一种基于制造技术

本发明专利技术公开了一种基于

【技术实现步骤摘要】
一种基于Ukey的安全认证方法、装置及系统


[0001]本专利技术涉及网络安全通信领域，尤其涉及一种基于
Ukey
的安全认证方法
、
装置及系统
。

技术介绍

[0002]传统
web
系统在登录过程中只有账号密码一种认证方式，遭遇钓鱼网站或其他方式时容易导致账号密码泄露被他人恶意使用
。
而且存在相当一部分系统在传输或存储等环节未对敏感信息进行加密，即使是使用
https
安全协议，且敏感信息在数据库中加密存储的系统，部分场景下同样存在风险
。
例如使用了自签名的
https
证书
、
证书签名算法使用了弱
hash
算法
、ssl
加密算法使用了不安全的加密算法
、
数据库保存的敏感数据使用了
md5
等弱
hash
算法等，从而导致加密密钥或密码泄露，或者通过碰撞的方式进行破解来进行非法登录
。
[0003]现有技术中针对该问题的解决方案可分为两种，一种是改变传统的账号加密码登录方式，例如手机加验证码，或者第三方系统授权
。
另一种是在原有的认证方式之上增加新的方式，如
Ukey
认证
。
手机或第三方授权的登录方式只能适用于联网环境，对于内网等离线环境下则不适用
。
而
Ukey
认证本质上仍是一次客户端与服务器发起的一次信息交互，其安全性取决于交互信息的加密等级，如果发起的信息以明文传输，仍可通过技术手段窃取或伪造来进行破解
。
[0004]因此，为提高系统登录的安全性，还需对现有登录认证方法进行改进
。

技术实现思路

[0005]为了解决上述问题，提高登录安全性，本专利技术提供了一种基于
Ukey
的安全认证方法
、
装置及系统，以期全部或部分的解决上述技术问题
。
第一方面，本专利技术提供了一种基于
Ukey
的安全认证方法，用于服务器，包括如下步骤：接收客户端发送的第一认证请求，若第一认证请求中的登录账号绑定有证书，则将当前登录会话与当前登录线程进行关联，并将当前登录线程挂起预定时间；通过安全随机数算法生成安全随机数，将其作为客户端后续请求的加密密钥；获取所述登录账号对应的证书公钥，用证书公钥对所述加密密钥进行加密，将加密结果返回至客户端；
[0006]接收客户端发送的第二认证请求，所述第二认证请求含有认证参数，所述认证参数为客户端利用所述加密密钥对登录会话
ID
加时间戳的加密结果；利用所述加密密钥对所述认证参数解密，得到所述登录会话
ID
；在挂起的登录线程关联的登录会话中写入认证成功的标识，并唤醒所述挂起的登录线程，所述挂起的登录线程被唤醒后检查与其关联的登录会话中是否存在认证成功的标识，是则将用户登录成功的结果返回至客户端，否则将登录失败的结果返回至客户端
。
进一步的，所述的一种基于
Ukey
的安全认证方法，还包括证书绑定步骤：
接收客户端上传的证书；解密证书中的
Ukey
公钥，将
Ukey
公钥与公钥的
sha
‑
256
值比对校验，若相等则将
Ukey
公钥保存至数据库；
[0007]将所述证书与登录账号绑定
。
第二方面，本专利技术提供了一种基于
Ukey
的安全认证装置，用于服务器，其特征在于，包括：第一模块，被配置为接收客户端发送的第一认证请求，若第一认证请求中的登录账号绑定有证书，则将当前登录会话与当前登录线程进行关联，并将当前登录线程挂起预定时间；通过安全随机数算法生成安全随机数，将其作为客户端后续请求的加密密钥；获取所述登录账号对应的证书公钥，用证书公钥对所述加密密钥进行加密，将加密结果返回至客户端；
[0008]第二模块，被配置为接收客户端发送的第二认证请求，所述第二认证请求含有认证参数，所述认证参数为客户端利用所述加密密钥对登录会话
ID
加时间戳的加密结果；利用所述加密密钥对所述认证参数解密，得到所述登录会话
ID
；在挂起的登录线程关联的登录会话中写入认证成功的标识，并唤醒所述挂起的登录线程，所述挂起的登录线程被唤醒后检查与其关联的登录会话中是否存在认证成功的标识，是则将用户登录成功的结果返回至客户端，否则将登录失败的结果返回至客户端
。
进一步的，所述的一种基于
Ukey
的安全认证装置，还包括：
[0009]证书绑定模块，被配置为接收客户端上传的证书，解密证书中的
Ukey
公钥，将
Ukey
公钥与
sha
‑
256
比对校验，若相等则将
Ukey
公钥保存至数据库；将所述证书与登录账号绑定
。
第三方面，本专利技术提供了一种基于
Ukey
的安全认证方法，用于客户端，包括如下步骤：根据用户输入的登录账号和密码，获取服务器
IP、
服务器端口和登录会话
ID
；向服务器发送含有登录账号的第一认证请求；接收服务器发送的证书公钥对加密密钥的加密结果并用私钥解密，用解密获得的加密密钥对登录会话
ID
加时间戳进行加密，得到认证参数；其中，所述证书公钥与所述登录账号对应，所述加密密钥为服务器通过安全随机数算法生成的安全随机数；向服务器发送含有所述认证参数的第二认证请求；
[0010]持续检测
Ukey
私钥文件是否存在，若
Ukey
私钥文件不存在，则向服务器发送含有所述认证参数的退出请求
。
进一步的，所述的一种基于
Ukey
的安全认证方法，还包括证书制作步骤：生成一对非对称加密的公钥和私钥，并将私钥写入
Ukey
设备；将公钥加随机数
、
公钥长度和公钥的
sha
‑
256
作为值，生成一个
json
格式数据，对所述
json
格式数据进行
base64
编码，并将编码后的结果分为若干段；
[0011]使用私钥对各段数据进行加密，并将各段的加密结果拼接合并写入文件，作为
Ukey
配对使用的证书
。
第四方面，本专利技术提供了一种基于
Ukey
的安全认证装置，用于客户端，包括：获取模块，被配置为根据用户输入的登录账号和密码，获取服务器
IP、
服务器端口
和登录会话
ID
；第一发送模块，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于
Ukey
的安全认证方法，用于服务器，其特征在于，包括如下步骤：接收客户端发送的第一认证请求，若第一认证请求中的登录账号绑定有证书，则将当前登录会话与当前登录线程进行关联，并将当前登录线程挂起预定时间；通过安全随机数算法生成安全随机数，将其作为客户端后续请求的加密密钥；获取所述登录账号对应的证书公钥，用证书公钥对所述加密密钥进行加密，将加密结果返回至客户端；接收客户端发送的第二认证请求，所述第二认证请求含有认证参数，所述认证参数为客户端利用所述加密密钥对登录会话
ID
加时间戳的加密结果；利用所述加密密钥对所述认证参数解密，得到所述登录会话
ID
；在挂起的登录线程关联的登录会话中写入认证成功的标识，并唤醒所述挂起的登录线程，所述挂起的登录线程被唤醒后检查与其关联的登录会话中是否存在认证成功的标识，是则将用户登录成功的结果返回至客户端，否则将登录失败的结果返回至客户端
。2.
根据权利要求1所述的一种基于
Ukey
的安全认证方法，其特征在于，还包括证书绑定步骤：接收客户端上传的证书；解密证书中的
Ukey
公钥，将
Ukey
公钥与公钥的
sha
‑
256
值比对校验，若相等则将
Ukey
公钥保存至数据库；将所述证书与登录账号绑定
。3.
一种基于
Ukey
的安全认证装置，用于服务器，其特征在于，包括：第一模块，被配置为接收客户端发送的第一认证请求，若第一认证请求中的登录账号绑定有证书，则将当前登录会话与当前登录线程进行关联，并将当前登录线程挂起预定时间；通过安全随机数算法生成安全随机数，将其作为客户端后续请求的加密密钥；获取所述登录账号对应的证书公钥，用证书公钥对所述加密密钥进行加密，将加密结果返回至客户端；第二模块，被配置为接收客户端发送的第二认证请求，所述第二认证请求含有认证参数，所述认证参数为客户端利用所述加密密钥对登录会话
ID
加时间戳的加密结果；利用所述加密密钥对所述认证参数解密，得到所述登录会话
ID
；在挂起的登录线程关联的登录会话中写入认证成功的标识，并唤醒所述挂起的登录线程，所述挂起的登录线程被唤醒后检查与其关联的登录会话中是否存在认证成功的标识，是则将用户登录成功的结果返回至客户端，否则将登录失败的结果返回至客户端
。4.
根据权利要求3所述的一种基于
Ukey
的安全认证装置，其特征在于，还包括：证书绑定模块，被配置为接收客户端上传的证书，解密证书中的
Ukey
公钥，将
Ukey
公钥与
sha
‑
256
比对校验，若相等则将
Ukey
公钥保存至数据库；将所述证书与登录账号绑定
。5.
一种基于
Ukey
的安全认证方法，用于客户端，其特征在于，包括如下步骤：根据用户输入的登录账号和密码，获取服务器
IP、
服务器端口和登录会话
ID
；向服务器发送含有登录账号的第一认证请求；接收服务器发送的证书公钥对加密密钥的加密结果并用私钥解密，用解密获得的加密密钥对登录会话
ID
加时间戳进行加密，得到认证参数；其中，所述证书公钥与所述登录账号对应，所述加密密钥为服务器通过安全随机数算法生成的安全随机数；向服务器发送含有所述认证参数的第二认证请求；
持续检测
Ukey
私钥文件是否存在，若
Ukey
私钥文件不存在，则向服务器发送含有所述认证参数的退出请求
。6.
根据权利要求5所述的一种基于
Ukey
的安全认证方法，其特征在于，还包括证书制作步骤：生成一对非对称加密的公钥和私钥，并将私钥写入
Ukey
设备；将公钥加随机数
、
公钥长度和公钥的
sha
‑
256
作为值，生成一个
json
格式数据，对所述
json
格式数据进行
base64
编码，并将编码后的结果分为若干段；使用私钥对各段数据进行加密，并将各段的加密结果拼接合并写入文件，作为
Ukey
配对使用的证书
。7.
一种基于
Ukey
...

【专利技术属性】
技术研发人员：朱贺军，李毅，雷晟，崔培升，
申请(专利权)人：北京亿赛通科技发展有限责任公司，
类型：发明
国别省市：