一种认证系统和方法技术方案

本发明专利技术公开了一种认证系统和方法，系统包括输入模块和第一加密模块；服务端包括认证模块和第二加密模块；其中，输入模块获取待认证信息，第一加密模块加密待认证信息，第二加密模块解密待认证信息，认证模块验证待认证信息是否正确。方法包括：获取待认证信息，向服务端提出密钥申请；服务端生成加密的公钥；解析所述加密的公钥，将待认证信息进行哈希运算以获取信息哈希值，将若干加盐值插入信息哈希值以生成信息字符串，计算该信息字符串以获取字符串哈希值，使用公钥和加密密钥加密字符串哈希值；服务端验证正确值和加密后字符串哈希值。本发明专利技术通过对待验证的信息进行加密，能够降低在数据传输过程中被窃取的几率，提高安全性。

Authentication system and method

The invention discloses an authentication system and a system comprising an input module and a first encryption module; a server includes an authentication module and a second encryption module; wherein the input module obtains the information to be authenticated, the first encryption module encrypts the information to be authenticated, the second encryption module decrypts the information to be authenticated, and the authentication module verifies the information to be authenticated. Authentication information is correct. The method includes: obtaining the information to be authenticated, applying for the key to the server, generating the encrypted public key, parsing the encrypted public key, hashing the information to be authenticated to obtain the information hash value, inserting some salt values into the information hash value to generate the information string, and computing the information string to obtain the information hash value. String hash values are encrypted using public and encryption keys; the server verifies the correct value and encrypted string hash values. By encrypting the information to be verified, the invention can reduce the probability of being stolen in the process of data transmission and improve the security.

【技术实现步骤摘要】
一种认证系统和方法
本专利技术涉及保密认证
，尤其涉及一种认证系统和方法。
技术介绍
随着互联网技术的不断发展，在网络通信中，因数字密码容易被用户记住，且对于网络服务提供商来说密码验证成本也最为低廉，因此到目前为止以用户名和密码进行身份认证仍然是主要认证方法之一。用户通过客户端注册设置初始登陆密码存储在服务器中，后续再通过客户端输入账号密码登陆服务器，根据客户端输入的用户信息与服务器端存储的数据信息加以匹配，认证通过则为合法用户，否则为非法用户，限制其登陆客户端及连接服务器。当用户在客户端输入账号和密码信息后，客户端通过互联网的传输方式，将账号和密码信息传输至服务器端，对用户数据进行验证。然而，在账号密码传输至服务器端的过程中，由于网络通信的不确定性，黑客可通过网络窃听、木马软件、节点攻击、网络漏洞等方式对客户端和服务器端的通信进行攻击，窃取两者关键的交互数据。
技术实现思路
为了解决上述问题，本专利技术提供一种认证系统和方法。本专利技术采用的技术方案一方面为一种认证系统，包括客户端和服务端，所述客户端包括输入模块和第一加密模块；所述服务端包括认证模块和第二加密模块；其中，所述输入模块获取待认证信息，所述第一加密模块加密所述待认证信息，所述第二加密模块解密所述待认证信息，所述认证模块验证所述待认证信息是否正确。优选地，所述客户端和服务端基于PKI-CA体系实现基本验证。优选地，所述第一加密模块与所述第二加密模块协商以获取加密密钥；所述加密密钥存在使用时限，当满足预设的期限，所述第一加密模块与所述第二加密模块重新协商以更新加密密钥。优选地，还包括加盐模块，所述加盐模块连接所述输入模块并加盐所述待认证信息。优选地，还包括数据存储模块。本专利技术采用的技术方案一方面为一种认证方法，适用于上述系统，包括步骤：客户端获取待认证信息，向服务端提出密钥申请；服务端生成加密的公钥；客户端解析所述加密的公钥，将待认证信息进行哈希运算以获取信息哈希值，将若干加盐值插入所述信息哈希值以生成信息字符串，计算该信息字符串以获取字符串哈希值，使用公钥和加密密钥加密所述字符串哈希值；服务端比较预设的正确值和加密后字符串哈希值，一致则验证通过。优选地，所述服务端基于RSA算法生成公钥、私钥，使用加密密钥并基于对称加密算法3DES加密所述公钥以生成加密的公钥。优选地，所述哈希运算为基于SHA512的哈希运算。本专利技术的有益效果为通过对待验证的信息进行加密，能够降低在数据传输过程中被窃取的几率，提高安全性。附图说明图1所示为基于本专利技术实施例的系统框架的示意图；图2所示为基于本专利技术实施例的服务端进行安全密钥的预置流程的示意图；图3所示为基于本专利技术实施例的双向安全认证的流程图；图4所示为基于本专利技术实施例的用户通过客户端进行注册流程示意图；图5所示为基于本专利技术实施例的认证流程示意图。具体实施方式以下结合实施例对本专利技术进行说明。基于专利技术的实施例，一种认证系统，包括客户端和服务端，所述客户端包括输入模块和第一加密模块；所述服务端包括认证模块和第二加密模块；其中，所述输入模块获取待认证信息，所述第一加密模块加密所述待认证信息，所述第二加密模块解密所述待认证信息，所述认证模块验证所述待认证信息是否正确。所述客户端和服务端基于PKI-CA体系实现基本验证。所述第一加密模块与所述第二加密模块协商以获取加密密钥；所述加密密钥存在使用时限，当满足预设的期限，所述第一加密模块与所述第二加密模块重新协商以更新加密密钥。还包括加盐模块，所述加盐模块连接所述输入模块并加盐所述待认证信息。还包括数据存储模块。基于专利技术的实施例，一种认证方法，适用于上述系统，包括步骤：客户端获取待认证信息，向服务端提出密钥申请；服务端生成加密的公钥；客户端解析所述加密的公钥，将待认证信息进行哈希运算以获取信息哈希值，将若干加盐值插入所述信息哈希值以生成信息字符串，计算该信息字符串以获取字符串哈希值，使用公钥和加密密钥加密所述字符串哈希值；服务端比较预设的正确值和加密后字符串哈希值，一致则验证通过。所述服务端基于RSA算法生成公钥、私钥，使用加密密钥并基于对称加密算法3DES加密所述公钥以生成加密的公钥。所述哈希运算为基于SHA512的哈希运算。图1所示为客户端与服务端的系统框图，本实例以客户端与服务端进行的用户账号和密码为例进行用户注册和登陆的认证流程，可应用各种C/S和B/S结构的服务，如网银、购票软件、即时通讯工具登陆等等，客户端与服务端的通信通过有线或无线网络的方式进行通信。如图，该系统主要由客户端和服务端两部分组成，客户端实现用户操作功能，输入模块是指用户进行注册与身份认证的用户账号和密码输入模块，该模块可以是不同的密码输入框或更为安全的密码键盘控件，是账号密码录入模块；加盐模块是对用户输入的密码进行哈希运算后的哈希值进行加盐，即对给密码加盐值；第一加解密模块(即所述第一加密模块)是指带有各种算法的密码模块，此模块可以是软加密也可是硬加密模块(如安全芯片)，用以实现客户端对用户输入的账号密码等关键数据的加解密，密码模块支持非对称算法、对称算法、杂凑哈希等多种算法。服务端主要实现关键数据的保存和用户身份的认证。认证模块是对认证数据的组装及对用户账号密码的正确性验证判断，给出用户身份判断的对错结果；数据库模块用于存储用户密码加盐的哈希值及用户账号，数据库模块中的数据均要通过加密保存，以保障数据库中数据的机密性；第二加解密模块(即所述第二加密模块)，在本系统中指硬件加解密模块(如密码机)，在服务端加解密模块用于对密钥的安全保存，并支持多种非对称、对称及杂凑哈希算法，实现对关键数据的加解密，可生成非对称算法公私钥对及随机数。图2为服务端进行安全密钥的预置过程，服务端调用第二加密模块生成两个16byte的随机数即第一随机数和第二随机数，分别将第一随机数和第二随机数保存至第二加密模块的安全存储区作为安全密钥R-key和C-key，R_key用于RSA转3DES加密运算时的对称加密的安全密钥，C_key用于加密数据库中数据的安全密钥，服务端记录安全密钥R_key和C_key的生成时间，当在加解密模安全存储区保存达到三个月时(即所述期限)，将由加解密模块(包括第一加密模块和第二加密模块)重新生成新随机数，作为新的安全密钥R_key和C_key，原数据库中已加密保存的数据，先用旧的安全密钥C_key解密后，再用新的安全密钥C_key加密，优选地，也可将缩短安全密钥生成时间周期如一个月，达到较优的安全时间。图3是客户端与服务端进行双向安全认证的流程图，在进行双向认证过程之前根据PKI安全体系，通过CA在客户端预置根证书，以及客户端公钥证书、服务端向CA申请的CA签名的服务端公钥证书，公钥证书为RSA或SM2非对称算法证，因证书预置过程为公开技术，这里不再赘述。在证书预置后，进行HTTPS协议的双向安全认证，其主要认证流程如下：1)客户端在本地组包发送客户端SSL版本号、认证握手信息数据发送给服务端；2)服务端接收到信息后，发送SSL版本号、服务端RSA公钥证书给客户端；3)客户端校验服务端RSA公钥证书的合法性，若证书合法则继续，否则终止两端认证握手；4)客户端校验服务端证书合法后，将客户端的RSA公本文档来自技高网...

【技术保护点】
1.一种认证系统，包括客户端和服务端，其特征在于，所述客户端包括输入模块和第一加密模块；所述服务端包括认证模块和第二加密模块；其中，所述输入模块获取待认证信息，所述第一加密模块加密所述待认证信息，所述第二加密模块解密所述待认证信息，所述认证模块验证所述待认证信息是否正确。

【技术特征摘要】
1.一种认证系统，包括客户端和服务端，其特征在于，所述客户端包括输入模块和第一加密模块；所述服务端包括认证模块和第二加密模块；其中，所述输入模块获取待认证信息，所述第一加密模块加密所述待认证信息，所述第二加密模块解密所述待认证信息，所述认证模块验证所述待认证信息是否正确。2.根据权利要求1所述的一种认证系统，其特征在于，所述客户端和服务端基于PKI-CA体系实现基本验证。3.根据权利要求1或2所述的一种认证系统，其特征在于，所述第一加密模块与所述第二加密模块协商以获取加密密钥；所述加密密钥存在使用时限，当满足预设的期限，所述第一加密模块与所述第二加密模块重新协商以更新加密密钥。4.根据权利要求3所述的一种认证系统，其特征在于，还包括加盐模块，所述加盐模块连接所述输入模块并加盐所述待认证信息。5...

【专利技术属性】
技术研发人员：文明，刘俊，
申请(专利权)人：深圳市中易通安全芯科技有限公司，
类型：发明
国别省市：广东,44