CN110336776B - 一种基于用户图像智能采集的多点协同认证系统及方法 - Google Patents
一种基于用户图像智能采集的多点协同认证系统及方法 Download PDFInfo
- Publication number
- CN110336776B CN110336776B CN201910352127.2A CN201910352127A CN110336776B CN 110336776 B CN110336776 B CN 110336776B CN 201910352127 A CN201910352127 A CN 201910352127A CN 110336776 B CN110336776 B CN 110336776B
- Authority
- CN
- China
- Prior art keywords
- image
- beic
- authentication
- manager
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Analysis (AREA)
- Algebra (AREA)
- Software Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于用户图像智能采集的多点协同认证系统及方法,属于物联网中用户图像智能采集及其智能控制的安全领域。所述系统包括前端图像智能采集器和本地域管理机,后端图像智能采集器、后端图像管理机和云服务器。所述方法包括用户图像智能多点协同认证的系统建立算法、本地域管理机与后端图像管理机的认证算法、本地域管理机与云服务器的认证算法、后端图像管理机与云服务器的认证算法。用户的图像真实可靠,避免伪采集器、伪管理机所发出的虚假图像信息;确保了身份未明用户图像身份信息的可靠,避免了伪用户非法操作或窃取相关信息,从而维护了整个物联网系统的安全。
Description
技术领域
本发明属于物联网中用户图像智能采集及其智能控制的安全领域,具体涉及物联网中一种基于用户图像智能采集的多点协同认证系统及方法,目的是在物联网中为身份未明用户的图像智能采集及其智能控制提供一种安全有效的多点协同认证方法。
背景技术
物联网就是首先通过相应的传感设备进行感知。然后,再通过相应的网络器件接入到互联网。最后,通过互联网接入到后台服务器。它们允许设备彼此链接并将信息共享到其他设备。管理人员可以使用远程技术轻松地通过互联网对这些设备进行控制和监视。
然而随着物联网应用的越来越广泛,其网络规模也越来越庞大,传感设备的种类也越来越复杂。在此状况下,物联网的传感信息呈几何级数增长。随着传感信息在物联网中的快速增长,系统对其智能化及其安全性的需求越来越强烈。一方面越来越多的物联网传感设备需要人们去控制,另一方面越来越多的用户需要物联网提供的智能服务是安全而有效的。
虽然人们在物联网及其安全技术方面取得了一定的研究成果,但是这些研究成果涉及用户图像智能采集的比较少,难以保障物联网中智能服务与控制的安全性。因此,远远不能满足人们在这方面的迫切需要,存在很大的局限性。
近一些年来,物联网中存储在云服务器中的传感信息被非法用户入侵和篡改的事件经常发生。这些事件的发生对物联网传感信息的安全与服务都产生不好的影响,给用户、企业和国家带来安全隐患和经济损失。而现有关于物联网的身份认证策略大部分都是建立在单一认证的模式上,容易产生伪节点、伪基站、伪用户等问题,也易发生传感信息被非法操作和窃取的问题,因此,现有的物联网的身份认证策略都无法对物联网的智能服务给出有效的认证方法,因此具有很大的局限性,难以满足越来越多物联网用户对智能服务与控制的安全性管理的需求。
纵观物联网和云技术的发展,我们可以发现:无论是在国内还是在国外,人们对物联网中用户图像智能采集的应用、服务及其安全性的研究尚处于初始探索阶段,尚不够成熟和完善,需要开展大量的研究工作。未来几年,物联网的应用会越来越广泛,网络规模会越来越庞大,感应设备的种类会越来越复杂,用户图像采集的智能化服务也会进一步扩大,其智能化的安全控制也会越来越繁重和困难。在此状况下,在物联网中迫切需要一种基于用户图像智能采集的多点协同认证方法。
发明内容
针对上述问题和矛盾,在遵循现有传感信息的产生、传输和云虚拟服务机制的基础上,采用新的基于用户图像智能采集的智能多点协同认证方法。通过此方法,可以实现用户图像的智能采集、用户图像的智能识别和图像身份的协同认证等。本发明提供了一种基于用户图像智能采集的多点协同认证系统及方法,在物联网中,构建了(1)用户图像智能多点协同认证的系统建立算法;(2)本地域管理机与后端图像管理机的认证算法;(3)本地域管理机与云服务器的认证算法;(4)后端图像管理机与云服务器的认证算法。通过这四个算法,在物联网中实现了用户图像智能采集及其服务智能控制的安全。
一种基于用户图像智能采集的多点协同认证系统,所述系统包括前端图像智能采集器和本地域管理机,还包括后端图像智能采集器、后端图像管理机和云服务器;所述前端图像智能采集器采集身份未明用户信息;并与本地域管理机连接;所述后端图像智能采集器采集合法用户信息,并与后端图像管理机连接;所述后端图像管理机、本地域管理机、云端服务器两两相互连接。
一种基于用户图像智能采集的多点协同认证系统的认证方法,包括以下步骤:
第一步:利用用户图像智能多点协同认证的系统建立算法建立用户图像智能多点协同认证的系统;
首先基于身份未明用户身份认证的属性需要,使用后端图像智能采集器对合法用户的图像进行智能采集;然后,由后端管理人员对此合法用户图像的身份信息、后端图像管理机的身份信息进行输入,将此信息分别进行加密,然后,经SSL(Secure socket layer)或TLS(Transport later security)分别将这些合法用户的加密信息发送本地的域管理机和云服务器。
第二步:利用本地域管理机与后端图像管理机的认证算法对本地域管理机与后端图像管理机进行认证;
首先将前端图像智能采集器采集来的身份未明用户的图像经秘密网络传输给对应的本地域管理机;然后,查询本地域管理机中的域管理图像信息数据库,将前端图像智能采集器采集来的身份未明用户的图像分别与域管理图像信息数据库的合法用户的图像进行一一比较和认证;
第三步:利用本地域管理机与云服务器的认证算法进行本地域管理机与云服务器的认证;
首先对本地域管理机与后端图像管理机的认证结果进行判断,然后,在云服务器中分别对本地域管理机转发过来的身份未明用户的图像、初步对比成功的用户图像的身份信息以及本地域管理机的身份信息进行认证;
第四步:利用后端图像管理机与云服务器的认证算法进行后端图像管理机与云服务器的认证;
首先对本地域管理机与云服务器的认证结果进行判断,然后,在云服务器中分别对后端图像管理机转发过来的身份未明用户的图像、初步对比成功的用户图像的身份信息以及后端图像管理机的身份信息进行认证。
进一步的,所述的第一步中将合法用户的图像、合法用户图像的身份信息的加密过程置于后端图像管理机,将身份未明用户的图像、身份未明用户图像的身份信息的加密过程置于本地域管理机,在后端图像管理机中构建了合法用户图像信息数据库、在本地域管理机中构建了域管理图像信息数据库、在云服务器中构建了云服务图像与合法用户身份信息数据库。
进一步的,所述的第一步用户图像智能多点协同认证的系统建立算法具体步骤如下:
步骤11:后端图像智能采集器BIICj根据后端管理人员的要求智能采集合法用户Ui(i=1,2,3,…,n)的图像P(Ui),并经秘密网络将合法用户图像P(Ui)传输给对应的后端图像管理机BEICj;
步骤12:后端图像管理机BEICj在接收到后端图像智能采集器传输来的合法用户图像P(Ui)后,要求后端管理人员输入后端图像管理机BEICj的身份信息ID(BEICj)和此合法用户图像的身份信息ID(Ui);
步骤13:后端管理人员根据后端图像管理机BEICj的要求输入后端图像管理机BEICj的身份信息ID(BEICj)、合法用户图像的身份信息ID(Ui);
步骤14:后端图像管理机BEICj在接收到输入的合法用户图像的身份信息ID(Ui)后,构建相应的合法用户图像信息数据库DB(Ui||P(Ui)||ID(Ui)||BEICj||ID(BEICj));此数据库包含后端图像管理机自己的身份信息ID(BEICj)、合法用户名Ui,合法用户的身份信息ID(Ui)、合法用户的图像信息P(Ui)等;
步骤15:后端图像管理机BEICj在构建数据库DB(Ui||BEICj)后,首先根据椭圆型曲线加密方法,分别产生一个公钥PK1(BEICj)和一个对应的私钥SK1(BEICj);在此基础上,后端图像管理机BEICj再根据椭圆型曲线加密方法,使用公钥PK1(BEICj)对合法用户的图像P(Ui)和自己的身份信息ID(BEICj)进行加密,然后将其加密文件经SSL或TLS发送本地的域管理机;
步骤17:后端图像管理机BEICj在接收到本地域管理机的私钥申请后,将私钥SK1(BEICj)经SSL或TLS发送本地域管理机;
步骤19:本地域管理机对加密文件进行解密后,构建相应的域管理图像信息数据库DB(P(Ui)||BEICj||ID(BEICj))。此数据库包含合法用户的图像信息P(Ui)、后端图像管理机名BEICj,后端图像管理机BEICj的身份信息ID(BEICj)等;
步骤110:本地域管理机判断域管理图像信息数据库DB(P(Ui)||BEICj||ID(BEICj))是否构建完毕;如果不是,则继续步骤19,否则,则向后端图像管理机BEICj发送确认信息;
步骤111:后端图像管理机BEICj在接收到本地域管理机发送来的确认信息后,根据椭圆型曲线加密方法,再分别产生一个公钥PK2(BEICj)和一个对应的私钥SK2(BEICj);
步骤112:后端图像管理机BEICj根据椭圆型曲线加密方法,使用公钥PK2(BEICj)对合法用户的图像P(Ui)、用户图像的身份信息ID(Ui)和自己的身份信息ID(BEICj)进行加密,然后将其加密文件经SSL或TLS发送云服务器;
步骤114:后端图像管理机BEICj在接收到云服务器的私钥申请后,将私钥SK2(BEICj)经SSL或TLS发送云服务器;
步骤116:云服务器对加密文件进行解密后,构建相应的云服务图像与合法用户身份信息数据库DB(P(Ui)||ID(Ui)||ID(BEICj));此数据库包含合法用户的图像信息P(Ui)、合法用户图像的身份信息ID(Ui)和后端图像管理机BEICj的身份信息ID(BEICj)等;
步骤117:云服务器判断云服务图像与合法用户身份信息数据库DB(P(Ui)||ID(Ui)||ID(BEICj))是否构建完毕;如果不是,则继续步骤116,否则,则向后端图像管理机BEICj发送确认信息;
步骤118:后端图像管理机BEICj在接收到云服务器发送来的确认信息后,判断后端管理人员是否还需要后端图像智能采集器BIICj采集合法用户图像,如果需要,则转到步骤11,否则,转到步骤119;
步骤119:系统构建结束。
进一步的,第二步在本地域管理机与后端图像管理机的认证算法中,一方面使用数字签名方法对“申请认证”消息进行签名认证,另一方面使用椭圆形数字加密的数字签名方法对本地域管理机发送来的身份未明用户的图像消息进行认证。
进一步的,所述的第二步中本地域管理机与后端图像管理机的认证算法具体步骤如下:
步骤21:前端图像智能采集器FIICk根据周围场景智能判断是否有身份未明用户需要图像采集,如果有,则转到步骤23,否则,进行步骤22;
步骤22:前端图像智能采集器FIICk等待三秒,再转到步骤21;
步骤23:前端图像智能采集器FIICk根据周围场景智能采集身份未明用户的图像P(U*n),并经秘密网络将身份未明用户的图像P(U*n)传输给对应的本地域管理机;
步骤24:本地域管理机在接收到前端图像智能采集器FIICk发送来的身份未明用户的图像P(U*n)后,查询域管理图像信息数据库DB(P(Ui)||BEICj||ID(BEICj))中所有合法用户的图像信息P(Ui),并将数据库DB(P(Ui)||BEICj||ID(BEICj))中的合法用户图像信息P(Ui)与前端图像智能采集器FIICk发送来的身份未明用户的图像P(U*n)进行比较;如果在域管理图像信息数据库DB(P(Ui)||BEICj||ID(BEICj))中存在某一个合法用户的图像信息P(Ui)与前端图像智能采集器FIICk发送来的身份未明用户的图像P(U*n)相同(即P(U*n)=P(Ui)),则转到步骤25;否则,删除前端图像智能采集器FIICk发送来的身份未明用户的图像P(U*n),再转到步骤22;
步骤25:根据数据库DB(P(Ui)||BEICj||ID(BEICj))中合法用户的图像信息P(Ui)所对应的后端图像管理机BEICj,本地域管理机首先使用私钥SK(LDC)对“申请认证”消息进行签名,即("申请认证")SK(LDC);然后,将签名消息("申请认证")SK(LDC)发送给后端图像管理机BEICj;
步骤26:后端图像管理机BEICj在接收到本地域管理机发送来的签名消息("申请认证")SK(LDC)后,使用本地域管理机的公钥对签名消息("申请认证")SK(LDC)进行认证;如果认证成功,则转到步骤27,否则,显示“申请认证失败”,转到步骤23;
步骤29:根据解密的消息,本地域管理机首先使用私钥SK(LDC)对前端图像智能采集器FIICk采集的身份未明用户的图像P(U*n)消息进行签名,即(P(U*n))SK(LDC);然后,将签名消息(P(U*n))SK(LDC)发送给后端图像管理机BEICj;
步骤210:后端图像管理机BEICj在接收到本地域管理机发送来的签名消息(P(U*n))SK(LDC)后,使用本地域管理机的公钥对签名消息(P(U*n))SK(LDC)进行认证;如果认证成功,则转到步骤211,否则,显示“图像签名认证失败”,转到步骤23;
步骤211:后端图像管理机BEICj接收前端图像智能采集器FIICk发送来的身份未明用户的图像P(U*n);
步骤212:后端图像管理机BEICj首先查询合法用户图像信息数据库DB(Ui||P(Ui)||ID(Ui)||BEICj||ID(BEICj))中的所有合法用户的图像信息P(Ui),然后将合法用户的图像信息P(Ui)与前端图像智能采集器FIICk发送来的身份未明用户的图像P(U*n)进行比较;如果在后端合法用户图像信息数据库DB(Ui||P(Ui)||ID(Ui)||BEICj||ID(BEICj))中存在某一个合法用户图像信息P(Ui)与前端图像智能采集器FIICk发送来的身份未明用户的图像P(U*n)相同(即P(U*n)=P(Ui)),则后端图像管理机BEICj显示“与本地域管理机认证成功”,否则,后端图像管理机BEICj显示“与本地域管理机认证失败”,转到步骤215;
步骤213:后端图像管理机BEICj将图像认证结果消息进行加密“与本地域管理机认证成功”,然后将其加密消息经SSL或TLS发送本地的域管理机;
步骤214:后端图像管理机BEICj判断图像认证结果消息是否发送完毕,如果是,转到步骤215,否则,转到步骤213;
步骤215:结束。
进一步的,所述的第三步中在使用数字签名方法对“申请认证”消息进行签名认证,在云服务器中使用椭圆形数字加密的数字签名方法对本地域管理机发送来的身份未明用户的图像消息进行认证。
进一步的,所述的第三步本地域管理机与云服务器的认证算法具体步骤如下:
步骤31:本地域管理机接收后端图像管理机BEICj发送来的图像认证结果消息,并对此消息进行解密;
步骤32:本地域管理机对解密的图像认证结果消息进行判定,如果是“与本地域管理机认证成功”,则转到步骤33,否则,则转到步骤313;
步骤33:本地域管理机首先使用私钥SK(LDC)对“申请认证”消息进行签名,即("申请请认")SK(LDC);然后,将签名消息("申请请认")SK(LDC)发送给云服务器;
步骤34:云服务器在接收到本地域管理机发送来的签名消息("申请请认")SK(LDC)后,使用本地域管理机的公钥对签名消息("申请请认")SK(LDC)进行认证。如果认证成功,则转到步骤35,否则,显示“申请认证失败”,则转到步骤313;
步骤37:根据解密的消息,本地域管理机首先使用私钥SK(LDC)对采集的身份未明用户的图像P(U*n)进行签名,即(P(U*n))SK(LDC);然后,将签名消息(P(U*n))SK(LDC)发送给云服务器;
步骤38:云服务器在接收到本地域管理机发送来的签名消息(P(U*n))SK(LDC)后,使用本地域管理机的公钥对签名消息(P(U*n))SK(LDC)进行认证;如果认证成功,则转到步骤39,否则,显示“图像认证失败”,则转到步骤313;
步骤39:云服务器接收前端图像智能采集器FIICk发送来的身份未明用户的图像P(U*n);
步骤310:云服务器首先查询云服务图像与合法用户身份信息数据库DB(P(Ui)||ID(Ui)||ID(BEICj))中的所有合法用户的图像信息P(Ui),然后将合法用户的图像信息P(Ui)与本地域管理机发送来的身份未明用户的图像P(U*n)进行比较。如果在云服务图像与合法用户身份信息数据库DB(P(Ui)||ID(Ui)||ID(BEICj))中存在某一个合法用户图像信息P(Ui)与前端图像智能采集器FIICk发送来的身份未明用户的图像P(U*n)相同(即P(U*n)=P(Ui)),则云服务器显示“与云服务器认证成功”;否则,云服务器显示“与云服务器认证失败”,转到步骤313;
步骤311:云服务器将图像认证结果消息“与云服务器认证成功”进行加密,然后将其加密消息经SSL或TLS发送本地的域管理机和对应的后端图像管理机BEICj;
步骤312:云服务器判断图像认证结果消息是否发送完毕,如果是,转到步骤313,否则,转到步骤311;
步骤313:结束。
进一步的,所述的第四步中使用数字签名方法对“申请认证”消息进行签名认证,在云服务器中使用椭圆形数字加密的数字签名方法对后端图像管理机发送来的身份未明用户的图像、初步对比成功的用户图像的身份信息进行进一步的认证。
进一步的,所述的第四步后端图像管理机与云服务器的认证算法具体步骤如下:
步骤41:后端图像管理机BEICj接收云服务器发送来的“图像认证结果消息”,并对此消息进行解密;
步骤42:后端图像管理机BEICj对解密的“图像认证结果消息”进行判定,如果是“与云服务器认证成功”,则转到步骤43,否则,则转到步骤413;
步骤47:根据解密的消息,后端图像管理机BEICj首先使用私钥SK(BEICj)对本地域管理机发送来的身份未明用户的图像P(U*n)、本地域管理机与后端图像管理机BEICj初步对比成功的身份未明用户的图像P(U*n)所对应的用户身份信息、自己的身份信息ID(BEICj)进行签名,即然后,将签名消息发送给云服务器;
步骤48:云服务器在接收到后端图像管理机BEICj发送来的签名消息后,使用后端图像管理机BEICj的公钥对签名消息进行认证;如果签名认证成功,则转到步骤49,否则,显示“后端图像管理机BEICj与云服务器的认证失败”,转到步骤413;
步骤49:云服务器存储经过签名认证的身份未明用户的图像P(U*n)、本地域管理机与后端图像管理机BEICj初步对比成功的身份未明用户的图像P(U*n)的身份信息、后端图像管理机BEICj的身份信息ID(BEICj);
步骤410:云服务器首先查询云服务图像与合法用户身份信息数据库DB(P(Ui)||ID(Ui)||ID(BEICj))中的所有合法用户的图像信息P(Ui)、合法用户图像P(Ui)的身份信息、后端图像管理机BEICj的身份信息ID(BEICj);然后将签名认证过的身份未明用户的图像P(U*n)、身份未明用户的图像P(U*n)的身份信息分别与云服务图像与合法用户身份信息数据库DB(P(Ui)||ID(Ui)||ID(BEICj))中合法用户的图像信息P(Ui)、合法用户图像P(Ui)的身份信息进行比较。如果在云服务图像与合法用户身份信息数据库DB(P(Ui)||ID(Ui)||ID(BEICj))中存在某一个合法用户的图像信息P(Ui)、合法用户图像P(Ui)的身份信息与签名认证过的身份未明用户的图像P(U*n)、身份未明用户图像P(U*n)的身份信息分别相同(即P(U*n)=P(Ui)、ID(U*n)=ID(Ui)),则云服务器显示“后端图像管理机BEICj与云服务器的图像认证成功”;否则,云服务器显示“后端图像管理机BEICj与云服务器的图像认证失败”,转到步骤413;
步骤411:云服务器将图像认证结果消息“后端图像管理机BEICj与云服务器的图像认证成功”进行加密,然后将其加密消息经SSL或TLS发送本地的域管理机和对应的后端图像管理机BEICj;
步骤412:云服务器判断图像认证结果消息是否发送完毕,如果是,转到步骤413,否则,转到步骤411;
步骤413:结束。
物联网中一种基于用户图像智能采集的多点协同认证方法具有以下优点及其效果:
1、采用了新的用户图像智能多点协同认证的系统建立算法
考虑到物联网中用户图像智能采集、传输、存储、查询、对比等过程所面临的各种安全威胁,本构建算法首先通过后端图像智能采集器对合法用户的图像进行预先采集,然后,通过秘密网络将其传输到后端图像管理机。在此基础上,通过后端管理人员输入后端图像管理机的身份信息和合法用户图像的身份信息。基于这些信息,在后端图像管理机中,构建了合法用户图像信息数据库;在本地域管理机中,构建了域管理图像信息数据库;在云服务器中,构建了云服务图像与合法用户身份信息数据库。这些数据库的构建,为用户图像智能的多点协同认证打下了基础。另外,在系统建立过程中,分别使用了加密和数字签名的方法,确保了后端图像智能采集器所采集的合法用户的图像、后端图像管理机所输入的合法用户图像的身份信息在传输过程中的安全性,从而确保了系统在建立过程中的安全性。
2、采用了新的本地域管理机与后端图像管理机的认证算法
为了解决单一认证容易产生用户身份的伪造、密钥的窃取等问题,本认证算法一方面使用了数字签名方法对“申请认证”消息进行签名认证,另一方面使用了椭圆形数字加密的数字签名方法对本地域管理机发送来的身份未明用户的图像消息进行认证。为了保证本地域管理机与后端图像管理机认证过程的有序性和完整性,在此算法中,将前端图像智能采集器采集来的身份未明用户的图像分别与域管理图像信息数据库的合法用户的图像进行一一比较和认证。通过此认证一方面确保了前端图像智能采集器采集来的身份未明用户的图像真实可靠,避免伪采集器、伪管理机所发出的虚假图像信息;另一方面确保了身份未明用户图像身份信息的可靠,避免了伪用户非法操作或窃取相关信息,从而维护了整个物联网系统的安全。
3、采用了新的本地域管理机与云服务器的认证算法
本认证算法首先对本地域管理机与后端图像管理机的认证结果进行判断,增加了本地域管理机与后端图像管理机认证的协同性;同时,在云服务器中,将前端图像智能采集器采集来的身份未明用户的图像分别与云服务图像与合法用户身份信息数据库中的用户图像进行一一比较和认证,增加了用户图像智能采集协同认证的多点性,使物联网中基于用户图像智能采集的协同认证不再仅仅局限于认证双方,避免了单一认证所存在的各种安全问题。另外,在用户图像与用户图像身份信息的认证过程中,使用了双重签名认证的思想,避免了单一签名认证的身份伪造问题。
4、采用了新的后端图像管理机与云服务器的认证算法
本认证算法首先对本地域管理机与云服务器的认证结果进行判断,进一步的增加了本地域管理机与云服务器认证的协同性,同时也进一步的增加了物联网中用户图像智能采集认证的多点性。在云服务器中,分别对后端图像管理机转发过来的身份未明用户图像、初步对比成功的用户图像的身份信息以及后端图像管理机的身份信息进行进一步认证,增加了后端图像管理机与云服务器认证属性的多样性,拓展了物联网中用户图像智能采集认证的属性范围。同样,在此算法中,也使用了双重签名认证的思想,从而也避免了单一签名认证的身份伪造问题。
5、认证的多点性和协同性
在物联网中,基于用户图像智能采集的这种多点协同认证方法充分考虑了物联网、后端图像智能采集器、后端图像管理机、前端图像智能采集器、本地域管理机、云服务器、用户图像、用户图像身份信息的通信传输等特点,将合法用户图像的原始采集交给后端图像智能采集器、将合法用户图像的身份信息输入交给后端图像管理机,将身份未明用户的图像采集交给前端图像智能采集器,将用户图像和用户图像的身份信息的认证交给后端图像管理机、本地域管理机与云服务器适应了物联网中用户图像智能采集的多点协同认证的需求和特征,满足了用户图像智能采集认证的多点性和协同性。
6、良好的可扩展性
在物联网中,基于用户图像智能采集的这种多点协同认证方法一方面考虑了合法用户图像的原始采集,另一方面也考虑了身份未明用户的图像采集,将这两种不同类型的用户图像采集分别分配给后端图像智能采集器和前端图像智能采集器,能使不同用户的图像智能采集免受干扰,具有很好的扩展性。同时,结合了云服务器存储和计算能力强等特点,在用户图像、用户图像身份信息的存储过程中,将所有后端图像智能采集器采集的全部合法用户的图像均存储在云服务器;在用户图像、用户图像身份信息的认证过程中,也将云服务器作为主要的认证场所。这样使得用户图像的智能采集与协同认证不再受后端图像智能采集器、后端图像管理机、前端图像智能采集器、本地域管理机的多少而影响,因而具有良好的可扩展性。
附图说明
图1物联网中一种基于用户图像智能采集的多点协同认证的体系结构图;
图2用户图像智能多点协同认证系统建立的算法流程图;
图3本地域管理机与后端图像管理机的认证算法流程图;
图4本地域管理机与云服务器的认证算法流程图;
图5后端图像管理机与云服务器的认证算法流程图。
具体实施方式
从物联网中基于用户图像智能采集的多点协同认证的角度来说,本发明包括:用户图像智能多点协同认证的系统建立算法、本地域管理机与后端图像管理机的认证算法、本地域管理机与云服务器的认证算法、后端图像管理机与云服务器的认证算法。在这些算法中,本地域管理机、后端图像管理机、云服务器之间的信息传输都遵循SSL(Securesocket layer)或TLS(Transport later security)协议。一种基于用户图像智能采集的多点协同认证系统,结构如图1所示,所述系统包括前端图像智能采集器和本地域管理机,其特征在于还包括后端图像智能采集器、后端图像管理机和云服务器;所述前端图像智能采集器采集身份未明用户信息;并与本地域管理机连接;所述后端图像智能采集器采集合法用户信息,并与后端图像管理机连接;所述后端图像管理机、本地域管理机、云端服务器两两相互连接。
而实现过程可以描述如下:
第一步:利用用户图像智能多点协同认证的系统建立算法建立用户图像智能多点协同认证的系统。
在用户图像智能多点协同认证的系统建立算法中,首先基于身份未明用户身份认证的属性需要,使用后端图像智能采集器对合法用户的图像进行智能采集。然后,由后端管理人员对此合法用户图像的身份信息、后端图像管理机的身份信息进行输入。在此基础上,结合身份未明用户图像与身份认证的智能化协同认证的需要,将此信息分别进行加密,然后,经SSL(Secure socket layer)或TLS(Transport later security)分别将这些合法用户的加密信息发送本地的域管理机和云服务器,方便以后本地域管理机和云服务器对前端图像智能采集器所采集的图像进行协同认证,增强用户身份信息和图像信息的安全性,降低非法用户网络入侵的概率。与此同时,为了避免后端图像智能采集器的加密运算对其感应能力和传输能力的影响,提高后端图像智能采集器的感应能力和传输能力,在后端图像智能采集器的采集和传输过程中,将合法用户的图像、合法用户图像的身份信息的加密过程置于后端图像管理机,增强后端图像智能采集器的感应效率和传输效率。类似的,为了避免前端图像智能采集器的加密运算对其感应能力和传输能力的影响,提高前端图像智能采集器的感应能力和传输能力,在前端图像智能采集器的采集和传输过程中,将身份未明用户的图像、身份未明用户图像的身份信息的加密过程置于本地域管理机,增强前端图像智能采集器的感应效率和传输效率。为了方便后端图像管理机、本地域管理机和云服务器对用户图像的认证和存储,在后端图像管理机中构建了合法用户图像信息数据库、在本地域管理机中构建了域管理图像信息数据库、在云服务器中构建了云服务图像与合法用户身份信息数据库。
用户图像智能多点协同认证的系统建立算法如图2所示,具体步骤如下:
步骤11:后端图像智能采集器BIICj根据后端管理人员的要求智能采集合法用户Ui(i=1,2,3,…,n)的图像P(Ui),并经秘密网络将合法用户图像P(Ui)传输给对应的后端图像管理机BEICj。
步骤12:后端图像管理机BEICj在接收到后端图像智能采集器传输来的合法用户图像P(Ui)后,要求后端管理人员输入后端图像管理机BEICj的身份信息ID(BEICj)和此合法用户图像的身份信息ID(Ui)。
步骤13:后端管理人员根据后端图像管理机BEICj的要求输入后端图像管理机BEICj的身份信息ID(BEICj)、合法用户图像的身份信息ID(Ui)。
步骤14:后端图像管理机BEICj在接收到输入的合法用户图像的身份信息ID(Ui)后,构建相应的合法用户图像信息数据库DB(Ui||P(Ui)||ID(Ui)||BEICj||ID(BEICj))。此数据库包含后端图像管理机自己的身份信息ID(BEICj)、合法用户名Ui,合法用户的身份信息ID(Ui)、合法用户的图像信息P(Ui)等。
步骤15:后端图像管理机BEICj在构建数据库DB(Ui||BEICj)后,首先根据椭圆型曲线加密方法,分别产生一个公钥PK1(BEICj)和一个对应的私钥SK1(BEICj)。在此基础上,后端图像管理机BEICj再根据椭圆型曲线加密方法,使用公钥PK1(BEICj)对合法用户的图像P(Ui)和自己的身份信息ID(BEICj)进行加密,然后将其加密文件经SSL或TLS发送本地的域管理机。
步骤17:后端图像管理机BEICj在接收到本地域管理机的私钥申请后,将私钥SK1(BEICj)经SSL或TLS发送本地域管理机。
步骤19:本地域管理机对加密文件进行解密后,构建相应的域管理图像信息数据库DB(P(Ui)||BEICj||ID(BEICj))。此数据库包含合法用户的图像信息P(Ui)、后端图像管理机名BEICj,后端图像管理机BEICj的身份信息ID(BEICj)等。
步骤110:本地域管理机判断域管理图像信息数据库DB(P(Ui)||BEICj||ID(BEICj))是否构建完毕。如果不是,则继续步骤19,否则,则向后端图像管理机BEICj发送确认信息。
步骤111:后端图像管理机BEICj在接收到本地域管理机发送来的确认信息后,根据椭圆型曲线加密方法,再分别产生一个公钥PK2(BEICj)和一个对应的私钥SK2(BEICj)。
步骤112:后端图像管理机BEICj根据椭圆型曲线加密方法,使用公钥PK2(BEICj)对合法用户的图像P(Ui)、用户图像的身份信息ID(Ui)和自己的身份信息ID(BEICj)进行加密,然后将其加密文件经SSL或TLS发送云服务器。
步骤114:后端图像管理机BEICj在接收到云服务器的私钥申请后,将私钥SK2(BEICj)经SSL或TLS发送云服务器。
步骤116:云服务器对加密文件进行解密后,构建相应的云服务图像与合法用户身份信息数据库DB(P(Ui)||ID(Ui)||ID(BEICj))。此数据库包含合法用户的图像信息P(Ui)、合法用户图像的身份信息ID(Ui)和后端图像管理机BEICj的身份信息ID(BEICj)等。
步骤117:云服务器判断云服务图像与合法用户身份信息数据库DB(P(Ui)||ID(Ui)||ID(BEICj))是否构建完毕。如果不是,则继续步骤116,否则,则向后端图像管理机BEICj发送确认信息。
步骤118:后端图像管理机BEICj在接收到云服务器发送来的确认信息后,判断后端管理人员是否还需要后端图像智能采集器BIICj采集合法用户图像,如果需要,则转到步骤11,否则,转到步骤119。
步骤119:系统构建结束。
第二步:利用本地域管理机与后端图像管理机的认证算法对本地域管理机与后端图像管理机进行认证。
首先将前端图像智能采集器采集来的身份未明用户的图像经秘密网络传输给对应的本地域管理机。然后,查询本地域管理机中的域管理图像信息数据库,将前端图像智能采集器采集来的身份未明用户的图像分别与域管理图像信息数据库的合法用户的图像进行一一比较和认证,保证了用户图像查询、比较、认证的有序性和完整性。与此同时,由于单一认证过程难以对用户的身份伪造、节点伪装等问题进行辨别和检测,存在很多安全问题。因此,在本地域管理机与后端图像管理机的认证算法中,一方面使用数字签名方法对“申请认证”消息进行签名认证,另一方面使用椭圆形数字加密的数字签名方法对本地域管理机发送来的身份未明用户的图像消息进行认证。这种双重的签名认证能够最大程度的避免单一认证过程中所存在的一些问题。
本地域管理机与后端图像管理机的认证算法如图3所示,具体步骤如下:
步骤21:前端图像智能采集器FIICk根据周围场景智能判断是否有身份未明用户需要图像采集,如果有,则转到步骤23,否则,进行步骤22。
步骤22:前端图像智能采集器FIICk等待三秒,再转到步骤21。
步骤23:前端图像智能采集器FIICk根据周围场景智能采集身份未明用户的图像P(U*n),并经秘密网络将身份未明用户的图像P(U*n)传输给对应的本地域管理机。
步骤24:本地域管理机在接收到前端图像智能采集器FIICk发送来的身份未明用户的图像P(U*n)后,查询域管理图像信息数据库DB(P(Ui)||BEICj||ID(BEICj))中所有合法用户的图像信息P(Ui),并将数据库DB(P(Ui)||BEICj||ID(BEICj))中的合法用户图像信息P(Ui)与前端图像智能采集器FIICk发送来的身份未明用户的图像P(U*n)进行比较。如果在域管理图像信息数据库DB(P(Ui)||BEICj||ID(BEICj))中存在某一个合法用户的图像信息P(Ui)与前端图像智能采集器FIICk发送来的身份未明用户的图像P(U*n)相同(即P(U*n)=P(Ui)),则转到步骤25;否则,删除前端图像智能采集器FIICk发送来的身份未明用户的图像P(U*n),再转到步骤22。
步骤25:根据数据库DB(P(Ui)||BEICj||ID(BEICj))中合法用户的图像信息P(Ui)所对应的后端图像管理机BEICj,本地域管理机首先使用私钥SK(LDC)对“申请认证”消息进行签名,即("申请认证")SK(LDC);然后,将签名消息("申请认证")SK(LDC)发送给后端图像管理机BEICj。
步骤26:后端图像管理机BEICj在接收到本地域管理机发送来的签名消息("申请认证")SK(LDC)后,使用本地域管理机的公钥对签名消息("申请认证")SK(LDC)进行认证。如果认证成功,则转到步骤27,否则,显示“申请认证失败”,转到步骤23。
步骤29:根据解密的消息,本地域管理机首先使用私钥SK(LDC)对前端图像智能采集器FIICk采集的身份未明用户的图像P(U*n)消息进行签名,即(P(U*n))SK(LDC);然后,将签名消息(P(U*n))SK(LDC)发送给后端图像管理机BEICj。
步骤210:后端图像管理机BEICj在接收到本地域管理机发送来的签名消息(P(U*n))SK(LDC)后,使用本地域管理机的公钥对签名消息(P(U*n))SK(LDC)进行认证。如果认证成功,则转到步骤211,否则,显示“图像签名认证失败”,转到步骤23。
步骤211:后端图像管理机BEICj接收前端图像智能采集器FIICk发送来的身份未明用户的图像P(U*n)
步骤212:后端图像管理机BEICj首先查询合法用户图像信息数据库DB(Ui||P(Ui)||ID(Ui)||BEICj||ID(BEICj))中的所有合法用户的图像信息P(Ui),然后将合法用户的图像信息P(Ui)与前端图像智能采集器FIICk发送来的身份未明用户的图像P(U*n)进行比较。如果在后端合法用户图像信息数据库DB(Ui||P(Ui)||ID(Ui)||BEICj||ID(BEICj))中存在某一个合法用户图像信息P(Ui)与前端图像智能采集器FIICk发送来的身份未明用户的图像P(U*n)相同(即P(U*n)=P(Ui)),则后端图像管理机BEICj显示“与本地域管理机认证成功”,否则,后端图像管理机BEICj显示“与本地域管理机认证失败”,转到步骤215。
步骤213:后端图像管理机BEICj将图像认证结果消息进行加密“与本地域管理机认证成功”,然后将其加密消息经SSL或TLS发送本地的域管理机。
步骤214:后端图像管理机BEICj判断图像认证结果消息是否发送完毕,如果是,转到步骤215,否则,转到步骤213;
步骤215:结束。
第三步:利用本地域管理机与云服务器的认证算法进行本地域管理机与云服务器的认证。
首先对本地域管理机与后端图像管理机的认证结果进行判断,一方面增加了本地域管理机与后端图像管理机认证的协同性,另一方面增加了物联网中用户图像智能采集认证的多点性。另外,为了避免单一认证所存在的问题,在此算法中,也使用了双重签名认证的思想,即一方面使用数字签名方法对“申请认证”消息进行签名认证,另一方面在云服务器中使用椭圆形数字加密的数字签名方法对本地域管理机发送来的身份未明用户的图像消息进行认证。
本地域管理机与云服务器的认证算法如图4所示,具体步骤如下:
步骤31:本地域管理机接收后端图像管理机BEICj发送来的图像认证结果消息,并对此消息进行解密。
步骤32:本地域管理机对解密的图像认证结果消息进行判定,如果是“与本地域管理机认证成功”,则转到步骤33,否则,则转到步骤313。
步骤33:本地域管理机首先使用私钥SK(LDC)对“申请认证”消息进行签名,即("申请请认")SK(LDC);然后,将签名消息("申请请认")SK(LDC)发送给云服务器。
步骤34:云服务器在接收到本地域管理机发送来的签名消息("申请请认")SK(LDC)后,使用本地域管理机的公钥对签名消息("申请请认")SK(LDC)进行认证。如果认证成功,则转到步骤35,否则,显示“申请认证失败”,则转到步骤313。
步骤37:根据解密的消息,本地域管理机首先使用私钥SK(LDC)对采集的身份未明用户的图像P(U*n)进行签名,即(P(U*n))SK(LDC);然后,将签名消息(P(U*n))SK(LDC)发送给云服务器。
步骤38:云服务器在接收到本地域管理机发送来的签名消息(P(U*n))SK(LDC)后,使用本地域管理机的公钥对签名消息(P(U*n))SK(LDC)进行认证。如果认证成功,则转到步骤39,否则,显示“图像认证失败”,则转到步骤313。
步骤39:云服务器接收前端图像智能采集器FIICk发送来的身份未明用户的图像P(U*n)。
步骤310:云服务器首先查询云服务图像与合法用户身份信息数据库DB(P(Ui)||ID(Ui)||ID(BEICj))中的所有合法用户的图像信息P(Ui),然后将合法用户的图像信息P(Ui)与本地域管理机发送来的身份未明用户的图像P(U*n)进行比较。如果在云服务图像与合法用户身份信息数据库DB(P(Ui)||ID(Ui)||ID(BEICj))中存在某一个合法用户图像信息P(Ui)与前端图像智能采集器FIICk发送来的身份未明用户的图像P(U*n)相同(即P(U*n)=P(Ui)),则云服务器显示“与云服务器认证成功”。否则,云服务器显示“与云服务器认证失败”,转到步骤313。
步骤311:云服务器将图像认证结果消息“与云服务器认证成功”进行加密,然后将其加密消息经SSL或TLS发送本地的域管理机和对应的后端图像管理机BEICj。
步骤312:云服务器判断图像认证结果消息是否发送完毕,如果是,转到步骤313,否则,转到步骤311。
步骤313:结束。
第四步:利用后端图像管理机与云服务器的认证算法进行后端图像管理机与云服务器的认证。
首先对本地域管理机与云服务器的认证结果进行判断,一方面进一步的增加了本地域管理机与云服务器认证的协同性,另一方面也进一步的增加了物联网中用户图像智能采集认证的多点性。为了避免用户图像的身份伪造、密钥窃取等问题,在此算法中,分别在云服务器中对后端图像管理机转发过来的身份未明用户的图像、初步对比成功的用户图像的身份信息以及后端图像管理机的身份信息进行认证,增加了后端图像管理机与云服务器认证属性的多样性,拓展了物联网中用户图像智能采集认证的属性范围。同样,在此算法中,为了避免单一认证所存在的问题,在此算法中,也使用了双重签名认证的思想,即一方面使用数字签名方法对“申请认证”消息进行签名认证,另一方面在云服务器中使用椭圆形数字加密的数字签名方法对后端图像管理机发送来的身份未明用户的图像、初步对比成功的用户图像的身份信息进行进一步的认证。
后端图像管理机与云服务器的认证算法如图5所示,具体步骤如下:
步骤41:后端图像管理机BEICj接收云服务器发送来的“图像认证结果消息”,并对此消息进行解密。
步骤42:后端图像管理机BEICj对解密的“图像认证结果消息”进行判定,如果是“与云服务器认证成功”,则转到步骤43,否则,则转到步骤413。
步骤47:根据解密的消息,后端图像管理机BEICj首先使用私钥SK(BEICj)对本地域管理机发送来的身份未明用户的图像P(U*n)、本地域管理机与后端图像管理机BEICj初步对比成功的身份未明用户的图像P(U*n)所对应的用户身份信息、自己的身份信息ID(BEICj)进行签名,即然后,将签名消息发送给云服务器。
步骤48:云服务器在接收到后端图像管理机BEICj发送来的签名消息后,使用后端图像管理机BEICj的公钥对签名消息进行认证。如果签名认证成功,则转到步骤49,否则,显示“后端图像管理机BEICj与云服务器的认证失败”,转到步骤413。
步骤49:云服务器存储经过签名认证的身份未明用户的图像P(U*n)、本地域管理机与后端图像管理机BEICj初步对比成功的身份未明用户的图像P(U*n)的身份信息、后端图像管理机BEICj的身份信息ID(BEICj)。
步骤410:云服务器首先查询云服务图像与合法用户身份信息数据库DB(P(Ui)||ID(Ui)||ID(BEICj))中的所有合法用户的图像信息P(Ui)、合法用户图像P(Ui)的身份信息、后端图像管理机BEICj的身份信息ID(BEICj)。然后将签名认证过的身份未明用户的图像P(U*n)、身份未明用户的图像P(U*n)的身份信息分别与云服务图像与合法用户身份信息数据库DB(P(Ui)||ID(Ui)||ID(BEICj))中合法用户的图像信息P(Ui)、合法用户图像P(Ui)的身份信息进行比较。如果在云服务图像与合法用户身份信息数据库DB(P(Ui)||ID(Ui)||ID(BEICj))中存在某一个合法用户的图像信息P(Ui)、合法用户图像P(Ui)的身份信息与签名认证过的身份未明用户的图像P(U*n)、身份未明用户图像P(U*n)的身份信息分别相同(即P(U*n)=P(Ui)、ID(U*n)=ID(Ui)),则云服务器显示“后端图像管理机BEICj与云服务器的图像认证成功”。否则,云服务器显示“后端图像管理机BEICj与云服务器的图像认证失败”,转到步骤413。
步骤411:云服务器将图像认证结果消息“后端图像管理机BEICj与云服务器的图像认证成功”进行加密,然后将其加密消息经SSL或TLS发送本地的域管理机和对应的后端图像管理机BEICj。
步骤412:云服务器判断图像认证结果消息是否发送完毕,如果是,转到步骤413,否则,转到步骤411;
步骤413:结束。
Claims (8)
1.一种基于用户图像智能采集的多点协同认证系统的认证方法,所述系统包括前端图像智能采集器和本地域管理机,其特征在于还包括后端图像智能采集器、后端图像管理机和云服务器;所述前端图像智能采集器采集身份未明用户信息;并与本地域管理机连接;所述后端图像智能采集器采集合法用户信息,并与后端图像管理机连接;所述后端图像管理机、本地域管理机、云端服务器两两相互连接;所述方法,包括以下步骤:
第一步:利用用户图像智能多点协同认证的系统建立算法建立用户图像智能多点协同认证的系统;
首先基于身份未明用户身份认证的属性需要,使用后端图像智能采集器对合法用户的图像进行智能采集;然后,由后端管理人员对此合法用户图像的身份信息、后端图像管理机的身份信息进行输入,将此信息分别进行加密,然后,经SSL或TLS分别将这些合法用户的加密信息发送本地的域管理机和云服务器;
第二步:利用本地域管理机与后端图像管理机的认证算法对本地域管理机与后端图像管理机进行认证;
首先将前端图像智能采集器采集来的身份未明用户的图像经秘密网络传输给对应的本地域管理机;然后,查询本地域管理机中的域管理图像信息数据库,将前端图像智能采集器采集来的身份未明用户的图像分别与域管理图像信息数据库的合法用户的图像进行一一比较和认证;
第三步:利用本地域管理机与云服务器的认证算法进行本地域管理机与云服务器的认证;
首先对本地域管理机与后端图像管理机的认证结果进行判断,然后,在云服务器中分别对本地域管理机转发过来的身份未明用户的图像、初步对比成功的用户图像的身份信息以及本地域管理机的身份信息进行认证;
第四步:利用后端图像管理机与云服务器的认证算法进行后端图像管理机与云服务器的认证;
首先对本地域管理机与云服务器的认证结果进行判断,然后,在云服务器中分别对后端图像管理机转发过来的身份未明用户的图像、初步对比成功的用户图像的身份信息以及后端图像管理机的身份信息进行认证;
第一步中将合法用户的图像、合法用户图像的身份信息的加密过程置于后端图像管理机,将身份未明用户的图像、身份未明用户图像的身份信息的加密过程置于本地域管理机,在后端图像管理机中构建了合法用户图像信息数据库、在本地域管理机中构建了域管理图像信息数据库、在云服务器中构建了云服务图像与合法用户身份信息数据库。
2.根据权利要求1所述的一种基于用户图像智能采集的多点协同认证系统的认证方法,其特征在于所述的第一步用户图像智能多点协同认证的系统建立算法具体步骤如下:
步骤11:后端图像智能采集器BIICj根据后端管理人员的要求智能采集合法用户Ui(i=1,2,3,…,n)的图像P(Ui),并经秘密网络将合法用户图像P(Ui)传输给对应的后端图像管理机BEICj;
步骤12:后端图像管理机BEICj在接收到后端图像智能采集器传输来的合法用户图像P(Ui)后,要求后端管理人员输入后端图像管理机BEICj的身份信息ID(BEICj)和此合法用户图像的身份信息ID(Ui);
步骤13:后端管理人员根据后端图像管理机BEICj的要求输入后端图像管理机BEICj的身份信息ID(BEICj)、合法用户图像的身份信息ID(Ui);
步骤14:后端图像管理机BEICj在接收到输入的合法用户图像的身份信息ID(Ui)后,构建相应的合法用户图像信息数据库DB(Ui||P(Ui)||ID(Ui)||BEICj||ID(BEICj));此数据库包含后端图像管理机自己的身份信息ID(BEICj)、合法用户名Ui,合法用户的身份信息ID(Ui)、合法用户的图像信息P(Ui)等;
步骤15:后端图像管理机BEICj在构建数据库DB(Ui||BEICj)后,首先根据椭圆型曲线加密方法,分别产生一个公钥PK1(BEICj)和一个对应的私钥SK1(BEICj);在此基础上,后端图像管理机BEICj再根据椭圆型曲线加密方法,使用公钥PK1(BEICj)对合法用户的图像P(Ui)和自己的身份信息ID(BEICj)进行加密,然后将其加密文件经SSL或TLS发送本地的域管理机;
步骤17:后端图像管理机BEICj在接收到本地域管理机的私钥申请后,将私钥SK1(BEICj)经SSL或TLS发送本地域管理机;
步骤19:本地域管理机对加密文件进行解密后,构建相应的域管理图像信息数据库DB(P(Ui)||BEICj||ID(BEICj));此数据库包含合法用户的图像信息P(Ui)、后端图像管理机名BEICj,后端图像管理机BEICj的身份信息ID(BEICj)等;
步骤110:本地域管理机判断域管理图像信息数据库DB(P(Ui)||BEICj||ID(BEICj))是否构建完毕;如果不是,则继续步骤19,否则,则向后端图像管理机BEICj发送确认信息;
步骤111:后端图像管理机BEICj在接收到本地域管理机发送来的确认信息后,根据椭圆型曲线加密方法,再分别产生一个公钥PK2(BEICj)和一个对应的私钥SK2(BEICj);
步骤112:后端图像管理机BEICj根据椭圆型曲线加密方法,使用公钥PK2(BEICj)对合法用户的图像P(Ui)、用户图像的身份信息ID(Ui)和自己的身份信息ID(BEICj)进行加密,然后将其加密文件经SSL或TLS发送云服务器;
步骤114:后端图像管理机BEICj在接收到云服务器的私钥申请后,将私钥SK2(BEICj)经SSL或TLS发送云服务器;
步骤116:云服务器对加密文件进行解密后,构建相应的云服务图像与合法用户身份信息数据库DB(P(Ui)||ID(Ui)||ID(BEICj));此数据库包含合法用户的图像信息P(Ui)、合法用户图像的身份信息ID(Ui)和后端图像管理机BEICj的身份信息ID(BEICj)等;
步骤117:云服务器判断云服务图像与合法用户身份信息数据库DB(P(Ui)||ID(Ui)||ID(BEICj))是否构建完毕;如果不是,则继续步骤116,否则,则向后端图像管理机BEICj发送确认信息;
步骤118:后端图像管理机BEICj在接收到云服务器发送来的确认信息后,判断后端管理人员是否还需要后端图像智能采集器BIICj采集合法用户图像,如果需要,则转到步骤11,否则,转到步骤119;
步骤119:系统构建结束。
3.根据权利要求1所述的一种基于用户图像智能采集的多点协同认证系统的认证方法,其特征在于所述的第二步在本地域管理机与后端图像管理机的认证算法中,一方面使用数字签名方法对“申请认证”消息进行签名认证,另一方面使用椭圆形数字加密的数字签名方法对本地域管理机发送来的身份未明用户的图像消息进行认证。
4.根据权利要求2所述的一种基于用户图像智能采集的多点协同认证系统的认证方法,其特征在于所述的第二步中本地域管理机与后端图像管理机的认证算法具体步骤如下:
步骤21:前端图像智能采集器FIICk根据周围场景智能判断是否有身份未明用户需要图像采集,如果有,则转到步骤23,否则,进行步骤22;
步骤22:前端图像智能采集器FIICk等待三秒,再转到步骤21;
步骤23:前端图像智能采集器FIICk根据周围场景智能采集身份未明用户的图像P(U*n),并经秘密网络将身份未明用户的图像P(U*n)传输给对应的本地域管理机;
步骤24:本地域管理机在接收到前端图像智能采集器FIICk发送来的身份未明用户的图像P(U*n)后,查询域管理图像信息数据库DB(P(Ui)||BEICj||ID(BEICj))中所有合法用户的图像信息P(Ui),并将数据库DB(P(Ui)||BEICj||ID(BEICj))中的合法用户图像信息P(Ui)与前端图像智能采集器FIICk发送来的身份未明用户的图像P(U*n)进行比较;如果在域管理图像信息数据库DB(P(Ui)||BEICj||ID(BEICj))中存在某一个合法用户的图像信息P(Ui)与前端图像智能采集器FIICk发送来的身份未明用户的图像P(U*n)相同(即P(U*n)=P(Ui)),则转到步骤25;否则,删除前端图像智能采集器FIICk发送来的身份未明用户的图像P(U*n),再转到步骤22;
步骤25:根据数据库DB(P(Ui)||BEICj||ID(BEICj))中合法用户的图像信息P(Ui)所对应的后端图像管理机BEICj,本地域管理机首先使用私钥SK(LDC)对“申请认证”消息进行签名,即("申请认证")SK(LDC);然后,将签名消息("申请认证")SK(LDC)发送给后端图像管理机BEICj;
步骤26:后端图像管理机BEICj在接收到本地域管理机发送来的签名消息("申请认证")SK(LDC)后,使用本地域管理机的公钥对签名消息("申请认证")SK(LDC)进行认证;如果认证成功,则转到步骤27,否则,显示“申请认证失败”,转到步骤23;
步骤29:根据解密的消息,本地域管理机首先使用私钥SK(LDC)对前端图像智能采集器FIICk采集的身份未明用户的图像P(U*n)消息进行签名,即(P(U*n))SK(LDC);然后,将签名消息(P(U*n))SK(LDC)发送给后端图像管理机BEICj;
步骤210:后端图像管理机BEICj在接收到本地域管理机发送来的签名消息(P(U*n))SK(LDC)后,使用本地域管理机的公钥对签名消息(P(U*n))SK(LDC)进行认证;如果认证成功,则转到步骤211,否则,显示“图像签名认证失败”,转到步骤23;
步骤211:后端图像管理机BEICj接收前端图像智能采集器FIICk发送来的身份未明用户的图像P(U*n);
步骤212:后端图像管理机BEICj首先查询合法用户图像信息数据库DB(Ui||P(Ui)||ID(Ui)||BEICj||ID(BEICj))中的所有合法用户的图像信息P(Ui),然后将合法用户的图像信息P(Ui)与前端图像智能采集器FIICk发送来的身份未明用户的图像P(U*n)进行比较;如果在后端合法用户图像信息数据库DB(Ui||P(Ui)||ID(Ui)||BEICj||ID(BEICj))中存在某一个合法用户图像信息P(Ui)与前端图像智能采集器FIICk发送来的身份未明用户的图像P(U*n)相同(即P(U*n)=P(Ui)),则后端图像管理机BEICj显示“与本地域管理机认证成功”,否则,后端图像管理机BEICj显示“与本地域管理机认证失败”,转到步骤215;
步骤213:后端图像管理机BEICj将图像认证结果消息进行加密“与本地域管理机认证成功”,然后将其加密消息经SSL或TLS发送本地的域管理机;
步骤214:后端图像管理机BEICj判断图像认证结果消息是否发送完毕,如果是,转到步骤215,否则,转到步骤213;
步骤215:结束。
5.根据权利要求1所述的一种基于用户图像智能采集的多点协同认证系统的认证方法,其特征在于所述的第三步中在使用数字签名方法对“申请认证”消息进行签名认证,在云服务器中使用椭圆形数字加密的数字签名方法对本地域管理机发送来的身份未明用户的图像消息进行认证。
6.根据权利要求2所述的一种基于用户图像智能采集的多点协同认证系统的认证方法,其特征在于所述的本地域管理机与云服务器的认证算法具体步骤如下:
步骤31:本地域管理机接收后端图像管理机BEICj发送来的图像认证结果消息,并对此消息进行解密;
步骤32:本地域管理机对解密的图像认证结果消息进行判定,如果是“与本地域管理机认证成功”,则转到步骤33,否则,则转到步骤313;
步骤33:本地域管理机首先使用私钥SK(LDC)对“申请认证”消息进行签名,即("申请请认")SK(LDC);然后,将签名消息("申请请认")SK(LDC)发送给云服务器;
步骤34:云服务器在接收到本地域管理机发送来的签名消息("申请请认")SK(LDC)后,使用本地域管理机的公钥对签名消息("申请请认")SK(LDC)进行认证,如果认证成功,则转到步骤35,否则,显示“申请认证失败”,则转到步骤313;
步骤37:根据解密的消息,本地域管理机首先使用私钥SK(LDC)对采集的身份未明用户的图像P(U*n)进行签名,即(P(U*n))SK(LDC);然后,将签名消息(P(U*n))SK(LDC)发送给云服务器;
步骤38:云服务器在接收到本地域管理机发送来的签名消息(P(U*n))SK(LDC)后,使用本地域管理机的公钥对签名消息(P(U*n))SK(LDC)进行认证;如果认证成功,则转到步骤39,否则,显示“图像认证失败”,则转到步骤313;
步骤39:云服务器接收前端图像智能采集器FIICk发送来的身份未明用户的图像P(U*n);
步骤310:云服务器首先查询云服务图像与合法用户身份信息数据库DB(P(Ui)||ID(Ui)||ID(BEICj))中的所有合法用户的图像信息P(Ui),然后将合法用户的图像信息P(Ui)与本地域管理机发送来的身份未明用户的图像P(U*n)进行比较,如果在云服务图像与合法用户身份信息数据库DB(P(Ui)||ID(Ui)||ID(BEICj))中存在某一个合法用户图像信息P(Ui)与前端图像智能采集器FIICk发送来的身份未明用户的图像P(U*n)相同(即P(U*n)=P(Ui)),则云服务器显示“与云服务器认证成功”;否则,云服务器显示“与云服务器认证失败”,转到步骤313;
步骤311:云服务器将图像认证结果消息“与云服务器认证成功”进行加密,然后将其加密消息经SSL或TLS发送本地的域管理机和对应的后端图像管理机BEICj;
步骤312:云服务器判断图像认证结果消息是否发送完毕,如果是,转到步骤313,否则,转到步骤311;
步骤313:结束。
7.根据权利要求1所述的一种基于用户图像智能采集的多点协同认证系统的认证方法,其特征在于所述的第四步中使用数字签名方法对“申请认证”消息进行签名认证,在云服务器中使用椭圆形数字加密的数字签名方法对后端图像管理机发送来的身份未明用户的图像、初步对比成功的用户图像的身份信息进行进一步的认证。
8.根据权利要求2所述的一种基于用户图像智能采集的多点协同认证系统的认证方法,其特征在于所述的第四步后端图像管理机与云服务器的认证算法具体步骤如下:
步骤41:后端图像管理机BEICj接收云服务器发送来的“图像认证结果消息”,并对此消息进行解密;
步骤42:后端图像管理机BEICj对解密的“图像认证结果消息”进行判定,如果是“与云服务器认证成功”,则转到步骤43,否则,则转到步骤413;
步骤47:根据解密的消息,后端图像管理机BEICj首先使用私钥SK(BEICj)对本地域管理机发送来的身份未明用户的图像P(U*n)、本地域管理机与后端图像管理机BEICj初步对比成功的身份未明用户的图像P(U*n)所对应的用户身份信息、自己的身份信息ID(BEICj)进行签名,即然后,将签名消息发送给云服务器;
步骤48:云服务器在接收到后端图像管理机BEICj发送来的签名消息后,使用后端图像管理机BEICj的公钥对签名消息进行认证;如果签名认证成功,则转到步骤49,否则,显示“后端图像管理机BEICj与云服务器的认证失败”,转到步骤413;
步骤49:云服务器存储经过签名认证的身份未明用户的图像P(U*n)、本地域管理机与后端图像管理机BEICj初步对比成功的身份未明用户的图像P(U*n)的身份信息、后端图像管理机BEICj的身份信息ID(BEICj);
步骤410:云服务器首先查询云服务图像与合法用户身份信息数据库DB(P(Ui)||ID(Ui)||ID(BEICj))中的所有合法用户的图像信息P(Ui)、合法用户图像P(Ui)的身份信息、后端图像管理机BEICj的身份信息ID(BEICj);然后将签名认证过的身份未明用户的图像P(U*n)、身份未明用户的图像P(U*n)的身份信息分别与云服务图像与合法用户身份信息数据库DB(P(Ui)||ID(Ui)||ID(BEICj))中合法用户的图像信息P(Ui)、合法用户图像P(Ui)的身份信息进行比较,如果在云服务图像与合法用户身份信息数据库DB(P(Ui)||ID(Ui)||ID(BEICj))中存在某一个合法用户的图像信息P(Ui)、合法用户图像P(Ui)的身份信息与签名认证过的身份未明用户的图像P(U*n)、身份未明用户图像P(U*n)的身份信息分别相同(即P(U*n)=P(Ui)、ID(U*n)=ID(Ui)),则云服务器显示“后端图像管理机BEICj与云服务器的图像认证成功”;否则,云服务器显示“后端图像管理机BEICj与云服务器的图像认证失败”,转到步骤413;
步骤411:云服务器将图像认证结果消息“后端图像管理机BEICj与云服务器的图像认证成功”进行加密,然后将其加密消息经SSL或TLS发送本地的域管理机和对应的后端图像管理机BEICj;
步骤412:云服务器判断图像认证结果消息是否发送完毕,如果是,转到步骤413,否则,转到步骤411;
步骤413:结束。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910352127.2A CN110336776B (zh) | 2019-04-28 | 2019-04-28 | 一种基于用户图像智能采集的多点协同认证系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910352127.2A CN110336776B (zh) | 2019-04-28 | 2019-04-28 | 一种基于用户图像智能采集的多点协同认证系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110336776A CN110336776A (zh) | 2019-10-15 |
CN110336776B true CN110336776B (zh) | 2021-09-28 |
Family
ID=68139854
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910352127.2A Active CN110336776B (zh) | 2019-04-28 | 2019-04-28 | 一种基于用户图像智能采集的多点协同认证系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110336776B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111144352B (zh) * | 2019-12-30 | 2023-05-05 | 杭州电子科技大学 | 一种面向人脸图像智能感应的安全传输与识别方法 |
CN113129020A (zh) * | 2021-05-18 | 2021-07-16 | 中国银行股份有限公司 | 一种基于物联网的5g消息身份认证系统及方法 |
CN113489806A (zh) * | 2021-07-21 | 2021-10-08 | 河北振创电子科技有限公司 | 基于分布式物联网架构的数据存储系统、方法及装置 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1996835A (zh) * | 2006-12-31 | 2007-07-11 | 华中科技大学 | 基于分布式管理架构的自适应安全组通信系统 |
CN202455386U (zh) * | 2011-12-13 | 2012-09-26 | 杭州晟元芯片技术有限公司 | 一种用于云存储的安全系统 |
CN102710605A (zh) * | 2012-05-08 | 2012-10-03 | 重庆大学 | 一种云制造环境下的信息安全管控方法 |
CN103870810A (zh) * | 2014-03-03 | 2014-06-18 | 杭州电子科技大学 | 一种人类指静脉生物密钥生成方法 |
CN104601572A (zh) * | 2015-01-15 | 2015-05-06 | 北京工业大学 | 一种基于可信架构的安全消息传递方法 |
WO2016049750A1 (en) * | 2014-10-03 | 2016-04-07 | Quanser Consulting Inc. | Digital content infrastructure |
CN106856475A (zh) * | 2015-12-08 | 2017-06-16 | 佳能株式会社 | 授权服务器以及认证协作系统 |
CN107919956A (zh) * | 2018-01-04 | 2018-04-17 | 重庆邮电大学 | 一种面向物联网云环境下端到端安全保障方法 |
CN108055263A (zh) * | 2017-12-11 | 2018-05-18 | 北京理工大学 | 一种卫星通信网中的实体认证权限管理系统及方法 |
CN108512856A (zh) * | 2018-04-11 | 2018-09-07 | 杭州电子科技大学 | 物联网中传感信息虚拟服务的隐私保护方法 |
CN108632251A (zh) * | 2018-03-28 | 2018-10-09 | 杭州电子科技大学 | 基于云计算数据服务的可信认证方法及其加密算法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9892396B2 (en) * | 2015-03-19 | 2018-02-13 | International Business Machines Corporation | Multi-point authentication for payment transactions |
US10055801B2 (en) * | 2016-06-23 | 2018-08-21 | Liberty Pipeline Services, LLC | Systems and methods for generating structured data based on scanned documents |
-
2019
- 2019-04-28 CN CN201910352127.2A patent/CN110336776B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1996835A (zh) * | 2006-12-31 | 2007-07-11 | 华中科技大学 | 基于分布式管理架构的自适应安全组通信系统 |
CN202455386U (zh) * | 2011-12-13 | 2012-09-26 | 杭州晟元芯片技术有限公司 | 一种用于云存储的安全系统 |
CN102710605A (zh) * | 2012-05-08 | 2012-10-03 | 重庆大学 | 一种云制造环境下的信息安全管控方法 |
CN103870810A (zh) * | 2014-03-03 | 2014-06-18 | 杭州电子科技大学 | 一种人类指静脉生物密钥生成方法 |
WO2016049750A1 (en) * | 2014-10-03 | 2016-04-07 | Quanser Consulting Inc. | Digital content infrastructure |
CN104601572A (zh) * | 2015-01-15 | 2015-05-06 | 北京工业大学 | 一种基于可信架构的安全消息传递方法 |
CN106856475A (zh) * | 2015-12-08 | 2017-06-16 | 佳能株式会社 | 授权服务器以及认证协作系统 |
CN108055263A (zh) * | 2017-12-11 | 2018-05-18 | 北京理工大学 | 一种卫星通信网中的实体认证权限管理系统及方法 |
CN107919956A (zh) * | 2018-01-04 | 2018-04-17 | 重庆邮电大学 | 一种面向物联网云环境下端到端安全保障方法 |
CN108632251A (zh) * | 2018-03-28 | 2018-10-09 | 杭州电子科技大学 | 基于云计算数据服务的可信认证方法及其加密算法 |
CN108512856A (zh) * | 2018-04-11 | 2018-09-07 | 杭州电子科技大学 | 物联网中传感信息虚拟服务的隐私保护方法 |
Non-Patent Citations (3)
Title |
---|
"Multi-Point Collaborative Authentication Method Based on User Image Intelligent Collection in the Internet of Things";Li Y , Tu Y , Lu J;《Electronics》;20190902(第9期);978页 * |
"Secure Multi-Authority Data Access Control Scheme in Cloud Storage System based on Attribute-Based Signcryption";Qian X , Tan C , Fan Z , et al;《IEEE Access》;20181231;34051-34074页 * |
"云计算中面向数据安全的身份认证策略研究";国杰彬,李运发,张大军;《信息网络安全》;20170330(第3期);72-77页 * |
Also Published As
Publication number | Publication date |
---|---|
CN110336776A (zh) | 2019-10-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112073379B (zh) | 一种基于边缘计算的轻量级物联网安全密钥协商方法 | |
US10848318B2 (en) | System for authenticating certificate based on blockchain network, and method for authenticating certificate based on blockchain network by using same | |
CN109962784B (zh) | 一种基于数字信封多证书的数据加解密及恢复方法 | |
CN111314056B (zh) | 基于身份加密体制的天地一体化网络匿名接入认证方法 | |
CN110336776B (zh) | 一种基于用户图像智能采集的多点协同认证系统及方法 | |
DE69433771T2 (de) | Verfahren und Vorrichtung zur Geheimhaltung und Authentifizierung in einem mobilen drahtlosen Netz | |
US7480939B1 (en) | Enhancement to authentication protocol that uses a key lease | |
CN111797427A (zh) | 一种兼顾隐私保护的区块链用户身份监管方法及系统 | |
CN110808829B (zh) | 一种基于密钥分配中心的ssh认证方法 | |
CN110932854B (zh) | 一种面向物联网的区块链密钥分发系统及其方法 | |
CN109413201A (zh) | Ssl通信方法、装置及存储介质 | |
CN106411926A (zh) | 一种数据加密通信方法及系统 | |
CN109951513A (zh) | 基于量子密钥卡的抗量子计算智能家庭量子云存储方法和系统 | |
CN109495251A (zh) | 基于密钥卡的抗量子计算智能家庭云存储方法和系统 | |
CN110505055A (zh) | 基于非对称密钥池对和密钥卡的外网接入身份认证方法和系统 | |
CN108809633A (zh) | 一种身份认证的方法、装置及系统 | |
CN110690969B (zh) | 一种多方协同完成双向ssl/tls认证的方法和系统 | |
CN114241560A (zh) | 人脸识别隐私保护系统及方法 | |
CN104992100A (zh) | 用于电子文档流转的虹膜动态加密解密系统及方法 | |
CN110572392A (zh) | 一种基于Hyperledger网络的身份认证方法 | |
CN110519222A (zh) | 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统 | |
Wu et al. | A privacy protection scheme for facial recognition and resolution based on edge computing | |
CN114172696B (zh) | 一种电力物联网中云边端协同双重认证的终端认证方法 | |
CN110490051A (zh) | 虹膜识别系统和方法 | |
Zhu et al. | Three‐level quantum satellite communication framework and its applications |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |