专利名称:面向普适网络的远程身份认证系统及认证方法
技术领域:
本发明涉及一种身份认证技术,特别是面向普适网络的远程身份认证系统及认证方法。
背景技术:
庞大、可靠的通信网络是建设智慧城市建设的基础,在互联网、物联网、无线宽带网等现代通信网络的发展和三网合一趋势的推动下,当前新一代信息技术突飞猛进,随之而来的是对信息安全的空前挑战。身份认证技术是信息安全的核心技术之一,其是一种能够对信息的收发方进行真实身份鉴别的技术,是保护信息安全的第一道大门,其任务是识别、验证网络信息系统中用户身份的合法性、真实性和抗抵赖性。身份认证技术的发展,经历了从软件认证到硬件认证,从单因子认证到双(多)因子认证,从静态认证到动态认证的过程。随着互联网技术的高速发展,身份认证已不再局限于面对面或者近距离,身份认证的过程往往借助通信网络,因此当前的身份认证技术正不断地向着远程化的方向过渡。目前,常用的远程身份认证系统的拓扑架构如图1所示,其一般都是用户通过和接入通信网络的PC或者服务商提供的终端进行交互来完成身份认证的,该远程身份认证系统的认证方法为用户向用户终端提出验证请求,用户终端先完成对用户初始验证和秘密信息提取,然后通过通信网络,向远程验证端发送密文,远程验证端收到消息后进行验证并将验证结果通过通信网络发回给用户终端,用户终端根据验证结果向用户作出响应。如果要使上述认证方法具有高安全性,则要求有准确的用户凭证提取和可靠的通信网络支持。目前,计算机及网络信息系统中常用的远程身份认证方法主要有以下几类1、基于秘密知识的身份认证技术,其将秘密知识作为认证用户的唯一依据,秘密知识包括用户ID、口令、密钥等。基于“户名/ 口令”的身份认证系统/方法是其中最简单、最易实现的一种,也是目前应用最广泛的认证技术,其优势在于实现的简单性,无须任何附加设备,成本低、速度快。然而这种认证技术存在很多安全问题,例如它是一种单因素的认证方式,安全性依赖于口令,口令一旦被泄露,用户即可被冒充;大量、复杂的口令难以记忆;口令在传输过程中或系统漏洞遭攻击时可能被截获;无法抵抗重放攻击;只能进行单向认证,即系统可认证用户,而用户无法对系统进行认证,等等。为了有效地改进基于“户名/ 口令”的身份认证技术的安全性,以S/KEY为首的各种动态口令技术被广泛使用。1991年贝尔通信研究中心(Bellcore)成功研制了 S/KEY身份认证系统,并在1995年被hternet工程任务组IETF 所接受,成为RFC1760标准,该S/KEY身份认证系统利用单向散列函数生成一系列前后相关的口令,利用这些口令进行身份验证。此后,安全专家提出了基于请求/应答方式、基于时间同步方式、基于事件同步方式的动态口令密码体制。2、基于智能卡的身份认证技术,其采用集成的带有智能的电路卡(即智能卡),内置可编程的微处理器,可存储数据,并提供硬件保护措施和加密算法。在智能卡中存储用户个性化的秘密信息,进行认证时读卡器通过用户输入个人身份识别码,读出智能卡中的秘密信息,进而与主机之间进行认证。基于USB Key的身份认证系统/方法是当前比较流行的基于智能卡的身份认证技术,它结合了现代密码学技术、智能卡技术和USB技术,广泛应用于电子银行、远程支付等业务。该身份认证技术采用身份识别码和USB Key进行双因子认证,增强了保密系数;带有安全数据存储空间和硬件处理器,使得复杂的密钥和加密算法应用成为可能,而且在用户私有的智能卡中完成所有的计算和存储使得验证过程在用户之外不留痕迹;USB Key小巧且采用通用的接口,非常便于随身携带和使用。但是该身份认证技术也有其严重的缺陷 系统只认卡不认人,一旦智能卡丢失,用户就会被系统拒绝,而且智能卡容易被复制或者被读取内部的秘密信息;另外对于智能卡认证,需要在每个认证端添加读卡器,增加了硬件成本。3、基于生物特征的身份认证技术,其以人体具有的惟一的、可靠的、终生稳定的生物特征为依据,其利用计算机图像处理和模式识别技术来实现身份认证。基于生物特征的身份认证技术目前主要利用指纹、声纹、虹膜、视网膜、脸形、掌纹这几个方面的生物特征进行识别。与传统的身份认证技术相比,其不存在遗忘或丢失的问题,具有生物特征的唯一性,防伪性能好,不易伪造或被盗,且对用户的要求低。目前,指纹识别技术是较为典型的应用。尽管生物特征的身份验证机制提供了很高的安全性,但目前很多技术还没有完全成熟, 且基于生物特征的信息采集、认证装备的成本较高,只适用于小范围的安全级别比较高的特定场所。为保证安全性,目前的远程通信网络一般都是结合上述多种身份认证技术来完成整一个身份验证过程,但由于生物特征的采集比对设备的成本很高,因此目前常规的远程身份认证系统在用户端往往采用用户口令、智能卡设备作为用户凭证。根据上述分析,用户面临着秘密信息被盗用,以及用户凭证被复制的风险,要完成验证,用户都必须先和用户终端交互,因此要建立足够多的用户终端并长期进行维护以保证向用户提供可靠的服务。然而,类似基于生物特征的身份认证技术等对用户终端具有非常高的要求,不同的身份认证系统人机交互机制不尽相同,因此在被用户接受前需要有一个培训及推广的过程,一般来讲安全性越高,对功能的限制越多,对使用环境越高,操作过程越复杂,对用户素质的要求越苛刻,造成普通用户难以掌握,从而很难做到大范围的推广;而且,用户只和用户终端进行交互,身份认证的过程往往借助通信网络,这中间极易产生不安全的因素。
发明内容
本发明的目的是为了解决上述现有技术的不足而提供一种成本低、操作简单、安全性能高、普适性强且防抵赖性好的面向普适网络的远程身份认证系统及认证方法。为了实现上述目的,本发明所设计的面向普适网络的远程身份认证系统,包括位于客户端的用户终端和位于远程验证端的后端系统及与后端系统连接的前端系统,所述的用户终端包含有智能卡,其特征是所述的智能卡内含有预先储存的用户凭证信息,智能卡具有配对的一个私钥和一个事先已向后端系统发布的公钥,智能卡主要由第一中心处理模块、用户自主启动模块、第一加密解密模块、第一调制解调模块和第一音频处理模块组成; 所述的用户自主启动模块、第一加密解密模块和第一调制解调模块均与第一中心处理模块相互通信连接,第一音频处理模块与第一调制解调模块相互通信连接;所述的前端系统主要由第二音频处理模块、第二中心处理模块、第二调制解调模块和第二加密解密模块组成; 所述的第二音频处理模块与所述的第二调制解调模块相互通信连接,第二调制解调模块和所述的第二加密解密模块均与所述的第二中心处理模块相互通信连接。在此,所述的用户自主启动模块是用于读取用户凭证及完成用户凭证比对,并将用户凭证比对结果发送给第一中心处理模块的用户自主启动模块;所述的第一加密解密模块是用于加密用户自主启动模块传输给第一中心处理模块的信号或用于解密第一调制解调模块传输给第一中心处理模块的解调后的信号的第一加密解密模块;所述的第一调制解调模块是用于调制第一加密解密模块传输给第一中心处理模块的加密后的信号或第一加密解密模块传输给第一中心处理模块的解密后的信号和解调第一音频处理模块传输给它的信号的第一调制解调模块;所述的第一音频处理模块是用于采集和播放声音信号,实现声电信号转换,并完成与第一调制解调模块信号交互的第一音频处理模块;所述的第一中心处理模块用于总体协调用户自主启动模块、第一加密解密模块、第一调制解调模块运行及数据通信;所述的第二调制解调模块是用于调制第二加密解密模块传输给第二中心处理模块的加密后的信号或解调第二音频处理模块传输给其的信号的第二调制解调模块;所述的第二加密解密模块是用于解密第二调制解调模块传输给第二中心处理模块的解调后的信号、加密第一中心处理模块产生的随机数的第二加密解密模块;所述的第二音频处理模块是用于采集和播放声音信号,实现声电信号转换,并完成与第二调制解调模块信号交互的第二音频处理模块;所述的第二中心处理模块用于总体协调第二加密解密模块和第二调制解调模块运行及数据通信。本发明系统采用具有用户自主安全启动功能的智能卡,该卡中中心处理模块根据用户凭证比对结果决定是否启动智能卡的验证功能,不仅大幅度地降低了设备建设、维护和人工的成本,而且有效避免了智能卡遗失或被盗用后而使用户信息泄密等不安全因素; 同时本发明系统在信息交互方式上以音频信号作为信息载体,提高读卡的安全性,又扩展了接入的范围;另一方面,借助当前成熟的语音通信网络,大幅度地提升了普适性以及用户使用的易用性和高效性。作为优先,所述的第一中心处理模块包括电源电路、时钟电路、第一嵌入式微处理器和与第一嵌入式微处理器连接的第一存储单元,其中第一嵌入式微处理器是用于控制用户自主启动模块、第一加密解密模块和第一调制解调模块;用户自主启动模块包括用于读取用户指纹的指纹采集器、用于输入用户密码的数字键盘和用于完成用户凭证比对的信息比对模块,信息比对模块与第一嵌入式微处理器相互通信连接,第一调制解调模块为2DPSK 调制解调模式,第一音频处理模块包括第一音频收发设备和与第一音频收发设备连接的第一音频信号处理电路,第一音频信号处理电路与第一调制解调模块相互通信连接;所述的第二中心处理模块包括电源电路、时钟电路以及用于控制第二加密解密模块和第二调制解调模块的第二嵌入式微处理器和与第二嵌入式微处理器连接的第二存储单元,第二调制解调模块为2DPSK调制解调模式,第二音频处理模块包括第二音频收发设备和与第二音频收发设备连接的第二音频信号处理电路,第二音频信号处理电路与第二调制解调模块相互通信连接,该优选方法使得本发明的使用效果更佳。为了使整个验证过程可由代理人完成,能满足用户的特殊需求,所述的面向普适网络的远程身份认证系统还包括位于客户端与远程验证端之间的验证代理,第一音频处理模块通过通信网络与验证代理相互通信连接,验证代理通过通信网络与远程验证端的第二音频处理模块相互通信连接;所述的在客户端与远程验证端之间设有验证代理,其验证代理的代理人所在的验证代理终端为手机、或电话、或具有语音通信功能的终端设备。本发明还涉及一种面向普适网络的远程身份认证方法,其特征是在于包括以下步骤第一步,在客户端,智能卡的第一中心处理模块控制智能卡的用户自主启动模块读取用户凭证并完成用户凭证比对,然后用户自主启动模块发送比对结果给第一中心处理模块,第一中心处理模块根据用户凭证比对结果决定是否启动智能卡的验证功能;第二步,第一中心处理模块控制智能卡的第一加密解密模块利用智能卡的私钥对验证请求信号进行加密处理,然后第一加密解密模块传输加密后得到的含数字签名的验证请求信号给第一中心处理模块;第三步,第一中心处理模块控制智能卡的第一调制解调模块对含数字签名的验证请求信号进行调制处理,转换为音频信号,然后第一调制解调模块传输音频信号给智能卡的第一音频处理模块;第四步,第一音频处理模块对音频信号进行放大处理,并将处理后的音频信号通过通信网络发送给远程验证端;第五步,在远程验证端,前端系统的第二音频处理模块接收智能卡的第一音频处理模块发送的音频信号;第六步,第二音频处理模块对接收到的音频信号进行处理,并将处理后的音频信号传输给前端系统的第二调制解调模块,然后前端系统的第二中心处理模块控制第二调制解调模块对音频信号进行解调处理,并将解调后的音频信号还原为已加密的含数字签名的验证请求信号,第二调制解调模块传输已加密的含数字签名的验证请求信号给第二中心处理模块;第七步,第二中心处理模块控制前端系统的第二加密解密模块利用通过IO模块从后端系统中获取的智能卡的公钥对加密后的含数字签名的验证请求信号进行解密处理, 然后第二加密解密模块传输数字签名和解密后得到的请求信号给第二中心处理模块;第八步,第二中心处理模块保存数字签名,同时第二中心处理模块产生一组随机数,并保存该随机数作为原随机数,然后第二中心处理模块控制第二加密解密模块利用智能卡的公钥对原随机数进行加密处理,第二加密解密模块传输加密后得到的加密数据给第二中心处理模块;第九步,第二中心处理模块控制第二调制解调模块对加密数据进行调制处理,并将调制后的加密数据转换为音频信号,然后第二调制解调模块传输音频信号给第二音频处理模块;第十步,第二音频处理模块对音频信号进行处理,并将处理后的音频信号通过通信网络发送给客户端;第十一步,在客户端的第一音频处理模块接收第二音频处理模块发送的音频信号;第十二步,第一音频处理模块对接收到的音频信号进行处理,并将处理后的音频信号传输给第一调制解调模块,然后第一中心处理模块控制第一调制解调模块对音频信号进行解调处理,还原为加密数据,第一调制解调模块传输加密数据给第一中心处理模块;第十三步,第一中心处理模块控制第一加密解密模块利用智能卡的私钥对加密数据进行解密处理,然后第一加密解密模块传输解密后得到的随机数给第一中心处理模块;第十四步,第一中心处理模块控制第一调制解调模块对随机数进行调制处理,并将调制后的音频信号,传输给第一音频处理模块;第十五步,第一音频处理模块对音频信号进行处理,并将处理后的音频信号通过通信网络发送给远程验证端;第十六步,在远程验证端,第二音频处理模块接收第一音频处理模块发送的音频信号;第十七步,第二音频处理模块对接收到的音频信号进行处理,并将处理后的音频信号传输给第二调制解调模块,然后第二中心处理模块控制第二调制解调模块对音频信号进行解调处理,获得随机数,第二调制解调模块传输随机数给第二中心处理模块;第十八步,第二中心处理模块比较原随机数与新随机数,得到验证结果,S卩如果原随机数与新随机数相同,则通过验证,反之,则不通过验证。上述方法中采用了随机数非对称加密机制的通信模式,使得信道安全得到保障, 而且在通信过程中引入了具有唯一性的私钥数字签名,使得本发明得到的认证方法具有防抵赖性。本发明得到的面向普适网络的远程身份认证系统及认证方法,其认证系统采用具有用户自主安全启动功能的智能卡,既免除了客户端的部署和维护工作,又由于智能卡分担了部分用户验证工作,可有效减少远程验证端的后端系统对用户的确认工作,大大减轻了后端系统的压力,从而使设备建设、维护和人工的成本大幅度地降低,同时使只有拥有该智能卡的用户才可以使用该智能卡,并对用户凭证进行加密处理,实现了用户选择的唯一性,有效避免了智能卡遗失或被盗用后而使用户信息泄密等不安全因素,而且在用户终端完成了用户的身份确认;认证系统在信息交互方式上以音频信号作为信息载体,实现了低成本、远距离非接触的接入方式,不但可以提高读卡的安全性,又扩展了接入的范围,另一方面,借助当前成熟的语音通信网络,可随时随地建立通信连接,大幅度地提升了普适性以及用户使用的易用性和高效性;认证系统通过设置一个验证代理,可由代理人完成验证过程,能满足用户的特殊需求;认证方法采用了随机数非对称加密机制的通信模式,使得信道安全得到保障;认证方法还在通信过程中引入了具有唯一性的私钥数字签名,使得本发明方法具有防抵赖性。
图1为常规的远程身份认证系统的拓扑架构示意图;图2为本实施例1远程身份认证系统的拓扑架构示意图;图3为本实施例1的用户终端的功能模块示意图;图4为本实施例1的用户终端的功能模块的构成示意图;图5为本实施例1的远程验证端前端系统的功能模块的构成示意图;图6为本实施例1中2DPSK调制解调方式的原理图7为本实施例1的验证代理实施图;图8为本实施例1的远程身份认证方法的流程示意图。图中客户端1、智能卡11、第一中心处理模块111、用户自主启动模块112、第一加密解密模块113、第一调制解调模块114、第一音频处理模块115、第一嵌入式微处理器 1111、第一存储单元1112、指纹采集器1121、数字键盘1122、信息对比模块1123、第一音频收发设备1151、第一音频处理电路1152、远程验证端2、前端系统21、后端系统22、第二中心处理模块211、第二加密解密模块212、第二调制解调模块213、第二音频处理模块214、10 电路215、第二嵌入式微处理器2111、第二存储单元2112、第二音频收发设备2141、第二音频处理电路2142、电源电路4、时钟电路5、验证代码6、通信网络7、反相器81、选相开关82、 差分变换电路83、通信信道84、带通滤波器85、相乘器86、低通滤波器87、抽样判决器88、 逆差分变换电路89。
具体实施例方式下面结合附图和实施例对本发明进一步说明。实施例1 本实施例提出的一种面向普适网络的远程身份认证系统,如图2所示,其包括位于客户端1的用户终端和位于远程验证端2的后端系统22及与后端系统22连接的前端系统21,用户终端采用智能卡11,该智能卡11是一个具有音频信号播放、接收和硬件处理功能的用户卡,该智能卡11可由用户自主启动,即需要用户自主输入用户凭证才可以使智能卡启动生效,用户凭证可以是安全性要求较高的指纹信息,也可以是通用性较强且成本较低的用户密码,这样智能卡11就类似于当前用户验证终端,输入有效的用户凭证时才允许通信。该智能卡11具有配对的一个私钥和一个公钥,智能卡11事先已向远程验证端2的后端系统22发布自己的公钥,在实际处理过程中,在应用本认证系统登记用户时,在本认证系统中注册用户拥有的智能卡11,注册智能卡11的过程就是将智能卡11的公钥发布给远程验证端2的后端系统22的过程。智能卡11主要由第一中心处理模块111、用户自主启动模块112、第一加密解密模块113、第一调制解调模块114和第一音频处理模块115组成, 用户自主启动模块112、第一加密解密模块113和第一调制解调模块114均与第一中心处理模块111相互通信,第一音频处理模块115与第一调制解调模块114相互通信,前端系统主要由IO模块215、第二音频处理模块214、第二调制解调模块213、第二加密解密模块212 和第二中心处理模块211组成,第二音频处理模块214与第二调制解调模块213相互通信, 第二调制解调模块213和第二加密解密模块212均与第二中心处理模块211相互通信,第二中心处理模块211通过IO模块215与后端系统22相互通信。在此,第一中心处理模块111用于控制用户自主启动模块112、第一加密解密模块 113和第一调制解调114模块。用户自主启动模块112用于读取用户凭证和完成用户凭证比对,并将比对结果发送给第一中心处理模块111,第一中心处理模块111根据用户凭证比对结果决定是否启动智能卡11的验证功能。在使用前将用户凭证信息存入该智能卡11 中并加密,由于一张智能卡11只能由一个用户拥有,所以只要存储一个用户的凭证信息即可,在识别用户时也只需比对一个用户凭证信息,这样在用户终端完成初步的身份识别,即实现了较高安全性又避免了建立用户凭证库和比对凭证库的工作,当用户需要进行身份验证时,启动智能卡11,该智能卡11提示用户输入用户凭证,同时用户自主启动模块112开启接收功能,在接收用户指纹或键入的密码等用户凭证后,与存入智能卡11内的用户凭证进行比对,如果输入的用户凭证正确,第一中心处理模块111即启动智能卡11的验证功能。所述的用户自主启动模块112是用于读取用户凭证及完成用户凭证比对,并将用户凭证比对结果发送给第一中心处理模块111的用户自主启动模块112 ;所述的第一加密解密模块113是用于加密用户自主启动模块112传输给第一中心处理模块111的信号或用于解密第一调制解调模块114传输给第一中心处理模块111的解调后的信号的第一加密解密模块113 ;所述的第一调制解调模块114是用于调制第一加密解密模块113传输给第一中心处理模块111的加密后的信号或第一加密解密模块113传输给第一中心处理模块111 的解密后的信号和解调第一音频处理模块115传输给它的信号的第一调制解调模块114 ; 所述的第一音频处理模块115是用于采集和播放声音信号,实现声电信号转换,并完成与第一调制解调模块114信号交互的第一音频处理模块;所述的第一中心处理模块111用于总体协调用户自主启动模块112、第一加密解密模块113、第一调制解调模块114运行及数据通信;所述的第二调制解调模块213是用于调制第二加密解密模块212传输给第二中心处理模块211的加密后的信号或解调第二音频处理模块214传输给其的信号的第二调制解调模块;所述的第二加密解密模块212是用于解密第二调制解调模块213传输给第二中心处理模块211的解调后的信号、加密第一中心处理模块111产生的随机数的第二加密解密模块212 ;所述的第二音频处理模块214是用于采集和播放声音信号,实现声电信号转换, 并完成与第二调制解调模块213信号交互的第二音频处理模块214 ;所述的第二中心处理模块211用于总体协调第二加密解密模块212和第二调制解调模块213运行及数据通信。本认证系统将音频信号作为信息传输载体,因此客户端1与验证端在近距离的情况下,可直接完成验证;而对于远程验证的情况,则在验证过程中客户端1的智能卡11和远程验证端2的前端系统21将需要验证的验证请求信号和应答的信号转化为音频信号,持有该智能卡11的用户只需要一个电话或手机就可以实现远程验证信息交互。信息验证过程完全由机器自动实现,当用户需要验证时,操作智能卡11向手机、电话等音频收发设备发出包含验证请求信号进行验证,在远程验证端2同样部署一个与用户端音频收发设备建立语音信号连接的音频信号收发设备,接收验证请求信号,并将验证后的应答信息转化为音频信号进行回发。由于语音通信网络和语音终端(音频收发设备)的大范围普及,使得本认证系统在接入方式、用户易用性等方面具有较大的优势。基于音频信号的通信,又为用户提供了一种非接触式的接入方式,不但可以提高读卡的安全性,又扩展了接入的范围,解决了类似汽车咪表刷卡、停车场刷卡、门禁刷卡、拥挤的公交上刷卡等很多不方便的问题。在此具体实施例中,如图3和图4所示,第一中心处理模块111包括电源电路4、时钟电路5、用于控制用户自主启动模块112、第一加密解密模块113和第一调制解调模块114 的第一嵌入式微处理器1111和与第一嵌入式微处理器1111连接的第一存储单元1112,用户自主启动模块112包括用于读取用户指纹的指纹采集器1121、用于输入用户密码的数字键盘1122和用于完成用户凭证比对的信息比对模块1123,指纹采集器1121读取用户指纹并传输用户指纹给信息比对模块1123,信息比对模块1123用于将当前输入的用户指纹或用户通过数字键盘输入的密码与事先存入卡中的用户凭证进行比对,将比对结果通知第一中心处理模块111,信息比对模块1123与第一嵌入式微处理器1111相互通信,第一音频处理模块115包括第一音频收发设备1151和与第一音频收发设备1151连接的第一音频信号处理电路1152,第一音频信号处理电路1152与第一调制解调模块114相互通信;图5所示第二中心处理模块211包括用于控制第二加密解密模块212和第二调制解调模块213的第二嵌入式微处理器2111和与第二嵌入式微处理器2111连接的第二存储单元2112,第二音频处理模块214包括第二音频收发设备2141和与第二音频收发设备2141连接的第二音频信号处理电路2142,第二音频信号处理电路2142与第二调制解调模块213相互通信。在此,第一中心处理模块111,第一加密解密模块113和第二中心处理模块211,第二加密解密模块212可分别由两套成熟的嵌入式系统实现,目前市场上集各种外设适合给类应用的嵌入式软硬件整体解决平台层出不穷,这些平台采用的大多数嵌入式微处理器对实时任务有很强的支持能力,能完成多任务并且有较短的中断响应时间,具有功能很强的存储区保护功能和数字信号处理能力。本实施例采用三星s3c2410嵌入式系统解决方案, 第一嵌入式微处理器1111和第二嵌入式微处理器2111均可采用ARM9嵌入式微处理器,第一存储单元1112和第二存储单元2112可采用由SDRAM和FLASH两个存储器构成的存储单兀。本实施例中指纹采集器1121采用刮擦式指纹传感器,刮擦式指纹传感器成像方法是当手指在指纹传感器上刮过时,采集多幅图像,然后对采集的图像进行拼接,最终形成整个手指的指纹图像。目前该类传感器,体积较小能应用在手机、PDA设备上,能够灵活适应当时的手指条件,无论是干手指、湿手指、浅纹理指纹、老年手指等等都有很高的识别率, 能够达到300dpi以上分辨率,能采集到手指较大区域的指纹图像,抗静电能力强,宽温区, 在特别寒冷或特别酷热的环境下也能正常运行。在指纹识别中主要分指纹特征提取和指纹特征比对两个部分,目前已经出现许多的指纹特征提取和比对算法,而算法最终都归结为在指纹图像上找到并比对指纹的特征,通过计算机模糊比较的方法,把两个指纹的模板进行比较,计算出它们的相似程度,最终得到两个指纹的匹配结果。第一音频收发设备1151和第二音频收发设备2141采用现有的微型喇叭和麦克风,例如手机用喇叭和麦克风;第一音频信号处理电路1152和第二音频信号处理电路2142 均采用现有的信号处理技术,用于对音频信号进行放大、滤波和整形处理。在此具体实施例中,由于本实施例主要面向普通用户在各类环境中的信息验证, 且由音频信号作为载体直接来体现验证的数字信息,并通过声波传输,然而环境声音、验证时设备之间的距离对通信质量影响较大,因此常规的PSK(移相键控)、ASK(幅度键控) 调制解调模式不适合作为本认证系统的调制解调模式,故本认证系统的第一调制解调模块114和第二调制解调模块213均采用在功耗、误码率和抗噪声干扰方面均较为优越的 2DPSK( 二进制差分相移键控)调制解调方式,这种调制解调方式利用前后相邻码元的相对载波相位值来表示验证过程中的数字信息。2DPSK调制解调模式的调制原理如图6所示,载波信号从“载波信号”端输入,一路直接送入选相开关82,另一路经反相器81反相后送入选相开关82,基带信号经差分变换电路83后,作为模拟选相开关82的控制信号轮流选通不同相位的载波,完成2DPSK调制,并从“调制信号,,端点输出,进入通信信道84,调制信号经过通信信道84后夹杂了信道中噪声,来到解调端,首先解调端先用带通滤波器85滤去信道噪声,然后将调制信号进入相乘器86与本地载波信号相乘后,去掉了调制信号中的载波成分,再经过低通滤波器87去除高频成分,得到包含基带信号的初始信号,然后对此信号进入抽样判决器88进行抽样判决(抽样判决器88的判决电平可调节,其时钟为基带信号的位同步信号),最后经过逆差分变换电路89,就可以恢复基带信号。在此具体实施例中,如图7所示,远程身份认证系统还可以在客户端1与远程验证端2之间设置验证代理6,第一音频处理模块115通过通信网络7与验证代理6进行音频信号交互,验证代理6再通过通信网络7与远程验证端2的第二音频处理模214块进行音频信号交互,从而实现客户端1与远程验证端2的间接交互。在此,验证代理6可以采用手机或电话,也可以采用具有语音通信功能的终端设备。如图8所示,本实施例还涉及一种面向普适网络的远程身份认证方法,其特征是在于包括以下步骤第一步,在客户端1,智能卡11的第一中心处理模块111控制智能卡11的用户自主启动模块112读取用户凭证并完成用户凭证比对,然后用户自主启动模块112发送比对结果给第一中心处理模块111,第一中心处理模块111根据用户凭证比对结果决定是否启动智能卡11的验证功能。应用本认证方法的系统在使用前将用户凭证信息存入智能卡11中并加密,由于一张智能卡11只能由一个用户拥有,所以只要存储一个用户的指纹信息即可,在识别用户时也只需比对一个用户凭证信息,这样在用户终端完成初步的身份识别,既实现了较高的安全性又避免了建立用户凭证库和比对凭证库的工作。当用户需要进行身份验证时,启动智能卡11,该智能卡11提示用户输入用户凭证,同时用户自主启动模块112开启接收功能, 在接收用户指纹或键入的密码后,与存入智能卡11内的用户凭证进行比对,如果输入的用户凭证正确,即启动智能卡11的验证功能。第二步,第一中心处理模块111控制智能卡11的第一加密解密模块113利用智能卡11的私钥对验证请求信号进行加密处理,然后第一加密解密模块113传输加密后得到的含数字签名的验证请求信号给第一中心处理模块111。第三步,第一中心处理模块111控制智能卡11的第一调制解调模块114对含数字签名的验证请求信号进行调制处理,转换为音频信号,然后第一调制解调模块114传输音频信号给智能卡11的第一音频处理模块115。第四步,第一音频处理模块115对音频信号进行放大处理,并将处理后的音频信号通过通信网络7发送给远程验证端6。第五步,在远程验证端2,前端系统21的第二音频处理模214块接收智能卡11的第一音频处理模块115发送的音频信号。第六步,第二音频处理模块214对接收到的音频信号进行处理,并将处理后的音频信号传输给前端系统21的第二调制解调模块213,然后前端系统21的第二中心处理模块211控制第二调制解调模块213对音频信号进行解调处理,并将解调后的音频信号还原为已加密的含数字签名的验证请求信号,第二调制解调模块213传输已加密的含数字签名的验证请求信号给第二中心处理模块211。第七步,第二中心处理模块211控制前端系统21的第二加密解密模块212利用通过IO模块215从后端系统22中获取的智能卡11的公钥对加密后的含数字签名的验证请求信号进行解密处理,然后第二加密解密模块212传输数字签名和解密后得到的请求信号给第二中心处理模块211。
第八步,第二中心处理模块211保存数字签名,同时第二中心处理模块211产生一组随机数,并保存该随机数作为原随机数,然后第二中心处理模块211控制第二加密解密模块212利用智能卡11的公钥对原随机数进行加密处理,第二加密解密模块212传输加密后得到的加密数据给第二中心处理模块211。第九步,第二中心处理模块211控制第二调制解调模块213对加密数据进行调制处理,并将调制后的加密数据转换为音频信号,然后第二调制解调模块213传输音频信号给第二音频处理模块214。第十步,第二音频处理模块214对音频信号进行处理,并将处理后的音频信号通过通信网络发送给客户端1。第十一步,在客户端1的第一音频处理模块115接收第二音频处理模块214发送的音频信号。第十二步,第一音频处理模块115对接收到的音频信号进行处理,并将处理后的音频信号传输给第一调制解调模块114,然后第一中心处理模块111控制第一调制解调模块114对音频信号进行解调处理,还原为加密数据,第一调制解调模块114传输加密数据给第一中心处理模块111。第十三步,第一中心处理模块111控制第一加密解密模块113利用智能卡11的私钥对加密数据进行解密处理,然后第一加密解密模块113传输解密后得到的随机数给第一中心处理模块111。第十四步,第一中心处理模块111控制第一调制解调模114块对随机数进行调制处理,并将调制后的音频信号,传输给第一音频处理模块115。第十五步,第一音频处理模块115对音频信号进行处理,并将处理后的音频信号通过通信网络7发送给远程验证端2。第十六步,在远程验证端2的第二音频处理模块214接收第一音频处理模块115 发送的音频信号。第十七步,第二音频处理模块214对接收到的音频信号进行处理,并将处理后的音频信号传输给第二调制解调模块213,然后第二中心处理模块211控制第二调制解调模块213对音频信号进行解调处理,获得随机数,第二调制解调模块213传输随机数给第二中心处理模块211 ;第十八步,第二中心处理模块211比较原随机数与新随机数,得到验证结果,即如果原随机数与新随机数相同,则通过验证,反之,则不通过验证。为解决音频信号通信中的安全性问题,本认证方法对交互信号进行非对称加密, 非对称加密方法是目前公认的保障网络社会安全的最佳体系。通信中被加密的数据是随机生成的,并没有实际意义,非对称加密方法中私钥和公钥的特殊关系,使得本认证方法中的加密机制非常适合用于身份验证,也就是说通信双方只要通过确定收到的数据是由对方加密的就可以确定对方身份,而不需要知道实际被加密的数据是什么。这样,即便被监听、录音均不会泄露用户信息,有效保证了安全性,同时本认证方法引入具有唯一性的私钥数字签名,使得本认证方法具有防抵赖性,而且这种加密机制使得安全的验证代理成为可能,如果用户想找一个代理人完成验证工作,但又不想泄露自己的信息,则只要拨通代理人的电话,通过智能卡11与代理人所在的验证代理6端通信即可。
权利要求
1.一种面向普适网络的远程身份认证系统,包括位于客户端(1)的用户终端和位于远程验证端O)的后端系统02)及与后端系统02)连接的前端系统(21),所述的用户终端包含有智能卡(11),其特征是所述的智能卡(11)内含有预先储存的用户凭证信息,智能卡 (11)具有配对的一个私钥和一个事先已向后端系统02)发布的公钥,智能卡(11)主要由第一中心处理模块(111)、用户自主启动模块(112)、第一加密解密模块(113)、第一调制解调模块(114)和第一音频处理模块(11 组成;所述的用户自主启动模块(11 、第一加密解密模块(11 和第一调制解调模块(114)均与第一中心处理模块(111)相互通信连接, 第一音频处理模块(11 与第一调制解调模块(114)相互通信连接;所述的前端系统主要由第二音频处理模块014)、第二中心处理模块011)、第二调制解调模块(21 和第二加密解密模块(21 组成;所述的第二音频处理模块(214)与所述的第二调制解调模块 (212)相互通信连接,第二调制解调模块(21 和所述的第二加密解密模块(21 均与所述的第二中心处理模块(211)相互通信连接。
2.根据权利要求1所述的面向普适网络的远程身份认证系统,其特征是所述的用户自主启动模块(112)是用于读取用户凭证及完成用户凭证比对,并将用户凭证比对结果发送给第一中心处理模块(111)的用户自主启动模块(112);所述的第一加密解密模块(113) 是用于加密用户自主启动模块(11 传输给第一中心处理模块(111)的信号或用于解密第一调制解调模块(114)传输给第一中心处理模块(111)的解调后的信号的第一加密解密模块(11 ;所述的第一调制解调模块(114)是用于调制第一加密解密模块(11 传输给第一中心处理模块(111)的加密后的信号或第一加密解密模块(11 传输给第一中心处理模块(111)的解密后的信号和解调第一音频处理模块(11 传输给它的信号的第一调制解调模块(114);所述的第一音频处理模块(11 是用于采集和播放声音信号,实现声电信号转换,并完成与第一调制解调模块(114)信号交互的第一音频处理模块;所述的第一中心处理模块(111)用于总体协调用户自主启动模块(112)、第一加密解密模块(113)、第一调制解调模块(114)运行及数据通信;所述的第二调制解调模块(21 是用于调制第二加密解密模块(21 传输给第二中心处理模块011)的加密后的信号或解调第二音频处理模块 (214)传输给其的信号的第二调制解调模块;所述的第二加密解密模块(21 是用于解密第二调制解调模块(21 传输给第二中心处理模块011)的解调后的信号、加密第一中心处理模块(111)产生的随机数的第二加密解密模块012);所述的第二音频处理模块(214) 是用于采集和播放声音信号,实现声电信号转换,并完成与第二调制解调模块(213)信号交互的第二音频处理模块014);所述的第二中心处理模块(211)用于总体协调第二加密解密模块(21 和第二调制解调模块(21 运行及数据通信。
3.根据权利要求1或2所述的面向普适网络的远程身份认证系统,其特征是所述的第一中心处理模块(111)包括电源电路G)、时钟电路(5)、第一嵌入式微处理器(1111)和与第一嵌入式微处理器(1111)连接的第一存储单元(1112),用户自主启动模块(112)包括用于读取用户指纹的指纹采集器(1121)、用于输入用户密码的数字键盘(1122)和用于完成用户凭证比对的信息比对模块(1123),信息比对模块(112 与第一嵌入式微处理器 (1111)相互通信连接,第一调制解调模块(114)为2DPSK调制解调模式,第一音频处理模块 (115)包括第一音频收发设备(1151)和与第一音频收发设备(1151)连接的第一音频信号处理电路(1152),第一音频信号处理电路(115 与第一调制解调模块(114)相互通信;第二中心处理模块(211)包括电源电路G)、时钟电路(5)以及用于控制第二加密解密模块(212)和第二调制解调模块013)的第二嵌入式微处理器0111)和与第二嵌入式微处理器0111)连接的第二存储单元(2112),第二调制解调模块013)为2DPSK调制解调模式, 第二音频处理模块(214)包括第二音频收发设备0141)和与第二音频收发设备0141)连接的第二音频信号处理电路(2142),第二音频信号处理电路014 与第二调制解调模块(213)相互通信连接。
4.根据权利要求1或2所述的面向普适网络的远程身份认证系统,其特征是所述客户端(1)与远程验证端( 之间设有验证代理(6),第一音频处理模块(11 通过通信网络 (7)与验证代理(6)相互通信连接,验证代理(6)通过通信网络(7)与远程验证端( 的第二音频处理模块(214)相互通信连接。
5.根据权利要求3所述的面向普适网络的远程身份认证系统,其特征是所述客户端(I)与远程验证端( 之间设有验证代理(6),第一音频处理模块(111)通过通信网络(7) 与验证代理(6)相互通信连接,验证代理(6)通过通信网络(7)与远程验证端的第二音频处理模块(214)相互通信连接。
6.根据权利要求4所述的面向普适网络的远程身份认证系统,其特征是所述的在客户端(1)与远程验证端( 之间设有验证代理(6),其验证代理(6)的代理人所在的验证代理 (6)终端为手机、或电话、或具有语音通信功能的终端设备。
7.根据权利要求5所述的面向普适网络的远程身份认证系统,其特征是所述的在客户端(1)与远程验证端( 之间设有验证代理(6),其验证代理(6)的代理人所在的验证代理 (6)终端为手机、或电话、或具有语音通信功能的终端设备。
8.一种面向普适网络的远程身份认证方法,其特征是在于包括以下步骤第一步,在客户端(1),智能卡(11)的第一中心处理模块(111)控制智能卡(11)的用户自主启动模块(112)读取用户凭证并完成用户凭证比对,然后用户自主启动模块(112) 发送比对结果给第一中心处理模块(111),第一中心处理模块(111)根据用户凭证比对结果决定是否启动智能卡(U)的验证功能;第二步,第一中心处理模块(111)控制智能卡(11)的第一加密解密模块(11 利用智能卡(11)的私钥对验证请求信号进行加密处理,然后第一加密解密模块(11 传输加密后得到的含数字签名的验证请求信号给第一中心处理模块(111);第三步,第一中心处理模块(111)控制智能卡(11)的第一调制解调模块(114)对含数字签名的验证请求信号进行调制处理,转换为音频信号,然后第一调制解调模块(114)传输音频信号给智能卡(11)的第一音频处理模块(115);第四步,第一音频处理模块(11 对音频信号进行放大处理,并将处理后的音频信号通过通信网络(7)发送给远程验证端;第五步,在远程验证端0),前端系统的第二音频处理模块(214)接收智能卡(II)的第一音频处理模块(11 发送的音频信号;第六步,第二音频处理模块(214)对接收到的音频信号进行处理,并将处理后的音频信号传输给前端系统的第二调制解调模块013),然后前端系统的第二中心处理模块011)控制第二调制解调模块(21 对音频信号进行解调处理,并将解调后的音频信号还原为已加密的含数字签名的验证请求信号,第二调制解调模块(21 传输已加密的含数字签名的验证请求信号给第二中心处理模块011);第七步,第二中心处理模块(211)控制前端系统的第二加密解密模块(21 利用通过IO模块(215)从后端系统02)中获取的智能卡(11)的公钥对加密后的含数字签名的验证请求信号进行解密处理,然后第二加密解密模块(21 传输数字签名和解密后得到的请求信号给第二中心处理模块011);第八步,第二中心处理模块(211)保存数字签名,同时第二中心处理模块(211)产生一组随机数,并保存该随机数作为原随机数,然后第二中心处理模块011)控制第二加密解密模块(212)利用智能卡(11)的公钥对原随机数进行加密处理,第二加密解密模块(212) 传输加密后得到的加密数据给第二中心处理模块011);第九步,第二中心处理模块(211)控制第二调制解调模块(21 对加密数据进行调制处理,并将调制后的加密数据转换为音频信号,然后第二调制解调模块(21 传输音频信号给第二音频处理模块014);第十步,第二音频处理模块(214)对音频信号进行处理,并将处理后的音频信号通过通信网络⑵发送给客户端⑴;第十一步,在客户端(1)的第一音频处理模块(11 接收第二音频处理模块(214)发送的音频信号;第十二步,第一音频处理模块(1巧)对接收到的音频信号进行处理,并将处理后的音频信号传输给第一调制解调模块(114),然后第一中心处理模块(111)控制第一调制解调模块(114)对音频信号进行解调处理,还原为加密数据,第一调制解调模块(114)传输加密数据给第一中心处理模块(111);第十三步,第一中心处理模块(111)控制第一加密解密模块(11 利用智能卡(11)的私钥对加密数据进行解密处理,然后第一加密解密模块(11 传输解密后得到的随机数给第一中心处理模块(111);第十四步,第一中心处理模块(111)控制第一调制解调模块(114)对随机数进行调制处理,并将调制后的音频信号,传输给第一音频处理模块(115);第十五步,第一音频处理模块(11 对音频信号进行处理,并将处理后的音频信号通过通信网络(7)发送给远程验证端;第十六步,在远程验证端0),第二音频处理模块(214)接收第一音频处理模块(115) 发送的音频信号;第十七步,第二音频处理模块(214)对接收到的音频信号进行处理,并将处理后的音频信号传输给第二调制解调模块013),然后第二中心处理模块011)控制第二调制解调模块(21 对音频信号进行解调处理,获得随机数,第二调制解调模块(21 传输随机数给第二中心处理模块011);第十八步,第二中心处理模块011)比较原随机数与新随机数,得到验证结果,即如果原随机数与新随机数相同,则通过验证,反之,则不通过验证。
全文摘要
本发明公开了一种面向普适网络的远程身份认证系统及认证方法,包括用户终端和后端系统及与后端系统连接的前端系统,用户终端采用智能卡,智能卡中预先存储有用户凭证信息,智能卡配对有一个私钥和一个公钥,智能卡事先已向后端系统发布公钥,智能卡主要由第一中心处理模块、用户自主启动模块、第一加密解密模块、第一调制解调模块和第一音频处理模块组成,用户自主启动模块、第一加密解密模块和第一调制解调模块均与第一中心处理模块相互通信,第一音频处理模块与第一调制解调模块相互通信;前端系统主要由第二音频处理模块、第二调制解调模块、第二加密解密模块和第二中心处理模块组成。本发明成本低、操作简单、安全性能高、普适性强且防抵赖性好。
文档编号H04L9/32GK102412970SQ20111038418
公开日2012年4月11日 申请日期2011年11月28日 优先权日2011年11月28日
发明者傅松寅, 张懿, 黄荻 申请人:宁波桔槐电子科技有限公司