CN107196922B - 身份认证方法、用户设备和服务器 - Google Patents
身份认证方法、用户设备和服务器 Download PDFInfo
- Publication number
- CN107196922B CN107196922B CN201710304299.3A CN201710304299A CN107196922B CN 107196922 B CN107196922 B CN 107196922B CN 201710304299 A CN201710304299 A CN 201710304299A CN 107196922 B CN107196922 B CN 107196922B
- Authority
- CN
- China
- Prior art keywords
- equipment
- user
- public key
- private key
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种身份认证方法,在用户设备侧,包括:将设备验证公钥和设备唯一标识符发送给设备认证服务器,供设备认证服务器保存;使用设备验证私钥对服务验证公钥进行签名,并将签名数据连同设备唯一标识符发送给设备认证服务器,以供设备认证服务器通过设备唯一标识符检索到设备验证公钥并对签名数据进行验签,在验签通过时将结果返回给身份认证服务器,供身份认证服务器保存;使用服务验证私钥对用户认证公钥进行签名,将签名数据发送给身份认证服务器,供身份认证服务器使用服务验证公钥进行验签,在验签通过时保存用户认证公钥。该方法解决了现有FIDO认证标准中,用户在注册时存在的安全风险问题。本发明还提供了相应的用户设备和服务器。
Description
技术领域
本发明涉及认证技术,特别是一种身份认证方法、用户设备和服务器。
背景技术
FIDO线上快速身份认证标准(以下简称FIDO标准)是由FIDO联盟提出的一个开放的标准协议,旨在提供一个高安全性、跨平台兼容性、极佳用户体验与用户隐私保护的在线身份认证技术架构。FIDO标准通过集成生物识别与非对称加密两大技术来完成用户身份验证,试图终结多年来用户必须记忆并使用大量复杂密码的烦恼。
但是,FIDO的系统架构仍然存在着一些安全风险。在FIDO UAF架构中,用户认证密钥是由内嵌于客户端设备中的认证器产生的,用户私钥存储在认证器中,用户公钥使用认证器验证私钥进行签名后发送到服务器端,由服务器端使用认证器验证根证书进行验证后,将用户公钥存储在服务器端数据库中,以完成用户注册的流程。此流程中,FIDO服务器依赖原有用户认证手段(如口令、短信验证码等)对用户进行验证,同时依赖认证器验证机制来对设备进行验证。由于认证器的验证密钥并不是每设备唯一的,导致有可能存在安全风险,如攻击者伪冒用户进行注册。
发明内容
本发明的一个目的是为了解决现有FIDO认证标准中,用户在注册时存在的安全风险问题,提供一种身份认证方法,以及基于该方法的用户设备和服务器。
为解决上述技术问题,第一方面,本发明提供一种身份认证方法,在用户设备侧,所述方法包括:
将设备验证公钥和设备唯一标识符发送给设备认证服务器,以供设备认证服务器保存所述设备验证公钥和设备唯一标识符;
使用设备验证私钥对服务验证公钥进行签名,并将签名数据连同设备唯一标识符发送给设备认证服务器,以供设备认证服务器通过设备唯一标识符检索到设备验证公钥并对签名数据进行验签,并在验签通过时将结果返回给身份认证服务器,供所述身份认证服务器保存所述服务验证公钥;
使用服务验证私钥对用户认证公钥进行签名,并将签名数据发送给身份认证服务器,以供身份认证服务器使用服务验证公钥对签名数据进行验签,并在验签通过时保存用户认证公钥。
进一步地,在所述使用设备验证私钥对服务验证公钥进行签名之前,所述方法还包括:
在用户设备初次激活时生成服务验证公私钥对,并将服务验证私钥保存在用户设备中。
进一步地,在所述使用服务验证私钥对用户认证公钥进行签名之前,所述方法还包括:
在用户注册时生成用户认证公私钥对,并将用户认证私钥保存在用户设备中。
进一步地,所述公钥和/或私钥被保存在对应设备的安全存储区域中。
第二方面,本发明提供一种身份验证方法,在身份认证服务器侧,所述方法包括:
接收设备认证服务器返回的验签结果,在确认验签通过时,保存服务验证公钥;
使用服务验证公钥对经过服务验证私钥签名的用户认证公钥签名数据进行验签,如果验签通过,保存用户认证公钥;其中:
所述验签结果是通过以下方式得到的:
用户设备将设备验证公钥和设备唯一标识符发送给设备认证服务器,以供设备认证服务器保存所述设备验证公钥和设备唯一标识符;
用户设备使用设备验证私钥对服务验证公钥进行签名,并将签名数据连同设备唯一标识符发送给设备认证服务器,以供设备认证服务器通过设备唯一标识符检索到设备验证公钥并对签名数据进行验签,并在验签通过时将结果返回给身份认证服务器。
进一步地,在所述使用设备验证私钥对服务验证公钥进行签名之前,还包括如下步骤:
在用户设备初次激活时生成服务验证公私钥对,并将服务验证私钥保存在用户设备中。
进一步地,在所述使用服务验证私钥对用户认证公钥进行签名之前,还包括如下步骤:
在用户注册时生成用户认证公私钥对,并将用户认证私钥保存在用户设备中。
进一步地,所述公钥和/或私钥被保存在对应设备的安全存储区域中。
第三方面,本发明提供一种身份认证方法,基于设备认证服务器、用户设备和身份认证服务器实现,且在所述设备认证服务器侧,所述方法包括:
接收用户设备发送的设备验证公钥和设备唯一标识符并保存;
接收用户设备发送的签名数据和设备唯一标识符,并通过设备唯一标识符检索到设备验证公钥并对签名数据进行验签;所述签名数据由用户设备使用设备验证私钥对服务验证公钥进行签名得到;
将验签结果返回给身份认证服务器,以供身份认证服务器在验签通过时保存服务验证公钥,并在用户设备将使用服务验证私钥对用户认证公钥进行签名并发送给身份认证服务器后,身份认证服务器能够使用服务验证公钥对签名数据进行验签并在验签通过时保存用户认证公钥。
进一步地,在所述用户设备使用设备验证私钥对服务验证公钥进行签名之前,还包括如下步骤:
在用户设备初次激活时生成服务验证公私钥对,并将服务验证私钥保存在用户设备中。
进一步地,在所述使用服务验证私钥对用户认证公钥进行签名之前,还包括如下步骤:
在用户注册时生成用户认证公私钥对,并将用户认证私钥保存在用户设备中。
进一步地,所述公钥和/或私钥被保存在对应设备的安全存储区域中。
第四方面,本发明提供一种用户设备,包括存储介质及存储在存储介质中的计算机程序,所述程序在运行时可实现以下步骤:
将设备验证公钥和设备唯一标识符发送给设备认证服务器,以供设备认证服务器保存所述设备验证公钥和设备唯一标识符;
使用设备验证私钥对服务验证公钥进行签名,并将签名数据连同设备唯一标识符发送给设备认证服务器,以供设备认证服务器通过设备唯一标识符检索到设备验证公钥并对签名数据进行验签,并在验签通过时将结果返回给身份认证服务器,供所述身份认证服务器保存所述服务验证公钥;
使用服务验证私钥对用户认证公钥进行签名,并将签名数据发送给身份认证服务器,以供身份认证服务器使用服务验证公钥对签名数据进行验签,并在验签通过时保存用户认证公钥。
进一步地,在所述使用设备验证私钥对服务验证公钥进行签名之前,所述程序在运行时还可实现以下步骤:
在用户设备初次激活时生成服务验证公私钥对,并将服务验证私钥保存在用户设备中。
进一步地,在所述使用服务验证私钥对用户认证公钥进行签名之前,所述程序在运行时还可实现以下步骤:
在用户注册时生成用户认证公私钥对,并将用户认证私钥保存在用户设备中。
进一步地,所述公钥和/或私钥被保存在对应设备的安全存储区域中。
第五方面,本发明提供一种身份认证服务器,包括存储介质及存储在存储介质中的计算机程序,其特征在于,所述程序在运行时可实现以下步骤:
接收设备认证服务器返回的验签结果,在确认验签通过时,保存服务验证公钥;
使用服务验证公钥对经过服务验证私钥签名的用户认证公钥签名数据进行验签,如果验签通过,保存用户认证公钥;其中:
所述验签结果是通过以下方式得到的:
用户设备将设备验证公钥和设备唯一标识符发送给设备认证服务器,以供设备认证服务器保存所述设备验证公钥和设备唯一标识符;
用户设备使用设备验证私钥对服务验证公钥进行签名,并将签名数据连同设备唯一标识符一起发送给设备认证服务器,以供设备认证服务器通过检索该设备唯一标识符找到相应的设备验证公钥并使用该公钥对签名数据进行验签,并在验签通过时将结果返回给身份认证服务器。
进一步地,在所述使用设备验证私钥对服务验证公钥进行签名之前,所述程序在运行时还可实现以下步骤:
在用户设备初次激活时生成服务验证公私钥对,并将服务验证私钥保存在用户设备中。
进一步地,在所述使用服务验证私钥对用户认证公钥进行签名之前,所述程序在运行时还可实现以下步骤:
在用户注册时生成用户认证公私钥对,并将用户认证私钥保存在用户设备中。
进一步地,所述公钥和/或私钥被保存在对应设备的安全存储区域中。
第六方面,本发明提供一种设备认证服务器,包括存储介质及存储在存储介质中的计算机程序,所述程序在运行时可实现以下步骤:
接收用户设备发送的设备验证公钥和设备唯一标识符并保存;
接收用户设备发送的签名数据和设备唯一标识符,并通过设备唯一标识符检索到设备验证公钥并对签名数据进行验签;所述签名数据由用户设备使用设备验证私钥对服务验证公钥进行签名得到;
将验签结果返回给身份认证服务器,以供身份认证服务器在验签通过时保存服务验证公钥,并在用户设备将使用服务验证私钥对用户认证公钥进行签名并发送给身份认证服务器后,身份认证服务器能够使用服务验证公钥对签名数据进行验签并在验签通过时保存用户认证公钥。
进一步地,在所述用户设备使用设备验证私钥对服务验证公钥进行签名之前,所述程序在运行时还可实现以下步骤:
在用户设备初次激活时生成服务验证公私钥对,并将服务验证私钥保存在用户设备中。
进一步地,在所述使用服务验证私钥对用户认证公钥进行签名之前,所述程序在运行时可实现以下步骤:
在用户注册时生成用户认证公私钥对,并将用户认证私钥保存在用户设备中。
进一步地,所述公钥和/或私钥被保存在对应设备的安全存储区域中。
本发明提供的身份认证方法、用户设备和服务器,具有如下有益效果:
在本发明的系统架构中,在用户设备和身份认证服务器之间引入了设备认证服务器,设备认证服务器保存有来自用户设备的设备验证公钥和设备唯一标识符,该设备验证公钥是出厂时预置在用户设备中的,具有唯一性,通过设备验证公私钥对完成服务验证公钥的验签,提高了身份验证公钥的认证安全性。接着,本发明还通过身份验证公私钥对再对用户注册时产生的用户认证公钥进行签名和验签,作为最终认证用户身份的依据,进一步提高了验证的安全性,避免了认证器验证密钥不唯一带来的风险。
附图说明
图1为本发明实施例所提供的身份认证方法在用户设备侧的流程图;
图2为本发明实施例所提供的身份认证方法在身份认证服务器侧的流程图;
图3为本发明实施例所提供的身份认证方法在设备认证服务器侧的流程图;
图4为本发明实施例所提供的身份认证方法中DAK的产生流程图;
图5为本发明实施例所提供的身份认证方法中SAK的产生流程图;
图6为本发明实施例所提供的身份认证方法中UAK的产生流程图;
图7为本发明实施例所提供的用户设备的结构示意图;
图8为本发明实施例所提供的身份认证服务器的结构示意图;
图9为本发明实施例所提供的设备认证服务器的结构示意图;
图10为本发明实施例所提供的身份认证方法的整体架构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。
本发明提供的一种身份认证方法,基本的构思是在现有的FIDO标准的系统架构基础上,引入了设备认证服务器(或称设备认证中心),具体架构如图10所示。在用户的注册前和注册过程中,基于设备认证服务器与用户设备(即身份认证客户端)、身份认证服务器之间的交互得到最终的用户认证密钥,用于认证最终用户身份。
应当理解的是,在现有的FIDO认证标准中,以UAF架构为例,整体上包括用户注册步骤和在用户注册步骤完成后的用户认证步骤。本发明涉及用户注册步骤及该步骤之前的改进。用户认证步骤属于现有技术,可以参考FIDO中有关用户认证流程的标准来实现,在本发明中不再赘述。
本说明书中述及的以下词语和短语通常具有以下规定的含义,除非使用的文义另有所指:
术语“设备验证密钥”,英文全称为Device Attestation Key,简写为DAK。
“设备验证密钥”是一种非对称密钥对,包括公钥和私钥。该密钥对由身份认证客户端在设备出厂时产生并预置到设备安全存储区域中。每台设备的DAK是唯一的。
术语“服务验证密钥”,英文全称为Service Attestation Key,简写为SAK。
“服务验证密钥”是一种非对称密钥对,包括公钥和私钥。该密钥由身份认证客户端在初次激活使用时产生,并使用DAK的私钥进行签名后传递到身份认证服务端。
术语“用户认证密钥”,英文全称为User Authentication Key,简写为UAK。
“用户认证密钥”是一种非对称密钥对,包括公钥和私钥。该密钥对在用户进行注册时由用户设备产生,用于认证最终用户身份。
下面,结合图1-6,分别从用户设备侧、身份认证服务器侧和设备认证服务器侧描述本发明实施例中的身份认证方法。
在用户设备侧,本发明实施例提供的身份认证方法,包括如下步骤:
S101:将设备验证公钥和设备唯一标识符发送给设备认证服务器,以供设备认证服务器保存所述设备验证公钥和设备唯一标识符;
在步骤S101中,设备验证密钥是在用户设备出厂时预置在设备的安全存储区域内的,该公私钥对具有唯一性。
S102:在用户设备初次激活时生成服务验证公私钥对,并将服务验证私钥保存在用户设备中;
用户在使用设备登录到某个应用服务方进行开通身份认证服务时,需要进行激活。在此过程中,用户设备会再生成一对公私钥对,本发明将其作为服务验证公私钥对来使用(如下文叙述)。
S103:使用设备验证私钥对服务验证公钥进行签名,并将签名数据连同设备唯一标识符发送给设备认证服务器,以供设备认证服务器通过设备唯一标识符检索到设备验证公钥并对签名数据进行验签,并在验签通过时将结果返回给身份认证服务器,供所述身份认证服务器保存所述服务验证公钥;
在设备认证服务器接收到签名数据后,通过设备唯一标识符检索到该设备的DAK公钥后对签名数据进行验证,并将验证结果返回给身份认证服务器。通过步骤S103,完成了用户注册前的第一道验证过程。由于DAK密钥的唯一性以及SAK密钥与DAK密钥之间关联性,使得经过DAK密钥验签的SAK公钥的安全性得到保证,为后续用户注册的验签过程提供安全的验证基础。
S104:在用户注册时生成用户认证公私钥对,并将用户认证私钥保存在用户设备中;
从步骤S104开始,进入到用户注册的环节,在FIDO标准的体系下,以UAF为例,生成用户认证公私钥对具体可以通过以下的流程:
用户设备通过APP向应用提供方提交用户名和其它必要用户数据,申请启动UAF注册程序。应用提供方服务器收到用户请求后,通过用户应用向智能设备中的UAF客户端发出注册申请。UAF客户端收到注册申请后,通过应用接口调用UAF身份认证器,并向用户提供本设备支持的本地确认方式供用户选择与确认;在用户确认后,UAF身份认证器生成新的公私钥对。此处的UAF身份认证器可以是任意一种生物信息识别装置,包括但不限于公知的指纹识别装置、面部识别模块、虹膜识别模块和语音识别装置等。
应当理解的是,用户在获得一个支持UAF协议的智能终端(如手机)后,需要像日常使用那样先在设备上录入用户生物特征识别信息完成本地认证。例如利用指纹识别模块采集用户的指纹信息、利用麦克采集用户的语音信息、或者利用摄像头采集用户的面部或虹膜信息等,完成用户与设备之间的认证信息采集,并存储在本设备的安全单元中。
S105:使用服务验证私钥对用户认证公钥进行签名,并将签名数据发送给身份认证服务器,以供身份认证服务器使用服务验证公钥对签名数据进行验签,并在验签通过时保存用户认证公钥。
在身份认证服务器接收到签名数据后,根据应用服务信息查找本地的数据库,检索到与该应用服务匹配的SAK公钥后,使用SAK公钥对签名数据进行验证。
如步骤S103中所述,此时使用的服务验证公钥经由DAK密钥完成签名和验证,具有很好的安全性,在此基础上,进一步利用SAK密钥完成对UAK的签名和验证,仍然可以保证UAK验证过程中的唯一性和安全性,避免攻击者伪冒用户进行注册的风险。
经过步骤S105得到的UAK公钥,可以作为身份认证服务器在授权用户设备执行敏感操作(如线上支付等)时,进行用户身份认证的最终依据。具体的认证流程可以参考FIDO标准中有关认证流程部分的内容,在本发明中不再赘述。
作为一种优选的实施方案,在上述各个设备保存公钥或私钥的过程中,优先将这些密钥保存在对应设备的安全存储区域中,如经过加密处理的数据库中或者可信执行环境和安全芯片中,这样可以避免密钥的泄漏,提高验证过程的安全性。
在身份认证服务器侧,本发明实施例提供的身份验证方法具体包括以下的步骤:
S201:接收设备认证服务器返回的验签结果,在确认验签通过时,保存服务验证公钥;
S202:使用服务验证公钥对经过服务验证私钥签名的用户认证公钥签名数据进行验签,如果验签通过,保存用户认证公钥。
应当理解的是,在步骤S202之前,在用户设备侧还包括如下步骤:在用户注册时生成用户认证公私钥对,并将用户认证私钥保存在用户设备的安全区域中。
其中:
所述验签结果是通过以下方式得到的:
用户设备将设备验证公钥和设备唯一标识符发送给设备认证服务器,以供设备认证服务器保存所述设备验证公钥和设备唯一标识符;
在用户设备初次激活时生成服务验证公私钥对,并将服务验证私钥保存在用户设备中。
用户设备使用设备验证私钥对服务验证公钥进行签名,并将签名数据连同设备唯一标识符发送给设备认证服务器,以供设备认证服务器通过设备唯一标识符检索到设备验证公钥并对签名数据进行验签,并在验签通过时将结果返回给身份认证服务器。
作为一种优选的实施方案,在上述各个设备保存公钥或私钥的过程中,优先将这些密钥保存在对应设备的安全存储区域中,如经过加密处理的数据库中或者可信执行环境和安全芯片中,这样可以避免密钥的泄漏,提高验证过程的安全性。
上述各步骤中的具体实施方式可以参考在用户设备侧的相关描述,此处不再赘述。
在设备认证服务器侧,本发明实施例提供的身份验证方法具体包括以下的步骤:
S301:接收用户设备发送的设备验证公钥和设备唯一标识符并保存;
S302:接收用户设备发送的签名数据和设备唯一标识符,并通过设备唯一标识符检索到设备验证公钥,然后对签名数据进行验签;所述签名数据由用户设备使用设备验证私钥对服务验证公钥进行签名得到;
S303:将验签结果返回给身份认证服务器,以供身份认证服务器在验签通过时保存服务验证公钥,并在用户设备将使用服务验证私钥对用户认证公钥进行签名并发送给身份认证服务器后,身份认证服务器能够使用服务验证公钥对签名数据进行验签并在验签通过时保存用户认证公钥。
其中,在所述用户设备使用设备验证私钥对服务验证公钥进行签名之前,还包括如下步骤:
在用户设备初次激活时生成服务验证公私钥对,并将服务验证私钥保存在用户设备中,以及
在所述使用服务验证私钥对用户认证公钥进行签名之前,还包括如下步骤:
在用户注册时生成用户认证公私钥对,并将用户认证私钥保存在用户设备中。
作为一种优选的实施方案,在上述各个设备保存公钥或私钥的过程中,优先将这些密钥保存在对应设备的安全存储区域中,如经过加密处理的数据库中或者可信执行环境和安全芯片中,这样可以避免密钥的泄漏,提高验证过程的安全性。
上述各步骤中的具体实施方式可以参考在用户设备侧的相关描述,此处不再赘述。
下面,根据上述提供的身份认证方法,结合图7-9,描述本发明实施例提供的用于实现上述方法的有关装置。
在一个实施例中,本发明提供了一种用户设备,也可以称为身份认证客户端。其由用户持有,可以是任何一种已知的用户智能设备,包括但不限于手机、PAD或智能手表等。该用户设备可以配置有支持FIDO协议的操作系统和应用程序。此外还可以具有生物识别装置,包括但不限于公知的指纹识别装置、虹膜识别装置、面部识别装置和语音识别装置等。
本发明实施例提供的用户设备包括存储介质401及存储在存储介质中的计算机程序,该程序可以被处理器402执行,所述程序在运行时可实现以下步骤:
将设备验证公钥和设备唯一标识符发送给设备认证服务器,以供设备认证服务器保存所述设备验证公钥和设备唯一标识符;
在用户设备初次激活时生成服务验证公私钥对,并将服务验证私钥保存在用户设备中;
使用设备验证私钥对服务验证公钥进行签名,并将签名数据连同设备唯一标识符发送给设备认证服务器,以供设备认证服务器通过设备唯一标识符检索到设备验证公钥并对签名数据进行验签,并在验签通过时将结果返回给身份认证服务器,供所述身份认证服务器保存所述服务验证公钥;
在用户注册时生成用户认证公私钥对,并将用户认证私钥保存在用户设备中;
使用服务验证私钥对用户认证公钥进行签名,并将签名数据发送给身份认证服务器,以供身份认证服务器使用服务验证公钥对签名数据进行验签,并在验签通过时保存用户认证公钥。
作为一种优选的实施方案,在上述各个设备保存公钥或私钥的过程中,优先将这些密钥保存在对应设备的安全存储区域中,如经过加密处理的数据库中或者可信执行环境和安全芯片中,这样可以避免密钥的泄漏,提高验证过程的安全性。
上述程序运行的步骤对应于在用户设备侧执行的身份认证方法,具体实施方式可以参考上文的描述,在此不再赘述。
在另一个实施例中,本发明提供一种身份认证服务器,包括存储介质501及存储在存储介质中的计算机程序,该程序可以被处理器502执行,所述程序在运行时可实现以下步骤:
接收设备认证服务器返回的验签结果,在确认验签通过时,保存服务验证公钥;
使用服务验证公钥对经过服务验证私钥签名的用户认证公钥签名数据进行验签,如果验签通过,保存用户认证公钥。
应当理解的是,在用户设备侧还包括如下步骤:在用户注册时生成用户认证公私钥对,并将用户认证私钥保存在用户设备中。
其中:
所述验签结果是通过以下方式得到的:
用户设备将设备验证公钥和设备唯一标识符发送给设备认证服务器,以供设备认证服务器保存所述设备验证公钥和设备唯一标识符;
在用户设备初次激活时生成服务验证公私钥对,并将服务验证私钥保存在用户设备中。
用户设备使用设备验证私钥对服务验证公钥进行签名,并将签名数据连同设备唯一标识符发送给设备认证服务器,以供设备认证服务器通过设备唯一标识符检索到设备验证公钥并对签名数据进行验签,并在验签通过时将结果返回给身份认证服务器。
作为一种优选的实施方案,在上述各个设备保存公钥或私钥的过程中,优先将这些密钥保存在对应设备的安全存储区域中,如经过加密处理的数据库中或者可信执行环境和安全芯片中,这样可以避免密钥的泄漏,提高验证过程的安全性。
上述程序运行的步骤对应于在身份认证服务器侧执行的身份认证方法,具体实施方式可以参考上文的描述,在此不再赘述。
在另一个实施例中,本发明还提供了一种设备认证服务器,包括存储介质601及存储在存储介质中的计算机程序,该程序可以被处理器602执行,所述程序在运行时可实现以下步骤:
接收用户设备发送的设备验证公钥和设备唯一标识符并保存;
接收用户设备发送的签名数据和设备唯一标识符,并通过设备唯一标识符检索到设备验证公钥然后对签名数据进行验签;所述签名数据由用户设备使用设备验证私钥对服务验证公钥进行签名得到;
将验签结果返回给身份认证服务器,以供身份认证服务器在验签通过时保存服务验证公钥,并在用户设备将使用服务验证私钥对用户认证公钥进行签名并发送给身份认证服务器后,身份认证服务器能够使用服务验证公钥对签名数据进行验签并在验签通过时保存用户认证公钥。
在所述用户设备使用设备验证私钥对服务验证公钥进行签名之前,所述程序在运行时还可实现以下步骤:
在用户设备初次激活时生成服务验证公私钥对,并将服务验证私钥保存在用户设备中。
在所述使用服务验证私钥对用户认证公钥进行签名之前,所述程序在运行时可实现以下步骤:
在用户注册时生成用户认证公私钥对,并将用户认证私钥保存在用户设备中。
作为一种优选的实施方案,在上述各个设备保存公钥或私钥的过程中,优先将这些密钥保存在对应设备的安全存储区域中,如经过加密处理的数据库中或者可信执行环境和安全芯片中,这样可以避免密钥的泄漏,提高验证过程的安全性。
上述程序运行的步骤对应于在设备认证服务器侧执行的身份认证方法,具体实施方式可以参考上文的描述,在此不再赘述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
本发明实施例中的述及的程序,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(RandomAccessMemory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上对本发明所提供的身份认证方法、用户设备和服务器进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (24)
1.身份认证方法,其特征在于,在用户设备侧,所述方法包括:
将设备验证公钥和设备唯一标识符发送给设备认证服务器,以供设备认证服务器保存所述设备验证公钥和设备唯一标识符;
使用设备验证私钥对服务验证公钥进行签名,并将签名数据连同设备唯一标识符发送给设备认证服务器,以供设备认证服务器通过设备唯一标识符检索到设备验证公钥并对签名数据进行验签,并在验签通过时将结果返回给身份认证服务器,供所述身份认证服务器保存所述服务验证公钥;
使用服务验证私钥对用户认证公钥进行签名,并将签名数据发送给身份认证服务器,以供身份认证服务器使用服务验证公钥对签名数据进行验签,并在验签通过时保存用户认证公钥。
2.根据权利要求1所述的身份认证方法,其特征在于,在所述使用设备验证私钥对服务验证公钥进行签名之前,所述方法还包括:
在用户设备初次激活时生成服务验证公私钥对,并将服务验证私钥保存在用户设备中。
3.根据权利要求1所述的身份认证方法,其特征在于,在所述使用服务验证私钥对用户认证公钥进行签名之前,所述方法还包括:
在用户注册时生成用户认证公私钥对,并将用户认证私钥保存在用户设备中。
4.根据权利要求1-3任一所述的身份认证方法,其特征在于,所述公钥和/或私钥被保存在对应设备的安全存储区域中。
5.身份认证方法,其特征在于,在身份认证服务器侧,所述方法包括:
接收设备认证服务器返回的验签结果,在确认验签通过时,保存服务验证公钥;
使用服务验证公钥对经过服务验证私钥签名的用户认证公钥签名数据进行验签,如果验签通过,保存用户认证公钥;
其中:
所述验签结果是通过以下方式得到的:
用户设备将设备验证公钥和设备唯一标识符发送给设备认证服务器,以供设备认证服务器保存所述设备验证公钥和设备唯一标识符;
用户设备使用设备验证私钥对服务验证公钥进行签名,并将签名数据连同设备唯一标识符发送给设备认证服务器,以供设备认证服务器通过设备唯一标识符检索到设备验证公钥并对签名数据进行验签,并在验签通过时将结果返回给身份认证服务器。
6.根据权利要求5所述的身份认证方法,其特征在于,在所述使用设备验证私钥对服务验证公钥进行签名之前,还包括如下步骤:
在用户设备初次激活时生成服务验证公私钥对,并将服务验证私钥保存在用户设备中。
7.根据权利要求5所述的身份认证方法,其特征在于,在所述使用服务验证私钥对用户认证公钥进行签名之前,还包括如下步骤:
在用户注册时生成用户认证公私钥对,并将用户认证私钥保存在用户设备中。
8.根据权利要求5-7任一所述的身份认证方法,其特征在于,所述公钥和/或私钥被保存在对应设备的安全存储区域中。
9.身份认证方法,其特征在于,基于设备认证服务器、用户设备和身份认证服务器实现,且在所述设备认证服务器侧,所述方法包括:
接收用户设备发送的设备验证公钥和设备唯一标识符并保存;
接收用户设备发送的签名数据和设备唯一标识符,并通过设备唯一标识符检索到设备验证公钥并对签名数据进行验签;所述签名数据由用户设备使用设备验证私钥对服务验证公钥进行签名得到;
将验签结果返回给身份认证服务器,以供身份认证服务器在验签通过时保存服务验证公钥,并在用户设备将使用服务验证私钥对用户认证公钥进行签名并发送给身份认证服务器后,身份认证服务器能够使用服务验证公钥对签名数据进行验签并在验签通过时保存用户认证公钥。
10.根据权利要求9所述的身份认证方法,其特征在于,在所述用户设备使用设备验证私钥对服务验证公钥进行签名之前,还包括如下步骤:
在用户设备初次激活时生成服务验证公私钥对,并将服务验证私钥保存在用户设备中。
11.根据权利要求9所述的身份认证方法,其特征在于,在所述使用服务验证私钥对用户认证公钥进行签名之前,还包括如下步骤:
在用户注册时生成用户认证公私钥对,并将用户认证私钥保存在用户设备中。
12.根据权利要求9-11任一所述的身份认证方法,其特征在于,所述公钥和/或私钥被保存在对应设备的安全存储区域中。
13.用户设备,包括存储介质及存储在存储介质中的计算机程序,其特征在于,所述程序在运行时可实现以下步骤:
将设备验证公钥和设备唯一标识符发送给设备认证服务器,以供设备认证服务器保存所述设备验证公钥和设备唯一标识符;
使用设备验证私钥对服务验证公钥进行签名,并将签名数据连同设备唯一标识符发送给设备认证服务器,以供设备认证服务器通过设备唯一标识符检索到设备验证公钥并对签名数据进行验签,并在验签通过时将结果返回给身份认证服务器,供所述身份认证服务器保存所述服务验证公钥;
使用服务验证私钥对用户认证公钥进行签名,并将签名数据发送给身份认证服务器,以供身份认证服务器使用服务验证公钥对签名数据进行验签,并在验签通过时保存用户认证公钥。
14.根据权利要求13所述的用户设备,其特征在于,在所述使用设备验证私钥对服务验证公钥进行签名之前,所述程序在运行时还可实现以下步骤:
在用户设备初次激活时生成服务验证公私钥对,并将服务验证私钥保存在用户设备中。
15.根据权利要求13所述的用户设备,其特征在于,在所述使用服务验证私钥对用户认证公钥进行签名之前,所述程序在运行时还可实现以下步骤:
在用户注册时生成用户认证公私钥对,并将用户认证私钥保存在用户设备中。
16.根据权利要求13-15任一所述的用户设备,其特征在于,所述公钥和/或私钥被保存在对应设备的安全存储区域中。
17.身份认证服务器,包括存储介质及存储在存储介质中的计算机程序,其特征在于,所述程序在运行时可实现以下步骤:
接收设备认证服务器返回的验签结果,在确认验签通过时,保存服务验证公钥;
使用服务验证公钥对经过服务验证私钥签名的用户认证公钥签名数据进行验签,如果验签通过,保存用户认证公钥;其中:
所述验签结果是通过以下方式得到的:
用户设备将设备验证公钥和设备唯一标识符发送给设备认证服务器,以供设备认证服务器保存所述设备验证公钥和设备唯一标识符;
用户设备使用设备验证私钥对服务验证公钥进行签名,并将签名数据连同设备唯一标识符一起发送给设备认证服务器,以供设备认证服务器通过检索该设备唯一标识符找到相应的设备验证公钥并使用该公钥对签名数据进行验签,并在验签通过时将结果返回给身份认证服务器。
18.根据权利要求17所述的身份认证服务器,其特征在于,在所述使用设备验证私钥对服务验证公钥进行签名之前,所述程序在运行时还可实现以下步骤:
在用户设备初次激活时生成服务验证公私钥对,并将服务验证私钥保存在用户设备中。
19.根据权利要求17所述的身份认证服务器,其特征在于,在所述使用服务验证私钥对用户认证公钥进行签名之前,所述程序在运行时还可实现以下步骤:
在用户注册时生成用户认证公私钥对,并将用户认证私钥保存在用户设备中。
20.根据权利要求17-19任一所述的身份认证服务器,其特征在于,所述公钥和/或私钥被保存在对应设备的安全存储区域中。
21.设备认证服务器,包括存储介质及存储在存储介质中的计算机程序,其特征在于,所述程序在运行时可实现以下步骤:
接收用户设备发送的设备验证公钥和设备唯一标识符并保存;
接收用户设备发送的签名数据和设备唯一标识符,并通过设备唯一标识符检索到设备验证公钥并对签名数据进行验签;所述签名数据由用户设备使用设备验证私钥对服务验证公钥进行签名得到;
将验签结果返回给身份认证服务器,以供身份认证服务器在验签通过时保存服务验证公钥,并在用户设备将使用服务验证私钥对用户认证公钥进行签名并发送给身份认证服务器后,身份认证服务器能够使用服务验证公钥对签名数据进行验签并在验签通过时保存用户认证公钥。
22.根据权利要求21所述的设备认证服务器,其特征在于,在所述用户设备使用设备验证私钥对服务验证公钥进行签名之前,所述程序在运行时还可实现以下步骤:
在用户设备初次激活时生成服务验证公私钥对,并将服务验证私钥保存在用户设备中。
23.根据权利要求22所述的设备认证服务器,其特征在于,在所述使用服务验证私钥对用户认证公钥进行签名之前,所述程序在运行时可实现以下步骤:
在用户注册时生成用户认证公私钥对,并将用户认证私钥保存在用户设备中。
24.根据权利要求21-23任一所述的设备认证服务器,其特征在于,所述公钥和/或私钥被保存在对应设备的安全存储区域中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710304299.3A CN107196922B (zh) | 2017-05-03 | 2017-05-03 | 身份认证方法、用户设备和服务器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710304299.3A CN107196922B (zh) | 2017-05-03 | 2017-05-03 | 身份认证方法、用户设备和服务器 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107196922A CN107196922A (zh) | 2017-09-22 |
CN107196922B true CN107196922B (zh) | 2020-08-04 |
Family
ID=59873103
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710304299.3A Active CN107196922B (zh) | 2017-05-03 | 2017-05-03 | 身份认证方法、用户设备和服务器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107196922B (zh) |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107682160B (zh) * | 2017-10-31 | 2020-08-28 | 美的智慧家居科技有限公司 | 一种生产设备的认证方法及装置、电子设备 |
CN107733912A (zh) * | 2017-10-31 | 2018-02-23 | 珠海市魅族科技有限公司 | 信息加密方法、信息认证方法、终端及计算机可读存储介质 |
CN109960916A (zh) * | 2017-12-22 | 2019-07-02 | 苏州迈瑞微电子有限公司 | 一种身份认证的方法和系统 |
CN108234509A (zh) * | 2018-01-16 | 2018-06-29 | 国民认证科技(北京)有限公司 | 基于tee和pki证书的fido认证器、认证系统及方法 |
CN111342955B (zh) * | 2018-12-19 | 2023-04-18 | 北京沃东天骏信息技术有限公司 | 一种通信方法及其设备、计算机存储介质 |
CN109600392A (zh) * | 2019-01-15 | 2019-04-09 | 四川虹微技术有限公司 | 一种防止信息篡改的方法及装置 |
CN110190964B (zh) * | 2019-05-16 | 2022-03-15 | 苏州科达科技股份有限公司 | 身份认证方法及电子设备 |
CN110635916B (zh) * | 2019-09-30 | 2022-07-12 | 四川虹微技术有限公司 | 基于tee的安全应用认证方法 |
CN111935166B (zh) * | 2020-08-18 | 2022-09-16 | 杭州萤石软件有限公司 | 通信认证方法、系统、电子设备、服务器及存储介质 |
CN112118229B (zh) * | 2020-08-20 | 2022-09-27 | 宁波奥克斯电气股份有限公司 | 物联网设备和服务器安全认证方法、装置及电子设备 |
CN113162772B (zh) * | 2021-05-08 | 2023-02-03 | 国民认证科技(北京)有限公司 | Pin码身份认证方法及系统 |
CN113591057B (zh) * | 2021-08-05 | 2024-05-14 | 国民认证科技(北京)有限公司 | 生物特征离线身份识别方法及系统 |
CN113992411A (zh) * | 2021-11-01 | 2022-01-28 | 令牌云(上海)科技有限公司 | 一种基于可信设备的用户身份认证方法和装置 |
CN114679276B (zh) * | 2022-02-18 | 2024-04-23 | 支付宝(杭州)信息技术有限公司 | 基于时间的一次性密码算法的身份认证方法和装置 |
CN115150086A (zh) * | 2022-06-20 | 2022-10-04 | 中国联合网络通信集团有限公司 | 云服务基于生物特征的公钥的身份认证方法及设备 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101442411A (zh) * | 2008-12-23 | 2009-05-27 | 中国科学院计算技术研究所 | 一种p2p网络中对等用户结点间的身份认证方法 |
CN101626294A (zh) * | 2008-07-07 | 2010-01-13 | 华为技术有限公司 | 基于身份的认证方法、保密通信方法、设备和系统 |
CN104601594A (zh) * | 2015-02-04 | 2015-05-06 | 北京云安世纪科技有限公司 | 基于二维码的otp令牌设备的身份认证装置及方法 |
CN105721480A (zh) * | 2016-03-02 | 2016-06-29 | 北京九州云腾科技有限公司 | 基于fido硬件的用户操作方法及系统 |
CN106027457A (zh) * | 2015-11-10 | 2016-10-12 | 天地融科技股份有限公司 | 一种身份证信息传输方法和系统 |
CN106102058A (zh) * | 2016-05-30 | 2016-11-09 | 飞天诚信科技股份有限公司 | 一种身份认证方法及装置 |
CN103607282B (zh) * | 2013-11-22 | 2017-03-15 | 成都卫士通信息产业股份有限公司 | 一种基于生物特征的身份融合认证方法 |
-
2017
- 2017-05-03 CN CN201710304299.3A patent/CN107196922B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101626294A (zh) * | 2008-07-07 | 2010-01-13 | 华为技术有限公司 | 基于身份的认证方法、保密通信方法、设备和系统 |
CN101442411A (zh) * | 2008-12-23 | 2009-05-27 | 中国科学院计算技术研究所 | 一种p2p网络中对等用户结点间的身份认证方法 |
CN103607282B (zh) * | 2013-11-22 | 2017-03-15 | 成都卫士通信息产业股份有限公司 | 一种基于生物特征的身份融合认证方法 |
CN104601594A (zh) * | 2015-02-04 | 2015-05-06 | 北京云安世纪科技有限公司 | 基于二维码的otp令牌设备的身份认证装置及方法 |
CN106027457A (zh) * | 2015-11-10 | 2016-10-12 | 天地融科技股份有限公司 | 一种身份证信息传输方法和系统 |
CN105721480A (zh) * | 2016-03-02 | 2016-06-29 | 北京九州云腾科技有限公司 | 基于fido硬件的用户操作方法及系统 |
CN106102058A (zh) * | 2016-05-30 | 2016-11-09 | 飞天诚信科技股份有限公司 | 一种身份认证方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN107196922A (zh) | 2017-09-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107196922B (zh) | 身份认证方法、用户设备和服务器 | |
CN107070667B (zh) | 身份认证方法 | |
CN109150548B (zh) | 一种数字证书签名、验签方法及系统、数字证书系统 | |
US20180082050A1 (en) | Method and a system for secure login to a computer, computer network, and computer website using biometrics and a mobile computing wireless electronic communication device | |
CN104065653B (zh) | 一种交互式身份验证方法、装置、系统和相关设备 | |
US9338163B2 (en) | Method using a single authentication device to authenticate a user to a service provider among a plurality of service providers and device for performing such a method | |
JP2018532301A (ja) | 本人認証方法及び装置 | |
KR20170043520A (ko) | 비대칭 암호화를 이용하여 otp를 구현하기 위한 시스템 및 방법 | |
WO2015192670A1 (zh) | 用户身份认证方法、终端和服务端 | |
JP2018038068A (ja) | 通信端末および関連システムのユーザーの識別情報を確認するための方法 | |
TW201903637A (zh) | 判定認證能力之查詢系統、方法及非暫態機器可讀媒體 | |
JP2012530311A5 (zh) | ||
WO2008149366A2 (en) | Device method & system for facilitating mobile transactions | |
EP4024311A1 (en) | Method and apparatus for authenticating biometric payment device, computer device and storage medium | |
EP2881863A1 (en) | Method for implementing encryption in storage card, and decryption method and device | |
CN109145628B (zh) | 一种基于可信执行环境的数据采集方法及系统 | |
WO2017076216A1 (zh) | 服务器、移动终端、网络实名认证系统及方法 | |
KR101741917B1 (ko) | 음성인식을 활용한 인증 장치 및 방법 | |
EP3955617B1 (en) | Mobile device authentication using different channels | |
KR102012262B1 (ko) | 키 관리 방법 및 fido 소프트웨어 인증장치 | |
KR101289028B1 (ko) | 이동통신단말기, 어플리케이션 인증 장치 및 방법 | |
EP2985712A1 (en) | Application encryption processing method, apparatus, and terminal | |
CN106533685B (zh) | 身份认证方法、装置及系统 | |
CN115883091A (zh) | 客户端认证方法、装置、设备及存储介质 | |
KR101879842B1 (ko) | Otp를 이용한 사용자 인증 방법 및 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address | ||
CP03 | Change of name, title or address |
Address after: Part 4-5, No. 789 Jingwei Avenue, Shiyou Road Street, Yuzhong District, Chongqing 400042 Patentee after: National Certification Technology (Chongqing) Co.,Ltd. Address before: 100085 room A606, 6th floor, building 1, 6 Shangdi West Road, Haidian District, Beijing Patentee before: GUOMIN AUTHENTICATION TECHNOLOGY (BEIJING) CO.,LTD. |