(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210150943.7 (22)申请日 2022.02.18 (71)申请人 支付宝 （杭州） 信息技 术有限公司 地址 310000 浙江省杭州市西湖区西溪路 556号8层B段801-1 1 (72)发明人 王振亚　 (74)专利代理 机构 济南信达专利事务所有限公 司 37100 专利代理师 李世喆 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/08(2006.01) H04L 67/02(2022.01) (54)发明名称 基于时间的一次性密码算法的身份认证方 法和装置 (57)摘要 本说明书实施例提供了基于TOTP的身份认 证的方法及装置。 该方法包括： 从web端处得到二 维码； 从该二维码中读取开通TOTP所需的密钥及 第一签名； 其中， 所述第一签名为认证服务端利 用第一公私钥对中的第一私钥对所述密钥进行 签名后得到的； 使用预先获取的第一公私钥对中 的第一公钥对第一签名进行签名验证； 在第一签 名验证通过后， 基于所述密钥进行令牌token计 算； 向用户提供计算出的token。 本说明书实施例 能够简化用户的操作， 并保证认证过程的安全 性。 权利要求书3页 说明书12页 附图7页 CN 114679276 A 2022.06.28 CN 114679276 A 1.基于TOTP的身份认证的方法， 包括： 从web端处得到二维码； 从该二维码中读取开通TOTP所需的密钥及第一签名； 其中， 所述第一签名为认证服务 端利用第一公私钥对中的第一私钥对所述密钥进行签名后得到的； 使用预先获取的第一公私钥对中的第一公钥对第一签名进行签名验证； 在第一签名验证通过后， 基于所述密钥进行令牌to ken计算； 向用户提供计算出的to ken。 2.根据权利要求1所述的方法， 其中， 在所述第一签名验证通过后， 并在执行所述基于 所述密钥进行令牌to ken计算之前， 进一 步包括： 利用第二公私钥对中的第 二私钥对所在的终端设备的设备信 息进行签名， 得到第 二签 名； 将第二签名携带在开 通确认请求中发送给认证服 务端； 如果接收到认证服务端发来的验证通过消息， 则继续执行所述基于所述密钥进行令牌 token计算的步骤。 3.根据权利要求1或2所述的方法， 其中， 由所在终端设备的TEE 中的第一TA应用执行所述使用预先获取的第一公私钥 对中的第 一公钥对第一签名进行签名验证的步骤； 和/或， 由所在终端设备的TEE中的第二TA应用执行所述基于所述密钥进行令牌token计算的 步骤。 4.基于TOTP的身份认证的方法， 包括： 向应用服 务端发送用于请求TOTP开 通所需密钥的密钥请求； 接收应用服务端发来的密钥及第一签名； 其中， 所述第一签名为认证服务端利用第一 公私钥对中的第一私钥对所述密钥进行签名后得到的； 利用接收到的密钥及第一签名生成二维码， 并将该二维码发送给业 务应用端； 接收用户输入的to ken， 并将该to ken携带在身份验证请求中发送给应用服 务端； 接收应用服 务端发来的身份验证结果。 5.基于TOTP的身份认证的方法， 包括： 接收web端发来的用于请求TOTP开 通所需密钥的密钥请求； 生成密钥； 将该密钥发送给认证服 务端； 接收认证服务端发来的第一签名； 其中， 所述第一签名为认证服务端利用第一公私钥 对中的第一私钥对所述密钥进行签名后得到的； 将密钥及第一签名发送给web端； 接收web端发来的携带to ken的身份验证请求； 基于身份验证请求验证用户身份的合法性， 将身份验证结果发送给web端。 6.根据权利要求5所述的方法， 其中， 在所述将密钥及第 一签名发送给web端之后， 并在 所述接收web端发来的携带token的身份验证请求之前， 进一步包括： 在接收到认证服务端 发来的开 通确认成功通知之后， 保存生成的密钥；权　利　要　求　书 1/3 页 2 CN 114679276 A 2所述基于身份验证请求验证用户身份的合法性， 包括： 基于保存的密钥进行to ken计算； 判断计算出的token与身份验证请求中携带的token是否一致， 如果一致， 则身份验证 合法， 否则身份验证不 合法。 7.基于TOTP的身份认证的方法， 包括： 接收应用服 务端发来的密钥； 利用第一公私钥对中的第一私钥对所述密钥进行签名， 得到第一签名； 将所述第一签名发送给应用服 务端。 8.根据权利要求7所述的方法， 其中， 在所述将第一签名发送给应用服务端之后， 进一 步包括： 接收业务应用端发来的携带第 二签名的开通确认请求； 其中， 所述第 二签名为： 业务应 用端利用第二公私钥对中的第二私钥对业务应用端所在的终端设备的设备信息进行签名 后得到的； 利用预先获取的第二公私钥对中的第二公钥对第二签名进行签名验证； 在第二签名验证通过后， 向业 务应用端发送验证通过消息 。 9.根据权利要求8所述的方法， 其中， 在所述利用预先获取的第 二公私钥对中的第 二公 钥对第二签名进行签名验证之前， 进一 步包括： 根据接收到的开 通确认请求得到业 务应用端所在的终端设备的设备 型号； 基于得到的设备型号判断终端设备的安全水平是否符合开通要求， 如果是， 则基于得 到的设备型号查询所述第二 公私钥对中的第二公钥， 并利用该第二 公钥执行所述对第二签 名进行签名验证的步骤。 10.基于TOTP的身份认证的装置， 其中包括： 扫描模块， 配置为从web端处得到二维码； 读取模块， 配置为从该二维码中读取开通TOTP所需的密钥及第一签名； 其中， 所述第一 签名为认证服 务端利用第一公私钥对中的第一私钥对所述密钥进行签名后得到的； 第一签名验证模块， 配置为使用预先获取的第 一公私钥对中的第 一公钥对第 一签名进 行签名验证； 令牌计算模块， 配置为在第一签名验证通过后， 基于所述密钥进行令牌token计算； 向 用户提供计算出的to ken。 11.基于TOTP的身份认证的装置， 其中包括： TOTP开通处理模块， 配置为向应用服务端发送用于请求TOTP开通所需密钥的密钥请 求； 二维码生成模块， 配置为接收应用服务端发来的密钥及第 一签名； 其中， 所述第 一签名 为认证服务端利用第一公私钥对中的第一私钥对所述密钥进 行签名后得到的； 利用接收到 的密钥及第一签名生成二维码， 并将该二维码发送给业 务应用端； TOTP验证处理模块， 配置为接收用户输入的token， 并将该token携带在身份验证请求 中发送给应用服 务端； 接收应用服 务端发来的身份验证结果。 12.基于TOTP的身份认证的装置， 其中包括： 密钥生成模块， 配置为接收web端发来的用于请求TOTP开通所需密钥的密钥请求， 生成权　利　要　求　书 2/3 页 3 CN 114679276 A 3