基于非对称算法的信任设备自主注册方法

基于非对称算法的信任设备自主注册方法
【技术领域】
[0001]本发明涉及基于非对称算法的信任设备自主注册方法，属于身份认证领域。
【背景技术】
[0002]现有的带外身份认证方法中，注册这个环节遵循传统模式，代表用身份的KEY和判定的准则都是由TCA服务端完成的，TCA ：Two Channel Authentication，也就是说TCA服务端在注册这个环节中是用户身份标记产生和发放者，同时也是用户身份的判定者，面临的冋题是：
[0003](1)在注册过程中，如果通讯被劫持，就可能会将用户的身份标记泄漏出去，导致中间人攻击有效。
[0004](2)我们的服务器数据如果泄漏，那么用户的身份标记也可能被冒用，导致服务端攻击有效。
[0005](3)违背了实际生活中的原则：我是谁，本人就是最好的标记，生成身份标记的权限应该只有用户自己拥有的，谁可以判定我是谁的权限是用户本人授予的。

【发明内容】

[0006]本发明的目的在于提供信任设备的注册方法，主要解决带外身份认证流程中注册环节容易造成信息泄露的问题。
[0007]本发明适用于互联网，由用户本人使用常用设备，输入生物特征信息发起注册，TCA服务端精准的将注册QR码颁发给该用户的注册申请设备，用户再次输入生物码确认，完成注册。
[0008]为了实现上述目的，本发明采用的技术方案如下：
[0009]基于非对称算法的信任设备自主注册方法，包括如下步骤：
[0010]S1、在智能移动设备上申请注册，输入用户的特征码；
[0011]S2、将设备信息和用户特征码提交至TCA服务端，并对设备信息中的设备特征码进行唯一性判定，若该设备没有重复注册，则进行下一步；
[0012]S3、将设备信息、用户特征码、TCA服务端串码向SM2国密服务器申请国密服务；
[0013]S4、SM2国密服务器采用非对称加密算法对步骤S3的数据进行加密生成策略密钥对，并返回结果至TCA服务端生成注册QR码，并将该QR码推送至申请注册的智能移动设备上;
[0014]S5、用户再次在该智能移动设备上输入特征码确认；
[0015]S6、校验用户特征码及硬件环境，生成通讯密钥对；
[0016]S7、将通讯公钥使用用户再次输入的特征码+设备信息加密保存在本地控制认证-LCC，使用策略公钥加密及签名后的通讯私钥和QR码解析时间提交至TCA服务端；
[0017]S8、TCA服务端向SM2国密服务器申请校验私钥，校验通过则注册成功。
[0018]SM2国密服务器使用非对称加密技术保护用户数据传输安全，并用SSL通道加固形成坚固的双重传输安全保障。通讯密钥对由用户设备在注册时生成，并将用于解密的私钥发送给TCA服务端，用于之后的通讯数据解密。TCA服务端颁发策略密钥，用于确保用户设备发送过来的通讯私钥来源可靠和数据安全。
[0019]具体地，所述用户的特征码包括指纹、声纹、面部特征信息。
[0020]进一步地，所述QR码的生成过程为：
[0021]al、以用户特征码为key加密策略公钥；
[0022]a2、使用设备信息为key加密步骤al得出的结果；
[0023]QR码的内容包括设备信息、用户特征码、QR码生成时间、国密服务信息。
[0024]注册QR码的实质作用，保障了是谁？从什么设备？注册到那里？从而保障用户注册设备精准绑定一一同时确定你是谁？是使用什么设备？以此两个信息来确保终端的唯一性，以防止硬件设备模拟攻击。
[0025]再进一步地，所述步骤S4中，QR码的推送过程为：
[0026]bl、TCA服务端提交申请注册的设备ID、QR码至推送服务端；
[0027]b2、推送服务端根据设备ID将QR码推送至申请注册的智能移动设备上；
[0028]b3、智能移动设备匹配QR码的设备信息，若匹配上，则提示用户输入特征码。
[0029]再进一步地，所述步骤S6中，通讯密钥对使用策略公钥加密生成。
[0030]在步骤S7中，本地控制认证-LCC的存储过程为：
[0031]Cl、得到通讯密钥对的公钥；
[0032]c2、获取用户特征码，并用该码加密通讯公钥；
[0033]c3、动态获取设备信息，加密步骤c2的结果，并保存LCC ;
[0034]本地控制认证-LCC的获取过程为：
[0035]dl、取出 LCC 数据；
[0036]d2、使用动态获取的设备唯一码解密；
[0037]d3、获取用户特征码解密步骤d2的结果，得到通讯密钥的公钥。
[0038]LCC(Local Control Certification)用于保护用户设备本地安全。它由设备认证和用户认证两部分组成，设备认证通过能够唯一标识设备的信息验证保障，用户认证通过用户生物特征保障，将两个认证按层次叠加，确保用户端程序在启动后未联网之前或无网络启动时的使用环境安全。
[0039]另外，所述步骤S2中，判定通过后则把设备信息和用户特征码预保存至数据库中，若步骤S8校验通过则将预保存信息转为保存解密私钥。
[0040]上述步骤中，各名词解释：
[0041]非对称加密：又叫公钥加密，使用两把密钥公钥和私钥来实现加解密。其中公钥用来加密，私钥用来解密。由于公钥的拥有者不能解密所以只要保存好私钥既可以保障信息安全，避免了传统对称加密中密钥容易被泄露的问题。
[0042]密钥对：非对称加密使用两种密钥公钥、私钥，公钥可以用来加密和验签，私钥可以用来解密和签名。一个私钥可以对应多个不同的公钥，这些不同公钥的拥有者之间无法相互窥探信息，我们把这些对应中的每一组叫做密钥对。
[0043]私钥：非对称加密中用来解密和签名的密钥。
[0044]公钥：非对称加密中用来加密和验签的密钥。
[0045]策略密钥：用于控制用户设备通讯密钥生成，实际是通过加、解密用户端生成后私钥来实现。
[0046]通讯密钥：用于注册后用户端与TCA服务端数据传输加解密、签名、验证的密钥对。将原来的“传输密钥”叫法正名为“通讯密钥”，以避免因为将“传输”理解为动词导致意思混淆的问题。
[0047]与现有技术相比，本发明具有以下有益效果：
[0048]本发明以人及设备作为身份介质，遵循谁申请即是谁注册，精准绑定用户，以用户粘性极高的智能移动设备硬件及用户独有生物特征码，取代传统的帐号密码注册方式，确保用户身份认证过程的安全，极大的提高了互联网账号注册的安全性。在该注册过程中，用户只需要简单地输入两次本人的相同生物特征信息，操作简单，不需要填写任何其他的个人信息，大大提升了用户注册的体验度。
【附图说明】
[0049]图I为本发明的工作流程图。
[0050]图2为本发明-实施例的工