标签:
每个用户都持有可唯一标识用户身份的私钥和由CA签发的公钥证书,用户私有信息保存在电子钥匙(USBKEY)或其它安全载体中。在访问应用系统时,用户出示自已的身份证明(签名和证书),实现基于证书的身份认证过程。
身份认证分为单向或双向认证方式,在一般情况下采用服务器认证客户的单向认证方式,在必要时可采用双向认证方式。
应用系统中,应用服务程序直接通过安全接口调用认证服务器对用户进行身份认证,用户身份信息由应用系统自身进行维护和管理。
应用系统服务器端和客户端各需要执行两次调用,才能完成对一个用户的身份认证。下面对认证流程进行较详细描述。
1)客户端请求(ClientHello)
客户插入USBKEY,进行USBKEY保护口令验证。
客户生成随机数,将该随机数及用户ID上传至服务器,请求登录系统。
2)服务器应答(ServerHello)
认证服务器用私钥对客户随机数签名,并生成服务器随机数,将数字签名、服务器随机数和认证服务器证书回送给客户。
3)客户认证服务器,生成并上传客户端认证信息
客户端在收到应答后,检验认证服务器证书的有效性,再验证认证服务器的签名。若签名验证不正确,则本次认证过程中止,否则用客户私钥对服务器随机数签名,连同用户证书组成认证信息上传至服务器。
4)服务器认证客户
认证服务器先验证用户证书的有效性,再验证客户的签名。签名正确,客户身份认证成功,允许客户进行正常的业务操作,否则,客户被拒绝。
标签:
原文地址:http://www.cnblogs.com/ggxxjj123/p/4518218.html
