CN115086090A - 基于UKey的网络登录认证方法及装置 - Google Patents
基于UKey的网络登录认证方法及装置 Download PDFInfo
- Publication number
- CN115086090A CN115086090A CN202211010417.7A CN202211010417A CN115086090A CN 115086090 A CN115086090 A CN 115086090A CN 202211010417 A CN202211010417 A CN 202211010417A CN 115086090 A CN115086090 A CN 115086090A
- Authority
- CN
- China
- Prior art keywords
- ukey
- signature
- server
- certificate
- random number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明提供一种基于UKey的网络登录认证方法及装置,涉及计算机安全技术领域,该方法包括:验证用户输入的与UKey对应对的PIN码,验证通过后获取UKey的UKey凭证,将UKey凭证发送至服务器以请求签名随机数;接收服务器发送的签名随机数;采用UKey私钥对签名随机数进行签名,以得到签名信息;将包含签名信息的认证请求发送至服务器,以使服务器对签名信息进行验签,并在服务器验签通过且返回认证成功消息后登录所述服务器。该方法相对于传统的通过中间件的UKey认证方式,需要用户输入PIN码进行验证,验证通过后才能获取UKey凭证,并通过UKey凭证来实现后续认证,即使用户UKey丢失,获得者由于不知道该UKey的PIN码,无法冒充合法用户身份,从而提高了登录认证的安全性。
Description
技术领域
本发明涉及计算机安全技术领域,尤其涉及一种基于UKey的网络登录认证方法及装置。
背景技术
随着信息***在企业中占据越来越重要的地位,保障信息的安全也日益变得重要。因此,目前部分企业已经建设了CA(Certificate Authority)***,可以给企业人员发放数字证书,以确保信息***的安全访问。基于数字证书的身份认证的典型使用方法是针对已经拥有由CA颁发UKey的用户,用户在客户端计算机安装UKey驱动程序,即可实现在客户端使用UKey安全的登录信息***。
UKey是一种通过USB直接与计算机相连、具有密码验证功能、可靠高速的小型存储设备,是对现行的网络安全体系是一个极为有力的补充,通过中国信息安全测评认证中心认证的网络安全产品。基于可信计算以及智能卡技术,Ukey网络访问具有易用性,便携性和最高级别的安全性,而且UKey是集智能卡与读卡器于一体的USB设备,支持热插拔和即插即用功能,体积小、重量轻、便于携带。
常见的UKey认证方式是通过中间件进行双向认证,这类认证方式将UKey这一硬件作为了登录的唯一条件,只要将UKey***客户端电脑,便可通过认证登录相应的网络***,若UKey丢失会导致他人冒充合法身份用户登录***,安全性较差。
发明内容
本发明提供一种基于UKey的网络登录认证方法及装置,用以解决现有技术中UKey登录网络的方式安全性较差的问题。
第一方面,本发明提供一种基于UKey的网络登录认证方法,用于客户端,该方法包括:
验证用户输入的与UKey对应对的PIN码,验证通过后获取UKey的UKey凭证,所述UKey与UKey凭证一一对应 ;
将所述UKey凭证发送至服务器以请求签名随机数;
接收所述服务器发送的所述签名随机数;
采用UKey私钥对所述签名随机数进行签名,以得到签名信息;
将包含所述签名信息的认证请求发送至所述服务器,以使所述服务器对所述签名信息进行验签,并在服务器验签通过且返回认证成功消息后登录所述服务器。
根据本发明提供的一种基于UKey的网络登录认证方法,验证用户输入的与UKey对应对的PIN码,验证通过后获取UKey的UKey凭证,包括:
通过预设的浏览器插件验证所述PIN码;
验证通过后,所述浏览器插件从UKey中获取UKey凭证。
根据本发明提供的一种基于UKey的网络登录认证方法,采用UKey私钥对所述签名随机数进行签名,以得到签名信息,包括:
采用UKey私钥及所述浏览器插件中预设的加密算法对所述签名随机数进行签名,以得到签名信息。
根据本发明提供的一种基于UKey的网络登录认证方法,所述浏览器插件包括:IE浏览器插件和非IE浏览器插件。
第二方面,本发明提供一种基于UKey的网络登录认证方法,用于服务器端,该方法包括:
接收客户端发送的UKey凭证,并验证所述UKey凭证;
在所述UKey凭证验证通过后,生成签名随机数,并将所述签名随机数返回给客户端;
接收客户端发送的包括签名信息的认证请求,所述签名信息是客户端采用UKey私钥对所述签名随机数签名得到;
采用所述签名随机数和预置的与所述UKey私钥对应的UKey公钥对所述签名信息进行验签,验签成功后向所述客户端发送认证成功消息。
根据本发明提供的一种基于UKey的网络登录认证方法,验证所述UKey凭证,包括:
查询数据库,在所述数据库中查询到所述UKey凭证的情况下,则验证通过。
第三方面,本发明提供一种基于UKey的网络登录认证装置,用于客户端,该装置包括:
PIN码验证模块,用于验证用户输入的与UKey对应对的PIN码,验证通过后获取UKey的UKey凭证,所述UKey与UKey凭证一一对应;
UKey凭证发送模块,用于将所述UKey凭证发送至服务器以请求签名随机数;
签名随机数接收模块,用于接收所述服务器发送的所述签名随机数;
签名模块,用于采用UKey私钥对所述签名随机数进行签名,以得到签名信息;
认证请求发送模块,用于将包含所述签名信息的认证请求发送至所述服务器,以使所述服务器对所述签名信息进行验签,并在服务器验签通过且返回认证成功消息后登录所述服务器。
第四方面,本发明提供一种基于UKey的网络登录认证装置,用于服务器端,该装置包括:
UKey凭证验证模块,用于接收客户端发送的UKey凭证,并验证所述UKey凭证;
签名随机数生成模块,用于在所述UKey凭证验证通过后,生成签名随机数,并将所述签名随机数返回给客户端;
认证请求接收模块,用于接收客户端发送的包括签名信息的认证请求,所述签名信息是客户端采用UKey私钥对所述签名随机数签名得到;
验签模块,用于采用所述签名随机数和预置的与所述UKey私钥对应的UKey公钥对所述签名信息进行验签,验签成功后向所述客户端发送认证成功消息。
第五方面,本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述的应用于客户端的基于UKey的网络登录认证方法,或实现如上述任一种所述的应用于服务器端的基于UKey的网络登录认证方法。
第六方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述的应用于客户端的基于UKey的网络登录认证方法,或实现如上述任一种所述的应用于服务器端的基于UKey的网络登录认证方法。
本发明提供的基于UKey的网络登录认证方法及装置,验证用户输入的与UKey对应对的PIN码,验证通过后获取UKey的UKey凭证,将所述UKey凭证发送至服务器以请求签名随机数,接收所述服务器发送的所述签名随机数,采用UKey私钥对所述签名随机数进行签名,以得到签名信息,将包含所述签名信息的认证请求发送至所述服务器,以使所述服务器对所述签名信息进行验签,并在服务器验签通过且返回认证成功消息后登录所述服务器。相对于传统的通过中间件的UKey认证方式,需要用户输入PIN码进行验证,验证通过后才能获取UKey凭证,并通过UKey凭证来实现后续认证,因此即使用户UKey丢失,获得者由于不知道该硬件的PIN码,就无法冒充合法用户身份,从而提高了登录认证的安全性。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的基于UKey的网络登录认证方法的流程示意图之一;
图2是本发明提供的基于UKey的网络登录认证方法的流程示意图之二;
图3是本发明提供的基于UKey的网络登录认证装置的结构示意图之一;
图4是本发明提供的基于UKey的网络登录认证装置的结构示意图之二;
图5是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
UKey本身作为密钥存储器,自身硬件结构决定了用户只能通过厂商编程接口访问数据,这就保证了保存在UKey中的数字证书无法被复制,并且每一个UKey都带有身份识别码(Personal identification number,PIN)保护,这样UKey的硬件与PIN码就构成了使用UKey进行身份认证的双因子。如果用户UKey丢失,获得者由于不知道该硬件的PIN码,就无法冒充合法用户身份;如果用户PIN码泄露,只要保存好UKey硬件就可以保证自己的身份不被冒充。
基于上述原理,如图1所示,本发明第一实施例的基于UKey的网络登录认证方法,应用于客户端,该方法包括:
步骤S110,验证用户输入的与UKey对应对的PIN码,验证通过后获取UKey的UKey凭证,所述UKey与UKey凭证一一对应。其中,UKey凭证可以是唯一标识UKey的信息,例如:可采用用户邮箱作为UKey凭证,验证PIN码的目的是验证用户对当前UKey是否有使用权,以保证UKey本身安全性。
步骤S120,将所述UKey凭证发送至服务器以请求签名随机数。
步骤S130,接收所述服务器发送的所述签名随机数。
步骤S140,采用UKey私钥对所述和签名随机数进行签名,以得到签名信息。
步骤S150,将包含所述签名信息的认证请求发送至所述服务器,以使所述服务器对所述签名信息进行验签,并在服务器验签通过且返回认证成功消息后登录所述服务器。
本实施例的基于UKey的网络登录认证方法,相对于传统的通过中间件的UKey认证方式,需要用户输入PIN码进行验证,验证通过后才能获取UKey凭证,并通过UKey凭证来实现后续认证,因此即使用户UKey丢失,获得者由于不知道该硬件的PIN码,就无法冒充合法用户身份,从而提高了登录认证的安全性。而且对签名随机数签名并验签进一步保证安全性的同时,签名随机数还保证签名信息的时效性、签名信息不被截取利用。
本实施例中,步骤S110包括:
通过预设的浏览器插件验证所述PIN码,PIN码校验接口由该浏览器插件提供,可验证输入PIN码的正确性。具体地,浏览器插件通过服务端中业务管理***提供的接口从UKey中获取PIN码,将用户输入的PIN码与从UKey中获取的PIN码比对,若一致,则验证通过。
验证通过后,所述浏览器插件从UKey中获取UKey凭证。
本实施例中,步骤S140包括:
采用UKey私钥及所述浏览器插件中预设的加密算法对所述签名随机数进行签名,以得到签名信息。具体地,UKey提供UKey私钥和标准的PKCS 11接口,PKCS 11接口用作扩展开发,浏览器插件中实现加密算法,并通过PKCS 11接口获取UKey私钥。其中,加密算法可以是SHA1_RSA算法等。该SHA1_RSA算法分成两部分,SHA1(Secure Hash Algorithm1)对签名随机数进行签名,签名后再采用RSA(一种非对称加密算法)加密,因此,上述签名信息是加密后的签名信息。
所述浏览器插件包括:IE浏览器插件和非IE浏览器插件,服务端中业务管理***通过内置的JS脚本识别当前打开登录页面的浏览器的特征(例如:JS脚本识别浏览器的版本号、内核代码等),根据特征能够自动区分IE浏览器和非IE浏览器,从而使当前浏览器分别调用与自身对应的插件接口,实现不同浏览器和对应插件之间的通信。
可选地,在步骤S110之前还包括:
接收并展示服务器推送的登录选择界面。具体地,用户在客户端打开服务器的网址时,客户端会展示服务器推送的登录选择界面。
接收用户选择的登录方式,并生成相应的登录方式指令,将登录方式指令上传至服务器,以请求服务器根据登录方式指令推送相应的登录界面。登录方式包括:账户密码登录或UKey登录。具体地,在打开登录服务器的登录选择界面后,用户在登录选择界面上点击相应的登录选择方式按钮以生成相应的登录方式指令,即选择相应登录方式。
展示服务器在收到登录方式指令后推送的与登录方式指令相应的登录界面。
具体地,若生成的是UKey登录方式指令,则展示服务器推送的UKey登录界面。之后便可执行步骤S110~S150。若生成的是账户密码方式指令,则展示服务器推送的账户密码登录界面。之后便可按账户密码方式登录,即用户在账户密码登录界面输入账户和密码,服务器端通过验证后即可登录。
选择账户密码方式登录相对于UKey登录方式,安全性较低,可能会被破解账户和密码,但不需要***UKey,登录更方便快捷,而UKey登录方式安全性更高。用户可根据不同场景选择登录方式,例如:在企业内部网络,可选择方便快捷的账户密码登录方式,在其它外部网络,可选用UKey登录方式,以保证登录的安全性。
当然无论哪种登录方式,服务器端都事先配置了相关信息,服务器端配置了用户的账户和密码,以便于在账户密码登录时验证,还UKey凭证及UKey公钥等相关信息。
如图2所示,本发明第二实施例提供的基于Ukey的网络登录认证方法,应用于服务器端,该方法包括:
步骤210,接收客户端发送的UKey凭证,并验证所述UKey凭证,所述UKey凭证是客户端在输入正确的PIN码后获取得到。需要说明的是,服务器端预先配置有用户的UKey相关信息,包括:UKey凭证及UKey公钥。
步骤220,在所述UKey凭证验证通过后,生成签名随机数,并将所述签名随机数返回给客户端。
步骤230,接收客户端发送的包括签名信息的认证请求,所述签名信息是客户端采用UKey私钥对所述签名随机数签名得到。
步骤240,采用所述签名随机数和预置的与所述UKey私钥对应的UKey公钥对所述签名信息进行验签,验签成功后向所述客户端发送认证成功消息,客户端收到认证成功消息后便可登录服务器。具体地,服务器端预置有与浏览器插件中加密算法相应的解密算法,例如:上述的SHA1_RSA算法,通过解密算法对签名信息进行验签。
本实施例的基于UKey的网络登录认证方法,相对于传统的通过中间件的UKey认证方式,需要用户输入PIN码进行验证,验证通过后才能获取UKey凭证,并通过UKey凭证来实现后续认证,因此即使用户UKey丢失,获得者由于不知道该硬件的PIN码,就无法冒充合法用户身份,从而提高了登录认证的安全性。而且对签名随机数签名并验签进一步保证安全性的同时,签名随机数还保证签名信息的时效性、签名信息不被截取利用。
步骤S210中,验证所述UKey凭证包括:查询数据库,在所述数据库中查询到所述UKey凭证的情况下,则验证通过。在新增用户时,该用户的UKey凭证,例如:用户邮箱被配置在服务器的业务管理***的数据库中,通过查询数据库中是否包含与接收到的UKey凭证来验证UKey凭证是否合法。
可选地,在步骤210之前还包括:
将登录选择界面推送到客户端展示,登录选择界面包含有账户密码登录和UKey登录的登录方式选择按钮,以使客户端接收用户选择的登录方式并生成登录方式指令。具体地,在客户端,服务器网址被打开后,服务器将登录选择界面推送到客户端展示,用户在登录选择界面选择登录方式。
接收用户选择后生成的登录方式指令。
将与登录方式指令对应的登录界面推送到客户端展示。具体地,若接收到的是UKey登录方式指令,则推送UKey登录界面至客户端展示。之后便可执行步骤S210~S240,以验证用户登录。若接收到的是账户密码登录方式指令,则推送账户密码登录界面至客户端展示。之后便可根据接收到的客户端上传的用户输入的账户密码进行验证。
下面对本发明提供的基于UKey的网络登录认证装置进行描述,下文描述的基于UKey的网络登录认证装置与上文描述的基于UKey的网络登录认证方法可相互对应参照。
如图3所示,本发明第三实施例的基于UKey的网络登录认证装置,用于客户端,该装置包括:
PIN码验证模块310,用于验证用户输入的与UKey对应对的PIN码,验证通过后获取UKey的UKey凭证,所述UKey与UKey凭证一一对应;
UKey凭证发送模块320,用于将所述UKey凭证发送至服务器以请求签名随机数;
签名随机数接收模块330,用于接收所述服务器发送的所述签名随机数;
签名模块340,用于采用UKey的私钥对所述签名随机数进行签名,以得到签名信息;
认证请求发送模块350,用于将包含所述签名信息的认证请求发送至所述服务器,以使所述服务器对所述签名信息进行验签,并在服务器验签通过且返回认证成功消息后登录所述服务器。
本实施例的基于UKey的网络登录认证装置,相对于传统的通过中间件的UKey认证方式,需要用户输入PIN码进行验证,验证通过后才能获取UKey凭证,并通过UKey凭证来实现后续认证,因此即使用户UKey丢失,获得者由于不知道该硬件的PIN码,就无法冒充合法用户身份,从而提高了登录认证的安全性。而且对签名随机数签名并验签进一步保证安全性的同时,签名随机数还保证签名信息的时效性、签名信息不被截取利用。
可选地,PIN码验证模块310具体用于通过预设的浏览器插件验证所述PIN码;验证通过后,所述浏览器插件从UKey中获取UKey凭证。
可选地,签名模块340具体用于采用UKey私钥及所述浏览器插件中预设的加密算法对所述签名随机数进行签名,以得到签名信息。
可选地,本发明第三实施例的基于UKey的网络登录认证装置还包括:
登录选择界面展示模块,用于接收并展示服务器推送的登录选择界面。具体地,用户在客户端打开服务器的网址时,客户端会展示服务器推送的登录选择界面。
登录方式选择模块,用于接收用户选择的登录方式,并生成相应的登录方式指令,将登录方式指令上传至服务器,以请求服务器根据登录方式指令推送相应的登录界面。登录方式包括:账户密码登录或UKey登录。具体地,在打开登录服务器的登录选择界面后,用户在登录界面上点击相应的登录方式选择按钮以生成相应的登录方式指令,即选择相应登录方式。
登录界面展示模块,用于展示服务器在收到登录方式指令后推送的与登录方式指令相应的登录界面。
具体地,若生成的是UKey登录方式指令,则展示服务器推送的UKey登录界面。若生成的是账户密码方式指令,则展示服务器推送的账户密码登录界面。
如图4所示,本发明第四实施例的基于UKey的网络登录认证装置,用于服务器端,该装置包括:
UKey凭证验证模块410,用于接收客户端发送的UKey凭证,并验证所述UKey凭证,所述UKey凭证是客户端在输入正确的PIN码后获取得到。
签名随机数生成模块420,用于在所述UKey凭证验证通过后,生成签名随机数,并将所述签名随机数返回给客户端。
认证请求接收模块430,用于接收客户端发送的包括签名信息的认证请求,所述签名信息是客户端采用UKey私钥对所述签名随机数签名得到。
验签模块440,用于采用所述签名随机数和预置的与所述UKey私钥对应的UKey公钥对所述签名信息进行验签,验签成功后向所述客户端发送认证成功消息。
本实施例的基于UKey的网络登录认证装置,相对于传统的通过中间件的UKey认证方式,需要用户输入PIN码进行验证,验证通过后才能获取UKey凭证,并通过UKey凭证来实现后续认证,因此即使用户UKey丢失,获得者由于不知道该硬件的PIN码,就无法冒充合法用户身份,从而提高了登录认证的安全性。而且对签名随机数签名并验签进一步保证安全性的同时,签名随机数还保证签名信息的时效性、签名信息不被截取利用。
可选地,UKey凭证验证模块410具体用于查询数据库,在所述数据库中查询到所述UKey凭证的情况下,则验证通过。
可选地,本发明第四实施例的基于UKey的网络登录认证装置还包括:
登录界面推送模块,用于将登录选择界面推送到客户端展示,登录选择界面包含有账户密码登录和UKey登录的登录方式选择按钮,以使客户端接收用户选择的登录方式并生成登录方式指令。具体地,在客户端,服务器网址被打开后,服务器将登录选择界面推送到客户端展示,用户在登录选择界面选择登录方式。
登录方式指令接收模块,用于接收用户选择后生成的登录方式指令。
登录界面推送模块,用于将与登录方式指令对应的登录界面推送到客户端展示。
具体地,若接收到的是UKey登录方式指令,则推送UKey登录界面至客户端展示。若接收到的是账户密码登录方式指令,则推送账户密码登录界面至客户端展示。
图5示例了一种电子设备的实体结构示意图,如图5所示,该电子设备可以包括:处理器(processor)510、通信接口(Communications Interface)520、存储器(memory)530和通信总线540,其中,处理器510,通信接口520,存储器530通过通信总线540完成相互间的通信。处理器510可以调用存储器530中的逻辑指令,以执行上述应用于客户端的基于UKey的网络登录认证方法,该方法包括:
验证用户输入的与UKey对应对的PIN码,验证通过后获取UKey的UKey凭证,所述UKey与UKey凭证一一对应。
将所述UKey凭证发送至服务器以请求签名随机数。
接收所述服务器发送的所述签名随机数。
采用UKey私钥对所述签名随机数进行签名,以得到签名信息。
将包含所述签名信息的认证请求发送至所述服务器,以使所述服务器对所述签名信息进行验签,并在服务器验签通过且返回认证成功消息后登录所述服务器。
或者,执行上述应用于服务器端的基于UKey的网络登录认证方法,该方法包括:
接收客户端发送的UKey凭证,并验证所述UKey凭证。
在所述UKey凭证验证通过后,生成签名随机数,并将所述签名随机数返回给客户端。
接收客户端发送的包括签名信息的认证请求,所述签名信息是客户端采用UKey私钥对所述签名随机数签名得到。
采用所述签名随机数和预置的与所述UKey私钥对应的UKey公钥对所述签名信息进行验签,验签成功后向所述客户端发送认证成功消息。
此外,上述的存储器530中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的应用于客户端的基于UKey的网络登录认证方法,该方法包括:
验证用户输入的与UKey对应对的PIN码,验证通过后获取UKey的UKey凭证,所述UKey与UKey凭证一一对应。
将所述UKey凭证发送至服务器以请求签名随机数。
接收所述服务器发送的所述签名随机数。
采用UKey私钥对所述签名随机数进行签名,以得到签名信息。
将包含所述签名信息的认证请求发送至所述服务器,以使所述服务器对所述签名信息进行验签,并在服务器验签通过且返回认证成功消息后登录所述服务器。
或者,执行上述应用于服务器端的基于UKey的网络登录认证方法,该方法包括:
接收客户端发送的UKey凭证,并验证所述UKey凭证。
在所述UKey凭证验证通过后,生成签名随机数,并将所述签名随机数返回给客户端。
接收客户端发送的包括签名信息的认证请求,所述签名信息是客户端采用UKey私钥对所述签名随机数签名得到。
采用所述签名随机数和预置的与所述UKey私钥对应的UKey公钥对所述签名信息进行验签,验签成功后向所述客户端发送认证成功消息。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于UKey的网络登录认证方法,其特征在于,用于客户端,包括:
验证用户输入的与UKey对应对的PIN码,验证通过后获取UKey的UKey凭证,所述UKey与UKey凭证一一对应;
将所述UKey凭证发送至服务器以请求签名随机数;
接收所述服务器发送的所述签名随机数;
采用UKey私钥对所述签名随机数进行签名,以得到签名信息;
将包含所述签名信息的认证请求发送至所述服务器,以使所述服务器对所述签名信息进行验签,并在服务器验签通过且返回认证成功消息后登录所述服务器。
2.根据权利要求1所述的基于UKey的网络登录认证方法,其特征在于,验证用户输入的与UKey对应对的PIN码,验证通过后获取UKey的UKey凭证,包括:
通过预设的浏览器插件验证所述PIN码;
验证通过后,所述浏览器插件从UKey中获取UKey凭证。
3.根据权利要求2所述的基于UKey的网络登录认证方法,其特征在于,采用UKey私钥对所述签名随机数进行签名,以得到签名信息,包括:
采用UKey私钥及所述浏览器插件中预设的加密算法对所述签名随机数进行签名,以得到签名信息。
4.根据权利要求2或3所述的基于UKey的网络登录认证方法,其特征在于,所述浏览器插件包括:IE浏览器插件和非IE浏览器插件。
5.一种基于UKey的网络登录认证方法,其特征在于,用于服务器端,包括:
接收客户端发送的UKey凭证,并验证所述UKey凭证;
在所述UKey凭证验证通过后,生成签名随机数,并将所述签名随机数返回给客户端;
接收客户端发送的包括签名信息的认证请求,所述签名信息是客户端采用UKey私钥对所述签名随机数签名得到;
采用所述签名随机数和预置的与所述UKey私钥对应的UKey公钥对所述签名信息进行验签,验签成功后向所述客户端发送认证成功消息。
6.根据权利要求5所述的基于UKey的网络登录认证方法,其特征在于,验证所述UKey凭证,包括:
查询数据库,在所述数据库中查询到所述UKey凭证的情况下,则验证通过。
7.一种基于UKey的网络登录认证装置,其特征在于,用于客户端,该装置包括:
PIN码验证模块,用于验证用户输入的与UKey对应对的PIN码,验证通过后获取UKey的UKey凭证,所述UKey与UKey凭证一一对应;
UKey凭证发送模块,用于将所述UKey凭证发送至服务器以请求签名随机数;
签名随机数接收模块,用于接收所述服务器发送的所述签名随机数;
签名模块,用于采用UKey私钥对所述签名随机数进行签名,以得到签名信息;
认证请求发送模块,用于将包含所述签名信息的认证请求发送至所述服务器,以使所述服务器对所述签名信息进行验签,并在服务器验签通过且返回认证成功消息后登录所述服务器。
8.一种基于UKey的网络登录认证装置,其特征在于,用于服务器端,该装置包括:
UKey凭证验证模块,用于接收客户端发送的UKey凭证,并验证所述UKey凭证;
签名随机数生成模块,用于在所述UKey凭证验证通过后,生成签名随机数,并将所述签名随机数返回给客户端;
认证请求接收模块,用于接收客户端发送的包括签名信息的认证请求,所述签名信息是客户端采用UKey私钥对所述签名随机数签名得到;
验签模块,用于采用所述签名随机数和预置的与所述UKey私钥对应的UKey公钥对所述签名信息进行验签,验签成功后向所述客户端发送认证成功消息。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至4任一项所述基于UKey的网络登录认证方法,或实现如权利要求5至6任一项所述基于UKey的网络登录认证方法。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述基于UKey的网络登录认证方法,或实现如权利要求5至6任一项所述基于UKey的网络登录认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211010417.7A CN115086090A (zh) | 2022-08-23 | 2022-08-23 | 基于UKey的网络登录认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211010417.7A CN115086090A (zh) | 2022-08-23 | 2022-08-23 | 基于UKey的网络登录认证方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115086090A true CN115086090A (zh) | 2022-09-20 |
Family
ID=83245226
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211010417.7A Pending CN115086090A (zh) | 2022-08-23 | 2022-08-23 | 基于UKey的网络登录认证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115086090A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116611098A (zh) * | 2023-07-19 | 2023-08-18 | 北京电科智芯科技有限公司 | 文件加密移动存储方法、***及存储介质、电子设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101938473A (zh) * | 2010-08-24 | 2011-01-05 | 北京易恒信认证科技有限公司 | 单点登录***及单点登录方法 |
| US20140380310A1 (en) * | 2013-06-25 | 2014-12-25 | International Business Machines Corporation | Sharing usb key by multiple virtual machines located at different hosts |
| CN104378206A (zh) * | 2014-10-20 | 2015-02-25 | 中国科学院信息工程研究所 | 一种基于USB-Key的虚拟桌面安全认证方法及*** |
| CN107094081A (zh) * | 2017-06-28 | 2017-08-25 | 济南浪潮高新科技投资发展有限公司 | 一种支持多浏览器的使用UsbKey进行数字签名的解决方法 |
| CN107241345A (zh) * | 2017-06-30 | 2017-10-10 | 西安电子科技大学 | 基于UKey的云计算资源管理方法 |
| CN108259440A (zh) * | 2016-12-29 | 2018-07-06 | 航天信息股份有限公司 | 基于云计算的USBKey身份认证在B/S架构应用的方法和*** |
| CN109728909A (zh) * | 2019-03-21 | 2019-05-07 | 郑建建 | 基于USBKey的身份认证方法和*** |
-
2022
- 2022-08-23 CN CN202211010417.7A patent/CN115086090A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101938473A (zh) * | 2010-08-24 | 2011-01-05 | 北京易恒信认证科技有限公司 | 单点登录***及单点登录方法 |
| US20140380310A1 (en) * | 2013-06-25 | 2014-12-25 | International Business Machines Corporation | Sharing usb key by multiple virtual machines located at different hosts |
| CN104378206A (zh) * | 2014-10-20 | 2015-02-25 | 中国科学院信息工程研究所 | 一种基于USB-Key的虚拟桌面安全认证方法及*** |
| CN108259440A (zh) * | 2016-12-29 | 2018-07-06 | 航天信息股份有限公司 | 基于云计算的USBKey身份认证在B/S架构应用的方法和*** |
| CN107094081A (zh) * | 2017-06-28 | 2017-08-25 | 济南浪潮高新科技投资发展有限公司 | 一种支持多浏览器的使用UsbKey进行数字签名的解决方法 |
| CN107241345A (zh) * | 2017-06-30 | 2017-10-10 | 西安电子科技大学 | 基于UKey的云计算资源管理方法 |
| CN109728909A (zh) * | 2019-03-21 | 2019-05-07 | 郑建建 | 基于USBKey的身份认证方法和*** |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116611098A (zh) * | 2023-07-19 | 2023-08-18 | 北京电科智芯科技有限公司 | 文件加密移动存储方法、***及存储介质、电子设备 |
| CN116611098B (zh) * | 2023-07-19 | 2023-10-27 | 北京电科智芯科技有限公司 | 文件加密移动存储方法、***及存储介质、电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102493744B1 (ko) | 생체 특징에 기초한 보안 검증 방법, 클라이언트 단말, 및 서버 | |
| US9369460B2 (en) | Authentication manager | |
| US20170244676A1 (en) | Method and system for authentication | |
| US10362019B2 (en) | Managing security credentials | |
| KR100548638B1 (ko) | 스마트카드를 이용한 원 타임 패스워드 생성 및 인증방법그리고 이를 위한 스마트카드 | |
| US9767262B1 (en) | Managing security credentials | |
| US9124571B1 (en) | Network authentication method for secure user identity verification | |
| CN110266642A (zh) | 身份认证方法及服务器、电子设备 | |
| US20200196143A1 (en) | Public key-based service authentication method and system | |
| US20230412399A1 (en) | Database Multi-Authentication Method and System, Terminal, and Storage Medium | |
| CN112615834B (zh) | 一种安全认证方法及*** | |
| CN105162775A (zh) | 虚拟机登陆方法及装置 | |
| CN104426659A (zh) | 动态口令生成方法、认证方法及***、相应设备 | |
| CN111327629B (zh) | 身份验证方法、客户端和服务端 | |
| US11444936B2 (en) | Managing security credentials | |
| CN103684797A (zh) | 用户和用户终端设备的关联认证方法及*** | |
| CN111901304B (zh) | 移动安全设备的注册方法和装置、存储介质、电子装置 | |
| CN105162774A (zh) | 虚拟机登陆方法、用于终端的虚拟机登陆方法及装置 | |
| CN113641973A (zh) | 一种身份认证方法、***及介质 | |
| CN115086090A (zh) | 基于UKey的网络登录认证方法及装置 | |
| CN103684796A (zh) | 一种用户身份识别模块卡及个人身份认证方法 | |
| CN109145543B (zh) | 一种身份认证方法 | |
| KR102016976B1 (ko) | 싱글 사인 온 서비스 기반의 상호 인증 방법 및 시스템 | |
| CN108574657B (zh) | 接入服务器的方法、装置、***以及计算设备和服务器 | |
| EP3757922A1 (en) | Electronic payment system and method and program using biometric authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220920 |