(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111347551.1 (22)申请日 2021.11.15 (71)申请人 中国工商银行股份有限公司 地址 100140 北京市西城区复兴门内大街 55号 (72)发明人 张腾宇　刘一佟　秦乐天　李虹位　 刘静　龚承敏　 (74)专利代理 机构 广州华进联合专利商标代理 有限公司 4 4224 代理人 赖远龙 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/08(2006.01) G06F 21/60(2013.01) (54)发明名称 身份认证方法、 装置、 设备、 存储介质和计算 机程序产品 (57)摘要 本申请涉及一种身份认证方法、 装置、 设备、 存储介质和计算机程序产品， 可用于信息安全领 域。 该方法包括： 响应于身份认证操作， 向服务器 发起身份认证请求； 接收服务器 响应于身份认证 请求反馈的第一随机信息， 基于卡模拟方式提供 的终端加密秘钥对第一随机信息进行加密得到 第一密文； 通过通信链路将第一密文传输至硬件 认证设备， 使得硬件认证设备基于硬件加密秘钥 加密第一密文得到第二密文； 接收硬件认证设备 通过通信链路反馈的第二密文； 将第二密文发送 至服务器， 以使得服务器根据与终端加密秘钥对 应的终端解密秘钥、 及与硬件加密秘钥对应的硬 件解密秘钥， 对第二密文进行解密， 基于解密结 果确定身份认证结果。 采用本方法能够提高身份 认证的安全性。 权利要求书2页 说明书15页 附图4页 CN 114070614 A 2022.02.18 CN 114070614 A 1.一种身份认证方法， 其特 征在于， 所述方法包括： 响应于身份认证操作， 向服 务器发起身份认证请求； 接收所述服务器响应于所述身份认证请求反馈的第 一随机信 息， 并基于卡模拟方式所 提供的终端加密秘钥对所述第一随机信息进行加密， 得到第一密文； 通过预先建立的通信链路将所述第 一密文传输至硬件认证设备； 所述第 一密文用于指 示所述硬件认证设备基于硬件加密秘钥加密所述第一密文得到第二密文； 接收所述硬件认证设备通过 所述通信链路 反馈的第二密文； 将所述第二密文发送至所述服务器， 以使得所述服务器根据与 所述终端加密秘钥对应 的终端解密秘钥、 以及与所述硬件加密秘钥对应的硬件解密秘钥， 对所述第二密文进行解 密， 并基于解密结果确定身份认证结果。 2.根据权利要求1所述的方法， 其特征在于， 所述响应于身份认证操作， 向服务器发起 身份认证请求， 包括： 在检测到用户触发的、 且需要安全验证的目标操作时， 显示身份认证界面； 所述身份认 证界面中显示有身份认证操作指引， 用于提示用户将硬件认证设备靠近移动终端， 以建立 硬件认证设备与移动终端间的通信链路； 若在所述身份认证界面中发生身份认证操作， 则生成身份认证请求并发送至服 务器。 3.根据权利要求2所述的方法， 其特征在于， 所述目标操作包括支付操作， 所述方法还 包括： 接收服务器下发的令牌； 所述令牌 为所述服务器在身份认证通过后下发的； 根据所述令牌和所述支付操作所产生的支付信息， 共同生成支付请求； 向所述服务器发送所述支付请求； 所述支付请求用于指示所述服务器基于支付信 息完 成支付操作。 4.根据权利要求1所述的方法， 其特征在于， 在所述响应于身份认证操作， 向服务器发 起身份认证请求之前， 所述方法还 包括： 获取第二随机信 息， 通过终端的第 一主秘钥对所述第 二随机信 息进行加密得到第 一中 间密文； 向服务器传输所述第 二随机信 息， 以使得所述服务器基于服务器的第 二主秘钥对所述 第二随机信息进行加密， 得到第二中间密文； 将所述第一中间密文传输至所述服务器， 以使得所述服务器基于所述第 二主秘钥对所 述第一中间密文 进行加密， 得到第三中间密文； 接收所述服务器传输的第 二中间密文， 并通过所述第 一主秘钥对所述第 二中间密文进 行加密， 得到第四中间密文； 若所述第三中间密文与所述第四中间密文相同， 则基于相同的中间密文确定所述终端 的终端加密秘钥。 5.根据权利要求1所述的方法， 其特征在于， 在所述响应于身份认证操作， 向服务器发 起身份认证请求之前， 所述方法还 包括： 建立与硬件认证设备间的通信链路； 从服务器处获取第三随机信息， 并基于终端加密秘钥对所述第三随机信息进行加密， 得到第五中间密文；权　利　要　求　书 1/2 页 2 CN 114070614 A 2通过预先建立的通信链路将所述第五中间密文传输至硬件认证设备， 以使得所述硬件 认证设备基于硬件加密秘钥对所述第五中间密文 进行加密， 得到第六中间密文； 接收所述硬件认证设备通过 所述通信链路 反馈的第六中间密文和硬件认证设备 标识； 通过所述终端加密秘钥对所述硬件认证设备 标识进行加密， 得到标识密文； 将所述第六中间密文和所述标识密文发送至服务器， 以使得所述服务器基于与所述终 端加密秘钥对应的终端解密秘钥对所述标识密文进行解密， 得到硬件认证设备标识， 并基 于硬件认证设备标识 查询硬件加密秘钥， 基于查询到的硬件加密秘钥所对应的硬件解密秘 钥、 以及所述终端解密秘钥对所述第六中间密文进行解密， 若解密得到的随机信息与所述 第三随机信息相同， 则确认所述移动终端和硬件认证设备均通过合法性验证。 6.根据权利要求1至5中任一项所述的方法， 其特征在于， 若所述服务器根据与所述终 端加密秘钥对应的终端解密秘钥、 以及与所述硬件加密秘钥对应的硬件解密秘钥， 对所述 第二密文依 次解密后得到的解密信息， 与所述第一 随机信息相同， 则所述身份认证结果为 身份认证通过； 若所述服务器根据与所述终端加密秘钥对应的终端解密秘钥、 以及与所述 硬件加密秘钥对应的硬件解密秘钥， 对所述第二密文进行解密失败、 或者解密后得到的解 密信息与所述第一随机信息不同， 则所述身份认证结果 为身份认证不 通过。 7.一种身份认证装置， 其特 征在于， 所述装置包括： 发送模块， 用于响应于身份认证操作， 向服 务器发起身份认证请求； 加密模块， 用于接收所述服务器响应于所述身份认证请求反馈的第一随机信息， 并基 于卡模拟方式所提供的终端加密秘钥对所述第一随机信息进行加密， 得到第一密文； 传输模块， 用于通过预先建立的通信链路将所述第一密文传输至硬件认证设备； 所述 第一密文用于指示所述硬件认证设备基于硬件加密秘钥加密所述第一密文得到第二密文； 接收模块， 用于 接收所述硬件认证设备通过 所述通信链路 反馈的第二密文； 所述发送模块， 还用于将所述第二密文发送至所述服务器， 以使得所述服务器根据与 所述终端加密秘钥对应的终端解密秘钥、 以及与所述硬件加密秘钥对应的硬件解密秘钥， 对所述第二密文 进行解密， 并基于解密结果确定身份认证结果。 8.一种计算机设备， 包括存储器和处理器， 所述存储器存储有计算机程序， 其特征在 于， 所述处 理器执行所述计算机程序时实现权利要求1至 6中任一项所述的方法的步骤。 9.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序被 处理器执行时实现权利要求1至 6中任一项所述的方法的步骤。 10.一种计算机程序产品， 包括计算机程序， 其特征在于， 该计算机程序被处理器执行 时实现权利要求1至 6中任一项所述的方法的步骤。权　利　要　求　书 2/2 页 3 CN 114070614 A 3