基于數(shù)字證書的UKEY安全登錄與身份認(rèn)證技術(shù)研究_第1頁
基于數(shù)字證書的UKEY安全登錄與身份認(rèn)證技術(shù)研究_第2頁
基于數(shù)字證書的UKEY安全登錄與身份認(rèn)證技術(shù)研究_第3頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

基于數(shù)字證書的UKEY平安登錄與身份認(rèn)證技術(shù)探討摘要本文在探討身份認(rèn)證技術(shù)、uKey技術(shù)及Windows系統(tǒng)登錄原理基礎(chǔ)上,提出了基于數(shù)字證書的uKey身份認(rèn)證與平安登錄方案,設(shè)計(jì)了自定義登錄模塊,從而實(shí)現(xiàn)了運(yùn)用uKey進(jìn)行主機(jī)平安登錄的功能。關(guān)鍵詞uKey;平安登錄;身份認(rèn)證1引言用戶在訪問平安系統(tǒng)之前,首先經(jīng)過身份認(rèn)證系統(tǒng)識(shí)別身份,然后訪問監(jiān)控模塊,系統(tǒng)依據(jù)用戶身份和授權(quán)狀況確定用戶是否能夠訪問某個(gè)資源。因此系統(tǒng)平安登錄與身份認(rèn)證是平安系統(tǒng)中的第一道關(guān)卡,也是實(shí)施訪問限制的基礎(chǔ),在系統(tǒng)平安領(lǐng)域具有特別重要的作用。本文提出了基于數(shù)字證書的uKey平安登錄與身份認(rèn)證方案,采納將第三方開發(fā)的uKey與用戶身份信息相結(jié)合的認(rèn)證方式,保證每個(gè)用戶在登錄時(shí)具有證明其身份的唯一標(biāo)記,從而使系統(tǒng)通過這個(gè)惟一標(biāo)記驗(yàn)證用戶身份合法性。2身份認(rèn)證技術(shù)身份認(rèn)證是網(wǎng)絡(luò)平安技術(shù)的一個(gè)重要方面。用戶在訪問平安系統(tǒng)之前,首先經(jīng)過身份認(rèn)證系統(tǒng)識(shí)別身份,然后訪問監(jiān)控模塊,系統(tǒng)依據(jù)用戶身份和授權(quán)狀況確定用戶是否能夠訪問某個(gè)資源,常用的口令認(rèn)證方式有以下幾種:1)基于口令的認(rèn)證方式基于口令的認(rèn)證方式是目前在互聯(lián)網(wǎng)和計(jì)算機(jī)領(lǐng)域中最簡潔、最簡潔實(shí)現(xiàn)的一種身份認(rèn)證技術(shù),也是目前應(yīng)用最廣泛的認(rèn)證方法。例如:操作系統(tǒng)及諸如郵件系統(tǒng)等一些應(yīng)用系統(tǒng)的登錄和權(quán)限管理都基于口令[1],當(dāng)用戶登錄計(jì)算機(jī)網(wǎng)絡(luò)時(shí),須要輸入口令。計(jì)算機(jī)系統(tǒng)將其認(rèn)證機(jī)制建立在用戶名和口令的基礎(chǔ)上,假如用戶將用戶名和口令告知其它人,則計(jì)算機(jī)也將賜予那個(gè)人以訪問權(quán)限[2]。2)基于智能卡的認(rèn)證方式智能卡(SmartCard)是法國人RolandMoreno于1970年獨(dú)創(chuàng)的[3]。法國BULL公司首創(chuàng)智能卡產(chǎn)品,并將這項(xiàng)技術(shù)應(yīng)用到金融、交通、醫(yī)療、身份認(rèn)證等多個(gè)方面?;谥悄芸ǖ纳矸菡J(rèn)證屬于通過物理設(shè)備進(jìn)行身份認(rèn)證的機(jī)制,該機(jī)制結(jié)合電子技術(shù)和現(xiàn)代密碼學(xué)學(xué)問,大大提高了基于物理設(shè)備機(jī)制的平安性。每個(gè)用戶持有一張智能卡,智能卡存儲(chǔ)用戶隱私信息,同時(shí)在驗(yàn)證服務(wù)器中也存放該隱私信息。進(jìn)行認(rèn)證時(shí),用戶輸入PIN碼(個(gè)人身份認(rèn)證碼),服務(wù)器認(rèn)證PIN碼,勝利后即可讀出智能卡中的隱私信息,進(jìn)而利用該隱私信息與主機(jī)之間進(jìn)行認(rèn)證?;谥悄芸ǖ恼J(rèn)證方式是一種雙因素認(rèn)證方式(PIN+智能卡),即使PIN碼或智能卡單獨(dú)被竊取,合法用戶的身份仍不會(huì)被冒充(即不能獲得訪問權(quán))。3)基于生物特征的認(rèn)證方式生物特征識(shí)別是一種依據(jù)人體自身所固有的生理特征和行為特征來識(shí)別身份的技術(shù),即通過計(jì)算機(jī)與光學(xué)、聲學(xué)、生物傳感器和生物統(tǒng)計(jì)學(xué)原理等高科技手段的親密結(jié)合,利用人體固有生理特征(如手形、指紋、面部特征、虹膜、視網(wǎng)膜等)和行為特征(如筆跡、聲音、步態(tài)等)來進(jìn)行個(gè)人身份鑒定[4]。生物特征認(rèn)證技術(shù)的主要應(yīng)用有辨識(shí)和驗(yàn)證兩種。辨識(shí)(Identification)指的是確定用戶身份,通常是在生物特征模版庫中進(jìn)行一對(duì)多匹配(One-to-ManyMatching)或基于學(xué)問判別;驗(yàn)證(Verification)指的是驗(yàn)證用戶是否為他所聲明的身份,通常是用單模板進(jìn)行一對(duì)一匹配[5](One-to-One)。4)基于數(shù)字證書的認(rèn)證方式數(shù)字證書(DigitalCertificate)是標(biāo)記一個(gè)用戶身份的一系列特征數(shù)據(jù),其作用類似于現(xiàn)實(shí)生活中的身份證[6]。國際電信聯(lián)盟的X.509建議定義了一種供應(yīng)認(rèn)證服務(wù)的框架。采納基于X.509證書的認(rèn)證技術(shù)依靠于共同信任的第三方來實(shí)現(xiàn)認(rèn)證,所不同的是其采納非對(duì)稱密碼體制,實(shí)現(xiàn)上更加簡潔明白。這里的第三方是指稱為CA(CertificateAuthority)的認(rèn)證機(jī)構(gòu),該認(rèn)證機(jī)構(gòu)負(fù)責(zé)認(rèn)證用戶身份并向用戶簽發(fā)數(shù)字證書。數(shù)字證書遵循X.509標(biāo)準(zhǔn)所規(guī)定的格式,因此稱為X.509證書。持有此證書的用戶就可以憑此證書訪問那些信任的CA服務(wù)器,通過CA服務(wù)器實(shí)現(xiàn)用戶身份的驗(yàn)證。3基于數(shù)字證書的uKey平安登錄與身份認(rèn)證Windows2000操作系統(tǒng)以及微軟后續(xù)的操作系統(tǒng),如WindowsXP都內(nèi)置了對(duì)智能卡用戶認(rèn)證的支持,計(jì)算機(jī)用戶可以選擇運(yùn)用傳統(tǒng)的用戶名、口令驗(yàn)證方式進(jìn)行域內(nèi)用戶身份驗(yàn)證,也可運(yùn)用智能卡來自動(dòng)完成用戶身份驗(yàn)證。3.1uKey技術(shù)uKey又名智能電子密碼鑰匙,既完全繼承了已有智能卡技術(shù)的平安性,又結(jié)合了新型USB接口的數(shù)據(jù)傳輸實(shí)力。1)uKey簡介uKey是集智能卡與讀卡器于一體的USB設(shè)備,支持熱插熱拔和即插即用,體積小、重量輕、便于攜帶[7]。uKey本身作為密鑰存儲(chǔ)器,自身硬件結(jié)構(gòu)確定了用戶只能通過廠商編程接口訪問數(shù)據(jù),這就保證了保存在uKey中的數(shù)字證書無法被復(fù)制,并且每一個(gè)uKey都帶有PIN碼愛護(hù),這樣uKey的硬件與PIN碼就構(gòu)成了運(yùn)用uKey進(jìn)行身份認(rèn)證的雙因子。假如用戶uKey丟失,獲得者由于不知道該硬件的PIN碼,就無法冒充合法用戶身份;假如用戶PIN碼泄露,只要保存好uKey硬件就可以保證自己的身份不被冒充。平安性是眾多應(yīng)用(特殊是網(wǎng)絡(luò)應(yīng)用)的基礎(chǔ),而實(shí)現(xiàn)平安性的手段一般都是通過加密算法來達(dá)到,因?yàn)榧用芩惴梢愿玫貙?shí)現(xiàn)數(shù)據(jù)保密性、數(shù)據(jù)完整性、身份可鑒別性以及交易不行抵賴性。加密算法平安性主要取決于密鑰的隱私性,而不必對(duì)算法保密。智能卡作為一種有效的平安保障設(shè)備,是保存密鑰信息的最牢靠手段。傳統(tǒng)智能卡的封裝形式須要額外的讀卡器設(shè)備,因?yàn)樵O(shè)備體積較大且不便于攜帶,所以運(yùn)用很不便利,另外讀卡器設(shè)備也增加了整體的成本[8]。如表1所示:uKey系列產(chǎn)品在完全繼承智能卡優(yōu)點(diǎn)的同時(shí)很好地解決了傳統(tǒng)封裝形式的諸多不足。表1uKey與傳統(tǒng)智能卡的比較比較項(xiàng)目uKey讀卡器+PK卡成本遠(yuǎn)低于讀片器+PK卡的成本之和。雖然PK卡成本較低,但讀卡器成本通常很高。移動(dòng)辦公體積小、重量輕,便利隨身攜帶,特別適用于移動(dòng)辦公。讀卡器體積大,也比較重,不便隨身攜帶。通訊速率連接電腦主機(jī)的USB口,通訊速率為12Mbps,是高速設(shè)備。通訊速率一般在9600bps~115200bps之間。多用戶USB設(shè)備,共享方式,支持多用戶訪問。USB級(jí)聯(lián)設(shè)備,通過級(jí)聯(lián)方式,一臺(tái)電腦可以接多個(gè)uKey。對(duì)于串口讀寫器,串口資源是獨(dú)占的且主機(jī)串口數(shù)量有限,假如串口已經(jīng)被其它設(shè)備占用,將不能運(yùn)用讀卡器。USB接口讀寫器可支持多用戶。操作便利性干脆插在電腦主機(jī)的USB口或延長線接口上,操作極為簡潔。熱插拔設(shè)備,可以隨時(shí)插/拔uKey而不必?fù)?dān)憂損壞。對(duì)于串口讀寫器,電腦主機(jī)串口不支持熱插拔,常常插拔、操作不當(dāng)時(shí)簡潔燒壞主機(jī)串口。USB讀寫器操作便利性同uKey。2)uKey特點(diǎn)(1)高平安性。uKey通過了國家平安管理權(quán)威部門—國密辦的技術(shù)鑒定和認(rèn)可,支持國密辦認(rèn)證的分組算法SSF33,也是國內(nèi)唯一能同時(shí)支持ECC、RSA密碼算法的同類產(chǎn)品。運(yùn)用基于硬件RSA算法的uKey比單純軟件實(shí)現(xiàn)RSA的應(yīng)用更加平安牢靠。敏感數(shù)據(jù)都被保存在uKey的平安存儲(chǔ)區(qū)域中,未授權(quán)用戶將無法接觸到這些信息。uKey的平安性還在于uKey所運(yùn)用的加密算法都是被廣泛公開、業(yè)界公認(rèn)并經(jīng)受了多年考驗(yàn)的算法。(2)敏捷易用。運(yùn)用uKey無需任何附加外部設(shè)備。用戶只需簡潔地將uKey插入任何帶有USB接口的設(shè)備就可以運(yùn)用uKey,運(yùn)用完畢后干脆拔下uKey就可以了。(3)造價(jià)低廉。uKey比任何傳統(tǒng)基于硬件的平安系統(tǒng)都節(jié)約開支。由于運(yùn)用uKey無需任何附加設(shè)備,因此很適合大范圍發(fā)行。uKey能夠?qū)崿F(xiàn)智能卡供應(yīng)的全部功能,但是不須要智能卡讀卡器。(4)攜帶便利。uKey體積小,重量輕,精致時(shí)尚,可以隨身攜帶。(5)無縫集成。uKey供應(yīng)符合業(yè)界廣泛認(rèn)可的PKCS#11和MicrosoftCryptoAPI兩種標(biāo)準(zhǔn)接口。任何兼容這兩種接口的應(yīng)用程序,都可以馬上集成uKey進(jìn)行運(yùn)用。uKey內(nèi)置大容量智能卡平安芯片,可以同時(shí)存儲(chǔ)多個(gè)數(shù)字證書和用戶私鑰及其它數(shù)據(jù)。也就是說,多個(gè)PKI應(yīng)用程序可以共用同一個(gè)uKey。(6)高牢靠性。uKey運(yùn)用嚴(yán)格工藝制造,可長期平安的保存用戶數(shù)據(jù)。3.2Windows登錄原理Windows2000的登錄方式分為兩種:一種是交互式登錄(InteractiveLogon),另一種是遠(yuǎn)程登錄[9](RemoteLogon)。交互式登錄是最典型的登錄方式,并且由大部分訪問域的用戶所運(yùn)用。當(dāng)用戶第一次登錄到某臺(tái)計(jì)算機(jī)時(shí)將發(fā)生交互式登錄,該過程運(yùn)用登錄用戶的用戶名和密碼來準(zhǔn)確驗(yàn)證用戶真實(shí)身份。Windows操作系統(tǒng)的身份認(rèn)證機(jī)制可以用Windows登錄模塊體系圖來說明。如圖1所示,Winlogon進(jìn)程是Windows2000及以上版本供應(yīng)的一個(gè)支持交互式操作的組件,用于負(fù)責(zé)管理與擔(dān)當(dāng)?shù)卿浵嚓P(guān)的平安工作,包括處理用戶的登錄與注銷、啟動(dòng)用戶SHELL、輸入密碼、更改密碼、鎖定與解鎖計(jì)算機(jī)等。GINA(GraphicalIdentificationandAuthentication)是一個(gè)圖形動(dòng)態(tài)鏈接庫,在Winlogon進(jìn)程中運(yùn)行,用于供應(yīng)可定制的登錄界面并對(duì)用戶進(jìn)行身份驗(yàn)證。LSA(LocalSecurityAuthority,本地平安認(rèn)證)是在用戶模式下運(yùn)行\(zhòng)Winnt\System32\Lsass.exe映像的進(jìn)程,負(fù)責(zé)本地系統(tǒng)平安策略。圖1Windows登錄模塊體系結(jié)構(gòu)圖在Windows登錄過程中,假如用戶在Windows系統(tǒng)啟動(dòng)后按下“Ctrl+Alt+Del”組合鍵,則會(huì)引起硬件中斷,該中斷信息被系統(tǒng)捕獲后,操作系統(tǒng)馬上激活Winlogon進(jìn)程。Winlogon進(jìn)程通過調(diào)用GINA.DLL將登錄窗口(賬戶名和口令登錄提示符)展示在用戶面前。GINA.DLL在收集好用戶登錄信息后,就調(diào)用LSA的LsaLogonUser吩咐,將用戶登錄信息傳遞給LSA。事實(shí)上認(rèn)證部分的功能是通過LSA來實(shí)現(xiàn)的,這三部分相互協(xié)作實(shí)現(xiàn)了Windows的登錄認(rèn)證功能。缺省狀態(tài)下,Windows系統(tǒng)供應(yīng)微軟公司自己實(shí)現(xiàn)的GINA.DLL—msgina.dll供Winlogon進(jìn)程調(diào)用。用戶登錄前后計(jì)算機(jī)的狀態(tài)有3個(gè),分別是LOGGED_OFF(未登錄)、LOGGED_ON(已登錄)、LOCKED(鎖定)。3.3msgina.dll的狀態(tài)流程msgina.dll的狀態(tài)流程如圖2所示,圖中部分英文是調(diào)用的函數(shù)名稱。圖2msgina.dll狀態(tài)流程圖(1)系統(tǒng)啟動(dòng)后,首先調(diào)用WlxNegotiate函數(shù)確認(rèn)該DLL是否支持當(dāng)前版本的Winlogon.exe,接著調(diào)用函數(shù)WlxInitialize進(jìn)行相關(guān)函數(shù)初始化。完成初始化工作后,Winlogon進(jìn)程調(diào)用函數(shù)WlxDisplaySASNotice顯示歡迎用戶登錄界面,該函數(shù)還會(huì)檢測是否有自定義的SAS(SecureAttentionSequence,平安提示碼序列)出現(xiàn)。假如出現(xiàn)則通知Winlogon進(jìn)程有登錄懇求發(fā)出。SAS在Windows2000下缺省為“Ctrl+Alt+Del”,用戶也可以定義自己的SAS。(2)當(dāng)發(fā)覺有SAS事務(wù)發(fā)生時(shí),Winlogon進(jìn)程調(diào)用WlxLoggedOutSAS函數(shù),并向下調(diào)用WlxDialogBoxParam顯示用戶登錄對(duì)話框,然后調(diào)用LSA進(jìn)行驗(yàn)證,假如驗(yàn)證通過,Winlogon進(jìn)程調(diào)用函數(shù)WlxActivateUserShell啟動(dòng)用戶外殼程序。(3)當(dāng)系統(tǒng)處于登錄勝利且沒有鎖定狀態(tài)(LOGGED_ONstate)時(shí),Winlogon進(jìn)程接收到SAS事務(wù)時(shí),就調(diào)用函數(shù)WlxLoggedOnSAS。(4)當(dāng)系統(tǒng)處于鎖定的狀態(tài)(LOCKEDstate)時(shí),Winlogon進(jìn)程則調(diào)用函數(shù)WlxDisplayLockedNotice顯示一些信息,如鎖定者、鎖定時(shí)間等。當(dāng)其接收到SAS事務(wù)時(shí)就調(diào)用函數(shù)WlxWkstaLockedSAS,該函數(shù)的返回值將確定工作站的狀態(tài):仍舊鎖定、解鎖或用戶注銷。(5)當(dāng)用戶注銷時(shí),Winlogon進(jìn)程調(diào)用函數(shù)WlxLogoff,通知msgina.dll用戶的注銷操作,msgina.dll做出相應(yīng)處理。當(dāng)用戶須要關(guān)閉計(jì)算機(jī)時(shí),Winlogon進(jìn)程調(diào)用函數(shù)WlxShutdown,允許msgina.dll進(jìn)行系統(tǒng)關(guān)閉前的處理。(6)缺省狀態(tài)下,Winlogon進(jìn)程在注冊(cè)表中查找鍵值HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon,假如存在GINA.DLL鍵,則Winlogon運(yùn)用該鍵;假如不存在GINA.DLL鍵,則Winlogon就運(yùn)用默認(rèn)值msgina.dll。由于GINA動(dòng)態(tài)鏈接庫可以替換,因此只要通過一個(gè)自定義GINA來替換GINA.DLL,即可實(shí)現(xiàn)用其它認(rèn)證方式代替Windows所默認(rèn)的登錄方式,例如:eKey、指紋識(shí)別等[10]。3.4平安登錄實(shí)現(xiàn)原理利用uKey供應(yīng)的平安機(jī)制,將數(shù)字證書存儲(chǔ)在uKey中,以實(shí)現(xiàn)用戶登錄及身份認(rèn)證。由Windows系統(tǒng)登錄原理可知,要實(shí)現(xiàn)基于數(shù)字證書的uKey平安登錄及身份驗(yàn)證,須要完成兩項(xiàng)工作:一是編寫自定義GINA,二是與uKey進(jìn)行交互。1)自定義GINA—Ginamy.dll的實(shí)現(xiàn)在GINA中,由Winlogon進(jìn)程進(jìn)行函數(shù)調(diào)用,通過自定義SAS可以實(shí)現(xiàn)對(duì)uKey設(shè)備的登錄支持。GINA中有兩個(gè)地方須要驗(yàn)證用戶身份:一是系統(tǒng)啟動(dòng)時(shí)須要驗(yàn)證用戶身份;二是系統(tǒng)鎖定后解除鎖定時(shí)須要驗(yàn)證用戶身份,其對(duì)應(yīng)函數(shù)分別是WlxLoggedOutSAS和WlxWkstaLockedSAS。系統(tǒng)在沒有用戶登錄之前,Winlogon進(jìn)程接收到SAS事務(wù)時(shí)調(diào)用函數(shù)WlxLoggedOutSAS,因此可在該函數(shù)中對(duì)uKey的存在與否進(jìn)行推斷。當(dāng)插入uKey時(shí),uKey檢測窗口發(fā)覺后向Winlogon進(jìn)程發(fā)出登錄SAS事務(wù),調(diào)用LogonUser函數(shù)登錄系統(tǒng)。在返回幾個(gè)必要的參數(shù)后,Winlogon進(jìn)程調(diào)用WlxActivateUserShell函數(shù)激活用戶桌面,這樣用戶就可勝利登錄到Windows系統(tǒng)中進(jìn)行正常操作。在Windows運(yùn)用過程中,假如用戶有事須要離開現(xiàn)場而拔下uKey,則應(yīng)用系統(tǒng)獲得uKey斷開的消息,通過調(diào)用WlxSasNotify函數(shù)發(fā)送一個(gè)自定義的SAS事務(wù);隨后Winlogon進(jìn)程就調(diào)用WlxLoggedOnSAS函數(shù)進(jìn)行相應(yīng)的處理,通過發(fā)送返回值:WLX_SAS_ACTION_LOCK_WKSTA實(shí)現(xiàn)對(duì)Windows系統(tǒng)桌面的鎖定。系統(tǒng)鎖定后,假如用戶重新插入uKey時(shí),則系統(tǒng)通過調(diào)用WlxSasNotify函數(shù)發(fā)出一個(gè)自定義解除鎖定的SAS事務(wù);Winlogon進(jìn)程調(diào)用WlxWkstaLockedSAS函數(shù),在驗(yàn)證PIN正確后通過發(fā)送返回參數(shù):WLX_SAS_ACTION_UNLOCK_WKSTA即可對(duì)Windows系統(tǒng)桌面解鎖,允許用戶重新登錄。2)與uKey進(jìn)行交互如圖3所示,在辦公局域網(wǎng)中可以采納集中式的管理方案,集中配置一個(gè)身份驗(yàn)證服務(wù)器,客戶端全部登錄懇求都將被發(fā)送到驗(yàn)證服務(wù)器進(jìn)行驗(yàn)證。圖3身份驗(yàn)證的集中式管理方案運(yùn)用uKey進(jìn)行身份認(rèn)證與平安登錄主要包括以下步驟:1)初始化uKey當(dāng)新用戶提出登錄申請(qǐng)時(shí),管理員依據(jù)用戶需求生成數(shù)字證書,同時(shí)將數(shù)字證書和對(duì)應(yīng)的密鑰對(duì)寫入一個(gè)全新的uKey中,然后將此uKey發(fā)放給用戶。密鑰存儲(chǔ)在uKey中特殊的文件分區(qū)里,不能向外讀出,以保證其私密性,但可以運(yùn)用該私鑰進(jìn)行加密或簽名。用戶獲得自己的uKey后就可以登錄指定的機(jī)器。2)用戶注冊(cè)當(dāng)客戶端第一次運(yùn)用uKey進(jìn)行登錄時(shí),須要向身份認(rèn)證服務(wù)器進(jìn)行注冊(cè)??蛻舳俗x出uKey中的數(shù)字證書,同時(shí)在本地創(chuàng)建本地賬戶名(機(jī)器名+硬盤序列號(hào))和密碼,經(jīng)過私鑰加密后一起發(fā)送給身份驗(yàn)證服務(wù)器。服務(wù)器接收到后,驗(yàn)證證書的合法性,假如合法,就認(rèn)為此用戶是合法用戶,然后檢查身份信息數(shù)據(jù)庫。假如沒有此賬戶名,服務(wù)器則認(rèn)為這臺(tái)機(jī)器是第一次被登錄,須要進(jìn)行注冊(cè),就把此賬戶名和密碼加入身份信息數(shù)據(jù)庫,接著服務(wù)器向客戶端發(fā)回確認(rèn)信息,客戶端收到后則認(rèn)為注冊(cè)勝利。3)平安登錄用戶登錄客戶端時(shí),首先插入uKey并將用戶信息提交到身份驗(yàn)證服務(wù)器,服務(wù)器生成隨機(jī)數(shù)發(fā)回到客戶端;然后客戶端利用uKey對(duì)隨機(jī)數(shù)進(jìn)行簽名并發(fā)回服務(wù)器端;最終服務(wù)器利用對(duì)應(yīng)的用戶公鑰進(jìn)行驗(yàn)證,假如有效就認(rèn)為是合法用戶,否則拒絕登錄。詳細(xì)登錄驗(yàn)證流程如圖4所示。圖4基于uKey的平安登錄與身份認(rèn)證流程a.用戶登錄客戶端,開啟計(jì)算機(jī)。b.Winlogon進(jìn)程調(diào)用自定義的Ginamy.dll替換默認(rèn)的msgina.dll,實(shí)現(xiàn)自己的身份驗(yàn)證過程。c.Ginamy.dll通過調(diào)用uKey的API函數(shù)來檢測uKey是否插上,如未發(fā)覺uKey,則提示用戶插入uKey,并拒絕登錄。d.一旦檢測到uKey,則彈出自定義對(duì)話框,要求用戶輸入個(gè)人PIN碼,這一過程是對(duì)持卡人身份的確認(rèn)。e

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論