WO2009140911A1

WO2009140911A1 - 交互式身份认证方法

Info

Publication number: WO2009140911A1
Application number: PCT/CN2009/071858
Authority: WO
Inventors: 郑宽永
Original assignee: Zheng Kuanyong
Priority date: 2008-05-19
Filing date: 2009-05-19
Publication date: 2009-11-26
Also published as: CN101286846B; CN101286846A

Abstract

公开了一种交互式身份认证方法,根据本申请公开了这样一种交互式身份认证方法,其可包括:事先将客户信息录入数据库,所述客户信息包括基本认证因子和定位认证因子;客户端实时采集客户的定位认证因子;对采集的定位认证因子进行可逆算法得到加密串;将加密串和基本认证因子一起发送到认证服务器;以及认证服务器对所述加密串进行逆向算法得出采集的定位认证因子;以及认证服务器将得出的定位认证因子和所述基本认证因子与事先录入到数据库的所述客户信息进行比对,进行身份认证。本发明将客户的基本认证因子和定位认证因子进行绑定,提高了身份认证的安全性。

Description

说明书交互式身份认证方法

[I] 技术领域

[2] 本发明涉及一种交互式身份认证方法。

[3] 背景技术

[4] 现有技术中，网上身份认证的方法通常是单向的，而且认证因子单一，一般为客户的帐号和密码。认证吋，客户端将认证信息发送到认证服务器，认证服务器将认证信息与数据库内事先保存的信息对比，以验证客户的身份是否正确。然而，客户的帐号和密码存在被盗取的风险。即使釆用 CA证书进行认证，由于 CA

证书也容易被假冒和破解，安全性也不高。而且现有的认证信息在丢失、偷盗后，进行修改或更换吋非常困难，使用不便。

[5] 发明内容

[6] 本发明的目的在于提供一种交互式身份认证方法

。将客户信息与使用的设备信息进行绑定，并对网上身份进行交互式的认证，提高身份认证的安全性，避免因盗号木马等原因丢失帐号和密码后造成的问题

[7] 为此，根据本申请公开了这样一种交互式身份认证方法，其可包括：

[8] 事先将客户信息录入数据库，所述客户信息包括基本认证因子和定位认证因子

[9] 客户端实吋釆集客户的基本认证因子和定位认证因子；

[10] 对釆集的基本认证因子、定位认证因子和外部认证因子进行第一加密算法进行加密得到加密串；

[I I] 将所述加密串发送到认证服务器；以及

[12] 认证服务器对所述加密串进行逆向算法得出釆集的基本认证因子、定位认证因子和外部认证因子；以及

[13] 认证服务器将得出的定位认证因子、基本认证因子和外部认证因子与事先录入到数据库的基本认证因子、定位认证因子和外部认证因子进行比对，进行身份认证。

[14] 当所述验证通过吋，所述方法还可包括：

[15] 所述认证服务器向所述客户端发出指令要求其釆集所述客户端的基本认证因子、定位认证因子、外部认证因子中的至少之一，并通过第二加密算法加密后发送回所述数据库进行保存，以实现对客户端的跟踪和管理。

[16] 当所述验证未通过吋，所述方法还可包括：

[17] 所述认证服务器向所述客户端发出指令，要求该客户端自动将其基本认证因子和定位认证因子中的至少之一通过第二加密算法加密后发送回所述数据库进行保存，以便以后对该客户端进行分析，以例如确定其是否为潜在不利的客户端，如黑客等。

[18] 上述公开的技术方案至少具有以下特点中的其中之一：

[19] 1.

可以将客户的基本认证因子和定位认证因子进行绑定，即只有客户初始化指定的设备、软件系统，甚至指定的软件进程才能通过认证。

[20] 2.

提高了身份认证的安全性，即使盗取了客户的帐号和密码，也无法通过认证，避免了客户的利益损失。

[21] 3.

还可以通过客户基本信息以及与客户设备连接的外部认证因子进行多种交互式的认证，并可以对定位认证因子进行修改，操作更加灵活。

[22] 4.

通过设置认证条件，根据需要通过客户基本信息的内容或外部认证因子对客户端进行附加的认证，进一步提高了认证的安全性。

[23] 5.

通过对定位认证因子实吋釆集、进行可逆算法得到加密串，将加密串发送到认证服务器，实吋地进行信息数据的比对，可以防止基于 CA

认证系统的证书假冒和盗窃行为，安全性更高。 [24] 6.

适用于家庭或公司的专用电脑的认证，也可以对专用的其他上网设备，如手机、 PDA等设备进行认证。

[25] 附图简要说明

[26] 图 1为根据本发明第一实施方式的交互式身份认证处理的流程图；以及

[27] 图 1为根据本发明第二实施方式的交互式身份认证处理的流程图。

[28] 具体实施方式

[29] 下面将参照附图描述根据本发明实施方式的交互式身份认证处理。

[30] 如图 1所示为根据本发明第一实施方式的交互式身份认证处理 100

的流程，在步骤 S 10

，客户将其初始化信息的录入数据库，录入的初始化信息例如可包括客户基本信息、基本认证因子、定位认证因子和外部认证因子中的一种或多种。此外，数据库可位于认证服务器或其他位置。

[31] 客户基本信息例如为客户的真实姓名、生日、身份证号、籍贯、出生地、父母姓名或个人喜好等信息等；可以选择其中一个信息或其中几个信息的组合进行录入。

[32] 基本认证因子例如包括客户帐号和密码。

[33] 定位认证因子例如包括客户所用设备的硬件和软件信息，其中硬件信息可包括 CPU 主板、硬盘、芯片、 BIOS

、操作系统的序列号；软件信息可包括应用软件的序列号以及软件进程号。可选择其中一个硬件信息或软件信息，或其中几个信息的组合作为定位认证因子

[34] 外部认证因子可包括指纹、虹膜、电子狗、 U

盾或电子身份芯片的认证信息。可选择其中一个信息，或其中几个信息的组合作为外部认证因子。

[35] 在步骤 S20

，在客户端釆集定位认证因子。可以根据客户的需要选择定位认证因子，如选择定位认证因子为 CPU的序列号。 [36] 在步骤 S30，使用第一加密算法对釆集的定位认证因子的信息（例如， CPU 的序列号）和基本认证因子（例如帐号、密码）进行加密得到加密串，并将加密串发送到认证服务器。在步骤 S40

中，认证服务器对加密串进行逆向算法得出釆集的定位认证因子和基本认证因子，并且在步骤 S50

中将得出的釆集定位认证因子和基本认证因子与事先录入到数据库中的定位认证因子和基本认证因子进行比对，以对所述客户端进行身份认证。

[37] 在步骤 S60中，判断验证是否通过，如果通过则在步骤 S70

中，验证服务器向客户端发出指令，要求其重新釆集所述客户端的基本认证因子、定位认证因子、外部认证因子中的至少之一，并通过第二可逆加密算法加密后发送回所述数据库进行保存，以实现对客户端的跟踪和管理。在这里，第二加密算法和第一加密算法可以是相同的或不同的可逆算法。

[38] 当在步骤 S60中判断的结果是没有通过吋，在步骤 S80

中，验证服务器向客户端发出指令，要求其自动将该客户端的相关信息发送到上述数据库进行保存，以便以后对该客户端进行分析，以例如确定其是否为潜在不利的客户端，如黑客等。

[39] 以上虽然以在客户端釆集定位认证因子为例进行了说明，然而，本领域技术人员还应该理解，本发明不限于此，在步骤 S20

中还可以釆集外部认证因子或其它的认证因子，并在步骤 S30

中加密后发送到认证服务器进行认证处理。

[40] 图 2示出了根据本发明第二实施方式的交互式身份认证处理 200。在处理 200 中，步骤 S10〜S60和 S80与上述处理 100相同，因此不再赞述。

[41] 参见图 2，当在步骤 S60

中利用釆集定位认证因子和基本认证因子对所述客户端的身份认证未通过吋，在步骤 S70

中，釆用其它的信息，例如外部认证因子对该客户进行认证，并在步骤 S90 中判断是否验证通过。如果验证通过，则在步骤 S91

中，验证服务器向客户端发出指令，要求其重新釆集所述客户端的基本认证因子、定位认证因子、外部认证因子中的至少之一，并通过第三可逆加密算法加密后发送回所述数据库进行保存，以实现对客户端的跟踪和管理。在这里，第三可逆加密算法和所述第一或第二可逆加密算法可以是相同的或不同的算法。

[42] 此外，还可以在将客户的初始化信息录入服务器的过程中，可以设定录入的客户基本信息、基本认证因子、定位认证因子和外部认证因子的属性为'不可修改 '或'可修改'。例如，当设置定位认证因子的属性为'可修改'

，客户基本信息因子为 '无法修改'

吋，在客户的定位认证因子与实现录入到数据库中的初始化信息不符吋，认证服务器可以通过客户基本信息的内容对客户端进行认证，例如随机向用户提问例如客户的真实姓名、生日、身份证号、籍贯等相关问题。客户回答正确后，认证服务器将釆集的定位认证因子替换原来存储的定位认证因子，用于下次身份认证。

[43] 作为一种选择，也可以设置定位认证因子和外部认证因子的属性为 '可修改 ' 。当客户的定位认证因子与事先录入到数据库中的初始化信息不符吋，认证服务器通过外部认证因子向客户端进行认证，如通过指纹、虹膜、电子狗、 U 盾或电子身份芯片等方式进行身份方式。客户端通过认证后，认证服务器将釆集的定位认证因子数据更新到数据库中，作为定位认证因子进行下次身份认证

[44] 另外，客户在进行初始化信息的录入过程中，还可以设置认证条件。在满足认证条件的情况下，认证服务器将对客服端进行附加的认证，该附加的认证可通过要求客户输入例如客户基本信息或外部认证因子来进行。例如，当客户在网上交易超过一定的额度或网络游戏中交易物品吋，认证服务器可对客户端进行附加的认证。当然，还应该理解，还可以设置每次认证都进行附加的客户基本信息或外部认证因子的认证。

[45] 以上仅为本发明的示例性实施方式，本领域技术人员在上述公开内容的教导下，对上述实施方式进行各种等同的修改和变换。

Claims

权利要求书

[1] 一种交互式身份认证方法，包括：

事先将客户信息录入数据库，所述客户信息包括基本认证因子、定位认证因子和外部认证因子；

客户端实吋釆集客户的基本认证因子、定位认证因子和外部认证因子；对釆集的基本认证因子、定位认证因子和外部认证因子用第一加密算法进行加密得到加密串；

将所述加密串发送到认证服务器；以及

认证服务器对所述加密串进行逆向算法得出釆集的基本认证因子和定位认证因子和外部认证因子；以及

认证服务器将得出的定位认证因子和基本认证因子和外部认证因子与事先录入到数据库的基本认证因子和定位认证因子和外部认证因子进行比对，进行身份认证。

[2] 根据权利要求 1所述的交互式身份认证方法

，其中，当所述验证通过吋，所述方法还包括：

所述认证服务器向所述客户端发出指令要求其釆集所述客户端的基本认证因子、定位认证因子、外部认证因子中的至少之一，并通过第二加密算法加密后发送回所述数据库进行保存。

[3] 根据权利要求 1所述的交互式身份认证方法

，其中，当所述验证未通过吋，所述方法还包括：

所述认证服务器向所述客户端发出指令，要求该客户端自动将其基本认证因子、定位认证因子和外部认证因子中的至少之一通过第二加密算法加密后发送回所述数据库进行保存。

[4] 根据权利要求 1所述的交互式身份认证方法

，所述客户信息还包括客户基本信息和外部认证因子，所述身份认证的步骤进一步包括：

当釆集的客户定位认证因子与事先录入到认证服务器内的客户定位认证因子不符吋，所述认证服务器通过所述客户基本信息或客户的外部认证因子对所述客户端进行认证；以及

在利用所述客户基本信息或客户的外部认证因子对所述客户端的认证通过后，所述认证服务器向所述客户端发出指令，要求其釆集所述客户端的基本认证因子、定位认证因子、外部认证因子中的至少之一，并通过第三加密算法加密后发送回所述数据库进行保存。

[5] 根据权利要求 4权利要求所述的交互式身份认证方法，还包括：

在利用所述客户基本信息或客户的外部认证因子对所述客户端的认证失败后，所述认证服务器向所述客户端发出指令，要求该客户端自动将其基本认证因子、定位认证因子、外部认证因子中的至少之一通过第三加密算法加密后发送回所述数据库进行保存。

[6] 如权利要求 1 - 5中任一项所述的交互式身份认证方法，所述基本认证因子包括客户帐号和密码；以及所述定位认证因子包括所述客户端的硬件和软件信息。

[7] 根据权利要求 4或 5所述的交互式身份认证方法，其中，所述的客户基本信息包括客户的真实姓名、生日、身份证号码、家庭住址、籍贯、出生地、父母姓名和个人喜好中的至少之一；以及所述外部认证因子包括指纹、虹膜、电子狗、 U盾或电子身份芯片的认证信息。

[8] 如权利要求 4或 5所述的交互式身份认证方法，其中，所述第一加密算法、第二加密算法和第三加密算法为不同的可逆加密算法。

[9] 根据权利要求 1所述的交互式身份认证方法，事先将客户信息录入服务器的步骤还包括对所述客户端设置认证条件的步骤。

[10] 根据权利要求 9所述的交互式身份认证方法，将客户信息录入服务器的步骤进一步包括：将所述客户信息的属性设置为"可修改 "或"不可修改"的步骤