一种认证器及其实现方法技术

本发明专利技术公开了一种认证器及其实现方法，属于身份认证技术领域。所述认证器在接收到注册命令时，生成认证密钥对并与注册命令中包含的密钥令牌信息关联保存，根据认证密钥对创建注册断言数据，根据注册断言数据和表示执行成功的状态码组成注册命令响应返回给认证器接口；在接收到签名命令时，根据签名命令中包含的密钥令牌信息得到认证私钥，根据签名命令中包含的交易数据和所述认证私钥创建签名断言数据，根据签名断言数据和表示执行成功的状态码组成签名命令响应返回给认证器接口；所述认证器通过认证器接口与后台服务器交互，在交互过程中认证私钥不会出现在网络传输中，也不需要预先保存在后台服务器，可有效防止认证信息的泄露。

A kind of authenticator and its implementation method

The invention discloses a kind of authenticator and its realization method, which belongs to the field of identity authentication technology. The certification is to register the command when receiving an authentication key is generated on the preservation of key token information association and registered contains in the command, according to the authentication key to create the registered data according to the registered data that assertion, and said execution success code consists of command response back to the registered certification interface; receiving signature command when, according to the key token information contained in the command to get the private key signature authentication, transaction data contains the signature in the command and the authentication key signature creation data according to the assertion, according to the data and execute signature assertion success code consisting of command response back to the signature authentication interface; the authentication device through the authentication device and interface the backstage server interaction in the interactive process of authentication key does not appear in the transmission network, also don't need to be saved in the background service It can effectively prevent the disclosure of authentication information.

【技术实现步骤摘要】
一种认证器及其实现方法
本专利技术涉及身份认证
，尤其涉及一种认证器及其实现方法。
技术介绍
现有技术中，普遍采用的用户身份认证方法有如下两种，一种是用户名和用户密码的静态认证方式，用户名和用户密码这些用作用户身份认证的认证数据需要通过网络上传给后台服务器，这种认证方式的缺陷是：认证数据在网络上传输不安全；另一种是采用动态口令(OTP)的认证方式，这种认证方式的缺陷是：后台服务器需要保存用户的种子和密钥等信息，这些信息一旦泄露则用户的认证信息就泄露了。因此，寻求一种相比静态认证方式和动态认证方式更为安全的认证方法是本专利技术要解决的问题。
技术实现思路
为解决现有技术中的问题，本专利技术提供了一种认证器及其实现方法。本专利技术的技术方案如下：一种认证器的实现方法，包括：步骤S1：认证器接收认证器接口发送的认证命令，并解析所述认证命令；步骤S2：所述认证器根据解析到的命令标签值判断所述认证命令的类型，若是注册命令则执行步骤S3，若是签名命令则执行步骤S4；步骤S3：所述认证器从解析到的命令数据域中获取密钥令牌信息；所述认证器生成认证密钥对，将所述密钥令牌信息与所述认证密钥对关联并保存，根据所述认证密钥对中的认证公钥创建注册数据；使用所述认证密钥对中的认证私钥对所述注册数据计算签名得到注册数据签名值，根据所述注册数据和所述注册数据签名值创建注册断言数据；根据所述注册断言数据和表示执行成功的状态码组成注册命令响应返回给所述认证器接口，返回步骤S1；步骤S4：所述认证器从解析到的命令数据域中获取密钥令牌信息和交易数据，根据所述密钥令牌信息获取与之关联的认证私钥；根据所述交易数据创建待签名数据，使用所述认证私钥对所述待签名数据计算签名得到交易签名值，根据所述待签名数据和所述交易签名值创建签名断言数据；根据所述签名断言数据和表示执行成功的状态码组成签名命令响应返回给所述认证器接口，返回步骤S1。优选的，上述步骤S3具体包括：步骤a1：所述认证器从解析到的命令数据域中获取用户名、断言类型信息和密钥令牌信息；步骤a2：所述认证器生成认证密钥对，根据所述密钥令牌信息、所述认证密钥对中的认证私钥和所述用户名创建原始密钥信息并存储；根据所述认证密钥对中的认证公钥创建注册数据；步骤a3：所述认证器根据所述断言类型信息确定签名密钥，并使用确定的签名密钥对所述注册数据进行签名得到注册数据签名值，根据所述注册数据和所述注册数据签名值创建注册断言数据；根据所述注册断言数据和表示执行成功的状态码组成注册命令响应返回给所述认证器接口，然后返回步骤S1。优选，上述步骤S4具体包括：步骤b1：所述认证器从解析到的命令数据域中获取密钥令牌信息，根据所述密钥令牌信息查找到原始密钥信息；步骤b2：所述认证器判断所述命令数据域中包含的交易数据的类型，若是交易内容则向用户显示所述交易内容，待收到用户确认时对所述交易内容进行哈希计算得到交易哈希值，然后执行步骤b3，若是交易哈希值则直接执行步骤b3；步骤b3：所述认证器根据所述交易哈希值创建待签名数据，使用所述原始密钥信息中包含的认证私钥对所述待签名数据进行签名得到交易签名值，根据所述待签名数据和所述交易签名值创建签名断言数据；根据所述签名断言数据和表示执行成功的状态码组成签名命令响应返回给所述认证器接口，然后返回步骤S1。所述步骤S3与步骤S4之前还包括：所述认证器判断是否已通过生物特征验证，是则直接执行下一步，否则待通过所述生物特征验证之后再执行下一步。进一步的，上述步骤S3还包括：所述认证器随机生成与所述认证密钥对关联的密钥句柄并存储。相应的，所述步骤S4中所述根据所述密钥令牌信息获取与之关联的认证私钥具体为：根据所述密钥令牌信息查找认证器内部存储的与之对应的所有原始密钥信息，若查找到的结果是一个则获取所述原始密钥信息中包含的认证私钥，若查找到的结果大于一个则将查找到的所述原始密钥信息中包含的密钥句柄显示给用户进行选择，根据用户选定的密钥句柄确定唯一的认证私钥；若未查找到则向认证器接口返回表示执行失败的状态码。进一步的，所述步骤S3中所述认证器返回给所述认证器接口的所述注册命令响应中还包含有所述密钥句柄；相应的，所述步骤S4具体为：所述认证器从解析到的命令数据域中获取密钥令牌信息、密钥句柄和交易数据，根据所述密钥令牌信息和所述密钥句柄查找到认证私钥；根据所述交易数据创建待签名数据，使用所述认证私钥对所述待签名数据计算签名得到交易签名值，根据所述待签名数据和所述交易签名值创建签名断言数据；根据所述签名断言数据和表示执行成功的状态码组成签名命令响应返回给所述认证器接口，返回步骤S1。本专利技术提供的一种认证器，包括：接收模块，用于接收认证器接口发送的认证命令，并解析所述认证命令；判断模块，用于根据所述接收模块解析到的命令标签值判断所述认证命令的类型，若是注册命令则触发第一操作模块，若是签名命令则触发第二操作模块；第一操作模块，用于从所述接收模块解析到的命令数据域中获取密钥令牌信息；用于生成认证密钥对，将所述密钥令牌信息与所述认证密钥对关联并保存，用于根据所述认证密钥对中的认证公钥创建注册数据，使用所述认证密钥对中的认证私钥对所述注册数据计算签名得到注册数据签名值，根据所述注册数据和所述注册数据签名值创建注册断言数据；以及用于根据所述注册断言数据和表示执行成功的状态码组成注册命令响应返回给所述认证器接口；第二操作模块，用于从所述接收模块解析到的命令数据域中获取密钥令牌信息和交易数据，根据所述密钥令牌信息获取与之关联的认证私钥；根据所述交易数据创建待签名数据，使用所述认证私钥对所述待签名数据计算签名得到交易签名值，根据所述待签名数据和所述交易签名值创建签名断言数据；以及用于根据所述签名断言数据和表示执行成功的状态码组成签名命令响应返回给所述认证器接口。优选的，本专利技术所述认证器还包括身份验证模块；所述判断模块，具体用于根据所述接收模块解析到的命令标签值判断所述认证命令的类型，若是注册命令或签名命令则触发所述身份验证模块；所述身份验证模块，用于判断是否已通过生物特征验证，是则根据所述判断模块判断得到的认证命令类型触发第一操作模块或第二操作模块，否则触发系统生物特征模块完成生物特征验证操作。所述第一操作模块，还用于随机生成与所述认证密钥对关联的密钥句柄并存储。所述第二操作模块包括：查找单元、签名单元和响应单元；所述查找单元，用于从所述接收模块解析到的命令数据域中获取密钥令牌信息和交易数据；根据所述密钥令牌信息查找认证器内部存储的与之对应的所有原始密钥信息，若查找到的结果是一个则获取所述原始密钥信息中包含的认证私钥，若查找到的结果大于一个则将查找到的所述原始密钥信息中包含的密钥句柄显示给用户进行选择，根据用户选定的密钥句柄确定唯一的认证私钥；若未查找到则生成表示执行失败的状态码并触发响应单元；所述签名单元，用于根据所述查找模块获取的所述交易数据创建待签名数据，使用所述查找模块确定的所述认证私钥对所述待签名数据计算签名得到交易签名值，根据所述待签名数据和所述交易签名值创建签名断言数据，根据所述签名断言数据和表示执行成功的状态码组成签名命令响应；所述响应单元，用于将所述签名单元组成的所述签名命令响应返回给所述认证器接口；本文档来自技高网...

【技术保护点】
一种认证器的实现方法，其特征在于，包括：步骤S1：认证器接收认证器接口发送的认证命令，并解析所述认证命令；步骤S2：所述认证器根据解析到的命令标签值判断所述认证命令的类型，若是注册命令则执行步骤S3，若是签名命令则执行步骤S4；步骤S3：所述认证器从解析到的命令数据域中获取密钥令牌信息；所述认证器生成认证密钥对，将所述密钥令牌信息与所述认证密钥对关联并保存，根据所述认证密钥对中的认证公钥创建注册数据；使用所述认证密钥对中的认证私钥对所述注册数据计算签名得到注册数据签名值，根据所述注册数据和所述注册数据签名值创建注册断言数据；根据所述注册断言数据和表示执行成功的状态码组成注册命令响应返回给所述认证器接口，返回步骤S1；步骤S4：所述认证器从解析到的命令数据域中获取密钥令牌信息和交易数据，根据所述密钥令牌信息获取与之关联的认证私钥；根据所述交易数据创建待签名数据，使用所述认证私钥对所述待签名数据计算签名得到交易签名值，根据所述待签名数据和所述交易签名值创建签名断言数据；根据所述签名断言数据和表示执行成功的状态码组成签名命令响应返回给所述认证器接口，返回步骤S1。

【技术特征摘要】
1.一种认证器的实现方法，其特征在于，包括：步骤S1：认证器接收认证器接口发送的认证命令，并解析所述认证命令；步骤S2：所述认证器根据解析到的命令标签值判断所述认证命令的类型，若是注册命令则执行步骤S3，若是签名命令则执行步骤S4；步骤S3：所述认证器从解析到的命令数据域中获取密钥令牌信息；所述认证器生成认证密钥对，将所述密钥令牌信息与所述认证密钥对关联并保存，根据所述认证密钥对中的认证公钥创建注册数据；使用所述认证密钥对中的认证私钥对所述注册数据计算签名得到注册数据签名值，根据所述注册数据和所述注册数据签名值创建注册断言数据；根据所述注册断言数据和表示执行成功的状态码组成注册命令响应返回给所述认证器接口，返回步骤S1；步骤S4：所述认证器从解析到的命令数据域中获取密钥令牌信息和交易数据，根据所述密钥令牌信息获取与之关联的认证私钥；根据所述交易数据创建待签名数据，使用所述认证私钥对所述待签名数据计算签名得到交易签名值，根据所述待签名数据和所述交易签名值创建签名断言数据；根据所述签名断言数据和表示执行成功的状态码组成签名命令响应返回给所述认证器接口，返回步骤S1。2.根据权利要求1所述的认证器的实现方法，其特征在于，所述步骤S3具体包括：步骤a1：所述认证器从解析到的命令数据域中获取用户名、断言类型信息和密钥令牌信息；步骤a2：所述认证器生成认证密钥对，根据所述密钥令牌信息、所述认证密钥对中的认证私钥和所述用户名创建原始密钥信息并存储；根据所述认证密钥对中的认证公钥创建注册数据；步骤a3：所述认证器根据所述断言类型信息确定签名密钥，并使用确定的签名密钥对所述注册数据进行签名得到注册数据签名值，根据所述注册数据和所述注册数据签名值创建注册断言数据；根据所述注册断言数据和表示执行成功的状态码组成注册命令响应返回给所述认证器接口，然后返回步骤S1。3.根据权利要求2所述的认证器的实现方法，其特征在于，所述步骤a1与步骤a2之间还包括：所述认证器判断是否支持所述断言类型信息，是则执行步骤a2，否则向认证器接口返回表示执行失败的状态码，返回步骤S1。4.根据权利要求2所述的认证器的实现方法，其特征在于，所述步骤a2还包括生成密钥标识；所述步骤a3中所述认证器根据所述断言类型信息确定签名密钥具体为：所述认证器根据所述断言类型信息判断断言类型，若是第一预设类型则确定要使用的签名密钥为所述密钥标识，若是第二预设类型则确定要使用的签名密钥为所述认证密钥对中的认证私钥。5.根据权利要求2所述的认证器的实现方法，其特征在于，所述根据所述密钥令牌信息、所述认证密钥对中的认证私钥和所述用户名创建原始密钥信息并存储具体为：所述认证器根据所述密钥令牌信息、所述认证密钥对中的认证私钥和所述用户名创建原始密钥信息，使用预置系统密钥对创建的所述原始密钥信息进行加密得到原始密钥信息的密文并存储到密钥信息列表中。6.根据权利要求1所述的认证器的实现方法，其特征在于，所述步骤S4具体包括：步骤b1：所述认证器从解析到的命令数据域中获取密钥令牌信息，根据所述密钥令牌信息查找到原始密钥信息；步骤b2：所述认证器判断所述命令数据域中包含的交易数据的类型，若是交易内容则向用户显示所述交易内容，待收到用户确认时对所述交易内容进行哈希计算得到交易哈希值，然后执行步骤b3，若是交易哈希值则直接执行步骤b3；步骤b3：所述认证器根据所述交易哈希值创建待签名数据，使用所述原始密钥信息中包含的认证私钥对所述待签名数据进行签名得到交易签名值，根据所述待签名数据和所述交易签名值创建签名断言数据；根据所述签名断言数据和表示执行成功的状态码组成签名命令响应返回给所述认证器接口，然后返回步骤S1。7.根据权利要求6所述的认证器的实现方法，其特征在于，所述步骤b1具体包括：所述认证器从解析到的命令数据域中获取密钥令牌信息，使用所述密钥令牌信息与所述认证器中存储的密钥信息列表中的原始密钥信息进行比对来筛选原始密钥信息，若筛选到则执行步骤b2，否则向认证器接口返回表示执行失败的状态码，返回步骤S1。8.根据权利要求6所述的认证器的实现方法，其特征在于，所述步骤b1具体包括：所述认证器从解析到的命令数据域中获取密钥令牌信息，使用预置系统密钥对认证器中存储的密钥信息列表中的原始密钥信息进行解密，通过对获取的所述密钥令牌信息和解密出的解密结果进行比对来筛选原始密钥信息，若筛选到则执行步骤b2，否则向认证器接口返回表示执行失败的状态码，返回步骤S1。9.根据权利要求7或8所述的认证器的实现方法，其特征在于，所述若筛选到则执行步骤b2具体包括，若筛选到则判断筛选结果的个数，若等于1则执行步骤b2，否则选定第一个筛选到的原始密钥信息，然后执行步骤b2。10.根据权利要求6所述的认证器的实现方法，其特征在于，步骤b2中所述认证器判断所述命令数据域中包含的交易数据的类型具体为：所述认证器根据所述命令数据域中包含的交易数据标签值判断所述交易数据的类型，若包含有第一预设标签值则表示所述命令数据域中包含的是交易内容，若包含有第二预设标签值则表示所述命令数据域中包含的是交易哈希值。11.根据权利要求1所述的认证器的实现方法，其特征在于，所述步骤S3与步骤S4之前还包括：所述认证器判断是否已通过生物特征验证，是则直接执行下一步，否则待通过所述生物特征验证之后再执行下一步。12.根据权利要求11所述的认证器的实现方法，其特征在于，所述认证器判断是否已通过生物特征验证具体为：所述认证器调用系统生物特征验证接口，根据所述系统生物特征验证接口返回结果判断是否已通过生物特征验证，若已通过则执行所述下一步，否则触发系统生物特征验证接口进行生物特征验证。13.根据权利要求1所述的认证器的实现方法，其特征在于，所述步骤S3还包括：所述认证器随机生成与所述认证密钥对关联的密钥句柄并存储。14.根据权利要求13所述的认证器的实现方法，其特征在于，所述步骤S4中所述根据所述密钥令牌信息获取与之关联的认证私钥具体为：根据所述密钥令牌信息查找认证器内部存储的与之对应的所有原始密钥信息，若查找到的结果是一个则获取所述原始密钥信息中包含的认证私钥，若查找到的结果大于一个则将查找到的所述原始密钥信息中包含的密钥句柄显示给用户进行选择，根据用户选定的密钥句柄确定唯一的认证私钥；若未查找到则向认证器接口返回表示执行失败的状态码。15.根据权利要求13所述的认证器的实现方法，其特征在于，所述步骤S3中所述认证器返回给所述认证器接口的所述注册命令响应中还包含有所述密钥句柄；所述步骤S4具体为：所述认证器从解析到的命令数据域中获取密钥令牌信息、密钥句柄和交易数据，根据所述密钥令牌信息和所述密钥句柄查找到认证私钥；根据所述交易数据创建待签名数据，使用所述认证私钥对所述待签名数据计算签名得到交易签名值，根据所述待签名数据和所述交易签名值创建签名断言数据；根据所述签名断言数据和表示执行成功的状态码组成签名命令响应返回给所述认证器接口，返回步骤S1。16.根据权利要求15所述的认证器的实现方法，其特征在于，所述根据所述密钥令牌信息和所述密钥句柄查找到认证私钥具体为：根据所述密钥令牌信息查找到认证器内部存储的与之对应的所有原始密钥信息，并根据所述密钥句柄对所有原始密钥信息中的认证私钥进行筛选确定唯一的认证私钥。17.一种认证器，其特征在于，包括：接收模块，用于接收认证器接口发送的认证命令，并解析所述认证命令；判断模块，用于根据所述接收模块解析到的命令标签值判断所述认证命令的类型，若是注册命令则触发第一操作模块，若是签名命令则触发第二操作模块；第一操作模块，用于从所述接收模块解析到的命令数据域中获取密钥令牌信息；用于生成认证密钥对，将所述密钥令牌信息与所述认证密钥对关联并保存，用于根据所述认证密钥对中的认证公钥创建注册数据，使用所述认证密钥对中的认证私钥对所述注册数据计算签名得到注册数据签名值，根据所述注册数据和所述注册数据签名值创建注册断言数据；以及用于根据所述注册断言数据和表示执行成功的状态码组成注册命令响应返回给所述认证器接口；第二操作模块，用于从所述接收模块解析到的命令数据域中获取密钥令牌信息和交易数据，根据所述密钥令牌信息获取与之关联的认证私钥；根据所述交易数据创建待签名数据，使用所述认证私钥对所述待签名数据计算签名得到交易签名值，根据所述待签名数据和所述交易签名值创建签名断言数据；以及用于根据所述签名断言数据和表示执行成功的状态码组成签名命令响应返回给所述认证器接口。18.根据权利要求17所述的认证器，其特征在于，所述第一操作模块具体包括获取单元、注册单元、存储单元和发送单元；所述获取单元，用于从所述接收模块解析到的命令数据域中获取用户名、断言类型信息和密钥令牌信息；所述注册单元，用于在所述获取单元获取到所述用户...

【专利技术属性】
技术研发人员：陆舟，于华章，
申请(专利权)人：飞天诚信科技股份有限公司，
类型：发明
国别省市：北京,11