CN114520976B - 用户身份识别卡的认证方法及装置、非易失性存储介质 - Google Patents
用户身份识别卡的认证方法及装置、非易失性存储介质 Download PDFInfo
- Publication number
- CN114520976B CN114520976B CN202210413504.0A CN202210413504A CN114520976B CN 114520976 B CN114520976 B CN 114520976B CN 202210413504 A CN202210413504 A CN 202210413504A CN 114520976 B CN114520976 B CN 114520976B
- Authority
- CN
- China
- Prior art keywords
- certificate
- server
- timestamp
- authentication
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephone Function (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开了一种用户身份识别卡的认证方法及装置、非易失性存储介质。其中,该方法包括:接收通过移动终端发起的对用户身份识别卡进行认证的认证请求,其中,认证请求中包括:移动终端的加密证书;获取时间戳服务器生成的时间戳,利用解析移动终端的加密证书得到的公钥加密时间戳,得到密文时间戳;将密文时间戳以及服务器的加密证书发送至移动终端;接收移动终端发送的认证信息,并依据认证信息对用户身份识别卡进行认证,其中,认证信息是移动终端基于用户身份识别卡的信息、服务器的加密证书和密文时间戳得到的。本申请解决了现有的SIM卡认证技术存在验证强度低、安全系数低的技术问题。
Description
技术领域
本申请涉及芯片安全领域,具体而言,涉及一种用户身份识别卡的认证方法及装置、非易失性存储介质。
背景技术
超级用户身份识别卡(Subscriber Identity Module,SIM),也称为超级SIM卡,是基于SIM卡安全芯片,利用SIM卡不同功能模块,实现低中高不同等级认证的安全产品,可为用户提供基于手机号码的一键登录、金融U盾认证、电子身份认证等能力。
现有SIM卡认证方法是通过流量通道,将SIM卡对应的手机号码发送至服务器进行验证,验证强度低,安全系数低。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种用户身份识别卡的认证方法及装置、非易失性存储介质,以至少解决现有的SIM卡认证技术存在验证强度低、安全系数低的技术问题。
根据本申请实施例的一个方面,提供了一种用户身份识别卡的认证方法,包括:接收通过移动终端发起的对用户身份识别卡进行认证的认证请求,其中,认证请求中包括:移动终端的加密证书;获取时间戳服务器生成的时间戳,利用解析移动终端的加密证书得到的公钥加密时间戳,得到密文时间戳,其中,时间戳是服务器接收到认证请求后主动连接时间戳服务器获取的;将密文时间戳以及服务器的加密证书发送至移动终端;接收移动终端发送的认证信息,并依据认证信息对用户身份识别卡进行认证,其中,认证信息是移动终端基于用户身份识别卡的信息、服务器的加密证书和密文时间戳得到的。
可选地,认证信息包括:签名值、签名证书、密文信息以及会话密钥密文。
可选地,密文信息通过以下方法生成:移动终端校验用户身份识别卡的个人识别密码;校验成功后,利用移动终端的加密私钥采用SM2算法解密密文时间戳,得到明文时间戳;通过会话密钥采用SM4算法加密用户身份识别卡的信息和明文时间戳,得到密文信息,其中,会话密钥为移动终端生成的随机数。
可选地,签名值通过以下方法生成:通过SM3摘要算法对用户身份识别卡的信息和明文时间戳进行处理,得到第一摘要值;通过SM2非对称算法对第一摘要值进行签名运算,得到签名值。
可选地,会话密钥密文通过以下方法生成:利用解析服务器的加密证书得到的公钥采用SM2算法加密会话密钥,得到会话密钥密文。
可选地,依据认证信息对用户身份识别卡进行认证,包括:检测签名证书的授权密钥标识符与服务器本地存储的根证书的密钥标识符是否一致,以验证签名证书是否为服务器签发的证书;依据根证书的公钥对签名证书的签名值进行验签,以验证签名证书是否被篡改;检测签名证书的使用期是否在有效期内,以及检测签名证书是否处于有效使用状态;如果签名证书满足全部以下条件,确定用户身份识别卡认证通过:签名证书是服务器签发的证书;签名证书没有被篡改;签名证书的使用期在有效期内;签名证书处于有效使用状态。
可选地,依据认证信息对用户身份识别卡进行认证,还包括:利用服务器的加密私钥解密会话密钥密文,得到明文会话密钥;利用明文会话密钥解密密文信息,得到明文信息,明文信息包括:明文时间戳和用户身份识别卡的信息;利用解析签名证书得到的公钥解密签名值,得到第一摘要值;通过SM3摘要算法对明文信息进行处理,得到第二摘要值;在第二摘要值和第一摘要值相同的情况下,确定用户身份识别卡认证通过。
可选地,利用明文会话密钥解密密文信息,得到明文信息之后,上述方法还包括:确定解密密文信息得到的明文时间戳与时间戳服务器生成的时间戳之间的时间差是否超过预设时长;在时间差未超过预设时长的情况下,确定用户身份识别卡认证通过。
可选地,依据认证信息对用户身份识别卡进行认证之后,上述方法还包括:校验服务器中是否存在用户身份识别卡的注册信息,得到校验结果;将校验结果和对用户身份识别卡进行认证的认证结果发送至移动终端。
根据本申请实施例的另一方面,还提供了一种用户身份识别卡的认证方法,包括:向服务器发送对用户身份识别卡进行认证的认证请求,其中,认证请求中包括:移动终端的加密证书;接收服务器的加密证书以及密文时间戳,其中,密文时间戳是服务器利用解析移动终端的加密证书得到的公钥加密时间戳得到的,时间戳是服务器获取认证请求后主动连接时间戳服务器获取的;依据用户身份识别卡的信息、服务器的加密证书和密文时间戳确定认证信息,并将认证信息发送至服务器,其中,认证信息包括:签名值、签名证书、密文信息以及会话密钥密文,服务器利用认证信息对用户身份识别卡进行认证。
根据本申请实施例的另一方面,还提供了一种用户身份识别卡的认证装置,包括:接收模块,设置为接收通过移动终端发起的对用户身份识别卡进行认证的认证请求,其中,认证请求中包括:移动终端的加密证书;预生成模块,设置为获取时间戳服务器生成的时间戳,利用解析移动终端的加密证书得到的公钥加密时间戳,得到密文时间戳,其中,时间戳是服务器接收到认证请求后主动连接时间戳服务器获取的;发送模块,设置为将密文时间戳以及服务器的加密证书发送至移动终端;认证模块,设置为接收移动终端发送的认证信息,并依据认证信息对用户身份识别卡进行认证,其中,认证信息是移动终端基于用户身份识别卡的信息、服务器的加密证书和密文时间戳得到的。
根据本申请实施例的再一方面,还提供了一种非易失性存储介质,非易失性存储介质包括存储的程序,其中,在程序运行时控制非易失性存储介质所在设备执行以上的用户身份识别卡的认证方法。
根据本申请实施例的再一方面,还提供了一种处理器,处理器用于运行存储在存储器中的程序,其中,程序运行时执行以上的用户身份识别卡的认证方法。
在本申请实施例中,采用接收通过移动终端发起的对用户身份识别卡进行认证的认证请求,其中,认证请求中包括:移动终端的加密证书;获取时间戳服务器生成的时间戳,利用解析移动终端的加密证书得到的公钥加密时间戳,得到密文时间戳,其中,时间戳是服务器接收到认证请求后主动连接时间戳服务器获取的;将密文时间戳以及服务器的加密证书发送至移动终端;接收移动终端发送的认证信息,并依据认证信息对用户身份识别卡进行认证,其中,认证信息是移动终端基于用户身份识别卡的信息、服务器的加密证书和密文时间戳得到的的方式,通过手机超级SIM卡的存储和密码运算能力,运用CA数字证书,签名验签技术,时间戳技术,验证逻辑复杂,并通过密码计算得出认证结果,从而实现了提高手机SIM卡的验证强度,提高SIM卡的安全系数的技术效果,进而解决了现有的SIM卡认证技术存在验证强度低、安全系数低技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了一种用于实现用户身份识别卡的认证方法的计算机终端(或移动设备)的硬件结构框图;
图2是根据本申请实施例的服务器一侧的一种用户身份识别卡的认证方法的流程图;
图3是根据本申请实施例的终端设备一侧的一种用户身份识别卡的认证方法的流程图;
图4是根据本申请实施例的一种用户身份识别卡的认证方法的流程图;
图5是根据本申请实施例的一种用户身份识别卡的认证装置的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先,在对本申请实施例进行描述的过程中出现的部分名词或术语适用于如下解释:
SM3,一种密码散列函数标准,在商用密码体系中,主要用于数字签名及验证、消息认证码生成及验证、随机数生成等。
SM2,椭圆曲线公钥密码算法。
SM4,一种分组密码标准,在商用密码体系中,主要用于数据加密。
PIN码,Personal Identification Number,是指SIM卡的个人识别密码。
签名证书,主要用于对用户信息进行签名,以保证信息的不可否认性。
加密证书,主要用于对用户信息进行加密,以保证信息的真实性和完整性。
PKI,Public Key Infrastructure,所有与数字证书相关的各种概念和技术。
CA数字证书,是由CA机构颁发的证明,它包含了公钥。公钥拥有者名称、CA的数字签名、有效期、授权中心名称、证书序列号信息。可以通俗地理解为数字证书是个人或者企业在网络上的身份证。
根据本申请实施例,提供了一种用户身份识别卡的认证方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。图1示出了一种用于实现用户身份识别卡的认证方法的计算机终端(或移动设备)的硬件结构框图。如图1所示,计算机终端10(或移动设备10)可以包括一个或多个(图中采用102a、102b,……,102n来示出)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输装置106。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为BUS总线的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
应当注意到的是上述一个或多个处理器102和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到计算机终端10(或移动设备)中的其他元件中的任意一个内。如本申请实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器104可用于存储应用软件的软件程序以及模块,如本申请实施例中的用户身份识别卡的认证方法对应的程序指令/数据存储装置,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的用户身份识别卡的认证方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与计算机终端10(或移动设备)的用户界面进行交互。
图2是根据本申请实施例的服务器一侧的一种用户身份识别卡的认证方法的流程图,如图2所示,该方法包括如下步骤:
步骤S202,接收通过移动终端发起的对用户身份识别卡进行认证的认证请求,其中,认证请求中包括:移动终端的加密证书。
移动端通过预置的业务编码,发起认证请求至认证服务平台(下文中称为服务器),认证请求中包括移动端的加密证书(服务器通过该加密证书加密关键信息)。
步骤S204,获取时间戳服务器生成的时间戳,利用解析移动终端的加密证书得到的公钥加密时间戳,得到密文时间戳,其中,时间戳是服务器接收到认证请求后主动连接时间戳服务器获取的。
服务器校验业务编码通过后,连接时间戳服务器,产生时间戳。并通过解析移动终端的加密证书得到的公钥,采用非对称SM2算法加密时间戳,得到密文时间戳。
步骤S206,将密文时间戳以及服务器的加密证书发送至移动终端。
服务器导出服务器的加密证书(客户端通过该加密证书加密会话密钥,下文中进行描述),将密文时间戳和服务器的加密证书返回给移动终端。
步骤S208,接收移动终端发送的认证信息,并依据认证信息对用户身份识别卡进行认证,其中,认证信息是移动终端基于用户身份识别卡的信息、服务器的加密证书和密文时间戳得到的。
通过上述步骤,通过手机超级SIM卡的存储和密码运算能力,运用CA数字证书,签名验签技术,时间戳技术,从而实现了提高手机SIM卡的验证强度,提高SIM卡的安全系数的技术效果。
根据本申请的一个可选的实施例,上述认证信息包括:签名值、签名证书、密文信息以及会话密钥密文。
移动终端发起二次请求流程,将签名值、签名证书、密文信息以及会话密钥密文发送至服务器。
签名证书主要用于对用户信息进行签名,以保证信息的不可否认性。会话秘钥密文信息主要用于对用户传送信息进行加密,以保证信息的真实性和完整性。
根据本申请的另一个可选的实施例,密文信息通过以下方法生成:移动终端校验用户身份识别卡的个人识别密码;校验成功后,利用移动终端的加密私钥采用SM2算法解密密文时间戳,得到明文时间戳;通过会话密钥采用SM4算法加密用户身份识别卡的信息和明文时间戳,得到密文信息,其中,会话密钥为移动终端生成的随机数。
移动终端校验SIM卡的个人识别密码(也称为PIN码),获取超级SIM卡信息。
利用用加密私钥,采用非对称SM2算法解密密文时间戳,得到明文时间戳。然后生成随机数作为会话密钥,并通过会话密钥采用对称SM4算法加密超级SIM卡信息和明文时间戳,形成上述密文信息。
根据本申请的另一个可选的实施例,上述签名值通过以下方法生成:通过SM3摘要算法对用户身份识别卡的信息和明文时间戳进行处理,得到第一摘要值;通过SM2非对称算法对第一摘要值进行签名运算,得到签名值。
移动终端校验SIM卡的个人识别密码(也称为PIN码),获取超级SIM卡信息,并和上文中得到的明文时间戳进行SM3摘要算法,得到摘要值(即上述第一摘要值)。再采用SM2非对称算法对摘要值进行签名运算,得到签名值。
在本申请的一些可选的实施例中,会话密钥密文通过以下方法生成:利用解析服务器的加密证书得到的公钥采用SM2算法加密会话密钥,得到会话密钥密文。
在本步骤中,通过解析服务器的加密证书得到的公钥,采用非对称SM2算法加密会话密钥,得到会话密钥密文。
在本申请的另一些可选的实施例中,执行步骤S208依据认证信息对用户身份识别卡进行认证,包括以下步骤:检测签名证书的授权密钥标识符与服务器本地存储的根证书的密钥标识符是否一致,以验证签名证书是否为服务器签发的证书;依据根证书的公钥对签名证书的签名值进行验签,以验证签名证书是否被篡改;检测签名证书的使用期是否在有效期内,以及检测签名证书是否处于有效使用状态;如果签名证书满足全部以下条件,确定用户身份识别卡认证通过:签名证书是服务器签发的证书;签名证书没有被篡改;签名证书的使用期在有效期内;签名证书处于有效使用状态。
在本步骤中,如果签名证书的授权密钥标识符与服务器本地存储的根证书的密钥标识符一致,说明签名证书是服务器签发的证书(即本系统签发的证书),若二者不一致,则说明签名证书是不是本系统签发的证书。
签名证书包括用户信息和公钥两部分内容,签名值是通过服务器本地存储的根证书对应的私钥,对签名证书包括的用户信息和公钥做签名运算得到的。
依据根证书的公钥对签名证书的签名值进行验签主要通过以下方法实现:利用根证书的公钥解密签名值,得到一个摘要值。然后利用和移动终端同样的算法(例如SM3摘要算法)对签名值做摘要,得到一个摘要值。比对这两个摘要值,如果相同,确定签名证书没有被篡改;否则,确定签名证书被篡改。
此外,服务器还验证移动终端的签名证书的有效性,包含有效期,以及是否被吊销。如果签名证书在有效期内,并且处于有效使用状态(即没有被吊销),确定移动终端的SIM卡认证通过,否则认证不通过。
作为一个可选的实施例,执行步骤S208依据认证信息对用户身份识别卡进行认证,还可以通过以下方法实现:利用服务器的加密私钥解密会话密钥密文,得到明文会话密钥;利用明文会话密钥解密密文信息,得到明文信息,明文信息包括:明文时间戳和用户身份识别卡的信息;利用解析签名证书得到的公钥解密签名值,得到第一摘要值;通过SM3摘要算法对明文信息进行处理,得到第二摘要值;在第二摘要值和第一摘要值相同的情况下,确定用户身份识别卡认证通过。
服务器利用加密私钥解密会话密钥密文,得到明文会话密钥;然后利用明文会话密钥解密密文信息,得到明文信息。
利用解析移动终端的签名证书得到的公钥,解密签名值得到第一摘要值;通过SM3摘要算法,对上述明文信息进行摘要处理,得到第二摘要值,与第一摘要值对比,如果二者一致,则确定用户身份识别卡认证通过,否则认证失败。
根据本申请的一个可选的实施例,利用明文会话密钥解密密文信息,得到明文信息之后,确定解密密文信息得到的明文时间戳与时间戳服务器生成的时间戳之间的时间差是否超过预设时长;在时间差未超过预设时长的情况下,确定用户身份识别卡认证通过。
认证服务平台根据时间戳信息,判断接收到的认证请求是否超时,防止重放。重放攻击是计算机世界黑客常用的攻击方式之一,攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程。
例如,步骤S204中获取的时间戳的时间为t1,将该时间戳加密后发送至移动终端。待移动终端发起二次请求流程,移动终端采用非对称SM2算法解密密文时间戳,得到明文时间戳,然后将明文时间戳和超级SIM卡信息加密后得到密文信息,发送至服务器,服务器进行二次验证的过程中,对接收到的密文信息进行解密,得到该明文信息,例如,服务器解密密文信息得到的明文时间戳的时间为t2。如果t2与t1的时间差大于预设时长,则说明该认证请求在传输的过程中可能被非法劫持,存在安全隐患。因此,通过上述方法可以防止移动终端的SIM卡认证请求被劫持后非法篡改,可以进一步提高移动终端的SIM卡的安全性的技术效果。
作为一个可选的实施例,依据认证信息对用户身份识别卡进行认证之后,校验服务器中是否存在用户身份识别卡的注册信息,得到校验结果;将校验结果和对用户身份识别卡进行认证的认证结果发送至移动终端。
移动终端的SIM卡认证完成后,校验服务器端是否注册SIM卡信息,如果注册,服务器对SIM卡授权,如果没有注册,生成报错信息。
此外,服务器还将校验服务器端是否注册SIM卡信息的校验结果以及对SIM卡的认证结果返回给移动终端,移动终端显示服务器的返回信息。
作为一个可选的实施例,移动终端显示服务器的返回信息可以包括以下信息:
SIM卡在服务器注册,并且认证通过;
SIM卡在服务器注册,未认证通过;
SIM卡在服务器未注册,认证通过;
SIM卡在服务器未注册,并且未认证通过。
本申请提供的方法通过短信通道,基于超级SIM卡的存储和运算能力,运用PKI 体系,结合CA数字证书技术,对移动终端的SIM卡进行强身份认证。具备安全性高,抗破解,抗身份伪造,防身份抵赖,防重放的优点。
图3是根据本申请实施例的的终端设备一侧的一种用户身份识别卡的认证方法的流程图,如图3所示,该方法包括以下步骤:
步骤S302,向服务器发送对用户身份识别卡进行认证的认证请求,其中,认证请求中包括:移动终端的加密证书。
步骤S304,接收服务器的加密证书以及密文时间戳,其中,密文时间戳是服务器利用解析移动终端的加密证书得到的公钥加密时间戳得到的,时间戳是服务器获取认证请求后主动连接时间戳服务器获取的。
步骤S306,依据用户身份识别卡的信息、服务器的加密证书和密文时间戳确定认证信息,并将认证信息发送至服务器,其中,认证信息包括:签名值、签名证书、密文信息以及会话密钥密文,服务器利用认证信息对用户身份识别卡进行认证。
通过上述步骤,通过手机超级SIM卡的存储和密码运算能力,运用CA数字证书,签名验签技术,时间戳技术,从而实现了提高手机SIM卡的验证强度,提高SIM卡的安全系数的技术效果。
需要说明的是,图3所示实施例的优选实施方式可以参见图2所示实施例的相关描述,此处不再赘述。
图4是根据本申请实施例的另一种用户身份识别卡的认证方法的流程图,结合图4对用户身份识别卡进行认证的过程中,服务器和移动终端的交互过程进行说明,如图4所示,服务器和移动终端的交互流程如下:
1.移动终端设备发起对SIM卡进行认证的认证请求,移动终端设备通过预置的业务编码,并导出移动端的加密证书,发送至服务器。
2.服务器校验业务编码通过后,连接时间戳服务器,产生时间戳;并通过移动终端的加密证书(解析证书得到公钥),采用非对称SM2算法加密时间戳,得到密文时间戳;并导出服务器的加密证书,将密文时间戳和服务的加密证书返回给移动终端。
3.移动终端发起二次请求流程,将密文信息、签名值、会话密钥密文、签名证书发送至服务器,其中,密文信息、签名值、会话密钥密文、签名证书通过以下方法生成:
(1)校验PIN码;
(2)采用加密私钥,通过非对称SM2算法解密密文时间戳,得到明文时间戳;
(3)生成随机数作为会话密钥,并通过会话密钥采用对称SM4算法加密获取的超级SIM卡信息和明文时间戳,形成密文信息;
(4)采用SM3摘要算法对获取的超级SIM卡信息和明文时间戳摘要,得到摘要值;
(5)采用非对称SM2算法对摘要值进行签名运算,得到签名值;
(6)通过服务器的加密证书(解析证书得到公钥),采用非对称SM2算法加密会话密钥,得到会话密钥密文;
(7)导出签名证书。
4.服务器进行二次验证流程
(1)用服务器根证书验证移动终端的签名证书,是否为本系统签发证书,是否被篡改;
(2)校验移动终端的签名证书的有效性,包括是否被吊销,是否已过期;
(3)用服务器的加密私钥解密会话密钥密文,得到明文会话密钥;
(4)用明文会话密钥解密密文信息,得到明文信息;
(5)用移动终端的签名证书(解析证书得到公钥),解密签名值得到摘要值;
(6)用移动端同样的SM3摘要算法,对明文信息摘要,得到摘要值,与步骤(5)中的摘要值做对比,如果一致则验签成功,否则验签失败;
(7)服务器校验时间戳时间是否超过阈值,并一次有效,防止重放;
(8)校验SIM卡信息,是否注册,并授权;
(9)将认证结果返回给移动端。
5.移动终端根据服务器返回的信息,认证成功或者失败。
需要说明的是,图5所示实施例的优选实施方式可以参见图2所示实施例的相关描述,此处不再赘述。
图5是根据本申请实施例的一种用户身份识别卡的认证装置的结构框图,如图5所示,该装置包括:
接收模块50,设置为接收通过移动终端发起的对用户身份识别卡进行认证的认证请求,其中,认证请求中包括:移动终端的加密证书。
预生成模块52,设置为获取时间戳服务器生成的时间戳,利用解析移动终端的加密证书得到的公钥加密时间戳,得到密文时间戳,其中,时间戳是服务器接收到认证请求后主动连接时间戳服务器获取的。
发送模块54,设置为将密文时间戳以及服务器的加密证书发送至移动终端。
认证模块56,设置为接收移动终端发送的认证信息,并依据认证信息对用户身份识别卡进行认证,其中,认证信息是移动终端基于用户身份识别卡的信息、服务器的加密证书和密文时间戳得到的。
需要说明的是,图5所示实施例的优选实施方式可以参见图2所示实施例的相关描述,此处不再赘述。
本申请实施例还提供了一种非易失性存储介质,非易失性存储介质包括存储的程序,其中,在程序运行时控制非易失性存储介质所在设备执行以上的用户身份识别卡的认证方法。
上述非易失性存储介质用于存储执行以下功能的程序:接收通过移动终端发起的对用户身份识别卡进行认证的认证请求,其中,认证请求中包括:移动终端的加密证书;获取时间戳服务器生成的时间戳,利用解析移动终端的加密证书得到的公钥加密时间戳,得到密文时间戳,其中,时间戳是服务器接收到认证请求后主动连接时间戳服务器获取的;将密文时间戳以及服务器的加密证书发送至移动终端;接收移动终端发送的认证信息,并依据认证信息对用户身份识别卡进行认证,其中,认证信息是移动终端基于用户身份识别卡的信息、服务器的加密证书和密文时间戳得到的。或者
向服务器发送对用户身份识别卡进行认证的认证请求,其中,认证请求中包括:移动终端的加密证书;接收服务器的加密证书以及密文时间戳,其中,密文时间戳是服务器利用解析移动终端的加密证书得到的公钥加密时间戳得到的,时间戳是服务器获取认证请求后主动连接时间戳服务器获取的;依据用户身份识别卡的信息、服务器的加密证书和密文时间戳确定认证信息,并将认证信息发送至服务器,其中,服务器利用认证信息对用户身份识别卡进行认证。
本申请实施例还提供了一种处理器,处理器用于运行存储在存储器中的程序,其中,程序运行时执行以上的用户身份识别卡的认证方法。
上述处理器用于运行执行以下功能的程序:接收通过移动终端发起的对用户身份识别卡进行认证的认证请求,其中,认证请求中包括:移动终端的加密证书;获取时间戳服务器生成的时间戳,利用解析移动终端的加密证书得到的公钥加密时间戳,得到密文时间戳,其中,时间戳是服务器接收到认证请求后主动连接时间戳服务器获取的;将密文时间戳以及服务器的加密证书发送至移动终端;接收移动终端发送的认证信息,并依据认证信息对用户身份识别卡进行认证,其中,认证信息是移动终端基于用户身份识别卡的信息、服务器的加密证书和密文时间戳得到的。或者
向服务器发送对用户身份识别卡进行认证的认证请求,其中,认证请求中包括:移动终端的加密证书;接收服务器的加密证书以及密文时间戳,其中,密文时间戳是服务器利用解析移动终端的加密证书得到的公钥加密时间戳得到的,时间戳是服务器获取认证请求后主动连接时间戳服务器获取的;依据用户身份识别卡的信息、服务器的加密证书和密文时间戳确定认证信息,并将认证信息发送至服务器,其中,服务器利用认证信息对用户身份识别卡进行认证。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对相关技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (11)
1.一种用户身份识别卡的认证方法,其特征在于,包括:
接收通过移动终端发起的对超级用户身份识别卡进行认证的认证请求,其中,所述认证请求中包括:所述移动终端的加密证书;
获取时间戳服务器生成的时间戳,利用解析所述移动终端的加密证书得到的公钥加密所述时间戳,得到密文时间戳,其中,所述时间戳是服务器接收到所述认证请求后主动连接所述时间戳服务器获取的;
将所述密文时间戳以及服务器的加密证书发送至所述移动终端;
接收所述移动终端发送的认证信息,并依据所述认证信息对所述超级用户身份识别卡进行认证,其中,所述认证信息是所述移动终端基于所述超级用户身份识别卡的信息、所述服务器的加密证书和所述密文时间戳得到的;
所述认证信息包括:签名值、签名证书、密文信息以及会话密钥密文;
依据所述认证信息对所述超级用户身份识别卡进行认证,包括:
检测所述签名证书的授权密钥标识符与所述服务器本地存储的根证书的密钥标识符是否一致,以验证所述签名证书是否为所述服务器签发的证书;
依据所述根证书的公钥对所述签名证书的签名值进行验签,以验证所述签名证书是否被篡改;
检测所述签名证书的使用期是否在有效期内,以及检测所述签名证书是否处于有效使用状态;
如果所述签名证书满足全部以下条件,确定所述超级用户身份识别卡认证通过:
所述签名证书是所述服务器签发的证书;
所述签名证书没有被篡改;
所述签名证书的使用期在有效期内;
所述签名证书处于有效使用状态。
2.根据权利要求1所述的方法,其特征在于,所述密文信息通过以下方法生成:
所述移动终端校验所述超级用户身份识别卡的个人识别密码;
校验成功后,利用所述移动终端的加密私钥采用SM2算法解密所述密文时间戳,得到明文时间戳;
通过会话密钥采用SM4算法加密所述超级用户身份识别卡的信息和所述明文时间戳,得到所述密文信息,其中,所述会话密钥为所述移动终端生成的随机数。
3.根据权利要求2所述的方法,其特征在于,所述签名值通过以下方法生成:
通过SM3摘要算法对所述超级用户身份识别卡的信息和所述明文时间戳进行处理,得到第一摘要值;
通过SM2非对称算法对所述第一摘要值进行签名运算,得到所述签名值。
4.根据权利要求2所述的方法,其特征在于,所述会话密钥密文通过以下方法生成:
利用解析所述服务器的加密证书得到的公钥采用SM2算法加密所述会话密钥,得到所述会话密钥密文。
5.根据权利要求3所述的方法,其特征在于,依据所述认证信息对所述超级用户身份识别卡进行认证,还包括:
利用所述服务器的加密私钥解密所述会话密钥密文,得到明文会话密钥;
利用所述明文会话密钥解密所述密文信息,得到明文信息,所述明文信息包括:所述明文时间戳和所述超级用户身份识别卡的信息;
利用解析所述签名证书得到的公钥解密所述签名值,得到所述第一摘要值;
通过SM3摘要算法对所述明文信息进行处理,得到第二摘要值;
在所述第二摘要值和所述第一摘要值相同的情况下,确定所述超级用户身份识别卡认证通过。
6.根据权利要求5所述的方法,其特征在于,利用所述明文会话密钥解密所述密文信息,得到明文信息之后,所述方法还包括:
确定解密所述密文信息得到的所述明文时间戳与所述时间戳服务器生成的时间戳之间的时间差是否超过预设时长;
在所述时间差未超过所述预设时长的情况下,确定所述超级用户身份识别卡认证通过。
7.根据权利要求1所述的方法,其特征在于,依据所述认证信息对所述超级用户身份识别卡进行认证之后,所述方法还包括:
校验所述服务器中是否存在所述超级用户身份识别卡的注册信息,得到校验结果;
将所述校验结果和对所述超级用户身份识别卡进行认证的认证结果发送至所述移动终端。
8.一种用户身份识别卡的认证方法,其特征在于,包括:
向服务器发送对超级用户身份识别卡进行认证的认证请求,其中,所述认证请求中包括:移动终端的加密证书;
接收所述服务器的加密证书以及密文时间戳,其中,所述密文时间戳是所述服务器利用解析所述移动终端的加密证书得到的公钥加密时间戳得到的,所述时间戳是所述服务器获取所述认证请求后主动连接间戳服务器获取的;
依据所述超级用户身份识别卡的信息、所述服务器的加密证书和所述密文时间戳确定认证信息,并将所述认证信息发送至所述服务器,其中,所述认证信息包括:签名值、签名证书、密文信息以及会话密钥密文,所述服务器利用所述认证信息对所述超级用户身份识别卡进行认证;
所述服务器通过以下方法利用所述认证信息对所述超级用户身份识别卡进行认证:
检测所述签名证书的授权密钥标识符与所述服务器本地存储的根证书的密钥标识符是否一致,以验证所述签名证书是否为所述服务器签发的证书;
依据所述根证书的公钥对所述签名证书的签名值进行验签,以验证所述签名证书是否被篡改;
检测所述签名证书的使用期是否在有效期内,以及检测所述签名证书是否处于有效使用状态;
如果所述签名证书满足全部以下条件,确定所述超级用户身份识别卡认证通过:
所述签名证书是所述服务器签发的证书;
所述签名证书没有被篡改;
所述签名证书的使用期在有效期内;
所述签名证书处于有效使用状态。
9.一种用户身份识别卡的认证装置,其特征在于,包括:
接收模块,设置为接收通过移动终端发起的对超级用户身份识别卡进行认证的认证请求,其中,所述认证请求中包括:所述移动终端的加密证书;
预生成模块,设置为获取时间戳服务器生成的时间戳,利用解析所述移动终端的加密证书得到的公钥加密所述时间戳,得到密文时间戳,其中,所述时间戳是服务器接收到所述认证请求后主动连接所述时间戳服务器获取的;
发送模块,设置为将所述密文时间戳以及服务器的加密证书发送至所述移动终端;
认证模块,设置为接收所述移动终端发送的认证信息,并依据所述认证信息对所述超级用户身份识别卡进行认证,其中,所述认证信息是所述移动终端基于所述超级用户身份识别卡的信息、所述服务器的加密证书和所述密文时间戳得到的;
所述认证信息包括:签名值、签名证书、密文信息以及会话密钥密文;
所述认证模块,还设置为检测所述签名证书的授权密钥标识符与所述服务器本地存储的根证书的密钥标识符是否一致,以验证所述签名证书是否为所述服务器签发的证书;依据所述根证书的公钥对所述签名证书的签名值进行验签,以验证所述签名证书是否被篡改;检测所述签名证书的使用期是否在有效期内,以及检测所述签名证书是否处于有效使用状态;如果所述签名证书满足全部以下条件,确定所述超级用户身份识别卡认证通过:所述签名证书是所述服务器签发的证书;所述签名证书没有被篡改;所述签名证书的使用期在有效期内;所述签名证书处于有效使用状态。
10.一种非易失性存储介质,其特征在于,所述非易失性存储介质包括存储的程序,其中,在所述程序运行时控制所述非易失性存储介质所在设备执行权利要求1至8中任意一项所述的用户身份识别卡的认证方法。
11.一种处理器,其特征在于,所述处理器用于运行存储在存储器中的程序,其中,所述程序运行时执行权利要求1至8中任意一项所述的用户身份识别卡的认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210413504.0A CN114520976B (zh) | 2022-04-20 | 2022-04-20 | 用户身份识别卡的认证方法及装置、非易失性存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210413504.0A CN114520976B (zh) | 2022-04-20 | 2022-04-20 | 用户身份识别卡的认证方法及装置、非易失性存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114520976A CN114520976A (zh) | 2022-05-20 |
| CN114520976B true CN114520976B (zh) | 2022-07-01 |
Family
ID=81600498
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210413504.0A Active CN114520976B (zh) | 2022-04-20 | 2022-04-20 | 用户身份识别卡的认证方法及装置、非易失性存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114520976B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114978694A (zh) * | 2022-05-23 | 2022-08-30 | 深圳云创数安科技有限公司 | 基于数字签名的数据体生成方法、装置、设备及存储介质 |
| CN115412916B (zh) * | 2022-07-26 | 2024-05-24 | 北京握奇数据股份有限公司 | 一种基于超级sim卡授权的app认证方法及系统 |
| CN115277025B (zh) * | 2022-08-26 | 2023-01-06 | 广州万协通信息技术有限公司 | 安全芯片的设备认证方法、安全芯片装置、设备及介质 |
| CN115842632A (zh) * | 2022-11-15 | 2023-03-24 | 宁德时代新能源科技股份有限公司 | 身份认证方法、装置、设备及介质 |
| CN116383902B (zh) * | 2023-02-28 | 2023-12-19 | 国网浙江省电力有限公司常山县供电公司 | 一种涉密usb接口授权连接设备及其授权连接方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2912578B1 (fr) * | 2007-02-13 | 2009-05-22 | Airbus France Sas | Methode d'authentification d'un document electronique et methode de verification d'un document ainsi authentifie. |
| SG2014011308A (en) * | 2014-02-11 | 2015-09-29 | Smart Communications Inc | Authentication system and method |
| CN109547471B (zh) * | 2018-12-24 | 2021-10-26 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 网络通信方法和装置 |
| CN112055355A (zh) * | 2020-09-01 | 2020-12-08 | 紫光云(南京)数字技术有限公司 | 基于5g超级sim卡的上网密码管理系统 |
| CN112291064B (zh) * | 2020-10-10 | 2022-08-30 | 达闼机器人股份有限公司 | 认证系统,注册及认证方法、装置,存储介质及电子设备 |
-
2022
- 2022-04-20 CN CN202210413504.0A patent/CN114520976B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN114520976A (zh) | 2022-05-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114520976B (zh) | 用户身份识别卡的认证方法及装置、非易失性存储介质 | |
| CN109714167B (zh) | 适用于移动应用签名的身份认证与密钥协商方法及设备 | |
| US10708072B2 (en) | Mutual authentication of confidential communication | |
| CN109728909B (zh) | 基于USBKey的身份认证方法和系统 | |
| CN110535628B (zh) | 通过证书签发进行多方安全计算的方法及装置 | |
| US7269730B2 (en) | Method and apparatus for providing peer authentication for an internet key exchange | |
| EP1886438B1 (en) | Method for inclusive authentication and management of service provider, terminal and user identity module, and system and terminal device using the method | |
| US9185111B2 (en) | Cryptographic authentication techniques for mobile devices | |
| CN112039918B (zh) | 一种基于标识密码算法的物联网可信认证方法 | |
| CN110020524B (zh) | 一种基于智能卡的双向认证方法 | |
| JP2005515715A (ja) | データ伝送リンク | |
| CN109861813B (zh) | 基于非对称密钥池的抗量子计算https通信方法和系统 | |
| CN112351037B (zh) | 用于安全通信的信息处理方法及装置 | |
| CN113497778A (zh) | 一种数据的传输方法和装置 | |
| CN112312393A (zh) | 5g应用接入认证方法及5g应用接入认证网络架构 | |
| US20090044007A1 (en) | Secure Communication Between a Data Processing Device and a Security Module | |
| CN103905388A (zh) | 一种认证方法、认证装置、智能卡、服务器 | |
| CN111756528A (zh) | 一种量子会话密钥分发方法、装置及通信架构 | |
| CN116633530A (zh) | 量子密钥传输方法、装置及系统 | |
| CN112583588B (zh) | 一种通信方法及装置、可读存储介质 | |
| EP3185504A1 (en) | Security management system for securing a communication between a remote server and an electronic device | |
| EP3035589A1 (en) | Security management system for authenticating a token by a service provider server | |
| GB2407236A (en) | Diffie-Hellman exchange of a session key | |
| EP3361670B1 (en) | Multi-ttp-based method and device for verifying validity of identity of entity | |
| CN115549929B (zh) | 基于零信任网络隐身的spa单包认证方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |