CN115189885A - 认证设备登陆的方法、存储介质、电子设备 - Google Patents

认证设备登陆的方法、存储介质、电子设备 Download PDF

Info

Publication number
CN115189885A
CN115189885A CN202210646121.8A CN202210646121A CN115189885A CN 115189885 A CN115189885 A CN 115189885A CN 202210646121 A CN202210646121 A CN 202210646121A CN 115189885 A CN115189885 A CN 115189885A
Authority
CN
China
Prior art keywords
information
request message
server
user
credential
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210646121.8A
Other languages
English (en)
Inventor
邓娟
曾真
王康
朱红儒
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba China Co Ltd
Original Assignee
Alibaba China Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba China Co Ltd filed Critical Alibaba China Co Ltd
Priority to CN202210646121.8A priority Critical patent/CN115189885A/zh
Publication of CN115189885A publication Critical patent/CN115189885A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种认证设备登陆的方法、存储介质、电子设备。其中,该方法包括:向第一设备发送第一请求消息,其中,第一请求消息用于请求获取凭证信息;接收来自于第一设备的第一响应消息,其中,第一响应消息中携带的信息包括:凭证信息;向服务器发送第一访问请求消息,其中,第一访问请求消息中携带的信息包括:签名信息,签名信息基于凭证信息生成。本发明解决了现有技术中基于FIDO2进行无密码认证的方法其无法实现认证凭证在不同设备上进行同步的技术问题。

Description

认证设备登陆的方法、存储介质、电子设备
技术领域
本发明涉及计算机技术领域,具体而言,涉及一种认证设备登陆的方法、存储介质、电子设备。
背景技术
密码是一种常用的用户认证方式,然而,密码认证方法存在许多已知的安全问题,因此,目前在很多应用场景中正尝试减少或移除密码认证功能,无密码认证逐渐成为一种使用更广泛的用户认证方式。
相关技术中,无密码认证最常用的协议为线上快速身份验证(Fast IdentityOnline,FIDO)联盟制定的国际标准FIDO2。FIDO2协议可以用于保证用户安全登陆,可以支持采用生物特征(如指纹、面部特征、声音等)或外接安全密钥(如USB安全密钥)对用户进行登陆认证。
然而,采用FIDO2协议的无密码认证方法的缺陷在于:无法实现FIDO凭证在不同设备上进行同步。具体地,FIDO公私钥对存储在用户设备上,以支持用户采用无密码认证方式访问服务器或应用。当用户更换设备时,新的用户设备中没有FIDO公私钥对,用户使用新的用户设备访问服务器或应用时,仍然需要进行密码认证。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种认证设备登陆的方法、存储介质、电子设备,以至少解决现有技术中基于FIDO2进行无密码认证的方法其无法实现认证凭证在不同设备上进行同步的技术问题。
根据本发明实施例的一个方面,提供了一种认证设备登陆的方法,包括:向第一设备发送第一请求消息,其中,第一请求消息用于请求获取凭证信息;接收来自于第一设备的第一响应消息,其中,第一响应消息中携带的信息包括:凭证信息;向服务器发送第一访问请求消息,其中,第一访问请求消息中携带的信息包括:签名信息,签名信息基于凭证信息生成。
根据本发明实施例的另一方面,还提供了一种认证设备登陆的方法,包括:接收来自于第二设备的第一访问请求消息,其中,第一访问请求消息中携带的信息包括:签名信息,签名信息基于第二设备获取到的凭证信息生成;对签名信息进行验证。根据本发明实施例的另一方面,还提供了一种认证设备登陆的方法,包括:接收来自于第二设备的第一请求消息,其中,第一请求消息用于请求获取凭证信息;向第二设备发送第一响应消息,其中,第一响应消息中携带的信息包括:凭证信息。
根据本发明实施例的另一方面,还提供了一种认证设备登陆的装置,包括:第一发送模块,用于向第一设备发送第一请求消息,其中,第一请求消息用于请求获取凭证信息;接收模块,用于接收来自于第一设备的第一响应消息,其中,第一响应消息中携带的信息包括:凭证信息;第二发送模块,用于向服务器发送第一访问请求消息,其中,第一访问请求消息中携带的信息包括:签名信息,签名信息基于凭证信息生成。
根据本发明实施例的另一方面,还提供了一种计算机可读存储介质,计算机可读存储介质包括存储的程序,其中,在程序运行时控制计算机可读存储介质所在设备执行任意一项上述的认证设备登陆的方法。
根据本发明实施例的另一方面,还提供了一种电子设备,包括:处理器;以及存储器,与上述处理器连接,用于为处理器提供处理以下处理步骤的指令:向第一设备发送第一请求消息,其中,第一请求消息用于请求获取凭证信息;接收来自于第一设备的第一响应消息,其中,第一响应消息中携带的信息包括:凭证信息;向服务器发送第一访问请求消息,其中,第一访问请求消息中携带的信息包括:签名信息,签名信息基于凭证信息生成。
在本发明实施例中,通过向第一设备发送第一请求消息,其中,第一请求消息用于请求获取凭证信息,以及接收来自于第一设备的第一响应消息,其中,第一响应消息中携带的信息包括:凭证信息,进而向服务器发送第一访问请求消息,其中,第一访问请求消息中携带的信息包括:签名信息,签名信息基于凭证信息生成,达到了通过与目标设备间进行凭证信息的同步以在当前设备上进行无密码认证的目的,从而实现了在不同设备上同步无密码认证凭证的技术效果,进而解决了现有技术中基于FIDO2进行无密码认证的方法其无法实现认证凭证在不同设备上进行同步的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据现有技术的一种FIDO2协议对应的无密码认证组件的示意图;
图2是根据现有技术的一种无密码认证的预配置流程的示意图;
图3是根据现有技术的一种无密码认证的认证器注册流程的示意图;
图4是根据现有技术的一种用户无密码认证流程的示意图;
图5示出了一种用于实现认证设备登陆的方法的计算机终端(或移动设备)的硬件结构框图;
图6是根据本发明实施例的一种认证设备登陆的方法的流程图;
图7是根据本发明实施例的另一种认证设备登陆的方法的流程图;
图8是根据本发明实施例的另一种认证设备登陆的方法的流程图;
图9是根据本发明实施例的一种可选的密钥同步流程的示意图;
图10是根据本发明实施例的另一种可选的密钥同步流程的示意图;
图11是根据本发明实施例的一种可选的认证设备登陆过程的示意图;
图12是根据本发明实施例的另一种可选的认证设备登陆过程的示意图;
图13是根据本发明实施例的另一种可选的认证设备登陆过程的示意图;
图14是根据本发明实施例的一种认证设备登陆的装置的结构示意图;
图15是根据本发明实施例的另一种认证设备登陆的装置的结构示意图;
图16是根据本发明实施例的另一种认证设备登陆的装置的结构示意图;
图17是根据本发明实施例的另一种认证设备登陆的装置的结构示意图;
图18是根据本发明实施例的另一种计算机终端的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先,在对本发明实施例进行描述的过程中出现的部分名词或术语适用于如下解释:
线上快速身份验证规范(Fast Identity Online 2,简称FIDO2):使用标准公钥加密技术而不是共享机密来提供更强大的身份验证和防止网络钓鱼和通道攻击的保护。FIDO2是在线与数码验证方面的开放行业标准。
实施例1
根据本发明实施例,还提供了一种认证设备登陆的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
相关技术中,无密码认证方法最常用的协议为FIDO2协议。图1是根据现有技术的一种FIDO2协议对应的无密码认证组件的示意图,如图1所示,用户可以通过用户设备(如电脑、智能手机等)上的客户端访问远程的服务器,该服务器对用户进行认证。上述服务器对用户进行认证的流程可以包括:预配置、认证器注册、用户无密码认证等。
需要说明的是,用户设备包括认证器和客户端,然而,认证器和客户端之间的交互并不体现。
图2是根据现有技术的一种无密码认证的预配置流程的示意图,如图2所示,在对用户进行无密码认证前,可以在用户设备的认证器上配置认证器证书,以及在服务器上配置无密码认证对应的FIDO公钥。
图3是根据现有技术的一种无密码认证的认证器注册流程的示意图,如图3所示,认证器注册流程包括:
步骤E31,用户通过用户设备访问服务器,采用用户名和密码进行认证;
步骤E32,服务器向用户设备发送消息1,该消息1中携带有:挑战,服务器标识、用户信息等,其中,服务器标识用于标识用户访问的服务器或应用,用户信息用于标识用户(可以包括用户名或用户标识等),挑战可以是一个随机数(本例中每次服务器发送给用户设备的挑战都不相同);
步骤E33,用户设备接收到消息1后,确定用户同意使用无密码认证、生物特征认证、多因子认证和第二因子认证的其中之一,用户可以输入授权信息(如指纹或面部的生物特征信息、屏幕解锁密码、屏幕解锁密码、设备密码、个人识别码等凭证)进行验证,用户设备保存授权信息;
步骤E34,用户设备生产FIDO公私钥对,其中,FIDO公私钥对用于在用户访问服务器或应用时进行用户认证;
步骤E35,用户设备向服务器发送消息2,该消息2中携带有:FIDO公钥和挑战等信息,用户设备采用认证器中的FIDO私钥对该消息2进行签名,然后将消息2和消息2对应的签名发给服务器;
步骤E36,服务器接收到消息2后,采用该消息2对应的FIDO公钥对用户设备发送的签名进行验证,如果验证成功则保存FIDO公钥。
容易注意到的是,通过认证器注册流程,用户设备的认证器可以生产FIDO公私钥对,并且,认证器可以将FIDO公钥发送给服务器。该FIDO公钥可以用于实现用户再次访问服务器时的无密码认证。
需要说明的是,用户设备对不同的服务器或应用可以生成不同的FIDO公私钥对,用户设备对不同的用户也可以生成不同的FIDO公私钥对。
需要说明的是,用户设备向服务器发送消息时,可以使用认证器的FIDO私钥对待发送的消息进行签名,并将消息和签名发送给服务器;服务器可以采用认证器的FIDO公钥对消息的签名进行验证。
图4是根据现有技术的一种用户无密码认证流程的示意图,如图4所示,用户无密码认证流程包括:
步骤E41,用户通过用户设备访问服务器,提交用户信息;
步骤E42,服务器向用户设备发送消息3,该消息3中携带有挑战等信息;
步骤E43,用户设备从用户处获取授权信息(包括指纹或面部的生物特征信息、屏幕解锁密码、设备密码和个人识别码等凭证),用户设备保存该授权信息;
步骤E44,用户设备验证授权信息,如果该授权信息验证通过,则用户设备可以认证用户;
步骤E45,用户设备使用FIDO私钥对接收到的消息3进行签名并将该签名发送给服务器,用户设备根据服务器信息和用户信息等选择对应的FIDO私钥;
步骤E46,服务器使用FIDO公钥对签名进行验证,如果该签名验证通过,则确定用户认证成功。
然而,采用上述基于FIDO2协议的无密码认证方法的缺陷在于:无法实现FIDO凭证在不同设备上进行同步。具体地,FIDO公私钥对存储在用户设备上,以支持用户采用无密码认证方式访问服务器或应用。当用户更换设备时,新的用户设备中没有FIDO公私钥对,用户使用新的用户设备访问服务器或应用时,仍然需要进行密码认证。
针对上述的问题,目前尚未提出有效的解决方案。
本发明实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。图5示出了一种用于实现认证设备登陆的方法的计算机终端(或移动设备)的硬件结构框图。如图5所示,计算机终端10(或移动设备10)可以包括一个或多个(图中采用102a,102b,……,102n来示出)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输装置106。除此以外,还可以包括:显示器、键盘、光标控制设备(如鼠标)、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为BUS总线的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图5所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图5中所示更多或者更少的组件,或者具有与图5所示不同的配置。
应当注意到的是上述一个或多个处理器102和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到计算机终端10(或移动设备)中的其他元件中的任意一个内。如本发明实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器104可用于存储应用软件的软件程序以及模块,如本发明实施例中的认证设备登陆的方法对应的程序指令/数据存储装置,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的认证设备登陆的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与计算机终端10(或移动设备)的用户界面进行交互。
此处需要说明的是,在一些可选实施例中,上述图5所示的计算机设备(或移动设备)可以包括硬件元件(包括电路)、软件元件(包括存储在计算机可读介质上的计算机代码)、或硬件元件和软件元件两者的结合。应当指出的是,图5仅为特定具体实例的一个实例,并且旨在示出可存在于上述计算机设备(或移动设备)中的部件的类型。
在上述运行环境下,本发明提供了如图6所示的一种认证设备登陆的方法。该认证设备登陆的方法运行于请求获取凭证信息的第二设备。图6是根据本发明实施例的一种认证设备登陆的方法的流程图,如图6所示,该认证设备登陆的方法包括:
步骤S61,向第一设备发送第一请求消息,其中,第一请求消息用于请求获取凭证信息;,
步骤S62,接收来自于第一设备的第一响应消息,其中,第一响应消息中携带的信息包括:凭证信息;
步骤S63,向服务器发送第一访问请求消息,其中,第一访问请求消息中携带的信息包括:签名信息,签名信息基于凭证信息生成。
可选地,上述第一设备可以是存储有FIDO凭证的当前用户的其他设备(如当前用户的其他设备或者第三方设备等)。上述凭证信息可以是FIDO凭证。上述第一请求消息用于向第一设备请求获取FIDO凭证的消息。上述第一响应消息可以用于返回第一请求消息对应的凭证信息。
可选地,当前设备(相当于请求获取凭证信息的第二设备)向存储有FIDO凭证的当前用户的其他设备发送上述第一请求消息;该其他设备接收该第一请求消息后可以向当前设备返回第一响应消息;当前设备可以从返回的第一响应消息中获取FIDO凭证,并基于FIDO凭证生成签名信息,以及将携带有该签名消息的第一访问请求消息发送给服务器以请求访问该服务器。
容易注意到的是,通过上述可选实施例提供的方法,可以实现FIDO凭证在不同设备间的同步,进而支持用户在不同设备上进行无密码认证。
需要说明的是,本发明所提供的上述认证设备登陆的方法可以但不限于应用于任何涉及基于FIDO2进行无密码用户认证的应用场景中。
在本发明实施例中,通过向第一设备发送第一请求消息,其中,第一请求消息用于请求获取凭证信息,以及接收来自于第一设备的第一响应消息,其中,第一响应消息中携带的信息包括:凭证信息,进而向服务器发送第一访问请求消息,其中,第一访问请求消息中携带的信息包括:签名信息,签名信息基于凭证信息生成,达到了通过与目标设备间进行凭证信息的同步以在当前设备(相当于请求获取凭证信息的第二设备)上进行无密码认证的目的,从而实现了在不同设备上同步无密码认证凭证的技术效果,进而解决了现有技术中基于FIDO2进行无密码认证的方法其无法实现认证凭证在不同设备上进行同步的技术问题。
在一种可选的实施例中,在认证设备登陆的方法中,凭证信息包括以下至少之一:服务器标识、用户信息、第一密钥信息、授权信息。在一种可选的实施例中,在认证设备登陆的方法中,服务器标识用于以下至少之一:标识服务器、标识服务器上的服务、访问服务器所需要的信息、访问服务器上的服务所需要的信息;用户信息包括:用户名称或用户标识;第一密钥信息包括以下至少之一:第一公钥、第一私钥、第一密钥标识;授权信息包括以下至少之一:指纹信息、面部信息、密码、个人识别码。
可选地,上述第一密钥信息可以是FIDO密钥。该FIDO密钥可以是FIDO公钥、FIDO私钥和FIDO密钥标识的其中至少之一。
可选地,上述授权信息用于授权当前设备(相当于请求获取凭证信息的第二设备)访问服务器(或服务器上的服务)。该授权信息可以是指纹信息、面部信息、密码和个人识别码的其中至少之一。
在一种可选的实施例中,在认证设备登陆的方法中,第一访问请求信息中携带的信息还包括以下至少之一:用户信息、服务器标识。
可选地,当前设备(相当于请求获取凭证信息的第二设备)向服务器发送的第一访问请求信息可以携带有用户信息和/或服务器标识,其中,用户信息用于确定当前设备对应的用户的身份信息,服务器标识用于确定待访问的服务器(或服务器上的服务)。
在一种可选的实施例中,在接收来自于第一设备的第一响应消息之后,认证设备登陆的方法还包括以下步骤的至少之一:
步骤S64,使用第二密钥信息对第一响应消息执行解密操作;
步骤S65,使用第二密钥信息对第一响应消息进行完整性验证。
在一种可选的实施例中,在认证设备登陆的方法中,第二密钥信息包括以下之一:授权信息,基于授权信息生成的密钥。
可选地,上述第二密钥信息中可以包括授权信息或者基于授权信息生成的密钥。在实际应用场景中,上述第二密钥信息还可以是当前设备(相当于请求获取凭证信息的第二设备)对应的认证器公钥或者通过用户预先输入的信息生成的密钥。
可选地,上述使用第二密钥信息对第一响应消息执行解密操作,可以是基于第二密钥信息对第一响应消息进行解析,以得到该第一响应消息中携带的凭证信息。
可选地,上述使用第二密钥信息对第一响应消息进行完整性验证,可以是基于第二密钥信息对第一响应消息进行解析,进而对该第一响应消息中携带的凭证信息进行完整性验证,以确定该凭证信息。
在实际应用场景中,使用第二密钥信息对第一响应消息执行解密操作以及使用第二密钥信息对第一响应消息进行完整性验证,可以是:用户设备1采用用户设备2的认证器FIDO公钥对待传输的凭证或凭证集进行加密保护处理和/或完整性保护处理;用户设备2在接收到用户设备1发送的凭证或凭证集之后,使用认证器的FIDO私钥进行解密处理和/或完整性验证处理,得到用户FIDO凭证信息。
在实际应用场景中,使用第二密钥信息对第一响应消息执行解密操作以及使用第二密钥信息对第一响应消息进行完整性验证,还可以是:用户设备1采用授权信息或授权信息生成的密码,对待传输的凭证或凭证集进行加密保护处理和/或完整性保护处理;用户设备2在接收到用户设备1发送的凭证或凭证集之后,使用授权信息或授权信息生成的密码进行解密处理和/或完整性验证处理,得到用户FIDO凭证信息。用户设备2在进行解密或完整性验证之前,需要从用户处获取授权信息。
在实际应用场景中,使用第二密钥信息对第一响应消息执行解密操作以及使用第二密钥信息对第一响应消息进行完整性验证,还可以是:用户设备1在传输凭证或凭证集之前,请求用户输入传输密钥或生物特征信息。用户设备1采用该传输密钥或根据生物特征生成的密钥,对凭证或凭证集进行加密保护处理和/或完整性保护处理。用户设备2在接收到用户设备1发送的凭证或凭证集之后,请求用户输入传输密钥或生物特征信息,并采用该传输密钥或根据生物特征生成的密钥,对凭证或凭证集进行解密处理和/或完整性验证处理,得到用户FIDO凭证信息。在一种可选的实施例中,在向第一设备发送第一请求消息之前,认证设备登陆的方法还包括以下步骤:
步骤S66,与第一设备之间建立传输层安全连接,其中,传输层安全连接用于为与第一设备之间的消息传输提供安全保护。
上述传输层安全(Transport Layer Security,TLS)连接可以为凭证信息提供TLS保护。
上述第一设备可以是存储有FIDO凭证的当前用户的其他设备。在当前设备(相当于请求获取凭证信息的第二设备)与该第一设备之间建立传输层安全连接,可以保证第一设备与当前设备之间的FIDO凭证传输安全。
通过上述可选实施例,在不同设备间进行无密码认证凭证的传输是基于TSL保护或者基于TLS生成的密钥进行保护的,传输过程具有较高的安全性。
在一种可选的实施例中,在向第一设备发送第一请求消息之前,认证设备登陆的方法还包括以下步骤:
步骤S67,向服务器发送第二访问请求消息,其中,第二访问请求中携带的信息包括以下至少之一:能力指示、第二设备的信息,能力指示用于表示第二设备支持无密码认证方式,第二设备的信息包括以下至少之一:第二设备的标识、第二设备的互联网协议地址、第二设备的名称。
步骤S68,接收来自于服务器的挑战消息,其中,挑战消息中携带的信息包括:挑战信息。
可选地,当前设备(相当于请求获取凭证信息的第二设备)可以向服务器发送第二访问请求消息。该服务器为用户待访问的服务器、服务或者应用。该第二访问请求消息可以携带有:用于表示当前设备支持无密码认证方式的能力指示,和/或第二设备的信息。可选地,当前设备(相当于请求获取凭证信息的第二设备)还可以从服务器中获取与上述能力指示相对应的挑战信息。该挑战信息与上述第一设备相对应。
在一种可选的实施例中,在认证设备登陆的方法中,挑战消息中携带的信息还包括:第一设备的信息,其中,第一设备的信息包括以下至少之一:第一设备的标识、第一设备的互联网协议地址、第一设备的名称。
在一种可选的实施例中,在认证设备登陆的方法中,签名信息基于凭证信息生成,包括:签名信息采用凭证信息和挑战信息生成。
可选地,当前设备获取到从目标设备处同步的凭证信息后,可以采用该凭证信息对上述挑战信息进行签名处理,进而得到上述签名信息。该挑战信息与上述第一设备相对应。
可选地,当前设备可以将对挑战信息进行签名处理得到的签名信息发送至目标服务器,以使目标服务器对该签名信息进行登陆认证。该目标服务器为用户待访问的服务器、服务或者应用。
在上述运行环境下,本发明提供了如图7所示的一种认证设备登陆的方法。该认证设备登陆的方法运行于存储有凭证信息的第一设备。图7是根据本发明实施例的另一种认证设备登陆的方法的流程图,如图7所示,该认证设备登陆的方法包括:
步骤S71,接收来自于第二设备的第一访问请求消息,其中,第一访问请求消息中携带的信息包括:签名信息,签名信息基于第二设备获取到的凭证信息生成;
步骤S72,对签名信息进行验证。
在一种可选的实施例中,在接收到第二设备的第一访问请求消息之前,认证设备登陆的方法还包括以下步骤:
步骤S73,接收来自于第二设备的第二访问请求消息,其中,第二访问请求消息中携带的信息包括:能力指示、第二设备的信息,能力指示用于表示第二设备支持无密码认证方式,第二设备的信息包括以下至少之一:第二设备的标识、第二设备的互联网协议地址、第二设备的名称。
在一种可选的实施例中,在接收到第二访问请求消息之后,认证设备登陆的方法还包括以下步骤:
步骤S74,向第二设备发送挑战消息,其中,挑战消息中携带的信息包括:挑战信息。
在一种可选的实施例中,在认证设备登陆的方法中,挑战消息中携带的信息还包括:以下至少之一第一设备的信息,其中,第一设备的信息包括:第一设备的标识、第一设备的互联网协议地址、第一设备的名称。
在一种可选的实施例中,在步骤S72中,对签名信息进行登陆验证包括:采用凭证信息验证签名信息。
在本发明实施例中,通过接收来自于第二设备的第一访问请求消息,其中,第一访问请求消息中携带的信息包括:签名信息,签名信息基于第二设备获取到的凭证信息生成,进一步对签名信息进行验证。
容易注意到的是,在与目标设备间进行凭证信息的同步以在当前设备上进行无密码认证的过程中,当存储有凭证信息的目标设备接收到用于获取凭证信息的第一访问请求消息后,采用凭证信息对该第一访问请求消息进行验证,从而实现了提高不同设备上同步无密码认证凭证的安全性和准确度的技术效果。
在上述运行环境下,本发明提供了如图8所示的一种认证设备登陆的方法。该认证设备登陆的方法运行于存储有凭证信息的第一设备。图8是根据本发明实施例的另一种认证设备登陆的方法的流程图,如图8所示,该认证设备登陆的方法包括:
步骤S81,接收来自于第二设备的第一请求消息,其中,第一请求消息用于请求获取凭证信息;
步骤S82,向第二设备发送第一响应消息,其中,第一响应消息中携带的信息包括:凭证信息。
在一种可选的实施例中,在认证设备登陆的方法中,凭证信息包括以下至少之一:服务器标识、用户信息、第一密钥信息、授权信息。
在一种可选的实施例中,在认证设备登陆的方法中,服务器标识用于以下至少之一:标识服务器、标识服务器上的服务、访问服务器、访问服务器上的服务;用户信息包括:用户名称或用户标识;第一密钥信息包括以下至少之一:第一公钥、第一私钥、第一密钥标识;授权信息包括以下至少之一:指纹信息、面部信息、密码、个人识别码。
在一种可选的实施例中,在接收来自于第二设备的第一请求消息之前,认证设备登陆的方法还包括以下步骤:
步骤S83,接收来自于第一设备的凭证信息。
在一种可选的实施例中,在向第二设备发送第一响应消息之前,认证设备登陆的方法还包括以下步骤:
步骤S84,获取授权信息。
在本发明实施例中,通过接收来自于第二设备的第一请求消息,其中,第一请求消息用于请求获取凭证信息,进一步向第二设备发送第一响应消息,其中,第一响应消息中携带的信息包括:凭证信息。
容易注意到的是,在与目标设备间进行凭证信息的同步以在当前设备上进行无密码认证的过程中,当存储有凭证信息的目标设备接收到用于获取凭证信息的第一访问请求消息后,向请求获取凭证信息的当前设备发送携带凭证信息的第一响应消息,达到了通过与目标设备间进行凭证信息的同步以在当前设备上进行无密码认证的目的,从而实现了在不同设备上同步无密码认证凭证的技术效果,进而解决了现有技术中基于FIDO2进行无密码认证的方法其无法实现认证凭证在不同设备上进行同步的技术问题。
图9是根据本发明实施例的一种可选的密钥同步流程的示意图,如图9所示,用户设备1为存储有用户FIDO凭证的设备,用户设备2为用户当前使用的需要访问服务器的设备,该用户设备2中未存储用户FIDO凭证。通过以下密钥同步流程用户设备2可以直接从用户设备1中获取FIDO凭证:
步骤E91,用户设备2向用户设备1发送凭证请求消息,该凭证请求消息可以携带有:用户信息、服务器标识、用户设备2的设备信息(如设备名称、设备标识等)等;
步骤E92,用户设备1从用户处获取授权信息;
步骤E93,用户设备1验证授权信息,得到验证结果;
步骤E94,如果验证通过,则用户设备1向用户设备2发送凭证响应消息,该凭证响应消息可以携带有:用户信息、服务器标识、FIDO凭证,其中,FIDO凭证可以是凭证集,凭证集中包括多个凭证,多个凭证的每个凭证用于在用户访问服务器或应用时对用户进行认证。
需要说明的是,用户设备2在步骤E91中向用户设备1发送的凭证请求消息与用户设备1在步骤E94中向用户设备2发送凭证响应消息相对应。图10是根据本发明实施例的另一种可选的密钥同步流程的示意图,如图10所示,用户设备1为存储有用户FIDO凭证的设备;用户设备2为用户当前使用的需要访问服务器的设备,该用户设备2中未存储用户FIDO凭证;第三方设备为预先从用户设备1中获取并存储用户FIDO凭证的设备。通过以下密钥同步流程用户设备2可以间接从第三方设备中获取FIDO凭证:
步骤E101,第三方设备从用户设备1中获取用户FIDO凭证信息;
步骤E102,用户设备2向第三方设备发送凭证请求消息,该凭证请求消息可以携带有:用户信息、服务器标识、用户设备2的设备信息(如设备名称、设备标识等)等;
步骤E103,第三方设备收到凭证请求消息后向用户设备2发送凭证响应消息,该凭证响应消息可以携带有:用户信息、服务器标识、FIDO凭证,其中,FIDO凭证可以是凭证集,凭证集中包括多个凭证,多个凭证的每个凭证用于在用户访问服务器或应用时对用户进行认证;
步骤E104,用户设备2从用户处获取授权信息并进行用户验证。
需要说明的是,用户设备2在步骤E102中向第三方设备发送的凭证请求消息与第三方设备在步骤E103中向用户设备2发送凭证响应消息相对应。第三方设备在步骤E101中从用户设备1中获取的用户FIDO凭证信息中至少包括上述凭证请求消息和凭证响应消息对应的凭证信息。
仍然如图9所示,上述步骤E92和步骤E93可以是获取用户许可的过程。获取用户许可的其他方式还可以是:用户设备1向用户显示传输许可请求,该传输许可请求可以包括待传输的凭证信息和用户设备2的设备信息等;用户点击同意则确定获取用户许可。
仍然如图10所示,上述步骤E101和步骤E104可以是获取用户许可的过程。获取用户许可的其他方式还可以是:第三方设备向用户发送传输许可请求消息,该传输许可请求消息可以包括待传输的凭证信息和用户设备2的设备信息等;用户返回传输许可消息则确定获取用户许可。
图11是根据本发明实施例的一种可选的认证设备登陆过程的示意图,如图11所示,认证设备登陆过程可以包括:
步骤E111,用户通过用户设备2向服务器发送访问请求消息,其中,访问请求消息携带有:用户信息、能力指示1(用于指示用户设备2支持的无密码认证方式、生物特征认证、多因子认证、第二因子认证和FIDO2协议的其中之一)和用户设备2的设备信息(如设备名称、设备标识等);
步骤E112,如果服务器收到能力指示1,则根据访问请求消息向用户设备2发送挑战信息,或者,如果服务器没有收到能力指示1,则向用户设备2发送用于输入密码的消息,或者,如果服务器中没有存储用户设备2的设备信息,则向用户设备2发送用户设备1的设备信息(如设备名称、设备标识等);
步骤E113,用户设备2从用户处获取授权信息;
步骤E114,执行如图9所示的密钥同步流程,以使用户设备2获取用户FIDO凭证(至少包括用于对用户进行认证的FIDO私钥);
步骤E115,用户设备2利用FIDO私钥对服务器发送的挑战信息进行签名,并将签名信息发送给服务器;
步骤E116,服务器使用FIDO公钥对签名信息进行验证,如果验证成功,则确定用户认证成功。
可选地,在上述步骤E116中,用户认证成功后,还可以对服务器进行如下更新步骤中的至少之一:
步骤E1161,删除服务器中存储的用户设备1的设备信息;
步骤E1162,在服务器中存储用户设备2的设备信息;
步骤E1163,服务器向用户设备2发送更新请求消息,以及接收用户设备2返回的更新响应消息,其中,更新请求消息用于请求用户设备2注册或者生产新的FIDO公私钥对,更新响应消息用于获取新的FIDO公私钥对用于用户认证或签名验证。
需要说明的是,在对服务器进行上述步骤E1163后,用户设备2接收到更新请求消息,可以从用户处获取授权信息并重新生成FIDO公私钥对,以及将重新生成的FIDO公私钥对发送给服务器。
图12是根据本发明实施例的另一种可选的认证设备登陆过程的示意图,如图12所示,在认证设备登陆过程中,用户设备2在访问服务器之前可以首先采用如图9所示的密钥同步流程从用户设备1处获取凭证或凭证集,然后采用如图4所示的用户无密码认证流程对用户进行无密码认证。
可选地,在如图12所示的服务器进行验证签名以后,也可以进行上述步骤E1161至步骤E1163的更新步骤中的至少之一。
图13是根据本发明实施例的另一种可选的认证设备登陆过程的示意图,如图13所示,在认证设备登陆过程中,用户设备2在访问服务器之前可以首先采用如图10所示的密钥同步流程从第三方设备处获取凭证或凭证集,然后采用如图4所示的用户无密码认证流程对用户进行无密码认证。
容易注意到的是,通过本发明实施例提供的方法,可以在用户使用未存储有凭证信息的当前设备进行认证登陆时(或者之前),从存储有凭证信息的目标设备中同步待使用的凭证信息,进而实现用户使用新设备时仍然能够进行无密码认证。
因此,本发明的有益效果为:达到了通过与目标设备间进行凭证信息的同步以在当前设备上进行无密码认证的目的,从而实现了在不同设备上同步无密码认证凭证的技术效果,进而解决了现有技术中基于FIDO2进行无密码认证的方法其无法实现认证凭证在不同设备上进行同步的技术问题
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
根据本发明实施例,还提供了一种用于实施上述认证设备登陆的方法的装置,图14是根据本发明实施例的一种认证设备登陆的装置的结构示意图,如图14所示,该装置包括:第一发送模块1401、接收模块1402和第二发送模块1403,其中,
第一发送模块1401,用于向第一设备发送第一请求消息,其中,第一请求消息用于请求获取凭证信息;接收模块1402,用于接收来自于第一设备的第一响应消息,其中,第一响应消息中携带的信息包括:凭证信息;第二发送模块1403,用于向服务器发送第一访问请求消息,其中,第一访问请求消息中携带的信息包括:签名信息,签名信息基于凭证信息生成。
可选地,图15是根据本发明实施例的另一种认证设备登陆的装置的结构示意图,如图15所示,该装置除包括图14所示的所有模块外,还包括:第一安全模块1404,用于使用第二密钥信息对第一响应消息执行解密操作;使用第二密钥信息对第一响应消息进行完整性验证。
可选地,图16是根据本发明实施例的另一种认证设备登陆的装置的结构示意图,如图16所示,该装置除包括图15所示的所有模块外,还包括:第二安全模块1405,用于与第一设备之间建立传输层安全连接,其中,传输层安全连接用于为与第一设备之间的消息传输提供安全保护。
可选地,图17是根据本发明实施例的另一种认证设备登陆的装置的结构示意图,如图17所示,该装置除包括图16所示的所有模块外,还包括:挑战模块1406,用于向服务器发送第二访问请求消息,其中,第二访问请求中携带的信息包括以下至少之一:能力指示、第二设备的信息,能力指示用于表示第二设备支持无密码认证方式,第二设备的信息包括以下至少之一:第二设备的标识、第二设备的互联网协议地址、第二设备的名称。接收来自于服务器的挑战消息,其中,挑战消息中携带的信息包括:挑战信息。
此处需要说明的是,上述第一发送模块1401、接收模块1402和第二发送模块1403对应于实施例1中的步骤S61至步骤S63,三个模块与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例一提供的计算机终端10中。
在本发明实施例中,通过向第一设备发送第一请求消息,其中,第一请求消息用于请求获取凭证信息,以及接收来自于第一设备的第一响应消息,其中,第一响应消息中携带的信息包括:凭证信息,进而向服务器发送第一访问请求消息,其中,第一访问请求消息中携带的信息包括:签名信息,签名信息基于凭证信息生成,达到了通过与目标设备间进行凭证信息的同步以在当前设备上进行无密码认证的目的,从而实现了在不同设备上同步无密码认证凭证的技术效果,进而解决了现有技术中基于FIDO2进行无密码认证的方法其无法实现认证凭证在不同设备上进行同步的技术问题。
需要说明的是,本实施例的优选实施方式可以参见实施例1中的相关描述,此处不再赘述。
实施例3
根据本发明实施例,还提供了一种电子装置的实施例,该电子装置可以是计算装置群中的任意一个计算装置。该电子装置包括:处理器和存储器,其中:
存储器,与上述处理器连接,用于为上述处理器提供处理以下处理步骤的指令:向第一设备发送第一请求消息,其中,第一请求消息用于请求获取凭证信息;接收来自于第一设备的第一响应消息,其中,第一响应消息中携带的信息包括:凭证信息;向服务器发送第一访问请求消息,其中,第一访问请求消息中携带的信息包括:签名信息,签名信息基于凭证信息生成。
在本发明实施例中,通过向第一设备发送第一请求消息,其中,第一请求消息用于请求获取凭证信息,以及接收来自于第一设备的第一响应消息,其中,第一响应消息中携带的信息包括:凭证信息,进而向服务器发送第一访问请求消息,其中,第一访问请求消息中携带的信息包括:签名信息,签名信息基于凭证信息生成,达到了通过与目标设备间进行凭证信息的同步以在当前设备上进行无密码认证的目的,从而实现了在不同设备上同步无密码认证凭证的技术效果,进而解决了现有技术中基于FIDO2进行无密码认证的方法其无法实现认证凭证在不同设备上进行同步的技术问题。
需要说明的是,本实施例的优选实施方式可以参见实施例1中的相关描述,此处不再赘述。
实施例4
本发明的实施例可以提供一种计算机终端,该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地,在本实施例中,上述计算机终端也可以替换为移动终端等终端设备。
可选地,在本实施例中,上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。
在本实施例中,上述计算机终端可以执行认证设备登陆的方法中以下步骤的程序代码:向第一设备发送第一请求消息,其中,第一请求消息用于请求获取凭证信息;接收来自于第一设备的第一响应消息,其中,第一响应消息中携带的信息包括:凭证信息;向服务器发送第一访问请求消息,其中,第一访问请求消息中携带的信息包括:签名信息,签名信息基于凭证信息生成。
可选地,图18是根据本发明实施例的另一种计算机终端的结构框图,如图18所示,该计算机终端可以包括:一个或多个(图中仅示出一个)处理器122、存储器124、以及外设接口126。
其中,存储器可用于存储软件程序以及模块,如本发明实施例中的认证设备登陆的方法和装置对应的程序指令/模块,处理器通过运行存储在存储器内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的认证设备登陆的方法。存储器可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
处理器可以通过传输装置调用存储器存储的信息及应用程序,以执行下述步骤:向第一设备发送第一请求消息,其中,第一请求消息用于请求获取凭证信息;接收来自于第一设备的第一响应消息,其中,第一响应消息中携带的信息包括:凭证信息;向服务器发送第一访问请求消息,其中,第一访问请求消息中携带的信息包括:签名信息,签名信息基于凭证信息生成。可选地,上述处理器还可以执行如下步骤的程序代码:凭证信息包括以下至少之一:服务器标识、用户信息、第一密钥信息、授权信息。
可选地,上述处理器还可以执行如下步骤的程序代码:服务器标识用于以下至少之一:标识服务器、标识服务器上的服务、访问服务器所需要的信息、访问服务器上的服务所需要的信息;用户信息包括:用户名称或用户标识;第一密钥信息包括以下至少之一:第一公钥、第一私钥、第一密钥标识;授权信息包括以下至少之一:指纹信息、面部信息、密码、个人识别码。
可选地,上述处理器还可以执行如下步骤的程序代码:第一访问请求信息中携带的信息还包括以下至少之一:用户信息、服务器标识。
可选地,上述处理器还可以执行如下步骤的程序代码:在接收来自于第一设备的第一响应消息之后:使用第二密钥信息对第一响应消息执行解密操作;使用第二密钥信息对第一响应消息进行完整性验证。
可选地,上述处理器还可以执行如下步骤的程序代码:第二密钥信息包括以下之一:授权信息,基于授权信息生成的密钥。
可选地,上述处理器还可以执行如下步骤的程序代码:在向第一设备发送第一请求消息之前:与第一设备之间建立传输层安全连接,其中,传输层安全连接用于为与第一设备之间的消息传输提供安全保护。
可选地,上述处理器还可以执行如下步骤的程序代码:在向第一设备发送第一请求消息之前:向服务器发送第二访问请求消息,其中,第二访问请求中携带的信息包括以下至少之一:能力指示、第二设备的信息,能力指示用于表示第二设备支持无密码认证方式,第二设备的信息包括以下至少之一:第二设备的标识、第二设备的互联网协议地址、第二设备的名称。接收来自于服务器的挑战消息,其中,挑战消息中携带的信息包括:挑战信息。
可选地,上述处理器还可以执行如下步骤的程序代码:挑战消息中携带的信息还包括:第一设备的信息,其中,第一设备的信息包括以下至少之一:第一设备的标识、第一设备的互联网协议地址、第一设备的名称。
可选地,上述处理器还可以执行如下步骤的程序代码:签名信息采用凭证信息和挑战信息生成。
处理器可以通过传输装置调用存储器存储的信息及应用程序,以执行下述步骤:接收来自于第二设备的第一访问请求消息,其中,第一访问请求消息中携带的信息包括:签名信息,签名信息基于第二设备获取到的凭证信息生成;对签名信息进行验证。
可选地,上述处理器还可以执行如下步骤的程序代码:在接收到第二设备的第一访问请求消息之前:接收来自于第二设备的第二访问请求消息,其中,第二访问请求消息中携带的信息包括:能力指示、第二设备的信息,能力指示用于表示第二设备支持无密码认证方式,第二设备的信息包括以下至少之一:第二设备的标识、第二设备的互联网协议地址、第二设备的名称。
可选地,上述处理器还可以执行如下步骤的程序代码:在接收到第二访问请求消息之后:向第二设备发送挑战消息,其中,挑战消息中携带的信息包括:挑战信息。
可选地,上述处理器还可以执行如下步骤的程序代码:挑战消息中携带的信息还包括以下至少之一:第一设备的信息,其中,第一设备的信息包括:第一设备的标识、第一设备的互联网协议地址、第一设备的名称。
可选地,上述处理器还可以执行如下步骤的程序代码:采用凭证信息验证签名信息。
处理器可以通过传输装置调用存储器存储的信息及应用程序,以执行下述步骤:接收来自于第二设备的第一请求消息,其中,第一请求消息用于请求获取凭证信息;向第二设备发送第一响应消息,其中,第一响应消息中携带的信息包括:凭证信息。
可选地,上述处理器还可以执行如下步骤的程序代码:凭证信息包括以下至少之一:服务器标识、用户信息、第一密钥信息、授权信息。
可选地,上述处理器还可以执行如下步骤的程序代码:服务器标识用于以下至少之一:标识服务器、标识服务器上的服务、访问服务器、访问服务器上的服务;用户信息包括:用户名称或用户标识;第一密钥信息包括以下至少之一:第一公钥、第一私钥、第一密钥标识;授权信息包括以下至少之一:指纹信息、面部信息、密码、个人识别码。
可选地,上述处理器还可以执行如下步骤的程序代码:在接收来自于第二设备的第一请求消息之前:接收来自于第一设备的凭证信息。
可选地,上述处理器还可以执行如下步骤的程序代码:在向第二设备发送第一响应消息之前:获取授权信息。在本发明实施例中,通过向第一设备发送第一请求消息,其中,第一请求消息用于请求获取凭证信息,以及接收来自于第一设备的第一响应消息,其中,第一响应消息中携带的信息包括:凭证信息,进而向服务器发送第一访问请求消息,其中,第一访问请求消息中携带的信息包括:签名信息,签名信息基于凭证信息生成,达到了通过与目标设备间进行凭证信息的同步以在当前设备上进行无密码认证的目的,从而实现了在不同设备上同步无密码认证凭证的技术效果,进而解决了现有技术中基于FIDO2进行无密码认证的方法其无法实现认证凭证在不同设备上进行同步的技术问题。
本领域普通技术人员可以理解,图18所示的结构仅为示意,计算机终端也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌上电脑以及移动互联网设备(MobileInternet Devices,MID)、PAD等终端设备。图18并不对上述电子装置的结构造成限定。例如,计算机终端还可包括比图18中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图18所示不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
根据本发明实施例,还提供了一种存储介质的实施例。可选地,在本实施例中,上述存储介质可以用于保存上述实施例1所提供的认证设备登陆的方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:向第一设备发送第一请求消息,其中,第一请求消息用于请求获取凭证信息;接收来自于第一设备的第一响应消息,其中,第一响应消息中携带的信息包括:凭证信息;向服务器发送第一访问请求消息,其中,第一访问请求消息中携带的信息包括:签名信息,签名信息基于凭证信息生成。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:凭证信息包括以下至少之一:服务器标识、用户信息、第一密钥信息、授权信息。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:服务器标识用于以下至少之一:标识服务器、标识服务器上的服务、访问服务器所需要的信息、访问服务器上的服务所需要的信息;用户信息包括:用户名称或用户标识;第一密钥信息包括以下至少之一:第一公钥、第一私钥、第一密钥标识;授权信息包括以下至少之一:指纹信息、面部信息、密码、个人识别码。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:第一访问请求信息中携带的信息还包括以下至少之一:用户信息、服务器标识。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:在接收来自于第一设备的第一响应消息之后:使用第二密钥信息对第一响应消息执行解密操作;使用第二密钥信息对第一响应消息进行完整性验证。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:第二密钥信息包括以下之一:授权信息,基于授权信息生成的密钥。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:在向第一设备发送第一请求消息之前:与第一设备之间建立传输层安全连接,其中,传输层安全连接用于为与第一设备之间的消息传输提供安全保护。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:在向第一设备发送第一请求消息之前:向服务器发送第二访问请求消息,其中,第二访问请求中携带的信息包括以下至少之一:能力指示、第二设备的信息,能力指示用于表示第二设备支持无密码认证方式,第二设备的信息包括以下至少之一:第二设备的标识、第二设备的互联网协议地址、第二设备的名称。接收来自于服务器的挑战消息,其中,挑战消息中携带的信息包括:挑战信息。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:挑战消息中携带的信息还包括:第一设备的信息,其中,第一设备的信息包括以下至少之一:第一设备的标识、第一设备的互联网协议地址、第一设备的名称。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:签名信息采用凭证信息和挑战信息生成。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:接收来自于第二设备的第一访问请求消息,其中,第一访问请求消息中携带的信息包括:签名信息,签名信息基于第二设备获取到的凭证信息生成;对签名信息进行验证。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:在接收到第二设备的第一访问请求消息之前:接收来自于第二设备的第二访问请求消息,其中,第二访问请求消息中携带的信息包括:能力指示、第二设备的信息,能力指示用于表示第二设备支持无密码认证方式,第二设备的信息包括以下至少之一:第二设备的标识、第二设备的互联网协议地址、第二设备的名称。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:在接收到第二访问请求消息之后:向第二设备发送挑战消息,其中,挑战消息中携带的信息包括:挑战信息。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:挑战消息中携带的信息还包括以下至少之一:第一设备的信息,其中,第一设备的信息包括:第一设备的标识、第一设备的互联网协议地址、第一设备的名称。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:采用凭证信息验证签名信息。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:接收来自于第二设备的第一请求消息,其中,第一请求消息用于请求获取凭证信息;向第二设备发送第一响应消息,其中,第一响应消息中携带的信息包括:凭证信息。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:凭证信息包括以下至少之一:服务器标识、用户信息、第一密钥信息、授权信息。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:服务器标识用于以下至少之一:标识服务器、标识服务器上的服务、访问服务器、访问服务器上的服务;用户信息包括:用户名称或用户标识;第一密钥信息包括以下至少之一:第一公钥、第一私钥、第一密钥标识;授权信息包括以下至少之一:指纹信息、面部信息、密码、个人识别码。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:在接收来自于第二设备的第一请求消息之前:接收来自于第一设备的凭证信息。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:在向第二设备发送第一响应消息之前:获取授权信息。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本发明所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (22)

1.一种认证设备登陆的方法,其特征在于,包括:
向第一设备发送第一请求消息,其中,所述第一请求消息用于请求获取凭证信息;
接收来自于所述第一设备的第一响应消息,其中,所述第一响应消息中携带的信息包括:所述凭证信息;
向服务器发送第一访问请求消息,其中,所述第一访问请求消息中携带的信息包括:签名信息,所述签名信息基于所述凭证信息生成。
2.根据权利要求1所述的方法,其特征在于,所述凭证信息包括以下至少之一:
服务器标识、用户信息、第一密钥信息、授权信息。
3.根据权利要求2所述的方法,其特征在于,
所述服务器标识用于以下至少之一:标识所述服务器、标识所述服务器上的服务、访问所述服务器所需要的信息、访问所述服务器上的服务所需要的信息;
所述用户信息包括:用户名称或用户标识;
所述第一密钥信息包括以下至少之一:第一公钥、第一私钥、第一密钥标识;
所述授权信息包括以下至少之一:指纹信息、面部信息、密码、个人识别码。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述第一访问请求信息中携带的信息还包括以下至少之一:
用户信息、服务器标识。
5.根据权利要求1至4任一项所述的方法,其特征在于,在接收来自于所述第一设备的所述第一响应消息之后,所述方法还包括以下至少之一:
使用第二密钥信息对所述第一响应消息执行解密操作;
使用所述第二密钥信息对所述第一响应消息进行完整性验证。
6.根据权利要求5所述的方法,其特征在于,所述第二密钥信息包括以下之一:
授权信息,基于所述授权信息生成的密钥。
7.根据权利要求1至6任一项所述的方法,其特征在于,在向所述第一设备发送所述第一请求消息之前,所述方法还包括:
与所述第一设备之间建立传输层安全连接,其中,所述传输层安全连接用于为与所述第一设备之间的消息传输提供安全保护。
8.根据权利要求1至7任一项所述的方法,其特征在于,在向所述第一设备发送第一请求消息之前,所述方法还包括:
向所述服务器发送第二访问请求消息,其中,所述第二访问请求中携带的信息包括以下至少之一:能力指示、第二设备的信息,所述能力指示用于表示所述第二设备支持无密码认证方式,所述第二设备的信息包括以下至少之一:所述第二设备的标识、所述第二设备的互联网协议地址、所述第二设备的名称。
接收来自于所述服务器的挑战消息,其中,所述挑战消息中携带的信息包括:挑战信息。
9.根据权利要求8所述的方法,其特征在于,所述挑战消息中携带的信息还包括:
第一设备的信息,其中,所述第一设备的信息包括以下至少之一:所述第一设备的标识、所述第一设备的互联网协议地址、所述第一设备的名称。
10.根据权利要求8或9所述的方法,其特征在于,所述签名信息基于所述凭证信息生成,包括:所述签名信息采用所述凭证信息和所述挑战信息生成。
11.一种认证设备登陆的方法,其特征在于,包括:
接收来自于第二设备的第一访问请求消息,其中,所述第一访问请求消息中携带的信息包括:签名信息,所述签名信息基于所述第二设备获取到的凭证信息生成;
对所述签名信息进行验证。
12.根据权利要求11所述的方法,其特征在于,在接收到所述第二设备的所述第一访问请求消息之前,还包括:
接收来自于所述第二设备的第二访问请求消息,其中,所述第二访问请求消息中携带的信息包括:能力指示、第二设备的信息,所述能力指示用于表示所述第二设备支持无密码认证方式,所述第二设备的信息包括以下至少之一:所述第二设备的标识、所述第二设备的互联网协议地址、所述第二设备的名称。
13.根据权利要求12所述的方法,其特征在于,在接收到所述第二访问请求消息之后,还包括:
向所述第二设备发送挑战消息,其中,所述挑战消息中携带的信息包括:挑战信息。
14.根据权利要求13所述的方法,其特征在于,所述挑战消息中携带的信息还包括:以下至少之一:
第一设备的信息,其中,所述第一设备的信息包括:所述第一设备的标识、所述第一设备的互联网协议地址、所述第一设备的名称。
15.根据权利要求11所述的方法,其特征在于,对所述签名信息进行登陆验证包括:
采用所述凭证信息验证所述签名信息。
16.一种认证设备登陆的方法,其特征在于,包括:
接收来自于第二设备的第一请求消息,其中,所述第一请求消息用于请求获取凭证信息;
向所述第二设备发送第一响应消息,其中,所述第一响应消息中携带的信息包括:所述凭证信息。
17.根据权利要求16所述的方法,其特征在于,所述凭证信息包括以下至少之一:
服务器标识、用户信息、第一密钥信息、授权信息。
18.根据权利要求17所述的方法,其特征在于,
所述服务器标识用于以下至少之一:标识所述服务器、标识所述服务器上的服务、访问所述服务器、访问所述服务器上的服务;
所述用户信息包括:用户名称或用户标识;
所述第一密钥信息包括以下至少之一:第一公钥、第一私钥、第一密钥标识;
所述授权信息包括以下至少之一:指纹信息、面部信息、密码、个人识别码。
19.根据权利要求16至18中任一项所述的方法,其特征在于,在接收来自于所述第二设备的所述第一请求消息之前,所述方法还包括:
接收来自于第一设备的所述凭证信息。
20.根据权利要求16至18中任一项所述的方法,其特征在于,在向所述第二设备发送所述第一响应消息之前,所述方法还包括:
获取授权信息。
21.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的程序,其中,在所述程序运行时控制所述计算机可读存储介质所在设备执行权利要求1至20中任意一项所述的认证设备登陆的方法。
22.一种电子设备,其特征在于,包括:
处理器;以及
存储器,与所述处理器连接,用于为所述处理器提供处理以下处理步骤的指令:
向第一设备发送第一请求消息,其中,所述第一请求消息用于请求获取凭证信息;
接收来自于所述第一设备的第一响应消息,其中,所述第一响应消息中携带的信息包括:所述凭证信息;
向服务器发送第一访问请求消息,其中,所述第一访问请求消息中携带的信息包括:签名信息,所述签名信息基于所述凭证信息生成。
CN202210646121.8A 2022-06-09 2022-06-09 认证设备登陆的方法、存储介质、电子设备 Pending CN115189885A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210646121.8A CN115189885A (zh) 2022-06-09 2022-06-09 认证设备登陆的方法、存储介质、电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210646121.8A CN115189885A (zh) 2022-06-09 2022-06-09 认证设备登陆的方法、存储介质、电子设备

Publications (1)

Publication Number Publication Date
CN115189885A true CN115189885A (zh) 2022-10-14

Family

ID=83513602

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210646121.8A Pending CN115189885A (zh) 2022-06-09 2022-06-09 认证设备登陆的方法、存储介质、电子设备

Country Status (1)

Country Link
CN (1) CN115189885A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116866093A (zh) * 2023-09-05 2023-10-10 鼎铉商用密码测评技术(深圳)有限公司 身份认证方法、身份认证设备以及可读存储介质
TWI831577B (zh) * 2023-01-16 2024-02-01 臺灣網路認證股份有限公司 集中依賴單位與註冊單位以提供認證服務之系統及方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI831577B (zh) * 2023-01-16 2024-02-01 臺灣網路認證股份有限公司 集中依賴單位與註冊單位以提供認證服務之系統及方法
CN116866093A (zh) * 2023-09-05 2023-10-10 鼎铉商用密码测评技术(深圳)有限公司 身份认证方法、身份认证设备以及可读存储介质
CN116866093B (zh) * 2023-09-05 2024-01-05 鼎铉商用密码测评技术(深圳)有限公司 身份认证方法、身份认证设备以及可读存储介质

Similar Documents

Publication Publication Date Title
US10554420B2 (en) Wireless connections to a wireless access point
US11764966B2 (en) Systems and methods for single-step out-of-band authentication
EP2314090B1 (en) Portable device association
US9038138B2 (en) Device token protocol for authorization and persistent authentication shared across applications
US9185096B2 (en) Identity verification
US9445269B2 (en) Terminal identity verification and service authentication method, system and terminal
US9124571B1 (en) Network authentication method for secure user identity verification
CN115189885A (zh) 认证设备登陆的方法、存储介质、电子设备
KR20120126084A (ko) 개인 휴대형 보안 네트워크 액세스 시스템
US8397281B2 (en) Service assisted secret provisioning
CN114788226A (zh) 用于建立分散式计算机应用的非托管工具
CN111143474B (zh) 一种基于区块链技术的手机号码一键换绑的方法
CN106161475B (zh) 用户鉴权的实现方法和装置
US11182464B2 (en) Mobile key via mobile device audio channel
CN111800377B (zh) 一种基于安全多方计算的移动终端身份认证***
KR101696571B1 (ko) 개인 휴대형 보안 네트워크 액세스 시스템
CN111949959B (zh) Oauth协议中的授权认证方法及装置
CN116097615B (zh) 使用密钥协商的认证
CN103024735A (zh) 无卡终端的业务访问方法及设备
CN111901304B (zh) 移动安全设备的注册方法和装置、存储介质、电子装置
CN107204959B (zh) 验证码的验证方法、装置及***
CN112241548A (zh) 基于区块链的用户认证和授权以及进行认证和授权方法
CN107846390B (zh) 应用程序的认证方法及装置
CN116528230A (zh) 验证码处理方法、移动终端及可信服务***
CN115906196A (zh) 一种移动存储方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40081814

Country of ref document: HK