证信息的认证通过,否则,确定不通过;或者,确定还可以用于确定对信息处理设备的当前时间的验证通过时,确定身份认证通过。
[0211]上述实施例中,身份认证服务器在接收到终端设备的身份认证请求之后,需要从自身存储的所有密钥中查找信息处理设备中存储的第一密钥对应的第二密钥还原和/或验证处理后的种子信息。具体的,身份认证服务器可以依次尝试自身存储的每一密钥,直至其能够还原和/或验证处理后的种子信息为止。也可以根据信息处理设备的设备标识快速查找第一密钥对应的第二密钥,利用查找到的第二密钥还原和/或验证处理后的种子信息。
[0212]需要说明的是,本发明实施例中涉及的终端设备可以为手机、平板电脑、PDA(个人数字助理)、智能手表等移动终端设备,也可以是PC (个人电脑)等设备,只要是安装有摄像装置或扫描装置,能够扫描获取信息处理设备生成的图形码的终端设备均可。
[0213]另外,本发明实施例中涉及的互联网应用包括能够通过互联网/移动互联网进行访问的网站、应用程序客户端等。
[0214]具体实施时,本发明实施例提供的身份认证系统可以针对不同的互联网应用提供一个信息处理设备,也可以针对安全要求高的互联网应用如网上银行、在线支付等提供单独的信息处理设备,此时,信息处理服务器需要维护互联网应用的应用标识与其对应的信息处理设备的设备标识以及密钥之间的对应关系,以对不同的互联网应用提供身份认证。
[0215]另外,本发明实施例中涉及的互联网应用包括能够通过互联网/移动互联网进行访问的网站、应用程序客户端等。
[0216]由于现有的采用加密机制的安全系统中,非对称密钥加密技术的安全性已得到充分理论证明,并广泛使用。但其最主要的缺点是密钥太长,人类无法直接记忆和输入,用户通常需要将密钥存储在电脑文件或硬件设备中,使用时进行导入,这样,便存在密钥泄露的风险,且使用极为不便。而本发明实施例中,由于图形码作为一种方便的机器自动识别技术,可以用来表示密文信息,且容易被识别和传输进而解密。这解决了现有的非对称密钥加密机制中密钥太长,不便于直接使用的问题。此外,本发明实施例中,使用独立硬件生成身份识别信息,可以避免私钥被窃取、复制和篡改,具有极高的安全性。同时,本发明实施例中使用非对称密钥加密机制时,私钥存储在信息处理设备的安全存储模块中,公钥存储在信息处理服务器中,即使信息处理服务器遭受黑客入侵,公钥全部泄露,攻击者也无法伪造任何用户的身份进行认证,从而不构成任何威胁。最后,由于密钥的长度和强度足够,因此可以直接使用信息处理设备的设备标识(可以为其唯一的编号)作为用户名,每次对种子信息加密生成的密文信息或已签名的信息作为密码进行身份认证,实现一次一密,且密码复杂度远远高于普通人类设置的密码,安全性和便利性均大大提高。
[0217]因此,相对于传统的身份认证方法中对用户身份相关信息的处理方式,本发明实施例提供的信息处理方法安全性更高,实现了高度复杂的密码和一次一密,避免了密码被窃取的风险。且本发明实施例提供的信息处理方法,更方便快捷,用户无需记忆和输入各种不同的用户名和密码,直接从信息处理设备获身份识别信息发送给信息处理服务器即可快速完成电子签名或者身份认证等过程。
[0218]由于本发明实施例提供的身份认证方法中的密码长度和强度比普通用户设置的密码及现有的RSA SecurID双因素认证令牌使用的6位纯数字高很多,因此,在应用于身份认证场景下时,其可以直接作为主密码进行身份认证。
[0219]基于同一发明构思,本发明实施例中还分别提供了一种信息处理服务器、信息处理设备和终端设备实施的信息处理方法和相关设备,由于上述方法及设备解决问题的原理与信息处理系统相似,因此上述方法及设备的实施可以参见系统的实施,重复之处不再赘述。
[0220]实施例四
[0221]如图4所示,为本发明实施例提供的信息处理服务器实施的信息处理方法的实施流程示意图,包括:
[0222]S41、接收终端设备发送的身份识别请求。
[0223]其中,身份识别请求为所述终端设备根据从信息处理设备获取的身份识别信息确定出的,所述身份识别信息中包括第二认证信息,所述第二认证信息为所述信息处理设备利用存储的第一密钥对种子信息进行处理得到的,所述种子信息至少包括用户向所述信息处理设备输入的第一认证信息。
[0224]S42、根据接收到的身份识别请求获得所述第二认证信息。
[0225]S43、根据获得的第二认证信息识别所述用户。
[0226]其中,根据终端设备发送身份识别请求的方式,信息处理服务器可以通过不同的方式获得第二认证信息。
[0227]若身份识别请求为所述终端设备按照以下方式发送的:所述终端设备从信息处理设备获取的身份识别信息中提取所述第二认证信息,将所述第二认证信息携带在所述身份识别请求中发送。基于此,步骤S42中,可以按照以下方式获得第二认证信息:在接收到所述身份识别请求后,从所述身份识别请求中获取所述第二认证信息。
[0228]若身份识别请求为终端设备按照以下方式发送的:将从信息处理设备获取的身份识别信息携带在所述身份识别请求中发送。基于此,步骤S42中,信息处理服务器可以按照以下方式获得第二认证信息:在接收到身份识别请求后,从所述身份识别请求携带的身份识别信息中提取所述第二认证信息。
[0229]较佳的,具体实施时,第二认证信息为所述信息处理设备按照以下方法对所述种子信息进行处理得到的:利用所述第一密钥对所述第一认证信息进行加密、签名或者哈希计算。
[0230]较佳的,步骤S43中,根据获得的第二认证信息识别所述用户,可以按照以下方式实施:从存储的密钥中,查找所述第一密钥对应的第二密钥;利用查找到的第二密钥还原和/或验证所述第二认证信息,并根据还原结果或者认证结果确定是否能够识别所述用户。
[0231]较佳的,身份识别信息中还包括所述信息处理设备的设备标识,基于此,信息处理服务器在接收到身份识别请求后,可以按照以下方式查找第一密钥对应的第二密钥:根据获得的设备标识从自身存储的设备标识与密钥的对应关系中查找所述设备标识对应的密钥,将查找到的密钥确定为所述第一密钥所对应的第二密钥。
[0232]为了进一步增加信息处理的安全性,种子信息中还可以包括第三认证信息,所述第三认证信息为计算机系统能够处理的任一信息。较佳的,种子信息可以但不限于为信息处理设备的当前时间。则第二认证信息为信息处理设备按照以下方法对种子信息进行处理得到的:利用第一密钥对第一认证信息和/或所述第三认证信息进行加密、签名或者哈希计算;以及利用第二密钥还原和/或验证第二认证信息,可以包括:利用第二密钥对第二认证信息中包含的处理后的第一认证信息和/或第三认证信息进行还原和/或验证。
[0233]实施例五、
[0234]如图5所示,为本发明实施例提供的信息处理服务器的结构示意图,可以包括:
[0235]接收单元51,用于接收终端设备发送的身份识别请求,所述身份识别请求为所述终端设备根据从信息处理设备获取的用户身份识别信息确定出的,所述身份识别信息中包括第二认证信息,所述第二认证信息为所述信息处理设备利用存储的第一密钥对种子信息进行处理得到的,所述种子信息至少包括用户向所述信息处理设备输入的第一认证信息;
[0236]获得单元52,用于根据接收到的身份识别请求获得所述第二认证信息;
[0237]识别单元53,用于根据所述获得单元获得的第二认证信息识别所述用户。
[0238]其中,身份识别请求为终端设备按照以下方式发送的:终端设备从信息处理设备获取的身份识别信息中提取所述第二认证信息,将所述第二认证信息携带在所述身份识别请求中发送;以及
[0239]获得单元52,具体用于在所述接收单元51接收到所述身份识别请求后,从身份识别请求中获取所述第二认证信息。
[0240]其中,身份识别请求为所述终端设备按照以下方式发送的:将从信息处理设备获取的身份识别信息携带在所述身份识别请求中发送;以及获得单元52,具体用于在接收到身份识别请求后,从身份识别请求携带的身份识别信息中提取所述第二认证信息。
[0241]具体实施时,第二认证信息为所述信息处理设备按照以下方法对所述种子信息进行处理得到的:利用所述第一密钥对所述第一认证信息进行加密、签名或者哈希计算。
[0242]较佳的,识别单元53可以包括:
[0243]查找子单元,用于在所述获得单元获得所述第二认证信息之后,从存储的密钥中,查找所述第一密钥对应的第二密钥;
[0244]识别子单元,具体用于利用所述查找子单元查找到的第二密钥还原和/或验证所述第二认证信息,并根据还原结果或者认证结果确定是否能够识别所述用户。
[0245]较佳的,身份识别信息中还可以包括所述信息处理设备的设备标识;以及
[0246]所述获得单元,还用于在接收到所述身份识别请求后,根据所述身份识别请求获得所述设备标识;
[0247]所述查找子单元,可以用于根据所述获得单元获得的设备标识从自身存储的设备标识与密钥的对应关系中查找所述设备标识对应的密钥,将查找到的密钥确定为所述第一密钥所对应的第二密钥。
[0248]具体实施时,身份识别信息为电子签名信息或者身份认证信息;若所述身份识别信息为身份认证信息时,所述种子信息中还包括第三认证信息,所述第三认证信息为计算机系统能够处理的任一信息;所述第二认证信息为所述信息处理设备按照以下方法对所述种子信息进行处理得到的:利用所述第一密钥对所述第一认证信息和/或所述第三认证信息进行加密、签名或者哈希计算;以及
[0249]所述识别子单元单元,具体用于利用所述第二密钥对所述第二认证信息中包含的处理后的第一认证信息和/或第三认证信息进行还原和/或验证。
[0250]为了描述的方便,以上各部分按照功能划分为各模块(或单元)分别描述。当然,在实施本发明时可以把各模块(或单元)的功能在同一个或多个软件或硬件中实现。
[0251]如图6所示,为本发明实施例提供的信息处理设备实施信息处理方法的实施流程示意图,可以包括以下步骤:
[0252]S61、接收用户输入的第一认证信息。
[0253]S62、利用存储的第一密钥对种子信息进行处理得到第二认证信息,所述种子信息至少包括所述第一认证信息。
[0254]S63、生成所述用户的身份识别信息,所述身份识别信息中包括所述第二认证信息。
[0255]S64、通过与终端设备建立的通信连接,向所述终端设备提供所述身份识别信息。
[0256]其中,步骤S62中可以按照以下方式实施:利用存储的第一密钥对所述第一认证信息进行加密、签名或者哈希运算得到所述第二认证信息。
[0257]较佳的,种子信息还可以包括第三认证信息,第三认证信息可以为计算机系统能够处理的任一信息。基于此,步骤S62中,可以按照以下方式实施:利用存储的第一密钥对所述第一认证信息和/或第三认证信息进行加密、签名或者哈希运算得到所述第二认证信息。
[0258]如图7所示,为本发明实施例提供的信息处理设备的结构示意图,可以包括:
[0259]信息接收单元71,用于接收用户输入的第一认证信息;
[0260]信息处理单元72,用于利用存储的第一密钥对种子信息进行处理得到第二认证信息,所述种子信息至少包括所述第一认证信息;
[0261]生成单元73,用于生成所述用户的身份识别信息,所述身份识别信息中包括所述第二认证信息;
[0262]通信单元74,通过与终端设备建立的通信连接,向所述终端设备提供所述身份识别信息。
[0263]其中,信息处理单元72,可以用于利用存储的第一密钥对所述第一认证信息进行加密、签名或者哈希运算得到所述第二认证信息。
[0264]较佳的,种子信息还包括第三认证信息,第三认证信息可以为计算机系统能够处理的任一信息。基于此,信息处理单元72,可以用于利用存储的第一密钥对所述第一认证信息和/或第三认证信息进行加密、签名或者哈希运算得到所述第二认证信息。
[0265]如图8所示,为终端设备实施信息处理方法的实施流程示意图,可以包括以下步骤:
[0266]S81、通过与信息处理设备建立的通信连接获得所述信息处理设备根据种子信息生成的身份识别信息。
[0267]其中,种子信息中至少包括用户向所述信