CN111245870B - 基于移动终端的身份认证方法及相关装置 - Google Patents

基于移动终端的身份认证方法及相关装置 Download PDF

Info

Publication number
CN111245870B
CN111245870B CN202010336554.4A CN202010336554A CN111245870B CN 111245870 B CN111245870 B CN 111245870B CN 202010336554 A CN202010336554 A CN 202010336554A CN 111245870 B CN111245870 B CN 111245870B
Authority
CN
China
Prior art keywords
mobile terminal
authentication
ciphertext
private key
authenticated
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010336554.4A
Other languages
English (en)
Other versions
CN111245870A (zh
Inventor
王栋
廖会敏
玄佳兴
程杰
陈智雨
杨珂
周磊
杨会峰
陈连栋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Blockchain Technology Beijing Co ltd
State Grid Digital Technology Holdings Co ltd
State Grid Corp of China SGCC
Information and Telecommunication Branch of State Grid Hebei Electric Power Co Ltd
Original Assignee
State Grid Blockchain Technology Beijing Co ltd
State Grid Corp of China SGCC
Information and Telecommunication Branch of State Grid Hebei Electric Power Co Ltd
State Grid E Commerce Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Blockchain Technology Beijing Co ltd, State Grid Corp of China SGCC, Information and Telecommunication Branch of State Grid Hebei Electric Power Co Ltd, State Grid E Commerce Co Ltd filed Critical State Grid Blockchain Technology Beijing Co ltd
Priority to CN202010336554.4A priority Critical patent/CN111245870B/zh
Publication of CN111245870A publication Critical patent/CN111245870A/zh
Application granted granted Critical
Publication of CN111245870B publication Critical patent/CN111245870B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Abstract

本发明公开了一种基于移动终端的身份认证方法,预先将待认证用户的私钥发送给移动终端的私钥存储模块,包括:移动终端向资源服务器发送访问请求,以令资源服务器向移动终端发送认证请求,移动终端接收认证请求,对标识信息进行签名,得到第一密文;移动终端将第一密文发送给认证模块,以令认证模块对所述第一密文进行解密,以令认证模块向待认证用户的手机号发送验证码,移动终端接收验证码,对验证码进行签名,得到第二密文;移动终端将第二密文发送给认证模块,以令认证模块对第二密文进行认证。上述方法,私钥在移动终端和认证模块中,向手机号发送验证码,采用私钥对验证码签名,来验证私钥的安全性,避免了私钥泄露对接入验证带来的威胁。

Description

基于移动终端的身份认证方法及相关装置
技术领域
本发明涉及区块链技术领域,尤其涉及一种基于移动终端的身份认证方法及相关装置。
背景技术
泛在电力物联网背景下,基于手机卡无线连接的电力终端接入越来越多,给设备的安全认证带了很大的安全隐患。国密SM9算法属于基于身份的加密IBC(Identity BasedCryptography)方式之一,能够将用户的身份信息作为公钥,无需数字证书绑定,非常适用于泛在电力物联网多场景下的身份认证。所述IBC基于传统的PKI(公开密钥基础设施)基础上发展而来,主要简化了具体安全应用在大量数字证书中的交换问题,使安全应用更加易于部署和使用。IBC密码技术使用的是非对称密码体系,加密与解密使用两套不同的密钥,每个人的公钥就是他的身份标识,比如email地址,电话号码等。而私钥则以数据的形式由用户自己掌握,密钥管理相当简单,可以很方便的对数据信息进行加解密。IBC的基础技术包括数据加密、数字签名、数据完整性机制、数字信封,用户识别,用户认证等。
在国密SM9机制中,密钥生成中心KGC(Key Generation Center)作为公钥和私钥的管理中心,用户的ID即为公钥,再根据用户的身份信息ID(如手机号、名称、e-mail、身份证号等)生成用户的私钥,能够非常简单地实现用户身份认证。
但是由于私钥在用户侧管理,存在较大的被窃取隐患,万一私钥泄露,将对设备的接入验证带来很大的威胁。
发明内容
有鉴于此,本发明提供了一种基于移动终端的身份认证方法及相关装置,用以解决私钥在用户侧管理,存在较大的被窃取隐患,万一私钥泄露,将对设备的接入验证带来很大的威胁的问题。具体方案如下:
一种基于移动终端的身份认证方法,待认证用户的移动终端预先将所述待认证用户的标识信息发送给认证模块进行认证,得到所述待认证用户的私钥,所述移动终端接收所述私钥,所述移动终端将所述私钥发送给所述移动终端的私钥存储模块,其中,所述标识信息包括:所述待认证用户的手机号和所述移动终端的编号,所述手机号和所述编号存在对应关系,所述认证方法包括:
所述移动终端向资源服务器发送访问请求,以令所述资源服务器向所述移动终端发送认证请求,所述移动终端接收所述认证请求,对所述标识信息进行签名,得到第一密文;
所述移动终端将所述第一密文发送给所述认证模块,以令所述认证模块对所述第一密文进行解密,以得到所述手机号,其中,所述手机号属于所述移动终端,以令所述认证模块向所述移动终端发送验证码,所述移动终端接收所述验证码,对所述验证码进行签名,得到第二密文;
所述移动终端将所述第二密文发送给所述认证模块,以令所述认证模块对所述第二密文进行认证。
上述的方法,可选的,对所述标识信息进行签名,得到第一密文,包括:
依据身份认证框架机制访问所述私钥存储模块;
在验证通过的情况下,依据所述私钥对所述标识信息进行签名,得到第一密文。
上述的方法,可选的,对所述验证码进行签名,得到第二密文,包括:
依据身份认证框架机制访问所述私钥存储模块;
在验证通过的情况下,依据所述私钥对所述验证码进行签名,得到第二密文。
上述的方法,可选的,还包括:
在所述移动终端接收到对所述第二密文认证通过指令的情况下,令授权服务器对所述待认证用户进行授权。
一种基于移动终端的身份认证装置,待认证用户的移动终端预先将所述待认证用户的标识信息发送给认证模块进行认证,得到所述待认证用户的私钥,所述移动终端接收所述私钥,所述移动终端将所述私钥发送给所述移动终端的私钥存储模块,其中,所述标识信息包括:所述待认证用户的手机号和所述移动终端的编号,所述手机号和所述编号存在对应关系,所述认证装置包括:
第一发送和签名模块,用于所述移动终端向资源服务器发送访问请求,以令所述资源服务器向所述移动终端发送认证请求,所述移动终端接收所述认证请求,对所述标识信息进行签名,得到第一密文;
第二发送和签名模块,用于所述移动终端将所述第一密文发送给所述认证模块,以令所述认证模块对所述第一密文进行解密,得到所述手机号,其中,所述手机号属于所述移动终端,以令所述认证模块向所述移动终端发送验证码,所述移动终端接收所述验证码,对所述验证码进行签名,得到第二密文;
发送和认证模块,用于所述移动终端将所述第二密文发送给所述认证模块,以令所述认证模块对所述第二密文进行认证。
上述的装置,可选的,所述第一发送和签名模块包括:
第一访问单元,用于依据身份认证框架机制访问所述私钥存储模块;
第一签名单元,用于在验证通过的情况下,依据所述私钥对所述标识信息进行签名,得到第一密文。
上述的装置,可选的,所述第二发送和签名模块包括:
第二访问单元,用于依据身份认证框架机制访问所述私钥存储模块;
第二签名单元,用于在验证通过的情况下,依据所述私钥对所述验证码进行签名,得到第二密文。
上述的装置,可选的,还包括:
授权模块,用于在所述移动终端接收到所述第二密文认证通过指令的情况下,令授权服务器对所述待认证用户进行授权。
一种移动终端,包括上述的身份认证装置。
一种基于移动终端的身份认证系统,包括:移动终端、认证模块、资源服务器和授权服务器,其中,待认证用户的移动终端预先将所述待认证用户的标识信息发送给认证模块进行认证,得到所述待认证用户的私钥,所述移动终端接收所述私钥,所述移动终端将所述私钥发送给所述移动终端的私钥存储模块,所述标识信息包括:所述待认证用户的手机号和所述移动终端的编号,所述手机号和所述编号存在对应关系,其中,
所述待认证用户通过所述移动终端向所述资源服务器发送访问请求,所述资源服务器接收所述访问请求后,向所述移动终端发送认证请求;
所述移动终端接收到所述认证请求时,对所述标识信息进行签名,得到第一密文,将所述第一密文发送给所述认证模块;
所述认证模块对第一密文进行解密,得到所述手机号,其中,所述手机号属于所述移动终端,所述认证模块向所述移动终端发送验证码;
所述移动终端对所述验证码进行签名,得到第二密文,将所述第二密文发送给所述认证模块;
所述认证模块接收到所述第二密文后,对所述第二密文进行解密,得到解密后的验证码,当解密后的验证码与所述认证模块向所述手机号发送验证码相同时,向所述移动终端发送所述第二密文认证通过指令;
所述移动终端接收到所述第二密文认证通过指令时,令所述资源服务器向所述授权服务器发送访问授权请求;
所述授权服务器接收所述访问授权请求,依据所述访问授权请求查询所述待认证用户的访问权限,依据所述访问权限,为所述待认证用户发送访问令牌;
将所述访问令牌发送给所述资源服务器,所述资源服务器将资源发送给所述移动终端中的第三方应用。
与现有技术相比,本发明包括以下优点:
本发明公开了一种基于移动终端的身份认证方法,预先将待认证用户的私钥发送给移动终端的私钥存储模块,包括:移动终端向资源服务器发送访问请求,以令资源服务器向移动终端发送认证请求,移动终端接收认证请求,对标识信息进行签名,得到第一密文;移动终端将第一密文发送给认证模块,以令认证模块对所述第一密文进行解密,以令认证模块向待认证用户的手机号发送验证码,移动终端接收验证码,对验证码进行签名,得到第二密文;移动终端将第二密文发送给认证模块,以令认证模块对第二密文进行认证。上述方法,私钥在移动终端和认证模块中,向手机号发送验证码,采用私钥对验证码签名,来验证私钥的安全性,避免了私钥泄露对接入验证带来的威胁。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例公开的一种基于移动终端的身份认证方法流程图;
图2为本申请实施例公开的一种基于移动终端的身份认证装置结构框图;
图3为本申请公开的一种基于移动终端的身份认证系统的执行流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
本发明公开了一种基于移动终端的身份认证方法,所述方法应用在对用户身份的认证过程中,现有技术中,基于身份的加密(Identity Based Cryptography, IBC)采用国密SM9算法,加密过程中将用户的身份信息作为公钥,无需数字证书绑定,非常适用于泛在电力物联网多场景下的身份认证。在国密SM9机制中,KGC(Key Generation Center)作为公钥和私钥的管理中心,用户的ID即为公钥,再根据用户的身份信息ID(如手机号、名称、e-mail、身份证号等)生成用户的私钥,能够非常简单地实现用户身份认证。但是由于私钥在用户侧管理,存在较大的被窃取隐患,万一私钥泄露,将对设备的接入验证带来很大的威胁。因此,本发明公开了一种基于移动终端的身份认证方法用以解决上述问题,所述认证方法中,待认证用户的移动终端预先将所述待认证用户的标识信息发送给认证模块进行认证,得到所述待认证用户的私钥,所述移动终端接收所述私钥,所述移动终端将所述私钥发送给所述移动终端的私钥存储模块,其中,所述标识信息包括:所述待认证用户的手机号和所述移动终端的编号,所述手机号和所述编号存在对应关系,所述认证方法的执行流程如图1所示,包括步骤:
S101、所述移动终端向资源服务器发送访问请求,以令所述资源服务器向所述移动终端发送认证请求,所述移动终端接收所述认证请求,对所述标识信息进行签名,得到第一密文;
本发明实施例中,所述待认证用户向通过所述移动终端向所述资源服务器请求资源时,会向所述资源服务器发送访问请求,所述资源服务器在接收到所述访问请求时,向所述移动终端发送对所述待认证用户的认证请求,当所述移动终端接收到所述认证请求时,利用通用身份认证框架UAF(Universal Authentication Framework)访问所述移动终端的私钥存储模块,其中,所述UAF是由FIDO联盟制定的一套开放认证协议,实现用户“无口令”的强身份认证。UAF在注册时将用户在服务器端的账户和UAF设备绑定在一起,随后在认证过程中,用户无需输入口令,只需要在UAF设备中通过生物特征识别或简单的PIN即可完成认证,实现账户登录。访问的方式可以为指纹识别、人脸识别或者声纹识别等等,本发明实施例中,对具体的识别方式不进行限定,当识别通过时,访问所述私钥存储模块,获取所述私钥,依据所述私钥对所述标识信息进行签名,得到第一密文。
S102、所述移动终端将所述第一密文发送给所述认证模块,以令所述认证模块对所述第一密文进行解密,得到所述手机号,其中,所述手机号属于所述移动终端,以令所述认证模块向所述移动终端发送验证码,所述移动终端接收所述验证码,对所述验证码进行签名,得到第二密文;
本发明实施例中,所述移动终端将所述第一密文发送给所述认证模块,令所述认证模块对所述第一密文采用与所述私钥对应的公钥进行解密,得到所述第一明文,获取所述第一明文中的手机号,依据所述标识信息中手机号和编号的对应关系,确定移动终端,向所述手机号所属移动终端发送验证码,若所述移动终端接收到所述验证码时,采用UAF机制对所述验证码进行签名,签名过程与所述标识信息的签名过程相同,在此不再赘述,得到第二密文,若所述移动终端未接收到所述验证码,说明所述移动终端的加密过程或者所述认证模块对所述第一密文的解密过程存在问题,放弃本次认证,重新执行S101。
S103、所述移动终端将所述第二密文发送给所述认证模块,以令所述认证模块对所述第二密文进行认证。
本发明实施例中,所述移动终端将所述第二密文发送给认证模块,获取与所述私钥对应的公钥进行解密,得到解密后的验证码,判断所述解密后的验证码与所述认证模块向所述手机号发送验证码是否一致,若一致,则所述待认证用户验证通过,反之,所述待认证用户验证不通过。
本发明公开了一种基于移动终端的身份认证方法,预先将待认证用户的私钥发送给移动终端的私钥存储模块,包括:移动终端向资源服务器发送访问请求,以令资源服务器向移动终端发送认证请求,移动终端接收认证请求,对标识信息进行签名,得到第一密文;移动终端将第一密文发送给认证模块,以令认证模块对所述第一密文进行解密,以令认证模块向待认证用户的手机号发送验证码,移动终端接收验证码,对验证码进行签名,得到第二密文;移动终端将第二密文发送给认证模块,以令认证模块对第二密文进行认证。上述方法,私钥在移动终端和认证模块中,向手机号发送验证码,采用私钥对验证码签名,来验证私钥的安全性,避免了私钥泄露对接入验证带来的威胁。
本发明实施例中,进一步的,由于OAuth是开放的授权标准,允许第三方应用通过授权服务器提供商提供的访问令牌获取资源,无需用户名和密码,具有简单、开放、安全的特点,在所述移动终端接收到所述第二密文认证通过指令的情况下,令授权服务器对所述待认证用户进行授权。
当所述授权服务器接收到所述访问授权请求时,依据所述标识信息,查找与其对应的访问权限,其中,标识信息与访问权限的对应关系是预先确定的,确定的原则可以依据经验或者具体的情况,本发明实施例中对具体的确定过程不进行限定,所述访问权限包括:查询、修改等。依据所述访问权限确定所述待认证用户的访问令牌,将所述访问令牌发送给所述资源服务器,所述资源服务器依据所述访问令牌,确定所述待认证用户对相关资源的访问许可,将所述相关资源发送给所述移动终端的第三方应用,完成对所述待认证用户的授权。
本发明基于UAF和国密SM9算法提出一种基于移动终端的身份认证方法,结合手机号码和移动终端编号构成标识信息,通过国密SM9机制,实现在多场景下通过认证模块认证身份,提升泛在物联网环境下身份认证的安全和效率。
基于上述的一种基于移动终端的身份认证方法,本发明实施例中还提供了一种基于移动终端的身份认证装置,待认证用户的移动终端预先将所述待认证用户的标识信息发送给认证模块进行认证,得到所述待认证用户的私钥,所述移动终端接收所述私钥,所述移动终端将所述私钥发送给所述移动终端的私钥存储模块,其中,所述标识信息包括:所述待认证用户的手机号和所述移动终端的编号,所述手机号和所述编号存在对应关系,所述认证装置的结构框图如图2所示,包括:
第一发送和签名模块201、第二发送和签名模块202和发送和认证模块203。
其中,
所述第一发送和签名模块201,用于所述移动终端向资源服务器发送访问请求,以令所述资源服务器向所述移动终端发送认证请求,所述移动终端接收所述认证请求,对所述标识信息进行签名,得到第一密文;
所述第二发送和签名模块202,用于所述移动终端将所述第一密文发送给所述认证模块,以令所述认证模块对所述第一密文进行解密,得到所述手机号,其中,所述手机号属于所述移动终端,以令所述认证模块向所述移动终端发送验证码,所述移动终端接收所述验证码,对所述验证码进行签名,得到第二密文;
所述发送和认证模块203,用于所述移动终端将所述第二密文发送给所述认证模块,以令所述认证模块对所述第二密文进行认证。
本发明公开了一种基于移动终端的身份认证装置,预先将待认证用户的私钥发送给移动终端的私钥存储模块,包括:用于移动终端向资源服务器发送访问请求,以令资源服务器向移动终端发送认证请求,移动终端接收认证请求,对标识信息进行签名,得到第一密文;用于移动终端将第一密文发送给认证模块,以令认证模块对所述第一密文进行解密,以令认证模块向待认证用户的手机号发送验证码,移动终端接收验证码,对验证码进行签名,得到第二密文;用于移动终端将第二密文发送给认证模块,以令认证模块对第二密文进行认证。上述的装置,私钥在移动终端和认证模块中,向手机号发送验证码,采用私钥对验证码签名,来验证私钥的安全性,避免了私钥泄露对接入验证带来的威胁。
本发明实施例中,所述第一发送和签名模块201包括:
第一访问单元和第一签名单元。
其中,
所述第一访问单元,用于依据身份认证框架机制访问所述私钥存储模块;
所述第一签名单元,用于在验证通过的情况下,依据所述私钥对所述标识信息进行签名,得到第一密文。
本发明实施例中所述第二发送和签名模块202包括:
第二访问单元和第二签名单元。
其中,
所述第二访问单元,用于依据身份认证框架机制访问所述私钥存储模块;
所述第二签名单元,用于在验证通过的情况下,依据所述私钥对所述验证码进行签名,得到第二密文。
本发明实施例中,所述装置还包括:授权模块。
其中,
所述授权模块,用于在所述移动终端接收到所述第二密文认证通过指令的情况下,令授权服务器对所述待认证用户进行授权。
本发明实施例中,所述授权模块属于所述资源服务器,用于在所述移动终端接收到所述第二密文认证通过指令的情况下,令授权服务器对所述待认证用户进行授权。
基于上述的身份认证装置,本发明实施例中还提供了一种移动终端,所述移动终端包含所述身份认证装置,其中,所述移动终端用于执行上述的身份认证方法。
基于上述的移动终端,本发明实施例中还提供了一种基于移动终端的身份认证系统,所述系统包括:移动终端、认证模块、资源服务器和授权服务器,所述移动终端预先将所述待认证用户的标识信息发送给所述认证模块进行认证,得到所述待认证用户的私钥,所述认证模块充当国密SM9机制中密钥生成中心(Key Generation Center, KGC)的角色,将所述私钥发送给所述移动终端的私钥存储模块,完成所述待认证用户的注册,上述的注册过程只需执行一次。所述标识信息包括:所述待认证用户的手机号和所述移动终端的编号,所述手机号和所述编号存在对应关系,其中,
所述待认证用户通过所述移动终端向所述资源服务器发送访问请求,所述资源服务器接收所述访问请求后,向所述移动终端发送认证请求;
所述移动终端接收到所述认证请求时,对所述标识信息进行签名,得到第一密文,将所述第一密文发送给所述认证模块,
所述认证模块对第一密文进行解密,得到所述手机号,其中,所述手机号属于所述移动终端,所述认证模块向所述移动终端发送验证码;
所述移动终端对所述验证码进行签名,得到第二密文,将所述第二密文发送给所述认证模块;
所述认证模块接收到所述第二密文后,对所述第二密文进行解密,得到解密后的验证码,当解密后的验证码与所述认证模块向所述手机号发送验证码相同时,向所述移动终端发送所述第二密文认证通过指令;
所述移动终端接收到所述第二密文认证通过指令时,令所述资源服务器向所述授权服务器发送访问授权请求;
所述授权服务器接收所述访问授权请求,依据所述访问授权请求查询所述待认证用户的访问权限,依据所述访问权限,为所述待认证用户发送访问令牌;
将所述访问令牌发送给所述资源服务器,所述资源服务器将资源发送给所述移动终端中的第三方应用。
本发明实施例中,基于上述认证系统的执行流程如图3所示,所述待认证用户通过移动终端向所述资源服务器发送访问请求,资源服务器接收访问请求后,向所述移动终端发送认证请求,移动终端接收到认证请求时,对所述标识信息进行签名,得到第一密文;将第一密文发送给认证模块,认证模块对第一密文进行解密,得到手机号,手机号属于移动终端,认证模块向移动终端发送验证码,移动终端对所述验证码进行签名,得到第二密文,将第二密文发送给认证模块,认证模块接收到第二密文后,对所述第二密文进行解密,得到解密后的验证码,当解密后的验证码与认证模块向所述手机号发送验证码相同时,向所述移动终端发送所述第二密文认证通过指令;所述移动终端接收到所述第二密文认证通过指令时,令资源服务器向所述授权服务器发送访问授权请求,其中,所述资源服务器是通过其中的授权模块向所述授权服务器发送访问授权请求的,所述认证模块判断解密后的验证码与所述述认证模块向所述手机号发送验证码是否相同,若相同时,令资源服务器向授权服务器发送访问授权请求,依据所述访问授权请求查询待认证用户的访问权限,依据访问权限确定待认证用户的访问令牌,将访问令牌发送给资源服务器,资源服务器依据所述访问令牌确所述待认证用户对相关资源的访问许可,将所述相关资源发送给所述移动终端的第三方应用。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本发明时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
以上对本发明所提供的一种基于移动终端的身份认证方法及相关装置。进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (6)

1.一种基于移动终端的身份认证方法,其特征在于,待认证用户的移动终端预先将所述待认证用户的标识信息发送给认证模块进行认证,得到所述待认证用户的私钥,所述移动终端接收所述私钥,所述移动终端将所述私钥发送给所述移动终端的私钥存储模块,其中,所述标识信息包括:所述待认证用户的手机号和所述移动终端的编号,所述手机号和所述编号存在对应关系,所述认证方法包括:
所述移动终端向资源服务器发送访问请求,以令所述资源服务器向所述移动终端发送认证请求,所述移动终端接收所述认证请求,依据身份认证框架机制访问所述私钥存储模块,在验证通过的情况下,依据所述私钥对所述标识信息进行签名,得到第一密文;
所述移动终端将所述第一密文发送给所述认证模块,以令所述认证模块对所述第一密文进行解密,得到所述手机号和所述编号,基于所述编号确定所述手机号所属移动终端,以令所述认证模块向所述移动终端发送验证码,所述移动终端接收所述验证码,依据身份认证框架机制访问所述私钥存储模块,在验证通过的情况下,依据所述私钥对所述验证码进行签名,得到第二密文;
所述移动终端将所述第二密文发送给所述认证模块,以令所述认证模块接收到所述第二密文后,对所述第二密文进行解密,得到解密后的验证码,当解密后的验证码与所述认证模块向所述手机号发送验证码相同时,向所述移动终端发送所述第二密文认证通过指令。
2.根据权利要求1所述的方法,其特征在于,还包括:
在所述移动终端接收到所述第二密文认证通过指令的情况下,令授权服务器对所述待认证用户进行授权。
3.一种基于移动终端的身份认证装置,其特征在于,待认证用户的移动终端预先将所述待认证用户的标识信息发送给认证模块进行认证,得到所述待认证用户的私钥,所述移动终端接收所述私钥,所述移动终端将所述私钥发送给所述移动终端的私钥存储模块,其中,所述标识信息包括:所述待认证用户的手机号和所述移动终端的编号,所述手机号和所述编号存在对应关系,所述认证装置包括:
第一发送和签名模块,用于所述移动终端向资源服务器发送访问请求,以令所述资源服务器向所述移动终端发送认证请求,所述移动终端接收所述认证请求,依据身份认证框架机制访问所述私钥存储模块,在验证通过的情况下,依据所述私钥对所述标识信息进行签名,得到第一密文;
第二发送和签名模块,用于所述移动终端将所述第一密文发送给所述认证模块,以令所述认证模块对所述第一密文进行解密,得到所述手机号和所述编号,基于所述编号确定所述手机号所属移动终端,以令所述认证模块向所述移动终端发送验证码,所述移动终端接收所述验证码,依据身份认证框架机制访问所述私钥存储模块,在验证通过的情况下,依据所述私钥对所述验证码进行签名,得到第二密文;
发送和认证模块,用于所述移动终端将所述第二密文发送给所述认证模块,以令所述认证模块接收到所述第二密文后,对所述第二密文进行解密,得到解密后的验证码,当解密后的验证码与所述认证模块向所述手机号发送验证码相同时,向所述移动终端发送所述第二密文认证通过指令。
4.根据权利要求3所述的装置,其特征在于,还包括:
授权模块,用于在所述移动终端接收到所述第二密文认证通过指令的情况下,令授权服务器对所述待认证用户进行授权。
5.一种移动终端,其特征在于,包括如权利要求3所述的身份认证装置。
6.一种基于移动终端的身份认证系统,其特征在于,包括:移动终端、认证模块、资源服务器和授权服务器,其中,待认证用户的移动终端预先将所述待认证用户的标识信息发送给认证模块进行认证,得到所述待认证用户的私钥,所述移动终端接收所述私钥,所述移动终端将所述私钥发送给所述移动终端的私钥存储模块,所述标识信息包括:所述待认证用户的手机号和所述移动终端的编号,所述手机号和所述编号存在对应关系,其中,
所述待认证用户通过所述移动终端向所述资源服务器发送访问请求,所述资源服务器接收所述访问请求后,向所述移动终端发送认证请求;
所述移动终端接收到所述认证请求时,依据身份认证框架机制访问所述私钥存储模块,在验证通过的情况下,依据所述私钥对所述标识信息进行签名,得到第一密文,将所述第一密文发送给所述认证模块;
所述认证模块对第一密文进行解密,得到所述手机号和所述编号,基于所述编号确定所述手机号所属移动终端,所述认证模块向所述移动终端发送验证码;
所述移动终端依据身份认证框架机制访问所述私钥存储模块,在验证通过的情况下,依据所述私钥对所述验证码进行签名,得到第二密文,将所述第二密文发送给所述认证模块;
所述认证模块接收到所述第二密文后,对所述第二密文进行解密,得到解密后的验证码,当解密后的验证码与所述认证模块向所述手机号发送的验证码相同时,向所述移动终端发送所述第二密文认证通过指令;
所述移动终端接收到所述第二密文认证通过指令时,令所述资源服务器向所述授权服务器发送访问授权请求;
所述授权服务器接收所述访问授权请求,依据所述访问授权请求查询所述待认证用户的访问权限,依据所述访问权限,为所述待认证用户发送访问令牌;
将所述访问令牌发送给所述资源服务器,所述资源服务器将资源发送给所述移动终端中的第三方应用。
CN202010336554.4A 2020-04-26 2020-04-26 基于移动终端的身份认证方法及相关装置 Active CN111245870B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010336554.4A CN111245870B (zh) 2020-04-26 2020-04-26 基于移动终端的身份认证方法及相关装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010336554.4A CN111245870B (zh) 2020-04-26 2020-04-26 基于移动终端的身份认证方法及相关装置

Publications (2)

Publication Number Publication Date
CN111245870A CN111245870A (zh) 2020-06-05
CN111245870B true CN111245870B (zh) 2020-08-14

Family

ID=70877278

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010336554.4A Active CN111245870B (zh) 2020-04-26 2020-04-26 基于移动终端的身份认证方法及相关装置

Country Status (1)

Country Link
CN (1) CN111245870B (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112528816B (zh) * 2020-12-04 2024-04-05 北京百汇安科技有限公司 基于pki体系的人脸识别系统
CN112565265B (zh) * 2020-12-04 2022-11-01 国网辽宁省电力有限公司沈阳供电公司 物联网终端设备间的认证方法、认证系统及通讯方法
CN114765534B (zh) * 2020-12-31 2023-09-19 天翼数字生活科技有限公司 基于国密标识密码算法的私钥分发系统和方法
CN113992411A (zh) * 2021-11-01 2022-01-28 令牌云(上海)科技有限公司 一种基于可信设备的用户身份认证方法和装置
CN114301651B (zh) * 2021-12-22 2023-07-21 河南大学 基于cp-abe的黄河坝岸监测数据共享方法
CN113993127B (zh) * 2021-12-28 2022-05-06 支付宝(杭州)信息技术有限公司 一键登录业务的实现方法和装置
CN114928469A (zh) * 2022-03-28 2022-08-19 深圳市中悦科技有限公司 基于相互验证机制进行访问控制的IDaaS系统
CN114520727B (zh) * 2022-04-15 2022-06-21 广州万协通信息技术有限公司 安全芯片数据防护方法及系统
CN114845301A (zh) * 2022-04-28 2022-08-02 微位(深圳)网络科技有限公司 基于超级sim卡的号码验证方法、终端及系统
CN115842679B (zh) * 2022-12-30 2023-05-05 江西曼荼罗软件有限公司 一种基于数字信封技术的数据传输方法及系统
CN116527260B (zh) * 2023-07-03 2023-12-01 广东电网有限责任公司佛山供电局 一种电网通讯系统的接入方法、装置、设备和介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104506534A (zh) * 2014-12-25 2015-04-08 青岛微智慧信息有限公司 安全通信密钥协商交互方案
CN104618120A (zh) * 2015-03-04 2015-05-13 青岛微智慧信息有限公司 一种移动终端密钥托管数字签名方法
CN108764912A (zh) * 2018-06-21 2018-11-06 广东工业大学 一种基于短信验证码的支付方法及装置
CN110321682A (zh) * 2019-07-08 2019-10-11 国网电子商务有限公司 一种基于uaf和ibc的统一身份认证方法及装置

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106576044B (zh) * 2015-04-23 2020-05-15 崔云虎 泛在环境中的认证
CN106878280B (zh) * 2017-01-10 2020-07-24 阿里巴巴集团控股有限公司 用户认证的方法和装置、获取用户号码信息的方法和装置
CN109039990B (zh) * 2017-06-08 2020-07-07 腾讯科技(深圳)有限公司 基于验证码进行行为验证的方法及装置
CN108667791B (zh) * 2017-12-18 2021-01-01 中国石油天然气股份有限公司 身份验证方法
CN109413116A (zh) * 2019-01-03 2019-03-01 国家电网有限公司 一种可信的云端身份认证方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104506534A (zh) * 2014-12-25 2015-04-08 青岛微智慧信息有限公司 安全通信密钥协商交互方案
CN104618120A (zh) * 2015-03-04 2015-05-13 青岛微智慧信息有限公司 一种移动终端密钥托管数字签名方法
CN108764912A (zh) * 2018-06-21 2018-11-06 广东工业大学 一种基于短信验证码的支付方法及装置
CN110321682A (zh) * 2019-07-08 2019-10-11 国网电子商务有限公司 一种基于uaf和ibc的统一身份认证方法及装置

Also Published As

Publication number Publication date
CN111245870A (zh) 2020-06-05

Similar Documents

Publication Publication Date Title
CN111245870B (zh) 基于移动终端的身份认证方法及相关装置
US9419806B2 (en) Trusted certificate authority to create certificates based on capabilities of processes
CN108684041B (zh) 登录认证的系统和方法
CN101212293B (zh) 一种身份认证方法及系统
WO2017020452A1 (zh) 认证方法和认证系统
EP2879421B1 (en) Terminal identity verification and service authentication method, system, and terminal
JP2018038068A (ja) 通信端末および関連システムのユーザーの識別情報を確認するための方法
MXPA04003226A (es) Metodo y sistema para proporcionar privacidad al cliente cuando solicite contenido de un servidor publico.
WO2013133840A1 (en) Multi-factor certificate authority
CA2795428C (en) Trusted certificate authority to create certificates based on capabilities of processes
JP2023544529A (ja) 認証方法およびシステム
CN111901346A (zh) 一种身份认证系统
CN109981287A (zh) 一种代码签名方法及其存储介质
Togan et al. A smart-phone based privacy-preserving security framework for IoT devices
CN110321682B (zh) 一种基于uaf和ibc的统一身份认证方法及装置
CN104683107A (zh) 数字证书保管方法和装置、数字签名方法和装置
CN101582876A (zh) 用户生成内容的注册方法、装置和系统
CN103024735A (zh) 无卡终端的业务访问方法及设备
CN110830264B (zh) 业务数据验证方法、服务器、客户端及可读存储介质
US20090327704A1 (en) Strong authentication to a network
Kerttula A novel federated strong mobile signature service—the finnish case
CN111224965A (zh) 一种信息交互方法及其装置
CN116232599A (zh) 一种物联网身份认证方法、物联网终端及服务器
CN111723347B (zh) 身份认证方法、装置、电子设备及存储介质
Kim et al. Secure user authentication based on the trusted platform for mobile devices

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP03 Change of name, title or address

Address after: 100032 room 8018, 8 / F, building 7, Guangyi street, Xicheng District, Beijing

Patentee after: State Grid Digital Technology Holdings Co.,Ltd.

Patentee after: State Grid blockchain Technology (Beijing) Co.,Ltd.

Patentee after: STATE GRID HEBEI INFORMATION & TELECOMMUNICATION BRANCH

Patentee after: STATE GRID CORPORATION OF CHINA

Address before: 100053 8th floor, Xianglong business building, 311 guanganmennei street, Xicheng District, Beijing

Patentee before: STATE GRID ELECTRONIC COMMERCE Co.,Ltd.

Patentee before: State Grid blockchain Technology (Beijing) Co.,Ltd.

Patentee before: STATE GRID HEBEI INFORMATION & TELECOMMUNICATION BRANCH

Patentee before: STATE GRID CORPORATION OF CHINA

CP03 Change of name, title or address