CN107995200B - 一种基于智能卡的证书签发方法、身份认证方法以及系统 - Google Patents
一种基于智能卡的证书签发方法、身份认证方法以及系统 Download PDFInfo
- Publication number
- CN107995200B CN107995200B CN201711288314.6A CN201711288314A CN107995200B CN 107995200 B CN107995200 B CN 107995200B CN 201711288314 A CN201711288314 A CN 201711288314A CN 107995200 B CN107995200 B CN 107995200B
- Authority
- CN
- China
- Prior art keywords
- smart card
- digital signature
- identity authentication
- smart
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3249—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Abstract
本发明提供了一种基于智能卡的证书签发方法、身份认证方法以及系统,该系统包括:智能卡、客户端以及服务器;智能卡用于生成数字签名,并将数字签名使用智能卡电话薄功能通道发送给所述客户端;客户端用于根据接收的所述数字签名生成身份认证请求,并将所述身份认证请求发送至服务器;服务器用于根据数字签名执行身份认证。该方法使用智能卡电话薄功能通道获取智能卡发所发送的数字签名,并在身份认证请求中携带了该数字签名,使得服务器能够将该数字签名进行身份认证,产生数字签名的过程对于客户端来说是不透明的,而智能卡能够保证其私钥不会泄露,保证的客户信息的真实性和安全性,同时,不需要用户产生其他例如短信、通信等额外费用。
Description
技术领域
本发明涉及数据安全技术领域,具体而言,涉及一种基于智能卡的证书签发方法、身份认证方法以及系统。
背景技术
用户在使用终端登录应用软件的时候,通常需要先进行用户注册,然后使用注册的帐号进行登录。而使用帐号进行登录的时候,用户身份验证在信息安全中起到至关重要的作用,是多种信息安全措施可以发挥作用的前提。目前最常用的身份验证方法有多种,而随着计算机技术以及通讯技术的不断发展,通过验证电话号码的正确性来实现用户身份的验证成为目前的主要身份验证手段。
当前通过电话号码实现身份验证的方法一般包括短信验证以及语音验证两种。短信验证需要用户通过移动电话向预设的号码发送验证短信,或者需要执行身份验证的服务器向用户预设的手机号码发送携带有验证码的短信;而语音验证则需要用户通过固定电话或者移动电话拨打目标电话号码,或者服务器拨打用户预存电话号码,从而最终实现用户的身份验证。
但是这两种身份认证方法不止在认证过程中会产生额外的通讯费用,并且短信和电话的防劫持能力都比较差,造成验证的安全性较差。
发明内容
有鉴于此,本发明实施例的目的在于提供一种基于智能卡的证书签发方法、身份认证方法以及系统,不产生额外的通讯费用,同时能够提高身份认证的安全性。
第一方面,本发明实施例提供了一种基于智能卡的身份认证系统,包括:智能卡、客户端以及服务器;
所述智能卡用于生成数字签名,并将所述数字签名使用智能卡电话薄功能通道发送给所述客户端;
所述客户端,用于根据接收的所述数字签名生成身份认证请求,并将所述身份认证请求发送至服务器;所述身份认证请求中携带有所述数字签名;
所述服务器,用于根据所述数字签名执行身份认证。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中:还包括安全认证装置;
所述客户端,具体用于生成身份认证触发指令,并将所述身份认证触发指令发送至所述安全认证装置;接收所述安全认证装置所返回的数字签名;
所述安全认证装置,用于在接收到所述身份认证触发指令后,产生待签名信息,并将所述待签名信息通过智能卡电话薄功能通道发送至所述智能卡,接收智能卡返回的数字签名,并将所述数字签名返回给客户端;
所述智能卡,具体用于使用预存的私钥对待签名信息做签名处理,生成数字签名,将所述数字签名返回给所述安全认证装置。
结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,其中:还包括:安全认证平台;
所述服务器,具体用于将所述数字签名发送至所述安全认证平台,并接收所述安全认证平台所返回的验签运算结果;根据验签运算结果判断是否通过身份认证;
所述安全认证平台,用于使用预存的数字证书对所述数字签名进行验签运算,并向所述服务器返回验签运算结果。
结合第一方面,本发明实施例提供了第一方面的第三种可能的实施方式,其中:所述安全认证装置,还用于在外界触发下,生成证书签发触发指令,并通过智能卡电话薄功能通道将所述证书签发触发指令发送至所述智能卡;接收所述智能卡返回的公钥,并根据公钥生成证书签发请求,发送至安全认证平台;
所述智能卡,还用于在接收到所述证书签发触发指令后,生成相互对应的公钥以及私钥,将所述私钥本地保存,并将所述公钥通过所述智能卡电话薄功能通道返回给所述安全认证装置;
所述安全认证平台,具体用于根据所述公钥生成所述数字证书,并将所述数字证书本地保存。
结合第一方面,本发明实施例提供了第一方面的第四种可能的实施方式,其中:所述安全认证装置,还用于在外界触发下,生成证书签发触发指令,并通过智能卡电话薄功能通道将所述证书签发触发指令发送至所述智能卡,所述证书签发触发指令中携带有私钥;在接收到所述智能卡发送的写入反馈信息后,生成证书签发请求,将所述证书签发请求发送至安全验证平台;所述证书签发请求中携带有与所述私钥对应的公钥;
所述智能卡,还用于将所述私钥本地保存,并向所述安全认证装置返回写入反馈信息;
所述安全认证平台用于根据所述公钥生成数字证书;
其中,所述公钥以及所述私钥由外界输入至安全认证装置,或者由所述安全认证装置生成。
第二方面,本发明实施例还提供一种基于智能卡的身份认证方法,包括:使用智能卡电话薄功能通道获取智能卡所发送的数字签名;
根据所述数字签名生成身份认证请求,并将所述身份认证请求发送至服务器;所述身份认证请求中携带有所述数字签名;
接收所述服务器返回的身份认证结果。
第三方面,本发明实施例还提供一种基于智能卡的身份认证方法,包括:获取客户端所发送的身份认证触发指令;
根据所述身份认证触发指令产生待签名信息,并将所述待签名信息通过智能卡电话薄功能通道发送至智能卡,以使所述智能卡根据所述待签名信息生成并返回数字签名;
将所述数字签名返回给所述客户端。
第四方面,本发明实施例还提供一种基于智能卡的身份认证方法,包括:通过智能卡电话薄功能通道接收所述安全认证装置所发送的待签名信息;
使用预存的私钥对待签名信息做签名处理,生成数字签名;
通过智能卡电话薄功能通道将所述数字签名返回给所述安全认证装置。
第五方面,本发明实施例还提供一种基于智能卡的身份认证方法,包括:
获取客户端所发送的身份认证请求,所述身份认证请求中携带有数字签名;
将所述数字签名发送至安全认证平台,用于所述安全认证平台根据所述数字签名以及预存的数字证书进行验签运算,并返回验签运算结果;
接收验签运算结果,并根据所述验签运算结果判断是否通过身份认证。
第六方面,本发明实施例还提供一种证书签发方法,包括:
在外界触发下,生成证书签发触发指令,并通过智能卡电话薄功能通道将所述证书签发触发指令发送至所述智能卡,以使所述智能卡生成相互对应的公钥以及私钥,并通过智能卡电话薄功能通道返回所述公钥;
接收所述智能卡返回的公钥,并根据公钥生成证书签发请求发送至安全认证平台;所述证书签发请求中携带有所述公钥,用于所述安全认证平台根据所述公钥生成数字证书。
本发明实施例所提供的基于智能卡的证书签发方法、身份认证方法以及系统,使用智能卡电话薄功能通道获取智能卡发所发送的数字签名,并在其所发送给服务器的身份认证请求中携带了该数字签名,使得服务器能够将该数字签名进行身份认证,在这个过程中,产生数字签名的过程对于客户端来说是不透明的,而智能卡能够保证其私钥不会泄露,保证的客户信息的真实性和安全性,同时,不需要用户产生其他例如短信、通信等额外费用。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本发明实施例所提供的一种基于智能卡的身份认证系统的结构示意图;
图2示出了本发明实施例所提供的另一种基于智能卡的身份认证系统的结构示意图;
图3示出了本发明实施例所提供的另一种基于智能卡的身份认证系统的结构示意图;
图4示出了本发明实施例所提供的一种基于智能卡的身份认证方法的流程图;
图5示出了本发明实施例所提供的基于智能卡的身份认证方法中,使用智能卡电话薄功能通道获取智能卡所发送的数字签名具体方法的流程图;
图6示出了本发明实施例所提供的另一种基于智能卡的身份认证方法的流程图;
图7示出了本发明实施例所提供的另一种基于智能卡的身份认证方法的流程图;
图8示出了本发明实施例所提供的另一种基于智能卡的身份认证方法的流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前在对手机号码进行验证的时候一般是采用短信验证或者电话验证,而短信验证和电话验证首先会产生额外的通信费用,其次,如果手机或者电话被劫持,那么会造成验证信息的泄露,最终导致身份认证的安全性较差,基于此,本申请提供的一种基于智能卡的证书签发方法、身份认证方法以及系统,可以提高身份认证的安全性,同时不产生额外的通讯费用。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种基于智能卡的身份认证系统进行详细介绍,该方法能够应用于对用户真实身份的验证、电话号码真实性的验证等领域。
参见图1所示,本发明实施例所提供的基于智能卡的身份认证系统,包括:智能卡、客户端以及服务器;
所述智能卡用于生成数字签名,并将所述数字签名使用智能卡电话薄功能通道发送给所述客户端;
所述客户端,根据接收的所述数字签名生成身份认证请求,并将所述身份认证请求发送至服务器;所述身份认证请求中携带有所述数字签名;
所述服务器,用于根据所述数字签名执行身份认证。
本发明实施例所提供的基于智能卡的身份认证系统,智能卡生成数字签名后,并将数字签名使用智能卡电话薄功能通道发送给客户端,客户端在获取智能卡发所发送的数字签名后,根据该数字签名生成身份认证请求,在该身份认证请求中携带了该数字签名,使得服务器能够将该数字签名进行身份认证,在这个过程中,产生数字签名的过程对于客户端来说是不透明的,只有智能卡能够产生,而智能卡是通过电话薄功能通道与客户端之间实现了数据的传输,安全性较之现有技术更高,同时,不需要用户产生其他例如短信、通信等额外费用。
在上述系统实现的时候,智能卡是在外界指令的触发下,生成数字签名的。具体的,该触发可以是由客户端发起的,也可以是其它的主体发起的。
智能卡通过智能卡电话薄功能通道向客户端发送数字签名的过程,实际上可以也可以看作是客户端使用智能卡电话薄功能通道获取智能卡所发送的数字签名的过程,其包含了两种情况:
其一,用户通过智能终端进行本地登录,例如,用户在使用某智能终端A登录某应用程序的时候,所使用的手机号码是该智能终端A中所安装的智能卡对应的电话号码,此时,智能终端可以直接通过智能终端A所对应的智能卡电话薄功能通道获取智能卡所发送的数字签名;其二:用户通过智能终端进行异地登录,例如,用户在使用智能终端A登录某应用程序的时候,所使用的手机号码是另外一个智能终端B中所安装的智能卡所对应的电话号码,那么需要建立智能终端A和智能终端B两者之间的链接,通过该链接,安装在智能终端A中的应用软件会通过智能终端B所对应的智能卡电话薄功能通道获取智能终端B中的智能卡所发送的数字签名。
具体地,参见图2所示,本发明实施例所提供的基于智能卡的身份认证系统中,为了能够使得客户端获得智能卡所发送的数字签名,具体地:还包括了安全认证装置;
所述客户端,具体用于生成身份认证触发指令,并将所述身份认证触发指令发送至所述安全认证装置;接收所述安全认证装置所返回的数字签名;
所述安全认证装置,用于在接收到所述身份认证触发指令后,产生待签名信息,并将所述待签名信息通过智能卡电话薄功能通道发送至所述智能卡,接收智能卡返回的数字签名,并将所述数字签名返回给客户端;
所述智能卡,具体用于使用预存的私钥对待签名信息做签名处理,生成数字签名,将所述数字签名返回给所述安全认证装置。
在具体实现的时候,客户端是不能直接通过智能卡电话簿功能通道与智能卡进行数据交互的,需要由客户端调用安全认证装置中的身份认证接口,该安全认证装置是预先设置在智能终端的终端系统中,安全认证装置用于在接收到调用身份认证接口的认证触发指令时,随机生成待签名信息,该待签名信息可以是一串随机字符串,也可以是一个随机数,还可以是通过预定的规则所生成的数据。需要注意的是,安全认证装置的身份认证接口每一次被触发的时候,所生成的待签名信息都不一样(或者在预设时间内不相同)。
具体地,客户端会向用户提供人机交互界面,在人机交互界面上,用户可以通过按键触发、输入触发、体感触发、手势触发、滑动触发、摇动触发等多种方式中至少一种触发身份认证。客户端在接收到用户的触发之后,会生成相应的身份认证触发指令,并将身份认证触发指令发送给安全认证装置,以调用安全认证装置的身份认证接口。安全认证装置在接收到该身份认证触发指令之后,会自动生成待签名信息,并将该待签名信息通过智能卡电话薄功能通道发送给智能卡。智能卡在接收到该待签名信息之后,根据待签名信息生成数字签名,并将数字签名经由智能卡电话薄功能通道发送给安全认证装置,再由安全认装置返回给客户端。
另外,需要注意的是,本发明实施例中的客户端是用户所要登录的应用软件的登录端。客户端通过智能卡电话簿功能通道获取智能卡所发送的数字签名,该数字签名实际上是智能卡对待签名数据进行签名运算而得到的。待签名数据一般是由外部传入到智能卡中,首先其作为验证信息,用于实现身份验证,其次其具有防重放攻击的作用,提高数据安全性。智能终端可以是安装智能卡的手机、智能手环、智能手表、车载通信设备等具有无线网络通信功能的终端,该终端设置有智能卡电话薄功能通道,具有读写电话薄功能,安全认证SDK、通道SDK也均是智能终端中终端系统的一部分。智能终端所使用的智能卡有一定的数据处理功能,同时智能卡能够被写入数据以及读取数据。
智能卡所预存的私钥实际上是其在通过安全认证平台申请证书的时候由智能卡自动产生的,或者由外界写入到智能卡中,与之对应有公钥,该公钥也可以由智能卡自动产生,其具体的是保存在。具体可以参见下述,在此不再详述。
参见图3所示,本发明实施例所提供的基于智能卡的身份认证系统中,还包括:安全认证平台;
所述服务器,具体用于将所述数字签名发送至所述安全认证平台,并接收所述安全认证平台所返回的验签运算结果;根据验签运算结果判断是否通过身份认证;
所述安全认证平台,用于使用预存的数字证书对所述数字签名进行验签运算,并向所述服务器返回验签运算结果。
具体实现的时候,服务器在根据数字签名执行身份认证的时候,实际上需要将客户端所发送的数字签名发送给安全认证平台进行身份认证。安全认证平台保存有与用户所对应的数字证书。当服务器接收到客户端所发送的身份认证请求时,会将该身份认证请求转发至安全认证平台。安全认证平台在接收到该数字签名之后,会使用与该用户所对应的数字证书对数字签名进行验签运算,并将验签运算结果返回给服务器,服务器根据该验签运算结果判断是否通过身份认证。
具体地,安全认证装置在向客户端返回数字签名的时候,会将待签名信息一同发送给客户端。客户端所生成的身份认证请求中,还应当携带该待签名信息。验签运算具体有两种方式:其一,该待签名信息也应当随着数字签名一起被发送给安全认证平台;安全认证平台对数字签名进行验签运算,具体是使用其所保存的数字证书中携带的公钥对数字签名进行解密,获得数字签名的明文,再将数字签名的明文与待签名信息进行比对。该数字签名的明文实际上是应当与待签名信息一致的,因此如果比对的结果一致,则向服务器返回的验签运算结果应当是验签通过,如果比对的结果不一致,则向服务器返回的验签运算结果应当是验签不通过。如果验签通过,则服务器通过该用户的身份认证,如果验签不通过,则身份认证失败。其二,该待签名信息仅仅在服务器进行保存,安全认证平台对数字签名进行验签运算,体是使用其所保存的数字证书中携带的公钥对数字签名进行解密,获得数字签名的明文,并将该数字签名的明文作为验签运算结果,然后将该验签运算结果返回至服务器,服务器将该验签运算结果与其自身所保存的待签名信息进行比对,如果两者一致,则通过认证;如果两者不一致,则认证不通过。
本发明实施例还提供一种签发证书的具体方案,本发明实施例所提供的基于智能卡的身份认证系统中,所述安全认证装置,还用于在外界触发下,生成证书签发触发指令,并通过智能卡电话薄功能通道将所述证书签发触发指令发送至所述智能卡;接收所述智能卡返回的公钥,并根据公钥生成证书签发请求,发送至安全认证平台;
所述智能卡,还用于在接收到所述证书签发触发指令后,生成相互对应的公钥以及私钥,将所述私钥本地保存,并将所述公钥通过所述智能卡电话薄功能通道返回给所述安全认证装置;
所述安全认证平台,具体用于根据所述公钥生成所述数字证书,并将所述数字证书本地保存。
在具体实现的时候,安全认证装置通过智能卡电话薄功能通道获取智能卡所发送的公钥,这个过程实际上与客户端通过智能卡电话薄功能通道获取智能卡所发送的数字签名的过程是类似的,但是一般情况下,用户只能使用智能终端本地申请数字证书,即用户在使用某智能终端A申请数字证书的时候,所使用的手机号码必须是该智能终端A中所安装的智能卡对应的电话号码。
同样的,安全认证装置也是在外界的触发下生成证书签发触发指令的。安全认证装置将证书签发触发指令通过智能卡电话薄功能通道发送给智能卡后,触发智能卡产生密钥对(包括了公钥以及私钥)。智能卡将密钥对中的私钥进行本地保存,将公钥通过智能卡电话薄功能通道发回至安全认证装置。安全认证装置在接收到智能卡返回的公钥皇后,生成证书签发请求,并将该证书签发请求发送至安全认证平台。安全认证平台在接收到证书签发请求之后,或将证书签发请求转发至CA服务器;CA服务器根据证书签发请求签发数字证书,并将数字证书返回给安全认证平台,安全认证平台将接收到的数字证书本地保存,并向安全认证装置返回相应的反馈信息。该反馈信息可以携带有数字证书的识别标识,例如智能卡的号码,为数字证书分配的ID等。客户端在通过安全认证装置在获取智能卡发送的数字签名同时,也会获得该证书的识别标识,在其生成的身份认证请求中也携带了该识别标识,用于安全认证平台根据该识别标识查找与之对应的数字证书。
本发明实施例还提供另一种签发证书的具体方案,本发明实施例所提供的基于智能卡的身份认证系统中,所述安全认证装置,还用于在外界触发下,生成证书签发触发指令,并通过智能卡电话薄功能通道将所述证书签发触发指令发送至所述智能卡,所述证书签发触发指令中携带有私钥;在接收到所述智能卡发送的写入反馈信息后,生成证书签发请求,将所述证书签发请求发送至安全验证平台;所述证书签发请求中携带有所述公钥;
所述智能卡,还用于将所述私钥本地保存,并向所述安全认证装置返回写入反馈信息;
所述安全认证平台用于根据所述公钥生成数字证书;
其中,所述公钥以及所述私钥由外界输入至安全认证装置,或者由所述安全认证装置生成。
在具体实现的时候,安全认证装置被外界触发之后(例如直接被用户触发,或者通过安全认证终端被用户所触发),会生成证书签发触发指令。在该证书签发触发指令中,携带了私钥。该私钥可以是由安全认证装置在外界触发后产生的(即安全认证装置生成),同时,安全认证装置还会生成与私钥对应的公钥;私钥也可以是安全认证终端产生,该安全认证终端向用户提供触发的界面,实现与用户的交互,私钥是在其触发安全认证装置的时候,传入至安全认证装置,同时,与私钥对应的公钥也会传入至安全认证装置。
证书签发触发指令通过智能卡电话薄功能通道传入至智能卡,智能卡将私钥本地保存,并生成相应的写入反馈信息,再通过智能卡电话薄功能通道被返回给安全认证装置,安全认证装置生成证书签发请求,并发送给安全认证平台,在该证书签发请求中携带有公钥,然后根据该公钥生成数字证书。
其中,数字证书的生成过程参见上述实施例,在此不再赘述。
参见图4所示,本发明实施例还提供一种基于智能卡的身份认证方法,该方法的执行主体为客户端,该方法具体包括:
S401:使用智能卡电话薄功能通道获取智能卡所发送的数字签名;
S402:根据所述数字签名生成身份认证请求,并将所述身份认证请求发送至服务器;所述身份认证请求中携带有所述数字签名;
S403:接收所述服务器返回的身份认证结果。
本实施例中,S401-S403具体功能和交互方式,可参见图1-图3对应的实施例的记载,在此不再赘述。
参见图5所示,本发明实施例所提供的基于智能卡的身份认证方法中,所述使用智能卡电话薄功能通道获取智能卡所发送的数字签名,具体包括:
S501:生成身份认证触发指令,并将所述身份认证触发指令发送至所述安全认证装置,以使所述安全认证装置通过智能卡电话薄功能通道获取智能卡所发送的数字签名;
S502:接收所述安全认证装置所返回的数字签名。
参见图6所示,本发明实施例还提供一种基于智能卡的身份认证方法,该方法的执行主体为智能卡,具体包括:
S601:通过智能卡电话薄功能通道接收所述安全认证装置所发送的待签名信息;
S602:使用预存的私钥对待签名信息做签名处理,生成数字签名;
S603:通过智能卡电话薄功能通道将所述数字签名返回给所述安全认证装置。
本实施例中,S601-S603具体功能和交互方式,可参见图1-图3对应的实施例的记载,在此不再赘述。
参见图7所示,本发明实施例还提供一种基于智能卡的身份认证方法,该方法的执行主体为服务器,具体包括:
S701:获取客户端所发送的身份认证请求,所述身份认证请求中携带有数字签名;
S702:将所述数字签名发送至安全认证平台,用于所述安全认证平台根据所述数字签名以及预存的数字证书进行验签运算,并返回验签运算结果;
S703:接收验签运算结果,并根据所述验签运算结果判断是否通过身份认证。
本实施例中,S701-S703具体功能和交互方式,可参见图1-图3对应的实施例的记载,在此不再赘述。
本发明实施例还提供一种证书签发方法,该方法的执行主体为安全认证装置,包括:
在外界触发下,生成证书签发触发指令,并通过智能卡电话薄功能通道将所述证书签发触发指令发送至所述智能卡,以使所述智能卡生成相互对应的公钥以及私钥,并通过智能卡电话薄功能通道返回所述公钥;
接收所述智能卡返回的公钥,并根据公钥生成证书签发请求发送至安全认证平台;所述证书签发请求中携带有所述公钥,用于所述安全认证平台根据所述公钥生成数字证书。
本发明实施例还提供另一种证书签发方法,该方法的执行主体为安全认证装置,包括:
在外界触发下,生成证书签发触发指令,并通过智能卡电话薄功能通道将所述证书签发触发指令发送至所述智能卡,所述证书签发触发指令中携带有对应的公钥以及私钥,用于所述智能卡将所述私钥本地保存并返回写入反馈信息;
接收所述智能卡发送的写入反馈信息,生成证书签发请求,将所述证书签发请求发送至安全验证平台;所述证书签发请求中携带有与所述公钥,用于所述安全认证平台根据所述公钥生成数字证书;
其中,所述公钥以及所述私钥由外界输入至安所述全认证装置,或者由所述安全认证装置生成。
另外,参见图8所示,本发明实施例还提供一种身份认证方法,具体包括:
S801:客户端生成身份认证触发指令,并将所述身份认证触发指令发送至安全认证装置;
S802:安全认证装置在接收到所述身份认证触发指令后,产生待签名信息,并将所述待签名信息通过智能卡电话薄功能通道发送至所述智能卡;
S803:智能卡使用预存的私钥对待签名信息做签名处理,生成数字签名,将所述数字签名返回给所述安全认证装置;
S804:安全认证装置将所述数字签名返回至所述客户端;
S805:客户端根据接收的所述数字签名生成身份认证请求,并将所述身份认证请求发送至服务器;所述身份认证请求中携带有所述数字签名;
S806:服务器将所述数字签名发送至所述安全认证平台;
S807:安全认证平台使用预存的数字证书对所述数字签名进行验签运算,并向所述服务器返回验签运算结果;
S808:服务器接收所述安全认证平台所返回的验签运算结果,并根据验签运算结果判断是否通过身份认证,并向客户端返回认证结果。
本发明实施例所提供的基于智能卡的身份认证方法,使用智能卡电话薄功能通道获取智能卡发所发送的数字签名,并在其所发送给服务器的身份认证请求中携带了该数字签名,使得服务器能够将该数字签名进行身份认证,在这个过程中,产生数字签名的过程对于客户端来说是不透明的,而智能卡能够保证其私钥不会泄露,保证的客户信息的真实性和安全性,同时,不需要用户产生其他例如短信、通信等额外费用。
本发明实施例所提供的基于智能卡的证书签发方法、身份认证方法以及系统的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种基于智能卡的身份认证系统,其特征在于,包括:智能卡、客户端以及服务器;
所述智能卡用于生成数字签名,并将所述数字签名使用智能卡电话薄功能通道发送给所述客户端;
所述客户端,用于根据接收的所述数字签名生成身份认证请求,并将所述身份认证请求发送至服务器;所述身份认证请求中携带有所述数字签名;
所述服务器,用于根据所述数字签名执行身份认证;
其中,所述智能卡安装于第一智能终端,所述智能卡对应的手机号码登录在第二智能终端,所述智能卡具体用于生成数字签名,将所述数字签名通过所述第一智能终端的智能卡电话薄功能通道发送给第二智能终端,通过第二智能终端的智能卡电话薄功能通道发送给所述客户端。
2.根据权利要求1所述的身份认证系统,其特征在于,还包括安全认证装置;
所述客户端,具体用于生成身份认证触发指令,并将所述身份认证触发指令发送至所述安全认证装置;接收所述安全认证装置所返回的数字签名;
所述安全认证装置,用于在接收到所述身份认证触发指令后,产生待签名信息,并将所述待签名信息通过智能卡电话薄功能通道发送至所述智能卡,接收智能卡返回的数字签名,并将所述数字签名返回给客户端;
所述智能卡,具体用于使用预存的私钥对待签名信息做签名处理,生成数字签名,将所述数字签名返回给所述安全认证装置。
3.根据权利要求2所述的身份认证系统,其特征在于,还包括:安全认证平台;
所述服务器,具体用于将所述数字签名发送至所述安全认证平台,并接收所述安全认证平台所返回的验签运算结果;根据验签运算结果判断是否通过身份认证;
所述安全认证平台,用于使用预存的数字证书对所述数字签名进行验签运算,并向所述服务器返回验签运算结果。
4.根据权利要求3所述的系统,其特征在于,所述安全认证装置,还用于在外界触发下,生成证书签发触发指令,并通过智能卡电话薄功能通道将所述证书签发触发指令发送至所述智能卡;接收所述智能卡返回的公钥,并根据公钥生成证书签发请求,发送至安全认证平台;
所述智能卡,还用于在接收到所述证书签发触发指令后,生成相互对应的公钥以及私钥,将所述私钥本地保存,并将所述公钥通过所述智能卡电话薄功能通道返回给所述安全认证装置;
所述安全认证平台,具体用于根据所述公钥生成所述数字证书,并将所述数字证书本地保存。
5.根据权利要求3所述的系统,其特征在于,所述安全认证装置,还用于在外界触发下,生成证书签发触发指令,并通过智能卡电话薄功能通道将所述证书签发触发指令发送至所述智能卡,所述证书签发触发指令中携带有私钥;在接收到所述智能卡发送的写入反馈信息后,生成证书签发请求,将所述证书签发请求发送至安全验证平台;所述证书签发请求中携带有与所述私钥对应的公钥;
所述智能卡,还用于将所述私钥本地保存,并向所述安全认证装置返回写入反馈信息;
所述安全认证平台用于根据所述公钥生成数字证书;
其中,所述公钥以及所述私钥由外界输入至安全认证装置,或者由所述安全认证装置生成。
6.一种基于智能卡的身份认证方法,其特征在于,包括:
使用智能卡电话薄功能通道获取智能卡所发送的数字签名;
根据所述数字签名生成身份认证请求,并将所述身份认证请求发送至服务器;所述身份认证请求中携带有所述数字签名;
接收所述服务器返回的身份认证结果;
其中,所述智能卡安装于第一智能终端,所述智能卡对应的手机号码登录在第二智能终端,使用智能卡电话薄功能通道获取第二智能终端的智能卡所发送的数字签名,所述第二智能终端的智能卡所发送的数字签名是通过所述第二智能终端的智能卡电话薄功能通道从第一智能终端获取到的。
7.一种基于智能卡的身份认证方法,其特征在于,包括:
获取客户端所发送的身份认证触发指令;
根据所述身份认证触发指令产生待签名信息,并将所述待签名信息通过智能卡电话薄功能通道发送至智能卡,以使所述智能卡根据所述待签名信息生成并返回数字签名;
将所述数字签名返回给所述客户端;
其中,所述智能卡安装于第一智能终端,所述智能卡对应的手机号码登录在第二智能终端,所述智能卡用于生成数字签名,将所述数字签名通过所述第一智能终端的智能卡电话薄功能通道发送给第二智能终端,通过第二智能终端的智能卡电话薄功能通道返回数字签名。
8.一种基于智能卡的身份认证方法,其特征在于,包括:
通过智能卡电话薄功能通道接收安全认证装置所发送的待签名信息;
使用预存的私钥对待签名信息做签名处理,生成数字签名;
通过智能卡电话薄功能通道将所述数字签名返回给所述安全认证装置;
其中,所述智能卡安装于第一智能终端,所述智能卡对应的手机号码登录在第二智能终端,所述智能卡用于生成数字签名,将所述数字签名通过所述第一智能终端的智能卡电话薄功能通道发送给第二智能终端,通过第二智能终端的智能卡电话薄功能通道发送给客户端。
9.一种基于智能卡的身份认证方法,其特征在于,包括:
获取客户端所发送的身份认证请求,所述身份认证请求中携带有数字签名;
将所述数字签名发送至安全认证平台,用于所述安全认证平台根据所述数字签名以及预存的数字证书进行验签运算,并返回验签运算结果;
接收验签运算结果,并根据所述验签运算结果判断是否通过身份认证;
其中,所述智能卡安装于第一智能终端,所述智能卡对应的手机号码登录在第二智能终端,所述智能卡用于生成数字签名,将所述数字签名通过所述第一智能终端的智能卡电话薄功能通道发送给第二智能终端,通过第二智能终端的智能卡电话薄功能通道发送给客户端。
10.一种证书签发方法,其特征在于,包括:
在外界触发下,生成证书签发触发指令,并通过智能卡电话薄功能通道将所述证书签发触发指令发送至所述智能卡,以使所述智能卡生成相互对应的公钥以及私钥,并通过智能卡电话薄功能通道返回所述公钥;
接收所述智能卡返回的公钥,并根据公钥生成证书签发请求发送至安全认证平台;所述证书签发请求中携带有所述公钥,用于所述安全认证平台根据所述公钥生成数字证书;
其中,所述智能卡安装于第一智能终端,所述智能卡对应的手机号码登录在第二智能终端,所述智能卡用于生成数字签名,将所述数字签名通过所述第一智能终端的智能卡电话薄功能通道发送给第二智能终端,通过第二智能终端的智能卡电话薄功能通道发送给客户端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711288314.6A CN107995200B (zh) | 2017-12-07 | 2017-12-07 | 一种基于智能卡的证书签发方法、身份认证方法以及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711288314.6A CN107995200B (zh) | 2017-12-07 | 2017-12-07 | 一种基于智能卡的证书签发方法、身份认证方法以及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107995200A CN107995200A (zh) | 2018-05-04 |
| CN107995200B true CN107995200B (zh) | 2021-03-30 |
Family
ID=62036456
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711288314.6A Active CN107995200B (zh) | 2017-12-07 | 2017-12-07 | 一种基于智能卡的证书签发方法、身份认证方法以及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107995200B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111431901B (zh) * | 2020-03-23 | 2021-10-12 | 重庆长安汽车股份有限公司 | 外部设备安全访问车内ecu的系统及访问方法 |
| CN114007218B (zh) * | 2020-07-28 | 2024-01-26 | 中国电信股份有限公司 | 认证方法、系统、终端以及数字身份认证功能实体 |
| CN114268445A (zh) * | 2020-09-15 | 2022-04-01 | 中国电信股份有限公司 | 云手机应用的认证方法、装置、系统、认证模块和终端 |
| CN113079037B (zh) * | 2021-03-23 | 2022-12-02 | 中国联合网络通信集团有限公司 | 一种远程更新认证应用证书的方法及系统 |
| CN116156495B (zh) * | 2023-04-11 | 2023-07-07 | 支付宝(杭州)信息技术有限公司 | 一种基于无线信号的安全环境核身方法及系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2825543B1 (fr) * | 2001-06-01 | 2003-09-26 | Radiotelephone Sfr | Procede et dispositif de certification d'une transaction |
| CN101860525B (zh) * | 2009-09-25 | 2012-11-14 | 深圳市安捷信联科技有限公司 | 电子授权状实现方法、智能终端、授权系统及验证终端 |
| CN102571340A (zh) * | 2010-12-23 | 2012-07-11 | 普天信息技术研究院有限公司 | 证书认证装置及该装置的访问和证书更新方法 |
| CN105701427B (zh) * | 2016-02-18 | 2019-07-30 | 捷德(中国)信息科技有限公司 | 一种智能卡写入数据的方法及装置 |
-
2017
- 2017-12-07 CN CN201711288314.6A patent/CN107995200B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN107995200A (zh) | 2018-05-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107995200B (zh) | 一种基于智能卡的证书签发方法、身份认证方法以及系统 | |
| CN106487762B (zh) | 用户身份的识别方法、身份识别应用客户端及服务器 | |
| US20190190723A1 (en) | Authentication system and method, and user equipment, authentication server, and service server for performing same method | |
| TWI679553B (zh) | 一種基於使用者端介面聯網驗票的方法、系統及智慧設備 | |
| US20190165947A1 (en) | Signatures for near field communications | |
| JP2019145141A (ja) | ソフトウェアアプリケーションの信頼を最初に確立し、かつ定期的に確認するシステム及び方法 | |
| CN113572715B (zh) | 基于区块链的数据传输方法和系统 | |
| US10045210B2 (en) | Method, server and system for authentication of a person | |
| US9734091B2 (en) | Remote load and update card emulation support | |
| CN105515783A (zh) | 身份认证方法、服务器及认证终端 | |
| CN109325342A (zh) | 身份信息管理方法、装置、计算机设备和存储介质 | |
| CN108734018B (zh) | 认证方法、装置、系统和计算机可读存储介质 | |
| CN104767613A (zh) | 签名验证方法、装置及系统 | |
| CN104796257A (zh) | 灵活的数据认证 | |
| CN111092719B (zh) | 标签数据刷新方法及其系统、支付方法及其系统 | |
| CN113553572A (zh) | 资源信息获取方法、装置、计算机设备和存储介质 | |
| US9246677B2 (en) | Method and system for secure data communication between a user device and a server | |
| CN106685945B (zh) | 业务请求处理方法、业务办理号码的验证方法及其终端 | |
| Gandhi et al. | Advanced online banking authentication system using one time passwords embedded in QR code | |
| CN109818965B (zh) | 个人身份验证装置及方法 | |
| CN109150880B (zh) | 数据报送方法、装置及计算机可读存储介质 | |
| KR102016976B1 (ko) | 싱글 사인 온 서비스 기반의 상호 인증 방법 및 시스템 | |
| CN115482132A (zh) | 基于区块链的电子合同的数据处理方法、装置和服务器 | |
| CN109257177B (zh) | 密钥生成方法、系统、移动终端、服务器及存储介质 | |
| CN110399714B (zh) | 用于验证终端的可信用户界面真实性的方法及其系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 518000 Room 201, building A, No. 1, Qian Wan Road, Qianhai Shenzhen Hong Kong cooperation zone, Shenzhen, Guangdong (Shenzhen Qianhai business secretary Co., Ltd.) Patentee after: Shenzhen Youyou Internet Co.,Ltd. Address before: 518000 Room 201, building A, 1 front Bay Road, Shenzhen Qianhai cooperation zone, Shenzhen, Guangdong Patentee before: SHENZHEN YOUYOU INTERCONNECTION Co.,Ltd. |