[发明专利]基于密文的身份验证方法

说明书

本发明提出了基于密文的身份验证方法，其包括：数据处理服务器周期性地或基于请求向用户的移动终端推送一个或多个第一限制密钥和一个或多个第二限制密钥；在用户通过移动终端发起安全性信息交互过程时，驻留于移动终端上的安全性应用使用所述一个或多个第一限制密钥中的一个生成应用密文，并使用所述一个或多个第二限制密钥中的一个生成用户密文，随之将所述应用密文和用户密文发送至安全性信息交互终端；安全性信息交互终端在接收到应用密文和用户密文后构建安全性信息交互请求，并将安全性信息交互请求发送至数据处理服务器以进行后续的安全性信息交互过程。本发明所公开的方法具有增强的安全性并且使用便捷。

技术领域

本发明涉及身份验证方法，更具体地，涉及基于密文的身份验证方法。

背景技术

目前，随着计算机和网络应用的日益广泛以及不同领域的业务种类的日益丰富，利用移动终端实施安全性信息交互过程（即对安全性要求较高的数据交互过程，例如金融领域中的支付交易）变得越来越重要。

在现有的技术方案中，在实施实际的安全性信息交互过程之前典型地需要完成用户的身份验证操作，并且仅在身份验证成功的情况下发起安全性信息交互请求（例如包含支付订单的支付请求），通常采用如下两种身份验证方式：（1）用户在安全性信息交互终端（例如商户POS机）上输入个人密码（PIN），随后安全性信息交互终端发起联机形式的身份验证过程；（2）用户通过私有的移动终端（例如手机）输入个人密码（PIN）并经由互联网将所述个人密码发送至相关的身份验证服务器进行远程身份验证或者由驻留于移动终端中的特定物理环境（TEE或SE）下的数据处理单元进行本地身份验证。

然而，上述现有的技术方案存在如下问题：（1）由于需要在实施实际的安全性信息交互过程之前在安全性信息交互终端上输入个人密码，故存在个人密码被恶意使用的潜在风险；（2）由于仅在身份验证成功的情况下发起安全性信息交互请求，故存在被非法窃听和攻击的潜在风险；（3）由于需要使用特定的安全单元或者经由公共互联网通道，故成本较高且使用不便。

因此，存在如下需求：提供具有增强的安全性并且使用便捷的基于密文的身份验证方法。

发明内容

为了解决上述现有技术方案所存在的问题，本发明提出了具有增强的安全性并且使用便捷的基于密文的身份验证方法。

本发明的目的是通过以下技术方案实现的：

一种基于密文的身份验证方法，所述基于密文的身份验证方法包括下列步骤：

（A1）数据处理服务器周期性地或基于请求向用户的移动终端推送一个或多个第一限制密钥和一个或多个第二限制密钥，其中，所述一个或多个第二限制密钥中的每个与所述用户的个人密码相关联；

（A2）在用户通过所述移动终端发起安全性信息交互过程时，驻留于所述移动终端上的安全性应用使用所述一个或多个第一限制密钥中的一个生成应用密文，并使用所述一个或多个第二限制密钥中的一个生成用户密文，随之将所述应用密文和用户密文发送至安全性信息交互终端，其中，所述应用密文和所述用户密文均包含所述安全性信息交互过程所需的业务明细数据；

（A3）所述安全性信息交互终端在接收到所述应用密文和所述用户密文后构建安全性信息交互请求，并将所述安全性信息交互请求发送至所述数据处理服务器以进行后续的安全性信息交互过程。

在上面所公开的方案中，优选地，所述步骤（A1）进一步包括：所述数据处理服务器周期性地基于同一个主密钥以及应用计数器的值以分散的方式生成第一限制密钥和第二限制密钥，其中，一个应用计数器的值对应于相关联的一个第一限制密钥和一个第二限制密钥。

在上面所公开的方案中，优选地，所述步骤（A1）进一步包括：所述数据处理服务器在将所述第二限制密钥发送至所述移动终端时使用用户的个人密码对所述第二限制密钥进行逐位的异或运算，并将经异或运算处理的第二限制密钥发送至所述移动终端。