一种基于tee的动态口令的身份验证方法及系统的制作方法
【技术领域】
[0001 ]本申请涉及信息技术领域,具体地说,涉及一种基于TEE的动态口令的身份验证方法及系统。
【背景技术】
[0002]为了提高网上银行、电话银行、网上证券、电话证券、网上购物、网络游戏等网络应用系统的身份认证安全性,各行业、各企业纷纷推出比传统静态密码具有更高安全性的动态口令身份认证系统。
[0003]采用动态口令身份认证系统进行身份认证,极大提高了网络应用系统的安全性。目前主要的身份认证方式及其优缺点为:
[0004]动态口令技术和PKI技术,目前多以硬件形式实现,安全性较高,目前有广泛应用;但其需要用户去领取实物、随身携带、且有学习使用过程,用户体验较差;而其中的短信验证码虽然不需要额外的硬件设备,但由于手机平台的开放性,安全性较差,面临问题越来越多;
[0005]生物特征的身份认证,用户不需要携带额外硬件,使用体验较好;但由于其多为静态数据,在开放环境、开放网络、开放平台上容易被截获或者进行复制;特别是由于生物特征具备不能更改的特性,容易产生较多安全问题,因此其更适合作为近场身份认证手段;
[0006]基于大数据的分析的身份认证,对用户完全是透明的,用户体验更好,但多维度数据的归集和使用尚无相关法律法规,还牵扯隐私保护等问题,同时其识别结果只能是一个概率,而不是一个确定性的判定,因此其更适合作为广告营销和风险控制手段。
[0007]因此,急需一种安全、便利并且兼容性好的基于TEE的动态口令的身份认证方法。
【发明内容】
[0008]有鉴于此,本申请所要解决的技术问题是现有的身份认证方法不安全、不稳定、不便利和兼容性不高的问题。
[0009]为了解决上述技术问题,本发明提供了一种基于TEE的动态口令的身份验证方法及系统,通过在TEE下进行动态口令的生成及验证,避免了现有的身份认证方法不安全、不稳定、不便利和兼容性不高的问题,本申请技术方案如下:
[0010]一种基于TEE的动态口令的身份验证方法,包括终端预先配置动态口令系统、动态口令生成过程和动态口令验证过程,其特征在于,所述终端具备TEE,所述动态口令生成过程,在所述终端上进行,用于针对用户请求生成动态口令,所述动态口令验证过程用于认证请求的用户的身份,认证方式包括所述动态口令;其中,所述动态口令生成过程在TEE下进行。
[0011]优选的,所述客户端为所述终端内部应用客户端,所述动态口令生成过程包括:
[0012]步骤1:所述动态口令系统安全储存用户身份信息,所述终端收到客户端的应用请求,所述应用请求发送生成动态口令的请求及使用客户端数字证书对应的私钥对请求的签名,启动所述动态口令系统,所述动态口令系统校验所述客户端签名的合法后,向终端用户发送输入所述用户身份信息的请求;
[0013]步骤2:所述动态口令系统将输入的信息与所述步骤I中储存的所述用户身份信息进行fe验;
[0014]步骤3:当所述步骤2中校验的结果为信息一致时,所述动态口令系统生成动态口令,所述动态口令生成过程完成。
[0015]优选的,所述客户端为所述终端外部应用客户端,所述外部应用客户端是指所述应用客户端的载体为所述步骤I中终端之外的设备,所述动态口令生成过程包括:
[0016]步骤①:所述动态口令系统安全储存用户身份信息,启动所述动态口令系统时,所述动态口令系统向用户发送输入所述用户身份信息的请求;
[0017]步骤②:所述动态口令系统将输入的信息与所述步骤①中储存的所述用户身份信息进行校验;
[0018]步骤③:当所述步骤②中校验的结果为信息一致时,所述动态口令系统通过0TG、NFC、蓝牙、音频、声波、用户输入或扫描条形码、二维码的方式获取所述客户端请求产生动态口令的信息,生成动态口令,所述动态口令生成过程完成。
[0019]优选的,所述客户端为终端内部应用客户端,所述动态口令验证过程包括:
[0020]步骤Al:所述动态口令系统发送所述步骤3中产生的动态口令至所述终端内部应用客户端;
[0021 ]步骤BI:所述终端内部应用客户端收到所述动态口令后,发送步骤I中的请求信息至该客户端应用对应的服务器;
[0022]步骤Cl:步骤BI中所述服务器接收所述动态口令,校验用户信息和步骤BI中发送的动态口令,校验结果为正确时,所述服务器处理所述应用请求并返回处理结果至所述终端内部应用客户端;
[0023]步骤Dl:所述终端内部应用客户端接收所述步骤Cl中的处理结果,校验相关信息并显示,所述动态口令验证过程完毕。
[0024]优选的,所述客户端为终端外部应用客户端,所述外部应用客户端是指所述应用客户端的载体为所述步骤I中终端之外的设备,所述动态口令验证过程包括:
[0025]步骤A2:所述终端显示所述步骤③中产生的动态口令供用户读取并输入所述客户端、或通过0TG、NFC、蓝牙、音频或声波的方式发送动态口令到所述客户端,或以条形码、二维码的形式显示供所述外部应用客户端扫描读取;
[0026]步骤B2:所述外部应用客户端获取该动态口令后,发送所述步骤③中的请求信息至该客户端应用对应的服务器;
[0027]步骤C2:步骤B2中所述服务器接收所述步骤B2中的所述动态口令,校验用户信息和步骤B2发送的动态口令,校验结果为正确时,所述服务器处理所述应用请求并返回处理结果至所述外部应用客户端;
[0028]步骤D2:所述外部应用客户端接收所述步骤C2中的处理结果,校验相关信息并显示,所述动态口令验证过程完毕。
[0029]优选的,还包括所述动态口令系统的创建账户和种子密钥下载的过程,其中,包括:
[0030]步骤一:终端预先配置基于TEE的动态口令系统构成所述动态口令系统,在所述动态口令系统注册用户账户,注册用户账户包括输入身份信息和设置访问口令,所述动态口令系统安全储存所述注册身份信息和访问口令;
[0031]步骤二:所述动态口令系统读取信任根设备的认证数据或者请求信任根设备签发认证数据;
[0032]步骤三:所述动态口令系统通过动态口令认证服务器请求信任根系统认证步骤二中所述认证数据和所述注册身份信息,所述信任根系统与步骤二中所述信任根设备相对应;
[0033]步骤四:所述信任根系统校验步骤二中所述认证数据并校验所述注册身份信息与所述信任根设备是否相对应,将校验结果通过所述动态口令认证服务器发送至所述动态口令系统;
[0034]步骤五:当步骤四所述校验结果为所述认证数据校验成功并且所述注册身份信息与所述信任根设备相对应时,所述动态口令系统产生第一随机数,预存的动态口令认证服务器加密证书公钥加密所述第一随机数并发送至所述动态口令认证服务器;
[0035]步骤六:所述服务器接收所述步骤五中的第一随机数,将步骤一中所述用户账户与所述动态口令系统绑定,并产生第二随机数,用解密的所述第一随机数加密后发送至所述动态口令系统;
[0036]步骤七:所述动态口令系统接收并安全储存所述步骤六中解密后的第二随机数作为种子密钥,所述动态口令系统的创建账户和种子密钥下载过程完成;
[0037]所述步骤一至三、步骤五和步骤七在TEE下进行。
[0038]优选的,还包括所述动态口令系统的种子密钥的更新过程,其中,包括:
[0039]步骤a:所述动态口令系统请求更新种子,并向用户发送输入所述用户身份信息的请求;
[0040]步骤b:所述动态口令系统将输入的信息与所述步骤I中储存的所述用户身份信息进行校验;当校验结果为一致时,向用户发送使用信任根设备的请求;
[0041 ]步骤c:所述动态口令系统读取信任根设备的认证数据或者请求信任根设备签发认证数据;当信任根设备授权读取或签发相关认证数据时,所述动态口令系统通过动态口令认证服务器请求信任根系统认证所述注册身份信息和所述认证数据,所述信任根系统与步骤b中所述信任根设备相对应;
[0042]步骤d:所述信任根系统校验所述步骤c中认证数据并校验所述注册身份信息与所述信任根设备是否相对应,将校验结果通过所述动态口令认证服务器发送至所述动态口令系统;
[0043]步骤e:当步骤d所述校验结果为所述认证数据校验成功并且所述注册身份信息与所述信任根设备相对应时,所述动态口令系统产生第三随机数,预存的动态口令认证服务器加密证书公钥加密所述第三随机数并发送至所述动态口令认证服务器;
[0044]步骤f:所述服务器将步骤a中所述用户账户与所述动态口令系统绑定,并产生第四随机数,用解密的所述第三随机数加密后发送至所述动态口令系统;
[0045]步骤g:所述动态口令系统接收并安全储存所述步骤f中解密后的第四随机数作为新的种子密钥并删除老种子密钥,所述动态口令系统的种子密钥的更新过程完成;
[0046]所述步骤a至c、步骤e和步骤g在TEE下进行。
[0047]优选的,所述步骤I中的用户身份信息包括用户基本身份信息和生物特征信息,所述基本身份信息包括姓名和证件号码,所述生物特征信息包括指纹信息、面部特征信息、声纹信息和/或虹膜信息;
[0048]所述步骤3中还包括:当所述步骤2中校验的结果为信息一致时,所述动态口令系统安全显示所述客户端的应用请求信息,并提请用户确认,在用户确认同意所述请求后,所述动态口令系统生成动态口令,所述动态口令生成过程完成;
[0049]所述步骤③中还包括:当所述步骤②中校验的结果为信息一致时,所述动态口令系统安全显示所述客户端的应