CN103297237A - 身份注册和认证方法、系统、个人认证设备和认证服务器 - Google Patents
身份注册和认证方法、系统、个人认证设备和认证服务器 Download PDFInfo
- Publication number
- CN103297237A CN103297237A CN2013101768019A CN201310176801A CN103297237A CN 103297237 A CN103297237 A CN 103297237A CN 2013101768019 A CN2013101768019 A CN 2013101768019A CN 201310176801 A CN201310176801 A CN 201310176801A CN 103297237 A CN103297237 A CN 103297237A
- Authority
- CN
- China
- Prior art keywords
- information
- certificate server
- personal authentication
- authentication apparatus
- content
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 78
- 238000004891 communication Methods 0.000 claims description 64
- 238000012545 processing Methods 0.000 claims description 45
- 238000000354 decomposition reaction Methods 0.000 claims description 40
- 230000008569 process Effects 0.000 claims description 28
- 238000013475 authorization Methods 0.000 claims description 19
- 241000246142 Chamaecytisus Species 0.000 claims description 4
- 230000001755 vocal effect Effects 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 9
- 230000005540 biological transmission Effects 0.000 description 8
- 210000003811 finger Anatomy 0.000 description 5
- 238000007670 refining Methods 0.000 description 5
- 238000012795 verification Methods 0.000 description 5
- 230000003542 behavioural effect Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- BTCSSZJGUNDROE-UHFFFAOYSA-N gamma-aminobutyric acid Chemical compound NCCCC(O)=O BTCSSZJGUNDROE-UHFFFAOYSA-N 0.000 description 3
- 230000002441 reversible effect Effects 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 210000003462 vein Anatomy 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 210000005224 forefinger Anatomy 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 239000012467 final product Substances 0.000 description 1
- 230000002650 habitual effect Effects 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000002427 irreversible effect Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 210000003813 thumb Anatomy 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种身份注册和认证方法、系统、个人认证设备和认证服务器,本发明的技术方案是:预先在认证方持有的认证服务器和用户持有的个人认证设备之间约定对称机密信息SK,包含内容信息RC和生物特征信息RB的认证内容RD的集合;所述身份注册方法包括如下步骤:S1.认证服务器向个人认证设备发出指令并提供相应的一次性信息T,个人认证设备接收到指令后提示用户输入认证内容RD;S2.用户根据提示输入认证内容RD,个人认证设备获取输入的认证内容RD并将认证内容RD分解处理为RC和RB。本发明的有益效果是:有效的将“用户所具有的生物特征”这一认证因子和其他认证因子进行整合从而提高了多因子认证技术的安全性和易用性。
Description
技术领域
本发明涉及计算机安全信息技术领域,特别是涉及计算机身份认证技术领域。
背景技术
身份认证过程,以及密切相关的交易控制,是认证主体(通常是服务提供方)对被认证主体(通常是用户)进行认证,确认身份、拥有权和所属权利等的过程。从最基础的层次上讲,是认证主体对被认证主体提交的信息加以某种确认的过程,也就是说,认证主体对这些提交的信息加以认可的过程。从原理上讲,对提交的信息进行分类,就是所谓的认证因子。第一种认证因子即“知道什么”,是被认证主体具备某种特殊的,不易为他人知晓的知识,通常是某种口令,密码等。第二种认证因子即“拥有什么”,是被认证主体拥有某种具体的物件,最著名的例子就是历史上的虎符,以及目前使用很多的令牌、印章和智能卡(如信用卡等)等。第三种认证因子即“用户所具有的生物特征”,个人生理上特有的,例如声纹、指纹、眼纹、静脉纹、面纹或行为特征等等。
早期的身份认证技术是对上述三种因子单独进行使用,单独使用一种认证因子的身份认证技术被称为单因子认证。事实上,这就是目前的大多数情况,如各种网络帐号的登录密码。但是,单因子认证相当不安全,为提高安全起见,需要同时使用两种以上的因子,称为多因子认证。
但是,现有技术中的多因子认证方案存在如下不足:那就是如果没有好的系统方法,成本就比较高,使用也会欠方便。特别是每一个用户(被认证主体)都对应很多的服务商(认证主体),如果没有合适的方法,很难把多因子认证推广开。
本申请人在2011年06月27日提出了发明专利申请“计算机系统身份识别方法”,该专利申请公开了一种双因子认证的方案。该技术方案使得双因子认证(知道什么,拥有什么)可以容易进行,但是由于没有并没有具体的方法来整合用户所具有的生物特征,使之成为完整统一的三种因子合一的方法,因此其安全性和易用性还是不够。
发明内容
本发明的目的是为了进一步的提高现有的多因子认证技术方案的安全性和易用性,提出了一种身份注册和认证方法、系统、个人认证设备和认证服务器,有效的将“用户所具有的生物特征”这一认证因子和其他认证因子进行整合从而进一步提高了多因子认证技术的安全性和易用性。
本发明的技术方案是之一:一种身份注册方法,其特征在于,预先在认证方持有的认证服务器和用户持有的个人认证设备之间约定对称机密信息SK,包含内容信息RC和生物特征信息RB的认证内容RD的集合;
所述身份注册方法包括如下步骤:
S1.认证服务器向个人认证设备发出指令并提供相应的一次性信息T,个人认证设备接收到指令后提示用户输入认证内容RD;
S2.用户根据提示输入认证内容RD,个人认证设备获取输入的认证内容RD并将认证内容RD分解处理为内容信息RC和生物特征信息RB;
S3.个人认证设备采用预设的第一算法对所述生物特征信息RB、对称机密信息SK、一次性信息T进行计算产生第一信息B;
S4.个人认证设备采用预设的第二算法对所述内容信息RC、对称机密信息SK、一次性信息T进行计算产生第二信息C;
S5.个人认证设备采用预设的第三算法对所述第一信息B和第二信息C进行计算得到第三信息M;
S6.个人认证设备将第三信息M传送到认证服务器,所述认证服务器根据预设的第三算法进行逆运算将第三信息M分解计算得到第一信息B和第二信息C;
S7.认证服务器将分解计算得到的第一信息B或第二信息C或第一信息B对应的第一中间信息BRg或第二信息C对应的第二中间信息CRg作为用户的注册数据W,并存储在认证服务器的数据库中。
本发明的技术方案是之二:一种身份注册系统,其特征在于,包括用户持有的个人认证设备,认证方持有的认证服务器,个人认证设备和认证服务器之间具有预先约定的对称机密信息SK,包含内容信息RC和生物特征信息RB的认证内容RD的集合;
所述个人认证设备至少包括如下单元:
采集单元,用于采集用户输入的认证内容RD;
处理单元,用于将认证内容RD分解处理为内容信息RC和生物特征信息RB,用于采用预设的第一算法对所述生物特征信息RB、对称机密信息SK、一次性信息T进行计算产生第一信息B;用于采用预设的第二算法对所述内容信息RC、对称机密信息SK、一次性信息T进行计算产生第二信息C,用于采用预设的第三算法对所述第一信息B和第二信息C进行计算得到第三信息M;
通信单元,用于实现个人认证设备和认证服务器之间的数据通信,用于接收认证服务器向个人认证设备发出指令并提供相应的一次性信息T,用于个人认证设备将第三信息M传送到认证服务器;
存储单元,用于存储从述个人认证设备的采集单元、处理单元和通信单元获得的数据信息;
所述认证服务器至少包括如下单元:
通信单元,用于实现个人认证设备和认证服务器之间的数据通信,用于认证服务器向个人认证设备发出指令并提供相应的一次性信息T,用于接收个人认证设备传送到认证服务器的第三信息M;
处理单元,用于根据预设的第三算法进行逆运算将第三信息M分解计算得到第一信息B和第二信息C;用于分解计算得到的第一信息B或第二信息C或第一信息B对应的第一中间信息BRg或第二信息C对应的第二中间信息CRg,并将前述信息存储在认证服务器的数据库中,作为用户的注册数据W;
存储单元,用于存储从认证服务器的通信单元和处理单元获得的数据信息。
本发明的技术方案是之三:一种身份认证方法,其特征在于,预先在认证方持有的认证服务器和用户持有的个人认证设备之间约定对称机密信息SK,包含内容信息RC和生物特征信息RB的认证内容RD的集合;
所述身份认证方法包括如下步骤:
S1.认证服务器向个人认证设备发出指令并提供相应的一次性信息T,个人认证设备接收到指令后提示用户输入认证内容RD;
S2.用户根据提示输入认证内容RD,个人认证设备获取输入的认证内容RD并将认证内容RD分解处理为内容信息RC和生物特征信息RB;
S3.个人认证设备采用预设的第一算法对所述生物特征信息RB、对称机密信息SK、一次性信息T进行计算产生第一信息B;
S4.个人认证设备采用预设的第二算法对所述内容信息RC、对称机密信息SK、一次性信息T进行计算产生第二信息C;
S5.个人认证设备采用预设的第三算法对所述第一信息B和第二信息C进行计算得到第三信息M;
S6.个人认证设备将第三信息M传送到认证服务器,所述认证服务器根据预设的第三算法进行逆运算将第三信息M分解计算得到第一信息B和第二信息C;
S7.认证服务器将分解计算得到的第一信息B或第二信息C或第一信息B对应的第一中间信息BRg或第二信息C对应的第二中间信息CRg作为认证注册数据W1;
S8.认证服务器将步骤S7中得到的认证注册数据W1与预先计算并存储在认证服务器上的注册数据W进行比对,如果认证注册数据W1与注册数据W一致,则用户的身份认证通过,否则用户的身份认证失败。
本发明的技术方案是之四:一种身份认证系统,其特征在于,包括用户持有的个人认证设备,认证方持有的认证服务器,个人认证设备和认证服务器之间具有预先约定的对称机密信息SK,包含内容信息RC和生物特征信息RB的认证内容RD的集合;
所述个人认证设备至少包括如下单元:
采集单元,用于采集用户输入的认证内容RD;
处理单元,用于将认证内容RD分解处理为内容信息RC和生物特征信息RB,用于采用预设的第一算法对所述生物特征信息RB、对称机密信息SK、一次性信息T进行计算产生第一信息B;用于采用预设的第二算法对所述内容信息RC、对称机密信息SK、一次性信息T进行计算产生第二信息C,用于采用预设的第三算法对所述第一信息B和第二信息C进行计算得到第三信息M;
通信单元,用于实现个人认证设备和认证服务器之间的数据通信,用于接收认证服务器向个人认证设备发出指令并提供相应的一次性信息T,用于个人认证设备将第三信息M传送到认证服务器;
存储单元,用于存储从述个人认证设备的采集单元、处理单元和通信单元获得的数据信息;
所述认证服务器至少包括如下单元:
通信单元,用于实现个人认证设备和认证服务器之间的数据通信,用于认证服务器向个人认证设备发出指令并提供相应的一次性信息T,用于接收个人认证设备传送到认证服务器的第三信息M;
处理单元,用于根据预设的第三算法进行逆运算将第三信息M分解计算得到第一信息B和第二信息C;用于分解计算得到的第一信息B或第二信息C或第一信息B对应的第一中间信息BRg或第二信息C对应的第二中间信息CRg,并将前述信息存储在认证服务器的数据库中,作为用户的注册数据W1;用于认证服务器将认证注册数据W1与预先计算并存储在认证服务器上的注册数据W进行比对,如果认证注册数据W1与注册数据W一致,则用户的身份认证通过,否则用户的身份认证失败;
存储单元,用于存储从认证服务器的通信单元和处理单元获得的数据信息。
本发明的技术方案是之五:一种个人认证设备,用于包括用户持有的个人认证设备,认证方持有的认证服务器,个人认证设备和认证服务器之间具有预先约定的对称机密信息SK,包含内容信息RC和生物特征信息RB的认证内容RD的集合的身份注册系统或身份认证系统中;其特征在于,
所述个人认证设备至少包括如下单元:
采集单元,用于采集用户输入的认证内容RD;
处理单元,用于将认证内容RD分解处理为内容信息RC和生物特征信息RB,用于采用预设的第一算法对所述生物特征信息RB、对称机密信息SK、一次性信息T进行计算产生第一信息B;用于采用预设的第二算法对所述内容信息RC、对称机密信息SK、一次性信息T进行计算产生第二信息C,用于采用预设的第三算法对所述第一信息B和第二信息C进行计算得到第三信息M;
通信单元,用于实现个人认证设备和认证服务器之间的数据通信,用于接收认证服务器向个人认证设备发出指令并提供相应的一次性信息T,用于个人认证设备将第三信息M传送到认证服务器;
存储单元,用于存储从述个人认证设备的采集单元、处理单元和通信单元获得的数据信息。
本发明的技术方案是之六:一种认证服务器,用于包括用户持有的个人认证设备,认证方持有的认证服务器,个人认证设备和认证服务器之间具有预先约定的对称机密信息SK,包含内容信息RC和生物特征信息RB的认证内容RD的集合的身份注册系统中;其特征在于,
所述认证服务器至少包括如下单元:
通信单元,用于实现个人认证设备和认证服务器之间的数据通信,用于认证服务器向个人认证设备发出指令并提供相应的一次性信息T,用于接收个人认证设备传送到认证服务器的第三信息M;
处理单元,用于根据预设的第三算法进行逆运算将第三信息M分解计算得到第一信息B和第二信息C;用于分解计算得到的第一信息B或第二信息C或第一信息B对应的第一中间信息BRg或第二信息C对应的第二中间信息CRg,并将前述信息存储在认证服务器的数据库中,作为用户的注册数据W;
存储单元,用于存储从认证服务器的通信单元和处理单元获得的数据信息。
本发明的技术方案是之七:一种认证服务器,用于包括用户持有的个人认证设备,认证方持有的认证服务器,个人认证设备和认证服务器之间具有预先约定的对称机密信息SK,包含内容信息RC和生物特征信息RB的认证内容RD的集合的身份认证系统中;其特征在于,
所述认证服务器至少包括如下单元:
通信单元,用于实现个人认证设备和认证服务器之间的数据通信,用于认证服务器向个人认证设备发出指令并提供相应的一次性信息T,用于接收个人认证设备传送到认证服务器的第三信息M;
处理单元,用于根据预设的第三算法进行逆运算将第三信息M分解计算得到第一信息B和第二信息C;用于分解计算得到的第一信息B或第二信息C或第一信息B对应的第一中间信息BRg或第二信息C对应的第二中间信息CRg,并将前述信息存储在认证服务器的数据库中,作为用户的注册数据W1;用于认证服务器将认证注册数据W1与预先计算并存储在认证服务器上的注册数据W进行比对,如果认证注册数据W1与注册数据W一致,则用户的身份认证通过,否则用户的身份认证失败;
存储单元,用于存储从认证服务器的通信单元和处理单元获得的数据信息。
本发明的有益效果是:本发明技术方案的认证过程中,用户知道什么,用户拥有什么,以及用户的生物特征,都必须同时正确具备,正确运用,否则无法通过认证。注意到信息M是一次性的,即使被获取,也不可能逆向获得用户的生物特征信息。同时,认证服务器完全可以主导整个认证过程,而不仅是通过静态的生物特征信息(这个信息总是在可能被伪造的阴影下的)来做认证。
进一步,由于生物特征必须由用户本人才可能产生,即使在服务器的全部注册信息都泄露的最坏情况下,这个特性也使得攻击者不可能冒名用户,因此把损失控制在最小。这个性质是目前的几乎所有的系统和方法都不能很好解决的。
由于我们的系统采用很方便的个人认证设备,而且在用户的简单使用过程中已经使得三种因子合一使用,用户再也不用记忆各种令人烦恼的密码,口令等等,方便程度极大提高。
因此,本发明的技术方案有效的将“用户所具有的生物特征”这一认证因子和其他认证因子进行整合,并且采用个人认证设备集中采集各种认证信息,从而进一步提高了多因子认证技术的安全性和易用性。
附图说明
图1为本发明的身份注册系统和身份认证系统的硬件逻辑结构示意图。
图3为本发明的身份注册系统和身份认证系统的更详细的硬件逻辑结构示意图。
图3为本发明的身份注册方法的流程图。
图4为本发明的身份认证方法的流程图。
具体实施方式
为了便于本领域的技术人员充分的理解并实施本发明的技术方案,有必要在描述具体的实施例前对本发明申请所需的通用的硬件逻辑结构、通用的定义和原理进行详细的描述。
图1为本发明的身份注册系统和身份认证系统的硬件结构示意图。从图中可以看出,本发明的身份注册系统和身份认证系统的硬件逻辑结构一致。身份注册系统和身份认证系统均包含:个人认证设备1和认证服务器2,还包括作为非必要技术特征的个人认证设备管理服务器3。
本发明的个人认证设备1由用户(即被认证主体)持有和使用,通常是手持的或者更方便的携带方式的电子设备如带有采集功能的手机或平板电脑,个人认证设备1必须包含可以采集“用户所具有的生物特征”这一认证因子的采集单元。认证服务器2由服务方(即认证方)持有和使用,一般采用具有通信功能和足够计算能力和存储能力的硬件服务器和配套的软件即可。个人认证设备管理服务器3将提供对个人认证设备1的管理和服务,但是完全不涉及一切服务商服务和用户的机密信息,个人认证设备管理服务器3将仅提供初始帮助。
用户(被认证主体)使用个人认证设备1来完成三因子合一的认证,既方便又完全。认证服务器2将独立完成三证合一的认证。即使认证服务器2发生最坏情况的信息泄露,使得用户的注册信息流传出去,也极不可能发生他人冒名用户的情况。
本发明技术方案的基本思路是:基于生物特征的认证是用户(即被认证主体)提交某种个人的生物特征的信息,然后服务方(即认证方)通过比对以前存储的这样的信息(或者信息模块)来达到认证。这种基于生物特征的特殊信息,例如声纹,指纹,眼纹,静脉纹,面纹,等,具备若干优点,例如难以伪造,难以抵赖等。不过同时也具备很多缺点。本发明将用户的各种生物特征作为对应的认证内容RD,认证内容RD应包含内容信息RC和生物特征信息RB,内容信息RC可以用于“知道什么”因子。物特征信息R可以用于“生物特征”因子,用户的各种生物特征所对应的认证内容RD的采集方式如下:
声纹:采用语音输入,通常使用麦克风采集;是内容信息RC和生物特征信息RB的自然混合,例如语音输入“35”,则内容信息RC就是35,而生物特征信息RB是用户的声纹特征。
指纹和掌纹:接触输入,通常采用接触采集器;仅可含非常少量的内容信息RC,例如右手的食指作为内容信息RC,大多数信息为生物特征信息RB(即指纹或者掌纹)。
眼纹、面纹和静脉纹:光学输入,通常采用光学采集器;完全不含内容信息RC,仅有生物特征信息RB(即眼纹等)。
行为特征(手势,笔迹,打字痕迹):通常采用计算输入设备,如键盘,屏幕等采集;认证内容RD是内容信息RC和生物特征信息RB的自然混合,但是生物特征信息RB含量远少于声纹,例如键盘输入“abcde”,内容信息RC就是abcde,而生物特征信息RB是用户输入的输入痕迹(即对用户的键盘输入的一些统计不变量),通常这个特征的信息量都不大。
上述各种生物特征的内容信息RC和生物特征信息RB都有其用途。如果采集信息同时包含两种信息,就更好。因此,声纹和行为特征将具有独特优势。而且,这两种的采集器都相当便宜,成本很低。
从生物特征采集的输入信息中提取内容信息RC和生物特征信息RB是非常专门的技术,这个技术不在本专利的创新和保护范围内。但是,我们愿意指出,虽然这种专门的技术是相当高难度的科技,但是最近若干年,已经有了很好的进展。因此我们可以认为,从采集输入的生物特征对应的认证内容RD中能够提取内容信息RC和生物特征信息RB,这一技术被视为现有技术而不再详细描述和展开,但是其具体方案并不影响本发明的实施。
本领域的技术人员应该意识到,用户通过个人认证设备1采集到的生物特征对应的认证内容RD经过提取后分为内容信息RC和生物特征信息RB,所述内容信息RC和生物特征信息RB会传送给认证服务器2,这些信息既可以被直接传送,也可以经过几层函数计算后变成内容信息RC和生物特征信息RB所对应的中间信息进行传送。
本发明中,对于生物特征的采集会多次进行以形成生物特征的集合和应用。可以供采集器采集的数据信息为采集样本信息,全部可供采用的采集信息称为采集集合,符号为CJ注册和认证用的数据信息为CJ的元素,但是,可能并不使用全部CJ,而仅是CJ的一个真子集,这个集合称为注册集合,符号为ZJ,是CJ的子集(可能是真子集),例子如下:
例1:CJ为用户全部手指的指纹,ZJ=CJ,采集样本就是某个指头的指纹。
例2:CJ为语音集合0-99,ZJ={10,20,30,40,50,60,70,80,90},采集样本就是某个规定语音的数据。
例子3:CJ为5个字母的全部集合,ZJ=CJ,采集样本是用键盘输入某个5个字母的字符串,例如abcde,ijkom等。
本发明能够得以实施并且具备使得身份认证具备较高的安全性和易用性的原理是:
原理1:生物特征信息不应该直接使用。如果直接使用,特别是在远程认证中直接使用,就必须把特征信息直接用于网络传输,这就制造了相当大的安全隐患。如果在传输过程中出现泄漏,以后的使用过程中,就比较危险,因为通常对生物特征寄予相当高的安全信心,将更难发现问题。而且通常生物特征比较少(例如每个人仅用十个指纹可以用),一旦特征信息出现泄漏,就不如口令等容易修改和纠正。因此直接使用生物特征的安全隐患太多。最好的方式是和其他方式混合使用,例如和手持认证设备中的对称机密(称为SK)混合使用。这样的话,就可以保证在传输过程中的仅使用一次性的码,而且是随机的码。而且,注册使用的信息仅是生物特征的某种表示,即使在最坏情况下完全泄露出去,也极不可能发生他人冒名用户的情况。同时,由于注册用的生物特征信息不是直接的生物特征信息,而是某种表示,而且这种表示不可能直接使用,用户的高度私密的生物特征信息就得到充分保护。
原理2:应该由认证主体来主导认证,主导生物特征的使用,而不仅是认证主体被动接受静态的生物特征信息。这样认证主体就具备多种手段来应对各种潜在的攻击。
本发明的技术方案基于上述两个原理,并且结合个人认证(注册)设备1,从而形成认证(注册)系统,并配合以匹配的认证(注册)方法,从而可以在身份认证中做到高度安全性和易用性。
为了便于本领域技术人员的理解和实施本发明申请,下面结合附图和具体的实施例对本发明做进一步的说明。
实施例1:本实施例采用的生物特征为声纹,对应于该方案,包括了如下技术方案。
实施例1之方案1:一种身份注册方法,如图3所示,预先在认证方持有的认证服务器和用户持有的个人认证设备之间约定对称机密信息SK,包含内容信息RC和生物特征信息RB的认证内容RD的集合;本实施例中的个人认证设备为智能手机,以及智能手机上的软件,智能手机具备麦克风和网络功能,认证服务器包括硬件服务器和相应的软件。认证服务器和个人认证设备之间约定对称机密信息SK的过程为现有技术,因此如何生成和存储对称密码,不在详细描述。
所述身份注册方法包括如下步骤:
S1.认证服务器向个人认证设备(智能手机)发出指令并提供相应的一次性信息T,所述一次性信息T中包括选定认证内容RD类型的提示信息,个人认证设备接收到指令后提示用户输入认证内容RD;
具体措施为:要求用户读入数字1234。
S2.用户根据提示输入认证内容RD,个人认证设备获取输入的认证内容RD并将认证内容RD分解处理为内容信息RC和生物特征信息RB;
具体措施为:用户按照要求,对手机的麦克风读入输入数字1234,麦克风采集到语音输入信息后,把语音信息送入智能手机的处理器,处理器用软件处理该信息,并且获得内容信息(即数字1234),以及用户的声音特征信息,声音特征信息包括基音等生物特征信息,这些信息是基于个人的生理特征的,不同的人将有不同的信息,而且这些信息很难伪造(为了描述方便,我们可以称内容信息为RC,而生物特征信息RB);
S3.个人认证设备(智能手机的处理器)采用预设的第一算法对所述生物特征信息RB、对称机密信息SK、一次性信息T进行计算产生第一信息B;
上述第一信息B是和生物特征信息RB直接相关联的信息。
本步骤中的第一算法的一种具体算法的要求是,即使在SK和T都已知时,不能从B逆推出RB,算法可以在满足上述条件下任意改变。例如一种从SK,T,RB产生B的具体算法,表示为SK⊕RB=B,第一信息B是服务器中注册用的生物特征信息,这里⊕代表混合算法,混合算法的一个示例通常可以用HMAC_h,HMAC_h是杂凑算法与消息认证码算法结合的一类认证方法的统称。HMAC是Hash Message authentication code的缩写,意思是不可逆的消息认证码,这里h代表选用的Hash算法,Hash算法是一类单向不可逆算法的统称,国内通常叫做:杂凑算法,散列算法等;。但是用于传输过程中的将不是这个,而是TB=(SK,T)B,其中
代表加密算法,例如AES加密算法(密码学中的高级加密标准(AdvancedEncryption Standard,AES),又称Rijndael加密法,是美国联邦政府采用的一种区块加密标准。),或者国密算法等。这样在服务器,可以从TB中算出B,然后用于注册。
S4.个人认证设备采用预设的第二算法对所述内容信息RC、对称机密信息SK、一次性信息T进行计算产生第二信息C;
上述第二信息C是和内容信息RC直接相关联的信息。
本步骤中的第二算法的一种具体算法的要求是,即使在SK和T都已知时,不能从C逆推出RC,算法可以在满足上述条件下任意改变。
S5.个人认证设备采用预设的第三算法对所述第一信息B和第二信息C进行计算得到第三信息M;
本步骤中的第二算法的一种具体算法的要求是,M=B+C,或者M=B+C+TC,TC是T的加密,算法可以任意改变。
对应于上述步骤S3、S4和S5的具体措施为:处理器进一步使用信息SK,T,RC,RB进一步处理,获得信息M。具体的算法如下:
a.使用算法Hmac_sha(这是一种国际上通用的混合信息的混合算法),对SK,RB做hmac计算,获得信息BRg,然后再用算法AES使用T为密钥对BRg做加密,获得信息B;
b.使用算法Hmac_sha对SK,RC和T做hmac计算,获得信息C;
c.连接信息B和信息C而得到信息M;
本领域的技术人员应该意识到,尽管本实施例给出了计算第三信息M的具体算法Hmac_sha,但是并不以为着上述步骤只能采用该具体算法,其他能够对数据进行加密处理的任何现有算法都可以在上述步骤中应用。
S6.个人认证设备将第三信息M传送到认证服务器,所述认证服务器根据预设的第三算法进行逆运算将第三信息M分解计算得到第一信息B和第二信息C;
具体措施为:智能手机把第三信息M送回认证服务器,传送信息的信道可以是加密的信道,我们也推荐使用加密信道,但是,即使是开放的信道,也不可能对认证过程造成伤害;本步骤中,如果使用传输密钥e,eM=M用e加密,以用于传送,可以进一步的加强传输过程中的安全性。在认证服务器端,从eM恢复M,从M获得B,C(或者可能的TC)。
S7.认证服务器将分解计算得到的第一信息B或第二信息C或第一信息B对应的第一中间信息BRg或第二信息C对应的第二中间信息CRg作为用户的注册数据W,并存储在认证服务器的数据库中。
对应于上述步骤S6和S7的具体措施为:手机把信息M送回服务器,服务器利用M做如下计算,首先分解B和C,利用C做初步验证;然后用算法AES对B做解密(T为密钥)而获得BRg,BRg将存储在服务器的数据库中,作为该用户的主要注册数据。
实施例1之方案2:一种身份注册系统,如图2所示,其特征在于,包括用户持有的个人认证设备,认证方持有的认证服务器,个人认证设备和认证服务器之间具有预先约定的对称机密信息SK,包含内容信息RC和生物特征信息RB的认证内容RD的集合;
本实施例中本实施例中的个人认证设备为智能手机,以及智能手机上的软件,智能手机具备麦克风和网络功能,认证服务器包括硬件服务器和相应的软件。
所述个人认证设备至少包括如下单元:
采集单元,用于采集用户输入的认证内容RD;
本实施例中,本实施例中认证内容RD为“用户读入数字1234”,从认证内容RD中提炼的数字“1234”即为内容信息RC,从认证内容RD中提炼的声纹即为生物特征信息RB;
处理单元,用于将认证内容RD分解处理为内容信息RC和生物特征信息RB,用于采用预设的第一算法对所述生物特征信息RB、对称机密信息SK、一次性信息T进行计算产生第一信息B;用于采用预设的第二算法对所述内容信息RC、对称机密信息SK、一次性信息T进行计算产生第二信息C,用于采用预设的第三算法对所述第一信息B和第二信息C进行计算得到第三信息M;
通信单元,用于实现个人认证设备和认证服务器之间的数据通信,用于接收认证服务器向个人认证设备发出指令并提供相应的一次性信息T,用于个人认证设备将第三信息M传送到认证服务器;
存储单元,用于存储从述个人认证设备的采集单元、处理单元和通信单元获得的数据信息;
所述认证服务器至少包括如下单元:
通信单元,用于实现个人认证设备和认证服务器之间的数据通信,用于认证服务器向个人认证设备发出指令并提供相应的一次性信息T,用于接收个人认证设备传送到认证服务器的第三信息M;
处理单元,用于根据预设的第三算法进行逆运算将第三信息M分解计算得到第一信息B和第二信息C;用于分解计算得到的第一信息B或第二信息C或第一信息B对应的第一中间信息BRg或第二信息C对应的第二中间信息CRg,并将前述信息存储在认证服务器的数据库中,作为用户的注册数据W;
存储单元,用于存储从认证服务器的通信单元和处理单元获得的数据信息。
实施例1之方案3:一种身份认证方法,如图4所示,预先在认证方持有的认证服务器和用户持有的个人认证设备之间约定对称机密信息SK,包含内容信息RC和生物特征信息RB的认证内容RD的集合;
所述身份认证方法包括如下步骤:
S1.认证服务器向个人认证设备发出指令并提供相应的一次性信息T,,所述一次性信息T中包括选定认证内容RD类型的提示信息,个人认证设备接收到指令后提示用户输入认证内容RD;
具体措施为:服务器向智能手机发出指令,智能手机显示要求用户输入的内容,例如要求用户读入数字1234,同时,服务器向智能手机发出一个一次性密码(为了描述方便起见,称为T);
S2.用户根据提示输入认证内容RD,个人认证设备获取输入的认证内容RD并将认证内容RD分解处理为内容信息RC和生物特征信息RB;
具体措施为:用户按照要求,对手机的麦克风读入输入数字1234;
S3.个人认证设备采用预设的第一算法对所述生物特征信息RB、对称机密信息SK、一次性信息T进行计算产生第一信息B;
S4.个人认证设备采用预设的第二算法对所述内容信息RC、对称机密信息SK、一次性信息T进行计算产生第二信息C;
S5.个人认证设备采用预设的第三算法对所述第一信息B和第二信息C进行计算得到第三信息M;
对应于上述步骤S3、S4和S5的具体措施为:处理器进一步使用信息SK,T,RC,RB进一步处理,获得信息M。具体的算法如下:
a.使用算法Hmac_sha(这是一种国际上通用的混合信息的混合算法),对SK,RB做hmac计算,获得信息BRg,然后再用算法AES使用T为密钥对BRg做加密,获得信息B;
b.使用算法Hmac_sha对SK,RC和T做hmac计算,获得信息C;
c.连接信息B和信息C而得到信息M;
S6.个人认证设备将第三信息M传送到认证服务器,所述认证服务器根据预设的第三算法进行逆运算将第三信息M分解计算得到第一信息B和第二信息C;
S7.认证服务器将分解计算得到的第一信息B或第二信息C或第一信息B对应的第一中间信息BRg或第二信息C对应的第二中间信息CRg作为认证注册数据W1;
S8.认证服务器将步骤S7中得到的认证注册数据W1与预先计算并存储在认证服务器上的注册数据W进行比对,如果认证注册数据W1与注册数据W一致,则用户的身份认证通过,否则用户的身份认证失败。
对应于上述步骤S6、S7和S8的具体措施为:手机把信息M送回服务器,传送信息的信道可以是加密的信道,我们也推荐使用加密信道,但是,即使是开放的信道,也不可能对认证过程造成伤害;服务器具备足够的信息另外独自计算出C和B(需要的信息就是SK和T,以及RC,BRg),然后用这样计算出的信息和手机传送过来的信息做对比匹配,因此服务器可以对M进行验证。
实施例1之方案4:一种身份认证系统,其特征在于,如图2所示,包括用户持有的个人认证设备,认证方持有的认证服务器,个人认证设备和认证服务器之间具有预先约定的对称机密信息SK,包含内容信息RC和生物特征信息RB的认证内容RD的集合;
本实施例中本实施例中的个人认证设备为智能手机,以及智能手机上的软件,智能手机具备麦克风和网络功能,认证服务器包括硬件服务器和相应的软件。
所述个人认证设备至少包括如下单元:
采集单元,用于采集用户输入的认证内容RD;
本实施例中,本实施例中认证内容RD为“用户读入数字1234”,从认证内容RD中提炼的数字“1234”即为内容信息RC,从认证内容RD中提炼的声纹即为生物特征信息RB;
处理单元,用于将认证内容RD分解处理为内容信息RC和生物特征信息RB,用于采用预设的第一算法对所述生物特征信息RB、对称机密信息SK、一次性信息T进行计算产生第一信息B;用于采用预设的第二算法对所述内容信息RC、对称机密信息SK、一次性信息T进行计算产生第二信息C,用于采用预设的第三算法对所述第一信息B和第二信息C进行计算得到第三信息M;
通信单元,用于实现个人认证设备和认证服务器之间的数据通信,用于接收认证服务器向个人认证设备发出指令并提供相应的一次性信息T,用于个人认证设备将第三信息M传送到认证服务器;
存储单元,用于存储从述个人认证设备的采集单元、处理单元和通信单元获得的数据信息;
所述认证服务器至少包括如下单元:
通信单元,用于实现个人认证设备和认证服务器之间的数据通信,用于认证服务器向个人认证设备发出指令并提供相应的一次性信息T,用于接收个人认证设备传送到认证服务器的第三信息M;
处理单元,用于根据预设的第三算法进行逆运算将第三信息M分解计算得到第一信息B和第二信息C;用于分解计算得到的第一信息B或第二信息C或第一信息B对应的第一中间信息BRg或第二信息C对应的第二中间信息CRg,并将前述信息存储在认证服务器的数据库中,作为用户的注册数据W1;用于认证服务器将认证注册数据W1与预先计算并存储在认证服务器上的注册数据W进行比对,如果认证注册数据W1与注册数据W一致,则用户的身份认证通过,否则用户的身份认证失败;
存储单元,用于存储从认证服务器的通信单元和处理单元获得的数据信息。
实施例1之方案5:一种个人认证设备,用于包括用户持有的个人认证设备,认证方持有的认证服务器,个人认证设备和认证服务器之间具有预先约定的对称机密信息SK,包含内容信息RC和生物特征信息RB的认证内容RD的集合的身份注册系统或身份认证系统中;其特征在于,
所述个人认证设备至少包括如下单元:
采集单元,用于采集用户输入的认证内容RD;
本实施例中,本实施例中认证内容RD为“用户读入数字1234”,从认证内容RD中提炼的数字“1234”即为内容信息RC,从认证内容RD中提炼的声纹即为生物特征信息RB;
处理单元,用于将认证内容RD分解处理为内容信息RC和生物特征信息RB,用于采用预设的第一算法对所述生物特征信息RB、对称机密信息SK、一次性信息T进行计算产生第一信息B;用于采用预设的第二算法对所述内容信息RC、对称机密信息SK、一次性信息T进行计算产生第二信息C,用于采用预设的第三算法对所述第一信息B和第二信息C进行计算得到第三信息M;
通信单元,用于实现个人认证设备和认证服务器之间的数据通信,用于接收认证服务器向个人认证设备发出指令并提供相应的一次性信息T,用于个人认证设备将第三信息M传送到认证服务器;
存储单元,用于存储从述个人认证设备的采集单元、处理单元和通信单元获得的数据信息。
实施例1之方案6:一种认证服务器,用于包括用户持有的个人认证设备,认证方持有的认证服务器,个人认证设备和认证服务器之间具有预先约定的对称机密信息SK,包含内容信息RC和生物特征信息RB的认证内容RD的集合的身份注册系统中;
本实施例中,本实施例中认证内容RD为“用户读入数字1234”,从认证内容RD中提炼的数字“1234”即为内容信息RC,从认证内容RD中提炼的声纹即为生物特征信息RB;
其特征在于,所述认证服务器至少包括如下单元:
通信单元,用于实现个人认证设备和认证服务器之间的数据通信,用于认证服务器向个人认证设备发出指令并提供相应的一次性信息T,用于接收个人认证设备传送到认证服务器的第三信息M;
处理单元,用于根据预设的第三算法进行逆运算将第三信息M分解计算得到第一信息B和第二信息C;用于分解计算得到的第一信息B或第二信息C或第一信息B对应的第一中间信息BRg或第二信息C对应的第二中间信息CRg,并将前述信息存储在认证服务器的数据库中,作为用户的注册数据W;
存储单元,用于存储从认证服务器的通信单元和处理单元获得的数据信息。
实施例1之方案7:一种认证服务器,用于包括用户持有的个人认证设备,认证方持有的认证服务器,个人认证设备和认证服务器之间具有预先约定的对称机密信息SK,包含内容信息RC和生物特征信息RB的认证内容RD的集合的身份认证系统中;
本实施例中,本实施例中认证内容RD为“用户读入数字1234”,从认证内容RD中提炼的数字“1234”即为内容信息RC,从认证内容RD中提炼的声纹即为生物特征信息RB;
其特征在于,所述认证服务器至少包括如下单元:
通信单元,用于实现个人认证设备和认证服务器之间的数据通信,用于认证服务器向个人认证设备发出指令并提供相应的一次性信息T,用于接收个人认证设备传送到认证服务器的第三信息M;
处理单元,用于根据预设的第三算法进行逆运算将第三信息M分解计算得到第一信息B和第二信息C;用于分解计算得到的第一信息B或第二信息C或第一信息B对应的第一中间信息BRg或第二信息C对应的第二中间信息CRg,并将前述信息存储在认证服务器的数据库中,作为用户的注册数据W1;用于认证服务器将认证注册数据W1与预先计算并存储在认证服务器上的注册数据W进行比对,如果认证注册数据W1与注册数据W一致,则用户的身份认证通过,否则用户的身份认证失败;
存储单元,用于存储从认证服务器的通信单元和处理单元获得的数据信息。
实施例2:本实施例所基于的硬件系统与实施例1相同,不再重复描述。
本实施例所采用的认证内容RD的生物特征为行为特征(手势),具体来说是用拇指和食指画一个规定的圈,智能手机将采集到输入信息(即认证内容RD),认证内容RD可以分解成两种,一种是内容信息RC,即该圈的位置等,一种是个人的行为特征信息(即生物特征信息RB),即手势的速度和统计关系等信息,这些信息将由智能手机的处理器对手势的输入进行处理而获得,这些信息是基于个人的生理特征和习惯性特征的,不同的人将有不同的信息,而且这些信息很难伪造。
由于本实施例中的硬件系统与实施例1相同,只是认证内容RD有所差别,其处理过程和技术方案与实施例1相同,因此不再重复描述基于这一不同认证内容的身份注册和认证方法、系统、个人认证设备和认证服务器等7个具体技术方案。
实施例3:本实施例所基于的硬件系统与实施例1相同,不再重复描述。
本实施例所采用的认证内容RD的生物特征为指纹,认证内容RD仍然被分为内容信息RC和生物特征信息RB,内容信息即某个指纹,例如左手食指,本实施例中内容信息比较少,只有10个;生物特征信息RB即为指纹,指纹信息是基于个人的生理特征的,不同的人将有不同的信息,而且这些信息很难伪造。
由于本实施例中的硬件系统与实施例1相同,只是认证内容RD有所差别,其处理过程和技术方案与实施例1相同,因此不再重复描述基于这一不同认证内容的身份注册和认证方法、系统、个人认证设备和认证服务器等7个具体技术方案。
实施例4:本实施例所基于的硬件系统包含认证方持有的认证服务器、用户持有的个人认证设备,个人认证设备包含了硬件认证器和独立的具备网络功能的浏览器装置,本实施例中硬件系统能够与实施例1的不同之处在于实施例1中将硬件认证器和浏览器装置整合为一个硬件设备即为个人认证设备,而实施例4中个人认证设备则被分离为两个相对独立的硬件设备即为硬件认证器和独立的具备网络功能的浏览器装置,实施例4中的硬件认证器是特殊设计的硬件认证器(或称为令牌等)以及上面安装的软件;认证过程中的联网确认通过一个浏览器装置中介进行通信,所述浏览器装置是安装有浏览器软件的具有网络功能的硬件平台如电脑、手机等。
为了便于本领域技术人员的理解和实施本发明申请,下面结合附图和具体的实施例对本发明做进一步的说明。
实施例4之方案1:一种身份注册方法,其特征在于,预先在认证方持有的认证服务器和用户持有的个人认证设备之间约定对称机密信息SK,包含内容信息RC和生物特征信息RB的认证内容RD的集合;
所述身份注册方法包括如下步骤:
S1.认证服务器向个人认证设备发出指令并提供相应的一次性信息T,,所述一次性信息T中包括选定认证内容RD类型的提示信息,个人认证设备接收到指令后提示用户输入认证内容RD;
本实施例所采用的认证内容RD的生物特征为指纹,认证内容RD仍然被分为内容信息RC和生物特征信息RB,内容信息即某个指纹,例如左手食指,本实施例中内容信息比较少,只有10个;生物特征信息RB即为指纹,指纹信息是基于个人的生理特征的,不同的人将有不同的信息,而且这些信息很难伪造。
S2.用户根据提示输入认证内容RD,个人认证设备获取输入的认证内容RD并将认证内容RD分解处理为内容信息RC和生物特征信息RB;
S3.个人认证设备采用预设的第一算法对所述生物特征信息RB、对称机密信息SK、一次性信息T进行计算产生第一信息B;
S4.个人认证设备采用预设的第二算法对所述内容信息RC、对称机密信息SK、一次性信息T进行计算产生第二信息C;
S5.个人认证设备采用预设的第三算法对所述第一信息B和第二信息C进行计算得到第三信息M;
本实施例中步骤S4和S5的具体措施为:个人认证设备中的硬件认证器进一步对信息SK,RC,RB进一步处理,获得信息M。
具体的算法如下:
使用hmac_sha算法,对SK,RB做hmac计算,获得信息BRg;
使用hmac_sha算法,对SK,RC做hmac计算,获得信息C;
连接信息BRg和信息C而得到信息M1;
硬件认证器把信息M1显示在其显示装置上,用户把信息M1输入浏览器装置,然后浏览器装置对信息做如下的计算:
分解M1,获得BRg和C;
然后使用T为密钥,对BRg加密,获得信息KBRg;
连接信息KBRg和信息C而得到信息M;
S6.个人认证设备将第三信息M传送到认证服务器,所述认证服务器根据预设的第三算法进行逆运算将第三信息M分解计算得到第一信息B和第二信息C;
S7.认证服务器将分解计算得到的第一信息B或第二信息C或第一信息B对应的第一中间信息BRg或第二信息C对应的第二中间信息CRg作为用户的注册数据W,并存储在认证服务器的数据库中。
本实施例中步骤S6和S7的具体措施为:个人认证设备中的浏览器装置将第三信息M传送到认证服务器,认证服务器利用M做如下计算,首先获得KBRg和C,利用C做初步验证;然后用算法AES对KBRg做解密(T为密钥)而获得BRg,BRg将存储在服务器的数据库中,作为该用户的主要注册数据。
实施例4之方案2:一种身份认证方法,其特征在于,预先在认证方持有的认证服务器和用户持有的个人认证设备之间约定对称机密信息SK,包含内容信息RC和生物特征信息RB的认证内容RD的集合;
所述身份认证方法包括如下步骤:
S1.认证服务器向个人认证设备发出指令并提供相应的一次性信息T,所述一次性信息T中包括选定认证内容RD类型的提示信息,个人认证设备接收到指令后提示用户输入认证内容RD;
本实施例所采用的认证内容RD的生物特征为指纹,认证内容RD仍然被分为内容信息RC和生物特征信息RB,内容信息即某个指纹,例如左手食指,本实施例中内容信息比较少,只有10个;生物特征信息RB即为指纹,指纹信息是基于个人的生理特征的,不同的人将有不同的信息,而且这些信息很难伪造。
S2.用户根据提示输入认证内容RD,个人认证设备获取输入的认证内容RD并将认证内容RD分解处理为内容信息RC和生物特征信息RB;
S3.个人认证设备采用预设的第一算法对所述生物特征信息RB、对称机密信息SK、一次性信息T进行计算产生第一信息B;
S4.个人认证设备采用预设的第二算法对所述内容信息RC、对称机密信息SK、一次性信息T进行计算产生第二信息C;
S5.个人认证设备采用预设的第三算法对所述第一信息B和第二信息C进行计算得到第三信息M;
本实施例中步骤S4和S5的具体措施为:个人认证设备中的硬件认证器进一步对信息SK,RC,RB进一步处理,获得信息M。
具体的算法如下:
使用hmac_sha算法,对SK,RB做hmac计算,获得信息BRg;
使用hmac_sha算法,对SK,RC做hmac计算,获得信息C;
连接信息BRg和信息C而得到信息M1;
硬件认证器把信息M1显示在其显示装置上,用户把信息M1输入浏览器装置,然后浏览器装置对信息做如下的计算:
分解M1,获得BRg和C;
然后使用T为密钥,对BRg加密,获得信息KBRg;
连接信息KBRg和信息C而得到信息M;
S6.个人认证设备将第三信息M传送到认证服务器,所述认证服务器根据预设的第三算法进行逆运算将第三信息M分解计算得到第一信息B和第二信息C;
S7.认证服务器将分解计算得到的第一信息B或第二信息C或第一信息B对应的第一中间信息BRg或第二信息C对应的第二中间信息CRg作为认证注册数据W1;
S8.认证服务器将步骤S7中得到的认证注册数据W1与预先计算并存储在认证服务器上的注册数据W进行比对,如果认证注册数据W1与注册数据W一致,则用户的身份认证通过,否则用户的身份认证失败。
本实施例中步骤S6、S7和S8的具体措施为:个人认证设备中的浏览器装置将第三信息M传送到认证服务器,认证服务器利用M做如下计算,首先获得KBRg和C,利用C做初步验证;然后用算法AES对KBRg做解密(T为密钥)而获得BRg,将获得的BRg作为认证注册数据W1暂存,然后将认证注册数据W1与预先存储在认证服务器中的注册数据W做对比匹配,从而实现对用户的身份认证。
由于实施例4中的硬件系统仅仅在个人认证设备的具体实现上与实施例1存在差别,认证内容RD与实施例3完全相同,因此不再重复描述基于这一不同认证内容的身份注册和认证系统、个人认证设备和认证服务器等个具体技术方案。
本发明申请的多个实施例中的众多技术方案中,三种因子都已经充分运用,缺一不可。在过程中,用户知道什么,用户拥有什么,以及用户的生物特征,都必须同时正确具备,正确运用,否则无法通过认证。注意到信息M是一次性的,即使被获取,也不可能逆向获得用户的生物特征信息。同时,认证服务器(即认证主体)完全可以主导整个认证过程,而不仅是通过静态的生物特征信息(这个信息总是在可能被伪造的阴影下的)来做认证。
进一步,由于生物特征必须由用户本人才可能产生,即使在服务器的全部注册信息都泄露的最坏情况下,这个特性也使得攻击者不可能冒名用户,因此把损失控制在最小。这个性质是目前的几乎所以系统和方法都不可能解决的。采用我们的系统方法,就可以达到这个目标。
由于我们的系统采用很方便的个人认证设备,而且在用户的简单使用过程中已经使得三种因子合一使用,用户再也不用记忆各种令人烦恼的密码,口令等等,方便程度极大提高。我们的系统使得一个用户仅需要一个认证器,就可以和任何服务商做绑定服务,成本极大下降。这样高的安全状态,这样方便的用户使用体验,这样低成本的系统和低使用成本都是目前的系统和方法不能达到的,也是市场在积极寻求的。
本领域的普通技术人员将会意识到,这里所述的实施例是为了帮助读者理解本发明的原理,应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合,这些变形和组合仍然在本发明的保护范围内。
Claims (17)
1.一种身份注册方法,其特征在于,预先在认证方持有的认证服务器和用户持有的个人认证设备之间约定对称机密信息SK,包含内容信息RC和生物特征信息RB的认证内容RD的集合;
所述身份注册方法包括如下步骤:
S1.认证服务器向个人认证设备发出指令并提供相应的一次性信息T,个人认证设备接收到指令后提示用户输入认证内容RD;
S2.用户根据提示输入认证内容RD,个人认证设备获取输入的认证内容RD并将认证内容RD分解处理为内容信息RC和生物特征信息RB;
S3.个人认证设备采用预设的第一算法对所述生物特征信息RB、对称机密信息SK、一次性信息T进行计算产生第一信息B;
S4.个人认证设备采用预设的第二算法对所述内容信息RC、对称机密信息SK、一次性信息T进行计算产生第二信息C;
S5.个人认证设备采用预设的第三算法对所述第一信息B和第二信息C进行计算得到第三信息M;
S6.个人认证设备将第三信息M传送到认证服务器,所述认证服务器根据预设的第三算法进行逆运算将第三信息M分解计算得到第一信息B和第二信息C;
S7.认证服务器将分解计算得到的第一信息B或第二信息C或第一信息B对应的第一中间信息BRg或第二信息C对应的第二中间信息CRg作为用户的注册数据W,并存储在认证服务器的数据库中。
2.根据权利要求1所述的一种身份注册方法,其特征在于,所述步骤S3中的第一算法的要求是,即使在SK和T都已知时,不能从B逆推出RB。
3.根据权利要求2所述的一种身份注册方法,其特征在于,所述步骤S3中的第一算法的要求是,M=B+C,或者M=B+C+TC,TC是T的加密。
4.根据权利要求1所述的一种身份注册方法,其特征在于,所述步骤S4中的第二算法的要求是,即使在SK和T都已知时,不能从C逆推出RC。
5.根据权利要求1所述的一种身份注册方法,其特征在于,所述步骤S5中获取第三信息M的具体步骤为:
a.使用算法Hmac_sha,对SK,RB做hmac计算,获得信息BRg,然后再用算法AES使用T为密钥对BRg做加密,获得信息B;
b.使用算法Hmac_sha对SK,RC和T做hmac计算,获得信息C;
c.连接信息B和信息C而得到信息M。
6.根据权利要求1所述的一种身份注册方法,其特征在于,所述一次性信息T中包括选定认证内容RD类型的提示信息。
7.一种身份注册系统,其特征在于,包括用户持有的个人认证设备,认证方持有的认证服务器,个人认证设备和认证服务器之间具有预先约定的对称机密信息SK,包含内容信息RC和生物特征信息RB的认证内容RD的集合;
所述个人认证设备至少包括如下单元:
采集单元,用于采集用户输入的认证内容RD;
处理单元,用于将认证内容RD分解处理为内容信息RC和生物特征信息RB,用于采用预设的第一算法对所述生物特征信息RB、对称机密信息SK、一次性信息T进行计算产生第一信息B;用于采用预设的第二算法对所述内容信息RC、对称机密信息SK、一次性信息T进行计算产生第二信息C,用于采用预设的第三算法对所述第一信息B和第二信息C进行计算得到第三信息M;
通信单元,用于实现个人认证设备和认证服务器之间的数据通信,用于接收认证服务器向个人认证设备发出指令并提供相应的一次性信息T,用于个人认证设备将第三信息M传送到认证服务器;
存储单元,用于存储从述个人认证设备的采集单元、处理单元和通信单元获得的数据信息;
所述认证服务器至少包括如下单元:
通信单元,用于实现个人认证设备和认证服务器之间的数据通信,用于认证服务器向个人认证设备发出指令并提供相应的一次性信息T,用于接收个人认证设备传送到认证服务器的第三信息M;
处理单元,用于根据预设的第三算法进行逆运算将第三信息M分解计算得到第一信息B和第二信息C;用于分解计算得到的第一信息B或第二信息C或第一信息B对应的第一中间信息BRg或第二信息C对应的第二中间信息CRg,并将前述信息存储在认证服务器的数据库中,作为用户的注册数据W;
存储单元,用于存储从认证服务器的通信单元和处理单元获得的数据信息。
8.一种身份认证方法,其特征在于,预先在认证方持有的认证服务器和用户持有的个人认证设备之间约定对称机密信息SK,包含内容信息RC和生物特征信息RB的认证内容RD的集合;
所述身份认证方法包括如下步骤:
S1.认证服务器向个人认证设备发出指令并提供相应的一次性信息T,个人认证设备接收到指令后提示用户输入认证内容RD;
S2.用户根据提示输入认证内容RD,个人认证设备获取输入的认证内容RD并将认证内容RD分解处理为内容信息RC和生物特征信息RB;
S3.个人认证设备采用预设的第一算法对所述生物特征信息RB、对称机密信息SK、一次性信息T进行计算产生第一信息B;
S4.个人认证设备采用预设的第二算法对所述内容信息RC、对称机密信息SK、一次性信息T进行计算产生第二信息C;
S5.个人认证设备采用预设的第三算法对所述第一信息B和第二信息C进行计算得到第三信息M;
S6.个人认证设备将第三信息M传送到认证服务器,所述认证服务器根据预设的第三算法进行逆运算将第三信息M分解计算得到第一信息B和第二信息C;
S7.认证服务器将分解计算得到的第一信息B或第二信息C或第一信息B对应的第一中间信息BRg或第二信息C对应的第二中间信息CRg作为认证注册数据W1;
S8.认证服务器将步骤S7中得到的认证注册数据W1与预先计算并存储在认证服务器上的注册数据W进行比对,如果认证注册数据W1与注册数据W一致,则用户的身份认证通过,否则用户的身份认证失败。
9.根据权利要求8所述的一种身份注册方法,其特征在于,所述步骤S3中的第一算法的要求是,即使在SK和T都已知时,不能从B逆推出RB。
10.根据权利要求9所述的一种身份注册方法,其特征在于,所述步骤S3中的第一算法的要求是,M=B+C,或者M=B+C+TC,TC是T的加密。
11.根据权利要求8所述的一种身份注册方法,其特征在于,所述步骤S4中的第二算法的要求是,即使在SK和T都已知时,不能从C逆推出RC。
12.根据权利要求8所述的一种身份注册方法,其特征在于,所述步骤S5中获取第三信息M的具体步骤为:
a.使用算法Hmac_sha,对SK,RB做hmac计算,获得信息BRg,然后再用算法AES使用T为密钥对BRg做加密,获得信息B;
b.使用算法Hmac_sha对SK,RC和T做hmac计算,获得信息C;
c.连接信息B和信息C而得到信息M。
13.根据权利要求8所述的一种身份注册方法,其特征在于,所述一次性信息T中包括选定认证内容RD类型的提示信息。
14.一种身份认证系统,其特征在于,包括用户持有的个人认证设备,认证方持有的认证服务器,个人认证设备和认证服务器之间具有预先约定的对称机密信息SK,包含内容信息RC和生物特征信息RB的认证内容RD的集合;
所述个人认证设备至少包括如下单元:
采集单元,用于采集用户输入的认证内容RD;
处理单元,用于将认证内容RD分解处理为内容信息RC和生物特征信息RB,用于采用预设的第一算法对所述生物特征信息RB、对称机密信息SK、一次性信息T进行计算产生第一信息B;用于采用预设的第二算法对所述内容信息RC、对称机密信息SK、一次性信息T进行计算产生第二信息C,用于采用预设的第三算法对所述第一信息B和第二信息C进行计算得到第三信息M;
通信单元,用于实现个人认证设备和认证服务器之间的数据通信,用于接收认证服务器向个人认证设备发出指令并提供相应的一次性信息T,用于个人认证设备将第三信息M传送到认证服务器;
存储单元,用于存储从述个人认证设备的采集单元、处理单元和通信单元获得的数据信息;
所述认证服务器至少包括如下单元:
通信单元,用于实现个人认证设备和认证服务器之间的数据通信,用于认证服务器向个人认证设备发出指令并提供相应的一次性信息T,用于接收个人认证设备传送到认证服务器的第三信息M;
处理单元,用于根据预设的第三算法进行逆运算将第三信息M分解计算得到第一信息B和第二信息C;用于分解计算得到的第一信息B或第二信息C或第一信息B对应的第一中间信息BRg或第二信息C对应的第二中间信息CRg,并将前述信息存储在认证服务器的数据库中,作为用户的注册数据W1;用于认证服务器将认证注册数据W1与预先计算并存储在认证服务器上的注册数据W进行比对,如果认证注册数据W1与注册数据W一致,则用户的身份认证通过,否则用户的身份认证失败;
存储单元,用于存储从认证服务器的通信单元和处理单元获得的数据信息。
15.一种个人认证设备,用于包括用户持有的个人认证设备,认证方持有的认证服务器,个人认证设备和认证服务器之间具有预先约定的对称机密信息SK,包含内容信息RC和生物特征信息RB的认证内容RD的集合的身份注册系统或身份认证系统中;其特征在于,
所述个人认证设备至少包括如下单元:
采集单元,用于采集用户输入的认证内容RD;
处理单元,用于将认证内容RD分解处理为内容信息RC和生物特征信息RB,用于采用预设的第一算法对所述生物特征信息RB、对称机密信息SK、一次性信息T进行计算产生第一信息B;用于采用预设的第二算法对所述内容信息RC、对称机密信息SK、一次性信息T进行计算产生第二信息C,用于采用预设的第三算法对所述第一信息B和第二信息C进行计算得到第三信息M;
通信单元,用于实现个人认证设备和认证服务器之间的数据通信,用于接收认证服务器向个人认证设备发出指令并提供相应的一次性信息T,用于个人认证设备将第三信息M传送到认证服务器;
存储单元,用于存储从述个人认证设备的采集单元、处理单元和通信单元获得的数据信息。
16.一种认证服务器,用于包括用户持有的个人认证设备,认证方持有的认证服务器,个人认证设备和认证服务器之间具有预先约定的对称机密信息SK,包含内容信息RC和生物特征信息RB的认证内容RD的的集合身份注册系统中;其特征在于,
所述认证服务器至少包括如下单元:
通信单元,用于实现个人认证设备和认证服务器之间的数据通信,用于认证服务器向个人认证设备发出指令并提供相应的一次性信息T,用于接收个人认证设备传送到认证服务器的第三信息M;
处理单元,用于根据预设的第三算法进行逆运算将第三信息M分解计算得到第一信息B和第二信息C;用于分解计算得到的第一信息B或第二信息C或第一信息B对应的第一中间信息BRg或第二信息C对应的第二中间信息CRg,并将前述信息存储在认证服务器的数据库中,作为用户的注册数据W;
存储单元,用于存储从认证服务器的通信单元和处理单元获得的数据信息。
17.一种认证服务器,用于包括用户持有的个人认证设备,认证方持有的认证服务器,个人认证设备和认证服务器之间具有预先约定的对称机密信息SK,包含内容信息RC和生物特征信息RB的认证内容RD的的集合身份认证系统中;其特征在于,
所述认证服务器至少包括如下单元:
通信单元,用于实现个人认证设备和认证服务器之间的数据通信,用于认证服务器向个人认证设备发出指令并提供相应的一次性信息T,用于接收个人认证设备传送到认证服务器的第三信息M;
处理单元,用于根据预设的第三算法进行逆运算将第三信息M分解计算得到第一信息B和第二信息C;用于分解计算得到的第一信息B或第二信息C或第一信息B对应的第一中间信息BRg或第二信息C对应的第二中间信息CRg,并将前述信息存储在认证服务器的数据库中,作为用户的注册数据W1;用于认证服务器将认证注册数据W1与预先计算并存储在认证服务器上的注册数据W进行比对,如果认证注册数据W1与注册数据W一致,则用户的身份认证通过,否则用户的身份认证失败;
存储单元,用于存储从认证服务器的通信单元和处理单元获得的数据信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310176801.9A CN103297237B (zh) | 2013-05-14 | 2013-05-14 | 身份注册和认证方法、系统、个人认证设备和认证服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310176801.9A CN103297237B (zh) | 2013-05-14 | 2013-05-14 | 身份注册和认证方法、系统、个人认证设备和认证服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103297237A true CN103297237A (zh) | 2013-09-11 |
| CN103297237B CN103297237B (zh) | 2015-10-28 |
Family
ID=49097594
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310176801.9A Active CN103297237B (zh) | 2013-05-14 | 2013-05-14 | 身份注册和认证方法、系统、个人认证设备和认证服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103297237B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103248629A (zh) * | 2013-05-14 | 2013-08-14 | 成都天钥科技有限公司 | 身份注册系统 |
| CN104506315A (zh) * | 2014-08-28 | 2015-04-08 | 金硕澳门离岸商业服务有限公司 | 一种生物认证方法、设备及系统 |
| CN106063189A (zh) * | 2014-03-28 | 2016-10-26 | 英特尔公司 | 用于使用一个或多个策略处置器促进多因子认证策略实施的系统和方法 |
| CN107563712A (zh) * | 2016-06-30 | 2018-01-09 | 中兴通讯股份有限公司 | 一种移动终端打卡方法、装置、设备及系统 |
| CN112100611A (zh) * | 2020-08-14 | 2020-12-18 | 广州江南科友科技股份有限公司 | 一种密码生成方法、装置、存储介质和计算机设备 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103607280B (zh) * | 2013-05-14 | 2016-08-24 | 成都天钥科技有限公司 | 个人认证设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101075868A (zh) * | 2006-05-19 | 2007-11-21 | 华为技术有限公司 | 一种远程身份认证的系统、终端、服务器和方法 |
| CN101098232A (zh) * | 2007-07-12 | 2008-01-02 | 兰州大学 | 一种动态口令与多生物特征结合的身份认证方法 |
| CN101442407A (zh) * | 2007-11-22 | 2009-05-27 | 杭州中正生物认证技术有限公司 | 利用生物特征进行身份认证的方法及系统 |
| JP2009259085A (ja) * | 2008-04-18 | 2009-11-05 | Takumi Vision株式会社 | 生体認証システム及び認証方法 |
| CN102111418A (zh) * | 2011-03-02 | 2011-06-29 | 北京工业大学 | 一种基于人脸特征密钥生成的网上身份认证方法 |
-
2013
- 2013-05-14 CN CN201310176801.9A patent/CN103297237B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101075868A (zh) * | 2006-05-19 | 2007-11-21 | 华为技术有限公司 | 一种远程身份认证的系统、终端、服务器和方法 |
| CN101098232A (zh) * | 2007-07-12 | 2008-01-02 | 兰州大学 | 一种动态口令与多生物特征结合的身份认证方法 |
| CN101442407A (zh) * | 2007-11-22 | 2009-05-27 | 杭州中正生物认证技术有限公司 | 利用生物特征进行身份认证的方法及系统 |
| JP2009259085A (ja) * | 2008-04-18 | 2009-11-05 | Takumi Vision株式会社 | 生体認証システム及び認証方法 |
| CN102111418A (zh) * | 2011-03-02 | 2011-06-29 | 北京工业大学 | 一种基于人脸特征密钥生成的网上身份认证方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103248629A (zh) * | 2013-05-14 | 2013-08-14 | 成都天钥科技有限公司 | 身份注册系统 |
| CN103248629B (zh) * | 2013-05-14 | 2016-05-25 | 成都天钥科技有限公司 | 身份注册系统 |
| CN106063189A (zh) * | 2014-03-28 | 2016-10-26 | 英特尔公司 | 用于使用一个或多个策略处置器促进多因子认证策略实施的系统和方法 |
| CN106063189B (zh) * | 2014-03-28 | 2019-07-12 | 英特尔公司 | 用于使用一个或多个策略处置器促进多因子认证策略实施的系统和方法 |
| CN104506315A (zh) * | 2014-08-28 | 2015-04-08 | 金硕澳门离岸商业服务有限公司 | 一种生物认证方法、设备及系统 |
| CN107563712A (zh) * | 2016-06-30 | 2018-01-09 | 中兴通讯股份有限公司 | 一种移动终端打卡方法、装置、设备及系统 |
| CN112100611A (zh) * | 2020-08-14 | 2020-12-18 | 广州江南科友科技股份有限公司 | 一种密码生成方法、装置、存储介质和计算机设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103297237B (zh) | 2015-10-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11855983B1 (en) | Biometric electronic signature authenticated key exchange token | |
| EP2648163B1 (en) | A personalized biometric identification and non-repudiation system | |
| US11764971B1 (en) | Systems and methods for biometric electronic signature agreement and intention | |
| EP3257194B1 (en) | Systems and methods for securely managing biometric data | |
| CN107209821B (zh) | 用于对电子文件进行数字签名的方法以及认证方法 | |
| EP1791073B1 (en) | Processing device, helper data generating device, terminal device, authentication device and biometrics authentication system | |
| US9152779B2 (en) | Protecting codes, keys and user credentials with identity and patterns | |
| CN105164689B (zh) | 用户认证系统及方法 | |
| WO2012042775A1 (ja) | 生体認証システム、通信端末装置、生体認証装置、および生体認証方法 | |
| JPWO2003069489A1 (ja) | 本人認証の方法 | |
| CN101420301A (zh) | 人脸识别身份认证系统 | |
| CN103679436A (zh) | 一种基于生物信息识别的电子合同保全系统和方法 | |
| CN103297237B (zh) | 身份注册和认证方法、系统、个人认证设备和认证服务器 | |
| CN101692277A (zh) | 一种用于移动通信设备的生物识别加密支付系统及其方法 | |
| CN105429761A (zh) | 一种密钥生成方法及装置 | |
| US11405387B1 (en) | Biometric electronic signature authenticated key exchange token | |
| CN104038509A (zh) | 指纹认证云系统 | |
| CN203243360U (zh) | 身份注册系统 | |
| US20230086015A1 (en) | Ic card asymmetric labelling system and ic card built-in password input system | |
| CN103297238B (zh) | 身份认证系统 | |
| CN103248629B (zh) | 身份注册系统 | |
| CN111353144A (zh) | 一种身份认证的方法和装置 | |
| CN105429986B (zh) | 一种网络实名验证和隐私保护的系统 | |
| JP2006155547A (ja) | 本人認証システム、端末装置、およびサーバ | |
| CN103607280B (zh) | 个人认证设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |