CN105847007A - 用于终端设备的身份验证方法和计算机设备 - Google Patents
用于终端设备的身份验证方法和计算机设备 Download PDFInfo
- Publication number
- CN105847007A CN105847007A CN201610154515.6A CN201610154515A CN105847007A CN 105847007 A CN105847007 A CN 105847007A CN 201610154515 A CN201610154515 A CN 201610154515A CN 105847007 A CN105847007 A CN 105847007A
- Authority
- CN
- China
- Prior art keywords
- equipment
- digital certificate
- sent
- background service
- client process
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明实施例提供一种用于终端设备的身份验证方法和计算机设备。所述方法包括:在所述终端设备的操作系统的后台服务中执行以下步骤:从客户端进程获取设备连接请求;将所述设备连接请求发送给数字证书设备;从所述数字证书设备接收连接结果消息;将所述连接结果消息发送给所述客户端进程。采用本发明实施例,可以避免需要分别为不同客户端应用或浏览器应用开发并设置特定插件,通过该特定插件对用户进行身份验证的处理,从而降低开发工作量和成本。
Description
技术领域
本发明涉及信息安全技术,尤其涉及一种用于终端设备的身份验证方法和计算机设备。
背景技术
目前信息系统中采用的主要结构形式为浏览器-服务器,为了保障信息系统的安全,通常采用以移动数字证书设备(如USBKEY、蓝牙KEY、音频KEY等)为载体的数字证书进行身份认证和关键数据的签名。
在计算机(如PC)的应用中,一般采用基于IE浏览器的插件实现与移动数字证书设备的通讯,然而,在计算机的非IE浏览器或手机、平板电脑等移动终端中,无法使用基于IE浏览器的插件。对于非IE浏览器,如果需要使用移动数字证书设备进行数字证书的身份认证或签名,需要另行开发插件,从而,使得开发和维护的成本较高。另外,在移动终端设备中,一般只能通过开发应用程序APP的方式,将与移动数字证书载体进行通讯的功能集成在该APP中,而这种方式会使得开发工作量大。
发明内容
本发明的目的在于,提供一种用于终端设备的身份验证方法,以及实现该身份验证方法的计算机设备,通过终端设备的操作系统的后台服务的方式向客户端进程提供身份验证服务,从而避免了需要为不同客户端应用或浏览器应用设置特定插件的处理,降低开发工作量和成本。
根据本发明的一方面,提供一种用于终端设备的身份验证方法。所述方法包括,在所述终端设备的操作系统的后台服务中执行以下步骤:从客户端进程获取设备连接请求;将所述设备连接请求发送给数字证书设备;从所述数字证书设备接收连接结果消息;将所述连接结果消息发送给所述客户端进程。
优选地,所述方法还包括:响应于从所述客户端进程获取的包括待签名数据的签名请求,将所述签名请求发送给所述数字证书设备,从所述数字证书设备接收与所述签名请求相应的已签名数据,并且将所述已签名数据发送给所述客户端进程。
优选地,所述客户端进程为浏览器应用的进程或者客户端应用的进程。
优选地,所述数字证书设备为USBKEY、蓝牙KEY、音频KEY。
优选地,所述连接结果消息至少包括以下信息中的一项或多项:用户名、密码、所述数字证书设备的设备标识、公钥、私钥和所述数字证书设备中的数字证书密码。
根据本发明的另一方面,提供一种用于终端设备的身份验证方法。所述方法包括,向预定的后台服务发送设备连接请求;从所述后台服务接收与所述设备连接请求相应的连接结果消息。
优选地,所述方法还包括:向所述后台服务发送包括待签名数据的签名请求;从所述后台服务接收与所述签名请求相应的已签名数据;将所述已签名数据发送给服务器;从所述服务器接收所述已签名数据的处理结果消息。
根据本发明的又一方面,提供一种用于身份验证的计算机设备,所述计算机设备包括:一个或多个处理器;存储器;一个或多个程序,所述一个或多个程序存储在所述存储器中,且经配置以由所述一个或者多个处理器执行所述一个或者多个程序包含的用于执行所述用于终端设备的身份验证方法的指令:从客户端进程获取设备连接请求;将所述设备连接请求发送给数字证书设备;从所述数字证书设备接收连接结果消息;将所述连接结果消息发送给所述客户端进程。
优选地,所述存储器中还存储有用于执行以下程序的指令:响应于从所述客户端进程获取的包括待签名数据的签名请求,将所述签名请求发送给所述数字证书设备,从所述数字证书设备接收与所述签名请求相应的已签名数据,并且将所述已签名数据发送给所述客户端进程。
根据本发明的又一方面,提供一种用于身份验证的计算机设备,所述计算机设备包括:一个或多个处理器;存储器;一个或多个程序,所述一个或多个程序存储在所述存储器中,且经配置以由所述一个或者多个处理器执行所述一个或者多个程序包含的用于执行所述用于终端设备的身份验证方法的指令:向预定的后台服务发送设备连接请求;从所述后台服务接收与所述设备连接请求相应的连接结果消息。
优选地,所述存储器中还存储有用于执行以下程序的指令:向所述后台服务发送包括待签名数据的签名请求;从所述后台服务接收与所述签名请求相应的已签名数据;将所述已签名数据发送给服务器;从所述服务器接收所述已签名数据的处理结果消息。
根据本发明实施例提供的用于终端设备的身份验证方法和计算机设备,通过终端设备的操作系统的后台服务将从客户端进程获取设备连接请求发送给数字证书设备,并通过数字证书设备将相应的连接结果消息发送给该后台服务,以便将其发送给客户端进程,并进一步由客户端进程发送给服务器以对当前用户的身份进行验证,从而避免了需要分别为不同客户端应用或浏览器应用开发并设置特定插件,通过该特定插件对用户进行身份验证的处理,进而降低开发工作量和成本。
附图说明
图1是示出根据本发明实施例一的用于终端设备的身份验证方法的信令图;
图2是示出根据本发明实施例一的用于终端设备的身份验证方法的一种流程图;
图3是示出根据本发明实施例一的用于终端设备的身份验证方法的另一种流程图;
图4是示出根据本发明实施例二的用于终端设备的身份验证方法的信令图;
图5是示出根据本发明实施例三的用于身份验证的计算机设备的逻辑框图;
图6是示出根据本发明实施例四的用于身份验证的计算机设备的逻辑框图。
具体实施方式
本方案的发明构思是,通过终端设备的操作系统的后台服务的方式从数字证书设备中获取用于验证用户身份的连接结果消息,并由客户端进程将其发送给服务器,以便后续对用户的身份进行验证,从而避免了需要为不同客户端应用或浏览器应用设置特定插件的处理,降低开发工作量和成本。
所述用于终端设备的身份验证方法适用于任何需要用户身份验证及数字签名的在线应用,例如在线支付等电子交易。下面对用于终端设备的身份验证方法的处理流程进行详细描述。
本实施例中需要使用的设备可包括终端设备、数字证书设备和服务器,其中,终端设备中可安装有浏览器或客户端等应用程序。相应地,安装的浏览器应用或客户端应用在终端设备的操作系统中会创建相应的进程,即浏览器应用的进程或客户端应用的进程。
数字证书设备可以是一种具有一定存储空间,且可用于存储用户的数字证书的设备,例如,但不限于,USBKEY、蓝牙KEY、音频KEY等。
进一步地,可将用于终端设备的身份验证方法实现为终端设备的操作系统的后台服务。该后台服务可以使用预定的编程语言进行编写,编程语言的选择可以根据实际情况确定,例如Java语言、JavaScript语言等,为了提高该后台服务在不同操作系统下的通用性,可以选择使用JavaScript语言编写该后台服务的程序代码,该后台服务的程序代码可预先内置于终端设备的操作系统中,并可随着该操作系统的启动而启动,通过该后台服务可以为上述身份验证的处理提供服务接口,并可通过JavaScript调用的方式完成身份验证过程,具体可参见以下处理。
如图1所示,当用户打开浏览器或相应的客户端时,该浏览器或客户端显示登录页面,同时,触发客户端进程生成设备连接请求,并可向该后台服务发送该设备连接请求,此时,可以将数字证书设备通过预先设定的端口(如USB端口等)与终端设备连接,该后台服务可将该设备连接请求发送给数字证书设备,数字证书设备接收到该设备连接请求后,可使用其存储的如用户名、密码、数字证书设备的设备标识(如设备ID等)、公钥、私钥和数字证书设备中的数字证书密码等验证信息生成连接结果消息发送给该后台服务,该后台服务器可将该连接结果消息发送给客户端进程。
上述登录页面中可包括多种验证信息项,客户端进程接收到连接结果消息后,从中提取上述验证信息,并可将其设置在相应的验证信息项处。用户还可以在该登录页面中输入如登录密码、验证码等验证信息。用户在该登录页面中输入完需要输入的验证信息后,可点击该登录页面中的确定(或登录)按键,客户端进程可获取用户输入的登录密码、验证码,以及数字证书设备中的用户名、密码、公钥、私钥、设备标识和/或数字证书密码等验证信息发送给服务器。
服务器接收到上述验证信息后,根据客户端进程发送的验证信息对登录用户进行认证,并且通过网络将认证结果消息发回给该客户端进程。
在此基础上,客户端进程在接收到登录用户通过认证的认证结果消息后,可允许登录用户执行例如各种网银操作。此后,当登录用户执行交易、查询等操作时,将需要进行数字签名的数据提供给用于终端设备的身份验证方法的后台服务。由该后台服务与数字证书设备交互执行数字签名操作,再将经过数字签名的数据回传给该客户端进程,以使客户端进程与远程的服务器交互,完成查询或交易操作等。
下面结合附图详细描述本发明的示例性实施例。
实施例一
图2是示出根据本发明实施例一的用于终端设备的身份验证方法的流程图。通过包括如图5所示的计算机设备执行所述方法。
参照图2,在步骤S210,从客户端进程获取设备连接请求。
其中,终端设备可以为移动终端设备,如手机或平板电脑等,也可以为如PC等终端设备。
其中,终端设备中可安装有浏览器等应用程序,相应地,浏览器启动时在终端设备的操作系统中会创建相应的进程,即浏览器应用的进程。本发明实施例可通过终端设备的操作系统的后台服务执行相应的处理步骤。
在步骤S220,将所述设备连接请求发送给数字证书设备。
其中,数字证书设备可以是一种内置单片机或智能卡芯片且具有一定存储空间,可以用于存储用户的私钥以及数字证书的设备,同时,数字证书设备中还设置有相应的算法,通过该算法可以对某些敏感数据进行加密,以此对用户的身份进行验证。
通过上述步骤S220的处理可以将数字证书设备与客户端进行通信握手,以便在该数字证书设备与客户端进程之间建立通信连接。
在步骤S230,从所述数字证书设备接收连接结果消息。
其中,所述连接结果消息至少包括以下信息中的一项或多项:用户名、密码、所述数字证书设备的设备标识、公钥、私钥和所述数字证书设备中的数字证书密码等。
上述步骤S230的处理具体可参见如图1的相关内容,在此不再赘述。
在步骤S240,将所述连接结果消息发送给所述客户端进程。
具体地,客户端进程可将接收到的连接结果消息中的例如用户名显示在登录页面中与用户名输入相应的交互项中。在用户填写完成登录页面中提供的其它验证信息项(如登录密码、验证码等)的内容后,可将上述连接结果消息中的各验证信息,以及用户输入的验证信息发送给服务器进行验证。
具体的验证过程可参见上述图1实施例的相关内容,在此不再赘述。如果验证通过,则确定服务器可为该用户提供相应的服务,并且客户端进程与数字证书设备之间建立通信连接,从而便于后续通过数字证书设备对用户的某些数据进行签名。如果验证失败,则服务器拒绝为该用户提供相应的服务,以保证用户的个人信息的安全。
图3是示出根据本发明实施例一的用于终端设备的身份验证方法的流程图。通过包括如图6所示的计算机设备执行所述方法。
参照图3,在步骤S310,向预定的后台服务发送设备连接请求。
在步骤S320,从所述后台服务接收与所述设备连接请求相应的连接结果消息。
上述步骤S310~步骤S320的处理具体可参见如图1的相关内容,在此不再赘述。
本发明实施例提供的用于终端设备的身份验证方法,通过终端设备的操作系统的后台服务将从客户端进程获取设备连接请求发送给数字证书设备,并通过数字证书设备将相应的连接结果消息发送给该后台服务,以便将其发送给客户端进程,并进一步由客户端进程发送给服务器以对当前用户的身份进行验证,从而避免了需要分别为不同客户端应用或浏览器应用开发并设置特定插件,通过该特定插件对用户进行身份验证的处理,进而降低开发工作量和成本。
实施例二
图4是示出根据本发明实施例二的用于终端设备的身份验证方法的流程图。在图4中示出的步骤S410~S440分别与图2和图3中的步骤S310、S220、S230和S240相应。
在步骤S450,所述客户端进程将所述连接结果消息发送给服务器。
具体地,可以将用户输入的登录密码、验证码,以及连接结果消息中数字证书设备存储的用户名、密码、公钥、私钥、设备标识和/或数字证书密码等验证信息发送给服务器进行验证。
客户端进程在接收到登录用户通过认证的认证结果消息后,可允许登录用户执行例如各种网银操作。此后,当登录用户执行交易、查询等操作时,以下步骤S460~S490被执行。
在步骤S460,客户端进程向所述后台服务发送包括待签名数据的签名请求。
其中,待签名数据可为包含用户隐秘程度非常高的数据,例如银行的个人信息、支付账户和密码等。
具体地,客户端进程接收到所述后台服务发送的连接结果消息时,可对该连接结果消息进行分析,如果确定客户端进程与数字证书设备之间可以建立通信连接,则客户端进程可获取待签名数据,并基于该待签名数据生成签名请求,发送给所述后台服务。
在步骤S470,所述后台服务响应于所述签名请求,将所述签名请求发送给所述数字证书设备,从所述数字证书设备接收与所述签名请求相应的已签名数据,并且将所述已签名数据发送给所述客户端进程。
具体地,由于所述数字证书设备中存储有用户的数字证书,因此,在进行在线交易之前为了保证交易的安全性,需要对用户填写的待签名数据进行签名,以表示该待签名数据已经过用户确认无误可以提交,因此,如果所述后台服务接收到签名请求,则可以将所述签名请求发送给所述数字证书设备进行签名,所述数字证书设备接收到所述签名请求后,可以从中提取出待签名数据,并对所述待签名数据进行签名,得到已签名数据,所述数字证书设备可将所述已签名数据发送给所述后台服务,所述后台服务可将所述已签名数据发送给所述客户端进程。
在步骤S480,客户端进程将所述已签名数据发送给服务器。
在步骤S490,客户端进程从所述服务器接收所述已签名数据的处理结果消息。
具体地,服务器接收到已签名数据后,可以对已签名数据进行认证,其具体认证过程可以多种多样,例如,客户端可以将待签名数据发送给服务器,服务器通过预先设定的签名算法进行计算,得到待签名数据对应的签名密钥,可通过该签名密钥和待签名数据生成已签名数据,然后,服务器可以将生成的已签名数据和从所述客户端进程接收到的已签名数据进行对比,如果两者相同,则表示已签名数据准确,此时,服务器可确认本次交易成立,同时,可以向所述客户端进程发送交易成功的处理结果消息,如果两者不相同,则表示已签名数据错误或者被篡改,此时,服务器可确认本次交易不安全或交易失败,同时,可以向所述客户端进程发送交易失败的处理结果消息,此时,用户可检查当前使用的网络安全状态和终端设备的操作系统的安全状态,在确认安全后,用户可继续上述交易过程。
本发明实施例提供的用于终端设备的身份验证方法,一方面,通过基于终端设备的操作系统的后台服务的方式,在终端设备上只需安装一次,通过该后台服务可以支持不同类型的浏览器,而无须为每种浏览器安装特定的插件,从而可降低开发工作量和成本;另一方面,对于移动终端设备上的客户端应用来说,由于现有的客户端应用中集成了数字证书设备的功能,这样会给客户端应用的开发增加难度,本发明实施例中通过将数字证书设备的功能从该客户端应用中分离出来,以后台服务的方式对交易中的用户身份进行验证,从而可降低客户端应用的开发难度。
实施例三
基于相同的技术构思,图5是示出根据本发明实施例三的用于身份验证的计算机设备的逻辑框图。参照图5,所述计算机设备可用于实施上述实施例中提供的用于终端设备的身份验证方法。具体来讲:
计算机设备可包括输入单元510、音频电路520、包括有一个或一个以上计算机可读存储介质的存储器530、包括有一个或者一个以上处理核心的处理器540、显示单元550、通信单元560、以及电源570等部件。本领域技术人员可以理解,图中示出的计算机设备结构并不构成对计算机设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
输入单元510可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。优选地,输入单元510可包括触敏表面511以及其他输入设备512。触敏表面511也称为触摸显示屏或者触控板,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触敏表面511上或在触敏表面511附近的操作),并根据预先设定的程式驱动相应的连接装置。可选的,触敏表面511可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器540,并能接收处理器540发来的命令并加以执行。除了触敏表面511,输入单元510还可以包括其他输入设备512。优选地,其他输入设备512可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
音频电路520、扬声器521和传声器(或麦克风)522可提供用户与计算机设备之间的音频接口。音频电路520可将接收到的音频数据转换后的电信号,传输到扬声器521,由扬声器521转换为声音信号输出;另一方面,传声器522将收集的声音信号转换为电信号,由音频电路520接收后转换为音频数据,再将音频数据输出处理器540处理后,经通信单元560以发送给比如另一计算机设备,或者将音频数据输出至存储器530以便进一步处理。音频电路520还可能包括耳塞插孔,以提供外设耳机与计算机设备的通信。
存储器530可用于存储软件程序以及数据,处理器540通过运行存储在存储器530的软件程序以及数据,从而执行各种功能应用以及数据处理。存储器530可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据计算机设备的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器530可包括高速随机存取存储器,还可包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器530还可包括存储器控制器,以提供处理器540和输入单元510对存储器530的访问。
处理器540是计算机设备的控制中心,利用各种接口和线路连接整个计算机设备的各个部分,通过运行或执行存储在存储器530内的软件程序和/或模块,以及调用存储在存储器530内的数据,执行计算机设备的各种功能和处理数据,从而对计算机设备进行整体监控。
显示单元550可用于显示由用户输入的信息或提供给用户的信息以及计算机设备的各种图形用户接口,这些图形用户接口可以由图形、文本、图标、视频和其任意组合来构成。显示单元550可包括显示面板,可选的,可以采用LCD(Liquid Crystal Display,液晶显示器)、OLED(Organic Light-Emitting Diode,有机发光二极管)等形式来配置显示面板。虽然在图示中,输入单元510与显示单元550是作为两个独立的部件来实现输入和输出功能,但是在某些实施例中,可将输入单元510与显示单元550集成而实现输入和输出功能。
通信单元560可用于收发信息或通话过程中,信号的接收和发送,通信单元560可以为RF(Radio Frequency,射频)电路、路由器、调制解调器、等网络通信设备。此外,通信单元560还可通过无线通信与网络和其他设备通信。无线通信可使用任一通信标准或协议,包括但不限于GSM(Global System of Mobile communication,全球移动通讯系统)、GPRS(General Packet Radio Service,通用分组无线服务)、CDMA(CodeDivision Multiple Access,码分多址)、WCDMA(Wideband Code DivisionMultiple Access,宽带码分多址)、LTE(Long Term Evolution,长期演进)、电子邮件、SMS(Short Messaging Service,短消息服务)等。
计算机设备还可包括给各个部件供电的电源570(比如电池),优选的,电源可通过电源管理系统与处理器540逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源570还可包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
尽管未示出,计算机设备还可以包括摄像头、蓝牙模块、传感器(比如光传感器、运动传感器以及其他传感器等)、音频电路和无线通信单元等,在此不再赘述。
在本实施例中,计算机设备包括一个或者多个处理器540、存储器530,以及一个或者多个程序,一个或者多个程序存储于存储器530中,且经配置以由一个或者多个处理器540执行一个或者多个程序包含的用于执行用于终端设备的身份验证方法的指令:从客户端进程获取设备连接请求;将所述设备连接请求发送给数字证书设备;从所述数字证书设备接收连接结果消息;将所述连接结果消息发送给所述客户端进程。
此外,存储器530中还存储有用于执行以下程序的指令:响应于从所述客户端进程获取的包括待签名数据的签名请求,将所述签名请求发送给所述数字证书设备,从所述数字证书设备接收与所述签名请求相应的已签名数据,并且将所述已签名数据发送给所述客户端进程。
另外,所述客户端进程为浏览器应用的进程或者客户端应用的进程。
此外,所述数字证书设备为USBKEY、蓝牙KEY、音频KEY。
此外,所述连接结果消息至少包括以下信息中的一项或多项:用户名、密码、所述数字证书设备的设备标识、公钥、私钥和所述数字证书设备中的数字证书密码。
本发明实施例提供的用于身份验证的计算机设备,通过终端设备的操作系统的后台服务将从客户端进程获取的设备连接请求发送给数字证书设备,并通过数字证书设备将相应的连接结果消息发送给该后台服务,以便将其发送给客户端进程,并进一步由客户端进程发送给服务器以对当前用户的身份进行验证,从而避免了需要分别为不同客户端应用或浏览器应用开发并设置特定插件,通过该特定插件对用户进行身份验证的处理,进而降低开发工作量和成本。
进一步地,本发明实施例中,一方面,通过基于终端设备的操作系统的后台服务的方式,在终端设备上只需安装一次,通过该后台服务可以支持不同类型的浏览器,而无须为每种浏览器安装特定的插件,从而可降低开发工作量和成本;另一方面,对于移动终端设备上的客户端应用来说,由于现有的客户端应用中集成了数字证书设备的功能,这样会给客户端应用的开发增加难度,本发明实施例中通过将数字证书设备的功能从该客户端应用中分离出来,以后台服务的方式对交易中的用户身份进行验证,从而可降低客户端应用的开发难度。
实施例四
基于相同的技术构思,图6是示出根据本发明实施例四的用于身份验证的计算机设备的逻辑框图。参照图6,所述计算机设备可用于实施上述实施例中提供的用于终端设备的身份验证方法。具体来讲:
计算机设备可包括输入单元610、音频电路620、包括有一个或一个以上计算机可读存储介质的存储器630、包括有一个或者一个以上处理核心的处理器640、显示单元650、通信单元660、以及电源670等部件。本领域技术人员可以理解,图中示出的计算机设备结构并不构成对计算机设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
输入单元610可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。优选地,输入单元610可包括触敏表面611以及其他输入设备612。触敏表面611也称为触摸显示屏或者触控板,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触敏表面611上或在触敏表面611附近的操作),并根据预先设定的程式驱动相应的连接装置。可选的,触敏表面611可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器640,并能接收处理器640发来的命令并加以执行。除了触敏表面611,输入单元610还可以包括其他输入设备612。优选地,其他输入设备612可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
音频电路620、扬声器621和传声器(或麦克风)622可提供用户与计算机设备之间的音频接口。音频电路620可将接收到的音频数据转换后的电信号,传输到扬声器621,由扬声器621转换为声音信号输出;另一方面,传声器622将收集的声音信号转换为电信号,由音频电路620接收后转换为音频数据,再将音频数据输出处理器640处理后,经通信单元660以发送给比如另一计算机设备,或者将音频数据输出至存储器630以便进一步处理。音频电路620还可能包括耳塞插孔,以提供外设耳机与计算机设备的通信。
存储器630可用于存储软件程序以及数据,处理器640通过运行存储在存储器630的软件程序以及数据,从而执行各种功能应用以及数据处理。存储器630可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据计算机设备的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器630可包括高速随机存取存储器,还可包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器630还可包括存储器控制器,以提供处理器640和输入单元610对存储器630的访问。
处理器640是计算机设备的控制中心,利用各种接口和线路连接整个计算机设备的各个部分,通过运行或执行存储在存储器630内的软件程序和/或模块,以及调用存储在存储器630内的数据,执行计算机设备的各种功能和处理数据,从而对计算机设备进行整体监控。
显示单元650可用于显示由用户输入的信息或提供给用户的信息以及计算机设备的各种图形用户接口,这些图形用户接口可以由图形、文本、图标、视频和其任意组合来构成。显示单元650可包括显示面板,可选的,可以采用LCD(Liquid Crystal Display,液晶显示器)、OLED(Organic Light-Emitting Diode,有机发光二极管)等形式来配置显示面板。虽然在图示中,输入单元610与显示单元650是作为两个独立的部件来实现输入和输出功能,但是在某些实施例中,可将输入单元610与显示单元650集成而实现输入和输出功能。
通信单元660可用于收发信息或通话过程中,信号的接收和发送,通信单元660可以为RF(Radio Frequency,射频)电路、路由器、调制解调器、等网络通信设备。此外,通信单元660还可通过无线通信与网络和其他设备通信。无线通信可使用任一通信标准或协议,包括但不限于GSM(Global System of Mobile communication,全球移动通讯系统)、GPRS(General Packet Radio Service,通用分组无线服务)、CDMA(CodeDivision Multiple Access,码分多址)、WCDMA(Wideband Code DivisionMultiple Access,宽带码分多址)、LTE(Long Term Evolution,长期演进)、电子邮件、SMS(Short Messaging Service,短消息服务)等。
计算机设备还可包括给各个部件供电的电源670(比如电池),优选的,电源可通过电源管理系统与处理器640逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源670还可包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
尽管未示出,计算机设备还可以包括摄像头、蓝牙模块、传感器(比如光传感器、运动传感器以及其他传感器等)和无线通信单元等,在此不再赘述。
在本实施例中,计算机设备包括一个或者多个处理器640、存储器630,以及一个或者多个程序,一个或者多个程序存储于存储器630中,且经配置以由一个或者多个处理器640执行一个或者多个程序包含的用于执行用于终端设备的身份验证方法的指令:向预定的后台服务发送设备连接请求;从所述后台服务接收与所述设备连接请求相应的连接结果消息。
优选地,存储器630中还存储有用于执行以下程序的指令:向所述后台服务发送包括待签名数据的签名请求;从所述后台服务接收与所述签名请求相应的已签名数据;将所述已签名数据发送给服务器;从所述服务器接收所述已签名数据的处理结果消息。
本发明实施例提供的用于身份验证的计算机设备,通过终端设备的操作系统的后台服务将从客户端进程获取的设备连接请求发送给数字证书设备,并通过数字证书设备将相应的连接结果消息发送给该后台服务,以便将其发送给客户端进程,并进一步由客户端进程发送给服务器以对当前用户的身份进行验证,从而避免了需要分别为不同客户端应用或浏览器应用开发并设置特定插件,通过该特定插件对用户进行身份验证的处理,进而降低开发工作量和成本。
进一步地,本发明实施例中,一方面,通过基于终端设备的操作系统的后台服务的方式,在终端设备上只需安装一次,通过该后台服务可以支持不同类型的浏览器,而无须为每种浏览器安装特定的插件,从而可降低开发工作量和成本;另一方面,对于移动终端设备上的客户端应用来说,由于现有的客户端应用中集成了数字证书设备的功能,这样会给客户端应用的开发增加难度,本发明实施例中通过将数字证书设备的功能从该客户端应用中分离出来,以后台服务的方式对交易中的用户身份进行验证,从而可降低客户端应用的开发难度。
需要指出,根据实施的需要,可将本申请中描述的各个步骤/部件拆分为更多步骤/部件,也可将两个或多个步骤/部件或者步骤/部件的部分操作组合成新的步骤/部件,以实现本发明的目的。
上述根据本发明的方法可在硬件、固件中实现,或者被实现为可存储在记录介质(诸如CD ROM、RAM、软盘、硬盘或磁光盘)中的软件或计算机代码,或者被实现通过网络下载的原始存储在远程记录介质或非暂时机器可读介质中并将被存储在本地记录介质中的计算机代码,从而在此描述的方法可被存储在使用通用计算机、专用处理器或者可编程或专用硬件(诸如ASIC或FPGA)的记录介质上的这样的软件处理。可以理解,计算机、处理器、微处理器控制器或可编程硬件包括可存储或接收软件或计算机代码的存储组件(例如,RAM、ROM、闪存等),当所述软件或计算机代码被计算机、处理器或硬件访问且执行时,实现在此描述的处理方法。此外,当通用计算机访问用于实现在此示出的处理的代码时,代码的执行将通用计算机转换为用于执行在此示出的处理的专用计算机。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (11)
1.一种用于终端设备的身份验证方法,其特征在于,所述方法包括,在所述终端设备的操作系统的后台服务中执行以下步骤:
从客户端进程获取设备连接请求;
将所述设备连接请求发送给数字证书设备;
从所述数字证书设备接收连接结果消息;
将所述连接结果消息发送给所述客户端进程。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
响应于从所述客户端进程获取的包括待签名数据的签名请求,将所述签名请求发送给所述数字证书设备,从所述数字证书设备接收与所述签名请求相应的已签名数据,并且将所述已签名数据发送给所述客户端进程。
3.根据权利要求1或2所述的方法,其特征在于,所述客户端进程为浏览器应用的进程或者客户端应用的进程。
4.根据权利要求1或2所述的方法,其特征在于,所述数字证书设备为USBKEY、蓝牙KEY、音频KEY。
5.根据权利要求1或2所述的方法,其特征在于,所述连接结果消息至少包括以下信息中的一项或多项:用户名、密码、所述数字证书设备的设备标识、公钥、私钥和所述数字证书设备中的数字证书密码。
6.一种用于终端设备的身份验证方法,其特征在于,所述方法包括:
向预定的后台服务发送设备连接请求;
从所述后台服务接收与所述设备连接请求相应的连接结果消息。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
向所述后台服务发送包括待签名数据的签名请求;
从所述后台服务接收与所述签名请求相应的已签名数据;
将所述已签名数据发送给服务器;
从所述服务器接收所述已签名数据的处理结果消息。
8.一种用于身份验证的计算机设备,其特征在于,所述计算机设备包括:
一个或多个处理器;
存储器;
一个或多个程序,所述一个或多个程序存储在所述存储器中,且经配置以由所述一个或者多个处理器执行所述一个或者多个程序包含的用于执行所述用于终端设备的身份验证方法的指令:
从客户端进程获取设备连接请求;
将所述设备连接请求发送给数字证书设备;
从所述数字证书设备接收连接结果消息;
将所述连接结果消息发送给所述客户端进程。
9.根据权利要求8所述的计算机设备,其特征在于,所述存储器中还存储有用于执行以下程序的指令:
响应于从所述客户端进程获取的包括待签名数据的签名请求,将所述签名请求发送给所述数字证书设备,从所述数字证书设备接收与所述签名请求相应的已签名数据,并且将所述已签名数据发送给所述客户端进程。
10.一种用于身份验证的计算机设备,其特征在于,所述计算机设备包括:
一个或多个处理器;
存储器;
一个或多个程序,所述一个或多个程序存储在所述存储器中,且经配置以由所述一个或者多个处理器执行所述一个或者多个程序包含的用于执行所述用于终端设备的身份验证方法的指令:
向预定的后台服务发送设备连接请求;
从所述后台服务接收与所述设备连接请求相应的连接结果消息。
11.根据权利要求10所述的计算机设备,其特征在于,所述存储器中还存储有用于执行以下程序的指令:
向所述后台服务发送包括待签名数据的签名请求;
从所述后台服务接收与所述签名请求相应的已签名数据;
将所述已签名数据发送给服务器;
从所述服务器接收所述已签名数据的处理结果消息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610154515.6A CN105847007A (zh) | 2016-03-17 | 2016-03-17 | 用于终端设备的身份验证方法和计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610154515.6A CN105847007A (zh) | 2016-03-17 | 2016-03-17 | 用于终端设备的身份验证方法和计算机设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105847007A true CN105847007A (zh) | 2016-08-10 |
Family
ID=56588330
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610154515.6A Pending CN105847007A (zh) | 2016-03-17 | 2016-03-17 | 用于终端设备的身份验证方法和计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105847007A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106899600A (zh) * | 2017-03-09 | 2017-06-27 | 广州力小浦科技有限公司 | 净水器的数据处理方法及装置 |
| CN107968815A (zh) * | 2017-10-25 | 2018-04-27 | 北京信安世纪科技股份有限公司 | 一种安全防护的方法及装置 |
| CN109344598A (zh) * | 2018-09-29 | 2019-02-15 | 北京东土科技股份有限公司 | 设备间的绑定及权限控制方法、装置、设备及存储介质 |
| CN109472167A (zh) * | 2018-11-14 | 2019-03-15 | 北京天威诚信电子商务服务有限公司 | 一种数字签名方法及装置 |
| CN111930653A (zh) * | 2020-07-13 | 2020-11-13 | 四川钛阁科技有限责任公司 | 一种usb设备的远程分配使用方法及装置 |
| CN112149097A (zh) * | 2020-09-22 | 2020-12-29 | 龙芯中科(合肥)技术有限公司 | 身份认证方法、装置、设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102044040A (zh) * | 2009-10-26 | 2011-05-04 | 中国移动通信集团公司 | 网上银行交易的方法、装置及移动终端 |
| CN202495964U (zh) * | 2011-12-08 | 2012-10-17 | 陈易 | 一种基于移动终端的身份认证系统 |
| CN103473678A (zh) * | 2013-08-30 | 2013-12-25 | 北京宏基恒信科技有限责任公司 | 使用人机接口的交易系统、方法和装置 |
| CN104283688A (zh) * | 2014-10-11 | 2015-01-14 | 东软集团股份有限公司 | 一种USBKey安全认证系统及安全认证方法 |
| CN104393995A (zh) * | 2014-10-31 | 2015-03-04 | 深圳市文鼎创数据科技有限公司 | 一种智能终端及身份认证方法 |
-
2016
- 2016-03-17 CN CN201610154515.6A patent/CN105847007A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102044040A (zh) * | 2009-10-26 | 2011-05-04 | 中国移动通信集团公司 | 网上银行交易的方法、装置及移动终端 |
| CN202495964U (zh) * | 2011-12-08 | 2012-10-17 | 陈易 | 一种基于移动终端的身份认证系统 |
| CN103473678A (zh) * | 2013-08-30 | 2013-12-25 | 北京宏基恒信科技有限责任公司 | 使用人机接口的交易系统、方法和装置 |
| CN104283688A (zh) * | 2014-10-11 | 2015-01-14 | 东软集团股份有限公司 | 一种USBKey安全认证系统及安全认证方法 |
| CN104393995A (zh) * | 2014-10-31 | 2015-03-04 | 深圳市文鼎创数据科技有限公司 | 一种智能终端及身份认证方法 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106899600A (zh) * | 2017-03-09 | 2017-06-27 | 广州力小浦科技有限公司 | 净水器的数据处理方法及装置 |
| CN107968815A (zh) * | 2017-10-25 | 2018-04-27 | 北京信安世纪科技股份有限公司 | 一种安全防护的方法及装置 |
| CN107968815B (zh) * | 2017-10-25 | 2021-05-14 | 北京信安世纪科技股份有限公司 | 一种安全防护的方法及装置 |
| CN109344598A (zh) * | 2018-09-29 | 2019-02-15 | 北京东土科技股份有限公司 | 设备间的绑定及权限控制方法、装置、设备及存储介质 |
| CN109472167A (zh) * | 2018-11-14 | 2019-03-15 | 北京天威诚信电子商务服务有限公司 | 一种数字签名方法及装置 |
| CN111930653A (zh) * | 2020-07-13 | 2020-11-13 | 四川钛阁科技有限责任公司 | 一种usb设备的远程分配使用方法及装置 |
| CN112149097A (zh) * | 2020-09-22 | 2020-12-29 | 龙芯中科(合肥)技术有限公司 | 身份认证方法、装置、设备及存储介质 |
| CN112149097B (zh) * | 2020-09-22 | 2023-02-28 | 龙芯中科(合肥)技术有限公司 | 身份认证方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103634294B (zh) | 信息验证方法和装置 | |
| CN107534653B (zh) | 基于云的跨设备的数字笔配对 | |
| CN105847007A (zh) | 用于终端设备的身份验证方法和计算机设备 | |
| CN103634109B (zh) | 操作权限验证方法和装置 | |
| CN105704123B (zh) | 一种进行业务处理的方法、装置和系统 | |
| US9703971B2 (en) | Sensitive operation verification method, terminal device, server, and verification system | |
| CN110399713B (zh) | 一种信息认证的方法及相关装置 | |
| CN104184587B (zh) | 声纹生成方法、服务器、客户端及系统 | |
| CN110417543B (zh) | 一种数据加密方法、装置和存储介质 | |
| CN108920366B (zh) | 一种子应用调试方法、装置及系统 | |
| US20170352090A1 (en) | Method, apparatus, and system for processing order information | |
| CN104219050B (zh) | 声纹验证方法、服务器、客户端及系统 | |
| WO2015101273A1 (zh) | 一种安全验证方法、相关设备和系统 | |
| CN105468952A (zh) | 身份验证方法及装置 | |
| CN104836664A (zh) | 一种执行业务处理的方法、装置和系统 | |
| CN103095457A (zh) | 一种应用程序的登录、验证方法 | |
| CN105491067A (zh) | 基于密钥的业务安全性验证方法及装置 | |
| CN104954126B (zh) | 敏感操作验证方法、装置及系统 | |
| CN104901805B (zh) | 一种身份鉴权方法、装置和系统 | |
| CN104735657B (zh) | 安全终端验证方法、无线接入点绑定方法、装置及系统 | |
| CN104993961A (zh) | 设备控制方法、装置和系统 | |
| CN107615294A (zh) | 一种验证码短信显示方法及移动终端 | |
| CN106255102B (zh) | 一种终端设备的鉴定方法及相关设备 | |
| CN110198301A (zh) | 一种服务数据获取方法、装置及设备 | |
| CN104967593A (zh) | 一种身份验证方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information |
Inventor after: Cheng Cao Inventor after: Chen Hongzhong Inventor after: Zhang Yuxuan Inventor before: Li Cunfa Inventor before: Chen Hongzhong Inventor before: Cheng Cao |
|
| CB03 | Change of inventor or designer information | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20170601 Address after: Room A216-59, block B Qilu Software Building No. 1768 Xinluo Avenue high tech Zone of Ji'nan City, Shandong province 250101 Applicant after: Shandong caution Intelligent Technology Co., Ltd. Address before: 100176, Daxing District economic and Technological Development Zone, Beijing, Rong Jingdong street, No. 1, building 25, 3, 1, unit 2321 Applicant before: BEIJING ZHONGYUNZAIXIAN SCIENCE & TECHNOLOGY CO., LTD. |
|
| TA01 | Transfer of patent application right | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160810 |
|
| WD01 | Invention patent application deemed withdrawn after publication |