CN113992411A - 一种基于可信设备的用户身份认证方法和装置 - Google Patents
一种基于可信设备的用户身份认证方法和装置 Download PDFInfo
- Publication number
- CN113992411A CN113992411A CN202111260390.2A CN202111260390A CN113992411A CN 113992411 A CN113992411 A CN 113992411A CN 202111260390 A CN202111260390 A CN 202111260390A CN 113992411 A CN113992411 A CN 113992411A
- Authority
- CN
- China
- Prior art keywords
- authentication
- user
- identity authentication
- equipment
- trusted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 91
- 238000012795 verification Methods 0.000 claims abstract description 32
- 239000000463 material Substances 0.000 claims description 82
- 238000004891 communication Methods 0.000 claims description 15
- 238000004458 analytical method Methods 0.000 claims description 3
- 238000004364 calculation method Methods 0.000 claims description 3
- 238000009795 derivation Methods 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 description 6
- 238000004422 calculation algorithm Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 230000001815 facial effect Effects 0.000 description 5
- 230000003993 interaction Effects 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 3
- 239000000284 extract Substances 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
Abstract
本发明涉及一种基于可信设备的用户身份认证方法和装置,所述方法包括:判断当前设备和用户是否完成前置流程且结果为是;如果为否,则设备和用户执行前置流程;与认证服务交互,获取身份认证参数;用户在设备上完成本地身份验证且结果为是;如果为否,则中止整个认证流程;计算用户身份认证凭据;与认证服务交互,提交用户身份认证凭据到认证服务;认证服务验证用户身份认证凭据,返回验证结果。
Description
技术领域
本发明涉及计算机技术和信息安全领域,具体涉及一种基于可信设备的用户身份认证方法和装置。
背景技术
随着计算机技术与互联网技术的发展,个人生活与工作与互联网的关系越来越紧密,在享受互联网带来的便利同时,来自互联网的安全威胁也逐渐增大。
近年来,各类互联网账号丢失被窃的事件层出不穷,很大程度是由于目前主流的用户身份认证方法还停留在基于用户名-密码的认证手段。用户使用弱口令、重复使用单一密码,加上个别互联网企业被攻破而泄露的用户名-密码信息,导致用户的互联网账号时刻面临严峻的安全风险。
虽然有些互联网企业通过使用多重因子验证(MFA)保护用户账户信息,降低用户面临的安全风险,但是随着额外验证流程的引入,对用户体验带来很大影响。
基于此,需要一种能够在不降低用户体验的前提下,还能提供足够安全保障的用户身份认证方法。
发明内容
本说明书一个或多个实施例,实现了一种基于可信设备的用户身份认证方法和装置,提供了一种更加安全、便捷的用户身份认证方案。
本说明书一个或多个实施例,提供了一种基于可信设备的用户身份认证方法,所述方法包括:
(1)判断当前设备和用户是否完成前置流程且结果为是;如果为否,则设备和用户执行前置流程;
(2)与认证服务交互,获取身份认证参数;
(3)用户在设备上完成本地身份验证且结果为是;如果为否,则结束整个认证流程;
(4)计算用户身份认证凭据;
(5)与认证服务交互,提交用户身份认证凭据到认证服务;
(6)认证服务验证用户身份认证凭据,返回验证结果。
在一些实施方式中,所述可信设备,其特征为:
(1)可以提供与实时执行环境隔离的可信执行环境的硬件运算模块;
(2)设备可以完全随机生成用于非对称密码学的密钥对,并通过安全机制确保其中的私钥无法离开设备的可信执行环境;
(3)设备完成了所述可信设备注册前置流程。
在一些实施方式中,所述认证服务,其特征为:与所述可信设备物理隔离的一组逻辑服务,与可信设备之间通过网络进行通信。
在一些实施方式中,所述身份认证凭据,其特征为:一组用于用户身份认证的数据结构,至少包含了使用用户身份认证材料所计算的所述认证参数对应的数字签名值。
在一些实施方式中,所述判断当前设备和用户是否完成前置流程,包含以下步骤:
(1)判断当前设备上是否存在设备身份认证密钥对且结果为是;如果为否,则执行可信设备注册流程;
(2)判断当前设备上是否存在用户身份认证密钥对且结果为是;如果为否,则执行用户关联可信设备流程。
在一些实施方式中,所述的可信设备注册流程,包含以下步骤:
(1)根据自身设备硬件参数,计算设备特征值,生成设备身份认证材料;
(2)与认证服务交互,提交所述生成的设备身份认证材料;
(3)认证服务保存设备特征值和设备身份认证材料
在一些实施方式中,所述身份认证材料,其特征为:一对通过非对称密码学生成的密钥对,其中公钥可以从设备中导出并提交给认证服务用于身份验证,私钥无法从设备中导出,用于可信设备或用户计算认证凭据。
在一些实施方式中,所述的用户关联可信设备流程,包含以下步骤:
(1)可信设备采集用户的身份证件信息和用户人脸图像;
(2)接收并保存用户输入的本地身份验证材料,生成用户身份认证材料;
(3)与认证服务交互,提交采集到的用户身份证件信息、用户人脸图像和用户身份认证材料;
(4)认证服务解析用户身份证件信息并比对采集到的用户人脸图像与证件头像相似度,判断相似度是否高于预设阈值且结果为是;如果为否,则中止用户关联可信设备流程;
(5)认证服务保存可信设备与用户身份认证材料的关联关系。
在一些实施方式中,所述本地身份验证材料,其特征为:为用户所输入的一段个人身份识别码(PIN)或用户本人的生物特征标识,本地身份验证材料仅保存在可信设备内部专用区域。
本说明书一个或多个实施例,提供了一种基于可信设备的用户身份认证装置,包含以下模块:
(1)证件信息采集模块:为可信设备提供用户证件信息采集功能;
(2)人脸图像采集模块:为可信设备提供用户人脸图像采集功能;
(3)设备密钥管理模块:为可信设备提供用于非对称密码学的密钥生成、使用、导出等功能;
(4)设备管理模块:为可信设备提供设备物理信息采集、设备特征值计算等功能;
(5)本地身份验证模块:为可信设备和用户提供本地身份验证材料的采集、保存,以及本地身份验证的功能;
(6)网络通信模块:为可信设备和认证服务提供网络通信的功能;
(7)可信设备管理模块:为认证服务提供可信设备的注册、认证、用户关联可信设备的功能;
(8)用户认证管理模块:为认证服务提供用户证件信息的解析、人像比对、身份认证的功能。
附图说明
图1为本申请实施例提供的基于可信设备的用户身份认证方法的总体流程示意图;
图2为本申请实施例提供的设备执行前置流程的流程示意图;
图3为本申请实施例提供的用户执行前置流程的流程示意图;
图4为本申请实施例提供的第一种认证方法的流程示意图;
图5为本申请实施例提供的第二种认证方法的流程示意图;
图6为本申请实施例提供的基于可信设备的用户身份认证装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
示例性地,本申请实施例通过客户端/服务端(Client/Server)架构完成对整体技术方案的描述和实现。其中,客户端以应用程序的方式,安装部署在所述可信设备中。服务端以应用程序的方式,部署于与可信设备物理隔离的云服务器中,通过网络接口接收客户端的交互请求。
图1为本申请实施例提供的基于可信设备的用户身份认证方法的总体流程示意图。如图1所示,该方法包含以下步骤:
S101:判断设备和用户是否完成前置流程。
客户端通过判断设备硬件信息是否符合认证流程要求和设备中是否存在对应的身份认证材料判断当前设备以及关联用户是否完成身份认证的前置流程。
身份认证的前置流程对于整个认证流程十分关键,可信设备和用户通过执行前置流程,完成设备和用户的身份认证材料的生成,并将其可公开部分提交到认证服务中保存,用以支持后续的用户身份认证操作。
S102:设备和用户执行前置流程。
客户端判断当前设备或用户没有完成前置流程后,进入该步骤。该步骤所描述的前置流程,根据主要参与者的不同,分为两个子流程:
(1)可信设备注册流程:将当前设备注册为可信设备的流程,主要特征为向认证服务提交了设备特征值以及用于设备身份认证的身份认证材料;
(2)用户关联可信设备流程:将当前用户与当前可信设备进行关联的流程,主要特征为向认证服务提交了用于用户身份认证的身份认证材料,并且确定用户的实名身份。
S103:与认证服务交互,获取身份认证参数。
客户端通过网络与认证服务交互,请求获取身份认证参数。
认证服务接收到获取身份认证参数的请求后,随机生成一串长度大于16字节、小于128字节的字节流作为身份认证参数并返回给客户端。
示例性地,为了确保整体方案的易用性,在网络传输过程中,身份认证参数被编码为16进制字符串;客户端在接收到身份认证参数后,需要进行逆编码操作,将数据恢复为原始的字节流。
S104:用户在设备上完成本地身份验证。
客户端获取到身份认证参数后,要求用户提供在步骤S102用户关联可信设备流程时设置的本地身份验证材料。该步骤通过验证在前置流程中用户提供的身份验证材料,确定用户对可信设备的操作权限,为后续流程提供用户授权支撑。如果用户无法提供有效的身份验证材料通过本地身份验证,则中止后续认证流程。
S105:计算用户身份认证凭据。
客户端通过可信设备接口获取用户身份认证材料和设备身份认证材料,使用其中的私钥,分别对步骤S103中获得的身份认证参数进行数字签名,得到用户认证签名和设备认证签名。示例性地,本说明书中的一个或多个实施例使用的数字签名算法均为ECDSAWithSHA256算法。客户端计算设备特征值,并组装用户认证签名与设备认证签名作为用户身份认证凭据。
S106:与认证服务交互,提交用户身份认证凭据。
客户端通过网络通信向认证服务提交用户身份认证凭据。为了确保传输过程的安全与数据的机密性,示例性地,本说明书的一个或多个实施例所提到的网络传输过程均建立在传输层安全传输协议1.3版本(TLS1.3)上。
S107:认证服务验证用户身份认证凭据,返回验证结果。
认证服务接收到用户身份认证凭据后,分别使用步骤S102中,可信设备注册流程和用户关联可信设备流程中提交的设备和用户的身份认证材料对用户身份认证凭据中的数字签名进行验证,并将两个数字签名的验证结果进行“与”操作,得到最终的用户身份认证结果。
图2为本申请实施例提供的设备执行前置流程的流程示意图。该流程更细致地描述了设备如何判断是否完成前置流程,以及设备如何注册为可信设备。可信设备注册流程为关键前置流程之一,只有设备通过向认证服务注册为可信设备后,才能与认证服务发生后续的交互动作。如图2所示,该流程包含以下步骤:
S201:判断设备运行环境满足可信设备要求。
示例性地,客户端通过收集设备的硬件和系统信息,确认设备的类型、种类和型号,验证当前设备不存在于预设的设备黑名单中。
示例性地,客户端通过系统接口生成测试用的非对称加密密钥,并确认其私钥部分无法导出,验证设备的可信执行环境正常可用。
示例性地,客户端通过读取操作系统信息,验证系统当前是否处于非正常使用状态。示例性地,所述的非正常使用状态是指,当前设备未处于设备厂家所描述的理想使用状态,典型的场景包含系统被"root"或“越狱”。
示例性地,客户端验证当前设备不处于预设的黑名单中,且可信执行环境正常可用,且当前设备未处于非正常使用状态时,认为当前设备满足可信设备要求,可以进行后续步骤;当其中任意一项验证不通过时,中止当前流程以及后续步骤的执行并退出。
S202:判断本地存在设备身份认证材料。
客户端通过设备接口验证当前设备是否存在设备身份认证材料,当设备身份认证材料存在时,中止当前流程并执行下一流程;当设备身份认证材料不存在时,继续执行下一步骤。
S203:计算设备特征值并生成设备身份认证材料。
客户端通过设备接口随机生成设备身份认证材料。示例性地,设备身份认证材料为使用ECDSA算法生成的一对公私钥,其中私钥部分存储于可信执行环境所控制的独立存储区中,公钥可以导出。
客户端通过设备的硬件信息、系统信息和客户端自身信息,计算设备特征值。
示例性地,设备特征值的计算方法为:
(1)依次拼接设备的硬件信息、系统信息和客户端信息,得到设备信息字符串;
(2)客户端生成联合唯一标识(UUID),拼接在设备信息字符串后,得到设备唯一信息字符串;
(3)客户端使用SM3杂凑算法,计算身为唯一信息字符串的杂凑值,并使用Base64编码方式进行编码得到对应字符串作为设备特征值。
S204:使用设备身份认证材料的私钥信息对设备特征值进行数字签名。
示例性地,客户端通过设备接口,使用步骤S203所生成的设备身份认证材料的私钥部分,对设备特征值进行ECDSAWithSHA256数字签名,得到设备特征值签名。
示例性地,这一步骤的意图是,为了避免在后续向认证服务提交设备身份认证材料时,被第三方拦截并替换其中的身份认证材料,导致设备身份认证材料与设备特征值出现逻辑分离从而造成安全隐患,所以在后续与认证服务交互获取可信设备注册参数前,计算生成设备特征值对应的数字签名,通过密码学手段固定设备特征值与设备身份认证材料的绑定关系。
S205:与认证服务交互,获取可信设备注册参数。
客户端将步骤S203、步骤204获取到的设备特征值和设备特征值签名通过网络通信提交给认证服务。认证服务保存设备特征值与设备特征值签名,并随机生成可信设备注册参数,返回给客户端。
示例性地,可信设备注册参数的生成方法为:
(1)认证服务随机生成一段大于16字节、小于256字节的字节流,作为认证参数字节流;
(2)将认证参数字节流编码为十六进制字符串,作为认证参数。
S206:计算可信设备注册凭据。
示例性地,客户端通过设备接口,使用步骤S203所生成的设备身份认证材料的私钥部分,对认证参数进行ECDSAWithSHA256数字签名,得到可信设备认证签名。
示例性地,客户端通过设备接口,导出步骤S203所生成的设备身份认证材料的公钥部分并通过抽象语法标记(ASN.1)编码作为公钥信息,组装公钥信息与可信设备认证签名,得到可信设备注册凭据。
示例性地,由于通过步骤S205获得的认证参数为十六进制字符串,在客户端接收到认证参数后,需要对其进行十六进制字符串解码,得到原始的认证参数字节流才可使用。
S207:与认证服务交互,提交并验证可信设备注册凭据。
客户端通过网络通信,向认证服务提交通过步骤S206得到的可信设备注册凭据。
认证服务接收到可信设备注册凭据后,解析可信设备注册凭据并验证注册凭据是否有效,验证方法如下:
(1)提取可信设备注册凭据中的设备公钥信息;
(2)使用设备公钥验证步骤S205中客户端提交的设备特征值签名,且验证通过;
(3)使用设备公钥验证可信设备注册凭据中的可信设备认证签名,且验证通过。
示例性地,客户端提交的可信设备注册认证凭据未通过所述的验证方法,则中止当前步骤和后续流程。
S208:认证服务建立设备特征值与设备身份认证材料的绑定关系。
认证服务提取可信设备注册凭据中的设备公钥信息,并保存设备公钥与设备特征值的绑定关系。
图3为本申请实施例提供的用户执行前置流程的流程示意图。该流程更细致地描述了如何判断用户是否完成前置流程,以及用户如何关联可信设备。用户关联可信设备流程为关键前置流程之一,只有用户与可信设备创建关联后,才能与认证服务发生后续的交互,为用户提供身份认证服务。如图3所示,该流程包含以下步骤:
S301:判断本地存在用户身份认证材料。
客户端通过设备接口验证当前设备是否存在用户身份认证材料,当用户身份认证材料存在时,中止当前流程并执行下一流程;当设备身份认证材料不存在时,继续执行下一步骤。
S302:采集用户证件信息与人脸图像信息。
示例性地,客户端要求用户提供其个人身份证件,并通过进场通信技术(NFC)或文字识别技术(OCR)等方式识读身份证件。识读证件完毕后,客户端通过设备接口采集用户面部图像信息。
S303:与认证服务交互,提交并验证用户证件信息与人脸图像信息。
客户端将步骤S302采集到的用户证件信息和用户面部图像信息通过网络通信提交给认证服务。
示例性地,认证服务解析客户端提交的用户证件信息,提取用户证件信息中的证件头像,与客户端所提交的采集到的用户面部图像信息进行比对,判断二者相似度是否不低于70%,如低于70%,则认为当前执行操作的用户与所提供的的证件不匹配,中止当前流程以及后续步骤的执行并退出。
S304:认证服务随机生成用户关联可信设备认证参数。
认证服务随机生成一串长度大于16字节、小于128字节的字节流作为身份认证参数并返回给客户端。示例性地,为了确保整体方案的易用性,在网络传输过程中,身份认证参数被编码为16进制字符串;客户端在接收到身份认证参数后,需要进行逆编码操作,将数据恢复为原始的字节流。
示例性地,用户关联可信设备认证参数的生成方法为:
(1)认证服务随机生成一段大于16字节、小于256字节的字节流,作为认证参数字节流;
(2)将认证参数字节流编码为十六进制字符串,作为认证参数。
S305:要求用户输入本地身份验证材料,并生成对应的用户身份认证材料。
示例性地,客户端要求用户提供至少一种本地身份验证材料,本地身份验证材料可以是个人识别码(PIN)或生物特征信息(指纹、面部特征)。
示例性地,用户每提供一种本地身份验证材料,客户端通过设备接口为用户生成对应的用户身份认证材料,并将用户身份认证材料的私钥设置为只有通过了对应的本地身份验证才能使用;用户身份认证材料为使用ECDSA算法生成的一对公私钥,其中私钥部分存储于可信执行环境所控制的独立存储区中,公钥可以导出。
S306:计算用户关联可信设备认证凭据。
示例性地,客户端通过设备接口,使用步骤S305所生成的用户身份认证材料的私钥部分,对认证参数进行ECDSAWithSHA256数字签名,得到用户关联可信设备认证签名;使用设备认证材料的私钥部分,对认证参数进行ECDSAWithSHA256数字签名,得到设备认证签名。
示例性地,客户端通过设备接口,导出步骤S305所生成的用户身份认证材料的公钥部分并通过抽象语法标记(ASN.1)编码作为公钥信息,组装公钥信息、设备认证签名与用户关联可信设备认证签名,得到用户关联可信设备认证凭据。
示例性地,由于通过步骤S304获得的认证参数为十六进制字符串,在客户端接收到认证参数后,需要对其进行十六进制字符串解码,得到原始的认证参数字节流才可使用。
S307:与认证服务机交互,提交并验证用户关联可信设备认证凭据。
客户端通过网络通信将得到用户关联可信设备认证凭据提交给认证服务。
认证服务接收到可信设备注册凭据后,解析可信设备注册凭据并验证注册凭据是否有效,验证方法如下:
(1)使用设备公钥验证用户关联可信设备认证凭据中的设备认证签名,且验证通过;
(2)提取用户关联可信设备认证凭据中的用户公钥信息;
(3)使用用户公钥验证用户关联可信设备认证凭据中的用户关联可信设备认证签名,且验证通过。
示例性地,客户端提交的用户关联可信设备认证凭据未通过所述的验证方法,则中止当前流程以及后续步骤的执行并退出。
S308:认证服务建立用户与可信设备之间的关系,保存用户身份认证材料。
认证服务提取用户关联可信设备认证凭据中的设备公钥信息,并保存用户认证材料的公钥与可信设备之间的绑定关系。
图4为本申请实施例提供的第一种认证方法的流程示意图。该流程描述了本说明书提供的一个或多个实施例中,一种由可信设备主动发起的用户身份认证流程。示例性地,该流程通常应用于用户账号登录场景。如图4所示,该流程包含以下步骤:
S401:与认证服务交互,获取身份认证参数。
客户端计算设备特征值,组装设备特征值和设备身份认证材料的公钥特征值作为身份认证请求信息,通过网络通信,提交给认证服务。
S402:认证服务随机生成身份认证参数。
认证服务解析身份认证请求信息,验证设备特征值与设备身份认证材料的公钥信息的绑定关系,如果验证失败,则终止当前步骤和后续流程。
认证服务随机生成一串长度大于16字节、小于128字节的字节流作为身份认证参数并返回给客户端。示例性地,为了确保整体方案的易用性,在网络传输过程中,身份认证参数被编码为16进制字符串;客户端在接收到身份认证参数后,需要进行逆编码操作,将数据恢复为原始的字节流。
示例性地,用户关联可信设备认证参数的生成方法为:
(1)认证服务随机生成一段大于16字节、小于256字节的字节流,作为认证参数字节流;
(2)将认证参数字节流编码为十六进制字符串,作为认证参数。
S403:验证用户提供的本地身份验证材料。
客户端要求用户提供在用户关联可信设备流程中所输入并保存的任意一种用户本地身份验证材料进行本地身份验证。用户提供本地身份验证材料后,客户端判断用户是否通过验证,如果为否,则中止当前流程以及后续步骤的执行并退出。
S404:计算用户身份认证凭据。
示例性地,用户通过本地身份验证后,客户端通过设备接口,使用与本地身份验证相对应的用户身份认证材料的私钥对身份认证参数进行ECDSAWithSHA256数字签名,得到用户身份认证签名;使用设备身份认证材料的私钥对身份认证参数进行ECDSAWithSHA256数字签名,得到设备身份认证签名。组装设备特征值、用户身份认证签名和设备身份认证签名,得到用户身份认证凭据。
S405:与认证服务交互,提交并验证身份认证凭据。
客户端通过网络通信向认证服务提交用户身份认证凭据。
认证服务接收到身份认证凭据后,解析并验证身份认证凭据是否有效,验证方法如下:
(1)使用设备公钥验证身份认证凭据中的设备身份认证签名,且验证通过;
(2)根据设备特征值,提取存储的用户公钥信息;
(3)使用用户公钥验证身份认证凭据中的用户身份认证签名,且验证通过。
示例性地,用户身份认证凭据验证完成后,认证服务向客户端返回验证结果;验证结果为通过时,验证服务还会向客户端返回用户对应的身份标识。
图5为本申请实施例提供的第二种认证方法的流程示意图。该流程描述了本说明书提供的一个或多个实施例中,一种由认证服务主动发起的用户身份认证流程。示例性地,该流程通常应用于需要用户异步认证授权的场景。如图5所示,该流程包含以下步骤:
S501:认证服务随机生成身份认证参数。
认证服务随机生成一串长度大于16字节、小于128字节的字节流作为身份认证参数并返回给客户端。示例性地,为了确保整体方案的易用性,在网络传输过程中,身份认证参数被编码为16进制字符串;客户端在接收到身份认证参数后,需要进行逆编码操作,将数据恢复为原始的字节流。
示例性地,用户关联可信设备认证参数的生成方法为:
(1)认证服务随机生成一段大于16字节、小于256字节的字节流,作为认证参数字节流;
(2)将认证参数字节流编码为十六进制字符串,作为认证参数。
S502:与可信设备交互,发送身份认证参数。
认证服务根据外部提供的用户授权请求,确定用户所关联的可信设备。认证服务与可信设备交互,向可信设备发送身份认证参数。
示例性地,由于认证服务与客户端之间维持持久且可靠的网络连接需要很高的代价,所以对于智能手机设备,该步骤通常通过手机推送消息实现,实现流程包括:
(1)向指定设备发送推送消息,消息中包含本次身份认证的唯一标识;
(2)设备接收到推送信息后,通过唯一标识查询身份认证请求。
示例性地,对于非智能手机设备,该步骤通常通过定时任务轮询的方式,实现流程包括:
(1)客户端使用设备特征值作为参数,请求认证服务提供的消息通知接口,获取其未处理消息列表;
(2)客户端获取到未接收消息列表后,请求认证服务提供的消息处理接口,标记本次接收的消息;
(3)客户端逐条解析消息,通过消息中携带的唯一标识查询身份认证请求。
S503:验证用户提供的本地身份验证材料。
客户端要求用户提供在用户关联可信设备流程中所输入并保存的任意一种用户本地身份验证材料进行本地身份验证。用户提供本地身份验证材料后,客户端判断用户是否通过验证,如果为否,则中止当前流程以及后续步骤的执行并退出。
S504:计算用户身份认证凭据。
示例性地,用户通过本地身份验证后,客户端通过设备接口,使用与本地身份验证相对的用户身份认证材料的私钥对身份认证参数进行ECDSAWithSHA256数字签名,得到用户身份认证签名;使用设备身份认证材料的私钥对身份认证参数进行ECDSAWithSHA256数字签名,得到设备身份认证签名。组装设备特征值、用户身份认证签名和设备身份认证签名,得到用户身份认证凭据。
S505:与认证服务交互,提交并验证身份认证凭据。
客户端通过网络通信向认证服务提交用户身份认证凭据。
认证服务接收到身份认证凭据后,解析并验证身份认证凭据是否有效,验证方法如下:
(1)使用设备公钥验证身份认证凭据中的设备身份认证签名,且验证通过;
(2)根据设备特征值,提取存储的用户公钥信息;
(3)使用用户公钥验证身份认证凭据中的用户身份认证签名,且验证通过。
示例性地,用户身份认证凭据验证完成后,认证服务向客户端返回验证结果;验证结果为通过时,验证服务还会向客户端返回用户对应的身份标识。
图6为本申请实施例提供的基于可信设备的用户身份认证装置的结构示意图。如图6所示,该装置包含以下模块:
P101:证件信息采集模块:该模块位于可信设备中,为可信设备提供用户证件信息采集功能。
P102:人脸图像采集模块:该模块位于可信设备中,为可信设备提供用户人脸图像采集功能。
P103:设备密钥管理模块:该模块位于可信设备中,为可信设备提供用于非对称密码学的密钥生成、使用、导出等功能。
P104:设备管理模块:该模块位于可信设备中,为可信设备提供设备物理信息采集、设备特征值计算等功能。
P105:本地身份验证模块:该模块位于可信设备中,为可信设备和用户提供本地身份验证材料的采集、保存,以及本地身份验证的功能。
P106:网络通信模块:该模块位于可信设备和认证服务中,
P107:可信设备管理模块:该模块位于认证服务中,为可信设备和认证服务提供网络通信的功能。
P108:用户认证管理模块:该模块位于认证服务中,为认证服务提供用户证件信息的解析、人像比对、身份认证的功能。
Claims (10)
1.一种基于可信设备的用户身份认证方法,包含以下步骤:
(1)判断当前设备和用户是否完成前置流程且结果为是;如果为否,则设备和用户执行前置流程;
(2)与认证服务交互,获取身份认证参数;
(3)用户在设备上完成本地身份验证且结果为是;如果为否,则中止整个认证流程;
(4)计算用户身份认证凭据;
(5)与认证服务交互,提交用户身份认证凭据到认证服务;
(6)认证服务验证用户身份认证凭据,返回验证结果。
2.如权利要求1所述的方法,所述可信设备,其特征为:
(1)可以提供与实时执行环境隔离的可信执行环境的硬件运算模块;
(2)设备可以随机生成用于非对称密码学的密钥对,并通过安全机制确保其中的私钥无法离开设备的可信执行环境;
(3)设备完成了所述可信设备注册前置流程。
3.如权利要求1所述的方法,所述认证服务,其特征为:与所述可信设备物理隔离的一组逻辑服务,与可信设备之间通过网络进行通信。
4.如权利要求1所述的方法,所述身份认证凭据,其特征为:一组用于身份认证的数据结构,至少包含了使用用户身份认证材料所计算的所述认证参数对应的数字签名值。
5.如权利要求4所述的流程,所述身份认证材料,其特征为:一对通过非对称密码学生成的密钥对,其中公钥可以从设备中导出并提交给认证服务用于身份验证,私钥无法从设备中导出,用于可信设备或用户计算身份认证凭据。
6.如权利要求1所述的方法,所述判断当前设备和用户是否完成前置流程,包含以下步骤:
(1)判断当前设备上是否存在设备身份认证密钥对且结果为是;如果为否,则执行可信设备注册流程;
(2)判断当前设备上是否存在用户身份认证密钥对且结果为是;如果为否,则执行用户关联可信设备流程。
7.如权利要求6所述的可信设备注册流程,包含以下步骤:
(1)根据自身设备硬件参数,计算设备特征值,生成设备身份认证材料;
(2)与认证服务交互,提交所述生成的设备身份认证材料和设备特征值;
(3)认证服务保存设备特征值和设备身份认证材料。
8.如权利要求6所述的用户关联可信设备流程,包含以下步骤:
(1)可信设备采集用户的身份证件信息和用户人脸图像;
(2)接收并保存用户输入的本地身份验证材料,生成用户身份认证材料;
(3)与认证服务交互,提交采集到的用户身份证件信息、用户人脸图像和用户身份认证材料;
(4)认证服务解析用户身份证件信息并比对采集到的用户人脸图像与证件头像相似度,判断相似度是否高于预设阈值且结果为是;如果为否,则中止用户关联可信设备流程;
(5)认证服务保存可信设备与用户身份认证材料的关联关系。
9.如权利要求8所述的流程,所述本地身份验证材料,其特征为:为用户所输入的一段个人身份识别码(PIN)或用户本人的生物特征标识,本地身份验证材料仅保存在可信设备内部专用区域。
10.一种基于可信设备的用户身份认证装置,包含以下模块:
(1)证件信息采集模块:为可信设备提供用户证件信息采集功能;
(2)人脸图像采集模块:为可信设备提供用户人脸图像采集功能;
(3)设备密钥管理模块:为可信设备提供用于非对称密码学的密钥生成、使用、导出等功能;
(4)设备管理模块:为可信设备提供设备物理信息采集、设备特征值计算等功能;
(5)本地身份验证模块:为可信设备和用户提供本地身份验证材料的采集、保存,以及本地身份验证的功能;
(6)网络通信模块:为可信设备和认证服务提供网络通信的功能;
(7)可信设备管理模块:为认证服务提供可信设备的注册、认证、用户关联可信设备的功能;
(8)用户认证管理模块:为认证服务提供用户证件信息的解析、人像比对、身份认证的功能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111260390.2A CN113992411A (zh) | 2021-11-01 | 2021-11-01 | 一种基于可信设备的用户身份认证方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111260390.2A CN113992411A (zh) | 2021-11-01 | 2021-11-01 | 一种基于可信设备的用户身份认证方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113992411A true CN113992411A (zh) | 2022-01-28 |
Family
ID=79743088
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111260390.2A Pending CN113992411A (zh) | 2021-11-01 | 2021-11-01 | 一种基于可信设备的用户身份认证方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113992411A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115208704A (zh) * | 2022-09-16 | 2022-10-18 | 欣诚信息技术有限公司 | 一种身份认证系统及政法服务应用系统 |
| CN116305330A (zh) * | 2023-05-22 | 2023-06-23 | 西安晟昕科技股份有限公司 | 一种cpu硬件的安全管理方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107113315A (zh) * | 2016-04-15 | 2017-08-29 | 深圳前海达闼云端智能科技有限公司 | 一种身份认证方法、终端及服务器 |
| CN107196922A (zh) * | 2017-05-03 | 2017-09-22 | 国民认证科技(北京)有限公司 | 身份认证方法、用户设备和服务器 |
| CN107241317A (zh) * | 2017-05-24 | 2017-10-10 | 国民认证科技(北京)有限公司 | 生物特征识别身份的方法和用户终端设备以及身份认证服务器 |
| CN107294721A (zh) * | 2016-03-30 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 基于生物特征的身份注册、认证的方法和装置 |
| WO2020087805A1 (zh) * | 2018-11-02 | 2020-05-07 | 中国科学院沈阳自动化研究所 | 基于双密值和混沌加密的可信测控网络认证方法 |
| CN111245870A (zh) * | 2020-04-26 | 2020-06-05 | 国网电子商务有限公司 | 基于移动终端的身份认证方法及相关装置 |
| CN111414599A (zh) * | 2020-02-26 | 2020-07-14 | 北京奇艺世纪科技有限公司 | 身份验证方法、装置、终端、服务端以及可读存储介质 |
| US20200293644A1 (en) * | 2014-08-28 | 2020-09-17 | Facetec, Inc. | Method and system to verify identity |
-
2021
- 2021-11-01 CN CN202111260390.2A patent/CN113992411A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20200293644A1 (en) * | 2014-08-28 | 2020-09-17 | Facetec, Inc. | Method and system to verify identity |
| CN107294721A (zh) * | 2016-03-30 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 基于生物特征的身份注册、认证的方法和装置 |
| CN107113315A (zh) * | 2016-04-15 | 2017-08-29 | 深圳前海达闼云端智能科技有限公司 | 一种身份认证方法、终端及服务器 |
| CN107196922A (zh) * | 2017-05-03 | 2017-09-22 | 国民认证科技(北京)有限公司 | 身份认证方法、用户设备和服务器 |
| CN107241317A (zh) * | 2017-05-24 | 2017-10-10 | 国民认证科技(北京)有限公司 | 生物特征识别身份的方法和用户终端设备以及身份认证服务器 |
| WO2020087805A1 (zh) * | 2018-11-02 | 2020-05-07 | 中国科学院沈阳自动化研究所 | 基于双密值和混沌加密的可信测控网络认证方法 |
| CN111414599A (zh) * | 2020-02-26 | 2020-07-14 | 北京奇艺世纪科技有限公司 | 身份验证方法、装置、终端、服务端以及可读存储介质 |
| CN111245870A (zh) * | 2020-04-26 | 2020-06-05 | 国网电子商务有限公司 | 基于移动终端的身份认证方法及相关装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115208704A (zh) * | 2022-09-16 | 2022-10-18 | 欣诚信息技术有限公司 | 一种身份认证系统及政法服务应用系统 |
| CN116305330A (zh) * | 2023-05-22 | 2023-06-23 | 西安晟昕科技股份有限公司 | 一种cpu硬件的安全管理方法 |
| CN116305330B (zh) * | 2023-05-22 | 2023-08-04 | 西安晟昕科技股份有限公司 | 一种cpu硬件的安全管理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111614637B (zh) | 一种基于软件密码模块的安全通信方法及系统 | |
| US7793340B2 (en) | Cryptographic binding of authentication schemes | |
| US8769289B1 (en) | Authentication of a user accessing a protected resource using multi-channel protocol | |
| CN111435913B (zh) | 一种物联网终端的身份认证方法、装置和存储介质 | |
| US8966263B2 (en) | System and method of network equipment remote access authentication in a communications network | |
| US7366904B2 (en) | Method for modifying validity of a certificate using biometric information in public key infrastructure-based authentication system | |
| CN111447214A (zh) | 一种基于指纹识别的公钥密码集中服务的方法 | |
| CN111431719A (zh) | 一种移动终端密码保护模块、移动终端及密码保护方法 | |
| CN104135494A (zh) | 一种基于可信终端的同账户非可信终端登录方法及系统 | |
| CN113992411A (zh) | 一种基于可信设备的用户身份认证方法和装置 | |
| CN112766962A (zh) | 证书的接收、发送方法及交易系统、存储介质、电子装置 | |
| CN104767617A (zh) | 一种信息处理方法、系统和相关设备 | |
| CN112312393A (zh) | 5g应用接入认证方法及5g应用接入认证网络架构 | |
| Khan et al. | A brief review on cloud computing authentication frameworks | |
| CN111767531B (zh) | 一种基于生物特征的认证系统和方法 | |
| CN112383401B (zh) | 一种提供身份鉴别服务的用户名生成方法及系统 | |
| CN112242993B (zh) | 双向认证方法及系统 | |
| CN107104888B (zh) | 一种安全的即时通信方法 | |
| CN117336092A (zh) | 一种客户端登录方法、装置、电子设备和存储介质 | |
| TW201328280A (zh) | 即時通訊身分認證系統與方法 | |
| CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
| CN213938340U (zh) | 5g应用接入认证网络架构 | |
| US20050097322A1 (en) | Distributed authentication framework stack | |
| US20200053059A1 (en) | Secure Method to Replicate On-Premise Secrets in a Cloud Environment | |
| KR100406525B1 (ko) | 무선 공개키 기반 구조에서의 인증서 발급 요청/처리 장치및 그 방법과 그를 이용한 인증서 발급 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20220128 |