CN106961417B - 基于密文的身份验证方法 - Google Patents
基于密文的身份验证方法 Download PDFInfo
- Publication number
- CN106961417B CN106961417B CN201611203764.6A CN201611203764A CN106961417B CN 106961417 B CN106961417 B CN 106961417B CN 201611203764 A CN201611203764 A CN 201611203764A CN 106961417 B CN106961417 B CN 106961417B
- Authority
- CN
- China
- Prior art keywords
- ciphertext
- user
- restriction
- information interaction
- security information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
Abstract
本发明提出了基于密文的身份验证方法,其包括:数据处理服务器周期性地或基于请求向用户的移动终端推送一个或多个第一限制密钥和一个或多个第二限制密钥;在用户通过移动终端发起安全性信息交互过程时,驻留于移动终端上的安全性应用使用所述一个或多个第一限制密钥中的一个生成应用密文,并使用所述一个或多个第二限制密钥中的一个生成用户密文,随之将所述应用密文和用户密文发送至安全性信息交互终端;安全性信息交互终端在接收到应用密文和用户密文后构建安全性信息交互请求,并将安全性信息交互请求发送至数据处理服务器以进行后续的安全性信息交互过程。本发明所公开的方法具有增强的安全性并且使用便捷。
Description
技术领域
本发明涉及身份验证方法,更具体地,涉及基于密文的身份验证方法。
背景技术
目前,随着计算机和网络应用的日益广泛以及不同领域的业务种类的日益丰富,利用移动终端实施安全性信息交互过程(即对安全性要求较高的数据交互过程,例如金融领域中的支付交易)变得越来越重要。
在现有的技术方案中,在实施实际的安全性信息交互过程之前典型地需要完成用户的身份验证操作,并且仅在身份验证成功的情况下发起安全性信息交互请求(例如包含支付订单的支付请求),通常采用如下两种身份验证方式:(1)用户在安全性信息交互终端(例如商户POS机)上输入个人密码(PIN),随后安全性信息交互终端发起联机形式的身份验证过程;(2)用户通过私有的移动终端(例如手机)输入个人密码(PIN)并经由互联网将所述个人密码发送至相关的身份验证服务器进行远程身份验证或者由驻留于移动终端中的特定物理环境(TEE或SE)下的数据处理单元进行本地身份验证。
然而,上述现有的技术方案存在如下问题:(1)由于需要在实施实际的安全性信息交互过程之前在安全性信息交互终端上输入个人密码,故存在个人密码被恶意使用的潜在风险;(2)由于仅在身份验证成功的情况下发起安全性信息交互请求,故存在被非法窃听和攻击的潜在风险;(3)由于需要使用特定的安全单元或者经由公共互联网通道,故成本较高且使用不便。
因此,存在如下需求:提供具有增强的安全性并且使用便捷的基于密文的身份验证方法。
发明内容
为了解决上述现有技术方案所存在的问题,本发明提出了具有增强的安全性并且使用便捷的基于密文的身份验证方法。
本发明的目的是通过以下技术方案实现的:
一种基于密文的身份验证方法,所述基于密文的身份验证方法包括下列步骤:
(A1)数据处理服务器周期性地或基于请求向用户的移动终端推送一个或多个第一限制密钥和一个或多个第二限制密钥,其中,所述一个或多个第二限制密钥中的每个与所述用户的个人密码相关联;
(A2)在用户通过所述移动终端发起安全性信息交互过程时,驻留于所述移动终端上的安全性应用使用所述一个或多个第一限制密钥中的一个生成应用密文,并使用所述一个或多个第二限制密钥中的一个生成用户密文,随之将所述应用密文和用户密文发送至安全性信息交互终端,其中,所述应用密文和所述用户密文均包含所述安全性信息交互过程所需的业务明细数据;
(A3)所述安全性信息交互终端在接收到所述应用密文和所述用户密文后构建安全性信息交互请求,并将所述安全性信息交互请求发送至所述数据处理服务器以进行后续的安全性信息交互过程。
在上面所公开的方案中,优选地,所述步骤(A1)进一步包括:所述数据处理服务器周期性地基于同一个主密钥以及应用计数器的值以分散的方式生成第一限制密钥和第二限制密钥,其中,一个应用计数器的值对应于相关联的一个第一限制密钥和一个第二限制密钥。
在上面所公开的方案中,优选地,所述步骤(A1)进一步包括:所述数据处理服务器在将所述第二限制密钥发送至所述移动终端时使用用户的个人密码对所述第二限制密钥进行逐位的异或运算,并将经异或运算处理的第二限制密钥发送至所述移动终端。
在上面所公开的方案中,优选地,所述步骤(A2)进一步包括:在驻留于所述移动终端上的安全性应用使用与当前应用计数器的值相对应的经异或运算处理的第二限制密钥生成用户密文时,其指示用户输入个人密码并使用用户输入的个人密码对所述经异或运算处理的第二限制密钥进行反向的逐位异或运算以获得未经异或运算处理的第二限制密钥,并随之使用所述未经异或运算处理的第二限制密钥生成所述用户密文。
在上面所公开的方案中,优选地,一个第一限制密钥和一个与其相关联的第二限制密钥仅在与一个应用计数器的值相对应的一次数据交互过程中有效。
在上面所公开的方案中,优选地,所述步骤(A3)进一步包括:在接收到所述安全性信息交互请求后,所述数据处理服务器使用与生成所述第一限制密钥和所述第二限制密钥相同的方式再次生成与当前应用计数器的值对应的第一限制密钥和第二限制密钥,并分别使用再次生成的第一限制密钥和第二限制密钥以及基于所述安全性信息交互请求中的业务明细数据生成应用密文和用户密文,随之将生成的应用密文和用户密文各自与所述安全性信息交互请求中所包含的应用密文和用户密文相比较,如果应用密文一致,则判定所述移动终端是合法的设备,如果用户密文一致,则判定用户的身份验证成功,并且所述数据处理服务器随后基于判定结果执行后续的安全性信息交互过程。
本发明所公开的基于密文的身份验证方法具有以下优点:(1)由于在实施实际的安全性信息交互过程之前无需在外部的安全性信息交互终端上输入个人密码,故具有增强的安全性;(2)由于能够在身份验证之前发起安全性信息交互请求,故可以避免被非法窃听和攻击的潜在风险;(3)由于不需要使用特定的安全单元或者经由公共互联网通道,故成本较低且使用便捷。
附图说明
结合附图,本发明的技术特征以及优点将会被本领域技术人员更好地理解,其中:
图1是根据本发明的实施例的基于密文的身份验证方法的流程图。
具体实施方式
图1是根据本发明的实施例的基于密文的身份验证方法的流程图。如图1所示,本发明所公开的基于密文的身份验证方法包括下列步骤:(A1)数据处理服务器(例如金融服务提供方的云端服务器)周期性地或基于请求向用户的移动终端(例如智能手机)推送一个或多个第一限制密钥和一个或多个第二限制密钥,其中,所述一个或多个第二限制密钥中的每个与所述用户的个人密码相关联;(A2)在用户通过所述移动终端发起安全性信息交互过程时,驻留于所述移动终端上的安全性应用使用所述一个或多个第一限制密钥中的一个生成应用密文,并使用所述一个或多个第二限制密钥中的一个生成用户密文,随之将所述应用密文和用户密文发送至安全性信息交互终端(例如商户POS机或商户应用(APP)),其中,所述应用密文和所述用户密文均包含所述安全性信息交互过程所需的业务明细数据(例如支付交易的明细信息);(A3)所述安全性信息交互终端在接收到所述应用密文和所述用户密文后构建安全性信息交互请求,并将所述安全性信息交互请求发送至所述数据处理服务器以进行后续的安全性信息交互过程。
优选地,在本发明所公开的基于密文的身份验证方法中,所述步骤(A1)进一步包括:所述数据处理服务器周期性地基于同一个主密钥(例如发卡方密钥)以及应用计数器(即ATC,驻留于移动终端中的每个应用具有与其相关联的唯一的一个应用计数器,该应用每进行一次数据交互,与其相关联的应用计数器的值加1)的值以分散的方式生成第一限制密钥和第二限制密钥,其中,一个应用计数器的值对应于相关联的一个第一限制密钥和一个第二限制密钥。
优选地,在本发明所公开的基于密文的身份验证方法中,所述步骤(A1)进一步包括:所述数据处理服务器在将所述第二限制密钥发送至所述移动终端时使用用户的个人密码(即PIN,其在初始注册时与驻留于所述移动终端上的安全性应用相绑定)对所述第二限制密钥进行逐位的异或运算,并将经异或运算处理的第二限制密钥发送至所述移动终端。
优选地,在本发明所公开的基于密文的身份验证方法中,所述步骤(A2)进一步包括:在驻留于所述移动终端上的安全性应用使用与当前应用计数器的值相对应的经异或运算处理的第二限制密钥生成用户密文时,其指示用户输入个人密码(PIN)并使用用户输入的个人密码(PIN)对所述经异或运算处理的第二限制密钥进行反向的逐位异或运算以获得未经异或运算处理的第二限制密钥,并随之使用所述未经异或运算处理的第二限制密钥生成所述用户密文。
优选地,在本发明所公开的基于密文的身份验证方法中,一个第一限制密钥和一个与其相关联的第二限制密钥仅在与一个应用计数器的值相对应的一次数据交互过程中有效。
优选地,在本发明所公开的基于密文的身份验证方法中,所述步骤(A3)进一步包括:在接收到所述安全性信息交互请求后,所述数据处理服务器使用与生成所述第一限制密钥和所述第二限制密钥相同的方式再次生成与当前应用计数器的值对应的第一限制密钥和第二限制密钥,并分别使用再次生成的第一限制密钥和第二限制密钥以及基于所述安全性信息交互请求中的业务明细数据生成应用密文和用户密文,随之将生成的应用密文和用户密文各自与所述安全性信息交互请求中所包含的应用密文和用户密文相比较,如果应用密文一致,则判定所述移动终端是合法的设备,如果用户密文一致,则判定用户的身份验证成功,并且所述数据处理服务器随后基于判定结果执行后续的安全性信息交互过程(例如,在应用密文一致而用户密文不一致的情况下,数据处理服务器可以设置相关的错误发生计数器,即当用户密文验证错误发生的次数超过一定阈值后可以拒绝后续的安全性信息交互过程的执行)。
由上可见,本发明所公开的基于密文的身份验证方法具有下列优点:(1)由于在实施实际的安全性信息交互过程之前无需在外部的安全性信息交互终端上输入个人密码,故具有增强的安全性;(2)由于能够在身份验证之前发起安全性信息交互请求,故可以避免被非法窃听和攻击的潜在风险;(3)由于不需要使用特定的安全单元或者经由公共互联网通道,故成本较低且使用便捷。
尽管本发明是通过上述的优选实施方式进行描述的,但是其实现形式并不局限于上述的实施方式。应该认识到:在不脱离本发明主旨和范围的情况下,本领域技术人员可以对本发明做出不同的变化和修改。
Claims (6)
1.一种基于密文的身份验证方法,所述基于密文的身份验证方法包括下列步骤:
(A1)数据处理服务器周期性地或基于请求向用户的移动终端推送一个或多个第一限制密钥和一个或多个第二限制密钥,其中,所述一个或多个第二限制密钥中的每个与所述用户的个人密码相关联;
(A2)在用户通过所述移动终端发起安全性信息交互过程时,驻留于所述移动终端上的安全性应用使用所述一个或多个第一限制密钥中的一个生成应用密文,并使用所述一个或多个第二限制密钥中的一个生成用户密文,随之将所述应用密文和用户密文发送至安全性信息交互终端,其中,所述应用密文和所述用户密文均包含所述安全性信息交互过程所需的业务明细数据;
(A3)所述安全性信息交互终端在接收到所述应用密文和所述用户密文后构建安全性信息交互请求,并将所述安全性信息交互请求发送至所述数据处理服务器以进行后续的安全性信息交互过程。
2.根据权利要求1所述的基于密文的身份验证方法,其特征在于,所述步骤(A1)进一步包括:所述数据处理服务器周期性地基于同一个主密钥以及应用计数器的值以分散的方式生成第一限制密钥和第二限制密钥,其中,一个应用计数器的值对应于相关联的一个第一限制密钥和一个第二限制密钥。
3.根据权利要求2所述的基于密文的身份验证方法,其特征在于,所述步骤(A1)进一步包括:所述数据处理服务器在将所述第二限制密钥发送至所述移动终端时使用用户的个人密码对所述第二限制密钥进行逐位的异或运算,并将经异或运算处理的第二限制密钥发送至所述移动终端。
4.根据权利要求3所述的基于密文的身份验证方法,其特征在于,所述步骤(A2)进一步包括:在驻留于所述移动终端上的安全性应用使用与当前应用计数器的值相对应的经异或运算处理的第二限制密钥生成用户密文时,其指示用户输入个人密码并使用用户输入的个人密码对所述经异或运算处理的第二限制密钥进行反向的逐位异或运算以获得未经异或运算处理的第二限制密钥,并随之使用所述未经异或运算处理的第二限制密钥生成所述用户密文。
5.根据权利要求4所述的基于密文的身份验证方法,其特征在于,一个第一限制密钥和一个与其相关联的第二限制密钥仅在与一个应用计数器的值相对应的一次数据交互过程中有效。
6.根据权利要求5所述的基于密文的身份验证方法,其特征在于,所述步骤(A3)进一步包括:在接收到所述安全性信息交互请求后,所述数据处理服务器使用与生成所述第一限制密钥和所述第二限制密钥相同的方式再次生成与当前应用计数器的值对应的第一限制密钥和第二限制密钥,并分别使用再次生成的第一限制密钥和第二限制密钥以及基于所述安全性信息交互请求中的业务明细数据生成应用密文和用户密文,随之将生成的应用密文和用户密文各自与所述安全性信息交互请求中所包含的应用密文和用户密文相比较,如果应用密文一致,则判定所述移动终端是合法的设备,如果用户密文一致,则判定用户的身份验证成功,并且所述数据处理服务器随后基于判定结果执行后续的安全性信息交互过程。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611203764.6A CN106961417B (zh) | 2016-12-23 | 2016-12-23 | 基于密文的身份验证方法 |
| PCT/CN2017/114419 WO2018113508A1 (zh) | 2016-12-23 | 2017-12-04 | 基于密文的身份验证方法 |
| TW106143125A TWI728212B (zh) | 2016-12-23 | 2017-12-08 | 基於密文的身份驗證方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611203764.6A CN106961417B (zh) | 2016-12-23 | 2016-12-23 | 基于密文的身份验证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106961417A CN106961417A (zh) | 2017-07-18 |
| CN106961417B true CN106961417B (zh) | 2020-05-22 |
Family
ID=59480853
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611203764.6A Active CN106961417B (zh) | 2016-12-23 | 2016-12-23 | 基于密文的身份验证方法 |
Country Status (3)
| Country | Link |
|---|---|
| CN (1) | CN106961417B (zh) |
| TW (1) | TWI728212B (zh) |
| WO (1) | WO2018113508A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106961417B (zh) * | 2016-12-23 | 2020-05-22 | 中国银联股份有限公司 | 基于密文的身份验证方法 |
| CN111311261B (zh) * | 2020-02-24 | 2023-07-21 | 中国工商银行股份有限公司 | 一种联机交易的安全处理方法、装置及系统 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120011007A1 (en) * | 2010-07-07 | 2012-01-12 | At&T Intellectual Property I, L.P. | Mobile Payment Using DTMF Signaling |
| CN102694782B (zh) * | 2011-03-24 | 2016-05-18 | 中国银联股份有限公司 | 基于互联网的安全性信息交互设备及方法 |
| CN102752264A (zh) * | 2011-04-19 | 2012-10-24 | 中国银行股份有限公司 | 一种互联网双动态密码客户身份认证方法及系统 |
| WO2016035466A1 (ja) * | 2014-09-03 | 2016-03-10 | エンクリプティア株式会社 | 通信システム、サーバ装置用プログラム及びこれを記録した記録媒体、通信装置用プログラム及びこれを記録した記録媒体、端末装置用プログラム及びこれを記録した記録媒体 |
| CN105991285B (zh) * | 2015-02-16 | 2019-06-11 | 阿里巴巴集团控股有限公司 | 用于量子密钥分发过程的身份认证方法、装置及系统 |
| CN104778794B (zh) * | 2015-04-24 | 2017-06-20 | 华为技术有限公司 | 移动支付装置和方法 |
| CN105678553A (zh) * | 2015-08-05 | 2016-06-15 | 腾讯科技(深圳)有限公司 | 一种处理订单信息的方法、装置和系统 |
| CN106961417B (zh) * | 2016-12-23 | 2020-05-22 | 中国银联股份有限公司 | 基于密文的身份验证方法 |
-
2016
- 2016-12-23 CN CN201611203764.6A patent/CN106961417B/zh active Active
-
2017
- 2017-12-04 WO PCT/CN2017/114419 patent/WO2018113508A1/zh active Application Filing
- 2017-12-08 TW TW106143125A patent/TWI728212B/zh active
Also Published As
| Publication number | Publication date |
|---|---|
| TW201828134A (zh) | 2018-08-01 |
| CN106961417A (zh) | 2017-07-18 |
| WO2018113508A1 (zh) | 2018-06-28 |
| TWI728212B (zh) | 2021-05-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9838205B2 (en) | Network authentication method for secure electronic transactions | |
| US11521203B2 (en) | Generating a cryptographic key based on transaction data of mobile payments | |
| US9231925B1 (en) | Network authentication method for secure electronic transactions | |
| CN103051453B (zh) | 一种基于数字证书的移动终端网络安全交易系统与方法 | |
| CN105790938B (zh) | 基于可信执行环境的安全单元密钥生成系统及方法 | |
| CN111512608B (zh) | 基于可信执行环境的认证协议 | |
| US20150350894A1 (en) | Method and System for Establishing a Secure Communication Channel | |
| CN104079562B (zh) | 一种基于支付终端的安全认证方法及相关装置 | |
| CN103781064A (zh) | 短信验证系统及验证方法 | |
| CN112448958B (zh) | 一种域策略下发方法、装置、电子设备和存储介质 | |
| CN107204985A (zh) | 基于加密密钥的权限认证方法、装置及系统 | |
| CN107277017A (zh) | 基于加密密钥和设备指纹的权限认证方法、装置及系统 | |
| TWI786039B (zh) | 線下支付方法、終端設備、後臺支付裝置及線下支付系統 | |
| CN115276978A (zh) | 一种数据处理方法以及相关装置 | |
| CN106961417B (zh) | 基于密文的身份验证方法 | |
| CN110572392A (zh) | 一种基于Hyperledger网络的身份认证方法 | |
| CN105577606B (zh) | 一种实现认证器注册的方法和装置 | |
| CN103248487B (zh) | 近场通信认证方法、证书授权中心及近场通信设备 | |
| CN117336092A (zh) | 一种客户端登录方法、装置、电子设备和存储介质 | |
| CN104901967A (zh) | 信任设备的注册方法 | |
| CN108574657B (zh) | 接入服务器的方法、装置、系统以及计算设备和服务器 | |
| CN115344848A (zh) | 标识获取方法、装置、设备及计算机可读存储介质 | |
| KR101879842B1 (ko) | Otp를 이용한 사용자 인증 방법 및 시스템 | |
| CN112187458B (zh) | 一种设备端与平台端会话激活方法、装置、系统及介质 | |
| CN110365661B (zh) | 一种网络安全认证方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1238821 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |