CN110401539A - 一种身份验证数据处理方法、服务器、终端及系统 - Google Patents
一种身份验证数据处理方法、服务器、终端及系统 Download PDFInfo
- Publication number
- CN110401539A CN110401539A CN201910670766.3A CN201910670766A CN110401539A CN 110401539 A CN110401539 A CN 110401539A CN 201910670766 A CN201910670766 A CN 201910670766A CN 110401539 A CN110401539 A CN 110401539A
- Authority
- CN
- China
- Prior art keywords
- terminal
- verified
- trusted
- verifying
- digital certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
本说明书提供一种身份验证数据处理方法、服务器、终端及系统,将数字身份的验证和可信计算技术结合使用,通过设置可信服务中心对被验证终端进行先一步验证。当被验证终端的数字身份和可信状态均验证通过后,则在被验证终端的数字证书中添加可信标识,使得验证终端直接根据带有可信标识的数字证书就可以同时验证被验证终端的数字身份和设备的可信状态,验证终端不需要具备解析可信协议的能力,只需要验证数字证书中的可信标识即可。相比数字证书和可信计算技术独立使用的方案,本说明书实施例提供的方法不需要获取基准值,也不需要解析远程证明协议,只需要解析数字证书,减少了验证终端的工作量和身份验证的难度,提高了身份验证的效率。
Description
技术领域
本说明书属于计算机技术领域,尤其涉及一种身份验证数据处理方法、服务器、终端及系统。
背景技术
随着计算机和互联网技术的发展,不同设备、终端之间常常需要相互通讯,完成对应的任务。有些业务需要对通讯的设备进行身份验证,确保数据通讯的安全性。
现有技术中,通常采用数字证书的方式进行身份验证,如:多个网络实体(设备、人等)各自去CA(Certificate Authority,证书授证中心)申请数字证书,在网络实体相互通信时,它们通过数字证书证实自己的身份,但是,数字证书应用过程中存在的安全隐患,数字证书当中最重要的就是私钥,私钥是代表用户身份的唯一秘密,一旦私钥被攻击者获取或恶意使用,攻击者就能够冒充用户的身份,导致身份验证结果不准确。
发明内容
本说明书实施例的目的在于提供一种身份验证数据处理方法、服务器、终端及系统,减少了验证终端进行身份验证时的工作量和身份验证的难度,提高了身份验证的效率。
第一方面本说明书实施例提供了一种身份验证数据处理方法,包括:
验证被验证终端的数字身份;
若所述被验证终端的数字身份验证通过,则通过远程证明技术验证所述被验证终端是否处于可信状态;
若验证出所述被验证终端处于可信状态,则给所述被验证终端颁发带有可信标识的数字证书,以使得验证终端根据所述带有可信标识的数字证书对所述被验证终端进行身份验证。
第二方面,本说明书提供了一种身份验证数据处理方法,包括:
获取被验证终端的数字证书;
验证所述被验证终端的数字证书;
若所述被验证终端的数字证书验证通过,则验证所述数字证书上是否带有可信标识,若有可信标识则确定所述被验证终端的身份合法;
其中,所述可信标识是由可信服务器在验证所述被验证终端的数字身份和可信状态均通过后,颁发给所述被验证终端的数字证书中带有的。
第三方面,本说明书实施例提供了一种身份验证数据处理方法,包括:
接收可信服务器发送的数字身份验证请求;
接收所述可信服务器在数字身份验证通过后发送的远程证明请求,将度量值发送给所述可信服务器,以使得所述可信服务器将所述度量值与所述可信服务器自身存储的对应的基准值进行比对;
接收所述可信服务器颁发的带有可信标识的数字证书,所述带有可信标识的数字证书由所述可信服务器确定所述度量值与所述基准值相同后颁发的;
接收验证终端的身份验证请求,将所述带有可信标识的数字证书发送给所述验证终端,以使得所述验证终端根据所述带有可信标识的数字证书进行身份验证。
第四方面,本说明书实施例提供了一种身份验证数据处理方法,包括:
验证被验证终端数字身份;
若所述被验证终端的数字身份验证通过,则给所述被验证终端颁发带有所述被验证终端的基准值的数字证书,以使得验证终端根据带有所述基准值的数字证书对所述被验证终端进行身份验证。
第五方面,本说明书实施例提供了一种身份验证数据处理方法,包括:
获取被验证终端的数字证书,其中,所述数字证书中带有所述被验证终端的基准值,所述基准值是由可信服务器在验证所述被验证终端的数字证书合法后,给所述被验证终端颁发的数字证书中带有的;
验证所述被验证终端的数字证书;
若所述被验证终端的数字证书验证通过,则通过远程证明技术获取所述被验证终端的度量值;
将所述度量值与所述数字证书中基准值进行比对,确定所述被验证终端的可信状态,完成对所述被验证终端的身份验证。
第六方面,本说明书实施例提供了一种身份验证数据处理方法,包括:
接收可信服务器发送的数字身份验证请求;
接收所述可信服务器在数字身份验证通过后颁发的带有基准值的数字证书;
接收验证终端的身份验证请求,将所述带有基准值的数字证书发送给所述验证终端,以使得所述验证终端所述数字证书是否合法;
接收所述验证终端在确定所述数字证书合法后发送的远程证明请求,将度量值发送给所述验证终端,以使得所述验证终端根据所述度量值和所述数字证书中的基准值进行身份验证。
第七方面,本说明书实施例提供了一种用于身份验证数据处理的可信服务器,包括:
第一数字身份验证模块,用于验证被验证终端的数字身份;
第一可信状态验证模块,用于若所述被验证终端的数字身份验证通过,则通过远程证明技术验证所述被验证终端是否处于可信状态;
可信证书颁发模块,用于若验证出所述被验证终端处于可信状态,则给所述被验证终端颁发带有可信标识的数字证书,以使得验证终端根据所述带有可信标识的数字证书对所述被验证终端进行身份验证。
第八方面,本说明书实施例提供了一种用于身份验证数据处理的验证终端,包括:
第一数字证书获取模块,用于获取被验证终端的数字证书;
证书验证模块,用于验证所述被验证终端的数字证书;
可信标识验证模块,用于在所述被验证终端的数字身份验证通过时,验证所述数字证书上是否带有可信标识,若有可信标识则确定所述被验证终端的身份合法;
其中,所述可信标识是由可信服务器在验证所述被验证终端的数字身份和可信状态均通过后,颁发给所述被验证终端的数字证书中带有的。
第九方面,本说明书实施例提供了一种用于身份验证数据处理的被验证终端,包括:
第一验证请求接收模块,用于接收可信服务器发送的数字身份验证请求;
远程证明模块,用于接收所述可信服务器在数字身份验证通过后发送的远程证明请求,将度量值发送给所述可信服务器,以使得所述可信服务器将所述度量值与所述可信服务器自身存储的对应的基准值进行比对;
可信证书接收模块,用于接收所述可信服务器颁发的带有可信标识的数字证书,所述带有可信标识的数字证书由所述可信服务器确定所述度量值与所述基准值相同后颁发的;
第一证书发送模块,用于接收验证终端的身份验证请求,将所述带有可信标识的数字证书发送给所述验证终端,以使得所述验证终端根据所述带有可信标识的数字证书进行身份验证。
第十方面,本说明书实施例提供了一种用于身份验证数据处理的可信服务器,包括:
第二数字身份验证模块,用于通过验证被验证终端的数字证书验证所述被验证终端的数字身份,所述数字证书由所述被验证终端在证书授权中心申请获得;
基准值证书颁发模块,用于若所述被验证终端的数字身份验证通过,则给所述被验证终端发放带有所述被验证终端的基准值的数字证书,以使得验证终端根据带有所述基准值的数字证书对所述被验证终端进行身份验证。
第十一方面,本说明书实施例提供了一种用于身份验证数据处理的验证终端,包括:
第二数字证书获取模块,用于获取被验证终端的数字证书,其中,所述数字证书中带有所述被验证终端的基准值,所述基准值是由可信服务器在验证所述被验证终端的数字证书合法后,给所述被验证终端颁发的数字证书中带有的;
第三数字身份验证模块,用于验证所述被验证终端的数字证书;
度量值获取模块,用于若所述被验证终端的数字证书验证通过,则通过远程证明技术获取所述被验证终端的度量值;
第二可信状态验证模块,用于将所述度量值与所述数字证书中基准值进行比对,确定所述被验证终端的可信状态,完成对所述被验证终端的身份验证。
第十二方面,本说明书实施例提供了一种用于身份验证数据处理的被验证终端,包括:
第二验证请求接收模块,用于接收可信服务器发送的数字身份验证请求;
基准证书接收模块,用于接收所述可信服务器在数字身份验证通过后颁发的带有基准值的数字证书;
第二证书发送模块,用于接收验证终端的身份验证请求,将所述带有基准值的数字证书发送给所述验证终端,以使得所述验证终端所述数字证书是否合法;
度量值发送模块,用于接收所述验证终端在确定所述数字证书合法后发送的远程证明请求,将度量值发送给所述验证终端,以使得所述验证终端根据所述度量值和所述数字证书中的基准值进行身份验证。
第十三方面,本说明书提供了一种身份验证数据处理设备,包括:至少一个处理器以及用于存储处理器可执行指令的存储器,所述处理器执行所述指令时实现上述身份验证数据处理方法。
第十四方面,本说明书实施例提供了一种身份验证数据处理系统,包括:可信服务中心、至少一个被验证终端、至少一个验证终端,所述可信服务中心中存储有不同终端的基准值,所述被验证终端中设置有可信计算芯片,且所述被验证终端申请有数字证书;
所述可信服务中心中包括至少一个处理器以及用于存储处理器可执行指令的存储器,所述处理器执行所述指令时实现上述第一方面或第四方面所述的方法;
所述被验证终端包括至少一个处理器以及用于存储处理器可执行指令的存储器,所述处理器执行所述指令时实现上述第三方面或第六方面所述的方法;
所述验证终端包括至少一个处理器以及用于存储处理器可执行指令的存储器,所述处理器执行所述指令时实现上述第二方面或第五方面所述的方法。
本说明书提供的身份验证数据处理方法、装置、处理设备、系统,将数字身份的验证和可信计算技术结合使用,进行身份验证,并通过设置可信服务中心对被验证终端进行先一步验证。当被验证终端的数字身份和可信状态均验证通过后,则在被验证终端的数字证书中添加可信标识,使得验证终端直接根据带有可信标识的数字证书就可以同时验证被验证终端的数字身份和设备的可信状态。并且,验证终端不需要具备解析可信协议的能力,只需要验证数字证书中的可信标识即可,相比数字证书和可信计算技术独立使用的方案,本说明书实施例提供的方法不需要获取基准值,也不需要解析远程证明协议,只需要解析数字证书,工程实施更为简单,减少了验证终端的工作量和身份验证的难度,提高了身份验证的效率。
附图说明
为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本说明书一个实施例中身份验证数据处理方法的流程示意图;
图2是本说明书又一个实施例中身份验证数据处理方法的框图;
图3是本说明书实施例中验证终端进行身份验证数据处理的方法流程示意图;
图4是本说明书实施例中被验证终端进行身份验证数据处理的方法流程示意图;
图5是本说明书又一实施例中可信服务中心进行身份验证数据处理方法的流程示意图;
图6是本说明书又一实施例中身份验证数据处理方法的框图;
图7是本说明书又一实施例中验证终端进行身份验证数据处理方法的流程示意图;
图8是本说明书又一实施例中被验证终端进行身份验证数据处理方法的流程示意图;
图9是本说明书提供的用于身份验证数据处理的可信服务器一个实施例的模块结构示意图;
图10是本说明书提供的用于身份验证数据处理的验证终端一个实施例的模块结构示意图;
图11是本说明书提供的用于身份验证数据处理的被验证终端一个实施例的模块结构示意图;
图12是本说明书提供的用于身份验证数据处理的可信服务器一个实施例的模块结构示意图;
图13是本说明书提供的用于身份验证数据处理的验证终端一个实施例的模块结构示意图;
图14是本说明书提供的用于身份验证数据处理的被验证终端一个实施例的模块结构示意图;
图15是本说明书一个实施例中身份验证数据处理服务器的硬件结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本说明书中的技术方案,下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本说明书保护的范围。
本说明书实施例中的数字证书是用来证明用户身份的一串数字,数字证书通常由带有权威机构(CA(Certificate Authority))的数字签名,任何用户都可以通过签名验证证书的有效性,用户可以包括设备终端或使用设备终端的人等网络实体。数字证书中最重要的两个字段通常是用户名称和用户公钥,其他人可以通过公钥验证用户在数字网络中的行为。CA可以表示签发数字证书的机构即证书授权中心,CA在为用户签发数字证书前,需要验证用户的身份,以保证证书发到正确的人的手中。
本说明书实施例中的远程证明技术是可信计算技术的一部分,可信计算可以表示通过自底向上的逐级验证软件完整性的方式,确保整个主机系统软件的完整性。可以在被验证终端中设置可信计算芯片(如:TPM(Trusted Platform Modules)或TPCM(TrustedPlatform Control Module),国外一般称为TPM,国内一般称为TPCM),为了使远程主机和本地主机建立信任关系,可信计算芯片在出厂时一般预置了数字证书和私钥。当两者交互时,本地主机使用预置的数字证书对软件度量值进行签名,远程主机在验证过证书和签名的有效性后,相信该度量值。远程证明可以表示向远程主机证明本地软件运行状态,这里的运行状态主要是指软件度量值。其中,度量值可以表示对程序进行度量的结果(一串数字),例如:对程序的可执行文件进行哈希运算的结果可以作为该程序的度量值,当然也可以采用其他的方法对程序或设备进行计算处理获得一个计算结果作为该程序或设备的度量值。可以表示将正确的度量值叫做基准值,通常远程证明技术是将程序的度量值与基准值进行比较,如果不相同,则程序有可能已被篡改。可以认为度量值和基准值相同的设备的状态叫做处于可信状态,否则叫做处于非可信状态。
本说明书实施例中,将数字身份的验证和可信计算技术结合使用,验证终端的身份,并通过设置可信服务中心对被验证终端进行先一步验证。当被验证终端的数字身份和可信状态均验证通过后,则在给被验证终端颁发的数字证书中添加可信标识,使得验证终端直接根据带有可信标识的数字证书就可以同时验证被验证终端的数字身份和设备的可信状态。并且,验证终端不需要具备解析可信协议的能力,只需要验证数字证书中的可信标识即可,减少了验证终端的工作量和身份验证的难度,提高了身份验证的效率。
本说明书中身份验证数据处理方法可以应用在客户端或服务器中,客户端可以是智能手机、平板电脑、智能可穿戴设备(智能手表、虚拟现实眼镜、虚拟现实头盔等)、智能车载设备等电子设备。
图1是本说明书一个实施例中身份验证数据处理方法的流程示意图,如图1所示,本说明书一个实施例中提供的身份验证数据处理方法可以应用于可信服务中心中,可信服务中心即本说明书实施例中的可信服务器,具体可以是一个服务器,也可以是多个服务器组成的服务器集群。如图1所示,可信服务中心在进行身份验证的过程中可以执行以下方法:
步骤102、验证被验证终端的数字身份。
图2是本说明书又一个实施例中身份验证数据处理方法的框图,如图2所示,本说明书实施例中的身份验证数据处理系统可以包括可信服务中心(即本说明书实施例中记载的可信服务器)、被验证终端、验证终端。可信服务中心可以用于验证网络实体如:被验证终端、验证终端的数字身份和可信状态。本说明书实施例中,被验证终端可以表示被其他终端进行身份验证的网络实体,验证终端可以表示验证被验证终端的身份的网络实体。验证终端和被验证终端可以是客户端,也可以是服务器,本说明书实施例不作具体限定。
在具体的实施过程中,验证终端在对被验证终端进行身份验证之前,可信服务中心可以先对被验证终端进行身份验证。首先可信服务中心可以验证被验证终端的数字身份,数字身份可以表示网络实体的身份标识,通过验证被验证终端的数字身份,可以确定被验证终端的身份是否合法。如:可以通过公私钥对或密码验证或口令验证或数字证书验证等方式对被验证终端的数字身份进行验证,具体可以根据实际需要进行选择,本说明书实施例不作具体限定。如:可信服务中心可以要求被验证终端采用自己的私钥进行签名,可信服务中心利用被验证终端的公钥验证签名数据,以确定被验证终端的数字身份是否合法。
本说明书一些实施例中,被验证终端可以预先通过CA即证书授权中心申请自己的数字证书,该数字证书中可以包括被验证终端的公钥以及被验证终端的用户名称等信息,具体如何申请、颁发数字证书可以根据实际需要选择对应的方法,本说明书实施例不作具体限定。验证终端在验证被验证终端的身份之前,可信服务中心可以通过验证被验证终端的数字证书来验证被验证终端的数字身份。
例如:可信服务中心可以请求被验证终端将自己的数字证书发送过来,可信服务中心获取到被验证终端的数字证书后,可以验证该数字证书是否合法如:验证该数字证书是否由CA颁发、检查证书有效期或CA吊销列表以查看证书是否过期或已被吊销等。之后,可信服务中心可以向被验证终端发送随机数,请求被验证终端使用自己的私钥对该随机数进行签名,可信服务中心利用数字证书中的公钥验证该数字签名,验证被验证终端是否拥有数字证书对应的私钥,以验证被验证终端的数字身份。当然,根据实际需要,可信服务中心还可以采用其他的方法通过验证被验证终端的数字证书来验证被验证终端的数字身份,本说明书实施例不作具体限定。
步骤104、若所述被验证终端的数字身份验证通过,则通过远程证明技术验证所述被验证终端是否处于可信状态。
在具体的实施过程中,可信服务中心验证被验证终端的数字身份验证通过,如:可信服务中心对被验证终端的数字证书进行验证,若该被验证终端的数字证书是由CA颁布的,并且被验证终端拥有数字证书对应的私钥,可以认为被验证终端的数字身份验证通过,可以通过远程证明技术验证被验证终端的可信状态。远程证明技术是可信计算技术的一个过程,在具体实施过程中,如图2所示,被验证终端中可以设置有可信计算芯片(TPM),该可信计算芯片在出厂时设置了被验证终端的数字证书和私钥。可信服务中心可以预先获取多个终端包括被验证终端的基准值并存储,具体获取基准值的方法可以根据实际需要选择,本说明书实施例不作具体限定。
当可信服务中心验证被验证终端的可信状态时,可以通过远程证明技术,请求获取被验证终端将的度量值。被验证终端可以利用可信计算芯片中的数字证书和私钥对自身的度量值进行签名后发送给可信服务中心,可信服务中心可以对签名后的数据进行验证,验证数字证书和签名均有效后,相信该度量值,并将该度量值与可信服务中心中存储的被验证终端的基准值进行比对,若度量值与基准值相同,则认为被验证终端处于可信状态。其中,度量值和基准值的含义可以参考上述实施例的记载,此处不再赘述。
步骤106、若验证出所述被验证终端处于可信状态,则给所述被验证终端颁发带有可信标识的数字证书,以使得验证终端根据所述带有可信标识的数字证书对所述被验证终端进行身份验证。
在具体的实施过程中,可信服务中心验证被验证终端处于可信状态后,可以给被验证终端颁发一个带有可信标识的数字证书,其中可信标识可以是用于标识被验证终端处于可信状态的字符或字符串,具体可以是数字或者其他字符,本说明书实施例不作具体限定。可信服务中心中可以包含证书授权中心即CA,当被验证终端的数字身份和可信状态均验证通过后,可信服务中心可以通过CA给被验证终端颁发一个带有可信标识的数字证书。若被验证终端已经向CA申请了数字证书,可信服务中心验证被验证终端的数字身份时,是通过验证被验证终端的数字证书进行的,则当被验证终端的数字身份和可信状态均验证通过后,可信服务中心可以直接在被验证终端的数字证书上添加一个可信标识,并添加了可信标识的数字证书发送给被验证终端。本说明书一些实施例中,可以将可信标识设置在所述数字证书的扩展域中,达到了标记被验证终端的可信状态的作用,并且不会破坏原有的数字证书。
当验证终端与被验证终端进行通讯,需要对被验证终端进行身份验证时,可以获取被验证终端的数字证书,通过验证被验证终端的数字证书验证被验证终端的数字身份,数字身份验证通过后,还可以通过验证被验证终端的数字证书上的可信标识,以确定被验证终端是否安全可信。
例如:可信服务中心验证被验证终端A的数字身份合法并处于可信状态后,可以给被验证终端A颁发一个带有可信标识的数字证书。验证终端B在与被验证终端A进行数据通讯,需要对被验证终端A进行身份验证时,可以先获取被验证终端A的数字证书,通过数字证书验证被验证终端A的数字身份,具体认证过程可以参考可信服务中心验证被验证终端A的数字身份的过程,此处不再赘述。被验证终端A的数字身份验证通过后,验证终端B可以通过验证被验证终端A的数字证书中的可信标识,确定被验证终端A是否处于可信状态。如:若被验证终端A的数字证书上有可信标识,则可以认为被验证终端A是可信的,或者被验证终端A的数字证书上的可信标识符合预设的可信标准,则认为被验证终端A是可信的,完成被验证终端A的身份验证,验证终端B可以与被验证终端A进行数据通信。
一般通过CA申请颁发的数字证书的有效期比较长,如:1年或3年等,本说明书一些实施例中,在给所述被验证终端发放带有可信标识的数字证书时,可以设置所述带有可信标识的数字证书的有效期,设置的有效期通常情况下比较短,如:可以是1天、3天、7天或一个月等,具体根据实际需要设置不同的时间。避免了被可信服务中心验证处于可信状态的被验证终端,在运行一段时间被入侵或篡改,导致不可信,影响系统的安全性。可信服务中心可以每隔指定周期对被验证终端进行一次验证,验证被验证终端的可信标识是否有效,若无效,则对被验证终端重新进行数字身份和可信状态的校验,颁发新的带有可信标识的数字证书。或者,可信服务中心也可以在被验证终端的可信标识失效时,对被验证终端重新进行数字身份和可信状态的校验,颁发新的带有可信标识的数字证书。
本说明书实施例,通过设置带有可信标识的数字证书的有效期,可以提高被验证终端可信状态的时效性,提高身份验证的准确性,进一步提高了系统的安全性。
本说明书实施例提供的身份验证数据处理方法,将数字身份的验证和可信计算技术结合使用,进行身份验证,并通过设置可信服务中心对被验证终端进行先一步验证。当被验证终端的数字身份和可信状态均验证通过后,则在被验证终端的数字证书中添加可信标识,使得验证终端直接根据带有可信标识的数字证书就可以同时验证被验证终端的数字身份和设备的可信状态。并且,验证终端不需要具备解析可信协议的能力,只需要验证数字证书中的可信标识即可,相比数字证书和可信计算技术独立使用的方案,本说明书实施例提供的方法不需要获取基准值,也不需要解析远程证明协议,只需要解析数字证书,工程实施更为简单,减少了验证终端的工作量和身份验证的难度,提高了身份验证的效率。
图3是本说明书实施例中验证终端进行身份验证数据处理的方法流程示意图,如图3所示,在进行身份验证数据处理时,验证终端可以执行以下方法:
步骤302、获取被验证终端的数字证书。
在具体的实施过程中,验证终端与被验证终端进行数据通信,需要对被验证终端进行身份验证以确保数据通信的安全性时,可以请求获取被验证终端的数字证书。其中,被验证终端的数字证书可以是被验证终端向CA申请,由CA颁发的数字证书,也可以是可信服务中心在对被验证终端进行数字身份的验证和可信状态的验证均通过后,颁发的带有可信标识的数字证书。
步骤304、验证所述被验证终端的数字证书。
验证终端获取到被验证终端的数字证书后,可以验证该数字证书是否合法如:验证该数字证书是否由CA颁发、检查证书有效期或CA吊销列表以查看证书是否过期或已被吊销等。之后,验证终端可以向被验证终端发送随机数,请求被验证终端使用自己的私钥对该随机数进行签名,验证终端利用数字证书中的公钥验证该数字签名,验证被验证终端是否拥有数字证书对应的私钥,以验证被验证终端的数字身份。当然,根据实际需要,验证终端还可以采用其他的方法通过验证被验证终端的数字证书来验证被验证终端的数字身份,本说明书实施例不作具体限定。
步骤306、若所述被验证终端的数字证书验证通过,则验证所述数字证书上是否带有可信标识,若有可信标识则确定所述被验证终端的身份合法;
其中,所述可信标识是由可信服务器在验证所述被验证终端的数字身份和可信状态均通过后,颁发给所述被验证终端的数字证书中带有的。
在具体的实施过程中,当验证终端确认被验证终端的数字证书合法,被验证终端的数字身份验证通过后,可以通过验证被验证终端的数字证书中的可信标识,确定被验证终端是否处于可信状态。如:若被验证终端的数字证书上有可信标识,则可以认为被验证终端是可信的,或者被验证终端的数字证书上的可信标识符合预设的可信标准,则认为被验证终端是可信的,完成被验证终端的身份验证,可以与被验证终端进行数据通信。
本说明书实施例中的身份验证数据处理方法,通过设置可信服务中心对被验证终端进行先一步验证,当被验证终端的数字身份和可信状态均验证通过后,则在被验证终端的数字证书中添加可信标识,使得验证终端直接根据带有可信标识的数字证书就可以同时验证被验证终端的数字身份和设备的可信状态。并且,验证终端不需要具备解析可信协议的能力,只需要验证数字证书中的可信标识即可,相比数字证书和可信计算技术独立使用的方案,本说明书实施例提供的方法不需要获取基准值,也不需要解析远程证明协议,只需要解析数字证书,工程实施更为简单,减少了验证终端的工作量和身份验证的难度,提高了身份验证的效率。
图4是本说明书实施例中被验证终端进行身份验证数据处理的方法流程示意图,如图4所示,在进行身份验证数据处理时,被验证验证终端可以执行以下方法:
步骤402、接收可信服务器发送的数字身份验证请求。
在具体的实施过程中,验证终端在验证被验证终端的身份之前,可信服务中心即可信服务器可以先对被验证终端进行数字身份和可信状态的验证。可信服务中心可以向被验证终端发送数字身份校验请求,通过公私钥对或密码验证或数字证书等方式对被验证终端进行数字身份进行验证。例如:被验证终端预先可以通过CA即证书授权中心申请自己的数字证书,该数字证书中可以包括被验证终端的公钥以及被验证终端的用户名称等信息,具体如何申请、颁发数字证书可以根据实际需要选择对应的方法,本说明书实施例不作具体限定。当可信服务中心需要对被验证终端进行预先的身份验证时,可信服务中心可以请求被验证终端将数字证书发送给可信服务中心,可信服务中心可以通过验证被验证终端的数字证书来验证被验证终端的数字身份,可信服务中心对被验证终端进行数字身份验证的过程可以参考上述实施例的记载,此处不再赘述。
步骤404、接收所述可信服务器在数字身份验证通过后发送的远程证明请求,将度量值发送给所述可信服务器,以使得所述可信服务器将所述度量值与所述可信服务器自身存储的对应的基准值进行比对。
在具体的实施过程中,当可信服务中心即可信服务器验证被验证终端的数字身份通过后,可以通过远程证明技术,请求获取被验证终端的度量值。被验证终端中可以设置有可信计算芯片,该可信计算芯片在出厂时设置了被验证终端的数字证书和私钥。被验证终端接收到可信服务中心发送的远程证明请求后,可以利用可信计算芯片中的数字证书和私钥对自身的度量值进行签名后发送给可信服务中心。可信服务中心可以对签名后的数据进行验证,验证证书和签名均有效后,相信该度量值,并将该度量值与可信服务中心中存储的被验证终端的基准值进行比对。若度量值与基准值相同,则认为被验证终端处于可信状态,若度量值和基准值不同,则认为被验证终端不可信,可能被入侵或篡改程序等。其中,度量值和基准值的含义可以参考上述实施例的记载,此处不再赘述。
步骤406、接收所述可信服务器颁发的带有可信标识的数字证书,所述带有可信标识的数字证书由所述可信服务器确定所述度量值与所述基准值相同后发放的。
在具体的实施过程中,可信服务中心验证被验证终端处于可信状态即度量值和基准值相同后,可信服务中心可以给被验证终端颁发带有可信标识的数字证书,被验证终端可以接收可信服务器发送的带有可信标识的数字证书。其中,可信服务中心可以将可信标识添加在被验证终端请求CA颁发的数字证书的扩展域中作为带有可信标识的数字证书颁发给被验证终端,可信标识的具体含义可以参考上述实施例的记载,此处不再赘述。或者,可信服务中心中可以包含CA,在被验证终端的数字身份和可信状态验证通过后,直接给被验证终端颁发带有可信标识的数字证书。
步骤408、接收验证终端的身份验证请求,将所述带有可信标识的数字证书发送给所述验证终端,以使得所述验证终端根据所述带有可信标识的数字证书进行身份验证。
在具体的实施过程中,当验证终端和被验证终端进行通信,需要对被验证终端进行身份验证时,验证终端可以向被验证终端发送身份验证请求,被验证终端接收到该身份验证请求后,可以将带有可信标识的数字证书发送给验证终端。验证终端可以通过验证接收到的数字证书验证被验证终端的数字身份,还可以通过验证接收到的数字证书上的可信标识,验证被验证终端的可信状态,其中验证终端通过带有可信标识的数字证书对被验证终端进行身份验证的过程,可以参考上述实施例的记载,此处不再赘述。
此外,本说明书一些实施例中,所述可信标识数字证书对应的私钥(即数字证书中的公钥对应的私钥)存储在动态存储器中或可信计算芯片中,动态存储器可以表示需要每隔一段时间进行一次刷新电路,如果没有这个操作,信息会丢失的存储器,如可以是DRAM(Dynamic Random Access Memory)。其中,当所述数字证书中的公钥对应的私钥存储在所述可信计算芯片中时,可以设置所述带有可信标识的数字证书的访问权限,所述访问权限为终端在可信状态时才允许访问。本说明书实施例中的带有可信标识的数字证书(主要指私钥)不进行长期存储,即使设备使用可信技术保护,仍然有一些物理的首段能够绕过可信技术的防护。如果将可信标识的数字证书(包括数字证书对应的私钥)进行长期存储,攻击者有可能通过物理攻击的手段获取私钥或者恶意使用该密钥。例如,如果存在硬盘上,攻击者可能会窃取硬盘文件;存储在芯片中,攻击者可能将芯片取出,在另一个平台上恶意调用该芯片。即使要长期存储该数字证书(包括数字证书对应的私钥),也要经过可信技术的保护再进行存储。例如,可信计算芯片一般可以提供将密钥的访问权限和可信状态绑定的权限:只有设备处于可信状态才能访问密钥,即当设备的度量值和基准值相同时,才可以访问该数字证书和数字证书对应的私钥,提高了被验证终端的私钥的安全性。
本说明书实施例提供的身份验证数据处理方法,通过设置可信服务中心对被验证终端进行先一步验证,当被验证终端的数字身份和可信状态均验证通过后,则在被验证终端的数字证书中添加可信标识,使得验证终端直接根据带有可信标识的数字证书就可以同时验证被验证终端的数字身份和设备的可信状态。并且,验证终端不需要具备解析可信协议的能力,只需要验证数字证书中的可信标识即可,相比数字证书和可信计算技术独立使用的方案,本说明书实施例提供的方法不需要获取基准值,也不需要解析远程证明协议,只需要解析数字证书,工程实施更为简单,减少了验证终端的工作量和身份验证的难度,提高了身份验证的效率。
下面结合图2具体介绍本说明书实施例中身份验证数据处理方法的过程,图2中被验证终端和验证终端中的OS(Operating System)可以表示操作系统,Bootloader可以表示在操作系统内核运行之前运行的一段小程序,通过这段小程序,可以初始化硬件设备、建立内存空间的映射图,从而将系统的软硬件环境带到一个合适的状态,以便为最终调用操作系统内核准备好正确的环境。BIOS(Basic Input Output System)可以表示基本输入输出系统,是一组固化到计算机内主板上一个芯片上的程序,其主要功能是为计算机提供最底层的、最直接的硬件设置和控制。如图2所示,在被验证终端中还设置有可信计算芯片(TPM),可信计算芯片中可以包括背书密钥(EK,Endorsement Key)和身份秘钥(AIK,Attestation Identity Key)。
在本说明书实施例中,可以在网络系统中建立可信服务中心,由可信服务中心验证网络实体的数字身份和可信状态,然后为网络实体发放带可信标识的数字证书。带可信标识的数字证书指的是在数字证书中增加一个字段,用于表明机器状态是否是可信的,具体可以放在数字证书的扩展域中。验证网络实体的身份时,只需要先通过数字证书验证其身份,然后在判断数字证书中的可信标识。如图2所示,身份验证的过程如下:
1、可信服务中心首先验证被验证终端的数字身份(可以通过普通的数字证书完成),然后再通过可信技术验证被验证终端的可信状态(比如要求被验证终端使用远程证明技术将被验证终端的度量值发送过来,通过与基准值比对,判断被验证终端是否被入侵。
2、如果验证被验证终端处于可信状态,则可信服务中心发放带有可信标识的数字证书给被验证终端。
3、验证终端首先通过数字证书验证被验证终端的数字身份(比如要求被验证终端使用私钥进行签名),然后通过判断数字证书中的可信标识确定被验证终端的可信状态。
本说明书实施例在进行身份验证时,需要注意以下过程:
1、限制带可信标识的数字证书的有效期。原本可信的设备可能在运行一段时间后,变得不可信了。可信状态是有时效性的,带可信标识的数字证书的有效期应设置的较短。
2、带有可信标识的数字证书(包括数字证书对应的私钥)不建议长期存储。即使设备使用可信技术保护,仍然有一些物理的首段能够绕过可信技术的防护。如果将可信标识的数字证书进行长期存储,攻击者有可能通过物理攻击的手段获取私钥或者恶意使用该密钥。例如,如果存在硬盘上,攻击者可能会窃取硬盘文件;存储在芯片中,攻击者可能将芯片取出,在另一个平台上恶意调用该芯片。即使要长期存储该数字证书,也要经过可信技术的保护再进行存储。例如,可信计算芯片一般提供将密钥的访问权限和可信状态绑定的权限:只有设备处于可信状态才能访问密钥。
本说明书实施例中,包含对设备可信状态的检查,可以发现设备被入侵的情况,相比数字证书和可信计算技术独立使用的方案,本方案中的验证终端不需要获取基准值,也不需要解析远程证明协议,只需要解析数字证书,工程实施更为简单。
图5是本说明书又一实施例中可信服务中心进行身份验证数据处理方法的流程示意图,如图5所示,本说明书实施例还提供了一种身份验证数据处理方法,包括:
步骤502、验证被验证终端的数字身份。
图6是本说明书又一实施例中身份验证数据处理方法的框图,如图6所示,在本说明书实施例中,身份验证数据处理系统可以包括可信服务中心(即本说明书实施例中记载的可信服务器)、被验证终端、验证终端。
在具体的实施过程中,验证终端在验证被验证终端的身份之前,可信服务中心可以先对被验证终端进行数字身份和可信状态的验证。可信服务中心对被验证终端进行身份验证的方法可以参考上述实施例的记载,如:可信服务中心可以通过验证被验证终端预先从CA申请获得的数字证书来验证被验证终端的数字身份,具体进行数字身份验证的过程可以参考上述实施例的记载,此处不再赘述。
步骤504、若所述被验证终端的数字身份验证通过,则给所述被验证终端颁发带有所述被验证终端的基准值的数字证书,以使得验证终端根据所述被验证终端的带有基准值的数字证书对所述被验证终端进行身份验证。
在具体的实施过程中,可信服务中心对被验证终端的数字证书进行验证,若该被验证终端的数字证书是由CA颁布的,并且被验证终端拥有数字证书对应的私钥,可以认为被验证终端的数字身份验证通过,可信服务中心可以给被验证终端颁发一个带有被验证终端的基准值的数字证书。或者,可信服务中心包括CA,可信服务中心采用公私钥对验证被验证终端的数字身份,当数字身份验证通过后,可以通过CA给被验证终端颁发一个数字证书,该数字证书中包括被验证终端的基准值。其中,被验证终端的基准值可以由可信服务中心预先从被验证终端获取,基准值的具体含义以及获取方法可以参考上述实施例的记载,此处不再赘述。
当验证终端需要对被验证终端进行身份验证时,验证终端可以获取被验证终端的数字证书,先通过数字证书对被验证终端进行数字身份的验证。数字身份验证通过后,验证终端可以通过远程证明技术获取被验证终端的度量值,并将度量值和数字证书中的基准值进行比对,验证被验证终端的可信状态。若度量值和基准值相同,则认为被验证终端处于可信状态,否则,认为被验证终端不可信。其中,被验证终端的数字身份以及可信状态的验证方法可以参考上述实施例的记载,此处不再赘述。
本说明书实施例提供的身份验证数据处理方法,通过可信服务中心对被验证终端进行数字身份验证通过后,将被验证终端的基准值添加在被验证终端的数字证书中。验证终端可以根据被验证终端的数字证书和基准值,对被验证终端进行身份验证和可信状态验证。验证终端对被验证终端的可信状态的验证是实时进行的,实现了可信状态的实时验证,提高了被验证终端可信认证结果的准确性。此外,验证终端不需要从其他的设备获取被验证终端的基准值,提高了身份验证的效率和兼容性。
图7是本说明书又一实施例中验证终端进行身份验证数据处理方法的流程示意图,如图7所示,本说明书实施例还提供了一种身份验证数据处理方法,包括:
步骤702、获取被验证终端的数字证书,其中,所述数字证书中带有所述被验证终端的基准值,所述基准值是由可信服务器在验证所述被验证终端的数字证书合法后,给所述被验证终端颁发的数字证书中带有的。
在具体的实施过程中,验证终端与被验证终端进行数据通信,需要对被验证终端进行身份验证时,可以请求获取被验证终端的数字证书。其中,被验证终端的数字证书可以是可信服务中心在对被验证终端进行数字身份的验证均通过后,颁发的带有被验证终端的基准值的数字证书。
步骤704、验证所述被验证终端的数字证书。
验证终端获取到被验证终端的数字证书后,可以验证该数字证书是否合法如:验证该数字证书是否由CA颁发、检查证书有效期或CA吊销列表以查看证书是否过期或已被吊销等。之后,验证终端可以向被验证终端发送随机数,请求被验证终端使用自己的私钥对该随机数进行签名,验证终端利用数字证书中的公钥验证该数字签名,验证被验证终端是否拥有数字证书对应的私钥,以验证被验证终端的数字身份。当然,根据实际需要,验证终端还可以采用其他的方法通过验证被验证终端的数字证书来验证被验证终端的数字身份,本说明书实施例不作具体限定。
步骤706、若所述被验证终端的数字证书验证通过,则通过远程证明技术获取所述被验证终端的度量值。
在具体的实施过程中,当验证终端验证被验证终端的数字身份合法后,可以通过远程证明技术,请求获取被验证终端将的度量值。被验证终端可以利用可信计算芯片中的数字证书和私钥对自身的度量值进行签名后发送给验证终端,验证终端可以对签名后的数据进行验证,验证证书和签名均有效后,相信该度量值,可以利用该度量值进行后续的可信状态验证。
步骤708、将所述度量值与所述数字证书中基准值进行比对,确定所述被验证终端的可信状态,完成对所述被验证终端的身份验证。
在具体的实施过程中,验证终端获取到被验证终端的度量值后,可以将该度量值与验证终端接收到的数字证书中的基准值进行比对,若度量值与基准值相同,则认为被验证终端处于可信状态。其中,度量值和基准值的含义可以参考上述实施例的记载,此处不再赘述。
本说明书实施例提供的身份验证数据处理方法,通过可信服务中心对被验证终端进行数字身份验证通过后,将被验证终端的基准值添加在被验证终端的数字证书中颁发给被验证终端。验证终端可以根据被验证终端的数字证书和基准值,对被验证终端进行身份验证和可信状态验证。验证终端对被验证终端的可信状态的验证是实时进行的,实现了可信状态的实时验证,提高了被验证终端可信认证结果的准确性。此外,验证终端不需要从其他的设备获取被验证终端的基准值,提高了身份验证的效率和兼容性。
图8是本说明书又一实施例中被验证终端进行身份验证数据处理方法的流程示意图,如图8所示,本说明书实施例还提供了一种身份验证数据处理方法,包括:
步骤802、接收可信服务器发送的数字身份验证请求。
在具体的实施过程中,验证终端在验证被验证终端的身份之前,可信服务中心即可信服务器可以先对被验证终端进行数字身份和可信状态的验证。可信服务中心可以向被验证终端发送数字身份校验请求,通过公私钥对或密码验证或数字证书等方式对被验证终端进行数字身份进行验证。例如:被验证终端可以预先通过CA即证书授权中心申请自己的数字证书,验证终端在验证被验证终端的身份之前,可信服务中心即可信服务器可以先对被验证终端进行数字身份的验证。当可信服务中心需要对被验证终端进行数字身份验证时,可信服务中心可以请求被验证终端将数字证书发送给可信服务中心,可信服务中心可以通过验证被验证终端的数字证书来验证被验证终端的数字身份,可信服务中心对被验证终端进行数字身份验证的过程可以参考上述实施例的记载,此处不再赘述。
步骤804、接收所述可信服务器在数字身份验证通过后颁发的带有基准值的数字证书。
在具体的实施过程中,可信服务中心验证被验证终端的数字身份合法后,可以给被验证终端颁发带有被验证终端的基准值的数字证书,被验证终端可以接收可信服务器发送的带有被验证终端的基准值的数字证书。其中,可信服务中心可以将被验证终端的基准值添加在被验证终端请求CA颁发的数字证书的扩展域中。被验证终端的基准值可以由可信服务中心预先获得,具体获取方法被说明书实施例不作具体限定。
步骤806、接收验证终端的身份验证请求,将所述带有基准值的数字证书发送给所述验证终端,以使得所述验证终端所述数字证书是否合法。
在具体的实施过程中,当验证终端和被验证终端进行通信,需要对被验证终端进行身份验证时,验证终端可以向被验证终端发送身份验证请求,被验证终端接收到该身份验证请求后,可以将带有基准值的数字证书发送给验证终端。验证终端可以通过验证接收到的数字证书验证被验证终端的数字身份,其中,验证终端通过对被验证终端进行数字身份的认证的方法,可以参考上述实施例的记载,此处不再赘述。
步骤808、接收所述验证终端在确定所述数字证书合法后发送的远程证明请求,将度量值发送给所述验证终端,以使得所述验证终端根据所述度量值和所述数字证书中的基准值进行身份验证。
在具体的实施过程中,验证终端验证被验证终端的数字身份合法后,还可以通过远程证明技术请求获取被验证终端的度量值,并将获取到的度量值与数字证书中的基准值进行比对验证被验证终端的可信状态。其中,验证终端利用远程技术对被验证终端进行可信状态认证的方法,可以参考上述实施例的记载,此处不再赘述。
本说明书实施例提供的身份验证数据处理方法,通过可信服务中心对被验证终端进行数字身份验证通过后,将被验证终端的基准值添加在被验证终端的数字证书中颁发给被验证终端。验证终端可以根据被验证终端的数字证书和基准值,对被验证终端进行身份验证和可信状态验证。验证终端对被验证终端的可信状态的验证是实时进行的,实现了可信状态的实时验证,提高了被验证终端可信认证结果的准确性。此外,验证终端不需要从其他的设备获取被验证终端的基准值,提高了身份验证的效率和兼容性。
下面结合图6具体介绍本说明书实施例中身份验证数据处理方法的过程,图6中被验证终端和验证终端中的OS、Bootloader、BIOS、EK、AIK的具体含义可以参考上述实施例的记载,此处不再赘述。
在本说明书实施例中,可以在网络系统中建立可信服务中心,由可信服务中心验证网络实体的数字身份,可信服务中心验证完被验证终端的数字身份后,不强制验证其可信状态。而是颁发一个带被验证终端的基准值的数字证书,基准值可以放在数字证书的扩展域中。验证终端在被验证终端的数字证书后,可以要求被验证终端通过远程证明提供度量值。验证终端在比较被验证终端的度量值和证书中的基准值后,可以确定被验证终端的可信状态。验证终端验证的是被验证终端的即时状态(请求发生时)是否是可信的,时效性更好,可以提高被验证终端可信认证的准确性。
本说明书中上述方法的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参考即可,每个实施例重点说明的都是与其他实施例的不同之处。相关之处参考方法实施例的部分说明即可。
基于上述所述的身份验证数据处理方法,本说明书一个或多个实施例还提供一种用于身份验证数据处理的可信服务器、验证终端、被验证终端。所述的可信服务器、验证终端、被验证终端可以包括使用了本说明书实施例所述方法的系统(包括分布式系统)、软件(应用)、模块、组件、服务器、客户端等并结合必要的实施硬件的装置。基于同一创新构思,本说明书实施例提供的一个或多个实施例中的可信服务器、验证终端、被验证终端如下面的实施例所述。由于可信服务器、验证终端、被验证终端解决问题的实现方案与方法相似,因此本说明书实施例具体的可信服务器、验证终端、被验证终端的实施可以参考前述方法的实施,重复之处不再赘述。以下所使用的,术语“单元”或者“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的可信服务器、验证终端、被验证终端较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
具体地,图9是本说明书提供的用于身份验证数据处理的可信服务器一个实施例的模块结构示意图,如图9所示,本说明书中提供的用于身份验证数据处理的可信服务器可以包括:第一数字身份验证模块91、第一可信状态验证模块92、可信证书颁发模块93,其中:
第一数字身份验证模块91,可以用于验证被验证终端的数字身份;
第一可信状态验证模块92,可以用于若所述被验证终端的数字身份验证通过,则通过远程证明技术验证所述被验证终端是否处于可信状态;
可信证书颁发模块93,可以用于若验证出所述被验证终端处于可信状态,则给所述被验证终端颁发带有可信标识的数字证书,以使得验证终端根据所述带有可信标识的数字证书对所述被验证终端进行身份验证。
本说明书实施例提供的用于身份验证数据处理的可信服务器,将数字身份验证和可信计算技术结合使用,进行身份验证,并通过设置可信服务中心对被验证终端进行先一步验证。当被验证终端的数字身份和可信状态均验证通过后,则在被验证终端的数字证书中添加可信标识,使得验证终端直接根据带有可信标识的数字证书就可以同时验证被验证终端的数字身份和设备的可信状态。并且,验证终端不需要具备解析可信协议的能力,只需要验证数字证书中的可信标识即可,相比数字证书和可信计算技术独立使用的方案,本说明书实施例提供的方法不需要获取基准值,也不需要解析远程证明协议,只需要解析数字证书,工程实施更为简单,减少了验证终端的工作量和身份验证的难度,提高了身份验证的效率。
在上述实施例的基础上,本说明书一些实施例中,所述可信证书颁发模块具体用于:
在给所述被验证终端发放带有可信标识的数字证书时,设置所述带有可信标识的数字证书的有效期。
本说明书实施例,通过设置带有可信标识的数字证书的有效期,可以提高被验证终端可信状态的可信性,提高身份验证的准确性,进一步提高了系统的安全性。
在上述实施例的基础上,本说明书一些实施例中,所述第一数字身份验证模块具体用于:
通过验证所述被验证终端的数字证书,验证所述被验证终端的数字身份,所述数字证书由所述被验证终端在证书授权中心申请获得;
相应地,所述可信证书颁发模块具体用于:
在所述被验证终端从所述证书授权中心申请获得的数字证书中添加所述可信标识,并将添加所述可信标识的数字证书发放给所述被验证终端。
本说明书实施例,利用数字证书对被验证终端进行数字身份验证,在数字身份和可信状态验证通过后,直接在被验证终端的数字证书中添加可信标识。将数字证书和可信计算技术相结合,进行终端设备的身份验证,不需要获取基准值,也不需要解析远程证明协议,只需要解析数字证书,工程实施更为简单,减少了验证终端的工作量和身份验证的难度,提高了身份验证的效率。
在上述实施例的基础上,本说明书一些实施例中,所述可信证书颁发模块具体用于:
将所述可信标识设置在所述数字证书的扩展域中。
本说明书实施例,将可信标识设置在所述数字证书的扩展域中,达到了标记被验证终端的可信状态的作用,并且不会破坏原有的数字证书。
图10是本说明书提供的用于身份验证数据处理的验证终端一个实施例的模块结构示意图,如图10所示,本说明书中提供的用于身份验证数据处理的验证终端可以包括:第一数字证书获取模块101、证书验证模块102、可信标识验证模块103,其中:
第一数字证书获取模块101,可以用于获取被验证终端的数字证书;
证书验证模块102,可以用于验证所述被验证终端的数字证书;
可信标识验证模块103,可以用于在所述被验证终端的数字身份验证通过时,验证所述数字证书上是否带有可信标识,若有可信标识则确定所述被验证终端的身份合法;
其中,所述可信标识是由可信服务器在验证所述被验证终端的数字身份和可信状态均通过后,颁发给所述被验证终端的数字证书中带有的。
本说明书实施例,通过设置可信服务中心对被验证终端进行先一步验证,当被验证终端的数字身份和可信状态均验证通过后,则在被验证终端的数字证书中添加可信标识,使得验证终端直接根据带有可信标识的数字证书就可以同时验证被验证终端的数字身份和设备的可信状态。并且,验证终端不需要具备解析可信协议的能力,只需要验证数字证书中的可信标识即可,相比数字证书和可信计算技术独立使用的方案,本说明书实施例提供的方法不需要获取基准值,也不需要解析远程证明协议,只需要解析数字证书,工程实施更为简单,减少了验证终端的工作量和身份验证的难度,提高了身份验证的效率。
图11是本说明书提供的用于身份验证数据处理的被验证终端一个实施例的模块结构示意图,如图11所示,本说明书中提供的用于身份验证数据处理的被验证终端可以包括:第一验证请求接收模块111、远程证明模块112、可信证书接收模块113、第二证书发送模块114,其中:
第一验证请求接收模块111,可以用于接收可信服务器发送的数字身份验证请求;
远程证明模块112,可以用于接收所述可信服务器在数字身份验证通过后发送的远程证明请求,将度量值发送给所述可信服务器,以使得所述可信服务器将所述度量值与所述可信服务器自身存储的对应的基准值进行比对;
可信证书接收模块113,可以用于接收所述可信服务器颁发的带有可信标识的数字证书,所述带有可信标识的数字证书由所述可信服务器确定所述度量值与所述基准值相同后颁发的;
第一证书发送模块114,可以用于接收验证终端的身份验证请求,将所述带有可信标识的数字证书发送给所述验证终端,以使得所述验证终端根据所述带有可信标识的数字证书进行身份验证。
本说明书实施例,通过设置可信服务中心对被验证终端进行先一步验证,当被验证终端的数字证书和可信状态均验证通过后,则在被验证终端的数字证书中添加可信标识,使得验证终端直接根据带有可信标识的数字证书就可以同时验证被验证终端的数字身份和设备的可信状态。并且,验证终端不需要具备解析可信协议的能力,只需要验证数字证书中的可信标识即可,相比数字证书和可信计算技术独立使用的方案,本说明书实施例提供的方法不需要获取基准值,也不需要解析远程证明协议,只需要解析数字证书,工程实施更为简单,减少了验证终端的工作量和身份验证的难度,提高了身份验证的效率。
在上述实施例的基础上,本说明书一些实施例中,所述被验证终端还包括动态存储器和/或可信计算芯片;
所述带有可信标识的数字证书对应的私钥存储在动态存储器中或可信计算芯片中;
其中,当所述私钥存储在所述可信计算芯片中时,设置所述带有可信标识的数字证书的访问权限,所述访问权限为终端在可信状态时才允许访问。
本说明书实施例,设置被验证终端的私钥的存储方式,将私钥存储在动态存储器中或可信计算芯片中,并设置私钥的访问权限,提高了私钥的安全性,进一步提高系统的安全性。
图12是本说明书提供的用于身份验证数据处理的可信服务器一个实施例的模块结构示意图,如图12所示,本说明书中提供的用于身份验证数据处理的可信服务器可以包括:第二数字身份验证模块121、基准值证书颁发模块122,其中:
第二数字身份验证模块121,可以用于通过验证被验证终端的数字证书验证所述被验证终端的数字身份,所述数字证书由所述被验证终端在证书授权中心申请获得;
基准值证书颁发模块122,可以用于若所述被验证终端的数字身份验证通过,则给所述被验证终端发放带有所述被验证终端的基准值的数字证书,以使得验证终端根据带有所述基准值的数字证书对所述被验证终端进行身份验证。
本说明书实施例,通过可信服务中心对被验证终端进行数字身份验证通过后,将被验证终端的基准值添加在被验证终端的数字证书中。验证终端可以根据被验证终端的数字证书和基准值,对被验证终端进行身份验证和可信状态验证。验证终端对被验证终端的可信状态的验证是实时进行的,实现了可信状态的实时验证,提高了被验证终端可信认证结果的准确性。此外,验证终端不需要从其他的设备获取被验证终端的基准值,提高了身份验证的效率和兼容性。
图13是本说明书提供的用于身份验证数据处理的验证终端一个实施例的模块结构示意图,如图13所示,本说明书中提供的用于身份验证数据处理的验证终端可以包括:第二数字证书获取模块131、第三数字身份验证模块132、度量值获取模块133、第二可信状态验证模块134,其中:
第二数字证书获取模块131,可以用于获取被验证终端的数字证书,其中,所述数字证书中带有所述被验证终端的基准值,所述基准值是由可信服务器在验证所述被验证终端的数字证书合法后,给所述被验证终端颁发的数字证书中带有的;
第三数字身份验证模块132,可以用于验证所述被验证终端的数字证书;
度量值获取模块133,可以用于若所述被验证终端的数字证书验证通过,则通过远程证明技术获取所述被验证终端的度量值;
第二可信状态验证模块134,可以用于将所述度量值与所述数字证书中基准值进行比对,确定所述被验证终端的可信状态,完成对所述被验证终端的身份验证。
本说明书实施例,通过可信服务中心对被验证终端进行数字身份验证通过后,将被验证终端的基准值添加在被验证终端的数字证书中。验证终端可以根据被验证终端的数字证书和基准值,对被验证终端进行身份验证和可信状态验证。验证终端对被验证终端的可信状态的验证是实时进行的,实现了可信状态的实时验证,提高了被验证终端可信认证结果的准确性。此外,验证终端不需要从其他的设备获取被验证终端的基准值,提高了身份验证的效率和兼容性。
图14是本说明书提供的用于身份验证数据处理的被验证终端一个实施例的模块结构示意图,如图14所示,本说明书中提供的用于身份验证数据处理的被验证终端可以包括:第二验证请求接收模块141、基准证书接收模块142、第二证书发送模块143、度量值发送模块144,其中:
第二验证请求接收模块141,可以用于接收可信服务器发送的数字身份验证请求;
基准证书接收模块142,可以用于接收所述可信服务器在数字身份验证通过后颁发的带有基准值的数字证书;
第二证书发送模块143,可以用于接收验证终端的身份验证请求,将所述带有基准值的数字证书发送给所述验证终端,以使得所述验证终端所述数字证书是否合法;
度量值发送模块144,可以用于接收所述验证终端在确定所述数字证书合法后发送的远程证明请求,将度量值发送给所述验证终端,以使得所述验证终端根据所述度量值和所述数字证书中的基准值进行身份验证。
本说明书实施例,通过可信服务中心对被验证终端进行数字身份验证通过后,将被验证终端的基准值添加在被验证终端的数字证书中。验证终端可以根据被验证终端的数字证书和基准值,对被验证终端进行身份验证和可信状态验证。验证终端对被验证终端的可信状态的验证是实时进行的,实现了可信状态的实时验证,提高了被验证终端可信认证结果的准确性。此外,验证终端不需要从其他的设备获取被验证终端的基准值,提高了身份验证的效率和兼容性。
需要说明的,上述所述的服务器、终端根据方法实施例的描述还可以包括其他的实施方式。具体的实现方式可以参照上述对应的方法实施例的描述,在此不作一一赘述。
本说明书实施例还提供一种身份验证数据处理设备,包括:至少一个处理器以及用于存储处理器可执行指令的存储器,所述处理器执行所述指令时实现上述实施例中身份验证数据处理方法,如:
验证被验证终端的数字身份;
若所述被验证终端的数字身份验证通过,则通过远程证明技术验证所述被验证终端是否处于可信状态;
若验证出所述被验证终端处于可信状态,则给所述被验证终端颁发带有可信标识的数字证书,以使得验证终端根据所述带有可信标识的数字证书对所述被验证终端进行身份验证。
或,获取被验证终端的数字证书;
验证所述被验证终端的数字证书;
若所述被验证终端的数字证书验证通过,则验证所述数字证书上是否带有可信标识,若有可信标识则确定所述被验证终端的身份合法;
其中,所述可信标识是由可信服务器在验证所述被验证终端的数字身份和可信状态均通过后,颁发给所述被验证终端的数字证书中带有的。
或,接收可信服务器发送的数字身份验证请求;
接收所述可信服务器在数字身份验证通过后发送的远程证明请求,将度量值发送给所述可信服务器,以使得所述可信服务器将所述度量值与所述可信服务器自身存储的对应的基准值进行比对;
接收所述可信服务器颁发的带有可信标识的数字证书,所述带有可信标识的数字证书由所述可信服务器确定所述度量值与所述基准值相同后颁发的;
接收验证终端的身份验证请求,将所述带有可信标识的数字证书发送给所述验证终端,以使得所述验证终端根据所述带有可信标识的数字证书进行身份验证。
或,验证被验证终端的数字身份;
若所述被验证终端的数字身份验证通过,则给所述被验证终端颁发带有所述被验证终端的基准值的数字证书,以使得验证终端根据带有所述基准值的数字证书对所述被验证终端进行身份验证。
或,获取被验证终端的数字证书,其中,所述数字证书中带有所述被验证终端的基准值,所述基准值是由可信服务器在验证所述被验证终端的数字证书合法后,给所述被验证终端颁发的数字证书中带有的;
验证所述被验证终端的数字证书;
若所述被验证终端的数字证书验证通过,则通过远程证明技术获取所述被验证终端的度量值;
将所述度量值与所述数字证书中基准值进行比对,确定所述被验证终端的可信状态,完成对所述被验证终端的身份验证。
或,接收可信服务器发送的数字身份验证请求;
接收所述可信服务器在数字身份验证通过后颁发的带有基准值的数字证书;
接收验证终端的身份验证请求,将所述带有基准值的数字证书发送给所述验证终端,以使得所述验证终端所述数字证书是否合法;
接收所述验证终端在确定所述数字证书合法后发送的远程证明请求,将度量值发送给所述验证终端,以使得所述验证终端根据所述度量值和所述数字证书中的基准值进行身份验证。
如图2、图6所示,本说明书一个实施例中提供身份验证数据处理系统,可以包括:可信服务中心、至少一个被验证终端、至少一个验证终端,所述可信服务中心中存储有不同终端的基准值,所述被验证终端中设置有可信计算芯片,且所述被验证终端申请有数字证书;
所述可信服务中心中包括至少一个处理器以及用于存储处理器可执行指令的存储器,所述处理器执行所述指令时实现上述实施例中可信服务中心侧执行的方法;
所述被验证终端包括至少一个处理器以及用于存储处理器可执行指令的存储器,所述处理器执行所述指令时实现上述实施例中被验证终端侧执行的方法;
所述验证终端包括至少一个处理器以及用于存储处理器可执行指令的存储器,所述处理器执行所述指令时实现上述实施例中验证终端侧执行的方法。
需要说明的,上述所述的处理设备和系统,根据方法实施例的描述还可以包括其他的实施方式。具体的实现方式可以参照上述对应的方法实施例的描述,在此不作一一赘述。
本说明书提供的身份验证数据处理的服务器或终端或处理设备或系统,也可以应用在多种数据分析处理系统中。所述系统或服务器或终端或处理设备可以为单独的服务器,也可以包括使用了本说明书的一个或多个所述方法或一个或多个实施例系统或服务器或终端或处理设备的服务器集群、系统(包括分布式系统)、软件(应用)、实际操作装置、逻辑门电路装置、量子计算机等并结合必要的实施硬件的终端装置。所述核对差异数据的检测系统可以包括至少一个处理器以及存储计算机可执行指令的存储器,所述处理器执行所述指令时实现上述任意一个或者多个实施例中所述方法的步骤。
本说明书实施例所提供的方法实施例可以在移动终端、计算机终端、服务器或者类似的运算装置中执行。以运行在服务器上为例,图15是本说明书一个实施例中身份验证数据处理服务器的硬件结构框图,该服务器可以是上述实施例中的身份验证数据处理装置、身份验证数据处理设备或系统。如图15所示,服务器10可以包括一个或多个(图中仅示出一个)处理器100(处理器100可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器200、以及用于通信功能的传输模块300。本邻域普通技术人员可以理解,图15所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,服务器10还可包括比图15中所示更多或者更少的组件,例如还可以包括其他的处理硬件,如数据库或多级缓存、GPU,或者具有与图15所示不同的配置。
存储器200可用于存储应用软件的软件程序以及模块,如本说明书实施例中的身份验证数据处理方法对应的程序指令/模块,处理器100通过运行存储在存储器200内的软件程序以及模块,从而执行各种功能应用以及资源数据更新。存储器200可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器200可进一步包括相对于处理器100远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输模块300用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端的通信供应商提供的无线网络。在一个实例中,传输模块300包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输模块300可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本说明书提供的上述实施例所述的方法或装置可以通过计算机程序实现业务逻辑并记录在存储介质上,所述的存储介质可以计算机读取并执行,实现本说明书实施例所描述方案的效果。
所述存储介质可以包括用于存储信息的物理装置,通常是将信息数字化后再以利用电、磁或者光学等方式的媒体加以存储。所述存储介质有可以包括:利用电能方式存储信息的装置如,各式存储器,如RAM、ROM等;利用磁能方式存储信息的装置如,硬盘、软盘、磁带、磁芯存储器、磁泡存储器、U盘;利用光学方式存储信息的装置如,CD或DVD。当然,还有其他方式的可读存储介质,例如量子存储器、石墨烯存储器等等。
本说明书实施例提供的上述身份验证数据处理方法或装置可以在计算机中由处理器执行相应的程序指令来实现,如使用windows操作系统的c++语言在PC端实现、linux系统实现,或其他例如使用android、iOS系统程序设计语言在智能终端实现,以及基于量子计算机的处理逻辑实现等。
需要说明的是说明书上述所述的装置、计算机存储介质、系统根据相关方法实施例的描述还可以包括其他的实施方式,具体的实现方式可以参照对应方法实施例的描述,在此不作一一赘述。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参考即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于硬件+程序类实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参考方法实施例的部分说明即可。
本说明书实施例并不局限于必须是符合行业通信标准、标准计算机资源数据更新和数据存储规则或本说明书一个或多个实施例所描述的情况。某些行业标准或者使用自定义方式或实施例描述的实施基础上略加修改后的实施方案也可以实现上述实施例相同、等同或相近、或变形后可预料的实施效果。应用这些修改或变形后的数据获取、存储、判断、处理方式等获取的实施例,仍然可以属于本说明书实施例的可选实施方案范围之内。
在20世纪90年代,对于一个技术的改进可以很明显地区分是硬件上的改进(例如,对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而,随着技术的发展,当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此,不能说一个方法流程的改进就不能用硬件实体模块来实现。例如,可编程逻辑器件(Programmable Logic Device,PLD)(例如现场可编程门阵列(Field Programmable GateArray,FPGA))就是这样一种集成电路,其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字系统“集成”在一片PLD上,而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且,如今,取代手工地制作集成电路芯片,这种编程也多半改用“逻辑编译器(logic compiler)”软件来实现,它与程序开发撰写时所用的软件编译器相类似,而要编译之前的原始代码也得用特定的编程语言来撰写,此称之为硬件描述语言(Hardware Description Language,HDL),而HDL也并非仅有一种,而是有许多种,如ABEL(Advanced Boolean Expression Language)、AHDL(Altera Hardware DescriptionLanguage)、Confluence、CUPL(Cornell University Programming Language)、HDCal、JHDL(Java Hardware Description Language)、Lava、Lola、MyHDL、PALASM、RHDL(RubyHardware Description Language)等,目前最普遍使用的是VHDL(Very-High-SpeedIntegrated Circuit Hardware Description Language)与Verilog。本领域技术人员也应该清楚,只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中,就可以很容易得到实现该逻辑方法流程的硬件电路。
控制器可以按任何适当的方式实现,例如,控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程逻辑控制器和嵌入微控制器的形式,控制器的例子包括但不限于以下微控制器:ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20以及Silicone Labs C8051F320,存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道,除了以纯计算机可读程序代码方式实现控制器以外,完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件,而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可以为个人计算机、膝上型计算机、车载人机交互设备、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
虽然本说明书一个或多个实施例提供了如实施例或流程图所述的方法操作步骤,但基于常规或者无创造性的手段可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的装置或终端产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境,甚至为分布式资源数据更新环境)。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、产品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、产品或者设备所固有的要素。在没有更多限制的情况下,并不排除在包括所述要素的过程、方法、产品或者设备中还存在另外的相同或等同要素。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本说明书一个或多个时可以把各模块的功能在同一个或多个软件和/或硬件中实现,也可以将实现同一功能的模块由多个子模块或子单元的组合实现等。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
本发明是参照根据本发明实施例的方法、装置(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程资源数据更新设备的处理器以产生一个机器,使得通过计算机或其他可编程资源数据更新设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程资源数据更新设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程资源数据更新设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储、石墨烯存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
本领域技术人员应明白,本说明书一个或多个实施例可提供为方法、系统或计算机程序产品。因此,本说明书一个或多个实施例可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本说明书一个或多个实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本说明书一个或多个实施例可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本本说明书一个或多个实施例,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参考即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参考方法实施例的部分说明即可。在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本说明书的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
以上所述仅为本说明书一个或多个实施例的实施例而已,并不用于限制本说明书一个或多个实施例。对于本领域技术人员来说,本说明书一个或多个实施例可以有各种更改和变化。凡在本说明书的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在权利要求范围之内。
Claims (22)
1.一种身份验证数据处理方法,包括:
验证被验证终端的数字身份;
若所述被验证终端的数字身份验证通过,则通过远程证明技术验证所述被验证终端是否处于可信状态;
若验证出所述被验证终端处于可信状态,则给所述被验证终端颁发带有可信标识的数字证书,以使得验证终端根据所述带有可信标识的数字证书对所述被验证终端进行身份验证。
2.如权利要求1所述的方法,所述方法还包括:
在给所述被验证终端发放带有可信标识的数字证书时,设置所述带有可信标识的数字证书的有效期。
3.如权利要求1所述的方法,所述验证被验证终端数字身份,包括:
通过验证所述被验证终端的数字证书,验证所述被验证终端的数字身份,所述数字证书由所述被验证终端在证书授权中心申请获得;
相应地,所述给所述被验证终端发放颁发带有可信标识的数字证书,包括:
在所述被验证终端从所述证书授权中心申请获得的数字证书中添加所述可信标识,并将添加所述可信标识的数字证书发放给所述被验证终端。
4.如权利要求3所述的方法,所述可信标识添加在所述数字证书的扩展域中。
5.一种身份验证数据处理方法,包括:
获取被验证终端的数字证书;
验证所述被验证终端的数字证书;
若所述被验证终端的数字证书验证通过,则验证所述数字证书上是否带有可信标识,若有可信标识则确定所述被验证终端的身份合法;
其中,所述可信标识是由可信服务器在验证所述被验证终端的数字身份和可信状态均通过后,颁发给所述被验证终端的数字证书中带有的。
6.一种身份验证数据处理方法,包括:
接收可信服务器发送的数字身份验证请求;
接收所述可信服务器在数字身份验证通过后发送的远程证明请求,将度量值发送给所述可信服务器,以使得所述可信服务器将所述度量值与所述可信服务器自身存储的对应的基准值进行比对;
接收所述可信服务器颁发的带有可信标识的数字证书,所述带有可信标识的数字证书由所述可信服务器确定所述度量值与所述基准值相同后颁发的;
接收验证终端的身份验证请求,将所述带有可信标识的数字证书发送给所述验证终端,以使得所述验证终端根据所述带有可信标识的数字证书进行身份验证。
7.如权利要求6所述的方法,所述方法还包括:
所述带有可信标识的数字证书对应的私钥存储在动态存储器中或可信计算芯片中;
其中,当所述私钥存储在所述可信计算芯片中时,设置所述带有可信标识的数字证书的访问权限,所述访问权限为终端在可信状态时才允许访问。
8.一种身份验证数据处理方法,包括:
验证被验证终端的数字身份;
若所述被验证终端的数字身份验证通过,则给所述被验证终端颁发带有所述被验证终端的基准值的数字证书,以使得验证终端根据带有所述基准值的数字证书对所述被验证终端进行身份验证。
9.一种身份验证数据处理方法,包括:
获取被验证终端的数字证书,其中,所述数字证书中带有所述被验证终端的基准值,所述基准值是由可信服务器在验证所述被验证终端的数字证书合法后,给所述被验证终端颁发的数字证书中带有的;
验证所述被验证终端的数字证书;
若所述被验证终端的数字证书验证通过,则通过远程证明技术获取所述被验证终端的度量值;
将所述度量值与所述数字证书中基准值进行比对,确定所述被验证终端的可信状态,完成对所述被验证终端的身份验证。
10.一种身份验证数据处理方法,包括:
接收可信服务器发送的数字身份验证请求;
接收所述可信服务器在数字身份验证通过后颁发的带有基准值的数字证书;
接收验证终端的身份验证请求,将所述带有基准值的数字证书发送给所述验证终端,以使得所述验证终端所述数字证书是否合法;
接收所述验证终端在确定所述数字证书合法后发送的远程证明请求,将度量值发送给所述验证终端,以使得所述验证终端根据所述度量值和所述数字证书中的基准值进行身份验证。
11.一种用于身份验证数据处理的可信服务器,包括:
第一数字身份验证模块,用于验证被验证终端的数字身份;
第一可信状态验证模块,用于若所述被验证终端的数字身份验证通过,则通过远程证明技术验证所述被验证终端是否处于可信状态;
可信证书颁发模块,用于若验证出所述被验证终端处于可信状态,则给所述被验证终端颁发带有可信标识的数字证书,以使得验证终端根据所述带有可信标识的数字证书对所述被验证终端进行身份验证。
12.如权利要求11所述的服务器,所述可信证书颁发模块具体用于:
在给所述被验证终端发放带有可信标识的数字证书时,设置所述带有可信标识的数字证书的有效期。
13.如权利要求11所述的服务器,所述第一数字身份验证模块具体用于:
通过验证所述被验证终端的数字证书,验证所述被验证终端的数字身份,所述数字证书由所述被验证终端在证书授权中心申请获得;
相应地,所述可信证书颁发模块具体用于:
在所述被验证终端从所述证书授权中心申请获得的数字证书中添加所述可信标识,并将添加所述可信标识的数字证书发放给所述被验证终端。
14.如权利要求13所述的服务器,所述可信证书颁发模块具体用于:
将所述可信标识设置在所述数字证书的扩展域中。
15.一种用于身份验证数据处理的验证终端,包括:
第一数字证书获取模块,用于获取被验证终端的数字证书;
证书验证模块,用于验证所述被验证终端的数字证书;
可信标识验证模块,用于在所述被验证终端的数字身份验证通过时,验证所述数字证书上是否带有可信标识,若有可信标识则确定所述被验证终端的身份合法;
其中,所述可信标识是由可信服务器在验证所述被验证终端的数字身份和可信状态均通过后,颁发给所述被验证终端的数字证书中带有的。
16.一种用于身份验证数据处理的被验证终端,包括:
第一验证请求接收模块,用于接收可信服务器发送的数字身份验证请求;
远程证明模块,用于接收所述可信服务器在数字身份验证通过后发送的远程证明请求,将度量值发送给所述可信服务器,以使得所述可信服务器将所述度量值与所述可信服务器自身存储的对应的基准值进行比对;
可信证书接收模块,用于接收所述可信服务器颁发的带有可信标识的数字证书,所述带有可信标识的数字证书由所述可信服务器确定所述度量值与所述基准值相同后颁发的;
第一证书发送模块,用于接收验证终端的身份验证请求,将所述带有可信标识的数字证书发送给所述验证终端,以使得所述验证终端根据所述带有可信标识的数字证书进行身份验证。
17.如权利要求16所述的被验证终端,所述被验证终端还包括动态存储器和/或可信计算芯片;
所述带有可信标识的数字证书对应的私钥存储在动态存储器中或可信计算芯片中;
其中,当所述私钥存储在所述可信计算芯片中时,设置所述带有可信标识的数字证书的访问权限,所述访问权限为终端在可信状态时才允许访问。
18.一种用于身份验证数据处理的可信服务器,包括:
第二数字身份验证模块,用于通过验证被验证终端的数字证书验证所述被验证终端的数字身份,所述数字证书由所述被验证终端在证书授权中心申请获得;
基准值证书颁发模块,用于若所述被验证终端的数字身份验证通过,则给所述被验证终端发放带有所述被验证终端的基准值的数字证书,以使得验证终端根据带有所述基准值的数字证书对所述被验证终端进行身份验证。
19.一种用于身份验证数据处理的验证终端,包括:
第二数字证书获取模块,用于获取被验证终端的数字证书,其中,所述数字证书中带有所述被验证终端的基准值,所述基准值是由可信服务器在验证所述被验证终端的数字证书合法后,给所述被验证终端颁发的数字证书中带有的;
第三数字身份验证模块,用于验证所述被验证终端的数字证书;
度量值获取模块,用于若所述被验证终端的数字证书验证通过,则通过远程证明技术获取所述被验证终端的度量值;
第二可信状态验证模块,用于将所述度量值与所述数字证书中基准值进行比对,确定所述被验证终端的可信状态,完成对所述被验证终端的身份验证。
20.一种用于身份验证数据处理的被验证终端,包括:
第二验证请求接收模块,用于接收可信服务器发送的数字身份验证请求;
基准证书接收模块,用于接收所述可信服务器在数字身份验证通过后颁发的带有基准值的数字证书;
第二证书发送模块,用于接收验证终端的身份验证请求,将所述带有基准值的数字证书发送给所述验证终端,以使得所述验证终端所述数字证书是否合法;
度量值发送模块,用于接收所述验证终端在确定所述数字证书合法后发送的远程证明请求,将度量值发送给所述验证终端,以使得所述验证终端根据所述度量值和所述数字证书中的基准值进行身份验证。
21.一种身份验证数据处理设备,包括:至少一个处理器以及用于存储处理器可执行指令的存储器,所述处理器执行所述指令时实现权利要求1-10任一项所述的方法。
22.一种身份验证数据处理系统,包括:可信服务中心、至少一个被验证终端、至少一个验证终端,所述可信服务中心中存储有不同终端的基准值,所述被验证终端中设置有可信计算芯片,且所述被验证终端申请有数字证书;
所述可信服务中心中包括至少一个处理器以及用于存储处理器可执行指令的存储器,所述处理器执行所述指令时实现权利要求1-4任一项或8所述的方法;
所述被验证终端包括至少一个处理器以及用于存储处理器可执行指令的存储器,所述处理器执行所述指令时实现权利要求6或7或10所述的方法;
所述验证终端包括至少一个处理器以及用于存储处理器可执行指令的存储器,所述处理器执行所述指令时实现权利要求5或9所述的方法。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910670766.3A CN110401539B (zh) | 2019-07-24 | 2019-07-24 | 一种身份验证数据处理方法、服务器、终端及系统 |
| PCT/CN2020/071978 WO2021012650A1 (zh) | 2019-07-24 | 2020-01-14 | 一种身份验证数据处理方法、服务器、终端及系统 |
| TW109105394A TWI731594B (zh) | 2019-07-24 | 2020-02-20 | 身分驗證資料處理方法、伺服器、終端及系統 |
| US16/810,934 US10944578B2 (en) | 2019-07-24 | 2020-03-06 | Identity verification |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910670766.3A CN110401539B (zh) | 2019-07-24 | 2019-07-24 | 一种身份验证数据处理方法、服务器、终端及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110401539A true CN110401539A (zh) | 2019-11-01 |
| CN110401539B CN110401539B (zh) | 2021-01-08 |
Family
ID=68325855
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910670766.3A Active CN110401539B (zh) | 2019-07-24 | 2019-07-24 | 一种身份验证数据处理方法、服务器、终端及系统 |
Country Status (3)
| Country | Link |
|---|---|
| CN (1) | CN110401539B (zh) |
| TW (1) | TWI731594B (zh) |
| WO (1) | WO2021012650A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021012650A1 (zh) * | 2019-07-24 | 2021-01-28 | 创新先进技术有限公司 | 一种身份验证数据处理方法、服务器、终端及系统 |
| US10944578B2 (en) | 2019-07-24 | 2021-03-09 | Advanced New Technologies Co., Ltd. | Identity verification |
| CN112787988A (zh) * | 2019-11-11 | 2021-05-11 | 华为技术有限公司 | 一种远程证明方法、装置,系统及计算机存储介质 |
| CN112787817A (zh) * | 2019-11-11 | 2021-05-11 | 华为技术有限公司 | 一种远程证明方法、装置,系统及计算机存储介质 |
| CN118568777A (zh) * | 2024-07-30 | 2024-08-30 | 沃通电子认证服务有限公司 | 数字身份的隐私保护方法、装置、设备及存储介质 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11909882B2 (en) * | 2020-01-30 | 2024-02-20 | Dell Products L.P. | Systems and methods to cryptographically verify an identity of an information handling system |
| US11604880B2 (en) | 2020-02-25 | 2023-03-14 | Dell Products L.P. | Systems and methods to cryptographically verify information handling system configuration |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101241528A (zh) * | 2008-01-31 | 2008-08-13 | 武汉大学 | 终端接入可信pda的方法和接入系统 |
| CN102594558A (zh) * | 2012-01-19 | 2012-07-18 | 东北大学 | 一种可信计算环境的匿名数字证书系统及验证方法 |
| CN103701792A (zh) * | 2013-12-20 | 2014-04-02 | 中电长城网际系统应用有限公司 | 可信授权方法、系统、可信安全管理中心和服务器 |
| CN103856478A (zh) * | 2012-12-06 | 2014-06-11 | 阿里巴巴集团控股有限公司 | 一种可信网络的证书签发、认证方法及相应的设备 |
| CN104270376A (zh) * | 2014-10-13 | 2015-01-07 | 浪潮电子信息产业股份有限公司 | 一种平台完整性的证明方法 |
| US9680644B2 (en) * | 2013-07-25 | 2017-06-13 | Technion Research And Development Foundation Limited | User authentication system and methods |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10798570B2 (en) * | 2015-09-25 | 2020-10-06 | Gunagdong Oppo Mobile Telecommunications Corp. Ltd. | Terminal authentication method and device |
| CN109936547A (zh) * | 2017-12-18 | 2019-06-25 | 阿里巴巴集团控股有限公司 | 身份认证方法、系统及计算设备 |
| CN110401539B (zh) * | 2019-07-24 | 2021-01-08 | 创新先进技术有限公司 | 一种身份验证数据处理方法、服务器、终端及系统 |
-
2019
- 2019-07-24 CN CN201910670766.3A patent/CN110401539B/zh active Active
-
2020
- 2020-01-14 WO PCT/CN2020/071978 patent/WO2021012650A1/zh active Application Filing
- 2020-02-20 TW TW109105394A patent/TWI731594B/zh active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101241528A (zh) * | 2008-01-31 | 2008-08-13 | 武汉大学 | 终端接入可信pda的方法和接入系统 |
| CN102594558A (zh) * | 2012-01-19 | 2012-07-18 | 东北大学 | 一种可信计算环境的匿名数字证书系统及验证方法 |
| CN103856478A (zh) * | 2012-12-06 | 2014-06-11 | 阿里巴巴集团控股有限公司 | 一种可信网络的证书签发、认证方法及相应的设备 |
| CN103856477A (zh) * | 2012-12-06 | 2014-06-11 | 阿里巴巴集团控股有限公司 | 一种可信计算系统及相应的认证方法和设备 |
| US9680644B2 (en) * | 2013-07-25 | 2017-06-13 | Technion Research And Development Foundation Limited | User authentication system and methods |
| CN103701792A (zh) * | 2013-12-20 | 2014-04-02 | 中电长城网际系统应用有限公司 | 可信授权方法、系统、可信安全管理中心和服务器 |
| CN104270376A (zh) * | 2014-10-13 | 2015-01-07 | 浪潮电子信息产业股份有限公司 | 一种平台完整性的证明方法 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021012650A1 (zh) * | 2019-07-24 | 2021-01-28 | 创新先进技术有限公司 | 一种身份验证数据处理方法、服务器、终端及系统 |
| US10944578B2 (en) | 2019-07-24 | 2021-03-09 | Advanced New Technologies Co., Ltd. | Identity verification |
| CN112787988A (zh) * | 2019-11-11 | 2021-05-11 | 华为技术有限公司 | 一种远程证明方法、装置,系统及计算机存储介质 |
| CN112787817A (zh) * | 2019-11-11 | 2021-05-11 | 华为技术有限公司 | 一种远程证明方法、装置,系统及计算机存储介质 |
| WO2021093486A1 (zh) * | 2019-11-11 | 2021-05-20 | 华为技术有限公司 | 远程证明方法、装置,系统及计算机存储介质 |
| WO2021093485A1 (zh) * | 2019-11-11 | 2021-05-20 | 华为技术有限公司 | 远程证明方法、装置,系统及计算机存储介质 |
| CN112787817B (zh) * | 2019-11-11 | 2024-07-09 | 华为技术有限公司 | 一种远程证明方法、装置,系统及计算机存储介质 |
| CN118568777A (zh) * | 2024-07-30 | 2024-08-30 | 沃通电子认证服务有限公司 | 数字身份的隐私保护方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202105208A (zh) | 2021-02-01 |
| WO2021012650A1 (zh) | 2021-01-28 |
| CN110401539B (zh) | 2021-01-08 |
| TWI731594B (zh) | 2021-06-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110401539A (zh) | 一种身份验证数据处理方法、服务器、终端及系统 | |
| CN110008686B (zh) | 跨区块链的数据处理方法、装置、客户端、区块链系统 | |
| Sookhak et al. | Security and privacy of smart cities: a survey, research issues and challenges | |
| CN107392040B (zh) | 一种共识验证的方法及装置 | |
| US10790980B2 (en) | Establishing trust in an attribute authentication system | |
| US11113412B2 (en) | System and method for monitoring and verifying software behavior | |
| CN106716957B (zh) | 高效且可靠的认证 | |
| TWI537764B (zh) | 驗證資料中心內部執行之虛擬磁碟映像的地理位置的方法 | |
| CN103763331B (zh) | 用于多方验证的基于平台的可信性验证服务的方法和系统 | |
| CN105718807B (zh) | 基于软tcm和可信软件栈的安卓系统及其可信认证系统与方法 | |
| US10785240B2 (en) | Protecting from unintentional malware download | |
| US10938572B2 (en) | Revocable biometric-based keys for digital signing | |
| Arfaoui et al. | Trusted execution environments: A look under the hood | |
| CN106105146A (zh) | 在密码证明资源处保护客户端指定凭证 | |
| TW201512879A (zh) | 行動通信裝置及其操作方法 | |
| TW201518989A (zh) | 授權將於目標計算裝置上執行之操作的方法 | |
| CN108055132A (zh) | 一种业务授权的方法、装置及设备 | |
| Sardar et al. | Demystifying attestation in intel trust domain extensions via formal verification | |
| CN106899571A (zh) | 信息交互方法及装置 | |
| CN108028760A (zh) | 用于管理计算装置上的证书的技术 | |
| CN106156618A (zh) | 一种安全芯片、移动终端和实现移动终端系统安全的方法 | |
| CN110366183A (zh) | 短信安全防护方法及装置 | |
| US20200110879A1 (en) | Trusted computing attestation of system validation state | |
| CN105227380B (zh) | 用户数据处理的方法、装置及系统 | |
| US10944578B2 (en) | Identity verification |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20201012 Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Applicant after: Innovative advanced technology Co.,Ltd. Address before: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Applicant before: Advanced innovation technology Co.,Ltd. Effective date of registration: 20201012 Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Applicant after: Advanced innovation technology Co.,Ltd. Address before: Greater Cayman, British Cayman Islands Applicant before: Alibaba Group Holding Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |