CN108989038B - 一种用于地理位置认证的识别设备、系统及方法 - Google Patents
一种用于地理位置认证的识别设备、系统及方法 Download PDFInfo
- Publication number
- CN108989038B CN108989038B CN201710399414.XA CN201710399414A CN108989038B CN 108989038 B CN108989038 B CN 108989038B CN 201710399414 A CN201710399414 A CN 201710399414A CN 108989038 B CN108989038 B CN 108989038B
- Authority
- CN
- China
- Prior art keywords
- token
- identification
- security chip
- server
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Abstract
本发明涉及一种用于地理位置认证的识别设备、系统及方法。该识别设备包括安全芯片、识别通讯模块以及生物特征识别模块,其中,安全芯片内存储唯一识别设备ID;识别通讯模块接收令牌ID与用户ID,存储到安全芯片中;安全芯片对令牌ID、用户ID以及识别设备ID进行加密后发送给服务器;识别通讯模块接收服务器生成的随机数,存储到安全芯片中;安全芯片对随机数与识别设备ID进行加密后发送给令牌;识别通讯模块接收令牌计算出的哈希值与签名值,发送至服务器进行令牌验证;生物特征识别模块用于采集生物特征信息发送给服务器,进行地理位置认证。本发明采用双因子认证方案,大大提升地理位置认证的安全等级,并有助于安全事件的追踪。
Description
技术领域
本发明涉及通信领域,具体涉及一种用于地理位置认证的识别设备、系统及方法。
背景技术
随着物联网的发展,网络身份认证、远程地理位置定位的应用越来越广泛,例如对保释人员的监视居住、不在犯罪现场的地理位置证明、特种车辆的行车轨迹跟踪定位、远程签到等。
现在使用的GPS定位、容易遭受地理位置欺诈攻击,攻击者可以使用作弊工具随意地修改位置信息。因此,解决好地理位置认证问题,有助于位置证明、跟踪定位、签到、安全事件的追踪。
现有技术提出了一种可实现远程签到功能的方案,该方案基于信任动态二维码设备的地理位置、当前时间信息,对移动通讯终端的物理位置、当前时间进行确认。但是,二维码生成算法,二维码设备的序列号、签到时间三者均为公开信息,攻击者可以利用这三个信息,在任意地理位置生成动态二维码,并且使用作弊工具任意修改移动通讯终端的位置信息,从而实现虚假的远程签到功能。
当前,国际国内的安全测评机构制定了非常完善的安全芯片测评体系,安全芯片提供了高安全的密码运算、数据存储功能,可有效防护电学攻击,窃取、复制和篡改芯片中的信息资产是非常困难的,每个芯片具有唯一的序列号,并且不可复制。因此,安全芯片的使用将大大提升地理位置认证的安全等级与可信度。
发明内容
本发明旨在提供一种基于安全芯片的、用于地理位置认证的识别设备、系统及方法,以提升地理位置认证的安全等级与可信度。
本发明提供一种用于地理位置认证的识别设备。该识别设备包括安全芯片、识别通讯模块以及生物特征识别模块,其中,
所述安全芯片内存储唯一识别设备ID;
所述识别通讯模块接收令牌发送的令牌ID与用户ID,将所述令牌ID、所述用户ID存储到所述安全芯片中;
所述安全芯片对所述令牌ID、所述用户ID以及所述识别设备ID进行加密,然后通过所述识别设备通讯模块发送给服务器;
所述识别通讯模块接收所述服务器生成的随机数,将所述随机数存储到所述安全芯片中;
所述安全芯片对所述随机数与所述识别设备ID进行加密,然后通过所述识别设备通讯模块发送给所述令牌;
所述识别通讯模块接收所述令牌计算出的哈希值与签名值,将所述哈希值与签名值存储到所述安全芯片中;
所述安全芯片对所述哈希值与签名值进行加密,然后通过所述识别设备通讯模块发送至所述服务器进行令牌验证;
所述生物特征识别模块用于采集生物特征信息,将所述生物特征信息存储到所述安全芯片中;
所述安全芯片对所述生物特征信息进行加密,然后通过所述识别设备通讯模块发送给所述服务器,进行地理位置认证。
进一步地,所述生物特征识别模块包括指纹识别单元与虹膜识别单元,其中,
所述指纹识别单元用于采集指纹信息;
所述虹膜识别单元用于采集虹膜信息;
将所述指纹信息与虹膜信息存储到所述安全芯片中,然后通过所述识别通讯模块将所述指纹信息与虹膜信息发送给所述服务器。
本发明还提供一种地理位置认证系统。该系统包括令牌、服务器以及上述识别设备,其中,
所述令牌将令牌ID与用户ID发送给所述识别设备;
所述识别设备将所述令牌ID与用户ID储存在所述安全芯片中,将所述令牌ID、所述用户ID以及所述识别设备ID经所述安全芯片加密后,发送至所述服务器;
所述服务器生成随机数,并返给所述识别设备,生成的随机数每次不重复;
所述识别设备将所述随机数储存在所述安全芯片中,将所述随机数和所述识别设备ID经所述安全芯片加密后,发送至所述令牌;
所述令牌依据所述随机数和所述识别设备ID计算出哈希值与签名值,然后发送给所述识别设备;
所述识别设备将所述哈希值与签名值存储到所述安全芯片中,将所述哈希值与签名值经所述安全芯片加密后,发送至所述服务器;
所述服务器依据所述哈希值与签名值进行令牌验证;
所述识别设备采集生物特征信息并存储到所述安全芯片中,将所述生物特征信息经所述安全芯片加密后,发送给所述服务器;
所述服务器依据所述生物特征信息,进行地理位置认证。
具体地,所述令牌包括令牌通讯模块,所述令牌通讯模块用于与所述识别设备通信。
具体地,所述令牌包括密码运算模块,所述密码运算模块用于根据所述识别设备ID以及所述随机数,计算哈希值与签名值,并通过所述令牌通讯模块将所述哈希值与签名值发送给所述识别设备,进而发送给所述服务器。
具体地,所述令牌包括存储模块,所述存储模块用于存储所述令牌ID、所述用户ID。
更具体地,所述令牌具有与所述令牌ID和/或所述用户ID对应的唯一私钥,所述服务器具有对应公钥。
本发明还提供一种利用上述系统实现地理位置认证方法。该方法包括以下步骤:
利用令牌将令牌ID与用户ID发送给所述识别设备;
将所述令牌ID与用户ID储存在所述安全芯片中,将所述令牌ID、所述用户ID以及所述识别设备ID经所述安全芯片加密后,发送至所述服务器;
由所述服务器生成随机数,并返给所述识别设备,生成的随机数每次不重复;
将所述随机数储存在所述安全芯片中,将所述随机数和所述识别设备ID经所述安全芯片加密后,发送至所述令牌;
由所述令牌依据所述随机数和所述识别设备ID计算出哈希值与签名值,然后发送给所述识别设备;
将所述哈希值与签名值存储到所述安全芯片中,将所述哈希值与签名值经所述安全芯片加密后,发送至所述服务器;
由所述服务器依据所述哈希值与签名值进行令牌验证;
利用所述识别设备采集生物特征信息存储到所述安全芯片中,将所述生物特征信息经所述安全芯片加密后,发送给所述服务器;
由所述服务器依据所述生物特征信息与所述识别设备ID,进行地理位置认证。
具体地,由所述令牌对所述令牌ID、所述用户ID进行加密后发送给所述识别设备,由所述识别设备的安全芯片进行解密,得到所述令牌ID、所述用户ID;
由所述令牌对所述哈希值与签名值进行加密后发送给所述识别设备,由所述识别设备的安全芯片进行解密,得到所述哈希值与签名值。
更具体地,由所述服务器根据所述令牌ID与用户ID检索公钥,进而对所述哈希值与签名值进行令牌验证;
将所述识别设备ID与所述识别设备的地理位置建立对应关系,由所述服务器根据所述识别设备ID确定地理位置;
将所述生物特征信息与所述令牌ID与用户ID进行绑定,由所述服务器根据所述生物特征信息进行地理位置认证。
本发明所述识别设备基于安全芯片实现,安全芯片提供了高安全的密码运算、数据存储功能,可有效防护电学攻击,窃取、复制和篡改芯片中的信息资产是非常困难的。数字签名具有唯一性且不可以伪造,因此,本发明可有效实现对令牌的身份认证,准确定位令牌的地理位置;用户生物特征的识别,可有效实现对用户的身份认证,定位用户的地理位置。结合数字签名和生物特征识别的双因子认证方案,可有效防御GPS定位造假、复制指纹、令牌借用、令牌丢失引起的虚假认证等问题,大大提升地理位置认证的安全等级,可提供可信的位置证明、跟踪定位、签到等功能,并有助于安全事件的追踪。
附图说明
图1是本发明所述的识别设备的结构示意图。
图2是本发明所述的地理位置认证系统的工作原理示意图。
具体实施方式
以下结合附图和实施例,对本发明的具体实施方式进行更加详细的说明,以便能够更好地理解本发明的方案及其各个方面的优点。然而,以下描述的具体实施方式和实施例仅是说明的目的,而不是对本发明的限制。
首先,如图1所示,本发明提供一种用于地理位置认证的识别设备2。通常地,管理机构(例如公安局)在公共设施(例如路灯杆、公共建筑、路面)安装该识别设备2,识别设备2的地理位置固定,非授权不可移动,使得确定识别设备2即可实现地理位置的确定。所述识别设备2用于令牌1与服务器3之间的通讯,其中,令牌1可以是智能卡、USBKEY等装置,需要用户向管理机构申请。管理机构会将用户ID、指纹、虹膜、头像等个人信息集成到令牌1上,以上信息与令牌ID是唯一对应的,管理机构还会将令牌ID以及用户的个人信息录入服务器3。此外,令牌1具有CA(可信任的第三方)颁发的唯一私钥,该私钥与用户ID和/或令牌ID是一一对应的,服务器3具有CA颁发的该私钥的对应公钥。
如图1所示,该识别设备2以安全芯片201为核心,其还包括识别通讯模块202以及生物特征识别模块203。其中所述安全芯片201具有数据存储以及加密、解密功能。换句话说,所述识别设备2基于安全芯片201实现,安全芯片201提供了高安全的密码运算、数据存储功能,使得所述识别设备2可有效防护电学攻击,窃取、复制和篡改芯片中的信息资产是非常困难的。其中,所述安全芯片201中存储有唯一的识别设备ID,该识别设备ID可与所述识别设备2的地理位置建立一一对应关系,从而方便用户地理位置的确定。
如图1和图2所示,所述识别通讯模块202接收令牌1发送的令牌ID与用户ID,将所述令牌ID、所述用户ID存储到所述安全芯片201中。所述安全芯片201对所述令牌ID、所述用户ID以及所述识别设备ID进行加密,然后通过所述识别设备通讯模块202发送给服务器3。所述识别通讯模块202接收所述服务器3生成的随机数,将所述随机数存储到所述安全芯片201中。所述安全芯片201对所述随机数与所述识别设备ID进行加密,然后通过所述识别设备通讯模块202发送给所述令牌。其中,所述安全芯片201可以将所述随机数与所述识别设备ID拼接在一起加密发送给服务器3,也可以分别加密发送给服务器3。所述识别通讯模块202接收所述令牌计算出的哈希值与签名值,将所述哈希值与签名值存储到所述安全芯片201中。所述安全芯片201对所述哈希值与签名值进行加密,然后通过所述识别设备通讯模块202发送至所述服务器3进行令牌验证。所述生物特征识别模块203用于采集生物特征信息,将所述生物特征信息存储到所述安全芯片201中。所述安全芯片201对所述生物特征信息进行加密,然后通过所述识别设备通讯模块202发送给所述服务器3,进行地理位置认证。
具体地,所述生物特征识别模块203包括指纹识别单元与虹膜识别单元(未示出),其中,所述指纹识别单元用于采集指纹信息,所述虹膜识别单元用于采集虹膜信息,将所述指纹信息与虹膜信息存储到所述安全芯片201中,然后通过所述识别通讯模块202将所述指纹信息与虹膜信息发送给所述服务器3。
如图1和2所示,本发明还提供一种地理位置认证系统。该系统包括令牌1、服务器3以及上述识别设备2。用户在某一地理位置,找到临近的识别设备2,在识别设备2中插入令牌1,发起地理位置认证申请,申请转发给服务器3,在识别设备2和服务器3之间建立会话。
所述令牌1包括令牌通讯模块(未示出),所述令牌通讯模块用于与所述识别设备2通信。所述令牌1还包括存储模块(未示出),所述存储模块用于存储所述令牌ID、所述用户ID。所述令牌1将令牌ID与用户ID发送给所述识别设备2,或者,识别设备2读取令牌1中的令牌ID、用户ID。所述识别设备2将所述令牌ID与用户ID储存在所述安全芯片201中,将所述令牌ID、所述用户ID以及所述识别设备ID经所述安全芯片201加密后,发送至所述服务器3。当然,为确保信息安全,由所述令牌1对所述令牌ID、所述用户ID进行加密后发送给所述识别设备2,由所述识别设备2的安全芯片201进行解密,得到所述令牌ID、所述用户ID,再经所述安全芯片201将所述令牌ID、所述用户ID以及所述识别设备ID加密后,发送至所述服务器3。
所述服务器3对上述信息进行解密,即可得到所述令牌ID、所述用户ID以及所述识别设备ID,服务器3记录这三个信息,所述服务器3生成一个挑战应答的随机数,生成的随机数每次不重复,防止重放攻击,并将该随机数返给所述识别设备2。所述识别设备2将所述随机数储存在所述安全芯片201中,将所述随机数和所述识别设备ID经所述安全芯片201加密后,发送至所述令牌1,其中,随机数和识别设备ID可以拼接在一起加密传送给令牌,也可以分别加密发送给令牌1。
所述令牌1包括密码运算模块(未示出),所述密码运算模块用于根据所述识别设备ID以及所述随机数,计算哈希值与签名值(即:数字签名)。所述令牌1具有与所述令牌ID和/或所述用户ID对应的唯一私钥,所述服务器3具有对应公钥。令牌1对令牌ID、用户ID、识别设备ID和随机数构成的消息计算哈希值,使用公钥密码算法私钥对哈希值进行签名,并通过所述令牌通讯模块将得到的所述哈希值与签名值发送给所述识别设备2,进而发送给所述服务器3。当然,为确保信息安全,由所述令牌1对所述哈希值与签名值进行加密后发送给所述识别设备2,由所述识别设备2的安全芯片201进行解密,得到所述哈希值与签名值,再经所述安全芯片201加密后,发送至所述服务器3。
所述服务器3对上述信息进行解密,即可得到所述哈希值与签名值,所述服务器3依据所述哈希值与签名值进行令牌验证。具体地,服务器3根据令牌ID、用户ID检索对应的公钥,采用公钥对签名值进行验证;如果验证通过,证明令牌1合法、令牌1处在识别设备2所在的地理位置,根据识别设备ID与地理位置的一一对应关系,即可确认令牌当前所处的地理位置;如果验证不通过,证明令牌1非法,或者遭受重放攻击。数字签名具有唯一性且不可以伪造,可有效实现对令牌1的身份认证,准确定位令牌1的地理位置。
然而,即使令牌合法性验证通过,却不能说明此时此刻令牌1的使用者的身份与令牌1中的令牌ID或用户ID是匹配的,即可能有人假冒令牌1的合法持有者,所以需要对使用者进行进一步的验证,并最终完成地理位置认证。也就是说,管理机构设置的识别设备ID不可复制、篡改,地理位置可信;数字签名具有唯一性,不可复制不可伪造,可证明用户持有令牌的身份可信、令牌地理位置可信;但是用户的身份需要进行认证,防止出现复制指纹、令牌借用、令牌丢失引起的虚假认证等问题,因此,本发明再结合对用户的指纹进行识别,对用户的身份进行认证,进一步证明令牌持有者的地理位置可信,采用双因子认证,可提供可信的地理位置证明。可替换地,对令牌、用户的身份认证的先后顺序,是可以调换的。
所述识别设备2采集生物特征信息存储到所述安全芯片201中,例如,用户在识别设备2上输入指纹或虹膜等生物特征,识别设备2提取生物特征信息,将所述生物特征信息经所述安全芯片201加密后,发送给所述服务器3;正如前文所述,管理机构会将用户ID、指纹、虹膜、头像等个人信息集成到令牌1上,以上信息与令牌ID是唯一对应的,管理机构还会将令牌ID以及用户的个人信息录入服务器3,即将所述生物特征信息与所述令牌ID与用户ID进行绑定。因此,服务器3进一步发起对用户本人的身份认证,服务器3对比指纹、虹膜等如果匹配成功,则完成对用户本人的身份认证,证明用户处在识别设备2所在的地理位置,则地理位置认证成功;如果匹配不成功,则说明当前用户不是令牌的合法持有者,则地理位置认证不成功。用户生物特征的识别,可有效实现对用户的身份认证,定位用户的地理位置。
需要说明的是,以上参照附图所描述的各个实施例仅用以说明本发明而非限制本发明的范围,本领域的普通技术人员应当理解,在不脱离本发明的精神和范围的前提下对本发明进行的修改或者等同替换,均应涵盖在本发明的范围之内。此外,除上下文另有所指外,以单数形式出现的词包括复数形式,反之亦然。另外,除非特别说明,那么任何实施例的全部或一部分可结合任何其它实施例的全部或一部分来使用。
Claims (10)
1.一种用于地理位置认证的识别设备,其特征在于,该识别设备包括安全芯片、识别通讯模块以及生物特征识别模块,其中,
所述安全芯片内存储唯一识别设备ID;
所述识别通讯模块接收令牌发送的令牌ID与用户ID,将所述令牌ID、所述用户ID存储到所述安全芯片中;
所述安全芯片对所述令牌ID、所述用户ID以及所述识别设备ID进行加密,然后通过所述识别设备通讯模块发送给服务器;
所述识别通讯模块接收所述服务器生成的随机数,将所述随机数存储到所述安全芯片中;
所述安全芯片对所述随机数与所述识别设备ID进行加密,然后通过所述识别设备通讯模块发送给所述令牌;
所述识别通讯模块接收所述令牌计算出的哈希值与签名值,将所述哈希值与签名值存储到所述安全芯片中;
所述安全芯片对所述哈希值与签名值进行加密,然后通过所述识别设备通讯模块发送至所述服务器进行令牌验证;
所述生物特征识别模块用于采集生物特征信息,将所述生物特征信息存储到所述安全芯片中;
所述安全芯片对所述生物特征信息进行加密,然后通过所述识别设备通讯模块发送给所述服务器,所述识别设备ID与所述识别设备的地理位置建立对应关系,由所述服务器根据所述识别设备ID确定地理位置,将所述生物特征信息与所述令牌ID与用户ID进行绑定,由所述服务器根据所述生物特征信息进行地理位置认证。
2.如权利要求1所述的识别设备,其特征在于,所述生物特征识别模块包括指纹识别单元与虹膜识别单元,其中,
所述指纹识别单元用于采集指纹信息;
所述虹膜识别单元用于采集虹膜信息;
将所述指纹信息与虹膜信息存储到所述安全芯片中,然后通过所述识别通讯模块将所述指纹信息与虹膜信息发送给所述服务器。
3.一种地理位置认证系统,其特征在于,该系统包括令牌、服务器以及如权利要求1或2所述的识别设备,其中,
所述令牌将令牌ID与用户ID发送给所述识别设备;
所述识别设备将所述令牌ID与用户ID储存在所述安全芯片中,将所述令牌ID、所述用户ID以及所述识别设备ID经所述安全芯片加密后,发送至所述服务器;
所述服务器生成随机数,并返给所述识别设备,生成的随机数每次不重复;
所述识别设备将所述随机数储存在所述安全芯片中,将所述随机数和所述识别设备ID经所述安全芯片加密后,发送至所述令牌;
所述令牌依据所述随机数和所述识别设备ID计算出哈希值与签名值,然后发送给所述识别设备;
所述识别设备将所述哈希值与签名值存储到所述安全芯片中,将所述哈希值与签名值经所述安全芯片加密后,发送至所述服务器;
所述服务器依据所述哈希值与签名值进行令牌验证;
所述识别设备采集生物特征信息并存储到所述安全芯片中,将所述生物特征信息经所述安全芯片加密后,发送给所述服务器;
所述服务器根据所述识别设备ID确定地理位置,将所述生物特征信息与所述令牌ID与用户ID进行绑定,根据所述生物特征信息,进行地理位置认证,其中,所述识别设备ID与所述识别设备的地理位置建立对应关系。
4.如权利要求3所述的系统,其特征在于,所述令牌包括令牌通讯模块,所述令牌通讯模块用于与所述识别设备通信。
5.如权利要求3所述的系统,其特征在于,所述令牌包括密码运算模块,所述密码运算模块用于根据所述识别设备ID以及所述随机数,计算哈希值与签名值,并通过所述令牌通讯模块将所述哈希值与签名值发送给所述识别设备,进而发送给所述服务器。
6.如权利要求3所述的系统,其特征在于,所述令牌包括存储模块,所述存储模块用于存储所述令牌ID、所述用户ID。
7.如权利要求3所述的系统,其特征在于,所述令牌具有与所述令牌ID和/或所述用户ID对应的唯一私钥,所述服务器具有对应公钥。
8.一种地理位置认证方法,其特征在于,该方法包括以下步骤:
利用令牌将令牌ID与用户ID发送给识别设备;
将所述令牌ID与用户ID储存在安全芯片中,将所述令牌ID、所述用户ID以及所述识别设备ID经所述安全芯片加密后,发送至服务器;
由所述服务器生成随机数,并返给所述识别设备,生成的随机数每次不重复;
将所述随机数储存在所述安全芯片中,将所述随机数和所述识别设备ID经所述安全芯片加密后,发送至所述令牌;
由所述令牌依据所述随机数和所述识别设备ID计算出哈希值与签名值,然后发送给所述识别设备;
将所述哈希值与签名值存储到所述安全芯片中,将所述哈希值与签名值经所述安全芯片加密后,发送至所述服务器;
由所述服务器依据所述哈希值与签名值进行令牌验证;
利用所述识别设备采集生物特征信息存储到所述安全芯片中,将所述生物特征信息经所述安全芯片加密后,发送给所述服务器;
由所述服务器根据所述识别设备ID确定地理位置,将所述生物特征信息与所述令牌ID与用户ID进行绑定,由所述服务器根据所述生物特征信息进行地理位置认证,其中,所述识别设备ID与所述识别设备的地理位置建立对应关系。
9.如权利要求8所述的方法,其特征在于,由所述令牌对所述令牌ID、所述用户ID进行加密后发送给所述识别设备,由所述识别设备的安全芯片进行解密,得到所述令牌ID、所述用户ID;
由所述令牌对所述哈希值与签名值进行加密后发送给所述识别设备,由所述识别设备的安全芯片进行解密,得到所述哈希值与签名值。
10.如权利要求8所述的方法,其特征在于,由所述服务器根据所述令牌ID与用户ID检索公钥,进而对所述哈希值与签名值进行令牌验证。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710399414.XA CN108989038B (zh) | 2017-05-31 | 2017-05-31 | 一种用于地理位置认证的识别设备、系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710399414.XA CN108989038B (zh) | 2017-05-31 | 2017-05-31 | 一种用于地理位置认证的识别设备、系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108989038A CN108989038A (zh) | 2018-12-11 |
CN108989038B true CN108989038B (zh) | 2021-06-22 |
Family
ID=64501366
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710399414.XA Active CN108989038B (zh) | 2017-05-31 | 2017-05-31 | 一种用于地理位置认证的识别设备、系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108989038B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11196736B2 (en) * | 2019-02-12 | 2021-12-07 | Fujifilm Business Innovation Corp. | Systems and methods for location-aware two-factor authentication |
CN110177124B (zh) * | 2019-06-20 | 2022-02-25 | 深圳市迅雷网络技术有限公司 | 基于区块链的身份认证方法及相关设备 |
CN112152976A (zh) * | 2019-06-28 | 2020-12-29 | 西安光启未来技术研究院 | 一种身份认证方法和系统 |
CN113781675B (zh) * | 2021-08-19 | 2023-06-23 | 杭州宇链科技有限公司 | 可信的巡检打卡方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101090320A (zh) * | 2007-07-13 | 2007-12-19 | 王少波 | 一种电子签名的身份验证方法 |
CN101132277A (zh) * | 2006-08-26 | 2008-02-27 | 华为技术有限公司 | 一种生物认证方法 |
EP2172911A3 (en) * | 2008-10-03 | 2012-07-11 | Fujitsu Limited | Authentication apparatus |
CN103295169A (zh) * | 2013-05-03 | 2013-09-11 | 周羽 | 房地产实人登记信息安全监管方法及系统 |
CN105227307A (zh) * | 2014-06-03 | 2016-01-06 | 阿里巴巴集团控股有限公司 | 身份验证方法与系统以及服务器数据处理方法和服务器 |
-
2017
- 2017-05-31 CN CN201710399414.XA patent/CN108989038B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101132277A (zh) * | 2006-08-26 | 2008-02-27 | 华为技术有限公司 | 一种生物认证方法 |
CN101090320A (zh) * | 2007-07-13 | 2007-12-19 | 王少波 | 一种电子签名的身份验证方法 |
EP2172911A3 (en) * | 2008-10-03 | 2012-07-11 | Fujitsu Limited | Authentication apparatus |
CN103295169A (zh) * | 2013-05-03 | 2013-09-11 | 周羽 | 房地产实人登记信息安全监管方法及系统 |
CN105227307A (zh) * | 2014-06-03 | 2016-01-06 | 阿里巴巴集团控股有限公司 | 身份验证方法与系统以及服务器数据处理方法和服务器 |
Also Published As
Publication number | Publication date |
---|---|
CN108989038A (zh) | 2018-12-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3343831B1 (en) | Identity authentication method and apparatus | |
CN106612180B (zh) | 实现会话标识同步的方法及装置 | |
KR100652125B1 (ko) | 서비스 제공자, 단말기 및 사용자 식별 모듈 간을총괄적으로 인증하여 관리할 수 있도록 하는 상호 인증방법 및 이를 이용한 시스템과 단말 장치 | |
CN108881253B (zh) | 区块链实名参与方法和系统 | |
JP2018532301A5 (zh) | ||
CN108989038B (zh) | 一种用于地理位置认证的识别设备、系统及方法 | |
US20150113283A1 (en) | Protecting credentials against physical capture of a computing device | |
CN110990827A (zh) | 一种身份信息验证方法、服务器及存储介质 | |
CN106161350B (zh) | 一种管理应用标识的方法及装置 | |
WO2007094165A1 (ja) | 本人確認システムおよびプログラム、並びに、本人確認方法 | |
KR101897715B1 (ko) | 바이오정보를 이용한 패스워드 없는 전자서명 시스템 | |
CN111159684B (zh) | 一种基于浏览器的安全防护系统和方法 | |
CN112468506A (zh) | 获取、下发电子证件的实现方法和装置 | |
CN103201998A (zh) | 用于保护移动装置中的本地资源的数据处理 | |
EP1886204B1 (en) | Transaction method and verification method | |
CN112565265B (zh) | 物联网终端设备间的认证方法、认证系统及通讯方法 | |
CN108551435B (zh) | 一种具有匿名性的可验证加密群签名方法 | |
CN106576237A (zh) | 移动管理实体、归属服务器、终端、身份认证系统和方法 | |
CN109462572B (zh) | 基于加密卡和UsbKey的多因子认证方法、系统、存储介质及安全网关 | |
KR20190031986A (ko) | 모바일 생체인식 인증 수행 장치 및 인증 요청 장치 | |
KR101113446B1 (ko) | 휴대기기에 공인인증서를 전송하는 시스템 및 방법 그리고 다차원 코드를 이용하여 데이터를 전송 및 인증하는 시스템 및 방법 | |
CN107423647A (zh) | 一种面向智能家居的rfid委托认证方法 | |
CN111614684B (zh) | 工业设备安全终端认证系统和认证方法 | |
KR101388251B1 (ko) | 소셜 네트워크 서비스에서의 미인증 사용자의 인증 방법 및 장치 | |
US20150121504A1 (en) | Identification process of application of data storage and identification hardware with ic card |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |