一种身份认证方法、系统、设备及存储介质与流程

本申请涉及信息安全，特别是涉及一种身份认证方法、系统、设备及存储介质。

背景技术：

1、目前服务身份凭证的认证方式主要为：静态密码认证、动态安全码认证和生物特征认证。

2、fido(fast identity online线上快速身份验证)是一种在线验证用户身份的技术规范。一旦用户完成了注册，以后用户服务需要调用fido服务器时，只要简单通过本地身份验证即可完成认证过程，此后用户无需再输入密码即可进行用户登录，实现去密码化，简化用户体验。

3、但是在现有的fido认证器注册过程中，其客户身份相关通过数据传输并存储在服务器的数据库中，注册过程容易遭受中间人攻击，存在安全隐患。

技术实现思路

1、本申请主要解决的技术问题是提供一种身份认证方法、系统、设备及存储介质，能够提高身份认证的安全性。

2、为解决上述技术问题，本申请采用的一个技术方案是：提供一种身份认证方法，该方法包括：服务端设备接收客户端设备发送的第一注册信息，第一注册信息包括注册用户的第一公钥以及第一公钥验证因子，第一公钥是通过一身份认证器生成，第一公钥验证因子是生成第一公钥的身份认证器基于第一安全因子和第一公钥生成；利用第一安全因子对第一注册信息中的第一公钥和第一公钥验证因子进行验证，得到第一验证结果；响应于第一验证结果为验证通过，将生成第一公钥的身份认证器注册为注册用户的身份认证器。

3、其中，第一公钥验证因子是生成第一公钥的身份认证器对第一安全因子和第一公钥进行哈希运算得到的；利用第一安全因子对第一注册信息中的第一公钥和第一公钥验证因子进行验证，得到第一验证结果，包括：对第一安全因子和第一注册信息中的第一公钥进行哈希运算，得到第二公钥验证因子；响应于第一公钥验证因子和第二公钥验证因子一致，确定第一验证结果为验证通过；和/或，将生成第一公钥的身份认证器注册为注册用户的身份认证器，包括：将第一公钥保存作为注册用户的公钥。

4、其中，在接收客户端设备发送的第一注册信息之前，还包括：接收客户端设备发送的关于注册用户的第一注册请求；为注册用户生成第一安全因子，并将第一安全因子发送给注册用户，以使注册用户将第一安全因子提供给身份认证器。

5、其中，为注册用户生成第一安全因子，包括：为注册用户随机生成第一安全因子；和/或，将第一安全因子发送给注册用户，包括：通过预先为注册用户录入的联系方式将第一安全因子发送给注册用户。

6、其中，第一注册请求包含注册用户的用户信息；在接收客户端设备发送的关于注册用户的第一注册请求之前，还包括：获取管理员设备录入的至少一个用户的用户信息，并将至少一个用户的用户信息保存在用户信息集中；在接收客户端设备发送的关于注册用户的第一注册请求之后，还包括：从用户信息集中查找是否存在注册用户的用户信息；响应于存在注册用户的用户信息，执行为注册用户生成第一安全因子及其后续步骤。

7、其中，在响应于第一验证结果为验证通过，将生成第一公钥的身份认证器注册为注册用户的身份认证器之后，还包括：接收客户端设备发送的关于注册用户的第二注册请求；为注册用户生成第二安全因子，并将第二安全因子发送给注册用户；接收客户端设备发送的第二注册信息，第二注册信息包括注册用户的第二公钥以及第三公钥验证因子，第二公钥是通过另一个身份认证器生成，第三公钥验证因子是生成第二公钥的身份认证器基于第二安全因子和第二公钥生成；利用第二安全因子对第二注册信息中的第二公钥和第三公钥验证因子进行验证，得到第二验证结果；响应于第二验证结果为验证通过，将生成第二公钥的身份认证器注册为注册用户的身份认证器，其中，第二公钥作为注册用户的公钥。

8、其中，该方法还包括：接收客户端设备发送的登录请求，登录请求包含注册用户的用户信息；响应于基于登录请求中的用户信息确定注册用户已注册，生成挑战值，并将挑战值发送给注册用户；接收客户端设备发送的签名数据，签名数据是身份认证器利用私钥对挑战值进行签名得到的；利用注册用户的公钥对签名数据进行验证，以确定是否允许注册用户登录。

9、为解决上述技术问题，本申请采用的另一技术方案是：提供一种身份认证方法，包括：身份认证器获取注册用户的客户端设备的安全因子；为注册用户生成公钥，并基于公钥和安全因子生成公钥验证因子；将公钥和公钥验证因子发送给注册用户的客户端设备，以使客户端设备将公钥和公钥验证因子发送给服务端设备，进而服务端设备利用安全因子对公钥和公钥验证因子进行验证。

10、其中，获取注册用户的安全因子，包括：接收注册用户的客户端设备通过设定安全协议发送的安全因子；和/或，基于公钥和安全因子生成公钥验证因子，包括：对公钥和安全因子进行哈希运算，得到公钥验证因子；和/或，将公钥和公钥验证因子发送给注册用户的客户端设备，包括：通过设定安全协议将公钥和公钥验证因子发送给注册用户的客户端设备。

11、为解决上述技术问题，本申请采用的另一个技术方案是：提供一种身份认证系统，包括相互连接的客户端设备和服务端设备、以及身份认证器，客户端设备用于响应注册用户的注册操作，向服务端设备发送注册请求；服务端设备用户接收响应注册请求，为注册用户生成安全因子，并将安全因子发送给注册用户；身份认证器用于为注册用户生成公钥，并基于公钥和安全因子生成公钥验证因子，通过设定安全协议将公钥和公钥验证因子发送给客户端设备；客户端设备还用于将包含公钥和公钥验证因子的注册信息发送给服务端设备；服务端设备还用于利用注册用户的安全因子对注册信息中的公钥和公钥验证因子进行验证，以确定是否将生成公钥的身份认证器注册为注册用户的身份认证器。

12、为解决上述技术问题，本申请采用的另一个技术方案是：提供一种设备，包括通信电路、存储器和处理器，通信电路、存储器分别耦接于处理器，存储器中存储有程序指令，处理器用于执行程序指令以实现上述任一身份认证方法。

13、为解决上述技术问题，本申请采用的另一个技术方案是：提供一种存储介质，其上存储有计算机程序，该程序被处理器执行实现上述任一身份认证方法。

14、本申请的有益效果是：区别于现有技术的情况，本申请利用第一安全因子对第一注册信息中的第一公钥和第一公钥验证因子进行验证，得到第一验证结果，将生成验证通过的第一公钥的身份认证器注册为对应注册用户的身份认证器，通过上述方式确保验证通过的验证信息在传输过程中未被篡改，提高身份认证的安全性。

技术特征：

1.一种身份认证方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述第一公钥验证因子是生成第一公钥的身份认证器对第一安全因子和第一公钥进行哈希运算得到的；所述利用所述第一安全因子对所述第一注册信息中的第一公钥和第一公钥验证因子进行验证，得到第一验证结果，包括：

3.根据权利要求1所述的方法，其特征在于，在所述接收客户端设备发送的第一注册信息之前，还包括：

4.根据权利要求3所述的方法，其特征在于，所述为所述注册用户生成第一安全因子，包括：

5.根据权利要求3所述的方法，其特征在于，所述第一注册请求包含所述注册用户的用户信息；

6.根据权利要求1所述的方法，其特征在于，在所述响应于所述第一验证结果为验证通过，将所述生成所述第一公钥的身份认证器注册为所述注册用户的身份认证器之后，还包括：

7.根据权利要求1所述的方法，其特征在于，所述方法还包括：

8.一种身份认证方法，其特征在于，包括：

9.根据权利要求8所述的方法，其特征在于，所述获取注册用户的安全因子，包括：

10.一种身份认证系统，其特征在于，包括相互连接的客户端设备和服务端设备、以及身份认证器；

11.一种设备，其特征在于，包括通信电路、存储器和处理器，所述通信电路、所述存储器分别耦接于处理器，所述存储器中存储有程序指令，所述处理器用于执行所述程序指令以实现权利要求1-9任一项所述的身份认证方法。

12.一种存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行实现如权利要求1-9任一项所述的身份认证方法。

技术总结
本申请公开了一种身份认证方法、系统、设备及存储介质，该方法包括：服务端设备接收客户端设备发送的第一注册信息，第一注册信息包括注册用户的第一公钥以及第一公钥验证因子，第一公钥是通过一身份认证器生成，第一公钥验证因子是生成第一公钥的身份认证器基于第一安全因子和第一公钥生成；利用第一安全因子对第一注册信息中的第一公钥和第一公钥验证因子进行验证，得到第一验证结果；响应于第一验证结果为验证通过，将生成第一公钥的身份认证器注册为注册用户的身份认证器。通过上述方式，本申请能够确保验证通过的验证信息在传输过程中未被篡改，提高身份认证的安全性。

技术研发人员：李超,于晓杰,卢珂,李腾飞,杨晴
受保护的技术使用者：浙江大华技术股份有限公司
技术研发日：
技术公布日：2024/6/20