本发明专利技术公开了一种基于WebAuthn协议的国密算法身份认证系统、方法及装置,属于身份认证安全领域;系统包括认证SDK、PKI身份证书管理系统、认证装置、用户主密钥和终端设备;认证方法包括:用户主密钥为认证装置颁发含APPID数据的、合法的短周期身份证书,终端设备向认证SDK发起身份认证请求,认证SDK生成并返回盘问口令,认证装置内的私钥对盘问口令进行数字签名,同时将签名数据和短周期临时身份证书返回给认证SDK;认证SDK验证用户身份认证信息,认证装置为一内置安全芯片的USB装置。本发明专利技术能有效阻止身份认证账户密码泄露及被第三方窃取,有效保证身份认证流程的安全性,安全和方便的拓展可信身份在各种终端设备中的使用,尤其是在标准的Web客户端中使用。尤其是在标准的Web客户端中使用。尤其是在标准的Web客户端中使用。
【技术实现步骤摘要】
一种基于WebAuthn协议的国密算法身份认证系统、方法和装置
[0001]本专利技术涉及身份认证安全领域,具体为WebAuthn国密算法身份认证
技术介绍
[0002]Web网页是我们日常生活中比较常见的需要使用账户登陆的平台。例如企业的各种ERP系统、人事管理系统、对外提供业务的管理系统等。这些系统涉及到大量的敏感信息和机密信息,目前这些系统的用户身份认证大多采用用户名+密码、用户名+密码+动态短信验证码的形式使用。用户输入提交之后,服务器端通过验证用户名和密码是否匹配,或者用户名、密码、动态口令是否匹配来确认用户是否为系统合法用户。
[0003]而目前现有技术主要存在以下问题:1、静态口令身份认证账户密码管理难度大,容易被木马、钓鱼、中间人劫持、社工攻击等导致密码泄露的问题;2、动态短信登陆码存伪基站攻击、钓鱼、木马等攻击导致泄露的问题;3、传统智能卡发卡和读卡都需要专用的读写设备,普及成本高,使用兼容性差,无法使用在Web平台上;4、USBKey存在需要专用的驱动程序和浏览器插件,大多数无法跟随浏览器版本升级而及时升级,部分浏览器平台已经被淘汰或者浏览器插件技术已经被淘汰;5、仅单独使用生物识别模块,例如指纹等生物特征无法修改或者容易灭失,出现指纹泄漏遭破解攻击或遭遇事故导致损毁之后存在巨大使用风险;6、手机或者安全主机有比较安全的安全芯片支持,但是通用性和适配性较差;7、传统的一证通等手机APP很难安全和可信的将APP中认证过的身份信息传递给其他应用,或者需要借用互联网以及中间服务器,流程复杂且存在被劫持和攻击的风险;8、传统WebAuthn在浏览器、操作系统上已被广泛支持,但不具备强身份认证的能力,以及不具备身份信息生命周期控制和管理能力;9、当前国密算法应用在普及,但是国密算法安全芯片并没有普及,需要对现有应用改造使用专用芯片、定制设备和专用的应用,导致当前的私钥安全的国密身份应用成本高和普及难度大。
[0004]因此针对以上技术问题,如何实现使得身份认证不易被泄露、被破解;可以跨平台、跨操作系统使用;私钥安全的国密身份应用;同时在使用过程中也不易丢失,容易根据用户的需求及时更新认证密钥,是本领域技术人员需要解决的问题。
技术实现思路
[0005]本专利技术的目的在于提供一种基于WebAuthn协议的国密算法身份认证系统、方法及装置,以解决上述
技术介绍
提出的技术问题。
[0006]为实现上述目的,本专利技术提供如下技术方案:
[0007]一种基于WebAuthn协议的国密算法身份认证系统,包括:认证SDK、终端设备、认证装置、用户主密钥和PKI身份证书管理系统;
[0008]所述认证SDK用于集成在互联网服务端,在访问服务端需要进行身份认证时,所述认证装置通过终端设备与认证SDK建立通信连接并交互身份认证信息,所述认证SDK还通过
预埋PKI身份根证书与PKI身份证书管理系统建立信任和授权关系,验证所述认证装置发送的身份认证信息的合法性;
[0009]所述终端设备用于在访问互联网服务端需要进行身份认证时,与所述认证装置建立通信连接,并通过建立的通信连接与所述认证装置交互得到身份认证信息,并向所述认证SDK发送身份认证请求;
[0010]所述认证装置为独立的USB硬件设备,用于生成和/或存储私钥和公钥对,并对所述身份认证信息进行加密、签名,所述认证装置在进行身份认证时与用户主密钥建立通信连接并交互身份认证信息,所述认证装置获得并储存所述身份认证信息,所述认证装置上设有一LED指示灯和按钮,所述LED指示灯用于在进行身份认证时提示用户认证装置当前状态,所述按钮用于在进行身份认证时用户进行授权签名操作;
[0011]所述用户主密钥由手机或安全主机内的用户私钥和用户证书组成,所述用户证书由手机或安全主机向所述PKI身份证书管理系统提交身份认证请求并经所述PKI身份证书管理系统批准后获得,所述用户主密钥用于在进行身份认证前与所述认证装置建立通信连接读取认证装置中的公钥和签名,并用与公钥相对应的用户私钥给认证装置签发短周期身份证书;
[0012]所述PKI身份证书管理系统用于鉴别、认证和颁发用户证书给用户主密钥,并提供PKI身份根证书给所述认证SDK用于构建信任链验证用户是否为授权可信用户;
[0013]所述用户证书的自定义扩展字段中包含APPID数据,所述APPID数据为认证SDK服务所部署的域名信息并经过SM3计算所得,所述短周期身份证书包含所述用户证书中的APPID数据;
[0014]所述用户主密钥通过NFC或蓝牙与认证装置建立通信连接;
[0015]所述终端设备为电脑设备或其他硬件设备,其安装有标准的浏览器或其他需要用户登陆的互联网应用,用于供用户访问和使用Web服务端或互联网应用。
[0016]进一步地,所述短周期身份证书使用X.509v3标准的扩展信息的自定义扩展字段的方式继承用户证书中的APPID数据。
[0017]进一步地,所述短周期身份证书设有有效时间,所述有效期时间根据PKI身份证书管理系统的安全策略设置。
[0018]进一步地,所述PKI身份证书管理系统颁发符合X.509v3标准的用户证书给用户主密钥。
[0019]本专利技术还提供了:一种基于WebAuthn协议的国密算法身份认证方法,包括:所述认证装置与终端设备建立通信连接,认证装置初始化,然后通过蓝牙或NFC途径与用户主密钥建立通信连接;
[0020]所述用户主密钥向PKI身份证书管理系统提交身份认证请求并获得用户证书,所述用户证书中还包含APPID数据;
[0021]所述用户主密钥读取认证装置内认证装置公钥、公钥签名数据和认证装置信息并通过使用者身份校验后向认证装置签发包含APPID数据的短周期身份证书,然后认证装置用其内部存储的私钥与短周期身份证书进行关联;
[0022]所述终端设备向所述认证SDK发送身份认证请求;
[0023]所述认证SDK获取身份认证请求并响应生成盘问口令返回给终端设备,所述终端
设备获取当前访问域名,然后将盘问口令、当前访问域名通过接口发送给认证装置;
[0024]所述认证装置获取盘问口令、当前访问域名后,对当前访问域名经SM3计算后得到APPID数据与其存储的短周期身份证书中的APPID数据进行比较,若不一致,则终止身份认证,若一致,则认证装置闪烁LED灯提示用户点击按钮批准签名操作,然后用与短周期身份证书关联的私钥对盘问口令进行数字签名,并将签名结果数据按WebAuthn标准结构返回给终端设备;
[0025]所述终端设备将认证装置返回的数据发送给认证SDK验证;
[0026]所述认证SDK通过验证盘问口令是否一致,验证数字签名与短周期身份证书是否匹配,验证短周期身份证书与PKI身份证书管理系统组成证书链是否可信;通过OCSP协议向PKI身份证书管理系统验证前述证书链吊销状态;若验证通过则登录成功,反之则登录失败。
[0027本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于WebAuthn协议的国密算法身份认证系统,其特征在于,包括:认证SDK、终端设备、认证装置、用户主密钥和PKI身份证书管理系统;所述认证SDK用于集成在互联网服务端,在访问服务端需要进行身份认证时,所述认证装置通过终端设备与认证SDK建立通信连接并交互身份认证信息,所述认证SDK还通过预埋PKI身份根证书与PKI身份证书管理系统建立信任和授权关系,验证所述认证装置发送的身份认证信息的合法性;所述终端设备用于在访问互联网服务端需要进行身份认证时,与所述认证装置建立通信连接,并通过建立的通信连接与所述认证装置交互得到身份认证信息,并向所述认证SDK发送携带身份认证信息的身份认证请求;所述认证装置为独立的USB硬件设备,用于生成和/或存储私钥和公钥对,并对所述身份认证信息进行加密、签名,所述认证装置在开始身份认证前用于与用户主密钥建立通信连接并交互身份认证信息,并在身份认证时用于签名计算,所述认证装置获得并储存所述身份认证信息,所述认证装置上设有一LED指示灯和按钮,所述LED指示灯用于在进行身份认证时提示用户认证装置当前状态,所述按钮用于在进行身份认证时用户进行授权签名操作;所述用户主密钥由手机或安全主机内的用户私钥和用户证书组成,所述用户证书由手机或安全主机向所述PKI身份证书管理系统提交身份认证请求并经所述PKI身份证书管理系统批准后获得,所述用户主密钥用于在进行身份认证时与所述认证装置建立通信连接读取认证装置中的公钥和签名,并用与用户证书相对应的用户私钥给认证装置签发短周期身份证书;所述PKI身份证书管理系统用于鉴别、认证和颁发用户证书给用户主密钥,并提供PKI身份根证书给所述认证SDK用于构建信任链验证用户是否为授权可信用户;所述用户证书的自定义扩展字段中包含APPID数据,所述APPID数据为认证SDK服务所部署的域名信息并经过SM3计算所得,所述短周期身份证书包含所述用户证书中的APPID数据;所述用户主密钥通过NFC或蓝牙与认证装置建立通信连接;所述终端设备为电脑设备或其他硬件设备,其安装有标准的浏览器或其他需要用户登陆的互联网应用,用于供用户访问和使用Web服务端或互联网应用。2.根据权利要求1所述的一种基于WebAuthn协议的国密算法身份认证系统,其特征在于,所述短周期身份证书使用X.509v3标准的扩展信息的自定义扩展字段的方式继承用户证书中的APPID数据。3.根据权利要求1所述的一种基于WebAuthn协议的国密算法身份认证系统,其特征在于,所述短周期身份证书设有有效时间,所述有效期时间根据PKI身份证书管理系统的安全策略设置。4.根据权利要求1所述的一种基于WebAuthn协议的国密算法身份认证系统,其特征在于,所述PKI身份证书管理系统颁发符合X.509v3标准的用户证书给用户主密钥。5.一种基于WebAuthn协议的国密算法身份认证方法,其特征在于,包括:所述认证装置与终端设备建立通信连接,认证装置初始化,然后通过蓝牙或NFC途径与用户主密钥建立通信连接;
所述用户主密钥向PKI身份证书管理...
【专利技术属性】
技术研发人员:杨明军,厚建勇,
申请(专利权)人:亚数信息科技上海有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。