CN107294722A - 一种终端身份认证方法、装置及系统 - Google Patents
一种终端身份认证方法、装置及系统 Download PDFInfo
- Publication number
- CN107294722A CN107294722A CN201610197299.3A CN201610197299A CN107294722A CN 107294722 A CN107294722 A CN 107294722A CN 201610197299 A CN201610197299 A CN 201610197299A CN 107294722 A CN107294722 A CN 107294722A
- Authority
- CN
- China
- Prior art keywords
- terminal
- root certificate
- service provider
- request message
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Abstract
本申请提供一种终端身份认证方法、装置及系统。所述方法包括为服务商配置根证书签名的服务商根证书;服务端利用服务商根证书签名下发给客户端的消息;服务商的服务端向客户端发送包括服务商根证书、消息签名的请求消息;客户端利用请求消息中的服务商根证书和预置在客户端的根证书对请求消息中的服务商根证书和消息签名进行验证;根据所述消息签名和服务商根证书的验证结果确定接收到的请求消息是来自开放标准中的合法终端。采用本申请实施例所述的多级证书进行终端身份认证的实施方案,可以使接入行业开放标准的终端进行安全、有效、可靠的身份认证,防止非法会员伪造身份,保障行业开放标准整体的安全性和稳定性。
Description
技术领域
本申请属于信息通信数据处理技术领域,尤其涉及一种终端身份认证方法、装置及系统。
背景技术
随着信息技术和互联网技术的迅速发展,各大服务商在为用户提供服务时通常需要与用户的终端设备进行大量的信息交互。为了保障用户的客户端与服务商的服务端之间安全通信以及规范不同客户端、服务商的交互方式、流程等,在不同的业务领域中通常会制定一定的行业标准,以规范和约束不同客户端、服务商的行为,促进行业发展。
然而,在很多业务领域中已经存在的行业标准或者即将、正在推行的行业标准的实施过程中,会员之间的相互认证始终是个棘手的问题。例如某线上金融服务商正推广一项涉及生物识别认证的开放标准,其中包括对手机厂商(客户端)和服务商(服务端)分别有相应的执行标准的开放标准。对于实现了该生物识别认证的开放标准的任一手机厂商可以自由选择相应的同样实现了该生物识别认证的开发标准的服务商来进行包括指纹、虹膜在内的生物验证。然而,有些投机的厂商绕过开放标准,按照公布出去的标准实现了一套方案,而不经过开放标准管理方的测试和授权,稳定性和安全都得不到保证。为便于描述。这里可以假定所述的手机厂商为C,选择的服务商为S。由于手机厂商C和服务商S均是使用上述开放标准服务的会员,且分别实现了标准接口,手机厂商C和选择的服务商S之间是可以正常通信的。而在开放标准实施的过程中,对于手机厂商C而言,如何防止自己是在和一个伪造的服务商通信,相应的,对于服务商S而言,如何识别出服务请求是否来自一个伪造的手机厂商的客户端,这在推广目前生物认证领域开放标准的是一个难题。
目前诸如FIDO(Fast Identity Online,线上快速身份验证)等标准,为了推广开放标准时进行会员之间的身份认证,采用了一方面通过法律条文等来约束会员,另一方面采用将加入开放标准的会员的信息通过官方渠道公布出去来达到防止身份伪造的目的。但按照目前大多数标准化组织的法律条文约束的方式在难以真正保障标准的实际运作。过期会员或者非会员等非法用户可以不顾及法律条文,绕过公布的开放标准单独实施一套方案或者是利用开发标准伪造会员进行非法活动。这样,不仅不利于标准的推广和实施,造成行业标准混乱,而且会员之间没有实际上的强制硬性身份认证措施,开放标准的稳定性和安全性都得不到保障,真正会员的利益也存在潜在风险。
现有技术中行业开放标准的实施过程中通常采用通过标准化组织的法律条文或者信息公开的方式来约束会员的行为,防止会员身份伪造的目的。但在实际的实施过程中这种方式很容易被绕开和规避,难以真正实现保障会员之家的有效身份认证、杜绝非法会员身份伪造的目的,使得开放标准的安全性和稳定性得不到保障,大大降低了会员用户对行业开放标准的服务使用感知。
发明内容
本申请目的在于提供一种终端身份认证方法、装置及系统,可以采用多级证书验证消息是否来自授权的合法会员的终端设备,使接入行业开放标准的终端设备进行安全、有效、可靠的身份认证,防止非法会员伪造身份,保障行业开放标准整体的安全性和稳定性,提高会员对行业开放标准的服务使用感知。
本申请提供的一种终端身份认证方法、装置及系统是这样实现的:
一种开放标准中的终端身份认证方法,所述方法包括:
从开放标准中进行会员身份认证的根证书派生出使用所述根证书进行签名的服务商根证书,将所述服务商根证书发送给相应的服务商;
服务商的服务端利用所述服务商根证书的私钥对下发给客户端的消息进行加签,生成消息签名;
所述服务端向客户端发送请求消息,所述请求消息包括所述服务商根证书、所述消息签名;
客户端接收到请求消息后,利用预置在客户端的所述会员身份认证的根证书验证服务商根证书合法性,并利用请求消息中的服务商根证书对所述请求消息中的消息签名进行验证;
所述客户端根据所述消息签名和服务商根证书的验证结果确定接收到的请求消息是否来自开放标准中的合法终端。
一种开放标准中的终端身份认证方法,所述方法包括:
客户端利用终端私钥对上报给服务端的消息进行加签,生成终端消息签名;其中所述终端私钥在终端出厂前被固化在终端中,该终端的终端私钥对应的终端公钥则存储在认证中心;
所述客户端向服务端发送包括所述终端消息签名的请求消息;
服务端接收到请求消息后,将所述请求消息中的终端消息签名发送至所述认证中心进行验证;
所述服务端接收所述认证中心的验证结果,根据所述验证结果确定接收到的请求消息是否来自开放标准中的合法终端,所述验证结果包括所述认证中心利用存储的与客户端对应的终端公钥对终端消息签名进行验证的验证结果信息。
一种开放标准中的终端身份认证方法,所述方法包括:
获取利用开放标准中进行会员认证的根证书进行加签的服务商根证书;
利用所述服务商根证书对的私钥对下发给客户端的消息进行加签,生成消息签名;
向客户端发送请求消息,所述请求消息包括所述服务商根证书、所述消息签名。
一种开放标准中的终端身份认证方法,所述方法包括:
接收服务端发送的包括服务商根证书和消息签名的请求消息,利用预置在客户端的所述会员身份认证的根证书验证服务商根证书合法性,并利用请求消息中的服务商根证书对所述请求消息中的消息签名进行验证;
根据所述消息签名和服务商根证书的验证结果确定接收到的请求消息是否来自开放标准中的合法终端。
一种开放标准中的终端身份认证方法,所述方法包括:
获取并存储通过认证的客户端上传的终端设备标识和与预置在客户端中的私钥对应的终端公钥;其中所述终端私钥在终端出厂前被固化在终端中;
接收服务端发送的终端消息签名,利用与所述终端消息签名对应的客户端的终端公钥对所述终端消息签名进行验证;
将所述终端消息签名的验证结果返回至相应的服务端。
一种开放标准中的终端身份认证装置,所述装置包括:
证书获取模块,用于获取利用开放标准中进行会员认证的根证书进行加签的服务商根证书;
消息签名模块,用于利用所述服务商根证书的私钥对下发给客户端的消息进行加签,生成消息签名;
消息发送模块,用于向客户端发送请求消息,所述请求消息包括所述服务商根证书、所述消息签名。
一种开放标准中的终端身份认证装置,所述装置包括:
消息接收模块,用于接收服务端发送的包括服务商根证书和消息签名的请求消息;
验证处理模块,用于利用预置在客户端的所述会员身份认证的根证书验证服务商根证书合法性,并利用请求消息中的服务商根证书对所述请求消息中的消息签名进行验证;
第二验证结果确定模块,用于根据所述消息签名和服务商根证书的验证结果确定接收到的请求消息是否来自开放标准中的合法终端。
一种开放标准中的终端身份认证装置,所述装置包括:
密钥存储模块,用于获取并存储通过认证的客户端上传的终端设备标识和与预置在客户端中的终端私钥对应的终端公钥;其中所述终端私钥在终端出厂前被固化在终端中;
签名验证模块,用于接收服务端发送的终端消息签名,利用与所述终端消息签名对应的客户端的终端公钥对所述终端消息签名进行验证;
验证结果反馈模块,用于将所述终端消息签名的验证结果发送至相应的服务端。
一种终端身份认证系统,所述系统包括:
客户端,用于接收服务器发送的请求消息,解析获取所述请求消息中服务器的服务商根证书和利用所述服务商根证书进行加签生成的消息签名;还用于利用预置在客户端的所述会员身份认证的根证书验证服务商根证书合法性,并利用请求消息中的服务商根证书对所述请求消息中的消息签名进行验证;还用于根据所述消息签名和服务商根证书的验证结果确定接收到的请求消息是否来自开放标准中的合法终端;
服务器,用于获取利用开放标准中进行会员认证的根证书进行签名的服务商根证书;还用于利用所述获取的服务商根证书对发送给客户端的消息进行加签,生成消息签名;还用于向客户端发送请求消息,所述请求消息包括所述服务商根证书、所述消息签名。
本申请提供的一种终端身份认证方法、装置及系统中,为实施的行业开放标准部署一套多级证书体系,提供一种强制性的认证方式。具体的可以设定实施的行业开放标准的根证书,针对接入行业开放标准的不同服务商,可以从所述根证书分别派生出相应的服务商根证书,作为二级证书进行服务端的身份验证。相应的,客户端一侧可以利用设定的根证书来验证接收消息中的服务商根证书的合法性。这样,可以通过根证书进行签名的服务商证书可以用于验证服务商是否为行业开放标准认证的合法会员一侧的合法终端。本申请实施方案在服务端下发给客户端的消息需要经过自己的服务商根证书签名,由于服务端进行签名使用的私钥被设置成是与服务端的服务商根证书相对应且是唯一的,因此,客户端可以利用消息中的服务商根证书来验证消息中的消息签名,可以有效保障客户端接收到的消息是与消息中服务商根证书对应的服务端发送而来。认证处理过程中,若消息中的消息签名和服务商根证书均通过验证,可以表示客户端接收到的请求消息是根证书机构授权下的合法服务端发送来的,可以信任。本申请提供了行业开放标准中终端进行身份认证的有效、可靠的实施方案,相比于依赖传统的法律条文、信息公开等软性约束,可以有效的在服务端和客户端上进行相互认证,防止非法会员的入侵,确保行业开放标准整体实施的安全性和稳定性,提高会员对行业开放标准的服务使用感知。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请提供的一种终端身份认证方法一种实施例的方法流程示意图;
图2是本申请所述服务商根证书一种证书数据结构示意图;
图3是本申请IFAA开放标准的实施例应用场景中一种请求消息的数据格式示意图;
图4是本申请提供的一种终端身份认证方法一种实施例的方法流程示意图;
图5是本申请提供的所述终端身份认证方法的一种实施例的方法流程示意图;
图6是本申请提供的所述终端身份认证方法的另一种实施例的方法流程示意图;
图7是本申请提供的所述终端身份认证方法的一种实施例的方法流程示意图;
图8是本申请提供的所述终端身份认证方法的另一种实施例的方法流程示意图;
图9是本申请提供的一种终端身份认证装置一种实施例的模块结构示意图;
图10是本申请提供的一种终端身份认证装置另一种实施例的模块结构示意图;
图11是本申请提供的一种终端身份认证装置一种实施例的模块结构示意图;
图12是本申请提供的一种终端身份认证装置另一种实施例的模块结构示意图;
图13是本申请提供的一种终端身份认证装置另一种实施例的模块结构示意图;
图14是本申请提供的一种终端身份认证系统一种实施例的系统结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请中的技术方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
下面结合附图对本申请提供的开放标准中的终端身份认证方法进行详细的说明。图1是本申请提供的一种终端身份认证方法一种实施例的方法流程图。虽然本申请提供了如实施例或流程图所述的方法操作步骤,但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的装置或终端产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。
具体的,本申请可以以IFAA(互联网金融身份验证联盟)发起的某项涉及生物识别认证的行业开放标准为实施例应用场景进行详细的说明,当然,本申请提供的技术方案可以用于但不限于IFAA开放标准的应用场景中终端身份认证的方案实施。如图1所示,本申请提供的一种开放标准中的终端身份认证方法的一种实施例中,所述方法可以包括:
S1:从开放标准中进行会员身份认证的根证书派生出使用所述根证书进行签名的服务商根证书,将所述服务商根证书发送给相应的服务商。
在本申请以IFAA开放标准为实施例进行终端身份认证的应用场景中,可以预先确定实施IFAA开放标准所使用的根证书。所述的根证书可以包括所述开放标准的管理方针对全局会员身份合法性的认证、控制、管理而选取的权威证书授权机构(又或称CA机构,CertificateAuthority)的证书数据。所述的根证书可以用于IFAA开放标准应用中不同终端设备之间的终端身份认证。具体的,本实施例中可以选取某项权威金融服务机构作为设定的标准服务IFAA所使用的根证书授权机构CA。针对不同的IFAA服务商,可以从所述根证书授权机构CA分别派生出与所述服务商唯一对应的具体的IFAA服务商根证书。
具体的实施过程中,可以对接入IFAA开放标准IFAA服务商颁发服务商根证书,所述IFAA服务商可以在服务端存储该服务商根证书。本实施例中颁发给每个服务商的服务商根证书均可以利用上述确定的根证书进行签名。如可以利用IFAA根证书的私钥对所述服务商根证书进行加密,同时可以提供给服务商相应的服务商根证书公钥。一般的,通常会对加入某项开放标准是服务商进行一定的测试,对通过测试基准的厂商才可以允许接入开放标准,为其颁发根证书签名的服务商根证书。这样,确定好IFAA开放标准在进行终端身份认证时使用的根证书后,根证书授权机构CA可以为接入IFAA开放标准的服务商的服务端配置利用所述根证书对应的私钥进行加签的服务商根证书。
图2是本申请所述服务商根证书一种证书数据结构示意图。如图2所示,服务商根证书中可以包括证书颁发结构的信息、授权的服务商信息、该服务商根证书的私钥以及使用会员认证的根证书进行签名的信息等。本实施例中所述的加签通常是指在非对称加密算法中利用私钥对消息进行签名,例如RSA非对称加密算法中采用私钥加签。当然,本申请具体的可以根据需求自定义选择相应的加签处理算法,包括但不限于RSA算法、DSA算法、ECC算法等。
本实施例中可以确定实施IFAA开放标准中消息认证时所使用的根证书,然后可以对接入所述IFAA开放标准的服务商的服务端配置利用IFAA根证书进行加签的服务商根证书。
S2:服务商的服务端利用所述服务商根证书的私钥对下发给客户端的消息进行加签,生成消息签名。
在本申请实施例中,所述IFAA服务商获取的服务商根证书可以设置有一个与该服务商证书唯一对应的私钥。具体的实施过程中,IFAA服务端可以利用该服务端的服务商根证书的私钥对下发给客户端的消息进行加签,生成消息签名。
需要说明的,在申请实施例应用场景中,接入IFAA开放标准的服务商可以有一个或者多个服务端,具体的例如IFAA授权认证的服务商S可以获取IFAA授权认证的该服务商S的服务商根证书。该服务商S下可以设置有分布在多个机房的服务端S1、服务端S2等,此时授权认证的服务商S旗下的服务端S1、服务端S2均可以获取利用服务商S的服务商根证书。
本实施例应用场景中进行消息签名的私钥是与服务端的服务商根证书唯一对应的。本申请中所述的证书可以是被公开的,但一般相应的私钥可以是保密的。所述的私钥可以由IFAA会员的服务商私有保留,通常只有服务商的真实服务端才可以获取该私钥,用以加密下发的消息数据。这样,本申请实施例中采用利用服务商的服务商根证书对下发给客户端的消息进行签名,可以有效防止服务商的服务商根证书被盗用而进行的服务端身份伪造。
所述服务端利用与所述服务端的服务商根证书的私钥对发送给客户端的消息进行加签,生成消息签名。
S3:所述服务端向客户端发送请求消息,所述请求消息包括所述服务商根证书、所述消息签名。
IFAA服务端可以利用自己的服务商根证书对待发的消息进行签名,生成消息签名后,可以向客户端如用户移动终端发送包括服务端的服务商根证书和所述消息签名的请求消息。图3是本申请IFAA开放标准的实施例应用场景中服务端发送的一种请求消息的数据格式示意图。如图3所示,IFF服务端下发给客户端的消息数据除可以包括消息体本身信息数据外,还可以携带下发该请求消息的服务端的服务商根证书,以及服务端利用自己的服务商根证书进行签名的消息签名。当然,所述的请求消息还可以根据设计需求包括其他的信息。
需要说明的是,本实施例中所述的服务商根证书中可以包含该服务商根证书的公钥。本实施例应用场景中的领域技术人员在采用非对称加密进行证书签名应用场景中,所谓的证书从某种意义上也可以理解为证书本身可以包含公钥。
所述服务端可以向客户端发送请求消息,所述请求消息中可以包括IFAA服务端的服务商根证书和利用所述服务商根证书进行签名生成的消息签名。
S4:所述客户端接收到请求消息后,利用预置在客户端的所述会员身份认证的根证书验证服务商根证书合法性,并利用请求消息中的服务商根证书。
在本申请实施例中,IFAA客户端接收到请求消息后,可以分别对请求消息中的服务商根证书和消息签名进行验证,以确定接收到的请求消息是否来自IFAA合法会员的合法终端。
由于请求消息中的消息签名是在服务端通过与服务商根证书对应的私钥进行签名的,因此,在本实施例实施方案中,客户端可以利用请求消息中的服务商根证书来验证请求消息中的消息签名,从而保证客户端接收到的请求消息是与请求消息中包含的服务商根证书对应的真实服务端发送来的。假如IFAA服务商的服务商根证书被伪造方窃取,这种情况下伪造方即使获取了真实的服务商根证书,但没有该服务商根证书对应的私钥。虽然伪造方可以自己生成一个私钥,但显然这个生成的私钥和伪造方窃取的服务商根证书不是配套的。IFAA客户端在在利用请求消息中的真实服务商根证书是不能解密伪造者利用自己生成的私钥加密生成的消息签名的,其结果是消息签名不能通过验证。
当然,其他的一些实施例中,本申请所述的对所述请求消息中的服务商根证书和消息签名进行验证可以包括:如果第一项验证没有通过,那么可以设置不用再执行第二项验证;或者,也可以设置为第一项验证没有通过,仍然继续执行第二项验证。
当然,本申请其他的实施例中并不排除采用设定验证方式对所述服务商根证书和消息签名进行验证的实施方案。本申请提供终端身份认证方法的一种实施例中,可以利用预置在客户端的私钥和所述请求消息中的服务商根证书对所述请求消息中的服务商根证书和消息签名进行验证。具体的,本申请所述一种终端身份认证方法的另一种实施例中,所述利用所述请求消息中的服务商根证书和预置在客户端的所述会员身份认证的根证书对所述请求消息中的服务商根证书和消息签名进行验证包括采用下述中的任意一种实施方式可以包括采用下述中的任意一种实施方式:
S401:利用所述请求消息中所述服务商根证书包含的公钥验证所述请求消息中的消息签名;
若所述消息签名验证通过,则使用预置在客户端中所述会员身份认证的根证书的公钥验证所述请求消息中的服务商根证书的合法性;
S402:使用预置在客户端中所述会员身份认证的根证书的公钥验证所述请求消息中的服务商根证书的合法性;
若所述服务商根证书的合法性验证通过,则利用所述请求消息中所述服务商根证书包含的公钥验证所述请求消息中的消息签名。
在实际进行服务商根证书和消息签名验证时,可以根据设计或者应用场景需求设定是先验证服务商根证书还是先验证消息签名。本实施例在IFAA开放标准的实施例应用场景中,可以采用如S401所述的先对请求消息中的消息签名进行验证,如果消息签名验证通过,再使用预置在IFAA客户端的IFAA根证书来验证服务商根证书的合法性。具体的以对消息签名进行验证为例来描述客户端的签名验证过程。服务端A首先可以对下发的请求消息通过一定的方式提取一个定长的摘要,如MD5。服务端A对该摘要应用了一个签名函数,并且利用自己服务商根证书的私钥作为参数进行计算,得到该请求消息的消息签名。因为只有服务商的服务端才知道自己服务商根证书的私钥,所以正确的签名可以说明签名者就是其所有者。计算出消息签名后,可以将该消息签名附加到下发给客户端的请求消息中,将服务商根证书和消息签名一同发给客户端B。客户端接收到请求消息后,会按照同样的算法计算得出请求消息的摘要,然后利用请求消息中的服务商根证书的公钥对消息签名进行解密,得到解密后的摘要。进一步的,可以对客户端计算得到的请求消息的摘要和利用公钥解密得到的摘要进行比较,如果两个摘要的信息数据完全相同,则可以表示接收到的请求消息的内容没有被篡改,是由真实服务商根证书进行签名的消息。
如前所述,所述的服务商根证书中可以包含真实服务端进行签名使用的私钥唯一对应的公钥。IFAA客户端可以利用所述服务商根证书的公钥对请求消息中的签名进行验证,如果验证通过,可以表示接收到的请求消息是与请求消息中包含的服务商根证书对应的真实服务端发送来的,否则说明该请求消息是来自非IFAA会员的终端设备。利用请求消息中的服务商根证书包含的公钥对所述请求消息私钥签名生成的消息签名进行验证,可以在即使颁发给接入开放标准的服务商的服务商根证书被窃取,在客户端使用服务商根证书验证消息签名的时候仍然是不能通过验证的,有效的保证了会员身份的安全、可靠认证。
进一步的可以对请求消息中包含的服务商根证书的合法性进行验证,以确保该服务商根证书为IFAA根证书签名的有效服务商根证书,防止服务端伪造服务商根证书或者使用过期的服务商根证书与客户端进行信息交互。
本申请的一种实施例的实施方式中,可以预先在接入开放标准的客户端中设置与所述根证书的私钥对应的公钥。具体的在本实施例中应用场景中,可以在客户端中预置IFAA根证书。所述IFAA根证书本身可以包括其对服务商根证书进行加密的私钥对应的公钥。由于服务商根证书是由IFAA根证书的私钥签名的,在上述消息签名验证通过后,可以使用预置在IFAA客户端的IFAA根证书来验证服务商根证书的合法性。
客户端接收到请求消息后,可以利用所述请求消息中的服务商根证书和预置在客户端的所述会员身份认证的根证书对所述请求消息中的服务商根证书和消息签名进行验证。
S5:所述客户端根据所述消息签名和服务商根证书的验证结果确定接收到的请求消息是来自开放标准中的合法终端。
在本申请实施例提供的开放标准中的终端身份认证方法的实施方案中,可以通过对接收到的请求消息中消息签名进行验证,以验证接收到的消息是否来自与请求中服务商根证书对应的服务端,避免客户端与利用真实服务商根证书的伪造服务端进行信息交互。同时,还可以设置的对服务商根证书的合法性进行验证,以保障接收到的消息是使用根证书进行签名的真实服务端的服务商根证书。在实际终端身份的处理过程中,如果请求消息中的消息签名和服务商根证书中的任何一项验证不通过,则可以表示该请求消息来自非IFAA会员的终端设备。因此,本申请所述开放标准中的终端身份认证方法具体的实施过程中,所述消息签名和服务商根证书均通过验证时,所述客户端接收到请求消息为验证通过。
在上述IFAA开放标准的实施例应用场景中,使用了根证书的私钥加密的服务商根证书只能被预置在客户端中的根证书进行验证。另外,例如在一些应用场景中,一些服务商因不遵守开放标准而被去除会员资格,但这些被去除会员资格的服务商仍有可能私自保留服务商根证书,并利用服务商根证书进行非法活动。此时,可以通过更新预置在客户端中所述根证书来避免服务商使用过期或者被除名或者被设置为无效的服务商根证书与客户端进行信息交互。因此,本申请所述开放标准中的终端身份认证方法的另一种实施例中,所述方法还可以包括:
S6:按照预设规则更新客户端中的根证书。
客户端可以根据设置的更新周期定时更新客户端中根证书的,或者,当认证会员信息出现变动时接收服务端主动发来的更新后的根证书。当然,会员认证的根证书如果进行了更新,通常会同时更新颁发给服务商的服务商根证书。所述的更新根证书包括重新接收证书授权结构颁发的新的根证书,或者通过特定方式更新客户端中预置的根证书的公钥信息。
本申请上述实施例提供的开放标准中的终端身份认证方法,为行业开放标准实施提供了一套硬性的终端身份实施方案,采用多级证书认证,相比于依赖传统的法律条文、信息公开等软性约束,可以有效的客户端上进行认证,防止非法会员的入侵,确保行业开放标准整体实施的安全性和稳定性,提高会员对行业开放标准的服务使用感知。
上述实施例描述了客户端一侧对接收到的服务端发送的请求消息进行认证的一些实施方式。同样,在IFAA开发标准下,服务端同样可以对客户端上报的请求消息进行认证,以防止IFAA服务端和伪造的IFAA客户端进行通信。为此,本申请还提供一种开放标准中的终端身份认证方法,可以采用非对称加密算法在每个认证后客户端中预置一个终端私钥,相应的公钥保存在指定的认证中心。所述认证中心可以保存所有通过认证的客户端的设备ID和对应终端公钥。具体的,图4是本申请提供的一种可以用于开放标准中的终端身份认证方法一种实施例的方法流程示意图,如图4所示,所述方法可以包括:
S11:在通过认证的客户端中预置终端私钥,并将相应的终端公钥存储在指定的认证中心;其中所述终端私钥在终端出厂前被固化在终端中,该终端的终端私钥对应的终端公钥则存储在认证中心;
S22:客户端利用所述终端私钥对上报给服务端的消息进行加签,生成终端消息签名;
S33:所述客户端向服务端发送包括所述终端消息签名的请求消息;
S44:服务端接收到请求消息后,将所述请求消息中的终端消息签名发送至所述认证中心进行验证;
S55:所述服务端接收所述认证中心的验证结果,根据所述验证结果确定接收到的请求消息是否来自开放标准中的合法终端,所述验证结果包括所述认证中心利用存储的与客户端对应的终端公钥对终端消息签名进行验证的验证结果信。
具体的,例如在本申请以IFAA开放标准为实施例进行终端身份的应用场景中,可以在通过IFAA认证的手机厂商C生产手机时,为每一部支持IFAA开放标准的手机烧制一个私钥,同时将与手机中的私钥对应的公钥通过安全通道上传至设置的IFAA认证中心。所述的IFAA认证中心可以保存有所有支持IFAA开放标准的终端设备ID和对应的公钥。
客户端可以利用预置的私钥对上传给服务端的请求消息进行签名,生成终端消息签名。请求消息到达IFAA服务端后,IFAA服务端可以将请求消息中的终端消息签名发送至IFAA认证中心来验证消息的真伪。由于IFAA认证中心保存了所有认证终端设备的公钥,所有可以完成该验证操作。如果接收到的客户端的请求消息中的终端消息签名通过验证,可以表示接收到的请求消息是经过IFAA授权的客户端发送过来的,可以信任。否则,说明服务端接收到的请求消息是伪造客户端发送来的,可以拒绝访问。
上述实施例所述的终端身份认证方法可以用于接入行业开放标准包括但不限于客户端(如移动通信终端)、服务端(服务厂商的服务器)、认证中心(鉴权、认证中心或证书颁发机构、开放标准管理系统)等多个终端进行终端身份认证的实施方式。基于上述所述终端身份方式的实施方式和多终端之间的消息交互,在具体的实施过程中,对于服务商的服务端一侧来说,本申请提供一种开放标准中的终端身份认证方法,所述方法可以包括:
S101:获取利用开放标准中进行会员认证的根证书进行加签的服务商根证书;
S102:利用所述服务商根证书对的私钥对下发给客户端的消息进行加签,生成消息签名;
S103:向客户端发送请求消息,所述请求消息包括所述服务商根证书、所述消息签名。
图5是本申请提供的所述终端身份认证方法的一种实施例的方法流程示意图。具体的如上IFAA开放标准的应用场景中,认证中心(可以为设定的IFAA认证、鉴权中心,根证书机构,或IFAA开放标准管理方等,在此统一称为认证中心)可以将利用IFAA根证书签名的服务商根证书颁发给通过认证的服务商。服务商的服务端可以获取与该服务商唯一对应的服务商根证书。IFAA服务端下发给客户端的所有消息数据都可以使用自己的服务商根证书签名,下发的消息可以如上述图3所示,下发的请求消息中可以包括服务商根证书和经过自己的服务商根证书的私钥签名生成的消息签名。
当然,所述服务端对于客户端上报的消息数据同样可以检认证,防止非法客户端的介入。图6是本申请提供的所述开放标准中的终端身份认证方法的另一种实施例的方法流程示意图。具体的,上述实施例所述的方法还可以包括:
S111:接收客户端发送的请求消息,将所述请求消息中的终端消息签名发送至认证中心进行验证;
S112:接收所述认证中心的验证结果,所述验证结果包括所述认证中心利用存储的与所述请求消息中客户端对应的终端公钥对所述终端消息签名进行验证的验证结果信息;
S113:根据所述验证结果确定接收到的客户端发送的请求消息是否来自开放标准中的合法终端。
服务端接收到客户方发送的请求消息后,可以将请求消息中包含的终端消息签名发送到指定的IFAA认证中心来验证该请求消息是否来自IFAA授权的终端设备。由于IFAA认证中心存储了所有通过认证的终端设备的公钥和终端设备标识,所有如果接收到的客户端的请求消息中的消息签名通过验证,可以表示接收到的请求消息是经过IFAA授权的客户端发送过来的,可以信任。否则,说明服务端接收到的请求消息是伪造客户端发送来的,可以拒绝访问。
相应的,接入IFAA开放标准的客户端同样可以验证服务端发送来的请求消息,判断是否与通过认证的IFAA真实服务端进行通信。具体的,在开发标准实施方案的客户端一侧,本申请提供一种开放标准中的终端身份认证方法,所述方法可以包括:
S201:接收服务端发送的包括服务商根证书和消息签名的请求消息,利用预置在客户端的所述会员身份认证的根证书验证服务商根证书合法性,并利用请求消息中的服务商根证书对所述请求消息中的消息签名进行验证;
S202:根据所述消息签名和服务商根证书的验证结果确定接收到的请求消息是否来自开放标准中的合法终端。
图7是本申请提供的所述开放标准中的终端身份认证方法的一种实施例的方法流程示意图。在本申请实施例中,客户端可以通过对接收到的消息中的服务商根证书和消息签名的验证来保障是与IFAA根证书授权的服务上的真实服务端进行消息交互的,提高了消息交互的安全性。具体的,客户端在进行消息验证时可以预先设置先验证服务商根证书还是先验证消息签名。一种实施例的实施方式中,如果第一项验证不通过,可以停止验证,直接判定接收到的请求消息验证不通过。当然,另一种实施方式中,即使第一项验证不同,也可以进行第二项验证。本申请提供所述开放标准中的终端身份认证方法的另一种实施例中,所述利用预置在客户端的所述会员身份认证的根证书验证服务商根证书合法性,并利用请求消息中的服务商根证书对所述请求消息中的消息签名进行验证包括采用下述中的任意一种实施方式:
S2011:利用所述请求消息中所述服务商根证书包含的公钥验证所述请求消息中的消息签名,若所述消息签名验证通过,则使用预置在客户端中所述会员身份认证的根证书的公钥验证所述请求消息中服务商根证书的合法性;
S2012:使用预置在客户端中所述会员身份认证的根证书的私钥验证所述请求消息中的服务商根证书的合法性,若所述服务商根证书的合法性验证通过,则利用所述请求消息中所述服务商根证书包含的公钥验证所述请求消息中的消息签。
本实施例实施过程中,所述请求消息中可以包括服务商根证书和消息签名,具体的在本实施例中,IFAA客户端接收到的请求消息中的服务器根证书包含了该证书进行消息签名的公钥。
当然,客户端发送给服务端的消息可以进行加密,以保障服务端可以识别认证出真实的客户端发送的请求消息。因此,上述所述方法还可以包括:
S203:利用预置在所述客户端中的终端私钥对上报给服务端的消息进行加签,生成终端消息签名;其中所述终端私钥在终端出厂前被固化在终端中,该终端的终端私钥对应的终端公钥则存储在认证中心;
S204:向服务端发送包括所述终端消息签名的请求消息。
图8是本申请提供的所述开放标准中的终端身份认证方法的另一种实施例的方法流程示意图。IFAA客户端可以利用预置在IFAA客户端中的私钥对上传给服务端的消息进行签名,保障服务端可以正确识别出该消息是来自IFAA授权认证的终端设备发送而来的。
如前所述,在其他一些实施例中,可以通过更新预置在客户端中所述根证书的第一解密密钥来避免服务商使用过期或者被除名或者被设置为无效的服务商根证书与客户端进行信息交互。因此,本申请所述开放标准中的终端身份认证方法的另一种实施例中,所述方法还可以包括:
S205:按照预设规则更新客户端中的根证书。
客户端可以根据设置的更新周期定时更新客户端中的根证书,或者,当认证服务商会员信息出现变动时接收证书授权机构主动发来的更新后的根证书。
本申请所述开放标准中的终端身份认证方法的一种应用场景中,消息认证中心可以实现对服务端发来的终端消息签名进行验证,并可以将认证结果反馈给服务端。具体的,在消息认证中心一侧,本申请可以提供一种开放标准中的终端身份认证方法,所述方法可以包括:
S301:获取并存储通过认证的客户端上传的终端设备标识和与预置在客户端中的中的私钥对应的终端公钥;其中所述终端私钥在终端出厂前被固化在终端中;
S302:接收服务端发送的终端消息签名,利用与所述终端消息签名对应的客户端的终端公钥对所述终端消息签名进行验证;
S303:将所述终端消息签名的验证结果返回至相应的服务端。
上述实施例所述的开放标准中的终端身份认证方法可以由专门设置的例如IFAA认证中心来实现对消息签名的认证。所述的IFAA认证中心也可以包括IFAA正式管理机构,可以为设定的根证书机构,用于管理IFAA服务商会员的服务商根证书。因此,上述所述开放标准中的终端身份认证方法的另一种实施例中,所述方法还可以包括:
S304:确定实施开放标准中进行会员身份认证所使用的根证书,为通过设置的测试基准的服务商配置利用所述根证书进行签名的服务商根证书。
一般的,对于某个特定的服务器厂商,如果其实现了IFAA开放标准并且通过了设定的测试基准,可以将为其颁发第一个特定的服务商根证书。该服务商根证书将使用IFAA根证书进行签名。
本申请提供的一种开放标准中的终端身份认证方法,为实施的行业开放标准部署一套多级证书体系,提供一种强制性的认证方式。具体的可以设定实施的行业开放标准的根证书,针对接入行业开放标准的不同服务商,可以从所述根证书分别派生出相应的服务商根证书,作为二级证书进行服务端的身份验证。相应的,客户端一侧可以利用设定的根证书来验证接收消息中的服务商根证书的合法性。这样,可以通过根证书进行签名的服务商证书可以用于验证服务商是否为行业开放标准认证的合法会员的终端设备。本申请实施方案在服务端下发给客户端的消息需要经过自己的服务商根证书签名,由于服务端进行签名使用的私钥被设置成是与服务端的服务商根证书相对应且是唯一的,因此,客户端可以利用消息中的服务商根证书来验证消息中的消息签名,可以有效保障客户端接收到的消息是与消息中服务商根证书对应的服务端发送而来。认证处理过程中,若消息中的消息签名和服务商根证书均通过验证,可以表示客户端接收到的请求消息是根证书机构授权下的合法服务端发送来的,可以信任。本申请提供了行业开放标准中终端进行身份认证的有效、可靠的实施方案,相比于依赖传统的法律条文、信息公开等软性约束,可以有效的在服务端和客户端上进行相互认证,防止非法会员的入侵,确保行业开放标准整体实施的安全性和稳定性,提高会员对行业开放标准的服务使用感知。
基于上述所述的开放标准中的终端身份认证方法,本申请提供一种开放标准中的终端身份认证装置。所述终端身份认证装置可以用于接入行业标准的服务商的服务器验证接收到的消息是否为所述行业标准授权的终端设备发送的来的。图9是本申请提供的一种开放标准中的终端身份认证装置一种实施例的模块结构示意图。如图9所示,所述装置可以包括:
证书获取模块101,可以用于获取利用开放标准中进行会员认证的根证书的私钥进行加签的服务商根证书;
消息签名模块102,可以用于利用所述服务商根证书的私钥对下发给客户端的消息进行加签,生成消息签名;
消息发送模块103,可以用于向客户端发送请求消息,所述请求消息包括所述服务商根证书、所述消息签名。
上述所述装置的另一种实施例中,所述装置还可以用于对接收到的客户端的请求消息进行验证,具体的可以将接收到的请求消息发送到指定的认证中心进行验证,并可以根据验证结果确定所述请求消息是为开放标准授权的终端设备发送来的。图10是本申请提供的一种开放标准中的终端身份认证装置另一种实施例的模块结构示意图。如图10所示,所述装置还可以包括:
消息请求验证模块104,可以用于接收客户端发送的请求消息,将所述请求消息中的终端消息签名发送至指定的认证中心进行验证;
验证结果接收模块105,可以用于接收所述认证中心的验证结果,所述验证结果包括所述认证中心利用存储的与所述请求消息中客户端对应的终端公钥对所述终端消息签名进行验证的验证结果信息;
第一验证结果确定模块106,可以用于根据所述验证结果确定接收到的客户端发送的请求消息是否来自开放标准中的合法终端。
相应的,本申请还提供另一种开放标准中的终端身份认证装置。所述开放标准中的终端身份认证装置可以用于行业开放标准如IFAA开放标准的认证中心授权的客户端来验证接收的到消息是否为接入行业标准的服务商会员的服务器发送来的。具体的,图11是本申请提供的一种开放标准中的终端身份认证装置一种实施例的模块结构示意图。如图11所示,所述装置可以包括:
消息接收模块201,可以用于接收服务端发送的包括服务商根证书和消息签名的请求消息;
验证处理模块202,可以用于利用预置在客户端的所述会员身份认证的根证书验证服务商根证书合法性,并利用请求消息中的服务商根证书对所述请求消息中的消息签名进行验证;
第二验证结果确定模块203,可以用于根据所述消息签名和服务商根证书的验证结果确定客户端接收到的请求消息是否来自开放标准中的合法终端。
所述的服务商根证书的私钥,通常可以由服务商一侧进行保密管理。相应的,下发的请求消息中的服务商根证书中可以包括所述服务商根证书。本申请上述实施例提供的开放标准中的终端身份认证装置,为行业开放标准实施提供了一套多级证书进行终端身份实施方案,相比于依赖传统的法律条文、信息公开等软性约束,可以有效的在客户端上进行相互认证,防止非法会员的入侵,确保行业开放标准整体实施的安全性和稳定性,提高会员对行业开放标准的服务使用感知。
所述开放标准中的终端身份认证装置的具体的另一种实施方式中,所述验证处理模块202可以包括下述中的至少一项:
第一方式处理模块2021,可以用于利用所述请求消息中所述服务商根证书包含的公钥验证所述请求消息中的消息签名;还用于若所述消息签名验证通过,则使用预置的会员身份认证的根证书验证所述请求消息中服务商根证书的合法性;
第二方式处理模块2022,可以用于使用预置的会员身份认证的根证书验证所述请求消息中服务商根证书的合法性;还用于若所述服务商根证书的合法性验证通过,则利用所述请求消息中所述服务商根证书包含的公钥验证所述请求消息中的消息签名。
本实施例所述的装置可以包括上述第一方式处理模块2021、第二方式处理模块2022中的任意一种,或者可以同时包括上述两种处理模块,在实际进行服务商根证书和消息签名验证时,可以根据设计或者应用场景需求确定是先验证服务商根证书还是先验证消息签名,进而可以选择是使用第一方式处理模块2021还是第二方式处理模块2022来验证接收到的请求消息。当然,其他的一些实施例中,上述第一方式处理模块2021或第二方式处理模块2022在验证消息签名和服务商根证书时,如果第一项验证没有通过,那么可以设置不用再执行第二项验证;或者,也可以设置为第一项验证没有通过,仍然继续执行第二项验证。
其他的实施方式中,所述的开放标准中的终端身份认证装置也可以对发送的消息进行签名处理。图12是本申请提供的一种开放标准中的终端身份认证装置另一种实施例的模块结构示意图。如图12所示,所述装置还可以包括:
第一消息处理模块204,可以用于利用预置的终端私钥对上报给服务端的消息进行加签,生成终端消息签名;其中所述终端私钥在终端出厂前被固化在终端中,该终端的终端私钥对应的终端公钥则存储在认证中心;
第一消息发送模块205,可以用于向服务端发送包括所述终端消息签名的请求消息。
图13是本申请提供的一种开放标准中的终端身份认证装置另一种实施例的模块结构示意图。如图13所示,所述装置还可以包括:
证书更新模块206,可以用于按照预设规则更新预置的根证书。
本实施例应用场景中,所述可以通过更新预置在装置中的根证书来避免服务商使用过期或者被除名或者被设置为无效的服务商根证书与客户端进行信息交互。所述装置可以根据设置的更新周期定时更新客户端中的根证书,或者,当认证会员信息出现变动时接收的更新后的根证书。
本申请还提供另一种开放标准中的终端身份认证装置,所述开放标准中的终端身份认证装置可以用于验证服务端发送来的客户端的请求消息是否为实施的开放标准授权的终端设备上报的。本实施例提供的开放标准中的终端身份认证装置可以用于如IFAA开放标准的认证中心或者IFAA根证书授权机构的业务系统中。具体的,所述装置可以包括:
密钥存储模块301,可以用于获取并存储通过认证的客户端上传的终端设备标识和与预置在客户端中的终端私钥对应的终端公钥;其中所述终端私钥在终端出厂前被固化在终端中;
签名验证模块302,可以用于接收服务端发送的终端消息签名,利用与所述终端消息签名对应的客户端的终端公钥对所述终端消息签名进行验证;
验证结果反馈模块303,可以用于将所述终端消息签名的验证结果发送至相应的服务端。
当然,上述所述开放标准中的终端身份认证装置的另一种实施例中,所述装置还可以为接入开放标准并通过测试基准服务厂商颁发服务商根证书。这种实施方式可以用于服务商的服务商根证书颁发机构和消息认证中心为同一侧的服务器的应用场景中,如可以设置IFAA根证书机构同时为IFAA认证中心。具体的,本申请提供的一种开放标准中的终端身份认证装置的另一种实施例中,所述装置还可以包括:
证书颁发模块304,可以用于获取实施开放标准中进行会员身份认证所使用的根证书,并为通过设置的测试基准的服务商配置利用所述根证书进行签名的服务商根证书。
上述实施例所述的装置可以用于接入开放标准的客户端、服务端、认证中心的终端电子设备中,以保障开放标准的会员之家可以相互认证,防止身份伪造。具体的所述装置的实施方式可以参照前述相应所述方法的相关描述,在此不做赘述。这样,采用本申请实施例所述装置的客户端、服务端,可以有效保障开放标准会员消息交互的安全性,使得开放标准的实施整体安全性和稳定性得到保障,提供会员对开放标准服务的体验。
如上所述,本申请提供的开放标准中的终端身份认证方法和装置可以用于实施某种行业开放标准时,客户端、服务端对接收的消息进行认证,防止终端会员身份伪造,损害会员利益。所述的装置可以用于终端电子设备的客户端如移动通信终端或服务商的服务器来实现接入行业开放标准的会员之间身份认证。因此,本申请还提供一种终端身份认证系统。所述终端身份系统可以用于包括如上述IFAA开放系统的多个终端设备之间的相互认证,保障IFAA会员的终端设备之间消息交互安全,防止终端身份伪造。图14是本申请提供的一种终端身份认证系统一种实施例的系统结构示意图,如图14所示,所述系统可以包括:
客户端,可以用于接收服务端发送的请求消息,解析获取所述请求消息中的服务端的服务商根证书和利用所述服务商根证书进行加签生成的消息签名;还可以用于利用预置在客户端的所述会员身份认证的根证书验证服务商根证书合法性,并利用请求消息中的服务商根证书对所述请求消息中的消息签名进行验证;还可以用于根据所述消息签名和服务商根证书的验证结果确定接收到的请求消息是否来自开放标准中的合法终端;
服务器,可以用于获取利用开放标准中进行会员认证所使用的根证书进行签名的服务商根证书;还可以用于利用所述获取的服务商根证书对发送给客户端的消息进行加签,生成消息签名;还可以用于向客户端发送请求消息,所述请求消息包括所述服务商根证书、所述消息签名。
当然,如前所述,其他的实施例中,所述终端身份认证系统的客户端也可以对上报给服务端的消息进行证书签名,服务器可以将接收到的请求消息中的消息签名发送到指定的认证中心进行验证。因此,本申请提供的所述一种终端身份认证系统的另一种实施例中,
所述客户端被设置成,
还可以用于利用预置的终端私钥对上报给服务器的消息进行加签,生成终端消息签名;以及用于向服务端发送包括所述终端消息签名的请求消息;其中所述终端私钥在终端出厂前被固化在终端中,该终端的终端私钥对应的终端公钥则存储在认证中心;
所述服务器被设置成,
还可以用于接收客户端发送的请求消息,将所述请求消息中的终端消息签名发送至指定的认证中心进行验证;还用于接收所述认证中心的验证结果,根据所述验证结果确定接收到的请求消息是否来自开放标准中的合法终端,所述验证结果包括所述认证中心利用存储的与客户端对应的终端公钥对终端消息签名进行验证的验证结果信息。
可选的实施方式中,所述的终端身份系统还可以包括认证服务器(或鉴权中心、认中心等)可以用来专门存储例如IFAA授权的终端设备的设备标识和私钥信息,以及对服务器发送来的消息签名进行验证。甚至,在一些实施例中,所述的认证服务器也可以与根证书机构的服务器设置为同一个服务器中,实现对根证书、服务商根证书、客户端设备标识及相应私钥的统一分配、管理等。
上述实施例所述的装置、客户端、服务器及系统可以以使用某一种或多种计算机语言结合必要的硬件的方式实现,如存储器、CPU、缓存、javascript、C#等,并不限定于特定的计算机语言、软件或硬件。
本申请实施例中设计到的终端员身份认证方法、装置、客户端、服务器及系统,为实施的行业开放标准从技术上提供一种强制性的身份认证方式。具体的可以设定实施的行业开放标准的根证书,针对接入行业开放标准的不同服务商,可以从所述根证书分别派生出相应的服务商根证书,作为二级证书进行服务端的身份验证。相应的,客户端一侧可以利用设定的根证书来验证接收消息中的服务商根证书的合法性。这样,可以通过根证书进行签名的服务商证书可以用于验证服务商是否为行业开放标准认证的合法会员的终端设备。本申请实施方案在服务端下发给客户端的消息需要经过自己的服务商根证书签名,由于服务端进行签名使用的私钥被设置成是与服务端的服务商根证书相对应且是唯一的,因此,客户端可以利用消息中的服务商根证书来验证消息中的消息签名,可以有效保障客户端接收到的消息是消息中与服务商根证书对应的服务端发送而来。认证处理过程中,若消息中的消息签名和服务商根证书均通过验证,可以表示客户端接收到的请求消息是设定的根证书授权下的合法服务端发送来的,可以信任。本申请提供的行业开放标准中身份认证的硬性实施方案,相比于依赖传统的法律条文、信息公开等软性约束,可以有效的在服务端和客户端上进行相互认证,防止非法会员的入侵,确保行业开放标准整体实施的安全性和稳定性,提高会员对行业开放标准的服务使用感知。
尽管本申请内容中提到IFAA开放标准、RSA的公钥和私钥、服务商根证书和请求消息的数据格式、消息发送和接收等的消息交互、以及javascript编程设计语言等行业标准之类的描述,但是,本申请并不局限于必须是完全标准、或实施例提及的方式的数据交互、处理的情况。本申请中各个实施例所涉及的上述描述仅是本申请中的一些实施例中的应用,在某些标准、方法的基础上略加修改后的处理方法也可以实行上述本申请各实施例的方案。当然,在符合本申请上述各实施例的中所述的处理方法步骤的其他无创造性的变形,仍然可以实现相同的申请,在此不再赘述。
虽然本申请提供了如实施例或流程图所述的方法操作步骤,但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的装置或终端产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。
上述实施例阐明的装置、模块,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本申请时可以把各模块的功能在同一个或多个软件和/或硬件中实现。当然,也可以将实现某功能的模块由多个子模块或子单元组合实现。
本申请中所述的方法、模块、或装置可以以可读程序嵌入控制器的方式实现,所述控制器可以按具体要求实现。例如,控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程逻辑控制器和嵌入微控制器的形式,控制器的例子包括但不限于以下微控制器:ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20以及Silicone Labs C8051F320,存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道,除了以纯计算机可读程序代码方式实现控制器以外,完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件,而对其内部包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
本申请所述装置中的部分模块、客户端或服务器中的单元可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构、类等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本申请可借助软件加必需的硬件的方式来实现。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,也可以通过数据迁移的实施过程中体现出来。该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,终端仪表设备、服务器,或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例采用递进的方式描述,各个实施例之间相同或相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。本申请的全部或者部分可用于众多通用或专用的计算机系统环境或配置中。例如:个人计算机、手持设备或便携式设备、基于微处理器的系统、可编程的电子设备、包括以上任何系统或设备的分布式计算环境等等。
虽然通过实施例描绘了本申请,本领域普通技术人员知道,本申请有许多变形和变化而不脱离本申请的精神,希望所附的权利要求包括这些变形和变化而不脱离本申请的精神。
Claims (20)
1.一种开放标准中的终端身份认证方法,其特征在于,所述方法包括:
从开放标准中进行会员身份认证的根证书派生出使用所述根证书进行签名的服务商根证书,将所述服务商根证书发送给相应的服务商;
服务商的服务端利用所述服务商根证书的私钥对下发给客户端的消息进行加签,生成消息签名;
所述服务端向客户端发送请求消息,所述请求消息包括所述服务商根证书、所述消息签名;
客户端接收到请求消息后,利用预置在客户端的所述会员身份认证的根证书验证服务商根证书合法性,并利用请求消息中的服务商根证书对所述请求消息中的消息签名进行验证;
所述客户端根据所述消息签名和服务商根证书的验证结果确定接收到的请求消息是否来自开放标准中的合法终端。
2.一种开放标准中的终端身份认证方法,其特征在于,所述方法包括:
客户端利用终端私钥对上报给服务端的消息进行加签,生成终端消息签名;其中所述终端私钥在终端出厂前被固化在终端中,该终端的终端私钥对应的终端公钥则存储在认证中心;
所述客户端向服务端发送包括所述终端消息签名的请求消息;
服务端接收到请求消息后,将所述请求消息中的终端消息签名发送至所述认证中心进行验证;
所述服务端接收所述认证中心的验证结果,根据所述验证结果确定接收到的请求消息是否来自开放标准中的合法终端,所述验证结果包括所述认证中心利用存储的与客户端对应的终端公钥对终端消息签名进行验证的验证结果信息。
3.一种开放标准中的终端身份认证方法,其特征在于,所述方法包括:
获取利用开放标准中进行会员认证的根证书进行加签的服务商根证书;
利用所述服务商根证书对的私钥对下发给客户端的消息进行加签,生成消息签名;
向客户端发送请求消息,所述请求消息包括所述服务商根证书、所述消息签名。
4.如权利要求3所述的一种开放标准中的终端身份认证方法,其特征在于,所述方法还包括:
接收客户端发送的请求消息,将所述请求消息中的终端消息签名发送至认证中心进行验证;
接收所述认证中心的验证结果,所述验证结果包括所述认证中心利用存储的与所述请求消息中客户端对应的终端公钥对所述终端消息签名进行验证的验证结果信息;
根据所述验证结果确定接收到的请求消息是否来自开放标准中的合法终端。
5.一种开放标准中的终端身份认证方法,其特征在于,所述方法包括:
接收服务端发送的包括服务商根证书和消息签名的请求消息,利用预置在客户端的所述会员身份认证的根证书验证服务商根证书合法性,并利用请求消息中的服务商根证书对所述请求消息中的消息签名进行验证;
根据所述消息签名和服务商根证书的验证结果确定接收到的请求消息是否来自开放标准中的合法终端。
6.如权利要求5所述的一种开放标准中的终端身份认证方法,其特征在于,所述利用预置在客户端的所述会员身份认证的根证书验证服务商根证书合法性,并利用请求消息中的服务商根证书对所述请求消息中的消息签名进行验证包括采用下述中的任意一种实施方式:
利用所述请求消息中所述服务商根证书包含的公钥验证所述请求消息中的消息签名,若所述消息签名验证通过,则使用预置在客户端中所述会员身份认证的根证书的公钥验证所述请求消息中服务商根证书的合法性;
使用预置在客户端中所述会员身份认证的根证书的私钥验证所述请求消息中的服务商根证书的合法性,若所述服务商根证书的合法性验证通过,则利用所述请求消息中所述服务商根证书包含的公钥验证所述请求消息中的消息签名。
7.如权利要求5或6所述的一种开放标准中的终端身份认证方法,其特征在于,所述方法还包括:
利用预置在所述客户端中的终端私钥对上报给服务端的消息进行加签,生成终端消息签名;其中所述终端私钥在终端出厂前被固化在终端中,该终端的终端私钥对应的终端公钥则存储在认证中心;
向服务端发送包括所述终端消息签名的请求消息。
8.如权利要求5或6所述的一种开放标准中的终端身份认证方法,其特征在于,所述方法还包括:
按照预设规则更新客户端中的根证书。
9.一种开放标准中的终端身份认证方法,其特征在于,所述方法包括:
获取并存储通过认证的客户端上传的终端设备标识和与预置在客户端中的私钥对应的终端公钥;其中所述终端私钥在终端出厂前被固化在终端中;
接收服务端发送的终端消息签名,利用与所述终端消息签名对应的客户端的终端公钥对所述终端消息签名进行验证;
将所述终端消息签名的验证结果返回至相应的服务端。
10.如权利要求9所述的一种开放标准中的终端身份认证方法,其特征在于,所述方法还包括:
确定实施开放标准中进行会员身份认证所使用的根证书,为通过设置的测试基准的服务商配置利用所述根证书进行签名的服务商根证书。
11.一种开放标准中的终端身份认证装置,其特征在于,所述装置包括:
证书获取模块,用于获取利用开放标准中进行会员认证的根证书进行加签的服务商根证书;
消息签名模块,用于利用所述服务商根证书的私钥对下发给客户端的消息进行加签,生成消息签名;
消息发送模块,用于向客户端发送请求消息,所述请求消息包括所述服务商根证书、所述消息签名。
12.如权利要求11所述的一种开放标准中的终端身份认证装置,其特征在于,所述装置还包括:
消息请求验证模块,用于接收客户端发送的请求消息,将所述请求消息中的终端消息签名发送至认证中心进行验证;
验证结果接收模块,用于接收所述认证中心的验证结果,所述验证结果包括所述认证中心利用存储的与所述请求消息中客户端对应的终端公钥对所述终端消息签名进行验证的验证结果信息;
第一验证结果确定模块,用于根据所述验证结果确定接收到的请求消息是否来自开放标准中的合法终端。
13.一种开放标准中的终端身份认证装置,其特征在于,所述装置包括:
消息接收模块,用于接收服务端发送的包括服务商根证书和消息签名的请求消息;
验证处理模块,用于利用预置在客户端的所述会员身份认证的根证书验证服务商根证书合法性,并利用请求消息中的服务商根证书对所述请求消息中的消息签名进行验证;
第二验证结果确定模块,用于根据所述消息签名和服务商根证书的验证结果确定接收到的请求消息是否来自开放标准中的合法终端。
14.如权利要求13所述的一种开放标准中的终端身份认证装置,其特征在于,所述验证处理模块包括下述中的至少一项:
第一方式处理模块,用于利用所述请求消息中所述服务商根证书包含的公钥验证所述请求消息中的消息签名;还用于若所述消息签名验证通过,则使用预置的会员身份认证的根证书验证所述请求消息中服务商根证书的合法性;
第二方式处理模块,用于使用预置的会员身份认证的根证书验证所述请求消息中服务商根证书的合法性;还用于若所述服务商根证书的合法性验证通过,则利用所述请求消息中所述服务商根证书包含的公钥验证所述请求消息中的消息签名。
15.如权利要求13或14所述的一种开放标准中的终端身份认证装置,其特征在于,所述装置还包括:
第一消息处理模块,用于利用预置的终端私钥对上报给服务端的消息进行加签,生成终端消息签名;其中所述终端私钥在终端出厂前被固化在终端中,该终端的终端私钥对应的终端公钥则存储在认证中心;
第一消息发送模块,用于向服务端发送包括所述终端消息签名的请求消息。
16.如权利要求13或14所述的一种开放标准中的终端身份认证装置,其特征在于,所述装置还包括:
证书更新模块,用于按照预设规则更新预置的根证书。
17.一种开放标准中的终端身份认证装置,其特征在于,所述装置包括:
密钥存储模块,用于获取并存储通过认证的客户端上传的终端设备标识和与预置在客户端中的终端私钥对应的终端公钥;其中所述终端私钥在终端出厂前被固化在终端中;
签名验证模块,用于接收服务端发送的终端消息签名,利用与所述终端消息签名对应的客户端的终端公钥对所述终端消息签名进行验证;
验证结果反馈模块,用于将所述终端消息签名的验证结果发送至相应的服务端。
18.如权利要求17所述的一种开放标准中的终端身份认证装置,其特征在于,所述装置还包括:
证书颁发模块,用于获取实施开放标准中进行会员身份认证所使用的根证书,并为通过设置的测试基准的服务商配置利用所述根证书进行签名的服务商根证书。
19.一种终端身份认证系统,其特征在于,所述系统包括:
客户端,用于接收服务器发送的请求消息,解析获取所述请求消息中服务器的服务商根证书和利用所述服务商根证书进行加签生成的消息签名;还用于利用预置在客户端的所述会员身份认证的根证书验证服务商根证书合法性,并利用请求消息中的服务商根证书对所述请求消息中的消息签名进行验证;还用于根据所述消息签名和服务商根证书的验证结果确定接收到的请求消息是否来自开放标准中的合法终端;
服务器,用于获取利用开放标准中进行会员认证的根证书进行签名的服务商根证书;还用于利用所述获取的服务商根证书对发送给客户端的消息进行加签,生成消息签名;还用于向客户端发送请求消息,所述请求消息包括所述服务商根证书、所述消息签名。
20.如权利要19所述的一种终端身份认证系统,其特征在于,
所述客户端被设置成,
还用于利用预置的终端私钥对上报给服务器的消息进行加签,生成终端消息签名;以及用于向服务端发送包括所述终端消息签名的请求消息;其中所述终端私钥在终端出厂前被固化在终端中,该终端的终端私钥对应的终端公钥则存储在认证中心;
所述服务器被设置成,
还用于接收客户端发送的请求消息,将所述请求消息中的终端消息签名发送至指定的认证中心进行验证;还用于接收所述认证中心的验证结果,根据所述验证结果确定接收到的请求消息是否来自开放标准中的合法终端,所述验证结果包括所述认证中心利用存储的与客户端对应的终端公钥对终端消息签名进行验证的验证结果信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610197299.3A CN107294722A (zh) | 2016-03-31 | 2016-03-31 | 一种终端身份认证方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610197299.3A CN107294722A (zh) | 2016-03-31 | 2016-03-31 | 一种终端身份认证方法、装置及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107294722A true CN107294722A (zh) | 2017-10-24 |
Family
ID=60086838
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610197299.3A Pending CN107294722A (zh) | 2016-03-31 | 2016-03-31 | 一种终端身份认证方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107294722A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108496194A (zh) * | 2018-03-21 | 2018-09-04 | 福建联迪商用设备有限公司 | 一种验证终端合法性的方法、服务端及系统 |
| CN109347921A (zh) * | 2018-09-20 | 2019-02-15 | 北京京东金融科技控股有限公司 | 一种数字证书业务的处理方法和装置 |
| CN109861946A (zh) * | 2017-11-30 | 2019-06-07 | 中国电信股份有限公司 | 主叫号码验真的方法、系统以及呼叫接收设备 |
| CN110691265A (zh) * | 2019-10-10 | 2020-01-14 | 四川虹微技术有限公司 | 基于声纹识别的电视支付方法及系统 |
| CN113612780A (zh) * | 2021-08-05 | 2021-11-05 | 中国电信股份有限公司 | 证书请求、生成、接入方法、装置、通信设备及介质 |
| CN113742705A (zh) * | 2021-08-30 | 2021-12-03 | 北京一砂信息技术有限公司 | 一种基于ifaa号码认证服务实现的方法及系统 |
| CN114553444A (zh) * | 2022-04-27 | 2022-05-27 | 北京时代亿信科技股份有限公司 | 身份认证方法、装置及存储介质 |
| WO2023193700A1 (zh) * | 2022-04-07 | 2023-10-12 | 华为技术有限公司 | 数字证书的验证方法、装置、设备及计算机可读存储介质 |
| CN117319067A (zh) * | 2023-10-24 | 2023-12-29 | 上海宁盾信息科技有限公司 | 一种基于数字证书的身份认证方法、系统及可读存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1329313A (zh) * | 2000-06-21 | 2002-01-02 | 中国建设银行新疆维吾尔自治区分行 | 客户、银行直通系统 |
| CN102300065A (zh) * | 2011-08-31 | 2011-12-28 | 四川长虹电器股份有限公司 | 基于安卓平台的智能电视软件安全认证的方法 |
| CN102468961A (zh) * | 2010-11-18 | 2012-05-23 | 卓望数码技术(深圳)有限公司 | 一种分布式企业认证鉴权方法、系统及嵌入终端 |
| CN103701609A (zh) * | 2013-03-15 | 2014-04-02 | 福建联迪商用设备有限公司 | 一种服务器与操作终端双向认证的方法及系统 |
| US9065820B2 (en) * | 2010-11-09 | 2015-06-23 | Cleversafe, Inc. | Validating a certificate chain in a dispersed storage network |
| CN105323062A (zh) * | 2014-06-03 | 2016-02-10 | 北京收付宝科技有限公司 | 移动终端数字证书电子签名方法 |
-
2016
- 2016-03-31 CN CN201610197299.3A patent/CN107294722A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1329313A (zh) * | 2000-06-21 | 2002-01-02 | 中国建设银行新疆维吾尔自治区分行 | 客户、银行直通系统 |
| US9065820B2 (en) * | 2010-11-09 | 2015-06-23 | Cleversafe, Inc. | Validating a certificate chain in a dispersed storage network |
| CN102468961A (zh) * | 2010-11-18 | 2012-05-23 | 卓望数码技术(深圳)有限公司 | 一种分布式企业认证鉴权方法、系统及嵌入终端 |
| CN102300065A (zh) * | 2011-08-31 | 2011-12-28 | 四川长虹电器股份有限公司 | 基于安卓平台的智能电视软件安全认证的方法 |
| CN103701609A (zh) * | 2013-03-15 | 2014-04-02 | 福建联迪商用设备有限公司 | 一种服务器与操作终端双向认证的方法及系统 |
| CN105323062A (zh) * | 2014-06-03 | 2016-02-10 | 北京收付宝科技有限公司 | 移动终端数字证书电子签名方法 |
Non-Patent Citations (1)
| Title |
|---|
| 段云所: "《信息安全概论》", 30 September 2003 * |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109861946A (zh) * | 2017-11-30 | 2019-06-07 | 中国电信股份有限公司 | 主叫号码验真的方法、系统以及呼叫接收设备 |
| CN109861946B (zh) * | 2017-11-30 | 2021-07-23 | 中国电信股份有限公司 | 主叫号码验真的方法、系统以及呼叫接收设备 |
| CN108496194A (zh) * | 2018-03-21 | 2018-09-04 | 福建联迪商用设备有限公司 | 一种验证终端合法性的方法、服务端及系统 |
| CN109347921A (zh) * | 2018-09-20 | 2019-02-15 | 北京京东金融科技控股有限公司 | 一种数字证书业务的处理方法和装置 |
| CN110691265A (zh) * | 2019-10-10 | 2020-01-14 | 四川虹微技术有限公司 | 基于声纹识别的电视支付方法及系统 |
| CN110691265B (zh) * | 2019-10-10 | 2021-04-20 | 四川虹微技术有限公司 | 基于声纹识别的电视支付方法及系统 |
| CN113612780A (zh) * | 2021-08-05 | 2021-11-05 | 中国电信股份有限公司 | 证书请求、生成、接入方法、装置、通信设备及介质 |
| CN113612780B (zh) * | 2021-08-05 | 2023-04-07 | 中国电信股份有限公司 | 证书请求、生成、接入方法、装置、通信设备及介质 |
| CN113742705A (zh) * | 2021-08-30 | 2021-12-03 | 北京一砂信息技术有限公司 | 一种基于ifaa号码认证服务实现的方法及系统 |
| WO2023193700A1 (zh) * | 2022-04-07 | 2023-10-12 | 华为技术有限公司 | 数字证书的验证方法、装置、设备及计算机可读存储介质 |
| CN114553444A (zh) * | 2022-04-27 | 2022-05-27 | 北京时代亿信科技股份有限公司 | 身份认证方法、装置及存储介质 |
| CN117319067A (zh) * | 2023-10-24 | 2023-12-29 | 上海宁盾信息科技有限公司 | 一种基于数字证书的身份认证方法、系统及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI667585B (zh) | 一種基於生物特徵的安全認證方法及裝置 | |
| CN109951489B (zh) | 一种数字身份认证方法、设备、装置、系统及存储介质 | |
| CN107294722A (zh) | 一种终端身份认证方法、装置及系统 | |
| EP2359526B1 (en) | System and methods for online authentication | |
| US9641521B2 (en) | Systems and methods for network connected authentication | |
| JP6399382B2 (ja) | 認証システム | |
| Anakath et al. | Privacy preserving multi factor authentication using trust management | |
| TWI497336B (zh) | 用於資料安全之裝置及電腦程式 | |
| US9780950B1 (en) | Authentication of PKI credential by use of a one time password and pin | |
| CN103229452A (zh) | 移动手持设备的识别和通信认证 | |
| US9124571B1 (en) | Network authentication method for secure user identity verification | |
| US8397281B2 (en) | Service assisted secret provisioning | |
| JP2018530235A (ja) | 使い捨て乱数を利用して認証する統合認証システム | |
| US20150052063A1 (en) | Method for the Mutual Authentication of Entities Having Previously Initiated an Online Transaction | |
| EP3513539B1 (en) | User sign-in and authentication without passwords | |
| US20160149893A1 (en) | Strong authentication method | |
| Alqubaisi et al. | Should we rush to implement password-less single factor FIDO2 based authentication? | |
| CN113411187B (zh) | 身份认证方法和系统、存储介质及处理器 | |
| WO2022042745A1 (zh) | 一种密钥管理方法及装置 | |
| US9977886B2 (en) | Methods, apparatus and computer programs for entity authentication | |
| KR101769861B1 (ko) | 패스워드 노출 없는 hsm 스마트 카드를 이용한 사용자 바이오 인증 방법 및 시스템 | |
| US11245684B2 (en) | User enrollment and authentication across providers having trusted authentication and identity management services | |
| KR101996317B1 (ko) | 인증변수를 이용한 블록체인 기반의 사용자 인증 시스템 및 그 방법 | |
| EP2916509B1 (en) | Network authentication method for secure user identity verification | |
| WO2015110043A1 (zh) | 一种双通道身份认证选择的装置、系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1246032 Country of ref document: HK |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20200925 Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Applicant after: Innovative advanced technology Co.,Ltd. Address before: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Applicant before: Advanced innovation technology Co.,Ltd. Effective date of registration: 20200925 Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Applicant after: Advanced innovation technology Co.,Ltd. Address before: Greater Cayman, British Cayman Islands Applicant before: Alibaba Group Holding Ltd. |
|
| TA01 | Transfer of patent application right | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171024 |
|
| RJ01 | Rejection of invention patent application after publication |