信任设备的注册方法技术

本发明专利技术公开了信任设备的注册方法。包括步骤：（1）向TCA-Server端申请注册QR码，TCA-Server端向指定终端、途径颁发展示给用户；（2）用户使用设备扫描注册QR码；（3）注册QR码合法则页面跳转要求用户创建本地验证生物特征码；（4）设备向SM2国密策略服务器请求加密密钥LCC的生成随机策略，设备根据随机策略生成加密密钥和解密密钥，国密策略服务器生成配套的解密密钥的校验策略并发到TCA-Server端；（5）将生成的解密密钥授权给TCA-Server端；（6）TCA-Server端根据解密密钥的校验策略进行验证，验证成功则保存；（7）注册成功。本发明专利技术的用户身份信息保存在设备端，避免服务端的数据泄露；本发明专利技术即使身份标记被导出，也无法在其他的硬件环境下使用，防止了信息在设备端的泄露。

【技术实现步骤摘要】

本专利技术涉及，属于身份认证领域。
技术介绍
现有的带外身份认证方法中，注册这个环节遵循传统模式，代表用身份的KEY和判定的准则都是由TCA服务端完成的，TCA:Two Channel Authenticat1n，也就是说TCA服务器在注册这个环节中是用户身份标记产生和发放者，同时也是用户身份的判定者，面临的冋题是: (I)在注册过程中，如果通讯被劫持，就可能会将用户的身份标记泄漏出去，导致中间人攻击有效。(2)我们的服务器数据如果泄漏，那么用户的身份标记也可能被冒用，导致服务端攻击有效。(3)违背了实际生活中的原则:我是谁，本人就是最好的标记，生成身份标记的权限应该只有用户自己拥有的，谁可以判定我是谁的权限是用户本人授予的，这也是国际快速网络身份认证的标准FIDO的核心。
技术实现思路
本专利技术的目的在于提供，主要解决带外身份认证流程中注册环节容易造成信息泄露的问题。为了实现上述目的，本专利技术采用的技术方案如下: ，包括步骤:(1)向TCA-Server端申请注册QR码，TCA-Server端向指定终端、途径颁发展示给用户； (2)用户使用设备扫描注册QR码； (3)注册QR码合法则页面跳转要求用户创建本地验证生物特征码； (4)设备向SM2国密策略服务器请求加密密钥LCC的生成随机策略，设备根据随机策略生成加密密钥和解密密钥，SM2国密策略服务器生成配套的解密密钥的校验策略并发到TCA-Server 端； (5)将生成的解密密钥授权给TCA-Server端； (6)TCA-Server端根据解密密钥的校验策略进行验证，验证成功则保存； (7)验证通过则返回注册成功，该设备则成功注册为信任设备。具体地，在扫描注册QR码前，需由权限管理系统添加用户，填写邮箱信息，然后由配置管理系统为用户发送注册QR码到填写的邮箱中，展示给用户。用户还需下载并成功安装APP，由APP来执行扫描注册QR码的操作。进一步地，所述注册QR码内容为TCA-Server端特征码、注册操作记、机构码、账号、注册唯一码、注册QR码生成时间戳。更进一步地，所述步骤(3)注册QR码是否合法的验证流程为: a、由TCA-Server将其特征码使用国密对称算法加密成TCA-Server端特征码标记； b、设备端提前将解密用的KEY硬编码到代码中，然后获取注册QR码中包含的TCA-Server端特征码，解密之后进行验证，若与本设备通讯地址一致那么判断为合法，执行注册流程。再进一步地，生成加密密钥和解密密钥包括三要素，具体为: 1)扫描注册QR码获取到的TCA-Server端特征码； 2)用户创建的本地验证生物特征码，本地验证生物特征码包含声纹、指纹、面部特征信息中的一种或多种； 3)APP自动获取到的设备特征码； TCA-Server端验证通过后保存的信息包括设备信息、账户信息、解密密钥。再进一步地，所述步骤(5)的具体实现过程为: a、安装APP安全组件，随机获取设备信息，设备信息为设备的硬件信息，包括主板信息、CPU信息、内存信息； b、获取成功后，再获取硬件唯一码及用户本地验证生物特征码，然后根据扫描注册QR码获取到的TCA-Server端特征码，请求SM2国密策略服务器，申请本次密钥对生成的随机策略，然后使用该随机策略按照SM2算法生成密钥对，即加密密钥和解密密钥； C、将加密密钥使用用户本地验证生物特征码进行激活锁定处理后，保存到设备本地的KeyStore 中。与现有技术相比，本专利技术具有以下有益效果: (I)本专利技术的用户身份信息保存在设备端，避免TCA-Server端的数据泄露。(2)本专利技术身份标记三维锁定，只有在注册的设备端硬件环境下才有效，同时，锁定了访问的TCA服务器，并且用户需要激活身份标记，进行本地强认证(生物特征，输指纹，面部识别等；软密码；三方硬件)，优势在于即使身份标记被导出，也无法在其他的硬件环境下使用，防止了信息在设备端的泄露。(3)信任的设备代替了传统的账号与密码，真正实现了无账号无密码，不需要记忆，非常适合大规模推广使用。【附图说明】图1为本专利技术的工作流程图。【具体实施方式】下面结合附图和实施例对本专利技术作进一步说明，本专利技术的实施方式包括但不限于下列实施例。现有的注册流程为用户安装好APP，扫描注册QR码发起注册请求: (O提交内容为注册QR码生成时间戳(注册提交时间)+TRC+安装唯一码，之间使用三个连续“:”隔开，时间精确到毫秒，由注册唯一码+注册QR码生成时间戳(生成QR码的时间)进行AES加密成256位的注册信息串，加上注册账号，一起提交注册，加密可以考虑部分信息加密加上部分信息混码的方式； (2)注册QR码内容:TCA(团体字标记):::QR_Scan_Reg (注册标记):::novunda(机构码):::zcr (账号):::AcXti! t6-9 (注册唯一码):::注册QR码生成时间戳(该时间是生成注册QR码的时间)； (3)TCA-Server使用账号信息从数据库查询出注册唯一码和注册QR码生成时间戳，进行解密；再使用安装唯一码解密TRC，对注册信息进行验证； (4)TCA-Server使用TRC+注册QR码生成时间戳(注册提交时间)，加密账号信息生成256位私钥； (5)TCA-Server将私钥响应给智能终端系统，预存注册信息； (6)智能终端系统使用TRC+注册QR码生成时间戳(注册提交时间)，解密私钥作为验证，通过后，使用PIN码加密保存私钥，再发起注册确认请求，确认请求的内容为:账号:::successful，使用私钥进行加密； (7)服务端使用私钥解密得到确认注册请求后，将注册信息从预存表中转到正式表中保存账号信息、设备信息、私钥信息，返回注册成功信息到智能终端系统，注册成功； 注册智能终端系统与注册服务器使用socket通信，防止被截获串改，上述:::为具体的内容信息。实施例如图1所示，如下: (O由权限管理系统添加用户，填写邮箱信息； (2)在配置管理系统的“注册管理”中点击“激活”，为用户发送注册QR码到填写的邮箱中； (3)用户设备在安装了APP后，点击“信任设备注册”，扫描注册QR码，并获取设备特征码； (4)注册QR码合法则APP页面跳转，要求用户创建本地验证生物特征码(10S8.3及以上)； (5)设备向SM2国密策略服务器请求加密密钥LCC的生成随机策略，设备根据随机策略生成加密密钥和解密密钥，SM2策略服务器生成配套的解密密钥当前第1页1 2 本文档来自技高网...

【技术保护点】
信任设备的注册方法，其特征在于，包括步骤：（1）向TCA‑Server端申请注册QR码，TCA‑Server端向指定终端、途径颁发展示给用户；（2）用户使用设备扫描注册QR码；（3）注册QR码合法则页面跳转要求用户创建本地验证生物特征码；（4）设备向SM2国密策略服务器请求加密密钥LCC的生成随机策略，设备根据随机策略生成加密密钥和解密密钥，SM2国密策略服务器生成配套的解密密钥的校验策略并发到TCA‑Server端；（5）将生成的解密密钥授权给TCA‑Server端；（6）TCA‑Server端根据解密密钥的校验策略进行验证，验证成功则保存；（7）验证通过后返回注册成功，该设备则成功注册为信任设备。

【技术特征摘要】

【专利技术属性】
技术研发人员：胥寅，张采荣，
申请(专利权)人：四川省宁潮科技有限公司，
类型：发明
国别省市：四川;51