TWI731594B - 身分驗證資料處理方法、伺服器、終端及系統 - Google Patents
身分驗證資料處理方法、伺服器、終端及系統 Download PDFInfo
- Publication number
- TWI731594B TWI731594B TW109105394A TW109105394A TWI731594B TW I731594 B TWI731594 B TW I731594B TW 109105394 A TW109105394 A TW 109105394A TW 109105394 A TW109105394 A TW 109105394A TW I731594 B TWI731594 B TW I731594B
- Authority
- TW
- Taiwan
- Prior art keywords
- terminal
- trusted
- verification
- digital certificate
- verified
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
本說明書提供一種身分驗證資料處理方法、伺服器、終端及系統,將數位身分的驗證和可信計算技術結合使用,透過設置可信服務中心對被驗證終端進行先一步驗證。當被驗證終端的數位身分和可信狀態均驗證通過後,則在被驗證終端的數位憑證中添加可信標識,使得驗證終端直接根據帶有可信標識的數位憑證就可以同時驗證被驗證終端的數位身分和設備的可信狀態,驗證終端不需要具備解析可信協定的能力,只需要驗證數位憑證中的可信標識即可。相比數位憑證和可信計算技術獨立使用的方案,本說明書實施例提供的方法不需要獲取基準值,也不需要解析遠端證明協定,只需要解析數位憑證,減少了驗證終端的工作量和身分驗證的難度,提高了身分驗證的效率。
Description
本說明書屬於電腦技術領域,尤其有關一種身分驗證資料處理方法、伺服器、終端及系統。
隨著電腦和網際網路技術的發展,不同設備、終端之間常常需要相互通訊,完成對應的任務。有些業務需要對通訊的設備進行身分驗證,確保資料通訊的安全性。
現有技術中,通常採用數位憑證的方式進行身分驗證,如:多個網路實體(設備、人等)各自去CA(Certificate Authority,證書授證中心)申請數位憑證,在網路實體相互通訊時,它們透過數位憑證證實自己的身分,但是,數位憑證應用過程中存在的安全隱患,數位憑證當中最重要的就是私密金鑰,私密金鑰是代表用戶身分的唯一秘密,一旦私密金鑰被攻擊者獲取或惡意使用,攻擊者就能夠冒充用戶的身分,導致身分驗證結果不準確。
本說明書實施例的目的在於提供一種身分驗證資料處理方法、伺服器、終端及系統,減少了驗證終端進行身分驗證時的工作量和身分驗證的難度,提高了身分驗證的效率。
第一態樣本說明書實施例提供了一種身分驗證資料處理方法,包括:
驗證被驗證終端的數位身分;
若所述被驗證終端的數位身分驗證通過,則透過遠端證明技術驗證所述被驗證終端是否處於可信狀態;
若驗證出所述被驗證終端處於可信狀態,則給所述被驗證終端頒發帶有可信標識的數位憑證,以使得驗證終端根據所述帶有可信標識的數位憑證對所述被驗證終端進行身分驗證。
第二態樣,本說明書提供了一種身分驗證資料處理方法,包括:
獲取被驗證終端的數位憑證;
驗證所述被驗證終端的數位憑證;
若所述被驗證終端的數位憑證驗證通過,則驗證所述數位憑證上是否帶有可信標識,若有可信標識則確定所述被驗證終端的身分合法;
其中,所述可信標識是由可信伺服器在驗證所述被驗證終端的數位身分和可信狀態均通過後,頒發給所述被驗證終端的數位憑證中帶有的。
第三態樣,本說明書實施例提供了一種身分驗證資料處理方法,包括:
接收可信伺服器發送的數位身分驗證請求;
接收所述可信伺服器在數位身分驗證通過後發送的遠端證明請求,將度量值發送給所述可信伺服器,以使得所述可信伺服器將所述度量值與所述可信伺服器自身儲存的對應的基準值進行比對;
接收所述可信伺服器頒發的帶有可信標識的數位憑證,所述帶有可信標識的數位憑證由所述可信伺服器確定所述度量值與所述基準值相同後頒發的;
接收驗證終端的身分驗證請求,將所述帶有可信標識的數位憑證發送給所述驗證終端,以使得所述驗證終端根據所述帶有可信標識的數位憑證進行身分驗證。
第四態樣,本說明書實施例提供了一種身分驗證資料處理方法,包括:
驗證被驗證終端數位身分;
若所述被驗證終端的數位身分驗證通過,則給所述被驗證終端頒發帶有所述被驗證終端的基準值的數位憑證,以使得驗證終端根據帶有所述基準值的數位憑證對所述被驗證終端進行身分驗證。
第五態樣,本說明書實施例提供了一種身分驗證資料處理方法,包括:
獲取被驗證終端的數位憑證,其中,所述數位憑證中帶有所述被驗證終端的基準值,所述基準值是由可信伺服器在驗證所述被驗證終端的數位憑證合法後,給所述被驗證終端頒發的數位憑證中帶有的;
驗證所述被驗證終端的數位憑證;
若所述被驗證終端的數位憑證驗證通過,則透過遠端證明技術獲取所述被驗證終端的度量值;
將所述度量值與所述數位憑證中基準值進行比對,確定所述被驗證終端的可信狀態,完成對所述被驗證終端的身分驗證。
第六態樣,本說明書實施例提供了一種身分驗證資料處理方法,包括:
接收可信伺服器發送的數位身分驗證請求;
接收所述可信伺服器在數位身分驗證通過後頒發的帶有基準值的數位憑證;
接收驗證終端的身分驗證請求,將所述帶有基準值的數位憑證發送給所述驗證終端,以使得所述驗證終端所述數位憑證是否合法;
接收所述驗證終端在確定所述數位憑證合法後發送的遠端證明請求,將度量值發送給所述驗證終端,以使得所述驗證終端根據所述度量值和所述數位憑證中的基準值進行身分驗證。
第七態樣,本說明書實施例提供了一種用於身分驗證資料處理的可信伺服器,包括:
第一數位身分驗證模組,用於驗證被驗證終端的數位身分;
第一可信狀態驗證模組,用於若所述被驗證終端的數位身分驗證通過,則透過遠端證明技術驗證所述被驗證終端是否處於可信狀態;
可信證書頒發模組,用於若驗證出所述被驗證終端處於可信狀態,則給所述被驗證終端頒發帶有可信標識的數位憑證,以使得驗證終端根據所述帶有可信標識的數位憑證對所述被驗證終端進行身分驗證。
第八態樣,本說明書實施例提供了一種用於身分驗證資料處理的驗證終端,包括:
第一數位憑證獲取模組,用於獲取被驗證終端的數位憑證;
證書驗證模組,用於驗證所述被驗證終端的數位憑證;
可信標識驗證模組,用於在所述被驗證終端的數位身分驗證通過時,驗證所述數位憑證上是否帶有可信標識,若有可信標識則確定所述被驗證終端的身分合法;
其中,所述可信標識是由可信伺服器在驗證所述被驗證終端的數位身分和可信狀態均通過後,頒發給所述被驗證終端的數位憑證中帶有的。
第九態樣,本說明書實施例提供了一種用於身分驗證資料處理的被驗證終端,包括:
第一驗證請求接收模組,用於接收可信伺服器發送的數位身分驗證請求;
遠端證明模組,用於接收所述可信伺服器在數位身分驗證通過後發送的遠端證明請求,將度量值發送給所述可信伺服器,以使得所述可信伺服器將所述度量值與所述可信伺服器自身儲存的對應的基準值進行比對;
可信證書接收模組,用於接收所述可信伺服器頒發的帶有可信標識的數位憑證,所述帶有可信標識的數位憑證由所述可信伺服器確定所述度量值與所述基準值相同後頒發的;
第一證書發送模組,用於接收驗證終端的身分驗證請求,將所述帶有可信標識的數位憑證發送給所述驗證終端,以使得所述驗證終端根據所述帶有可信標識的數位憑證進行身分驗證。
第十態樣,本說明書實施例提供了一種用於身分驗證資料處理的可信伺服器,包括:
第二數位身分驗證模組,用於透過驗證被驗證終端的數位憑證驗證所述被驗證終端的數位身分,所述數位憑證由所述被驗證終端在證書授權中心申請獲得;
基準值證書頒發模組,用於若所述被驗證終端的數位身分驗證通過,則給所述被驗證終端發放帶有所述被驗證終端的基準值的數位憑證,以使得驗證終端根據帶有所述基準值的數位憑證對所述被驗證終端進行身分驗證。
第十一態樣,本說明書實施例提供了一種用於身分驗證資料處理的驗證終端,包括:
第二數位憑證獲取模組,用於獲取被驗證終端的數位憑證,其中,所述數位憑證中帶有所述被驗證終端的基準值,所述基準值是由可信伺服器在驗證所述被驗證終端的數位憑證合法後,給所述被驗證終端頒發的數位憑證中帶有的;
第三數位身分驗證模組,用於驗證所述被驗證終端的數位憑證;
度量值獲取模組,用於若所述被驗證終端的數位憑證驗證通過,則透過遠端證明技術獲取所述被驗證終端的度量值;
第二可信狀態驗證模組,用於將所述度量值與所述數位憑證中基準值進行比對,確定所述被驗證終端的可信狀態,完成對所述被驗證終端的身分驗證。
第十二態樣,本說明書實施例提供了一種用於身分驗證資料處理的被驗證終端,包括:
第二驗證請求接收模組,用於接收可信伺服器發送的數位身分驗證請求;
基準證書接收模組,用於接收所述可信伺服器在數位身分驗證通過後頒發的帶有基準值的數位憑證;
第二證書發送模組,用於接收驗證終端的身分驗證請求,將所述帶有基準值的數位憑證發送給所述驗證終端,以使得所述驗證終端所述數位憑證是否合法;
度量值發送模組,用於接收所述驗證終端在確定所述數位憑證合法後發送的遠端證明請求,將度量值發送給所述驗證終端,以使得所述驗證終端根據所述度量值和所述數位憑證中的基準值進行身分驗證。
第十三態樣,本說明書提供了一種身分驗證資料處理設備,包括:至少一個處理器以及用於儲存處理器可執行指令的記憶體,所述處理器執行所述指令時實現上述身分驗證資料處理方法。
第十四態樣,本說明書實施例提供了一種身分驗證資料處理系統,包括:可信服務中心、至少一個被驗證終端、至少一個驗證終端,所述可信服務中心中儲存有不同終端的基準值,所述被驗證終端中設置有可信計算晶片,且所述被驗證終端申請有數位憑證;
所述可信服務中心中包括至少一個處理器以及用於儲存處理器可執行指令的記憶體,所述處理器執行所述指令時實現上述第一態樣或第四態樣所述的方法;
所述被驗證終端包括至少一個處理器以及用於儲存處理器可執行指令的記憶體,所述處理器執行所述指令時實現上述第三態樣或第六態樣所述的方法;
所述驗證終端包括至少一個處理器以及用於儲存處理器可執行指令的記憶體,所述處理器執行所述指令時實現上述第二態樣或第五態樣所述的方法。
本說明書提供的身分驗證資料處理方法、裝置、處理設備、系統,將數位身分的驗證和可信計算技術結合使用,進行身分驗證,並透過設置可信服務中心對被驗證終端進行先一步驗證。當被驗證終端的數位身分和可信狀態均驗證通過後,則在被驗證終端的數位憑證中添加可信標識,使得驗證終端直接根據帶有可信標識的數位憑證就可以同時驗證被驗證終端的數位身分和設備的可信狀態。並且,驗證終端不需要具備解析可信協定的能力,只需要驗證數位憑證中的可信標識即可,相比數位憑證和可信計算技術獨立使用的方案,本說明書實施例提供的方法不需要獲取基準值,也不需要解析遠端證明協定,只需要解析數位憑證,工程實施更為簡單,減少了驗證終端的工作量和身分驗證的難度,提高了身分驗證的效率。
為了使本技術領域的人員更好地理解本說明書中的技術方案,下面將結合本說明書實施例中的圖式,對本說明書實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本說明書一部分實施例,而不是全部的實施例。基於本說明書中的實施例,本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例,都應當屬於本說明書保護的範圍。
本說明書實施例中的數位憑證是用來證明使用者身分的一串數字,數位憑證通常由帶有憑證機構(CA (Certificate Authority))的數位簽章,任何用戶都可以透過簽名驗證證書的有效性,使用者可以包括設備終端或使用設備終端的人等網路實體。數位憑證中最重要的兩個欄位通常是用戶名稱和用戶公開金鑰,其他人可以透過公開金鑰驗證使用者在數位網路中的行為。CA可以表示簽發數位憑證的機構即證書授權中心,CA在為使用者簽發數位憑證前,需要驗證使用者的身分,以保證證書發到正確的人的手中。
本說明書實施例中的遠端證明技術是可信計算技術的一部分,可信計算可以表示透過自底向上的逐級驗證軟體完整性的方式,確保整個主機系統軟體的完整性。可以在被驗證終端中設置可信計算晶片(如:TPM(Trusted Platform Modules)或TPCM(Trusted Platform Control Module),國外一般稱為TPM,國內一般稱為TPCM),為了使遠端主機和本地主機建立信任關係,可信計算晶片在出廠時一般預置了數位憑證和私密金鑰。當兩者交互時,本地主機使用預置的數位憑證對軟體度量值進行簽名,遠端主機在驗證過證書和簽名的有效性後,相信該度量值。遠端證明可以表示向遠端主機證明本地軟體運行狀態,這裡的運行狀態主要是指軟體度量值。其中,度量值可以表示對程式進行度量的結果(一串數字),例如:對程式的可執行檔進行雜湊運算的結果可以作為該程式的度量值,當然也可以採用其他的方法對程式或設備進行計算處理獲得一個計算結果作為該程式或設備的度量值。可以表示將正確的度量值叫做基準值,通常遠端證明技術是將程式的度量值與基準值進行比較,如果不相同,則程式有可能已被篡改。可以認為度量值和基準值相同的設備的狀態叫做處於可信狀態,否則叫做處於非可信狀態。
本說明書實施例中,將數位身分的驗證和可信計算技術結合使用,驗證終端的身分,並透過設置可信服務中心對被驗證終端進行先一步驗證。當被驗證終端的數位身分和可信狀態均驗證通過後,則在給被驗證終端頒發的數位憑證中添加可信標識,使得驗證終端直接根據帶有可信標識的數位憑證就可以同時驗證被驗證終端的數位身分和設備的可信狀態。並且,驗證終端不需要具備解析可信協定的能力,只需要驗證數位憑證中的可信標識即可,減少了驗證終端的工作量和身分驗證的難度,提高了身分驗證的效率。
本說明書中身分驗證資料處理方法可以應用在用戶端或伺服器中,用戶端可以是智慧型手機、平板電腦、智慧型可穿戴式設備(智慧型手錶、虛擬實境眼鏡、虛擬實境頭盔等)、智慧型車載設備等電子設備。
圖1是本說明書一個實施例中身分驗證資料處理方法的流程示意圖,如圖1所示,本說明書一個實施例中提供的身分驗證資料處理方法可以應用於可信服務中心中,可信服務中心即本說明書實施例中的可信伺服器,具體可以是一個伺服器,也可以是多個伺服器組成的伺服器集群。如圖1所示,可信服務中心在進行身分驗證的過程中可以執行以下方法:
步驟102、驗證被驗證終端的數位身分。
圖2是本說明書又一個實施例中身分驗證資料處理方法的方塊圖,如圖2所示,本說明書實施例中的身分驗證資料處理系統可以包括可信服務中心(即本說明書實施例中記載的可信伺服器)、被驗證終端、驗證終端。可信服務中心可以用於驗證網路實體如:被驗證終端、驗證終端的數位身分和可信狀態。本說明書實施例中,被驗證終端可以表示被其他終端進行身分驗證的網路實體,驗證終端可以表示驗證被驗證終端的身分的網路實體。驗證終端和被驗證終端可以是用戶端,也可以是伺服器,本說明書實施例不作具體限定。
在具體的實施過程中,驗證終端在對被驗證終端進行身分驗證之前,可信服務中心可以先對被驗證終端進行身分驗證。首先可信服務中心可以驗證被驗證終端的數位身分,數位身分可以表示網路實體的身分標識,透過驗證被驗證終端的數位身分,可以確定被驗證終端的身分是否合法。如:可以透過公私密金鑰對或密碼驗證或口令驗證或數位憑證驗證等方式對被驗證終端的數位身分進行驗證,具體可以根據實際需要進行選擇,本說明書實施例不作具體限定。如:可信服務中心可以要求被驗證終端採用自己的私密金鑰進行簽名,可信服務中心利用被驗證終端的公開金鑰驗證簽名資料,以確定被驗證終端的數位身分是否合法。
本說明書一些實施例中,被驗證終端可以預先透過CA即證書授權中心申請自己的數位憑證,該數位憑證中可以包括被驗證終端的公開金鑰以及被驗證終端的用戶名稱等資訊,具體如何申請、頒發數位憑證可以根據實際需要選擇對應的方法,本說明書實施例不作具體限定。驗證終端在驗證被驗證終端的身分之前,可信服務中心可以透過驗證被驗證終端的數位憑證來驗證被驗證終端的數位身分。
例如:可信服務中心可以請求被驗證終端將自己的數位憑證發送過來,可信服務中心獲取到被驗證終端的數位憑證後,可以驗證該數位憑證是否合法如:驗證該數位憑證是否由CA頒發、檢查證書有效期或CA吊銷列表以查看證書是否過期或已被吊銷等。之後,可信服務中心可以向被驗證終端發送亂數,請求被驗證終端使用自己的私密金鑰對該亂數進行簽名,可信服務中心利用數位憑證中的公開金鑰驗證該數位簽章,驗證被驗證終端是否擁有數位憑證對應的私密金鑰,以驗證被驗證終端的數位身分。當然,根據實際需要,可信服務中心還可以採用其他的方法透過驗證被驗證終端的數位憑證來驗證被驗證終端的數位身分,本說明書實施例不作具體限定。
步驟104、若所述被驗證終端的數位身分驗證通過,則透過遠端證明技術驗證所述被驗證終端是否處於可信狀態。
在具體的實施過程中,可信服務中心驗證被驗證終端的數位身分驗證通過,如:可信服務中心對被驗證終端的數位憑證進行驗證,若該被驗證終端的數位憑證是由CA頒佈的,並且被驗證終端擁有數位憑證對應的私密金鑰,可以認為被驗證終端的數位身分驗證通過,可以透過遠端證明技術驗證被驗證終端的可信狀態。遠端證明技術是可信計算技術的一個過程,在具體實施過程中,如圖2所示,被驗證終端中可以設置有可信計算晶片(TPM),該可信計算晶片在出廠時設置了被驗證終端的數位憑證和私密金鑰。可信服務中心可以預先獲取多個終端包括被驗證終端的基準值並儲存,具體獲取基準值的方法可以根據實際需要選擇,本說明書實施例不作具體限定。
當可信服務中心驗證被驗證終端的可信狀態時,可以透過遠端證明技術,請求獲取被驗證終端將的度量值。被驗證終端可以利用可信計算晶片中的數位憑證和私密金鑰對自身的度量值進行簽名後發送給可信服務中心,可信服務中心可以對簽名後的資料進行驗證,驗證數位憑證和簽名均有效後,相信該度量值,並將該度量值與可信服務中心中儲存的被驗證終端的基準值進行比對,若度量值與基準值相同,則認為被驗證終端處於可信狀態。其中,度量值和基準值的含義可以參考上述實施例的記載,此處不再贅述。
步驟106、若驗證出所述被驗證終端處於可信狀態,則給所述被驗證終端頒發帶有可信標識的數位憑證,以使得驗證終端根據所述帶有可信標識的數位憑證對所述被驗證終端進行身分驗證。
在具體的實施過程中,可信服務中心驗證被驗證終端處於可信狀態後,可以給被驗證終端頒發一個帶有可信標識的數位憑證,其中可信標識可以是用於標識被驗證終端處於可信狀態的字元或字串,具體可以是數位或者其他字元,本說明書實施例不作具體限定。可信服務中心中可以包含證書授權中心即CA,當被驗證終端的數位身分和可信狀態均驗證通過後,可信服務中心可以透過CA給被驗證終端頒發一個帶有可信標識的數位憑證。若被驗證終端已經向CA申請了數位憑證,可信服務中心驗證被驗證終端的數位身分時,是透過驗證被驗證終端的數位憑證進行的,則當被驗證終端的數位身分和可信狀態均驗證通過後,可信服務中心可以直接在被驗證終端的數位憑證上添加一個可信標識,並添加了可信標識的數位憑證發送給被驗證終端。本說明書一些實施例中,可以將可信標識設置在所述數位憑證的擴展域中,達到了標記被驗證終端的可信狀態的作用,並且不會破壞原有的數位憑證。
當驗證終端與被驗證終端進行通訊,需要對被驗證終端進行身分驗證時,可以獲取被驗證終端的數位憑證,透過驗證被驗證終端的數位憑證驗證被驗證終端的數位身分,數位身分驗證通過後,還可以透過驗證被驗證終端的數位憑證上的可信標識,以確定被驗證終端是否安全可信。
例如:可信服務中心驗證被驗證終端A的數位身分合法並處於可信狀態後,可以給被驗證終端A頒發一個帶有可信標識的數位憑證。驗證終端B在與被驗證終端A進行資料通訊,需要對被驗證終端A進行身分驗證時,可以先獲取被驗證終端A的數位憑證,透過數位憑證驗證被驗證終端A的數位身分,具體認證過程可以參考可信服務中心驗證被驗證終端A的數位身分的過程,此處不再贅述。被驗證終端A的數位身分驗證通過後,驗證終端B可以透過驗證被驗證終端A的數位憑證中的可信標識,確定被驗證終端A是否處於可信狀態。如:若被驗證終端A的數位憑證上有可信標識,則可以認為被驗證終端A是可信的,或者被驗證終端A的數位憑證上的可信識別字合預設的可信標準,則認為被驗證終端A是可信的,完成被驗證終端A的身分驗證,驗證終端B可以與被驗證終端A進行資料通訊。
一般透過CA申請頒發的數位憑證的有效期比較長,如:1年或3年等,本說明書一些實施例中,在給所述被驗證終端發放帶有可信標識的數位憑證時,可以設置所述帶有可信標識的數位憑證的有效期,設置的有效期通常情況下比較短,如:可以是1天、3天、7天或一個月等,具體根據實際需要設置不同的時間。避免了被可信服務中心驗證處於可信狀態的被驗證終端,在運行一段時間被入侵或篡改,導致不可信,影響系統的安全性。可信服務中心可以每隔指定週期對被驗證終端進行一次驗證,驗證被驗證終端的可信標識是否有效,若無效,則對被驗證終端重新進行數位身分和可信狀態的校驗,頒發新的帶有可信標識的數位憑證。或者,可信服務中心也可以在被驗證終端的可信標識失效時,對被驗證終端重新進行數位身分和可信狀態的校驗,頒發新的帶有可信標識的數位憑證。
本說明書實施例,透過設置帶有可信標識的數位憑證的有效期,可以提高被驗證終端可信狀態的時效性,提高身分驗證的準確性,進一步提高了系統的安全性。
本說明書實施例提供的身分驗證資料處理方法,將數位身分的驗證和可信計算技術結合使用,進行身分驗證,並透過設置可信服務中心對被驗證終端進行先一步驗證。當被驗證終端的數位身分和可信狀態均驗證通過後,則在被驗證終端的數位憑證中添加可信標識,使得驗證終端直接根據帶有可信標識的數位憑證就可以同時驗證被驗證終端的數位身分和設備的可信狀態。並且,驗證終端不需要具備解析可信協定的能力,只需要驗證數位憑證中的可信標識即可,相比數位憑證和可信計算技術獨立使用的方案,本說明書實施例提供的方法不需要獲取基準值,也不需要解析遠端證明協定,只需要解析數位憑證,工程實施更為簡單,減少了驗證終端的工作量和身分驗證的難度,提高了身分驗證的效率。
圖3是本說明書實施例中驗證終端進行身分驗證資料處理的方法流程示意圖,如圖3所示,在進行身分驗證資料處理時,驗證終端可以執行以下方法:
步驟302、獲取被驗證終端的數位憑證。
在具體的實施過程中,驗證終端與被驗證終端進行資料通訊,需要對被驗證終端進行身分驗證以確保資料通訊的安全性時,可以請求獲取被驗證終端的數位憑證。其中,被驗證終端的數位憑證可以是被驗證終端向CA申請,由CA頒發的數位憑證,也可以是可信服務中心在對被驗證終端進行數位身分的驗證和可信狀態的驗證均通過後,頒發的帶有可信標識的數位憑證。
步驟304、驗證所述被驗證終端的數位憑證。
驗證終端獲取到被驗證終端的數位憑證後,可以驗證該數位憑證是否合法如:驗證該數位憑證是否由CA頒發、檢查證書有效期或CA吊銷列表以查看證書是否過期或已被吊銷等。之後,驗證終端可以向被驗證終端發送亂數,請求被驗證終端使用自己的私密金鑰對該亂數進行簽名,驗證終端利用數位憑證中的公開金鑰驗證該數位簽章,驗證被驗證終端是否擁有數位憑證對應的私密金鑰,以驗證被驗證終端的數位身分。當然,根據實際需要,驗證終端還可以採用其他的方法透過驗證被驗證終端的數位憑證來驗證被驗證終端的數位身分,本說明書實施例不作具體限定。
步驟306、若所述被驗證終端的數位憑證驗證通過,則驗證所述數位憑證上是否帶有可信標識,若有可信標識則確定所述被驗證終端的身分合法;
其中,所述可信標識是由可信伺服器在驗證所述被驗證終端的數位身分和可信狀態均通過後,頒發給所述被驗證終端的數位憑證中帶有的。
在具體的實施過程中,當驗證終端確認被驗證終端的數位憑證合法,被驗證終端的數位身分驗證通過後,可以透過驗證被驗證終端的數位憑證中的可信標識,確定被驗證終端是否處於可信狀態。如:若被驗證終端的數位憑證上有可信標識,則可以認為被驗證終端是可信的,或者被驗證終端的數位憑證上的可信識別字符合預設的可信標準,則認為被驗證終端是可信的,完成被驗證終端的身分驗證,可以與被驗證終端進行資料通訊。
本說明書實施例中的身分驗證資料處理方法,透過設置可信服務中心對被驗證終端進行先一步驗證,當被驗證終端的數位身分和可信狀態均驗證通過後,則在被驗證終端的數位憑證中添加可信標識,使得驗證終端直接根據帶有可信標識的數位憑證就可以同時驗證被驗證終端的數位身分和設備的可信狀態。並且,驗證終端不需要具備解析可信協定的能力,只需要驗證數位憑證中的可信標識即可,相比數位憑證和可信計算技術獨立使用的方案,本說明書實施例提供的方法不需要獲取基準值,也不需要解析遠端證明協定,只需要解析數位憑證,工程實施更為簡單,減少了驗證終端的工作量和身分驗證的難度,提高了身分驗證的效率。
圖4是本說明書實施例中被驗證終端進行身分驗證資料處理的方法流程示意圖,如圖4所示,在進行身分驗證資料處理時,被驗證驗證終端可以執行以下方法:
步驟402、接收可信伺服器發送的數位身分驗證請求。
在具體的實施過程中,驗證終端在驗證被驗證終端的身分之前,可信服務中心即可信伺服器可以先對被驗證終端進行數位身分和可信狀態的驗證。可信服務中心可以向被驗證終端發送數位身分校驗請求,透過公私密金鑰對或密碼驗證或數位憑證等方式對被驗證終端進行數位身分進行驗證。例如:被驗證終端預先可以透過CA即證書授權中心申請自己的數位憑證,該數位憑證中可以包括被驗證終端的公開金鑰以及被驗證終端的用戶名稱等資訊,具體如何申請、頒發數位憑證可以根據實際需要選擇對應的方法,本說明書實施例不作具體限定。當可信服務中心需要對被驗證終端進行預先的身分驗證時,可信服務中心可以請求被驗證終端將數位憑證發送給可信服務中心,可信服務中心可以透過驗證被驗證終端的數位憑證來驗證被驗證終端的數位身分,可信服務中心對被驗證終端進行數位身分驗證的過程可以參考上述實施例的記載,此處不再贅述。
步驟404、接收所述可信伺服器在數位身分驗證通過後發送的遠端證明請求,將度量值發送給所述可信伺服器,以使得所述可信伺服器將所述度量值與所述可信伺服器自身儲存的對應的基準值進行比對。
在具體的實施過程中,當可信服務中心即可信伺服器驗證被驗證終端的數位身分通過後,可以透過遠端證明技術,請求獲取被驗證終端的度量值。被驗證終端中可以設置有可信計算晶片,該可信計算晶片在出廠時設置了被驗證終端的數位憑證和私密金鑰。被驗證終端接收到可信服務中心發送的遠端證明請求後,可以利用可信計算晶片中的數位憑證和私密金鑰對自身的度量值進行簽名後發送給可信服務中心。可信服務中心可以對簽名後的資料進行驗證,驗證證書和簽名均有效後,相信該度量值,並將該度量值與可信服務中心中儲存的被驗證終端的基準值進行比對。若度量值與基準值相同,則認為被驗證終端處於可信狀態,若度量值和基準值不同,則認為被驗證終端不可信,可能被入侵或篡改程式等。其中,度量值和基準值的含義可以參考上述實施例的記載,此處不再贅述。
步驟406、接收所述可信伺服器頒發的帶有可信標識的數位憑證,所述帶有可信標識的數位憑證由所述可信伺服器確定所述度量值與所述基準值相同後發放的。
在具體的實施過程中,可信服務中心驗證被驗證終端處於可信狀態即度量值和基準值相同後,可信服務中心可以給被驗證終端頒發帶有可信標識的數位憑證,被驗證終端可以接收可信伺服器發送的帶有可信標識的數位憑證。其中,可信服務中心可以將可信標識添加在被驗證終端請求CA頒發的數位憑證的擴展域中作為帶有可信標識的數位憑證頒發給被驗證終端,可信標識的具體含義可以參考上述實施例的記載,此處不再贅述。或者,可信服務中心中可以包含CA,在被驗證終端的數位身分和可信狀態驗證通過後,直接給被驗證終端頒發帶有可信標識的數位憑證。
步驟408、接收驗證終端的身分驗證請求,將所述帶有可信標識的數位憑證發送給所述驗證終端,以使得所述驗證終端根據所述帶有可信標識的數位憑證進行身分驗證。
在具體的實施過程中,當驗證終端和被驗證終端進行通訊,需要對被驗證終端進行身分驗證時,驗證終端可以向被驗證終端發送身分驗證請求,被驗證終端接收到該身分驗證請求後,可以將帶有可信標識的數位憑證發送給驗證終端。驗證終端可以透過驗證接收到的數位憑證驗證被驗證終端的數位身分,還可以透過驗證接收到的數位憑證上的可信標識,驗證被驗證終端的可信狀態,其中驗證終端透過帶有可信標識的數位憑證對被驗證終端進行身分驗證的過程,可以參考上述實施例的記載,此處不再贅述。
此外,本說明書一些實施例中,所述可信標識數位憑證對應的私密金鑰(即數位憑證中的公開金鑰對應的私密金鑰)儲存在動態記憶體中或可信計算晶片中,動態記憶體可以表示需要每隔一段時間進行一次刷新電路,如果沒有這個操作,資訊會丟失的記憶體,如可以是DRAM(Dynamic Random Access Memory)。其中,當所述數位憑證中的公開金鑰對應的私密金鑰儲存在所述可信計算晶片中時,可以設置所述帶有可信標識的數位憑證的存取權限,所述存取權限為終端在可信狀態時才允許存取。本說明書實施例中的帶有可信標識的數位憑證(主要指私密金鑰)不進行長期儲存,即使設備使用可信技術保護,仍然有一些物理的首段能夠繞過可信技術的防護。如果將可信標識的數位憑證(包括數位憑證對應的私密金鑰)進行長期儲存,攻擊者有可能透過物理攻擊的手段獲取私密金鑰或者惡意使用該金鑰。例如,如果存在硬碟上,攻擊者可能會竊取硬碟檔;儲存在晶片中,攻擊者可能將晶片取出,在另一個平台上惡意呼叫該晶片。即使要長期儲存該數位憑證(包括數位憑證對應的私密金鑰),也要經過可信技術的保護再進行儲存。例如,可信計算晶片一般可以提供將金鑰的存取權限和可信狀態綁定的許可權:只有設備處於可信狀態才能存取金鑰,即當設備的度量值和基準值相同時,才可以存取該數位憑證和數位憑證對應的私密金鑰,提高了被驗證終端的私密金鑰的安全性。
本說明書實施例提供的身分驗證資料處理方法,透過設置可信服務中心對被驗證終端進行先一步驗證,當被驗證終端的數位身分和可信狀態均驗證通過後,則在被驗證終端的數位憑證中添加可信標識,使得驗證終端直接根據帶有可信標識的數位憑證就可以同時驗證被驗證終端的數位身分和設備的可信狀態。並且,驗證終端不需要具備解析可信協定的能力,只需要驗證數位憑證中的可信標識即可,相比數位憑證和可信計算技術獨立使用的方案,本說明書實施例提供的方法不需要獲取基準值,也不需要解析遠端證明協定,只需要解析數位憑證,工程實施更為簡單,減少了驗證終端的工作量和身分驗證的難度,提高了身分驗證的效率。
下面結合圖2具體介紹本說明書實施例中身分驗證資料處理方法的過程,圖2中被驗證終端和驗證終端中的OS(Operating System)可以表示作業系統,Bootloader可以表示在作業系統內核運行之前運行的一段小程式,透過這段小程式,可以初始化硬體設備、建立記憶體空間的映射圖,從而將系統的軟硬體環境帶到一個合適的狀態,以便為最終呼叫作業系統內核準備好正確的環境。BIOS(Basic Input Output System)可以表示基本輸入輸出系統,是一組固化到電腦內主機板上一個晶片上的程式,其主要功能是為電腦提供最底層的、最直接的硬體設置和控制。如圖2所示,在被驗證終端中還設置有可信計算晶片(TPM),可信計算晶片中可以包括背書金鑰(EK,Endorsement Key)和身分密鑰(AIK,Attestation Identity Key)。
在本說明書實施例中,可以在網路系統中建立可信服務中心,由可信服務中心驗證網路實體的數位身分和可信狀態,然後為網路實體發放帶可信標識的數位憑證。帶可信標識的數位憑證指的是在數位憑證中增加一個欄位,用於表明機器狀態是否是可信的,具體可以放在數位憑證的擴展域中。驗證網路實體的身分時,只需要先透過數位憑證驗證其身分,然後在判斷數位憑證中的可信標識。如圖2所示,身分驗證的過程如下:
1、可信服務中心首先驗證被驗證終端的數位身分(可以透過普通的數位憑證完成),然後再透過可信技術驗證被驗證終端的可信狀態(比如要求被驗證終端使用遠端證明技術將被驗證終端的度量值發送過來,透過與基準值比對,判斷被驗證終端是否被入侵。
2、如果驗證被驗證終端處於可信狀態,則可信服務中心發放帶有可信標識的數位憑證給被驗證終端。
3、驗證終端首先透過數位憑證驗證被驗證終端的數位身分(比如要求被驗證終端使用私密金鑰進行簽名),然後透過判斷數位憑證中的可信標識確定被驗證終端的可信狀態。
本說明書實施例在進行身分驗證時,需要注意以下過程:
1、限制帶可信標識的數位憑證的有效期。原本可信的設備可能在運行一段時間後,變得不可信了。可信狀態是有時效性的,帶可信標識的數位憑證的有效期應設置的較短。
2、帶有可信標識的數位憑證(包括數位憑證對應的私密金鑰)不建議長期儲存。即使設備使用可信技術保護,仍然有一些物理的首段能夠繞過可信技術的防護。如果將可信標識的數位憑證進行長期儲存,攻擊者有可能透過物理攻擊的手段獲取私密金鑰或者惡意使用該金鑰。例如,如果存在硬碟上,攻擊者可能會竊取硬碟檔;儲存在晶片中,攻擊者可能將晶片取出,在另一個平台上惡意呼叫該晶片。即使要長期儲存該數位憑證,也要經過可信技術的保護再進行儲存。例如,可信計算晶片一般提供將金鑰的存取權限和可信狀態綁定的許可權:只有設備處於可信狀態才能存取金鑰。
本說明書實施例中,包含對設備可信狀態的檢查,可以發現設備被入侵的情況,相比數位憑證和可信計算技術獨立使用的方案,本方案中的驗證終端不需要獲取基準值,也不需要解析遠端證明協定,只需要解析數位憑證,工程實施更為簡單。
圖5是本說明書又一實施例中可信服務中心進行身分驗證資料處理方法的流程示意圖,如圖5所示,本說明書實施例還提供了一種身分驗證資料處理方法,包括:
步驟502、驗證被驗證終端的數位身分。
圖6是本說明書又一實施例中身分驗證資料處理方法的方塊圖,如圖6所示,在本說明書實施例中,身分驗證資料處理系統可以包括可信服務中心(即本說明書實施例中記載的可信伺服器)、被驗證終端、驗證終端。
在具體的實施過程中,驗證終端在驗證被驗證終端的身分之前,可信服務中心可以先對被驗證終端進行數位身分和可信狀態的驗證。可信服務中心對被驗證終端進行身分驗證的方法可以參考上述實施例的記載,如:可信服務中心可以透過驗證被驗證終端預先從CA申請獲得的數位憑證來驗證被驗證終端的數位身分,具體進行數位身分驗證的過程可以參考上述實施例的記載,此處不再贅述。
步驟504、若所述被驗證終端的數位身分驗證通過,則給所述被驗證終端頒發帶有所述被驗證終端的基準值的數位憑證,以使得驗證終端根據所述被驗證終端的帶有基準值的數位憑證對所述被驗證終端進行身分驗證。
在具體的實施過程中,可信服務中心對被驗證終端的數位憑證進行驗證,若該被驗證終端的數位憑證是由CA頒佈的,並且被驗證終端擁有數位憑證對應的私密金鑰,可以認為被驗證終端的數位身分驗證通過,可信服務中心可以給被驗證終端頒發一個帶有被驗證終端的基準值的數位憑證。或者,可信服務中心包括CA,可信服務中心採用公私密金鑰對驗證被驗證終端的數位身分,當數位身分驗證通過後,可以透過CA給被驗證終端頒發一個數位憑證,該數位憑證中包括被驗證終端的基準值。其中,被驗證終端的基準值可以由可信服務中心預先從被驗證終端獲取,基準值的具體含義以及獲取方法可以參考上述實施例的記載,此處不再贅述。
當驗證終端需要對被驗證終端進行身分驗證時,驗證終端可以獲取被驗證終端的數位憑證,先透過數位憑證對被驗證終端進行數位身分的驗證。數位身分驗證通過後,驗證終端可以透過遠端證明技術獲取被驗證終端的度量值,並將度量值和數位憑證中的基準值進行比對,驗證被驗證終端的可信狀態。若度量值和基準值相同,則認為被驗證終端處於可信狀態,否則,認為被驗證終端不可信。其中,被驗證終端的數位身分以及可信狀態的驗證方法可以參考上述實施例的記載,此處不再贅述。
本說明書實施例提供的身分驗證資料處理方法,透過可信服務中心對被驗證終端進行數位身分驗證通過後,將被驗證終端的基準值添加在被驗證終端的數位憑證中。驗證終端可以根據被驗證終端的數位憑證和基準值,對被驗證終端進行身分驗證和可信狀態驗證。驗證終端對被驗證終端的可信狀態的驗證是即時進行的,實現了可信狀態的即時驗證,提高了被驗證終端可信認證結果的準確性。此外,驗證終端不需要從其他的設備獲取被驗證終端的基準值,提高了身分驗證的效率和相容性。
圖7是本說明書又一實施例中驗證終端進行身分驗證資料處理方法的流程示意圖,如圖7所示,本說明書實施例還提供了一種身分驗證資料處理方法,包括:
步驟702、獲取被驗證終端的數位憑證,其中,所述數位憑證中帶有所述被驗證終端的基準值,所述基準值是由可信伺服器在驗證所述被驗證終端的數位憑證合法後,給所述被驗證終端頒發的數位憑證中帶有的。
在具體的實施過程中,驗證終端與被驗證終端進行資料通訊,需要對被驗證終端進行身分驗證時,可以請求獲取被驗證終端的數位憑證。其中,被驗證終端的數位憑證可以是可信服務中心在對被驗證終端進行數位身分的驗證均通過後,頒發的帶有被驗證終端的基準值的數位憑證。
步驟704、驗證所述被驗證終端的數位憑證。
驗證終端獲取到被驗證終端的數位憑證後,可以驗證該數位憑證是否合法如:驗證該數位憑證是否由CA頒發、檢查證書有效期或CA吊銷列表以查看證書是否過期或已被吊銷等。之後,驗證終端可以向被驗證終端發送亂數,請求被驗證終端使用自己的私密金鑰對該亂數進行簽名,驗證終端利用數位憑證中的公開金鑰驗證該數位簽章,驗證被驗證終端是否擁有數位憑證對應的私密金鑰,以驗證被驗證終端的數位身分。當然,根據實際需要,驗證終端還可以採用其他的方法透過驗證被驗證終端的數位憑證來驗證被驗證終端的數位身分,本說明書實施例不作具體限定。
步驟706、若所述被驗證終端的數位憑證驗證通過,則透過遠端證明技術獲取所述被驗證終端的度量值。
在具體的實施過程中,當驗證終端驗證被驗證終端的數位身分合法後,可以透過遠端證明技術,請求獲取被驗證終端將的度量值。被驗證終端可以利用可信計算晶片中的數位憑證和私密金鑰對自身的度量值進行簽名後發送給驗證終端,驗證終端可以對簽名後的資料進行驗證,驗證證書和簽名均有效後,相信該度量值,可以利用該度量值進行後續的可信狀態驗證。
步驟708、將所述度量值與所述數位憑證中基準值進行比對,確定所述被驗證終端的可信狀態,完成對所述被驗證終端的身分驗證。
在具體的實施過程中,驗證終端獲取到被驗證終端的度量值後,可以將該度量值與驗證終端接收到的數位憑證中的基準值進行比對,若度量值與基準值相同,則認為被驗證終端處於可信狀態。其中,度量值和基準值的含義可以參考上述實施例的記載,此處不再贅述。
本說明書實施例提供的身分驗證資料處理方法,透過可信服務中心對被驗證終端進行數位身分驗證通過後,將被驗證終端的基準值添加在被驗證終端的數位憑證中頒發給被驗證終端。驗證終端可以根據被驗證終端的數位憑證和基準值,對被驗證終端進行身分驗證和可信狀態驗證。驗證終端對被驗證終端的可信狀態的驗證是即時進行的,實現了可信狀態的即時驗證,提高了被驗證終端可信認證結果的準確性。此外,驗證終端不需要從其他的設備獲取被驗證終端的基準值,提高了身分驗證的效率和相容性。
圖8是本說明書又一實施例中被驗證終端進行身分驗證資料處理方法的流程示意圖,如圖8所示,本說明書實施例還提供了一種身分驗證資料處理方法,包括:
步驟802、接收可信伺服器發送的數位身分驗證請求。
在具體的實施過程中,驗證終端在驗證被驗證終端的身分之前,可信服務中心即可信伺服器可以先對被驗證終端進行數位身分和可信狀態的驗證。可信服務中心可以向被驗證終端發送數位身分校驗請求,透過公私密金鑰對或密碼驗證或數位憑證等方式對被驗證終端進行數位身分進行驗證。例如:被驗證終端可以預先透過CA即證書授權中心申請自己的數位憑證,驗證終端在驗證被驗證終端的身分之前,可信服務中心即可信伺服器可以先對被驗證終端進行數位身分的驗證。當可信服務中心需要對被驗證終端進行數位身分驗證時,可信服務中心可以請求被驗證終端將數位憑證發送給可信服務中心,可信服務中心可以透過驗證被驗證終端的數位憑證來驗證被驗證終端的數位身分,可信服務中心對被驗證終端進行數位身分驗證的過程可以參考上述實施例的記載,此處不再贅述。
步驟804、接收所述可信伺服器在數位身分驗證透過後頒發的帶有基準值的數位憑證。
在具體的實施過程中,可信服務中心驗證被驗證終端的數位身分合法後,可以給被驗證終端頒發帶有被驗證終端的基準值的數位憑證,被驗證終端可以接收可信伺服器發送的帶有被驗證終端的基準值的數位憑證。其中,可信服務中心可以將被驗證終端的基準值添加在被驗證終端請求CA頒發的數位憑證的擴展域中。被驗證終端的基準值可以由可信服務中心預先獲得,具體獲取方法被說明書實施例不作具體限定。
步驟806、接收驗證終端的身分驗證請求,將所述帶有基準值的數位憑證發送給所述驗證終端,以使得所述驗證終端所述數位憑證是否合法。
在具體的實施過程中,當驗證終端和被驗證終端進行通訊,需要對被驗證終端進行身分驗證時,驗證終端可以向被驗證終端發送身分驗證請求,被驗證終端接收到該身分驗證請求後,可以將帶有基準值的數位憑證發送給驗證終端。驗證終端可以透過驗證接收到的數位憑證驗證被驗證終端的數位身分,其中,驗證終端透過對被驗證終端進行數位身分的認證的方法,可以參考上述實施例的記載,此處不再贅述。
步驟808、接收所述驗證終端在確定所述數位憑證合法後發送的遠端證明請求,將度量值發送給所述驗證終端,以使得所述驗證終端根據所述度量值和所述數位憑證中的基準值進行身分驗證。
在具體的實施過程中,驗證終端驗證被驗證終端的數位身分合法後,還可以透過遠端證明技術請求獲取被驗證終端的度量值,並將獲取到的度量值與數位憑證中的基準值進行比對驗證被驗證終端的可信狀態。其中,驗證終端利用遠端技術對被驗證終端進行可信狀態認證的方法,可以參考上述實施例的記載,此處不再贅述。
本說明書實施例提供的身分驗證資料處理方法,透過可信服務中心對被驗證終端進行數位身分驗證通過後,將被驗證終端的基準值添加在被驗證終端的數位憑證中頒發給被驗證終端。驗證終端可以根據被驗證終端的數位憑證和基準值,對被驗證終端進行身分驗證和可信狀態驗證。驗證終端對被驗證終端的可信狀態的驗證是即時進行的,實現了可信狀態的即時驗證,提高了被驗證終端可信認證結果的準確性。此外,驗證終端不需要從其他的設備獲取被驗證終端的基準值,提高了身分驗證的效率和相容性。
下面結合圖6具體介紹本說明書實施例中身分驗證資料處理方法的過程,圖6中被驗證終端和驗證終端中的OS、Bootloader、BIOS、EK、AIK的具體含義可以參考上述實施例的記載,此處不再贅述。
在本說明書實施例中,可以在網路系統中建立可信服務中心,由可信服務中心驗證網路實體的數位身分,可信服務中心驗證完被驗證終端的數位身分後,不強制驗證其可信狀態。而是頒發一個帶被驗證終端的基準值的數位憑證,基準值可以放在數位憑證的擴展域中。驗證終端在被驗證終端的數位憑證後,可以要求被驗證終端透過遠端證明提供度量值。驗證終端在比較被驗證終端的度量值和證書中的基準值後,可以確定被驗證終端的可信狀態。驗證終端驗證的是被驗證終端的即時狀態(請求發生時)是否是可信的,時效性更好,可以提高被驗證終端可信認證的準確性。
本說明書中上述方法的各個實施例均採用遞進的方式描述,各個實施例之間相同相似的部分互相參考即可,每個實施例重點說明的都是與其他實施例的不同之處。相關之處參考方法實施例的部分說明即可。
基於上述所述的身分驗證資料處理方法,本說明書一個或多個實施例還提供一種用於身分驗證資料處理的可信伺服器、驗證終端、被驗證終端。所述的可信伺服器、驗證終端、被驗證終端可以包括使用了本說明書實施例所述方法的系統(包括分散式系統)、軟體(應用)、模組、元件、伺服器、用戶端等並結合必要的實施硬體的裝置。基於同一創新構思,本說明書實施例提供的一個或多個實施例中的可信伺服器、驗證終端、被驗證終端如下面的實施例所述。由於可信伺服器、驗證終端、被驗證終端解決問題的實現方案與方法相似,因此本說明書實施例具體的可信伺服器、驗證終端、被驗證終端的實施可以參考前述方法的實施,重複之處不再贅述。以下所使用的,術語“單元”或者“模組”可以實現預定功能的軟體和/或硬體的組合。儘管以下實施例所描述的可信伺服器、驗證終端、被驗證終端較佳地以軟體來實現,但是硬體,或者軟體和硬體的組合的實現也是可能並被構想的。
具體地,圖9是本說明書提供的用於身分驗證資料處理的可信伺服器一個實施例的模組結構示意圖,如圖9所示,本說明書中提供的用於身分驗證資料處理的可信伺服器可以包括:第一數位身分驗證模組91、第一可信狀態驗證模組92、可信證書頒發模組93,其中:
第一數位身分驗證模組91,可以用於驗證被驗證終端的數位身分;
第一可信狀態驗證模組92,可以用於若所述被驗證終端的數位身分驗證通過,則透過遠端證明技術驗證所述被驗證終端是否處於可信狀態;
可信證書頒發模組93,可以用於若驗證出所述被驗證終端處於可信狀態,則給所述被驗證終端頒發帶有可信標識的數位憑證,以使得驗證終端根據所述帶有可信標識的數位憑證對所述被驗證終端進行身分驗證。
本說明書實施例提供的用於身分驗證資料處理的可信伺服器,將數位身分驗證和可信計算技術結合使用,進行身分驗證,並透過設置可信服務中心對被驗證終端進行先一步驗證。當被驗證終端的數位身分和可信狀態均驗證通過後,則在被驗證終端的數位憑證中添加可信標識,使得驗證終端直接根據帶有可信標識的數位憑證就可以同時驗證被驗證終端的數位身分和設備的可信狀態。並且,驗證終端不需要具備解析可信協定的能力,只需要驗證數位憑證中的可信標識即可,相比數位憑證和可信計算技術獨立使用的方案,本說明書實施例提供的方法不需要獲取基準值,也不需要解析遠端證明協定,只需要解析數位憑證,工程實施更為簡單,減少了驗證終端的工作量和身分驗證的難度,提高了身分驗證的效率。
在上述實施例的基礎上,本說明書一些實施例中,所述可信證書頒發模組具體用於:
在給所述被驗證終端發放帶有可信標識的數位憑證時,設置所述帶有可信標識的數位憑證的有效期。
本說明書實施例,透過設置帶有可信標識的數位憑證的有效期,可以提高被驗證終端可信狀態的可信性,提高身分驗證的準確性,進一步提高了系統的安全性。
在上述實施例的基礎上,本說明書一些實施例中,所述第一數位身分驗證模組具體用於:
透過驗證所述被驗證終端的數位憑證,驗證所述被驗證終端的數位身分,所述數位憑證由所述被驗證終端在證書授權中心申請獲得;
對應地,所述可信證書頒發模組具體用於:
在所述被驗證終端從所述證書授權中心申請獲得的數位憑證中添加所述可信標識,並將添加所述可信標識的數位憑證發放給所述被驗證終端。
本說明書實施例,利用數位憑證對被驗證終端進行數位身分驗證,在數位身分和可信狀態驗證通過後,直接在被驗證終端的數位憑證中添加可信標識。將數位憑證和可信計算技術相結合,進行終端設備的身分驗證,不需要獲取基準值,也不需要解析遠端證明協定,只需要解析數位憑證,工程實施更為簡單,減少了驗證終端的工作量和身分驗證的難度,提高了身分驗證的效率。
在上述實施例的基礎上,本說明書一些實施例中,所述可信證書頒發模組具體用於:
將所述可信標識設置在所述數位憑證的擴展域中。
本說明書實施例,將可信標識設置在所述數位憑證的擴展域中,達到了標記被驗證終端的可信狀態的作用,並且不會破壞原有的數位憑證。
圖10是本說明書提供的用於身分驗證資料處理的驗證終端一個實施例的模組結構示意圖,如圖10所示,本說明書中提供的用於身分驗證資料處理的驗證終端可以包括:第一數位憑證獲取模組101、證書驗證模組102、可信標識驗證模組103,其中:
第一數位憑證獲取模組101,可以用於獲取被驗證終端的數位憑證;
證書驗證模組102,可以用於驗證所述被驗證終端的數位憑證;
可信標識驗證模組103,可以用於在所述被驗證終端的數位身分驗證通過時,驗證所述數位憑證上是否帶有可信標識,若有可信標識則確定所述被驗證終端的身分合法;
其中,所述可信標識是由可信伺服器在驗證所述被驗證終端的數位身分和可信狀態均通過後,頒發給所述被驗證終端的數位憑證中帶有的。
本說明書實施例,透過設置可信服務中心對被驗證終端進行先一步驗證,當被驗證終端的數位身分和可信狀態均驗證通過後,則在被驗證終端的數位憑證中添加可信標識,使得驗證終端直接根據帶有可信標識的數位憑證就可以同時驗證被驗證終端的數位身分和設備的可信狀態。並且,驗證終端不需要具備解析可信協定的能力,只需要驗證數位憑證中的可信標識即可,相比數位憑證和可信計算技術獨立使用的方案,本說明書實施例提供的方法不需要獲取基準值,也不需要解析遠端證明協定,只需要解析數位憑證,工程實施更為簡單,減少了驗證終端的工作量和身分驗證的難度,提高了身分驗證的效率。
圖11是本說明書提供的用於身分驗證資料處理的被驗證終端一個實施例的模組結構示意圖,如圖11所示,本說明書中提供的用於身分驗證資料處理的被驗證終端可以包括:第一驗證請求接收模組111、遠端證明模組112、可信證書接收模組113、第二證書發送模組114,其中:
第一驗證請求接收模組111,可以用於接收可信伺服器發送的數位身分驗證請求;
遠端證明模組112,可以用於接收所述可信伺服器在數位身分驗證透過後發送的遠端證明請求,將度量值發送給所述可信伺服器,以使得所述可信伺服器將所述度量值與所述可信伺服器自身儲存的對應的基準值進行比對;
可信證書接收模組113,可以用於接收所述可信伺服器頒發的帶有可信標識的數位憑證,所述帶有可信標識的數位憑證由所述可信伺服器確定所述度量值與所述基準值相同後頒發的;
第一證書發送模組114,可以用於接收驗證終端的身分驗證請求,將所述帶有可信標識的數位憑證發送給所述驗證終端,以使得所述驗證終端根據所述帶有可信標識的數位憑證進行身分驗證。
本說明書實施例,透過設置可信服務中心對被驗證終端進行先一步驗證,當被驗證終端的數位憑證和可信狀態均驗證通過後,則在被驗證終端的數位憑證中添加可信標識,使得驗證終端直接根據帶有可信標識的數位憑證就可以同時驗證被驗證終端的數位身分和設備的可信狀態。並且,驗證終端不需要具備解析可信協定的能力,只需要驗證數位憑證中的可信標識即可,相比數位憑證和可信計算技術獨立使用的方案,本說明書實施例提供的方法不需要獲取基準值,也不需要解析遠端證明協定,只需要解析數位憑證,工程實施更為簡單,減少了驗證終端的工作量和身分驗證的難度,提高了身分驗證的效率。
在上述實施例的基礎上,本說明書一些實施例中,所述被驗證終端還包括動態儲存記憶體和/或可信計算晶片;
所述帶有可信標識的數位憑證對應的私密金鑰儲存在動態記憶體中或可信計算晶片中;
其中,當所述私密金鑰儲存在所述可信計算晶片中時,設置所述帶有可信標識的數位憑證的存取權限,所述存取權限為終端在可信狀態時才允許存取。
本說明書實施例,設置被驗證終端的私密金鑰的儲存方式,將私密金鑰儲存在動態記憶體中或可信計算晶片中,並設置私密金鑰的存取權限,提高了私密金鑰的安全性,進一步提高系統的安全性。
圖12是本說明書提供的用於身分驗證資料處理的可信伺服器一個實施例的模組結構示意圖,如圖12所示,本說明書中提供的用於身分驗證資料處理的可信伺服器可以包括:第二數位身分驗證模組121、基準值證書頒發模組122,其中:
第二數位身分驗證模組121,可以用於透過驗證被驗證終端的數位憑證驗證所述被驗證終端的數位身分,所述數位憑證由所述被驗證終端在證書授權中心申請獲得;
基準值證書頒發模組122,可以用於若所述被驗證終端的數位身分驗證通過,則給所述被驗證終端發放帶有所述被驗證終端的基準值的數位憑證,以使得驗證終端根據帶有所述基準值的數位憑證對所述被驗證終端進行身分驗證。
本說明書實施例,透過可信服務中心對被驗證終端進行數位身分驗證通過後,將被驗證終端的基準值添加在被驗證終端的數位憑證中。驗證終端可以根據被驗證終端的數位憑證和基準值,對被驗證終端進行身分驗證和可信狀態驗證。驗證終端對被驗證終端的可信狀態的驗證是即時進行的,實現了可信狀態的即時驗證,提高了被驗證終端可信認證結果的準確性。此外,驗證終端不需要從其他的設備獲取被驗證終端的基準值,提高了身分驗證的效率和相容性。
圖13是本說明書提供的用於身分驗證資料處理的驗證終端一個實施例的模組結構示意圖,如圖13所示,本說明書中提供的用於身分驗證資料處理的驗證終端可以包括:第二數位憑證獲取模組131、第三數位身分驗證模組132、度量值獲取模組133、第二可信狀態驗證模組134,其中:
第二數位憑證獲取模組131,可以用於獲取被驗證終端的數位憑證,其中,所述數位憑證中帶有所述被驗證終端的基準值,所述基準值是由可信伺服器在驗證所述被驗證終端的數位憑證合法後,給所述被驗證終端頒發的數位憑證中帶有的;
第三數位身分驗證模組132,可以用於驗證所述被驗證終端的數位憑證;
度量值獲取模組133,可以用於若所述被驗證終端的數位憑證驗證通過,則透過遠端證明技術獲取所述被驗證終端的度量值;
第二可信狀態驗證模組134,可以用於將所述度量值與所述數位憑證中基準值進行比對,確定所述被驗證終端的可信狀態,完成對所述被驗證終端的身分驗證。
本說明書實施例,透過可信服務中心對被驗證終端進行數位身分驗證通過後,將被驗證終端的基準值添加在被驗證終端的數位憑證中。驗證終端可以根據被驗證終端的數位憑證和基準值,對被驗證終端進行身分驗證和可信狀態驗證。驗證終端對被驗證終端的可信狀態的驗證是即時進行的,實現了可信狀態的即時驗證,提高了被驗證終端可信認證結果的準確性。此外,驗證終端不需要從其他的設備獲取被驗證終端的基準值,提高了身分驗證的效率和相容性。
圖14是本說明書提供的用於身分驗證資料處理的被驗證終端一個實施例的模組結構示意圖,如圖14所示,本說明書中提供的用於身分驗證資料處理的被驗證終端可以包括:第二驗證請求接收模組141、基準證書接收模組142、第二證書發送模組143、度量值發送模組144,其中:
第二驗證請求接收模組141,可以用於接收可信伺服器發送的數位身分驗證請求;
基準證書接收模組142,可以用於接收所述可信伺服器在數位身分驗證通過後頒發的帶有基準值的數位憑證;
第二證書發送模組143,可以用於接收驗證終端的身分驗證請求,將所述帶有基準值的數位憑證發送給所述驗證終端,以使得所述驗證終端所述數位憑證是否合法;
度量值發送模組144,可以用於接收所述驗證終端在確定所述數位憑證合法後發送的遠端證明請求,將度量值發送給所述驗證終端,以使得所述驗證終端根據所述度量值和所述數位憑證中的基準值進行身分驗證。
本說明書實施例,透過可信服務中心對被驗證終端進行數位身分驗證通過後,將被驗證終端的基準值添加在被驗證終端的數位憑證中。驗證終端可以根據被驗證終端的數位憑證和基準值,對被驗證終端進行身分驗證和可信狀態驗證。驗證終端對被驗證終端的可信狀態的驗證是即時進行的,實現了可信狀態的即時驗證,提高了被驗證終端可信認證結果的準確性。此外,驗證終端不需要從其他的設備獲取被驗證終端的基準值,提高了身分驗證的效率和相容性。
需要說明的,上述所述的伺服器、終端根據方法實施例的描述還可以包括其他的實施方式。具體的實現方式可以參照上述對應的方法實施例的描述,在此不作一一贅述。
本說明書實施例還提供一種身分驗證資料處理設備,包括:至少一個處理器以及用於儲存處理器可執行指令的記憶體,所述處理器執行所述指令時實現上述實施例中身分驗證資料處理方法,如:
驗證被驗證終端的數位身分;
若所述被驗證終端的數位身分驗證通過,則透過遠端證明技術驗證所述被驗證終端是否處於可信狀態;
若驗證出所述被驗證終端處於可信狀態,則給所述被驗證終端頒發帶有可信標識的數位憑證,以使得驗證終端根據所述帶有可信標識的數位憑證對所述被驗證終端進行身分驗證。
或,獲取被驗證終端的數位憑證;
驗證所述被驗證終端的數位憑證;
若所述被驗證終端的數位憑證驗證通過,則驗證所述數位憑證上是否帶有可信標識,若有可信標識則確定所述被驗證終端的身分合法;
其中,所述可信標識是由可信伺服器在驗證所述被驗證終端的數位身分和可信狀態均通過後,頒發給所述被驗證終端的數位憑證中帶有的。
或,接收可信伺服器發送的數位身分驗證請求;
接收所述可信伺服器在數位身分驗證通過後發送的遠端證明請求,將度量值發送給所述可信伺服器,以使得所述可信伺服器將所述度量值與所述可信伺服器自身儲存的對應的基準值進行比對;
接收所述可信伺服器頒發的帶有可信標識的數位憑證,所述帶有可信標識的數位憑證由所述可信伺服器確定所述度量值與所述基準值相同後頒發的;
接收驗證終端的身分驗證請求,將所述帶有可信標識的數位憑證發送給所述驗證終端,以使得所述驗證終端根據所述帶有可信標識的數位憑證進行身分驗證。
或,驗證被驗證終端的數位身分;
若所述被驗證終端的數位身分驗證通過,則給所述被驗證終端頒發帶有所述被驗證終端的基準值的數位憑證,以使得驗證終端根據帶有所述基準值的數位憑證對所述被驗證終端進行身分驗證。
或,獲取被驗證終端的數位憑證,其中,所述數位憑證中帶有所述被驗證終端的基準值,所述基準值是由可信伺服器在驗證所述被驗證終端的數位憑證合法後,給所述被驗證終端頒發的數位憑證中帶有的;
驗證所述被驗證終端的數位憑證;
若所述被驗證終端的數位憑證驗證通過,則透過遠端證明技術獲取所述被驗證終端的度量值;
將所述度量值與所述數位憑證中基準值進行比對,確定所述被驗證終端的可信狀態,完成對所述被驗證終端的身分驗證。
或,接收可信伺服器發送的數位身分驗證請求;
接收所述可信伺服器在數位身分驗證通過後頒發的帶有基準值的數位憑證;
接收驗證終端的身分驗證請求,將所述帶有基準值的數位憑證發送給所述驗證終端,以使得所述驗證終端所述數位憑證是否合法;
接收所述驗證終端在確定所述數位憑證合法後發送的遠端證明請求,將度量值發送給所述驗證終端,以使得所述驗證終端根據所述度量值和所述數位憑證中的基準值進行身分驗證。
如圖2、圖6所示,本說明書一個實施例中提供身分驗證資料處理系統,可以包括:可信服務中心、至少一個被驗證終端、至少一個驗證終端,所述可信服務中心中儲存有不同終端的基準值,所述被驗證終端中設置有可信計算晶片,且所述被驗證終端申請有數位憑證;
所述可信服務中心中包括至少一個處理器以及用於儲存處理器可執行指令的記憶體,所述處理器執行所述指令時實現上述實施例中可信服務中心側執行的方法;
所述被驗證終端包括至少一個處理器以及用於儲存處理器可執行指令的記憶體,所述處理器執行所述指令時實現上述實施例中被驗證終端側執行的方法;
所述驗證終端包括至少一個處理器以及用於儲存處理器可執行指令的記憶體,所述處理器執行所述指令時實現上述實施例中驗證終端側執行的方法。
需要說明的,上述所述的處理設備和系統,根據方法實施例的描述還可以包括其他的實施方式。具體的實現方式可以參照上述對應的方法實施例的描述,在此不作一一贅述。
本說明書提供的身分驗證資料處理的伺服器或終端或處理設備或系統,也可以應用在多種資料分析處理系統中。所述系統或伺服器或終端或處理設備可以為單獨的伺服器,也可以包括使用了本說明書的一個或多個所述方法或一個或多個實施例系統或伺服器或終端或處理設備的伺服器集群、系統(包括分散式系統)、軟體(應用)、實際操作裝置、邏輯閘電路裝置、量子電腦等並結合必要的實施硬體的終端裝置。所述核對差異資料的檢測系統可以包括至少一個處理器以及儲存電腦可執行指令的記憶體,所述處理器執行所述指令時實現上述任意一個或者多個實施例中所述方法的步驟。
本說明書實施例所提供的方法實施例可以在移動終端、電腦終端、伺服器或者類似的運算裝置中執行。以運行在伺服器上為例,圖15是本說明書一個實施例中身分驗證資料處理伺服器的硬體結構方塊圖,該伺服器可以是上述實施例中的身分驗證資料處理裝置、身分驗證資料處理設備或系統。如圖15所示,伺服器10可以包括一個或多個(圖中僅示出一個)處理器100(處理器100可以包括但不限於微處理器MCU或可程式設計邏輯裝置FPGA等的處理裝置)、用於儲存資料的記憶體200、以及用於通訊功能的傳輸模組300。本發明所屬技術領域中具有通常知識者可以理解,圖15所示的結構僅為示意,其並不對上述電子裝置的結構造成限定。例如,伺服器10還可包括比圖15中所示更多或者更少的元件,例如還可以包括其他的處理硬體,如資料庫或多級快取、GPU,或者具有與圖15所示不同的配置。
記憶體200可用于儲存應用軟體的軟體程式以及模組,如本說明書實施例中的身分驗證資料處理方法對應的程式指令/模組,處理器100透過運行儲存在記憶體200內的軟體程式以及模組,從而執行各種功能應用以及資來源資料更新。記憶體200可包括高速隨機記憶體,還可包括非易失性記憶體,如一個或者多個磁性儲存裝置、快閃記憶體、或者其他非易失性固態記憶體。在一些實例中,記憶體200可進一步包括相對於處理器100遠端設置的記憶體,這些遠端記憶體可以透過網路連接至電腦終端。上述網路的實例包括但不限於網際網路、企業內部網路、區域網路、行動通訊網及其組合。
傳輸模組300用於經由一個網路接收或者發送資料。上述的網路具體實例可包括電腦終端的通訊供應商提供的無線網路。在一個實例中,傳輸模組300包括一個網路介面卡(Network Interface Controller,NIC),其可透過基地台與其他網路設備相連從而可與網際網路進行通訊。在一個實例中,傳輸模組300可以為射頻(Radio Frequency,RF)模組,其用於透過無線方式與網際網路進行通訊。
上述對本說明書特定實施例進行了描述。其它實施例在所附申請專利範圍的範圍內。在一些情況下,在申請專利範圍中記載的動作或步驟可以按照不同於實施例中的順序來執行並且仍然可以實現期望的結果。另外,在圖式中描繪的過程不一定要求示出的特定順序或者連續順序才能實現期望的結果。在某些實施方式中,多工處理和並行處理也是可以的或者可能是有利的。
本說明書提供的上述實施例所述的方法或裝置可以透過電腦程式實現業務邏輯並記錄在儲存媒體上,所述的儲存媒體可以電腦讀取並執行,實現本說明書實施例所描述方案的效果。
所述儲存媒體可以包括用於儲存資訊的物理裝置,通常是將資訊數位化後再以利用電、磁或者光學等方式的媒體加以儲存。所述儲存媒體有可以包括:利用電能方式儲存資訊的裝置如,各式記憶體,如RAM、ROM等;利用磁能方式儲存資訊的裝置如,硬碟、軟碟、磁帶、磁芯記憶體、磁泡記憶體、USB隨身碟;利用光學方式儲存資訊的裝置如,CD或DVD。當然,還有其他方式的可讀儲存媒體,例如量子記憶體、石墨烯記憶體等等。
本說明書實施例提供的上述身分驗證資料處理方法或裝置可以在電腦中由處理器執行對應的程式指令來實現,如使用windows作業系統的c++語言在PC端實現、linux系統實現,或其他例如使用android、iOS系統程式設計語言在智慧終端機實現,以及基於量子電腦的處理邏輯實現等。
需要說明的是說明書上述所述的裝置、電腦儲存媒體、系統根據相關方法實施例的描述還可以包括其他的實施方式,具體的實現方式可以參照對應方法實施例的描述,在此不作一一贅述。
本說明書中的各個實施例均採用漸進的方式描述,各個實施例之間相同相似的部分互相參考即可,每個實施例重點說明的都是與其他實施例的不同之處。尤其,對於硬體加程式類實施例而言,由於其基本相似於方法實施例,所以描述的比較簡單,相關之處參考方法實施例的部分說明即可。
本說明書實施例並不局限於必須是符合行業通訊標準、標準電腦資來源資料更新和資料儲存規則或本說明書一個或多個實施例所描述的情況。某些行業標準或者使用自訂方式或實施例描述的實施基礎上略加修改後的實施方案也可以實現上述實施例相同、等同或相近、或變形後可預料的實施效果。應用這些修改或變形後的資料獲取、儲存、判斷、處理方式等獲取的實施例,仍然可以屬於本說明書實施例的可選實施方案範圍之內。
在20世紀90年代,對於一個技術的改進可以很明顯地區分是硬體上的改進(例如,對二極體、電晶體、開關等電路結構的改進)還是軟體上的改進(對於方法流程的改進)。然而,隨著技術的發展,當今的很多方法流程的改進已經可以視為硬體電路結構的直接改進。設計人員幾乎都透過將改進的方法流程程式設計到硬體電路中來得到對應的硬體電路結構。因此,不能說一個方法流程的改進就不能用硬體實體模組來實現。例如,可程式設計邏輯裝置(Programmable Logic Device, PLD)(例如現場可程式設計閘陣列(Field Programmable Gate Array,FPGA))就是這樣一種積體電路,其邏輯功能由使用者對裝置程式設計來確定。由設計人員自行程式設計來把一個數位系統“整合”在一片PLD上,而不需要請晶片製造廠商來設計和製作專用的積體電路晶片。而且,如今,取代手工地製作積體電路晶片,這種程式設計也多半改用「邏輯編譯器(logic compiler)」軟體來實現,它與程式開發撰寫時所用的軟體編譯器相類似,而要編譯之前的原始代碼也得用特定的程式設計語言來撰寫,此稱之為硬體描述語言(Hardware Description Language,HDL),而HDL也並非僅有一種,而是有許多種,如ABEL(Advanced Boolean Expression Language)、AHDL(Altera Hardware Description Language)、Confluence、CUPL(Cornell University Programming Language)、HDCal、JHDL(Java Hardware Description Language)、Lava、Lola、MyHDL、PALASM、RHDL(Ruby Hardware Description Language)等,目前最普遍使用的是VHDL (Very-High-Speed Integrated Circuit Hardware Description Language)與Verilog。本領域技術人員也應該清楚,只需要將方法流程用上述幾種硬體描述語言稍作邏輯程式設計並程式設計到積體電路中,就可以很容易得到實現該邏輯方法流程的硬體電路。
控制器可以按任何適當的方式實現,例如,控制器可以採取例如微處理器或處理器以及儲存可由該(微)處理器執行的電腦可讀程式碼(例如軟體或韌體)的電腦可讀媒體、邏輯閘、開關、特殊應用積體電路(Application Specific Integrated Circuit,ASIC)、可程式設計邏輯控制器和嵌入微控制器的形式,控制器的例子包括但不限於以下微控制器:ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20以及Silicone Labs C8051F320,記憶體控制器還可以被實現為記憶體的控制邏輯的一部分。本領域技術人員也知道,除了以純電腦可讀程式碼方式實現控制器以外,完全可以透過將方法步驟進行邏輯程式設計來使得控制器以邏輯閘、開關、特殊應用積體電路、可程式設計邏輯控制器和嵌入微控制器等的形式來實現相同功能。因此這種控制器可以被認為是一種硬體部件,而對其內包括的用於實現各種功能的裝置也可以視為硬體部件內的結構。或者甚至,可以將用於實現各種功能的裝置視為既可以是實現方法的軟體模組又可以是硬體部件內的結構。
上述實施例闡明的系統、裝置、模組或單元,具體可以由電腦晶片或實體實現,或者由具有某種功能的產品來實現。一種典型的實現設備為電腦。具體地,電腦例如可以為個人電腦、膝上型電腦、車載人機交互設備、蜂巢式電話、相機電話、智慧型電話、個人數位助理、媒體播放機、導航設備、電子郵件設備、遊戲控制台、平板電腦、穿戴式設備或者這些設備中的任何設備的組合。
雖然本說明書一個或多個實施例提供了如實施例或流程圖所述的方法操作步驟,但基於習知或者無創造性的手段可以包括更多或者更少的操作步驟。實施例中列舉的步驟順序僅僅為眾多步驟執行順序中的一種方式,不代表唯一的執行順序。在實際中的裝置或終端產品執行時,可以按照實施例或者圖式所示的方法循序執行或者並存執行(例如並行處理器或者多執行緒處理的環境,甚至為分散式資來源資料更新環境)。術語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程、方法、產品或者設備不僅包括那些要素,而且還包括沒有明確列出的其他要素,或者是還包括為這種過程、方法、產品或者設備所固有的要素。在沒有更多限制的情況下,並不排除在包括所述要素的過程、方法、產品或者設備中還存在另外的相同或等同要素。第一,第二等詞語用來表示名稱,而並不表示任何特定的順序。
為了描述的方便,描述以上裝置時以功能分為各種模組分別描述。當然,在實施本說明書一個或多個時可以把各模組的功能在同一個或多個軟體和/或硬體中實現,也可以將實現同一功能的模組由多個子模組或子單元的組合實現等。以上所描述的裝置實施例僅僅是示意性的,例如,所述單元的劃分,僅僅為一種邏輯功能劃分,實際實現時可以有另外的劃分方式,例如多個單元或元件可以結合或者可以整合到另一個系統,或一些特徵可以忽略,或不執行。另一點,所顯示或討論的相互之間的耦合或直接耦合或通訊連接可以是透過一些介面,裝置或單元的間接耦合或通訊連接,可以是電性,機械或其它的形式。
本發明是參照根據本發明實施例的方法、裝置(系統)、和電腦程式產品的流程圖和/或方塊圖來描述的。應理解可由電腦程式指令實現流程圖和/或方塊圖中的每一流程和/或方塊、以及流程圖和/或方塊圖中的流程和/或方塊的結合。可提供這些電腦程式指令到通用電腦、專用電腦、嵌入式處理機或其他可程式設計資來源資料更新設備的處理器以產生一個機器,使得透過電腦或其他可程式設計資來源資料更新設備的處理器執行的指令產生用於實現在流程圖一個流程或多個流程和/或方塊圖一個方塊或多個方塊中指定的功能的裝置。
這些電腦程式指令也可儲存在能引導電腦或其他可程式設計資來源資料更新設備以特定方式工作的電腦可讀記憶體中,使得儲存在該電腦可讀記憶體中的指令產生包括指令裝置的製造品,該指令裝置實現在流程圖一個流程或多個流程和/或方塊圖一個方塊或多個方塊中指定的功能。
這些電腦程式指令也可裝載到電腦或其他可程式設計資來源資料更新設備上,使得在電腦或其他可程式設計設備上執行一系列操作步驟以產生電腦實現的處理,從而在電腦或其他可程式設計設備上執行的指令提供用於實現在流程圖一個流程或多個流程和/或方塊圖一個方塊或多個方塊中指定的功能的步驟。
在一個典型的配置中,計算設備包括一個或多個處理器(CPU)、輸入/輸出介面、網路介面和記憶體。
記憶體可能包括電腦可讀媒體中的非永久性記憶體,隨機存取記憶體(RAM)和/或非易失性記憶體等形式,如唯讀記憶體(ROM)或快閃記憶體(flash RAM)。記憶體是電腦可讀媒體的示例。
電腦可讀媒體包括永久性和非永久性、可移動和非可移動媒體可以由任何方法或技術來實現資訊儲存。資訊可以是電腦可讀指令、資料結構、程式的模組或其他資料。電腦的儲存媒體的例子包括,但不限於相變記憶體(PRAM)、靜態隨機存取記憶體(SRAM)、動態隨機存取記憶體(DRAM)、其他類型的隨機存取記憶體(RAM)、唯讀記憶體(ROM)、電可抹除可程式設計唯讀記憶體(EEPROM)、快閃記憶體或其他記憶體技術、唯讀光碟唯讀記憶體(CD-ROM)、數位多功能光碟(DVD)或其他光學儲存、磁盒式磁帶,磁帶磁磁片儲存、石墨烯儲存或其他磁性存放裝置或任何其他非傳輸媒體,可用於儲存可以被計算設備存取的資訊。按照本文中的界定,電腦可讀媒體不包括暫態性電腦可讀媒體(transitory media),如調變的資料信號和載波。
本領域技術人員應明白,本說明書一個或多個實施例可提供為方法、系統或電腦程式產品。因此,本說明書一個或多個實施例可採用完全硬體實施例、完全軟體實施例或結合軟體和硬體方面的實施例的形式。而且,本說明書一個或多個實施例可採用在一個或多個其中包含有電腦可用程式碼的電腦可用儲存媒體(包括但不限於磁碟記憶體、CD-ROM、光學記憶體等)上實施的電腦程式產品的形式。
本說明書一個或多個實施例可以在由電腦執行的電腦可執行指令的一般上下文中描述,例如程式模組。一般地,程式模組包括執行特定任務或實現特定抽象資料類型的常式、程式、物件、元件、資料結構等等。也可以在分散式運算環境中實踐本本說明書一個或多個實施例,在這些分散式運算環境中,由透過通訊網路而被連接的遠端處理設備來執行任務。在分散式運算環境中,程式模組可以位於包括儲存裝置在內的本地和遠端電腦儲存媒體中。
本說明書中的各個實施例均採用遞進的方式描述,各個實施例之間相同相似的部分互相參考即可,每個實施例重點說明的都是與其他實施例的不同之處。尤其,對於系統實施例而言,由於其基本相似於方法實施例,所以描述的比較簡單,相關之處參考方法實施例的部分說明即可。在本說明書的描述中,參考術語“一個實施例”、“一些實施例”、“示例”、“具體示例”、或“一些示例”等的描述意指結合該實施例或示例描述的具體特徵、結構、材料或者特點包含於本說明書的至少一個實施例或示例中。在本說明書中,對上述術語的示意性表述不必須針對的是相同的實施例或示例。而且,描述的具體特徵、結構、材料或者特點可以在任一個或多個實施例或示例中以合適的方式結合。此外,在不相互矛盾的情況下,本領域的技術人員可以將本說明書中描述的不同實施例或示例以及不同實施例或示例的特徵進行結合和組合。
以上所述僅為本說明書一個或多個實施例的實施例而已,並不用於限制本說明書一個或多個實施例。對於本領域技術人員來說,本說明書一個或多個實施例可以有各種更改和變化。凡在本說明書的精神和原理之內所作的任何修改、等同替換、改進等,均應包含在申請專利範圍之內。
102:步驟
104:步驟
106:步驟
302:步驟
304:步驟
306:步驟
402:步驟
404:步驟
406:步驟
408:步驟
502:步驟
504:步驟
702:步驟
704:步驟
706:步驟
708:步驟
802:步驟
804:步驟
806:步驟
808:步驟
91:第一數位身分驗證模組
92:第一可信狀態驗證模組
93:可信證書頒發模組
101:第一數位憑證獲取模組
102:證書驗證模組
103:可信標識驗證模組
111:第一驗證請求接收模組
112:遠端證明模組
113:可信證書接收模組
114:第二證書發送模組
121:第二數位身分驗證模組
122:基準值證書頒發模組
131:第二數位憑證獲取模組
132:第三數位身分驗證模組
133:度量值獲取模組
134:第二可信狀態驗證模組
141:第二驗證請求接收模組
142:基準證書接收模組
143:第二證書發送模組
144:度量值發送模組
10:伺服器
100:處理器
200:非易失性記憶體
300:傳輸模組
為了更清楚地說明本說明書實施例或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的圖式作簡單地介紹,顯而易見地,下面描述中的圖式僅僅是本說明書中記載的一些實施例,對於本領域普通技術人員來講,在不付出創造性勞動性的前提下,還可以根據這些圖式獲得其他的圖式。
[圖1]是本說明書一個實施例中身分驗證資料處理方法的流程示意圖;
[圖2]是本說明書又一個實施例中身分驗證資料處理方法的方塊圖;
[圖3]是本說明書實施例中驗證終端進行身分驗證資料處理的方法流程示意圖;
[圖4]是本說明書實施例中被驗證終端進行身分驗證資料處理的方法流程示意圖;
[圖5]是本說明書又一實施例中可信服務中心進行身分驗證資料處理方法的流程示意圖;
[圖6]是本說明書又一實施例中身分驗證資料處理方法的方塊圖;
[圖7]是本說明書又一實施例中驗證終端進行身分驗證資料處理方法的流程示意圖;
[圖8]是本說明書又一實施例中被驗證終端進行身分驗證資料處理方法的流程示意圖;
[圖9]是本說明書提供的用於身分驗證資料處理的可信伺服器一個實施例的模組結構示意圖;
[圖10]是本說明書提供的用於身分驗證資料處理的驗證終端一個實施例的模組結構示意圖;
[圖11]是本說明書提供的用於身分驗證資料處理的被驗證終端一個實施例的模組結構示意圖;
[圖12]是本說明書提供的用於身分驗證資料處理的可信伺服器一個實施例的模組結構示意圖;
[圖13]是本說明書提供的用於身分驗證資料處理的驗證終端一個實施例的模組結構示意圖;
[圖14]是本說明書提供的用於身分驗證資料處理的被驗證終端一個實施例的模組結構示意圖;
[圖15]是本說明書一個實施例中身分驗證資料處理伺服器的硬體結構方塊圖。
Claims (20)
- 一種身分驗證資料處理方法,應用於可信伺服器,該方法包括:透過驗證該被驗證終端的數位憑證,驗證該被驗證終端的數位身分,該數位憑證由該被驗證終端在證書授權中心申請獲得;若該被驗證終端的數位身分驗證通過,則透過遠端證明技術驗證該被驗證終端是否處於可信狀態;以及若驗證出該被驗證終端處於可信狀態,則在該被驗證終端從該證書授權中心申請獲得的數位憑證中添加可信標識,並將添加該可信標識的數位憑證發放給該被驗證終端,以使得驗證終端根據該帶有可信標識的數位憑證對該被驗證終端進行身分驗證。
- 如請求項1之方法,還包括:在給該被驗證終端發放帶有可信標識的數位憑證時,設置該帶有可信標識的數位憑證的有效期。
- 如請求項1之方法,該可信標識添加在該數位憑證的擴展域中。
- 一種身分驗證資料處理方法,應用於驗證終端,該方法包括:獲取被驗證終端的數位憑證;驗證該被驗證終端的數位憑證;以及若該被驗證終端的數位憑證驗證通過,則驗證該數位憑證上是否帶有可信標識,若有可信標識則確定該被驗證 終端的身分合法,其中,該可信標識是由可信伺服器在驗證該被驗證終端的數位身分和可信狀態均通過後,在證書授權中心頒發給該被驗證終端的數位憑證中添加的。
- 一種身分驗證資料處理方法,應用於被驗證終端,該方法包括:接收可信伺服器發送的數位身分驗證請求;接收該可信伺服器在數位身分驗證通過後發送的遠端證明請求,將度量值發送給該可信伺服器,以使得該可信伺服器將該度量值與該可信伺服器自身儲存的對應的基準值進行比對;接收該可信伺服器確定該度量值與該基準值相同後發送的添加了可信標識的數位憑證,該數位憑證為證書授權中心頒發的;以及接收驗證終端的身分驗證請求,將帶有可信標識的數位憑證發送給該驗證終端,以使得該驗證終端根據該帶有可信標識的數位憑證進行身分驗證。
- 如請求項5之方法,該方法還包括:該帶有可信標識的數位憑證對應的私密金鑰儲存在動態記憶體中或可信計算晶片中,其中,當該私密金鑰儲存在該可信計算晶片中時,設置該帶有可信標識的數位憑證的存取權限,該存取權限為終端在可信狀態時才允許存取。
- 一種身分驗證資料處理方法,應用於可 信伺服器,該方法包括:透過驗證被驗證終端的數位憑證,驗證該被驗證終端的數位身分,該數位憑證由該被驗證終端在證書授權中心申請獲得;以及若該被驗證終端的數位身分驗證通過,則給該被驗證終端頒發帶有該被驗證終端的基準值的數位憑證,以使得驗證終端根據帶有該基準值的數位憑證對該被驗證終端進行身分驗證,其中,該驗證終端根據帶有該基準值的數位憑證對該被驗證終端進行身分驗證的方法包括:該驗證終端對該被驗證終端的數位憑證進行驗證通過後,透過遠端證明技術獲取該被驗證終端的度量值,並將該度量值和該數位憑證中的基準值進行比對,驗證被驗證終端的可信狀態。
- 一種身分驗證資料處理方法,應用驗證終端,該方法包括:獲取帶有被驗證終端的基凖值的數位憑證,其中,該基準值是由可信伺服器在驗證該被驗證終端的數位憑證合法後,在證書授權中心頒發給該被驗證終端的數位憑證中添加的;驗證該被驗證終端的數位憑證;若該被驗證終端的數位憑證驗證通過,則透過遠端證明技術獲取該被驗證終端的度量值;以及將該度量值與該數位憑證中基準值進行比對,確定該 被驗證終端的可信狀態,完成對該被驗證終端的身分驗證。
- 一種身分驗證資料處理方法,應用於被驗證終端,該方法包括:接收可信伺服器發送的數位身分驗證請求;接收該可信伺服器在數位身分驗證通過後發送的添加了基準值的數位憑證,該數位憑證為證書授權中心頒發的;接收驗證終端的身分驗證請求,將該帶有基準值的數位憑證發送給該驗證終端,以使得該驗證終端驗證該數位憑證是否合法;以及接收該驗證終端在確定該數位憑證合法後發送的遠端證明請求,將度量值發送給該驗證終端,以使得該驗證終端根據該度量值和該數位憑證中的基準值進行身分驗證。
- 一種用於身分驗證資料處理的可信伺服器,包括:第一數位身分驗證模組,用於透過驗證被驗證終端的數位憑證,驗證該被驗證終端的數位身分,該數位憑證由該被驗證終端在證書授權中心申請獲得;第一可信狀態驗證模組,用於若該被驗證終端的數位身分驗證通過,則透過遠端證明技術驗證該被驗證終端是否處於可信狀態;以及可信證書頒發模組,用於若驗證出該被驗證終端處於可信狀態,則在該被驗證終端從該證書授權中心申請獲得 的數位憑證中添加該可信標識,並將添加該可信標識的數位憑證發放給該被驗證終端,以使得驗證終端根據該帶有可信標識的數位憑證對該被驗證終端進行身分驗證。
- 如請求項10之伺服器,該可信證書頒發模組具體用於:在給該被驗證終端發放帶有可信標識的數位憑證時,設定該帶有可信標識的數位憑證的有效期。
- 如請求項10之伺服器,該可信證書頒發模組具體用於:將該可信標識設置在該數位憑證的擴展域中。
- 一種用於身分驗證資料處理的驗證終端,包括:第一數位憑證獲取模組,用於獲取被驗證終端的數位憑證;證書驗證模組,用於驗證該被驗證終端的數位憑證;以及可信標識驗證模組,用於在該被驗證終端的數位身分驗證通過時,驗證該數位憑證上是否帶有可信標識,若有可信標識則確定該被驗證終端的身分合法,其中,該可信標識是由可信伺服器在驗證該被驗證終端的數位身分和可信狀態均通過後,在證書授權中心頒發給該被驗證終端的數位憑證中添加的。
- 一種用於身分驗證資料處理的被驗證終端,包括: 第一驗證請求接收模組,用於接收可信伺服器發送的數位身分驗證請求;遠端證明模組,用於接收該可信伺服器在數位身分驗證通過後發送的遠端證明請求,將度量值發送給該可信伺服器,以使得該可信伺服器將該度量值與該可信伺服器自身儲存的對應的基準值進行比對;可信證書接收模組,用於接收該可信伺服器確定該度量值與該基準值相同後發送的添加了可信標識的數位憑證,該數位憑證為證書授權中心頒發的;以及第一證書發送模組,用於接收驗證終端的身分驗證請求,將該帶有可信標識的數位憑證發送給該驗證終端,以使得該驗證終端根據該帶有可信標識的數位憑證進行身分驗證。
- 如請求項14之被驗證終端,該被驗證終端還包括動態記憶體和/或可信計算晶片;該帶有可信標識的數位憑證對應的私密金鑰儲存在動態記憶體中或可信計算晶片中,其中,當該私密金鑰儲存在該可信計算晶片中時,設置該帶有可信標識的數位憑證的存取權限,該存取權限為終端在可信狀態時才允許存取。
- 一種用於身分驗證資料處理的可信伺服器,包括:第二數位身分驗證模組,用於透過驗證被驗證終端的數位憑證驗證該被驗證終端的數位身分,該數位憑證由該 被驗證終端在證書授權中心申請獲得;以及基準值證書頒發模組,用於若該被驗證終端的數位身分驗證通過,則給該被驗證終端發放帶有該被驗證終端的基準值的數位憑證,以使得驗證終端根據帶有該基準值的數位憑證對該被驗證終端進行身分驗證,其中,該驗證終端根據帶有該基準值的數位憑證對該被驗證終端進行身分驗證的方法包括:該驗證終端對該被驗證終端的數位憑證進行驗證通過後,透過遠端證明技術獲取該被驗證終端的度量值,並將該度量值和該數位憑證中的基準值進行比對,驗證被驗證終端的可信狀態。
- 一種用於身分驗證資料處理的驗證終端,包括:第二數位憑證獲取模組,用於獲取帶有被驗證終端的基準值的數位憑證,其中,該基準值是由可信伺服器在驗證該被驗證終端的數位憑證合法後,在證書授權中心頒發給該被驗證終端的數位憑證中添加的;第三數位身分驗證模組,用於驗證該被驗證終端的數位憑證;度量值獲取模組,用於若該被驗證終端的數位憑證驗證通過,則透過遠端證明技術獲取該被驗證終端的度量值;以及第二可信狀態驗證模組,用於將該度量值與該數位憑證中基準值進行比對,確定該被驗證終端的可信狀態,完 成對該被驗證終端的身分驗證。
- 一種用於身分驗證資料處理的被驗證終端,包括:第二驗證請求接收模組,用於接收可信伺服器發送的數位身分驗證請求;基準證書接收模組,用於接收該可信伺服器在數位身分驗證通過後發送的添加了基準值的數位憑證,該數位憑證為證書授權中心頒發的;第二證書發送模組,用於接收驗證終端的身分驗證請求,將帶有基準值的數位憑證發送給該驗證終端,以使得該驗證終端驗證該數位憑證是否合法;以及度量值發送模組,用於接收該驗證終端在確定該數位憑證合法後發送的遠端證明請求,將度量值發送給該驗證終端,以使得該驗證終端根據該度量值和該數位憑證中的基準值進行身分驗證。
- 一種身分驗證資料處理設備,包括:至少一個處理器以及用於儲存處理器可執行指令的記憶體,該處理器執行該指令時實現如請求項1至9中任一項之方法。
- 一種身分驗證資料處理系統,包括:可信伺服器、至少一個被驗證終端、至少一個驗證終端,該可信伺服器中儲存有不同終端的基準值,該被驗證終端中設置有可信計算晶片,且該被驗證終端在證書授權中心申請有數位憑證; 該可信伺服器中包括至少一個處理器以及用於儲存處理器可執行指令的記憶體,該處理器執行該指令時實現如請求項1、2、3或7之方法;該被驗證終端包括至少一個處理器以及用於儲存處理器可執行指令的記憶體,該處理器執行該指令時實現如請求項5、6或9之方法;以及該驗證終端包括至少一個處理器以及用於儲存處理器可執行指令的記憶體,該處理器執行該指令時實現如請求項4或8之方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910670766.3A CN110401539B (zh) | 2019-07-24 | 2019-07-24 | 一种身份验证数据处理方法、服务器、终端及系统 |
CN201910670766.3 | 2019-07-24 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW202105208A TW202105208A (zh) | 2021-02-01 |
TWI731594B true TWI731594B (zh) | 2021-06-21 |
Family
ID=68325855
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW109105394A TWI731594B (zh) | 2019-07-24 | 2020-02-20 | 身分驗證資料處理方法、伺服器、終端及系統 |
Country Status (3)
Country | Link |
---|---|
CN (1) | CN110401539B (zh) |
TW (1) | TWI731594B (zh) |
WO (1) | WO2021012650A1 (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10944578B2 (en) | 2019-07-24 | 2021-03-09 | Advanced New Technologies Co., Ltd. | Identity verification |
CN110401539B (zh) * | 2019-07-24 | 2021-01-08 | 创新先进技术有限公司 | 一种身份验证数据处理方法、服务器、终端及系统 |
CN112787817B (zh) * | 2019-11-11 | 2024-07-09 | 华为技术有限公司 | 一种远程证明方法、装置,系统及计算机存储介质 |
CN112787988B (zh) * | 2019-11-11 | 2023-06-02 | 华为技术有限公司 | 远程证明方法、装置,系统及计算机存储介质 |
US11909882B2 (en) * | 2020-01-30 | 2024-02-20 | Dell Products L.P. | Systems and methods to cryptographically verify an identity of an information handling system |
US11604880B2 (en) | 2020-02-25 | 2023-03-14 | Dell Products L.P. | Systems and methods to cryptographically verify information handling system configuration |
CN118568777A (zh) * | 2024-07-30 | 2024-08-30 | 沃通电子认证服务有限公司 | 数字身份的隐私保护方法、装置、设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101241528A (zh) * | 2008-01-31 | 2008-08-13 | 武汉大学 | 终端接入可信pda的方法和接入系统 |
CN103856478A (zh) * | 2012-12-06 | 2014-06-11 | 阿里巴巴集团控股有限公司 | 一种可信网络的证书签发、认证方法及相应的设备 |
US20180279122A1 (en) * | 2015-09-25 | 2018-09-27 | Guangdong Oppo Mobile Telecommunications Corp. Ltd. | Terminal authentication method and device |
TW201929482A (zh) * | 2017-12-18 | 2019-07-16 | 香港商阿里巴巴集團服務有限公司 | 身份認證方法、系統及計算設備 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102594558B (zh) * | 2012-01-19 | 2014-08-06 | 东北大学 | 一种可信计算环境的匿名数字证书系统及验证方法 |
US9680644B2 (en) * | 2013-07-25 | 2017-06-13 | Technion Research And Development Foundation Limited | User authentication system and methods |
CN103701792B (zh) * | 2013-12-20 | 2017-06-30 | 中电长城网际系统应用有限公司 | 可信授权方法、系统、可信安全管理中心和服务器 |
CN104270376A (zh) * | 2014-10-13 | 2015-01-07 | 浪潮电子信息产业股份有限公司 | 一种平台完整性的证明方法 |
CN110401539B (zh) * | 2019-07-24 | 2021-01-08 | 创新先进技术有限公司 | 一种身份验证数据处理方法、服务器、终端及系统 |
-
2019
- 2019-07-24 CN CN201910670766.3A patent/CN110401539B/zh active Active
-
2020
- 2020-01-14 WO PCT/CN2020/071978 patent/WO2021012650A1/zh active Application Filing
- 2020-02-20 TW TW109105394A patent/TWI731594B/zh active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101241528A (zh) * | 2008-01-31 | 2008-08-13 | 武汉大学 | 终端接入可信pda的方法和接入系统 |
CN103856478A (zh) * | 2012-12-06 | 2014-06-11 | 阿里巴巴集团控股有限公司 | 一种可信网络的证书签发、认证方法及相应的设备 |
US20180279122A1 (en) * | 2015-09-25 | 2018-09-27 | Guangdong Oppo Mobile Telecommunications Corp. Ltd. | Terminal authentication method and device |
TW201929482A (zh) * | 2017-12-18 | 2019-07-16 | 香港商阿里巴巴集團服務有限公司 | 身份認證方法、系統及計算設備 |
Also Published As
Publication number | Publication date |
---|---|
CN110401539A (zh) | 2019-11-01 |
TW202105208A (zh) | 2021-02-01 |
WO2021012650A1 (zh) | 2021-01-28 |
CN110401539B (zh) | 2021-01-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI731594B (zh) | 身分驗證資料處理方法、伺服器、終端及系統 | |
CN110008686B (zh) | 跨区块链的数据处理方法、装置、客户端、区块链系统 | |
TWI537764B (zh) | 驗證資料中心內部執行之虛擬磁碟映像的地理位置的方法 | |
KR101106851B1 (ko) | 신뢰 검증 방법 및 신뢰 검증 시스템 | |
EP3195558B1 (en) | Efficient and reliable attestation | |
CN111164596A (zh) | 使用针对虚拟可信平台模块的证实的系统完整性 | |
US20150281225A1 (en) | Techniques to operate a service with machine generated authentication tokens | |
CN105718807B (zh) | 基于软tcm和可信软件栈的安卓系统及其可信认证系统与方法 | |
US9053305B2 (en) | System and method for generating one-time password for information handling resource | |
EP3014511A1 (en) | Process authentication and resource permissions | |
TW201241666A (en) | Client hardware authenticated transactions | |
US20200127850A1 (en) | Certifying a trusted platform module without privacy certification authority infrastructure | |
US20190342278A1 (en) | Password security | |
US20200153629A1 (en) | Trusted execution aware hardware debug and manageability | |
Lindemann | The evolution of authentication | |
Zhang et al. | Trusttokenf: A generic security framework for mobile two-factor authentication using trustzone | |
Nepal et al. | A mobile and portable trusted computing platform | |
US10944578B2 (en) | Identity verification | |
WO2024063903A1 (en) | Verifiable attribute maps | |
Angelogianni et al. | How many FIDO protocols are needed? Surveying the design, security and market perspectives | |
Fournaris et al. | From hardware security tokens to trusted computing and trusted systems | |
Akram et al. | An introduction to the trusted platform module and mobile trusted module | |
Basavala et al. | Mobile applications-vulnerability assessment through the static and dynamic analysis | |
WO2023159458A1 (en) | Device runtime update pre-authentication | |
Sander et al. | Exploration of Uninitialized Configuration Memory Space for Intrinsic Identification of Xilinx Virtex‐5 FPGA Devices |