CN104767616A - 一种信息处理方法、系统及相关设备 - Google Patents
一种信息处理方法、系统及相关设备 Download PDFInfo
- Publication number
- CN104767616A CN104767616A CN201510100613.7A CN201510100613A CN104767616A CN 104767616 A CN104767616 A CN 104767616A CN 201510100613 A CN201510100613 A CN 201510100613A CN 104767616 A CN104767616 A CN 104767616A
- Authority
- CN
- China
- Prior art keywords
- information
- authentication information
- authentication
- identification
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种信息处理方法、系统及相关设备,用以提高身份相关信息处理的安全性和通用性。系统包括:信息处理设备,用于接收用户输入的第一认证信息;利用存储的第一密钥对种子信息进行处理得到第二认证信息,所述种子信息至少包括所述第一认证信息;生成所述用户对应的身份识别信息,所述身份识别信息中包括所述第二认证信息;终端设备,用于向所述信息处理设备获取所述身份识别信息;根据所述身份识别信息向信息处理服务器发送身份识别请求;所述信息处理服务器,用于根据接收到的身份识别请求获得所述第二认证信息;根据获得的第二认证信息识别所述用户。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种信息处理方法、系统及相关设备。
背景技术
随着互联网技术尤其是移动互联网技术的飞速发展,通过互联网提供的互联网应用越来越多。用户在访问这些互联网应用时,如访问电子邮件、访问即时通信应用、访问网站等,为了保证用户访问的安全性,各互联网应用的提供方通常需要在用户登录时对用户身份进行认证。
当前,最常见的身份认证方法为通过用户注册时提供的用户名和密码,用户名和密码通常由大小写字母、数字和可输入的符号组成,若输入的用户名和密码匹配即可通过认证。在对安全性要求更高的互联网应用中,如电子银行、在线支付应用等,通常还会使用其他辅助的身份认证手段,常见的有手机认证码、RSA SecurID双因素认证令牌和智能卡等。
上述各种身份认证方法中,通过用户名和密码是最常用的身份认证方法,但是由于用户名和密码长度都有一定的限制,密码设置太短、太简单的话,容易被破解,太长太复杂又不便于记忆。而且,用户名和密码在通过键盘输入时,容易被终端设备中的恶意代码窃取,从而降低了身份认证的安全性。
如果手机认证码作为辅助的身份认证手段,由于智能手机很容易被植入恶意代码,其可以拦截网络侧下发的手机认证码,从而也无法保证身份认证的安全性。而智能卡由于硬件限制,难以普及且通用性不强。至于RSA SecurID双因素认证令牌,其广泛应用于世界各地的重要信息系统中,但由于其是采用6位数字进行认证,只适合作为认证码使用,而不能作为认证身份的用户名和主要密码。且该方法只能在独立的信息系统中使用,无法通用,用户通常需要持有多个不同的SecurID令牌。
由此可见,如何在需要进行身份认证的应用场景中,提高对用户身份相关信息处理的安全性和通用性成为现有技术中亟待解决的技术问题之一。
发明内容
本发明实施例提供一种信息处理方法、系统及相关设备,用以提高身份相关信息处理的安全性和通用性。
本发明实施例提供一种信息处理系统,包括:
信息处理设备,用于接收用户输入的第一认证信息;利用存储的第一密钥对种子信息进行处理得到第二认证信息,所述种子信息至少包括所述第一认证信息;生成所述用户对应的身份识别信息,所述身份识别信息中包括所述第二认证信息;
终端设备,用于向所述信息处理设备获取所述身份识别信息;根据所述身份识别信息向信息处理服务器发送身份识别请求;
所述信息处理服务器,用于根据接收到的身份识别请求获得所述第二认证信息;根据获得的第二认证信息识别所述用户。
所述终端设备,具体用于从获取的身份识别信息中提取所述第二认证信息,将所述第二认证信息携带在所述身份识别请求中发送给所述信息处理服务器;
所述信息处理服务器,具体用于在接收到所述身份识别请求后,从所述身份识别请求中获取所述第二认证信息。
所述终端设备,具体用于将获取的身份识别信息携带在所述身份识别请求中发送给所述信息处理服务器;
所述信息处理服务器,具体用于在接收到所述身份识别请求后,从所述身份识别请求携带的身份识别信息中提取所述第二认证信息。
所述信息处理设备,具体用于利用存储的第一密钥对第一认证信息进行加密、签名或者哈希运算得到所述第二认证信息。
所述第一认证信息为所述用户通过以下任一方式输入的:物理键盘输入方式、滚轮输入方式、触摸屏输入方式、扫描图形码输入方式、频闪通信输入方式、语音识别输入方式、摄像头识别输入方式、无线通信输入方式、红外扫描输入方式、激光扫描输入方式或者图形码数据采集输入方式。
身份识别信息为图形码;以及
所述信息处理设备,还用于在生成所述图形码后,显示所述图形码;
所述终端设备,具体用于通过扫描所述信息处理设备显示的所述图形码来获取所述身份识别信息。
所述图形码包括一维码或者二维码。
所述信息处理服务器,具体用于在获得所述第二认证信息后,从自身存储的密钥中,查找所述第一密钥对应的第二密钥;利用查找到的第二密钥还原和/或验证所述第二认证信息,并根据还原结果或者认证结果确定是否能够识别所述用户。
所述身份识别信息中还包括所述信息处理设备的设备标识;
所述信息处理服务器,还用于在接收到所述身份识别请求之后,获得所述设备标识;根据获得的设备标识从自身存储的设备标识与密钥的对应关系中查找所述设备标识对应的密钥,将查找到的密钥确定为所述第一密钥所对应的第二密钥。
所述身份识别信息为电子签名信息或身份认证信息。
若所述身份识别信息为身份认证信息时,所述种子信息中还包括第三认证信息,所述第三认证信息为计算机系统能够处理的任一信息。
所述信息处理设备,具体用于利用存储的第一密钥对第一认证信息和/或第三认证信息进行加密、签名或者哈希运算得到所述第二认证信息;
所述信息处理服务器,具体用于利用所述第二密钥对所述第二认证信息中包含的处理后的第一认证信息和/或第三认证信息进行还原和/或验证。
所述第三认证信息为所述信息处理设备的当前时间。
所述系统采用非对称密钥加密体系,其中,所述信息处理设备存储的第一密钥为私钥,所述信息处理服务器存储的第二密钥为所述私钥对应的公钥。
本发明实施例提供一种信息处理服务器实施的信息处理方法,包括:
接收终端设备发送的身份识别请求,所述身份识别请求为所述终端设备根据从信息处理设备获取的身份识别信息确定出的,所述身份识别信息中包括第二认证信息,所述第二认证信息为所述信息处理设备利用存储的第一密钥对种子信息进行处理得到的,所述种子信息至少包括用户向所述信息处理设备输入的第一认证信息;
根据接收到的身份识别请求获得所述第二认证信息;
根据获得的第二认证信息识别所述用户。
所述身份识别请求为所述终端设备按照以下方式发送的:所述终端设备从信息处理设备获取的身份识别信息中提取所述第二认证信息,将所述第二认证信息携带在所述身份识别请求中发送;以及
根据接收到的身份识别请求获得所述第二认证信息,具体包括:
在接收到所述身份识别请求后,从所述身份识别请求中获取所述第二认证信息。
所述身份识别请求为所述终端设备按照以下方式发送的:将从信息处理设备获取的身份识别信息携带在所述身份识别请求中发送;以及
根据接收到的身份识别请求获得所述第二认证信息,具体包括:
在接收到所述身份识别请求后,从所述身份识别请求携带的身份识别信息中提取所述第二认证信息。
所述第二认证信息为所述信息处理设备按照以下方法对所述种子信息进行处理得到的:利用所述第一密钥对所述第一认证信息进行加密、签名或者哈希计算。
根据获得的第二认证信息识别所述用户,具体包括:
从存储的密钥中,查找所述第一密钥对应的第二密钥;
利用查找到的第二密钥还原和/或验证所述第二认证信息,并根据还原结果或者认证结果确定是否能够识别所述用户。
所述身份识别信息中还包括所述信息处理设备的设备标识;以及
在接收到所述身份识别请求后,还包括:根据所述身份识别请求获得所述设备标识;以及
从存储的密钥中,查找所述第一密钥对应的第二密钥,具体包括:
根据获得的设备标识从自身存储的设备标识与密钥的对应关系中查找所述设备标识对应的密钥,将查找到的密钥确定为所述第一密钥所对应的第二密钥。
所述身份识别信息为电子签名信息或者身份认证信息;以及
若所述身份识别信息为身份认证信息时,所述种子信息还包括第三认证信息,所述第三认证信息为计算机系统能够处理的任一信息;所述第二认证信息为所述信息处理设备按照以下方法对所述种子信息进行处理得到的:利用所述第一密钥对所述第一认证信息和/或所述第三认证信息进行加密、签名或者哈希计算;以及
利用第二密钥还原和/或验证所述第二认证信息,具体包括:
利用所述第二密钥对所述第二认证信息中包含的处理后的第一认证信息和/或第三认证信息进行还原和/或验证。
本发明实施例提供一种信息处理服务器,包括:
接收单元,用于接收终端设备发送的身份识别请求,所述身份识别请求为所述终端设备根据从信息处理设备获取的用户身份识别信息确定出的,所述身份识别信息中包括第二认证信息,所述第二认证信息为所述信息处理设备利用存储的第一密钥对种子信息进行处理得到的,所述种子信息至少包括用户向所述信息处理设备输入的第一认证信息;
获得单元,用于根据接收到的身份识别请求获得所述第二认证信息;
识别单元,用于根据所述获得单元获得的第二认证信息识别所述用户。
所述身份识别请求为所述终端设备按照以下方式发送的:所述终端设备从信息处理设备获取的身份识别信息中提取所述第二认证信息,将所述第二认证信息携带在所述身份识别请求中发送;以及
所述获得单元,具体用于在所述接收单元接收到所述身份识别请求后,从所述身份识别请求中获取所述第二认证信息。
所述身份识别请求为所述终端设备按照以下方式发送的:将从信息处理设备获取的身份识别信息携带在所述身份识别请求中发送;以及
所述获得单元,具体用于在接收到所述身份识别请求后,从所述身份识别请求携带的身份识别信息中提取所述第二认证信息。
所述第二认证信息为所述信息处理设备按照以下方法对所述种子信息进行处理得到的:利用所述第一密钥对所述第一认证信息进行加密、签名或者哈希计算。
所述识别单元,包括:
查找子单元,用于在所述获得单元获得所述第二认证信息之后,从存储的密钥中,查找所述第一密钥对应的第二密钥;
识别子单元,具体用于利用所述查找子单元查找到的第二密钥还原和/或验证所述第二认证信息,并根据还原结果或者认证结果确定是否能够识别所述用户。
所述身份识别信息中还包括所述信息处理设备的设备标识;以及
所述获得单元,还用于在接收到所述身份识别请求后,根据所述身份识别请求获得所述设备标识;
所述查找子单元,具体用于根据所述获得单元获得的设备标识从自身存储的设备标识与密钥的对应关系中查找所述设备标识对应的密钥,将查找到的密钥确定为所述第一密钥所对应的第二密钥。
所述身份识别信息为电子签名信息或者身份认证信息;以及
若所述身份识别信息为身份认证信息时,所述种子信息中还包括第三认证信息,所述第三认证信息为计算机系统能够处理的任一信息;所述第二认证信息为所述信息处理设备按照以下方法对所述种子信息进行处理得到的:利用所述第一密钥对所述第一认证信息和/或所述第三认证信息进行加密、签名或者哈希计算;以及
所述识别子单元单元,具体用于利用所述第二密钥对所述第二认证信息中包含的处理后的第一认证信息和/或第三认证信息进行还原和/或验证。
本发明实施例提供一种信息处理设备的信息处理方法,包括:
接收用户输入的第一认证信息;
利用存储的第一密钥对种子信息进行处理得到第二认证信息,所述种子信息至少包括所述第一认证信息;
生成所述用户的身份识别信息,所述身份识别信息中包括所述第二认证信息。
所述身份识别信息为图形码;以及
在生成所述图形码后,还包括:
显示所述图像码。
利用存储的第一密钥对种子信息进行处理得到第二认证信息,具体包括:
利用存储的第一密钥对所述第一认证信息进行加密、签名或者哈希运算得到所述第二认证信息。
所述种子信息还包括第三认证信息,所述第三认证信息为计算机系统能够处理的任一信息;以及
利用存储的第一密钥对种子信息进行处理得到第二认证信息,具体包括:
利用存储的第一密钥对所述第一认证信息和/或第三认证信息进行加密、签名或者哈希运算得到所述第二认证信息。
本发明实施例提供一种信息处理设备,包括:
信息接收单元,用于接收用户输入的第一认证信息;
信息处理单元,用于利用存储的第一密钥对种子信息进行处理得到第二认证信息,所述种子信息至少包括所述第一认证信息;
生成单元,用于生成所述用户的身份识别信息,所述身份识别信息中包括所述第二认证信息。
所述身份识别信息为图形码;以及
所述信息处理设备,还包括:
显示单元,用于显示所述图形码。
所述信息处理单元,具体用于利用存储的第一密钥对所述第一认证信息进行加密、签名或者哈希运算得到所述第二认证信息。
所述种子信息还包括第三认证信息,所述第三认证信息为计算机系统能够处理的任一信息;以及
所述信息处理单元,具体用于利用存储的第一密钥对所述第一认证信息和/或第三认证信息进行加密、签名或者哈希运算得到所述第二认证信息。
本发明实施例提供一种终端设备实施的信息处理方法,包括:
获取信息处理设备根据种子信息生成的身份识别信息,所述种子信息中至少包括用户向所述信息处理设备输入的第一认证信息;所述身份识别信息中包括第二认证信息,所述第二认证信息为所述信息处理设备利用存储的第一密钥对所述种子信息进行处理得到的;
根据获取的身份识别信息向信息处理服务器发送身份识别请求。
根据获取的身份识别信息向信息处理服务器发送身份识别请求,具体包括:
从获取的身份识别信息中提取所述第二认证信息,将所述第二认证信息携带在所述身份识别请求中发送给所述信息处理服务器。
根据获取的身份识别信息向信息处理服务器发送身份识别请求,具体包括:
将获取身份识别信息携带在所述身份识别请求中发送给所述信息处理服务器。
所述身份识别信息为图形码;以及
从信息处理设备获取用户的身份识别信息,具体包括:
扫描所述信息处理设备显示的所述图形码。
本发明实施例提供一种终端设备,包括:
获取单元,用于获取信息处理设备根据种子信息生成的身份识别信息,所述种子信息中至少包括用户向所述信息处理设备输入的第一认证信息;所述身份识别信息中包括第二认证信息,所述第二认证信息为所述信息处理设备利用存储的第一密钥对所述种子信息进行处理得到的;
发送单元,用于根据获取的身份识别信息向信息处理服务器发送身份识别请求。
所述发送单元,具体用于从所述获取单元获取的身份识别信息中提取所述第二认证信息,将所述第二认证信息携带在所述身份识别请求中发送给所述信息处理服务器。
所述发送单元,具体用于将所述获取单元获取的身份识别信息携带在所述身份识别请求中发送给所述信息处理服务器。
所述身份识别信息为图形码;以及
所述获取单元,具体用于扫描所述信息处理设备显示的所述图形码。
本发明实施例提供的信息处理方法、系统及相关设备,利用信息处理设备对用户输入的第一认证信息进行处理,并利用处理后的第一认证信息生成该用户对应的身份识别信息,终端设备根据从信息处理设备获取其生成的身份识别信息向信息处理服务器发送身份识别请求,信息处理服务器根据接收到的身份识别请求获得身份识别信息中的第二认证信息,进而根据第二认证信息识别用户。由于上述对身份相关信息处理过程中,无需用户记忆用户名和密码,直接通过终端获取信息处理设备生成的身份识别信息即可,简化了用户操作,另一方面,身份识别信息为第三方设备根据用户输入的认证信息生成的,不易于被监听或者窃取,从而提高了身份相关信息处理的安全性。另外,本发明实施例提供的信息处理方法,适用于需要对身份进行识别的所有场景,因此,其提高了身份相关信息处理的通用性。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例中,信息处理系统的结构示意图;
图2为本发明实施例中,电子签名过程中信息流程交互示意图;
图3为本发明实施例中,身份认证过程中信息交互流程示意图;
图4为本发明实施例中,信息处理服务器实施信息处理方法的实施流程示意图;
图5为本发明实施例中,信息处理服务器的结构示意图;
图6为本发明实施例中,信息处理设备实施信息处理方法的实施流程示意图;
图7为本发明实施例中,信息处理设备的结构示意图;
图8为本发明实施例中,终端设备实施信息处理方法的实施流程示意图;
图9为本发明实施例中,终端设备的结构示意图。
具体实施方式
为了提高身份相关信息处理的安全性和通用性,本发明实施例提供了一种信息处理方法、系统及相关设备。
以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
实施例一
如图1所示,为本发明实施例提供的信息处理系统的结构示意图,包括信息处理设备11,终端设备12和信息处理服务器13,其中:
信息处理设备11,用于接收用户输入的第一认证信息;利用存储的第一密钥对种子信息进行处理得到第二认证信息,种子信息至少包括第一认证信息;生成用户对应的身份识别信息,身份识别信息中包括第二认证信息;
终端设备12,用于向信息处理设备11获取其生成的身份识别信息;根据获取的身份识别向信息处理服务器13发送身份识别请求;
信息处理服务器13,用于根据接收到的身份识别请求获得第二认证信息;根据获得的第二认证信息识别所述用户。
具体实施时,终端设备12可以但不限于通过以下两种方式向信息处理服务器13发送身份识别请求:
方式一、终端设备提取身份识别信息中包含的第二认证信息,将第二认证信息携带在身份识别请求中发送给信息处理服务器13。
这种处理方式下,信息处理服务器13可以直接从身份识别请求中获取第二认证信息。
方式二、终端设备对获取的身份识别信息不进行处理,直接携带在身份识别请求中发送给信息处理服务器13。
这种处理方式下,信息处理服务器13从身份识别请求中获取到身份识别信息之后,需要从身份识别信息中提取第二认证信息。
较佳的,具体实施时,信息处理设备11可以利用存储的第一密钥对第一认证信息进行加密、签名或者哈希运算得到第二认证信息。
具体实施时,第一认证信息可以为用户通过以下任一方式输入的:物理键盘输入方式、滚轮输入方式、触摸屏输入方式、扫描图形码输入方式、频闪通信输入方式、语音识别输入方式、摄像头识别输入方式、无线通信输入方式、红外扫描输入方式、激光扫描输入方式或者图形码数据采集输入方式。
较佳的,身份识别信息可以为图形码,信息处理设备11还可以用于在生成图形码后,显示生成的图形码;相应的,终端设备12可以通过扫描信息处理设备11显示的图形码来获取身份识别信息。其中,图形码可以为一维码或者二维码,其中,二维码包括标准二维码和非标准二维码(即一些变形的二维码,如圆形二维码、彩色二维码等等),本发明对此不做限定。
本发明实施例提供的信息处理系统可以但不限于应用于以下场景:需要用户进行电子签名的应用场景或者需要对用户进行身份认证的应用场景。相应的,应用于电子签名场景下时,信息处理设备生成的身份识别信息可以为电子签名信息;而应用于身份认证场景下时,信息处理设备生成的身份识别信息可以为身份认证信息。
需要说明的是,在应用于电子签名场景下时,信息处理服务器首先要完成对用户的身份认证后再确认完成电子签名,而在应用于身份认证场景下时,信息处理服务器在获得了第二认证信息之后,完成对用户的身份认证即可。
在利用本发明实施例提供的信息处理系统实现电子签名功能时,第一认证信息可以为需要进行电子签名的信息,例如,电子银行的交易信息、电子公文信息、防伪信息等。需要进行电子签名的信息可以由业务提供方的应用服务器提供给用户,也可以为需要进行电子签名的电子公文等,在需要进行电子签名信息由用户输入信息处理设备。
在利用本发明实施例提供的信息处理系统实现身份认证功能时,第一认证信息可以为在用户注册过程中,由信息处理服务器提供给用户的信息或者用户在信息处理服务器预留的信息,也可以为在用户使用业务过程中产生的信息,如用户在使用电子银行业务过程中产生的信息可以为收款人的银行账号,交易金额等;还可以为通信对方的身份识别信息,如网站域名,服务器IP,对方的电子邮件等。其中,用户在信息处理服务器预留的信息可以为用户名、用户口令或者用户标识等。
无论是进行电子签名还是进行身份认证,信息处理服务器在获得了第二认证信息后,在自身存储的密钥中查找信息处理设备存储的第一密钥对应的第二密钥,并利用查找到的第二密钥对获得的第二认证信息进行还原和/或验证,如果存在第二密钥能够还原和/或验证第二认证信息,则确认能够识别用户。在确认能够识别用户时,即可确认对用户的身份认证通过,确认对用户的身份认证通过之后,便可以确认用户完成电子签名过程。也就是说,在进行电子签名的过程中,需要首先确认对用户的身份认证通过。
利用本发明实施例提供的信息处理系统实现身份认证功能时,其可以应用于各种需要进行身份认证的场景,如用户登录网站需要进行身份认证场景、用户登录邮箱需要进行身份认证的场景、用户访问电子银行需要进行身份认证以及用户访问各种互联网业务需要进行身份认证的场景等等。
为了更好的理解本发明实施例,以下分别以电子签名和对用户进行身份认证时的信息交互流程对本发明实施例的具体实施过程进行说明。
实施例二、
利用本发明实施例提供的信息处理系统实现电子签名,在实现电子签名功能时,信息处理服务器可以为电子签名服务器,信息处理设备生成的身份识别信息可以为电子签名信息,终端设备发送的身份识别请求可以为电子签名请求。
如图2所示,为利用本发明实施例提供信息处理系统实现电子签名功能时的信息交互流程示意图,包括以下步骤:
S21、信息处理信息设备接收用户输入的需要签名的第一认证信息。
具体实施时,用户在访问互联网应用过程中,可以通过以下任一方式触发电子签名流程,本发明实施例以用户访问电子银行时需要对交易信息进行电子签名为例。
方式一、
用户使用进行电子签名信息的终端设备访问电子银行,例如,用户使用手机访问电子银行,同时使用该手机获取信息处理设备生成的用户电子签名信息。这种情况下,用户所访问的电子银行的交易页面需要提供使用本发明实施例提供的信息处理方法封装的应用程序接口,在用户需要对交易信息进行电子签名时通过调用该应用程序接口触发电子签名流程。
方式二、
用户使用获取用户电子签名信息的终端设备以外的其他终端设备访问电子银行,例如用户使用电脑访问电子银行,使用自己的手机获取信息处理设备生成的用户电子签名信息。这种情况下,电子银行交易页面需要嵌入本发明实施例提供的信息处理方法封装的应用程序,并在交易页面以图形码(可以但不限于为二维码)的形式显示,当用户需要对交易信息进行电子签名时,直接扫描该二维码便可以触发电子签名流程。
具体实施时,待签名的第一认证信息可以为需要进行电子签名的电子公文信息,也可以为由应用服务器提供给用户的需要待签名的信息,如用户在使用电子银行时,第一认证信息可以为由电子银行提供的电子银行的交易信息等。用户向信息处理设备输入待签名的第一认证信息。
S22、信息处理设备利用存储的第一密钥对种子信息进行处理得到第二认证信息。
其中,种子信息中至少包括用户输入的第一认证信息。在本实施例中,以种子信息中仅包括第一认证信息为例进行说明,即种子信息即为第一认证信息。
较佳的,具体实施时,本发明实施例提供的电子签名系统可以采用对称密钥加密体系,也可以采用非对称密钥加密体系。如果采用对称密钥加密体系,信息处理设备存储的密钥和电子签名服务器存储的密钥相同。如果采用非对称密钥加密体系,可以为每一个信息处理设备随机生成一组公钥和私钥,信息处理设备存储私钥,电子签名服务器存储公钥。相比于对称密钥加密机制,非对称密钥加密机制能够进一步提高电子签名系统的安全性,这种情况下,即使信息处理服务器被入侵,攻击者也无法伪造用户登录。
基于此,信息处理设备在接收到用户输入的第一认证信息之后,利用自身存储的第一密钥对第一认证信息进行处理。较佳的,信息处理设备可以利用第一密钥对第一认证信息加密得到其对应的密文,或者,信息处理设备还可以利用第一密钥对第一认证信息进行签名,或者,信息处理设备还可以利用第一密钥对第一认证信息进行哈希计算得到对应的哈希值。
为了便于描述,本发明实施中将对第一认证信息进行处理后得到的信息称为第二认证信息。根据信息处理设备处理第一认证信息的处理方式的不同,第二认证信息可以为上述对第一认证信息进行加密得到的密文,也可以为对第一认证信息进行签名后得到的签名后的第一认证信息,还可以为对第一认证信息进行哈希计算得到的哈希值。
S23、信息处理设备生成用户对应的电子签名信息。
信息处理设备利用对第一认证信息进行处理后得到的第二认证信息生成用户对应的电子签名信息。
较佳的,信息处理设备生成的电子签名信息可以但不限于为图形码,该图形码可以为一维码(条形码)和二维码,其中,二维码包括标准二维码和非标准二维码(即一些变形的二维码,如圆形二维码、彩色二维码等等),本发明对此不做限定。
具体实施时,信息处理设备可以由安全存储模块、信息输入模块、信息处理模块和可显示图形码的电子显示器组成,其中,安全存储模块中存储有该信息处理设备存储的第一密钥。这样,用户在需要进行电子签名时,通过信息输入模块输入第一认证信息,信息处理模块利用安全存储模块预先存储的第一密钥对用户输入的第一认证信息进行处理得到第二认证信息。
信息处理模块利用第二认证信息生成一个图形码,并显示在信息处理设备的电子显示器上。这样,终端设备可以通过扫描信息处理设备显示的图形码从而得到其利用第二认证信息生成的电子签名信息。
较佳的,为了避免用户丢失信息处理设备带来的风险,本发明实施例中,信息处理设备还可以在生成电子签名信息之前对用户身份进行识别,例如,可以通过指纹进行识别,也可以通过用户预先设置的密码对用户进行识别,这里不做限定,相应的,信息处理设备还可以包括数字按键或者指纹采集装置。
S24、终端设备向信息处理设备获取电子签名信息。
较佳的,如果电子签名信息为图形码时,终端设备可以扫描信息处理设备生成的图形码来获取电子签名信息。
S25、终端设备向电子签名服务器发送电子签名请求。
终端设备在获取了电子签名信息之后,有以下两种处理方式:
处理方式一、
终端设备将该电子签名信息不做任何处理,直接将获取的电子签名信息携带在电子签名请求中发送给电子签名服务器。
处理方式二、
终端设备提取电子签名信息中包含的第二认证信息后,将第二认证信息携带在电子签名请求中发送给电子签名服务器。
分别与上述两种处理方式相对应,终端设备在向电子签名服务器中发送的电子签名请求中可以携带电子签名信息或者提取的第二认证信息。
相应的,电子签名服务器可以按照以下方式获得第二认证信息:电子签名服务器在接收到电子签名请求之后,如果其中携带有电子签名信息,则电子签名服务器可以从电子签名信息中提取第二认证信息;如果其中携带有第二认证信息,则电子签名服务器可以直接从身份认证请求中获取第二认证信息。
具体实施时,终端设备还可以在电子签名请求中携带用户访问的互联网应用的应用标识或者应用名称和该互联网应用在全局范围内的唯一标识,该唯一标识是一个全局唯一的编码,在不同的互联网应用、不同的终端设备、不同时间上都不重复。较佳的,该唯一标识可以但不限于为UUID(Universally UniqueIdentifier,通用唯一识别码)或者GUID(Globally Unique Identifier,全局唯一标识符),当然也可以是采用类似技术实现的全局范围内的一个标识,为了便于描述以下以UUID为例进行说明。
如果用户通过步骤S21中提供的第一种方式触发电子签名流程,则终端设备可以直接获取用户当前正在访问的互联网应用的应用标识或者应用名称及其对应的UUID一并发送给电子签名服务器;如果用户通过步骤S21中提供的第二种方式触发电子签名流程,则在生成登录页面显示的图形码中包括互联网应用的应用标识或者应用名称和该互联网应用对应的UUID,这样,终端设备通过扫描该图形码便可以获取应用标识或者应用名称和该互联网应用对应的UUID,与从信息处理设备生成的图形码中获取的第二认证信息一并发送给电子签名服务器或者也可以与从信息处理设备生成的图形码一并发送给电子签名服务器。
具体实施时,终端设备可以通过有线网络、无线网络和移动通信网络等向电子签名服务器发送电子签名请求。
S26、电子签名服务器根据接收到的电子签名请求获得第二认证信息。
步骤S25中描述了电子签名服务器根据接收到的电子签名请求获得第二认证信息的两种方式,这里不再赘述。
S27、电子签名服务器从自身存储的密钥中查找第一密钥对应的第二密钥。
在获得了第二认证信息后,电子签名服务器从自身存储的密钥中查找第一密钥对应的第二密钥。
为了便于电子签名服务器快速查找第一密钥对应的第二密钥,信息处理设备在生成电子签名信息时,可以加入自身的设备标识。
基于此,电子签名服务器可以通过以下两种方式获得该设备标识:
方式一、
如果终端设备对获取的电子签名信息不进行任何处理,而是直接将获取的电子签名信息携带在电子签名请求中发送给电子签名服务器,则电子签名服务可以从电子签名请求中携带的电子签名信息中分别提取第二认证信息和该设备标识。
方式二、如果终端设备对获取的电子签名信息进行处理,则终端设备分别提取电子签名信息中包含的第二认证信息和该设备标识,并将携带在电子签名请求中一并发送给电子签名服务器,电子签名服务器从接收到的电子签名请求中直接提取第二认证信息和设备标识即可获得,进而,电子签名服务器根据获得的设备标识从自身存储的设备标识与密钥的对应关系中查找所述设备标识对应的密钥,将查找到的密钥确定为所述第一密钥所对应的第二密钥。
S28、电子签名服务器利用查找到的第二密钥还原和/或验证第二认证信息。
与步骤S22中,信息处理设备对第一认证信息进行处理的处理方式相对应,步骤S28中,如果信息处理设备利用第一密钥对第一认证信息进行加密得到对应的密文,电子签名服务器可以利用第二密钥对得到的密文进行解密,还可以利用第二密钥直接对得到的密文进行验证;如果信息处理设备利用第一密钥对第一认证信息进行签名得签名后的第一认证信息,则电子签名服务器可以利用第二密钥对签名后的第一认证信息进行验证;如果信息处理设备利用第一密钥对第一认证信息进行哈希计算得到哈希值,则电子签名服务器可以利用第二密钥对得到的哈希值进行验证。
S29、电子签名服务器根据还原和/或验证结果确认电子签名是否成功。
如果电子签名服务器确定利用第二密钥对加密后的第一认证信息得到的密文进行解密(即还原)得到第一认证信息时,确定用户电子签名成功,否则确定电子签名失败;或者,电子签名服务器利用第二密钥对加密后的第一认证信息得到的密文进行验证,如果验证通过,则确定电子签名成功,否则确定电子签名失败;或者,电子签名服务器确定利用第二密钥对签名后的第一认证信息进行验证且验证通过,确定电子签名成功,否则确定电子签名失败;或者电子签名服务器确定利用第二密钥对进行哈希计算得到的哈希值进行验证且验证通过时,确定电子签名成功,否则确定电子签名失败。
具体的,在使用非对称密钥加密技术时,如果信息处理设备使用私钥对第一认证信息进行签名,则电子签名服务器存储的公钥可以用于对得到的第二认证信息进行验证;如果信息处理设备使用私钥对第一认证信息进行加密,则电子签名服务器存储的公钥可以用于对得到密文进行还原和/或验证。若使用对称密钥加密技术,如果信息处理设备使用存储的密钥对第一认证信息进行签名,则电子签名服务器存储的密钥可以用于对签名后得到的第二认证信息进行验证;如果信息处理设备使用存储的密钥对第一认证信息进行加密,则电子签名服务器存储的密钥既可以用于对密文进行解密后再验证,也可以不还原直接验证密文;如果信息处理设备使用哈希算法对第一认证信息进行哈希运算得到哈希值,则电子签名服务器可以用于对得到的哈希值进行验证。
S210、电子签名服务器向提供互联网应用的应用服务器发送电子签名是否通过的结果。
具体实施时,电子签名服务器根据电子签名请求中携带的应用标识或者应用名称向该应用标识或者应用名称对应的应用服务器提供电子签名结果,并在发送的电子签名结果中携带用户当前访问的互联网应用的UUID。
S211、应用服务器向终端设备发送电子签名结果。
具体实施时,应用服务器根据UUID确定用户访问互联网应用的终端设备及应用程序,并根据认证结果向该终端设备发送允许/拒绝访问的响应消息。
具体实施时,上述应用于电子签名的信息处理系统可以针对不同的互联网应用提供一个信息处理设备,也可以针对安全要求高的互联网应用如电子银行、在线支付等提供单独的信息处理设备,此时,电子签名服务器需要维护互联网应用的应用标识与其对应的信息处理设备的设备标识以及密钥之间的对应关系,以对不同的互联网应用提供电子签名功能。
实施例三
在应用于身份认证场景下时,信息处理设备生成的身份识别信息可以为身份认证信息,信息处理服务器可以为身份认证服务器,信息处理设备向身份认证服务器发送的身份识别请求可以为身份认证请求,为了便于说明,本发明实施例以用户访问电子银行需要进行身份认证为例进行说明,如图3所示,可以包括以下步骤:
S31、在访问电子银行需要进行身份认证时,信息处理设备接收用户输入的第一认证信息。
具体实施时,用户可能通过以下任一方式访问电子银行:
方式一、
用户使用获取用户身份认证信息的终端设备访问电子银行,例如,用户使用手机访问电子银行,同时使用该手机获取信息处理设备生成的用户身份认证信息。这种情况下,用户所访问的电子银行的登录页面需要提供使用本发明实施例提供的身份认证方法封装的应用程序接口,在用户需要登录电子银行时通过调用该应用程序接口触发对用户的身份认证。
方式二、
用户使用获取用户身份认证信息的终端设备以外的其他终端设备访问电子银行,例如用户使用电脑访问电子银行,使用自己的手机获取信息处理设备生成的用户身份认证信息。这种情况下,电子银行登录页面需要嵌入本发明实施例提供的身份认证方法封装的认证程序,并在登录页面以图形码(可以但不限于为二维码)的形式显示,当用户需要登录电子银行时,直接扫描该二维码便可以触发对用户的身份认证。
在触发对用户的身份认证之后,信息处理设备(该设备可以由业务提供方提供给用户,对于电子银行业务来说,信息处理设备可以由银行提供给用户)指示用户输入第一认证信息,第一认证信息可以为在用户注册过程中,由身份认证服务器提供给用户的信息或者用户在身份认证服务器预留的信息,也可以为在用户使用业务过程中产生的信息,如果用户在使用电子银行业务过程中产生的信息可以为收款人的银行账号,交易金额等;还可以为通信对方的身份识别信息,如网站域名,服务器IP,对方的电子邮件等。其中,用户在身份认证服务器预留的信息可以为用户名、用户口令或者用户标识等。
较佳的,用户可以但不限于通过以下任一输入方式向信息处理设备输入第一认证信息:物理键盘输入方式、滚轮输入方式、触摸屏输入方式、扫描图形码输入方式、频闪通信输入方式、语音识别输入方式、摄像头识别输入方式、无线通信输入方式、红外扫描输入方式、激光扫描输入方式或者图形码数据采集输入方式。其中国,无线通信输入方式中,可以使用Wi-Fi,蓝牙,NFC(NearField Communication,近场通信),微波和广播等输入。
S32、信息处理设备利用存储的第一密钥对种子信息进行处理得到第二认证信息。
其中,种子信息中至少包括用户输入的第一认证信息。在实施例一中,以种子信息中仅包括第一认证信息为例进行说明,即种子信息即为第一认证信息。
较佳的,具体实施时,本发明实施例提供的身份认证系统可以采用对称密钥加密体系,也可以采用非对称密钥加密体系。如果采用对称密钥加密体系,信息处理设备存储的密钥和身份认证服务器存储的密钥相同。如果采用非对称密钥加密体系,可以为每一个信息处理设备随机生成一组公钥和私钥,信息处理设备存储私钥,身份认证服务器存储公钥。相比于对称密钥加密机制,非对称密钥加密机制能够进一步提高身份认证系统的安全性,这种情况下,即使身份认证服务器被入侵,攻击者也无法伪造用户登录。
基于此,信息处理设备在接收到用户输入的第一认证信息之后,利用自身存储的第一密钥对第一认证信息进行处理。较佳的,信息处理设备可以利用第一密钥对第一认证信息加密得到其对应的密文,或者,信息处理设备还可以利用第一密钥对第一认证信息进行签名,或者,信息处理设备还可以利用第一密钥对第一认证信息进行哈希计算得到对应的哈希值。
为了便于描述,本发明实施中将对第一认证信息进行处理后得到的信息称为第二认证信息。根据信息处理设备处理第一认证信息的处理方式的不同,第二认证信息可以为上述对第一认证信息进行加密得到的密文,也可以为对第一认证信息进行签名后得到的签名后的第一认证信息,还可以为对第一认证信息进行哈希计算得到的哈希值。
S33、信息处理设备生成用户对应的身份认证信息。
信息处理设备利用对第一认证信息进行处理后得到的第二认证信息生成用户对应的身份认证信息。
较佳的,信息处理设备生成的身份认证信息可以但不限于为图形码,该图形码可以为一维码(条形码)和二维码,其中,二维码包括标准二维码和非标准二维码(即一些变形的二维码,如圆形二维码、彩色二维码等等),本发明对此不做限定。
具体实施时,信息处理设备可以由安全存储模块、信息输入模块、信息处理模块和可显示图形码的电子显示器组成,其中,安全存储模块中存储有该信息处理设备存储的第一密钥。这样,用户在需要进行身份认证时,通过信息输入模块输入第一认证信息,信息处理模块利用安全存储模块预先存储的第一密钥对用户输入的第一认证信息进行处理得到第二认证信息。
信息处理模块利用第二认证信息生成一个图形码,并显示在信息处理设备的电子显示器上。这样,终端设备可以通过扫描信息处理设备显示的图形码从而得到其利用第二认证信息生成的身份认证信息。
较佳的,为了避免用户丢失信息处理设备带来的风险,本发明实施例中,信息处理设备还可以在生成用户身份认证信息之前对用户身份进行识别,例如,可以通过指纹进行识别,也可以通过用户预先设置的密码对用户进行识别,这里不做限定,相应的,信息处理设备还可以包括数字按键或者指纹采集装置。
S34、终端设备向信息处理设备获取身份认证信息。
较佳的,如果身份认证信息为图形码时,终端设备可以扫描信息处理设备生成的图形码来获取该图形码。
分别与步骤S31中提供的用户访问电子银行的方式相对应,本发明实施例中对于访问方式一,可以直接调用根据本发明实施例提供的身份认证方法实现的身份认证应用程序对信息处理设备生成的用户身份认证信息进行扫描。对于访问方式二,用户自行启动终端设备中安装的根据本发明实施例提供的身份认证方法实现的身份认证应用程序,对信息处理设备生成的用户身份认证信息进行扫描。
S35、终端设备向身份认证服务器发送身份认证请求。
终端设备在获取了身份认证信息之后,有以下两种处理方式:
处理方式一、
终端设备将该身份认证信息不做任何处理,直接将获取的身份认证信息携带在身份认证请求中发送给身份认证服务器。
处理方式二、
终端设备提取身份认证信息中包含的第二认证信息后,将第二认证信息携带在身份认证请求中发送给身份认证服务器。
分别与上述两种处理方式相对应,终端设备在向身份认证服务器中发送的身份认证请求中可以携带身份认证信息或者提取的第二认证信息。
相应的,身份认证服务器可以按照以下方式获得第二认证信息:身份认证服务器在接收到身份认证请求之后,如果其中携带有身份认证信息,则身份认证服务器可以从身份认证信息中提取第二认证信息;如果其中携带有第二认证信息,则身份认证服务器可以直接从身份认证请求中获取第二认证信息。
具体实施时,终端设备还可以在身份认证请求中携带用户访问的互联网应用的应用标识或者应用名称和该互联网应用在全局范围内的唯一标识,该唯一标识是一个全局唯一的编码,在不同的互联网应用、不同的终端设备、不同时间上都不重复。较佳的,该唯一标识可以但不限于为UUID(Universally UniqueIdentifier,通用唯一识别码)或者GUID(Globally Unique Identifier,全局唯一标识符),当然也可以是采用类似技术实现的全局范围内的一个标识,为了便于描述以下以UUID为例进行说明。
如果用户通过步骤S31中提供的第一种方式访问互联网应用,则终端设备可以直接获取用户当前正在访问的互联网应用的应用标识或者应用名称及其对应的UUID一并发送给身份认证服务器;如果用户通过步骤S31中提供的第二种方式访问互联网应用,则在生成登录页面显示的图形码中包括互联网应用的应用标识或者应用名称和该互联网应用对应的UUID,这样,终端设备通过扫描该图形码便可以获取应用标识或者应用名称和该互联网应用对应的UUID,与从信息处理设备生成的图形码中获取的第二认证信息一并发送给身份认证服务器或者也可以与从信息处理设备生成的图形码一并发送给身份认证服务器。
具体实施时,终端设备可以通过有线网络、无线网络和移动通信网络等向身份认证服务器发送身份认证请求。
S36、身份认证服务器根据接收到的身份认证请求获得第二认证信息。
步骤S35中描述了身份认证服务器根据接收到的身份认证请求获得第二认证信息的两种方式,这里不再赘述。
S37、身份认证服务器从自身存储的密钥中查找第一密钥对应的第二密钥。
在获得了第二认证信息后,身份认证服务器从自身存储的密钥中查找第一密钥对应的第二密钥。
为了便于身份认证服务器快速查找第一密钥对应的第二密钥,信息处理设备在生成身份认证信息时,可以加入自身的设备标识。
基于此,身份认证服务器可以通过以下两种方式获得该设备标识:
方式一、
如果终端设备对获取的身份认证信息不进行任何处理,而是直接将获取的身份认证信息携带在身份认证请求中发送给身份认证服务器,则身份认证服务可以从身份认证请求中携带的身份认证信息中分别提取第二认证信息和该设备标识。
方式二、如果终端设备对获取的身份认证信息进行处理,则终端设备分别提取身份认证信息中包含的第二认证信息和该设备标识,并将携带在身份认证请求中一并发送给身份认证服务器,身份认证服务器从接收到的身份认证请求中直接提取第二认证信息和设备标识即可获得,进而,身份认证服务器根据获得的设备标识从自身存储的设备标识与密钥的对应关系中查找所述设备标识对应的密钥,将查找到的密钥确定为所述第一密钥所对应的第二密钥。
S38、身份认证服务器利用查找到的第二密钥还原和/或验证第二认证信息。
与步骤S32中,信息处理设备对第一认证信息进行处理的处理方式相对应,步骤S38中,如果信息处理设备利用第一密钥对第一认证信息进行加密得到对应的密文,身份认证服务器可以利用第二密钥对得到的密文进行解密,还可以利用第二密钥直接对得到的密文进行验证;如果信息处理设备利用第一密钥对第一认证信息进行签名得签名后的第一认证信息,则身份认证服务器可以利用第二密钥对签名后的第一认证信息进行验证;如果信息处理设备利用第一密钥对第一认证信息进行哈希计算得到哈希值,则身份认证服务器可以利用第二密钥对得到的哈希值进行验证。
S39、身份认证服务器进行身份认证。
如果身份认证服务器确定利用第二密钥对加密后的第一认证信息得到的密文进行解密(即还原)得到第一认证信息时,确定对该用户的身份认证通过,否则确定对该用户的身份认证不通过;或者,身份认证服务器利用第二密钥对加密后的第一认证信息得到的密文进行验证,如果验证通过,则确定对该用户的身份认证通过,否则确定对该用户的身份认证不通过;或者,身份认证服务器确定利用第二密钥对签名后的第一认证信息进行验证且验证通过,确定对该用户的身份认证通过,否则确定对该用户的身份认证不通过;或者身份认证服务器确定利用第二密钥对进行哈希计算得到的哈希值进行验证且验证通过时,确定对该用户的身份认证通过,否则确定对该用户的身份认证不通过。
具体的,在使用非对称密钥加密技术时,如果信息处理设备使用私钥对第一认证信息进行签名,则身份认证服务器存储的公钥可以用于对得到的第二认证信息进行验证;如果信息处理设备使用私钥对第一认证信息进行加密,则身份认证服务器存储的公钥可以用于对得到密文进行还原和/或验证。若使用对称密钥加密技术,如果信息处理设备使用存储的密钥对第一认证信息进行签名,则身份认证服务器存储的密钥可以用于对签名后得到的第二认证信息进行验证;如果信息处理设备使用存储的密钥对第一认证信息进行加密,则身份认证服务器存储的密钥既可以用于对密文进行解密后再验证,也可以不还原直接验证密文;如果信息处理设备使用哈希算法对第一认证信息进行哈希运算得到哈希值,则身份认证服务器可以用于对得到的哈希值进行验证。
S310、身份认证服务器向提供互联网应用的应用服务器发送身份认证结果。
具体实施时,身份认证服务器根据身份认证请求中携带的应用标识或者应用名称向该应用标识或者应用名称对应的应用服务器提供认证结果,并在发送的认证结果中携带用户当前访问的互联网应用的UUID。
S311、应用服务器向终端设备发送允许/拒绝访问的响应消息。
具体实施时,应用服务器根据UUID确定用户访问互联网应用的终端设备及应用程序,并根据认证结果向该终端设备发送允许/拒绝访问的响应消息。
具体实施时,上述应用于身份认证的信息处理系统可以针对不同的互联网应用提供一个信息处理设备,也可以针对安全要求高的互联网应用如电子银行、在线支付等提供单独的信息处理设备,此时,身份认证服务器需要维护互联网应用的应用标识与其对应的信息处理设备的设备标识以及密钥之间的对应关系,以对不同的互联网应用提供身份认证。
在应用于身份认证场景下时,为了进一步提高身份认证的安全性,种子信息中还可以包括第三认证信息。第三认证信息可以为计算机系统可处理的任一信息,如已知的固定信息(比如名字、固定的数字等等)、随机数、时间、累加计数器等等,只要是能够使用密钥进行处理的信息均可,本发明对此不做限定。较佳的,第三认证信息可以为唯一且无法重复的信息,例如第三认证信息可以为信息处理设备的当前时间。
为了便于描述,以下以第三认证信息为信息处理设备的当前时间为例,也就是说种子信息中包括用户输入的第一认证信息和信息处理设备的当前时间,这种情况下,对用户进行身份认证的过程与实施例一种类似,具体实施过程可以参照步骤S31~步骤S311,不同之处在于,在步骤S32中,信息处理设备利用存储的第一密钥对种子信息进行处理得到第二认证信息时,如果种子信息包含第一认证信息和第三认证信息,则信息处理设备可以利用第一密钥对第一认证信息和第三认证信息进行处理得到第二认证信息,也可以利用第一密钥分别对第一认证信息和第三认证信息进行处理,即信息处理设备可以利用存储的第一密钥分别对第一认证信息和第三认证信息进行加密、签名或者哈希运算,处理后的第一认证信息和处理后的第三认证信息组成第二认证信息;相应的,在步骤S38中,如果对第一认证信息和第三认证信息分别进行处理时,则身份认证服务器需要利用第二密钥对第二认证信息中包含的处理后的第一认证信息和处理后的第三认证信息分别进行还原和/或验证。
具体的,步骤S32中,如果信息处理设备利用第一密钥对种子信息进行加密,则需要分别对第一认证信息和第三认证信息进行加密得到对应的密文;如果信息处理设备利用第一密钥对种子信息进行签名,则需要分别对第一认证信息和第三认证信息进行签名;如果信息处理设备利用第一密钥对种子信息进行哈希计算,则需要分别对第一认证信息和第三认证信息进行哈希计算得到对应的哈希值。这样,信息处理设备生成的图形码中,将包括处理后的第一认证信息和第三认证信息,相应的,信息处理服务器最终将分别获得处理后的第一认证信息和处理后的第三认证信息。步骤S38中,身份认证服务器在进行身份认证时,需要利用自身存储的第二密钥分别还原和/或验证处理后的第一认证信息和处理后的第三认证信息,且在对两者的验证均通过时,才确定身份认证通过,只要有一项验证不通过,则确定身份认证不通过。
需要说明的是,如果第三认证信息为信息处理设备的当前时间,则身份认证服务器可以按照以下方法确定对第三认证信息的认证是否通过:如果利用第二密钥对加密的信息处理设备的当前时间进行解密得到的时间与自身的当前时间之间的间隔在预设时间间隔范围之内(如可以设置为极短的时间间隔)时,确定对第三认证信息的认证通过,否则,确定不通过;或者,确定还可以用于确定对信息处理设备的当前时间的验证通过时,确定身份认证通过。
上述实施例中,身份认证服务器在接收到终端设备的身份认证请求之后,需要从自身存储的所有密钥中查找信息处理设备中存储的第一密钥对应的第二密钥还原和/或验证处理后的种子信息。具体的,身份认证服务器可以依次尝试自身存储的每一密钥,直至其能够还原和/或验证处理后的种子信息为止。也可以根据信息处理设备的设备标识快速查找第一密钥对应的第二密钥,利用查找到的第二密钥还原和/或验证处理后的种子信息。
需要说明的是,本发明实施例中涉及的终端设备可以为手机、平板电脑、PDA(个人数字助理)、智能手表等移动终端设备,也可以是PC(个人电脑)等设备,只要是安装有摄像装置或扫描装置,能够扫描获取信息处理设备生成的图形码的终端设备均可。
另外,本发明实施例中涉及的互联网应用包括能够通过互联网/移动互联网进行访问的网站、应用程序客户端等。
由于现有的采用加密机制的安全系统中,非对称密钥加密技术的安全性已得到充分理论证明,并广泛使用。但其最主要的缺点是密钥太长,人类无法直接记忆和输入,用户通常需要将密钥存储在电脑文件或硬件设备中,使用时进行导入,这样,便存在密钥泄露的风险,且使用极为不便。而本发明实施例中,由于图形码作为一种方便的机器自动识别技术,可以用来表示密文信息,且容易被识别和传输进而解密。这解决了现有的非对称密钥加密机制中密钥太长,不便于直接使用的问题。此外,本发明实施例中,使用独立硬件生成图形码,可以避免私钥被窃取、复制和篡改,与用户使用的互联网应用物理隔离,从根本上避免了遭受黑客入侵的可能性,具有极高的安全性。同时,本发明实施例中使用非对称密钥加密机制时,私钥存储在信息处理设备的安全存储模块中,公钥存储在信息处理服务器中,即使信息处理服务器遭受黑客入侵,公钥全部泄露,攻击者也无法伪造任何用户的身份进行身份识别,从而不构成任何威胁。最后,由于密钥的长度和强度足够,因此可以直接使用信息处理设备的设备标识(可以为其唯一的编号)作为用户名,每次对种子信息加密生成的密文信息或已签名的信息作为密码进行身份识别(包括进行电子签名或者身份认证),实现一次一密,且密码复杂度远远高于普通人类设置的密码,安全性和便利性均大大提高。
因此,相对于传统的身份认证方法中对用户身份相关信息的处理方式,本发明实施例提供的信息处理方法安全性更高,实现了高度复杂的密码和一次一密,避免了密码被窃取的风险。且本发明实施例提供的应用于电子签名或者身份认证中的信息处理方法,更方便快捷,用户无需记忆和输入各种不同的用户名和密码,直接扫描图形码即可快速完成电子签名或者身份认证等过程。
由于本发明实施例提供的信息处理方法中的密码长度和强度比普通用户设置的密码及现有的RSA SecurID双因素认证令牌使用的6位纯数字高很多,因此,在应用于身份认证场景下时,其可以直接作为主密码进行电子签名或者身份认证。
另外,本发明实施例提供的信息处理系统还可以用于企业门禁系统,即企业只需要安装图形码扫描装置(例如可以为摄像头),并为每一员工配备一个信息处理设备,在进入时可以通过扫描信息处理设备生成的用户身份认证信息对其进行认证,通过则允许进入,同时,还可以记录门开启时间等信息。
基于同一发明构思,本发明实施例中还分别提供了一种信息处理服务器、信息处理设备和终端设备实施的信息处理方法和相关设备,由于上述方法及设备解决问题的原理与信息处理系统相似,因此上述方法及设备的实施可以参见系统的实施,重复之处不再赘述。
实施例四
如图4所示,为本发明实施例提供的信息处理服务器实施的信息处理方法的实施流程示意图,包括:
S41、接收终端设备发送的身份识别请求。
其中,身份识别请求为所述终端设备根据从信息处理设备获取的身份识别信息确定出的,所述身份识别信息中包括第二认证信息,所述第二认证信息为所述信息处理设备利用存储的第一密钥对种子信息进行处理得到的,所述种子信息至少包括用户向所述信息处理设备输入的第一认证信息。
S42、根据接收到的身份识别请求获得所述第二认证信息。
S43、根据获得的第二认证信息识别所述用户。
其中,根据终端设备发送身份识别请求的方式,信息处理服务器可以通过不同的方式获得第二认证信息。
若身份识别请求为所述终端设备按照以下方式发送的:所述终端设备从信息处理设备获取的身份识别信息中提取所述第二认证信息,将所述第二认证信息携带在所述身份识别请求中发送。基于此,步骤S42中,可以按照以下方式获得第二认证信息:在接收到所述身份识别请求后,从所述身份识别请求中获取所述第二认证信息。
若身份识别请求为终端设备按照以下方式发送的:将从信息处理设备获取的身份识别信息携带在所述身份识别请求中发送。基于此,步骤S42中,信息处理服务器可以按照以下方式获得第二认证信息:在接收到身份识别请求后,从所述身份识别请求携带的身份识别信息中提取所述第二认证信息。
较佳的,具体实施时,第二认证信息为所述信息处理设备按照以下方法对所述种子信息进行处理得到的:利用所述第一密钥对所述第一认证信息进行加密、签名或者哈希计算。
较佳的,步骤S43中,根据获得的第二认证信息识别所述用户,可以按照以下方式实施:从存储的密钥中,查找所述第一密钥对应的第二密钥;利用查找到的第二密钥还原和/或验证所述第二认证信息,并根据还原结果或者认证结果确定是否能够识别所述用户。
较佳的,身份识别信息中还包括所述信息处理设备的设备标识,基于此,信息处理服务器在接收到身份识别请求后,可以按照以下方式查找第一密钥对应的第二密钥:根据获得的设备标识从自身存储的设备标识与密钥的对应关系中查找所述设备标识对应的密钥,将查找到的密钥确定为所述第一密钥所对应的第二密钥。
为了进一步增加信息处理的安全性,种子信息中还可以包括第三认证信息,所述第三认证信息为计算机系统能够处理的任一信息。较佳的,种子信息可以但不限于为信息处理设备的当前时间。则第二认证信息为信息处理设备按照以下方法对种子信息进行处理得到的:利用第一密钥对第一认证信息和/或所述第三认证信息进行加密、签名或者哈希计算;以及利用第二密钥还原和/或验证第二认证信息,可以包括:利用第二密钥对第二认证信息中包含的处理后的第一认证信息和/或第三认证信息进行还原和/或验证。
实施例五、
如图5所示,为本发明实施例提供的信息处理服务器的结构示意图,可以包括:
接收单元51,用于接收终端设备发送的身份识别请求,所述身份识别请求为所述终端设备根据从信息处理设备获取的用户身份识别信息确定出的,所述身份识别信息中包括第二认证信息,所述第二认证信息为所述信息处理设备利用存储的第一密钥对种子信息进行处理得到的,所述种子信息至少包括用户向所述信息处理设备输入的第一认证信息;
获得单元52,用于根据接收到的身份识别请求获得所述第二认证信息;
识别单元53,用于根据所述获得单元获得的第二认证信息识别所述用户。
其中,身份识别请求为终端设备按照以下方式发送的:终端设备从信息处理设备获取的身份识别信息中提取所述第二认证信息,将所述第二认证信息携带在所述身份识别请求中发送;以及
获得单元52,具体用于在所述接收单元51接收到所述身份识别请求后,从身份识别请求中获取所述第二认证信息。
其中,身份识别请求为所述终端设备按照以下方式发送的:将从信息处理设备获取的身份识别信息携带在所述身份识别请求中发送;以及获得单元52,具体用于在接收到身份识别请求后,从身份识别请求携带的身份识别信息中提取所述第二认证信息。
具体实施时,第二认证信息为所述信息处理设备按照以下方法对所述种子信息进行处理得到的:利用所述第一密钥对所述第一认证信息进行加密、签名或者哈希计算。
较佳的,识别单元53可以包括:
查找子单元,用于在所述获得单元获得所述第二认证信息之后,从存储的密钥中,查找所述第一密钥对应的第二密钥;
识别子单元,具体用于利用所述查找子单元查找到的第二密钥还原和/或验证所述第二认证信息,并根据还原结果或者认证结果确定是否能够识别所述用户。
较佳的,身份识别信息中还可以包括所述信息处理设备的设备标识;以及
所述获得单元,还用于在接收到所述身份识别请求后,根据所述身份识别请求获得所述设备标识;
所述查找子单元,可以用于根据所述获得单元获得的设备标识从自身存储的设备标识与密钥的对应关系中查找所述设备标识对应的密钥,将查找到的密钥确定为所述第一密钥所对应的第二密钥。
具体实施时,身份识别信息为电子签名信息或者身份认证信息;若所述身份识别信息为身份认证信息时,所述种子信息中还包括第三认证信息,所述第三认证信息为计算机系统能够处理的任一信息;所述第二认证信息为所述信息处理设备按照以下方法对所述种子信息进行处理得到的:利用所述第一密钥对所述第一认证信息和/或所述第三认证信息进行加密、签名或者哈希计算;以及
所述识别子单元单元,具体用于利用所述第二密钥对所述第二认证信息中包含的处理后的第一认证信息和/或第三认证信息进行还原和/或验证。
为了描述的方便,以上各部分按照功能划分为各模块(或单元)分别描述。当然,在实施本发明时可以把各模块(或单元)的功能在同一个或多个软件或硬件中实现。
实施例六、
如图6所示,为本发明实施例提供的信息处理设备实施的信息处理方法的实施流程示意图,可以包括以下步骤:
S61、接收用户输入的第一认证信息。
S62、利用存储的第一密钥对种子信息进行处理得到第二认证信息,所述种子信息至少包括所述第一认证信息。
S63、生成所述用户的身份识别信息,所述身份识别信息中包括所述第二认证信息。
所述身份识别信息为图形码;以及在步骤S63中,在生成所述图形码后,还包括:显示所述图像码。
较佳的,步骤S62中,利用存储的第一密钥对种子信息进行处理得到第二认证信息,可以按照以下方式实施:
利用存储的第一密钥对所述第一认证信息进行加密、签名或者哈希运算得到所述第二认证信息。
较佳的,种子信息中还可以包括第三认证信息,所述第三认证信息为计算机系统能够处理的任一信息。
以第三认证信息为所述信息处理设备的当前时间为例,则步骤S62中,利用存储的第一密钥对种子信息进行处理得到第二认证信息,可以按照以下方式实施:
利用存储的第一密钥分别对所述第一认证信息和/或第三认证信息进行加密、签名或者哈希运算得到所述第二认证信息。
如图7所示,为本发明实施例提供的信息处理设备的结构示意图,可以包括:
信息接收单元71,用于接收用户输入的第一认证信息;
信息处理单元72,用于利用存储的第一密钥对种子信息进行处理得到第二认证信息,所述种子信息至少包括所述第一认证信息;
生成单元73,用于生成所述用户的身份识别信息,所述身份识别信息中包括所述第二认证信息。
其中,身份识别信息为图形码;以及
本发明实施例提供的信息处理设备,还可以包括:
显示单元,用于显示所述图像码。
具体实施时,信息处理单元72,可以用于利用存储的第一密钥对所述第一认证信息进行加密、签名或者哈希运算得到所述第二认证信息。
较佳的,种子信息还可以包括第三认证信息,所述第三认证信息为计算机系统能够处理的任一信息。信息处理单元,具体用于利用存储的第一密钥对所述第一认证信息和/或第三认证信息进行加密、签名或者哈希运算得到所述第二认证信息。
为了描述的方便,以上各部分按照功能划分为各模块(或单元)分别描述。当然,在实施本发明时可以把各模块(或单元)的功能在同一个或多个软件或硬件中实现。
实施例八、
如图8所示,为本发明实施例提供的终端设备实施的信息处理方法的实施流程示意图,可以包括以下步骤:
S81、获取信息处理设备根据种子信息生成的身份识别信息。
其中,种子信息中至少包括用户向所述信息处理设备输入的第一认证信息;所述身份识别信息中包括第二认证信息,所述第二认证信息为所述信息处理设备利用存储的第一密钥对所述种子信息进行处理得到的。
S82、根据获取的身份识别信息向信息处理服务器发送身份识别请求。
其中,步骤S82可以按照以下两种方式中的任一种实施:
实施方式一、从获取的身份识别信息中提取所述第二认证信息,将所述第二认证信息携带在所述身份识别请求中发送给所述信息处理服务器
实施方式二、将获取身份识别信息携带在所述身份识别请求中发送给所述信息处理服务器。
具体实施时,身份识别信息可以为图形码,则步骤S81可以包括扫描所述信息处理设备显示的所述图形码。
如图9所示,为本发明实施例提供的终端设备的结构示意图,可以包括:
获取单元91,用于获取信息处理设备根据种子信息生成的身份识别信息。
其中,种子信息中至少包括用户向所述信息处理设备输入的第一认证信息;所述身份识别信息中包括第二认证信息,所述第二认证信息为所述信息处理设备利用存储的第一密钥对所述种子信息进行处理得到的。
发送单元92,用于根据获取的身份识别信息向信息处理服务器发送身份识别请求。
具体实施时,发送单元92,可以用于从所述获取单元91获取的身份识别信息中提取所述第二认证信息,将所述第二认证信息携带在所述身份识别请求中发送给所述信息处理服务器。
发送单元92,可以用于将所述获取单元91获取的身份识别信息携带在所述身份识别请求中发送给所述信息处理服务器。
较佳的,身份识别信息可以为图形码;以及
所述获取单元91,可以用于扫描所述信息处理设备显示的所述图形码。
为了描述的方便,以上各部分按照功能划分为各模块(或单元)分别描述。当然,在实施本发明时可以把各模块(或单元)的功能在同一个或多个软件或硬件中实现。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序信息的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (44)
1.一种信息处理系统,其特征在于,包括:
信息处理设备,用于接收用户输入的第一认证信息;利用存储的第一密钥对种子信息进行处理得到第二认证信息,所述种子信息至少包括所述第一认证信息;生成所述用户对应的身份识别信息,所述身份识别信息中包括所述第二认证信息;
终端设备,用于向所述信息处理设备获取所述身份识别信息;根据所述身份识别信息向信息处理服务器发送身份识别请求;
所述信息处理服务器,用于根据接收到的身份识别请求获得所述第二认证信息;根据获得的第二认证信息识别所述用户。
2.如权利要求1所述的系统,其特征在于,
所述终端设备,具体用于从获取的身份识别信息中提取所述第二认证信息,将所述第二认证信息携带在所述身份识别请求中发送给所述信息处理服务器;
所述信息处理服务器,具体用于在接收到所述身份识别请求后,从所述身份识别请求中获取所述第二认证信息。
3.如权利要求1所述的系统,其特征在于,
所述终端设备,具体用于将获取的身份识别信息携带在所述身份识别请求中发送给所述信息处理服务器;
所述信息处理服务器,具体用于在接收到所述身份识别请求后,从所述身份识别请求携带的身份识别信息中提取所述第二认证信息。
4.如权利要求1所述的系统,其特征在于,
所述信息处理设备,具体用于利用存储的第一密钥对第一认证信息进行加密、签名或者哈希运算得到所述第二认证信息。
5.如权利要求1所述的系统,其特征在于,所述第一认证信息为所述用户通过以下任一方式输入的:物理键盘输入方式、滚轮输入方式、触摸屏输入方式、扫描图形码输入方式、频闪通信输入方式、语音识别输入方式、摄像头识别输入方式、无线通信输入方式、红外扫描输入方式、激光扫描输入方式或者图形码数据采集输入方式。
6.如权利要求1所述的系统,其特征在于,所述身份识别信息为图形码;以及
所述信息处理设备,还用于在生成所述图形码后,显示所述图形码;
所述终端设备,具体用于通过扫描所述信息处理设备显示的所述图形码来获取所述身份识别信息。
7.如权利要求6所述的系统,其特征在于,所述图形码包括一维码或者二维码。
8.如权利要求1所述的系统,其特征在于,
所述信息处理服务器,具体用于在获得所述第二认证信息后,从自身存储的密钥中,查找所述第一密钥对应的第二密钥;利用查找到的第二密钥还原和/或验证所述第二认证信息,并根据还原结果或者认证结果确定是否能够识别所述用户。
9.如权利要求8所述的系统,其特征在于,所述身份识别信息中还包括所述信息处理设备的设备标识;
所述信息处理服务器,还用于在接收到所述身份识别请求之后,获得所述设备标识;根据获得的设备标识从自身存储的设备标识与密钥的对应关系中查找所述设备标识对应的密钥,将查找到的密钥确定为所述第一密钥所对应的第二密钥。
10.如权利要求1~9任一权利要求所述的系统,其特征在于,所述身份识别信息为电子签名信息或身份认证信息。
11.如权利要求10所述的系统,其特征在于,若所述身份识别信息为身份认证信息时,所述种子信息中还包括第三认证信息,所述第三认证信息为计算机系统能够处理的任一信息。
12.如权利要求11所述的系统,其特征在于,
所述信息处理设备,具体用于利用存储的第一密钥对第一认证信息和/或第三认证信息进行加密、签名或者哈希运算得到所述第二认证信息;
所述信息处理服务器,具体用于利用所述第二密钥对所述第二认证信息中包含的处理后的第一认证信息和/或第三认证信息进行还原和/或验证。
13.如权利要求12所述的系统,其特征在于,所述第三认证信息为所述信息处理设备的当前时间。
14.如权利要求1所述的系统,其特征在于,所述系统采用非对称密钥加密体系,其中,所述信息处理设备存储的第一密钥为私钥,所述信息处理服务器存储的第二密钥为所述私钥对应的公钥。
15.一种信息处理方法,其特征在于,包括:
接收终端设备发送的身份识别请求,所述身份识别请求为所述终端设备根据从信息处理设备获取的身份识别信息确定出的,所述身份识别信息中包括第二认证信息,所述第二认证信息为所述信息处理设备利用存储的第一密钥对种子信息进行处理得到的,所述种子信息至少包括用户向所述信息处理设备输入的第一认证信息;
根据接收到的身份识别请求获得所述第二认证信息;
根据获得的第二认证信息识别所述用户。
16.如权利要求15所述的方法,其特征在于,所述身份识别请求为所述终端设备按照以下方式发送的:所述终端设备从信息处理设备获取的身份识别信息中提取所述第二认证信息,将所述第二认证信息携带在所述身份识别请求中发送;以及
根据接收到的身份识别请求获得所述第二认证信息,具体包括:
在接收到所述身份识别请求后,从所述身份识别请求中获取所述第二认证信息。
17.如权利要求15所述的方法,其特征在于,所述身份识别请求为所述终端设备按照以下方式发送的:将从信息处理设备获取的身份识别信息携带在所述身份识别请求中发送;以及
根据接收到的身份识别请求获得所述第二认证信息,具体包括:
在接收到所述身份识别请求后,从所述身份识别请求携带的身份识别信息中提取所述第二认证信息。
18.如权利要求15所述的方法,其特征在于,所述第二认证信息为所述信息处理设备按照以下方法对所述种子信息进行处理得到的:利用所述第一密钥对所述第一认证信息进行加密、签名或者哈希计算。
19.如权利要求15所述的方法,其特征在于,根据获得的第二认证信息识别所述用户,具体包括:
从存储的密钥中,查找所述第一密钥对应的第二密钥;
利用查找到的第二密钥还原和/或验证所述第二认证信息,并根据还原结果或者认证结果确定是否能够识别所述用户。
20.如权利要求19所述的方法,其特征在于,所述身份识别信息中还包括所述信息处理设备的设备标识;以及
在接收到所述身份识别请求后,还包括:根据所述身份识别请求获得所述设备标识;以及
从存储的密钥中,查找所述第一密钥对应的第二密钥,具体包括:
根据获得的设备标识从自身存储的设备标识与密钥的对应关系中查找所述设备标识对应的密钥,将查找到的密钥确定为所述第一密钥所对应的第二密钥。
21.如权利要求19或20所述的方法,其特征在于,所述身份识别信息为电子签名信息或者身份认证信息;以及
若所述身份识别信息为身份认证信息时,所述种子信息还包括第三认证信息,所述第三认证信息为计算机系统能够处理的任一信息;所述第二认证信息为所述信息处理设备按照以下方法对所述种子信息进行处理得到的:利用所述第一密钥对所述第一认证信息和/或所述第三认证信息进行加密、签名或者哈希计算;以及
利用第二密钥还原和/或验证所述第二认证信息,具体包括:
利用所述第二密钥对所述第二认证信息中包含的处理后的第一认证信息和/或第三认证信息进行还原和/或验证。
22.一种信息处理服务器,其特征在于,包括:
接收单元,用于接收终端设备发送的身份识别请求,所述身份识别请求为所述终端设备根据从信息处理设备获取的用户身份识别信息确定出的,所述身份识别信息中包括第二认证信息,所述第二认证信息为所述信息处理设备利用存储的第一密钥对种子信息进行处理得到的,所述种子信息至少包括用户向所述信息处理设备输入的第一认证信息;
获得单元,用于根据接收到的身份识别请求获得所述第二认证信息;
识别单元,用于根据所述获得单元获得的第二认证信息识别所述用户。
23.如权利要求22所述的信息处理服务器,其特征在于,所述身份识别请求为所述终端设备按照以下方式发送的:所述终端设备从信息处理设备获取的身份识别信息中提取所述第二认证信息,将所述第二认证信息携带在所述身份识别请求中发送;以及
所述获得单元,具体用于在所述接收单元接收到所述身份识别请求后,从所述身份识别请求中获取所述第二认证信息。
24.如权利要求22所述的信息处理服务器,其特征在于,所述身份识别请求为所述终端设备按照以下方式发送的:将从信息处理设备获取的身份识别信息携带在所述身份识别请求中发送;以及
所述获得单元,具体用于在接收到所述身份识别请求后,从所述身份识别请求携带的身份识别信息中提取所述第二认证信息。
25.如权利要求22所述的信息处理服务器,其特征在于,所述第二认证信息为所述信息处理设备按照以下方法对所述种子信息进行处理得到的:利用所述第一密钥对所述第一认证信息进行加密、签名或者哈希计算。
26.如权利要求22所述的信息处理服务器,其特征在于,所述识别单元,包括:
查找子单元,用于在所述获得单元获得所述第二认证信息之后,从存储的密钥中,查找所述第一密钥对应的第二密钥;
识别子单元,具体用于利用所述查找子单元查找到的第二密钥还原和/或验证所述第二认证信息,并根据还原结果或者认证结果确定是否能够识别所述用户。
27.如权利要求26所述的信息处理服务器,其特征在于,所述身份识别信息中还包括所述信息处理设备的设备标识;以及
所述获得单元,还用于在接收到所述身份识别请求后,根据所述身份识别请求获得所述设备标识;
所述查找子单元,具体用于根据所述获得单元获得的设备标识从自身存储的设备标识与密钥的对应关系中查找所述设备标识对应的密钥,将查找到的密钥确定为所述第一密钥所对应的第二密钥。
28.如权利要求26或27所述的信息处理服务器,其特征在于,所述身份识别信息为电子签名信息或者身份认证信息;以及
若所述身份识别信息为身份认证信息时,所述种子信息中还包括第三认证信息,所述第三认证信息为计算机系统能够处理的任一信息;所述第二认证信息为所述信息处理设备按照以下方法对所述种子信息进行处理得到的:利用所述第一密钥对所述第一认证信息和/或所述第三认证信息进行加密、签名或者哈希计算;以及
所述识别子单元单元,具体用于利用所述第二密钥对所述第二认证信息中包含的处理后的第一认证信息和/或第三认证信息进行还原和/或验证。
29.一种信息处理方法,其特征在于,包括:
接收用户输入的第一认证信息;
利用存储的第一密钥对种子信息进行处理得到第二认证信息,所述种子信息至少包括所述第一认证信息;
生成所述用户的身份识别信息,所述身份识别信息中包括所述第二认证信息。
30.如权利要求29所述的方法,其特征在于,所述身份识别信息为图形码;以及
在生成所述图形码后,还包括:
显示所述图像码。
31.如权利要求29所述的方法,其特征在于,利用存储的第一密钥对种子信息进行处理得到第二认证信息,具体包括:
利用存储的第一密钥对所述第一认证信息进行加密、签名或者哈希运算得到所述第二认证信息。
32.如权利要求29所述的方法,其特征在于,所述种子信息还包括第三认证信息,所述第三认证信息为计算机系统能够处理的任一信息;以及
利用存储的第一密钥对种子信息进行处理得到第二认证信息,具体包括:
利用存储的第一密钥对所述第一认证信息和/或第三认证信息进行加密、签名或者哈希运算得到所述第二认证信息。
33.一种信息处理设备,其特征在于,包括:
信息接收单元,用于接收用户输入的第一认证信息;
信息处理单元,用于利用存储的第一密钥对种子信息进行处理得到第二认证信息,所述种子信息至少包括所述第一认证信息;
生成单元,用于生成所述用户的身份识别信息,所述身份识别信息中包括所述第二认证信息。
34.如权利要求33所述的信息处理设备,其特征在于,所述身份识别信息为图形码;以及
所述信息处理设备,还包括:
显示单元,用于显示所述图形码。
35.如权利要求33所述的信息处理设备,其特征在于,
所述信息处理单元,具体用于利用存储的第一密钥对所述第一认证信息进行加密、签名或者哈希运算得到所述第二认证信息。
36.如权利要求33所述的信息处理设备,其特征在于,所述种子信息还包括第三认证信息,所述第三认证信息为计算机系统能够处理的任一信息;以及
所述信息处理单元,具体用于利用存储的第一密钥对所述第一认证信息和/或第三认证信息进行加密、签名或者哈希运算得到所述第二认证信息。
37.一种信息处理方法,其特征在于,包括:
获取信息处理设备根据种子信息生成的身份识别信息,所述种子信息中至少包括用户向所述信息处理设备输入的第一认证信息;所述身份识别信息中包括第二认证信息,所述第二认证信息为所述信息处理设备利用存储的第一密钥对所述种子信息进行处理得到的;
根据获取的身份识别信息向信息处理服务器发送身份识别请求。
38.如权利要求37所述的方法,其特征在于,根据获取的身份识别信息向信息处理服务器发送身份识别请求,具体包括:
从获取的身份识别信息中提取所述第二认证信息,将所述第二认证信息携带在所述身份识别请求中发送给所述信息处理服务器。
39.如权利要求37所述的方法,其特征在于,根据获取的身份识别信息向信息处理服务器发送身份识别请求,具体包括:
将获取身份识别信息携带在所述身份识别请求中发送给所述信息处理服务器。
40.如权利要求37、38或39所述的方法,其特征在于,所述身份识别信息为图形码;以及
从信息处理设备获取用户的身份识别信息,具体包括:
扫描所述信息处理设备显示的所述图形码。
41.一种终端设备,其特征在于,包括:
获取单元,用于获取信息处理设备根据种子信息生成的身份识别信息,所述种子信息中至少包括用户向所述信息处理设备输入的第一认证信息;所述身份识别信息中包括第二认证信息,所述第二认证信息为所述信息处理设备利用存储的第一密钥对所述种子信息进行处理得到的;
发送单元,用于根据获取的身份识别信息向信息处理服务器发送身份识别请求。
42.如权利要求41所述的终端设备,其特征在于,
所述发送单元,具体用于从所述获取单元获取的身份识别信息中提取所述第二认证信息,将所述第二认证信息携带在所述身份识别请求中发送给所述信息处理服务器。
43.如权利要求41所述的终端设备,其特征在于,
所述发送单元,具体用于将所述获取单元获取的身份识别信息携带在所述身份识别请求中发送给所述信息处理服务器。
44.如权利要求41、42或43所述的终端设备,其特征在于,所述身份识别信息为图形码;以及
所述获取单元,具体用于扫描所述信息处理设备显示的所述图形码。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510100613.7A CN104767616B (zh) | 2015-03-06 | 2015-03-06 | 一种信息处理方法、系统及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510100613.7A CN104767616B (zh) | 2015-03-06 | 2015-03-06 | 一种信息处理方法、系统及相关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104767616A true CN104767616A (zh) | 2015-07-08 |
| CN104767616B CN104767616B (zh) | 2016-08-24 |
Family
ID=53649249
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510100613.7A Expired - Fee Related CN104767616B (zh) | 2015-03-06 | 2015-03-06 | 一种信息处理方法、系统及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104767616B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104994115A (zh) * | 2015-08-06 | 2015-10-21 | 上海斐讯数据通信技术有限公司 | 一种登录认证方法及系统 |
| CN105162764A (zh) * | 2015-07-30 | 2015-12-16 | 北京石盾科技有限公司 | 一种ssh安全登录的双重认证方法、系统和装置 |
| CN105245341A (zh) * | 2015-09-07 | 2016-01-13 | 天地融科技股份有限公司 | 远程身份认证方法和系统以及远程开户方法和系统 |
| CN105304088A (zh) * | 2015-11-10 | 2016-02-03 | 华为技术有限公司 | 控制接入的方法和装置 |
| CN105550877A (zh) * | 2015-12-21 | 2016-05-04 | 北京智付融汇科技有限公司 | 支付方法及装置 |
| CN105871867A (zh) * | 2016-04-27 | 2016-08-17 | 腾讯科技(深圳)有限公司 | 身份认证方法、系统及设备 |
| CN106549919A (zh) * | 2015-09-21 | 2017-03-29 | 阿里巴巴集团控股有限公司 | 一种信息注册、认证方法及装置 |
| CN108234412A (zh) * | 2016-12-15 | 2018-06-29 | 腾讯科技(深圳)有限公司 | 身份验证方法与装置 |
| TWI644279B (zh) * | 2016-09-02 | 2018-12-11 | 台新綜合證券股份有限公司 | 用於促成線上證券戶開立之方法及系統 |
| CN110211581A (zh) * | 2019-05-16 | 2019-09-06 | 济南市疾病预防控制中心 | 一种实验室自动语音识别记录标识系统及方法 |
| TWI673621B (zh) * | 2017-01-19 | 2019-10-01 | 香港商阿里巴巴集團服務有限公司 | 資訊註冊、認證方法及裝置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104065653A (zh) * | 2014-06-09 | 2014-09-24 | 韩晟 | 一种交互式身份验证方法、装置、系统和相关设备 |
-
2015
- 2015-03-06 CN CN201510100613.7A patent/CN104767616B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104065653A (zh) * | 2014-06-09 | 2014-09-24 | 韩晟 | 一种交互式身份验证方法、装置、系统和相关设备 |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105162764A (zh) * | 2015-07-30 | 2015-12-16 | 北京石盾科技有限公司 | 一种ssh安全登录的双重认证方法、系统和装置 |
| CN104994115B (zh) * | 2015-08-06 | 2018-02-13 | 上海斐讯数据通信技术有限公司 | 一种登录认证方法及系统 |
| CN104994115A (zh) * | 2015-08-06 | 2015-10-21 | 上海斐讯数据通信技术有限公司 | 一种登录认证方法及系统 |
| WO2017041715A1 (zh) * | 2015-09-07 | 2017-03-16 | 天地融科技股份有限公司 | 远程身份认证方法和系统以及远程开户方法和系统 |
| CN105245341A (zh) * | 2015-09-07 | 2016-01-13 | 天地融科技股份有限公司 | 远程身份认证方法和系统以及远程开户方法和系统 |
| CN105245341B (zh) * | 2015-09-07 | 2018-11-30 | 天地融科技股份有限公司 | 远程身份认证方法和系统以及远程开户方法和系统 |
| US10606997B2 (en) | 2015-09-07 | 2020-03-31 | Tendyron Corporation | Remote identity authentication method and system and remote account opening method and system |
| AU2016325979B2 (en) * | 2015-09-21 | 2020-01-23 | Advanced New Technologies Co., Ltd. | Information registration and authentication method and device |
| US11218464B2 (en) | 2015-09-21 | 2022-01-04 | Advanced New Technologies Co., Ltd. | Information registration and authentication method and device |
| CN106549919A (zh) * | 2015-09-21 | 2017-03-29 | 阿里巴巴集团控股有限公司 | 一种信息注册、认证方法及装置 |
| WO2017050147A1 (zh) * | 2015-09-21 | 2017-03-30 | 阿里巴巴集团控股有限公司 | 一种信息注册、认证方法及装置 |
| RU2682430C1 (ru) * | 2015-09-21 | 2019-03-19 | Алибаба Груп Холдинг Лимитед | Способ и устройство регистрации и аутентификации информации |
| CN105304088B (zh) * | 2015-11-10 | 2020-02-14 | 华为技术有限公司 | 控制接入的方法和装置 |
| CN105304088A (zh) * | 2015-11-10 | 2016-02-03 | 华为技术有限公司 | 控制接入的方法和装置 |
| CN105550877A (zh) * | 2015-12-21 | 2016-05-04 | 北京智付融汇科技有限公司 | 支付方法及装置 |
| CN105871867A (zh) * | 2016-04-27 | 2016-08-17 | 腾讯科技(深圳)有限公司 | 身份认证方法、系统及设备 |
| TWI644279B (zh) * | 2016-09-02 | 2018-12-11 | 台新綜合證券股份有限公司 | 用於促成線上證券戶開立之方法及系統 |
| CN108234412A (zh) * | 2016-12-15 | 2018-06-29 | 腾讯科技(深圳)有限公司 | 身份验证方法与装置 |
| TWI673621B (zh) * | 2017-01-19 | 2019-10-01 | 香港商阿里巴巴集團服務有限公司 | 資訊註冊、認證方法及裝置 |
| CN110211581A (zh) * | 2019-05-16 | 2019-09-06 | 济南市疾病预防控制中心 | 一种实验室自动语音识别记录标识系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104767616B (zh) | 2016-08-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104065652B (zh) | 一种身份验证方法、装置、系统及相关设备 | |
| CN104065653B (zh) | 一种交互式身份验证方法、装置、系统和相关设备 | |
| CN104767616A (zh) | 一种信息处理方法、系统及相关设备 | |
| US20220191016A1 (en) | Methods, apparatuses, and computer program products for frictionless electronic signature management | |
| US8751794B2 (en) | System and method for secure nework login | |
| CN109150548B (zh) | 一种数字证书签名、验签方法及系统、数字证书系统 | |
| CN104767617A (zh) | 一种信息处理方法、系统和相关设备 | |
| CN105099692B (zh) | 安全校验方法、装置、服务器及终端 | |
| CN104063650B (zh) | 一种密钥存储设备及其使用方法 | |
| CN102217277B (zh) | 基于令牌进行认证的方法和系统 | |
| KR102202547B1 (ko) | 액세스 요청을 검증하기 위한 방법 및 시스템 | |
| US20170085561A1 (en) | Key storage device and method for using same | |
| CN108684041A (zh) | 登录认证的系统和方法 | |
| KR101451359B1 (ko) | 사용자 계정 회복 | |
| CN107113613B (zh) | 服务器、移动终端、网络实名认证系统及方法 | |
| CN105007274A (zh) | 一种基于移动终端的身份认证系统和方法 | |
| CN104270338A (zh) | 一种电子身份注册及认证登录的方法及其系统 | |
| WO2019226115A1 (en) | Method and apparatus for user authentication | |
| US20210234850A1 (en) | System and method for accessing encrypted data remotely | |
| CN110650021A (zh) | 一种认证终端网络实名认证方法和系统 | |
| CN114531277A (zh) | 一种基于区块链技术的用户身份认证方法 | |
| Jøsang | Identity management and trusted interaction in Internet and mobile computing | |
| KR102372503B1 (ko) | 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버 | |
| Pampori et al. | Securely eradicating cellular dependency for e-banking applications | |
| CN111083100A (zh) | 基于消息推送增强Linux操作系统登录安全性的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160824 Termination date: 20180306 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |