【技術實現步驟摘要】
本專利技術涉及計算機應用,特別是一種基于國密算法并支持雙向鑒權的多因素ssh登錄認證方法。
技術介紹
1、互聯網領域中,客戶端在登陸網絡服務程序相關網站時會涉及到登錄認證流程。現有技術中由于技術所限,登錄認證還存在如下技術缺點。(1)使用基于密碼的身份驗證方法認證登錄,由于防護等級較弱,如果使用弱密碼或受到暴力破解攻擊時,攻擊者能夠猜測或破解出密碼、造成泄密;(2)在ssh(ssh是一種在不安全網絡上用于安全遠程登錄和其他安全網絡服務的協議)會話期間,存在潛在的會話劫持風險(1.不安全的網絡連接(使用不安全的公共wi-fi網絡或未加密的通信協議時,攻擊者可以監視和攔截通信數據)、2.ssh密鑰劫持(攻擊者hook系統調用從而替換目標主機上的~/.ssh/authorized_keys文件達到免密登錄)、3.ssh后門功能(超級密碼隱身登陸、記錄登陸的賬號密碼)如果攻擊者能夠在ssh會話期間截獲或篡改數據,可能會導致安全漏洞或信息泄露;(3)使用公鑰身份驗證登錄時,需要妥善管理和保護私鑰文件,私鑰一旦被泄露或遺失,會導致未經授權的訪問、進而泄密;(4)在某些情況下,攻擊者會嘗試進行中間人(即攻擊者可能在用戶與目標系統之間插入自己的設備或網絡節點,從而能夠攔截、篡改或竊取通信數據)攻擊,欺騙用戶與偽造的ssh服務器建立連接。這也會導致敏感信息被竊聽或篡改;(5)傳統的國際標準加密算法雖然安全可靠,但由于無法保證源代碼的安全性,因此還是存在著源代碼被外部惡意攻擊者滲透或篡改的風險,進而導致信息泄密。
技術實
1、為了克服現有客戶端在登陸網絡服務程序相關網站時涉及到登錄認證流程中,由于技術所限存在如背景所述弊端,本專利技術提供在相關步驟流程共同作用下,因其采用了嚴密的密碼學原理和復雜的運算方式,具有更高的安全性,能夠抵抗各種傳統和現代密碼攻擊手段造成信息泄密的基于國密算法并支持雙向鑒權的多因素ssh登錄認證方法。
2、本專利技術解決其技術問題所采用的技術方案是:
3、基于國密算法并支持雙向鑒權的多因素ssh登錄認證方法,其特征在于,使用具有更高安全性的國密算法作為標準算法,使用遵循《gmt?0017-2012智能密碼鑰匙密碼應用接口數據格式規范》智能密碼鑰匙進行主機密鑰和臨時密鑰的生成,為服務端和客戶端分配、用于產生隨機密鑰、生成密鑰對、存儲數字證書,并通過調用商用密碼算法實現身份認證及加解密,當客戶端向服務端發起認證請求時,服務端將發送方的智能密碼鑰匙作為客戶端密碼鑰匙,將接收方的智能密鑰鑰匙作為遠程服務端密碼鑰匙,實現客戶端安全登陸網絡服務程序的相關網站;具體認證方法包括如下流程,s1:客戶端登錄、密碼鑰匙向遠程服務端發起ssh連接時發送版本號協商報文,遠程服務端發回復支持的版本號;s2:遠程服務端發送智能鑰匙支持的密碼算法列表,客戶端密碼鑰匙分別回復自己支持的密碼算法列表、使用硬件ukey生成臨時sm2密鑰對的公鑰;s3:遠程服務端選擇一種智能鑰匙支持的算法,并生成一對臨時sm2密鑰對并向客戶端發送臨時公鑰和主機公鑰,使用密鑰協商算法計算公共密鑰值和iv;s4:客戶端檢查遠程服務端發送的主機密鑰的sm3是否與硬件ukey內的主機密鑰一致,如一致時合法,否則不合法,此步驟完成客戶端對遠程服務端的身份認證;s5:客戶端使用已認證的公鑰驗證該遠程服務端發送的數據,驗證通過則合法,否則不合法;s6:服務端解密s5發來的密文數據,檢查其中的公鑰與密碼要內部存儲的公鑰的sm3是否一致,一致則完成遠程服務端對客戶端的認證。
4、進一步地,所述商用密碼算法為sm1、sm2和sm3算法。
5、進一步地,所述步驟s3中主機公鑰還能是主機簽名、s4中主機密鑰還能是主機簽名。
6、進一步地,所述步驟s3、s4、s5中,若為合法數據報文,則使用該報文內的臨時公鑰與自己的私鑰、使用密鑰協商計算出公共密鑰和iv值并加密服務端密碼鑰匙內部存儲的主機公鑰,再將加密的認證數據發送給客戶端。
7、進一步地,所述步驟s6中,服務端解密s5發來的密文數據,還能采用驗證其簽名方式進行認證。
8、與現有技術相比本專利技術有益效果是:(1)本專利技術使用國家密碼管理局發布的密碼算法標準,作為基礎,在相關流程共同作用下,因其采用了嚴密的密碼學原理和復雜的運算方式,具有更高的安全性,能夠抵抗各種傳統和現代密碼攻擊手段;(2)具有高效性與靈活性,具體的,國密算法在保證安全性的同時,注重算法的效率,它的加密速度和運行效率相對較高,同時也能適應不同的密碼長度和密鑰長度,能滿足不同場景的需求;(3)杜絕了密鑰泄露導致信息被非法獲取,由于主機密鑰與發起方的密鑰由各自的硬件ukey保存,保證了私鑰不會離開硬件,能保證客服端的安全。
本文檔來自技高網...【技術保護點】
1.基于國密算法并支持雙向鑒權的多因素SSH登錄認證方法,其特征在于,使用具有更高安全性的國密算法作為標準算法,使用GMT?0017-2012智能密碼鑰匙進行主機密鑰和臨時密鑰的生成,為服務端和客戶端分配、用于產生隨機密鑰、生成密鑰對、存儲數字證書,并通過調用商用密碼算法實現身份認證及加解密,當客戶端向服務端發起認證請求時,服務端將發送方的智能密碼鑰匙作為客戶端密碼鑰匙,將接收方的智能密鑰鑰匙作為遠程服務端密碼鑰匙,實現客戶端安全登陸網絡服務程序的相關網站;具體認證方法包括如下流程,S1:客戶端登錄、密碼鑰匙向遠程服務端發起SSH連接時發送版本號協商報文,遠程服務端發回復支持的版本號;S2:遠程服務端發送智能鑰匙支持的密碼算法列表,客戶端密碼鑰匙分別回復自己支持的密碼算法列表、使用硬件UKEY生成臨時SM2密鑰對的公鑰;S3:遠程服務端選擇一種智能鑰匙支持的算法,并生成一對臨時SM2密鑰對并向客戶端發送臨時公鑰和主機公鑰,使用密鑰協商算法計算公共密鑰值和IV;S4:客戶端檢查遠程服務端發送的主機密鑰的SM3是否與硬件UKEY內的主機密鑰一致,如一致時合法,否則不合法,此步驟完成客
2.根據權利要求1所述的基于國密算法并支持雙向鑒權的多因素SSH登錄認證方法,其特征在于,商用密碼算法為SM1、SM2和SM3算法。
3.根據權利要求1所述的基于國密算法并支持雙向鑒權的多因素SSH登錄認證方法,其特征在于,步驟S3中主機公鑰還能是主機簽名、S4中主機密鑰還能是主機簽名。
4.根據權利要求1所述的基于國密算法并支持雙向鑒權的多因素SSH登錄認證方法,其特征在于,步驟S3、S4、S5中,若為合法數據報文,則使用該報文內的臨時公鑰與自己的私鑰、使用密鑰協商計算出公共密鑰和IV值并加密服務端密碼鑰匙內部存儲的主機公鑰,再將加密的認證數據發送給客戶端。
5.根據權利要求1所述的基于國密算法并支持雙向鑒權的多因素SSH登錄認證方法,其特征在于,步驟S6中,服務端解密S5發來的密文數據,還能采用驗證其簽名方式進行認證。
...【技術特征摘要】
1.基于國密算法并支持雙向鑒權的多因素ssh登錄認證方法,其特征在于,使用具有更高安全性的國密算法作為標準算法,使用gmt?0017-2012智能密碼鑰匙進行主機密鑰和臨時密鑰的生成,為服務端和客戶端分配、用于產生隨機密鑰、生成密鑰對、存儲數字證書,并通過調用商用密碼算法實現身份認證及加解密,當客戶端向服務端發起認證請求時,服務端將發送方的智能密碼鑰匙作為客戶端密碼鑰匙,將接收方的智能密鑰鑰匙作為遠程服務端密碼鑰匙,實現客戶端安全登陸網絡服務程序的相關網站;具體認證方法包括如下流程,s1:客戶端登錄、密碼鑰匙向遠程服務端發起ssh連接時發送版本號協商報文,遠程服務端發回復支持的版本號;s2:遠程服務端發送智能鑰匙支持的密碼算法列表,客戶端密碼鑰匙分別回復自己支持的密碼算法列表、使用硬件ukey生成臨時sm2密鑰對的公鑰;s3:遠程服務端選擇一種智能鑰匙支持的算法,并生成一對臨時sm2密鑰對并向客戶端發送臨時公鑰和主機公鑰,使用密鑰協商算法計算公共密鑰值和iv;s4:客戶端檢查遠程服務端發送的主機密鑰的sm3是否與硬件ukey內的主機密鑰一致,如一致時合法,否則不合法,此步驟完成客戶端對遠程服務...
【專利技術屬性】
技術研發人員:張晶源,劉志宏,
申請(專利權)人:上海安當技術有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。