CN107454077B - 一种基于iki标识认证的单点登录方法 - Google Patents

一种基于iki标识认证的单点登录方法 Download PDF

Info

Publication number
CN107454077B
CN107454077B CN201710648422.3A CN201710648422A CN107454077B CN 107454077 B CN107454077 B CN 107454077B CN 201710648422 A CN201710648422 A CN 201710648422A CN 107454077 B CN107454077 B CN 107454077B
Authority
CN
China
Prior art keywords
identification
entity
user
server
public key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710648422.3A
Other languages
English (en)
Other versions
CN107454077A (zh
Inventor
李庄
欧阳震诤
杨艳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Erdos Dimanson Cryptography Technology Co ltd
Original Assignee
Beijing Dimansen Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Dimansen Technology Co ltd filed Critical Beijing Dimansen Technology Co ltd
Priority to CN201710648422.3A priority Critical patent/CN107454077B/zh
Publication of CN107454077A publication Critical patent/CN107454077A/zh
Application granted granted Critical
Publication of CN107454077B publication Critical patent/CN107454077B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3249Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及一种基于IKI标识认证的单点登录方法,包括以下步骤:发出访问请求,产生随机数r,连同标识一起发送到服务端;对标识进行验证,通过后,产生随机数R,并与r进行组合(R||r),用私钥进行签名,生成签名数据Sig1;发送R、标识、Sig1;验证标识,验证Sig1,验证通过后确认身份合法性;利用私钥对(R||r)进行签名,生成签名数据Sig2,将Sig2发送到服务器端;验证Sig2,验证通过后确认身份合法性,检查单点登录映射表,找出标识绑定的账号,生产用户令牌,定向到应用***;接收到用户令牌,取得用户的登录账号,将用户的状态置为登录,返回请求访问的页面,完成访问。本发明的有益效果:提高了单点登录***的安全性,给出了一种高强度的身份认证方法。

Description

一种基于IKI标识认证的单点登录方法
技术领域
本发明涉及信息安全技术领域,具体来说,涉及一种单点登录方法。
背景技术
随着信息技术和网络技术的迅猛发展,企业内部的应用***越来越多。例如人力资源管理***、财务***、OA***、客户关系管理***等。由于这些***互相独立,用户在使用每个应用***之前都必须按照相应的***身份进行登录,为此用户必须记住每一个***的用户名和密码,这给用户带来了不少麻烦。特别是随着***的增多,出错的可能性就会增加,受到非法截获和破坏的可能性也会增大,安全性就会相应降低。针对于这种情况,单点登录概念应运而生,并不断地被应用到企业应用***中。
单点登录是一种统一认证和授权机制,指访问不同应用中的受保护资源的同一用户,只需要登录一次,即通过一个应用中的安全验证后,再访问其他应用中的受保护资源时,不再需要重新登录验证。单点登录可以提高***的工作效率,降低***的出错几率。
伴随着单点登录领域研究的不断深入以及Web服务和应用***集成的持续升温,目前有多种单点登录解决方案。例如IBM公司的WebSphere单点登录解决方案,SUN公司的Sun Java System Access Manager,Microsoft的.Net Passport和NetegritySiteMinder,BEA的WebLogic,以及一些基于SAML的产品,比如OPENSAML和SourceID等。但是,现有的产品在单点登录的安全性还有一些不足,服务器之间的通信过程中大多数方案采用明文形式传送敏感信息,这些信息很容易被窃取,致使重要信息泄露。另外,在通信过程中大多数方案也没有对关键信息进行签名,容易遭到伪装攻击。
针对相关技术中的问题,目前尚未提出有效的解决方案。
发明内容
针对相关技术中的上述技术问题,本发明提出一种基于IKI标识认证的单点登录方法,能够解决以上技术问题。
为实现上述技术目的,本发明的技术方案是这样实现的:
一种基于IKI标识认证的单点登录方法,包括以下步骤:
S1用户端向服务器发出访问请求,产生随机数r,连同用户端标识一起发送到服务端;
S2服务器端对用户端标识进行验证,通过后,服务器端产生随机数R,并与用户端随机数r进行组合,为(R||r),用服务器端私钥进行签名,生成签名数据Sig1;
S3服务器端将随机数R、服务器端标识、签名数据Sig1发送到用户端;
S4用户端验证服务器端标识,验证通过后利用服务器标识中的公钥验证签名数据Sig1,验证通过后确认服务器端身份合法性;
S5用户端利用私钥对随机数(R||r)进行签名,生成签名数据Sig2,将签名数据Sig2发送到服务器端;
S6服务器利用用户端公钥验证签名数据Sig2,验证通过后确认用户端身份合法性;
S7服务器端登录认证设备检查用户单点登录映射表,找出该用户标识在相应的应用***上绑定的账号,生产用户令牌,重新定向到应用***;
S8应用***接收到统一格式的用户令牌,取得用户在本***的登录账号,将用户在本***的状态置为登录,返回用户请求访问的页面,完成用户对该应用***的访问。
进一步的,通过IKI标识管理中心生产所述服务器端标识、用户端标识、私钥和公钥。
进一步的,所述服务器端标识、用户端标识、私钥和公钥的生产步骤为:
S101IKI标识管理中心IMC公开参数:公钥矩阵PKMS,标识管理中心公钥PKIDorg,ECC曲线,基点G;其中公钥矩阵PKMS为标识管理中心私钥SKIDorg对公钥矩阵pkm、标识管理中心标识IDorg等参数的签名;
S102实体产生实体ID和相关参数:利用实体安全设备产生秘密值xID、秘密值公钥PKx=xID*G,利用ECC算法随机产生非对称密钥对SKh、PKh
S103加密需上传的部分参数:使用标识管理中心公钥PKIDorg对秘密值公钥PKx和随机非对称密钥公钥PKh加密:E(PKIDorg,PKx||PKh);
S104上传实体ID、E(PKIDorg,PKx||PKh)和标识有效日期至标识管理中心IMC;其中标识有效日期是根据应用需要确定是否上传;
S105标识管理中心进行实体ID查重,产生实体部分私钥:IMC确定实体ID组合标识有效期的唯一性后,利用PKMS和实体ID、标识有效期,计算该实体ID公钥PKID,利用私钥矩阵skm和实体ID、标识有效期计算实体ID私钥SKID、实体加密私钥SKE和将SKE变换后得到部分签名私钥SKS1;
S106标识管理中心IMC组装标识:使用标识管理机构私钥SKIDorg解密E(PKIDorg,PKx||PKh)得到PKx和PKh,组合实体ID签名公钥:PKS=SKS1*G+PKx;计算解密公钥PKE=SKE*G,用SKID对(PKS||PKE||生效日期||失效日期||IDorg||ID)签名,得到标识
Figure BDA0001367413020000031
S107下发标识和实体密钥:IMC利用PKh对SKE进行加密得到E(PKh,SKE),将E(PKh,SKE)与标识
Figure BDA0001367413020000032
发送给实体;
S108实体接收标识和密钥,组合签名私钥:利用SKh对E(PKh,SKE)进行解密得到SKE,将SKE进行变换后得到部分签名私钥SKS1,将SKS1与秘密值xID,安全保存SKS与SKE。
进一步的,在步骤S2和S4中,对所述服务器端标识和用户端标识的验证步骤具体为:
S201使用公钥矩阵和实体ID计算实体标识公钥;
S202利用标识公钥验证标识,如果验证正确,则标识有效予以通过,否则标识无效不通过;
S203验证通过后获取标识中的公钥对签名数据进行验证。
本发明的有益效果:本发明以IKI安全设备为载体,通过标识实现用户端及服务器端的双向认证,提高了单点登录***的安全性,给出了一种高强度的身份认证方法。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例所述的基于IKI标识认证的单点登录方法中涉及的***架构图;
图2是根据本发明实施例所述的基于IKI标识认证的单点登录方法中生成标识和密钥的流程图
图3是根据本发明实施例所述的基于IKI标识认证的单点登录方法中涉及的***原理图;图4是根据本发明实施例所述的基于IKI标识认证的单点登录方法中验证标识的流程图;
图5是根据本发明实施例所述的基于IKI标识认证的单点登录方法的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
如图5所示,根据本发明实施例所述的一种基于IKI标识认证的单点登录方法,包括以下步骤:
S1用户端向服务器发出访问请求,产生随机数r,连同用户端标识一起发送到服务端;
S2服务器端对用户端标识进行验证,通过后,服务器端产生随机数R,并与用户端随机数r进行组合,为(R||r),用服务器端私钥进行签名,生成签名数据Sig1;
S3服务器端将随机数R、服务器端标识、签名数据Sig1发送到用户端;
S4用户端验证服务器端标识,验证通过后利用服务器标识中的公钥验证签名数据Sig1,验证通过后确认服务器端身份合法性;
S5用户端利用私钥对随机数(R||r)进行签名,生成签名数据Sig2,将签名数据Sig2发送到服务器端;
S6服务器利用用户端公钥验证签名数据Sig2,验证通过后确认用户端身份合法性;
S7服务器端登录认证设备检查用户单点登录映射表,找出该用户标识在相应的应用***上绑定的账号,生产用户令牌,重新定向到应用***;
S8应用***接收到统一格式的用户令牌,取得用户在本***的登录账号,将用户在本***的状态置为登录,返回用户请求访问的页面,完成用户对该应用***的访问。
在本发明的一个具体实施例中,通过IKI标识管理中心生产所述服务器端标识、用户端标识、私钥和公钥。
在本发明的一个具体实施例中,,所述服务器端标识、用户端标识、私钥和公钥的生产步骤为:
S101IKI标识管理中心IMC公开参数:公钥矩阵PKMS,标识管理中心公钥PKIDorg,ECC曲线,基点G;其中公钥矩阵PKMS为标识管理中心私钥SKIDorg对公钥矩阵pkm、标识管理中心标识IDorg等参数的签名;
S102实体产生实体ID和相关参数:利用实体安全设备产生秘密值xID、秘密值公钥PKx=xID*G,利用ECC算法随机产生非对称密钥对SKh、PKh
S103加密需上传的部分参数:使用标识管理中心公钥PKIDorg对秘密值公钥PKx和随机非对称密钥公钥PKh加密:E(PKIDorg,PKx||PKh);
S104上传实体ID、E(PKIDorg,PKx||PKh)和标识有效日期至标识管理中心IMC;其中标识有效日期是根据应用需要确定是否上传;
S105标识管理中心进行实体ID查重,产生实体部分私钥:IMC确定实体ID组合标识有效期的唯一性后,利用PKMS和实体ID、标识有效期,计算该实体ID公钥PKID,利用私钥矩阵skm和实体ID、标识有效期计算实体ID私钥SKID、实体加密私钥SKE和将SKE变换后得到部分签名私钥SKS1;
S106标识管理中心IMC组装标识:使用标识管理机构私钥SKIDorg解密E(PKIDorg,PKx||PKh)得到PKx和PKh,组合实体ID签名公钥:PKS=SKS1*G+PKx;计算解密公钥PKE=SKE*G,用SKID对(PKS||PKE||生效日期||失效日期||IDorg||ID)签名,得到标识
Figure BDA0001367413020000051
S107下发标识和实体密钥:IMC利用PKh对SKE进行加密得到E(PKh,SKE),将E(PKh,SKE)与标识
Figure BDA0001367413020000052
发送给实体;
S108实体接收标识和密钥,组合签名私钥:利用SKh对E(PKh,SKE)进行解密得到SKE,将SKE进行变换后得到部分签名私钥SKS1,将SKS1与秘密值xID,安全保存SKS与SKE。
在本发明的一个具体实施例中,在步骤S2和S4中,对所述服务器端标识和用户端标识的验证步骤具体为:
S201使用公钥矩阵和实体ID计算实体标识公钥;
S202利用标识公钥验证标识,如果验证正确,则标识有效予以通过,否则标识无效不通过;
S203验证通过后获取标识中的公钥对签名数据进行验证。
为了方便理解本发明的上述技术方案,以下通过具体使用方式上对本发明的上述技术方案进行详细说明。
如图1所示,为本发明所述的一种基于IKI标识认证的单点登录方法所涉及的***架构图,单点登录***架构包含用户安全设备以及设置于服务器端的安全设备和登录认证设备,其中用户端安全设备中存储有用户的私钥、用户标识及公钥矩阵,服务器端安全设备中存储有服务器的私钥、服务器标识及公钥矩阵。所述用户安全设备为包含IKI芯片的USB-KEY或IC卡,服务器端安全设备为包含PCIe密码卡的服务器密码机或签名验签服务器。用户端与服务器端安全设备中都包括IKI算法单元,负责读取用户端与服务器端安全设备中的标识,验证标识合法性以及私钥签名、公钥验签名等身份认证流程。
如图2所示,基于上述单点登录***架构中IKI芯片标识认证中心首先根据每个用户的实体身份(可自定义,使用人名、单位名称等,需保证其唯一性)为其生产密钥及标识,具体步骤如下:
S101IKI标识管理中心IMC公开参数:公钥矩阵PKMS,标识管理中心公钥PKIDorg,ECC曲线,基点G;其中公钥矩阵PKMS为标识管理中心私钥SKIDorg对公钥矩阵pkm、标识管理中心标识IDorg等参数的签名;
S102实体产生实体ID和相关参数:利用实体安全设备产生秘密值xID、秘密值公钥PKx=xID*G,利用ECC算法随机产生非对称密钥对SKh、PKh
S103加密需上传的部分参数:使用标识管理中心公钥PKIDorg对秘密值公钥PKx和随机非对称密钥公钥PKh加密:E(PKIDorg,PKx||PKh);
S104上传实体ID、E(PKIDorg,PKx||PKh)和标识有效日期至标识管理中心IMC;其中标识有效日期是根据应用需要确定是否上传;
S105标识管理中心进行实体ID查重,产生实体部分私钥:IMC确定实体ID组合标识有效期的唯一性后,利用PKMS和实体ID、标识有效期,计算该实体ID公钥PKID,利用私钥矩阵skm和实体ID、标识有效期计算实体ID私钥SKID、实体加密私钥SKE和将SKE变换后得到部分签名私钥SKS1;
S106标识管理中心IMC组装标识:使用标识管理机构私钥SKIDorg解密E(PKIDorg,PKx||PKh)得到PKx和PKh,组合实体ID签名公钥:PKS=SKS1*G+PKx;计算解密公钥PKE=SKE*G,用SKID对(PKS||PKE||生效日期||失效日期||IDorg||ID)签名,得到标识
Figure BDA0001367413020000061
S107下发标识和实体密钥:IMC利用PKh对SKE进行加密得到E(PKh,SKE),将E(PKh,SKE)与标识
Figure BDA0001367413020000062
发送给实体;
S108实体接收标识和密钥,组合签名私钥:利用SKh对E(PKh,SKE)进行解密得到SKE,将SKE进行变换后得到部分签名私钥SKS1,将SKS1与秘密值xID,安全保存SKS与SKE。
如图3和5所示,基于上述单点登录***,用户将用户安全设备与用户登录设备相连,通过用户登录设备访问服务器的登录页面,提示用户输入PIN码打开用户安全设备,输入PIN码后,用户安全设备被开启,此时进行一下步骤,实现本发明所述的单点登录方法,具体为:
S1用户端向服务器发出访问请求,产生随机数r,连同用户端标识一起发送到服务端;
S2服务器端对用户端标识进行验证,通过后,服务器端产生随机数R,并与用户端随机数r进行组合(R||r),用服务器端私钥进行签名,生成签名数据Sig1;
S3服务器端将随机数R、服务器端标识、签名数据Sig1发送到用户端;
S4用户端验证服务器端标识,验证通过后利用服务器标识中的公钥验证签名数据Sig1,验证通过后确认服务器端身份合法性;
S5用户端利用私钥对随机数(R||r)进行签名,生成签名数据Sig2,将签名数据Sig2发送到服务器端;
S6服务器利用用户端公钥验证签名数据Sig2,验证通过后确认用户端身份合法性;
S7服务器端登录认证设备检查用户单点登录映射表,找出该用户标识在相应的应用***上绑定的账号,生产用户令牌,重新定向到应用***;
S8应用***接收到统一格式的用户令牌,取得用户在本***的登录账号,将用户在本***的状态置为登录,返回用户请求访问的页面,完成用户对该应用***的访问。
在上述单点登录方法中,对服务器端标识和用户端标识的验证步骤为:
S201使用公钥矩阵和实体ID计算实体标识公钥;
S202利用标识公钥验证标识,如果验证正确,则标识有效予以通过,否则标识无效不通过;S203验证通过后获取标识中的公钥对签名数据进行验证。
在本发明的一个具体实施例中,当已知标识管理机构公布的参数公钥矩阵PKMS,此时,实体A获知实体B实体ID、标识
Figure BDA0001367413020000071
则对应的对服务器端标识和用户端标识的验证步骤具体为:
1、利用公钥矩阵PKMS和实体B实体IDB计算实体B标识公钥{PKID}B
2、验证标识有效性:用实体B标识公钥{PKID}B验证实体B的标识
Figure BDA0001367413020000072
如果验证正确,则标识有效予以通过,否则标识无效不通过;
3、验证通过后获取标识中的公钥对签名数据进行验证。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (2)

1.一种基于IKI标识认证的单点登录方法,其特征在于,包括以下步骤:
S1用户端向服务器发出访问请求,产生随机数r,连同用户端标识一起发送到服务器;
S2服务器对用户端标识进行验证,通过后,服务器产生随机数R,并与用户端随机数r进行组合,为(R||r),用服务器私钥进行签名,生成签名数据Sig1;
S3服务器将随机数R、服务器标识、签名数据Sig1发送到用户端;
S4用户端验证服务器标识,验证通过后利用服务器标识中的公钥验证签名数据Sig1,验证通过后确认服务器身份合法性;
S5用户端利用私钥对随机数(R||r)进行签名,生成签名数据Sig2,将签名数据Sig2发送到服务器;
S6服务器利用用户端公钥验证签名数据Sig2,验证通过后确认用户端身份合法性;
S7服务器登录认证设备检查用户单点登录映射表,找出该用户端标识在相应的应用***上绑定的账号,生产用户令牌,重新定向到应用***;
S8应用***接收到统一格式的用户令牌,取得用户在本***的登录账号,将用户在本***的状态置为登录,返回用户请求访问的页面,完成用户对该应用***的访问;
通过标识管理中心生产所述服务器标识、用户端标识、私钥和公钥;
所述服务器标识、用户端标识、私钥和公钥的生产步骤为:
S101标识管理中心公开参数:公钥矩阵PKMS,标识管理中心公钥PKIDorg,ECC曲线,基点G;其中公钥矩阵PKMS为标识管理中心私钥SKIDorg对公钥矩阵pkm、标识管理中心标识IDorg的签名;
S102实体产生实体ID和相关参数:利用实体安全设备产生秘密值xID、秘密值公钥PKx=xID*G,利用ECC算法随机产生非对称密钥对SKh、PKh
S103加密需上传的部分参数:使用标识管理中心公钥PKIDorg对秘密值公钥PKx和随机非对称密钥公钥PKh加密:E(PKIDorg,PKx||PKh);
S104上传实体ID、E(PKIDorg,PKx||PKh)和标识有效日期至标识管理中心;其中标识有效日期是根据应用需要确定是否上传;
S105标识管理中心进行实体ID查重,产生实体部分私钥:IMC确定实体ID组合标识有效期的唯一性后,利用PKMS和实体ID、标识有效期,计算该实体ID公钥PKID,利用私钥矩阵skm和实体ID、标识有效期计算实体ID私钥SKID、实体加密私钥SKE和将SKE变换后得到部分签名私钥SKS1;
S106标识管理中心组装标识:使用标识管理机构私钥SKIDorg解密E(PKIDorg,PKx||PKh)得到PKx和PKh,组合实体ID签名公钥:PKS=SKS1*G+PKx;计算解密公钥PKE=SKE*G,用SKID对(PKS||PKE||生效日期||失效日期||IDorg||ID)签名,得到标识
Figure FDA0002361074480000021
S107下发标识和实体密钥:IMC利用PKh对SKE进行加密得到E(PKh,SKE),将E(PKh,SKE)与标识SKID[PKS||PKE||生效日期||失效日期||IDorg||ID]发送给实体;
S108实体接收标识和密钥,组合签名私钥:利用SKh对E(PKh,SKE)进行解密得到SKE,将SKE进行变换后得到部分签名私钥SKS1,将SKS1与秘密值xID求和得到签名私钥SKS=xID+SKS1,删除秘密值xID,安全保存SKS与SKE。
2.根据权利要求1所述的一种基于IKI标识认证的单点登录方法,其特征在于,在步骤S2和S4中,对所述服务器标识和用户端标识的验证步骤具体为:
S201使用公钥矩阵和实体ID计算实体标识公钥;
S202利用标识公钥验证标识,如果验证正确,则标识有效予以通过,否则标识无效不通过;
S203验证通过后获取标识中的公钥对签名数据进行验证。
CN201710648422.3A 2017-08-01 2017-08-01 一种基于iki标识认证的单点登录方法 Active CN107454077B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710648422.3A CN107454077B (zh) 2017-08-01 2017-08-01 一种基于iki标识认证的单点登录方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710648422.3A CN107454077B (zh) 2017-08-01 2017-08-01 一种基于iki标识认证的单点登录方法

Publications (2)

Publication Number Publication Date
CN107454077A CN107454077A (zh) 2017-12-08
CN107454077B true CN107454077B (zh) 2020-05-19

Family

ID=60490685

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710648422.3A Active CN107454077B (zh) 2017-08-01 2017-08-01 一种基于iki标识认证的单点登录方法

Country Status (1)

Country Link
CN (1) CN107454077B (zh)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101816651B1 (ko) * 2017-02-14 2018-01-09 주식회사 코인플러그 Utxo 기반 프로토콜의 블록체인 데이터베이스를 사용하여 서비스 제공 서버에 의하여 제공되는 서비스를 이용하기 위한 사용자의 로그인 요청에 대하여 pki 기반의 인증을 통해 로그인을 대행하는 방법 및 이를 이용한 서버
CN109510822A (zh) * 2018-11-08 2019-03-22 蓝信移动(北京)科技有限公司 获取公私钥的方法和***
CN110287685A (zh) * 2019-06-28 2019-09-27 浪潮云信息技术有限公司 基于国产cpu、操作***和数据库的key认证方法及***
CN110321682B (zh) * 2019-07-08 2021-10-22 国网电子商务有限公司 一种基于uaf和ibc的统一身份认证方法及装置
CN110336820B (zh) * 2019-07-09 2022-08-05 中国联合网络通信集团有限公司 单点登出方法、装置、设备、存储介质及***
CN110505207A (zh) * 2019-07-19 2019-11-26 苏州浪潮智能科技有限公司 一种基于ukey认证的单点登录实现方法
CN110661783B (zh) * 2019-08-28 2022-04-26 视联动力信息技术股份有限公司 一种终端的注册方法、装置和存储介质
CN111698225B (zh) * 2020-05-28 2022-08-19 国家电网有限公司 一种适用于电力调度控制***的应用服务认证加密方法
CN112039674B (zh) * 2020-08-06 2021-07-20 珠海格力电器股份有限公司 中控***访问和签名标识生成方法、装置及存储介质
CN112887331B (zh) * 2021-02-26 2022-07-08 政采云有限公司 一种不同单点登录***间的双向认证方法、装置及设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102238484A (zh) * 2010-04-22 2011-11-09 中兴通讯股份有限公司 机器对机器的通信***中基于组的认证方法及***
CN102710605A (zh) * 2012-05-08 2012-10-03 重庆大学 一种云制造环境下的信息安全管控方法
CN102739687A (zh) * 2012-07-09 2012-10-17 广州杰赛科技股份有限公司 基于标识的应用服务网络访问方法及***
CN104378210A (zh) * 2014-11-26 2015-02-25 成都卫士通信息安全技术有限公司 跨信任域的身份认证方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103237004A (zh) * 2013-03-15 2013-08-07 福建联迪商用设备有限公司 密钥下载方法、管理方法、下载管理方法及装置和***
JP6256116B2 (ja) * 2014-03-10 2018-01-10 富士通株式会社 通信端末、セキュアログイン方法、及びプログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102238484A (zh) * 2010-04-22 2011-11-09 中兴通讯股份有限公司 机器对机器的通信***中基于组的认证方法及***
CN102710605A (zh) * 2012-05-08 2012-10-03 重庆大学 一种云制造环境下的信息安全管控方法
CN102739687A (zh) * 2012-07-09 2012-10-17 广州杰赛科技股份有限公司 基于标识的应用服务网络访问方法及***
CN104378210A (zh) * 2014-11-26 2015-02-25 成都卫士通信息安全技术有限公司 跨信任域的身份认证方法

Also Published As

Publication number Publication date
CN107454077A (zh) 2017-12-08

Similar Documents

Publication Publication Date Title
CN107454077B (zh) 一种基于iki标识认证的单点登录方法
CA2531533C (en) Session-based public key infrastructure
US9860245B2 (en) System and methods for online authentication
CN108834144B (zh) 运营商码号与账号的关联管理方法与***
KR101298562B1 (ko) 일회용 사설키를 사용하여 디지털 서명을 구현하기 위한시스템 및 방법
US8332920B2 (en) Token-based client to server authentication of a secondary communication channel by way of primary authenticated communication channels
US8843415B2 (en) Secure software service systems and methods
CN104601593B (zh) 基于挑战方式实现网络电子身份认证过程中防追踪的方法
CN109450843B (zh) 一种基于区块链的ssl证书管理方法及***
EP2027664A2 (en) A method and apparatus to provide authentication and privacy with low complexity devices
CN102170354A (zh) 集中账号密码认证生成***
US11625476B2 (en) Remote processing of credential requests
MX2012011105A (es) Autoridad de certificado.
CN106936588A (zh) 一种硬件控制锁的托管方法、装置及***
KR102012262B1 (ko) 키 관리 방법 및 fido 소프트웨어 인증장치
CN108737376A (zh) 一种基于指纹和数字证书的双因子认证方法及***
KR101007375B1 (ko) 스마트 카드 인증서 관리 장치 및 방법
CN104486087A (zh) 一种基于远程硬件安全模块的数字签名方法
US11082236B2 (en) Method for providing secure digital signatures
CN114079645A (zh) 注册服务的方法及设备
CN110168550A (zh) 基于随机数的数据消息认证
KR101868564B1 (ko) 사용자 본인 확인(identification) 등록과 로컬 인증을 연계한 사용자 인증 장치 및 방법
WO2022124352A1 (ja) リクエスト検証システムおよびリクエスト検証方法
Bakare et al. Improved Secure Biometric Authentication Protocol
TWI475866B (zh) 鏈架構之認證方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20221111

Address after: 017010 No. 1, No. 4, Dongwei Second Road North, Ordos, Inner Mongolia Autonomous Region (the fifth floor of the original Huatai Automobile Factory office building)

Patentee after: Erdos Dimanson Cryptography Technology Co.,Ltd.

Address before: 100012 unit 402, building 1, yard 5, Laiguangying West Road, Wangjing Chengying center, Chaoyang District, Beijing

Patentee before: BEIJING DIMANSEN TECHNOLOGY Co.,Ltd.