(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210256868.2 (22)申请日 2022.03.16 (65)同一申请的已公布的文献号 申请公布号 CN 114338052 A (43)申请公布日 2022.04.12 (73)专利权人 飞天诚信科技股份有限公司 地址 100085 北京市海淀区学清路9号汇智 大厦B楼17层 (72)发明人 陆舟　 (51)Int.Cl. H04L 9/32(2006.01) (56)对比文件 CN 111800377 A,2020.10.20 审查员 王成苗 (54)发明名称 一种身份认证的实现方法及装置 (57)摘要 本发明公开一种身份认证的实现方法及装 置， 该方法包括： 当接收到获取密钥指令时生成 认证设备密钥对并保存， 将认证设备公钥返回给 上位机； 当接收到设置PIN码指令时保存该指令 中的PIN码哈希值， 给上位机返回设置成功响应； 当接收到第一获取认证标识指令时生成认证标 识并将认证标识与第一获取认证标识指令中的 第三方标识、 使用权 限信息对应保存， 设置认证 标识的有效期， 将加密后的认证标识返回给上位 机； 当接收到认 证指令时判断认证指令中的认证 标识是否在有效期内且判断是否具有执行认证 操作的权限， 如均为是则使用认证标识对认证指 令中的认证数据进行签名并将签名结果返回给 上位机。 本技术方案使用户使用应用时更加灵活 方便、 安全可靠 。 权利要求书4页 说明书18页 附图9页 CN 114338052 B 2022.05.31 CN 114338052 B 1.一种身份认证的实现方法， 其特 征在于， 包括： 步骤A： 当接收到获取密钥指令时生成认证设备密钥对 并保存， 将所述认证设备密钥对 中的认证设备公钥 返回给上位机， 等待接 收所述上位机下发的指令， 所述认证设备密钥对 包括所述认证设备公钥和认证设备私钥； 步骤B： 当接收到设置PIN码指令时， 判断是否保存有认证设备私钥， 是则根据所述认证 设备私钥对所述设置PIN码指令进行验证， 如验证通过则保存所述设置PIN码指令中的PIN 码哈希值， 给上位机返回设置成功响应， 等待接收所述上位机下发的指令， 如 验证未通过则 报错， 等待接收所述上位机下发的指令， 否则报错， 等待接收所述上位机下发的指令； 步骤C： 当接收到第一获取认证标识指令时， 判断是否保存有PIN码哈希值和认证设备 私钥， 是则根据所述PIN码哈希 值和所述认证设备私钥对用户身份进 行验证， 如 验证成功则 生成认证标识并将所述认证标识与所述第一 获取认证标识指令中的第三方标识、 使用权限 信息对应保存， 设置所述认证标识的有效期， 对所述认证标识进行加密 并将加密后的认证 标识返回给上位机， 等待接收所述上位机下发的指 令， 如验证失败则报错， 等待接收所述上 位机下发的指令， 否则报错， 等待接收所述上位机下发的指令； 步骤D： 当接收到认证指令时， 判断是否保存有第三方标识和对应的使用权限信息， 是 则根据所述第三方标识、 所述使用权限信息验证所述认证指令， 如验证通过则判断所述认 证指令中的认证标识是否在有效期内且判断是否具有 执行认证操作的权限， 如均为是则使 用所述认证标识对所述认证指 令中的认证数据进 行签名并将 签名结果返回给上位机， 等待 接收所述上位机下发的指 令， 否则报错， 等待接收所述上位机下发的指令， 如 验证未通过则 报错， 等待接收所述上位机下发的指令， 如未保存则报错， 等待接收所述上位机下发的指 令。 2.如权利要求1所述的方法， 其特 征在于， 所述 步骤B包括： 步骤B1： 当接收到设置PIN码指令时， 解析所述设置PIN码指令得到上位机公钥、 PIN码 哈希值密 文和第一认证参数， 判断是否保存有认证设备私钥， 是则执行步骤B2， 否则向所述 上位机报错， 等待接收所述上位机下发的指令； 步骤B2： 使用第一预设算法根据所述认证设备私钥和所述上位机公钥生成交换密钥， 使用第二预设算法根据所述交换密钥、 预设盐值、 第一固定数据生成第一共享密钥， 使用所 述第二预设算法根据所述交换密钥、 所述预设盐值、 第二固定数据生成第二共享密钥； 步骤B3： 使用所述第一共享密钥对所述第一认证参数进行验证， 如验证通过， 执行步骤 B4， 如验证未通过则向所述上位机报错， 等待接收所述上位机下发的指令； 步骤B4： 使用所述第二共享密钥解密 所述PIN码哈希值密文得到所述PIN码哈希值并保 存， 向所述上位机返回设置PI N码成功响应， 等待接收所述上位机下发的指令 。 3.如权利要求2所述的方法， 其特征在于， 所述使用所述第 一共享密钥对所述第 一认证 参数进行验证， 具体为： 根据第三预设算法对所述第一共享密钥和所述PIN码哈希值密 文进 行哈希运算得到第一摘要值， 判断所述第一摘要值与所述第一认证参数是否一致， 如果是， 判定验证通过， 否则， 判定验证未通过。 4.如权利要求1所述的方法， 其特 征在于， 所述 步骤C包括： 步骤C1： 当接收到第一获取认证标识指令时， 解析所述第一获取认证标识指令得到可 信任的第三方标识、 使用权限信息、 上位机公钥和PIN码哈希 值密文， 判断是否 保存有PIN码权　利　要　求　书 1/4 页 2 CN 114338052 B 2哈希值和认证设备私钥， 是则执行步骤C2， 否则向所述上位机报错， 等待接收所述上位机下 发的指令； 步骤C2： 使用第一预设算法根据所述认证设备私钥和上位机公钥生成交换密钥， 使用 第二预设算法根据所述交换密钥、 预设盐值、 第二固定数据生成第二共享密钥； 步骤C3： 使用所述第二共享密钥解密所述PIN码哈希值密文得到PIN码哈希值， 判断解 密得到的PIN码哈希值与保存的PIN码哈希值是否相同， 是则 执行步骤C4， 否则向上位机报 错， 等待接收所述上位机下发的指令； 步骤C4： 生成认证标识并将所述认证标识与所述第三方标识、 使用权限信息对应保存， 设置认证标识的有效期， 使用所述第二共享密钥对所述认证标识进行加密得到认证标识密 文， 向所述上位机返回包含所述认证标识密文的第一获取认证标识响应， 等待接 收所述上 位机下发的指令 。 5.如权利要求4所述的方法， 其特征在于， 所述步骤C3包括： 使用所述第二共享密钥解 密PIN码哈希值密文得到PIN码哈希值的部分数据， 从保存的PIN码哈希值中截取预设字节 得到第二数值， 判断所述第二数值与所述PIN码哈希 值的部分数据是否相同， 是则执行步骤 C4， 否则， 向所述上位机报错， 等待接收所述上位机下发的指令 。 6.如权利要求 4所述的方法， 其特 征在于， 还 包括： 步骤E： 当接收到录入生物信息指令时， 判断是否保存有认证标识， 是则使用所述认证 标识对所述录入生物信息指令进行验证， 如验证通过则提示用户录入生物信息， 并根据接 收到的用户录入的生物信息生成生物信息模板并保存， 将对应的模板标识返回给上位机， 等待接收所述上位机下发的指令， 如 验证失败则报错， 等待接收所述上位机下发的指 令， 否 则报错， 等待接收所述上位机下发的指令 。 7.如权利要求6所述的方法， 其特 征在于， 所述 步骤E包括： 步骤E1： 当接收到录入生物信息指令时， 解析所述录入生物信息指令得到第二认证参 数， 判断是否保存有认证标识和交换密钥， 是则执行步骤E2， 否则向上位机报错， 等待接收 所述上位机下发的指令； 步骤E2： 使用所述认证标识和所述交换密钥对所述第二认证参数进行验证， 如验证通 过， 执行步骤E3， 如验证未通过则向上位机报错， 等待接收所述上位机下发的指令； 步骤E3： 提示用户录入生物信息， 当接收到用户录入的完整生物信息时根据已录入的 完整生物信息生成生物信息模板和对应的模板标识， 向上位机返回包含所述模板标识的录 入响应， 等待接收所述上位机下发的指令 。 8.如权利要求7所述的方法， 其特征在于， 所述步骤E2包括： 使用所述认证标识对所述 交换密钥进行哈希计算得到第二认证参数， 判断计算得到的第二认证参数是否与解析得到 的第二认证参数一致， 是则验证通过， 执行步骤E3， 否则验证未通过， 向上位机报错， 等待接 收所述上位机下发的指令 。 9.如权利要求6所述的方法， 其特 征在于， 还 包括： 步骤F： 当接收到第二获取认证标识指令时， 根据 所述第二获取认证标识指令 中的模板 标识判断是否保存有对应的生物信息模板， 是则根据所述生物信息模板对用户身份进 行验 证， 如验证成功则清除保存的认证标识、 第三方标识、 使用权限信息和设置的认证标识的有 效期， 生成认证标识并将所述认证标识与所述第二获取认证标识指令中的第三方标识、 使权　利　要　求　书 2/4 页 3 CN 114338052 B 3