uKey登录方案
使用uKey进行身份认证与安全登录主要包括以下步骤:
1)初始化uKey
当新用户提出登录申请时,管理员根据用户需求生成数字证书,同时将数字证书和对应的密钥对写入一个全新的uKey中,然后将此uKey发放给用户。
2)用户注册
将用户的ukey序列号和登录帐号存入数据库。
3)安全登录
用户登录客户端时,首先插入uKey并将用户信息提交到身份验证服务器,服务器生成随机数发回到客户端;然后客户端利用uKey对随机数进行签名并发回服务器端;最后服务器利用对应的用户公钥进行验证,如果有效就认为是合法用户,否则拒绝登录。具体登录验证流程如图所示。
详细过程
A)用户插入uKey
B)打开指定的登录网站(需要安装一个浏览器的插件才能够使用uKey)
C)网站将会识别uKey是否已经插入,没有插入的话提示无法登录。
D)网站成功识别并检测到对应的uKey已经插入
E)用户输入用户名密码,点击登录
F)服务器返回一个随机数
G)提示用户需要输入pin码(pin码为uKey的密码,相当于用户身份的密码,只有uKey和Pin码同时在手里才能确定身份,大大提高了安全性,即使Pin码泄露,没有拿到uKey也无法登录,或者即使丢了uKey不知道Pin码同样不能登录)
H)客户端使用Pin码对服务器返回的随机数进行签名,签名过程会验证Pin码的正确性,Pin码错误将无法进行签名,也就无法登录,Pin码正确后将会使用加密锁内部的私钥对随机数进行签名。这一步骤的所有过程都是在加密锁内部执行的。
I)Pin码验证正确并成功签名后,将用户信息和签名后的数据传到服务器。
J)服务器收到用户数据后使用公钥对签名数据进行验证。
K)验证通过即为合法用户,允许用户登录,验证失败为不合法用户,可能是用户使用了其他用户的uKey。
