[发明专利]一种身份认证的实现方法及装置

权利要求书

1.一种身份认证的实现方法，其特征在于，包括：

步骤A：当接收到获取密钥指令时生成认证设备密钥对并保存，将所述认证设备密钥对中的认证设备公钥返回给上位机，等待接收所述上位机下发的指令，所述认证设备密钥对包括所述认证设备公钥和认证设备私钥；

步骤B：当接收到设置PIN码指令时，判断是否保存有认证设备私钥，是则根据所述认证设备私钥对所述设置PIN码指令进行验证，如验证通过则保存所述设置PIN码指令中的PIN码哈希值，给上位机返回设置成功响应，等待接收所述上位机下发的指令，如验证未通过则报错，等待接收所述上位机下发的指令，否则报错，等待接收所述上位机下发的指令；

步骤C：当接收到第一获取认证标识指令时，判断是否保存有PIN码哈希值和认证设备私钥，是则根据所述PIN码哈希值和所述认证设备私钥对用户身份进行验证，如验证成功则生成认证标识并将所述认证标识与所述第一获取认证标识指令中的第三方标识、使用权限信息对应保存，设置所述认证标识的有效期，对所述认证标识进行加密并将加密后的认证标识返回给上位机，等待接收所述上位机下发的指令，如验证失败则报错，等待接收所述上位机下发的指令，否则报错，等待接收所述上位机下发的指令；

步骤D：当接收到认证指令时，判断是否保存有第三方标识和对应的使用权限信息，是则根据所述第三方标识、所述使用权限信息验证所述认证指令，如验证通过则判断所述认证指令中的认证标识是否在有效期内且判断是否具有执行认证操作的权限，如均为是则使用所述认证标识对所述认证指令中的认证数据进行签名并将签名结果返回给上位机，等待接收所述上位机下发的指令，否则报错，等待接收所述上位机下发的指令，如验证未通过则报错，等待接收所述上位机下发的指令，如未保存则报错，等待接收所述上位机下发的指令。

2.如权利要求1所述的方法，其特征在于，所述步骤B包括：

步骤B1：当接收到设置PIN码指令时，解析所述设置PIN码指令得到上位机公钥、PIN码哈希值密文和第一认证参数，判断是否保存有认证设备私钥，是则执行步骤B2，否则向所述上位机报错，等待接收所述上位机下发的指令；

步骤B2：使用第一预设算法根据所述认证设备私钥和所述上位机公钥生成交换密钥，使用第二预设算法根据所述交换密钥、预设盐值、第一固定数据生成第一共享密钥，使用所述第二预设算法根据所述交换密钥、所述预设盐值、第二固定数据生成第二共享密钥；

步骤B3：使用所述第一共享密钥对所述第一认证参数进行验证，如验证通过，执行步骤B4，如验证未通过则向所述上位机报错，等待接收所述上位机下发的指令；

步骤B4：使用所述第二共享密钥解密所述PIN码哈希值密文得到所述PIN码哈希值并保存，向所述上位机返回设置PIN码成功响应，等待接收所述上位机下发的指令。

3.如权利要求2所述的方法，其特征在于，所述使用所述第一共享密钥对所述第一认证参数进行验证，具体为：根据第三预设算法对所述第一共享密钥和所述PIN码哈希值密文进行哈希运算得到第一摘要值，判断所述第一摘要值与所述第一认证参数是否一致，如果是，判定验证通过，否则，判定验证未通过。

4.如权利要求1所述的方法，其特征在于，所述步骤C包括：

步骤C1：当接收到第一获取认证标识指令时，解析所述第一获取认证标识指令得到可信任的第三方标识、使用权限信息、上位机公钥和PIN码哈希值密文，判断是否保存有PIN码哈希值和认证设备私钥，是则执行步骤C2，否则向所述上位机报错，等待接收所述上位机下发的指令；

步骤C2：使用第一预设算法根据所述认证设备私钥和上位机公钥生成交换密钥，使用第二预设算法根据所述交换密钥、预设盐值、第二固定数据生成第二共享密钥；

步骤C3：使用所述第二共享密钥解密所述PIN码哈希值密文得到PIN码哈希值，判断解密得到的PIN码哈希值与保存的PIN码哈希值是否相同，是则执行步骤C4，否则向上位机报错，等待接收所述上位机下发的指令；

步骤C4：生成认证标识并将所述认证标识与所述第三方标识、使用权限信息对应保存，设置认证标识的有效期，使用所述第二共享密钥对所述认证标识进行加密得到认证标识密文，向所述上位机返回包含所述认证标识密文的第一获取认证标识响应，等待接收所述上位机下发的指令。