首先,如果用户为了用户登记而通过所述用户终端100输入用户信息和个人密码S102,则所述用户终端100组合用户输入的所述个人密码及所述用户终端100的机械性固有密钥而生成加密的第一共同认证密钥S104。其中,所述用户终端100的机械性固有密钥例如可以包括序列号或USIM(全球用户身份模块)号码等,此外,可以包括为了区分所述用户终端而赋予的各种固有号码等。
所述第一共同认证密钥可以进一步添加从所述用户终端100的机械性固有密钥或所述用户电话号码中根据既定基准提取的提取值作为构成要素。即,所述第一共同认证密钥也可以是借助于组合了所述个人密码、所述用户终端100的机械性固有密钥及从所述用户终端
100的机械性固有密钥或所述用户电话号码中根据既定基准提取的提取值并加密而生成
的。从所述用户终端100的机械性固有密钥或所述用户电话号码中根据既定基准提取的提取值,例如从具有由多个数字的罗列结构的所述用户终端的机械性固有密钥或所述用户电话号码中,根据作为预先确定的基准的既定基准(例如,从首位起提取第偶数或奇数位值并依次罗列,或提取偶数并罗列,或提取奇数并罗列,或在各个位值基础上加上或减去特定数字并罗列等的基准)而提取。
所述第一共同认证密钥可以生成为哈希(hash)密码值形态,此外,也可以利用普通技术人员熟知的加密技术进行加密而生成。
所述用户终端100把所述第一共同认证密钥与所述用户信息一同传送给所述认证服务器
200、S106。
所述认证服务器200把所述用户终端100传送的所述第一共同认证密钥匹配于所述用户信息,与所述用户信息一同登记及存储S202。据此执行用户登记流程。
以往的情形,如果执行用户登记,则通常在认证服务器中存储个人密码,但本技术第一实施例的情形,不在所述认证服务器200或用户终端100中存储密码,在所述认证服务器
200中,只存储所述第一共同认证密钥。因此,在用户忘记或泄露个人密码的情况下,可
以通过新登记流程,把包括新密码的第一共同认证密钥传送给所述认证服务器200进行登记,就认证机构而言,在所述第一共同认证密钥因黑客攻击等而泄露的情况下,变换从所述用户终端100的机械性固有密钥或所述用户电话号码中根据既定基准进行提取的提取值提取基准,生成新的第一共同认证密钥,借助于登记新生成的第一共同认证密钥而可以简单地应对。
然后,所述认证服务器200可以借助于组合了内置的认证机构的固有密钥和所述第一共同认证密钥并进行加密而首先生成服务器认证密钥,以所述服务器认证密钥为演算密钥,进行一次性密码演算,生成以时间值同步的第一服务器认证信息S204。所述第一服务器认证信息可以在所述第一共同认证密钥的登记之后,与其他流程无关地独立生成。即,所述第一服务器认证信息在从所述第一共同认证密钥的登记之后起至后述第一用户认证信息生成时的时间内生成即可。而且,在把所述第一服务器认证信息传送给所述用户终端100的情况下,既可以生成并即时传送,也可以在需要的时间点传送。
所述用户终端100为了认证而从用户输入所述个人密码后S108,实时组合所述个人密码及所述用户终端100的机械性固有密钥而生成加密的第二共同认证密钥S110。所述第二共同认证密钥可以生成为哈希(hash)密码值形态,此外,也可以利用普通技术人员熟知的加密技术进行加密而生成。
此时,在作为所述第一共同认证密钥的构成要素而包括从所述用户终端100的机械性固有密钥或所述用户电话号码中根据既定基准提取的提取值的情况下,在生成所述第二共同认证密钥时,还包含根据在生成所述第一共同认证密钥时应用的相同基准,从所述用户终端100的机械性固有密钥或所述用户电话号码提取的提取值。即,所述第二共同认证密钥的生成方式可以与所述第一共同认证密钥的生成方式相同。
不同于此,所述第一共同认证密钥及所述第二共同认证密钥也可以以不同于上述内容的方法生成。
作为一个示例,为了生成所述第一共同认证密钥,所述用户终端100可以从所述用户终端
100的机械性固有密钥或用户电话号码,根据既定基准依次提取m个(m为任意自然数)提取
值,在这些提取值上分别组合所述个人密码及所述用户终端100的机械性固有密钥,生成对应的m个共同认证密钥。然后,所述用户终端100把m个共同认证密钥传送给所述认证服务器200。
所述认证服务器200在所述m个共同认证密钥中,根据预先确定的基准选择一个,登记为第一共同认证密钥。例如,如果在所述认证服务器200中有在所述提取值中选择与第一提取值对应的共同认证密钥并登记为所述第一共同认证密钥的基准,那么,只要没有特别的问题,与第一提取值对应的共同认证密钥登记为第一共同认证密钥。但是,在为了其他认证或其他人的认证而在所述认证服务器200中已登记的认证密钥中,如果有与所述共同认证密钥重复的认证密钥,则为了排除重复,可以选择与相应于所述共同认证密钥中下个顺序或下个次数的第二提取值对应的共同认证密钥,登记为所述第一共同认证密钥。如果在与第二提取值对应的共同认证密钥的情况下也存在重复,则选择与不存在重复的顺序的提取值对应的共同认证密钥,登记为所述第一共同认证密钥。
此外,在有其他基准的情况下,根据该基准选择的共同认证密钥登记为所述第一共同认证密钥。例如,在使得生成十个共同认证密钥并选择与第五顺序的提取值对应的共同认证密钥的情况下,可以选择其并登记为第一共同认证密钥。在有重复的情况下,可以选择与下一顺序的提取值对应的共同认证密钥,或在有其他基准的情况下,可以根据该基准进行选择并登记为第一共同认证密钥。
然后,所述认证服务器200把登记的所述第一共同认证密钥的顺序值信息或关于所述顺序值的计算信息提供给所述用户终端100。在有预先约定的选择基准的情况下或所述用户终端100可以获知所述第一共同认证密钥的顺序值信息的情况下,可以省略所述顺序值信息或关于所述顺序值的计算信息的传送过程。
在所述认证服务器200把所述第一共同认证密钥的顺序值信息或关于所述顺序值的计算信息传送给所述用户终端100的情况下,既可以将所述第一共同认证密钥的顺序值信息或关于所述顺序值的计算信息包含于所述第一服务器认证信息进行传送,也可以另行传送。
其中,在把所述第一共同认证密钥的顺序值信息或关于所述顺序值的计算信息包含于所述第一服务器认证信息进行传送的情况下,所述第一服务器认证信息应在所述用户终端
100生成所述第二共同认证密钥之前传送给所述用户终端100。
所述第一共同认证密钥的顺序值信息可以意味着关于所述认证服务器200中登记的第一共同认证密钥是与m个共同认证密钥中第几提取值对应的共同认证密钥的信息,或所述第一共同认证密钥中包含的提取值在所述m个(m为任意自然数)提取值中的顺序信息。此时,所述用户终端100为了生成所述第二共同认证密钥,可以从所述用户终端100的机械性固有密钥或用户电话号码中,根据既定基准(与所述生成共同认证密钥时应用的基准相同的基准)依次提取m个(m为任意自然数)提取值,在所述提取值中选择与所述认证服务器200提供的所述顺序值对应的提取值,生成所述第二共同认证密钥。
不同于此,也可以从所述用户终端100的机械性固有密钥或用户电话号码中,根据既定基准提取与所述顺序值对应的提取值并生成所述第二共同认证密钥。因此,所述第二共同认证密钥可以在所述个人密码及所述用户终端100的机械性固有密钥中,包含与所述顺序值对应的提取值作为添加构成要素而生成。
然后,所述用户终端100利用所述第二共同认证密钥,生成第一用户认证信息S112。对于与所述第一用户认证信息对应的所述第一服务器认证信息的生成,已经作过说明。所述用户终端100借助于组合了认证机构的固有密钥和所述第二共同认证密钥进行加密而首先生成用户认证密钥,以所述用户认证密钥为演算密钥,进行一次性密码演算,由此可以生成以时间值同步的第一用户认证信息。其中,认证机构的固有密钥可以在所述专用程序安装时内置提供,或在认证流程公开前通过更新升级等而提供。
其中,也可以是在所述用户认证密钥中,进一步添加从所述第二共同认证密钥根据既定基准而提取的提取值作为构成要素,还可以是在所述服务器认证密钥中,进一步添加从所述第一共同认证密钥中根据既定基准而提取的提取值作为构成要素。此时,在所述用户认证密钥中添加的所述第二共同认证密钥的提取值和在所述服务器认证密钥中添加的所述第一共同认证密钥的提取值,是根据相同基准而从第一共同认证密钥或第二共同认证密钥提取的提取值。
而且,在用于生成所述第一用户认证信息的演算密钥中,可以进一步添加从所述用户认证密钥中根据既定基准而提取的提取值作为构成要素,在用于生成所述第一服务器认证信息的演算密钥中,可以进一步添加从所述服务器认证密钥中根据既定基准而提取的提取值作为构成要素。此时,从所述用户认证密钥提取的提取值和从所述服务器认证密钥中提取的提取值是根据相互相同的基准而提取的提取值。这当然是因为以所述第一用户认证信息和所述第一服务器认证信息的生成方式应相互相同、结果值一致为原则。然后,如果所述第一用户认证信息通过所述用户终端100传送给所述认证服务器200、
S114,则所述认证服务器200根据认证信息的一致与否,即,根据所述第一用户认证信息
与所述第一服务器认证信息的一致与否而执行用户认证S206。所述第一用户认证信息既可以由用户手动输入并传送,也可以使得自动传送,还可以根据用户的传送指示而使得自动传送。
其中,所述用户终端100可以使用与所述认证服务器200连接的一个或多个用户终端。例如,可以利用第一用户终端100进行第一共同认证密钥等的登记流程,利用第二用户终端
100进行认证流程,也可以是相反的情形。另外,在认证流程的情况下,第一用户认证信
息可以通过所述第一用户终端100生成,所述第一用户认证信息的输入或传送可以通过所述第二用户终端100执行。此外,在多样的流程中,可以使用多个用户终端100。而且,通过用户在用户终端100中比较所述第一用户认证信息和所述第一服务器认证信息,可以确认所述认证服务器200的真伪与否、连接于认证服务器200的接入网页的真伪与否或提供认证服务的服务提供商或认证机构的真伪与否。以往,尽管谎称是认证机构并与认证机构的接入网页类似地构成而使用户混同的案例很多,但事实上对此却没有恰当的对策。在本技术中,为了解决这种问题,用户可以确认认证机构(或服务提供商)的真伪与否。
为此,当生成所述第一服务器认证信息时,使得所述认证服务器200通过所述接入网页显示所述第一服务器认证信息,或传送给所述用户终端100、S205。所述第一服务器认证信息显示或传送后,所述用户终端100将其与所述第一用户认证信息进行比较,由此可以判别真伪与否,判别所述认证服务器200是否为真正的认证服务器、所述接入网页是否为真的S116。即,可以确认所述认证服务器200的真伪与否、连接于认证服务器200的接入网页的真伪与否或提供认证服务的服务提供商或认证机构的真伪与否。
强化了安全性的用户认证方法与相关技术
