一種統(tǒng)一身份認(rèn)證系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明信息安全技術(shù)領(lǐng)域,具體涉及一種統(tǒng)一身份認(rèn)證系統(tǒng)。
【背景技術(shù)】
[0002]用戶認(rèn)證相關(guān)技術(shù)已經(jīng)非常成熟,目前主要是:(I)基于證書的認(rèn)證;(2)基于用戶名密碼的認(rèn)證;(3)雙因子認(rèn)證需要同時(shí)對證書和用戶名密碼進(jìn)行認(rèn)證。相關(guān)認(rèn)證協(xié)議都已經(jīng)非常成熟和完善,對證書認(rèn)證主要是通過PKI (Public Key Infrastructure,公鑰基礎(chǔ)設(shè)施)相關(guān)技術(shù),通過CA (Certificate Authority,證書授權(quán))中心,簽名實(shí)現(xiàn)認(rèn)證,另外還有一些相關(guān)協(xié)議,比如OCSP(Online Certificate Status Protocol,在線證書狀態(tài)協(xié)議)等。用戶名密碼認(rèn)證是認(rèn)證服務(wù)器對用戶輸入的用戶名密碼進(jìn)行驗(yàn)證,常用的協(xié)議有 Radius (Remote Authenticat1n Dial-1n User Service,遠(yuǎn)程認(rèn)證撥號用戶服務(wù))和LDAP (Light Directory Access Protocol,輕量級目錄訪問協(xié)議)等。
[0003]但當(dāng)前的設(shè)備實(shí)現(xiàn)方式存在一個(gè)問題,就是證書認(rèn)證和用戶名密碼認(rèn)證是比較獨(dú)立的兩個(gè)部分,沒有實(shí)現(xiàn)很好的關(guān)聯(lián)。即:當(dāng)用戶要求雙因子認(rèn)證時(shí),用戶證書和用戶名無法綁定,證書認(rèn)證使用證書認(rèn)證的一套流程和協(xié)議,用戶名口令認(rèn)證使用另外一套協(xié)議和流程,兩者沒有直接的關(guān)系,存在安全風(fēng)險(xiǎn)。比如:用戶張三和李四分別由CA中心給他們每個(gè)人頒發(fā)了證書,每個(gè)人的證書有效期等信息是不一樣的,過一段時(shí)間,如果張三的證書過期了或被吊銷,此時(shí)張三使用李四的證書,但用戶名密碼使用張三的,這樣仍然可以通過相關(guān)認(rèn)證。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的是為了克服用戶認(rèn)證相關(guān)技術(shù)存在安全風(fēng)險(xiǎn)的問題,提出一種統(tǒng)一身份認(rèn)證系統(tǒng)。
[0005]本發(fā)明的目的是通過下述技術(shù)方案實(shí)現(xiàn)的。
[0006]本發(fā)明提出的一種統(tǒng)一身份認(rèn)證系統(tǒng),其特征在于:包括硬件設(shè)備和相關(guān)軟件。所述硬件設(shè)備包括:電子鑰匙、網(wǎng)關(guān)設(shè)備、用戶終端設(shè)備、認(rèn)證服務(wù)器和用戶手機(jī);所述相關(guān)軟件包括:客戶端軟件和統(tǒng)一身份認(rèn)證模塊。
[0007]電子鑰匙和客戶端軟件安裝在用戶終端設(shè)備上,用戶終端設(shè)備能從電子鑰匙中讀取數(shù)據(jù)。網(wǎng)關(guān)設(shè)備與用戶終端設(shè)備進(jìn)行雙向信息交互;網(wǎng)關(guān)設(shè)備與認(rèn)證服務(wù)器進(jìn)行雙向信息交互;認(rèn)證服務(wù)器還與用戶手機(jī)連接。
[0008]電子鑰匙由證書授權(quán)中心統(tǒng)一管理,每個(gè)電子鑰匙里面包含一個(gè)用戶證書和一個(gè)定位模塊;用戶證書由證書授權(quán)中心統(tǒng)一頒發(fā)。用戶證書里面包含用戶基本信息,所述用戶基本信息包括用戶名、單位、部門、電話號碼和郵箱地址。定位模塊用于獲得電子鑰匙的位置信息。
[0009]客戶端軟件的主要功能是:①向網(wǎng)關(guān)設(shè)備發(fā)送認(rèn)證請求;?將電子鑰匙中的用戶證書發(fā)送給網(wǎng)關(guān)設(shè)備將用戶輸入的密碼通過加密方式傳輸?shù)骄W(wǎng)關(guān)設(shè)備;④將電子鑰匙中定位模塊獲得的電子鑰匙位置信息發(fā)送給網(wǎng)關(guān)設(shè)備。
[0010]統(tǒng)一身份認(rèn)證模塊安裝在網(wǎng)關(guān)設(shè)備上,其主要功能是:①從用戶終端設(shè)備接收用戶證書;?驗(yàn)證用戶證書合法性;③從用戶證書中提取用戶基本信息;④從用戶終端設(shè)備接收經(jīng)過加密的用戶密碼,并解密用戶密碼;⑤從用戶終端設(shè)備接收電子鑰匙位置信息;⑥將用戶基本信息、經(jīng)過加密的用戶密碼以及電子鑰匙位置信息發(fā)送給認(rèn)證服務(wù)器;⑦從認(rèn)證服務(wù)器獲取驗(yàn)證結(jié)果,并發(fā)送給用戶終端設(shè)備;⑧根據(jù)認(rèn)證服務(wù)器發(fā)送來的鎖定命令,將電子鑰匙鎖定,使其失效。
[0011]所述認(rèn)證服務(wù)器用于對證書授權(quán)中心統(tǒng)一頒發(fā)的用戶證書進(jìn)行用戶身份驗(yàn)證。認(rèn)證服務(wù)器包括Radius認(rèn)證服務(wù)器和LDAP認(rèn)證服務(wù)器。
[0012]所述網(wǎng)關(guān)設(shè)備包括:路由器、交換機(jī)和防火墻設(shè)備。
[0013]使用所述統(tǒng)一身份認(rèn)證系統(tǒng)進(jìn)行用戶身份認(rèn)證的過程為:
[0014]步驟1:用戶終端設(shè)備向網(wǎng)關(guān)設(shè)備發(fā)送認(rèn)證請求,同時(shí)安裝在用戶終端設(shè)備上的電子鑰匙中的定位模塊獲取電子鑰匙位置信息,并將其通過用戶終端設(shè)備發(fā)送給網(wǎng)關(guān)設(shè)備。
[0015]步驟2:網(wǎng)關(guān)設(shè)備向用戶終端設(shè)備發(fā)送用戶證書請求。
[0016]步驟3:用戶終端設(shè)備將電子鑰匙中的用戶證書發(fā)送給網(wǎng)關(guān)設(shè)備。
[0017]步驟4:網(wǎng)關(guān)設(shè)備接收用戶證書,并驗(yàn)證用戶證書合法性;如果用戶證書合法,則網(wǎng)關(guān)設(shè)備向用戶終端設(shè)備發(fā)送密碼請求,然后執(zhí)行步驟5的操作;否則,終止認(rèn)證。
[0018]步驟5:用戶終端設(shè)備將用戶輸入的密碼加密后發(fā)送給網(wǎng)關(guān)設(shè)備。
[0019]步驟6:網(wǎng)關(guān)設(shè)備接收過加密的用戶密碼并解密得到解密后的用戶密碼;同時(shí)網(wǎng)關(guān)設(shè)備從用戶證書中提取用戶基本信息。
[0020]步驟7:網(wǎng)關(guān)設(shè)備將用戶基本信息、解密后的用戶密碼以及電子鑰匙的位置信息發(fā)送給認(rèn)證服務(wù)器。
[0021]步驟8:認(rèn)證服務(wù)器將電子鑰匙位置信息按照用戶基本信息中的電話號碼發(fā)送至用戶手機(jī)。如果用戶確認(rèn)電子鑰匙位置信息有誤,則通過用戶手機(jī)向認(rèn)證服務(wù)器發(fā)送鎖定請求,然后執(zhí)行步驟9的操作;如果用戶確認(rèn)電子鑰匙位置信息無誤,則通過用戶手機(jī)向認(rèn)證服務(wù)器發(fā)送確認(rèn)信息,然后執(zhí)行步驟10的操作。
[0022]步驟9:認(rèn)證服務(wù)器向網(wǎng)關(guān)設(shè)備發(fā)送鎖定命令,網(wǎng)關(guān)設(shè)備將電子鑰匙鎖定,使其失效,結(jié)束操作。
[0023]步驟10:認(rèn)證服務(wù)器進(jìn)行用戶身份驗(yàn)證,并通過網(wǎng)關(guān)設(shè)備向用戶終端設(shè)備返回驗(yàn)證結(jié)果。
[0024]有益效果
[0025]本發(fā)明提出的一種統(tǒng)一身份認(rèn)證系統(tǒng)與已有技術(shù)相比較,其優(yōu)點(diǎn)在于:
[0026]①電子鑰匙集成用戶證書,用戶登錄時(shí)不需輸入用戶名,只需輸入密碼;用戶名由網(wǎng)關(guān)設(shè)備直接解析用戶基本信息獲取,在雙因子認(rèn)證模式下,保證了用戶證書和用戶真實(shí)Is息的有效關(guān)聯(lián)。
[0027]②通過電子鑰匙中的定位模塊,用戶可以及時(shí)了解電子鑰匙的位置,如發(fā)生他人盜用情況,可及時(shí)終止操作。
【附圖說明】
[0028]圖1本發(fā)明實(shí)施例1中使用統(tǒng)一身份認(rèn)證系統(tǒng)進(jìn)行用戶身份認(rèn)證的流程示意圖;
[0029]圖2本發(fā)明實(shí)施例2中使用統(tǒng)一身份認(rèn)證系統(tǒng)進(jìn)行用戶身份認(rèn)證的流程示意圖。
【具體實(shí)施方式】
[0030]下面結(jié)合附圖和實(shí)施例對本發(fā)明做進(jìn)一步說明。
[0031]實(shí)施例1:
[0032]實(shí)施例1中的實(shí)現(xiàn)統(tǒng)一身份認(rèn)證系統(tǒng)包括硬件設(shè)備和相關(guān)軟件。硬件設(shè)備包括:電子鑰匙、網(wǎng)關(guān)設(shè)備、用戶終端設(shè)備、認(rèn)證服務(wù)器和用戶手機(jī);相關(guān)軟件包括:客戶端軟件和統(tǒng)一身份認(rèn)證模塊。
[0033]電子鑰匙和客戶端軟件安裝在用戶終端設(shè)備上,用戶終端設(shè)備能從電子鑰匙中讀取數(shù)據(jù)。網(wǎng)關(guān)設(shè)備與用戶終端設(shè)備進(jìn)行雙向信息交互;網(wǎng)關(guān)設(shè)備與認(rèn)證服務(wù)器進(jìn)行雙向信息交互;認(rèn)證服務(wù)器還與用戶手機(jī)連接。
[0034]電子鑰匙由證書授權(quán)中心統(tǒng)一管理,每個(gè)電子鑰匙里面包含一個(gè)用戶證書和一個(gè)定位模塊;用戶證書由證書授權(quán)中心統(tǒng)一頒發(fā)。用戶證書里面包含用戶基本信息,所述用戶基本信息包括用戶名、單位、部門、電話號碼和郵箱地址。定位模塊用于獲得電子鑰匙的位置信息。
[0035]客戶端軟件的主要功能是:①向網(wǎng)關(guān)設(shè)備發(fā)送認(rèn)證請求;?將電子鑰匙中的用戶證書發(fā)送給網(wǎng)關(guān)設(shè)備將用戶輸入的密碼通過加密方式傳輸?shù)骄W(wǎng)關(guān)設(shè)備;④將電子鑰匙中定位模塊獲得的電子鑰匙位置信息發(fā)送給網(wǎng)關(guān)設(shè)備。
[0036]統(tǒng)一身份認(rèn)證模塊安裝在網(wǎng)關(guān)設(shè)備上,其主要功能是:①從用戶終端設(shè)備接收用戶證書;?驗(yàn)證用戶證書合法性;③從用戶證書中提取用戶基本信息;④從用戶終端設(shè)備接收經(jīng)過加密的用戶密碼,并解密用戶密碼;⑤從用戶終端設(shè)備接收電子鑰匙位置信息;⑥將用戶基本信息、經(jīng)過加密的用戶密碼以及電子鑰匙位置信息發(fā)送給認(rèn)證服務(wù)器;⑦從認(rèn)證服務(wù)器