CN112953970A - 一种身份认证方法及身份认证系统 - Google Patents
一种身份认证方法及身份认证系统 Download PDFInfo
- Publication number
- CN112953970A CN112953970A CN202110356081.9A CN202110356081A CN112953970A CN 112953970 A CN112953970 A CN 112953970A CN 202110356081 A CN202110356081 A CN 202110356081A CN 112953970 A CN112953970 A CN 112953970A
- Authority
- CN
- China
- Prior art keywords
- authentication
- user
- user terminal
- certificate
- response message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biodiversity & Conservation Biology (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种身份认证方法及身份认证系统,该系统的服务器端与用户终端之间的通信采用统一认证协议,用户终端连接有认证器元件。认证方法包括:服务器端收到认证请求后,下发认证请求报文至用户终端,等待认证响应消息;服务器端接收到由用户终端生成的认证响应消息后,进行报文验证,同时进行数字证书数字签名验证,下发认证结果;所述认证器元件是指能实现身份特征采集、提取、存储和匹配的终端认证设备。该系统和方法基于统一协议的数字证书安全应用机制,兼容PKI体系,为业务提供统一的认证服务,降低集成部署难度,用户体验好,安全性高,也保护了用户隐私。
Description
技术领域
本发明涉及用户身份认证技术领域,具体涉及一种兼容性好的身份认证方法及身份认证系统。
背景技术
目前业界流行的认证解决方案是通过专用硬件设备管理密钥,针对不同的操作系统、应用软件提供不同的管理工具、插件等方式完成应用侧的使用,通过通信链路将数字签名结果发送至后端完成数字签名验证。
在数字证书使用过程中,需要设计操作系统、基础应用软件(如浏览器等),由于缺乏统一协议支撑,需要用户安装各类管理工具、插件等,多平台兼容难度大、用户使用复杂、体验差;数字证书的安全主要集中在密钥的管理安全,但是对前后端交互过程的安全性,缺乏安全防护机制,出现重放攻击、钓鱼攻击、中间人攻击等安全风险;
PKI/CA机制设计是在80年代,主要是在密钥的管理层面提供了解决方案,做到了统一,但是在应用层面就缺少统一的规范,导致了一系列应用安全和兼容性问题,也使得密码技术应用难于推广使用。
发明内容
本发明的目的是针对现有技术中的上述问题,提供一种兼容性好、安全性高、泛在性强、用户体验好的一种身份认证方法。本发明还提供了一种身份认证系统。
第一方面,本发明提供一种身份认证方法,服务器端与用户终端之间的通信采用统一认证协议,用户终端连接或者内置有认证器元件,认证方法包括:
服务器端收到认证请求后,下发认证请求报文至用户终端,等待认证响应消息;
服务器端接收到由用户终端生成的认证响应消息后,进行报文验证,同时进行数字证书数字签名验证,下发认证结果;
所述认证器元件是指能实现身份特征采集、提取、存储和匹配的终端认证设备;
所述认证响应消息是由用户终端指示认证器元件进行身份验证后,调用由认证器元件生成并存储的用户私钥和数字证书私钥进行数字签名,并遵循统一认证协议组成的。即,认证响应消息是由用户终端最终封装而成并发给服务器的,而认证响应消息的核心部分(如签名消息)由认证器元件产生。
可选或优选的,上述身份认证方法中,所述认证响应消息的生成方式如下:用户终端接收认证请求报文,枚举当前有效数字证书供用户选择一张后,由用户终端向认证器元件发出指令,认证器元件对用户进行身份验证通过后,用户终端调用用户私钥和数字证书私钥进行数字签名,并遵循统一认证协议,生成认证响应消息。
可选或优选的,上述身份认证方法中,所述认证响应消息的生成方式如下:用户终端接收认证请求报文后,直接向认证器元件发出指令,认证器元件对用户进行身份验证通过后,用户终端调用用户私钥和数字证书私钥进行数字签名,并遵循统一认证协议,生成认证响应消息。
可选或优选的,上述身份认证方法中,进行身份认证前,还包括开通认证功能的步骤:
服务器端接收用户终端发来的注册请求后,下发注册请求报文至用户终端,等待注册响应消息;
服务器端接收到注册响应消息后,进行协议格式校验、安全策略验证,对注册响应消息使用设备证书验签,验签通过后,将证书申请信息发送给CA数字证书注册系统;
服务器端接收由CA数字证书注册系统签发的用户数字证书;
所述注册响应消息,由用户终端生成,生成方法是指示认证器元件对用户进行身份验证通过后,由认证器元件生成用户公私钥,同时认证器元件生成证书公私钥,用户私钥和证书私钥存储在认证器元件中,认证器元件将用户公钥、绑定关系、包含证书公钥的证书申请信息三者,使用设备私钥签名,遵循统一认证协议组成。
上述开通认证功能的步骤中,证书公钥上传至服务器端,用于申请数字证书。此外,认证器元件中预置一个设备私钥和相应的设备公钥证书。设备私钥仅用于在注册开通时对认证器元件所产生的消息进行签名,以确保该消息是从认证器元件发出的,且未被篡改。服务器端则使用设备公钥证书进行验签。这里服务器端还通过认证器元件的元数据的方式获得设备根公钥证书,即完整的证书链,然后通过证书链来验签。
第二方面,本发明提供一种身份认证方法,服务器端与用户终端之间的通信采用统一认证协议,用户终端连接有认证器元件,认证方法包括:
用户终端被用户触发认证请求,将认证请求提交至服务器端,等待由服务器端下发的认证请求报文;
接收到认证请求报文后,指示认证器元件进行用户身份验证,验证通过后,调用由认证器元件生成并存储的用户私钥和数字证书私钥进行数字签名,并遵循统一认证协议,生成认证响应消息,返回给服务器端;
接收由服务器端生成的认证结果,展示给用户。
可选或优选的,上述身份认证方法中,用户终端接收到认证请求报文后,枚举当前有效数字证书供用户选择,根据用户选择的一张数字证书,指示认证器元件对用户进行身份验证。
可选或优选的,上述身份认证方法中,进行身份认证前,还包括开通认证功能的步骤:
用户终端被用户触发注册请求并传输至服务器端,接收服务器端下发的注册请求报文,对注册请求报文进行核验后,指示认证器元件进行用户身份验证,将由认证器元件完成验证后生成的用户公钥、绑定关系、包含证书公钥的证书申请信息,使用用户私钥签名,遵循统一认证协议,生成注册响应消息,发送给服务器端;
接收由服务器端从CA数字证书注册系统申领到的数字证书;。
认证器元件在生成用户公钥的同时,还生成用户私钥,以及证书公钥和证书私钥。
第三方面,本发明还提供了一种身份认证系统,包括服务器端、用户终端和认证器元件,用户终端和认证器元件通信或者直接物理连接,服务器端和用户终端通信连接,通信采用统一认证协议;执行以上任一所述的身份认证方法。
与现有技术相比,本发明具有如下有益效果:
1、兼容性好,无论何种认证手段(指纹、声纹、人脸等),都可以使用相同的认证协议完成身份认证。本发明的身份认证方法,基于统一协议的数字证书安全应用机制,方案在兼容PKI体系的基础上,将前端的各类终端(含外界硬件令牌等)认证功能接口、后端认证服务接口、认证交互协议等标准化,形成认证服务基础层,即用户终端,为业务提供统一的认证服务,屏蔽各类终端、平台、应用软件的差异性,降低集成部署难度。
2、安全性高,采用多重校验机制对交互过程的实体进行验证,将风险分散到服务器端和用户终端。在安全上,通过对于认证过程中参与的实体(包括服务、应用、用户、设备、密钥等)增加验证机制,保障交互过程中的安全和密钥访问安全,可有效防范钓鱼、木马、中间人等常见攻击方式,具有完善的安全防护机制和异常风险处理机制。利用了公私钥密码机制。
3、用户体验好,无需记忆复杂口令。在体验上,将身份认证方式与身份认证协议解耦合,能够支持各种身份认证方式(指纹、3D人脸、PIN等)作为多因子认证,给用户更好的认证使用体验,具有非常高的可扩展性。在合规上,符合PKI相关技术规范,实现和已有PKI基础设施的无缝对接。在隐私保护上,用户生物特征(指纹模板)也在安全环境中保存管理并不离开安全域,从而保证了自身的安全性,同时也保护了用户隐私。
4、泛在性强,在终端内的跨APP、浏览器使用,也可以与终端实现互通认证。
附图说明
图1为身份认证系统各部分通信或连接关系示意图(认证器元件外置);
图2为实施例一认证系统示意图;
图3为实施例二认证系统的用户终端整体架构示意图;
图4为实施例二认证系统整体架构示意图。
具体实施方式
下面结合较佳的具体实施例对本发明的技术方案进行清楚、详细地解释和说明,以使本领域技术人员能够更好地理解本发明并予以实施。
名词释义:
用户终端:指用户直接交互的电子终端设备上的应用程序,包括但不限于内置于手机或电脑上或其他电子终端设备上的APP、浏览器、应用内H5等。
认证器元件:是一个逻辑模块,软硬件一体化实现。认证器元件是指能实现身份特征采集、提取、存储和匹配的含相关软件程序的终端认证设备。例如,对于指纹识别来说,认证器元件是指指纹传感器及指纹处理应用的结合。指纹处理应用可以进行指纹采集、特征值提取、特征值存储、特征值匹配等操作。对于声纹识别来说,认证器元件是指麦克风及声纹处理应用的结合。声纹处理应用可以进行声音采集、声纹提取、声纹存储、声纹匹配等操作。为了保障指纹或声纹处理应用软件的安全运行,一般业界采用下面几种安全手段:安全芯片、TEE安全执行环境、白盒软件。可以将指纹或声纹处理应用分别放置到安全芯片、TEE安全执行环境、白盒中运行,这些做法的安全级别是不一样的,在硬件的连接设计方面也有所不同,均为本领域现有技术知识。
服务器端:
请参考图1,为一种身份认证系统,整体为两步式认证的构架体系,包括用户终端、与用户终端连接的认证器元件,以及服务器端,服务器与用户终端通信连接,通信采用统一认证协议;服务器端还用于与CA数字证书注册系统通信连接,以提交证书申请信息以及接收数字证书。服务器端不再保存用户的口令,用户的公私钥是由用户终端在主动注册时动态生成的。
实施例一、以验证指纹为例,说明身份认证方法
1、用户开通证书功能,步骤如下:
前提条件:用户已经在用户终端上开通指纹验证功能,即:终端设备拥有认证器元件可采集、存储及匹配指纹的功能,且用户已经可以使用指纹登录终端设备(解锁)。
(1)用户创建用户名,并完成必要的身份核验后,服务器端下发注册请求报文至用户终端,包括用户标识、随机数、安全策略等。
(2)用户对用户终端接收的注册请求报文进行相应安全核验后,然后用户终端给认证器元件(或独立硬件单元)发出指令,要求用户进行指纹匹配验证,由认证器元件(或独立硬件单元)生成用户公私钥同时生成证书公私钥,将用户私钥和证书私钥安全存储在本地(这里的安全存储可以采用多种技术手段实现,比如安全芯片、TEE可信执行环境、或者白盒软件等业界已知安全手段),将用户公钥及绑定关系、证书申请信息等使用用户私钥签名,遵循统一认证协议组成注册响应消息发送给服务器端;
(3)服务器端接收到注册响应消息后,先进行协议格式校验,再进行安全策略验证,对该上送的注册响应消息使用设备证书验签,验证通过后,将证书申请信息发送给CA数字证书注册系统;
(4)CA数字证书注册系统收到证书申请信息后,进行对应用户数字证书的签发,签发完成后将用户数字证书发送给服务器端,完成数字证书分发。
2、用户认证功能,步骤如下:
前提条件一:用户已经在用户终端的终端设备上开通指纹验证功能,即:终端设备拥有认证器元件可采集、存储及匹配指纹功能,且用户已经可以使用指纹登录终端设备(解锁)。
前提条件二:用户已经完成数字证书开通注册。
第一种认证方式:
(1)用户在用户终端的认证交互界面输入用户名,触发认证请求,传送至服务器端;
(2)触发认证请求后,服务器端下发认证请求报文到用户终端设备侧,传递认证请求报文到用户终端,然后用户终端给认证器元件(或独立硬件单元)发出指令,要求用户进行指纹匹配验证;
(3)用户指纹验证通过后,调用用户私钥和数字证书私钥进行数字签名,遵循统一认证协议组成认证响应消息,返回给服务器端;
(4)服务器端收到认证响应消息后,进行报文验证同时进行数字证书数字签名验证,将认证结果返回给业务系统和客户端;
(5)用户终端将认证结果显示给用户。
第二种认证方式:
(1)用户在用户终端的认证交互界面不输入用户名,直接触发认证请求,认证请求传送至服务器端;
(2)触发认证请求后,服务器端下发认证请求报文到用户终端侧,传递认证请求报文到用户终端,用户终端枚举底层有效数字证书,用户选择一张数字证书,然后用户终端给认证器元件(或独立硬件单元)发出指令,要求对应用户进行指纹匹配验证;
(3)用户指纹验证通过后,调用用户私钥和数字证书私钥进行数字签名,遵循统一认证协议组成认证响应消息,返回给服务器端;
(4)身服务器端收到认证响应消息后,进行报文验证同时进行数字证书数字签名验证,将认证结果返回给业务系统和用户终端;(注:业务系统是指需要使用数字证书进行签名验签的应用服务系统,例如手机银行息系统等)。
(5)用户终端将认证结果显示给用户。
3、用户注销功能,步骤如下:
前提条件一:用户已经在终端设备上开通指纹验证功能,即:终端设备拥有认证器元件可采集、存储及匹配声纹的功能,且用户已经可以使用指纹登录终端设备(解锁)。
前提条件二:用户已经完成注册。
(1)用户输入/选择用户名,并完成指纹验证后,用户终端向服务器端发起注销请求,该注销请求由认证器元件的设备私钥进行签名;
(2)服务器端接收注销请求后,使用认证器元件生成并传送过来的用户公钥进行验签,确认该认证器元件的合法性,然后将该用户名及其用户公钥删除,并将注销结果返回给用户终端;
(3)用户终端接收注销结果,然后给认证器元件发指令,由认证器元件将该用户名及用户私钥删除,并将注销结果显示给用户。
实施例二、指纹鼠标FIDO结合PKI证书进行认证
术语解释:
PKI:支持公开密钥管理并能支持认证、加密、完整性和可追究性服务的基础设施体系。
FIDO:Fast Identity Online,线上快速身份验证联盟,提供完全开放的FIDO统一认证协议。
COS:写在鼠标安全芯片中的执行程序,在本例中包含指纹、FID认证器及PKI相关内容。
当前PC端登录及应用的登录、应用中的交易处理大部分还是使用PIN码的方式进行处理,随着生物特征设备的普及,涌现了指纹KEY、双目摄像头等生物特征设备,生物特征设备具有快速认证,无需口令的特点,让用户通过指纹、人脸等生物特征来进行快速地登录和认证。鼠标作为PC端必须使用的设备,具有无须额外外接设备、不易丢失等特点,FIDO协议是一种线上快速身份认证的协议,具有生物特征不出设备,并绑定密钥的特点,指纹鼠标通过与FIDO协议、PKI证书体系、安全芯片的相结合,达到使用生物特征便捷使用PKI证书的目的。
本实施例的认证系统和实施例一基本相同,包括服务器端、用户终端和认证器元件,本实施例中,认证器元件为指纹鼠标。
1、服务器端,包括FIDO SERVER服务器、业务服务器和签名验签服务器。
FIDO SERVER服务器,用于处理FIDO协议,并转发PKCS#10(以下简称P10)证书申请信息给CA数字证书注册系统,将PKCS#7(以下简称P7)信息转发给签名验签服务器。
业务服务器,用于处理用户终端的业务,收到用户终端相关请求转发给FIDOSERVER服务器端。
签名验签服务器,用于校验P7消息是否正确,以符合金融相关政策规范。
CA数字证书注册系统与服务器端通信连接,用于收到用户证书请求后发行可信任的用户数字证书。
2、用户终端,包括用户WEB端/APP端和APP SDK。
用户WEB端/APP端:客户APP,用于业务层处理,发起注册、认证、注销等相关请求。
APP SDK:用于接口层的处理,对上对接客户APP,对下对接指纹鼠标设备。
3、认证器元件,指纹鼠标。
所有的数据都存储在指纹鼠标安全芯片的FLASH中。
(1)逻辑模块:处理数据的存储及注册、认证、注销相关操作包含认证模块、证书模块。
认证模块用来处理FIDO协议相关,与指纹模块通讯;
证书模块提供产生密钥对,签名、验签、组装PKI相关报文等逻辑的相关安全接口,与安全芯片通讯。
(2)指纹模块:处理指纹的识别、存储。
(3)安全芯片模块:用来产生并存储密钥,安全算法的输出接口(签名、验签等),分为算法模块、存储模块。
算法模块:提供安全算法相关接口;
存储模块:提供安全存储区对关键数据、指纹数据、密钥数据进行存储。
该身份认证系统的注册步骤:
(1)用户创建用户名,并完成必要的身份核验后,提交注册请求至服务器端,服务器端下发注册请求报文至用户终端。
(2)用户对用户终端接收的注册请求报文进行相应安全核验(本地进行生物识别绑定密钥的使用权限)后,然后用户终端给认证器元件指纹鼠标发出指令,要求用户进行指纹匹配验证,由指纹鼠标产生两对秘钥,分别为FIDO密钥(用户公钥和用户私钥对)及PKI密钥(证书公钥和证书私钥)。
将用户私钥和证书私钥安全存储在本地(指纹鼠标的安全芯片),将用户公钥及绑定关系、证书申请信息等使用用户私钥签名,遵循统一认证协议生成注册响应消息发送给服务器端;
(3)服务器端接收到注册响应消息后,由FIDO SERVER服务器进行验证,验证后FIDO SERVER将证书申请信息(P10格式)发送给CA数字证书注册系统。证书的使用符合国家金融相关政策,给用户交易、转账、登录提供了专业、安全、快捷的保障。
(4)CA数字证书注册系统收到证书申请信息后,进行对应用户数字证书的签发,签发完成后将用户数字证书发送给服务器端,完成数字证书分发。
认证步骤:
(1)用户在用户终端的认证交互界面输入用户名,触发认证请求,传送至服务器端。
(2)触发认证请求后,服务器端下发认证请求报文到用户终端设备侧,传递认证请求报文到用户终端,然后用户终端给认证器元件指纹鼠标发出指令,要求用户进行指纹匹配验证。
(3)指纹鼠标在本地进行生物识别,获取FIDO及PKI密钥的使用权限,使用FIDO私钥数据对用户关键数据进行签名,使用PKI私钥对交易数据、登录数据、文件数据进行签名,并组装P7格式消息,生成认证响应消息,返回给服务器端。
(4)服务器端收到认证响应消息后,在FIDO SERVER端,对FIDO数据进行验签,并将P7消息转发给签名延签服务器,验证完成后,将认证结果返回给业务系统和客户端。既保证了便捷性,又使用户的交易、登录、文件签名更加安全。
(5)用户终端将认证结果显示给用户。
该认证系统,采用SE安全芯片存储用户的证书私钥和用户私钥、指纹及关键数据,保证用户私钥和证书私钥、指纹不出安全芯片,从根本上使鼠标成为一个安全设备。
系统采用PKI体系,接入国家认可的CA数字证书注册系统,符合国家相关政策,可使用大额交易、转账、登录、文件签名等。本地生物识别验证不出设备,与FIDO协议结合后,安全、快捷的使用证书进行处理相关业务。
本文中应用了具体个例对发明构思进行了详细阐述,以上实施例的说明只是用于帮助理解本发明的核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离该发明构思的前提下,所做的任何显而易见的修改、等同替换或其他改进,均应包含在本发明的保护范围之内。
Claims (8)
1.一种身份认证方法,其特征在于,服务器端与用户终端之间的通信采用统一认证协议,用户终端连接或者内置有认证器元件,认证方法包括:
服务器端收到认证请求后,下发认证请求报文至用户终端,等待认证响应消息;
服务器端接收到由用户终端生成的认证响应消息后,进行报文验证,同时进行数字证书数字签名验证,下发认证结果;
所述认证器元件是指能实现身份特征采集、提取、存储和匹配的终端认证设备;
所述认证响应消息是由用户终端指示认证器元件进行身份验证后,调用由认证器元件生成并存储的用户私钥和证书私钥进行数字签名,并遵循统一认证协议组成的。
2.根据权利要求1所述的身份认证方法,其特征在于,所述认证响应消息的生成方式如下:用户终端接收认证请求报文,枚举当前有效数字证书供用户选择一张后,由用户终端向认证器元件发出指令,认证器元件对用户进行身份验证通过后,用户终端调用用户私钥和数字证书私钥进行数字签名,并遵循统一认证协议,生成认证响应消息。
3.根据权利要求1所述的身份认证方法,其特征在于,所述认证响应消息的生成方式如下:用户终端接收认证请求报文后,直接向认证器元件发出指令,认证器元件对用户进行身份验证通过后,用户终端调用用户私钥和数字证书私钥进行数字签名,并遵循统一认证协议,生成认证响应消息。
4.根据权利要求1所述的身份认证方法,其特征在于,进行身份认证前,还包括开通认证功能的步骤:
服务器端接收用户终端发来的注册请求后,下发注册请求报文至用户终端,等待注册响应消息;
服务器端接收到注册响应消息后,进行协议格式校验、安全策略验证,对注册响应消息使用设备证书验签,验签通过后,将证书申请信息发送给CA数字证书注册系统;
服务器端接收由CA数字证书注册系统签发的用户数字证书;
所述注册响应消息,由用户终端生成,生成方法是指示认证器元件对用户进行身份验证通过后,由认证器元件生成用户公私钥,同时认证器元件生成证书公私钥,用户私钥和证书私钥存储在认证器元件中,认证器元件将用户公钥、绑定关系、包含证书公钥的证书申请信息三者,使用设备私钥签名,遵循统一认证协议组成。
5.一种身份认证方法,其特征在于,服务器端与用户终端之间的通信采用统一认证协议,用户终端连接有认证器元件,认证方法包括:
用户终端被用户触发认证请求,将认证请求提交至服务器端,等待由服务器端下发的认证请求报文;
接收到认证请求报文后,指示认证器元件进行用户身份验证,验证通过后,调用由认证器元件生成并存储的用户私钥和数字证书私钥进行数字签名,并遵循统一认证协议,生成认证响应消息,返回给服务器端;
接收由服务器端生成的认证结果,展示给用户。
6.根据权利要求5所述的身份认证方法,其特征在于,用户终端接收到认证请求报文后,枚举当前有效数字证书供用户选择,根据用户选择的一张数字证书,指示认证器元件对用户进行身份验证。
7.根据权利要求5所述的身份认证方法,其特征在于,进行身份认证前,还包括开通认证功能的步骤:
用户终端被用户触发注册请求并传输至服务器端,接收服务器端下发的注册请求报文,对注册请求报文进行核验后,指示认证器元件进行用户身份验证,将由认证器元件完成验证后生成的用户公钥、绑定关系、包含证书公钥的证书申请信息,使用用户私钥签名,遵循统一认证协议,生成注册响应消息,发送给服务器端;
接收由服务器端从CA数字证书注册系统申领到的数字证书;
认证器元件在生成用户公钥的同时,还生成用户私钥,以及证书公钥和证书私钥。
8.一种身份认证系统,其特征在于,包括服务器端、用户终端和认证器元件,用户终端和认证器元件通信或者直接物理连接,服务器端和用户终端通信连接,通信采用统一认证协议;执行权利要求1-7任一所述的身份认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110356081.9A CN112953970B (zh) | 2021-04-01 | 2021-04-01 | 一种身份认证方法及身份认证系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110356081.9A CN112953970B (zh) | 2021-04-01 | 2021-04-01 | 一种身份认证方法及身份认证系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112953970A true CN112953970A (zh) | 2021-06-11 |
| CN112953970B CN112953970B (zh) | 2023-04-18 |
Family
ID=76232043
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110356081.9A Active CN112953970B (zh) | 2021-04-01 | 2021-04-01 | 一种身份认证方法及身份认证系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112953970B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113591057A (zh) * | 2021-08-05 | 2021-11-02 | 国民认证科技(北京)有限公司 | 生物特征离线身份识别方法及系统 |
| CN113591053A (zh) * | 2021-07-23 | 2021-11-02 | 上海瓶钵信息科技有限公司 | 通用性的移动设备基于生物信息的识别方法及系统 |
| CN113742710A (zh) * | 2021-09-14 | 2021-12-03 | 广东中星电子有限公司 | 双向认证系统 |
| CN113849815A (zh) * | 2021-08-26 | 2021-12-28 | 兰州大学 | 一种基于零信任和机密计算的统一身份认证平台 |
| CN114448725A (zh) * | 2022-03-22 | 2022-05-06 | 北京一砂信息技术有限公司 | 一种设备认证方法、系统及存储介质 |
| CN114938281A (zh) * | 2022-07-21 | 2022-08-23 | 飞天诚信科技股份有限公司 | 一种安全设备的实现方法及安全设备 |
| CN115834074A (zh) * | 2022-10-18 | 2023-03-21 | 支付宝(杭州)信息技术有限公司 | 一种身份认证方法、装置及设备 |
| CN116866093A (zh) * | 2023-09-05 | 2023-10-10 | 鼎铉商用密码测评技术(深圳)有限公司 | 身份认证方法、身份认证设备以及可读存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101765108A (zh) * | 2009-07-01 | 2010-06-30 | 北京华胜天成科技股份有限公司 | 基于移动终端的安全认证服务平台系统、装置和方法 |
| CN104506534A (zh) * | 2014-12-25 | 2015-04-08 | 青岛微智慧信息有限公司 | 安全通信密钥协商交互方案 |
| CN106487511A (zh) * | 2015-08-27 | 2017-03-08 | 阿里巴巴集团控股有限公司 | 身份认证方法及装置 |
| WO2017197974A1 (zh) * | 2016-05-20 | 2017-11-23 | 中国银联股份有限公司 | 一种基于生物特征的安全认证方法、装置及电子设备 |
-
2021
- 2021-04-01 CN CN202110356081.9A patent/CN112953970B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101765108A (zh) * | 2009-07-01 | 2010-06-30 | 北京华胜天成科技股份有限公司 | 基于移动终端的安全认证服务平台系统、装置和方法 |
| CN104506534A (zh) * | 2014-12-25 | 2015-04-08 | 青岛微智慧信息有限公司 | 安全通信密钥协商交互方案 |
| CN106487511A (zh) * | 2015-08-27 | 2017-03-08 | 阿里巴巴集团控股有限公司 | 身份认证方法及装置 |
| WO2017197974A1 (zh) * | 2016-05-20 | 2017-11-23 | 中国银联股份有限公司 | 一种基于生物特征的安全认证方法、装置及电子设备 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113591053A (zh) * | 2021-07-23 | 2021-11-02 | 上海瓶钵信息科技有限公司 | 通用性的移动设备基于生物信息的识别方法及系统 |
| CN113591057A (zh) * | 2021-08-05 | 2021-11-02 | 国民认证科技(北京)有限公司 | 生物特征离线身份识别方法及系统 |
| CN113849815A (zh) * | 2021-08-26 | 2021-12-28 | 兰州大学 | 一种基于零信任和机密计算的统一身份认证平台 |
| CN113849815B (zh) * | 2021-08-26 | 2022-04-22 | 兰州大学 | 一种基于零信任和机密计算的统一身份认证平台 |
| CN113742710A (zh) * | 2021-09-14 | 2021-12-03 | 广东中星电子有限公司 | 双向认证系统 |
| CN114448725A (zh) * | 2022-03-22 | 2022-05-06 | 北京一砂信息技术有限公司 | 一种设备认证方法、系统及存储介质 |
| CN114938281A (zh) * | 2022-07-21 | 2022-08-23 | 飞天诚信科技股份有限公司 | 一种安全设备的实现方法及安全设备 |
| CN114938281B (zh) * | 2022-07-21 | 2022-11-04 | 飞天诚信科技股份有限公司 | 一种安全设备的实现方法及安全设备 |
| WO2024016829A1 (zh) * | 2022-07-21 | 2024-01-25 | 飞天诚信科技股份有限公司 | 一种安全设备的实现方法及安全设备 |
| CN115834074A (zh) * | 2022-10-18 | 2023-03-21 | 支付宝(杭州)信息技术有限公司 | 一种身份认证方法、装置及设备 |
| CN115834074B (zh) * | 2022-10-18 | 2023-07-21 | 支付宝(杭州)信息技术有限公司 | 一种身份认证方法、装置及设备 |
| CN116866093A (zh) * | 2023-09-05 | 2023-10-10 | 鼎铉商用密码测评技术(深圳)有限公司 | 身份认证方法、身份认证设备以及可读存储介质 |
| CN116866093B (zh) * | 2023-09-05 | 2024-01-05 | 鼎铉商用密码测评技术(深圳)有限公司 | 身份认证方法、身份认证设备以及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112953970B (zh) | 2023-04-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112953970B (zh) | 一种身份认证方法及身份认证系统 | |
| CN106664208B (zh) | 使用安全传输协议建立信任的系统和方法 | |
| CN109150548B (zh) | 一种数字证书签名、验签方法及系统、数字证书系统 | |
| JP6012125B2 (ja) | 問い合わせ型トランザクションによる強化された2chk認証セキュリティ | |
| JP6648110B2 (ja) | クライアントをデバイスに対して認証するシステム及び方法 | |
| CN101414909B (zh) | 网络应用用户身份验证系统、方法和移动通信终端 | |
| EP2859488B1 (en) | Enterprise triggered 2chk association | |
| US7188360B2 (en) | Universal authentication mechanism | |
| CN109981561A (zh) | 单体架构系统迁移到微服务架构的用户认证方法 | |
| CN106850201B (zh) | 智能终端多因子认证方法、智能终端、认证服务器及系统 | |
| TW201741922A (zh) | 一種基於生物特徵的安全認證方法及裝置 | |
| JP2018532301A (ja) | 本人認証方法及び装置 | |
| CN111431719A (zh) | 一种移动终端密码保护模块、移动终端及密码保护方法 | |
| CN107358419A (zh) | 机载终端支付鉴权方法、装置以及系统 | |
| CN106452782A (zh) | 为终端设备生成安全通信信道的方法和系统 | |
| CN110278180B (zh) | 金融信息的交互方法、装置、设备及存储介质 | |
| CN110620763B (zh) | 一种基于移动端app的移动身份认证方法及系统 | |
| KR100939725B1 (ko) | 모바일 단말기 인증 방법 | |
| CN109150547A (zh) | 一种基于区块链的数字资产实名登记的系统和方法 | |
| JP2022527798A (ja) | 効率的なチャレンジ応答認証のためのシステム及び方法 | |
| KR101348079B1 (ko) | 휴대단말을 이용한 전자서명 시스템 | |
| CN113872989A (zh) | 基于ssl协议的认证方法、装置、计算机设备和存储介质 | |
| KR102123405B1 (ko) | 보안 회원가입 및 로그인 호스팅 서비스 제공 시스템 및 그 방법 | |
| WO2011060739A1 (zh) | 一种安全系统及方法 | |
| KR20170010691A (ko) | 비밀스런 인증데이터 관리가 필요 없는 인증시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: Part 4-5, No. 789 Jingwei Avenue, Shiyou Road Street, Yuzhong District, Chongqing 400042 Patentee after: National Certification Technology (Chongqing) Co.,Ltd. Address before: 801-g8-1, 8 / F, building 2, 6 Shangdi West Road, Haidian District, Beijing 100085 Patentee before: GUOMIN AUTHENTICATION TECHNOLOGY (BEIJING) CO.,LTD. |