CN101924635B - 一种用户身份认证的方法及装置 - Google Patents
一种用户身份认证的方法及装置 Download PDFInfo
- Publication number
- CN101924635B CN101924635B CN 201010245361 CN201010245361A CN101924635B CN 101924635 B CN101924635 B CN 101924635B CN 201010245361 CN201010245361 CN 201010245361 CN 201010245361 A CN201010245361 A CN 201010245361A CN 101924635 B CN101924635 B CN 101924635B
- Authority
- CN
- China
- Prior art keywords
- server
- authentication
- signed data
- digital signature
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 39
- 238000004891 communication Methods 0.000 claims description 14
- 238000012545 processing Methods 0.000 claims description 11
- 238000005516 engineering process Methods 0.000 abstract description 8
- 230000005540 biological transmission Effects 0.000 description 3
- 230000002452 interceptive effect Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及加解密技术,公开了一种用户身份认证的方法,用于提高数字签名流程的安全性,该方法为:对整个数字签名过程进行了重新设计,取消了原有的在客户端对用户身份进行认证的不可靠环节,将身份认证的过程,安全后移至服务器侧来完成,由于服务器侧可以有效地对网络环境进行监测,及时察觉受到的网络攻击,因此,可以迅速采用有效的应对措施对网络攻击进行抵挡,避免网络攻击的扩大化,从而提高了电子服务***的安全性,保证了电子服务***的服务质量。本发明同时公开了用于用户身份认证的客户端和服务器。
Description
技术领域
本发明涉及加解密技术,特别涉及一种用户身份认证的方法及装置。
背景技术
目前,数字签名技术已经在各种电子服务(如、电子商务、电子政务、网上办公等)***中使用。数字签名技术是将摘要信息用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送的公钥才能解密被加密的摘要信息,然后用HASH函数对收到的原文产生一个摘要信息,与解密的摘要信息对比。如果相同,则说明收到的信息是完整的,在传输过程中没有被修改,否则说明信息被修改过,因此数字签名能够验证信息的完整性。
但是,随着网络技术的发展,数字签名技术的安全性越来越受到各种黑客程序的威胁。现有电子服务***中,客户端采用USBKEY对用户身份进行认证,如,在USBKEY中对用户输入的PIN码进行验证,验证通过后,再对服务数据采用私钥进行数字签名并发往服务器,服务器认证的是客户端的私钥签名,可见,USBKEY只认PIN码持有人,而服务器只认私钥签名。那么,若USBKEY遭受网络攻击,PIN码在验证过程中被破解,则USBKEY仍然会认为PIN码使用者是合法用户,从而将服务数据进行数字签名后发往服务器,而服务器由于只认私钥签名,因此,并不知道USBKEY遭到网络攻击,仍然按照正常流程对服务数据进行处理,显然,这样会给电子服务***带来诸多安全隐患,
发明内容
本发明提供一种用户身份认证的方法及装置,用以提高电子服务***的安全性。
本发明实施例提供的具体技术方案如下:
一种用户身份认证方法,包括:
客户端获取用户使用电子服务时产生的服务数据,并接收用户输入的身份验证码,所述客户端接收用户输入的身份验证码的过程中,对所述身份验证码进行混淆;
客户端将服务数据与所述身份验证码一同作为待签名数据,进行数字签名处理;
所述客户端将经数字签名处理得到的签名数据发往服务器,指示所述服务器基于获得的签名数据中包含的身份验证码对用户进行身份认证。
一种用户身份认证方法,包括:
服务器接收客户端采用上述方法发送的签名数据;
服务器对接收的签名数据进行数字签名验证;
服务器确定所述签名数据通过数字签名验证时,先对所述签名数据包含的身份验证码进行解混淆,再进一步基于解混淆后的的身份验证码对用户进行身份认证。
一种用于用户身份认证的客户端,包括:
获取单元,用于获取用户使用电子服务时产生的服务数据,并接收用户输入的身份验证码,所述客户端接收用户输入的身份验证码的过程中,对所述身份验证码进行混淆;
数字签名单元,用于将服务数据与所述身份验证码一同作为待签名数据,进行数字签名处理;
通信单元,用于将经数字签名处理得到的签名数据发往服务器,指示所述服务器基于获得的签名数据中包含的身份验证码对用户进行身份认证。
一种用于用户身份认证的服务器,包括:
通信单元,用于接收上述客户端发送的签名数据;
数字签名验证单元,用于对接收的签名数据进行数字签名验证;
身份认证单元,用于确定所述签名数据通过数字签名验证时,先对所述签名数据包含的身份验证码进行解混淆,再进一步基于解混淆后的身份验证码对用户进行身份认证。
本发明实施例中,对整个数字签名过程进行了重新设计,取消了原有的在客户端对用户身份进行认证的不可靠环节,将身份认证的过程,安全后移至服务器侧来完成,由于服务器侧可以有效地对网络环境进行监测,及时察觉受到的网络攻击,因此,可以迅速采用有效的应对措施对网络攻击进行抵挡,避免网络攻击的扩大化,从而提高了电子服务***的安全性,保证了电子服务***的服务质量。
附图说明
图1为本发明实施例中网络环境示意图;
图2为本发明实施例中客户端功能结构示意图;
图3为本发明实施例中服务器功能结构示意图;
图4为本发明实施例中客户端指示服务器对用户进行身份验证流程图;
图5为本发明实施例中服务器根据客户端指示对用户进行身份验证流程图。
具体实施方式
本发明提供一种用户身份认证的方法及装置,用以提高电子服务***的安全性。
下面结合附图对本发明优选的实施方式进行详细说明。
参阅图1所示,本发明实施例中,电子商务网络内包括若干客户端和服务器,其中,
参阅图2所示,本发明实施例中,客户端包括获取单元10、数字签名单元11和通信单元12,其中,
获取单元10,用于获取用户使用电子服务时产生的服务数据,并接收用户输入的身份验证码;
数字签名单元11,用于将服务数据与所述身份验证码一同作为待签名数据,进行数字签名处理;
通信单元12,用于将经数字签名处理得到的签名数据发往服务器,指示所述服务器基于获得的签名数据中包含的身份验证码对用户进行身份认证。
在上述客户端中,通信单元12将经数字签名处理得到的签名数据发往服务器之前,采用与服务端约定的公钥对所述签名数据进行加密,指示所述服务器采用其本地的私钥进行解密。
获取单元10接收用户输入的身份验证码的过程中,对所述身份验证码进行加密或者混淆。
参阅图3所示,本发明实施例中,服务器包括通信单元20、数字签名验证单元21和身份认证单元22,其中,
通信单元20,用于接收上述客户端发送的签名数据;
数字签名验证单元21,用于对接收的签名数据进行数字签名验证;
身份认证单元22,用于确定所述签名数据通过数字签名验证时,基于签名数据包含的身份验证码对用户进行身份认证。
在上述服务器中,若通信单元20接收的签名数据经客户端采用与本服务器约定的公钥进行加密,则数字签名验证单元21在对签名数据进行数字签名验证之前,采用本地私钥对接收的加密后的签名数据进行解密。
身份认证单元22基于接收的签名数据包含的身份验证码对用户进行身份认证时,若身份验证码经客户端进行加密或混淆,则先对该身份验证码进行解密或解混淆。
如图3所示,上述服务器中进一不包括处理单元23,用于通过通信单元20将身份认证结果返回至客户端,并基于身份认证结果对签名数据中包含的服务数据进行相应后续处理。
基于上述***架构,参阅图4所示,本发明实施例中,在电子商务网络内,客户端指示服务器对用户身份进行验证的详细流程如下:
步骤400:客户端获取用户使用电子服务时产生的服务数据,并接收用户输入的身份验证码。
本实施例中,上述服务数据可以是多种形式的数据,包含但不限于:用户使用电子商务时产生的交易数据,用户使用电子政务时产生的业务数据,以及用户在网上办公过程中产生的与用户身份相关的资料数据等等。
若服务数据是用户使用电子商务时产生的交易数据,则用户输入的身份验证码可以是用户使用的交易密码(如,PIN码);若服务数据是用户使用电子政务时产生的业务数据,则用户输入的身份验证码可以是用户使用的业务密码;而若服务数据是用户在网上办公过程中产生的与用户身份相关的资料数据,则用户输入的身份验证码可以是用户更新资料时使用的验证密码(如,登录密码),在此不再赘述。
另一方面,客户端在接收用户输入的身份验证码的过程中,可以对用户输入的身份验证码进行加密或混淆。本实施例中,对身份验证码进行加密可以采用对称加密算法或者非对称加密算法。而对身份验证码进行混淆则是在用户输入身份验证码的过程中,大量制造假的干扰噪音,再随机地把用户输入的身份验证码***到干扰噪音中,这样,就无法分辨哪些是用户输入的内容,哪些是干扰噪音。本实施例中,对身份验证码进行加密或者混淆,是为了保证身份验证码的安全,防止其被窃取或监听,例如,防止身份验证码从签名控件/操作***的消息中被获窃取,或者从键盘被监听;是一种较优的选择,若网络环境的安全性较高,则为了节省操作流程,也可以不对身份验证码进行加密或混淆。
步骤410:客户端将用户的身份验证码与服务数据一起作为待签名数据, 进行数字签名处理。
步骤420:客户端将经数字签名处理后获得的签名数据采用与服务器约定的公钥加密后发送给服务器,指示所述服务器基于获得的签名数据中包含的身份验证码对用户进行身份认证。
本实施例中,将签名数据采用与服务器约定的公钥加密后发送至服务器,是为了进一步保证数字签名不被滥用,公钥加密后所有加密后的签名数据只有服务器能解开。这是一种较优的选择,若网络环境的安全性较高,则为了节省操作流程,也可以不对签名数据进行公钥加密。
基于上述实施例中,参阅图5所示,服务器根据从客户端接收的经公钥加密的签名数据,对用户进行身份验证的详细流程如下:
步骤500:服务器接收客户端发送的经公钥加密的签名数据,并采用本地私钥对其进行解密,得到签名数据。
实际应用中,若在步骤420中,客户端未采用与服务器约定的公钥对签名数据进行加密,则也可以不执行步骤500的解密流程,而直接执行步骤510,在此不再赘述。
现有技术下客户端对签名数据采用私钥加密,服务器采用公钥解密,而本发明实施例中,客户端则是采用公钥加密,服务器则采用私钥解密,这样做可以解决客户端软件分发时由于私钥不一致而导致的各种问题。
步骤510:服务器对获得的签名数据的进行数字签名验证,以确定其数据完整性。
本实施例中,客户端对待签名数据进行数字签名处理时,采用指定函数(如HASH函数)基于待签名数据生成一个摘要信息,并将待签名数据与相应的摘要信息一同视为签名数据,经公钥加密后发往服务器,服务器只有采用私钥进行解密后才能获得签名数据(包括原待签名数据和相应的摘要信息),然后,服务器采用与客户端约定的指定函数(如HASH函数),基于解密后的签名数据中包含的原待签名数据生成一个摘要信息,并将生成的摘要信息与签名数据 中携带的摘要信息进行比对,若两者相同,则说明接收到的原待签名数据是完整的,在传输过程中没有被修改,若两者不同,则说明接收到的原待签名数据不是完整的,在传输过程中曾被修改,因此,进行数字签名验证能够证明信息的完整性。
步骤520:服务器确定签名数据通过数字签名验证后,将签名数据中包含的原待签名数据解析为服务数据和用户的身份验证码。
步骤530:服务器基于用户的身份验证码对用户进行身份认证。
本实施例中,若客户端在步骤400中曾对用户的身份验证码进行加密或混淆,则服务器在执行步骤530时,还需先对用户的身份验证码进行解密或解混淆;客户端采用的加密或混淆的方式,会与服务器预先约定,或者通过其他信令另行通知。
步骤540:服务器向客户端返回认证结果,并根据认证结果对服务数据进行相应后续处理。
本实施例中,若认证结果为通过认证,则服务器可以对服务数据进行解析并执行相应操作。例如,服务数据为交易数据时,服务器将交易数据提交至对应的应用服务器进行电子商务层面的处理;又例如,服务数据为业务数据时,服务器将业务数据提交至对应的应用服务器进行电子政务层面的处理;又例如,服务数据为用户的资料数据时,服务器根据该资料数据更新用户的相关信息。若认证结果为未通过认证,则服务器向客户端返回告警信息,提示用户未通过身份认证,并丢弃接收到的服务数据。
本发明实施例中,对整个数字签名过程进行了重新设计,取消了原有的在客户端对用户身份进行认证的不可靠环节,将身份认证的过程,安全后移至服务器侧来完成,由于服务器侧可以有效地对网络环境进行监测,及时察觉受到的网络攻击(如,非法签名、超过门限值的身份验证码尝试次数等等),因此,可以迅速采用有效的应对措施对网络攻击进行抵挡,避免网络攻击的扩大化,从而提高了电子服务***的安全性,保证了电子服务***的服务质量。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种用户身份认证方法,其特征在于,包括:
客户端获取用户使用电子服务时产生的服务数据,并接收用户输入的身份验证码,所述客户端接收用户输入的身份验证码的过程中,对所述身份验证码进行混淆;
客户端将服务数据与所述身份验证码一同作为待签名数据,进行数字签名处理;
所述客户端将经数字签名处理得到的签名数据发往服务器,指示所述服务器基于获得的签名数据中包含的身份验证码对用户进行身份认证。
2.如权利要求1所述的方法,其特征在于,所述客户端将经数字签名处理得到的签名数据发往服务器之前,采用与服务端约定的公钥对所述签名数据进行加密,指示所述服务器采用其本地的私钥进行解密。
3.一种用户身份认证方法,其特征在于,包括:
服务器接收客户端采用如权利要求1所述的方法发送的签名数据;
服务器对接收的签名数据进行数字签名验证;
服务器确定所述签名数据通过数字签名验证时,先对所述签名数据包含的身份验证码进行解混淆,再进一步基于解混淆后的身份验证码对用户进行身份认证。
4.如权利要求3所述的方法,其特征在于,包括:若服务器接收的签名数据经客户端采用与本服务器约定的公钥进行加密,则服务器在对签名数据进行数字签名验证之前,采用本地私钥对接收的加密后的签名数据进行解密。
5.如权利要求3所述的方法,其特征在于,所述服务器将身份认证结果返回至客户端,并基于所述身份认证结果对签名数据中包含的服务数据进行相应后续处理。
6.一种用于用户身份认证的客户端,其特征在于,包括:
获取单元,用于获取用户使用电子服务时产生的服务数据,并接收用户输入的身份验证码,所述获取单元接收用户输入的身份验证码的过程中,对所述身份验证码进行混淆;
数字签名单元,用于将服务数据与所述身份验证码一同作为待签名数据,进行数字签名处理;
通信单元,用于将经数字签名处理得到的签名数据发往服务器,指示所述服务器基于获得的签名数据中包含的身份验证码对用户进行身份认证。
7.如权利要求6所述的客户端,其特征在于,所述通信单元将经数字签名处理得到的签名数据发往服务器之前,采用与服务端约定的公钥对所述签名数据进行加密,指示所述服务器采用其本地的私钥进行解密。
8.一种用于用户身份认证的服务器,其特征在于,包括:
通信单元,用于接收如权利要求6所述的客户端发送的签名数据;
数字签名验证单元,用于对接收的签名数据进行数字签名验证;
身份认证单元,用于确定所述签名数据通过数字签名验证时,先对所述签名数据包含的身份验证码进行解混淆,再进一步基于解混淆后的身份验证码对用户进行身份认证。
9.如权利要求8所述的服务器,其特征在于,若通信单元接收的签名数据经客户端采用与本服务器约定的公钥进行加密,则所述数字签名验证单元在对签名数据进行数字签名验证之前,采用本地私钥对接收的加密后的签名数据进行解密。
10.如权利要求8所述的服务器,其特征在于,进一步包括:
处理单元,用于通过所述通信单元将身份认证结果返回至客户端,并基于所述身份认证结果对签名数据中包含的服务数据进行相应后续处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010245361 CN101924635B (zh) | 2010-08-04 | 2010-08-04 | 一种用户身份认证的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010245361 CN101924635B (zh) | 2010-08-04 | 2010-08-04 | 一种用户身份认证的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101924635A CN101924635A (zh) | 2010-12-22 |
| CN101924635B true CN101924635B (zh) | 2013-02-13 |
Family
ID=43339300
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010245361 Expired - Fee Related CN101924635B (zh) | 2010-08-04 | 2010-08-04 | 一种用户身份认证的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101924635B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103327489B (zh) * | 2013-06-28 | 2017-04-05 | 宇龙计算机通信科技(深圳)有限公司 | 认证的方法和*** |
| CN104601593B (zh) * | 2015-02-04 | 2017-12-01 | 公安部第三研究所 | 基于挑战方式实现网络电子身份认证过程中防追踪的方法 |
| CN105790952A (zh) * | 2016-02-29 | 2016-07-20 | 上海诺亚投资管理有限公司 | 一种用户信息的验证***和方法 |
| CN106412862B (zh) * | 2016-10-13 | 2020-01-31 | 上海众人网络安全技术有限公司 | 一种短信加固方法、装置及*** |
| CN109981666B (zh) * | 2019-04-01 | 2020-08-04 | 北京纬百科技有限公司 | 一种接入方法、接入***和接入服务器 |
| CN110086818B (zh) * | 2019-05-05 | 2020-05-19 | 绍兴文理学院 | 一种云文件安全存储***及访问控制方法 |
| CN113726799B (zh) * | 2021-09-01 | 2022-09-27 | 百度在线网络技术(北京)有限公司 | 针对应用层攻击的处理方法、装置、***和设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101296078A (zh) * | 2007-04-23 | 2008-10-29 | 北京深思洛克数据保护中心 | 网络通信中的信息交互确认装置 |
| CN101478547A (zh) * | 2009-02-09 | 2009-07-08 | 北京大明五洲科技有限公司 | 对智能密码钥匙进行可信数字签名的装置及其工作方法 |
| CN101562525A (zh) * | 2009-04-30 | 2009-10-21 | 北京飞天诚信科技有限公司 | 签名方法、设备及*** |
-
2010
- 2010-08-04 CN CN 201010245361 patent/CN101924635B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101296078A (zh) * | 2007-04-23 | 2008-10-29 | 北京深思洛克数据保护中心 | 网络通信中的信息交互确认装置 |
| CN101478547A (zh) * | 2009-02-09 | 2009-07-08 | 北京大明五洲科技有限公司 | 对智能密码钥匙进行可信数字签名的装置及其工作方法 |
| CN101562525A (zh) * | 2009-04-30 | 2009-10-21 | 北京飞天诚信科技有限公司 | 签名方法、设备及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101924635A (zh) | 2010-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6105721B2 (ja) | 企業トリガ式2chk関連付けの起動 | |
| CN101924635B (zh) | 一种用户身份认证的方法及装置 | |
| JP6012125B2 (ja) | 問い合わせ型トランザクションによる強化された2chk認証セキュリティ | |
| US8726369B1 (en) | Trusted path, authentication and data security | |
| CN102006303B (zh) | 用多加密方法提高数据传输安全的方法和终端 | |
| CN111615105B (zh) | 信息提供、获取方法、装置及终端 | |
| CN113596046B (zh) | 一种双向认证方法、装置、计算机设备和计算机可读存储介质 | |
| CN104735065B (zh) | 一种数据处理方法、电子设备及服务器 | |
| JP2010522488A (ja) | 復号鍵を配布するために鍵の取り出しを要求する安全な電子メッセージングシステム | |
| CN103067401A (zh) | 密钥保护方法和*** | |
| US20130311769A1 (en) | Public key encryption of access credentials and content data contained in a message | |
| US20090300749A1 (en) | Method and system for defeating the man in the middle computer hacking technique | |
| US9332011B2 (en) | Secure authentication system with automatic cancellation of fraudulent operations | |
| CN103078742A (zh) | 数字证书的生成方法和*** | |
| CN110149354A (zh) | 一种基于https协议的加密认证方法和装置 | |
| CN103701596A (zh) | 文件访问及响应文件访问请求的方法、***和设备 | |
| CN108401494B (zh) | 一种传输数据的方法及*** | |
| CN103078743A (zh) | 一种电子邮件ibe加密实现方法 | |
| US8452966B1 (en) | Methods and apparatus for verifying a purported user identity | |
| TW201328280A (zh) | 即時通訊身分認證系統與方法 | |
| US20180041335A1 (en) | Email verification | |
| EP2587743B1 (en) | Hypertext link verification in encrypted e-mail for mobile devices | |
| CN103780380A (zh) | 一种非对称的安全加密邮件实现方法 | |
| CN103685239A (zh) | 一种移动产品的实时加解密***及方法 | |
| KR102053993B1 (ko) | 인증서를 이용한 사용자 인증 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee | ||
| CP02 | Change in the address of a patent holder |
Address after: 402260 Chongqing Jiangjin District Small Simon Jinjiang impression District A216-6 room Patentee after: Wu Xiaojun Address before: 100044 No. 1, building 52, East Jiaotong University Road, Beijing, Haidian District 1001 Patentee before: Wu Xiaojun |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130213 |