CN112989309A - 基于多方授权的登录方法、认证方法、系统及计算设备 - Google Patents
基于多方授权的登录方法、认证方法、系统及计算设备 Download PDFInfo
- Publication number
- CN112989309A CN112989309A CN202110555155.1A CN202110555155A CN112989309A CN 112989309 A CN112989309 A CN 112989309A CN 202110555155 A CN202110555155 A CN 202110555155A CN 112989309 A CN112989309 A CN 112989309A
- Authority
- CN
- China
- Prior art keywords
- certificate
- information
- signed
- signature
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000013475 authorization Methods 0.000 title claims abstract description 127
- 238000000034 method Methods 0.000 title claims abstract description 74
- 238000004364 calculation method Methods 0.000 claims abstract description 42
- 238000012795 verification Methods 0.000 claims description 67
- 239000011159 matrix material Substances 0.000 claims description 21
- 210000003462 vein Anatomy 0.000 claims description 3
- 238000004891 communication Methods 0.000 description 20
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 8
- 230000008569 process Effects 0.000 description 7
- 238000012545 processing Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000007723 transport mechanism Effects 0.000 description 2
- 238000005336 cracking Methods 0.000 description 1
- 238000007667 floating Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于多方授权的登录方法,在客户端执行,包括步骤:获取多个授权信息;生成第一证书对应的第一密钥对,所述第一密钥对包括相匹配的第一公钥和第一私钥;获取第二证书,所述第二证书包括相匹配的第二公钥和第二私钥;基于第二私钥对所述多个授权信息和第一证书的待签名信息进行签名计算,以生成包括签名数据的第一证书;以及基于账号信息、第一证书和第二证书向目标服务器发送登录请求。本发明一并公开了相应的认证方法、登录认证系统和计算设备。根据本发明的技术方案,提高了认证安全度和可信度。
Description
技术领域
本发明涉及签名验证技术领域,尤其涉及一种基于多方授权的登录方法、基于多方授权的认证方法、登录认证系统及计算设备。
背景技术
目前,国密X509 证书的授权签名验证技术在通信领域起着关键的作用。国密X509证书由证书文本数据和证书国密签名数据组成,证书国密签名数据是通过SM2算法和SM3算法对证书待签名摘要数据进行加密的密文数据。国密证书待签名摘要数据是由Z摘要和证书文本摘要数据M构成,Z摘要通常由固定值组成。
现有技术中,通常是基于国密签名算法对证书待签名摘要数据进行私钥签名和公钥验签的计算,国密X509证书的签名者仅实现了单方授权签名验证。对于当前复杂的通信环境,基于传统的CA认证机构单方授权的签名验证方案,无法做到细致的授权管理,并且,安全度和可信度较低,经常会出现用户密码泄露或者用户被冒名顶替的情况。因此,单方授权的签名验证技术不能满足当前环境对安全通信的需求。
为此,需要一种基于多方授权的登录认证方案,以解决上述技术方案中存在的问题。
发明内容
为此,本发明提供一种基于多方授权的登录方法、基于多方授权的认证方法、登录认证系统及计算设备,以解决或至少缓解上面存在的问题。
根据本发明的一个方面,提供一种基于多方授权的登录方法,在客户端执行,包括步骤:获取多个授权信息;生成第一证书对应的第一密钥对,所述第一密钥对包括相匹配的第一公钥和第一私钥;获取第二证书,所述第二证书包括相匹配的第二公钥和第二私钥;基于第二私钥对所述多个授权信息和第一证书的待签名信息进行签名计算,以生成包括签名数据的第一证书;以及基于账号信息、第一证书和第二证书向目标服务器发送登录请求。
可选地,在根据本发明的基于多方授权的登录方法中,对所述多个授权信息和待签名信息进行签名计算的步骤包括:基于多个授权信息组合生成摘要矩阵,通过计算所述摘要矩阵得到认证标识值;基于第二私钥对所述认证标识值和第一待签名信息进行签名计算。
可选地,在根据本发明的基于多方授权的登录方法中,基于第二私钥对所述认证标识值和待签名信息进行签名计算的步骤包括:基于所述认证标识值计算生成第一摘要;获取第一证书的待签名信息,所述待签名信息包括第一公钥;基于所述第一摘要和待签名信息生成待签名摘要数据;基于所述第二私钥对所述待签名摘要数据进行签名计算,生成签名数据。
可选地,在根据本发明的基于多方授权的登录方法中,所述授权信息包括生物识别信息或密码。
可选地,在根据本发明的基于多方授权的登录方法中,所述生物识别信息包括指纹特征信息、人脸识别特征信息、静脉识别特征信息中的一种或多种。
根据本发明的一个方面,提供一种基于多方授权的认证方法,在登录认证系统中执行,包括步骤:接收客户端发送的登录请求,所述登录请求中包括账号信息、第一证书和第二证书;基于所述账号信息获取相应的多个授权信息,并基于第二证书的签发者名称获取相应的第三证书;根据第二证书中的第二公钥和基于账号信息获取的多个授权信息,对第一证书的签名数据进行验证;基于第三证书中的公钥对第二证书的签名数据进行验证;以及如果对第一证书的签名数据、第二证书的签名数据均验证通过,则向客户端返回登录成功后的页面。
可选地,在根据本发明的基于多方授权的认证方法中,对第一证书的签名数据进行验证的步骤包括:基于所述多个授权信息组合生成摘要矩阵,通过计算所述摘要矩阵得到认证标识值;基于所述认证标识值计算生成第一摘要;获取第一证书的待签名信息和相应的签名数据;基于所述第一摘要和待签名信息生成待签名摘要数据;基于所述第二公钥对所述待签名摘要数据进行验签计算,以确定第一证书的签名数据是否验证通过。
根据本发明的一个方面,提供一种登录认证系统,包括:目标服务器,适于接收客户端发送的登录请求,所述登录请求中包括账号信息、第一证书和第二证书;并适于在确定第一证书、第二证书均验证通过时,向客户端返回登录成功的页面;以及认证服务器,与目标服务器相连,适于从目标服务器获取账号信息、第一证书和第二证书,基于所述账号信息获取相应的多个授权信息,并基于第二证书的签发者名称获取相应的第三证书;并适于基于第二证书中的第二公钥和获取的多个授权信息对第一证书的签名数据进行验证,基于第三证书中的公钥对第二证书的签名数据进行验证,并将验证结果返回至目标服务器。
可选地,在根据本发明的登录认证系统中,还包括:客户端,与目标服务器相连,适于执行如上所述的基于多方授权的登录方法。
根据本发明的一个方面,提供一种计算设备,包括:至少一个处理器;存储器,存储有程序指令,其中,程序指令被配置为适于由上述至少一个处理器执行,所述程序指令包括用于执行如上所述的方法的指令。
根据本发明的一个方面,提供一种存储有程序指令的可读存储介质,当该程序指令被计算设备读取并执行时,使得该计算设备执行如上所述的方法。
根据本发明的技术方案,提供了一种基于多方授权的登录方法和认证方法,通过增加基于客户端的鉴权装置生成的关联多方授权信息的第一证书,例如,多方授权信息中可以包括一个或多个生物识别信息,使得多方授权信息共同参与证书的签名验证计算。这样,能够有效避免用户密码泄露或者用户被冒名顶替的问题。并且,基于生成的第一证书,本发明基于包括第一证书和第二证书的证书链来进行签名验证,具体地,基于第二证书对第一证书进行签名验证,基于CA证书对第二证书进行签名验证。这样,形成基于多个认证主体的多方授权认证体系,进一步提高了认证安全度和可信度。
此外,本发明基于摘要矩阵来计算多个授权信息的认证标识值,能够确保多方授权信息的安全。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
为了实现上述以及相关目的,本文结合下面的描述和附图来描述某些说明性方面,这些方面指示了可以实践本文所公开的原理的各种方式,并且所有方面及其等效方面旨在落入所要求保护的主题的范围内。通过结合附图阅读下面的详细描述,本公开的上述以及其它目的、特征和优势将变得更加明显。遍及本公开,相同的附图标记通常指代相同的部件或元素。
图1示出了根据本发明一个实施例的登录认证系统100的示意图;
图2示出了根据本发明一个实施例的计算设备200的示意图;
图3示出了根据本发明一个实施例的基于多方授权的登录方法300的流程图;以及
图4示出了根据本发明一个实施例的基于多方授权的认证方法400的流程图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
图1示出了根据本发明一个实施例的登录认证系统100的示意图。
如图1所示,登录认证系统100包括一个或多个客户端110、目标服务器120、认证服务器130。一个或多个客户端110与目标服务器120通信连接,且客户端110可以与认证服务器130通信连接,例如通过有线或无线的方式网络连接。目标服务器120与认证服务器130通信连接。这里,认证服务器130例如可以是CA认证服务器,但本发明不限于此。
客户端110即用户所使用的终端设备,其具体可以是桌面电脑、笔记本电脑等个人计算机,也可以是手机、平板电脑、多媒体设备、智能可穿戴设备等,但不限于此。
目标服务器120可以向客户端110提供访问服务。其中,客户端110需获得目标服务器120的访问许可,换言之,客户端110需要基于授权凭据信息向目标服务器120发送登录请求,目标服务器120在确认授权凭据信息验证通过之后,可以向客户端110返回登录成功后的访问页面,以许可客户端110访问。
应当指出,本发明对目标服务器120的具体种类不做限制,目标服务器120可以实现为为桌面电脑、笔记本电脑、处理器芯片、手机、平板电脑等计算设备,也可以实现为由多个计算设备组成的系统。另外,本发明对目标服务器120的服务类型也不做限制。在一个实施例中,目标服务器120可以实现为金库系统,但不限于此。
在一个实施例中,客户端110包括鉴权装置,换言之,客户端110与鉴权装置相连。客户端110可以基于鉴权装置生成第一证书对应的第一密钥对,第一密钥对包括相匹配的第一公钥和第一私钥。并且,客户端110可以从鉴权装置中获取第二证书,第二证书包括第二公钥和对应的第二私钥。在一个实施例中,鉴权装置例如是UKEY,第二证书例如为UKEY证书,但本发明不限于此。
根据本发明的实施例,客户端110可以获取多个授权信息作为访问目标服务器120的授权凭据信息,并基于第二证书对应的第二私钥对多个授权信息和第一证书的待签名信息(第一待签名信息)进行签名计算,以便生成第一证书。具体地,通过对多个授权信息待签名信息进行签名计算生成第一证书的签名数据,根据签名数据和证书信息可以生成第一证书。应当理解,第一证书包括签名计算生成的签名数据以及证书信息,这里,证书信息例如可以包括证书所使用的签名算法、证书公钥(第一公钥)、证书名称、证书有效期等信息,但不限于此。
还应当指出,由于第一证书的签名数据是客户端110基于第二证书中的第二私钥进行签名计算生成,这样,可以基于第二证书中的第二公钥对第一证书的签名数据进行签名验证。
应当指出,第二证书的签名数据可以基于第三证书中的公钥来进行签名验证。第三证书例如为CA证书,但不限于此。
根据一个实施例,客户端110在对多个授权信息和第一待签名信息进行签名计算时,可以基于多个授权信息来计算生成认证标识值IDA,具体地,基于多个授权信息组合生成摘要矩阵,通过计算摘要矩阵可以得到认证标识值IDA。进而,可以利用摘要算法对认证标识值IDA进行摘要计算生成第一摘要,第一摘要可以表示为ZA。可以理解,这里生成的第一摘要ZA是基于认证标识值IDA生成的,因此,第一摘要ZA是与多个授权信息相关的数据。
并且,客户端110通过获取第一证书的待签名信息M,基于第一摘要ZA和待签名信息M进行拼接生成待签名摘要数据。在一个实施例中,待签名信息可以包括第一证书的第一公钥,还可以包括证书名称、时间等信息。可以理解,待签名信息可以是与第一证书的第一公钥相关的数据,而第一摘要ZA是与多个授权信息相关的数据,这样,待签名摘要数据可以是基于多个授权信息、第一公钥生成的需要进行签名的数据。
随后,客户端110可以基于第二私钥对待签名摘要数据进行签名计算,生成签名数据。该签名数据即是第一证书的签名数据。从而,能够得到包括签名数据的第一证书,并且,第一证书的签名数据可以由服务器基于第二证书的第二公钥来进行签名验证。
在生成第一证书之后,客户端110可以基于账号信息、第一证书和第二证书向目标服务器120发送登录请求。
目标服务器120通过与其相连的认证服务器130来对第一证书和第二证书进行签名认证,并在确定两个证书均验证通过之后,才会确定签名认证通过,向客户端110返回登录成功的页面,以许可客户端110访问。
具体而言,目标服务器120在接收到客户端110发送的登录请求后,将登录请求中的账号信息、第一证书和第二证书发送至与其相连的认证服务器130,由认证服务器130对第一证书和第二证书进行签名验证,并向目标服务器120返回对证书的签名验证结果。其中,认证服务器130在对签名验证通过后,向目标服务器120返回验证通过的结果。目标服务器120根据验证通过的结果,允许客户端110登录,并向客户端110返回登录成功后的页面。
需要说明的是,根据本发明的实施例,第一证书和第二证书组成了相关联的多方授权认证的证书链,认证服务器130需要对证书链进行签名验证,其中第二证书用于对第一证书进行签名验证。应当指出,本发明中用于多方授权认证的证书链并不限于上述第一证书和第二证书的组合,还可以包括其他来源的证书。
根据一个实施例,认证服务器130可以基于账号信息获取相应的多个授权信息。并且,认证服务器130可以基于第二证书的签发者名称来获取相应的第三证书。这里,第三证书是认证服务器130提供的。这样,认证服务器130可以基于第二证书中的第二公钥和获取的多个授权信息,对第一证书的签名数据进行验证,以确定第一证书的签名数据是否验证通过。并且,认证服务器130可以基于第三证书中的公钥对第二证书的签名数据进行验证,以确定第二证书的签名数据是否验证通过。
如果认证服务器130对第一证书的签名数据、第二证书的签名数据均验证通过,则验证成功。认证服务器130将验证成功的结果返回至目标服务器120。目标服务器120在获取到验证成功的结果后,向客户端110返回登录成功后的页面,以许可客户端110访问。
在一个实施例中,认证服务器130可以是CA认证服务器,相应地,第三证书是经由CA认证服务器授权认证的CA证书。
在一个实施例中,在对第一证书的签名数据进行验证时,首先,认证服务器130可以基于多个授权信息来计算生成认证标识值IDA,具体地,基于获取的多个授权信息组合生成摘要矩阵,通过计算摘要矩阵可以得到认证标识值IDA。随后,基于认证标识值IDA计算生成第一摘要ZA。
并且,认证服务器130通过获取第一证书的待签名信息M2和相应的签名数据,基于第一摘要ZA和待签名信息M2进行拼接生成待签名摘要数据。这里,为了与客户端110获取的待签名信息进行区分,将认证服务器130获取的待签名信息表示为M2。获取的签名数据即是前述客户端110基于第二私钥对待签名摘要数据进行签名计算生成的签名数据,可用于验签过程的比对依据。
这样,认证服务器130可以基于第二证书中的第二公钥对待签名摘要数据和获取到的签名数据进行验签计算,通过对比验证条件是否相同,来确定第一证书的签名数据是否验证通过。
综上,根据本发明的系统100,通过增加基于客户端的鉴权装置生成的关联多方授权信息的第一证书,例如,多方授权信息中可以包括一个或多个生物识别信息,使得多方授权信息共同参与证书的签名验证计算。这样,能够有效避免用户密码泄露或者用户被冒名顶替的问题。并且,基于生成的第一证书,本发明基于包括第一证书和第二证书的证书链来进行签名验证,具体地,基于第二证书对第一证书进行签名验证,基于CA证书对第二证书进行签名验证。这样,形成基于多个认证主体的多方授权认证体系,进一步提高了认证安全度和可信度。此外,本发明基于摘要矩阵来计算多个授权信息的认证标识值,能够确保多方授权信息的安全。
在一个实施例中,本发明中的客户端110适于执行基于多方授权的登录方法300。本发明的基于多方授权的登录方法300将在下文中详述。
在一个实施例中,本发明中的登录认证系统100中的服务器适于执行基于多方授权的认证方法400。本发明的基于多方授权的认证方法400将在下文中详述。
在一个实施例中,本发明中的客户端110、目标服务器120、认证服务器130分别可以实现为一种计算设备。客户端110实现为计算设备时,使得本发明的基于多方授权的登录方法300可以在计算设备中执行。
图2示出了根据本发明一个实施例的计算设备200的结构图。如图2所示,在基本的配置202中,计算设备200典型地包括系统存储器206和一个或者多个处理器204。存储器总线208可以用于在处理器204和系统存储器206之间的通信。
取决于期望的配置,处理器204可以是任何类型的处理,包括但不限于:微处理器(UP)、微控制器(UC)、数字信息处理器(DSP)或者它们的任何组合。处理器204可以包括诸如一级高速缓存210和二级高速缓存212之类的一个或者多个级别的高速缓存、处理器核心214和寄存器216。示例的处理器核心214可以包括运算逻辑单元(ALU)、浮点数单元(FPU)、数字信号处理核心(DSP核心)或者它们的任何组合。示例的存储器控制器218可以与处理器204一起使用,或者在一些实现中,存储器控制器218可以是处理器204的一个内部部分。
取决于期望的配置,系统存储器206可以是任意类型的存储器,包括但不限于:易失性存储器(诸如RAM)、非易失性存储器(诸如ROM、闪存等)或者它们的任何组合。系统存储器106可以包括操作系统220、一个或者多个应用222以及程序数据224。应用222实际上是多条程序指令,其用于指示处理器204执行相应的操作。在一些实施方式中,应用222可以布置为在操作系统上使得处理器204利用程序数据224进行操作。
计算设备200还包括储存设备232,储存设备232包括可移除储存器236和不可移除储存器238。
计算设备200还可以包括储存接口总线234。储存接口总线234实现了从储存设备232(例如,可移除储存器236和不可移除储存器238)经由总线/接口控制器230到基本配置202的通信。操作系统220、应用222以及数据224的至少一部分可以存储在可移除储存器236和/或不可移除储存器238上,并且在计算设备200上电或者要执行应用222时,经由储存接口总线234而加载到系统存储器206中,并由一个或者多个处理器204来执行。
计算设备200还可以包括有助于从各种接口设备(例如,输出设备242、外设接口244和通信设备246)到基本配置202经由总线/接口控制器230的通信的接口总线240。示例的输出设备242包括图形处理单元248和音频处理单元250。它们可以被配置为有助于经由一个或者多个A/V端口252与诸如显示器或者扬声器之类的各种外部设备进行通信。示例外设接口244可以包括串行接口控制器254和并行接口控制器256,它们可以被配置为有助于经由一个或者多个I/O端口258和诸如输入设备(例如,键盘、鼠标、笔、语音输入设备、触摸输入设备)或者其他外设(例如打印机、扫描仪等)之类的外部设备进行通信。示例的通信设备246可以包括网络控制器260,其可以被布置为便于经由一个或者多个通信端口264与一个或者多个其他计算设备262通过网络通信链路的通信。
网络通信链路可以是通信介质的一个示例。通信介质通常可以体现为在诸如载波或者其他传输机制之类的调制数据信号中的计算机可读指令、数据结构、程序模块,并且可以包括任何信息递送介质。“调制数据信号”可以这样的信号,它的数据集中的一个或者多个或者它的改变可以在信号中以编码信息的方式进行。作为非限制性的示例,通信介质可以包括诸如有线网络或者专线网络之类的有线介质,以及诸如声音、射频(RF)、微波、红外(IR)或者其它无线介质在内的各种无线介质。这里使用的术语计算机可读介质可以包括存储介质和通信介质二者。
在根据本发明的计算设备200中,应用222包括用于执行基于多方授权的登录方法300的多条程序指令,这些程序指令可以指示处理器204执行本发明的基于多方授权的登录方法300,使得本发明的基于多方授权的登录方法300可以在计算设备200中执行。
图3示出了根据本发明一个实施例的基于多方授权的登录方法300的流程图。方法300适于在客户端110(例如前述计算设备200)中执行。客户端110分别与目标服务器120、认证服务器130通信连接。
如图3所示,方法300始于步骤S310。
在步骤S310中,获取多个授权信息。这里,多个授权信息也即是作为访问目标服务器120的授权凭据信息。
需要说明的是,获取的多个授权信息可以包括用户的多种授权信息,也可以包括多个不同用户的授权信息。这里,本发明对多个授权信息的来源不做限定。
根据一个实施例,授权信息可以包括生物识别信息、静态密码。生物识别信息例如包括指纹特征信息、人脸识别特征信息、静脉识别特征信息等,但不限于此。
应当理解,多个授权信息可以包括用户的一种或多种生物识别信息、密码、网络IP段信息,也可以包括用户的多种生物识别信息,或者,可以包括多个用户的生物识别信息或密码。应当指出,本发明对多个授权信息的具体种类和来源均不做限定。多个授权信息可以由本领域技术人员根据实际需求自行设置。
随后,在步骤S320中,基于鉴权装置生成第一证书对应的第一密钥对。这里,第一密钥对包括相匹配的第一公钥和第一私钥。这里,第一证书是在执行下述步骤S330~S340后生成。应当指出,第一密钥对是在客户端110生成的。
在一种实施方式中,鉴权装置例如是UKEY,但不限于此。
在步骤S330中,获取第二证书。这里,第二证书包括相匹配的第二公钥和第二私钥。在一个实施例中,第二证书可以从鉴权装置中获取,第二证书例如为UKEY证书,但不限于此。
随后,在步骤S340中,基于第二私钥对多个授权信息和第一证书的待签名信息(第一待签名信息)进行签名计算,生成第一证书的签名数据,进而,基于签名数据和证书信息可以生成第一证书。这里,本发明对第一待签名信息不做具体限定。另外,本发明对签名计算所采用的具体签名算法不做限定。
应当理解,第一证书包括签名计算生成的签名数据以及证书信息,这里,证书信息例如可以包括证书所使用的签名算法、证书公钥(第一公钥)、证书名称、证书有效期等信息。应当指出,第一证书是利用客户端的鉴权装置生成的关联多个授权信息的客户端证书。
还应当指出,根据本发明的技术方案,由于第一证书的签名数据是客户端110基于第二证书中的第二私钥进行签名计算生成,这样,可以基于第二证书中的第二公钥对第一证书的签名数据进行签名验证。
根据一个实施例,第二证书的签名数据可以基于第三证书中的公钥来进行签名验证。第三证书例如为CA证书,但不限于此。
在又一个实施例中,可以基于第二私钥对多个授权信息、第一待签名信息以及其他信息进行签名计算,以生成第一证书。这里,其他信息例如包括第一证书中的其他信息、用户身份信息等,但不限于此。
最后,在步骤S350中,基于账号信息、第一证书和第二证书向目标服务器120发送登录请求。应当理解,登录请求中包括账号信息、第一证书和第二证书等信息。目标服务器120需要对第一证书和第二证书进行签名认证,只有在两个证书均认证通过之后,才会确定签名认证通过,许可客户端110访问。
需要说明的是,本发明通过增加基于客户端的鉴权装置生成的关联多方授权信息的客户端证书,例如,多方授权信息中可以包括一个或多个生物识别信息。相应地,服务器端在收到客户端的证书链信息后,在对证书的签名验证过程中需要增加相应的一个或多个生物识别信息作为验证的参数。这样,本发明能够有效避免用户密码泄露或者用户被冒名顶替的问题。
根据一个实施例,在对多个授权信息和第一待签名信息进行签名计算时,首先基于多个授权信息来计算生成认证标识值IDA,也就是说,认证标识值IDA是根据多个授权信息计算得到的。具体地,基于多个授权信息组合生成摘要矩阵,通过计算摘要矩阵可以得到认证标识值IDA。
在一些实施方式中,摘要矩阵计算公式可以实现为以下形式:
IDA = Hash 1 (UserID 1‖UserID 2‖…‖UserID m)
IDA = IDA‖Hash 2 (UserID 1‖UserID 2‖…‖UserID m)
……
IDA = IDA‖Hash n (UserID 1‖UserID 2‖…‖UserID m)
其中,Hash i(1<=i<=n)可以实现为任意种类的摘要函数,n表示摘要函数的种数。UserID j (1<=j<=m)表示某一个授权信息,m表示授权信息数量。‖表示数据的拼接。UserID1‖UserID2‖…‖UserIDm表示多个授权关键信息的拼接,再用摘要函数计算出IDA 的一个分量,计算出每个分量后可以拼接得到IDA。需要说明的是,使用多种摘要函数可以保证最终计算得到的IDA 的安全性,在使用多种摘要函数的情况下,破解其中一种摘要函数,并不会影响签名验签的安全性。
应当指出,本发明不限于上述列举出的摘要矩阵的形式,其可以由本领域技术人员根据实际业务需求进行调整。
还应当指出,UserID j的数据内容可以实现为多种格式,例如数据内容的格式可以是原文格式、密文格式、摘要格式、签名格式等,并且不限于这些格式。并且,本发明对每个UserID j的数据类型也不作限制,数据类型例如可以是文本数据或者二进制数据。
在基于多个授权信息生成的认证标识值IDA之后,可以基于第二私钥对认证标识值IDA和第一待签名信息进行签名计算。
具体地,利用摘要算法,对认证标识值IDA进行摘要计算生成第一摘要。这里,生成的第一摘要可以表示为ZA。可以理解,这里生成的第一摘要ZA是基于认证标识值IDA生成的,因此,第一摘要ZA是与多个授权信息相关的数据。应当指出,本发明对采用的具体摘要算法不做限定。在一个实施例中,摘要算法可以实现为SM3摘要算法,但本发明不限于此。
随后,获取第一证书的待签名信息。在一个实施例中,待签名信息可以是证书信息,其中可以包括第一证书的第一公钥,还可以包括证书名称、证书有效期等信息。待签名信息可以表示为M。可以理解,待签名信息可以是与第一证书的第一公钥相关的数据。
随后,基于第一摘要ZA和待签名信息M生成待签名摘要数据。这里,待签名摘要数据可以通过对第一摘要ZA和待签名信息M进行拼接生成。生成签名摘要数据的方法可以用公式M’=ZA‖M来表示。其中, M’表示签名摘要数据,‖为字符串拼接标识符。
根据前文所述,第一摘要ZA是与多个授权信息相关的数据,待签名信息是与第一证书的第一公钥相关的数据。这样,待签名摘要数据即是基于多个授权信息、第一公钥生成的需要进行签名的数据。
随后,基于第二私钥对待签名摘要数据M’进行签名计算,生成签名数据,该签名数据即是第一证书的签名数据。第一证书的签名数据可以由服务器基于第二证书的第二公钥来进行签名验证。
根据一个实施例,基于本发明的签名算法,随机数参与了第一证书的签名数据的计算过程。具体地,在计算得到待签名摘要数据M’后,还会生成一个随机数k,根据待签名摘要数据M’和随机数k来进行签名数据的计算,也就是说,基于第二私钥对待签名摘要数据和随机数进行签名计算,来生成签名数据。这样,根据本发明的签名计算方法,每次生成的签名数据是不相同的。例如,基于本发明的签名算法生成的签名数据可以表示为(r,s),其中,r表示基于随机数k和待签名摘要数据M’在签名计算过程中生成的第一参数。相应地,在对签名数据进行验证过程中,也需要基于相应的参数来进行验签。这样,可以进一步确保签名验证过程的安全性。
根据本发明的实施例,目标服务器120在接收到客户端110的登录请求后,可以将登录请求中的账号信息、第一证书和第二证书发送至认证服务器130进行签名验证。认证服务器130在对第一证书和第二证书进行签名验证之后,向目标服务器120返回验证结果。如果验证通过,目标服务器120在确认验证通过之后,向客户端110返回登录成功后的访问页面,以许可客户端110访问。
需要说明的是,根据本发明的实施例,第一证书和第二证书组成了相关联的多方授权认证的证书链,认证服务器130需要对证书链进行签名验证,其中第二证书用于对第一证书进行签名验证。应当指出,本发明中用于多方授权认证的证书链并不限于上述第一证书和第二证书的组合,还可以包括其他来源的证书。
图4示出了根据本发明一个实施例的基于多方授权的认证方法400的流程图。方法400适于在前述登录认证系统100的服务器中执行。需要说的是,在客户端110发送登录请求之后,登录认证系统100的服务器执行登录认证方法400。
如图4所示,方法400始于步骤S410。
在步骤S410中,目标服务器120接收客户端发送的登录请求,登录请求中包括账号信息、第一证书和第二证书。随后,目标服务器120将登录请求中的账号信息、第一证书和第二证书发送至认证服务器130进行签名验证。
在步骤S420中,认证服务器130在获取到账号信息、第一证书和第二证书后,基于账号信息获取相应的多个授权信息。这里,认证服务器130可以预先获取与账号信息相对应的多个授权信息并存储。并且,认证服务器130基于第二证书的签发者名称来获取相应的第三证书。这里,第三证书是认证服务器130提供的。
在一个实施例中,认证服务器130可以是CA认证服务器,相应地,第三证书是经由CA认证服务器授权认证的CA证书。
随后,在步骤S430中,根据第二证书中的第二公钥和在步骤S420中基于账号信息获取的多个授权信息,对第一证书的签名数据进行验证,确定第一证书的签名数据是否验证通过。
在步骤S440中,基于第三证书(CA证书)中的公钥对第二证书的签名数据进行验证,确定第二证书的签名数据是否验证通过。
最后,在步骤S450中,如果对第一证书的签名数据、第二证书的签名数据均验证通过,则验证成功。认证服务器130将验证成功的结果返回至目标服务器120。目标服务器120在获取到验证成功的结果后,向客户端110返回登录成功后的页面,以许可客户端110访问。
根据一个实施例,步骤S430中对第一证书的签名数据进行验证具体可以根据以下步骤执行:
首先,认证服务器130根据在步骤S420中基于账号信息获取的多个授权信息来计算生成认证标识值IDA,这里,基于获取的多个授权信息组合生成摘要矩阵,通过计算摘要矩阵可以得到认证标识值IDA。
随后,基于认证标识值IDA计算生成第一摘要ZA。
随后,获取第一证书的待签名信息和相应的签名数据。这里,获取的待签名信息可以表示为M2。获取的签名数据即是在前述方法300中客户端110基于第二私钥对待签名摘要数据进行签名计算生成的签名数据(r,s),可用于验签过程的比对依据。
随后,基于第一摘要ZA和待签名信息M2生成待签名摘要数据。相应地,待签名摘要数据可以通过对第一摘要ZA和待签名信息M2进行拼接生成。生成签名摘要数据的方法可以用公式M2’=ZA‖M2来表示。其中, M2’表示认证服务器生成的签名摘要数据,‖为字符串拼接标识符。
最后,基于第二证书中的第二公钥对待签名摘要数据M2’和获取到的签名数据进行验签计算,通过对比验证条件是否相同,来确定第一证书的签名数据是否验证通过。如果相同,则第一证书的签名数据验证通过;反之,如果不相同,则第一证书的签名数据验证失败。
在一个实施例中,如前文在方法300中所述的那样,随机数参与了第一证书的签名数据的计算过程。在基于本发明的签名算法生成的签名数据(r,s)中,r表示基于随机数k和待签名摘要数据M’生成的第一参数。基于此,在对该签名数据进行验证时,需要基于参数来进行验签。具体地,认证服务器从签名数据(r,s)中获取第一参数r,将该第一参数r作为比对依据,并基于与方法300中的签名算法相对应的验签算法来计算得到第二参数R。通过比对计算得到的第二参数R与从签名数据中获取的第一参数r是否相同,来确定对第一证书的签名验证是否通过。如果R=r,则确定第一证书的签名数据验证通过。反之,如果果R≠r,则确定第一证书的签名数据验证失败。
综上,根据本发明的认证方案,通过增加基于客户端的鉴权装置生成的关联多方授权信息的第一证书,例如,多方授权信息中可以包括一个或多个生物识别信息,使得多方授权信息共同参与证书的签名验证计算。这样,能够有效避免用户密码泄露或者用户被冒名顶替的问题。并且,基于生成的第一证书,本发明基于包括第一证书和第二证书的证书链来进行签名验证,具体地,基于第二证书对第一证书进行签名验证,基于CA证书对第二证书进行签名验证。这样,形成基于多个认证主体的多方授权认证体系,进一步提高了认证安全度和可信度。此外,本发明基于摘要矩阵来计算多个授权信息的认证标识值,能够确保多方授权信息的安全。
这里描述的各种技术可结合硬件或应用程序,或者它们的组合一起实现。从而,本发明的方法和设备,或者本发明的方法和设备的某些方面或部分可采取嵌入有形媒介,例如可移动硬盘、U盘、软盘、CD-ROM或者其它任意机器可读的存储介质中的程序代码(即指令)的形式,其中当程序被载入诸如计算机之类的机器,并被所述机器执行时,所述机器变成实践本发明的设备。
在程序代码在可编程计算机上执行的情况下,移动终端一般包括处理器、处理器可读的存储介质(包括易失性和非易失性存储器和/或存储元件),至少一个输入装置,和至少一个输出装置。其中,存储器被配置用于存储程序代码;处理器被配置用于根据该存储器中存储的所述程序代码中的指令,执行本发明的应用程序登录认证方法。
以示例而非限制的方式,可读介质包括可读存储介质和通信介质。可读存储介质存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息。通信介质一般以诸如载波或其它传输机制等已调制数据信号来体现计算机可读指令、数据结构、程序模块或其它数据,并且包括任何信息传递介质。以上的任一种的组合也包括在可读介质的范围之内。
在此处所提供的说明书中,算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与本发明的示例一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下被实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员应当理解在本文所公开的示例中的设备的模块或单元或组件可以布置在如该实施例中所描述的设备中,或者可替换地可以定位在与该示例中的设备不同的一个或多个设备中。前述示例中的模块可以组合为一个模块或者此外可以分成多个子模块。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
此外,所述实施例中的一些在此被描述成可以由计算机系统的处理器或者由执行所述功能的其它装置实施的方法或方法元素的组合。因此,具有用于实施所述方法或方法元素的必要指令的处理器形成用于实施该方法或方法元素的装置。此外,装置实施例的在此所述的元素是如下装置的例子:该装置用于实施由为了实施该发明的目的的元素所执行的功能。
如在此所使用的那样,除非另行规定,使用序数词“第一”、“第二”、“第三”等等来描述普通对象仅仅表示涉及类似对象的不同实例,并且并不意图暗示这样被描述的对象必须具有时间上、空间上、排序方面或者以任意其它方式的给定顺序。
尽管根据有限数量的实施例描述了本发明,但是受益于上面的描述,本技术领域内的技术人员明白,在由此描述的本发明的范围内,可以设想其它实施例。此外,应当注意,本说明书中使用的语言主要是为了可读性和教导的目的而选择的,而不是为了解释或者限定本发明的主题而选择的。因此,在不偏离所附权利要求书的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围,对本发明所做的公开是说明性的而非限制性的,本发明的范围由所附权利要求书限定。
Claims (10)
1.一种基于多方授权的登录方法,在客户端执行,包括步骤:
获取多个授权信息;
生成第一证书对应的第一密钥对,所述第一密钥对包括相匹配的第一公钥和第一私钥;
获取第二证书,所述第二证书包括相匹配的第二公钥和第二私钥;
基于第二私钥对所述多个授权信息和第一证书的待签名信息进行签名计算,以生成包括签名数据的第一证书;以及
基于账号信息、第一证书和第二证书向目标服务器发送登录请求。
2.如权利要求1所述的方法,其中,对所述多个授权信息和待签名信息进行签名计算的步骤包括:
基于多个授权信息组合生成摘要矩阵,通过计算所述摘要矩阵得到认证标识值;
基于第二私钥对所述认证标识值和待签名信息进行签名计算。
3.如权利要求2所述的方法,其中,基于第二私钥对所述认证标识值和待签名信息进行签名计算的步骤包括:
基于所述认证标识值计算生成第一摘要;
获取第一证书的待签名信息,所述待签名信息包括第一公钥;
基于所述第一摘要和待签名信息生成待签名摘要数据;
基于所述第二私钥对所述待签名摘要数据进行签名计算,生成签名数据。
4.如权利要求1-3中任一项所述的方法,其中,所述授权信息包括生物识别信息或密码;
所述生物识别信息包括指纹特征信息、人脸识别特征信息、静脉识别特征信息中的一种或多种。
5.一种基于多方授权的认证方法,在登录认证系统中执行,包括步骤:
接收客户端发送的登录请求,所述登录请求中包括账号信息、第一证书和第二证书;
基于所述账号信息获取相应的多个授权信息,并基于第二证书的签发者名称获取相应的第三证书;
根据第二证书中的第二公钥和基于账号信息获取的多个授权信息,对第一证书的签名数据进行验证;
基于第三证书中的公钥对第二证书的签名数据进行验证;以及
如果对第一证书的签名数据、第二证书的签名数据均验证通过,则向客户端返回登录成功后的页面。
6.如权利要求5所述的方法,其中,对第一证书的签名数据进行验证的步骤包括:
基于所述多个授权信息组合生成摘要矩阵,通过计算所述摘要矩阵得到认证标识值;
基于所述认证标识值计算生成第一摘要;
获取第一证书的待签名信息和相应的签名数据;
基于所述第一摘要和待签名信息生成待签名摘要数据;
基于所述第二公钥对所述待签名摘要数据和所述签名数据进行验签计算,以确定第一证书的签名数据是否验证通过。
7.一种基于多方授权的登录认证系统,包括:
目标服务器,适于接收客户端发送的登录请求,所述登录请求中包括账号信息、第一证书和第二证书;并适于在确定第一证书、第二证书均验证通过时,向客户端返回登录成功的页面;以及
认证服务器,与目标服务器相连,适于从目标服务器获取账号信息、第一证书和第二证书,基于所述账号信息获取相应的多个授权信息,并基于第二证书的签发者名称获取相应的第三证书;并适于基于第二证书中的第二公钥和获取的多个授权信息对第一证书的签名数据进行验证,基于第三证书中的公钥对第二证书的签名数据进行验证,并将验证结果返回至目标服务器。
8.如权利要求7所述的系统,其中,还包括:
客户端,与目标服务器相连,适于执行如权利要求1-4中任一项所述的方法。
9.一种计算设备,包括:
至少一个处理器;以及
存储器,存储有程序指令,其中,所述程序指令被配置为适于由所述至少一个处理器执行,所述程序指令包括用于执行如权利要求1-4中任一项所述的方法的指令。
10.一种存储有程序指令的可读存储介质,当所述程序指令被计算设备读取并执行时,使得所述计算设备执行如权利要求1-4中任一项所述方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110555155.1A CN112989309B (zh) | 2021-05-21 | 2021-05-21 | 基于多方授权的登录方法、认证方法、系统及计算设备 |
| PCT/CN2021/120595 WO2022242003A1 (zh) | 2021-05-21 | 2021-09-26 | 基于多方授权的登录方法、认证方法、系统及计算设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110555155.1A CN112989309B (zh) | 2021-05-21 | 2021-05-21 | 基于多方授权的登录方法、认证方法、系统及计算设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112989309A true CN112989309A (zh) | 2021-06-18 |
| CN112989309B CN112989309B (zh) | 2021-08-20 |
Family
ID=76337096
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110555155.1A Active CN112989309B (zh) | 2021-05-21 | 2021-05-21 | 基于多方授权的登录方法、认证方法、系统及计算设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN112989309B (zh) |
| WO (1) | WO2022242003A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114697099A (zh) * | 2022-03-24 | 2022-07-01 | 浪潮云信息技术股份公司 | 一种基于椭圆曲线加密算法的多方授权认证方案 |
| WO2022242003A1 (zh) * | 2021-05-21 | 2022-11-24 | 统信软件技术有限公司 | 基于多方授权的登录方法、认证方法、系统及计算设备 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115883104B (zh) * | 2022-11-30 | 2023-07-21 | 北京时代亿信科技股份有限公司 | 终端设备的安全登录方法及装置、非易失性存储介质 |
| CN116488828B (zh) * | 2023-05-15 | 2024-01-23 | 合芯科技(苏州)有限公司 | 一种自动部署的异构集群统一认证方法 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101194463A (zh) * | 2005-06-10 | 2008-06-04 | 松下电器产业株式会社 | 认证系统、认证装置、终端装置以及验证装置 |
| US20130036223A1 (en) * | 2010-03-16 | 2013-02-07 | Qualcomm Incorporated | Facilitating authentication of access terminal identity |
| US20130246281A1 (en) * | 2010-11-10 | 2013-09-19 | Toshiba Solutions Corporation | Service providing system and unit device |
| US20130311784A1 (en) * | 2008-02-20 | 2013-11-21 | Micheal Bleahen | System and method for preventing unauthorized access to information |
| CN106549973A (zh) * | 2016-11-21 | 2017-03-29 | 飞天诚信科技股份有限公司 | 一种基于生物特征识别的客户端及其工作方法 |
| CN107241317A (zh) * | 2017-05-24 | 2017-10-10 | 国民认证科技(北京)有限公司 | 生物特征识别身份的方法和用户终端设备以及身份认证服务器 |
| CN107682378A (zh) * | 2017-11-22 | 2018-02-09 | 国民认证科技(北京)有限公司 | 一种基于区块链的实名认证方法及系统 |
| CN108234125A (zh) * | 2016-12-21 | 2018-06-29 | 金联汇通信息技术有限公司 | 用于身份认证的系统和方法 |
| CN111131336A (zh) * | 2020-03-30 | 2020-05-08 | 腾讯科技(深圳)有限公司 | 多方授权场景下的资源访问方法、装置、设备及存储介质 |
| CN111428213A (zh) * | 2020-03-27 | 2020-07-17 | 深圳融安网络科技有限公司 | 双因子的认证设备及其方法和计算机可读存储介质 |
| US10841295B1 (en) * | 2018-10-31 | 2020-11-17 | ISARA Corporation | Extensions for using a digital certificate with multiple cryptosystems |
| CN112787818A (zh) * | 2019-11-07 | 2021-05-11 | 顺天乡大学校产学协力团 | 基于匿名协议的用户认证系统及方法、以及记录介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111447214B (zh) * | 2020-03-25 | 2022-07-05 | 北京左江科技股份有限公司 | 一种基于指纹识别的公钥密码集中服务的方法 |
| CN111641615A (zh) * | 2020-05-20 | 2020-09-08 | 深圳市今天国际物流技术股份有限公司 | 一种基于证书的分布式身份验证方法及系统 |
| CN112989309B (zh) * | 2021-05-21 | 2021-08-20 | 统信软件技术有限公司 | 基于多方授权的登录方法、认证方法、系统及计算设备 |
-
2021
- 2021-05-21 CN CN202110555155.1A patent/CN112989309B/zh active Active
- 2021-09-26 WO PCT/CN2021/120595 patent/WO2022242003A1/zh unknown
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101194463A (zh) * | 2005-06-10 | 2008-06-04 | 松下电器产业株式会社 | 认证系统、认证装置、终端装置以及验证装置 |
| US20130311784A1 (en) * | 2008-02-20 | 2013-11-21 | Micheal Bleahen | System and method for preventing unauthorized access to information |
| US20130036223A1 (en) * | 2010-03-16 | 2013-02-07 | Qualcomm Incorporated | Facilitating authentication of access terminal identity |
| US20130246281A1 (en) * | 2010-11-10 | 2013-09-19 | Toshiba Solutions Corporation | Service providing system and unit device |
| CN106549973A (zh) * | 2016-11-21 | 2017-03-29 | 飞天诚信科技股份有限公司 | 一种基于生物特征识别的客户端及其工作方法 |
| CN108234125A (zh) * | 2016-12-21 | 2018-06-29 | 金联汇通信息技术有限公司 | 用于身份认证的系统和方法 |
| CN107241317A (zh) * | 2017-05-24 | 2017-10-10 | 国民认证科技(北京)有限公司 | 生物特征识别身份的方法和用户终端设备以及身份认证服务器 |
| CN107682378A (zh) * | 2017-11-22 | 2018-02-09 | 国民认证科技(北京)有限公司 | 一种基于区块链的实名认证方法及系统 |
| US10841295B1 (en) * | 2018-10-31 | 2020-11-17 | ISARA Corporation | Extensions for using a digital certificate with multiple cryptosystems |
| CN112787818A (zh) * | 2019-11-07 | 2021-05-11 | 顺天乡大学校产学协力团 | 基于匿名协议的用户认证系统及方法、以及记录介质 |
| CN111428213A (zh) * | 2020-03-27 | 2020-07-17 | 深圳融安网络科技有限公司 | 双因子的认证设备及其方法和计算机可读存储介质 |
| CN111131336A (zh) * | 2020-03-30 | 2020-05-08 | 腾讯科技(深圳)有限公司 | 多方授权场景下的资源访问方法、装置、设备及存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| QIAN XU ET AL.: "Secure Multi-Authority Data Access Control Scheme in Cloud Storage System Based on Attribute-Based Signcryption", 《IEEE ACCESS》 * |
| 陈珂: "开放式环境下敏感数据安全的关键技术研究", 《中国博士学位论文全文数据库信息科技辑》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022242003A1 (zh) * | 2021-05-21 | 2022-11-24 | 统信软件技术有限公司 | 基于多方授权的登录方法、认证方法、系统及计算设备 |
| CN114697099A (zh) * | 2022-03-24 | 2022-07-01 | 浪潮云信息技术股份公司 | 一种基于椭圆曲线加密算法的多方授权认证方案 |
| CN114697099B (zh) * | 2022-03-24 | 2024-05-17 | 浪潮云信息技术股份公司 | 一种基于椭圆曲线加密算法的多方授权认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022242003A1 (zh) | 2022-11-24 |
| CN112989309B (zh) | 2021-08-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112989309B (zh) | 基于多方授权的登录方法、认证方法、系统及计算设备 | |
| KR102493744B1 (ko) | 생체 특징에 기초한 보안 검증 방법, 클라이언트 단말, 및 서버 | |
| US9992189B2 (en) | Generation and validation of derived credentials | |
| US10797879B2 (en) | Methods and systems to facilitate authentication of a user | |
| US10574648B2 (en) | Methods and systems for user authentication | |
| CN108900471B (zh) | 用于传输数据的服务器、客户端、网络系统及方法 | |
| US20180234410A1 (en) | Apparatus and method for implementing composite authenticators | |
| WO2020073513A1 (zh) | 基于区块链的用户认证方法及终端设备 | |
| US8539569B2 (en) | Systems and methods for facilitating user authentication over a network | |
| US10924289B2 (en) | Public-private key pair account login and key manager | |
| US9219602B2 (en) | Method and system for securely computing a base point in direct anonymous attestation | |
| GB2434724A (en) | Secure transactions using authentication tokens based on a device "fingerprint" derived from its physical parameters | |
| US11838405B1 (en) | Blockchain delegation | |
| US20210241270A1 (en) | System and method of blockchain transaction verification | |
| US20230042508A1 (en) | Securely communicating service status in a distributed network environment | |
| WO2010128451A2 (en) | Methods of robust multi-factor authentication and authorization and systems thereof | |
| US20030221109A1 (en) | Method of and apparatus for digital signatures | |
| US20170054561A1 (en) | Double authenitication system for electronically signed documents | |
| KR20210103615A (ko) | 블록체인 기반 사용자 인증 방법 | |
| Khan et al. | A brief review on cloud computing authentication frameworks | |
| CN112968779B (zh) | 一种安全认证与授权控制方法、控制系统、程序存储介质 | |
| CN114143312A (zh) | 基于区块链的边缘计算终端认证方法、系统及设备 | |
| US11956374B2 (en) | Cryptographic signature delegation | |
| CN113806810B (zh) | 认证方法、认证系统、计算设备以及存储介质 | |
| CN116566623B (zh) | 一种获取匿名数字证书的方法、系统及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |