ES2804198T3 - Método y dispositivo de autenticación de identidad - Google Patents

Método y dispositivo de autenticación de identidad Download PDF

Info

Publication number
ES2804198T3
ES2804198T3 ES16845653T ES16845653T ES2804198T3 ES 2804198 T3 ES2804198 T3 ES 2804198T3 ES 16845653 T ES16845653 T ES 16845653T ES 16845653 T ES16845653 T ES 16845653T ES 2804198 T3 ES2804198 T3 ES 2804198T3
Authority
ES
Spain
Prior art keywords
service
portable device
payment
information
service application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES16845653T
Other languages
English (en)
Inventor
Yuanbo Sun
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Advanced New Technologies Co Ltd
Original Assignee
Advanced New Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Advanced New Technologies Co Ltd filed Critical Advanced New Technologies Co Ltd
Application granted granted Critical
Publication of ES2804198T3 publication Critical patent/ES2804198T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3223Realising banking transactions through M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/321Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices using wearable devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3825Use of electronic signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/33Security of mobile devices; Security of mobile applications using wearable devices, e.g. using a smartwatch or smart-glasses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Finance (AREA)
  • Power Engineering (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Telephonic Communication Services (AREA)

Abstract

Un método de autenticación de identidad, implementado por un dispositivo portátil que comprende una interfaz del protocolo de pago configurada para comunicarse con una aplicación de servicio de un tipo de pago, la aplicación de servicio que requiere una operación de autenticación de identidad para el dispositivo portátil durante la ejecución específica del servicio, el método que comprende específicamente: configurar el dispositivo portátil para incluir la interfaz del protocolo de pago para la comunicación entre el dispositivo portátil y la aplicación de servicio del tipo de pago, en donde la interfaz del protocolo de pago está dedicada al tipo de pago de la aplicación de servicio, en donde la interfaz del protocolo de pago se configura para identificar un identificador de tipo de pago único correspondiente a la aplicación de servicio del tipo de pago en un mensaje a partir de mensajes de solicitud de autenticación de identidad recibidos de diferentes aplicaciones de servicio que incluyen la aplicación de servicio y para proceder con la autenticación de identidad con el mensaje; recibir, mediante el dispositivo portátil a través de la interfaz del protocolo de pago, un mensaje de solicitud de autenticación de identidad enviado por un servidor correspondiente a la aplicación de servicio del tipo de pago (S101), en donde el mensaje de solicitud de autenticación de identidad se envía mediante el servidor al dispositivo portátil después de que el servidor recibe una solicitud de servicio de la aplicación de servicio del tipo de pago, y en donde la interfaz del protocolo de pago procesa el mensaje de solicitud de autenticación de identidad solo si la solicitud de autenticación de identidad incluye el identificador único de la aplicación de servicio del tipo de pago; verificar (102), mediante el dispositivo portátil, una firma en el mensaje de solicitud de autenticación de identidad de acuerdo con una clave pública de la aplicación de servicio del tipo de pago; adquirir (103), mediante el dispositivo portátil, si la verificación tiene éxito, información de autenticación de servicio de una cuenta correspondiente al mensaje de solicitud de autenticación de identidad de información de autenticación de servicio almacenada previamente de manera local; y devolver (104), mediante el dispositivo portátil, un mensaje de respuesta de verificación que comprende la información de autenticación de servicio adquirida al servidor a través de la interfaz del protocolo de pago

Description

DESCRIPCIÓN
Método y dispositivo de autenticación de identidad
Esta solicitud reivindica prioridad de la solicitud de patente china núm. 201510583968.6 presentada el 14 de septiembre de 2015 y titulada "METHOD AND DEVICE FOR IDENTITY AUTHENTICATION".
Campo técnico
La presente solicitud se refiere al campo de las tecnologías informáticas, y en particular a un método y un dispositivo para la autenticación de identidad.
Antecedentes de la técnica
Un dispositivo portátil es un dispositivo portátil que se usa directamente en el cuerpo de un usuario o integrado en la ropa o un accesorio del usuario. Actualmente, existen formas de productos convencionales que incluyen productos en una categoría de relojes que se usan en la muñeca (que incluye productos tales como relojes y correas de muñeca), una categoría de zapatos que se usan en los pies (que incluye zapatos, calcetines u otros productos futuros que se usan en las piernas), y una categoría de vidrio que se usa en la cabeza (que incluye anteojos, cascos, cintas para la cabeza y similares); y también hay varias formas de productos no convencionales, tales como ropa inteligente, mochilas escolares, muletas y accesorios.
Debido a que los dispositivos portátiles pueden ser portátiles cuando se usan en el cuerpo, se espera que los dispositivos portátiles estén más involucrados en la autenticación de identidad u operen un proceso de procesamiento correspondiente para una serie de servicios, a fin de lograr una interacción más estrecha con los usuarios y mejorar la seguridad.
Por lo tanto, cómo implementar la autenticación de pago o una operación de autenticación de identidad en otro proceso de operación con base en un dispositivo portátil se ha convertido en uno de los enfoques de investigación en el campo de las tecnologías informáticas.
La autenticación de pago, un tipo especial de autenticación de identidad, se refiere a un comportamiento operativo de juzgar la legitimidad de un comportamiento de pago relacionado con la transferencia de fondos que actualmente realiza un usuario. En relación con el fondo, dicha autenticación de identidad se ve particularmente cuestionada en términos de seguridad y conveniencia.
En la técnica anterior, un procedimiento convencional para implementar la autenticación de identidad, especialmente un proceso de operación de autenticación de pago, con base en un dispositivo portátil es sustancialmente el siguiente:
Después de que un terminal móvil vinculado al dispositivo portátil recibe una solicitud de autenticación de pago, el terminal móvil es responsable de autenticar la legitimidad de la solicitud de autenticación de pago. Después de que la autenticación se realiza correctamente y se completa la deducción de tarifa, el terminal móvil envía la información de éxito de la deducción de tarifa correspondiente al dispositivo portátil. De lo contrario, el terminal móvil envía la información de falla de deducción de tarifa correspondiente al dispositivo portátil, que muestra un resultado de deducción de tarifa.
En un proceso de implementación de la presente solicitud, el solicitante descubrió que el método convencional de autenticación de identidad basado en dispositivo portátil, especialmente el método de autenticación de pago, tiene al menos los siguientes problemas:
En la técnica anterior, la informática relacionada con la autenticación sobre la legitimidad de la solicitud de autenticación de pago se implementa en el terminal móvil, y el dispositivo portátil solo es responsable de mostrar el resultado de la deducción de tarifa.
Además, cuando la informática relacionada se implementa en el terminal móvil, un usuario tiene un sentido débil de participación en un proceso de pago, y el proceso de pago tiene baja seguridad, lo que afecta la tasa de éxito del pago.
Por lo tanto, los expertos en la técnica necesitan urgentemente encontrar un método que pueda mejorar el sentido de participación de un usuario en un proceso de autenticación de identidad, mejorar la seguridad del proceso de autenticación y aumentar la tasa de éxito de autenticación.
El documento US 2013/0054960 describe un dispositivo de usuario que incluye un procesador y una memoria configurados para almacenar una aplicación, un administrador de sesión, un identificador de aplicación y una biblioteca compartida. El administrador de sesión configura el procesador para comunicar el identificador de la aplicación y los datos del identificador de la aplicación a un servidor de autenticación y permitir la ejecución de la aplicación en respuesta a la autenticación de la aplicación por parte del servidor de autenticación.
El documento US 2005/0101295 describe un método para respaldar el pago sin efectivo. Una identidad de abonado móvil almacenada en el módulo de identificación de abonado del terminal móvil se envía a una unidad de interfuncionamiento de pagos. La unidad de interfuncionamiento de pagos transmite la identidad del abonado móvil a un servidor de autenticación de un sistema de comunicación móvil que responde un número de autenticación y una respuesta firmada. El número de autenticación se envía al terminal móvil que calcula una respuesta firmada y transmite la respuesta firmada al servidor de interfuncionamiento de pagos. Este servidor compara las respuestas firmadas recibidas del servidor de autenticación y del terminal móvil y envía un mensaje de confirmación a una unidad P0S o un sistema de facturación, si el resultado firmado recibido es correcto.
Resumen de la invención
Las modalidades de la presente solicitud proporcionan un método y un dispositivo para la autenticación de identidad, a fin de mejorar el sentido de participación del usuario en un proceso de autenticación de identidad, mejorar la seguridad del proceso de autenticación de identidad y aumentar la tasa de éxito de autenticación de identidad, especialmente para un proceso de autenticación de pago.
Para lograr los objetivos técnicos anteriores, la presente solicitud proporciona un método de autenticación de identidad, implementado en un dispositivo terminal que incluye una interfaz estándar preestablecida configurada para comunicarse con una aplicación de servicio de un tipo dedicado, y el método incluye específicamente: recibir, por el dispositivo terminal a través de la interfaz estándar preestablecida, un mensaje de solicitud de autenticación de identidad enviado por un servidor correspondiente a la aplicación de servicio del tipo dedicado, en el que el mensaje de solicitud de autenticación de identidad es enviado por el servidor al dispositivo terminal después de que el servidor recibe una solicitud de servicio de la aplicación de servicio del tipo dedicado; verificar, por el dispositivo terminal, una firma en el mensaje de solicitud de autenticación de identidad de acuerdo con una clave pública de la aplicación de servicio del tipo dedicado;
adquirir, por el dispositivo terminal si la verificación tiene éxito, información de autenticación de servicio de una cuenta correspondiente al mensaje de solicitud de autenticación de identidad a partir de información de autenticación de servicio previamente almacenada localmente; y
devolver, mediante el dispositivo terminal, un mensaje de respuesta de verificación que transporta la información de autenticación de servicio adquirida al servidor a través de la interfaz estándar preestablecida.
Además, las modalidades de la presente aplicación proporcionan además un método de autenticación de identidad, implementado en un servidor correspondiente a una aplicación de servicio de un tipo dedicado, en el que el servidor se comunica con un dispositivo terminal a través de una interfaz estándar preestablecida incluida en el dispositivo terminal, y el método incluye específicamente:
recibir, por el servidor, una solicitud de servicio de la aplicación de servicio del tipo dedicado;
enviar, por el servidor, un mensaje de solicitud de autenticación de identidad al dispositivo terminal a través de la interfaz estándar preestablecida incluida en el dispositivo terminal; recibir, por el servidor cuando una solicitud de autenticación de identidad tiene éxito, un mensaje de respuesta de verificación que es devuelto por el dispositivo terminal a través de la interfaz estándar preestablecida y transporta información de autenticación de servicio; y procesar, por el servidor, la solicitud de servicio de acuerdo con el mensaje de autenticación del servicio.
Además, las modalidades de la presente solicitud proporcionan además un dispositivo terminal, que incluye específicamente:
una interfaz estándar preestablecida configurada para comunicarse con una aplicación de servicio de un tipo dedicado;
un módulo receptor configurado para recibir, a través de la interfaz estándar preestablecida, un mensaje de solicitud de autenticación de identidad enviado por un servidor correspondiente a la aplicación de servicio del tipo dedicado, en donde el servidor envía el mensaje de solicitud de autenticación de identidad al dispositivo terminal después de que el servidor recibe una solicitud de servicio de la aplicación de servicio del tipo dedicado;
un módulo de verificación configurado para verificar, de acuerdo con una clave pública de la aplicación de servicio del tipo dedicado, una firma en el mensaje de solicitud de autenticación de identidad recibido por el módulo receptor; un módulo de adquisición configurado para adquirir, cuando la verificación por el módulo de verificación tiene éxito, la información de autenticación de servicio de una cuenta correspondiente al mensaje de solicitud de autenticación de identidad de la información de autenticación de servicio almacenada previamente en el dispositivo terminal; y un módulo de retroalimentación configurado para devolver un mensaje de respuesta de verificación que transporta la información de autenticación del servicio adquirida por el módulo de adquisición al servidor a través de la interfaz estándar preestablecida.
Además, las modalidades de la presente solicitud proporcionan además un servidor, que corresponde a una aplicación de servicio de un tipo dedicado, y que incluye específicamente:
un módulo de envío configurado para enviar, cuando se recibe una solicitud de servicio de la aplicación de servicio del tipo dedicado, un mensaje de solicitud de autenticación de identidad a un dispositivo terminal a través de una interfaz estándar preestablecida incluida en el dispositivo terminal;
un módulo receptor configurado para recibir, cuando una solicitud de autenticación de identidad tiene éxito, un mensaje de respuesta de verificación que es devuelto por el dispositivo terminal a través de la interfaz estándar preestablecida y transporta información de autenticación de servicio; y
un módulo de procesamiento configurado para procesar la solicitud de servicio de acuerdo con el mensaje de autenticación de servicio recibido por el módulo receptor.
En comparación con la técnica anterior, las soluciones técnicas propuestas en las modalidades de la presente solicitud incluyen los siguientes efectos técnicos beneficiosos: las modalidades de la presente solicitud describen un método y un dispositivo para autenticación de identidad, implementado en un sistema compuesto por un servidor y un dispositivo terminal que incluye una interfaz estándar preestablecida configurada para comunicarse con una aplicación de servicio de un tipo dedicado. Mediante las soluciones técnicas propuestas en la presente descripción, cuando se requiere una operación de autenticación de identidad, el servidor puede solicitar información de autenticación de servicio de una cuenta de la aplicación de servicio del tipo dedicado desde el dispositivo terminal a través de la interfaz estándar preestablecida, y el dispositivo terminal puede realizar la verificación de seguridad en este proceso de acuerdo con una regla de verificación correspondiente, y enviar información de autenticación del servicio almacenada localmente de vuelta al servidor para su posterior procesamiento solo cuando la verificación tenga éxito. Como tal, la seguridad de un proceso de autenticación de identidad se puede garantizar por medio de la interfaz estándar preestablecida vinculada a la aplicación de servicio del tipo dedicado y la verificación de seguridad del dispositivo terminal, y el sentido de participación del operador del dispositivo terminal en este proceso puede mejorarse mediante el uso de la información de autenticación de identidad almacenada actualmente en el dispositivo terminal. Cuando el dispositivo terminal es específicamente un dispositivo portátil, puede mejorarse el sentido de participación del usuario en el proceso de autenticación de identidad, puede mejorarse la seguridad del proceso de autenticación de identidad y se puede aumentar la tasa de éxito de autenticación de identidad, especialmente para un proceso de autenticación de pago.
Breve descripción de los dibujos
Para describir las soluciones técnicas de la presente solicitud más claramente, a continuación, se presentan brevemente los dibujos adjuntos para ilustrar las modalidades. Aparentemente, los dibujos en la siguiente descripción simplemente muestran algunas modalidades de la presente solicitud, y los expertos en la técnica pueden derivar otros dibujos con base en estos dibujos adjuntos sin esfuerzos creativos.
La Figura 1 es un diagrama de flujo esquemático de un método de autenticación de identidad de acuerdo con una modalidad de la presente solicitud;
La Figura 2 es un diagrama de flujo esquemático de un proceso de enlace en un método de autenticación de identidad de acuerdo con una modalidad de la presente solicitud;
La Figura 3 es un diagrama de flujo esquemático de un proceso de autenticación en un método de autenticación de identidad de acuerdo con una modalidad de la presente solicitud;
La Figura 4 es un diagrama estructural esquemático de un dispositivo terminal de acuerdo con una modalidad de la presente solicitud; y
La Figura 5 es un diagrama estructural esquemático de un servidor de acuerdo con una modalidad de la presente solicitud.
Descripción detallada
Como se indica en la técnica anterior de la presente solicitud, en la técnica anterior, la informática relacionada con la autenticación sobre la legitimidad de una solicitud de autenticación de identidad, especialmente una solicitud de autenticación de pago, se implementa en un terminal móvil, y un dispositivo portátil asociado solo es responsable para mostrar un resultado de procesamiento; como un resultado, en dicho proceso operativo, un usuario tiene un débil sentido de participación en un proceso de autenticación de identidad, especialmente en un proceso de pago, y el proceso tiene poca seguridad, lo que a su vez puede afectar la tasa de éxito del servicio.
Sin embargo, el inventor de la presente solicitud descubrió que, en comparación con un terminal móvil, un dispositivo portátil tiene las siguientes ventajas durante el procesamiento:
1. Es más conveniente operar, y también se mejora el sentido de participación del usuario correspondiente en un proceso de procesamiento correspondiente.
2. Es más seguro operar con el dispositivo portátil, por ejemplo, la operación es más privada y no se puede espiar fácilmente, y también se mejora la seguridad del proceso de pago correspondiente.
Con base en las dos ventajas anteriores, el procesamiento con un dispositivo portátil puede aumentar la tasa de éxito de un proceso de pago.
Con base en el análisis anterior, para resolver los problemas técnicos anteriores, las modalidades de la presente solicitud describen un método de autenticación de identidad que se implementa en un dispositivo portátil.
Ciertamente, este método también puede implementarse en un dispositivo terminal de otro tipo, y dicho cambio no afecta el alcance de protección de la presente solicitud.
Como se muestra en la Figura 1, que es un diagrama de flujo esquemático de un método de autenticación de identidad de acuerdo con una primera modalidad de la presente solicitud, el método se implementa en un dispositivo terminal que incluye una interfaz estándar preestablecida configurada para comunicarse con una aplicación de servicio de un tipo dedicado, y el método específicamente incluye:
Etapa S101. El dispositivo terminal recibe, a través de la interfaz estándar preestablecida, un mensaje de solicitud de autenticación de identidad enviado por un servidor correspondiente a la aplicación de servicio del tipo dedicado. El servidor envía el mensaje de solicitud de autenticación de identidad al dispositivo terminal después de que el servidor recibe una solicitud de servicio de la aplicación de servicio del tipo dedicado.
En un escenario de aplicación específico, la aplicación de servicio del tipo dedicado como se describe en la presente descripción se refiere principalmente a una aplicación de servicio de un tipo que coincide con la interfaz estándar preestablecida y requiere una operación de autenticación de identidad durante la ejecución del servicio específico. Después de que un tipo coincide con una interfaz estándar preestablecida (que puede definirse sobre la interfaz o limitarse en un protocolo estándar), solo se transmite un mensaje activado por una aplicación de servicio que coincide con el tipo a través de la interfaz estándar preestablecida. Dicha limitación puede filtrar efectivamente un proceso de intercambio de información de una aplicación de servicio de otro tipo, evitando que otra información interfiera con un proceso de intercambio de información de la aplicación de servicio del tipo dedicado y mejorando la eficiencia del procesamiento de información correspondiente. Además, una limitación en el tipo dedicado también puede proteger eficazmente la entrada o el ataque de otros paquetes falsificados o la señalización a través de la interfaz estándar preestablecida, mejorando la seguridad de un proceso de autenticación de identidad.
Debe observarse que, en el procesamiento posterior, el intercambio de información entre el dispositivo terminal y la aplicación de servicio del tipo dedicado se implementa a través de la interfaz estándar preestablecida, y se describe correspondientemente en una etapa correspondiente posterior, y los detalles no se describen en la presente descripción.
Mediante la limitación de la interfaz estándar preestablecida, el dispositivo terminal no recibe un mensaje enviado por otra aplicación de servicio a través de la interfaz estándar preestablecida, y ciertamente la solución técnica propuesta en esta modalidad puede no activarse. Como tal, se puede implementar el filtrado de información en el proceso de autenticación de identidad, se puede evitar la interferencia de otro mensaje y puede mejorarse la seguridad del proceso de autenticación de identidad.
Etapa S102. El dispositivo terminal verifica una firma en el mensaje de solicitud de autenticación de identidad de acuerdo con una clave pública de la aplicación de servicio del tipo dedicado.
Si la verificación tiene éxito, se puede considerar que el mensaje de solicitud de autenticación de identidad es un mensaje legítimo enviado por la aplicación de servicio del tipo dedicado, y es seguro, y la etapa S103 puede realizarse más adelante.
Si la verificación falla, se puede considerar que el mensaje de solicitud de autenticación de identidad no es un mensaje legítimo enviado por la aplicación de servicio del tipo dedicado y, por lo tanto, el mensaje de solicitud de autenticación de identidad se descarta directamente.
Etapa S103. El dispositivo terminal adquiere información de autenticación de servicio de una cuenta correspondiente al mensaje de solicitud de autenticación de identidad a partir de información de autenticación de servicio previamente almacenada localmente.
Específicamente, en esta modalidad, antes de que se realice esta etapa, un proceso de operación de almacenamiento previo local de información de autenticación del servicio por parte del dispositivo terminal es específicamente como sigue:
Primero, el dispositivo terminal recibe, a través de la interfaz estándar preestablecida, un mensaje de solicitud de registro de vinculación para una cuenta que es enviada por la aplicación de servicio del tipo dedicado.
Luego, el dispositivo terminal verifica la legitimidad del mensaje de solicitud de registro de vinculación, es decir, verifica una firma en el mensaje de solicitud de registro de vinculación de acuerdo con la clave pública de la aplicación de servicio del tipo dedicado.
Si la verificación tiene éxito, el dispositivo terminal adquiere la información de autenticación del servicio que se incluye en el mensaje de solicitud de registro de vinculación y, de manera correspondiente, almacena la información de autenticación del servicio y la información de identificación de identidad de la cuenta localmente para una operación de autenticación posterior, en donde la información de identificación de identidad se usa para indicar la cuenta a la que pertenece la información de autenticación del servicio.
Si la verificación falla, se puede considerar que el mensaje de solicitud de registro de vinculación no es un mensaje legítimo enviado por la aplicación de servicio del tipo dedicado y no es válido, por lo que el mensaje de solicitud de registro de vinculación se descarta directamente.
Finalmente, después de completar el almacenamiento de la información de autenticación del servicio y la información de identificación de identidad, el dispositivo terminal genera un mensaje de respuesta de registro de acuerdo con la información del identificador del dispositivo terminal, y devuelve el mensaje de respuesta de registro a la aplicación de servicio del tipo dedicado a través de la interfaz estándar preestablecida.
En un escenario de aplicación específico, un proceso de generación del mensaje de respuesta de registro es específicamente el siguiente:
adquirir, por el dispositivo terminal, información de identificador único e información del modelo de dispositivo del dispositivo terminal;
reunir, mediante el dispositivo terminal, la información del identificador único y la información del modelo del dispositivo de acuerdo con un formato de datos especificado por la aplicación de servicio del tipo dedicado; y firmar, mediante el dispositivo terminal, la información reunida mediante el uso de una clave privada local y generar el mensaje de respuesta de registro.
Ciertamente, teniendo en cuenta que un usuario de la cuenta puede cambiar la información de autenticación del servicio (por ejemplo, una contraseña de pago, un gesto de pago o similar), la información almacenada actualmente puede actualizarse posteriormente mediante el siguiente procedimiento:
Etapa A. El dispositivo terminal recibe, a través de la interfaz estándar preestablecida, un mensaje de solicitud de actualización de información de autenticación de servicio para una cuenta que es enviada por la aplicación de servicio del tipo dedicado.
Etapa B. El dispositivo terminal verifica una firma en el mensaje de solicitud de actualización de información de autenticación de servicio de acuerdo con la clave pública de la aplicación de servicio del tipo dedicado.
Si la verificación falla, se puede considerar que el mensaje de solicitud de actualización de información de autenticación de servicio no es un mensaje legítimo enviado por la aplicación de servicio del tipo dedicado y no es válido, por lo que el mensaje de solicitud de actualización de información de autenticación de servicio se descarta directamente.
Si la verificación tiene éxito, se realiza la etapa C.
Etapa C. El dispositivo terminal juzga si la información de identificación de identidad correspondiente a la información de autenticación de servicio almacenada localmente es coherente con la información de identificación de identidad transportada en el mensaje de solicitud de actualización de información de autenticación de servicio. Si son consistentes, se puede determinar que la información de autenticación de servicio de la misma cuenta se ha almacenado en el dispositivo terminal, que coincide con el mensaje de solicitud de actualización de información de autenticación de servicio, y se activa una operación posterior de la etapa D.
Por el contrario, si son inconsistentes, se puede determinar que la información de autenticación de servicio de la misma cuenta no se almacena en el dispositivo terminal, que no puede coincidir con el mensaje de solicitud de actualización de información de autenticación de servicio, no hay ningún objeto para actualizar, y posteriormente el procesamiento puede determinarse de acuerdo con una necesidad real.
Etapa D. El dispositivo terminal adquiere, la información de autenticación del servicio transportada en el mensaje de solicitud de actualización de información de autenticación del servicio.
Etapa E. El dispositivo terminal juzga si la información de versión de la información de autenticación de servicio adquirida es mayor que la información de versión de la información de autenticación de servicio correspondiente almacenada actualmente de manera local.
Mediante esta etapa, se puede determinar si la información de autenticación del servicio almacenada actualmente en el dispositivo terminal debe actualizarse.
Si el resultado del juicio es sí, puede indicar que la información de autenticación del servicio local no es de una versión más reciente y necesita actualizarse, y el dispositivo terminal reemplaza la información de autenticación del servicio correspondiente almacenada actualmente con la información de autenticación del servicio adquirida.
Si el resultado del juicio es no, es decir, la información de versión de la información de autenticación de servicio adquirida es igual o menor que la información de versión de la información de autenticación de servicio correspondiente almacenada actualmente de manera local, puede indicar que la información de autenticación de servicio local no necesita actualizarse y la operación de actualización actual finalizará.
Etapa S104. El dispositivo terminal transporta la información de autenticación de servicio adquirida en un mensaje de respuesta de verificación y devuelve el mensaje de respuesta de verificación al servidor a través de la interfaz estándar preestablecida.
En un escenario de aplicación específico, en aras de la seguridad, cuando se devuelve información de credenciales de pago en esta etapa, la información de autenticación del servicio puede cifrarse y guardarse como un paquete de datos de respuesta. Después de recibir el paquete de datos de respuesta, el servidor obtiene la información de autenticación del servicio por descifrado, para completar una operación de procesamiento de servicio posterior. En un escenario de aplicación específico, después de completar esa etapa, se puede incluir un proceso de confirmación correspondiente, que se describe específicamente a continuación:
recibir, por el dispositivo terminal a través de la interfaz estándar preestablecida, una solicitud de confirmación que es enviada por el servidor correspondiente a la aplicación de servicio del tipo dedicado;
adquirir, por el dispositivo terminal, información de tipo modo de confirmación incluida en la solicitud de confirmación; y
completar, mediante el dispositivo terminal, una operación de confirmación correspondiente de acuerdo con la información de tipo modo de confirmación.
Específicamente, en esta modalidad, la información de tipo modo de confirmación incluida en la solicitud de confirmación puede incluir cualquiera o cualquier combinación de los siguientes modos de confirmación: confirmación de texto, confirmación de sonido y confirmación de vibración.
De manera correspondiente, por ejemplo, la confirmación de texto puede mostrar directamente una línea de caracteres "su pago se realizó correctamente", "procesamiento de servicio exitoso" o similares en el dispositivo terminal, y ciertamente, una condición previa es que el dispositivo terminal tenga una pantalla de visualización. La confirmación de sonido puede estar emitiendo un "tono de llamada" preestablecido. La confirmación de vibración puede estar vibrando por un número de veces preestablecido o un período de tiempo continuo.
Esta operación de confirmación se realiza principalmente para permitir al usuario conocer con precisión el resultado del procesamiento de un servicio. Ciertamente, también puede establecerse que no se requiera ninguna operación adicional cuando el procesamiento del servicio tenga éxito. Dicha configuración puede ajustarse de acuerdo con una necesidad real y no afecta el alcance de protección de la presente solicitud.
El proceso de descripción anterior describe un proceso de implementación de solución en un lado del dispositivo terminal. En consecuencia, las modalidades de la presente descripción también proponen un procedimiento de implementación de solución en el lado del servidor. El método se implementa en un servidor correspondiente a una aplicación de servicio de un tipo dedicado, en donde el servidor se comunica con un dispositivo terminal a través de una interfaz estándar preestablecida incluida en el dispositivo terminal, y el método incluye específicamente las siguientes etapas:
Primero, el servidor recibe una solicitud de servicio de la aplicación de servicio del tipo dedicado.
Luego, el servidor envía un mensaje de solicitud de autenticación de identidad al dispositivo terminal a través de la interfaz estándar preestablecida incluida en el dispositivo terminal.
Cuando una solicitud de autenticación de identidad tiene éxito, el servidor recibe un mensaje de respuesta de verificación que es devuelto por el dispositivo terminal a través de la interfaz estándar preestablecida y transporta información de autenticación de servicio.
El servidor procesa la solicitud de servicio de acuerdo con el mensaje de autenticación del servicio.
En un escenario de aplicación específico, antes de que el servidor reciba la solicitud de servicio de la aplicación de servicio del tipo dedicado, se incluye además un proceso de almacenamiento previo de información de autenticación de servicio:
enviar, por el servidor, un mensaje de solicitud de registro de vinculación para una cuenta al dispositivo terminal a través de la interfaz estándar preestablecida incluida en el dispositivo terminal, en donde el mensaje de solicitud de registro de vinculación transporta información de autenticación de servicio de la cuenta; y
recibir, por el servidor cuando el enlace de registro tiene éxito, un mensaje de respuesta de registro que es devuelto por el dispositivo terminal a través de la interfaz estándar preestablecida, y el servidor confirma que el dispositivo terminal está vinculado exitosamente a la cuenta, en donde el mensaje de respuesta de registro transporta información de identificación del dispositivo terminal.
Este proceso de almacenamiento previo corresponde al proceso de operación de almacenamiento previo local de información de autenticación del servicio por parte del dispositivo terminal en la etapa S103, y los detalles no se describen nuevamente en la presente descripción.
Además, después de que el servidor confirme que el dispositivo terminal está vinculado exitosamente a la cuenta, el método comprende, además:
enviar, por el servidor cuando la información de autenticación de servicio de la cuenta necesita ser actualizada, un mensaje de solicitud de actualización de información de autenticación de servicio para la cuenta al dispositivo terminal a través de la interfaz estándar preestablecida incluida en el dispositivo terminal, en donde el mensaje de solicitud de actualización de información de autenticación de servicio transporta la información de autenticación del servicio que necesita ser actualizada de la cuenta.
Este proceso también corresponde al proceso de procesamiento de la etapa A a la etapa E en la etapa S103, y los detalles no se describen aquí nuevamente.
De acuerdo con otro aspecto, después de que el servidor procesa la solicitud de servicio de acuerdo con el mensaje de autenticación del servicio, se puede incluir un proceso de confirmación correspondiente, que se describe específicamente como sigue:
enviar, por el servidor después de que se complete el procesamiento de la solicitud de servicio, una solicitud de confirmación que transporte información de tipo modo de confirmación al dispositivo terminal a través de la interfaz estándar preestablecida incluida en el dispositivo terminal, de modo que el dispositivo terminal complete una operación de confirmación correspondiente de acuerdo con la información de tipo modo de confirmación.
Un proceso después del envío de la solicitud de confirmación corresponde a un proceso de confirmación posterior en la etapa S104, y los detalles no se describen aquí nuevamente.
Debe observarse aquí que, en las etapas anteriores, cada mensaje recibido por el dispositivo terminal a través de la interfaz estándar preestablecida incluye al menos información de tipo de operación e información de firma del mensaje.
La información de la firma debe coincidir con la aplicación de servicio del tipo dedicado correspondiente a la interfaz estándar preestablecida y, por lo tanto, se puede verificar de acuerdo con la clave pública de la aplicación de servicio del tipo dedicado. Si la verificación falla, ciertamente se puede determinar que el mensaje actual no coincide con el tipo dedicado. Como tal, se puede filtrar un mensaje no relacionado y puede mejorarse la seguridad.
En comparación con la técnica anterior, las soluciones técnicas propuestas en las modalidades de la presente solicitud incluyen los siguientes efectos técnicos beneficiosos: las modalidades de la presente solicitud describen un método y un dispositivo para autenticación de identidad, implementado en un sistema compuesto por un servidor y un dispositivo terminal que incluye una interfaz estándar preestablecida configurada para comunicarse con una aplicación de servicio de un tipo dedicado. Mediante las soluciones técnicas propuestas en la presente solicitud, cuando se requiere una operación de autenticación de identidad, el servidor puede solicitar información de autenticación de servicio de una cuenta de la aplicación de servicio del tipo dedicado desde el dispositivo terminal a través de la interfaz estándar preestablecida, y el dispositivo terminal puede realizar la verificación de seguridad en este proceso de acuerdo con una regla de verificación correspondiente, y enviar información de autenticación del servicio almacenada localmente de vuelta al servidor para su posterior procesamiento solo cuando la verificación tenga éxito. Como tal, la seguridad de un proceso de autenticación de identidad se puede garantizar por medio de la interfaz estándar preestablecida vinculada a la aplicación de servicio del tipo dedicado y la verificación de seguridad del dispositivo terminal, y el sentido de participación del operador del dispositivo terminal en este proceso puede ser mejorado mediante el uso de la información de autenticación de identidad almacenada actualmente en el dispositivo terminal. Cuando el dispositivo terminal es específicamente un dispositivo portátil, puede mejorarse el sentido de participación del usuario en el proceso de autenticación de identidad, puede mejorarse la seguridad del proceso de autenticación de identidad y puede aumentarse la tasa de éxito de autenticación de identidad, especialmente para un proceso de autenticación de pago.
Las soluciones técnicas en la presente solicitud se describen clara y completamente a continuación con referencia a los dibujos adjuntos en la presente solicitud. Aparentemente, las modalidades que se describirán son simplemente algunas en lugar de todas las modalidades de la presente solicitud. Todas las demás modalidades obtenidas por expertos de habilidad ordinaria en la técnica con base en las modalidades de la presente solicitud sin esfuerzos creativos estarán dentro del alcance de protección de la presente solicitud.
Teniendo en cuenta que un dispositivo portátil se transporta junto con un usuario y proporciona garantías de seguridad y que un servicio de tipo de pago tiene un alto estándar de seguridad, en una modalidad posterior de la presente solicitud, las soluciones técnicas se describen utilizando un ejemplo en el que el dispositivo portátil implementa un proceso de autenticación de pago. De manera correspondiente, el dispositivo terminal anterior es un dispositivo portátil posterior, la aplicación de servicio anterior del tipo dedicado es una aplicación de servicio de tipo de pago posterior, y el tipo dedicado correspondiente es el pago.
Cabe señalar que es simplemente una modalidad preferida, y las soluciones técnicas en la presente solicitud también pueden implementarse en un dispositivo terminal de otro tipo y un proceso de autenticación de identidad de un servicio de otro tipo, y dicho cambio no afecta el alcance de protección de la presente solicitud.
Primero, se presenta un escenario de aplicación de las soluciones técnicas propuestas en las modalidades de la presente solicitud de la siguiente manera:
(1) Dispositivo portátil: es un dispositivo portátil y también tiene una función de pago, por ejemplo, un reloj inteligente, una insignia inteligente o gafas inteligentes. El dispositivo tiene una función de pago propiamente dicha, o una aplicación que tiene una función de pago instalada, y por lo tanto, se puede realizar una operación de pago correspondiente para una cuenta asociada. El dispositivo se comunica, a través de una interfaz estándar preestablecida, con un servidor de una aplicación de tipo de pago y un terminal habilitado para pago en el que está instalada la aplicación de tipo de pago, en donde la interfaz estándar preestablecida puede ser una interfaz estándar conforme a un protocolo de pago.
(2) Terminal habilitado para pagos: es, por ejemplo, un teléfono inteligente, una tableta inteligente (Pad), y tiene una función de pago en sí misma, o una aplicación que tiene una función de pago instalada. El terminal está asociado con una misma cuenta de usuario que el dispositivo portátil. Según lo requiera o establezca un usuario, el terminal debe confirmar una operación de pago mediante el uso del dispositivo portátil. El dispositivo también se comunica con el dispositivo portátil y el servidor de pago a través de una interfaz estándar preestablecida. La interfaz estándar preestablecida puede ser una interfaz estándar conforme a un protocolo de pago.
(3) Servidor de pago: es un servidor que tiene capacidades de procesamiento y verificación de pagos, y finalmente realiza la operación de pago después de que la verificación tenga éxito.
Con base en la arquitectura de servicio anterior, la interfaz estándar preestablecida puede configurarse de acuerdo con un protocolo correspondiente. Para un ejemplo específico propuesto en las modalidades de la presente solicitud, la interfaz puede configurarse usando, por ejemplo, un protocolo de contenido:
Se adopta un estándar de protocolo de configuración de formato ATT y se usa UUID para identificar un atributo de tipo dedicado exclusivo.
Para un proceso de autenticación de identidad específico, se puede configurar un protocolo de la interfaz estándar predeterminada que incluya un servicio y cuatro características, específicamente:
Servicio UUID: 0x0001000 (para determinar un tipo dedicado de una aplicación de servicio correspondiente); y Característica: Hay cuatro características, a saber, registro, verificación, actualización de clave y confirmación (vibración). Los uUlD característicos correspondientes son: 0x00000011, 0x00000012, 0x00000013 y 0x00000014, de modo que se pueden identificar las diferencias de funciones entre interfaces específicas.
Ciertamente, dicha configuración es simplemente un ejemplo específico. Durante la aplicación actual, las diferencias de funciones anteriores pueden no distinguirse y, en su lugar, se desencadena un procesamiento diferente de acuerdo con un identificador de tipo de mensaje. Ciertamente, se pueden establecer más características de acuerdo con diferentes contenidos de servicio. Dichos cambios no afectan el alcance de protección de la presente solicitud. Con base en el escenario del sistema anterior, y considerando además que el dispositivo portátil tiene capacidades limitadas de computación y almacenamiento y tiene un requisito de consumo de energía, el dispositivo portátil es responsable de procesar las operaciones lo menos posible.
En las soluciones técnicas propuestas en la presente solicitud, el dispositivo portátil almacena la información de verificación de clave (es decir, la información de autenticación del servicio), y retroalimenta la información de verificación al servidor de pago solo cuando se verifica que la identidad es legítima, para completar sin problemas la operación de pago.
Los procedimientos de operación en varias etapas se describen a continuación en orden cronológico.
1. Etapa de vinculación
En esta etapa, se debe establecer una relación de vinculación entre el dispositivo portátil y una cuenta específica, y la información de la credencial de pago (es decir, un caso especial de la información de autenticación del servicio, en donde hay una configuración similar en las descripciones posteriores, que no se establece uno por uno) de la cuenta vinculada se almacena sincrónicamente en el dispositivo portátil.
Específicamente, como se muestra en la Figura 2, que es un diagrama de flujo esquemático de un proceso de enlace en un método de autenticación de identidad de acuerdo con una modalidad de la presente solicitud, en esta modalidad, el dispositivo portátil almacena localmente información de autenticación de servicio de acuerdo con una política de registro preestablecida, para completar el enlace a una cuenta de una aplicación de servicio de un tipo dedicado correspondiente, y un procedimiento específico es el siguiente:
Etapa S201. El dispositivo portátil recibe una solicitud de registro a través de la interfaz estándar preestablecida. En un escenario de aplicación específico, si se requiere la verificación de identidad de la cuenta con base en un lado de la red, el proceso de registro anterior puede activarse utilizando el servidor de pago; si se realiza la coincidencia de información de identificación local (por ejemplo, negociación de clave local), una aplicación de servicio de tipo de pago en el terminal habilitado para pago puede iniciar directamente el proceso de registro en el dispositivo portátil. Sin embargo, no importa qué forma de inicio se implemente, debido a que un tipo de servicio procesado es un servicio de tipo de pago, todas las operaciones deben completarse a través de la interfaz estándar preestablecida. Como tal, se puede proteger la interferencia de un mensaje de servicio de otro tipo, y puede mejorarse la seguridad de una operación de servicio del tipo actual.
Teniendo en cuenta que un objetivo final de este proceso de vinculación es almacenar sincrónicamente la información de verificación (es decir, la información de autenticación del servicio), si la aplicación de servicio de tipo de pago en el terminal habilitado para pago inicia directamente el proceso de registro en el dispositivo portátil, la aplicación de servicio de tipo de pago en el terminal con pago habilitado debe proporcionar directamente la información de verificación correspondiente.
No importa qué solución de procesamiento se implemente, teniendo en cuenta que la vinculación se basa en la vinculación de una misma cuenta de pago, en un proceso posterior se omite una diferencia entre formularios desencadenantes específicos y la aplicación de servicio de tipo de pago de la cuenta de pago se usa directamente como entidad desencadenante para realizar una operación de enlace correspondiente.
Etapa S202. El dispositivo portátil analiza la solicitud de registro de acuerdo con un estándar de formato de datos preestablecido, para adquirir la información que contiene.
La aplicación de servicio de tipo de pago inicia la solicitud de registro en la interfaz estándar preestablecida del dispositivo portátil (por ejemplo, para el proceso de enlace iniciado directamente por la aplicación de tipo de pago en el terminal habilitado para pago, la solicitud de registro puede transmitirse directamente por medio de Bluetooth; para el proceso de vinculación iniciado mediante el uso del servidor de pago, la solicitud de registro puede transmitirse a la interfaz estándar preestablecida del dispositivo portátil mediante el uso del servidor de pago). Después de recibir los datos, el dispositivo portátil realiza el procesamiento de deserialización (una operación de deserialización es una operación de análisis) de acuerdo con un formato de transmisión de datos preestablecido, para obtener la información de verificación que se incluye en la solicitud de registro.
Cabe señalar además que la solicitud de registro y otro mensaje que se envía a la interfaz estándar preestablecida en lo sucesivo se utilizan para completar una operación de verificación de legitimidad correspondiente, y necesitan transportar información de tipo de verificación e información de firma específica, que es información de verificación clave necesariamente transportada. Aquí se proporciona una descripción específica, y otros mensajes son similares, y no se describen repetidamente uno por uno.
A. Información del tipo de verificación:
Actualmente, hay dos soluciones de verificación disponibles para el dispositivo portátil. Una de ellas es una solución relativamente segura, en la que se adopta RSA para el cifrado y la verificación de firma, y la otra es una solución que no tiene un alto rendimiento de programación y tiene una seguridad relativamente baja, en la que se adopta el cifrado simétrico.
B. Información de firma: Es información de firma generada de acuerdo con un algoritmo de firma específico, y otros mensajes a continuación son similares a los mismos, para los cuales la información de firma se puede generar de acuerdo con un algoritmo de firma específico mediante el uso de información que debe transportarse por separado. En un escenario de aplicación específico, los tipos de algoritmo de firma incluyen principalmente SHA 256 y rsawithsha256.
En un escenario de aplicación específico, además de la información de verificación clave anterior, la solicitud de registro puede incluir las siguientes partes de contenido, y ciertamente, con la condición previa de que se pueda implementar la operación de vinculación de registro, el tipo de información transportada en el registro la solicitud no afecta el alcance de protección de la presente solicitud:
(1) Información relacionada con el paquete: es información usada para identificar la solicitud de registro e incluye: una longitud de datos firmados y los datos firmados.
(2) Información relacionada con la identidad: se usa para verificar la legitimidad de la solicitud de registro e incluye: información de firma (es decir, la información de identificación de identidad) del servicio de pago, información de duración de la información de firma del servicio de pago, información de desafío e información de longitud de la información del desafío.
(3) Información relacionada con el algoritmo: se usa para analizar o generar una firma, e incluye: información del tipo de algoritmo de firma e información de longitud del algoritmo de firma.
Además, se debe tener en cuenta que, en esta modalidad, el algoritmo de firma puede ser un algoritmo de hash seguro SHA256 o un algoritmo de hash no simétrico RSA con SHA 256. En un entorno específico, el algoritmo de firma también puede ser otro algoritmo de firma, y los detalles no se describen aquí.
(4) Información relacionada con la credencial de pago: se usa para verificar una operación de pago en un proceso posterior e incluye: una clave compartida (es decir, la información de la credencial de pago) generada por el terminal habilitado para pagos y utilizada para admitir el servidor de pagos completar una operación de deducción de tarifa e información de longitud de la clave compartida.
Etapa S203. El dispositivo portátil verifica la legitimidad de la solicitud de registro.
En un escenario de aplicación específico, después de que la operación de deserialización de información tiene éxito, el dispositivo portátil realiza una operación de verificación de acuerdo con la información de verificación preestablecida. Específicamente, el dispositivo portátil puede realizar, de acuerdo con una clave pública incorporada para el servicio de pago, una operación de verificación de la información relacionada con la firma que se obtiene después de realizar la operación de deserialización en la etapa S202.
Si la verificación tiene éxito, se realiza la etapa S204. Si la verificación falla, el dispositivo portátil determina que la solicitud de registro es inválida o ilegítima y, por lo tanto, descarta directamente la solicitud de registro.
Etapa S204. El dispositivo portátil adquiere y almacena información de credenciales de pago e información de identificación de identidad.
El dispositivo portátil realiza, de acuerdo con una clave privada incorporada, una operación de descifrado de la información relacionada con la credencial de pago que se obtiene después de que se realiza la operación de deserialización en la etapa S202, para adquirir la información de credencial de pago.
El dispositivo portátil adquiere información relacionada con el identificador del dispositivo que se obtiene después de realizar la operación de deserialización en la etapa S202.
El dispositivo portátil almacena localmente la información de credenciales de pago adquirida y la información de identificación de identidad, por ejemplo, almacena la información en una memoria local de solo lectura (ROM).
Hasta ahora, el almacenamiento para la relación de vinculación se ha completado en el lado del dispositivo portátil, y en una operación posterior, un estado de vinculación debe retroalimentarse a la aplicación de servicio de tipo de pago en el terminal habilitado para el pago por pares. La operación de enlace se completa realmente solo después de que la relación de enlace se procesa con éxito en ambos lados.
Etapa S205. El dispositivo portátil retroalimenta información de identificación de identidad y otra información relacionada con el enlace de acuerdo con una regla de retroalimentación preestablecida.
El dispositivo portátil genera un mensaje de respuesta de registro correspondiente de acuerdo con una regla de ensamblaje de información de retroalimentación preestablecida mediante el uso de un ID único (la información de identificación de identidad), un modelo de dispositivo y otra información, y envía el mensaje de respuesta de registro a un remitente de solicitud de registro. Es decir, si el terminal habilitado para pagos inicia directamente la solicitud de registro, el mensaje de respuesta de registro se retroalimenta directamente al terminal habilitado para pagos; si la solicitud de registro se inicia utilizando el servidor de pago en el lado de la red, el mensaje de respuesta de registro se retroalimenta al servidor de pago, y luego el servidor de pago realiza una retroalimentación de confirmación de vinculación posterior.
Cabe señalar que la forma de cifrado/descifrado anterior es un trabajo de garantía en aras de la seguridad, y con la condición previa de que se pueda garantizar la seguridad, ni si se utiliza la forma de cifrado/descifrado, ni si se toma otra medida de protección de seguridad. alcance de protección de la presente solicitud.
En un escenario de aplicación específico, además de la información clave de verificación, el mensaje de respuesta de registro puede incluir las siguientes partes del contenido, y ciertamente, con la condición previa de que se pueda implementar la operación de vinculación de registro, el tipo de información que se transporta en el mensaje de respuesta de registro no afecta el alcance de protección de la presente solicitud:
(1) Información relacionada con el paquete: es información usada para identificar la solicitud de registro e incluye: una longitud de datos firmados y los datos firmados.
(2) Información relacionada con la identidad: se usa para verificar la legitimidad de la solicitud de registro e incluye: información de firma (es decir, la información de identificación de identidad) del servicio de pago, información de duración de la información de firma del servicio de pago, información de desafío e información de longitud de la información del desafío.
(3) Información relacionada con el algoritmo: se usa para analizar o generar una firma, e incluye: información del tipo de algoritmo de firma e información de longitud del algoritmo de firma.
Además, debe tenerse en cuenta que, en esta modalidad, el algoritmo de firma puede ser SHA256 o RSA con SHA 256. En un entorno específico, el algoritmo de firma también puede ser otro algoritmo de firma, y los detalles no se describen aquí.
(4) Información relacionada con el dispositivo portátil: es información usada para permitir que el iniciador de registro adquiera un dispositivo portátil registrado con éxito, e incluye: información de identificación única del dispositivo portátil, información de longitud de la información de identificación única, información del modelo del dispositivo e información de longitud de la información del modelo del dispositivo.
Mediante el procesamiento anterior, el dispositivo portátil almacena con éxito la información de autenticación de pago y la información de identificación de identidad de una cuenta de la aplicación de servicio de tipo de pago que está vinculada al dispositivo portátil. Sin embargo, teniendo en cuenta que un usuario puede cambiar la información de la credencial de pago (por ejemplo, una contraseña de pago, un gesto de pago o similar), la información almacenada actualmente puede actualizarse posteriormente mediante el siguiente procedimiento. Para una operación de actualización específica, se puede hacer referencia al proceso de registro anterior, y la única diferencia es que, antes de que se determine actualizar la información de autenticación de pago, es necesario realizar adicionalmente un proceso de comparación de información de identificación de identidad (para determinar que es una operación de actualización del mismo usuario), así como también un proceso de comparación de versiones de información de autenticación de pago (solo se almacena la información de autenticación de pago de una versión superior). Los detalles no se describen aquí nuevamente.
2. Etapa de autenticación
En esta etapa, el dispositivo portátil realiza el procesamiento central de las soluciones técnicas propuestas en la presente solicitud, es decir, el dispositivo portátil realiza una operación de autenticación en un proceso de solicitud de pago, y el proceso puede continuar solo después de que se realiza una operación de autenticación exitosa. Específicamente, como se muestra en la Figura 3, que es un diagrama de flujo esquemático de un proceso de autenticación en un método de autenticación de identidad de acuerdo con una modalidad de la presente solicitud, en esta modalidad, el dispositivo portátil realiza, de acuerdo con una política de autenticación preestablecida, operación de autenticación de legitimidad en una solicitud de autenticación de pago enviada por el terminal habilitado para pagos, y un procedimiento específico es el siguiente:
Etapa S301. El dispositivo portátil recibe, a través de la interfaz estándar preestablecida, una solicitud de autenticación de pago enviada por el servidor de pago.
En un escenario de aplicación específico, una operación de pago generalmente es iniciada por el terminal habilitado para pagos, en donde el terminal habilitado para pagos envía una solicitud de pago al servidor de pagos, para solicitar la operación de pago, y después de recibir la solicitud de pago, el servidor de pagos desencadena un proceso de autenticación de pago y envía la solicitud de autenticación de pago al dispositivo portátil.
La solicitud de autenticación de pago se puede recibir a través de la interfaz estándar preestablecida del dispositivo portátil.
Etapa S302. El dispositivo portátil analiza la solicitud de autenticación de pago de acuerdo con un estándar de formato de datos preestablecido, para adquirir la información que contiene.
Cuando la aplicación de servicio de tipo de pago recibe un proceso de pago iniciado por un usuario, la aplicación de servicio de tipo de pago inicia la solicitud de autenticación de pago a la interfaz estándar preestablecida del dispositivo portátil. Después de recibir los datos, el dispositivo portátil realiza el procesamiento de deserialización (una operación de deserialización es una operación de análisis) de acuerdo con un formato de transmisión de datos preestablecido, para obtener la información de verificación que se incluye en la solicitud de autenticación de pago. En un escenario de aplicación específico, además de la información de verificación clave, la solicitud de autenticación de pago puede incluir las siguientes partes del contenido, y ciertamente, con la condición previa de que se pueda implementar la operación de autenticación de pago, el tipo de información transportada en la solicitud de autenticación de pago no afecta el alcance de protección de la presente solicitud:
(1) Información relacionada con el paquete: Es información usada para identificar la solicitud de autenticación de pago e incluye: una longitud de datos firmados y los datos firmados.
(2) Información relacionada con la identidad: Se usa para verificar la correspondencia entre la solicitud de autenticación de pago y la cuenta vinculada al dispositivo portátil, e incluye: información de firma (es decir, la información de identificación de identidad) del servicio de pago, información de duración de la información de firma del servicio de pago, información del desafío e información de duración de la información del desafío.
(3) Información relacionada con el algoritmo: Se usa para analizar o generar una firma, e incluye: información del tipo de algoritmo de firma e información de longitud del algoritmo de firma.
Además, debe tenerse en cuenta que, en esta modalidad, el algoritmo de firma puede ser SHA256 o RSAwithSHA256. En un entorno específico, el algoritmo de firma también puede ser otro algoritmo de firma, y los detalles no se describen aquí.
Etapa S303. El dispositivo portátil verifica una relación de vinculación entre una cuenta correspondiente a la solicitud de autenticación de pago y una cuenta correspondiente a la información de credenciales de pago almacenada localmente.
En un escenario de aplicación específico, el dispositivo portátil necesita comparar la información obtenida por deserialización con la información local, para juzgar si una cuenta de una aplicación de servicio de tipo de pago correspondiente a la solicitud de autenticación de pago es una cuenta de la aplicación de servicio de tipo de pago vinculada al dispositivo portátil.
En un escenario de aplicación específico, se puede verificar si la información de identificación de identidad contenida en el mensaje coincide con la información de identificación de identidad correspondiente a la información de credencial de pago almacenada localmente.
Si la verificación tiene éxito, se realiza la etapa S304. Si la verificación falla, se puede considerar que la solicitud de autenticación de pago corresponde a otra cuenta que no está relacionada con el dispositivo portátil y, por lo tanto, la solicitud de autenticación de pago se descarta directamente.
Etapa S304. El dispositivo portátil genera una clave de identidad de acuerdo con la información de credencial de pago almacenada del terminal habilitado para pago.
La clave de identidad se genera utilizando la información de credenciales de pago almacenada en la ROM en el proceso de enlace anterior.
En un escenario de aplicación específico, la clave de identidad puede cifrarse utilizando una clave pública de la aplicación de servicio de tipo de pago, y los datos se serializan de acuerdo con un parámetro de salida de autenticación, para generar datos de retroalimentación (es decir, el paquete de datos de respuesta) que puede ser retroalimentado.
En un escenario de aplicación específico, además de la información de verificación clave, los datos de retroalimentación pueden incluir las siguientes partes del contenido, y ciertamente, con la condición previa de que se pueda implementar la operación de retroalimentación de la clave de identidad, el tipo de información transportada en los datos de retroalimentación no afecta el alcance de protección de la presente solicitud:
(1) Información relacionada con el paquete: Es información usada para identificar los datos de retroalimentación e incluye: una longitud de datos firmados y los datos firmados.
(2) Información relacionada con la identidad: Se usa para verificar la legitimidad de los datos de retroalimentación e incluye: información de firma (es decir, la información de identificación de identidad) del servicio de pago, información de duración de la información de firma del servicio de pago, información de desafío e información de longitud de la información del desafío.
(3) Información relacionada con el algoritmo: Se usa para analizar o generar una firma, e incluye: información del tipo de algoritmo de firma e información de longitud del algoritmo de firma.
Además, debe tenerse en cuenta que, en esta modalidad, el algoritmo de firma puede ser SHA256 o RSA con SHA 256. En un entorno específico, el algoritmo de firma también puede ser otro algoritmo de firma, y los detalles no se describen aquí.
(4) Información relacionada con la credencial de pago: Se usa para permitir que el iniciador de verificación adquiera la información de la credencial de pago e incluye: una longitud de una cadena de identidad obtenida cifrando la información de la credencial de pago que se almacena permanentemente en la ROM local durante el enlace, y datos de cadena de identidad.
Etapa S205. El dispositivo portátil envía datos de retroalimentación de acuerdo con una regla de retroalimentación preestablecida, de modo que el servidor de pago complete una operación de deducción de tarifa.
Después de recibir los datos de retroalimentación, el servidor de pago obtiene la información de la credencial de pago mediante descifrado, para completar una operación de deducción de tarifa posterior.
Cabe señalar que la forma de cifrado/descifrado anterior es un trabajo de garantía en aras de la seguridad, y con la condición previa de que se pueda garantizar la seguridad, ni si se usa el modo de cifrado/descifrado, ni si se toma otra medida de protección de seguridad. alcance de protección de la presente solicitud.
3. Etapa de confirmación
En esta etapa, el dispositivo portátil devuelve una respuesta de confirmación al usuario de acuerdo con el resultado de la operación del proceso de pago que el servidor de pago retroalimenta.
El dispositivo portátil recibe, a través de la interfaz estándar preestablecida, una solicitud de confirmación enviada desde el servidor de pago.
El dispositivo portátil adquiere información de tipo modo de confirmación incluida en la solicitud de confirmación. El dispositivo portátil completa una operación de confirmación correspondiente de acuerdo con la información de tipo modo de confirmación.
Específicamente, en esta modalidad, la información de tipo modo de confirmación incluida en la solicitud de confirmación puede incluir cualquiera o cualquier combinación de los siguientes modos de confirmación: confirmación de texto, confirmación de sonido y confirmación de vibración.
En consecuencia, por ejemplo, la confirmación de texto puede mostrar directamente una línea de caracteres "su pago se realizó correctamente" en el dispositivo portátil, y ciertamente, una condición previa es que el dispositivo portátil tenga una pantalla de visualización. La confirmación de sonido puede estar emitiendo un "tono de llamada" preestablecido. La confirmación de vibración puede estar vibrando por un número predeterminado de veces o un período de tiempo continuo.
Esta operación de confirmación se realiza principalmente para permitir al usuario conocer con precisión el resultado de un pago. Ciertamente, también se puede establecer que no se requiere ninguna operación adicional cuando el pago se realiza correctamente. Dicha configuración puede ajustarse de acuerdo con una necesidad real y no afecta el alcance de protección de la presente solicitud.
En comparación con la técnica anterior, las soluciones técnicas propuestas en las modalidades de la presente solicitud incluyen los siguientes efectos técnicos beneficiosos: las modalidades de la presente descripción reciben un método y un dispositivo para autenticación de identidad, implementado en un sistema compuesto por un servidor y un dispositivo terminal que incluye una interfaz estándar preestablecida configurada para comunicarse con una aplicación de servicio de un tipo dedicado. Mediante las soluciones técnicas propuestas en la presente solicitud, cuando se requiere una operación de autenticación de identidad, el servidor puede solicitar información de autenticación de servicio de una cuenta de la aplicación de servicio del tipo dedicado desde el dispositivo terminal a través de la interfaz estándar preestablecida, y el dispositivo terminal puede realizar la verificación de seguridad en este proceso de acuerdo con una regla de verificación correspondiente, y enviar información de autenticación del servicio almacenada localmente de vuelta al servidor para su posterior procesamiento solo cuando la verificación tenga éxito. Como tal, la seguridad de un proceso de autenticación de identidad se puede garantizar por medio de la interfaz estándar preestablecida vinculada a la aplicación de servicio del tipo dedicado y la verificación de seguridad del dispositivo terminal, y el sentido de participación del operador del dispositivo terminal en este proceso puede ser mejorado mediante el uso de la información de autenticación de identidad almacenada actualmente en el dispositivo terminal. Cuando el dispositivo terminal es específicamente un dispositivo portátil, puede mejorarse el sentido de participación del usuario en el proceso de autenticación de identidad, puede mejorarse la seguridad del proceso de autenticación de identidad y se puede aumentar la tasa de éxito de autenticación de identidad, especialmente para una autenticación de pago proceso.
Para describir las soluciones proporcionadas en las modalidades anteriores de la presente solicitud más claramente, con base en la misma idea de invención que el método anterior, las modalidades de la presente aplicación proponen además un dispositivo terminal, cuyo diagrama estructural esquemático se muestra en la Figura 4, e incluye específicamente:
una interfaz estándar preestablecida 41 configurada para comunicarse con una aplicación de servicio de un tipo dedicado; un módulo receptor 42 configurado para recibir, a través de la interfaz estándar preestablecida 41, un mensaje de solicitud de autenticación de identidad enviado por un servidor correspondiente a la aplicación de servicio del tipo dedicado, en donde el servidor envía el mensaje de solicitud de autenticación de identidad al dispositivo terminal después el servidor recibe una solicitud de servicio de la aplicación de servicio del tipo dedicado; un módulo de verificación 43 configurado para verificar, de acuerdo con una clave pública de la aplicación de servicio del tipo dedicado, una firma en el mensaje de solicitud de autenticación de identidad recibido por el módulo receptor 42;
un módulo de adquisición 44 configurado para adquirir, cuando la verificación por el módulo de verificación 43 tiene éxito, la información de autenticación de servicio de una cuenta correspondiente al mensaje de solicitud de autenticación de identidad de la información de autenticación de servicio almacenada previamente en el dispositivo terminal; y
un módulo de retroalimentación 45 configurado para devolver un mensaje de respuesta de verificación que transporta la información de autenticación de servicio adquirida por el módulo de adquisición 44 al servidor a través de la interfaz estándar preestablecida 41.
En un escenario de aplicación específico, el módulo de recepción 42 se configura además para recibir, a través de la interfaz estándar preestablecida 41, un mensaje de solicitud de registro de vinculación para una cuenta que es enviada por la aplicación de servicio del tipo dedicado;
el módulo de verificación 43 se configura además para verificar, de acuerdo con la clave pública de la aplicación de servicio del tipo dedicado, una firma en el mensaje de solicitud de registro de vinculación recibido por el módulo receptor 42; el módulo de adquisición 44 se configura además para adquirir, cuando la verificación por el módulo de verificación 43 tiene éxito, la información de autenticación de servicio transportada en el mensaje de solicitud de registro de vinculación, y correspondientemente almacenar la información de autenticación de servicio y la información de identificación de identidad de la cuenta en el dispositivo terminal; y
el módulo de retroalimentación 45 se configura además para generar un mensaje de respuesta de registro de acuerdo con la información del identificador del dispositivo terminal, y devolver el mensaje de respuesta de registro a la aplicación de servicio del tipo dedicado a través de la interfaz estándar preestablecida 41.
Además, el dispositivo terminal incluye además un módulo de actualización 46, donde el módulo de recepción 42 se configura además para recibir, a través de la interfaz estándar preestablecida 41, un mensaje de solicitud de actualización de información de autenticación de servicio para una cuenta que es enviada por la aplicación de servicio del tipo dedicado;
el módulo de verificación 43 se configura además para verificar, de acuerdo con la clave pública de la aplicación de servicio del tipo dedicado, una firma en el mensaje de solicitud de actualización de información de autenticación de servicio recibida por el módulo receptor 42, y juzgar, cuando la verificación tiene éxito, si la información de identificación de identidad correspondiente a la información de autenticación de servicio almacenada en el dispositivo terminal es coherente con la información de identificación de identidad transportada en el mensaje de solicitud de actualización de información de autenticación de servicio;
el módulo de adquisición 44 se configura además para adquirir, cuando el resultado del juicio del módulo de verificación 43 es sí, la información de autenticación de servicio transportada en el mensaje de solicitud de actualización de información de autenticación de servicio; y
el módulo de actualización 46 se configura para juzgar si la información de versión de la información de autenticación de servicio adquirida por el módulo de adquisición 44 es mayor que la información de versión de la información de autenticación de servicio correspondiente almacenada actualmente de manera local en el dispositivo terminal, y reemplazar, si el resultado del juicio es sí, la información de autenticación de servicio correspondiente almacenada actualmente en el dispositivo terminal con la información de autenticación de servicio adquirida por el módulo de adquisición 44.
En un escenario de aplicación específico, el módulo receptor 42 se configura además para recibir, a través de la interfaz estándar preestablecida 41, una solicitud de confirmación que es enviada por el servidor correspondiente a la aplicación de servicio del tipo dedicado; y
el módulo de adquisición 44 se configura además para adquirir información de tipo modo de confirmación incluida en la solicitud de confirmación, de modo que el dispositivo terminal completa una operación de confirmación correspondiente de acuerdo con la información de tipo modo de confirmación.
De acuerdo con otro aspecto, las modalidades de la presente solicitud proponen además un servidor, cuyo diagrama estructural esquemático se muestra en la Figura 5, en donde el servidor proporciona un servicio para una aplicación de servicio de un tipo dedicado, e incluye específicamente:
un módulo de envío 51 configurado para enviar, cuando se recibe una solicitud de servicio de la aplicación de servicio del tipo dedicado, un mensaje de solicitud de autenticación de identidad a un dispositivo terminal a través de una interfaz estándar preestablecida incluida en el dispositivo terminal;
un módulo receptor 52 configurado para recibir, cuando una solicitud de autenticación de identidad tiene éxito, un mensaje de respuesta de verificación que es devuelto por el dispositivo terminal a través de la interfaz estándar preestablecida y transporta información de autenticación de servicio; y
un módulo de procesamiento 53 configurado para procesar la solicitud de servicio de acuerdo con el mensaje de autenticación de servicio recibido por el módulo receptor 52.
En un escenario de aplicación específico, el módulo de envío 51 se configura además para enviar un mensaje de solicitud de registro de vinculación para una cuenta al dispositivo terminal a través de la interfaz estándar preestablecida incluida en el dispositivo terminal, en donde el mensaje de solicitud de registro de vinculación transporta información de autenticación de servicio de la cuenta; y
el módulo de recepción 52 se configura además para recibir, cuando el vínculo de registro tiene éxito, un mensaje de respuesta de registro que es devuelto por el dispositivo terminal a través de la interfaz estándar preestablecida, y confirma que el dispositivo terminal está vinculado exitosamente a la cuenta, en donde el mensaje de respuesta de registro transporta información de identificación del dispositivo terminal.
Específicamente, el módulo de envío 51 se configura además para:
enviar, cuando la información de autenticación de servicio de la cuenta necesita ser actualizada, un mensaje de solicitud de actualización de información de autenticación de servicio para la cuenta al dispositivo terminal a través de la interfaz estándar preestablecida incluida en el dispositivo terminal, en donde el mensaje de solicitud de actualización de información de autenticación de servicio transporta la información de autenticación de servicio que necesita ser actualizada de la cuenta;
y/o enviar, después de que el módulo de procesamiento 53 completa el procesamiento de la solicitud de servicio, una solicitud de confirmación que transporta información de tipo modo de confirmación al dispositivo terminal a través de la interfaz estándar preestablecida incluida en el dispositivo terminal, de modo que el dispositivo terminal complete una operación de confirmación correspondiente de acuerdo con la información de tipo modo de confirmación.
En comparación con la técnica anterior, las soluciones técnicas propuestas en las modalidades de la presente solicitud tienen al menos los siguientes efectos técnicos beneficiosos:
Las modalidades de la presente aplicación describen un método y un dispositivo para autenticación de identidad, implementado en un sistema compuesto por un servidor y un dispositivo terminal que incluye una interfaz estándar preestablecida configurada para comunicarse con una aplicación de servicio de un tipo dedicado. Mediante las soluciones técnicas propuestas en la presente solicitud, cuando se requiere una operación de autenticación de identidad, el servidor puede solicitar información de autenticación de servicio de una cuenta de la aplicación de servicio del tipo dedicado desde el dispositivo terminal a través de la interfaz estándar preestablecida, y el dispositivo terminal puede realizar la verificación de seguridad en este proceso de acuerdo con una regla de verificación correspondiente, y enviar información de autenticación del servicio almacenada localmente de vuelta al servidor para su posterior procesamiento solo cuando la verificación tenga éxito. Como tal, la seguridad de un proceso de autenticación de identidad se puede garantizar por medio de la interfaz estándar preestablecida vinculada a la aplicación de servicio del tipo dedicado y la verificación de seguridad del dispositivo terminal, y el sentido de participación del operador del dispositivo terminal en este proceso puede mejorarse mediante el uso de la información de autenticación de identidad almacenada actualmente en el dispositivo terminal. Cuando el dispositivo terminal es específicamente un dispositivo portátil, puede mejorarse el sentido de participación del usuario en el proceso de autenticación de identidad, puede mejorarse la seguridad del proceso de autenticación de identidad y se puede aumentar la tasa de éxito de autenticación de identidad, especialmente para un proceso de autenticación de pago.
A partir de la descripción de los modos de implementación anteriores, los expertos en la técnica pueden entender claramente que las modalidades de la presente invención pueden implementarse mediante soporte físico, o pueden implementarse mediante programa informático más una plataforma de soporte físico universal necesaria. Con base en tal comprensión, las soluciones técnicas en las modalidades de la presente invención pueden implementarse en forma de un producto de programa informático. El producto de programa informático puede almacenarse en un medio de almacenamiento no volátil (que puede ser un CD-ROM, un disco flash USB, un disco duro extraíble o similares) e incluye varias instrucciones para instruir a un dispositivo informático (que puede ser un ordenador personal, un servidor, un dispositivo del lado de la red o similar) para realizar todos o algunos de las etapas de los métodos descritos en varios escenarios de implementación de las modalidades de la presente invención.
Los expertos en la técnica pueden entender que un dibujo adjunto es simplemente un diagrama esquemático de un escenario de implementación preferido, y un módulo o procedimiento en los dibujos adjuntos no es necesariamente obligatorio para implementar las modalidades de la presente invención.
Los expertos en la técnica pueden entender que los módulos en un aparato en un escenario de implementación pueden distribuirse en el aparato en el escenario de implementación de acuerdo con una descripción del escenario de implementación, y también pueden cambiarse y ubicarse correspondientemente en uno o más aparatos diferentes de aquellos en el escenario de implementación. Los módulos en el escenario de implementación se pueden combinar en un módulo y también se pueden dividir en una pluralidad de submódulos.
Los números de secuencia de las modalidades anteriores de la presente invención son meramente descriptivos y no implican la preferencia entre los escenarios de implementación.
Más arriba se describen simplemente varios escenarios de implementación específicos de las modalidades de la presente invención. Sin embargo, las modalidades de la presente invención no están limitadas a las mismas. Cualquier cambio que puedan concebir los expertos en la técnica estará dentro del alcance de limitación de servicio de las modalidades de la presente invención.

Claims (1)

  1. REIVINDICACIONES
    Un método de autenticación de identidad, implementado por un dispositivo portátil que comprende una interfaz del protocolo de pago configurada para comunicarse con una aplicación de servicio de un tipo de pago, la aplicación de servicio que requiere una operación de autenticación de identidad para el dispositivo portátil durante la ejecución específica del servicio, el método que comprende específicamente: configurar el dispositivo portátil para incluir la interfaz del protocolo de pago para la comunicación entre el dispositivo portátil y la aplicación de servicio del tipo de pago, en donde la interfaz del protocolo de pago está dedicada al tipo de pago de la aplicación de servicio, en donde la interfaz del protocolo de pago se configura para identificar un identificador de tipo de pago único correspondiente a la aplicación de servicio del tipo de pago en un mensaje a partir de mensajes de solicitud de autenticación de identidad recibidos de diferentes aplicaciones de servicio que incluyen la aplicación de servicio y para proceder con la autenticación de identidad con el mensaje;
    recibir, mediante el dispositivo portátil a través de la interfaz del protocolo de pago, un mensaje de solicitud de autenticación de identidad enviado por un servidor correspondiente a la aplicación de servicio del tipo de pago (S101), en donde el mensaje de solicitud de autenticación de identidad se envía mediante el servidor al dispositivo portátil después de que el servidor recibe una solicitud de servicio de la aplicación de servicio del tipo de pago, y en donde la interfaz del protocolo de pago procesa el mensaje de solicitud de autenticación de identidad solo si la solicitud de autenticación de identidad incluye el identificador único de la aplicación de servicio del tipo de pago;
    verificar (102), mediante el dispositivo portátil, una firma en el mensaje de solicitud de autenticación de identidad de acuerdo con una clave pública de la aplicación de servicio del tipo de pago;
    adquirir (103), mediante el dispositivo portátil, si la verificación tiene éxito, información de autenticación de servicio de una cuenta correspondiente al mensaje de solicitud de autenticación de identidad de información de autenticación de servicio almacenada previamente de manera local; y
    devolver (104), mediante el dispositivo portátil, un mensaje de respuesta de verificación que comprende la información de autenticación de servicio adquirida al servidor a través de la interfaz del protocolo de pago.
    El método de acuerdo con la reivindicación 1, en donde el dispositivo portátil almacena previamente de manera local información de autenticación de servicio mediante el uso del siguiente proceso:
    recibir, mediante el dispositivo portátil a través de la interfaz del protocolo de pago, un mensaje de solicitud de registro de vinculación para una cuenta que es enviada por la aplicación de servicio del tipo de pago; verificar, mediante el dispositivo portátil, una firma en el mensaje de solicitud de registro de vinculación de acuerdo con la clave pública de la aplicación de servicio del tipo de pago;
    adquirir, mediante el dispositivo portátil, si la verificación tiene éxito, la información de autenticación del servicio transportada en el mensaje de solicitud de registro de vinculación, y correspondientemente almacenar de manera local, mediante el dispositivo portátil, la información de autenticación del servicio y la información de identificación de identidad de la cuenta; y
    generar, mediante el dispositivo portátil, un mensaje de respuesta de registro de acuerdo con la información de identificación del dispositivo portátil, y devolver, mediante el dispositivo portátil, el mensaje de respuesta de registro a la aplicación de servicio del tipo de pago a través de la interfaz del protocolo de pago.
    El método de acuerdo con la reivindicación 2, en donde la generación, mediante el dispositivo portátil, del mensaje de respuesta de registro de acuerdo con la información de identificación del dispositivo portátil comprende específicamente:
    adquirir, mediante el dispositivo portátil información del identificador único e información del modelo del dispositivo del dispositivo portátil;
    reunir, mediante el dispositivo portátil, la información del identificador único y la información del modelo del dispositivo de acuerdo con un formato de datos especificado por la aplicación de servicio del tipo de pago; y firmar, mediante el dispositivo portátil, la información reunida mediante el uso de una clave privada local y generar el mensaje de respuesta de registro.
    El método de acuerdo con la reivindicación 2, en donde después de adquirir mediante el dispositivo portátil la información de autenticación del servicio transportada en el mensaje de solicitud de registro de vinculación, y correspondientemente almacenar de manera local mediante el dispositivo portátil la información de autenticación del servicio y la información de identificación de identidad de la cuenta localmente, el método comprende, además:
    recibir, mediante el dispositivo portátil a través de la interfaz del protocolo de pago, un mensaje de solicitud de actualización de información de autenticación de servicio para una cuenta que es enviado por la aplicación de servicio del tipo de pago;
    verificar, mediante el dispositivo portátil, una firma en el mensaje de solicitud de actualización de información de autenticación de servicio de acuerdo con la clave pública de la aplicación de servicio del tipo de pago; determinar, mediante el dispositivo portátil, si la verificación tiene éxito, si la información de identificación de identidad correspondiente a la información de autenticación de servicio almacenada localmente es coherente con la información de identificación de identidad transportada en el mensaje de solicitud de actualización de información de autenticación de servicio;
    adquirir, mediante el dispositivo portátil, si el resultado de la determinación es sí, la información de autenticación del servicio transportada en el mensaje de solicitud de actualización de información de autenticación del servicio;
    determinar, mediante el dispositivo portátil, si la información de versión de la información de autenticación de servicio adquirida es mayor que la información de versión de la información de autenticación de servicio correspondiente almacenada actualmente de manera local, que comprende determinar si la información de autenticación de servicio almacenada actualmente en el dispositivo portátil necesita ser actualizada; y reemplazar, mediante el dispositivo portátil, si el resultado de la determinación es sí, la información de autenticación de servicio correspondiente almacenada actualmente con la información de autenticación de servicio adquirida.
    El método de acuerdo con la reivindicación 1, en donde después de devolver, mediante el dispositivo portátil, un mensaje de respuesta de verificación que transporta la información de autenticación de servicio adquirida al servidor a través de la interfaz del protocolo de pago, el método comprende, además:
    recibir, mediante el dispositivo portátil a través de la interfaz del protocolo de pago, una solicitud de confirmación enviada por el servidor correspondiente a la aplicación de servicio del tipo de pago; adquirir, mediante el dispositivo portátil, información de tipo modo de confirmación comprendida en la solicitud de confirmación; y
    completar, mediante el dispositivo portátil, una operación de confirmación correspondiente de acuerdo con la información de tipo modo de confirmación.
    El método de acuerdo con la reivindicación 1, en donde los mensajes enviados por otras aplicaciones de servicio no son recibidos por el dispositivo portátil a través de la interfaz del protocolo de pago.
    El método de acuerdo con la reivindicación 1, en donde devolver, por el dispositivo portátil, un mensaje de respuesta de verificación que transporta la información de autenticación de servicio adquirida al servidor a través de la interfaz del protocolo de pago comprende:
    cifrar la información de autenticación del servicio;
    guardar la información de autenticación del servicio cifrada como un paquete de datos de respuesta; y devolver el paquete de datos de respuesta al servidor para descifrarlo.
    Un dispositivo portátil, que comprende específicamente:
    una interfaz del protocolo de pago configurada para comunicarse con una aplicación de servicio de un tipo de pago;
    múltiples módulos configurados para realizar el método de acuerdo con cualquiera de las reivindicaciones de la 1 a la 7.
ES16845653T 2015-09-14 2016-09-05 Método y dispositivo de autenticación de identidad Active ES2804198T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201510583968.6A CN106533687B (zh) 2015-09-14 2015-09-14 一种身份认证方法和设备
PCT/CN2016/097999 WO2017045539A1 (zh) 2015-09-14 2016-09-05 一种身份认证方法和设备

Publications (1)

Publication Number Publication Date
ES2804198T3 true ES2804198T3 (es) 2021-02-04

Family

ID=58288623

Family Applications (1)

Application Number Title Priority Date Filing Date
ES16845653T Active ES2804198T3 (es) 2015-09-14 2016-09-05 Método y dispositivo de autenticación de identidad

Country Status (9)

Country Link
US (2) US10659231B2 (es)
EP (1) EP3352412B1 (es)
JP (2) JP6663001B2 (es)
KR (1) KR102149587B1 (es)
CN (2) CN106533687B (es)
ES (1) ES2804198T3 (es)
PL (1) PL3352412T3 (es)
SG (1) SG11201801610PA (es)
WO (1) WO2017045539A1 (es)

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106533687B (zh) * 2015-09-14 2019-11-08 阿里巴巴集团控股有限公司 一种身份认证方法和设备
KR102282751B1 (ko) * 2017-03-23 2021-07-30 광동 오포 모바일 텔레커뮤니케이션즈 코포레이션 리미티드 스위칭 방법, 단말 장치 및 네트워크 장치
CN108737341B (zh) * 2017-04-19 2020-06-30 腾讯科技(深圳)有限公司 业务处理方法、终端及服务器
CN108090768A (zh) * 2017-11-14 2018-05-29 阿里巴巴集团控股有限公司 一种业务执行的方法及装置
US11093771B1 (en) 2018-05-04 2021-08-17 T Stamp Inc. Systems and methods for liveness-verified, biometric-based encryption
US11288530B1 (en) * 2018-05-04 2022-03-29 T Stamp Inc. Systems and methods for liveness-verified identity authentication
US11496315B1 (en) 2018-05-08 2022-11-08 T Stamp Inc. Systems and methods for enhanced hash transforms
CN109614789B (zh) * 2018-11-07 2023-04-14 平安科技(深圳)有限公司 一种终端设备的验证方法及设备
CN111669416B (zh) * 2019-03-06 2023-04-07 阿里巴巴集团控股有限公司 验证信息同步系统和通信设备
US11301586B1 (en) 2019-04-05 2022-04-12 T Stamp Inc. Systems and processes for lossy biometric representations
CN111803955A (zh) * 2019-04-12 2020-10-23 奇酷互联网络科技(深圳)有限公司 通过可穿戴设备管理账号的方法及系统、存储装置
CN112019493B (zh) * 2019-05-31 2024-04-09 北京京东尚科信息技术有限公司 身份认证方法、身份认证装置、计算机设备和介质
US11170790B2 (en) * 2019-06-27 2021-11-09 Bose Corporation User authentication with audio reply
CN110636062B (zh) * 2019-09-20 2022-02-08 百度在线网络技术(北京)有限公司 设备的安全交互控制方法、装置、电子设备及存储介质
CN112541171A (zh) * 2019-09-23 2021-03-23 北京嘉诚至盛科技有限公司 身份认证方法、装置、电子设备和计算机可读介质
JP2021081990A (ja) * 2019-11-19 2021-05-27 シャープ株式会社 ユーザー認証装置、それを備えた画像処理装置およびユーザー認証方法
CN111709747B (zh) * 2020-06-10 2023-08-18 中国工商银行股份有限公司 智能终端认证方法及系统
CN111782445B (zh) * 2020-06-28 2023-08-15 百度在线网络技术(北京)有限公司 设备调试环境的配置方法和装置
CN114095191A (zh) * 2020-08-03 2022-02-25 拉扎斯网络科技(上海)有限公司 数据处理方法、装置、电子设备及计算机可读存储介质
CN112417402B (zh) * 2020-11-27 2024-04-12 亿企赢网络科技有限公司 权限控制方法、权限控制装置、权限控制设备及存储介质
US20220217136A1 (en) * 2021-01-04 2022-07-07 Bank Of America Corporation Identity verification through multisystem cooperation
CN112835673A (zh) * 2021-02-26 2021-05-25 北京字节跳动网络技术有限公司 界面显示方法、装置、设备及介质
CN113204749A (zh) * 2021-05-12 2021-08-03 巽腾(广东)科技有限公司 基于时间管控的近场信息认证方法及装置
CN113285932B (zh) * 2021-05-13 2022-04-26 中国联合网络通信集团有限公司 边缘服务的获取方法和服务器、边缘设备
CN114268461B (zh) * 2021-11-26 2023-06-27 中国联合网络通信集团有限公司 用户身份认证方法、装置、服务器、终端及存储介质
CN114157634B (zh) * 2021-11-30 2023-06-27 中国平安财产保险股份有限公司 唯一账号识别方法、装置、设备及存储介质

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001211171A (ja) * 2000-01-28 2001-08-03 Advantest Corp 機器認証装置、方法、機器認証プログラムを記録した記録媒体
ES2296693T3 (es) * 2001-09-04 2008-05-01 Telefonaktiebolaget Lm Ericsson (Publ) Mecanismo de aunteficacion universal.
EP1530177B1 (en) * 2003-11-07 2006-09-13 Alcatel Method for supporting cashless payment
US7809949B2 (en) * 2005-07-26 2010-10-05 Apple Inc. Configuration of a computing device in a secure manner
US8112787B2 (en) * 2005-12-31 2012-02-07 Broadcom Corporation System and method for securing a credential via user and server verification
US7693486B2 (en) * 2006-05-11 2010-04-06 Nokia Corporation Distributed multiradio controller
CN101616002B (zh) * 2008-06-23 2012-03-21 阿里巴巴集团控股有限公司 一种用户身份验证方法及装置
CN101655916A (zh) * 2009-07-29 2010-02-24 曾超宁 一种个人身份验证转换系统
JP2012038127A (ja) * 2010-08-09 2012-02-23 Sony Corp 情報処理装置並びに通信システム
US8799647B2 (en) * 2011-08-31 2014-08-05 Sonic Ip, Inc. Systems and methods for application identification
DE102012103106A1 (de) 2012-04-11 2013-10-17 Vodafone Holding Gmbh Verfahren zum Authentifizieren eines Nutzers an einem Dienst auf einem Diensteserver, Applikation und System
KR20130128924A (ko) * 2012-05-18 2013-11-27 삼성전자주식회사 근거리 무선 통신 장치에서 상품을 결제하는 장치 및 방법
US9325683B2 (en) 2012-06-18 2016-04-26 Infosys Limited Mobile application management framework
CN103001775B (zh) * 2012-12-27 2016-01-13 北京邮电大学 一种基于企业服务总线的安全管理系统及方法
US9172687B2 (en) * 2012-12-28 2015-10-27 Nok Nok Labs, Inc. Query system and method to determine authentication capabilities
JP6311214B2 (ja) 2013-01-30 2018-04-18 富士通株式会社 アプリケーション認証プログラム、認証サーバ、端末およびアプリケーション認証方法
CN103310142B (zh) * 2013-05-22 2015-10-07 复旦大学 基于可穿戴设备的人机融合安全认证方法
KR102127927B1 (ko) * 2013-07-30 2020-07-09 엘지전자 주식회사 이동 단말기, 스마트 워치 및 이동 단말기와 스마트 워치간 보안 인증방법
CN103428001B (zh) * 2013-09-05 2016-08-17 中国科学院信息工程研究所 一种隐式增强便捷web身份认证方法
CN104063791B (zh) * 2013-10-30 2016-10-19 腾讯科技(深圳)有限公司 一种安全支付方法及相关设备、系统
CN104751332A (zh) * 2013-12-26 2015-07-01 腾讯科技(深圳)有限公司 一种信息登记方法、终端、服务器及其系统
CN105450587B (zh) * 2014-07-28 2018-08-24 国际商业机器公司 用于保护网络通信安全的方法和装置
US9455979B2 (en) * 2014-07-31 2016-09-27 Nok Nok Labs, Inc. System and method for establishing trust using secure transmission protocols
CN104331796A (zh) * 2014-11-04 2015-02-04 北京握奇智能科技有限公司 一种可穿戴设备及其工作方法
CN104794381A (zh) 2015-03-24 2015-07-22 百度在线网络技术(北京)有限公司 一种用于认证的方法、装置、设备与系统
CN106533687B (zh) 2015-09-14 2019-11-08 阿里巴巴集团控股有限公司 一种身份认证方法和设备
CN205725829U (zh) 2015-12-30 2016-11-23 北京金科联信数据科技有限公司 云密钥认证装置
CN105871867B (zh) * 2016-04-27 2018-01-16 腾讯科技(深圳)有限公司 身份认证方法、系统及设备

Also Published As

Publication number Publication date
PL3352412T3 (pl) 2020-11-16
JP7012759B2 (ja) 2022-01-28
EP3352412B1 (en) 2020-05-27
US20200220734A1 (en) 2020-07-09
US20180205557A1 (en) 2018-07-19
WO2017045539A1 (zh) 2017-03-23
CN106533687B (zh) 2019-11-08
KR102149587B1 (ko) 2020-08-31
CN111079103A (zh) 2020-04-28
CN106533687A (zh) 2017-03-22
US10778443B2 (en) 2020-09-15
EP3352412A4 (en) 2018-08-15
EP3352412A1 (en) 2018-07-25
SG11201801610PA (en) 2018-03-28
KR20180053371A (ko) 2018-05-21
US10659231B2 (en) 2020-05-19
JP2020109671A (ja) 2020-07-16
JP6663001B2 (ja) 2020-03-11
JP2018527842A (ja) 2018-09-20
CN111079103B (zh) 2024-02-09

Similar Documents

Publication Publication Date Title
ES2804198T3 (es) Método y dispositivo de autenticación de identidad
ES2894480T3 (es) Procedimiento para realizar la autenticación
ES2712150T3 (es) Sistemas y métodos para comunicación segura
ES2820554T3 (es) Método y aparato para autentificar un usuario, método y aparato para registrar un dispositivo ponible
US9407634B2 (en) Cryptographic protocol for portable devices
ES2812541T3 (es) Aparato de autenticación con interfaz Bluetooth
ES2856195T3 (es) Autenticación de inicio de sesión y de transacción segura y eficiente usando iPhones y otros dispositivos de comunicación móvil inteligentes
US10887103B2 (en) Operating method for push authentication system and device
JP5407147B2 (ja) 検証プロセスを実行するための方法、移動端末、処理装置及びプログラム
JP6691262B2 (ja) グラフィックコード情報を提供及び取得する方法及び装置並びに端末
TW201732701A (zh) 驗證對安全裝置功能性之線上存取
US20110219427A1 (en) Smart Device User Authentication
WO2015010537A1 (zh) 一种加密通信方法和加密通信系统
WO2017000479A1 (zh) 身份信息认证方法、用户终端、服务终端、认证服务器以及服务系统
US20160381011A1 (en) Network security method and network security system
EP3480718A1 (en) System and method for facilitating authentication via a shortrange wireless token
ES2926968T3 (es) Una primera entidad, una segunda entidad, un nodo intermedio, métodos para establecer una sesión segura entre una primera y una segunda entidad, y productos de programa informático
JP2013222338A (ja) 情報端末機器、情報処理装置、情報処理システム、暗証情報生成方法及び情報処理方法
WO2015110043A1 (zh) 一种双通道身份认证选择的装置、系统和方法
JPWO2017029708A1 (ja) 個人認証システム
TWI705347B (zh) 身份認證方法和設備
US10530583B2 (en) Method for putting a first device in secure communication with a second device
JP2009020783A (ja) 非接触icと携帯情報端末を使用した認証システム及び認証方法
EP2911433A1 (en) Method and system of authentication through cooperation of devices in proximity
CN115103356A (zh) 计算机安全验证系统、方法、移动终端及可读存储介质