CN110808998A - 身份认证器的初始化、身份认证方法以及装置 - Google Patents

身份认证器的初始化、身份认证方法以及装置 Download PDF

Info

Publication number
CN110808998A
CN110808998A CN201911100587.2A CN201911100587A CN110808998A CN 110808998 A CN110808998 A CN 110808998A CN 201911100587 A CN201911100587 A CN 201911100587A CN 110808998 A CN110808998 A CN 110808998A
Authority
CN
China
Prior art keywords
identity
authentication
user
authenticator
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911100587.2A
Other languages
English (en)
Other versions
CN110808998B (zh
Inventor
孙海东
童宙杰
孙奇帆
向桂蓉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Hua Yi Automobile System Integration Co Ltd
Original Assignee
Shanghai Hua Yi Automobile System Integration Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Hua Yi Automobile System Integration Co Ltd filed Critical Shanghai Hua Yi Automobile System Integration Co Ltd
Priority to CN201911100587.2A priority Critical patent/CN110808998B/zh
Publication of CN110808998A publication Critical patent/CN110808998A/zh
Application granted granted Critical
Publication of CN110808998B publication Critical patent/CN110808998B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明实施例中公开了一种可离线数字身份认证方法以及装置。所述方法包括:若确定被认证方具有被认证方端的身份认证器的使用权限,则生成被认证方端的身份认证器发送的身份认证消息;身份认证消息由被认证方端的身份认证器,在确定被认证方具有被认证方端的身份认证器的使用权限后,依据被认证方的认证时间和被认证方的身份认证器中存储的用户认证标识生成得到;将身份认证消息发送至认证方,指示认证方依据身份认证消息,通过认证方端的身份认证器对被认证方进行身份认证。采用本认证方案,在认证中心崩溃瘫痪或者认证中心不可靠等问题出现时,仍然能够在离线状态下从身份认证器得到用户认证标识,用以认证方与被认证方之间的身份认证。

Description

身份认证器的初始化、身份认证方法以及装置
技术领域
本发明实施例涉及安全技术领域,尤其涉及一种身份认证器的初始化方法、身份认证方法以及装置。
背景技术
随着信息技术的不断发展,数字身份也越来越体现其重要性,保证数字身份的安全十分重要,但是同时又要易于用户使用是非常重要的。
现有的主流使用的对于身份的认证方法主要是基于认证中心的可信度、安全性、性能等各种指标,才能通过认证中心进行身份认证,在认证中心崩溃瘫痪或者认证中心不可靠等问题出现时,身份认证将无法正常进行。
发明内容
本发明实施例中提供了一种身份认证器的初始化方法、身份认证方法以及装置,以实现可离线的点对点身份认证,以及保证身份认证的可靠性。
第一方面,本发明实施例中提供了一种可离线身份认证器的初始化方法,所述方法包括:
当确定用户具有身份认证器的初始化权限时,响应用户的初始化操作,对标识密码算法模块进行多次模块初始化,得到标识密码算法的初始化参数;
确定目标用户标识和目标设备标识;所述目标用户标识中包括用户的身份信息;所述目标设备标识中包括至少部分用户的身份信息和所述身份认证器自身独有的设备信息;
采用所述标识密码算法模块,依据目标用户标识生成目标用户私钥;以及,依据所述目标设备标识生成目标设备私钥;
依据所述目标用户标识、所述目标用户私钥、所述目标设备标识、所述目标设备私钥,以及所述标识密码算法的初始化参数,生成用户认证信息,并向认证机构中心发送所述用户认证信息;
接收所述认证机构中心发送的用户认证签名,用以完成所述身份认证器的初始化;所述用户认证签名是由所述认证机构中心在验证所述用户认证信息中的用户认证标识有效后对所述用户认证标识的签名;所述用户认证标识包括目标用户标识、目标设备标识和标识密码算法的初始化参数。
第二方面,一种可离线数字身份认证方法,应用于可离线的身份认证器,且该身份认证器已经采用本实施例中的可离线身份认证器的初始化方法进行初始化;所述方法包括:
若确定被认证方具有被认证方端的身份认证器的使用权限,则生成被认证方端的身份认证器发送的身份认证消息;身份认证消息由被认证方端的身份认证器,在确定被认证方具有被认证方端的身份认证器的使用权限后,依据被认证方的认证时间和被认证方的身份认证器中存储的用户认证标识生成得到;被认证方端的身份认证器为区块链中可离线的节点;
将所述身份认证消息发送至认证方,指示认证方依据身份认证消息,通过认证方端的身份认证器对被认证方进行身份认证;其中,认证方端的身份认证器为被认证方端的身份认证器所属区块链中可离线的节点。
第三方面,本发明实施例中还提供了一种可离线身份认证器的初始化装置,所述装置包括:
初始化模块,用于当确定用户具有身份认证器的初始化权限时,响应用户的初始化操作,对标识密码算法模块进行多次模块初始化,得到标识密码算法的初始化参数;
标识确定模块,用于确定目标用户标识和目标设备标识;所述目标用户标识中包括用户的身份信息;所述目标设备标识中包括至少部分的用户的身份信息和所述身份认证器自身独有的设备信息;
秘钥生成模块,用于采用所述标识密码算法模块,依据目标用户标识生成目标用户私钥;以及,依据所述目标设备标识生成目标设备私钥;
认证信息处理模块,用于依据所述目标用户标识、所述目标用户私钥、所述目标设备标识、所述目标设备私钥,以及所述标识密码算法的初始化参数,生成用户认证信息,并向认证机构中心发送所述用户认证信息;
认证签名接收模块,用于接收所述认证机构中心发送的用户认证签名,用以完成所述身份认证器的初始化;所述用户认证签名是由所述认证机构中心在验证所述用户认证信息中的用户认证标识有效后对所述用户认证标识的签名;所述用户认证标识包括目标用户标识、目标设备标识和标识密码算法的初始化参数。
第四方面,一种可离线数字身份认证装置,配置于可离线的身份认证器,且该身份认证器已经采用本实施例中的可离线身份认证器的初始化方法进行初始化;所述装置包括:
消息生成模块,用于若确定被认证方具有被认证方端的身份认证器的使用权限,则生成被认证方端的身份认证器发送的身份认证消息;身份认证消息由被认证方端的身份认证器,在确定被认证方具有被认证方端的身份认证器的使用权限后,依据被认证方的认证时间和被认证方的身份认证器中存储的用户认证标识生成得到;被认证方端的身份认证器为区块链中可离线的节点;
消息发送模块,用于将所述身份认证消息发送至认证方,指示认证方依据身份认证消息,通过认证方端的身份认证器对被认证方进行身份认证;其中,认证方端的身份认证器为被认证方端的身份认证器所属区块链中可离线的节点。
第五方面,本发明实施例中还提供了一种电子设备,所述电子设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如本发明任意实施例中提供的可离线身份认证器的初始化方法或者实现如本发明任意实施例中提供的可离线数字身份认证方法。
第六方面,本发明实施例中还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本发明任意实施例中提供的可离线身份认证器的初始化方法或者实现如本发明任意实施例中提供的可离线数字身份认证方法。
本发明实施例中提供了一种可离线身份认证器的初始化和可离线数字身份认证方案,当确定用户具有身份认证器的标识密码算法模块的初始化时,对标识密码算法模块进行多次模块初始化,以增加认证机构中心破解用户是基于哪个初始化参数来生成后续生成的私钥的难度;并且确定用户标识和设备标识;然后,再依据用户标识、用户私钥、设备标识和设备私钥生成用户认证信息;此时认证信息中包含有用户认证标识,即用户认证标识包括目标用户标识、目标设备标识和标识密码算法的初始化参数;当身份认证器将用户认证消息发送到认证机构中心后,认证机构中心可以对用户认证信息中的认证标识的有效性进行验证,并在验证有效的情况下发送用户认证签名;当身份认证器接收到用户认证签名后,即可完成身份认证器的初始化。当需要进行身份认证时可以直接利用可离线的身份认证器中记录的用户认证标识进行认证方与被认证方之间的身份认证过程。采用本实施例的方案,在身份认证器中包含设备标识,且设备标识与用户部分信息绑定,由用户授意生成,保证一物一密;身份认证器中还包含由用户授意生成用户标识,与用户部分信息绑定,保证一人一密;在标识密码算法模块的初始化后,通过标识密码算法,建立认证机构中心、身份认证器和用户三者之间的信任。此外,本申请方案并未采用数字证书,而是使用了用户认证标识,用户认证标识属于数字标识,通过数字标识实现身份认证器与用户个体之间的紧密绑定关系,从而可以保证后续可离线的认证方与被认证之间的点对点身份认证的可靠性。
上述发明内容仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1是本发明实施例中提供的一种可离线身份认证器的初始化方法的流程图;
图2是本发明实施例中提供的一种可离线数字身份认证方法的流程图;
图3是本发明实施例中提供的一种采用可离线数字身份认证器进行身份认证的认证交互示意图;
图4是本发明实施例中提供的一种可离线身份认证器的初始化装置的结构示意图;
图5是本发明实施例中提供的一种可离线数字身份认证装置的结构示意图;
图6是本发明实施例中提供的一种电子设备的结构框图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作(或步骤)描述成顺序的处理,但是其中的许多操作可以被并行地、并发地或者同时实施。此外,各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。此外,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
下述各实施例中,每个实施例中同时提供了可选技术特征和示例,各实施例中记载的各技术特征可进行组合,形成多个可选方案,不应将每个编号的实施例仅视为一个技术方案。
图1是本发明实施例中提供的一种可离线身份认证器的初始化方法的流程图,本实施例可适用于对可离线的身份认证器进行初始化的情况。该方法可以由可离线身份认证器的初始化装置来执行,该装置可以采用软件和/或硬件的方式实现,并集成在任何能够联网的身份认证器上,且可离线身份认证器可以为区块链中的可离线节点。
如图1所示,本发明实施例中提供的可离线身份认证器的初始化方法,具体包括以下步骤:
S110、当确定用户具有身份认证器初始化权限时,响应用户的初始化操作,对标识密码算法模块进行多次模块初始化,得到标识密码算法的初始化参数。
在本实施例中,身份认证器是设备中心授权颁发的身份认证工具,被认证方和认证方分别可以借助自己的身份认证器来实现双方的身份认证过程。为了借助身份认证器来实现身份认证的功能,可以在身份认证器中预先存储用户认证标识,即需要对身份认证器进行初始化用以下发用户认证证书,这样在需要借助身份认证器进行身份认证时可以直接从本地获取上述的用户认证标识。
在本实施例中,身份认证器需要指定权限的用户进行授权后,才能对其进行初始化。如果用户不具备身份认证器的初始化权限,那么就不能对身份认证器进行初始化,除非对身份认证器进行强力破解,但强力破解会导致身份认证器的身份认证的作用失效。为了保证每一个用户对自己的身份认证器具有绝对支配权,需要对身份认证器的设置初始化权限。只有用于具有该身份认证器的初始化权限时,才会允许用户对该身份认证器进行初始化,以便向该身份认证器下发用于进行身份认证的用户认证标识;否则,就不允许用户对该身份认证器进行身初始化,实现了身份认证器的一物一密。
在本实施例中,身份认证器中预先设置有标识密码算法模块,用户通过执行初始化操作,触发身份认证器对自身的标识密码算法模块进行多次的模块初始化。例如,用户通过按n次身份认证器中提供的用于初始化标识密码模块的按钮,来触发对标识密码算法模块的初始化流程,并在初始过程得到标识密码算法模块的初始化参数,n为随机值,可以由用户控制设置,并且在确认后身份认证器无法再进行初始化。这样做的好处在于,通过用户对标识密码算法模块的初始化,使得认证机构中心也无法轻易得知用户进行了几次初始化,进而增大认证机构中心破解标识密码算法模块的难度,保证后续生成的私钥也不会被认证机构中心轻易破解获知。
S120、确定目标用户标识和目标设备标识;目标用户标识中包括用户的身份信息;目标设备标识中包括至少部分用户的身份信息和身份认证器自身独有的设备信息。
在本实施例中,用户可以向身份认证器中输入可公开身份信息作为用户标识,身份认证器将用户输入的可公开身份信息作为目标用户标识。例如,可公开的身份信息可以包括但不限于用户的脸部识别信息、声纹识别信息、身份证信息中所包含的部分身份信息等。此外,身份认证器自身具有其独有的设备信息,例如身份认证器设备编码信息等,结合用户输入的可公开身份信息中的部分身份信息,可以作为身份认证器的目标设备标识。
S130、采用标识密码算法模块,依据目标用户标识生成目标用户私钥;以及,依据目标设备标识生成目标设备私钥。
在本实施例中,身份认证器可以基于标识的密码算法,使用标识密码算法模块,依据目标用户标识生成目标用户私钥。同时,身份认证器还可以基于标识的密码算法,使用标识密码算法模块,依据目标设备标识生成目标设备私钥。在生成目标用户私钥和目标设备私钥后,身份认证器可以将生成的目标用户私钥和目标设备私钥以安全程度极高的方式存储于身份认证器的安全存储装置中;例如,将目标用户私钥和目标设备私钥存储在安全加密芯片中。
在本实施例中,在一个可选示例中,身份认证器中预先设置有非对称密码模块,身份认证器可以调用非对称密码模块生成用户公私钥对,而不使用基于标识密码模块生成用户私钥。非对称密码模块采用的加密算法可选用:SM2算法、RSA算法等。采用上述方式的好处在于,SM2、RSA这类传统非对称密码算法生成密钥是不会去使用身份信息这类低安全数据的,因为会影响到安全性,因此需要使用随机数发生器来产生数据,然后依据随机数发生器来生成密钥对。
S140、依据目标用户标识、目标用户私钥、目标设备标识、目标设备私钥,以及标识密码算法的初始化参数,生成用户认证信息,并向认证机构中心发送用户认证信息。
在本实施例中,依据目标用户标识、目标用户私钥、目标设备标识、目标设备私钥以及标识密码算法的初始化参数,生成用户认证信息,包括步骤A1-A3:
步骤A1、响应于用户的签名授权请求,使用目标用户私钥对目标用户标识进行签名;以及,使用目标设备私钥对目标设备标识进行签名。
步骤A2、使用预先存储的设备临时私钥对目标用户标识、目标设备标识和标识密码算法的初始化参数组成的用户认证标识进行签名。
步骤A3、依据目标用户标识的私钥签名、目标设备标识的私钥签名以及用户认证标识的临时签名,生成用户认证信息。
S150、接收认证机构中心发送的用户认证签名,用以完成身份认证器的初始化;用户认证签名是由认证机构中心在验证用户认证信息中的用户认证标识有效后对用户认证标识的签名;用户认证标识包括目标用户标识、目标设备标识和标识密码算法的初始化参数。
在本实施例中,用户认证信息中包含了由目标用户标识、目标设备标识和标识密码算法的初始化参数组成用户认证标识。当身份认证器向认证机构中心发送用户认证信息后,认证机构中心对用户认证标识的临时签名进行验证,判断上述的用户认证标识是否是由该身份认证器生成。
在本实施例中,在对用户认证标识的临时签名进行验证后,可以继续对用户认证信息中的目标用户标识和目标设备标识的具体来源进行验证。当认证机构中心对目标用户标识和目标设备标识进行验证时,认证机构中心通过用户认证标识对使用目标设备私钥针对目标设备标识的签名进行验证,以及对使用目标用户私钥针对目标用户标识的签名进行验证,确认这些用户认证标识内的目标用户标识和目标设备标识都是基于标识密码算法模块生成的有效标识。
在本实施例中,当认证机构中心对用户认证信息验证完成后,如果验证结果为用户认证标识有效,则使用中心私钥对用户认证标识进行签名,生成用户认证签名,并将用户认证签名发送到身份认证器中。同时,认证机构中心还会将用户认证标识记录下来,作为备份数据。
在本实施例中,当身份认证器接收到认证机构中心发送的用户认证签名后,身份认证器可以对用户认证签名进行有效性验证,并在验证有效后将用户认证标识和用户认证签名进行保存,留作后续身份验证时使用。
本申请方案的上述过程实现了用户对身份认证器的认证,认证机构中心对身份认证器的认证,以及认证机构中心最后对身份认证器和用户的绑定。在本实施例的方案的上述过程中,可以保证在线环境中用户认证标识的可信,以及在离线环境下也可以保证用户认证标识的较高可信度。
本发明实施例中提供了一种身份认证器的初始化方案,采用本实施例的方案,在身份认证器中包含设备标识,且设备标识与用户部分信息绑定,由用户授意生成,保证一物一密;身份认证器中还包含由用户授意生成用户标识,与用户部分信息绑定,保证一人一密;在标识密码算法模块的初始化后,通过标识密码算法,建立认证机构中心、身份认证器和用户三者之间的信任。本申请方案并未采用数字证书,而是使用了用户认证标识,用户认证标识属于数字标识,通过数字标识实现身份认证器与用户个体之间的紧密绑定关系,从而可以保证后续可离线的认证方与被认证之间的点对点身份认证的可靠性。
在本实施例的一种可选实施方式中,本实施方式可以与上述一个或者多个实施例中的各个可选方案结合。可选地,在确定用户具有身份认证器的初始化权限之前,具体还包括步骤B1-B3:
步骤B1、对认证机构中心写入的中心签名进行验证,并在验证成功后生成身份认证器的设备临时公私钥;中心签名由认证机构中心对指定的用户身份信息进行签名得到。
步骤B2、向认证机构中心发送设备临时公钥,以指示认证机构中心对设备临时公钥进行签名,生成设备临时数字证书。
步骤B3、接收认证机构中心发送的设备临时数字证书,并通过预先存储的中心公钥对设备临时数字证书进行检查;以及,在检查通过后暂存设备临时数字证书,以便用户对设备临时数字证书进行验证。
在本实施例中,用户可以以相对安全的方式(例如,通过认证机构中心提供的网站)向认证机构中心申请一个身份认证器,同时用户还需要向认证机构中心提供一部分认证机构中心指定的身份信息,即向认证机构中心提供一个指定的用户身份信息。认证机构中心会对用户申请的身份认证器中的中心公钥的正确性进行验证,实现认证机构对身份认证器的初步认证。认证机构中心可以对指定的用户身份信息进行签名生成中心签名,并将指定的用户身份信息和中心签名发送到身份认证器。这样,在对认证机构中心写入的中心签名进行验证之前,还包括:接收认证机构中心写入的中心签名和指定的用户身份信息,并将中心签名和指定的用户身份信息进行存储,存储的指定的用户身份信息可以用于后续用户得到身份认证器后验证用户是否具有身份认证器的初始化权限。
在本实施例中,身份认证器可以对中心签名进行验证,在验证成功后,身份认证器可以初始化除了标识密码算法模块以外的其他算法模块,并生成身份认证器的设备临时公私钥。中心签名由认证机构中心对指定的用户身份信息进行签名得到。
在本实施例中,身份认证器生成的设备临时公私钥进行存储,同时将生成的设备临时公钥发送给认证机构中心。认证机构中心可以对设备临时公钥进行签名,得到设备临时数字证书,并将设备临时数字证书进行暂存。同时,认证机构中心,还可以将设备临时数字证书发送到身份认证器,身份认证器可以通过预先存储的中心公钥对设备临时数字证书进行检查,并且在检查通过后暂存设备临时数字证书。
在本实施例中,当认证机构中心将身份认证器寄送给用户时,用户可以从认证机构中心的官网或者其他途径,获取数字证书,通过数字证书检验设备临时数字证书,确认收到的身份认证器是来自可信厂家。此外,用户可以查看存储在身份认证器中的指定的用户身份信息,确认该指定的用户身份信息是否是自己申请身份认证器时向认证机构中心提供的身份信息。如果是则表明该身份认证器是寄送给自己的。
在本实施例中,前述过程已经接收认证机构中心写入的指定的用户身份信息,并将指定的用户身份信息进行存储。当用户得到身份认证器且向身份认证器发送初始化权限获取请求时,向身份认证器中输入身份信息,如果输入的身份信息与预先存储的指定的用户身份信息保持一致,则确定用户具备身份认证器的初始化权限;否则,确定用户不具备身份认证器的初始化权限。此外,身份认证器可以在保证与认证机构中心保持同步的情况下,通知认证机构中心删除暂存的设备临时数字证书,以及身份认证器也会删除暂存于本地的设备临时数字证书以及设备临时公私钥。
图2是本发明实施例中提供的一种可离线数字身份认证方法的流程图,本实施例可适用于在离线状态下实现认证方对被认证方进行身份认证的情况。该方法可以由可离线数字身份认证装置来执行,该装置可以采用软件和/或硬件的方式实现,并集成在任何能够联网的被认证方端的身份认证器上,且被认证方端的身份认证器为区块链中可离线的节点。如图2所示,本发明实施例中提供的可离线数字身份认证方法具体包括以下步骤:
S210、若确定被认证方具有被认证方端的身份认证器的使用权限,则生成被认证方端的身份认证器将要发送的身份认证消息;身份认证消息由被认证方端的身份认证器,在确定被认证方具有被认证方端的身份认证器的使用权限后,依据被认证方的认证时间和被认证方的身份认证器中存储的用户认证标识生成得到;被认证方端的身份认证器为区块链中可离线的节点。
在本实施例中,图3是本发明实施例中提供的一种采用可离线数字身份认证器进行身份认证的认证交互示意图。参见图3,被认证方在使用身份认证器时向身份认证器输入身份信息,身份认证器会根据输入的身份信息验证被认证方是否具有该身份认证器的使用权限。
在本实施例中,被认证方的认证时间包括被认证方的认证起始时间和认证有效时长。可选地,身份认证消息由被认证方端的身份认证器,依据认证起始时间、认证有效时长、认证签名和本地预存储的用户认证标识生成得到。用户认证标识包括目标用户标识。目标设备标识和标识密码算法的初始化参数。认证签名是由被认证方端的身份认证器,依据本地预存储的目标设备私钥和目标用户私钥,对已确定的认证起始时间和认证有效时长进行签名生成得到。认证私钥包括被认证方身份认证器中的目标用户私钥和被认证方端的身份认证器中存储的目标设备私钥。可选地,用户认证标识是一种数字形式存储的标识信息。
在本实施例的一种可选实施方式中,本实施方式可以与上述一个或者多个实施例中的各个可选方案结合。身份认证器为区块链中的可离线节点设备;在生成用户认证标识之后,还包括:
若检测到针对本地预存储的用户认证标识的无效事件,则将针对用户认证标识的无效信息存储在认证区块链的无效标识列表中,并将针对无效信息的签名同时存储在认证区块链中,用以使认证方可离线获取针对用户认证标识的无效信息来进行身份认证。
在本实施方式中,身份认证器可以为区块链系统中的一个可离线节点。身份认证器无需主动下载无效标识列表进行更新,区块链的同步机制会保证无效标识列表的时效性,能够对无效标识列表中包含的无效的用户认证标识进行在线更新,以便可以保证无效标识列表指示的无效用户认证标识可靠度;并且通过区块链技术可以防止任何人包括认证机构中心对用户认证标识的有效性进行篡改等等。同时,使用区块链技术将用户认证标识上链存储,能够实现用户认证标识的有效情况的本地化存储和使用。可见,通过身份认证器既可以实现在线状态下获取用户认证标识的无效情况并进行身份认证,又可实现在离线状态下获取用户认证标识的无效情况进行身份认证过程。
在本实施方式中,身份认证器中的用户认证标识不是一成不变的,当用户或者认证机构中心觉得有必要无效某个用户认证标识的时候,用户或者认证机构中心可发起对该用户认证标识的无效事件。用户认证标识是指用户拥有最高权限的数字标识,这样,用户自身的用户认证标识可由认证机构中心或者用户自身发起撤销。
在本实施方式中,无效标识列表中的无效信息以区块链内规定的数据格式存储到区块链上(具体直接在链上存储数据还是存储数据指纹和数据下载链接需要具体情况分析),并且发起无效方(用户自身或者认证中心)需要对该无效信息进行数字签名,做到对无效事件的有迹可循。最终,该无效信息会在认证区块链内被共识验证后,以明文或者数字指纹的形式存储到区块链的无效标识列表中,由所有链系统内的节点保存在各自的本地,提供后续认证使用。认证区块链用来在个体数字标识被无效时做记录的区块链系统。
采用上述方式的好处在于,基于区块链技术将无效的用户认证标识记录下来,使无效列表的发放、更新和保存变得可信和易于操作。换言之,使用区块链技术将用户认证标识的无效标识列表上链存储,实现用户认证标识的无效标识列表的本地化存储和使用。区块链技术的加入为本地检索无效的用户认证标识提供了有效、便利的途径,为用户认证标识在离线环境下认证结果的可信度提供了保证。
S220、将身份认证消息发送至认证方,指示认证方依据身份认证消息,通过认证方端的身份认证器对被认证方进行身份认证;其中,认证方端的身份认证器为被认证方端的身份认证器所属区块链中可离线的节点。
在本实施例中,参见图3,认证方在接收被认证端的身份认证器生成并发送的身份认证消息后,认证方通过认证方端的身份认证器,分别对身份认证消息中包括的认证起始时间、认证有效时长、用户认证标识以及认证签名进行验证;若验证后均符合预设要求,并查询通过认证区块链同步到本地的无效标识列表确认用户认证标识是否仍旧有效。若验证用户认证标识仍然有效,则确定被认证方的身份认证通过;否则,确定被认证方的身份认证未通过。
在本实施例的一种可选方式中,对认证消息中的认证起始时间、认证有效时长、用户认证标识的有效性以及认证签名进行验证,具体包括步骤C1~C3:
步骤C1、验证身份认证消息中的认证起始时间和认证有效时长。
在本实施方式中,认证方可以依据认证消息中包含的身份认证起始时间和认证有效时长,来验证身份认证消息是否还有效。如果认证消息起始时间至当前认证时间的间隔大于认证有效时长,则认为身份认证消息是失效的,验证不通过;否则,则认为身份认证消息是有效的,验证通过。
步骤C2、从认证方端的身份认证器,获取认证机构中心的中心公钥,并使用中心公钥验证认证消息中的认证签名。
在本实施方式中,在身份认证器离线状态下,认证方可以直接从认证方端的身份认证器,获取认证机构中心的中心公钥,并使用中心公钥验证身份认证消息中的认证签名。可选地,使用中心公钥验证身份认证消息中认证签名包括的用户认证签名和设备认证签名是否正确。
步骤C3、通过认证区块链同步到本地的无效标识列表确认用户认证标识是否有效;无效标识列表是由认证方端的身份认证器同所属的认证区块链同步。
在本实施方式中,在身份认证器离线状态下,认证方可以直接从认证方端的身份认证器,获取无效标识列表。如果认证方从无效标识列表中查询到该被认证方端的身份认证器对应的用户认证标识,则确定用户认证标识是无效;如果认证方位未从无效标识列表中查询到该被认证方端的身份认证器对应的用户认证标识,则确定用户认证标识是有效的。
在本实施方式中,综上过程,验证身份认证消息是否有效,可以包括以下过程中的一项或多项:检查身份认证消息内的认证起始时间和认证有效时长以及其他参数是否有效;使用认证机构的中心公钥检查认证签名是否有效;在离线状态下,查询认证区块链中的节点设备中的无效标识列表,检查用户认证标识是否有效;通过用户认证标识验证认证签名是否有效。
在本实施例的一种可选实施方式中,本实施方式可以与上述一个或者多个实施例中的各个可选方案结合。可选地,本实施例的身份认证器的初始化方法还包括:
当认证方对被认证方的身份认证完成后,将认证方与被认证方之间的认证起始时间、认证结束时间以及认证内容记录在身份认证器对应的记录区块链中;
当认证方与被认证方之间的通讯完成后,将认证方与被认证方之间的通讯起始时间、通讯结束时间以及通讯内容记录在身份认证器对应的记录区块链中。
在本实施方式中,记录区块链是指用来保存用户认证的记录,用来对认证时点和认证非敏感内容做记录的区块链系统。采用上述方式,通过使用区块链技术将认证时点和内容做不可篡改、不可捏造的可信记录,区块链对认证时点的记录为审计提供了可能。同时,还可以对认证方与被认证方之间的通讯起始时间、通讯结束时间以及通讯内容进行记录,保证内容的不可篡改。
在本实施例的一种可选方式中,本发明实施例的可离线身份认证方法还包括:若确定被认证方的身份认证通过,则在被认证方与认证方之间建立加密通道,并使用携带有效通道时间的验证信息基于加密通道与认证方进行通信。
图4是本发明实施例中提供的一种可离线身份认证器的初始化装置的结构示意图,本实施例可适用于对身份认证器进行初始化的情况。该装置可以采用软件和/或硬件的方式实现,并集成在任何能够联网的身份认证器上,且可离线身份认证器可以为区块链中的可离线节点。如图4所示,本发明实施例中提供的可离线身份认证器的初始化装置包括:初始化模块410、标识确定模块420、秘钥生成模块430、认证信息处理模块440和认证签名接收模块450。其中,
初始化模块410,用于当确定用户具有身份认证器的初始化权限时,响应用户的初始化操作,对标识密码算法模块进行多次模块初始化,得到标识密码算法的初始化参数;
标识确定模块420,用于确定目标用户标识和目标设备标识;所述目标用户标识中包括用户的身份信息;所述目标设备标识中包括至少部分的所述目标用户标识和所述身份认证器自身独有的设备信息;
秘钥生成模块430,用于采用所述标识密码算法模块,依据目标用户标识生成目标用户私钥;以及,依据所述目标设备标识生成目标设备私钥;
认证信息处理模块440,用于依据所述目标用户标识、所述目标用户私钥、所述目标设备标识、所述目标设备私钥,以及所述标识密码算法的初始化参数,生成用户认证信息,并向认证机构中心发送所述用户认证信息;
认证签名接收模块450,用于接收所述认证机构中心发送的用户认证签名,用以完成所述身份认证器的初始化;所述用户认证签名是由所述认证机构中心在验证所述用户认证信息中的用户认证标识有效后对所述用户认证标识的签名;所述用户认证标识包括目标用户标识、目标设备标识和标识密码算法的初始化参数。
在上述实施例的基础上,可选地,认证信息处理模块440包括:
响应于用户的签名授权请求,使用所述目标用户私钥对所述目标用户标识进行签名;以及,使用所述目标设备私钥对所述目标设备标识进行签名;
使用预先存储的设备临时私钥对所述目标用户标识、所述目标设备标识和所述标识密码算法的初始化参数组成的用户认证标识进行签名;
依据所述目标用户标识的私钥签名、所述目标设备标识的私钥签名以及所述用户认证标识的临时签名,生成用户认证信息。
在上述实施例的基础上,可选地,所述装置还包括:
临时秘钥处理模块,用于在确定用户具有身份认证器的初始化权限之前,对所述认证机构中心写入的中心签名进行验证,并在验证成功后生成所述身份认证器的设备临时公私钥;所述中心签名由所述认证机构中心对指定的用户身份信息进行签名得到;
临时秘钥发送模块,用于向所述认证机构中心发送设备临时公钥,以指示所述认证机构中心对所述设备临时公钥进行签名,生成设备临时数字证书;
临时证书接收模块,用于接收所述认证机构中心发送的所述设备临时数字证书,并通过预先存储的中心公钥对所述设备临时数字证书进行检查;以及,在检查通过后暂存所述设备临时数字证书,以便用户对设备临时数字证书进行验证。
在上述实施例的基础上,可选地,所述装置还包括:
中心签名接收模块,用于在对所述认证机构中心写入的中心签名进行验证之前,接收所述认证机构中心写入的中心签名和所述指定的用户身份信息,并将所述中心签名和所述指定的用户身份信息进行存储;
权限验证模块,用于当用户得到所述身份认证器且向所述身份认证器发送初始化权限获取请求时,使用预先存储的所述指定的用户身份信息确定用户是否具备所述身份认证器的初始化权限。
在上述实施例的基础上,可选地,所述装置还包括:
秘钥存储模块,用于在生成目标用户私钥和目标设备私钥后,将所述目标用户私钥和所述目标设备私钥存储于所述身份认证器的安全存储装置中。
本发明实施例中所提供的可离线身份认证器的初始化装置可执行上述本发明任意实施例中所提供的可离线身份认证器的初始化方法,具备执行该可离线身份认证器的初始化方法相应的功能和有益效果,未在上述实施例中详尽描述的技术细节,可参见本申请任意实施例中所提供的可离线身份认证器的初始化方法。
图5是本发明实施例中提供的一种可离线数字身份认证装置的结构示意图,本实施例可适用于在离线状态下认证方对被认证方进行身份认证的情况。该装置可以采用软件和/或硬件的方式实现,并集成在任何能够联网的被认证方端的身份认证器上,且被认证方端的身份认证器为区块链中可离线的节点。该可离线数字身份认证装置配置于可离线的身份认证器,且该身份认证器已经采用上述本实施例中的可离线身份认证器的初始化方法进行初始化。如图5所示,本发明实施例中提供的可离线数字身份认证装置具体包括:消息生成模块510和消息发送模块520。其中:
消息生成模块510,用于若确定被认证方具有被认证方端的身份认证器的使用权限,则生成被认证方端的身份认证器发送的身份认证消息;身份认证消息由被认证方端的身份认证器,在确定被认证方具有被认证方端的身份认证器的使用权限后,依据被认证方的认证时间和被认证方的身份认证器中存储的用户认证标识生成得到;被认证方端的身份认证器为区块链中可离线的节点;
消息发送模块520,用于将所述身份认证消息发送至认证方,指示认证方依据身份认证消息,通过认证方端的身份认证器对被认证方进行身份认证;其中,认证方端的身份认证器为被认证方端的身份认证器所属区块链中可离线的节点。
在上述实施例的基础上,可选地,身份认证消息由被认证方端的身份认证器,依据认证起始时间、认证有效时长、认证签名和本地预存储的用户认证标识生成得到。
在上述实施例的基础上,可选地,所述装置还包括:
认证标识记录模块,用于在生成用户认证标识之后,若检测到针对身份认证器本地预存储的用户认证标识的无效事件,则将针对所述用户认证标识的无效信息存储在认证区块链的无效标识列表中,并将针对所述无效信息的签名同时存储在认证区块链中,用以使认证方可离线获取针对所述用户认证标识的无效信息来进行身份认证。
在上述实施例的基础上,可选地,所述装置还包括:
认证过程记录模块,用于当认证方对被认证方的身份认证完成后,将所述认证方与所述被认证方之间的认证起始时间、认证结束时间以及认证内容记录在所述身份认证器对应的记录区块链中;
通讯过程记录模块,用于当认证方与被认证方之间的通讯完成后,将所述认证方与所述被认证方之间的通讯起始时间、通讯结束时间以及通讯内容记录在所述身份认证器对应的记录区块链中。
本发明实施例中所提供的可离线数字身份认证装置可执行上述本发明任意实施例中所提供的可离线数字身份认证方法,具备执行该可离线数字身份认证方法相应的功能和有益效果,未在上述实施例中详尽描述的技术细节,可参见本申请任意实施例中所提供的可离线数字身份认证方法。
图6是本发明实施例中提供的一种电子设备的结构框图。如图6所示,本发明实施例中提供的电子设备具体为身份认证器,该身份认证器包括:一个或多个处理器610和存储装置620;该身份认证器中的处理器610可以是一个或多个,图6中以一个处理器610为例;存储装置620用于存储一个或多个程序;所述一个或多个程序被所述一个或多个处理器610执行,使得所述一个或多个处理器610实现如本发明实施例中任一项所述的可离线身份认证器的初始化方法或者实现如本发明实施例中任一项所述的可离线数字身份认证方法。
该被认证方端的身份认证器还可以包括:输入装置630和输出装置640。
该被认证方端的身份认证器中的处理器610、存储装置620、输入装置630和输出装置640可以通过总线或其他方式连接,图6中以通过总线连接为例。
该被认证方端的身份认证器中的存储装置620作为一种计算机可读存储介质,可用于存储一个或多个程序,所述程序可以是软件程序、计算机可执行程序以及模块,如本发明实施例中所提供身份认证器的初始化方法或者可离线数字身份认证方法对应的程序指令/模块。处理器610通过运行存储在存储装置620中的软件程序、指令以及模块,从而执行身份认证器的各种功能应用以及数据处理,即实现上述方法实施例中的身份认证器的初始化方法或者可离线数字身份认证方法。
存储装置620可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据身份认证器的使用所创建的数据等。此外,存储装置620可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储装置620可进一步包括相对于处理器610远程设置的存储器,这些远程存储器可以通过网络连接至设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置630可用于接收输入的数字或字符信息,以及产生与身份认证器的用户设置以及功能控制有关的键信号输入。输出装置640可包括显示屏等显示设备。
并且,当上述身份认证器所包括一个或者多个程序被所述一个或者多个处理器610执行时,程序进行如下操作:
当确定用户具有身份认证器的初始化权限时,响应用户的初始化操作,对标识密码算法模块进行多次模块初始化,得到标识密码算法的初始化参数;
确定目标用户标识和目标设备标识;所述目标用户标识中包括用户的身份信息;所述目标设备标识中包括至少部分的所述目标用户标识和所述身份认证器自身独有的设备信息;
采用所述标识密码算法模块,依据目标用户标识生成目标用户私钥;以及,依据所述目标设备标识生成目标设备私钥;
依据所述目标用户标识、所述目标用户私钥、所述目标设备标识、所述目标设备私钥,以及所述标识密码算法的初始化参数,生成用户认证信息,并向认证机构中心发送所述用户认证信息;
接收所述认证机构中心发送的用户认证签名,用以完成所述身份认证器的初始化;所述用户认证签名是由所述认证机构中心在验证所述用户认证信息中的用户认证标识有效后对所述用户认证标识的签名;所述用户认证标识包括目标用户标识、目标设备标识和标识密码算法的初始化参数。
当然,本领域技术人员可以理解,当上述被认证端的身份认证器所包括一个或者多个程序被所述一个或者多个处理器610执行时,程序还可以进行本发明任意实施例中所提供的身份认证器的初始化方法中的相关操作。
此外,当上述身份认证器所包括一个或者多个程序被所述一个或者多个处理器610执行时,程序还能进行如下操作:
若确定被认证方具有被认证方端的身份认证器的使用权限,则生成被认证方端的身份认证器发送的身份认证消息;身份认证消息由被认证方端的身份认证器,在确定被认证方具有被认证方端的身份认证器的使用权限后,依据被认证方的认证时间和被认证方的身份认证器中存储的用户认证标识生成得到;被认证方端的身份认证器为区块链中可离线的节点;
将所述身份认证消息发送至认证方,指示认证方依据身份认证消息,通过认证方端的身份认证器对被认证方进行身份认证;其中,认证方端的身份认证器为被认证方端的身份认证器所属区块链中可离线的节点。
当然,本领域技术人员可以理解,当上述被认证端的身份认证器所包括一个或者多个程序被所述一个或者多个处理器610执行时,程序还可以进行本发明任意实施例中所提供的可离线数字身份认证方法中的相关操作。
本发明实施例中提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时用于执行可离线身份认证器的初始化方法,该方法包括:
当确定用户具有身份认证器的初始化权限时,响应用户的初始化操作,对标识密码算法模块进行多次模块初始化,得到标识密码算法的初始化参数;
确定目标用户标识和目标设备标识;所述目标用户标识中包括用户的身份信息;所述目标设备标识中包括至少部分的所述目标用户标识和所述身份认证器自身独有的设备信息;
采用所述标识密码算法模块,依据目标用户标识生成目标用户私钥;以及,依据所述目标设备标识生成目标设备私钥;
依据所述目标用户标识、所述目标用户私钥、所述目标设备标识、所述目标设备私钥,以及所述标识密码算法的初始化参数,生成用户认证信息,并向认证机构中心发送所述用户认证信息;
接收所述认证机构中心发送的用户认证签名,用以完成所述身份认证器的初始化;所述用户认证签名是由所述认证机构中心在验证所述用户认证信息中的用户认证标识有效后对所述用户认证标识的签名;所述用户认证标识包括目标用户标识、目标设备标识和标识密码算法的初始化参数。
可选的,该程序被处理器执行时还可以用于执行本发明任意实施例中所提供的可离线身份认证器的初始化方法。
此外,本发明实施例中提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时用于执行可离线数字身份认证方法,该方法包括:
若确定被认证方具有被认证方端的身份认证器的使用权限,则生成被认证方端的身份认证器发送的身份认证消息;身份认证消息由被认证方端的身份认证器,在确定被认证方具有被认证方端的身份认证器的使用权限后,依据被认证方的认证时间和被认证方的身份认证器中存储的用户认证标识生成得到;被认证方端的身份认证器为区块链中可离线的节点;
将所述身份认证消息发送至认证方,指示认证方依据身份认证消息,通过认证方端的身份认证器对被认证方进行身份认证;其中,认证方端的身份认证器为被认证方端的身份认证器所属区块链中可离线的节点。
可选的,该程序被处理器执行时还可以用于执行本发明任意实施例中所提供的可离线数字身份认证方法。
本发明实施例的计算机存储介质,可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(Random AccessMemory,RAM)、只读存储器(Read Only Memory,ROM)、可擦式可编程只读存储器(ErasableProgrammable Read Only Memory,EPROM)、闪存、光纤、便携式CD-ROM、光存储器件、磁存储器件、或者上述的任意合适的组合。计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于:电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、无线电频率(RadioFrequency,RF)等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)——连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。

Claims (20)

1.一种可离线身份认证器的初始化方法,其特征在于,所述方法包括:
当确定用户具有身份认证器的初始化权限时,响应用户的初始化操作,对标识密码算法模块进行多次模块初始化,得到标识密码算法的初始化参数;
确定目标用户标识和目标设备标识;所述目标用户标识中包括用户的身份信息;所述目标设备标识中包括至少部分用户的身份信息和所述身份认证器自身独有的设备信息;
采用所述标识密码算法模块,依据目标用户标识生成目标用户私钥;以及,依据所述目标设备标识生成目标设备私钥;
依据所述目标用户标识、所述目标用户私钥、所述目标设备标识、所述目标设备私钥,以及所述标识密码算法的初始化参数,生成用户认证信息,并向认证机构中心发送所述用户认证信息;
接收所述认证机构中心发送的用户认证签名,用以完成所述身份认证器的初始化;所述用户认证签名是由所述认证机构中心在验证所述用户认证信息中的用户认证标识有效后对所述用户认证标识的签名;所述用户认证标识包括目标用户标识、目标设备标识和标识密码算法的初始化参数。
2.根据权利要求1所述的方法,其特征在于,依据所述目标用户标识、所述目标用户私钥、所述目标设备标识、所述目标设备私钥,以及所述标识密码算法的初始化参数,生成用户认证信息,包括:
响应于用户的签名授权请求,使用所述目标用户私钥对所述目标用户标识进行签名;以及,使用所述目标设备私钥对所述目标设备标识进行签名;
使用预先存储的设备临时私钥对所述目标用户标识、所述目标设备标识和所述标识密码算法的初始化参数组成的用户认证标识进行签名;
依据所述目标用户标识的私钥签名、所述目标设备标识的私钥签名以及所述用户认证标识的临时签名,生成用户认证信息。
3.根据权利要求1所述的方法,其特征在于,在确定用户具有身份认证器的初始化权限之前,还包括:
对所述认证机构中心写入的中心签名进行验证,并在验证成功后生成所述身份认证器的设备临时公私钥;所述中心签名由所述认证机构中心对指定的用户身份信息进行签名得到;
向所述认证机构中心发送设备临时公钥,以指示所述认证机构中心对所述设备临时公钥进行签名,生成设备临时数字证书;
接收所述认证机构中心发送的所述设备临时数字证书,并通过预先存储的中心公钥对所述设备临时数字证书进行检查;以及,在检查通过后暂存所述设备临时数字证书,以便用户对设备临时数字证书进行验证。
4.根据权利要求3所述的方法,其特征在于,在对所述认证机构中心写入的中心签名进行验证之前,还包括:
接收所述认证机构中心写入的中心签名和所述指定的用户身份信息,并将所述中心签名和所述指定的用户身份信息进行存储;
当用户得到所述身份认证器且向所述身份认证器发送初始化权限获取请求时,使用预先存储的所述指定的用户身份信息确定用户是否具备所述身份认证器的初始化权限。
5.根据权利要求1所述的方法,其特征在于,在生成目标用户私钥和目标设备私钥后,还包括:
将所述目标用户私钥和所述目标设备私钥存储于所述身份认证器的安全存储装置中。
6.一种可离线数字身份认证方法,其特征在于,应用于可离线的身份认证器,且该身份认证器采用权利要求1-5中任一所述的方法进行初始化;所述方法包括:
若确定被认证方具有被认证方端的身份认证器的使用权限,则生成被认证方端的身份认证器发送的身份认证消息;身份认证消息由被认证方端的身份认证器,在确定被认证方具有被认证方端的身份认证器的使用权限后,依据被认证方的认证时间和被认证方的身份认证器中存储的用户认证标识生成得到;被认证方端的身份认证器为区块链中可离线的节点;
将所述身份认证消息发送至认证方,指示认证方依据身份认证消息,通过认证方端的身份认证器对被认证方进行身份认证;其中,认证方端的身份认证器为被认证方端的身份认证器所属区块链中可离线的节点。
7.根据权利要求6所述的方法,其特征在于,身份认证消息由被认证方端的身份认证器,依据认证起始时间、认证有效时长、认证签名和本地预存储的用户认证标识生成得到。
8.根据权利要求6所述的方法,其特征在于,所述方法还包括:
若检测到针对身份认证器本地预存储的用户认证标识的无效事件,则将针对所述用户认证标识的无效信息存储在认证区块链的无效标识列表中,并将针对所述无效信息的签名同时存储在认证区块链中,用以使认证方可离线获取针对所述用户认证标识的无效信息来进行身份认证。
9.根据权利要求6所述的方法,其特征在于,所述方法还包括:
当认证方对被认证方的身份认证完成后,将所述认证方与所述被认证方之间的认证起始时间、认证结束时间以及认证内容记录在所述身份认证器对应的记录区块链中;
当认证方与被认证方之间的通讯完成后,将所述认证方与所述被认证方之间的通讯起始时间、通讯结束时间以及通讯内容记录在所述身份认证器对应的记录区块链中。
10.一种可离线身份认证器的初始化装置,其特征在于,所述装置包括:
初始化模块,用于当确定用户具有身份认证器的初始化权限时,响应用户的初始化操作,对标识密码算法模块进行多次模块初始化,得到标识密码算法的初始化参数;
标识确定模块,用于确定目标用户标识和目标设备标识;所述目标用户标识中包括用户的身份信息;所述目标设备标识中包括至少部分用户的身份信息和所述身份认证器自身独有的设备信息;
秘钥生成模块,用于采用所述标识密码算法模块,依据目标用户标识生成目标用户私钥;以及,依据所述目标设备标识生成目标设备私钥;
认证信息处理模块,用于依据所述目标用户标识、所述目标用户私钥、所述目标设备标识、所述目标设备私钥,以及所述标识密码算法的初始化参数,生成用户认证信息,并向认证机构中心发送所述用户认证信息;
认证签名接收模块,用于接收所述认证机构中心发送的用户认证签名,用以完成所述身份认证器的初始化;所述用户认证签名是由所述认证机构中心在验证所述用户认证信息中的用户认证标识有效后对所述用户认证标识的签名;所述用户认证标识包括目标用户标识、目标设备标识和标识密码算法的初始化参数。
11.根据权利要求10所述的装置,其特征在于,认证信息处理模块包括:
响应于用户的签名授权请求,使用所述目标用户私钥对所述目标用户标识进行签名;以及,使用所述目标设备私钥对所述目标设备标识进行签名;
使用预先存储的设备临时私钥对所述目标用户标识、所述目标设备标识和所述标识密码算法的初始化参数组成的用户认证标识进行签名;
依据所述目标用户标识的私钥签名、所述目标设备标识的私钥签名以及所述用户认证标识的临时签名,生成用户认证信息。
12.根据权利要求10所述的装置,其特征在于,所述装置还包括:
临时秘钥处理模块,用于在确定用户具有身份认证器的初始化权限之前,对所述认证机构中心写入的中心签名进行验证,并在验证成功后生成所述身份认证器的设备临时公私钥;所述中心签名由所述认证机构中心对指定的用户身份信息进行签名得到;
临时秘钥发送模块,用于向所述认证机构中心发送设备临时公钥,以指示所述认证机构中心对所述设备临时公钥进行签名,生成设备临时数字证书;
临时证书接收模块,用于接收所述认证机构中心发送的所述设备临时数字证书,并通过预先存储的中心公钥对所述设备临时数字证书进行检查;以及,在检查通过后暂存所述设备临时数字证书,以便用户对设备临时数字证书进行验证。
13.根据权利要求12所述的装置,其特征在于,所述装置还包括:
中心签名接收模块,用于在对所述认证机构中心写入的中心签名进行验证之前,接收所述认证机构中心写入的中心签名和所述指定的用户身份信息,并将所述中心签名和所述指定的用户身份信息进行存储;
权限验证模块,用于当用户得到所述身份认证器且向所述身份认证器发送初始化权限获取请求时,使用预先存储的所述指定的用户身份信息确定用户是否具备所述身份认证器的初始化权限。
14.根据权利要求10所述的装置,其特征在于,所述装置还包括:
秘钥存储模块,用于在生成目标用户私钥和目标设备私钥后,将所述目标用户私钥和所述目标设备私钥存储于所述身份认证器的安全存储装置中。
15.一种可离线数字身份认证装置,其特征在于,配置于可离线的身份认证器,且该身份认证器采用权利要求1-5中任一所述的方法进行初始化;所述装置包括:
消息生成模块,用于若确定被认证方具有被认证方端的身份认证器的使用权限,则生成被认证方端的身份认证器发送的身份认证消息;身份认证消息由被认证方端的身份认证器,在确定被认证方具有被认证方端的身份认证器的使用权限后,依据被认证方的认证时间和被认证方的身份认证器中存储的用户认证标识生成得到;被认证方端的身份认证器为区块链中可离线的节点;
消息发送模块,用于将所述身份认证消息发送至认证方,指示认证方依据身份认证消息,通过认证方端的身份认证器对被认证方进行身份认证;其中,认证方端的身份认证器为被认证方端的身份认证器所属区块链中可离线的节点。
16.根据权利要求15所述的装置,其特征在于,身份认证消息由被认证方端的身份认证器,依据认证起始时间、认证有效时长、认证签名和本地预存储的用户认证标识生成得到。
17.根据权利要求15所述的装置,其特征在于,所述装置还包括:
认证标识记录模块,用于在生成用户认证标识之后,若检测到针对身份认证器本地预存储的用户认证标识的无效事件,则将针对所述用户认证标识的无效信息存储在认证区块链的无效标识列表中,并将针对所述无效信息的签名同时存储在认证区块链中,用以使认证方可离线获取针对所述用户认证标识的无效信息来进行身份认证。
18.根据权利要求15所述的装置,其特征在于,所述装置还包括:
认证过程记录模块,用于当认证方对被认证方的身份认证完成后,将所述认证方与所述被认证方之间的认证起始时间、认证结束时间以及认证内容记录在所述身份认证器对应的记录区块链中;
通讯过程记录模块,用于当认证方与被认证方之间的通讯完成后,将所述认证方与所述被认证方之间的通讯起始时间、通讯结束时间以及通讯内容记录在所述身份认证器对应的记录区块链中。
19.一种电子设备,其特征在于,所述设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现权利要求1-5中任一所述的可离线身份认证器的初始化方法或者实现权利要求6-9中任一所述的可离线数字身份认证方法。
20.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-5中任一所述的可离线身份认证器的初始化方法或者实现权利要求6-9中任一所述的可离线数字身份认证方法。
CN201911100587.2A 2019-11-12 2019-11-12 身份认证器的初始化、身份认证方法以及装置 Expired - Fee Related CN110808998B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911100587.2A CN110808998B (zh) 2019-11-12 2019-11-12 身份认证器的初始化、身份认证方法以及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911100587.2A CN110808998B (zh) 2019-11-12 2019-11-12 身份认证器的初始化、身份认证方法以及装置

Publications (2)

Publication Number Publication Date
CN110808998A true CN110808998A (zh) 2020-02-18
CN110808998B CN110808998B (zh) 2022-05-17

Family

ID=69502243

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911100587.2A Expired - Fee Related CN110808998B (zh) 2019-11-12 2019-11-12 身份认证器的初始化、身份认证方法以及装置

Country Status (1)

Country Link
CN (1) CN110808998B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114640475A (zh) * 2022-05-19 2022-06-17 广东省绿算技术有限公司 去中心化的身份认证方法、装置、计算机设备及存储介质
WO2022265618A1 (en) * 2021-06-14 2022-12-22 Hewlett-Packard Development Company, L.P. Authentication

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103346890A (zh) * 2013-07-10 2013-10-09 天地融科技股份有限公司 初始化设备、基于ibc获取数字证书的系统及方法
CN104301110A (zh) * 2014-10-10 2015-01-21 刘文清 应用于智能终端的身份验证方法、身份验证设备和系统
CN106850680A (zh) * 2017-03-20 2017-06-13 株洲中车时代电气股份有限公司 一种用于轨道交通设备的智能身份认证方法及装置
CN106973041A (zh) * 2017-03-02 2017-07-21 飞天诚信科技股份有限公司 一种颁发身份认证凭据的方法、系统及认证服务器
CN107493273A (zh) * 2017-08-02 2017-12-19 深圳市易成自动驾驶技术有限公司 身份认证方法、系统及计算机可读存储介质
CN108600184A (zh) * 2018-03-28 2018-09-28 湖南东方华龙信息科技有限公司 一种嵌入式芯片证书的设备认证方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103346890A (zh) * 2013-07-10 2013-10-09 天地融科技股份有限公司 初始化设备、基于ibc获取数字证书的系统及方法
CN104301110A (zh) * 2014-10-10 2015-01-21 刘文清 应用于智能终端的身份验证方法、身份验证设备和系统
CN106973041A (zh) * 2017-03-02 2017-07-21 飞天诚信科技股份有限公司 一种颁发身份认证凭据的方法、系统及认证服务器
CN106850680A (zh) * 2017-03-20 2017-06-13 株洲中车时代电气股份有限公司 一种用于轨道交通设备的智能身份认证方法及装置
CN107493273A (zh) * 2017-08-02 2017-12-19 深圳市易成自动驾驶技术有限公司 身份认证方法、系统及计算机可读存储介质
CN108600184A (zh) * 2018-03-28 2018-09-28 湖南东方华龙信息科技有限公司 一种嵌入式芯片证书的设备认证方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022265618A1 (en) * 2021-06-14 2022-12-22 Hewlett-Packard Development Company, L.P. Authentication
CN114640475A (zh) * 2022-05-19 2022-06-17 广东省绿算技术有限公司 去中心化的身份认证方法、装置、计算机设备及存储介质

Also Published As

Publication number Publication date
CN110808998B (zh) 2022-05-17

Similar Documents

Publication Publication Date Title
CN108768664B (zh) 密钥管理方法、装置、系统、存储介质和计算机设备
WO2017177435A1 (zh) 一种身份认证方法、终端及服务器
US10567370B2 (en) Certificate authority
CN111435913B (zh) 一种物联网终端的身份认证方法、装置和存储介质
JP7192122B2 (ja) ユーザデバイスと車両との接続を認証するためのシステムおよび方法
CN110611569B (zh) 一种认证方法及相关设备
CN111376865B (zh) 车辆数字钥匙激活方法、系统及存储介质
US20200235921A1 (en) Method and system for recovering cryptographic keys of a blockchain network
CN105408910A (zh) 用于利用无线通信令牌在操作系统被引导之前对由用户对操作系统的访问进行验证的系统和方法
JP6609788B1 (ja) 情報通信機器、情報通信機器用認証プログラム及び認証方法
US11070537B2 (en) Stateless method for securing and authenticating a telecommunication
CN111935672B (zh) 信息读取方法、装置、系统及存储介质
CN112396735B (zh) 网联汽车数字钥匙安全认证方法及装置
US20160357954A1 (en) Method for controlling access to a production system of a computer system not connected to an information system of said computer system
KR101690989B1 (ko) Fido 인증모듈을 이용한 전자서명 방법
CN113285932B (zh) 边缘服务的获取方法和服务器、边缘设备
CN110808998B (zh) 身份认证器的初始化、身份认证方法以及装置
US9280645B1 (en) Local and remote verification
US11665539B2 (en) Communication system
CN108632037B (zh) 公钥基础设施的公钥处理方法及装置
CN115801287A (zh) 签名认证方法和装置
CN112235276B (zh) 主从设备交互方法、装置、系统、电子设备和计算机介质
CN115834077B (zh) 控制方法、控制系统、电子设备及存储介质
CN112053477A (zh) 智能门锁的控制系统、方法、装置及可读存储介质
KR20150005788A (ko) 사용자 키 값을 이용한 사용자 인증 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20220517