CN107437996B - 一种身份认证的方法、装置及终端 - Google Patents
一种身份认证的方法、装置及终端 Download PDFInfo
- Publication number
- CN107437996B CN107437996B CN201610368343.2A CN201610368343A CN107437996B CN 107437996 B CN107437996 B CN 107437996B CN 201610368343 A CN201610368343 A CN 201610368343A CN 107437996 B CN107437996 B CN 107437996B
- Authority
- CN
- China
- Prior art keywords
- parameter
- key
- terminal
- server
- algorithm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开了一种身份认证的方法、装置及终端,涉及通信技术领域,能够提高交易密码的安全性。本发明实施例的方法包括:终端根据特征值、终端的时间消息事件、指定算法,以及第一密钥哈希值,得到第一参数、第二参数和第一密钥;终端向服务器发送第一参数、第二参数和第一密钥,以便于服务器确定当第一密钥与第二密钥相同时,终端通过身份认证。本发明适用于一种通信传输系统。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种身份认证的方法、装置及终端。
背景技术
随着通信技术的发展,尤其是在线交易的普及,目前,用户可以通过终端来访问服务器以完成在线交易过程。为了确保在线交易过程的安全性,终端需要在访问服务器时进行身份认证,即提供访问该服务器所需的密钥,即交易密码。
在现有技术中,终端可以从第三方设备上获取访问服务器的密钥。其中,第三方服务器用于存储各个终端的认证信息,以及访问各个服务器所需的密钥。也就意味着,仅有当终端通过第三方设备的认证之后,才能获取需要访问的服务器所需的密钥,并使用该密钥成功访问需要访问的服务器。
由于终端需要从第三方设备上获取访问服务器的密钥,因此,在密钥被获取之前,若第三方设备遭受木马病毒等恶意程序的破坏,则很有可能造成密钥被泄露或被更改;同理,在密钥被获取之后,可以直接存储在终端本地,以便于终端下一次更加方便地使用该密钥进行服务器的访问,此时,若终端遭受木马病毒等恶意程序的破坏,则也很有可能造成密钥被泄露或被更改。因此,采用上述方式来完成终端访问服务器时的身份认证,很可能降低交易密码的安全性。
发明内容
本发明实施例提供一种身份认证的方法、装置及终端,能够提高交易密码的安全性。
为达到上述目的,本发明实施例采用如下技术方案:
第一方面,本发明实施例提供一种身份认证的方法,所述方法包括:
终端根据特征值、所述终端的时间消息事件、指定算法,以及第一密钥哈希值,得到第一参数、第二参数和第一密钥,所述特征值包括用于表示用户名标识的第一特征值和用于表示生物特征的第二特征值,所述指定算法包括哈希算法、散列算法和密钥剪切算法,所述第一参数为将所述第一特征值经过所述哈希算法计算得到的参数,所述第二参数为将所述第二特征值经过所述哈希算法计算得到的参数;
所述终端向服务器发送所述第一参数、所述第二参数和所述第一密钥,以便于所述服务器确定当所述第一密钥与第二密钥相同时,所述终端通过身份认证,其中,所述第二密钥为所述服务器根据所述第一参数、所述第二参数、第三参数、所述指定算法,以及所述服务器的时间消息事件,进行计算得到的密钥,所述第三参数为将所述服务器的密钥经过所述哈希算法计算得到的参数。
第二方面,本发明实施例提供一种身份认证的装置,所述装置包括:
计算模块,用于根据特征值、终端的时间消息事件、指定算法,以及第一密钥哈希值,得到第一参数、第二参数和第一密钥,所述特征值包括用于表示用户名标识的第一特征值和用于表示生物特征的第二特征值,所述指定算法包括哈希算法、散列算法和密钥剪切算法,所述第一参数为将所述第一特征值经过所述哈希算法计算得到的参数,所述第二参数为将所述第二特征值经过所述哈希算法计算得到的参数;
发送模块,用于向服务器发送经所述计算模块计算得到的所述第一参数、所述第二参数和所述第一密钥,以便于所述服务器确定当所述第一密钥与第二密钥相同时,所述终端通过身份认证,其中,所述第二密钥为所述服务器根据所述第一参数、所述第二参数、第三参数、所述指定算法,以及所述服务器的时间消息事件,进行计算得到的密钥,所述第三参数为将所述服务器的密钥经过所述哈希算法计算得到的参数。
第三方面,本发明实施例提供一种终端,其特征在于,所述终端包括上述第二方面所述的身份认证的装置。
本发明实施例提供的一种身份认证的方法、装置及终端,终端根据特征值、终端的时间消息事件、指定算法,以及第一密钥哈希值,得到第一参数、第二参数和第一密钥,之后终端向服务器发送第一参数、第二参数和第一密钥,以便于服务器确定当第一密钥与第二密钥相同时,终端通过身份认证。相比较于现有技术中仅有当终端通过第三方设备的认证之后,才能获取需要访问的服务器所需的密钥,并使用该密钥成功访问需要访问的服务器,本发明可以由终端生成根据时间消息事件,生成动态密钥,即第一密钥,之后通过服务器将自身生成的动态密钥,即第二密钥,与接收到的终端所生成的第一密钥进行比较,并当第一密钥与第二密钥相同时,终端通过身份认证。也就意味着,在进行身份认证的过程中,不需要借助第三方设备的帮助,同时,由于第一密钥与第二密钥均属于动态密钥,也就确保了密钥能够随着时间的变化而改变。因此,提高了终端在进行身份认证过程中所提供的密钥的安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例提供的一种身份认证的方法流程图;
图2为本发明实施例提供的另一种身份认证的方法流程图;
图3为本发明实施例提供的一种注册过程的信息交互图;
图4为本发明实施例提供的另一种身份认证的方法流程图;
图5为本发明实施例提供的另一种身份认证的方法流程图;
图6为本发明实施例提供的一种身份认证的装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明实施例可以用于一种通信传输系统,该通信传输系统可以包括终端和服务器。其中,终端需要设置有eSIM(embeded Subscriber Identity Module,eSIM嵌入式客户识别模块)。
需要说明的是,在本发明实施例中可以根据对安全性的不同需求来调整采用hash算法进行计算的次数,本发明实施例不作具体限定,如:第一参数为将第一特征值经过hash算法计算两次得到的参数,第二参数为将第二特征值经过hash算法计算两次得到的参数,并且,在执行hash算法进行计算的过程中,执行计算的次数越多,则安全性越高,同时,对于终端或是服务器而言,所需要的用于计算的资源就越多。
本发明实施例提供一种身份认证的方法,该方法应用于终端中,如图1所示,该方法流程包括:
101、终端根据特征值、终端的时间消息事件、指定算法,以及第一密钥哈希值,得到第一参数、第二参数和第一密钥。
其中,特征值包括用于表示用户名标识(Identity,ID)的第一特征值和用于表示生物特征的第二特征值,指定算法包括哈希(hash)算法、散列(HMAC)算法和密钥剪切算法,第一参数为将第一特征值经过hash算法计算得到的参数,第二参数为将第二特征值经过hash算法计算得到的参数。
需要说明的是,在本发明实施例中可以根据对安全性的不同需求来调整采用hash算法进行计算的次数,如:第一参数为将第一特征值经过hash算法计算两次得到的参数,第二参数为将第二特征值经过hash算法计算两次得到的参数,并且,在执行hash算法进行计算的过程中,执行计算的次数越多,则安全性越高,同时,对于终端或是服务器而言,所需要的用于计算的资源就越多。
在本发明实施例中,用户名ID,可以由用户自己设置或是更改;生物特征具体可以为用户的指纹信息、虹膜信息或人脸信息等能用于表示用户生物特征的参数。终端可以预先采集用户名ID与生物特征,并通过数据转换的方式,得到用户名ID对应的第一特征值,以及生物特征对应的第二特征值。其中,第一特征值与第二特征值可以为二进制字符串,或是其他能够使终端识别的信息。
终端可以通过公式M1=(T1/Tstep1)|HHID1进行计算,得到终端的时间消息事件M1。其中,T1表示当前时刻的时间,Tstep1表示时间步长,HHID1表示第一参数。在本发明实施例中,默认时间消息事件的起始时刻为0,若起始时刻为T0,则公式M可以具体表示为M1=[(T1-T0)/Tstep1]|HHID1。
之后,终端可以通过公式Khmac1=HMAC(HHBK1,M1)※HRSK1进行计算,得到密钥Khmac1。其中,HMAC(*,*)表示HMAC算法,※表示诸如异或运算的加解密运算,HHBK1表示第二参数,HRSK1表示第一密钥哈希值。需要说明的是,HMAC算法表示密钥相关的哈希运算,当HMAC算法具体表示为HMAC(key,message)时,其运算是利用哈希算法,以一个密钥key和一个消息message为输入,生成一个消息摘要作为输出。
终端可以通过公式TOTP1=Truncate(Khmac1,mode1)进行计算,得到第一密钥TOTP1。其中,Truncate(*,mode1)表示密钥剪切算法,mode1为服务器预先设置的密钥剪切过程中的剪切条件,具体可以为取密钥的前几位,或取密钥的后几位,或取密钥的某几个特定位等。
需要说明的是,第一密钥哈希值为终端根据哈希算法、第四参数、第五参数和第三参数,进行计算得到的密钥哈希值。
102、终端向服务器发送第一参数、第二参数和第一密钥,以便于服务器确定当第一密钥与第二密钥相同时,终端通过身份认证。
其中,第二密钥为服务器根据第一参数、第二参数、第三参数、指定算法,以及服务器的时间消息事件,进行计算得到的密钥,第三参数为将服务器的密钥经过hash算法计算得到的参数,如:第三参数为将服务器的密钥经过hash算法计算一次得到的参数,可以根据对安全性的不同需求来调整采用hash算法进行计算的次数。
需要说明的是,第二密钥哈希值为服务器根据哈希算法、第四参数、第五参数和第三参数,进行计算得到的密钥哈希值。
终端向服务器发送HHID1、HHBK1和TOTP1。之后服务器可以根据公式M2=[(T2-T0)/Tstep2]|HHID1进行计算,得到服务器的时间消息事件M2。其中,当T0为0时,M2=(T2/Tstep2)|HHID1。其中,T2表示当前时刻的时间,Tstep2表示时间步长。在身份认证过程中,若终端能够完成身份认证,则T1=T2,Tstep1=Tstep2,即M1=M2。
之后,服务器通过公式HRSK2=Hash(RSK1)※HHID1※HHBK1进行计算,得到认证过程中服务器计算的密钥哈希值HRSK2。其中,RSK1为服务器的密钥,Hash(RSK1)为第三参数。
服务器通过公式Khmac2=HMAC(HHBK1,M2)※HRSK2进行计算,得到密钥Khmac2。之后,服务器通过公式TOTP2=Truncate(Khmac2,mode2)进行计算,得到第二密钥TOTP2。
当服务器确定,TOTP2=TOTP1时,则认为终端通过身份认证。需要说明的是,若终端所访问的服务器为非初次访问的服务器,则该服务器所确定的mode与终端本身已经存储的密钥剪切算法中的mode相同,即mode1=mode2。
对于交易过程而言,若TOTP2=TOTP1,则可以认为当前交易的身份是合法的,也就可以执行当前正在进行的在线交易操作;否则,认为此交易过程为非法操作,则直接结束本次交易过程。
本发明实施例提供的一种身份认证的方法,终端根据特征值、终端的时间消息事件、指定算法,以及第一密钥哈希值,得到第一参数、第二参数和第一密钥,之后终端向服务器发送第一参数、第二参数和第一密钥,以便于服务器确定当第一密钥与第二密钥相同时,终端通过身份认证。相比较于现有技术中仅有当终端通过第三方设备的认证之后,才能获取需要访问的服务器所需的密钥,并使用该密钥成功访问需要访问的服务器,本发明可以由终端生成根据时间消息事件,生成动态密钥,即第一密钥,之后通过服务器将自身生成的动态密钥,即第二密钥,与接收到的终端所生成的第一密钥进行比较,并当第一密钥与第二密钥相同时,终端通过身份认证。也就意味着,在进行身份认证的过程中,不需要借助第三方设备的帮助,同时,由于第一密钥与第二密钥均属于动态密钥,也就确保了密钥能够随着时间的变化而改变。因此,提高了终端在进行身份认证过程中所提供的密钥的安全性。
为了确保终端能够成功完成在服务器上的身份认证过程,在本发明实施例的一个实现方式中,当终端初次访问服务器时,终端需要先完成在服务器上的注册过程,之后当终端再次访问服务器时,才有可能完成上述步骤101和步骤102所示的身份认证过程。终端在服务器上的注册过程,具体可以为如图2所示的步骤103至步骤107:
103、终端接收服务器发送的hash算法和第三参数。
104、终端采集特征值。
105、终端根据特征值、hash算法,以及第三参数,得到第四参数、第五参数和第一密钥哈希值。
其中,第四参数为将第一特征值经过hash算法计算得到的参数,第五参数为将第二特征值经过hash算法计算得到的参数,可以根据对安全性的不同需求来调整采用hash算法进行计算的次数,如:第四参数为将第一特征值经过hash算法计算一次得到的参数,第五参数为将第二特征值经过hash算法计算一次得到的参数。
106、终端向服务器发送第四参数、第五参数和密钥哈希值,以便于服务器确定当第一密钥哈希值与第二密钥哈希值相同时,终端完成服务器的注册过程。
107、当终端完成注册过程时,终端接收服务器发送的HMAC算法和密钥剪切算法。
如图3所示的终端与服务器进行注册过程时候的信息交互图,具体执行流程如下:
201、终端向服务器发送注册请求命令。
当终端需要在服务器上注册时,终端可以向服务器发送注册请求命令,以触发服务器向终端发送Hash(*)和Hash(RSK2)。
202、服务器向终端发送携带有Hash(*)、Hash(RSK2)的信令。
为了保证服务器的密钥的安全性,需要将密钥RSK2经过hash算法进行计算得到的Hash(RSK2)发送至终端。另外,发送至终端的Hash(*),主要是为了保证终端所采集的特征值的安全性,即后续将采集到的特征值,即ID和BK经过hash算法进行计算得到的参数发送至服务器。其中,Hash(RSK2)为步骤103中的第三参数。
203、终端采集ID、BK。
终端所采集ID和BK就是步骤104中终端所采集的特征值。
204、终端根据公式HID=Hash(ID)进行计算,得到HID;根据公式HBK=Hash(BK)进行计算,得到HBK;根据公式HRSK3=Hash(HBK)※Hash(HID)※Hash(RSK2)进行计算,得到HRSK3。
其中,HID为第四参数,HBK为第五参数,HRSK3为第一密钥哈希值。
205、终端向服务器发送携带有HID、HBK和HRSK3的信令。
206、服务器根据公式HHID=Hash(HID)进行计算,得到HHID;根据公式HHBK=Hash(HBK)进行计算,得到HHBK;根据公式HRSK4=HHBK※HHID※Hash(RSK2)进行计算,得到HRSK4。
其中,HRSK4为第二密钥哈希值。
207、服务器确定当HRSK4=HRSK3时,则终端完成注册。
即当第一密钥哈希值与第二密钥哈希值相同时,则终端完成注册过程;否则,该注册过程失败。
208、服务器向终端发送携带有HMAC(*,*)、Truncate(*,mode)的注册成功消息。
当终端完成注册过程之后,服务器会向终端提供后续进行身份认证过程中计算动态密钥所需的函数,并将该函数承载在注册成功消息上发送至终端。
本发明实施例提供的一种身份认证的方法,当终端初次访问服务器时,终端接收服务器发送的hash算法和第三参数,并采集特征值,之后根据特征值、hash算法,以及第三参数,得到第四参数、第五参数和第一密钥哈希值。终端将第四参数、第五参数和密钥哈希值发送给服务器,以便于服务器确定当第一密钥哈希值与第二密钥哈希值相同时,终端完成服务器的注册过程。并当终端完成注册过程时,终端接收服务器发送的HMAC算法和密钥剪切算法。相比较于现有技术中仅有当终端通过第三方设备的认证之后,才能获取需要访问的服务器所需的密钥,并使用该密钥成功访问需要访问的服务器,本发明可以通过生成动态密钥,来确保密钥能够随着时间的变化而改变,从而提高了终端在进行身份认证过程中所提供的密钥的安全性。并且,为了确保终端能够成功完成在服务器上的身份认证过程,需要在身份认证过程执行之前完成终端的注册过程。
为了保证在完成注册过程之后,当终端需要再次访问服务器时,能够根据在注册过程完成时服务器发送给终端的函数来生成动态密钥,在本发明实施例的一个实现方式中,当终端接收到服务器发送的函数后,可以将该函数保存至本地。因此,在如图2所示的实现方式的基础上,还可以实现为如图4所示的实现方式。其中,在执行完步骤107当终端完成注册过程时,终端接收服务器发送的HMAC算法和密钥剪切算法之后,可以执行步骤108:
108、终端将指定算法与第一密钥哈希值保存至eSIM卡的安全存储区域中。
为了降低指定算法和第一密钥哈希值被外泄的风险,在本发明实施例中,可以将制定函数和第一密钥哈希值直接保存至eSIM卡的存储区域中安全性较高的地方,即安全存储区域。需要说明的是,在安全存储区域中进行数据的存储、读取及编辑时,可以通过设置相关认证来提高操作过程的安全性,在此不作具体限定。
本发明实施例提供的一种身份认证的方法,当终端初次访问服务器时,在终端完成服务器的注册过程之后,终端可以将在注册过程中服务器向终端发送的哈希函数,以及在完成注册过程之后,服务器向终端发送的HMAC算法、密钥剪切算法和第一密钥哈希值,存储至eSIM卡的安全存储区域中。相比较于现有技术中仅有当终端通过第三方设备的认证之后,才能获取需要访问的服务器所需的密钥,并使用该密钥成功访问需要访问的服务器,本发明可以通过生成动态密钥,来确保密钥能够随着时间的变化而改变,从而提高了终端在进行身份认证过程中所提供的密钥的安全性。并且,将指定算法和第一密钥哈希值存储至终端本地的安全存储区域中,可以确保当终端需要完成身份认证时,能够直接从本地获取所需的部分参数和用于计算动态密钥的函数。
为了使用户能够根据自身需求随时更新生成动态密钥的特征值,在本发明实施例的一个实现方式中,当终端完成注册过程之后,可以在旧的特征值通过认证之后,使用用户提供的新的特征值来替换旧的特征值。因此,在如图4所示的实现方式的基础上,还可以实现为如图5所示的实现方式。其中,在执行完步骤108终端将指定算法与第一密钥哈希值保存至eSIM卡的安全存储区域中之后,还可以执行步骤109至步骤111:
109、当终端采集的第二特征值经过hash算法计算得到的参数,与第二参数相同时,终端获取目标生物特征。
需要说明的是,在本发明实施例中,默认第一特征值不变,但是,在实际使用过程中,用户可以采用类似于步骤109至步骤111的方法来更换用户名ID,或是同时更换用户名ID和生物特征,在此不做赘述。
110、终端根据目标生物特征、hash算法、第一参数、第三参数,得到第六参数和第三密钥哈希值。
其中,第六参数为用于表示目标生物特征的第三特征值经过hash算法计算得到的参数。
需要说明的是,第三密钥哈希值为终端根据哈希算法、第一参数、第六参数和第三参数,进行计算得到的密钥哈希值。
终端可以根据公式HHBKn=Hash[Hash(BKn)]进行计算,得到第六参数HHBKn。其中,BKn为第三特征值。之后根据公式HRSKn=HHBKn※HHID※Hash(RSK2)进行计算,得到第三密钥哈希值HRSKn。
111、终端将第六参数和第三密钥哈希值保存至eSIM卡的安全存储区域中。
在执行完步骤111之后,终端可以通过在显示屏上呈现用户修改新密钥成功的消息,来告知用户已经完成了密钥的更新。需要说明的是,为了节省安全存储区域中的存储空间,在将第六参数和第三密钥哈希值保存至该区域后,可以将原先存储在该区域的旧HHBK和旧HRSK删除。
本发明实施例提供的一种身份认证的方法,在终端完成注册过程之后,用户可以随时进行ID和/或BK的更新,并且当用户能够提供原有BK和/或ID的情况下,也就是当终端确认该用户为原用户时,则可以根据用户新输入的ID和/或BK完成更新过程,并将更新后的HHBK与HRSK存储在本地。相比较于现有技术中仅有当终端通过第三方设备的认证之后,才能获取需要访问的服务器所需的密钥,并使用该密钥成功访问需要访问的服务器,本发明可以通过生成动态密钥,来确保密钥能够随着时间的变化而改变,从而提高了终端在进行身份认证过程中所提供的密钥的安全性。并且,能够根据用户需求,随时更新生成动态密钥的用户名ID和/或生物特征,且在上述更新过程中,通过旧信息认证的方式来避免其他用户对旧信息的恶意更改。
本发明实施例提供一种身份认证的装置30,如图6所示,该装置30用于执行如图1至图5中任意一项所示的方法流程,该装置30用于一种通信传输系统,通信传输系统包括终端和服务器,终端设置有嵌入式客户识别模块eSIM卡,该装置30包括:
计算模块31,用于根据特征值、终端的时间消息事件、指定算法,以及第一密钥哈希值,得到第一参数、第二参数和第一密钥,特征值包括用于表示用户名ID的第一特征值和用于表示生物特征的第二特征值,指定算法包括hash算法、HMAC算法和密钥剪切算法,第一参数为将第一特征值经过hash算法计算得到的参数,第二参数为将第二特征值经过hash算法计算得到的参数。
发送模块32,用于向服务器发送经计算模块31计算得到的第一参数、第二参数和第一密钥,以便于服务器确定当第一密钥与第二密钥相同时,终端通过身份认证,其中,第二密钥为服务器根据第一参数、第二参数、第三参数、指定算法,以及服务器的时间消息事件,进行计算得到的密钥,第三参数为将服务器的密钥经过hash算法计算得到的参数。
在本发明实施例的一个实现方式中,当终端初次访问服务器时,装置包括:
接收模块33,用于接收服务器发送的hash算法和第三参数。
采集模块34,用于采集特征值。
计算模块31,还用于根据采集模块34采集的特征值、接收模块33接收的hash算法,以及第三参数,得到第四参数、第五参数和第一密钥哈希值,其中,第四参数为将第一特征值经过hash算法计算得到的参数,第五参数为将第二特征值经过hash算法计算得到的参数。
发送模块32,还用于向服务器发送经计算模块31计算得到的第四参数、第五参数和密钥哈希值,以便于服务器确定当第一密钥哈希值与第二密钥哈希值相同时,终端完成服务器的注册过程。
接收模块33,还用于当终端完成注册过程时,接收服务器发送的HMAC算法和密钥剪切算法。
在本发明实施例的一个实现方式中,装置还包括:
存储模块35,用于将指定算法与第一密钥哈希值保存至eSIM卡的安全存储区域中。
在本发明实施例的一个实现方式中,采集模块34,还用于当终端采集的第二特征值经过hash算法计算得到的参数,与第二参数相同时,终端获取目标生物特征。
计算模块31,还用于根据目标生物特征、hash算法、第一参数、第三参数,得到第六参数和第三密钥哈希值,第六参数为用于表示目标生物特征的第三特征值经过hash算法计算得到的参数。
存储模块35,还用于将经计算模块31计算得到的第六参数和第三密钥哈希值保存至eSIM卡的安全存储区域中。
需要说明的是,第一密钥哈希值为终端根据哈希算法、第四参数、第五参数和第三参数,进行计算得到的密钥哈希值;第二密钥哈希值为服务器根据哈希算法、第四参数、第五参数和第三参数,进行计算得到的密钥哈希值;第三密钥哈希值为终端根据哈希算法、第一参数、第六参数和第三参数,进行计算得到的密钥哈希值。
本发明实施例提供的一种身份认证的装置,终端根据特征值、终端的时间消息事件、指定算法,以及第一密钥哈希值,得到第一参数、第二参数和第一密钥,之后终端向服务器发送第一参数、第二参数和第一密钥,以便于服务器确定当第一密钥与第二密钥相同时,终端通过身份认证。相比较于现有技术中仅有当终端通过第三方设备的认证之后,才能获取需要访问的服务器所需的密钥,并使用该密钥成功访问需要访问的服务器,本发明可以由终端生成根据时间消息事件,生成动态密钥,即第一密钥,之后通过服务器将自身生成的动态密钥,即第二密钥,与接收到的终端所生成的第一密钥进行比较,并当第一密钥与第二密钥相同时,终端通过身份认证。也就意味着,在进行身份认证的过程中,不需要借助第三方设备的帮助,同时,由于第一密钥与第二密钥均属于动态密钥,也就确保了密钥能够随着时间的变化而改变。因此,提高了终端在进行身份认证过程中所提供的密钥的安全性。
本发明实施例提供一种终端,该终端包括如图6所示的身份认证的装置。
本发明实施例提供的一种终端,终端根据特征值、终端的时间消息事件、指定算法,以及第一密钥哈希值,得到第一参数、第二参数和第一密钥,之后终端向服务器发送第一参数、第二参数和第一密钥,以便于服务器确定当第一密钥与第二密钥相同时,终端通过身份认证。相比较于现有技术中仅有当终端通过第三方设备的认证之后,才能获取需要访问的服务器所需的密钥,并使用该密钥成功访问需要访问的服务器,本发明可以由终端生成根据时间消息事件,生成动态密钥,即第一密钥,之后通过服务器将自身生成的动态密钥,即第二密钥,与接收到的终端所生成的第一密钥进行比较,并当第一密钥与第二密钥相同时,终端通过身份认证。也就意味着,在进行身份认证的过程中,不需要借助第三方设备的帮助,同时,由于第一密钥与第二密钥均属于动态密钥,也就确保了密钥能够随着时间的变化而改变。因此,提高了终端在进行身份认证过程中所提供的密钥的安全性。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(英文:Read-Only Memory,简称:ROM)或随机存储记忆体(英文:Random Access Memory,简称:RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (10)
1.一种身份认证的方法,其特征在于,所述方法包括:
终端根据特征值、所述终端的时间消息事件、指定算法,以及第一密钥哈希值,得到第一参数、第二参数和第一密钥,所述特征值包括用于表示用户名标识的第一特征值和用于表示生物特征的第二特征值,所述指定算法包括哈希算法、散列算法和密钥剪切算法,所述第一参数为将所述第一特征值经过所述哈希算法计算得到的参数,所述第二参数为将所述第二特征值经过所述哈希算法计算得到的参数;其中,终端根据公式(T1/Tstep1)IHHID1计算得到所述终端的时间消息事件,终端根据公式HMAC(HHBKl,M1)※HRSK1计算得到密钥,HRSK1表示所述第一密钥哈希值,终端根据公式Truncate(Khmacl,mode1)计算得到所述第一密钥;
所述终端向服务器发送所述第一参数、所述第二参数和所述第一密钥,以便于所述服务器确定当所述第一密钥与第二密钥相同时,所述终端通过身份认证,其中,所述第二密钥为所述服务器根据所述第一参数、所述第二参数、第三参数、所述指定算法,以及所述服务器的时间消息事件,进行计算得到的密钥,所述第三参数为将所述服务器的密钥经过所述哈希算法计算得到的参数;其中,终端根据公式Truncate(Khmacl,mode1)计算得到所述第二密钥,根据公式
[(T2-TO)/Tstep2]|HHID1计算得到所述服务器的时间消息事件。
2.根据权利要求1所述的方法,其特征在于,在所述终端根据特征值、所述终端的时间消息事件、指定算法,以及第一密钥哈希值,得到第一参数、第二参数和第一密钥之前,当所述终端初次访问所述服务器时,所述方法包括:
所述终端接收所述服务器发送的所述哈希算法和所述第三参数;
所述终端采集所述特征值;
所述终端根据所述特征值、所述哈希算法,以及所述第三参数,得到第四参数、第五参数和所述第一密钥哈希值,其中,所述第四参数为将所述第一特征值经过所述哈希算法计算得到的参数,所述第五参数为将所述第二特征值经过所述哈希算法计算得到的参数;
所述终端向所述服务器发送所述第四参数、所述第五参数和所述第一密钥哈希值,以便于所述服务器确定当所述第一密钥哈希值与第二密钥哈希值相同时,所述终端完成所述服务器的注册过程;其中,所述第二密钥哈希值为所述服务器根据哈希算法、第四参数、第五参数和第三参数进行计算得到的;
当所述终端完成所述注册过程时,所述终端接收所述服务器发送的所述散列算法和所述密钥剪切算法。
3.根据权利要求2所述的方法,其特征在于,在所述终端接收所述服务器发送的所述散列算法和所述密钥剪切算法之后,包括:
所述终端将所述指定算法与所述第一密钥哈希值保存至所述终端中嵌入式客户识别模块的安全存储区域中。
4.根据权利要求3所述的方法,其特征在于,在所述终端将所述指定算法与所述第一密钥哈希值保存至所述终端中嵌入式客户识别模块的安全存储区域中之后,包括:
当所述终端采集的第二特征值经过所述哈希算法计算得到的参数,与所述第二参数相同时,所述终端获取目标生物特征;
所述终端根据所述目标生物特征、所述哈希算法、所述第一参数、所述第三参数,得到第六参数和第三密钥哈希值,其中,所述第六参数为用于表示所述目标生物特征的第三特征值经过所述哈希算法计算得到的参数;
所述终端将所述第六参数和所述第三密钥哈希值保存至所述终端中嵌入式客户识别模块的安全存储区域中。
5.根据权利要求4所述的方法,其特征在于,所述第一密钥哈希值为所述终端根据所述哈希算法、所述第四参数、所述第五参数和所述第三参数,进行计算得到的密钥哈希值;所述第二密钥哈希值为所述服务器根据所述哈希算法、所述第四参数、所述第五参数和所述第三参数,进行计算得到的密钥哈希值;所述第三密钥哈希值为所述终端根据所述哈希算法、所述第一参数、所述第六参数和所述第三参数,进行计算得到的密钥哈希值。
6.一种身份认证的装置,其特征在于,所述装置包括:
计算模块,用于根据特征值、终端的时间消息事件、指定算法,以及第一密钥哈希值,得到第一参数、第二参数和第一密钥,所述特征值包括用于表示用户名标识的第一特征值和用于表示生物特征的第二特征值,所述指定算法包括哈希算法、散列算法和密钥剪切算法,所述第一参数为将所述第一特征值经过所述哈希算法计算得到的参数,所述第二参数为将所述第二特征值经过所述哈希算法计算得到的参数;其中,终端通过公式(T1/Tstep1)IHHID1进行计算,得到所述终端的时间消息事件,终端通过公式HMAC(HHBKl,M1)※HRSK1进行计算,得到密钥,HRSK1表示第一密钥哈希值,终端通过公式Truncate(Khmacl,mode1)进行计算,得到第一密钥;
发送模块,用于向服务器发送经所述计算模块计算得到的所述第一参数、所述第二参数和所述第一密钥,以便于所述服务器确定当所述第一密钥与第二密钥相同时,所述终端通过身份认证,其中,所述第二密钥为所述服务器根据所述第一参数、所述第二参数、第三参数、所述指定算法,以及所述服务器的时间消息事件,进行计算得到的密钥,所述第三参数为将所述服务器的密钥经过所述哈希算法计算得到的参数;其中,终端根据公式Truncate(Khmacl,mode1)计算得到所述第二密钥,根据公式[(T2-TO)/Tstep2]|HHID1计算得到所述服务器的时间消息事件。
7.根据权利要求6所述的装置,其特征在于,当所述终端初次访问所述服务器时,所述装置包括:
接收模块,用于接收所述服务器发送的所述哈希算法和所述第三参数;
采集模块,用于采集所述特征值;
所述计算模块,还用于根据所述采集模块采集的所述特征值、所述接收模块接收的所述哈希算法,以及所述第三参数,得到第四参数、第五参数和所述第一密钥哈希值,其中,所述第四参数为将所述第一特征值经过所述哈希算法计算得到的参数,所述第五参数为将所述第二特征值经过所述哈希算法计算得到的参数;
所述发送模块,还用于向所述服务器发送经所述计算模块计算得到的所述第四参数、所述第五参数和所述密钥哈希值,以便于所述服务器确定当所述第一密钥哈希值与第二密钥哈希值相同时,所述终端完成所述服务器的注册过程;其中,所述第二密钥哈希值为所述服务器根据哈希算法、第四参数、第五参数和第三参数进行计算得到的;
所述接收模块,还用于当所述终端完成所述注册过程时,接收所述服务器发送的所述散列算法和所述密钥剪切算法。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
存储模块,用于将所述指定算法与所述第一密钥哈希值保存至所述终端中嵌入式客户识别模块的安全存储区域中。
9.根据权利要求8所述的装置,其特征在于,所述采集模块,还用于当所述终端采集的第二特征值经过所述哈希算法计算得到的参数,与所述第二参数相同时,所述终端获取目标生物特征;
所述计算模块,还用于根据所述目标生物特征、所述哈希算法、所述第一参数、所述第三参数,得到第六参数和第三密钥哈希值,其中,所述第六参数为用于表示所述目标生物特征的第三特征值经过所述哈希算法计算得到的参数;
所述存储模块,还用于将经所述计算模块计算得到的所述第六参数和所述第三密钥哈希值保存至所述终端中嵌入式客户识别模块的安全存储区域中;
所述第一密钥哈希值为所述终端根据所述哈希算法、所述第四参数、所述第五参数和所述第三参数,进行计算得到的密钥哈希值;所述第二密钥哈希值为所述服务器根据所述哈希算法、所述第四参数、所述第五参数和所述第三参数,进行计算得到的密钥哈希值;所述第三密钥哈希值为所述终端根据所述哈希算法、所述第一参数、所述第六参数和所述第三参数,进行计算得到的密钥哈希值。
10.一种终端,其特征在于,所述终端包括如权利要求6至9中任意一项所述的身份认证的装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610368343.2A CN107437996B (zh) | 2016-05-27 | 2016-05-27 | 一种身份认证的方法、装置及终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610368343.2A CN107437996B (zh) | 2016-05-27 | 2016-05-27 | 一种身份认证的方法、装置及终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107437996A CN107437996A (zh) | 2017-12-05 |
| CN107437996B true CN107437996B (zh) | 2020-02-21 |
Family
ID=60453355
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610368343.2A Expired - Fee Related CN107437996B (zh) | 2016-05-27 | 2016-05-27 | 一种身份认证的方法、装置及终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107437996B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108763895B (zh) * | 2018-04-28 | 2021-03-30 | Oppo广东移动通信有限公司 | 图像处理方法和装置、电子设备、存储介质 |
| CN110401648A (zh) * | 2019-07-16 | 2019-11-01 | 宇龙计算机通信科技(深圳)有限公司 | 获取云服务的方法、装置、电子设备及介质 |
| CN114584291B (zh) * | 2022-02-18 | 2023-12-29 | 杭州代码狗科技有限公司 | 基于hmac算法的密钥保护方法、装置、设备和存储介质 |
| CN114745616B (zh) * | 2022-06-10 | 2022-09-06 | 山东省地质矿产勘查开发局八〇一水文地质工程地质大队(山东省地矿工程勘察院) | 一种地下热信息远程监控预警系统和方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101098232A (zh) * | 2007-07-12 | 2008-01-02 | 兰州大学 | 一种动态口令与多生物特征结合的身份认证方法 |
| CN102685110A (zh) * | 2012-04-17 | 2012-09-19 | 中国科学院计算技术研究所 | 一种基于指纹特征的通用用户注册认证方法及系统 |
| CN102916968A (zh) * | 2012-10-29 | 2013-02-06 | 北京天诚盛业科技有限公司 | 身份认证方法、身份认证服务器和身份认证装置 |
| CN103067390A (zh) * | 2012-12-28 | 2013-04-24 | 青岛爱维互动信息技术有限公司 | 一种基于人脸特征的用户注册认证方法和系统 |
| CN103731272A (zh) * | 2014-01-06 | 2014-04-16 | 飞天诚信科技股份有限公司 | 一种身份认证方法、系统及设备 |
| CN104579694A (zh) * | 2015-02-09 | 2015-04-29 | 浙江大学 | 一种身份认证方法及系统 |
| CN104901808A (zh) * | 2015-04-14 | 2015-09-09 | 时代亿宝(北京)科技有限公司 | 基于时间型动态口令的声纹认证系统及方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120032782A1 (en) * | 2006-12-27 | 2012-02-09 | Colella Brian A | System for restricted biometric access for a secure global online and electronic environment |
-
2016
- 2016-05-27 CN CN201610368343.2A patent/CN107437996B/zh not_active Expired - Fee Related
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101098232A (zh) * | 2007-07-12 | 2008-01-02 | 兰州大学 | 一种动态口令与多生物特征结合的身份认证方法 |
| CN102685110A (zh) * | 2012-04-17 | 2012-09-19 | 中国科学院计算技术研究所 | 一种基于指纹特征的通用用户注册认证方法及系统 |
| CN102916968A (zh) * | 2012-10-29 | 2013-02-06 | 北京天诚盛业科技有限公司 | 身份认证方法、身份认证服务器和身份认证装置 |
| CN103067390A (zh) * | 2012-12-28 | 2013-04-24 | 青岛爱维互动信息技术有限公司 | 一种基于人脸特征的用户注册认证方法和系统 |
| CN103731272A (zh) * | 2014-01-06 | 2014-04-16 | 飞天诚信科技股份有限公司 | 一种身份认证方法、系统及设备 |
| CN104579694A (zh) * | 2015-02-09 | 2015-04-29 | 浙江大学 | 一种身份认证方法及系统 |
| CN104901808A (zh) * | 2015-04-14 | 2015-09-09 | 时代亿宝(北京)科技有限公司 | 基于时间型动态口令的声纹认证系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107437996A (zh) | 2017-12-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106330850B (zh) | 一种基于生物特征的安全校验方法及客户端、服务器 | |
| CN107070667B (zh) | 身份认证方法 | |
| CN112559993B (zh) | 身份认证方法、装置、系统及电子设备 | |
| US11811754B2 (en) | Authenticating devices via tokens and verification computing devices | |
| JP2018532301A (ja) | 本人認証方法及び装置 | |
| US11811952B2 (en) | Authentication system and working method thereof | |
| CN107437996B (zh) | 一种身份认证的方法、装置及终端 | |
| US9198036B2 (en) | Method for providing application service | |
| JP6284088B2 (ja) | 1回限りのランダムキーを用いた本人確認及び盗用防止システムならびに方法 | |
| EP4322464A1 (en) | Information transmission method, storage medium and electronic device | |
| EP4024311A1 (en) | Method and apparatus for authenticating biometric payment device, computer device and storage medium | |
| CN111130798B (zh) | 一种请求鉴权方法及相关设备 | |
| CN111327629B (zh) | 身份验证方法、客户端和服务端 | |
| CN112333133B (zh) | 数据安全传输方法、装置、设备及计算机可读存储介质 | |
| CN114245374B (zh) | 安全认证方法、系统和相关设备 | |
| CN105577619B (zh) | 一种客户端登录方法、客户端以及系统 | |
| CN111148094A (zh) | 5g用户终端的注册方法、用户终端设备及介质 | |
| CN111405016B (zh) | 用户信息获取方法及相关设备 | |
| CN109246062B (zh) | 一种基于浏览器插件的认证方法及系统 | |
| CN107818255B (zh) | 一种基于指纹识别加密增强系统安全的方法 | |
| CN111148213B (zh) | 5g用户终端的注册方法、用户终端设备及介质 | |
| CN111131140B (zh) | 基于消息推送增强Windows操作系统登录安全性的方法和系统 | |
| EP2985712A1 (en) | Application encryption processing method, apparatus, and terminal | |
| TWI675579B (zh) | 網路身份驗證系統與方法 | |
| KR20140103004A (ko) | 사용자 인증 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20200221 Termination date: 20210527 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |