CN110291757B - 用于提供简化帐户注册服务、用户认证服务的方法及利用其的认证服务器 - Google Patents
用于提供简化帐户注册服务、用户认证服务的方法及利用其的认证服务器 Download PDFInfo
- Publication number
- CN110291757B CN110291757B CN201880006836.9A CN201880006836A CN110291757B CN 110291757 B CN110291757 B CN 110291757B CN 201880006836 A CN201880006836 A CN 201880006836A CN 110291757 B CN110291757 B CN 110291757B
- Authority
- CN
- China
- Prior art keywords
- information
- authentication
- user
- public key
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 121
- 230000008569 process Effects 0.000 claims abstract description 39
- 238000012545 processing Methods 0.000 claims description 18
- 238000004891 communication Methods 0.000 claims description 11
- 239000000284 extract Substances 0.000 claims description 4
- 230000004044 response Effects 0.000 abstract description 4
- 230000006870 function Effects 0.000 description 14
- 238000004873 anchoring Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 10
- 238000012795 verification Methods 0.000 description 9
- 230000015654 memory Effects 0.000 description 6
- 230000008901 benefit Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 230000003252 repetitive effect Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 244000035744 Hura crepitans Species 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 241000287828 Gallus gallus Species 0.000 description 1
- 241000406668 Loxodonta cyclotis Species 0.000 description 1
- 241000282376 Panthera tigris Species 0.000 description 1
- 241000287127 Passeridae Species 0.000 description 1
- 241001178520 Stomatepia mongo Species 0.000 description 1
- 241000282898 Sus scrofa Species 0.000 description 1
- 241000282485 Vulpes vulpes Species 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 230000006866 deterioration Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/55—Push-based network services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2117—User registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Power Engineering (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明提供一种使用智能合约和区块链数据库对用户的登录请求通过基于PKI的认证代理登录的方法。根据本发明的方法,从用户终端中的服务提供应用程序获取到通过在用户终端运行的认证应用程序请求代理登录的信息的情况下,所述服务提供服务器向所述服务提供应用程序传送认证请求响应信息,其认证重定向请求传送至所述认证应用程序后,获取到服务器挑战请求信息的情况下,将服务器挑战请求响应信息传送至所述认证应用程序以支持判定服务器和应用程序认证书是否有效,有效的情况下向所述服务提供应用程序传送规定的访问令牌以支持使得能够利用所述服务,以处理所述登录。
Description
技术领域
本发明涉及一种提供简化帐户注册服务、用户认证服务的方法及执行其的认证服务器,更具体地,本发明涉及一种执行用户的初始帐户的注册以后,作为用于识别对应于初始帐户的第一应用程序的用户的第一用户识别信息包括(i)用户的认证用个人信息、(ii)第一应用程序的用户的ID、(iii)由作为用户使用的终端的用户终端中包含的安全要素(Secure Element,SE)生成的第一公钥及(iv)生成为对应于第一应用程序的第一推送通知ID的信息已存储在认证服务器或与认证服务器联动的其他装置的状态下,从用户终端获取到作为通过不同于第一应用程序且由用户终端运行的第二应用程序请求基于公钥基础设施(public key infrastructure,PKI)的简便帐户注册的信息的帐户注册请求信息及认证用个人信息的情况下,验证帐户注册请求信息及认证用个人信息的有效性或者支持其他装置进行验证,帐户注册请求信息及认证用个人信息有效的情况下,基于帐户注册请求信息执行简便帐户注册或者支持其他装置执行的(1)提供简化帐户注册服务的方法;以及,在已经执行简便账户注册的状态下,获取到作为通过第二应用程序请求基于PKI的帐户登录的信息的帐户登录请求信息和特定公钥的情况下,认证服务器判定帐户登录请求信息和特定公钥的有效性或者支持其他装置进行判定,帐户登录请求信息和特定公钥有效的情况下,基于第二用户识别信息执行帐户登录或者支持其他装置执行的(2)用户认证方法、执行该方法的认证服务器。
背景技术
通常,特定机构(entity)或多个机构推出多种服务的情况下,例如,推出多个应用程序(application,app)的情况下,用户需要登录(login)或注册(signup)各种应用程序,因此非常繁琐。
作为解决这种问题的一种方法,以往作为代理执行用户个人帐户登录的服务,OAuth2.0之类的网页、移动和桌面应用程序等利用标准认证方式。
但是,从服务提供商的立场来看,很难一直采用这种登录代理方式。这是因为登录代理需要基于对注册在其他机构中的用户信息的信任。不仅如此,不难想像运营个别服务时个别用户需要具备自身帐户的情况。例如,网店等情况下,需要一直跟踪(tracking)个别用户的配送地址真伪、确定结算金额、是否完成结算等,而经营网店的主体无法通过登录代理委托外部机构验证这些信息的真伪。
因此,需要一种不同于如上所述的登录代理方法的简单、安全的简化帐户注册的方案。
作为这种简化方案,本发明人旨在提供的方法是通过一个应用程序进行认证而注册帐户以后,在第三方应用程序中利用通过该应用程序得到的认证信息,仅使用通过用户个人PIN码和推送消息(push message)传送的可变认证用信息即可简单、安全地完成在第三方应用程序中的注册步骤,而无需输入不仅输入复杂而且一旦泄露则可能会引发各种问题的个人信息。
发明内容
要解决的技术问题
本发明旨在提供用于提供如上所述的简单、安全的简便帐户注册服务的方法及服务器,本发明的目的是提供一种具有高度安全性且能够简便地代替现有的重复性的帐户注册方法的技术方案。
近来市场上销售的一般移动终端设备的操作系统(operating system)以安全为由采用禁止应用程序访问包括其他应用程序在内的各种信息的方式(例如,苹果公司的iOS采用的沙盒(sandbox)方式),这导致应用程序之间很难共享信息,虽然安全性得到了提高,但具有使用性降低的倾向。
因此,本发明的目的在于防止注册多个应用程序帐户时使用性下降且保持高度安全性,能够在注册其他应用程序帐户时利用对应于一个应用程序的已经经过认证的帐户可靠性。
技术方案
用于实现如上所述的本发明的目的且实现下述本发明的特征效果的本发明的技术特征如下所述。
根据本发明的一个方面,提供一种提供简化帐户注册服务的方法,包括:执行用户的初始帐户的注册以后,作为用于识别对应于所述初始帐户的第一应用程序的所述用户的第一用户识别信息包括(i)所述用户的认证用个人信息、(ii)所述第一应用程序的所述用户的ID、(iii)由作为所述用户使用的终端的用户终端中包含的安全要素(SecureElement,SE)生成的第一公钥及(iv)生成为对应于所述第一应用程序的第一推送通知ID的信息已存储在认证服务器或与所述认证服务器联动的其他装置的状态下,从所述用户终端获取到作为通过不同于所述第一应用程序且由所述用户终端运行的第二应用程序请求基于公钥基础设施(public key infrastructure,PKI)的简便帐户注册的信息的帐户注册请求信息及所述认证用个人信息的情况下,所述认证服务器验证所述帐户注册请求信息及所述认证用个人信息的有效性或者支持所述其他装置进行验证的步骤(a);以及,所述帐户注册请求信息及所述认证用个人信息有效的情况下,所述认证服务器基于所述帐户注册请求信息执行所述简便帐户注册或者支持所述其他装置执行的步骤(b);其中,所述步骤(b)包括:所述认证服务器利用与从所述用户终端获取的所述认证用个人信息对应的所述第一推送通知ID,将作为利用所述第一公钥对可变认证用信息编码得到的值的可变认证用加密信息传送至所述第一应用程序,支持所述第一应用程序向所述用户显示作为利用与所述第一公钥对应的第一私钥对所述可变认证用加密信息解码得到的值的所述可变认证用信息的步骤(b1);所述第二应用程序获取所述可变认证用信息,并通过所述第二应用程序在所述用户终端中包含的安全要素(Secure Element,SE)中生成作为基于所述PKI的密钥对(keypair)的第二公钥和第二私钥以后,从所述第二应用程序获取到所述可变认证用信息、所述第二公钥以及生成为对应于所述第二应用程序的第二推送通知ID的情况下,所述认证服务器验证所述可变认证用信息的有效性或支持所述其他装置进行验证的步骤(b2);以及,所述可变认证用信息有效的情况下,所述认证服务器存储用于识别所述第二应用程序的所述用户的第二用户识别信息或者支持所述其他装置存储的步骤(b3)。
根据本发明的另一个方面,提供一种使用已注册的帐户认证用户的方法,该方法包括:在(1)执行用户的初始帐户的注册以后,作为用于识别对应于所述初始帐户的第一应用程序的所述用户的第一用户识别信息包括(i)所述用户的认证用个人信息、(ii)所述第一应用程序的所述用户的ID、(iii)由作为所述用户使用的终端的用户终端中包含的安全要素(Secure Element,SE)生成的第一公钥及(iv)生成为对应于所述第一应用程序的第一推送通知ID的信息已存储在认证服务器或与所述认证服务器联动的其他装置后,(2)获取到作为通过不同于所述第一应用程序且由所述用户终端运行的第二应用程序请求基于公钥基础设施(public key infrastructure,PKI)的简便帐户注册的信息的帐户注册请求信息及所述认证用个人信息,所述帐户注册请求信息及所述认证用个人信息有效,(3)所述认证服务器将作为利用所述第一公钥对第一可变认证用信息编码得到的值的第一可变认证用加密信息传送至所述第一应用程序,所述第一应用程序向所述用户显示作为利用与所述第一公钥对应的第一私钥对所述第一可变认证用加密信息解码得到的值的所述第一可变认证用信息,(4)通过所述第二应用程序在所述用户终端中包含的安全要素中生成作为基于所述PKI的密钥对(key pair)的第二公钥和第二私钥以后,通过所述认证服务器从所述第二应用程序获取到所述第一可变认证用信息、所述第二公钥以及生成为对应于所述第二应用程序的第二推送通知ID,验证出所述第一可变认证用信息有效,(5)作为用于识别所述第二应用程序的所述用户的所述第二用户识别信息包括(i)所述用户的认证用个人信息、(ii)所述第二应用程序的所述用户的ID、(iii)所述第二公钥以及(iv)生成为对应于所述应用程序的第二推送通知ID的信息存储在所述认证服务器或所述其他装置的已执行了所述简便帐户注册的状态下,获取到作为通过所述第二应用程序请求基于所述PKI的帐户登录的信息的帐户登录请求信息和特定公钥的情况下,所述认证服务器判定所述帐户登录请求信息和所述特定公钥的有效性或者支持所述其他装置进行判定的步骤(a);所述帐户登录请求信息和所述特定公钥有效的情况下,所述认证服务器基于所述第二用户识别信息执行所述帐户登录或者支持所述其他装置执行的步骤(b)。
根据本发明的又一方面,提供一种提供简化帐户注册服务的认证服务器,该服务器包括:通信部,其执行用户的初始帐户的注册以后,作为用于识别对应于所述初始帐户的第一应用程序的所述用户的第一用户识别信息包括所述用户的认证用个人信息、所述第一应用程序的所述用户的ID、由作为所述用户使用的终端的用户终端中包含的安全要素(Secure Element,SE)生成的第一公钥及生成为对应于所述第一应用程序的第一推送通知ID的信息已存储在所述认证服务器或与所述认证服务器联动的其他装置的状态下,从所述用户终端获取作为通过不同于所述第一应用程序且由所述用户终端运行的第二应用程序请求基于公钥基础设施(public key infrastructure,PKI)的简便帐户注册的信息的帐户注册请求信息及所述认证用个人信息的通信部;以及,处理器,其执行获取到所述帐户注册请求信息和所述认证用个人信息的情况下,验证所述帐户注册请求信息和所述认证用个人信息的有效性或者支持所述其他装置进行验证的过程(i);以及,所述帐户注册请求信息和所述认证用个人信息有效的情况下,基于所述帐户注册请求信息执行所述简便帐户注册或者支持所述其他装置执行的过程(ii),其中,所述过程(ii)包括:利用与从所述用户终端获取的所述认证用个人信息对应的所述第一推送通知ID,将作为利用所述第一公钥对可变认证用信息编码得到的值的可变认证用加密信息传送至所述第一应用程序,支持所述第一应用程序向所述用户显示作为利用与所述第一公钥对应的第一私钥对所述可变认证用加密信息解码得到的值的所述可变认证用信息的过程(ii-1);所述第二应用程序获取所述可变认证用信息,并通过所述第二应用程序在所述用户终端中包含的安全要素(SecureElement,SE)中生成作为基于所述PKI的密钥对(key pair)的第二公钥和第二私钥以后,从所述第二应用程序获取到所述可变认证用信息、所述第二公钥以及生成为对应于所述第二应用程序的第二推送通知ID的情况下,验证所述可变认证用信息的有效性或支持所述其他装置进行验证的过程(ii-2);所述可变认证用信息有效的情况下,存储用于识别所述第二应用程序的所述用户的第二用户识别信息或者支持所述其他装置存储的过程(ii-3)。
根据本发明的又一方面,提供一种使用已注册的帐户认证用户的认证服务器,该服务器包括通信部及处理器:在(1)执行用户的初始帐户的注册以后,作为用于识别对应于所述初始帐户的第一应用程序的所述用户的第一用户识别信息包括所述用户的认证用个人信息、所述第一应用程序的所述用户的ID、由作为所述用户使用的终端的用户终端中包含的安全要素(Secure Element,SE)生成的第一公钥及生成为对应于所述第一应用程序的第一推送通知ID的信息已存储在认证服务器或与所述认证服务器联动的其他装置后,(2)获取到作为通过不同于所述第一应用程序且由所述用户终端运行的第二应用程序请求基于公钥基础设施(public key infrastructure,PKI)的简便帐户注册的信息的帐户注册请求信息及所述认证用个人信息,所述帐户注册请求信息及所述认证用个人信息有效,(3)所述认证服务器将作为利用所述第一公钥对第一可变认证用信息编码得到的值的第一可变认证用加密信息传送至所述第一应用程序,所述第一应用程序向所述用户显示作为利用与所述第一公钥对应的第一私钥对所述第一可变认证用加密信息解码得到的值的所述第一可变认证用信息,(4)通过所述第二应用程序在所述用户终端中包含的安全要素中生成作为基于所述PKI的密钥对(key pair)的第二公钥和第二私钥以后,通过所述认证服务器从所述第二应用程序获取到所述第一可变认证用信息、所述第二公钥以及生成为对应于所述第二应用程序的第二推送通知ID,验证出所述第一可变认证用信息有效,(5)作为用于识别所述第二应用程序的所述用户的所述第二用户识别信息包括所述用户的认证用个人信息、所述第二应用程序的所述用户的ID、所述第二公钥以及生成为对应于所述应用程序的第二推送通知ID的信息存储在所述认证服务器或所述其他装置的已执行了所述简便帐户注册的状态下,所述通信部获取作为通过所述第二应用程序请求基于所述PKI的帐户登录的信息的帐户登录请求信息和特定公钥;处理器执行获取到所述帐户登录请求信息和所述特定公钥后,判定所述帐户登录请求信息和所述特定公钥的有效性或者支持所述其他装置进行判定的过程(i)以及所述帐户登录请求信息和所述特定公钥有效的情况下,基于所述第二用户识别信息执行所述帐户的登录或支持所述其他装置执行的过程(ii)。
发明的效果
根据本发明的方法,具有安全性强且能够简便地进行帐户注册的效果。
另外,根据本发明的方法,具有通过高级加密、签名、验证提供极高安全性的效果。
附图说明
以下附图用于说明本发明的实施例,只是本发明的实施例的一部分而已,本发明所属技术领域的一般技术人员(以下简称“普通技术人员”)可在未付出创造性劳动的条件下基于这些附图导出其他附图。
图1是简要示出执行根据本发明第一至第三实施例的提供简化帐户注册服务及用户认证服务的方法的认证服务器及用户终端的示例性构成的概念图;
图2是例示根据本发明第一实施例的提供简化帐户注册服务的方法的顺序图(sequence diagram);
图3是例示根据本发明第二及第三实施例的提供简化帐户注册服务的方法的顺序图;
图4和图5是简要示出根据本发明第三实施例的认证信息交易信息被记录至区块链数据库的过程的概念图。
具体实施方式
为了明确本发明的目的、技术方案及优点,以下以能够实施本发明的特定实施例作为示例并结合附图对本发明进行说明。以下将对这些实施例进行详细说明以便普通技术人员能够实施本发明。
在本说明书中,所谓“数据库”是指体系化的数据,即,集成管理的信息的集合以及用于管理其的系统,包括通用关系型数据库、Mongo数据库(MongoDB)及区块链数据库中的至少一部分,但不限定于此。本领域普通技术人员可以理解的是在本说明书中为了便于说明,对虚拟货币的区块链数据库进行说明,但也可以变形实施于其他类型的数据库。
在本说明书中,所谓“公有区块链数据库”是指将管理作为虚拟货币的区块链被公共利用的区块链的公有区块链的虚拟货币系统上的所有计算装置用作数据库。
并且,在本说明书中,所谓“私有区块链数据库”是指利用虚拟货币的区块链,具体来讲利用本发明的认证服务器直接管理的、所谓单独构成的私有区块链而并非上述被公共利用的公有区块链的数据库。
所述虚拟货币是指基于应用区块链技术的电子钱包的通过交易(transaction)流通的数字货币,虚拟货币包括比特币、莱特币、暗黑币、域名币、狗狗币和瑞波币等。
另外,在本发明的说明书及权利要求中,术语“包括”及其变体并不旨在排除其他技术特征、附件、元件或步骤。本领域普通技术人员可通过本说明书和本发明的实施明确本发明的其他目的、优点及特性。以下例示和附图作为实例提供,目的并不是限定本发明。
另外,本发明包括本说明书中显示的实施例的所有可能的组合。应当理解,本发明的多种的实施例虽不同但并不相互排斥。例如,此处记载的特定形状、结构及特性在不脱离与一个实施例相关的本发明的精神和范围的情况下,可以通过其他实施例实现。还应理解,在不脱离本发明的精神和范围的情况下,可以改变每个公开的实施例中各个构成要素的位置或布置。因此,以下具体说明不应被视为具有限制意义,只要说明合理,本发明的范围只受与权利要求的主张同等的保护范围以及所附权利要求的限制。在附图中,相同的附图标记在各视图中指相同或相似的功能。
本发明的第一实施例是提供本发明的简化帐户注册服务及用户认证服务的实施例,除认证服务器以外无需额外配置区块链数据库。
本发明的第二实施例是以利用虚拟货币的未花费交易输出(unspenttransaction output,UTXO)将帐户相关信息记录至区块链数据库中,并通过其执行所述帐户注册及用户认证的方式构成的实施例。
本发明的第三实施例是利用虚拟货币的UTXO,将交易作为关于所述帐户的信息记录至第一区块链数据库后,将由记录至该第一区块链数据库的交易生成的代表哈希值记录至第二区块链数据库,双重确保记录的完整性的构成为锚定(anchoring)方式的实施例。
作为参考,在本发明中,若说所述第一区块链数据库是直接记录数据的区块链数据库,那么所述第二区块链数据库则是为了数据的完整性而经过所述第一区块链数据库间接记录的区块链数据库。
除非本说明书中另有说明或明显与上下文相互矛盾,以单数形式提及的项目在其上下文中无其他要求的前提下指代多个。以下参照附图对本发明的优选实施例进行具体说明以便于本领域普通技术人员能够轻松实施本发明。
图1是简要示出执行本发明的提供简化帐户注册服务及用户认证服务的方法的认证服务器及用户终端的示例性构成的概念图。
参照图1,根据本发明一个实施例的认证服务器和用户终端为典型的计算装置100(例如,计算机处理器、内存、存储器、输入装置及输出、其他可包括现有计算装置的构成要素的装置;路由器、交换机等电子通信装置;网络附加存储(NAS)和存储区域网络(SAN)之类的电子信息存储系统),可以是利用计算机软件(即,使计算装置以特定方式运行的指令)的组合执行本发明的方法的用户终端,这种计算装置100包括通信部110、处理器120,能够彼此间接或直接通信。
这种计算装置的通信部110可以与联动的其他计算装置发送和接收请求和响应,作为示例,这种请求和响应可以通过相同的传输控制协议(TCP)会话实现,但并不限于此,例如,也可以作为UDP数据报发送和接收。
另外,计算装置的处理器120可包括微处理器(Micro Processing Unit,MPU)或中央处理器(Central Processing Unit,CPU)、高速缓冲存储器(Cache Memory)、数据总线(Data Bus)等硬件配置。并且,还可以包括操作系统、执行特定目的的应用程序等软件配置。
通常,用于实施本发明方法的用户终端通常表示智能手机(smartphone)但不限于此,所述用户终端可以包括具有能够通过认证服务器提供简便帐户注册服务和用户认证服务的功能的任意终端。
第一实施例
以下,从第一实施例开始对本发明的代理登录的方法进行说明。
图2是例示本发明的提供简化帐户注册服务的方法(以下简称“简便帐户注册方法”)的顺序图(sequence diagram)。
参照图2,本发明第一实施例的简便帐户注册方法是在执行用户的初始帐户的注册以后,作为用于识别对应于所述初始帐户的第一应用程序的所述用户的第一用户识别信息包括(i)所述用户的认证用个人信息、(ii)所述第一应用程序的所述用户的ID、(iii)由作为所述用户使用的终端的用户终端中包含的安全要素(Secure Element,SE)生成的第一公钥及(iv)生成为对应于所述第一应用程序的第一推送通知ID的信息已存储在认证服务器或与所述认证服务器联动的其他装置的状态下执行。其中,所述认证用个人信息是用于区分所述用户与其他用户的信息,作为一例,可以是与所述用户终端对应的电话号码,但不限于此。
在对第一实施例的简便帐户注册方法进行说明之前,简要说明执行所述初始帐户注册的过程。
首先,在注册初始帐户时,可通过获取了初始帐户注册请求信息的认证服务器或与所述认证服务器联动的其他装置验证所述初始帐户注册请求信息有效后,基于该初始帐户注册请求信息执行所述初始帐户的注册,其中,所述初始帐户注册请求信息是通过由所述用户终端运行的第一应用程序请求基于PKI(public key infrastructure)的初始帐户注册的信息。通常,可以通过手机本人认证或电话确认等非面对面的认证等对初始帐户注册请求信息和用户为了初始帐户注册而提交的个人信息的真实性进行判断,此时,也可以由判断为正常用户的正常初始帐户注册请求的应用程序服务的运营者或认证服务器的运营者验证所述初始帐户注册请求有效。
尤其,作为执行该初始帐户注册时伴随初始帐户注册执行过程的步骤,所述认证服务器支持所述用户终端通过包含于所述用户终端的安全要素生成作为基于所述PKI的密钥对(key pair)的公钥和私钥,从而所述认证服务器从所述用户终端获取生成的所述公钥,并获取生成为对应于所述第一应用程序的第一推送通知ID。此时,可以同时获取为了所述第一应用程序指定的PIN码。获取的这些信息被存储到所述认证服务器或所述其他装置而成为存储有上述包括(i)所述认证用个人信息、(ii)所述第一应用程序的所述用户的ID、(iii)所述第一公钥以及(iv)所述第一推送通知ID的信息的状态,以此完成初始帐户的注册步骤。
在此,简要说明本发明中使用的基于PKI的加密方式。对于在执行本发明的方法的主体之间发送和接收的信息,可以利用接收方的公钥(public key)对发送方欲发送的信息进行编码(encoding)。而接收方可使用接收方的私钥(private key)对该经过编码的信息进行解码(decoding)以获取欲发送的信息,普通技术人员能够理解在执行本发明的方法时上述加密方式可应用于哪些步骤。另外,并非必须采用接收方的公钥(public key)对欲发送的信息进行编码(encoding),还可以采用已知的对称加密方式(symmetric-keyalgorithm)。
再次参照图2,本发明第一实施例的简便帐户注册方法包括在如上完成了初始帐户的注册步骤的状态下,从所述用户终端获取到作为通过不同于所述第一应用程序且由所述用户终端运行的第二应用程序S205请求的基于PKI的简便帐户注册的信息的帐户注册请求信息S210和所述认证用个人信息S215的情况下S220,所述认证服务器验证所述帐户注册请求信息和所述认证用个人信息的有效性或支持所述其他装置进行验证的步骤(S225至S235;图2未示出,参照图3)。
在此,关于验证所述帐户注册请求信息和所述认证用个人信息的有效性,例如可以通过判定所述帐户注册请求信息是否符合预先规定的格式、所述认证用个人信息,例如与用户终端的电话号码对应的信息是否存储在所述认证服务器中、所述用户终端的电话号码是否与存储在所述认证服务器的相应电话号码相同等进行验证。作为一个示例,所述帐户注册请求信息有可能是仅表示与所述认证用个人信息对应的用户请求注册所述第二应用程序的帐户的信息,并且所述验证可包括检查所述帐户注册请求信息与预先规定的格式是否一致的步骤。
再次参照图2,第一实施例的简便帐户注册方法还包括当所述帐户注册请求信息和所述认证用个人信息有效(S240至S275)的情况下,所述认证服务器基于所述帐户注册请求信息执行所述简便帐户注册或支持所述其他装置执行的(步骤S280,图2未示出,参照图3)。
具体地,所述步骤可包括:所述认证服务器利用与从所述用户终端获取的所述认证用个人信息对应的所述第一推送通知ID将利用所述第一公钥对可变认证用信息{例如,规定的随机数(random nonce)}编码得到的可变认证用加密信息传送至所述第一应用程序S240,支持所述第一应用程序向所述用户显示S245作为利用与所述第一公钥对应的第一私钥对所述可变认证用加密信息进行解码得到的值的所述可变认证用信息的步骤S240、S245;所述第二应用程序获取所述可变认证用信息S250后,通过所述第二应用程序在所述用户终端中包含的安全要素(Secure Element,SE)中生成作为基于所述PKI的密钥对(keypair)的第二公钥和第二私钥S260以后,从所述第二应用程序获取到所述可变认证用信息、所述第二公钥以及生成为对应于所述第二应用程序的第二推送通知ID S265的情况下S270,所述认证服务器验证所述可变认证用信息的有效性或支持所述其他装置进行验证S275的步骤S250至S275;以及,所述可变认证用信息有效的情况下,所述认证服务器存储用于识别所述第二应用程序的所述用户的第二用户识别信息或者支持所述其他装置存储的步骤(S280,图2未示出,参照图3)。
在此,可变认证用信息用于验证利用第二应用程序的用户是否具有能够利用第一应用程序的正当权限,例如用于验证是否在实际利用第一应用程序,可以是一次性编号,例如,可以是由任意的种子(seed)值生成的规定的随机数(random nonce),即,随机值(random value)。所述可变认证用信息可以是规定的随机数(random nonce),但并不限于此,例如,也可以是关于图片文件的信息。
以下简要说明当所述可变认证用信息是关于图像文件的信息的情况下,利用可变认证用信息执行认证的过程。例如,第二应用程序为了通过可变认证用信息进行认证而可以显示分别画有麻雀、大象、狐狸、老虎、鸡和猪的图片,如果第一应用程序中对应于可变认证用信息显示的图片是猪,所述用户可以可在看到该图后从第二应用程序显示的图片中选择猪的图片,以通过所述可变认证用信息进行认证。在此,如果选择猪以外的其他图片,则通过可变认证用信息的认证将会失败。
上述生成可变认证用信息的方法是与理解本发明无关的细节,因此賳进行更详细的说明,这是普通技术人员公知的细节或容易理解的部分。
另外,所述第二用户识别信息可以像所述第一用户识别信息一样包括(i)所述用户的认证用个人信息、(ii)所述帐户注册请求信息中包含的所述第二应用程序的所述用户的ID、(iii)所述第二公钥及(iv)所述第二推送通知ID。
另外,根据所述步骤的具体实施,还可以进一步考虑PIN码,所述PIN码是用户为了证明是用户本人而输入到用户终端的规定信息,作为一个示例,可以是包括英文字母、数字及特殊文字的密码,但并不限于此,普通技术人员应当理解可以用FIDO之类的生物识别技术中使用的信息代替所述PIN码。
如上还考虑PIN码的实施例的情况下,所述步骤S250至S275的特征可可以是从所述第二应用程序获取到所述可变认证用信息、所述第二公钥、所述第二推送通知ID以外还获取到特定PIN码的情况下,所述认证服务器验证所述可变认证用信息和所述特定PIN码的有效性或者支持所述其他装置进行验证;所述步骤S280的特征可以是所述可变认证用信息和所述特定PIN码均有效的情况下,所述认证服务器存储所述第二用户识别信息或者支持所述其他装置存储。关于判定特定PIN码的有效性,如果所述特定PIN码与所述用户预先为所述第一应用程序指定的PIN码相同,则可判定所述特定PIN码有效。
继续参照图2,第一实施例的简便帐户注册方法还可以包括所述可变认证用信息有效的情况下,所述认证服务器将表示已完成所述简便帐户注册的帐户注册完成消息作为帐户注册结果消息传送至所述第二应用程序或者支持所述其他装置传送的步骤S290,但并非必不可少。如果所述帐户注册请求信息、所述认证用个人信息或可变认证用信息无效,所述认证服务器可以将表示没有完成所述简便帐户注册的帐户注册失败消息作为所述帐户注册结果消息发送至所述第二应用程序或者支持所述其他装置传送。
以下说明利用通过上述简便帐户注册方法注册的帐户进行用户认证的方法(以下简称“用户认证方法”)。在下文中省略说明与上述第一实施例的简便帐户注册方法相同的细节特征,只对不同之处进行具体说明。
第一实施例的用户认证方法是在通过上述简便帐户注册方法执行用户的初始帐户注册及简便帐户注册的状态下执行的,包括获取到作为通过所述第二应用程序请求基于所述PKI的帐户登录的信息的帐户登录请求信息及特定公钥的情况下,所述认证服务器判定所述帐户登录请求信息及所述特定公钥的有效性或者支持所述其他装置进行判定的步骤(S310,未示出)。
例如,如果在所述步骤S310中所述第二公钥与所述特定公钥相同,则可判定为所述特定公钥有效。
第一实施例的用户认证方法最后还包括所述帐户登录请求信息和所述特定公钥有效的情况下,所述认证服务器基于所述第二用户识别信息执行所述帐户登录或者支持所述其他装置执行的步骤(S320,未示出)。
所述步骤S320例如可包括所述认证服务器将第二可变认证用信息传送至所述第二应用程序或支持所述其他装置传送,以支持所述用户终端利用所述安全要素生成作为对所述第二可变认证用信息进行签名的值的第二可变认证用信息签名值,并将生成的所述第二可变认证用信息签名值传送至所述认证服务器的步骤(S322,未示出);所述认证服务器利用存储的所述第二公钥验证传送的所述第二可变认证用信息签名值的有效性或支持所述其他装置进行验证的步骤(S324,未示出);以及,所述第二可变认证用信息签名值有效的情况下,所述认证服务器允许所述帐户的登录或支持所述其他装置允许的步骤(S326,未示出)。
在此简单说明验证第二可变认证用信息签名值有效性的方式。首先,可对所述第二可变认证用信息签名值利用所述第二公钥获得规定的哈希值A,可对该哈希值A和对所述第二可变认证用信息适用规定的哈希函数得到的结果值B进行比较以验证签名的有效性。普通技术人员已知在所述比较中所述哈希值A与适用所述规定的哈希函数得到的结果值B不一致的情况下签名无效,相同的情况下签名有效,普通技术人员熟知验证签名(在此指电子签名)有效性的方法。
在此,用于所述哈希运算的哈希函数可包括MD4函数、MD5函数、SHA-0函数、SHA-1函数、SHA-224函数、SHA-256函数、SHA-384函数、SHA-512函数和HAS-160函数但不限于此。例如,也可以是Triple SHA256。
另外,在进一步考虑PIN码的实施例的情况下,步骤S310的特征可以是获取到所述帐户登录请求信息和所述特定公钥以外还获取到输入到所述用户终端的特定PIN码的情况下,所述认证服务器判定所述帐户登录请求信息、所述特定公钥和所述特定PIN码的有效性或者支持所述其他装置进行判定;步骤S320的特征可以是所述帐户登录请求信息、所述特定公钥和所述特定PIN码均有效的情况下,所述认证服务器基于所述第二用户识别信息执行所述帐户的登录或支持所述其他装置执行。验证特定PIN码的有效性的方式与上述方式相同,因此此处省略重复说明。
第二实施例
以下对关于本发明的方法的第二实施例进行说明。在下文中不重复说明与上述第一实施例相同的技术特征,只对不同之处进行具体说明。
图3是例示本发明第二实施例的简便帐户注册方法的顺序图。在下文中不重复说明与上述第一实施例的简便帐户注册方法相同的具体特征,只对不同之处进行具体说明。
第二实施例的简便帐户注册方法是在规定的区块链数据库中记录有作为对第一实施例的上述第一用户识别信息中的至少一个信息进行哈希运算的结果值的第一用户识别哈希值及所述第一公钥或作为对其建工得到的值的第一认证信息交易的状态下执行的。在此,所述区块链数据库可以是私有区块链数据库或公有区块链数据库。
此时,第一实施例的上述步骤S225至S235在第二实施例中包括:所述认证服务器参照获取的所述帐户注册请求信息和所述认证用个人信息提取所述第一应用程序的所述用户的ID或者支持所述其他装置提取的步骤S225(参照图3);提取到所述第一应用程序的用户的ID后,所述认证服务器利用提取的所述用户的ID参照表示规定的区块链数据库中是否记录有作为对与提取的所述用户的ID对应的所述第一用户识别信息中的至少一个信息进行哈希运算得到的结果值的第一用户识别哈希值的信息,如果记录有所述第一用户识别哈希值,则判定所述帐户注册请求信息和所述认证用个人信息有效或者支持所述其他装置进行判定的步骤S230;以及,所述认证服务器从所述规定的区块链数据库获取所述第一公钥或支持所述其他装置获取的步骤S235。
在此,用户识别哈希值是对所述用户识别信息中的至少一个进行哈希运算得到的结果值,该用户识别信息除了上述信息以外还可进一步包括用户的姓名、出生日期、联络信息、电子邮件地址中的至少一种。但是普通技术人员可知晓不限于此。
另外,第一实施例的上述步骤S280在第二实施例中的特征在于,所述认证服务器将作为对所述第二用户识别信息中的至少一个信息进行哈希运算得到的结果值的第二用户识别哈希值和所述第二公钥或作为对其加工得到的值的第二认证信息交易进一步记录至规定的区块链数据库中或者支持所述其他装置记录。关于该第二用户识别哈希值和第二公钥的第二认证信息交易与所述第一认证信息交易相同,因此省略重复说明。
通过将该认证信息交易记录至区块链数据库,使用认证服务器的管理员或具有访问所述区块链数据库的权限的第三人不仅能够验证所述帐户注册的真伪,还能够管理关于多个帐户注册的统计数值等。
下面说明利用通过上述第二实施例的简便帐户注册方法注册的帐户的第二实施例的用户认证方法。在下文中不重复说明与上述第一实施例的用户认证方法相同的具体特征,只对不同之处进行具体说明。
与第二实施例的简便帐户注册方法类似,第二实施例的用户认证方法是在作为执行第二实施例的简便帐户注册方法将对所述第二用户识别信息中的至少一个信息进行哈希运算得到的结果值的第二用户识别哈希值、所述第二公钥或作为对其进行加工得到的值的第二认证信息交易已记录在规定的区块链数据库的状态下执行。
另外,第一实施例的上述步骤S310在第二实施例中包括:所述认证服务器参照包括获取的所述帐户登录请求信息的信息提取所述第二应用程序的所述用户的ID或者支持所述其他装置提取的步骤(S312,未示出);提取到所述第二应用程序的用户的ID后,所述认证服务器利用提取的所述用户的ID参照表示规定的区块链数据库中是否记录有作为对与提取的所述用户的ID对应的所述第二用户识别信息中的至少一个信息进行哈希运算得到的结果值的第二用户识别哈希值的信息,如果记录有所述第二用户识别哈希值,则判定为所述帐户注册请求信息有效或者支持所述其他装置进行判定的步骤(S314,未示出);所述认证服务器从所述规定的区块链数据库获取所述第二公钥或支持所述其他装置获取的步骤(S316,未示出);以及,获取的所述第二公钥与所述特定公钥相同的情况下,所述认证服务器判定为所述特定公钥有效或者支持所述其他装置进行判定的步骤(S318,未示出)。
简而言之,第二实施例的用户认证方法是参照记录在规定的区块链数据库中的第二认证信息交易在发生对第二应用程序的账户登录请求时进行认证。
第三实施例
以下说明关于本发明方法的第三实施例。在下文中对与上述第一、第二实施例相同的技术特征不重复说明,只对不同之处进行具体说明。
再次参照图3,第一、第二实施例中所述的简便帐户注册方法在第三实施例中是在对作为上述认证信息交易的哈希值的第一特定哈希值的与匹配的至少一个相邻哈希值一起进行哈希运算生成的第一代表哈希值或加工所述第一代表哈希值得到的值记录于规定的区块链数据库的状态下执行,其中,所述相邻哈希值是至少包括认证信息交易的哈希值的多个哈希值之一。
另外,对于上述步骤(S225至S235)在第三实施例而言,所述认证服务器在验证所述帐户注册请求信息的有效性时参照所述规定的区块链数据库。其具体含义是利用参照所述规定的区块链数据库获取的认证信息交易判定所述用户识别哈希值和公钥是否有效。
该本发明的第三实施例可构成为利用虚拟货币的UTXO将关于该UTXO的个别交易记录至第一区块链数据库后,将由记录至该第一区块链数据库中的交易生成的代表哈希值记录至第二区块链数据库中以双重确保记录的完整性的锚定(anchoring)方式,该情况下,所述规定的区块链数据库是第二区块链数据库,第三实施例的简便帐户注册方法在第一区块链数据库中还记录有所述认证信息交易的状态下执行。
对该锚定方式更具体来讲,根据本发明的第三实施例的简便帐户注册方法,在将认证信息交易记录至区块链数据库的步骤S280还可以包括执行:所述认证服务器将所述认证信息交易记录至所述第一区块链数据库中或者支持与所述认证服务器联动的其他装置记录的过程(A);以及满足锚定(anchoring)条件的情况下,将对作为所述认证信息交易的哈希值的特定哈希值与匹配的至少一个相邻哈希值一起进行哈希运算生成的代表哈希值或加工所述代表哈希值得到的值记录至所述第二区块链数据库或者支持与所述认证服务器联动的其他装置记录,并获取交易ID的过程(B)的步骤(未示出),其中,所述相邻哈希值是至少包括特定认证信息交易的哈希值的多个哈希值之一,所述交易ID为所述代表哈希值或加工所述代表哈希值得到的值记录在所述第二区块链数据库的位置信息。
在此,上述锚定(anchoring)条件可包括以下条件中的至少一个:(i)获取或生成规定数量的所述特定哈希值和相邻哈希值的条件、(ii)经过规定时间的条件、(iii)在所述第一区块链数据库中生成区块的条件、(iv)关于服务特性的条件。
可以通过多种函数执行特定哈希值和至少一个相邻哈希值的运算。用input表示特定哈希值,用x1、x2、…、xn表示至少一个相邻哈希值的情况下,代表哈希值t可用下列数学式表示。
[数学式1]
t=hash(function(input,x1,x2,...,xn))
在此,认证服务器可以将所述特定哈希值和所述至少一个相邻哈希值存储为规定的数据结构进行管理。其中,数据结构可以有很多种,例如,可以是默克尔树(merkle tree)结构。该情况下,可以通过默克尔树实现所述特定哈希值和所述至少一个相邻哈希值的运算。
即,所述认证服务器可以生成所述特定哈希值被分配到叶节点的默克尔树(merkle tree)或者支持使得生成,当满足规定的所述锚定(anchoring)条件时,获取对所述特征哈希值和匹配的至少一个被分配到其他叶节点的哈希值一起进行哈希运算而生成的所述代表哈希值或加工所述代表哈希值得到的值,并将得到的所述值记录至所述第二区块链数据库或支持其他装置记录。
所述认证服务器可以将最终分配到默克尔树的根节点的哈希值作为代表哈希值记录至所述第二区块链数据库或支持其他装置记录。此时,也可以记录加工代表哈希值得到的值。例如,可以记录对代表哈希值进行hex运算得到的结果值。
另外,所述认证服务器将所述特定哈希值和所述至少一个相邻哈希值存储为规定的第一数据结构,并且之后存储与所述第一数据结构相同的形态的第二数据结构并进行管理的情况下,所述第一数据结构和所述第二数据结构能够连接成链形态。
尤其,所述第一数据结构和所述第二数据结构像上述例子一样是默克尔树的情况下,所述第一数据结构的根值或所述根值的哈希值可被分配到所述第二数据结构的首个叶节点。
另外,在生成第二数据结构时对第一数据结构进行验证,从而能够进一步保障数据的完整性。
另外,当所述默克尔树为连接成链形态的至少一个默克尔树中的首个默克尔树的情况下,可以向所述默克尔树的首个叶节点分配由文字、数字或符号组成的规定的消息数据的哈希值或对其进行加工得到的值。例如,可分配生成默克尔树时由认证服务器初始赋予的输入消息的哈希值。
图4和图5示出根据本发明生成的默克尔树的例子。
图4示出叶节点数量为4(22)个的默克尔树。可知图示的默克尔树为首个默克尔树(tree_id=0),因此向作为首个叶节点的h1节点分配了规定的消息数据PrivBC_unique_message的哈希值SHA256(PrivBC_unique_message)。有交易注册的情况下,所述认证服务器生成当前正在构成的默克尔树的最后一个叶节点的下一个叶节点,分配特定哈希值或加工特定哈希值得到的值,或者支持其他装置分配。例如,对图4所示默克尔树来讲,已经在前面步骤中完成至对作为第二个叶节点的h1节点的值分配的情况下,可以生成作为下一个叶节点的h2节点并分配特定哈希值或加工特定哈希值得到的值SHA256(input2)。另外,所述认证服务器可以运算(i)特定哈希值和(ii)分配给被分配所述特定哈希值的第三个叶节点即h2节点的兄弟节点即h3节点的哈希值,或者支持其他装置进行运算。关于作为所述运算的结果的运算值的哈希值被分配于h2节点和h3节点的父节点(h23节点)。由于父节点(h23节点)不是默克尔树的根节点,因此所述认证服务器可以将分配于所述h23节点的哈希值作为所述特定哈希值而反复执行所述过程。即,将分配于h23节点的哈希值作为特定哈希值,对分配于h23节点的哈希值和分配于h01节点的哈希值进行运算,并分配于h23节点和h01节点的父节点(h0123)。此时,由于h0123节点是默克尔树的根节点,因此所述认证服务器可以将被分配于h0123节点的哈希值或对其加工得到的值hex(h{node_index})记录至第二区块链数据库,或者支持其他装置记录。
如果对其进行递归(recursive)说明,当满足规定的所述锚定(anchoring)条件的情况下,(x1)所述认证服务器对(i)所述特定哈希值和(ii)分配到被分配所述特定哈希值的节点的兄弟节点的哈希值一并进行哈希运算或者支持其他装置进行哈希运算,并将关于作为所述运算的结果的结果值的哈希值分配给所述节点的父节点或支持其他装置进行分配,(x2)所述父节点是所述默克尔树的根节点的情况下,将分配于所述父节点的哈希值作为所述代表哈希值记录至所述第二区块链数据库或者支持其他装置记录,(x3)所述父节点不是所述默克尔树的根节点的情况下,将分配于所述父节点的哈希值作为所述特定哈希值而反复执行所述(x1)至(x3)。
在第三实施例中,获取到与叶节点的数量相当的哈希值以后,每个哈希值可成为上述默克尔树的输入值(分配于叶节点的值),其中,所述哈希值是至少包括特定认证信息交易的哈希值的多个哈希值之一。
另外,认证服务器可以按照规定的时间单位生成上述默克尔树的根值(所述(ii)anchoring条件)。该情况下,所述认证服务器在经过规定时间以后,利用至该时间的输入值生成默克尔树,并将默克尔树的根值记录至第二区块链数据库中或者支持其他装置记录。
但是,该情况下,可能即便经过了规定时间而默克尔树的被分配特定哈希值的节点的兄弟节点并未被分配值。在这种即便满足了规定的条件,但被分配所述特定哈希值的节点的兄弟节点却并未被分配哈希值的情况下,所述认证服务器可以向所述兄弟节点分配规定的哈希值或支持其他装置进行分配,以使得按照上述方式算出默克尔树的根值。例如,所述认证服务器可复制所述特定哈希值并分配给所述兄弟节点或者支持其他装置进行分配。
另外,所述服务特性可以是利用本发明的方法的实体(entity)支付的费用信息、形成所述交易记录的时间段信息、形成所述记录的地区信息、参与所述记录的服务器的管理主体即公司类型信息中的至少一部分。但并不限于此。
另外,在开始生成新的默克尔树并且没有接收到交易的状态下,如果满足规定的所述锚定(anchoring)条件,所述认证服务器生成规定的消息数据分配于首个叶节点和第二个叶节点的默克尔树或者支持其他装置生成,将所述默克尔树的根值或对其进行加工得到的值记录至第二区块链数据库中或者支持其他装置记录。例如,该情况下还可以形成具有两个叶节点的默克尔树。
另外,如上所述,认证服务器将所述特定哈希值和所述至少一个相邻哈希值存储为规定的第一数据结构,之后存储与所述第一数据结构相同的形态的第二数据结构进行管理的情况下,所述第一数据结构和所述第二数据结构可连接成链形态。尤其,所述第一数据结构和所述第二数据结构为默克尔树的情况下,所述第一数据结构的根值或所述根值的哈希值可分配到所述第二数据结构的第一个叶节点。
图5是示出根据本发明生成为所述第二数据结构的默克尔树的示意图。
参照图5可一直图4的默克尔树(tree_id=0)的根值hex(h0123)被分配到了新的默克尔树的首个叶节点(h4节点)。本发明通过如上连接当发生交易时生成的多个数据结构,从而中途发生数据变造的情况下也能轻易地跟踪,因此具有提高数据完整性的优点。
另外,本发明第三实施例的认证书的注册方法可以进一步包括所述认证服务器周期性地(periodically)或者根据完整性验证请求,验证第一代表哈希值或加工所述第一代表哈希值得到的值是否与记录于对应的所述第二区块链数据库中的第二代表哈希值或加工所述第二代表哈希值得到的值一致,以验证所述交易的完整性(integrity)或支持与所述认证服务器联动的其他装置进行验证的步骤(未示出),其中,所述交易是至少包括特定认证信息交易的多个交易之一,所述第一代表哈希值是对记录至所述第一区块链数据库中的至少一个交易的哈希值和匹配的至少一个所述相邻哈希值一起进行哈希运算生成的。
作为一个示例,此时,所述第一区块链数据库可以是私有(private)区块链数据库,所述第二区块链数据库可以是公有(public)区块链数据库。
但是不限于此,普通技术人员应当理解所述第一区块链数据库可以是私有区块链数据库或公有区块链数据库,同样,所述第二区块链数据库也可以是私有区块链数据库和公有区块链数据库中的任意一个。
以下说明第三实施例的用户认证方法,在此不重复说明与上述第一、第二实施例相同的技术特征,只对不同之处进行具体说明。
在第一、第二实施例中所述的步骤(S310至S320)在本发明第三实施例的用户认证方法中是在代表哈希值或加工所述代表哈希值得到的值记录于规定的区块链数据库的状态下执行,其中,所述代表哈希值是对作为认证信息交易哈希值的特定哈希值和匹配的至少一个相邻哈希值一起进行哈希运算生成的,其中所述相邻哈希值是至少包括特定认证信息交易的哈希值的多个哈希值之一。另外,关于所述帐户登录请求信息和所述特定公钥是否有效,由所述认证服务器参照所述规定的区块链数据库进行判定。
简而言之,可以将第三实施例看作是在第二实施例的第二区块链数据库(所述规定的区块链数据库)的基础上进一步导入第一区块链数据库以通过锚定方式实现认证相关信息的更高完整性的实施例。
以上所述的本发明的所有实施例均具有安全性强且能够简便地代替现有的重复性的帐户注册方式的帐户注册服务的效果。
通过所述实施例所述的技术的优点是认证相关信息的伪变造非常困难,因此不仅能够保障用户帐户注册和认证的可靠性及安全性,还能够提高使用性。
基于上述实施例的描述,普通技术人员可明确理解本发明可以通过软件和硬件的结合实现,也可以仅通过硬件实现。本发明的技术方案或对现有技术做出贡献的部分可以通过能够通过各种计算机构成要素执行的程序指令的形态实现,并保存到计算机可读记录介质。所述计算机可读记录介质可以包括程序指令、数据文件、数据结构等中的一种或组合。保存到所述计算机可读记录介质上的程序指令可以是为本发明专门设计和构建的程序指令,或者可以是本领域技术人员公知使用的程序指令。计算机可读记录介质的示例包括诸如硬盘、软盘和磁带等磁介质,诸如CD-ROM和DVD等光学记录介质,软式光盘(flopticaldisk)之类的磁光介质(magneto-optical media)及ROM、RAM、闪存等专门构成为存储和执行程序指令的硬件装置。程序指令的示例不仅包括诸如由编译器生成的机器语言代码,还包括能够通过翻译器等由计算机执行的高级语言代码。所述硬件装置可以构成为作为用于执行本发明的步骤的一个或多个软件模块动作,反之亦然。所述硬件装置可包括结合于用于存储程序指令的ROM/RAM等存储器且构成为运行存储于所述存储器的指令的CPU或GPU之类的处理器,可包括能够与外部装置收发信号的通信部。此外,所述硬件装置可以包括用于接收由开发者制成的指令的键盘、鼠标、其他外部输入装置。
虽然以上通过具体构成要素等特定事项、限定的实施例和附图对本发明进行了说明,但是这些只是用于更全面地了解本发明而提供,本发明不受限于所述实施例,本发明所属技术领域的普通技术人员应当理解能够根据上述说明进行各种修改和变形。
因此,本发明的思想并不受以上说明的实施例的限制,所附权利要求范围及与该权利要求范围等同或等价变形的所有一切均应属于本发明思想的范畴。
Claims (25)
1.一种提供简化帐户注册服务的方法,其特征在于,包括:
步骤(a),执行用户的初始帐户的注册以后,用于识别对应于所述初始帐户的第一应用程序的所述用户的且包括(i)所述用户的认证用个人信息、(ii)所述第一应用程序的所述用户的ID、(iii)由作为所述用户使用的终端的用户终端中包含的安全要素SE(SecureElement)生成的第一公钥及(iv)生成为对应于所述第一应用程序的第一推送通知ID的第一用户识别信息已存储在认证服务器的状态下,从所述用户终端获取到作为通过不同于所述第一应用程序且由所述用户终端运行的第二应用程序请求基于公钥基础设施PKI(public key infrastructure)的简便帐户注册的信息的帐户注册请求信息及所述认证用个人信息的情况下,所述认证服务器验证所述帐户注册请求信息及所述认证用个人信息的有效性;以及
步骤(b),所述帐户注册请求信息及所述认证用个人信息有效的情况下,所述认证服务器基于所述帐户注册请求信息执行所述简便帐户注册;
其中,所述步骤(b)包括:
步骤(b1),所述认证服务器利用与所述认证用个人信息对应的所述第一推送通知ID,将作为利用所述第一公钥对可变认证用信息编码得到的值的可变认证用加密信息传送至所述第一应用程序,支持所述第一应用程序向所述用户显示作为利用与所述第一公钥对应的第一私钥对所述可变认证用加密信息解码得到的值的所述可变认证用信息;
步骤(b2),所述第二应用程序获取所述可变认证用信息,并通过所述第二应用程序在所述用户终端中包含的安全要素SE(Secure Element)中生成作为基于所述PKI的密钥对(key pair)的第二公钥和第二私钥以后,从所述第二应用程序发送所述可变认证用信息、所述第二公钥以及生成为对应于所述第二应用程序的第二推送通知ID的情况下,所述认证服务器验证所述可变认证用信息的有效性;以及
步骤(b3),所述可变认证用信息有效的情况下,所述认证服务器存储用于识别所述第二应用程序的所述用户的且包括(i)所述认证用个人信息、(ii)所述第二应用程序的所述用户的ID、(iii)所述第二公钥及(iv)所述第二推送通知ID的第二用户识别信息。
2.根据权利要求1所述的方法,其特征在于:
所述步骤(b2)包括:从所述第二应用程序发送所述可变认证用信息、所述第二公钥、所述第二推送通知ID以外还发送特定PIN码的情况下,所述认证服务器验证所述可变认证用信息及所述特定PIN码的有效性;
所述步骤(b3)包括:所述可变认证用信息及所述特定PIN码均有效的情况下,所述认证服务器存储所述第二用户识别信息。
3.根据权利要求2所述的方法,其特征在于:
在所述步骤(b2)中,所述特定PIN码与所述用户预先为所述第一应用程序指定的PIN码相同时,判定为所述特定PIN码有效。
4.根据权利要求1所述的方法,其特征在于:
所述用户的认证用个人信息是与所述用户终端相对应的电话号码。
5.根据权利要求1所述的方法,其特征在于:
所述可变认证用信息是规定的随机数(random nonce)或关于图片文件的信息。
6.根据权利要求1所述的方法,其特征在于,所述步骤(a)包括:
步骤(a1),所述认证服务器参照获取的所述帐户注册请求信息和所述认证用个人信息提取所述第一应用程序的所述用户的ID;
步骤(a2),提取到所述第一应用程序的用户的ID后,所述认证服务器利用提取的所述用户的ID参照表示规定的区块链数据库是否记录有作为对与提取的所述用户的ID对应的所述第一用户识别信息中的至少一个信息进行哈希运算得到的结果值的第一用户识别哈希值,记录有所述第一用户识别哈希值的情况下,判定为所述帐户注册请求信息和所述认证用个人信息有效;及
步骤(a3),所述认证服务器从所述规定的区块链数据库获取所述第一公钥。
7.根据权利要求1所述的方法,其特征在于:
在所述步骤(b2)中,所述认证服务器将作为对所述第二用户识别信息中的至少一个信息进行哈希运算得到的结果值的第二用户识别哈希值及所述第二公钥或作为对其进行加工得到的值的认证信息交易进一步记录至规定的区块链数据库中。
8.根据权利要求6或7所述的方法,其特征在于:
所述规定的区块链数据库为公有区块链数据库或私有区块链数据库。
9.根据权利要求1所述的方法,其特征在于:
在所述步骤(b3)中,所述可变认证用信息有效的情况下,所述认证服务器将表示所述简便帐户注册已完成的帐户注册完成消息传送到所述第二应用程序。
10.一种使用已注册的帐户认证用户的方法,其特征在于,包括:
在(1)执行用户的初始帐户的注册以后,用于识别对应于所述初始帐户的第一应用程序的所述用户的且包括(i)所述用户的认证用个人信息、(ii)所述第一应用程序的所述用户的ID、(iii)由作为所述用户使用的终端的用户终端中包含的安全要素SE(SecureElement)生成的第一公钥及(iv)生成为对应于所述第一应用程序的第一推送通知ID的第一用户识别信息已存储在认证服务器后,(2)获取到作为通过不同于所述第一应用程序且由所述用户终端运行的第二应用程序请求基于公钥基础设施PKI(public keyinfrastructure)的简便帐户注册的信息的帐户注册请求信息及所述认证用个人信息,所述帐户注册请求信息及所述认证用个人信息有效,(3)所述认证服务器将作为利用所述第一公钥对第一可变认证用信息编码得到的值的第一可变认证用加密信息传送至所述第一应用程序,所述第一应用程序向所述用户显示作为利用与所述第一公钥对应的第一私钥对所述第一可变认证用加密信息解码得到的值的所述第一可变认证用信息,(4)通过所述第二应用程序在所述用户终端中包含的安全要素中生成作为基于所述PKI的密钥对(keypair)的第二公钥和第二私钥以后,从所述第二应用程序发送所述第一可变认证用信息、所述第二公钥以及生成为对应于所述第二应用程序的第二推送通知ID,通过所述认证服务器验证出所述第一可变认证用信息有效,(5)用于识别所述第二应用程序的所述用户的且包括(i)所述用户的认证用个人信息、(ii)所述第二应用程序的所述用户的ID、(iii)所述第二公钥以及(iv)生成为对应于所述第二应用程序的第二推送通知ID的第二用户识别信息存储在所述认证服务器的已执行了所述简便帐户注册的状态下,
步骤(a),获取到作为通过所述第二应用程序请求基于所述PKI的帐户登录的信息的帐户登录请求信息和特定公钥的情况下,所述认证服务器判定所述帐户登录请求信息和所述特定公钥的有效性;
步骤(b),所述帐户登录请求信息和所述特定公钥有效的情况下,所述认证服务器基于所述第二用户识别信息执行所述帐户登录。
11.根据权利要求10所述的方法,其特征在于,所述步骤(b)包括:
步骤(b1),所述认证服务器将第二可变认证用信息传送至所述第二应用程序,以支持所述用户终端利用所述安全要素生成作为对所述第二可变认证用信息签名的值的第二可变认证用信息签名值,并将生成的所述第二可变认证用信息签名值传送至所述认证服务器;
步骤(b2),所述认证服务器利用存储的所述第二公钥对传送的所述第二可变认证用信息签名值的有效性进行验证;及
步骤(b3),所述第二可变认证用信息签名值有效的情况下,所述认证服务器允许所述帐户的登录。
12.根据权利要求10所述的方法,其特征在于:
所述步骤(a)包括:获取到所述帐户登录请求信息和所述特定公钥以外还获取到输入到所述用户终端的特定PIN码的情况下,所述认证服务器判定所述帐户登录请求信息、所述特定公钥和所述特定PIN码的有效性;
所述步骤(b)包括:所述帐户登录请求信息、所述特定公钥和所述特定PIN码均有效的情况下,所述认证服务器基于所述第二用户识别信息执行所述帐户的登录。
13.根据权利要求10所述的方法,其特征在于:
在所述步骤(a)中,所述第二公钥和所述特定公钥相同的情况下,判定为所述特定公钥有效。
14.根据权利要求10所述的方法,其特征在于,所述步骤(a)包括:
步骤(a1),所述认证服务器参照包括获取的所述帐户登录请求信息的信息提取所述第二应用程序的所述用户的ID;
步骤(a2),提取到所述第二应用程序的用户的ID后,所述认证服务器利用提取的所述用户的ID参照表示规定的区块链数据库是否记录有作为对与提取的所述用户的ID对应的所述第二用户识别信息中的至少一个信息进行哈希运算得到的结果值的第二用户识别哈希值,记录有所述第二用户识别哈希值的情况下,判定为所述帐户注册请求信息有效;
步骤(a3),所述认证服务器从所述规定的区块链数据库获取所述第二公钥;及
步骤(a4),获取的所述第二公钥与所述特定公钥相同的情况下,所述认证服务器判定所述特定公钥有效。
15.一种提供简化帐户注册服务的认证服务器,其特征在于,包括:
通信部,其执行用户的初始帐户的注册以后,用于识别对应于所述初始帐户的第一应用程序的所述用户的且包括所述用户的认证用个人信息、所述第一应用程序的所述用户的ID、由作为所述用户使用的终端的用户终端中包含的安全要素SE(Secure Element)生成的第一公钥及生成为对应于所述第一应用程序的第一推送通知ID的第一用户识别信息已存储在所述认证服务器的状态下,从所述用户终端获取作为通过不同于所述第一应用程序且由所述用户终端运行的第二应用程序请求基于公钥基础设施PKI(public keyinfrastructure)的简便帐户注册的信息的帐户注册请求信息及所述认证用个人信息;及
处理器,其执行获取到所述帐户注册请求信息和所述认证用个人信息的情况下,验证所述帐户注册请求信息和所述认证用个人信息的有效性的过程(i);以及,所述帐户注册请求信息和所述认证用个人信息有效的情况下,基于所述帐户注册请求信息执行所述简便帐户注册的过程(ii),
其中,所述过程(ii)包括:
过程(ii-1),利用与所述认证用个人信息对应的所述第一推送通知ID,将作为利用所述第一公钥对可变认证用信息编码得到的值的可变认证用加密信息传送至所述第一应用程序,支持所述第一应用程序向所述用户显示作为利用与所述第一公钥对应的第一私钥对所述可变认证用加密信息解码得到的值的所述可变认证用信息;
过程(ii-2),所述第二应用程序获取所述可变认证用信息,并通过所述第二应用程序在所述用户终端中包含的安全要素SE(Secure Element)中生成作为基于所述PKI的密钥对(key pair)的第二公钥和第二私钥以后,从所述第二应用程序发送所述可变认证用信息、所述第二公钥以及生成为对应于所述第二应用程序的第二推送通知ID的情况下,验证所述可变认证用信息的有效性;
过程(ii-3),所述可变认证用信息有效的情况下,存储用于识别所述第二应用程序的所述用户的且包括(i)所述认证用个人信息、(ii)所述第二应用程序的所述用户的ID、(iii)所述第二公钥及(iv)所述第二推送通知ID的第二用户识别信息。
16.根据权利要求15所述的认证服务器,其特征在于:
所述过程(ii-2)包括:从所述第二应用程序发送所述可变认证用信息、所述第二公钥、所述第二推送通知ID以外还获取到特定PIN码的情况下,所述处理器验证所述可变认证用信息及所述特定PIN码的有效性;
所述过程(ii-3)包括:所述可变认证用信息及所述特定PIN码均有效的情况下,所述处理器存储所述第二用户识别信息。
17.根据权利要求16所述的认证服务器,其特征在于:
在所述过程(ii-2)中,
所述特定PIN码与所述用户预先为所述第一应用程序指定的PIN码相同时,判定为所述特定PIN码有效。
18.根据权利要求15所述的认证服务器,其特征在于,所述过程(i)包括:
过程(i-1),参照获取的所述帐户注册请求信息和所述认证用个人信息提取所述第一应用程序的所述用户的ID;
过程(i-2),提取到所述第一应用程序的用户的ID后,利用提取的所述用户的ID参照表示规定的区块链数据库是否记录有作为对与提取的所述用户的ID对应的所述第一用户识别信息中的至少一个信息进行哈希运算得到的结果值的第一用户识别哈希值,记录有所述第一用户识别哈希值的情况下,判定为所述帐户注册请求信息和所述认证用个人信息有效;及
过程(i-3),从所述规定的区块链数据库获取所述第一公钥。
19.根据权利要求15所述的认证服务器,其特征在于:
在所述过程(ii-2)中,所述处理器将作为对所述第二用户识别信息中的至少一个信息进行哈希运算得到的结果值的第二用户识别哈希值及所述第二公钥或作为对其进行加工得到的值的认证信息交易进一步记录至规定的区块链数据库中。
20.根据权利要求15所述的认证服务器,其特征在于:
在所述过程(ii-3)中,所述可变认证用信息有效的情况下,所述处理器将表示所述简便帐户注册已完成的帐户注册完成消息传送到所述第二应用程序。
21.一种使用已注册的帐户认证用户的认证服务器,其特征在于,包括通信部及处理器:
(1)执行用户的初始帐户的注册以后,用于识别对应于所述初始帐户的第一应用程序的所述用户的且包括所述用户的认证用个人信息、所述第一应用程序的所述用户的ID、由作为所述用户使用的终端的用户终端中包含的安全要素SE(Secure Element)生成的第一公钥及生成为对应于所述第一应用程序的第一推送通知ID的第一用户识别信息已存储在认证服务器后,(2)获取到作为通过不同于所述第一应用程序且由所述用户终端运行的第二应用程序请求基于公钥基础设施PKI(public key infrastructure)的简便帐户注册的信息的帐户注册请求信息及所述认证用个人信息,所述帐户注册请求信息及所述认证用个人信息有效,(3)所述认证服务器将作为利用所述第一公钥对第一可变认证用信息编码得到的值的第一可变认证用加密信息传送至所述第一应用程序,所述第一应用程序向所述用户显示作为利用与所述第一公钥对应的第一私钥对所述第一可变认证用加密信息解码得到的值的所述第一可变认证用信息,(4)通过所述第二应用程序在所述用户终端中包含的安全要素中生成作为基于所述PKI的密钥对(key pair)的第二公钥和第二私钥以后,从所述第二应用程序发送所述第一可变认证用信息、所述第二公钥以及生成为对应于所述第二应用程序的第二推送通知ID,通过所述认证服务器验证出所述第一可变认证用信息有效,(5)用于识别所述第二应用程序的所述用户的且包括所述用户的认证用个人信息、所述第二应用程序的所述用户的ID、所述第二公钥以及生成为对应于所述应用程序的第二推送通知ID的第二用户识别信息存储在所述认证服务器的已执行了所述简便帐户注册的状态下,
所述通信部获取作为通过所述第二应用程序请求基于所述PKI的帐户登录的信息的帐户登录请求信息和特定公钥;
处理器执行获取到所述帐户登录请求信息和所述特定公钥后,判定所述帐户登录请求信息和所述特定公钥的有效性的过程(i)以及所述帐户登录请求信息和所述特定公钥有效的情况下,基于所述第二用户识别信息执行所述帐户的登录的过程(ii)。
22.根据权利要求21所述的认证服务器,其特征在于,所述过程(ii)包括:
过程(ii-1),将第二可变认证用信息传送至所述第二应用程序,以支持使得所述用户终端利用所述安全要素生成作为对所述第二可变认证用信息签名的值的第二可变认证用信息签名值,并将生成的所述第二可变认证用信息签名值传送至所述认证服务器;
过程(ii-2),利用存储的所述第二公钥对传送的所述第二可变认证用信息签名值的有效性进行验证;及
过程(ii-3),所述第二可变认证用信息签名值有效的情况下,允许所述帐户的登录。
23.根据权利要求21所述的认证服务器,其特征在于:
所述过程(i)包括:获取到所述帐户登录请求信息和所述特定公钥以外还获取到输入到所述用户终端的特定PIN码的情况下,判定所述帐户登录请求信息、所述特定公钥和所述特定PIN码的有效性;
所述过程(ii)包括:所述帐户登录请求信息、所述特定公钥和所述特定PIN码均有效的情况下,基于所述第二用户识别信息执行所述帐户的登录。
24.根据权利要求21所述的认证服务器,其特征在于:
在所述过程(i)中,所述第二公钥和所述特定公钥相同的情况下,判定为所述特定公钥有效。
25.根据权利要求21所述的认证服务器,其特征在于,所述过程(i)包括:
过程(i-1),参照包括获取的所述帐户登录请求信息的信息提取所述第二应用程序的所述用户的ID;
过程(i-2),提取到所述第二应用程序的用户的ID后,利用提取的所述用户的ID参照表示规定的区块链数据库是否记录有作为对与提取的所述用户的ID对应的所述第二用户识别信息中的至少一个信息进行哈希运算得到的结果值的第二用户识别哈希值,记录有所述第二用户识别哈希值的情况下,判定为所述帐户注册请求信息有效;
过程(i-3),从所述规定的区块链数据库获取所述第二公钥;及
过程(i-4),获取的所述第二公钥与所述特定公钥相同的情况下,所述认证服务器判定所述特定公钥有效。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2017-0023149 | 2017-02-21 | ||
| KR1020170023149A KR101816650B1 (ko) | 2017-02-21 | 2017-02-21 | 계정 등록의 간소화 서비스 및 사용자 인증 서비스를 제공하는 방법 및 이를 이용한 인증 서버 |
| PCT/KR2018/000915 WO2018155822A1 (ko) | 2017-02-21 | 2018-01-19 | 계정 등록의 간소화 서비스 및 사용자 인증 서비스를 제공하는 방법 및 이를 이용한 인증 서버 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110291757A CN110291757A (zh) | 2019-09-27 |
| CN110291757B true CN110291757B (zh) | 2022-08-09 |
Family
ID=61000559
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880006836.9A Active CN110291757B (zh) | 2017-02-21 | 2018-01-19 | 用于提供简化帐户注册服务、用户认证服务的方法及利用其的认证服务器 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10783260B2 (zh) |
| KR (1) | KR101816650B1 (zh) |
| CN (1) | CN110291757B (zh) |
| CA (1) | CA3053316C (zh) |
| WO (1) | WO2018155822A1 (zh) |
Families Citing this family (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11042609B2 (en) * | 2017-08-03 | 2021-06-22 | Cable Television Laboratories, Inc. | Systems and methods for secure element registration and provisioning |
| KR101924469B1 (ko) * | 2018-03-20 | 2018-12-03 | 가온미디어 주식회사 | 수신제한 시스템 연동 기반의 블록체인 운용 방법 |
| KR102181600B1 (ko) * | 2018-03-30 | 2020-11-23 | 주식회사 코인플러그 | 블록체인 기반의 통합 로그인 방법, 단말 및 이를 이용한 서버 |
| KR102216285B1 (ko) * | 2018-03-30 | 2021-02-18 | 주식회사 코인플러그 | 블록체인 기반의 통합 로그인 방법, 단말 및 이를 이용한 서버 |
| KR102181601B1 (ko) * | 2018-03-30 | 2020-11-23 | 주식회사 코인플러그 | 블록체인 기반의 통합 로그인 방법, 단말 및 이를 이용한 서버 |
| KR102216305B1 (ko) * | 2018-03-30 | 2021-02-18 | 주식회사 코인플러그 | 블록체인 기반의 통합 로그인 방법, 단말 및 이를 이용한 서버 |
| KR102121930B1 (ko) * | 2018-07-03 | 2020-06-11 | 네이버 주식회사 | 블록체인 기반의 개인 데이터 처리 방법 및 시스템 |
| CN112673600B (zh) * | 2018-09-03 | 2023-10-03 | 爱森卡斯特株式会社 | 基于区块链的手机终端以及IoT设备之间的多重安全认证系统以及方法 |
| CN109257342B (zh) * | 2018-09-04 | 2020-05-26 | 阿里巴巴集团控股有限公司 | 区块链跨链的认证方法、系统、服务器及可读存储介质 |
| CN109286556B (zh) * | 2018-09-25 | 2021-10-08 | 武汉配行天下科技有限公司 | 一种免注册的高效信息传递与文件签收方法 |
| CN109547404B (zh) * | 2018-10-11 | 2022-08-19 | 平安科技(深圳)有限公司 | 数据的获取方法及服务器 |
| KR102179076B1 (ko) * | 2018-11-29 | 2020-11-16 | 동서대학교 산학협력단 | 공개 데이터셋의 데이터 무결성 보장을 위한 블록체인 솔루션 제공 시스템, 이의 처리 방법 |
| CN109558710B (zh) * | 2018-12-07 | 2022-02-15 | 泰康保险集团股份有限公司 | 用户登录方法、装置、系统及存储介质 |
| EP3944109A4 (en) * | 2019-03-22 | 2022-05-25 | NEC Corporation | INFORMATION PROCESSING SYSTEM, INFORMATION PROCESSING METHOD AND PROGRAM |
| KR102332004B1 (ko) * | 2019-05-10 | 2021-11-29 | 주식회사 메디블록 | 블록체인 네트워크에서 계정을 관리하는 방법, 시스템 및 비일시성의 컴퓨터 판독 가능 기록 매체 |
| WO2021064043A1 (en) * | 2019-09-30 | 2021-04-08 | Coinfirm Limited | A method for secure transferring of information through a network between an origin virtual asset service provider and a destination virtual asset service provider |
| US11698957B2 (en) * | 2019-12-18 | 2023-07-11 | Yubico Ab | Pre-registration of authentication devices |
| KR102094705B1 (ko) | 2020-01-17 | 2020-03-30 | 주식회사 에프엔에스벨류 | 블록 체인을 기반으로 한 다중 노드 인증 방법 및 이를 위한 장치 |
| KR102329221B1 (ko) * | 2020-02-13 | 2021-11-23 | 경기대학교 산학협력단 | 블록체인 기반 사용자 인증 방법 |
| KR102356725B1 (ko) | 2020-04-27 | 2022-01-27 | 주식회사 시큐어링크 | 계층 블록체인을 이용한 인증 및 정책 관리 방법 |
| US11368456B2 (en) | 2020-09-11 | 2022-06-21 | Bank Of America Corporation | User security profile for multi-media identity verification |
| US11356266B2 (en) | 2020-09-11 | 2022-06-07 | Bank Of America Corporation | User authentication using diverse media inputs and hash-based ledgers |
| CN112559993B (zh) * | 2020-12-24 | 2024-02-02 | RealMe重庆移动通信有限公司 | 身份认证方法、装置、系统及电子设备 |
| CN112883360B (zh) * | 2021-01-29 | 2023-10-17 | 平安科技(深圳)有限公司 | 应用程序的智能注册方法、装置、计算机设备及存储介质 |
| CN113612818B (zh) * | 2021-07-09 | 2023-09-01 | 中国汽车技术研究中心有限公司 | 一种低代码平台的工业app发布系统 |
| US20230029053A1 (en) * | 2021-07-22 | 2023-01-26 | Oracle International Corporation | Decentralized identity with user biometrics |
| CN114268472B (zh) * | 2021-12-10 | 2023-12-15 | 杭州溪塔科技有限公司 | 基于区块链的应用系统的用户认证方法及系统 |
| CN116436905B (zh) * | 2023-04-19 | 2023-11-28 | 广州市迪士普音响科技有限公司 | 网络化广播通信方法及装置、存储介质及计算机设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1547343A (zh) * | 2003-12-17 | 2004-11-17 | 上海市高级人民法院 | 一种基于数字证书的单点登录方法 |
| KR100764882B1 (ko) * | 2006-09-29 | 2007-10-09 | 한국과학기술원 | 저성능 보안 단말기의 공개키 기반 싱글 사인온 인증 장치및 방법 |
| CN102111410A (zh) * | 2011-01-13 | 2011-06-29 | 中国科学院软件研究所 | 一种基于代理的单点登录方法及系统 |
| CN102469075A (zh) * | 2010-11-09 | 2012-05-23 | 中科正阳信息安全技术有限公司 | 一种基于web单点登录的集成认证方法 |
| CN106209749A (zh) * | 2015-05-08 | 2016-12-07 | 阿里巴巴集团控股有限公司 | 单点登录方法及装置、相关设备和应用的处理方法及装置 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006031064A (ja) | 2004-07-12 | 2006-02-02 | Hitachi Ltd | セッション管理システム及び管理方法 |
| US8607317B2 (en) * | 2009-10-28 | 2013-12-10 | Blackberry Limited | Automatic user authentication and identification for mobile instant messaging application |
| KR101854389B1 (ko) * | 2012-08-20 | 2018-06-20 | 에스케이플래닛 주식회사 | 애플리케이션 인증 시스템 및 방법 |
| KR102139162B1 (ko) * | 2013-03-08 | 2020-08-11 | 에스케이플래닛 주식회사 | 어플리케이션 간의 신뢰관계 획득 방법, 이를 위한 시스템 및 장치 |
| US20160219039A1 (en) * | 2013-09-06 | 2016-07-28 | Mario Houthooft | Mobile Authentication Method and System for Providing Authenticated Access to Internet-Sukpported Services and Applications |
| US9369443B1 (en) * | 2013-09-18 | 2016-06-14 | NetSuite Inc. | Field level data protection for cloud services using asymmetric cryptography |
| JP6296938B2 (ja) * | 2014-08-07 | 2018-03-20 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | モバイルデバイス上で二次元コードを利用した認証 |
| KR101691412B1 (ko) | 2015-08-31 | 2016-12-30 | 주식회사 다날 | 전화번호에 기초한 2채널 사용자 인증 보조 장치 및 방법 |
| KR101628004B1 (ko) | 2016-03-02 | 2016-06-08 | (주)케이스마텍 | 신뢰된 실행 환경 기반의 사용자 단말을 이용한 사용자 간편 인증 서비스 방법 및 시스템 |
-
2017
- 2017-02-21 KR KR1020170023149A patent/KR101816650B1/ko active IP Right Grant
-
2018
- 2018-01-19 CN CN201880006836.9A patent/CN110291757B/zh active Active
- 2018-01-19 WO PCT/KR2018/000915 patent/WO2018155822A1/ko active Application Filing
- 2018-01-19 CA CA3053316A patent/CA3053316C/en active Active
-
2019
- 2019-08-20 US US16/546,143 patent/US10783260B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1547343A (zh) * | 2003-12-17 | 2004-11-17 | 上海市高级人民法院 | 一种基于数字证书的单点登录方法 |
| KR100764882B1 (ko) * | 2006-09-29 | 2007-10-09 | 한국과학기술원 | 저성능 보안 단말기의 공개키 기반 싱글 사인온 인증 장치및 방법 |
| CN102469075A (zh) * | 2010-11-09 | 2012-05-23 | 中科正阳信息安全技术有限公司 | 一种基于web单点登录的集成认证方法 |
| CN102111410A (zh) * | 2011-01-13 | 2011-06-29 | 中国科学院软件研究所 | 一种基于代理的单点登录方法及系统 |
| CN106209749A (zh) * | 2015-05-08 | 2016-12-07 | 阿里巴巴集团控股有限公司 | 单点登录方法及装置、相关设备和应用的处理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CA3053316C (en) | 2022-01-18 |
| KR101816650B1 (ko) | 2018-01-09 |
| US20190370479A1 (en) | 2019-12-05 |
| CA3053316A1 (en) | 2018-08-30 |
| US10783260B2 (en) | 2020-09-22 |
| WO2018155822A1 (ko) | 2018-08-30 |
| CN110291757A (zh) | 2019-09-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110291757B (zh) | 用于提供简化帐户注册服务、用户认证服务的方法及利用其的认证服务器 | |
| CN110268678B (zh) | 基于pki的认证代理用户的登录方法及利用其的服务器 | |
| CN110235410B (zh) | 使用基于utxo的协议的区块链数据库并通过基于pki的认证取代用户的登录的方法及利用其的服务器 | |
| US11210661B2 (en) | Method for providing payment gateway service using UTXO-based protocol and server using same | |
| CN106575416B (zh) | 用于向装置验证客户端的系统和方法 | |
| RU2638741C2 (ru) | Способ и система аутентификации пользователя посредством мобильного устройства с применением сертификатов | |
| CN109522726A (zh) | 小程序的鉴权方法、服务器及计算机可读存储介质 | |
| KR101941227B1 (ko) | 신원확인 또는 부인방지가 가능한 fido 인증 장치 및 그 방법 | |
| CN112000951B (zh) | 一种访问方法、装置、系统、电子设备及存储介质 | |
| KR101816652B1 (ko) | Utxo 기반 프로토콜에서 머클 트리 구조를 사용하여 서비스 제공 서버에 의하여 제공되는 서비스를 이용하기 위한 사용자의 로그인 요청에 대하여 pki 기반의 인증을 통해 로그인을 대행하는 방법 및 이를 이용한 서버 | |
| KR101858653B1 (ko) | 블록체인 데이터베이스 및 이와 연동하는 머클 트리 구조를 통해 모바일 아이디를 이용하여 사용자를 인증하는 방법, 단말 및 이를 이용한 서버 | |
| KR101767534B1 (ko) | 근거리 무선 통신 기반의 카드를 이용하여 본인 인증 서비스를 제공하는 방법 및 이를 이용한 카드, 인증용 단말, 인증 지원 서버 및 본인 인증 서버 | |
| KR101818601B1 (ko) | 근거리 무선 통신 기반의 카드를 이용하여 본인 인증 서비스를 제공하는 방법 및 이를 이용한 카드, 인증용 단말, 인증 지원 서버 및 본인 인증 서버 | |
| CN113711560A (zh) | 用于有效质询-响应验证的系统和方法 | |
| PT115304B (pt) | Procedimento de login com um clique | |
| CN104821951B (zh) | 一种安全通信的方法和装置 | |
| CN109842616B (zh) | 账号绑定方法、装置及服务器 | |
| Weerasinghe et al. | Security framework for mobile banking | |
| CN114495352A (zh) | 一种基于缴费终端身份认证管控机制的电子化解款系统及方法 | |
| CN115967508A (zh) | 数据访问控制方法及装置、设备、存储介质、程序产品 | |
| US11849041B2 (en) | Secure exchange of session tokens for claims-based tokens in an extensible system | |
| KR102392150B1 (ko) | 하이퍼레저 패브릭 구조에서 피어 단말기가 블록 데이터를 클라이언트 단말기로 전송하는 방법 | |
| US20210194919A1 (en) | System and method for protection against malicious program code injection | |
| KR20240075374A (ko) | 사용자 단말을 이용한 인증 기반 금융거래서비스 제공 시스템 및 방법 | |
| CN117768888A (zh) | 基于安全深度链接的三方核身协议的实现系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: Gyeonggi Do, South Korea Patentee after: CP Laboratory Co.,Ltd. Country or region after: Republic of Korea Address before: Gyeonggi Do, South Korea Patentee before: COINPLUG, Inc. Country or region before: Republic of Korea |
|
| CP03 | Change of name, title or address |