CN105391734B - 一种安全登录***及方法、登录服务器和认证服务器 - Google Patents
一种安全登录***及方法、登录服务器和认证服务器 Download PDFInfo
- Publication number
- CN105391734B CN105391734B CN201510907534.7A CN201510907534A CN105391734B CN 105391734 B CN105391734 B CN 105391734B CN 201510907534 A CN201510907534 A CN 201510907534A CN 105391734 B CN105391734 B CN 105391734B
- Authority
- CN
- China
- Prior art keywords
- key
- user
- service device
- login
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请提供了一种安全登录***及方法、登录服务器和认证服务器,所述安全登录***包括登录服务器和认证服务器;所述登录服务器,用于接收用户发送的登录请求,并在认证通过后反馈用户登录响应信息,登录响应信息包括认证服务器的地址;所述认证服务器,用于接收用户发送的密钥请求,并在为用户生成会话密钥之后利用登录服务器的公钥对会话密钥加密,发送密钥响应信息给用户;登录服务器还用于接收用户发送的包括会话密钥的解密请求,并在认证通过后利用登录服务器私钥对会话密钥进行解密反馈给用户。由于本申请对现有的用户安全登录访问架构进行了改进,将登录服务和认证服务分离,提高了用户登录访问的认证效率和安全性。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种安全登录***及方法、登录服务器和认证服务器。
背景技术
当前,安全登录是大部分用户访问互联网、使用互联网服务的关键步骤。如果用户登录的安全性不能保证,那么良好的服务体验则无从谈起,还有可能造成用户个人数据、甚至财产等的损失。
用户的登录方式已从最初简单的用户名/密码登录,发展至如今的密钥加密登录、可变密钥加密登录、证书认证登录等多种方式。现有的安全登录方式大多为用户发送用户信息给服务器,由服务器进行认证,当所述服务器认证通过后允许用户登录,这种登录认证方式存在较大的安全风险。
现有技术不足在于:
现有的登录认证方式存在较大的安全风险。
发明内容
本申请实施例提出了一种安全登录***及方法、登录服务器和认证服务器,以解决现有技术中登录认证方式存在较大的安全风险的技术问题。
本申请实施例提供了一种安全登录***,其特征在于,包括登录服务器和认证服务器,其中:
所述登录服务器,用于接收客户端利用所述登录服务器的公钥Bp加密后发送的登录请求,利用自身的私钥Bs对所述登录请求解密,并根据所述登录请求向所述客户端发送利用所述用户的公钥Ap加密后的登录响应信息,所述登录响应信息中包括所述认证服务器的地址;
所述认证服务器,用于接收所述客户端根据所述认证服务器地址并利用所述认证服务器的公钥Cp加密后发送的密钥请求,利用自身的私钥Cs对所述密钥请求解密,为所述用户生成会话密钥secret_key,并利用所述登录服务器的公钥对所述会话密钥加密后得到会话密钥信息发送给客户端;
所述登录服务器还用于接收所述客户端发送的解密请求,所述解密请求中包括所述利用所述登录服务器的公钥Bp加密后的会话密钥信息,利用所述登录服务器私钥Bs对所述会话密钥信息进行解密再利用所述用户的公钥Ap加密后发送给所述客户端。
本申请实施例提供了一种安全登录方法,其特征在于,包括如下步骤:
登录服务器接收客户端利用所述登录服务器的公钥Bp加密后发送的登录请求,利用自身的私钥Bs对所述登录请求解密,并根据所述登录请求向所述客户端发送利用所述用户的公钥Ap加密后的登录响应信息,所述登录响应信息中包括认证服务器的地址;
认证服务器接收所述客户端根据所述认证服务器地址并利用所述认证服务器的公钥Cp加密后发送的密钥请求,利用自身的私钥Cs对所述密钥请求解密,为所述用户生成会话密钥secret_key,并利用所述登录服务器的公钥Bp对所述会话密钥secret_key加密后得到会话密钥信息发送给客户端;
所述登录服务器接收所述客户端发送的解密请求,所述解密请求中包括所述利用所述登录服务器的公钥Bp加密后的会话密钥信息,利用所述登录服务器私钥Bs对所述会话密钥信息进行解密再利用所述用户的公钥Ap加密后发送给所述客户端。
本申请实施例提供了一种登录服务器,包括:
第一接收模块,用于接收客户端利用所述登录服务器的公钥Bp加密后发送的登录请求;
第一发送模块,用于利用自身的私钥Bs对所述登录请求解密,并根据所述登录请求向所述客户端发送利用用户的公钥Ap加密后的登录响应信息,所述登录响应信息中包括认证服务器的地址;
第二接收模块,用于接收所述客户端发送的解密请求;所述解密请求中包括所述利用所述登录服务器的公钥Bp加密后的会话密钥信息;
第二发送模块,用于利用所述登录服务器的私钥Bs对所述会话密钥信息进行解密再利用所述用户的公钥Ap加密后发送给所述客户端。
本申请实施例提供了一种认证服务器,包括:
第三接收模块,用于接收客户端根据所述认证服务器地址并利用所述认证服务器的公钥Cp加密后发送的密钥请求;
解密模块,用于利用自身的私钥Cs对所述密钥请求解密;
密钥生成模块,用于为用户生成会话密钥secret_key;
加密模块,用于利用所述登录服务器的公钥Bp对所述会话密钥secret_key加密得到会话密钥信息;
第三发送模块,用于将所述会话密钥信息发送给客户端。
有益效果如下:
由于本申请实施例所提供的安全登录***及方法、登录服务器和认证服务器,对现有的用户安全登录访问架构进行了改进,将登录服务和认证服务分离,使得登录和认证不在同一服务器进行,提高了用户登录访问的认证效率和安全性,降低了登录访问被暴力破解的可能性,确保用户信息安全。
附图说明
下面将参照附图描述本申请的具体实施例,其中:
图1示出了本申请实施例中安全登录***的结构示意图;
图2示出了本申请实施例中安全登录方法实施的流程示意图;
图3示出了本申请实施例中登录服务器的结构示意图;
图4示出了本申请实施例中认证服务器的结构示意图;
图5示出了本申请实施例中用户登录认证的过程示意图。
具体实施方式
为了使本申请的技术方案及优点更加清楚明白,以下结合附图对本申请的示例性实施例进行进一步详细的说明,显然,所描述的实施例仅是本申请的一部分实施例,而不是所有实施例的穷举。并且在不冲突的情况下,本说明中的实施例及实施例中的特征可以互相结合。
针对现有技术的不足,本申请实施例提出了一种安全登录***及方法、登录服务器和认证服务器,下面进行说明。
图1示出了本申请实施例中安全登录***的结构示意图,如图所示,所述安全登录***可以包括:登录服务器101和认证服务器102,其中,
所述登录服务器,用于接收客户端利用所述登录服务器的公钥Bp加密后发送的登录请求,利用自身的私钥Bs对所述登录请求解密,并根据所述登录请求向所述客户端发送利用所述用户的公钥Ap加密后的登录响应信息,所述登录响应信息中包括所述认证服务器的地址;
所述认证服务器,用于接收所述客户端根据所述认证服务器地址并利用所述认证服务器的公钥Cp加密后发送的密钥请求,利用自身的私钥Cs对所述密钥请求解密,为所述用户生成会话密钥secret_key,并利用所述登录服务器的公钥对所述会话密钥加密后得到会话密钥信息发送给客户端;
所述登录服务器还用于接收所述客户端发送的解密请求,所述解密请求中包括所述利用所述登录服务器的公钥Bp加密后的会话密钥信息,利用所述登录服务器私钥Bs对所述会话密钥信息进行解密再利用所述用户的公钥Ap加密后发送给所述客户端。
具体实施时,用户可以预先按照现有的网页登录方式通过客户端与登录服务器进行信息交互,例如:用户可以在网页上输入用户名、密码等信息。
登录服务器接收到这些信息后,可以判断用户名和密码等信息是否正确,如果通过认证则可以将登录服务器的信息发送给用户,例如:登录服务器的URL地址、登录服务器的公钥Bp、登录服务器的通信公开参数等;如果认证不通过,则可以反馈用户“用户名/密码错误”等信息。
客户端在预先获得登录服务器的上述信息后,可以发送登录请求给登录服务器。具体实施时,所述登录请求可以利用所述登录服务器的公钥Bp进行加密。登录服务器可以用登录服务器的私钥Bs进行解密,然后将认证服务器的地址作为登录响应发送给客户端(用户)。具体实施时,所述登录响应可以用所述用户的公钥Ap进行加密。
用户收到所述登录响应后,可以用自己的私钥As对所述登录响应进行解密,可以得到认证服务器的地址。用户可以根据所述认证服务器的地址向所述认证服务器发送密钥请求。具体实施时,所述密钥请求可以用认证服务器公钥Cp进行加密。
所述认证服务器可以用自身的私钥Cs对所述密钥请求进行解密,然后为用户生成会话密钥secret_key,最终可以将所述会话密钥发送给用户。具体实施时,可以利用登录服务器的公钥对所述会话密钥进行加密。
用户在接收到密钥响应后,如果想要解密出会话密钥secret_key,则需要向登录服务器发送解密请求。
登录服务器在接收到所述解密请求后,可以利用自身的私钥对所述会话密钥进行解密,然后将所述会话密钥反馈给用户。具体实施时,可以利用所述用户的公钥Ap对所述会话密钥进行加密。
用户接收到解密响应后可以利用自身的私钥进行解密,即可得到所述会话密钥。有了所述会话密钥,用户即可方便地进行后续***访问。
本申请实施例所提供的安全登录***,对现有的用户安全登录访问架构进行了改进,通过将登录服务器和认证服务器分离设置,用户与登录服务器进行登录信息交互,如果想要获取会话密钥,则需要向认证服务器获取加密的会话密钥、再向请求登录服务器进行解密,才能获得最终的会话密钥,从而提高了用户登录访问的安全性。
实施中,所述登录请求中可以包括:所述客户端根据用户的密码m和随机数r生成的第一参数m’,所述m’=m re mod N;
所述登录服务器发送给所述客户端的登录响应信息中还可以包括:根据所述第一参数m’生成的第二参数u’,所述u’=(m’)d mod N;其中,d为常数;
所述认证服务器收到的密钥请求中可以包括:所述客户端根据所述u’生成并发送的第三参数R,所述R=(u’)e/r mod N;
所述认证服务器可以进一步用于利用所述用户的公钥Ap对所述R加密得到Ap(R),并将所述Ap(R)与所述利用所述登录服务器的公钥Bp加密后的会话密钥信息一并发送给客户端。
具体实施中,用户向登录服务器发送登录请求之前可以预先生成一个随机数r,然后在向登录服务器发送的登录请求中可以包括第一参数m’,所述m’=m re mod N;其中,m为用户的密码,r为随机数,N为常数;
登录服务器可以利用通信参数d对所述m’进行运算,生成第二参数u’,所述u’=(m’)d mod N;其中,d为常数;所述登录服务器可以将认证服务器的地址和所述第二参数u’一起利用所述用户的公钥Ap进行加密,作为登录响应发送给用户。
用户收到登录响应后,可以根据u’生成第三参数R,所述R=(u’)e/r mod N,然后可以利用认证服务器的公钥Cp对包括所述第三参数R的密钥请求进行加密,得到CP(R),发送给认证服务器。
认证服务器解密后得到随机数,然后利用所述用户的公钥Ap对第三参数R进行加密,得到Ap(R),利用所述登录服务器的公钥Bp对所述会话密钥和所述第三参数R进行加密,得到会话密钥信息,将所述Ap(R)和所述会话密钥信息作为密钥响应信息发送给用户。
具体实施中,所述随机数在交互过程中可以是一致的,例如请求发送的随机数为1、响应的随机数也是1;也可以为按照预设算法进行计算得到的,例如请求发送的随机数为1、响应的随机数为1+1用户侧可以判断自己发送的随机数+1后是否与响应信息中包括的随机数相同,来确认是否来自正确的服务器。
本申请实施例在数据交互过程中增加了随机数的校验,用户、登录服务器、认证服务器可以根据所述随机数判断是否为发送给自己的信息、是否来自正确的服务器等,确保数据的准确性。
实施中,所述利用所述登录服务器的公钥Bp加密后的会话密钥信息具体为:
利用所述登录服务器公钥Bp对f(secret_key,R)进行加密后得到的Bp(f(secret_key,R));所述f(secret_key,R)为所述secret_key和所述R进行逻辑运算后的结果;
所述登录服务器对所述会话密钥信息解密再利用所述用户的公钥Ap加密后的结果为Ap(f(secret_key,R))。
本申请实施例在对所述会话密钥和所述第三参数R进行加密时,可以先对所述会话密钥和所述第三参数R进行逻辑运算,再对逻辑运算后的结果进行加密,以防止数据在传输过程中被不法分子截获并解密导致会话密钥泄露,提高数据的安全性。
实施中,所述客户端可以进一步用于接收到所述登录服务器发送的Ap(f(secret_key,R))后,利用自身私钥As对所述Ap(f(secret_key,R))解密得到密钥f(secret_key,R),再通过f的逆向运算f’,得到会话密钥secret_key。
用户在接收到所述登录服务器发送的加密后的会话密钥与第三参数的逻辑运算结果之后,可以先用自身的私钥As对响应信息进行解密得到会话密钥与第三参数R的逻辑运算结果,然后再利用在之前步骤中已获得的第三参数R、利用f的逆向运算f’,得到会话密钥secret_key。
现有的安全登录方式大多为基于一元认证的方式,即,主要是通过一元记忆性信息(如:密钥、密码等)进行登录认证,但这种方式存在较大的被暴力破解的可能。因此,本申请实施例还可以采用如下方式实施。
实施中,所述解密请求还可以包括所述用户的身份信息,所述登录服务器进一步用于对所述用户的身份信息进行校验,确认所述用户身份合法。
具体实施中,为了增加用户登录的安全性,本申请实施例可以除所述会话密钥、所述第三参数之外,还可以发送用户的身份信息以便提高用户认证的复杂度。
登录服务器可以预先存储有所述用户的身份信息,在接收到所述解密请求后,可以先对所述身份信息进行认证,如果认证通过,在进行后续的解密响应等操作;如果认证不通过,则不执行对所述会话密钥进行解密的操作。
本申请实施例通过融合一元认证、二元认证甚至多元认证方式,除可记忆信息(如密码、密钥等信息)之外,还可以将个人身份信息等融入登录认证过程,进一步提升了用户登录访问的安全性,降低了登录访问被暴力破解的可能性。
实施中,所述用户的身份信息可以为所述用户的身份标识和/或所述用户的生物特征信息。
具体实施中,所述用户的身份信息可以为用户的身份标识、所述用户的生物特征信息等。所述用户的身份标识可以为所述用户的姓名、性别、所属地域、身份证号码等等,所述用户的生物特征信息可以为所述用户的指纹、虹膜、心率、脉搏、脸部轮廓等。
所述用户的生物特征信息的采集、处理等可以采用现有技术的实现方式,本申请在此不做赘述。
本申请实施例在现有的密钥、密码方式认证的基础上,增加了用户身份信息的认证,进一步提高了用户登录访问的安全性。
基于同一发明构思,本申请实施例提供了一种安全登录方法,由于所述方法解决问题的原理与一种安全登录***相似,因此方法的实施可以参见设备的实施,重复之处不再赘述。
图2示出了本申请实施例中安全登录方法实施的流程示意图,如图所示,所述安全登录方法可以包括如下步骤:
步骤201、登录服务器接收客户端利用所述登录服务器的公钥Bp加密后发送的登录请求,利用自身的私钥Bs对所述登录请求解密,并根据所述登录请求向所述客户端发送利用所述用户的公钥Ap加密后的登录响应信息,所述登录响应信息中包括认证服务器的地址;
步骤202、认证服务器接收所述客户端根据所述认证服务器地址并利用所述认证服务器的公钥Cp加密后发送的密钥请求,利用自身的私钥Cs对所述密钥请求解密,为所述用户生成会话密钥secret_key,并利用所述登录服务器的公钥Bp对所述会话密钥secret_key加密后得到会话密钥信息发送给客户端;
步骤203、所述登录服务器接收所述客户端发送的解密请求,所述解密请求中包括所述利用所述登录服务器的公钥Bp加密后的会话密钥信息,利用所述登录服务器私钥Bs对所述会话密钥信息进行解密再利用所述用户的公钥Ap加密后发送给所述客户端。
本申请实施例所提供的安全登录方法,通过将登录服务器和认证服务器分离设置,用户与登录服务器进行登录信息交互,如果想要获取会话密钥,则需要向认证服务器获取加密的会话密钥、再向请求登录服务器进行解密,才能获得最终的会话密钥,从而提高了用户登录访问的安全性。
实施中,所述登录请求中可以包括:所述客户端根据用户的密码m和随机数r生成的第一参数m’,所述m’=m re mod N;
所述登录服务器发送给所述客户端的登录响应信息中还可以包括:根据所述第一参数m’生成的第二参数u’,所述u’=(m’)d mod N;其中,d为常数;
所述认证服务器收到的密钥请求中可以包括:所述客户端根据所述u’生成并发送的第三参数R,所述R=(u’)e/r mod N;
所述方法可以进一步包括:所述认证服务器利用所述用户的公钥Ap对所述R加密得到Ap(R),并将所述Ap(R)与所述利用所述登录服务器的公钥Bp加密后的会话密钥信息一并发送给客户端。
本申请实施例在数据交互过程中增加了随机数的校验,用户、登录服务器、认证服务器可以根据所述随机数判断是否为发送给自己的信息、是否来自正确的服务器等,确保数据的准确性。
实施中,所述认证服务器利用所述登录服务器的公钥Bp对所述会话密钥secret_key加密后得到会话密钥信息,具体可以为:利用所述登录服务器公钥Bp对f(secret_key,R)进行加密得到Bp(f(secret_key,R));所述f(secret_key,R)为所述secret_key和所述R进行逻辑运算得到的结果;
所述登录服务器对所述会话密钥信息解密后得到f(secret_key,R),所述登录服务器利用所述用户的公钥Ap加密后发送给所述客户端,具体可以为:利用所述用户的公钥Ap加密后得到Ap(f(secret_key,R))发送给所述客户端。
实施中,所述方法可以进一步包括:
所述客户端在接收到所述登录服务器发送的Ap(f(secret_key,R))后,利用自身私钥As对所述Ap(f(secret_key,R))解密得到密钥f(secret_key,R),再通过f的逆向运算f’,得到会话密钥secret_key。
实施中,所述解密请求还可以包括所述用户的身份信息,所述方法可以进一步包括:
所述登录服务器对所述用户的身份信息进行校验,确认所述用户身份合法。
本申请实施例通过融合一元认证、二元认证甚至多元认证方式,除可记忆信息(如密码、密钥等信息)之外,还可以将个人身份信息等融入登录认证过程,进一步提升了用户登录访问的安全性,降低了登录访问被暴力破解的可能性。
实施中,所述用户的身份信息为所述用户的身份标识和/或所述用户的生物特征信息。
本申请实施例在现有的密钥、密码方式认证的基础上,增加了用户身份信息的认证,进一步提高了用户登录访问的安全性。
本申请实施例提出的用户安全登录访问方式,通过融合一元认证、二元认证甚至多元认证,除可记忆信息之外,还将个人身份信息、生物信息等融入登录认证过程,并借鉴盲签名、登录服务与认证服务分离等手段,提升了用户登录访问的认证效率和安全性,极大地降低了登录访问被暴力破解的可能性。
本申请实施例中还提供了一种登录服务器,下面进行说明。
图3示出了本申请实施例中登录服务器的结构示意图,如图所示,所述登录服务器可以包括:
第一接收模块301,用于接收客户端利用所述登录服务器的公钥Bp加密后发送的登录请求;
第一发送模块302,用于利用自身的私钥Bs对所述登录请求解密,并根据所述登录请求向所述客户端发送利用所述用户的公钥Ap加密后的登录响应信息,所述登录响应信息中包括认证服务器的地址;
第二接收模块303,用于接收所述客户端发送的解密请求;所述解密请求中包括所述利用所述登录服务器的公钥Bp加密后的会话密钥信息;
第二发送模块304,用于利用所述登录服务器的私钥Bs对所述会话密钥信息进行解密再利用所述用户的公钥Ap加密后发送给所述客户端。
本申请实施例所提供的登录服务器,将会话密钥的生成过程分离出去,由单独的认证服务器负责,使得用户虽然可以向登录服务器提出登录请求,但如果要获取会话密钥还需要向认证服务器请求会话密钥,并由登录服务器进行解密后才能正常访问***,从而提高了用户登录访问的安全性。
实施中,所述第一接收模块具体可以用于接收包括第一参数m’的登录请求,所述m’为所述客户端根据用户的密码m和随机数r生成,所述m’=m re mod N:
所述第一发送模块具体可以用于向所述客户端发送包括认证服务器地址及第二参数u’的登录响应信息,所述u’为根据所述第一参数m’生成,所述u’=(m’)d mod N;其中,d为常数。
实施中,所述解密请求还可以包括:所述用户的身份信息,所述登录服务器可以进一步包括:
校验模块305,用于对所述用户的身份信息进行校验,确认所述用户身份合法。
实施中,所述用户的身份信息可以为所述用户的身份标识和/或所述用户的生物特征信息。
本申请实施例还提供了一种认证服务器,下面进行说明。
图4示出了本申请实施例中认证服务器的结构示意图,如图所示,所述认证服务器可以包括:
第三接收模块401,用于接收客户端根据所述认证服务器地址并利用所述认证服务器的公钥Cp加密后发送的密钥请求;
解密模块402,用于利用自身的私钥Cs对所述密钥请求解密;
密钥生成模块403,用于为所述用户生成会话密钥secret_key;
加密模块404,用于利用所述登录服务器的公钥Bp对所述会话密钥secret_key加密得到会话密钥信息;
第三发送模块405,用于将所述会话密钥信息发送给客户端。
本申请实施例中所提供的认证服务器,从现有的登录认证服务器中脱离出来,独立负责会话密钥的管理,并在生成会话密钥后利用登录服务器的公钥进行加密,如果用户想要使用所述会话密钥来访问***则还需要请求登录服务器对所述会话密码进行解密,通过与登录服务器的配合交互提高了用户登录访问的安全性。
实施中,所述第三接收模块具体可以用于接收所述客户端根据所述u’生成并发送的第三参数R,所述R=(u’)e/r mod N,所述u’=(m’)d mod N,所述m’=m re mod N;其中,m为用户的密码,r为随机数,N为常数;
所述加密模块可以进一步用于利用所述用户的公钥Ap对所述R加密得到Ap(R);
所述第三发送模块具体可以用于将所述Ap(R)与所述利用所述登录服务器的公钥Bp加密后的会话密钥信息一并发送给客户端。
为了便于本申请的实施,下面以实例进行说明。
图5示出了本申请实施例中用户登录认证的过程示意图,如图所示,可以包括如下步骤:
步骤501、用户获取登录服务器信息;
步骤502、用户向所述登录服务器发送登录请求;
步骤503、所述登录服务器生成并发送登录相应;
步骤504、用户根据所述登录响应生成会话密钥请求;
步骤505、用户向认证服务器发送所述会话密钥请求;
步骤506、所述认证服务器生成并发送会话密钥响应;
步骤507、用户解析所述会话密钥返回值;
步骤508、用户向所述登录服务器发送多元认证解密请求;
步骤509、所述登录服务器生成并发送解密响应;
步骤510、用户解析所述密钥响应得到会话密钥,登录认证过程结束。
本申请实施例中用户获取登录服务器信息的过程,具体可以包括如下步骤:
步骤5011、用户输入用户标识ID、密码等基本信息,***对用户登录信息进行判断;如果通过认证,则转至步骤2012;
步骤5012、用户得到所述登录服务器的URL地址、登录服务器公钥Bp、登录服务器通信公开参数e和N等信息。
本申请实施例中用户向登录服务器发送登录请求的过程,具体可以包括如下步骤:
步骤5021、设用户的密码为m,用户生成一个随机数r,则用户可生成消息m’=mremodN;
步骤5022、用户将所述m’作为登录请求消息发送给登录服务器。
本申请实施例中登录服务器生成并发送登录响应的过程,具体可以包括如下步骤:
步骤5031、设登录服务器的私钥为Bs,通信参数为d,首先生成消息u’=(m’)d modN;
步骤5032、将认证服务器地址与所述消息u’一起利用所述用户的公钥Ap进行加密,作为登录响应发送给用户。
本申请实施例中用户根据登录响应生成会话密钥请求的过程,具体可以包括如下步骤:
步骤5041、用户收到登录响应,利用As解密得到u’和认证服务器地址;
步骤5042、用户根据u’生成一个随机数R=(u’)e/r mod N=(m)d mod N。
本申请实施例中用户向认证服务器发送会话密钥请求的过程,具体可以包括如下步骤:
步骤5051、用户利用认证服务器公钥Cp对密钥请求以及随机数R进行加密,得到Cp(R);
步骤5052、用户向认证服务器地址发送经过加密的认证请求Cp(R)。
本申请实施例中认证服务器生成并发送会话密钥响应的过程,具体可以包括如下步骤:
步骤5061、认证服务器利用私钥Cs解密密钥请求,得到随机数R;
步骤5062、认证服务器为用户生成会话密钥secret_key;
步骤5063、认证服务器利用所述用户的公钥Ap对随机数R进行加密,得到Ap(R);
步骤5064、认证服务器对密钥secret_key以及随机数R进行逻辑运算,比如XOR运算,得到f(secret_key,R);
步骤5065、认证服务器利用登录服务器公钥Bp对f(secret_key,R)进行加密得到Bp(f(secret_key,R));
步骤5066、认证服务器将Ap(R)以及Bp(f(secret_key,R))作为密钥返回值,发送给用户。
本申请实施例中用户解析会话密钥返回值的过程,具体可以包括如下步骤:
步骤5071、用户利用私钥As解密密钥返回值,得到随机数R,从而可以验证密钥返回值是否来自正确的认证服务器;
步骤5072、用户想要解密出密钥secret_key,需要向登录服务器发送Bp(f(secret_key,R))解密请求。
本申请实施例中用户向登录服务器发送多元认证解密请求的过程,具体可以包括如下步骤:
步骤5081、用户需要向登陆服务器发送解密请求Bp(f(secret_key,R));
步骤5082、为增强用户登录的安全性,本步骤需要进行二元甚至多元认证过程,除了解密请求Bp(f(secret_key,R))之外,用户还需要发送身份标识、生物身份信息等发送给登录服务器。
本申请实施例中登录服务器生成并发送解密响应的过程,具体可以包括如下步骤:
步骤5091、登录服务器对用户身份标识等信息对用户身份进行验证,如果验证通过,则利用其自身的私钥对Bp(f(secret_key,R))进行解密,得到f(secret_key,R);
步骤5092、登录服务器利用所述用户的公钥Ap对f(secret_key,R)进行加密,得到Ap(f(secret_key,R)),并发送给用户。
本申请实施例中用户解析密钥响应得到会话密钥的过程,具体可以包括如下步骤:
步骤5101、用户利用私钥As解析Ap(f(secret_key,R)),得到密钥f(secret_key,R);
步骤5102、通过f的逆向运算f’,得到会话密钥secret_key,即f’(f(secret_key,R),R)=secret_key,登录认证过程结束;
有了所述会话密钥,用户即可方便地进行后续***访问。
为了描述的方便,以上所述装置的各部分以功能分为各种模块或单元分别描述。当然,在实施本申请时可以把各模块或单元的功能在同一个或多个软件或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
Claims (16)
1.一种安全登录***,其特征在于,包括登录服务器和认证服务器,其中:
所述登录服务器,用于接收客户端利用所述登录服务器的公钥Bp加密后发送的登录请求,利用自身的私钥Bs对所述登录请求解密,并根据所述登录请求向所述客户端发送利用用户的公钥Ap加密后的登录响应信息,所述登录响应信息中包括所述认证服务器的地址;
所述认证服务器,用于接收所述客户端根据所述认证服务器地址并利用所述认证服务器的公钥Cp加密后发送的密钥请求,利用自身的私钥Cs对所述密钥请求解密,为所述用户生成会话密钥secret_key,并利用所述登录服务器的公钥对所述会话密钥加密后得到会话密钥信息发送给客户端;
所述登录服务器还用于接收所述客户端发送的解密请求,所述解密请求中包括所述利用所述登录服务器的公钥Bp加密后的会话密钥信息,利用所述登录服务器私钥Bs对所述会话密钥信息进行解密再利用所述用户的公钥Ap加密后发送给所述客户端。
2.如权利要求1所述的***,其特征在于,所述登录请求中包括:所述客户端根据用户的密码m和随机数r生成的第一参数m’,所述m’=m remod N,其中,N为常数;
所述登录服务器发送给所述客户端的登录响应信息中还包括:根据所述第一参数m’生成的第二参数u’,所述u’=(m’)dmod N;其中,d为常数,N为常数;
所述认证服务器收到的密钥请求中包括:所述客户端根据所述u’生成并发送的第三参数R,所述R=(u’)e/r mod N,其中,N为常数;
所述认证服务器进一步用于利用所述用户的公钥Ap对所述R加密得到Ap(R),并将所述Ap(R)与所述利用所述登录服务器的公钥Bp加密后的会话密钥信息一并发送给客户端。
3.如权利要求2所述的***,其特征在于,所述利用所述登录服务器的公钥Bp加密后的会话密钥信息具体为:利用所述登录服务器公钥Bp对f(secret_key,R)进行加密后得到的Bp(f(secret_key,R));所述f(secret_key,R)为所述secret_key和所述R进行逻辑运算后的结果;
所述登录服务器对所述会话密钥信息解密再利用所述用户的公钥Ap加密后的结果为Ap(f(secret_key,R))。
4.如权利要求3所述的***,其特征在于,所述客户端进一步用于接收到所述登录服务器发送的Ap(f(secret_key,R))后,利用自身私钥As对所述Ap(f(secret_key,R))解密得到密钥f(secret_key,R),再通过f的逆向运算f’,得到会话密钥secret_key。
5.如权利要求1所述的***,其特征在于,所述解密请求还包括:所述用户的身份信息,所述登录服务器进一步用于对所述用户的身份信息进行校验,确认所述用户身份合法。
6.如权利要求5所述的***,其特征在于,所述用户的身份信息为所述用户的身份标识和/或所述用户的生物特征信息。
7.一种安全登录方法,其特征在于,包括如下步骤:
登录服务器接收客户端利用所述登录服务器的公钥Bp加密后发送的登录请求,利用自身的私钥Bs对所述登录请求解密,并根据所述登录请求向所述客户端发送利用用户的公钥Ap加密后的登录响应信息,所述登录响应信息中包括认证服务器的地址;
认证服务器接收所述客户端根据所述认证服务器地址并利用所述认证服务器的公钥Cp加密后发送的密钥请求,利用自身的私钥Cs对所述密钥请求解密,为所述用户生成会话密钥secret_key,并利用所述登录服务器的公钥Bp对所述会话密钥secret_key加密后得到会话密钥信息发送给客户端;
所述登录服务器接收所述客户端发送的解密请求,所述解密请求中包括所述利用所述登录服务器的公钥Bp加密后的会话密钥信息,利用所述登录服务器私钥Bs对所述会话密钥信息进行解密再利用所述用户的公钥Ap加密后发送给所述客户端。
8.如权利要求7所述的方法,其特征在于,所述登录请求中包括:所述客户端根据用户的密码m和随机数r生成的第一参数m’,所述m’=m remod N,其中,N为常数;
所述登录服务器发送给所述客户端的登录响应信息中还包括:根据所述第一参数m’生成的第二参数u’,所述u’=(m’)dmod N;其中,d为常数,N为常数;
所述认证服务器收到的密钥请求中包括:所述客户端根据所述u’生成并发送的第三参数R,所述R=(u’)e/r mod N,其中,N为常数;
所述方法进一步包括:所述认证服务器利用所述用户的公钥Ap对所述R加密得到Ap(R),并将所述Ap(R)与所述利用所述登录服务器的公钥Bp加密后的会话密钥信息一并发送给客户端。
9.如权利要求8所述的方法,其特征在于,所述认证服务器利用所述登录服务器的公钥Bp对所述会话密钥secret_key加密后得到会话密钥信息,具体为:利用所述登录服务器公钥Bp对f(secret_key,R)进行加密得到Bp(f(secret_key,R));所述f(secret_key,R)为所述secret_key和所述R进行逻辑运算得到的结果;
所述登录服务器对所述会话密钥信息解密后得到f(secret_key,R),所述登录服务器利用所述用户的公钥Ap加密后发送给所述客户端,具体为:利用所述用户的公钥Ap加密后得到Ap(f(secret_key,R))发送给所述客户端。
10.如权利要求9所述的方法,其特征在于,进一步包括:
所述客户端在接收到所述登录服务器发送的Ap(f(secret_key,R))后,利用自身私钥As对所述Ap(f(secret_key,R))解密得到密钥f(secret_key,R),再通过f的逆向运算f’,得到会话密钥secret_key。
11.如权利要求7所述的方法,其特征在于,所述解密请求还包括:所述用户的身份信息,所述方法进一步包括:
所述登录服务器对所述用户的身份信息进行校验,确认所述用户身份合法。
12.如权利要求11所述的方法,其特征在于,所述用户的身份信息为所述用户的身份标识和/或所述用户的生物特征信息。
13.一种登录服务器,其特征在于,包括:
第一接收模块,用于接收客户端利用所述登录服务器的公钥Bp加密后发送的登录请求;
第一发送模块,用于利用自身的私钥Bs对所述登录请求解密,并根据所述登录请求向所述客户端发送利用用户的公钥Ap加密后的登录响应信息,所述登录响应信息中包括认证服务器的地址;
第二接收模块,用于接收所述客户端发送的解密请求;所述解密请求中包括认证服务器利用所述登录服务器的公钥Bp加密后、并发送至客户端的会话密钥信息;其中,认证服务器接收所述客户端根据所述认证服务器地址并利用所述认证服务器的公钥Cp加密后发送的密钥请求,利用自身的私钥Cs对所述密钥请求解密,为所述用户生成会话密钥secret_key,并利用所述登录服务器的公钥Bp对所述会话密钥secret_key加密后得到会话密钥信息发送给客户端;
第二发送模块,用于利用所述登录服务器的私钥Bs对所述会话密钥信息进行解密再利用所述用户的公钥Ap加密后发送给所述客户端。
14.如权利要求13所述的登录服务器,其特征在于,所述第一接收模块具体用于接收包括第一参数m’的登录请求,所述m’为所述客户端根据用户的密码m和随机数r生成,所述m’=m remod N,其中,N为常数;
所述第一发送模块具体用于向所述客户端发送包括认证服务器地址及第二参数u’的登录响应信息,所述u’为根据所述第一参数m’生成,所述u’=(m’)dmod N;其中,d为常数,N为常数。
15.如权利要求13所述的登录服务器,其特征在于,所述解密请求还包括:所述用户的身份信息,所述登录服务器进一步包括:
校验模块,用于对所述用户的身份信息进行校验,确认所述用户身份合法。
16.如权利要求15所述的登录服务器,其特征在于,所述用户的身份信息为所述用户的身份标识和/或所述用户的生物特征信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510907534.7A CN105391734B (zh) | 2015-12-10 | 2015-12-10 | 一种安全登录***及方法、登录服务器和认证服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510907534.7A CN105391734B (zh) | 2015-12-10 | 2015-12-10 | 一种安全登录***及方法、登录服务器和认证服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105391734A CN105391734A (zh) | 2016-03-09 |
| CN105391734B true CN105391734B (zh) | 2019-01-11 |
Family
ID=55423569
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510907534.7A Active CN105391734B (zh) | 2015-12-10 | 2015-12-10 | 一种安全登录***及方法、登录服务器和认证服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105391734B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| SG10201606164TA (en) * | 2016-07-26 | 2018-02-27 | Huawei Int Pte Ltd | System and method for obtaining a common session key between devices |
| CN106789952B (zh) * | 2016-11-30 | 2020-05-15 | 用友优普信息技术有限公司 | 一种局域网服务互联网化的方法和*** |
| CN107659574A (zh) * | 2017-10-10 | 2018-02-02 | 郑州云海信息技术有限公司 | 一种数据访问控制*** |
| CN110740116B (zh) * | 2018-07-20 | 2023-06-30 | 北京思源理想控股集团有限公司 | 一种多应用身份认证的***及方法 |
| CN109190341B (zh) * | 2018-07-26 | 2024-03-15 | 平安科技(深圳)有限公司 | 一种登录管理***和方法 |
| CN110912852B (zh) * | 2018-09-14 | 2022-04-08 | 阿里巴巴集团控股有限公司 | 获取密钥的方法、装置和***,存储介质和计算机终端 |
| CN109587123A (zh) * | 2018-11-21 | 2019-04-05 | 许继集团有限公司 | 双因子验证方法及认证服务器、生物特征验证服务器 |
| CN114070557A (zh) * | 2021-11-16 | 2022-02-18 | 中国银行股份有限公司 | 一种密码密钥的分发管理方法及*** |
| CN114844644A (zh) * | 2022-03-16 | 2022-08-02 | 深信服科技股份有限公司 | 资源请求方法、装置、电子设备及存储介质 |
| CN114760138B (zh) * | 2022-04-20 | 2024-02-13 | 深圳市昊洋智能有限公司 | 基于云架构下的视频会议***安全方法及装置 |
| CN115065559B (zh) * | 2022-08-15 | 2022-12-27 | 浙江毫微米科技有限公司 | 一种身份认证***、方法、装置、电子设备及存储介质 |
| CN116032556A (zh) * | 2022-12-13 | 2023-04-28 | 支付宝(杭州)信息技术有限公司 | 小程序应用的密钥协商方法及装置 |
| CN117294528B (zh) * | 2023-11-24 | 2024-02-09 | 北京亿赛通科技发展有限责任公司 | 一种基于Ukey的安全认证方法、装置及*** |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101192926A (zh) * | 2006-11-28 | 2008-06-04 | 北京握奇数据***有限公司 | 帐号保护的方法及*** |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4892093B1 (ja) * | 2010-11-09 | 2012-03-07 | 株式会社東芝 | 認証連携システム及びidプロバイダ装置 |
-
2015
- 2015-12-10 CN CN201510907534.7A patent/CN105391734B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101192926A (zh) * | 2006-11-28 | 2008-06-04 | 北京握奇数据***有限公司 | 帐号保护的方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105391734A (zh) | 2016-03-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105391734B (zh) | 一种安全登录***及方法、登录服务器和认证服务器 | |
| CN109962784B (zh) | 一种基于数字信封多证书的数据加解密及恢复方法 | |
| CN108810029B (zh) | 一种微服务架构服务间鉴权***及优化方法 | |
| CN107251035B (zh) | 账户恢复协议 | |
| CN109040067B (zh) | 一种基于物理不可克隆技术puf的用户认证设备及认证方法 | |
| CN108781227B (zh) | 用于在不可信云网络上的加密口令传输的方法和设备 | |
| CN110380852B (zh) | 双向认证方法及通信*** | |
| CN107810617B (zh) | 机密认证和供应 | |
| CN109756500B (zh) | 基于多个非对称密钥池的抗量子计算https通信方法和*** | |
| CN104219228B (zh) | 一种用户注册、用户识别方法及*** | |
| CN103763631B (zh) | 认证方法、服务器和电视机 | |
| CN105871857B (zh) | 认证方法、装置、***及治疗设备 | |
| CN111615105B (zh) | 信息提供、获取方法、装置及终端 | |
| CN101631305B (zh) | 一种加密方法及*** | |
| CN110198295A (zh) | 安全认证方法和装置及存储介质 | |
| CN108809633B (zh) | 一种身份认证的方法、装置及*** | |
| JP2016502377A (ja) | 安全計算を用いて安全性を提供する方法 | |
| CN112351037B (zh) | 用于安全通信的信息处理方法及装置 | |
| CN106533677B (zh) | 一种用户登录方法、用户终端及服务器 | |
| JP2012247858A (ja) | 認証システム及び認証方法 | |
| CN111740995A (zh) | 一种授权认证方法及相关装置 | |
| CN114374522B (zh) | 一种可信设备认证方法、装置、计算机设备及存储介质 | |
| TWI786039B (zh) | 線下支付方法、終端設備、後臺支付裝置及線下支付系統 | |
| CN113505353A (zh) | 一种认证方法、装置、设备和存储介质 | |
| TW201419888A (zh) | 伺服器認證方法、系統與一電腦可讀取媒體 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20160309 Assignee: Cedar golden Services Technology (Guangzhou) Co.,Ltd. Assignor: BUBI (BEIJING) NETWORK TECHNOLOGY Co.,Ltd. Contract record no.: X2021990000108 Denomination of invention: A secure login system and method, login server and authentication server Granted publication date: 20190111 License type: Common License Record date: 20210218 |