一種基于可信密碼模塊電網網站身份認證的方法及系統的制作方法
【專利摘要】本發明公開了一種基于可信密碼模塊電網網站身份認證的方法及系統,該方法為:網站服務端通過第一可信密碼模塊所提供的PIK功能生成身份證書請求并發送至數字認證中心單元;數字認證中心單元向網站服務端下發數字證書;網站服務端將自身的身份證書發送給客戶端,客戶端鑒別網站服務端的身份證書;客戶端在接收到網站服務端發送的身份證書后,由第二可信密碼模塊負責對網站服務端的身份證書進行鑒別,該系統為:數字認證中心單元、網站服務端、第一可信密碼模塊、客戶端、第二可信密碼模塊。本發明通過在實現電網網站和客戶端用戶的雙向身份認證的同時,提供了可靠的用戶證書發布及身份認證方法,實現了對網站的身份認證以及對用戶敏感信息的保護。
【專利說明】 —種基于可信密碼模塊電網網站身份認證的方法及系統
【技術領域】
[0001]本發明屬于信息安全【技術領域】,尤其涉及一種基于可信密碼模塊電網網站身份認證的方法及系統。
【背景技術】
[0002]95598電網互動網站的服務用戶主要是社會公眾,社會公眾通過互聯網接入95598電網互動網站了解電網企業發布的相關信息、進行網上購電、智能家居控制等互動操作,95598電網互動網站主要由客戶終端、傳輸網絡和主站系統組成,95598電網互動網站客戶終端主要包括電腦終端、PDA、手機等;95598電網互動網站主站系統用于提供應用服務和核心業務處理;95598電網互動網站借助互聯網技術向社會公眾提供電網服務。
[0003]在95598電網網站的日常使用中,首先要做的就是對用戶身份進行鑒別,而進行身份鑒別的第一步,則是需要就用戶身份等敏感信息存儲在網站的存儲設備中;當用戶訪問網站申請相關服務時,網站首先會對用戶的身份進行鑒權,只有當鑒權通過后,用戶才能在自己的權限范圍內進行操作,網站為用戶提供相應的服務,這兩個步驟也就是用戶與網站交互活動中的注冊和登陸行為。
[0004]然而目前在網站用戶的注冊與登陸操作過程中,尚存有諸多不安全因素,大致可以總結為以下幾點:(I)用戶身份證書頒發的過程中,通常只是由網站服務端去鑒定客戶端用戶的身份,而沒有向客戶端提供自身的身份證明,客戶端不能證明網站服務端的身份是否有效合法,容易出現惡意人員偽裝成網站服務端并竊取客戶端用戶身份信息的情況,造成客戶端權益的損害;(2)進行用戶身份認證操作時,用戶的相關敏感信息在網絡上的傳輸未經加密,惡意人員很容易就能截獲數據;(3)用戶的敏感數據存儲于網站服務端提供的存儲設備之中,若不使用加密存儲,也存在主動泄密或被惡意人員竊取的風險。
【發明內容】
[0005]本發明實施例的目的在于提供一種基于可信密碼模塊電網網站身份認證的方法及系統,旨在解決現有的電網網站用戶的注冊與登陸操作存在的網站對用戶身份進行認證,防止攻擊者竊取網站身份信息并冒充合法網站以及用戶敏感數據不安全傳輸及存儲的問題。
[0006]本發明實施例是這樣實現的,一種基于可信密碼模塊電網網站身份認證的方法,該基于可信密碼模塊電網網站身份認證的方法包括以下步驟:
[0007]網站服務端通過第一可信密碼模塊所提供的PIK功能生成身份證書請求并發送至數字認證中心單元;
[0008]數字認證中心單元向網站服務端下發數字證書;
[0009]網站服務端將自身的身份證書發送給客戶端,客戶端鑒別網站服務端的身份證書;
[0010]客戶端在接收到網站服務端發送的身份證書后,將證書交至第二可信密碼模塊,由第二可信密碼模塊負責對網站服務端的身份證書進行鑒別。
[0011]進一步,網站服務端的身份認證方法包括以下步驟:
[0012]步驟一,網站服務端通過第一可信密碼模塊提供的PIK功能生成身份證書請求并發送至數字認證中心單元;
[0013]步驟二,數字認證中心單元向網站服務端下發數字證書;
[0014]步驟三,網站服務端向客戶端提供自身的身份證書;
[0015]步驟四,客戶端通過第二可信密碼模塊鑒別網站服務端的身份證書,從而實網站身份認證。
[0016]進一步,客戶端對網站服務端所發送的身份證書進行鑒別,確定網站身份的步驟為:
[0017]步驟一,客戶端將從網站服務端處所接收到的服務端身份證書提交給第二可信密碼模塊;
[0018]步驟二,第二可信密碼模塊對服務端身份證書進行鑒別,實現網站身份認證。
[0019]進一步,第二可信密碼模塊對客戶端用戶身份證書進行發布的步驟為:
[0020]步驟一,第二可信密碼模塊使用PEK的公鑰將用戶所輸入的敏感數據信息進行加密,生成客戶端用戶身份信息;
[0021]步驟二,第二可信密碼模塊將客戶端用戶身份信息發送給第一可信密碼模塊;
[0022]步驟三,第一可信密碼模塊對接收到的客戶端用戶身份信息進行處理,生成客戶端用戶的身份證書;
[0023]步驟四,第一可信密碼模塊使用自身的存儲密鑰加密用戶證書,并存儲在本地,然后將客戶端用戶的身份證書返回至第二可信密碼模塊,完成發布。
[0024]進一步,在步驟一中,客戶端用戶的敏感數據信息包括:用戶名,用戶姓名,身份證號,賬戶編號,銀行賬號,密碼信息。
[0025]進一步,在步驟二中,第二可信密碼模塊將客戶端用戶的身份信息發送至第一可信密碼模塊的步驟包括:
[0026]第一步,第二可信密碼模塊將客戶端用戶的身份信息通過客戶端發送至網站服務端;
[0027]第二步,網站服務端將接收到的客戶端用戶身份信息提交至第一可信密碼模塊。
[0028]進一步,在步驟三中,第一可信密碼模塊對客戶端用戶身份證書進行鑒別的步驟包括:
[0029]第一步,第一可信密碼模塊使用PEK私鑰對客戶端用戶的身份證書進行解密;
[0030]第二步,第一可信密碼模塊使用存儲密鑰對解密得到的客戶端用戶的身份證書進行加密;
[0031]第三步,第一可信密碼模塊將加密后的客戶端用戶身份證書與本地存儲的進行比對,如果一樣,則完成鑒權,通過驗證。
[0032]進一步,在步驟四中,第二可信密碼模塊對客戶端用戶身份證書進行發布的具體步驟包括:
[0033]第一步,第一可信密碼模塊通過網站服務端將客戶端用戶身份證書返回至客戶端;[0034]第二步,客戶端存儲客戶端用戶身份證書。
[0035]本發明實施例的另一目的在于提供一種基于可信密碼模塊電網網站身份認證的系統,該基于可信密碼模塊電網網站身份認證的系統包括:數字認證中心單元、網站服務端、第一可信密碼模塊、客戶端、第二可信密碼模塊;
[0036]數字認證中心單元,用于下發身份證書,接收網站服務端通過第一可信密碼模塊的PIK功能提交身份證書請求;
[0037]網站服務端,與數字認證中心單元連接,接收數字認證中心單元下發的身份證書,用于向客戶端可信密碼模塊提供身份證書;
[0038]第一可信密碼模塊,與網站服務端連接,用于通過PIK功能生成提交身份證書的請求;
[0039]客戶端,與網站服務端連接,用于接收網站服務端的身份證書;
[0040]第二可信密碼模塊,安裝在客戶端上,用于對網站服務端的身份證書進行鑒定。
[0041]本發明提供的基于可信密碼模塊電網網站身份認證的方法及系統,通過在實現電網網站和客戶端用戶的雙向身份認證的同時,對敏感信息進行了加密傳輸和存儲,增強了網站和用戶之間交互過程中的安全性;在業務過程中使用的密鑰采用硬件存儲,杜絕了密鑰失竊后,信息被竊取的隱患,解決了網站對用戶身份進行認證,防止攻擊者竊取網站身份信息并冒充合法網站以及用戶敏感數據不安全傳輸及存儲的問題。本發明提高了電網網站的安全性,保護了用戶的身份信息等隱私不被侵犯,提供了可靠的基于可信密碼模塊芯片的用戶證書發布方法以及身份認證方法,實現了對網站的身份認證以及對用戶敏感信息的保護。
【專利附圖】
【附圖說明】
[0042]圖1是本發明實施例提供的基于可信密碼模塊電網網站身份認證的方法流程圖;
[0043]圖2是本發明實施例提供的基于可信密碼模塊電網網站身份認證的系統的結構示意圖;
[0044]圖中:1、數字認證中心單元;2、網站服務端;2_1、第一可信密碼模塊;3、客戶端;3-1、第二可信密碼模塊。
【具體實施方式】
[0045]為了使本發明的目的、技術方案及優點更加清楚明白,以下結合實施例,對本發明進行進一步詳細說明。應當理解,此處所描述的具體實施例僅僅用以解釋本發明,并不用于限定本發明。
[0046]作為本發明實施例的一優化方案,
[0047]下面結合附圖及具體實施例對本發明的應用原理作進一步描述。
[0048]如圖1所示,本發明實施例的基于可信密碼模塊電網網站身份認證的方法包括以下步驟:
[0049]SlOl:網站服務端通過第一可信密碼模塊所提供的PIK功能生成身份證書請求并發送至數字認證中心單元;
[0050]S102:數字認證中心單元向網站服務端下發數字證書;[0051]S103:網站服務端將自身的身份證書發送給客戶端,客戶端鑒別網站服務端的身份證書;
[0052]S104:客戶端在接收到網站服務端發送的身份證書后,將證書交至第二可信密碼模塊,由第二可信密碼模塊負責對網站服務端的身份證書進行鑒別;
[0053]本發明實施例的網站服務端的身份認證方法包含以下步驟:
[0054]步驟一,網站服務端通過第一可信密碼模塊提供的PIK功能生成身份證書請求并發送至數字認證中心單元;
[0055]步驟二,數字認證中心單元向網站服務端下發數字證書;
[0056]步驟三,網站服務端向客戶端提供自身的身份證書;
[0057]步驟四,客戶端鑒別網站服務端的身份證書,從而實網站身份認證;
[0058]本發明實施例的客戶端對網站服務端所發送的身份證書進行鑒別,確定網站身份的步驟為:
[0059]步驟一,客戶端將從網站服務端處所接收到的服務端身份證書提交給第二可信密碼模塊;
[0060]步驟二,第二可信密碼模塊對服務端身份證書進行鑒別,實現網站身份認證;
[0061]本發明的第二可信密碼模塊對客戶端用戶身份證書進行發布;
[0062]第二可信密碼模塊對客戶端用戶身份證書進行發布的步驟包括:客戶端接收用戶所輸入的敏感數據信息,具體步驟為:
[0063]步驟一,第二可信密碼模塊使用PEK的公鑰將用戶所輸入的敏感數據信息進行加密,生成客戶端用戶身份信息;
[0064]步驟二,第二可信密碼模塊將客戶端用戶身份信息發送給第一可信密碼模塊;
[0065]步驟三,第一可信密碼模塊對接收到的客戶端用戶身份信息進行處理,生成客戶端用戶的身份證書;
[0066]步驟四,第一可信密碼模塊使用自身的存儲密鑰加密用戶證書,并存儲在本地,然后將客戶端用戶的身份證書返回至第二可信密碼模塊,完成發布;
[0067]在步驟二中,第二可信密碼模塊將客戶端用戶的身份信息發送至第一可信密碼模塊的步驟包括:
[0068]第一步,,第二可信密碼模塊將客戶端用戶的身份信息通過客戶端發送至網站服務端;
[0069]第二步,網站服務端將接收到的客戶端用戶身份信息提交至第一可信密碼模塊;
[0070]在步驟三中,第一可信密碼模塊對客戶端用戶身份證書進行鑒別的步驟包括:
[0071]第一步,第一可信密碼模塊使用PEK私鑰對客戶端用戶的身份證書進行解密;
[0072]第二步,第一可信密碼模塊使用存儲密鑰對解密得到的客戶端用戶的身份證書進行加密;
[0073]第三步,第一可信密碼模塊將加密后的客戶端用戶身份證書與本地存儲的進行比對,如果一樣,則完成鑒權,通過驗證;
[0074]在步驟四中,第二可信密碼模塊對客戶端用戶身份證書進行發布的具體步驟包括:
[0075]第一步,第一可信密碼模塊通過網站服務端將客戶端用戶身份證書返回至客戶端;
[0076]第二步,客戶端存儲客戶端用戶身份證書,客戶端用戶的敏感數據信息包括:用戶名,用戶姓名,身份證號,賬戶編號,銀行賬號,密碼信息等;
[0077]如圖2所示,本發明實施例的基于可信密碼模塊電網網站身份認證的系統主要由數字認證中心單元1、網站服務端2、第一可信密碼模塊2-1、客戶端3、第二可信密碼模塊3-1組成;
[0078]數字認證中心單元1,用于下發身份證書,接收網站服務端2通過第一可信密碼模塊的PIK功能提交身份證書請求;
[0079]網站服務端2,與數字認證中心單元I連接,接收數字認證中心單元I下發的身份證書,用于向客戶端可信密碼模塊提供身份證書;
[0080]第一可信密碼模塊2-1,與網站服務端2連接,用于通過PIK功能生成提交身份證書的請求;
[0081]客戶端3,與網站服務端2連接,用于接收網站服務端2的身份證書;
[0082]第二可信密碼模塊3-1,安裝在客戶端3上,用于對網站服務端2的身份證書進行鑒定。
[0083]本發明的工作原理:
[0084]可信密碼模塊TCM (Trusted Cryptography Module)芯片的主要功能包括:平臺度量、平臺身份認證以及密碼運算等,在基于可信密碼模塊的電網95598網站身份認證方法中,使用可信密碼模塊TCM芯片提供的PIK功能進行網站服務端身份證明,使用PEK公鑰進行客戶端用戶敏感數據信息加密傳輸,使用PEK私鑰對客戶端用戶敏感數據進行解密,進行有效性判斷,使用可信密碼模塊TCM提供的存儲密鑰對通過有效性判斷的客戶端用戶敏感數據進行加密存儲。
[0085]結合具體實施例對本發明做進一步的說明:
[0086]本發明實施例的電網網站身份認證系統包括:數字證書認證中心單元CA(Certificate Authority),安裝有第一可信密碼模塊的網站服務端以及安裝有第二可信密碼模塊的客戶端,網站服務端通過第一可信密碼模塊提供的PIK功能向數字認證中心單元提交身份證書請求,數字認證中心單元向網站服務端下發身份證書;網站服務端將自身的身份證書提供給客戶端,客戶端所安裝的第二可信密碼模塊負責對網站服務端的身份證書進行鑒定,實現了客戶端對網站服務端身份的鑒別認證;
[0087]本發明實施例的客戶端對網站服務端身份進行認證的具體步驟如下:
[0088]1.網站服務端通過第一可信密碼模塊所提供的PIK功能生成身份證書請求,并將這個請求發送到數字認證中心單元;
[0089]2.數字認證中心單元向網站服務端下發身份證書;
[0090]3.網站服務端將自身身份證書發送給客戶端;
[0091]4.客戶端之中的第二可信密碼模塊對網站服務端的身份證書進行鑒別,完成對網站服務端身份的認證,
[0092]本發明實施例的基于可信計算模塊的客戶端用戶身份證書發布流程:
[0093]1.客戶端對網站服務端的身份進行鑒別;
[0094]2.客戶端用戶填寫注冊信息;[0095]3.客戶端提交用戶的敏感數據信息;
[0096]4.與客戶端相連的第二可信密碼模塊將客戶端用戶的敏感數據信息用PEK公鑰進行加密,并發送給網站服務端的第一可信密碼模塊,第一可信密碼模塊對客戶端用戶的身份信息進行處理,生成客戶端身份證書;
[0097]5.網站服務端的第一可信密碼模塊使用PEK私鑰對客戶端用戶的身份證書進行解密;
[0098]6.網站服務端的第一可信密碼模塊使用存儲密鑰對解密后的客戶端用戶的身份證書進行加密并輸出;
[0099]7.網站客戶端將加密后的客戶端用戶身份證書進行存儲;
[0100]8.返回客戶端注冊成功信息,
[0101]本發明實施例的網站服務端對客戶端用戶身份進行認證的流程:
[0102]1.客戶端用戶輸入用戶名與密碼等敏感數據,進行登錄;
[0103]2.客戶端用戶輸入的用戶名、密碼等敏感數據通過客戶端的第二可信密碼模塊的PEK公鑰進行加密,生成用戶的身份信息,發送給網站服務端的第一可信密碼模塊;
[0104]3.網站服務端的第一可信密碼模塊對客戶端用戶身份信息進行處理,生成客戶端用戶身份證書;第一可信密碼模塊對客戶端用戶的身份證書進行解密,并使用自己的存儲密鑰進行加密;
[0105]4.網站服務端的第一可信密碼模塊對加密后的客戶端用戶身份證書進行鑒權;
[0106]5.鑒權通過,則客戶端用戶身份認證成功,客戶端用戶可進行相應的操作,
[0107]本發明實施例的基于可信密碼模塊的客戶端用戶身份證書發布的具體方法:
[0108]1.客戶端向網站服務端發送Tspi_TCM_ActiVate命令將客戶端加密密鑰PEKl激活;
[0109]2.網站服務端向客戶端返回加密密鑰的公鑰Pub_PEKl,客戶端將其存儲;
[0110]3.客戶端用戶填寫注冊信息,如:用戶名,用戶姓名,身份證號,賬戶編號,密碼等信息,客戶端的第二可信密碼模塊使用Tspi_Data_Encrypt命令,使用公鑰Pub_PEKl進行加密,生成用戶身份信息發送至網站服務端的第一可信密碼模塊;
[0111]4.網站服務端的第一可信密碼模塊對接收到的用戶身份信息進行處理,生成用戶身份證書,第一可信密碼模塊發送命令Tsp_TCM_Decrypt使用私鑰Pri_PEKl進行解密,生成客戶端用戶身份證書,并使用自身的存儲密鑰StorKeyl,發送命令Tspi_Data_Encrypt通過存儲密鑰StorKeyl對客戶端用戶的身份證書進行加密,并存儲在本地,返回客戶端用戶注冊成功消息,
[0112]本發明實施例的基于可信密碼模塊的客戶端用戶身份認證的具體方法:
[0113]1.用戶在客戶端上輸入用戶名,密碼等敏感信息,第二可信密碼模塊通過Tspi_Data_Encrypt命令,使用公鑰Pub_PEKl進行加密,生成客戶端用戶身份信息,將身份信息發送給網站服務端的第二可信密碼模塊;
[0114]2.網站服務端的第一可信密碼模塊對接收到的用戶身份信息進行處理,生成用戶身份證書,第一可信密碼模塊發送命令Tsp_TCM_Decrypt使用私鑰Pri_PEKl進行解密,生成客戶端用戶身份證書;
[0115]3.網站服務端的的第一可信密碼模塊使用自身的存儲密鑰StorKeyl,通過Tspi_Data_Encrypt命令對客戶端用戶的身份證書進行加密;
[0116]4.第一可信密碼模塊將加密后的客戶端用戶身份證書與本地存儲值進行比對,如果一致,則通過鑒權,返回客戶端用戶登錄成功信息,如果不一致,則鑒權失敗,
[0117]以上所述僅為本發明的較佳實施例而已,并不用以限制本發明,凡在本發明的精神和原則之內所作的任何修改、等同替換和改進等,均應包含在本發明的保護范圍之內。
【權利要求】
1.一種基于可信密碼模塊電網網站身份認證的方法,其特征在于,該基于可信密碼模塊電網網站身份認證的方法包括以下步驟: 網站服務端通過第一可信密碼模塊所提供的PIK功能生成身份證書請求并發送至數字認證中心單元; 數字認證中心單元向網站服務端下發數字證書; 網站服務端將自身的身份證書發送給客戶端,客戶端鑒別網站服務端的身份證書;客戶端在接收到網站服務端發送的身份證書后,將證書交至第二可信密碼模塊,由第二可信密碼模塊負責對網站服務端的身份證書進行鑒別。
2.如權利要求1所述的基于可信密碼模塊電網網站身份認證的方法,其特征在于,網站服務端的身份認證方法包括以下步驟: 步驟一,網站服務端通過第一可信密碼模塊提供的PIK功能生成身份證書請求并發送至數字認證中心單元; 步驟二,數字認證中心單元向網站服務端下發數字證書; 步驟三,網站服務端向客戶端提供自身的身份證書; 步驟四,客戶端通過第二可信密碼模塊鑒別網站服務端的身份證書,從而實網站身份認證。
3.如權利要求1所述的基于可信密碼模塊電網網站身份認證的方法,其特征在于,客戶端對網站服務端所發送的身份證書進行鑒別,確定網站身份的步驟為: 步驟一, 客戶端將從網站服務端處所接收到的服務端身份證書提交給第二可信密碼模塊; 步驟二,第二可信密碼模塊對服務端身份證書進行鑒別,實現網站身份認證。
4.如權利要求1所述的基于可信密碼模塊電網網站身份認證的方法,其特征在于,第二可信密碼模塊對客戶端用戶身份證書進行發布的步驟為: 步驟一,第二可信密碼模塊使用PEK的公鑰將用戶所輸入的敏感數據信息進行加密,生成客戶端用戶身份信息; 步驟二,第二可信密碼模塊將客戶端用戶身份信息發送給第一可信密碼模塊; 步驟三,第一可信密碼模塊對接收到的客戶端用戶身份信息進行處理,生成客戶端用戶的身份證書; 步驟四,第一可信密碼模塊使用自身的存儲密鑰加密用戶證書,并存儲在本地,然后將客戶端用戶的身份證書返回至第二可信密碼模塊,完成發布。
5.如權利要求4所述的基于可信密碼模塊電網網站身份認證的方法,其特征在于,在步驟一中,客戶端用戶的敏感數據信息包括:用戶名,用戶姓名,身份證號,賬戶編號,銀行賬號,密碼信息。
6.如權利要求4所述的基于可信密碼模塊電網網站身份認證的方法,其特征在于,在步驟二中,第二可信密碼模塊將客戶端用戶的身份信息發送至第一可信密碼模塊的步驟包括: 第一步,第二可信密碼模塊將客戶端用戶的身份信息通過客戶端發送至網站服務端; 第二步,網站服務端將接收到的客戶端用戶身份信息提交至第一可信密碼模塊。
7.如權利要求4所述的基于可信密碼模塊電網網站身份認證的方法,其特征在于,在步驟三中,第一可信密碼模塊對客戶端用戶身份證書進行鑒別的步驟包括: 第一步,第一可信密碼模塊使用PEK私鑰對客戶端用戶的身份證書進行解密; 第二步,第一可信密碼模塊使用存儲密鑰對解密得到的客戶端用戶的身份證書進行加密; 第三步,第一可信密碼模塊將加密后的客戶端用戶身份證書與本地存儲的進行比對,如果一樣,則完成鑒權,通過驗證。
8.如權利要求4所述的基于可信密碼模塊電網網站身份認證的方法,其特征在于,在步驟四中,第二可信密碼模塊對客戶端用戶身份證書進行發布的具體步驟包括: 第一步,第一可信密碼模塊通過網站服務端將客戶端用戶身份證書返回至客戶端; 第二步,客戶端存儲客戶端用戶身份證書。
9.一種基于可信密碼模塊電網網站身份認證的系統,其特征在于,該基于可信密碼模塊電網網站身份認證的系統包括:數字認證中心單元、網站服務端、第一可信密碼模塊、客戶端、第二可信密碼模塊; 數字認證中心單元,用于下發身份證書,接收網站服務端通過第一可信密碼模塊的PIK功能提交身份證書請求; 網站服務端,與數字認證中心單元連接,接收數字認證中心單元下發的身份證書,用于向客戶端可信密碼模塊提供身份證書; 第一可信密碼模塊,與網站服務端連接,用于通過PIK功能生成提交身份證書的請求; 客戶端,與網站服務端連接,用于接收網站服務端的身份證書; 第二可信密碼模塊,安裝在客戶端上,用于對網站服務端的身份證書進行鑒定。
【文檔編號】H04L9/32GK103532961SQ201310494975
【公開日】2014年1月22日 申請日期:2013年10月21日 優先權日:2013年10月21日
【發明者】陳亮, 林永峰, 張國強, 李琳, 華曄 申請人:國家電網公司, 國網天津市電力公司, 中國電力科學研究院