本发明专利技术属于身份识别和认证技术领域,公开了一种基于零知识证明和密码技术的身份认证方法及认证系统,通过平台初始化客户端信息;客户端和平台进行相关信息交互,平台和客户端各自独立计算,完成对PIN的验证,确定客户端身份真实性和合法性。本发明专利技术采用典型的零知识证明模型实现PIN的验证,即:客户端请求—>平台出题—>客户端给出答案。不再是单一的PIN的保密传输认证方式。本发明专利技术采用非对称加密方式实现客户端的验证,即:服务端采用客户端的公钥加密传输信息,拥有私钥的客户端解密出原信息。本发明专利技术客户端使用随机数R1,防止了重放攻击。能有效抵御黑客采用脱库、爆库、注入事件等攻击。
【技术实现步骤摘要】
基于零知识证明和密码技术的身份认证方法及认证系统
本专利技术属于身份识别和认证
,尤其涉及一种基于零知识证明和密码技术的身份认证方法及认证系统。
技术介绍
目前,随着互联网和移动互联网技术和应用发展,基于PIN的用户身份验证的应用场景、环境更加复杂,比如,在现代银行业务中,个人的资金是通过银行账户来体现的,操作和动用账户里的资金必须要得到用户的授权,PIN作为一种身份验证和账户操作的授权得到了广泛应用。通常用户在终端输入自己的PIN,传输到账户管理平台进行验证,验证通过才可以进行账户的相关操作。目前常用的PIN的保护方法是:1)PIN由个人设置并掌握,不能够泄露,通常用户会记忆在头脑中;2)PIN的输入设备,应用企业负责部署具有一定安全措施,防窃取、防篡改的专用设备提供给用户完成PIN的输入;3)PIN通常有以下几种加密保护方式:进行专门的PINBLOCK对称加密,以密文方式向账户所在地传送。加密密钥由上级节点下发。对PIN进行对称加密,以密文方式向后台传送。加密密钥依赖安全通道下发到终端。对PIN进行对称加密,以密文方式向后台传送。加密密钥存储在usbkey中。对PIN进行非对称加密,以密文方式向后台传送。加密采用服务器公钥并以数字信封方式完成。4)后台系统接收到PIN密文,在专用设备(如密码机)内部完成PIN的验证和比对。通过上述分析,现有技术存在的问题及缺陷为:(1)分段加密方式中,初始节点的加密密钥在一定时间段内是固定的。(2)PIN传输途径中每个节点均需解密和再加密这样一个数据转加密过程。(3)最终的验证节点--核心系统必须掌握存储加密密钥和其前的节点共享密钥。(4)在PIN的验证过程中会有明文出现,尽管这种明文只在专用的设备内部出现,但也存在着一定的信息泄露风险甚至导致用户认证体系失效。解决以上问题及缺陷的难度为:在PIN的验证过程中,如何有效保证PIN的信息的有效性、机密性;前后端不协商密钥的情况下,如何实现加解密同步,并且保证客户端的真实性。解决以上问题及缺陷的意义为:验证PIN信息,不局限于信息本身,而是作为参数参与验证过程,不再是单一的PIN的保密传输认证方式。验证PIN的真实性的同时,也验证了客户端的真实性,实现了双因子验证。加解密算法,可以根据客户端的计算能力,采用不同等级的算法,方便业务开展和满足认证的安全需求。
技术实现思路
针对现有技术存在的问题,本专利技术提供了一种基于零知识证明和密码技术的身份认证方法及认证系统。本专利技术是这样实现的,一种基于零知识证明和密码技术的身份认证方法,所述基于零知识证明和密码技术的身份认证方法包括:通过平台初始化客户端信息;所述客户端和平台进行相关信息交互,同时所述平台和客户端各自独立计算,完成对PIN的验证,确定客户端身份真实性和合法性。进一步,所述平台初始化客户端信息的方法包括:i)将个人ID、PIN码、公钥信息通过客户端导入到平台;ii)平台采用SM3或其他hash算法计算PIN码的hashvalue,验证公钥的合法性和有效性;iii)平台加密保存ID、hashvalue、公钥等信息,不保存PIN码本身;iv)客户端保存并保护好自己的ID、PIN码信息以及私钥。进一步,对PIN验证并确定客户端身份真实性和合法性的方法包括:第一步,客户端产生随机数R1并缓存,同时将ID、R1发送给平台;第二步,平台收到ID、R1后,产生随机数串R2,R2串长为16字节,并缓存R2;再进行加密,并将得到的加密信息发送给客户端;第三步,客户端对第二步平台发送的加密信息进行解密,对解密后信息再进行加密并将加密后信息发送平台;第四步,平台对第三步客户端传输的再加密信息解密以及验证。进一步,第二步进一步包括:a)平台收到ID、R1后,产生随机数串R2,R2串长为16字节,并缓存R2;b)平台以R2为密钥,采用对称加密算法,如SM4,加密R1,得到密文M1;c)平台以hashvalue为密钥,采用对称加密算法SM4,加密R1^R2,得到密文M2;d)平台采用非对称加密算法,如SM2,使用用户客户端的公钥加密M1||M2,得到Ms;e)平台将Ms发送给用户的客户端。进一步,第三步进一步包括:1)用户输入PIN;2)采用平台相同的算法,如SM3算法,计算PIN码的hashvalue;3)采用非对称加密算法,如SM2,使用客户端的私钥解密解密Ms,得到(M11||M22);4)以hashvalue为密钥,采用对称加密算法,如SM4,解密M22,得到temp;5)计算R2’=temp^R1;6)以R2’为密钥,采用对称加密算法,如SM4,解密M11,得到R1’;7)if(R1’==R1)continue;else认证失败;8)采用对称加密算法,如SM4,使用R2’为密钥,加密R2’,得到M3;9)将M3发送到平台。进一步,第四步进一步包括:平台使用缓存的R2为密钥,采用对称加密算法,如SM4解密M3,得到R2’;如果(R2’==R2)验证通过,否则验证失败。本专利技术的另一目的在于提供一种基于零知识证明和密码技术的身份认证系统包括:平台,初始化客户端信息,采用hash算法,如SM3计算PIN码的hashvalue,验证公钥的合法性和有效性;客户端(用户客户端),与平台进行相关信息交互,同时进行独立计算,完成对PIN的验证,确定用户身份真实性和合法性。本专利技术的另一目的在于提供一种计算机设备,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如下步骤:通过平台初始化客户端信息;所述客户端和平台进行相关信息交互,同时所述平台和客户端各自独立计算,完成对PIN的验证,确定客户端身份真实性和合法性。本专利技术的另一目的在于提供一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行如下步骤:通过平台初始化客户端信息;所述客户端和平台进行相关信息交互,同时所述平台和客户端各自独立计算,完成对PIN的验证,确定客户端身份真实性和合法性。本专利技术的另一目的在于提供一种实施所述基于零知识证明和密码技术的身份认证方法的金融行业密码机。结合上述的所有技术方案,本专利技术所具备的优点及积极效果为:本专利技术支持对各种通用的账户密码进行基于零知识和密码技术的验证。本专利技术采用典型的零知识证明模型实现PIN的验证,即:客户端请求—>平台出题—>客户端给出答案。不再是单一的PIN的保密传输认证方式。本专利技术采用非对称加密方式实现客本文档来自技高网...
【技术保护点】
1.一种基于零知识证明和密码技术的身份认证方法,其特征在于,所述基于零知识证明和密码技术的身份认证方法包括:/n通过平台初始化客户端信息;/n所述客户端和平台进行相关信息交互,同时所述平台和客户端各自独立计算,完成对PIN的验证,确定客户端身份真实性和合法性。/n
【技术特征摘要】
1.一种基于零知识证明和密码技术的身份认证方法,其特征在于,所述基于零知识证明和密码技术的身份认证方法包括:
通过平台初始化客户端信息;
所述客户端和平台进行相关信息交互,同时所述平台和客户端各自独立计算,完成对PIN的验证,确定客户端身份真实性和合法性。
2.如权利要求1所述基于零知识证明和密码技术的身份认证方法,其特征在于,所述平台初始化客户端信息的方法包括:
i)将个人ID、PIN码、公钥信息通过客户端导入到平台;
ii)平台采用hash算法计算PIN码的hashvalue,验证公钥的合法性和有效性;
iii)平台加密保存ID、hashvalue、公钥信息,不保存PIN码本身;
iv)客户端保存并保护好自己的ID、PIN码信息以及私钥。
3.如权利要求1所述基于零知识证明和密码技术的身份认证方法,其特征在于,对PIN验证并确定客户端身份真实性和合法性的方法包括:
第一步,客户端产生随机数R1并缓存,同时将ID、R1发送给平台;
第二步,平台收到ID、R1后,产生随机数串R2,R2串长为16字节,并缓存R2;再进行加密,并将得到的加密信息发送给客户端;
第三步,客户端对第二步平台发送的加密信息进行解密,对解密后信息再进行加密并将加密后信息发送平台;
第四步,平台对第三步客户端传输的再加密信息解密以及验证。
4.如权利要求3所述基于零知识证明和密码技术的身份认证方法,其特征在于,第二步进一步包括:
a)平台收到ID、R1后,产生随机数串R2,R2串长为16字节,并缓存R2;
b)平台以R2为密钥,采用对称加密算法加密R1,得到密文M1;
c)平台以hashvalue为密钥,采用对称加密算法加密R1^R2,得到密文M2;
d)平台采用非对称加密算法,使用用户客户端的公钥加密M1||M2,得到Ms;
e)平台将Ms发送给用户的客户端。
5.如权利要求3所述基于零知识证明和密码技术的身份认证方法,其特征在于,第三步进一步包括:
1)用户输入PIN;
2)采用...
【专利技术属性】
技术研发人员:谢依夫,王新树,陈秋博,唐昕,
申请(专利权)人:北京安御道合科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。