基于证书密钥缓存的快速身份认证方法
【专利摘要】本发明公开了基于证书密钥缓存的快速身份认证方法,所述认证方法通过修改传统远程登录协议,在服务器和客户端分别增加身份认证模块和认证代理,使两端能够将数字证书作为远程登录及身份认证的凭据。本发明认证方法结合登录安全性和认证高效性两方面的考虑,基于证书密钥缓存实现快速身份认证,提高了远程登录服务器时身份认证的安全性和高效性。
【专利说明】
基于证书密钥缓存的快速身份认证方法
技术领域
[0001]本发明涉及信息安全技术领域,具体涉及一种基于证书密钥缓存的快速身份认证方法。
【背景技术】
[0002]Linux以其开源稳定的优势,被广泛应用在服务器端,在云计算时代,绝大多数的公有云端的服务器也运行着Linux。远程登录服务器系统并对其控制、操作,为多人开发或者管理维护服务器提供了便捷的途径。目前远程登录大多采用传统的用户名密码、telnetftp协议,因为网络的开放性,这些登录方式容易造成信息的泄露,而且不能确认登录方的真实身份,所以无法认定责任人。
[0003]针对安全性的问题,已经有研究人员提出了一些解决方案。主要有改变登录方凭证和采用安全通信协议等方法,但其安全性仍然不高;也有将数字证书和安全协议结合进行身份认证的方法,该类方法要求每次登录时都需要通过数字证书进行身份认证,增加了访问认证中心的频率,易造成访问瓶颈,降低了认证效率,不适用于需要频繁访问服务器的情况。
【发明内容】
[0004]本发明要解决的技术问题是:结合上述登录安全性和认证高效性两方面的考虑,为了实现远程登录服务器时身份认证的安全性和高效性,本发明提供一种基于证书密钥缓存的快速身份认证方法。
[0005]本发明所采用的技术方案为:
基于证书密钥缓存的快速身份认证方法,所述认证方法通过改造传统远程登录协议,在服务器和客户端分别增加身份认证模块和认证代理,使两端可以将数字证书作为远程登录及身份认证的凭据。
[0006]所述方法在首次登录服务器时进行完整的证书认证,确保证书的真实性;
认证通过后,双方分别缓存对方的公钥证书certc(客户端公钥证书)和Certs(服务器端公钥证书);
再次登录时,服务器与客户端只需利用本地缓存的对方公钥证书通过公钥加密算法进行认证并协商缓存一个对称根密钥;
在规定时限内登录时,使用缓存的对称根密钥进行认证;
超过时限后,使用缓存的公钥证书认证并产生另一个新的对称根密钥;
通过上述初步认证后,最后再查询证书撤销列表(Certificat1n Revocat1n List,CRL)确保数字证书没有过期或者被撤销,至此身份认证完成。
[0007]所述认证方法采用ssh协议作为远程登录协议,客户端操作系统为Windows,登录软件为putty(—种Linux远程登录工具),增加一个认证代理用来与服务器端进行身份认证;服务器端操作系统为安装有openssh-server( OpenSSH是最初的使用SSH协议进行远程登录的连接工具)的Iinux操作系统,并修改sshd进程文件以支持public key(公钥)认证功能,同时增加一个身份认证模块用来执行认证功能。
[0008]所述服务器端维护一个登录用户列表,列表包括:登录用户ID、最后登录时间、对称根密钥及其时限、登录用户公钥证书及其时效。
[0009]所述认证方法的身份认证流程为:
1)客户端通过认证代理向服务器端说明自己身份;
2)服务器端通过身份认证模块查询本地登录用户列表,若客户端在列表中:
a)对称根密钥仍有效,则使用对称根密钥认证客户端;
b)若对称根密钥失效,则使用公钥证书认证客户端;
3)若客户端不在登录用户列表中,服务器端通过验证证书链认证客户端数字证书;
4)查询证书撤销列表CRL确定证书的有效性;
5)认证结束,服务器端更新登录用户列表。
[0010]本发明的有益效果为:
本发明认证方法结合登录安全性和认证高效性两方面的考虑,基于证书密钥缓存实现快速身份认证,提高了远程登录服务器时身份认证的安全性和高效性。
【附图说明】
[0011]图1为本发明服务器和客户端连接结构图;
图2为服务器对客户端身份认证流程图。
【具体实施方式】
[0012]下面通过说明书附图,结合【具体实施方式】对本发明进一步说明:
实施例1:
基于证书密钥缓存的快速身份认证方法,所述认证方法通过改造传统远程登录协议,在服务器和客户端分别增加身份认证模块和认证代理,使两端可以将数字证书作为远程登录及身份认证的凭据。
[0013]实施例2:
在实施例1的基础上,本实施例首次登录服务器时进行完整的证书认证,确保证书的真实性;
认证通过后,双方分别缓存对方的公钥证书certc(客户端公钥证书)和Certs(服务器端公钥证书);
再次登录时,服务器与客户端只需利用本地缓存的对方公钥证书通过公钥加密算法进行认证并协商缓存一个对称根密钥;
在规定时限内登录时,使用缓存的对称根密钥进行认证;
超过时限后,使用缓存的公钥证书认证并产生另一个新的对称根密钥;
通过上述初步认证后,最后再查询证书撤销列表(Certificat1n Revocat1n List,CRL)确保数字证书没有过期或者被撤销,至此身份认证完成。
[0014]实施例3:
如图1所示,在实施例2的基础上,本实施例所述认证方法采用ssh协议作为远程登录协议,客户端操作系统为Windows,登录软件为putty(—种Linux远程登录工具),增加一个认证代理用来与服务器端进行身份认证;服务器端操作系统为安装有openssh-server的Iinux操作系统,并修改sshd进程文件以支持public key(公钥)认证功能,同时增加一个身份认证模块用来执行认证功能。
[0015]实施例4:
在实施例3的基础上,本实施例以服务器端认证客户端为例,服务器端需要维护一个登录用户列表,列表包括:登录用户ID、最后登录时间、对称根密钥及其时限、登录用户公钥证书及其时效。
[0016]实施例5:
如图2所示,在实施例4的基础上,本实施例所述认证方法的身份认证流程为:
1)客户端通过认证代理向服务器端说明自己身份;
2)服务器端通过身份认证模块查询本地登录用户列表,若客户端在列表中:
a)对称根密钥仍有效,则使用对称根密钥认证客户端;
b)若对称根密钥失效,则使用公钥证书认证客户端;
3)若客户端不在登录用户列表中,服务器端通过验证证书链认证客户端数字证书;
4)查询证书撤销列表CRL确定证书的有效性;
5)认证结束,服务器端更新登录用户列表。
[0017]以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
【主权项】
1.基于证书密钥缓存的快速身份认证方法,其特征在于:所述认证方法通过修改传统远程登录协议,在服务器和客户端分别增加身份认证模块和认证代理,使两端能够将数字证书作为远程登录及身份认证的凭据。2.根据权利要求1所述的基于证书密钥缓存的快速身份认证方法,其特征在于: 首次登录服务器时进行完整的证书认证,确保证书的真实性; 认证通过后,双方分别缓存对方的客户端公钥证书和服务器端公钥证书; 再次登录时,服务器与客户端只需利用本地缓存的对方公钥证书通过公钥加密算法进行认证并协商缓存一个对称根密钥; 在规定时限内登录时,使用缓存的对称根密钥进行认证; 超过时限后,使用缓存的公钥证书认证并产生另一个新的对称根密钥; 通过上述初步认证后,最后再查询证书撤销列表确保数字证书没有过期或者被撤销,至此身份认证完成。3.根据权利要求2所述的基于证书密钥缓存的快速身份认证方法,其特征在于,所述认证方法采用ssh协议作为远程登录协议,客户端操作系统为Windows,登录软件为putty,增加一个认证代理用来与服务器端进行身份认证;服务器端操作系统为安装有openssh-server的Iinux操作系统,并修改sshd以支持公钥认证功能,同时增加一个身份认证模块用来执行认证功能。4.根据权利要求3所述的基于证书密钥缓存的快速身份认证方法,其特征在于,所述服务器端维护一个登录用户列表,列表包括:登录用户ID、最后登录时间、对称根密钥及其时限、登录用户公钥证书及其时效。5.根据权利要求4所述的基于证书密钥缓存的快速身份认证方法,其特征在于,所述认证方法的身份认证流程为: 1)客户端通过认证代理向服务器端说明自己身份; 2)服务器端通过身份认证模块查询本地登录用户列表,若客户端在列表中: a)对称根密钥仍有效,则使用对称根密钥认证客户端; b)若对称根密钥失效,则使用公钥证书认证客户端; 3)若客户端不在登录用户列表中,服务器端通过验证证书链认证客户端数字证书; 4)查询证书撤销列表确定证书的有效性; 5)认证结束,服务器端更新登录用户列表。
【文档编号】H04L29/06GK105959286SQ201610314750
【公开日】2016年9月21日
【申请日】2016年5月13日
【发明人】郝虹, 于治楼, 刘强
【申请人】浪潮集团有限公司