本發(fā)明涉及計算機技術(shù)和信息安全領(lǐng)域，具體涉及一種基于可信設(shè)備的用戶身份認(rèn)證方法和裝置。

背景技術(shù)：

1、隨著計算機技術(shù)與互聯(lián)網(wǎng)技術(shù)的發(fā)展，個人生活與工作與互聯(lián)網(wǎng)的關(guān)系越來越緊密，在享受互聯(lián)網(wǎng)帶來的便利同時，來自互聯(lián)網(wǎng)的安全威脅也逐漸增大。

2、近年來，各類互聯(lián)網(wǎng)賬號丟失被竊的事件層出不窮，很大程度是由于目前主流的用戶身份認(rèn)證方法還停留在基于用戶名-密碼的認(rèn)證手段。用戶使用弱口令、重復(fù)使用單一密碼，加上個別互聯(lián)網(wǎng)企業(yè)被攻破而泄露的用戶名-密碼信息，導(dǎo)致用戶的互聯(lián)網(wǎng)賬號時刻面臨嚴(yán)峻的安全風(fēng)險。

3、雖然有些互聯(lián)網(wǎng)企業(yè)通過使用多重因子驗證（mfa）保護(hù)用戶賬戶信息，降低用戶面臨的安全風(fēng)險，但是隨著額外驗證流程的引入，對用戶體驗帶來很大影響。

4、基于此，需要一種能夠在不降低用戶體驗的前提下，還能提供足夠安全保障的用戶身份認(rèn)證方法。

技術(shù)實現(xiàn)思路

1、本說明書一個或多個實施例，實現(xiàn)了一種基于可信設(shè)備的用戶身份認(rèn)證方法和裝置，提供了一種更加安全、便捷的用戶身份認(rèn)證方案。

2、本說明書一個或多個實施例，提供了一種基于可信設(shè)備的用戶身份認(rèn)證方法，所述方法包括：

3、(1).判斷當(dāng)前設(shè)備是否已經(jīng)向認(rèn)證服務(wù)注冊為可信設(shè)備；如果為否，則按以下步驟完成注冊可信設(shè)備：

4、(i).根據(jù)自身設(shè)備硬件參數(shù)，計算設(shè)備特征值，生成設(shè)備身份認(rèn)證材料；

5、(ii).與認(rèn)證服務(wù)交互，提交所述生成的設(shè)備身份認(rèn)證材料和設(shè)備特征值；

6、(iii).認(rèn)證服務(wù)保存設(shè)備特征值和設(shè)備身份認(rèn)證材料，生成設(shè)備唯一標(biāo)識并返回給設(shè)備；

7、(iv).當(dāng)前設(shè)備接收設(shè)備唯一標(biāo)識并保存至設(shè)備本地存儲區(qū)域內(nèi)；

8、(2).判斷當(dāng)前設(shè)備上是否存在用戶身份認(rèn)證密鑰對且結(jié)果為是；如果為否，則執(zhí)行用戶關(guān)聯(lián)可信設(shè)備流程；

9、(3).與認(rèn)證服務(wù)交互，獲取身份認(rèn)證參數(shù)；

10、(4).用戶在設(shè)備上完成本地身份驗證且結(jié)果為是；如果為否，則結(jié)束整個認(rèn)證流程；

11、(5).計算用戶身份認(rèn)證憑據(jù)；

12、(6).與認(rèn)證服務(wù)交互，提交用戶身份認(rèn)證憑據(jù)到認(rèn)證服務(wù)；

13、(7).認(rèn)證服務(wù)驗證用戶身份認(rèn)證憑據(jù)，返回驗證結(jié)果。

14、在一些實施方式中，所述可信設(shè)備，其特征為：

15、(1).可以提供與實時執(zhí)行環(huán)境隔離的可信執(zhí)行環(huán)境的硬件運算模塊；

16、(2).設(shè)備可以完全隨機生成用于非對稱密碼學(xué)的密鑰對，并通過安全機制確保其中的私鑰無法離開設(shè)備的可信執(zhí)行環(huán)境；

17、(3).設(shè)備完成了所述可信設(shè)備注冊前置流程。

18、在一些實施方式中，所述認(rèn)證服務(wù)，其特征為：與所述可信設(shè)備物理隔離的一組邏輯服務(wù)，與可信設(shè)備之間通過網(wǎng)絡(luò)進(jìn)行通信。

19、在一些實施方式中，所述身份認(rèn)證憑據(jù)，其特征為：一組用于用戶身份認(rèn)證的數(shù)據(jù)結(jié)構(gòu)，至少包含了使用用戶身份認(rèn)證材料所計算的所述認(rèn)證參數(shù)對應(yīng)的數(shù)字簽名值。

20、在一些實施方式中，所述判斷當(dāng)前設(shè)備和用戶是否完成前置流程，包含以下步驟：

21、(1).判斷當(dāng)前設(shè)備上是否存在設(shè)備身份認(rèn)證密鑰對且結(jié)果為是；如果為否，則執(zhí)行可信設(shè)備注冊流程；

22、(2).判斷當(dāng)前設(shè)備上是否存在用戶身份認(rèn)證密鑰對且結(jié)果為是；如果為否，則執(zhí)行用戶關(guān)聯(lián)可信設(shè)備流程。

23、在一些實施方式中，所述的可信設(shè)備注冊流程，包含以下步驟：

24、(1).根據(jù)自身設(shè)備硬件參數(shù)，計算設(shè)備特征值，生成設(shè)備身份認(rèn)證材料；

25、(2).與認(rèn)證服務(wù)交互，提交所述生成的設(shè)備身份認(rèn)證材料；

26、(3).認(rèn)證服務(wù)保存設(shè)備特征值和設(shè)備身份認(rèn)證材料。

27、在一些實施方式中，所述身份認(rèn)證材料，其特征為：一對通過非對稱密碼學(xué)生成的密鑰對，其中公鑰可以從設(shè)備中導(dǎo)出并提交給認(rèn)證服務(wù)用于身份驗證，私鑰無法從設(shè)備中導(dǎo)出，用于可信設(shè)備或用戶計算認(rèn)證憑據(jù)。

28、在一些實施方式中，所述的用戶關(guān)聯(lián)可信設(shè)備流程，包含以下步驟：

29、(1).可信設(shè)備采集用戶的身份證件信息和用戶人臉圖像；

30、(2).接收并保存用戶輸入的本地身份驗證材料，生成用戶身份認(rèn)證材料；

31、(3).與認(rèn)證服務(wù)交互，提交采集到的用戶身份證件信息、用戶人臉圖像和用戶身份認(rèn)證材料；

32、(4).認(rèn)證服務(wù)解析用戶身份證件信息并比對采集到的用戶人臉圖像與證件頭像相似度，判斷相似度是否高于預(yù)設(shè)閾值且結(jié)果為是；如果為否，則中止用戶關(guān)聯(lián)可信設(shè)備流程；

33、(5).認(rèn)證服務(wù)保存可信設(shè)備與用戶身份認(rèn)證材料的關(guān)聯(lián)關(guān)系。

34、在一些實施方式中，所述本地身份驗證材料，其特征為：為用戶所輸入的一段個人身份識別碼（pin）或用戶本人的生物特征標(biāo)識，本地身份驗證材料僅保存在可信設(shè)備內(nèi)部專用區(qū)域。

35、本說明書一個或多個實施例，提供了一種基于可信設(shè)備的用戶身份認(rèn)證裝置，包含以下模塊：

36、(1).證件信息采集模塊：為可信設(shè)備提供用戶證件信息采集功能；

37、(2).人臉圖像采集模塊：為可信設(shè)備提供用戶人臉圖像采集功能；

38、(3).設(shè)備密鑰管理模塊：為可信設(shè)備提供用于非對稱密碼學(xué)的密鑰生成、使用、導(dǎo)出等功能；

39、(4).設(shè)備管理模塊：為可信設(shè)備提供設(shè)備物理信息采集、設(shè)備特征值計算等功能；

40、(5).本地身份驗證模塊：為可信設(shè)備和用戶提供本地身份驗證材料的采集、保存，以及本地身份驗證的功能；

41、(6).網(wǎng)絡(luò)通信模塊：為可信設(shè)備和認(rèn)證服務(wù)提供網(wǎng)絡(luò)通信的功能；

42、(7).可信設(shè)備管理模塊：為認(rèn)證服務(wù)提供可信設(shè)備的注冊、認(rèn)證、用戶關(guān)聯(lián)可信設(shè)備的功能；

43、(8).用戶認(rèn)證管理模塊：為認(rèn)證服務(wù)提供用戶證件信息的解析、人像比對、身份認(rèn)證的功能。

技術(shù)特征：

1.一種基于可信設(shè)備的用戶身份認(rèn)證方法，包含以下步驟：

2.如權(quán)利要求1所述的方法，所述可信設(shè)備，其特征為：

3.如權(quán)利要求1所述的方法，所述認(rèn)證服務(wù)，其特征為：與所述可信設(shè)備物理隔離的一組邏輯服務(wù)，與可信設(shè)備之間通過網(wǎng)絡(luò)進(jìn)行通信。

4.如權(quán)利要求1所述的方法，所述身份認(rèn)證憑據(jù)，其特征為：一組用于身份認(rèn)證的數(shù)據(jù)結(jié)構(gòu)，至少包含了使用用戶身份認(rèn)證材料所計算的所述認(rèn)證參數(shù)對應(yīng)的數(shù)字簽名值。

5.如權(quán)利要求4所述的流程，所述身份認(rèn)證材料，其特征為：一對通過非對稱密碼學(xué)生成的密鑰對，其中公鑰可以從設(shè)備中導(dǎo)出并提交給認(rèn)證服務(wù)用于身份驗證，私鑰無法從設(shè)備中導(dǎo)出，用于可信設(shè)備或用戶計算身份認(rèn)證憑據(jù)。

6.如權(quán)利要求1所述的用戶關(guān)聯(lián)可信設(shè)備流程，包含以下步驟：

7.如權(quán)利要求6所述的流程，所述本地身份驗證材料，其特征為：為用戶所輸入的一段個人身份識別碼（pin）或用戶本人的生物特征標(biāo)識，本地身份驗證材料僅保存在可信設(shè)備內(nèi)部專用區(qū)域。

8.一種基于可信設(shè)備的用戶身份認(rèn)證裝置，包含以下模塊：

技術(shù)總結(jié)
本發(fā)明涉及一種基于可信設(shè)備的用戶身份認(rèn)證方法和裝置，所述方法包括：判斷當(dāng)前設(shè)備和用戶是否完成前置流程且結(jié)果為是；如果為否，則設(shè)備和用戶執(zhí)行前置流程；與認(rèn)證服務(wù)交互，獲取身份認(rèn)證參數(shù)；用戶在設(shè)備上完成本地身份驗證且結(jié)果為是；如果為否，則結(jié)束整個認(rèn)證流程；計算用戶身份認(rèn)證憑據(jù)；與認(rèn)證服務(wù)交互，提交用戶身份認(rèn)證憑據(jù)到認(rèn)證服務(wù)；認(rèn)證服務(wù)驗證用戶身份認(rèn)證憑據(jù)，返回驗證結(jié)果。

技術(shù)研發(fā)人員：肖鑫磊,陳建偉,唐曉玲,曲磊
受保護(hù)的技術(shù)使用者：令牌云（上海）科技有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/10/21