CN107070667B - 身份认证方法 - Google Patents
身份认证方法 Download PDFInfo
- Publication number
- CN107070667B CN107070667B CN201710421767.5A CN201710421767A CN107070667B CN 107070667 B CN107070667 B CN 107070667B CN 201710421767 A CN201710421767 A CN 201710421767A CN 107070667 B CN107070667 B CN 107070667B
- Authority
- CN
- China
- Prior art keywords
- user
- certificate
- authentication
- public key
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3249—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种身份认证方法,在用户设备侧,所述方法包括:使用设备验证私钥对用户认证公钥进行签名后,连同设备验证公钥证书一同发送给身份认证服务器,以供身份认证服务器使用设备制造商根公钥证书对设备验证公钥进行验证,然后使用设备验证公钥对签名数据进行验签,再将用户信息与用户认证公钥一起发送给证书管理机构服务器,以供证书管理机构服务器根据用户信息和用户认证公钥生成用户证书,并将用户证书返回给身份认证服务器保存。该方法通过证书管理机构的背书,提高了身份认证的安全性。本发明还提供了基于该方法的用户设备和服务器。
Description
技术领域
本发明涉及认证技术领域,特别是一种引入认证中心的身份认证方法、用户设备和服务器。
背景技术
FIDO线上快速身份认证标准(以下简称FIDO标准)是由FIDO联盟提出的一个开放的标准协议,旨在提供一个高安全性、跨平台兼容性、极佳用户体验与用户隐私保护的在线身份认证技术架构。FIDO标准通过集成生物识别与非对称加密两大技术来完成用户身份验证,试图终结多年来用户必须记忆并使用大量复杂密码的烦恼。
但是,FIDO的***架构仍然存在着一些安全风险。在FIDO UAF架构中,用户认证密钥是由内嵌于客户端设备中的认证器产生的,用户私钥存储在认证器中,用户公钥使用认证器验证私钥进行签名后发送到服务器端,由服务器端使用认证器验证根证书进行验证后,将用户公钥存储在服务器端数据库中,以完成用户注册的流程。此流程中,FIDO服务器依赖原有用户认证手段(如口令、短信验证码等)对用户进行验证,同时依赖认证器验证机制来对设备进行验证。由于认证器的验证密钥并不是每设备唯一的,导致有可能存在安全风险,如攻击者伪冒用户进行注册。
发明内容
本发明的目的是为了解决现有FIDO认证标准中,用户在注册时存在的安全风险问题,提供一种身份认证方法,以及基于该方法的用户设备和服务器。
第一方面,本发明提供一种身份认证方法,在用户设备侧,所述方法包括:
使用设备验证私钥对用户认证公钥进行签名后,连同设备验证公钥证书一同发送给身份认证服务器,以供身份认证服务器使用设备制造商根公钥证书对设备验证公钥进行验证,然后使用设备验证公钥对签名数据进行验签,再将用户信息与用户认证公钥一起发送给证书管理机构服务器,以供证书管理机构服务器根据用户信息和用户认证公钥生成用户证书,并将用户证书返回给身份认证服务器保存。
可选地或优选地,所述设备验证私钥和设备验证公钥预置在用户设备中,所述设备验证公钥还经过设备制造商的根私钥签发。
可选地或优选地,在所述使用设备验证私钥对用户认证公钥进行签名之前,所述方法还包括:
在用户注册时生成用户认证公私钥对,并将用户认证私钥保存在用户设备中。
可选地或优选地,所述公钥、私钥和用户证书中的至少一种信息被保存在对应设备的安全存储区域中。
可选地或优选地,还包括注销的过程,所述注销的过程包括:
完成用户的身份验证后,向身份认证服务器发起注销请求,以使得身份认证服务器删除该用户的用户认证公钥证书,并将该证书的识别码发送给证书管理机构服务器,以供证书管理机构服务器吊销该证书,并返回处理结果;
在收到所述处理结果后,删除用户认证私钥。
第二方面,本发明提供一种身份认证方法,在身份认证服务器侧,所述方法包括:在收到用户设备发送的签名数据和设备验证公钥证书后,使用设备制造商根公钥证书对设备验证公钥进行验证,然后使用设备验证公钥对签名数据进行验签,再将用户信息与用户认证公钥一起发送给证书管理机构服务器,以供证书管理机构服务器根据用户信息和用户认证公钥生成用户证书,并将用户证书返回给身份认证服务器保存;其中,所述签名数据是使用设备验证私钥对用户认证公钥进行签名得到的。
可选地或优选地,所述设备验证私钥和设备验证公钥预置在用户设备中,所述设备验证公钥还经过设备制造商的根私钥签发。
可选地或优选地,在所述使用设备验证私钥对用户认证公钥进行签名之前,还包括如下步骤:
在用户注册时生成用户认证公私钥对,并将用户认证私钥保存在用户设备中。
可选地或优选地,所述公钥、私钥和用户证书中的至少一种信息被保存在对应设备的安全存储区域中。
可选地或优选地,还包括注销的过程,所述注销的过程包括:
根据身份认证服务器删除用户认证公钥证书后发送的该证书的识别码吊销该证书,返回处理结果,以供用户设备删除用户认证私钥。
第三方面,本发明提供一种身份认证方法,基于用户设备、身份认证服务器和证书管理机构服务器实现,在所述证书管理机构服务器侧,所述方法包括:根据身份认证服务器发送的用户信息和用户认证公钥生成用户证书,并将用户证书返回给身份认证服务器保存;其中:
所述用户认证公钥在被发送到证书管理机构服务器之前,经过如下的处理:在用户设备侧使用设备验证私钥对用户认证公钥进行签名后连同设备验证公钥一起发送给身份认证服务器,再经过身份认证服务器使用设备制造商根公钥证书对设备验证公钥进行验证,然后使用设备验证公钥对签名数据进行验签。
可选地或优选地,所述设备验证私钥和设备验证公钥预置在用户设备中,所述设备验证公钥还经过设备制造商的根私钥签发。
可选地或优选地,在所述使用设备验证私钥对用户认证公钥进行签名之前,还包括如下步骤:
在用户注册时生成用户认证公私钥对,并将用户认证私钥保存在用户设备中。
可选地或优选地,所述公钥、私钥和用户证书中的至少一种信息被保存在对应设备的安全存储区域中。
可选地或优选地,包括注销的过程,所述注销的过程包括:在收到用户设备的注销请求后,删除用户认证公钥证书,并将该证书的识别码发送给证书管理机构服务器,以供证书管理机构服务器根据该识别码吊销该证书,并返回处理结果,以供用户设备删除用户认证私钥。
第四方面,本发明提供一种用户设备,包括存储介质及存储在存储介质中的计算机程序,所述程序在运行时可实现以下步骤:
使用设备验证私钥对用户认证公钥进行签名后,连同设备验证公钥证书一同发送给身份认证服务器,以供身份认证服务器使用设备制造商根公钥证书对设备验证公钥进行验证,然后使用设备验证公钥对签名数据进行验签,再将用户信息与用户认证公钥一起发送给证书管理机构服务器,以供证书管理机构服务器根据用户信息和用户认证公钥生成用户证书,并将用户证书返回给身份认证服务器保存。
可选地或优选地,所述设备验证私钥和设备验证公钥预置在用户设备中,所述设备验证公钥还经过设备制造商的根私钥签发。
可选地或优选地,在所述使用设备验证私钥对用户认证公钥进行签名之前,所述程序在运行时还可实现以下步骤:
在用户注册时生成用户认证公私钥对,并将用户认证私钥保存在用户设备中。
可选地或优选地,所述公钥、私钥和用户证书中的至少一种信息被保存在对应设备的安全存储区域中。
可选地或优选地,所述程序在运行时还可实现以下步骤:
完成用户的身份验证后,向身份认证服务器发起注销请求,以使得身份认证服务器删除该用户的用户认证公钥证书,并将该证书的识别码发送给证书管理机构服务器,以供证书管理机构服务器吊销该证书,并返回处理结果;
在收到所述处理结果后,删除用户认证私钥。
第五方面,本发明实施例提供一种身份认证服务器,包括存储介质及存储在存储介质中的计算机程序,所述程序在运行时可实现以下步骤:
在收到用户设备发送的签名数据和设备验证公钥证书后,使用设备制造商根公钥证书对设备验证公钥进行验证,然后使用设备验证公钥对签名数据进行验签,再将用户信息与用户认证公钥一起发送给证书管理机构服务器,以供证书管理机构服务器根据用户信息和用户认证公钥生成用户证书,并将用户证书返回给身份认证服务器保存;其中,所述签名数据是使用设备验证私钥对用户认证公钥进行签名得到的。
可选地或优选地,所述设备验证私钥和设备验证公钥预置在用户设备中,所述设备验证公钥还经过设备制造商的根私钥签发。
可选地或优选地,在所述使用设备验证私钥对用户认证公钥进行签名之前,还包括如下步骤:
在用户注册时生成用户认证公私钥对,并将用户认证私钥保存在用户设备中。
可选地或优选地,所述公钥、私钥和用户证书中的至少一种信息被保存在对应设备的安全存储区域中。
可选地或优选地,所述程序在运行时还可实现以下步骤:
根据身份认证服务器删除用户认证公钥证书后发送的该证书的识别码吊销该证书,返回处理结果,以供用户设备删除用户认证私钥。
第六方面,本发明提供一种证书管理机构服务器,包括存储介质及存储在存储介质中的计算机程序,所述程序在运行时可实现以下步骤:根据身份认证服务器发送的用户信息和用户认证公钥生成用户证书,并将用户证书返回给身份认证服务器保存;其中:
所述用户认证公钥在被发送到证书管理机构服务器之前,经过如下的处理:在用户设备侧使用设备验证私钥对用户认证公钥进行签名后连同设备验证公钥一起发送给身份认证服务器,再经过身份认证服务器使用设备制造商根公钥证书对设备验证公钥进行验证,然后使用设备验证公钥对签名数据进行验签。
可选地或优选地,所述设备验证私钥和设备验证公钥预置在用户设备中,所述设备验证公钥还经过设备制造商的根私钥签发。
可选地或优选地,在所述使用设备验证私钥对用户认证公钥进行签名之前,还包括如下步骤:
在用户注册时生成用户认证公私钥对,并将用户认证私钥保存在用户设备中。
可选地或优选地,所述公钥、私钥和用户证书中的至少一种信息被保存在对应设备的安全存储区域中。
可选地或优选地,所述程序在运行时可实现以下步骤:在收到用户设备的注销请求后,删除用户认证公钥证书,并将该证书的识别码发送给证书管理机构服务器,以供证书管理机构服务器根据该识别码吊销该证书,并返回处理结果,以供用户设备删除用户认证私钥。
本发明提供的一种身份认证方法,以及基于该方法的用户设备和服务器,是在现有的FIDO标准的***架构中,引入证书管理机构服务器。在用户注册过程中,用户认证公钥先经过设备验证密钥设备验证私钥签名和设备验证公钥验签,再连同用户信息一并发给证书管理机构服务器生成用户证书作为用户认证的依据,由于证书管理机构是权威可信的第三方机构,由其为用户认证公钥背书后提高了用户注册和认证的安全性。
附图说明
图1为本发明实施例所提供的身份认证方法在用户设备侧的流程图;
图2为本发明实施例所提供的身份认证方法中在用户设备侧注销证书的流程图;
图3为本发明实施例所提供的身份认证方法在身份认证服务器侧的流程图;
图4为本发明实施例所提供的身份认证方法中在身份认证服务器侧注销证书的流程图;
图5为本发明实施例所提供的身份认证方法在证书管理机构服务器侧的流程图;
图6为本发明实施例所提供的身份认证方法中在证书管理机构服务器侧注销证书的流程图;
图7为本发明实施例所提供的身份认证方法中DAK的产生流程图;
图8为本发明实施例所提供的身份认证方法中UAK的产生流程图;
图9为本发明实施例所提供的身份认证方法中用户认证的流程图;
图10为本发明实施例所提供的身份认证方法中注销证书的流程图;
图11为本发明实施例所提供的用户设备的结构示意图;
图12为本发明实施例所提供的身份认证服务器的结构示意图;
图13为本发明实施例所提供的证书管理机构服务器的结构示意图;
图14为本发明实施例所提供的身份认证方法的整体架构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种身份认证方法,其基本的构思是在现有的FIDO标准的***架构基础上,引入了证书管理机构服务器(本实施例中为图14所示的CA/RA服务器)为用户认证公钥背书,提高了用户注册和认证的安全性。
本说明书中述及的以下词语和短语通常具有以下规定的含义,除非使用的文义另有所指:
术语“设备验证密钥”,英文全称为Device Attestation Key,简写为DAK。
“设备验证密钥”是一种非对称密钥对,包括公钥和私钥。该密钥对由身份认证客户端在设备出厂时产生并预置到设备安全存储区域中。每台设备的DAK是唯一的。
“服务验证密钥”是一种非对称密钥对,包括公钥和私钥。该密钥由身份认证客户端在初次激活使用时产生,并使用DAK的私钥进行签名后传递到身份认证服务端。
术语“用户认证密钥”,英文全称为User Authentication Key,简写为UAK。
术语“通用认证框架”,英文全称为Universal Authentication Framework,简写为UAF。通用认证框架是国际FIDO联盟提出的一项身份认证技术协议,利用用户设备提供的认证能力并基于公私钥体系完成对用户的身份认证。
“用户认证密钥”是一种非对称密钥对,包括公钥和私钥。该密钥对在用户进行注册时由用户设备产生,用于认证最终用户身份。
下面,结合图1-10,分别从用户设备侧、身份认证服务器侧和设备认证服务器侧描述本发明实施例中的身份认证方法。
在用户设备侧,本发明实施例提供的身份认证方法,包括如下步骤:
S101:在用户注册时生成用户认证公私钥对,并将用户认证私钥保存在用户设备中。
在FIDO标准的体系下,以通用认证框架(UAF)为例,生成用户认证公私钥对具体可以通过以下的流程:
用户设备通过APP向应用提供方提交用户名和其它必要用户数据,申请启动UAF注册程序。应用提供方服务器收到用户请求后,通过用户应用向智能设备中的UAF客户端发出注册申请。UAF客户端收到注册申请后,通过应用接口调用UAF身份认证器,并向用户提供本设备支持的本地确认方式供用户选择与确认;在用户确认后,UAF身份认证器生成新的公私钥对。此处的UAF身份认证器可以是任意一种生物信息识别装置,包括但不限于公知的指纹识别装置、面部识别模块、虹膜识别模块和语音识别装置等。
应当理解的是,用户在获得一个支持UAF协议的智能终端(如手机)后,需要像日常使用那样先在设备上录入用户生物特征识别信息完成本地认证。例如利用指纹识别模块采集用户的指纹信息、利用麦克采集用户的语音信息、或者利用摄像头采集用户的面部或虹膜信息等,完成用户与设备之间的认证信息采集,并存储在本设备的安全单元中。
S102:使用设备验证私钥对用户认证公钥进行签名后,连同设备验证公钥证书一同发送给身份认证服务器,以供身份认证服务器使用设备制造商根公钥证书对设备验证公钥进行验证,然后使用设备验证公钥对签名数据进行验签,再将用户信息与用户认证公钥一起发送给证书管理机构服务器,以供证书管理机构服务器根据用户信息和用户认证公钥生成用户证书,并将用户证书返回给身份认证服务器保存。用户证书优选保存在安全存储区域中,如经过加密处理的数据库中或者可信执行环境和安全芯片中,这样可以避免泄漏,提高验证过程的安全性。
证书管理机构是一种权威、可信的第三方机构,负责电子证书管理,所述管理包括但不限于电子证书的注册申请、发放、取消等事宜。证书管理机构也可以称为认证中心,按照具体职能划分,可以包含CA(Certification Authority--认证中心)以及配套的RA(Registration Authority--注册审批机构)***。CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户名称与证书中列出的公开密钥相对应。CA中心的数字签名使得攻击者不能伪造和篡改数字证书。RA***是CA的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作;同时,对发放的证书完成相应的管理功能。发放的数字证书可以存放于IC卡、硬盘或软盘等介质中。除了注册申请外,CA还允许管理员撤销发放的数字证书,在证书废止列表(CRL)中添加新项并周期性地发布这一数字签名的CRL。
设备验证私钥和设备验证公钥可以通过以下的流程得到:
第一步,设备制造厂商(如智能手机的生产商)从证书管理机构获得代表自己身份的根公钥证书和根私钥证书。根公钥证书和根私钥证书为整个公私钥认证***中的最终追溯证书,具有高度的安全性和可靠性。
第二步,设备制造商生成一对新的公私钥,即设备验证公钥和设备验证私钥,并使用根私钥对设备验证公钥签发证书。
第三步,将设备验证公钥和设备验证私钥在出厂时预置在用户设备的安全存储区域中。
在步骤S102中,用户认证公钥首先经过设备验证私钥的签名和设备验证公钥的验签,由于设备验证密钥是预置在用户设备中的,具有较高的安全性,且设备验证公钥还经过根证书的签发,安全性更高。因此用户认证公钥在首次发送到身份认证服务器时就经过了第一道具有较高安全性的验签过程。接着,用户认证公钥还连同用户信息一起发给证书管理机构服务器,由具有权威性和可信性的证书管理机构服务器对其进行背书后,生成最终的用户认证证书,安全性又提高了一个层级。
用户认证的过程可以参考现有FIDO的标准来实现。例如,图9即是一种用户认证过程中的流程图。在认证过程中,先由身份认证客户端(即用户设备)发起初始化身份认证请求给身份认证服务端,服务端产生随机挑战值给客户端,客户端通过指纹或虹膜识别等生物特征信息识别手段,解锁UAK私钥并对挑战值签名,将随机挑战值和签名发送到服务端,服务端使用上述的用户公钥证书对签名进行验签,并返回验签结果。如果验签通过,则执行相应的电子交易操作。
作为进一步地改进,本发明实施例的用户身份认证方法还包含吊销注册证书的过程。在该过程中,具体包括如下的步骤:
S103:完成用户的身份验证后,向身份认证服务器发起注销请求,以使得身份认证服务器删除该用户的用户认证公钥证书,并将该证书的识别码发送给证书管理机构服务器,以供证书管理机构服务器吊销该证书,并返回处理结果。
步骤S103中的识别码可以是一串序列号,用于识别用户认证证书。证书管理机构服务器在收到该识别码后,在数据库中查找到对应的证书进行删除操作,并更新证书废止列表(CRL)。返回结果可以先返回给身份认证服务器,再进一步返回到用户设备上以通知用户。
通过步骤S103,用户在注销时,也经过了证书管理机构的背书,避免了冒用者非法注销的行为。
S104:在收到所述处理结果后,删除用户认证私钥。
作为一种优选的实施方案,在上述各个设备保存公钥或私钥的过程中,优先将这些密钥保存在对应设备的安全存储区域中,如经过加密处理的数据库中或者可信执行环境和安全芯片中,这样可以避免密钥的泄漏,提高验证过程的安全性。
在身份认证服务器侧,本发明实施例提供的身份认证方法,包括如下步骤:
S201:在收到用户设备发送的签名数据和设备验证公钥证书后,使用设备制造商根公钥证书对设备验证公钥进行验证,然后使用设备验证公钥对签名数据进行验签,再将用户信息与用户认证公钥一起发送给证书管理机构服务器,以供证书管理机构服务器根据用户信息和用户认证公钥生成用户证书,并将用户证书返回给身份认证服务器保存。
其中,所述签名数据是使用设备验证私钥对用户认证公钥进行签名得到的。
与用户侧的执行步骤同理,上述设备验证私钥和设备验证公钥预置在用户设备中,所述设备验证公钥还经过设备制造商的根私钥签发。
应当理解的是,使用设备验证私钥对用户认证公钥进行签名之前,还包括如下步骤:
在用户注册时生成用户认证公私钥对,并将用户认证私钥保存在用户设备中。
作为一种优选的改进方式,所述公钥、私钥和用户证书被保存在对应设备的安全存储区域中。如经过加密处理的数据库中或者可信执行环境和安全芯片中,这样可以避免密钥的泄漏,提高验证过程的安全性。
进一步地,本发明实施例还包括注销的过程,注销的过程包括如下步骤:
S202:根据身份认证服务器删除用户认证公钥证书后发送的该证书的识别码吊销该证书,返回处理结果,以供用户设备删除用户认证私钥。
上述各步骤中的具体实施方式可以参考在用户设备侧的相关描述,此处不再赘述。
在证书管理机构服务器侧,本发明实施例提供的用户身份认证方法包括如下步骤:
S301:根据身份认证服务器发送的用户信息和用户认证公钥生成用户证书,并将用户证书返回给身份认证服务器保存;其中:
所述用户认证公钥在被发送到证书管理机构服务器之前,经过如下的处理:在用户设备侧使用设备验证私钥对用户认证公钥进行签名后连同设备验证公钥一起发送给身份认证服务器,再经过身份认证服务器使用设备制造商根公钥证书对设备验证公钥进行验证,然后使用设备验证公钥对签名数据进行验签。
与用户侧的执行步骤同理,上述设备验证私钥和设备验证公钥预置在用户设备中,所述设备验证公钥还经过设备制造商的根私钥签发。
应当理解的是,使用设备验证私钥对用户认证公钥进行签名之前,还包括如下步骤:
在用户注册时生成用户认证公私钥对,并将用户认证私钥保存在用户设备中。
作为一种优选的改进方式,所述公钥、私钥和用户证书被保存在对应设备的安全存储区域中。如经过加密处理的数据库中或者可信执行环境和安全芯片中,这样可以避免密钥的泄漏,提高验证过程的安全性。
进一步地,本发明实施例还包括注销的过程,注销的过程包括如下步骤:
S302:在收到用户设备的注销请求后,删除用户认证公钥证书,并将该证书的识别码发送给证书管理机构服务器,以供证书管理机构服务器根据该识别码吊销该证书,并返回处理结果,以供用户设备删除用户认证私钥。
下面,根据上述提供的身份认证方法,结合图7-9,描述本发明实施例提供的用于实现上述方法的有关装置。
在一个实施例中,本发明提供了一种用户设备,也可以称为身份认证客户端。其由用户持有,可以是任何一种已知的用户智能设备,包括但不限于手机、PAD或智能手表等。该用户设备可以配置有支持FIDO协议的操作***和应用程序。此外还可以具有生物识别装置,包括但不限于公知的指纹识别装置、虹膜识别装置、面部识别装置和语音识别装置等。
本发明实施例提供的用户设备包括存储介质401及存储在存储介质中的计算机程序,该程序可以被处理器402执行,所述程序在运行时可实现以下步骤:
S101:在用户注册时生成用户认证公私钥对,并将用户认证私钥保存在用户设备中。
在FIDO标准的体系下,以UAF为例,生成用户认证公私钥对具体可以通过以下的流程:
用户设备通过APP向应用提供方提交用户名和其它必要用户数据,申请启动UAF注册程序。应用提供方服务器收到用户请求后,通过用户应用向智能设备中的UAF客户端发出注册申请。UAF客户端收到注册申请后,通过应用接口调用UAF身份认证器,并向用户提供本设备支持的本地确认方式供用户选择与确认;在用户确认后,UAF身份认证器生成新的公私钥对。此处的UAF身份认证器可以是任意一种生物信息识别装置,包括但不限于公知的指纹识别装置、面部识别模块、虹膜识别模块和语音识别装置等。
应当理解的是,用户在获得一个支持UAF协议的智能终端(如手机)后,需要像日常使用那样先在设备上录入用户生物特征识别信息完成本地认证。例如利用指纹识别模块采集用户的指纹信息、利用麦克采集用户的语音信息、或者利用摄像头采集用户的面部或虹膜信息等,完成用户与设备之间的认证信息采集,并存储在本设备的安全单元中。
S102:使用设备验证私钥对用户认证公钥进行签名后,连同设备验证公钥证书一同发送给身份认证服务器,以供身份认证服务器使用设备制造商根公钥证书对设备验证公钥进行验证,然后使用设备验证公钥对签名数据进行验签,再将用户信息与用户认证公钥一起发送给证书管理机构服务器,以供证书管理机构服务器根据用户信息和用户认证公钥生成用户证书,并将用户证书返回给身份认证服务器保存。用户证书优选保存在安全存储区域中,如经过加密处理的数据库中或者可信执行环境和安全芯片中,这样可以避免泄漏,提高验证过程的安全性。
证书管理机构是一种权威、可信的第三方机构,负责电子证书管理,所述管理包括但不限于电子证书的注册申请、发放、取消等事宜。证书管理机构也可以称为认证中心,按照具体职能划分,可以包含CA(Certification Authority--认证中心)以及配套的RA(Registration Authority--注册审批机构)***。CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户名称与证书中列出的公开密钥相对应。CA中心的数字签名使得攻击者不能伪造和篡改数字证书。RA***是CA的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作;同时,对发放的证书完成相应的管理功能。发放的数字证书可以存放于IC卡、硬盘或软盘等介质中。除了注册申请外,CA还允许管理员撤销发放的数字证书,在证书废止列表(CRL)中添加新项并周期性地发布这一数字签名的CRL。
设备验证私钥和设备验证公钥可以通过以下的流程得到:
第一步,设备制造厂商(如智能手机的生产商)从证书管理机构获得代表自己身份的根公钥证书和根私钥证书。根公钥证书和根私钥证书为整个公私钥认证***中的最终追溯证书,具有高度的安全性和可靠性。
第二步,设备制造商生成一对新的公私钥,即设备验证公钥和设备验证私钥,并使用根私钥对设备验证公钥签发证书。
第三步,将设备验证公钥和设备验证私钥在出厂时预置在用户设备的安全存储区域中。
在步骤S102中,用户认证公钥首先经过设备验证私钥的签名和设备验证公钥的验签,由于设备验证密钥是预置在用户设备中的,具有较高的安全性,且设备验证公钥还经过根证书的签发,安全性更高。因此用户认证公钥在首次发送到身份认证服务器时就经过了第一道具有较高安全性的验签过程。接着,用户认证公钥还连同用户信息一起发给证书管理机构服务器,由具有权威性和可信性的证书管理机构服务器对其进行背书后,生成最终的用户认证证书,安全性又提高了一个层级。
用户认证的过程可以参考现有FIDO的标准来实现。例如,图9即是一种用户认证过程中的流程图。在认证过程中,先由身份认证客户端(即用户设备)发起初始化身份认证请求给身份认证服务端,服务端产生随机挑战值给客户端,客户端通过指纹或虹膜识别等生物特征信息识别手段,解锁UAK私钥并对挑战值签名,将随机挑战值和签名发送到服务端,服务端使用上述的用户公钥证书对签名进行验签,并返回验签结果。如果验签通过,则执行相应的电子交易操作。
作为进一步地改进,本发明实施例的程序在运行时还可以实现吊销注册证书的过程。在该过程中,具体包括如下的步骤:
S103:完成用户的身份验证后,向身份认证服务器发起注销请求,以使得身份认证服务器删除该用户的用户认证公钥证书,并将该证书的识别码发送给证书管理机构服务器,以供证书管理机构服务器吊销该证书,并返回处理结果。
步骤S103中的识别码可以是一串序列号,用于识别用户认证证书。证书管理机构服务器在收到该识别码后,在数据库中查找到对应的证书进行删除操作,并更新证书废止列表(CRL)。返回结果可以先返回给身份认证服务器,再进一步返回到用户设备上以通知用户。
通过步骤S103,用户在注销时,也经过了证书管理机构的背书,避免了冒用者非法注销的行为。
S104:在收到所述处理结果后,删除用户认证私钥。
作为一种优选的实施方案,在上述各个设备保存公钥或私钥的过程中,优先将这些密钥保存在对应设备的安全存储区域中,如经过加密处理的数据库中或者可信执行环境和安全芯片中,这样可以避免密钥的泄漏,提高验证过程的安全性。
在另一个实施例中,本发明提供一种身份认证服务器,包括存储介质501及存储在存储介质中的计算机程序,该程序可以被处理器502执行,所述程序在运行时可实现以下步骤:
S201:在收到用户设备发送的签名数据和设备验证公钥证书后,使用设备制造商根公钥证书对设备验证公钥进行验证,然后使用设备验证公钥对签名数据进行验签,再将用户信息与用户认证公钥一起发送给证书管理机构服务器,以供证书管理机构服务器根据用户信息和用户认证公钥生成用户证书,并将用户证书返回给身份认证服务器保存。
其中,所述签名数据是使用设备验证私钥对用户认证公钥进行签名得到的。
与用户侧的执行步骤同理,上述设备验证私钥和设备验证公钥预置在用户设备中,所述设备验证公钥还经过设备制造商的根私钥签发。
应当理解的是,使用设备验证私钥对用户认证公钥进行签名之前,还包括如下步骤:
在用户注册时生成用户认证公私钥对,并将用户认证私钥保存在用户设备中。
作为一种优选的改进方式,所述公钥、私钥和用户证书被保存在对应设备的安全存储区域中。如经过加密处理的数据库中或者可信执行环境和安全芯片中,这样可以避免密钥的泄漏,提高验证过程的安全性。
进一步地,本发明实施例本发明实施例的程序在运行时还可以实现注销的过程,注销的过程包括如下步骤:
S202:根据身份认证服务器删除用户认证公钥证书后发送的该证书的识别码吊销该证书,返回处理结果,以供用户设备删除用户认证私钥。
上述各步骤中的具体实施方式可以参考在用户设备侧的相关描述,此处不再赘述。
在另一个实施例中,本发明提供了一种证书管理机构服务器,包括存储介质601及存储在存储介质中的计算机程序,该程序可以被处理器602执行,所述程序在运行时可实现以下步骤:
S301:根据身份认证服务器发送的用户信息和用户认证公钥生成用户证书,并将用户证书返回给身份认证服务器保存;其中:
所述用户认证公钥在被发送到证书管理机构服务器之前,经过如下的处理:在用户设备侧使用设备验证私钥对用户认证公钥进行签名后连同设备验证公钥一起发送给身份认证服务器,再经过身份认证服务器使用设备制造商根公钥证书对设备验证公钥进行验证,然后使用设备验证公钥对签名数据进行验签。
与用户侧的执行步骤同理,上述设备验证私钥和设备验证公钥预置在用户设备中,所述设备验证公钥还经过设备制造商的根私钥签发。
应当理解的是,使用设备验证私钥对用户认证公钥进行签名之前,还包括如下步骤:
在用户注册时生成用户认证公私钥对,并将用户认证私钥保存在用户设备中。
作为一种优选的改进方式,所述公钥、私钥和用户证书被保存在对应设备的安全存储区域中。如经过加密处理的数据库中或者可信执行环境和安全芯片中,这样可以避免密钥的泄漏,提高验证过程的安全性。
进一步地,本发明实施例的程序在运行时还包括注销的过程,注销的过程包括如下步骤:
S302:在收到用户设备的注销请求后,删除用户认证公钥证书,并将该证书的识别码发送给证书管理机构服务器,以供证书管理机构服务器根据该识别码吊销该证书,并返回处理结果,以供用户设备删除用户认证私钥。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
Claims (12)
1.身份认证方法,其特征在于,在用户设备侧,所述方法包括:使用设备验证私钥对用户认证公钥进行签名后,连同设备验证公钥证书一同发送给身份认证服务器,以供身份认证服务器使用设备制造商根公钥证书对设备验证公钥证书进行验证,然后使用设备验证公钥证书对签名数据进行验签,再将用户信息与用户认证公钥一起发送给证书管理机构服务器,以供证书管理机构服务器根据用户信息和用户认证公钥生成用户证书,并将用户证书返回给身份认证服务器保存;
所述设备验证公钥证书是使用设备制造商的根私钥签发的证书;
所述签名数据是使用设备验证私钥对用户认证公钥进行签名得到的。
2.根据权利要求1所述的身份认证方法,其特征在于,所述设备验证私钥和设备验证公钥证书预置在用户设备中。
3.根据权利要求1所述的身份认证方法,其特征在于,在所述使用设备验证私钥对用户认证公钥进行签名之前,所述方法还包括:
在用户注册时生成用户认证公私钥对,并将用户认证私钥保存在用户设备中。
4.根据权利要求1-3任一所述的身份认证方法,其特征在于,还包括注销的过程,所述注销的过程包括:
完成用户的身份验证后,向身份认证服务器发起注销请求,以使得身份认证服务器删除该用户的用户证书,并将该证书的识别码发送给证书管理机构服务器,以供证书管理机构服务器吊销该证书,并返回处理结果;
在收到所述处理结果后,删除用户认证私钥。
5.身份认证方法,其特征在于,在身份认证服务器侧,所述方法包括:在收到用户设备发送的签名数据和设备验证公钥证书后,使用设备制造商根公钥证书对设备验证公钥证书进行验证,然后使用设备验证公钥证书对签名数据进行验签,再将用户信息与用户认证公钥一起发送给证书管理机构服务器,以供证书管理机构服务器根据用户信息和用户认证公钥生成用户证书,并将用户证书返回给身份认证服务器保存;其中,所述签名数据是使用设备验证私钥对用户认证公钥进行签名得到的;
所述设备验证公钥证书是使用设备制造商的根私钥签发的证书。
6.根据权利要求5所述的身份认证方法,其特征在于,所述设备验证私钥和设备验证公钥证书预置在用户设备中。
7.根据权利要求5所述的身份认证方法,其特征在于,在所述使用设备验证私钥对用户认证公钥进行签名之前,还包括如下步骤:
在用户注册时生成用户认证公私钥对,并将用户认证私钥保存在用户设备中。
8.根据权利要求5-7任一所述的身份认证方法,其特征在于,还包括注销的过程,所述注销的过程包括:
证书管理机构服务器根据身份认证服务器删除用户证书后发送的该证书的识别码吊销该证书,返回处理结果,以供用户设备删除用户认证私钥。
9.身份认证方法,基于用户设备、身份认证服务器和证书管理机构服务器实现,在所述证书管理机构服务器侧,所述方法包括:根据身份认证服务器发送的用户信息和用户认证公钥生成用户证书,并将用户证书返回给身份认证服务器保存;其中:
所述用户认证公钥在被发送到证书管理机构服务器之前,经过如下的处理:在用户设备侧使用设备验证私钥对用户认证公钥进行签名后连同设备验证公钥证书一起发送给身份认证服务器,再经过身份认证服务器使用设备制造商根公钥证书对设备验证公钥证书进行验证,然后使用设备验证公钥证书对签名数据进行验签;
所述设备验证公钥证书是使用设备制造商的根私钥签发的证书。
10.根据权利要求9所述的身份认证方法,其特征在于,所述设备验证私钥和设备验证公钥证书预置在用户设备中。
11.根据权利要求9所述的身份认证方法,其特征在于,在所述使用设备验证私钥对用户认证公钥进行签名之前,还包括如下步骤:
在用户注册时生成用户认证公私钥对,并将用户认证私钥保存在用户设备中。
12.根据权利要求9-11任一所述的身份认证方法,其特征在于,包括注销的过程,所述注销的过程包括:身份认证服务器在收到用户设备的注销请求后,删除用户证书,并将该证书的识别码发送给证书管理机构服务器,以供证书管理机构服务器根据该识别码吊销该证书,并返回处理结果,以供用户设备删除用户认证私钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710421767.5A CN107070667B (zh) | 2017-06-07 | 2017-06-07 | 身份认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710421767.5A CN107070667B (zh) | 2017-06-07 | 2017-06-07 | 身份认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107070667A CN107070667A (zh) | 2017-08-18 |
| CN107070667B true CN107070667B (zh) | 2020-08-04 |
Family
ID=59615756
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710421767.5A Active CN107070667B (zh) | 2017-06-07 | 2017-06-07 | 身份认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107070667B (zh) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6910894B2 (ja) * | 2017-09-01 | 2021-07-28 | キヤノン株式会社 | 情報処理装置、制御方法、およびプログラム |
| CN107634834A (zh) * | 2017-09-05 | 2018-01-26 | 四川中电启明星信息技术有限公司 | 一种基于多终端多场景的可信身份认证方法 |
| CN107919962B (zh) * | 2017-12-22 | 2021-01-15 | 国民认证科技(北京)有限公司 | 一种物联网设备注册和认证方法 |
| CN108235806B (zh) * | 2017-12-28 | 2020-10-02 | 深圳达闼科技控股有限公司 | 安全访问区块链的方法、装置、***、存储介质及电子设备 |
| CN108234509A (zh) * | 2018-01-16 | 2018-06-29 | 国民认证科技(北京)有限公司 | 基于tee和pki证书的fido认证器、认证***及方法 |
| CN108366063B (zh) * | 2018-02-11 | 2021-06-18 | 广东美的厨房电器制造有限公司 | 智能设备的数据通信方法、装置及其设备 |
| CN111010404B (zh) * | 2018-03-30 | 2022-07-29 | 贵州白山云科技股份有限公司 | 一种数据传输方法、设备及计算机可读存储介质 |
| CN109379371B (zh) * | 2018-11-20 | 2021-11-23 | 多点生活(成都)科技有限公司 | 证书验证方法、装置及*** |
| EP3903518A1 (en) * | 2018-12-28 | 2021-11-03 | Apple Inc. | Providing verified claims of user identity |
| CN109510711B (zh) * | 2019-01-08 | 2022-04-01 | 深圳市网心科技有限公司 | 一种网络通信方法、服务器、客户端及*** |
| CN110417776B (zh) * | 2019-07-29 | 2022-03-25 | 大唐高鸿信安(浙江)信息科技有限公司 | 一种身份认证方法及装置 |
| CN110493237A (zh) * | 2019-08-26 | 2019-11-22 | 深圳前海环融联易信息科技服务有限公司 | 身份管理方法、装置、计算机设备及存储介质 |
| CN110690966B (zh) * | 2019-11-08 | 2020-10-09 | 北京金茂绿建科技有限公司 | 终端与业务服务器连接的方法、***、设备及存储介质 |
| CN111106929B (zh) * | 2019-12-09 | 2023-04-18 | 上海创能国瑞数据***有限公司 | 一种基于hash的审批方法 |
| CN111222879A (zh) * | 2019-12-31 | 2020-06-02 | 航天信息股份有限公司 | 一种适用于联盟链的无证书认证方法及*** |
| CN112035813B (zh) * | 2020-07-21 | 2023-12-08 | 杜晓楠 | 区块链中基于指纹识别分层生成分布式身份的方法和计算机可读介质 |
| CN112037054B (zh) * | 2020-07-21 | 2023-10-03 | 杜晓楠 | 去中心化身份***中隐藏用户的资产额度的方法和计算机可读介质 |
| CN112565294B (zh) * | 2020-12-23 | 2023-04-07 | 杭州天谷信息科技有限公司 | 一种基于区块链电子签名的身份认证方法 |
| CN113190816A (zh) * | 2021-05-08 | 2021-07-30 | 国民认证科技(北京)有限公司 | 一种使用***生物特征的人机交互验证方法及*** |
| CN114553444B (zh) * | 2022-04-27 | 2022-07-29 | 北京时代亿信科技股份有限公司 | 身份认证方法、装置及存储介质 |
| CN115208698B (zh) * | 2022-09-15 | 2022-12-09 | 中国信息通信研究院 | 基于区块链的物联网身份认证方法和装置 |
| CN116866093B (zh) * | 2023-09-05 | 2024-01-05 | 鼎铉商用密码测评技术(深圳)有限公司 | 身份认证方法、身份认证设备以及可读存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009079916A1 (fr) * | 2007-12-03 | 2009-07-02 | Beijing Senselock Software Technology Co., Ltd | Procédé pour générer une paire de clés et transmettre une clé publique ou un document de demande de certificat en toute sécurité |
| CN101729493A (zh) * | 2008-10-28 | 2010-06-09 | 中兴通讯股份有限公司 | 密钥分发方法和*** |
| CN101771541A (zh) * | 2008-12-26 | 2010-07-07 | 中兴通讯股份有限公司 | 一种用于家庭网关的密钥证书生成方法和*** |
| CN102523095A (zh) * | 2012-01-12 | 2012-06-27 | 公安部第三研究所 | 具有智能卡保护的用户数字证书远程更新方法 |
| CN202696901U (zh) * | 2011-06-17 | 2013-01-23 | 深圳一卡通新技术有限公司 | 基于数字证书的移动终端身份认证*** |
| CN103490881A (zh) * | 2013-09-06 | 2014-01-01 | 广东数字证书认证中心有限公司 | 认证服务***、用户认证方法、认证信息处理方法及*** |
-
2017
- 2017-06-07 CN CN201710421767.5A patent/CN107070667B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009079916A1 (fr) * | 2007-12-03 | 2009-07-02 | Beijing Senselock Software Technology Co., Ltd | Procédé pour générer une paire de clés et transmettre une clé publique ou un document de demande de certificat en toute sécurité |
| CN101729493A (zh) * | 2008-10-28 | 2010-06-09 | 中兴通讯股份有限公司 | 密钥分发方法和*** |
| CN101771541A (zh) * | 2008-12-26 | 2010-07-07 | 中兴通讯股份有限公司 | 一种用于家庭网关的密钥证书生成方法和*** |
| CN202696901U (zh) * | 2011-06-17 | 2013-01-23 | 深圳一卡通新技术有限公司 | 基于数字证书的移动终端身份认证*** |
| CN102523095A (zh) * | 2012-01-12 | 2012-06-27 | 公安部第三研究所 | 具有智能卡保护的用户数字证书远程更新方法 |
| CN103490881A (zh) * | 2013-09-06 | 2014-01-01 | 广东数字证书认证中心有限公司 | 认证服务***、用户认证方法、认证信息处理方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107070667A (zh) | 2017-08-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107070667B (zh) | 身份认证方法 | |
| CN107196922B (zh) | 身份认证方法、用户设备和服务器 | |
| TWI667585B (zh) | 一種基於生物特徵的安全認證方法及裝置 | |
| EP3343831B1 (en) | Identity authentication method and apparatus | |
| CN109150548B (zh) | 一种数字证书签名、验签方法及***、数字证书*** | |
| US20180082050A1 (en) | Method and a system for secure login to a computer, computer network, and computer website using biometrics and a mobile computing wireless electronic communication device | |
| JP6586446B2 (ja) | 通信端末および関連システムのユーザーの識別情報を確認するための方法 | |
| KR102514429B1 (ko) | 생체인식 데이터 템플레이트의 업데이트 | |
| EP2819050B1 (en) | Electronic signature system for an electronic document using a third-party authentication circuit | |
| CN113302894B (zh) | 安全账户访问 | |
| AU2013205396B2 (en) | Methods and Systems for Conducting Smart Card Transactions | |
| US11539524B1 (en) | Software credential token process, software, and device | |
| JP2012530311A5 (zh) | ||
| WO2008149366A2 (en) | Device method & system for facilitating mobile transactions | |
| KR102012262B1 (ko) | 키 관리 방법 및 fido 소프트웨어 인증장치 | |
| WO2021190197A1 (zh) | 生物支付设备的认证方法、装置、计算机设备和存储介质 | |
| KR101792220B1 (ko) | 생체 인증 결합 사용자 간편 인증 방법, 이를 위한 인증 어플리케이션이 탑재된 사용자 모바일 단말기, 인증 서비스 장치 및 컴퓨터 프로그램 | |
| CN107171814A (zh) | 一种数字证书更新方法及装置 | |
| KR100858146B1 (ko) | 이동통신 단말기 및 가입자 식별 모듈을 이용한 개인 인증방법 및 장치 | |
| CN112020716A (zh) | 远程生物特征识别 | |
| CN110995661B (zh) | 一种网证平台 | |
| JP6841781B2 (ja) | 認証サーバ装置、認証システム及び認証方法 | |
| CN110807854A (zh) | 一种开锁策略配置方法及设备 | |
| KR101814078B1 (ko) | 본인 부인 방지 인증 서비스 제공 방법, 인증 서비스 장치 및 인증 어플리케이션이 탑재된 사용자 모바일 단말기 | |
| US20200274873A1 (en) | Method for authenticating a user with an authentication server |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: Part 4-5, No. 789 Jingwei Avenue, Shiyou Road Street, Yuzhong District, Chongqing 400042 Patentee after: National Certification Technology (Chongqing) Co.,Ltd. Address before: 100085 room A606, 6th floor, building 1, 6 Shangdi West Road, Haidian District, Beijing Patentee before: GUOMIN AUTHENTICATION TECHNOLOGY (BEIJING) CO.,LTD. |
|
| CP03 | Change of name, title or address |