CN111740840B - 一种多UKey认证***、方法、设备及存储介质 - Google Patents

一种多UKey认证***、方法、设备及存储介质 Download PDF

Info

Publication number
CN111740840B
CN111740840B CN202010464740.6A CN202010464740A CN111740840B CN 111740840 B CN111740840 B CN 111740840B CN 202010464740 A CN202010464740 A CN 202010464740A CN 111740840 B CN111740840 B CN 111740840B
Authority
CN
China
Prior art keywords
ukey
authority
authentication
module
authentication module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010464740.6A
Other languages
English (en)
Other versions
CN111740840A (zh
Inventor
康学重
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Inspur Intelligent Technology Co Ltd
Original Assignee
Suzhou Inspur Intelligent Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Inspur Intelligent Technology Co Ltd filed Critical Suzhou Inspur Intelligent Technology Co Ltd
Priority to CN202010464740.6A priority Critical patent/CN111740840B/zh
Publication of CN111740840A publication Critical patent/CN111740840A/zh
Application granted granted Critical
Publication of CN111740840B publication Critical patent/CN111740840B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种多UKey认证***、方法、设备及存储介质,所述***包括:权限认证模块、UKey驱动模块、UKey认证模块和UKey;UKey,用于认证用户身份;权限认证模块,用于预设权限认证的UKey组合和UKey对应权限;UKey驱动模块,用于传递UKey和UKey认证模块的校验交互信息;UKey认证模块,用于根据权限认证模块预设的信息,校验UKey及对应权限。所述方法包括预设权限认证的UKey组合和UKey对应权限;UKey和UKey认证模块通过UKey驱动模块校验交互,UKey认证模块根据预设的信息,校验UKey及对应权限。本发明能够解决多用户同时认证问题,为保密等级较高且权限控制复杂的***提供了一种安全认证的方式,使得***可以支持多UKey认证,且能够更好的控制访问权限。

Description

一种多UKey认证***、方法、设备及存储介质
技术领域
本发明涉及安全认证领域,具体涉及一种多UKey认证***、方法、设备及存储介质。
背景技术
基于UKey(USB Key,电子钥匙)的身份认证方式是近几年发展起来的一种方便、安全、可靠的身份认证技术。它采用一次一密的强双因子认证模式,很好地解决了身份认证的安全可靠性,并提供USB(Universal Serial Bus,通用串行总线)接口与电脑相连。
UKey是一种USB接口的小巧的硬件设备,内置了CPU(Central Processing Unit,中央处理器)、存储器、芯片操作***(Chip Operating System,COS),可以存储用户的密钥或数字证书,利用UKey内置的密码算法实现对用户身份的认证。UKey具有安全数据存储空间,可以存储数字证书、密钥等秘密数据,对该存储空间的读写必须通过程序实现,用户无法直接读取,其中用户密钥是不可导出的,从而杜绝了用户证书的泄露。UKey内置CPU,可以实现加解密和签名验签等功能,加解密及签名运算在UKey内进行,保证了密钥不会出现在计算机内存中,从而杜绝了用户证书被黑客截取的可能。
然而,现有的UKey认证技术虽然能解决个人身份认证问题,但是单一UKey双因子认证模式无法解决复杂权限控制和多用户共同认证的问题,对保密等级较高的需要多用户同时认证的情况无能为力。
发明内容
为了解决上述技术问题,本发明提出了一种多UKey认证***、方法、设备及存储介质,能够解决多用户同时认证问题,为保密等级较高且权限控制复杂的***提供了一种安全认证的方式。
为实现上述目的,本发明采用以下技术方案:
一种多UKey认证***,包括:权限认证模块、UKey驱动模块、UKey认证模块和UKey;
UKey,用于认证用户身份;
权限认证模块,用于预设权限认证的UKey组合和UKey对应权限;
UKey驱动模块,用于传递UKey和UKey认证模块的校验交互信息;
UKey认证模块,用于根据权限认证模块预设的信息,校验UKey及对应权限。
进一步地,所述UKey驱动模块还用于检测UKey是否***,读取***UKey的UKeyID。
进一步地,所述权限认证模块包括预设权限列表,预设权限列表包含UKey ID字段、是否必须项字段、权限占比字段和权限列表字段;
UKey ID字段与UKey用户一一对应;
是否必须项字段,用于指示该UKey用户是否为验证通过的必须UKey用户;
权限占比字段,用于验证非必须UKey用户,当是否必须项字段为否时,验证通过条件为参与认证的UKey的权限占比字段的值之和大于等于1;
权限列表字段为UKey用户的权限列表,用于判断验证通过后的用户权限;权限区分并集和交集,其中,并集权限要求参与认证的任意一个用户具有该权限,交集权限要求所有参与认证的用户均具有该权限。
进一步地,所述预设权限列表向UKey认证模块提供查询权限。
本发明还提出了一种多UKey认证方法,包括:
预设权限认证的UKey组合和UKey对应权限;
UKey和UKey认证模块通过UKey驱动模块校验交互,UKey认证模块根据预设的信息,校验UKey及对应权限。
进一步地,所述预设权限认证的UKey组合和UKey对应权限通过预设权限列表实现,所述预设权限列表包含UKey ID字段、是否必须项字段、权限占比字段和权限列表字段;
UKey ID字段与UKey用户一一对应;
是否必须项字段,用于指示该UKey用户是否为验证通过的必须UKey用户;
权限占比字段,用于验证非必须UKey用户,当是否必须项字段为否时,验证通过条件为参与认证的UKey的权限占比字段的值之和大于等于1;
权限列表字段为UKey用户的权限列表,用于判断验证通过后的用户权限;权限区分并集和交集,其中,并集权限要求参与认证的任意一个用户具有该权限,交集权限要求所有参与认证的用户均具有该权限。
进一步地,所述校验交互包括:
UKey驱动模块向UKey认证模块发送随机字符串请求;
UKey认证模块返回随机字符串和随机字符串加盐Hash值;
UKey驱动模块将随机字符串发送至UKey,UKey对随机字符串进行加密,返回随机字符串加密串;
UKey驱动模块打包所有参与认证的UKey的随机字符串加密串、随机字符串、随机字符串加盐Hash值和UKey ID,发送至UKey认证模块;
UKey认证模块逐个校验每个UKey的随机字符串加密串、随机字符串、随机字符串加盐Hash值,获取UKey ID的校验结果;
UKey认证模块查询预设权限列表,验证校验结果是否通过,若校验结果通过,返回通过结果、用户权限和token令牌。
本发明还提出了一种多UKey认证设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上所述多UKey认证方法的步骤。
本发明还提出了一种存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述多UKey认证方法的步骤。
本发明的有益效果是:
本发明通过提出一种多UKey认证***、方法、设备及存储介质,为保密等级较高且权限控制复杂的***提供了一种安全认证的方式。本发明对现有的UKey认证技术的UKey认证数目进行了扩充,支持多UKey同时认证,能满足保密等级较高的特定场景,能够更灵活的对权限进行组合,在后台认证服务校验通过后,能对根据校验通过的UKey对权限进行灵活组合,使得***可以支持多UKey认证,且能更好的控制访问权限。
附图说明
图1是本发明实施例多UKey认证***结构示意图;
图2是本发明实施例UKey认证***的权限认证模块权限认证流程示意图;
图3是本发明实施例多UKey认证方法流程示意图。
具体实施方式
为能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。
如图1所示,本发明实施例公开了一种多UKey认证***,包括:权限认证模块、UKey驱动模块、UKey认证模块和UKey;
UKey,用于认证用户身份;
权限认证模块,用于预设权限认证的UKey组合和UKey对应权限;
UKey驱动模块,用于传递UKey和UKey认证模块的校验交互信息;
UKey认证模块,用于根据权限认证模块预设的信息,校验UKey及对应权限。
具体地,所述UKey即如上背景技术所介绍的通过USB接口直接与计算机相连、具有密码验证功能、可靠高速的小型存储设备。使用AES加密算法对UKey认证模块的随机字符串进行加密。
所述UKey驱动模块为运行在客户操作***上的后台服务,是UKey和UKey认证模块进行信息交互的媒介。具备主要功能如下:
检测UKey是否***,若***,则启动认证流程,否则保持静默;
若检测到UKey***,则从UKey中读取UKey ID等信息,用于判定UKey所属用户;
传递UKey和UKey认证模块的校验交互信息;向UKey认证模块发送随机字符串请求,该字符串将用于加密、解密及验证操作;向UKey发送获取的随机字符串;向UKey认证模块发送UKey加密的随机字符串加密串等;
UKey驱动模块还具有其它具体业务请求及数据处理功能。
所述UKey认证模块运行在***服务器,具备主要功能如下:根据UKey驱动模块发送的随机字符串请求返回随机字符串和随机字符串加盐Hash值,该随机字符串具有不可预测性;
对UKey驱动模块传回的随机字符串再次进行加盐Hash计算,随后对比两次的Hash值,以确认随机字符串是否被篡改,完成对随机字符串的校验;
对随机字符串利用与UKey相同的AES密钥进行加密,与UKey传来的随机字符串加密串进行比对,以完成对UKey加密的随机字符串加密串的校验;
UKey认证模块还具有其它的业务请求处理功能。
所述权限认证模块包括预设权限列表,位于服务端,用户不可直接访问。预设权限列表向UKey认证模块提供查询权限。预设权限列表包含UKey ID字段、是否必须项字段、权限占比字段和权限列表字段。
UKey ID字段与UKey用户一一对应,由UKey驱动模块读取,ID唯一不重复。
是否必须项字段,用于指示该UKey用户是否为验证通过的必须UKey用户;该字段只有“是”、“否”两种值。
权限占比字段,用于验证非必须UKey用户;若“是否必须项”字段为“是”,则该字段无意义;若“是否必须项”字段为“否”,则查看该字段。该字段为小于1的浮点数,如0.25。若参与认证的UKey的该值相加≥1,则验证通过,否则不通过。权限认证流程如图2所示。
权限列表字段为UKey用户的权限列表,用于判断验证通过后的用户权限;权限区分并集和交集,其中,并集权限要求参与认证的任意一个用户具有该权限,交集权限要求所有参与认证的用户均具有该权限。例如,UKey A具有1、2权限,UKey B具有2、3权限,若1、2、3权限均是并集权限,则认证通过后具有1、2、3三个权限;若1、2、3权限均是交集权限,则认证通过后只有权限2。
如图3所示,本发明实施例还公开了一种多UKey认证方法,包括:
预设权限认证的UKey组合和UKey对应权限;
UKey和UKey认证模块通过UKey驱动模块校验交互,UKey认证模块根据预设的信息,校验UKey及对应权限。
具体地,所述多UKey认证方法的具体流程如下:
1)***UKey,由UKey的拥有者输入PIN码解密,随后UKey驱动模块获取UKey的UKeyID(IDA、IDB、IDC)。
2)用户打开UKey驱动模块的驱动软件页面,页面中显示***UKey的数量、UKey ID列表,供UKey所有者查看确认UKey数量、ID列表与所有者是否一一对应,待确认完毕后点击确认,启动后续验证。
3)当完成步骤1、2后,由UKey驱动模块向UKey认证模块发送随机字符串请求,并获取随机字符串(RandomStr)和字符串的加盐Hash(RandomHashStr)。
4)UKey驱动模块将随机字符串分发给UKey,UKey对随机字符串进行AES加密,随后UKey驱动模块收集所有加密后的随机字符串加密串(RandomEncryptStrA、RandomEncryptStrB、RandomEncryptStrC)。
5)UKey驱动模块将所有的随机字符串加密串(RandomEncryptStrA、RandomEncryptStrB、RandomEncryptStrC)、随机字符串(RandomStr)、随机字符串加盐Hash值(RandomHashStr)、UKey ID(IDA、IDB、IDC)打包发至UKey认证模块。
6)UKey认证模块接受到认证请求后对随机字符串加盐Hash(RandomHashStr)进行校验,并逐个校验随机字符串UKey加密串(RandomEncryptStrA、RandomEncryptStrB、RandomEncryptStrC),获取UKey ID的校验结果。
7)UKey认证模块查询预设权限表。若不满足预设列表预设权限,则返回不通过结果,告知用户校验失败;若满足预设列表预设权限,则返回通过结果、用户权限,并返回token令牌,继续后续的业务操作。
上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制。对于所属领域的技术人员来说,在上述说明的基础上还可以做出其它不同形式的修改或变形。这里无需也无法对所有的实施方式予以穷举。在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。

Claims (7)

1.一种多UKey认证***,其特征在于,包括:权限认证模块、UKey驱动模块、UKey认证模块和UKey;
UKey,用于认证用户身份;
权限认证模块,用于预设权限认证的UKey组合和UKey对应权限;
UKey驱动模块,用于传递UKey和UKey认证模块的校验交互信息;
UKey认证模块,用于根据权限认证模块预设的信息,校验UKey及对应权限;
所述权限认证模块包括预设权限列表,预设权限列表包含UKey ID字段、是否必须项字段、权限占比字段和权限列表字段;
UKey ID字段与UKey用户一一对应;
是否必须项字段,用于指示该UKey用户是否为验证通过的必须UKey用户;
权限占比字段,用于验证非必须UKey用户,当是否必须项字段为否时,验证通过条件为参与认证的UKey的权限占比字段的值之和大于等于1;
权限列表字段为UKey用户的权限列表,用于判断验证通过后的用户权限;权限区分并集和交集,其中,并集权限要求参与认证的任意一个用户具有该权限,交集权限要求所有参与认证的用户均具有该权限。
2.根据权利要求1所述的多UKey认证***,其特征在于,所述UKey驱动模块还用于检测UKey是否***,读取***UKey的UKey ID。
3.根据权利要求1所述的多UKey认证***,其特征在于,所述预设权限列表向UKey认证模块提供查询权限。
4.一种多UKey认证方法,其特征在于,包括:
预设权限认证的UKey组合和UKey对应权限;
UKey和UKey认证模块通过UKey驱动模块校验交互,UKey认证模块根据预设的信息,校验UKey及对应权限;
所述预设权限认证的UKey组合和UKey对应权限通过预设权限列表实现,所述预设权限列表包含UKey ID字段、是否必须项字段、权限占比字段和权限列表字段;
UKey ID字段与UKey用户一一对应;
是否必须项字段,用于指示该UKey用户是否为验证通过的必须UKey用户;
权限占比字段,用于验证非必须UKey用户,当是否必须项字段为否时,验证通过条件为参与认证的UKey的权限占比字段的值之和大于等于1;
权限列表字段为UKey用户的权限列表,用于判断验证通过后的用户权限;权限区分并集和交集,其中,并集权限要求参与认证的任意一个用户具有该权限,交集权限要求所有参与认证的用户均具有该权限。
5.根据权利要求4所述的多UKey认证方法,其特征在于,所述校验交互包括:
UKey驱动模块向UKey认证模块发送随机字符串请求;
UKey认证模块返回随机字符串和随机字符串加盐Hash值;
UKey驱动模块将随机字符串发送至UKey,UKey对随机字符串进行加密,返回随机字符串加密串;
UKey驱动模块打包所有参与认证的UKey的随机字符串加密串、随机字符串、随机字符串加盐Hash值和UKey ID,发送至UKey认证模块;
UKey认证模块逐个校验每个UKey的随机字符串加密串、随机字符串、随机字符串加盐Hash值,获取UKey ID的校验结果;
UKey认证模块查询预设权限列表,验证校验结果是否通过,若校验结果通过,返回通过结果、用户权限和token令牌。
6.一种多UKey认证设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求4至5任一项所述多UKey认证方法的步骤。
7.一种存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求4至5任一项所述多UKey认证方法的步骤。
CN202010464740.6A 2020-05-28 2020-05-28 一种多UKey认证***、方法、设备及存储介质 Active CN111740840B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010464740.6A CN111740840B (zh) 2020-05-28 2020-05-28 一种多UKey认证***、方法、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010464740.6A CN111740840B (zh) 2020-05-28 2020-05-28 一种多UKey认证***、方法、设备及存储介质

Publications (2)

Publication Number Publication Date
CN111740840A CN111740840A (zh) 2020-10-02
CN111740840B true CN111740840B (zh) 2022-11-15

Family

ID=72646464

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010464740.6A Active CN111740840B (zh) 2020-05-28 2020-05-28 一种多UKey认证***、方法、设备及存储介质

Country Status (1)

Country Link
CN (1) CN111740840B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107979473A (zh) * 2017-12-04 2018-05-01 山东渔翁信息技术股份有限公司 基于USB Key的身份认证的方法、装置、密码卡及介质
CN109347831A (zh) * 2018-10-24 2019-02-15 国家电网有限公司 一种基于UKey认证的双重认证安全接入***及方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107979473A (zh) * 2017-12-04 2018-05-01 山东渔翁信息技术股份有限公司 基于USB Key的身份认证的方法、装置、密码卡及介质
CN109347831A (zh) * 2018-10-24 2019-02-15 国家电网有限公司 一种基于UKey认证的双重认证安全接入***及方法

Also Published As

Publication number Publication date
CN111740840A (zh) 2020-10-02

Similar Documents

Publication Publication Date Title
JP6882254B2 (ja) 生体特徴に基づく安全性検証方法、クライアント端末、及びサーバ
US9875368B1 (en) Remote authorization of usage of protected data in trusted execution environments
US8572392B2 (en) Access authentication method, information processing unit, and computer product
US9210166B2 (en) Applying a partial password in a multi-factor authentication scheme
US8386795B2 (en) Information security device of Universal Serial Bus Human Interface Device class and data transmission method for same
US8683232B2 (en) Secure user/host authentication
KR100876003B1 (ko) 생체정보를 이용하는 사용자 인증방법
US8788836B1 (en) Method and apparatus for providing identity claim validation
US7861015B2 (en) USB apparatus and control method therein
US20070226516A1 (en) Data Communication Method and System
US20110126023A1 (en) Systems And Methods For Data Security
US20110314288A1 (en) Circuit, system, device and method of authenticating a communication session and encrypting data thereof
US20050228993A1 (en) Method and apparatus for authenticating a user of an electronic system
JP2007522540A (ja) バイオメトリック識別技術の利用に基づいたユーザー認証方法及び関連のアーキテクチャー
US20100228987A1 (en) System and method for securing information using remote access control and data encryption
JP5013931B2 (ja) コンピューターログインをコントロールする装置およびその方法
US20090187770A1 (en) Data Security Including Real-Time Key Generation
US20070180507A1 (en) Information security device of universal serial bus human interface device class and data transmission method for same
CN111740840B (zh) 一种多UKey认证***、方法、设备及存储介质
CN110659522A (zh) 存储介质安全认证方法、装置、计算机设备和存储介质
CN115455497A (zh) 一种计算机硬盘数据加密***及方法
CN114697113A (zh) 一种基于硬件加速卡的多方隐私计算方法、装置及***
CN116451188B (zh) 一种软件程序运行安全保护方法、***以及存储介质
CN116305330B (zh) 一种cpu硬件的安全管理方法
KR100649858B1 (ko) 공중전화 스마트 카드 발급/인증 시스템 및 그 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant