采用可信安全云用户端结构,能够实现用户可信安全云功能。即实现可信安全云用户注册验证、可信“云、端”互动“零知识”挑战应答。其中包括采用可信安全云用户端结构,实现可信模式识别技术、可信密码学技术、可信融合验证技术的功能。
1.可信安全云用户注册验证
①可信安全云用户注册证书。
首先用户需用该可信云用户端软件填写证书文件,包括两次采集用户不同生物信息特征,任选其中之一为私钥加密,其中之二为公钥。必要时该软件会事前验证该过程。填妥证书文件,并提交数据中心管理平台。
②可信用户云用户证书签名。
可信云管理平台接收到该证书后,对该证书进行审核签名,并以网页登录用户ID绑定用户证书,采用可信密码学技术回发给该端用户。
③可信用户云用户注册验证。
可信云用户端软件收到管理平台证书后,先认证该证书的签名,确定其合法性。然后用私钥解密证书公钥,即还原公钥密文“零知识”为生物信息特征知识。进而要求用户进行可信模式识别技术验证应答平台挑战。
该可信安全云用户端结构设计可实现用户注册验证,其优点是端和用户可以人、机分离,随时用随时组合,在二代身份证、手机或U盘中,用户只要存有私钥,可在任何时间、地点,方便用可信安全云服务定制和交付。
2.可信“云、端”互动“零知识”挑战应答
如果没有可信安全云用户证书,则该数据中心管理平台,要求用户下载安装并运行可信云用户端软件,从而进入可信安全云用户的注册和验证过程。如果用户确认已注册,则进入可信云、端互动“零知识”挑战应答流程,具体说明如下。
①管理平台挑战用户证书“零知识。
首先通过登录网页用户ID,获取用户证书索引然后通过挑战用户证书“零知识”,从而判断端是否存储该证书。如果没有证书则回传证书,从而挑战用户“零知识”;否则直接命令用户端挑战用户“零知识”,证明用户身份真实性。
②用户应答管理平台的挑战。
用户端先验证该证书的合法性,然后用用户私钥解密公钥密文,还原“零知识”为生物信息特征知识;如果私钥不能还原,则报告报告管理平台;如果还原成功,则端采集用户生物信息特征验证还原知识,应答管理平台挑战。
可信云、端互动“零知识”挑战应答,最大程度地实现可信融合验证技术功能。用户对管理平台证书签名进行合法签名验证,用私钥还原公钥密文“零知识”。从而验证用户授权用户采集生物信息特征验证所还原知识,认证授权用户身份的真实性。
