统一身份认证平台及认证方法
【技术领域】
[0001]本发明涉及网络信息安全技术领域,特别是涉及一种统一身份认证平台及认证方法。
【背景技术】
[0002]在银行、政府、保险等高信息安全的行业中,进行网络信息传输,特别是身份认证时,一般使用传统的SSL (Secure Sockets Layer,安全套接层)进行点对点加密,其传输的信息可以被攻击盗取或者篡改,安全性得不到保障。
【发明内容】
[0003]基于此,有必要针对现有技术的缺陷和不足,提供统一身份认证平台及认证方法,其解决了传统SSL仅能提供点到点的数据安全保护,以及通过网络会话的重复攻击的缺陷,尽可能保障网络信息传输的安全性。
[0004]为实现本发明目的而提供的统一身份认证平台包括密钥中心,客户端,网络服务器,后端服务器,其中:
[0005]所述密钥中心,用于根据客户端通过网络服务器和后端服务器发来的注册请求,由硬件安全模块生成的PIN信息,并将PIN信息通过可信物理方式递交给客户端用户,以及通过可信方式发送给后端服务器;
[0006]所述客户端,用于接收客户端用户输入的PIN信息;利用PIN信息,通过与后端服务器约定的预设加解密算法,对客户端和后端服务器之间传输的数据块进行加解密;
[0007]所述网络服务器,用于在客户端和后端服务器之间建立网络连接,并与客户端或者后端服务器之间利用SSL加解密并传输数据块;
[0008]所述后端服务器,用于将客户端用户的信息发送给密钥中心,请求密钥中心根据客户端用户的信息生成PIN信息;并接收密钥中心发回的进行加解密的PIN信息;利用PIN信息,通过与客户端约定的预设加解密算法,对客户端和后端服务器之间传输的数据块进行加解密。
[0009]作为一种统一身份认证平台的可实施方式,所述客户端,还用于通过网络服务器向后端服务器发出注册请求;
[0010]所述后端服务器,还用于接收客户端发来的注册请求,对客户端用户进行注册。
[0011]其中,所述网络连接为有线连接或者无线连接。
[0012]其中,所述无线连接包括但不限于CDMA2000通信网络连接、WCDMA通信网络连接、TD-CDMA通信网络连接或者TD-LTE通信网络连接。
[0013]其中,所述加解密算法,为对称算法或者非对称算法;
[0014]所述对称算法为DES算法,3DES算法,TDEA算法,Blowfish算法,RC5算法或者IDEA算法;
[0015]所述非对称算法为RSA算法、Elgamal算法、背包算法、Rabin算法、D-H算法或者ECC算法。
[0016]作为一种统一身份认证平台的可实施方式,所述用户身份认证的数据块为令牌种子、用户密码、数据块和/或用户个性化数据。
[0017]作为一种统一身份认证平台的可实施方式,所述用户个性化数据为用户手写签名图像数据、用户输入的声音、用户的二维码和/或用户选择输入的其他非数字数据。
[0018]基于同一发明构思的一种统一身份认证方法,包括如下步骤:
[0019]步骤A,密钥中心根据客户端通过网络服务器和后端服务器发来的注册请求,由硬件安全模块生成的PIN信息,并将PIN信息通过可信物理方式递交给客户端用户,以及通过可信方式发送给后端服务器;
[0020]步骤B,客户端利用PIN信息,通过与后端服务器约定的预设加解密算法,对客户端和后端服务器之间传输的数据块进行加解密;
[0021]步骤C,网络服务器与客户端或者后端服务器之间利用SSL加解密并传输数据块;
[0022]步骤D,后端服务器利用PIN信息,通过与客户端约定的预设加解密算法,对客户端和后端服务器之间传输的数据块进行加解密。
[0023]作为一种统一身份认证方法的可实施方式,所述步骤A之前还包括如下步骤:
[0024]步骤Al,所述客户端通过网络服务器向后端服务器发出注册请求;
[0025]步骤A2,网络服务器与客户端或者后端服务器之间利用SSL加解密并传输数据块;
[0026]步骤A3,后端服务器接收客户端发来的注册请求,对客户端用户进行注册,并将客户端用户的信息发送给密钥中心,请求密钥中心根据客户端用户的信息生成PIN信息。
[0027]本发明的有益效果:本发明提供的统一身份认证平台及认证方法,通过对用户身份认证的数据(包括但不限于令牌种子、用户密码或交易数据)的传输和储存整个过程进行多重认证保护,克服了 SSL的缺陷,提供额外的安全功能,尽可能保障网络信息传输的安全性,防止第三方通过共享宽带无线链接对信息进行篡改和盗取。
【附图说明】
[0028]以下结合具体附图及具体实施例,对本发明的统一身份认证平台及认证方法进行进一步详细说明。
[0029]图1为本发明的统一身份认证平台的一具体实施例的结构示意图;
[0030]图2为本发明的统一身份认证平台的一具体实施例的HSM对传输的密匙加解密过程不意图;
[0031]图3为SSL位置示意图;
[0032]图4为握手协议构成示意图;
[0033]图5为SSL握手第一阶段示意图;
[0034]图6为SSL握手第二阶段示意图;
[0035]图7为使用RSA的服务端的验证和密钥交换过程示意图;
[0036]图8为SSL握手第三阶段示意图;
[0037]图9为使用RSA的客户端的验证和密钥交换过程示意图;
[0038]图10为SSL握手第四阶段示意图;
[0039]图11为从预备主秘密计算主秘密的过程示意图;
[0040]图12为从主秘密计算密钥材料过程示意图;
[0041]图13为从密钥材料提取加密秘密的过程示意图;
[0042]图14为SSL记录协议过程不意图;
[0043]图15为本发明的统一身份认证方法的一具体实施例的流程图。
【具体实施方式】
[0044]为了使本发明的技术方案更加清楚,以下结合附图,对本发明的统一身份认证平台及认证方法作进一步详细的说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
[0045]本发明提供的统一身份认证平台的实施例,参见图1,本发明实施例提供的统一身份认证平台,包括密钥中心,客户端,网络服务器,后端服务器,其中:
[0046]所述密钥中心,用于根据客户端通过网络服务器和后端服务器发来的注册请求,由硬件安全模块(HSM)生成的PIN (Personal Identificat1n Number,个人识别密码)信息,并将PIN信息通过可信物理方式递交给客户端用户,以及通过可信方式发送给后端服务器;
[0047]所述客户端,用于通过网络服务器向后端服务器发出注册请求;并接收客户端用户输入的PIN信息;利用PIN信息,通过与后端服务器约定的预设加解密算法,对客户端和后端服务器之间传输的数据块进行加解密;
[0048]所述网络服务器,用于在客户端和后端服务器之间建立网络连接,并与客户端或者后端服务器之间利用SSL加解密并传输数据块;
[0049]所述后端服务器,用于接收客户端发来的注册请求,对客户端用户进行注册,并将客户端用户的信息发送给密钥中心,请求密钥中心根据客户端用户的信息生成PIN信息;并接收密钥中心发回的进行加解密的PIN信息;利用PIN信息,通过与客户端约定的预设加解密算法,对客户端和后端服务器之间传输的数据块进行加解密。
[0050]本发明实施例中,客户端和后端服务器中,在生成、分配、更改和重设PIN (用户密码)信息过程中,利用约定的预设加解密算法对传输的数据块进行第一层加解密后,再利用网络服务器进行第二层加解密,使得在网络传输的认证数据块能够进行很好的保护,第三人通过即使能通过网络攻击获取数据,也因为第一层加密而不能得到在网络服务器上传输的数据块信息,确保端对端的保护,从而有效地保护客户端到后端服务器传输的数据的安全。
[0051]进一步地,本发明实施例通过利用硬件安全模块(HSM)生成PIN信息,其生成后直接封装,并通过可信物理方式传递给客户端用户,除客户端用户外,其他人无从得知PIN信息,防止内部威胁,特别是防止系统管理员用已知的密码内容更换用户的密码,使他们能够获得客户端的账户信息,提供较好的保证,尽可能确保除了生成PIN的受信赖的HSM外,没有人可以知道PIN信息,包括网络服务器等中间层服务器在内,并可防止会话重放攻击,以及防止利用GPUs技术来进行密码暴力破解。
[0052]作为一种可实施方式,本发明实施例中,所述网络连接为有线连接或者无线连接。
[0053]所述无线连接包括但不限于CDMA2000通信网络连接、WCDMA通信网络连接、TD-CDMA通信网络连接或者TD-LTE通信网络连接。
[0054]作为一种可实施方式,所述预设的加解密算法,包括但