統(tǒng)一身份認(rèn)證平臺(tái)及認(rèn)證方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域，特別是涉及一種統(tǒng)一身份認(rèn)證平臺(tái)及認(rèn)證方法。
【背景技術(shù)】
[0002]在銀行、政府、保險(xiǎn)等高信息安全的行業(yè)中，進(jìn)行網(wǎng)絡(luò)信息傳輸，特別是身份認(rèn)證時(shí)，一般使用傳統(tǒng)的SSL (Secure Sockets Layer,安全套接層)進(jìn)行點(diǎn)對(duì)點(diǎn)加密,其傳輸?shù)男畔⒖梢员还舯I取或者篡改，安全性得不到保障。

【發(fā)明內(nèi)容】

[0003]基于此，有必要針對(duì)現(xiàn)有技術(shù)的缺陷和不足，提供統(tǒng)一身份認(rèn)證平臺(tái)及認(rèn)證方法，其解決了傳統(tǒng)SSL僅能提供點(diǎn)到點(diǎn)的數(shù)據(jù)安全保護(hù)，以及通過(guò)網(wǎng)絡(luò)會(huì)話的重復(fù)攻擊的缺陷，盡可能保障網(wǎng)絡(luò)信息傳輸?shù)陌踩浴?br>[0004]為實(shí)現(xiàn)本發(fā)明目的而提供的統(tǒng)一身份認(rèn)證平臺(tái)包括密鑰中心，客戶端，網(wǎng)絡(luò)服務(wù)器，后端服務(wù)器，其中:
[0005]所述密鑰中心，用于根據(jù)客戶端通過(guò)網(wǎng)絡(luò)服務(wù)器和后端服務(wù)器發(fā)來(lái)的注冊(cè)請(qǐng)求，由硬件安全模塊生成的PIN信息，并將PIN信息通過(guò)可信物理方式遞交給客戶端用戶，以及通過(guò)可信方式發(fā)送給后端服務(wù)器；
[0006]所述客戶端，用于接收客戶端用戶輸入的PIN信息；利用PIN信息，通過(guò)與后端服務(wù)器約定的預(yù)設(shè)加解密算法，對(duì)客戶端和后端服務(wù)器之間傳輸?shù)臄?shù)據(jù)塊進(jìn)行加解密；
[0007]所述網(wǎng)絡(luò)服務(wù)器，用于在客戶端和后端服務(wù)器之間建立網(wǎng)絡(luò)連接，并與客戶端或者后端服務(wù)器之間利用SSL加解密并傳輸數(shù)據(jù)塊；
[0008]所述后端服務(wù)器，用于將客戶端用戶的信息發(fā)送給密鑰中心，請(qǐng)求密鑰中心根據(jù)客戶端用戶的信息生成PIN信息；并接收密鑰中心發(fā)回的進(jìn)行加解密的PIN信息；利用PIN信息，通過(guò)與客戶端約定的預(yù)設(shè)加解密算法，對(duì)客戶端和后端服務(wù)器之間傳輸?shù)臄?shù)據(jù)塊進(jìn)行加解密。
[0009]作為一種統(tǒng)一身份認(rèn)證平臺(tái)的可實(shí)施方式，所述客戶端，還用于通過(guò)網(wǎng)絡(luò)服務(wù)器向后端服務(wù)器發(fā)出注冊(cè)請(qǐng)求；
[0010]所述后端服務(wù)器，還用于接收客戶端發(fā)來(lái)的注冊(cè)請(qǐng)求，對(duì)客戶端用戶進(jìn)行注冊(cè)。
[0011]其中，所述網(wǎng)絡(luò)連接為有線連接或者無(wú)線連接。
[0012]其中，所述無(wú)線連接包括但不限于CDMA2000通信網(wǎng)絡(luò)連接、WCDMA通信網(wǎng)絡(luò)連接、TD-CDMA通信網(wǎng)絡(luò)連接或者TD-LTE通信網(wǎng)絡(luò)連接。
[0013]其中，所述加解密算法，為對(duì)稱算法或者非對(duì)稱算法；
[0014]所述對(duì)稱算法為DES算法，3DES算法，TDEA算法，Blowfish算法，RC5算法或者IDEA算法；
[0015]所述非對(duì)稱算法為RSA算法、Elgamal算法、背包算法、Rabin算法、D-H算法或者ECC算法。
[0016]作為一種統(tǒng)一身份認(rèn)證平臺(tái)的可實(shí)施方式，所述用戶身份認(rèn)證的數(shù)據(jù)塊為令牌種子、用戶密碼、數(shù)據(jù)塊和/或用戶個(gè)性化數(shù)據(jù)。
[0017]作為一種統(tǒng)一身份認(rèn)證平臺(tái)的可實(shí)施方式，所述用戶個(gè)性化數(shù)據(jù)為用戶手寫(xiě)簽名圖像數(shù)據(jù)、用戶輸入的聲音、用戶的二維碼和/或用戶選擇輸入的其他非數(shù)字?jǐn)?shù)據(jù)。
[0018]基于同一發(fā)明構(gòu)思的一種統(tǒng)一身份認(rèn)證方法，包括如下步驟:
[0019]步驟A，密鑰中心根據(jù)客戶端通過(guò)網(wǎng)絡(luò)服務(wù)器和后端服務(wù)器發(fā)來(lái)的注冊(cè)請(qǐng)求，由硬件安全模塊生成的PIN信息，并將PIN信息通過(guò)可信物理方式遞交給客戶端用戶，以及通過(guò)可信方式發(fā)送給后端服務(wù)器；
[0020]步驟B，客戶端利用PIN信息，通過(guò)與后端服務(wù)器約定的預(yù)設(shè)加解密算法，對(duì)客戶端和后端服務(wù)器之間傳輸?shù)臄?shù)據(jù)塊進(jìn)行加解密；
[0021]步驟C，網(wǎng)絡(luò)服務(wù)器與客戶端或者后端服務(wù)器之間利用SSL加解密并傳輸數(shù)據(jù)塊；
[0022]步驟D，后端服務(wù)器利用PIN信息，通過(guò)與客戶端約定的預(yù)設(shè)加解密算法，對(duì)客戶端和后端服務(wù)器之間傳輸?shù)臄?shù)據(jù)塊進(jìn)行加解密。
[0023]作為一種統(tǒng)一身份認(rèn)證方法的可實(shí)施方式，所述步驟A之前還包括如下步驟:
[0024]步驟Al，所述客戶端通過(guò)網(wǎng)絡(luò)服務(wù)器向后端服務(wù)器發(fā)出注冊(cè)請(qǐng)求；
[0025]步驟A2，網(wǎng)絡(luò)服務(wù)器與客戶端或者后端服務(wù)器之間利用SSL加解密并傳輸數(shù)據(jù)塊；
[0026]步驟A3，后端服務(wù)器接收客戶端發(fā)來(lái)的注冊(cè)請(qǐng)求，對(duì)客戶端用戶進(jìn)行注冊(cè)，并將客戶端用戶的信息發(fā)送給密鑰中心，請(qǐng)求密鑰中心根據(jù)客戶端用戶的信息生成PIN信息。
[0027]本發(fā)明的有益效果:本發(fā)明提供的統(tǒng)一身份認(rèn)證平臺(tái)及認(rèn)證方法，通過(guò)對(duì)用戶身份認(rèn)證的數(shù)據(jù)(包括但不限于令牌種子、用戶密碼或交易數(shù)據(jù))的傳輸和儲(chǔ)存整個(gè)過(guò)程進(jìn)行多重認(rèn)證保護(hù)，克服了 SSL的缺陷，提供額外的安全功能，盡可能保障網(wǎng)絡(luò)信息傳輸?shù)陌踩?，防止第三方通過(guò)共享寬帶無(wú)線鏈接對(duì)信息進(jìn)行篡改和盜取。
【附圖說(shuō)明】
[0028]以下結(jié)合具體附圖及具體實(shí)施例，對(duì)本發(fā)明的統(tǒng)一身份認(rèn)證平臺(tái)及認(rèn)證方法進(jìn)行進(jìn)一步詳細(xì)說(shuō)明。
[0029]圖1為本發(fā)明的統(tǒng)一身份認(rèn)證平臺(tái)的一具體實(shí)施例的結(jié)構(gòu)示意圖；
[0030]圖2為本發(fā)明的統(tǒng)一身份認(rèn)證平臺(tái)的一具體實(shí)施例的HSM對(duì)傳輸?shù)拿艹准咏饷苓^(guò)程不意圖；
[0031]圖3為SSL位置示意圖；
[0032]圖4為握手協(xié)議構(gòu)成示意圖；
[0033]圖5為SSL握手第一階段示意圖；
[0034]圖6為SSL握手第二階段示意圖；
[0035]圖7為使用RSA的服務(wù)端的驗(yàn)證和密鑰交換過(guò)程示意圖；
[0036]圖8為SSL握手第三階段示意圖；
[0037]圖9為使用RSA的客戶端的驗(yàn)證和密鑰交換過(guò)程示意圖；
[0038]圖10為SSL握手第四階段示意圖；
[0039]圖11為從預(yù)備主秘密計(jì)算主秘密的過(guò)程示意圖；
[0040]圖12為從主秘密計(jì)算密鑰材料過(guò)程示意圖；
[0041]圖13為從密鑰材料提取加密秘密的過(guò)程示意圖；
[0042]圖14為SSL記錄協(xié)議過(guò)程不意圖；
[0043]圖15為本發(fā)明的統(tǒng)一身份認(rèn)證方法的一具體實(shí)施例的流程圖。
【具體實(shí)施方式】
[0044]為了使本發(fā)明的技術(shù)方案更加清楚，以下結(jié)合附圖，對(duì)本發(fā)明的統(tǒng)一身份認(rèn)證平臺(tái)及認(rèn)證方法作進(jìn)一步詳細(xì)的說(shuō)明。應(yīng)當(dāng)理解，此處所描述的具體實(shí)施例僅用以解釋本發(fā)明，并不用于限定本發(fā)明。
[0045]本發(fā)明提供的統(tǒng)一身份認(rèn)證平臺(tái)的實(shí)施例，參見(jiàn)圖1，本發(fā)明實(shí)施例提供的統(tǒng)一身份認(rèn)證平臺(tái)，包括密鑰中心，客戶端，網(wǎng)絡(luò)服務(wù)器，后端服務(wù)器，其中:
[0046]所述密鑰中心，用于根據(jù)客戶端通過(guò)網(wǎng)絡(luò)服務(wù)器和后端服務(wù)器發(fā)來(lái)的注冊(cè)請(qǐng)求，由硬件安全模塊(HSM)生成的PIN (Personal Identificat1n Number,個(gè)人識(shí)別密碼)信息，并將PIN信息通過(guò)可信物理方式遞交給客戶端用戶，以及通過(guò)可信方式發(fā)送給后端服務(wù)器；
[0047]所述客戶端，用于通過(guò)網(wǎng)絡(luò)服務(wù)器向后端服務(wù)器發(fā)出注冊(cè)請(qǐng)求；并接收客戶端用戶輸入的PIN信息；利用PIN信息，通過(guò)與后端服務(wù)器約定的預(yù)設(shè)加解密算法，對(duì)客戶端和后端服務(wù)器之間傳輸?shù)臄?shù)據(jù)塊進(jìn)行加解密；
[0048]所述網(wǎng)絡(luò)服務(wù)器，用于在客戶端和后端服務(wù)器之間建立網(wǎng)絡(luò)連接，并與客戶端或者后端服務(wù)器之間利用SSL加解密并傳輸數(shù)據(jù)塊；
[0049]所述后端服務(wù)器，用于接收客戶端發(fā)來(lái)的注冊(cè)請(qǐng)求，對(duì)客戶端用戶進(jìn)行注冊(cè)，并將客戶端用戶的信息發(fā)送給密鑰中心，請(qǐng)求密鑰中心根據(jù)客戶端用戶的信息生成PIN信息；并接收密鑰中心發(fā)回的進(jìn)行加解密的PIN信息；利用PIN信息，通過(guò)與客戶端約定的預(yù)設(shè)加解密算法，對(duì)客戶端和后端服務(wù)器之間傳輸?shù)臄?shù)據(jù)塊進(jìn)行加解密。
[0050]本發(fā)明實(shí)施例中，客戶端和后端服務(wù)器中，在生成、分配、更改和重設(shè)PIN (用戶密碼)信息過(guò)程中，利用約定的預(yù)設(shè)加解密算法對(duì)傳輸?shù)臄?shù)據(jù)塊進(jìn)行第一層加解密后，再利用網(wǎng)絡(luò)服務(wù)器進(jìn)行第二層加解密，使得在網(wǎng)絡(luò)傳輸?shù)恼J(rèn)證數(shù)據(jù)塊能夠進(jìn)行很好的保護(hù)，第三人通過(guò)即使能通過(guò)網(wǎng)絡(luò)攻擊獲取數(shù)據(jù)，也因?yàn)榈谝粚蛹用芏荒艿玫皆诰W(wǎng)絡(luò)服務(wù)器上傳輸?shù)臄?shù)據(jù)塊信息，確保端對(duì)端的保護(hù)，從而有效地保護(hù)客戶端到后端服務(wù)器傳輸?shù)臄?shù)據(jù)的安全。
[0051]進(jìn)一步地，本發(fā)明實(shí)施例通過(guò)利用硬件安全模塊(HSM)生成PIN信息，其生成后直接封裝，并通過(guò)可信物理方式傳遞給客戶端用戶，除客戶端用戶外，其他人無(wú)從得知PIN信息，防止內(nèi)部威脅，特別是防止系統(tǒng)管理員用已知的密碼內(nèi)容更換用戶的密碼，使他們能夠獲得客戶端的賬戶信息，提供較好的保證，盡可能確保除了生成PIN的受信賴的HSM外，沒(méi)有人可以知道PIN信息，包括網(wǎng)絡(luò)服務(wù)器等中間層服務(wù)器在內(nèi)，并可防止會(huì)話重放攻擊，以及防止利用GPUs技術(shù)來(lái)進(jìn)行密碼暴力破解。
[0052]作為一種可實(shí)施方式，本發(fā)明實(shí)施例中，所述網(wǎng)絡(luò)連接為有線連接或者無(wú)線連接。
[0053]所述無(wú)線連接包括但不限于CDMA2000通信網(wǎng)絡(luò)連接、WCDMA通信網(wǎng)絡(luò)連接、TD-CDMA通信網(wǎng)絡(luò)連接或者TD-LTE通信網(wǎng)絡(luò)連接。
[0054]作為一種可實(shí)施方式，所述預(yù)設(shè)的加解密算法，包括但