一種用于分布式用戶服務間認證系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種用于分布式用戶服務間認證系統(tǒng)。該系統(tǒng)包括認證中心、客戶機、服務器和定制的身份認證裝置,認證中心包括相互連接的加密存儲介質和加密芯片;所述認證中心、客戶機和服務器兩兩相連,客戶機和服務器均通過usb接口與定制的身份認證裝置相連;認證中心的加密芯片處理加密解密請求并生成密鑰、加密存儲介質存儲所有定制的身份認證裝置的密鑰信息;身份認證裝置進行加密解密,并存儲身份認證器密鑰和通行時使用的密鑰;進行加密數(shù)據(jù)通信時,每次通信的雙方都使用密鑰加密,服務器與認證中心、客戶機與認證中心分別使用各自對應的密鑰,客戶機與服務器則使用認證中心新生成的會話密鑰。本發(fā)明降低了數(shù)據(jù)泄露的隱患,具有安全可靠的優(yōu)點。
【專利說明】—種用于分布式用戶服務間認證系統(tǒng)
【技術領域】
[0001]本發(fā)明涉及信息安全【技術領域】,特別是一種用于分布式用戶服務間認證系統(tǒng)。
【背景技術】
[0002]隨著互聯(lián)網(wǎng)技術的不斷發(fā)展,各個平臺的終端開始具有更強性能、更豐富接口的操作系統(tǒng),計算資源開始豐富,在此基礎上對平臺的安全要求開始逐漸提高。信息安全主要包括系統(tǒng)安全和數(shù)據(jù)安全兩個方面。系統(tǒng)安全一般采用防火墻、防病毒及其他安全防范技術等措施,是屬于被動型的安全措施。數(shù)據(jù)安全則主要采用現(xiàn)代密碼技術對數(shù)據(jù)進行主動的安全保護,如數(shù)據(jù)保密、數(shù)據(jù)完整性、身份認證等技術。
[0003]數(shù)字簽名技術是只有信息的發(fā)送者才能產(chǎn)生的別人無法偽造的一段數(shù)字串,這段數(shù)字串同時也是對信息的發(fā)送者發(fā)送信息真實性的一個有效證明、是密碼學中非對稱加密和數(shù)字摘要技術的結合應用。在數(shù)字簽名的傳輸過程中還需要一個可信的管理設備來統(tǒng)一發(fā)放、管理、廢除數(shù)字證書的機構一證書管理機構(CA)。CA中心為每個使用公開密鑰的用戶發(fā)放一個數(shù)字證書,數(shù)字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。CA機構的數(shù)字簽名使得攻擊者不能偽造和篡改證書,它負責產(chǎn)生、分配并管理所有參與網(wǎng)上交易的個體所需的數(shù)字證書,因此是安全電子交易的核心環(huán)節(jié)。目前數(shù)據(jù)、密鑰信息以明文或者簡單加密的形式在網(wǎng)絡上傳輸,所帶來的數(shù)據(jù)泄露的隱患較大,信息安全度低。
【發(fā)明內容】
[0004]本發(fā)明的目的在于提供一種安全可靠的用于分布式用戶服務間認證系統(tǒng),具有認證用戶合法性、數(shù)據(jù)加密傳輸和信息簽名的功能。
[0005]實現(xiàn)本發(fā)明目的的技術解決方案為:一種用于分布式用戶服務間認證系統(tǒng),包括認證中心、客戶機、服務器和定制的身份認證裝置,所述認證中心包括相互連接的加密存儲介質和加密芯片;所述認證中心、客戶機和服務器兩兩相連,客戶機和服務器均通過usb接口與定制的身份認證裝置相連;所述認證中心的加密芯片處理加密解密請求并生成密鑰、加密存儲介質存儲所有定制的身份認證裝置的密鑰信息;所述身份認證裝置進行加密解密,并存儲身份認證器密鑰和通行時使用的密鑰;進行加密數(shù)據(jù)通信時,每次通信的雙方都使用密鑰加密,服務器與認證中心、客戶機與認證中心分別使用各自對應的密鑰,客戶機與服務器則使用認證中心新生成的會話密鑰。
[0006]一種用于分布式用戶服務間認證方法,包括以下步驟:
[0007]步驟1、客戶機讀取定制的身份認證裝置中的身份信息,使用定制的身份認證裝置的加密芯片和用戶密鑰對用戶信息、服務信息和時間戳進行加密,并發(fā)送到認證中心;
[0008]步驟2、認證中心讀取內部加密存儲介質中的用戶密鑰,并對接收到的認證信息進行解密,判斷用戶合法性:若用戶合法,則認證中心通過內部加密芯片生成本次會話服務提供方服務器使用的公鑰與私鑰、客戶機使用的公鑰與私鑰、以及會話使用的會話密鑰;[0009]步驟3、認證中心讀取內部加密存儲介質中存儲的服務方服務器密鑰,加密本次通信服務方服務器私鑰、客戶機的公鑰和會話密鑰并發(fā)送到服務方服務器;
[0010]步驟4、服務方服務器使用定制的身份認證裝置中存儲的服務方密鑰,解密得到服務器私鑰、客戶機公鑰和會話密鑰并生成確認信息,使用會話密鑰加密確認信息發(fā)送到認證中心;
[0011]步驟6、認證中心接收到服務器的確認信息后,使用客戶密鑰加密服務器公鑰、客戶機私鑰和會話密鑰發(fā)送給客戶機;
[0012]步驟7、客戶機使用定制的身份認證裝置解密得到客戶機私鑰、服務器公鑰和會話密鑰,使用會話密鑰加密確認信息并發(fā)送給認證中心;
[0013]步驟8、服務器使用會話密鑰加密,同時分別向客戶機和服務方服務器發(fā)送認證完成信息,客戶機和服務器接收到認證完成信息后,獨立于認證中心進行通訊。
[0014]本發(fā)明與現(xiàn)有技術相比,其顯著優(yōu)點是:(I)認證中心控制證書的生成傳播,證書和密鑰混合使用實現(xiàn)完整的加密和驗證機制;(2)密碼和密鑰不以明文的形式在網(wǎng)絡中傳播,密鑰以加密的形式傳播;(3)證書的生命周期較短,并且每次會話都會有新的證書產(chǎn)生;(4)認證中心服務器使用加密芯片進行加密,并將數(shù)據(jù)存儲到加密的存儲芯片,客戶端需要定制的設備進行密鑰操作而不經(jīng)過主機的運算,安全高效。
【專利附圖】
【附圖說明】
[0015]圖1是本發(fā)明用于分布式用戶服務間認證系統(tǒng)的結構示意圖。
【具體實施方式】
[0016]下面結合附圖及具體實施例對本發(fā)明作進一步詳細說明。
[0017]結合圖1,本發(fā)明用于分布式用戶服務間認證系統(tǒng),包括認證中心、客戶機、服務器和定制的身份認證裝置,所述認證中心包括相互連接的加密存儲介質和加密芯片;所述認證中心、客戶機和服務器兩兩相連,客戶機和服務器均通過usb接口與定制的身份認證裝置相連;
[0018]所述認證中心的加密芯片處理加密解密請求并生成密鑰、加密存儲介質存儲所有定制的身份認證裝置的密鑰信息;所述身份認證裝置進行加密解密,并存儲身份認證器密鑰和通行時使用的密鑰;所述定制的身份認證裝置包括加密芯片、加密存儲介質和加密緩存,其中加密芯片分別與加密存儲介質和加密緩存相互連接;所述身份認證裝置的加密芯片進行加密解密,加密存儲介質用于存儲身份認證器密鑰,加密緩存用于存儲通行時使用的密鑰。進行加密數(shù)據(jù)通信時,每次通信的雙方都使用密鑰加密,服務器與認證中心、客戶機與認證中心分別使用各自對應的密鑰,客戶機與服務器則使用認證中心新生成的會話密鑰。
[0019]本發(fā)明的原理是:用戶和服務器在認證中心中均需要有密碼作為認證憑據(jù),但是密碼不以明文、密文或哈希值的形式在網(wǎng)絡上傳輸。通過一定的流程,將用于用戶、認證中心、服務器之前確認的信息以加密的方式進行傳輸,并且每次傳輸均使用數(shù)字簽名加強數(shù)據(jù)完整性檢驗,用于認證的證書文件具有可調的生命周期。認證中心可以自動控制所有的證書,可以實現(xiàn)新建證書、吊銷證書、證書續(xù)簽的功能。[0020]整個系統(tǒng)實現(xiàn)需要至少3臺電腦,其中認證中心為定制的電腦,內部集成有專用的加密芯片具有硬件級的加密解密電路和密鑰生成電路、實現(xiàn)高速高并發(fā)的加密解密;認證中心還具有大容量的加密存儲介質用于存儲各個定制的身份認證裝置的密鑰,其中加密存儲介質必須經(jīng)過加密芯片才能讀寫。定制的身份的認證裝置使用usb接口和客戶機以及服務器連接,其中也包括一個加密芯片和加密存儲介質,該加密芯片僅能夠實現(xiàn)硬件級的加密解密和數(shù)字簽名,加密存儲介質僅存儲了該認證器的密鑰,此外還具有加密緩存,用于存儲和服務方服務器通信使用的各種密鑰。每個身份驗證裝置具有唯一的密鑰,訂購時會登記每個密鑰。
[0021]本發(fā)明用于分布式用戶服務間認證方法,具有全局管理證書的能力、密碼不以任何形式在網(wǎng)絡中傳輸只作為中間的加密密鑰、全程使用證書和對稱加密作為數(shù)字簽名和認證的手段,認證以及服務請求包括以下步驟:
[0022]步驟1、客戶機讀取定制的身份認證裝置中的身份信息,使用定制的身份認證裝置的加密芯片和用戶密鑰對用戶信息、服務信息和時間戳進行加密,并發(fā)送到認證中心;
[0023]步驟2、認證中心讀取內部加密存儲介質中的用戶密鑰,并對接收到的認證信息進行解密,判斷用戶合法性:若用戶合法,則認證中心通過內部加密芯片生成本次會話服務提供方服務器使用的公鑰與私鑰、客戶機使用的公鑰與私鑰、以及會話使用的會話密鑰;
[0024]步驟3、認證中心讀取內部加密存儲介質中存儲的服務方服務器密鑰,加密本次通信服務方服務器私鑰、客戶機的公鑰和會話密鑰并發(fā)送到服務方服務器;
[0025]步驟4、服務方服務器使用定制的身份認證裝置中存儲的服務方密鑰,解密得到服務器私鑰、客戶機公鑰和會話密鑰并生成確認信息,使用會話密鑰加密確認信息發(fā)送到認證中心;
[0026]步驟6、認證中心接收到服務器的確認信息后,使用客戶密鑰加密服務器公鑰、客戶機私鑰和會話密鑰發(fā)送給客戶機;
[0027]步驟7、客戶機使用定制的身份認證裝置解密得到客戶機私鑰、服務器公鑰和會話密鑰,使用會話密鑰加密確認信息并發(fā)送給認證中心;
[0028]步驟8、服務器使用會話密鑰加密,同時分別向客戶機和服務方服務器發(fā)送認證完成信息,
[0029]步驟9、客戶機和服務器接收到認證完成信息后,獨立于認證中心進行通訊;每次傳輸均使用會話密鑰加密并使用各自的密鑰進行簽名。
[0030]經(jīng)過這9個步驟就能實現(xiàn)用戶的認證、用于數(shù)字簽名的私鑰傳輸,用戶使用的客戶機私鑰具有一定的時間期限,過期后認證中心將進行密鑰吊銷,用戶也需要再一次進行認證即密鑰再申請過程,密鑰再次申請流程:
[0031]第I步,認證中心在密鑰過期前提前使用會話密鑰加密同時向客戶機和服務器發(fā)送密鑰過期通知和過期時間。
[0032]第2步,在過期時間前,客戶機和服務器雙方還能使用之前申請的會話密鑰和公鑰私鑰進行通信。
[0033]第3步,過期時間到后,服務器使用舊的會話密鑰加密發(fā)送密鑰過期信息給客戶機,并且將服務暫停。
[0034]第4步,客戶機接收到密鑰過期信息后,暫停服務使用,按照認證過程步驟I向認證中心提出服務請求。
[0035]第5步,客戶機和服務器按照認證過程重新認證,生成新的會話密鑰和公鑰私鑰。
[0036]第6步,客戶機使用新的會話密鑰向服務方發(fā)起服務再起請求。
[0037]第7步,服務器接收到服務再起請求后重新開始服務。
[0038]綜上所述,本發(fā)明用于分布式用戶服務間認證系統(tǒng)具有認證用戶合法性、數(shù)據(jù)加密傳輸和信息簽名功能,解決了現(xiàn)階段數(shù)據(jù)、密鑰信息以明文或者簡單加密的形式在網(wǎng)絡上傳輸所帶來的數(shù)據(jù)泄露的隱患問題。
【權利要求】
1.一種用于分布式用戶服務間認證系統(tǒng),其特征在于,包括認證中心、客戶機、服務器和定制的身份認證裝置,所述認證中心包括相互連接的加密存儲介質和加密芯片;所述認證中心、客戶機和服務器兩兩相連,客戶機和服務器均通過USb接口與定制的身份認證裝置相連; 所述認證中心的加密芯片處理加密解密請求并生成密鑰、加密存儲介質存儲所有定制的身份認證裝置的密鑰信息;所述身份認證裝置進行加密解密,并存儲身份認證器密鑰和通行時使用的密鑰;進行加密數(shù)據(jù)通信時,每次通信的雙方都使用密鑰加密,服務器與認證中心、客戶機與認證中心分別使用各自對應的密鑰,客戶機與服務器則使用認證中心新生成的會話密鑰。
2.根據(jù)權利要求1所述的用于分布式用戶服務間認證系統(tǒng),其特征在于,所述定制的身份認證裝置包括加密芯片、加密存儲介質和加密緩存,其中加密芯片分別與加密存儲介質和加密緩存相互連接;所述身份認證裝置的加密芯片進行加密解密,加密存儲介質用于存儲身份認證器密鑰,加密緩存用于存儲通行時使用的密鑰。
3.一種用于分布式用戶服務間認證方法,其特征在于,包括以下步驟: 步驟1、客戶機讀取定制的身份認證裝置中的身份信息,使用定制的身份認證裝置的加密芯片和用戶密鑰對用戶信息、服務信息和時間戳進行加密,并發(fā)送到認證中心; 步驟2、認證中心讀取內部加密存儲介質中的用戶密鑰,并對接收到的認證信息進行解密,判斷用戶合法性:若用戶合法,則認證中心通過內部加密芯片生成本次會話服務提供方服務器使用的公鑰與私鑰、客戶機使用的公鑰與私鑰、以及會話使用的會話密鑰; 步驟3、認證中心讀取內部加密存儲介質中存儲的服務方服務器密鑰,加密本次通信服務方服務器私鑰、客戶機的公鑰和會話密鑰并發(fā)送到服務方服務器; 步驟4、服務方服務器使用定制的身份認證裝置中存儲的服務方密鑰,解密得到服務器私鑰、客戶機公鑰和會話密鑰并生成確認信息,使用會話密鑰加密確認信息發(fā)送到認證中心; 步驟6、認證中心接收到服務器的確認信息后,使用客戶密鑰加密服務器公鑰、客戶機私鑰和會話密鑰發(fā)送給客戶機; 步驟7、客戶機使用定制的身份認證裝置解密得到客戶機私鑰、服務器公鑰和會話密鑰,使用會話密鑰加密確認信息并發(fā)送給認證中心; 步驟8、服務器使用會話密鑰加密,同時分別向客戶機和服務方服務器發(fā)送認證完成信息,客戶機和服務器接收到認證完成信息后,獨立于認證中心進行通訊。
【文檔編號】H04L29/08GK103684798SQ201310753321
【公開日】2014年3月26日 申請日期:2013年12月31日 優(yōu)先權日:2013年12月31日
【發(fā)明者】李千目, 張晟驍, 侯君, 戚湧, 孫向軍 申請人:南京理工大學連云港研究院