一种统一身份认证系统的制作方法
【技术领域】
[0001]本发明信息安全技术领域,具体涉及一种统一身份认证系统。
【背景技术】
[0002]用户认证相关技术已经非常成熟,目前主要是:(I)基于证书的认证;(2)基于用户名密码的认证;(3)双因子认证需要同时对证书和用户名密码进行认证。相关认证协议都已经非常成熟和完善,对证书认证主要是通过PKI (Public Key Infrastructure,公钥基础设施)相关技术,通过CA (Certificate Authority,证书授权)中心,签名实现认证,另外还有一些相关协议,比如OCSP(Online Certificate Status Protocol,在线证书状态协议)等。用户名密码认证是认证服务器对用户输入的用户名密码进行验证,常用的协议有 Radius (Remote Authenticat1n Dial-1n User Service,远程认证拨号用户服务)和LDAP (Light Directory Access Protocol,轻量级目录访问协议)等。
[0003]但当前的设备实现方式存在一个问题,就是证书认证和用户名密码认证是比较独立的两个部分,没有实现很好的关联。即:当用户要求双因子认证时,用户证书和用户名无法绑定,证书认证使用证书认证的一套流程和协议,用户名口令认证使用另外一套协议和流程,两者没有直接的关系,存在安全风险。比如:用户张三和李四分别由CA中心给他们每个人颁发了证书,每个人的证书有效期等信息是不一样的,过一段时间,如果张三的证书过期了或被吊销,此时张三使用李四的证书,但用户名密码使用张三的,这样仍然可以通过相关认证。
【发明内容】
[0004]本发明的目的是为了克服用户认证相关技术存在安全风险的问题,提出一种统一身份认证系统。
[0005]本发明的目的是通过下述技术方案实现的。
[0006]本发明提出的一种统一身份认证系统,其特征在于:包括硬件设备和相关软件。所述硬件设备包括:电子钥匙、网关设备、用户终端设备、认证服务器和用户手机;所述相关软件包括:客户端软件和统一身份认证模块。
[0007]电子钥匙和客户端软件安装在用户终端设备上,用户终端设备能从电子钥匙中读取数据。网关设备与用户终端设备进行双向信息交互;网关设备与认证服务器进行双向信息交互;认证服务器还与用户手机连接。
[0008]电子钥匙由证书授权中心统一管理,每个电子钥匙里面包含一个用户证书和一个定位模块;用户证书由证书授权中心统一颁发。用户证书里面包含用户基本信息,所述用户基本信息包括用户名、单位、部门、电话号码和邮箱地址。定位模块用于获得电子钥匙的位置信息。
[0009]客户端软件的主要功能是:①向网关设备发送认证请求;?将电子钥匙中的用户证书发送给网关设备将用户输入的密码通过加密方式传输到网关设备;④将电子钥匙中定位模块获得的电子钥匙位置信息发送给网关设备。
[0010]统一身份认证模块安装在网关设备上,其主要功能是:①从用户终端设备接收用户证书;?验证用户证书合法性;③从用户证书中提取用户基本信息;④从用户终端设备接收经过加密的用户密码,并解密用户密码;⑤从用户终端设备接收电子钥匙位置信息;⑥将用户基本信息、经过加密的用户密码以及电子钥匙位置信息发送给认证服务器;⑦从认证服务器获取验证结果,并发送给用户终端设备;⑧根据认证服务器发送来的锁定命令,将电子钥匙锁定,使其失效。
[0011]所述认证服务器用于对证书授权中心统一颁发的用户证书进行用户身份验证。认证服务器包括Radius认证服务器和LDAP认证服务器。
[0012]所述网关设备包括:路由器、交换机和防火墙设备。
[0013]使用所述统一身份认证系统进行用户身份认证的过程为:
[0014]步骤1:用户终端设备向网关设备发送认证请求,同时安装在用户终端设备上的电子钥匙中的定位模块获取电子钥匙位置信息,并将其通过用户终端设备发送给网关设备。
[0015]步骤2:网关设备向用户终端设备发送用户证书请求。
[0016]步骤3:用户终端设备将电子钥匙中的用户证书发送给网关设备。
[0017]步骤4:网关设备接收用户证书,并验证用户证书合法性;如果用户证书合法,则网关设备向用户终端设备发送密码请求,然后执行步骤5的操作;否则,终止认证。
[0018]步骤5:用户终端设备将用户输入的密码加密后发送给网关设备。
[0019]步骤6:网关设备接收过加密的用户密码并解密得到解密后的用户密码;同时网关设备从用户证书中提取用户基本信息。
[0020]步骤7:网关设备将用户基本信息、解密后的用户密码以及电子钥匙的位置信息发送给认证服务器。
[0021]步骤8:认证服务器将电子钥匙位置信息按照用户基本信息中的电话号码发送至用户手机。如果用户确认电子钥匙位置信息有误,则通过用户手机向认证服务器发送锁定请求,然后执行步骤9的操作;如果用户确认电子钥匙位置信息无误,则通过用户手机向认证服务器发送确认信息,然后执行步骤10的操作。
[0022]步骤9:认证服务器向网关设备发送锁定命令,网关设备将电子钥匙锁定,使其失效,结束操作。
[0023]步骤10:认证服务器进行用户身份验证,并通过网关设备向用户终端设备返回验证结果。
[0024]有益效果
[0025]本发明提出的一种统一身份认证系统与已有技术相比较,其优点在于:
[0026]①电子钥匙集成用户证书,用户登录时不需输入用户名,只需输入密码;用户名由网关设备直接解析用户基本信息获取,在双因子认证模式下,保证了用户证书和用户真实Is息的有效关联。
[0027]②通过电子钥匙中的定位模块,用户可以及时了解电子钥匙的位置,如发生他人盗用情况,可及时终止操作。
【附图说明】
[0028]图1本发明实施例1中使用统一身份认证系统进行用户身份认证的流程示意图;
[0029]图2本发明实施例2中使用统一身份认证系统进行用户身份认证的流程示意图。
【具体实施方式】
[0030]下面结合附图和实施例对本发明做进一步说明。
[0031]实施例1:
[0032]实施例1中的实现统一身份认证系统包括硬件设备和相关软件。硬件设备包括:电子钥匙、网关设备、用户终端设备、认证服务器和用户手机;相关软件包括:客户端软件和统一身份认证模块。
[0033]电子钥匙和客户端软件安装在用户终端设备上,用户终端设备能从电子钥匙中读取数据。网关设备与用户终端设备进行双向信息交互;网关设备与认证服务器进行双向信息交互;认证服务器还与用户手机连接。
[0034]电子钥匙由证书授权中心统一管理,每个电子钥匙里面包含一个用户证书和一个定位模块;用户证书由证书授权中心统一颁发。用户证书里面包含用户基本信息,所述用户基本信息包括用户名、单位、部门、电话号码和邮箱地址。定位模块用于获得电子钥匙的位置信息。
[0035]客户端软件的主要功能是:①向网关设备发送认证请求;?将电子钥匙中的用户证书发送给网关设备将用户输入的密码通过加密方式传输到网关设备;④将电子钥匙中定位模块获得的电子钥匙位置信息发送给网关设备。
[0036]统一身份认证模块安装在网关设备上,其主要功能是:①从用户终端设备接收用户证书;?验证用户证书合法性;③从用户证书中提取用户基本信息;④从用户终端设备接收经过加密的用户密码,并解密用户密码;⑤从用户终端设备接收电子钥匙位置信息;⑥将用户基本信息、经过加密的用户密码以及电子钥匙位置信息发送给认证服务器;⑦从认证服务器