WO2023155642A1 - 基于时间的一次性密码算法的身份认证 - Google Patents

基于时间的一次性密码算法的身份认证 Download PDF

Info

Publication number
WO2023155642A1
WO2023155642A1 PCT/CN2023/071290 CN2023071290W WO2023155642A1 WO 2023155642 A1 WO2023155642 A1 WO 2023155642A1 CN 2023071290 W CN2023071290 W CN 2023071290W WO 2023155642 A1 WO2023155642 A1 WO 2023155642A1
Authority
WO
WIPO (PCT)
Prior art keywords
key
signature
public
authentication
private key
Prior art date
Application number
PCT/CN2023/071290
Other languages
English (en)
French (fr)
Inventor
王振亚
Original Assignee
支付宝(杭州)信息技术有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 支付宝(杭州)信息技术有限公司 filed Critical 支付宝(杭州)信息技术有限公司
Publication of WO2023155642A1 publication Critical patent/WO2023155642A1/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Abstract

本说明书实施例提供了基于TOTP的身份认证的方法及装置。该方法包括:从 web端处得到二维码(201);从该二维码中读取开通TOTP 所需的密钥及第一签名,第一签名为认证服务端利用第一公私钥对中的第一私钥对密钥进行签名后得到的(203);使用预先获取的第一公私钥对中的第一公钥对第一签名进行签名验证(205);在第一签名验证通过后,基于密钥进行令牌 token 计算(207);向用户提供计算出的token(209)。

Description

基于时间的一次性密码算法的身份认证 技术领域
本说明书一个或多个实施例涉及网络信息技术,尤其涉及基于时间的一次性密码算法(TOTP,Time-based One-time Password algorithm)的身份认证。
背景技术
随着网络的快速发展,基于网络产生了各种各样的业务应用。用户只需要在终端设备中下载相应业务应用的应用客户端即应用程序(APP),通过应用客户端注册并登录,就可以享受相应的业务应用,比如,看电影或者购买商品等。
在业务应用的使用过程中,比如登录一个业务应用或者通过一个业务应用进行转账等,经常需要用户输入验证信息,从而验证用户身份的合法性。目前,用户输入的验证信息主要是用户名及密码,或者是通过短信接收到的验证码等,但是此种方式仍然需要用户手动输入一串信息,且输入密码的方式还需要用户记忆密码,因此,为用户的使用带来了不便。因此,需要一种用户操作更为简单的身份认证的方法。
发明内容
本说明书一个或多个实施例描述了身份认证方法和装置,能够简化用户的操作。
根据第一方面,提供了一种基于TOTP的身份认证的方法,包括:从web端处得到二维码;从该二维码中读取开通TOTP所需的密钥及第一签名,所述第一签名为认证服务端利用第一公私钥对中的第一私钥对所述密钥进行签名后得到的;使用预先获取的第一公私钥对中的第一公钥对第一签名进行签名验证;在第一签名验证通过后,基于所述密钥进行令牌token计算;向用户提供计算出的token。
其中,在所述第一签名验证通过后,并在执行所述基于所述密钥进行令牌token计算之前,进一步包括:利用第二公私钥对中的第二私钥对所在的终端设备的设备信息进行签名,得到第二签名;将第二签名携带在开通确认请求中发送给认证服务端;如果接收到认证服务端发来的验证通过消息,则继续执行所述基于所述密钥进行令牌token计算的步骤。
其中,由所在终端设备的TEE中的第一TA应用执行所述使用预先获取的第一公私钥对中的第一公钥对第一签名进行签名验证的步骤;和/或,由所在终端设备的TEE中的第二TA应用执行所述基于所述密钥进行令牌token计算的步骤。
根据第二方面,提供了基于TOTP的身份认证的方法,包括:向应用服务端发送用于请求TOTP开通所需密钥的密钥请求;接收应用服务端发来的密钥及第一签名;其中,所述第一签名为认证服务端利用第一公私钥对中的第一私钥对所述密钥进行签名后得到的;利用接收到的密钥及第一签名生成二维码,并将该二维码发送给业务应用端;接收用户输入的token,并将该token携带在身份验证请求中发送给应用服务端;接收应用服务端发来的身份验证结果。
根据第三方面,提供了基于TOTP的身份认证的方法,包括:接收web端发来的用于请求TOTP开通所需密钥的密钥请求;生成密钥;将该密钥发送给认证服务端;接收认证服务端发来的第一签名,所述第一签名为认证服务端利用第一公私钥对中的第一私钥对所述密钥进行签名后得到的;将密钥及第一签名发送给web端;接收web端发来的携带token的身份验证请求;基于身份验证请求验证用户身份的合法性,将身份验证 结果发送给web端。
其中,在所述将密钥及第一签名发送给web端之后,并在所述接收web端发来的携带token的身份验证请求之前,进一步包括:在接收到认证服务端发来的开通确认成功通知之后,保存生成的密钥;所述基于身份验证请求验证用户身份的合法性,包括:基于保存的密钥进行token计算;判断计算出的token与身份验证请求中携带的token是否一致,如果一致,则身份验证合法,否则身份验证不合法。
根据第四方面,提供了基于TOTP的身份认证的方法,包括:接收应用服务端发来的密钥;利用第一公私钥对中的第一私钥对所述密钥进行签名,得到第一签名;将所述第一签名发送给应用服务端。
其中,在所述将第一签名发送给应用服务端之后,进一步包括:接收业务应用端发来的携带第二签名的开通确认请求;其中,所述第二签名为:业务应用端利用第二公私钥对中的第二私钥对业务应用端所在的终端设备的设备信息进行签名后得到的;利用预先获取的第二公私钥对中的第二公钥对第二签名进行签名验证;在第二签名验证通过后,向业务应用端发送验证通过消息。
其中,在所述利用预先获取的第二公私钥对中的第二公钥对第二签名进行签名验证之前,进一步包括:根据接收到的开通确认请求得到业务应用端所在的终端设备的设备型号;基于得到的设备型号判断终端设备的安全水平是否符合开通要求,如果是,则基于得到的设备型号查询所述第二公私钥对中的第二公钥,并利用该第二公钥执行所述对第二签名进行签名验证的步骤。
根据第五方面,提供了基于TOTP的身份认证的装置,其中包括:扫描模块,配置为从web端处得到二维码;读取模块,配置为从该二维码中读取开通TOTP所需的密钥及第一签名;其中,所述第一签名为认证服务端利用第一公私钥对中的第一私钥对所述密钥进行签名后得到的;第一签名验证模块,配置为使用预先获取的第一公私钥对中的第一公钥对第一签名进行签名验证;令牌计算模块,配置为在第一签名验证通过后,基于所述密钥进行令牌token计算;向用户提供计算出的token。
根据第六方面,提供了基于TOTP的身份认证的装置,其中包括:TOTP开通处理模块,配置为向应用服务端发送用于请求TOTP开通所需密钥的密钥请求;二维码生成模块,配置为接收应用服务端发来的密钥及第一签名;其中,所述第一签名为认证服务端利用第一公私钥对中的第一私钥对所述密钥进行签名后得到的;利用接收到的密钥及第一签名生成二维码,并将该二维码发送给业务应用端;TOTP验证处理模块,配置为接收用户输入的token,并将该token携带在身份验证请求中发送给应用服务端;接收应用服务端发来的身份验证结果。
根据第七方面,提供了基于TOTP的身份认证的装置,其中包括:密钥生成模块,配置为接收web端发来的用于请求TOTP开通所需密钥的密钥请求,生成密钥;加签请求模块,配置为将该密钥发送给认证服务端;密钥下发模块,接收认证服务端发来的第一签名;其中,所述第一签名为认证服务端利用第一公私钥对中的第一私钥对所述密钥进行签名后得到的;将密钥及第一签名发送给web端;验证执行模块,配置为接收web端发来的携带token的身份验证请求;基于身份验证请求验证用户身份的合法性,将身份验证结果发送给web端。
根据第八方面,提供了基于TOTP的身份认证的装置,其中包括:接收模块,配置为接收应用服务端发来的密钥;第一签名生成模块,配置为利用第一公私钥对中的第一私钥对所述密钥进行签名,得到第一签名;发送模块,配置为将所述第一签名发送给应用服务端。
根据第九方面,提供了一种计算设备,包括存储器和处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现本说明书任一实施例所述的方法。
本说明书实施例提供的基于TOTP的身份认证的方法及装置,应用服务端不是直接将生成的密钥发送给web端,而是首先触发认证服务端对密钥进行加签,然后将密钥及加签后的第一签名一起发送给web端,从而使得后续过程中web端提供给业务应用端的二维码中能够同时包括认证服务端生成的第一签名的信息,进而使得业务应用端能够首先利用第一公钥对第一签名进行签名验证,如果验证通过,才能确定读取到的密钥可安全使用,如果验证不通过,则确定读取到的密钥不可用比如为攻击者伪造的密钥等,因此保证了业务应用端使用的是安全的密钥,保证了业务应用端在基于TOTP的身份认证过程中的安全性。
附图说明
为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本说明书的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本说明书一个实施例所应用的系统架构的示意图。
图2是本说明书一个实施例在业务应用端中实现基于TOTP的身份认证方法的流程图。
图3是本说明书一个实施例在web端中实现基于TOTP的身份认证方法的流程图。
图4是本说明书一个实施例在应用服务端中实现基于TOTP的身份认证方法的流程图。
图5是本说明书一个实施例在认证服务端中实现基于TOTP的身份认证方法的流程图。
图6是本说明书一个实施例中各端配合实现基于TOTP的身份认证方法的流程图。
图7是本说明书一个实施例中设置在业务应用端中的基于TOTP的身份认证装置的结构示意图。
图8是本说明书一个实施例中设置在web端中的基于TOTP的身份认证装置的结构示意图。
图9是本说明书一个实施例中设置在应用服务端中的基于TOTP的身份认证装置的结构示意图。
图10是本说明书一个实施例中设置在认证服务端中的基于TOTP的身份认证装置的结构示意图。
具体实施方式
如前所述,现有技术在进行用户身份认证时,用户需要向业务应用输入诸如密码或者短信验证码等一串信息,且输入密码的方式还需要用户记忆密码,因此,为用户的使用带来了不便。
为了简化用户操作,本说明书实施例提出使用基于时间的一次性密码算法(TOTP,Time-based One-time Password algorithm)的身份认证方式。在该方式中,用户只需要扫 描二维码而无需手动输入一串信息,即可实现身份认证,从而大大简化了用户操作。但是使用二维码可能会产生安全性降低的问题,因此,本说明书实施例进一步提出了基于TOTP如何实现安全的身份认证的处理过程。
下面结合附图,对本说明书提供的方案进行描述。
为了方便对本说明书的理解,首先对本说明书所应用的系统架构进行描述。如图1中所示,该系统架构主要包括安装在终端设备中的支持TOTP的业务应用端、web端、支持TOTP的应用服务端、认证服务端。
其中,web端可以被设置在一个服务器中。或者,web端可以分为前后端,前端被设置在终端设备中,后端被设置在一个服务器中。支持TOTP的应用服务端设置在向业务应用提供对应业务服务的服务器中。认证服务端可以被设置在IFAA(Internet finance Authentication alliance,互联网金融身份认证联盟)服务器中,其中,IFAA用于制定生物认证统一协议,解决产业链协同问题,实现为公众提供更便捷安全的生物识别服务。可以理解,支持TOTP的应用服务端及认证服务端可以同时被设置在一个服务器中,也可以被分别设置在不同的服务器中。
本说明书实施例所涉及的各端设备之间可以通过网络交互。其中,网络可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等。
因为本说明书实施例提供的身份认证的实现方法涉及到图1中所示的4种网络节点,因此,下面通过不同的实施例分别说明安装在终端设备中的业务应用端、web端、支持TOTP的应用服务端、认证服务端在身份认证过程中的处理。
首先,说明安装在终端设备中的业务应用端在身份认证过程中的处理。
图2是本说明书一个实施例在业务应用端中实现基于TOTP的身份认证方法的流程图。该方法的执行主体为安装在终端设备中的业务应用端。可以理解,该方法也可以通过任何具有计算、处理能力的装置、设备、平台、设备集群来执行。参见图2,该方法包括如下步骤。
步骤201:业务应用端从web端处得到二维码。
步骤203:业务应用端从该二维码中读取开通TOTP所需的密钥及第一签名;其中,所述第一签名为认证服务端利用第一公私钥对中的第一私钥对所述密钥进行签名后得到的。
步骤205:业务应用端使用预先获取的第一公私钥对中的第一公钥对第一签名进行签名验证,在第一签名验证通过后执行步骤207。
步骤207:业务应用端基于所述密钥进行令牌token计算。
步骤209:业务应用端向用户提供计算出的token。
由以上描述可以看出,在基于TOTP的身份认证的过程中,业务应用端可以从二维码中读取到密钥及第一签名,业务应用端不是直接使用从二维码中读取的密钥进行token计算,而是首先利用预先获取的第一公钥对第一签名进行签名验证,如果验证通过,才能确定读取到的密钥可安全使用,如果验证不通过,则确定读取到的密钥不可用比如为攻击者伪造的密钥等,因此保证了业务应用端使用的是安全的密钥,保证了业务应用端在基于TOTP的身份认证过程中的安全性。
下面结合具体实施例及图1中其他网络节点的配合处理,来说明上述图2中的每一个步骤。
首先对于步骤201业务应用端从web端处得到二维码。
业务应用端可以是终端设备中加载的任意一种类型的业务应用,比如支付宝APP、一款游戏的APP或者网银APP等。
参见图1,在基于TOTP的身份认证的过程中,首先,web端受到触发,web端会向应用服务端发送用于请求TOTP开通所需密钥的密钥请求;应用服务端接收到密钥请求之后,会生成密钥,并将该密钥发送给认证服务端;认证服务端会利用第一公私钥对中的第一私钥对密钥进行签名,得到第一签名,并将该第一签名发送给应用服务端;应用服务端将密钥及第一签名发送给web端;web端利用接收到的密钥及第一签名生成二维码,并将该二维码发送给业务应用端。至此,业务应用端则可以执行本步骤201的处理,即业务应用端从web端处得到二维码。
接下来对于步骤203:业务应用端从该二维码中读取开通TOTP所需的密钥及第一签名。
如前所述,第一签名是认证服务端利用第一公私钥对中的第一私钥对应用服务端生成的密钥进行签名后得到的。
在本说明书的一个实施例中,第一公私钥对用于在从服务端到终端设备的方向上进行安全性验证。第一公私钥对中的第一公钥可以是在业务应用端所在的终端设备出厂时写入该终端设备中的,无法修改,并且,为了进一步提高安全性,第一公钥可以被保存在终端设备的TEE(可信执行环境)中。第一公私钥对中的第一私钥是保存在认证服务端内部的,无法被获取。可见,即使通信协议被劫持后,因为无法得到第一私钥,因此无法仿冒服务端,提高了安全性。
接下来对于步骤205:业务应用端使用预先获取的第一公私钥对中的第一公钥对第一签名进行签名验证,在第一签名验证通过后执行步骤207。
可以是由业务应用端所在终端设备的TEE中的可信应用(TA),利用保存在TEE中的第一公钥在TEE中对第一签名进行签名验证。此种将第一公钥保存在TEE中,由TEE中的TA应用在TEE中进行签名验证的做法,大大提高了身份认证过程的安全性。
在本步骤205中,在对第一签名验证通过后,业务应用端则可以确定从二维码中读取到的密钥是安全的,此时再保存该密钥。如果第一签名验证未通过,则结束当前基于TOTP的身份认证的流程。
在第一签名验证通过后,可以确定从服务端至终端设备的方向上,没有发生对服务端的攻击,业务应用端收到的密钥是安全的,可以用于后续计算。但是为了进一步提高安全性,在本说明书一个实施例中,还可以从终端设备至服务端的方向上进行另一次签名验证,从而确定终端设备的安全性。这样,在步骤205之后,并在执行步骤207之前,进一步包括如下步骤。
步骤2061:业务应用端利用第二公私钥对中的第二私钥对所在的终端设备的设备信息进行签名,得到第二签名。
步骤2063:业务应用端将第二签名携带在开通确认请求中发送给认证服务端。
步骤2065:业务应用端判断是否接收到认证服务端发来的验证通过消息,如果接收到,则继续执行步骤207,否则结束当前基于TOTP的身份认证的流程。
在上述步骤2061至步骤2065中,第二公私钥对用于在从终端设备到服务端的方向上进行安全性验证。第二公私钥对中的第二公钥可以是在认证服务端所在设备出厂时写入该设备中的,无法修改。第二公私钥对中的第二私钥可以是被保存在终端设备的TEE中。可见,即使终端设备被劫持后,因为无法得到第二私钥,因此无法仿冒终端设备,进一步提高了安全性。
可以是由业务应用端所在终端设备的TEE中的TA执行步骤2061,即该TA利用保存在TEE中的第二私钥在TEE中对所在的终端设备的设备信息进行签名,得到第二签名。此种将第二私钥保存在TEE中,由TEE中的TA应用在TEE中生成第二签名的做法,大大提高了身份认证过程的安全性。
在上述步骤2061中,使用的设备信息可以是设备型号。
在执行完上述步骤2063之后,认证服务端则收到了业务应用端发来的携带第二签名的开通确认请求,认证服务端利用上述第二公钥对第二签名进行签名验证;在第二签名验证通过后,认证服务端向业务应用端发送验证通过消息,在第二签名验证未通过时结束当前基于TOTP的身份认证的流程。
接下来在步骤207中,业务应用端基于保存的密钥进行令牌(token)计算。
为了进一步提高安全性,可以由业务应用端所在终端设备的TEE中的TA应用执行本步骤207中的基于密钥进行令牌token计算。
接下来在步骤209中,业务应用端向用户提供计算出的token。
在步骤209之后,用户得到了token,用户会向web端输入该token,web端会将用户输入的token携带在身份验证请求中发送给应用服务端;应用服务端基于保存的密钥进行token计算,判断计算出的token与接收到的身份验证请求中携带的token是否一致,如果一致,则身份验证合法,将身份验证合格结果发送给web端,如果不一致,则身份验证不合法,将身份验证不合格结果发送给web端,使得web端得到了身份验证结果,从而进行后续对应的处理,比如继续进行业务应用或者阻止后续业务应用。
至此,在业务应用端执行的基于TOTP的身份认证过程完成。
接下来,说明web端在身份认证过程中的处理。
图3是本说明书一个实施例在web端中实现基于TOTP的身份认证方法的流程图。该方法的执行主体为web端。可以理解,该方法也可以通过任何具有计算、处理能力的装置、设备、平台、设备集群来执行。参见图3,该方法包括如下步骤。
步骤301:web端向应用服务端发送用于请求TOTP开通所需密钥的密钥请求。
步骤303:web端接收应用服务端发来的密钥及第一签名;其中,所述第一签名为认证服务端利用第一公私钥对中的第一私钥对所述密钥进行签名后得到的。
步骤305:web端利用接收到的密钥及第一签名生成二维码,并将该二维码发送给业务应用端。
步骤307:web端接收用户输入的token,并将该token携带在身份验证请求中发送给应用服务端。
步骤309:web端接收应用服务端发来的身份验证结果。
由以上描述可以看出,在基于TOTP的身份认证的过程中,web端利用接收到的密钥及第一签名生成二维码,也就是说,在二维码中不仅有密钥的信息,还有认证服务端生成的第一签名的信息,从而使得后续过程中业务应用端能够首先利用第一公钥对第一签名进行签名验证,如果验证通过,才能确定读取到的密钥可安全使用,如果验证不通过,则确定读取到的密钥不可用比如为攻击者伪造的密钥等,因此保证了业务应用端使用的是安全的密钥,保证了业务应用端在基于TOTP的身份认证过程中的安全性。
上述图3中各个步骤的说明可以参见上述对图2中各个步骤的对应说明。
接下来,说明应用服务端在身份认证过程中的处理。
图4是本说明书一个实施例在应用服务端中实现基于TOTP的身份认证方法的流程图。该方法的执行主体为应用服务端。可以理解,该方法也可以通过任何具有计算、处理能力的装置、设备、平台、设备集群来执行。参见图4,该方法包括如下步骤。
步骤401:应用服务端接收web端发来的用于请求TOTP开通所需密钥的密钥请求。
步骤403:应用服务端生成密钥。
步骤405:应用服务端将该密钥发送给认证服务端。
步骤407:应用服务端接收认证服务端发来的第一签名;其中,所述第一签名为认证服务端利用第一公私钥对中的第一私钥对所述密钥进行签名后得到的;步骤409:应用服务端将密钥及第一签名发送给web端。
步骤411:应用服务端接收web端发来的携带token的身份验证请求。
步骤413:应用服务端基于身份验证请求验证用户身份的合法性,将身份验证结果发送给web端。
由以上描述可以看出,在基于TOTP的身份认证的过程中,应用服务端不是直接将生成的密钥发送给web端,而是首先触发认证服务端对密钥进行加签,然后将密钥及加签后的第一签名一起发送给web端,从而使得后续过程中web端提供给业务应用端的二维码中能够同时包括认证服务端生成的第一签名的信息,进而使得业务应用端能够首先利用第一公钥对第一签名进行签名验证,如果验证通过,才能确定读取到的密钥可安全使用,如果验证不通过,则确定读取到的密钥不可用比如为攻击者伪造的密钥等,因此保证了业务应用端使用的是安全的密钥,保证了业务应用端在基于TOTP的身份认证过程中的安全性。
上述图4中各个步骤的说明可以参见上述对图2中各个步骤的对应说明。
如前所述,应用服务端与认证服务端在逻辑上是分离的。在实际中,应用服务端与认证服务端可以分别被设置在不同的设备中,也可以被设置在同一个设备中。
如果业务应用端执行了步骤2061、步骤2063及步骤2065的相关处理,那么,认证服务端会进行对第二签名的验证,验证通过后,会向应用服务端发送开通确认成功通知,这样,在上述图4所示过程中,在步骤409之后,并在步骤411之前,进一步包括:应用服务端在接收到认证服务端发来的开通确认成功通知之后,可以确认自己生成的密钥可用,才保存生成的该密钥。这样,步骤411的过程则可以包括:应用服务端基于保存的密钥进行token计算;应用服务端判断计算出的token与身份验证请求中携带的token是否一致,如果一致,则身份验证合法,否则身份验证不合法。
接下来,说明认证服务端在身份认证过程中的处理。
图5是本说明书一个实施例在认证服务端中实现基于TOTP的身份认证方法的流程图。该方法的执行主体为认证服务端。可以理解,该方法也可以通过任何具有计算、处理能力的装置、设备、平台、设备集群来执行。参见图5,该方法包括如下步骤。
步骤501:认证服务端接收应用服务端发来的密钥。
步骤503:认证服务端利用第一公私钥对中的第一私钥对所述密钥进行签名,得到第一签名。
步骤505:认证服务端将所述第一签名发送给应用服务端。
由以上描述可以看出,在基于TOTP的身份认证的过程中,认证服务端会利用应用服务端的密钥生成第一签名,从而使得后续过程中web端提供给业务应用端的二维码中 能够同时包括认证服务端生成的第一签名的信息,进而使得业务应用端能够首先利用第一公钥对第一签名进行签名验证,如果验证通过,才能确定读取到的密钥可安全使用,如果验证不通过,则确定读取到的密钥不可用比如为攻击者伪造的密钥等,因此保证了业务应用端使用的是安全的密钥,保证了业务应用端在基于TOTP的身份认证过程中的安全性。
上述图5中各个步骤的说明可以参见上述对图2中各个步骤的对应说明。
在本说明书一个实施例中,可以在从终端设备至服务端的方向上进行另一次的签名验证。此时,在步骤505之后,可以进一步包括步骤507:认证服务端接收业务应用端发来的携带第二签名的开通确认请求;其中,所述第二签名为:业务应用端利用第二公私钥对中的第二私钥对业务应用端所在的终端设备的设备信息进行签名后得到的。
步骤509:认证服务端利用预先获取的第二公私钥对中的第二公钥对第二签名进行签名验证。
步骤511:认证服务端在第二签名验证通过后,向业务应用端发送验证通过消息。
在本说明书一个实施例中,在步骤507之后,并在步骤509之前,可以进一步包括:步骤5081:认证服务端根据接收到的开通确认请求得到业务应用端所在的终端设备的设备型号;步骤5083:认证服务端基于得到的设备型号判断终端设备的安全水平是否符合开通要求,如果是,执行步骤5085;否则,结束当前基于TOTP的身份认证方法的流程。
认证服务端可以保存一个黑名单,其中包括安全水平较低的设备型号,这样,本步骤5083中,认证服务端可以在黑名单中查找得到的设备型号,如果能查找到,则认为终端设备的安全水平不符合开通要求,如果不能查找到,则认为终端设备的安全水平符合开通要求。
步骤5085:认证服务端基于得到的设备型号查询第二公私钥对中的第二公钥,执行步骤509。
下面结合图1所示的4个网络节点的配合处理,来说明基于TOTP的身份认证方法。参见图1、图6,该方法包括如下步骤。
步骤601:web端向应用服务端发送用于请求TOTP开通所需密钥的密钥请求。
步骤602:应用服务端生成密钥,记为secretKey。
步骤603:应用服务端将该secretKey发送给认证服务端。
步骤604:认证服务端利用第一公私钥对中的第一私钥对secretKey进行签名,得到第一签名,将第一签名发送给应用服务端。
步骤605:应用服务端将生成的secretKey以及认证服务端发来的第一签名发送给web端。
步骤606:web端利用接收到的secretKey及第一签名生成二维码,并将该二维码发送给业务应用端。
步骤607:业务应用端扫描二维码。
步骤608:业务应用端从该二维码中读取secretKey及第一签名。
步骤609:业务应用端使用TEE中的TA应用,利用第一公私钥对中的第一公钥对第一签名进行签名验证,在第一签名验证通过后保存secretKey,然后执行步骤610。
步骤610:业务应用端使用第二公私钥对中的第二私钥对secretKey及所在的终端 设备的设备型号进行签名,得到第二签名。
步骤611:业务应用端将第二签名携带在开通确认请求中发送给认证服务端。
步骤612:认证服务端根据接收到的开通确认请求得到业务应用端所在的终端设备的设备型号,基于得到的设备型号判断终端设备的安全水平是否符合开通要求,如果是,执行步骤613;否则,结束当前基于TOTP的身份认证方法的流程。
步骤613:认证服务端基于得到的设备型号查询第二公私钥对中的第二公钥,利用第二公钥对开通确认请求中携带的第二签名进行签名验证,如果第二签名验证通过,则执行步骤614,否则,结束当前基于TOTP的身份认证方法的流程。
步骤614:认证服务端将开通确认成功通知发送给应用服务端。
步骤615:应用服务端保存自己之前生成的secretKey。
步骤616:应用服务端将开通确认成功响应发送给认证服务端。
步骤617:认证服务端将验证通过消息发送给业务应用端。
步骤618:业务应用端利用TEE中的TA应用,基于secretKey进行token计算,向用户提供计算出的token。
步骤619:用户向web端输入token,进行身份验证。
步骤620:web端将用户输入的token携带在身份验证请求中发送给应用服务端。
步骤621:应用服务端基于自己保存的secretKey进行token计算,判断计算出的token与身份验证请求中携带的token是否一致,如果一致,则身份验证合法,否则身份验证不合法。
步骤622:应用服务端将身份验证结果发送给web端。
在本说明书的一个实施例中,提供了一种基于TOTP的身份认证的装置,该装置设置于业务应用端,可以位于终端设备中,参见图7,该装置包括:扫描模块701,配置为从web端处得到二维码;读取模块702,配置为从该二维码中读取开通TOTP所需的密钥及第一签名;其中,所述第一签名为认证服务端利用第一公私钥对中的第一私钥对所述密钥进行签名后得到的;第一签名验证模块703,配置为使用预先获取的第一公私钥对中的第一公钥对第一签名进行签名验证;令牌计算模块704,配置为在第一签名验证通过后,基于所述密钥进行令牌token计算;向用户提供计算出的token。
在图7所示的设置于业务应用端的装置中,进一步包括第二签名生成模块(图7中未示出),配置为利用第二公私钥对中的第二私钥对所在的终端设备的设备信息进行签名,得到第二签名;将第二签名携带在开通确认请求中发送给认证服务端;则,令牌计算模块704,配置为如果接收到认证服务端发来的验证通过消息,则执行基于所述密钥进行令牌token计算。
在图7所示的设置于业务应用端的装置中,第一签名验证模块703包括所在终端设备的TEE中的第一TA应用,由该TA应用执行使用预先获取的第一公私钥对中的第一公钥对第一签名进行签名验证。
在图7所示的设置于业务应用端的装置中,令牌计算模块704包括所在终端设备的TEE中的第二TA应用,由该第二TA应用执行基于密钥进行令牌token计算。
在本说明书的一个实施例中,提供了一种基于TOTP的身份认证的装置,该装置设置于web端,参见图8,该装置包括:TOTP开通处理模块801,配置为向应用服务端发送用于请求TOTP开通所需密钥的密钥请求;二维码生成模块802,配置为接收应用 服务端发来的密钥及第一签名;其中,所述第一签名为认证服务端利用第一公私钥对中的第一私钥对所述密钥进行签名后得到的;利用接收到的密钥及第一签名生成二维码,并将该二维码发送给业务应用端;TOTP验证处理模块803,配置为接收用户输入的token,并将该token携带在身份验证请求中发送给应用服务端;接收应用服务端发来的身份验证结果。
在本说明书的一个实施例中,提供了一种基于TOTP的身份认证的装置,该装置设置于应用服务端,参见图9,该装置包括:密钥生成模块901,配置为接收web端发来的用于请求TOTP开通所需密钥的密钥请求,生成密钥;加签请求模块902,配置为将该密钥发送给认证服务端;密钥下发模块903,接收认证服务端发来的第一签名;其中,所述第一签名为认证服务端利用第一公私钥对中的第一私钥对所述密钥进行签名后得到的;将密钥及第一签名发送给web端;验证执行模块904,配置为接收web端发来的携带token的身份验证请求;基于身份验证请求验证用户身份的合法性,将身份验证结果发送给web端。
在本说明书装置的一个实施例中,密钥生成模块901被配置为在接收到认证服务端发来的开通确认成功通知之后,保存生成的密钥;验证执行模块904被配置为执行:基于保存的密钥进行token计算;判断计算出的token与身份验证请求中携带的token是否一致,如果一致,则身份验证合法,否则身份验证不合法。
在本说明书的一个实施例中,提供了一种基于TOTP的身份认证的装置,该装置设置于认证服务端,参见图10,该装置包括:接收模块1001,配置为接收应用服务端发来的密钥;第一签名生成模块1002,配置为利用第一公私钥对中的第一私钥对所述密钥进行签名,得到第一签名;发送模块1003,配置为将所述第一签名发送给应用服务端。
在本说明书的一个实施例中,设置于认证服务端的装置中进一步包括:第二签名验证模块(图10中未示出),配置为执行:接收业务应用端发来的携带第二签名的开通确认请求;其中,所述第二签名为:业务应用端利用第二公私钥对中的第二私钥对业务应用端所在的终端设备的设备信息进行签名后得到的;利用预先获取的第二公私钥对中的第二公钥对第二签名进行签名验证;以及在第二签名验证通过后,向业务应用端发送验证通过消息。
在本说明书的一个实施例中,设置于认证服务端的装置中进一步包括:安全性验证模块(图10中未示出),配置为执行:根据接收到的开通确认请求得到业务应用端所在的终端设备的设备型号;基于得到的设备型号判断终端设备的安全水平是否符合开通要求,如果是,则基于得到的设备型号查询所述第二公私钥对中的第二公钥。
本说明书一个实施例提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行说明书中任一个实施例中的方法。
本说明书一个实施例提供了一种计算设备,包括存储器和处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现执行说明书中任一个实施例中的方法。
可以理解的是,本说明书实施例示意的结构并不构成对本说明书实施例的装置的具体限定。在说明书的另一些实施例中,上述装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
上述装置、系统内的各模块之间的信息交互、执行过程等内容,由于与本说明书方法实施例基于同一构思,具体内容可参见本说明书方法实施例中的叙述,此处不再赘述。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的功能可以用硬件、软件、挂件或它们的任意组合来实现。当使用软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的技术方案的基础之上,所做的任何修改、等同替换、改进等,均应包括在本发明的保护范围之内。

Claims (14)

  1. 基于TOTP的身份认证的方法,包括:
    从web端处得到二维码;
    从该二维码中读取开通TOTP所需的密钥及第一签名;其中,所述第一签名为认证服务端利用第一公私钥对中的第一私钥对所述密钥进行签名后得到的;
    使用预先获取的第一公私钥对中的第一公钥对第一签名进行签名验证;
    在第一签名验证通过后,基于所述密钥进行令牌token计算;
    向用户提供计算出的token。
  2. 根据权利要求1所述的方法,其中,在所述第一签名验证通过后,并在执行所述基于所述密钥进行令牌token计算之前,进一步包括:
    利用第二公私钥对中的第二私钥对所在的终端设备的设备信息进行签名,得到第二签名;
    将第二签名携带在开通确认请求中发送给认证服务端;
    如果接收到认证服务端发来的验证通过消息,则继续执行所述基于所述密钥进行令牌token计算的步骤。
  3. 根据权利要求1或2所述的方法,其中,
    由所在终端设备的TEE中的第一TA应用执行所述使用预先获取的第一公私钥对中的第一公钥对第一签名进行签名验证的步骤;
    和/或,
    由所在终端设备的TEE中的第二TA应用执行所述基于所述密钥进行令牌token计算的步骤。
  4. 基于TOTP的身份认证的方法,包括:
    向应用服务端发送用于请求TOTP开通所需密钥的密钥请求;
    接收应用服务端发来的密钥及第一签名;其中,所述第一签名为认证服务端利用第一公私钥对中的第一私钥对所述密钥进行签名后得到的;
    利用接收到的密钥及第一签名生成二维码,并将该二维码发送给业务应用端;
    接收用户输入的token,并将该token携带在身份验证请求中发送给应用服务端;
    接收应用服务端发来的身份验证结果。
  5. 基于TOTP的身份认证的方法,包括:
    接收web端发来的用于请求TOTP开通所需密钥的密钥请求;
    生成密钥;
    将该密钥发送给认证服务端;
    接收认证服务端发来的第一签名;其中,所述第一签名为认证服务端利用第一公私钥对中的第一私钥对所述密钥进行签名后得到的;
    将密钥及第一签名发送给web端;
    接收web端发来的携带token的身份验证请求;
    基于身份验证请求验证用户身份的合法性,将身份验证结果发送给web端。
  6. 根据权利要求5所述的方法,其中,在所述将密钥及第一签名发送给web端之后,并在所述接收web端发来的携带token的身份验证请求之前,进一步包括:在接收到认证服务端发来的开通确认成功通知之后,保存生成的密钥;
    所述基于身份验证请求验证用户身份的合法性,包括:
    基于保存的密钥进行token计算;
    判断计算出的token与身份验证请求中携带的token是否一致,如果一致,则身份验证合法,否则身份验证不合法。
  7. 基于TOTP的身份认证的方法,包括:
    接收应用服务端发来的密钥;
    利用第一公私钥对中的第一私钥对所述密钥进行签名,得到第一签名;
    将所述第一签名发送给应用服务端。
  8. 根据权利要求7所述的方法,其中,在所述将第一签名发送给应用服务端之后,进一步包括:
    接收业务应用端发来的携带第二签名的开通确认请求;其中,所述第二签名为:业务应用端利用第二公私钥对中的第二私钥对业务应用端所在的终端设备的设备信息进行签名后得到的;
    利用预先获取的第二公私钥对中的第二公钥对第二签名进行签名验证;
    在第二签名验证通过后,向业务应用端发送验证通过消息。
  9. 根据权利要求8所述的方法,其中,在所述利用预先获取的第二公私钥对中的第二公钥对第二签名进行签名验证之前,进一步包括:
    根据接收到的开通确认请求得到业务应用端所在的终端设备的设备型号;
    基于得到的设备型号判断终端设备的安全水平是否符合开通要求,如果是,则基于得到的设备型号查询所述第二公私钥对中的第二公钥,并利用该第二公钥执行所述对第二签名进行签名验证的步骤。
  10. 基于TOTP的身份认证的装置,其中包括:
    扫描模块,配置为从web端处得到二维码;
    读取模块,配置为从该二维码中读取开通TOTP所需的密钥及第一签名;其中,所述第一签名为认证服务端利用第一公私钥对中的第一私钥对所述密钥进行签名后得到的;
    第一签名验证模块,配置为使用预先获取的第一公私钥对中的第一公钥对第一签名进行签名验证;
    令牌计算模块,配置为在第一签名验证通过后,基于所述密钥进行令牌token计算;向用户提供计算出的token。
  11. 基于TOTP的身份认证的装置,其中包括:
    TOTP开通处理模块,配置为向应用服务端发送用于请求TOTP开通所需密钥的密钥请求;
    二维码生成模块,配置为接收应用服务端发来的密钥及第一签名;其中,所述第一签名为认证服务端利用第一公私钥对中的第一私钥对所述密钥进行签名后得到的;利用接收到的密钥及第一签名生成二维码,并将该二维码发送给业务应用端;
    TOTP验证处理模块,配置为接收用户输入的token,并将该token携带在身份验证请求中发送给应用服务端;接收应用服务端发来的身份验证结果。
  12. 基于TOTP的身份认证的装置,其中包括:
    密钥生成模块,配置为接收web端发来的用于请求TOTP开通所需密钥的密钥请求,生成密钥;
    加签请求模块,配置为将该密钥发送给认证服务端;
    密钥下发模块,接收认证服务端发来的第一签名;其中,所述第一签名为认证服务端利用第一公私钥对中的第一私钥对所述密钥进行签名后得到的;将密钥及第一签名发送给web端;
    验证执行模块,配置为接收web端发来的携带token的身份验证请求;基于身份验证请求验证用户身份的合法性,将身份验证结果发送给web端。
  13. 基于TOTP的身份认证的装置,其中包括:
    接收模块,配置为接收应用服务端发来的密钥;
    第一签名生成模块,配置为利用第一公私钥对中的第一私钥对所述密钥进行签名,得到第一签名;
    发送模块,配置为将所述第一签名发送给应用服务端。
  14. 一种计算设备,包括存储器和处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现权利要求1至9中任一项所述的方法。
PCT/CN2023/071290 2022-02-18 2023-01-09 基于时间的一次性密码算法的身份认证 WO2023155642A1 (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN202210150943.7A CN114679276B (zh) 2022-02-18 2022-02-18 基于时间的一次性密码算法的身份认证方法和装置
CN202210150943.7 2022-02-18

Publications (1)

Publication Number Publication Date
WO2023155642A1 true WO2023155642A1 (zh) 2023-08-24

Family

ID=82072887

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/CN2023/071290 WO2023155642A1 (zh) 2022-02-18 2023-01-09 基于时间的一次性密码算法的身份认证

Country Status (2)

Country Link
CN (1) CN114679276B (zh)
WO (1) WO2023155642A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114679276B (zh) * 2022-02-18 2024-04-23 支付宝(杭州)信息技术有限公司 基于时间的一次性密码算法的身份认证方法和装置

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150163065A1 (en) * 2013-12-05 2015-06-11 Xiaolai Li Identity authentication method and apparatus and server
CN106487511A (zh) * 2015-08-27 2017-03-08 阿里巴巴集团控股有限公司 身份认证方法及装置
CN107196922A (zh) * 2017-05-03 2017-09-22 国民认证科技(北京)有限公司 身份认证方法、用户设备和服务器
WO2019171163A1 (en) * 2018-03-07 2019-09-12 Visa International Service Association Secure remote token release with online authentication
CN111275419A (zh) * 2020-01-17 2020-06-12 上海佩俪信息科技有限公司 一种区块链钱包签名确权方法、装置及系统
WO2021249527A1 (zh) * 2020-06-12 2021-12-16 支付宝(杭州)信息技术有限公司 实现MOTOpay的方法、装置及电子设备
CN113993127A (zh) * 2021-12-28 2022-01-28 支付宝(杭州)信息技术有限公司 一键登录业务的实现方法和装置
CN114679276A (zh) * 2022-02-18 2022-06-28 支付宝(杭州)信息技术有限公司 基于时间的一次性密码算法的身份认证方法和装置

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105282088A (zh) * 2014-05-28 2016-01-27 腾讯科技(深圳)有限公司 验证服务器控制方法及系统,验证控制方法及系统
CN104065652B (zh) * 2014-06-09 2015-10-14 北京石盾科技有限公司 一种身份验证方法、装置、系统及相关设备
CN105162764A (zh) * 2015-07-30 2015-12-16 北京石盾科技有限公司 一种ssh安全登录的双重认证方法、系统和装置
CN105515783B (zh) * 2016-02-05 2019-02-15 中金金融认证中心有限公司 身份认证方法、服务器及认证终端
CN106899570B (zh) * 2016-12-14 2019-11-05 阿里巴巴集团控股有限公司 二维码的处理方法、装置及系统
CN106850209A (zh) * 2017-02-28 2017-06-13 苏州福瑞思信息科技有限公司 一种身份认证方法及装置
US11546310B2 (en) * 2018-01-26 2023-01-03 Sensus Spectrum, Llc Apparatus, methods and articles of manufacture for messaging using message level security
CN109257342B (zh) * 2018-09-04 2020-05-26 阿里巴巴集团控股有限公司 区块链跨链的认证方法、系统、服务器及可读存储介质
CN109636411B (zh) * 2018-11-16 2020-06-09 阿里巴巴集团控股有限公司 提供和获取安全身份信息的方法及装置
CN111177697A (zh) * 2019-12-29 2020-05-19 武汉迈威通信股份有限公司 交换设备的身份认证方法、系统及计算机可读存储介质
CN111541690B (zh) * 2020-04-21 2022-05-20 北京智芯微电子科技有限公司 智能终端与服务端通信的安全防护方法
CN113676332B (zh) * 2021-08-20 2022-11-04 平安科技(深圳)有限公司 二维码认证方法、通信设备及存储介质

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150163065A1 (en) * 2013-12-05 2015-06-11 Xiaolai Li Identity authentication method and apparatus and server
CN106487511A (zh) * 2015-08-27 2017-03-08 阿里巴巴集团控股有限公司 身份认证方法及装置
CN107196922A (zh) * 2017-05-03 2017-09-22 国民认证科技(北京)有限公司 身份认证方法、用户设备和服务器
WO2019171163A1 (en) * 2018-03-07 2019-09-12 Visa International Service Association Secure remote token release with online authentication
CN111275419A (zh) * 2020-01-17 2020-06-12 上海佩俪信息科技有限公司 一种区块链钱包签名确权方法、装置及系统
WO2021249527A1 (zh) * 2020-06-12 2021-12-16 支付宝(杭州)信息技术有限公司 实现MOTOpay的方法、装置及电子设备
CN113993127A (zh) * 2021-12-28 2022-01-28 支付宝(杭州)信息技术有限公司 一键登录业务的实现方法和装置
CN114679276A (zh) * 2022-02-18 2022-06-28 支付宝(杭州)信息技术有限公司 基于时间的一次性密码算法的身份认证方法和装置

Also Published As

Publication number Publication date
CN114679276B (zh) 2024-04-23
CN114679276A (zh) 2022-06-28

Similar Documents

Publication Publication Date Title
US20200236147A1 (en) Brokered authentication with risk sharing
CN106664208B (zh) 使用安全传输协议建立信任的系统和方法
US7697920B1 (en) System and method for providing authentication and authorization utilizing a personal wireless communication device
US8214890B2 (en) Login authentication using a trusted device
TWI635409B (zh) 判定認證能力之查詢系統、方法及非暫態機器可讀媒體
JP5066827B2 (ja) 移動装置を用いる認証サービスのための方法及び装置
US11501294B2 (en) Method and device for providing and obtaining graphic code information, and terminal
US20040097217A1 (en) System and method for providing authentication and authorization utilizing a personal wireless communication device
CN113474774A (zh) 用于认可新验证器的系统和方法
US9124571B1 (en) Network authentication method for secure user identity verification
CN104426659B (zh) 动态口令生成方法、认证方法及系统、相应设备
CN112953970A (zh) 一种身份认证方法及身份认证系统
KR20210142180A (ko) 효율적인 챌린지-응답 인증을 위한 시스템 및 방법
JP2010506312A (ja) 確実なマルチチャンネル認証
JP2007065869A (ja) サービス提供サーバ、認証サーバ、および認証システム
CN109784024A (zh) 一种基于多认证器多因子的快速在线身份认证fido方法和系统
WO2023155642A1 (zh) 基于时间的一次性密码算法的身份认证
CN114430324B (zh) 基于哈希链的线上快速身份验证方法
CN111404695A (zh) 令牌请求验证方法和装置
KR20210116407A (ko) 온라인 서비스 서버와 클라이언트 간의 상호 인증 방법 및 시스템
TW202207667A (zh) 通訊系統中改善安全性之認證及驗證方法
WO2013067792A1 (zh) 智能卡的访问方法、装置及系统
JP5793593B2 (ja) ユーザ識別情報を安全に検証するためのネットワーク認証方法
TWI838149B (zh) 企業認證的安全啟用系統及其方法
JP7403430B2 (ja) 認証装置、認証方法及び認証プログラム

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 23755646

Country of ref document: EP

Kind code of ref document: A1