一种认证信息获取方法、提供方法及装置与流程

本申请涉及计算机技术领域，尤其涉及一种身份认证信息获取方法及装置、身份认证信息提供方法及装置。

背景技术：

随着智能设备的发展，通过智能设备进行近距离信息传输为人们的生活提供了诸多便利。

在利用智能设备近距离传输重要数据时，获取数据的接收端往往需要对提供数据的发送端的身份进行认证，以便确认发送端是否具备进行某些业务(比如消费电子优惠券等)的权限。为了达到该目的，发送端可以将身份认证信息提供给接收端，以便让接收端或者服务器对该身份认证信息进行验证。需要说明的是，身份认证，是指计算机及网络系统确认操作者身份的过程；身份认证信息，是指提供给计算机及网络系统，用以作为确认操作者身份的依据的信息。

考虑到所述身份认证信息是关系用户财产安全的重要信息，若不法分子利用发送端发送伪造的身份认证信息可能会造成用户的财产损失，因此有必要提供一种保证接收端获取到合法的身份认证信息的方案。

技术实现要素：

本申请实施例提供一种身份认证信息获取方法，用以解决现有技术中无法保证接收端获取到合法的身份认证信息的问题。

本申请实施例还提供一种身份认证信息获取装置，用以解决现有技术中无法保证接收端获取到合法的身份认证信息的问题。

本申请实施例还提供一种身份认证信息提供方法，用以解决现有技术中无 法保证接收端获取到合法的身份认证信息的问题。

本申请实施例还提供一种身份认证信息提供装置，用以解决现有技术中无法保证接收端获取到合法的身份认证信息的问题。

本申请实施例采用下述技术方案：

一种身份认证信息获取方法，包括：

获取发送端提供的加密数据和加密密钥；

判断所述加密密钥是否可信；

若所述加密密钥可信，则利用所述加密密钥，判断所述加密数据是否可信，若所述加密数据可信，则获取所述加密密钥或加密数据中包含的身份认证信息。

一种身份认证信息提供方法，包括：

获取服务器发送的第二密钥和加密密钥；所述第二密钥和/或加密密钥中，包含身份认证信息；

利用第二密钥对业务数据进行加密，得到加密数据；

将所述加密数据和加密密钥提供给接收端。

一种身份认证信息获取装置，包括：

发送端数据获取单元：用于获取发送端提供的加密数据和加密密钥；

密钥判断单元：用于判断所述加密密钥是否可信；

数据判断单元：用于若所述加密密钥可信，则利用所述加密密钥，判断所述加密数据是否可信；若所述加密数据可信，则获取所述加密密钥或加密数据中包含的身份认证信息。

一种身份认证信息提供装置，包括：

密钥获取单元：用于获取服务器发送的第二密钥和加密密钥；所述第二密钥和/或加密密钥中，包含身份认证信息；

业务数据加密单元：用于利用第二密钥对业务数据进行加密，得到加密数据；

数据提供单元：用于将所述加密数据和加密密钥提供给接收端。

本申请实施例采用的上述至少一个技术方案能够达到以下有益效果：

本方案通过对发送端提供的加密密钥和加密数据的可信度进行判断，进而获取合法的身份认证信息，解决了现有技术无法保证接收端获取到合法的身份认证信息的问题。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为本申请实施例1提供的一种身份认证信息获取方法的实现流程示意图；

图2为本申请实施例1提供的一种服务器、接收端和发送端三者之间的交互关系示意图。

图3为本申请实施例2提供的一种身份认证信息获取方法的一种实现流程示意图；

图4为本申请实施例3提供的一种身份认证信息获取装置的具体结构示意图；

图5为本申请实施例4提供的一种身份认证信息提供装置的具体结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施 例，都属于本申请保护的范围。

在本申请实施例中，可以基于信息加密技术，对数据进行认证，信息加密技术是最常用的信息安全保密手段。具体而言，在密码学中，信息加密技术是利用技术手段把重要的数据变为乱码(加密)后进行传送，到达目的地后再用相同或不同的手段将所述重要数据进行还原(解密)。其中，数据的加密和解密可以通过密钥来实现。

根据加密方式的不同，信息加密技术可以分为对称加密技术和非对称加密技术。

其中，对称加密技术采用了对称密码编码技术，它的特点是文件加密和解密使用相同的密钥，即加密密钥也可以用作解密密钥。对称加密技术使用起来简单快捷，只要密钥不泄露，被加密数据在传输过程中很难被窃取。

而非对称加密技术指对数据进行加密和解密时所使用的不是同一个密钥。具体而言，非对称加密技术中通常会用到两个密钥，分别称为公钥和私钥。公钥与私钥以成对的形式存在，若用公钥对数据进行加密，只有用对应的私钥才能解密；若用私钥对数据进行加密，那么只有用对应的公钥才能解密。非对称密钥持有人可以将公钥进行公开，并可以通过私钥对利用公钥进行加密的数据进行解密。所述通过公钥加密的数据只能通过私钥才能解开，相比于对称加密技术，大大降低了被加密数据数据在传输过程中被窃取的风险。

本申请实施例中，后文提到的客户端和服务器在进行数据传输时，均可采用信息加密技术对数据进行加密后再进行传输。本申请实施例中，不同客户端之间的信息传输也可采用信息加密技术对数据进行加密后再进行传输。

需要说明的是，本申请实施例中，可以通过对数据可信性的判断达到对身份认证信息的可信性进行判断的效果，为了提高数据认证效率，客户端之间的数据传输方式可以是单次单向近距离信息传输方式。为便于描述，将客户端之间进行数据传输时的数据提供方称为发送端，将数据获取方称为接收端。

所述单次单向近距离信息传输方式，指发送端和接收端在通过近距离传输 数据的方式进行业务处理时，只需要发送端向接收端提供一次数据，便可以完成整个业务处理的过程。即，本申请实施例提供的身份认证信息获取方法，在认证过程中，发送端可以仅向接收端提供一次数据。

本申请实施例所提供方案的应用场景并不限于采用单次单向近距离信息传输方式进行数据传输的场景，比如还可以应用在发送端和接收端之间进行多次数据交互以完成某项业务的场景。

以下结合附图，详细说明本申请各实施例提供的技术方案。

实施例1

为解决现有技术中无法保证接收端获取到合法的身份认证信息的问题，本申请实施例1提供一种身份认证信息获取方法。本申请实施例提供的身份认证信息获取方法的执行主体可以是在数据传输过程中作为接收端的智能终端，所述接收端可以但不限于为手机、平板电脑、个人电脑(personalcomputer，pc)、智能手表等任何可以进行数据接收的智能终端设备中的至少一种。所述执行主体并不构成对本申请的限定，为了便于描述，本申请实施例均以执行主体是智能终端为例进行说明。

本申请实施例中，服务器、接收端和发送端三者之间的交互关系示意图如图2所示。

该方法的实现流程示意图如图1所示，包括下述步骤：

步骤11：获取发送端提供的加密数据和加密密钥；

本申请实施例中，可以获取发送端采用单次单向近距离信息传输方式提供的加密数据和加密密钥。所述近距离信息传输方式比如可以是基于展示信息图案的信息传输方式。其中，所述信息图案中包含有待传输的信息，接收端可以扫描发送端展示的信息图案，对信息图案中包含的信息进行获取。

所述信息图案，比如可以是二维码图形。

步骤12：判断所述加密密钥是否可信；

为清楚地介绍步骤12的实现过程，有必要先对本申请实施例中采取的一些数据加密过程进行如下详细介绍：

本申请实施例中，为了保证信息在传输时的安全，发送端在将数据传输给接收端时，可以通过密钥对数据进行加密，得到加密数据。所述数据比如可以是业务数据，所述业务数据为携带有业务信息的数据，比如当所述业务为优惠券核销时，则所述业务数据为携带有优惠券信息的数据。为了便于描述，我们将发送端在传输数据给接收端前，对数据进行加密所使用的密钥称为第二密钥。在接收端收到所述加密数据后，可以使用第二密钥对数据进行解密，因此，发送端会将第二密钥一同发送给接收端。所述第二密钥可以由服务器生成，并下发给发送端，所述第二密钥中包含有第一认证信息。所述第一认证信息为开发人员自行定义的用于判断所述第二密钥是否可信的认证信息。

在实际应用中，发送端和接收端使用第二密钥进行加密和解密时可以使用对称密钥技术，即所述第二密钥可以是对称密钥。在这里，我们将第二密钥表示为ka。

同时，为了防止第二密钥在由发送端传输至接收端的过程中泄露，服务器可以利用密钥将第二密钥加密为加密密钥后，再发送给发送端，为了便于描述，我们将服务器用于对第二密钥进行加密的密钥称为第一密钥。接收端在收到发送端发送的加密密钥后，会利用第一密钥对加密密钥进行解密后，才能获得第二密钥。

在实际应用中，所述第一密钥可以是非对称密钥的公钥。接收端所使用的该公钥，可以是由服务器发送给接收端的。基于该公钥，当接收端获取到发送端的加密密钥后，可以利用所述非对称密钥的公钥对加密密钥进行解密。所述加密密钥，可以是由服务器利用与所述非对称密钥的公钥对应的非对称密钥的私钥对加密密钥进行加密得到的。在这里，若我们将非对称密钥的私钥表示为kpr，将非对称密钥的公钥表示为kpu，将加密密钥表示为ke，则服务器利用非对称密钥的私钥kpr对对称密钥ka进行加密的过程可以用如下公式(1)表示：

本申请实施例中，为了避免出现第二密钥在长期使用的过程中可能发生泄露的问题，服务器可以按照预定的时间周期，定期向发送端下发新的第二密钥。例如，服务器可以与发送端约定一个时间周期ts，当发送端检测到上一次服务器下发第二密钥的时间距离当前时间的时间间隔大于时间周期ts后，发送端会向服务器发送第二密钥获取请求，服务器在接收到所述第二密钥获取请求后，会生成新的第二密钥，并用第一密钥将新的第二密钥进行加密得到加密密钥，然后将新的第二密钥和加密密钥一同发送至发送端。

本申请实施例中，由于发送端可以利用定期获得的第二密钥对业务数据进行加密，并将加密数据提供给接收端，因此，发送端在对数据进行加密并提供所述加密数据时，可以不与服务器进行数据交互，即所述发送端可以处于离线状态。在这里，我们将加密数据表示为enc，将业务数据表示为d，则利用对称密钥ka对业务数据d进行加密的过程可以用如下公式(2)表示：

基于上述数据加密过程，接收端在判断获取到的所述加密密钥是否可信时，可以利用从服务器获取的非对称密钥的公钥(第一密钥)对加密密钥进行解密，得到加密密钥解密结果，若所述加密密钥解密结果为第二密钥，则判定所述加密密钥可信。判断所述加密密钥解密结果是否为第二密钥的方法可以包括：判断所述加密密钥解密结果的格式是否符合第二密钥的格式，若是，则判定所述加密密钥解密结果是第二密钥，若否，则判定所述加密密钥解密结果不是第二密钥。

利用非对称密钥的公钥(表示为kpu)对加密密钥ke进行解密的过程可以用如下公式(3)表示：

在获得第二密钥后，接收端会根据第二密钥中包含的第一认证信息是否可信，来判断所述第二密钥是否可信。若判断出第二密钥可信，则判定所述加密 密钥可信；若判断出第二密钥不可信，则判定所述加密密钥不可信。

具体地，所述第一认证信息可以由开发人员自行定义。比如，所述第一认证信息可以是与所述第二密钥相关的时间，比如可以是服务器下发第二密钥的时间或者服务器回收第二密钥的时间。接收端可以根据第二密钥中包含的第一认证信息是否满足预设的第一判断条件，来判断所述第二密钥是否可信。若所述第一认证信息可信，则判定所述第二密钥可信；若所述第一认证信息不可信，则判定所述第二密钥不可信。

比如，在实际应用中，当所述第一认证信息为服务器下发第二密钥的时间时，接收端可以根据第二密钥中包含的服务器下发第二密钥的时间距离当前时间的时间间隔是否大于预设的时间间隔，来判断所述第二密钥是否可信，若所述第二密钥中包含的服务器生成第二密钥的时间距离当前时间的时间间隔大于预设的第一时间间隔，则可以确定第一认证信息满足预设的第一判断条件，从而判断所述第二密钥不可信。

步骤13：若所述加密密钥可信，则利用所述加密密钥，判断所述加密数据是否可信；

本申请实施例中，在通过执行步骤12判断所述加密密钥可信后，还会利用所述加密密钥来判断所述加密数据是否可信。

比如，接收端可以利用对加密密钥进行解密得到的第二密钥，对所述加密数据进行解密，得到第二认证信息。在获得所述第二认证信息后，接收端会根据所述第二认证信息是否可信，来判断所述加密数据是否可信。若判断出所述第二认证信息可信，则判定所述加密数据可信；若判断出所述第二认证信息不可信，则判定所述加密数据不可信。

在这里，将第二认证信息表示为c2，当所述第二密钥为对称密钥ka时，利用对称密钥ka对加密数据enc进行解密的过程可以用如下公式(4)表示：

所述第二认证信息可以由开发人员自行定义。比如，所述第二认证信息可 以是与发送端接收到的业务数据提供指令相关的时间；或者，所述第二认证信息也可以是能够反映发送端提供的加密数据的可信程度高低的任意参数，本申请实施例对第二认证信息的具体内容不进行限定。

其中，所述发送端接收到的业务数据提供指令相关的时间，比如可以是发送端接收到业务数据提供指令的时间，也可以是发送端在接收到业务数据提供指令后，对数据进行加密的时间。所述业务数据提供指令指用于触发发送端提供所述业务数据的指令。所述发送端接收到的业务数据提供指令相关的时间可由开发人员自行定义，本申请实施例对发送端接收到的业务数据提供指令相关的时间的具体内容不进行限定。

接收端可以根据加密数据中包含的第二认证信息是否满足预设的第二判断条件，来判断所述第二密钥是否可信。若所述第二认证信息可信，则判定所述加密数据可信；若所述第二认证信息不可信，则判定所述加密数据不可信。

比如，在实际应用中，当所述第二认证信息为发送端接收到业务数据提供指令的时间时，接收端可以根据加密数据中包含的发送端接收到业务数据提供指令的时间距离当前时间的时间间隔是否大于预设的时间间隔，来判断所述第二密钥是否可信，若所述加密数据中包含的发送端接收到业务数据提供指令的时间距离当前时间的时间间隔大于预设的第二时间间隔，则可以确定第二认证信息不满足预设的第二判断条件，从而判断所述第二密钥不可信。

本申请实施例中，在通过上述方法判断所述加密数据可信后，接收端便可以信任加密数据中的所有数据。因此，发送端可以将业务数据和所述第二认证信息一起加密为加密数据，并连同加密密钥一起发送给接收端，基于上述身份认证信息获取方法，发送端在获取到所述加密数据后，若判定所述第二认证信息可信，便可以信任所述业务数据，在判定所述第二认证信息可信后，接收端便可将所述加密数据中包含的所有数据进行保存。

例如，用户在消费电子优惠券时，所述业务数据即电子优惠券数据，发送端将所述电子优惠券数据和第二认证信息利用第二密钥加密为加密数据后，连 同加密密钥一起发送给接收端，接收端判断所述加密数据可信后，进而判定所述电子优惠券数据可信，则接收端可以提示商家所述电子优惠券信息可信，进而商家可以根据接收端的提示，提供与所述电子优惠券对应的服务。

本申请实施例中，在判断所述加密数据可信后，还可以根据发送端请求执行的业务，获取与发送端请求接收端执行的业务相对应的业务数据。

例如，用户在通过地铁闸机时，所述业务数据可以是用户当前请求通过的地铁闸机所在的地铁站的站点信息，发送端将第二认证信息利用第二密钥加密为加密数据后，连同加密密钥一起发送给接收端，接收端判断所述加密数据可信后，便获取用户当前的进出站状态以及当前地铁站店信息，并允许用户通过地铁闸机。

本申请实施例中，接收端在基于上述方法判断所述加密数据是否可信时，可以不与服务器进行数据交互，即接收端在对发送端提供的数据进行数据认证时，可以处于离线状态。

步骤14：若所述加密数据可信，则获取所述加密密钥或加密数据中包含的身份认证信息。

在实际应用中，在对加密数据的可信性进行判断后，若判定所述加密数据可信，则可以获取所述加密数据。具体地，可以将所述加密数据保存到预设的存储器中，所述存储器可以是易失性存储器，也可以是非易失性存储器，易失性存储器包括但不限于内存，非易失性存储器包括但不限于闪存、只读存储器。若判定所述加密数据不可信，则可以不对所述加密数据进行获取，也可以将所述不可信加密数据上传至服务器，以便服务器做相应处理，本申请实施例不对不可信加密数据的处理方式进行限定。

在通过上述数据信息获取方法信任加密数据后，若发送端和接收端在通过上述数据认证过程后需要服务器执行相应的数据操作，则接收端可以利用从服务器获取的非对称密钥的公钥，将接收端的与数据操作相关的数据加密后(加密得到的数据后称“上传加密数据”)发送给服务器。所述相应的数据操作比 如可以是生成业务订单、核销优惠券等数据操作。服务器可以利用非对称密钥的私钥对所述上传加密数据进行解密，获得所述与数据操作相关的数据，进而执行相应的数据操作。

在实际应用中，接收端可以按照预定的时间周期，定期向服务器发送所述上传加密数据。例如，服务器可以与接收端约定一个时间周期tr，当接收端检测到上一次向服务器发送上传加密数据的时间距离当前的时间间隔等于时间周期tr时，接收端会向服务器发送所述上传加密数据。

所述与数据操作相关的数据比如可以包括业务数据。例如，当所述业务数据为优惠券数据时，发送端在通过上述身份认证信息获取方法消费优惠券后，服务器需要记录所述消费信息。

服务器在根据所述与数据操作相关的数据执行数据操作时，可能还会对发送端的身份认证，因此可能会用到发送端的身份信息，因此，发送端提供给接收端的加密数据中，还可以包括用于识别发送端用户身份的身份认证信息。所述身份认证信息由服务器发送至发送端，为了防止所述认证信息泄露，所述身份认证信息可以包含于第二密钥中，即所述第二密钥中可以包含第一认证信息和身份认证信息。

为了避免非法用户获取到发送端的数据后，将所述数据中的第一认证信息和第二认证信息修改为可以通过接收端认证的信息，进而给合法用户带来损失。本申请实施例中，可以由服务器在每次与发送端进行交互时，生成与身份认证信息相关的关联密钥，并发送给发送端。所述关联密钥的形式可以由开发人员自行定义，所述关联密钥比如可以是身份认证信息通过对称密钥加密生成的密文，也可以是一个与身份认证信息有关的哈希值。本申请实施例中的所述加密数据和上传加密数据中均可以包括所述关联密钥。

服务器在利用非对称密钥的私钥对所述上传加密数据进行解密，获得所述身份认证信息和关联密钥后，可以利用关联密钥生成时的方法来判断所述身份认证信息和关联密钥是否匹配，进而判断所述业务数据是否由合法用户提供。

若所述身份认证信息和关联密钥匹配，则执行与所述业务数据和身份认证信息相关的操作。例如，当所述业务数据为优惠券核销业务的数据、所述身份认证信息代表用户a时，则将所述优惠券从用户a的账号中核销，并在用户a的账号中生成优惠券消费订单。

为了更加详尽地在服务器中记录本方案各步骤实时过程中的数据，在实际应用中，所述与数据操作相关的数据还可以包括数据认证通过时间、接收端身份认证信息等，本申请实施例对与数据操作相关的数据的具体内容不进行限定。

在这里，我们将身份认证信息表示为c，将关联密钥表示为ks，则当加密数据中包含身份认证信息、第二认证信息和关联密钥时，利用对称密钥ka对身份认证信息c、第二认证信息c2和关联密钥ks进行加密的过程可以用如下公式(5)表示：

需要说明的是，实施例1所提供方法的各步骤的执行主体均可以是同一设备，或者，该方法也由不同设备作为执行主体。比如，步骤11和步骤12的执行主体可以为设备1，步骤13的执行主体可以为设备2；又比如，步骤11的执行主体可以为设备1，步骤12和步骤13的执行主体可以为设备2；等等。

本申请实施例1提供的身份认证信息获取方法，利用第二密钥将数据加密为加密数据，并通过第一密钥将包含身份认证信息的第二密钥加密为加密密钥，通过对所述加密密钥和加密数据的可信度进行判断，获取合法的身份认证信息，解决了现有技术无法保证接收端获取到合法的身份认证信息的问题。

实施例2

本申请实施例2，主要介绍本申请实施例1提供的上述方法在实际中的一种应用方案。

在对该方案的实现方式进行详细介绍前，先对该方案的实施场景进行简单 介绍：

本申请实施例中，用户a在某商家消费自己账户中的优惠券。

基于上述实施场景，实施例2提供的身份认证信息获取过程如图3所示，包括下述步骤：

步骤201：服务器向接收端发送非对称密钥的公钥kpu；

其中，非对称密钥的私钥kpr保存在服务器本地。

步骤202：服务器按照6小时向用户a的手机发送一次对称密钥ka的频率，向用户a的手机发送对称密钥ka和加密密钥ke；

其中，所述对称密钥ka包含有用于标识用户a的手机中的账户身份信息的身份认证信息c、对称密钥发送时间t。

所述加密密钥ke，是服务器通过所述非对称密钥的私钥kpr对对称密钥ka进行加密得到的。

步骤203：在用户a通过手机和服务器进行交互时，服务器会向发送端发送一个与身份认证信息c相关的关联密钥ks；

其中，所述关联密钥ks是根据身份认证信息c生成的哈希值。

步骤204：用户向手机发送优惠券数据提供指令；

步骤205：手机响应所述业务数据提供指令，利用对称密钥对优惠券数据相关数据加密为加密数据，并生成包含所述加密数据和加密密钥的二维码进行展示；

所述优惠券数据相关数据包括关联密钥ks、手机接收到业务数据提供指令的时间t0、优惠券数据d。

步骤206：商家利用商家客户端扫描所述二维码，获得所述加密数据和加密密钥。

步骤207：商家客户端利用所述非对称密钥的公钥kpu对所述加密密钥进行解密，获得对称密钥ka，所述对称密钥ka包含身份认证信息c和对称密钥发送时间t。商家客户端发现所述对称密钥发送时间t距离当前时间的时间间隔 小于预设的时间间隔6个小时，进而判定所述加密密钥可信；

步骤208：商家客户端利用对所述加密密钥进行解密得到的对称密钥ka对商家客户端获得的加密数据进行解密，获得关联密钥ks、t0、优惠券数据d。商家客户端发现t0距离当前时间的时间间隔小于预设的时间间隔3分钟，进而判定所述加密数据可信，从而将从所述手机获取到的所有数据保存至本地存储介质中。

步骤209：商家客户端发出优惠券信息可信的提醒消息，以便商家根据该提醒消息，向用户a提供所述优惠券对应的服务；

步骤210：商家客户端在数据上传周期到来时，利用公钥kpu对保存的从所述手机获取到的所有数据进行加密，得到上传加密数据，并将所述上传加密数据发送给服务器；

步骤211：服务器利用私钥kpr将获取到的上传加密数据进行解密，验证解密后获得的c和ks之间的关系是否符合服务器最后一次生成ks时使用的规则。若符合，则生成优惠券消费订单。

本申请实施例2提供的身份认证信息获取方法，利用对称密钥将数据加密为加密数据，并通过非对称密钥的私钥将包含身份认证信息的第二密钥加密为加密密钥，通过对所述加密密钥和加密数据的可信度进行判断，获取合法的身份认证信息，解决了现有技术无法保证接收端获取到合法的身份认证信息的问题。

实施例3

为解决现有技术中无法保证接收端获取到合法的身份认证信息的问题，本申请实施例3提供一种身份认证信息获取装置。该身份认证信息获取装置的结构示意图如图4所示，主要包括下述功能单元：

发送端数据获取单元31：用于获取发送端提供的加密数据和加密密钥；

密钥判断单元32：用于判断所述加密密钥是否可信；

数据判断单元33：用于若所述加密密钥可信，则利用所述加密密钥，判断所述加密数据是否可信；若所述加密数据可信，则获取所述加密密钥或加密数据中包含的身份认证信息。

为了提高数据的传输效率，在一种实施方式中，所述数据获取单元33，具体用于获取发送端采用单次单向近距离信息传输方式提供的加密数据和加密密钥。

所述单次单向近距离信息传输方式，包括：展示二维码的方式。

在一种实施方式中，所述密钥判断单元32，具体用于利用从服务器获取的第一密钥对加密密钥进行解密，得到第二密钥；判断第二密钥是否可信；若判断出第二密钥可信，则判定所述加密密钥可信；若判断出第二密钥不可信，则判定所述加密密钥不可信。

在一种实施方式中，所述密钥判断单元32，具体用于判断所述第二密钥包含的第一认证信息是否可信；若所述第一认证信息可信，则判定所述第二密钥可信；若所述第一认证信息不可信，则判定所述第二密钥不可信。

所述第一认证信息，包括：与所述第二密钥相关的时间。

在一种实施方式中，所述数据判断单元，具体用于利用对所述加密密钥进行解密得到的第二密钥，对所述加密数据进行解密，得到第二认证信息；判断所述第二认证信息是否可信；若所述第二认证信息可信，则判定所述加密数据可信；若所述第二认证信息不可信，则判定所述加密数据不可信。

所述第二认证信息，包括：与发送端接收到的业务数据提供指令相关的时间。

为了将接获取到的合法的身份认证信息发送给服务器，在一种实施方式中，所述装置还包括：

数据发送单元34：用于若所述加密数据可信，则将所述身份认证信息和其他相关数据发送给服务器；

其中，所述其他相关数据包括与发送端请求处理的业务相关的业务数据。

所述其他相关数据，还包括：

通过解密所述加密数据获得的关联密钥；

其中，所述身份认证信息和关联密钥用于服务器对发送端的身份进行认证。

在一种实施方式中，所述数据发送单元，具体利用从服务器获取的第一密钥，将所述身份认证信息和其他相关数据发送给服务器进行加密后发送给服务器。

所述业务数据，是通过下述至少一种方式获取的：

通过解密所述加密数据，获取发送端提供的所述业务数据；

根据发送端请求执行的业务，获取与发送端请求接收端执行的业务相对应的业务数据。

在一种实施方式中，所述发送端数据获取单元，具体用于在离线状态下，获取发送端在离线状态下提供的加密数据和加密密钥；

其中，所述离线状态，是指没有与所述服务器建立连接的状态。

本申请实施例3提供的身份认证信息获取装置，利用第二密钥将数据加密为加密数据，并通过第一密钥将包含身份认证信息的第二密钥加密为加密密钥，通过对所述加密密钥和加密数据的可信度进行判断，获取合法的身份认证信息，解决了现有技术无法保证接收端获取到合法的身份认证信息的问题。

实施例4

为解决现有技术中无法保证接收端获取到合法的身份认证信息的问题，本申请实施例4提供一种身份认证信息提供装置。该身份认证信息提供装置的结构示意图如图5所示，主要包括下述功能单元：

密钥获取单元41：用于获取服务器发送的第二密钥和加密密钥；所述第二密钥和/或加密密钥中，包含身份认证信息；

业务数据加密单元42：用于利用第二密钥对业务数据进行加密，得到加密 数据；

数据提供单元43：用于将所述加密数据和加密密钥提供给接收端。

为了提高数据的传输效率，在一种实施方式中，所述数据提供单元，具体用于采用单次单向近距离信息传输方式，将所述加密数据和加密密钥提供给接收端。

所述第二密钥中，包含第一认证信息。

所述第一认证信息，包括与所述第二密钥相关的时间。

在一种实施方式中，业务数据加密单元42，具体用于利用第二密钥对业务数据和第二认证信息进行加密，得到加密数据。

所述第二认证信息，包括与接收到的业务数据提供指令相关的时间。

在一种实施方式中，所述装置还包括：

认证信息获取单元44，用于获取服务器发送的关联密钥和发送端身份认证信息；则

所述业务数据加密单元42，具体用于：

利用第二密钥，对业务数据、关联密钥和发送端身份认证信息进行加密，得到加密数据。

本申请实施例4提供的身份认证信息获取装置，利用第二密钥将数据加密为加密数据，并通过第一密钥将包含身份认证信息的第二密钥加密为加密密钥，通过对所述加密密钥和加密数据的可信度进行判断，获取合法的身份认证信息，解决了现有技术无法保证接收端获取到合法的身份认证信息的问题。

实施例5

本申请实施例5，主要介绍本申请实施例1提供的上述方法在实际中的一种应用方案。

在对该方案的实现方式进行详细介绍前，先对该方案的实施场景进行简单介绍：

本申请实施例中，用户a从地铁a站进站乘车，在地铁b站下车出站。用户a可以利用手机端展示的二维码通过地铁站的闸机，则，实施例1中的接收端在本申请实施例中为地铁站闸机系统，发送端在本申请实施例中为用户a的手机。

基于上述实施场景，实施例5提供的信息展示过程包括下述步骤：

步骤501：服务器向地铁站闸机系统发送非对称密钥的公钥kpu；

其中，非对称密钥的私钥kpr保存在服务器本地。

步骤502：服务器按照每6小时向用户a的手机发送一次对称密钥ka的频率，向用户a的手机发送对称密钥ka和加密密钥ke；

其中，所述对称密钥ka包含有用于标识用户a的手机中的账户身份信息的身份认证信息c、对称密钥ka的发送时间t。

所述加密密钥ke，是服务器通过所述非对称密钥的私钥kpr对对称密钥ka进行加密得到的。

步骤503：在手机和服务器进行交互时，服务器会向作为发送端的该手机发送一个与身份认证信息c相关的关联密钥ks；

其中，手机和服务器进行交互，比如可以是指手机(可以是手机上安装的客户端)定期和服务器进行交互，或者是手机在用户的操作下访问服务器从而实现交互，等等。本申请实施例中，手机可以只保存最近一次与服务器交互时接收到的与身份认证信息c相关的关联密钥ks。所述密钥签名ks，比如可以是根据身份认证信息c生成的哈希值。

步骤504：用户在地铁a站通过地铁闸机进站时，向手机输入二维码展示指令；

其中所述二维码用于提供给地铁闸机，以便用户通过地铁闸机。

步骤505：手机响应所述二维码展示指令，利用对称密钥ka将关联密钥ks、手机接收到二维码展示指令的时间t0加密为加密数据，并生成包含所述加密数据和加密密钥ke的二维码进行展示；

步骤506：用户将手机生成的二维码展示给地铁闸机，以便地铁闸机获取所述二维码中包含的数据。

步骤507：地铁闸机获取到二维码中包含的加密数据和加密密钥ke；

步骤508：地铁闸机利用所述非对称密钥的公钥kpu对所述加密密钥ke进行解密，获得对称密钥ka，所述对称密钥ka包含身份认证信息c和对称密钥发送时间t。地铁闸机发现所述对称密钥发送时间t距离当前时间的时间间隔小于预设的时间间隔6个小时，进而判定所述加密密钥可信；

步骤509：地铁闸机利用对所述加密密钥ke进行解密得到的对称密钥ka对获得的加密数据进行解密，获得关联密钥ks、t0。商家客户端发现t0距离当前时间的时间间隔小于预设的时间间隔3分钟，进而判定所述加密数据可信，然后获取地铁a站的相关数据和用户的进出站状态(获取到的该些内容相当于本申请实施例1中提及的与发送端请求处理的业务相关的业务数据)，并将从所述手机获取到的所有数据保存至本地存储介质中。

所述地铁a站的相关数据包含用于确定用户进站站点的信息，所述地铁a站的相关数据比如可以是地铁a站点的网络地址。由于此时用户处于进站状态，则所述用户的进出站状态为进站状态。

步骤510：地铁a站闸机允许用户通过。

步骤511：用户a从地铁b站出站时，用户a利用所述手机和地铁b站闸机进行交互的过程与用户a从a站进站时利用所述手机和地铁a站闸机进行交互的过程类似，在此不再赘述。此时地铁闸机将获取地铁b站的相关数据和用户的进出站状态，并将从所述手机获取到的所有数据保存至本地存储介质中。

步骤512：地铁站的闸机在数据上传周期到来时，利用公钥kpu对保存的从所述手机获取到的所有数据进行加密，得到上传加密数据，并将所述上传加密数据发送给服务器；

步骤513：服务器利用私钥kpr将获取到的上传加密数据进行解密，验证解密后获得的c和ks之间的关系是否符合服务器最后一次根据c生成ks时使 用的规则。若符合，则根据获取到的地铁a站的相关数据和地铁b站的相关数据，生成业务信息，并根据c确定产生所述业务信息的账户。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。