CN114553444B - 身份认证方法、装置及存储介质 - Google Patents
身份认证方法、装置及存储介质 Download PDFInfo
- Publication number
- CN114553444B CN114553444B CN202210447988.0A CN202210447988A CN114553444B CN 114553444 B CN114553444 B CN 114553444B CN 202210447988 A CN202210447988 A CN 202210447988A CN 114553444 B CN114553444 B CN 114553444B
- Authority
- CN
- China
- Prior art keywords
- certificate
- target user
- signature
- user signature
- signature certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请公开了一种身份认证方法、装置及存储介质。该方法基于智能卡设备的密码运算进行身份验证,主要包括以下步骤:首先可进行根证书自验签,然后基于根证书验证用户签名证书,在验证通过后,利用用户的签名密钥对进行自签名及自验签,为了保证安全性,可以进一步进行双因子认证,在一系列认证成功后,解析用户的身份信息。本申请解决了由于相关技术中在网络出现异常的情况下客户端无法与服务端进行通信造成的客户端无法进行身份认证,影响客户端后续正常使用,以及验证方式简单,安全性低,易破解的技术问题。
Description
技术领域
本申请涉及身份认证领域,具体而言,涉及一种身份认证方法、装置及存储介质。
背景技术
C/S架构模式产品中,可以基于网络传输的方式,进行客户端与服务端之间的身份认证。但是在这种模式下,如果有网络异常、网络波动、断网等情况下,客户端无法连接到服务端进行身份认证,导致客户端无法正常使用,且相关技术中,一般采用用户登录信息与预存的用户信息列表进行匹配的方式,进行用户身份的验证,该方案存在验证原理简单,安全性低,易破解,易伪造的技术问题。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种身份认证方法、装置及存储介质,以至少解决由于相关技术中在网络出现异常的情况下客户端无法与服务端进行通信造成的客户端无法进行身份认证,影响客户端后续正常使用,以及验证方式简单,安全性低,易破解的技术问题。
根据本申请实施例的一个方面,提供了一种身份认证方法,该方法应用于客户端本地中,包括: 获取预置在智能卡设备中的根证书,对根证书进行自验签,确定根证书为有效状态,其中,根证书用于指示目标用户签名证书的颁发系统是否为目标系统;读取智能卡设备中的目标用户签名证书,基于根证书对目标用户签名证书进行验证,确定目标用户签名证书是否第一预设条件,其中,第一预设条件包括:目标用户签名证书签名值有效,且目标用户签名证书的授权密钥标识符与根证书的使用密钥标识符一致;在确定目标用户签名证书满足第一预设条件,且目标用户签名证书满足第二预设条件的情况下,对目标用户签名证书进行解析,得到用户身份信息,其中,第二预设条件至少包括:签名密钥对自验签通过。
可选地,该方法还包括:获取服务端的证书吊销列表,其中,证书吊销列表至少包括:已被吊销的用户签名证书的序列号;获取目标用户签名证书对应的目标证书序列号,确定当前时刻距离证书吊销列表上次更新的时间间隔;在时间间隔大于预设阈值的情况下,对证书吊销列表进行更新,得到更新后的证书吊销列表;将更新后的证书吊销列表中包含有目标证书序列号的情况下,确定目标用户签名证书已被吊销。
可选地,在确定目标用户签名证书未被吊销之后,方法还包括:获取目标用户签名证书的有效期;将当前时刻与有效期进行匹配,在确定当前时刻不属于有效期所指示的时段的情况下,确定目标用户签名证书已过期。
可选地,签名密钥对自验签通过,通过如下方式确定:获取智能卡设备生成的随机数,基于哈希算法,得到第一摘要值;基于智能卡设备的签名私钥对第一摘要值进行签名,得到签名值;基于智能卡设备的签名证书解析出签名公钥,基于签名公钥解密签名值,得到第二摘要值;在第一摘要值与第一摘要值一致的情况下,则确定验签通过。
可选地,方法还包括:接收输入信息,其中,输入信息包括:智能卡设备对应的个人识别标识码PIN码;对PIN码进行校验,在PIN码校验通过的情况下,获取智能卡设备的私钥访问权限。
根据本申请实施例的一个方面,还提供了一种身份认证装置,包括:第一获取模块,用于获取预置在智能卡设备中的根证书,对根证书进行自验签,确定根证书为有效状态,其中,根证书用于指示目标用户签名证书的颁发系统是否为目标系统;读取模块,用于读取智能卡设备中的目标用户签名证书,基于根证书对目标用户签名证书进行验证,确定目标用户签名证书是否第一预设条件,其中,第一预设条件包括:目标用户签名证书签名值有效,且目标用户签名证书的授权密钥标识符与根证书的使用密钥标识符一致;解析模块,用于在确定目标用户签名证书满足第一预设条件,且目标用户签名证书满足第二预设条件的情况下,对目标用户签名证书进行解析,得到用户身份信息,其中,第二预设条件至少包括:签名密钥对自验签通过。
可选地,装置还包括:第二获取模块,用于获取服务端的证书吊销列表,其中,证书吊销列表至少包括:已被吊销的用户签名证书的序列号,确定当前时刻距离证书吊销列表上次更新的时间间隔;更新模块,用于在时间间隔大于预设阈值的情况下,对证书吊销列表进行更新,得到更新后的证书吊销列表;第一确定模块,用于将更新后的证书吊销列表中包含有目标用户签名证书对应的目标证书序列号的情况下,确定目标用户签名证书已被吊销。
可选地,装置还包括:第三获取模块,用于在确定目标用户签名证书未被吊销之后,获取目标用户签名证书的有效期;第二确定模块,用于将当前时刻与有效期进行匹配,在确定当前时刻不属于有效期所指示的时段的情况下,确定目标用户签名证书已过期。
可选地,装置还包括:接收模块,用于接收输入信息,其中,输入信息包括:智能卡设备对应的个人识别标识码PIN码;校验模块,用于对PIN码进行校验,在PIN码校验通过的情况下,获取智能卡设备的私钥访问权限。
根据本申请实施例的另一方面,还提供了一种非易失性存储介质,非易失性存储介质包括存储的程序,其中,在程序运行时控制非易失性存储介质所在设备任意一种身份认证方法。
根据本申请实施例的另一方面,还提供了一种处理器,处理器用于运行程序,其中,程序运行时执行任意一种身份认证方法。
在本申请实施例中,采用在客户端本地完成身份认证的方式,通过获取预置在智能卡设备中的根证书,对根证书进行自验签,确定根证书为有效状态,其中,根证书用于指示目标用户签名证书的颁发系统是否为目标系统;读取智能卡设备中的目标用户签名证书,基于根证书对目标用户签名证书进行验证,确定目标用户签名证书是否第一预设条件,其中,第一预设条件包括:目标用户签名证书签名值有效,且目标用户签名证书的授权密钥标识符与根证书的使用密钥标识符一致;在确定目标用户签名证书满足第一预设条件,且目标用户签名证书满足第二预设条件的情况下,对目标用户签名证书进行解析,得到用户身份信息,其中,第二预设条件至少包括:签名密钥对自验签通过,达到了将服务端的身份认证过程,迁移至客户端本地进行以及基于智能卡CA数字证书进行签名验签的目的,从而实现了在客户端与服务端之间即使存在网络故障也可顺利完成身份认证,保证客户端的正常使用,提高验证逻辑复杂度,增强安全性的技术效果,进而解决了由于相关技术中在网络出现异常的情况下客户端无法与服务端进行通信造成的客户端无法进行身份认证,影响客户端后续正常使用,以及验证方式简单,安全性低,易破解的技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的一种可选的身份认证方法的流程示意图;
图2是根据本申请实施例的一种可选的身份认证装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
根据本申请实施例,提供了一种身份认证方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本申请实施例的身份认证方法,该方法应用于客户端本地中,如图1所示,该方法包括如下步骤:
步骤S102,获取预置在智能卡设备中的根证书,对根证书进行自验签,确定根证书为有效状态,其中,根证书用于指示目标用户签名证书的颁发系统是否为目标系统;
步骤S104,读取智能卡设备中的目标用户签名证书,基于根证书对目标用户签名证书进行验证,确定目标用户签名证书是否第一预设条件,其中,第一预设条件包括:目标用户签名证书签名值有效,且目标用户签名证书的授权密钥标识符与根证书的使用密钥标识符一致;
步骤S106,在确定目标用户签名证书满足第一预设条件,且目标用户签名证书满足第二预设条件的情况下,对目标用户签名证书进行解析,得到用户身份信息,其中,第二预设条件至少包括:签名密钥对自验签通过。
该身份认证方法中,通过获取预置在智能卡设备中的根证书,对根证书进行自验签,确定根证书为有效状态,其中,根证书用于指示目标用户签名证书的颁发系统是否为目标系统;读取智能卡设备中的目标用户签名证书,基于根证书对目标用户签名证书进行验证,确定目标用户签名证书是否第一预设条件,其中,第一预设条件包括:目标用户签名证书签名值有效,且目标用户签名证书的授权密钥标识符与根证书的使用密钥标识符一致;在确定目标用户签名证书满足第一预设条件,且目标用户签名证书满足第二预设条件的情况下,对目标用户签名证书进行解析,得到用户身份信息,其中,第二预设条件至少包括:签名密钥对自验签通过,达到了将服务端的身份认证过程,迁移至客户端本地进行以及基于智能卡CA数字证书进行签名验签的目的,从而实现了在客户端与服务端之间即使存在网络故障也可顺利完成身份认证,保证客户端的正常使用,提高验证逻辑复杂度,增强安全性的技术效果,进而解决了由于相关技术中在网络出现异常的情况下客户端无法与服务端进行通信造成的客户端无法进行身份认证,影响客户端后续正常使用,以及验证方式简单,安全性低,易破解的技术问题。
本申请一些可选的实施例中,在基于根证书对目标用户签名证书进行验证,确定目标用户签名证书是否第一预设条件之后,可获取服务端的证书吊销列表,其中,证书吊销列表至少包括:已被吊销的用户签名证书的序列号;获取目标用户签名证书对应的目标证书序列号,基于证书吊销列表确定目标用户签名证书是否被吊销。
作为一种可选的实施方式,上述根证书通过如下方式确定:解析用户签名证书的授权密钥标识符,根据根证书链中的使用者密钥标识符,查找用户签名证书对应的根证书。
需要说明的是,上述根证书可能只有一级,也可能为存在多级根证书的根证书链,如果用户签名证书是由根证书链签发的,则需要确定用户签名证书的授权密钥标识符,利用授权密钥标识符确定使用密钥标识符,然后,根据使用者密钥标识符确定用户签名证书是由哪一级根证书签发的。例如,根证书链包括:一级根证书,二级根证书,其中,一级根证书签发二级根证书,二级根证书签发用户签名证书,因此,可利用用户签名证书的授权密钥标识符查找根证书链表里的根证书的使用密钥标识符,根据对应关系确定用户的签名证书是由哪一级根证书签发的,如果授权密钥标识符对应的使用密钥标识符,与某一级根证书的使用密钥标识符一致,则表示该用户签名证书是被该根证书签发的。
本申请一些实施例中,基于证书吊销列表确定目标用户签名证书是否被吊销,可以通过如下步骤实现,具体的,确定当前时刻距离证书吊销列表上次更新的时间间隔;在时间间隔大于预设阈值的情况下,对证书吊销列表进行更新,得到更新后的证书吊销列表;将更新后的证书吊销列表中包含有目标证书序列号的情况下,确定目标用户签名证书已被吊销。
需要说明的是,在更新后的证书吊销列表中不包含有目标证书序列号的情况下,确定目标用户签名证书未被吊销。
本申请一些可选的实施例中,在确定目标用户签名证书未被吊销之后,还可获取目标用户签名证书的有效期;将当前时刻与有效期进行匹配,在确定当前时刻不属于有效期所指示的时段的情况下,确定目标用户签名证书已过期。
本申请一些实施例中,在解析目标用户签名证书,获取用户信息完成身份验证之前,可获取智能卡设备生成的随机数,基于哈希算法,得到第一摘要值;基于智能卡设备的签名私钥对第一摘要值进行签名,得到签名值;基于智能卡设备的签名证书解析出签名公钥,基于签名公钥解密签名值,得到第二摘要值;在第一摘要值与第一摘要值一致的情况下,则确定验签通过。
作为一种可选的实施方式,可通过如下步骤实现双因子认证,具体的,可通过预置在终端设备的签名证书的签名值与智能卡中的签名证书的签名值作对比,并且可以用预置在终端设备的智能卡硬件序列号与当前使用的智能卡序列号做对比,并在各个对比结果一致的情况下,则确定智能卡可正常投入使用。
本申请一些可选的实施例中,可接收输入信息,其中,输入信息包括:智能卡设备对应的个人识别标识码PIN码;对PIN码进行校验,在PIN码校验通过的情况下,获取智能卡设备的私钥访问权限。
为便于本领域技术人员更好理解本申请相关实施例,现结合一具体方式对本申请实施例进行说明,具体的:
1,用户向客户端终端插入智能卡设备,校验硬件设备PIN码,获取私钥访问用户权限。
2,用预先从服务端同步到本地的根证书,自验签,校验根证书有效性,是否被篡改。
3,用预先从服务端同步到本地的证书吊销列表CRL,用根证书验证吊销列表签名值,校验CRL有效性,是否被篡改。
4,读取智能卡设备里用户签名证书,用预先从服务端同步到本地的根证书,通过X509技术,解析根证书获取公钥,解析用户签名证书TBS信息和签名值,用SM2非对称验签算法,校验用户证书签名值是否有效;并且解析根证书的使用者密钥标识符和用户签名证书的授权密钥标识符是否一致。
5,解析用户签名证书,获取证书序列号,用证书序列号在吊销列表CRL查询,校验证书是否已被吊销。
6,解析用户签名证书的有效期,开始时间和截至时间,校验证书是否已过期。
7,用智能卡产生随机数,通过访问签名私钥,用SM2非对称签名验签算法进行自签名和验签。
8,解析用户签名证书,获取用户信息,完成身份认证。
图2是根据本申请实施例的一种身份认证装置,如图2所示,该装置包括:
第一获取模块40,用于获取预置在智能卡设备中的根证书,对根证书进行自验签,确定根证书为有效状态,其中,根证书用于指示目标用户签名证书的颁发系统是否为目标系统;
读取模块42,用于读取智能卡设备中的目标用户签名证书,基于根证书对目标用户签名证书进行验证,确定目标用户签名证书是否第一预设条件,其中,第一预设条件包括:目标用户签名证书签名值有效,且目标用户签名证书的授权密钥标识符与根证书的使用密钥标识符一致;
解析模块44,用于在确定目标用户签名证书满足第一预设条件,且目标用户签名证书满足第二预设条件的情况下,对目标用户签名证书进行解析,得到用户身份信息,其中,第二预设条件至少包括:签名密钥对自验签通过。
该身份认证装置中,第一获取模块40,用于获取预置在智能卡设备中的根证书,对根证书进行自验签,确定根证书为有效状态,其中,根证书用于指示目标用户签名证书的颁发系统是否为目标系统;读取模块42,用于读取智能卡设备中的目标用户签名证书,基于根证书对目标用户签名证书进行验证,确定目标用户签名证书是否第一预设条件,其中,第一预设条件包括:目标用户签名证书签名值有效,且目标用户签名证书的授权密钥标识符与根证书的使用密钥标识符一致;解析模块44,用于在确定目标用户签名证书满足第一预设条件,且目标用户签名证书满足第二预设条件的情况下,对目标用户签名证书进行解析,得到用户身份信息,其中,第二预设条件至少包括:签名密钥对自验签通过,达到了将服务端的身份认证过程,迁移至客户端本地进行以及基于智能卡CA数字证书进行签名验签的目的,从而实现了在客户端与服务端之间即使存在网络故障也可顺利完成身份认证,保证客户端的正常使用,提高验证逻辑复杂度,增强安全性的技术效果,进而解决了由于相关技术中在网络出现异常的情况下客户端无法与服务端进行通信造成的客户端无法进行身份认证,影响客户端后续正常使用,以及验证方式简单,安全性低,易破解的技术问题。
可选地,装置还包括:第二获取模块,用于获取服务端的证书吊销列表,其中,证书吊销列表至少包括:已被吊销的用户签名证书的序列号,确定当前时刻距离证书吊销列表上次更新的时间间隔;更新模块,用于在时间间隔大于预设阈值的情况下,对证书吊销列表进行更新,得到更新后的证书吊销列表;第一确定模块,用于将更新后的证书吊销列表中包含有目标用户签名证书对应的目标证书序列号的情况下,确定目标用户签名证书已被吊销。
可选地,装置还包括:第三获取模块,用于在确定目标用户签名证书未被吊销之后,获取目标用户签名证书的有效期;第二确定模块,用于将当前时刻与有效期进行匹配,在确定当前时刻不属于有效期所指示的时段的情况下,确定目标用户签名证书已过期。
可选地,装置还包括:接收模块,用于接收输入信息,其中,输入信息包括:智能卡设备对应的个人识别标识码PIN码;校验模块,用于对PIN码进行校验,在PIN码校验通过的情况下,获取智能卡设备的私钥访问权限。
根据本申请实施例的另一方面,还提供了一种非易失性存储介质,非易失性存储介质包括存储的程序,其中,在程序运行时控制非易失性存储介质所在设备任意一种身份认证方法。
根据本申请实施例的另一方面,还提供了一种处理器,处理器用于运行程序,其中,程序运行时执行任意一种身份认证方法。
具体地,上述存储介质用于存储执行以下功能的程序指令,实现以下功能:
获取预置在智能卡设备中的根证书,对根证书进行自验签,确定根证书为有效状态,其中,根证书用于指示目标用户签名证书的颁发系统是否为目标系统;读取智能卡设备中的目标用户签名证书,基于根证书对目标用户签名证书进行验证,确定目标用户签名证书是否第一预设条件,其中,第一预设条件包括:目标用户签名证书签名值有效,且目标用户签名证书的授权密钥标识符与根证书的使用密钥标识符一致;在确定目标用户签名证书满足第一预设条件,且目标用户签名证书满足第二预设条件的情况下,对目标用户签名证书进行解析,得到用户身份信息,其中,第二预设条件至少包括:签名密钥对自验签通过。
具体地,上述处理器用于调用存储器中的程序指令,实现以下功能:
获取预置在智能卡设备中的根证书,对根证书进行自验签,确定根证书为有效状态,其中,根证书用于指示目标用户签名证书的颁发系统是否为目标系统;读取智能卡设备中的目标用户签名证书,基于根证书对目标用户签名证书进行验证,确定目标用户签名证书是否第一预设条件,其中,第一预设条件包括:目标用户签名证书签名值有效,且目标用户签名证书的授权密钥标识符与根证书的使用密钥标识符一致;在确定目标用户签名证书满足第一预设条件,且目标用户签名证书满足第二预设条件的情况下,对目标用户签名证书进行解析,得到用户身份信息,其中,第二预设条件至少包括:签名密钥对自验签通过。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (10)
1.一种身份认证方法,其特征在于,所述方法应用于客户端本地中,包括:
获取预置在智能卡设备中的根证书,对所述根证书进行自验签,确定所述根证书为有效状态,其中,所述根证书用于指示目标用户签名证书的颁发系统是否为目标系统;
读取所述智能卡设备中的所述目标用户签名证书,基于所述根证书对所述目标用户签名证书进行验证,确定所述目标用户签名证书是否第一预设条件,其中,所述第一预设条件包括:所述目标用户签名证书签名值有效,且所述目标用户签名证书的授权密钥标识符与所述根证书的使用密钥标识符一致;
在确定所述目标用户签名证书满足第一预设条件,且所述目标用户签名证书满足第二预设条件的情况下,对所述目标用户签名证书进行解析,得到用户身份信息,其中,所述第二预设条件至少包括:签名密钥对自验签通过。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取服务端的证书吊销列表,其中,所述证书吊销列表至少包括:已被吊销的用户签名证书的序列号;确定当前时刻距离所述证书吊销列表上次更新的时间间隔;
在所述时间间隔大于预设阈值的情况下,对所述证书吊销列表进行更新,得到更新后的证书吊销列表;
将所述更新后的证书吊销列表中包含有所述目标用户签名证书对应的所述目标证书序列号的情况下,确定所述目标用户签名证书已被吊销。
3.根据权利要求2所述的方法,其特征在于,在确定目标用户签名证书未被吊销之后,所述方法还包括:
获取所述目标用户签名证书的有效期;
将所述当前时刻与所述有效期进行匹配,在确定所述当前时刻不属于所述有效期所指示的时段的情况下,确定所述目标用户签名证书已过期。
4.根据权利要求1所述的方法,其特征在于,签名密钥对自验签通过,通过如下方式确定:
获取所述智能卡设备生成的随机数,基于哈希算法,得到第一摘要值;
基于所述智能卡设备的签名私钥对所述第一摘要值进行签名,得到签名值;
基于所述智能卡设备的签名证书解析出签名公钥,基于所述签名公钥解密所述签名值,得到第二摘要值;
在所述第一摘要值与第一摘要值一致的情况下,则确定验签通过。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收输入信息,其中,所述输入信息包括:所述智能卡设备对应的个人识别标识码PIN码;
对所述PIN码进行校验,在所述PIN码校验通过的情况下,获取所述智能卡设备的私钥访问权限。
6.一种身份认证装置,其特征在于,包括:
第一获取模块,用于获取预置在智能卡设备中的根证书,对所述根证书进行自验签,确定所述根证书为有效状态,其中,所述根证书用于指示目标用户签名证书的颁发系统是否为目标系统;
读取模块,用于读取所述智能卡设备中的所述目标用户签名证书,基于所述根证书对所述目标用户签名证书进行验证,确定所述目标用户签名证书是否第一预设条件,其中,所述第一预设条件包括:所述目标用户签名证书签名值有效,且所述目标用户签名证书的授权密钥标识符与所述根证书的使用密钥标识符一致;
解析模块,用于在确定所述目标用户签名证书满足第一预设条件,且所述目标用户签名证书满足第二预设条件的情况下,对所述目标用户签名证书进行解析,得到用户身份信息,其中,所述第二预设条件至少包括:签名密钥对自验签通过。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第三获取模块,用于在确定目标用户签名证书未被吊销之后,获取所述目标用户签名证书的有效期;
第二确定模块,用于将当前时刻与所述有效期进行匹配,在确定所述当前时刻不属于所述有效期所指示的时段的情况下,确定所述目标用户签名证书已过期。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括:
接收模块,用于接收输入信息,其中,所述输入信息包括:所述智能卡设备对应的个人识别标识码PIN码;
校验模块,用于对所述PIN码进行校验,在所述PIN码校验通过的情况下,获取所述智能卡设备的私钥访问权限。
9.一种非易失性存储介质,其特征在于,所述非易失性存储介质包括存储的程序,其中,在所述程序运行时控制所述非易失性存储介质所在设备执行权利要求1至5中任意一项所述身份认证方法。
10.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至5中任意一项所述身份认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210447988.0A CN114553444B (zh) | 2022-04-27 | 2022-04-27 | 身份认证方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210447988.0A CN114553444B (zh) | 2022-04-27 | 2022-04-27 | 身份认证方法、装置及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114553444A CN114553444A (zh) | 2022-05-27 |
| CN114553444B true CN114553444B (zh) | 2022-07-29 |
Family
ID=81667637
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210447988.0A Active CN114553444B (zh) | 2022-04-27 | 2022-04-27 | 身份认证方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114553444B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115549930B (zh) * | 2022-12-02 | 2023-03-03 | 北京时代亿信科技股份有限公司 | 登录操作系统的验证方法 |
| CN116760610B (zh) * | 2023-06-30 | 2024-05-07 | 中国科学院空天信息创新研究院 | 网络受限条件下的用户跨域认证系统、方法、设备及介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112134711A (zh) * | 2020-09-24 | 2020-12-25 | 深圳市捷诚技术服务有限公司 | Apk签名信息的安全验证方法、装置以及pos机 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9621356B2 (en) * | 2014-03-06 | 2017-04-11 | Apple Inc. | Revocation of root certificates |
| CN107294722A (zh) * | 2016-03-31 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 一种终端身份认证方法、装置及系统 |
| CN107070667B (zh) * | 2017-06-07 | 2020-08-04 | 国民认证科技(北京)有限公司 | 身份认证方法 |
| CN109743176B (zh) * | 2018-12-28 | 2020-07-28 | 百富计算机技术(深圳)有限公司 | 一种pos终端的证书更新方法、服务器及pos终端 |
| US10756908B1 (en) * | 2019-02-22 | 2020-08-25 | Beyond Identity Inc. | User authentication with self-signed certificate and identity verification |
| CN110035071A (zh) * | 2019-03-26 | 2019-07-19 | 南瑞集团有限公司 | 一种面向工控系统的远程双因子双向认证方法、客户端及服务端 |
| CN114218548B (zh) * | 2021-12-14 | 2022-08-19 | 北京海泰方圆科技股份有限公司 | 身份验证证书生成方法、认证方法、装置、设备及介质 |
-
2022
- 2022-04-27 CN CN202210447988.0A patent/CN114553444B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112134711A (zh) * | 2020-09-24 | 2020-12-25 | 深圳市捷诚技术服务有限公司 | Apk签名信息的安全验证方法、装置以及pos机 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114553444A (zh) | 2022-05-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108646983B (zh) | 在区块链上存储业务数据的处理方法和装置 | |
| US20210044441A1 (en) | Method and system for creating and checking the validity of device certificates | |
| CN109493221B (zh) | 区块链中交易记录保密方法、设备、网络及存储介质 | |
| CN114553444B (zh) | 身份认证方法、装置及存储介质 | |
| CN107742212B (zh) | 基于区块链的资产验证方法、装置及系统 | |
| EP2819050B1 (en) | Electronic signature system for an electronic document using a third-party authentication circuit | |
| KR101937220B1 (ko) | 키 관리가 필요없는 블록체인을 기반한 전자서명 또는 메시지 인증 코드를 생성 및 검증 방법 | |
| TWM623435U (zh) | 使用多安全層級驗證客戶身分與交易服務之系統 | |
| CN111224788A (zh) | 一种基于区块链的电子合同管理方法、装置及系统 | |
| CN112152961B (zh) | 一种恶意加密流量的识别方法及装置 | |
| CN104363207A (zh) | 多因子安全增强授权与认证方法 | |
| EP3544226B1 (en) | Unified secure device provisioning | |
| CN104820814A (zh) | 第二代身份证防伪验证系统 | |
| CN113872932A (zh) | 微服务间的接口鉴权方法、系统、终端及存储介质 | |
| CN110740140A (zh) | 一种基于云平台的网络信息安全监管系统 | |
| CN110266653A (zh) | 一种鉴权方法、系统及终端设备 | |
| CN112073967B (zh) | 一种手机盾设备身份证书下载的方法、装置和电子设备 | |
| CN111600701A (zh) | 一种基于区块链的私钥存储方法、装置及存储介质 | |
| CN112583594A (zh) | 数据处理方法、采集设备和网关、可信平台及存储介质 | |
| CN115208669B (zh) | 一种基于区块链技术的分布式身份认证方法及系统 | |
| CN108183804B (zh) | 证书共享方法 | |
| CN114915454B (zh) | 数据获取方法、系统 | |
| CN109508201A (zh) | 一种基于硬件认证和安全审查的uefi更新方法及系统 | |
| CN116112242A (zh) | 面向电力调控系统的统一安全认证方法及系统 | |
| CN112825093B (zh) | 安全基线检查方法、主机、服务器、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |