CN103684798B - 一种用于分布式用户服务间认证方法 - Google Patents
一种用于分布式用户服务间认证方法 Download PDFInfo
- Publication number
- CN103684798B CN103684798B CN201310753321.4A CN201310753321A CN103684798B CN 103684798 B CN103684798 B CN 103684798B CN 201310753321 A CN201310753321 A CN 201310753321A CN 103684798 B CN103684798 B CN 103684798B
- Authority
- CN
- China
- Prior art keywords
- key
- authentication center
- authentication
- server
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种用于分布式用户服务间认证***。该***包括认证中心、客户机、服务器和定制的身份认证装置,认证中心包括相互连接的加密存储介质和加密芯片;所述认证中心、客户机和服务器两两相连,客户机和服务器均通过usb接口与定制的身份认证装置相连;认证中心的加密芯片处理加密解密请求并生成密钥、加密存储介质存储所有定制的身份认证装置的密钥信息;身份认证装置进行加密解密,并存储身份认证器密钥和通行时使用的密钥;进行加密数据通信时,每次通信的双方都使用密钥加密,服务器与认证中心、客户机与认证中心分别使用各自对应的密钥,客户机与服务器则使用认证中心新生成的会话密钥。本发明降低了数据泄露的隐患,具有安全可靠的优点。
Description
技术领域
本发明涉及信息安全技术领域,特别是一种用于分布式用户服务间认证***。
背景技术
随着互联网技术的不断发展,各个平台的终端开始具有更强性能、更丰富接口的操作***,计算资源开始丰富,在此基础上对平台的安全要求开始逐渐提高。信息安全主要包括***安全和数据安全两个方面。***安全一般采用防火墙、防病毒及其他安全防范技术等措施,是属于被动型的安全措施。数据安全则主要采用现代密码技术对数据进行主动的安全保护,如数据保密、数据完整性、身份认证等技术。
数字签名技术是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明、是密码学中非对称加密和数字摘要技术的结合应用。在数字签名的传输过程中还需要一个可信的管理设备来统一发放、管理、废除数字证书的机构——证书管理机构(CA)。CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书,它负责产生、分配并管理所有参与网上交易的个体所需的数字证书,因此是安全电子交易的核心环节。目前数据、密钥信息以明文或者简单加密的形式在网络上传输,所带来的数据泄露的隐患较大,信息安全度低。
发明内容
本发明的目的在于提供一种安全可靠的用于分布式用户服务间认证***,具有认证用户合法性、数据加密传输和信息签名的功能。
实现本发明目的的技术解决方案为:一种用于分布式用户服务间认证***,包括认证中心、客户机、服务器和定制的身份认证装置,所述认证中心包括相互连接的加密存储介质和加密芯片;所述认证中心、客户机和服务器两两相连,客户机和服务器均通过usb接口与定制的身份认证装置相连;所述认证中心的加密芯片处理加密解密请求并生成密钥、加密存储介质存储所有定制的身份认证装置的密钥信息;所述身份认证装置进行加密解密,并存储身份认证器密钥和通行时使用的密钥;进行加密数据通信时,每次通信的双方都使用密钥加密,服务器与认证中心、客户机与认证中心分别使用各自对应 的密钥,客户机与服务器则使用认证中心新生成的会话密钥。
一种用于分布式用户服务间认证方法,包括以下步骤:
步骤1、客户机读取定制的身份认证装置中的身份信息,使用定制的身份认证装置的加密芯片和用户密钥对用户信息、服务信息和时间戳进行加密,并发送到认证中心;
步骤2、认证中心读取内部加密存储介质中的用户密钥,并对接收到的认证信息进行解密,判断用户合法性:若用户合法,则认证中心通过内部加密芯片生成本次会话服务提供方服务器使用的公钥与私钥、客户机使用的公钥与私钥、以及会话使用的会话密钥;
步骤3、认证中心读取内部加密存储介质中存储的服务方服务器密钥,加密本次通信服务方服务器私钥、客户机的公钥和会话密钥并发送到服务方服务器;
步骤4、服务方服务器使用定制的身份认证装置中存储的服务方密钥,解密得到服务器私钥、客户机公钥和会话密钥并生成确认信息,使用会话密钥加密确认信息发送到认证中心;
步骤6、认证中心接收到服务器的确认信息后,使用客户密钥加密服务器公钥、客户机私钥和会话密钥发送给客户机;
步骤7、客户机使用定制的身份认证装置解密得到客户机私钥、服务器公钥和会话密钥,使用会话密钥加密确认信息并发送给认证中心;
步骤8、服务器使用会话密钥加密,同时分别向客户机和服务方服务器发送认证完成信息,客户机和服务器接收到认证完成信息后,独立于认证中心进行通讯。
本发明与现有技术相比,其显著优点是:(1)认证中心控制证书的生成传播,证书和密钥混合使用实现完整的加密和验证机制;(2)密码和密钥不以明文的形式在网络中传播,密钥以加密的形式传播;(3)证书的生命周期较短,并且每次会话都会有新的证书产生;(4)认证中心服务器使用加密芯片进行加密,并将数据存储到加密的存储芯片,客户端需要定制的设备进行密钥操作而不经过主机的运算,安全高效。
附图说明
图1是本发明用于分布式用户服务间认证***的结构示意图。
具体实施方式
下面结合附图及具体实施例对本发明作进一步详细说明。
结合图1,本发明用于分布式用户服务间认证***,包括认证中心、客户机、服务器和定制的身份认证装置,所述认证中心包括相互连接的加密存储介质和加密芯片;所述认证中心、客户机和服务器两两相连,客户机和服务器均通过usb接口与定制的身份认证装置相连;
所述认证中心的加密芯片处理加密解密请求并生成密钥、加密存储介质存储所有定制的身份认证装置的密钥信息;所述身份认证装置进行加密解密,并存储身份认证器密钥和通行时使用的密钥;所述定制的身份认证装置包括加密芯片、加密存储介质和加密缓存,其中加密芯片分别与加密存储介质和加密缓存相互连接;所述身份认证装置的加密芯片进行加密解密,加密存储介质用于存储身份认证器密钥,加密缓存用于存储通行时使用的密钥。进行加密数据通信时,每次通信的双方都使用密钥加密,服务器与认证中心、客户机与认证中心分别使用各自对应的密钥,客户机与服务器则使用认证中心新生成的会话密钥。
本发明的原理是:用户和服务器在认证中心中均需要有密码作为认证凭据,但是密码不以明文、密文或哈希值的形式在网络上传输。通过一定的流程,将用于用户、认证中心、服务器之前确认的信息以加密的方式进行传输,并且每次传输均使用数字签名加强数据完整性检验,用于认证的证书文件具有可调的生命周期。认证中心可以自动控制所有的证书,可以实现新建证书、吊销证书、证书续签的功能。
整个***实现需要至少3台电脑,其中认证中心为定制的电脑,内部集成有专用的加密芯片具有硬件级的加密解密电路和密钥生成电路、实现高速高并发的加密解密;认证中心还具有大容量的加密存储介质用于存储各个定制的身份认证装置的密钥,其中加密存储介质必须经过加密芯片才能读写。定制的身份的认证装置使用usb接口和客户机以及服务器连接,其中也包括一个加密芯片和加密存储介质,该加密芯片仅能够实现硬件级的加密解密和数字签名,加密存储介质仅存储了该认证器的密钥,此外还具有加密缓存,用于存储和服务方服务器通信使用的各种密钥。每个身份验证装置具有唯一的密钥,订购时会登记每个密钥。
本发明用于分布式用户服务间认证方法,具有全局管理证书的能力、密码不以任何形式在网络中传输只作为中间的加密密钥、全程使用证书和对称加密作为数字签名和认证的手段,认证以及服务请求包括以下步骤:
步骤1、客户机读取定制的身份认证装置中的身份信息,使用定制的身份认证装置的加密芯片和用户密钥对用户信息、服务信息和时间戳进行加密,并发送到认证中心;
步骤2、认证中心读取内部加密存储介质中的用户密钥,并对接收到的认证信息进行解密,判断用户合法性:若用户合法,则认证中心通过内部加密芯片生成本次会话服务提供方服务器使用的公钥与私钥、客户机使用的公钥与私钥、以及会话使用的会话密钥;
步骤3、认证中心读取内部加密存储介质中存储的服务方服务器密钥,加密本次通信服务方服务器私钥、客户机的公钥和会话密钥并发送到服务方服务器;
步骤4、服务方服务器使用定制的身份认证装置中存储的服务方密钥,解密得到服务器私钥、客户机公钥和会话密钥并生成确认信息,使用会话密钥加密确认信息发送到认证中心;
步骤6、认证中心接收到服务器的确认信息后,使用客户密钥加密服务器公钥、客户机私钥和会话密钥发送给客户机;
步骤7、客户机使用定制的身份认证装置解密得到客户机私钥、服务器公钥和会话密钥,使用会话密钥加密确认信息并发送给认证中心;
步骤8、服务器使用会话密钥加密,同时分别向客户机和服务方服务器发送认证完成信息,
步骤9、客户机和服务器接收到认证完成信息后,独立于认证中心进行通讯;每次传输均使用会话密钥加密并使用各自的密钥进行签名。
经过这9个步骤就能实现用户的认证、用于数字签名的私钥传输,用户使用的客户机私钥具有一定的时间期限,过期后认证中心将进行密钥吊销,用户也需要再一次进行认证即密钥再申请过程,密钥再次申请流程:
第1步,认证中心在密钥过期前提前使用会话密钥加密同时向客户机和服务器发送密钥过期通知和过期时间。
第2步,在过期时间前,客户机和服务器双方还能使用之前申请的会话密钥和公钥私钥进行通信。
第3步,过期时间到后,服务器使用旧的会话密钥加密发送密钥过期信息给客户机,并且将服务暂停。
第4步,客户机接收到密钥过期信息后,暂停服务使用,按照认证过程步骤1向认证中心提出服务请求。
第5步,客户机和服务器按照认证过程重新认证,生成新的会话密钥和公钥私钥。
第6步,客户机使用新的会话密钥向服务方发起服务再起请求。
第7步,服务器接收到服务再起请求后重新开始服务。
综上所述,本发明用于分布式用户服务间认证***具有认证用户合法性、数据加密传输和信息签名功能,解决了现阶段数据、密钥信息以明文或者简单加密的形式在网络上传输所带来的数据泄露的隐患问题。
Claims (1)
1.一种用于分布式用户服务间认证方法,其特征在于,包括以下步骤:
步骤1、客户机读取其定制的身份认证装置中的身份信息,使用其定制的身份认证装置的加密芯片和用户密钥对用户信息、服务信息和时间戳进行加密,并发送到认证中心;
步骤2、认证中心读取内部加密存储介质中的用户密钥,并对接收到的认证信息进行解密,判断用户合法性:若用户合法,则认证中心通过内部加密芯片生成本次会话服务提供方服务器使用的公钥与私钥、客户机使用的公钥与私钥、以及会话使用的会话密钥;
步骤3、认证中心读取内部加密存储介质中存储的服务提供方服务器密钥,加密本次会话服务提供方服务器私钥、客户机的公钥和会话密钥并发送到服务提供方服务器;
步骤4、服务提供方服务器使用其定制的身份认证装置中存储的服务提供方服务器密钥,解密得到服务提供方服务器私钥、客户机的公钥和会话密钥并生成确认信息,使用会话密钥加密确认信息发送到认证中心;
步骤5、认证中心接收到服务提供方服务器的确认信息后,使用用户密钥加密服务提供方服务器公钥、客户机私钥和会话密钥发送给客户机;
步骤6、客户机使用其定制的身份认证装置解密得到客户机私钥、服务提供方服务器公钥和会话密钥,使用会话密钥加密确认信息并发送给认证中心;
步骤7、服务提供方服务器使用会话密钥加密确认信息,同时向客户机发送认证完成信息,客户机接收到认证完成信息后,独立于认证中心和服务提供方服务器进行通讯。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310753321.4A CN103684798B (zh) | 2013-12-31 | 2013-12-31 | 一种用于分布式用户服务间认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310753321.4A CN103684798B (zh) | 2013-12-31 | 2013-12-31 | 一种用于分布式用户服务间认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103684798A CN103684798A (zh) | 2014-03-26 |
| CN103684798B true CN103684798B (zh) | 2017-03-22 |
Family
ID=50321192
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310753321.4A Expired - Fee Related CN103684798B (zh) | 2013-12-31 | 2013-12-31 | 一种用于分布式用户服务间认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103684798B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW201616831A (zh) * | 2014-10-27 | 2016-05-01 | Chunghwa Telecom Co Ltd | 具加解密功能之keymap存取模式雲端儲存服務 |
| CN105554008B (zh) * | 2015-12-28 | 2018-12-14 | 联想(北京)有限公司 | 用户终端、认证服务器、中间服务器、***和传送方法 |
| CN106790075A (zh) * | 2016-12-21 | 2017-05-31 | 上海云熵网络科技有限公司 | 用于udp传输的认证***及认证方法 |
| CN107070912B (zh) * | 2017-04-07 | 2020-10-13 | 许昌学院 | 一种分布式***的网络安全验证方法和*** |
| CN108632251B (zh) * | 2018-03-28 | 2020-09-01 | 杭州电子科技大学 | 基于云计算数据服务的可信认证方法及其加密算法 |
| CN108881327A (zh) * | 2018-09-29 | 2018-11-23 | 德州职业技术学院(德州市技师学院) | 一种基于云计算的计算机互联网信息安全控制*** |
| CN112202556B (zh) * | 2020-10-30 | 2023-07-04 | 联通物联网有限责任公司 | 安全认证方法、装置和*** |
| CN113342896B (zh) * | 2021-06-29 | 2024-03-01 | 南京大学 | 一种基于云端融合的科研数据安全保护***及其工作方法 |
| CN114124545A (zh) * | 2021-11-25 | 2022-03-01 | 杭州摸象大数据科技有限公司 | 一种供应链金融的数据可信上链与身份认证终端 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101340285A (zh) * | 2007-07-05 | 2009-01-07 | 杭州中正生物认证技术有限公司 | 利用指纹USBkey进行身份验证的方法及*** |
| CN101674304A (zh) * | 2009-10-15 | 2010-03-17 | 浙江师范大学 | 一种网络身份认证***及方法 |
| CN101686126A (zh) * | 2008-09-24 | 2010-03-31 | 北京创原天地科技有限公司 | 一套新型动态密码认证和实名上网的方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050182925A1 (en) * | 2004-02-12 | 2005-08-18 | Yoshihiro Tsukamura | Multi-mode token |
-
2013
- 2013-12-31 CN CN201310753321.4A patent/CN103684798B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101340285A (zh) * | 2007-07-05 | 2009-01-07 | 杭州中正生物认证技术有限公司 | 利用指纹USBkey进行身份验证的方法及*** |
| CN101686126A (zh) * | 2008-09-24 | 2010-03-31 | 北京创原天地科技有限公司 | 一套新型动态密码认证和实名上网的方法 |
| CN101674304A (zh) * | 2009-10-15 | 2010-03-17 | 浙江师范大学 | 一种网络身份认证***及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 《基于微软MSN的安全即时通信插件研究》;张斌等;《计算机工程与设计》;20090628;第30卷(第12期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103684798A (zh) | 2014-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103684798B (zh) | 一种用于分布式用户服务间认证方法 | |
| TWI749061B (zh) | 區塊鏈身份系統 | |
| CN113783836B (zh) | 基于区块链和ibe算法的物联网数据访问控制方法及*** | |
| CN103763356B (zh) | 一种安全套接层连接的建立方法、装置及*** | |
| CN109728909A (zh) | 基于USBKey的身份认证方法和*** | |
| CN104917741B (zh) | 一种基于usbkey的明文文档公网安全传输*** | |
| CN116566660B (zh) | 基于医疗区块链的身份认证方法 | |
| CN107852404A (zh) | 保密通信的相互认证 | |
| US8806206B2 (en) | Cooperation method and system of hardware secure units, and application device | |
| CN108243166A (zh) | 一种基于USBKey的身份认证方法和*** | |
| CN103916363B (zh) | 加密机的通讯安全管理方法和*** | |
| EP1782213A2 (en) | Secure messaging system with derived keys | |
| WO2014166546A1 (en) | Method and system for accessing device by a user | |
| EP3360279B1 (en) | Public key infrastructure&method of distribution | |
| CN104901935A (zh) | 一种基于cpk的双向认证及数据交互安全保护方法 | |
| CN103490881A (zh) | 认证服务***、用户认证方法、认证信息处理方法及*** | |
| TWI760546B (zh) | 用於高安全性高速資料加密及傳輸的電腦實施系統與方法 | |
| CN112766962A (zh) | 证书的接收、发送方法及交易***、存储介质、电子装置 | |
| CN111756530B (zh) | 量子服务移动引擎***、网络架构及相关设备 | |
| CN103905384A (zh) | 基于安全数字证书的嵌入式终端间会话握手的实现方法 | |
| CN113079022A (zh) | 一种基于sm2密钥协商机制的安全传输方法和*** | |
| CN110417547A (zh) | 基于无证书密码学的抗量子计算保密通信的密钥更新方法和*** | |
| CN110557367B (zh) | 基于证书密码学的抗量子计算保密通信的密钥更新方法和*** | |
| Zhang et al. | NDN-MPS: supporting multiparty authentication over named data networking | |
| KR101204980B1 (ko) | 임의성을 강화시킨 일회용 패스워드 등록 및 인증 방법과 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20170713 Address after: High tech Zone Nanjing city Jiangsu province 210000 Liufang Road No. 8 Building 7 layer Patentee after: Nanjing China Network Technology Co., Ltd. Address before: 222000 No. 2 Chenguang Road, Sinpo District, Jiangsu, Lianyungang Patentee before: Lianyungang Research Institute of Nanjing University of Science and Technology |
|
| TR01 | Transfer of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170322 Termination date: 20191231 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |