TW201828134A - 基於密文的身份驗證方法 - Google Patents

基於密文的身份驗證方法 Download PDF

Info

Publication number
TW201828134A
TW201828134A TW106143125A TW106143125A TW201828134A TW 201828134 A TW201828134 A TW 201828134A TW 106143125 A TW106143125 A TW 106143125A TW 106143125 A TW106143125 A TW 106143125A TW 201828134 A TW201828134 A TW 201828134A
Authority
TW
Taiwan
Prior art keywords
ciphertext
user
restriction
key
information interaction
Prior art date
Application number
TW106143125A
Other languages
English (en)
Other versions
TWI728212B (zh
Inventor
張棟
丁林潤
李春歡
陸東東
Original Assignee
大陸商中國銀聯股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 大陸商中國銀聯股份有限公司 filed Critical 大陸商中國銀聯股份有限公司
Publication of TW201828134A publication Critical patent/TW201828134A/zh
Application granted granted Critical
Publication of TWI728212B publication Critical patent/TWI728212B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephone Function (AREA)

Abstract

本發明提出了基於密文的身份驗證方法,其包括:數據處理服務器周期性地或基於請求向用戶的移動終端推送一個或多個第一限制密鑰和一個或多個第二限制密鑰;在用戶通過移動終端發起安全性信息交互過程時,駐留於移動終端上的安全性應用使用所述一個或多個第一限制密鑰中的一個生成應用密文,並使用所述一個或多個第二限制密鑰中的一個生成用戶密文,隨之將所述應用密文和用戶密文發送至安全性信息交互終端;安全性信息交互終端在接收到應用密文和用戶密文後構建安全性信息交互請求,並將安全性信息交互請求發送至數據處理服務器以進行後續的安全性信息交互過程。本發明所公開的方法具有增強的安全性並且使用便捷。

Description

基於密文的身份驗證方法
本發明涉及身份驗證方法,更具體地,涉及基於密文的身份驗證方法。
目前,隨著計算機和網絡應用的日益廣泛以及不同領域的業務種類的日益豐富,利用移動終端實施安全性信息交互過程(即對安全性要求較高的數據交互過程,例如金融領域中的支付交易)變得越來越重要。   在現有的技術方案中,在實施實際的安全性信息交互過程之前典型地需要完成用戶的身份驗證操作,並且僅在身份驗證成功的情况下發起安全性信息交互請求(例如包含支付訂單的支付請求),通常採用如下兩種身份驗證方式:(1)用戶在安全性信息交互終端(例如商戶POS機)上輸入個人密碼(PIN),隨後安全性信息交互終端發起連線形式的身份驗證過程;(2)用戶通過私有的移動終端(例如手機)輸入個人密碼(PIN)並經由互聯網將所述個人密碼發送至相關的身份驗證服務器進行遠程身份驗證或者由駐留於移動終端中的特定物理環境(TEE或SE)下的數據處理單元進行本地身份驗證。   然而,上述現有的技術方案存在如下問題:(1)由於需要在實施實際的安全性信息交互過程之前在安全性信息交互終端上輸入個人密碼,故存在個人密碼被惡意使用的潛在風險;(2)由於僅在身份驗證成功的情况下發起安全性信息交互請求,故存在被非法竊聽和攻擊的潛在風險;(3)由於需要使用特定的安全單元或者經由公共互聯網通道,故成本較高且使用不便。   因此,存在如下需求:提供具有增強的安全性並且使用便捷的基於密文的身份驗證方法。
為了解决上述現有技術方案所存在的問題,本發明提出了具有增強的安全性並且使用便捷的基於密文的身份驗證方法。   本發明的目的是通過以下技術方案實現的:   一種基於密文的身份驗證方法,所述基於密文的身份驗證方法包括下列步驟:   (A1)數據處理服務器周期性地或基於請求向用戶的移動終端推送一個或多個第一限制密鑰和一個或多個第二限制密鑰,其中,所述一個或多個第二限制密鑰中的每個與所述用戶的個人密碼相關聯;   (A2)在用戶通過所述移動終端發起安全性信息交互過程時,駐留於所述移動終端上的安全性應用使用所述一個或多個第一限制密鑰中的一個生成應用密文,並使用所述一個或多個第二限制密鑰中的一個生成用戶密文,隨之將所述應用密文和用戶密文發送至安全性信息交互終端,其中,所述應用密文和所述用戶密文均包含所述安全性信息交互過程所需的業務明細數據;   (A3)所述安全性信息交互終端在接收到所述應用密文和所述用戶密文後構建安全性信息交互請求,並將所述安全性信息交互請求發送至所述數據處理服務器以進行後續的安全性信息交互過程。   在上面所公開的方案中,優選地,所述步驟(A1)進一步包括:所述數據處理服務器周期性地基於同一個主密鑰以及應用計數器的值以分散的方式生成第一限制密鑰和第二限制密鑰,其中,一個應用計數器的值對應於相關聯的一個第一限制密鑰和一個第二限制密鑰。   在上面所公開的方案中,優選地,所述步驟(A1)進一步包括:所述數據處理服務器在將所述第二限制密鑰發送至所述移動終端時使用用戶的個人密碼對所述第二限制密鑰進行逐位的異或運算,並將經異或運算處理的第二限制密鑰發送至所述移動終端。   在上面所公開的方案中,優選地,所述步驟(A2)進一步包括:在駐留於所述移動終端上的安全性應用使用與當前應用計數器的值相對應的經異或運算處理的第二限制密鑰生成用戶密文時,其指示用戶輸入個人密碼並使用用戶輸入的個人密碼對所述經異或運算處理的第二限制密鑰進行反向的逐位異或運算以獲得未經異或運算處理的第二限制密鑰,並隨之使用所述未經異或運算處理的第二限制密鑰生成所述用戶密文。   在上面所公開的方案中,優選地,一個第一限制密鑰和一個與其相關聯的第二限制密鑰僅在與一個應用計數器的值相對應的一次數據交互過程中有效。   在上面所公開的方案中,優選地,所述步驟(A3)進一步包括:在接收到所述安全性信息交互請求後,所述數據處理服務器使用與生成所述第一限制密鑰和所述第二限制密鑰相同的方式再次生成與當前應用計數器的值對應的第一限制密鑰和第二限制密鑰,並分別使用再次生成的第一限制密鑰和第二限制密鑰以及基於所述安全性信息交互請求中的業務明細數據生成應用密文和用戶密文,隨之將生成的應用密文和用戶密文各自與所述安全性信息交互請求中所包含的應用密文和用戶密文相比較,如果應用密文一致,則判定所述移動終端是合法的設備,如果用戶密文一致,則判定用戶的身份驗證成功,並且所述數據處理服務器隨後基於判定結果執行後續的安全性信息交互過程。   本發明所公開的基於密文的身份驗證方法具有以下優點:(1)由於在實施實際的安全性信息交互過程之前無需在外部的安全性信息交互終端上輸入個人密碼,故具有增強的安全性;(2)由於能够在身份驗證之前發起安全性信息交互請求,故可以避免被非法竊聽和攻擊的潛在風險;(3)由於不需要使用特定的安全單元或者經由公共互聯網通道,故成本較低且使用便捷。
圖1是根據本發明的實施例的基於密文的身份驗證方法的流程圖。如圖1所示,本發明所公開的基於密文的身份驗證方法包括下列步驟:(A1)數據處理服務器(例如金融服務提供方的雲端服務器)周期性地或基於請求向用戶的移動終端(例如智能手機)推送一個或多個第一限制密鑰和一個或多個第二限制密鑰,其中,所述一個或多個第二限制密鑰中的每個與所述用戶的個人密碼相關聯;(A2)在用戶通過所述移動終端發起安全性信息交互過程時,駐留於所述移動終端上的安全性應用使用所述一個或多個第一限制密鑰中的一個生成應用密文,並使用所述一個或多個第二限制密鑰中的一個生成用戶密文,隨之將所述應用密文和用戶密文發送至安全性信息交互終端(例如商戶POS機或商戶應用(APP)),其中,所述應用密文和所述用戶密文均包含所述安全性信息交互過程所需的業務明細數據(例如支付交易的明細信息);(A3)所述安全性信息交互終端在接收到所述應用密文和所述用戶密文後構建安全性信息交互請求,並將所述安全性信息交互請求發送至所述數據處理服務器以進行後續的安全性信息交互過程。   優選地,在本發明所公開的基於密文的身份驗證方法中,所述步驟(A1)進一步包括:所述數據處理服務器周期性地基於同一個主密鑰(例如髮卡方密鑰)以及應用計數器(即ATC,駐留於移動終端中的每個應用具有與其相關聯的唯一的一個應用計數器,該應用每進行一次數據交互,與其相關聯的應用計數器的值加1)的值以分散的方式生成第一限制密鑰和第二限制密鑰,其中,一個應用計數器的值對應於相關聯的一個第一限制密鑰和一個第二限制密鑰。   優選地,在本發明所公開的基於密文的身份驗證方法中,所述步驟(A1)進一步包括:所述數據處理服務器在將所述第二限制密鑰發送至所述移動終端時使用用戶的個人密碼(即PIN,其在初始注册時與駐留於所述移動終端上的安全性應用相綁定)對所述第二限制密鑰進行逐位的異或運算,並將經異或運算處理的第二限制密鑰發送至所述移動終端。   優選地,在本發明所公開的基於密文的身份驗證方法中,所述步驟(A2)進一步包括:在駐留於所述移動終端上的安全性應用使用與當前應用計數器的值相對應的經異或運算處理的第二限制密鑰生成用戶密文時,其指示用戶輸入個人密碼(PIN)並使用用戶輸入的個人密碼(PIN)對所述經異或運算處理的第二限制密鑰進行反向的逐位異或運算以獲得未經異或運算處理的第二限制密鑰,並隨之使用所述未經異或運算處理的第二限制密鑰生成所述用戶密文。   優選地,在本發明所公開的基於密文的身份驗證方法中,一個第一限制密鑰和一個與其相關聯的第二限制密鑰僅在與一個應用計數器的值相對應的一次數據交互過程中有效。   優選地,在本發明所公開的基於密文的身份驗證方法中,所述步驟(A3)進一步包括:在接收到所述安全性信息交互請求後,所述數據處理服務器使用與生成所述第一限制密鑰和所述第二限制密鑰相同的方式再次生成與當前應用計數器的值對應的第一限制密鑰和第二限制密鑰,並分別使用再次生成的第一限制密鑰和第二限制密鑰以及基於所述安全性信息交互請求中的業務明細數據生成應用密文和用戶密文,隨之將生成的應用密文和用戶密文各自與所述安全性信息交互請求中所包含的應用密文和用戶密文相比較,如果應用密文一致,則判定所述移動終端是合法的設備,如果用戶密文一致,則判定用戶的身份驗證成功,並且所述數據處理服務器隨後基於判定結果執行後續的安全性信息交互過程(例如,在應用密文一致而用戶密文不一致的情况下,數據處理服務器可以設置相關的錯誤發生計數器,即當用戶密文驗證錯誤發生的次數超過一定閾值後可以拒絕後續的安全性信息交互過程的執行)。   由上可見,本發明所公開的基於密文的身份驗證方法具有下列優點:(1)由於在實施實際的安全性信息交互過程之前無需在外部的安全性信息交互終端上輸入個人密碼,故具有增強的安全性;(2)由於能够在身份驗證之前發起安全性信息交互請求,故可以避免被非法竊聽和攻擊的潛在風險;(3)由於不需要使用特定的安全單元或者經由公共互聯網通道,故成本較低且使用便捷。   儘管本發明是通過上述的優選實施方式進行描述的,但是其實現形式並不局限於上述的實施方式。應該認識到:在不脫離本發明主旨和範圍的情况下,本領域技術人員可以對本發明做出不同的變化和修改。
A1‧‧‧步驟
A2‧‧‧步驟
A3‧‧‧步驟
結合圖式,本發明的技術特徵以及優點將會被本領域技術人員更好地理解,其中:   圖1是根據本發明的實施例的基於密文的身份驗證方法的流程圖。

Claims (6)

  1. 一種基於密文的身份驗證方法,所述基於密文的身份驗證方法包括下列步驟:   (A1)數據處理服務器周期性地或基於請求向用戶的移動終端推送一個或多個第一限制密鑰和一個或多個第二限制密鑰,其中,所述一個或多個第二限制密鑰中的每個與所述用戶的個人密碼相關聯;   (A2)在用戶通過所述移動終端發起安全性信息交互過程時,駐留於所述移動終端上的安全性應用使用所述一個或多個第一限制密鑰中的一個生成應用密文,並使用所述一個或多個第二限制密鑰中的一個生成用戶密文,隨之將所述應用密文和用戶密文發送至安全性信息交互終端,其中,所述應用密文和所述用戶密文均包含所述安全性信息交互過程所需的業務明細數據;   (A3)所述安全性信息交互終端在接收到所述應用密文和所述用戶密文後構建安全性信息交互請求,並將所述安全性信息交互請求發送至所述數據處理服務器以進行後續的安全性信息交互過程。
  2. 根據請求項1所述的基於密文的身份驗證方法,其中,所述步驟(A1)進一步包括:所述數據處理服務器周期性地基於同一個主密鑰以及應用計數器的值以分散的方式生成第一限制密鑰和第二限制密鑰,其中,一個應用計數器的值對應於相關聯的一個第一限制密鑰和一個第二限制密鑰。
  3. 根據請求項2所述的基於密文的身份驗證方法,其中,所述步驟(A1)進一步包括:所述數據處理服務器在將所述第二限制密鑰發送至所述移動終端時使用用戶的個人密碼對所述第二限制密鑰進行逐位的異或運算,並將經異或運算處理的第二限制密鑰發送至所述移動終端。
  4. 根據請求項3所述的基於密文的身份驗證方法,其中,所述步驟(A2)進一步包括:在駐留於所述移動終端上的安全性應用使用與當前應用計數器的值相對應的經異或運算處理的第二限制密鑰生成用戶密文時,其指示用戶輸入個人密碼並使用用戶輸入的個人密碼對所述經異或運算處理的第二限制密鑰進行反向的逐位異或運算以獲得未經異或運算處理的第二限制密鑰,並隨之使用所述未經異或運算處理的第二限制密鑰生成所述用戶密文。
  5. 根據請求項4所述的基於密文的身份驗證方法,其中,一個第一限制密鑰和一個與其相關聯的第二限制密鑰僅在與一個應用計數器的值相對應的一次數據交互過程中有效。
  6. 根據請求項5所述的基於密文的身份驗證方法,其中,所述步驟(A3)進一步包括:在接收到所述安全性信息交互請求後,所述數據處理服務器使用與生成所述第一限制密鑰和所述第二限制密鑰相同的方式再次生成與當前應用計數器的值對應的第一限制密鑰和第二限制密鑰,並分別使用再次生成的第一限制密鑰和第二限制密鑰以及基於所述安全性信息交互請求中的業務明細數據生成應用密文和用戶密文,隨之將生成的應用密文和用戶密文各自與所述安全性信息交互請求中所包含的應用密文和用戶密文相比較,如果應用密文一致,則判定所述移動終端是合法的設備,如果用戶密文一致,則判定用戶的身份驗證成功,並且所述數據處理服務器隨後基於判定結果執行後續的安全性信息交互過程。
TW106143125A 2016-12-23 2017-12-08 基於密文的身份驗證方法 TWI728212B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201611203764.6 2016-12-23
??201611203764.6 2016-12-23
CN201611203764.6A CN106961417B (zh) 2016-12-23 2016-12-23 基于密文的身份验证方法

Publications (2)

Publication Number Publication Date
TW201828134A true TW201828134A (zh) 2018-08-01
TWI728212B TWI728212B (zh) 2021-05-21

Family

ID=59480853

Family Applications (1)

Application Number Title Priority Date Filing Date
TW106143125A TWI728212B (zh) 2016-12-23 2017-12-08 基於密文的身份驗證方法

Country Status (3)

Country Link
CN (1) CN106961417B (zh)
TW (1) TWI728212B (zh)
WO (1) WO2018113508A1 (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106961417B (zh) * 2016-12-23 2020-05-22 中国银联股份有限公司 基于密文的身份验证方法
CN111311261B (zh) * 2020-02-24 2023-07-21 中国工商银行股份有限公司 一种联机交易的安全处理方法、装置及系统

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120011007A1 (en) * 2010-07-07 2012-01-12 At&T Intellectual Property I, L.P. Mobile Payment Using DTMF Signaling
CN102694782B (zh) * 2011-03-24 2016-05-18 中国银联股份有限公司 基于互联网的安全性信息交互设备及方法
CN102752264A (zh) * 2011-04-19 2012-10-24 中国银行股份有限公司 一种互联网双动态密码客户身份认证方法及系统
JPWO2016035466A1 (ja) * 2014-09-03 2017-04-27 エンクリプティア株式会社 通信システム、サーバ装置用プログラム及びこれを記録した記録媒体、通信装置用プログラム及びこれを記録した記録媒体、端末装置用プログラム及びこれを記録した記録媒体
CN105991285B (zh) * 2015-02-16 2019-06-11 阿里巴巴集团控股有限公司 用于量子密钥分发过程的身份认证方法、装置及系统
CN104778794B (zh) * 2015-04-24 2017-06-20 华为技术有限公司 移动支付装置和方法
CN105678553A (zh) * 2015-08-05 2016-06-15 腾讯科技(深圳)有限公司 一种处理订单信息的方法、装置和系统
CN106961417B (zh) * 2016-12-23 2020-05-22 中国银联股份有限公司 基于密文的身份验证方法

Also Published As

Publication number Publication date
WO2018113508A1 (zh) 2018-06-28
CN106961417A (zh) 2017-07-18
TWI728212B (zh) 2021-05-21
CN106961417B (zh) 2020-05-22

Similar Documents

Publication Publication Date Title
US11588637B2 (en) Methods for secure cryptogram generation
US11856104B2 (en) Methods for secure credential provisioning
US11258777B2 (en) Method for carrying out a two-factor authentication
US9838205B2 (en) Network authentication method for secure electronic transactions
WO2014107977A1 (zh) 密钥保护方法和系统
TWI786039B (zh) 線下支付方法、終端設備、後臺支付裝置及線下支付系統
TWI728212B (zh) 基於密文的身份驗證方法
TW201830917A (zh) 安全性資訊交互方法及設備
KR20120077110A (ko) 유심칩을 포함하는 휴대기기, 크립토 검증 서버, 유심칩을 이용한 사용자 인증 시스템 및 방법