基于二维码的智能卡设备的身份认证装置及方法
【技术领域】
[0001]本发明涉及身份认证技术领域,具体涉及一种基于二维码的智能卡设备的身份认证装置及方法。
【背景技术】
[0002]证书智能卡是一种数字证书智能卡设备,安全存放用户的数字证书及私钥,需要采用私钥完成签名或者加密时,通过PIN访问智能卡COS,将需要加密或者签名的数据传给COS,COS再实际使用私钥完成密码处理。比较常用的证书智能卡有U盾形式(通过USB访问cos)以及卡片模式(通过读卡器访问COS),接口通常使用PKCS系列规范来完成。
[0003]使用证书智能卡可以基于PKI/CA体系完成用户身份认证,但通常需要USB接口或者读卡器等支持,而且需要在终端中安装相关驱动,使用过程比较麻烦,体验较差。
【发明内容】
[0004]针对现有技术中的缺陷,本发明提供了一种基于二维码的智能卡设备的身份认证装置及方法,该方法解决了智能卡在使用过程中需要通过USB或者读卡器和终端通信,并且在该终端中安装驱动,导致使用过程复杂,用户体验差的问题。
[0005]第一方面,本发明提供一种基于二维码的智能卡设备的身份认证方法,包括:
[0006]智能卡设备基于私钥对该设备当前时间进行签名,并结合所述设备内置的认证服务器地址生成认证URL的二维码;
[0007]终端通过扫描智能卡设备上的二维码获取认证URL,并将所述认证URL发送至认证服务器进行认证;
[0008]所述终端在所述认证服务器认证通过后,访问支持认证URL的网站时,网站/应用服务器通过OpenID、OAuth、FIDO或SAML获取所述认证服务器中所述认证URL的认证记录;
[0009]所述网站/应用服务器根据所述认证服务器中所述认证URL的认证记录,向所述终端发送认证结果。
[0010]可选的,所述认证URL包括:所述认证服务器的网址、认证路径、证书标识、当前时间、签名信息和动态参数。
[0011 ] 可选的,所述方法还包括:
[0012]在所述智能卡设备上设置切换按钮,通过所述按钮得到获取认证URL的二维码。
[0013]可选的,所述方法还包括:
[0014]在所述智能卡设备上设置生成认证URL的二维码的静态口令;
[0015]在所述终端输入所述静态口令后,获取所述智能卡设备中获取认证URL的二维码。
[0016]可选的,所述方法还包括:
[0017]所述认证服务器在认证所述认证URL认证后向所述终端发起静态口令认证。
[0018]可选的,所述静态口令包括用户名/ 口令认证、PIN认证、指纹认证或手势认证。
[0019]可选的,所述终端将所述认证URL发送至认证服务器进行认证包括:
[0020]所述认证服务器对所述终端发送的所述认证URL和所述静态口令进行认证;
[0021]在所述认证URL和所述静态口令均通过所述认证服务器的认证时,则认证成功;否则,所述认证服务器中断认证。
[0022]可选的,所述网站/应用服务器根据所述认证服务器中所述认证URL的认证记录,向所述终端发送认证结果,包括:
[0023]在所述认证服务器中存在所述认证URL的认证记录,且所述认证记录为认证通过时,向所述终端发送认证通过的认证结果;
[0024]在所述认证服务器中不存在所述认证URL的认证记录,或所述认证记录未认证通过时,向所述终端发送认证失败的认证结果。
[0025]第二方面,本发明还提供了一种基于二维码的智能卡设备设备的身份认证装置,包括:智能卡设备、终端、认证服务器和网站/应用服务器;
[0026]所述智能卡设备,用于基于私钥对该设备当前时间进行签名,并结合所述设备内置的认证服务器地址生成认证URL的二维码;
[0027]所述终端,用于通过所述智能卡设备上的显示的二维码,获取所述认证URL,并通过所述认证服务器对所述认证URL进行认证;
[0028]所述认证服务器,用于对所述认证URL进行认证,并保存所述认证URL的认证记录;
[0029]所述网站/应用服务器,用于接收所述终端在所述认证服务器认证通过后,访问支持认证URL的网站的信息,并通过OpenID、OAuth、FIDO或SAML获取所述认证服务器中所述认证URL的认证记录;
[0030]所述网站/应用服务器,还用于根据所述认证服务器中所述认证URL的认证记录,向所述终端发送认证结果。
[0031]由上述技术方案可知,本发明提供的一种基于二维码的智能卡设备的身份认证装置及方法,该方法通过在智能卡设备上生成获取认证URL的二维码,并通过终端扫描智能卡设备上的二维码获取认证URL,并且在认证服务器认证通过后,终端访问支持认证URL的网站时,也无需插入或读取智能卡,网站/应用服务器通过OpenID、OAuth, FIDO或SAML获取所述认证服务器中所述认证URL的认证记录,并根据该认证记录向终端发送认证结果,该方法解决了智能卡在使用过程中需要通过USB或者读卡器和终端通信,并且在该终端中安装驱动,导致使用过程复杂,用户体验差的问题。
【附图说明】
[0032]图1为本发明一实施例提供的一种基于二维码的智能卡设备的身份认证方法的流程示意图;
[0033]图2为本发明一实施例提供的智能卡设备的显示示意图;
[0034]图3为本发明另一实施例提供的一种基于二维码的智能卡设备的身份认证方法的流程示意图;
[0035]图4为本发明一实施例提供的一种基于二维码的智能卡设备的身份认证装置的结构示意图。
【具体实施方式】
[0036]下面结合附图,对发明的【具体实施方式】作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
[0037]图1示出了本发明实施例提供的一种基于二维码的智能卡设备设备的身份认证方法的流程示意图,如图1所示,该方法包括如下步骤:
[0038]101、智能卡设备基于私钥对该设备当前时间进行签名,并结合所述设备内置的认证服务器地址生成认证URL的二维码。
[0039]具体的,所述认证URL包括:认证服务器的网址、认证路径、证书标识、当前时间、
签名信息和动态参数。
[0040]智能卡设备还支持手机/Pad等扫描/读取设备通过NFC、蓝牙等读取认证URL,并完成后续认证。此时传输的数据格式可以是XML或其他非URL格式。
[0041]102、终端通过扫描智能卡设备上的二维码获取认证URL,并将所述认证URL发送至认证服务器进行认证。
[0042]103、所述终端在所述认证服务器认证通过后,访问支持认证URL的网站时,网站/应用服务器通过OpenID、OAuth> FIDO或SAML获取所述认证服务器中所述认证URL的认证记录;
[0043]104、所述网站/应用服务器根据所述认证服务器中所述认证URL的认证记录,向所述终端发送认证结果。
[0044]上述方法通过在智能卡设备上生成获取认证URL的二维码,并通过终端扫描智能卡设备上的二维码获取认证URL,并且在认证服务器认证通过后,终端访问支持认证URL的网站时,也无需插入或读取智能卡,网站/应用服务器通过OpenID、OAuth, FIDO或SAML获取所述认证服务器中所述认证URL的认证记录,并根据该认证记录想终端发送认证结果,
[0045]该方法解决了智能卡在使用过程中需要通过USB或者读卡器和终端通信,并且在该终端中安装驱动,导致使用过程复杂,用户体验差的问题。
[0046]在另一个可实现的方式中,所述方法还包括采用现有的证书认证方式,在网站或者应用认证的过程中通过使用USB或者读卡器访问智能卡的方式完成用户认证。
[0047]具体的如图2所示,在所述智能卡设备上设置切换按钮,通过所述按钮得到获取认证URL的二维码,终端直接扫描二维码就可以获取认证URL。
[0048]图3示出了本发明实施例提供的一种基于二维码的智能卡设备的身份认证方法的流程示意图,如图3所示,该方法包括如下步骤:
[0049]301、智能卡设备基于私钥对该设备当前时间进行签名,并结合所述设备内置的认证服务器地址生成认证URL的二维码;
[0050]基于二维码的证书智能卡设备,是将二维码和证书机制结合在一起,提供传统的证书智能卡功能的同时,支持二维码认证。如图2所示,设备有一个液晶,存在一个触发显示的按钮,为了省电在一定时间后自动关闭显示,可以通过按钮触发生成二维码图像。
[0051]生成二维码时,COS使用私钥对设备内的当前时间T进行签名得到结果S,然后结合内置的认证服务器地址,生成一个认证URL。该认证URL包含认证服务器地址和端口等信息,认证URL还包含认证路径、证书的唯一标识(证书序列号、DN或证书指纹等)当前时间信息T、签名S和其他必要信息。因为每次生成二维码的时间是不同的,因此该二维码也是动态变化的。
[0052]302、终端通过扫描智能卡设备上的二维码,获取认证URL。
[0053]智能卡设备在二维码模式下,终端通过扫描/读取智能卡设备上的二维码,获取指向认证服务器的认证URL,然后访问该认证URL,在认证服务器上完成认证。上述终端可以为手机/Pad等扫描/读取设备,本实施例不对其进行具体限定。
[0054]在具体实施过程中,为了增强认证安全性,在所述智能卡设备上设置生成认证URL的二维码的静态口令,在所述终端输入所述静态口令后,获取所述智能卡设备中获取认证URL的二维码;所述静态口令包括用户名/ 口令认证、PIN认证、指纹认证或手势认证。
[0055]303、终端将获取的认证URL发送至认证服务器进行认证。
[0056]304、认证服务