CN112651036B - 基于协同签名的身份认证方法及计算机可读存储介质 - Google Patents

基于协同签名的身份认证方法及计算机可读存储介质 Download PDF

Info

Publication number
CN112651036B
CN112651036B CN202011632649.7A CN202011632649A CN112651036B CN 112651036 B CN112651036 B CN 112651036B CN 202011632649 A CN202011632649 A CN 202011632649A CN 112651036 B CN112651036 B CN 112651036B
Authority
CN
China
Prior art keywords
mobile terminal
authentication
signature
request
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011632649.7A
Other languages
English (en)
Other versions
CN112651036A (zh
Inventor
臧志斌
赵光
林黎鸣
苏簪铀
卢银滨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
XIAMEN GREAT POWER GEO INFORMATION TECHNOLOGY CO LTD
State Grid Corp of China SGCC
State Grid Information and Telecommunication Co Ltd
Original Assignee
XIAMEN GREAT POWER GEO INFORMATION TECHNOLOGY CO LTD
State Grid Corp of China SGCC
State Grid Information and Telecommunication Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by XIAMEN GREAT POWER GEO INFORMATION TECHNOLOGY CO LTD, State Grid Corp of China SGCC, State Grid Information and Telecommunication Co Ltd filed Critical XIAMEN GREAT POWER GEO INFORMATION TECHNOLOGY CO LTD
Priority to CN202011632649.7A priority Critical patent/CN112651036B/zh
Publication of CN112651036A publication Critical patent/CN112651036A/zh
Application granted granted Critical
Publication of CN112651036B publication Critical patent/CN112651036B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Databases & Information Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种基于协同签名的身份认证方法及计算机可读存储介质,方法包括:移动端生成移动端密钥因子,并发送至认证服务器;认证服务器生成服务端密钥因子,并根据服务端密钥因子和移动端密钥因子进行协同运算,得到协同公钥;认证服务器从数字认证中心请求移动端对应的数字证书,并进行存储;移动端和认证服务器分别通过移动端密钥因子和服务端密钥因子对业务数据请求进行协同签名,得到完整请求签名;移动端将业务数据请求及其完整请求签名发送至业务服务器;业务服务器从认证服务器获取移动端对应的数字证书;业务服务器进行验签;若验签成功,则判定移动端的身份认证通过。本发明可在不增加额外设备的情况下,对移动端进行身份认证。

Description

基于协同签名的身份认证方法及计算机可读存储介质
技术领域
本发明涉及数据安全技术领域,尤其涉及一种基于协同签名的身份认证方法及计算机可读存储介质。
背景技术
近年来,随着电网输配网规模的不断扩大,网省需要管理的电网设备资源日益增长。为了提高管理效率,电网GIS技术将庞大而复杂的电网资源信息可视化地展现在管理***中。电网数据中包含许多敏感信息,需要高度保密,这些数据如果被泄露或者被篡改,将会引发重大的安全事故。因此在***投入使用时,需要确保数据得到足够的安全保护,对***使用者进行身份认证。
目前,主要采用以下几种方案来进行身份认证。
1、用户名+口令,该方式为目前使用最广泛的身份认证的方式。
2、银行***中使用的电子口令:将口令矩阵表存储于智能卡中,通过便携式读卡终端来读取智能卡,从而进行认证,能有效避免口令被拍照、复制的风险。
3、加密U盾:通过电路板、芯片,以及用于与移动端进行连接的总线接口,以实现与第三方App之间通信。其中,智能卡芯片包括身份认证模块、数据存储模块,身份认证模块用于检验用户PIN码及应用特征值,数据存储模块通过加解密接口通信连接,用于用户身份认证通过后,实现数据的加解密存储。
4、SD密码卡:SD密码卡中存储有用户端证书、CA公钥和web服务器证书的公钥,客户端证书中存储用户身份标识ID。SD密码卡具有唯一的序列号,客户端证书和服务器证书基于公钥证书和CA的认证协议,CA公钥用于用户端证书和WEB服务器证书的验证。
然而,对于方案1,为了便于记忆,许多用户趋向于在不同应用中使用相同口令,或者设置弱口令,这使得口令容易被猜测、窃取或者破解,安全性堪忧。对于上述方案2和方案3,多数用户不习惯随身携带硬件设备;对于方案4,部分终端没有配备SD卡卡槽,这降低了上述方案的实用性。
发明内容
本发明所要解决的技术问题是:提供一种基于协同签名的身份认证方法及计算机可读存储介质,可在不增加额外设备的情况下,对移动端进行安全可靠的身份认证。
为了解决上述技术问题,本发明采用的技术方案为:一种基于协同签名的身份认证方法,包括:
移动端生成移动端密钥因子;
移动端激活成功并授权认证通过后,发送密钥对生成请求至认证服务器,所述密钥对生成请求包括所述移动端密钥因子;
认证服务器接收到所述密钥对生成请求后,生成服务端密钥因子;
认证服务器根据所述服务端密钥因子和移动端密钥因子进行协同运算,得到协同公钥;
认证服务器从数字认证中心请求所述移动端对应的数字证书,并进行存储,所述移动端对应的数字证书包括所述协同公钥;
移动端和认证服务器分别通过移动端密钥因子和服务端密钥因子对业务数据请求进行协同签名,得到完整请求签名;
移动端将所述业务数据请求及其完整请求签名发送至业务服务器;
业务服务器从认证服务器获取所述移动端对应的数字证书;
业务服务器根据所述数字证书中的协同公钥、所述业务数据请求和所述完整请求签名进行验签;
若验签成功,则判定所述移动端的身份认证通过。
本发明还提出了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如上所述的方法的步骤。
本发明的有益效果在于:通过私钥分段存储在移动端和云端(认证服务器),提高密钥的安全性;通过移动端与云端的协同操作,将移动端变成U盾,轻松实现移动终端的强身份认证,提高身份认证的便携性;采用“云+端”服务模式,具备高性能和高扩展性;无需额外硬件设备投入即可提供强身份认证和协同签名验签等安全防护功能,降低成本;通过对移动端的身份进行安全可靠地认证,保证应用业务数据的安全性。本发明可在不增加额外设备的情况下,对移动端进行安全可靠的身份认证。
附图说明
图1为本发明的一种基于协同签名的身份认证方法的流程图;
图2为本发明实施例一的方法流程图一;
图3为本发明实施例一的方法流程图二;
图4为本发明实施例二的***架构示意图。
具体实施方式
为详细说明本发明的技术内容、所实现目的及效果,以下结合实施方式并配合附图详予说明。
请参阅图1,一种基于协同签名的身份认证方法,包括:
移动端生成移动端密钥因子;
移动端激活成功并授权认证通过后,发送密钥对生成请求至认证服务器,所述密钥对生成请求包括所述移动端密钥因子;
认证服务器接收到所述密钥对生成请求后,生成服务端密钥因子;
认证服务器根据所述服务端密钥因子和移动端密钥因子进行协同运算,得到协同公钥;
认证服务器从数字认证中心请求所述移动端对应的数字证书,并进行存储,所述移动端对应的数字证书包括所述协同公钥;
移动端和认证服务器分别通过移动端密钥因子和服务端密钥因子对业务数据请求进行协同签名,得到完整请求签名;
移动端将所述业务数据请求及其完整请求签名发送至业务服务器;
业务服务器从认证服务器获取所述移动端对应的数字证书;
业务服务器根据所述数字证书中的协同公钥、所述业务数据请求和所述完整请求签名进行验签;
若验签成功,则判定所述移动端的身份认证通过。
从上述描述可知,本发明的有益效果在于:可在不增加额外设备的情况下,为用户提供安全可靠的身份认证服务。
进一步地,所述移动端激活成功并授权认证通过后,发送密钥对生成请求至认证服务器之前,进一步包括:
移动端发送激活请求至认证服务器,所述激活请求包括应用信息和用户信息;
认证服务器对所述激活请求进行校验,若校验通过,则返回激活成功消息至移动端。
进一步地,所述移动端激活成功并授权认证通过后,发送密钥对生成请求至认证服务器之前,进一步包括:
移动端发送授权认证请求至认证服务器,所述授权认证请求包括身份识别信息,所述身份识别信息包括预设的PIN码和生物识别信息;
认证服务器对所述授权认证请求进行验证,若验证通过,则返回授权认证通过消息至移动端。
由上述描述可知,在生成协同密钥对之前,对移动端先进行激活以及授权认证的步骤,保证使用移动端的用户对移动端上的应用具有权限;此处的授权认证也相当于进行了一次身份认证。
进一步地,所述认证服务器从数字认证中心请求所述移动端对应的数字证书,并进行存储具体为:
移动端发送证书申请请求至认证服务器;
认证服务器接收到所述证书申请请求后,生成证书申请文件,并将所述证书申请文件返回至移动端;
移动端通过所述移动端密钥因子对所述证书申请文件进行签名,得到第一文件签名,并将所述第一文件签名发送至认证服务器;
认证服务器通过所述服务端密钥因子对所述证书申请文件进行签名,得到第二文件签名;
认证服务器对所述第一签名和第二签名进行合并运算,得到完整文件签名,并将所述完整文件签名和所述协同公钥发送至数字认证中心;
数字认证中心通过所述协同公钥对所述完整文件签名进行解密,得到所述证书申请文件;
数字认证中心根据所述证书申请文件,生成所述移动端对应的数字证书,并将所述数字证书发送至认证服务器,所述移动端对应的数字证书包括所述协同公钥;
认证服务器存储所述移动端对应的数字证书。
由上述描述可知,通过对证书申请文件进行协同签名,并在数字认证中心进行验签,保证移动端密钥因子、服务端密钥因子和协同公钥未被篡改。
进一步地,所述移动端和认证服务器分别通过移动端密钥因子和服务端密钥因子对业务数据请求进行协同签名,得到完整请求签名具体为:
移动端生成业务数据请求,并将所述业务数据请求发送至认证服务器;
移动端通过所述移动端密钥因子对所述业务数据请求进行签名,得到第一请求签名;
认证服务器通过所述服务端密钥因子对所述业务数据请求进行签名,得到第二请求签名,并将所述第二请求签名返回至移动端;
移动端根据所述第一请求签名和第二请求签名进行合并运算,得到完整请求签名。
进一步地,所述业务服务器根据所述数字证书中的协同公钥、所述业务数据请求和所述完整请求签名进行验签具体为:
业务服务器通过所述协同公钥对所述完整请求签名进行解密,判断是否解密成功;
若解密成功,则判断解密得到的数据与所述电网数据请求是否一致;
若一致,则判定验签成功。
由上述描述可知,通过对协同签名得到的完整请求签名进行验签,若验签成功,则表示协同加密所用的移动端密钥因子、服务端密钥因子和数字证书中的协同公钥是对应的,从而可对移动端进行身份认证。
进一步地,所述判定所述移动端的身份认证通过之后,进一步包括:
业务服务器根据所述业务数据请求,获取业务数据,并将所述业务数据返回至移动端。
由上述描述可知,保证业务数据发送给合法的移动端,从而防止数据泄露或被篡改。
本发明还提出了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如上所述的方法的步骤。
实施例一
请参照图2-3,本发明的实施例一为:一种基于协同签名的身份认证方法,即对***使用进行身份认证,适用于电网、金融、电子政务、OA协同等众多领域。本实施例中即对移动端进行身份认证。本方法主要包括协同密钥生成、数字证书下发以及业务数据请求三大部分。
其中,如图2所示,协同密钥生成部分包括如下步骤:
S101:移动端随机生成移动端密钥因子。
S102:激活移动端。具体地,移动端发送激活请求至认证服务器,所述激活请求包括应用信息(应用唯一标识、版本号等)和用户信息(用户唯一标识、用户名、手机号等);认证服务器对所述激活请求进行校验,若该移动端已注册,且信息校验成功,则激活当前用户,并返回激活成功消息至移动端。若该移动端未注册,则提醒该移动端先进行注册。
若当前用户未在其他设备登录,则移动端只需要当前用户激活一次即可保持已激活状态。
S103:移动端进行授权认证。具体地,移动端发送授权认证请求至认证服务器,所述授权认证请求包括身份识别信息,所述身份识别信息包括预设的PIN码和生物识别信息(人脸或指纹);认证服务器对所述授权认证请求进行验证,若验证通过,则返回授权认证通过消息至移动端。
在具体实施场景中,激活时会默认设置一个默认PIN码,后续用户可通过移动端对其进行修改;首次授权认证时,只能使用PIN码进行身份识别。授权认证后,可开启指纹或人脸识别,首次开启时会要求用户录入人脸信息或指纹信息,并进行存储。再次授权认证时,即可直接用人脸或指纹进行身份识别。
S104:移动端发送密钥对生成请求至认证服务器,所述密钥对生成请求包括移动端密钥因子。即移动端将移动端密钥因子发送给认证服务器。
S105:认证服务器接收到协同密钥对生成请求后,生成服务端密钥因子。即认证服务器接收到移动端密钥因子后,也对等生成一个服务端密钥因子。
S106:认证服务器根据所述服务端密钥因子和移动端密钥因子进行协同运算,得到协同公钥。进一步地,认证服务器计算得到协同公钥后,可删除所述移动端密钥因子。
也就是说,本实施例中,将私钥分为了两部分,一部分存储在移动端,另一部分存储在认证服务器(云端),移动端和认证服务器均没有存储完整的私钥,即使被攻击,黑客也无法获取到完整私钥。
如图2所示,数字证书下发部分包括如下步骤:
S201:移动端发送证书申请请求至认证服务器。
S202:认证服务器接收到所述证书申请请求后,生成证书申请文件CSR,并将所述证书申请文件返回至移动端。
S203:移动端通过所述移动端密钥因子对所述证书申请文件进行签名,得到第一文件签名,并将所述第一文件签名发送至认证服务器。
S204:认证服务器通过所述服务端密钥因子对所述证书申请文件进行签名,得到第二文件签名。
S205:认证服务器对所述第一文件签名和第二文件签名进行合并运算,得到完整文件签名,并将所述完整文件签名和所述协同公钥发送至数字认证中心CA。
本实施例中,认证服务器支持任意第三方CA。
S206:数字认证中心通过所述协同公钥对所述完整文件签名进行解密,得到所述证书申请文件CSR。即数字认证中心CA根据所述协同公钥对完整文件签名进行验签,若解密成功,则表示验签成功,得到证书申请文件CSR,保证移动端密钥因子、移动端密钥因子和协同公钥未被篡改。
S207:数字认证中心通过CA根证书密钥对所述证书申请文件进行签名,生成所述移动端对应的数字证书,并将所述数字证书发送至认证服务器,所述移动端对应的数字证书包括所述协同公钥。
进一步地,本实施例中的数字证书的格式是X.509V3国际标准,一个标准的X.509数字证书包含以下一些内容:
1、证书的版本信息;
2、证书的序列号,每个证书都有一个唯一的证书序列号;
3、证书所使用的签名算法;
4、证书的发行机构名称;
5、证书的有效期;
6、证书所有人的名称(CSR除了用到公钥外,还含有所有人信息,用来标识持有人的信息,如手机号、组织机构等信息);
7、证书所有人的公钥;
8、证书发行者对证书的签名。
S208:认证服务器接收到所述移动端对应的数字证书后,存储所述移动端对应的数字证书。具体地,认证服务器通过数字认证中心的公钥对数字认证中心发送的数据进行验签,验签成功即可得到所述移动端对应的数字证书,并进行保存。
如图3所示,业务数据请求部分包括如下步骤:
S301:移动端生成业务数据请求,并将所述业务数据请求发送至认证服务器;
S302:移动端通过所述移动端密钥因子对所述业务数据请求进行签名,得到第一请求签名。
S303:认证服务器通过所述服务端密钥因子对所述业务数据请求进行签名,得到第二请求签名,并将所述第二请求签名返回至移动端。
S304:移动端根据所述第一请求签名和第二请求签名进行合并运算,得到完整请求签名。
S305:移动端将所述业务数据请求和完整请求签名发送至业务服务器。
S306:业务服务器从认证服务器获取所述移动端对应的数字证书。
S307:业务服务器根据所述数字证书中的协同公钥、所述业务数据请求和所述完整请求签名进行验签,判断是否验签成功,若是,则执行步骤S308。
具体地,业务服务器通过所述协同公钥对所述完整请求签名进行解密,判断是否解密成功;若解密不成功,则判定验签失败;若解密成功,则判断解密得到的数据与所述业务数据请求是否一致;若一致,则判定验签成功;若不一致,则判定验签失败。
S308:判定所述移动端的身份认证通过。
S309:业务服务器根据所述业务数据请求,获取业务数据,并将所述业务数据返回至移动端。具体地,业务服务器根据业务数据请求,从业务数据库获取对应的业务数据,然后返回给移动端。
进一步地,移动端获取到业务数据后在移动应用中进行展示,或者对业务数据进行其他操作。
本实施例以密码技术为核心,通过融合云密钥、数字证书、生物识别、设备指纹等多种安全技术,为用户提供移动终端、PC端等全终端环境下的可信身份认证服务。在不增加额外设备的前提下,将密钥分段存储在移动端、云端,通过移动端、与云端的协同操作,将手机终端变成U盾,使移动设备可以完成SM2数字证书的签名验签、加解密等密码运算,其安全强度等同于U盾、SD密码卡等终端硬件设备,用户体验极佳。
实施例二
本实施例是实施例一的一种具体实现场景。
1、数据模型设计
根据用户、应用、应用归属的群组的(具有统一权限的应用集合称为群组)组合以及鉴权体系,设计了能够便捷管理授权应用的用户在通过鉴权后访问电网数据的数据模型结构,所需的数据模型表结构描述如下:
表1.1:应用信息表CONF_APPLICATION
Figure BDA0002880442170000091
Figure BDA0002880442170000101
表1.2:用户信息表CONF_USER
Figure BDA0002880442170000102
表1.3:群组表CONF_COLLECT_APP
Figure BDA0002880442170000103
表1.4:授权配置表CONF_AUTH
Figure BDA0002880442170000104
Figure BDA0002880442170000111
表1.5:资源表CONF_RESOURCE
Figure BDA0002880442170000112
表1.6:鉴权配置表CONF_AUTH
Figure BDA0002880442170000113
Figure BDA0002880442170000121
表1.7:资源鉴权配置关系表CONF_RESOURCE_AUTH
Figure BDA0002880442170000122
在用户进行授权认证前,获取应用、用户和群组关系,根据获取的应用、用户和群组关系,判断当前用户在该应用发起的请求,是否通过配置的权限并进行口令认证或生物认证。
2、***架构
因为电网资源数据涉及比较大的私密性和安全性,常规的加密机制存在被拦截破解的风险,整体的安全性将会比较低。因此需要在新模型下进行更深层次的数据安全防护处理。
主体流程是双端防护机制+鉴权体系:在加载电网数据之前,需要在移动端对设备或账号进行注册激活,并通过认证授权后再通过与服务端进行二次签名验签认证。
本实施例的***架构如图4所示,主要包括移动端中的移动应用(集成SDK)、认证服务器、数字认证中心、业务服务器和商用数据服务。
其中,认证服务器用于将SM2密钥云化,实现云密钥的管理、用户管理,与移动端私钥因子协同操作完成签名、解密等密码运算。通过给第三方CA提交证书请求,认证服务器支持任意第三方CA。
集成SDK提供给移动端App调用,完成SM2签名验签、加解密等密码运算。接口SDK采用类SKF接口,App端无需关心集成SDK与云密钥服务器之间的交互,通过简单的API调用,即可实现应用调用。
移动应用实现移动端证书的管理,包括移动端私钥因子,与认证服务器协同操作完成SM2签名、解密等密码运算。
业务服务器用于在签名验签通过后,实现鉴权认证,包括对移动端应用、移动设备和访问域名等认证处理。最终加载渲染电网数据和电网数据的其他操作。
本实施例根据用户、应用、群组组合以及鉴权体系,设计了一套数据模型结构,能够便捷管理授权应用用户在通过鉴权后访问电网数据。后续可提供加解密算法并封装成简单易用的客户端SDK。
本实施例具有以下优点:
1、安全性:金融级加密保护,支持国密算法,支持生物识别、设备指纹、用户口令等多种安全认证模式。
2、便捷性:移动端即令牌,激活即登录,轻松实现移动终端的强身份认证。
3、扩展性:采用“云+端”服务模式,具备高性能、高扩展性,支持多种移动终端环境。
4、易用性:提供简单易用的客户端SDK,涵盖Android和iOS平台,可实现与应用***快速对接,提升用户体验。
5、低成本:无需额外硬件设备投入即可提供强身份认证和协同签名验签、加解密等安全防护功能。
实施例三
本实施例是对应上述实施例的一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如下步骤:
移动端生成移动端密钥因子;
移动端激活成功并授权认证通过后,发送密钥对生成请求至认证服务器,所述密钥对生成请求包括所述移动端密钥因子;
认证服务器接收到所述密钥对生成请求后,生成服务端密钥因子;
认证服务器根据所述服务端密钥因子和移动端密钥因子进行协同运算,得到协同公钥;
认证服务器从数字认证中心请求所述移动端对应的数字证书,并进行存储,所述移动端对应的数字证书包括所述协同公钥;
移动端和认证服务器分别通过移动端密钥因子和服务端密钥因子对业务数据请求进行协同签名,得到完整请求签名;
移动端将所述业务数据请求及其完整请求签名发送至业务服务器;
业务服务器从认证服务器获取所述移动端对应的数字证书;
业务服务器根据所述数字证书中的协同公钥、所述业务数据请求和所述完整请求签名进行验签;
若验签成功,则判定所述移动端的身份认证通过。
进一步地,所述移动端激活成功并授权认证通过后,发送密钥对生成请求至认证服务器之前,进一步包括:
移动端发送激活请求至认证服务器,所述激活请求包括应用信息和用户信息;
认证服务器对所述激活请求进行校验,若校验通过,则返回激活成功消息至移动端。
进一步地,所述移动端激活成功并授权认证通过后,发送密钥对生成请求至认证服务器之前,进一步包括:
移动端发送授权认证请求至认证服务器,所述授权认证请求包括身份识别信息,所述身份识别信息包括预设的PIN码和生物识别信息;
认证服务器对所述授权认证请求进行验证,若验证通过,则返回授权认证通过消息至移动端。
进一步地,所述认证服务器从数字认证中心请求所述移动端对应的数字证书,并进行存储具体为:
移动端发送证书申请请求至认证服务器;
认证服务器接收到所述证书申请请求后,生成证书申请文件,并将所述证书申请文件返回至移动端;
移动端通过所述移动端密钥因子对所述证书申请文件进行签名,得到第一文件签名,并将所述第一文件签名发送至认证服务器;
认证服务器通过所述服务端密钥因子对所述证书申请文件进行签名,得到第二文件签名;
认证服务器对所述第一签名和第二签名进行合并运算,得到完整文件签名,并将所述完整文件签名和所述协同公钥发送至数字认证中心;
数字认证中心通过所述协同公钥对所述完整文件签名进行解密,得到所述证书申请文件;
数字认证中心根据所述证书申请文件,生成所述移动端对应的数字证书,并将所述数字证书发送至认证服务器,所述移动端对应的数字证书包括所述协同公钥;
认证服务器存储所述移动端对应的数字证书。
进一步地,所述移动端和认证服务器分别通过移动端密钥因子和服务端密钥因子对业务数据请求进行协同签名,得到完整请求签名具体为:
移动端生成业务数据请求,并将所述业务数据请求发送至认证服务器;
移动端通过所述移动端密钥因子对所述业务数据请求进行签名,得到第一请求签名;
认证服务器通过所述服务端密钥因子对所述业务数据请求进行签名,得到第二请求签名,并将所述第二请求签名返回至移动端;
移动端根据所述第一请求签名和第二请求签名进行合并运算,得到完整请求签名。
进一步地,所述业务服务器根据所述数字证书中的协同公钥、所述业务数据请求和所述完整请求签名进行验签具体为:
业务服务器通过所述协同公钥对所述完整请求签名进行解密,判断是否解密成功;
若解密成功,则判断解密得到的数据与所述电网数据请求是否一致;
若一致,则判定验签成功。
进一步地,所述判定所述移动端的身份认证通过之后,进一步包括:
业务服务器根据所述业务数据请求,获取业务数据,并将所述业务数据返回至移动端。
综上所述,本发明提供的一种基于协同签名的身份认证方法及计算机可读存储介质,通过私钥分段存储在移动端和云端(认证服务器),提高密钥的安全性;通过移动端与云端的协同操作,将移动端变成U盾,轻松实现移动终端的强身份认证,提高身份认证的便携性;采用“云+端”服务模式,具备高性能和高扩展性;无需额外硬件设备投入即可提供强身份认证和协同签名验签等安全防护功能,降低成本;通过对移动端的身份进行安全可靠地认证,保证应用业务数据的安全性。本发明可在不增加额外设备的情况下,对移动端进行安全可靠的身份认证。
以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等同变换,或直接或间接运用在相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (7)

1.一种基于协同签名的身份认证方法,其特征在于,包括:
移动端生成移动端密钥因子;
移动端激活成功并授权认证通过后,发送密钥对生成请求至认证服务器,所述密钥对生成请求包括所述移动端密钥因子;
认证服务器接收到所述密钥对生成请求后,生成服务端密钥因子;
认证服务器根据所述服务端密钥因子和移动端密钥因子进行协同运算,得到协同公钥;
认证服务器从数字认证中心请求所述移动端对应的数字证书,并进行存储,所述移动端对应的数字证书包括所述协同公钥;
移动端和认证服务器分别通过移动端密钥因子和服务端密钥因子对业务数据请求进行协同签名,得到完整请求签名;
移动端将所述业务数据请求及其完整请求签名发送至业务服务器;
业务服务器从认证服务器获取所述移动端对应的数字证书;
业务服务器根据所述数字证书中的协同公钥、所述业务数据请求和所述完整请求签名进行验签;
若验签成功,则判定所述移动端的身份认证通过;
所述移动端和认证服务器分别通过移动端密钥因子和服务端密钥因子对业务数据请求进行协同签名,得到完整请求签名具体为:
移动端生成业务数据请求,并将所述业务数据请求发送至认证服务器;
移动端通过所述移动端密钥因子对所述业务数据请求进行签名,得到第一请求签名;
认证服务器通过所述服务端密钥因子对所述业务数据请求进行签名,得到第二请求签名,并将所述第二请求签名返回至移动端;
移动端根据所述第一请求签名和第二请求签名进行合并运算,得到完整请求签名。
2.根据权利要求1所述的基于协同签名的身份认证方法,其特征在于,所述移动端激活成功并授权认证通过后,发送密钥对生成请求至认证服务器之前,进一步包括:
移动端发送激活请求至认证服务器,所述激活请求包括应用信息和用户信息;
认证服务器对所述激活请求进行校验,若校验通过,则返回激活成功消息至移动端。
3.根据权利要求1所述的基于协同签名的身份认证方法,其特征在于,所述移动端激活成功并授权认证通过后,发送密钥对生成请求至认证服务器之前,进一步包括:
移动端发送授权认证请求至认证服务器,所述授权认证请求包括身份识别信息,所述身份识别信息包括预设的PIN码和生物识别信息;
认证服务器对所述授权认证请求进行验证,若验证通过,则返回授权认证通过消息至移动端。
4.根据权利要求1所述的基于协同签名的身份认证方法,其特征在于,所述认证服务器从数字认证中心请求所述移动端对应的数字证书,并进行存储具体为:
移动端发送证书申请请求至认证服务器;
认证服务器接收到所述证书申请请求后,生成证书申请文件,并将所述证书申请文件返回至移动端;
移动端通过所述移动端密钥因子对所述证书申请文件进行签名,得到第一文件签名,并将所述第一文件签名发送至认证服务器;
认证服务器通过所述服务端密钥因子对所述证书申请文件进行签名,得到第二文件签名;
认证服务器对所述第一文件签名和第二文件签名进行合并运算,得到完整文件签名,并将所述完整文件签名和所述协同公钥发送至数字认证中心;
数字认证中心通过所述协同公钥对所述完整文件签名进行解密,得到所述证书申请文件;
数字认证中心根据所述证书申请文件,生成所述移动端对应的数字证书,并将所述数字证书发送至认证服务器,所述移动端对应的数字证书包括所述协同公钥;
认证服务器存储所述移动端对应的数字证书。
5.根据权利要求1所述的基于协同签名的身份认证方法,其特征在于,所述业务服务器根据所述数字证书中的协同公钥、所述业务数据请求和所述完整请求签名进行验签具体为:
业务服务器通过所述协同公钥对所述完整请求签名进行解密,判断是否解密成功;
若解密成功,则判断解密得到的数据与所述业务数据请求是否一致;
若一致,则判定验签成功。
6.根据权利要求1所述的基于协同签名的身份认证方法,其特征在于,所述判定所述移动端的身份认证通过之后,进一步包括:
业务服务器根据所述业务数据请求,获取业务数据,并将所述业务数据返回至移动端。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-6任一项所述的方法。
CN202011632649.7A 2020-12-31 2020-12-31 基于协同签名的身份认证方法及计算机可读存储介质 Active CN112651036B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011632649.7A CN112651036B (zh) 2020-12-31 2020-12-31 基于协同签名的身份认证方法及计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011632649.7A CN112651036B (zh) 2020-12-31 2020-12-31 基于协同签名的身份认证方法及计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN112651036A CN112651036A (zh) 2021-04-13
CN112651036B true CN112651036B (zh) 2022-05-27

Family

ID=75368049

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011632649.7A Active CN112651036B (zh) 2020-12-31 2020-12-31 基于协同签名的身份认证方法及计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN112651036B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113742705B (zh) * 2021-08-30 2024-05-24 北京一砂信息技术有限公司 一种基于ifaa号码认证服务实现的方法及***
CN115378623B (zh) * 2022-03-17 2024-05-07 ***通信集团有限公司 身份认证方法、装置、设备及存储介质
CN114553600B (zh) * 2022-04-22 2022-09-09 深圳市永达电子信息股份有限公司 一种数字证书认证方法
CN115549929B (zh) * 2022-11-30 2023-03-10 北京时代亿信科技股份有限公司 基于零信任网络隐身的spa单包认证方法及装置
CN115883104B (zh) * 2022-11-30 2023-07-21 北京时代亿信科技股份有限公司 终端设备的安全登录方法及装置、非易失性存储介质
CN115632778B (zh) * 2022-12-20 2023-04-18 四川省数字证书认证管理中心有限公司 一种多端加解密互通方法
CN117544318A (zh) * 2023-11-29 2024-02-09 中金金融认证中心有限公司 协同签名增强认证方法及增强认证***

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013218446A (ja) * 2012-04-06 2013-10-24 Hitachi Ltd サービス提供装置、共同署名検証装置、利用者の識別・認証方法及びプログラム
US10469487B1 (en) * 2016-05-31 2019-11-05 Wells Fargo Bank, N.A. Biometric electronic signature authenticated key exchange token
CN111404696A (zh) * 2020-03-31 2020-07-10 中国建设银行股份有限公司 协同签名方法、安全服务中间件、相关平台及***
CN111800377A (zh) * 2020-05-20 2020-10-20 中国电力科学研究院有限公司 一种基于安全多方计算的移动终端身份认证***

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013218446A (ja) * 2012-04-06 2013-10-24 Hitachi Ltd サービス提供装置、共同署名検証装置、利用者の識別・認証方法及びプログラム
US10469487B1 (en) * 2016-05-31 2019-11-05 Wells Fargo Bank, N.A. Biometric electronic signature authenticated key exchange token
CN111404696A (zh) * 2020-03-31 2020-07-10 中国建设银行股份有限公司 协同签名方法、安全服务中间件、相关平台及***
CN111800377A (zh) * 2020-05-20 2020-10-20 中国电力科学研究院有限公司 一种基于安全多方计算的移动终端身份认证***

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
云端协同密钥保护机制的研究;李向锋;《信息安全研究》;20190531;全文 *

Also Published As

Publication number Publication date
CN112651036A (zh) 2021-04-13

Similar Documents

Publication Publication Date Title
CN112651036B (zh) 基于协同签名的身份认证方法及计算机可读存储介质
CN109150548B (zh) 一种数字证书签名、验签方法及***、数字证书***
CN101051908B (zh) 动态密码认证***及方法
WO2020073513A1 (zh) 基于区块链的用户认证方法及终端设备
CN106899551B (zh) 认证方法、认证终端以及***
JP5601729B2 (ja) 移動無線機の移動無線網へのログイン方法
KR100548638B1 (ko) 스마트카드를 이용한 원 타임 패스워드 생성 및 인증방법그리고 이를 위한 스마트카드
CN111431719A (zh) 一种移动终端密码保护模块、移动终端及密码保护方法
CN109981287B (zh) 一种代码签名方法及其存储介质
CN112953970A (zh) 一种身份认证方法及身份认证***
KR100939725B1 (ko) 모바일 단말기 인증 방법
US20070180507A1 (en) Information security device of universal serial bus human interface device class and data transmission method for same
CN111954211A (zh) 一种移动终端新型认证密钥协商***
WO2010128451A2 (en) Methods of robust multi-factor authentication and authorization and systems thereof
WO2022042745A1 (zh) 一种密钥管理方法及装置
CN112039857B (zh) 一种公用基础模块的调用方法和装置
CN109474431A (zh) 客户端认证方法及计算机可读存储介质
CN111600701A (zh) 一种基于区块链的私钥存储方法、装置及存储介质
CN112311534A (zh) 产生非对称算法密钥对的方法
CN115086090A (zh) 基于UKey的网络登录认证方法及装置
CN115442037A (zh) 一种账号管理方法、装置、设备及存储介质
CN111489157B (zh) 一种控制区块链交易的方法和***
CN113591053A (zh) 通用性的移动设备基于生物信息的识别方法及***
CN113285809A (zh) 基于电子签名中间件的连续签名方法及***
EP3757922A1 (en) Electronic payment system and method and program using biometric authentication

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant