一种基于PKI体系的扫码认证方法及系统技术方案

本发明专利技术公开了一种基于PKI体系的扫码认证方法及系统，包括登录终端、赋码模块、认证模块和扫码终端；具体的：生成随机字符串Nonce，通过系统私钥SPRIK对Nonce进行签名后，将签名信息NSign和Nonce生成二维码图片并与签名一并发送；调用目标系统的公钥SPUBK对签名验签，以Nonce为标识发起通信监听，验签通过后显示二维码图片；扫描二维码读取信息内容并解码，通过用户私钥对NSign再签名，生成新签名信息NSSign，并将用户UID、Nonce和NSSign打包发送；解码出用户UID、Nonce和NSSign，并通过用户UID找到对应的用户公钥UPUBK，对NSSign进行验签，验签成功后，向Nonce对应的通信监听终端发送验证成功的Token；S5.将Token存储并跳转至目标系统；实现了终端与远端双向互认、用户身份高效认证以及认证结果实时推送。高效认证以及认证结果实时推送。高效认证以及认证结果实时推送。

【技术实现步骤摘要】
一种基于PKI体系的扫码认证方法及系统


[0001]本专利技术涉及认证安全
，更具体的说是涉及一种基于PKI体系的扫码认证方法及系统。

技术介绍

[0002]目前，随着技术的发展，人们使用的各种信息系统也越来越多，用户往往需要记住大量的密码，并且出于对系统安全的考虑，各系统均要求用户所设的系统密码达到一定的复杂度，这更加剧了用户密码记忆的难度。
[0003]因此，后来出现扫码认证身份的功能，但是，现有扫码认证身份方法涉及一下问题：
[0004]（1）生成二维码的容易被伪造，无法识别其来自于可信系统的问题；
[0005]（2）用户身份验证时，通过本地身份+二维码数据上传到认证中心进行认证时，无法识别是否可信终端问题；
[0006]（3）在进行身份比对时，需要再次在数据库中进行数据对比，从而在高并发情况下对数据库造成巨大压力。
[0007]因此，如何提供一种基于PKI体系的扫码认证方法及系统是本领域技术人员亟需解决的问题。

技术实现思路

[0008]有鉴于此，本专利技术提供了一种基于PKI体系的扫码认证方法及系统，实现双向系统可信验证、快速高效身份认证，规避了二维码被伪造、认证系统被劫持、认证过程对后端造成压力等问题。
[0009]为了实现上述目的，本专利技术采用如下技术方案：
[0010]一种基于PKI体系的扫码认证方法，包括以下步骤：
[0011]S1.生成随机字符串Nonce，通过系统私钥SPRIK对Nonce进行签名后，将签名信息NSign和Nonce生成二维码图片，并将二维码图片与签名一并发送；
[0012]S2.调用目标系统的公钥SPUBK对签名进行验签，以Nonce为标识发起通信监听，在验签通过后，显示二维码图片；
[0013]S3.扫描二维码，读取二维码的信息内容，并将信息内容解码为Nonce和NSign，并通过用户私钥对NSign进行再签名，生成新签名信息NSSign，并将用户UID、Nonce和NSSign打包发送报文；
[0014]S4.收到报文后，解码出用户UID、Nonce和NSSign，并通过用户UID找到对应的用户公钥UPUBK，通过用户公钥UPUBK对NSSign进行验签，验签成功后，向Nonce对应的通信监听终端发送验证成功后的Token；
[0015]S5.将Token存储并跳转至目标系统。
[0016]优选的，步骤S1前还包括基于PKI体系签发系统公私密钥对，并将系统公钥予以公
开并存储；基于PKI生成用户公私密钥对，并将用户公钥予以公开并上传，将用户公钥与用户UID进行绑定。
[0017]优选的，S1中随机生成字符串的方法为基于计算机时钟调用随机生成函数random从base64的字符集中生成不低于8位的指定长度的随机字符串Nonce。
[0018]优选的，S1还包括将Nonce与签名的对应关系存储于系统缓存中，并设置有效时间，过期自动清除并失效。
[0019]优选的，S3中验签通过时，为拟登录目标系统，否则为伪造系统。
[0020]优选的，S4中解码方法为对接收到的认证报文进行解包分解出报文头和报文体，调用解密工具decrypt进行解密，调用sign进行签名验证。
[0021]一种基于KPI体系的扫码认证系统，包括登录终端、身份认证子系统和扫码终端；身份认证子系统包括赋码模块和认证模块；
[0022]登录终端与赋码模块双向连接，扫码终端与认证模块连接，认证模块与登录终端连接；
[0023]登录终端，用于生成随机字符串Nonce并发送至赋码模块，还用于接收二维码图片与签名，调用目标系统的公钥SPUBK对签名进行验签，并以Nonce为标识与认证模块发起通信监听，在验签通过后，显示二维码图片，还用于将Token存储并跳转至目标系统；
[0024]赋码模块，用于通过系统私钥SPRIK对Nonce进行签名后，将签名信息NSign+Nonce生成二维码图片，并将二维码图片与签名一并发送至登录终端；
[0025]扫码终端，用于扫描二维码，读取二维码的信息内容，并将信息内容解码为Nonce和NSign，并通过用户私钥对NSign进行再签名，生成新签名信息NSSign，并将用户UID、Nonce和NSSign打包发送报文至认证模块；
[0026]认证模块，用于接收报文，解码出用户UID、Nonce和NSSign，并通过用户UID找到对应的用户公钥UPUBK，通过用户公钥UPUBK对NSSign进行验签，验签成功后，向Nonce对应的通信监听终端登录终端发送验证成功后的Token。
[0027]优选的，所述的一种基于KPI体系的扫码认证系统，还包括PKI签发模块，用于签发系统公私密钥对，并将系统公钥予以公开并存储至登录终端，系统私钥存储至赋码模块；还用于生成用户公私密钥对，并将用户公钥予以公开并上传至认证模块，用户私钥存储于扫码终端。
[0028]优选的，认证模块还用于将用户公钥与用户UID进行绑定。
[0029]经由上述的技术方案可知，与现有技术相比，本专利技术公开提供了一种基于PKI体系的扫码认证方法及系统，有以下有益效果：
[0030]1、双向互认：通过远程赋码使生成的码信息具备可验证性，从而形成一种服务端与终端之间双向互认机制，规避了凭证伪造等问题；
[0031]2、高效认证：认证模块收到信息后，直接解包、解码、认证，无须与数据库进行交互，认证通过后，才会从数据库中进行用户角色、权限、应用等上下文信息的提取与处理，避免了每次身份认证都必须进行数据库比对的问题；
[0032]3、主动推送认证结果：改变传统定时轮询的方法，给服务器造成较大的请求压力的问题，采用单连接实时监听机制，认证结果实时推送至登录终端；
[0033]本专利技术实现了终端与远端业务系统的双向互认、用户身份的高效认证以及认证结
果的实时推送，有助于提升系统的可靠性、可信性、安全性，同时提高认证效率，降低算力消耗，减少对数据库的认证请求。
附图说明
[0034]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
[0035]图1附图为本专利技术提供的基于PKI体系的扫码认证方法流程示意图。
具体实施方式
[0036]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0037]本专利技术实施例公开了一种基于PKI体系的扫码认证方法，包括以下步骤：
[00本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于PKI体系的扫码认证方法，其特征在于，包括以下步骤：S1.生成随机字符串Nonce，通过系统私钥SPRIK对Nonce进行签名后，将签名信息NSign和Nonce生成二维码图片，并将二维码图片与签名一并发送；S2.调用目标系统的公钥SPUBK对签名进行验签，以Nonce为标识发起通信监听，在验签通过后，显示二维码图片；S3.扫描二维码，读取二维码的信息内容，并将信息内容解码为Nonce和NSign，并通过用户私钥对NSign进行再签名，生成新签名信息NSSign，并将用户UID、Nonce和NSSign打包发送报文；S4.收到报文后，解码出用户UID、Nonce和NSSign，并通过用户UID找到对应的用户公钥UPUBK，通过用户公钥UPUBK对NSSign进行验签，验签成功后，向Nonce对应的通信监听终端发送验证成功后的Token；S5.将Token存储并跳转至目标系统。2.根据权利要求1所述的一种基于PKI体系的扫码认证方法，其特征在于，步骤S1前还包括基于PKI体系签发系统公私密钥对，并将系统公钥予以公开并存储；基于PKI生成用户公私密钥对，并将用户公钥予以公开并上传，将用户公钥与用户UID进行绑定。3.根据权利要求1所述的一种基于PKI体系的扫码认证方法，其特征在于，S1中随机生成字符串的方法为基于计算机时钟调用随机生成函数random从base64的字符集中生成不低于8位的指定长度的随机字符串Nonce。4.根据权利要求1所述的一种基于PKI体系的扫码认证方法，其特征在于，S1还包括将Nonce与签名的对应关系存储于系统缓存中，并设置有效时间，过期自动清除并失效。5.根据权利要求1所述的一种基于PKI体系的扫码认证方法，其特征在于，S3中验签通过时，为拟登录目标系统，否则为伪造系统。6.根据权利要求1所述的一种基于PKI体系的扫码认证方法，其特征在于，S4中解码方法为对接收到的认证报文进行解...

【专利技术属性】
技术研发人员：戴鹏飞，周春姐，
申请(专利权)人：烟台云朵软件有限公司，
类型：发明
国别省市：