CN108880822A - 一种身份认证方法、装置、系统及一种智能无线设备 - Google Patents
一种身份认证方法、装置、系统及一种智能无线设备 Download PDFInfo
- Publication number
- CN108880822A CN108880822A CN201810697937.7A CN201810697937A CN108880822A CN 108880822 A CN108880822 A CN 108880822A CN 201810697937 A CN201810697937 A CN 201810697937A CN 108880822 A CN108880822 A CN 108880822A
- Authority
- CN
- China
- Prior art keywords
- user
- client
- server
- equipment
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
Abstract
本发明公开了一种身份认证方法,包括:智能无线设备接收到客户端发送的用户连接请求后,与客户端连接;接收采集的用户信息以及服务器生成的设备登陆挑战;根据用户信息以及预先存储的认证信息还原认证凭证;根据认证凭证以及设备登陆挑战生成设备登录应答;将设备登录应答发送至客户端,以便客户端将设备登陆应答发送至服务器进行验证。该方法可以保证身份认证系统的可靠性以及用户隐私信息的安全性。本发明还公开了一种身份认证装置、一种智能无线设备及一种身份认证系统。
Description
技术领域
本发明涉及分布式系统领域,特别涉及一种身份认证方法、一种身份认 证装置、一种智能无线设备及一种身份认证系统。
背景技术
无线网络和智能设备的蓬勃发展已经使得个人通信在世界范围内大规模 的扩张,然而,远程通信需要强的身份认证来确保安全性,认证作为通信系 统的第一道防线起着非常重要的作用。只有当授权的用户被成功认证并授权 后,才能够使用服务和资源。因此,如果认证机制不够安全,那么非法入侵 者可能会攻破认证防线并进入服务器而不被发现,会导致服务提供者的数据 文件(例如口令验证表、生物特征数据库和用户角色—特权映射关系表)容 易被恶意的管理员或者其他特权用户泄露,这些数据文件容易泄露用户的隐 私,这些隐私进一步地可以导致认证协议的安全漏洞。
目前,随着云计算技术的广泛流行,信息系统的外包使得身份认证系统 的安全性遭到严重威胁,而提出的改进方案在安全性、隐私性和可用性上面 临一些现实的挑战。
因此,如何保证身份认证系统的可靠性以及用户隐私信息的安全性,是 本领域技术人员需要解决的技术问题。
发明内容
本发明的目的是提供一种身份认证方法,该方法可以保证身份认证系统 的可靠性以及用户隐私信息的安全性;本发明的另一目的是提供一种身份认 证装置、一种智能无线设备及一种身份认证系统。
为解决上述技术问题,本发明提供一种身份认证方法,包括:
智能无线设备接收到客户端发送的用户连接请求后,与所述客户端连接;
接收采集的用户信息以及服务器生成的设备登陆挑战;
根据所述用户信息以及预先存储的认证信息还原认证凭证;
根据所述认证凭证以及所述设备登陆挑战生成设备登录应答;
将所述设备登录应答发送至所述客户端,以便所述客户端将所述设备登 陆应答发送至所述服务器进行验证。
优选地,所述智能无线设备接收到客户端发送的用户连接请求后,与所 述客户端连接包括:
智能无线设备接收到客户端发送的用户连接请求时,通过预先存储的设 备PIN码验证用户连接请求是否正确;
当所述用户连接请求正确时,连接至所述客户端。
优选地,所述认证信息的生成方法包括:
智能无线设备接收到用户的注册请求后,获取用户信息;其中,所述用 户信息包括用户身份信息以及口令;
根据所述用户信息以及存储的随机数计算注册信息;
发送注册请求信息至服务器,以便对所述注册请求信息进行核查并颁发 认证凭证;其中,所述注册请求信息包括所述注册信息及所述用户身份信息;
接收并存储所述服务器发送的认证信息;其中,所述认证信息根据所述 认证凭证以及所述注册信息计算得到。
优选地,所述智能无线设备接收到用户的注册请求后,获取用户信息包 括:
接收用户对认证手段的选择,得到用户自定义认证手段;
获取所述用户自定义认证手段对应的用户信息。
优选地,所述随机数的生成方法包括:
通过生物特征模糊提取器提取用户生物特征,得到生物特征随机数;
根据所述生物特征随机数以及预先存储的辅助随机数计算得到随机数。
优选地,所述身份认证方法还包括:
智能无线设备根据所述认证凭证生成服务器登录挑战;
通过所述客户端向所述服务器发送所述服务器登录挑战,以便所述服务 器根据认证凭证以及所述服务器登录挑战生成服务器登录应答;其中,所述 认证凭证根据所述用户信息以及预先存储的服务器信息生成。
优选地,所述身份认证方法还包括:
当所述服务器登录挑战以及所述设备登录挑战验证通过后,接收用户的 匿名操作请求;
对所述用户的操作进行匿名处理。
本发明公开一种身份认证装置,包括:
连接单元,用于接收到客户端发送的用户连接请求后,与所述客户端连 接;
接收单元,用于接收采集的用户信息以及服务器生成的设备登陆挑战;
还原单元,用于根据所述用户信息以及预先存储的认证信息还原认证凭 证;
应答单元,用于根据所述认证凭证以及所述设备登陆挑战生成设备登录 应答;
发送单元,用于将所述设备登录应答发送至所述客户端,以便所述客户 端将所述设备登陆应答发送至所述服务器进行验证。
本发明公开一种智能无线设备,包括:
存储器,用于存储程序;
处理器,用于执行所述程序时实现所述身份认证方法的步骤。
本发明公开一种身份认证系统,包括:
智能无线设备,用于接收到客户端发送的用户连接请求后,与所述客户 端连接;接收采集的用户信息以及服务器生成的设备登陆挑战;根据所述用 户信息以及预先存储的认证信息还原认证凭证;根据所述认证凭证以及所述 设备登陆挑战生成设备登录应答;将所述设备登录应答发送至所述客户端, 以便所述客户端将所述设备登陆应答发送至所述服务器进行验证;
客户端,用于当接收到用户的登录请求时,向服务器发送用户登录请求, 向所述智能无线设备发送用户连接请求;接收所述设备登陆挑战,并将接收 到的用户信息一并发送至所述智能无线设备;接收所述设备登录应答并转发 至所述服务器;
服务器,用于接收到所述用户登录请求后生成所述设备登录挑战;发送 所述设备登录挑战至所述客户端;接收所述客户端返回的所述设备登录应答; 根据所述用户登录请求中的用户身份信息以及预先存储的服务器信息对所述 设备登录应答进行验证;其中,所述服务器信息包括服务器密钥以及用户序 列号。
优选地,所述客户端设置于所述智能无线设备。
本发明所提供的身份认证方法,智能无线设备与客户端连接后,接收采 集的用户信息以及服务器生成的设备登陆挑战,设备登录挑战为验证请求登 录的客户端是否合法;根据用户信息以及预先存储的认证信息还原认证凭证, 认证凭证AC在智能无线设备中是以认证信息AI形式存储,AI是根据AC以及用 户注册信息RI计算得到的,AC被RI保护,由于RI是根据用户在登录时输入的 用户信息计算得到的,非法用户无法获知RI的信息,即使AI被拷贝泄露也不 会影响AC的安全性;根据认证凭证以及设备登陆挑战生成设备登录应答;将 设备登录应答发送至客户端,以便客户端将设备登陆应答发送至服务器进行 验证。
以智能无线设备取代以往的智能卡和手机等作为认证的核心设备,该智 能无线设备作为认证的核心设备存储并生成系统认证所需要的信息,用户通 过输入设备将自己的隐私信息仅仅输入到自己的智能无线设备,通过存储安 全性较强的AC进行验证,通过智能无线设备的内部计算完成认证,可以大大 提升认证过程的可靠性,从而保证了用户隐私信息的安全性。
本发明还提供了一种身份认证装置、一种智能无线设备及一种身份认证 系统,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实 施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面 描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不 付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的身份认证方法的信令图;
图2为本发明实施例提供的一种身份认证装置的结构框图;
图3为本发明实施例提供的智能无线设备的结构示意图;
图4为本发明实施例提供的身份认证系统的结构框图。
具体实施方式
本发明的核心是提供一种身份认证方法,该方法可以保证身份认证系统 的可靠性以及用户隐私信息的安全性;本发明的另一核心是提供一种身份认 证装置、一种智能无线设备及一种身份认证系统。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发 明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述, 显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获 得的所有其他实施例,都属于本发明保护的范围。
请参考图1,图1为本实施例提供的身份认证方法的信令图;该方法可以 包括:
步骤s111、客户端接收用户的登录请求。
步骤s112、客户端向智能无线设备发送用户连接请求。
客户端接收到登录请求后进行响应,向智能无线设备发送用户连接请求, 与智能无线设备进行连接。为避免非法用户对智能无线设备的非法利用,优 选地,在客户端与智能无线设备连接时可以首先进行连接验证,验证通过后 再进行连接。具体地,智能无线设备接收到客户端发送的用户连接请求后, 与客户端连接的过程可以为:智能无线设备接收到客户端发送的用户连接请 求时,通过预先存储的设备PIN码验证用户连接请求是否正确;当用户连接 请求正确时,连接至客户端。当然,在此以验证设备PIN码作为验证手段,也可以选取其他验证手段或者不进行验证,在此不做限定。
步骤s113、客户端向服务器发送用户登录请求。
用户打开客户端申请登录,客户端响应用户的登录申请,分别向服务器 发送用户登录请求,向智能无线设备发送用户连接请求,两个请求发送的前 后顺序不做限定,既可以先执行步骤s113再执行步骤s112,或者两者同时执 行。
步骤s121、服务器向客户端发送设备登录挑战。
服务器接收到用户登录请求后生成设备登录挑战,并将挑战发送至客户 端。设备登录挑战为服务器实时生成的随机数,每次生成的设备登录挑战均 是不同的,以保证挑战的真实可靠。
步骤s114、客户端接收用户信息。
用户信息可以是用户在请求登录时输入的,也可以是在挑战生成后获取 的,在此对用户信息的收集时间不做限定。获取的用户信息是根据预先设定 的验证类别对应获取的,在此对用户信息包括的具体类型不做限定,比如可 以对用户的身份ID、口令PW以及生物特征BD等进行验证,则对应获取的 用户信息为身份ID、口令PW以及生物特征BD。其中,身份ID可以是用户 自己选择的昵称,也可以是系统规定的身份证件信息、银行卡号信息或者手 机号码等信息,具体执行过程中取决于系统的规定和安全等级效果。
步骤s115、客户端将采集的用户信息以及服务器生成的设备登陆挑战发 送至智能无线设备。
步骤s131、智能无线设备根据用户信息以及预先存储的认证信息还原认 证凭证。
认证凭证指服务器为合法用户颁发的认证凭证AC,也是智能无线设备与 服务器端进行相互身份验证的关键信息。由服务器主密钥x以及用户序列号 SID安全导出,在此对具体的导出算法不做限定。为进行精确验证的同时保障 验证的秘密数据的安全性,保证验证过程的安全性,该信息不论在智能无线 设备或是服务器端均不以认证凭证的形式进行存储。
在智能无线设备中是以认证信息AI形式存在,AI根据AC以及用户的注 册信息RI计算得到,当三者中得到两者的信息后,可以对第三者进行还原。 即AC被RI保护,由于非法用户不知道RI的信息,即使AI被拷贝泄露也不 会影响AC的安全性。验证过程中智能无线设备会利用自己的身份信息ID、 口令PW等从AI中恢复AC,进而生成认证信息。当用户信息不正确和/或智 能无线设备不匹配(即认证信息不正确)时,还原得到的认证凭证都是错误的,因此,可以同时对用户信息以及智能无线设备的安全验证。
优选地,认证信息的生成方法具体可以包括:
智能无线设备接收到用户的注册请求后,获取用户信息;其中,用户信 息包括用户身份信息以及口令;
根据用户信息以及存储的随机数计算注册信息;
发送注册请求信息至服务器,以便对注册请求信息进行核查并颁发认证 凭证;其中,注册请求信息包括注册信息及用户身份信息;
接收并存储服务器发送的认证信息;其中,认证信息根据认证凭证以及 注册信息计算得到。
其中,智能无线设备接收到用户的注册请求后,获取的用户信息的项目 可以自行设定,优选地,为实现对安全等级不同的系统提供灵活的认证方法, 可以根据用户意愿和系统安全需求选择具体的认证方法,比如可以为双因素 认证或三因素的认证方法。
其中,为提高随机数的破解难度,优选地,随机数的生成方法具体可以 为:
通过生物特征模糊提取器提取用户生物特征,得到生物特征随机数R;
根据生物特征随机数R以及预先存储的辅助随机数P计算得到随机数。
当然,在没有生物特征模糊提取器的情况下,R也可以由其他方式安全生 成或者直接将其存储在智能无线设备中,在此不做限定。
步骤s132、智能无线设备根据认证凭证以及设备登陆挑战生成设备登录 应答。
设备登录应答的具体算法在此不做限定,比如可以求二进制和,或者进 行异或等,可以根据需要自行设定,当确定算法后需对服务器端进行同步。
步骤s133、智能无线设备将设备登录应答发送至客户端。
以便客户端将设备登陆应答发送至服务器进行验证。
步骤s116、客户端将接收到的设备登录应答转发至服务器。
步骤s122、服务器根据用户登录请求中的用户身份信息以及预先存储的 服务器信息对设备登录应答进行验证;其中,服务器信息包括服务器密钥以 及用户序列号。
为保证服务器端的安全性,优选地,可以再进行服务器端的认证,通过 两端相互认证保障用户隐私数据的安全性。
具体地,服务器的认证过程可以为
智能无线设备根据认证凭证生成服务器登录挑战;
通过客户端向服务器发送服务器登录挑战,以便服务器根据认证凭证以 及服务器登录挑战生成服务器登录应答;其中,认证凭证根据用户信息以及 预先存储的服务器信息生成。
服务器端的认证与智能无线设备的认证可以同时完成,可以在一个认证 过程完成后进行下一个认证过程,在此对执行顺序不做限定。
另外,在认证通过后,用户可以进行相关的操作。而身份匿名性作为隐 私信息也是移动用户在公共通信信道中的关键性质。用户身份的暴露能够使 得攻击者追踪他的目前地址或者历史地址,甚至分析他在无线服务中的行为 习惯。优选地,为满足不同服务中对身份隐私保护的要求,可以提供了传输 匿名模式和登录匿名模式等匿名操作模式。具体地,实现方法可以为:当服 务器登录挑战以及设备登录挑战验证通过后,接收用户的匿名操作请求;对 用户的操作进行匿名处理。
基于上述介绍,本实施例提供的身份认证方法,智能无线设备与客户端 连接后,接收采集的用户信息以及服务器生成的设备登陆挑战,设备登录挑 战为验证请求登录的客户端是否合法;根据用户信息以及预先存储的认证信 息还原认证凭证,认证凭证AC在智能无线设备中是以认证信息AI形式存储, AI是根据AC以及用户注册信息RI计算得到的,AC被RI保护,由于RI是根据用 户在登录时输入的用户信息计算得到的,非法用户无法获知RI的信息,即使 AI被拷贝泄露也不会影响AC的安全性;根据认证凭证以及设备登陆挑战生成设备登录应答;将设备登录应答发送至客户端,以便客户端将设备登陆应 答发送至服务器进行验证。
为加深理解,本实施例中分为用户注册阶段以及服务器与智能无线设备 相互认证阶段为例对本发明提供的身份认证方法进行介绍,其他基于本发明 提出的身份认证手段均可参照本实施例的介绍。
用户注册阶段:
首先用户选择自己的身份ID、口令PW和所需的生物特征BD,然后将 其输入客户端。客户端计算注册信息RI=h(ID||PW||R);其中,h代表哈 希函数运算(例如MD5、SHA256等),括号内部表示哈希运算的输入,|| 代表字符连接(所有字符串拼接在一起)。通过安全信道发送ID以及RI给 服务器用作注册请求信息。这里,R是由生物特征模糊提取器生成的随机数, 与此同时另外一个辅助随机字符串P会将存储在智能设备中,R可以由生物特 征信息以及P计算得到。
服务器收到用户注册请求后,核查用户注册信息的合法性,为合法用户 颁发认证凭证。如果用户合法允许注册,那么服务器为用户生成认证凭证AC, 然后将认证信息通过安全信道发送给用户。这里,认证凭证是由 服务器主密钥和用户序列号安全导出,即AC=h(x||ID||NID),其中x是服务器 系统主密钥,SID是服务器为该注册用户分配的序列号。随后,服务器将SID 和AI返回给用户,并将ID和NID存储访问控制列表。
用户收到服务器的注册信息后,对智能无线设备进行初始化。首先,用 户需要将设备和客户端进行连接设置自动连接用的设备PIN码。成功设置设 备PIN码后,连接初始化程序将SID、AI、ID、P存储在设备存储器中,完成 认证程序初始化。
认证注册阶段不需要将用户的认证因素(口令、生物特征等隐私信息) 与服务器共享作为认证凭证,而是由服务器为用户提供可安全存储的认证凭 证;认证过程阶段不需要用户对智能无线设备进行操作,保持了用户现有的 认证习惯,增加了用户友好性。
相互认证阶段:
用户打开客户端申请登录。客户端执行程序,分别向服务器发送用户登 录请求,向智能无线设备发送用户连接请求。
服务器生成并返回用户登录挑战C1,智能无线设备通过设备PIN码验证 用户连接请求的准确性。
用户输入服务器返回的登录挑战C1到客户端,并输入口令PW和生物特 征BD,点击申请认证。随后,客户端将信息{C1,PW,BD}发送给智能无线设备。
智能无线设备首先通过生物特征模糊提取器还原R,然后恢复并生成挑战C1的应答R1=h(SID||AC||C1)以及对服 务器的挑战C2,最后将生成的登录请求信息{R1,C2}返回给客户端,其中SID 表示此次会话的标识。
客户端转发消息{R1,C2}给服务器作为登录请求信息。
服务器收到认证请求后,首先执行验证挑战结果的操作,如果等式 h(SID||h(x||ID||NID)||C1)=R1成立,那么验证通过,也就意味着服务器对用户的 认证成功。随后,服务器需要通过计算并发送R2=h(SID||AC||C2||C1)用来回答 认证结果以及用户发来的挑战C2。
客户端收到服务器的应答后,确认应答中不含失败标识符⊥,那么转发对 挑战C2的应答结果R2给智能无线设备。
智能无线设备验证等式R2=h(SID||AC||C2||C1)是否成立。如果等式成立, 那么通过对服务器的身份认证,返回客户端成功标识符
客户端将认证结果返回给服务器,至此,双方身份认证结束。
本实施例采用远程用户与云计算环境中应用服务器之间安全和隐私的双 向身份鉴定,通过智能无线设备与认证客户端相连,在保障身份认证系统安 全的前提下,不会泄露用户隐私,也不会改变用户习惯。
另外,用户能够本地修改所需的认证因素。本发明利用本地验证服务于 远程认证的方式,所有认证因子都将用于本地验证,验证结果所保护的认证 凭证将会用于远程认证。因此,本地修改认证因子能够定期改变安全防护。 具体过程如下:
用户在客户端点击登录本地地址(智能无线设备地址),然后运行上述 认证过程(该过程中将智能无线设备当作服务器)。如果认证通过,智能无 线设备允许用户修改认证因子,最后将新的结果写入存储器覆盖旧的版本, 即替换其中PW',R'为用户新选 择的认证因子。
另外,当用户进行账户注销时,具体过程可以为如下:
用户首先通过服务器认证,然后选择账户注销。
服务器注销该用户对应的访问控制列表中的数据,返回用户注销结果。
用户删除智能无线设备中的数据。
请参考图2,图2为本实施例提供的身份认证装置的结构框图;可以包括: 连接单元200、接收单元210、还原单元220、应答单元230以及发送单元240。 本实施例提供的身份认证装置可与上述身份认证方法相互对照。
其中,连接单元200主要用于接收到客户端发送的用户连接请求后,与 客户端连接。
接收单元210主要用于接收采集的用户信息以及服务器生成的设备登陆 挑战;
还原单元220主要用于根据用户信息以及预先存储的认证信息还原认证 凭证;
应答单元230主要用于根据认证凭证以及设备登陆挑战生成设备登录应 答;
发送单元240主要用于将设备登录应答发送至客户端,以便客户端将设 备登陆应答发送至服务器进行验证。
本实施例提供的身份认证装置可以保证身份认证系统的可靠性以及用户 隐私信息的安全性。
本实施例提供一种智能无线设备,包括:存储器以及处理器。
其中,存储器用于存储程序;
处理器用于执行程序时实现如上述身份认证方法的步骤,具体可参照上 述身份认证方法的介绍。
请参考图3,为本实施例提供的智能无线设备的结构示意图,该无线设备 可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器 (centralprocessing units,CPU)322(例如,一个或一个以上处理器)和存储 器332,一个或一个以上存储应用程序342或数据344的存储介质330(例如一 个或一个以上海量存储设备)。其中,存储器332和存储介质330可以是短暂 存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块 (图示没标出),每个模块可以包括对数据处理设备中的一系列指令操作。 更进一步地,中央处理器322可以设置为与存储介质330通信,在无线设备301上执行存储介质330中的一系列指令操作。
无线设备301还可以包括一个或一个以上电源326,一个或一个以上有线 或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个 以上操作系统341,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
上面图1所描述的身份认证方法中的步骤可以由智能无线设备的结构实 现。
本实施例公开一种可读存储介质,其上存储有程序,程序被处理器执行 时实现如身份认证方法的步骤,具体可参照上述身份认证方法的介绍。
请参考图4,图4为本实施例提供的身份认证系统的结构框图;可以包括: 智能无线设备400、客户端410以及服务器420。
其中,智能无线设备400主要用于接收到客户端发送的用户连接请求后, 与客户端连接;接收采集的用户信息以及服务器生成的设备登陆挑战;根据 用户信息以及预先存储的认证信息还原认证凭证;根据认证凭证以及设备登 陆挑战生成设备登录应答;将设备登录应答发送至客户端,以便客户端将设 备登陆应答发送至服务器进行验证。
智能无线设备:包含电源模块、控制模块、RAM、ROM、存储模块、计 算模块、无线传输模块(比如蓝牙模块)、生物特征处理模块(可选)、Hash 模块(可选)、随机数生成器模块以及输入输出模块,其基本功能是提供认 证信息的存储、计算和交互。该设备能够自动连接到可信的认证客户端,并 接收来自可信客户端的指令,对接收和存储的信息进行计算处理,输出相应 的结果传输给客户端。具体地,智能无线设备可以为智能蓝牙设备。
客户端410主要用于当接收到用户的登录请求时,向服务器发送用户登 录请求,向智能无线设备发送用户连接请求;接收设备登陆挑战,并将接收 到的用户信息一并发送至智能无线设备;接收设备登录应答并转发至服务器。
客户端包含工作站网页客户端和手机应用客户端两类,其基本功能是为 用户提供登录云计算中信息系统的认证登录页面。该客户端能够在初始化阶 段与智能无线设备建立安全连接通道,并能够接收、处理、输出数据,还能 够支持用户在客户端自由选择认证因素、登录模式。客户端可以运行在工作 站、私人笔记本、公共电脑等,对运行场所不做限定。
服务器420主要用于接收到用户登录请求后生成设备登录挑战;发送设 备登录挑战至客户端;接收客户端返回的设备登录应答;根据用户登录请求 中的用户身份信息以及预先存储的服务器信息对设备登录应答进行验证;其 中,服务器信息包括服务器密钥以及用户序列号。
服务器包含用户访问控制列表模块、系统主密钥模块、随机数生成器模 块、Hash函数模块(可选)以及计算、存储和传输模块,其基本功能是验证 访问请求的准确性。该服务器能够允许授权的用户进入系统访问资源,防止 未授权的恶意攻击者进入系统威胁系统安全。
本实施例提供的身份认证系统利用智能无线设备与认证客户端之间的信 息传输,实现了基于多因素的身份认证。与其他认证方案相比,该方法不再 共享用户的认证因素,提供而灵活的认证安全等级和匿名登录模式,具有更 好的用户友好性。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是 与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对 于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的 比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示 例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现, 为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性 地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行, 取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定 的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本 发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、 处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存 储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编 程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任 意其它形式的存储介质中。
以上对本发明所提供的身份认证方法、身份认证装置、智能无线设备及 身份认证系统进行了详细介绍。本文中应用了具体个例对本发明的原理及实 施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其 核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发 明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也 落入本发明权利要求的保护范围内。
Claims (11)
1.一种身份认证方法,其特征在于,包括:
智能无线设备接收到客户端发送的用户连接请求后,与所述客户端连接;
接收采集的用户信息以及服务器生成的设备登陆挑战;
根据所述用户信息以及预先存储的认证信息还原认证凭证;
根据所述认证凭证以及所述设备登陆挑战生成设备登录应答;
将所述设备登录应答发送至所述客户端,以便所述客户端将所述设备登陆应答发送至所述服务器进行验证。
2.如权利要求1所述的身份认证方法,其特征在于,所述智能无线设备接收到客户端发送的用户连接请求后,与所述客户端连接包括:
智能无线设备接收到客户端发送的用户连接请求时,通过预先存储的设备PIN码验证用户连接请求是否正确;
当所述用户连接请求正确时,连接至所述客户端。
3.如权利要求1所述的身份认证方法,其特征在于,所述认证信息的生成方法包括:
智能无线设备接收到用户的注册请求后,获取用户信息;其中,所述用户信息包括用户身份信息以及口令;
根据所述用户信息以及存储的随机数计算注册信息;
发送注册请求信息至服务器,以便对所述注册请求信息进行核查并颁发认证凭证;其中,所述注册请求信息包括所述注册信息及所述用户身份信息;
接收并存储所述服务器发送的认证信息;其中,所述认证信息根据所述认证凭证以及所述注册信息计算得到。
4.如权利要求3所述的身份认证方法,其特征在于,所述智能无线设备接收到用户的注册请求后,获取用户信息包括:
接收用户对认证手段的选择,得到用户自定义认证手段;
获取所述用户自定义认证手段对应的用户信息。
5.如权利要求3所述的身份认证方法,其特征在于,所述随机数的生成方法包括:
通过生物特征模糊提取器提取用户生物特征,得到生物特征随机数;
根据所述生物特征随机数以及预先存储的辅助随机数计算得到随机数。
6.如权利要求1至5任一项所述的身份认证方法,其特征在于,还包括:
智能无线设备根据所述认证凭证生成服务器登录挑战;
通过所述客户端向所述服务器发送所述服务器登录挑战,以便所述服务器根据认证凭证以及所述服务器登录挑战生成服务器登录应答;其中,所述认证凭证根据所述用户信息以及预先存储的服务器信息生成。
7.如权利要求6所述的身份认证方法,其特征在于,还包括:
当所述服务器登录挑战以及所述设备登录挑战验证通过后,接收用户的匿名操作请求;
对所述用户的操作进行匿名处理。
8.一种身份认证装置,其特征在于,包括:
连接单元,用于接收到客户端发送的用户连接请求后,与所述客户端连接;
接收单元,用于接收采集的用户信息以及服务器生成的设备登陆挑战;
还原单元,用于根据所述用户信息以及预先存储的认证信息还原认证凭证;
应答单元,用于根据所述认证凭证以及所述设备登陆挑战生成设备登录应答;
发送单元,用于将所述设备登录应答发送至所述客户端,以便所述客户端将所述设备登陆应答发送至所述服务器进行验证。
9.一种智能无线设备,其特征在于,包括:
存储器,用于存储程序;
处理器,用于执行所述程序时实现如权利要求1至7任一项所述身份认证方法的步骤。
10.一种身份认证系统,其特征在于,包括:
智能无线设备,用于接收到客户端发送的用户连接请求后,与所述客户端连接;接收采集的用户信息以及服务器生成的设备登陆挑战;根据所述用户信息以及预先存储的认证信息还原认证凭证;根据所述认证凭证以及所述设备登陆挑战生成设备登录应答;将所述设备登录应答发送至所述客户端,以便所述客户端将所述设备登陆应答发送至所述服务器进行验证;
客户端,用于当接收到用户的登录请求时,向服务器发送用户登录请求,向所述智能无线设备发送用户连接请求;接收所述设备登陆挑战,并将接收到的用户信息一并发送至所述智能无线设备;接收所述设备登录应答并转发至所述服务器;
服务器,用于接收到所述用户登录请求后生成所述设备登录挑战;发送所述设备登录挑战至所述客户端;接收所述客户端返回的所述设备登录应答;根据所述用户登录请求中的用户身份信息以及预先存储的服务器信息对所述设备登录应答进行验证;其中,所述服务器信息包括服务器密钥以及用户序列号。
11.如权利要求10所述的身份认证系统,其特征在于,所述客户端设置于所述智能无线设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810697937.7A CN108880822B (zh) | 2018-06-29 | 2018-06-29 | 一种身份认证方法、装置、系统及一种智能无线设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810697937.7A CN108880822B (zh) | 2018-06-29 | 2018-06-29 | 一种身份认证方法、装置、系统及一种智能无线设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108880822A true CN108880822A (zh) | 2018-11-23 |
CN108880822B CN108880822B (zh) | 2021-06-29 |
Family
ID=64297277
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810697937.7A Active CN108880822B (zh) | 2018-06-29 | 2018-06-29 | 一种身份认证方法、装置、系统及一种智能无线设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108880822B (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110659467A (zh) * | 2019-09-29 | 2020-01-07 | 浪潮(北京)电子信息产业有限公司 | 一种远程用户身份认证方法、装置、系统、终端及服务器 |
CN111131269A (zh) * | 2019-12-27 | 2020-05-08 | 中国银行股份有限公司 | 基于区块链的用户信息验证方法及装置 |
CN111245607A (zh) * | 2020-01-07 | 2020-06-05 | 杭州涂鸦信息技术有限公司 | 一种组网方法及系统、配网设备、客户端和服务端 |
CN111262702A (zh) * | 2020-01-13 | 2020-06-09 | 中国电子技术标准化研究院 | 基于国密算法和生物特征的双因子认证方法、装置和系统 |
CN111353144A (zh) * | 2018-12-24 | 2020-06-30 | 航天信息股份有限公司 | 一种身份认证的方法和装置 |
CN111800378A (zh) * | 2020-05-21 | 2020-10-20 | 视联动力信息技术股份有限公司 | 一种登录认证方法、装置、系统和存储介质 |
CN112118574A (zh) * | 2020-08-10 | 2020-12-22 | 西安交通大学 | 一种基于机器聊天的安全通信方法及系统 |
CN112332992A (zh) * | 2020-10-22 | 2021-02-05 | 杭州涂鸦信息技术有限公司 | 基于无线通信的登陆认证方法及相关设备 |
CN112737792A (zh) * | 2020-12-31 | 2021-04-30 | 五八有限公司 | 一种多挑战方式接入方法、装置、电子设备及存储介质 |
CN108880822B (zh) * | 2018-06-29 | 2021-06-29 | 郑州云海信息技术有限公司 | 一种身份认证方法、装置、系统及一种智能无线设备 |
CN113434037A (zh) * | 2021-05-28 | 2021-09-24 | 华东师范大学 | 一种基于眼动追踪的动态和隐式的认证方法 |
CN114679323A (zh) * | 2022-03-30 | 2022-06-28 | 中国联合网络通信集团有限公司 | 网络连接方法、装置、设备及存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102916968A (zh) * | 2012-10-29 | 2013-02-06 | 北京天诚盛业科技有限公司 | 身份认证方法、身份认证服务器和身份认证装置 |
CN103310159A (zh) * | 2013-06-20 | 2013-09-18 | 中国软件与技术服务股份有限公司 | 一种移动智能终端安全带出电子文件的方法及系统 |
CN103368745A (zh) * | 2013-07-19 | 2013-10-23 | 江南大学 | 一种教育信息资源保障的用户身份强认证方法 |
CN103870736A (zh) * | 2014-03-19 | 2014-06-18 | 刘全 | 用于互联网访问控制的个人信息安全保护装置和访问方法 |
CN104065653A (zh) * | 2014-06-09 | 2014-09-24 | 韩晟 | 一种交互式身份验证方法、装置、系统和相关设备 |
CN104283886A (zh) * | 2014-10-14 | 2015-01-14 | 中国科学院信息工程研究所 | 一种基于智能终端本地认证的web安全访问的实现方法 |
CN104735085A (zh) * | 2015-04-15 | 2015-06-24 | 上海汉邦京泰数码技术有限公司 | 一种终端双因子安全登录防护方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108880822B (zh) * | 2018-06-29 | 2021-06-29 | 郑州云海信息技术有限公司 | 一种身份认证方法、装置、系统及一种智能无线设备 |
-
2018
- 2018-06-29 CN CN201810697937.7A patent/CN108880822B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102916968A (zh) * | 2012-10-29 | 2013-02-06 | 北京天诚盛业科技有限公司 | 身份认证方法、身份认证服务器和身份认证装置 |
CN103310159A (zh) * | 2013-06-20 | 2013-09-18 | 中国软件与技术服务股份有限公司 | 一种移动智能终端安全带出电子文件的方法及系统 |
CN103368745A (zh) * | 2013-07-19 | 2013-10-23 | 江南大学 | 一种教育信息资源保障的用户身份强认证方法 |
CN103870736A (zh) * | 2014-03-19 | 2014-06-18 | 刘全 | 用于互联网访问控制的个人信息安全保护装置和访问方法 |
CN104065653A (zh) * | 2014-06-09 | 2014-09-24 | 韩晟 | 一种交互式身份验证方法、装置、系统和相关设备 |
CN104283886A (zh) * | 2014-10-14 | 2015-01-14 | 中国科学院信息工程研究所 | 一种基于智能终端本地认证的web安全访问的实现方法 |
CN104735085A (zh) * | 2015-04-15 | 2015-06-24 | 上海汉邦京泰数码技术有限公司 | 一种终端双因子安全登录防护方法 |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108880822B (zh) * | 2018-06-29 | 2021-06-29 | 郑州云海信息技术有限公司 | 一种身份认证方法、装置、系统及一种智能无线设备 |
CN111353144A (zh) * | 2018-12-24 | 2020-06-30 | 航天信息股份有限公司 | 一种身份认证的方法和装置 |
CN110659467A (zh) * | 2019-09-29 | 2020-01-07 | 浪潮(北京)电子信息产业有限公司 | 一种远程用户身份认证方法、装置、系统、终端及服务器 |
CN111131269A (zh) * | 2019-12-27 | 2020-05-08 | 中国银行股份有限公司 | 基于区块链的用户信息验证方法及装置 |
CN111245607A (zh) * | 2020-01-07 | 2020-06-05 | 杭州涂鸦信息技术有限公司 | 一种组网方法及系统、配网设备、客户端和服务端 |
CN111262702A (zh) * | 2020-01-13 | 2020-06-09 | 中国电子技术标准化研究院 | 基于国密算法和生物特征的双因子认证方法、装置和系统 |
CN111800378A (zh) * | 2020-05-21 | 2020-10-20 | 视联动力信息技术股份有限公司 | 一种登录认证方法、装置、系统和存储介质 |
CN112118574A (zh) * | 2020-08-10 | 2020-12-22 | 西安交通大学 | 一种基于机器聊天的安全通信方法及系统 |
CN112118574B (zh) * | 2020-08-10 | 2022-02-22 | 西安交通大学 | 一种基于机器聊天的安全通信方法及系统 |
CN112332992A (zh) * | 2020-10-22 | 2021-02-05 | 杭州涂鸦信息技术有限公司 | 基于无线通信的登陆认证方法及相关设备 |
CN112737792A (zh) * | 2020-12-31 | 2021-04-30 | 五八有限公司 | 一种多挑战方式接入方法、装置、电子设备及存储介质 |
CN112737792B (zh) * | 2020-12-31 | 2022-09-30 | 五八有限公司 | 一种多挑战方式接入方法、装置、电子设备及存储介质 |
CN113434037A (zh) * | 2021-05-28 | 2021-09-24 | 华东师范大学 | 一种基于眼动追踪的动态和隐式的认证方法 |
CN114679323A (zh) * | 2022-03-30 | 2022-06-28 | 中国联合网络通信集团有限公司 | 网络连接方法、装置、设备及存储介质 |
CN114679323B (zh) * | 2022-03-30 | 2023-11-24 | 中国联合网络通信集团有限公司 | 网络连接方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN108880822B (zh) | 2021-06-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108880822A (zh) | 一种身份认证方法、装置、系统及一种智能无线设备 | |
CN108064440B (zh) | 基于区块链的fido认证方法、装置及系统 | |
CN106330850B (zh) | 一种基于生物特征的安全校验方法及客户端、服务器 | |
CN103581108B (zh) | 一种登录验证方法、客户端、服务器及系统 | |
CN104115464B (zh) | 控制访问 | |
CN101227468B (zh) | 用于认证用户到网络的方法、设备和系统 | |
US8997196B2 (en) | Flexible end-point compliance and strong authentication for distributed hybrid enterprises | |
CN110061842B (zh) | 带外远程认证 | |
US9197420B2 (en) | Using information in a digital certificate to authenticate a network of a wireless access point | |
CN102624720B (zh) | 一种身份认证的方法、装置和系统 | |
EP2722001B1 (en) | Secure data communication | |
KR101611872B1 (ko) | Fido와 인증서를 이용한 인증 방법 | |
CN112651011B (zh) | 运维系统登录验证方法、装置、设备以及计算机存储介质 | |
JP2019139520A (ja) | 情報処理システムと、その制御方法とプログラム | |
US20170279798A1 (en) | Multi-factor authentication system and method | |
CN107809438A (zh) | 一种网络身份认证方法、系统及其使用的用户代理设备 | |
KR20210095093A (ko) | 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버 | |
US9954853B2 (en) | Network security | |
CN106161475A (zh) | 用户鉴权的实现方法和装置 | |
CN104468486B (zh) | 信息处理方法、系统及电子设备 | |
KR102372503B1 (ko) | 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버 | |
CN112383401B (zh) | 一种提供身份鉴别服务的用户名生成方法及系统 | |
WO2017029708A1 (ja) | 個人認証システム | |
KR102104823B1 (ko) | 인증프로세스의 단계분할과 생체인증을 접목한 개인정보침해 방어 방법 및 시스템 | |
CN109639695A (zh) | 基于互信架构的动态身份认证方法、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |