CN104901967A - 信任设备的注册方法 - Google Patents
信任设备的注册方法 Download PDFInfo
- Publication number
- CN104901967A CN104901967A CN201510310821.XA CN201510310821A CN104901967A CN 104901967 A CN104901967 A CN 104901967A CN 201510310821 A CN201510310821 A CN 201510310821A CN 104901967 A CN104901967 A CN 104901967A
- Authority
- CN
- China
- Prior art keywords
- code
- tca
- registration
- server
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1073—Registration or de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
Abstract
本发明公开了信任设备的注册方法。包括步骤:(1)向TCA-Server端申请注册QR码,TCA-Server端向指定终端、途径颁发展示给用户;(2)用户使用设备扫描注册QR码;(3)注册QR码合法则页面跳转要求用户创建本地验证生物特征码;(4)设备向SM2国密策略服务器请求加密密钥LCC的生成随机策略,设备根据随机策略生成加密密钥和解密密钥,国密策略服务器生成配套的解密密钥的校验策略并发到TCA-Server端;(5)将生成的解密密钥授权给TCA-Server端;(6)TCA-Server端根据解密密钥的校验策略进行验证,验证成功则保存;(7)注册成功。本发明的用户身份信息保存在设备端,避免服务端的数据泄露;本发明即使身份标记被导出,也无法在其他的硬件环境下使用,防止了信息在设备端的泄露。
Description
技术领域
本发明涉及信任设备的注册方法,属于身份认证领域。
背景技术
现有的带外身份认证方法中,注册这个环节遵循传统模式,代表用身份的KEY和判定的准则都是由TCA服务端完成的,TCA:Two Channel Authentication,也就是说TCA服务器在注册这个环节中是用户身份标记产生和发放者,同时也是用户身份的判定者,面临的问题是:
(1)在注册过程中,如果通讯被劫持,就可能会将用户的身份标记泄漏出去,导致中间人攻击有效。
(2)我们的服务器数据如果泄漏,那么用户的身份标记也可能被冒用,导致服务端攻击有效。
(3)违背了实际生活中的原则:我是谁,本人就是最好的标记,生成身份标记的权限应该只有用户自己拥有的,谁可以判定我是谁的权限是用户本人授予的,这也是国际快速网络身份认证的标准FIDO的核心。
发明内容
本发明的目的在于提供信任设备的注册方法,主要解决带外身份认证流程中注册环节容易造成信息泄露的问题。
为了实现上述目的,本发明采用的技术方案如下:
信任设备的注册方法,包括步骤:
(1)向TCA-Server端申请注册QR码,TCA-Server端向指定终端、途径颁发展示给用户;
(2)用户使用设备扫描注册QR码;
(3)注册QR码合法则页面跳转要求用户创建本地验证生物特征码;
(4)设备向SM2国密策略服务器请求加密密钥LCC的生成随机策略,设备根据随机策略生成加密密钥和解密密钥,SM2国密策略服务器生成配套的解密密钥的校验策略并发到TCA-Server端;
(5)将生成的解密密钥授权给TCA-Server端;
(6)TCA-Server端根据解密密钥的校验策略进行验证,验证成功则保存;
(7)验证通过则返回注册成功,该设备则成功注册为信任设备。
具体地,在扫描注册QR码前,需由权限管理系统添加用户,填写邮箱信息,然后由配置管理系统为用户发送注册QR码到填写的邮箱中,展示给用户。用户还需下载并成功安装APP,由APP来执行扫描注册QR码的操作。
进一步地,所述注册QR码内容为TCA-Server端特征码、注册操作记、机构码、账号、注册唯一码、注册QR码生成时间戳。
更进一步地,所述步骤(3)注册QR码是否合法的验证流程为:
a、由TCA-Server将其特征码使用国密对称算法加密成TCA-Server端特征码标记;
b、设备端提前将解密用的KEY硬编码到代码中,然后获取注册QR码中包含的TCA-Server端特征码,解密之后进行验证,若与本设备通讯地址一致那么判断为合法,执行注册流程。
再进一步地,生成加密密钥和解密密钥包括三要素,具体为:
1)扫描注册QR码获取到的TCA-Server端特征码;
2)用户创建的本地验证生物特征码,本地验证生物特征码包含声纹、指纹、面部特征信息中的一种或多种;
3)APP自动获取到的设备特征码;
TCA-Server端验证通过后保存的信息包括设备信息、账户信息、解密密钥。
再进一步地,所述步骤(5)的具体实现过程为:
a、安装APP安全组件,随机获取设备信息,设备信息为设备的硬件信息,包括主板信息、CPU信息、内存信息;
b、获取成功后,再获取硬件唯一码及用户本地验证生物特征码,然后根据扫描注册QR码获取到的TCA-Server端特征码,请求SM2国密策略服务器,申请本次密钥对生成的随机策略,然后使用该随机策略按照SM2算法生成密钥对,即加密密钥和解密密钥;
c、将加密密钥使用用户本地验证生物特征码进行激活锁定处理后,保存到设备本地的KeyStore中。
与现有技术相比,本发明具有以下有益效果:
(1)本发明的用户身份信息保存在设备端,避免TCA-Server端的数据泄露。
(2)本发明身份标记三维锁定,只有在注册的设备端硬件环境下才有效,同时,锁定了访问的TCA服务器,并且用户需要激活身份标记,进行本地强认证(生物特征,输指纹,面部识别等;软密码;三方硬件),优势在于即使身份标记被导出,也无法在其他的硬件环境下使用,防止了信息在设备端的泄露。
(3)信任的设备代替了传统的账号与密码,真正实现了无账号无密码,不需要记忆,非常适合大规模推广使用。
附图说明
图1为本发明的工作流程图。
具体实施方式
下面结合附图和实施例对本发明作进一步说明,本发明的实施方式包括但不限于下列实施例。
现有的注册流程为用户安装好APP,扫描注册QR码发起注册请求:
(1)提交内容为注册QR码生成时间戳(注册提交时间)+TRC+安装唯一码,之间使用三个连续“:”隔开,时间精确到毫秒,由注册唯一码+注册QR码生成时间戳(生成QR码的时间)进行AES加密成256位的注册信息串,加上注册账号,一起提交注册,加密可以考虑部分信息加密加上部分信息混码的方式;
(2)注册QR码内容:TCA(团体字标记):::QR_Scan_Reg(注册标记):::novunda(机构码):::zcr(账号):::AcXt!t6-9(注册唯一码):::注册QR码生成时间戳(该时间是生成注册QR码的时间);
(3)TCA-Server使用账号信息从数据库查询出注册唯一码和注册QR码生成时间戳,进行解密;再使用安装唯一码解密TRC,对注册信息进行验证;
(4)TCA-Server使用TRC+注册QR码生成时间戳(注册提交时间),加密账号信息生成256位私钥;
(5)TCA-Server将私钥响应给智能终端系统,预存注册信息;
(6)智能终端系统使用TRC+注册QR码生成时间戳(注册提交时间),解密私钥作为验证,通过后,使用PIN码加密保存私钥,再发起注册确认请求,确认请求的内容为:账号:::successful,使用私钥进行加密;
(7)服务端使用私钥解密得到确认注册请求后,将注册信息从预存表中转到正式表中保存账号信息、设备信息、私钥信息,返回注册成功信息到智能终端系统,注册成功;
注册智能终端系统与注册服务器使用socket通信,防止被截获串改,上述:::为具体的内容信息。
实施例
如图1所示,信任设备的注册方法如下:
(1)由权限管理系统添加用户,填写邮箱信息;
(2)在配置管理系统的“注册管理”中点击“激活”,为用户发送注册QR码到填写的邮箱中;
(3)用户设备在安装了APP后,点击“信任设备注册”,扫描注册QR码,并获取设备特征码;
(4)注册QR码合法则APP页面跳转,要求用户创建本地验证生物特征码(IOS8.3及以上);
(5)设备向SM2国密策略服务器请求加密密钥LCC的生成随机策略,设备根据随机策略生成加密密钥和解密密钥,SM2策略服务器生成配套的解密密钥的校验策略并发到TCA-Server端;
(6)将生成的解密密钥授权给TCA-Server端,授予该服务器判定用户设备身份的权限;
(7)TCA-Server端根据解密密钥的校验策略进行验证验证,验证成功则保存设备信息、账户信息、解密密钥;
(8)验证通过后返回注册成功,该设备则成功注册为信任设备。
其中,生成加密密钥和解密密钥包括三要素,具体为:
1)扫描注册QR码获取到的TCA-Server端特征码;
2)用户创建的本地验证生物特征码;
3)APP自动获取到的设备特征码。
在本实施例中,注册QR码内容为Lki88967hhjnhjkjs89(TCA-Server端特征码):::QR_REG(注册操作记):::novunda(机构码):::ZCV(用户账号):::AUYklo908+!(注册唯一码):::注册QR码生成时间戳(生成注册QR码的毫秒数)。
QR_REG(注册操作记),该值为判定扫描之后走什么流程的判定条件,为枚举:
QR_REG:注册
QR_LOGIN:登录
QR_PAY:交易
根据注册QR码的作用场景后续可扩展。
novunda(机构码),是权限管理系统为用户分配的,标注该用户属于哪个部门机构,为纯英文最长30个字符。
ZCV(用户账号),为权限管理系统增加的用户账号名称,为20个字符的英文和数字。
AUYklo908+!(注册唯一码),由配置管理系统在激活用户发送邮件时自动生成,为12位的随机码。
注册QR码生成时间戳(生成注册QR码的毫秒数),即激活时,由TCA-Server生成的QR码时间毫秒数,用于判定QR码是否在有效范围。
在步骤(3)中,用户在扫描注册QR码之后,创建本地验证生物特征码之前,APP判定该注册QR码合法,若合法则页面跳转到APP登录密码设置页面,用户可以在该页面选择使用包含声纹、指纹、面部特征信息等的本地验证生物特征码。
其中,验证是否合法的方法步骤为:
a、由TCA-Server将其特征码使用国密对称算法加密成TCA-Server端特征码标记,国密对称算法加密也可替换为现有的AES对称加密,加密为TCA-Server的明文域名或IP;
b、设备端(本实施例为手机)提前将解密用的KEY硬编码到代码中,然后获取注册QR码中包含的TCA-Server端特征码,解密之后进行验证,若与本设备通讯地址一致那么判断为合法,执行注册流程。
在本实施例中,步骤(5)的具体实施过程为:
a、安装APP安全组件,随机获取设备信息,设备信息为设备的硬件信息,包括主板信息、CPU信息、内存信息;
b、获取成功后,再获取硬件唯一码及用户本地验证生物特征码,然后根据扫描注册QR码获取到的TCA-Server端特征码,请求SM2国密策略服务器,申请本次密钥对生成的随机策略,然后使用该随机策略按照SM2算法生成密钥对,即加密密钥和解密密钥;
c、将加密密钥使用用户本地验证生物特征码进行激活锁定处理后,保存到设备本地的KeyStore中。
安装好的APP在注册之前与设备、用户、本地认证无关,可以卸载,TCA-Server不保留任何信息。即使TCA-Server端数据泄漏,那么用户的身份标记也不会被冒用。
按照上述实施例,便可很好地实现本发明。
Claims (6)
1.信任设备的注册方法,其特征在于,包括步骤:
(1)向TCA-Server端申请注册QR码,TCA-Server端向指定终端、途径颁发展示给用户;
(2)用户使用设备扫描注册QR码;
(3)注册QR码合法则页面跳转要求用户创建本地验证生物特征码;
(4)设备向SM2国密策略服务器请求加密密钥LCC的生成随机策略,设备根据随机策略生成加密密钥和解密密钥,SM2国密策略服务器生成配套的解密密钥的校验策略并发到TCA-Server端;
(5)将生成的解密密钥授权给TCA-Server端;
(6)TCA-Server端根据解密密钥的校验策略进行验证,验证成功则保存;
(7)验证通过后返回注册成功,该设备则成功注册为信任设备。
2.根据权利要求1所述的信任设备的注册方法,其特征在于,所述注册QR码内容为TCA-Server端特征码、注册操作记、机构码、账号、注册唯一码、注册QR码生成时间戳。
3.根据权利要求2所述的信任设备的注册方法,其特征在于,所述步骤(3)注册QR码是否合法的验证流程为:
a、由TCA-Server将其特征码使用国密对称算法加密成TCA-Server端特征码标记;
b、设备端提前将解密用的KEY硬编码到代码中,然后获取注册QR码中包含的TCA-Server端特征码,解密之后进行验证,若与本设备通讯地址一致那么判断为合法,执行注册流程。
4.根据权利要求3所述的信任设备的注册方法,其特征在于,生成加密密钥和解密密钥包括三要素,具体为:
1)扫描注册QR码获取到的TCA-Server端特征码;
2)用户创建的本地验证生物特征码;
3)获取到的设备特征码;
TCA-Server端验证通过后保存的信息包括设备信息、账户信息、解密密钥。
5.根据权利要求4所述的信任设备的注册方法,其特征在于,所述本地验证生物特征码包含声纹、指纹、面部特征信息中的一种或多种。
6.根据权利要求5所述的信任设备的注册方法,其特征在于,所述步骤(4)的具体实现过程为:
a、安装APP安全组件,随机获取设备信息,设备信息为设备的硬件信息,包括主板信息、CPU信息、内存信息;
b、获取成功后,再获取硬件唯一码及用户本地验证生物特征码,然后根据扫描注册QR码获取到的TCA-Server端特征码,请求SM2国密策略服务器,申请本次密钥对生成的随机策略,然后使用该随机策略按照SM2算法生成密钥对,即加密密钥和解密密钥;
c、将加密密钥使用用户本地验证生物特征码进行激活锁定处理后,保存到设备本地的KeyStore中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510310821.XA CN104901967A (zh) | 2015-06-09 | 2015-06-09 | 信任设备的注册方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510310821.XA CN104901967A (zh) | 2015-06-09 | 2015-06-09 | 信任设备的注册方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104901967A true CN104901967A (zh) | 2015-09-09 |
Family
ID=54034364
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510310821.XA Pending CN104901967A (zh) | 2015-06-09 | 2015-06-09 | 信任设备的注册方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104901967A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105337741A (zh) * | 2015-10-14 | 2016-02-17 | 四川省宁潮科技有限公司 | 基于非对称算法的信任设备自主注册方法 |
CN106357642A (zh) * | 2016-09-19 | 2017-01-25 | 无锡纽微特科技有限公司 | 保护无密码账号的实现方法 |
CN113381982A (zh) * | 2021-05-17 | 2021-09-10 | 北京字跳网络技术有限公司 | 注册方法、装置、电子设备和存储介质 |
CN113904850A (zh) * | 2021-10-10 | 2022-01-07 | 普华云创科技(北京)有限公司 | 基于区块链私钥keystore安全登录方法、生成方法、系统及电子设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1556994A1 (en) * | 2002-10-29 | 2005-07-27 | Symbol Technologies, Inc. | System and method for biometric verification in a delivery process |
CN101442407A (zh) * | 2007-11-22 | 2009-05-27 | 杭州中正生物认证技术有限公司 | 利用生物特征进行身份认证的方法及系统 |
CN103995815A (zh) * | 2013-02-20 | 2014-08-20 | 纽海信息技术(上海)有限公司 | 手持终端以及通过手持终端访问网站的方法 |
CN104270338A (zh) * | 2014-09-01 | 2015-01-07 | 刘文印 | 一种电子身份注册及认证登录的方法及其系统 |
-
2015
- 2015-06-09 CN CN201510310821.XA patent/CN104901967A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1556994A1 (en) * | 2002-10-29 | 2005-07-27 | Symbol Technologies, Inc. | System and method for biometric verification in a delivery process |
CN101442407A (zh) * | 2007-11-22 | 2009-05-27 | 杭州中正生物认证技术有限公司 | 利用生物特征进行身份认证的方法及系统 |
CN103995815A (zh) * | 2013-02-20 | 2014-08-20 | 纽海信息技术(上海)有限公司 | 手持终端以及通过手持终端访问网站的方法 |
CN104270338A (zh) * | 2014-09-01 | 2015-01-07 | 刘文印 | 一种电子身份注册及认证登录的方法及其系统 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105337741A (zh) * | 2015-10-14 | 2016-02-17 | 四川省宁潮科技有限公司 | 基于非对称算法的信任设备自主注册方法 |
CN106357642A (zh) * | 2016-09-19 | 2017-01-25 | 无锡纽微特科技有限公司 | 保护无密码账号的实现方法 |
CN106357642B (zh) * | 2016-09-19 | 2020-02-07 | 陈换换 | 保护无密码账号的实现方法 |
CN113381982A (zh) * | 2021-05-17 | 2021-09-10 | 北京字跳网络技术有限公司 | 注册方法、装置、电子设备和存储介质 |
CN113381982B (zh) * | 2021-05-17 | 2023-04-07 | 北京字跳网络技术有限公司 | 注册方法、装置、电子设备和存储介质 |
CN113904850A (zh) * | 2021-10-10 | 2022-01-07 | 普华云创科技(北京)有限公司 | 基于区块链私钥keystore安全登录方法、生成方法、系统及电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108684041B (zh) | 登录认证的系统和方法 | |
US8245030B2 (en) | Method for authenticating online transactions using a browser | |
CN106304074B (zh) | 面向移动用户的身份验证方法和系统 | |
US8724819B2 (en) | Credential provisioning | |
CN111615105B (zh) | 信息提供、获取方法、装置及终端 | |
CN105306211B (zh) | 一种客户端软件的身份认证方法 | |
US10263782B2 (en) | Soft-token authentication system | |
CN108418691A (zh) | 基于sgx的动态网络身份认证方法 | |
TWI632798B (zh) | 伺服器、行動終端機、網路實名認證系統及方法 | |
CN108322416B (zh) | 一种安全认证实现方法、装置及系统 | |
CN101621794A (zh) | 一种无线应用服务系统的安全认证实现方法 | |
US7913096B2 (en) | Method and system for the cipher key controlled exploitation of data resources, related network and computer program products | |
CN106936588A (zh) | 一种硬件控制锁的托管方法、装置及系统 | |
CN104243452B (zh) | 一种云计算访问控制方法及系统 | |
CN102404337A (zh) | 数据加密方法和装置 | |
CN104901967A (zh) | 信任设备的注册方法 | |
CN114765534A (zh) | 基于国密标识密码算法的私钥分发系统 | |
CN106656955A (zh) | 一种通信方法及系统、客户端 | |
KR101358375B1 (ko) | 스미싱 방지를 위한 문자메시지 보안 시스템 및 방법 | |
CN109451504B (zh) | 物联网模组鉴权方法及系统 | |
CN112039857B (zh) | 一种公用基础模块的调用方法和装置 | |
JP2016515778A (ja) | アプリケーション暗号化処理方法、装置及び端末 | |
CN115473655A (zh) | 接入网络的终端认证方法、装置及存储介质 | |
CN111541708B (zh) | 一种基于电力配电的身份认证方法 | |
KR20180029932A (ko) | 암호화 보안 메시지 제공 방법 및 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C41 | Transfer of patent application or patent right or utility model | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20160608 Address after: 200000, Room 305, 1501-6 Ying Ying Road, Shanghai, Zhabei District Applicant after: Shanghai Financial Cloud Service Group Security Technology Co., Ltd. Address before: 610000, No. 1, North 78, purple North Street, Chengdu hi tech Zone, Sichuan, 2 Applicant before: Sichuan Ningchao Technology Co., Ltd. |
|
AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20190507 |
|
AD01 | Patent right deemed abandoned |