CN101873316B - 身份验证方法、系统及身份验证器 - Google Patents
身份验证方法、系统及身份验证器 Download PDFInfo
- Publication number
- CN101873316B CN101873316B CN2010101920633A CN201010192063A CN101873316B CN 101873316 B CN101873316 B CN 101873316B CN 2010101920633 A CN2010101920633 A CN 2010101920633A CN 201010192063 A CN201010192063 A CN 201010192063A CN 101873316 B CN101873316 B CN 101873316B
- Authority
- CN
- China
- Prior art keywords
- communication
- identity verifier
- server end
- input information
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明实施例涉及一种身份验证方法,其主要利用服务器端与身份验证器之间预先配置的通信根密钥及通信ID,在服务器端与身份验证器之间创建虚链路,并基于该虚链路,在服务器端与身份验证器之间依据用户对身份验证器物理操作产生的输入信息进行验证交互,服务器端依据该验证交互结果进行身份验证器的授权判定。本发明实施例还提供了一种身份验证系统及身份验证器。采用本发明实施例,可在身份验证过程中加入用户对身份验证器输入信息的实际物理操作处理,避开了用户操作客户端的不可信因素,消除了客户端受病毒、黑客或恶意程序控制的安全隐患,进而大大提高了身份验证的安全性能,保证了网络应用安全可靠运行。
Description
技术领域
本发明涉及通信领域,尤其涉及一种身份验证方法、系统及身份验证器。
背景技术
目前,在大多数网络应用进程中,用户操作的客户端与服务器端之间都需要进行身份验证,但由于客户端自身的安全缺陷而存在安全隐患,各种计算机病毒或恶意程序容易控制客户端权限,因此客户端与服务器之间采用密码进行验证时,密码容易被中间截获,用户身份容易被冒用,基于此,现有技术提供了一种便携式电子证书存储机制,其主要将电子证书存储在便携式外部存储器(如U盘)中,但由于便携式外部存储器并不与服务器端之间直接通信,因此仍然存在客户端容易受病毒、黑客或恶意程序控制后产生的安全隐患。
发明内容
本发明实施例所要解决的技术问题在于,提供一种身份验证方法、系统及身份验证器,可在身份验证过程中加入用户对其身份验证器的实际物理操作处理,以避开用户操作客户端的不可信因素,消除客户端受病毒、黑客或恶意程序控制的安全隐患,进而大大提高身份验证的安全性能,保证网络安全稳定运行。
为解决上述技术问题,本发明实施例采用如下技术方案:
一种身份验证方法,该方法基于一种身份验证系统,所述身份验证系统包括服务器端、与所述服务器端通过第一通信链路相连的客户端,以及通过第二通信链路连接到所述客户端的身份验证器,所述方法包括:
通过所述第一通信链路以及所述第二通信链路,利用在所述服务器端与所述身份验证器之间预先配置的通信根密钥及通信ID,在所述服务器端与所述身份验证器之间创建虚链路;
基于所述虚链路,在所述服务器端与所述身份验证器之间依据用户对所述身份验证器物理操作产生的输入信息进行验证交互,所述服务器端依据该验证交互结果进行所述身份验证器的授权判定,
其中,在所述服务器端与所述身份验证器之间预先配置所述通信根密钥及通信ID具体包括:所述客户端通过所述第一通信链路向所述服务器端发送对所述身份验证器进行初始化的请求;所述服务器端根据所述请求,生成用于初始化所述身份验证器的通信根密钥及通信ID后,建立包含所述通信根密钥和所述通信ID的对应关系,并通过所述第一通信链路向所述客户端返回所述通信根密钥及所述通信ID;所述客户端通过所述第二通信链路将所述通信根密钥及通信ID写入所述身份验证器。
一种身份验证系统,包括服务器端、与所述服务器端通过第一通信链路相连的客户端,以及通过第二通信链路连接到所述客户端的身份验证器,其中:
所述客户端,用于通过所述第一通信链路以及所述第二通信链路,在所述服务器端与所述身份验证器之间预先配置通信根密钥及通信ID,并利用所述通信根密钥及所述通信ID,在所述服务器端与所述身份验证器之间创建虚链路,其中,在所述服务器端与所述身份验证器之间预先配置所述通信根密钥及通信ID具体包括:所述客户端通过所述第一通信链路向所述服务器端发送对所述身份验证器进行初始化的请求;所述服务器端根据所述请求,生成用于初始化所述身份验证器的通信根密钥及通信ID后,建立包含所述通信根密钥和所述通信ID的对应关系,并通过所述第一通信链路向所述客户端返回所述通信根密钥及所述通信ID;所述客户端通过所述第二通信链路将所述通信根密钥及通信ID写入所述身份验证器;
所述身份验证器,用于获得用户物理操作产生的输入信息,并基于所述虚链路在其与所述服务器端之间依据所述输入信息进行验证交互;
所述服务器端,用于依据所述验证交互结果进行授权判定。
一种身份验证器,包括:
初始化模块,用于协同服务器端共同配置通信根密钥及通信ID,其中,在所述服务器端与所述身份验证器之间预先配置所述通信根密钥及通信ID具体包括:客户端通过第一通信链路向所述服务器端发送对所述身份验证器进行初始化的请求;所述服务器端根据所述请求,生成用于初始化所述身份验证器的通信根密钥及通信ID后,建立包含所述通信根密钥和所述通信ID的对应关系,并通过所述第一通信链路向所述客户端返回所述通信根密钥及所述通信ID;所述客户端通过第二通信链路将所述通信根密钥及通信ID写入所述身份验证器;
获取模块,用于获得用户物理操作产生的输入信息;
交互模块,分别与所述初始化模块以及所述获取模块相连,用于利用所述通信根密钥及所述通信ID与所述服务器端之间创建虚链路,并基于该虚链路与所述服务器端之间依据所述输入信息进行验证交互。
本发明实施例的有益效果是:
通过提供一种身份验证方法、系统及身份验证器,其主要利用服务器端与身份验证器之间预先配置的通信根密钥及通信ID,在服务器端与身份验证器之间创建虚链路,并基于该虚链路,在服务器端与身份验证器之间对用户通过身份验证器输入的输入信息进行验证交互,服务器端依据该验证交互结果进行身份验证器的授权判定,本发明可在身份验证过程中加入用户对身份验证器输入信息的实际物理操作处理,避开了用户操作客户端的不可信因素,消除了客户端受病毒、黑客或恶意程序控制的安全隐患,进而大大提高了身份验证的安全性能,保证了网络应用安全可靠运行。
下面结合附图对本发明实施例作进一步的详细描述。
附图说明
图1是本发明的身份验证方法的第一实施例的流程图。
图2是本发明的身份验证方法的第二实施例的流程图。
图3是本发明的身份验证方法的第三实施例的流程图。
图4是本发明的身份验证方法的第四实施例的流程图。
图5是本发明的身份验证方法的第五实施例的流程图。
图6是本发明的身份验证方法的第六实施例的流程图。
图7是本发明的身份验证方法的第七实施例的流程图。
图8是本发明实施例的身份验证系统的的结构图。
图9是本发明实施例的身份验证器的结构图。
具体实施方式
本发明实施例提供了一种身份验证方法以及其对应的身份验证系统和身份验证器,身份验证方法基于对应的包含依次相连的服务器端、客户端及身份验证器的身份验证系统,其主要通过服务器端与客户端之间的第一通信链路以及客户端与身份验证器之间的第二通信链路,利用服务器端与身份验证器之间预先配置的通信根密钥及通信ID,在服务器端与身份验证器之间创建虚链路,并基于该虚链路,在服务器端与身份验证器之间依据用户对身份验证器物理操作产生的输入信息进行验证交互,服务器端依据该验证交互结果进行身份验证器的授权判定,通过上述用户身份验证流程,当用户身份验证成功,即可针对用户身份及业务种类进行身份验证器的授权,之后,即可接受客户端根据用户身份信息及业务种类信息进行一次或多次业务操作。其中,输入信息可以是随机串输入信息、单键确认信息、密码输入信息、指纹输入信息或序列号输入信息等,这样,可在身份验证过程中加入用户对其身份验证器输入信息的实际物理操作处理,避开了用户操作客户端的不可信因素,消除了客户端受病毒、黑客或恶意程序控制的安全隐患,进而大大提高了身份验证的安全性能,保证了网络应用安全可靠运行。
下面通过几个具体实施例对本发明的身份验证方法进行说明。
图1是本发明的身份验证方法的第一实施例的流程图,该方法基于包括有服务器端、客户端以及身份验证器的身份验证系统,其中,服务器端与客户端通过有线方式的第一通信链路相连,而身份验证器与客户端之间通过USB方式的第二通信链路连接,具体地,该客户端中可设置有客户端程序及屏幕,例如,客户端可以是设置有应用客户端程序的银行柜台或设置有网银客户端程序的用户主机,而服务器端中也设置有服务器端程序,身份验证器中也同时配置有计算单元程序及键盘(键盘大小可根据实际情况选择制定,可采用微型键盘等,键盘上的按键设置可以为多键或单键,多键可输入随机串、序列号、多键密码等,单键可以进行单键确认等),身份验证器通过USB方式连接到客户端时,其计算单元程序可通过客户端上的专用设备驱动程序与客户端程序通信,参照该图,该方法主要包括:
101,客户端中的客户端程序通过第一通信链路向服务器端中的服务器端程序发送对身份验证器进行初始化的请求,该请求中可携带用户身份信息、业务种类信息等,而身份信息可以是用户身份证号,业务种类信息可以银行账号等用户信息;
102,服务器端程序根据客户端传来的请求,生成用于初始化身份验证器的通信根密钥及通信ID,并建立包含该通信根密钥和通信ID的对应关系,具体地,服务器端程序获取请求后,随机产生一个通信根密钥及一个唯一的通信ID,而上述对应关系可以是开放的关系列表,其不仅可包括通信根密钥及通信ID,还可以包括其他相关联的对象,如上述请求中的用户身份信息、业务种类信息等,这样,通信根密钥及通信ID即可当做用户身份信息、业务种类信息的唯一识别信息,在身份验证后,即可接受客户端根据用户身份信息及业务种类信息进行一次或多次业务操作;
103,服务器端程序通过第一通信链路向客户端程序返回其生成的通信根密钥以及通信ID;
104,客户端程序通过第二通信链路将通信根密钥及通信ID写入身份验证器中的计算单元程序;
通过上述101-104的步骤则完成了服务器端对身份验证器的初始化,即在服务器端与身份验证器之间同时配置了相应的通信根密钥及通信ID,为进行后续虚链路的创建提供了条件,当然,作为一种实施方式,在服务器端与身份验证器之间预先配置通信根密钥及通信ID除了采用上述初始化的方法,也可以不利用服务器端、客户端与身份验证器三者之间的通信方式进行配置,而采用静态配置方式直接在服务器及身份验证器中配置相同的通信根密钥及通信ID;
另外,为了保障服务器端与身份验证器端之间共同配置的通信根密钥及通信ID的保密安全,可增加对通信根密钥及通信ID进行更新的步骤,其可在服务器端程序与身份验证器的计算单元程序之间通过定期更新(如采用新的通信根密钥及通信ID分别对服务器端与身份验证器进行静态配置)的方式或重新初始化的方式来进行,更新后的通信根密钥及通信ID需重新写入对应关系中;
105,客户端程序通过第一通信链路及第二通信链路在身份验证器与服务器之间转发包含通信ID的通信内容,具体地,身份验证器的计算单元程序一方发送的部分通信内容中必须包含通信ID,这样,服务器端程序才能在第一时间从该部分通信内容中获得通信ID,这样,保证了通信ID作为身份验证器对服务器第一次请求的识别参数;
106,服务器端程序根据获得的通信ID查找对应关系,得到与该通信ID对应的通信根密钥,当然,还可以得到对应关系中的其他信息,如用户身份信息和业务种类信息等;
107,服务器端程序与计算单元程序之间利用查找得到的通信根密钥,以客户端作为中转,通过第一通信链路及第二通信链路进行协商通信,得到用于在服务器端与身份验证器之间创建虚链路的临时通信密钥,具体地,协商通信为加密通信,密钥即上述通信根密钥,而加密算法可以是公开的加密算法或其他未公开的加密算法,这样,保证了通信根密钥作为协商虚链路的唯一参数;
通过上述105-107的步骤则完成了在服务器端与身份验证器之间的虚链路的创建,服务器端与身份验证器之间即可利用协商得到的临时通信密钥进行加密通信,用该临时通信密钥加密的通信链路即上述虚链路,加密算法依然可以是公开的加密算法或其他未公开的加密算法,当然,如果107的协商失败,则虚链路创建失败;
108,服务器端程序预先产生并存储有一随机串,即预置有随机串,当然该随机串必须是身份验证器上的键盘能够表达的;
109,服务器端程序通过第一通信链路将预置的随机串发送到客户端程序;
110,客户端程序触发客户端的屏幕对随机串进行显示以提示用户通过身份验证器的键盘输入该随机串;
111,身份验证器获得随机串输入信息,具体地,用户从客户端的屏幕上肉眼看到上述随机串后,通过身份验证器的键盘输入该随机串,产生随机串输入信息;
112,计算单元程序通过虚链路将随机串输入信息反馈到服务器端程序;
113,服务器端程序通过验证随机串输入信息及随机串匹配后,即认为用户身份验证成功,进行身份验证器的授权,反之,若服务器端程序通过验证随机串输入信息及随机串不相匹配后,不对身份验证器进行授权,或者,服务器端程序在接收随机串输入信息超时后,也不对身份验证器进行授权。
通过上述101-113的用户身份验证流程,当用户身份验证成功,即可针对用户身份及业务种类进行身份验证器的授权,之后,即可接受客户端根据用户身份信息及业务种类信息进行一次或多次业务操作。
图2是本发明的身份验证方法的第二实施例的流程图,该第二实施例与图1所示的第一实施例区别在于107之后的步骤采用如下流程替代:
208,服务器端程序通过第一通信链路将用于提示用户进行单键确认的第一提示信息发送到客户端程序;
209,客户端程序触发客户端的屏幕对第一提示信息进行显示;
210,身份验证器获得单键确认信息,具体地,用户从客户端的屏幕上肉眼看到上述第一提示信息后,通过身份验证器的键盘进行单键确认,产生单键确认信息;
211,计算单元程序依据单键确认信息将验证通过信息通过虚链路反馈到服务器端程序;
212,服务器端程序根据验证通过信息则认为用户身份认证成功,对身份验证器进行授权。
通过上述101-212的用户身份验证流程,当用户身份验证成功,即可针对用户身份及业务种类进行身份验证器的授权,之后,即可接受客户端根据用户身份信息及业务种类信息进行一次或多次业务操作。
图3是本发明的身份验证方法的第三实施例的流程图,该第三实施例与图1所示的第一实施例区别在于107之后的步骤采用如下流程替代:
308,服务器端程序通过第一通信链路将用于提示用户进行密码验证的第二提示信息发送到客户端程序;
309,客户端程序触发客户端的屏幕对第二提示信息进行显示;
310,身份验证器获得密码输入信息,具体地,用户从客户端的屏幕上肉眼看到上述第二提示信息后,通过身份验证器的键盘输入密码,产生密码输入信息;
311,计算单元程序通过虚链路将密码输入信息反馈到服务器端程序;
312,服务器端程序通过验证密码输入信息及其预置的身份验证密码匹配后,即认为用户身份验证成功,进行身份验证器的授权。
通过上述101-312的用户身份验证流程,当用户身份验证成功,即可针对用户身份及业务种类进行身份验证器的授权,之后,即可接受客户端根据用户身份信息及业务种类信息进行一次或多次业务操作。
图4是本发明的身份验证方法的第四实施例的流程图,该第四实施例与图1所示的第一实施例区别在于107之后的步骤采用如下流程替代,而身份验证器上设置有生物特征识别模块:
408,服务器端程序通过第一通信链路将用于提示用户进行生物特征验证的第三提示信息发送到客户端程序;
409,客户端程序触发客户端的屏幕对第三提示信息进行显示;
410,身份验证器获得生物特征输入信息,具体地,用户从客户端的屏幕上肉眼看到上述第三提示信息后,通过身份验证器的生物特征识别模块进行输入,产生生物特征输入信息;
411,计算单元程序通过虚链路将生物特征输入信息反馈到服务器端程序;
412,服务器端程序通过验证生物特征输入信息及其预置的生物特征信息匹配后,即认为用户身份验证成功,进行身份验证器的授权。
通过上述101-412的用户身份验证流程,当用户身份验证成功,即可针对用户身份及业务种类进行身份验证器的授权,之后,即可接受客户端根据用户身份信息及业务种类信息进行一次或多次业务操作。
图5是本发明的身份验证方法的第五实施例的流程图,该第五实施例与图1所示的第一实施例区别在于107之后的步骤采用如下流程替代,而身份验证器上设置有生物特征识别模块:
508,服务器端程序通过第一通信链路将用于提示用户进行生物特征验证的第三提示信息发送到客户端程序;
509,客户端程序触发客户端的屏幕对第三提示信息进行显示;
510,身份验证器获得生物特征输入信息,具体地,用户从客户端的屏幕上肉眼看到上述第三提示信息后,通过身份验证器的生物特征识别模块进行输入,产生生物特征输入信息;
511,计算单元程序通过验证生物特征输入信息与其预置的生物特征信息匹配后,通过虚链路将验证通过信息反馈到服务器端程序;
512,服务器端程序依据验证通过信息,即认为用户身份验证成功,进行身份验证器的授权。
通过上述101-512的用户身份验证流程,当用户身份验证成功,即可针对用户身份及业务种类进行身份验证器的授权,之后,即可接受客户端根据用户身份信息及业务种类信息进行一次或多次业务操作。
需要说明的是,上述生物特征是任何一种可鉴别用户身份的生物特征,其包括但不仅限于指纹、DNA、虹膜等。
图6是本发明的身份验证方法的第六实施例的流程图,该第六实施例与图1所示的第一实施例区别在于107之后的步骤采用如下流程替代,而身份验证器上设置有微型显示屏:
608,服务器端程序通过第一通信链路将用于提示用户进行序列号验证的第四提示信息发送到客户端程序;
609,客户端程序触发客户端的屏幕对第四提示信息进行显示;
610,计算单元程序根据通信根密钥结合通信根密钥产生的时间距离当前时间的分钟整数生成序列号(即时间因子序列号,下同)并触发身份验证器上的微型显示屏对该序列号进行显示;
611,身份验证器获得序列号输入信息,具体地,用户从客户端的屏幕上肉眼看到上述第四提示信息后,用户通过身份验证器的键盘输入其在微型显示屏上所见之序列号,产生序列号输入信息;
612,计算单元程序通过虚链路将序列号输入信息反馈到服务器端程序;
613,服务器端程序通过验证序列号输入信息及其以与身份验证器同样的方法生成的序列号匹配后,即认为用户身份验证成功,进行身份验证器的授权。
通过上述101-613的用户身份验证流程,当用户身份验证成功,即可针对用户身份及业务种类进行身份验证器的授权,之后,即可接受客户端根据用户身份信息及业务种类信息进行一次或多次业务操作。
图7是本发明的身份验证方法的第七实施例的流程图,该第七实施例与图1所示的第一实施例区别在于107之后的步骤采用如下流程替代,而身份验证器上设置有微型显示屏:
708,服务器端程序通过第一通信链路将用于提示用户进行序列号验证的第四提示信息发送到客户端程序;
709,客户端程序触发客户端的屏幕对第四提示信息进行显示;
710,计算单元程序根据通信根密钥结合通信根密钥产生的时间距离当前时间的分钟整数生成序列号;
711,计算单元程序通过第二通信链路将序列号发送到客户端程序;
712,客户端程序触发客户端的屏幕对该序列号进行显示;
713,身份验证器获得序列号输入信息,具体地,用户从客户端的屏幕上肉眼看到上述第四提示信息后,用户通过身份验证器的键盘输入其在微型显示屏上所见之序列号,产生序列号输入信息;
714,计算单元程序通过虚链路将序列号输入信息反馈到服务器端程序;
715,服务器端程序通过验证序列号输入信息及其以与身份验证器同样的方法生成的序列号匹配后,即认为用户身份验证成功,进行身份验证器的授权。
通过上述101-715的用户身份验证流程,当用户身份验证成功,即可针对用户身份及业务种类进行身份验证器的授权,之后,即可接受客户端根据用户身份信息及业务种类信息进行一次或多次业务操作。
需要说明的是,图1所示的第一实施例安全性及可靠性较高,选作为本发明优选实施例。
相应地,本发明实施例还提供了如图8所示的对应的身份验证系统,其包括设置有服务器端程序的服务器端801、与服务器端801通过第一通信链路802相连且设置有客户端程序的客户端803,以及通过第二通信链路804连接到客户端803且设置有计算单元程序的本发明实施例的身份验证器805,其中:
客户端803,用于通过第一通信链路802以及第二通信链路804,在服务器端801与身份验证器805之间预先配置通信根密钥及通信ID,并利用通信根密钥及通信ID,在服务器端801与身份验证器805之间创建虚链路806;
身份验证器805,用于获得用户物理操作产生的输入信息,并基于虚链路806在其与服务器端801之间依据上述输入信息进行验证交互;
服务器端801,用于依据上述验证交互结果进行授权判定。
其中,第一通信链路802为有线或无线方式的通信链路,第二通信链路804为USB、串口、红外、蓝牙或其他方式的通信链路。
而对应身份验证器805可以包括如图9所示的结构:
初始化模块901,用于协同服务器端801共同配置通信根密钥及通信ID;
获取模块902,用于获得用户物理操作产生的输入信息;
交互模块903,分别与初始化模块901以及获取模块902相连,用于利用通信根密钥及通信ID与服务器端801之间创建虚链路806,并基于该虚链路806与服务器端801之间对上述输入信息进行验证交互。
具体地,获取模块902为键盘,物理操作为用户对键盘上按键的敲击动作,则上述输入信息为随机串输入信息、单键确认信息、密码输入信息或序列号输入信息等,或者,获取模块902为生物特征识别模块,物理操作为用户对生物特征识别模块的按压动作,则上述输入信息为生物特征输入信息,生物特征识别模块可以是指纹识别模块、DNA识别模块、虹膜识别模块等,但不仅限于此。
作为一种实施方式,上述身份验证器805还可以包括一微动开关,其与初始化模901相连,用于控制初始化模块901的开关动作,这样,当微动开关开启时,身份验证器805处于初始化状态,在该状态下,与之相连的客户端803上的客户端程序可以将通信根密钥及通信ID等信息通过身份验证器805的计算单元程序写入该身份验证器805中;当微动开关关闭时,身份验证器805处于非初始化状态,在该状态下,计算单元程序拒绝写入客户端程序发来的更新信息但不拒绝写入虚链路发来的更新信息。
当然,各个设备进行处理时,其上的软件可对其工作处理进行统筹,例如,客户端程序可对客户端上的工作处理进行统筹等。
另外,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上所述是本发明的具体实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。
Claims (9)
1.一种身份验证方法,该方法基于一种身份验证系统,其特征在于,所述身份验证系统包括服务器端、与所述服务器端通过第一通信链路相连的客户端,以及通过第二通信链路连接到所述客户端的身份验证器,所述方法包括:
通过所述第一通信链路以及所述第二通信链路,利用在所述服务器端与所述身份验证器之间预先配置的通信根密钥及通信ID,在所述服务器端与所述身份验证器之间创建虚链路;
基于所述虚链路,在所述服务器端与所述身份验证器之间依据用户对所述身份验证器物理操作产生的输入信息进行验证交互,所述服务器端依据该验证交互结果进行所述身份验证器的授权判定,
其中,在所述服务器端与所述身份验证器之间预先配置所述通信根密钥及通信ID具体包括:所述客户端通过所述第一通信链路向所述服务器端发送对所述身份验证器进行初始化的请求;所述服务器端根据所述请求,生成用于初始化所述身份验证器的通信根密钥及通信ID后,建立包含所述通信根密钥和所述通信ID的对应关系,并通过所述第一通信链路向所述客户端返回所述通信根密钥及所述通信ID;所述客户端通过所述第二通信链路将所述通信根密钥及通信ID写入所述身份验证器。
2.如权利要求1所述的方法,其特征在于,在所述服务器端与所述身份验证器之间创建虚链路具体包括:
所述客户端通过所述第一通信链路及所述第二通信链路在所述身份验证器与所述服务器端之间转发包含所述通信ID的通信内容;
所述服务器端根据所述通信ID查找所述对应关系,得到对应的所述通信根密钥;
所述服务器端与所述身份验证器之间利用所述通信根密钥,通过所述第一通信链路及所述第二通信链路进行协商通信,得到用于创建所述虚链路的临时通信密钥。
3.如权利要求1所述的方法,其特征在于,所述输入信息为随机串输入信息、单键确认信息、密码输入信息、生物特征输入信息或序列号输入信息,
当所述输入信息为随机串输入信息,在所述服务器端与所述身份验证器之间依据用户对所述身份验证器物理操作产生的输入信息进行验证交互具体包括:
所述服务器端通过所述第一通信链路将预置的随机串发送到所述客户端;
所述客户端对所述随机串进行显示以提示用户通过所述身份验证器输入该随机串;
所述身份验证器获得所述随机串输入信息;
所述身份验证器通过所述虚链路将所述随机串输入信息反馈到所述服务器端;
所述服务器端通过验证所述随机串输入信息及所述随机串匹配后,进行所述身份验证器的授权;
当所述输入信息为单键确认信息,在所述服务器端与所述身份验证器之间依据用户对所述身份验证器物理操作产生的输入信息进行验证交互具体包括:
所述服务器端通过所述第一通信链路将用于提示所述用户进行单键确认的第一提示信息发送到所述客户端;
所述客户端对所述第一提示信息进行显示;
所述身份验证器获得所述单键确认信息;
所述身份验证器依据所述单键确认信息将验证通过信息通过所述虚链路反馈到所述服务器端;
所述服务器端依据所述验证通过信息对所述身份验证器进行授权,
当所述输入信息为密码输入信息,在所述服务器端与所述身份验证器之间依据用户对所述身份验证器物理操作产生的输入信息进行验证交互具体包括:
所述服务器端通过所述第一通信链路将用于提示所述用户进行密码验证的第二提示信息发送到所述客户端;
所述客户端对所述第二提示信息进行显示;
所述身份验证器获得所述密码输入信息;
所述身份验证器通过所述虚链路将所述密码输入信息反馈到所述服务器端;
所述服务器端通过验证所述密码输入信息及其预置的身份验证密码匹配后,进行所述身份验证器的授权,
当所述输入信息为生物特征输入信息,在所述服务器端与所述身份验证器之间依据用户对所述身份验证器物理操作产生的输入信息进行验证交互具体可执行下述方案一或方案二,所述方案一包括:
所述服务器端通过所述第一通信链路将用于提示所述用户进行生物特征验证的第三提示信息发送到所述客户端;
所述客户端对所述第三提示信息进行显示;
所述身份验证器获得所述生物特征输入信息;
所述身份验证器通过所述虚链路将所述生物特征输入信息反馈到所述服务器端;
所述服务器端通过验证所述生物特征输入信息及其预置的生物特征信息匹配后,进行所述身份验证器的授权,
所述方案二包括:
所述服务器端通过所述第一通信链路将用于提示用户进行生物特征验证的第三提示信息发送到所述客户端;
所述客户端对所述第三提示信息进行显示;
所述身份验证器获得所述生物特征输入信息;
所述身份验证器通过验证所述生物特征输入信息与其预置的生物特征信息匹配后,通过所述虚链路向所述服务器端反馈验证通过信息;
所述服务器端依据所述验证通过信息进行所述身份验证器的授权,
当所述输入信息为序列号输入信息,在所述服务器端与所述身份验证器之间依据用户对所述身份验证器物理操作产生的输入信息进行验证交互具体可执行下述方案三或方案四,所述方案三包括:
所述服务器端通过所述第一通信链路将用于提示所述用户进行序列号验证的第四提示信息发送到所述客户端;
所述客户端对所述第四提示信息进行显示;
所述身份验证器根据所述通信根密钥结合所述通信根密钥产生的时间距离当前时间的分钟整数生成序列号并对该序列号进行显示;
所述身份验证器获得所述序列号输入信息;
所述身份验证器通过所述虚链路将所述序列号输入信息反馈到所述服务器端;
所述服务器端通过验证所述序列号输入信息及其以与所述身份验证器同样的方法生成的序列号匹配后,进行所述身份验证器的授权,
所述方案四包括:
所述服务器端通过所述第一通信链路将用于提示所述用户进行序列号验证的第四提示信息发送到所述客户端;
所述客户端对所述第四提示信息进行显示;
所述身份验证器根据所述通信根密钥结合所述通信根密钥产生的时间距离当前时间的分钟整数生成序列号;
所述身份验证器通过所述第二通信链路将所述序列号发送到所述客户端;
所述客户端对所述序列号进行显示;
所述身份验证器获得所述序列号输入信息;
所述身份验证器通过所述虚链路将所述序列号输入信息反馈到所述服务器端;
所述服务器端通过验证所述序列号输入信息及其以与所述身份验证器同样的方法生成的序列号匹配后,进行所述身份验证器的授权。
4.如权利要求1或2所述的方法,其特征在于,所述方法还包括:
所述服务器端与所述身份验证器之间定期更新所述通信根密钥及所述通信ID,
或者,所述服务器端与所述身份验证器之间通过重新初始化来更新所述通信根密钥及所述通信ID。
5.一种身份验证系统,其特征在于,包括服务器端、与所述服务器端通过第一通信链路相连的客户端,以及通过第二通信链路连接到所述客户端的身份验证器,其中:
所述客户端,用于通过所述第一通信链路以及所述第二通信链路,在所述服务器端与所述身份验证器之间预先配置通信根密钥及通信ID,并利用所述通信根密钥及所述通信ID,在所述服务器端与所述身份验证器之间创建虚链路,其中,在所述服务器端与所述身份验证器之间预先配置所述通信根密钥及通信ID具体包括:所述客户端通过所述第一通信链路向所述服务器端发送对所述身份验证器进行初始化的请求;所述服务器端根据所述请求,生成用于初始化所述身份验证器的通信根密钥及通信ID后,建立包含所述通信根密钥和所述通信ID的对应关系,并通过所述第一通信链路向所述客户端返回所述通信根密钥及所述通信ID;所述客户端通过所述第二通信链路将所述通信根密钥及通信ID写入所述身份验证器;
所述身份验证器,用于获得用户物理操作产生的输入信息,并基于所述虚链路在其与所述服务器端之间依据所述输入信息进行验证交互;
所述服务器端,用于依据所述验证交互结果进行授权判定。
6.如权利要求5所述的身份验证系统,其特征在于,所述第一通信链路为有线或无线方式的通信链路,所述第二通信链路为USB、串口、红外或蓝牙方式的通信链路。
7.一种身份验证器,其特征在于,包括:
初始化模块,用于协同服务器端共同配置通信根密钥及通信ID,其中,在所述服务器端与所述身份验证器之间预先配置所述通信根密钥及通信ID具体包括:客户端通过第一通信链路向所述服务器端发送对所述身份验证器进行初始化的请求;所述服务器端根据所述请求,生成用于初始化所述身份验证器的通信根密钥及通信ID后,建立包含所述通信根密钥和所述通信ID的对应关系,并通过所述第一通信链路向所述客户端返回所述通信根密钥及所述通信ID;所述客户端通过第二通信链路将所述通信根密钥及通信ID写入所述身份验证器;
获取模块,用于获得用户物理操作产生的输入信息;
交互模块,分别与所述初始化模块以及所述获取模块相连,用于利用所述通信根密钥及所述通信ID与所述服务器端之间创建虚链路,并基于该虚链路与所述服务器端之间依据所述输入信息进行验证交互。
8.如权利要求7所述的身份验证器,其特征在于,所述获取模块为键盘,则所述输入信息为随机串输入信息、单键确认信息、密码输入信息或序列号输入信息,
或者,所述获取模块为生物特征识别模块,则所述输入信息为生物特征输入信息。
9.如权利要求7所述的身份验证器,其特征在于,所述身份验证器还包括:
微动开关,与所述初始化模块相连的,用于控制所述初始化模块的开关动作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010101920633A CN101873316B (zh) | 2010-06-04 | 2010-06-04 | 身份验证方法、系统及身份验证器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010101920633A CN101873316B (zh) | 2010-06-04 | 2010-06-04 | 身份验证方法、系统及身份验证器 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101873316A CN101873316A (zh) | 2010-10-27 |
CN101873316B true CN101873316B (zh) | 2012-09-05 |
Family
ID=42997976
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2010101920633A Expired - Fee Related CN101873316B (zh) | 2010-06-04 | 2010-06-04 | 身份验证方法、系统及身份验证器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101873316B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102123138B (zh) * | 2011-01-04 | 2014-12-10 | 南京邮电大学 | 物联网中基于ons的安全加密方法 |
CN106992979A (zh) * | 2017-03-29 | 2017-07-28 | 昆明飞利泰电子系统工程有限公司 | 视频监控设备的密钥获取方法及系统 |
CN109495267B (zh) * | 2017-09-12 | 2021-06-11 | 北京九州安华信息安全技术有限公司 | 一种身份证安全验证系统 |
CN107896224A (zh) * | 2017-12-04 | 2018-04-10 | 宁波升维信息技术有限公司 | 一种基于双链路安全校验的网络信息发布方法 |
CN113268361A (zh) * | 2021-05-14 | 2021-08-17 | 南方电网数字电网研究院有限公司 | 一种用于共享服务的产品管理系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101389133A (zh) * | 2007-09-14 | 2009-03-18 | 深圳富泰宏精密工业有限公司 | 身份验证系统及方法 |
CN101414913A (zh) * | 2008-12-04 | 2009-04-22 | 北京世纪红山科技有限公司 | 基于虚拟化技术的计算机网络认证系统和方法 |
CN101465735A (zh) * | 2008-12-19 | 2009-06-24 | 北京大学 | 网络用户身份验证方法、服务器及客户端 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040255137A1 (en) * | 2003-01-09 | 2004-12-16 | Shuqian Ying | Defending the name space |
WO2004073269A1 (ja) * | 2003-02-13 | 2004-08-26 | Fujitsu Limited | 伝送システム,配信経路制御装置,負荷情報収集装置および配信経路制御方法 |
TWI379549B (en) * | 2008-06-02 | 2012-12-11 | Asustek Comp Inc | Connecting system in network environment and method thereof |
-
2010
- 2010-06-04 CN CN2010101920633A patent/CN101873316B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101389133A (zh) * | 2007-09-14 | 2009-03-18 | 深圳富泰宏精密工业有限公司 | 身份验证系统及方法 |
CN101414913A (zh) * | 2008-12-04 | 2009-04-22 | 北京世纪红山科技有限公司 | 基于虚拟化技术的计算机网络认证系统和方法 |
CN101465735A (zh) * | 2008-12-19 | 2009-06-24 | 北京大学 | 网络用户身份验证方法、服务器及客户端 |
Also Published As
Publication number | Publication date |
---|---|
CN101873316A (zh) | 2010-10-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107113315B (zh) | 一种身份认证方法、终端及服务器 | |
US10771968B2 (en) | Photonic authentication system for a receiver terminal and transmitter terminal | |
EP2936369B1 (en) | Verification of password using a keyboard with a secure password entry mode | |
CN112214745B (zh) | 经认证的外部生物特征读取器和验证设备 | |
CN100533459C (zh) | 数据安全读取方法及其安全存储装置 | |
CN101102194B (zh) | 一种otp设备及利用该设备进行身份认证的方法 | |
CN105847247A (zh) | 一种认证系统及其工作方法 | |
KR20210091155A (ko) | 바이오크립트 디지털 지갑 | |
US20190174304A1 (en) | Universal Authentication and Data Exchange Method, System and Service | |
CN104167029A (zh) | 一种智能锁具及其操作方法 | |
CN101873316B (zh) | 身份验证方法、系统及身份验证器 | |
CN1921395B (zh) | 提高网络软件安全性的方法 | |
CN101488111A (zh) | 一种身份认证方法和系统 | |
US20180212765A1 (en) | Confidential information setting method, confidential information setting system, and confidential information setting apparatus | |
CN109462572B (zh) | 基于加密卡和UsbKey的多因子认证方法、系统、存储介质及安全网关 | |
CN101944216A (zh) | 双因子在线交易安全认证方法及系统 | |
CN105247833A (zh) | 自认证设备与方法 | |
JP2023527862A (ja) | ハードウェアベースの認証を用いた産業用制御システムへの安全なリモートアクセス | |
CN113591057A (zh) | 生物特征离线身份识别方法及系统 | |
CN104835038A (zh) | 一种联网支付装置及方法 | |
CN101123509B (zh) | 信息交互系统和方法 | |
CN106375444A (zh) | 一种数据处理方法以及云平台服务器 | |
US20120089830A1 (en) | Method and device for digitally attesting the authenticity of binding interactions | |
CN105072136B (zh) | 一种基于虚拟驱动的设备间安全认证方法和系统 | |
CN110867002A (zh) | 一种开门方式设置方法、智能锁及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120905 Termination date: 20190604 |
|
CF01 | Termination of patent right due to non-payment of annual fee |