CN105577606A - 一种实现认证器注册的方法和装置 - Google Patents
一种实现认证器注册的方法和装置 Download PDFInfo
- Publication number
- CN105577606A CN105577606A CN201410529164.3A CN201410529164A CN105577606A CN 105577606 A CN105577606 A CN 105577606A CN 201410529164 A CN201410529164 A CN 201410529164A CN 105577606 A CN105577606 A CN 105577606A
- Authority
- CN
- China
- Prior art keywords
- authenticator
- registration
- server
- user
- private key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及通信技术领域,提供了一种认证器注册的方法及装置,包括:接收认证客户端发送的注册状态查询消息;注册状态查询消息包含第一用户在服务器上的鉴权信息;根据鉴权信息与认证器保存的私钥,确定认证器上不存在第一用户的注册记录;向认证客户端发送注册状态为未注册的注册状态查询响应消息;接收认证客户端发送的认证器注册请求;根据服务器的应用标识,对所述第一用户在服务器上进行注册。根据第一用户在服务器上的鉴权信息与认证器保存的私钥,可以准确的判断认证器是否已经为第一用户在服务器上进行了注册,从而使得认证器已经为其他用户在服务器上进行注册的情况下,能进一步的为第一用户在相同的服务器上进行注册。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种认证器注册的方法、装置及***。
背景技术
早期的身份认证,一般依靠用户名+密码的方式进行。用户登录网站后,需要输入用户名以及与之相对应的密码,网站通过与自己保存的用户名和密码进行比对,从而判定用户是否是合法用户。这种身份认证方式需要网站保存用户的密码。无论该密码以明文形式保存,还是以其他加密形式保存,都存在被泄露的风险。
为了提高身份认证的安全性,一种可行的方法是采用多元认证,即采用不同类型的认证方式来确保用户身份的合法性。U2F(Universal2ndFactor)协议是一种简化的,辅助性的认证协议。U2F认证器的定位是作为辅助认证因素,配合网页密码等其他密码一同对用户进行身份认证,从而有效的提高了用户账户的安全性。U2F协议的应用场景通常包括三个逻辑实体:
服务器:代表用户身份管理方的服务器,可以是服务提供商的服务器,也可以是身份提供商(IDP,IdentityProvider)的服务器;
认证客户端:连接认证器与服务器,如浏览器插件。
认证器:如网银U盾。
认证器通过认证客户端实现为用户在服务器上进行注册和认证。认证器注册流程主要实现在用户、认证器和服务器之间建立关联关系。注册成功后,认证器将产生一组公私钥,以及私钥句柄。认证器保存私钥、私钥句柄和应用标识,并发送公钥及私钥句柄至服务器,服务器保存用户标识、私钥句柄、公钥。
认证器在注册前,需要先检查是否已经为用户在服务器上注册,以防止重复注册。如果认证器认为已经为用户在服务器上进行了注册,则不再进行注册。现有技术中,认证器检查是否已经注册的方法为:根据认证客户端发送的注册状态查询消息,认证器可以获得服务器的应用标识和一个私钥句柄。认证器根据该私钥句柄在本地查询对应的私钥及应用标识;若查不到,则认为当前认证器上没有对这个用户注册过;若查到对应的私钥及应用标识,则将该应用标识和注册状态查询消息中的服务器的应用标识对比,若不相同,则认为当前认证器上没有对这个用户注册过;若该应用标识与注册状态查询消息中的服务器的应用标识也相同,则认为当前认证器已经对这个用户在服务器上注册过。
然而,实际上这种方法并不能准确的判断是否已经为某个用户在服务器上注册。例如第一用户曾经使用第一认证器在服务器(假设为中国银行)上注册,第一认证器保存了注册记录{appid=boc.com;keyhandle=1;prikey=aaaa},同时,在服务器侧,保存了第一用户使用第一认证器进行注册的注册记录{publicKey=12345;keyhandle=1;ID=第一用户标识}。第二用户曾经使用第二认证器在服务器上注册,该第二认证器为第二用户保存的注册记录为{appid=boc.com;keyhandle=1;pricey=bbbb}。在服务器侧,保存了第二用户使用第二认证器进行注册的注册记录{publicKey=23456;keyhandle=1;ID=第二用户标识}。
依据现有技术,当第一用户希望使用第二认证器在服务器上进行注册时,第二认证器会根据第一用户在服务器上的注册记录来检查是否已经为第一用户在服务器上注册过。具体的,服务器根据第一用户标识获得第一用户在服务器上的注册记录{publicKey=12345;keyhandle=1;ID=第一用户标识}。服务器根据注册记录{publicKey=12345;keyhandle=1;ID=第一用户标识},构造注册请求,注册请求中包括服务器的应用标识boc.com和服务器上第一用户的注册记录中的私钥句柄keyhandle=1。认证客户端根据注册请求消息中的服务器的应用标识boc.com和服务器上第一用户的注册记录中的私钥句柄keyhandle=1,构造注册状态查询消息,并发送给第二认证器。第二认证器根据服务器上第一用户的注册记录中的私钥句柄keyhandle=1可以查找到第二用户的注册记录{appid=boc.com;keyhandle=1;pricey=bbbb},并且该第二用户的注册记录中的appid与服务器的应用标识也相同。因此,第二认证器会认为已经为第一用户在服务器上完成过注册。由此,第一用户将无法用第二认证器注册,从而造成同一认证器不能被多个用户在同一个服务器上使用的问题。
发明内容
本发明实施例提供了一种认证器注册的方法和装置,使得认证器已经为其他用户在服务器上进行注册的情况下,能进一步的为第一用户在相同的服务器上进行注册。
第一方面,本发明实施例提供了一种认证器注册的方法,包括:接收认证客户端发送的注册状态查询消息;其中,所述注册状态查询消息包含第一用户在服务器上的鉴权信息;根据所述鉴权信息与认证器保存的私钥,确定所述认证器上不存在所述第一用户的注册记录;向所述认证客户端发送注册状态为未注册的注册状态查询响应消息;接收所述认证客户端发送的认证器注册请求,所述认证器注册请求中包括所述服务器的应用标识;根据所述服务器的应用标识,对所述第一用户在所述服务器上进行注册。
结合第一方面,在第一方面的第一种可能的实施方式中,在所述根据所述服务器的应用标识,对所述第一用户在所述服务器上进行注册之后,所述方法还包括:根据所述认证器注册请求,向所述认证客户端发送认证器注册响应,所述认证器注册响应中包括所述认证器生成的公钥和私钥句柄,以便于所述认证客户端向所述服务器发送第一注册响应,所述第一注册响应包括所述认证器生成的公钥和私钥句柄。
结合第一方面或者第一方面的第一种可能的实施方式,在第一方面的第二种可能的实施方式中,所述鉴权信息为在所述服务器上保存的所述第一用户的注册记录中的公钥,所述根据所述鉴权信息与认证器保存的私钥,确定所述认证器上不存在所述第一用户的注册记录,具体包括:使用在所述服务器上保存的所述第一用户的注册记录中的公钥加密第一参数;确定使用所述认证器保存的私钥无法对加密后的第一参数进行解密,其中,所述第一参数包括所述认证器已知的任何参数中的至少一个;或使用所述认证器保存的私钥加密第一参数;确定使用在所述服务器上的所述第一用户的注册记录中的公钥无法对加密后的第一参数进行解密,其中,所述第一参数包括所述认证器已知的任何参数中的至少一个。
结合第一方面或者第一方面的第一种可能的实施方式,在第一方面的第三种可能的实施方式中,所述鉴权信息为所述服务器使用在所述服务器上保存的所述第一用户的注册记录中的公钥对第二参数加密后的信息,所述根据所述鉴权信息与认证器保存的私钥,确定所述认证器上不存在所述第一用户的注册记录,具体包括:使用所述认证器保存的私钥对所述加密后的信息进行解密,确定无法使用所述认证器保存的私钥对所述加密后的信息进行解密;其中,所述第二参数包括所述认证器已知的任何参数中的至少一个。
结合第一方面和第一方面的第一种实现方式至第一方面第三种实现方式中任一实现方式,在第一方面的第四种实现方式中,所述注册状态查询消息中还包括在所述服务器上保存的与所述鉴权信息对应的所述第一用户的注册记录中的私钥句柄;在所述根据所述鉴权信息与认证器保存的私钥,确定所述认证器上不存在所述第一用户的注册记录之前,所述方法还包括:根据所述在所述服务器上保存的所述第一用户的注册记录中的私钥句柄获取认证器保存的注册记录;根据获取的所述认证器保存的注册记录,获取所述认证器保存的私钥。
第二方面,本发明实施例提供了一种认证器注册的方法,包括:接收服务器发送的第一注册请求,其中,所述第一注册请求包括第一用户在服务器上的鉴权信息和所述服务器的应用标识;向认证器发送注册状态查询消息,所述注册状态查询消息包含所述鉴权信息;接收所述认证器发送的注册状态查询响应消息,所述注册状态查询响应消息包含指示未注册的注册状态;向所述认证器发送认证器注册请求,所述认证器注册请求中包括所述服务器的应用标识。
结合第二方面,在第二方面的第一种实现方式中,在所述向所述认证器发送注册请求之后,所述方法还包括:接收所述认证器发送的认证器注册响应,所述认证器注册响应中包括所述认证器生成的公钥和私钥句柄;根据所述认证器注册响应,向所述服务器发送第一注册响应,所述第一注册响应中包括所述认证器生成的公钥和私钥句柄。
结合第二方面或者第二方面的第一种实现方式,在第二方面的第二中实现方式中,所述鉴权信息为在所述服务器上保存的所述第一用户的注册记录中的公钥;或所述鉴权信息为所述服务器使用在所述服务器上保存的所述第一用户的注册记录中的公钥对第二参数加密后得到的信息;其中,所述第二参数包括所述认证器已知的任何参数中的至少一个。
第三方面,本发明实施例提供了一种认证器的注册方法,包括当接收第一用户触发的注册请求后,向认证客户端发送第一注册请求,其中,所述第一注册请求包括所述第一用户在服务器上的鉴权信息和所述服务器的应用标识;接收所述认证客户端发送的第一注册响应;其中,所述第一注册响应包括认证器生成的公钥和私钥句柄;将所述认证器生成的公钥和私钥句柄保存到所述服务器上所述第一用户的注册记录中。
结合第三方面,在第三方面的第一种实施方式中,所述鉴权信息为在所述服务器上保存的所述第一用户的注册记录中的公钥;或所述服务器使用在所述服务器上保存的所述第一用户的注册记录中的公钥对第二参数加密后得到的信息;其中,所述第二参数包括所述认证器已知的任何参数中的至少一个。
第四方面,本发明实施例提供了一种认证器注册装置,包括接收模块:用于接收认证客户端发送的注册状态查询消息;其中,所述注册状态查询消息包含第一用户在服务器上的鉴权信息;确定模块:用于根据所述接收模块接收的注册状态查询消息中的鉴权信息与认证器保存的私钥,确定所述认证器上不存在所述第一用户的注册记录;发送模块:用于向所述认证客户端发送注册状态为未注册的注册状态查询响应消息;所述接收模块,还用于接收所述认证客户端发送的认证器注册请求,所述认证器注册请求中包括所述服务器的应用标识;注册模块:用于根据所述接收模块接收的服务器的应用标识,对所述第一用户在所述服务器上进行注册。
结合第四方面,在第四方面的第一种实施方式中,所述发送模块,还用于根据所述认证器注册请求,向所述认证客户端发送认证器注册响应,所述认证器注册响应中包括所述认证器生成的公钥和私钥句柄,以便于所述认证客户端向所述服务器发送第一注册响应,所述第一注册响应包括所述认证器生成的公钥和私钥句柄。
结合第四方面或第四方面的第一种实施方式,在第四方面的第二种实施方式中,所述鉴权信息为在所述服务器上保存的所述第一用户的注册记录中的公钥,所述确定模块具体用于:使用在所述服务器上保存的所述第一用户的注册记录中的公钥加密第一参数;确定使用所述认证器保存的私钥无法对加密后的第一参数进行解密,其中,所述第一参数包括所述认证器已知的任何参数中的至少一个;或使用所述认证器保存的私钥加密第一参数;确定使用在所述服务器上的所述第一用户的注册记录中的公钥无法对加密后的第一参数进行解密,其中,所述第一参数包括所述认证器已知的任何参数中的至少一个。
结合第四方面或第四方面的第一种实施方式,在第四方面的第三种实施方式中,所述鉴权信息为所述服务器使用在所述服务器上保存的所述第一用户的注册记录中的公钥对第二参数加密后的信息,所述确定模块具体用于:使用所述认证器保存的私钥对所述加密后的信息进行解密,确定无法使用所述认证器保存的私钥对所述加密后的信息进行解密;其中,所述第二参数包括所述认证器已知的任何参数中的至少一个。
结合第四方面和第四方面的第一种实现方式至第四方面第三种实现方式中任一实现方式,在第四方面的第四种实现方式中,所述注册状态查询消息中还包括在所述服务器上保存的与所述鉴权信息对应的所述第一用户的注册记录中的私钥句柄;在所述确定模块,用于根据所述鉴权信息与认证器保存的私钥,确定所述认证器上不存在所述第一用户的注册记录之前,所述装置还包括:获取模块:用于根据所述在所述服务器上保存的所述第一用户的注册记录中的私钥句柄获取认证器保存的注册记录;所述获取模块,还用于根据获取的所述认证器保存的注册记录,获取所述认证器保存的私钥。
第五方面,本发明实施例提供了一种认证客户端,包括接收模块:用于接收服务器发送的第一注册请求,其中,所述第一注册请求包括第一用户在服务器上的鉴权信息;发送模块:用于根据所述接收模块接收到的第一注册请求,向认证器发送注册状态查询消息,所述注册状态查询消息包含所述鉴权信息;所述接收模块,还用于接收所述认证器发送的注册状态查询响应消息,所述注册状态查询响应消息包含指示未注册的注册状态;所述发送模块,还用于根据所述接收模块接收到的注册状态查询消息,向所述认证器发送认证器注册请求,所述认证器注册请求中包括所述服务器的应用标识。
结合第五方面,在第五方面的第一种实现方式中,在所述发送模块用于向所述认证器发送认证器注册请求之后,所述认证客户端还包括:所述接收模块,还用于接收所述认证器发送的认证器注册响应,所述认证器注册响应中包括所述认证器生成的公钥和私钥句柄;所述发送模块,还用于根据所述接收模块接收到的所述认证器注册响应,向所述服务器发送第一注册响应,所述第一注册响应中包括所述认证器生成的公钥和私钥句柄。
结合第五方面或第五方面的第一种实现方式,在第五方面的第二种实现方式中,所述鉴权信息为在所述服务器上保存的所述第一用户的注册记录中的公钥;或所述鉴权信息为所述服务器使用在所述服务器上保存的所述第一用户的注册记录中的公钥对第二参数加密后得到的信息;其中,所述第二参数包括所述认证器已知的任何参数中的至少一个。
第六方面,本发明实施例提供了一种认证器的注册服务器,包括发送模块:用于当接收第一用户触发的注册请求后,向认证客户端发送第一注册请求,其中,所述第一注册请求包括所述第一用户在服务器上的鉴权信息和所述服务器的应用标识;接收模块:用于接收所述认证客户端发送的第一注册响应;其中,所述第一注册响应包括认证器生成的公钥和私钥句柄;保存模块:用于将所述认证器生成的公钥和私钥句柄保存到所述服务器上所述第一用户的注册记录中。
结合第六方面,在第六方面的第一种实现方式中,所述鉴权信息为在所述服务器上保存的所述第一用户的注册记录中的公钥;或所述服务器使用在所述服务器上保存的所述第一用户的注册记录中的公钥对第二参数加密后得到的信息;其中,所述第二参数包括所述认证器已知的任何参数中的至少一个。
第七方面,本发明实施例提供了一种认证器注册装置,包括:处理器、存储器;其中,所述存储器中存有计算机可读程序;所述处理器通过运行所述存储器中的程序,以用于完成上述第一方面任一所述实现方式提供的方法。
本实施例认证器根据第一用户在服务器上的鉴权信息与认证器保存的私钥,可以准确的判断认证器是否已经为第一用户在服务器上进行了注册,从而使得认证器已经为其他用户在服务器上进行注册的情况下,能进一步的为第一用户在相同的服务器上进行注册。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例提供的认证器的注册方法的流程图;
图2为本发明又一实施例提供的认证器的注册方法的流程图;
图3为本发明又一实施例提供的认证器的注册方法的流程图;
图4为本发明实施例提供的认证器注册方法的信令交互图;
图5为本发明实施例提供的一种认证器注册装置的结构示意图;
图6为本发明实施例提供的认证客户端的结构示意图;
图7为本发明实施例提供的服务器的结构示意图;
图8为本发明实施例提供的一种认证器注册装置的结构示意图;
图9为本发明实施例提供的认证客户端的结构示意图;
图10为本发明实施例提供的服务器的结构示意图;
图11为本发明实施例提供的认证器注册的***的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种认证器的注册方法及装置,使得认证器已经为其他用户在服务器上进行注册的情况下,能进一步的为第一用户在相同的服务器上进行注册。
本发明实施例中的认证器注册的方法可以实现在任一U2F设备上,比如网银U盾。服务器可以是中国银行、淘宝或者游戏平台等服务提供商的服务器或者是独立的身份提供商的服务器。当用户希望使用某服务器上的账户时,需要先对用户身份进行认证。为了对用户身份进行认证,需要先使用认证器为用户在服务器上进行注册。认证器可以通过浏览器插件等认证客户端为用户在服务器上进行注册。本发明实施例中,第一用户已经拥有一个第一认证器,并且该第一认证器已经为该第一用户在服务器上进行注册。用户希望使用第二认证器为自己在同一个服务器上进行注册,其中,所述第二认证器已经为其他用户在同一个服务器上进行了注册。
请参阅图1,图1示出了本发明认证器注册的方法一个实施例,本实施例方法包括:
102、认证器接收认证客户端发送的注册状态查询消息;其中,所述注册状态查询消息包含第一用户在服务器上的鉴权信息;
具体的,在认证器为第一用户在该服务器上进行注册,从而生成一对公私钥和私钥句柄之前,认证客户端构造注册状态查询消息,对认证器的注册状态进行查询,确认认证器是否已经为第一用户在该服务器上进行了注册,以避免出现重复注册的情况。
具体的,在认证器接收认证客户端发送的注册状态查询消息之前,认证客户端接收服务器发送的第一注册请求,其中,所述第一注册请求消息包括所述鉴权信息。所述认证客户端根据所述第一注册请求构造所述注册状态查询消息。
104、根据所述鉴权信息与认证器保存的私钥,确定所述认证器上不存在所述第一用户的注册记录;
当认证器为用户在服务器上进行注册时,会生成一个公钥、一个私钥和一个私钥句柄。认证器将私钥和私钥句柄保存为认证器上该用户的注册记录,并且将公钥和私钥句柄经过认证客户端发送给服务器,服务器将公钥和私钥句柄保存在该服务器上该用户的注册记录中。
可选的,所述鉴权消息为在所述服务器上保存的所述第一用户的注册记录中的公钥,所述根据所述鉴权信息与认证器保存的私钥,确定所述认证器上不存在所述第一用户的注册记录,具体包括:使用在所述服务器上保存的所述第一用户的注册记录中的公钥加密第一参数;确定使用所述认证器保存的私钥无法对加密后的第一参数进行解密,其中,所述第一参数包括所述认证器已知的任何参数中的至少一个,比如所述认证器生成的随机数、认证器保存的私钥以及所述认证器保存的私钥句柄中的至少一个;或使用所述认证器保存的私钥加密第一参数;确定使用在所述服务器上的所述第一用户的注册记录中的公钥无法对加密后的第一参数进行解密,其中,所述第一参数包括所述认证器已知的任何参数中的至少一个,比如所述认证器生成的随机数、认证器保存的私钥以及所述认证器保存的私钥句柄中的至少一个。
可选的,所述鉴权信息为所述服务器使用在所述服务器上保存的所述第一用户的注册记录中的公钥对第二参数加密后的信息,所述根据所述鉴权信息与认证器保存的私钥,确定所述认证器上不存在所述第一用户的注册记录,具体包括:使用所述认证器保存的私钥对所述加密后的信息进行解密,确定无法使用所述认证器保存的私钥对所述加密后的信息进行解密;其中,所述第二参数包括所述认证器已知的任何参数中的至少一个,比如所述服务器的应用标识和在所述服务器上所述第一用户的注册记录中保存的私钥句柄中的至少一个。
上述两种确定所述认证器上不存在所述第一用户的注册记录的方法,都是基于在现代密码体制中加密和解密是采用不同的密钥,即公钥和私钥,这两把密钥可以互为加解密,并且一个公钥对应一个私钥。如果用其中一个密钥加密数据,则只有对应的密钥才可以解密。如果用其中一个密钥可以进行解密数据,则该数据必然是对应的密钥进行的加密。通过这种加密解密方法,可以准确的确定所述认证器上是否存在所述第一用户的注册记录。上述两个方法区别在于:当所述鉴权信息为在所述服务器上保存的所述第一用户的注册记录中的公钥时,加密和解密操作都是由认证器进行的;当所述鉴权信息为所述服务器使用在所述服务器上保存的所述第一用户的注册记录中的公钥对第二参数加密后得到的信息时,加密操作是由服务器进行的,而解密操作是由认证器进行的。由于认证器和服务器本身都具备加密解密功能模块,所以该方法不需要增加额外的硬件支持,也不需要增加额外的安全存储空间。
需要说明的是,当认证器中存在多条认证器注册记录时,每一条认证器注册记录中都包括一个私钥,此时需要根据所述鉴权信息与认证器保存的所有的私钥,来确定所述认证器上是否存在所述第一用户的注册记录。比如认证器上有m条注册记录,其中m为正整数,根据第一条认证器注册记录中保存的私钥与所述鉴权消息,可以判断所述第一条认证器注册记录是否为第一用户的注册记录;根据第二条认证器注册记录中保存的私钥与所述鉴权消息,可以判断所述第二条认证器注册记录是否为第一用户的注册记录等等。当该m条注册记录都不是第一用户的注册记录时,确定所述认证器上不存在所述第一用户的注册记录。
可选的,在步骤102中,所述注册状态查询消息中还包括在所述服务器上保存的与所述鉴权信息对应的所述第一用户的注册记录中的私钥句柄。具体的,当所述鉴权信息为在所述服务器上保存的所述第一用户的注册记录中的公钥或者是所述服务器使用在所述服务器上保存的所述第一用户的注册记录中的公钥对第二参数加密后的信息时,则与所述鉴权信息对应的所述第一用户的注册记录中的私钥句柄就是指该公钥所在的注册记录中的私钥句柄。认证器先根据所述在所述服务器上保存的所述第一用户的注册记录中的私钥句柄获取认证器保存的注册记录,然后认证器根据所述认证器保存的注册记录,获取所述认证器保存的私钥。进一步的,再根据所述鉴权信息与认证器保存的私钥,确定所述认证器上不存在所述第一用户的注册记录。当认证器上存在多条注册记录时,此时,只要进行一次判定,即可确定所述认证器上不存在所述第一用户的注册记录,提高了认证器注册状态查询的效率。
步骤106:向所述认证客户端发送注册状态为未注册的注册状态查询响应消息;
具体的,当根据所述鉴权信息与认证器保存的私钥,确定所述认证器上不存在所述第一用户的注册记录时,说明认证器还没有为第一用户在服务器上进行注册,认证器向认证客户端发送注册状态查询响应消息并且标识注册状态为“未注册”。
可选的,当根据所述鉴权信息与认证器保存的私钥,确定所述认证器上存在所述第一用户的注册记录时,说明认证器已经为第一用户在服务器上进行注册,不需要再进行注册,认证器向认证客户端返回注册状态查询响应消息并标识注册状态为“已注册”。
具体的,注册状态查询响应消息可以采用USBADPU(UniversalSerialBusApplicationProcotolsDataUnits)消息,具体格式为:
–已注册:以0x690x85开头,无payload
–未注册:以0x6A0x80开头,无payload
当接收到所述注册状态查询响应消息后,认证客户端根据所述注册状态查询响应消息确定认证器是否已经为第一用户在服务器上进行过注册。
步骤108:接收认证客户端发送的注册请求,所述认证器注册请求中包括所述服务器的应用标识;
具体的,当认证客户端接收到认证器发送的注册状态为“未注册”的注册状态查询响应消息后,构造注册请求,并将所述注册请求发送给认证器。所述注册请求中包括所述服务器的应用标识,以指示所述认证器为第一用户在所述服务器上进行注册。
步骤110:根据所述服务器的应用标识,对所述第一用户在所述服务器上进行注册。
具体的,认证器根据所述认证器注册请求中的服务器的应用标识,对所述第一用户在所述服务器上进行注册,从而生成一对公私钥以及私钥句柄是为本领域技术人员所熟知的内容,所以本发明不再赘述。私钥句柄是认证器内部对私钥的索引,生成方法不固定,比如可以是认证器生成一个随机数,但是由于认证器的安全存储空间有限,所述私钥句柄可能是一个简单的随机数。
可选的,在根据所述注册请求对所述第一用户在所述服务器上进行注册之后,所述认证器向认证器客户端返回认证器注册响应,所述注册响应中包括所述认证器为第一用户在所述服务器上进行注册生成的公钥和私钥句柄。认证器客户端根据所述认证器注册响应,向所述服务器发送第一注册响应,所述第一注册响应中包括所述认证器为第一用户在所述服务器上进行注册生成的公钥和私钥句柄。
可选的,在步骤102之前,认证客户端接收服务器发送的第一注册请求,认证客户端根据所述第一注册请求构造注册状态查询消息。第一用户在服务器上的鉴权信息、在所述服务器上保存的所述第一用户的注册记录中的私钥句柄以及所述服务器的应用标识可以通过所述第一注册请求携带。
本实施例认证器根据第一用户在服务器上的鉴权信息与认证器保存的私钥,可以准确的判断认证器是否已经为第一用户在服务器上进行了注册,从而使得认证器已经为其他用户在服务器上进行注册的情况下,能进一步的为第一用户在相同的服务器上进行注册。
图2为本发明提供的认证器注册方法实施例二的流程图。本方法实施例描述的是认证客户端的处理流程,所述认证客户端可以是安装在电脑、平板或终端上的软件或者软件插件,例如浏览器或者浏览器插件。如图2所述,该方法包括如下步骤:
步骤202:接收服务器发送的第一注册请求,其中,所述第一注册请求包括第一用户在服务器上的鉴权信息和所述服务器的应用标识;
可选的,服务器发送第一注册请求之前,需要第一用户触发注册流程,并且服务器会先通过用户账户口令、密码、短信或语音等方式,并且进一步结合已经注册过的认证器,来验证用户身份的合法性,即第一用户需要先登录服务器,确定需要进行认证器注册,并且在身份被确认之后,服务器发送第一注册请求。其中,所述已经注册过的认证器是指所述第一用户之前在所述服务器上进行注册时使用的认证器。
具体的,所述鉴权信息为在所述服务器上保存的所述第一用户的注册记录中的公钥或所述服务器使用在所述服务器上保存的所述第一用户的注册记录中的公钥对第二参数加密后得到的信息;其中,所述第二参数包括所述认证器已知的任何参数中的至少一个,比如所述服务器的应用标识和在所述服务器上所述第一用户的注册记录中保存的私钥句柄中的至少一个。
可选的,所述第一注册请求中还包括在所述服务器上保存的与所述鉴权信息对应的所述第一用户的注册记录中的私钥句柄。
步骤204:向认证器发送注册状态查询消息,其中,所述注册状态查询消息包含所述鉴权信息;
可选的,当所述第一注册请求中还包括在所述服务器上保存的与所述鉴权信息对应的所述第一用户的注册记录中的私钥句柄时,所述注册状态查询消息中还包括在所述服务器上保存的与所述鉴权信息对应的所述第一用户的注册记录中的私钥句柄。
步骤206:接收所述认证器发送的注册状态查询响应消息,所述注册状态查询响应消息包含指示未注册的注册状态;
具体的,所述注册状态查询响应消息为认证器根据所述注册状态查询消息中的鉴权信息与自身保存的私钥,判断认证器是否已经为第一用户在服务器上进行了注册后发送的。如果认证器已经为所述第一用户在所述服务器上进行了注册,则返回注册状态响应消息,并且标识注册状态为“已注册”;如果认证器还没有为所述第一用户在所述服务器上进行了注册,则返回注册状态响应消息,并且标识注册状态为“未注册”。
具体的,注册状态响应消息可以采用USBADPU(UniversalSerialBusApplicationProcotolsDataUnits)消息,具体格式为:
–已注册:以0x690x85开头,无payload
–未注册:以0x6A0x80开头,无payload
当认证客户端接收到所述注册状态响应消息后,根据所述注册状态查询响应消息的格式即可以确定所述认证器是否已经为所述第一用户在所述服务器上进行了注册。
步骤208:向所述认证器发送认证器注册请求,所述认证器注册请求中包括所述服务器的应用标识。
具体的,当认证客户端接收到所述注册状态查询响应消息后,确定所述认证器还没有为所述第一用户在所述服务器上进行注册时,向所述认证器发送认证器注册请求,指示所述认证器对所述第一用户在所述服务器上进行注册。所述认证器注册请求中包括所述服务器的应用标识,或者包括所述服务器的应用标识的哈希变换。
需要说明的是,所述第一用户在所述服务器上可能有N条注册记录,此时步骤202的第一注册请求中会相应的包括N个鉴权信息。在步骤204中,认证客户端会根据第一注册请求中的每一个鉴权信息,分别构造一个注册状态查询消息,即认证客户端会构造N个注册状态查询消息。特别地,当连接在认证客户端上的认证器有P个时,认证客户端将所述N个注册查询消息一一发送给P个认证器。每一个认证器接收到每一个注册状态查询消息时,都会判断自身是否已经为第一用户在服务器上进行了注册,并返回相应的注册状态查询响应消息。当认证客户端接收到某个认证器A根据某一条注册状态查询消息而返回的注册状态为“未注册”的注册状态查询响应消息时,则认证客户端将根据该注册状态查询响应消息,向该认证器A发送认证器注册请求。然后由用户决定是否需要使用认证器A进行注册,比如用户在认证器A上按下确认键等。
进一步的,认证客户端接收所述认证器发送的认证器注册响应,所述认证器注册响应中包括所述认证器生成的公钥以及私钥句柄。认证客户端根据所述认证器注册响应,向所述服务器发送第一注册响应,所述第一注册响应中包括所述认证器生成的公钥和私钥句柄。
本实施例中认证客户端根据第一用户在服务器上的鉴权信息构造注册状态查询消息,以便于认证器根据所述鉴权信息与认证器保存的私钥来准确的判断是否已经为第一用户在服务器上进行了注册,从而使得认证器在已经为其他用户在服务器上进行注册的情况下,能进一步的为第一用户在相同的服务器上进行注册。
图3为本发明提供的认证器注册方法实施例三的流程图。本方法实施例描述的服务器的处理流程,所述服务器可以是提供各种服务的网站或平台,比如中国银行、淘宝或者游戏平台。如图3所述,该方法包括如下步骤:
步骤302:当接收第一用户触发的注册请求后,向认证客户端发送第一注册请求,其中,所述第一注册请求包括所述第一用户在服务器上的鉴权信息和所述服务器的应用标识;
具体的,当第一用户希望使用认证器在服务器上进行注册时,需要先触发认证器注册流程,比如说,第一用户登录服务器后,点击“注册”。然后服务器确认第一用户的身份是否合法,在确定第一用户身份合法后,向认证客户端发送第一注册请求,其中,所述第一注册请求消息包括第一用户在服务器上的鉴权信息。需要说明的是,第一用户在所述服务器上可能有N条注册记录,此时第一注册请求中会相应的包括N个鉴权信息。为了便于描述,本发明实施例中,假设第一用户在所述服务器只有一个注册记录。
具体的,所述确定第一用户身份合法,包括:服务器会先通过用户账户口令、密码、短信或语音等方式,并且进一步结合已经注册过的认证器,来验证用户身份的合法性,即第一用户需要先登录服务器,在身份被确认之后,才开始进行认证器注册流程。其中,所述已经注册过的认证器是指所述第一用户之前在所述服务器上进行注册时使用的认证器。
所述鉴权信息为在所述服务器上保存的所述第一用户的注册记录中的公钥或所述服务器使用在所述服务器上保存的所述第一用户的注册记录中的公钥对第二参数加密后得到的信息;其中,所述第二参数包括所述认证器已知的任何参数中的至少一个,比如所述服务器的应用标识和在所述服务器上所述第一用户的注册记录中保存的私钥句柄中的至少一个。
所述服务器的应用标识用于指示认证器为第一用户在所述服务器上进行注册。
可选的,所述第一注册请求中还包括在所述服务器上保存的与所述鉴权信息对应的所述第一用户的注册记录中的私钥句柄。
步骤304:接收所述认证客户端发送的第一注册响应,其中,所述第一注册响应包括认证器生成公钥和私钥句柄;
可选的,当认证器已经为所述第一用户在所述服务器上注册过时,则所述第一注册响应的内容为空。
步骤306:将所述认证器生成的公钥和私钥句柄保存到所述服务器上所述第一用户的注册记录中。
可选的,在将所述认证器生成公钥和私钥句柄保存到所述服务器上所述第一用户的注册记录中之前,服务器会验证接收到的第一注册响应是否与发送的所述第一注册请求相对应。如果不对应,则丢弃该第一注册响应;如果对应,则服务器根据接收的第一注册响应获取认证器注册生成公钥和私钥句柄,将所述认证器生成公钥和私钥句柄保存到所述服务器上所述第一用户的注册记录中。进一步的,所述第一用户在服务器上的注册记录中还包括所述第一用户的用户标识,其中,所述第一用户的用户标识是步骤302中第一用户身份验证时产生的,比如,可以第一用户的用户名。
本实施例中服务器在向认证客户端发送的第一注册请求携带第一用户在服务器上的鉴权信息,以便于认证器根据所述第一用户在服务器上的鉴权信息与认证器保存的私钥,判断认证器是否已经为第一用户在服务器上进行了注册,从而使得认证器已经为其他用户在服务器上进行注册的情况下,能进一步的为第一用户在相同的服务器上进行注册。
图4为本发明提供的认证器注册方法实施例四的信令交互图。本方法实施例涉及认证器、认证客户端以及服务器相互配合进行注册的处理流程。其中,所述认证器可以是任何U2F设备,比如说U盾;所述认证客户端可以是电脑、平板或终端上的软件或者软件插件,例如浏览器或者浏览器插件;所述服务器可以是中国银行、淘宝或者游戏平台等服务提供商的服务器或者是独立的身份提供商的服务器。在本发明实施例中,用户已经拥有一个第一认证器,并且该第一认证器已经为该用户在服务器上进行注册。用户希望使用第二认证器为自己在同一个服务器上进行注册,其中,所述第二认证器已经为其他用户在同一个服务器上进行了注册。为了防止重复注册,需要判断认证器是否已经为该用户在服务器上进行了注册。如图2所述,该方法包括如下步骤:
步骤402-步骤404:服务器会先通过用户账户口令、密码、短信或语音等方式并且进一步结合已经注册过的认证器,来验证用户身份的合法性;其中,所述已经注册过的认证器是指所述第一用户之前在所述服务器上进行注册时使用的认证器。
具体的,在步骤402中,第一用户需要先利用认证客户端登录服务器,通过用户账户口令、密码、短信或语音等方式,并且进一步结合已经注册过的认证器,输入用户身份信息。在第一用户的身份被服务器确认之后,进入步骤406,从而进入认证器注册流程。
之所以需要结合已经注册过的认证器进行验证,主要是为了防止当用户的用户名和密码丢失后,导致的他人恶意注册,从而影响用户的账户安全。
步骤406:服务器构造第一注册请求;
具体的,所述第一注册请求包括第一用户在服务器上的鉴权信息、要注册的认证器的协议版本号、服务器的应用标识;可选的所述第一注册请求还包括在所述服务器上保存的与所述鉴权消息对应的所述第一用户的注册记录中的私钥句柄。
步骤408:服务器向认证客户端发送第一注册请求;
步骤410:认证客户端根据所述第一注册请求,获取所述认证器的协议版本号和所述服务器的应用标识;确认所述协议版本正确且所述第一注册请求是所述服务器发出。
可选的,如果要注册的认证器的协议版本号不正确,则提示用户进行认证器升级,待升级完成后,继续认证器注册流程。如果要注册的认证器协议版本号正确,则确认第一注册请求是所述服务器发出。具体的,认证器接收到的第一注册请求,可能是第一用户希望注册的服务器发送的,也有可能是网络中钓鱼网站伪造发送的。为了第一用户的注册信息安全,认证客户端会根据所述服务器的应用标识来验证该第一注册请求是否为所述服务器发出的。这样一来,可以有效的避免钓鱼网站的风险。需要说明的是,具体如何确认所述协议版本正确和认证客户端如何根据所述服务器的应用标识来验证该第一注册请求是否为所述服务器发出,为本领域技术人员所熟知的内容,所以本发明实施例对此不作限定。
步骤412:认证客户端构造注册状态查询消息,并将所述注册状态查询消息发送给认证器,其中,所述注册状态查询消息包含第一用户在服务器上的鉴权信息;
具体的,在认证器为第一用户在服务器上进行认证器注册前,需要确认认证器是否已经为第一用户在该服务器上进行了注册。否则有可能出现重复注册的情况,因为认证器的安全存储空间有限,重复注册会占用认证器资源。其中,安全存储空间是指认证器的芯片中一个特定的安全模块。该安全模块只能由认证器读写,无法从外部读取/复制/更改。考虑到成本因素,这部分安全存储空间一般都很小。但是从本质上讲,因为认证器重复注册使用的是同样的算法生成公私钥,所以重复注册生成的公私钥强度不变,并不会增加身份认证的安全性且还会引发其他问题。因此,认证器注册时,要避免重复注册的现象。
具体的,认证客户端构造注册状态查询消息,并发送给连接在认证客户端上的所有认证器。该注册状态查询消息包含第一用户在服务器上的鉴权信息。可选的,所述注册状态查询消息中还可以包括在所述服务器上保存的与所述鉴权消息对应的所述第一用户的注册记录中的私钥句柄。
步骤414:认证器向认证客户端发送注册状态查询响应消息,并且标识注册状态为“未注册”,进入步骤416;
在执行该步骤之前,认证器根据所述注册状态查询消息,获取所述第一用户在服务器上的鉴权信息。进一步,认证器根据所述鉴权信息与认证器保存的私钥,确定所述认证器上不存在所述第一用户的注册记录。
本实施例中,所述鉴权信息可以在所述服务器上保存的所述第一用户的注册记录中的公钥,也可以是服务器在所述服务器上保存的所述第一用户的注册记录中的公钥对第二参数加密后得到的信息,其中,所述第二参数包括所述认证器已知的任何参数中的至少一个,比如所述服务器的应用标识和在所述服务器上所述第一用户的注册记录中保存的私钥句柄中的至少一个。
可选的,所述鉴权消息为在所述服务器上保存的所述第一用户的注册记录中的公钥,所述根据所述鉴权信息与认证器保存的私钥,确定所述认证器上不存在所述第一用户的注册记录,具体包括:使用在所述服务器上保存的所述第一用户的注册记录中的公钥加密第一参数;确定使用所述认证器保存的私钥无法对加密后的第一参数进行解密,其中,所述第一参数包括所述认证器已知的任何参数中的至少一个,比如所述认证器生成的随机数、认证器保存的私钥以及认证器保存的私钥句柄中的至少一个;或使用所述认证器保存的私钥加密第一参数;确定使用在所述服务器上的所述第一用户的注册记录中的公钥无法对加密后的第一参数进行解密,其中,所述第一参数包括所述认证器已知的任何参数中的至少一个,比如所述认证器生成的随机数、认证器保存的私钥以及认证器保存的私钥句柄中的至少一个。
可选的,所述鉴权信息为所述服务器使用在所述服务器上保存的所述第一用户的注册记录中的公钥对第二参数加密后得到的信息,所述根据所述鉴权信息与认证器保存的私钥,确定所述认证器上不存在所述第一用户的注册记录,具体包括:
使用所述认证器保存的私钥对所述加密后得到的信息进行解密,确定无法使用所述认证器保存的私钥对所述加密后得到的信息进行解密;其中,所述第二参数包括所述认证器已知的任何参数中的至少一个,比如所述服务器的应用标识和在所述服务器上所述第一用户的注册记录中保存的私钥句柄中的至少一个。
上述两种确定所述认证器上不存在所述第一用户的注册记录的方法,都是基于在现代密码体制中加密和解密是采用不同的密钥,即公钥和私钥,这两把密钥可以互为加解密。并且一个公钥对应一个私钥。如果用其中一个密钥加密数据,则只有对应的密钥才可以解密。如果用其中一个密钥可以进行解密数据,则该数据必然是对应的密钥进行的加密。通过这种加密解密方法,可以准确的确定所述认证器上是否存在所述第一用户的注册记录。上述两个方法区别在于:当所述鉴权信息为在所述服务器上保存的所述第一用户的注册记录中的公钥时,加密和解密操作都是由认证器进行的;当所述鉴权信息为所述服务器使用在所述服务器上保存的所述第一用户的注册记录中的公钥对第二参数加密后得到的信息时,加密操作是由服务器进行的,而解密操作是由认证器进行的。由于认证器和服务器本身都具备加密解密功能模块,所以该方法不需要增加额外的硬件支持,也不需要增加额外的安全存储空间。
需要说明的是,当认证器中存在多条认证器注册记录时,每一条认证器注册记录中都包括一个私钥,此时需要根据所述鉴权信息与认证器保存的所有的私钥,来确定所述认证器上是否存在所述第一用户的注册记录。比如认证器上有m条注册记录,其中m为正整数,根据第一条认证器注册记录中保存的私钥与所述鉴权消息,可以判断所述第一条认证器注册记录是否为第一用户的注册记录;根据第二条认证器注册记录中保存的私钥与所述鉴权消息,可以判断所述第二条认证器注册记录是否为第一用户的注册记录等等。当该m条注册记录都不是第一用户的注册记录时,确定所述认证器上不存在所述第一用户的注册记录。
可选的,在步骤412中,所述注册状态查询消息中还包括在所述服务器上保存的与所述鉴权信息对应的所述第一用户的注册记录中的私钥句柄。具体的,当所述鉴权信息为在所述服务器上保存的所述第一用户的注册记录中的公钥或者是所述服务器使用在所述服务器上保存的所述第一用户的注册记录中的公钥对第二参数加密后的信息时,则与所述鉴权信息对应的所述第一用户的注册记录中的私钥句柄就是指该公钥所在的注册记录中的私钥句柄。认证器先根据所述在所述服务器上保存的所述第一用户的注册记录中的私钥句柄获取认证器保存的注册记录,然后认证器根据所述认证器保存的注册记录,获取所述认证器保存的私钥。进一步的,再根据所述鉴权信息与认证器保存的私钥,确定所述认证器上不存在所述第一用户的注册记录。当认证器上存在多条注册记录时,此时,只要进行一次判定,即可确定所述认证器上不存在所述第一用户的注册记录,提高了认证器注册状态查询的效率。
当确定所述认证器上存在所述第一用户的注册记录,说明认证器已经为第一用户在所述服务器上进行认证器注册,不需要再进行注册,认证器向认证客户端返回注册状态为“已注册”的注册状态查询响应消息;当确定所述认证器上不存在所述第一用户的注册记录时,说明认证器还没有为第一用户在所述服务器上进行认证器注册,认证器认证客户端发送注册状态为“未注册”的注册状态查询响应消息。
具体的,注册状态查询响应消息可以采用USBADPU(UniversalSerialBusApplicationProcotolsDataUnits)消息,具体格式为:
–已注册:以0x690x85开头,无payload
未注册:以0x6A0x80开头,无payload
当认证客户端接收到所述注册状态响应消息后,根据所述状态查询响应消息的格式即可以确定认证器是否已经为第一用户在服务器上进行了注册。
步骤418:认证客户端向认证器发送注册请求,所述注册请求中包括所述服务器的应用标识;
具体的,当认证客户端接收到所述注册状态查询响应消息后,确定所述认证器还没有为所述第一用户在所述服务器上进行注册时,向所述认证器发送所述注册请求。所述注册请求中包括所述服务器的应用标识,或者包括所述服务器的应用标识的哈希变换。
需要说明的是,所述第一用户在所述服务器上可能有N条注册记录,此时步骤405-408中的第一注册请求中会相应的包括N个鉴权信息。在步骤412中,认证客户端会根据第一注册请求中的每一个鉴权信息,分别构造一个注册状态查询消息,即认证客户端会构造N个注册状态查询消息。特别地,当连接在认证客户端上的认证器有P个时,认证客户端将所述N个注册查询消息一一发送给P个认证器。每一个认证器接收到每一个注册状态查询消息时,都会判断自身是否已经为第一用户在服务器上进行了注册,并返回相应的注册状态查询响应消息。当认证客户端接收到某个认证器A根据某一条注册状态查询消息而返回的注册状态为“未注册”的注册状态查询响应消息时,则认证客户端将根据该注册状态查询响应消息,向该认证器A发送认证器注册请求。然后由用户决定是否需要使用认证器A进行注册,比如用户在认证器A上按下确认键等。
步骤418:认证器根据接收到的认证器注册请求中的所述服务器的应用标识,生成一对公私钥和私钥句柄;
具体的,认证器生成一对公私钥和私钥句柄是为本领域技术人员所熟知的内容,所以本发明不再赘述。私钥句柄是认证器内部对私钥的索引,生成方法不固定,比如可以是认证器生成一个随机数,但是由于认证器的安全存储空间有限,所述私钥句柄可能是一个简单的随机数。
具体的,认证器将生成的私钥和私钥句柄以及所述服务器的应用标识保存到所述第一用户在认证器上的注册记录中。
步骤420:认证器向认证客户端发送认证器注册响应;
具体的,所述认证器注册响应中包括步骤418中认证器生成的公钥和私钥句柄。
可选的,如果认证器针对认证客户端发送注册状态查询消息反馈的都是注册状态为“已注册”的注册状态查询响应消息,则所述注册响应消息内容为空。
步骤422:认证客户端向服务器发送第一注册响应;
具体的,所述第一注册响应中包括包括步骤418中认证器生成的公钥和私钥句柄。
可选的,如果认证器针对认证客户端发送注册状态查询消息反馈的都是注册状态为“已注册”的注册状态查询响应消息,则所述第一注册响应的内容为空。
步骤424:服务器验证接收到的第一注册响应的合法性;
具体的,服务器为了防止第一注册响应被篡改,需要要验证接收到的第一注册响应的合法性,具体如何验证合法性属于本领域技术人员熟知的技术,与本发明无关,本发明实施例不做限制,也不再赘述。
步骤426:服务器将所述认证器生成的公钥、私钥句柄和第一用户的用户标识保存到所述第一用户在服务器上的注册记录中。
其中,所述第一用户在服务器上的注册记录描述了所述认证器为第一用户在所述服务器上的注册情况。所述第一用户的用户标识为服务器在验证第一用户身份时获取的,比如可以是第一用户的用户名。
本实施例中服务器在向认证客户端发送的第一注册请求携带第一用户在服务器上的鉴权信息,以便于认证器根据第一用户在服务器上的鉴权信息与认证器保存的私钥,判断认证器是否已经为第一用户在服务器上进行了注册,从而使得认证器已经为其他用户在服务器上进行注册的情况下,能进一步的为第一用户在相同的服务器上进行注册。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
参见图5,图5描述了本发明提供的一种认证器注册装置实施例一的结构示意图。如图5所示,该装置包括:接收模块51、确定模块52、发送模块53、注册模块54;其中,
接收模块51,用于接收认证客户端发送的注册状态查询消息;其中,所述注册状态查询消息包含第一用户在服务器上的鉴权信息;
具体的,所述鉴权信息为在所述服务器上保存的所述第一用户的注册记录中的公钥或所述服务器使用在所述服务器上保存的所述第一用户的注册记录中的公钥对第二参数加密后的信息,其中,所述第二参数包括所述认证器已知的任何参数中的至少一个,比如所述服务器的应用标识和在所述服务器上所述第一用户的注册记录中保存的私钥句柄中的至少一个。
确定模块52:用于根据所述接收模块接收的注册状态查询消息中的鉴权信息与认证器保存的私钥,确定所述认证器上不存在所述第一用户的注册记录;
具体的,当所述鉴权信息为在所述服务器上保存的所述第一用户的注册记录中的公钥时,所述确定模块52具体用于:使用在所述服务器上保存的所述第一用户的注册记录中的公钥加密第一参数;确定使用所述认证器保存的私钥无法对加密后的第一参数进行解密,其中,所述第一参数包括所述认证器已知的任何参数中的至少一个,比如所述认证器生成的随机数、所述认证器保存的私钥以及所述认证器保存的私钥句柄中的至少一个;或使用所述认证器保存的私钥加密第一参数;确定使用在所述服务器上的所述第一用户的注册记录中的公钥无法对加密后的第一参数进行解密,其中,所述第一参数包括所述认证器已知的任何参数中的至少一个,比如所述认证器生成的随机数、所述认证器保存的私钥以及所述认证器保存的私钥句柄中的至少一个。
当所述鉴权信息为所述服务器使用在所述服务器上保存的所述第一用户的注册记录中的公钥对第二参数加密后的信息时,所述确定模块52具体用于:使用所述认证器保存的私钥对所述加密后的信息进行解密,确定无法使用所述认证器保存的私钥对所述加密后的信息进行解密;其中,所述第二参数包括所述认证器已知的任何参数中的至少一个,比如所述服务器的应用标识和在所述服务器上所述第一用户的注册记录中保存的私钥句柄中的至少一个。
发送模块53:用于向所述认证客户端发送注册状态为未注册的注册状态查询响应消息;
所述接收模块51,还用于接收所述认证客户端发送的认证器注册请求,所述认证器注册请求中包括所述服务器的应用标识;
注册模块54:用于根据所述接收模块接收的认证器注册请求中的所述服务器的应用标识,对所述第一用户在所述服务器上进行注册。
可选的,所述发送模块53,还用于根据所述认证器注册请求,向所述认证客户端发送认证器注册响应,所述认证器注册响应中包括所述认证器生成的公钥和私钥句柄,以便于所述认证客户端向所述服务器发送第一注册响应,所述第一注册响应包括所述认证器生成的公钥和私钥句柄。
可选的,所述接收模块接收的注册状态查询消息中还包括在所述服务器上保存的与所述鉴权信息对应的所述第一用户的注册记录中的私钥句柄;在所述确定模块52,用于根据所述鉴权信息与认证器保存的私钥,确定所述认证器上不存在所述第一用户的注册记录之前,所述装置还包括:
获取模块55:用于根据所述在所述服务器上保存的所述第一用户的注册记录中的私钥句柄获取认证器保存的注册记录;所述获取模块55,还用于根据获取的所述认证器保存的注册记录,获取所述认证器保存的私钥。
本发明实施例提供的装置,可以执行上述图1所述的认证器注册的方法实施例,其实现原理和技术效果类似,具体内容请参阅图1所述的相关内容,在此不再赘述。
参见图6,图6描述了本发明提供的认证客户端的结构示意图。如图5所示,该装置包括:接收模块61、发送模块62;其中,
接收模块61,用于用于接收服务器发送的第一注册请求,其中,所述第一注册请求包括第一用户在服务器上的鉴权信息。
具体的,所述鉴权信息为在所述服务器上保存的所述第一用户的注册记录中的公钥;或所述鉴权信息为所述服务器使用在所述服务器上保存的所述第一用户的注册记录中的公钥对第二参数加密后得到的信息;其中,所述第二参数包括所述认证器已知的任何参数中的至少一个,比如所述服务器的应用标识和在所述服务器上所述第一用户的注册记录中保存的私钥句柄中的至少一个。
发送模块62,用于用于根据所述接收模块接收到的第一注册请求,向认证器发送注册状态查询消息,所述注册状态查询消息包含所述鉴权信息;
所述接收模块61,还用于接收所述认证器发送的注册状态查询响应消息,所述注册状态查询响应消息包含指示未注册的注册状态;
所述发送模块62,还用于根据所述接收模块接收到的注册状态查询消息,向所述认证器发送认证器注册请求,所述认证器注册请求中包括所述服务器的应用标识。
可选的,在所述发送模块61向所述认证器发送认证器注册请求之后,所述接收模块61,还用于接收所述认证器发送的认证器注册响应,所述认证器注册响应中包括所述认证器生成的公钥和私钥句柄。所述发送模块62,还用于根据所述接收模块接收到的所述认证器注册响应,向所述服务器发送第一注册响应,所述第一注册响应中包括所述认证器生成的公钥和私钥句柄。
本发明实施例提供的装置,可以执行上述图2所述的认证器注册的方法实施例,其实现原理和技术效果类似,具体内容请参阅图2所述的相关内容,在此不再赘述。
参见图7,图7描述了本发明实施例提供的服务器的结构示意图。如图7所示,该装置包括:发送模块71、接收模块72和保持模块73;其中,
发送模块71:用于当接收第一用户触发的注册请求后,向认证客户端发送第一注册请求,其中,所述第一注册请求包括所述第一用户在服务器上的鉴权信息和所述服务器的应用标识;
具体的,所述鉴权信息为在所述服务器上保存的所述第一用户的注册记录中的公钥;或
所述服务器使用在所述服务器上保存的所述第一用户的注册记录中的公钥对第二参数加密后得到的信息;其中,所述第二参数包括所述认证器已知的任何参数中的至少一个,比如所述服务器的应用标识和在所述服务器上所述第一用户的注册记录中保存的私钥句柄中的至少一个。
接收模块72:用于接收所述认证客户端发送的第一注册响应;其中,所述第一注册响应包括认证器生成的公钥和私钥句柄;
保存模块73:用于将所述认证器生成的公钥和私钥句柄保存到所述服务器上所述第一用户的注册记录中。
本发明实施例提供的装置,可以执行上述图3所述的认证器注册的方法实施例,其实现原理和技术效果类似,具体内容请参阅图3所述的相关内容,在此不再赘述。
参见图8,本发明实施例还提供认证器注册装置的结构示意图,可包括:总线803、与总线803相连的处理器802以及与总线803相连的存储器801。处理器802可以采用通用的中央处理器(CentralProcessingUnit,CPU),微处理器,应用专用集成电路(ApplicationSpecificIntegratedCircuit,ASIC),或者一个或多个集成电路,用于执行相关程序,以实现本发明实施例所提供的技术方案。存储器801可以是只读存储器(ReadOnlyMemory,ROM),静态存储设备,动态存储设备或者随机存取存储器(RandomAccessMemory,RAM)。存储器801可以存储操作***和其他应用程序。在通过软件或者固件来实现本发明实施例提供的技术方案时,用于实现本发明实施例提供的技术方案的程序代码保存在存储器801中,并由处理器802来执行。
具体的,所述处理器802和所述存储器801通过所述总线803进行通信;其中,所述存储器801中存有计算机可读程序;所述处理器802通过运行所述存储器801中的程序,以用于接收认证客户端发送的注册状态查询消息;其中,所述注册状态查询消息包含第一用户在服务器上的鉴权信息;根据所述鉴权信息与认证器保存的私钥,确定所述认证器上不存在所述第一用户的注册记录;向所述认证客户端发送注册状态为未注册的注册状态查询响应消息;接收所述认证客户端发送的认证器注册请求,所述认证器注册请求中包括所述服务器的应用标识;根据所述服务器的应用标识,对所述第一用户在所述服务器上进行注册。
可以理解的是,本实施例的认证器注册装置可用于实现图1所述方法实施例中的功能,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
参见图9,本发明实施例还提供认证器客户端的结构示意图,可包括:总线903、与总线903相连的处理器902以及与总线903相连的存储器901。处理器902可以采用通用的中央处理器(CentralProcessingUnit,CPU),微处理器,应用专用集成电路(ApplicationSpecificIntegratedCircuit,ASIC),或者一个或多个集成电路,用于执行相关程序,以实现本发明实施例所提供的技术方案。存储器901可以是只读存储器(ReadOnlyMemory,ROM),静态存储设备,动态存储设备或者随机存取存储器(RandomAccessMemory,RAM)。存储器901可以存储操作***和其他应用程序。在通过软件或者固件来实现本发明实施例提供的技术方案时,用于实现本发明实施例提供的技术方案的程序代码保存在存储器901中,并由处理器902来执行。
具体的,所述处理器902和所述存储器901通过所述总线903进行通信;其中,所述存储器901中存有计算机可读程序;所述处理器902通过运行所述存储器901中的程序,以用于接收服务器发送的第一注册请求,其中,所述第一注册请求包括第一用户在服务器上的鉴权信息和所述服务器的应用标识;向认证器发送注册状态查询消息,所述注册状态查询消息包含所述鉴权信息;接收所述认证器发送的注册状态查询响应消息,所述注册状态查询响应消息包含指示未注册的注册状态;向所述认证器发送认证器注册请求,所述认证器注册请求中包括所述服务器的应用标识。
可以理解的是,本实施例的认证器注册装置可用于实现图2所述方法实施例中的功能,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
参见图10,本发明实施例还提供服务器的结构示意图,可包括:总线1003、与总线1003相连的处理器1002以及与总线1003相连的存储器1001。处理器1002可以采用通用的中央处理器(CentralProcessingUnit,CPU),微处理器,应用专用集成电路(ApplicationSpecificIntegratedCircuit,ASIC),或者一个或多个集成电路,用于执行相关程序,以实现本发明实施例所提供的技术方案。存储器1001可以是只读存储器(ReadOnlyMemory,ROM),静态存储设备,动态存储设备或者随机存取存储器(RandomAccessMemory,RAM)。存储器1001可以存储操作***和其他应用程序。在通过软件或者固件来实现本发明实施例提供的技术方案时,用于实现本发明实施例提供的技术方案的程序代码保存在存储器1001中,并由处理器1002来执行。
具体的,所述处理器1002和所述存储器1001通过所述总线1003进行通信;其中,所述存储器1001中存有计算机可读程序;所述处理器1002通过运行所述存储器1001中的程序,以用于当接收第一用户触发的注册请求后,向认证客户端发送第一注册请求,其中,所述第一注册请求包括所述第一用户在服务器上的鉴权信息和所述服务器的应用标识;接收所述认证客户端发送的第一注册响应;其中,所述第一注册响应包括认证器生成的公钥和私钥句柄;将所述认证器生成的公钥和私钥句柄保存到所述服务器上所述第一用户的注册记录中。
可以理解的是,本实施例的认证器注册装置可用于实现图3所述方法实施例中的功能,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
图11为本发明一实施例提供的认证器注册的***的结构示意图。参见图11,该***包括认证器1101认证客户端1102和服务器1103,其中:
认证器1101,用于接收认证客户端发送的注册状态查询消息;其中,所述注册状态查询消息包含第一用户在服务器上的鉴权信息;根据所述鉴权信息与认证器保存的私钥,确定所述认证器上不存在所述第一用户的注册记录;向所述认证客户端发送注册状态为未注册的注册状态查询响应消息;接收所述认证客户端发送的认证器注册请求,所述认证器注册请求中包括所述服务器的应用标识;根据所述服务器的应用标识对所述第一用户在所述服务器上进行注册。
认证客户端1102,用于接收服务器发送的第一注册请求,其中,所述第一注册请求包括第一用户在服务器上的鉴权信息和所述服务器的应用标识;向认证器发送注册状态查询消息,所述注册状态查询消息包含所述鉴权信息;接收所述认证器发送的注册状态查询响应消息,所述注册状态查询响应消息包含指示未注册的注册状态;向所述认证器发送认证器注册请求,所述认证器注册请求中包括所述服务器的应用标识。
服务器1103,用于当接收第一用户触发的注册请求后,向认证客户端发送第一注册请求,其中,所述第一注册请求包括所述第一用户在服务器上的鉴权信息和所述服务器的应用标识;接收所述认证客户端发送的第一注册响应;其中,所述第一注册响应包括认证器生成的公钥和私钥句柄;将所述认证器生成的公钥和私钥句柄保存到所述服务器上所述第一用户的注册记录中。
所述认证器1101、认证客户端1102和服务器1103的结构和具体的处理可以参考上述的本发明的各个实施例的相关描述,此处不再赘述。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件的方式来实现,当然也可以通过专用硬件包括专用集成电路、专用CPU、专用存储器、专用元器件等来实现。一般情况下,凡由计算机程序完成的功能都可以很容易地用相应的硬件来实现,而且,用来实现同一功能的具体硬件结构也可以是多种多样的,例如模拟电路、数字电路或专用电路等。但是,对本发明而言更多情况下软件程序实现是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘,U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccessMemory)、磁碟或者光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上对本发明实施例所提供的一种认证器注册的方法和装置进行了详细介绍,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方式及应用范围上均会有改变之处,因此,本说明书内容不应理解为对本发明的限制。
Claims (20)
1.一种认证器注册的方法,其特征在于,
接收认证客户端发送的注册状态查询消息;其中,所述注册状态查询消息包含第一用户在服务器上的鉴权信息;
根据所述鉴权信息与认证器保存的私钥,确定所述认证器上不存在所述第一用户的注册记录;
向所述认证客户端发送注册状态为未注册的注册状态查询响应消息;
接收所述认证客户端发送的认证器注册请求,所述认证器注册请求中包括所述服务器的应用标识;
根据所述服务器的应用标识,对所述第一用户在所述服务器上进行注册。
2.如权利要求1所述的方法,其特征在于,在所述根据所述服务器的应用标识,对所述第一用户在所述服务器上进行注册之后,所述方法还包括:
根据所述认证器注册请求,向所述认证客户端发送认证器注册响应,所述认证器注册响应中包括所述认证器生成的公钥和私钥句柄,以便于所述认证客户端向所述服务器发送第一注册响应,所述第一注册响应包括所述认证器生成的公钥和私钥句柄。
3.如权利要求1或2所述的方法,其特征在于,
所述鉴权信息为在所述服务器上保存的所述第一用户的注册记录中的公钥,所述根据所述鉴权信息与认证器保存的私钥,确定所述认证器上不存在所述第一用户的注册记录,具体包括:
使用在所述服务器上保存的所述第一用户的注册记录中的公钥加密第一参数;确定使用所述认证器保存的私钥无法对加密后的第一参数进行解密,其中,所述第一参数包括所述认证器已知的任何参数中的至少一个;或
使用所述认证器保存的私钥加密第一参数;确定使用在所述服务器上的所述第一用户的注册记录中的公钥无法对加密后的第一参数进行解密,其中,所述第一参数包括所述认证器已知的任何参数中的至少一个。
4.如权利要求1或2所述的方法,其特征在于,
所述鉴权信息为所述服务器使用在所述服务器上保存的所述第一用户的注册记录中的公钥对第二参数加密后的信息,所述根据所述鉴权信息与认证器保存的私钥,确定所述认证器上不存在所述第一用户的注册记录,具体包括:
使用所述认证器保存的私钥对所述加密后的信息进行解密,确定无法使用所述认证器保存的私钥对所述加密后的信息进行解密;其中,所述第二参数包括所述认证器已知的任何参数中的至少一个,比如所述认证器已知的任何参数中的至少一个。
5.如权利要求1至4任一所述的方法,其特征在于,所述注册状态查询消息中还包括在所述服务器上保存的与所述鉴权信息对应的所述第一用户的注册记录中的私钥句柄;在所述根据所述鉴权信息与认证器保存的私钥,确定所述认证器上不存在所述第一用户的注册记录之前,所述方法还包括:
根据所述在所述服务器上保存的所述第一用户的注册记录中的私钥句柄获取认证器保存的注册记录;
根据获取的所述认证器保存的注册记录,获取所述认证器保存的私钥。
6.一种认证器注册的方法,其特征在于,
接收服务器发送的第一注册请求,其中,所述第一注册请求包括第一用户在服务器上的鉴权信息和所述服务器的应用标识;
向认证器发送注册状态查询消息,所述注册状态查询消息包含所述鉴权信息;
接收所述认证器发送的注册状态查询响应消息,所述注册状态查询响应消息包含指示未注册的注册状态;
向所述认证器发送认证器注册请求,所述认证器注册请求中包括所述服务器的应用标识。
7.如权利要求6所述的方法,其特征在于,在所述向所述认证器发送注册请求之后,所述方法还包括:
接收所述认证器发送的认证器注册响应,所述认证器注册响应中包括所述认证器生成的公钥和私钥句柄;
根据所述认证器注册响应,向所述服务器发送第一注册响应,所述第一注册响应中包括所述认证器生成的公钥和私钥句柄。
8.如权利要求6或7所述的方法,其特征在于,所述鉴权信息为在所述服务器上保存的所述第一用户的注册记录中的公钥;或
所述鉴权信息为所述服务器使用在所述服务器上保存的所述第一用户的注册记录中的公钥对第二参数加密后得到的信息;其中,所述第二参数包括所述认证器已知的任何参数中的至少一个。
9.一种认证器的注册方法,其特征在于,
当接收第一用户触发的注册请求后,向认证客户端发送第一注册请求,其中,所述第一注册请求包括所述第一用户在服务器上的鉴权信息和所述服务器的应用标识;
接收所述认证客户端发送的第一注册响应;其中,所述第一注册响应包括认证器生成的公钥和私钥句柄;
将所述认证器生成的公钥和私钥句柄保存到所述服务器上所述第一用户的注册记录中。
10.如权利要求9所述的方法,其特征在于,
所述鉴权信息为在所述服务器上保存的所述第一用户的注册记录中的公钥;或
所述服务器使用在所述服务器上保存的所述第一用户的注册记录中的公钥对第二参数加密后得到的信息;其中,所述第二参数包括所述认证器已知的任何参数中的至少一个。
11.一种认证器注册装置,其特征在于,
接收模块:用于接收认证客户端发送的注册状态查询消息;其中,所述注册状态查询消息包含第一用户在服务器上的鉴权信息;
确定模块:用于根据所述接收模块接收的注册状态查询消息中的鉴权信息与认证器保存的私钥,确定所述认证器上不存在所述第一用户的注册记录;
发送模块:用于向所述认证客户端发送注册状态为未注册的注册状态查询响应消息;
所述接收模块,还用于接收所述认证客户端发送的认证器注册请求,所述认证器注册请求中包括所述服务器的应用标识;
注册模块:用于根据所述接收模块接收的所述服务器的应用标识,对所述第一用户在所述服务器上进行注册。
12.如权利要求11所述的认证器注册装置,其特征在于,
所述发送模块,还用于根据所述认证器注册请求,向所述认证客户端发送认证器注册响应,所述认证器注册响应中包括所述认证器生成的公钥和私钥句柄,以便于所述认证客户端向所述服务器发送第一注册响应,所述第一注册响应包括所述认证器生成的公钥和私钥句柄。
13.如权利要求11或12所述的认证器注册装置,其特征在于,
所述鉴权信息为在所述服务器上保存的所述第一用户的注册记录中的公钥,所述确定模块具体用于:
使用在所述服务器上保存的所述第一用户的注册记录中的公钥加密第一参数;确定使用所述认证器保存的私钥无法对加密后的第一参数进行解密,其中,所述第一参数包括所述认证器已知的任何参数中的至少一个;或
使用所述认证器保存的私钥加密第一参数;确定使用在所述服务器上的所述第一用户的注册记录中的公钥无法对加密后的第一参数进行解密,其中,所述第一参数包括所述认证器已知的任何参数中的至少一个。
14.如权利要求11或12所述的认证器注册装置,其特征在于,
所述鉴权信息为所述服务器使用在所述服务器上保存的所述第一用户的注册记录中的公钥对第二参数加密后的信息,所述确定模块具体用于:
使用所述认证器保存的私钥对所述加密后的信息进行解密,确定无法使用所述认证器保存的私钥对所述加密后的信息进行解密;其中,所述第二参数包括所述认证器已知的任何参数中的至少一个。
15.如权利要求11至14任一所述的认证器注册装置,其特征在于,
所述注册状态查询消息中还包括在所述服务器上保存的与所述鉴权信息对应的所述第一用户的注册记录中的私钥句柄;在所述确定模块,用于根据所述鉴权信息与认证器保存的私钥,确定所述认证器上不存在所述第一用户的注册记录之前,所述装置还包括:
获取模块:用于根据所述在所述服务器上保存的所述第一用户的注册记录中的私钥句柄获取认证器保存的注册记录;
所述获取模块,还用于根据获取的所述认证器保存的注册记录,获取所述认证器保存的私钥。
16.一种认证器客户端,其特征在于,
接收模块:用于接收服务器发送的第一注册请求,其中,所述第一注册请求包括第一用户在服务器上的鉴权信息;
发送模块:用于根据所述接收模块接收到的第一注册请求,向认证器发送注册状态查询消息,所述注册状态查询消息包含所述鉴权信息;
所述接收模块,还用于接收所述认证器发送的注册状态查询响应消息,所述注册状态查询响应消息包含指示未注册的注册状态;
所述发送模块,还用于根据所述接收模块接收到的注册状态查询消息,向所述认证器发送认证器注册请求,所述认证器注册请求中包括所述服务器的应用标识。
17.如权利要求16所述的认证器客户端,其特征在于,在所述发送模块用于向所述认证器发送认证器注册请求之后,所述认证客户端还包括:
所述接收模块,还用于接收所述认证器发送的认证器注册响应,所述认证器注册响应中包括所述认证器生成的公钥和私钥句柄;
所述发送模块,还用于根据所述接收模块接收到的所述认证器注册响应,向所述服务器发送第一注册响应,所述第一注册响应中包括所述认证器生成的公钥和私钥句柄。
18.如权利要求16或17所述的认证客户端,其特征在于,所述鉴权信息为在所述服务器上保存的所述第一用户的注册记录中的公钥;或
所述鉴权信息为所述服务器使用在所述服务器上保存的所述第一用户的注册记录中的公钥对第二参数加密后得到的信息;其中,所述第二参数包括所述认证器已知的任何参数中的至少一个。
19.一种认证器的注册服务器,其特征在于,
发送模块:用于当接收第一用户触发的注册请求后,向认证客户端发送第一注册请求,其中,所述第一注册请求包括所述第一用户在服务器上的鉴权信息和所述服务器的应用标识;
接收模块:用于接收所述认证客户端发送的第一注册响应;其中,所述第一注册响应包括认证器生成的公钥和私钥句柄;
保存模块:用于将所述认证器生成的公钥和私钥句柄保存到所述服务器上所述第一用户的注册记录中。
20.如权利要求19所述的服务器,其特征在于,
所述鉴权信息为在所述服务器上保存的所述第一用户的注册记录中的公钥;或
所述服务器使用在所述服务器上保存的所述第一用户的注册记录中的公钥对第二参数加密后得到的信息;其中,所述第二参数包括所述认证器已知的任何参数中的至少一个。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410529164.3A CN105577606B (zh) | 2014-10-09 | 2014-10-09 | 一种实现认证器注册的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410529164.3A CN105577606B (zh) | 2014-10-09 | 2014-10-09 | 一种实现认证器注册的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105577606A true CN105577606A (zh) | 2016-05-11 |
| CN105577606B CN105577606B (zh) | 2019-03-01 |
Family
ID=55887275
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410529164.3A Active CN105577606B (zh) | 2014-10-09 | 2014-10-09 | 一种实现认证器注册的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105577606B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107920068A (zh) * | 2017-11-14 | 2018-04-17 | 北京思特奇信息技术股份有限公司 | 一种认证方法和*** |
| CN111274570A (zh) * | 2019-06-25 | 2020-06-12 | 宁波奥克斯电气股份有限公司 | 一种加密认证方法、装置、服务器、可读存储介质及空调器 |
| CN111917551A (zh) * | 2020-06-23 | 2020-11-10 | 深圳奥联信息安全技术有限公司 | 一种基于无证书公钥的句柄访问保护方法和*** |
| CN112073178A (zh) * | 2019-06-10 | 2020-12-11 | 联阳半导体股份有限公司 | 认证***及认证方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1556449A (zh) * | 2004-01-08 | 2004-12-22 | 中国工商银行 | 对网上银行数据进行加密、认证的装置和方法 |
| CN1801815A (zh) * | 2005-08-08 | 2006-07-12 | 华为技术有限公司 | 一种实现初始因特网协议多媒体子***注册的方法 |
| CN101217480A (zh) * | 2008-01-09 | 2008-07-09 | 中兴通讯股份有限公司 | 一种ip多媒体子***中多终端用户的第三方注册的方法 |
| JP4128610B1 (ja) * | 2007-10-05 | 2008-07-30 | グローバルサイン株式会社 | サーバ証明書発行システム |
| CN101674304A (zh) * | 2009-10-15 | 2010-03-17 | 浙江师范大学 | 一种网络身份认证***及方法 |
| CN101951603A (zh) * | 2010-10-14 | 2011-01-19 | 中国电子科技集团公司第三十研究所 | 一种无线局域网接入控制方法及*** |
| CN102065069A (zh) * | 2009-11-11 | 2011-05-18 | ***通信集团公司 | 一种身份认证方法、装置和*** |
| CN102521731A (zh) * | 2011-12-04 | 2012-06-27 | 东华大学 | 基于易货***的电子合同签章方法 |
-
2014
- 2014-10-09 CN CN201410529164.3A patent/CN105577606B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1556449A (zh) * | 2004-01-08 | 2004-12-22 | 中国工商银行 | 对网上银行数据进行加密、认证的装置和方法 |
| CN1801815A (zh) * | 2005-08-08 | 2006-07-12 | 华为技术有限公司 | 一种实现初始因特网协议多媒体子***注册的方法 |
| JP4128610B1 (ja) * | 2007-10-05 | 2008-07-30 | グローバルサイン株式会社 | サーバ証明書発行システム |
| CN101217480A (zh) * | 2008-01-09 | 2008-07-09 | 中兴通讯股份有限公司 | 一种ip多媒体子***中多终端用户的第三方注册的方法 |
| CN101674304A (zh) * | 2009-10-15 | 2010-03-17 | 浙江师范大学 | 一种网络身份认证***及方法 |
| CN102065069A (zh) * | 2009-11-11 | 2011-05-18 | ***通信集团公司 | 一种身份认证方法、装置和*** |
| CN101951603A (zh) * | 2010-10-14 | 2011-01-19 | 中国电子科技集团公司第三十研究所 | 一种无线局域网接入控制方法及*** |
| CN102521731A (zh) * | 2011-12-04 | 2012-06-27 | 东华大学 | 基于易货***的电子合同签章方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107920068A (zh) * | 2017-11-14 | 2018-04-17 | 北京思特奇信息技术股份有限公司 | 一种认证方法和*** |
| CN112073178A (zh) * | 2019-06-10 | 2020-12-11 | 联阳半导体股份有限公司 | 认证***及认证方法 |
| CN112073178B (zh) * | 2019-06-10 | 2024-04-05 | 联阳半导体股份有限公司 | 认证***及认证方法 |
| CN111274570A (zh) * | 2019-06-25 | 2020-06-12 | 宁波奥克斯电气股份有限公司 | 一种加密认证方法、装置、服务器、可读存储介质及空调器 |
| CN111917551A (zh) * | 2020-06-23 | 2020-11-10 | 深圳奥联信息安全技术有限公司 | 一种基于无证书公钥的句柄访问保护方法和*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105577606B (zh) | 2019-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11711219B1 (en) | PKI-based user authentication for web services using blockchain | |
| KR102493744B1 (ko) | 생체 특징에 기초한 보안 검증 방법, 클라이언트 단말, 및 서버 | |
| Li et al. | An efficient and security dynamic identity based authentication protocol for multi-server architecture using smart cards | |
| CN108023874B (zh) | 单点登录的校验装置、方法及计算机可读存储介质 | |
| US10530582B2 (en) | Method and device for information system access authentication | |
| Jangirala et al. | A multi-server environment with secure and efficient remote user authentication scheme based on dynamic ID using smart cards | |
| CN114679293A (zh) | 基于零信任安全的访问控制方法、设备及存储介质 | |
| JP6896940B2 (ja) | 第1のアプリケーションと第2のアプリケーションとの間の対称型相互認証方法 | |
| Ali et al. | An efficient three factor–based authentication scheme in multiserver environment using ECC | |
| US8978100B2 (en) | Policy-based authentication | |
| US8893244B2 (en) | Application-based credential management for multifactor authentication | |
| CN110401615B (zh) | 一种身份认证方法、装置、设备、***及可读存储介质 | |
| US8285989B2 (en) | Establishing a secured communication session | |
| US20140006781A1 (en) | Encapsulating the complexity of cryptographic authentication in black-boxes | |
| TW201545526A (zh) | 安全校驗方法、裝置、伺服器及終端 | |
| Xie et al. | Cryptanalysis and security enhancement of a robust two‐factor authentication and key agreement protocol | |
| TWI522841B (zh) | 多重伺服器環境下的匿名認證方法 | |
| Mishra et al. | An anonymous and secure biometric‐based enterprise digital rights management system for mobile environment | |
| CN112351037B (zh) | 用于安全通信的信息处理方法及装置 | |
| Yeh et al. | Cryptanalysis of Hsiang‐Shih's authentication scheme for multi‐server architecture | |
| CN113709115B (zh) | 认证方法及装置 | |
| CN101938500A (zh) | 源地址验证方法及*** | |
| CN115664655A (zh) | 一种tee可信认证方法、装置、设备及介质 | |
| Akram et al. | An anonymous authenticated key-agreement scheme for multi-server infrastructure | |
| CN105577606A (zh) | 一种实现认证器注册的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |