一种交互式身份验证方法、装置、系统和相关设备制造方法及图纸

本发明专利技术公开了一种交互式身份验证方法、装置、系统和相关设备，用以提高身份验证的安全性和通用性。所述系统包括：终端设备，用于需要进行身份验证时与验证信息生成设备建立通信连接；在与验证信息生成设备交互得到身份验证信息后，向身份验证服务器发送身份验证请求，身份验证请求中携带有身份验证信息；验证信息生成设备，用于生成身份验证信息；与所述终端设备交互所述身份验证信息，其中至少包括利用存储的第一密钥对种子信息进行处理后得到的处理后的种子信息；身份验证服务器，用于使用自身存储的第一密钥对应的第二密钥还原和/或验证身份验证信息中包含的处理后的种子信息；根据还原结果或者验证结果确定身份验证是否通过。

【技术实现步骤摘要】
一种交互式身份验证方法、装置、系统和相关设备
本专利技术涉及信息安全
，尤其涉及一种交互式身份验证方法、装置、系统和 相关设备。
技术介绍
随着互联网技术尤其是移动互联网技术的飞速发展，通过互联网提供的互联网应 用越来越多。用户在访问这些互联网应用时，如访问电子邮件、访问即时通信应用、访问网 站等，为了保证用户访问的安全性，各互联网应用的提供方通常需要在用户登录时对用户 身份进行验证。 当前，最常见的身份验证方法为通过用户注册时提供的用户名和密码，用户名和 密码通常由大小写字母、数字和可输入的符号组成，若输入的用户名和密码匹配即可通过 验证。在对安全性要求更高的互联网应用中，如网上银行、在线支付应用等，通常还会使用 其他辅助的身份验证手段，常见的有手机验证码、RSA SecurlD双因素验证令牌和智能卡 等。 上述各种身份验证方法中，通过用户名和密码是最常用的身份验证方法，但是由 于用户名和密码长度都有一定的限制，密码设置太短、太简单的话，容易被破解，太长太复 杂用不便于记忆。而且，用户名和面膜在通过键盘输入时，容易被终端设备中的恶意代码窃 取，从而降低了身份验证的安全性。 如果手机验证码作为辅助的身份验证手段，由于智能手机很容易被植入恶意代 码，其可以拦截网络侧下发的手机验证码，从而也无法保证身份验证的安全性。而智能卡由 于硬件限制，难以普及且通用性不强。至于RSASecurlD双因素验证令牌，其广泛应用于世 界各地的重要信息系统中，但由于其是采用6位数字进行验证，只适合作为验证码使用，而 不能作为验证身份的用户名和主要密码。且该方法智能在独立的信息系统中使用，无法通 用，用户通常需要持有多个不同的SecurlD令牌。 由此可见，如何提高身份验证的安全性和通用性成为现有技术中亟待解决的技术 问题之一。
技术实现思路
本专利技术实施例提供一种交互式身份验证方法、装置、系统和相关设备，用以提高身 份验证的安全性和通用性。 本专利技术实施例提供一种交互式身份验证系统，包括： 终端设备，用于在访问互联网应用需要进行身份验证时，与验证信息生成设备建 立通信连接；在通过建立的通信连接与所述验证信息生成设备交互得到身份验证信息后， 向身份验证服务器发送身份验证请求，所述身份验证请求中携带有所述身份验证信息； 验证信息生成设备，用于生成身份验证信息；并通过与所述终端设备建立的通信 连接与所述终端设备交互所述身份验证信息，所述身份验证信息至少包括利用存储的第一 密钥对种子信息进行处理后得到的处理后的种子信息，所述种子信息为计算机系统能够处 理的任一信息； 身份验证服务器，用于在接收到所述身份验证请求之后，使用自身存储的所述第 一密钥对应的第二密钥还原和/或验证所述身份验证信息中包含的处理后的种子信息；根 据还原结果或者验证结果确定身份验证是否通过。 本专利技术实施例提供一种网络侧实施的交互式身份验证方法，包括： 接收终端设备在访问互联网应用需要进行身份验证时发送的身份验证请求，所述 身份验证请求中携带有所述终端设备与验证信息生成设备建立通信连接后与所述验证信 息生成设备交互得到的身份验证信息，所述身份验证信息中至少包括所述验证信息生成设 备利用存储的第一密钥对种子信息进行处理得到的处理后的种子信息，所述种子信息为计 算机系统能够处理的任一信息； 从自身存储的密钥中，查找所述第一密钥对应的第二密钥； 使用查找到的第二密钥还原和/或验证处理后的种子信息； 根据还原结果或者验证结果确定身份验证是否通过。 本专利技术实施例提供一种交互式身份验证装置，包括： 接收单元，用于接收终端设备在访问互联网应用需要进行身份验证时发送的身份 验证请求，所述身份验证请求中携带有所述终端设备与验证信息生成设备建立通信连接后 与所述验证信息生成设备交互得到的身份验证信息，所述身份验证信息中至少包括所述验 证信息生成设备利用存储的第一密钥对种子信息进行处理得到的处理后的种子信息，所述 种子信息为计算机系统能够处理的任一信息； 查找单元，用于从自身存储的密钥中，查找所述第一密钥对应的第二密钥； 处理单元，用于使用所述查找单元查找到的第二密钥还原和/或验证处理后的种 子信息； 身份验证单元，用于根据还原结果或者验证结果确定身份验证是否通过。 本专利技术实施例提供一种终端设备侧实施的交互式身份验证方法，包括： 终端设备在访问互联网应用需要进行身份验证时，与验证信息生成设备建立通信 连接； 所述终端设备通过所述通信连接与所述验证信息生成设备交互得到身份验证信 息，所述身份验证信息至少包括所述验证信息生成设备利用存储的第一密钥对种子信息进 行处理后得到的处理后的种子信息，所述种子信息为计算机系统能够处理的任一信息； 所述终端设备向身份验证服务器发送身份验证请求，所述身份验证请求中携带有 所述身份验证信息； 所述终端设备接收所述互联网应用对应的应用服务器发送的允许/拒绝访问的 响应消息，所述响应消息为所述应用服务器根据所述身份验证服务器发送的身份验证结果 发送的。 本专利技术实施例提供一种终端设备，包括： 通信单元，用于在访问互联网应用需要进行身份验证时，与验证信息生成设备建 立通信连接； 交互单元，用于通过所述通信连接与所述验证信息生成设备交互得到身份验证信 息，所述身份验证信息至少包括所述验证信息生成设备利用存储的第一密钥对种子信息进 行处理后得到的处理后的种子信息，所述种子信息为计算机系统能够处理的任一信息；以 及接收所述互联网应用对应的应用服务器发送的允许/拒绝访问的响应消息，所述响应消 息为所述应用服务器根据所述身份验证服务器发送的身份验证结果发送的； 发送单元，用于向身份验证服务器发送身份验证请求，所述身份验证请求中携带 有所述身份验证信息。 本专利技术实施例提供的交互式身份验证方法、装置、系统和相关设备，在访问互联网 应用需要进行身份验证时，终端设备与验证信息生成设备建立通信连接，并通过建立的通 信连接与验证信息生成设备交互验证信息生成设备生成的身份验证信息，身份验证信息中 至少包括验证信息生成设备利用自身存储的密钥对种子信息进行处理得到的处理后的种 子信息。终端设备将身份验证信息携带在身份验证请求中发送给网络侧的身份验证服务 器，身份验证服务器查找自身存储的该验证信息生成设备中存储的密钥所对应的密钥，并 利用查找到的密钥还原和/或验证处理后的种子信息，并根据还原结果或者验证结果确定 身份验证是否通过。由于上述过程中，一方面，无需用户记忆用户名和密码，终端设备将接 收到的身份验证信息发送给身份验证服务器即可进行验证，简化了用户操作，另一方面，身 份验证信息为根据处理后的种子信息生成的，其复杂程度高于人类可以记忆的密码，且其 是唯一的且不可重复的，因此，即使中途被监听也无法再次使用和伪造，从而提高了身份验 证的安全性。另外，本专利技术实施例提供的身份验证方法，适用于需要对身份进行验证的场 景，因此，其提高了身份验证方法的通用性。 本专利技术的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变 得显而易本文档来自技高网...

【技术保护点】
一种交互式身份验证系统，其特征在于，包括：终端设备，用于在访问互联网应用需要进行身份验证时，与验证信息生成设备建立通信连接；在通过建立的通信连接与所述验证信息生成设备交互得到身份验证信息后，向身份验证服务器发送身份验证请求，所述身份验证请求中携带有所述身份验证信息；验证信息生成设备，用于生成身份验证信息；并通过与所述终端设备建立的通信连接与所述终端设备交互所述身份验证信息，所述身份验证信息至少包括利用存储的第一密钥对种子信息进行处理后得到的处理后的种子信息，所述种子信息为计算机系统能够处理的任一信息；身份验证服务器，用于在接收到所述身份验证请求之后，使用自身存储的所述第一密钥对应的第二密钥还原和/或验证所述身份验证信息中包含的处理后的种子信息；根据还原结果或者验证结果确定身份验证是否通过。

【技术特征摘要】
1. 一种交互式身份验证系统，其特征在于，包括： 终端设备，用于在访问互联网应用需要进行身份验证时，与验证信息生成设备建立通 信连接；在通过建立的通信连接与所述验证信息生成设备交互得到身份验证信息后，向身 份验证服务器发送身份验证请求，所述身份验证请求中携带有所述身份验证信息； 验证信息生成设备，用于生成身份验证信息；并通过与所述终端设备建立的通信连接 与所述终端设备交互所述身份验证信息，所述身份验证信息至少包括利用存储的第一密钥 对种子信息进行处理后得到的处理后的种子信息，所述种子信息为计算机系统能够处理的 任一信息； 身份验证服务器，用于在接收到所述身份验证请求之后，使用自身存储的所述第一密 钥对应的第二密钥还原和/或验证所述身份验证信息中包含的处理后的种子信息；根据还 原结果或者验证结果确定身份验证是否通过。2. 如权利要求1所述的系统，其特征在于，所述身份验证信息中还包括所述验证信息 生成设备的设备标识；以及所述身份验证请求中还包括所述设备标识； 所述身份验证服务器，具体用于按照以下方法确定所述第一密钥对应的第二密钥：根 据所述设备标识，从自身存储的设备标识与密钥的对应关系中查找所述设备标识对应的密 钥，将所述设备标识对应的密钥确定为所述第一密钥对应的第二密钥。3. 如权利要求1所述的系统，其特征在于，所述种子信息为验证信息生成设备的当前 时间；以及 所述身份验证服务器，具体用于在确定还原出的验证信息生成设备的当前时间与自身 的当前时间之间的间隔在预设时间间隔范围之内时，确定身份验证通过；或者确定对所述 验证信息生成设备的当前时间的验证通过时，确定身份验证通过。4. 如权利要求1所述的系统，其特征在于， 所述验证信息生成设备，具体用于按照以下方法利用存储的密钥对种子信息进行处 理：利用存储的密钥对种子信息进行加密、签名或者哈希运算； 所述身份验证服务器，具体用于按照以下方法利用查找到的密钥还原和/或验证处理 后的种子信息：利用查找到的密钥对加密的种子信息进行解密得到所述种子信息；或者利 用查找到的密钥对已签名的种子信息进行验证；或者利用查找到的密钥对所述种子信息进 行哈希运算后得到的哈希值进行验证。5. 如权利要求1?4任一权利要求所述的系统，其特征在于， 所述终端设备，具体用于按照以下方式中的任一种与所述验证信息生成设备建立通信 连接：耳机接口、蓝牙、红外、近场通信NFC、无线保真WIFI、通用串行接口 USB或者数据传输 接口 OTG。6. 如权利要求1所述的系统，其特征在于， 所述终端设备，还用于获取所述互联网应用的应用标识；以及将所述应用标识携带在 所述身份验证请求中发送给所述身份验证服务器； 所述身份验证服务器，还用于从预先存储的应用标识与应用服务器标识的对应关系中 查找所述应用标识对应的应用服务器标识；向所述应用服务器标识对应的应用服务器发送 身份验证结果。7. 如权利要求6所述的系统，其特征在于， 所述终端设备，具体用于在使用所述终端设备访问所述互联网应用时，通过所述互联 网应用提供的接口获取所述互联网应用的应用标识；或者在使用除所述终端设备以外的终 端设备访问所述互联网应用时，通过扫描所述互联网应用提供的图形码获取所述互联网应 用的应用标识。8. 如权利要求1所述的系统，其特征在于， 所述终端设备，还用于获取所述互联网应用的应用识别码；将获取的应用识别码发送 给所述验证信息生成设备；以及将所述验证信息生成设备发送的处理后的应用识别码携带 在所述身份验证请求中发送给所述身份验证服务器； 所述验证信息生成设备，还用于利用存储的第一密钥对所述应用识别码进行处理；以 及将处理后的应用识别码携带在身份验证信息中发送给所述终端设备。9. 一种交互式身份验证方法，其特征在于，包括： 接收终端设备在访问互联网应用需要进行身份验证时发送的身份验证请求，所述身份 验证请求中携带有所述终端设备与验证信息生成设备建立通信连接后与所述验证信息生 成设备交互得到的身份验证信息，所述身份验证信息中至少包括所述验证信息生成设备利 用存储的第一密钥对种子信息进行处理得到的处理后的种子信息，所述种子信息为计算机 系统能够处理的任一信息； 从自身存储的密钥中，查找所述第一密钥对应的第二密钥； 使用查找到的第二密钥还原和/或验证处理后的种子信息； 根据还原结果或者验证结果确定身份验证是否通过。10. 如权利要求9所述的方法，其特征在于，所述身份验证信息中还包括所述验证信息 生成设备的设备标识；所述身份验证请求中还携带有所述设备标识；以及 从自身存储的密钥中，查找所述第一密钥对应的第二密钥，具体包括： 根据所述设备标识，从自身存储的设备标识与密钥的对应关系中查找所述设备标识对 应的密钥； 将所述设备标识对应的密钥作为所述第一密钥对应的第二密钥。11. 如权利要求9所述的方法，其特征在于，所述种子信息为验证信息生成设备的当前 时间；以及 按照以下方法确定身份验证通过： 在确定还原出的验证信息生成设备的当前时间与当前时间之间的间隔在预设时间间 隔范围之内时，确定身份验证通过；或者 确定对所述验证信息生成设备的当前时间的验证通过时，确定身份验证通过。12. 如权利要求9所述的方法，其特征在于，所述处理后的种子信息为所述验证信息生 成设备利用存储的密钥对所述种子信息进行加密、签名或者哈希运算得到的；以及 利用查找到的密钥还原和/或验证处理后的种子信息，具体包括： 利用查找到的密钥对加密的种子信息进行解密得到所述种子信息；或者 利用查找到的密钥对已签...

【专利技术属性】
技术研发人员：韩晟，王盈，
申请(专利权)人：韩晟，
类型：发明
国别省市：北京;11