(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211063410.1 (22)申请日 2022.09.01 (71)申请人 深圳市证通电子股份有限公司 地址 518107 广东省深圳市光明区玉塘街 道田寮社区同观大道3号证通电子产 业园二期-101 申请人 深圳市证通云计算有限公司 　 长沙证通云计算有限公司 (72)发明人 尹旦　刘玲星　唐卓　刘晓　 (74)专利代理 机构 湖南仁翰律师事务所 4325 0 专利代理师 邹灿 (51)Int.Cl. H04L 9/32(2006.01) H04L 67/02(2022.01) H04L 67/10(2022.01) (54)发明名称 一种基于国密Ukey的云管理平台双因素身 份认证方法及系统 (57)摘要 本发明公开了一种基于国密Ukey的云管理 平台双因素身份认证方法及系统， 其包括U key根 据用户的身份信息向公共CA平台申请数字证书， 建立web客户端与云管理平台服务端之间的加密 网络传输通道； web客户端将在云管理平台登录 界面选择的U key对应的Ukey设备ID、 Ukey密码发 送给云管理平台服务端， web客户端与云管理平 台服务端之间进行基于国密SM2的Ukey身份认 证 校验操作； web客户端与云管理平台服务端之间 进行用户名、 密码校验。 本发明通过在云管理平 台身份认 证中增加基于国密U key的身份认证， 实 现Ukey和云管理平台的用户名的对应关系， 保证 在Ukey认证完成后自动进入云管理平台自身用 户名、 密码的认证阶段， 有效解决云管理平台单 一账号密码身份认证容易攻破的问题， 提高保密 等级。 权利要求书2页 说明书7页 附图2页 CN 115459925 A 2022.12.09 CN 115459925 A 1.一种基于国密Ukey的云管理平台双因素身份认证方法， 其特 征在于， 包括如下步骤： 步骤S110、 Ukey根据用户的身份信息向公共CA平台申请数字证书， 建立web客户端与云 管理平台服务端之间的加密网络传输通道； 其中， 用户的身份信息包括但不限于用户名、 用 户姓名和/或手机号， 数字证书包含有用户的身份信息、 Ukey的设备ID、 Ukey密码以及使用 SM2验签的公钥 信息； 步骤S120、 web客户端将Ukey对应的Ukey设备ID、 Ukey密码发送给云管理平台服务端， web客户端与云管理平台服 务端之间进行基于国密SM2的Ukey身份认证校验操作； 步骤S130、 web客户端与云管理平台服 务端之间进行用户名、 密码校验。 2.根据权利要求1所述的一种基于国密Ukey的云管理平台双因素身份认证方法， 其特 征在于， 所述 步骤S110的方法， 具体操作为： 步骤S111、 Ukey根据用户提供的身份信息向公共CA平台申请数字证书， web客户端加载 Ukey中的数字证书， 建立基于SM4的web客户端与密码服 务平台之间的VPN加密 传输通道； 步骤S112、 建立web客户端与云管理平台之间的VPN加密传输通道； 其中， 所述密码服务 平台与云管理平台处于同一网络区域。 3.根据权利要求2所述的一种基于国密Ukey的云管理平台双因素身份认证方法， 其特 征在于， 所述 步骤S111之前， 还 包括 步骤S113、 在云管理平台的用户体系中创建用户的用户名及用户名对应的密码。 4.根据权利要求2所述的一种基于国密Ukey的云管理平台双因素身份认证方法， 其特 征在于， 所述 步骤S111中web客户端加载Ukey中的数字证书的方法， 具体操作为： 在web客户端安装插件， 在web客户端通过USB接口插上Ukey后， web客户端通过该插件 加载并读取Ukey里保存的数字证书。 5.根据权利要求1或2所述的一种基于国密Ukey的云管理平台双因素身份认证方法， 其 特征在于， 所述 步骤S120的方法， 具体操作包括： 步骤S121、 web客户端将用户在云管理平台前端登录界面选择的Ukey对应 的Ukey设备 ID、 Ukey密码发送给云管理平台服 务端， web客户端向云管理平台服 务端申请随机数R； 步骤S122、 云管理平台服 务端产生随机数R， 并将随机数R返回给web客户端； 步骤S123、 web客户端对接收到的随机数R调用Ukey保存的SM2私钥进行签名， 得到签名 值Svalue； 步骤S124、 web客户端向Ukey获取 数字证书内容； 步骤S125、 Ukey 返回数字证书内容到web客户端； 步骤S126、 web客户端提交随机数R、 签名值Svalue、 数字证书内容到云管理平台服务端 进行验签， 验证随机数R、 签名值Svalue、 数字证书内容是否成功； 若是， 则转入执行步骤 S127， 若否， 则转入 执行步骤S129； 具体地， 云管 理平台服务端调用密码服务平台接口对web 客户端提交的随机数R、 签名值Svalue、 数字证书内容进行验签处 理； 步骤S127、 云管理平台服务端验证随机数R、 签名值Svalue、 数字证书内容成功后， 生成 系统凭证， 并将系统凭证返回给web客户端； 云管理平台服务端在收到密码服务平台返回的 验签成功消息后， 给用户生成系统凭证， 并将系统凭证返回给web客户端； 步骤S128、 web客户端 使用系统凭证访问云管理平台服 务端， Ukey身份认证成功； 步骤S129、 云管理平台服务端验证随机数R、 签名值Svalue、 数字证书内容不成功， Ukey权　利　要　求　书 1/2 页 2 CN 115459925 A 2身份认证失败。 6.根据权利要求1或2所述的一种基于国密Ukey的云管理平台双因素身份认证方法， 其 特征在于： 所述 步骤S130的方法， 具体操作包括： 步骤S131、 web客户端获取Ukey中的一个数字证书对应的用户名字段； 步骤S132、 用户输入用户名字段对应的密码； 步骤S133、 用户名、 密码通过VPN加密传输通道传输到云管理平台服务端进行校验， 获 取校验结果。 7.根据权利要求6所述的一种基于国密Ukey的云管理平台双因素身份认证方法， 其特 征在于， 所述 步骤S131之前， 还 包括 步骤S131 ‑1、 在云管理平台的用户体系中查找Ukey中其 中一个数字证书对应的用户名 字段是否存在； 若 是， 则转入 执行步骤S131， 若否， 则直接获取校验失败的校验结果， 返回至 云管理平台前端登录界面。 8.根据权利要求1或2所述的一种基于国密Ukey的云管理平台双因素身份认证方法， 其 特征在于： 所述 web客户端为浏览器。 9.根据权利要求1或2所述的一种基于国密Ukey的云管理平台双因素身份认证方法， 其 特征在于， 所述密码服 务平台为国产密码机管理服 务平台。 10.一种基于国密Ukey的云管理平台双因素身份认证系统， 其特 征在于： 包括 加密传输通道建立模块， 用于Ukey根据用户的身份信息向公共CA平台申请数字证书， 建立web客户端与云管理平台服务端之间的加密网络传输通道； 其中， 用户的身份信息包括 但不限于用户名、 用户姓名和/或手机号， 数字证书包含有用户的身份信息、 Ukey的设备ID、 Ukey密码以及使用SM2验签的公钥 信息； Ukey身份认证模块， 用于web客户端将Ukey对应的Ukey设备ID、 Ukey密码发送给云管理 平台服务端， web客户端与云管 理平台服务端之间进 行基于国密S M2的Ukey身份认证校验操 作； 用户名密码校验模块， 用于web客户端与云管理平台服务端之间进行用户名、 密码校 验。权　利　要　求　书 2/2 页 3 CN 115459925 A 3