CN111800377B - 一种基于安全多方计算的移动终端身份认证系统 - Google Patents

一种基于安全多方计算的移动终端身份认证系统 Download PDF

Info

Publication number
CN111800377B
CN111800377B CN202010429887.1A CN202010429887A CN111800377B CN 111800377 B CN111800377 B CN 111800377B CN 202010429887 A CN202010429887 A CN 202010429887A CN 111800377 B CN111800377 B CN 111800377B
Authority
CN
China
Prior art keywords
mobile terminal
authentication
service center
user
service system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010429887.1A
Other languages
English (en)
Other versions
CN111800377A (zh
Inventor
刘书勇
翟峰
葛得辉
马慧远
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
China Electric Power Research Institute Co Ltd CEPRI
State Grid Beijing Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
China Electric Power Research Institute Co Ltd CEPRI
State Grid Beijing Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, China Electric Power Research Institute Co Ltd CEPRI, State Grid Beijing Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN202010429887.1A priority Critical patent/CN111800377B/zh
Publication of CN111800377A publication Critical patent/CN111800377A/zh
Application granted granted Critical
Publication of CN111800377B publication Critical patent/CN111800377B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Abstract

本发明公开了一种基于安全多方计算的移动终端身份认证系统,基于数字签名和国产SM2密码算法的身份认证方案,通过认证服务中心基于硬件密码设备的密钥管理和密码运算能力、基于大通数据分析和风险控制的策略机制,实现对移动智能终端用户的身份合法性鉴别,消减移动智能终端密钥管理和密码计算风险,提升系统安全性,并降低对业务系统风险控制的设计复杂性和实现成本,解决移动智能终端利用密码技术进行强身份认证的问题。

Description

一种基于安全多方计算的移动终端身份认证系统
技术领域
本申请涉及安全领域,具体涉及一种基于安全多方计算的移动终端身份认证系统。
背景技术
在电子商务、电子政务、电子支付、远程医疗等业务场景中,尤其是通过移动互联网开展的业务,用户通常要通过智能手机来完成业务所需的身份鉴别。通常,身份鉴别会采用GB/T15843《信息技术 安全技术 实体鉴别》系列标准所描述的方法来设计。
GB/T15843.2、GB/T15843.3和GB/T15843.4描述了通过加密算法机制、数字签名机制和密码校验函数进行身份鉴别的方法,但在实际场景中,智能手机通常没有较强的密钥保护能力,从而,即便通过软件密钥的方式实现这些身份认证机制,其安全性还是存在较多问题的,其关键就在于密钥存储和使用的风险。如何增强智能手机的安全能力,从而更好的实现身份认证以及其它密码安全机制,也一直是密码领域的研究热点。
现有用于智能手机的身份认证机制,除备受诟病不推荐使用的静态口令方式之外,主要有(1)短信验证码机制(2)生物特征方式(3)通过软件方式实现的密码机制(4)综合风险控制。对于安全性较差的静态口令机制,这里就不再赘述了。
短信验证码机制是一种常用的双因素验证方法。其优点是简单而易于实施,缺点是容易受到假基站等攻击。在移动通信网络较为繁忙的时段,短信偶尔会阻塞,造成业务无法顺畅进行。
生物特征方式,例如指纹、人脸识别也是一种目前颇受关注的方法。生物特征用于身份鉴别的优势是无须额外携带,无法假冒;但是也存在一些限制,需要智能手机上安装特定的生物特征采集模块,需要智能手机进行额外处理保证生物特征得到妥善的存储和处理,不会造成个人隐私泄露。
软件密码模块,是通过智能手机上的软件模块,实现密钥管理和加密解密、数字签名、消息验证码等功能,采用这些密钥,进行身份认证,密钥以软件方式保存在智能手机上,用户通过PIN码控制密钥的使用。这种方式在使用上也非常便捷,但是在密钥存储和密钥使用的安全性上存在不足。如果软件模块被木马、恶意程序获取到其中的密钥,会带来用户身份被假冒的风险。
综合风险控制方法是指在采用以上身份鉴别机制的同时,根据对智能手机和业务上下文以及存在的风险等进行度量,例如包括智能手机的IMEI、IMSI 等硬件信息、智能手机所在的地理位置、Wifi SSID等等信息,综合判断本次身份鉴别的风险指数,从而根据策略给出身份鉴别的响应。这种机制相比于单纯采用以上几种机制,安全性要高,但其实现复杂度和成本也非常高。
发明内容
本申请提供一种基于安全多方计算的移动终端身份认证系统,解决移动智能终端利用密码技术进行强身份认证的问题。
本申请提供一种基于安全多方计算的移动终端身份认证系统,包括:
移动终端,用于用户向业务系统发起登录请求;接收认证服务中心发送的数字签名操作请求,对所述操作请求进行确认,并将确认结果及移动终端特征信息发送至认证服务中心;
业务系统,用于接收移动终端的登录请求,生成随机数,向认证服务中心发送认证请求;对认证服务中心返回的数字签名进行验证,判断用户是否允许登录;
认证服务中心,用于验证业务系统身份;根据移动终端发送的数字签名确认结果及移动终端标识信息,生成基于安全多方计算的数字签名,将所述数字签名发送至业务系统进行验证。
证书认证系统,用于根据认证服务中心的请求,向认证服务中心提供用户证书下载凭据并产生激活码。
优选的,移动终端在向业务系统发起登录请求之前,还包括:
移动终端获得登录业务系统所需的私钥和用户证书。
优选的,移动终端获得登录业务系统所需的密钥和用户证书,包括:
移动终端向业务系统申请用户证书;
业务系统对用户证书申请信息进行验证,若验证通过,业务系统将用户证书申请信息发送至认证服务中心;
认证服务中心向CA获得用户证书下载凭据并产生激活码;
移动终端根据用户证书下载凭据和激活码,生成登录业务系统所需的私钥,与认证服务中心基于安全多方计算的方式协商出用于身份鉴别过程的公钥;
认证服务中心下载用户证书。
优选的,所述公钥,通过移动终端与认证服务中心协商获得,公钥的协商过程包括:
获取移动终端特征信息和PIN码,与随机数进行混合计算,获得移动终端密钥Dc,计算Pc=[Dc -1]G,其中,G表示SM2椭圆曲线的基点,该计算公式表示计算多倍点的过程,将Pc发送给认证服务中心;
认证服务中心产生密钥对(Ds,Ps),计算P=[Ds -1]Pc-G,将P和Ps发送给移动终端;
移动终端计算P’=[Dc -1]Ps-G,比较P’和P,若二者相等则认为协商完成,使用P作为公钥按照标准申请证书的过程向CA申请证书。
优选的,移动终端特征信息,包括:
移动终端地理位置信息、IMEI信息。
优选的,对认证服务中心返回的数字签名进行验证,判断用户是否允许登录,包括:
业务系统获得认证服务中心返回的数字签名;
业务系统从所述数字签名中获取用户身份;
业务系统判断用户是否允许登录;
业务系统将判断结果发送至移动终端。
优选的,生成基于安全多方计算的数字签名,包括:
移动终端访问业务系统,业务系统要求认证,业务系统产生一个随机数发送给认证服务中心,要求用户确认身份认证过程;
认证服务中心,在硬件密码设备中产生随机数k,对需要签名的消息data 进行摘要计算,e=Hash(data),e为签名消息的摘要值,Hash为摘要算法;随机数k与SM2椭圆曲线基点G相乘,计算出对应的椭圆曲线上的点Q,其中 Q=[k]G,并计算出Q点对应的X、Y轴坐标值(x,y);计算r=(e+x)mod n,r为签名值分量,e为签名消息摘要值,x为Q点X轴坐标值,n为椭圆曲线上的基点G的阶,mod为模运算;计算s1=(k+r)Ds,s1为认证中心计算出的签名值分量s的阶段性结果;将s1发送至移动终端;
移动终端计算s2=s1Dc,发送s2到认证服务中心,s2为移动终端计算出的签名值分量s的阶段性结果;
认证服务中心进行策略判断,判断通过后计算s=s2-r,s为完整的签名值分量;
认证服务中心将数字签名结果发送给业务系统。
优选的,所述数字签名结果,由签名值的分量r和s组成。
本申请提供一种基于安全多方计算的移动终端身份认证系统,基于数字签名和国产SM2密码算法的身份认证方案,通过认证服务中心基于硬件密码设备的密钥管理和密码运算能力、基于大通数据分析和风险控制的策略机制,实现对移动智能终端用户的身份合法性鉴别,消减移动智能终端密钥管理和密码计算风险,提升系统安全性,并降低对业务系统风险控制的设计复杂性和实现成本,解决移动智能终端利用密码技术进行强身份认证的问题。
附图说明
图1是本申请提供的一种基于安全多方计算的移动终端身份认证系统的逻辑组成示意图;
图2是本申请提供的一种基于安全多方计算的移动终端身份认证系统的初始化过程示意图;
图3是本申请提供的一种基于安全多方计算的移动终端身份认证系统的身份认证过程示意图。
具体实施方式
在下面的描述中阐述了很多具体细节以便于充分理解本申请。但是本申请能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本申请内涵的情况下做类似推广,因此本申请不受下面公开的具体实施的限制。
本申请提供的一种基于安全多方计算的移动终端身份认证系统的逻辑组成如图1所示,包括:移动终端、业务系统、认证服务中心和证书认证系统。
移动终端,用于用户向业务系统发起登录请求;接收认证服务中心发送的数字签名操作请求,对所述操作请求进行确认,并将确认结果及移动终端特征信息发送至认证服务中心。移动终端包括智能手机等移动智能设备。
业务系统,用于接收移动终端的登录请求,生成随机数,向认证服务中心发送认证请求;对认证服务中心返回的数字签名进行验证,判断用户是否允许登录。业务系统获得认证服务中心返回的数字签名;从所述数字签名中获取用户身份;判断用户是否允许登录;将判断结果发送至移动终端。
认证服务中心,用于验证业务系统身份;根据移动终端发送的数字签名确认结果及移动终端标识信息,生成基于安全多方计算的数字签名,将所述数字签名发送至业务系统进行验证。
证书认证系统,用于根据认证服务中心的请求,向认证服务中心提供用户证书下载凭据并产生激活码。
移动终端在向业务系统发起登录请求之前,移动终端获得登录业务系统所需的私钥和用户证书进行初始化,具体的为,移动终端向业务系统申请用户证书;业务系统对用户证书申请信息进行验证,若验证通过,业务系统将用户证书申请信息发送至认证服务中心;认证服务中心向CA获得用户证书下载凭据并产生激活码;移动终端根据用户证书下载凭据和激活码,生成登录业务系统所需的私钥,与认证服务中心基于安全多方计算的方式协商出用于身份鉴别过程的公钥;认证服务中心下载用户证书。移动终端特征信息,包括:移动终端地理位置信息、IMEI信息。智能手机初始化过程如图2所示:
(1)用户使用智能手机在业务系统中注册,业务系统依据自身策略验证用户身份是否允许可被接受,包括验证用户身份的真实性等内容;
(2)若用户身份被接受,认证服务中心为用户建立身份信息,一方面向 CA申请证书,由CA为其产生下载证书的一次性凭据,一方面为用户产生唯一的激活码;
(3)用户通过智能手机,输入激活码产生证书,智能手机首先产生基于软件的密钥,与认证服务中心基于安全多方计算的方式协商出用于身份鉴别过程的公钥;
(4)CA为公钥和身份建立绑定关系,其载体是一张数字证书。
然后,进行身份的签别,过程如图3所示,
(1)用户通过智能手机登录业务系统;
(2)业务系统向认证服务中心发送随机数r,要求对用户进行基于密码技术的身份鉴别;
(3)用户通过智能手机和认证服务中心开始进行基于安全多方计算的数字签名从而进行身份鉴别。认证中心根据智能手机的签名时间、IMEI、IMSI、厂商信息等信息,对签名结果进行风险评估,如果签名结果符合一定的风险阈值将接受该签名结果,否则舍弃本次签名认证;
(4)认证服务中心将数字签名和风险评估结果返回给业务系统;
(5)业务系统通过GB/T15843.3描述的验签机制对数字签名值进行校验;
(6)业务系统根据自身策略验证风险评估信息,如果签名校验通过并且评估风险信息可以接受则认为认证通过,否则返回认证失败。
采用国产SM2密码算法时,公钥的协商过程如下:
(1)采集智能手机的特征信息如IMEI、IMSI、厂商信息等,将上述信息与用户设定的PIN码,随机产生的随机数进行混合计算,得到客户端的密钥Dc,计算Pc=[Dc -1]G,其中,G表示SM2椭圆曲线的基点,该计算公式表示计算多倍点的过程,将Pc发送给认证服务中心;
(2)认证服务中心产生密钥对(Ds,Ps),计算P=[Ds -1]Pc-G,将P和Ps发送给客户端;
(3)客户端计算P’=[Dc -1]Ps-G,比较P’和P,若二者相等则认为协商完成,使用P作为公钥按照标准申请证书的过程向CA申请证书。
至此,客户端和认证服务中心作为安全多方计算的两个参与方,各自持有密钥的一部分,用以通过安全多方计算的数字签名方法进行数字签名,进而完成GB/T15843.3所描述基于数字签名的身份认证方案。
生成基于安全多方计算的数字签名,采用国产SM2密码算法时,数字签名结果为(r,s),r,s为签名值的两个分量,数字签名过程如下:
(1)用户访问业务系统,业务系统要求认证。业务系统产生一个随机数发送给认证服务中心,要求用户确认身份认证过程;
(2)认证服务中心进行如下计算:
a、在硬件密码设备中产生随机数k;
b、对需要签名的消息data进行摘要计算,e=Hash(data),e为签名消息的摘要值,Hash为摘要算法;
c、随机数k与SM2椭圆曲线基点G相乘,计算出对应的椭圆曲线上的点 Q,其中Q=[k]G,并计算出Q点对应的X、Y轴坐标值(x,y);
d、计算r=(e+x)mod n,r为签名值分量,e为签名消息摘要值,x为Q点 X轴坐标值,n为椭圆曲线上的基点G的阶,mod为模运算;
e、计算s1=(k+r)Ds。s1为认证中心计算出的签名值分量s的阶段性结果。
(3)用户智能手机计算s2=s1Dc,发送s2到认证服务中心,s2为用户智能手机计算出的签名值分量s的阶段性结果;
(4)认证服务中心进行策略判断,判断通过后计算s=s2-r,s为完整的签名值分量;
(5)认证服务中心将数字签名结果(r,s)发送给业务系统。
本申请的一个实施例是用户通过移动终端访问业务系统的场景。在该场景中,用户通过智能手机,在线注册并获得身份凭据,使用此凭据,通过一系列交互,安全登录到业务应用,完成业务。
此场景涉及到用户智能手机上的业务App、业务系统、身份认证中心、证书认证中心。其中又包括初始化和业务登录两个主要过程。
(一)初始化
首先,用户使用智能手机通过网络注册到业务系统。在注册到系统的过程中,业务系统向身份认证系统注册用户信息,身份认证系统向证书认证系统请求证书,注册用户和申请证书成功向用户发送激活密钥和申请证书的凭据。用户使用智能手机App,完成密钥的激活和证书的申请,最终用户在智能手机端完成密钥和证书的安装。其具体过程如下:
1)用户在移动APP上申请用户身份认证证书,填写证书申请信息(包含姓名、身份证号、手机号等,详细注册内容可由业务系统来确定),业务系统完成用户信息的身份鉴证后,将鉴证结果返回给移动APP,同时业务系统通过证书签名服务将该用户信息转发给证书认证中心;
2)PP在移动终端设备上产生移动端的公私钥因子,私钥因子加密保存在移动终端应用沙盒中,公钥因子则传输给认证签名服务,服务端获得移动端公钥因子请求下载用户证书;
3)证书认证中心收到移动端的公钥因子和用户信息后,在证书签名服务端产生公私钥因子,私钥因子保存在服务端加密设备中;
4)移动终端和服务端公钥因子进行交互产生最终完整的公钥,APP生成证书请求,证书认证中心根据请求内容证书签发相应的用户证书。
(二)业务登录过程
用户使用智能手机,在需要与电力系统业务进行交互时,App访问业务系统登录页,业务系统与身份认证中心交互完成身份认证,业务系统根据自身策略验证风险评估信息,如果验证签名通过,评估风险正常则认为认证通过,否则返回认证失败。具体过程包括:
流程说明:
(1)用户使用手机端,在APP中选择证书用户登录;
(2)APP通知业务服务端,业务服务端产生随机数,发送至身份认证服务,证书签名服务根据业务系统发送的随机数产生签名标识(SID),并将SID 返回至APP;
(3)APP发起签名请求并进行签名计算,通过证书签名服务中的签名接口共同对随机数进行协同签名计算;
(4)APP获取签名结果,并将结果返回至APP服务端;
(5)业务系统获取签名结果,调取证书签名服务的验证签名接口进行签名验证,验证成功后,用户登陆成功,否则显示登录失败。
申请提供一种基于安全多方计算的移动终端身份认证系统,能够在不降低业务安全性的情况下,降低对智能终端的密码能力要求,包括密码产生能力、密码安全存储能力、密码计算能力,智能终端可以不再需要专用的密码芯片和硬件模块,就可以实现基于密码技术的身份鉴别,基于硬件密码设备的密钥管理和密码运算能力、配合客户端的智能终端完成认证,可以按照服务策略对认证行为进行控制,不符合策略的系统登录行为拒绝配合完成密码计算,从而避免对认证系统的攻击。解决移动智能终端利用密码技术进行强身份认证的问题。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、 CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和 /或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/ 或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
最后应该说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替,其均应涵盖在本发明的权利要求范围当中。

Claims (8)

1.一种基于安全多方计算的移动终端身份认证系统,其特征在于,包括:
移动终端,用于用户向业务系统发起登录请求;接收认证服务中心发送的数字签名操作请求,对所述操作请求进行确认,并将确认结果及移动终端特征信息发送至认证服务中心;
业务系统,用于接收移动终端的登录请求,生成随机数,向认证服务中心发送认证请求;对认证服务中心返回的数字签名进行验证,判断用户是否允许登录;
认证服务中心,用于验证业务系统身份;根据移动终端发送的数字签名确认结果及移动终端标识信息,生成基于安全多方计算的数字签名,将所述数字签名发送至业务系统进行验证;
证书认证系统,用于根据认证服务中心的请求,向认证服务中心提供用户证书下载凭据并产生激活码。
2.根据权利要求1所述的系统,其特征在于,移动终端在向业务系统发起登录请求之前,还包括:
移动终端获得登录业务系统所需的私钥和用户证书。
3.根据权利要求2所述的系统,其特征在于,移动终端获得登录业务系统所需的密钥和用户证书,包括:
移动终端向业务系统申请用户证书;
业务系统对用户证书申请信息进行验证,若验证通过,业务系统将用户证书申请信息发送至认证服务中心;
认证服务中心向CA获得用户证书下载凭据并产生激活码;
移动终端根据用户证书下载凭据和激活码,生成登录业务系统所需的私钥,与认证服务中心基于安全多方计算的方式协商出用于身份鉴别过程的公钥;
认证服务中心下载用户证书。
4.根据权利要求3所述的系统,其特征在于,所述公钥,通过移动终端与认证服务中心协商获得,公钥的协商过程包括:
移动终端获取自身的特征信息和PIN码,与随机数进行混合计算,获得移动终端密钥Dc,计算Pc=[Dc -1]G,其中,G表示SM2椭圆曲线的基点,该计算公式表示计算多倍点的过程,移动终端将Pc发送给认证服务中心;
认证服务中心产生密钥对(Ds,Ps),计算P=[Ds -1]Pc-G,将P和Ps发送给移动终端;
移动终端计算P’=[Dc -1]Ps-G,比较P’和P,若二者相等则认为协商完成,使用P作为公钥按照标准申请证书的过程向CA申请证书。
5.根据权利要求1所述的系统,其特征在于,移动终端特征信息,包括:
移动终端地理位置信息、IMEI信息。
6.根据权利要求1所述的系统,其特征在于,对认证服务中心返回的数字签名进行验证,判断用户是否允许登录,包括:
业务系统获得认证服务中心返回的数字签名;
业务系统从所述数字签名中获取用户身份;
业务系统判断用户是否允许登录;
业务系统将判断结果发送至移动终端。
7.根据权利要求1所述的系统,其特征在于,生成基于安全多方计算的数字签名,包括:
移动终端访问业务系统,业务系统要求认证,业务系统产生一个随机数发送给认证服务中心,要求用户确认身份认证过程;
认证服务中心,在硬件密码设备中产生随机数k,对需要签名的消息data进行摘要计算,e=Hash(data),e为签名消息的摘要值,Hash为摘要算法;随机数k与SM2椭圆曲线基点G相乘,计算出对应的椭圆曲线上的点Q,其中Q=[k]G,并计算出Q点对应的X、Y轴坐标值(x,y);计算r=(e+x)mod n,r为签名值分量,e为签名消息摘要值,x为Q点X轴坐标值,n为椭圆曲线上的基点G的阶,mod为模运算;计算s1=(k+r)Ds,s1为认证中心计算出的签名值分量s的阶段性结果;将s1发送至移动终端;
移动终端计算s2=s1Dc,发送s2到认证服务中心,s2为移动终端计算出的签名值分量s的阶段性结果;
认证服务中心进行策略判断,判断通过后计算s=s2-r,s为完整的签名值分量;
认证服务中心将数字签名结果发送给业务系统。
8.根据权利要求7所述的系统,其特征在于,所述数字签名结果,由签名值的分量r和s组成。
CN202010429887.1A 2020-05-20 2020-05-20 一种基于安全多方计算的移动终端身份认证系统 Active CN111800377B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010429887.1A CN111800377B (zh) 2020-05-20 2020-05-20 一种基于安全多方计算的移动终端身份认证系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010429887.1A CN111800377B (zh) 2020-05-20 2020-05-20 一种基于安全多方计算的移动终端身份认证系统

Publications (2)

Publication Number Publication Date
CN111800377A CN111800377A (zh) 2020-10-20
CN111800377B true CN111800377B (zh) 2023-03-24

Family

ID=72806540

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010429887.1A Active CN111800377B (zh) 2020-05-20 2020-05-20 一种基于安全多方计算的移动终端身份认证系统

Country Status (1)

Country Link
CN (1) CN111800377B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112039918B (zh) * 2020-09-10 2021-08-06 四川长虹电器股份有限公司 一种基于标识密码算法的物联网可信认证方法
CN112448958B (zh) * 2020-11-30 2022-08-30 南方电网科学研究院有限责任公司 一种域策略下发方法、装置、电子设备和存储介质
CN112651036B (zh) * 2020-12-31 2022-05-27 厦门亿力吉奥信息科技有限公司 基于协同签名的身份认证方法及计算机可读存储介质
CN114338052B (zh) * 2022-03-16 2022-05-31 飞天诚信科技股份有限公司 一种身份认证的实现方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103929306A (zh) * 2014-04-02 2014-07-16 天地融科技股份有限公司 智能密钥设备和智能密钥设备的信息管理方法
CN107483191A (zh) * 2017-08-16 2017-12-15 济南浪潮高新科技投资发展有限公司 一种sm2算法密钥分割签名系统及方法
CN107612940A (zh) * 2017-10-31 2018-01-19 飞天诚信科技股份有限公司 一种身份认证方法及认证装置
CN108809658A (zh) * 2018-07-20 2018-11-13 武汉大学 一种基于sm2的身份基的数字签名方法与系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106487511B (zh) * 2015-08-27 2020-02-04 阿里巴巴集团控股有限公司 身份认证方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103929306A (zh) * 2014-04-02 2014-07-16 天地融科技股份有限公司 智能密钥设备和智能密钥设备的信息管理方法
CN107483191A (zh) * 2017-08-16 2017-12-15 济南浪潮高新科技投资发展有限公司 一种sm2算法密钥分割签名系统及方法
CN107612940A (zh) * 2017-10-31 2018-01-19 飞天诚信科技股份有限公司 一种身份认证方法及认证装置
CN108809658A (zh) * 2018-07-20 2018-11-13 武汉大学 一种基于sm2的身份基的数字签名方法与系统

Also Published As

Publication number Publication date
CN111800377A (zh) 2020-10-20

Similar Documents

Publication Publication Date Title
CN111800377B (zh) 一种基于安全多方计算的移动终端身份认证系统
CN110380852B (zh) 双向认证方法及通信系统
CN108768970B (zh) 一种智能设备的绑定方法、身份认证平台及存储介质
CN107079034B (zh) 一种身份认证的方法、终端设备、认证服务器及电子设备
EP3723399A1 (en) Identity verification method and apparatus
CN110299996B (zh) 认证方法、设备及系统
CN111431719A (zh) 一种移动终端密码保护模块、移动终端及密码保护方法
US10050791B2 (en) Method for verifying the identity of a user of a communicating terminal and associated system
WO2017201809A1 (zh) 终端通信方法及系统
CN103401880B (zh) 一种工业控制网络自动登录的系统及方法
CA2879910C (en) Terminal identity verification and service authentication method, system and terminal
CN109981562B (zh) 一种软件开发工具包授权方法及装置
CN105306490A (zh) 支付验证系统、方法及装置
JP2012530311A5 (zh)
WO2017185450A1 (zh) 终端的认证方法及系统
CN111131300B (zh) 通信方法、终端及服务器
CN106817346B (zh) 一种数据传输方法、装置及电子设备
CN112235235A (zh) 一种基于国密算法的sdp认证协议实现方法
CN104660412A (zh) 一种移动设备无密码安全认证方法及系统
CN103560883A (zh) 一种基于用户权限的安卓应用程序间的安全性鉴定方法
CN110278084B (zh) eID建立方法、相关设备及系统
CN107819766B (zh) 安全认证方法、系统及计算机可读存储介质
CN106209793A (zh) 一种身份验证方法及验证系统
CN114374522B (zh) 一种可信设备认证方法、装置、计算机设备及存储介质
CN107786978B (zh) 基于量子加密的nfc认证系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant