CN105939197B - 一种身份认证方法和系统 - Google Patents
一种身份认证方法和系统 Download PDFInfo
- Publication number
- CN105939197B CN105939197B CN201610154544.2A CN201610154544A CN105939197B CN 105939197 B CN105939197 B CN 105939197B CN 201610154544 A CN201610154544 A CN 201610154544A CN 105939197 B CN105939197 B CN 105939197B
- Authority
- CN
- China
- Prior art keywords
- information
- instruction
- electronic key
- certificate server
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供了一种身份认证方法和系统,其中,身份认证方法包括:电子密钥设备接入终端,上电初始化,获取验证信息,向用户提示验证信息;终端获取身份认证信息,并发送至认证服务器,身份认证信息至少包含用户读取验证信息的录像数据;认证服务器接收身份认证信息,提取录像数据中的待检验身份信息,将从录像数据中提取的待检验身份信息与认证服务器获取的检验身份信息进行比对,比对一致,则完成身份认证。
Description
技术领域
本发明涉及一种电子技术领域,尤其涉及一种身份认证方法和系统。
背景技术
在目前的开户业务中,为了防止不法分子假冒他人的身份证件开户,需要用户在物理网点办理相应的业务,只有经银行工作人员人工比对用户本人与其持有的身份证件一致时,才能准予开户。因此,用户只能在银行的工作时间办理开户业务,而且在业务繁忙时,需要等候的时间较长,给银行用户造成了极大的不便。
为解决上述问题,越来越多的银行尝试开放基于远程视频柜员机(Video TellerMachine,简称VTM)的远程开户业务,让用户与银行工作人员面对面视频交流。用户首先通过VTM发起开户请求,认证服务器提示用户上传身份证件信息,认证身份证件合法后,认证服务器与银行客户端建立视频连接,通过摄像头实时捕捉用户脸部照片,然后与身份证联网核查照片进行比对,判断是否为用户本人。这种远程身份方法虽然能够减少用户等候时间,但是用户仍然需要前往银行网点,并没有真正意义上实现用户坐在家里或身处任何地方就能随时远程开户,所以,虽然这种远程身份认证方法减少了用户等候时间,但并没有给用户带来极大的便利。
发明内容
本发明旨在解决至少上述问题之一,实现用户坐在家里或身处任何地方都能随时远程开户,并且保证远程开户的安全性。
本发明的主要目的在于提供一种身份认证方法。
本发明的另一目的在于提供一种身份认证系统。
为达到上述目的,本发明的技术方案具体是这样实现的:
本发明一方面提供了一种身份认证方法,包括:S1:电子密钥设备接入终端,上电初始化;S2:电子密钥设备等待接收终端下发的指令,并进行按键检测;当电子密钥设备接收到终端下发的指令时执行步骤S3,当电子密钥设备检测到按键按下时执行步骤S19;否则继续执行步骤S2;S3:电子密钥设备判断接收到的指令是否为预设格式的指令,如果是则执行步骤S5,否则执行步骤S4;S4,电子密钥设备按照接收到的指令执行相应操作后,返回步骤S2;S5,如果电子密钥设备接收到的指令为接收验证信息指令,则执行步骤S6;如果接收到的指令为第一计算验证信息指令,则执行步骤S8;如果接收到的指令为第二计算验证信息指令,则执行步骤S9;如果接收到的指令为第三计算验证信息指令,则执行步骤S13;如果接收到的指令为其他指令,则执行步骤S18;S6:电子密钥设备向认证服务器发送验证信息获取请求指令;S7:认证服务器接收验证信息获取请求指令,生成验证信息,将验证信息发送至电子密钥设备,执行步骤S21;S8:电子密钥设备获取内部计时器的时间生成时间因子和/或获取内部的计数器的计数生成事件因子,调用预设算法,根据内部存储的种子密钥对时间因子和/或事件因子进行处理,生成验证信息,执行步骤S21;S9:电子密钥设备向认证服务器发送待计算信息获取请求指令;S10:认证服务器接收待计算信息获取请求指令,生成第一待计算信息,将第一待计算信息发送至电子密钥设备;S11:电子密钥设备判断第一待计算信息是否符合待计算信息的预设格式,如果是,则执行步骤S12;S12:电子密钥设备根据内部存储的种子密钥对第一待计算信息进行处理,生成验证信息,执行步骤S21;S13:电子密钥设备提示用户输入第二待计算信息;S14:电子密钥设备判断是否在预设时间内获取到用户输入的第二待计算信息,如果是,则执行步骤S16;否则,执行步骤S15;S15:电子密钥设备提示超时信息,返回步骤S2;S16:电子密钥设备判断第二待计算信息是否符合待计算信息的预设格式,如果是,则执行步骤S17;S17:电子密钥设备根据内部存储的种子密钥对用户输入的待计算信息进行处理,生成验证信息,执行步骤S21;S18:电子密钥设备根据其他指令执行相应操作,返回步骤S2;S19:电子密钥设备判断允许按键标志是否置位,是则执行步骤S20,否则返回步骤S2;S20:电子密钥设备扫描按键,获取被按下的按键的键值,根据获取的键值,判断被按下的按键对应的指令类型,若是接收验证信息指令按键则执行步骤S6;若是第一计算验证信息指令按键则执行步骤S8;若是第二计算验证信息指令按键则执行步骤S9;若是第三计算验证信息指令按键则执行步骤S13;若是其他指令按键则执行步骤S18;S21:电子密钥设备向用户提示验证信息;S22:终端获取身份认证信息,并发送至认证服务器,身份认证信息至少包含用户读取验证信息的录像数据;S23:认证服务器接收身份认证信息,提取录像数据中的待检验身份信息,将从录像数据中提取的待检验身份信息与认证服务器获取的检验身份信息进行比对,比对一致,则完成身份认证。
可选的,身份认证信息还包括签名信息;提取录像数据中的待检验身份信息之前,方法还包括:认证服务器对签名信息进行验签,验签通过后触发提取录像数据中的待检验身份信息的操作。
可选的,签名信息为通过对以下一个或多个进行签名获得的信息:身份证信息明文、身份证信息密文、录像数据和单次标识数据。
可选的,待检验身份信息包括待检验用户信息和/或验证信息,检验身份信息包括检验用户信息和/或检验验证信息;将从录像数据中提取的待检验身份信息与认证服务器获取的检验身份信息进行比对,包括:将从录像数据中提取的待检验用户信息与认证服务器获取的检验用户信息进行比对;和/或将从录像数据中提取的验证信息与认证服务器获取的检验验证信息进行比对。
本发明另一方面提供了一种身份认证系统,系统包括:电子密钥设备、终端以及认证服务器;电子密钥设备,用于接入终端,上电初始化,等待接收终端下发的指令,并进行按键检测;电子密钥设备,用于当检测到按键按下时,判断允许按键标志是否置位,如果允许按键标志置位,扫描按键,获取被按下的按键的键值,根据获取的键值,判断被按下的按键对应的指令类型;电子密钥设备,用于当接收到终端下发的指令时,判断接收到的指令是否为预设格式的指令,如果不是预设格式的指令,还用于按照接收到的指令执行相应操作后,等待接收终端下发的指令,并进行按键检测;当接收到的指令是预设格式的指令且指令为接收验证信息指令或被按下的按键为接收验证信息指令按键时,电子密钥设备,用于向认证服务器发送验证信息获取请求指令;认证服务器,用于接收验证信息获取请求指令,生成验证信息,将验证信息发送至终端;终端,用于将验证信息发送至电子密钥设备;当接收到的指令是预设格式的指令且指令为第一计算验证信息指令或被按下的按键为第一计算验证信息指令按键时,电子密钥设备,用于获取内部计时器的时间生成时间因子和/或获取内部的计数器的计数生成事件因子,调用预设算法,根据内部存储的种子密钥对时间因子和/或事件因子进行处理,生成验证信息;当接收到的指令是预设格式的指令且指令为第二计算验证信息指令或被按下的按键为第二计算验证信息指令按键时,电子密钥设备,用于向认证服务器发送待计算信息获取请求指令;认证服务器,用于接收待计算信息获取请求指令,生成第一待计算信息,将第一待计算信息发送至至电子密钥设备;电子密钥设备,用于判断第一待计算信息是否为符合待计算信息格式的信息,如果是,根据内部存储的种子密钥对第一待计算信息进行处理,生成验证信息;当接收到的指令是预设格式的指令且指令为第三计算验证信息指令或第三计算验证信息指令时,电子密钥设备,用于提示用户输入第二待计算信息,判断是否在预设时间内获取到用户输入的第二待计算信息,如果不是,用于显示超时信息,等待接收终端下发的指令并进行按键检测,如果是,用于判断第二待计算信息是否为符合待计算信息格式的信息,如果是符合待计算信息格式的信息,根据内部存储的种子密钥对用户输入的第二待计算信息进行处理,生成验证信息;当接收到的指令是预设格式的指令且指令为其他指令或被按下的按键为其他指令按键时,电子密钥设备,用于根据其他指令执行相应操作后,等待接收终端下发的指令,并进行按键检测;电子密钥设备,用于向用户提示验证信息;终端,用于获取身份认证信息,并发送至认证服务器,身份认证信息至少包含用户读取验证信息的录像数据;认证服务器,用于接收身份认证信息,提取录像数据中的待检验身份信息,将从录像数据中提取的待检验身份信息与认证服务器获取的检验身份信息进行比对,比对一致,则完成身份认证。
可选的,身份认证信息还包含签名信息;认证服务器,还用于对签名信息进行验签,验签通过后触发提取录像数据中的待检验身份信息的操作。
可选的,签名信息为通过对以下一个或多个进行签名获得的信息:身份证信息明文、身份证信息密文、录像数据和单次标识数据。
可选的,待检验身份信息包括:待检验用户信息和/或验证信息,检验身份信息包括:检验用户信息和/或检验验证信息;认证服务器,用于将从录像数据中提取的待检验身份信息与认证服务器获取的检验身份信息进行比对,包括:认证服务器将从录像数据中提取的待检验用户信息与认证服务器获取的检验用户信息进行比对;和/或认证服务器将从录像数据中提取的验证信息与认证服务器获取的检验验证信息进行比对。
由上述本发明提供的技术方案可以看出,本发明提供了一种身份认证方法和系统,利用电子密钥设备获取验证信息后提示验证信息,认证服务器通过终端录制用户读取验证信息的录像数据,实现对用户身份认证,保证了远程身份认证过程中用户身份的合法性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
图1为本发明实施例1提供的身份认证系统的结构示意图;
图2为本发明实施例3提供的一种身份认证方法的流程图;
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或数量或位置。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
下面将结合附图对本发明实施例作进一步地详细描述。
实施例1
本实施例提供了一种身份认证系统,如图1所示,该系统包括:电子密钥设备10、终端20以及认证服务器30。
在本实施例中,各个设备的工作原理描述如下。
电子密钥设备10,用于接入终端20,上电初始化,等待接收终端20下发的指令,并进行按键检测;电子密钥设备10,用于当检测到按键按下时,判断允许按键标志是否置位,如果允许按键标志置位,扫描按键,获取被按下的按键的键值,根据获取的键值,判断被按下的按键对应的指令类型;电子密钥设备10,用于当接收到终端20下发的指令时,判断接收到的指令是否为预设格式的指令,如果不是预设格式的指令,还用于按照接收到的指令执行相应操作后,等待接收终端20下发的指令,并进行按键检测;当接收到的指令是预设格式的指令且指令为接收验证信息指令或被按下的按键为接收验证信息指令按键时,电子密钥设备10,用于向认证服务器30发送验证信息获取请求指令;认证服务器30,用于接收验证信息获取请求指令,生成验证信息,将验证信息发送至终端20;终端20,用于将验证信息发送至电子密钥设备10;当接收到的指令是预设格式的指令且指令为第一计算验证信息指令或被按下的按键为第一计算验证信息指令按键时,电子密钥设备10,用于获取内部计时器的时间生成时间因子和/或获取内部的计数器的计数生成事件因子,调用预设算法,根据内部存储的种子密钥对时间因子和/或事件因子进行处理,生成验证信息;当接收到的指令是预设格式的指令且指令为第二计算验证信息指令或被按下的按键为第二计算验证信息指令按键时,电子密钥设备10,用于向认证服务器30发送待计算信息获取请求指令;认证服务器30,用于接收待计算信息获取请求指令,生成第一待计算信息,将第一待计算信息发送至至电子密钥设备10;电子密钥设备10,用于判断第一待计算信息是否为符合待计算信息格式的信息,如果是,根据内部存储的种子密钥对第一待计算信息进行处理,生成验证信息;当接收到的指令是预设格式的指令且指令为第三计算验证信息指令或第三计算验证信息指令时,电子密钥设备10,用于提示用户输入第二待计算信息,判断是否在预设时间内获取到用户输入的第二待计算信息,如果不是,用于显示超时信息,等待接收终端20下发的指令并进行按键检测,如果是,用于判断第二待计算信息是否为符合待计算信息格式的信息,如果是符合待计算信息格式的信息,根据内部存储的种子密钥对用户输入的第二待计算信息进行处理,生成验证信息;当接收到的指令是预设格式的指令且指令为其他指令或被按下的按键为其他指令按键时,电子密钥设备10,用于根据其他指令执行相应操作后,等待接收终端20下发的指令,并进行按键检测;电子密钥设备10,用于向用户提示验证信息;终端20,用于获取身份认证信息,并发送至认证服务器30,身份认证信息至少包含用户读取验证信息的录像数据;认证服务器30,用于接收身份认证信息,提取录像数据中的待检验身份信息,将从录像数据中提取的待检验身份信息与认证服务器30获取的检验身份信息进行比对,比对一致,则完成身份认证。
通过本实施例提供的身份认证系统,在用户已有电子密钥设备的前提下,使用电子密钥设备和录像数据共同认证用户身份,解决远程身份认证的问题,用户在家中通过PC机、智能手机等终端即可实现远程身份认证。
在本实施例中,电子密钥设备10可以为用户开户时,银行向用户发放的具有签名功能的设备,包括具有签名功能的KEY、智能卡或者KEY卡合一的设备,例如,工行U盾、农行K宝、中银e令等设备。终端20可以为支持电子密钥设备10的PC机、PAD(平板电脑)、智能手机等设备。电子密钥设备10与终端20之间可以通过有线方式(例如USB接口、耳机接口等)接入终端20,也可以通过无线方式(例如WIFI、蓝牙、红外、NFC等)接入终端20,在本实施例不作具体限定,只要是电子密钥设备10可以接入终端20的方式即在本发明的保护范围之内。电子密钥设备10接入终端20后,可以与终端20进行通信,既可以接收终端20发送的信息,也可以向终端20发送信息。电子密钥设备10可以直接通过有线接口或无线接口与认证服务器30进行通信,也可以通过终端20间接与认证服务器30进行通信。例如,电子密钥设备10可以先通过有线接口或无线接口将信息发送至终端20,再由终端20通过有线网络或无线网络将信息发送至认证服务器30;认证服务器30也可以先将信息发送至终端20,再由终端20将信息发送至电子密钥设备10。
在本实施例中,电子密钥设备10上电初始化可以包括:电子密钥设备10上电,复位允许按键标志。在具体实施过程中,复位允许按键标志可以为将允许按键标志置为0,即将允许按键标志置为初始状态,允许按键标志为初始状态时,在电子密钥设备10上按下的按键不产生有效的键值,只有当允许按键标志置为1时,在电子密钥设备10上按下的按键才可以产生有效的键值。
在本实施例中,电子密钥设备10等待接收终端20下发的指令和进行按键检测没有先后顺序之分,电子密钥设备10可以先等待接收终端20下发的指令再进行按键检测,也可以先进行按键检测再等待接收终端20下发的指令,也可以在等待接收终端20下发的指令的同时进行按键检测,在本实施例不作具体限定。当电子密钥设备10既没有接收到终端20下发的指令也没有检测到按键按下时,继续等待接收终端20下发的指令,并进行按键检测。
在本实施例中,预设格式的指令可以为电子密钥设备10在身份认证过程中涉及的有效指令,不是预设格式的指令可以为电子密钥设备10在身份认证过程中不涉及的指令。预设格式可以为包含特定的标识,或以特定标识开始或/和结束,在本实施例不作具体限定,只要是能够标识电子密钥设备在身份流程中涉及的有效指令的格式即在本发明的保护范围之内。如果电子密钥设备10接收到的指令不是预设格式的指令,即电子密钥设备10接收到的指令不是电子密钥设备10在身份认证中涉及的有效指令,则电子密钥设备10按照接收到的指令执行相应操作后,继续等待接收终端20下发的指令,并进行按键检测。
在本实施例中,电子密钥设备10接收到的指令中可以包含用来标识指令类型的指令标识,电子密钥设备10接收指令后,可以根据指令中包含的指令标识获取指令的类型。预设格式的其他指令可以为除验证信息获取指令、第一计算验证信息指令、第二计算验证信息指令和第三计算验证信息指令之外的预设格式的指令,例如,预设格式的其他指令可以为加密指令、签名指令等,在本实施例中不作具体限定。
在本实施例中,电子密钥设备10,还可以用于获取身份证信息(包括明文或密文),并将身份证信息发送至认证服务器30,以利用身份证信息完成身份认证。电子密钥设备10可以具有身份证读卡功能,将身份证贴近电子密钥设备10,则电子密钥设备10可以直接读取身份证件的身份证信息的明文。电子密钥设备10也可以与身份证读卡器连接,通过身份证读卡器获取身份证信息。身份证读卡器读取贴近的身份证件的身份证信息密文,并对身份证信息密文解密生成身份证信息明文。为了进一步保证身份证信息的安全,电子密钥设备10可以采用与认证服务器30协商的密钥对身份证信息明文加密得到身份证信息密文。
在本实施例中,认证服务器30,用于接收验证信息获取请求指令,生成验证信息,验证信息可以为随机数,也可以为随机字符串,还可以为随机数和随机字符串的任意组合,在本实施例中不作具体限定,只要是认证服务器30能够对电子密钥设备10身份进行认证的信息即在本发明的保护范围之内。
在本实施例中,为了保证认证服务器30向电子密钥设备10发送的验证信息不被篡改,认证服务器30,还用于在发送验证信息之前,对验证信息进行加密和/或签名。认证服务器30对验证信息进行加密的具体实施方式为:认证服务器30使用电子密钥设备10的公钥对验证信息进行加密,得到验证信息密文。认证服务器30将验证信息密文发送至电子密钥设备10。认证服务器30对验证信息进行签名的具体实施方式为:认证服务器30利用哈希算法计算验证信息密文得到验证信息密文的摘要,并利用认证服务器30的私钥对验证信息密文的摘要进行加密,得到验证信息签名。认证服务器30将验证信息签名和验证信息密文一起发送至电子密钥设备10。在本实施例中的签名过程均可参见该实施方式,下面涉及到的签名过程将不再具体赘述。
电子密钥设备10只接收到认证服务器30发送的验证信息密文时,电子密钥设备10,用于使用电子密钥设备10的私钥对接收的验证信息密文解密得到验证信息的明文。电子密钥设备10同时接收到验证信息密文和验证信息签名时,电子密钥设备10,用于对验证信息签名进行验签,验签通过后利用电子密钥设备10的私钥对验证信息密文解密得到验证信息的明文。电子密钥设备10对验证信息签名进行验签的具体实施方式为:电子密钥设备10利用认证服务器30的公钥对验证信息签名进行解密,得到验证信息密文的摘要,并利用哈希算法对接收的验证信息密文进行计算得到验证信息密文的摘要,并比对解密得到的验证信息密文的摘要与计算得到的验证信息密文的摘要是否相同,如果相同,则对验证信息签名的验签通过。在本实施例中的验签过程均可参见该实施方式,下面涉及到的验签过程将不再具体赘述。
在本实施例中,电子密钥设备10,可以用于基于与认证服务器30同步的数据(例如,时间因子、事件因子等)计算得到验证信息,此时,电子密钥设备10可以是中银e令等具有OTP功能的设备。电子密钥设备10,用于基于与认证服务器30同步的时间因子计算验证信息时,电子密钥设备10和认证服务器30在时间上同步,并且存储有相同的种子密钥,电子密钥设备10与认证服务器30使用相同的种子密钥每隔一段时间(例如,60秒)生成验证信息。电子密钥设备10,用于基于与认证服务器30同步的事件因子计算验证信息时,电子密钥设备10和认证服务器30在事件上同步,并且存储有相同的种子密钥,电子密钥设备10和认证服务器30每进行一次身份认证,事件因子的计数增加一,电子密钥设备10和认证服务器30使用相同的种子密钥对事件因子计算生成验证信息。
在本实施例中,电子密钥设备10,还可以用于向认证服务器30发送待计算信息获取请求指令,请求认证服务器30生成第一待计算信息,电子密钥设备10获取第一待计算信息,根据第一待计算信息计算得到验证信息。认证服务器30,用于生成第一待计算信息,第一待计算信息可以为一个随机数或随机字符串或随机数与随机字符串的任意组合,还可以为根据待计算信息获取请求中包含的信息计算得到的,例如,可以为根据待计算信息获取请求中包含的用户信息计算得到,在本实施例中不作具体限定。另外,为了保证认证服务器30向电子密钥设备10发送的第一待计算信息不被篡改,认证服务器30,还可以用于在发送第一待计算信息之前对第一待计算信息进行加密和/或签名。认证服务器30发送第一待计算信息的密文时,则电子密钥设备10对第一待计算信息的密文解密得到第一待计算信息的明文。认证服务器30同时发送第一待计算信息的密文和第一待计算信息的密文的签名信息时,电子密钥设备10可以先对第一待计算信息的密文的签名信息进行验签,验签通过后对第一待计算信息的密文解密得到第一待计算信息的明文。
在本实施例中,电子密钥设备10,还可以用于接收认证服务器30生成的第一待计算信息后,对第一待计算信息的格式进行验证。在本实施例中,如果第一待计算信息的格式不符合待计算信息的格式要求,电子密钥设备10可以向用户显示或播报错误提示信息。第一待计算信息的格式信息可以包括待计算信息的长度,如果第一待计算信息的长度符合预设的长度,电子密钥设备10,用于根据第一待计算信息的长度判断待计算信息是否符合格式要求,当然,第一待计算信息的格式信息也可以为其他格式信息,本实施例不作具体限定。
在本实施例中,电子密钥设备10,用于提示用户输入第二待计算信息。电子密钥设备10可以在显示屏显示提示信息,也可以语音播报提示信息,提示用户输入第二待计算信息。电子密钥设备10,可以用于接收用户通过输入设备输入的第二待计算信息,再根据第二待计算信息计算得到验证信息。在具体实施过程中,用户输入的第二待计算信息可以是认证服务器30产生的一个随机数或随机字符串或随机数与随机字符串的任意组合,也可以是认证服务器30根据用户信息计算生成的,也可以是用户与认证服务器约定的一个信息。如果第二待计算信息是由认证服务器30生成待的,则认证服务器30,用于生成认证信息后,将第二待计算信息发送至终端20,例如,以短信形式发送至用户预留在银行认证服务器30中的与用户绑定的手机号。用户接收第二待计算信息后,可以通过电子密钥设备10自带的键盘输入第二待计算信息;也可以通过终端20的输入设备输入第二待计算信息,终端20将第二待计算信息发送至电子密钥设备10;还可以通过与电子密钥设备10连接的其他输入设备输入第二待计算信息,再由其他输入设备将第二待计算信息发送至电子密钥设备10。
在本实施例中,电子密钥设备10,用于根据是否在预设时间内获取到用户输入的第二待计算信息,分别执行相应的操作。在具体实施过程中,电子密钥设备10,还可以用于在提示用户输入第二待计算信息后,启动对用户输入第二待计算信息预设时间的计时。预设时间可以设定为60秒,也可以设定为其他时间,在本实施例中不作具体限制。如果电子密钥设备10没有在预设时间内获取到用户输入的第二待计算信息,则电子密钥设备10,可以用于提示超时信息。电子密钥设备10提示超时信息的方式可以为通过显示屏显示超时信息,也可以为通过语音播报超时信息。电子密钥设备10提示超时信息后,用于等待接收终端20下发的指令,并进行按键检测。如果电子密钥设备10在预设时间内获取到用户输入的第二待计算信息,则电子密钥设备10,用于进一步判断第二待计算信息是否为符合待计算信息格式的信息。
在本实施例中,电子密钥设备10,用于检测到按键按下时,判断允许按键标志是否置位。电子密钥设备10判断按键允许标志是否置位与电子密钥设备10接收终端下发的指令的执行顺序没有先后之分。在具体实施过程中,如果允许按键标志没有置位,电子密钥设备10可以显示或播报提示错误信息,也可以向终端20返回提示错误信息,终端20接收提示错误信息后,可以通过显示屏显示提示错误信息或语音播报提示错误信息。如果允许按键标志置位,电子密钥设备10,用于扫描按键,获取被按下的按键的键值,根据获取的键值,判断被按下的按键对应的指令类型,执行相应的操作。
在本实施例中,电子密钥设备10,用于向用户提示验证信息。电子密钥设备10获取验证信息后,可以通过电子密钥设备10的显示屏向用户显示验证信息,也可以通过语音播报向用户播放验证信息,本实施例不作具体限定。
在本实施例中,电子密钥设备10向用户显示或者播报验证信息之后,用户使用摄像头将用户读取验证信息的过程录制成录像,终端20,用于获取该录像,利用录像编码方法将录像编码成录像数据,并将至少包含该录像数据的身份认证信息发送至认证服务器30。其中,录像编码方法可以为HEVC,MPRG4,MPEG2,H.264,H.263等编码方案,也可以为其他录像编码方案,在本实施例中不作具体限定。
在本实施例中,用户读取验证信息的方式可以为用户大声朗读出验证信息,用户使用摄像头将用户正在朗读验证信息的过程录制成录像;或者用户在电子密钥设备10的显示屏查看验证信息,用户使用摄像头将用户查看验证信息的过程录制成录像,在这种情形下,必须将电子密钥设备10的显示屏上显示的验证信息清晰地录制在录像中。用户也可以采用其他方式读取验证信息,在本实施例不作具体限定。
在本实施例中,为了防止录像传输过程中被黑客截获,保证通信安全,还可以对用户读取验证信息的录像数据进行加密和/或签名,将加密和/或签名后的录像发送至认证服务器30。
在本实施例中,终端20可以调用自带的摄像头录制用户读取验证信息的录像。现有的终端(例如,PC机、智能手机、平板电脑等)都配备有摄像头,使用终端20自带的摄像头录制录像,不会增加额外的成本。终端20也可以获取电子密钥设备10录制的包含用户读取验证信息的录像。终端20还可以获取其他终端录制的包含用户读取验证信息的录像。
在本实施例中,认证服务器30,用于接收身份认证信息,提取录像数据中的待检验身份信息,将从录像数据中提取的待检验身份信息与认证服务器30获取的检验身份信息进行比对,比对一致,完成身份认证。认证服务器30获取的检验身份信息可以是预先存储在认证服务器30中的,也可以是从其他数据库中获取的,也可以是临时产生的,在本实施例中不作具体限定。
在本实施例中,如果认证服务器30接收的是身份认证信息是加密的,认证服务器30,用于对身份认证信息的密文进行解密得到身份认证信息的明文。认证服务器30得到身份认证信息的明文之后,再从身份认证信息中包含的录像数据中提取待检验身份信息,并对待检验身份信息进行验证,完成身份认证。
作为本发明实施例的一个可选实施方式,身份认证信息还包括签名信息,认证服务器30,还用于对签名信息进行验签,验签通过后触发提取录像数据中的待检验身份信息的操作。
在本实施例中,认证服务器30接收的身份认证信息中,除了签名信息以外,还包括签名信息对应的原始信息,原始信息可以为密文。认证服务器30,用于接收身份认证信息,对签名信息进行验签,验签通过后再对签名信息对应的原始信息进行解密,如果验签不通过,则终止此次身份认证操作。认证服务器30可以通过验签操作判断身份认证信息是否被篡改,从而保证身份认证信息传输安全。
作为本发明实施例的一个可选实施方式,签名信息为通过对以下一个或多个进行签名获得的信息:身份证信息明文、身份证信息密文、录像数据和单次标识数据。
在本实施例中,签名信息可以为对身份证信息明文、身份证信息密文、录像数据和单次标识数据中的一个或多个的组合进行签名得到的,例如,签名信息可以为对身份证信息明文进行签名的签名数据,签名信息也可以为对身份证信息密文和录像数据进行签名的签名数据,签名信息也可以为对身份证信息明文、录像数据和单次标识数据进行签名的签名数据,签名信息还可以为其他组合,在本实施例不作具体限定。
在本实施例中,单次标识数据可以是随机数字、随机字符串、随机数字和随机字符串的任意组合,也可以为其他数据,在本实施例不作具体限定,只要能够满足只能使用一次的要求,均属于本发明的保护范围之内。单次标识数据只能被使用一次,因此可以防止重放攻击。
作为本发明实施例的一个可选实施方式,待检验身份信息可以包括:待检验用户信息和/或验证信息,检验身份信息包括:检验用户信息和/或检验验证信息;认证服务器30,用于将从录像数据中提取的待检验身份信息与认证服务器30获取的检验身份信息进行比对,包括:认证服务器30将从录像数据中提取的待检验用户信息与认证服务器30获取的检验用户信息进行比对;和/或认证服务器30将从录像数据中提取的验证信息与认证服务器获取的检验验证信息进行比对。
在本实施例中,待检验用户信息是从录像数据中提取的能够体现用户特征的信息,待检验用户信息可以为用户的生物特征信息。检验用户信息可以是预先存储在认证服务器30中的,也可以是从其他数据库中获取的;认证服务器30获取的检验验证信息可以是预先存储在认证服务器30中的,也可以是从其他数据库中获取的,也可以是临时产生的,在本实施例不作具体限定。
在本实施例中,待检验身份信息可以为待检验用户信息,也可以为验证信息,也可以同时为待检验用户信息和验证信息。待检验身份信息可以只包含一类信息,以待检验身份信息为待检验用户信息为例,认证服务器30将待检验用户信息与认证服务器30获取的检验用户信息进行比对,如果比对一致,则身份认证通过,如果比对不一致,则此次身份认证不通过。待检验身份信息可以同时包含待检验用户信息和验证信息,此时认证服务器30需要将待检验用户信息和验证信息分别与认证服务器30获取的检验用户信息和检验验证信息进行比对,只有待检验用户信息和验证信息均比对一致,此次身份认证才通过,只要其中一类待检验身份信息比对不一致,此次身份认证不通过。身份认证通过后,认证服务器30可以向终端20发送身份认证成功信息,提示用户此次身份认证成功,可以进行后续的操作。身份认证不通过时,认证服务器30可以向终端20发送身份认证失败信息,提示用户此次身份认证失败。由此,通过本实施例提供的身份认证方法,能够根据应用需要,灵活选择需要比对的待检验身份信息的类型和数目。
在本实施例中,待检验用户信息可以包括待检验用户人脸特征和/或待检验用户声纹特征,检验用户信息包括检验用户人脸特征和/检验用户声纹特征;认证服务器30将从录像数据中提取的待检验用户信息与认证服务器30获取的检验用户信息进行比对,包括:认证服务器30将从录像数据中提取的待检验用户人脸特征与认证服务器30获取的检验用户人脸特征进行比对;和/或,认证服务器30将从录像数据中提取的待检验用户声纹特征与认证服务器30获取的检验用户声纹信息进行比对。
在本实施例中,认证服务器30从录像中采集识别录像中的用户人脸图像,并从用户人脸图像中采集待检验用户人脸特征。检验用户人脸特征可以是用户在办理电子密钥设备10时由银行采集并预留的一组或多组人脸特征模板。认证服务器30采用人脸识别技术将待检验用户人脸特征与认证服务器获取的人脸特征模板进行比对,当相似度大于等于设定的阈值时,认证服务器30判定识别成功,当相似度小于设定的阈值时,认证服务器30判定识别失败。人脸识别技术具有灵活判别能力,识别准确率高,提高了身份认证方法的准确率、安全性。
在本实施例中,认证服务器30可以采用声纹识别技术采集录像中的待检验用户声纹特征。认证服务器30从录像中提取音频部分,对音频部分进行预处理后,提取待检验用户声纹特征,将待检验用户声纹特征与认证服务器获取的检验用户声纹特征进行比对,当相似度大于等于预设的阈值时,判定待检验用户声纹特征与检验用户声纹特征比对一致,当相似度小于预设的阈值时,判定待检验用户声纹特征与检验用户声纹特征比对不一致。声纹识别技术中的声纹特征具有获取方便、成本低廉等优点。
在具体实施过程中,身份认证信息还可以包括:用户身份标识;其中,用户身份标识可以是银行卡号、电子密钥设备10的序列号、身份证信息明文等可以用于唯一标识用户身份的信息。电子密钥设备10的序列号是在电子密钥设备10生产过程中分配给电子密钥设备10的唯一标识,在银行下发电子密钥设备10时,电子密钥设备10的序列号与用户身份证信息唯一关联。认证服务器30可以根据用户身份标识查找与电子密钥设备10匹配的检验身份信息。
在具体实施过程中,身份认证信息还可以包含:用户身份证信息明文或用户身份证信息密文。当认证服务器30接收的是用户身份证信息密文时,认证服务器30先采用与电子密钥设备10协商的密钥对身份证信息密文解密得到身份证信息明文。认证服务器30可以根据用户标识查找与电子密钥设备10匹配的身份证信息明文,将查找到的身份证信息明文与身份认证信息中包含的用户身份证信息进行比对,比对一致,则表面电子密钥设备10和身份证为当前同一用户所持有,完成身份认证;比对不一致,则表明电子密钥设备10和身份证不是同一用户所持有,身份证有可能已经被盗,此时,终止此次身份认证。
在本实施例中,认证服务器30还可以根据电子密钥设备10发送的数字证书查找与电子密钥设备10匹配的身份证信息。电子密钥设备10的数字证书由第三方权威认证机构CA发行,可以作为电子密钥设备10的唯一标识,电子密钥设备10的数字证书与用户身份证信息唯一关联。电子密钥设备10向后台发送签名信息时,会将自身的数字证书一起发送至认证服务器30,终端20将签名信息与电子密钥设备10的数字证书一起发送至认证服务器30;认证服务器30接收电子密钥设备10发送的数字证书后,利用电子密钥设备10的数字证书作为索引,找到与电子密钥设备10匹配的身份证信息。
实施例2
本实施例提供了一种远程开户系统,如图1所示,该远程开户系统采用实施例1中的身份认证系统。本实施例与实施例1的区别在于,在本实施例中:终端20,还用于向认证服务器30发送开户请求,开户请求中至少携带有用户身份标识,该用户身份标识可以是银行卡号、电子密钥设备10的序列号、身份证信息明文等可以用于唯一标识用户身份的信息,该用户身份标识与实施例1中的用户身份标识含义相同,包含的内容也相同;认证服务器30,用于根据开户请求开设与用户身份标识匹配的账户。
作为本发明实施例的一个可选实施方式,终端20,还用于获取身份认证信息后,向认证服务器30发送开户请求,其中,开户请求中除了携带用户身份标识之外还可以携带身份认证信息,身份认证信息至少包含用户读取验证信息的录像数据。在本实施例中,用户身份标识既可以在开户请求中携带,也可以分别携带在开户请求和身份认证信息中,分两次发送给认证服务器30,本实施例中不做具体限定。认证服务器30,用于采用实施例1中的身份认证系统对用户身份的有效性、合法性进行认证,如果用户身份认证不通过,则所述认证服务器30终止此次开户流程,如果认证通过,则认证服务器30根据开户请求开设与用户身份标识匹配的账户。完成开户后,认证服务器30,还用于将账户信息发送至终端20,用户通过终端20获知新开设的账户信息。
作为本发明实施例的一个可选实施方式,终端20,还用于在获取身份认证信息之前,向认证服务器30发送开户请求,开户请求中至少携带有用户身份标识。在具体实施时,例如,用户需要远程开户时,通过终端20向认证服务器30发送开户请求,开户请求中至少携带有用户身份标识,开户请求中还可以包括请求开设的账户类型等。然后,终端20,还用于在获取身份认证信息之后,将身份认证信息发送至认证服务器30,远程开户系统采用实施例1中的身份认证系统中的认证服务器30对用户身份的有效性、合法性进行认证。如果用户身份认证不通过,则远程开户系统终止此次开户流程,如果认证通过,认证服务器30根据开户请求开设与用户身份标识匹配的账户。完成开户后,认证服务器30可以将账户信息发送至终端20,用户通过终端20获知账户信息。
通过本实施例提供的远程开户系统,能够实现用户坐在家里、或者身处任何地方都能随时远程开户,并且保证远程开户的安全性。
实施例3
本实施例提供了一种身份认证方法,该身份认证方法应用于实施例1中的身份认证系统。
图2为本实施例提供的身份认证方法的流程图,该方法主要包括以下步骤(S201~S223):
S201:电子密钥设备接入终端,上电初始化;
本实施例中的电子密钥设备为用户开户时,银行向用户发放的具有签名功能的设备,包括具有签名功能的KEY、智能卡或者KEY卡合一的设备,例如,工行U盾、农行K宝、中银e令等设备。终端可以为支持电子密钥设备的PC机、PAD(平板电脑)、智能手机等设备。电子密钥设备可以通过有线方式(例如USB接口、耳机接口等)接入终端,也可以通过无线方式(例如WIFI、蓝牙、红外、NFC等)接入终端,在本实施例不做具体限定,只要是电子密钥设备可以接入终端的方式即在本发明的保护范围之内。电子密钥设备接入终端后,可以与终端进行通信,既可以接收终端发送的信息,也可以向终端发送信息。
在本实施例中,电子密钥设备上电初始化可以包括:电子密钥设备上电,复位允许按键标志。在具体实施过程中,复位允许按键标志可以为将允许按键标志置为0,即将允许按键标志置为初始状态,允许按键标志为初始状态时,在电子密钥设备上按下的按键不产生有效的键值,只有当允许按键标志置为1时,在电子密钥设备上按下的按键才可以产生有效的键值。
S202:电子密钥设备等待接收终端下发的指令,并进行按键检测;当电子密钥设备接收到终端下发的指令时执行步骤S203,当电子密钥设备检测到按键按下时执行步骤S219;否则继续执行步骤S202;
在本实施例中,电子密钥设备等待接收终端下发的指令和进行按键检测没有先后顺序之分,电子密钥设备可以先等待接收终端下发的指令再进行按键检测,也可以先进行按键检测再等待接收终端下发的指令,也可以在等待接收终端下发的指令的同时进行按键检测,在本实施例不做具体限定。当电子密钥设备既没有接收到终端下发的指令也没有检测到按键按下时,继续等待接收终端下发的指令,并进行按键检测。
S203:电子密钥设备判断接收到的指令是否为预设格式的指令,如果是则执行步骤S205,否则执行步骤S204;
在本实施例中,预设格式的指令可以为电子密钥设备在身份认证流程中涉及的有效指令,不是预设格式的指令可以为电子密钥设备在身份认证流程中不涉及的指令。预设格式可以为包含特定的标识,或以特定标识开始或/和结束,在本实施例不作具体限定,只要是能够标识电子密钥设备在身份流程中涉及的有效指令的格式即在本发明的保护范围之内。
S204,电子密钥设备按照接收到的指令执行相应操作后,返回步骤S202;
在本实施例中,如果电子密钥设备接收到的指令不是预设格式的指令,即电子密钥设备接收到的指令不是电子密钥设备在身份认证流程中涉及的有效指令,则电子密钥设备按照接收到的指令执行相应操作后,返回步骤S202。
S205,如果电子密钥设备接收到的指令为接收验证信息指令,则执行步骤S206;如果接收到的指令为第一计算验证信息指令,则执行步骤S208;如果接收到的指令为第二计算验证信息指令,则执行步骤S209;如果接收到的指令为第三计算验证信息指令,则执行步骤S213;如果接收到的指令为其他指令,则执行步骤S218;
在本实施例中,电子密钥设备接收到的指令中可以包含用来标识指令类型的指令标识。电子密钥设备接收指令后,可以根据指令中包含的指令标识获取指令的类型。预设格式的其他指令可以为除验证信息获取指令、第一计算验证信息指令、第二计算验证信息指令和第三计算验证信息指令之外的预设格式的指令,例如,预设格式的其他指令可以为加密指令、签名指令等,在本实施例中不作具体限定。
在本实施例中,电子密钥设备还可以获取身份证信息(包括明文或密文),并将身份证信息发送至认证服务器,以利用身份证信息完成身份认证。电子密钥设备可以具有身份证读卡功能,将身份证贴近电子密钥设备,则电子密钥设备可以直接读取身份证件的身份证信息的明文。电子密钥设备也可以与身份证读卡器连接,通过身份证读卡器获取身份证信息。身份证读卡器读取贴近的身份证件的身份证信息密文,并对身份证信息密文解密生成身份证信息明文。为了进一步保证身份证信息的安全,电子密钥设备可以采用与认证服务器协商的密钥对身份证信息明文加密得到身份证信息密文。
S206:电子密钥设备向认证服务器发送验证信息获取请求指令;
在本实施例中,电子密钥设备可以直接通过有线接口或无线接口向认证服务器发送验证信息获取请求指令,也可以先通过有线接口或无线接口将验证信息获取请求指令发送至与电子密钥设备连接的终端,再由终端通过有线网络或无线网络向认证服务器发送验证信息获取请求指令。终端可以通过有线网络与认证服务器通信,也可以通过无线网络与认证服务器通信,在本实施例不作具体限定。
S207:认证服务器接收验证信息获取请求指令,生成验证信息,将验证信息发送至电子密钥设备,执行步骤S221;
在本实施例中,认证服务器接收验证信息获取请求指令后,生成验证信息,验证信息可以为随机数,也可以为随机字符串,还可以为随机数和随机字符串的任意组合,在本实施例中不作具体限定,只要是认证服务器能够对电子密钥设备身份进行认证的信息即在本发明的保护范围之内。在具体实施过程中,认证服务器可以直接通过有线网络或无线网络向电子密钥设备发送验证信息,也可以先通过有线网络或无线网络将验证信息发送至终端,再由终端通过有线接口或无线接口将验证信息发送至电子密钥设备。
在本实施例中,为了保证认证服务器向电子密钥设备发送的验证信息不被篡改,认证服务器在发送验证信息之前可以对验证信息进行加密和/或签名。认证服务器对验证信息进行加密的具体实施方式为:认证服务器使用电子密钥设备的公钥对验证信息进行加密,得到验证信息密文。认证服务器将验证信息密文发送至电子密钥设备。认证服务器对验证信息进行签名的具体实施方式为:认证服务器利用哈希算法计算验证信息密文得到验证信息密文的摘要,并利用认证服务器的私钥对验证信息密文的摘要进行加密,得到验证信息签名。认证服务器将验证信息签名和验证信息密文一起发送至电子密钥设备。在本实施例中的签名过程均可参见该实施方式,下面涉及到的签名过程将不再具体赘述。
电子密钥设备只接收到认证服务器发送的验证信息密文时,电子密钥设备使用电子密钥设备的私钥对接收的验证信息密文解密得到验证信息的明文。电子密钥设备同时接收到验证信息密文和验证信息签名时,电子密钥设备先对验证信息签名进行验签,验签通过后利用电子密钥设备的私钥对验证信息密文解密得到验证信息的明文。电子密钥设备对验证信息签名进行验签的具体实施方式为:电子密钥设备利用认证服务器的公钥对验证信息签名进行解密,得到验证信息密文的摘要,并利用哈希算法对接收的验证信息密文进行计算得到验证信息密文的摘要,并比对解密得到的验证信息密文的摘要与计算得到的验证信息密文的摘要是否相同,如果相同,则对验证信息签名的验签通过。在本实施例中的验签过程均可参见该实施方式,下面涉及到的验签过程将不再具体赘述。
S208:电子密钥设备获取内部计时器的时间生成时间因子和/或获取内部的计数器的计数生成事件因子,调用预设算法,根据内部存储的种子密钥对时间因子和/或事件因子进行处理,生成验证信息,执行步骤S221;
在本实施例中,电子密钥设备可以基于与认证服务器同步的数据(例如,时间因子、事件因子等)计算得到验证信息,此时,电子密钥设备可以是中银e令等具有OTP功能的设备。电子密钥设备基于与认证服务器同步的时间因子计算验证信息时,电子密钥设备和认证服务器在时间上同步,并且存储有相同的种子密钥。电子密钥设备与认证服务器使用相同的种子密钥每隔一段时间(例如,60秒)生成验证信息。电子密钥设备基于与认证服务器同步的事件因子计算验证信息时,电子密钥设备和认证服务器在事件上同步,并且存储有相同的种子密钥。电子密钥设备和认证服务器每进行一次身份认证,事件因子的计数增加一,电子密钥设备和认证服务器使用相同的种子密钥对事件因子计算生成验证信息。
S209:电子密钥设备向认证服务器发送待计算信息获取请求指令;
在本实施例中,认证服务器不计算验证信息,而是根据电子密钥设备的请求计算待计算信息,电子密钥设备根据认证服务器发送的待计算信息计算得到验证信息。
S210:认证服务器接收待计算信息获取请求指令,生成第一待计算信息,将第一待计算信息发送至电子密钥设备;
在本实施例中,认证服务器可以生成一个随机数作为第一待计算信息,也可以生成一个随机字符串作为第一待计算信息,也可以生成随机数与随机字符串的任意组合作为第一待计算信息,还可以根据待计算信息获取请求中包含的信息计算生成第一待计算信息,例如,可以根据待计算信息中包含的用户信息计算待计算信息,在本实施例中不作具体限定。另外,为了保证认证服务器向电子密钥设备发送的第一待计算信息不被篡改,认证服务器在发送第一待计算信息之前可以对待计算信息进行加密和/或签名。认证服务器发送第一待计算信息的密文时,则电子密钥设备对第一待计算信息的密文解密得到第一待计算信息的明文。认证服务器同时发送第一待计算信息的密文和第一待计算信息的密文的签名信息时,电子密钥设备可以先对第一待计算信息的密文的签名信息进行验签,验签通过后对第一待计算信息的密文解密得到第一待计算信息的明文。
S211:电子密钥设备判断第一待计算信息是否符合待计算信息的预设格式,如果是,则执行步骤S212;
在本实施例中,电子密钥设备接收认证服务器生成的第一待计算信息后,可以对第一待计算信息的格式进行验证。在本实施例中,如果第一待计算信息的格式不符合待计算信息的格式要求,电子密钥设备可以向用户显示或播报错误提示信息。待计算信息的格式信息可以包括待计算信息的长度,如果第一待计算信息的长度符合预设的数据长度,电子密钥设备根据第一待计算信息的长度判断第一待计算信息是否符合格式要求,当然,第一待计算信息的格式信息也可以为其他格式信息,本实施例不作具体限定。
S212:电子密钥设备根据内部存储的种子密钥对第一待计算信息进行处理,生成验证信息,执行步骤S221;
在本实施例中,电子密钥设备根据存储的种子密钥对接收的第一待计算信息进行计算,生成验证信息。
S213:电子密钥设备提示用户输入第二待计算信息;
在本实施例中,电子密钥设备可以在显示屏显示提示信息,也可以语音播报提示信息,提示用户输入第二待计算信息。
在本实施例中,电子密钥设备可以接收用户通过输入设备输入的第二待计算信息,再根据第二待计算信息计算得到验证信息。在具体实施过程中,用户输入的第二待计算信息可以是认证服务器产生的一个随机数或随机字符串或随机数与随机字符串的任意组合,也可以是认证服务器根据用户信息计算生成的,也可以是用户与认证服务器约定的一个信息。如果第二待计算信息是由认证服务器生成的,则认证服务器生成第二待计算信息后,可以将第二待计算信息发送至终端,例如,以短信形式发送至用户预留在银行认证服务器中的与用户绑定的手机号。用户接收第二待计算信息后,可以通过电子密钥设备自带的键盘输入第二待计算信息;也可以通过终端的输入设备输入第二待计算信息,终端将第二待计算信息发送至电子密钥设备;还可以通过与电子密钥设备连接的其他输入设备输入第二待计算信息,再由其他输入设备将第二待计算信息发送至电子密钥设备。
S214:电子密钥设备判断是否在预设时间内获取到用户输入的第二待计算信息,如果是,则执行步骤S216;否则,执行步骤S215;
在本实施例中,电子密钥设备根据是否在预设时间内获取到用户输入的第二待计算信息,分别执行相应的操作。在具体实施过程中,电子密钥设备在提示用户输入第二待计算信息后,启动对用户输入第二待计算信息预设时间的计时。预设时间可以设定为60秒,也可以设定为其他时间,在本实施例中不作具体限制。
S215:电子密钥设备提示超时信息,返回步骤S202;
在本实施例中,如果电子密钥设备没有在预设时间内获取到用户输入的第二待计算信息,则电子密钥设备可以提示超时信息。电子密钥设备提示超时信息的方式可以为通过显示屏显示超时信息,也可以为通过语音播报超时信息。在提示超时信息后,返回步骤S202。
S216:电子密钥设备判断第二待计算信息是否符合待计算信息的预设格式,如果是,则执行步骤S217;
在本实施例中,如果电子密钥设备在预设时间内获取到用户输入的第二待计算信息,则电子密钥设备进一步判断第二待计算信息是否为符合待计算信息格式的信息。在本实施例中,第二待计算信息可以为数据信息,待计算信息的格式信息可以包括待计算信息的数据长度,如果第二待计算信息的数据长度符合预设的数据长度,则第二待计算信息满足待计算信息的格式要求。当然,第二待计算信息的格式信息也可以为其他格式信息,在本实施例中不作具体限制。
S217:电子密钥设备根据内部存储的种子密钥对用户输入的第二待计算信息进行处理,生成验证信息,执行步骤S221;
S218:电子密钥设备根据其他指令执行相应操作,然后返回步骤S202;
在本实施例中,如果电子密钥设备接收的指令为符合预设格式的其他指令,则电子密钥设备根据其他指令执行相应操作后,继续等待接收终端下发的指令,并进行按键检测。
S219:电子密钥设备判断允许按键标志是否置位,是则执行步骤S220,否则返回步骤S202;
在本实施例中,电子密钥设备判断按键允许标志是否置位与电子密钥设备等待接收终端下发的指令没有先后执行顺序。在具体实施过程中,如果允许按键标志没有置位,则在返回步骤S202之前,电子密钥设备可以显示或播报提示错误信息,也可以向终端返回提示错误信息,终端接收提示错误信息后,可以通过显示屏显示提示错误信息或语音播报提示错误信息。
S220:电子密钥设备扫描按键,获取被按下的按键的键值,根据获取的键值,判断被按下的按键对应的指令类型,若是接收验证信息指令按键则执行步骤S206;若是第一计算验证信息指令按键则执行步骤S208;若是第二计算验证信息指令按键则执行步骤S209;若是第三计算验证信息指令按键则执行步骤S213;若是其他指令按键则执行步骤S218,然后返回步骤S202;
在本实施例中,电子密钥设备获取被按下的按键对应的指令类型后,根据相应的指令执行操作。如果被按下的按键对应的指令类型为接收验证信息指令,则执行步骤S206,电子密钥设备获取认证服务器发送的验证信息;如果被按下的按键对应的指令类型为第一计算验证信息指令,则执行步骤S208,电子密钥设备基于与认证服务器同步的数据计算得到验证信息;如果是第二计算验证信息指令,则执行步骤S209,电子密钥设备接收认证服务器发送的第一待计算信息,计算得到验证信息;如果被按下的按键对应的指令为第三计算验证信息指令,则执行步骤S213,电子密钥设备接收输入设备输入的第二待计算信息,计算得到验证信息;如果被按下的按键对应的是其他指令,则执行步骤S218,电子密钥设备根据其他指令执行相应的操作,并返回步骤S202。
S221:电子密钥设备向用户提示验证信息;
在具体实施过程中,电子密钥设备获取验证信息后,可以通过电子密钥设备的显示屏向用户显示验证信息,也可以通过语音播报向用户播放验证信息,本实施例不作具体限定。
S222:终端获取身份认证信息,并发送至认证服务器,身份认证信息至少包含用户读取验证信息的录像数据;
在本实施例中,电子密钥设备向用户显示或者播报验证信息之后,用户使用摄像头将用户读取验证信息的过程录制成录像,终端获取该录像,利用录像编码方法将录像编码成录像数据,并将至少包含该录像数据的身份认证信息发送至认证服务器。其中,录像编码方法可以为HEVC,MPRG4,MPEG2,H.264,H.263等编码方案,也可以为其他录像编码方案,在本实施例中不作具体限定。
在本实施例中,用户读取验证信息的方式可以为用户大声朗读出验证信息,用户使用摄像头将用户正在朗读验证信息的过程录制成录像;或者用户在电子密钥设备的显示屏查看验证信息,用户使用摄像头将用户查看验证信息的过程录制成录像,在这种情形下,必须将电子密钥设备的显示屏上显示的验证信息清晰地录制在录像中。用户也可以采用其他方式读取验证信息,在本实施例不作具体限定。
在具体实施过程中,为了防止录像传输过程中被黑客截获,保证通信安全,还可以对用户读取验证信息的录像数据进行加密和/或签名,将加密和/或签名后的录像发送至认证服务器。
在本实施例中,终端可以调用自带的摄像头录制用户读取验证信息的录像。现有的终端(例如,PC机、智能手机、平板电脑等)都配备有摄像头,使用终端自带的摄像头录制录像,不会增加额外的成本。终端也可以获取电子密钥设备录制的包含用户读取验证信息的录像。终端还可以获取其他终端录制的包含用户读取验证信息的录像。
S223:认证服务器接收身份认证信息,提取录像数据中的待检验身份信息,将从录像数据中提取的待检验身份信息与认证服务器获取的检验身份信息进行比对,比对一致,则完成身份认证。
在本实施例中,认证服务器获取的检验身份信息可以是预先存储在认证服务器中的,也可以是从其他数据库中获取的,也可以是临时产生的,在本实施例中不作具体限定。
在本实施例中,如果认证服务器接收的是身份认证信息是加密的,认证服务器先对身份认证信息的密文进行解密得到身份认证信息的明文。认证服务器得到身份认证信息的明文之后,再从身份认证信息中包含的录像数据中提取待检验身份信息,并对待检验身份信息进行验证,完成身份认证。
作为本发明实施例的一个可选实施方式,身份认证信息还包括签名信息,在提取录像数据中的待检验身份信息之前,方法还包括:,认证服务器对签名信息进行验签,验签通过后触发提取录像数据中的待检验身份信息的操作。
在本实施例中,认证服务器接收的身份认证信息中,除了签名信息以外,还包括签名信息对应的原始信息,原始信息可以为密文。认证服务器接收身份认证信息之后,先对签名信息进行验签,验签通过后再对签名信息对应的原始信息进行解密,如果验签不通过,则终止此次身份认证操作。认证服务器可以通过验签操作判断身份认证信息是否被篡改,从而保证身份认证信息传输安全。
作为本发明实施例的一个可选实施方式,签名信息为通过对以下一个或多个进行签名获得的信息:身份证信息明文、身份证信息密文、录像数据和单次标识数据。
在本实施例中,签名信息可以为对身份证信息明文、身份证信息密文、录像数据和单次标识数据中的一个或多个的组合进行签名得到的,例如,签名信息可以为对身份证信息明文进行签名的签名数据,签名信息也可以为对身份证信息密文和录像数据进行签名的签名数据,签名信息也可以为对身份证信息明文、录像数据和单次标识数据进行签名的签名数据,签名信息还可以为其他组合,在本实施例不作具体限定。
在本实施例中,单次标识数据可以是随机数字、随机字符串、随机数字和随机字符串的任意组合,也可以为其他数据,在本实施例不作具体限定,只要能够满足只能使用一次的要求,均属于本发明的保护范围之内。单次标识数据只能被使用一次,因此可以防止重放攻击。
作为本发明实施例的一个可选实施方式,待检验身份信息可以包括:待检验用户信息和/或验证信息,检验身份信息包括:检验用户信息和/或检验验证信息;将从录像数据中提取的待检验身份信息与认证服务器获取的检验身份信息进行比对,包括:将从录像数据中提取的待检验用户信息与认证服务器获取的检验用户信息进行比对;和/或将从录像数据中提取的验证信息与认证服务器获取的检验验证信息进行比对。
在本实施例中,待检验用户信息是从录像数据中提取的能够体现用户特征的信息,待检验用户信息可以为用户的生物特征信息。检验用户信息可以是预先存储在认证服务器中的,也可以是从其他数据库中获取的;认证服务器获取的检验验证信息可以是预先存储在认证服务器中的,也可以是从其他数据库中获取的,也可以是临时产生的,在本实施例不作具体限定。
在本实施例中,待检验身份信息可以为待检验用户信息,也可以为验证信息,也可以同时为待检验用户信息和验证信息。待检验身份信息可以只包含一类信息,以待检验身份信息为待检验用户信息为例,认证服务器将待检验用户信息与认证服务器获取的检验用户信息进行比对,如果比对一致,则身份认证通过,如果比对不一致,则此次身份认证不通过。待检验身份信息可以同时包含待检验用户信息和验证信息,此时认证服务器需要将待检验用户信息和验证信息分别与认证服务器获取的检验用户信息和检验验证信息进行比对,只有待检验用户信息和验证信息均比对一致,此次身份认证才通过,只要其中一类待检验身份信息比对不一致,此次身份认证不通过。身份认证通过后,认证服务器可以向终端发送身份认证成功信息,提示用户此次身份认证成功,可以进行后续的操作。身份认证不通过时,认证服务器可以向终端发送身份认证失败信息,提示用户此次身份认证失败。由此,通过本实施例提供的身份认证方法,能够根据应用需要,灵活选择需要比对的待检验身份信息的类型和数目。
在本实施例中,待检验用户信息可以包括待检验用户人脸特征和/或待检验用户声纹特征,检验用户信息包括检验用户人脸特征和/检验用户声纹特征;认证服务器将从录像数据中提取的待检验用户信息与认证服务器获取的检验用户信息进行比对,包括:认证服务器将从录像数据中提取的待检验用户人脸特征与认证服务器获取的检验用户人脸特征进行比对;和/或,认证服务器将从录像数据中提取的待检验用户声纹特征与认证服务器获取的检验用户声纹信息进行比对。
在本实施例中,认证服务器从录像中采集识别录像中的用户人脸图像,并从用户人脸图像中采集待检验用户人脸特征。检验用户人脸特征可以是用户在办理电子密钥设备时由银行采集并预留的一组或多组人脸特征模板。认证服务器采用人脸识别技术将待检验用户人脸特征与认证服务器获取的人脸特征模板进行比对,当相似度大于等于设定的阈值时,认证服务器判定识别成功,当相似度小于设定的阈值时,认证服务器判定识别失败。人脸识别技术具有灵活判别能力,识别准确率高,提高了身份认证方法的准确率、安全性。
在本实施例中,认证服务器可以采用声纹识别技术采集录像中的待检验用户声纹特征。认证服务器从录像中提取音频部分,对音频部分进行预处理后,提取待检验用户声纹特征,将待检验用户声纹特征与认证服务器获取的检验用户声纹特征进行比对,当相似度大于等于预设的阈值时,判定待检验用户声纹特征与检验用户声纹特征比对一致,当相似度小于预设的阈值时,判定待检验用户声纹特征与检验用户声纹特征比对不一致。声纹识别技术中的声纹特征具有获取方便、成本低廉等优点。
在具体实施过程中,身份认证信息还可以包括:用户身份标识;其中,用户身份标识可以是银行卡号、电子密钥设备的序列号、身份证信息明文等可以用于唯一标识用户身份的信息。电子密钥设备的序列号是在电子密钥设备生产过程中分配给电子密钥设备的唯一标识,在银行下发电子密钥设备时,电子密钥设备的序列号与用户身份证信息唯一关联。认证服务器可以根据用户身份标识查找与电子密钥设备匹配的检验身份信息。
在具体实施过程中,身份认证信息还可以包含:用户身份证信息明文或用户身份证信息密文。当认证服务器接收的是用户身份证信息密文时,认证服务器先采用与电子密钥设备协商的密钥对身份证信息密文解密得到身份证信息明文。认证服务器可以根据用户标识查找与电子密钥设备匹配的身份证信息明文,将查找到的身份证信息明文与身份认证信息中包含的用户身份证信息进行比对,比对一致,则表面电子密钥设备和身份证为当前同一用户所持有,完成身份认证;比对不一致,则表明电子密钥设备和身份证不是同一用户所持有,身份证有可能已经被盗,此时,终止此次身份认证。
在本实施例中,认证服务器还可以根据电子密钥设备发送的数字证书查找与电子密钥设备匹配的身份证信息。电子密钥设备的数字证书由第三方权威认证机构CA发行,可以作为电子密钥设备的唯一标识,电子密钥设备的数字证书与用户身份证信息唯一关联。电子密钥设备向后台发送签名信息时,会将自身的数字证书一起发送至认证服务器,终端将签名信息与电子密钥设备的数字证书一起发送至认证服务器;认证服务器接收电子密钥设备发送的数字证书后,利用电子密钥设备的数字证书作为索引,找到与电子密钥设备匹配的身份证信息。
通过本实施例提供的身份认证方法,在用户已有电子密钥设备的前提下,使用电子密钥设备和录像数据共同认证用户身份,解决远程身份认证的问题,用户在家中通过PC机、智能手机等终端即可实现远程身份认证。
实施例4
本实施例提供了一种远程开户方法,该远程开户方法采用实施例3中的身份认证方法。本实施例与实施例3的区别在于,在本实施例中:在认证服务器接收身份认证信息之前,终端向认证服务器发送开户请求;开户请求中至少携带有用户身份标识,该用户身份标识与实施例3中的用户身份标识含义相同,包含的内容也相同;在认证服务器完成身份认证之后,认证服务器根据开户请求开设与所述用户身份标识匹配的账户。
通过本实施例提供的远程开户系统,能够实现用户坐在家里、或者身处任何地方都能随时远程开户,并且保证远程开户的安全性。
在本实施例中,用户身份标识可以是银行卡号、电子密钥设备的序列号、身份证信息明文等可以用于唯一标识用户身份的信息。
在本实施例中,终端在获取身份认证信息后,可以将身份认证信息和开户请求分别发送至认证服务器,认证服务器在接收到身份认证信息后提取录像数据中的待检验身份信息,接收到开户请求后,进入认证流程,将从录像中提取的待检验身份信息与认证服务器获取的检验身份信息进行比对,比对一致,完成身份认证。其中,认证服务器获取的检验身份信息可以是预先存储在认证服务器中的,也可以是从其他数据库中获取的,也可以是临时产生的。
在具体实施时,本实施例提供的远程开户方法与实施例3的区别在于,终端获取身份认证信息后,可以将身份认证信息和开户请求一起发送至认证服务器,认证服务器接收身份认证信息和开户请求,也可以将携带有身份认证信息的开户请求发送至认证服务器,认证服务器接收携带有身份认证信息的开户请求,远程开户方法应用实施例3中的身份认证方法对用户身份的有效性、合法性进行认证。如果用户身份认证不通过,则远程开户系统终止开户流程,如果认证通过,则认证服务器根据开户请求开设与用户身份标识匹配的账户。完成开户后,认证服务器可以将账户信息发送至终端,用户通过终端获知新开设的账户信息。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在不脱离本发明的原理和宗旨的情况下在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。本发明的范围由所附权利要求及其等同限定。
Claims (8)
1.一种身份认证方法,其特征在于,所述方法包括:
S1:电子密钥设备接入终端,上电初始化;
S2:所述电子密钥设备等待接收所述终端下发的指令,并进行按键检测;
当所述电子密钥设备接收到所述终端下发的指令时执行步骤S3,当所述电子密钥设备检测到按键按下时执行步骤S19,否则继续执行步骤S2;
S3:所述电子密钥设备判断接收到的所述指令是否为预设格式的指令,如果是则执行步骤S5,否则执行步骤S4;
S4,所述电子密钥设备按照接收到的所述指令执行相应操作后,返回步骤S2;
S5,如果所述电子密钥设备接收到的所述指令为接收验证信息指令,则执行步骤S6;如果接收到的所述指令为第一计算验证信息指令,则执行步骤S8;如果接收到的所述指令为第二计算验证信息指令,则执行步骤S9;如果接收到的所述指令为第三计算验证信息指令,则执行步骤S13;如果接收到的所述指令为其他指令,则执行步骤S18;
S6:所述电子密钥设备向认证服务器发送验证信息获取请求指令;
S7:所述认证服务器接收所述验证信息获取请求指令,生成验证信息,将所述验证信息发送至所述电子密钥设备,执行步骤S21;
S8:所述电子密钥设备获取内部计时器的时间生成时间因子和/或获取内部的计数器的计数生成事件因子,调用预设算法,根据内部存储的种子密钥对时间因子和/或事件因子进行处理,生成验证信息,执行步骤S21;
S9:所述电子密钥设备向所述认证服务器发送待计算信息获取请求指令;
S10:所述认证服务器接收所述待计算信息获取请求指令,生成第一待计算信息,将所述第一待计算信息发送至所述电子密钥设备;
S11:所述电子密钥设备判断所述第一待计算信息是否符合待计算信息的预设格式,如果是,则执行步骤S12;
S12:所述电子密钥设备根据内部存储的种子密钥对所述第一待计算信息进行处理,生成验证信息,执行步骤S21;
S13:所述电子密钥设备提示用户输入第二待计算信息;
S14:所述电子密钥设备判断是否在预设时间内获取到所述用户输入的第二待计算信息,如果是,则执行步骤S16,否则,执行步骤S15;
S15:所述电子密钥设备提示超时信息,返回步骤S2;
S16:所述电子密钥设备判断所述第二待计算信息是否符合待计算信息的预设格式,如果是,则执行步骤S17;
S17:所述电子密钥设备根据内部存储的种子密钥对用户输入的所述第二待计算信息进行处理,生成验证信息,执行步骤S21;
S18:所述电子密钥设备根据所述其他指令执行相应操作,返回步骤S2;
S19:所述电子密钥设备判断允许按键标志是否置位,是则执行步骤S20,否则返回步骤S2;
S20:所述电子密钥设备扫描按键,获取被按下的按键的键值,根据获取的所述键值,判断所述被按下的按键对应的指令类型;若是接收验证信息指令按键则执行步骤S6;若是第一计算验证信息指令按键则执行步骤S8;若是第二计算验证信息指令按键则执行步骤S9;若是第三计算验证信息指令按键则执行步骤S13;若是其他指令按键则执行步骤S18;
S21:所述电子密钥设备向用户提示所述验证信息;
S22:所述终端获取身份认证信息,并发送至所述认证服务器,所述身份认证信息至少包含所述用户读取所述验证信息的录像数据;
S23:所述认证服务器接收身份认证信息,提取所述录像数据中的待检验身份信息,将从所述录像数据中提取的待检验身份信息与所述认证服务器获取的检验身份信息进行比对,比对一致,则完成身份认证。
2.根据权利要求1所述的身份认证方法,其特征在于,所述身份认证信息还包括签名信息;所述提取所述录像数据中的待检验身份信息之前,所述方法还包括:
所述认证服务器对所述签名信息进行验签,验签通过后触发所述提取所述录像数据中的待检验身份信息的操作。
3.根据权利要求2所述的身份认证方法,其特征在于,所述签名信息为通过对以下一个或多个进行签名获得的信息:身份证信息明文、身份证信息密文、所述录像数据和单次标识数据。
4.根据权利要求1至3任一项所述的身份认证方法,其特征在于,所述待检验身份信息包括待检验用户信息和/或所述验证信息,所述检验身份信息包括检验用户信息和/或检验验证信息;
所述将从所述录像数据中提取的待检验身份信息与所述认证服务器获取的检验身份信息进行比对,包括:
将从所述录像数据中提取的所述待检验用户信息与所述认证服务器获取的所述检验用户信息进行比对;和/或
将从所述录像数据中提取的所述验证信息与所述认证服务器获取的所述检验验证信息进行比对。
5.一种身份认证系统,其特征在于,所述系统包括:电子密钥设备、终端以及认证服务器;
所述电子密钥设备,用于接入所述终端,上电初始化,等待接收所述终端下发的指令,并进行按键检测;
所述电子密钥设备,用于当检测到按键按下时,判断允许按键标志是否置位,如果允许按键标志置位,扫描按键,获取被按下的按键的键值,根据获取的所述键值,判断被按下的按键对应的指令类型;
所述电子密钥设备,用于当接收到所述终端下发的指令时,判断接收到的所述指令是否为预设格式的指令,如果不是预设格式的指令,还用于按照接收到的所述指令执行相应操作后,等待接收所述终端下发的指令,并进行按键检测;
当接收到的所述指令是预设格式的指令且所述指令为接收验证信息指令或被按下的按键为接收验证信息指令按键时,所述电子密钥设备,用于向所述认证服务器发送验证信息获取请求指令;所述认证服务器,用于接收所述验证信息获取请求指令,生成验证信息,将所述验证信息发送至所述终端;所述终端,用于将所述验证信息发送至所述电子密钥设备;
当接收到的所述指令是预设格式的指令且所述指令为第一计算验证信息指令或被按下的按键为第一计算验证信息指令按键时,所述电子密钥设备,用于获取内部计时器的时间生成时间因子和/或获取内部的计数器的计数生成事件因子,调用预设算法,根据内部存储的种子密钥对时间因子和/或事件因子进行处理,生成验证信息;
当接收到的所述指令是预设格式的指令且所述指令为第二计算验证信息指令或被按下的按键为第二计算验证信息指令按键时,所述电子密钥设备,用于向所述认证服务器发送待计算信息获取请求指令;所述认证服务器,用于接收所述待计算信息获取请求指令,生成第一待计算信息,将所述第一待计算信息发送至至所述电子密钥设备;所述电子密钥设备,用于判断所述第一待计算信息是否为符合待计算信息格式的信息,如果是,根据内部存储的种子密钥对所述第一待计算信息进行处理,生成验证信息;
当接收到的所述指令是预设格式的指令且所述指令为第三计算验证信息指令或第三计算验证信息指令时,所述电子密钥设备,用于提示用户输入第二待计算信息,判断是否在预设时间内获取到所述用户输入的第二待计算信息,如果不是,用于显示超时信息,等待接收所述终端下发的指令并进行按键检测,如果是,用于判断所述第二待计算信息是否为符合待计算信息格式的信息,如果是符合待计算信息格式的信息,根据内部存储的种子密钥对用户输入的所述第二待计算信息进行处理,生成验证信息;
当接收到的所述指令是预设格式的指令且所述指令为其他指令或被按下的按键为其他指令按键时,所述电子密钥设备,用于根据所述其他指令执行相应操作后,等待接收终端下发的指令,并进行按键检测;
所述电子密钥设备,用于向用户提示所述验证信息;
所述终端,用于获取身份认证信息,并发送至所述认证服务器,所述身份认证信息至少包含所述用户读取所述验证信息的录像数据;
所述认证服务器,用于接收身份认证信息,提取所述录像数据中的待检验身份信息,将从所述录像数据中提取的待检验身份信息与所述认证服务器获取的检验身份信息进行比对,比对一致,则完成身份认证。
6.根据权利要求5所述的身份认证系统,其特征在于,所述身份认证信息还包含签名信息;
所述认证服务器,还用于对所述签名信息进行验签,验签通过后触发所述提取所述录像数据中的待检验身份信息的操作。
7.根据权利要求6所述的身份认证系统,其特征在于,所述签名信息为通过对以下一个或多个进行签名获得的信息:身份证信息明文、身份证信息密文、所述录像数据和单次标识数据。
8.根据权利要求5至7中任一项所述的身份认证系统,其特征在于,所述待检验身份信息包括:待检验用户信息和/或所述验证信息,所述检验身份信息包括:检验用户信息和/或检验验证信息;
所述认证服务器,用于将从所述录像数据中提取的待检验身份信息与所述认证服务器获取的检验身份信息进行比对,包括:
所述认证服务器将从所述录像数据中提取的所述待检验用户信息与所述认证服务器获取的所述检验用户信息进行比对;和/或
所述认证服务器将从所述录像数据中提取的所述验证信息与所述认证服务器获取的所述检验验证信息进行比对。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610154544.2A CN105939197B (zh) | 2016-03-17 | 2016-03-17 | 一种身份认证方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610154544.2A CN105939197B (zh) | 2016-03-17 | 2016-03-17 | 一种身份认证方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105939197A CN105939197A (zh) | 2016-09-14 |
| CN105939197B true CN105939197B (zh) | 2019-02-12 |
Family
ID=57151291
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610154544.2A Active CN105939197B (zh) | 2016-03-17 | 2016-03-17 | 一种身份认证方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105939197B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108234126B (zh) * | 2016-12-21 | 2021-04-09 | 金联汇通信息技术有限公司 | 用于远程开户的系统和方法 |
| CN106843979B (zh) * | 2017-01-24 | 2020-11-03 | 北京经纬恒润科技有限公司 | 一种应用程序的更新方法及装置 |
| CN106972919B (zh) * | 2017-03-29 | 2020-04-24 | 北京奇虎科技有限公司 | 一种密钥协商方法和装置 |
| CN107481449A (zh) * | 2017-08-25 | 2017-12-15 | 南京真格邦软件有限公司 | 一种基于人脸识别和语音识别的vtm机 |
| CN108848079B (zh) * | 2018-05-31 | 2021-05-11 | 腾讯科技(深圳)有限公司 | 实现信息验证的方法、系统、装置和计算机系统 |
| CN110661623B (zh) * | 2018-06-29 | 2022-10-11 | 高级计算发展中心(C-Dac),班加罗尔 | 用于使用个人认证设备(pad)认证用户的方法和系统 |
| CN109882985B (zh) * | 2018-12-26 | 2020-07-28 | 珠海格力电器股份有限公司 | 一种语音播报方法、装置、存储介质及空调 |
| US10769873B1 (en) | 2019-06-28 | 2020-09-08 | Alibaba Group Holding Limited | Secure smart unlocking |
| CN110473318B (zh) * | 2019-06-28 | 2021-06-22 | 创新先进技术有限公司 | 解锁方法、实现解锁的设备及计算机可读介质 |
| CN115774456A (zh) * | 2021-09-06 | 2023-03-10 | 北京三快在线科技有限公司 | 一种无人机的控制方法及装置 |
| CN114745207B (zh) * | 2022-06-10 | 2022-08-26 | 国汽智控(北京)科技有限公司 | 数据传输方法、装置、设备、计算机可读存储介质及产品 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101848090A (zh) * | 2010-05-11 | 2010-09-29 | 武汉珞珈新世纪信息有限公司 | 认证装置及利用其进行网上身份认证与交易的系统与方法 |
| CN102271040A (zh) * | 2011-07-26 | 2011-12-07 | 北京华大信安科技有限公司 | 身份验证系统和方法 |
| CN103152318A (zh) * | 2011-12-07 | 2013-06-12 | 中国移动通信集团天津有限公司 | 一种身份认证方法、装置及其系统 |
| CN103347018A (zh) * | 2013-07-02 | 2013-10-09 | 山东科技大学 | 一种基于智能卡的多服务环境下远程身份认证方法 |
| CN105141615A (zh) * | 2015-09-07 | 2015-12-09 | 天地融科技股份有限公司 | 一种远程开户方法和系统及其身份验证方法和系统 |
| CN105245341A (zh) * | 2015-09-07 | 2016-01-13 | 天地融科技股份有限公司 | 远程身份认证方法和系统以及远程开户方法和系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103208151B (zh) * | 2013-04-03 | 2016-08-03 | 天地融科技股份有限公司 | 处理操作请求的方法及系统 |
| CN103220281B (zh) * | 2013-04-03 | 2015-10-28 | 天地融科技股份有限公司 | 一种信息处理方法及系统 |
-
2016
- 2016-03-17 CN CN201610154544.2A patent/CN105939197B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101848090A (zh) * | 2010-05-11 | 2010-09-29 | 武汉珞珈新世纪信息有限公司 | 认证装置及利用其进行网上身份认证与交易的系统与方法 |
| CN102271040A (zh) * | 2011-07-26 | 2011-12-07 | 北京华大信安科技有限公司 | 身份验证系统和方法 |
| CN103152318A (zh) * | 2011-12-07 | 2013-06-12 | 中国移动通信集团天津有限公司 | 一种身份认证方法、装置及其系统 |
| CN103347018A (zh) * | 2013-07-02 | 2013-10-09 | 山东科技大学 | 一种基于智能卡的多服务环境下远程身份认证方法 |
| CN105141615A (zh) * | 2015-09-07 | 2015-12-09 | 天地融科技股份有限公司 | 一种远程开户方法和系统及其身份验证方法和系统 |
| CN105245341A (zh) * | 2015-09-07 | 2016-01-13 | 天地融科技股份有限公司 | 远程身份认证方法和系统以及远程开户方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105939197A (zh) | 2016-09-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105939197B (zh) | 一种身份认证方法和系统 | |
| CN105933280B (zh) | 身份认证方法和系统 | |
| WO2017041716A1 (zh) | 远程开户方法和系统及其身份验证方法和系统 | |
| CN107251477B (zh) | 用于安全地管理生物计量数据的系统和方法 | |
| CN106487511B (zh) | 身份认证方法及装置 | |
| EP1394657B1 (en) | System and method for sequentially processing a biometric sample | |
| CN105939196B (zh) | 身份认证方法和系统 | |
| CN107113315A (zh) | 一种身份认证方法、终端及服务器 | |
| CN105847247A (zh) | 一种认证系统及其工作方法 | |
| JP2001325549A (ja) | バイオメトリクス本人確認サービス提供システム | |
| KR101218297B1 (ko) | 전자 도어락 개폐 시스템 및 개폐방법 | |
| CN109150535A (zh) | 一种身份认证方法、设备、计算机可读存储介质及装置 | |
| CN101321069A (zh) | 手机生物身份证明制作、认证方法及其认证系统 | |
| CN109920100B (zh) | 一种智能锁开锁方法及系统 | |
| CN108109242B (zh) | 一种基于指纹开锁的硬件加密方法、系统、智能云锁 | |
| CN104618114B (zh) | 身份证信息获取方法、装置及系统 | |
| CN110163998A (zh) | 一种智能门锁系统及离线认证的智能门锁使用方法 | |
| JPH10269182A (ja) | 利用者認証方法および利用者認証システム | |
| CN108650219B (zh) | 一种用户身份识别方法、相关装置、设备和系统 | |
| CN113205628A (zh) | 一种基于生物特征识别的智能门锁控制方法及系统 | |
| US11240029B2 (en) | Method of registration and access control of identity for third-party certification | |
| CN107516371B (zh) | 验证识别方法及酒店智能卡系统 | |
| CN110619228B (zh) | 文件解密方法、文件加密方法、文件管理系统及存储介质 | |
| CN108322440A (zh) | 一种利用安全设备读卡登录方法及安全登录系统 | |
| CN110084021A (zh) | 柜面终端、客户端、柜面数据交互方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |