发明内容
本发明的目的旨在至少解决所述技术缺陷之一。
为此,本发明的目的在于提出一种用户和用户终端设备的关联认证方法。该方法可提升用户身份以及终端设备身份认证的可靠性和安全性,并可同时对用户身份和终端设备进行关联认证。
本发明的另一目的在于提出一种用户和用户终端设备的关联认证系统。
为达到所述目的,本发明的实施例提供了一种用户和用户终端设备的关联认证方法,包括以下步骤:根据从CA获取的用户数字证书对用户的身份进行验证;在对所述用户的身份验证通过后,为所述用户生成终端设备动态授权码;使用所述终端设备动态授权码在需要关联认证为用户可信的终端设备中进行授权码验证;在对所述终端设备动态授权码验证通过后,所述终端设备发送数字证书申请信息为所述终端设备申请终端设备数字证书,根据所述申请信息,为所述终端设备签发所述终端设备数字证书,其中,所述终端设备的数字证书申请信息包括所述用户数字证书的特征码和所述终端设备的认证信息。
另外,根据本发明上述实施例的用户和用户终端设备的关联认证方法还可以具有如下附加的技术特征:
在一些示例中,所述在对所述终端设备动态授权码验证通过后,所述终端设备发送数字证书申请信息为所述终端设备申请终端设备数字证书,根据所述申请信息,为所述终端设备签发所述终端设备数字证书,进一步包括:从所述用户数字证书中提取所述特征码;获取所述终端设备的认证信息;根据所述特征码和所述认证信息生成在终端设备数字证书申请信息;根据所述终端设备数字证书申请信息为所述终端设备生成所述终端设备数字证书。
在一些示例中,从所述用户数字证书中提取的所述特征码包括:所述用户数字证书的HASH值、所述用户数字证书的指纹信息、所述用户数字证书的证书主题、所述用户数字证书的颁发机构证书主题、所述用户数字证书的证书序列号的一种或多种。
在一些示例中,所述终端设备的认证信息包括:硬件序列号、设备名称、蓝牙Mac地址、WIFI Mac地址、IMEI、设备型号、CPU编号、主板序列号、硬盘序列号、内存条序列号、图形卡/显示器序列号和电池序列号的一个或者多个的组合。
在一些示例中,所述终端设备包括:智能手机、平板电脑、笔记本电脑和普通PC机。
本发明第二方面的实施例提供了一种用户和用户终端设备的关联认证系统,包括:终端设备、终端管理系统和CA数字认证系统,其中,所述终端设备,用于向所述终端管理系统发送用户的身份认证请求,并根据终端设备动态授权码向所述终端管理系统发送终端设备认证信息;所述终端管理系统,用于根据用户数字证书对用户的身份进行验证,并在对所述用户的身份验证通过后,为所述用户生成终端设备动态授权码并将所述终端设备动态授权码发送给所述用户,以及对用户提交的所述终端设备动态授权码进行验证,在对所述终端设备授权码验证通过后,向CA数字认证系统提交终端设备数字证书申请信息;所述CA数字认证系统,用于根据终端设备数字证书申请信息为所述终端设备签发终端设备数字证书,其中,所述终端设备的数字证书申请信息包括所述用户数字证书的特征码和所述终端设备的认证信息。
另外,根据本发明上述实施例的用户和用户终端设备的关联认证系统还可以具有如下附加的技术特征:
在一些示例中,所述终端管理系统进一步用于:从所述用户数字证书中提取所述特征码;获取所述终端设备的认证信息;根据所述特征码和所述认证信息生成在终端设备数字证书申请信息;所述CA数字认证系统用于:根据所述终端设备数字证书申请信息为所述终端设备生成所述终端设备数字证书。
在一些示例中,从所述用户数字证书中提取的所述特征码包括:所述用户数字证书的HASH值、所述用户数字证书的指纹信息、所述用户数字证书的证书主题、所述用户数字证书的颁发机构证书主题、所述用户数字证书的证书序列号的一种或多种。
在一些示例中,所述终端设备的认证信息包括:硬件序列号、设备名称、蓝牙Mac地址、WIFI Mac地址、IMEI、设备型号、CPU编号、主板序列号、硬盘序列号、内存条序列号、图形卡/显示器序列号和电池序列号的一个或者多个的组合。
在一些示例中,所述终端设备包括:智能手机、平板电脑、笔记本电脑和普通PC机。
根据本发明的实施例,实现以用户主身份标识为认证源,通过用户主身份标识将多台终端设备关联认证为用户的可信终端设备,即以用户身份认证标识作为多设备认证的认证源,去关联认证、授权可信的终端设备,实现用户的多终端设备认证通过统一的用户身份关联起来,从而保证认证源的真实可信和关联认证的安全可靠,为用户营造一个安全可信的跨终端跨平台的网络应用环境。
本发明的实施例中用户的主体身份认证标识是信任认证的源头,采用PKI/CA技术为用户主体身份签发用户数字证书,对于数字证书及其公私钥的安全性,可以采用高安全级别的智能卡、IC卡等加密存储载体存储用户数字证书及其公私钥,以此作为用户主身份的认证标识,以保证统一身份多终端设备认证源的安全可信。
本发明的实施例中一个用户主身份可认证多台终端设备为该用户信任的终端设备,用户在申请终端设备认证前需先对其主身份进行验证,即通过用户主身份数字证书签名验证成功后,才能进行终端设备认证。既保证了终端设备认证前的用户主身份认证安全,也证明了用户对终端设备认证的自主意愿。用户主身份数字证书认证通过后生成终端设备授权码,终端设备中通过此授权码校验才能获取终端设备数字证书。
本发明的实施例中为用户终端设备签发的终端设备数字证书中需包括用户主身份数字证书的特征码,特征码可以是用户主身份数字证书的HASH值、指纹信息、用户数字证书的证书主题、用户数字证书的颁发机构证书主题、用户数字证书的证书序列号的一种或多种,当然还可包括其它特征信息,以实现终端设备数字证书与用户主身份数字证书的从属认证关联关系,并且此认证关联关系是自终端设备数字证书签发时起不可更改、不可篡改的,从而保证此认证关联关系的安全可信。当用户拥有PC机、笔记本电脑、智能手机和平板电脑等多台终端设备时,采用本发明的实施例,只需对用户主体身份认证一次,便可实现自主授权终端的信任标识,既保障了用户身份认证的安全,又保障了终端设备信任认证的可靠,大大提高了流程的便捷性,优化了用户的体验。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
在本发明的描述中,需要理解的是,术语“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
在本发明的描述中,需要说明的是,除非另有规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是机械连接或电连接,也可以是两个元件内部的连通,可以是直接相连,也可以通过中间媒介间接相连,对于本领域的普通技术人员而言,可以根据具体情况理解所述术语的具体含义。
在一些描述中,终端设备包括但不限于:智能手机、平板电脑、笔记本电脑和普通PC机等多种终端设备。
以下结合附图描述根据本发明实施例的用户和用户终端设备的关联认证方法及系统。
图1是根据本发明一个实施例的用户和用户终端设备的关联认证方法的流程图。如图1所示,根据本发明一个实施例的用户和用户终端设备的关联认证方法,包括如下步骤:
步骤S101:根据从CA获取的用户数字证书对用户的身份进行验证。即:用户使用自己的主身份数字证书(即由具有社会公信的CA认证机构为用户签发的数字证书)进行签名认证。
具体地说,在本发明的一个实施例中,用户的主体身份认证标识是信任认证的源头,采用PKI/CA技术为用户主体身份签发用户数字证书,对于数字证书及其公私钥的安全性,可以采用高安全级别的智能卡、IC卡等加密存储载体存储用户数字证书及其公私钥,以此作为用户主身份的认证标识,以保证统一身份多个终端设备认证源的安全可信,认证源即使用上述多个终端设备的用户的数字证书。这样,可以保证用户数字证书的安全可信。
步骤S102:在对所述用户的身份验证通过后,为所述用户生成终端设备动态授权码。
例如:随机产生的由多位数字组成的终端设备动态授权码。为了进一步提高安全性,终端设备动态授权码仅在几分钟内有效,且每次动态随机产生的终端设备动态授权码均不同。
步骤S103:使用所述终端设备动态授权码在需要关联认证为用户可信的终端设备中进行授权码验证。具体地说,当为用户生成终端设备动态授权码之后,用户可在需要信任认证的终端设备中输入上述的终端设备动态授权码进行授权码验证。
步骤S104:在对所述终端设备动态授权码验证通过后,所述终端设备发送数字证书申请信息为所述终端设备申请终端设备数字证书,根据所述申请信息,为终端设备签发所述终端设备数字证书,其中,终端设备的数字证书申请信息包括所述用户数字证书的特征码和所述终端设备的认证信息,这样,在为终端设备签发的终端设备数字证书中包括了用户数字证书的特征码和终端设备的认证信息,从而能够实现对用户和用户终端设备的关联认证。
作为一个具体的示例,如图2所示,在对所述终端设备动态授权码验证通过后,所述终端设备发送数字证书申请信息为所述终端设备申请终端设备数字证书,根据所述申请信息,为所述终端设备签发所述终端设备数字证书,进一步包括:
步骤S1041:从所述用户数字证书中提取所述特征码。即:提取用户主身份数字证书的特征值进行编码。
在该示例中,从所述用户数字证书中提取的所述特征码包括但不限于:所述用户数字证书的HASH值、所述用户数字证书的指纹信息、所述用户数字证书的证书主题、所述用户数字证书的颁发机构证书主题、所述用户数字证书的证书序列号的一种或多种。当然,还可包括用户数字证书中其它特征信息。
步骤S1042:获取所述终端设备的认证信息。
步骤S1043:根据所述特征码和所述认证信息生成在终端设备数字证书申请信息。
其中,步骤S1042和步骤S1043可以理解为:将用户主身份数字证书的特征码和终端设备认证信息组合形成终端设备数字证书申请信息发送给数字认证系统。
步骤S1044:根据所述终端设备数字证书申请信息为所述终端设备生成所述终端设备数字证书。即:CA数字认证系统根据终端设备数字证书申请信息签发用户终端设备数字证书。
在本发明的一个实施例中,终端设备的认证信息包括但不限于以下信息的一种或者多种的组合:
硬件序列号;
设备名称;
蓝牙Mac地址;
WIFI Mac地址;
IMEI;
设备型号;
CPU编号;
主板序列号;
硬盘序列号;
内存条序列号;
图形卡/显示器序列号和电池序列号。
通过上述步骤S101至S104,实现了以用户主身份标识为认证源,最终为用户终端设备签发终端设备数字证书,用来作为所述终端设备的可信认证标识。
根据本发明实施例的用户和用户终端设备的关联认证方法,实现以用户主身份标识为认证源,通过用户主身份标识将多台终端设备关联认证为用户的可信终端设备,即以用户身份认证标识作为多设备认证的认证源,去关联认证、授权可信的终端设备,实现用户的多终端设备认证通过统一的用户身份关联起来,从而保证认证源的真实可信和关联认证的安全可靠,为用户营造一个安全可信的跨终端跨平台的网络应用环境。
具体地说,本发明实施例中用户的主体身份认证标识是信任认证的源头,采用PKI/CA技术为用户主体身份签发用户数字证书,对于数字证书及其公私钥的安全性,可以采用高安全级别的智能卡、IC卡等加密存储载体存储用户数字证书及其公私钥,以此作为用户主身份的认证标识,以保证统一身份多终端设备认证源的安全可信。
本发明实施例中一个用户主身份可认证多台终端设备为该用户信任的终端设备,用户在申请终端设备认证前需先对其主身份进行验证,即通过用户主身份数字证书签名验证成功后,才能进行终端设备认证。既保证了终端设备认证前的用户主身份认证安全,也证明了用户对终端设备认证的自主意愿。用户主身份数字证书认证通过后生成终端设备授权码,终端设备中通过此授权码校验才能获取终端设备数字证书。
本发明的实施例中为用户终端设备签发的终端设备数字证书中需包括用户主身份数字证书的特征码,特征码可以是用户主身份数字证书的HASH值、指纹信息、用户数字证书的证书主题、用户数字证书的颁发机构证书主题、用户数字证书的证书序列号的一种或多种,或其他特征信息,以实现终端设备数字证书与用户主身份数字证书的从属认证关联关系,并且此认证关联关系是自终端设备数字证书签发时起不可更改、不可篡改的,从而保证此认证关联关系的安全可信。当用户拥有PC机、笔记本电脑、智能手机和平板电脑等多台终端设备时,采用本发明实施例的认证方法,只需对用户主体身份认证一次,便可实现自主授权终端的信任标识,既保障了用户身份认证的安全,又保障了终端设备信任认证的可靠,大大提高了流程的便捷性,优化了用户的体验。
图3是根据本发明一个实施例的用户和用户终端设备的关联认证系统的结构框图。如图3所示,根据本发明一个实施例的用户和用户终端设备的关联认证系统300,包括:终端设备310、终端管理系统320和CA数字认证系统330。
其中,终端设备310用于向终端管理系统320发送用户的身份认证请求,并根据终端设备动态授权码向所述终端管理系统320发送终端设备认证信息。
终端管理系统320用于根据用户数字证书对用户的身份进行验证,并在对所述用户的身份验证通过后,为所述用户生成终端设备动态授权码并将所述终端设备动态授权码发送给所述用户,以及对用户提交的所述终端设备动态授权码进行验证,在对所述终端设备授权码验证通过后,向CA数字认证系统330提交终端设备数字证书申请信息。CA数字认证系统330用于根据终端设备数字证书申请信息为所述终端设备签发终端设备数字证书,其中,所述终端设备的数字证书申请信息包括所述用户数字证书的特征码和所述终端设备的认证信息,这样,在为终端设备签发的终端设备数字证书中包括了用户数字证书的特征码和终端设备的认证信息,从而能够实现对用户和用户终端设备的关联认证。
具体地说,终端管理系统320进一步用于:从所述用户数字证书中提取所述特征码;获取所述终端设备的认证信息;根据所述特征码和所述认证信息生成在终端设备数字证书申请信息;CA数字认证系统330用于:根据所述终端设备数字证书申请信息为所述终端设备生成所述终端设备数字证书。
在本发明的一个实施例中,从所述用户数字证书中提取的所述特征码包括:所述用户数字证书的HASH值和/或所述用户数字证书的指纹信息、所述用户数字证书的证书主题、所述用户数字证书的颁发机构证书主题、所述用户数字证书的证书序列号的一种或多种。当然,还可包括用户数字证书中其它特征信息。
在本发明的一个实施例中,终端设备310的认证信息包括但不限于以下信息的一种或者多种的组合:
硬件序列号;
设备名称;
蓝牙Mac地址;
WIFI Mac地址;
IMEI;
设备型号;
CPU编号;
主板序列号;
硬盘序列号;
内存条序列号;
图形卡/显示器序列号和电池序列号。
根据本发明实施例的用户和用户终端设备的关联认证系统,实现以用户主身份标识为认证源,关联认证多台终端设备为用户的可信终端设备,从而提升用户身份以及终端设备身份认证的可靠性和安全性。并且本发明实施例的认证系统,只需对用户主体身份认证一次,便可实现自主授权终端的信任标识,既保障了用户身份认证的安全,又保障了终端设备信任认证的可靠,大大提高了流程的便捷性,优化了用户的体验。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对所述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同限定。