CN116599682B - 基于skf接口的用户信息创建和验证方法及系统 - Google Patents

基于skf接口的用户信息创建和验证方法及系统 Download PDF

Info

Publication number
CN116599682B
CN116599682B CN202310858383.5A CN202310858383A CN116599682B CN 116599682 B CN116599682 B CN 116599682B CN 202310858383 A CN202310858383 A CN 202310858383A CN 116599682 B CN116599682 B CN 116599682B
Authority
CN
China
Prior art keywords
user
information
terminal
verification
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310858383.5A
Other languages
English (en)
Other versions
CN116599682A (zh
Inventor
冷昌琦
胡可劲
鲜伟
罗俊
谭亮
徐艳萍
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Quantum Technology Co ltd
Original Assignee
China Telecom Quantum Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Quantum Technology Co ltd filed Critical China Telecom Quantum Technology Co ltd
Priority to CN202310858383.5A priority Critical patent/CN116599682B/zh
Publication of CN116599682A publication Critical patent/CN116599682A/zh
Application granted granted Critical
Publication of CN116599682B publication Critical patent/CN116599682B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开一种基于SKF接口的用户信息创建和验证方法,应用于智能密码钥匙,智能密码钥匙中存储有利用SKF接口创建的角色信息、用户名数据以及用户证书,方法包括接收终端发送的信息读取请求,并将其存储的角色信息和用户名数据发送至终端;接收验证服务发送的随机数,随机数为验证服务基于所述终端发送的身份验证请求生成;对随机数进行签名并将签名和其存储的用户证书发送给验证服务,以使验证服务验证签名和用户证书并返回验证结果至终端。本发明极大地方便了多元用户的创建和在终端系统对人员角色进行判断验证。

Description

基于SKF接口的用户信息创建和验证方法及系统
技术领域
本发明涉及系统安全技术领域,具体涉及一种基于SKF接口的用户信息创建和验证方法及系统。
背景技术
随着《中华人民共和国密码法》的颁布,应用系统的安全得到社会的普遍关注。用户角色、身份验证是保障信息系统安全的重要环节,智能密码钥匙由于其便捷性、安全性在信息系统的用户管理中得到了广泛应用。比如相关技术中,公布号为CN107508837A的专利申请文献提出了基于智能密码钥匙认证的跨平台异构系统登录方法,利用智能密码钥匙、数字签名和数字证书认证机制,为多业务系统用户提供统一认证服务平台,该方案实际为一个单点登录方案,通过对多个系统的认证功能进行集成,一旦登录成功,便可对多个系统进行访问,其重点在于多系统之间的授权。
传统的用户登录基于用户名、口令登录,口令通过摘要计算发送给服务端,服务端对比存储的摘要值和发送的摘要值来判断用户身份是否合法,该方法面临口令泄密的风险,无法满足高级别的安全要求。而且用户角色信息获取需要与服务端进行通信,流程繁琐,从服务端读取用户角色信息的流程如下:客户端系统向服务端发送获取角色信息的请求,服务端响应客户端的请求,并返回用户角色信息。
发明内容
本发明所要解决的技术问题在于如何支持多种角色的创建,并方便在终端系统对人员角色进行判断。
本发明通过以下技术手段解决上述技术问题的:
第一方面,本发明提出了一种基于SKF接口的用户信息创建和验证方法,应用于智能密码钥匙,所述智能密码钥匙中存储有利用SKF接口创建的角色信息、用户名数据以及用户证书,所述方法包括:
接收终端发送的信息读取请求,并将其存储的角色信息和用户名数据发送至所述终端,以使所述终端基于所述角色信息和所述用户名数据进行验证;
接收验证服务发送的随机数,所述随机数为所述验证服务基于所述终端发送的身份验证请求生成;
对所述随机数进行签名并将签名和其存储的用户证书发送给所述验证服务,以使所述验证服务验证签名和用户证书并返回验证结果至所述终端。
进一步地,所述接收终端发送的信息读取请求,并将其存储的角色信息和用户名数据发送至所述终端,包括:
接收所述终端发送的信息读取请求;
调用SKF_GetDevinfo接口获取所述角色信息和所述用户名数据,并发送至所述终端。
进一步地,在所述接收终端发送的信息读取请求之前,所述方法还包括:
拼接用户名数据和角色信息,并利用智能密码钥匙的内部标签接口将拼接后的用户名数据和角色信息写入所述智能密码钥匙;
调用设备认证SKF接口,创建用户身份信息。
进一步地,所述调用设备认证SKF接口,创建用户身份信息包括:
调用SKF_CreateApp接口创建应用信息;
调用SKF_CreateContainer接口创建容器信息;
调用SKF_GenECCKeyPair接口产生内部公私钥对;
向证书签发服务发送申请证书请求,以获取所述证书签发服务签发的用户证书;
将所述用户证书导入到所述智能密码钥匙中。
进一步地,所述方法还包括:
将所述拼接后的用户名数据和角色信息,写入所述智能密码钥匙中的USBKEY载体。
进一步地,所述用户证书为SM2证书。
第二方面,本发明提出了一种智能密码钥匙,所述智能密码钥匙中存储有利用SKF接口创建的角色信息、用户名数据以及用户证书,所述智能密码钥匙包括:
第一接收模块,用于接收终端发送的信息读取请求,并将其存储的角色信息和用户名数据发送至所述终端,以使所述终端基于所述角色信息和所述用户名数据进行验证;
第二接收模块,用于接收验证服务发送的随机数,所述随机数为所述验证服务基于所述终端发送的身份验证请求生成;
验证模块,用于对所述随机数进行签名并将签名和其存储的用户证书发送给所述验证服务,以使所述验证服务验证签名和用户证书并返回验证结果至所述终端。
进一步地,所述智能密码钥匙还包括:
用户角色信息创建模块,用于拼接用户名数据和角色信息,并利用智能密码钥匙的内部标签接口将拼接后的用户名数据和角色信息写入所述智能密码钥匙;
用户身份信息创建模块,用于调用设备认证SKF接口,创建用户身份信息。
进一步地,所述用户身份信息创建模块,具体包括:
第一调用单元,用于调用SKF_CreateApp接口创建应用信息;
第二调用单元,用于调用SKF_CreateContainer接口创建容器信息;
第三调用单元,用于调用SKF_GenECCKeyPair接口产生内部公私钥对;
证书请求单元,用于向证书签发服务发送申请证书请求,以获取所述证书签发服务签发的用户证书;
证书导入单元,用于将所述用户证书导入到所述智能密码钥匙中。
第三方面,本发明提出了一种基于SKF接口的用户信息创建和验证系统,所述系统包括智能密码钥匙、终端、用户服务和证书签发服务,所述智能密码钥匙和所述用户服务与所述终端连接,所述用户服务和所述证书签发服务与所述智能密码钥匙连接,其中,所述智能密码钥匙中存储有基于SKF接口和所述证书签发服务生成的用户名数据、角色信息和用户证书,所述智能密码钥匙包括:
第一接收模块,用于接收终端发送的信息读取请求,并将其存储的角色信息和用户名数据发送至所述终端,以使所述终端基于所述角色信息和所述用户名数据进行验证;
第二接收模块,用于接收验证服务发送的随机数,所述随机数为所述验证服务基于所述终端发送的身份验证请求生成;
验证模块,用于对所述随机数进行签名并将签名和其存储的用户证书发送给所述验证服务,以使所述验证服务验证签名和用户证书并返回验证结果至所述终端。
本发明的优点在于:
(1)本发明充分利用SKF接口的特性,将用户角色信息写入用户硬件载体中以将角色信息本地化,使用时终端操作时无需和服务端进行通信,直接从客户端中读取用户角色信息进行相关操作即可获取角色信息,并进行角色信息的相关操作,极大地方便了多元用户的创建和在终端系统对人员角色进行判断验证,提高了客户端使用的效率。
(2)本发明是以SKF接口USBKEY作为用户身份载体,通过USBKEY中的操作创建用户身份和进行身份认证,重点关注SKF USBKEY创建用户和认证用户的流程、方式,通过在智能密码钥匙中存储基于USBKEY创建的角色信息、用户信息和用户证书,将创建角色信息、用户信息及验证用户身份的流程标准化。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
图1是本发明实施例提出的基于SKF接口的用户信息创建和验证方法的流程示意图;
图2是本发明实施例中用户信息验证的流程示意图;
图3是本发明实施例中用户信息创建的流程示意图;
图4是本发明实施例提出的智能密码钥匙的结构示意图;
图5是本发明实施例提出的基于SKF接口的用户信息创建和验证系统的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1至图2所示,本发明第一实施例提出了一种基于SKF接口的用户信息创建和验证方法,应用于智能密码钥匙,所述智能密码钥匙中存储有利用SKF接口创建的角色信息、用户名数据以及用户证书,所述方法包括以下步骤:
S10、接收终端发送的信息读取请求,并将其存储的角色信息和用户名数据发送至所述终端,以使所述终端基于所述角色信息和所述用户名数据进行角色验证;
需要说明的是,若角色验证未通过,则整个验证流程结束,确定用户不合规。
S20、接收验证服务发送的随机数,所述随机数为所述验证服务基于所述终端发送的身份验证请求生成;
S30、对所述随机数进行签名并将签名和其存储的用户证书发送给所述验证服务,以使所述验证服务验证签名和用户证书并返回验证结果至所述终端。
需要说明的是,终端从智能密码钥匙读取角色信息和用户名数据,基于获取角色信息和用户名数据,终端进行基于角色信息和用户名数据进行角色验证;角色验证通过后,终端向验证服务发送身份验证请求,验证服务基于身份验证请求向智能密码钥匙发送随机数;智能密码钥匙对随机数进行签名并将签名和证书发送给验证服务;验证服务验证签名和证书并返回验证结果至终端。
本实施例中的智能密码钥匙中存储有基于USBKEY创建的角色信息、用户信息和用户证书,将创建角色信息、用户信息及验证用户身份的流程标准化,极大地方便了多元用户的创建和在终端系统对人员角色进行判断验证,可快速确定用户角色并进行相关操作,且可与基于证书的认证方法结合完成用户的登录过程。
在一实施例中,所述步骤S10:接收终端发送的信息读取请求,并将其存储的角色信息和用户名数据发送至所述终端,包括以下步骤:
S11、接收所述终端发送的信息读取请求;
S12、调用SKF_GetDevinfo接口获取所述角色信息和所述用户名数据,并发送至所述终端。
在一实施例中,在所述步骤S10:在所述接收终端发送的信息读取请求之前,所述方法还包括以下步骤:
S1、拼接用户名数据和角色信息,并利用智能密码钥匙的内部标签接口将拼接后的用户名数据和角色信息写入所述智能密码钥匙;
需要说明的是,本实施例拼接用户名数据username和角色信息role,调用设置标签接口SKF_SetLable将信息写入智能密码钥匙中。
S2、调用设备认证SKF接口,创建用户身份信息。
本实施例采用基于SKF接口实现用户身份创建,符合国家相关标准要求,支持多种角色的创建,并方便在终端系统对人员角色进行判断。
在一实施例中,如图3所示,所述步骤S2:调用设备认证SKF接口,创建用户身份信息,具体包括以下步骤:
调用SKF_CreateApp接口创建应用信息;
调用SKF_CreateContainer接口创建容器信息;
调用SKF_GenECCKeyPair接口产生内部公私钥对;
向证书签发服务发送申请证书请求,以获取所述证书签发服务签发的用户证书;
将所述用户证书导入到所述智能密码钥匙中。
在一实施例中,所述方法还包括以下步骤:
将所述拼接后的用户名数据和角色信息,写入所述智能密码钥匙中的USBKEY载体。
本实施例通过调用SKF接口将用户角色信息写入USBKEY载体中的方式将角色信息本地化,使用时可直接从客户端中读取用户角色信息进行相关操作,提高了客户端使用的效率。
在一实施例中,所述用户证书为SM2证书。
本实施例基于SKF接口获取用户角色并结合SM2证书完成用户登录。
此外,如图4所示,本发明第二实施例提出了一种智能密码钥匙,其特征在于,所述智能密码钥匙中存储有利用SKF接口创建的角色信息、用户名数据以及用户证书,所述智能密码钥匙包括:
第一接收模块10,用于接收终端发送的信息读取请求,并将其存储的角色信息和用户名数据发送至所述终端,以使所述终端基于所述角色信息和所述用户名数据进行验证;
第二接收模块20,用于接收验证服务发送的随机数,所述随机数为所述验证服务基于所述终端发送的身份验证请求生成;
验证模块30,用于对所述随机数进行签名并将签名和其存储的用户证书发送给所述验证服务,以使所述验证服务验证签名和用户证书并返回验证结果至所述终端。
本实施例充分利用SKF接口的特性,将用户角色信息写入用户硬件载体中以将角色信息本地化,使用时终端操作时无需和服务端进行通信,直接从客户端中读取用户角色信息进行相关操作即可获取角色信息,并进行角色信息的相关操作,极大地方便了多元用户的创建和在终端系统对人员角色进行判断验证,提高了客户端使用的效率
由于SKF接口为国密标准接口,因此可将用户创建过程标准话,做到与硬件设备无关。此外,本实施例将角色信息本地化,极大地方便了终端信息对角色地操作。
在一实施例中,所述第一接收模块10,具体用于:
接收所述终端发送的信息读取请求;
调用SKF_GetDevinfo接口获取所述角色信息和所述用户名数据,并发送至所述终端。
在一实施例中,所述智能密码钥匙还包括:
用户角色信息创建模块40,用于拼接用户名数据和角色信息,并利用智能密码钥匙的内部标签接口将拼接后的用户名数据和角色信息写入所述智能密码钥匙;
用户身份信息创建模块50,用于调用设备认证SKF接口,创建用户身份信息。
在一实施例中,所述用户身份信息创建模块50,具体包括:
第一调用单元,用于调用SKF_CreateApp接口创建应用信息;
第二调用单元,用于调用SKF_CreateContainer接口创建容器信息;
第三调用单元,用于调用SKF_GenECCKeyPair接口产生内部公私钥对;
证书请求单元,用于向证书签发服务发送申请证书请求,以获取所述证书签发服务签发的用户证书;
证书导入单元,用于将所述用户证书导入到所述智能密码钥匙中。
在一实施例中,所述用户角色信息创建模块40,具体用于:
将所述拼接后的用户名数据和角色信息,写入所述智能密码钥匙中的USBKEY载体。
通过调用SKF接口将用户角色信息写入USBKEY载体中的方式将角色信息本地化,使用时可直接从客户端中读取用户角色信息进行相关操作,提高了客户端使用的效率。
在一实施例中,所述用户证书为SM2证书。
此外,如图4至图5所示,本发明第三实施例还提出了一种基于SKF接口的用户信息创建和验证系统,所述系统包括智能密码钥匙1、终端2、用户服务3和证书签发服务4,所述智能密码钥匙1和所述用户服务3与所述终端2连接,所述用户服务3和所述证书签发服务4与所述智能密码钥匙1连接,其中,所述智能密码钥匙1中存储有基于SKF接口和所述证书签发服务生成的用户名数据、角色信息和用户证书,所述智能密码钥匙1包括:
第一接收模块10,用于接收终端发送的信息读取请求,并将其存储的角色信息和用户名数据发送至所述终端,以使所述终端基于所述角色信息和所述用户名数据进行验证;
第二接收模块20,用于接收验证服务发送的随机数,所述随机数为所述验证服务基于所述终端发送的身份验证请求生成;
验证模块30,用于对所述随机数进行签名并将签名和其存储的用户证书发送给所述验证服务,以使所述验证服务验证签名和用户证书并返回验证结果至所述终端。
需要说明的是,所述基于SKF接口的用户信息创建和验证系统,智能密码钥匙通过USB2.0接口与硬件设备通信,进行用户信息创建的流程如下:
(1)创建用户角色信息:拼接用户和角色信息,调用设置标签接口将信息写入智能密码钥匙。
(2)创建用户身份信息:调用设备认证接口;调用SKF_CreateApp接口创建应用信息;调用SKF_CreateContainer接口创建容器信息;调用SKF_GenECCKeyPair接口产生内部公私钥对;向证书签发服务发送申请证书请求签发证书,并将用户证书导入到智能密码钥匙中。
所述基于SKF接口的用户信息创建和验证系统,进行用户信息验证的流程如下:
(1)角色验证过程:终端从智能密码钥匙读取角色信息,获取角色和用户名数据,终端进行基于角色和身份信息进行验证。
(2)身份验证过程:终端向验证服务请求身份验证;验证服务向智能密码钥匙发送随机数;智能密码钥匙对随机数进行签名并将签名和证书发送给验证服务;验证服务验证签名和证书并返回验证结果。
需要说明的是,本发明所述基于SKF接口的用户信息创建和验证系统以及智能密码钥匙的其他实施例或具有实现方法可参照上述各方法实施例,此处不再赘余。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (10)

1.一种基于SKF接口的用户信息创建和验证方法,其特征在于,应用于智能密码钥匙,所述智能密码钥匙中存储有利用SKF接口创建的角色信息、用户名数据以及用户证书,所述方法包括:
接收终端发送的信息读取请求,并将其存储的角色信息和用户名数据发送至所述终端,以使所述终端基于所述角色信息和所述用户名数据进行验证;
接收验证服务发送的随机数,所述随机数为所述验证服务基于所述终端发送的身份验证请求生成;
对所述随机数进行签名并将签名和其存储的用户证书发送给所述验证服务,以使所述验证服务验证签名和用户证书并返回验证结果至所述终端。
2.如权利要求1所述的基于SKF接口的用户信息创建和验证方法,其特征在于,所述接收终端发送的信息读取请求,并将其存储的角色信息和用户名数据发送至所述终端,包括:
接收所述终端发送的信息读取请求;
调用SKF_GetDevinfo接口获取所述角色信息和所述用户名数据,并发送至所述终端。
3.如权利要求1所述的基于SKF接口的用户信息创建和验证方法,其特征在于,在所述接收终端发送的信息读取请求之前,所述方法还包括:
拼接用户名数据和角色信息,并利用智能密码钥匙的内部标签接口将拼接后的用户名数据和角色信息写入所述智能密码钥匙;
调用设备认证SKF接口,创建用户身份信息。
4.如权利要求3所述的基于SKF接口的用户信息创建和验证方法,其特征在于,所述调用设备认证SKF接口,创建用户身份信息,包括:
调用SKF_CreateApp接口创建应用信息;
调用SKF_CreateContainer接口创建容器信息;
调用SKF_GenECCKeyPair接口产生内部公私钥对;
向证书签发服务发送申请证书请求,以获取所述证书签发服务签发的用户证书;
将所述用户证书导入到所述智能密码钥匙中。
5.如权利要求3所述的基于SKF接口的用户信息创建和验证方法,其特征在于,所述方法还包括:
将所述拼接后的用户名数据和角色信息,写入所述智能密码钥匙中的USBKEY载体。
6.如权利要求4所述的基于SKF接口的用户信息创建和验证方法,其特征在于,所述用户证书为SM2证书。
7.一种智能密码钥匙,其特征在于,所述智能密码钥匙中存储有利用SKF接口创建的角色信息、用户名数据以及用户证书,所述智能密码钥匙包括:
第一接收模块,用于接收终端发送的信息读取请求,并将其存储的角色信息和用户名数据发送至所述终端,以使所述终端基于所述角色信息和所述用户名数据进行验证;
第二接收模块,用于接收验证服务发送的随机数,所述随机数为所述验证服务基于所述终端发送的身份验证请求生成;
验证模块,用于对所述随机数进行签名并将签名和其存储的用户证书发送给所述验证服务,以使所述验证服务验证签名和用户证书并返回验证结果至所述终端。
8.如权利要求7所述的智能密码钥匙,其特征在于,所述智能密码钥匙还包括:
用户角色信息创建模块,用于拼接用户名数据和角色信息,并利用智能密码钥匙的内部标签接口将拼接后的用户名数据和角色信息写入所述智能密码钥匙;
用户身份信息创建模块,用于调用设备认证SKF接口,创建用户身份信息。
9.如权利要求8所述的智能密码钥匙,其特征在于,所述用户身份信息创建模块,具体包括:
第一调用单元,用于调用SKF_CreateApp接口创建应用信息;
第二调用单元,用于调用SKF_CreateContainer接口创建容器信息;
第三调用单元,用于调用SKF_GenECCKeyPair接口产生内部公私钥对;
证书请求单元,用于向证书签发服务发送申请证书请求,以获取所述证书签发服务签发的用户证书;
证书导入单元,用于将所述用户证书导入到所述智能密码钥匙中。
10.一种基于SKF接口的用户信息创建和验证系统,其特征在于,所述系统包括智能密码钥匙、终端、用户服务和证书签发服务,所述智能密码钥匙和所述用户服务与所述终端连接,所述用户服务和所述证书签发服务与所述智能密码钥匙连接,其中,所述智能密码钥匙中存储有基于SKF接口和所述证书签发服务生成的用户名数据、角色信息和用户证书,所述智能密码钥匙包括:
第一接收模块,用于接收终端发送的信息读取请求,并将其存储的角色信息和用户名数据发送至所述终端,以使所述终端基于所述角色信息和所述用户名数据进行验证;
第二接收模块,用于接收验证服务发送的随机数,所述随机数为所述验证服务基于所述终端发送的身份验证请求生成;
验证模块,用于对所述随机数进行签名并将签名和其存储的用户证书发送给所述验证服务,以使所述验证服务验证签名和用户证书并返回验证结果至所述终端。
CN202310858383.5A 2023-07-13 2023-07-13 基于skf接口的用户信息创建和验证方法及系统 Active CN116599682B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310858383.5A CN116599682B (zh) 2023-07-13 2023-07-13 基于skf接口的用户信息创建和验证方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310858383.5A CN116599682B (zh) 2023-07-13 2023-07-13 基于skf接口的用户信息创建和验证方法及系统

Publications (2)

Publication Number Publication Date
CN116599682A CN116599682A (zh) 2023-08-15
CN116599682B true CN116599682B (zh) 2023-09-19

Family

ID=87601160

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310858383.5A Active CN116599682B (zh) 2023-07-13 2023-07-13 基于skf接口的用户信息创建和验证方法及系统

Country Status (1)

Country Link
CN (1) CN116599682B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010115607A1 (en) * 2009-04-03 2010-10-14 Digidentity B.V. Secure data system
WO2016107319A1 (zh) * 2014-12-30 2016-07-07 北京奇虎科技有限公司 加载安全密钥存储硬件的方法和浏览器客户端装置
CN105827566A (zh) * 2015-01-06 2016-08-03 上海星碟信息技术有限公司 联合多平台接入游戏的方法
CN110263524A (zh) * 2019-08-05 2019-09-20 厦门亿力吉奥科技信息有限公司 一种移动设备加密u盾
CN112560058A (zh) * 2020-12-17 2021-03-26 山东华芯半导体有限公司 基于智能密码钥匙的ssd分区加密存储系统及其实现方法
CN112818333A (zh) * 2021-01-30 2021-05-18 郑州信大捷安信息技术股份有限公司 一种智能密码钥匙的切换登录认证、通信方法及系统
CN113922959A (zh) * 2021-11-12 2022-01-11 中国国家博物馆 用于多应用系统的统一身份认证系统及方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030154376A1 (en) * 2001-02-05 2003-08-14 Yeoul Hwangbo Optical storage medium for storing, a public key infrastructure (pki)-based private key and certificate, a method and system for issuing the same and a method for using
US7083089B2 (en) * 2004-01-20 2006-08-01 Hewlett-Packard Development Company, L.P. Off-line PIN verification using identity-based signatures
US11568082B2 (en) * 2019-10-21 2023-01-31 Megical Oy Method and system for securing sensitive information

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010115607A1 (en) * 2009-04-03 2010-10-14 Digidentity B.V. Secure data system
WO2016107319A1 (zh) * 2014-12-30 2016-07-07 北京奇虎科技有限公司 加载安全密钥存储硬件的方法和浏览器客户端装置
CN105827566A (zh) * 2015-01-06 2016-08-03 上海星碟信息技术有限公司 联合多平台接入游戏的方法
CN110263524A (zh) * 2019-08-05 2019-09-20 厦门亿力吉奥科技信息有限公司 一种移动设备加密u盾
CN112560058A (zh) * 2020-12-17 2021-03-26 山东华芯半导体有限公司 基于智能密码钥匙的ssd分区加密存储系统及其实现方法
CN112818333A (zh) * 2021-01-30 2021-05-18 郑州信大捷安信息技术股份有限公司 一种智能密码钥匙的切换登录认证、通信方法及系统
CN113922959A (zh) * 2021-11-12 2022-01-11 中国国家博物馆 用于多应用系统的统一身份认证系统及方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于数字证书的通用权限管理的设计与实现;曹望;尤志强;;计算机系统应用(09);全文 *

Also Published As

Publication number Publication date
CN116599682A (zh) 2023-08-15

Similar Documents

Publication Publication Date Title
CN109150548B (zh) 一种数字证书签名、验签方法及系统、数字证书系统
CN107196922B (zh) 身份认证方法、用户设备和服务器
CN112953970B (zh) 一种身份认证方法及身份认证系统
CN104486343B (zh) 一种双因子双向认证的方法及系统
CN107294916B (zh) 单点登录方法、单点登录终端及单点登录系统
CN101527633B (zh) 智能密钥设备获取数字证书的方法
CN106850201B (zh) 智能终端多因子认证方法、智能终端、认证服务器及系统
US20050287985A1 (en) Using a portable security token to facilitate public key certification for devices in a network
CN101453334B (zh) 基于Novell网络的访问管理方法和系统
CN110930147B (zh) 离线支付方法、装置、电子设备及计算机可读存储介质
JP2012530311A (ja) 移動無線機の移動無線網へのログイン方法
CN107113613B (zh) 服务器、移动终端、网络实名认证系统及方法
CN101527714B (zh) 制证的方法、装置及系统
CN105162604B (zh) 一种基于特征图像识别的验证方法、服务器及系统
CN103684797B (zh) 用户和用户终端设备的关联认证方法及系统
US20210192035A1 (en) Secure password generation and management using nfc and contactless smart cards
CN104426659A (zh) 动态口令生成方法、认证方法及系统、相应设备
CN102694782A (zh) 基于互联网的安全性信息交互设备及方法
CN103684796A (zh) 一种用户身份识别模块卡及个人身份认证方法
CN106357648A (zh) 一种集群终端的集群业务注册方法、系统及核心网系统
CN111581624B (zh) 一种智能终端用户身份认证方法
CN111147471B (zh) 一种终端入网认证方法、装置、系统和存储介质
CN116599682B (zh) 基于skf接口的用户信息创建和验证方法及系统
CN103136881B (zh) 支付方法和支付系统
CN107113316A (zh) 一种app认证的系统和方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant