一種基于tee的動(dòng)態(tài)口令的身份驗(yàn)證方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001 ]本申請(qǐng)涉及信息技術(shù)領(lǐng)域���,具體地說,涉及一種基于TEE的動(dòng)態(tài)口令的身份驗(yàn)證方法及系統(tǒng)�����。
【背景技術(shù)】
[0002]為了提高網(wǎng)上銀行、電話銀行�、網(wǎng)上證券、電話證券����、網(wǎng)上購(gòu)物、網(wǎng)絡(luò)游戲等網(wǎng)絡(luò)應(yīng)用系統(tǒng)的身份認(rèn)證安全性����,各行業(yè)、各企業(yè)紛紛推出比傳統(tǒng)靜態(tài)密碼具有更高安全性的動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)�����。
[0003]采用動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)進(jìn)行身份認(rèn)證�����,極大提高了網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全性�。目前主要的身份認(rèn)證方式及其優(yōu)缺點(diǎn)為:
[0004]動(dòng)態(tài)口令技術(shù)和PKI技術(shù),目前多以硬件形式實(shí)現(xiàn)�����,安全性較高,目前有廣泛應(yīng)用����;但其需要用戶去領(lǐng)取實(shí)物、隨身攜帶�、且有學(xué)習(xí)使用過程,用戶體驗(yàn)較差;而其中的短信驗(yàn)證碼雖然不需要額外的硬件設(shè)備�����,但由于手機(jī)平臺(tái)的開放性�,安全性較差,面臨問題越來越多��;
[0005]生物特征的身份認(rèn)證�,用戶不需要攜帶額外硬件,使用體驗(yàn)較好;但由于其多為靜態(tài)數(shù)據(jù)��,在開放環(huán)境��、開放網(wǎng)絡(luò)�、開放平臺(tái)上容易被截獲或者進(jìn)行復(fù)制;特別是由于生物特征具備不能更改的特性,容易產(chǎn)生較多安全問題�����,因此其更適合作為近場(chǎng)身份認(rèn)證手段�;
[0006]基于大數(shù)據(jù)的分析的身份認(rèn)證,對(duì)用戶完全是透明的���,用戶體驗(yàn)更好�,但多維度數(shù)據(jù)的歸集和使用尚無相關(guān)法律法規(guī)�����,還牽扯隱私保護(hù)等問題���,同時(shí)其識(shí)別結(jié)果只能是一個(gè)概率���,而不是一個(gè)確定性的判定,因此其更適合作為廣告營(yíng)銷和風(fēng)險(xiǎn)控制手段��。
[0007]因此���,急需一種安全���、便利并且兼容性好的基于TEE的動(dòng)態(tài)口令的身份認(rèn)證方法。
【發(fā)明內(nèi)容】
[0008]有鑒于此,本申請(qǐng)所要解決的技術(shù)問題是現(xiàn)有的身份認(rèn)證方法不安全�����、不穩(wěn)定����、不便利和兼容性不高的問題。
[0009]為了解決上述技術(shù)問題����,本發(fā)明提供了一種基于TEE的動(dòng)態(tài)口令的身份驗(yàn)證方法及系統(tǒng),通過在TEE下進(jìn)行動(dòng)態(tài)口令的生成及驗(yàn)證����,避免了現(xiàn)有的身份認(rèn)證方法不安全、不穩(wěn)定���、不便利和兼容性不高的問題��,本申請(qǐng)技術(shù)方案如下:
[0010]一種基于TEE的動(dòng)態(tài)口令的身份驗(yàn)證方法���,包括終端預(yù)先配置動(dòng)態(tài)口令系統(tǒng)、動(dòng)態(tài)口令生成過程和動(dòng)態(tài)口令驗(yàn)證過程��,其特征在于,所述終端具備TEE�,所述動(dòng)態(tài)口令生成過程,在所述終端上進(jìn)行���,用于針對(duì)用戶請(qǐng)求生成動(dòng)態(tài)口令��,所述動(dòng)態(tài)口令驗(yàn)證過程用于認(rèn)證請(qǐng)求的用戶的身份,認(rèn)證方式包括所述動(dòng)態(tài)口令;其中�,所述動(dòng)態(tài)口令生成過程在TEE下進(jìn)行。
[0011]優(yōu)選的����,所述客戶端為所述終端內(nèi)部應(yīng)用客戶端,所述動(dòng)態(tài)口令生成過程包括:
[0012]步驟1:所述動(dòng)態(tài)口令系統(tǒng)安全儲(chǔ)存用戶身份信息�����,所述終端收到客戶端的應(yīng)用請(qǐng)求��,所述應(yīng)用請(qǐng)求發(fā)送生成動(dòng)態(tài)口令的請(qǐng)求及使用客戶端數(shù)字證書對(duì)應(yīng)的私鑰對(duì)請(qǐng)求的簽名��,啟動(dòng)所述動(dòng)態(tài)口令系統(tǒng)����,所述動(dòng)態(tài)口令系統(tǒng)校驗(yàn)所述客戶端簽名的合法后��,向終端用戶發(fā)送輸入所述用戶身份信息的請(qǐng)求�;
[0013]步驟2:所述動(dòng)態(tài)口令系統(tǒng)將輸入的信息與所述步驟I中儲(chǔ)存的所述用戶身份信息進(jìn)行fe驗(yàn)�;
[0014]步驟3:當(dāng)所述步驟2中校驗(yàn)的結(jié)果為信息一致時(shí),所述動(dòng)態(tài)口令系統(tǒng)生成動(dòng)態(tài)口令�����,所述動(dòng)態(tài)口令生成過程完成���。
[0015]優(yōu)選的�����,所述客戶端為所述終端外部應(yīng)用客戶端��,所述外部應(yīng)用客戶端是指所述應(yīng)用客戶端的載體為所述步驟I中終端之外的設(shè)備�,所述動(dòng)態(tài)口令生成過程包括:
[0016]步驟①:所述動(dòng)態(tài)口令系統(tǒng)安全儲(chǔ)存用戶身份信息��,啟動(dòng)所述動(dòng)態(tài)口令系統(tǒng)時(shí)��,所述動(dòng)態(tài)口令系統(tǒng)向用戶發(fā)送輸入所述用戶身份信息的請(qǐng)求�����;
[0017]步驟②:所述動(dòng)態(tài)口令系統(tǒng)將輸入的信息與所述步驟①中儲(chǔ)存的所述用戶身份信息進(jìn)行校驗(yàn);
[0018]步驟③:當(dāng)所述步驟②中校驗(yàn)的結(jié)果為信息一致時(shí)�����,所述動(dòng)態(tài)口令系統(tǒng)通過0TG�����、NFC��、藍(lán)牙�、音頻��、聲波����、用戶輸入或掃描條形碼、二維碼的方式獲取所述客戶端請(qǐng)求產(chǎn)生動(dòng)態(tài)口令的信息�,生成動(dòng)態(tài)口令,所述動(dòng)態(tài)口令生成過程完成�。
[0019]優(yōu)選的,所述客戶端為終端內(nèi)部應(yīng)用客戶端��,所述動(dòng)態(tài)口令驗(yàn)證過程包括:
[0020]步驟Al:所述動(dòng)態(tài)口令系統(tǒng)發(fā)送所述步驟3中產(chǎn)生的動(dòng)態(tài)口令至所述終端內(nèi)部應(yīng)用客戶端�;
[0021 ]步驟BI:所述終端內(nèi)部應(yīng)用客戶端收到所述動(dòng)態(tài)口令后�,發(fā)送步驟I中的請(qǐng)求信息至該客戶端應(yīng)用對(duì)應(yīng)的服務(wù)器�����;
[0022]步驟Cl:步驟BI中所述服務(wù)器接收所述動(dòng)態(tài)口令����,校驗(yàn)用戶信息和步驟BI中發(fā)送的動(dòng)態(tài)口令,校驗(yàn)結(jié)果為正確時(shí)���,所述服務(wù)器處理所述應(yīng)用請(qǐng)求并返回處理結(jié)果至所述終端內(nèi)部應(yīng)用客戶端��;
[0023]步驟Dl:所述終端內(nèi)部應(yīng)用客戶端接收所述步驟Cl中的處理結(jié)果�,校驗(yàn)相關(guān)信息并顯示���,所述動(dòng)態(tài)口令驗(yàn)證過程完畢��。
[0024]優(yōu)選的���,所述客戶端為終端外部應(yīng)用客戶端,所述外部應(yīng)用客戶端是指所述應(yīng)用客戶端的載體為所述步驟I中終端之外的設(shè)備��,所述動(dòng)態(tài)口令驗(yàn)證過程包括:
[0025]步驟A2:所述終端顯示所述步驟③中產(chǎn)生的動(dòng)態(tài)口令供用戶讀取并輸入所述客戶端��、或通過0TG、NFC����、藍(lán)牙、音頻或聲波的方式發(fā)送動(dòng)態(tài)口令到所述客戶端���,或以條形碼����、二維碼的形式顯示供所述外部應(yīng)用客戶端掃描讀?�?����;
[0026]步驟B2:所述外部應(yīng)用客戶端獲取該動(dòng)態(tài)口令后��,發(fā)送所述步驟③中的請(qǐng)求信息至該客戶端應(yīng)用對(duì)應(yīng)的服務(wù)器��;
[0027]步驟C2:步驟B2中所述服務(wù)器接收所述步驟B2中的所述動(dòng)態(tài)口令��,校驗(yàn)用戶信息和步驟B2發(fā)送的動(dòng)態(tài)口令��,校驗(yàn)結(jié)果為正確時(shí)��,所述服務(wù)器處理所述應(yīng)用請(qǐng)求并返回處理結(jié)果至所述外部應(yīng)用客戶端����;
[0028]步驟D2:所述外部應(yīng)用客戶端接收所述步驟C2中的處理結(jié)果,校驗(yàn)相關(guān)信息并顯示���,所述動(dòng)態(tài)口令驗(yàn)證過程完畢�����。
[0029]優(yōu)選的�,還包括所述動(dòng)態(tài)口令系統(tǒng)的創(chuàng)建賬戶和種子密鑰下載的過程�,其中,包括:
[0030]步驟一:終端預(yù)先配置基于TEE的動(dòng)態(tài)口令系統(tǒng)構(gòu)成所述動(dòng)態(tài)口令系統(tǒng)��,在所述動(dòng)態(tài)口令系統(tǒng)注冊(cè)用戶賬戶��,注冊(cè)用戶賬戶包括輸入身份信息和設(shè)置訪問口令����,所述動(dòng)態(tài)口令系統(tǒng)安全儲(chǔ)存所述注冊(cè)身份信息和訪問口令;
[0031]步驟二:所述動(dòng)態(tài)口令系統(tǒng)讀取信任根設(shè)備的認(rèn)證數(shù)據(jù)或者請(qǐng)求信任根設(shè)備簽發(fā)認(rèn)證數(shù)據(jù)�����;
[0032]步驟三:所述動(dòng)態(tài)口令系統(tǒng)通過動(dòng)態(tài)口令認(rèn)證服務(wù)器請(qǐng)求信任根系統(tǒng)認(rèn)證步驟二中所述認(rèn)證數(shù)據(jù)和所述注冊(cè)身份信息,所述信任根系統(tǒng)與步驟二中所述信任根設(shè)備相對(duì)應(yīng)��;
[0033]步驟四:所述信任根系統(tǒng)校驗(yàn)步驟二中所述認(rèn)證數(shù)據(jù)并校驗(yàn)所述注冊(cè)身份信息與所述信任根設(shè)備是否相對(duì)應(yīng)���,將校驗(yàn)結(jié)果通過所述動(dòng)態(tài)口令認(rèn)證服務(wù)器發(fā)送至所述動(dòng)態(tài)口令系統(tǒng)�����;
[0034]步驟五:當(dāng)步驟四所述校驗(yàn)結(jié)果為所述認(rèn)證數(shù)據(jù)校驗(yàn)成功并且所述注冊(cè)身份信息與所述信任根設(shè)備相對(duì)應(yīng)時(shí)�����,所述動(dòng)態(tài)口令系統(tǒng)產(chǎn)生第一隨機(jī)數(shù)����,預(yù)存的動(dòng)態(tài)口令認(rèn)證服務(wù)器加密證書公鑰加密所述第一隨機(jī)數(shù)并發(fā)送至所述動(dòng)態(tài)口令認(rèn)證服務(wù)器�;
[0035]步驟六:所述服務(wù)器接收所述步驟五中的第一隨機(jī)數(shù),將步驟一中所述用戶賬戶與所述動(dòng)態(tài)口令系統(tǒng)綁定���,并產(chǎn)生第二隨機(jī)數(shù),用解密的所述第一隨機(jī)數(shù)加密后發(fā)送至所述動(dòng)態(tài)口令系統(tǒng)����;
[0036]步驟七:所述動(dòng)態(tài)口令系統(tǒng)接收并安全儲(chǔ)存所述步驟六中解密后的第二隨機(jī)數(shù)作為種子密鑰����,所述動(dòng)態(tài)口令系統(tǒng)的創(chuàng)建賬戶和種子密鑰下載過程完成�����;
[0037]所述步驟一至三��、步驟五和步驟七在TEE下進(jìn)行�����。
[0038]優(yōu)選的����,還包括所述動(dòng)態(tài)口令系統(tǒng)的種子密鑰的更新過程,其中�,包括:
[0039]步驟a:所述動(dòng)態(tài)口令系統(tǒng)請(qǐng)求更新種子,并向用戶發(fā)送輸入所述用戶身份信息的請(qǐng)求��;
[0040]步驟b:所述動(dòng)態(tài)口令系統(tǒng)將輸入的信息與所述步驟I中儲(chǔ)存的所述用戶身份信息進(jìn)行校驗(yàn);當(dāng)校驗(yàn)結(jié)果為一致時(shí)���,向用戶發(fā)送使用信任根設(shè)備的請(qǐng)求�;
[0041 ]步驟c:所述動(dòng)態(tài)口令系統(tǒng)讀取信任根設(shè)備的認(rèn)證數(shù)據(jù)或者請(qǐng)求信任根設(shè)備簽發(fā)認(rèn)證數(shù)據(jù);當(dāng)信任根設(shè)備授權(quán)讀取或簽發(fā)相關(guān)認(rèn)證數(shù)據(jù)時(shí)���,所述動(dòng)態(tài)口令系統(tǒng)通過動(dòng)態(tài)口令認(rèn)證服務(wù)器請(qǐng)求信任根系統(tǒng)認(rèn)證所述注冊(cè)身份信息和所述認(rèn)證數(shù)據(jù)��,所述信任根系統(tǒng)與步驟b中所述信任根設(shè)備相對(duì)應(yīng)���;
[0042]步驟d:所述信任根系統(tǒng)校驗(yàn)所述步驟c中認(rèn)證數(shù)據(jù)并校驗(yàn)所述注冊(cè)身份信息與所述信任根設(shè)備是否相對(duì)應(yīng),將校驗(yàn)結(jié)果通過所述動(dòng)態(tài)口令認(rèn)證服務(wù)器發(fā)送至所述動(dòng)態(tài)口令系統(tǒng)��;
[0043]步驟e:當(dāng)步驟d所述校驗(yàn)結(jié)果為所述認(rèn)證數(shù)據(jù)校驗(yàn)成功并且所述注冊(cè)身份信息與所述信任根設(shè)備相對(duì)應(yīng)時(shí)���,所述動(dòng)態(tài)口令系統(tǒng)產(chǎn)生第三隨機(jī)數(shù)��,預(yù)存的動(dòng)態(tài)口令認(rèn)證服務(wù)器加密證書公鑰加密所述第三隨機(jī)數(shù)并發(fā)送至所述動(dòng)態(tài)口令認(rèn)證服務(wù)器��;
[0044]步驟f:所述服務(wù)器將步驟a中所述用戶賬戶與所述動(dòng)態(tài)口令系統(tǒng)綁定�,并產(chǎn)生第四隨機(jī)數(shù)���,用解密的所述第三隨機(jī)數(shù)加密后發(fā)送至所述動(dòng)態(tài)口令系統(tǒng)�;
[0045]步驟g:所述動(dòng)態(tài)口令系統(tǒng)接收并安全儲(chǔ)存所述步驟f中解密后的第四隨機(jī)數(shù)作為新的種子密鑰并刪除老種子密鑰�����,所述動(dòng)態(tài)口令系統(tǒng)的種子密鑰的更新過程完成����;
[0046]所述步驟a至c、步驟e和步驟g在TEE下進(jìn)行�����。
[0047]優(yōu)選的��,所述步驟I中的用戶身份信息包括用戶基本身份信息和生物特征信息����,所述基本身份信息包括姓名和證件號(hào)碼,所述生物特征信息包括指紋信息���、面部特征信息�、聲紋信息和/或虹膜信息�����;
[0048]所述步驟3中還包括:當(dāng)所述步驟2中校驗(yàn)的結(jié)果為信息一致時(shí)���,所述動(dòng)態(tài)口令系統(tǒng)安全顯示所述客戶端的應(yīng)用請(qǐng)求信息���,并提請(qǐng)用戶確認(rèn)��,在用戶確認(rèn)同意所述請(qǐng)求后�����,所述動(dòng)態(tài)口令系統(tǒng)生成動(dòng)態(tài)口令�,所述動(dòng)態(tài)口令生成過程完成��;
[0049]所述步驟③中還包括:當(dāng)所述步驟②中校驗(yàn)的結(jié)果為信息一致時(shí)����,所述動(dòng)態(tài)口令系統(tǒng)安全顯示所述客戶端的應(yīng)