CN117749393B - 基于协同签名的sslvpn用户身份验证方法及系统 - Google Patents
基于协同签名的sslvpn用户身份验证方法及系统 Download PDFInfo
- Publication number
- CN117749393B CN117749393B CN202410173712.7A CN202410173712A CN117749393B CN 117749393 B CN117749393 B CN 117749393B CN 202410173712 A CN202410173712 A CN 202410173712A CN 117749393 B CN117749393 B CN 117749393B
- Authority
- CN
- China
- Prior art keywords
- signature
- client
- server
- collaborative
- random number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012795 verification Methods 0.000 title claims abstract description 133
- 238000000034 method Methods 0.000 title claims abstract description 83
- 238000004891 communication Methods 0.000 claims abstract description 20
- 230000003993 interaction Effects 0.000 claims description 13
- 230000004044 response Effects 0.000 claims description 10
- 230000001360 synchronised effect Effects 0.000 claims description 3
- 230000008569 process Effects 0.000 abstract description 44
- 238000010586 diagram Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 238000013475 authorization Methods 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000001010 compromised effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本申请关于基于协同签名的SSLVPN用户身份验证方法及系统,涉及安全套接字层协议服务器认证技术领域。该系统包括客户端、协同签名服务器以及SSLVPN服务器;所述客户端与所述协同签名服务器以及所述SSLVPN服务器通信连接,且所述协同签名服务器与所述SSLVPN服务器通信连接;所述协同签名服务器与所述SSLVPN服务器通信连接。在进行用户身份验证的过程当中,不依赖传统单一的数字证书的身份验证因素,结合协同签名以及基于随机数加解密的加密协议以及冗余验证的形式,强调了安全性与效率的结合,从用户端简化用户身份验证的流程,且进一步提高用户身份验证过程中的安全性。
Description
技术领域
本申请涉及安全套接字层协议(Secure Socket Layer Virtual PrivateNetwork,SSLVPN)服务器认证技术领域,特别涉及基于协同签名的SSLVPN用户身份验证方法及系统。
背景技术
SSLVPN服务器认证方式是一种常见的建立远程安全访问通道的虚拟专用网络技术。
传统的SSLVPN(Secure Socket Layer Virtual Private Network)服务器认证方式通常依赖于使用证书和私钥的传输层安全性(TLS)协议。在这种方式中,SSLVPN服务器使用下载有数字证书的USB设备,借助USB设备进行身份验证,以确保客户端连接到合法的服务器。这包括服务器在启动时向客户端提供数字证书,客户端验证证书的有效性和合法性。
然而,目前已有的VPN用户身份验证方法存在以下不足:首先,传统的SSLVPN服务器认证方式主要依赖于数字证书的单一身份验证因素。这种方式容易受到证书管理的复杂性和私钥保护的难题的影响,可能导致私钥泄露或证书伪造的风险。其次,传统SSLVPN服务器认证方式缺乏对动态网络环境的适应性。一旦数字证书被盗用或泄露,安全性将受到威胁,而且更新证书和重新分发的过程可能较为繁琐。再次,传统SSLVPN服务器认证方式在提供安全性的同时,由于外接设备接入的必要性,大幅度降低了用户体验。复杂的证书管理和私钥保护流程发生在客户端,以可视化的形式提供给用户,使用户感到不便。
发明内容
本申请关于基于协同签名的SSLVPN用户身份验证方法及系统,能够从用户端简化用户身份验证的流程,且进一步提高用户身份验证过程中的安全性。该技术方案如下:
一方面,提供了一种基于协同签名的SSLVPN用户身份验证方法,该方法应用于计算机设备中,该方法应用于基于协同签名的SSLVPN用户身份验证系统中,SSLVPN用户身份验证系统包括客户端、协同签名服务器以及SSLVPN服务器;
客户端与协同签名服务器以及SSLVPN服务器通信连接,且协同签名服务器与SSLVPN服务器通信连接;
协同签名服务器与SSLVPN服务器通信连接;
该方法包括:
客户端向协同签名服务器发送登录请求,登录请求包括客户端协同签名数据;
协同签名服务器接收客户端协同签名数据;基于客户端协同签名数据与客户端进行验签交互;响应于客户端通过验签交互,向客户端反馈验签结果;
客户端接收验签结果,基于验签结果向SSLVPN服务器发送登录随机数请求;
SSLVPN服务器接收登录随机数请求,基于登录随机数请求向客户端发送校验随机数;
客户端接收校验随机数;根据校验随机数生成签名获取数据,将签名获取数据发送至协同签名服务器;
协同签名服务器接收签名获取数据,基于签名获取数据生成第一数字签名,向客户端反馈第一数字签名;
客户端接收第一数字签名;基于第一数字签名生成第二数字签名;向SSLVPN服务器发送第二数字签名;
SSLVPN服务器接收第二数字签名;基于第二数字签名进行登录验证;响应于登录验证通过,向客户端反馈登录成功返回值,返回值用于指示客户端登录SSLVPN服务器。
在一个可选的实施例中,客户端协同签名数据包括客户端信息数据、客户端公钥以及随机数请求;
协同签名服务器基于客户端协同签名数据与客户端进行验签交互,包括:
协同签名服务器结合客户端信息数据以及客户端公钥,对客户端进行存在性验证;响应于客户端信息数据以及客户端公钥通过存在性验证,基于随机数请求向客户端发送私钥使用权限数据以及协同验证随机数;
客户端接收私钥使用权限数据以及协同验证随机数;基于私钥使用权限数据,通过自身私钥对协同验证随机数进行签名,得到协同签名验证数据;向协同签名服务器发送协同签名验证数据;
协同签名服务器接收协同签名验证数据;基于协同签名验证数据进行验签。
在一个可选的实施例中,客户端向协同签名服务器发送登录请求之前,包括:
客户端接收登录验证数据,登录验证数据实现为人体生理信息数据和/或PIN码数据;
基于登录验证数据进行登录验证;
响应于登录验证数据通过登录验证,基于登录验证数据生成登录请求。
在一个可选的实施例中,客户端根据校验随机数生成签名获取数据,包括:
客户端基于椭圆曲线数字签名算法,结合自身公私钥,生成第一签名加密随机数;基于第一签名加密随机数生成签名获取数据。
在一个可选的实施例中,协同签名服务器基于签名获取数据生成第一数字签名,包括:
协同签名服务器基于验签结果,确定与客户端对应的公私钥;基于客户端的公私钥对签名获取数据中的第一签名加密随机数进行验证;响应于签名加密随机数通过验证,生成签名随机数;基于签名随机数生成第二签名加密随机数,向客户端发送第二签名加密随机数;
客户端接收第二签名加密随机数;对第二签名加密随机数进行验证;响应于第二签名加密随机数通过验证,对校验随机数进行摘要运算,得到中间签名量;将中间签名量发送至协同签名服务器;
协同签名服务器接收中间签名量,基于中间签名量生成第一数字签名。
在一个可选的实施例中,第一签名加密随机数以及第二签名加密随机数均实现为随机数与加密随机数的组合,加密随机数与随机数对应,且加密所用公私钥对与客户端对应
在一个可选的实施例中,客户端对校验随机数进行摘要运算,得到中间签名量,包括:
客户端基于第二签名加密随机数确定椭圆曲线群元素;
结合椭圆曲线群元素,对校验随机数进行基于SM3算法的摘要运算,得到中间签名量。
在一个可选的实施例中,该方法还包括:
当协同签名服务器向客户端反馈第一数字签名时,协同签名服务器向SSLVPN服务器同步第一数字签名。
在一个可选的实施例中,SSLVPN服务器基于第二数字签名进行登录验证,包括:
SSLVPN服务器接收协同签名服务器同步的第一数字签名;通过第一数字签名对第二数字签名进行验证。
另一方面,提供了一种基于协同签名的SSLVPN用户身份验证系统,基于协同签名的SSLVPN用户身份验证系统包括客户端、协同签名服务器以及SSLVPN服务器;
客户端与协同签名服务器以及SSLVPN服务器通信连接,且协同签名服务器与SSLVPN服务器通信连接;
协同签名服务器与SSLVPN服务器通信连接;
基于协同签名的SSLVPN用户身份验证系统用于执行如上任一的基于协同签名的SSLVPN用户身份验证方法。
本申请提供的技术方案带来的有益效果至少包括:
在进行SSLVPN用户身份验证的过程当中,不依赖传统单一的数字证书的身份验证因素,而通过借助协同签名服务器的方式,结合协同签名以及基于随机数加解密的加密协议,在用户登录与协同签名服务器验证过程中结合了冗余验证的形式,强调了安全性与效率的结合,从用户端简化用户身份验证的流程,且进一步提高用户身份验证过程中的安全性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本申请一个示例性实施例提供的一种基于协同签名的SSLVPN用户身份验证系统的结构示意图。
图2示出了本申请一个示例性实施例提供的另一种基于协同签名的SSLVPN用户身份验证系统的结构示意图。
图3示出了本申请一个示例性实施例提供的一种基于协同签名的SSLVPN用户身份验证方法的流程示意图。
图4示出了本申请一个示例性实施例提供的一种前置验签过程的流程示意图。
图5示出了本申请一个示例性实施例提供的一种客户端的登录验证数据的生成过程示意图。
图6示出了本申请一个示例性实施例提供的一种第一数字签名的生成过程示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
首选,对于本申请实施例涉及的名词做出解释与定义:
SSLVPN,指基于安全套接字层协议建立远程安全访问通道的VPN技术。SSL协议主要是由SSL记录协议和握手协议组成,它们共同为应用访问连接提供认证、加密和防篡改功能。SSL握手协议相对于IPSEC协议体系中的IKE(互联网密钥交换协议)协议,主要是用于服务器和客户之间的相互认证,协商加密算法和消息认证码(Message AuthenticationCode,MAC)算法,用于生成在SSL记录协议中使用的加密和认证密钥。相关技术中,为保证SSLVPN技术应用过程的安全性,在客户端与SSLVPN服务器建立连接关系时,需要为客户端配置存储有证书以及对应公私钥的USB设备。也即,相关技术中的SSLVPN技术使用均需配置对应的USB设备以实现。
在此情况下,本申请实施例提供的基于协同签名的SSLVPN用户身份验证系统能够实现去外接设备化,以在保证验证安全性的情况下,提高SSLVPN用户登录验证的简便性。
图1示出了本申请一个示例性实施例提供的一种基于协同签名的SSLVPN用户身份验证系统的结构示意图,该基于协同签名的SSLVPN用户身份验证系统包括客户端110、协同签名服务器120以及SSLVPN服务器130。所述客户端与所述协同签名服务器以及所述SSLVPN服务器通信连接,且所述协同签名服务器与所述SSLVPN服务器通信连接;所述协同签名服务器与所述SSLVPN服务器通信连接。
以功能模块作为划分,请参考图2,SSLVPN服务器130具有登录认证模块131、用户管理与授权模块132、资源管理与下载模块133以及第一SSL连接服务模块134。其中,登录认证模块包括获取随机数服务模块以及验签服务模块。功能划分如下:
(1)登录认证模块
获取随机数服务: 负责为客户端提供随机数,用于加强身份验证和安全通信。
验签服务: 在用户登录过程中,验证客户端提供的数字签名,确保用户身份的合法性和信息的完整性。
(2)用户管理与授权模块
负责维护和管理用户信息,包括身份信息、权限和授权信息。 根据用户身份进行授权,确保合法用户能够访问相应的资源和服务。
(3)资源管理与下载模块
管理和提供SSLVPN服务所需的各类资源,包括配置文件、证书等。 负责响应客户端的资源下载请求,确保客户端能够正常获取必要的资源。
(4)第一SSL连接服务模块:提供支持国密算法的SSL连接服务,确保SSLVPN通信的安全性和加密性。
客户端110具有登录模块111、第二国密SSL连接服务模块112以及下载资源模块113。功能划分如下:
(1)登录模块:提供多种登录方式,在一个示例中,登录模块包括人脸采集模块以及PIN码登录模块。人脸采集模块: 支持用户通过人脸识别方式进行登录,提高登录过程的便捷性和安全性;PIN码登录模块: 允许用户使用个人识别码(PIN码)进行登录,提供多种身份验证方式。
(2)国密SSL连接服务模块:提供支持国密算法的SSL连接服务,用于与SSLVPN服务器之间的安全通信。
(3)下载资源模块,用于处理客户端对SSLVPN服务器资源的下载请求,确保客户端获得必要的配置文件、证书权限等资源,以便建立安全连接。
协同签名服务器120具有随机数获取模块121、验签模块122、协同签名模块123以及密钥管理模块124。功能划分如下:
(1)获取随机数模块:为协同签名提供必要的随机数,用于生成数字签名的过程。
(2)验签模块:在协同签名过程中,验证客户端生成的数字签名,确保签名的合法性和信息的完整性。
(3)协同签名模块:实施椭圆曲线数字签名协议,协同客户端生成数字签名,用于用户身份验证的过程。
(4)密钥管理模块:负责管理公私钥对,包括生成、存储、更新和分发密钥对,确保安全的密钥管理。
结合上述对于系统的说明,图3示出了本申请一个示例性实施例提供的一种基于协同签名的SSLVPN用户身份验证方法的流程示意图,以该方法应用于如图1至图2所示的基于协同签名的SSLVPN用户身份验证系统中为例进行说明,该方法包括:
步骤301,客户端向协同签名服务器发送登录请求。
本申请实施例中,登录请求包括客户端协同签名数据。客户端协同签名数据与客户端对应的信息相关。
可选地,客户端的登录请求基于用户在客户端显示界面上的操作被触发。在一个示例中,客户端接收到用户在自身界面上的登录操作,触发客户端协同签名数据的生成以及发送。
步骤302,协同签名服务器接收客户端协同签名数据。
步骤303,协同签名服务器基于客户端协同签名数据与客户端进行验签交互。
在本申请实施例中,验签交互流程即为协同签名服务器与客户端之间的初步验证过程,该初步验证过程能够使得协同签名服务器对于客户端所对应的客户信息的存在性以及准确性进行核对。
步骤304,协同签名服务器响应于客户端通过验签交互,向客户端反馈验签结果。
可选地,当客户端未通过验签交互时,协同签名服务器返回验签失败结果,验签失败结果指示验签未通过。
步骤305,客户端接收验签结果。
步骤306,客户端基于验签结果向SSLVPN服务器发送登录随机数请求。
在本申请实施例中,校验随机数为协同签名服务器与客户端进行后续交互的凭证随机数。客户端在经过验签后,即进行后续的登录请求过程。
步骤307,SSLVPN服务器接收登录随机数请求。
步骤308,SSLVPN服务器基于登录随机数请求向客户端发送校验随机数。
步骤309,客户端接收校验随机数。
步骤310,客户端根据校验随机数生成签名获取数据。
本申请实施例中,签名获取数据用于使客户端向协同签名服务器要求第一部分签名。
步骤311,客户端将签名获取数据发送至协同签名服务器。
步骤312,协同签名服务器接收签名获取数据。
步骤313,协同签名服务器基于签名获取数据生成第一数字签名。
在本申请实施例中,第一数字签名为用于进行客户端与协同签名服务器之间的登录验证,在客户端确定第一数字签名时,即表示协同签名服务器与客户端之间已通过身份验证,且客户端能够基于第一数字签名与SSLVPN服务器进行身份验证交互。
步骤314,协同签名服务器向客户端反馈第一数字签名。
步骤315,客户端接收第一数字签名。
步骤316,客户端基于第一数字签名生成第二数字签名。
本申请实施例中,第一数字签名与第二数字签名之间存在对应关系。在一个示例中,第二数字签名由第一数字签名进行二次加密得到,或,第二数字签名由第一数字签名解密后,基于同种或相近似的加密方式加密得到。
步骤317,客户端向SSLVPN服务器发送第二数字签名。
步骤318,SSLVPN服务器接收第二数字签名。
步骤319,SSLVPN服务器基于第二数字签名进行登录验证。
该过程即为登录验证过程。
步骤320,响应于登录验证通过,向客户端反馈登录成功返回值。
本申请实施例中,返回值用于指示客户端登录SSLVPN服务器。
综上所述,本申请实施例提供的方法,在进行SSLVPN用户身份验证的过程当中,不依赖传统单一的数字证书的身份验证因素,而通过借助协同签名服务器的方式,结合协同签名以及基于随机数加解密的加密协议,在用户登录与协同签名服务器验证过程中结合了冗余验证的形式,强调了安全性与效率的结合,从用户端简化用户身份验证的流程,且进一步提高用户身份验证过程中的安全性。
在本申请的一些实施例中,如图4的过程所示,客户端与协同签名服务器的前置验签过程能够替换步骤303,实现为步骤401至步骤407,该流程包括:
步骤401,协同签名服务器结合客户端信息数据以及客户端公钥,对客户端进行存在性验证。
本申请实施例中,客户端协同签名数据包括客户端信息数据、客户端公钥以及随机数请求。可选地,客户端公钥有证书中心服务器发送。
步骤402,协同签名服务器响应于客户端信息数据以及客户端公钥通过存在性验证,基于随机数请求向客户端发送私钥使用权限数据以及协同验证随机数。
对应步骤401所示的情况,协同签名服务器中预存有与客户端对应的客户端信息。
步骤403,客户端接收私钥使用权限数据以及协同验证随机数。
步骤404,客户端基于私钥使用权限数据,通过自身私钥对协同验证随机数进行签名,得到协同签名验证数据。
步骤405,客户端向协同签名服务器发送协同签名验证数据。
步骤406,协同签名服务器接收协同签名验证数据。
步骤407,协同签名服务器基于协同签名验证数据进行验签。
在本申请的一些实施例中,如图5的过程所示,客户端的登录验证数据通过客户端本地的用户登录验证过程生成,该过程实现于步骤301之前,该步骤包括:
步骤501,客户端接收登录验证数据。
本申请实施例中,登录验证数据实现为人体生理信息数据和/或PIN码数据。在一个示例中,人体生理信息数据为指纹数据,或,人体生理信息数据为人脸数据。
步骤502,客户端基于登录验证数据进行登录验证。
该过程实现为客户端的本地登录验证过程。在一个示例中,客户端中预存有SSLVPN服务器预分配的登录验证信息,基于登录验证信息,客户端执行登录验证流程。
步骤503,响应于登录验证数据通过登录验证,基于登录验证数据生成登录请求。
在本申请的一些实施例中,如图6的过程所示,当客户端接收到验签结果,且验签结果指示可以进行后续登录验证流程后,客户端与协同签名服务器进行交互,以获得用于与SSLVPN服务器进行交互验证的第一数字签名,该过程可以替换图3所示的步骤309至步骤315,实现为步骤601至步骤616,该过程包括:
步骤601,客户端接收校验随机数。
在本申请实施例中,设校验随机数为M。
步骤602,客户端基于椭圆曲线数字签名算法,结合自身公私钥,生成第一签名加密随机数。
在本申请实施例中,第一签名加密随机数以及后续出现的第二签名加密随机数均实现为随机数与加密随机数的组合,加密随机数与所述随机数对应,且加密所用公私钥对与所述客户端对应。在一个示例中,首先基于使用权限生成随机数kA,之后,基于客户端公私钥生成RA以及RA^的组合作为随机数。其中,RA=kA·P,RA^=kA·pkB,其中pkB为协同签名服务器的公钥。本申请实施例中,生成过程基于椭圆曲线群元素原理。
步骤603,客户端基于第一签名加密随机数生成签名获取数据。
本申请实施例中,签名获取数据中包括加密随机数以及与客户端对应的私钥信息。
步骤604,客户端向协同签名服务器发送签名获取数据。
步骤605,协同签名服务器接收签名获取数据。
步骤606,协同签名服务器基于验签结果,确定与客户端对应的公私钥。
该过程即为协同签名服务器确定与客户端对应的公私钥的过程。
步骤607,协同签名服务器基于客户端的公私钥对签名获取数据中的第一签名加密随机数进行验证。
步骤608,协同签名服务器响应于第一签名加密随机数通过验证,生成签名随机数。
本申请实施例中,签名随机数与kA对应。在一个示例中,签名随机数即为kA。也即,协同签名服务器在验证过程中,即对于第一签名加密随机数进行解密。
步骤609,协同签名服务器基于签名随机数生成第二签名加密随机数。
本申请实施例中,由于协同签名服务器中的私钥与客户端的私钥对应,因此,协同签名服务器加密后得到的第二签名加密随机数能够被客户端解密得到,在一个示例中,第二签名加密随机数基于kB生成,kB与kA属于同一集合,第二签名加密随机数包括RB和RB^。其中,RB=kB·pkA,RB^=kB·P,P为椭圆曲线算法中的椭圆曲线基点,pkA为客户端公钥。
步骤610,协同签名服务器向客户端发送第二签名加密随机数。
步骤611,客户端接收第二签名加密随机数。
步骤612,客户端对第二签名加密随机数进行验证。
本申请实施例中,验证后,即可确定随机数kB。
步骤613,客户端响应于第二签名加密随机数通过验证,对校验随机数进行摘要运算,得到中间签名量。
本申请实施例中,摘要运算为基于SM3摘要算法的运算。
步骤614,客户端将中间签名量发送至协同签名服务器。
步骤615,协同签名服务器接收中间签名量。
步骤616,协同签名服务器基于中间签名量生成第一数字签名。
在本申请的一些实施例中,协同签名服务器向客户端反馈第一数字签名时,会同步将第一数字签名发送至SSLVPN服务器,即,第一数字签名将作为客户端与SSLVPN服务器交互过程中的验证凭证。在此情况下,SSLVPN服务器接收服务器同步的第一数字签名,并通过第一数字签名对第二数字签名进行验证。
结合如上申请实施例中所示的情况,第二数字签名为客户端生成的完整签名,第一数字签名为与第二数字签名的一部分关联的签名。在此情况下,SSLVPN服务器即能够基于第二数字签名与第一数字签名的关联性,进行客户端的身份验证。
综上所述,本申请实施例提供的方法,在进行SSLVPN用户身份验证的过程当中,不依赖传统单一的数字证书的身份验证因素,而通过借助协同签名服务器的方式,结合协同签名以及基于随机数加解密的加密协议,在用户登录与协同签名服务器验证过程中结合了冗余验证的形式,强调了安全性与效率的结合,从用户端简化用户身份验证的流程,且进一步提高用户身份验证过程中的安全性。
本申请实施例提供的方法,本专利采用协同签名和椭圆曲线数字签名协议,结合多因素身份验证,提供了高度安全性的SSLVPN用户身份验证方法。这有效防范了传统身份验证方法中存在的多种威胁,如密码破解和伪造攻击。
本申请实施例提供的方法,通过结合用户登录信息、公钥传递、协同签名服务器验证、椭圆曲线数字签名协议等多个步骤,本发明实现了多层次的身份验证。这种多因素验证极大增加了系统的安全性,为商业网络提供了更加可靠的用户身份保护。
本申请实施例提供的方法,本发明充分考虑商业网络的安全性需求,采用协同签名服务器和椭圆曲线数字签名协议,本发明具有强大的动态适应性。系统可实时验证用户身份,实时调整安全策略以适应不断演变的网络威胁,从而提高了商业网络的整体安全性。这种灵活性使得系统更具抗攻击性,能够更有效地防范新兴的网络安全威胁。
本申请实施例提供的方法,结合椭圆曲线数字签名协议,本发明提供了高效的SSLVPN用户身份验证方法。椭圆曲线算法相较传统算法更为高效,减少了计算和通信的开销,为用户提供更快速、可靠的身份验证体验。
上述仅为本申请的可选实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (8)
1.一种基于协同签名的SSLVPN用户身份验证方法,其特征在于,所述方法应用于基于协同签名的SSLVPN用户身份验证系统中;
所述基于协同签名的SSLVPN用户身份验证系统包括客户端、协同签名服务器以及SSLVPN服务器;
所述客户端与所述协同签名服务器以及所述SSLVPN服务器通信连接,且所述协同签名服务器与所述SSLVPN服务器通信连接;
所述方法包括:
所述客户端向所述协同签名服务器发送登录请求,所述登录请求包括客户端协同签名数据,所述客户端协同签名数据包括客户端信息数据、客户端公钥以及随机数请求;
所述协同签名服务器接收所述客户端协同签名数据;基于所述客户端协同签名数据与所述客户端进行验签交互;响应于所述客户端通过所述验签交互,向所述客户端反馈验签结果;
所述客户端接收所述验签结果,基于所述验签结果向所述SSLVPN服务器发送登录随机数请求;
所述SSLVPN服务器接收所述登录随机数请求;基于所述登录随机数请求向所述客户端发送校验随机数;
所述客户端接收所述校验随机数;基于椭圆曲线数字签名算法,结合自身公私钥生成第一签名加密随机数;基于所述第一签名加密随机数生成签名获取数据;将所述签名获取数据发送至所述协同签名服务器;
所述协同签名服务器接收所述签名获取数据,基于所述签名获取数据生成第一数字签名;向所述客户端反馈所述第一数字签名,并向所述SSLVPN服务器同步所述第一数字签名;
所述客户端接收所述第一数字签名;基于所述第一数字签名生成第二数字签名;向所述SSLVPN服务器发送所述第二数字签名;
所述SSLVPN服务器接收所述第二数字签名;基于所述第二数字签名进行登录验证;响应于登录验证通过,向所述客户端反馈登录成功返回值,所述返回值用于指示所述客户端登录所述SSLVPN服务器。
2.根据权利要求1所述的基于协同签名的SSLVPN用户身份验证方法,其特征在于,
所述协同签名服务器基于所述客户端协同签名数据与所述客户端进行验签交互,包括:
所述协同签名服务器结合所述客户端信息数据以及客户端公钥,对所述客户端进行存在性验证;响应于所述客户端信息数据以及所述客户端公钥通过所述存在性验证,基于所述随机数请求向所述客户端发送私钥使用权限数据以及协同验证随机数;
所述客户端接收所述私钥使用权限数据以及所述协同验证随机数;基于所述私钥使用权限数据,通过自身私钥对所述协同验证随机数进行签名,得到协同签名验证数据;向所述协同签名服务器发送所述协同签名验证数据;
所述协同签名服务器接收所述协同签名验证数据;基于所述协同签名验证数据进行验签。
3.根据权利要求2所述的基于协同签名的SSLVPN用户身份验证方法,其特征在于,所述客户端向所述协同签名服务器发送登录请求之前,包括:
所述客户端接收登录验证数据,所述登录验证数据实现为人体生理信息数据和/或PIN码数据;
基于所述登录验证数据进行登录验证;
响应于所述登录验证数据通过登录验证,基于所述登录验证数据生成所述登录请求。
4.根据权利要求1所述的基于协同签名的SSLVPN用户身份验证方法,其特征在于,所述协同签名服务器基于所述签名获取数据生成第一数字签名,包括:
所述协同签名服务器基于所述验签结果,确定与所述客户端对应的公私钥;基于所述客户端的公私钥对所述签名获取数据中的所述第一签名加密随机数进行验证;响应于所述第一签名加密随机数通过验证,生成签名随机数;基于所述签名随机数生成第二签名加密随机数;向所述客户端发送所述第二签名加密随机数;
所述客户端接收所述第二签名加密随机数;对所述第二签名加密随机数进行验证;响应于所述第二签名加密随机数通过验证,对所述校验随机数进行摘要运算,得到中间签名量;将所述中间签名量发送至所述协同签名服务器;
所述协同签名服务器接收所述中间签名量;基于所述中间签名量生成所述第一数字签名。
5.根据权利要求4所述的基于协同签名的SSLVPN用户身份验证方法,其特征在于,所述第一签名加密随机数以及所述第二签名加密随机数均实现为随机数与加密随机数的组合,所述加密随机数与所述随机数对应,且加密所用公私钥对与所述客户端对应。
6.根据权利要求4所述的基于协同签名的SSLVPN用户身份验证方法,其特征在于,所述客户端对所述校验随机数进行摘要运算,得到中间签名量,包括:
所述客户端基于所述第二签名加密随机数确定椭圆曲线群元素;
结合所述椭圆曲线群元素,对所述校验随机数进行基于SM3算法的摘要运算,得到所述中间签名量。
7.根据权利要求1所述的基于协同签名的SSLVPN用户身份验证方法,其特征在于,所述SSLVPN服务器基于所述第二数字签名进行登录验证,包括:
所述SSLVPN服务器接收所述协同签名服务器同步的所述第一数字签名;通过所述第一数字签名对所述第二数字签名进行验证。
8.一种基于协同签名的SSLVPN用户身份验证系统,其特征在于,所述基于协同签名的SSLVPN用户身份验证系统包括客户端、协同签名服务器以及SSLVPN服务器;
所述客户端与所述协同签名服务器以及所述SSLVPN服务器通信连接,且所述协同签名服务器与所述SSLVPN服务器通信连接;
所述基于协同签名的SSLVPN用户身份验证系统用于执行如权利要求1至7任一所述的基于协同签名的SSLVPN用户身份验证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410173712.7A CN117749393B (zh) | 2024-02-07 | 2024-02-07 | 基于协同签名的sslvpn用户身份验证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410173712.7A CN117749393B (zh) | 2024-02-07 | 2024-02-07 | 基于协同签名的sslvpn用户身份验证方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117749393A CN117749393A (zh) | 2024-03-22 |
| CN117749393B true CN117749393B (zh) | 2024-05-10 |
Family
ID=90283582
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410173712.7A Active CN117749393B (zh) | 2024-02-07 | 2024-02-07 | 基于协同签名的sslvpn用户身份验证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117749393B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111614637A (zh) * | 2020-05-08 | 2020-09-01 | 郑州信大捷安信息技术股份有限公司 | 一种基于软件密码模块的安全通信方法及系统 |
| CN115174116A (zh) * | 2022-07-06 | 2022-10-11 | 北京神州安付科技股份有限公司 | 一种数据包签名与验签系统 |
| CN116232632A (zh) * | 2022-11-18 | 2023-06-06 | 南方电网数字平台科技(广东)有限公司 | 移动端sslvpn安全隧道应用方法及系统 |
| CN117336092A (zh) * | 2023-11-07 | 2024-01-02 | 数字广东网络建设有限公司 | 一种客户端登录方法、装置、电子设备和存储介质 |
-
2024
- 2024-02-07 CN CN202410173712.7A patent/CN117749393B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111614637A (zh) * | 2020-05-08 | 2020-09-01 | 郑州信大捷安信息技术股份有限公司 | 一种基于软件密码模块的安全通信方法及系统 |
| CN115174116A (zh) * | 2022-07-06 | 2022-10-11 | 北京神州安付科技股份有限公司 | 一种数据包签名与验签系统 |
| CN116232632A (zh) * | 2022-11-18 | 2023-06-06 | 南方电网数字平台科技(广东)有限公司 | 移动端sslvpn安全隧道应用方法及系统 |
| CN117336092A (zh) * | 2023-11-07 | 2024-01-02 | 数字广东网络建设有限公司 | 一种客户端登录方法、装置、电子设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117749393A (zh) | 2024-03-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108390851B (zh) | 一种用于工业设备的安全远程控制系统及方法 | |
| CN109309565B (zh) | 一种安全认证的方法及装置 | |
| WO2021036186A1 (zh) | 通过证书签发提供高可用计算服务的方法及装置 | |
| CN112235235B (zh) | 一种基于国密算法的sdp认证协议实现方法 | |
| CN107040513B (zh) | 一种可信访问认证处理方法、用户终端和服务端 | |
| KR20150092719A (ko) | 증명서 생성 디바이스 및 방법 | |
| CN109525565B (zh) | 一种针对短信拦截攻击的防御方法及系统 | |
| CN111224784B (zh) | 一种基于硬件可信根的角色分离的分布式认证授权方法 | |
| WO2014069985A1 (en) | System and method for identity-based entity authentication for client-server communications | |
| CN108737376A (zh) | 一种基于指纹和数字证书的双因子认证方法及系统 | |
| CN110519222B (zh) | 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统 | |
| JP2007318806A (ja) | 移動ネットワーク環境におけるデータトラフィックの保護方法 | |
| KR20090054774A (ko) | 분산 네트워크 환경에서의 통합 보안 관리 방법 | |
| CN117749393B (zh) | 基于协同签名的sslvpn用户身份验证方法及系统 | |
| CN115314217A (zh) | 跨多接入边缘计算系统登录方法及装置 | |
| US9281947B2 (en) | Security mechanism within a local area network | |
| CN114158046A (zh) | 一键登录业务的实现方法和装置 | |
| CN116318637A (zh) | 设备安全入网通信的方法和系统 | |
| KR20170111809A (ko) | 대칭키 기반의 보안 토큰을 이용한 양방향 인증 방법 | |
| CN110855444A (zh) | 一种基于可信第三方的纯软件cava身份认证方法 | |
| CN115835194B (zh) | 一种nb-iot物联网终端安全接入系统及接入方法 | |
| CN110225011B (zh) | 用户节点的认证方法、设备及计算机可读存储介质 | |
| CN117278330B (zh) | 一种电力物联网设备网络的轻量级组网与安全通信方法 | |
| CN113676468B (zh) | 一种基于消息验证技术的三方增强认证系统设计方法 | |
| US20240121083A1 (en) | Secure restoration of private key |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |