申请/专利权人：中国银联股份有限公司

申请日：2016-12-23

公开（公告）日：2020-05-22

公开（公告）号：CN106961417B

主分类号：H04L29/06(20060101)

分类号：H04L29/06(20060101);H04L9/14(20060101)

优先权：

专利状态码：有效-授权

法律状态：2020.05.22#授权;2017.08.11#实质审查的生效;2017.07.18#公开

摘要：本发明提出了基于密文的身份验证方法，其包括：数据处理服务器周期性地或基于请求向用户的移动终端推送一个或多个第一限制密钥和一个或多个第二限制密钥；在用户通过移动终端发起安全性信息交互过程时，驻留于移动终端上的安全性应用使用所述一个或多个第一限制密钥中的一个生成应用密文，并使用所述一个或多个第二限制密钥中的一个生成用户密文，随之将所述应用密文和用户密文发送至安全性信息交互终端；安全性信息交互终端在接收到应用密文和用户密文后构建安全性信息交互请求，并将安全性信息交互请求发送至数据处理服务器以进行后续的安全性信息交互过程。本发明所公开的方法具有增强的安全性并且使用便捷。

主权项：1.一种基于密文的身份验证方法，所述基于密文的身份验证方法包括下列步骤：（A1）数据处理服务器周期性地或基于请求向用户的移动终端推送一个或多个第一限制密钥和一个或多个第二限制密钥，其中，所述一个或多个第二限制密钥中的每个与所述用户的个人密码相关联；（A2）在用户通过所述移动终端发起安全性信息交互过程时，驻留于所述移动终端上的安全性应用使用所述一个或多个第一限制密钥中的一个生成应用密文，并使用所述一个或多个第二限制密钥中的一个生成用户密文，随之将所述应用密文和用户密文发送至安全性信息交互终端，其中，所述应用密文和所述用户密文均包含所述安全性信息交互过程所需的业务明细数据；（A3）所述安全性信息交互终端在接收到所述应用密文和所述用户密文后构建安全性信息交互请求，并将所述安全性信息交互请求发送至所述数据处理服务器以进行后续的安全性信息交互过程。

全文数据：基于密文的身份验证方法技术领域[0001]本发明涉及身份验证方法，更具体地，涉及基于密文的身份验证方法。背景技术[0002]目前，随着计算机和网络应用的日益广泛以及不同领域的业务种类的日益丰富，利用移动终端实施安全性信息交互过程（即对安全性要求较高的数据交互过程，例如金融领域中的支付交易变得越来越重要。[0003]在现有的技术方案中，在实施实际的安全性信息交互过程之前典型地需要完成用户的身份验证操作，并且仅在身份验证成功的情况下发起安全性信息交互请求例如包含支付订单的支付请求），通常采用如下两种身份验证方式：（1用户在安全性信息交互终端例如商户P0S机上输入个人密码PIN，随后安全性信息交互终端发起联机形式的身份验证过程；（2用户通过私有的移动终端例如手机输入个人密码PIN并经由互联网将所述个人密码发送至相关的身份验证服务器进行远程身份验证或者由驻留于移动终端中的特定物理环境TEE或SE下的数据处理单元进行本地身份验证。[0004]然而，上述现有的技术方案存在如下问题：（1由于需要在实施实际的安全性信息交互过程之前在安全性信息交互终端上输入个人密码，故存在个人密码被恶意使用的潜在风险；（2由于仅在身份验证成功的情况下发起安全性信息交互请求，故存在被非法窃听和攻击的潜在风险；（3由于需要使用特定的安全单元或者经由公共互联网通道，故成本较高且使用不便。[0005]因此，存在如下需求:提供具有增强的安全性并且使用便捷的基于密文的身份验证方法。发明内容[0006]为了解决上述现有技术方案所存在的问题，本发明提出了具有增强的安全性并且使用便捷的基于密文的身份验证方法。[0007]本发明的目的是通过以下技术方案实现的：一种基于密文的身份验证方法，所述基于密文的身份验证方法包括下列步骤：A1数据处理服务器周期性地或基于请求向用户的移动终端推送一个或多个第一限制密钥和一个或多个第二限制密钥，其中，所述一个或多个第二限制密钥中的每个与所述用户的个人密码相关联；A2在用户通过所述移动终端发起安全性信息交互过程时，驻留于所述移动终端上的安全性应用使用所述一个或多个第一限制密钥中的一个生成应用密文，并使用所述一个或多个第二限制密钥中的一个生成用户密文，随之将所述应用密文和用户密文发送至安全性信息交互终端，其中，所述应用密文和所述用户密文均包含所述安全性信息交互过程所需的业务明细数据；A3所述安全性信息交互终端在接收到所述应用密文和所述用户密文后构建安全性信息交互请求，并将所述安全性信息交互请求发送至所述数据处理服务器以进行后续的安全性信息交互过程。[0008]在上面所公开的方案中，优选地，所述步骤A1进一步包括:所述数据处理服务器周期性地基于同一个主密钥以及应用计数器的值以分散的方式生成第一限制密钥和第二限制密钥，其中，一个应用计数器的值对应于相关联的一个第一限制密钥和一个第二限制密钥。[0009]在上面所公开的方案中，优选地，所述步骤A1进一步包括:所述数据处理服务器在将所述第二限制密钥发送至所述移动终端时使用用户的个人密码对所述第二限制密钥进行逐位的异或运算，并将经异或运算处理的第二限制密钥发送至所述移动终端。[0010]在上面所公开的方案中，优选地，所述步骤A2进一步包括:在驻留于所述移动终端上的安全性应用使用与当前应用计数器的值相对应的经异或运算处理的第二限制密钥生成用户密文时，其指示用户输入个人密码并使用用户输入的个人密码对所述经异或运算处理的第二限制密钥进行反向的逐位异或运算以获得未经异或运算处理的第二限制密钥，并随之使用所述未经异或运算处理的第二限制密钥生成所述用户密文。[0011]在上面所公开的方案中，优选地，一个第一限制密钥和一个与其相关联的第二限制密钥仅在与一个应用计数器的值相对应的一次数据交互过程中有效。[0012]在上面所公开的方案中，优选地，所述步骤A3进一步包括:在接收到所述安全性信息交互请求后，所述数据处理服务器使用与生成所述第一限制密钥和所述第二限制密钥相同的方式再次生成与当前应用计数器的值对应的第一限制密钥和第二限制密钥，并分别使用再次生成的第一限制密钥和第二限制密钥以及基于所述安全性信息交互请求中的业务明细数据生成应用密文和用户密文，随之将生成的应用密文和用户密文各自与所述安全性信息交互请求中所包含的应用密文和用户密文相比较，如果应用密文一致，则判定所述移动终端是合法的设备，如果用户密文一致，则判定用户的身份验证成功，并且所述数据处理服务器随后基于判定结果执行后续的安全性信息交互过程。[0013]本发明所公开的基于密文的身份验证方法具有以下优点：（1由于在实施实际的安全性信息交互过程之前无需在外部的安全性信息交互终端上输入个人密码，故具有增强的安全性；（2由于能够在身份验证之前发起安全性信息交互请求，故可以避免被非法窃听和攻击的潜在风险；（3由于不需要使用特定的安全单元或者经由公共互联网通道，故成本较低且使用便捷。附图说明[0014]结合附图，本发明的技术特征以及优点将会被本领域技术人员更好地理解，其中：图1是根据本发明的实施例的基于密文的身份验证方法的流程图。具体实施方式[0015]图1是根据本发明的实施例的基于密文的身份验证方法的流程图。如图1所示，本发明所公开的基于密文的身份验证方法包括下列步骤：（A1数据处理服务器例如金融服务提供方的云端服务器周期性地或基于请求向用户的移动终端例如智能手机推送一个或多个第一限制密钥和一个或多个第二限制密钥，其中，所述一个或多个第二限制密钥中的每个与所述用户的个人密码相关联；（A2在用户通过所述移动终端发起安全性信息交互过程时，驻留于所述移动终端上的安全性应用使用所述一个或多个第一限制密钥中的一个生成应用密文，并使用所述一个或多个第二限制密钥中的一个生成用户密文，随之将所述应用密文和用户密文发送至安全性信息交互终端（例如商户KS机或商户应用APP，其中，所述应用密文和所述用户密文均包含所述安全性信息交互过程所需的业务明细数据例如支付交易的明细信息）；（A3所述安全性信息交互终端在接收到所述应用密文和所述用户密文后构建安全性信息交互请求，并将所述安全性信息交互请求发送至所述数据处理服务器以进行后续的安全性信息交互过程。[0016]优选地，在本发明所公开的基于密文的身份验证方法中，所述步骤A1进一步包括：所述数据处理服务器周期性地基于同一个主密钥（例如发卡方密钥）以及应用计数器即ATC，驻留于移动终端中的每个应用具有与其相关联的唯一的一个应用计数器，该应用每进行一次数据交互，与其相关联的应用计数器的值加1的值以分散的方式生成第一限制密钥和第二限制密钥，其中，一个应用计数器的值对应于相关联的一个第一限制密钥和一个第二限制密钥。[0017]优选地，在本发明所公开的基于密文的身份验证方法中，所述步骤A1进一步包括:所述数据处理服务器在将所述第二限制密钥发送至所述移动终端时使用用户的个人密码（即PIN，其在初始注册时与驻留于所述移动终端上的安全性应用相绑定对所述第二限制密钥进行逐位的异或运算，并将经异或运算处理的第二限制密钥发送至所述移动终端。[0018]优选地，在本发明所公开的基于密文的身份验证方法中，所述步骤A2进一步包括:在驻留于所述移动终端上的安全性应用使用与当前应用计数器的值相对应的经异或运算处理的第二限制密钥生成用户密文时，其指示用户输入个人密码PIN并使用用户输入的个人密码PIN对所述经异或运算处理的第二限制密钥进行反向的逐位异或运算以获得未经异或运算处理的第二限制密钥，并随之使用所述未经异或运算处理的第二限制密钥生成所述用户密文。[0019]优选地，在本发明所公开的基于密文的身份验证方法中，一个第一限制密钥和一个与其相关联的第二限制密钥仅在与一个应用计数器的值相对应的一次数据交互过程中有效。[0020]优选地，在本发明所公开的基于密文的身份验证方法中，所述步骤A3进一步包括:在接收到所述安全性信息交互请求后，所述数据处理服务器使用与生成所述第一限制密钥和所述第二限制密钥相同的方式再次生成与当前应用计数器的值对应的第一限制密钥和第二限制密钥，并分别使用再次生成的第一限制密钥和第二限制密钥以及基于所述安全性信息交互请求中的业务明细数据生成应用密文和用户密文，随之将生成的应用密文和用户密文各自与所述安全性信息交互请求中所包含的应用密文和用户密文相比较，如果应用密文一致，则判定所述移动终端是合法的设备，如果用户密文一致，则判定用户的身份验证成功，并且所述数据处理服务器随后基于判定结果执行后续的安全性信息交互过程例如，在应用密文一致而用户密文不一致的情况下，数据处理服务器可以设置相关的错误发生计数器，即当用户密文验证错误发生的次数超过一定阈值后可以拒绝后续的安全性信息交互过程的执行）。[0021]由上可见，本发明所公开的基于密文的身份验证方法具有下列优点：（1由于在实施实际的安全性信息交互过程之前无需在外部的安全性信息交互终端上输入个人密码，故具有增强的安全性；（2由于能够在身份验证之前发起安全性信息交互请求，故可以避免被非法窃听和攻击的潜在风险；（3由于不需要使用特定的安全单元或者经由公共互联网通道，故成本较低且使用便捷。[0022]尽管本发明是通过上述的优选实施方式进行描述的，但是其实现形式并不局限于上述的实施方式。应该认识到:在不脱离本发明主旨和范围的情况下，本领域技术人员可以对本发明做出不同的变化和修改。

权利要求：1.一种基于密文的身份验证方法，所述基于密文的身份验证方法包括下列步骤：A1数据处理服务器周期性地或基于请求向用户的移动终端推送一个或多个第一限制密钥和一个或多个第二限制密钥，其中，所述一个或多个第二限制密钥中的每个与所述用户的个人密码相关联；A2在用户通过所述移动终端发起安全性信息交互过程时，驻留于所述移动终端上的安全性应用使用所述一个或多个第一限制密钥中的一个生成应用密文，并使用所述一个或多个第二限制密钥中的一个生成用户密文，随之将所述应用密文和用户密文发送至安全性信息交互终端，其中，所述应用密文和所述用户密文均包含所述安全性信息交互过程所需的业务明细数据；A3所述安全性信息交互终端在接收到所述应用密文和所述用户密文后构建安全性信息交互请求，并将所述安全性信息交互请求发送至所述数据处理服务器以进行后续的安全性信息交互过程。2.根据权利要求1所述的基于密文的身份验证方法，其特征在于，所述步骤A1进一步包括:所述数据处理服务器周期性地基于同一个主密钥以及应用计数器的值以分散的方式生成第一限制密钥和第二限制密钥，其中，一个应用计数器的值对应于相关联的一个第一限制密钥和一个第二限制密钥。3.根据权利要求2所述的基于密文的身份验证方法，其特征在于，所述步骤A1进一步包括:所述数据处理服务器在将所述第二限制密钥发送至所述移动终端时使用用户的个人密码对所述第二限制密钥进行逐位的异或运算，并将经异或运算处理的第二限制密钥发送至所述移动终端。4.根据权利要求3所述的基于密文的身份验证方法，其特征在于，所述步骤A2进一步包括:在驻留于所述移动终端上的安全性应用使用与当前应用计数器的值相对应的经异或运算处理的第二限制密钥生成用户密文时，其指示用户输入个人密码并使用用户输入的个人密码对所述经异或运算处理的第二限制密钥进行反向的逐位异或运算以获得未经异或运算处理的第二限制密钥，并随之使用所述未经异或运算处理的第二限制密钥生成所述用户密文。5.根据权利要求4所述的基于密文的身份验证方法，其特征在于，一个第一限制密钥和一个与其相关联的第二限制密钥仅在与一个应用计数器的值相对应的一次数据交互过程中有效。6.根据权利要求5所述的基于密文的身份验证方法，其特征在于，所述步骤A3进一步包括:在接收到所述安全性信息交互请求后，所述数据处理服务器使用与生成所述第一限制密钥和所述第二限制密钥相同的方式再次生成与当前应用计数器的值对应的第一限制密钥和第二限制密钥，并分别使用再次生成的第一限制密钥和第二限制密钥以及基于所述安全性信息交互请求中的业务明细数据生成应用密文和用户密文，随之将生成的应用密文和用户密文各自与所述安全性信息交互请求中所包含的应用密文和用户密文相比较，如果应用密文一致，则判定所述移动终端是合法的设备，如果用户密文一致，则判定用户的身份验证成功，并且所述数据处理服务器随后基于判定结果执行后续的安全性信息交互过程。

百度查询： 中国银联股份有限公司 基于密文的身份验证方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD