個人認(rèn)證設(shè)備的制作方法
【專利摘要】本發(fā)明涉及一種個人認(rèn)證設(shè)備,至少包括如下單元:采集單元、處理單元,用于將認(rèn)證內(nèi)容RD分解處理為內(nèi)容信息RC和生物特征信息RB,用于采用預(yù)設(shè)的第一算法對所述生物特征信息RB、對稱機密信息SK、一次性信息T進行計算產(chǎn)生第一信息B;用于采用預(yù)設(shè)的第二算法對所述內(nèi)容信息RC、對稱機密信息SK、一次性信息T進行計算產(chǎn)生第二信息C,用于采用預(yù)設(shè)的第三算法對所述第一信息B和第二信息C進行計算得到第三信息M;通信單元和存儲單元。本發(fā)明的有益效果是:有效的將“用戶所具有的生物特征”這一認(rèn)證因子和其他認(rèn)證因子進行整合,從而提高了多因子認(rèn)證技術(shù)的安全性和易用性。
【專利說明】個人認(rèn)證設(shè)備
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計算機安全信息【技術(shù)領(lǐng)域】,特別是涉及計算機身份認(rèn)證【技術(shù)領(lǐng)域】。
【背景技術(shù)】
[0002]身份認(rèn)證過程,以及密切相關(guān)的交易控制,是認(rèn)證主體(通常是服務(wù)提供方)對被認(rèn)證主體(通常是用戶)進行認(rèn)證,確認(rèn)身份、擁有權(quán)和所屬權(quán)利等的過程。從最基礎(chǔ)的層次上講,是認(rèn)證主體對被認(rèn)證主體提交的信息加以某種確認(rèn)的過程,也就是說,認(rèn)證主體對這些提交的信息加以認(rèn)可的過程。從原理上講,對提交的信息進行分類,就是所謂的認(rèn)證因子。第一種認(rèn)證因子即“知道什么”,是被認(rèn)證主體具備某種特殊的,不易為他人知曉的知識,通常是某種口令,密碼等。第二種認(rèn)證因子即“擁有什么”,是被認(rèn)證主體擁有某種具體的物件,最著名的例子就是歷史上的虎符,以及目前使用很多的令牌、印章和智能卡(如信用卡等)等。第三種認(rèn)證因子即“用戶所具有的生物特征”,個人生理上特有的,例如聲紋、指紋、眼紋、靜脈紋、面紋或行為特征等等。
[0003]早期的身份認(rèn)證技術(shù)是對上述三種因子單獨進行使用,單獨使用一種認(rèn)證因子的身份認(rèn)證技術(shù)被稱為單因子認(rèn)證。事實上,這就是目前的大多數(shù)情況,如各種網(wǎng)絡(luò)帳號的登錄密碼。但是,單因子認(rèn)證相當(dāng)不安全,為提高安全起見,需要同時使用兩種以上的因子,稱為多因子認(rèn)證。
[0004]但是,現(xiàn)有技術(shù)中的多因子認(rèn)證方案存在如下不足:那就是如果沒有好的系統(tǒng)方法,成本就比較高,使用也會欠方便。特別是每一個用戶(被認(rèn)證主體)都對應(yīng)很多的服務(wù)商(認(rèn)證主體),如果沒有合適的方法,很難把多因子認(rèn)證推廣開。
[0005]本 申請人:在2011年06月27日提出了發(fā)明專利申請“計算機系統(tǒng)身份識別方法”,該專利申請公開了一種雙因子認(rèn)證的方案。該技術(shù)方案使得雙因子認(rèn)證(知道什么,擁有什么)可以容易進行,但是由于沒有并沒有具體的方法來整合用戶所具有的生物特征,使之成為完整統(tǒng)一的三種因子合一的方法,因此其安全性和易用性還是不夠。
【發(fā)明內(nèi)容】
[0006]本發(fā)明的目的是為了進一步的提高現(xiàn)有的多因子認(rèn)證技術(shù)方案的安全性和易用性,提出了 一種個人認(rèn)證設(shè)備。
[0007]本發(fā)明的技術(shù)方案是:一種個人認(rèn)證設(shè)備,用于包括用戶持有的個人認(rèn)證設(shè)備,認(rèn)證方持有的認(rèn)證服務(wù)器,個人認(rèn)證設(shè)備和認(rèn)證服務(wù)器之間具有預(yù)先約定的對稱機密信息SK,包含內(nèi)容信息RC和生物特征信息RB的認(rèn)證內(nèi)容RD的集合的身份注冊系統(tǒng)或身份認(rèn)證系統(tǒng)中;其特征在于,
[0008]所述個人認(rèn)證設(shè)備至少包括如下單元:
[0009]采集單元,用于采集用戶輸入的認(rèn)證內(nèi)容RD ;
[0010]處理單元,用于將認(rèn)證內(nèi)容RD分解處理為內(nèi)容信息RC和生物特征信息RB,用于采用預(yù)設(shè)的第一算法對所述生物特征信息RB、對稱機密信息SK、一次性信息T進行計算產(chǎn)生第一信息B ;用于采用預(yù)設(shè)的第二算法對所述內(nèi)容信息RC、對稱機密信息SK、一次性信息T進行計算產(chǎn)生第二信息C,用于采用預(yù)設(shè)的第三算法對所述第一信息B和第二信息C進行計算得到第二息M ;
[0011]通信單元,用于實現(xiàn)個人認(rèn)證設(shè)備和認(rèn)證服務(wù)器之間的數(shù)據(jù)通信,用于接收認(rèn)證服務(wù)器向個人認(rèn)證設(shè)備發(fā)出指令并提供相應(yīng)的一次性信息T,用于個人認(rèn)證設(shè)備將第三信息M傳送到認(rèn)證服務(wù)器;
[0012]存儲單元,用于存儲從述個人認(rèn)證設(shè)備的采集單元、處理單元和通信單元獲得的數(shù)據(jù)信息;
[0013]上述個人認(rèn)證設(shè)備的采集單元、通信單元和存儲單元分別與處理單元連接,上述認(rèn)證服務(wù)器的通信單元和存儲單元分別與處理單元連接,上述個人認(rèn)證設(shè)備和認(rèn)證服務(wù)器通過各自的通信單元連接通信。
[0014]本發(fā)明的有益效果是:本發(fā)明技術(shù)方案的認(rèn)證過程中,用戶知道什么,用戶擁有什么,以及用戶的生物特征,都必須同時正確具備,正確運用,否則無法通過認(rèn)證。注意到信息M是一次性的,即使被獲取,也不可能逆向獲得用戶的生物特征信息。同時,認(rèn)證服務(wù)器完全可以主導(dǎo)整個認(rèn)證過程,而不僅是通過靜態(tài)的生物特征信息(這個信息總是在可能被偽造的陰影下的)來做認(rèn)證。
[0015]進一步,由于生物特征必須由用戶本人才可能產(chǎn)生,即使在服務(wù)器的全部注冊信息都泄露的最壞情況下,這個特性也使得攻擊者不可能冒名用戶,因此把損失控制在最小。這個性質(zhì)是目前的幾乎所有的系統(tǒng)和方法都不能很好解決的。
[0016]由于我們的系統(tǒng)采用很方便的個人認(rèn)證設(shè)備,而且在用戶的簡單使用過程中已經(jīng)使得三種因子合一使用,用戶再也不用記憶各種令人煩惱的密碼,口令等等,方便程度極大提聞。
[0017]因此,本發(fā)明的技術(shù)方案有效的將“用戶所具有的生物特征”這一認(rèn)證因子和其他認(rèn)證因子進行整合,并且采用個人認(rèn)證設(shè)備集中采集各種認(rèn)證信息,從而進一步提高了多因子認(rèn)證技術(shù)的安全性和易用性。
【專利附圖】
【附圖說明】
[0018]圖1為本發(fā)明的身份注冊和認(rèn)證系統(tǒng)的硬件邏輯結(jié)構(gòu)示意圖。
[0019]圖2為本發(fā)明的身份注冊和認(rèn)證系統(tǒng)的更詳細的硬件邏輯結(jié)構(gòu)示意圖。
[0020]圖3為本發(fā)明的身份注冊方法的流程圖。
[0021]圖4為本發(fā)明的身份認(rèn)證方法的流程圖。
【具體實施方式】
[0022]為了便于本領(lǐng)域的技術(shù)人員充分的理解并實施本發(fā)明的技術(shù)方案,有必要在描述具體的實施例前對本發(fā)明申請所需的通用的硬件邏輯結(jié)構(gòu)、通用的定義和原理進行詳細的描述。
[0023]圖1為本發(fā)明的身份注冊系統(tǒng)和身份認(rèn)證系統(tǒng)的硬件結(jié)構(gòu)示意圖。從圖中可以看出,本發(fā)明的身份注冊系統(tǒng)和身份認(rèn)證系統(tǒng)的硬件邏輯結(jié)構(gòu)一致。身份注冊系統(tǒng)和身份認(rèn)證系統(tǒng)均包含:個人認(rèn)證設(shè)備I和認(rèn)證服務(wù)器2,還包括作為非必要技術(shù)特征的個人認(rèn)證設(shè)備管理服務(wù)器3。
[0024]本發(fā)明的個人認(rèn)證設(shè)備I由用戶(即被認(rèn)證主體)持有和使用,通常是手持的或者更方便的攜帶方式的電子設(shè)備如帶有采集功能的手機或平板電腦,個人認(rèn)證設(shè)備I必須包含可以采集“用戶所具有的生物特征”這一認(rèn)證因子的采集單元。認(rèn)證服務(wù)器2由服務(wù)方(即認(rèn)證方)持有和使用,一般采用具有通信功能和足夠計算能力和存儲能力的硬件服務(wù)器和配套的軟件即可。個人認(rèn)證設(shè)備管理服務(wù)器3將提供對個人認(rèn)證設(shè)備I的管理和服務(wù),但是完全不涉及一切服務(wù)商服務(wù)和用戶的機密信息,個人認(rèn)證設(shè)備管理服務(wù)器3將僅提供初始幫助。
[0025]用戶(被認(rèn)證主體)使用個人認(rèn)證設(shè)備I來完成三因子合一的認(rèn)證,既方便又完全。認(rèn)證服務(wù)器2將獨立完成三證合一的認(rèn)證。即使認(rèn)證服務(wù)器2發(fā)生最壞情況的信息泄露,使得用戶的注冊信息流傳出去,也極不可能發(fā)生他人冒名用戶的情況。
[0026]本發(fā)明技術(shù)方案的基本思路是:基于生物特征的認(rèn)證是用戶(即被認(rèn)證主體)提交某種個人的生物特征的信息,然后服務(wù)方(即認(rèn)證方)通過比對以前存儲的這樣的信息(或者信息模塊)來達到認(rèn)證。這種基于生物特征的特殊信息,例如聲紋,指紋,眼紋,靜脈紋,面紋,等,具備若干優(yōu)點,例如難以偽造,難以抵賴等。不過同時也具備很多缺點。本發(fā)明將用戶的各種生物特征作為對應(yīng)的認(rèn)證內(nèi)容RD,認(rèn)證內(nèi)容RD應(yīng)包含內(nèi)容信息RC和生物特征信息RB,內(nèi)容信息RC可以用于“知道什么”因子。物特征信息R可以用于“生物特征”因子,用戶的各種生物特征所對應(yīng)的認(rèn)證內(nèi)容RD的采集方式如下:
[0027]聲紋:采用語音輸入,通常使用麥克風(fēng)采集;是內(nèi)容信息RC和生物特征信息RB的自然混合,例如語音輸入“35”,則內(nèi)容信息RC就是35,而生物特征信息RB是用戶的聲紋特征。
[0028]指紋和掌紋:接觸輸入,通常采用接觸采集器;僅可含非常少量的內(nèi)容信息RC,例如右手的食指作為內(nèi)容信息RC,大多數(shù)信息為生物特征信息RB (即指紋或者掌紋)。
[0029]眼紋、面紋和靜脈紋:光學(xué)輸入,通常采用光學(xué)采集器;完全不含內(nèi)容信息RC,僅有生物特征信息RB (即眼紋等)。
[0030]行為特征(手勢,筆跡,打字痕跡):通常采用計算輸入設(shè)備,如鍵盤,屏幕等采集;認(rèn)證內(nèi)容RD是內(nèi)容信息RC和生物特征信息RB的自然混合,但是生物特征信息RB含量遠少于聲紋,例如鍵盤輸入“abede”,內(nèi)容信息RC就是abede,而生物特征信息RB是用戶輸入的輸入痕跡(即對用戶的鍵盤輸入的一些統(tǒng)計不變量),通常這個特征的信息量都不大。
[0031]上述各種生物特征的內(nèi)容信息RC和生物特征信息RB都有其用途。如果采集信息同時包含兩種信息,就更好。因此,聲紋和行為特征將具有獨特優(yōu)勢。而且,這兩種的采集器都相當(dāng)便宜,成本很低。
[0032]從生物特征采集的輸入信息中提取內(nèi)容信息RC和生物特征信息RB是非常專門的技術(shù),這個技術(shù)不在本專利的創(chuàng)新和保護范圍內(nèi)。但是,我們愿意指出,雖然這種專門的技術(shù)是相當(dāng)高難度的科技,但是最近若干年,已經(jīng)有了很好的進展。因此我們可以認(rèn)為,從采集輸入的生物特征對應(yīng)的認(rèn)證內(nèi)容RD中能夠提取內(nèi)容信息RC和生物特征信息RB,這一技術(shù)被視為現(xiàn)有技術(shù)而不再詳細描述和展開,但是其具體方案并不影響本發(fā)明的實施。
[0033]本領(lǐng)域的技術(shù)人員應(yīng)該意識到,用戶通過個人認(rèn)證設(shè)備I采集到的生物特征對應(yīng)的認(rèn)證內(nèi)容RD經(jīng)過提取后分為內(nèi)容信息RC和生物特征信息RB,所述內(nèi)容信息RC和生物特征信息RB會傳送給認(rèn)證服務(wù)器2,這些信息既可以被直接傳送,也可以經(jīng)過幾層函數(shù)計算后變成內(nèi)容信息RC和生物特征信息RB所對應(yīng)的中間信息進行傳送。
[0034]本發(fā)明中,對于生物特征的采集會多次進行以形成生物特征的集合和應(yīng)用。可以供采集器采集的數(shù)據(jù)信息為采集樣本信息,全部可供采用的采集信息稱為采集集合,符號為CJ注冊和認(rèn)證用的數(shù)據(jù)信息為CJ的元素,但是,可能并不使用全部CJ,而僅是CJ的一個真子集,這個集合稱為注冊集合,符號為ZJ,是CJ的子集(可能是真子集),例子如下:
[0035]例1:CJ為用戶全部手指的指紋,ZJ=CJ,采集樣本就是某個指頭的指紋。
[0036]例2:CJ 為語音集合 0-99,ZJ= {10, 20, 30, 40, 50, 60, 70, 80, 90},采集樣本就是某個規(guī)定語音的數(shù)據(jù)。
[0037]例子3:CJ為5個字母的全部集合,ZJ=CJ,采集樣本是用鍵盤輸入某個5個字母的字符串,例如abcde,ijkom等。
[0038]本發(fā)明能夠得以實施并且具備使得身份認(rèn)證具備較高的安全性和易用性的原理是:
[0039]原理1:生物特征信息不應(yīng)該直接使用。如果直接使用,特別是在遠程認(rèn)證中直接使用,就必須把特征信息直接用于網(wǎng)絡(luò)傳輸,這就制造了相當(dāng)大的安全隱患。如果在傳輸過程中出現(xiàn)泄漏,以后的使用過程中,就比較危險,因為通常對生物特征寄予相當(dāng)高的安全信心,將更難發(fā)現(xiàn)問題。而且通常生物特征比較少(例如每個人僅用十個指紋可以用),一旦特征信息出現(xiàn)泄漏,就不如口令等容易修改和糾正。因此直接使用生物特征的安全隱患太多。最好的方式是和其他方式混合使用,例如和手持認(rèn)證設(shè)備中的對稱機密(稱為SK)混合使用。這樣的話,就可以保證在傳輸過程中的僅使用一次性的碼,而且是隨機的碼。而且,注冊使用的信息僅是生物特征的某種表示,即使在最壞情況下完全泄露出去,也極不可能發(fā)生他人冒名用戶的情況。同時,由于注冊用的生物特征信息不是直接的生物特征信息,而是某種表示,而且這種表示不可能直接使用,用戶的高度私密的生物特征信息就得到充分保護。
[0040]原理2:應(yīng)該由認(rèn)證主體來主導(dǎo)認(rèn)證,主導(dǎo)生物特征的使用,而不僅是認(rèn)證主體被動接受靜態(tài)的生物特征信息。這樣認(rèn)證主體就具備多種手段來應(yīng)對各種潛在的攻擊。
[0041 ] 本發(fā)明的技術(shù)方案基于上述兩個原理,并且結(jié)合個人認(rèn)證(注冊)設(shè)備I,從而形成認(rèn)證(注冊)系統(tǒng),并配合以匹配的認(rèn)證(注冊)方法,從而可以在身份認(rèn)證中做到高度安全性和易用性。
[0042]為了便于本領(lǐng)域技術(shù)人員的理解和實施本發(fā)明申請,下面結(jié)合附圖和具體的實施例對本發(fā)明做進一步的說明。
[0043]實施例1:本實施例采用的生物特征為聲紋,對應(yīng)于該方案,包括了如下技術(shù)方案。
[0044]實施例1之方案1:一種身份注冊方法,如圖3所示,預(yù)先在認(rèn)證方持有的認(rèn)證服務(wù)器和用戶持有的個人認(rèn)證設(shè)備之間約定對稱機密信息SK,包含內(nèi)容信息RC和生物特征信息RB的認(rèn)證內(nèi)容RD的集合;本實施例中的個人認(rèn)證設(shè)備為智能手機,以及智能手機上的軟件,智能手機具備麥克風(fēng)和網(wǎng)絡(luò)功能,認(rèn)證服務(wù)器包括硬件服務(wù)器和相應(yīng)的軟件。認(rèn)證服務(wù)器和個人認(rèn)證設(shè)備之間約定對稱機密信息SK的過程為現(xiàn)有技術(shù),因此如何生成和存儲對稱密碼,不在詳細描述。[0045]所述身份注冊方法包括如下步驟:
[0046]S1.認(rèn)證服務(wù)器向個人認(rèn)證設(shè)備(智能手機)發(fā)出指令并提供相應(yīng)的一次性信息T,所述一次性信息T中包括選定認(rèn)證內(nèi)容RD類型的提示信息,個人認(rèn)證設(shè)備接收到指令后提示用戶輸入認(rèn)證內(nèi)容RD ; [0047]具體措施為:要求用戶讀入數(shù)字1234。
[0048]S2.用戶根據(jù)提示輸入認(rèn)證內(nèi)容RD,個人認(rèn)證設(shè)備獲取輸入的認(rèn)證內(nèi)容RD并將認(rèn)證內(nèi)容RD分解處理為內(nèi)容信息RC和生物特征信息RB ;
[0049]具體措施為:用戶按照要求,對手機的麥克風(fēng)讀入輸入數(shù)字1234,麥克風(fēng)采集到語音輸入信息后,把語音信息送入智能手機的處理器,處理器用軟件處理該信息,并且獲得內(nèi)容信息(即數(shù)字1234),以及用戶的聲音特征信息,聲音特征信息包括基音等生物特征信息,這些信息是基于個人的生理特征的,不同的人將有不同的信息,而且這些信息很難偽造(為了描述方便,我們可以稱內(nèi)容信息為RC,而生物特征信息RB);
[0050]S3.個人認(rèn)證設(shè)備(智能手機的處理器)采用預(yù)設(shè)的第一算法對所述生物特征信息RB、對稱機密信息SK、一次性信息T進行計算產(chǎn)生第一信息B ;
[0051]上述第一信息B是和生物特征信息RB直接相關(guān)聯(lián)的信息。
[0052]本步驟中的第一算法的一種具體算法的要求是,即使在SK和T都已知時,不能從B逆推出RB,算法可以在滿足上述條件下任意改變。例如一種從SK,T,RB產(chǎn)生B的具體算法,表示為SK ? RB=B,第一信息B是服務(wù)器中注冊用的生物特征信息,這里?代表混合算法,混合算法的一個示例通??梢杂肏MAC_h,HMACJ!是雜湊算法與消息認(rèn)證碼算法結(jié)合的一類認(rèn)證方法的統(tǒng)稱。HMAC是Hash Message authentication code的縮寫,意思是不可逆的消息認(rèn)證碼,這里h代表選用的Hash算法,Hash算法是一類單向不可逆算法的統(tǒng)稱,國內(nèi)通常叫做:雜湊算法,散列算法等;。但是用于傳輸過程中的將不是這個,而是TB= (SR,T) ? B,其中?代表加密算法,例如AES加密算法(密碼學(xué)中的高級加密標(biāo)準(zhǔn)(AdvancedEncryption Standard, AES),又稱Ri jndael加密法,是美國聯(lián)邦政府采用的一種區(qū)塊加密標(biāo)準(zhǔn)。),或者國密算法等。這樣在服務(wù)器,可以從TB中算出B,然后用于注冊。
[0053]S4.個人認(rèn)證設(shè)備采用預(yù)設(shè)的第二算法對所述內(nèi)容信息RC、對稱機密信息SK、一次性信息T進行計算產(chǎn)生第二信息C ;
[0054]上述第二信息C是和內(nèi)容信息RC直接相關(guān)聯(lián)的信息。
[0055]本步驟中的第二算法的一種具體算法的要求是,即使在SK和T都已知時,不能從C逆推出RC,算法可以在滿足上述條件下任意改變。
[0056]S5.個人認(rèn)證設(shè)備采用預(yù)設(shè)的第三算法對所述第一信息B和第二信息C進行計算得到第二信息M ;
[0057]本步驟中的第二算法的一種具體算法的要求是,M=B+C,或者M=B+C+TC,TC是T的加密,算法可以任意改變。
[0058]對應(yīng)于上述步驟S3、S4和S5的具體措施為:處理器進一步使用信息SK,T,RC, RB進一步處理,獲得信息M。具體的算法如下:
[0059]a.使用算法Hmac_sha (這是一種國際上通用的混合信息的混合算法),對SK, RB做hmac計算,獲得信息BRg,然后再用算法AES使用T為密鑰對BRg做加密,獲得信息B ;
[0060]b.使用算法Hmac_sha對SK, RC和T做hmac計算,獲得信息C ;[0061]c.連接"[目息B和"[目息C而得到"[目息M ;
[0062]本領(lǐng)域的技術(shù)人員應(yīng)該意識到,盡管本實施例給出了計算第三信息M的具體算法HmaC_sha,但是并不以為著上述步驟只能采用該具體算法,其他能夠?qū)?shù)據(jù)進行加密處理的任何現(xiàn)有算法都可以在上述步驟中應(yīng)用。
[0063]S6.個人認(rèn)證設(shè)備將第三信息M傳送到認(rèn)證服務(wù)器,所述認(rèn)證服務(wù)器根據(jù)預(yù)設(shè)的第三算法進行逆運算將第三信息M分解計算得到第一信息B和第二信息C ;
[0064]具體措施為:智能手機把第三信息M送回認(rèn)證服務(wù)器,傳送信息的信道可以是加密的信道,我們也推薦使用加密信道,但是,即使是開放的信道,也不可能對認(rèn)證過程造成傷害;本步驟中,如果使用傳輸密鑰e,eM=M用e加密,以用于傳送,可以進一步的加強傳輸過程中的安全性。在認(rèn)證服務(wù)器端,從eM恢復(fù)M,從M獲得B,C (或者可能的TC)。
[0065]S7.認(rèn)證服務(wù)器將分解計算得到的第一信息B或第二信息C或第一信息B對應(yīng)的第一中間信息BRg或第二信息C對應(yīng)的第二中間信息CRg作為用戶的注冊數(shù)據(jù)W,并存儲在認(rèn)證服務(wù)器的數(shù)據(jù)庫中。
[0066]對應(yīng)于上述步驟S6和S7的具體措施為:手機把信息M送回服務(wù)器,服務(wù)器利用M做如下計算,首先分解B和C,利用C做初步驗證;然后用算法AES對B做解密(T為密鑰)而獲得BRg,BRg將存儲在服務(wù)器的數(shù)據(jù)庫中,作為該用戶的主要注冊數(shù)據(jù)。
[0067]實施例1之方案2:—種身份注冊系統(tǒng),如圖2所示,其特征在于,包括用戶持有的個人認(rèn)證設(shè)備,認(rèn)證方持有的認(rèn)證服務(wù)器,個人認(rèn)證設(shè)備和認(rèn)證服務(wù)器之間具有預(yù)先約定的對稱機密信息SK,包含內(nèi)容信息RC和生物特征信息RB的認(rèn)證內(nèi)容RD的集合;
[0068]本實施例中本實施例中的個人認(rèn)證設(shè)備為智能手機,以及智能手機上的軟件,智能手機具備麥克風(fēng)和網(wǎng)絡(luò)功能,認(rèn)證服務(wù)器包括硬件服務(wù)器和相應(yīng)的軟件。
[0069]所述個人認(rèn)證設(shè)備至少包括如下單元:
[0070]采集單元,用于采集用戶輸入的認(rèn)證內(nèi)容RD ;
[0071]本實施例中,本實施例中認(rèn)證內(nèi)容RD為“用戶讀入數(shù)字1234”,從認(rèn)證內(nèi)容RD中提煉的數(shù)字“1234”即為內(nèi)容信息RC,從認(rèn)證內(nèi)容RD中提煉的聲紋即為生物特征信息RB ;
[0072]處理單元,用于將認(rèn)證內(nèi)容RD分解處理為內(nèi)容信息RC和生物特征信息RB,用于采用預(yù)設(shè)的第一算法對所述生物特征信息RB、對稱機密信息SK、一次性信息T進行計算產(chǎn)生第一信息B ;用于采用預(yù)設(shè)的第二算法對所述內(nèi)容信息RC、對稱機密信息SK、一次性信息T進行計算產(chǎn)生第二信息C,用于采用預(yù)設(shè)的第三算法對所述第一信息B和第二信息C進行計算得到第二息M ;
[0073]通信單元,用于實現(xiàn)個人認(rèn)證設(shè)備和認(rèn)證服務(wù)器之間的數(shù)據(jù)通信,用于接收認(rèn)證服務(wù)器向個人認(rèn)證設(shè)備發(fā)出指令并提供相應(yīng)的一次性信息T,用于個人認(rèn)證設(shè)備將第三信息M傳送到認(rèn)證服務(wù)器;
[0074]存儲單元,用于存儲從述個人認(rèn)證設(shè)備的采集單元、處理單元和通信單元獲得的數(shù)據(jù)信息;
[0075]所述認(rèn)證服務(wù)器至少包括如下單元:
[0076]通信單元,用于實現(xiàn)個人認(rèn)證設(shè)備和認(rèn)證服務(wù)器之間的數(shù)據(jù)通信,用于認(rèn)證服務(wù)器向個人認(rèn)證設(shè)備發(fā)出指令并提供相應(yīng)的一次性信息T,用于接收個人認(rèn)證設(shè)備傳送到認(rèn)證服務(wù)器的第三信息M ;[0077]處理單元,用于根據(jù)預(yù)設(shè)的第三算法進行逆運算將第三信息M分解計算得到第一信息B和第二信息C ;用于分解計算得到的第一信息B或第二信息C或第一信息B對應(yīng)的第一中間信息BRg或第二信息C對應(yīng)的第二中間信息CRg,并將前述信息存儲在認(rèn)證服務(wù)器的數(shù)據(jù)庫中,作為用戶的注冊數(shù)據(jù)W ;
[0078]存儲單元,用于存儲從認(rèn)證服務(wù)器的通信單元和處理單元獲得的數(shù)據(jù)信息。
[0079]實施例1之方案3:—種身份認(rèn)證方法,如圖4所示,預(yù)先在認(rèn)證方持有的認(rèn)證服務(wù)器和用戶持有的個人認(rèn)證設(shè)備之間約定對稱機密信息SK,包含內(nèi)容信息RC和生物特征信息RB的認(rèn)證內(nèi)容RD的集合;
[0080]所述身份認(rèn)證方法包括如下步驟:
[0081]S1.認(rèn)證服務(wù)器向個人認(rèn)證設(shè)備發(fā)出指令并提供相應(yīng)的一次性信息T,,所述一次性信息T中包括選定認(rèn)證內(nèi)容RD類型的提示信息,個人認(rèn)證設(shè)備接收到指令后提示用戶輸入認(rèn)證內(nèi)容RD ;
[0082]具體措施為:服務(wù)器向智能手機發(fā)出指令,智能手機顯示要求用戶輸入的內(nèi)容,例如要求用戶讀入數(shù)字1234,同時,服務(wù)器向智能手機發(fā)出一個一次性密碼(為了描述方便起見,稱為T);
[0083]S2.用戶根據(jù)提示輸入認(rèn)證內(nèi)容RD,個人認(rèn)證設(shè)備獲取輸入的認(rèn)證內(nèi)容RD并將認(rèn)證內(nèi)容RD分解處理為內(nèi)容信息RC和生物特征信息RB ;
[0084]具體措施為:用戶按照要求,對手機的麥克風(fēng)讀入輸入數(shù)字1234 ;
[0085]S3.個人認(rèn)證設(shè)備采用預(yù)設(shè)的第一算法對所述生物特征信息RB、對稱機密信息SK、一次性信息T進行計算產(chǎn)生第一信息B ;
[0086]S4.個人認(rèn)證設(shè)備米用預(yù)設(shè)的第二算法對所述內(nèi)容信息RC、對稱機密信息SK、一次性信息T進行計算產(chǎn)生第二信息C ;
[0087]S5.個人認(rèn)證設(shè)備采用預(yù)設(shè)的第三算法對所述第一信息B和第二信息C進行計算得到第二信息M;
[0088]對應(yīng)于上述步驟S3、S4和S5的具體措施為:處理器進一步使用信息SK,T,RC, RB進一步處理,獲得信息M。具體的算法如下:
[0089]a.使用算法Hmac_sha (這是一種國際上通用的混合信息的混合算法),對SK, RB做hmac計算,獲得信息BRg,然后再用算法AES使用T為密鑰對BRg做加密,獲得信息B ;
[0090]b.使用算法Hmac_sha對SK, RC和T做hmac計算,獲得信息C ;
[0091 ] c.連接信息B和信息C而得到信息M ;
[0092]S6.個人認(rèn)證設(shè)備將第三信息M傳送到認(rèn)證服務(wù)器,所述認(rèn)證服務(wù)器根據(jù)預(yù)設(shè)的第三算法進行逆運算將第三信息M分解計算得到第一信息B和第二信息C ;
[0093]S7.認(rèn)證服務(wù)器將分解計算得到的第一信息B或第二信息C或第一信息B對應(yīng)的第一中間信息BRg或第二信息C對應(yīng)的第二中間信息CRg作為認(rèn)證注冊數(shù)據(jù)Wl ;
[0094]S8.認(rèn)證服務(wù)器將步驟S7中得到的認(rèn)證注冊數(shù)據(jù)Wl與預(yù)先計算并存儲在認(rèn)證服務(wù)器上的注冊數(shù)據(jù)W進行比對,如果認(rèn)證注冊數(shù)據(jù)Wl與注冊數(shù)據(jù)W —致,則用戶的身份認(rèn)證通過,否則用戶的身份認(rèn)證失敗。
[0095]對應(yīng)于上述步驟S6、S7和S8的具體措施為:手機把信息M送回服務(wù)器,傳送信息的信道可以是加密的信道,我們也推薦使用加密信道,但是,即使是開放的信道,也不可能對認(rèn)證過程造成傷害;服務(wù)器具備足夠的信息另外獨自計算出C和B (需要的信息就是SK和T,以及RC,BRg),然后用這樣計算出的信息和手機傳送過來的信息做對比匹配,因此服務(wù)器可以對M進行驗證。
[0096]實施例1之方案4:一種身份認(rèn)證系統(tǒng),其特征在于,如圖2所不,包括用戶持有的個人認(rèn)證設(shè)備,認(rèn)證方持有的認(rèn)證服務(wù)器,個人認(rèn)證設(shè)備和認(rèn)證服務(wù)器之間具有預(yù)先約定的對稱機密信息SK,包含內(nèi)容信息RC和生物特征信息RB的認(rèn)證內(nèi)容RD的集合;
[0097]本實施例中本實施例中的個人認(rèn)證設(shè)備為智能手機,以及智能手機上的軟件,智能手機具備麥克風(fēng)和網(wǎng)絡(luò)功能,認(rèn)證服務(wù)器包括硬件服務(wù)器和相應(yīng)的軟件。
[0098]所述個人認(rèn)證設(shè)備至少包括如下單元:
[0099]采集單元,用于采集用戶輸入的認(rèn)證內(nèi)容RD ;
[0100]本實施例中,本實施例中認(rèn)證內(nèi)容RD為“用戶讀入數(shù)字1234”,從認(rèn)證內(nèi)容RD中提煉的數(shù)字“1234”即為內(nèi)容信息RC,從認(rèn)證內(nèi)容RD中提煉的聲紋即為生物特征信息RB ;[0101 ] 處理單元,用于將認(rèn)證內(nèi)容RD分解處理為內(nèi)容信息RC和生物特征信息RB,用于采用預(yù)設(shè)的第一算法對所述生物特征信息RB、對稱機密信息SK、一次性信息T進行計算產(chǎn)生第一信息B ;用于采用預(yù)設(shè)的第二算法對所述內(nèi)容信息RC、對稱機密信息SK、一次性信息T進行計算產(chǎn)生第二信息C,用于采用預(yù)設(shè)的第三算法對所述第一信息B和第二信息C進行計算得到第二信息M ;
[0102]通信單元,用于實現(xiàn)個人認(rèn)證設(shè)備和認(rèn)證服務(wù)器之間的數(shù)據(jù)通信,用于接收認(rèn)證服務(wù)器向個人認(rèn)證設(shè)備發(fā)出指令并提供相應(yīng)的一次性信息T,用于個人認(rèn)證設(shè)備將第三信息M傳送到認(rèn)證服務(wù)器;
[0103]存儲單元,用于存儲從述個人認(rèn)證設(shè)備的采集單元、處理單元和通信單元獲得的數(shù)據(jù)信息;
[0104]所述認(rèn)證服務(wù)器至少包括如下單元:
[0105]通信單元,用于實現(xiàn)個人認(rèn)證設(shè)備和認(rèn)證服務(wù)器之間的數(shù)據(jù)通信,用于認(rèn)證服務(wù)器向個人認(rèn)證設(shè)備發(fā)出指令并提供相應(yīng)的一次性信息T,用于接收個人認(rèn)證設(shè)備傳送到認(rèn)證服務(wù)器的第三信息M ;
[0106]處理單元,用于根據(jù)預(yù)設(shè)的第三算法進行逆運算將第三信息M分解計算得到第一信息B和第二信息C ;用于分解計算得到的第一信息B或第二信息C或第一信息B對應(yīng)的第一中間信息BRg或第二信息C對應(yīng)的第二中間信息CRg,并將前述信息存儲在認(rèn)證服務(wù)器的數(shù)據(jù)庫中,作為用戶的注冊數(shù)據(jù)Wl ;用于認(rèn)證服務(wù)器將認(rèn)證注冊數(shù)據(jù)Wl與預(yù)先計算并存儲在認(rèn)證服務(wù)器上的注冊數(shù)據(jù)W進行比對,如果認(rèn)證注冊數(shù)據(jù)Wl與注冊數(shù)據(jù)W —致,則用戶的身份認(rèn)證通過,否則用戶的身份認(rèn)證失??;
[0107]存儲單元,用于存儲從認(rèn)證服務(wù)器的通信單元和處理單元獲得的數(shù)據(jù)信息。
[0108]實施例1之方案5:—種個人認(rèn)證設(shè)備,用于包括用戶持有的個人認(rèn)證設(shè)備,認(rèn)證方持有的認(rèn)證服務(wù)器,個人認(rèn)證設(shè)備和認(rèn)證服務(wù)器之間具有預(yù)先約定的對稱機密信息SK,包含內(nèi)容信息RC和生物特征信息RB的認(rèn)證內(nèi)容RD的集合的身份注冊系統(tǒng)或身份認(rèn)證系統(tǒng)中;其特征在于,
[0109]所述個人認(rèn)證設(shè)備至少包括如下單元:
[0110]采集單元,用于采集用戶輸入的認(rèn)證內(nèi)容RD ;[0111]本實施例中,本實施例中認(rèn)證內(nèi)容RD為“用戶讀入數(shù)字1234”,從認(rèn)證內(nèi)容RD中提煉的數(shù)字“1234”即為內(nèi)容信息RC,從認(rèn)證內(nèi)容RD中提煉的聲紋即為生物特征信息RB ;
[0112]處理單元,用于將認(rèn)證內(nèi)容RD分解處理為內(nèi)容信息RC和生物特征信息RB,用于采用預(yù)設(shè)的第一算法對所述生物特征信息RB、對稱機密信息SK、一次性信息T進行計算產(chǎn)生第一信息B ;用于采用預(yù)設(shè)的第二算法對所述內(nèi)容信息RC、對稱機密信息SK、一次性信息T進行計算產(chǎn)生第二信息C,用于采用預(yù)設(shè)的第三算法對所述第一信息B和第二信息C進行計算得到第二息M ;
[0113]通信單元,用于實現(xiàn)個人認(rèn)證設(shè)備和認(rèn)證服務(wù)器之間的數(shù)據(jù)通信,用于接收認(rèn)證服務(wù)器向個人認(rèn)證設(shè)備發(fā)出指令并提供相應(yīng)的一次性信息T,用于個人認(rèn)證設(shè)備將第三信息M傳送到認(rèn)證服務(wù)器;
[0114]存儲單元,用于存儲從述個人認(rèn)證設(shè)備的采集單元、處理單元和通信單元獲得的數(shù)據(jù)信息。
[0115]實施例1之方案6:—種認(rèn)證服務(wù)器,用于包括用戶持有的個人認(rèn)證設(shè)備,認(rèn)證方持有的認(rèn)證服務(wù)器,個人認(rèn)證設(shè)備和認(rèn)證服務(wù)器之間具有預(yù)先約定的對稱機密信息SK,包含內(nèi)容信息RC和生物特征信息RB的認(rèn)證內(nèi)容RD的集合的身份注冊系統(tǒng)中;
[0116]本實施例中,本實施例中認(rèn)證內(nèi)容RD為“用戶讀入數(shù)字1234”,從認(rèn)證內(nèi)容RD中提煉的數(shù)字“1234”即為內(nèi)容信息RC,從認(rèn)證內(nèi)容RD中提煉的聲紋即為生物特征信息RB ;
[0117]其特征在于,所述認(rèn)證服務(wù)器至少包括如下單元:
[0118]通信單元,用于實現(xiàn)個人認(rèn)證設(shè)備和認(rèn)證服務(wù)器之間的數(shù)據(jù)通信,用于認(rèn)證服務(wù)器向個人認(rèn)證設(shè)備發(fā)出指令并提供相應(yīng)的一次性信息T,用于接收個人認(rèn)證設(shè)備傳送到認(rèn)證服務(wù)器的第三信息M ;
[0119]處理單元,用于根據(jù)預(yù)設(shè)的第三算法進行逆運算將第三信息M分解計算得到第一信息B和第二信息C ;用于分解計算得到的第一信息B或第二信息C或第一信息B對應(yīng)的第一中間信息BRg或第二信息C對應(yīng)的第二中間信息CRg,并將前述信息存儲在認(rèn)證服務(wù)器的數(shù)據(jù)庫中,作為用戶的注冊數(shù)據(jù)W ;
[0120]存儲單元,用于存儲從認(rèn)證服務(wù)器的通信單元和處理單元獲得的數(shù)據(jù)信息。
[0121]實施例1之方案7:—種認(rèn)證服務(wù)器,用于包括用戶持有的個人認(rèn)證設(shè)備,認(rèn)證方持有的認(rèn)證服務(wù)器,個人認(rèn)證設(shè)備和認(rèn)證服務(wù)器之間具有預(yù)先約定的對稱機密信息SK,包含內(nèi)容信息RC和生物特征信息RB的認(rèn)證內(nèi)容RD的集合的身份認(rèn)證系統(tǒng)中;
[0122]本實施例中,本實施例中認(rèn)證內(nèi)容RD為“用戶讀入數(shù)字1234”,從認(rèn)證內(nèi)容RD中提煉的數(shù)字“1234”即為內(nèi)容信息RC,從認(rèn)證內(nèi)容RD中提煉的聲紋即為生物特征信息RB ;
[0123]其特征在于,所述認(rèn)證服務(wù)器至少包括如下單元:
[0124]通信單元,用于實現(xiàn)個人認(rèn)證設(shè)備和認(rèn)證服務(wù)器之間的數(shù)據(jù)通信,用于認(rèn)證服務(wù)器向個人認(rèn)證設(shè)備發(fā)出指令并提供相應(yīng)的一次性信息T,用于接收個人認(rèn)證設(shè)備傳送到認(rèn)證服務(wù)器的第三信息M ;
[0125]處理單元,用于根據(jù)預(yù)設(shè)的第三算法進行逆運算將第三信息M分解計算得到第一信息B和第二信息C ;用于分解計算得到的第一信息B或第二信息C或第一信息B對應(yīng)的第一中間信息BRg或第二信息C對應(yīng)的第二中間信息CRg,并將前述信息存儲在認(rèn)證服務(wù)器的數(shù)據(jù)庫中,作為用戶的注冊數(shù)據(jù)Wl ;用于認(rèn)證服務(wù)器將認(rèn)證注冊數(shù)據(jù)Wl與預(yù)先計算并存儲在認(rèn)證服務(wù)器上的注冊數(shù)據(jù)W進行比對,如果認(rèn)證注冊數(shù)據(jù)Wl與注冊數(shù)據(jù)W —致,則用戶的身份認(rèn)證通過,否則用戶的身份認(rèn)證失??;
[0126]存儲單元,用于存儲從認(rèn)證服務(wù)器的通信單元和處理單元獲得的數(shù)據(jù)信息。
[0127]實施例2:本實施例所基于的硬件系統(tǒng)與實施例1相同,不再重復(fù)描述。
[0128]本實施例所采用的認(rèn)證內(nèi)容RD的生物特征為行為特征(手勢),具體來說是用拇指和食指畫一個規(guī)定的圈,智能手機將采集到輸入信息(即認(rèn)證內(nèi)容RD),認(rèn)證內(nèi)容RD可以分解成兩種,一種是內(nèi)容信息RC,即該圈的位置等,一種是個人的行為特征信息(即生物特征信息RB),即手勢的速度和統(tǒng)計關(guān)系等信息,這些信息將由智能手機的處理器對手勢的輸入進行處理而獲得,這些信息是基于個人的生理特征和習(xí)慣性特征的,不同的人將有不同的信息,而且這些信息很難偽造。
[0129]由于本實施例中的硬件系統(tǒng)與實施例1相同,只是認(rèn)證內(nèi)容RD有所差別,其處理過程和技術(shù)方案與實施例1相同,因此不再重復(fù)描述基于這一不同認(rèn)證內(nèi)容的身份注冊和認(rèn)證方法、系統(tǒng)、個人認(rèn)證設(shè)備和認(rèn)證服務(wù)器等7個具體技術(shù)方案。
[0130]實施例3:本實施例所基于的硬件系統(tǒng)與實施例1相同,不再重復(fù)描述。
[0131]本實施例所采用的認(rèn)證內(nèi)容RD的生物特征為指紋,認(rèn)證內(nèi)容RD仍然被分為內(nèi)容信息RC和生物特征信息RB,內(nèi)容信息即某個指紋,例如左手食指,本實施例中內(nèi)容信息比較少,只有10個;生物特征信息RB即為指紋,指紋信息是基于個人的生理特征的,不同的人將有不同的信息,而且這些信息很難偽造。
[0132]由于本實施例中的硬件系統(tǒng)與實施例1相同,只是認(rèn)證內(nèi)容RD有所差別,其處理過程和技術(shù)方案與實施例1相同,因此不再重復(fù)描述基于這一不同認(rèn)證內(nèi)容的身份注冊和認(rèn)證方法、系統(tǒng)、個人認(rèn)證設(shè)備和認(rèn)證服務(wù)器等7個具體技術(shù)方案。
[0133]實施例4:本實施例所基于的硬件系統(tǒng)包含認(rèn)證方持有的認(rèn)證服務(wù)器、用戶持有的個人認(rèn)證設(shè)備,個人認(rèn)證設(shè)備包含了硬件認(rèn)證器和獨立的具備網(wǎng)絡(luò)功能的瀏覽器裝置,本實施例中硬件系統(tǒng)能夠與實施例1的不同之處在于實施例1中將硬件認(rèn)證器和瀏覽器裝置整合為一個硬件設(shè)備即為個人認(rèn)證設(shè)備,而實施例4中個人認(rèn)證設(shè)備則被分離為兩個相對獨立的硬件設(shè)備即為硬件認(rèn)證器和獨立的具備網(wǎng)絡(luò)功能的瀏覽器裝置,實施例4中的硬件認(rèn)證器是特殊設(shè)計的硬件認(rèn)證器(或稱為令牌等)以及上面安裝的軟件;認(rèn)證過程中的聯(lián)網(wǎng)確認(rèn)通過一個瀏覽器裝置中介進行通信,所述瀏覽器裝置是安裝有瀏覽器軟件的具有網(wǎng)絡(luò)功能的硬件平臺如電腦、手機等。
[0134]為了便于本領(lǐng)域技術(shù)人員的理解和實施本發(fā)明申請,下面結(jié)合附圖和具體的實施例對本發(fā)明做進一步的說明。
[0135]實施例4之方案1:一種身份注冊方法,其特征在于,預(yù)先在認(rèn)證方持有的認(rèn)證服務(wù)器和用戶持有的個人認(rèn)證設(shè)備之間約定對稱機密信息SK,包含內(nèi)容信息RC和生物特征信息RB的認(rèn)證內(nèi)容RD的集合;
[0136]所述身份注冊方法包括如下步驟:
[0137]S1.認(rèn)證服務(wù)器向個人認(rèn)證設(shè)備發(fā)出指令并提供相應(yīng)的一次性信息T,,所述一次性信息T中包括選定認(rèn)證內(nèi)容RD類型的提示信息,個人認(rèn)證設(shè)備接收到指令后提示用戶輸入認(rèn)證內(nèi)容RD ;
[0138]本實施例所采用的認(rèn)證內(nèi)容RD的生物特征為指紋,認(rèn)證內(nèi)容RD仍然被分為內(nèi)容信息RC和生物特征信息RB,內(nèi)容信息即某個指紋,例如左手食指,本實施例中內(nèi)容信息比較少,只有10個;生物特征信息RB即為指紋,指紋信息是基于個人的生理特征的,不同的人將有不同的信息,而且這些信息很難偽造。
[0139]S2.用戶根據(jù)提示輸入認(rèn)證內(nèi)容RD,個人認(rèn)證設(shè)備獲取輸入的認(rèn)證內(nèi)容RD并將認(rèn)證內(nèi)容RD分解處理為內(nèi)容信息RC和生物特征信息RB ;
[0140]S3.個人認(rèn)證設(shè)備采用預(yù)設(shè)的第一算法對所述生物特征信息RB、對稱機密信息SK、一次性信息T進行計算產(chǎn)生第一信息B ;
[0141]S4.個人認(rèn)證設(shè)備采用預(yù)設(shè)的第二算法對所述內(nèi)容信息RC、對稱機密信息SK、一次性信息T進行計算產(chǎn)生第二信息C ;
[0142]S5.個人認(rèn)證設(shè)備采用預(yù)設(shè)的第三算法對所述第一信息B和第二信息C進行計算得到第二信息M ;
[0143]本實施例中步驟S4和S5的具體措施為:個人認(rèn)證設(shè)備中的硬件認(rèn)證器進一步對信息SK,RC,RB進一步處理,獲得信息M。
[0144]具體的算法如下:
[0145]使用hmac_sha算法,對SK, RB做hmac計算,獲得信息BRg ;
[0146]使用hmac_sha算法,對SK, RC做hmac計算,獲得信息C ;
[0147]連接彳目息BRg和"[目息C而得到"[目息Ml ;
[0148]硬件認(rèn)證器把信息Ml顯示在其顯示裝置上,用戶把信息Ml輸入瀏覽器裝置,然后瀏覽器裝置對信息做如下的計算:
[0149]分解Ml,獲得BRg和C ;
[0150]然后使用T為密鑰,對BRg加密,獲得信息KBRg ;
[0151]連接彳目息KBRg和"[目息C而得到"[目息M ;
[0152]S6.個人認(rèn)證設(shè)備將第三信息M傳送到認(rèn)證服務(wù)器,所述認(rèn)證服務(wù)器根據(jù)預(yù)設(shè)的第三算法進行逆運算將第三信息M分解計算得到第一信息B和第二信息C ;
[0153]S7.認(rèn)證服務(wù)器將分解計算得到的第一信息B或第二信息C或第一信息B對應(yīng)的第一中間信息BRg或第二信息C對應(yīng)的第二中間信息CRg作為用戶的注冊數(shù)據(jù)W,并存儲在認(rèn)證服務(wù)器的數(shù)據(jù)庫中。
[0154]本實施例中步驟S6和S7的具體措施為:個人認(rèn)證設(shè)備中的瀏覽器裝置將第三信息M傳送到認(rèn)證服務(wù)器,認(rèn)證服務(wù)器利用M做如下計算,首先獲得KBRg和C,利用C做初步驗證;然后用算法AES對KBRg做解密(T為密鑰)而獲得BRg,BRg將存儲在服務(wù)器的數(shù)據(jù)庫中,作為該用戶的主要注冊數(shù)據(jù)。
[0155]實施例4之方案2:—種身份認(rèn)證方法,其特征在于,預(yù)先在認(rèn)證方持有的認(rèn)證服務(wù)器和用戶持有的個人認(rèn)證設(shè)備之間約定對稱機密信息SK,包含內(nèi)容信息RC和生物特征信息RB的認(rèn)證內(nèi)容RD的集合;
[0156]所述身份認(rèn)證方法包括如下步驟:
[0157]S1.認(rèn)證服務(wù)器向個人認(rèn)證設(shè)備發(fā)出指令并提供相應(yīng)的一次性信息T,所述一次性信息T中包括選定認(rèn)證內(nèi)容RD類型的提示信息,個人認(rèn)證設(shè)備接收到指令后提示用戶輸入認(rèn)證內(nèi)容RD ;
[0158]本實施例所采用的認(rèn)證內(nèi)容RD的生物特征為指紋,認(rèn)證內(nèi)容RD仍然被分為內(nèi)容信息RC和生物特征信息RB,內(nèi)容信息即某個指紋,例如左手食指,本實施例中內(nèi)容信息比較少,只有10個;生物特征信息RB即為指紋,指紋信息是基于個人的生理特征的,不同的人將有不同的信息,而且這些信息很難偽造。
[0159]S2.用戶根據(jù)提示輸入認(rèn)證內(nèi)容RD,個人認(rèn)證設(shè)備獲取輸入的認(rèn)證內(nèi)容RD并將認(rèn)證內(nèi)容RD分解處理為內(nèi)容信息RC和生物特征信息RB ;
[0160]S3.個人認(rèn)證設(shè)備采用預(yù)設(shè)的第一算法對所述生物特征信息RB、對稱機密信息SK、一次性信息T進行計算產(chǎn)生第一信息B ;
[0161]S4.個人認(rèn)證設(shè)備米用預(yù)設(shè)的第二算法對所述內(nèi)容信息RC、對稱機密信息SK、一次性信息T進行計算產(chǎn)生第二信息C ;
[0162]S5.個人認(rèn)證設(shè)備采用預(yù)設(shè)的第三算法對所述第一信息B和第二信息C進行計算得到第二信息M ;
[0163]本實施例中步驟S4和S5的具體措施為:個人認(rèn)證設(shè)備中的硬件認(rèn)證器進一步對信息SK,RC,RB進一步處理,獲得信息M。
[0164]具體的算法如下:
[0165]使用hmac_sha算法,對SK, RB做hmac計算,獲得信息BRg ;
[0166]使用hmac_sha算法,對SK, RC做hmac計算,獲得信息C ;
[0167]連接彳目息BRg和"[目息C而得到"[目息Ml ;
[0168]硬件認(rèn)證器把信息Ml顯示在其顯示裝置上,用戶把信息Ml輸入瀏覽器裝置,然后瀏覽器裝置對信息做如下的計算:
[0169]分解Ml,獲得BRg和C ;
[0170]然后使用T為密鑰,對BRg加密,獲得信息KBRg ;
[0171]連接彳目息KBRg和"[目息C而得到"[目息M ;
[0172]S6.個人認(rèn)證設(shè)備將第三信息M傳送到認(rèn)證服務(wù)器,所述認(rèn)證服務(wù)器根據(jù)預(yù)設(shè)的第三算法進行逆運算將第三信息M分解計算得到第一信息B和第二信息C ;
[0173]S7.認(rèn)證服務(wù)器將分解計算得到的第一信息B或第二信息C或第一信息B對應(yīng)的第一中間信息BRg或第二信息C對應(yīng)的第二中間信息CRg作為認(rèn)證注冊數(shù)據(jù)Wl ;
[0174]S8.認(rèn)證服務(wù)器將步驟S7中得到的認(rèn)證注冊數(shù)據(jù)Wl與預(yù)先計算并存儲在認(rèn)證服務(wù)器上的注冊數(shù)據(jù)W進行比對,如果認(rèn)證注冊數(shù)據(jù)Wl與注冊數(shù)據(jù)W —致,則用戶的身份認(rèn)證通過,否則用戶的身份認(rèn)證失敗。
[0175]本實施例中步驟S6、S7和S8的具體措施為:個人認(rèn)證設(shè)備中的瀏覽器裝置將第三信息M傳送到認(rèn)證服務(wù)器,認(rèn)證服務(wù)器利用M做如下計算,首先獲得KBRg和C,利用C做初步驗證;然后用算法AES對KBRg做解密(T為密鑰)而獲得BRg,將獲得的BRg作為認(rèn)證注冊數(shù)據(jù)Wl暫存,然后將認(rèn)證注冊數(shù)據(jù)Wl與預(yù)先存儲在認(rèn)證服務(wù)器中的注冊數(shù)據(jù)W做對比匹配,從而實現(xiàn)對用戶的身份認(rèn)證。
[0176]由于實施例4中的硬件系統(tǒng)僅僅在個人認(rèn)證設(shè)備的具體實現(xiàn)上與實施例1存在差另IJ,認(rèn)證內(nèi)容RD與實施例3完全相同,因此不再重復(fù)描述基于這一不同認(rèn)證內(nèi)容的身份注冊和認(rèn)證系統(tǒng)、個人認(rèn)證設(shè)備和認(rèn)證服務(wù)器等個具體技術(shù)方案。
[0177]本發(fā)明申請的多個實施例中的眾多技術(shù)方案中,三種因子都已經(jīng)充分運用,缺一不可。在過程中,用戶知道什么,用戶擁有什么,以及用戶的生物特征,都必須同時正確具備,正確運用,否則無法通過認(rèn)證。注意到信息M是一次性的,即使被獲取,也不可能逆向獲得用戶的生物特征信息。同時,認(rèn)證服務(wù)器(即認(rèn)證主體)完全可以主導(dǎo)整個認(rèn)證過程,而不僅是通過靜態(tài)的生物特征信息(這個信息總是在可能被偽造的陰影下的)來做認(rèn)證。
[0178]進一步,由于生物特征必須由用戶本人才可能產(chǎn)生,即使在服務(wù)器的全部注冊信息都泄露的最壞情況下,這個特性也使得攻擊者不可能冒名用戶,因此把損失控制在最小。這個性質(zhì)是目前的幾乎所以系統(tǒng)和方法都不可能解決的。采用我們的系統(tǒng)方法,就可以達到這個目標(biāo)。
[0179]由于我們的系統(tǒng)采用很方便的個人認(rèn)證設(shè)備,而且在用戶的簡單使用過程中已經(jīng)使得三種因子合一使用,用戶再也不用記憶各種令人煩惱的密碼,口令等等,方便程度極大提高。我們的系統(tǒng)使得一個用戶僅需要一個認(rèn)證器,就可以和任何服務(wù)商做綁定服務(wù),成本極大下降。這樣高的安全狀態(tài),這樣方便的用戶使用體驗,這樣低成本的系統(tǒng)和低使用成本都是目前的系統(tǒng)和方法不能達到的,也是市場在積極尋求的。
[0180]本領(lǐng)域的普通技術(shù)人員將會意識到,這里所述的實施例是為了幫助讀者理解本發(fā)明的原理,應(yīng)被理解為本發(fā)明的保護范圍并不局限于這樣的特別陳述和實施例。本領(lǐng)域的普通技術(shù)人員可以根據(jù)本發(fā)明公開的這些技術(shù)啟示做出各種不脫離本發(fā)明實質(zhì)的其它各種具體變形和組合,這些變形和組合仍然在本發(fā)明的保護范圍內(nèi)。
【權(quán)利要求】
1.一種個人認(rèn)證設(shè)備,用于包括用戶持有的個人認(rèn)證設(shè)備,認(rèn)證方持有的認(rèn)證服務(wù)器,個人認(rèn)證設(shè)備和認(rèn)證服務(wù)器之間具有預(yù)先約定的對稱機密信息SK,包含內(nèi)容信息RC和生物特征信息RB的認(rèn)證內(nèi)容RD的集合的身份注冊系統(tǒng)或身份認(rèn)證系統(tǒng)中;其特征在于, 所述個人認(rèn)證設(shè)備至少包括如下單元: 采集單元,用于采集用戶輸入的認(rèn)證內(nèi)容RD ; 處理單元,用于將認(rèn)證內(nèi)容RD分解處理為內(nèi)容信息RC和生物特征信息RB,用于采用預(yù)設(shè)的第一算法對所述生物特征信息RB、對稱機密信息SK、一次性信息T進行計算產(chǎn)生第一信息B ;用于采用預(yù)設(shè)的第二算法對所述內(nèi)容信息RC、對稱機密信息SK、一次性信息T進行計算產(chǎn)生第二信息C,用于采用預(yù)設(shè)的第三算法對所述第一信息B和第二信息C進行計算得到第二信息M ; 通信單元,用于實現(xiàn)個人認(rèn)證設(shè)備和認(rèn)證服務(wù)器之間的數(shù)據(jù)通信,用于接收認(rèn)證服務(wù)器向個人認(rèn)證設(shè)備發(fā)出指令并提供相應(yīng)的一次性信息T,用于個人認(rèn)證設(shè)備將第三信息M傳送到認(rèn)證服務(wù)器; 存儲單元,用于存儲從述個人認(rèn)證設(shè)備的采集單元、處理單元和通信單元獲得的數(shù)據(jù)信息; 上述個人認(rèn)證設(shè)備的采集單元、通信單元和存儲單元分別與處理單元連接,上述個人認(rèn)證設(shè)備通過通信單元和認(rèn)證服務(wù)器連接通信。
2.根據(jù)權(quán)利要求1所述的一種個人認(rèn)證設(shè)備,其特征在于,上述個人認(rèn)證設(shè)備為智能手機。
3.根據(jù)權(quán)利要求1所述的一種個人認(rèn)證設(shè)備,其特征在于,上述個人認(rèn)證設(shè)備包含了硬件認(rèn)證器和獨立的具備網(wǎng)絡(luò)功能的瀏覽器裝置。
4.根據(jù)權(quán)利要求3所述的一種個人認(rèn)證設(shè)備,其特征在于,所述瀏覽器裝置是安裝有瀏覽器軟件的具有網(wǎng)絡(luò)功能的硬件平臺如電腦、手機。
【文檔編號】H04L9/32GK103607280SQ201310177699
【公開日】2014年2月26日 申請日期:2013年5月14日 優(yōu)先權(quán)日:2013年5月14日
【發(fā)明者】熊楚渝, 陳雨霖 申請人:成都天鑰科技有限公司