CN116233845A - 基于令牌分层转化的移动端免密认证方法、设备及存储介质 - Google Patents
基于令牌分层转化的移动端免密认证方法、设备及存储介质 Download PDFInfo
- Publication number
- CN116233845A CN116233845A CN202310003632.2A CN202310003632A CN116233845A CN 116233845 A CN116233845 A CN 116233845A CN 202310003632 A CN202310003632 A CN 202310003632A CN 116233845 A CN116233845 A CN 116233845A
- Authority
- CN
- China
- Prior art keywords
- token
- authentication
- server
- client
- mobile terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/065—Continuous authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Biodiversity & Conservation Biology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明涉及一种基于令牌分层转化的移动端免密认证方法、设备及存储介质,该方法包括:授权过程:用户在登录状态下启用生物认证,通过会话令牌sessionToken上传公钥至服务端交换获取设备令牌deviceToken;鉴权过程:用户在未登录状态下进行生物认证登录,对于服务端采用公钥加密的数据仅通过具备对应私钥的客户端进行解密;其中,数据交互流程中,会话令牌sessionToken作为客户端与服务端数据交互的凭证,设备令牌deviceToken为生物认证过程中新增的设备凭证,用于生物认证登录过程中与服务端交换会话令牌sessionToken,不可用与服务端交换数据。与现有技术相比,本发明保证两种不同生命周期的令牌分层转化,实现多平台认证令牌生命周期统一性,基于令牌分层转化实现生物认证功能,可扩展性高。
Description
技术领域
本发明涉及免密认证领域,尤其是涉及一种基于令牌分层转化的移动端免密认证方法。
背景技术
近几年移动互联网的高速发展,移动端应用呈现爆炸性增长,逐渐出现了一个应用服务端,N个客户端的格局。不同的客户端有不同用户使用场景,有不同的环境安全威胁,不同的会话生命周期,不同的身份认证方式。因此,在token授权认证的技术基础上,设计出一种适用于不同平台设备的会话管理方案,并结合移动端生物识别技术实现可信客户端的免密认证功能,将给用户带来更安全更可靠的用户体验。
现有的单一凭证的免密认证方案,移动端系统(安卓系统、IOS系统、鸿蒙系统)都提供了密钥与系统安全绑定的功能,在用户生物验证身份成功后,生成对称秘钥,采用对称加密的技术,将token加密并保存在移动端localStorage。用户只能在通过系统身份验证后授权应用使用密钥加解密token,无需再次请求服务器授权。单一凭证的免密认证方法存在以下缺陷:
1)不安全,在该免登陆方案中为避免token经常失效,通常需要设置较长的生命周期,但token需要经常携带在移动端设备与服务端的数据交互中,存在被恶意用户劫持的不安全隐患;
2)不兼容,在多端平台设备的系统中,token可能因为用户在其他客户端设备中登录而失效,但移动端设备仍未知当前保存的token是否仍处于有效期,需用户进行生物识别验证身份获取key解密密文获取明文token,并向服务端发送请求才可以确定token是否有效,给用户带来不佳的用户体验。
此外,基于长短周期双凭证免密登录方案,该方案主要是为了避免单个授权凭证周期过长,且频繁出现在客户端与服务端的数据交互中从而被劫持的不安全隐患,包括:短周期token,服务端缓存的有效时间较短,通常采用15分钟过期的策略,客户端在获取到该token后保存在seesionStorage,用于与服务端交互数据;长周期token,服务端缓存的有效时间较长,通常采用30天过期的策略,客户端在获取到该token后保存在localStorage,用于用户无感向服务端请求获取短周期token实现免登陆。
但是,上述的基于长短周期双凭证免密登录方案中长周期token若采用明文保存在客户端本地存储级别,在越狱的设备中,容易被其他应用恶意扫描截获,存在不安全的隐患。
发明内容
本发明的目的就是为了克服上述现有技术存在的缺陷而提供了一种基于令牌分层转化的移动端免密认证方法。本发明保证两种不同生命周期的token分层转化,从而保证多平台认证的token的生命周期统一性,基于令牌分层转化思想实现生物认证功能,提高系统可扩展性,可接入不同平台的客户端,层次清楚便于维护。
本发明的目的可以通过以下技术方案来实现:
本发明提供了一种基于令牌分层转化的移动端免密认证方法,该方法包括:
授权过程:用户在登录状态下启用生物认证,通过会话令牌sessionToken上传公钥pubKey至服务端交换获取设备令牌deviceToken;
鉴权过程:用户在未登录状态下进行生物认证登录,对于服务端采用公钥pubKey加密的数据仅通过具备对应私钥priKey的客户端进行解密;
其中,数据交互流程中,会话令牌sessionToken作为客户端与服务端数据交互的凭证,设备令牌deviceToken为生物认证过程中新增的设备凭证,用于生物认证登录过程中与服务端交换会话令牌sessionToken,不可用与服务端交换数据。
优选地,所述方法包括账号密码认证流程、开启生物认证支持流程以及生物认证免密登录流程;
账号密码认证流程通过后,登陆成功,随即启动生物认证支持流程,移动端生成密钥并与移动端系统安全绑定,生成的令牌Token和公钥pubKey发送至服务端绑定,客户端获取服务端生成的设备令牌deviceToken并永久存储至系统,移动端在本地存储设备令牌deviceToken;
下次登录时,进入生物认证免密登录流程。
优选地,所述生物认证支持流程,包括:
1)用户在设置中启动生物识别;
2)传感器生物特征验证,验证成功后转步骤3);
3)移动端生成密钥,密钥与移动端系统安全绑定,要求箱移动端设备进行身份认证后才能授权使用密钥;
4)在移动端系统安全存储私钥priKey和公钥pubKey;将会话令牌sessionToken和公钥pubKey发送至服务端绑定,客户端获取服务端生成的设备令牌deviceToken并永久存储至系统,移动端在本地存储设备令牌deviceToken;
5)服务端存储用户的公钥pubKey和设备令牌deviceToken,供查询使用。
优选地,所述生物认证支持流程中,产生三种关系数据,包括:
1)公钥pubKey和私钥priKey:
移动端启用生物特征作为身份验证时的安全策略,在启用生物认证功能时,生成与系统设备安全强绑定的秘钥,秘钥生成后只允许通过系统身份验证后才授权应用使用秘钥加解密敏感数据;
2)设备令牌deviceToken和公钥pubKey以及用户ID userId:
用户在登录状态下通过移动端生物特征验证后,上送至公钥pubKey以及账号密码登录生成的会话令牌sessionToken后,由服务端生成设备令牌deviceToken,并控制设备令牌deviceToken的生命周期,且将deviceToken和pubKey以及用户ID绑定关系储存落地;
3)设备令牌deviceToken和设备:
客户端在获取到服务端生成的设备凭证deviceToken后,存储在本地存储localStorage级别使其关闭不失效。
优选地,所述生物认证免密登录流程,包括:
1)客户端的身份验证:
服务端持有公钥pubKey,客户端持有私钥priKey,基于非对称密钥特性,经由公钥pubKey加密的密文只有对应的私钥priKey可以解密,经由私钥priKey加密的密文只有对应公钥pubKey可以解密;
2)客户端使用私钥priKey加签,服务端再使用公钥pubKey验签即可验证客户端用户是否为合法用户,验证合法后生成会话令牌sessionToken并使用公钥pubKey加密返回客户端;
3)客户端再使用priKey解密获取明文会话令牌sessionToken,并存储在会话存储sessionStorage级别。
优选地,任意信息系统、任意客户端均至少具备一种账号密码认证方式;
认证过程中,生成的会话令牌sessionToken用于客户端与服务端交换数据,服务端控制会话令牌生命周期,客户端将会话令牌sessionToken存储在会话存储sessionStorage级别,关闭即失效。
优选地,所述账号密码认证包括手机验证码和邮箱验证码认证。
优选地,所述令牌生命周期为15分钟。
根据本发明的第二方面,提供了一种电子设备,包括存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述程序时实现任一项所述的方法。
根据本发明的第三方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现任一项所述的方法。
与现有技术相比,本发明具有以下优点:
1)良好的统一性,可以解决桌面版客户端与移动客户端不同平台上会话的生命周期的归一化问题,无论是桌面版还是移动版的客户端统一采用会话令牌sessionToken与服务端通信交互用户数据;
2)良好的解耦性,核心接口调用服务端的认证会话凭证可以完成独立的实现和部署;
3)良好的层次性,会话凭证与设备凭证分离,各司其职,可维护性高;
4)良好的安全性,基于移动端生物识别身份验证技术,密钥的生成和访问需要经过系统层面的身份验证的,在越狱的设备中,仍可安全地使用系统密钥对设备凭证加密保护。
附图说明
图1为本发明的方法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都应属于本发明保护的范围。
实施例
token作为用户凭证,应用场景多种多样,存在着分类问题、隐私性参数设置问题、使用场景问题、分层转化问题。传统的账号密码登录方式适用于大多数客户端平台,服务端通过校验账号密码从而鉴别客户是否身份合法,通过授予客户端token来表示该客户身份合法,客户端通常将token保存在会话级别,具有短效、关闭即失效的特性。
而移动端的生物认证功能是客户端系统层面的身份验证,与客户生物特征有关,具有长效、关闭不失效的特性,但建立长效、关闭不失效的会话凭证存在极大的安全隐患,且不适用于不具有生物认证功能的设备中,因此定义为具有这种长效、关闭不失效特性的凭证为设备凭证,通过设备凭证将移动客户端系统层面的身份验证转换为服务端层面的身份验证,从而保证系统的安全性,同时解决传统登录方式与移动端生物认证方式的会话凭证归一化问题,通过分层转换降低耦合度,降低维护成本。
本实施例提供了一种基于令牌分层转化的移动端免密认证方法,该方法包括:
授权过程:用户在登录状态下启用生物认证,通过会话令牌sessionToken上传公钥pubKey至服务端交换获取设备令牌deviceToken;
鉴权过程:用户在未登录状态下进行生物认证登录,对于服务端采用公钥pubKey加密的数据仅通过具备对应私钥priKey的客户端进行解密;
其中,数据交互流程中,会话令牌sessionToken作为客户端与服务端数据交互的凭证,设备令牌deviceToken为生物认证过程中新增的设备凭证,用于生物认证登录过程中与服务端交换会话令牌sessionToken,不可用与服务端交换数据,从而达到令牌分层转化,降低耦合度的目的。
总体方案如下图1所示,具体为:
1、账号密码认证流程:
账号密码认证,包括手机验证码、邮箱验证码等认证方式,任意信息系统都需至少实现其一一种认证方式,任意客户端无论是否支持基于生物特征的身份验证,都需要至少实现一种认证方式,保证生物特征不可用时,用户仍可选择的最为保险的登录方式。在认证过程中,生成的会话令牌sessionToken用于客户端与服务端交换数据,服务端控制凭证生命周期为15分钟,客户端将会话令牌sessionToken存储在会话存储sessionStorage级别,关闭即失效。
如图1所示,账号密码认证流程具体为:
1.1、开始
1.2、检查是否存在会话令牌sessionToken;若不存在,转1.3;否则,向服务端检查访问令牌accessToken是否过期,若已过期,转1.3,否则转1.6;
1.3、打开账号密码登录页;
1.4、客户端向服务端请求账号密码登录;
1.5、登陆成功,客户端保存会话令牌sessionToken至会话存储sessionStorage级别;
1.6、确认登录成功。
2、开启生物认证支持流程:
在启用移动端生物认证支持过程中,会产生三种关系数据,以下主要从这三种关系数据的产生时间按顺序说明认证过程及三种关系数据的作用:
1)公钥pubKey和私钥priKey:
移动端启用生物特征作为身份验证时的安全策略,在启用生物认证功能时,可生成的与系统设备安全强绑定的秘钥,该秘钥生成后只允许通过系统身份验证后才授权应用使用秘钥加解密敏感数据,从而保证系统安全性。
2)设备令牌deviceToken、公钥pubKey以及用户ID userId:
设备令牌deviceToken由服务端产生,用户在登录状态下通过移动端生物特征验证后,上送上述提及的公钥pubKey以及传统账号密码登录生成的会话令牌sessionToken后,由服务端生成设备令牌deviceToken,并控制设备令牌deviceToken的生命周期为1个月或更长,且将设备令牌deviceToken和公钥pubKey以及用户ID绑定关系储存落地。
3)deviceToken和设备,客户端在获取到服务端生成的设备令牌deviceToken后,存储在本地存储localStorage级别使其关闭不失效。
如图1所示,开启生物认证支持流程,包括:
2.1、账号密码登录成功后,用户在设置中起动生物识别;
2.2、传感器生物特征验证,验证成功,转2.3;
2.3、移动端生成密钥,密钥与移动端系统安全绑定,要求向移动端设备进行身份验证才能够授权使用密钥;其中,移动端系统安全存储密钥,包括公钥pubKey和私钥priKey;
2.4、将会话令牌sessionToken和公钥pubKey发送至服务端绑定;客户端获取服务端生成的设备令牌deviceToken,并持久化至系统存储;
2.5、服务端存储用户ID、公钥pubKey和设备令牌deviceToken。
3、生物认证免密登录流程:
在上述生物认证支持流程开启过程中,公钥pubKey被服务端持有,私钥priKey被客户端持有,而经由公钥pubKey加密的密文只有对应的私钥priKey可以解密,经由私钥priKey加密的密文只有对应公钥pubKey可以解密,通过这一非对称密钥的特性,可完成客户端的身份验证。客户端使用私钥priKey加签,服务端再使用公钥pubKey验签即可验证客户端用户是否为合法用户,验证合法后生成会话令牌sessionToken并使用公钥pubKey加密返回客户端。客户端再使用私钥priKey解密获取明文会话令牌sessionToken,并存储在会话存储sessionStorage级别。
如图1所示,生物认证免密登录流程,包括:
3.1、开始;
3.2、检查是否存在会话令牌sessionToken;若不存在,转3.3;
3.3、查询设备令牌deviceToken是否存在来判断是否开启了指纹识别,若存在,转3.4,否则,转1.3,进行账号密码登录;
3.4、判断生物特征数据是否发生变化,若没有发生变化,转3.5,否则,转1.3,进行账号密码登录;
3.5、进行传感器生物验证,若验证成功,转3.6,否则,转1.3,进行账号密码登录;
3.6、向移动端系统查询获取密钥;
3.7、使用私钥priKey进行签名以及将设备令牌deviceToken发送至服务端;
3.8、服务端查询绑定的用户信息;
3.9、服务端使用公钥pubKey验证签名;若服务端验签成功,即为校验成功,生成会话令牌sessionToken并返回,客户端保存至会话存储sessionStorage级别,登陆成功;否则,转1.3,进行账号密码登录。
本发明电子设备包括中央处理单元(CPU),其可以根据存储在只读存储器(ROM)中的计算机程序指令或者从存储单元加载到随机访问存储器(RAM)中的计算机程序指令,来执行各种适当的动作和处理。在RAM中,还可以存储设备操作所需的各种程序和数据。CPU、ROM以及RAM通过总线彼此相连。输入/输出(I/O)接口也连接至总线。
设备中的多个部件连接至I/O接口,包括:输入单元,例如键盘、鼠标等;输出单元,例如各种类型的显示器、扬声器等;存储单元,例如磁盘、光盘等;以及通信单元,例如网卡、调制解调器、无线通信收发机等。通信单元允许设备通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理单元执行上文所描述的各个方法和处理。例如,在一些实施例中,方法可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元。在一些实施例中,计算机程序的部分或者全部可以经由ROM和/或通信单元而被载入和/或安装到设备上。当计算机程序加载到RAM并由CPU执行时,可以执行上文描述的方法的一个或多个步骤。备选地,在其他实施例中,CPU可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行方法。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)等等。
用于实施本发明的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本发明的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种基于令牌分层转化的移动端免密认证方法,其特征在于,该方法包括:
授权过程:用户在登录状态下启用生物认证,通过会话令牌sessionToken上传公钥pubKey至服务端交换获取设备令牌deviceToken;
鉴权过程:用户在未登录状态下进行生物认证登录,对于服务端采用公钥pubKey加密的数据仅通过具备对应私钥priKey的客户端进行解密;
其中,数据交互流程中,会话令牌sessionToken作为客户端与服务端数据交互的凭证,设备令牌deviceToken为生物认证过程中新增的设备凭证,用于生物认证登录过程中与服务端交换会话令牌sessionToken,不可用与服务端交换数据。
2.根据权利要求1所述的一种基于令牌分层转化的移动端免密认证方法,其特征在于,所述方法包括账号密码认证流程、开启生物认证支持流程以及生物认证免密登录流程;
账号密码认证流程通过后,登陆成功,启动生物认证支持流程,移动端生成密钥并与移动端系统安全绑定,生成的令牌Token和公钥pubKey发送至服务端绑定,客户端获取服务端生成的设备令牌deviceToken并永久存储至系统,移动端在本地存储设备令牌deviceToken;下次登录时,进入生物认证免密登录流程。
3.根据权利要求2所述的一种基于令牌分层转化的移动端免密认证方法,其特征在于,所述生物认证支持流程,包括:
1)用户在设置中启动生物识别;
2)传感器生物特征验证,验证成功后转步骤3);
3)移动端生成密钥并与移动端系统安全绑定,要求向移动端设备进行身份认证后才能授权使用密钥;
4)在移动端系统安全存储私钥priKey和公钥pubKey;将会话令牌sessionToken和公钥pubKey发送至服务端绑定,客户端获取服务端生成的设备令牌deviceToken并永久存储至系统,移动端在本地存储设备令牌deviceToken;
5)服务端存储用户的公钥pubKey和设备令牌deviceToken,供查询使用。
4.根据权利要求3所述的一种基于令牌分层转化的移动端免密认证方法,其特征在于,所述生物认证支持流程中,产生三种关系数据,包括:
1)公钥pubKey和私钥priKey:
移动端启用生物特征作为身份验证时的安全策略,在启用生物认证功能时,生成与系统设备安全强绑定的秘钥,秘钥生成后只允许通过系统身份验证后才授权应用使用秘钥加解密敏感数据;
2)设备令牌deviceToken和公钥pubKey以及用户ID userId:
用户在登录状态下通过移动端生物特征验证后,上送至公钥pubKey以及账号密码登录生成的会话令牌sessionToken后,由服务端生成设备令牌deviceToken,并控制设备令牌deviceToken的生命周期,且将deviceToken和pubKey以及用户ID绑定关系储存落地;
3)设备令牌deviceToken和设备:
客户端在获取到服务端生成的设备凭证deviceToken后,存储在本地存储localStorage级别使其关闭不失效。
5.根据权利要求2所述的一种基于令牌分层转化的移动端免密认证方法,其特征在于,所述生物认证免密登录流程,包括:
1)客户端身份验证:
服务端持有公钥pubKey,客户端持有私钥priKey,基于非对称密钥特性,经由公钥pubKey加密的密文只有对应的私钥priKey可以解密,经由私钥priKey加密的密文只有对应公钥pubKey可以解密;
2)客户端使用私钥priKey加签,服务端再使用公钥pubKey验签即可验证客户端用户是否为合法用户,验证合法后生成会话令牌sessionToken并使用公钥pubKey加密返回客户端;
3)客户端再使用priKey解密获取明文会话令牌sessionToken,并存储在会话存储sessionStorage级别。
6.根据权利要求2所述的一种基于令牌分层转化的移动端免密认证方法,其特征在于,任意信息系统、任意客户端均至少具备一种账号密码认证方式;
认证过程中,生成的会话令牌sessionToken用于客户端与服务端交换数据,服务端控制会话令牌生命周期,客户端将会话令牌sessionToken存储在会话存储sessionStorage级别,关闭即失效。
7.根据权利要求6所述的一种基于令牌分层转化的移动端免密认证方法,其特征在于,所述账号密码认证包括手机验证码和邮箱验证码认证。
8.根据权利要求6所述的一种基于令牌分层转化的移动端免密认证方法,其特征在于,所述令牌生命周期为15分钟。
9.一种电子设备,包括存储器和处理器,所述存储器上存储有计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1~8任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1~8中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310003632.2A CN116233845A (zh) | 2023-01-03 | 2023-01-03 | 基于令牌分层转化的移动端免密认证方法、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310003632.2A CN116233845A (zh) | 2023-01-03 | 2023-01-03 | 基于令牌分层转化的移动端免密认证方法、设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116233845A true CN116233845A (zh) | 2023-06-06 |
Family
ID=86588365
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310003632.2A Pending CN116233845A (zh) | 2023-01-03 | 2023-01-03 | 基于令牌分层转化的移动端免密认证方法、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116233845A (zh) |
-
2023
- 2023-01-03 CN CN202310003632.2A patent/CN116233845A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109787988B (zh) | 一种身份加强认证和鉴权方法及装置 | |
CN100438421C (zh) | 用于对网络位置的子位置进行用户验证的方法和系统 | |
CN106330850B (zh) | 一种基于生物特征的安全校验方法及客户端、服务器 | |
CN109005155B (zh) | 身份认证方法及装置 | |
JP6586446B2 (ja) | 通信端末および関連システムのユーザーの識別情報を確認するための方法 | |
US8683562B2 (en) | Secure authentication using one-time passwords | |
US20090158033A1 (en) | Method and apparatus for performing secure communication using one time password | |
CN108650212A (zh) | 一种物联网认证和访问控制方法及物联网安全网关系统 | |
CN110990827A (zh) | 一种身份信息验证方法、服务器及存储介质 | |
CN101661599B (zh) | 一种对设备系统自带的软件进行合法性认证的方法 | |
CN110502886B (zh) | 多重身份验证方法、装置、终端及计算机存储介质 | |
KR101451359B1 (ko) | 사용자 계정 회복 | |
KR20160097323A (ko) | Nfc 인증 메커니즘 | |
WO2013058781A1 (en) | Methods, systems and apparatus to facilitate client-based authentication | |
WO2002065697A2 (en) | Apparatus and method for authenticating access to a network resource | |
CN107733636B (zh) | 认证方法以及认证系统 | |
CN112396735B (zh) | 网联汽车数字钥匙安全认证方法及装置 | |
CN106034123A (zh) | 认证方法、应用系统服务器及客户端 | |
KR20220167366A (ko) | 온라인 서비스 서버와 클라이언트 간의 상호 인증 방법 및 시스템 | |
CN103152326A (zh) | 一种分布式认证方法及认证系统 | |
KR102252731B1 (ko) | 소프트웨어 인증장치를 위한 키 관리 방법 및 장치 | |
US20090327704A1 (en) | Strong authentication to a network | |
CN112702304A (zh) | 一种车辆信息的校验方法、装置及汽车 | |
CN108574657B (zh) | 接入服务器的方法、装置、系统以及计算设备和服务器 | |
CN116233845A (zh) | 基于令牌分层转化的移动端免密认证方法、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |