CN117792802B - 基于多系统交互的身份验证与应用访问控制方法及系统 - Google Patents
基于多系统交互的身份验证与应用访问控制方法及系统 Download PDFInfo
- Publication number
- CN117792802B CN117792802B CN202410218556.1A CN202410218556A CN117792802B CN 117792802 B CN117792802 B CN 117792802B CN 202410218556 A CN202410218556 A CN 202410218556A CN 117792802 B CN117792802 B CN 117792802B
- Authority
- CN
- China
- Prior art keywords
- signature
- server
- verification
- system server
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012795 verification Methods 0.000 title claims abstract description 201
- 238000000034 method Methods 0.000 title claims abstract description 98
- 230000003993 interaction Effects 0.000 title claims abstract description 46
- 230000008569 process Effects 0.000 claims abstract description 62
- 238000004891 communication Methods 0.000 claims abstract description 10
- 230000004044 response Effects 0.000 claims description 19
- 238000007726 management method Methods 0.000 description 52
- 238000010586 diagram Methods 0.000 description 8
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请涉及应用程序身份验证技术领域,特别涉及基于多系统交互的身份验证与应用访问控制方法及系统。该系统包括应用系统服务器、身份验证系统服务器、密钥管理系统服务器以及协同签名服务器。应用系统服务器、身份验证系统服务器、密钥管理系统服务器以及所述协同签名服务器之间相互建立有通信连接在用户进行应用访问的登录验证过程中,通过协同签名服务器、密钥管理系统服务器以及身份验证系统服务器的交互,将登录验证过程划分为前置身份验证过程以及登录验证过程,并在验证过程中对于用户身份的真实性以及用户登录操作的正确性进行逐步检测,实现用户登录时身份验证的安全、可靠和不可篡改性。
Description
技术领域
本申请涉及应用程序身份验证技术领域,特别涉及身份验证与应用访问控制方法及系统。
背景技术
随着互联网的普及,应用系统的安全性越来越受到重视。
传统的用户应用登录方法通常通过用户在客户端输入用户名以及密码,客户端将用户名及密码相关的数据上传至服务器,由服务器进行验证的方式,进行帐号登录。
然而,传统的身份验证方法往往面临多种威胁,如用户名、密码被盗、恶意软件攻击客户端或服务器等。简单的验证交互方式使得用户登录身份验证过程易受到字典攻击和暴力破解的风险。用户名和密码可能被恶意用户轻易窃取或猜测。
发明内容
本申请关于基于多系统交互的身份验证与应用访问控制方法及系统,能够提高应用登录过程中的安全性以及稳定性,该技术方案如下:
一方面,提供了一种基于多系统交互的身份验证与应用访问控制方法,该方法应用于基于多系统交互的身份验证与应用访问控制系统中,系统包括应用系统服务器、身份验证系统服务器、密钥管理系统服务器以及协同签名服务器;
应用系统服务器、身份验证系统服务器、密钥管理系统服务器以及协同签名服务器之间相互建立有通信连接;
方法包括:
应用系统服务器接收登录信息,登录信息用于唯一指示登录用户;基于登录信息生成验签数据;通过密钥管理系统服务器向协同签名服务器发送验签数据,并向身份验证系统服务器同步验签数据,密钥管理系统服务器用于执行公私钥的存储与同步,身份验证系统服务器用于对客户端进行身份验证;
协同签名服务器接收验签数据;基于验签数据,联动身份验证系统服务器执行与应用系统服务器的验签流程;响应于验签流程完成,生成并向应用系统服务器反馈用户证书,用户证书配置有用户证书公钥;
应用系统服务器接收用户证书;生成登录验证随机数;基于用户证书公钥以及登录验证随机数生成签名中间量;向协同签名服务器发送签名中间量;
协同签名服务器接收签名中间量,基于签名中间量与应用系统服务器进行签名验证交互;响应于签名验证交互通过,确定数字签名值,并向应用系统服务器发送数字签名值;
应用系统服务器接收数字签名值;通过用户证书公钥对数字签名值进行验证;响应于验证通过,生成登录成功结果。
在一个可选的实施例中,基于多系统交互的身份验证与应用访问控制系统还包括WEB服务器;
WEB服务器与应用系统服务器通信连接;
应用系统服务器接收登录信息之前,包括:
WEB服务器接收用户操作数据;基于用户操作数据生成登录信息;向应用系统服务器发送登录信息。
在一个可选的实施例中,应用系统服务器基于登录信息生成验签数据,包括:
应用系统服务器基于登录信息确定与登录信息对应的公钥分量以及私钥分量;
基于公钥分量生成验签数据,验签数据中包括公钥分量。
在一个可选的实施例中,协同签名服务器基于验签数据,联动身份验证系统服务器执行与应用系统服务器的验签流程,包括:
协同签名服务器获取验签数据中的公钥分量;基于公钥分量确定与公钥分量对应的私钥使用权;基于公钥分量以及自身私钥,生成共享公钥;向密钥管理系统服务器以及身份验证系统服务器同步共享公钥以及公钥分量;
密钥管理系统服务器接收并存储共享公钥以及公钥分量;
身份验证系统服务器接收共享公钥以及公钥分量;基于公钥分量进行用户存在性验证,响应于用户存在性验证通过,生成与登录用户对应的身份令牌;向密钥管理系统服务器发送身份令牌;
密钥管理系统服务器接收身份令牌,基于身份令牌进行密钥存在性认证;响应于通过密钥存在性认证,向协同签名服务器发送验签随机数请求;
协同签名服务器接收验签随机数请求;基于验签随机数请求生成验签随机数;通过自身私钥对验签随机数进行加密,得到加密验签随机数;基于加密验签随机数与身份验证系统服务器以及密钥管理系统服务器进行身份验证,并获取用户证书。
在一个可选的实施例中,系统还包括数字证书管理服务器;
协同签名服务器基于加密验签随机数与身份验证系统服务器以及密钥管理系统服务器进行身份验证,并获取用户证书,包括:
协同签名服务器向身份验证系统服务器发送加密验签随机数以及验签随机数;
身份验证系统服务器接收加密验签随机数以及验签随机数,通过公钥分量对加密验签随机数进行验证;响应于验证结果与验签随机数匹配,调取并向协同签名服务器发送用户证书。
在一个可选的实施例中,系统还包括数字证书管理服务器;
数字证书管理服务器与协同签名服务器通信连接;
身份验证系统服务器响应于验证结果与验签随机数匹配,调取并向协同签名服务器发送用户证书,包括:
身份验证系统服务器响应于验证结果与验签随机数匹配,向密钥管理系统服务器发送用户证书请求指令;
密钥管理系统服务器接收用户证书请求指令;基于用户证书请求指令向数字证书管理服务器发送身份令牌;
数字证书管理服务器接收身份令牌;基于身份令牌向协同签名服务器发送用户证书。
在一个可选的实施例中,登录验证随机数实现为至少两个椭圆曲线标量;
应用系统服务器基于用户证书公钥以及登录验证随机数生成签名中间量,包括:
应用系统服务器基于椭圆曲线群元素算法确定与登录验证随机数对应的椭圆曲线群元素;结合国密加密算法,基于椭圆曲线群元素以及登录验证随机数生成签名值第一分量;结合第一挑战数,对签名值第一分量进行取模运算,得到签名中间量。
在一个可选的实施例中,协同签名服务器基于签名中间量与应用系统服务器进行签名验证交互,包括:
协同签名服务器结合自身私钥,对第二挑战数进行乘积取模运算,得到第一中间签名值;结合自身私钥以及第三挑战数,对签名中间量进行第二取模运算,得到第二中间签名值,将第一中间签名值以及第二中间签名值发送至应用系统服务器;
应用系统服务器接收第一中间签名值以及第二中间签名值,结合第四随机数,基于第一中间签名值以及第二中间签名值得到数字签名值,将数字签名值、第四随机数以及与登录用户对应的登录信息发送至协同签名服务器;
协同签名服务器接收数字签名值、第四随机数以及登录信息;基于第四随机数对签名值进行解密,以实现签名验证交互。
在一个可选的实施例中,应用系统服务器生成登录成功结果之后,包括:
生成并存储与登录用户对应的日志记录。
另一方面,提供了一种基于多系统交互的身份验证与应用访问控制系统,该系统包括应用系统服务器、身份验证系统服务器、密钥管理系统服务器以及协同签名服务器;
所述应用系统服务器、所述身份验证系统服务器、所述密钥管理系统服务器以及所述协同签名服务器之间相互建立有通信连接;
所述系统用于执行如上任一所述的基于多系统交互的身份验证与应用访问控制方法。
本申请提供的技术方案带来的有益效果至少包括:
在用户进行应用访问的登录验证过程中,通过协同签名服务器、密钥管理系统服务器以及身份验证系统服务器的交互,将登录验证过程划分为前置身份验证过程以及登录验证过程,并在验证过程中对于用户身份的真实性以及用户登录操作的正确性进行逐步检测,实现用户登录时身份验证的安全、可靠和不可篡改性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本申请一个示例性实施例提供的一种基于多系统交互的身份验证与应用访问控制系统的结构示意图。
图2示出了本申请一个示例性实施例提供的另一种基于多系统交互的身份验证与应用访问控制系统的结构示意图。
图3示出了本申请一个示例性实施例提供的另一种基于多系统交互的身份验证与应用访问控制系统的结构示意图。
图4示出了本申请一个示例性实施例提供的一种基于多系统交互的身份验证与应用访问控制方法的流程示意图。
图5示出了本申请一个示例性实施例提供的一种验签流程的示意图。
图6示出了本申请一个示例性实施例提供的一种用户证书获取过程示意图。
图7示出了本申请一个示例性实施例提供的一种数字签名值的确定过程示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
图1示出了本申请一个示例性实施例提供的一种基于多系统交互的身份验证与应用访问控制系统的结构示意图,请参考图1,该系统包括应用系统服务器110、身份验证系统服务器120、密钥管理系统服务器130以及协同签名服务器140。应用系统服务器、身份验证系统服务器、密钥管理系统服务器以及协同签名服务器之间相互建立有通信连接。
本申请实施例中,各个服务器可以实现为单独服务器,也可以实现为服务器集群,本申请对于各个服务器的服务器形态不做限定。
对应图2所示的模块化示意,对于各个服务器的功能进行介绍:
应用系统服务器110包括用户界面模块111、密钥管理模块112、签名值管理模块113、日志与审计模块114、安全认证与控制访问模块115;应用系统服务器为与客户端连接的服务器,其用于接收客户端的请求,并且作为登录验证流程发起的服务器。
身份验证系统服务器120包括用户认证模块121、令牌生成模块122以及会话管理模块123。身份验证服务器用于通过应用系统服务器,对于客户端进行身份验证。
密钥管理系统服务器130包括密钥存储模块131、用户存储模块132以及安全模块133。密钥管理系统服务器用于执行公私钥的存储与同步。其工作过程基于身份验证系统的验证而触发。
协同签名服务器140包括证书管理模块141、密钥生成模块142、签名生成模块143以及签名验证模块144。协同签名服务器用于协同应用系统服务器,完成登录验证流程。
即,在上述过程中,当应用系统服务器从第三方业务系统中接收到包括用户的登录信息,指示验证流程开始的控制指令后,与协同签名服务器、身份验证系统服务器以及密钥管理系统服务器进行交互,以完成访问信息的身份存在性验证以及登录信息可靠性验证流程,最终实现登录。
请参考图3,本申请实施例中,第三方业务系统实现为WEB服务器150,WEB服务器150与应用系统服务器连接。同时,系统还包括数字证书管理服务器160,数字证书管理服务器中预存有常规的数字证书,用于向协同签名服务器提供诸如签发证书服务器的证书支持。
结合图1至图3所示的基于多系统交互的身份验证与应用访问控制系统,图4示出了本申请一个示例性实施例提供的一种基于多系统交互的身份验证与应用访问控制方法的流程示意图,以该方法应用于如图1至图3任一所示的基于多系统交互的身份验证与应用访问控制系统中为例进行说明,该方法包括:
步骤401,应用系统服务器接收登录信息。
本申请实施例中,登录信息用于唯一指示登录用户。可选地,应用系统服务器接收其对应的,位于客户端的应用系统因用户登录而产生的登录信息。
在一个示例中,可选地,对应图3所示,应用系统服务器连接有WEB服务器的情况,在应用系统服务器接收登录信息之前,WEB服务器接收用户操作数据,并基于用户操作数据生成登录信息,且向应用系统其发送该登录信息。
步骤402,应用系统服务器基于登录信息生成验签数据。
本申请实施例中,验签数据即为协同签名服务器用于执行前置验签流程所需的数据。在本申请实施例中,验签数据用于指示登录的用户信息以及与登录的用户相关联的基本信息。在一个示例中,验签数据包括用户设备数据、用户位置数据、用户帐号密码数据。
步骤403,应用系统通过密钥管理系统服务器向协同签名服务器发送验签数据,并向身份验证系统同步验签数据。
如上实施例中所示,密钥管理系统服务器用于执行公私钥的存储与同步,身份验证系统服务器用于对客户端进行身份验证。
步骤404,协同签名服务器接收验签数据。
步骤405,协同签名服务器基于验签数据,联动身份验证系统服务器执行与应用系统服务器的验签流程。
本申请实施例中,身份验证系统服务器用于从自身存储的数据中,验证用户的存在性。当用户的存在性被确认时,即可对应执行验签流程。
步骤406,协同签名服务器响应于验签流程完成,生成并向应用系统服务器反馈用户证书。
本申请实施例中,用户证书配置有用户证书公钥。用户证书公钥与用户对应。在一个示例中,用户证书公钥与用户唯一对应。
步骤407,应用系统服务器接收用户证书。
步骤408,应用系统服务器生成登录验证随机数。
步骤409,应用系统服务器基于用户证书公钥以及登录验证随机数生成签名中间量。
步骤407至步骤409为签名中间量的确定过程。
步骤410,应用系统服务器向协同签名服务器发送签名中间量。
步骤411,协同签名服务器接收签名中间量。
步骤412,协同签名服务器基于签名中间量与应用系统服务器进行签名验证交互。
可选地,协同签名服务器通过对于签名中间量的解密以及加密处理,与应用系统服务器交互,以实现签名验证以及后续的用户身份验证的字符的生成。
步骤413,协同签名服务器响应于签名验证交互通过,确定数字签名值。
数字签名值与签名中间量为基于加密算法能够互相转换,以实现协同签名服务器与应用系统服务器的交互验证。
步骤414,协同签名服务器向应用系统服务器发送数字签名值。
步骤415,应用系统服务器接收数字签名值。
步骤416,应用系统服务器通过用户证书公钥对数字签名值进行验证。
该过程即为对于数字签名值的解密验证过程。在该过程中,用户证书公钥为解密凭证。
步骤417,应用系统服务器响应于验证通过,生成登录成功结果。
本申请实施例中,生成登录成功结果即指示用户登录成功,能够对于应用系统进行访问。
综上所述,本申请实施例提供的方法,在用户进行应用访问的登录验证过程中,通过协同签名服务器、密钥管理系统服务器以及身份验证系统服务器的交互,将登录验证过程划分为前置身份验证过程以及登录验证过程,并在验证过程中对于用户身份的真实性以及用户登录操作的正确性进行逐步检测,实现用户登录时身份验证的安全、可靠和不可篡改性。
在本申请的一些实施例中,应用系统服务器基于自身公私钥执行验签流程,该验签流程可以替换图3所示实施例中的步骤402至步骤405,实现为步骤501至步骤520,该过程包括:
步骤501,应用系统服务器基于登录信息确定与登录信息对应的公钥分量以及私钥分量。
本申请实施例中,公钥分量与私钥分量用于分别指示客户端对应的公私钥数据。
步骤502,应用系统服务器基于公钥分量生成验签数据。
对应步骤501中所示的情况可知,本申请实施例中,验签数据中包括公钥分量。在生成验签数据后,即执行验签流程。
步骤503,应用系统服务器向协同签名服务器发送验签数据,并向身份验证系统服务器同步验签数据。
步骤504,协同签名服务器接收验签数据。
步骤505,协同签名服务器获取验签数据中的公钥分量。
步骤506,协同签名服务器基于公钥分量确定与公钥分量对应的私钥使用权。
该过程即为对应公钥分量的私钥使用权获取过程。
步骤507,协同签名服务器基于公钥分量以及自身私钥,生成共享公钥。
本申请实施例中,在生成共享公钥后。协同签名服务器即生成共享公钥,以用于向密钥管理系统服务器以及身份验证系统服务器进行共享。
步骤508,协同签名服务器向密钥管理系统服务器以及身份验证系统服务器同步共享公钥以及公钥分量。
步骤509,密钥管理系统服务器接收并存储共享公钥以及公钥分量。
本申请实施例中,如上所示,密钥系统管理服务器用于对共享共邀以及公钥分量进行存储。
步骤510,身份验证系统服务器接收共享公钥以及公钥分量。
本申请实施例中,身份验证系统服务器用于接收共享公钥以及公钥分量,并使用共享公钥以及公钥分量执行用户存在性验证功能。
步骤511,身份验证系统服务器基于公钥分量进行用户存在性验证。
在本社情实施例中,身份验证系统服务器通过公钥分量中指示的信息比对的方式,进行用户存在性验证。
步骤512,身份验证系统服务器响应于用户存在性验证通过,生成与登录用户对应的身份令牌。
步骤513,身份验证系统服务器向密钥管理系统服务器发送身份令牌。
可选地,在发送身份令牌的同时,身份验证系统服务器还生成并对应传递共同公钥,也即,共同公钥在用户存在性验证通过后,由身份验证系统服务器向密钥管理系统服务器进行发送。
步骤514,密钥管理系统服务器接收身份令牌。
步骤515,密钥管理系统服务器基于身份令牌进行密钥存在性认证。
步骤516,密钥管理系统服务器响应于通过密钥存在性认证,向协同签名服务器发送验签随机数请求。
步骤517,协同签名服务器接收验签随机数请求。
步骤518,协同签名服务器基于验签随机数请求生成验签随机数。
步骤519,协同签名服务器通过自身私钥对验签随机数进行加密,得到验签加密随机数。
本申请实施例中,验签加密随机数以及验签随机数为基于椭圆曲线参数算法生成的。在一个示例中,验签随机数为基于椭圆曲线算法在范围内选取的两个随机挑战数,验签加密随机数即为通过椭圆曲线参数阶中进行私钥选取,并进一步加密得到的加密数据。
步骤520,协同签名服务器基于加密验签随机数与身份验证系统服务器以及密钥管理系统服务器进行身份验证,并获取用户证书。
结合图5所示的实施例,在系统包括数字证书管理服务器的情况下,图6示出了本申请一个示例性实施例提供的一种用户证书获取过程示意图,该过程可以替换步骤520,实现为步骤601至步骤605,该过程包括:
步骤601,协同签名服务器向身份验证系统服务器发送加密验签随机数以及验签随机数。
步骤602,身份验证系统服务器接收加密验签随机数以及验签随机数。
步骤603,身份验证系统服务器通过公钥分量对加密验签随机数进行验证。
可选地,本申请实施例中,验证过程即为对于加密验签随机数进行解密,以判断解密后的随机数与验签随机数是否一致的过程。可选地,身份验证系统服务器基于共同公钥,能够确定对应的私钥并进行解密。对应的,共同公钥用于指示随机挑战数在椭圆曲线群元素中的范围,以使得身份验证服务器确定对应私钥。
步骤604,身份验证系统服务器响应于验证结果与验签随机数匹配,向密钥管理系统服务器发送用户证书请求指令。
步骤605,密钥管理系统服务器接收用户证书请求指令。
步骤606,密钥管理系统服务器基于用户证书请求指令向数字证书管理服务器发送身份令牌。
步骤607,数字证书管理服务器接收身份令牌。
本申请实施例中,数字证书管理服务器作为独立服务器,用于进行身份令牌的获取。
步骤608,数字证书管理服务器基于身份令牌向协同签名服务器发送用户证书。
在本申请的一些实施例中,应用系统服务器在接收到签名中间量后,基于签名中间量最终确定数字签名值的过程如图7所示,该过程可以替换图4所示实施例的步骤413,实现为步骤701至步骤713,该过程包括:
步骤701,应用系统服务器基于椭圆曲线群元素算法确定与登录验证随机数对应的椭圆曲线群元素。
步骤702,应用系统服务器结合国密加密算法,基于椭圆曲线群元素以及登录验证随机数生成签名值第一分量。
步骤703,应用系统服务器结合第一挑战数,对签名值第一分量进行取模运算,得到签名中间量。
步骤704,应用系统服务器向协同签名服务器发送签名中间量。
步骤705,协同签名服务器接收签名中间量。
步骤706,协同签名服务器结合自身私钥,对第二挑战数进行乘积取模运算,得到第一中间签名值。
步骤707,协同签名服务器结合自身私钥以及第三挑战数,对签名中间量进行第二取模运算,得到第二中间签名值。
步骤708,协同签名服务器将第一中间签名值以及第二中间签名值发送至应用系统服务器。
步骤709,应用系统服务器接收第一中间签名值以及第二中间签名值。
步骤710,应用系统服务器结合第四随机数,基于第一中间签名值以及第二中间签名值得到数字签名值。
步骤711,应用系统服务器将数字签名值、第四随机数以及与登录用户对应的登录信息发送至协同签名服务器。
步骤712,协同签名服务器接收数字签名值、第四随机数以及登录信息。
本申请实施例中,登录信息用于指示用户的登录状态,以使得用户进行对于应用系统的访问。
步骤701至步骤712所示的过程为基于国密算法、密码杂凑算法以及取模运算原理进行的数字签名值的生成过程。在本申请的其他实施例中,还存在其他的基于签名中间量得到数字签名值的过程。本申请对于基于签名中间量得到数字签名值的方法不做限定。
步骤713,协同签名服务器基于第四随机数对签名值进行解密,以实现签名验证交互。
综上所述,本申请各个实施例中提供的方法,在用户进行应用访问的登录验证过程中,通过协同签名服务器、密钥管理系统服务器以及身份验证系统服务器的交互,将登录验证过程划分为前置身份验证过程以及登录验证过程,并在验证过程中对于用户身份的真实性以及用户登录操作的正确性进行逐步检测,实现用户登录时身份验证的安全、可靠和不可篡改性。
本申请各个实施例中提供的方法,通过引入身份验证系统、协同签名服务器和数字证书,增加了对用户信息的签名和验证环节,确保只有合法用户能够访问系统,有效防止了伪造和篡改的风险。
本申请各个实施例中提供的方法,通过私钥分片的使用保证了数据传输的完整性和真实性。
本申请各个实施例中提供的方法,多系统之间的交互方法使得各个模块之间相互独立,易于进行管理和维护并有效防止用户信息被伪造的发生。
上述仅为本申请的可选实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种基于多系统交互的身份验证与应用访问控制方法,其特征在于,所述方法应用于基于多系统交互的身份验证与应用访问控制系统中,所述系统包括应用系统服务器、身份验证系统服务器、密钥管理系统服务器以及协同签名服务器;
所述应用系统服务器、所述身份验证系统服务器、所述密钥管理系统服务器以及所述协同签名服务器之间相互建立有通信连接;
所述方法包括:
所述应用系统服务器接收登录信息,所述登录信息用于唯一指示登录用户;基于所述登录信息生成验签数据;通过所述密钥管理系统服务器向所述协同签名服务器发送所述验签数据,并向所述身份验证系统服务器同步所述验签数据,所述密钥管理系统服务器用于执行公私钥的存储与同步,所述身份验证系统服务器用于对客户端进行身份验证;
所述协同签名服务器接收所述验签数据;基于所述验签数据,联动所述身份验证系统服务器执行与所述应用系统服务器的验签流程;响应于所述验签流程完成,生成并向所述应用系统服务器反馈用户证书,所述用户证书配置有用户证书公钥;
所述应用系统服务器接收所述用户证书;生成登录验证随机数;基于所述用户证书公钥以及所述登录验证随机数生成签名中间量;向所述协同签名服务器发送所述签名中间量;
所述协同签名服务器接收所述签名中间量,基于所述签名中间量与所述应用系统服务器进行签名验证交互;响应于签名验证交互通过,确定数字签名值;并向所述应用系统服务器发送所述数字签名值;
所述应用系统服务器接收数字签名值;通过所述用户证书公钥对所述数字签名值进行验证;响应于验证通过,生成登录成功结果。
2.根据权利要求1所述的基于多系统交互的身份验证与应用访问控制方法,其特征在于,所述基于多系统交互的身份验证与应用访问控制系统还包括WEB服务器;
所述WEB服务器与所述应用系统服务器通信连接;
所述应用系统服务器接收登录信息之前,包括:
所述WEB服务器接收用户操作数据;基于所述用户操作数据生成登录信息;向所述应用系统服务器发送所述登录信息。
3.根据权利要求1所述的基于多系统交互的身份验证与应用访问控制方法,其特征在于,所述应用系统服务器基于所述登录信息生成验签数据,包括:
所述应用系统服务器基于所述登录信息确定与所述登录信息对应的公钥分量以及私钥分量;
基于所述公钥分量生成验签数据,所述验签数据中包括公钥分量。
4.根据权利要求3所述的基于多系统交互的身份验证与应用访问控制方法,其特征在于,所述协同签名服务器基于所述验签数据,联动所述身份验证系统服务器执行与所述应用系统服务器的验签流程,包括:
所述协同签名服务器获取所述验签数据中的所述公钥分量;基于所述公钥分量确定与所述公钥分量对应的私钥使用权;基于所述公钥分量以及自身私钥,生成共享公钥;向所述密钥管理系统服务器以及所述身份验证系统服务器同步所述共享公钥以及所述公钥分量;
所述密钥管理系统服务器接收并存储所述共享公钥以及所述公钥分量;
所述身份验证系统服务器接收所述共享公钥以及所述公钥分量;基于所述公钥分量进行用户存在性验证;响应于用户存在性验证通过,生成与所述登录用户对应的身份令牌;向所述密钥管理系统服务器发送所述身份令牌;
所述密钥管理系统服务器接收所述身份令牌;基于所述身份令牌进行密钥存在性认证;响应于通过密钥存在性认证,向所述协同签名服务器发送验签随机数请求;
所述协同签名服务器接收所述验签随机数请求;基于所述验签随机数请求生成验签随机数;通过自身私钥对所述验签随机数进行加密,得到加密验签随机数;基于所述加密验签随机数与所述身份验证系统服务器以及所述密钥管理系统服务器进行身份验证,并获取所述用户证书。
5.根据权利要求4所述的基于多系统交互的身份验证与应用访问控制方法,其特征在于,所述系统还包括数字证书管理服务器;
所述协同签名服务器基于所述加密验签随机数与所述身份验证系统服务器以及所述密钥管理系统服务器进行身份验证,并获取所述用户证书,包括:
所述协同签名服务器向所述身份验证系统服务器发送所述加密验签随机数以及所述验签随机数;
所述身份验证系统服务器接收所述加密验签随机数以及所述验签随机数;通过所述公钥分量对所述加密验签随机数进行验证;响应于验证结果与所述验签随机数匹配,调取并向所述协同签名服务器发送所述用户证书。
6.根据权利要求5所述的基于多系统交互的身份验证与应用访问控制方法,其特征在于,所述系统还包括数字证书管理服务器;
所述数字证书管理服务器与所述协同签名服务器通信连接;
所述身份验证系统服务器响应于验证结果与所述验签随机数匹配,调取并向所述协同签名服务器发送所述用户证书,包括:
所述身份验证系统服务器响应于验证结果与所述验签随机数匹配,向所述密钥管理系统服务器发送用户证书请求指令;
所述密钥管理系统服务器接收所述用户证书请求指令;基于所述用户证书请求指令向所述数字证书管理服务器发送所述身份令牌;
所述数字证书管理服务器接收所述身份令牌;基于所述身份令牌向所述协同签名服务器发送所述用户证书。
7.根据权利要求1所述的基于多系统交互的身份验证与应用访问控制方法,其特征在于,所述登录验证随机数实现为至少两个椭圆曲线标量;
所述应用系统服务器基于所述用户证书公钥以及所述登录验证随机数生成签名中间量,包括:
应用系统服务器基于椭圆曲线群元素算法确定与所述登录验证随机数对应的椭圆曲线群元素;结合国密加密算法,基于所述椭圆曲线群元素以及所述登录验证随机数生成所述签名值第一分量;结合第一挑战数,对所述签名值第一分量进行取模运算,得到所述签名中间量。
8.根据权利要求7所述的基于多系统交互的身份验证与应用访问控制方法,其特征在于,所述协同签名服务器基于所述签名中间量与所述应用系统服务器进行签名验证交互,包括:
所述协同签名服务器结合自身私钥,对第二挑战数进行乘积取模运算,得到第一中间签名值;结合自身私钥以及第三挑战数,对所述签名中间量进行第二取模运算,得到第二中间签名值;将所述第一中间签名值以及所述第二中间签名值发送至所述应用系统服务器;
所述应用系统服务器接收所述第一中间签名值以及所述第二中间签名值;结合第四随机数,基于所述第一中间签名值以及所述第二中间签名值得到所述数字签名值;将所述数字签名值、所述第四随机数以及与所述登录用户对应的登录信息发送至所述协同签名服务器;
所述协同签名服务器接收所述数字签名值、所述第四随机数以及所述登录信息;基于所述第四随机数对所述签名值进行解密,以实现签名验证交互。
9.根据权利要求7所述的基于多系统交互的身份验证与应用访问控制方法,其特征在于,所述应用系统服务器生成登录成功结果之后,包括:
生成并存储与所述登录用户对应的日志记录。
10.一种基于多系统交互的身份验证与应用访问控制系统,其特征在于,所述系统包括应用系统服务器、身份验证系统服务器、密钥管理系统服务器以及协同签名服务器;
所述应用系统服务器、所述身份验证系统服务器、所述密钥管理系统服务器以及所述协同签名服务器之间相互建立有通信连接;
所述系统用于执行如权利要求1-9任一所述的基于多系统交互的身份验证与应用访问控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410218556.1A CN117792802B (zh) | 2024-02-28 | 2024-02-28 | 基于多系统交互的身份验证与应用访问控制方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410218556.1A CN117792802B (zh) | 2024-02-28 | 2024-02-28 | 基于多系统交互的身份验证与应用访问控制方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117792802A CN117792802A (zh) | 2024-03-29 |
| CN117792802B true CN117792802B (zh) | 2024-04-23 |
Family
ID=90400322
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410218556.1A Active CN117792802B (zh) | 2024-02-28 | 2024-02-28 | 基于多系统交互的身份验证与应用访问控制方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117792802B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017076216A1 (zh) * | 2015-11-03 | 2017-05-11 | 国民技术股份有限公司 | 服务器、移动终端、网络实名认证系统及方法 |
| CN116418560A (zh) * | 2023-03-08 | 2023-07-11 | 桂林理工大学南宁分校 | 一种基于区块链智能合约的线上快速身份认证系统及方法 |
| CN116708037A (zh) * | 2023-08-07 | 2023-09-05 | 勤源(江苏)科技有限公司 | 云平台访问权限控制方法及系统 |
-
2024
- 2024-02-28 CN CN202410218556.1A patent/CN117792802B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017076216A1 (zh) * | 2015-11-03 | 2017-05-11 | 国民技术股份有限公司 | 服务器、移动终端、网络实名认证系统及方法 |
| CN116418560A (zh) * | 2023-03-08 | 2023-07-11 | 桂林理工大学南宁分校 | 一种基于区块链智能合约的线上快速身份认证系统及方法 |
| CN116708037A (zh) * | 2023-08-07 | 2023-09-05 | 勤源(江苏)科技有限公司 | 云平台访问权限控制方法及系统 |
Non-Patent Citations (2)
| Title |
|---|
| Design and Implementation of a Secure Login Method for RESTful Server Based on Hybrid Programming and AES Algorithm;Jun Liu 等;2023 IEEE 5th International Conference on Civil Aviation Safety and Information Technology (ICCASIT);20231013;全文 * |
| 一种基于SM2 智能卡的微电网安全登录系统的设计;汤鹏志 等;华东交通大学学报;20200229;第37卷(第1期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117792802A (zh) | 2024-03-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10116453B2 (en) | Method for distributed trust authentication | |
| CN108092776B (zh) | 一种基于身份认证服务器和身份认证令牌的系统 | |
| US9887989B2 (en) | Protecting passwords and biometrics against back-end security breaches | |
| US8775794B2 (en) | System and method for end to end encryption | |
| US7231526B2 (en) | System and method for validating a network session | |
| US8132020B2 (en) | System and method for user authentication with exposed and hidden keys | |
| US8627424B1 (en) | Device bound OTP generation | |
| US9015489B2 (en) | Securing passwords against dictionary attacks | |
| US20180167208A1 (en) | Confidential authentication and provisioning | |
| CN107248075B (zh) | 一种实现智能密钥设备双向认证和交易的方法及装置 | |
| CN110990827A (zh) | 一种身份信息验证方法、服务器及存储介质 | |
| CN109728909A (zh) | 基于USBKey的身份认证方法和系统 | |
| EP2291787A2 (en) | Techniques for ensuring authentication and integrity of communications | |
| US20110179478A1 (en) | Method for secure transmission of sensitive data utilizing network communications and for one time passcode and multi-factor authentication | |
| CN101420302A (zh) | 安全认证方法和设备 | |
| WO2018030289A1 (ja) | Ssl通信システム、クライアント、サーバ、ssl通信方法、コンピュータプログラム | |
| CN103236931A (zh) | 一种基于tpm的身份验证方法及系统以及相关设备 | |
| CN117081736A (zh) | 密钥分发方法、密钥分发装置、通信方法及通信装置 | |
| CN105978688B (zh) | 一种基于信息分离管理的跨网域安全认证方法 | |
| CN116112242B (zh) | 面向电力调控系统的统一安全认证方法及系统 | |
| CN110912857B (zh) | 移动应用间共享登录的方法、存储介质 | |
| CN117792802B (zh) | 基于多系统交互的身份验证与应用访问控制方法及系统 | |
| Mishra et al. | Authenticated content distribution framework for digital rights management systems with smart card revocation | |
| JPH09330298A (ja) | パスワード登録方法、認証方法、パスワード更新方法、パスワード登録システム、認証システムおよびパスワード更新システム | |
| CN103178955A (zh) | 一种认证方法、设备和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |