CN116233832A - 验证信息发送方法及装置 - Google Patents

验证信息发送方法及装置 Download PDF

Info

Publication number
CN116233832A
CN116233832A CN202211595900.6A CN202211595900A CN116233832A CN 116233832 A CN116233832 A CN 116233832A CN 202211595900 A CN202211595900 A CN 202211595900A CN 116233832 A CN116233832 A CN 116233832A
Authority
CN
China
Prior art keywords
information
session key
application program
random number
user information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211595900.6A
Other languages
English (en)
Inventor
张涛
李春波
张磊
张琳
王程辉
王叶舟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202211595900.6A priority Critical patent/CN116233832A/zh
Publication of CN116233832A publication Critical patent/CN116233832A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请提供了一种验证信息发送方法及装置。该方法包括:基于SIM卡的安全介质信息和本地身份认证平台的认证平台信息,确定会话密钥;基于会话密钥对安全介质信息进行加密处理,生成身份认证请求;获取由身份认证服务器返回的第一随机数;基于会话密钥对第一随机数和本地生成的第二随机数进行HMAC处理,生成第一HMAC结果;获取由身份认证服务器对所述第一HMAC结果比对成功返回的加密用户信息和令牌信息密文;基于预存的量子密钥解密加密用户信息和令牌信息密文,得到解密用户信息和令牌信息,将解密用户信息和令牌信息发送给目标应用程序,以由目标应用程序根据解密用户信息和令牌信息进行账号验证。本申请可以提高登录的便捷性和安全性。

Description

验证信息发送方法及装置
技术领域
本申请涉及网络安全技术领域,特别是涉及一种验证信息发送方法及装置。
背景技术
目前,移动端APP(APPlication,应用程序)等软件产品大多采用账号密码和手机短信登录的方式,因为账号密码登录需要用户注册账号,填写相应的信息,且在用户使用账号密码登录时需要记住繁琐的密码。验证码登录需要用户填写手机号,等待验证码短信,在发送过程可能会面临短信被拦截,以及SIM(Subscriber Identity Module,客户识别模块)卡欠费无法使用的问题。
发明内容
本申请实施例所要解决的技术问题是提供一种验证信息发送方法及装置,以有效解决用户在使用移动软件过程中免密登录的问题,提高登录的便捷性和安全性。
第一方面,本申请实施例提供了一种验证信息发送方法,应用于中间件应用程序,所述方法包括:
响应于接入的目标应用程序认证成功,基于SIM卡的安全介质信息和本地身份认证平台的认证平台信息,确定会话密钥;
基于所述会话密钥对所述安全介质信息进行加密处理,生成身份认证请求;
获取由身份认证服务器对所述身份认证请求认证成功后返回的第一随机数;
基于所述会话密钥对所述第一随机数和本地生成的第二随机数进行HMAC处理,生成第一HMAC结果;
获取由所述身份认证服务器对所述第一HMAC结果比对成功返回的加密用户信息和令牌信息密文;
基于预存的量子密钥解密所述加密用户信息和令牌信息密文,得到解密用户信息和令牌信息,将所述解密用户信息和所述令牌信息发送给所述目标应用程序,以由所述目标应用程序根据所述解密用户信息和所述令牌信息进行账号验证。
可选地,在所述基于SIM卡的安全介质信息和本地身份认证平台的认证平台信息,确定会话密钥之前,还包括:
响应于所述目标应用程序接入,获取所述目标应用程序预先配置的API接口验证序号;
基于预设算法对所述API接口验证序号进行解密处理,得到解密API接口验证序号;
基于所述解密API接口验证序号对所述目标应用程序进行认证。
可选地,所述基于SIM卡的安全介质信息和本地身份认证平台的认证平台信息,确定会话密钥,包括:
基于所述安全介质信息和所述认证平台信息,生成通信密钥获取请求;
将所述通信密钥获取请求发送给密码管理服务系统;
获取由所述密码管理服务系统基于所述安全介质信息、所述认证平台信息和卡内预存的量子密钥生成的加密会话密钥;
对所述加密会话密钥进行解密处理,得到所述会话密钥。
可选地,所述对所述加密会话密钥进行解密处理,得到所述会话密钥,包括:
基于卡内预存的量子密钥对所述加密会话密钥进行解密处理,得到解密后的所述会话密钥。
第二方面,本申请实施例提供了一种验证信息发送方法,应用于身份认证服务器,所述方法包括:
对接收的中间件应用程序发送的身份认证请求中携带的加密安全介质信息进行解密处理,得到安全介质信息;
响应于所述安全介质信息认证通过,生成第一随机数;
获取所述中间件应用程序基于会话密钥对所述第一随机数与其本地生成的第二随机数进行HMAC处理,生成的第一HMAC结果;
基于所述会话密钥对所述第一随机数和所述第二随机数进行HMAC处理,生成第二HMAC结果;
响应于所述第一HMAC结果和所述第二HMAC结果比对一致,对所述安全介质信息对应的用户信息和令牌信息分别进行加密,生成加密用户信息和令牌信息密文;
将所述加密用户信息和所述令牌信息密文发送给所述中间件应用程序,以由所述中间件应用程序解密所述加密用户信息和令牌信息密文,得到解密用户信息和令牌信息,将所述解密用户信息和所述令牌信息发送给所述目标应用程序,以由所述目标应用程序根据所述解密用户信息和所述令牌信息进行账号验证。
第三方面,本申请实施例提供了一种验证信息发送装置,应用于中间件应用程序,所述装置包括:
会话密钥确定模块,用于响应于接入的目标应用程序认证成功,基于SIM卡的安全介质信息和本地身份认证平台的认证平台信息,确定会话密钥;
认证请求生成模块,用于基于所述会话密钥对所述安全介质信息进行加密处理,生成身份认证请求;
第一随机数获取模块,用于获取由身份认证服务器对所述身份认证请求认证成功后返回的第一随机数;
第一HMAC结果生成模块,用于基于所述会话密钥对所述第一随机数和本地生成的第二随机数进行HMAC处理,生成第一HMAC结果;
验证信息获取模块,用于获取由所述身份认证服务器对所述第一HMAC结果比对成功返回的加密用户信息和令牌信息密文;
第一验证信息发送模块,用于基于预存的量子密钥解密所述加密用户信息和令牌信息密文,得到解密用户信息和令牌信息,将所述解密用户信息和所述令牌信息发送给所述目标应用程序,以由所述目标应用程序根据所述解密用户信息和所述令牌信息进行账号验证。
可选地,所述装置还包括:
验证序号获取模块,用于响应于所述目标应用程序接入,获取所述目标应用程序预先配置的API接口验证序号;
解密序号获取模块,用于基于预设算法对所述API接口验证序号进行解密处理,得到解密API接口验证序号;
应用认证模块,用于基于所述解密API接口验证序号对所述目标应用程序进行认证。
可选地,所述会话密钥确定模块包括:
密钥请求生成单元,用于基于所述安全介质信息和所述认证平台信息,生成通信密钥获取请求;
密钥请求发送单元,用于将所述通信密钥获取请求发送给密码管理服务系统;
加密密钥获取单元,用于获取由所述密码管理服务系统基于所述安全介质信息、所述认证平台信息和卡内预存的量子密钥生成的加密会话密钥;
会话密钥获取单元,用于对所述加密会话密钥进行解密处理,得到所述会话密钥。
可选地,所述会话密钥获取单元包括:
会话密钥获取子单元,用于基于卡内预存的量子密钥对所述加密会话密钥进行解密处理,得到解密后的所述会话密钥。
第四方面,本申请实施例提供了一种验证信息发送装置,应用于身份认证服务器,所述装置包括:
安全介质信息获取模块,用于对接收的中间件应用程序发送的身份认证请求中携带的加密安全介质信息进行解密处理,得到安全介质信息;
第一随机数生成模块,用于响应于所述安全介质信息认证通过,生成第一随机数;
第一HMAC结果获取模块,用于获取所述中间件应用程序基于会话密钥对所述第一随机数与其本地生成的第二随机数进行HMAC处理,生成的第一HMAC结果;
第二HMAC结果生成模块,用于基于所述会话密钥对所述第一随机数和所述第二随机数进行HMAC处理,生成第二HMAC结果;
验证信息生成模块,用于响应于所述第一HMAC结果和所述第二HMAC结果比对一致,对所述安全介质信息对应的用户信息和令牌信息分别进行加密,生成加密用户信息和令牌信息密文;
第二验证信息发送模块,用于将所述加密用户信息和所述令牌信息密文发送给所述中间件应用程序,以由所述中间件应用程序解密所述加密用户信息和令牌信息密文,得到解密用户信息和令牌信息,将所述解密用户信息和所述令牌信息发送给所述目标应用程序,以由所述目标应用程序根据所述解密用户信息和所述令牌信息进行账号验证。
第五方面,本申请实施例提供了一种电子设备,包括:
处理器、存储器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现上述任一项所述的验证信息发送方法。
第六方面,本申请实施例提供了一种计算机可读存储介质,当所述存储介质中的指令由电子设备的处理器执行时,使得电子设备能够执行上述任一项所述的验证信息发送方法。
与现有技术相比,本申请实施例包括以下优点:
本申请实施例中,通过响应于接入的目标应用程序认证成功,基于SIM卡的安全介质信息和本地身份认证平台的认证平台信息,确定会话密钥,基于会话密钥对安全介质信息进行加密处理,生成身份认证请求,获取由身份认证服务器对身份认证请求认证成功后返回的第一随机数,基于会话密钥对第一随机数和本地生成的第二随机数进行HMAC处理,生成第一HMAC结果,获取由身份认证服务器对第一HMAC结果比对成功返回的加密用户信息和令牌信息密文,基于预存的量子密钥解密加密用户信息和令牌信息密文,得到解密用户信息和令牌信息,将解密用户信息和令牌信息发送给目标应用程序,以由目标应用程序根据解密用户信息和令牌信息进行账号验证。本申请实施例通过在密钥的全生命周期中以密钥密文传输,可以提高验证信息的安全性。同时,无需短信登录,在联网状态下即可完成登录,可以解决在SIM卡欠费无法使用的问题。并且,在登录过程中,无需用户输入手机号、短信验证码等信息,可以一键登录,提高了登录的便捷性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
图1为本申请实施例提供的一种验证信息发送方法的步骤流程图;
图2为本申请实施例提供的一种验证系统的结构示意图;
图3为本申请实施例提供的另一种验证信息发送方法的步骤流程图;
图4为本申请实施例提供的一种验证信息发送装置的结构示意图;
图5为本申请实施例提供的另一种验证信息发送装置的结构示意图;
图6为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本申请作进一步详细的说明。
在本申请实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
参照图1,示出了本申请实施例提供的一种验证信息发送方法的步骤流程图,该验证信息发送方法可以应用于中间件应用程序,如图1所示,该验证信息发送方法可以包括以下步骤:
步骤101:响应于接入的目标应用程序认证成功,基于SIM卡的安全介质信息和本地身份认证平台的认证平台信息,确定会话密钥。
本申请实施例提供了一种验证系统,以实现应用程序的身份授权及登录。在本示例中,验证系统可以包括以下几个功能组件:
中间件应用程序(即中间件APP),用于调用安全介质的介质信息通过卡内密钥加密与身份认证系统提供身份授权登录方法。
中间件SDK,用于通过AIDL(Android Interface Definition Languag,Android接口定义语言)的方式把中间件APP的身份授权登录的接口提供给接入应用。
身份认证服务器(如图2所示的身份认证系统),用于提供身份认证功能。
量子随机数发生器,用于生成量子密钥。
量子交换密码机,用于接收量子随机数发生器发出的量子密钥,提供密钥服务,量子交换密码机内预先存储有密钥,该密钥为量子随机数生成器预生成的密钥,并存储在该量子交换密码机内,与量子安全芯片内的密钥为对称密钥。
量子密钥充注机,与量子交换密码机的输出端连接,用于充注量子密钥。
量子密码管理服务系统,通过网络分别与即时通讯系统和量子安全芯片实现数据交互,量子密码管理服务系统直接连接量子密码交换机,用于提供加密密钥以及身份认证功能。
量子安全芯片,存储量子安全密钥和介质信息,每个量子安全芯片内存储的密钥和量子交换密码机内预先存储的密钥是对称密钥,量子安全芯片中的安全密钥通过网络和量子密码管理服务系统进行对称实体认证。
在身份授权登录的过程中,可以使用量子安全芯片内置的量子对称密钥和安全介质ID进行身份认证,一次认证消耗一支密钥,防范基于大因数分解难题的公钥密码算法被破译问题。
本申请实施例可以应用于中间件APP,即执行主体为中间件APP。
在具体实现中,在目标应用程序接入中间件SDK之后,可以对该目标应用程序进行认证。对于认证过程可以结合下述具体实现方式进行详细描述。
在本申请的一种具体实现方式中,在上述步骤101之前,还可以包括:
步骤A1:响应于所述目标应用程序接入,获取所述目标应用程序预先配置的API接口验证序号。
在本实施例中,在目标应用程序接入之后,可以响应于目标应用程序接入,获取目标应用程序预先配置的API接口验证序号。
在具体实现中,在目标应用程序接入中间件SDK(Software Development Kit,软件开发工具包)的接口之后,可以由目标应用程序配置官方提供的API接口验证序号(即APPkey),以完成中间件SDK的初始化,并唤醒中间件应用程序。进而,中间件应用程序可以获取目标应用程序预先配置的API接口验证序号。如图2所示,在使用免密APP时,可以接入中间件SDK,以唤醒中间件APP,中间件APP与身份认证系统进行交互,以验证SIM卡ID、返回手机号,实现验证信息的获取。
在获取到目标应用程序预先配置的API接口验证序号之后,执行步骤A2。
步骤A2:基于预设算法对所述API接口验证序号进行解密处理,得到解密API接口验证序号。
在获取到目标应用程序预先配置的API接口验证序号之后,可以基于预设算法对API接口验证序号进行解密处理,得到解密API接口验证序号。
在具体实现中,可以调用SDK的接口通过IPC(Inter-Process Communication,进程间通信)方式调用中间件应用程序完成接入的目标应用程序的应用鉴权。具体地,可以调用SDK的身份认证接口,通过IPC方式调用中间件App通过算法解密Appkey和包名,以得到解密API接口验证序号。
在基于预设算法对API接口验证序号进行加密处理得到解密API接口验证序号之后,执行步骤A3。
步骤A3:基于所述解密API接口验证序号对所述目标应用程序进行认证。
在基于预设算法对API接口验证序号进行加密处理得到解密API接口验证序号之后,可以基于解密API接口验证序号对目标应用程序进行认证。在具体实现中,通过IPC方式调用中间件APP通过算法解密APPkey和包名进行对比完成身份认证并返回用户信息。在进行认证时,主要可以包括:根据APPkey和包名进行鉴权,以进行数字签名等鉴权。
在接入的目标应用程序认证成功之后,可以响应于接入的目标应用程序认证成功,基于SIM卡的安全介质信息和本地身份认证平台的认证平台信息,确定会话密钥。对于会话密钥的获取过程可以结合下述具体实现方式进行详细描述。
在本申请的另一种具体实现方式中,上述步骤101可以包括:
子步骤B1:基于所述安全介质信息和所述认证平台信息,生成通信密钥获取请求。
在本实施例中,在完成对目标应用程序的认证之后,中间件APP可以通过OMA方式发送相应的APDU(应用协议数据单元,ApplicationProtocolDataUnit)指令获取手机安全介质的介质信息,即SIM卡的安全介质信息。
在得到SIM卡的安全介质信息之后,可以使用安全介质信息与本地身份认证平台的认证平台信息去量子密码管理服务系统协商申请获取此次通信密钥,即结合安全介质信息和认证平台信息生成通信密钥获取请求。
在基于安全介质信息和认证平台信息生成通信密钥获取请求之后,执行子步骤B2。
子步骤B2:将所述通信密钥获取请求发送给密码管理服务系统。
在基于安全介质信息和认证平台信息生成通信密钥获取请求之后,可以将通信密钥获取请求发送给密码管理服务系统。
在将通信密钥获取请求发送给密码管理服务系统之后,执行子步骤B3。
子步骤B3:获取由所述密码管理服务系统基于所述安全介质信息、所述认证平台信息和卡内预存的量子密钥生成的加密会话密钥。
在将通信密钥获取请求发送给密码管理服务系统之后,密码管理服务系统可以根据安全介质信息和认证平台信息生成一个会话密钥,并计算中间件APP的卡内密钥使用情况,利用卡内充注密钥加密该会话密钥,从而可以得到加密会话密钥,进而,可以由密码管理服务系统将该加密回话密钥发送给中间件APP。
在具体实现中,卡内密钥的数量是非常多的,在每次加密时,仅使用其中的一个密钥,在本次使用结束之后,则丢弃该密钥,即每个密钥仅使用一个验证信息获取的过程。
在获取到由密码管理服务系统基于安全介质信息、认证平台信息和卡内预存的量子密钥生成的加密会话密钥之后,执行子步骤B4。
子步骤B4:对所述加密会话密钥进行解密处理,得到所述会话密钥。
在获取到由密码管理服务系统基于安全介质信息、认证平台信息和卡内预存的量子密钥生成的加密会话密钥之后,可以对加密会话密钥进行解密处理,以得到会话密钥。在具体实现中,可以采用卡内预存的量子密钥对加密会话密钥进行解密处理,以得到解密后的会话密钥。
在具体实现中,中间件APP可以通过OMA方式发送相应的APDU指令获取手机安全介质的存储的下一支卡内密钥,并解密密码管理服务系统返回的加密会话密钥,以得到会话密钥。
在基于SIM卡的安全介质信息和本地身份认证平台的认证平台信息确定会话密钥之后,执行步骤102。
步骤102:基于所述会话密钥对所述安全介质信息进行加密处理,生成身份认证请求。
在基于SIM卡的安全介质信息和本地身份认证平台的认证平台信息确定会话密钥之后,可以基于会话密钥对安全介质信息进行加密处理,以生成身份认证请求。
在具体实现中,中间件APP可以使用解密后的会话密钥加密安全介质信息,向身份认证服务器发送身份认证请求。
在基于会话密钥对安全介质信息进行加密处理生成身份认证请求之后,执行步骤103。
步骤103:获取由身份认证服务器对所述身份认证请求认证成功后返回的第一随机数。
在基于会话密钥对安全介质信息进行加密处理生成身份认证请求之后,可以将该身份认证请求发送给身份认证服务器。
身份认证服务器将中间件APP上传的安全介质信息传递密码管理服务系统解密,获取明文安全介质信息到从用户数据库中查询用户是否是合法的用户。查询是合法用户后,身份认证服务器生成一个随机数(即第一随机数)并返回给中间件APP。
在获取到由身份认证服务器对身份认证请求认证成功后返回的第一随机数之后,执行步骤104。
步骤104:基于所述会话密钥对所述第一随机数和本地生成的第二随机数进行HMAC处理,生成第一HMAC结果。
HMAC(Hash-based Message Authentication Code,哈希消息认证码)是密钥相关的哈希运算消息认证码,HMAC运算利用哈希算法,以一个密钥和一个消息为输入,生成一个消息摘要作为输出。
在获取到由身份认证服务器对身份认证请求认证成功后返回的第一随机数之后,可以基于会话密钥对第一随机数和本地生成的第二随机数进行HMAC处理,以生成第一HMAC结果。
在具体实现中,中间件APP获取到身份认证服务器的随机数(即第一随机数),并生成一个客户端随机数(即第二随机数),将两个随机数使用协商的加密会话密钥做HMAC,以得到HMAC结果,即第一HMAC结果。
在基于所述会话密钥对第一随机数和本地生成的第二随机数进行HMAC处理生成第一HMAC结果之后,执行步骤105。
步骤105:获取由所述身份认证服务器对所述第一HMAC结果比对成功返回的加密用户信息和令牌信息密文。
在基于所述会话密钥对第一随机数和本地生成的第二随机数进行HMAC处理生成第一HMAC结果之后,可以将第一HMAC结果和本地生成的第二随机数发送给身份认证服务器。
身份认证服务器可以根据自己的第一随机数和客户端的第二随机数以相同的方式使用协商的加密会话密钥做HMAC,以得到HMAC结果,然后将本次HMAC处理得到的HMAC结果与第一HMAC结果进行比对。在比对匹配的情况下,则可以由身份认证服务器分配一个令牌信息,并获取安全介质信息中的用户信息,对令牌信息和用户信息分别进行加密,得到加密用户信息和令牌信息密文。最后,可以由身份认证服务器将该加密用户信息和令牌信息密文发送给中间件APP。
在获取到由身份认证服务器对第一HMAC结果比对成功返回的加密用户信息和令牌信息密文之后,执行步骤106。
步骤106:基于预存的量子密钥解密所述加密用户信息和令牌信息密文,得到解密用户信息和令牌信息,将所述解密用户信息和所述令牌信息发送给所述目标应用程序,以由所述目标应用程序根据所述解密用户信息和所述令牌信息进行账号验证。
在获取到由身份认证服务器对第一HMAC结果比对成功返回的加密用户信息和令牌信息密文之后,可以基于预存的量子密钥解密加密用户信息和令牌信息密文,得到解密用户信息和令牌信息,将解密用户信息和令牌信息发送给目标应用程序,以由目标应用程序根据解密用户信息和令牌信息进行账号验证。
在上述过程中,采用端到端的消息加密方式保护消息数据安全,所有敏感信息以密文传输,以密文存储,加密密钥为量子密码管理服务系统生成的量子真随机密钥,且是一次一密钥的形式,保证了用户数据的安全性。
本申请实施例提供的验证信息发送方法,通过响应于接入的目标应用程序认证成功,基于SIM卡的安全介质信息和本地身份认证平台的认证平台信息,确定会话密钥,基于会话密钥对安全介质信息进行加密处理,生成身份认证请求,获取由身份认证服务器对身份认证请求认证成功后返回的第一随机数,基于会话密钥对第一随机数和本地生成的第二随机数进行HMAC处理,生成第一HMAC结果,获取由身份认证服务器对第一HMAC结果比对成功返回的加密用户信息和令牌信息密文,基于预存的量子密钥解密加密用户信息和令牌信息密文,得到解密用户信息和令牌信息,将解密用户信息和令牌信息发送给目标应用程序,以由目标应用程序根据解密用户信息和令牌信息进行账号验证。本申请实施例通过在密钥的全生命周期中以密钥密文传输,可以提高验证信息的安全性。同时,无需短信登录,在联网状态下即可完成登录,可以解决在SIM卡欠费无法使用的问题。并且,在登录过程中,无需用户输入手机号、短信验证码等信息,可以一键登录,提高了登录的便捷性。
参照图3,示出了本申请实施例提供的另一种验证信息发送方法的步骤流程图,该验证信息发送方法可以应用于身份认证服务器,如图3所示,该验证信息发送方法可以包括以下步骤:
步骤301:对接收的中间件应用程序发送的身份认证请求中携带的加密安全介质信息进行解密处理,得到安全介质信息。
本申请实施例可以身份认证服务器,即执行主体为身份认证服务器。
在本实施例中,身份认证服务器可以对接收的中间件应用程序发送的身份认证请求中携带的加密安全介质信息进行解密处理,以得到安全介质信息。
在具体实现中,在目标应用程序接入中间件SDK之后,可以对该目标应用程序进行认证。在接入的目标应用程序认证成功之后,可以响应于接入的目标应用程序认证成功,基于SIM卡的安全介质信息和本地身份认证平台的认证平台信息,确定会话密钥。进而可以基于会话密钥对安全介质信息进行加密处理,以生成身份认证请求。并将身份认证请求发送给身份认证服务器。
身份认证服务器接收到身份认证请求之后,可以可以对接收的中间件应用程序发送的身份认证请求中携带的加密安全介质信息进行解密处理,以得到安全介质信息。
步骤302:响应于所述安全介质信息认证通过,生成第一随机数。
在得到安全介质信息之后,则可以对安全介质信息进行认证。具体地,身份认证服务器将中间件APP上传的安全介质信息传递密码管理服务系统解密,获取明文安全介质信息到从用户数据库中查询用户是否是合法的用户。
在查询用户为合法用户之后,身份认证服务器可以生成一个随机数,即第一随机数。进而,可以将第一随机数发送给中间件APP。
步骤303:获取所述中间件应用程序基于会话密钥对所述第一随机数与其本地生成的第二随机数进行HMAC处理,生成的第一HMAC结果。
中间件APP获取到由身份认证服务器对身份认证请求认证成功后返回的第一随机数之后,可以基于会话密钥对第一随机数和本地生成的第二随机数进行HMAC处理,以生成第一HMAC结果。进而,可以由中间件APP将该第一HMAC结果返回给身份认证服务器。身份认证服务器即可以得到中间件应用程序基于会话密钥对第一随机数与其本地生成的第二随机数进行HMAC处理,生成的第一HMAC结果。
步骤304:基于所述会话密钥对所述第一随机数和所述第二随机数进行HMAC处理,生成第二HMAC结果。
在获取到中间件APP发送的第一HMAC结果和第二随机数之后,可以基于会话密钥对第一随机数和第二随机数进行HMAC处理,生成第二HMAC结果。具体地,身份认证服务器可以根据自己的第一随机数和客户端的第二随机数以相同的方式使用协商的加密会话密钥做HMAC,以得到HMAC结果,即第二HMAC结果。
在基于会话密钥对第一随机数和第二随机数进行HMAC处理生成第二HMAC结果之后,执行步骤305。
步骤305:响应于所述第一HMAC结果和所述第二HMAC结果比对一致,对所述安全介质信息对应的用户信息和令牌信息分别进行加密,生成加密用户信息和令牌信息密文。
身份认证服务器在得到第一HMAC结果和第二HMAC结果之后,可以比对第一HMAC结果和第二HMAC结果是否一致。若第一HMAC结果和第二HMAC结果比对一致,则可以响应于第一HMAC结果和第二HMAC结果比对一致,对安全介质信息对应的用户信息和令牌信息分别进行加密,生成加密用户信息和令牌信息密文。具体地,在比对匹配的情况下,则可以由身份认证服务器分配一个令牌信息,并获取安全介质信息中的用户信息,对令牌信息和用户信息分别进行加密,得到加密用户信息和令牌信息密文。
在对安全介质信息对应的用户信息和令牌信息分别进行加密生成加密用户信息和令牌信息密文之后,执行步骤306。
步骤306:将所述加密用户信息和所述令牌信息密文发送给所述中间件应用程序,以由所述中间件应用程序解密所述加密用户信息和令牌信息密文,得到解密用户信息和令牌信息,将所述解密用户信息和所述令牌信息发送给所述目标应用程序,以由所述目标应用程序根据所述解密用户信息和所述令牌信息进行账号验证。
在对安全介质信息对应的用户信息和令牌信息分别进行加密生成加密用户信息和令牌信息密文之后,可以将加密用户信息和令牌信息密文发送给中间件APP,以由中间件应用程序解密加密用户信息和令牌信息密文,得到解密用户信息和令牌信息,将解密用户信息和令牌信息发送给目标应用程序,以由目标应用程序根据解密用户信息和令牌信息进行账号验证。具体地,在中间件APP获取到由身份认证服务器对第一HMAC结果比对成功返回的加密用户信息和令牌信息密文之后,可以基于预存的量子密钥解密加密用户信息和令牌信息密文,得到解密用户信息和令牌信息,将解密用户信息和令牌信息发送给目标应用程序,以由目标应用程序根据解密用户信息和令牌信息进行账号验证。
在上述过程中,采用端到端的消息加密方式保护消息数据安全,所有敏感信息以密文传输,以密文存储,加密密钥为量子密码管理服务系统生成的量子真随机密钥,且是一次一密钥的形式,保证了用户数据的安全性。
本申请实施例提供的认证信息发送方法,通过对接收的中间件应用程序发送的身份认证请求中携带的加密安全介质信息进行解密处理,得到安全介质信息;响应于所述安全介质信息认证通过,生成第一随机数;获取所述中间件应用程序基于会话密钥对所述第一随机数与其本地生成的第二随机数进行HMAC处理,生成的第一HMAC结果;基于所述会话密钥对所述第一随机数和所述第二随机数进行HMAC处理,生成第二HMAC结果;响应于所述第一HMAC结果和所述第二HMAC结果比对一致,对所述安全介质信息对应的用户信息和令牌信息分别进行加密,生成加密用户信息和令牌信息密文;将所述加密用户信息和所述令牌信息密文发送给所述中间件应用程序,以由所述中间件应用程序解密所述加密用户信息和令牌信息密文,得到解密用户信息和令牌信息,将所述解密用户信息和所述令牌信息发送给所述目标应用程序,以由所述目标应用程序根据所述解密用户信息和所述令牌信息进行账号验证。本申请实施例通过在密钥的全生命周期中以密钥密文传输,可以提高验证信息的安全性。同时,无需短信登录,在联网状态下即可完成登录,可以解决在SIM卡欠费无法使用的问题。并且,在登录过程中,无需用户输入手机号、短信验证码等信息,可以一键登录,提高了登录的便捷性。
接下来,结合具体示例对本申请实施例的技术方案进行如下详细描述。
基于SIM卡安全存储芯片的中间件身份授权登录方式可以包括以下步骤:
1、接入应用接入中间件APP的接口SDK,并配置好官方提供的用于接入应用鉴权的APPkey,完成中间件SDK的初始化和唤醒中间件APP。
2、接入应用调用SDK无感知拉起中间件APP,通过一种IPC方式调用中间件APP完成接入应用的应用鉴权。
3、调用SDK的身份认证接口,通过IPC方式调用中间件APP完成身份认证并返回用户信息。
4、中间件APP通过OMA方式发送相应的APDU指令获取手机安全介质的介质信息。
5、中间件APP使用安全介质的卡内介质信息同身份认证平台信息去量子密码管理服务系统协商申请获取此次通信密钥。
6、密码管理服务系统根据两端信息生成一个会话密钥,并计算中间件的卡内密钥使用情况,用卡内充注密钥加密该会话密钥,并返回给中间件APP。
7、中间件APP通过OMA方式发送相应的APDU指令获取手机安全介质的存储的下一支卡内密钥,并解密密码管理服务系统返回的加密会话密钥。
8、中间件APP使用解密后的会话密钥加密安全介质信息,向身份认证服务器发送身份认证请求。
9、身份认证服务器将中间件APP上传的安全介质信息传递密码管理服务系统机密,获取明文安全介质信息到从用户数据库中查询用户是否是合法的用户。
10、查询是合法用户后,身份认证服务器生成一个随机数并返回给中间件APP。
11、中间件APP获取服务端的随机数,并且生成一个客户端随机数,将两个随机数使用协商的加密会话密钥做HMAC,并把HMAC结果和随机数一起返回给身份认证服务器。
12、身份认证服务器根据自己的随机数和中间件的随机数以相同的方式使用协商的加密会话密钥做HMAC,并把结果进行对比。
13、对比匹配成功后,将该介质信息对应的手机号(用户信息)和令牌信息传递到密码管理服务系统进行使用同中间件协商的会话密钥进行加密,然后返回给将加密后的结果返回给中间件APP。
14、中间件APP获取到身份认证服务器返回的加密手机号(用户信息)和令牌信息密文,然后使用协商解密后的会话密钥对密文进行解密,获取手机号(用户信息)和令牌信息。
15、中间件APP通过IPC的方式将解密后的手机号(用户信息)和令牌信息明文返回给接入应用。
16、接入应用获取到手机号(用户信息)和令牌信息后,将手机号(用户信息)和令牌信息传递到自己服务器,完成账号验证并进行业务登录。
17、接入应用完成登录后,进入主界面。
本申请实施例提供的上述方案,密钥的全生命周期都是以密钥密文传输,通过预先充注的量子密钥解密得到密钥明文,充注密钥通过加密芯片保护。采用量子密钥加密的挑战应答机制,能有效的防止中间人攻击重放攻击。采用端到端的消息加密方式保护消息数据安全,所有敏感信息以密文传输,以密文存储,加密密钥为量子密码管理服务系统生成的量子真随机密钥,且是一次一密钥的形式,保证了用户数据的安全性。同时,中间件SDK是一款接口设计简单的基础服务组件,一键调用即可完成基于Sim卡安全存储芯片的中间件身份授权登录方法。对接入应用的改动较少,没有侵入性,接入应用可以随意使用该授权方案进行自定义的登录授权产品。
参照图4,示出了本申请实施例提供的一种验证信息发送装置的结构示意图,该验证信息发送装置可以应用于中间件应用程序,如图4所示,该验证信息发送装置400可以包括以下模块:
会话密钥确定模块410,用于响应于接入的目标应用程序认证成功,基于SIM卡的安全介质信息和本地身份认证平台的认证平台信息,确定会话密钥;
认证请求生成模块420,用于基于所述会话密钥对所述安全介质信息进行加密处理,生成身份认证请求;
第一随机数获取模块430,用于获取由身份认证服务器对所述身份认证请求认证成功后返回的第一随机数;
第一HMAC结果生成模块440,用于基于所述会话密钥对所述第一随机数和本地生成的第二随机数进行HMAC处理,生成第一HMAC结果;
验证信息获取模块450,用于获取由所述身份认证服务器对所述第一HMAC结果比对成功返回的加密用户信息和令牌信息密文;
第一验证信息发送模块460,用于基于预存的量子密钥解密所述加密用户信息和令牌信息密文,得到解密用户信息和令牌信息,将所述解密用户信息和所述令牌信息发送给所述目标应用程序,以由所述目标应用程序根据所述解密用户信息和所述令牌信息进行账号验证。
可选地,所述装置还包括:
验证序号获取模块,用于响应于所述目标应用程序接入,获取所述目标应用程序预先配置的API接口验证序号;
解密序号获取模块,用于基于预设算法对所述API接口验证序号进行解密处理,得到解密API接口验证序号;
应用认证模块,用于基于所述解密API接口验证序号对所述目标应用程序进行认证。
可选地,所述会话密钥确定模块包括:
密钥请求生成单元,用于基于所述安全介质信息和所述认证平台信息,生成通信密钥获取请求;
密钥请求发送单元,用于将所述通信密钥获取请求发送给密码管理服务系统;
加密密钥获取单元,用于获取由所述密码管理服务系统基于所述安全介质信息、所述认证平台信息和卡内预存的量子密钥生成的加密会话密钥;
会话密钥获取单元,用于对所述加密会话密钥进行解密处理,得到所述会话密钥。
可选地,所述会话密钥获取单元包括:
会话密钥获取子单元,用于基于卡内预存的量子密钥对所述加密会话密钥进行解密处理,得到解密后的所述会话密钥。
本申请实施例提供的验证信息发送装置,通过响应于接入的目标应用程序认证成功,基于SIM卡的安全介质信息和本地身份认证平台的认证平台信息,确定会话密钥,基于会话密钥对安全介质信息进行加密处理,生成身份认证请求,获取由身份认证服务器对身份认证请求认证成功后返回的第一随机数,基于会话密钥对第一随机数和本地生成的第二随机数进行HMAC处理,生成第一HMAC结果,获取由身份认证服务器对第一HMAC结果比对成功返回的加密用户信息和令牌信息密文,基于预存的量子密钥解密加密用户信息和令牌信息密文,得到解密用户信息和令牌信息,将解密用户信息和令牌信息发送给目标应用程序,以由目标应用程序根据解密用户信息和令牌信息进行账号验证。本申请实施例通过在密钥的全生命周期中以密钥密文传输,可以提高验证信息的安全性。同时,无需短信登录,在联网状态下即可完成登录,可以解决在SIM卡欠费无法使用的问题。并且,在登录过程中,无需用户输入手机号、短信验证码等信息,可以一键登录,提高了登录的便捷性。
参照图5,示出了本申请实施例提供的另一种验证信息发送装置的结构示意图,该验证信息发送装置可以应用于身份认证服务器,如图5所示,该验证信息发送装置500可以包括以下模块:
安全介质信息获取模块510,用于对接收的中间件应用程序发送的身份认证请求中携带的加密安全介质信息进行解密处理,得到安全介质信息;
第一随机数生成模块520,用于响应于所述安全介质信息认证通过,生成第一随机数;
第一HMAC结果获取模块530,用于获取所述中间件应用程序基于会话密钥对所述第一随机数与其本地生成的第二随机数进行HMAC处理,生成的第一HMAC结果;
第二HMAC结果生成模块540,用于基于所述会话密钥对所述第一随机数和所述第二随机数进行HMAC处理,生成第二HMAC结果;
验证信息生成模块550,用于响应于所述第一HMAC结果和所述第二HMAC结果比对一致,对所述安全介质信息对应的用户信息和令牌信息分别进行加密,生成加密用户信息和令牌信息密文;
第二验证信息发送模块560,用于将所述加密用户信息和所述令牌信息密文发送给所述中间件应用程序,以由所述中间件应用程序解密所述加密用户信息和令牌信息密文,得到解密用户信息和令牌信息,将所述解密用户信息和所述令牌信息发送给所述目标应用程序,以由所述目标应用程序根据所述解密用户信息和所述令牌信息进行账号验证。
本申请实施例提供的验证信息发送装置,通过对接收的中间件应用程序发送的身份认证请求中携带的加密安全介质信息进行解密处理,得到安全介质信息;响应于所述安全介质信息认证通过,生成第一随机数;获取所述中间件应用程序基于会话密钥对所述第一随机数与其本地生成的第二随机数进行HMAC处理,生成的第一HMAC结果;基于所述会话密钥对所述第一随机数和所述第二随机数进行HMAC处理,生成第二HMAC结果;响应于所述第一HMAC结果和所述第二HMAC结果比对一致,对所述安全介质信息对应的用户信息和令牌信息分别进行加密,生成加密用户信息和令牌信息密文;将所述加密用户信息和所述令牌信息密文发送给所述中间件应用程序,以由所述中间件应用程序解密所述加密用户信息和令牌信息密文,得到解密用户信息和令牌信息,将所述解密用户信息和所述令牌信息发送给所述目标应用程序,以由所述目标应用程序根据所述解密用户信息和所述令牌信息进行账号验证。本申请实施例通过在密钥的全生命周期中以密钥密文传输,可以提高验证信息的安全性。同时,无需短信登录,在联网状态下即可完成登录,可以解决在SIM卡欠费无法使用的问题。并且,在登录过程中,无需用户输入手机号、短信验证码等信息,可以一键登录,提高了登录的便捷性。
本申请实施例还提供了一种电子设备,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现上述验证信息发送方法。
图6示出了本发明实施例的一种电子设备600的结构示意图。如图6所示,电子设备600包括中央处理单元(CPU)601,其可以根据存储在只读存储器(ROM)602中的计算机程序指令或者从存储单元608加载到随机访问存储器(RAM)603中的计算机程序指令,来执行各种适当的动作和处理。在RAM603中,还可存储电子设备600操作所需的各种程序和数据。CPU601、ROM602以及RAM603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
电子设备600中的多个部件连接至I/O接口605,包括:输入单元606,例如键盘、鼠标、麦克风等;输出单元607,例如各种类型的显示器、扬声器等;存储单元608,例如磁盘、光盘等;以及通信单元609,例如网卡、调制解调器、无线通信收发机等。通信单元609允许电子设备600通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
上文所描述的各个过程和处理,可由处理单元601执行。例如,上述任一实施例的方法可被实现为计算机软件程序,其被有形地包含于计算机可读介质,例如存储单元608。在一些实施例中,计算机程序的部分或者全部可以经由ROM602和/或通信单元609而被载入和/或安装到电子设备600上。当计算机程序被加载到RAM603并由CPU601执行时,可以执行上文描述的方法中的一个或多个动作。
另外地,本申请实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述验证信息发送方法。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本申请实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本申请实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请实施例是参照根据本申请实施例的方法、终端(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端上,使得在计算机或其他可编程终端上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端中还存在另外的相同要素。
以上对本申请所提供的一种验证信息发送方法、一种验证信息发送装置、一种电子设备和一种计算机可读存储介质,进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。

Claims (12)

1.一种验证信息发送方法,应用于中间件应用程序,其特征在于,所述方法包括:
响应于接入的目标应用程序认证成功,基于SIM卡的安全介质信息和本地身份认证平台的认证平台信息,确定会话密钥;
基于所述会话密钥对所述安全介质信息进行加密处理,生成身份认证请求;
获取由身份认证服务器对所述身份认证请求认证成功后返回的第一随机数;
基于所述会话密钥对所述第一随机数和本地生成的第二随机数进行HMAC处理,生成第一HMAC结果;
获取由所述身份认证服务器对所述第一HMAC结果比对成功返回的加密用户信息和令牌信息密文;
基于预存的量子密钥解密所述加密用户信息和令牌信息密文,得到解密用户信息和令牌信息,将所述解密用户信息和所述令牌信息发送给所述目标应用程序,以由所述目标应用程序根据所述解密用户信息和所述令牌信息进行账号验证。
2.根据权利要求1所述的方法,其特征在于,在所述基于SIM卡的安全介质信息和本地身份认证平台的认证平台信息,确定会话密钥之前,还包括:
响应于所述目标应用程序接入,获取所述目标应用程序预先配置的API接口验证序号;
基于预设算法对所述API接口验证序号进行解密处理,得到解密API接口验证序号;
基于所述解密API接口验证序号对所述目标应用程序进行认证。
3.根据权利要求1所述的方法,其特征在于,所述基于SIM卡的安全介质信息和本地身份认证平台的认证平台信息,确定会话密钥,包括:
基于所述安全介质信息和所述认证平台信息,生成通信密钥获取请求;
将所述通信密钥获取请求发送给密码管理服务系统;
获取由所述密码管理服务系统基于所述安全介质信息、所述认证平台信息和卡内预存的量子密钥生成的加密会话密钥;
对所述加密会话密钥进行解密处理,得到所述会话密钥。
4.根据权利要求3所述的方法,其特征在于,所述对所述加密会话密钥进行解密处理,得到所述会话密钥,包括:
基于卡内预存的量子密钥对所述加密会话密钥进行解密处理,得到解密后的所述会话密钥。
5.一种验证信息发送方法,应用于身份认证服务器,其特征在于,所述方法包括:
对接收的中间件应用程序发送的身份认证请求中携带的加密安全介质信息进行解密处理,得到安全介质信息;
响应于所述安全介质信息认证通过,生成第一随机数;
获取所述中间件应用程序基于会话密钥对所述第一随机数与其本地生成的第二随机数进行HMAC处理,生成的第一HMAC结果;
基于所述会话密钥对所述第一随机数和所述第二随机数进行HMAC处理,生成第二HMAC结果;
响应于所述第一HMAC结果和所述第二HMAC结果比对一致,对所述安全介质信息对应的用户信息和令牌信息分别进行加密,生成加密用户信息和令牌信息密文;
将所述加密用户信息和所述令牌信息密文发送给所述中间件应用程序,以由所述中间件应用程序解密所述加密用户信息和令牌信息密文,得到解密用户信息和令牌信息,将所述解密用户信息和所述令牌信息发送给目标应用程序,以由所述目标应用程序根据所述解密用户信息和所述令牌信息进行账号验证。
6.一种验证信息发送装置,应用于中间件应用程序,其特征在于,所述装置包括:
会话密钥确定模块,用于响应于接入的目标应用程序认证成功,基于SIM卡的安全介质信息和本地身份认证平台的认证平台信息,确定会话密钥;
认证请求生成模块,用于基于所述会话密钥对所述安全介质信息进行加密处理,生成身份认证请求;
第一随机数获取模块,用于获取由身份认证服务器对所述身份认证请求认证成功后返回的第一随机数;
第一HMAC结果生成模块,用于基于所述会话密钥对所述第一随机数和本地生成的第二随机数进行HMAC处理,生成第一HMAC结果;
验证信息获取模块,用于获取由所述身份认证服务器对所述第一HMAC结果比对成功返回的加密用户信息和令牌信息密文;
第一验证信息发送模块,用于基于预存的量子密钥解密所述加密用户信息和令牌信息密文,得到解密用户信息和令牌信息,将所述解密用户信息和所述令牌信息发送给所述目标应用程序,以由所述目标应用程序根据所述解密用户信息和所述令牌信息进行账号验证。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
验证序号获取模块,用于响应于所述目标应用程序接入,获取所述目标应用程序预先配置的API接口验证序号;
解密序号获取模块,用于基于预设算法对所述API接口验证序号进行解密处理,得到解密API接口验证序号;
应用认证模块,用于基于所述解密API接口验证序号对所述目标应用程序进行认证。
8.根据权利要求6所述的装置,其特征在于,所述会话密钥确定模块包括:
密钥请求生成单元,用于基于所述安全介质信息和所述认证平台信息,生成通信密钥获取请求;
密钥请求发送单元,用于将所述通信密钥获取请求发送给密码管理服务系统;
加密密钥获取单元,用于获取由所述密码管理服务系统基于所述安全介质信息、所述认证平台信息和卡内预存的量子密钥生成的加密会话密钥;
会话密钥获取单元,用于对所述加密会话密钥进行解密处理,得到所述会话密钥。
9.根据权利要求8所述的装置,其特征在于,所述会话密钥获取单元包括:
会话密钥获取子单元,用于基于卡内预存的量子密钥对所述加密会话密钥进行解密处理,得到解密后的所述会话密钥。
10.一种验证信息发送装置,应用于身份认证服务器,其特征在于,所述装置包括:
安全介质信息获取模块,用于对接收的中间件应用程序发送的身份认证请求中携带的加密安全介质信息进行解密处理,得到安全介质信息;
第一随机数生成模块,用于响应于所述安全介质信息认证通过,生成第一随机数;
第一HMAC结果获取模块,用于获取所述中间件应用程序基于会话密钥对所述第一随机数与其本地生成的第二随机数进行HMAC处理,生成的第一HMAC结果;
第二HMAC结果生成模块,用于基于所述会话密钥对所述第一随机数和所述第二随机数进行HMAC处理,生成第二HMAC结果;
验证信息生成模块,用于响应于所述第一HMAC结果和所述第二HMAC结果比对一致,对所述安全介质信息对应的用户信息和令牌信息分别进行加密,生成加密用户信息和令牌信息密文;
第二验证信息发送模块,用于将所述加密用户信息和所述令牌信息密文发送给所述中间件应用程序,以由所述中间件应用程序解密所述加密用户信息和令牌信息密文,得到解密用户信息和令牌信息,将所述解密用户信息和所述令牌信息发送给所述目标应用程序,以由所述目标应用程序根据所述解密用户信息和所述令牌信息进行账号验证。
11.一种电子设备,其特征在于,包括:
处理器、存储器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现权利要求1至5中任一项所述的验证信息发送方法。
12.一种计算机可读存储介质,其特征在于,当所述存储介质中的指令由电子设备的处理器执行时,使得电子设备能够执行权利要求1至5中任一项所述的验证信息发送方法。
CN202211595900.6A 2022-12-13 2022-12-13 验证信息发送方法及装置 Pending CN116233832A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211595900.6A CN116233832A (zh) 2022-12-13 2022-12-13 验证信息发送方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211595900.6A CN116233832A (zh) 2022-12-13 2022-12-13 验证信息发送方法及装置

Publications (1)

Publication Number Publication Date
CN116233832A true CN116233832A (zh) 2023-06-06

Family

ID=86577491

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211595900.6A Pending CN116233832A (zh) 2022-12-13 2022-12-13 验证信息发送方法及装置

Country Status (1)

Country Link
CN (1) CN116233832A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117641339A (zh) * 2024-01-18 2024-03-01 中国电子科技集团公司第三十研究所 快速应用层认证与密钥协商系统及方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117641339A (zh) * 2024-01-18 2024-03-01 中国电子科技集团公司第三十研究所 快速应用层认证与密钥协商系统及方法
CN117641339B (zh) * 2024-01-18 2024-04-09 中国电子科技集团公司第三十研究所 快速应用层认证与密钥协商系统及方法

Similar Documents

Publication Publication Date Title
CN108810029B (zh) 一种微服务架构服务间鉴权系统及优化方法
CN111615105B (zh) 信息提供、获取方法、装置及终端
CN109729523B (zh) 一种终端联网认证的方法和装置
CN111698225B (zh) 一种适用于电力调度控制系统的应用服务认证加密方法
CN108833507B (zh) 一种共享产品的授权认证系统及方法
CN106230838A (zh) 一种第三方应用访问资源的方法和装置
CN113630407B (zh) 使用对称密码技术增强mqtt协议传输安全的方法和系统
CN113612605A (zh) 使用对称密码技术增强mqtt协议身份认证方法、系统和设备
CN108322416B (zh) 一种安全认证实现方法、装置及系统
CN112235235A (zh) 一种基于国密算法的sdp认证协议实现方法
CN111770088A (zh) 数据鉴权方法、装置、电子设备和计算机可读存储介质
CN114765534B (zh) 基于国密标识密码算法的私钥分发系统和方法
WO2013034187A1 (en) Secure communication
EP2414983B1 (en) Secure Data System
CN112672342B (zh) 数据传输方法、装置、设备、系统和存储介质
CN116233832A (zh) 验证信息发送方法及装置
CN112039857B (zh) 一种公用基础模块的调用方法和装置
CN112995090B (zh) 终端应用的认证方法、装置、系统和计算机可读存储介质
CN115473655B (zh) 接入网络的终端认证方法、装置及存储介质
CN116599719A (zh) 一种用户登录认证方法、装置、设备、存储介质
CN113727059B (zh) 多媒体会议终端入网认证方法、装置、设备及存储介质
CN112769759B (zh) 信息处理方法、信息网关、服务器及介质
CN112637169B (zh) 一种无源nfc云锁加密方法
CN112131597A (zh) 一种生成加密信息的方法、装置和智能设备
CN111935164A (zh) 一种https接口请求方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination