CN109922027B - 一种可信身份认证方法、终端及存储介质 - Google Patents
一种可信身份认证方法、终端及存储介质 Download PDFInfo
- Publication number
- CN109922027B CN109922027B CN201711329215.8A CN201711329215A CN109922027B CN 109922027 B CN109922027 B CN 109922027B CN 201711329215 A CN201711329215 A CN 201711329215A CN 109922027 B CN109922027 B CN 109922027B
- Authority
- CN
- China
- Prior art keywords
- terminal
- information
- key factor
- server
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明实施例提供一种可信身份认证方法、终端及存储介质,其中,所述方法包括:当终端接收到业务平台发送的业务操作请求时,所述终端输出第一提示信息;终端根据用户输入的第一验证信息和获取的所述终端的硬件信息,计算第一终端密钥因子;当所述第一终端密钥因子与所述终端的存储区存储的第二终端密钥因子相同时,所述终端将所述第一密钥因子发送给服务器;所述终端获取所述服务器根据所述第一密钥因子获取的验证通过信息;所述终端根据所述验证通过信息,向业务平台发送所述业务操作请求对应的业务操作响应。
Description
技术领域
本发明涉及移动互联网身份认证领域,尤其涉及一种可信身份认证方法、终端及存储介质。
背景技术
我国移动互联网用户渗透率已近饱和,为全面推动移动互联网应用提供了丰厚的用户基础,越来越多的企业、政府开始基于移动互联网推动业务创新。移动互联网拓宽了企业安全防护的边界,带来了更加容易暴露的访问入口,成为移动安全攻击的首要目标。传统的手段无法满足移动环境下可信身份认证的要求。
传统可信身份认证手段存在以下缺点:
在个人计算机(Personal Computer,PC)端可信身份认证时,需要插入硬件U盾,但是对企业来说,需要进行硬件采购、分发,对成本、U盾管理流程等提出了较高的要求;对用户来说,用户需要随时携带及保管硬件电子钥匙(Universal Serial Bus key,USB key);同时,现有技术方案需要用户在浏览器上下载安装第三方控件及USB key驱动,目前操作系统和浏览器种类繁多,控件的兼容性及可用性降低了用户体验。
在移动端可信身份认证时,用户名口令方式正面临云端拖库与客户端破解的双重问题,而密码复杂度要求、更换频率要求又极大的增加了用户记忆和操作负担,降低用户便利性。双因素认证面临短信劫持、伪基站、钓鱼网站等风险,无法保证身份认证安全。
发明内容
有鉴于此,本发明实施例提供一种可信身份认证方法、终端及存储介质,解决了现有技术方案中U盾携带不方便,用户名密码安全级别低的问题,通过将用户密钥托管在云端,利用服务器端的密钥因子与终端的密钥因子相组合的方式进行加密,而且在云端采用加密机或者符合相关安全要求的设备保存用户密钥,密钥的访问需要用户参与,安全性极高。
本发明实施例的技术方案是这样实现的:
第一方面,本发明实施例提供一种可信身份认证方法,所述方法包括:当终端接收到业务平台发送的业务操作请求时,所述终端输出第一提示信息;其中,所述第一提示信息用于提示输入第一验证信息;
终端根据用户输入的第一验证信息和获取的所述终端的硬件信息,计算第一终端密钥因子;
当所述第一终端密钥因子与所述终端的存储区存储的第二终端密钥因子相同时,所述终端将所述第一密钥因子发送给服务器;
所述终端获取所述服务器根据所述第一密钥因子获取的验证通过信息;
所述终端根据所述验证通过信息,向业务平台发送所述业务操作请求对应的业务操作响应;其中,所述业务操作响应包括第一启动信息,所述第一启动信息用于授权业务平台进行业务操作。
第二方面,提供一种可信身份认证方法,所述方法包括:服务器接收终端发送的第一终端密钥因子;
所述服务器获取与所述第一终端密钥因子相匹配的数据信息;
当所述数据信息符合预设条件时,所述服务器获取证书授权中心CA发送的用户证书,并根据所述用户证书获取验证通过信息;
所述服务器将所述验证通过信息发送给所述终端。
第三方面,本发明实施例提供一种终端,所述终端至少包括:控制器和配置为存储可执行指令的存储介质,其中,控制器配置为执行存储的可执行指令,所述可执行指令配置为执行上述第一方面提供的基于终端的可信身份认证方法。
第四方面,本发明实施例提供一种终端,所述终端至少包括:控制器和配置为存储可执行指令的存储介质,其中,控制器配置为执行存储的可执行指令,所述可执行指令配置为执行上述第二方面提供的基于终端的可信身份认证方法。
第五方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可执行指令,该计算机可执行指令配置为执行上述的基于终端的可信身份认证方法。
本发明实施例提供一种可信身份认证方法、终端及存储介质,其中,首先,当终端接收到业务平台发送的业务操作请求时,所述终端输出第一提示信息;其中,所述第一提示信息用于提示输入第一验证信息;终端根据用户输入的第一验证信息和获取的所述终端的硬件信息,计算第一终端密钥因子;其次,当所述第一终端密钥因子与所述终端的存储区存储的第二终端密钥因子相同时,所述终端将所述第一密钥因子发送给服务器;所述终端获取所述服务器根据所述第一密钥因子获取的验证通过信息;所述终端根据所述验证通过信息,向业务平台发送所述业务操作请求对应的业务操作响应;其中,所述业务操作响应包括第一启动信息,所述第一启动信息用于授权业务平台进行业务操作。如此,通过将用户密钥托管在云端,利用服务器端的密钥因子与终端的密钥因子相组合的方式进行加密,而且在云端采用加密设备或者符合相关安全要求的设备保存用户密钥,密钥的访问需要用户参与,安全性极高;而且在用户使用时,整个认证过程只需要用户参与一次,其余认证过程均由服务器和终端完成,提升了用户体验感。
附图说明
在附图(其不一定是按比例绘制的)中,相似的附图标记可在不同的视图中描述相似的部件。具有不同字母后缀的相似附图标记可表示相似部件的不同示例。附图以示例而非限制的方式大体示出了本文中所讨论的各个实施例。
图1为本发明实施例实现可信身份认证方法的流程示意图;
图2为本发明实施例实现可信身份认证方法的流程示意图;
图3为本发明实施例终端的逻辑架构图;
图4为本发明实施例完成注册的示意图;
图5为本发明实施例预进行业务操作时完成认证过程的示意图;
图6为本发明实施例所述终端的组成结构示意图。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明,其本身没有特定的意义。因此,“模块”、“部件”或“单元”可以混合地使用。
终端可以以各种形式来实施。例如,本发明中描述的终端可以包括诸如手机、平板电脑、笔记本电脑、掌上电脑、个人数字助理(Personal Digital Assistant,PDA)、便捷式媒体播放器(Portable Media Player,PMP)、导航装置、可穿戴设备、智能手环、计步器等移动终端,以及诸如数字TV、台式计算机等固定终端。
后续描述中将以移动终端为例进行说明,本领域技术人员将理解的是,除了特别用于移动目的的元件之外,根据本发明的实施方式的构造也能够应用于固定类型的终端。
实施例一
本发明实施例提供一种可信身份认证方法,图1为本发明实施例实现可信身份认证方法的流程示意图,如图1所示,所述方法包括以下步骤:
步骤S101,当终端接收到业务平台发送的业务操作请求时,所述终端输出第一提示信息。
这里,所述第一提示信息用于提示输入第一验证信息,所述第一验证信息可以是PIN码、用户在终端预设的密码等;所述终端可以是手机上安装的app、电脑端等。
步骤S102,终端根据用户输入的第一验证信息和获取的所述终端的硬件信息,计算第一终端密钥因子。
这里,所述用户输入的第一验证信息可以是个人识别密码(PersonalIdentification Number,PIN)、用户在终端预设的密码等;所述第一终端密钥因子是所述终端在本地的终端密钥因子。所述硬件信息可以是所述终端的厂商名称、所述终端的名称、所述终端的主板标识以及中央处理器(Central Processing Unit,CPU)标识、国际移动用户识别码(International Mobile Subscriber Identification Number,IMSI)、用户手机标识(International Mobile Equipment Identity,IMEI)等。
步骤S103,当第一终端密钥因子与终端的存储区存储的第二终端密钥因子相同时,终端将所述第一密钥因子发送给服务器。
这里,所述第二终端密钥因子是所述终端在注册时,保存在终端的存储区的终端密钥因子;所述数据信息是终端根据所述终端的硬件信息、所述第一验证信息生成的。
步骤S104,所述终端获取所述服务器根据所述第一密钥因子获取的验证通过信息。
步骤S105,所述终端根据所述验证通过信息,向业务平台发送所述业务操作请求对应的业务操作响应。
这里,所述业务操作响应包括第一启动信息,所述第一启动信息用于授权业务平台进行业务操作。
在本发明实施例中,当终端接收到业务平台发送的业务操作请求时,首先,所述终端输出第一提示信息;终端根据用户输入的第一验证信息和获取的所述终端的硬件信息,计算第一终端密钥因子;当所述第一终端密钥因子与所述终端的存储区存储的第二终端密钥因子相同时,所述终端将所述第一密钥因子发送给服务器;所述终端获取所述服务器根据所述第一密钥因子获取的验证通过信息;所述终端根据所述验证通过信息,向业务平台发送所述业务操作请求对应的业务操作响应;其中,所述业务操作响应包括第一启动信息,所述第一启动信息用于授权业务平台进行业务操作。如此,当用户进行关键业务时,整个认证过程只需要用户输入一次第一验证信息,再由服务器经过多重认证,才授权业务平台进行业务操作,而且在整个认证过程中,不需要用户携带类似U盾的设备,保证了安全性的同时还方便用户使用。
在其他实施例中,在所述步骤S101,即“当终端接收到业务平台发送的业务操作请求时,所述终端输出第一提示信息”之前,还包括以下步骤实现:
步骤S11,当所述终端接收输入的第一开通请求时,所述终端输出第二提示信息。
这里,所述第二提示信息用于提示输入第二验证信息;所述第一开通请求携带有第一身份信息;其中,所述第一身份信息是能够唯一标识用户身份的信息。其中,所述第一身份信息是能够唯一标识用户身份的信息,比如用户的姓名、身份证号等。所述第二提示信息用于用户输入第二验证信息;所述用户输入的第二验证信息可以是个人识别密码(Personal Identification Number,PIN)、用户在终端预设的密码等。比如,当用户申请开通所述终端时,用户需要先输入姓名、身份证号,进行实名认证。
步骤S12,所述终端响应所述第一开通请求,获取输入的第二验证信息和所述终端的硬件信息。
这里,所述用户输入的第二验证信息可以是PIN码、用户在终端预设的密码等。
步骤S13,所述终端根据所述第二验证信息和所述硬件信息计算得到所述终端的第二终端密钥因子,并将所述第二终端密钥因子存储在所述终端的存储区。
步骤S14,所述终端将所述硬件信息和所述第二终端密钥因子上传到服务器。
在其他实施例中,所述步骤S13,即“所述根据所述第二验证信息和所述硬件信息计算得到所述终端的第二终端密钥因子,并将所述第二终端密钥因子存储在所述终端的存储区”,可以通过以下步骤实现:
步骤S131,所述终端将所述硬件信息和所述第二验证信息,经过散列、异或组合,得到由N个密钥拆分因子组成的第二终端密钥因子;其中,N为大于1的自然数。
步骤S132,所述终端将所述由N个密钥拆分因子组成的第二终端密钥因子存储在所述终端的存储区。
在其他实施例中,所述步骤S21,即“当所述终端接收输入的第一开通请求时,所述终端输出第二提示信息”,包括:所述终端接收并响应第一开通请求,并将第一开通请求携带的第一身份信息上传到服务器。
实施例二
本发明实施例提供一种可信身份认证方法,图2为本发明实施例实现可信身份认证方法的流程示意图,如图2所示,所述方法包括以下步骤:
步骤S201,当所述终端接收输入的第一开通请求时,所述终端输出第二提示信息。
步骤S202,所述终端响应所述第一开通请求,获取输入的第二验证信息和所述终端的硬件信息。
步骤S203,终端根据所述第二验证信息和所述硬件信息计算得到所述终端的第二终端密钥因子,并将所述第二终端密钥因子存储在所述终端的存储区。
步骤S204,终端将所述硬件信息和所述第二终端密钥因子上传到服务器。
步骤S205,服务器接收所述终端发送的第二终端密钥因子。
这里,所述第二终端密钥因子是所述终端在接收到输入的第一开通请求之后发送的。
步骤S206,服务器自动生成并保存所述服务器的服务器端的密钥因子。
这里,所述服务器在自身的加密设备内部生成并保存所述服务器端的密钥因子;或者,由服务器之外的加密设备生成所述服务器端的密钥因子,再由加密设备通过安全通道将所述服务器端的密钥因子发送到服务器,服务器接收并保存所述服务器端的密钥因子。所述加密设备可以是硬件设备(如云加密机等设备)或者符合安全需求的软设备用于保存用户密钥,安全级别至少能够达到传统U盾。
步骤S207,服务器根据所述第二终端密钥因子和所述服务器端的密钥因子合成公钥。
这里,所述服务器在加密设备内部根据所述第二终端密钥因子和所述服务器端的密钥因子合成公钥。其中,所述加密设备可能是所述服务器内自身的加密设备,也可能是在服务器之外与服务器能够通过安全通道进行传输的加密设备。
步骤S208,服务器根据所述公钥生成第一验证请求,并将所述第一验证请求发送到证书授权中心CA。
步骤S209,服务器根据获取CA签发的用户证书,将开通所述终端的第一开通请求发送给所述终端。
步骤S210,终端接收所述第一开通请求,并开通所述终端。
步骤S211,当终端接收到业务平台发送的业务操作请求时,所述终端输出第一提示信息。
这里,所述第一提示信息用于提示输入第一验证信息。
步骤S212,终端根据用户输入的第一验证信息和获取的所述终端的硬件信息,计算第一终端密钥因子。
这里,理论上,如果用户不变,所述第一验证信息与步骤S203中的第二验证信息相同。所述第一终端密钥因子是所述终端在本地的终端密钥因子。
步骤S213,当所述第一终端密钥因子与所述终端的存储区存储的第二终端密钥因子相同时,所述终端将所述第一密钥因子发送给服务器。
步骤S214,服务器接收所述第一密钥因子。
步骤S215,服务器获取与所述第一终端密钥因子相匹配的数据信息。
这里,所述服务器从加密设备中获取与所述第一终端密钥因子相匹配的数据信息。
步骤S216,当所述数据信息符合预设条件时,所述服务器获取证书授权中心CA发送的用户证书,并根据所述用户证书获取验证通过信息。
这里,服务器判断所述第一终端密钥因子是否与终端的存储区存储的第二终端密钥因子相同,如果第一终端密钥因子与第二终端密钥因子相同,服务器从加密设备中获取与用户相匹配的数据信息;如果第一终端密钥因子与第二终端密钥因子不同,服务器不能获取与用户相匹配的数据信息,并提示用户输入错误。其中,所述数据信息可以是根据所述终端的硬件信息、所述第一身份信息生成。
步骤S217,服务器将所述验证通过信息发送给所述终端。
步骤S218,终端接收服务器发送的验证通过信息。
步骤S219,终端根据所述验证通过信息,向业务平台发送所述业务操作请求对应的业务操作响应。
这里,所述业务操作响应包括第一启动信息,所述第一启动信息用于授权业务平台进行业务操作。
本发明实施例通过先判断用户进行关键业务时输入的密码是否本地保存的第二终端密钥因子,进行本地验证;若验证通过,再由服务器判断在加密设备内部根据第一终端密钥因子和服务器端密钥因子合成的第三密钥因子,是否符合条件,从而对预进行业务操作的用户进行双重认证,如此,云端采用加密机或者符合相关安全要求的设备保存用户密钥,密钥的访问需要用户参与,安全性极高。
在其他实施例中,步骤S216,即“当所述数据信息符合预设条件时,所述服务器获取证书授权中心CA发送的用户证书,并根据所述用户证书获取验证通过信息”,可以通过以下步骤实现:
步骤S261,所述终端将所述数据信息发送到终端自身的加密设备,并获取所述加密设备根据所述数据信息计算得到的第三密钥因子。
这里,所述加密设备可以是硬件设备(如云加密机等设备)或者符合安全需求的软设备用于保存用户密钥,安全级别至少能够达到传统U盾;所述第三密钥因子不是本地的终端密钥因子,是在加密设备内部根据第一终端密钥因子和服务器端的密钥因子生成的。
步骤S262,当所述第三密钥因子符合预设条件时,所述服务器获取用户证书。
这里,判断所述第三密钥因子是否符合条件包括:所述服务器判断所述第三密钥因子是否与预设的第三密钥因子相同,如果所述第三密钥因子与预设的第三密钥因子相同,确定所述第三密钥因子符合预设条件;如果所述第三密钥因子与预设的第三密钥因子不同,确定所述第三密钥因子不符合预设条件。
在其他实施例中,所述步骤S206,即,服务器自动生成并保存所述服务器的服务器端的密钥因子,可以通过以下两种方式实现:
方式一,服务器在设备的机密设备内部,经过散列、异或组合,生成并保存由M个密钥拆分因子组成的服务器端的密钥因子;其中,M等于N。
方式二,由处于服务器外的加密设备自动生成M个密钥拆分因子组成的服务器端的密钥因子,并通过安全通道发送给服务器。
在其他实施例中,所述步骤S207,即服务器根据所述第二终端密钥因子和所述服务器端的密钥因子合成公钥,包括:
服务器根据所述N个密钥拆分因子组成的第二终端密钥因子和M个密钥拆分因子组成的服务器端的密钥因子合成公钥。
实施例三
对终端的可信身份验证时,一般通过以下两种方式:
方式1)、PC端可信身份认证:要求插入硬件U盾,利用USB key里面存储的数字证书进行用户身份确认,二代key还要求用户在key上进行二次确认。
方式2)、移动端可信认证,包括用户名密码认证、双因素认证和利用手机各类接口连接传统U盾令牌进行认证,其中:
用户名密码认证:通过复杂口令(口令必须包含大写字母、特殊字符、数字)、定期更换密码且不得与原密码相同等手段保护密码安全;
双因素认证:用户名密码加短信验证码、用户名密码加动态口令(One-timePassword,OTP);
利用手机各类接口连接传统U盾令牌进行认证:如蓝牙、音频接口等;现有U盾方式,需要在手机之外随身携带外置设备,难以推广。
上述终端的可信认证方式仍有不足,比如采用PC端可信身份认证方式时,用户需要随身携带U盾等硬件设备,较为繁琐;采用移动端可信认证方式时,用户需要记住大量的密码,在使用时需要用户多次输入密码,太过复杂,也不符合用户的使用习惯。有鉴于此,本发明实施例提供一种可信身份认证方法,主要采用云key技术。本实施例中的云key技术是将传统U盾云化,云端采用硬件设备(如云加密机等设备)或者云端符合安全需求的软设备用于保存用户密钥,安全级别相当于传统U盾;本地终端使用密码技术标识用户身份,“云端+客户端”组合,形成完整的用户身份。本发明实施例通过云平台为用户发放数字证书,用户私钥采用云端托管的方式,实现用户端零介质成本;利用密钥分散技术,同时将用户、终端进行绑定,保证用户身份安全。
本发明实施例可以解决以下两个问题:
1、U盾携带不方便:用户密钥托管在云端,无需额外携带其它介质;
2、用户名密码安全级别低:云端采用加密机或者符合相关安全要求的设备保存用户密钥,密钥的访问需要用户参与,安全效果媲美银行U盾。
本发明实施例主要解决用户使用及携带硬件U盾的繁琐,同时应用云端密码设备管理用户密钥,达到了U盾安全级别,是一种很好的互联网环境下身份认证方法。云key系统犹如一个云端硬件key容器,保证用户密钥安全的同时提高用户易用性。云key系统主要完成云端密钥安全管理、用户身份识别、密钥保护、数字签名验证、数据加解密等功能。
用户通过实名认证进行云key实名注册,注册时,服务器端生成用户标识下发给本地终端,用户输入PIN码加密保存用户标识本地终端信息,同时将本地终端信息上传到云端,云端根据用户标识、终端信息、服务器端密钥因子等为用户生成身份密钥,证书授权中心根据身份密钥为用户发放身份证书。在用户进行业务操作时,用户输入PIN码,解密本地终端密钥因子,本地密钥因子及服务器端密钥因子分别进行密码运算,客户端运算的结果上传到服务器端,服务器端获取到客户端计算数据,在密码机或者安全设备内形成最终计算结果。多种手段保证云key身份安全,达到传统U盾安全级别。
本发明实施例的实现过程如下:
第一步,基于门限分割的密钥分散管理:用户密钥由服务器端密钥因子和客户端密钥因子组成,客户端、服务器端各自保存自身密钥因子,同时在云端密码机内部合成公钥,由CA中心根据组合公钥进行用户证书发放。终端侧密钥因子选择如下:设备厂商名称、设备名称、主板标识以及CPU标识、IMEI等。
上述信息将在散列后,通过异或组合获得拆分密钥因子;服务器端在加密机内部生产拆分因子。
拆分密钥因子的计算过程为:根据dA=d1+d22+d3(d4+d5*d6)+d7,产生随机数dA作为私钥,其中,d1是用户输入终端的PIN码经1次散列得到,d2、d4、d6是终端的硬件标识信息,比如IMEI、IMSI等。d3、d5、d7是终端自动产生的随机数。同时,根据计算公钥(x,y)=[dA]G。其中,(x,y)是采用椭圆加密算法时,椭圆曲线某一点的坐标;[dA]是dA对应的的矩阵;G是选择国密算法推荐的256位椭圆曲线参数,G=[Gx,Gy],默认值为:
Gx=32C4AE2C 1F198119 5F990446 6A39C994 8FE30BBF F2660BE1 715A4589334C74C7;
Gy=BC3736A2 F4F6779C 59BDCEE3 6B692153 D0A9877C C62A4740 02DF32E52139F0A0。
第二步,基于多方协同密码运算:客户端、服务器端分别使用自身存储的密钥因子进行单独密码运算,形成中间结果;客户端将中间结果通过网络通道上传到服务器端,传输数据仅包含密码计算的中间结果,无法推算任何密钥信息;后台服务器在密码机或者安全设备内合成计算结果,用户密钥不出密码设备。
第三步,基于用户、设备的安全管控:用户操作需要由绑定的终端发起,用户数据无法拷贝到其他设备,同时需要用户输入PIN码参与计算。
通过步骤一至三实现的终端的可信身份认证,能够有效的应对以下风险:
1、恢复用户密钥攻击风险:密钥的计算由客户端和服务器端分别计算的中间值在密码设备内部完成整合,完整的密钥在任何设备和存储中都不会出现,也不会在运算时出现在内存和密码设备中,无法通过内存分析等方式获得完整的密钥设备;计算过程中密钥因子无需在网络中传递,无法根据网络层获取到的数据恢复出完整密钥。
2、非法调用用户密钥攻击风险:客户端运算请求信息来自云key app,每次信息请求均无法进行重放;PIN码参与运算,针对PIN的猜测或者暴力破解,对超过设定次数的用户进行锁定。
3、绕过认证机制攻击风险:客户端PIN码是密码的一部分,无法绕过;使用数字证书进行双向强认证。
云key系统犹如一个云端硬件key容器,云化客户端U key,在保证安全性的同时解决了用户使用及携带硬件key的繁琐问题。云key系统主要完成云端密钥安全存放、用户自助管理、数字签名验证、数据加解密等功能。用户将传统业务部署云端,可以无缝集成云key系统,通过在线密码服务的形式实现原有硬件key的安全运算功能,为云环境下的在线服务提供安全可信的密码服务,防止网上的各种欺诈行为发生。
图3为本发明实施例终端的逻辑架构图,如图3所示,在基于终端的可信身份认证系统中,主要包括四个模块:移动终端模块301、云key可信身份认证系统模块307、应用系统模块306、安全通道模块307。其中,移动终端模块301包括:云key app模块302、实名认证模块303、身份管理模块304、证书管理模块305;云key可信身份认证系统模块308包括:用户身份认证模块309、密钥管理模块310、密钥保护模块311、证书管理模块312。其中,各模块主要功能如下:
移动终端模块301,用于消费或者交易的业务客户端,涉及具体的消费及交易业务。
云key app模块302,用于存储用户标识,与云key平台进行交互,进行用户身份认证。
实名认证模块303,用于支持U盾认证、身份证查验、银行认证、电子身份标识(electronic Identity,eID)认证等多种认证方式,方便在各场景使用。
身份管理模块304,在本地可信环境中,用于安全存储云key用户本地身份,配合云端身份协同实现用户身份识别。
证书管理模块305,获取并保存用户证书及用户信息。
应用系统模块306,用于作为实际业务本身的业务数据和逻辑处理,与其客户端相交互。
安全传输模块307,用于为云key平台部署服务器证书,云key平台与终端侧通过安全套接层(Secure Sockets Layer,SSL)安全传输,保护网络传输数据。
云key可信身份认证系统模块308:用于认证用户身份。
用户身份认证模块309,用于云key app在手机端采用安全键盘来传输用户的PIN口令,PIN口令仅在本地与硬件进行安全密码计算,不以明文的形式在网络中传输,避免中间环节泄露。
密钥管理模块310,用于云key系统通过系统内的硬件密码设备直接生成和保存密钥,用户密钥保存在硬件设备中,密钥全生命周期不会以明文出现在硬件密码设备之外的地方;硬件密码设备同时也作为签名运算模块;密钥的使用需要用户通过app或安全控件与云密钥托管系统直接安全连接来输入PIN码进行授权,保证用户具有密钥的唯一使用权。
密钥保护模块311,用于云key系统会自动维护用户与用户密钥的映射关系,这样应用服务只需要与云key系统通过用户的唯一标识来确认用户,不需要应用服务端保存任何的密钥信息,可彻底免除应用服务对密钥保护的权责,更好的专注于业务。
证书管理模块312,用于管理在CA平台获取的用户证书。
图4为本发明实施例完成注册的示意图,如图4所示,所述注册过程可以通过以下步骤实现:
步骤S401,客户端获取用户信息,并发送给业务平台。
这里,所述用户信息可以是用户的账户、密码、姓名、身份证号等;用户通过客户端或浏览器登录业务平台,该过程包括,用户打开客户端,客户端获取用户的账户和密码(即用户信息),然后将用户信息发送给业务平台,业务平台利用用户信息进行实名认证,从而完成用户登录过程。
步骤S402,业务平台接收用户信息,并根据用户信息进行实名认证,获取的token认证返回给客户端/浏览器。
这里,客户端/浏览器接收到token认证的消息之后,输出提示用户输入PIN码的消息。
步骤S403,发送申请开通云key app的请求信息,以及用户输入的PIN码。
步骤S404,云key app获取终端的硬件信息。
步骤S405,云key app的结合获取的硬件信息及PIN码,计算本地密钥因子。
这里,云key app将密码因子存储到云key app安全存储区;所述本地密钥因子即第二终端密钥因子。
步骤S406,云key app将硬件信息上传到key平台。
这里,所述云key app与云key平台采用SSL安全传输,将硬件信息与客户端密码因子上传到云key平台。
步骤S407,云key平台将用户信息与硬件信息绑定。
这里,所述用户信息包括用户输入的PIN码、用户实名认证时输入的信息。
步骤S408,云key平台在加密设备内部计算密钥因子,合成公钥。
这里,云key平台在加密设备内部计算服务器端的密码因子,并且在加密设备内部根据终端的密钥因子和服务器端的密钥因子,合成公钥。
步骤S409,云key平台将所述公钥发送到CA平台,申请证书。
步骤S410,CA平台根据所述公钥,签发用户证书。
步骤S411,CA平台将用户证书托管给云key平台。
步骤S412,云key平台管理用户证书,并将开通key app的消息通知给云key app。
步骤S413,云key app将开通云key app的消息通知用户。
图5为本发明实施例预进行业务操作时完成认证过程的示意图,如图5所示,所述认证过程,可以通过以下步骤实现:
步骤S501,客户端与业务平台正常连接,预进行业务操作。
步骤S502,若进行关键业务,业务平台提示客户端/浏览器发送用户身份信息。
这里,业务平台提示客户端/浏览器发送用户身份信息,是为了根据用户的身份信息,进行用户身份认证。
步骤S503,客户端/浏览器将用户身份信息发送给云key app。
步骤S504,云key app提示客户端/浏览器发送用户输入的PIN码。
步骤S505,客户端/浏览器将用户输入的PIN码发送给云key app。
步骤S506,云key app密码模块获取PIN码,获取本地硬件信息。
步骤S507,云key app使用PIN码及硬件信息计算用户身份密钥因子。
这里,云key app得到用户身份密钥因子之后,用户身份密钥因子与终端安全存储区存储的密钥因子比对,验证终端的本地身份。
步骤S508,本地验证通过后,云key app通过SSL安全传输,将用户身份密钥因子上传给云key平台。
这里,云key平台根据用户身份密钥因子,从加密设备中获取相匹配的用户数据,根据用户数据,加密设备进行密钥计算,合成与用户相匹配的密钥因子。
步骤S509,云key平台在自身的加密设备内部计算服务器端的密钥因子。
这里,云key平台将服务器端的密钥因子和用户相匹配的密钥因子在加密设备内部合成用户身份信息。
步骤S510,云key进行身份验证,并获取用户证书。
步骤S511,云key平台将用户身份识别结果推送给云key app。
步骤S512,云key平台将验证结果,发送给云key app。
步骤S513,云key app接收验证结果,并发送到客户端。
步骤S513,客户端进行用户身份token,并授权业务平台进行业务操作。
需要说明的是,本发明实施例中,如果以软件功能模块的形式实现上述的基于终端的可信身份认证方法,并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的介质。这样,本发明实施例不限制于任何特定的硬件和软件结合。
实施例四
对应地,本发明实施例提供一种基于可信身份认证的终端,图6为本发明实施例所述终端的组成结构示意图,如图6所示,所述终端600至少包括:控制器601和配置为存储可执行指令的存储介质602,其中:
控制器601配置为执行存储的可执行指令,所述可执行指令用于实现下面的步骤:
当接收到业务平台发送的业务操作请求时,输出第一提示信息;其中,所述第一提示信息用于提示输入第一验证信息;
根据用户输入的第一验证信息和获取的所述终端的硬件信息,计算第一终端密钥因子;
当所述第一终端密钥因子与所述终端的存储区存储的第二终端密钥因子相同时,将所述第一密钥因子发送给服务器;
获取所述服务器根据所述第一密钥因子获取的验证通过信息;
根据所述验证通过信息,向业务平台发送所述业务操作请求对应的业务操作响应;其中,所述业务操作响应包括第一启动信息,所述第一启动信息用于授权业务平台进行业务操作。
本发明实施例再提供一种基于可信身份认证的终端,参见图6所示,所述终端600至少包括:控制器601和配置为存储可执行指令的存储介质602,其中:
控制器601配置为执行存储的可执行指令,所述可执行指令用于实现下面的步骤:
接收终端发送的第一终端密钥因子;
获取与所述第一终端密钥因子相匹配的数据信息;
当所述数据信息符合预设条件时,获取证书授权中心CA发送的用户证书,并根据所述用户证书获取验证通过信息;
将所述验证通过信息发送给所述终端。
需要说明的是,以上设备实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本发明设备实施例中未披露的技术细节,请参照本发明方法实施例的描述而理解。
对应地,本发明实施例提供一种计算机存储介质,所述计算机存储介质中存储有计算机可执行指令,该计算机可执行指令配置为执行本发明其他实施例提供的基于终端的可信身份认证方法。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所描述的方法。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种可信身份认证方法,其特征在于,所述方法包括:
当终端接收输入的第一开通请求时,所述终端输出第二提示信息;其中,所述第二提示信息用于提示输入第二验证信息;
所述终端响应所述第一开通请求,获取输入的第二验证信息和所述终端的硬件信息;
所述终端根据所述第二验证信息和所述硬件信息计算得到所述终端的第二终端密钥因子;
当所述终端接收到业务平台发送的业务操作请求时,所述终端输出第一提示信息;其中,所述第一提示信息用于提示输入第一验证信息;
所述终端根据用户输入的第一验证信息和获取的所述终端的硬件信息,计算第一终端密钥因子;
当所述第一终端密钥因子与所述终端的存储区存储的第二终端密钥因子相同时,所述终端将所述第一终端密钥因子发送给服务器;
所述终端获取所述服务器根据所述第一终端密钥因子获取的验证通过信息;
所述终端根据所述验证通过信息,向业务平台发送所述业务操作请求对应的业务操作响应;其中,所述业务操作响应包括第一启动信息,所述第一启动信息用于授权业务平台进行业务操作。
2.如权利要求1中所述的方法,其特征在于,在当终端接收到业务平台发送的业务操作请求时,所述终端输出第一提示信息之前,包括:
将所述第二终端密钥因子存储在所述终端的存储区;
所述终端将所述硬件信息和所述第二终端密钥因子上传到服务器。
3.如权利要求2中所述的方法,其特征在于,所述根据所述第二验证信息和所述硬件信息计算得到所述终端的第二终端密钥因子,并将所述第二终端密钥因子存储在所述终端的存储区,包括:
所述终端将所述硬件信息和所述第二验证信息,经过散列、异或组合,得到由N个密钥拆分因子组成的第二终端密钥因子;其中,N为大于1的自然数;
所述终端将所述由N个密钥拆分因子组成的第二终端密钥因子存储在所述终端的存储区。
4.一种可信身份认证方法,其特征在于,所述方法包括:
服务器接收终端发送的第一终端密钥因子;其中,所述第一终端密钥因子是当所述终端输出第一提示信息,根据用户输入的第一验证信息和获取的所述终端的硬件信息,计算第一终端密钥因子,当所述第一终端密钥因子与所述终端的存储区存储的第二终端密钥因子相同时,发送的;其中,所述第一提示信息用于提示输入第一验证信息;
所述第二终端密钥因子是当所述终端接收输入的第一开通请求时,输出第二提示信息,响应所述第一开通请求,获取输入的第二验证信息和所述终端的硬件信息,根据所述第二验证信息和所述硬件信息计算得到的;其中,所述第二提示信息用于提示输入第二验证信息;
所述服务器获取与所述第一终端密钥因子相匹配的数据信息;
当所述数据信息符合预设条件时,所述服务器获取证书授权中心CA发送的用户证书,并根据所述用户证书获取验证通过信息;
所述服务器将所述验证通过信息发送给所述终端。
5.如权利要求4中所述的方法,其特征在于,在服务器接收终端发送的第一终端密钥因子之前,包括:
所述服务器接收所述终端发送的第二终端密钥因子;其中,所述第二终端密钥因子是所述终端在接收到输入的第一开通请求之后发送的;
所述服务器自动生成并保存所述服务器的服务器端的密钥因子;
所述服务器根据所述第二终端密钥因子和所述服务器端的密钥因子合成公钥;
所述服务器根据所述公钥生成第一验证请求,并将所述第一验证请求发送到证书授权中心CA;
所述服务器根据获取CA签发的用户证书,将开通所述终端的第一开通请求发送给所述终端。
6.如权利要求4中所述的方法,其特征在于,当所述数据信息符合预设条件时,所述服务器获取证书授权中心CA发送的用户证书,包括:
所述服务器获取根据所述数据信息计算得到的第三密钥因子;
当所述第三密钥因子符合预设条件时,所述服务器获取用户证书。
7.如权利要求4中所述的方法,其特征在于,所述服务器获取与所述第一终端密钥因子相匹配的数据信息,包括:
所述服务器接收所述终端响应第一开通请求时发送的第一身份信息和所述终端的硬件信息;
所述服务器根据所述第一身份信息、终端的硬件信息生成数据信息。
8.如权利要求7中所述的方法,其特征在于,所述服务器根据所述第二终端密钥因子和所述服务器端的密钥因子合成公钥,包括:
所述服务器根据N个密钥拆分因子组成的第二终端密钥因子和M个密钥拆分因子组成的服务器端的密钥因子合成公钥,其中,所述N个密钥拆分因子是根据所述硬件信息和所述第二验证信息散列、异或组合得到的。
9.一种终端,其特征在于,所述终端至少包括:控制器和配置为存储可执行指令的存储介质,其中:
控制器配置为执行存储的可执行指令,所述可执行指令配置为执行上述权利要求1至3任一项提供的基于终端的可信身份认证方法;或者,所述可执行指令配置为执行上述权利要求4至8任一项提供的基于终端的可信身份认证方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可读存储介质中存储有计算机可执行指令,该计算机可执行指令配置为执行上述权利要求1至3任一项提供的基于终端的可信身份认证方法;或者,该计算机可执行指令配置为执行上述权利要求4至8任一项提供的基于终端的可信身份认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711329215.8A CN109922027B (zh) | 2017-12-13 | 2017-12-13 | 一种可信身份认证方法、终端及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711329215.8A CN109922027B (zh) | 2017-12-13 | 2017-12-13 | 一种可信身份认证方法、终端及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109922027A CN109922027A (zh) | 2019-06-21 |
| CN109922027B true CN109922027B (zh) | 2020-08-28 |
Family
ID=66958790
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711329215.8A Active CN109922027B (zh) | 2017-12-13 | 2017-12-13 | 一种可信身份认证方法、终端及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109922027B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110300110B (zh) * | 2019-06-28 | 2022-08-30 | 炬星科技(深圳)有限公司 | 一种加解密控制方法、充电桩以及充电设备 |
| CN112713998B (zh) * | 2020-12-16 | 2022-10-18 | 华人运通(上海)云计算科技有限公司 | 充电桩的证书申请方法、系统、设备及存储介质 |
| CN113298484A (zh) * | 2021-03-12 | 2021-08-24 | 阿里巴巴新加坡控股有限公司 | 订单信息海关申报方法、装置及电子设备 |
| CN113595727B (zh) * | 2021-09-26 | 2021-12-21 | 南京慧链和信数字信息科技研究院有限公司 | 一种基于密钥分存与硬件绑定的密钥安全系统 |
| CN114389903B (zh) * | 2022-03-24 | 2022-09-09 | 深圳百胜扬工业电子商务平台发展有限公司 | 一种数字身份信息加密和认证方法 |
| CN114826570A (zh) * | 2022-03-30 | 2022-07-29 | 微位(深圳)网络科技有限公司 | 证书获取方法、装置、设备及存储介质 |
| CN117411643B (zh) * | 2023-12-11 | 2024-02-27 | 四川省数字证书认证管理中心有限公司 | 在线ukey的pin码安全系统及方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR3022053B1 (fr) * | 2014-06-06 | 2018-02-02 | Oberthur Technologies | Procede d'authentification d'une premiere entite electronique par une seconde entite electronique et entite electronique mettant en œuvre un tel procede |
| JP6521640B2 (ja) * | 2015-01-14 | 2019-05-29 | キヤノン株式会社 | 情報処理装置及びその制御方法、並びにプログラム |
| CN104580250A (zh) * | 2015-01-29 | 2015-04-29 | 成都卫士通信息产业股份有限公司 | 一种基于安全芯片进行可信身份认证的系统和方法 |
| CN109150548B (zh) * | 2015-12-01 | 2021-10-08 | 神州融安科技(北京)有限公司 | 一种数字证书签名、验签方法及系统、数字证书系统 |
| CN106027467B (zh) * | 2016-01-21 | 2019-11-19 | 李明 | 一种身份证读取响应系统 |
-
2017
- 2017-12-13 CN CN201711329215.8A patent/CN109922027B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN109922027A (zh) | 2019-06-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109922027B (zh) | 一种可信身份认证方法、终端及存储介质 | |
| CN107251035B (zh) | 账户恢复协议 | |
| US20180082050A1 (en) | Method and a system for secure login to a computer, computer network, and computer website using biometrics and a mobile computing wireless electronic communication device | |
| US9673975B1 (en) | Cryptographic key splitting for offline and online data protection | |
| CN106664202B (zh) | 提供多个设备上的加密的方法、系统和计算机可读介质 | |
| ES2687191T3 (es) | Método de autentificación de red para transacciones electrónicas seguras | |
| US9191394B2 (en) | Protecting user credentials from a computing device | |
| US10848304B2 (en) | Public-private key pair protected password manager | |
| US8532620B2 (en) | Trusted mobile device based security | |
| US8433914B1 (en) | Multi-channel transaction signing | |
| US20140164777A1 (en) | Remote device secure data file storage system and method | |
| US10924289B2 (en) | Public-private key pair account login and key manager | |
| CN103532966A (zh) | 一种支持基于usb key单点登录虚拟桌面的装置及方法 | |
| CN109076090B (zh) | 更新生物特征数据模板 | |
| WO2015133990A1 (en) | Methods and apparatus for migrating keys | |
| WO2019226115A1 (en) | Method and apparatus for user authentication | |
| CN108173648B (zh) | 基于私钥托管的数字安全处理方法、设备及存储介质 | |
| WO2021190197A1 (zh) | 生物支付设备的认证方法、装置、计算机设备和存储介质 | |
| US20190311100A1 (en) | System and methods for securing security processes with biometric data | |
| JP2009199147A (ja) | 通信制御方法および通信制御プログラム | |
| KR102053993B1 (ko) | 인증서를 이용한 사용자 인증 방법 | |
| CN107070648B (zh) | 一种密钥保护方法及pki系统 | |
| WO2017107642A1 (zh) | 一种安全输入法的文本处理方法、装置和系统 | |
| CN115242471A (zh) | 信息传输方法、装置、电子设备及计算机可读存储介质 | |
| US11671475B2 (en) | Verification of data recipient |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |