通过用户设备登录和验证用户身份的方法及设备的制造方法
【技术领域】
[0001]本发明的实施例涉及用户登录和用户身份验证,具体涉及一种通过用户设备登录和验证用户身份的方法及设备。
【背景技术】
[0002]随着移动互联网的发展,越来越多的服务通过移动设备向用户提供。大多数移动应用都需要首先进行用户身份验证,以确定用户身份的有效性。
[0003]目前市场上移动应用的常见的用户身份验证方式包括,用户输入自己的登录账号和密码,并发送至服务器进行用户身份验证;或者通过服务器向用户设备下发短信验证码,来进行用户登录及用户身份验证,等等。这些用户登录和用户身份验证方式的明显缺点在于不够安全。用户在登录过程中输入的登录账号和密码或者接收的手机短信验证码很容易遭到黑客的截取和破解,从而可能导致用户账号中的有价虚拟财产遭受损失,比如用户账号中的优惠券、余额等。
[0004]另外,常见的用于保证数据在网络传输过程中的安全性的方式通过安全超文本传输协议https的方式进行数据传输。例如,通过https协议传输用户的登录账号和密码。然而,这种方式存在明显的局限性,首先该方式只适用于浏览器/服务器(B/S)架构的应用,对于客户端/服务器(C/S)架构的应用可能需要额外的协议支持。此外,https也并非一定安全。一个典型的示例是URL欺骗,即用户请求https的时候,中间人可以将返回的https重定向请求修改为重定向到超文本传输协议http请求,这样一来,用户之后的访问还是http的,并没有使用https来进行数据传输。
【发明内容】
[0005]本发明的实施例旨在提供一种通过用户设备登录和验证用户身份的方法及设备,利用公钥基础设施PKI体系结合用户设备中的智能卡的方式来保证用户登录的安全性和用户身份验证的有效性。
[0006]根据本发明的一个方面,提供了一种通过用户设备登录的方法,包括:输入用户的登录账号和密码;利用所述用户设备的智能卡中的私钥,加密所述用户的登录账号和密码;发送经加密的所述用户的登录账号和密码至服务器;以及从所述服务器接收验证结果。
[0007]在一个实施例中,所述智能卡包括:用户识别模块SM ;安全数码卡SD ;或者嵌入式安全组件eSE。
[0008]在另一个实施例中,所述私钥由公钥基础设施PKI体系生成。
[0009]在又一个实施例中,通过以下方式将所述用户的私钥植入所述智能卡中:将所述用户的私钥预先植入所述智能卡中;或者通过安全通道将所述用户的私钥植入所述智能卡中。
[0010]在再一个实施例中,所述安全通道包括可信服务管理TSM。
[0011]根据本发明的另一方面,提供了一种验证用户身份的方法,包括:接收经加密的用户的登录账号和密码;基于所述用户的公钥,解密所述用户的登录账号和密码,并且验证所述用户的身份的有效性;以及发送验证结果。
[0012]在一个实施例中,接收经加密的所述用户的登录账号和密码包括:接收利用私钥加密的所述用户的登录账号和密码。
[0013]在另一个实施例中,验证所述用户的身份的有效性包括:将经解密的所述用户的登录账号和密码与已存储的所有的登录账号和密码进行比较,以确定所述用户的身份是否有效。
[0014]在又一个实施例中,所述公钥和所述私钥由公钥基础设施PKI体系生成。
[0015]根据本发明的又一方面,提供了一种通过用户设备登录的设备,包括:输入装置,用于输入用户的登录账号和密码;加密装置,用于利用所述用户设备的智能卡中的私钥,加密所述用户的登录账号和密码;第一发送装置,用于发送经加密的所述用户的登录账号和密码至服务器;以及第一接收装置,用于从所述服务器接收发送的验证结果。
[0016]在一个实施例中,所述智能卡包括:用户识别模块SIM ;安全数码卡SD ;或者嵌入式安全组件eSE。
[0017]在另一个实施例中,所述私钥由公钥基础设施PKI体系生成。
[0018]在又一个实施例中,通过以下方式将所述用户的私钥植入所述智能卡中:将所述用户的私钥预先植入所述智能卡中;或者通过安全通道将所述用户的私钥植入所述智能卡中。
[0019]在再一个实施例中,所述安全通道包括可信服务管理TSM。
[0020]根据本发明的再一方面,提供了一种验证用户身份的设备,包括:第二接收装置,用于接收经加密的用户的登录账号和密码;验证装置,用于基于所述用户的公钥,解密所述用户的登录账号和密码,并且验证所述用户的身份的有效性;以及第二发送装置,用于发送验证结果。
[0021]在一个实施例中,所述第二接收装置用于接收利用私钥加密的所述用户的登录账号和密码。
[0022]在另一个实施例中,所述验证装置用于将经解密的所述用户的登录账号和密码与已存储的所有的登录账号和密码进行比较,以确定所述用户的身份是否有效。
[0023]在又一个实施例中,所述公钥和所述私钥由公钥基础设施PKI体系生成。
[0024]本发明能够提供一种通过用户设备登录和验证用户身份的方法及设备,利用公钥基础设施PKI体系结合用户设备中的智能卡的方式能够保证用户登录的安全性和用户身份验证的有效性。
【附图说明】
[0025]此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
[0026]图1是根据本发明的实施例的通过用户设备登录的方法100的流程图;
[0027]图2是根据本发明的实施例的验证用户身份的方法200的流程图;
[0028]图3是根据本发明的实施例的通过用户设备登录的设备300的结构框图;
[0029]图4是根据本发明的实施例的验证用户身份的设备400的结构框图。
【具体实施方式】
[0030]下面将参考附图中示出的若干示例实施例来描述本发明的原理。应当理解,描述这些实施例仅仅是为了使本领域技术人员能够更好地理解进而实现本发明,而并非以任何方式限制本发明的范围。
[0031]图1是根据本发明的实施例的通过用户设备登录的方法100的流程图,其中包括步骤SlOl至S104。
[0032]在步骤SlOl中,输入用户的登录账号和密码。通常,通过用户设备上的客户端软件来输入用户的登录账号和密码。在此所述的用户的设备可以是插入了智能卡的任何用户设备,比如手机、平板电脑、膝上电脑、个人数字助理、游戏机等等。
[0033]接下来,该方法进行至步骤S102,利用用户设备中的智能卡中的私钥,加密所述用户的登录账号和密码。
[0034]在此所述的私钥通过公钥基础设施PKI体系生成的。公钥基础设施PKI体系是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。PKI的原理基于非对称密码学,即具有两个密钥,一个是公钥一个是私钥,它们具有这种性质:用公钥加密的文件只能用私钥解密,而私钥加密的文件只能用公钥解密。例如要证明某个文件是特定人的,该人就可以用他的私钥对文件进行加密,别人如果能用该人的公钥解密此文件,说明此文件就是该人的。
[0035]基于PKI体系生成的私钥被植入到用户设备的智能卡中。在此所述的智能卡包括用户识别模块SM、安全数码卡SD、或者嵌入式安全组件eSE等。可以通过以下方式将用户的私钥植入智能卡中:在智能卡生产时就植入用户的私钥,即将用户的私钥预先植入智能卡中;或者通过安全通道将所述用户的私钥植入所述智能卡中。在此所述的安全通道可以包括可信服务管理TSM。TSM是基于“一卡多应用”技术建立的一套完整的“空中发卡”和应用管理体系。通过TSM平台,发卡机构可安全、高效地将多张智能卡信息集中在手机或IC卡上,既方便用户携带、使用,又便于自身发卡和管理。通过智能卡来存储用户私钥,保证了私钥的安全性。可以由智能卡在芯片内部利用植入的私钥来完成用户名和密码的加密。
[0036]接下来,该方法进行至步骤S103,发送经加密的用户的登录账号和密码至服务器。服务器接收到加密后的登录账号和密码后,将提交至PKI体系进行解密,并根据解密的结果来验证用户的身份。
[0037]接下来,该方法进行至步骤S104,接收从服务器发送的验证结果。服务器对用户身份进行验证后,会将验证的结果返回给用户设备。在此所述的验证结果包括登录成