CN110659470B - 离线物理隔离的认证方法及其认证系统 - Google Patents
离线物理隔离的认证方法及其认证系统 Download PDFInfo
- Publication number
- CN110659470B CN110659470B CN201910900535.7A CN201910900535A CN110659470B CN 110659470 B CN110659470 B CN 110659470B CN 201910900535 A CN201910900535 A CN 201910900535A CN 110659470 B CN110659470 B CN 110659470B
- Authority
- CN
- China
- Prior art keywords
- authentication
- user
- authentication code
- hardware equipment
- public key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06K—GRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
- G06K19/00—Record carriers for use with machines and with at least a part designed to carry digital markings
- G06K19/06—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
- G06K19/06009—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code with optically detectable marking
- G06K19/06037—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code with optically detectable marking multi-dimensional coding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephone Function (AREA)
Abstract
本发明公开了一种离线物理隔离的认证方法,包括硬件设备和业务平台,认证方法包括:硬件设备随机生成一对公钥和私钥,其中私钥只写存储,公钥显示;用户获取硬件设备及对应的公钥;用户通过公钥向业务平台申请绑定,公钥用于验证用户的身份;用户在业务平台中与硬件设备绑定;当业务平台需要验证用户的身份时,对一串随机信息生成一个第一认证码;用户使用硬件设扫描第一认证码;硬件设备通过私钥对扫描到的第一认证码数据进行签名,并将签名后的信息生成一个第二认证码;业务平台扫描第二认证码,再用用户的公钥进行验证,从而认证用户身份,返回认证信息。本发明还公开了一种离线物理隔离的认证系统,本发明的认证过程离线、物理隔离。
Description
技术领域
本发明涉及信息安全技术领域,特别是一种离线物理隔离的认证方法及其认证系统。
背景技术
随着互联网技术的不断发展,安全认证也显得越来越重要。尤其在金融领域、物联网场景下,认证的安全直接决定了一个产品的好坏。纵观行业,目前有的安全认证大概包括一次性短信验证码、硬件令牌、手机令牌、基于推送的身份验证令牌等。一次性短信验证码是指用短信作为身份验证因子。用短信向用户手机发送随机的六位数字,于是理论上只有持有正确手机的人才能通过验证。硬件令牌,作为现役多因子身份认证法中的重要方法,硬件身份验证令牌常以带一次性短信验证码显示屏的密钥卡的形式存在,硬件本身保护着其内部唯一密钥。手机令牌很大程度上与硬件令牌类似,但是通过手机应用实现的,手机令牌最大的优势在于用户只需要智能手机就可以了,而智能手机现在是人们生活的基本必备品。基于推送的身份验证令牌,一种脱胎于常见手机令牌和短信验证码的验证令牌,运用安全推送技术进行身份验证,与短信不同,推送消息不含一次性短信验证码,而是包含只能被用户手机上特定App打开的加密信息。因此,用户拥有上下文相关信息可供判断登录尝试是否真实,然后快速同意或拒绝验证。但是以上这些方式都需要联网或者物理性接触,同时随着黑客技术的发展,凡是存在网络连接及物理接触的方式,都会存在被黑的可能性。
发明内容
为解决现有技术中存在的问题,本发明的目的是提供一种离线物理隔离的认证方法及其认证系统,本发明可以解决目前在高级别的认证过程中由于物理接触、网络、蓝牙等接触过程中,存在的安全风险,能够有效的提高认证的安全行与可行度,而在目前的方案中,多数是接触式的,或者需要网络连接的,这些都存在着一定的风险。
为实现上述目的,本发明采用的技术方案是:一种离线物理隔离的认证方法,包括硬件设备和业务平台,所述的认证方法包括以下步骤:
步骤1、硬件设备随机生成一对公钥和私钥,其中所述私钥只写存储于所述硬件设备中,所述公钥在硬件设备上进行显示;
步骤2、用户获取所述硬件设备,以及获取该硬件设备对应的公钥;
步骤3、用户通过公钥向业务平台申请与硬件设备进行绑定,公钥用于通过硬件设备验证用户的身份;
步骤4、用户在业务平台中与硬件设备绑定;
步骤5、当业务平台需要验证用户的身份时,对一串随机信息生成一个第一认证码;
步骤6、用户使用硬件设扫描所述第一认证码;
步骤7、硬件设备通过所述私钥对扫描到的第一认证码数据进行签名,并将签名后的信息生成一个第二认证码,并将所述第二认证码显示在硬件设备上;
步骤8、业务平台扫描所述第二认证码,再用用户的公钥进行验证,从而认证用户身份,返回认证信息。
作为一种优选的实施方式,所述的第一认证码和第二认证码均为二维码。
本发明还提供一种如上所述的离线物理隔离的认证方法的认证系统,包括硬件设备和业务平台,所述的认证系统还包括:
在硬件设备侧的处理器、存储器、显示屏和第一摄像头,其中,所述处理器用于生成公钥和私钥,所述存储器用于存储所述私钥,所述显示屏用于展示所述公钥以及通过私钥签名后的第二认证码,所述第一摄像头用于扫描所述第一认证码;
在业务平台侧的第二摄像头,所述第二摄像头用于扫描通过私钥签名后的第二认证码。
本发明的有益效果是:
本发明中由于私钥是离线进行保存的,可以有效的保证私钥的存储安全;在私钥的使用过程中,私钥签名的认证码通过扫描二维码的形式进行交互,交互过程中没有物理、网络、蓝牙等形式的接触,可以保证交互过程的安全。通过该发明,可以在需要安全认证的地方,特别是互联网金融、区块链等与私钥安全密切相关的地方,可以进一步补充或者替代手机验证码、指纹、人脸识别、U盾等安全认证方式或者介质;同时该方法基于二维码的机制进行了传输与交互,使用方便,具有很好的推广性。
附图说明
图1为本发明实施例1的认证流程图;
图2为本发明实施例1的交互流程图;
图3为本发明实施例1中硬件设备生成或更新公私钥对的流程框图;
图4为本发明实施例1中硬件设备生成签名信息的流程框图;
图5为本发明实施例2中硬件设备的结构框图。
具体实施方式
下面结合附图对本发明的实施例进行详细说明。
实施例1
如图1所示,本实施例提供一种基于数字证书KPI的离线物理隔离的认证方法,包括硬件设备和业务平台,硬件设备可以识别二维码和展示信息,并具备一定的存储能力和计算能力,还包含密钥生成算法,通过密钥生成算法,生成一对公私钥对,私钥在硬件设备中只写存储,公钥显示在硬件设备上。用户购买或者得到此硬件设备后,可以自己生成一对公私钥对,也可以使用之前的公私钥对。在需要与业务平台进行身份认证的时候,首先在业务平台上将用户的信息和硬件设备对应的公钥进行绑定,既公钥可以代表此用户。当业务平台需要验证该用户的身份信息时,随机生成一串信息并转为第一认证码的二维码。用户使用硬件设备扫描二维码,通过硬件设备中的私钥将前面随机生成的信息进行签名生成第二认证码的二维码,再将签名后的信息展示在显示屏上面。业务平台通过扫描获取硬件设备上的展示信息,再用用户的公钥进行验证,如果可以通过,则可以验证用户的身份。
下面对本实施例作进一步地说明:
本实施例包含一个硬件设备,该硬件设备具备扫描二维码、展示二维码续航电池及一定的存储和计算能力的芯片,该硬件设备出厂预生成公私钥对,私钥保存在硬件设备中,公钥公开。通过该硬件设备采集需要签名的信息,通过计算芯片进行签名后,将签名信息以二维码的形式进行展示,具体的交互形式如图2所示:
硬件设备随机生成公私钥对,公钥公开,私钥存储在设备中,只能写不能读(或者在硬件设备的内部生成公私钥对,私钥不出硬件设备);
用户获取硬件设备,即拥有硬件设备的所属权;
用户可以获取到硬件设备及硬件设备对应的公钥;
用户向业务平台申请通过公钥与硬件设备绑定,用于通过硬件设备验证用户的身份;
用户在业务平台中与硬件设备绑定,及硬件设备的私钥签名信息可以代表用户;
业务平台在需要认证用户的身份的时候,对一串随机(或者已知的信息)生成一个二维码;
用户使用硬件设备扫描二维码;
硬件通过内置的私钥对数据进行签名,并将签名后的信息生成对应的二维码;
用户可以通过硬件设备的扫描装置获取到二维码;
用户通过业务平台的扫描装置将二维码信息传递给业务平台;
业务平台通过公钥进行验证,从而认证用户身份,返回认证信息。
硬件设备的功能主要包括生成或更新公私钥对和签名工作,生成或更新公私钥对的工作流程如图3所示:
硬件设备具备更新公私钥对信息的功能,更新公私钥信息的过程中,首先打开该设备的电源,硬件设备内内置有生产公私钥对的算法(使用公开算法)。生产公私钥对后,私钥只写存储在存储器中,公钥通过显示屏展示出来。
生成签名信息的工作流程如图4所示:
硬件设备具备生成签名的功能,签名的过程中,首先该打开该设备的电源,硬件设备具备摄像头功能,摄像头可以采集第一认证码信息,采集第一认证码信息后,将第一认证码信息读取出来,使用硬件设备内置的签名算法(使用公开签名算法)。将第一认证码中的信息进行签名生成第二认证码,然后通过显示设备展示出来供业务平台进行扫描。
实施例2
如图5所示,本实施例为实现实施例1的离线物理隔离的认证方法的认证系统,具体包括硬件设备和业务平台,认证系统还包括:
在硬件设备侧的处理器、存储器、显示屏和第一摄像头,其中,所述处理器用于生成公钥和私钥,所述存储器用于存储所述私钥,所述显示屏用于展示所述公钥以及通过私钥签名后的第二认证码,所述第一摄像头用于扫描所述第一认证码;具体还包括便于携带的电池以及用于开关设备的设备开关;
在业务平台侧的第二摄像头,所述第二摄像头用于扫描通过私钥签名后的第二认证码。
当用户需要进行认证的时候,打开硬件设备的电源,通过第一摄像头获取需要签名的信息,第一摄像头主动补获签名信息,通过计算芯片进行处理,并且将处理结果以二维码的形式在显示屏上面显示,(此处使用彩色二维码可以显示更多信息),业务平台再使用第二摄像头对其进行扫描,并通过公钥进行验证,从而认证用户身份,返回认证信息。
以上所述实施例仅表达了本发明的具体实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。
Claims (2)
1.一种离线物理隔离的认证方法,包括硬件设备和业务平台,其特征在于,所述的认证方法包括以下步骤:
步骤1、硬件设备随机生成一对公钥和私钥,其中所述私钥只写存储于所述硬件设备中,所述公钥在硬件设备上进行显示;
步骤2、用户获取所述硬件设备,以及获取该硬件设备对应的公钥;
步骤3、用户通过公钥向业务平台申请与硬件设备进行绑定,公钥用于通过硬件设备验证用户的身份;
步骤4、用户在业务平台中与硬件设备绑定;
步骤5、当业务平台需要验证用户的身份时,对一串随机信息生成一个第一认证码,所述第一认证码为二维码;
步骤6、用户使用硬件设备扫描所述第一认证码;
步骤7、硬件设备通过所述私钥对扫描到的第一认证码数据进行签名,并将签名后的信息生成一个第二认证码,并将所述第二认证码显示在硬件设备上,所述第二认证码为二维码;
步骤8、业务平台扫描所述第二认证码,再用用户的公钥进行验证,从而认证用户身份,返回认证信息。
2.一种实现如权利要求1所述的离线物理隔离的认证方法的认证系统,包括硬件设备和业务平台,其特征在于,所述的认证系统还包括:
在硬件设备侧的处理器、存储器、显示屏和第一摄像头,其中,所述处理器用于生成公钥和私钥,所述存储器用于存储所述私钥,所述显示屏用于展示所述公钥以及通过私钥签名后的第二认证码,所述第一摄像头用于扫描所述第一认证码,所述第一认证码为二维码;
在业务平台侧的第二摄像头,所述第二摄像头用于扫描通过私钥签名后的第二认证码,所述第二认证码为二维码。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910900535.7A CN110659470B (zh) | 2019-09-23 | 2019-09-23 | 离线物理隔离的认证方法及其认证系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910900535.7A CN110659470B (zh) | 2019-09-23 | 2019-09-23 | 离线物理隔离的认证方法及其认证系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110659470A CN110659470A (zh) | 2020-01-07 |
| CN110659470B true CN110659470B (zh) | 2021-04-20 |
Family
ID=69039059
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910900535.7A Active CN110659470B (zh) | 2019-09-23 | 2019-09-23 | 离线物理隔离的认证方法及其认证系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110659470B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113065118B (zh) * | 2021-03-16 | 2022-06-14 | 青岛海尔科技有限公司 | 认证码的确定方法及装置、存储介质、电子装置 |
| CN114006740B (zh) * | 2021-10-26 | 2024-02-09 | 杭州产链数字科技有限公司 | 一种基于区块链的物联网设备数字身份的管理方法及应用 |
| CN115063916B (zh) * | 2022-05-30 | 2024-04-26 | 上海格尔安信科技有限公司 | 一种用于防止截屏扫码的健康码识别方法及其装置 |
| CN115296854B (zh) * | 2022-07-08 | 2024-09-10 | 中金金融认证中心有限公司 | 用于将智能密码钥匙和终端绑定的方法及相关产品 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103810457A (zh) * | 2014-03-12 | 2014-05-21 | 河南融信数据有限公司 | 基于可靠数字签名和二维码的离线证照防伪方法 |
| CN108737394A (zh) * | 2018-05-08 | 2018-11-02 | 腾讯科技(深圳)有限公司 | 离线验证系统、扫码设备和服务器 |
| CN108959990A (zh) * | 2017-05-23 | 2018-12-07 | 中国移动通信有限公司研究院 | 一种二维码的验证方法及装置 |
| WO2019177563A1 (en) * | 2018-03-12 | 2019-09-19 | Hewlett-Packard Development Company, L.P. | Hardware security |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2343665B1 (en) * | 2009-12-18 | 2012-04-18 | CompuGroup Medical AG | Computer implemented method for generating a pseudonym, computer readable storage medium and computer system |
| CN106936792A (zh) * | 2015-12-30 | 2017-07-07 | 卓望数码技术(深圳)有限公司 | 安全认证方法和系统以及用于安全认证的移动终端 |
| CN107835079A (zh) * | 2017-11-02 | 2018-03-23 | 广州佳都数据服务有限公司 | 一种基于数字证书的二维码认证方法和设备 |
-
2019
- 2019-09-23 CN CN201910900535.7A patent/CN110659470B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103810457A (zh) * | 2014-03-12 | 2014-05-21 | 河南融信数据有限公司 | 基于可靠数字签名和二维码的离线证照防伪方法 |
| CN108959990A (zh) * | 2017-05-23 | 2018-12-07 | 中国移动通信有限公司研究院 | 一种二维码的验证方法及装置 |
| WO2019177563A1 (en) * | 2018-03-12 | 2019-09-19 | Hewlett-Packard Development Company, L.P. | Hardware security |
| CN108737394A (zh) * | 2018-05-08 | 2018-11-02 | 腾讯科技(深圳)有限公司 | 离线验证系统、扫码设备和服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110659470A (zh) | 2020-01-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110659470B (zh) | 离线物理隔离的认证方法及其认证系统 | |
| US10652018B2 (en) | Methods and apparatus for providing attestation of information using a centralized or distributed ledger | |
| CN109150548B (zh) | 一种数字证书签名、验签方法及系统、数字证书系统 | |
| US8807426B1 (en) | Mobile computing device authentication using scannable images | |
| US7188362B2 (en) | System and method of user and data verification | |
| CA3142324A1 (en) | Method, device and system for transferring data | |
| KR20180061168A (ko) | 무선 바이오메트릭 인증 시스템 및 방법 | |
| JP2018532301A (ja) | 本人認証方法及び装置 | |
| CN105141615A (zh) | 一种远程开户方法和系统及其身份验证方法和系统 | |
| CN105099673A (zh) | 一种授权方法、请求授权的方法及装置 | |
| JP5104188B2 (ja) | サービス提供システム及び通信端末装置 | |
| WO2008149366A2 (en) | Device method & system for facilitating mobile transactions | |
| CN111931209B (zh) | 基于零知识证明的合同信息验证方法及装置 | |
| CN102801724A (zh) | 一种图形图像与动态密码相结合的身份认证方法 | |
| CN103839160B (zh) | 一种网络交易数字签名方法和装置 | |
| CN101652782B (zh) | 通信终端装置、通信装置、电子卡、通信终端装置提供验证的方法和通信装置提供验证的方法 | |
| CN111709747B (zh) | 智能终端认证方法及系统 | |
| CN101944216A (zh) | 双因子在线交易安全认证方法及系统 | |
| CN104657860A (zh) | 一种手机银行安全认证方法 | |
| CN110659899B (zh) | 一种离线支付方法、装置及设备 | |
| CN114581091A (zh) | 一种身份验证方法、装置、计算机设备及存储介质 | |
| CN115103356A (zh) | 计算机安全验证系统、方法、移动终端及可读存储介质 | |
| CN111127019B (zh) | 一种备份助记词的方法、系统及装置 | |
| CN114445071A (zh) | 支付方法、装置、计算机可读存储介质及电子设备 | |
| CN115706993A (zh) | 认证方法、可读介质和电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |