(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211533409.0 (22)申请日 2022.12.02 (71)申请人 北京时代亿信科技股份有限公司 地址 100082 北京市海淀区西直门北 大街 32号枫蓝国际A座804室 (72)发明人 常进　张斌　李继国　 (74)专利代理 机构 北京康信知识产权代理有限 责任公司 1 1240 专利代理师 薛芸 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/08(2006.01) G06F 21/33(2013.01) (54)发明名称 登录操作系统的验证方法 (57)摘要 本申请公开了一种登录操作系统的验证方 法。 其中， 该方法包括： 接收终端设备读取到的智 能卡设备的加密证书； 生成明文随机数， 基于加 密证书对明文随机数进行加密得到密文随机数， 将密文随机数返回至终端设备， 并将明文随机数 保存至Session会话中； 接收终端设备返回的待 验证数据， 其中， 待验证数据包括： 签名值、 智能 卡设备的签名证书以及Cookie值， 对待验证数据 进行验证， 在确定验证通过的情况下， 将帐号与 密码下发至终端设备， 其中， 帐号与密码用于终 端设备登录终端设备的操作系统。 本申请解决了 由于相关技术中默认采用帐号与密码的校验方 式对用户身份鉴别存在的容易造成计算机数据 泄露， 校验密码易被破解， 安全性较差的技术问 题。 权利要求书3页 说明书11页 附图3页 CN 115549930 A 2022.12.30 CN 115549930 A 1.一种登录操作系统的验证方法， 其特 征在于， 包括： 接收终端设备读取到的智能卡设备的加密证书， 其中， 所述智能卡设备预置有签名证 书、 签名私钥、 加密证书以及加密私钥； 生成明文随机数， 基于所述加密证书对所述明文随机数进行加密得到密文随机数， 将 所述密文随机数返回至所述终端设备， 并将所述明文随机数保存至Ses sion会话中； 接收所述终端设备返回的待验证数据， 其中， 所述待验证数据包括： 签名值、 所述智能 卡设备的签名证书以及Cookie值， 其中， 所述签名值为所述终端设备对所述密文随机数进 行解密得到所述明文随机数， 基于所述明文随机数与签名证书的签名私钥确定的； 对所述待验证数据进行验证， 在确定验证通过的情况下， 将帐号与密码下发至所述终 端设备， 其中， 所述帐号与所述密码用于所述终端设备登录所述终端设备的操作系统。 2.根据权利要求1所述的验证方法， 其特 征在于， 对所述待验证数据进行验证， 包括： 解析所述签名证书得到签名公钥， 基于所述签名公钥对所述签名值进行解密， 得到第 一摘要值； 根据所述Cookie值所携带的Session  ID查找对应的目标Session， 从所述目标Session 获取所述明文随机数； 从所述目标Session中获取明文随机数， 通过摘要算法计算得到该明文随机数对应的 第二摘要值； 比较所述第 一摘要值与所述第 二摘要值， 在所述第 一摘要值与 所述第二摘要值相同的 情况下， 确定验证通过， 并删除所述Ses sion。 3.根据权利要求2所述的方法， 其特 征在于， 所述方法还 包括： 在所述Cookie值所携带的Session  ID查找不到对应的目标Session 的情况下， 确定验 证失败。 4.根据权利要求2所述的验证方法， 其特 征在于， 对所述待验证数据进行验证， 包括： 通过根证书对所述签名证书进行验证，  在确定所述签名证书可信的情况下， 获取证书 吊销列表， 其中， 所述证书吊销列表用于指示已被吊销的签名证书的序列号 集合； 获取所述证书吊销列表的有效时间， 将所述有效时间与本地的实时时间进行比较， 在 确定所述有效时间处于所述 实时时间以内的情况下， 基于所述证书吊销列表确定所述签名 证书是否被吊销； 在确定所述签名证书未被吊销的情况 下， 确定验证通过。 5.根据权利要求2所述的验证方法， 其特 征在于， 对所述待验证数据进行验证， 包括： 对所述待验证数据进行解析， 确定所述终端设备对应的操作系统帐号； 判断所述操作系统帐号与 所述签名证书对应的序列号是否存在授权关系， 在所述操作 系统帐号与所述序列号存在授权关系的情况 下， 确定验证通过。 6.根据权利要求2所述的验证方法， 其特 征在于， 对所述待验证数据进行验证， 包括： 对所述待验证数据进行解析， 确定所述终端设备对应的硬件标识信息； 基于所述硬件标识信息确定终端登录管理系统中是否注册有所述终端设备， 其中， 所 述终端登录管理系统用于对登录所述操作系统的终端设备进行注 册管理； 在确定所述终端登录管理系统中注 册有所述终端设备的情况 下， 确定验证通过。 7.根据权利要求1所述的验证方法， 其特征在于， 基于所述加密证书对所述明文随机数权　利　要　求　书 1/3 页 2 CN 115549930 A 2进行加密得到密文随机数， 包括： 解析所述加密证书得到所述智能卡设备对应的加密公钥， 基于所述加密公钥对所述明 文随机数进行加密得到所述密文随机数。 8.根据权利要求1至权利要求7任意一项所述的验证方法， 其特征在于， 将帐号与密码 下发至所述终端设备， 包括： 解析所述加密证书得到所述智能卡设备对应的加密公钥； 基于所述智能卡设备对应的加密公钥对所述密码进行加密， 得到加密后的密码； 将所述加密后的密码与所述帐号下发至所述终端设备。 9.一种登录操作系统的验证方法， 其特 征在于， 包括： 在拦截到登录请求后， 接收目标对象输入 的PIN码， 校验所述PIN码， 在校验通过后， 获 取加密私钥与签名私钥访问权限， 从智能卡设备读取加密证书； 将所述加密证书发送至服务端， 接收所述服务端返回的密文随机数， 其中， 所述密文随 机数为所述 服务端基于所述加密证书所指示智能卡设备对应的加密公钥加密得到的； 根据所述密文随机数与所述智能卡设备的签名私钥确定签名值； 生成待验证数据， 其中， 所述待验证数据包括： 所述签名值、 所述签名证书， 以及与服务 端第一次通信产生的Co okie； 接收所述服务端的响应结果， 所述响应结果用于指示终端设备是否通过验证， 以及终 端设备通过验证的情况下， 所述服务端 下发的帐号与加密后的密码， 其中， 所述帐号与所述 密码用于所述终端设备登录操作系统， 所述加密后的密码为所述服务端基于所述加密证书 对应的加密公钥对所述密码进行加密得到的。 10.根据权利要求9所述的验证方法， 其特征在于， 根据所述密文随机数与所述智能卡 设备的签名私钥确定签名值， 包括： 调用所述加密证书所对应的加密私钥对所述密文随机数进行解密， 得到明文随机数， 调用预定摘要算法确定所述明文随机数的摘要值； 基于所述智能卡设备中签名证书对应的签名私钥对所述摘要值进行签名， 得到所述签 名值。 11.根据权利要求9所述的验证方法， 其特征在于， 在接收所述服务端的响应结果之后， 所述方法还 包括： 在所述响应结果中携带有所述帐号与加密后的密码的情况下， 获取所述加密证书对应 的私钥； 基于所述加密证书对应的加密私钥对所述加密后的密码进行解密， 得到明文密码； 将所述帐号与所述明文密码填充至所述操作系统的登录程序。 12.一种登录操作系统的验证装置， 其特 征在于， 包括： 第一接收模块， 用于接收终端设备读取到的智能卡设备的加密证书， 其中， 所述智能卡 预置有签名证书、 签名私钥、 加密证书以及加密私钥； 生成模块， 用于生成明文随机数， 基于所述加密证书对所述明文随机数进行加密得到 密文随机数， 将所述密 文随机数返回至所述终端设备， 并将所述明文随机数保存至Session 会话中； 第二接收模块， 用于接收所述终端设备返回的待验证数据， 其中， 所述待验证数据包权　利　要　求　书 2/3 页 3 CN 115549930 A 3