一種雙因子雙向認(rèn)證的方法及系統(tǒng)技術(shù)方案

本發(fā)明專利技術(shù)公開了一種雙因子雙向認(rèn)證方法，包括：密鑰系統(tǒng)發(fā)布數(shù)字證書和用于制作所述數(shù)字證書時簽名用的CA證書；對客戶端和服務(wù)端的配置文件進(jìn)行配置，以支持所述客戶端對所述服務(wù)端的應(yīng)用接口的訪問；所述客戶端通過雙因子認(rèn)證方式訪問所述服務(wù)端的應(yīng)用接口；所述客戶端對所述服務(wù)端證書進(jìn)行第一驗證，所述服務(wù)端對所述客戶端證書進(jìn)行第二驗證，在所述第一驗證和第二驗證均通過后，允許所述客戶端訪問所述服務(wù)端的應(yīng)用接口。另外，本發(fā)明專利技術(shù)公開了與上述方法相對應(yīng)的一種雙因子雙向認(rèn)證系統(tǒng)。本發(fā)明專利技術(shù)的雙因子雙向認(rèn)證的方法及系統(tǒng)的兼容性更加強大、運用更加廣泛、設(shè)計更加簡單、使用更加高效、數(shù)據(jù)通信更加安全。

【技術(shù)實現(xiàn)步驟摘要】
一種雙因子雙向認(rèn)證的方法及系統(tǒng)
本專利技術(shù)涉及網(wǎng)絡(luò)通信領(lǐng)域，特別涉及一種雙因子雙向認(rèn)證的方法及系統(tǒng)。
技術(shù)介紹
目前比較流行的雙因子認(rèn)證技術(shù)，主要由賬號口令和服務(wù)端的SSL(SecureSocketsLayer,安全套接層)單向認(rèn)證技術(shù)組成。一方面，由于服務(wù)端SSL單向認(rèn)證技術(shù)，實現(xiàn)方案比較簡單，且只能簡單地對客戶端與服務(wù)端之間傳輸?shù)膬?nèi)容進(jìn)行加密，不能確保對客戶端的身份進(jìn)行認(rèn)證。因此，這種方案存在一定的安全隱患，如容易受到中間環(huán)節(jié)欺騙等網(wǎng)絡(luò)攻擊；另一方面，目前流行的雙因子認(rèn)證技術(shù)，普遍只應(yīng)用于Http(Hypertexttransferprotocol，超文本傳輸協(xié)議)或者Https(啟用了SSL的Http協(xié)議)認(rèn)證。因為WebService是基于SOAP協(xié)議，如要實現(xiàn)雙因子認(rèn)證必須克服兼容性的問題，就要通過修改WebService的實現(xiàn)代碼，讓其支持Https和數(shù)字證書，所以很少有應(yīng)用于WebService技術(shù)的認(rèn)證技術(shù)。其中，WebService是一種在線服務(wù)，有執(zhí)行具體的業(yè)務(wù)的功能，使得運行在不同機器上的不同應(yīng)用無須借助附加的、專門的第三方軟件或硬件，就可相互交換或集成數(shù)據(jù)。目前WebService技術(shù)在各種系統(tǒng)中被廣泛應(yīng)用。現(xiàn)有技術(shù)中基于WebService的認(rèn)證技術(shù)一般是通過編寫應(yīng)用程序代碼，作為插件部署在客戶端或者WebService服務(wù)器上，通過運行插件來實現(xiàn)安全認(rèn)證。但是，眾所周知，代碼程序作為插件有許多缺點。例如，插件在客戶端的部署很困難，如客戶端可能不能正確下載，下載了以后可能不能正確執(zhí)行，下載的時候需要設(shè)置IE的安全級別等，從而使操作煩瑣。所以，有必要提出一種高效、安全、兼容性強的雙因子雙向認(rèn)證技術(shù)。
技術(shù)實現(xiàn)思路
鑒于現(xiàn)有技術(shù)中存在的問題，在不改變現(xiàn)有系統(tǒng)架構(gòu)的前提下，根據(jù)本專利技術(shù)的一個方面，提供了既可兼容現(xiàn)有技術(shù)的通過賬號口令和簡單的服務(wù)端SSL單向認(rèn)證方法，又可適用于Http/Https或者WebService的雙因子雙向認(rèn)證的方法。術(shù)語定義雙因子認(rèn)證方法，是指結(jié)合密碼以及實物(數(shù)字證書、信用卡、SMS手機、令牌、U盾/Ukey或指紋等生物標(biāo)志)這兩種條件對用戶進(jìn)行認(rèn)證的方法。雙向認(rèn)證，是指客戶端在訪問服務(wù)端時，客戶端驗證服務(wù)端的證書，服務(wù)端驗證客戶端的證書，在驗證請求連接的雙方的身份是經(jīng)過授權(quán)后方可連接。根據(jù)本申請的一個方面，提供了一種雙因子雙向認(rèn)證方法，包括：密鑰系統(tǒng)發(fā)布數(shù)字證書和用于制作所述數(shù)字證書時簽名用的CA證書；對客戶端和服務(wù)端的配置文件進(jìn)行配置，以支持所述客戶端對所述服務(wù)端的應(yīng)用接口的訪問；所述客戶端通過雙因子認(rèn)證方式訪問所述服務(wù)端的應(yīng)用接口；所述客戶端對所述服務(wù)端證書進(jìn)行第一驗證，所述服務(wù)端對所述客戶端證書進(jìn)行第二驗證，在所述第一驗證和第二驗證均通過后，允許所述客戶端訪問所述服務(wù)端的應(yīng)用接口。上述方法兼容性更加強大、運用更加廣泛、設(shè)計更加簡單、使用更加高效、數(shù)據(jù)通信更加安全。在一些實施方式中，所述應(yīng)用接口為Http/Https時，對所述配置文件的配置是對所述配置文件進(jìn)行第一次配置，包括：將服務(wù)端配置文件中的以下參數(shù)配置為默認(rèn)值：客戶端認(rèn)證、連接端口、協(xié)議、是否激活ssl、最大線程和ssl協(xié)議，和將以下參數(shù)配置為設(shè)定值：信任證書(CA)的存儲類型、存放信任證書(CA)的證書庫路徑、服務(wù)端數(shù)字證書庫文件的存儲路徑、服務(wù)端數(shù)字證書庫存儲密碼、服務(wù)端數(shù)字證書庫存儲類型。在一些實施方式中，所述應(yīng)用接口為WebService時，的進(jìn)行所述第一次配置后，還進(jìn)行第二次配置，基于Rampart框架配置所述服務(wù)端和所述客戶端WebService的配置文件，以支持所述客戶端對所述服務(wù)端的WebService接口的訪問。在一些實施方式中，其中所述基于Rampart框架配置服務(wù)端WebService的配置文件包括如下步驟：啟用Rampart模塊，通過maven配置，增加Rampart所需要的依賴包；添加Rampart所需要的modules文件；把所述服務(wù)端所需要的證書庫及配置文件復(fù)制到根目錄下，以便保存數(shù)字證書；在service.properties配置文件中，修改證書庫類庫，證書庫密碼及對應(yīng)的證書庫名稱，以便Rampart框架可以使用服務(wù)端的數(shù)字證書。在一些實施方式中，所述基于Rampart框架配置客戶端WebService的配置文件包括如下步驟：增加Rampart所需要的依賴包；從axis2的發(fā)布包中，獲取axis2.xml文件，把客戶端個人證書庫、axis2.xml、client.properties、modules文件導(dǎo)入工程，以增加如下配置信息：客戶端證書庫、證書類型以及證書密碼；編寫Rampart處理handler，從客戶端證書庫獲取私鑰時使用的密碼。在一些實施方式中，所述服務(wù)端的應(yīng)用接口為Http/Https接口，所述客戶端通過所述雙因子訪問所述服務(wù)端的Http/Https的過程包括：對所述配置文件進(jìn)行第一次配置；所述客戶端對所述服務(wù)端證書進(jìn)行第一驗證，包括：當(dāng)所述客戶端向所述服務(wù)端發(fā)送含有客戶端證書的建立Https連接的請求，所述客戶端根據(jù)Tcp/Ip協(xié)議對服務(wù)端證書進(jìn)行驗證；或當(dāng)所述客戶端請求建立Http的連接時，所述服務(wù)端自動重定向至https，所述客戶端對所述服務(wù)端證書進(jìn)行驗證；所述服務(wù)端對所述客戶端證書進(jìn)行第二驗證，包括：所述服務(wù)端監(jiān)聽所述連接并獲取客戶端證書，將所述獲取的客戶端證書與所述服務(wù)端證書進(jìn)行匹配驗證；驗證成功后，輸入客戶端的賬號口令，用所述客戶端證書中的私鑰將所述客戶端賬號口令進(jìn)行加密后發(fā)送給所述服務(wù)端，所述服務(wù)端將接收的請求用所述客戶端證書的公鑰進(jìn)行解密并進(jìn)行驗證，驗證成功后方可允許對服務(wù)端的Http/Https接口的訪問。在一些實施方式中，所述服務(wù)端的應(yīng)用接口為WebService的接口，所述客戶端通過所述雙因子訪問所述服務(wù)端的WebService接口的過程包括：對所述配置文件進(jìn)行第一次配置；對所述配置文件進(jìn)行第二次配置；所述客戶端對所述服務(wù)端證書進(jìn)行第一驗證，包括：所述客戶端通過所述服務(wù)端的WebService接口調(diào)用服務(wù)，先獲取所述客戶端證書庫中的個人證書中的私鑰對請求數(shù)據(jù)進(jìn)行簽名，再獲取所述客戶端證書庫中的服務(wù)端證書中的公鑰對所述請求的數(shù)據(jù)進(jìn)行加密，再把加密后的密文發(fā)送給所述服務(wù)端；所述服務(wù)端對所述客戶端證書進(jìn)行第二驗證，包括：所述服務(wù)端接收到所述客戶端的請求，先從所述服務(wù)端的證書庫中獲取所述服務(wù)端證書的私鑰，對所述請求的數(shù)據(jù)進(jìn)行解密，再根據(jù)請求中的客戶端賬號口令，從證書庫中獲取對應(yīng)的客戶端證書中的公鑰，對所述請求的數(shù)據(jù)進(jìn)行簽名驗證。在一些實施方式中，所述雙因子中的一個因子是賬號口令，另一個因子是數(shù)字證書。在一些實施方式中，另一個因子是信用卡、SMS手機、令牌、指紋中任意一種。在一些實施方式中，所述客戶端通過所述雙因子訪問所述服務(wù)端的Http/Https時，所述客戶端通過Ukey將儲存的個人證書導(dǎo)入到客戶端的證書庫中。在一些實施方式中，所述客戶端通過所述雙因子訪問所述服務(wù)端的WebService的過程還包括測試的步驟，包括：測試程序加載axis2.xml配置文件，指定啟用Rampart模塊，指定客戶端證書庫、客戶端證書名稱信息；運行客本文檔來自技高網(wǎng)...

【技術(shù)保護(hù)點】
一種雙因子雙向認(rèn)證方法，包括：密鑰系統(tǒng)發(fā)布數(shù)字證書和用于制作所述數(shù)字證書時簽名用的CA證書；對客戶端和服務(wù)端的配置文件進(jìn)行配置，以支持所述客戶端對所述服務(wù)端的應(yīng)用接口的訪問；所述客戶端通過雙因子認(rèn)證方式訪問所述服務(wù)端的應(yīng)用接口；所述客戶端對所述服務(wù)端證書進(jìn)行第一驗證，所述服務(wù)端對所述客戶端證書進(jìn)行第二驗證，在所述第一驗證和第二驗證均通過后，允許所述客戶端訪問所述服務(wù)端的應(yīng)用接口。

【技術(shù)特征摘要】
1.一種雙因子雙向認(rèn)證方法，包括：密鑰系統(tǒng)發(fā)布數(shù)字證書和用于制作所述數(shù)字證書時簽名用的CA證書；對客戶端和服務(wù)端的配置文件進(jìn)行配置，以支持所述客戶端對所述服務(wù)端的應(yīng)用接口的訪問，其中，所述應(yīng)用接口包括Http/Https和WebService接口，所述應(yīng)用接口為Http/Https時，所述配置為第一次配置，所述應(yīng)用接口為WebService時，所述配置為在進(jìn)行所述第一次配置后，還進(jìn)行第二次配置；所述客戶端通過雙因子認(rèn)證方式訪問所述服務(wù)端的應(yīng)用接口，所述雙因子中的一個因子是賬號口令，另一個因子是存放于Ukey中的數(shù)字證書;所述客戶端對所述服務(wù)端的證書進(jìn)行第一驗證，所述服務(wù)端對所述客戶端的證書和賬號口令進(jìn)行第二驗證，在所述第一驗證和第二驗證均通過后，允許所述客戶端訪問所述服務(wù)端的應(yīng)用接口；其中，所述第一次配置包括：將服務(wù)端配置文件中的以下參數(shù)配置為默認(rèn)值：客戶端認(rèn)證、連接端口、協(xié)議、是否激活ssl、最大線程和ssl協(xié)議，和將以下參數(shù)配置為設(shè)定值：信任證書（CA)的存儲類型、存放信任證書（CA）的證書庫路徑、服務(wù)端數(shù)字證書庫文件的存儲路徑、服務(wù)端數(shù)字證書庫存儲密碼、服務(wù)端數(shù)字證書庫存儲類型；所述第二次配置是基于Rampart框架配置所述服務(wù)端和所述客戶端WebService的配置文件，以支持所述客戶端對所述服務(wù)端的WebService接口的訪問。2.如權(quán)利要求1所述的方法，其中，所述基于Rampart框架配置服務(wù)端WebService的配置文件包括如下步驟：啟用Rampart模塊，通過maven配置，增加Rampart所需要的依賴包；添加Rampart所需要的modules文件；把所述服務(wù)端所需要的證書庫及配置文件復(fù)制到根目錄下，以便保存數(shù)字證書；在service.properties配置文件中，修改證書庫類庫，證書庫密碼及對應(yīng)的證書庫名稱，以便Rampart框架可以使用服務(wù)端的數(shù)字證書。3.如權(quán)利要求1所述的方法，其中，所述基于Rampart框架配置客戶端WebService的配置文件包括如下步驟：增加Rampart所需要的依賴包；從axis2的發(fā)布包中，獲取axis2.xml文件，把客戶端個人證書庫、axis2.xml、client.properties、modules文件導(dǎo)入工程，以增加如下配置信息：客戶端證書庫、證書類型以及證書密碼；編寫Rampart處理handler，從客戶端證書庫獲取私鑰時使用的密碼。4.如權(quán)利要求1所述的方法，其中，所述服務(wù)端的應(yīng)用接口為Http/Https接口時，所述客戶端通過所述雙因子訪問所述服務(wù)端的Http/Https的過程包括：對所述配置文件進(jìn)行第一次配置；所述客戶端對所述服務(wù)端證書進(jìn)行第一驗證，包括：當(dāng)所述客戶端向所述服務(wù)端發(fā)送含有客戶端證書的建立Https連接的請求，所述客戶端根據(jù)Tcp/Ip協(xié)議對服務(wù)端證書進(jìn)行驗證；或當(dāng)所述客戶端請求建立Http的連接時，所述服務(wù)端自動重定向至https，所述客戶端對所述服務(wù)端證書進(jìn)行驗證；所述服務(wù)端對所述客戶端證書進(jìn)行第二驗證，包括：所述服務(wù)端監(jiān)聽所述連接并獲取客戶端證書，將所述獲取的客戶端證書與所述服務(wù)端證書進(jìn)行匹配驗證；驗證成功后，輸入客戶端的賬號口令，用所述客戶端證書中的私鑰將所述客戶端賬號...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：蔡哲，李占龍，郝孔占，
申請(專利權(quán))人：廣東粵鐵科技有限公司，
類型：發(fā)明
國別省市：廣東;44