本发明专利技术涉及一种基于可信设备的用户身份认证方法和装置,所述方法包括:判断当前设备和用户是否完成前置流程且结果为是;如果为否,则设备和用户执行前置流程;与认证服务交互,获取身份认证参数;用户在设备上完成本地身份验证且结果为是;如果为否,则中止整个认证流程;计算用户身份认证凭据;与认证服务交互,提交用户身份认证凭据到认证服务;认证服务验证用户身份认证凭据,返回验证结果。返回验证结果。返回验证结果。
【技术实现步骤摘要】
一种基于可信设备的用户身份认证方法和装置
[0001]本专利技术涉及计算机技术和信息安全领域,具体涉及一种基于可信设备的用户身份认证方法和装置。
技术介绍
[0002]随着计算机技术与互联网技术的发展,个人生活与工作与互联网的关系越来越紧密,在享受互联网带来的便利同时,来自互联网的安全威胁也逐渐增大。
[0003]近年来,各类互联网账号丢失被窃的事件层出不穷,很大程度是由于目前主流的用户身份认证方法还停留在基于用户名
‑
密码的认证手段。用户使用弱口令、重复使用单一密码,加上个别互联网企业被攻破而泄露的用户名
‑
密码信息,导致用户的互联网账号时刻面临严峻的安全风险。
[0004]虽然有些互联网企业通过使用多重因子验证(MFA)保护用户账户信息,降低用户面临的安全风险,但是随着额外验证流程的引入,对用户体验带来很大影响。
[0005]基于此,需要一种能够在不降低用户体验的前提下,还能提供足够安全保障的用户身份认证方法。
技术实现思路
[0006]本说明书一个或多个实施例,实现了一种基于可信设备的用户身份认证方法和装置,提供了一种更加安全、便捷的用户身份认证方案。
[0007]本说明书一个或多个实施例,提供了一种基于可信设备的用户身份认证方法,所述方法包括:
[0008](1)判断当前设备和用户是否完成前置流程且结果为是;如果为否,则设备和用户执行前置流程;
[0009](2)与认证服务交互,获取身份认证参数;
[0010](3)用户在设备上完成本地身份验证且结果为是;如果为否,则结束整个认证流程;
[0011](4)计算用户身份认证凭据;
[0012](5)与认证服务交互,提交用户身份认证凭据到认证服务;
[0013](6)认证服务验证用户身份认证凭据,返回验证结果。
[0014]在一些实施方式中,所述可信设备,其特征为:
[0015](1)可以提供与实时执行环境隔离的可信执行环境的硬件运算模块;
[0016](2)设备可以完全随机生成用于非对称密码学的密钥对,并通过安全机制确保其中的私钥无法离开设备的可信执行环境;
[0017](3)设备完成了所述可信设备注册前置流程。
[0018]在一些实施方式中,所述认证服务,其特征为:与所述可信设备物理隔离的一组逻辑服务,与可信设备之间通过网络进行通信。
[0019]在一些实施方式中,所述身份认证凭据,其特征为:一组用于用户身份认证的数据结构,至少包含了使用用户身份认证材料所计算的所述认证参数对应的数字签名值。
[0020]在一些实施方式中,所述判断当前设备和用户是否完成前置流程,包含以下步骤:
[0021](1)判断当前设备上是否存在设备身份认证密钥对且结果为是;如果为否,则执行可信设备注册流程;
[0022](2)判断当前设备上是否存在用户身份认证密钥对且结果为是;如果为否,则执行用户关联可信设备流程。
[0023]在一些实施方式中,所述的可信设备注册流程,包含以下步骤:
[0024](1)根据自身设备硬件参数,计算设备特征值,生成设备身份认证材料;
[0025](2)与认证服务交互,提交所述生成的设备身份认证材料;
[0026](3)认证服务保存设备特征值和设备身份认证材料
[0027]在一些实施方式中,所述身份认证材料,其特征为:一对通过非对称密码学生成的密钥对,其中公钥可以从设备中导出并提交给认证服务用于身份验证,私钥无法从设备中导出,用于可信设备或用户计算认证凭据。
[0028]在一些实施方式中,所述的用户关联可信设备流程,包含以下步骤:
[0029](1)可信设备采集用户的身份证件信息和用户人脸图像;
[0030](2)接收并保存用户输入的本地身份验证材料,生成用户身份认证材料;
[0031](3)与认证服务交互,提交采集到的用户身份证件信息、用户人脸图像和用户身份认证材料;
[0032](4)认证服务解析用户身份证件信息并比对采集到的用户人脸图像与证件头像相似度,判断相似度是否高于预设阈值且结果为是;如果为否,则中止用户关联可信设备流程;
[0033](5)认证服务保存可信设备与用户身份认证材料的关联关系。
[0034]在一些实施方式中,所述本地身份验证材料,其特征为:为用户所输入的一段个人身份识别码(PIN)或用户本人的生物特征标识,本地身份验证材料仅保存在可信设备内部专用区域。
[0035]本说明书一个或多个实施例,提供了一种基于可信设备的用户身份认证装置,包含以下模块:
[0036](1)证件信息采集模块:为可信设备提供用户证件信息采集功能;
[0037](2)人脸图像采集模块:为可信设备提供用户人脸图像采集功能;
[0038](3)设备密钥管理模块:为可信设备提供用于非对称密码学的密钥生成、使用、导出等功能;
[0039](4)设备管理模块:为可信设备提供设备物理信息采集、设备特征值计算等功能;
[0040](5)本地身份验证模块:为可信设备和用户提供本地身份验证材料的采集、保存,以及本地身份验证的功能;
[0041](6)网络通信模块:为可信设备和认证服务提供网络通信的功能;
[0042](7)可信设备管理模块:为认证服务提供可信设备的注册、认证、用户关联可信设备的功能;
[0043](8)用户认证管理模块:为认证服务提供用户证件信息的解析、人像比对、身份认
证的功能。
附图说明
[0044]图1为本申请实施例提供的基于可信设备的用户身份认证方法的总体流程示意图;
[0045]图2为本申请实施例提供的设备执行前置流程的流程示意图;
[0046]图3为本申请实施例提供的用户执行前置流程的流程示意图;
[0047]图4为本申请实施例提供的第一种认证方法的流程示意图;
[0048]图5为本申请实施例提供的第二种认证方法的流程示意图;
[0049]图6为本申请实施例提供的基于可信设备的用户身份认证装置的结构示意图。
具体实施方式
[0050]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整的描述。显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0051]示例性地,本申请实施例通过客户端/服务端(Client/Server)架构完成对整体技术方案的描述和实现。其中,客户端以应用程序的方式,安装部署在所述可信设备中。服务端以应用程序的方式,部署于与可信设备物理隔离的云服务器中,通过网络接口接收客户端的交互请求。
[0052]图1为本申请实施例提供的基于可信设备的用户身份认证方法的总体流本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于可信设备的用户身份认证方法,包含以下步骤:(1)判断当前设备和用户是否完成前置流程且结果为是;如果为否,则设备和用户执行前置流程;(2)与认证服务交互,获取身份认证参数;(3)用户在设备上完成本地身份验证且结果为是;如果为否,则中止整个认证流程;(4)计算用户身份认证凭据;(5)与认证服务交互,提交用户身份认证凭据到认证服务;(6)认证服务验证用户身份认证凭据,返回验证结果。2.如权利要求1所述的方法,所述可信设备,其特征为:(1)可以提供与实时执行环境隔离的可信执行环境的硬件运算模块;(2)设备可以随机生成用于非对称密码学的密钥对,并通过安全机制确保其中的私钥无法离开设备的可信执行环境;(3)设备完成了所述可信设备注册前置流程。3.如权利要求1所述的方法,所述认证服务,其特征为:与所述可信设备物理隔离的一组逻辑服务,与可信设备之间通过网络进行通信。4.如权利要求1所述的方法,所述身份认证凭据,其特征为:一组用于身份认证的数据结构,至少包含了使用用户身份认证材料所计算的所述认证参数对应的数字签名值。5.如权利要求4所述的流程,所述身份认证材料,其特征为:一对通过非对称密码学生成的密钥对,其中公钥可以从设备中导出并提交给认证服务用于身份验证,私钥无法从设备中导出,用于可信设备或用户计算身份认证凭据。6.如权利要求1所述的方法,所述判断当前设备和用户是否完成前置流程,包含以下步骤:(1)判断当前设备上是否存在设备身份认证密钥对且结果为是;如果为否,则执行可信设备注册流程;(2)判断当前设备上是否存在用户身份认证密钥对且结果为是;如果为否,则执行用户关联可信设备流程。7.如权利要求6所述的可信设备注册流程,包含以下步骤:(1)根据自身设备硬件参数,计...
【专利技术属性】
技术研发人员:肖鑫磊,陈建伟,唐晓玲,曲磊,
申请(专利权)人:令牌云上海科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。