CN106961417A - 基于密文的身份验证方法 - Google Patents

基于密文的身份验证方法 Download PDF

Info

Publication number
CN106961417A
CN106961417A CN201611203764.6A CN201611203764A CN106961417A CN 106961417 A CN106961417 A CN 106961417A CN 201611203764 A CN201611203764 A CN 201611203764A CN 106961417 A CN106961417 A CN 106961417A
Authority
CN
China
Prior art keywords
ciphertext
user
key
limitation
safety information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201611203764.6A
Other languages
English (en)
Other versions
CN106961417B (zh
Inventor
张栋
丁林润
李春欢
陆东东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Unionpay Co Ltd
Original Assignee
China Unionpay Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Unionpay Co Ltd filed Critical China Unionpay Co Ltd
Priority to CN201611203764.6A priority Critical patent/CN106961417B/zh
Publication of CN106961417A publication Critical patent/CN106961417A/zh
Priority to PCT/CN2017/114419 priority patent/WO2018113508A1/zh
Priority to TW106143125A priority patent/TWI728212B/zh
Application granted granted Critical
Publication of CN106961417B publication Critical patent/CN106961417B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephone Function (AREA)

Abstract

本发明提出了基于密文的身份验证方法,其包括:数据处理服务器周期性地或基于请求向用户的移动终端推送一个或多个第一限制密钥和一个或多个第二限制密钥;在用户通过移动终端发起安全性信息交互过程时,驻留于移动终端上的安全性应用使用所述一个或多个第一限制密钥中的一个生成应用密文,并使用所述一个或多个第二限制密钥中的一个生成用户密文,随之将所述应用密文和用户密文发送至安全性信息交互终端;安全性信息交互终端在接收到应用密文和用户密文后构建安全性信息交互请求,并将安全性信息交互请求发送至数据处理服务器以进行后续的安全性信息交互过程。本发明所公开的方法具有增强的安全性并且使用便捷。

Description

基于密文的身份验证方法
技术领域
本发明涉及身份验证方法,更具体地,涉及基于密文的身份验证方法。
背景技术
目前,随着计算机和网络应用的日益广泛以及不同领域的业务种类的日益丰富,利用移动终端实施安全性信息交互过程(即对安全性要求较高的数据交互过程,例如金融领域中的支付交易)变得越来越重要。
在现有的技术方案中,在实施实际的安全性信息交互过程之前典型地需要完成用户的身份验证操作,并且仅在身份验证成功的情况下发起安全性信息交互请求(例如包含支付订单的支付请求),通常采用如下两种身份验证方式:(1)用户在安全性信息交互终端(例如商户POS机)上输入个人密码(PIN),随后安全性信息交互终端发起联机形式的身份验证过程;(2)用户通过私有的移动终端(例如手机)输入个人密码(PIN)并经由互联网将所述个人密码发送至相关的身份验证服务器进行远程身份验证或者由驻留于移动终端中的特定物理环境(TEE或SE)下的数据处理单元进行本地身份验证。
然而,上述现有的技术方案存在如下问题:(1)由于需要在实施实际的安全性信息交互过程之前在安全性信息交互终端上输入个人密码,故存在个人密码被恶意使用的潜在风险;(2)由于仅在身份验证成功的情况下发起安全性信息交互请求,故存在被非法窃听和攻击的潜在风险;(3)由于需要使用特定的安全单元或者经由公共互联网通道,故成本较高且使用不便。
因此,存在如下需求:提供具有增强的安全性并且使用便捷的基于密文的身份验证方法。
发明内容
为了解决上述现有技术方案所存在的问题,本发明提出了具有增强的安全性并且使用便捷的基于密文的身份验证方法。
本发明的目的是通过以下技术方案实现的:
一种基于密文的身份验证方法,所述基于密文的身份验证方法包括下列步骤:
(A1)数据处理服务器周期性地或基于请求向用户的移动终端推送一个或多个第一限制密钥和一个或多个第二限制密钥,其中,所述一个或多个第二限制密钥中的每个与所述用户的个人密码相关联;
(A2)在用户通过所述移动终端发起安全性信息交互过程时,驻留于所述移动终端上的安全性应用使用所述一个或多个第一限制密钥中的一个生成应用密文,并使用所述一个或多个第二限制密钥中的一个生成用户密文,随之将所述应用密文和用户密文发送至安全性信息交互终端,其中,所述应用密文和所述用户密文均包含所述安全性信息交互过程所需的业务明细数据;
(A3)所述安全性信息交互终端在接收到所述应用密文和所述用户密文后构建安全性信息交互请求,并将所述安全性信息交互请求发送至所述数据处理服务器以进行后续的安全性信息交互过程。
在上面所公开的方案中,优选地,所述步骤(A1)进一步包括:所述数据处理服务器周期性地基于同一个主密钥以及应用计数器的值以分散的方式生成第一限制密钥和第二限制密钥,其中,一个应用计数器的值对应于相关联的一个第一限制密钥和一个第二限制密钥。
在上面所公开的方案中,优选地,所述步骤(A1)进一步包括:所述数据处理服务器在将所述第二限制密钥发送至所述移动终端时使用用户的个人密码对所述第二限制密钥进行逐位的异或运算,并将经异或运算处理的第二限制密钥发送至所述移动终端。
在上面所公开的方案中,优选地,所述步骤(A2)进一步包括:在驻留于所述移动终端上的安全性应用使用与当前应用计数器的值相对应的经异或运算处理的第二限制密钥生成用户密文时,其指示用户输入个人密码并使用用户输入的个人密码对所述经异或运算处理的第二限制密钥进行反向的逐位异或运算以获得未经异或运算处理的第二限制密钥,并随之使用所述未经异或运算处理的第二限制密钥生成所述用户密文。
在上面所公开的方案中,优选地,一个第一限制密钥和一个与其相关联的第二限制密钥仅在与一个应用计数器的值相对应的一次数据交互过程中有效。
在上面所公开的方案中,优选地,所述步骤(A3)进一步包括:在接收到所述安全性信息交互请求后,所述数据处理服务器使用与生成所述第一限制密钥和所述第二限制密钥相同的方式再次生成与当前应用计数器的值对应的第一限制密钥和第二限制密钥,并分别使用再次生成的第一限制密钥和第二限制密钥以及基于所述安全性信息交互请求中的业务明细数据生成应用密文和用户密文,随之将生成的应用密文和用户密文各自与所述安全性信息交互请求中所包含的应用密文和用户密文相比较,如果应用密文一致,则判定所述移动终端是合法的设备,如果用户密文一致,则判定用户的身份验证成功,并且所述数据处理服务器随后基于判定结果执行后续的安全性信息交互过程。
本发明所公开的基于密文的身份验证方法具有以下优点:(1)由于在实施实际的安全性信息交互过程之前无需在外部的安全性信息交互终端上输入个人密码,故具有增强的安全性;(2)由于能够在身份验证之前发起安全性信息交互请求,故可以避免被非法窃听和攻击的潜在风险;(3)由于不需要使用特定的安全单元或者经由公共互联网通道,故成本较低且使用便捷。
附图说明
结合附图,本发明的技术特征以及优点将会被本领域技术人员更好地理解,其中:
图1是根据本发明的实施例的基于密文的身份验证方法的流程图。
具体实施方式
图1是根据本发明的实施例的基于密文的身份验证方法的流程图。如图1所示,本发明所公开的基于密文的身份验证方法包括下列步骤:(A1)数据处理服务器(例如金融服务提供方的云端服务器)周期性地或基于请求向用户的移动终端(例如智能手机)推送一个或多个第一限制密钥和一个或多个第二限制密钥,其中,所述一个或多个第二限制密钥中的每个与所述用户的个人密码相关联;(A2)在用户通过所述移动终端发起安全性信息交互过程时,驻留于所述移动终端上的安全性应用使用所述一个或多个第一限制密钥中的一个生成应用密文,并使用所述一个或多个第二限制密钥中的一个生成用户密文,随之将所述应用密文和用户密文发送至安全性信息交互终端(例如商户POS机或商户应用(APP)),其中,所述应用密文和所述用户密文均包含所述安全性信息交互过程所需的业务明细数据(例如支付交易的明细信息);(A3)所述安全性信息交互终端在接收到所述应用密文和所述用户密文后构建安全性信息交互请求,并将所述安全性信息交互请求发送至所述数据处理服务器以进行后续的安全性信息交互过程。
优选地,在本发明所公开的基于密文的身份验证方法中,所述步骤(A1)进一步包括:所述数据处理服务器周期性地基于同一个主密钥(例如发卡方密钥)以及应用计数器(即ATC,驻留于移动终端中的每个应用具有与其相关联的唯一的一个应用计数器,该应用每进行一次数据交互,与其相关联的应用计数器的值加1)的值以分散的方式生成第一限制密钥和第二限制密钥,其中,一个应用计数器的值对应于相关联的一个第一限制密钥和一个第二限制密钥。
优选地,在本发明所公开的基于密文的身份验证方法中,所述步骤(A1)进一步包括:所述数据处理服务器在将所述第二限制密钥发送至所述移动终端时使用用户的个人密码(即PIN,其在初始注册时与驻留于所述移动终端上的安全性应用相绑定)对所述第二限制密钥进行逐位的异或运算,并将经异或运算处理的第二限制密钥发送至所述移动终端。
优选地,在本发明所公开的基于密文的身份验证方法中,所述步骤(A2)进一步包括:在驻留于所述移动终端上的安全性应用使用与当前应用计数器的值相对应的经异或运算处理的第二限制密钥生成用户密文时,其指示用户输入个人密码(PIN)并使用用户输入的个人密码(PIN)对所述经异或运算处理的第二限制密钥进行反向的逐位异或运算以获得未经异或运算处理的第二限制密钥,并随之使用所述未经异或运算处理的第二限制密钥生成所述用户密文。
优选地,在本发明所公开的基于密文的身份验证方法中,一个第一限制密钥和一个与其相关联的第二限制密钥仅在与一个应用计数器的值相对应的一次数据交互过程中有效。
优选地,在本发明所公开的基于密文的身份验证方法中,所述步骤(A3)进一步包括:在接收到所述安全性信息交互请求后,所述数据处理服务器使用与生成所述第一限制密钥和所述第二限制密钥相同的方式再次生成与当前应用计数器的值对应的第一限制密钥和第二限制密钥,并分别使用再次生成的第一限制密钥和第二限制密钥以及基于所述安全性信息交互请求中的业务明细数据生成应用密文和用户密文,随之将生成的应用密文和用户密文各自与所述安全性信息交互请求中所包含的应用密文和用户密文相比较,如果应用密文一致,则判定所述移动终端是合法的设备,如果用户密文一致,则判定用户的身份验证成功,并且所述数据处理服务器随后基于判定结果执行后续的安全性信息交互过程(例如,在应用密文一致而用户密文不一致的情况下,数据处理服务器可以设置相关的错误发生计数器,即当用户密文验证错误发生的次数超过一定阈值后可以拒绝后续的安全性信息交互过程的执行)。
由上可见,本发明所公开的基于密文的身份验证方法具有下列优点:(1)由于在实施实际的安全性信息交互过程之前无需在外部的安全性信息交互终端上输入个人密码,故具有增强的安全性;(2)由于能够在身份验证之前发起安全性信息交互请求,故可以避免被非法窃听和攻击的潜在风险;(3)由于不需要使用特定的安全单元或者经由公共互联网通道,故成本较低且使用便捷。
尽管本发明是通过上述的优选实施方式进行描述的,但是其实现形式并不局限于上述的实施方式。应该认识到:在不脱离本发明主旨和范围的情况下,本领域技术人员可以对本发明做出不同的变化和修改。

Claims (6)

1.一种基于密文的身份验证方法,所述基于密文的身份验证方法包括下列步骤:
(A1)数据处理服务器周期性地或基于请求向用户的移动终端推送一个或多个第一限制密钥和一个或多个第二限制密钥,其中,所述一个或多个第二限制密钥中的每个与所述用户的个人密码相关联;
(A2)在用户通过所述移动终端发起安全性信息交互过程时,驻留于所述移动终端上的安全性应用使用所述一个或多个第一限制密钥中的一个生成应用密文,并使用所述一个或多个第二限制密钥中的一个生成用户密文,随之将所述应用密文和用户密文发送至安全性信息交互终端,其中,所述应用密文和所述用户密文均包含所述安全性信息交互过程所需的业务明细数据;
(A3)所述安全性信息交互终端在接收到所述应用密文和所述用户密文后构建安全性信息交互请求,并将所述安全性信息交互请求发送至所述数据处理服务器以进行后续的安全性信息交互过程。
2.根据权利要求1所述的基于密文的身份验证方法,其特征在于,所述步骤(A1)进一步包括:所述数据处理服务器周期性地基于同一个主密钥以及应用计数器的值以分散的方式生成第一限制密钥和第二限制密钥,其中,一个应用计数器的值对应于相关联的一个第一限制密钥和一个第二限制密钥。
3.根据权利要求2所述的基于密文的身份验证方法,其特征在于,所述步骤(A1)进一步包括:所述数据处理服务器在将所述第二限制密钥发送至所述移动终端时使用用户的个人密码对所述第二限制密钥进行逐位的异或运算,并将经异或运算处理的第二限制密钥发送至所述移动终端。
4.根据权利要求3所述的基于密文的身份验证方法,其特征在于,所述步骤(A2)进一步包括:在驻留于所述移动终端上的安全性应用使用与当前应用计数器的值相对应的经异或运算处理的第二限制密钥生成用户密文时,其指示用户输入个人密码并使用用户输入的个人密码对所述经异或运算处理的第二限制密钥进行反向的逐位异或运算以获得未经异或运算处理的第二限制密钥,并随之使用所述未经异或运算处理的第二限制密钥生成所述用户密文。
5.根据权利要求4所述的基于密文的身份验证方法,其特征在于,一个第一限制密钥和一个与其相关联的第二限制密钥仅在与一个应用计数器的值相对应的一次数据交互过程中有效。
6.根据权利要求5所述的基于密文的身份验证方法,其特征在于,所述步骤(A3)进一步包括:在接收到所述安全性信息交互请求后,所述数据处理服务器使用与生成所述第一限制密钥和所述第二限制密钥相同的方式再次生成与当前应用计数器的值对应的第一限制密钥和第二限制密钥,并分别使用再次生成的第一限制密钥和第二限制密钥以及基于所述安全性信息交互请求中的业务明细数据生成应用密文和用户密文,随之将生成的应用密文和用户密文各自与所述安全性信息交互请求中所包含的应用密文和用户密文相比较,如果应用密文一致,则判定所述移动终端是合法的设备,如果用户密文一致,则判定用户的身份验证成功,并且所述数据处理服务器随后基于判定结果执行后续的安全性信息交互过程。
CN201611203764.6A 2016-12-23 2016-12-23 基于密文的身份验证方法 Active CN106961417B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201611203764.6A CN106961417B (zh) 2016-12-23 2016-12-23 基于密文的身份验证方法
PCT/CN2017/114419 WO2018113508A1 (zh) 2016-12-23 2017-12-04 基于密文的身份验证方法
TW106143125A TWI728212B (zh) 2016-12-23 2017-12-08 基於密文的身份驗證方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611203764.6A CN106961417B (zh) 2016-12-23 2016-12-23 基于密文的身份验证方法

Publications (2)

Publication Number Publication Date
CN106961417A true CN106961417A (zh) 2017-07-18
CN106961417B CN106961417B (zh) 2020-05-22

Family

ID=59480853

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611203764.6A Active CN106961417B (zh) 2016-12-23 2016-12-23 基于密文的身份验证方法

Country Status (3)

Country Link
CN (1) CN106961417B (zh)
TW (1) TWI728212B (zh)
WO (1) WO2018113508A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018113508A1 (zh) * 2016-12-23 2018-06-28 ***股份有限公司 基于密文的身份验证方法

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111311261B (zh) * 2020-02-24 2023-07-21 中国工商银行股份有限公司 一种联机交易的安全处理方法、装置及***

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102752264A (zh) * 2011-04-19 2012-10-24 中国银行股份有限公司 一种互联网双动态密码客户身份认证方法及***
WO2016035466A1 (ja) * 2014-09-03 2016-03-10 エンクリプティア株式会社 通信システム、サーバ装置用プログラム及びこれを記録した記録媒体、通信装置用プログラム及びこれを記録した記録媒体、端末装置用プログラム及びこれを記録した記録媒体

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120011007A1 (en) * 2010-07-07 2012-01-12 At&T Intellectual Property I, L.P. Mobile Payment Using DTMF Signaling
CN102694782B (zh) * 2011-03-24 2016-05-18 ***股份有限公司 基于互联网的安全性信息交互设备及方法
CN105991285B (zh) * 2015-02-16 2019-06-11 阿里巴巴集团控股有限公司 用于量子密钥分发过程的身份认证方法、装置及***
CN104778794B (zh) * 2015-04-24 2017-06-20 华为技术有限公司 移动支付装置和方法
CN105678553A (zh) * 2015-08-05 2016-06-15 腾讯科技(深圳)有限公司 一种处理订单信息的方法、装置和***
CN106961417B (zh) * 2016-12-23 2020-05-22 ***股份有限公司 基于密文的身份验证方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102752264A (zh) * 2011-04-19 2012-10-24 中国银行股份有限公司 一种互联网双动态密码客户身份认证方法及***
WO2016035466A1 (ja) * 2014-09-03 2016-03-10 エンクリプティア株式会社 通信システム、サーバ装置用プログラム及びこれを記録した記録媒体、通信装置用プログラム及びこれを記録した記録媒体、端末装置用プログラム及びこれを記録した記録媒体

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
卓先德,赵菲,曾德明: "非对称加密技术研究", 《四川理工学院学报(自然科学版)》 *
金新明,朱学峰: "银行卡POS交换***的设计与实现", 《华南理工大学学报(自然科学版)》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018113508A1 (zh) * 2016-12-23 2018-06-28 ***股份有限公司 基于密文的身份验证方法

Also Published As

Publication number Publication date
WO2018113508A1 (zh) 2018-06-28
TW201828134A (zh) 2018-08-01
TWI728212B (zh) 2021-05-21
CN106961417B (zh) 2020-05-22

Similar Documents

Publication Publication Date Title
US10783736B1 (en) Tap to copy data to clipboard via NFC
CN108027926B (zh) 基于服务的支付的认证***和方法
KR101621254B1 (ko) 오티피 기반의 가상 번호 결제 방법, 컴퓨터 판독가능한 기록매체 및 시스템
RU2648944C2 (ru) Способы, устройства и системы для безопасного получения, передачи и аутентификации платежных данных
US20140279558A1 (en) Two-Way, Token-Based Validation for NFC-Enabled Transactions
CN104038924B (zh) 实现资源交换信息处理的方法和***
JP7275291B2 (ja) クリップボードにコピーするカードデータを安全に生成するためのカードのタップ
CN113812128A (zh) Nfc移动货币转账
US9336523B2 (en) Managing a secure transaction
CN103839157A (zh) 一种电子支付方法、装置及***
US20120254041A1 (en) One-time credit card numbers
CN103198405A (zh) 一种基于摄像头扫描验证的智能支付方法与***
US20140263630A1 (en) Systems and methods for processing a financial transaction
CN104361491A (zh) 一种移动支付方法及***
CN101221641A (zh) 一种联机交易的安全确认设备及联机交易方法
CN104933565A (zh) 一种ic卡交易方法及***
TWI811323B (zh) 使用未安裝應用程式的行動支付裝置之行動支付系統和方法
CN103942897A (zh) 一种在atm机上实现无卡取款的方法
US20230222482A1 (en) Device account activation
KR102333811B1 (ko) 블록체인 기반의 카드 결제 처리 시스템 및 방법
US9836618B2 (en) System and method of authentication of a first party respective of a second party aided by a third party
CN101540031A (zh) 一种确保网络电子交易的数据真实性的确认方法
JP2015529900A (ja) トランザクション処理の検証のための方法、システム、およびデバイス
CN111052671A (zh) 在用于银行业务交易的电子***中用于用户身份的安全认证的***
CN106961417A (zh) 基于密文的身份验证方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 1238821

Country of ref document: HK

GR01 Patent grant
GR01 Patent grant