[发明专利]一种身份认证方法及认证装置

说明书

技术领域

本发明涉及信息安全领域，特别涉及一种身份认证方法及认证装置。

背景技术

随着互联网技术的发展，各类互联网应用越来越广泛。用户使用各类应用时，应用提供方通常要求用户使用用户名和密码进行注册，而用户为了更好地体验应用，通常也会按照应用提供方的要求对各类应用进行注册，这也使得用户必须使用用户名和密码的认证方式登录应用。

但是用户名和密码极其容易泄露，他人获得用户的用户名及密码后登录应用，进行各种非法操作，例如盗取用户在应用中保存的各种私密信息，或发布一些对用户及用户周围亲友不利的信息，或对用户亲友进行诈骗，或仅仅为了显示自己高超的破译密码技术，这严重侵害了用户及其亲友的利益；此外，各种应用提供商对用户设置密码的要求不同，用户很难准确记忆应用的用户名及其对应的密码，造成用户在用密码登录应用时经常发生无法登录该应用的情况，给用户造成很多不便，严重影响了用户体验。

为了提高用户登录认证的安全性，市场上也出现了一些没有使用密码的登录认证方案，但是用户体验不尽如人意；数据极其容易泄露，保护数据的安全性降低，很难满足用户体验。

因此，现在市场上亟需一种用户操作方便并且安全性高的登录认证方案。

发明内容

本发明的目的是为了克服现有技术的不足，本发明提供了一种身份认证方法及认证装置。

一种身份认证方法，包括：

当身份鉴别服务器接收到鉴别申请时，认证设备执行如下步骤：

步骤1，所述认证设备接收所述身份鉴别服务器发送的所述鉴别请求；

步骤2，所述认证设备解析所述鉴别请求得到可信执行环境区域的标识和密钥标识；

步骤3，所述认证设备启动与所述可信执行环境区域的标识相对应的可信执行环境区域中的生物特征识别器；

步骤4，所述认证设备提示用户通过所述生物特征识别器输入生物识别特征；

步骤5，所述认证设备根据所述密钥标识在所述可信执行环境区域中检索对应的生物识别特征；

步骤6，所述认证设备判断所述用户输入的生物识别特征和检索到的与所述密钥标识所对应的生物识别特征是否匹配，如果匹配，则执行步骤7；如果不匹配，则报错，结束流程；

步骤7，所述认证设备根据所述密钥标识，从所述可信执行环境区域中的生物识别密钥管理器中检索对应的所述鉴别私钥；

步骤8，所述认证设备使用检索到的所述鉴别私钥根据与所述可信执行环境区域的标识相关联的应用类型标识生成第三签名值；

步骤9，所述认证设备根据所述第三签名值和所述应用类型标识生成鉴别响应；

步骤10，所述认证设备将所述鉴别响应发送给所述身份鉴别服务器。

当身份鉴别服务器接收到鉴别申请之前还包括以下步骤：

当身份鉴别服务器接收到注册申请时，认证设备执行如下步骤：

步骤01，所述认证设备接收所述身份鉴别服务器发送的注册请求，生成应用类型标识请求；

步骤02，所述认证设备将所述应用类型标识请求发送给应用服务器；

步骤03，所述认证设备接收所述应用服务器发送的应用类型标识请求响应，保存所述应用类型标识请求响应中的应用类型标识；

步骤04，所述认证设备启动所述可信执行环境区域中的生物特征识别器，提示用户通过生物特征识别器输入生物识别特征；

步骤05，所述认证设备将所述用户输入的生物识别特征保存到所述可信执行环境区域中的生物识别密钥管理器中；

步骤06，所述认证设备通过所述可信执行环境区域中的所述生物识别密钥管理器生成包括鉴别私钥和鉴别公钥的密钥对和对应的密钥标识；

步骤07，所述认证设备将所述用户输入的生物识别特征、所述密钥标识、所述应用类型标识和所述可信执行环境区域的标识进行关联，并使用所述鉴别私钥对所述可信执行环境区域的标识进行签名生成第二签名值，根据所述第二签名值、所述密钥标识、所述鉴别公钥和所述可信执行环境区域的标识生成注册请求响应；

步骤08，所述认证设备将所述注册请求响应发送给所述身份鉴别服务器。

步骤01之前还包括：所述认证设备接收所述身份鉴别服务器发送的认证设备验证请求，生成第一签名值，根据所述第一签名值生成认证设备验证响应，将所述认证设备验证响应发送给所述身份鉴别服务器。

所述认证设备接收所述身份鉴别服务器发送的认证设备验证请求，生成第一签名值，根据所述第一签名值生成认证设备验证响应具体包括：