安全认证方法、系统和相关设备与流程

1.本发明涉及终端应用领域，特别涉及一种安全认证方法、系统和相关设备。


背景技术：

2.sim(subscriber identity module，用户识别模块)盾，是以运营商sim卡为安全认证载体、使用公钥基础设施(public key infrastructure，简称：pki)的非对称加密技术的产品，为行业客户提供类似u盾的安全、高效、便捷的移动终端安全认证服务。sim盾将传统u盾功能集成到sim卡上，可进行安全的数据存储和数据运算处理，可保存用户私钥、用户证书等数据信息，可执行公私钥生成、加密/解密、签名/验签、哈希(hash)运算等操作，对外提供移动安全认证服务能力，例如身份认证服务、电子签名服务、加解密服务、加密存储等。


技术实现要素：

3.在相关技术中，sim盾等产品生成公私钥密钥对并保存以用于数据安全操作。然而，如果私钥丢失、无法找回，例如发生sim卡损坏、手机丢失，将直接导致由原有密钥加密的数字资产、加密数据等无法解密认证，而造成极大损失。
4.本发明实施例所要解决的一个技术问题是：如何提供一种便于密钥安全找回的方案。
5.根据本发明一些实施例的第一个方面，提供一种安全认证方法，包括：sim卡从客户端采集的第一用户声音数据中提取声纹特征；sim卡根据声纹特征，生成一对公钥和私钥；在sim卡不为用户的首张sim卡的情况下，sim卡采用私钥，对获取的、用户对应的验证数据进行验证，其中，验证数据是通过用户的旧sim卡生成的私钥加密的；在验证通过的情况下，sim卡将公钥返回给客户端，并存储私钥、以及用户的声纹特征。
6.在一些实施例中，安全认证方法还包括：在sim卡为用户的首张sim卡的情况下，sim卡将公钥返回给客户端，并存储私钥、以及用户的声纹特征；sim卡加密预设的信息，获得用户对应的验证数据；sim卡将验证数据发送给客户端。
7.在一些实施例中，sim卡根据声纹特征、以及预设的加密密钥和加密算法，生成一对公钥和私钥，其中，sim卡以及用户的旧sim卡具有相同的加密密钥和加密算法。
8.在一些实施例中，sim卡根据声纹特征、以及预设的加密密钥和加密算法，生成一对公钥和私钥包括：sim卡利用预设的加密密钥、以及预设的加密算法，对声纹特征加密，生成种子密钥；根据种子密钥，生成一对公钥和私钥。
9.在一些实施例中，sim卡与用户的旧sim卡具有相同的、用于生成种子密钥的密钥池，sim卡根据声纹特征、以及预设的加密密钥和加密算法，生成一对公钥和私钥还包括：sim卡获取用户信息；sim卡根据预设的用户信息与密钥池中加密密钥、加密算法的对应关系，确定用于生成种子密钥的加密密钥。
10.在一些实施例中，安全认证方法还包括：sim卡从客户端采集的第二用户声音数据中提取声纹特征；sim卡将从第二用户声音数据中提取的声纹特征，与sim卡存储的声纹特
征进行匹配；sim卡向客户端返回匹配结果，其中，在匹配的情况下，客户端通过对用户的身份认证。
11.在一些实施例中，安全认证方法还包括：sim卡获取客户端发送的待处理数据以及处理指令，其中，处理指令用于指示sim卡进行加密、解密、签名或签名验证中的至少一种处理；sim卡根据处理指令，采用存储的私钥对待处理数据进行相应的处理。
12.根据本发明一些实施例的第二个方面，提供一种安全认证装置，位于sim卡，包括：特征提取模块，被配置为从客户端采集的第一用户声音数据中提取声纹特征；密钥生成模块，被配置为根据声纹特征，生成一对公钥和私钥；验证模块，被配置为在sim卡不为用户的首张sim卡的情况下，采用私钥，对获取的、用户对应的验证数据进行验证，其中，验证数据是通过用户的旧sim卡生成的私钥加密的；保存模块，被配置为在验证通过的情况下，sim卡将公钥返回给客户端，并存储私钥、以及用户的声纹特征。
13.根据本发明一些实施例的第三个方面，提供一种安全认证装置，包括：存储器；以及耦接至存储器的处理器，处理器被配置为基于存储在存储器中的指令，执行前述任意一种安全认证方法。
14.根据本发明一些实施例的第四个方面，提供一种安全认证系统，包括：sim卡，包括前述任意一种安全认证装置；以及客户端，被配置为采集第一用户声音数据；向sim卡发送第一声音数据；从服务器获取验证数据；向sim卡发送验证数据；以及，接收sim卡发送的公钥、并进行存储。
15.在一些实施例中，验证数据是客户端从服务器获取的。
16.在一些实施例中，客户端进一步被配置为显示声纹采集提示语。
17.在一些实施例中，客户端进一步被配置为向sim卡发送声纹特征提取指令、密钥生成指令、身份认证指令、处理指令中的至少一种。
18.根据本发明一些实施例的第五个方面，提供一种计算机可读存储介质，其上存储有计算机程序，其中，该程序被处理器执行时实现前述任意一种安全认证方法。
19.上述发明中的一些实施例具有如下优点或有益效果：本发明实施例的方法利用用户的声纹特征生成密钥，能够实现丢失密钥的找回。并且，通过在生成密钥后对用户身份进行验证，提高了密钥找回的安全性，避免了其他用户冒用的情况。
20.通过以下参照附图对本发明的示例性实施例的详细描述，本发明的其它特征及其优点将会变得清楚。
附图说明
21.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
22.图1示出了根据本发明一些实施例的安全认证方法的流程示意图。
23.图2示出了根据本发明另一些实施例的安全认证方法的流程示意图。
24.图3示出了根据本发明一些实施例的身份认证方法的流程示意图。
25.图4示出了根据本发明一些实施例的数据处理方法的流程示意图。
26.图5示出了根据本发明一些实施例的安全认证装置的结构示意图。
27.图6示出了根据本发明一些实施例的安全认证系统的结构示意图。
28.图7示出了根据本发明另一些实施例的安全认证装置的结构示意图。
29.图8示出了根据本发明又一些实施例的安全认证装置的结构示意图。
具体实施方式
30.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
31.除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
32.同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
33.对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。
34.在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。
35.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。
36.发明人经过进一步分析后认识到，在相关技术中，当金融优盾(u盾)丢失时，金融机构会重新给用户分配一个u盾。而u盾往往用于终端本地的身份验证，因此其安全机制是每个u盾对应唯一的密钥。而对于线上数字资产场景，例如区块链场景，用户的数字资产相关信息使用用户的密钥加密后存储。在这种情况下，如果仍采用类似u盾的更新密钥的方式，则无法使用原有的数字资产。
37.针对上述场景，本发明提出了一种能够安全“找回”用户密钥的方案。下面参考图1描述本发明安全认真方法的实施例。在该实施例中，用户在发生了手机丢失、sim卡损坏或者是进行sim卡更换后，可以通过以下流程重新生成与原密钥一致的密钥。如无特殊说明，“sim卡”指用户当前使用的sim卡，即“新sim卡”。
38.图1示出了根据本发明一些实施例的安全认证方法的流程示意图。如图1所示，该实施例的安全认证方法包括步骤s102～s110。
39.在步骤s102中，手机中的客户端向手机的sim卡发送采集的第一用户声音数据。第一用户声音数据用于用户的密钥找回。
40.在步骤s104中，sim卡从第一用户声音数据中提取声纹特征。
41.在步骤s106中，sim卡根据声纹特征，生成一对公钥和私钥。
42.sim卡根据声纹特征、以及预设的加密密钥和加密算法，生成一对公钥和私钥，其中，sim卡以及用户的旧sim卡具有相同的加密密钥和加密算法。
43.在一些实施例中，预设的加密密钥和加密算法为sim卡共享的。从而，对于同一个
用户的声纹特征，使用该加密密钥和加密算法进行计算后能够得到相同的密钥，使得新生成的密钥能够对该用户的数字资产成功进行解密、签名验证等操作。
44.在一些实施例中，sim卡中预设有相同的、用于生成种子密钥的密钥池，即，sim卡与用户的旧sim卡具有相同的密钥池，密钥池中有若干加密密钥、或加密算法。并且，用户信息与密钥池中加密密钥、加密算法存在对应关系。在sim卡获取用户信息后，根据预设的用户信息与密钥池中加密密钥、加密算法的对应关系，确定用于生成种子密钥的加密密钥。
45.用户信息例如为用户证件号的预设位数的信息，例如身份证尾号等。从而，通过设置多个加密密钥，可以提升种子密钥生成的复杂读、提高安全性，并且采用用户信息与加密密钥对应的方式，也能够使得用户新生成的密钥与之前生成的密钥相同，确保信生成的密钥的可用性。
46.在一些实施例中，sim卡利用预设的加密密钥、以及预设的加密算法，对声纹特征加密，生成种子密钥；根据种子密钥，生成一对公钥和私钥。从而，可以避免用户的声纹特征泄漏，提高了安全性。
47.在步骤s108中，在sim卡不为用户的首张sim卡的情况下，sim卡采用私钥，对获取的、用户对应的验证数据进行验证，其中，验证数据是通过用户的旧sim卡生成的私钥加密的。
48.当sim卡为“新卡”时，为了避免其他用户冒用sim卡，采用新生成的私钥间接地对用户进行身份验证。如果该用户为真实用户，则利用该用户的声纹生成的密钥能够解密原密钥处理的数据。
49.在一些实施例中，验证数据是旧sim卡对预设的信息进行加密后生成的，该预设的信息例如为用户的信息。通过比对预设的信息与解密结果，可以判断验证是否通过。
50.在步骤s110中，在验证通过的情况下，sim卡将公钥返回给客户端，并存储私钥、以及用户的声纹特征。
51.上述实施例的方法利用用户的声纹特征生成密钥，能够实现丢失密钥的找回。并且，通过在生成密钥后对用户身份进行验证，提高了密钥找回的安全性，避免了其他用户冒用的情况。
52.当用户当前使用的sim卡为用户的首张sim卡时，sim卡可以直接存储根据用户的声纹特征生成的密钥。图2示出了根据本发明另一些实施例的安全认证方法的流程示意图。如图2所示，该实施例的安全认证方法包括步骤s202～s216。
53.步骤s202～s210的内容与步骤s102～s110一致，这里不再赘述。
54.在步骤s212中，在sim卡为用户的首张sim卡的情况下，sim卡将公钥返回给客户端，并存储私钥、以及用户的声纹特征。
55.在步骤s214中，sim卡加密预设的信息，获得用户对应的验证数据。
56.在步骤s216中，sim卡将验证数据发送给客户端。客户端例如将验证数据存储在服务器中，并在需要时从服务器获取该数据、并发送给sim卡。
57.通过上述实施例的方法，当用户的密钥首次生成时，生成依据为用户的声纹特征。从而，当密钥发生丢失后，可以利用用户的声纹特征找回密钥。并且，通过预先生成验证数据，使得密钥找回时可以依据该数据对用户进行身份验证，提高了安全性。
58.在用户使用客户端的过程中，当涉及敏感操作，sim卡可以利用存储的声纹特征对
用户进行身份认证。下面参考图3描述身份认证方法的实施例。
59.图3示出了根据本发明一些实施例的身份认证方法的流程示意图。如图3所示，该实施例的身份认证方法包括步骤s302～s308。
60.在步骤s302中，客户端将采集的第二用户声音数据发送给sim卡。
61.在步骤s304中，sim卡从第二用户声音数据中提取声纹特征。第二用户声音数据用于进行身份认证。
62.在步骤s306中，sim卡将从第二用户声音数据中提取的声纹特征，与sim卡存储的声纹特征进行匹配。
63.在步骤s308中，sim卡向客户端返回匹配结果，其中，在匹配的情况下，客户端通过对用户的身份认证。
64.从而，存储的声纹特征不仅可以用于密钥生成，还可以用于对用户身份进行认证。
65.在完成身份认证后，还可以进行安全的数据处理。下面参考图4描述本发明数据处理方法的实施例。
66.图4示出了根据本发明一些实施例的数据处理方法的流程示意图。如图4所示，该实施例的数据处理方法包括步骤s402～s404。
67.在步骤s402中，sim卡获取客户端发送的待处理数据以及处理指令，其中，处理指令用于指示sim卡进行加密、解密、签名或签名验证中的至少一种处理。
68.在一些实施例中，待处理数据是客户端利用sim卡返回的公钥生成的。
69.在步骤s404中，sim卡根据处理指令，采用存储的私钥对待处理数据进行相应的处理。
70.通过上述实施例的方法，sim卡能够利用基于用户声纹特征生成的私钥进行加密、解密、签名或签名验证等操作，提高了安全性。
71.根据需要，上述数据处理过程也可以在图3实施例以外的其他身份验证方式后执行，这里不再赘述。
72.下面参考图5描述本发明安全认证装置的实施例。该实施例的安全认证装置位于sim卡。
73.图5示出了根据本发明一些实施例的安全认证装置的结构示意图。如图5所示，该实施例的安全认证装置500包括：特征提取模块5100，被配置为从客户端采集的第一用户声音数据中提取声纹特征；密钥生成模块5200，被配置为根据声纹特征，生成一对公钥和私钥；验证模块5300，被配置为在sim卡不为用户的首张sim卡的情况下，采用私钥，对获取的、用户对应的验证数据进行验证，其中，验证数据是通过用户的旧sim卡生成的私钥加密的；保存模块5400，被配置为在验证通过的情况下，sim卡将公钥返回给客户端，并存储私钥、以及用户的声纹特征。
74.在一些实施例中，安全认证装置500还包括：验证数据生成模块5500，被配置为加密预设的信息，获得用户对应的验证数据；将验证数据发送给客户端。
75.在一些实施例中，密钥生成模块5200进一步被配置为根据声纹特征、以及预设的加密密钥和加密算法，生成一对公钥和私钥，其中，sim卡以及用户的旧sim卡具有相同的加密密钥和加密算法。
76.在一些实施例中，密钥生成模块5200进一步被配置为利用预设的加密密钥、以及
预设的加密算法，对声纹特征加密，生成种子密钥；根据种子密钥，生成一对公钥和私钥。
77.在一些实施例中，sim卡与用户的旧sim卡具有相同的、用于生成种子密钥的密钥池，密钥生成模块5200进一步被配置为获取用户信息；根据预设的用户信息与密钥池中加密密钥、加密算法的对应关系，确定用于生成种子密钥的加密密钥。
78.在一些实施例中，安全认证装置500还包括：身份认证模块5600，被配置为从客户端采集的第二用户声音数据中提取声纹特征；将从第二用户声音数据中提取的声纹特征，与sim卡存储的声纹特征进行匹配；向客户端返回匹配结果，其中，在匹配的情况下，客户端通过对用户的身份认证。
79.在一些实施例中，安全认证装置500还包括：数据处理模块5700，被配置为获取客户端发送的待处理数据以及处理指令，其中，处理指令用于指示sim卡进行加密、解密、签名或签名验证中的至少一种处理；根据处理指令，采用存储的私钥对待处理数据进行相应的处理。
80.图6示出了根据本发明一些实施例的安全认证系统的结构示意图。如图6所示，该实施例的安全认证系统60包括sim卡610，包括前述任意一种安全认证装置500；以及客户端620，被配置为采集第一用户声音数据；向sim卡发送第一声音数据；从服务器获取验证数据；向sim卡发送验证数据；以及，接收sim卡发送的公钥、并进行存储。
81.在一些实施例中，验证数据是客户端620从服务器获取的。
82.在一些实施例中，客户端620进一步被配置为显示声纹采集提示语。从而，用户根据提示语说出相应的内容。
83.在一些实施例中，客户端620进一步被配置为向sim卡发送声纹特征提取指令、密钥生成指令、身份认证指令、处理指令中的至少一种。例如，客户端首先向sim卡发送采集的声音数据，然后再向sim卡发送处理指令，以便sim卡进行相应的操作。
84.图7示出了根据本发明另一些实施例的安全认证装置的结构示意图。如图7所示，该实施例的安全认证置70包括：存储器710以及耦接至该存储器710的处理器720，处理器720被配置为基于存储在存储器710中的指令，执行前述任意一个实施例中的安全认证方法。
85.其中，存储器710例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(boot loader)以及其他程序等。
86.图8示出了根据本发明又一些实施例的安全认证装置的结构示意图。如图8所示，该实施例的安全认证装置80包括：存储器810以及处理器820，还可以包括输入输出接口830、网络接口840、存储接口850等。这些接口830，840，850以及存储器810和处理器820之间例如可以通过总线860连接。其中，输入输出接口830为显示器、鼠标、键盘、触摸屏等输入输出设备提供连接接口。网络接口840为各种联网设备提供连接接口。存储接口850为sd卡、u盘等外置存储设备提供连接接口。
87.本发明的实施例还提供一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现前述任意一种安全认证方法。
88.本领域内的技术人员应当明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算
机可用非瞬时性存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
89.本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解为可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
90.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
91.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
92.以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。