本发明专利技术公开了一种统一身份认证平台及认证方法。其中认证平台包括密钥中心,用于根据注册请求,由HSM生成的PIN信息,并将PIN信息传送给客户端用户,和后端服务器;客户端,用于利用PIN信息,通过加解密算法对客户端和后端服务器之间传输的数据块进行加解密;网络服务器,用于与客户端或者后端服务器之间利用SSL加解密并传输数据块;后端服务器,用于接收密钥中心发回的进行加解密的PIN信息;利用PIN信息,通过加解密算法,对客户端和后端服务器之间传输的数据块进行加解密。其尽可能保障网络信息传输的安全性,防止第三方通过共享宽带无线链接对信息进行篡改和盗取。
【技术实现步骤摘要】
本专利技术涉及网络信息安全
,特别是涉及一种。
技术介绍
在银行、政府、保险等高信息安全的行业中,进行网络信息传输,特别是身份认证时,一般使用传统的SSL (Secure Sockets Layer,安全套接层)进行点对点加密,其传输的信息可以被攻击盗取或者篡改,安全性得不到保障。
技术实现思路
基于此,有必要针对现有技术的缺陷和不足,提供,其解决了传统SSL仅能提供点到点的数据安全保护,以及通过网络会话的重复攻击的缺陷,尽可能保障网络信息传输的安全性。为实现本专利技术目的而提供的统一身份认证平台包括密钥中心,客户端,网络服务器,后端服务器,其中:所述密钥中心,用于根据客户端通过网络服务器和后端服务器发来的注册请求,由硬件安全模块生成的PIN信息,并将PIN信息通过可信物理方式递交给客户端用户,以及通过可信方式发送给后端服务器;所述客户端,用于接收客户端用户输入的PIN信息;利用PIN信息,通过与后端服务器约定的预设加解密算法,对客户端和后端服务器之间传输的数据块进行加解密;所述网络服务器,用于在客户端和后端服务器之间建立网络连接,并与客户端或者后端服务器之间利用SSL加解密并传输数据块;所述后端服务器,用于将客户端用户的信息发送给密钥中心,请求密钥中心根据客户端用户的信息生成PIN信息;并接收密钥中心发回的进行加解密的PIN信息;利用PIN信息,通过与客户端约定的预设加解密算法,对客户端和后端服务器之间传输的数据块进行加解密。作为一种统一身份认证平台的可实施方式,所述客户端,还用于通过网络服务器向后端服务器发出注册请求;所述后端服务器,还用于接收客户端发来的注册请求,对客户端用户进行注册。其中,所述网络连接为有线连接或者无线连接。其中,所述无线连接包括但不限于CDMA2000通信网络连接、WCDMA通信网络连接、TD-CDMA通信网络连接或者TD-LTE通信网络连接。其中,所述加解密算法,为对称算法或者非对称算法;所述对称算法为DES算法,3DES算法,TDEA算法,Blowfish算法,RC5算法或者IDEA算法;所述非对称算法为RSA算法、Elgamal算法、背包算法、Rabin算法、D-H算法或者ECC算法。作为一种统一身份认证平台的可实施方式,所述用户身份认证的数据块为令牌种子、用户密码、数据块和/或用户个性化数据。作为一种统一身份认证平台的可实施方式,所述用户个性化数据为用户手写签名图像数据、用户输入的声音、用户的二维码和/或用户选择输入的其他非数字数据。基于同一专利技术构思的一种统一身份认证方法,包括如下步骤:步骤A,密钥中心根据客户端通过网络服务器和后端服务器发来的注册请求,由硬件安全模块生成的PIN信息,并将PIN信息通过可信物理方式递交给客户端用户,以及通过可信方式发送给后端服务器;步骤B,客户端利用PIN信息,通过与后端服务器约定的预设加解密算法,对客户端和后端服务器之间传输的数据块进行加解密;步骤C,网络服务器与客户端或者后端服务器之间利用SSL加解密并传输数据块;步骤D,后端服务器利用PIN信息,通过与客户端约定的预设加解密算法,对客户端和后端服务器之间传输的数据块进行加解密。作为一种统一身份认证方法的可实施方式,所述步骤A之前还包括如下步骤:步骤Al,所述客户端通过网络服务器向后端服务器发出注册请求;步骤A2,网络服务器与客户端或者后端服务器之间利用SSL加解密并传输数据块;步骤A3,后端服务器接收客户端发来的注册请求,对客户端用户进行注册,并将客户端用户的信息发送给密钥中心,请求密钥中心根据客户端用户的信息生成PIN信息。本专利技术的有益效果:本专利技术提供的,通过对用户身份认证的数据(包括但不限于令牌种子、用户密码或交易数据)的传输和储存整个过程进行多重认证保护,克服了 SSL的缺陷,提供额外的安全功能,尽可能保障网络信息传输的安全性,防止第三方通过共享宽带无线链接对信息进行篡改和盗取。【附图说明】以下结合具体附图及具体实施例,对本专利技术的进行进一步详细说明。图1为本专利技术的统一身份认证平台的一具体实施例的结构示意图;图2为本专利技术的统一身份认证平台的一具体实施例的HSM对传输的密匙加解密过程不意图;图3为SSL位置示意图;图4为握手协议构成示意图;图5为SSL握手第一阶段示意图;图6为SSL握手第二阶段示意图;图7为使用RSA的服务端的验证和密钥交换过程示意图;图8为SSL握手第三阶段示意图;图9为使用RSA的客户端的验证和密钥交换过程示意图;图10为SSL握手第四阶段示意图;图11为从预备主秘密计算主秘密的过程示意图;图12为从主秘密计算密钥材料过程示意图;图13为从密钥材料提取加密秘密的过程示意图;图14为SSL记录协议过程不意图;图15为本专利技术的统一身份认证方法的一具体实施例的流程图。【具体实施方式】为了使本专利技术的技术方案更加清楚,以下结合附图,对本专利技术的作进一步详细的说明。应当理解,此处所描述的具体实施例仅用以解释本专利技术,并不用于限定本专利技术。本专利技术提供的统一身份认证平台的实施例,参见图1,本专利技术实施例提供的统一身份认证平台,包括密钥中心,客户端,网络服务器,后端服务器,其中:所述密钥中心,用于根据客户端通过网络服务器和后端服务器发来的注册请求,由硬件安全模块(HSM)生成的PIN (Personal Identificat1n Number,个人识别密码)信息,并将PIN信息通过可信物理方式递交给客户端用户,以及通过可信方式发送给后端服务器;所述客户端,用于通过网络服务器向后端服务器发出注册请求;并接收客户端用户输入的PIN信息;利用PIN信息,通过与后端服务器约定的预设加解密算法,对客户端和后端服务器之间传输的数据块进行加解密;所述网络服务器,用于在客户端和后端服务器之间建立网络连接,并与客户端或者后端服务器之间利用SSL加解密并传输数据块;所述后端服务器,用于接收客户端发来的注册请求,对客户端用户进行注册,并将客户端用户的信息发送给密钥中心,请求密钥中心根据客户端用户的信息生成PIN信息;并接收密钥中心发回的进行加解密的PIN信息;利用PIN信息,通过与客户端约定的预设加解密算法,对客户端和后端服务器之间传输的数据块进行加解密。本专利技术实施例中,客户端和后端服务器中,在生成、分配、更改和重设PIN (用户密码)信息过程中,利用约定的预设加解密算法对传输的数据块进行第一层加解密后,再利用网络服务器进行第二层加解密,使得在网络传输的认证数据块能够进行很好的保护,第三人通过即使能通过网络攻击获取数据,也因为第一层加密而不能得到在网络服务器上传输的数据块信息,确保端对端的保护,从而有效地保护客户端到后端服务器传输的数据的安全。进一步地,本专利技术实施例通过利用硬件安全模块(HSM)生成PIN信息,其生成后直接封装,并通过可信物理方式传递给客户端用户,除客户端用户外,其他人无从得知PIN信息,防止内部威胁,特别是防止系统管理员用已知的密码内容更换用户的密码,使他们能够获得客户端的账户信息,提供较好的保证,尽可能确保除了生成PIN的受信赖的HSM外,没有人可以知道PIN信息,包括网络服务器等中间层服务器在内,并可防止会话重放攻击,以及防止利用GPUs技术来进行密码暴力破本文档来自技高网...
【技术保护点】
一种统一身份认证平台,其特征在于,包括密钥中心,客户端,网络服务器,后端服务器,其中:所述密钥中心,用于根据客户端通过网络服务器和后端服务器发来的注册请求,由硬件安全模块生成的PIN信息,并将PIN信息通过可信物理方式递交给客户端用户,以及通过可信方式发送给后端服务器;所述客户端,用于接收客户端用户输入的PIN信息;利用PIN信息,通过与后端服务器约定的预设加解密算法,对客户端和后端服务器之间传输的数据块进行加解密;所述网络服务器,用于在客户端和后端服务器之间建立网络连接,并与客户端或者后端服务器之间利用SSL加解密并传输数据块;所述后端服务器,用于将客户端用户的信息发送给密钥中心,请求密钥中心根据客户端用户的信息生成PIN信息;并接收密钥中心发回的进行加解密的PIN信息;利用PIN信息,通过与客户端约定的预设加解密算法,对客户端和后端服务器之间传输的数据块进行加解密。
【技术特征摘要】
【专利技术属性】
技术研发人员:程伟强,
申请(专利权)人:北京安讯奔科技有限责任公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。