基于UKey数字证书实现身份认证
随着电子商务在线交易的流行,一些网上银行也推出了系列措施保证在线交易的安全,有使用软证书的,也有使用UKey硬证书的,这都是数字证书的身份认证的应用。下面我就说下从数字证书生成到身份认证实现的过程。
一、PKI搭建
一套完整的PKI(Public Key Infrastructure公钥基础设施)系统包括了KMC(密钥管理中心)、CA(Certificate Authority)、RA(Register Author注册审批机构),KMC负责密钥管理,CA是核心进行制作证书,RA系统提供证书业务申请审核。数字证书有RSA、ECC等算法的,按证书类型分个人证书、设备证书和机构证书,按用途有加密证书和签名证书。完善的CA系统一般会提供证书申请制作、撤消、冻结、解冻、续费、更新业务功能,还有相应的OCSP(在线证书状态协议)、CRL(证书撤消列表)查询服务等。Windows本身有可以集成CA,可在IIS内提供证书申请制作服务,这样搭建的CA适合较小范围数字证书应用的使用。PKI系统包括如下组成部分。
二、证书激活
向CA发送证书制作申请后,证书制作完成后怎么交付给客户使用呢?有一种方式是软证书,返回pfx标准格式的数字证书,导入到客户系统以供需要时选择使用。软证书是以文件形式保存的,并且可以标记允许再次导出,硬证书则是以UKey移动设备为载体,保存私钥和数字证书。
证书激活是指证书从CA制作出来到交付给客户以供使用的过程,软证书使用比较简单,一般CA在制作出证书会返回pfx标准格式的证书,只需要安装到系统。UKey硬证书则需要将私钥和数字证书导入到设备中,由于涉及到私钥安全保护,UKey写入证书私钥时会使用加解密,UKey证书激活过程一般包括设备连接、验证PIN码、初始化导出公钥、写入数据,整个流程如下图所示。
三、身份认证
数字证书写入到UKey中怎么用?一般UKey设备厂商会提供API,另外还需要有相应的驱动程序,可以让系统识别到UKey移动设备,提供相应的加解密签名接口,如读取UKey序列号、读取加密签名证书、签名等,禁止直接读取私钥,并有相应安全策略保护。
通过UKey签名可以实现身份认证,因为UKey中包含的私钥就只有指定身份才能持有,拿使用UKey数字签名登录后台为例,首先插入UKey设备,然后签名随机生成的验证码,得到签名数据,再输入用户名一起提交到后台,后台先做验证码正确性检查,然后再通过用户名查询定位数据库中的用户签名证书记录,使用用户的签名证书对用户传过来的签名数据进行验签,如果验证通过则证明是对应的用户,从而实现身份认证过程。这种方式比传统的口令认证更安全,甚至可以不需要用户名就可以登录验证,用户名是可以保存在数字证书信息中的,并且证书的序列号在同个CA中也是唯一的。身份认证实现的基本流程如下。
UKey设备身份认证为作为可随身携带的智能密码钥匙,比使用软证书更安全快捷。UKey设备只是存储数字证书的一种介质,私钥在设备里是牢牢保护的,用户只需要保护好设备的使用安全,就可以达到更安全的目的。
基于UKey数字证书实现身份认证相关推荐
- 基于数字证书的UKEY安全登录 与身份认证技术研究
摘 要 本文在研究身份认证技术.uKey技术及Windows系统登录原理基础上,提出了基于数字证书的uKey身份认证与安全登录方案,设计了自定义登录模块,从而实现了使用uKey进行主机安全登录的功能 ...
- 一种基于说话人识别和数字语音识别的身份认证方法与流程
本发明属于语音处理技术领域,具体涉及到对数字语音序列进行说话人识别和语音识别,确定说话人身份的身份认证方法. 背景技术: 说话人识别也称为声纹识别,可以从说话人发出的声音中提取其个性特征,从而识别出当 ...
- 信息安全实践三之数字签名与认证实验【申请数字证书数字签名与认证】
信息安全实践三之数字签名与认证实验[申请数字证书&数字签名与认证] 一.申请数字证书 二.数字签名与认证 1.加密文件&解密文件 2.文件签名&验证文件 3.文件签名加密&am ...
- 一文读懂Https的安全性原理、数字证书、单项认证、双项认证等
为什么80%的码农都做不了架构师?>>> 本文引用了作者Smily(博客:blog.csdn.net/qq_20521573)的文章内容,感谢无私分享. 1.前言 目前苹果公司 ...
- 基于 Token 的多平台身份认证架构设计
点击上方蓝色"程序猿DD",选择"设为星标" 回复"资源"获取独家整理的学习资料! 作者 | 一点一滴的Beer 来源 | https:// ...
- App后台开发运维和架构实践学习总结(12)——基于token的多平台身份认证架构设计
分享一个大神的人工智能教程.零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到人工智能的队伍中来!点击浏览教程 一.概述 在存在账号体系的信息系统中,对身份的鉴定是非常重要的事情.随着移动互联网时 ...
- WebApi_基于token的多平台身份认证架构设计(Z)
1 概述 在存在账号体系的信息系统中,对身份的鉴定是非常重要的事情. 随着移动互联网时代到来,客户端的类型越来越多, 逐渐出现了 一个服务器,N个客户端的格局 . 不同的客户端产生了不同的用户使用 ...
- 基于量子密钥的经典身份认证系统
说在前面:2021.4.8,天气晴朗,心情不是很美好,刚刚和老师聊完,老师说不要去轻易否定一篇论文一个人,想起自己平常表现,表示很羞愧,大概这就是自己目前眼光局限性.反正不是很美好的样子,不知道啥时候 ...
- 前后端分离中使用基于jwt的token进行身份认证
基于jwt的Token认证机制可以看之前的文章: 基于JWT的Token认证机制实现 在前后端分离中,我们与前端约定一种身份认证机制.当用户登录的时候,我们会返回给前端一个token,前端会将toke ...
- 数字证书颁发及认证原理
数字证书原理: 非对称加密算法: 明文经过公钥Pub使用RSA加密算法一混淆之后,变成了密文. 这个密文用公钥Pub是解不开的,需要用私钥Priv来解密. 同样地,明文经过私钥Priv使用RSA加密算 ...
最新文章
- unity发布安卓黑屏_Unity将携十余爆款新游和多个独立游戏亮相ChinaJoy 2020
- java 滚动加载,滚动加载,可视区域判断
- jboss4.2.3_JBoss 4.2.x Spring 3 JPA Hibernate教程
- python文件读写方法手机_python读取文件—txt文件常用读写操作
- 宝马与intel合作 2021年推全自动无人驾驶车
- 很WEB很2.0---ThunderBird
- 新手开发记录:把ListView、Adapter的逻辑捋顺,做一个微博热搜吧
- c语言皮尔森系数程序,皮尔森相关系数(Pearson correlation coefficient)-Go语言中文社区...
- dnf php的补丁放哪,DNF模型文件在哪 补丁玩家必备知识
- C#编写一个控制台程序,输入一个日期,输出这一天是星期几。
- 小米路由器r2d_小米路由器R2D亮黄灯维修
- 二元二次不定方程(佩尔方程)
- 我的第一篇随笔-------吹起启程之风
- 租房退租时,房东不退押金怎么办?
- python下载迅雷资源_PYTHON实现迅雷、FLASHGET、QQ旋风转真实链接、磁链转种子文件、迅雷快传链接抓取 | 学步园...
- 全国各省份名义GDP、实际GDP、GDP平减指数(以2008年为基期,2008-2018年)
- 【2021情人节主题征文】| 写了一个表白网页后,我跟女神在一起啦
- 特种部队小组2+蒲公英联机平台联机教程
- Unity优化 详谈GetComponent
- 我们DevSkim、Jarvis和USG是这样子的