CN117097472A - 一种协同签名的身份鉴别方法 - Google Patents
一种协同签名的身份鉴别方法 Download PDFInfo
- Publication number
- CN117097472A CN117097472A CN202311229985.0A CN202311229985A CN117097472A CN 117097472 A CN117097472 A CN 117097472A CN 202311229985 A CN202311229985 A CN 202311229985A CN 117097472 A CN117097472 A CN 117097472A
- Authority
- CN
- China
- Prior art keywords
- password
- cooperative
- collaborative
- service
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 21
- 239000012634 fragment Substances 0.000 claims abstract description 18
- 230000002195 synergetic effect Effects 0.000 claims abstract description 12
- 238000012545 processing Methods 0.000 claims abstract description 10
- 238000012795 verification Methods 0.000 claims abstract description 8
- 230000004044 response Effects 0.000 claims abstract description 7
- 230000008569 process Effects 0.000 description 5
- 230000003993 interaction Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000007796 conventional method Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开的一种协同签名的身份鉴别方法,包括:通过协同密码客户端根据业务序号Sn、协同密码服务端标识B和签名数据sSA生成认证Token,并将业务请求和认证Token发送至协同密码服务端;通过协同密码服务端根据找到的服务端私钥片段计算出对应的协同密码客户端私钥片段逆的公钥Pa,并使用公钥Pa对认证Token中的签名数据sSA进行验签处理,同时对认证Token中的业务序号Sn和协同密码服务端标识B的正确性进行验证;当验证通过后,通过协同密码服务端使用找到的服务端私钥片段对业务请求进行协同签名,并生成协同签名响应数据发送至协同密码客户端。本发明保证了信息安全,减少风险。
Description
技术领域
本发明涉及计算机信息安全技术领域,尤其涉及一种协同签名的身份鉴别方法。
背景技术
移动互联网的快速发展,越来越多的人通过移动终端进行网上办公娱乐,随之而来会面临安全威胁。传统的证书安全介质需要通过多形态的USBKE、SD卡、TF卡等安全介质进行安全保护,但是会导致企业用户成本上升,不利于普及推广。协同密码模块客户端是在传统领域基础之上而开发出来的软件安全密码模块,在不借助于外部硬件设施的情况下,保障用户的安全。但是,协同客户端和协同服务端之间的身份鉴别方式是亟待解决的问题,传统的方式通常需要预置证书或者多次交互,这种方式相当不方便,同时安全性较差。
为此,本申请人经过有益的探索和研究,找到了解决上述问题的方法,下面将要介绍的技术方案便是在这种背景下产生的。
发明内容
本发明所要解决的技术问题在于:针对现有技术的不足而提供一种安全简便的协同签名的身份鉴别方法。
本发明所要解决的技术问题可以采用如下技术方案来实现:
一种协同签名的身份鉴别方法,包括:
通过协同密码客户端获取应用程序终端传入的业务请求,并生成用户协同密钥,所述用户协同密钥包括用户公钥和用户私钥;
通过协同密码客户端生成业务序号Sn和获取协同密码服务端标识B,并使用用户私钥的逆对业务序号Sn和协同密码服务端标识B进行签名处理,得到签名数据sSA;
通过协同密码客户端根据业务序号Sn、协同密码服务端标识B和签名数据sSA生成认证Token,并将业务请求和认证Token发送至协同密码服务端;
通过协同密码服务端对业务请求进行解析处理,以获取本次业务的用户公钥,并根据该用户公钥查找其对应的服务端私钥片段;
通过协同密码服务端根据找到的服务端私钥片段计算出对应的协同密码客户端私钥片段逆的公钥Pa,并使用公钥Pa对认证Token中的签名数据sSA进行验签处理,同时对认证Token中的业务序号Sn和协同密码服务端标识B的正确性进行验证;
当验证通过后,通过协同密码服务端使用找到的服务端私钥片段对业务请求进行协同签名,并生成协同签名响应数据发送至协同密码客户端;以及
通过协同密码客户端对协同密码服务端返回的协同签名响应数据进行解析处理,得到最终协同签名结果返回至应用程序终端。
在本发明的一个优选实施例中,所述业务序号Sn为用户公钥的唯一序号。
在本发明的一个优选实施例中,所述协同密码服务端标识B为协同密码服务端与协同密码客户端之间协商的标识或者协同服务端对外的服务地址。
在本发明的一个优选实施例中,所述对认证Token中的业务序号Sn和协同密码服务端标识B的正确性进行验证,包括:
判断协同密码服务端的缓存中对应的服务端公钥的序号与认证Token中的业务序号Sn是否相同;以及
判断协同密码服务端的缓存中的协同密码服务端标识与认证Token中的协同密码服务端标识B是否相同。
在本发明的一个优选实施例中,所述协同密码客户端通过国密SSLVPN协议将业务请求和认证Token发送至协同密码服务端。
由于采用了如上技术方案,本发明的有益效果在于:
1.本发明基于协同签名的用户密钥片段进行一次单向鉴别,不需要额外交互;
2.本发明在身份鉴别过程中用来签名的私钥是由原用户私钥片段的逆生成,无需额外生成或预置证书;
3.本发明在身份鉴别过程不需要预置共享密钥或客户端密钥证书,保证了信息安全,减少风险;
4.本发明在身份鉴别过程将数据交互与原业务数据合并一起,减少网络交互次数,减少了协同过程的网络操作,在达到身份鉴别目的的同时又不影响性能。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施时的网络示意图。
图2是本发明的流程图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
本发明的协同签名的身份鉴别方法,其实施时涉及了协同密码客户端、协同密码服务端以及应用程序终端,如图1所示。其中,协同密码客户端与协同密码服务端之间通过网络进行数据链接。
本发明中的应用程序终端可以采用手机、平板电脑、PDA或PC终端等。本发明提供登陆方法在实施前,应用程序终端需要集成协同密码客户端,并完成PIN设置和协同密钥初始化完成。协同密码客户端主要用于实现与协同密码服务端之间的安全通行,并进行身份鉴别的认证。
参见图2,图中给出的是一种协同签名的身份鉴别方法,包括以下步骤:
步骤S10,通过协同密码客户端获取应用程序终端传入的业务请求,并生成用户协同密钥。其中,用户协同密钥包括用户公钥和用户私钥。业务请求根据具体的应用场景会有所不同。
步骤S20,通过协同密码客户端生成业务序号Sn和获取协同密码服务端标识B,并使用用户私钥的逆对业务序号Sn和协同密码服务端标识B进行签名处理,得到签名数据sSA;其中,业务序号Sn为用户公钥的唯一序号,确保在同一用户公钥时的序号具有一定时序性和唯一性。协同密码服务端标识B为协同密码服务端与协同密码客户端之间协商的标识或者协同服务端对外的服务地址。
步骤S30,通过协同密码客户端根据业务序号Sn、协同密码服务端标识B和签名数据sSA生成认证Token,认证Token=Sn||B||sSA,并将业务请求和认证Token发送至协同密码服务端;其中,协同密码客户端通过国密SSLVPN协议将业务请求和认证Token发送至协同密码服务端。
步骤S40,通过协同密码服务端对业务请求进行解析处理,以获取本次业务的用户公钥,并根据该用户公钥查找其对应的服务端私钥片段。
步骤S50,通过协同密码服务端根据找到的服务端私钥片段计算出对应的协同密码客户端私钥片段逆的公钥Pa,并使用公钥Pa对认证Token中的签名数据sSA进行验签处理,同时对认证Token中的业务序号Sn和协同密码服务端标识B的正确性进行验证。
步骤S60,当验证通过后,通过协同密码服务端使用找到的服务端私钥片段对业务请求进行协同签名,并生成协同签名响应数据发送至协同密码客户端。
步骤S70,通过协同密码客户端对协同密码服务端返回的协同签名响应数据进行解析处理,得到最终协同签名结果返回至应用程序终端。
在步骤S50中,对认证Token中的业务序号Sn和协同密码服务端标识B的正确性进行验证,包括以下步骤:
步骤S51,判断协同密码服务端的缓存中对应的服务端公钥的序号与认证Token中的业务序号Sn是否相同;
步骤S52,判断协同密码服务端的缓存中的协同密码服务端标识与认证Token中的协同密码服务端标识B是否相同。
本发明采用基于协同签名的用户密钥片段进行一次单向鉴别,协同密码客户端无需额外生成或预置证书,并且无需额外的网络连接操作,减少了协同过程的网络操作,从而在达到身份鉴别的目的同时又不影响性能。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (5)
1.一种协同签名的身份鉴别方法,其特征在于,包括:
通过协同密码客户端获取应用程序终端传入的业务请求,并生成用户协同密钥,所述用户协同密钥包括用户公钥和用户私钥;
通过协同密码客户端生成业务序号Sn和获取协同密码服务端标识B,并使用用户私钥的逆对业务序号Sn和协同密码服务端标识B进行签名处理,得到签名数据sSA;
通过协同密码客户端根据业务序号Sn、协同密码服务端标识B和签名数据sSA生成认证Token,并将业务请求和认证Token发送至协同密码服务端;
通过协同密码服务端对业务请求进行解析处理,以获取本次业务的用户公钥,并根据该用户公钥查找其对应的服务端私钥片段;
通过协同密码服务端根据找到的服务端私钥片段计算出对应的协同密码客户端私钥片段逆的公钥Pa,并使用公钥Pa对认证Token中的签名数据sSA进行验签处理,同时对认证Token中的业务序号Sn和协同密码服务端标识B的正确性进行验证;
当验证通过后,通过协同密码服务端使用找到的服务端私钥片段对业务请求进行协同签名,并生成协同签名响应数据发送至协同密码客户端;以及
通过协同密码客户端对协同密码服务端返回的协同签名响应数据进行解析处理,得到最终协同签名结果返回至应用程序终端。
2.如权利要求1所述的协同签名的身份鉴别方法,其特征在于,所述业务序号Sn为用户公钥的唯一序号。
3.如权利要求1所述的协同签名的身份鉴别方法,其特征在于,所述协同密码服务端标识B为协同密码服务端与协同密码客户端之间协商的标识或者协同服务端对外的服务地址。
4.如权利要求1所述的协同签名的身份鉴别方法,其特征在于,所述对认证Token中的业务序号Sn和协同密码服务端标识B的正确性进行验证,包括:
判断协同密码服务端的缓存中对应的服务端公钥的序号与认证Token中的业务序号Sn是否相同;以及
判断协同密码服务端的缓存中的协同密码服务端标识与认证Token中的协同密码服务端标识B是否相同。
5.如权利要求1所述的协同签名的身份鉴别方法,其特征在于,所述协同密码客户端通过国密SSLVPN协议将业务请求和认证Token发送至协同密码服务端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311229985.0A CN117097472A (zh) | 2023-09-22 | 2023-09-22 | 一种协同签名的身份鉴别方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311229985.0A CN117097472A (zh) | 2023-09-22 | 2023-09-22 | 一种协同签名的身份鉴别方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117097472A true CN117097472A (zh) | 2023-11-21 |
Family
ID=88771705
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311229985.0A Pending CN117097472A (zh) | 2023-09-22 | 2023-09-22 | 一种协同签名的身份鉴别方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117097472A (zh) |
-
2023
- 2023-09-22 CN CN202311229985.0A patent/CN117097472A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11223614B2 (en) | Single sign on with multiple authentication factors | |
| CN108810029B (zh) | 一种微服务架构服务间鉴权***及优化方法 | |
| US9992189B2 (en) | Generation and validation of derived credentials | |
| JP6012125B2 (ja) | 問い合わせ型トランザクションによる強化された2chk認証セキュリティ | |
| JP6105721B2 (ja) | 企業トリガ式2chk関連付けの起動 | |
| US8627424B1 (en) | Device bound OTP generation | |
| US8527758B2 (en) | Systems and methods for facilitating user identity verification over a network | |
| CN102201915B (zh) | 一种基于单点登录的终端认证方法和装置 | |
| US20070162961A1 (en) | Identification authentication methods and systems | |
| CN112487778A (zh) | 多用户在线签约***及方法 | |
| TW200818838A (en) | Mutual authentication and secure channel establishment between two parties using consecutive one-time passwords | |
| CN108322416B (zh) | 一种安全认证实现方法、装置及*** | |
| CN114531277B (zh) | 一种基于区块链技术的用户身份认证方法 | |
| CN112953970A (zh) | 一种身份认证方法及身份认证*** | |
| CN104202163A (zh) | 一种基于移动终端的密码*** | |
| TWM595792U (zh) | 跨平台授權存取資源的授權存取系統 | |
| WO2024109551A1 (zh) | 数字化支付处理方法、装置、设备、***及介质 | |
| CN104657860A (zh) | 一种手机银行安全认证方法 | |
| CN112989309A (zh) | 基于多方授权的登录方法、认证方法、***及计算设备 | |
| CN1697376A (zh) | 用集成电路卡对数据进行认证或加密的方法和*** | |
| CN116527341A (zh) | 一种客户端调用后端接口鉴权授权安全方法 | |
| CN113872989B (zh) | 基于ssl协议的认证方法、装置、计算机设备和存储介质 | |
| CN111651745A (zh) | 基于密码设备的应用授权签名方法 | |
| CN117336092A (zh) | 一种客户端登录方法、装置、电子设备和存储介质 | |
| CN112738005A (zh) | 访问处理方法、装置、***、第一认证服务器及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |