TW201537937A - 統一身份認證平臺及認證方法 - Google Patents
統一身份認證平臺及認證方法 Download PDFInfo
- Publication number
- TW201537937A TW201537937A TW103122182A TW103122182A TW201537937A TW 201537937 A TW201537937 A TW 201537937A TW 103122182 A TW103122182 A TW 103122182A TW 103122182 A TW103122182 A TW 103122182A TW 201537937 A TW201537937 A TW 201537937A
- Authority
- TW
- Taiwan
- Prior art keywords
- user
- algorithm
- server
- client
- backend server
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
Abstract
本發明公開了一種統一身份認證平臺及認證方法。其中認證平臺包括金鑰中心,用於根據註冊請求,由HSM生成的PIN資訊,並將PIN資訊傳送給用戶端使用者,和後端伺服器;用戶端,用於利用PIN資訊,通過加解密演算法對用戶端和後端伺服器之間傳輸的資料塊進行加解密;網路伺服器,用於與用戶端或者後端伺服器之間利用SSL加解密並傳輸資料塊;後端伺服器,用於接收金鑰中心發回的進行加解密的PIN資訊;利用PIN資訊,通過加解密演算法,對用戶端和後端伺服器之間傳輸的資料塊進行加解密。其盡可能保障網路資訊傳輸的安全性,防止第三方通過共用寬頻無線連結對資訊進行篡改和盜取。
Description
本發明涉及網路資訊安全技術領域,特別是涉及一種統一身份認證平臺及認證方法。
在銀行、政府、保險等高資訊安全的行業中,進行網路資訊傳輸,特別是身份認證時,一般使用傳統的SSL(Secure Sockets Layer,安全套接層)進行點對點加密,其傳輸的資訊可以被攻擊盜取或者篡改,安全性得不到保障。
基於此,有必要針對現有技術的缺陷和不足,提供統一身份認證平臺及認證方法,其解決了傳統SSL僅能提供點到點的資料安全保護,以及通過網路會話的重複攻擊的缺陷,盡可能保障網路資訊傳輸的安全性。
為實現本發明目的而提供的統一身份認證平臺包括金鑰中心,用戶端,網路伺服器,後端伺服器,其中: 所述金鑰中心,用於根據用戶端通過網路伺服器和後端伺服器發來的註冊請求,由硬體安全模組生成的PIN資訊,並將PIN資訊通過可信物理方式遞交給用戶端使用者,以及通過可信方式發送給後端伺服器; 所述用戶端,用於接收用戶端使用者輸入的PIN資訊;利用PIN資訊,通過與後端伺服器約定的預設加解密演算法,對用戶端和後端伺服器之間傳輸的資料塊進行加解密; 所述網路伺服器,用於在用戶端和後端伺服器之間建立網路連接,並與用戶端或者後端伺服器之間利用SSL加解密並傳輸資料塊; 所述後端伺服器,用於將用戶端使用者的資訊發送給金鑰中心,請求金鑰中心根據用戶端使用者的資訊生成PIN資訊;並接收金鑰中心發回的進行加解密的PIN資訊;利用PIN資訊,通過與用戶端約定的預設加解密演算法,對用戶端和後端伺服器之間傳輸的資料塊進行加解密。
作為一種統一身份認證平臺的可實施方式,所述用戶端,還用於通過網路伺服器向後端伺服器發出註冊請求;所述後端伺服器,還用於接收用戶端發來的註冊請求,對用戶端用戶進行註冊。
其中,所述網路連接為有線連接或者無線連接。
其中,所述無線連接包括但不限於CDMA2000通信網路連接、WCDMA通信網路連接、TD-CDMA通信網路連接或者TD-LTE通信網路連接。
其中,所述加解密演算法,為對稱演算法或者非對稱演算法; 所述對稱演算法為DES演算法,3DES演算法,TDEA演算法,Blowfish演算法,RC5演算法或者IDEA演算法; 所述非對稱演算法為RSA演算法、Elgamal演算法、背包演算法、Rabin演算法、D-H演算法或者ECC演算法。
作為一種統一身份認證平臺的可實施方式,所述使用者身份認證的資料塊為令牌種子、使用者密碼、資料塊和/或使用者個性化資料。
作為一種統一身份認證平臺的可實施方式,所述使用者個性化資料為使用者手寫簽名圖像資料、用戶輸入的聲音、用戶的二維碼和/或用戶選擇輸入的其他非數位資料。
基於同一發明構思的一種統一身份認證方法,包括如下步驟: 步驟A,金鑰中心根據用戶端通過網路伺服器和後端伺服器發來的註冊請求,由硬體安全模組生成的PIN資訊,並將PIN資訊通過可信物理方式遞交給用戶端使用者,以及通過可信方式發送給後端伺服器; 步驟B,用戶端利用PIN資訊,通過與後端伺服器約定的預設加解密演算法,對用戶端和後端伺服器之間傳輸的資料塊進行加解密; 步驟C,網路伺服器與用戶端或者後端伺服器之間利用SSL加解密並傳輸資料塊; 步驟D,後端伺服器利用PIN資訊,通過與用戶端約定的預設加解密演算法,對用戶端和後端伺服器之間傳輸的資料塊進行加解密。
作為一種統一身份認證方法的可實施方式,所述步驟A之前還包括如下步驟: 步驟A1,所述用戶端通過網路伺服器向後端伺服器發出註冊請求; 步驟A2,網路伺服器與用戶端或者後端伺服器之間利用SSL加解密並傳輸資料塊; 步驟A3,後端伺服器接收用戶端發來的註冊請求,對用戶端用戶進行註冊,並將用戶端使用者的資訊發送給金鑰中心,請求金鑰中心根據用戶端使用者的資訊生成PIN資訊。
本發明的有益效果:本發明提供的統一身份認證平臺及認證方法,通過對使用者身份認證的資料(包括但不限於令牌種子、使用者密碼或交易資料)的傳輸和儲存整個過程進行多重認證保護,克服了SSL的缺陷,提供額外的安全功能,盡可能保障網路資訊傳輸的安全性,防止第三方通過共用寬頻無線連結對資訊進行篡改和盜取。
為了使本發明的技術方案更加清楚,以下結合附圖,對本發明的統一身份認證平臺及認證方法作進一步詳細的說明。應當理解,此處所描述的具體實施例僅用以解釋本發明,並不用於限定本發明。
本發明提供的統一身份認證平臺的實施例,參見圖1,本發明實施例提供的統一身份認證平臺,包括金鑰中心,用戶端,網路伺服器,後端伺服器,其中: 所述金鑰中心,用於根據用戶端通過網路伺服器和後端伺服器發來的註冊請求,由硬體安全模組(HSM)生成的PIN(Personal Identification Number,個人識別密碼)資訊,並將PIN資訊通過可信物理方式遞交給用戶端使用者,以及通過可信方式發送給後端伺服器; 所述用戶端,用於通過網路伺服器向後端伺服器發出註冊請求;並接收用戶端使用者輸入的PIN資訊;利用PIN資訊,通過與後端伺服器約定的預設加解密演算法,對用戶端和後端伺服器之間傳輸的資料塊進行加解密; 所述網路伺服器,用於在用戶端和後端伺服器之間建立網路連接,並與用戶端或者後端伺服器之間利用SSL加解密並傳輸資料塊;
所述後端伺服器,用於接收用戶端發來的註冊請求,對用戶端用戶進行註冊,並將用戶端使用者的資訊發送給金鑰中心,請求金鑰中心根據用戶端使用者的資訊生成PIN資訊;並接收金鑰中心發回的進行加解密的PIN資訊;利用PIN資訊,通過與用戶端約定的預設加解密演算法,對用戶端和後端伺服器之間傳輸的資料塊進行加解密。
本發明實施例中,用戶端和後端伺服器中,在生成、分配、更改和重設PIN(使用者密碼)資訊過程中,利用約定的預設加解密演算法對傳輸的資料塊進行第一層加解密後,再利用網路伺服器進行第二層加解密,使得在網路傳輸的認證資料塊能夠進行很好的保護,第三人通過即使能通過網路攻擊獲取資料,也因為第一層加密而不能得到在網路伺服器上傳輸的資料塊資訊,確保端對端的保護,從而有效地保護用戶端到後端伺服器傳輸的資料的安全。
進一步地,本發明實施例通過利用硬體安全模組(HSM)生成PIN資訊,其生成後直接封裝,並通過可信物理方式傳遞給用戶端使用者,除用戶端用戶外,其他人無從得知PIN資訊,防止內部威脅,特別是防止系統管理員用已知的密碼內容更換使用者的密碼,使他們能夠獲得用戶端的帳戶資訊,提供較好的保證,盡可能確保除了生成PIN的受信賴的HSM外,沒有人可以知道PIN資訊,包括網路伺服器等中間層伺服器在內,並可防止會話重放攻擊,以及防止利用GPUs技術來進行密碼暴力破解。
作為一種可實施方式,本發明實施例中,所述網路連接為有線連接或者無線連接。
所述無線連接包括但不限於CDMA2000通信網路連接、WCDMA通信網路連接、TD-CDMA通信網路連接或者TD-LTE通信網路連接。
作為一種可實施方式,所述預設的加解密演算法,包括但不限於對稱演算法或者非對稱演算法。
所述對稱演算法包括但不限於DES演算法,3DES演算法,TDEA演算法,Blowfish演算法,RC5演算法,IDEA演算法等。
在對稱加密演算法中,資料發信方將明文(原始資料)和加密金鑰一起經過加密演算法處理後,使其變成複雜的加密密文發送出去。收信方收到密文後,若想解讀原文,則需要使用加密用過的金鑰及相同演算法的逆演算法對密文進行解密,才能使其恢復成可讀明文。在對稱加密演算法中,使用的金鑰只有一個,發收信雙方都使用這個金鑰對資料進行加密和解密,這就要求解密方事先必須知道加密金鑰。
所述非對稱演算法包括但不限於RSA演算法、Elgamal演算法、背包演算法、Rabin演算法、D-H演算法、ECC演算法(橢圓曲線加密演算法)。
非對稱加密演算法需要兩個金鑰:公開金鑰(publickey)和私密金鑰(privatekey)。公開金鑰與私密金鑰是一對,如果用公開金鑰對資料進行加密,只有用對應的私有金鑰才能解密;如果用私有金鑰對資料進行加密,那麼只有用對應的公開金鑰才能解密。因為加密和解密使用的是兩個不同的金鑰,所以這種演算法叫作非對稱加密演算法。
非對稱加密演算法實現機密資訊交換的基本過程是:甲方生成一對金鑰並將其中的一把作為公開金鑰向其它方公開;得到該公開金鑰的乙方使用該金鑰對機密資訊進行加密後再發送給甲方;甲方再用自己保存的另一把私金鑰對加密後的資訊進行解密。另一方面,甲方可以使用乙方的公開金鑰對機密資訊進行加密後再發送給乙方;乙方再用自己的私匙對加密後的資訊進行解密。甲方只能用其公鑰解密由其公開金鑰加密後的任何資訊。 非對稱加密演算法的保密性比較好,它消除了最終用戶交換金鑰的需要。
本發明實施例中,作為一種可實施方式,將PIN資訊通過可信物理方式遞交給用戶端使用者,包括但不限於通過人手遞交的方式,或者郵寄的方式,或者當面獲取的方式,遞交給用戶端使用者。所述通過可信方式發送給後端伺服器,包括但不限於通過專線網路一對一發送給後端伺服器。
作為一種可實施方式,所述使用者身份認證的資料塊包括但不限於令牌種子、使用者密碼、資料塊和/或使用者個性化資料,所述使用者個性化資料包括但不限於使用者手寫簽名圖像資料、用戶輸入的聲音、用戶的二維碼和/或用戶選擇輸入的其他非數位資料(如阿拉伯字母等)。
下面詳細說明由HSM生成PIN資訊的過程: 步驟A1,將PIN打包為R+S+P結構。
其中:R是HSM每次加密都會產生的一個固定長度的亂數;S是在訪問的時候用到的一個訪問元素;P是通過具體配置而指定的PIN碼本身或者散列中的PIN碼。所述散列演算法為SHA256,或者SM3。
步驟B1,使用對稱的KEY的加密方法把R+S+P結構的PIN進行加密。
這種加密方法使用256位元 AES key演算法的,或者使用SM1或者SM4演算法。
步驟C1,把加密後的PIN保存到資料庫中。
如圖2所示,下面詳細說明用PIN對傳輸的資料塊進行加解密的過程: 步驟A2,HSM產生“HSM傳輸金鑰”和“金鑰加密金鑰”。
其中:“HSM傳輸金鑰”用於解密DPX格式檔中的敏感性資料;“金鑰加密金鑰”用於加密“HSM傳輸金鑰”。
步驟B2,HSM通過“金鑰加密金鑰”加密包裝“HSM傳輸金鑰”,形成一個“加密的HSM傳輸金鑰”並將其導入到目標HSM中。
步驟C2,HSM把“金鑰加密金鑰”分配給不同的技術人員。
步驟D2,將不同技術人員的“金鑰加密金鑰”都導入到目標HSM中。
步驟E2,使用“金鑰加密金鑰”解密“加密HSM傳輸金鑰”得到“HSM傳輸金鑰”並導入到目標的HSM中。
下面詳細說明如何利用網路伺服器的SSL加解密並傳輸資料塊的過程。
安全通訊端(SSL)協定,使用握手協定協商加密和MAC演算法以及保密金鑰,使用握手協定對交換的資料進行加密和簽名,使用警報協議定義資料傳輸過程中,及出現問題如何去解決。其是Web流覽器與Web伺服器之間安全交換資訊的協定,提供兩個基本的安全服務:鑒別與保密。
SSL協議具有三個特性: ① 保密:在握手協議中定義了工作階段金鑰後,所有的消息都被加密。 ② 鑒別:可選的用戶端認證,和強制的伺服器端認證。 ③ 完整性:傳送的消息包括消息完整性檢查(使用MAC)。
如圖3所示,SSL介於應用層和TCP層之間。應用層資料不再直接傳遞給傳輸層,而是傳遞給SSL層,SSL層對從應用層收到的資料進行加密,並增加自己的SSL頭。 1、握手協議
握手協定是客戶機和伺服器用SSL連接通信時使用的第一個子協定,握手協定包括客戶機與伺服器之間的一系列消息。SSL中最複雜的協定就是握手協定。該協議允許伺服器和客戶機相互驗證,協商加密和MAC演算法以及保密金鑰,用來保護在SSL記錄中發送的資料。握手協定是在應用程式的資料傳輸之前使用的。
如圖4所示,每個握手協定包含以下3個欄位: (1)類型:表示10種消息類型之一; (2)長度:表示消息長度位元組數; (3)參數:與消息相關的參數。
如圖5所示,SSL握手的第一階段啟動邏輯連接,建立這個連接的安全能力。首先客戶機向伺服器發出“用戶端,你好”消息並等待伺服器回應,隨後伺服器向客戶機返回”伺服端,你好”消息,對“用戶端,你好”消息中的資訊進行確認。
“用戶端,你好”消息包括版本,伺服器亂數,會話ID,密碼套件,壓縮方法等資訊。
“用戶端,你好”客戶發送“用戶端,你好”資訊,包含如下內容: (1)用戶端可以支援的SSL最高版本號; (2)一個用於生成主秘密的32位元組的亂數; (3)一個確定會話的會話ID; (4)一個用戶端可以支援的密碼套件清單; 密碼套件格式為:每個套件都以“SSL”開頭,緊跟著的是金鑰交換演算法。用“With”這個詞把金鑰交換演算法、加密演算法、散列演算法分開. (5)一個用戶端可以支援的壓縮演算法清單。
“伺服端,你好”伺服器用“伺服端,你好”資訊應答客戶,包括下列內容: 1)一個SSL版本號; 取用戶端支援的最高版本號和伺服端支援的最高版本號中的較低者。 2)一個用於生成主秘密的32位元組的亂數; 用戶端一個、伺服端一個。 3)會話ID; 4)從用戶端的密碼套件清單中選擇的一個密碼套件; 5)從用戶端的壓縮方法的列表中選擇的壓縮方法。
這個階段之後,用戶端伺服端知道了下列內容: (1)SSL版本; (2)金鑰交換、資訊驗證和加密演算法; (3)壓縮方法; (4)有關金鑰生成的兩個亂數。
如圖6所示,伺服器啟動SSL握手第2階段,是本階段所有消息的唯一發送方,客戶機是所有消息的唯一接收方。該階段分為4步: (a)證書:伺服器將數位憑證和到根CA整個鏈發給用戶端,使用戶端能用伺服器憑證中的伺服器公開金鑰認證伺服器。 (b)伺服器金鑰交換(可選):這裡視金鑰交換演算法而定。 (c)證書請求:伺服端可能會要求客戶自身進行驗證。 (d)伺服器握手完成:第二階段的結束,第三階段開始的信號。 伺服端的驗證和金鑰交換。這個階段的前面的(a)證書 和(b)伺服器金鑰交換是基於金鑰交換方法的。
在階段1過程用戶端與伺服端協商的過程中已經確定使哪種金鑰交換演算法。
如果協商過程中確定使用RSA交換金鑰,那麼過程如圖7所示: 這個方法中,伺服器在它的第一個資訊中,發送了RSA加密/解密公開金鑰證書。不過,因為預備主秘密是由用戶端在下一個階段生成並發送的,所以第二個資訊是空的。注意,公開金鑰證書會進行從伺服器到用戶端的驗證。當伺服器收到預備主秘密時,它使用私密金鑰進行解密。伺服端擁有私密金鑰是一個證據,可以證明伺服器是一個它在第一個資訊發送的公開金鑰證書中要求的實體。
如圖8所示,客戶機啟動SSL握手第3階段,是本階段所有消息的唯一發送方,伺服器是所有消息的唯一接收方。該階段分為3步: (a)證書(可選):為了對伺服器證明自身,客戶要發送一個證書資訊,這是可選的,在IIS中可以配置強制用戶端證書認證。 (b)客戶機金鑰交換:這裡用戶端將預備主金鑰發送給伺服端,注意這裡會使用伺服端的公開金鑰進行加密。 (c)證書驗證(可選),對預備秘密和亂數進行簽名,證明擁有(a)證書的公開金鑰。
下面也重點介紹一下RSA方式的用戶端驗證和金鑰交換。
如圖9所示,除非伺服器在階段II明確請求,否則沒有證書資訊。用戶端金鑰交換方法包括階段II收到的由RSA公開金鑰加密的預備主金鑰。
階段III之後,客戶要有伺服器進行驗證,客戶和伺服器都知道預備主金鑰。
如圖10所示,客戶機啟動SSL握手第4階段,使伺服器結束。該階段分為4步,前2個消息來自客戶機,後2個消息來自伺服器。
握手協議完成,如圖11、12、13所示,下面描述什麼是預備主金鑰,主金鑰是怎麼生成的。為了保證資訊的完整性和機密性,SSL需要有六個加密秘密:四個金鑰(客戶驗證金鑰(Auth.Key),伺服器驗證金鑰,客戶加密金鑰(Enc.Key),和伺服器加密金鑰)和兩個IV(初始向量)。為了資訊的可信性,用戶端需要一個金鑰(HMAC),為了加密要有一個金鑰,為了分組加密要一個IV,服務也是如此。SSL需要的金鑰是單向的,不同於那些在其他方向的金鑰。如果在一個方向上有攻擊,這種攻擊在其他方向是沒影響的。
其中,圖中PM為預備主秘密;SR為伺服器亂數;CR為客戶亂數;M為主秘密。 2、記錄協定
記錄協定在客戶機和伺服器握手成功後使用,即客戶機和伺服器鑒別對方和確定安全資訊交換使用的演算法後,進入SSL記錄協定,記錄協定向SSL連接提供兩個服務: (1)保密性:使用握手協議定義的秘密金鑰實現。 (2)完整性:握手協定定義了MAC,用於保證消息完整性。
如圖14所示,記錄協定的過程。 3、警報協議
客戶機和伺服器發現錯誤時,向對方發送一個警報消息。如果是致命錯誤,則演算法立即關閉SSL連接,雙方還會先刪除相關的會話號,秘密和金鑰。每個警報消息共2個位元組,第1個位元組表示錯誤類型,如果是警報,則值為1,如果是致命錯誤,則值為2;第2個位元組制定實際錯誤類型。
基於同一發明構思,本發明還提供一種統一身份認證方法,如圖15所示,包括如下步驟: 步驟S100,用戶端通過網路伺服器向後端伺服器發出註冊請求; 步驟S200,網路伺服器與用戶端或者後端伺服器之間利用SSL加解密並傳輸資料塊; 步驟S300,後端伺服器接收用戶端發來的註冊請求,對用戶端用戶進行註冊,並將用戶端使用者的資訊發送給金鑰中心,請求金鑰中心根據用戶端使用者的資訊生成PIN資訊; 步驟S400,金鑰中心根據用戶端通過網路伺服器和後端伺服器發來的註冊請求,由硬體安全模組(HSM)生成的PIN資訊,並將PIN資訊通過可信物理方式遞交給用戶端使用者,以及通過可信方式發送給後端伺服器; 步驟S500,用戶端利用PIN資訊,通過與後端伺服器約定的預設加解密演算法,對用戶端和後端伺服器之間傳輸的資料塊進行加解密; 步驟S600,網路伺服器與用戶端或者後端伺服器之間利用SSL加解密並傳輸資料塊; 步驟S700,後端伺服器利用PIN資訊,通過與用戶端約定的預設加解密演算法,對用戶端和後端伺服器之間傳輸的資料塊進行加解密。
本發明實施例的統一身份認證方法,以與前述的統一身份認證平臺相同的過程處理身份認證,因此,在本發明實施例中,不再對統一身份認證方法進行重複描述。
本發明提供的統一身份認證平臺及認證方法,通過對用戶身份認證的資料塊(包括但不限於令牌種子、使用者密碼或資料塊)的傳輸和儲存整個過程進行多重認證保護,克服了SSL的缺陷,提供額外的安全功能,盡可能保障網路資訊傳輸的安全性,防止第三方通過共用寬頻無線連結對資訊進行篡改和盜取。
以上所述實施例僅表達了本發明的幾種實施方式,其描述較為具體和詳細,但並不能因此而理解為對本發明專利範圍的限制。應當指出的是,對於本領域的普通技術人員來說,在不脫離本發明構思的前提下,還可以做出若干變形和改進,這些都屬於本發明的保護範圍。因此,本發明專利的保護範圍應以所附權利要求為准。
CR‧‧‧客戶亂數
HSM‧‧‧硬體安全模組
M‧‧‧主秘密
P‧‧‧PIN碼
PM‧‧‧預備主秘密
R‧‧‧亂數
S‧‧‧訪問元素
SR‧‧‧伺服器亂數
SSL‧‧‧安全套接層
HSM‧‧‧硬體安全模組
M‧‧‧主秘密
P‧‧‧PIN碼
PM‧‧‧預備主秘密
R‧‧‧亂數
S‧‧‧訪問元素
SR‧‧‧伺服器亂數
SSL‧‧‧安全套接層
以下結合具體附圖及具體實施例,對本發明的統一身份認證平臺及認證方法進行進一步詳細說明。 圖1為本發明的統一身份認證平臺的一具體實施例的結構示意圖; 圖2為本發明的統一身份認證平臺的一具體實施例的HSM對傳輸的金鑰加解密過程示意圖; 圖3為SSL位置示意圖; 圖4為握手協定構成示意圖; 圖5為SSL握手第一階段示意圖; 圖6為SSL握手第二階段示意圖; 圖7為使用RSA的伺服端的驗證和金鑰交換過程示意圖; 圖8為SSL握手第三階段示意圖; 圖9為使用RSA的用戶端的驗證和金鑰交換過程示意圖; 圖10為SSL握手第四階段示意圖; 圖11為從預備主秘密計算主秘密的過程示意圖; 圖12為從主秘密計算金鑰材料過程示意圖; 圖13為從金鑰材料提取加密秘密的過程示意圖; 圖14為SSL記錄協定過程示意圖; 圖15為本發明的統一身份認證方法的一具體實施例的流程圖。
Claims (9)
- 一種統一身份認證平臺,所述統一身份認證平臺包括金鑰中心、用戶端、網路伺服器、及後端伺服器,其中: 所述金鑰中心,用於根據用戶端通過網路伺服器和後端伺服器發來的註冊請求,由硬體安全模組生成的PIN資訊,並將PIN資訊通過可信物理方式遞交給用戶端使用者,以及通過可信方式發送給後端伺服器; 所述用戶端,用於接收用戶端使用者輸入的PIN資訊;利用PIN資訊,通過與後端伺服器約定的預設加解密演算法,對用戶端和後端伺服器之間傳輸的資料塊進行加解密; 所述網路伺服器,用於在用戶端和後端伺服器之間建立網路連接,並與用戶端或者後端伺服器之間利用SSL加解密並傳輸資料塊; 所述後端伺服器,用於將用戶端使用者的資訊發送給金鑰中心,請求金鑰中心根據用戶端使用者的資訊生成PIN資訊;並接收金鑰中心發回的進行加解密的PIN資訊;利用PIN資訊,通過與用戶端約定的預設加解密演算法,對用戶端和後端伺服器之間傳輸的資料塊進行加解密。
- 如請求項1所述的統一身份認證平臺,其中: 所述用戶端,還用於通過網路伺服器向後端伺服器發出註冊請求; 所述後端伺服器,還用於接收用戶端發來的註冊請求,對用戶端用戶進行註冊。
- 如請求項1或2所述的統一身份認證平臺,其中: 所述網路連接為有線連接或者無線連接。
- 如請求項3所述的統一身份認證平臺,其中,所述無線連接包括但不限於CDMA2000通信網路連接、WCDMA通信網路連接、TD-CDMA通信網路連接或者TD-LTE通信網路連接。
- 如請求項1或2所述的統一身份認證平臺,其中,所述加解密演算法,為對稱演算法或者非對稱演算法; 所述對稱演算法為DES演算法,3DES演算法,TDEA演算法,Blowfish演算法,RC5演算法或者IDEA演算法; 所述非對稱演算法為RSA演算法、Elgamal演算法、背包演算法、Rabin演算法、D-H演算法或者ECC演算法。
- 如請求項1或2所述的統一身份認證平臺,其中,所述使用者身份認證的資料塊為令牌種子、使用者密碼、資料塊和/或使用者個性化資料。
- 如請求項6所述的統一身份認證平臺,其中,所述使用者個性化資料為使用者手寫簽名圖像資料、用戶輸入的聲音、用戶的二維碼和/或用戶選擇輸入的其他非數位資料。
- 一種統一身份認證方法,其中,包括如下步驟: 步驟A,金鑰中心根據用戶端通過網路伺服器和後端伺服器發來的註冊請求,由硬體安全模組生成的PIN資訊,並將PIN資訊通過可信物理方式遞交給用戶端使用者,以及通過可信方式發送給後端伺服器; 步驟B,用戶端利用PIN資訊,通過與後端伺服器約定的預設加解密演算法,對用戶端和後端伺服器之間傳輸的資料塊進行加解密; 步驟C,網路伺服器與用戶端或者後端伺服器之間利用SSL加解密並傳輸資料塊; 步驟D,後端伺服器利用PIN資訊,通過與用戶端約定的預設加解密演算法,對用戶端和後端伺服器之間傳輸的資料塊進行加解密。
- 如請求項8所述的統一身份認證方法,其中,所述步驟A之前還包括如下步驟: 步驟A1,所述用戶端通過網路伺服器向後端伺服器發出註冊請求; 步驟A2,網路伺服器與用戶端或者後端伺服器之間利用SSL加解密並傳輸資料塊; 步驟A3,後端伺服器接收用戶端發來的註冊請求,對用戶端用戶進行註冊,並將用戶端使用者的資訊發送給金鑰中心,請求金鑰中心根據用戶端使用者的資訊生成PIN資訊。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410102952.4A CN104935553B (zh) | 2014-03-19 | 2014-03-19 | 统一身份认证平台及认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201537937A true TW201537937A (zh) | 2015-10-01 |
| TWI571093B TWI571093B (zh) | 2017-02-11 |
Family
ID=54122526
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW103122182A TW201537937A (zh) | 2014-03-19 | 2014-06-26 | 統一身份認證平臺及認證方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN104935553B (zh) |
| TW (1) | TW201537937A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI644227B (zh) * | 2017-05-19 | 2018-12-11 | 台新國際商業銀行股份有限公司 | 配合一行動裝置實現的交互驗證系統及方法 |
| TWI686720B (zh) * | 2018-06-27 | 2020-03-01 | 南臺學校財團法人南臺科技大學 | 基於多重認證鎖定之智慧型通訊裝置 |
| TWI730549B (zh) * | 2019-12-18 | 2021-06-11 | 臺灣網路認證股份有限公司 | 於憑證申請過程中確認金鑰對產生演算法之系統及方法 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105939196B (zh) * | 2016-03-15 | 2019-02-12 | 天地融科技股份有限公司 | 身份认证方法和系统 |
| CN107294937B (zh) * | 2016-04-11 | 2020-11-24 | 平安科技(深圳)有限公司 | 基于网络通信的数据传输方法、客户端及服务器 |
| CN105871858A (zh) * | 2016-04-15 | 2016-08-17 | 浪潮集团有限公司 | 一种保证数据安全的方法及系统 |
| CN108206996A (zh) * | 2017-12-08 | 2018-06-26 | 中兴通讯股份有限公司 | 身份验证方法及装置 |
| CN113872989B (zh) * | 2021-10-19 | 2023-12-05 | 南方电网数字平台科技(广东)有限公司 | 基于ssl协议的认证方法、装置、计算机设备和存储介质 |
| CN117134904A (zh) * | 2023-09-01 | 2023-11-28 | 嘉兴嘉赛信息技术有限公司 | 一种基于身份识别与动态加解密通信的方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1195973A1 (en) * | 2000-10-05 | 2002-04-10 | Digital Rum Ltd. | Method for registering a user into new services by sending a permanent PIN via SMS or e-mail |
| US7225161B2 (en) * | 2001-12-21 | 2007-05-29 | Schlumberger Omnes, Inc. | Method and system for initializing a key management system |
| CN1808482B (zh) * | 2006-02-09 | 2010-12-01 | 北京方正阿帕比技术有限公司 | 可视化的电子签名及验证方法 |
| US7600044B2 (en) * | 2006-06-13 | 2009-10-06 | Inter-Tel, Inc. | System and method for networked endpoint registration |
| CN100574325C (zh) * | 2006-12-26 | 2009-12-23 | 北京大学 | 一种Web通信加密方法 |
| CN101951320A (zh) * | 2010-09-29 | 2011-01-19 | 北京天地融科技有限公司 | 一种动态密码的实现方法、装置和系统 |
| EP2792103A4 (en) * | 2011-12-16 | 2015-10-28 | Intel Corp | SECURE USER CONFIRMATION AND AUTHENTICATION TO A REMOTE SERVER |
-
2014
- 2014-03-19 CN CN201410102952.4A patent/CN104935553B/zh active Active
- 2014-06-26 TW TW103122182A patent/TW201537937A/zh unknown
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI644227B (zh) * | 2017-05-19 | 2018-12-11 | 台新國際商業銀行股份有限公司 | 配合一行動裝置實現的交互驗證系統及方法 |
| TWI686720B (zh) * | 2018-06-27 | 2020-03-01 | 南臺學校財團法人南臺科技大學 | 基於多重認證鎖定之智慧型通訊裝置 |
| TWI730549B (zh) * | 2019-12-18 | 2021-06-11 | 臺灣網路認證股份有限公司 | 於憑證申請過程中確認金鑰對產生演算法之系統及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| TWI571093B (zh) | 2017-02-11 |
| CN104935553A (zh) | 2015-09-23 |
| CN104935553B (zh) | 2018-09-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI748853B (zh) | 用於基於區塊鏈的系統結合錢包管理系統中的安全多方防遺失儲存及加密金鑰轉移 | |
| CN103338215B (zh) | 基于国密算法建立tls通道的方法 | |
| TW201537937A (zh) | 統一身份認證平臺及認證方法 | |
| CN108650227A (zh) | 基于数据报安全传输协议的握手方法及系统 | |
| CN111756529B (zh) | 一种量子会话密钥分发方法及系统 | |
| WO2009076811A1 (zh) | 密钥协商方法、用于密钥协商的系统、客户端及服务器 | |
| US20190394029A1 (en) | Authenticating Secure Channel Establishment Messages Based on Shared-Secret | |
| US20230188325A1 (en) | Computer-implemented system and method for highly secure, high speed encryption and transmission of data | |
| CN112637136A (zh) | 加密通信方法及系统 | |
| US11722466B2 (en) | Methods for communicating data utilizing sessionless dynamic encryption | |
| US11528127B2 (en) | Computer-implemented system and method for highly secure, high speed encryption and transmission of data | |
| KR20090098542A (ko) | 프록시를 이용한 암호화 데이터 통신시스템 및 암호화데이터 통신방법 | |
| JP2022540653A (ja) | データ保護及び回復システム及び方法 | |
| US10630466B1 (en) | Apparatus and method for exchanging cryptographic information with reduced overhead and latency | |
| CN116886288A (zh) | 一种量子会话密钥分发方法及装置 | |
| CN109104278A (zh) | 一种加密解密方法 | |
| US11088835B1 (en) | Cryptographic module to generate cryptographic keys from cryptographic key parts | |
| KR102128244B1 (ko) | Ssl/tls 기반의 네트워크 보안 장치 및 방법 | |
| CN107276996A (zh) | 一种日志文件的传输方法及系统 | |
| US20240113885A1 (en) | Hub-based token generation and endpoint selection for secure channel establishment | |
| CN113904767A (zh) | 一种基于ssl建立通信的系统 | |
| US10218682B1 (en) | Secure network protocol cryptographic processing | |
| CN112822015B (zh) | 信息传输方法及相关装置 | |
| CN114707158A (zh) | 基于tee的网络通信认证方法以及网络通信认证系统 | |
| TWI804179B (zh) | 量子安全金鑰交換方案 |