够进一步提高身份认证系统的安全性,这种情况下,即使身份认证服务器被入侵,攻击者也无法伪造用户登录。
[0168]基于此,信息处理设备在接收到用户输入的第一认证信息之后,利用自身存储的第一密钥对第一认证信息进行处理。较佳的,信息处理设备可以利用第一密钥对第一认证信息加密得到其对应的密文,或者,信息处理设备还可以利用第一密钥对第一认证信息进行签名,或者,信息处理设备还可以利用第一密钥对第一认证信息进行哈希计算得到对应的哈希值。
[0169]为了便于描述,本发明实施中将对第一认证信息进行处理后得到的信息称为第二认证信息。根据信息处理设备处理第一认证信息的处理方式的不同,第二认证信息可以为上述对第一认证信息进行加密得到的密文,也可以为对第一认证信息进行签名后得到的签名后的第一认证信息,还可以为对第一认证信息进行哈希计算得到的哈希值。
[0170]S33、信息处理设备生成用户对应的身份认证信息。
[0171]信息处理设备利用对第一认证信息进行处理后得到的第二认证信息生成用户对应的身份认证信息。
[0172]较佳的,信息处理设备生成的身份认证信息可以但不限于为图形码,该图形码可以为一维码(条形码)和二维码,其中,二维码包括标准二维码和非标准二维码(即一些变形的二维码,如圆形二维码、彩色二维码等等),本发明对此不做限定。
[0173]具体实施时,信息处理设备可以由安全存储模块、信息输入模块、信息处理模块和可显示图形码的电子显示器组成,其中,安全存储模块中存储有该信息处理设备存储的第一密钥。这样,用户在需要进行身份认证时,通过信息输入模块输入第一认证信息,信息处理模块利用安全存储模块预先存储的第一密钥对用户输入的第一认证信息进行处理得到第二认证信息。信息处理模块利用第二认证信息生成一个图形码。
[0174]较佳的,为了避免用户丢失信息处理设备带来的风险,本发明实施例中,信息处理设备还可以在生成用户身份认证信息之前对用户身份进行识别,例如,可以通过指纹进行识别,也可以通过用户预先设置的密码对用户进行识别,这里不做限定,相应的,信息处理设备还可以包括数字按键或者指纹采集装置。
[0175]S34、终端设备与信息处理设备建立通信连接。
[0176]S35、信息处理设备向终端设备提供生成的身份认证信息。
[0177]S36、终端设备向身份认证服务器发送身份认证请求。
[0178]终端设备在获取了身份认证信息之后,有以下两种处理方式:
[0179]处理方式一、
[0180]终端设备将该身份认证信息不做任何处理,直接将获取的身份认证信息携带在身份认证请求中发送给身份认证服务器。
[0181]处理方式二、
[0182]终端设备提取身份认证信息中包含的第二认证信息后,将第二认证信息携带在身份认证请求中发送给身份认证服务器。
[0183]分别与上述两种处理方式相对应,终端设备在向身份认证服务器中发送的身份认证请求中可以携带身份认证信息或者提取的第二认证信息。
[0184]相应的,身份认证服务器可以按照以下方式获得第二认证信息:身份认证服务器在接收到身份认证请求之后,如果其中携带有身份认证信息,则身份认证服务器可以从身份认证信息中提取第二认证信息;如果其中携带有第二认证信息,则身份认证服务器可以直接从身份认证请求中获取第二认证信息。
[0185]具体实施时,终端设备还可以在身份认证请求中携带用户访问的互联网应用的应用标识或者应用名称和该互联网应用在全局范围内的唯一标识,该唯一标识是一个全局唯一的编码,在不同的互联网应用、不同的终端设备、不同时间上都不重复。较佳的,该唯一标识可以但不限于为UUID (Universally Unique Identifier,通用唯一识别码)或者⑶ID (Globally Unique Identif ier,全局唯一标识符),当然也可以是采用类似技术实现的全局范围内的一个标识,为了便于描述以下以UUID为例进行说明。
[0186]如果用户通过步骤S31中提供的第一种方式访问互联网应用,则终端设备可以直接获取用户当前正在访问的互联网应用的应用标识或者应用名称及其对应的UUID —并发送给身份认证服务器;如果用户通过步骤S31中提供的第二种方式访问互联网应用,则在生成登录页面显示的图形码中包括互联网应用的应用标识或者应用名称和该互联网应用对应的UUID,这样,终端设备通过扫描该图形码便可以获取应用标识或者应用名称和该互联网应用对应的UUID,与从信息处理设备生成的图形码中获取的第二认证信息一并发送给身份认证服务器或者也可以与从信息处理设备生成的图形码一并发送给身份认证服务器。
[0187]具体实施时,终端设备可以通过有线网络、无线网络和移动通信网络等向身份认证服务器发送身份认证请求。
[0188]S37、身份认证服务器根据接收到的身份认证请求获得第二认证信息。
[0189]步骤S36中描述了身份认证服务器根据接收到的身份认证请求获得第二认证信息的两种方式,这里不再赘述。
[0190]S38、身份认证服务器从自身存储的密钥中查找第一密钥对应的第二密钥。
[0191]在获得了第二认证信息后,身份认证服务器从自身存储的密钥中查找第一密钥对应的第二密钥。
[0192]为了便于身份认证服务器快速查找第一密钥对应的第二密钥,信息处理设备在生成身份认证信息时,可以加入自身的设备标识。
[0193]基于此,身份认证服务器可以通过以下两种方式获得该设备标识:
[0194]方式一、
[0195]如果终端设备对获取的身份认证信息不进行任何处理,而是直接将获取的身份认证信息携带在身份认证请求中发送给身份认证服务器,则身份认证服务可以从身份认证请求中携带的身份认证信息中分别提取第二认证信息和该设备标识。
[0196]方式二、如果终端设备对获取的身份认证信息进行处理,则终端设备分别提取身份认证信息中包含的第二认证信息和该设备标识,并将携带在身份认证请求中一并发送给身份认证服务器,身份认证服务器从接收到的身份认证请求中直接提取第二认证信息和设备标识即可获得,进而,身份认证服务器根据获得的设备标识从自身存储的设备标识与密钥的对应关系中查找所述设备标识对应的密钥,将查找到的密钥确定为所述第一密钥所对应的第二密钥。
[0197]S39、身份认证服务器利用查找到的第二密钥还原和/或验证第二认证信息。
[0198]与步骤S32中,信息处理设备对第一认证信息进行处理的处理方式相对应,步骤S38中,如果信息处理设备利用第一密钥对第一认证信息进行加密得到对应的密文,身份认证服务器可以利用第二密钥对得到的密文进行解密,还可以利用第二密钥直接对得到的密文进行验证;如果信息处理设备利用第一密钥对第一认证信息进行签名得签名后的第一认证信息,则身份认证服务器可以利用第二密钥对签名后的第一认证信息进行验证;如果信息处理设备利用第一密钥对第一认证信息进行哈希计算得到哈希值,则身份认证服务器可以利用第二密钥对得到的哈希值进行验证。
[0199]S310、身份认证服务器进行身份认证。
[0200]如果身份认证服务器确定利用第二密钥对加密后的第一认证信息得到的密文进行解密(即还原)得到第一认证信息时,确定对该用户的身份认证通过,否则确定对该用户的身份认证不通过;或者,身份认证服务器利用第二密钥对加密后的第一认证信息得到的密文进行验证,如果验证通过,则确定对该用户的身份认证通过,否则确定对该用户的身份认证不通过;或者,身份认证服务器确定利用第二密钥对签名后的第一认证信息进行验证且验证通过,确定对该用户的身份认证通过,否则确定对该用户的身份认证不通过;或者身份认证服务器确定利用第二密钥对进行哈希计算得到的哈希值进行验证且验证通过时,确定对该用户的身份认证通过,否则确定对该用户的身份认证不通过。
[0201]具体的,在使用非对称密钥加密技术时,如果信息处理设备使用私钥对第一认证信息进行签名,则身份认证服务器存储的公钥可以用于对得到的第二认证信息进行验证;如果信息处理设备使用私钥对第一认证信息进行加密,则身份认证服务器存储的公钥可以用于对得到密文进行还原和/或验证。若使用对称密钥加密技术,如果信息处理设备使用存储的密钥对第一认证信息进行签名,则身份认证服务器存储的密钥可以用于对签名后得到的第二认证信息进行验证;如果信息处理设备使用存储的密钥对第一认证信息进行加密,则身份认证服务器存储的密钥既可以用于对密文进行解密后再验证,也可以不还原直接验证密文;如果信息处理设备使用哈希算法对第一认证信息进行哈希运算得到哈希值,则身份认证服务器可以用于对得到的哈希值进行验证。
[0202]S311、身份认证服务器向提供互联网应用的应用服务器发送身份认证结果。
[0203]具体实施时,身份认证服务器根据身份认证请求中携带的应用标识或者应用名称向该应用标识或者应用名称对应的应用服务器提供认证结果,并在发送的认证结果中携带用户当前访问的互联网应用的UUID。
[0204]S312、应用服务器向终端设备发送允许/拒绝访问的响应消息。
[0205]具体实施时,应用服务器根据UUID确定用户访问互联网应用的终端设备及应用程序,并根据认证结果向该终端设备发送允许/拒绝访问的响应消息。
[0206]具体实施时,上述应用于身份认证的信息处理系统可以针对不同的互联网应用提供一个信息处理设备,也可以针对安全要求高的互联网应用如电子银行、在线支付等提供单独的信息处理设备,此时,身份认证服务器需要维护互联网应用的应用标识与其对应的信息处理设备的设备标识以及密钥之间的对应关系,以对不同的互联网应用提供身份认证。
[0207]在应用于身份认证场景下时,为了进一步提高身份认证的安全性,种子信息中还可以包括第三认证信息。第三认证信息可以为计算机系统可处理的任一信息,如已知的固定信息(比如名字、固定的数字等等)、随机数、时间、累加计数器等等,只要是能够使用密钥进行处理的信息均可,本发明对此不做限定。较佳的,第三认证信息可以为唯一且无法重复的信息,例如第三认证信息可以为信息处理设备的当前时间。
[0208]为了便于描述,以下以第三认证信息为信息处理设备的当前时间为例,也就是说种子信息中包括用户输入的第一认证信息和信息处理设备的当前时间,这种情况下,对用户进行身份认证的过程与实施例一种类似,具体实施过程可以参照步骤S31?步骤S312,不同之处在于,在步骤S32中,信息处理设备利用存储的第一密钥对种子信息进行处理得到第二认证信息时,如果种子信息包含第一认证信息和第三认证信息,则信息处理设备可以利用第一密钥对第一认证信息和第三认证信息进行处理得到第二认证信息,也可以利用第一密钥分别对第一认证信息和第三认证信息进行处理,即信息处理设备可以利用存储的第一密钥分别对第一认证信息和第三认证信息进行加密、签名或者哈希运算,处理后的第一认证信息和处理后的第三认证信息组成第二认证信息;相应的,在步骤S39中,如果对第一认证信息和第三认证信息分别进行处理时,则身份认证服务器需要利用第二密钥对第二认证信息中包含的处理后的第一认证信息和处理后的第三认证信息分别进行还原和/或验证。
[0209]具体的,步骤S32中,如果信息处理设备利用第一密钥对种子信息进行加密,则需要分别对第一认证信息和第三认证信息进行加密得到对应的密文;如果信息处理设备利用第一密钥对种子信息进行签名,则需要分别对第一认证信息和第三认证信息进行签名;如果信息处理设备利用第一密钥对种子信息进行哈希计算,则需要分别对第一认证信息和第三认证信息进行哈希计算得到对应的哈希值。这样,信息处理设备生成的图形码中,将包括处理后的第一认证信息和第三认证信息,相应的,信息处理服务器最终将分别获得处理后的第一认证信息和处理后的第三认证信息。步骤S39中,身份认证服务器在进行身份认证时,需要利用自身存储的第二密钥分别还原和/或验证处理后的第一认证信息和处理后的第三认证信息,且在对两者的验证均通过时,才确定身份认证通过,只要有一项验证不通过,则确定身份认证不通过。
[0210]需要说明的是,如果第三认证信息为信息处理设备的当前时间,则身份认证服务器可以按照以下方法确定对第三认证信息的认证是否通过:如果利用第二密钥对加密的信息处理设备的当前时间进行解密得到的时间与自身的当前时间之间的间隔在预设时间间隔范围之内(如可以设置为极短的时间间隔)时,确定对第三认