身份认证方法、终端设备、认证设备、授权设备及介质技术

本公开是关于一种身份认证方法、终端设备、认证设备、授权设备及介质。该身份认证方法包括：获取所述授权设备发送的授权数据；接收所述认证设备发送的身份认证请求数据；基于所述终端设备生成的第一随机数、所述终端设备生成的设备私钥、所述授权数据和所述身份认证请求数据，生成所述终端设备的校验数据；向所述认证设备发送所述校验数据；其中，所述校验数据用于所述认证设备确定所述终端设备的身份是否合法。通过本公开实施例不仅能够降低因多个终端设备共用公钥导致的泄露风险大的情况，还能够降低从设备公钥追溯终端设备身份的情况，实现抗公钥追溯的目的。实现抗公钥追溯的目的。实现抗公钥追溯的目的。

【技术实现步骤摘要】
身份认证方法、终端设备、认证设备、授权设备及介质


[0001]本公开涉及信息安全
，尤其涉及一种身份认证方法、终端设备、认证设备、授权设备及介质。

技术介绍

[0002]授权设备给终端设备签发包含有公钥和私钥的设备证书。在认证设备认证终端设备的身份时，公钥和私钥具有成对性，利用设备证书的公钥便可验证终端设备的身份。由于公钥具有唯一性，可以唯一映射到终端设备，因此很容易通过公钥进行反向追踪。
[0003]为了抗公钥追踪，现有方案采用多个终端设备共用一个设备证书。例如，谷歌(google)设计密钥箱(keybox)应用时，要求手机制造商至少每10万台手机注入同一个设备证书，如此keybox应用无法根据公钥唯一映射到一个手机，进而实现了抗公钥追踪的目的。然而，多个终端设备共用一个设备证书即“多机一密”会导致一台终端设备的公钥泄露，与其采用同一套设备证书的终端设备也会被泄露，使得在抗公钥的基础上存在泄露风险大的问题。

技术实现思路

[0004]本公开提供一种身份认证方法、终端设备、认证设备、授权设备及介质。
[0005]根据本公开实施例的第一方面，提供一种身份认证方法，应用于终端设备，所述终端设备与认证设备建立有通信，所述终端设备与授权设备建立有通信；所述方法包括：
[0006]获取所述授权设备发送的授权数据；
[0007]接收所述认证设备发送的身份认证请求数据；
[0008]基于所述终端设备生成的第一随机数、所述终端设备生成的设备私钥、所述授权数据和所述身份认证请求数据，生成所述终端设备的校验数据；
[0009]向所述认证设备发送所述校验数据；其中，所述校验数据用于所述认证设备确定所述终端设备的身份是否合法。
[0010]在一些实施例中，所述基于所述终端设备生成的第一随机数、所述授权数据和所述身份认证请求数据，生成校验数据，包括：
[0011]基于所述第一随机数和所述授权数据，确定第一坐标数据和第二坐标数据；
[0012]基于所述设备私钥、所述第一随机数、所述授权数据、所述第二坐标数据、所述身份认证请求数据和所述第一坐标数据，确定第一模数据、临时公钥和临时签名；
[0013]基于所述第一坐标数据中的横坐标、所述第一模数据、所述第二坐标数据的横坐标、所述临时签名、所述临时公钥，形成所述校验数据。
[0014]在一些实施例中，所述授权数据包括授权坐标数据，所述基于所述第一随机数和所述授权数据，确定第一坐标数据和第二坐标数据，包括：
[0015]基于所述第一随机数的第一子随机数和所述授权坐标数据，确定所述第一坐标数据；
[0016]基于所述第一随机数的第二子随机数和预设基点，确定所述第二坐标数据。
[0017]在一些实施例中，所述授权数据包括授权坐标数据以及第二模数据；
[0018]所述基于所述设备私钥、所述第一随机数、所述授权数据、所述第二坐标数据、所述身份认证请求数据和所述第一坐标数据，确定第一模数据、临时公钥和临时签名，包括：
[0019]对第一坐标数据的横坐标和所述授权坐标数据的横坐标进行模运算，得到第三模数据；
[0020]对所述第三模数据、所述第一随机数的第一子随机数以及所述第二模数据进行模运算，得到所述第一模数据；
[0021]基于所述第三模数据、所述设备私钥以及预设基点，确定所述临时公钥；
[0022]基于所述第三模数据、所述第一随机数的第二子随机数、所述身份认证请求数据、所述设备私钥以及所述第二坐标数据的横坐标，确定所述临时签名。
[0023]根据本公开实施例的第二方面，提供一种身份认证方法，应用于认证设备，所述认证设备与终端设备建立通信，所述认证设备与授权设备建立通信，所述方法包括：
[0024]获取所述授权设备发送的授权公钥；
[0025]向所述终端设备发送身份认证请求数据；
[0026]接收所述终端设备基于所述身份认证请求数据返回的校验数据；
[0027]基于所述授权公钥、所述身份认证请求数据和所述校验数据，确定所述终端设备的身份是否合法。
[0028]在一些实施例中，所述基于所述授权公钥、所述身份认证请求数据和所述校验数据，确定所述终端设备的身份是否合法，包括：
[0029]基于所述授权公钥、所述校验数据中的第一模数据、所述校验数据中的临时公钥以及所述校验数据中的第一坐标数据的横坐标，获取第三坐标数据；
[0030]基于所述身份认证请求数据、所述校验数据中的第二坐标数据的横坐标、所述校验数据的临时公钥、预设基点和所述校验数据的临时签名的模逆，获取第四坐标数据；
[0031]在所述第三坐标数据的横坐标等于所述第一坐标数据的横坐标，且所述第四坐标数据的横坐标等于所述第二坐标数据的横坐标时，确定所述终端设备的身份为合法身份。
[0032]根据本公开实施例的第三方面，提供一种身份认证方法，应用于授权设备，所述授权设备与终端设备建立有通信，所述授权设备与认证设备建立有通信，所述方法还包括：
[0033]接收所述终端设备发送的设备私钥；
[0034]基于所述授权设备生成的授权私钥、所述授权设备生成的第二随机数和所述设备私钥，确定授权数据；
[0035]向所述终端设备发送所述授权数据。
[0036]在一些实施例中，所述基于所述授权设备生成的授权私钥、所述授权设备生成的第二随机数和所述设备私钥，确定授权数据，包括：
[0037]基于所述第二随机数和预设基点，确定授权坐标数据；
[0038]基于所述授权私钥、所述设备私钥、所述授权坐标数据的横坐标以及第二随机数的模逆，确定第二模数据；
[0039]基于所述授权坐标数据和所述第二模数据，形成所述授权数据。
[0040]在一些实施例中，所述方法还包括：
[0041]向所述认证设备发送所述授权设备生成的授权公钥。
[0042]根据本公开实施例的第四方面，提供一种终端设备，所述终端设备分别与认证设备和授权设备建立有通信，所述终端设备包括：
[0043]第一获取模块，配置为获取所述授权设备发送的授权数据；
[0044]第一接收模块，配置为接收所述认证设备发送的身份认证请求数据；
[0045]生成模块，配置为基于所述终端设备生成的第一随机数、所述终端设备生成的设备私钥、所述授权数据和所述身份认证请求数据，生成所述终端设备的校验数据；
[0046]第一发送模块，配置为向所述认证设备发送所述校验数据；其中，所述校验数据用于所述认证设备确定所述终端设备的身份是否合法。
[0047]在一些实施例中，所述生成模块，包括：
[0048]第一确定模块，配置为基于所述第一随机数和所述授权数据，确定第一坐标数据和第二坐标数据；
[0049]第二确定模块，配置为基于所述设备私钥、所述第一随机数、所述授权数据、所述第二坐标数据、所述身份认证请求数据和所述本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种身份认证方法，其特征在于，应用于终端设备，所述终端设备与认证设备建立有通信，所述终端设备与授权设备建立有通信；所述方法包括：获取所述授权设备发送的授权数据；接收所述认证设备发送的身份认证请求数据；基于所述终端设备生成的第一随机数、所述终端设备生成的设备私钥、所述授权数据和所述身份认证请求数据，生成所述终端设备的校验数据；向所述认证设备发送所述校验数据；其中，所述校验数据用于所述认证设备确定所述终端设备的身份是否合法。2.根据权利要求1所述的方法，其特征在于，所述基于所述终端设备生成的第一随机数、所述授权数据和所述身份认证请求数据，生成校验数据，包括：基于所述第一随机数和所述授权数据，确定第一坐标数据和第二坐标数据；基于所述设备私钥、所述第一随机数、所述授权数据、所述第二坐标数据、所述身份认证请求数据和所述第一坐标数据，确定第一模数据、临时公钥和临时签名；基于所述第一坐标数据中的横坐标、所述第一模数据、所述第二坐标数据的横坐标、所述临时签名、所述临时公钥，形成所述校验数据。3.根据权利要求2所述的方法，其特征在于，所述授权数据包括授权坐标数据，所述基于所述第一随机数和所述授权数据，确定第一坐标数据和第二坐标数据，包括：基于所述第一随机数的第一子随机数和所述授权坐标数据，确定所述第一坐标数据；基于所述第一随机数的第二子随机数和预设基点，确定所述第二坐标数据。4.根据权利要求2所述的方法，其特征在于，所述授权数据包括授权坐标数据和第二模数据；所述基于所述设备私钥、所述第一随机数、所述授权数据、所述第二坐标数据、所述身份认证请求数据和所述第一坐标数据，确定第一模数据、临时公钥和临时签名，包括：对第一坐标数据的横坐标和所述授权坐标数据的横坐标进行模运算，得到第三模数据；对所述第三模数据、所述第一随机数的第一子随机数以及所述第二模数据进行模运算，得到所述第一模数据；基于所述第三模数据、所述设备私钥以及预设基点，确定所述临时公钥；基于所述第三模数据、所述第一随机数的第二子随机数、所述身份认证请求数据、所述设备私钥以及所述第二坐标数据的横坐标，确定所述临时签名。5.一种身份认证方法，其特征在于，应用于认证设备，所述认证设备与终端设备建立通信，所述认证设备与授权设备建立通信，所述方法包括：获取所述授权设备发送的授权公钥；向所述终端设备发送身份认证请求数据；接收所述终端设备基于所述身份认证请求数据返回的校验数据；基于所述授权公钥、所述身份认证请求数据和所述校验数据，确定所述终端设备的身份是否合法。6.根据权利要求5所述的方法，其特征在于，所述基于所述授权公钥、所述身份认证请求数据和所述校验数据，确定所述终端设备的身份是否合法，包括：
基于所述授权公钥、所述校验数据中的第一模数据、所述校验数据中的临时公钥以及所述校验数据中的第一坐标数据的横坐标，获取第三坐标数据；基于所述身份认证请求数据、所述校验数据中的第二坐标数据的横坐标、所述校验数据的临时公钥、预设基点和所述校验数据的临时签名的模逆，获取第四坐标数据；在所述第三坐标数据的横坐标等于所述第一坐标数据的横坐标，且所述第四坐标数据的横坐标等于所述第二坐标数据的横坐标时，确定所述终端设备的身份为合法身份。7.一种身份认证方法，其特征在于，应用于授权设备，所述授权设备与终端设备建立有通信，所述授权设备与认证设备建立有通信，所述方法还包括：接收所述终端设备发送的设备私钥；基于所述授权设备生成的授权私钥、所述授权设备生成的第二随机数和所述设备私钥，确定授权数据；向所述终端设备发送所述授权数据。8.根据权利要求7所述的方法，其特征在于，所述基于所述授权设备生成的授权私钥、所述授权设备生成的第二随机数和所述设备私钥，确定授权数据，包括：基于所述第二随机数和预设基点，确定授权坐标数据；基于所述授权私钥、所述设备私钥、所述授权坐标数据的横坐标以及第二随机数的模逆，确定第二模数据；基于所述授权坐标数据和所述第二模数据，形成所述授权数据。9.根据权利要求7所述的方法，其特征在于，所述方法还包括：向所述认证设备发送所述授权设备生成的授权公钥。10.一种终端设备，其特征在于，所述终端设备分别与认证设备和授权设备建立有通信，所述终端设备包括：第一获取模块，配置为获取所述授权设备发送的授权数据；第一接收模块，配置为接收所述认证设备发送的身份认证请求数据；生成模块，配置为基于所述终端设备生成的第一随机数、所述终端设备生成的设备私钥、所述授权数据和所述身份认证请求数据，生成所述终端设备的校验数据；第一发送模块，配置为向所述认证设备发送所述校验数据；其中，所述校验数据用于所述认证设备确定所述终端设备的...

【专利技术属性】
技术研发人员：薛升俊，杨新乐，
申请(专利权)人：北京小米移动软件有限公司，
类型：发明
国别省市：