本發(fā)明公開了一種身份認(rèn)證方法，在用戶設(shè)備側(cè)，所述方法包括：使用設(shè)備驗(yàn)證私鑰對(duì)用戶認(rèn)證公鑰進(jìn)行簽名后，連同設(shè)備驗(yàn)證公鑰證書一同發(fā)送給身份認(rèn)證服務(wù)器，以供身份認(rèn)證服務(wù)器使用設(shè)備制造商根公鑰證書對(duì)設(shè)備驗(yàn)證公鑰進(jìn)行驗(yàn)證，然后使用設(shè)備驗(yàn)證公鑰對(duì)簽名數(shù)據(jù)進(jìn)行驗(yàn)簽，再將用戶信息與用戶認(rèn)證公鑰一起發(fā)送給證書管理機(jī)構(gòu)服務(wù)器，以供證書管理機(jī)構(gòu)服務(wù)器根據(jù)用戶信息和用戶認(rèn)證公鑰生成用戶證書，并將用戶證書返回給身份認(rèn)證服務(wù)器保存。該方法通過證書管理機(jī)構(gòu)的背書，提高了身份認(rèn)證的安全性。本發(fā)明還提供了基于該方法的用戶設(shè)備和服務(wù)器。

技術(shù)領(lǐng)域

本發(fā)明涉及認(rèn)證技術(shù)領(lǐng)域，特別是一種引入認(rèn)證中心的身份認(rèn)證方法、用戶設(shè)備和服務(wù)器。

背景技術(shù)

FIDO線上快速身份認(rèn)證標(biāo)準(zhǔn)(以下簡稱FIDO標(biāo)準(zhǔn))是由FIDO聯(lián)盟提出的一個(gè)開放的標(biāo)準(zhǔn)協(xié)議，旨在提供一個(gè)高安全性、跨平臺(tái)兼容性、極佳用戶體驗(yàn)與用戶隱私保護(hù)的在線身份認(rèn)證技術(shù)架構(gòu)。FIDO標(biāo)準(zhǔn)通過集成生物識(shí)別與非對(duì)稱加密兩大技術(shù)來完成用戶身份驗(yàn)證，試圖終結(jié)多年來用戶必須記憶并使用大量復(fù)雜密碼的煩惱。

但是，F(xiàn)IDO的系統(tǒng)架構(gòu)仍然存在著一些安全風(fēng)險(xiǎn)。在FIDO UAF架構(gòu)中，用戶認(rèn)證密鑰是由內(nèi)嵌于客戶端設(shè)備中的認(rèn)證器產(chǎn)生的，用戶私鑰存儲(chǔ)在認(rèn)證器中，用戶公鑰使用認(rèn)證器驗(yàn)證私鑰進(jìn)行簽名后發(fā)送到服務(wù)器端，由服務(wù)器端使用認(rèn)證器驗(yàn)證根證書進(jìn)行驗(yàn)證后，將用戶公鑰存儲(chǔ)在服務(wù)器端數(shù)據(jù)庫中，以完成用戶注冊(cè)的流程。此流程中，F(xiàn)IDO服務(wù)器依賴原有用戶認(rèn)證手段(如口令、短信驗(yàn)證碼等)對(duì)用戶進(jìn)行驗(yàn)證，同時(shí)依賴認(rèn)證器驗(yàn)證機(jī)制來對(duì)設(shè)備進(jìn)行驗(yàn)證。由于認(rèn)證器的驗(yàn)證密鑰并不是每設(shè)備唯一的，導(dǎo)致有可能存在安全風(fēng)險(xiǎn)，如攻擊者偽冒用戶進(jìn)行注冊(cè)。

發(fā)明內(nèi)容

本發(fā)明的目的是為了解決現(xiàn)有FIDO認(rèn)證標(biāo)準(zhǔn)中，用戶在注冊(cè)時(shí)存在的安全風(fēng)險(xiǎn)問題，提供一種身份認(rèn)證方法，以及基于該方法的用戶設(shè)備和服務(wù)器。

第一方面，本發(fā)明提供一種身份認(rèn)證方法，在用戶設(shè)備側(cè)，所述方法包括：

使用設(shè)備驗(yàn)證私鑰對(duì)用戶認(rèn)證公鑰進(jìn)行簽名后，連同設(shè)備驗(yàn)證公鑰證書一同發(fā)送給身份認(rèn)證服務(wù)器，以供身份認(rèn)證服務(wù)器使用設(shè)備制造商根公鑰證書對(duì)設(shè)備驗(yàn)證公鑰進(jìn)行驗(yàn)證，然后使用設(shè)備驗(yàn)證公鑰對(duì)簽名數(shù)據(jù)進(jìn)行驗(yàn)簽，再將用戶信息與用戶認(rèn)證公鑰一起發(fā)送給證書管理機(jī)構(gòu)服務(wù)器，以供證書管理機(jī)構(gòu)服務(wù)器根據(jù)用戶信息和用戶認(rèn)證公鑰生成用戶證書，并將用戶證書返回給身份認(rèn)證服務(wù)器保存。

可選地或優(yōu)選地，所述設(shè)備驗(yàn)證私鑰和設(shè)備驗(yàn)證公鑰預(yù)置在用戶設(shè)備中，所述設(shè)備驗(yàn)證公鑰還經(jīng)過設(shè)備制造商的根私鑰簽發(fā)。

可選地或優(yōu)選地，在所述使用設(shè)備驗(yàn)證私鑰對(duì)用戶認(rèn)證公鑰進(jìn)行簽名之前，所述方法還包括：

在用戶注冊(cè)時(shí)生成用戶認(rèn)證公私鑰對(duì)，并將用戶認(rèn)證私鑰保存在用戶設(shè)備中。

可選地或優(yōu)選地，所述公鑰、私鑰和用戶證書中的至少一種信息被保存在對(duì)應(yīng)設(shè)備的安全存儲(chǔ)區(qū)域中。

可選地或優(yōu)選地，還包括注銷的過程，所述注銷的過程包括：

完成用戶的身份驗(yàn)證后，向身份認(rèn)證服務(wù)器發(fā)起注銷請(qǐng)求，以使得身份認(rèn)證服務(wù)器刪除該用戶的用戶認(rèn)證公鑰證書，并將該證書的識(shí)別碼發(fā)送給證書管理機(jī)構(gòu)服務(wù)器，以供證書管理機(jī)構(gòu)服務(wù)器吊銷該證書，并返回處理結(jié)果；

在收到所述處理結(jié)果后，刪除用戶認(rèn)證私鑰。

第二方面，本發(fā)明提供一種身份認(rèn)證方法，在身份認(rèn)證服務(wù)器側(cè)，所述方法包括：在收到用戶設(shè)備發(fā)送的簽名數(shù)據(jù)和設(shè)備驗(yàn)證公鑰證書后，使用設(shè)備制造商根公鑰證書對(duì)設(shè)備驗(yàn)證公鑰進(jìn)行驗(yàn)證，然后使用設(shè)備驗(yàn)證公鑰對(duì)簽名數(shù)據(jù)進(jìn)行驗(yàn)簽，再將用戶信息與用戶認(rèn)證公鑰一起發(fā)送給證書管理機(jī)構(gòu)服務(wù)器，以供證書管理機(jī)構(gòu)服務(wù)器根據(jù)用戶信息和用戶認(rèn)證公鑰生成用戶證書，并將用戶證書返回給身份認(rèn)證服務(wù)器保存；其中，所述簽名數(shù)據(jù)是使用設(shè)備驗(yàn)證私鑰對(duì)用戶認(rèn)證公鑰進(jìn)行簽名得到的。