获取验证结果,并发送给用户终端设备;⑧根据认证服务器发送来的锁定命令,将电子钥匙锁定,使其失效。
[0037]认证服务器用于对证书授权中心统一颁发的用户证书进行用户身份验证。认证服务器包括Radius认证服务器和LDAP认证服务器。
[0038]网关设备为一台防火墙设备;认证服务器为Radius认证服务器。
[0039]使用所述统一身份认证系统进行用户身份认证的操作流程如图1所示,具体为:
[0040]步骤1:用户终端设备向网关设备发送认证请求,同时安装在用户终端设备上的电子钥匙中的定位模块获取电子钥匙位置信息,并将其通过用户终端设备发送给网关设备。
[0041]步骤2:网关设备向用户终端设备发送用户证书请求。
[0042]步骤3:用户终端设备将电子钥匙中的用户证书发送给网关设备。
[0043]步骤4:网关设备接收用户证书,并验证用户证书合法性;用户证书合法,网关设备向用户终端设备发送密码请求。
[0044]步骤5:用户终端设备将用户输入的密码加密后发送给网关设备。
[0045]步骤6:网关设备接收过加密的用户密码并解密得到解密后的用户密码;同时网关设备从用户证书中提取用户基本信息。
[0046]步骤7:网关设备将用户基本信息、解密后的用户密码以及电子钥匙的位置信息发送给认证服务器。
[0047]步骤8:认证服务器将电子钥匙位置信息按照用户基本信息中的电话号码发送至用户手机。用户确认电子钥匙位置信息无误,通过用户手机向认证服务器发送确认信息。
[0048]步骤10:认证服务器进行用户身份验证,并通过网关设备向用户终端设备返回验证结果。
[0049]实施例2:
[0050]实施例2中的实现统一身份认证系统结构与实施例1中的系统相同,区别仅在于:认证服务器为LDAP认证服务器;网关设备为交换机。
[0051]使用实施例2中所述统一身份认证系统进行用户身份认证的操作流程如图2所示,具体为:
[0052]步骤1:用户终端设备向网关设备发送认证请求,同时安装在用户终端设备上的电子钥匙中的定位模块获取电子钥匙位置信息,并将其通过用户终端设备发送给网关设备。
[0053]步骤2:网关设备向用户终端设备发送用户证书请求。
[0054]步骤3:用户终端设备将电子钥匙中的用户证书发送给网关设备。
[0055]步骤4:网关设备接收用户证书,并验证用户证书合法性;用户证书合法,网关设备向用户终端设备发送密码请求。
[0056]步骤5:用户终端设备将用户输入的密码加密后发送给网关设备。
[0057]步骤6:网关设备接收过加密的用户密码并解密得到解密后的用户密码;同时网关设备从用户证书中提取用户基本信息。
[0058]步骤7:网关设备将用户基本信息、解密后的用户密码以及电子钥匙的位置信息发送给认证服务器。
[0059]步骤8:认证服务器将电子钥匙位置信息按照用户基本信息中的电话号码发送至用户手机。用户确认电子钥匙位置信息有误,通过用户手机向认证服务器发送锁定请求。
[0060]步骤9:认证服务器向网关设备发送锁定命令,网关设备将电子钥匙锁定,使其失效,结束操作。
【主权项】
1.一种统一身份认证系统,其特征在于:包括硬件设备和相关软件;所述硬件设备包括:电子钥匙、网关设备、用户终端设备、认证服务器和用户手机;所述相关软件包括:客户端软件和统一身份认证模块; 电子钥匙和客户端软件安装在用户终端设备上,用户终端设备能从电子钥匙中读取数据;网关设备与用户终端设备进行双向信息交互;网关设备与认证服务器进行双向信息交互;认证服务器还与用户手机连接; 电子钥匙由证书授权中心统一管理,每个电子钥匙里面包含一个用户证书和一个定位模块;用户证书由证书授权中心统一颁发;用户证书里面包含用户基本信息,所述用户基本信息包括用户名、单位、部门、电话号码和邮箱地址;定位模块用于获得电子钥匙的位置信息; 客户端软件的主要功能是:①向网关设备发送认证请求;②将电子钥匙中的用户证书发送给网关设备将用户输入的密码通过加密方式传输到网关设备;④将电子钥匙中定位模块获得的电子钥匙位置信息发送给网关设备; 统一身份认证模块安装在网关设备上,其主要功能是:①从用户终端设备接收用户证书;?验证用户证书合法性;③从用户证书中提取用户基本信息从用户终端设备接收经过加密的用户密码,并解密用户密码;⑤从用户终端设备接收电子钥匙位置信息;⑥将用户基本信息、经过加密的用户密码以及电子钥匙位置信息发送给认证服务器;⑦从认证服务器获取验证结果,并发送给用户终端设备;⑧根据认证服务器发送来的锁定命令,将电子钥匙锁定,使其失效; 所述认证服务器用于对证书授权中心统一颁发的用户证书进行用户身份验证。
2.如权利要求1所述的一种统一身份认证系统,其特征在于:所述网关设备包括:路由器、交换机和防火墙设备。
3.如权利要求1或2所述的一种统一身份认证系统,其特征在于:所述认证服务器包括Radius认证服务器和LDAP认证服务器。
4.使用如权利要求1或2所述的一种统一身份认证系统进行用户身份认证的过程为: 步骤1:用户终端设备向网关设备发送认证请求,同时安装在用户终端设备上的电子钥匙中的定位模块获取电子钥匙位置信息,并将其通过用户终端设备发送给网关设备; 步骤2:网关设备向用户终端设备发送用户证书请求; 步骤3:用户终端设备将电子钥匙中的用户证书发送给网关设备; 步骤4:网关设备接收用户证书,并验证用户证书合法性;如果用户证书合法,则网关设备向用户终端设备发送密码请求,然后执行步骤5的操作;否则,终止认证; 步骤5:用户终端设备将用户输入的密码加密后发送给网关设备; 步骤6:网关设备接收过加密的用户密码并解密得到解密后的用户密码;同时网关设备从用户证书中提取用户基本信息; 步骤7:网关设备将用户基本信息、解密后的用户密码以及电子钥匙的位置信息发送给认证服务器; 步骤8:认证服务器将电子钥匙位置信息按照用户基本信息中的电话号码发送至用户手机;如果用户确认电子钥匙位置信息有误,则通过用户手机向认证服务器发送锁定请求,然后执行步骤9的操作;如果用户确认电子钥匙位置信息无误,则通过用户手机向认证服务器发送确认信息,然后执行步骤10的操作; 步骤9:认证服务器向网关设备发送锁定命令,网关设备将电子钥匙锁定,使其失效,结束操作; 步骤10:认证服务器进行用户身份验证,并通过网关设备向用户终端设备返回验证结果O
【专利摘要】本发明信息安全技术领域,具体涉及一种统一身份认证系统。其包括:硬件设备:电子钥匙、网关设备、用户终端设备、认证服务器和用户手机;和相关软件:客户端软件和统一身份认证模块。电子钥匙和客户端软件安装在用户终端设备上。网关设备与用户终端设备进行双向信息交互;网关设备与认证服务器进行双向信息交互;认证服务器还与用户手机连接。电子钥匙包含用户证书和定位模块。定位模块用于获得电子钥匙位置信息。电子钥匙集成用户证书,用户名由网关设备直接解析用户基本信息获取,保证了用户证书和用户真实信息的有效关联;并且通过电子钥匙中的定位模块,用户可以及时了解电子钥匙的位置,如发生他人盗用情况,可及时终止操作。
【IPC分类】H04L29-06, H04L9-32
【公开号】CN104836662
【申请号】CN201510042447
【发明人】滕征岑, 靳黎明, 可为, 刘璐, 申鹏飞, 曹然, 彭军
【申请人】北京中油瑞飞信息技术有限责任公司
【公开日】2015年8月12日
【申请日】2015年1月27日