一种用于分布式用户服务间认证系统的制作方法

一种用于分布式用户服务间认证系统的制作方法
【专利摘要】本发明公开了一种用于分布式用户服务间认证系统。该系统包括认证中心、客户机、服务器和定制的身份认证装置，认证中心包括相互连接的加密存储介质和加密芯片；所述认证中心、客户机和服务器两两相连，客户机和服务器均通过usb接口与定制的身份认证装置相连；认证中心的加密芯片处理加密解密请求并生成密钥、加密存储介质存储所有定制的身份认证装置的密钥信息；身份认证装置进行加密解密，并存储身份认证器密钥和通行时使用的密钥；进行加密数据通信时，每次通信的双方都使用密钥加密，服务器与认证中心、客户机与认证中心分别使用各自对应的密钥，客户机与服务器则使用认证中心新生成的会话密钥。本发明降低了数据泄露的隐患，具有安全可靠的优点。
【专利说明】—种用于分布式用户服务间认证系统
【技术领域】
[0001]本发明涉及信息安全【技术领域】，特别是一种用于分布式用户服务间认证系统。
【背景技术】
[0002]随着互联网技术的不断发展，各个平台的终端开始具有更强性能、更丰富接口的操作系统，计算资源开始丰富，在此基础上对平台的安全要求开始逐渐提高。信息安全主要包括系统安全和数据安全两个方面。系统安全一般采用防火墙、防病毒及其他安全防范技术等措施，是属于被动型的安全措施。数据安全则主要采用现代密码技术对数据进行主动的安全保护，如数据保密、数据完整性、身份认证等技术。
[0003]数字签名技术是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明、是密码学中非对称加密和数字摘要技术的结合应用。在数字签名的传输过程中还需要一个可信的管理设备来统一发放、管理、废除数字证书的机构一证书管理机构(CA)。CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书，它负责产生、分配并管理所有参与网上交易的个体所需的数字证书，因此是安全电子交易的核心环节。目前数据、密钥信息以明文或者简单加密的形式在网络上传输，所带来的数据泄露的隐患较大，信息安全度低。

【发明内容】

[0004]本发明的目的在于提供一种安全可靠的用于分布式用户服务间认证系统，具有认证用户合法性、数据加密传输和信息签名的功能。
[0005]实现本发明目的的技术解决方案为:一种用于分布式用户服务间认证系统，包括认证中心、客户机、服务器和定制的身份认证装置，所述认证中心包括相互连接的加密存储介质和加密芯片；所述认证中心、客户机和服务器两两相连，客户机和服务器均通过usb接口与定制的身份认证装置相连；所述认证中心的加密芯片处理加密解密请求并生成密钥、加密存储介质存储所有定制的身份认证装置的密钥信息；所述身份认证装置进行加密解密，并存储身份认证器密钥和通行时使用的密钥；进行加密数据通信时，每次通信的双方都使用密钥加密，服务器与认证中心、客户机与认证中心分别使用各自对应的密钥，客户机与服务器则使用认证中心新生成的会话密钥。
[0006]一种用于分布式用户服务间认证方法，包括以下步骤:
[0007]步骤1、客户机读取定制的身份认证装置中的身份信息，使用定制的身份认证装置的加密芯片和用户密钥对用户信息、服务信息和时间戳进行加密，并发送到认证中心；
[0008]步骤2、认证中心读取内部加密存储介质中的用户密钥，并对接收到的认证信息进行解密，判断用户合法性:若用户合法，则认证中心通过内部加密芯片生成本次会话服务提供方服务器使用的公钥与私钥、客户机使用的公钥与私钥、以及会话使用的会话密钥；[0009]步骤3、认证中心读取内部加密存储介质中存储的服务方服务器密钥，加密本次通信服务方服务器私钥、客户机的公钥和会话密钥并发送到服务方服务器；
[0010]步骤4、服务方服务器使用定制的身份认证装置中存储的服务方密钥，解密得到服务器私钥、客户机公钥和会话密钥并生成确认信息，使用会话密钥加密确认信息发送到认证中心；
[0011]步骤6、认证中心接收到服务器的确认信息后，使用客户密钥加密服务器公钥、客户机私钥和会话密钥发送给客户机；
[0012]步骤7、客户机使用定制的身份认证装置解密得到客户机私钥、服务器公钥和会话密钥，使用会话密钥加密确认信息并发送给认证中心；
[0013]步骤8、服务器使用会话密钥加密，同时分别向客户机和服务方服务器发送认证完成信息，客户机和服务器接收到认证完成信息后，独立于认证中心进行通讯。
[0014]本发明与现有技术相比，其显著优点是:(I)认证中心控制证书的生成传播，证书和密钥混合使用实现完整的加密和验证机制；(2)密码和密钥不以明文的形式在网络中传播，密钥以加密的形式传播；(3)证书的生命周期较短，并且每次会话都会有新的证书产生；(4)认证中心服务器使用加密芯片进行加密，并将数据存储到加密的存储芯片，客户端需要定制的设备进行密钥操作而不经过主机的运算，安全高效。
【专利附图】

【附图说明】
[0015]图1是本发明用于分布式用户服务间认证系统的结构示意图。
【具体实施方式】
[0016]下面结合附图及具体实施例对本发明作进一步详细说明。
[0017]结合图1，本发明用于分布式用户服务间认证系统，包括认证中心、客户机、服务器和定制的身份认证装置，所述认证中心包括相互连接的加密存储介质和加密芯片；所述认证中心、客户机和服务器两两相连，客户机和服务器均通过usb接口与定制的身份认证装置相连；
[0018]所述认证中心的加密芯片处理加密解密请求并生成密钥、加密存储介质存储所有定制的身份认证装置的密钥信息；所述身份认证装置进行加密解密，并存储身份认证器密钥和通行时使用的密钥；所述定制的身份认证装置包括加密芯片、加密存储介质和加密缓存，其中加密芯片分别与加密存储介质和加密缓存相互连接；所述身份认证装置的加密芯片进行加密解密，加密存储介质用于存储身份认证器密钥，加密缓存用于存储通行时使用的密钥。进行加密数据通信时，每次通信的双方都使用密钥加密，服务器与认证中心、客户机与认证中心分别使用各自对应的密钥，客户机与服务器则使用认证中心新生成的会话密钥。
[0019]本发明的原理是:用户和服务器在认证中心中均需要有密码作为认证凭据，但是密码不以明文、密文或哈希值的形式在网络上传输。通过一定的流程，将用于用户、认证中心、服务器之前确认的信息以加密的方式进行传输，并且每次传输均使用数字签名加强数据完整性检验，用于认证的证书文件具有可调的生命周期。认证中心可以自动控制所有的证书，可以实现新建证书、吊销证书、证书续签的功能。[0020]整个系统实现需要至少3台电脑，其中认证中心为定制的电脑，内部集成有专用的加密芯片具有硬件级的加密解密电路和密钥生成电路、实现高速高并发的加密解密；认证中心还具有大容量的加密存储介质用于存储各个定制的身份认证装置的密钥，其中加密存储介质必须经过加密芯片才能读写。定制的身份的认证装置使用usb接口和客户机以及服务器连接，其中也包括一个加密芯片和加密存储介质，该加密芯片仅能够实现硬件级的加密解密和数字签名，加密存储介质仅存储了该认证器的密钥，此外还具有加密缓存，用于存储和服务方服务器通信使用的各种密钥。每个身份验证装置具有唯一的密钥，订购时会登记每个密钥。
[0021]本发明用于分布式用户服务间认证方法，具有全局管理证书的能力、密码不以任何形式在网络中传输只作为中间的加密密钥、全程使用证书和对称加密作为数字签名和认证的手段，认证以及服务请求包括以下步骤:
[0022]步骤1、客户机读取定制的身份认证装置中的身份信息，使用定制的身份认证装置的加密芯片和用户密钥对用户信息、服务信息和时间戳进行加密，并发送到认证中心；
[0023]步骤2、认证中心读取内部加密存储介质中的用户密钥，并对接收到的认证信息进行解密，判断用户合法性:若用户合法，则认证中心通过内部加密芯片生成本次会话服务提供方服务器使用的公钥与私钥、客户机使用的公钥与私钥、以及会话使用的会话密钥；
[0024]步骤3、认证中心读取内部加密存储介质中存储的服务方服务器密钥，加密本次通信服务方服务器私钥、客户机的公钥和会话密钥并发送到服务方服务器；
[0025]步骤4、服务方服务器使用定制的身份认证装置中存储的服务方密钥，解密得到服务器私钥、客户机公钥和会话密钥并生成确认信息，使用会话密钥加密确认信息发送到认证中心；
[0026]步骤6、认证中心接收到服务器的确认信息后，使用客户密钥加密服务器公钥、客户机私钥和会话密钥发送给客户机；
[0027]步骤7、客户机使用定制的身份认证装置解密得到客户机私钥、服务器公钥和会话密钥，使用会话密钥加密确认信息并发送给认证中心；
[0028]步骤8、服务器使用会话密钥加密，同时分别向客户机和服务方服务器发送认证完成信息，
[0029]步骤9、客户机和服务器接收到认证完成信息后，独立于认证中心进行通讯；每次传输均使用会话密钥加密并使用各自的密钥进行签名。
[0030]经过这9个步骤就能实现用户的认证、用于数字签名的私钥传输，用户使用的客户机私钥具有一定的时间期限，过期后认证中心将进行密钥吊销，用户也需要再一次进行认证即密钥再申请过程，密钥再次申请流程:
[0031]第I步，认证中心在密钥过期前提前使用会话密钥加密同时向客户机和服务器发送密钥过期通知和过期时间。
[0032]第2步，在过期时间前，客户机和服务器双方还能使用之前申请的会话密钥和公钥私钥进行通信。
[0033]第3步，过期时间到后，服务器使用旧的会话密钥加密发送密钥过期信息给客户机，并且将服务暂停。
[0034]第4步，客户机接收到密钥过期信息后，暂停服务使用，按照认证过程步骤I向认证中心提出服务请求。
[0035]第5步，客户机和服务器按照认证过程重新认证，生成新的会话密钥和公钥私钥。
[0036]第6步，客户机使用新的会话密钥向服务方发起服务再起请求。
[0037]第7步，服务器接收到服务再起请求后重新开始服务。
[0038]综上所述，本发明用于分布式用户服务间认证系统具有认证用户合法性、数据加密传输和信息签名功能，解决了现阶段数据、密钥信息以明文或者简单加密的形式在网络上传输所带来的数据泄露的隐患问题。
【权利要求】
1.一种用于分布式用户服务间认证系统，其特征在于，包括认证中心、客户机、服务器和定制的身份认证装置，所述认证中心包括相互连接的加密存储介质和加密芯片；所述认证中心、客户机和服务器两两相连，客户机和服务器均通过USb接口与定制的身份认证装置相连； 所述认证中心的加密芯片处理加密解密请求并生成密钥、加密存储介质存储所有定制的身份认证装置的密钥信息；所述身份认证装置进行加密解密，并存储身份认证器密钥和通行时使用的密钥；进行加密数据通信时，每次通信的双方都使用密钥加密，服务器与认证中心、客户机与认证中心分别使用各自对应的密钥，客户机与服务器则使用认证中心新生成的会话密钥。
2.根据权利要求1所述的用于分布式用户服务间认证系统，其特征在于，所述定制的身份认证装置包括加密芯片、加密存储介质和加密缓存，其中加密芯片分别与加密存储介质和加密缓存相互连接；所述身份认证装置的加密芯片进行加密解密，加密存储介质用于存储身份认证器密钥，加密缓存用于存储通行时使用的密钥。
3.一种用于分布式用户服务间认证方法，其特征在于，包括以下步骤: 步骤1、客户机读取定制的身份认证装置中的身份信息，使用定制的身份认证装置的加密芯片和用户密钥对用户信息、服务信息和时间戳进行加密，并发送到认证中心； 步骤2、认证中心读取内部加密存储介质中的用户密钥，并对接收到的认证信息进行解密，判断用户合法性:若用户合法，则认证中心通过内部加密芯片生成本次会话服务提供方服务器使用的公钥与私钥、客户机使用的公钥与私钥、以及会话使用的会话密钥； 步骤3、认证中心读取内部加密存储介质中存储的服务方服务器密钥，加密本次通信服务方服务器私钥、客户机的公钥和会话密钥并发送到服务方服务器； 步骤4、服务方服务器使用定制的身份认证装置中存储的服务方密钥，解密得到服务器私钥、客户机公钥和会话密钥并生成确认信息，使用会话密钥加密确认信息发送到认证中心； 步骤6、认证中心接收到服务器的确认信息后，使用客户密钥加密服务器公钥、客户机私钥和会话密钥发送给客户机； 步骤7、客户机使用定制的身份认证装置解密得到客户机私钥、服务器公钥和会话密钥，使用会话密钥加密确认信息并发送给认证中心； 步骤8、服务器使用会话密钥加密，同时分别向客户机和服务方服务器发送认证完成信息，客户机和服务器接收到认证完成信息后，独立于认证中心进行通讯。
【文档编号】H04L29/08GK103684798SQ201310753321
【公开日】2014年3月26日 申请日期:2013年12月31日 优先权日:2013年12月31日
【发明者】李千目, 张晟骁, 侯君, 戚湧, 孙向军 申请人:南京理工大学连云港研究院