CN115378623B - 身份认证方法、装置、设备及存储介质 - Google Patents
身份认证方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN115378623B CN115378623B CN202210265408.6A CN202210265408A CN115378623B CN 115378623 B CN115378623 B CN 115378623B CN 202210265408 A CN202210265408 A CN 202210265408A CN 115378623 B CN115378623 B CN 115378623B
- Authority
- CN
- China
- Prior art keywords
- signature
- identity authentication
- authentication
- key
- collaborative
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 56
- 239000012634 fragment Substances 0.000 claims description 51
- 230000004044 response Effects 0.000 claims description 28
- 230000001360 synchronised effect Effects 0.000 claims description 8
- 238000012795 verification Methods 0.000 abstract description 19
- 238000002955 isolation Methods 0.000 abstract description 5
- 230000008569 process Effects 0.000 description 12
- 238000004891 communication Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 4
- 238000013467 fragmentation Methods 0.000 description 3
- 238000006062 fragmentation reaction Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000002708 enhancing effect Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0631—Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种身份认证方法、装置、设备及存储介质,属于信息安全技术领域。本发明通过根据智能终端标识与协签服务器进行协签身份认证;在协签身份认证通过时,获取所述协签服务器反馈的部分签名;根据所述部分签名生成完整签名;根据所述完整签名与应用服务进行联签身份认证,省略了公钥的申请、查询、验证以及交换的环节,无需公钥的发布与查询,提高了认证效率,同时通过协签认证与联签认证,保证了密钥隔离的安全性。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种身份认证方法、装置、设备及存储介质。
背景技术
随着信息时代以及智能终端技术的发展,当前用户的很多业务都移植到了智能终端尤其是手机设备上,业务越来越多,当前智能终端上的数据也越来越敏感,其中威胁最大的就是密钥泄露,越来越多的密码技术被应用到便携的、未被保护的移动设备上,密钥泄漏难以避免。密钥的安全性是机密性的,为了避免密钥泄露导致的损失,是亟需解决的问题。密钥泄露问题是一个严重的安全问题,不管密码体制被设计的多么安全,只要密钥泄露,相关于这个密钥的所有密码操作都不再安全。
为了解决密钥泄露问题,在考虑前向安全性和后向安全性的同时,结合密钥进化的原理,基于身份认证的方法允许两个或多个参与者通过***息交互验证,为后续的通信提供安全认证,用户的公钥能从其可读的身份信息中计算得出,用户私钥是根据用户身份信息及专用安全设备进行计算得到的,这样可以达到提高运算、通信效率及增强安全性的目的。
但是目前的技术,移动用户及智能终端设备需要与服务器进行信息交互来实现身份认证,但在开放信道上的远程认证存在着一定的安全隐患,并且目前的认证技术还需要涉及公钥的申请、查询、验证以及交换的环节,部署复杂,效率较低。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种身份认证方法、装置、设备及存储介质,旨在解决现有技术中的身份认证仍然存在密钥泄漏的风险且认证效率较低的技术问题。
为实现上述目的,本发明提供了一种身份认证方法,所述身份认证方法包括以下步骤:
根据智能终端标识与协签服务器进行协签身份认证;
在协签身份认证通过时,获取所述协签服务器反馈的部分签名;
根据所述部分签名生成完整签名;
根据所述完整签名与应用服务进行联签身份认证。
可选地,所述根据智能终端标识与协签服务器进行协签身份认证,包括:
将智能终端标识发送至标识管理***;
通过所述标识管理***基于所述智能终端标识向协签服务器发送密钥请求;
接收所述协签服务器基于所述密钥请求反馈的密钥分片;
根据所述密钥分片与所述协签服务器进行协签身份认证。
可选地,所述根据所述密钥分片与所述协签服务器进行协签身份认证,包括:
加载所述密钥分片,生成对应的签名分片;
基于所述签名分片向所述协签服务器发送协同签名请求;
通过所述协签服务器对所述协同签名请求进行合法性校验。
可选地,所述在协签身份认证通过时,获取所述协签服务器反馈的部分签名,包括:
通过所述协签服务器将所述协同签名请求转发至标识密码机;
通过所述标识密码机根据所述协同签名请求生成部分签名;
通过所述协签服务器反馈所述部分签名。
可选地,所述根据所述完整签名与应用服务进行联签身份认证,包括:
向应用服务发送认证请求;
接收所述应用服务根据所述认证请求反馈的挑战码;
根据本地密钥分片和所述挑战码生成响应数据,并将所述响应数据发送至所述应用服务;
通过所述应用服务对所述响应数据进行数据合法性校验。
可选地,所述根据智能终端标识与协签服务器进行协签身份认证之前,还包括:
将标识管理***与应用服务进行标识同步;
在所述标识管理***与所述应用服务标识同步后,执行所述根据智能终端标识与协签服务器进行协签身份认证的步骤。
可选地,所述将标识管理***与应用服务进行标识同步,包括:
通过标识密码机生成主密钥、***参数以及标识密钥分量;
基于预设算法根据所述主密钥、所述***参数以及所述标识密钥分量将标识管理***与应用服务进行标识同步。
此外,为实现上述目的,本发明还提出一种身份认证装置,所述身份认证装置包括:
认证模块,用于根据智能终端标识与协签服务器进行协签身份认证;
接收模块,用于在协签身份认证通过时,获取所述协签服务器反馈的部分签名;
生成模块,用于根据所述部分签名生成完整签名;
所述认证模块,还用于根据所述完整签名与应用服务进行联签身份认证。
此外,为实现上述目的,本发明还提出一种身份认证设备,所述身份认证设备包括:存储器、处理器及存储在所述存储器上并在所述处理器上运行的身份认证程序,所述身份认证程序配置为实现如上文所述的身份认证方法。
此外,为实现上述目的,本发明还提出一种存储介质,所述存储介质上存储有身份认证程序,所述身份认证程序被处理器执行时实现如上文所述的身份认证方法。
本发明通过根据智能终端标识与协签服务器进行协签身份认证;在协签身份认证通过时,获取所述协签服务器反馈的部分签名;根据所述部分签名生成完整签名;根据所述完整签名与应用服务进行联签身份认证,省略了公钥的申请、查询、验证以及交换的环节,无需公钥的发布与查询,提高了认证效率,同时通过协签认证与联签认证,保证了密钥隔离的安全性。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的身份认证设备的结构示意图;
图2为本发明身份认证方法第一实施例的流程示意图;
图3为本发明身份认证方法一实施例中身份认证组成架构示意图;
图4为本发明身份认证方法一实施例中身份认证流程示意图;
图5为本发明身份认证方法第二实施例的流程示意图;
图6为本发明身份认证方法第三实施例的流程示意图;
图7为本发明身份认证装置第一实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的身份认证设备结构示意图。
如图1所示,该身份认证设备可以包括:处理器1001,例如中央处理器(CentralProcessing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(Wireless-Fidelity,Wi-Fi)接口)。存储器1005可以是高速的随机存取存储器(RandomAccess Memory,RAM)存储器,也可以是稳定的非易失性存储器(Non-Volatile Memory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对身份认证设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作***、网络通信模块、用户接口模块以及身份认证程序。
在图1所示的身份认证设备中,网络接口1004主要用于与网络服务器进行数据通信;用户接口1003主要用于与用户进行数据交互;本发明身份认证设备中的处理器1001、存储器1005可以设置在身份认证设备中,所述身份认证设备通过处理器1001调用存储器1005中存储的身份认证程序,并执行本发明实施例提供的身份认证方法。
本发明实施例提供了一种身份认证方法,参照图2,图2为本发明一种身份认证方法第一实施例的流程示意图。
本实施例中,所述身份认证方法包括以下步骤:
步骤S10:根据智能终端标识与协签服务器进行协签身份认证。
在本实施例中,本实施例的执行主体可以是身份认证设备,身份认证设备可以是个人电脑或服务器等电子设备,还可以为其他可实现相同或相似功能的终端设备,本实施例对此不加以限制,在本实施例及下述各实施例中,以身份认证设备为例对本发明身份认证方法进行说明。
需要说明的是,当前用户的很多业务都移植到了智能终端尤其是手机设备上,业务越来越多,当前智能终端上的数据也越来越敏感,其中威胁最大的就是密钥泄露,越来越多的密码技术被应用到便携的、未被保护的移动设备上,密钥泄漏难以避免。密钥泄露问题是一个严重的安全问题,不管密码体制被设计的多么安全,如果密钥被泄露,那么相关于这个密钥的所有密码操作都不再安全。
目前为了防止身份认证过程中导致密钥泄漏,在考虑前向安全性和后向安全性的同时,结合密钥进化的原理,基于身份认证的方法允许两个或多个参与者通过***息交互验证,为后续的通信提供安全认证,用户的公钥能从其可读的身份信息中计算得出,用户私钥是根据用户身份信息及专用安全设备进行计算得到的,这样可以达到提高运算、通信效率及增强安全性的目的。但是目前的移动用户及智能终端设备与服务器进行信息交互来实现身份认证的方式仍然存在密钥泄漏的安全隐患,并且身份认证中需要涉及公钥的申请、查询、验证以及交换的环节,使得认证的效率也较低。
本实施例中为了解决上述问题,在整个身份认证签名流程中需要经历初始化、密钥生成、更新、签名以及验证过程,从而确认密钥隔离是安全的,具体地可以按照如下方式实现。
在具体实现中,本实施例中需要先与协签服务器进行协签身份认证,协签身份认证为第一次身份认证,协签身份认证是协签服务器对协同签名的请求进行合法性校验。
需要说明的是,本实施例中的身份认证过程涉及多个设备或***,以图3为例对整个身份认证过程中所涉及的设备组成结构进行说明。在图3中,身份认证过程所涉及的设备包括智能终端、协签服务器、标识密码机以及标识管理***,智能终端与应用***进行身份验证与密钥协商,最终完成应用***的身份认证,使得用户能够正常使用应用***。
进一步地,智能终端用于移动端用户登录认证及数据安全保护,避免用户身份伪造和数据外泄,集成软密码模块,进行密钥存储管理。协签服务器用于配合移动端软密码模块软件,完成数字签名运算,用户无需借助额外硬件设备即可实现密钥安全、算法安全和身份认证,确保用户及数据的安全性和完整性。标识密码机用于支持密钥的生成和管理,支持标识密钥***主私钥和***参数的生成,提供密钥的导入、导出、备份和恢复等功能。标识管理***用于对标识密码用户的身份标识、属性信息进行安全管理,对标识私钥进行安全分发,为业务应用***提供灵活的接口服务,一般与标识密码机配合使用。
进一步地,本实施例中结合图4对整个身份认证过程进行说明。如图4所示,标识管理***根据智能终端标识请求身份认证,进行协签操作过程;向协签服务器申请密钥分片,此处需要强调的是,如果生成标识密码非对称密钥时,由两个参与方各自独立生成一个私钥份额(或称为私钥片段、私钥分量),双方通过交互通信、传输一些辅助计算数据,由其中一方合并辅助数据生成标识公钥。协签服务器返回密钥分片至智能终端,智能终端加载密钥分片并生成签名分片,然后向协签服务器发起协同签名请求;协签服务器校验协同签名合法性,向标识密码机请求生成协同签名,如合法,标识密码机返回协同签名结果;如非法协签服务器更新错误计数;智能终端根据部分签名生成完整签名,同时认证请求使应用服务返回挑战码,然后使用本地的分片私钥,对挑战码进行联合签名,生成响应数据,其中,分片私钥即上述协签服务器返回的密钥分片,最后将响应数据进行提交至应用服务,应用服务使用标准的签名验证方法效验响应数据的合法性,如果响应数据合法,则身份认证通过,如果非法,则返回进行重新认证。
在具体实施中,本实施例中可以基于用户输入的身份认证指令或身份认证请求进行用户身份认证,也可以设定一预设时间,在达到预设时间时,自动进行用户身份认证,其中,预设时间可以根据实际需求进行相应地设置,并且除了上述方式之外,还可以采取其他方式进行用户身份认证,本实施例中对此不加以限制。
步骤S20:在协签身份认证通过时,获取所述协签服务器反馈的部分签名。
需要说明的是,协签身份认证相当于第一次身份认证,如果本次认证通过,也即协签身份认证通过,则继续进行后续认证,后续认证需要通过签名进行联签认证,因此本实施例中协签服务器会反馈部分签名,协签服务器直接将部分签名发送至智能终端。
步骤S30:根据所述部分签名生成完整签名。
在具体实施中,在得到部分签名之后,本实施例中可以根据部分签名生成完整签名,具体地,可以基于完整签名的格式在部分签名的基础进行签名补全,从而得到完整签名,当然本实施例中还可以采取其他方式生成完整签名,可以根据实际需求进行相应地选择,本实施例中对此不加以限制。
步骤S40:根据所述完整签名与应用服务进行联签身份认证。
在具体实施中,在生成完整签名之后,根据生成的完整签名与应用服务进行联签身份认证,联签身份认证为第二次身份认证,联签身份认证通过后,则表示用户身份认证通过。
本实施例通过根据智能终端标识与协签服务器进行协签身份认证;在协签身份认证通过时,获取所述协签服务器反馈的部分签名;根据所述部分签名生成完整签名;根据所述完整签名与应用服务进行联签身份认证,省略了公钥的申请、查询、验证以及交换的环节,无需公钥的发布与查询,提高了认证效率,同时通过协签认证与联签认证,保证了密钥隔离的安全性。
参考图5,图5为本发明一种身份认证方法第二实施例的流程示意图。
基于上述第一实施例,本实施例身份认证方法中,所述步骤S10具体包括:
步骤S101:将智能终端标识发送至标识管理***。
需要说明的是,协签身份认证是通过协签服务器进行的,在进行协签认证时,需要先获取到密钥分片,通过密钥分片进一步完成协签身份认证。
在具体实施中,智能终端标识与密钥分片之间存在对应关系,在智能终端向标识***发送身份认证请求时,标识管理***会获取智能终端的智能终端标识,其中,智能终端标识包括但不限于姓名、邮箱地址、手机号、身份证号、IP地址等。
步骤S102:通过所述标识管理***基于所述智能终端标识向协签服务器发送密钥请求。
在具体实施中,标识管理***向协签服务器发送密钥请求,该密钥请求中包含智能终端标识。
步骤S103:接收所述协签服务器基于所述密钥请求反馈的密钥分片。
在具体实现中,在协签服务器接收到密钥请求之后,协签服务器会根据密钥请求中所包含的智能终端标识生成密钥分片,然后将生成的密钥分片返回给智能终端。
步骤S104:根据所述密钥分片与所述协签服务器进行协签身份认证。
在具体实施中,在智能终端接收到密钥分片,智能终端根据密钥分片与协签服务器进行协签身份认证。
进一步地,智能终端在接收到协签服务器反馈的密钥分片之后,智能终端通过对密钥分片进行加载,以生成对应的签名分片,此外,为了防止密钥分片的泄漏,本实施例中智能终端在接收到密钥分片之后,在对密钥分片进行加载之前,先对密钥分片进行增强保护。
在生成签名分片之后,智能终端向协签服务器请求协同签名,也即向协签服务器发送协同签名请求,协签服务器在接收到协同签名请求之后,会对协同签名请求进行合法性校验,该过程即为协签身份认证的过程,本实施例中可以通过协同签名请求的报文格式或请求数据进行合法性校验,还可以通过其他方式进行合法性校验,本实施例中对此不加以限制。
进一步地,如果协签服务器通过校验后判定协同签名请求合法,则根据该合法的协同签名请求生成对应的协同签名,具体地,本实施例中是将协同签名请求转发至标识密码机,标识密码机根据协同签名请求生成协同签名,然后标识密码机通过协签服务器将该协同签名发送至智能终端,协同签名即为部分签名。如果协签服务器通过校验后判定协同签名请求不合法,则更新错误计数,统计累计认证失败次数。
进一步地,在完成协签身份认证之后,本实施例中进一步进行联签身份认证,具体地可以按照如下方式实现。
在具体实现中,本实施例中智能终端在根据部分签名生成完整签名之后,向应用服务发送认证请求,应用服务在接收到认证请求之后,应用服务器根据认证请求的请求标识反馈对应的挑战码,在接收到挑战码之后,根据本地密钥分片对挑战码进行联合签名,以生成响应数据。最后再把响应数据发送至应用服务,通过应用服务对响应数据进行数据合法性校验。其中,本地密钥分片为协签服务器反馈的密钥分片。
进一步地,在得到响应数据之后,将响应数据发送至应用服务之后,应用服务对响应数据进行数据合法性校验,以完成联签身份认证,本实施例中可以通过对响应数据的数据结构或数据值等进行校验,还可以采取其他方式进行数据合法性校验,本实施例中对此不加以限制。
本实施例通过将智能终端标识发送至标识管理***;通过所述标识管理***基于所述智能终端标识向协签服务器发送密钥请求;接收所述协签服务器基于所述密钥请求反馈的密钥分片;根据所述密钥分片与所述协签服务器进行协签身份认证,向应用服务发生认证请求;接收所述应用服务根据所述认证请求反馈的挑战码;根据本地密钥分片和所述挑战码生成响应数据,并将所述响应数据发送至所述应用服务;通过所述应用服务对所述响应数据进行数据合法性校验,通过密钥分片和协同签名请求进行合法性校验,以及通过响应数据进行数据合法性校验,提高了协签身份认证和联签身份认证的准确性与效率。
参考图6,图6为本发明一种身份认证方法第三实施例的流程示意图。
基于上述第一实施例或第二实施例,提出本发明一种身份认证方法的第三实施例。
以基于上述第一实施例为例进行说明,在本实施例中,所述步骤S10之前,还包括:
步骤S00:将标识管理***与应用服务进行标识同步。
在具体实施中,在进行身份认证之前,需要保证应用服务中的智能终端标识与标识管理***中的智能终端标识同步。
进一步地,本实施例中可以通过标识密码机生成主密钥、***参数以及标识密钥分量,然后基于预设算法根据所述主密钥、所述***参数以及标识密钥分量将标识管理***与应用服务进行标识同步,其中,预设算法包括密钥生成算法、签名算法以及验证算法中的至少一种,***参数生成算法,基于一个安全参数k,输出***参数和主密钥。其中,***参数是公开的,而主密钥是标识密码机密钥中心生成并加密保存。
在具体实施中,通过密钥生成算法,用***参数、主密钥和ID(姓名、邮箱地址、手机号、身份证号以及IP地址)返回私钥,而ID是公钥,私钥ID则作为解密私钥。进一步地,使用签名算法:输入待签的明文、***公开参数和私钥,生成数字签名,利用***参数和私钥对明文M进行加密,得出密文,即C=Significant(Params,M,PrivateKey,S),其中,C为密文,Params为***公开参数,M为明文,PrivateKey为私钥,S为数字签名。最后进行验证算法:输入数字签名、***公开参数和公钥,输出验证结果,利用***参数和用户公钥对密文C进行解密,得出明文M,即M=Verify(Params,C,ID,S),其中,Params为***公开参数,C为密文,ID包括姓名、邮箱地址、手机号、身份证号以及IP地址等,S为数字签名,通过对明文进行解密,应用服务能够得到ID,也即智能终端标识,从而保证标识管理***与应用服务标识同步。
本实施例通过标识密码机生成主密钥、***参数以及标识密钥分量,基于预设算法根据所述主密钥、所述***参数以及所述标识密钥分量将标识管理***与应用服务进行标识同步,通过保证标识管理***与应用服务标识同步,进一步提升身份认证的准确性。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有身份认证程序,所述身份认证程序被处理器执行时实现如上文所述的身份认证方法的步骤。
由于本存储介质采用了上述所有实施例的全部技术方案,因此至少具有上述实施例的技术方案所带来的所有有益效果,在此不再一一赘述。
参照图7,图7为本发明身份认证装置第一实施例的结构框图。
如图7所示,本发明实施例提出的身份认证装置包括:
认证模块10,用于根据智能终端标识与协签服务器进行协签身份认证。
接收模块20,用于在协签身份认证通过时,获取所述协签服务器反馈的部分签名。
生成模块30,用于根据所述部分签名生成完整签名。
所述认证模块10,还用于根据所述完整签名与应用服务进行联签身份认证。
本实施例通过根据智能终端标识与协签服务器进行协签身份认证;在协签身份认证通过时,获取所述协签服务器反馈的部分签名;根据所述部分签名生成完整签名;根据所述完整签名与应用服务进行联签身份认证,省略了公钥的申请、查询、验证以及交换的环节,无需公钥的发布与查询,提高了认证效率,同时通过协签认证与联签认证,保证了密钥隔离的安全性。
在一实施例中,所述认证模块10,还用于将智能终端标识发送至标识管理***;通过所述标识管理***基于所述智能终端标识向协签服务器发送密钥请求;接收所述协签服务器基于所述密钥请求反馈的密钥分片;根据所述密钥分片与所述协签服务器进行协签身份认证。
在一实施例中,所述认证模块10,还用于加载所述密钥分片,生成对应的签名分片;基于所述签名分片向所述协签服务器发送协同签名请求;通过所述协签服务器对所述协同签名请求进行合法性校验。
在一实施例中,所述接收模块20,还用于通过所述协签服务器将所述协同签名请求转发至标识密码机;通过所述标识密码机根据所述协同签名请求生成部分签名;通过所述协签服务器反馈所述部分签名。
在一实施例中,所述认证模块10,还用于向应用服务发送认证请求;接收所述应用服务根据所述认证请求反馈的挑战码;根据本地密钥分片和所述挑战码生成响应数据,并将所述响应数据发送至所述应用服务;通过所述应用服务对所述响应数据进行数据合法性校验。
在一实施例中,所述身份认证装置还包括同步模块;
所述同步模块,还用于将标识管理***与应用服务进行标识同步;
所述认证模块10,还用于在所述标识管理***与所述应用服务标识同步后,根据智能终端标识与协签服务器进行协签身份认证。
在一实施例中,所述同步模块,还用于通过标识密码机生成主密钥、***参数以及标识密钥分量;基于预设算法根据所述主密钥、所述***参数以及所述标识密钥分量将标识管理***与应用服务进行标识同步。
应当理解的是,以上仅为举例说明,对本发明的技术方案并不构成任何限定,在具体应用中,本领域的技术人员可以根据需要进行设置,本发明对此不做限制。
需要说明的是,以上所描述的工作流程仅仅是示意性的,并不对本发明的保护范围构成限定,在实际应用中,本领域的技术人员可以根据实际的需要选择其中的部分或者全部来实现本实施例方案的目的,此处不做限制。
另外,未在本实施例中详尽描述的技术细节,可参见本发明任意实施例所提供的身份认证方法,此处不再赘述。
此外,需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者***不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者***所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括该要素的过程、方法、物品或者***中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器(Read Only Memory,ROM)/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (6)
1.一种身份认证方法,其特征在于,所述身份认证方法包括:
根据智能终端标识与协签服务器进行协签身份认证;
在协签身份认证通过时,获取所述协签服务器反馈的部分签名;
根据所述部分签名生成完整签名;
根据所述完整签名与应用服务进行联签身份认证;
所述根据智能终端标识与协签服务器进行协签身份认证,包括:
将智能终端标识发送至标识管理***;
通过所述标识管理***基于所述智能终端标识向协签服务器发送密钥请求;
接收所述协签服务器基于所述密钥请求反馈的密钥分片;
根据所述密钥分片与所述协签服务器进行协签身份认证;
所述根据所述完整签名与应用服务进行联签身份认证,包括:
向应用服务发送认证请求;
接收所述应用服务根据所述认证请求反馈的挑战码;
根据本地密钥分片和所述挑战码生成响应数据,并将所述响应数据发送至所述应用服务;
通过所述应用服务对所述响应数据进行数据合法性校验;
所述根据所述密钥分片与所述协签服务器进行协签身份认证,包括:
加载所述密钥分片,生成对应的签名分片;
基于所述签名分片向所述协签服务器发送协同签名请求;
通过所述协签服务器对所述协同签名请求进行合法性校验;
所述在协签身份认证通过时,获取所述协签服务器反馈的部分签名,包括:
通过所述协签服务器将所述协同签名请求转发至标识密码机;
通过所述标识密码机根据所述协同签名请求生成部分签名;
通过所述协签服务器反馈所述部分签名。
2.如权利要求1所述的身份认证方法,其特征在于,所述根据智能终端标识与协签服务器进行协签身份认证之前,还包括:
将标识管理***与应用服务进行标识同步;
在所述标识管理***与所述应用服务标识同步后,执行所述根据智能终端标识与协签服务器进行协签身份认证的步骤。
3.如权利要求2所述的身份认证方法,其特征在于,所述将标识管理***与应用服务进行标识同步,包括:
通过标识密码机生成主密钥、***参数以及标识密钥分量;
基于预设算法根据所述主密钥、所述***参数以及所述标识密钥分量将标识管理***与应用服务进行标识同步。
4.一种身份认证装置,其特征在于,所述身份认证装置包括:
认证模块,用于根据智能终端标识与协签服务器进行协签身份认证;
接收模块,用于在协签身份认证通过时,获取所述协签服务器反馈的部分签名;
生成模块,用于根据所述部分签名生成完整签名;
所述认证模块,还用于根据所述完整签名与应用服务进行联签身份认证;
所述认证模块,还用于将智能终端标识发送至标识管理***;
通过所述标识管理***基于所述智能终端标识向协签服务器发送密钥请求;
接收所述协签服务器基于所述密钥请求反馈的密钥分片;
根据所述密钥分片与所述协签服务器进行协签身份认证;
所述认证模块,还用于向应用服务发送认证请求;
接收所述应用服务根据所述认证请求反馈的挑战码;
根据本地密钥分片和所述挑战码生成响应数据,并将所述响应数据发送至所述应用服务;
通过所述应用服务对所述响应数据进行数据合法性校验;
所述认证模块,还用于加载所述密钥分片,生成对应的签名分片;
基于所述签名分片向所述协签服务器发送协同签名请求;
通过所述协签服务器对所述协同签名请求进行合法性校验;
所述接收模块,还用于通过所述协签服务器将所述协同签名请求转发至标识密码机;
通过所述标识密码机根据所述协同签名请求生成部分签名;
通过所述协签服务器反馈所述部分签名。
5.一种身份认证设备,其特征在于,所述身份认证设备包括:存储器、处理器及存储在所述存储器上并在所述处理器上运行的身份认证程序,所述身份认证程序配置为实现如权利要求1至3中任一项所述的身份认证方法。
6.一种存储介质,其特征在于,所述存储介质上存储有身份认证程序,所述身份认证程序被处理器执行时实现如权利要求1至3任一项所述的身份认证方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210265408.6A CN115378623B (zh) | 2022-03-17 | 2022-03-17 | 身份认证方法、装置、设备及存储介质 |
PCT/CN2023/081762 WO2023174350A1 (zh) | 2022-03-17 | 2023-03-16 | 身份认证方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210265408.6A CN115378623B (zh) | 2022-03-17 | 2022-03-17 | 身份认证方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115378623A CN115378623A (zh) | 2022-11-22 |
CN115378623B true CN115378623B (zh) | 2024-05-07 |
Family
ID=84060223
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210265408.6A Active CN115378623B (zh) | 2022-03-17 | 2022-03-17 | 身份认证方法、装置、设备及存储介质 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN115378623B (zh) |
WO (1) | WO2023174350A1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115378623B (zh) * | 2022-03-17 | 2024-05-07 | ***通信集团有限公司 | 身份认证方法、装置、设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110932850A (zh) * | 2019-11-29 | 2020-03-27 | 杭州安恒信息技术股份有限公司 | 通信加密方法及*** |
CN111953705A (zh) * | 2020-08-20 | 2020-11-17 | 全球能源互联网研究院有限公司 | 物联网身份认证方法、装置及电力物联网身份认证*** |
CN112651036A (zh) * | 2020-12-31 | 2021-04-13 | 厦门亿力吉奥信息科技有限公司 | 基于协同签名的身份认证方法及计算机可读存储介质 |
CN113836506A (zh) * | 2021-09-30 | 2021-12-24 | 奇安信科技集团股份有限公司 | 身份认证方法、装置、***、电子设备、存储介质 |
CN113971274A (zh) * | 2021-12-02 | 2022-01-25 | 国家石油天然气管网集团有限公司 | 一种身份识别方法及装置 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010067433A1 (ja) * | 2008-12-11 | 2010-06-17 | 三菱電機株式会社 | 自己認証通信機器、自己認証検証通信機器、機器認証システム、機器認証システムの機器認証方法、自己認証通信プログラムおよび自己認証検証通信プログラム |
CN106685651A (zh) * | 2016-12-22 | 2017-05-17 | 北京信安世纪科技有限公司 | 一种客户端和服务端协作生成数字签名的方法 |
CN107438005B (zh) * | 2017-06-21 | 2020-01-14 | 深圳奥联信息安全技术有限公司 | Sm9联合数字签名方法和装置 |
CN110035033B (zh) * | 2018-01-11 | 2022-11-25 | 华为技术有限公司 | 密钥分发方法、装置及*** |
US11240025B2 (en) * | 2018-11-09 | 2022-02-01 | Ares Technologies, Inc. | Systems and methods for distributed key storage |
CN114730420A (zh) * | 2019-08-01 | 2022-07-08 | 科恩巴斯公司 | 用于生成签名的***和方法 |
CN111200502B (zh) * | 2020-01-03 | 2023-04-07 | 信安神州科技(广州)有限公司 | 协同数字签名方法和装置 |
CN112906039B (zh) * | 2021-03-26 | 2023-01-06 | 成都卫士通信息产业股份有限公司 | 一种无证书分布式签名方法、装置、介质和电子设备 |
CN115378623B (zh) * | 2022-03-17 | 2024-05-07 | ***通信集团有限公司 | 身份认证方法、装置、设备及存储介质 |
-
2022
- 2022-03-17 CN CN202210265408.6A patent/CN115378623B/zh active Active
-
2023
- 2023-03-16 WO PCT/CN2023/081762 patent/WO2023174350A1/zh unknown
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110932850A (zh) * | 2019-11-29 | 2020-03-27 | 杭州安恒信息技术股份有限公司 | 通信加密方法及*** |
CN111953705A (zh) * | 2020-08-20 | 2020-11-17 | 全球能源互联网研究院有限公司 | 物联网身份认证方法、装置及电力物联网身份认证*** |
CN112651036A (zh) * | 2020-12-31 | 2021-04-13 | 厦门亿力吉奥信息科技有限公司 | 基于协同签名的身份认证方法及计算机可读存储介质 |
CN113836506A (zh) * | 2021-09-30 | 2021-12-24 | 奇安信科技集团股份有限公司 | 身份认证方法、装置、***、电子设备、存储介质 |
CN113971274A (zh) * | 2021-12-02 | 2022-01-25 | 国家石油天然气管网集团有限公司 | 一种身份识别方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
WO2023174350A1 (zh) | 2023-09-21 |
CN115378623A (zh) | 2022-11-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4866863B2 (ja) | セキュリティコード生成方法及びユーザ装置 | |
US8621221B1 (en) | Method and system for event notification for wireless PDA devices | |
CN108924147B (zh) | 通信终端数字证书签发的方法、服务器以及通信终端 | |
US8495383B2 (en) | Method for the secure storing of program state data in an electronic device | |
US20070118735A1 (en) | Systems and methods for trusted information exchange | |
US20110145576A1 (en) | Secure method of data transmission and encryption and decryption system allowing such transmission | |
CN111178884A (zh) | 信息处理方法、装置、设备及可读存储介质 | |
CN107835079A (zh) | 一种基于数字证书的二维码认证方法和设备 | |
CN104917807A (zh) | 资源转移方法、装置和*** | |
CN102075327A (zh) | 一种实现电子钥匙解锁的方法、装置及*** | |
CN112069547A (zh) | 一种供应链责任主体身份认证方法及*** | |
CN103237305A (zh) | 面向移动终端上的智能卡密码保护方法 | |
CN112232814A (zh) | 支付密钥的加密和解密方法、支付认证方法及终端设备 | |
CN113067699A (zh) | 基于量子密钥的数据共享方法、装置和计算机设备 | |
CN110149354A (zh) | 一种基于https协议的加密认证方法和装置 | |
CN110189184A (zh) | 一种电子***存储方法和装置 | |
CN112765626A (zh) | 基于托管密钥授权签名方法、装置、***及存储介质 | |
US6904524B1 (en) | Method and apparatus for providing human readable signature with digital signature | |
CN115378623B (zh) | 身份认证方法、装置、设备及存储介质 | |
CN114143306A (zh) | 基于区块链的投标文件的传递方法及传递装置 | |
CN102739719A (zh) | 用户信息同步方法及其*** | |
JPH0969831A (ja) | 暗号通信システム | |
CN101777980B (zh) | 一种数字证书扩展项信息保护方法 | |
CN114866317B (zh) | 多方的数据安全计算方法、装置、电子设备和存储介质 | |
CN116528230A (zh) | 验证码处理方法、移动终端及可信服务*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |