CN102035654A - 身份认证方法、设备、服务器及基于身份认证的加密方法 - Google Patents
身份认证方法、设备、服务器及基于身份认证的加密方法 Download PDFInfo
- Publication number
- CN102035654A CN102035654A CN 201010613024 CN201010613024A CN102035654A CN 102035654 A CN102035654 A CN 102035654A CN 201010613024 CN201010613024 CN 201010613024 CN 201010613024 A CN201010613024 A CN 201010613024A CN 102035654 A CN102035654 A CN 102035654A
- Authority
- CN
- China
- Prior art keywords
- hand
- handwritten signature
- data
- written handwritten
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明提供了身份认证方法、设备、服务器及基于身份认证的加密方法,以解决身份认证的防伪和抗抵赖问题。本发明将手写签字与数字签名相结合,通过身份认证设备(如USBKey)获取用户的手写签字笔迹,将手写签字笔迹与交易数据相结合后进行数字签名,再将签名数据和加密的手写签字笔迹一同发送给验证方(如网银后台系统)。验证方通过验证所述签名数据,可以确保所述手写签字笔迹和保密数据在传输过程中没有被篡改,同时验证方还对手写签字笔迹进行真伪验证,从而保证该手写签字笔迹确为用户所签。
Description
技术领域
本发明涉及认证技术,特别是涉及一种基于身份认证的加密方法、一种身份认证方法、一种身份认证设备及一种身份认证服务器。
背景技术
基于身份认证设备的身份认证方式是一种方便、安全的身份认证技术。下面以USBKey为例,USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USBKey内置的公钥算法实现对用户身份的认证。USBKey作为一种终端认证产品,已经被广泛应用于网银、电子政务等领域。
近些年来,随着网银市场的蓬勃发展,出现了具有更高安全性的带有按键显示功能或按键语音功能的身份认证产品,仍以按键显示USBKey产品与按键语音USBKey产品为例。按键语音USBKey产品与按键显示USBKey产品类似,以带有按键显示功能的USBKey为例,这类产品在传统的USBKey上通过增加物理按键和屏幕显示来使用户参与到整个网上交易过程中。USBKey上的屏幕用于显示网银的账户、密码等交易数据,用户通过屏幕显示可以确认交易数据是否正确,当用户确认交易数据无误时,可以按下USBKey上的“确认键”继续交易,否则按“取消键”取消当前交易。若继续交易,USBKey使用存储的私钥对交易数据进行签名,签名后将数据返回给网银后台系统进行认证。此外,如果一屏不能显示所有交易信息,用户还可以通过“翻页键”来查看交易信息。如果有数字按键还可以输入USBKey的PIN码,使产品的安全性更高。
上述类型的身份认证设备可以确认关键交易数据的真实性,但是当用户的身份认证设备被其他人盗取,而且盗取者同时窃取了用户的操作口令(即密码),这样盗取者就完全获得了合法用户的所有权限,就可以在用户挂失前进行转账等交易操作,从而给用户带来经济损失。而且,上述身份认证设备在抗抵赖方面也存在问题,这是因为具有身份认证设备的用户在使用身份认证设备进行某项交易后若不承认而借口该身份认证设备被他人盗取使用,这样也没有直接的证据可以完全证明此交易为该用户亲手完成。
因此,目前需要解决的技术问题是:如何在基于身份认证设备的身份认证过程中进行防伪和抗抵赖。
发明内容
本发明提供一种基于身份认证的加密方法、一种身份认证方法、一种身份认证设备及一种身份认证服务器,以解决身份认证的防伪和抗抵赖问题。
为了解决上述问题,本发明公开了一种基于身份认证的加密方法,包括:
接收保密数据和手写签字笔迹;
对所述保密数据和手写签字笔迹进行计算,得到第一计算值;
利用私钥对所述第一计算值进行数字签名,得到签名数据;
将所述签名数据和手写签字笔迹发送。
优选的,将所述签名数据和手写签字笔迹发送之前,还包括:对所述手写签字笔迹进行加密,得到加密的手写签字笔迹;则将所述签名数据和手写签字笔迹发送为:将所述签名数据和加密的手写签字笔迹发送。
优选的,对所述手写签字笔迹进行加密,包括:使用所述第一计算值作为密钥对手写签字笔迹进行对称加密。
本发明还提供了一种身份认证方法,包括:
接收签名数据和手写签字笔迹,所述签名数据是根据保密数据和手写签字笔迹得到;
验证所述签名数据,并验证所述手写签字笔迹是否为用户真实笔迹;
如果签名数据和手写签字笔迹的验证都通过,则身份认证通过。
优选的,验证所述签名数据,包括:使用公钥对所述签名数据进行解密,得到第一计算值;将原始保密数据与所述手写签字笔迹进行计算得到第二计算值,将第二计算值与解密得到的第一计算值进行比较,如果二者相同,则签名数据的验证通过。
优选的,所述接收的手写签字笔迹为加密的手写签字笔迹;则对所述加密的手写签字笔迹进行解密后,再进行签名数据和手写签字笔迹的验证。
本发明还提供了一种身份认证设备,包括:
通讯接口,用于接收保密数据,并发送到主控制器;
触摸屏,用于采集手写签字笔迹的模拟数据,并发送到模/数转换器;
模/数转换器,用于将手写签字笔迹的模拟数据转换为数字数据,并发送到触摸屏控制器;
触摸屏控制器,用于对手写签字笔迹的数字数据进行分析计算,得出以一系列坐标值表示的手写签字笔迹,并发送到主控制器;
主控制器,用于对保密数据和手写签字笔迹进行数字签名,得到签名数据;然后将所述签名数据和手写签字笔迹通过通讯接口发送。
优选的,所述主控制器通过对保密数据和手写签字笔迹进行计算,得到第一计算值;然后利用私钥对所述第一计算值进行数字签名,得到签名数据。
优选的,所述主控制器还用于使用第一计算值作为密钥对手写签字笔迹进行对称加密,得到加密的手写签字笔迹,然后将所述签名数据和加密的手写签字笔迹通过通讯接口发送。
优选的,所述身份认证设备还包括:显示屏控制器,用于控制触摸屏显示保密数据。
优选的,所述触摸屏,还用于在主控制器的控制下使用屏幕显示按键,采集触摸点击的模拟数据并发送到模/数转换器;所述模/数转换器,还用于将触摸点击的模拟数据转换为数字数据,并发送到触摸屏控制器;所述触摸屏控制器,还用于对触摸点击的数字数据进行分析计算,得出触摸点击位置的坐标值,并发送到主控制器;所述主控制器,还用于将触摸点击位置的坐标值与屏幕显示的按键坐标进行比较,并根据比较结果判断按键事件。
本发明还提供了一种身份认证服务器,包括:
数据接收模块,用于接收签名数据和手写签字笔迹,所述签名数据是根据保密数据和手写签字笔迹得到;
签名验证模块,用于验证所述签名数据;
笔迹验证模块,用于验证所述手写签字笔迹是否为用户真实笔迹;
验证处理模块,用于当签名数据和手写签字笔迹的验证都通过时,身份认证通过。
优选的,所述签名验证模块使用公钥对所述签名数据进行解密,得到第一计算值;然后将原始保密数据与手写签字笔迹进行计算得到第二计算值,将第二计算值与解密得到的第一计算值进行比较,如果二者相同,则签名数据的验证通过。
优选的,所述数据接收模块接收的手写签字笔迹为加密的手写签字笔迹;则所述身份认证服务器还包括:笔迹解密模块,用于对所述加密的手写签字笔迹进行解密,得到解密后的手写签字笔迹,并触发所述签名验证模块和笔迹验证模块。
与现有技术相比,本发明具有以下优点:
本发明将手写签字与PKI(Public Key Infrastructure,公钥基础设施)签名相结合,通过身份认证设备(如USBKey)获取用户的手写签字笔迹,将手写签字笔迹与交易数据相结合后进行PKI签名,再将签名数据和加密的手写签字笔迹一同发送给验证方(如网银后台系统)。验证方通过验证所述签名数据,可以确保所述手写签字笔迹和保密数据在传输过程中没有被篡改,同时验证方还对手写签字笔迹进行真伪验证,从而保证该手写签字笔迹确为用户所签。
这样,即使用户的身份认证设备被盗取,而且密码也被盗取,对用户仍然不会造成损失,因为盗取者无法盗取到用户的真实手写签字笔迹,因此如果盗取者在盗取的身份认证设备中输入自己的手写签字,虽然验证方有可能通过签名验证,但无法通过手写签字笔迹的验证。因此,本发明加入了手写签字后,就能确保用户的所有交易都是本人亲自完成的,即本发明可以解决身份认证过程中的防伪问题。
而且,本发明在身份认证过程中还具有抗抵赖性。因为即使用户在使用身份认证设备进行某项交易后不承认而借口该身份认证设备被他人盗取使用,由于盗取者无法盗取到用户的真实手写签字笔迹,盗取者就无法通过手写签字笔迹的验证,该交易就不可能成功完成,因此该用户的借口不成立,就无法进行抵赖。
附图说明
图1A是本发明实施例一所述一种基于身份认证的加密方法流程图之一;
图1B是本发明实施例一所述一种基于USBKey的身份认证方法流程图之二;
图2是本发明实施例二所述一种基于USBKey的交易流程图;
图3是本发明实施例二所述一种基于USBKey的交易验证流程图;
图4是本发明实施例三所述一种支持手写笔迹签名的身份认证设备的结构图;
图5是本发明实施例四所述一种身份认证服务器的结构图;
图6是本发明实施例五所述一种身份认证系统的结构图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
本发明提出一种将手写签字与PKI签名相结合的身份认证方法,先通过支持手写签字的身份认证设备获取用户的手写签字笔迹,然后将手写签字笔迹与各种需要保密传输的数据(简称保密数据)相结合并进行PKI签名后,发给验证方进行用户的身份验证。本发明可以应用在银行、电子商务以及电子文件签署等领域。其中,所述身份认证设备可以是USBKey或其他类型具有相同功能的设备。
下面通过实施例以USBKey为例进行详细说明。
实施例一:
本实施例中,整个用户身份认证过程包括两部分:USBKey进行的加密流程和验证方进行的认证流程,分别通过图1A和图1B所示流程进行说明。
参照图1A,是本发明实施例一所述一种基于身份认证的加密方法流程图之一。
作为身份认证设备的USBKey执行以下步骤:
步骤111,接收保密数据和手写签字笔迹;
其中,所述保密数据是指交易数据、电子商务数据或电子文件等在USBKey和验证方之间传输的数据,所述验证方是指网银的后台程序等各领域需要对用户身份进行认证的一方。
所述USBKey是指支持手写签字的USBKey,USBKey接收保密数据后,采集用户输入的手写签字笔迹。
步骤112,对所述保密数据和手写签字笔迹进行计算,得到第一计算值;
USBKey获取用户的手写签字笔迹后,将手写签字笔迹与保密数据相结合并进行PKI(Public Key Infrastructure,公钥基础设施)签名,生成签名数据。
生成签名数据的第一步是进行压缩计算,即将保密数据和手写签字笔迹压缩成较短的字符串,得到第一计算值。所述压缩计算可以是哈希计算,也可以是MD(Message-Digest Algorithm,信息-摘要)或SHA(Secure HashAlgorithm,安全散列)计算,如MD5算法、MD4算法、MD3算法等,这些算法都是散列算法,可以将任意长度的字符串进行压缩。
步骤113,利用私钥对所述第一计算值进行数字签名,得到签名数据;
生成签名数据的第二步是对第一计算值进行数字签名,即利用USBKey内的私钥对所述第一计算值进行数字签名。
当然,根据本领域技术人员所知的技术,也可以采用其他方法将手写签字笔迹与保密数据相结合并进行签名得到签名数据,本实施例在此不做限定。
步骤114,将所述签名数据和手写签字笔迹发送。
由于用户的签字笔迹每次都不完全一样,所以要验证签名数据的正确性,USBKey还要将手写签字笔迹发给验证方。
优选的,为了保证手写签字笔迹传输的安全性与准确性,USBKey还可以对所述手写签字笔迹进行加密,然后将加密的手写签字笔迹连同签名数据一起发给验证方。USBKey对手写签字笔迹进行加密可以采用多种加密方法。但由于签字笔迹数据在几K到十几K之间,如果直接使用RSA算法(RSA公钥加密算法是由Ron Rivest、Adi Shamirh和LenAdleman开发的,RSA取名来自这三个开发者的名字)加密速度太慢,因此本实施例优选采用对称加密算法以提高速度。具体的,本实施例使用3DES对手写签字笔迹进行对称加密,加密的密钥可以使用前面计算出来的第一计算值,因为该第一计算值使用私钥签名后送出,不会被泄露。
其中,DES亦称为数位加密标准,是在数据传输中或是发送方与接收方都必须相互了解并知道一个相同的密码,用来加密与和解密以及产生和验证授权密码。3DES是由DES演变而来,应用168位的密钥并提供较DES更安全的数据传输。
参照图1B,是本发明实施例一所述一种基于USBKey的身份认证方法流程图之二。
验证方执行以下步骤:
步骤121,接收经USBKey签名的签名数据以及手写签字笔迹,所述签名数据是根据保密数据和手写签字笔迹得到;
优选的,所述接收的手写签字笔迹可以是加密后的手写签字笔迹,加密的目的是保证手写签字笔迹传输的安全性与准确性。
本实施例中,所述签名数据通过保密数据和手写签字笔迹得到,可以由以下方式实现:USBKey先对保密数据和手写签字笔迹进行哈希等压缩计算,得到第一计算值;然后利用存在USBKey内的私钥对所述第一计算值进行PKI数字签名,从而得到所述签名数据。
步骤122,对所述加密的手写签字笔迹进行解密,得到解密后的手写签字笔迹;
该步骤为优选步骤,验证方的解密方法与USBKey采用的加密方法相关,如果USBKey采用3DES对手写签字笔迹进行对称加密,则验证方首先使用PKI公钥对所述签名数据进行解密,得到第一计算值,然后将所述第一计算值作为解密的密钥对加密的手写签字笔迹进行3DES解密。
步骤123,验证所述签名数据;
如果验证通过,则继续步骤125;如果验证不通过,则用户身份认证不通过。
签名验证的目的是可以检验数据传输过程中是否被篡改,本实施例中,由于签名数据是通过保密数据和手写签字笔迹得到,因此所述签名验证可以检验出保密数据或手写签字笔迹在USBKey传给验证方的过程中是否被篡改。
验证方验证签名数据的方法也与USBKey采用的签名方法相关,如果USBKey采用将手写签字笔迹与保密数据相结合并进行PKI签名的方法,则验证方可采用的相应签名验证方法是:先利用PKI公钥对签名数据进行解密,得到第一计算值;然后将原始保密数据与解密后的手写签字笔迹进行哈希计算得到第二计算值,并将第二计算值与解密得到的第一计算值进行比较,如果二者相同,则签名验证通过;如果二者不相同,则签名验证不通过,结束身份认证流程。由于步骤122中已对签名数据进行解密得到了第一计算值,因此本步骤可以直接利用第一计算值进行后续的验证处理。
在上述签名验证过程中,如果保密数据或手写签字笔迹在USBKey传给验证方的过程中被篡改,则验证方接收到的签名数据已被篡改,进而使用PKI公钥对签名数据进行解密得到的第一计算值也已改变,这样就会得到第一计算值与第二计算值不同的比较结果,验证方就可以知道签名数据已被篡。
步骤124,验证所述解密后的手写签字笔迹是否为用户真实笔迹;
如果是,则继续步骤125;如果否,则用户身份认证不通过。
本实施例还需验证手写签字笔迹的原因是:步骤123所述的签名验证只能验证数据传输过程的安全性,而不能验证手写签字笔迹的真伪,如果用户USBKey被盗取,而且密码也被盗取,盗取者虽然无法盗取到USBKey用户的真实手写签字笔迹,但盗取者使用自己的手写签名,在保证传输安全的情况下仍可以通过签名认证,因为验证方会使用接收到的盗取者手写签字笔迹与原始保密数据计算第二计算值,该第二计算值与同样使用盗取者手写签字笔迹计算得到的第一计算值相同。因此,在这种情况下,如果不验证签字笔迹是否为原USBKey用户所写,还是无法发现盗取者。基于以上原因,本实施例继续进行了签字笔迹的验证。
在不同应用领域,可以采用不同的笔迹验证方法,本实施例提供以下两种笔迹验证方法:
1)在基于USBKey的网银交易中,可以在验证方(即网银后台系统)预先存储USBKey用户的笔迹模板,进行笔迹验证时将所述解密后的手写签字笔迹与预存储的用户笔迹模板进行比较,如果二者相同,则所述解密后的手写签字笔迹为用户真实笔迹;如果二者不同,则所述解密后的手写签字笔迹不是用户真实笔迹。
虽然用户的签字笔迹每次都不完全一样,但一个人的签字风格应该是一致的,因此与用户笔迹模板比较时可以存在一定的误差范围。
2)本发明实施例还可以应用于特定人(例如政府或公司的领导)对数字文件的签署。例如,某公司领导使用USBKey手写签署了一份数字文件,USBKey对手写签字笔迹和数字文件进行签名,将签名数据和加密的手写签字笔迹发送。由于使用USBKey签署后,文件不仅携带计算机可以识别的数字防伪签名数据,而且还携带了领导的亲自签字笔迹,验证方虽然没有该领导的笔迹模板,但熟悉该领导的笔迹风格,因此可以将解密后的手写签字笔迹通过显示屏显示或者打印出来,由人工判断所述手写签字笔迹的真伪。
需要说明的是,上述步骤123和步骤124没有必然的先后顺序,可以按照上述实施例所述先执行步骤123后执行步骤124,也可以先执行步骤124哉执行步骤123,或者同时执行这两个步骤。总之,当签名数据和手写签字笔迹的验证都通过时,身份认证才通过。
步骤125,对签名验证和手写签字笔迹验证的结果进行综合处理,如果签名数据和手写签字笔迹的验证都通过,则身份认证通过。
综上所述,应用本发明实施例所述的身份验证方法,在网银交易过程中,即使用户的USBKey被盗取,而且密码也被盗取,对用户仍然不会造成损失,因为盗取者无法盗取到USBKey用户的真实手写签字笔迹,因此如果盗取者在盗取的USBKey中输入自己的手写签字,虽然验证方有可能通过签名验证,但无法通过手写签字笔迹的验证。因此,本发明实施例加入了手写签字后,就能确保用户的所有交易都是本人亲自完成的,即本发明可以解决身份认证过程中的防伪问题。
而且,本发明在身份认证过程中还具有抗抵赖性。因为即使USBKey用户在使用USBKey进行某项交易后不承认而借口该USBKey被他人盗取使用,由于盗取者无法盗取到USBKey用户的真实手写签字笔迹,盗取者就无法通过手写签字笔迹的验证,该交易就不可能成功完成,因此该USBKey用户的借口根本不成立,就无法进行抵赖。此外,本发明实施例所述方法同样适用于电子商务以及电子文件签署等领域。
实施例二:
基于上述实施例一的内容,下面将以网银交易为例,通过图2和图3所示流程进行更详细的说明。
参照图2,是本发明实施例二所述一种基于USBKey的交易流程图。
步骤201,初始化USBKey,进入到相应的应用目录,通过用户密码验证后获得可进行交易操作的权限;
即用户进行网银交易时,使用USBKey输入用户密码,网银后台验证用户密码通过后,该用户可获得交易权限。
步骤202,网银后台发送交易数据到USBKey;
所述交易数据包括银行名称、用户名、交易账号、交易密码等数据。
步骤203,USBKey解析交易数据,并提取关键的信息进行显示,然后等待用户点击USBKey的按键;
USBKey会将交易账号、交易密码等关键信息提取并显示,而并不是显示所有的交易数据。
步骤204,用户查看USBKey显示的信息并确认是否正确,如果确认无误则点击“确认键”继续交易,否则点击“取消键”取消当前交易;
步骤205,若继续交易,USBKey提示用户进行手写签字,并等待获取用户的手写签字笔迹;
步骤206,用户使用USBKey进行手写签字;
步骤207,USBKey使用交易数据与获取到的手写签字笔迹一起进行哈希计算,并对哈希值使用存在USBKey内的私钥进行签名;同时,还使用所述哈希值对手写签字笔迹进行3DES对称加密;
步骤208,USBKey将签名数据和加密的手写签字笔迹打包后发给网银后台;
步骤209,网银后台进行交易验证,并向USBKey返回验证通过或不通过的信息,交易结束。
其中,步骤209所述网银后台进行的交易验证过程可参见图3所示。
参照图3,是本发明实施例二所述一种基于USBKey的交易验证流程图。
步骤301,网银后台对打包的数据进行拆包,拆包后得到签名数据和加密的手写签字笔迹;
步骤302,使用公钥对所述签名数据进行解密,得到哈希值;
步骤303,使用所述哈希值对加密的手写签字笔迹进行3DES解密;
步骤304,将原始交易数据与解密后的手写签字笔迹进行哈希计算得到哈希值,并与解密得到的哈希值进行比较;
如果二者相同,则继续步骤305;如果不同,验证失败。
步骤305,将所述解密后的手写签字笔迹与预存储的用户笔迹模板进行比较,如果相同,则验证成功;如果不同,则验证失败。
实施例三:
本实施例提供了一种应用于上述实施例一和实施例二的身份认证设备,该身份认证设备支持手写笔迹签名,具体结构如图4所示。
参照图4,是本发明实施例三所述一种支持手写笔迹签名的身份认证设备的结构图。所述身份认证设备可以是USBKey或其他具有相同功能的设备。
所述身份认证设备包括通讯接口41、触摸屏42、模/数转换器43、触摸屏控制器44和主控制器45,其中:
通讯接口41,用于接收保密数据,并发送到主控制器45;所述保密数据是指交易数据、电子商务数据或电子文件等数据;所述通讯接口41可以是USB接口,也可以是蓝牙或SD等接口。
触摸屏42,用于采集手写签字笔迹的模拟数据,并发送到模/数转换器43;所述触摸屏可采用电阻式或电容式等类型的触摸屏,由于触摸屏的输出是电压值,所以需要模/数转换器将电压值转换成数字信号;
模/数转换器43,用于将手写签字笔迹的模拟数据转换为数字数据,并发送到触摸屏控制器44;
触摸屏控制器44,用于对手写签字笔迹的数字数据进行分析计算,得出以一系列坐标值表示的手写签字笔迹,并发送到主控制器45;例如,当用户开始签字时,触摸屏控制器44每过2ms给主控制器45发送一个当前用户触摸位置的坐标,这一系列坐标就是用户此次的签字笔迹,主控制器45将这一系列的点坐标储存起来;
主控制器45,用于对保密数据和手写签字笔迹进行数字签名,得到签名数据;然后将所述签名数据和手写签字笔迹通过通讯接口41发送出去。
上述主控制器45可采用MCU(Micro Control Unit,微控制单元)芯片控制器,通过对保密数据和手写签字笔迹进行哈希等压缩计算,得到第一计算值;然后利用私钥对所述第一计算值进行数字签名,得到签名数据。
优选的,为了保证手写签字笔迹传输的安全性与准确性,所述主控制器45还用于使用第一计算值作为密钥对手写签字笔迹进行对称加密,得到加密的手写签字笔迹,然后将所述签名数据和加密的手写签字笔迹通过通讯接口41发送。
优选的,为了提高加密计算的速度,所述主控制器45优选采用3DES对称加密算法对所述手写签字笔迹进行加密;又因为上述第一计算值使用私钥签名后送出,不会被泄露,所以所述主控制器45使用上述第一计算值作为密钥对手写签字笔迹进行3DES对称加密,得到加密的手写签字笔迹。
此外,由于目前的MCU芯片的外设都比较简单,不能驱动触摸屏显示,所以可以增加一个显示屏控制器,当MCU需要显示信息时,可以将数据发送到显示屏控制器,显示屏控制器再控制触摸屏显示信息给用户。因此,本实施例所述身份认证设备还可以包括:显示屏控制器46,用于控制触摸屏42显示保密数据。所述显示屏控制器46可以是LCD或LED等类型的控制器。
由于所述USBKey采用触摸屏结构,因此可以不需要使用传统的物理按键,而是主控制器可以使用屏幕的某些区域显示按键,用户通过点击触摸屏,触摸屏控制器将用户点击的坐标传给主控制器,主控制器在与显示的按键坐标进行比对,然后将用户的点击事件转换为用户的按键。
基于此,所述触摸屏42还可用于在主控制器的控制下使用屏幕的特定区域显示按键,采集触摸点击的模拟数据并发送到模/数转换器;所述模/数转换器43还用于将触摸点击的模拟数据转换为数字数据,并发送到触摸屏控制器;所述触摸屏控制器44还用于对触摸点击的数字数据进行分析计算,得出触摸点击位置的坐标值,并发送到主控制器;所述主控制器45还用于将触摸点击位置的坐标值与屏幕显示的按键坐标进行比较,并根据比较结果判断按键事件。其中,所述按键事件如“确认”、“取消”等。
需要说明的是,上述触摸屏幕提供了保密数据显示区域、触摸按键显示区域以及手写签字输入区域,这三个区域可以将整个触摸屏幕划分为三个区域显示,也可以在不产生冲突的情况下重叠显示,本发明实施例对此不做限定。
综上所述,主控制器45控制着触摸屏的显示输出和按键触摸输入,以及手写签字输入,这种带触摸屏的USBKey比目前银行等领域普遍使用的USBKey安全性更高。
下面以网银交易为例,说明上述带触摸屏的USBKey在交易中的处理流程,具体如下:
USBKey的通讯接口41从网银后台接收交易数据,并传送给主控制器45,主控制器45再发送给显示屏控制器46,显示屏控制器46控制触摸屏42显示所述交易数据,主控制器45通过显示屏控制器46还控制触摸屏42显示“确认”、“取消”“翻页”等触摸按键,并等待用户确认所述交易数据;如果用户在触摸屏42上点击“确认”,则主控制器45通过显示屏控制器46控制触摸屏42提示用户进行手写签字;当用户开始签字时,主控制器45通过触摸屏控制器44检测到用户点击触摸屏后,每过2ms通过触摸屏42采集一个当前用户触摸位置的坐标,主控制器45将这一系列的坐标点(即签字笔迹)储存起来,直到用户在2s内都没有再点击触摸屏,则表明用户输入结束;主控制器45将交易数据和手写签字笔迹进行数字签名,并对所述手写签字笔迹进行加密,然后将签名数据和加密的手写签字笔迹通过通讯接口41发给网银后台进行用户身份的认证。
实施例四:
基于上述实施例三所述带有触摸屏的身份认证设备,本发明提供了一种基于该身份认证设备的身份认证服务器实施例,可应用于银行后台系统以及电子商务、电子文件签署等系统中,具体如图5所示。
参照图5,是本发明实施例四所述一种身份认证服务器的结构图。
所述身份认证服务器包括数据接收模块51、签名验证模块52、笔迹验证模块53和验证处理模块54,其中:
数据接收模块51,用于接收经USBKey签名的签名数据以及手写签字笔迹,所述签名数据是根据保密数据和手写签字笔迹得到;
签名验证模块52,用于验证所述签名数据;
笔迹验证模块53,用于验证所述解密后的手写签字笔迹是否为用户真实笔迹;
验证处理模块54,用于当签名数据和手写签字笔迹的验证都通过时,身份认证通过。
优选的,如果所述数据接收模块51接收的手写签字笔迹为加密的手写签字笔迹;则所述身份认证服务器还可以包括:笔迹解密模块55,用于对所述加密的手写签字笔迹进行解密,得到解密后的手写签字笔迹,并触发所述签名验证模块52和笔迹验证模块53。
进一步,所述笔迹验证模块53可以将所述解密后的手写签字笔迹与预存储的用户笔迹模板进行比较,如果二者相同,则所述解密后的手写签字笔迹为用户真实笔迹;如果二者不同,则所述解密后的手写签字笔迹不是用户真实笔迹;或者,所述笔迹验证模块54还可以将所述解密后的手写签字笔迹通过显示屏显示或打印出来,由人工判断所述手写签字笔迹的真伪。
基于实施例三,所述签名验证模块52可以使用公钥对所述签名数据进行解密,得到第一计算值,所述笔迹解密模块55可以将所述第一计算值作为密钥对加密的手写签字笔迹进行解密,得到解密后的手写签字笔迹。所述签名验证模块53可以将原始保密数据与解密后的手写签字笔迹进行哈希计算得到第二计算值,将第二计算值与解密得到的第一计算值进行比较,如果二者相同,则验证通过;如果二者不相同,则验证不通过。
所述验证处理模块54用于对签名验证模块52和笔迹验证模块53的验证结果进行综合处理:当签名数据和手写签字笔迹的验证都通过时,身份认证才通过;如果只有一个模块的验证通过,则身份认证不通过。
实施例五:
基于上述实施例三所述带有触摸屏的身份认证设备以及实施例所述身份认证服务器,本发明提供了一种包含该身份认证设备及身份认证服务器的系统实施例,具体如图6所示。
参照图6,是本发明实施例五所述一种身份认证系统的结构图。
所述身份认证系统包括带有触摸屏的身份认证设备61和基于该身份认证设备的身份认证服务器62,其中所述身份认证设备61的具体结构及功能可参见实施例三,所述身份认证服务器62的具体结构及功能可参见实施例四,在此不再详述。
最后,需要说明的是,目前许多生物技术也可以在身份认证中做到需要用户本人亲自操作,如指纹识别,但是使用这些技术的设备都可以在被强迫的情况下进行操作,如指纹识别设备可以按着用户的手指强行进行操作。而本发明的签字模式就很难被强迫操作,除非用户同意自行操作。而且指纹识别技术还有金手指问题,即有些人的手指无法进行指纹识别,并且指纹也无法通过人工识别,这在有些需要打印文件的场合中很不适用。而本发明都很好的解决了这些问题。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于系统实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上对本发明所提供的一种基于身份认证的加密方法、一种身份认证方法、一种身份认证设备及一种身份认证服务器,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (14)
1.一种基于身份认证的加密方法,其特征在于,包括:
接收保密数据和手写签字笔迹;
对所述保密数据和手写签字笔迹进行计算,得到第一计算值;
利用私钥对所述第一计算值进行数字签名,得到签名数据;
将所述签名数据和手写签字笔迹发送。
2.根据权利要求1所述的方法,其特征在于,将所述签名数据和手写签字笔迹发送之前,还包括:
对所述手写签字笔迹进行加密,得到加密的手写签字笔迹;
则将所述签名数据和手写签字笔迹发送为:将所述签名数据和加密的手写签字笔迹发送。
3.根据权利要求2所述的方法,其特征在于,对所述手写签字笔迹进行加密,包括:
使用所述第一计算值作为密钥对手写签字笔迹进行对称加密。
4.一种身份认证方法,其特征在于,包括:
接收签名数据和手写签字笔迹,所述签名数据是根据保密数据和手写签字笔迹得到;
验证所述签名数据,并验证所述手写签字笔迹是否为用户真实笔迹;
如果签名数据和手写签字笔迹的验证都通过,则身份认证通过。
5.根据权利要求4所述的方法,其特征在于,验证所述签名数据,包括:
使用公钥对所述签名数据进行解密,得到第一计算值;
将原始保密数据与所述手写签字笔迹进行计算得到第二计算值,将第二计算值与解密得到的第一计算值进行比较,如果二者相同,则签名数据的验证通过。
6.根据权利要求4或5所述的方法,其特征在于:
所述接收的手写签字笔迹为加密的手写签字笔迹;
则对所述加密的手写签字笔迹进行解密后,再进行签名数据和手写签字笔迹的验证。
7.一种身份认证设备,其特征在于,包括:
通讯接口,用于接收保密数据,并发送到主控制器;
触摸屏,用于采集手写签字笔迹的模拟数据,并发送到模/数转换器;
模/数转换器,用于将手写签字笔迹的模拟数据转换为数字数据,并发送到触摸屏控制器;
触摸屏控制器,用于对手写签字笔迹的数字数据进行分析计算,得出以一系列坐标值表示的手写签字笔迹,并发送到主控制器;
主控制器,用于对保密数据和手写签字笔迹进行数字签名,得到签名数据;然后将所述签名数据和手写签字笔迹通过通讯接口发送。
8.根据权利要求7所述的身份认证设备,其特征在于:
所述主控制器通过对保密数据和手写签字笔迹进行计算,得到第一计算值;然后利用私钥对所述第一计算值进行数字签名,得到签名数据。
9.根据权利要求8所述的身份认证设备,其特征在于:
所述主控制器还用于使用第一计算值作为密钥对手写签字笔迹进行对称加密,得到加密的手写签字笔迹,然后将所述签名数据和加密的手写签字笔迹通过通讯接口发送。
10.根据权利要求7所述的身份认证设备,其特征在于,还包括:
显示屏控制器,用于控制触摸屏显示保密数据。
11.根据权利要求7所述的身份认证设备,其特征在于:
所述触摸屏,还用于在主控制器的控制下使用屏幕显示按键,采集触摸点击的模拟数据并发送到模/数转换器;
所述模/数转换器,还用于将触摸点击的模拟数据转换为数字数据,并发送到触摸屏控制器;
所述触摸屏控制器,还用于对触摸点击的数字数据进行分析计算,得出触摸点击位置的坐标值,并发送到主控制器;
所述主控制器,还用于将触摸点击位置的坐标值与屏幕显示的按键坐标进行比较,并根据比较结果判断按键事件。
12.一种身份认证服务器,其特征在于,包括:
数据接收模块,用于接收签名数据和手写签字笔迹,所述签名数据是根据保密数据和手写签字笔迹得到;
签名验证模块,用于验证所述签名数据;
笔迹验证模块,用于验证所述手写签字笔迹是否为用户真实笔迹;
验证处理模块,用于当签名数据和手写签字笔迹的验证都通过时,身份认证通过。
13.根据权利要求12所述的身份认证服务器,其特征在于:
所述签名验证模块使用公钥对所述签名数据进行解密,得到第一计算值;然后将原始保密数据与手写签字笔迹进行计算得到第二计算值,将第二计算值与解密得到的第一计算值进行比较,如果二者相同,则签名数据的验证通过。
14.根据权利要求12或13所述的身份认证服务器,其特征在于;
所述数据接收模块接收的手写签字笔迹为加密的手写签字笔迹;
则所述身份认证服务器还包括:
笔迹解密模块,用于对所述加密的手写签字笔迹进行解密,得到解密后的手写签字笔迹,并触发所述签名验证模块和笔迹验证模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010106130246A CN102035654B (zh) | 2010-12-29 | 2010-12-29 | 身份认证方法、设备、服务器及基于身份认证的加密方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010106130246A CN102035654B (zh) | 2010-12-29 | 2010-12-29 | 身份认证方法、设备、服务器及基于身份认证的加密方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102035654A true CN102035654A (zh) | 2011-04-27 |
| CN102035654B CN102035654B (zh) | 2013-11-27 |
Family
ID=43888028
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010106130246A Active CN102035654B (zh) | 2010-12-29 | 2010-12-29 | 身份认证方法、设备、服务器及基于身份认证的加密方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102035654B (zh) |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102185696A (zh) * | 2011-05-04 | 2011-09-14 | 杭州电子科技大学 | 基于笔迹特征的无可信第三方手机用户认证方法 |
| CN102185857A (zh) * | 2011-05-06 | 2011-09-14 | 广东国笔科技股份有限公司 | 实现数据存储/调用的服务器、系统及方法 |
| CN102263792A (zh) * | 2011-08-05 | 2011-11-30 | 常钧 | 无线安全密钥设备、电子商务业务系统及方法 |
| CN102420829A (zh) * | 2011-12-15 | 2012-04-18 | 北京握奇数据系统有限公司 | 业务数据签名的方法、装置和系统及数字认证终端 |
| CN103036679A (zh) * | 2011-09-30 | 2013-04-10 | Nxp股份有限公司 | 安全令牌和认证系统 |
| CN103699314A (zh) * | 2012-09-27 | 2014-04-02 | 华为终端有限公司 | 实现手写签字的方法及终端 |
| CN103905443A (zh) * | 2014-03-31 | 2014-07-02 | 北京握奇数据系统有限公司 | 一种验证装置、系统及注册、验证方法 |
| CN104158662A (zh) * | 2014-07-29 | 2014-11-19 | 广东省电子商务认证有限公司 | 基于XAdES的多人电子凭证及实现方法 |
| CN105450269A (zh) * | 2015-12-21 | 2016-03-30 | 飞天诚信科技股份有限公司 | 一种实现蓝牙设备间安全交互配对认证的方法及装置 |
| CN105979021A (zh) * | 2016-04-26 | 2016-09-28 | 北京金山安全软件有限公司 | 一种信息处理方法及用户终端 |
| CN106022076A (zh) * | 2016-07-12 | 2016-10-12 | 北京华大领创智能科技有限公司 | 一种签名认证方法、签名认证设备及系统 |
| CN106815716A (zh) * | 2016-12-31 | 2017-06-09 | 重庆傲雄在线信息技术有限公司 | 一种电子档案文件形成方法及系统 |
| CN110826987A (zh) * | 2019-10-25 | 2020-02-21 | 杭州安存网络科技有限公司 | 一种基于笔迹认证技术的电子合同签约方法 |
| CN112360286A (zh) * | 2020-10-09 | 2021-02-12 | 杭州万保箱柜有限公司 | 银行现金智能业务库及其控制方法 |
| CN112887257A (zh) * | 2019-11-29 | 2021-06-01 | 重庆傲雄在线信息技术有限公司 | 一种证据的加密存储平台 |
| CN113676327A (zh) * | 2020-05-13 | 2021-11-19 | 深圳曦华科技有限公司 | 显示屏的正品认证方法、芯片、计算机可读存储介质、计算机程序产品、计算机程序 |
| CN116204931A (zh) * | 2022-12-26 | 2023-06-02 | 重庆傲雄在线信息技术有限公司 | 基于原笔迹生成及验签加密数字签名的方法、设备及介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1159238A (zh) * | 1994-08-31 | 1997-09-10 | 佩里弗罗·威星有限公司 | 用来俘获、存储、传送和认证手写签名的方法和系统 |
| CN101013942A (zh) * | 2007-01-24 | 2007-08-08 | 北京飞天诚信科技有限公司 | 提高智能密钥设备安全性的方法和系统 |
-
2010
- 2010-12-29 CN CN2010106130246A patent/CN102035654B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1159238A (zh) * | 1994-08-31 | 1997-09-10 | 佩里弗罗·威星有限公司 | 用来俘获、存储、传送和认证手写签名的方法和系统 |
| CN101013942A (zh) * | 2007-01-24 | 2007-08-08 | 北京飞天诚信科技有限公司 | 提高智能密钥设备安全性的方法和系统 |
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102185696A (zh) * | 2011-05-04 | 2011-09-14 | 杭州电子科技大学 | 基于笔迹特征的无可信第三方手机用户认证方法 |
| CN102185857A (zh) * | 2011-05-06 | 2011-09-14 | 广东国笔科技股份有限公司 | 实现数据存储/调用的服务器、系统及方法 |
| CN102263792A (zh) * | 2011-08-05 | 2011-11-30 | 常钧 | 无线安全密钥设备、电子商务业务系统及方法 |
| CN103036679A (zh) * | 2011-09-30 | 2013-04-10 | Nxp股份有限公司 | 安全令牌和认证系统 |
| US9898695B2 (en) | 2011-09-30 | 2018-02-20 | Nxp B.V. | Security token and authentication system |
| CN102420829A (zh) * | 2011-12-15 | 2012-04-18 | 北京握奇数据系统有限公司 | 业务数据签名的方法、装置和系统及数字认证终端 |
| CN102420829B (zh) * | 2011-12-15 | 2014-07-02 | 北京握奇数据系统有限公司 | 业务数据签名的方法、装置和系统及数字认证终端 |
| CN103699314A (zh) * | 2012-09-27 | 2014-04-02 | 华为终端有限公司 | 实现手写签字的方法及终端 |
| CN103699314B (zh) * | 2012-09-27 | 2017-11-17 | 华为终端有限公司 | 实现手写签字的方法及终端 |
| CN103905443A (zh) * | 2014-03-31 | 2014-07-02 | 北京握奇数据系统有限公司 | 一种验证装置、系统及注册、验证方法 |
| CN104158662B (zh) * | 2014-07-29 | 2017-06-23 | 广东省电子商务认证有限公司 | 基于XAdES的多人电子凭证及实现方法 |
| CN104158662A (zh) * | 2014-07-29 | 2014-11-19 | 广东省电子商务认证有限公司 | 基于XAdES的多人电子凭证及实现方法 |
| CN105450269B (zh) * | 2015-12-21 | 2017-09-22 | 飞天诚信科技股份有限公司 | 一种实现蓝牙设备间安全交互配对认证的方法及装置 |
| CN105450269A (zh) * | 2015-12-21 | 2016-03-30 | 飞天诚信科技股份有限公司 | 一种实现蓝牙设备间安全交互配对认证的方法及装置 |
| CN105979021A (zh) * | 2016-04-26 | 2016-09-28 | 北京金山安全软件有限公司 | 一种信息处理方法及用户终端 |
| CN105979021B (zh) * | 2016-04-26 | 2019-08-23 | 珠海豹趣科技有限公司 | 一种信息处理方法及用户终端 |
| CN106022076A (zh) * | 2016-07-12 | 2016-10-12 | 北京华大领创智能科技有限公司 | 一种签名认证方法、签名认证设备及系统 |
| CN106815716A (zh) * | 2016-12-31 | 2017-06-09 | 重庆傲雄在线信息技术有限公司 | 一种电子档案文件形成方法及系统 |
| CN110826987A (zh) * | 2019-10-25 | 2020-02-21 | 杭州安存网络科技有限公司 | 一种基于笔迹认证技术的电子合同签约方法 |
| CN112887257A (zh) * | 2019-11-29 | 2021-06-01 | 重庆傲雄在线信息技术有限公司 | 一种证据的加密存储平台 |
| CN113676327A (zh) * | 2020-05-13 | 2021-11-19 | 深圳曦华科技有限公司 | 显示屏的正品认证方法、芯片、计算机可读存储介质、计算机程序产品、计算机程序 |
| CN113676327B (zh) * | 2020-05-13 | 2023-12-05 | 深圳曦华科技有限公司 | 显示屏的正品认证方法、芯片、计算机可读存储介质 |
| CN112360286A (zh) * | 2020-10-09 | 2021-02-12 | 杭州万保箱柜有限公司 | 银行现金智能业务库及其控制方法 |
| CN116204931A (zh) * | 2022-12-26 | 2023-06-02 | 重庆傲雄在线信息技术有限公司 | 基于原笔迹生成及验签加密数字签名的方法、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102035654B (zh) | 2013-11-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102035654B (zh) | 身份认证方法、设备、服务器及基于身份认证的加密方法 | |
| US11803633B1 (en) | Method and system for securing user access, data at rest and sensitive transactions using biometrics for mobile devices with protected, local templates | |
| US8775814B2 (en) | Personalized biometric identification and non-repudiation system | |
| US11917074B2 (en) | Electronic signature authentication system based on biometric information and electronic signature authentication method | |
| CN101848090B (zh) | 认证装置及利用其进行网上身份认证与交易的系统与方法 | |
| US9075980B2 (en) | Integrity protected smart card transaction | |
| CN107209821A (zh) | 用于对电子文件进行数字签名的方法以及认证方法 | |
| WO2015188424A1 (zh) | 一种密钥存储设备及其使用方法 | |
| JPS6310839A (ja) | デ−タ通信システム及び方法 | |
| CN102147884A (zh) | 一种物品防伪与验证真伪的方法和系统 | |
| KR20170141976A (ko) | 전자 서명 서비스 시스템 및 방법 | |
| CN101334884A (zh) | 提高转账安全性的方法和系统 | |
| WO2022078367A1 (zh) | 支付密钥的加密和解密方法、支付认证方法及终端设备 | |
| CN102710611A (zh) | 网络安全身份认证方法和系统 | |
| EP2758922A2 (en) | Securing transactions against cyberattacks | |
| CN2609069Y (zh) | 指纹数字签名器 | |
| WO2014012392A1 (zh) | 一种显示装置及包含该显示装置的认证系统和认证方法 | |
| CN101335754A (zh) | 一种利用远程服务器进行信息验证的方法 | |
| CN103297237A (zh) | 身份注册和认证方法、系统、个人认证设备和认证服务器 | |
| CN106709534A (zh) | 电子证件防伪验证系统 | |
| JP2006155547A (ja) | 本人認証システム、端末装置、およびサーバ | |
| CN101547098B (zh) | 公共网络数据传输安全认证方法及系统 | |
| KR101616795B1 (ko) | Pki 기반의 개인키 파일 관리 방법 및 그 시스템 | |
| KR101459283B1 (ko) | 2채널 인증장치와 방법 | |
| WO2022172491A1 (ja) | 認証装置及び認証方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100015 Beijing city Chaoyang District Dongzhimen West eight Street No. 2 room Wanhong Yan Dong Business Garden Patentee after: Beijing Watchdata Limited by Share Ltd Address before: 100015 Beijing city Chaoyang District Dongzhimen West eight Street No. 2 room Wanhong Yan Dong Business Garden Patentee before: Beijing Woqi Data System Co., Ltd. |