CN105337741A - 基于非对称算法的信任设备自主注册方法 - Google Patents
基于非对称算法的信任设备自主注册方法 Download PDFInfo
- Publication number
- CN105337741A CN105337741A CN201510663325.2A CN201510663325A CN105337741A CN 105337741 A CN105337741 A CN 105337741A CN 201510663325 A CN201510663325 A CN 201510663325A CN 105337741 A CN105337741 A CN 105337741A
- Authority
- CN
- China
- Prior art keywords
- code
- user
- service end
- tca
- registration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了基于非对称算法的信任设备自主注册方法。包括如下步骤:S1、在智能移动设备上申请注册,输入用户特征码;S2、将设备信息和用户特征码提交至TCA服务端,对设备进行唯一性判定;S3、向SM2国密服务器申请国密服务;S4、SM2国密服务器采用非对称加密算法对步骤S3的数据进行加密生成策略密钥对,并返回结果至TCA服务端生成注册QR码,并将该QR码推送至申请注册的智能移动设备上;S5、用户再次输入特征码确认;S6、生成通讯密钥对;S7、将通讯公钥加密保存在本地控制认证-LCC,通讯私钥发送至TCA服务端;S8、校验私钥,校验通过则注册成功。本发明以人及设备作为身份介质,遵循谁申请即是谁注册,精准绑定用户,极大提高了互联网账号注册的安全性。
Description
技术领域
本发明涉及基于非对称算法的信任设备自主注册方法,属于身份认证领域。
背景技术
现有的带外身份认证方法中,注册这个环节遵循传统模式,代表用身份的KEY和判定的准则都是由TCA服务端完成的,TCA:TwoChannelAuthentication,也就是说TCA服务端在注册这个环节中是用户身份标记产生和发放者,同时也是用户身份的判定者,面临的问题是:
(1)在注册过程中,如果通讯被劫持,就可能会将用户的身份标记泄漏出去,导致中间人攻击有效。
(2)我们的服务器数据如果泄漏,那么用户的身份标记也可能被冒用,导致服务端攻击有效。
(3)违背了实际生活中的原则:我是谁,本人就是最好的标记,生成身份标记的权限应该只有用户自己拥有的,谁可以判定我是谁的权限是用户本人授予的。
发明内容
本发明的目的在于提供信任设备的注册方法,主要解决带外身份认证流程中注册环节容易造成信息泄露的问题。
本发明适用于互联网,由用户本人使用常用设备,输入生物特征信息发起注册,TCA服务端精准的将注册QR码颁发给该用户的注册申请设备,用户再次输入生物码确认,完成注册。
为了实现上述目的,本发明采用的技术方案如下:
基于非对称算法的信任设备自主注册方法,包括如下步骤:
S1、在智能移动设备上申请注册,输入用户的特征码;
S2、将设备信息和用户特征码提交至TCA服务端,并对设备信息中的设备特征码进行唯一性判定,若该设备没有重复注册,则进行下一步;
S3、将设备信息、用户特征码、TCA服务端串码向SM2国密服务器申请国密服务;
S4、SM2国密服务器采用非对称加密算法对步骤S3的数据进行加密生成策略密钥对,并返回结果至TCA服务端生成注册QR码,并将该QR码推送至申请注册的智能移动设备上;
S5、用户再次在该智能移动设备上输入特征码确认;
S6、校验用户特征码及硬件环境,生成通讯密钥对;
S7、将通讯公钥使用用户再次输入的特征码+设备信息加密保存在本地控制认证-LCC,使用策略公钥加密及签名后的通讯私钥和QR码解析时间提交至TCA服务端;
S8、TCA服务端向SM2国密服务器申请校验私钥,校验通过则注册成功。
SM2国密服务器使用非对称加密技术保护用户数据传输安全,并用SSL通道加固形成坚固的双重传输安全保障。通讯密钥对由用户设备在注册时生成,并将用于解密的私钥发送给TCA服务端,用于之后的通讯数据解密。TCA服务端颁发策略密钥,用于确保用户设备发送过来的通讯私钥来源可靠和数据安全。
具体地,所述用户的特征码包括指纹、声纹、面部特征信息。
进一步地,所述QR码的生成过程为:
a1、以用户特征码为key加密策略公钥;
a2、使用设备信息为key加密步骤a1得出的结果;
QR码的内容包括设备信息、用户特征码、QR码生成时间、国密服务信息。
注册QR码的实质作用,保障了是谁?从什么设备?注册到那里?从而保障用户注册设备精准绑定——同时确定你是谁?是使用什么设备?以此两个信息来确保终端的唯一性,以防止硬件设备模拟攻击。
再进一步地,所述步骤S4中,QR码的推送过程为:
b1、TCA服务端提交申请注册的设备ID、QR码至推送服务端;
b2、推送服务端根据设备ID将QR码推送至申请注册的智能移动设备上;
b3、智能移动设备匹配QR码的设备信息,若匹配上,则提示用户输入特征码。
再进一步地,所述步骤S6中,通讯密钥对使用策略公钥加密生成。
在步骤S7中,本地控制认证-LCC的存储过程为:
c1、得到通讯密钥对的公钥;
c2、获取用户特征码,并用该码加密通讯公钥;
c3、动态获取设备信息,加密步骤c2的结果,并保存LCC;
本地控制认证-LCC的获取过程为:
d1、取出LCC数据;
d2、使用动态获取的设备唯一码解密;
d3、获取用户特征码解密步骤d2的结果,得到通讯密钥的公钥。
LCC(LocalControlCertification)用于保护用户设备本地安全。它由设备认证和用户认证两部分组成,设备认证通过能够唯一标识设备的信息验证保障,用户认证通过用户生物特征保障,将两个认证按层次叠加,确保用户端程序在启动后未联网之前或无网络启动时的使用环境安全。
另外,所述步骤S2中,判定通过后则把设备信息和用户特征码预保存至数据库中,若步骤S8校验通过则将预保存信息转为保存解密私钥。
上述步骤中,各名词解释:
非对称加密:又叫公钥加密,使用两把密钥公钥和私钥来实现加解密。其中公钥用来加密,私钥用来解密。由于公钥的拥有者不能解密所以只要保存好私钥既可以保障信息安全,避免了传统对称加密中密钥容易被泄露的问题。
密钥对:非对称加密使用两种密钥公钥、私钥,公钥可以用来加密和验签,私钥可以用来解密和签名。一个私钥可以对应多个不同的公钥,这些不同公钥的拥有者之间无法相互窥探信息,我们把这些对应中的每一组叫做密钥对。
私钥:非对称加密中用来解密和签名的密钥。
公钥:非对称加密中用来加密和验签的密钥。
策略密钥:用于控制用户设备通讯密钥生成,实际是通过加、解密用户端生成后私钥来实现。
通讯密钥:用于注册后用户端与TCA服务端数据传输加解密、签名、验证的密钥对。将原来的“传输密钥”叫法正名为“通讯密钥”,以避免因为将“传输”理解为动词导致意思混淆的问题。
与现有技术相比,本发明具有以下有益效果:
本发明以人及设备作为身份介质,遵循谁申请即是谁注册,精准绑定用户,以用户粘性极高的智能移动设备硬件及用户独有生物特征码,取代传统的帐号密码注册方式,确保用户身份认证过程的安全,极大的提高了互联网账号注册的安全性。在该注册过程中,用户只需要简单地输入两次本人的相同生物特征信息,操作简单,不需要填写任何其他的个人信息,大大提升了用户注册的体验度。
附图说明
图1为本发明的工作流程图。
图2为本发明-实施例的工作流程图。
图3为本发明策略密钥与通讯密钥的关系图。
具体实施方式
下面结合实施例和附图对本发明作进一步说明,本发明的实施方式包括但不限于下列实施例。
实施例
如图1-3所示,基于非对称算法的信任设备自主注册方法,包括步骤:
1、在用户的智能移动设备上安装APP,并启动APP客户端;
2、在APP客户端上输入用户特征码,用户特征码A、B都可以唯一标识用户,但是值不同,相当是两把不一样的钥匙,可以开同一把(识别用户的)锁;
3、提交设备信息、用户特征码A至TCA服务端;
4、TCA服务端验证设备是否重复注册,若无重复,则执行下一步;
5、保存预注册信息至数据库,预注册信息包括设备信息、用户特征码;
6、数据库返回保存成功;
7、TCA服务端向SM2国密服务器获取用于生成通讯密钥对的策略密钥对;
8、SM2国密服务器向TCA服务端返回生成的策略密钥对;
9、TCA服务端生成QR码;
10、TCA服务端向推送模块委托QR码推送;
11、推送模块推送QR码给用户的智能移动设备;
12、智能移动设备匹配QR码的设备信息;
13、智能移动设备向用户提示需要输入用户特征码;
14、用户再次在该智能移动设备上输入特征码确认;
15、智能移动设备匹配特征码A,匹配通过则进行下一步;
16、智能移动设备生成通讯密钥对,并保存LCC信息;
17、智能移动设备向TCA服务端提交确认注册,将设备信息、通讯私钥(密文)发至TCA服务端;
18、TCA服务端校验key(解密);
19、将预注册信息转为保存解密key至数据库。
所述QR码的生成过程为:
a1、以用户特征码为key加密策略公钥;
a2、使用设备信息为key加密步骤a1得出的结果;
QR码的内容包括设备信息、用户特征码、QR码生成时间、国密服务信息。
本地控制认证-LCC的存储过程为:
c1、得到通讯密钥对的公钥;
c2、获取用户特征码,并用该码加密通讯公钥;
c3、动态获取设备信息,加密步骤c2的结果,并保存LCC;
本地控制认证-LCC的获取过程为:
d1、取出LCC数据;
d2、使用动态获取的设备唯一码解密;
d3、获取用户特征码解密步骤d2的结果,得到通讯密钥的公钥。
按照上述实施例,便可很好地实现本发明。值得说明的是,基于上述结构设计的前提下,为解决同样的技术问题,即使在本发明上做出的一些无实质性的改动或润色,所采用的技术方案的实质仍然与本发明一样,故其也应当在本发明的保护范围内。
Claims (6)
1.基于非对称算法的信任设备自主注册方法,其特征在于,包括如下步骤:
S1、在智能移动设备上申请注册,输入用户的特征码;
S2、将设备信息和用户特征码提交至TCA服务端,并对设备信息进行唯一性判定,若该设备没有重复注册,则进行下一步;
S3、将设备信息、用户特征码、TCA服务端串码向SM2国密服务器申请国密服务;
S4、SM2国密服务器采用非对称加密算法对步骤S3的数据进行加密生成策略密钥对,并返回结果至TCA服务端生成注册QR码,并将该QR码推送至申请注册的智能移动设备上;
S5、用户再次在该智能移动设备上输入特征码确认;
S6、校验用户特征码及硬件环境,生成通讯密钥对;
S7、将通讯公钥加密保存在本地控制认证-LCC,使用策略公钥加密及签名后的通讯私钥和QR码解析时间提交至TCA服务端;
S8、TCA服务端向SM2国密服务器申请校验私钥,校验通过则注册成功。
2.根据权利要求1所述的基于非对称算法的信任设备自主注册方法,其特征在于,所述用户的特征码包括指纹、声纹、面部特征信息。
3.根据权利要求1所述的基于非对称算法的信任设备自主注册方法,其特征在于,所述QR码的生成过程为:
a1、以用户特征码为key加密策略公钥;
a2、使用设备信息为key加密步骤a1得出的结果;
QR码的内容包括设备信息、用户特征码、QR码生成时间、国密服务信息。
4.根据权利要求3所述的基于非对称算法的信任设备自主注册方法,其特征在于,所述步骤S4中,QR码的推送过程为:
b1、TCA服务端提交申请注册的设备ID、QR码至推送服务端;
b2、推送服务端根据设备ID将QR码推送至申请注册的智能移动设备上;
b3、智能移动设备匹配QR码的设备信息,若匹配上,则提示用户输入特征码。
5.根据权利要求4所述的基于非对称算法的信任设备自主注册方法,其特征在于,在步骤S7中,本地控制认证-LCC的存储过程为:
c1、得到通讯密钥对的公钥;
c2、获取用户特征码,并用该码加密通讯公钥;
c3、动态获取设备信息,加密步骤c2的结果,并保存LCC;
本地控制认证-LCC的获取过程为:
d1、取出LCC数据;
d2、使用动态获取的设备唯一码解密;
d3、获取用户特征码解密步骤d2的结果,得到通讯密钥的公钥。
6.根据权利要求5所述的基于非对称算法的信任设备自主注册方法,其特征在于,所述步骤S2中,判定通过后则把设备信息和用户特征码预保存至数据库中,若步骤S8校验通过则将预保存信息转为保存解密私钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510663325.2A CN105337741A (zh) | 2015-10-14 | 2015-10-14 | 基于非对称算法的信任设备自主注册方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510663325.2A CN105337741A (zh) | 2015-10-14 | 2015-10-14 | 基于非对称算法的信任设备自主注册方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105337741A true CN105337741A (zh) | 2016-02-17 |
Family
ID=55288057
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510663325.2A Pending CN105337741A (zh) | 2015-10-14 | 2015-10-14 | 基于非对称算法的信任设备自主注册方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105337741A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105897784A (zh) * | 2016-07-01 | 2016-08-24 | 三星电子(中国)研发中心 | 物联网终端设备加密通信方法和装置 |
| CN109981584A (zh) * | 2019-02-26 | 2019-07-05 | 符安文 | 一种基于区块链的分布式社交方法 |
| CN110401950A (zh) * | 2019-07-24 | 2019-11-01 | Oppo广东移动通信有限公司 | 注册方法、头戴式显示设备、头戴设备系统和存储介质 |
| CN112583588A (zh) * | 2020-12-08 | 2021-03-30 | 四川虹微技术有限公司 | 一种通信方法及装置、可读存储介质 |
| CN112637128A (zh) * | 2020-11-25 | 2021-04-09 | 四川新网银行股份有限公司 | 一种数据中心主机的身份互信方法及系统 |
| CN114615068A (zh) * | 2022-03-18 | 2022-06-10 | 海南电信规划设计院有限公司 | 一种Web前后端数据加密传输系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101917710A (zh) * | 2010-08-27 | 2010-12-15 | 中兴通讯股份有限公司 | 移动互联网加密通讯的方法、系统及相关装置 |
| CN104618402A (zh) * | 2015-03-10 | 2015-05-13 | 四川省宁潮科技有限公司 | 基于带外认证的虚拟桌面云连接方法 |
| CN104618401A (zh) * | 2015-03-10 | 2015-05-13 | 四川省宁潮科技有限公司 | 基于实名制的wifi一键登录方法 |
| CN104700479A (zh) * | 2015-03-10 | 2015-06-10 | 四川省宁潮科技有限公司 | 基于带外认证的门禁方法 |
| CN104901967A (zh) * | 2015-06-09 | 2015-09-09 | 四川省宁潮科技有限公司 | 信任设备的注册方法 |
-
2015
- 2015-10-14 CN CN201510663325.2A patent/CN105337741A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101917710A (zh) * | 2010-08-27 | 2010-12-15 | 中兴通讯股份有限公司 | 移动互联网加密通讯的方法、系统及相关装置 |
| CN104618402A (zh) * | 2015-03-10 | 2015-05-13 | 四川省宁潮科技有限公司 | 基于带外认证的虚拟桌面云连接方法 |
| CN104618401A (zh) * | 2015-03-10 | 2015-05-13 | 四川省宁潮科技有限公司 | 基于实名制的wifi一键登录方法 |
| CN104700479A (zh) * | 2015-03-10 | 2015-06-10 | 四川省宁潮科技有限公司 | 基于带外认证的门禁方法 |
| CN104901967A (zh) * | 2015-06-09 | 2015-09-09 | 四川省宁潮科技有限公司 | 信任设备的注册方法 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105897784A (zh) * | 2016-07-01 | 2016-08-24 | 三星电子(中国)研发中心 | 物联网终端设备加密通信方法和装置 |
| CN105897784B (zh) * | 2016-07-01 | 2019-03-26 | 三星电子(中国)研发中心 | 物联网终端设备加密通信方法和装置 |
| CN109981584A (zh) * | 2019-02-26 | 2019-07-05 | 符安文 | 一种基于区块链的分布式社交方法 |
| CN110401950A (zh) * | 2019-07-24 | 2019-11-01 | Oppo广东移动通信有限公司 | 注册方法、头戴式显示设备、头戴设备系统和存储介质 |
| CN112637128A (zh) * | 2020-11-25 | 2021-04-09 | 四川新网银行股份有限公司 | 一种数据中心主机的身份互信方法及系统 |
| CN112637128B (zh) * | 2020-11-25 | 2022-07-08 | 四川新网银行股份有限公司 | 一种数据中心主机的身份互信方法及系统 |
| CN112583588A (zh) * | 2020-12-08 | 2021-03-30 | 四川虹微技术有限公司 | 一种通信方法及装置、可读存储介质 |
| CN114615068A (zh) * | 2022-03-18 | 2022-06-10 | 海南电信规划设计院有限公司 | 一种Web前后端数据加密传输系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2017352361B2 (en) | Data transmission method, apparatus and system | |
| US10027654B2 (en) | Method for authenticating a client device to a server using a secret element | |
| EP3318003B1 (en) | Confidential authentication and provisioning | |
| CN105471584B (zh) | 一种基于量子密钥加密的身份认证方法 | |
| US10015159B2 (en) | Terminal authentication system, server device, and terminal authentication method | |
| CN105337741A (zh) | 基于非对称算法的信任设备自主注册方法 | |
| CN107809311B (zh) | 一种基于标识的非对称密钥签发的方法及系统 | |
| CN111512608B (zh) | 基于可信执行环境的认证协议 | |
| CN104486087B (zh) | 一种基于远程硬件安全模块的数字签名方法 | |
| CN104506534A (zh) | 安全通信密钥协商交互方案 | |
| CN104243494B (zh) | 一种数据处理方法 | |
| CN103684766A (zh) | 一种终端用户的私钥保护方法和系统 | |
| CN102932149A (zh) | 一种集成ibe数据加密系统 | |
| CN106850207B (zh) | 无ca的身份认证方法和系统 | |
| US9647842B2 (en) | Dual-party session key derivation | |
| CN106416123A (zh) | 基于密码的认证 | |
| CN106664209B (zh) | 基于密码的秘密加密密钥的生成和管理的方法和系统 | |
| CA2969332C (en) | A method and device for authentication | |
| CN105827395A (zh) | 一种网络用户认证方法 | |
| CN104901935A (zh) | 一种基于cpk的双向认证及数据交互安全保护方法 | |
| CN101626364A (zh) | 一类可基于口令、抗秘密数据泄露的认证和密钥交换方法 | |
| CN104393993A (zh) | 一种用于售电终端的安全芯片及其实现方法 | |
| CN106656489B (zh) | 一种面向移动支付的自助售卖设备与服务器间信息交互的安全提升方法 | |
| CN109547208B (zh) | 金融电子设备主密钥在线分发方法及系统 | |
| CN103701787A (zh) | 一种基于公开密钥算法实现的用户名口令认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20160608 Address after: 200000, Room 305, 1501-6 Ying Ying Road, Shanghai, Zhabei District Applicant after: Shanghai Financial Cloud Service Group Security Technology Co., Ltd. Address before: 610000, No. 1, North 78, purple North Street, Chengdu hi tech Zone, Sichuan, 2 Applicant before: Sichuan Ningchao Technology Co., Ltd. |
|
| AD01 | Patent right deemed abandoned | ||
| AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20190301 |