【技术实现步骤摘要】
一种基于WebAuthn协议的国密算法身份认证系统、方法和装置
[0001]本专利技术涉及身份认证安全领域,具体为WebAuthn国密算法身份认证
技术介绍
[0002]Web网页是我们日常生活中比较常见的需要使用账户登陆的平台。例如企业的各种ERP系统、人事管理系统、对外提供业务的管理系统等。这些系统涉及到大量的敏感信息和机密信息,目前这些系统的用户身份认证大多采用用户名+密码、用户名+密码+动态短信验证码的形式使用。用户输入提交之后,服务器端通过验证用户名和密码是否匹配,或者用户名、密码、动态口令是否匹配来确认用户是否为系统合法用户。
[0003]而目前现有技术主要存在以下问题:1、静态口令身份认证账户密码管理难度大,容易被木马、钓鱼、中间人劫持、社工攻击等导致密码泄露的问题;2、动态短信登陆码存伪基站攻击、钓鱼、木马等攻击导致泄露的问题;3、传统智能卡发卡和读卡都需要专用的读写设备,普及成本高,使用兼容性差,无法使用在Web平台上;4、USBKey存在需要专用的驱动程序和浏览器插件,大多数无法跟随浏览器版本升级而及时升级,部分浏览器平台已经被淘汰或者浏览器插件技术已经被淘汰;5、仅单独使用生物识别模块,例如指纹等生物特征无法修改或者容易灭失,出现指纹泄漏遭破解攻击或遭遇事故导致损毁之后存在巨大使用风险;6、手机或者安全主机有比较安全的安全芯片支持,但是通用性和适配性较差;7、传统的一证通等手机APP很难安全和可信的将APP中认证过的身份信息传递给其他应用,或者需要借用互联网以及中间服务器,流程 ...
【技术保护点】
【技术特征摘要】
1.一种基于WebAuthn协议的国密算法身份认证系统,其特征在于,包括:认证SDK、终端设备、认证装置、用户主密钥和PKI身份证书管理系统;所述认证SDK用于集成在互联网服务端,在访问服务端需要进行身份认证时,所述认证装置通过终端设备与认证SDK建立通信连接并交互身份认证信息,所述认证SDK还通过预埋PKI身份根证书与PKI身份证书管理系统建立信任和授权关系,验证所述认证装置发送的身份认证信息的合法性;所述终端设备用于在访问互联网服务端需要进行身份认证时,与所述认证装置建立通信连接,并通过建立的通信连接与所述认证装置交互得到身份认证信息,并向所述认证SDK发送携带身份认证信息的身份认证请求;所述认证装置为独立的USB硬件设备,用于生成和/或存储私钥和公钥对,并对所述身份认证信息进行加密、签名,所述认证装置在开始身份认证前用于与用户主密钥建立通信连接并交互身份认证信息,并在身份认证时用于签名计算,所述认证装置获得并储存所述身份认证信息,所述认证装置上设有一LED指示灯和按钮,所述LED指示灯用于在进行身份认证时提示用户认证装置当前状态,所述按钮用于在进行身份认证时用户进行授权签名操作;所述用户主密钥由手机或安全主机内的用户私钥和用户证书组成,所述用户证书由手机或安全主机向所述PKI身份证书管理系统提交身份认证请求并经所述PKI身份证书管理系统批准后获得,所述用户主密钥用于在进行身份认证时与所述认证装置建立通信连接读取认证装置中的公钥和签名,并用与用户证书相对应的用户私钥给认证装置签发短周期身份证书;所述PKI身份证书管理系统用于鉴别、认证和颁发用户证书给用户主密钥,并提供PKI身份根证书给所述认证SDK用于构建信任链验证用户是否为授权可信用户;所述用户证书的自定义扩展字段中包含APPID数据,所述APPID数据为认证SDK服务所部署的域名信息并经过SM3计算所得,所述短周期身份证书包含所述用户证书中的APPID数据;所述用户主密钥通过NFC或蓝牙与认证装置建立通信连接;所述终端设备为电脑设备或其他硬件设备,其安装有标准的浏览器或其他需要用户登陆的互联网应用,用于供用户访问和使用Web服务端或互联网应用。2.根据权利要求1所述的一种基于WebAuthn协议的国密算法身份认证系统,其特征在于,所述短周期身份证书使用X.509v3标准的扩展信息的自定义扩展字段的方式继承用户证书中的APPID数据。3.根据权利要求1所述的一种基于WebAuthn协议的国密算法身份认证系统,其特征在于,所述短周期身份证书设有有效时间,所述有效期时间根据PKI身份证书管理系统的安全策略设置。4.根据权利要求1所述的一种基于WebAuthn协议的国密算法身份认证系统,其特征在于,所述PKI身份证书管理系统颁发符合X.509v3标准的用户证书给用户主密钥。5.一种基于WebAuthn协议的国密算法身份认证方法,其特征在于,包括:所述认证装置与终端设备建立通信连接,认证装置初始化,然后通过蓝牙或NFC途径与用户主密钥建立通信连接;
所述用户主密钥向PKI身份证书管理...
【专利技术属性】
技术研发人员:杨明军,厚建勇,
申请(专利权)人:亚数信息科技上海有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。