密算法的具有不可伪造性的身份标识,用于在人机访问服务时,表明自己的身份。
如图3所示,所述身份认证包括以下详细的步骤:
1)用户启动人机云桌面,选择登录方式,输入用户凭证(口令、指纹、人脸),人机云桌面提取凭证信息生成身份认证请求,发给认证中心;
2)认证中心对用户凭证进行认证,认证通过后,根据用户名生成一个身份标识和一个刷新标识,其中刷新标识用于在身份标识过期时获取新的身份标识;
3)认证中心将认证结果、身份标识和刷新标识一起返回给人机云桌面,人机云桌面解析认证结果,如果认证成功,则将身份标识和刷新标识保存起来。
4)整个通信过程,均基于国密SM2和SM4算法采用数字信封技术,实现一次一密的加密通信,防止身份认证数据被窃取。
如图4所示,当用户凭证为指纹时,本发明实施例中基于指纹识别的认证方式将数字证书和传统的指纹识别进行了结合,将密钥文件、数字证书内置于指纹识别设备中称为指纹KEY。在用户侧,用户插入指纹Key,点击指纹登录,用户在指纹Key上刷自己的指纹,指纹Key内部首先验证指纹,指纹验证通过后,读取Key中的密钥文件,获取用户名和私钥,然后生成一个随机数,对随机数进行私钥签名,最后将用户名、随机数和签名信息发给认证服务端。在服务侧,认证服务收到人机云桌面发来的数据后,首先根据用户名,读取证书库获取用户证书并提取公钥,然后对随机数和签名信息进行公钥验签,如果验签通过,则指纹识别认证成功。
如图5所示,当用户凭证为人脸时,本发明实施例中基于人脸识别的认证方式采用基于RGB的静默活体检测技术防止人脸照片和视频攻击。在用户侧,用户输入用户名,点击人脸登录,人机云桌面首先打开摄像头,对用户进行人脸检测,检测到人脸后,进行活体检测,如果活体检测通过,则提取人脸特征信息,最后将用户名和人脸特征信息发给认证服务端。在服务侧,认证服务收到人机云桌面发来的数据后,首先根据用户名,读取人脸库获取用户照片,然后提取特征信息,与人机云桌面发来的特征信息,进行人脸比对,如果比对成功,则人脸识别认证成功。
本发明实施例中的身份标识借鉴JWT(JSON Web Token)的设计思想,并结合国密算法,实现不可伪造和自验证特性。身份标识由身份信息和签名信息两部分组成,其中身份信息由签发者、使用者、签发时间、有效期组成,签名信息保存的是使用认证中心私钥对身份信息进行SM2签名的签名结果。由于身份标识的生成需要认证中心的私钥,而该私钥一直保存在认证服务器上不对外公开,因此,身份标识无法被伪造,而认证中心的公钥证书随安全认证SDK一起部署在业务应用中,业务应用只需调用安全认证SDK的相关接口即可对身份标识进行验证,因此,身份标识具备自验证特性。
在电力调控系统中服务访问主要通过服务总线实现,APP客户端或服务通过服务总线去访问其他服务。本专利在对服务总线进行深入分析的基础上,实现了一个基于数字证书的服务认证加密技术,服务使用数字证书与认证中心进行双向认证,认证成功后方可启动,同时认证中心为其生成一个身份标识,用于服务间调用时,标识自己的身份。在服务访问时,服务总线对服务请求者身份进行验证,并使用国密算法对请求报文和响应报文进行加密,保证服务调用安全和数据传输安全。
如图6所示,所述服务认证包括以下详细的步骤:
服务访问安全主要分为两部分,即人机访问服务安全和服务间访问安全。
(1)人机访问服务的安全访问流程如图6中的实线所示:
1)APP客户端在访问服务B时,与人机云桌面通信获取用户身份标识。
2)人机云桌面发送刷新标识给认证中心。
3)认证中心将新的身份标识后返回给人机云桌面。
4)人机云桌面将身份标识返回给APP客户端。
5)APP客户端生成服务请求,首先使用密钥生成算法根据身份标识计算出一个对称加密密钥M,然后使用M将服务请求进行加密,最后将加密后的服务请求和身份标识一起组装成安全报文,调用服务请求接口发给服务B。
6)服务总线的服务响应接口收到安全报文后,解析出加密的服务请求和身份标识,首先对身份标识进行验证,如果验证成功,则使用密钥生成算法根据身份标识计算出对称密钥M,并使用M加密出原始的服务请求报文,如果验证失败,则直接返回错误,拒绝提供服务。
7)服务B根据请求报文,进行服务响应。
8)服务总线调用安全认证SDK接口将响应报文加密后,发给APP客户端,APP客户端解密响应报文,获取服务响应结果。
(2)服务之间的安全访问流程如图6中的虚线所示:
1)服务A启动时,使用数字证书与认证中心进行双向认证。
2)认证成功后,认证中心根据服务名为其生成一个身份标识,用于服务表明自己的身份,只有认证成功的服务才能进行服务注册。
3)服务A在访问服务B时,首先使用密钥生成算法根据身份标识计算出一个对称加密密钥M,然后使用M将服务请求进行加密,最后将加密后的服务请求和身份标识一起组装成安全报文,发送给服务B。
4)服务响应接口收到安全报文后,解析出加密的服务请求和身份标识,首先对身份标识进行验证,如果验证成功,则使用密钥生成算法根据身份标识计算出对称密钥M,并使用M加密出原始的服务请求报文,如果验证失败,则直接返回错误,拒绝提供服务。
5)服务B根据原始请求报文进行服务响应。
6)服务总线将响应报文加密后发给服务A,服务A解密报文,获取服务响应结果。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (12)

1.一种面向电力调控系统的统一安全认证方法,其特征在于,应用于终端,所述终端内设有认证客户端、桌面模块和APP客户端,所述方法包括:
利用入网认证客户端与认证中心进行入网认证,并获得认证中心发送的入网认证结果;利用桌面模块与入网认证客户端进行通信,获取入网认证结果,根据所述入网认证结果,打开用户登录界面,或直接退出;
利用桌面模块与认证中心进行身份认证,认证成功后,认证中心发送身份标识至桌面模块,并由桌面模块保存;
利用APP客户端向桌面模块获取身份标识,然后将服务请求和身份标识一起发给服务,进行服务访问。
2.根据权利要求1所述的一种面向电力调控系统的统一安全认证方法,其特征在于,所述利用入网认证客户端与认证中心进行入网认证,并获得认证中心发送的入网认证结果,包括以下步骤:
终端启动时,利用入网认证客户端读取终端的硬件信息,并基于所述硬件信息生成设备唯一标识码,然后发给安全认证网关,使得安全认证网关解析终端的IP和设备唯一标识码,生成入网认证请求,然后发给认证中心;认证中心根据终端的IP,对所述设备唯一标识码进行认证,并将认证结果发给安全认证网关;安全认证网关收到认证结果后,标记终端是否认证通过,同时将认证结果返回给所述入网认证客户端;
利用入网认证客户端记录接收到的认证结果。
3.根据权利要求2所述的一种面向电力调控系统的统一安全认证方法,其特征在于:所述桌面模块和APP客户端在进行人机访问时,所有的数据包都会经过安全认证网关,安全认证网关解析数据包后获取到终端的IP,根据该终端在安全认证网关中记录的认证状态,确定是否转发数据包,如果是认证成功状态,则转发该数据包,否则直接丢弃该数据包。
4.根据权利要求1所述的一种面向电力调控系统的统一安全认证方法,其特征在于,所述利用桌面模块与认证中心进行身份认证,认证成功后,认证中心发送身份标识至桌面模块,包括以下步骤:
启动所述桌面模块,选择登录方式,输入用户凭证,由所述桌面模块基于用户凭证生成身份认证请求,并发给认证中心,使得认证中心对用户凭证进行认证,认证通过后,根据用户名生成身份标识和刷新标识,其中,所述刷新标识用于在身份标识过期时获取新的身份标识;认证中心将认证结果、身份标识和刷新标识一起返回给桌面模块;利用所述人机云桌面解析认证结果,如果认证成功,则将身份标识和刷新标识保存起来。
5.根据权利要求4所述的一种面向电力调控系统的统一安全认证方法,其特征在于,当所述用户凭证为指纹时,所述利用桌面模块与认证中心进行身份认证,包括以下步骤:
启动所述桌面模块,选择指纹识别登录,获得用户通过指纹Key输入的指纹,所述指纹Key内置有密钥文件和数字证书,指纹Key内部首先验证指纹,指纹验证通过后,读取Key中的密钥文件,获取用户名和私钥,然后生成一个随机数,对随机数进行私钥签名,生成签名信息,最后将用户名、随机数和签名信息发给认证中心,使得认证中心首先根据用户名,读取证书库获取用户证书并提取公钥,然后对随机数和签名信息进行公钥验签,如果验签通过,则指纹识别认证成功。
6.根据权利要求4所述的一种面向电力调控系统的统一安全认证方法,其特征在于,当所述用户凭证为人脸信息时,所述利用桌面模块与认证中心进行身份认证,包括以下步骤:
启动所述桌面模块,获得用户输入的用户名,选择人脸识别登录,所述桌面模块控制摄像头对用户进行人脸检测,检测到人脸后,进行活体检测,如果活体检测通过,则提取人脸特征信息,最后将用户名和人脸特征信息发给认证中心,使得认证中心首先根据用户名,读取人脸库获取用户照片,然后针对获取到的用户照片提取人脸特征信息,与桌面模块发来的人脸特征信息,进行人脸比对,如果比对成功,则人脸识别认证成功。
7.根据权利要求4所述的一种面向电力调控系统的统一安全认证方法,其特征在于,所述利用APP客户端向桌面模块获取身份标识,然后将服务请求和身份标识一起发给服务,进行服务访问,包括以下步骤:
利用APP客户端与桌面模块通信获取用户身份标识;
利用桌面模块发送刷新标识给认证中心,使得认证中心将新的身份标识后返回给桌面模块;
利用桌面模块将新的身份标识返回给APP客户端;
利用APP客户端生成服务请求,首先使用密钥生成算法根据身份标识计算出一个对称加密密钥M,然后使用M将所述服务请求进行加密,最后将加密后的服务请求和身份标识一起组装成安全报文,调用服务请求接口发给服务总线,使得服务总线的服务响应接口收到安全报文后,解析出加密的服务请求和身份标识,首先对身份标识进行验证,如果验证成功,则使用密钥生成算法根据身份标识计算出对称密钥M,并使用M加密出原始的服务请求报文,如果验证失败,则直接返回错误,拒绝提供服务;如果验证成功,则由服务请求对应的服务根据请求报文,进行服务响应,生成响应报文,并由服务总线调用安全认证SDK接口将响应报文加密后,发给APP客户端;
利用APP客户端解密响应报文,获取服务响应结果。
8.根据权利要求1所述的一种面向电力调控系统的统一安全认证方法,其特征在于,所述身份标识包括身份信息和签名信息,所述身份信息由签发者、使用者、签发时间、有效期组成,所述签名信息保存的是使用认证中心私钥对身份信息进行SM2签名的签名结果;
所述身份标识的生成需要认证中心的私钥,而该私钥不对外公开;认证中心的公钥证书随安全认证SDK一起部署在业务应用中,业务应用调用安全认证SDK的相关接口即可对身份标识进行验证;所述业务应用中包括服务。
9.一种面向电力调控系统的统一安全认证方法,其特征在于,应用于认证中心,所述方法包括:
利用认证中心与入网认证客户端进行入网认证,并将入网认证结果发送至入网认证客户端,使得桌面模块与入网认证客户端进行通信,获取入网认证结果,根据所述入网认证结果,打开用户登录界面,或直接退出;
利用认证中心与桌面模块进行身份认证,认证成功后,发送身份标识至桌面模块,并由桌面模块保存,使得APP客户端向桌面模块获取身份标识,然后将服务请求和身份标识一起发给服务,进行服务访问。
10.一种面向电力调控系统的统一安全认证系统,其特征在于:包括终端、认证中心和业务应用;所述终端内设有认证客户端、桌面模块和APP客户端;所述业务应用内置有若干个服务;
所述入网认证客户端与认证中心进行入网认证,并获得认证中心发送的入网认证结果;所述桌面模块与入网认证客户端进行通信,获取入网认证结果,根据所述入网认证结果,打开用户登录界面,或直接退出;
所述桌面模块与认证中心进行身份认证,认证成功后,认证中心发送身份标识至桌面模块,并由桌面模块保存;
所述APP客户端向桌面模块获取身份标识,然后将服务请求和身份标识一起发给服务,进行服务访问。
11.根据权利要求10所述的一种面向电力调控系统的统一安全认证系统,其特征在于:所述认证中心内设有入网认证模块、服务认证模块和身份认证模块;
终端启动时,利用入网认证客户端读取终端的硬件信息,并基于所述硬件信息生成设备唯一标识码,然后发给安全认证网关,使得安全认证网关解析终端的IP和设备唯一标识码,生成入网认证请求,然后发给认证中心的入网认证模块;入网认证模块根据终端的IP,对所述设备唯一标识码进行认证,并将认证结果发给安全认证网关;安全认证网关收到认证结果后,标记终端是否认证通过,同时将认证结果返回给所述入网认证客户端;入网认证客户端记录接收到的认证结果;
启动所述桌面模块,选择登录方式,输入用户凭证,由所述桌面模块基于用户凭证生成身份认证请求,并发给认证中心的身份认证模块,身份认证模块对用户凭证进行认证,认证通过后,根据用户名生成身份标识和刷新标识,其中,所述刷新标识用于在身份标识过期时获取新的身份标识;身份认证模块将认证结果、身份标识和刷新标识一起返回给桌面模块;人机云桌面解析认证结果,如果认证成功,则将身份标识和刷新标识保存起来;
APP客户端与桌面模块通信获取用户身份标识;桌面模块发送刷新标识给认证中心,认证中心将新的身份标识后返回给桌面模块;桌面模块将新的身份标识返回给APP客户端;APP客户端生成服务请求,首先使用密钥生成算法根据身份标识计算出一个对称加密密钥M,然后使用M将所述服务请求进行加密,最后将加密后的服务请求和身份标识一起组装成安全报文,调用服务请求接口发给服务总线,服务总线的服务响应接口收到安全报文后,解析出加密的服务请求和身份标识,首先对身份标识进行验证,如果验证成功,则使用密钥生成算法根据身份标识计算出对称密钥M,并使用M加密出原始的服务请求报文,如果验证失败,则直接返回错误,拒绝提供服务;如果验证成功,则由服务请求对应的服务根据请求报文,进行服务响应,生成响应报文,并由服务总线调用安全认证SDK接口将响应报文加密后,发给APP客户端;APP客户端解密响应报文,获取服务响应结果。
12.根据权利要求11所述的一种面向电力调控系统的统一安全认证系统,其特征在于:当服务A启动时,使用数字证书与认证中心进行双向认证;认证成功后,认证中心根据服务名为其生成身份标识,用于服务表明自己的身份,只有认证成功的服务才能进行服务注册;服务A在访问服务B时,首先使用密钥生成算法根据身份标识计算出对称加密密钥M,然后使用M将服务请求进行加密,最后将加密后的服务请求和身份标识一起组装成安全报文,发送给服务B;服务响应接口收到安全报文后,解析出加密的服务请求和身份标识,首先对身份标识进行验证,如果验证成功,则使用密钥生成算法根据身份标识计算出对称密钥M,并使用M加密出原始的服务请求报文,如果验证失败,则直接返回错误,拒绝提供服务;服务B根据原始请求报文进行服务响应;服务总线将响应报文加密后发给服务A,服务A解密报文,获取服务响应结果。
CN202310047862.9A 2023-01-10 2023-01-31 面向电力调控系统的统一安全认证方法及系统 Active CN116112242B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN2023100372624 2023-01-10
CN202310037262 2023-01-10

Publications (2)

Publication Number Publication Date
CN116112242A true CN116112242A (zh) 2023-05-12
CN116112242B CN116112242B (zh) 2024-04-16

Family

ID=

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117411733A (zh) * 2023-12-15 2024-01-16 北京从云科技有限公司 基于用户身份的内网访问保护系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140189808A1 (en) * 2012-12-28 2014-07-03 Lookout, Inc. Multi-factor authentication and comprehensive login system for client-server networks
US9942042B1 (en) * 2016-03-18 2018-04-10 EMC IP Holding Company LLC Key containers for securely asserting user authentication
CN109902462A (zh) * 2019-03-11 2019-06-18 国家电网有限公司 一种面向电力调度控制系统的统一身份认证方法
CN110213246A (zh) * 2019-05-16 2019-09-06 南瑞集团有限公司 一种广域多因子身份认证系统
US20210058383A1 (en) * 2019-08-21 2021-02-25 Truist Bank Location-based mobile device authentication
US20220209955A1 (en) * 2020-12-20 2022-06-30 Secret Double Octopus Ltd System and method for performing a secure online and offline login process
CN114745178A (zh) * 2022-04-11 2022-07-12 中国南方电网有限责任公司 身份认证方法、装置、计算机设备、存储介质和程序产品

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140189808A1 (en) * 2012-12-28 2014-07-03 Lookout, Inc. Multi-factor authentication and comprehensive login system for client-server networks
US9942042B1 (en) * 2016-03-18 2018-04-10 EMC IP Holding Company LLC Key containers for securely asserting user authentication
CN109902462A (zh) * 2019-03-11 2019-06-18 国家电网有限公司 一种面向电力调度控制系统的统一身份认证方法
CN110213246A (zh) * 2019-05-16 2019-09-06 南瑞集团有限公司 一种广域多因子身份认证系统
US20210058383A1 (en) * 2019-08-21 2021-02-25 Truist Bank Location-based mobile device authentication
US20220209955A1 (en) * 2020-12-20 2022-06-30 Secret Double Octopus Ltd System and method for performing a secure online and offline login process
CN114745178A (zh) * 2022-04-11 2022-07-12 中国南方电网有限责任公司 身份认证方法、装置、计算机设备、存储介质和程序产品

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117411733A (zh) * 2023-12-15 2024-01-16 北京从云科技有限公司 基于用户身份的内网访问保护系统
CN117411733B (zh) * 2023-12-15 2024-03-01 北京从云科技有限公司 基于用户身份的内网访问保护系统

Similar Documents

Publication Publication Date Title
US11223614B2 (en) Single sign on with multiple authentication factors
US11496310B2 (en) Methods and systems for universal storage and access to user-owned credentials for trans-institutional digital authentication
US9887989B2 (en) Protecting passwords and biometrics against back-end security breaches
US10075437B1 (en) Secure authentication of a user of a device during a session with a connected server
US8627424B1 (en) Device bound OTP generation
US8438385B2 (en) Method and apparatus for identity verification
US9544297B2 (en) Method for secured data processing
CN109040067A (zh) 一种基于物理不可克隆技术puf的用户认证设备及认证方法
US20140259120A1 (en) Authentication Entity Device, Verification Device and Authentication Request Device
JPH113033A (ja) クライアント−サーバ電子取引においてクライアントの本人確認を確立する方法、それに関連するスマートカードとサーバ、および、ユーザが検証者と共に操作を行うことが認可されるかどうかを決定する方法とシステム
JP2018529299A (ja) 生体認証プロトコル標準のシステムおよび方法
CN108737376A (zh) 一种基于指纹和数字证书的双因子认证方法及系统
WO2022042745A1 (zh) 一种密钥管理方法及装置
CN111010279A (zh) 一种基于零知识证明的远程多因子认证协议
CN112383401B (zh) 一种提供身份鉴别服务的用户名生成方法及系统
CN111767531A (zh) 一种基于生物特征的认证系统和方法
CN113545004A (zh) 具有减少攻击面的认证系统
Farouk et al. Authentication mechanisms in grid computing environment: Comparative study
CN116112242B (zh) 面向电力调控系统的统一安全认证方法及系统
CN108512832A (zh) 一种针对OpenStack身份认证的安全增强方法
CN116112242A (zh) 面向电力调控系统的统一安全认证方法及系统
US20240129304A1 (en) Biometric electronic signature authenticated key exchange token
Wefel et al. Raising User Acceptance of Token-based Authentication by Single Sign-On
Yu et al. Authentication Methods Based on Digital Fingerprint Random Encryption IBC.
Jiang et al. An indirect fingerprint authentication scheme in cloud computing

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant