CN105516104A - 一种基于tee的动态口令的身份验证方法及*** - Google Patents
一种基于tee的动态口令的身份验证方法及*** Download PDFInfo
- Publication number
- CN105516104A CN105516104A CN201510862528.4A CN201510862528A CN105516104A CN 105516104 A CN105516104 A CN 105516104A CN 201510862528 A CN201510862528 A CN 201510862528A CN 105516104 A CN105516104 A CN 105516104A
- Authority
- CN
- China
- Prior art keywords
- dynamic password
- user
- information
- client
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/067—Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biodiversity & Conservation Biology (AREA)
- Storage Device Security (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请公开了一种基于TEE的动态口令的身份验证方法,包括终端预先配置动态口令***、动态口令生成过程和动态口令验证过程,所述终端具备TEE,所述动态口令生成过程,在终端上进行,用于针对用户请求生成动态口令,所述动态口令验证过程用于认证请求的用户的身份,认证方式包括所述动态口令;其中,所述动态口令生成过程在TEE下进行;本发明提供的基于TEE的动态口令***,动态口令生成过程、密码运算过程及用户鉴别过程在TEE下进行,用户的密钥、身份信息、生物特征信息和口令信息等敏感信息在TEE下通过安全存储模块存储,避免了现有技术中的诸多问题,如动态口令生成过程在REE中进行、用户敏感信息在REE环境下存储,产生隐私泄露、财产被窃取的隐患等。
Description
技术领域
本申请涉及信息技术领域,具体地说,涉及一种基于TEE的动态口令的身份验证方法及***。
背景技术
为了提高网上银行、电话银行、网上证券、电话证券、网上购物、网络游戏等网络应用***的身份认证安全性,各行业、各企业纷纷推出比传统静态密码具有更高安全性的动态口令身份认证***。
采用动态口令身份认证***进行身份认证,极大提高了网络应用***的安全性。目前主要的身份认证方式及其优缺点为:
动态口令技术和PKI技术,目前多以硬件形式实现,安全性较高,目前有广泛应用;但其需要用户去领取实物、随身携带、且有学***台的开放性,安全性较差,面临问题越来越多;
生物特征的身份认证,用户不需要携带额外硬件,使用体验较好;但由于其多为静态数据,在开放环境、开放网络、开放平台上容易被截获或者进行复制;特别是由于生物特征具备不能更改的特性,容易产生较多安全问题,因此其更适合作为近场身份认证手段;
基于大数据的分析的身份认证,对用户完全是透明的,用户体验更好,但多维度数据的归集和使用尚无相关法律法规,还牵扯隐私保护等问题,同时其识别结果只能是一个概率,而不是一个确定性的判定,因此其更适合作为广告营销和风险控制手段。
因此,急需一种安全、便利并且兼容性好的基于TEE的动态口令的身份认证方法。
发明内容
有鉴于此,本申请所要解决的技术问题是现有的身份认证方法不安全、不稳定、不便利和兼容性不高的问题。
为了解决上述技术问题,本发明提供了一种基于TEE的动态口令的身份验证方法及***,通过在TEE下进行动态口令的生成及验证,避免了现有的身份认证方法不安全、不稳定、不便利和兼容性不高的问题,本申请技术方案如下:
一种基于TEE的动态口令的身份验证方法,包括终端预先配置动态口令***、动态口令生成过程和动态口令验证过程,其特征在于,所述终端具备TEE,所述动态口令生成过程,在所述终端上进行,用于针对用户请求生成动态口令,所述动态口令验证过程用于认证请求的用户的身份,认证方式包括所述动态口令;其中,所述动态口令生成过程在TEE下进行。
优选的,所述客户端为所述终端内部应用客户端,所述动态口令生成过程包括:
步骤1:所述动态口令***安全储存用户身份信息,所述终端收到客户端的应用请求,所述应用请求发送生成动态口令的请求及使用客户端数字证书对应的私钥对请求的签名,启动所述动态口令***,所述动态口令***校验所述客户端签名的合法后,向终端用户发送输入所述用户身份信息的请求;
步骤2:所述动态口令***将输入的信息与所述步骤1中储存的所述用户身份信息进行校验;
步骤3:当所述步骤2中校验的结果为信息一致时,所述动态口令***生成动态口令,所述动态口令生成过程完成。
优选的,所述客户端为所述终端外部应用客户端,所述外部应用客户端是指所述应用客户端的载体为所述步骤1中终端之外的设备,所述动态口令生成过程包括:
步骤①:所述动态口令***安全储存用户身份信息,启动所述动态口令***时,所述动态口令***向用户发送输入所述用户身份信息的请求;
步骤②:所述动态口令***将输入的信息与所述步骤①中储存的所述用户身份信息进行校验;
步骤③:当所述步骤②中校验的结果为信息一致时,所述动态口令***通过OTG、NFC、蓝牙、音频、声波、用户输入或扫描条形码、二维码的方式获取所述客户端请求产生动态口令的信息,生成动态口令,所述动态口令生成过程完成。
优选的,所述客户端为终端内部应用客户端,所述动态口令验证过程包括:
步骤A1:所述动态口令***发送所述步骤3中产生的动态口令至所述终端内部应用客户端;
步骤B1:所述终端内部应用客户端收到所述动态口令后,发送步骤1中的请求信息至该客户端应用对应的服务器;
步骤C1:步骤B1中所述服务器接收所述动态口令,校验用户信息和步骤B1中发送的动态口令,校验结果为正确时,所述服务器处理所述应用请求并返回处理结果至所述终端内部应用客户端;
步骤D1:所述终端内部应用客户端接收所述步骤C1中的处理结果,校验相关信息并显示,所述动态口令验证过程完毕。
优选的,所述客户端为终端外部应用客户端,所述外部应用客户端是指所述应用客户端的载体为所述步骤1中终端之外的设备,所述动态口令验证过程包括:
步骤A2:所述终端显示所述步骤③中产生的动态口令供用户读取并输入所述客户端、或通过OTG、NFC、蓝牙、音频或声波的方式发送动态口令到所述客户端,或以条形码、二维码的形式显示供所述外部应用客户端扫描读取;
步骤B2:所述外部应用客户端获取该动态口令后,发送所述步骤③中的请求信息至该客户端应用对应的服务器;
步骤C2:步骤B2中所述服务器接收所述步骤B2中的所述动态口令,校验用户信息和步骤B2发送的动态口令,校验结果为正确时,所述服务器处理所述应用请求并返回处理结果至所述外部应用客户端;
步骤D2:所述外部应用客户端接收所述步骤C2中的处理结果,校验相关信息并显示,所述动态口令验证过程完毕。
优选的,还包括所述动态口令***的创建账户和种子密钥下载的过程,其中,包括:
步骤一:终端预先配置基于TEE的动态口令***构成所述动态口令***,在所述动态口令***注册用户账户,注册用户账户包括输入身份信息和设置访问口令,所述动态口令***安全储存所述注册身份信息和访问口令;
步骤二:所述动态口令***读取信任根设备的认证数据或者请求信任根设备签发认证数据;
步骤三:所述动态口令***通过动态口令认证服务器请求信任根***认证步骤二中所述认证数据和所述注册身份信息,所述信任根***与步骤二中所述信任根设备相对应;
步骤四:所述信任根***校验步骤二中所述认证数据并校验所述注册身份信息与所述信任根设备是否相对应,将校验结果通过所述动态口令认证服务器发送至所述动态口令***;
步骤五:当步骤四所述校验结果为所述认证数据校验成功并且所述注册身份信息与所述信任根设备相对应时,所述动态口令***产生第一随机数,预存的动态口令认证服务器加密证书公钥加密所述第一随机数并发送至所述动态口令认证服务器;
步骤六:所述服务器接收所述步骤五中的第一随机数,将步骤一中所述用户账户与所述动态口令***绑定,并产生第二随机数,用解密的所述第一随机数加密后发送至所述动态口令***;
步骤七:所述动态口令***接收并安全储存所述步骤六中解密后的第二随机数作为种子密钥,所述动态口令***的创建账户和种子密钥下载过程完成;
所述步骤一至三、步骤五和步骤七在TEE下进行。
优选的,还包括所述动态口令***的种子密钥的更新过程,其中,包括:
步骤a:所述动态口令***请求更新种子,并向用户发送输入所述用户身份信息的请求;
步骤b:所述动态口令***将输入的信息与所述步骤1中储存的所述用户身份信息进行校验;当校验结果为一致时,向用户发送使用信任根设备的请求;
步骤c:所述动态口令***读取信任根设备的认证数据或者请求信任根设备签发认证数据;当信任根设备授权读取或签发相关认证数据时,所述动态口令***通过动态口令认证服务器请求信任根***认证所述注册身份信息和所述认证数据,所述信任根***与步骤b中所述信任根设备相对应;
步骤d:所述信任根***校验所述步骤c中认证数据并校验所述注册身份信息与所述信任根设备是否相对应,将校验结果通过所述动态口令认证服务器发送至所述动态口令***;
步骤e:当步骤d所述校验结果为所述认证数据校验成功并且所述注册身份信息与所述信任根设备相对应时,所述动态口令***产生第三随机数,预存的动态口令认证服务器加密证书公钥加密所述第三随机数并发送至所述动态口令认证服务器;
步骤f:所述服务器将步骤a中所述用户账户与所述动态口令***绑定,并产生第四随机数,用解密的所述第三随机数加密后发送至所述动态口令***;
步骤g:所述动态口令***接收并安全储存所述步骤f中解密后的第四随机数作为新的种子密钥并删除老种子密钥,所述动态口令***的种子密钥的更新过程完成;
所述步骤a至c、步骤e和步骤g在TEE下进行。
优选的,所述步骤1中的用户身份信息包括用户基本身份信息和生物特征信息,所述基本身份信息包括姓名和证件号码,所述生物特征信息包括指纹信息、面部特征信息、声纹信息和/或虹膜信息;
所述步骤3中还包括:当所述步骤2中校验的结果为信息一致时,所述动态口令***安全显示所述客户端的应用请求信息,并提请用户确认,在用户确认同意所述请求后,所述动态口令***生成动态口令,所述动态口令生成过程完成;
所述步骤③中还包括:当所述步骤②中校验的结果为信息一致时,所述动态口令***安全显示所述客户端的应用请求信息,并提请用户确认,在用户确认同意所述请求后,所述动态口令***生成动态口令,所述动态口令生成过程完成。
优选的,所述动态口令***包括:
安全输入/输出模块,用于安全管理并调用输入/输出部件,所述入/输出部件包括:屏、按键、指纹识别器、摄像装置、蓝牙、OTG和NFC;
用户鉴别模块,用于接收安全执行模块的指令鉴别用户,并反馈鉴别结果至所述安全执行模块;
密码运算模块,用于接收安全执行模块的指令进行运算,并发送运算结果至所述安全执行模块;
安全存储模块,用于接收安全执行模块的指令,安全存储用户数据并与所述安全执行模块进行所述用户数据的传递;
安全执行模块,用于向所述安全输入/输出模块、所述用户鉴别模块、所述密码运算模块和所述安全存储模块资源调度、发送指令并接收相关数据。
一种基于TEE的动态口令的身份验证***,包括配置单元动态口令生成单元和动态口令验证单元,其特征在于,
配置单元,用于在终端预先配置动态口令***;
动态口令生成单元,在所述终端上进行,用于针对用户请求生成动态口令;
动态口令验证单元,用于认证请求的用户的身份,认证方式包括所述动态口令;
其中,所述动态口令生成单元运行于TEE下。
与现有技术相比,本申请所述的方法和***,达到了如下效果:
(1)本发明提供的基于TEE的动态口令***,动态口令生成过程、密码运算过程及用户鉴别过程在TEE下进行,用户的密钥、身份信息、生物特征信息和口令信息等敏感信息在TEE下通过安全存储模块存储,避免了现有技术中的诸多问题,如动态口令生成过程在REE中进行、用户敏感信息在REE环境下存储,产生隐私泄露、财产被窃取的隐患等;同时,在TEE环境下,通过安全输入/输出接口管理和调用终端的输入模块和输入模块,身份认证请求信息安全显示并经过用户的确认,避免了REE环境下输入和输出模块被非法应用控制和篡改的风险,确保了身份认证过程能体现用户的真实意愿;
(2)本发明提供的基于TEE的动态口令的身份验证方法,所述终端可以为任一具备TEE的智能设备,不需要特定的设备,在用户通常随身携带的智能终端上即可进行,如手机、平板电脑等设备,但是其使用的安全性同样非常高;
(3)本发明提供的基于TEE的动态口令的身份验证方法,兼容生物特征鉴别,把人体生物特征这一特有的固定的信息也加以应用,没有通过生物特征鉴别认证便不能进入身份认证的下一个步骤,并且上述过程均在在TEE下进行,在使用安全的同时也提高了使用过程中的便利性;
(4)本发明提供的基于TEE的动态口令的身份验证方法,不需要亲自去柜台开户和下载种子密钥,用户使用便利,处理效率高、体验佳、对各应用的兼容性高,整个身份认证过程安全系数也更高;
(5)本发明提供的基于TEE的动态口令的身份验证方法,使用时不需要专门的教程,其使用都是针对用户请求进行一一响应,通过终端提示来完成,符合群众的使用***的安全性能并且契合用户的使用习惯,使用非常便利;其保护了用户的密钥、身份信息、生物特征信息和口令信息等,在使用便利的同时也提高了使用过程中的安全性和隐私性;
(6)本发明提供的基于TEE的动态口令的身份验证方法,其种子密钥的更新过程在在TEE下进行,安全水平能够达到甚至超越硬件实物动态令牌的安全水平;
(7)本发明提供的基于TEE的动态口令的身份验证方法,所述动态口令安全***功能综合,运作过程安全,综合了证书鉴别、生物特征鉴别及口令鉴别等方式,使其身份认证方式的兼容性更强,安全性能更好、用户体验更佳;
(8)本发明提供的基于TEE的动态口令的身份验证***,从初始步骤开始即基于TEE进行,从流程上提高身份认证的安全系数;作为动态口令***的种子密钥,其下载过程基于TEE进行,种子密钥储存于设备的TEE中,从***设置上提高了身份认证的安全系数。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例所述动态口令生成过程的流程图;
图2为本申请实施例所述动态口令生成过程的流程图;
图3为本申请实施例所述动态口令验证过程的流程图;
图4为本申请实施例所述动态口令验证过程的流程图;
图5为本申请实施例所述动态口令***的创建账户和种子密钥下载的过程的流程图;
图6为本申请实施例所述动态口令***的种子密钥的更新过程的流程图;
图7为本申请实施例所述动态口令***的结构示意图;
图8为本申请实施例所述终端的结构示意图;
图9为本申请实施例所述方法的结构示意图。
具体实施方式
如在说明书及权利要求当中使用了某些词汇来指称特定组件。本领域技术人员应可理解,硬件制造商可能会用不同名词来称呼同一个组件。本说明书及权利要求并不以名称的差异来作为区分组件的方式,而是以组件在功能上的差异来作为区分的准则。如在通篇说明书及权利要求当中所提及的“包含”为一开放式用语,故应解释成“包含但不限定于”。“大致”是指在可接收的误差范围内,本领域技术人员能够在一定误差范围内解决所述技术问题,基本达到所述技术效果。此外,“耦接”一词在此包含任何直接及间接的电性耦接手段。因此,若文中描述一第一装置耦接于一第二装置,则代表所述第一装置可直接电性耦接于所述第二装置,或通过其他装置或耦接手段间接地电性耦接至所述第二装置。说明书后续描述为实施本申请的较佳实施方式,然所述描述乃以说明本申请的一般原则为目的,并非用以限定本申请的范围。本申请的保护范围当视所附权利要求所界定者为准。
实施例一:
一种基于TEE的动态口令的身份验证方法,包括终端2预先配置动态口令***、动态口令生成过程和动态口令验证过程,其特征在于,所述终端2具备TEE,所述动态口令生成过程,在所述终端2上进行,用于针对用户请求生成动态口令,所述动态口令验证过程用于认证请求的用户的身份,认证方式包括所述动态口令;其中,所述动态口令生成过程在TEE下进行。
所述动态口令***1位于所述终端2TEE中,TEE为Trustedexecutionenvironment的缩写,中文译文为可信执行环境,本发明提供的基于TEE的动态口令的身份验证方法,为一种身份认证方法,所述动态口令生成过程在TEE下进行,避免了现有技术中的诸多问题,如动态口令生成过程在REE中进行,产生隐私泄露、财产存在被窃取的隐患等;所述终端2可以为任一具备TEE的智能设备,不需要特定的设备,在用户通常随身携带的智能终端上即可进行,如手机、平板电脑等设备,但是其使用的安全性同样非常高;使用时不需要专门的教程,其使用都是针对用户请求进行一一响应,通过终端2提示来完成,符合群众的使用***的安全性能并且契合用户的使用习惯,使用非常便利。
实施例二:
一种基于TEE的动态口令的身份验证方法,包括终端2预先配置动态口令***1、动态口令生成过程和动态口令验证过程,其特征在于,所述终端2具备TEE和REE,所述动态口令生成过程,在所述终端2上进行,用于针对用户请求生成动态口令,所述动态口令验证过程用于认证请求的用户的身份,认证方式包括所述动态口令;其中,所述动态口令***1位于所述终端2TEE中,所述动态口令生成过程在TEE下进行。
如图1本申请实施例所述动态口令生成过程的流程图所示,所述客户端为所述终端内部应用客户端,该内部应用客户端可位于移动设备REE中,所述动态口令生成过程包括:
步骤1:所述动态口令***1安全储存用户身份信息,所述终端2收到客户端的产生动态口令的请求及使用客户端数字证书对应的私钥对请求的签名,启动所述动态口令***1,所述动态口令***1校验所述客户端签名的合法后,向终端2用户发送输入所述用户身份信息的请求;用户可根据***的提示进行输入,所述用户身份信息通常包括用户基本身份信息和生物特征信息,所述基本身份信息包括姓名和证件号码,所述生物特征信息包括指纹信息、面部特征信息、声纹信息和/或虹膜信息。
所述客户端的请求包括所有要求进行身份认证的移动应用的请求,如手机银行的交易请求、证券应用的交易请求和游戏应用的操作请求等。所述终端2收到客户端的请求的起因包括但不限于以下几种情况:所述终端2内部应用客户端发送请求至所述终端;所述终端2的外部应用客户端产生请求并以二维码的形式呈现,所述终端2扫描接受所述外部应用客户端的请求;所述终端的外部应用客户端产生请求,在所述终端2中输入所述请求信息从而接受所述外部应用客户端的请求。所述的终端2内部应用客户端是指该应用客户端的硬件载体与所述终端2为同一个设备,所述外部应用客户端是指所述应用客户端的载体为所述步骤1中终端之外的设备。
步骤2:所述动态口令***1将输入的信息与所述步骤1中储存的所述用户身份信息进行校验;
步骤3:当所述步骤2中校验的结果为信息一致时,所述动态口令***1生成动态口令,所述动态口令生成过程完成。
终端是端点用户用于和主机通信的设备如图7本申请实施例所述终端2的结构示意图所示,所述终端2包括:执行模块202,包括REE执行模块和TEE执行模块;输出模块201,包括显示部件、声音部件和/或指示部件;输入模块203,包括屏单元、按键单元、指纹信息采集单元、声音采集单元、摄像单元和/或传感器单元;通信模块205,包括移动通讯部件、蓝牙部件、WIFI部件、OTG部件和/或NFC部件;储存模块204,包括RAM部件和/或FLASH部件。
所述终端2可以为任一具备TEE的智能设备,所述动态口令生成过程在TEE下进行,也即上述步骤1-3在TEE下进行,解决了现有技术中动态口令容易被日截获的问题,并且本发明提供的身份认证方法兼容用户身份信息认证的方法,把人体生物特征这一特有的固定的信息也加以应用,没有通过用户身份信息认证便不能进入身份认证的下一个步骤,并且上述过程均在在TEE下进行,保护了用户的密钥、身份信息、生物特征信息和口令信息等,在使用便利的同时也提高了使用过程中的安全性和隐私性。
优选的,所述步骤1中的用户身份信息包括用户基本身份信息和生物特征信息,所述基本身份信息包括姓名和证件号码,所述生物特征信息包括指纹信息、面部特征信息、声纹信息和/或虹膜信息。
优选的,所述步骤3中还包括:当所述步骤2中校验的结果为信息一致时,所述动态口令***1安全显示所述客户端的应用请求信息,并提请用户确认,在用户确认同意所述请求后,所述动态口令***1生成动态口令,所述动态口令生成过程完成。所述动态口令可以是时间型、事件型或挑战应答型的。其中添加一个提请用户确认的过程,便于用户再次确认请求信息,以免造成失误,用户体验更好。
实施例三:
一种基于TEE的动态口令的身份验证方法,包括终端2预先配置动态口令***1、动态口令生成过程和动态口令验证过程,其特征在于,所述终端2具备TEE和REE,所述动态口令生成过程,在所述终端2上进行,用于针对用户请求生成动态口令,所述动态口令验证过程用于认证请求的用户的身份,认证方式包括所述动态口令;其中,所述动态口令***1位于所述终端2TEE中,所述动态口令生成过程在TEE下进行。
所述客户端为所述终端外部应用客户端,所述动态口令生成过程包括:
步骤①:所述动态口令***安全储存用户身份信息,所述终端用户启动所述动态口令***,所述动态口令***向用户发送输入所述用户身份信息的请求;
步骤②:所述动态口令***将输入的信息与所述步骤①中储存的所述用户身份信息进行校验;
步骤③:当所述步骤②中校验的结果为信息一致时,所述动态口令***通过OTG、NFC、蓝牙、音频、声波或扫描条形码、二维码等方式获取所述客户端请求产生动态口令的关键信息,而后生成动态口令,所述动态口令生成过程完成。所述外部应用客户端是指所述应用客户端的载体为所述步骤1中终端之外的设备。
优选的,所述步骤③中还包括:当所述步骤②中校验的结果为信息一致时,所述动态口令***1安全显示所述客户端的应用请求信息,并提请用户确认,在用户确认同意所述请求后,所述动态口令***1生成动态口令,所述动态口令生成过程完成。所述动态口令可以是时间型、事件型或挑战应答型的。
本申请提供的身份验证方法,也可以用于外部应用客户端,信息输入方式多样,不同的输入方式可给不同习惯的使用者都带来良好的体验,适用广泛,使用便利。
实施例四:
在实施例一内容或者实施例一加上实施例二内容的基础上,所述客户端为终端内部应用客户端,如图2本申请实施例所述动态口令验证过程的流程图和图8本申请实施例所述方法的结构示意图所示,所述动态口令验证过程包括:
步骤A1:所述终端发送所述步骤3中产生的动态口令至所述终端2内部应用客户端5;所述的终端2内部应用客户端5是指该应用客户端的硬件载体与所述终端为同一个设备,其发送方式为TEE与REE间的通讯代理机制或共享内存机制等。
步骤B1:所述终端2内部应用客户端5收到所述动态口令后,发送所述步骤1中客户端的请求信息至该客户端应用对应的服务器;所述内部应用客户端5及所述动态口令***1的认证及服务后台***可均存在于此服务器上。
步骤C1:服务器3接收所述步骤B1中的所述动态口令,校验用户信息和所述步骤B1发送的动态口令,校验结果为正确时,所述服务器3处理请求并返回处理结果至所述内部应用客户端5;校验结果为错误时,所述动态口令验证过程完毕,所述身份认证过程失败。
步骤D1:所述内部应用客户端5接收所述步骤C1中的处理结果,校验相关信息并显示,所述动态口令验证过程完毕。
实施例五:
在实施例一内容或者实施例一加上实施例二内容的基础上,所述客户端为终端外部应用客户端,如图3本申请实施例所述动态口令验证过程的流程图和图8本申请实施例所述方法的结构示意图所示,所述动态口令验证过程包括:
步骤A2:所述终端显示所述步骤③中产生的动态口令供用户读取并输入所述客户端、或通过OTG、NFC、蓝牙、音频或声波等方式发送所述步骤③中产生的动态口令到所述客户端,或以条形码、二维码等形式显示供所述外部应用客户端4扫描读取;所述外部应用客户端4是指所述应用客户端的载体为所述步骤1中终端2之外的设备。
步骤B2:所述外部应用客户端4获取该动态口令后,发送所述步骤③中的请求信息至该客户端应用对应的服务器;
步骤C2:所述服务器接收所述步骤B2中的所述动态口令,校验用户信息和所述步骤B2发送的动态口令,校验结果为正确时,所述服务器3处理所述应用请求并返回处理结果至所述外部应用客户端4;
步骤D2:所述外部应用客户端4接收所述步骤C2中的处理结果,校验相关信息并显示,所述动态口令验证过程完毕。
实施例六:
在上述实施例的方法及其相互结合形成的方法的基础上,如图4本申请实施例所述动态口令***1的创建账户和种子密钥下载的过程的流程图所示,所述基于TEE的动态口令的身份验证方法还包括所述动态口令***的创建账户和种子密钥下载的过程,其中,包括:
步骤一:终端预先配置基于TEE的动态口令***1构成所述动态口令***,在所述动态口令***1注册用户账户,注册用户账户包括输入身份信息和设置访问口令,所述动态口令***1安全储存所述注册身份信息和访问口令;
步骤二:所述动态口令***1读取信任根设备的认证数据或者请求信任根设备签发认证数据;所述信任根设备包括但不限于居民身份证、公民网络电子身份标识和USBKEY等,所述读取方式包括但不限于OTG、NFC、蓝牙、音频或声波等方式。
步骤三:所述动态口令***1通过动态口令认证服务器请求信任根***认证步骤二中所述认证数据认证和所述注册身份信息,所述信任根***与步骤二中所述信任根设备相对应;
步骤四:所述信任根***校验步骤二中所述认证数据并校验所述注册身份信息与所述信任根设备是否相对应,将校验结果通过动态口令认证服务器发送至所述动态口令***;
步骤五:当步骤四所述校验结果为所述认证数据校验成功并且所述注册身份信息与所述信任根设备相对应时,所述动态口令***产生第一随机数,使用预存的动态口令认证服务器加密证书公钥加密所述第一随机数并发送至所述动态口令认证服务器;
步骤六:所述服务器3接收所述步骤五中的第一随机数,将步骤一中所述用户账户与所述动态口令***绑定,并产生第二随机数,用解密的所述第一随机数加密后发送至所述动态口令***1,所述加密算法可以是AES、SM1、SM4、3DES等对称密码算法;
步骤七:所述动态口令***1接收并安全储存所述步骤六中解密后的第二随机数作为种子密钥,所述动态口令***1的创建账户和种子密钥下载过程完成;
所述步骤一至三、步骤五和步骤七在TEE下进行。
创建账户是使用***的初始步骤,从初始步骤开始即基于TEE进行,从流程上提高身份认证的安全系数,作为动态口令***的种子密钥,其下载过程基于TEE进行,种子密钥储存于设备的TEE中,从***设置上提高了身份认证的安全系数;并且此方法不需要亲自去柜台开户和下载种子密钥,用户使用便利,处理效率高、体验佳、对各应用的兼容性高,整个身份认证过程安全系数也更高。
优选的,如图5本申请实施例所述动态口令***1的种子密钥的更新过程的流程图所示,所述基于TEE的动态口令的身份验证方法还包括所述动态口令***1的种子密钥的更新过程,其中,包括:
步骤a:所述动态口令***1请求更新种子,并向用户发送输入所述用户身份信息的请求;
步骤b:所述动态口令***1将输入的信息与所述步骤1中储存的所述用户身份信息进行校验;当校验结果为一致时,向用户发送使用信任根设备的请求;
步骤c:所述动态口令***1读取信任根设备的认证数据或者请求信任根设备签发认证数据;当信任根设备授权读取或签发相关认证数据时,所述动态口令***1通过动态口令认证服务器请求信任根***认证所述注册身份信息和所述认证数据,所述信任根***与步骤b中所述信任根设备相对应;
步骤d:所述信任根***校验所述步骤c中认证数据并校验所述注册身份信息与所述信任根设备是否相对应,将校验结果通过动态口令认证服务器发送至所述动态口令***1;
步骤e:当步骤d所述校验结果为所述认证数据校验成功并且所述注册身份信息与所述信任根设备相对应时,所述动态口令***1产生第三随机数,使用预存的动态口令认证服务器加密证书公钥加密所述第三随机数并发送至所述动态口令认证服务器;
步骤f:所述服务器3将步骤a中所述用户账户与所述动态口令***1绑定,并产生第四随机数,用解密的所述第三随机数加密后发送至所述动态口令***1,所述加密算法可以是AES、SM1、SM4、3DES等对称密码算法;
步骤g:所述动态口令***1接收并安全储存所述步骤f中解密后的第四随机数作为新的种子密钥并删除老种子密钥,所述动态口令***1的种子密钥的更新过程完成;
所述步骤a至c、步骤e和步骤g在TEE下进行。种子密钥更新,是动态更新,不同于现有技术中的实物产品,其在出厂后只在用户手上进行一次更新,而本发明中的种子密钥的动态更新可以进行多次更新;更新指的是现在的种子密钥跟原来的种子密钥不一样。即使之前的种子密钥被窃取,窃取的是原来的种子密钥,但不知道现在使用的种子密钥是什么。这样一来,种子数据永远是秘密的。而本发明所提供的基于TEE的动态口令的身份验证方法,其种子密钥的更新过程在在TEE下进行,安全水平能够达到甚至超越硬件实物动态令牌的安全水平。
实施例七:
如图6本申请实施例所述动态口令***1的结构示意图所示,所述动态口令***1包括:安全存储模块104、安全输入/输出模块101、用户鉴别模块105、密码运算模块103和安全执行模块102,所述用户鉴别模块105、密码运算模块103、安全输入/输出模块101和安全存储模块104分别与所述安全执行模块102连接,所述安全输入/输出模块101、安全执行模块102和安全存储模块104与所述终端装置2内的TEE执行模块连接。
所述用户鉴别模块105,用于接收安全执行模块102的指令鉴别用户,并反馈鉴别结果至所述安全执行模块102;
密码运算模块103,用于接收安全执行模块102的指令进行运算,并发送运算结果至所述安全执行模块102;
安全存储模块104,用于接收安全执行模块102的指令,安全存储用户数据并与所述安全执行模块102进行所述用户数据的传递;
安全执行模块102,用于向所述安全输入/输出模块101、所述用户鉴别模块105、所述密码运算模块103和所述安全存储模块104资源调度、发送指令并接收相关数据;
所述安全输入/输出模块101、安全执行模块102和安全存储模块104与所述终端装置2内的TEE模块连接。
所述安全输入/输出模块用于安全管理并调用所述输出模块、所述输入模块和/或所述通讯模块;
所述安全存储模块用于安全管理并调用所述储存模块。
优选的,所述用户鉴别模块105包括口令鉴别单元、指纹信息鉴别单元、面部特征信息鉴别单元、声纹信息鉴别单元和/或虹膜信息鉴别单元。即所述用户鉴别模块105包括下述单元的任一种及其任意组合:口令鉴别单元、指纹信息鉴别单元、面部特征信息鉴别单元、声纹信息鉴别单元、虹膜信息鉴别单元。
优选的,所述输出模块201包括显示单元、声音单元和/或指示单元;所述输入模块203包括:屏单元、按键单元、指纹信息采集单元、声音采集单元、摄像单元和/或传感器单元。
优选的,所述密码运算模块103包括非对称密码运算单元、对称密码运算单元、时间型动态口令运算单元、事件型动态口令运算单元和/或挑战应答型动态口令运算单元。所述密码运算模块103包括下述单元的任一种及其任意组合:非对称密码运算单元、对称密码运算单元、时间型动态口令运算单元、事件型动态口令运算单元和挑战应答型动态口令运算单元。
优选的,所述用户数据包括:用户基本信息、用户鉴别信息、数字证书、种子、密钥和/或字库。即所述用户数据包括下述信息的任一种及其任意组合:用户基本信息、用户鉴别信息、数字证书、种子、密钥和字库。
所述动态口令安全***1功能综合,运作过程安全,综合了证书鉴别、生物特征鉴别及口令鉴别等方式,使其身份认证方式的兼容性更强,安全性能更好、用户体验更佳。
实施例八:
一种基于TEE的动态口令的身份验证***,包括配置单元动态口令生成单元和动态口令验证单元,其特征在于,
配置单元,用于在终端2预先配置动态口令***1;
动态口令生成单元,在所述终端上进行,用于针对用户请求生成动态口令;认证方式包括所述动态口令;具体的,用于针对用户请求使用所述种子密钥及时间、事件、挑战应答等可变因子产生动态口令;其中,所述动态口令***位于所述终端TEE中,所述动态口令生成单元运行于TEE下。
优选的,所述动态口令生成单元包括:
信息收发模块:用于所述动态口令***安全储存用户身份信息,所述终端2收到客户端的请求时,启动所述动态口令***1,所述动态口令***1向终端2用户发送输入所述用户身份信息的请求;
信息校验模块:用于用户输入所述用户身份信息时,所述动态口令***将输入的信息与所述动态口令***1中储存的所述用户身份信息进行校验,或收到客户端的请求及签名时,校验客户端的合法性;
口令生成模块:用于当所述步骤2中校验的结果为信息一致时,所述动态口令***1生成动态口令,所述动态口令生成过程完成。
优选的,还可以包括种子密钥下载及更新单元,用于终端用户的身份核实、账户注册及动态口令种子密钥的下载及更新;
本发明提供的基于TEE的动态口令的身份验证***1,符合群众的使用***的安全性能并且契合用户的使用习惯,使用非常便利;保护了用户的密钥、身份信息、生物特征信息和口令信息等,在使用便利的同时也提高了使用过程中的安全性和隐私性。
通过以上各实施例可知,本申请存在的有益效果是:
(1)本发明提供的基于TEE的动态口令***,动态口令生成过程、密码运算过程及用户鉴别过程在TEE下进行,用户的密钥、身份信息、生物特征信息和口令信息等敏感信息在TEE下通过安全存储模块存储,避免了现有技术中的诸多问题,如动态口令生成过程在REE中进行、用户敏感信息在REE环境下存储,产生隐私泄露、财产被窃取的隐患等;同时,在TEE环境下,通过安全输入/输出接口管理和调用终端的输入模块和输入模块,身份认证请求信息安全显示并经过用户的确认,避免了REE环境下输入和输出模块被非法应用控制和篡改的风险,确保了身份认证过程能体现用户的真实意愿;
(2)本发明提供的基于TEE的动态口令的身份验证方法,所述终端可以为任一具备TEE的智能设备,不需要特定的设备,在用户通常随身携带的智能终端上即可进行,如手机、平板电脑等设备,但是其使用的安全性同样非常高;
(3)本发明提供的基于TEE的动态口令的身份验证方法,兼容生物特征鉴别,把人体生物特征这一特有的固定的信息也加以应用,没有通过生物特征鉴别认证便不能进入身份认证的下一个步骤,并且上述过程均在在TEE下进行,在使用安全的同时也提高了使用过程中的便利性;
(4)本发明提供的基于TEE的动态口令的身份验证方法,不需要亲自去柜台开户和下载种子密钥,用户使用便利,处理效率高、体验佳、对各应用的兼容性高,整个身份认证过程安全系数也更高;
(5)本发明提供的基于TEE的动态口令的身份验证方法,使用时不需要专门的教程,其使用都是针对用户请求进行一一响应,通过终端提示来完成,符合群众的使用***的安全性能并且契合用户的使用习惯,使用非常便利;其保护了用户的密钥、身份信息、生物特征信息和口令信息等,在使用便利的同时也提高了使用过程中的安全性和隐私性;
(6)本发明提供的基于TEE的动态口令的身份验证方法,其种子密钥的更新过程在在TEE下进行,安全水平能够达到甚至超越硬件实物动态令牌的安全水平;
(7)本发明提供的基于TEE的动态口令的身份验证方法,所述动态口令安全***功能综合,运作过程安全,综合了证书鉴别、生物特征鉴别及口令鉴别等方式,使其身份认证方式的兼容性更强,安全性能更好、用户体验更佳;
(8)本发明提供的基于TEE的动态口令的身份验证***,从初始步骤开始即基于TEE进行,从流程上提高身份认证的安全系数;作为动态口令***的种子密钥,其下载过程基于TEE进行,种子密钥储存于设备的TEE中,从***设置上提高了身份认证的安全系数。
当然,本发明所保护的技术方案并不必须同时达到所有上述有益效果,一个方案没有同时达到所有上述有益效果并不构成对本发明保护范围的限制。
本领域内的技术人员应明白,本申请的实施例可提供为方法、装置、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
上述说明示出并描述了本申请的若干优选实施例,但如前所述,应当理解本申请并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本申请的精神和范围,则都应在本申请所附权利要求的保护范围内。
Claims (10)
1.一种基于TEE的动态口令的身份验证方法,包括终端预先配置动态口令***、动态口令生成过程和动态口令验证过程,其特征在于,所述终端具备TEE,所述动态口令生成过程,在所述终端上进行,用于针对用户请求生成动态口令,所述动态口令验证过程用于认证请求的用户的身份,认证方式包括所述动态口令;其中,所述动态口令生成过程在TEE下进行。
2.根据权利要求1所述的方法,其特征在于,所述客户端为所述终端内部应用客户端,所述动态口令生成过程包括:
步骤1:所述动态口令***安全储存用户身份信息,所述终端收到客户端的应用请求,所述应用请求发送生成动态口令的请求及使用客户端数字证书对应的私钥对请求的签名,启动所述动态口令***,所述动态口令***校验所述客户端签名的合法后,向终端用户发送输入所述用户身份信息的请求;
步骤2:所述动态口令***将输入的信息与所述步骤1中储存的所述用户身份信息进行校验;
步骤3:当所述步骤2中校验的结果为信息一致时,所述动态口令***生成动态口令,所述动态口令生成过程完成。
3.根据权利要求1所述的方法,其特征在于,所述客户端为所述终端外部应用客户端,所述外部应用客户端是指所述应用客户端的载体为所述步骤1中终端之外的设备,所述动态口令生成过程包括:
步骤①:所述动态口令***安全储存用户身份信息,启动所述动态口令***时,所述动态口令***向用户发送输入所述用户身份信息的请求;
步骤②:所述动态口令***将输入的信息与所述步骤①中储存的所述用户身份信息进行校验;
步骤③:当所述步骤②中校验的结果为信息一致时,所述动态口令***通过OTG、NFC、蓝牙、音频、声波、用户输入或扫描条形码、二维码的方式获取所述客户端请求产生动态口令的信息,生成动态口令,所述动态口令生成过程完成。
4.根据权利要求2所述的方法,其特征在于,所述客户端为终端内部应用客户端,所述动态口令验证过程包括:
步骤A1:所述动态口令***发送所述步骤3中产生的动态口令至所述终端内部应用客户端;
步骤B1:所述终端内部应用客户端收到所述动态口令后,发送步骤1中的请求信息至该客户端应用对应的服务器;
步骤C1:步骤B1中所述服务器接收所述动态口令,校验用户信息和步骤B1中发送的动态口令,校验结果为正确时,所述服务器处理所述应用请求并返回处理结果至所述终端内部应用客户端;
步骤D1:所述终端内部应用客户端接收所述步骤C1中的处理结果,校验相关信息并显示,所述动态口令验证过程完毕。
5.根据权利要求3所述的方法,其特征在于,所述客户端为终端外部应用客户端,所述外部应用客户端是指所述应用客户端的载体为所述步骤1中终端之外的设备,所述动态口令验证过程包括:
步骤A2:所述终端显示所述步骤③中产生的动态口令供用户读取并输入所述客户端、或通过OTG、NFC、蓝牙、音频或声波的方式发送动态口令到所述客户端,或以条形码、二维码的形式显示供所述外部应用客户端扫描读取;
步骤B2:所述外部应用客户端获取该动态口令后,发送所述步骤③中的请求信息至该客户端应用对应的服务器;
步骤C2:步骤B2中所述服务器接收所述步骤B2中的所述动态口令,校验用户信息和步骤B2发送的动态口令,校验结果为正确时,所述服务器处理所述应用请求并返回处理结果至所述外部应用客户端;
步骤D2:所述外部应用客户端接收所述步骤C2中的处理结果,校验相关信息并显示,所述动态口令验证过程完毕。
6.根据权利要求1-5中任一所述的方法,其特征在于,还包括所述动态口令***的创建账户和种子密钥下载的过程,其中,包括:
步骤一:终端预先配置基于TEE的动态口令***构成所述动态口令***,在所述动态口令***注册用户账户,注册用户账户包括输入身份信息和设置访问口令,所述动态口令***安全储存所述注册身份信息和访问口令;
步骤二:所述动态口令***读取信任根设备的认证数据或者请求信任根设备签发认证数据;
步骤三:所述动态口令***通过动态口令认证服务器请求信任根***认证步骤二中所述认证数据和所述注册身份信息,所述信任根***与步骤二中所述信任根设备相对应;
步骤四:所述信任根***校验步骤二中所述认证数据并校验所述注册身份信息与所述信任根设备是否相对应,将校验结果通过所述动态口令认证服务器发送至所述动态口令***;
步骤五:当步骤四所述校验结果为所述认证数据校验成功并且所述注册身份信息与所述信任根设备相对应时,所述动态口令***产生第一随机数,预存的动态口令认证服务器加密证书公钥加密所述第一随机数并发送至所述动态口令认证服务器;
步骤六:所述服务器接收所述步骤五中的第一随机数,将步骤一中所述用户账户与所述动态口令***绑定,并产生第二随机数,用解密的所述第一随机数加密后发送至所述动态口令***;
步骤七:所述动态口令***接收并安全储存所述步骤六中解密后的第二随机数作为种子密钥,所述动态口令***的创建账户和种子密钥下载过程完成;
所述步骤一至三、步骤五和步骤七在TEE下进行。
7.根据权利要求6所述方法,其特征在于,还包括所述动态口令***的种子密钥的更新过程,其中,包括:
步骤a:所述动态口令***请求更新种子,并向用户发送输入所述用户身份信息的请求;
步骤b:所述动态口令***将输入的信息与所述步骤1中储存的所述用户身份信息进行校验;当校验结果为一致时,向用户发送使用信任根设备的请求;
步骤c:所述动态口令***读取信任根设备的认证数据或者请求信任根设备签发认证数据;当信任根设备授权读取或签发相关认证数据时,所述动态口令***通过动态口令认证服务器请求信任根***认证所述注册身份信息和所述认证数据,所述信任根***与步骤b中所述信任根设备相对应;
步骤d:所述信任根***校验所述步骤c中认证数据并校验所述注册身份信息与所述信任根设备是否相对应,将校验结果通过所述动态口令认证服务器发送至所述动态口令***;
步骤e:当步骤d所述校验结果为所述认证数据校验成功并且所述注册身份信息与所述信任根设备相对应时,所述动态口令***产生第三随机数,预存的动态口令认证服务器加密证书公钥加密所述第三随机数并发送至所述动态口令认证服务器;
步骤f:所述服务器将步骤a中所述用户账户与所述动态口令***绑定,并产生第四随机数,用解密的所述第三随机数加密后发送至所述动态口令***;
步骤g:所述动态口令***接收并安全储存所述步骤f中解密后的第四随机数作为新的种子密钥并删除老种子密钥,所述动态口令***的种子密钥的更新过程完成;
所述步骤a至c、步骤e和步骤g在TEE下进行。
8.根据权利要求7所述方法,其特征在于,所述步骤1中的用户身份信息包括用户基本身份信息和生物特征信息,所述基本身份信息包括姓名和证件号码,所述生物特征信息包括指纹信息、面部特征信息、声纹信息和/或虹膜信息;
所述步骤3中还包括:当所述步骤2中校验的结果为信息一致时,所述动态口令***安全显示所述客户端的应用请求信息,并提请用户确认,在用户确认同意所述请求后,所述动态口令***生成动态口令,所述动态口令生成过程完成;
所述步骤③中还包括:当所述步骤②中校验的结果为信息一致时,所述动态口令***安全显示所述客户端的应用请求信息,并提请用户确认,在用户确认同意所述请求后,所述动态口令***生成动态口令,所述动态口令生成过程完成。
9.根据权利要求8所述方法,其特征在于,所述动态口令***包括:
安全输入/输出模块,用于安全管理并调用输入/输出部件,所述入/输出部件包括:屏、按键、指纹识别器、摄像装置、蓝牙、OTG和NFC;
用户鉴别模块,用于接收安全执行模块的指令鉴别用户,并反馈鉴别结果至所述安全执行模块;
密码运算模块,用于接收安全执行模块的指令进行运算,并发送运算结果至所述安全执行模块;
安全存储模块,用于接收安全执行模块的指令,安全存储用户数据并与所述安全执行模块进行所述用户数据的传递;
安全执行模块,用于向所述安全输入/输出模块、所述用户鉴别模块、所述密码运算模块和所述安全存储模块资源调度、发送指令并接收相关数据。
10.一种基于TEE的动态口令的身份验证***,包括配置单元动态口令生成单元和动态口令验证单元,其特征在于,
配置单元,用于在终端预先配置动态口令***;
动态口令生成单元,在所述终端上进行,用于针对用户请求生成动态口令;
动态口令验证单元,用于认证请求的用户的身份,认证方式包括所述动态口令;
其中,所述动态口令生成单元运行于TEE下。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811032412.8A CN108809659B (zh) | 2015-12-01 | 2015-12-01 | 动态口令的生成、验证方法及***、动态口令*** |
| CN201510862528.4A CN105516104B (zh) | 2015-12-01 | 2015-12-01 | 一种基于tee的动态口令的身份验证方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510862528.4A CN105516104B (zh) | 2015-12-01 | 2015-12-01 | 一种基于tee的动态口令的身份验证方法及*** |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811032412.8A Division CN108809659B (zh) | 2015-12-01 | 2015-12-01 | 动态口令的生成、验证方法及***、动态口令*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105516104A true CN105516104A (zh) | 2016-04-20 |
| CN105516104B CN105516104B (zh) | 2018-10-26 |
Family
ID=55723742
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811032412.8A Active CN108809659B (zh) | 2015-12-01 | 2015-12-01 | 动态口令的生成、验证方法及***、动态口令*** |
| CN201510862528.4A Active CN105516104B (zh) | 2015-12-01 | 2015-12-01 | 一种基于tee的动态口令的身份验证方法及*** |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811032412.8A Active CN108809659B (zh) | 2015-12-01 | 2015-12-01 | 动态口令的生成、验证方法及***、动态口令*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (2) | CN108809659B (zh) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105847000A (zh) * | 2016-05-27 | 2016-08-10 | 深圳市雪球科技有限公司 | 令牌产生方法以及基于该令牌产生方法的通信*** |
| CN106230594A (zh) * | 2016-07-22 | 2016-12-14 | 浪潮通用软件有限公司 | 一种基于动态口令进行用户认证的方法 |
| CN106411856A (zh) * | 2016-09-06 | 2017-02-15 | 北京交通大学 | 基于移动终端人脸识别的认证方法和装置 |
| CN107092819A (zh) * | 2017-03-08 | 2017-08-25 | 广东欧珀移动通信有限公司 | 一种指纹录入检验方法及装置 |
| CN107104792A (zh) * | 2017-04-05 | 2017-08-29 | 中国人民大学 | 一种便携式移动口令管理***及其管理方法 |
| CN107240157A (zh) * | 2017-05-12 | 2017-10-10 | 努比亚技术有限公司 | 近场通信安全控制方法、移动终端及计算机可读存储介质 |
| CN107248135A (zh) * | 2017-04-26 | 2017-10-13 | 阿里巴巴集团控股有限公司 | 防伪图像的生成、识别方法及装置、计算机存储介质 |
| CN108234113A (zh) * | 2016-12-15 | 2018-06-29 | 腾讯科技(深圳)有限公司 | 身份验证方法、装置与*** |
| CN108605046A (zh) * | 2016-11-14 | 2018-09-28 | 华为技术有限公司 | 一种消息推送方法及终端 |
| CN108616516A (zh) * | 2018-04-03 | 2018-10-02 | 四川新网银行股份有限公司 | 一种基于多种加密算法的第三方明文口令校验方法 |
| CN108616352A (zh) * | 2018-04-13 | 2018-10-02 | 北京握奇智能科技有限公司 | 基于安全元件的动态口令生成方法和*** |
| CN108768655A (zh) * | 2018-04-13 | 2018-11-06 | 北京握奇智能科技有限公司 | 动态口令生成方法和*** |
| CN111371770A (zh) * | 2020-02-28 | 2020-07-03 | 赵勇 | 外来访客的智能动态授权***及方法 |
| CN111800276A (zh) * | 2016-05-30 | 2020-10-20 | 创新先进技术有限公司 | 业务处理方法及装置 |
| CN113553204A (zh) * | 2021-09-16 | 2021-10-26 | 支付宝(杭州)信息技术有限公司 | 一种数据传输方法及装置 |
| CN115288562A (zh) * | 2022-06-29 | 2022-11-04 | 北京计算机技术及应用研究所 | 一种具有物品识别功能的可搬移智能管控柜 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110881015B (zh) * | 2018-09-05 | 2021-10-01 | 程强 | 用于处理用户信息的***和方法 |
| CN109684801B (zh) * | 2018-11-16 | 2023-06-16 | 创新先进技术有限公司 | 电子证件的生成、签发和验证方法及装置 |
| CN110012048B (zh) * | 2018-11-22 | 2021-11-12 | 创新先进技术有限公司 | 信息识别码生成方法、装置、电子设备及计算机存储介质 |
| CN109586921B (zh) * | 2018-12-14 | 2021-07-02 | 飞天诚信科技股份有限公司 | 一种实现动态口令的方法及*** |
| CN111131140B (zh) * | 2019-09-30 | 2022-11-08 | 武汉信安珞珈科技有限公司 | 基于消息推送增强Windows操作***登录安全性的方法和*** |
| CN110995416A (zh) * | 2019-10-12 | 2020-04-10 | 武汉信安珞珈科技有限公司 | 一种将移动端与客户端关联的方法 |
| CN111666560A (zh) * | 2020-05-28 | 2020-09-15 | 南开大学 | 一种基于可信执行环境的密码管理方法和*** |
| CN112039676A (zh) * | 2020-09-01 | 2020-12-04 | 中国银行股份有限公司 | 一种Token动态验证码安全生成方法、装置及设备 |
| CN113852681B (zh) * | 2021-09-22 | 2024-07-12 | 深信服科技股份有限公司 | 一种网关认证方法、装置及安全网关设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102722813A (zh) * | 2012-04-21 | 2012-10-10 | 郁晓东 | 一种阶层式多种电子货币的装置和管理方法 |
| CN103714459A (zh) * | 2013-12-26 | 2014-04-09 | 电子科技大学 | 一种智能终端安全支付***及方法 |
| US20140164762A1 (en) * | 2012-12-06 | 2014-06-12 | Hon Hai Precision Industry Co., Ltd. | Apparatus and method of online authentication |
| CN105046488A (zh) * | 2014-04-24 | 2015-11-11 | Xilix有限公司 | 用于生成交易签署一次性密码的方法、设备和*** |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1980127A (zh) * | 2005-12-08 | 2007-06-13 | ***股份有限公司 | 口令认证***及口令认证方法 |
| US8667285B2 (en) * | 2007-05-31 | 2014-03-04 | Vasco Data Security, Inc. | Remote authentication and transaction signatures |
| CN101699892B (zh) * | 2009-10-30 | 2012-06-06 | 北京神州付电子支付科技有限公司 | 动态口令生成方法和动态口令生成装置及网络*** |
| CN101741843B (zh) * | 2009-12-10 | 2012-12-12 | 北京握奇数据***有限公司 | 利用公钥基础设施实现用户身份验证的方法、设备及*** |
| CN102255917B (zh) * | 2011-08-15 | 2014-09-03 | 北京宏基恒信科技有限责任公司 | 动态令牌的密钥更新及同步方法、***及装置 |
| US9430211B2 (en) * | 2012-08-31 | 2016-08-30 | Jpmorgan Chase Bank, N.A. | System and method for sharing information in a private ecosystem |
| CN103220280A (zh) * | 2013-04-03 | 2013-07-24 | 天地融科技股份有限公司 | 动态口令牌、动态口令牌数据传输方法及*** |
| CN105809536A (zh) * | 2014-12-29 | 2016-07-27 | 北京握奇智能科技有限公司 | 一种网银交易*** |
-
2015
- 2015-12-01 CN CN201811032412.8A patent/CN108809659B/zh active Active
- 2015-12-01 CN CN201510862528.4A patent/CN105516104B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102722813A (zh) * | 2012-04-21 | 2012-10-10 | 郁晓东 | 一种阶层式多种电子货币的装置和管理方法 |
| US20140164762A1 (en) * | 2012-12-06 | 2014-06-12 | Hon Hai Precision Industry Co., Ltd. | Apparatus and method of online authentication |
| CN103714459A (zh) * | 2013-12-26 | 2014-04-09 | 电子科技大学 | 一种智能终端安全支付***及方法 |
| CN105046488A (zh) * | 2014-04-24 | 2015-11-11 | Xilix有限公司 | 用于生成交易签署一次性密码的方法、设备和*** |
Non-Patent Citations (1)
| Title |
|---|
| 张文: "动态口令身份认证***的设计与实现", 《微计算机信息》 * |
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105847000A (zh) * | 2016-05-27 | 2016-08-10 | 深圳市雪球科技有限公司 | 令牌产生方法以及基于该令牌产生方法的通信*** |
| CN111800276A (zh) * | 2016-05-30 | 2020-10-20 | 创新先进技术有限公司 | 业务处理方法及装置 |
| CN111800276B (zh) * | 2016-05-30 | 2022-12-23 | 创新先进技术有限公司 | 业务处理方法及装置 |
| CN106230594A (zh) * | 2016-07-22 | 2016-12-14 | 浪潮通用软件有限公司 | 一种基于动态口令进行用户认证的方法 |
| CN106230594B (zh) * | 2016-07-22 | 2019-06-25 | 浪潮通用软件有限公司 | 一种基于动态口令进行用户认证的方法 |
| CN106411856A (zh) * | 2016-09-06 | 2017-02-15 | 北京交通大学 | 基于移动终端人脸识别的认证方法和装置 |
| US11258871B2 (en) | 2016-11-14 | 2022-02-22 | Huawei Technologies Co., Ltd. | Message push method and terminal |
| CN108605046A (zh) * | 2016-11-14 | 2018-09-28 | 华为技术有限公司 | 一种消息推送方法及终端 |
| CN108605046B (zh) * | 2016-11-14 | 2021-02-12 | 华为技术有限公司 | 一种消息推送方法及终端 |
| CN108234113A (zh) * | 2016-12-15 | 2018-06-29 | 腾讯科技(深圳)有限公司 | 身份验证方法、装置与*** |
| CN108234113B (zh) * | 2016-12-15 | 2020-11-27 | 腾讯科技(深圳)有限公司 | 身份验证方法、装置与*** |
| CN107092819A (zh) * | 2017-03-08 | 2017-08-25 | 广东欧珀移动通信有限公司 | 一种指纹录入检验方法及装置 |
| CN107092819B (zh) * | 2017-03-08 | 2020-04-14 | Oppo广东移动通信有限公司 | 一种指纹录入检验方法及装置 |
| CN107104792A (zh) * | 2017-04-05 | 2017-08-29 | 中国人民大学 | 一种便携式移动口令管理***及其管理方法 |
| CN107248135A (zh) * | 2017-04-26 | 2017-10-13 | 阿里巴巴集团控股有限公司 | 防伪图像的生成、识别方法及装置、计算机存储介质 |
| CN107248135B (zh) * | 2017-04-26 | 2021-01-12 | 创新先进技术有限公司 | 防伪图像的生成、识别方法及装置、计算机存储介质 |
| CN107240157A (zh) * | 2017-05-12 | 2017-10-10 | 努比亚技术有限公司 | 近场通信安全控制方法、移动终端及计算机可读存储介质 |
| CN108616516A (zh) * | 2018-04-03 | 2018-10-02 | 四川新网银行股份有限公司 | 一种基于多种加密算法的第三方明文口令校验方法 |
| CN108768655A (zh) * | 2018-04-13 | 2018-11-06 | 北京握奇智能科技有限公司 | 动态口令生成方法和*** |
| CN108616352A (zh) * | 2018-04-13 | 2018-10-02 | 北京握奇智能科技有限公司 | 基于安全元件的动态口令生成方法和*** |
| CN108616352B (zh) * | 2018-04-13 | 2022-01-18 | 北京握奇智能科技有限公司 | 基于安全元件的动态口令生成方法和*** |
| CN108768655B (zh) * | 2018-04-13 | 2022-01-18 | 北京握奇智能科技有限公司 | 动态口令生成方法和*** |
| CN111371770A (zh) * | 2020-02-28 | 2020-07-03 | 赵勇 | 外来访客的智能动态授权***及方法 |
| CN111371770B (zh) * | 2020-02-28 | 2020-12-22 | 乐清市川嘉电气科技有限公司 | 外来访客的智能动态授权***及方法 |
| CN113553204A (zh) * | 2021-09-16 | 2021-10-26 | 支付宝(杭州)信息技术有限公司 | 一种数据传输方法及装置 |
| CN115288562A (zh) * | 2022-06-29 | 2022-11-04 | 北京计算机技术及应用研究所 | 一种具有物品识别功能的可搬移智能管控柜 |
| CN115288562B (zh) * | 2022-06-29 | 2023-09-22 | 北京计算机技术及应用研究所 | 一种具有物品识别功能的可搬移智能管控柜 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108809659B (zh) | 2022-01-18 |
| CN105516104B (zh) | 2018-10-26 |
| CN108809659A (zh) | 2018-11-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105516104A (zh) | 一种基于tee的动态口令的身份验证方法及*** | |
| CN105429760A (zh) | 一种基于tee的数字证书的身份验证方法及*** | |
| TWI667585B (zh) | 一種基於生物特徵的安全認證方法及裝置 | |
| JP6703151B2 (ja) | ブルートゥースインタフェースを備える認証装置 | |
| US20210266318A1 (en) | Authenticator centralization and protection based on authenticator type and authentication policy | |
| US10205711B2 (en) | Multi-user strong authentication token | |
| EP2355443B1 (en) | Network authentication method and device for implementing the same | |
| EP1807966B1 (en) | Authentication method | |
| KR100331671B1 (ko) | 퍼스널 디바이스, 단말기, 서버, 및 사용자와 단말기간에신뢰 접속을 설정하기 위한 방법 | |
| EP2420036B1 (en) | Method and apparatus for electronic ticket processing | |
| KR101724401B1 (ko) | 생체 정보 인식과 키 분할 방식을 이용한 공인인증 시스템 및 그 방법, 그 방법을 수행하는 프로그램이 기록된 기록매체 | |
| US20120185697A1 (en) | Universal Authentication Token | |
| CN101517562A (zh) | 通过多个模式对一次性密码的用户进行注册和验证的方法以及记录有执行该方法的程序的计算机可读记录介质 | |
| WO2020018182A1 (en) | Public-private key pair protected password manager | |
| KR101661189B1 (ko) | 앱의 실행을 지문으로 인증하는 지문 인증 시스템 및 지문 인증 방법 | |
| KR101769861B1 (ko) | 패스워드 노출 없는 hsm 스마트 카드를 이용한 사용자 바이오 인증 방법 및 시스템 | |
| KR101696400B1 (ko) | 음파 신호를 이용한 모바일 인증 서비스 제공 방법 및 이를 구현하기 위한 모바일 인증 시스템 | |
| EP4250208B1 (en) | Devices, methods and a system for secure electronic payment transactions | |
| EP4250209B1 (en) | Devices, methods and a system for secure electronic payment transactions | |
| EP4250207B1 (en) | Devices, methods and a system for secure electronic payment transactions | |
| EP3163486A1 (en) | A method to grant delegate access to a service | |
| JP2002073859A (ja) | 電子チケットの管理機能を有する携帯認証装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |