CN109618326B - 用户动态标识符生成方法及服务注册方法、登录验证方法 - Google Patents
用户动态标识符生成方法及服务注册方法、登录验证方法 Download PDFInfo
- Publication number
- CN109618326B CN109618326B CN201811128809.7A CN201811128809A CN109618326B CN 109618326 B CN109618326 B CN 109618326B CN 201811128809 A CN201811128809 A CN 201811128809A CN 109618326 B CN109618326 B CN 109618326B
- Authority
- CN
- China
- Prior art keywords
- user
- identifier
- service
- key
- digital signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/183—Processing at user equipment or user record carrier
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/20—Transfer of user or subscriber data
- H04W8/205—Transfer to or from user equipment or user record carrier
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/062—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Biodiversity & Conservation Biology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明的实施例公开一种用户动态标识符生成方法及服务注册方法、登录验证方法,涉及数据处理技术领域。所述用户动态标识符生成方法包括:获取至少包括第一公私钥对的用户的第一密钥标识符;将第一公钥通过预设字符串转换策略生成为用户全局静态标识符;根据第一密钥标识符和服务标识符生成对应服务的数字签名;根据对应服务的数字签名和用户全局静态标识符生成第二密钥生成种子;根据第二密钥生成种子生成至少包括第二公私钥对且与服务相关的用户的第二密钥标识符;将第二公钥通过预设字符串转换策略转换为与所述服务对应的用户动态标识符。本发明能够自动生成针对不同服务的用户动态标识符,用于高隐私注册与安全登录验证服务。
Description
技术领域
本发明涉及数据处理技术领域,尤其涉及一种可用于网路高隐私注册及安全登录的用户动态标识符生成方法,以及基于所述用户动态标识符的服务注册方法及登录验证方法。
背景技术
在互联网时代,在线登录流程通常从提示用户输入用户名和密码开始。然后网站或应用(下文通称作服务)根据用户注册时获取的信息验证用户对该服务的访问请求。这种基于密码的验证方式虽然被广范采纳应用其安全性和用户体验都存在长期难以改变的不足。不仅当今的各种网络进攻对其安全性造成防不胜防的威胁与挑战,各种后来附加的安全措施导致这种原本就让用户头痛的登录方式变得更加不方便使用。在面临需要长期记忆现有不同密码的挑战下人们对每一个新密码的创建都变得愈加犹豫与抵触。这种用户体验上的欠缺正逐渐成为阻碍快速发展网路经济与网路用户互动的一项不可忽视的潜在因素。
针对以上登录验证方式的本质性不足,市场上曾经出现过一类基于公钥密码系统(public key cryptosystem)的验证方式,以试图消除对作为登录凭证 (sign-incredential)的密码的依赖,更希望及此可以避免所有与用户的密码处理相关的安全弱点。使用公钥基础设施(PKI)客户证书的验证系统是这些方案中的一个实施例。该方案利用植入在客户证书中的公钥来验证针对每一登录进程的数字签名(session specific digitalsignature)。鉴于用于生成数字签名的私钥本身并不需要通过网络传输,这种基于PKI证书的验证方式比基于密码的验证在整体系统安全上有很大程度的提高。即便如此,其实施与维持要求的投入以及其对公钥基础设施的依赖导致此类验证系统仅在非常有限的环境下得以应用。
随着例如智能手机的个人移动设备的出现,基于公钥密码体制的验证方法再次变得具有吸引力。一些最近的解决方案包括利用从公钥自身衍生的用户标识符(或ID)来注册与验证用户访问。然而,在同时支持多个服务或在登录标识符需要更改的处理方面这些现有系统无法为服务运作者提供满意的解决方案。虽然私钥(private key)无需传输的特征大大减缓了用户账户遭网路盗用的风险以及用户需要更改注册ID的案例,但使用单一固定用户ID会不可避免地在保护用户隐私方面带来让人忧虑的弊端。因为单一固定ID会使服务提供商们能够比以往任何时候都更加容易地跟踪用户的网路行踪。虽然用户可以针对每一个注册的服务生成一个不同的密钥对以阻挠基于ID的跨站跟踪,但伴随着用户注册账号数目的增多用户管理额外密钥的负担也将不可避免地增大,迫使用户在隐私与便利之间做出不情愿的选择。由用户自己针对不同服务生成不同注册标识符还会导致当用户需要关联这些不同的网路身份标识符时变得十分困难。
解决上述最后一个问题的较好方法是对不同的服务以编程方式自动生成不同的用户标识符。开放ID(OpenID)协议中定义的不透明双假名标识符(PPID) 是一种针对不同依赖方(RP)自动生成的标识符。尽管PPID解决了用户手动管理标识符的不必要性,但并没有提供能够证明多个相互关联ID的方案。
有鉴于以上各种验证方案的缺陷与不足,本申请提出一种新的注册与登录验证的方法和系统,以克服一个或多个上述问题或限制。
发明内容
有鉴于此,本发明实施例提供一种用户动态标识符生成方法及服务注册方法、登录验证方法,用于解决现有技术中基于PKI证书的用户登录验证方法的局限性问题,单一固定用户标识符带来的用户隐私问题,用户自行标识符管理的方便性与安全性问题,以及PPID不能用来证明不同用户标识符间关联性的问题。
本发明实施例提供一种用户动态标识符生成方法,包括:
获取用户的第一密钥标识符;所述第一密钥标识符至少包括第一公钥和第一私钥;
将所述第一公钥通过预设字符串转换策略生成为用户全局静态标识符;
根据所述第一密钥标识符和服务标识符生成对应所述服务的数字签名;
根据对应所述服务的数字签名和用户全局静态标识符生成第二密钥生成种子;
根据所述第二密钥生成种子生成用户的第二密钥标识符;所述第二密钥标识符至少包括第二公钥和第二私钥,所述第二密钥标识符与所述服务相关联;
将所述第二公钥通过预设字符串转换策略进行转换,得到与所述服务对应的用户动态标识符。
本发明还提供一种基于用户动态标识符的服务注册方法,包括:
接收用户发来的注册请求并直接或间接地发送给相应服务;
接收所述服务返回的包括服务标识符的注册请求回应;
采用上述用户动态标识符生成方法生成与所述服务对应的用户动态标识符;
将所述与所述服务对应的用户动态标识符直接或间接地发送给所述服务,以使所述服务创建所述与所述服务对应的用户动态标识符对应的注册账户。
本发明还提供一种基于用户动态标识符的登录验证方法,包括:
接收与当前用户相关的客户端发来的登录服务请求;
生成与被请求服务相关的唯一服务进程标识符;
接收所述被请求服务发来的登录验证请求;所述登录验证请求包括所述唯一服务进程标识符和被请求服务标识符;
向所述客户端发送所述登录验证请求;
接收所述客户端发来的登录验证应答;所述登录验证应答至少包括带有数字签名的唯一服务进程标识符、被请求服务标识符、与被请求服务对应的当前用户动态标识符;其中,所述与被请求服务对应的当前用户动态标识符为所述客户端采用上述用户动态标识符生成方法生成;
根据所述登录验证应答及用户注册账户信息,判断是否授权所述当前用户登录所述被请求服务。
本发明能够用于生成与服务相关的用户动态标识符,一经请求用户动态标识符的所有权是可验证的。与目前现有的方案相比,本提供的技术方案具有以下优点中的一种或多种:
1.提供网站与应用(下文中共同地称作服务,服务提供商,服务运营商,或它们对应的复数形式)一种可以可验证但不含任何描述信息的用户动态标识符,用于识别和验证注册用户;
2.没有账户所有者的参与配合,第三方或多个串通方无法判定或证明不同动态标识符是否关联同一用户;
3.用户能够在不泄露全局静态标识符的前提下证明一个或多个标识符与其相关联,包括其对一个或多个指定动态标识符的实际控制权;
4.用户向第三方提供全局静态标识符不会导致该用户拥有的动态标识符遭到泄露;
5.拥有用户的全局静态标识符,服务运营商可以充分核实对应该服务的用户动态标识符对该用户全局静态标识符的从属关系,但不能获得该用户专属的为其他服务生成用户动态标识符或密钥的能力;
6.本发明可以通过参数设置保障用户动态标识符或密钥生成有足够广的数字空间以避免其生成转换过程中的潜在的映射冲突。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例提供的一种可用于网路高隐私注册及安全登录的用户动态标识符生成方法的流程图;
图2为获取用户的第一密钥标识符的方法流程图;
图3为用户动态标识符的更新方法流程图;
图4为本发明实施例提供的一种基于用户动态标识符的服务注册方法流程图;
图5为本发明实施例提供的一种基于用户动态标识符的登录验证方法流程图;
图6为步骤S56的方法流程图;
图7为证明多个用户动态标识符属于同一用户的方法流程图;
图8为证明某一给定第一密码标识符与某一指定第二密码标识符的关系的方法流程图;
图9为与本发明的不同实施例一致的在线平台100的示意图;
图10是根据本发明的一些实施例用于执行本发明公开的方法的计算设备的框图。
具体实施方式
下面结合附图,通过用户动态标识符生成方法、更新方法、维护管理方法以及基于所述用户动态标识符的服务注册方法、登录验证方法等多个方面的实施例来对本发明实施例提供的用户动态标识符生成方法及基于该方法的服务注册及登录验证方案进行说明。这几个方面实施例的方法是一个整体,共同构成了上述技术。这几个实施例中对于同一技术点的解释说明可在不同的实施方案中通用。
实施例一:可用于网路高隐私注册及安全登录的用户动态标识符生成方法
图1为本发明实施例提供的一种可用于网路高隐私注册及安全登录的用户动态标识符生成方法的流程图,如图1所示,本实施例的方法可以包括:
步骤S11、获取用户的第一密钥标识符。
其中,所述第一密钥标识符至少包括第一公钥和第一私钥。
在一可选实施方式中,在获取用户的第一密钥标识符之前,还可包括:使用能够产生安全的确定性数字签名的公钥密码算法计算生成用户的第一密钥标识符(以下为方便表述,第一密钥标识符也可用第一公私密钥对(Q,d)表示),随后使用对称密钥加密系统加密所述用户的第一密钥标识符,得到加密的用户的第一密钥标识符,并存储所述加密后的用户的第一密钥标识符。此实施例中,例如ECC(椭圆密码体制)的ECDSA等不能安全地生成具有确定性的数字签名的公钥密码算法则不在此列,而基于RSA算法的整数分解是满足这种需要的很好的备选对象。在用户移动设备的非易失性存储器中永久地存储生成的第一公私密钥对,存储的第一公私密钥对应采用高强度对称密钥加密来保护。
优选地,如图2所示,获取用户的第一密钥标识符的方法包括以下步骤 S21-S26:
步骤S21、判断本地是否存储有所述用户的第一密钥标识符;若是,则执行S22,否则执行S24;
S22、验证所述用户信息访问权限;若所述用户信息访问权限验证通过,则执行S23,若用户信息访问权限验证未通过,则限制对存储的用户的第一密钥标识符的访问;
优选地,可以根据所述用户的生物特征和/或设备密码验证用户信息使用权,例如使用生物扫描器生成与用户相关的生物验证数据,并基于生物验证数据,确定是否使用存储设备限制对加密的第一密码标识符的访问。
S23、提取预先存储的加密后的用户的第一密钥标识符;
S24、使用能产生确定性数字签名的公钥密码算法生成所述用户的第一密钥标识符;
S25、使用对称密钥加密系统加密用户的第一密钥标识符,得到加密后的用户的第一密钥标识符;
S26、存储所述加密后的用户的第一密钥标识符。
图2所示方法,客户端(例如用户所处的移动设备)在首次生成用户的第一密钥标识符后,使用对称密钥加密系统加密所述用户的第一密钥标识符并存储,随后在需要获取该用户的第一密钥标识符时,通过验证用户信息访问权限以提取存储的加密后的用户的第一密钥标识符,第一密钥标识符存储安全且二次使用方便。
步骤S12、将所述第一公钥通过预设字符串转换策略生成为用户全局静态标识符
优选地,所述预设字符串转换策略为:将输入信息转换为八位字符串或 Base64编码字符串。对于步骤S12而言,将用户的公钥Q转变为八位字符串或Base64编码字符串作为用户全局静态标识符
(本文中统一简称为用户全局静态标识符),用户全局静态标识符
还可以存储在客户端(如用户移动设备上),因此,当需要动态地生成与特定服务对应的用户动态标识符时,其能够被容易地访问。
步骤S13、根据所述第一密钥标识符和服务标识符生成对应所述服务的数字签名
优选地,本步骤中,用户移动设备可以通过使用步骤S11中获取的第一私钥d对服务标识符进行数字签名,得到对应所述服务的确定性数字签名
显然,基于每个服务的标识符的唯一性,不同的服务采用同一用户的第一私钥d 生成的对应不同服务的确定性数字签名也会不同。例如,用户C对于服务A 和服务B,采用此步骤可以生成用户C对应服务A的数字签名
以及用户C 对应服务B的数字签名
步骤S14、根据对应所述服务的数字签名和用户全局静态标识符
生成第二密钥生成种子e。
优选地,可以通过使用HMAC函数生成第二密钥生成种子e,其中,将上一步骤S13生成的用户对应服务的数字签名
作为HMAC函数的密钥,并将步骤S12生成的用户全局静态标识符
作为HMAC函数的输入信息。HMAC的哈希函数与ECC密钥具有相同的位长。
步骤S15、根据所述第二密钥生成种子e生成用户的第二密钥标识符;
其中,所述第二密钥标识符至少包括第二公钥和第二私钥,所述第二密钥标识符与所述服务相关联;
具体地,此步骤的实施方法为:
(1)针对指定预选椭圆曲线对椭圆曲线密码体制ECC的应用参数进行初始化。假定
为椭圆曲线
上G=(xG,yG)生成的循环群的阶。通过ECC初始化参数的选择保证
足够大以允许标识符产生过程中的映射冲突降至能够接受的范围内;
(2)
(3)计算点
(4)若
即
与曲线群的加法恒等元在无穷远处相交,则
其中h和k是小常数;否则跳过步骤(5)并执行步骤(6);本步骤中,只要计算能够一致地产生会导致曲线E上的
均匀分布的种子e,本步骤的实际操作可以是多样的;
(5)重复步骤(3)和(4);
(6)将
与e分别作为用户的第二公钥和第二私钥。
步骤S16、将所述第二公钥通过预设字符串转换策略进行转换,得到与所述服务对应的用户动态标识符。
具体地,将第二公钥
(避免使用公钥压缩来保证一致性输出)转变为八位字符串或Base64编码字符串作为与所述服务对应的用户动态标识符r。此后, e与
被分别用作用于批准和验证与r相关的用户登录的私钥和公钥。
进一步地,上述方法还包括:传输第二公钥给服务验证端。以便服务验证端根据所述第二公钥对客户端上传的加密信息进行验证。
本发明实施例提供的可用于网路高隐私注册及安全登录的用户动态标识符生成方法,对于每个特定服务,根据用户的第一密钥标识符、全局静态用户标识符以及特定服务标识符,能够自动生成安全性较高的用于用户注册以及识别和验证注册用户且与所述特定服务对应的用户动态标识符。每个用户对应每个服务有一个用户动态标识符,用户无需为不同服务设置不同的用户名和登录密码,能够解决同一用户跨越多个服务的相关身份需求。该方法确保在没有账户所有者的参与配合下第三方或串通多方无法确定或证明不同动态标识符是否属于同一个用户,因而极大地增强了用户网路隐私保护,解决了现有方案无法同时兼顾应用体验,系统安全及用户隐私保护的弊端。
实施例二:用户动态标识符的转移更新方法
在有些情况下,例如法院指令强制要求用户和/或服务运营商公开与服务对应的用户动态标识符r后,本发明允许用户对给定服务W注册的账户转移给不同的用户动态标识符。这是通过在运行实施例一的步骤S13之前在指定服务标识符后附加用户账户转移码来实现的。所述附加账号转移码能够由服务从用户注册和登录界面获得。实际上,用户动态标识符的转移过程,唯一改变的只是服务标识符。具体地,通过在服务标识符后附加额外信息(例如002),采用实施例一中的方法实施时其他的信息与步骤都不必改变,相比于采用服务标识符生成的用户动态标识符而言,会得到一个还是针对同一服务但是完全不同的用户动态标识符。本实施例中把这个附加信息叫做附加账号转移码,因为它允许在其他信息都保持不变的前提下为用户生成一个完全不同的账户标识符。我们不需要在已生成的用户动态标识符上再附加额外信息了。
图3所示为用户动态标识符的更新方法流程图,该方法实施于上述步骤 S16(得到与所述服务对应的标识符之后),如图3中所示,该更新方法包括:
步骤S31、根据用户提供的附加信息和所述服务标识符,生成新的服务标识符;
本步骤中,根据用户提供的附加信息,例如用户提供的针对指定服务标识符的附加号码,将用户提供的附加信息和指定服务的服务标识符联系起来生成指定服务的新的服务标识符。显然,此步骤还可使用其他用户信息,例如用户 email地址或用户的其他特定信息结合所述服务标识符来生成新的服务标识符。
步骤S32、根据所述第一密钥标识符和新的服务标识符生成对应所述服务的新数字签名;
本实施例中,步骤S32的实施方法和上述步骤S13类似,此处不再赘述。
步骤S33、根据对应所述服务的新数字签名和所述用户全局静态标识符生成新的第二密钥生成种子;
本实施例中,步骤S33的实施方法和上述步骤S14类似,此处不再赘述。
步骤S34、根据所述新的第二密钥生成种子生成用户的新的第二密钥标识符;
其中,所述新的第二密钥标识符至少包括新的第二公钥和新的第二私钥。
本实施例中,步骤S34的实施方法和上述步骤S15类似,此处不再赘述。
步骤S35、将所述新的第二公钥通过预设字符串转换策略进行转换,并将与所述服务对应的用户动态标识符更新为本次转换结果。
本实施例中,类似上述步骤S16,将所述新的第二公钥通过预设字符串转换策略进行转换,得到与所述服务对应的新的用户动态标识符r’,将与所述服务对应的原用户动态标识符r替换为本次计算得到的新的用户动态标识符r’,从而实现与特定服务对应的同一用户动态标识符的更新。
本实施例,通过使用用户的指定附加信息,能够将在服务W的用户账户从原与服务对应的用户动态标识符r转移到与同一服务对应的新的用户动态标识符r’,而不用改变用户全局静态标识符。
本发明实施例一和实施例二,可以实施于客户端。
实施例三:维持和管理密码标识符和密钥的方法
在实施例一中详述的方法可以通过在便携式移动设备上运行的特定应用程序V来实现,便携式移动设备可以是例如智能手机、平板电脑或配置有充分的处理器和传感器的其他移动设备。V可包含安全数据仓(secure vault)和特定的访问控制机制例如指纹识别器、视网膜扫描仪或其他可用于签订设备用有人的生物识别硬件传感器。所述安全仓通常可利用AES256或具有类似强度的对称密钥加密的数据库和/或通过利用由平台(例如,iOS上的钥匙链)提供的保护机制来实施。要访问安全仓,用户需要通过包括生物特征扫描器或基于密码核实的访问控制。Q,d与
一并其它诸如用户姓名、年龄、地址、电话,社会安全号等敏感信息可通过安全仓V来保护存储。
在线服务W通过中间服务器直接地或间接地与V协作从而验证用户登录请求。
在某些情况下,为了使总体系统安全性最大化,可以使用与用户发起登录的主信道(通常是用户登录终端的计算机网络)不同的通信信道(例如,由蜂窝网络提供的移动推送通知或数据链接)来实现服务W和V之间的信息传递以保证用户的账户验证信息不被电脑终端截获,即使用户的电脑系统已被入侵感染。
实施例四:基于用户动态标识符的服务注册方法
通常地,现有技术中,除了提供例如姓名、地址、电话号码、年龄等的其他用户识别信息之外,在线用用户注册包括要求用户创建登录名和密码。其中,使用登录名和密码授权访问用户账户,其他用户信息通常为服务交易需要时使用。在登录凭证无效或不可用时,用户识别信息还经常被用于恢复用户账户访问。譬如,当用户忘记了登录密码同时还失去了恢复邮件账户的访问时,一种常用的做法是利用服务已经获取的相关识别信息核实用户以后更新登录信息。由于密码变得越来越容易受到各种黑客手段的攻击与威胁,越来越多的服务开始要求它们的用户提供更多个人信息(譬如移动电话号码、秘密问题等等)以试图填补密码验证安全方面的长期不足。
本发明中,在服务W上建立新账户所需的基本信息是与服务W对应的用户动态标识符。图4为本发明实施例提供的一种基于用户动态标识符的服务注册方法流程图,如图4中所示,所述服务注册方法包括以下步骤:
步骤S41、接收用户注册请求并直接或间接地发送给相应服务;
本步骤中,用户通过客户端(如移动设备)针对目标服务发起用户注册请求,客户端可直接将用户注册请求直接发给相应服务,或者用于实现服务注册的第三方验证服务器将所述客户端发起的用户注册请求发给相应服务。
步骤S42、接收所述服务返回的包括服务标识符的注册请求回应;
本步骤中,客户端直接接收目标服务返回的包括服务标识符的注册请求回应,或者客户端通过第三方验证服务器接收所述注册请求回应。
步骤S43、生成与所述服务对应的用户动态标识符;
本步骤中,客户端采用上述实施例一中的方法生成与目标服务对应的用户动态标识符。
步骤S44、将所述与所述服务对应的用户动态标识符直接或间接地发送给所述服务进行注册。
本步骤中,客户端或第三方验证服务器将与所述服务对应的用户动态标识符直接或间接地发送给所述服务,随后服务创建与所述服务端对应的用户动态标识符对应的注册账户。
进一步地,在一些实施例中,在生成与所述服务对应的用户动态标识符时收集至少一条用户的附加信息(例如,用户的附加号码或email地址),并在步骤S44中与用户动态标识符一起发送给目标服务。这些用户的附加信息可允许与用户的进一步通信并当需要时重新设定账户访问。对于本实施例,由于可以通过使用公钥数字签名来实现登录验证,因此不再需要用户创建登录名和密码,因此彻底避免了由用户密码处理造成的多种全性弊端。此外,由于服务W能够从注册的用户动态标识符r中解码出与所述服务W相关的第二公钥
因此,通过例如ECDH的密钥交换协议,用于生成用户动态标识符的应用程序V还能够与服务W交换共享的对称加密密钥。通过共享的加密密钥V和W可以建立安全的通信信道C。这意味着系统可以根据需要及时将V中保存的敏感信息通过C上传到W,而不需要在每个W上重复贮存类似的用户信息。通过限制存储在每个网路服务器上的有关用户的敏感信息,本发明方案可以有效地减少各种网路入侵可以得到的实际回报,进而削减网络攻击者的进攻动机。由于对应每一个W的用户标识符是唯一的,不同的服务不再共享相同的用户登录信息,本发明会使得跨站点的阴影式账号攻击变得不再可行。
由于在本发明允许使用极少的信息就可以满足安全的登录验证需要,因此用户在注册在线服务时不再需要提供冗长的信息或应答。更值得再次重复的是,这种新的登录模式不需要用户密码,因此其在增强了用户账号安全与隐私保护的同时极大地简化了用户注册新服务的过程,彻底改变了用户的快节奏在线互动经验。
实施例五:基于用户动态标识符的登录验证方法
基于本发明实施例提供的用户动态标识符,本发明实施例还提供一种基于用户动态标识符的登录验证方法,如图5所示,该方法包括如下步骤:
步骤S51、接收与当前用户相关的客户端发来的登录服务请求;
本步骤中,用户访问服务W并尝试通过登录页面获得访问预先注册的账户发起登录服务请求,验证端(例如验证服务器)接收与当前用户相关的客户端发来的登录服务请求。
步骤S52、生成与被请求服务相关的唯一服务进程标识符;
本步骤中,验证端生成与被请求服务相关的唯一服务进程标识符,并将唯一服务进程标识符发送给被请求服务。
步骤S53、接收所述被请求服务发来的登录验证请求;
其中,所述登录验证请求包括所述唯一服务进程标识符和被请求服务标识符。
步骤S54、向所述客户端发送所述登录验证请求;
本实施例中,验证端接收所述被请求服务发来的登录验证请求,并将该登录验证请求发送给客户端。
步骤S55、接收所述客户端发来的登录验证应答;
本实施例中,客户端采用上述实施例一和二中的应用程序V生成与被请求服务对应的当前用户动态标识符。进一步地,基于上述与被请求服务对应的当前用户动态标识符对应的当前用户的第二私钥对所述唯一服务进程标识符使用例如ECDSA的公钥数字签名算法进数字签名,得到带有数字签名的唯一服务进程标识符。所述登录验证应答至少包括带有数字签名的唯一服务进程标识符、被请求服务标识符、与被请求服务对应的当前用户动态标识符。进一步地,所述登录验证应答还可包括当前时间戳。进一步地,所述登录验证应答还可包括安全随机数值(security nonce)。所述随机数值(nonce)是一个在加密通信只能使用一次的数字,在认证协议中,它往往是一个随机或伪随机数,其目的是用来抵抗重放攻击。
步骤S56、根据所述登录验证应答及用户注册账户信息,判断是否授权所述当前用户登录所述被请求服务。
优选地,如图6所示,步骤S56可以具体包括如下步骤:
步骤S61、判断是否能在所述被请求服务的所有用户注册账户信息中匹配到所述与被请求服务对应的当前用户动态标识符对应的注册账户;若是,则执行S62,否则,执行S66。
本步骤中,先试着定位与被请求服务对应的当前用户动态标识符r下的用户注册账户,判断是否能够匹配到r下的用户注册账户,若是,则继续执行下一步判断该注册账户是否有效。
步骤S62、判断该注册账户是否有效;若是,则执行S63,否则,执行S66。
本步骤中,判断注册账户是否有效即:判断注册账户是否处于可登录状态,若注册账户处于可登录状态,则断定其有效,若注册账户处于不可登录状态,则断定该注册账户无效。
步骤S63、从所述与被请求服务对应的当前用户动态标识符中解码出第二公钥。
步骤S64、采用当前解码出的第二公钥验证所述带有数字签名的唯一服务进程标识符一并相关时间戳及所述数字签名是否有效,若是,则执行S65,否则执行S66。
本实施例中,若匹配到的与被请求服务对应的当前用户动态标识符r下的注册账户有效,则从r中解密出第二公钥
并使用
来验证步骤S55接收的登录验证应答中的唯一服务进程标识符一并相关时间戳及所述数字签名有效性,若是,则执行S65,否则执行S66。
步骤S65、授权所述当前用户登录被请求服务直到所述唯一服务进程标识符所指服务进程结束。
步骤S66、拒绝所述当前用户登录所述被请求服务。
本实施例中,图6所示方法可以通过促进用户验证的第三方验证服务器来实现,或者直接通过被请求服务一侧实现。该方法能够通过用户动态标识符实现有关服务的登录验证。
其中,前述客户端与验证端之间可通过数据安全通道来传输数据;
所述验证端与客户端之间建立数据安全通道,可实施为:客户端向中转服务器进行注册时,中转服务器和客户端进行认证和密钥协商,各自生成为验证端和客户端建立安全通道的认证信息;生成认证信息后,中转服务器和客户端分别保存生成的认证信息;生成认证信息可以采用现有的技术实现,本文不再赘述。中转服务器定位该客户端的管理服务器;中转服务器定位管理服务器的方法可以是根据中转服务器中该客户端提供的管理服务器的地址信息来获得。中转服务器将前述生成的认证信息,以及客户端的标识通过安全通道发送给管理服务器;当验证端需要与客户端进行数据传输时,验证端向管理服务器发起查询,获取该客户端的状态;如果客户端在线,则管理服务器除了向验证端返回客户端的状态之外,还返回客户端的标识、客户端与验证端建立安全通道所需的认证信息;
如果上述客户端离线,验证端向管理服务器发送触发该客户端的第一触发消息,该第一触发消息包括客户端的标识,以及验证端的标识;
管理服务器通过安全通道向中转服务器发送第一触发消息;
中转服务器向该客户端所在的移动设备发送第一触发消息;
移动设备接收到第一触发消息时,启动客户端,并向客户端发送第二触发消息,该第二触发消息包括该验证端的标识;
客户端收到第二触发消息后,根据第二触发消息中验证端的标识,发起建立到验证端的网络通道;
客户端和验证端基于认证信息进行客户端和验证端的相互认证,认证通过后,形成客户端和验证端之间的端到端的数据安全通道。
上述建立数据安全通道的方法能够提高安全通道的安全性。
实施例六:在不用公开
或
的条件下证明属于同一用户的多个标识符
由于服务W的标识符必须始终唯一,即使当
保持不变时,r也因不同的 W而不同。换句话说,即使
保持不变,rw1≠rw2。针对每一个服务使用不同的r对最大限度保护用户隐私是有利的。然而,有些时候用户想要或需要公开由不同密码标识符表示的多个账户的所有权。例如,用户想要显示rw1和rw2 都在其控制下的事实。图7为证明多个用户动态标识符属于同一用户的方法流程图,如图7中所示,该方法包括:
步骤S71、接收与多个服务相关的唯一证明请求;
其中,所述唯一证明请求包含与多个服务对应的用户动态标识符以及确定所述唯一证明请求的唯一性的指定信息。优选地,确定所述唯一证明请求的唯一性的指定信息为时间戳。
步骤S72、基于与所述唯一证明请求中的多个用户动态标识符分别对应的第二私钥对所述唯一证明请求进行确认数字签名,得到包括多个确认签名的唯一证明应答并发送给唯一证明请求端。
本实施例中,唯一证明请求端从所述唯一证明请求包含的多个用户动态标识符中解码出多个第二公钥并采用当前解码出的每个第二公钥验证所述唯一证明应答中的相应确认数字签名是否有效。
例如,请求者通过网络发送唯一证明请求为“ieu5xop sk4werka ropq04 belongto the same person as of 08/23/2018UTC22L42:23.72920”.针对此唯一证明请求中的用户动态标识符ieu5xop、sk4werka、ropq04,标识符拥有者分别用针对三个不同用户动态标识符的第二私钥对同一请求进行数字签名,得到包含 3个确认签名的唯一证明应答。而请求内的时间戳保证了请求的唯一性。
对于本发明,用户通过分别使用与rw1和rw2对应的私钥来签署唯一证明请求(包括时间戳)能够实现这个目标。用户根据实施例一的方法可以从V中获取对应的第二私钥对唯一证明请求进行确认数字签名。然后第三方分别使用
(从rw1解码)和
(从rw2解码)能够确认这两个签名的有效性。如果两个签名都核实有效并且证明请求是唯一的,用户对两个账户的控制事实则得以证明。
实施例七:证明指定的第一密码标识符和第二密码标识符的关系
在以上实施例六所述步骤中,通过简单使用相关动态标识符相关的私钥数字签名含有时间戳的唯一证明请求,用户能够证明对多个标识符的有效控制权。可是这种证明并不足以说明这些相关动态标识符都衍生自某个给定的全局静态标识符
也不足以证明任何一个给定的动态标识符r与
之间存在任何关联。要完成这两项证明还需要以下步骤。
图8为证明某一给定第一密码标识符与某一指定第二密码标识符的关系的方法流程图,如图8中所示,该方法包括:
步骤S81、接收所有权证明请求并转发给相应用户客户端;所述所有权证明请求请求证明同一用户对第一公钥和第二公钥的所有权。
其中,所有权证明请求中含有需要证明所有权的第一公钥和第二公钥信息。
步骤S82、接收包括第一数字签名和第二数字签名的所有权证明应答;
其中,所述第一数字签名由客户端基于需要证明所有权的第一公钥对应的第一私钥对所述所有权证明请求进行确认签名得到,所述第二数字签名为所述客户端提供的与需要证明所有权的第二公钥对应的服务的数字签名。
步骤S83、向所述所有权证明请求者发送所述所有权证明应答。
本实施例中,所述所有权证明请求者基于需要证明所有权的第一公钥、第二公钥和所述第一数字签名、第二数字签名确定相关用户对第一公钥和第二公钥的所有权。
本实施例中,证明者要先提供他的第一密码标识符并通过数字签名证明请求来证明他对第一密码标识符的所有权。证明者然后还要提供用于计算第二密钥生成种子e时用过的针对此服务标识符的数字签名
这个签名
的合法性可以用第一密码标识符的第一公钥来核实。有了
证明请求者可以自行计算第二密码标识符得到新的第二公钥,然后将所述新的第二公钥和需要证明所有权的第二公钥相比较就可以了。这里的所有权指的是第二密码标识符对第一密码标识符的所属性。
有时(例如,法院指令),用户和/或服务运营商会被法律强制要求公开服务的用户标识符r,以及与其相关的全球互联网标识符
在这种情况下,用户能够公开
和对应该服务的
以允许直接验证
r和它们的从属关系。值得指出的是通过提供
和
用户亦提供了可用于派生针对该特定服务私钥
的秘密。在一般情况下,此类证明仅涉及用户与某一指定服务运营商。考虑到服务运营商(通常)是用户账户信息与相关数据的监理人,这种用户对服务运营商提供的针对该服务的证明信息并不会对该用户的账户安全或个人隐私造成真正令人担忧的威胁。这里虽然用户向某一指定服务W提供相关的
但用户并未提供可用来为其他服务生成
的第一私钥d。因为分发明方案允许在任何情况下用户都不必提供第一私钥d,本发明可以对在线用户隐私做到最大限度的保护。
实施例八:证明替换用户的全球标识符
对于本发明的理想应用,在理想情况下,用户能够永久地保持对第一密钥对(Q,d)的妥善管理。在实际应用中,不可避免地会出现导致第一密钥对永久丢失或不可使用的情况。当面对这类状况时,用户就不得不替换全局静态标识符
然后使用新派生的静态标识符
重新恢复或转移其现有注册账户。这个流程虽然可能比较繁琐但在本发明中仍然是可以实现的。
恢复注册的账户所需的具体步骤随不同的服务而不同。在收集的信息数量有限的情况下,在将用户的账户转移到不同的r之前,某些服务运营商可能会依赖传统的系统外验证手段。例如,在将账户从旧的r转换到新的r’之前,网上银行可能会要求它的客户通过电话核实某类账户和/或交易信息。多种技术工具可以用来协助完成这个流程中的步骤。在线密钥托管服务是这种工具的一种,它允许用户以最少的精力在最短的时间内恢复失去的设备或账户访问。张拓托管是类似的一种服务。它通过将托管信息以比特单位分散到多个不同托管服务的方式来阻止由单一环节数据泄露可能带来的损害。正确实施的在线密钥托管服务能够通过现有有效密钥,在用户获得新的全局静态标识符后协助用户重新绑定或转移现有注册账户到新的用户标识符下,以避免重新恢复全部账户的繁琐过程。
图9是与本发明的不同实施例一致的在线平台100的示意图。作为非限制性例子,促进用户验证的在线平台100可托管在中央服务器102上,例如云计算服务。中央服务器102可与其他的网络实体在通信信道104上进行通信,其他的网络实体例如,移动设备106(例如智能电话、便携式电脑、台式计算机等)、其他电子设备110(例如桌式计算机、服务器计算机等)、数据库114和传感器 116(例如生物传感器,例如但不限于指纹传感器、虹膜传感器、面部传感器等);通信信道例如但不限于,互联网,SMS(短信服务),各种蜂窝数据网络技术例如GSM、CDMA和LTE等。此外,在线平台100的用户可包括相关方,例如但不限于,个人用户(例如,如网站和/或软件应用的服务的消费者)和服务提供商(例如,网络服务器、网站、软件应用、访问控制系统等的运营商)。因此,在某些情况下,通过一个或多个相关方操作的电子设备可与系统通信。用户112,例如一个或多个相关方,通过基于网络的软件应用或浏览器可访问在线平台100。基于网络的软件应用可体现为,例如但不限于,与计算设备700(图中未示出)兼容的网站、网络应用、桌面应用和移动应用。
对应于本发明提供的方法,本发明实施例还公开了生成可用于网路高隐私注册及安全登录的用户动态标识符的处理器。所述处理器可配置为用于执行生成和接收包括第一公钥和第一私钥的第一密码标识符中的至少一个。进一步地,所述第一密码标识符可与用户相关。在一些实施例中,所述处理器可进一步配置为使用公钥密码算法生成第一密码标识符。此外,所述处理器可配置为使用对称密钥加密来加密第一密码标识符以获取加密的第一密码标识符。进一步地,所述处理器可配置为使用存储设备来存储加密的第一密码标识符。在一些实施例中,所述处理器可使用例如生物扫描和/或设备密码等的访问控制机制来进一步配置。此外,所述处理器可配置为基于生物验证或密码使用存储设备限制对加密的第一密码标识符的访问。
进一步地,所述处理器可配置为基于第一公钥生成用户全局静态标识符。进一步地,所述处理器可配置为根据所述第一密钥标识符和服务标识符生成对应所述服务的数字签名。在一些实施例中,生成数字签名可包括使用第一私钥数字地签署服务标识符。进一步地,所述数字签名是可确定的。进一步地,所述处理器可配置为根据对应所述服务的数字签名和用户全局静态标识符生成第二密钥生成种子。在一些实施例中,第二密钥生成种子可使用HMAC函数而生成。进一步地,与HMAC函数相关的HMAC密钥可包括数字签名以及与 HMAC函数相关的输入信息可包括用户全局静态标识符。进一步地,所述处理器可配置为基于密钥生成种子生成第二密码标识符。进一步地,所述第二密码标识符可包括第二公钥和第二私钥。进一步地,所述第二密码标识符可与服务相关。
在一些实施例中,所述处理器可进一步配置为用于接收与用户相关的多个公钥对应的唯一证明请求。此外,所述处理器可配置为基于唯一证明请求和多个第二私钥中的每一个生成与多个第二公钥对应的确认签名(validation signature)。在一些实施例中,多个确认签名可进一步基于与唯一证明请求相关的时间戳而生成。进一步地,基于多个确认签名多个第二私钥的所有权的证明是可确定的。
在一些实施例中,所述处理器可进一步配置为使用通信设备接收第二公钥的所有权的证明的请求。进一步地,所述处理器可配置为使用通信设备传输与服务对应的数字签名。进一步地,所述处理器可配置为使用通信设备传输第一公钥。进一步地,第二公钥的所有者的证明是可以基于第一公钥、数字签名和公钥和数字签名之间的关系的每一个的确认来确定的。
本发明还公开了一种用于生成可用于网路高隐私注册及安全登录的用户动态标识符的便携式计算设备。进一步地,便携式计算设备可包括配置为生成包括第一公钥和第一私钥的第一密码标识符的处理器。进一步地,第一密码标识符可与用户相关。进一步地,所述处理器可配置为基于第一公钥生成用户全局静态标识符。进一步地,进一步地,所述处理器可配置为基于第一密钥标识符和服务标识符生成对应所述服务的数字签名。进一步地,所述处理器可配置为基于数字签名和用户全局静态标识符生成第二密钥生成种子。进一步地,所述处理器可配置为基于第二密钥生成种子生成第二密码标识符。进一步地,所述第二密码标识符可包括第二公钥和第二私钥。进一步地,所述第二密码标识符可与服务相关。进一步地,用户的注册可通过基于第二公钥的服务来完成。
进一步地,根据一些实施例,本发明实施例还提供一种用户注册及验证系统,该系统可包括配置为从与用户相关的客户端设备接收服务请求的通信设备。进一步地,所述通信设备可包括向客户端设备传输唯一服务进程标识符。进一步地,所述通信设备可配置为从客户端设备接收签名的唯一服务进程标识符。进一步地,签名的唯一服务进程标识符可基于使用与用户相关的第二密码标识符的第二私钥加密签署唯一服务进程标识符而生成。进一步地,通信设备可配置为用于接收第二密码标识符的第二公钥。此外,所述系统可包括配置为生成唯一服务进程标识符的处理设备。进一步地,所述处理设备可配置为基于第二公钥用于确认签名的唯一服务进程标识符。进一步地,处理设备可配置为基于确认验证提供服务的用户。
此外,根据一些实施例,所述用户注册及验证系统可包括配置为用于从服务接收包括唯一服务进程标识符的验证请求的通信设备。进一步地,所述通信设备可配置为用于向与用户连接的移动设备传递包括唯一服务进程标识符的验证请求。
所述用户注册及验证系统还可包括配置为从用户移动设备接收包括带有数字签名的唯一服务进程标识符的登录验证应答的验证服务器。进一步地,所述登录验证应答可基于使用与用户相关的第二密码标识符的第二私钥加密签署唯一服务进程标识符而生成。进一步地,验证服务器可配置为用于接收第二密码标识符的第二公钥。进一步地,所述系统可包括配置为生成唯一服务进程标识符的处理设备。进一步地,所述处理器可配置为基于第二公钥确认签名唯一服务进程标识符。进一步地,所述处理器可配置为基于唯一服务进程标识符的签名确认的结果验证用户对服务的访问。
参照图10,与本发明的实施例相一致的系统可包括计算设备或云服务,例如计算设备700。在基本的配置中,计算设备700可包括处理单元702和系统存储器704中的至少一个。依据计算设备的类型和配置,系统存储器704可包括,但不限于,易失存储器(例如,随机存取存储器(RAM)),非易失存储器 (只读存储器(ROM)),闪存,或其任意组合。系统存储器704可包括操作系统705,一个或多个编程模块706,并且可包括程序数据707。例如,操作系统705适于控制计算设备700的操作。在一个实施例中,编程模块706可包括图像处理模块,机器学习模块。进一步地,本发明的实施例可与图形库、其他操作系统或其他任何应用程序结合起来进行实践,并且不限于任何特定的应用或系统。这种基本配置通过图7中的虚线708中的组件来示意。
计算设备700可具有额外的特征或功能。例如,计算设备700还可包括额外的数据存储设备(可移动的或不可移动的),例如,磁盘、光盘或磁带。这种额外的存储通过图7中的可移动存储709或不可移动存储710来示意。计算机存储介质可包括通过用于信息存储的任何方法或技术(例如,计算机可读的指令、数据结构、程序模块或其他数据)实施的易失的和非易失的、可移动的和不可移动的介质。系统存储器704、可移动存储709和不可移动存储710都是计算机存储介质的实例(即存储器存储)。计算机存储介质可包括,但不限于,RAM、ROM、电可擦除只读存储器(EEPROM)、闪存或其他存储技术、 CD-ROM、数字通用光盘(DVD)或其他光学存储、盒式磁带、磁带、磁盘存储或其他磁存储设备,或可用于存储信息或者被计算设备700访问的任何其他介质。计算设备700还可具有输入设备712,例如键盘、鼠标、输入笔、声音输入设备、触摸输入设备、位置传感器、摄像头、生物传感器等。还可以包括输出设备714,例如,显示器、麦克风、打印机等。上述设备是示例性的并且可以使用其他设备。
计算设备700还可包含通信连接716,其可以使设备700与其他通信设备 718进行通信,例如,通过分布式计算环境中的网络,例如,内联网或互联网。通信连接716是通信介质的一个实例。通信介质通常可通计算机可读指令、数据结构、程序模块或调制数据信号中的其他数据来体现,例如载波或其他传输机制,并包括任何信息传递媒介。术语“调制数据信号”可描述具有一个或多个特征集或以编码信号中的信息的方式进行变化的信号。作为非限制性的例子,通信介质可包括有线介质,例如有线网络或直接有线连接,以及无线介质,例如,声音、射频(RF)、红外和其他无线介质。术语“计算机可读介质”可包括存储介质和通信介质。
如上所述,大量程序模块和数据文档可存储在系统存储器704中,包括操作系统705。当在处理单元702执行时,编程模块706(例如应用720,例如媒体播放器)可执行流程,包括例如,以上所述的方法的一个或多个阶段、算法、系统、应用、服务器、数据库。以上所述的进程是一个实例,并且处理单元702 可执行其他流程。可以在本发明的实施例使用的其他编程模块可包括机器学习应用。
通常,与本发明实施例一致的编程模块可包括例行程序、程序、成分、数据结构以及可以执行特定任务或者可以执行抽象数据类型的其他类型的结构。此外,本发明的实施例可与其他计算机系统配置一起实践,包括手持设备、基于通用图形处理器的系统、多处理机系统、基于微处理器或可编程的消费电子产品、基于应用特定集成电路的电子产品、小型计算机、大型计算机等。本发明的实施例还可在分布式计算环境中实践,其中由通过通信网络链接的远程处理设备来执行任务。在分布式计算环境中,编程模块可同时位于本地和远程存储器存储设备中。
此外,本发明的实施例可在包括离散电子元件、包含逻辑门的封装或集成电子芯片、使用微处理器的电路或包含电子元件或微处理器的单个芯片上实施。本发明的实施例还可以使用能够执行逻辑运算的其他技术来实践,例如,AND、 OR和NOT,包括但不限于,机械、光学、流体和量子技术。此外,本发明的实施例可以在通用计算机或者任何其他的电路或系统中实施。
本发明的实施例,例如,可以实施为计算机程序(方法),计算系统,或制品,例如计算机程序产品或计算机可读介质。计算机程序产品可为计算机系统可读并编码用于执行计算机进程的计算机指令程序的计算机存储介质。计算机程序产品还可为计算系统可读的载体上的并编码用于执行计算机进程的计算机指令程序的传播信号。因此,本发明可以体现在硬件和/或软件(包括固件、常驻软件、微编码等)。换句话说,本发明的实施例可以采取计算机可用或计算机可读的存储介质上的计算机程序产品的形式,所述存储介质具有通过指令执行系统或与指令执行系统一起使用的介质中体现的计算机可用或计算机可读的程序代码。计算机可用或计算机可读的介质可为通过或与指令执行系统、装置或设备一起使用的能够包含、存储、通信、传播或传输程序的任何介质。
计算机可用或计算机可读介质可为,例如但不限于,电子、磁、光学、电磁、红外或半导体系统、装置、设备,或传播介质。更具体的计算机可读介质 (非穷尽式列举)可包括:具有一根或多根导线的电连接,便携式计算机磁盘,随机存取存储器(RAM),只读存储器(ROM),可擦可编程只读存储器(EPROM 或闪存),光学纤维,和便携式光谱只读存储器(CD-ROM)。请注意,计算机可用或计算机可读介质甚至可为纸张或可在上面印刷程序的其他合适介质,程序可通过例如纸张或其他介质的光学扫描被电子捕捉,然后编辑、翻译或以其他适当的方式处理,如果需要,然后存储到计算机存储器上。
以上参照根据本发明实施例的方法、系统和计算机程序产品的框图和/或操作图解描述了本发明的实施例。框图中描述的功能/作用可以不按流程图中显示的顺序进行。例如,根据所涉及的功能/作用,连续显示的两个框图事实上可以基本同时发生或者所述框图有时可以按相反的顺序执行。
尽管描述了本发明的某些实施例,但是也可以存在其他的实施例。此外,虽然本发明实施例被描述为与存储在存储器或其他存储介质中数据相关,但是数据也可以存储在其他类型的计算机可读介质上或从其他类型的计算机可读介质可读,例如,辅助存储设备,如硬盘,固态存储(例如USB驱动),或 CD-ROM,互联网的载波,或其他形式的RAM或ROM。此外,在不脱离本发明的情况下,所公开的方法的阶段可以以任何方式体现,包括通过记录阶段和 /或插入或删除阶段。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (17)
1.一种用户动态标识符生成方法,其特征在于,包括:
获取用户的第一密钥标识符;所述第一密钥标识符至少包括第一公钥和第一私钥;
将所述第一公钥通过预设字符串转换策略生成为用户全局静态标识符;
根据所述第一密钥标识符和服务标识符生成对应所述服务的数字签名;
根据对应所述服务的数字签名和用户全局静态标识符生成第二密钥生成种子;
根据所述第二密钥生成种子生成用户的第二密钥标识符;所述第二密钥标识符至少包括第二公钥和第二私钥,所述第二密钥标识符与所述服务相关联;
将所述第二公钥通过预设字符串转换策略进行转换,得到与所述服务对应的用户动态标识符。
2.如权利要求1所述的用户动态标识符生成方法,其特征在于,所述根据所述第一密钥标识符和服务标识符生成对应所述服务的数字签名,包括:
使用所述第一私钥对服务标识符进行数字签名,得到对应所述服务的确定性数字签名。
3.如权利要求1所述的用户动态标识符生成方法,其特征在于,在获取用户的第一密钥标识符之前,还包括:
使用能产生确定性数字签名的公钥密码算法生成用户的第一密钥标识符;
使用对称密钥加密系统加密所述用户的第一密钥标识符,得到加密后的用户的第一密钥标识符;
存储所述加密后的用户的第一密钥标识符。
4.如权利要求3所述的用户动态标识符生成方法,其特征在于,所述获取用户的第一密钥标识符,包括:
判断本地是否存储有所述用户的第一密钥标识符;
若本地存储有所述用户的第一密钥标识符,则验证用户信息访问权限;
若所述用户信息访问权限通过验证,则提取预先存储的加密后的用户的第一密钥标识符;
若本地没存储有所述用户的第一密钥标识符,则使用能产生确定性数字签名的公钥密码算法生成所述用户的第一密钥标识符,并继续执行下一步骤;
使用对称密钥加密系统加密所述用户的第一密钥标识符,得到加密后的用户的第一密钥标识符;
存储所述加密后的用户的第一密钥标识符。
5.如权利要求4所述的用户动态标识符生成方法,其特征在于,所述验证所述用户信息访问权限,包括:
根据所述用户的生物特征和/或设备密码验证用户信息使用权。
6.如权利要求1所述的用户动态标识符生成方法,其特征在于,所述预设字符串转换策略为:将输入信息转换为八位字符串或Base64编码字符串。
7.如权利要求1所述的用户动态标识符生成方法,其特征在于,所述根据对应服务的数字签名和用户全局静态标识符生成第二密钥生成种子,包括:
使用HMAC函数生成第二密钥生成种子;所述HMAC函数的密钥为所述对应服务的数字签名,所述HMAC函数的输入信息为所述用户全局静态标识符。
8.如权利要求1所述的用户动态标识符生成方法,其特征在于,在得到与所述服务对应的用户动态标识符之后,还包括:
根据用户提供的附加信息和所述服务标识符,生成新的服务标识符;
根据所述第一密钥标识符和新的服务标识符生成对应所述服务的新数字签名;
根据对应所述服务的新数字签名和所述用户全局静态标识符生成新的第二密钥生成种子;
根据所述新的第二密钥生成种子生成用户的新的第二密钥标识符;所述新的第二密钥标识符至少包括新的第二公钥和新的第二私钥;
将所述新的第二公钥通过预设字符串转换策略进行转换,并将与所述服务对应的用户动态标识符更新为本次转换结果。
9.如权利要求8所述的用户动态标识符生成方法,其特征在于,所述用户提供的附加信息包括针对指定服务标识符的附加号码。
10.一种基于用户动态标识符的服务注册方法,其特征在于,包括:
接收用户注册请求并直接或间接地发送给相应服务;
接收所述服务返回的包括服务标识符的注册请求回应;
采用权利要求1-9任一项所述的方法生成与所述服务对应的用户动态标识符;
将所述与所述服务对应的用户动态标识符直接或间接地发送给所述服务,以使所述服务创建所述与所述服务对应的用户动态标识符对应的注册账户。
11.如权利要求10所述的基于用户动态标识符的服务注册方法,其特征在于,所述将所述与所述服务对应的用户动态标识符直接或间接地发送给所述服务,还包括:
将用户提供的附加信息直接或间接地发送给所述服务。
12.一种基于用户动态标识符的登录验证方法,其特征在于,包括:
接收与当前用户相关的客户端发来的登录服务请求;
生成与被请求服务相关的唯一服务进程标识符;
接收所述被请求服务发来的登录验证请求;所述登录验证请求包括所述唯一服务进程标识符和被请求服务标识符;
向所述客户端发送所述登录验证请求;
接收所述客户端发来的登录验证应答;所述登录验证应答至少包括带有数字签名的唯一服务进程标识符、被请求服务标识符、与被请求服务对应的当前用户动态标识符;其中,所述与被请求服务对应的当前用户动态标识符为所述客户端采用权利要求1-9任一项所述的方法生成;
根据所述登录验证应答及用户注册账户信息,判断是否授权所述当前用户登录所述被请求服务。
13.如权利要求12所述的登录验证方法,其特征在于,所述登录验证应答还包括当前时间戳。
14.如权利要求13所述的登录验证方法,其特征在于,所述根据所述登录验证应答及用户注册账户信息,判断是否授权所述当前用户登录所述被请求服务,包括:
判断是否能在所述被请求服务的所有用户注册账户中匹配到所述与被请求服务对应的当前用户动态标识符对应的注册账户;
若匹配到与被请求服务对应的当前用户动态标识符对应的注册账户,则判断该注册账户是否有效;
若与被请求服务对应的当前用户动态标识符对应的注册账户有效,则从所述与被请求服务对应的当前用户动态标识符中解码出第二公钥;
采用当前解码出的第二公钥验证所述带有数字签名的唯一服务进程标识符一并相关时间戳及所述数字签名是否有效;
若所述带有数字签名的唯一服务进程标识符一并相关时间戳及所述数字签名验证有效,则授权所述当前用户登录被请求服务直到所述唯一服务进程标识符所指服务进程结束;
若匹配不到与被请求服务对应的当前用户动态标识符对应的注册账户,或判断出与被请求服务对应的当前用户动态标识符对应的注册账户无效,或判断出所述带有数字签名的唯一服务进程标识符或相关时间戳或所述数字签名验证无效,则拒绝所述当前用户登录所述被请求服务。
15.如权利要求12所述的基于用户动态标识符的登录验证方法,其特征在于,还包括:
接收与多个服务相关的唯一证明请求;所述唯一证明请求包含与多个服务对应的用户动态标识符以及确定所述唯一证明请求的唯一性的指定信息;
基于与所述唯一证明请求中的多个用户动态标识符分别对应的第二私钥对所述唯一证明请求进行确认数字签名,得到包括多个确认签名的唯一证明应答,以使唯一证明请求端从所述唯一证明请求包含的多个用户动态标识符中解码出多个第二公钥并采用当前解码出的每个第二公钥验证所述唯一证明应答中的相应确认签名是否有效。
16.如权利要求15所述的基于用户动态标识符的登录验证方法,其特征在于,所述确定所述唯一证明请求的唯一性的指定信息为时间戳。
17.如权利要求12所述的基于用户动态标识符的登录验证方法,其特征在于,还包括:
接收所有权证明请求并转发给相应用户客户端;所述所有权证明请求请求证明同一用户对第一公钥和第二公钥的所有权;
接收包括第一数字签名和第二数字签名的所有权证明应答;所述第一数字签名由客户端基于需要证明所有权的第一公钥对应的第一私钥对所述所有权证明请求进行确认数字签名得到,所述第二数字签名为所述客户端提供的与需要证明所有权的第二公钥对应的服务的数字签名;
向所述所有权证明请求者发送所述所有权证明应答,以使所述所有权证明请求者基于需要证明所有权的第一公钥、第二公钥和所述第一数字签名、第二数字签名确定相关用户对第一公钥和第二公钥的所有权。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/026,642 | 2018-07-03 | ||
| US16/026,642 US10797879B2 (en) | 2018-07-03 | 2018-07-03 | Methods and systems to facilitate authentication of a user |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109618326A CN109618326A (zh) | 2019-04-12 |
| CN109618326B true CN109618326B (zh) | 2021-06-18 |
Family
ID=66002674
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811128809.7A Active CN109618326B (zh) | 2018-07-03 | 2018-09-27 | 用户动态标识符生成方法及服务注册方法、登录验证方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US10797879B2 (zh) |
| CN (1) | CN109618326B (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10764029B1 (en) * | 2019-04-02 | 2020-09-01 | Carey Patrick Atkins | Asymmetric Encryption Algorithm |
| EP3764613A1 (en) * | 2019-07-09 | 2021-01-13 | Gemalto Sa | Method, first device, first server, second server and system for accessing a private key |
| CN110929238B (zh) * | 2019-10-29 | 2022-02-01 | 维沃移动通信有限公司 | 一种信息处理方法及设备 |
| CN111314320B (zh) * | 2020-01-20 | 2022-05-10 | 北京无限光场科技有限公司 | 基于http的通信方法、终端、服务器和系统 |
| CN111339501B (zh) * | 2020-02-20 | 2022-10-14 | 百度在线网络技术(北京)有限公司 | 基于区块链的版权保护方法、装置、设备和介质 |
| CN111415734A (zh) * | 2020-03-20 | 2020-07-14 | 四川南格尔生物科技有限公司 | 一种有源医疗器械的使用期限管理方法 |
| CN111770494B (zh) * | 2020-06-17 | 2023-05-23 | 中国人民解放军国防科技大学 | 一种基于手机号的北斗rdss用户身份认证和火线注册方法及装置 |
| CN112699394B (zh) * | 2021-01-13 | 2022-11-25 | 北卡科技有限公司 | 一种基于sm9算法的密钥应用方法 |
| US20220294639A1 (en) * | 2021-03-15 | 2022-09-15 | Synamedia Limited | Home context-aware authentication |
| US11711207B2 (en) | 2021-03-30 | 2023-07-25 | International Business Machines Corporation | Quantum safe key exchange scheme |
| CN113822674A (zh) * | 2021-05-31 | 2021-12-21 | 中国银联股份有限公司 | 生物特征识别终端、用户终端、支付服务器及相关方法 |
| CN113382002B (zh) * | 2021-06-10 | 2022-11-22 | 杭州安恒信息技术股份有限公司 | 数据请求方法、请求应答方法、数据通信系统及存储介质 |
| US11790057B2 (en) | 2021-08-17 | 2023-10-17 | Sap Se | Controlling program execution using an access key |
| CN114513338B (zh) * | 2022-01-20 | 2024-05-03 | 维沃移动通信有限公司 | 数据同步方法和电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102104869A (zh) * | 2009-12-17 | 2011-06-22 | 英特尔公司 | 安全用户识别模块服务 |
| CN104901804A (zh) * | 2014-08-28 | 2015-09-09 | 赵捷 | 一种基于用户自主的标识认证实现方法 |
| CN105071939A (zh) * | 2015-07-15 | 2015-11-18 | 傅程燕 | 一种用户信息认证方法及系统 |
| CN106487758A (zh) * | 2015-08-28 | 2017-03-08 | 华为技术有限公司 | 一种数据安全签名方法、业务终端以及私钥备份服务器 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1997031449A1 (fr) * | 1996-02-21 | 1997-08-28 | Card Call Service Co., Ltd. | Methode de communication utilisant une cle cryptographique commune |
| US20120330837A1 (en) * | 2011-06-01 | 2012-12-27 | Persaud Omesh A | Account linking system and method |
| US9197513B2 (en) * | 2012-05-03 | 2015-11-24 | Salesforce.Com, Inc. | Computer implemented methods and apparatus for representing a portion of a user interface as a network address |
-
2018
- 2018-07-03 US US16/026,642 patent/US10797879B2/en active Active
- 2018-09-27 CN CN201811128809.7A patent/CN109618326B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102104869A (zh) * | 2009-12-17 | 2011-06-22 | 英特尔公司 | 安全用户识别模块服务 |
| CN104901804A (zh) * | 2014-08-28 | 2015-09-09 | 赵捷 | 一种基于用户自主的标识认证实现方法 |
| CN105071939A (zh) * | 2015-07-15 | 2015-11-18 | 傅程燕 | 一种用户信息认证方法及系统 |
| CN106487758A (zh) * | 2015-08-28 | 2017-03-08 | 华为技术有限公司 | 一种数据安全签名方法、业务终端以及私钥备份服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20200014538A1 (en) | 2020-01-09 |
| CN109618326A (zh) | 2019-04-12 |
| US10797879B2 (en) | 2020-10-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109618326B (zh) | 用户动态标识符生成方法及服务注册方法、登录验证方法 | |
| US10812487B2 (en) | Certificate system for verifying authorized and unauthorized secure sessions | |
| CN110537346B (zh) | 安全去中心化域名系统 | |
| US11563567B2 (en) | Secure shared key establishment for peer to peer communications | |
| KR102117584B1 (ko) | 로컬 디바이스 인증 | |
| US9621355B1 (en) | Securely authorizing client applications on devices to hosted services | |
| US10361852B2 (en) | Secure verification system | |
| US9692603B2 (en) | Biometric PKI authentication | |
| US11336641B2 (en) | Security enhanced technique of authentication protocol based on trusted execution environment | |
| US10187373B1 (en) | Hierarchical, deterministic, one-time login tokens | |
| US10333930B2 (en) | System and method for transparent multi-factor authentication and security posture checking | |
| US10432595B2 (en) | Secure session creation system utililizing multiple keys | |
| US8397281B2 (en) | Service assisted secret provisioning | |
| US10374808B2 (en) | Verification system for creating a secure link | |
| CN103856468A (zh) | 身份验证系统及方法 | |
| Alqubaisi et al. | Should we rush to implement password-less single factor FIDO2 based authentication? | |
| Amintoosi et al. | TAMA: three-factor authentication for multi-server architecture | |
| Khan et al. | A brief review on cloud computing authentication frameworks | |
| KR102101719B1 (ko) | 브라우저의 웹스토리지를 이용한 간편인증 방법 및 시스템 | |
| TWI698113B (zh) | 電子裝置之認證方法及系統 | |
| Takakuwa et al. | The Transfer Access Protocol-Moving to New Authenticators in the FIDO Ecosystem | |
| KR20170111809A (ko) | 대칭키 기반의 보안 토큰을 이용한 양방향 인증 방법 | |
| KR101737925B1 (ko) | 도전-응답 기반의 사용자 인증 방법 및 시스템 | |
| Booth et al. | Stronger authentication for password credential Internet Services | |
| CN115150831A (zh) | 入网请求的处理方法、装置、服务器及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |