[发明专利]一种可扩展性的企业用户身份认证系统

说明书

本发明涉及企业用户身份认证技术领域，且公开了一种可扩展性的企业用户身份认证系统，包括：运行有企业用户身份认证系统服务端软件的云认证服务器CASeuias，运行有企业用户身份认证系统用户端软件且用于企业用户EUi登录访问到企业应用服务器EASj的计算机终端PCTi，该计算机终端PCTi与云认证服务器CASeuias进行通信；当计算机终端PCTi上的企业用户EUi向企业应用服务器EASj发送登录访问请求时，运行在云认证服务器CASeuias上的企业用户身份认证系统服务端对计算机终端PCTi上的企业用户EUi的身份进行认证，并且该身份认证协议是零知识性的。本发明解决了目前采用USB身份令牌辅助登录企业信息管理系统的方案，只能专用于单个系统，可扩展性差的技术问题。

技术领域

本发明涉及企业用户身份认证技术领域，具体为一种可扩展性的企业用户身份认证系统。

背景技术

企业信息管理系统泛指用于企业的各种信息系统，诸如管理信息系统或决策支持系统、专家系统、各种泛ERP系统，以及类似于客户关系管理、人力资源管理这样的专职化系统。传统的企业信息系统都是采用用户输入“用户名+口令”的方式进行登录。这种登录方式容易遭受暴力破解、撞库等攻击，一日用户名和口令泄露，会导致系统中重要信息泄密，对企业的经营造成严重伤害。

为解决上述问题，学术界和工业界提出了多种解决方案，其中最典型的方案采用USB身份令牌辅助登录过程，提升安全性，通过USB身份令牌内部存储的密钥进行密码学运算确认用户身份。但是此方法只能专用于单个系统，可扩展性不好。

发明内容

(一)解决的技术问题

针对现有技术的不足，本发明提供，以解决目前采用USB身份令牌辅助登录企业信息管理系统的方案，只能专用于单个系统，可扩展性差的技术问题。

(二)技术方案

为实现上述目的，本发明提供如下技术方案：

一种可扩展性的企业用户身份认证系统，包括：运行有企业用户身份认证系统服务端软件的云认证服务器CASeuias，运行有企业用户身份认证系统用户端软件且用于企业用户EUi登录访问到企业应用服务器EASj的计算机终端PCTi，该计算机终端PCTi与云认证服务器CASeuias进行通信；

所述企业用户身份认证系统服务端对计算机终端PCTi上的企业用户EUi的身份认证方法如下：

步骤一，企业用户EUi通过计算机终端PCTi上的企业用户身份认证系统用户端在企业用户身份认证系统服务端上进行用户注册，具体如下：

Step1，企业用户身份认证系统服务端进行下述初始化操作：

设E为有限域F_q上的椭圆曲线；

企业用户身份认证系统将有限域F_q上的椭圆曲线E向计算机终端PCTi上的企业用户EUi公开；

Step2，计算机终端PCTi上的企业用户EUi选择椭圆曲线E上的一个基点r，并且选择密钥x，计算公钥y＝xr，并且使y∈E；

之后，计算机终端PCTi上的企业用户EUi将基点r和公钥y向企业用户身份认证系统公开；

步骤二，当计算机终端PCTi上的企业用户EUi向企业应用服务器EASj发送登录访问请求时，运行在云认证服务器CASeuias上的企业用户身份认证系统服务端对计算机终端PCTi的企业用户EUi的身份进行认证，具体如下：

Step1，计算机终端PCTi上的企业用户EUi随机选择一整数u(uq)，计算y₁＝ur，y₂＝(x-u)r，并将y₁和y₂发送给企业用户身份认证系统；