专利名称:利用公钥基础设施实现用户身份验证的方法、设备及系统的制作方法
技术领域:
本发明属于信息处理技术领域,特别涉及一种利用公钥基础设施实现用户身份验
证的方法、设备及系统。
背景技术:
随着Internet的普及,人们通过因特网进行沟通越来越多,相应的通过网络进行 商务活动即电子商务也得到了广泛的发展。电子商务为企业开拓市场、利用各种资源提供 了一个千载难逢的良机。电子商务对企业来说真正体现了平等竞争、高效率、低成本、高质 量的优势,能让企业在激烈的市场竞争中把握商机、脱颖而出。然而随着电子商务的飞速发 展也相应的引发出一些Internet安全问题。为解决这些Internet的安全问题,通过对其 进行了多年的研究,初步形成了一套完整的Internet安全解决方案,即目前被广泛采用的 PKI技术(Public Key Infrastructure-公钥基础设施),PKI技术被广泛的应用于电子商 务和接入认证领域,但是其安全性经常受到挑战,一种主要的攻击形式是重放攻击,目前为 克服该漏洞的方法是在每次电子交易通讯的时候,产生一个随机数作为本次交易的识别码 或动态密码技术防止重放攻击。大多数产生随机数的方法是利用特定的计算机程序计算出 一个随机数。例如,在PKI认证设备基础上,添加动态密码产生装置,采用时间同步的方法 和服务器通讯然后产生一个动态密码并由用户输入,用于本次登录操作或交易。但是,其动 态密码产生的随机数多为伪随机数,经过多次采集就可以预测,用户身份验证的安全性较 低。
发明内容
为了解决用户身份验证的安全性较低的问题,本发明实施例提供了一种利用公钥 基础设施实现用户身份验证的方法,包括 公钥基础设施PKI认证设备获取通过实时视频采集得到的视频信息,并向服务器 发送获取的视频信息; 服务器以视频信息为参数产生随机数,并向PKI认证设备发送随机数; PKI认证设备根据随机数产生动态口令并通过私钥进行签名,向服务器发送签名
后的动态口令; 服务器根据公钥和随机数验证签名后的动态口令。 同时本发明实施例还提供一种利用公钥基础设施实现用户身份验证的方法,包 括 PKI认证设备将采集的用户面部特征信息和预存的用户面部特征信息进行比对, 通过私钥对比对结果进行加密,并向服务器发送加密后的比对结果; 服务器利用公钥对加密后的比对结果进行解密得到比对结果,并根据比对结果向 PKI认证设备发送验证结果。 同时本发明实施例还提供一种利用公钥基础设施实现用户身份验证的系统,包括 公钥基础设施PKI认证设备,用于获取通过实时视频采集得到的视频信息,并向 服务器发送获取的视频信息,根据服务器发送的随机数产生动态口令并通过私钥进行签 名,向服务器发送签名后的动态口令; 服务器,用于以视频信息为参数产生随机数,并向PKI认证设备发送随机数,服务 器根据公钥和随机数验证签名后的动态口令。 同时本发明实施例还提供一种利用公钥基础设施实现用户身份验证的系统,包 括 PKI认证设备,用于将采集的用户面部特征信息和预存的用户面部特征信息进行
比对,通过私钥对比对结果进行加密,并向服务器发送加密后的比对结果; 服务器,用于利用公钥对加密后的比对结果进行解密得到比对结果,并根据比对
结果向PKI认证设备发送验证结果。
同时本发明实施例还提供一种公钥基础设施PKI认证设备,包括 获取模块,用于获取通过实时视频采集得到的视频信息,并向服务器发送获取的
视频信息; 第一接收模块,用于接收由服务器以视频信息为参数产生并向PKI认证设备发送 的随机数; 签名模块,用于根据随机数产生动态口令并通过私钥进行签名,向服务器发送签 名后的动态口令。 同时本发明实施例还提供一种公钥基础设施PKI认证设备,包括比对模块,用于 将采集的用户面部特征信息和预存的用户面部特征信息进行比对,通过私钥对比对结果进 行加密,并向服务器发送加密后的比对结果; 第二接收模块,用于接收由服务器根据比对结果发送的验证结果,比对结果是服 务器利用公钥对加密后的比对结果进行解密得到的。 由上述本发明提供的具体实施方案可以看出,正是由于进行实时动态采集获取视 频信息并以此作为随机数产生源,大大提高了其随机性,并且提高了安全性,同时无需用户 输入动态密码。利用采集的视频信息,通过PKI设备内置的面部识别比对功能,识别PKI设 备拥有者,提高用户身份验证的安全性。
图1为本发明提供的运行第一实施例方法的系统的拓扑图; 图2为本发明提供的第一实施例方法流程图; 图3为本发明提供的第二实施例系统结构图; 图4为本发明提供的第三实施例系统结构图; 图5为本发明提供的第四实施例设备结构图; 图6为本发明提供的第五实施例设备结构图。
具体实施例方式
为了解决用户身份验证的安全性较低的问题,本发明实施例提供了一种利用公钥基础设施实现用户身份验证的方法,本实施例中以在客户端PC上登录金融网站为例,说明 本实施例的设备部署和实施方式,如图1所示,本实施例中的PKI认证设备作为USB设备与 PC连接,并且该PKI认证设备配有图像采集用的摄像头,PC通过互联网与金融或其他支付 服务器连接。 PKI认证设备中存储的用户面部特征信息是在设备发行的时候采集并预存进去
的,以后只有专门部门使用专用设备才能更改。方法流程如图2所示,包括 步骤101 :用户首先由客户端PC通过互联网访问金融服务器,金融服务器提示输
入用户名和口令,用户由客户端PC输入用户名和静态口令,提出登录请求。 步骤102 :服务器发送反馈信息,要求客户端PC出示身份验证。 步骤103 :客户端PC向PKI认证设备发出指令,请求PKI认证设备提供面部识别结果。 步骤104 :PKI认证设备完成面部识别和比对以后,把比对结果(面部识别结果) 和时间戳,利用私钥做一个数字签名得到数据DATA1,然后把DATA1发送给客户端PC。
步骤105 :客户端PC将DATA1转发到服务器上。 步骤106 :服务器利用公钥对DATA1进行解密得到比对结果,根据比对结果得到身 份验证结果,并将身份验证结果发回给客户端PC。 步骤107 :客户端PC收到服务器的认证结果为认证通过,发送指令给PKI认证设 备,请求获取PKI认证设备进行实时动态采集所获取的视频信息。
步骤108 :PKI认证设备将视频信息发送给客户端PC。
步骤109 :客户端PC再将视频信息转发到服务器上。
步骤110 :服务器以视频信息为参数产生随机数,并将随机数发送到客户端PC。
步骤111 :客户端PC再将随机数转发给PKI认证设备。
步骤112 :PKI认证设备根据本身缓存的视频信息,验证服务器发过来的随机数, 验证通过,根据随机数产生动态口令,并用私钥签名然后发到客户端PC。
步骤113 :客户端PC将签名后的动态口令转发到服务器上。
步骤114 :服务器通过公钥和随机数验证签名后的动态口令,将验证结果反馈给
客户端PC,如果验证结果不对,客户端PC将提示用户,本次会话可能不安全。 以上流程的步骤106至步骤114,是一个在一次会话中多次重复的过程,保证在整
个会话过程防止窃听和重放攻击。 其中步骤101中,也可以是其它对用户身份进行认证的服务器。 其中步骤104中,PKI认证设备根据接收的指令,对用户面部特征进行采集,进而
获取用户面部特征信息,PKI认证设备将预先存储的用户面部特征信息和获取的用户面部
特征信息进行比对,得到比对结果即两者相同或不同。这里无论是获取的用户面部特征信
息,还是预先存储的用户面部特征信息,都是对原始图像去噪后,经一定的算法运算得到的
摘要信息,比对是比对的是两个摘要信息。 其中步骤106中,本实施例中服务器利用公钥对DATA1进行解密得到的比对结果 为预先存储的用户面部特征信息和获取的用户面部特征信息相同,服务器根据两者相同, 得到身份验证结果为通过验证,若比对结果不同,服务器根据两者不同,得到身份验证结果 为验证未通过。
其中步骤107中,PKI认证设备进行实时动态采集,可以是对用户面部特征进行实 时动态采集,也可以是对其它动态图像进行的实时采集。通过采集得到的视频信息是对原 始图像去噪后,经一定的算法运算得到的摘要信息。 其中步骤110中,本步骤中服务器是以获取的视频信息为依据根据预定的规则产
生随机数,例如,视频信息为iiiiiiio,预定的规则为将视频信息字符串的最后一位移位到
第一位,得到的随机数为01111111,当然也可以采用公钥对获取的视频信息进行加密,将得 到的结果作为随机数发送到客户端PC。 其中步骤112中,PKI认证设备发送视频数据时,会缓存一份,以便对服务器发过 来的随机数进行验证,验证时PKI认证设备采用缓存的视频信息与服务器产生随机数相应 的规则对随机数进行验证,例如将得到的随机数字符串01111111的第一位移位到最后一 位得到字符串11111110,与视频信息字符串11111110相同,服务器发过来的随机数验证通 过,当然也可以通过将私钥对随机数进行解密得到的结果与缓存的视频信息进行比较,以 此对随机数进行验证。验证通过说明该随机数为服务器端发送的随机数,否则,说明该随机 数不是服务器端发送的随机数。根据随机数产生动态口令可以是,通过随机数对一个常数 进行加密将加密结果作为动态口令,或者通过将随机数字符串与一个固定的字符串进行拼 接得到动态口令。 其中步骤114中,服务器通过公钥解密签名后的动态口令,将公钥对签名后的动 态口令进行解密得到的结果作为动态口令验证码,服务器得到动态口令验证码后,采用于 步骤112中对应的方法得到随机数校验码,例如,通过与步骤112中同样的常数对动态口令 验证码进行解密,解密结果作为随机数校验码,或从动态口令验证码中分离出固定的字符 串和随机数校验码。将随机数校验码和随机数进行比较,若相同,动态口令验证通过,否则 验证不通过。 在本实施例具体实施时,可以将完成视频信息采集的摄像功能模块如摄像头集成 在PKI认证设备中,也可以单独设置一个摄像功能模块,将采集的原始图像传送到PKI认证 设备中。PKI认证设备向服务器发送视频信息前,还可以在视频信息中增加时间戳,向服务 器发送带有时间戳的视频信息。 本发明实施方案,为网上交易和保密数据的接入提供了多种保障。通过实时视频 信息作为挑战式动态密码的随机参数。因为每次会话时,用户的使用环境光线和在摄像头 面前的姿势,都不可能完全一致,所以视频内容也不可能一致,保证了动态口令参数的随机 性。通过实时的动态口令,可以保障整个会话过程的安全。通过内置于PKI认证设备的面 部特征识别和比对算法,保证该设备不易被盗用。PKI认证设备对服务器发来的随机数可以 根据发送出去的视频信息做验证,这样就实现了双向安全认证,提高了安全性。PKI认证设 备发送到服务器上的视频信息,都是带有时间戳的,可以为日后备查交易记录,提供确实直 观的凭据。 本发明提供的第二实施例是一种利用公钥基础设施实现用户身份验证的系统,其 结构如图3所示,包括 公钥基础设施PKI认证设备201,用于获取通过实时视频采集得到的视频信息,并 向服务器发送获取的视频信息,根据服务器发送的随机数产生动态口令并通过私钥进行签 名,向服务器发送签名后的动态口令;
服务器202,用于以视频信息为参数产生随机数,并向PKI认证设备发送随机数, 服务器根据公钥和随机数验证签名后的动态口令。 进一步,PKI认证设备201,还用于根据获取的视频信息对服务器发送的随机数进 行验证后,根据随机数产生动态口令。 进一步,PKI认证设备201,还还用于通过与其相连的用户终端向服务器发送获取
的视频信息,通过用户终端向服务器发送签名后的动态口令; 服务器202,还用于通过用户终端向PKI认证设备发送产生的随机数。 进一步,PKI认证设备201,用于在获取的视频信息中加入时间戳,并向服务器发
送携带时间辍的视频信息。。 进一步,PKI认证设备201,还用于将采集的用户面部特征信息和预存的用户面部 特征信息进行比对,通过私钥对比对结果进行加密,并向服务器发送加密后的比对结果;
服务器202,还用于利用公钥对加密后的比对结果进行解密得到比对结果,并根据 比对结果向PKI认证设备发送验证结果,若验证通过,则向服务器发送获取的视频信息。
进一步,PKI认证设备201,还用于在加密后的比对结果中加入时间戳,并向服务 器发送携带时间辍的加密后比对结果。 本发明提供的第三实施例是一种利用公钥基础设施实现用户身份验证的系统,其 结构如图4所示,包括 PKI认证设备301,用于将采集的用户面部特征信息和预存的用户面部特征信息 进行比对,通过私钥对比对结果进行加密,并向服务器发送加密后的比对结果;
服务器302,用于利用公钥对加密后的比对结果进行解密得到比对结果,并根据比 对结果向PKI认证设备发送验证结果。 本发明提供的第四实施例是一种公钥基础设施PKI认证设备,其结构如图5所示, 包括 获取模块401,用于获取通过实时视频采集得到的视频信息,并向服务器发送获取 的视频信息; 第一接收模块402,用于接收由服务器以视频信息为参数产生并向PKI认证设备 发送的随机数; 签名模块403,用于根据随机数产生动态口令并通过私钥进行签名,向服务器发送 签名后的动态口令。 进一步,签名模块403,还用于PKI认证设备根据获取的视频信息对服务器发送的
随机数进行验证后,根据随机数产生动态口令。 进一步,还包括,视频采集模块,用于采集视频信息。 进一步,获取模块401,还用于通过与PKI认证设备相连的用户终端向服务器发送 获取的视频信息; 第一接收模块402,还用于接收服务器通过用户终端向PKI认证设备发送的产生 的随机数; 签名模块403 ,还用于通过用户终端向服务器发送签名后的动态口令。 进一步,获取模块401,还用于在获取的视频信息中加入时间戳,并向服务器发送
携带时间辍的视频信息。
8
进一步,比对模块404,用于将采集的用户面部特征信息和预存的用户面部特征信 息进行比对,通过私钥对比对结果进行加密,并向服务器发送加密后的比对结果;
第二接收模块405,用于接收由服务器根据比对结果发送的验证结果,比对结果是 服务器利用公钥对加密后的比对结果进行解密得到的; 获取模块401 :还用于若验证通过,则向服务器发送获取的视频信息。 进一步,比对模块404 :还用于在比对结果中加入时间戳后加密,并向服务器发送
加密后比对结果。 本发明提供的第五实施例是一种公钥基础设施PKI认证设备,其结构如图6所示, 包括 比对模块404,用于将采集的用户面部特征信息和预存的用户面部特征信息进行
比对,通过私钥对比对结果进行加密,并向服务器发送加密后的比对结果; 第二接收模块405,用于接收由服务器根据比对结果发送的验证结果,比对结果是
服务器利用公钥对加密后的比对结果进行解密得到的。 显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精 神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围 之内,则本发明也意图包含这些改动和变型在内。
权利要求
一种利用公钥基础设施实现用户身份验证的方法,其特征在于,包括公钥基础设施PKI认证设备获取通过实时视频采集得到的视频信息,并向服务器发送获取的视频信息;服务器以视频信息为参数产生随机数,并向PKI认证设备发送随机数;PKI认证设备根据随机数产生动态口令并通过私钥进行签名,向服务器发送签名后的动态口令;服务器根据公钥和随机数验证签名后的动态口令。
2. 如权利要求1所述的方法,其特征在于,PKI认证设备根据获取的视频信息对服务器 发送的随机数进行验证后,根据随机数产生动态口令。
3. 如权利要求1所述的方法,其特征在于,PKI认证设备通过与其相连的用户终端向服 务器发送获取的视频信息;服务器通过用户终端向PKI认证设备发送产生的随机数; PKI认证设备通过用户终端向服务器发送签名后的动态口令。
4. 如权利要求1所述的方法,其特征在于,PKI认证设备向服务器发送获取的视频信息 之前还包括PKI认证设备将采集的用户面部特征信息和预存的用户面部特征信息进行比对,通过 私钥对比对结果进行加密,并向服务器发送加密后的比对结果;服务器利用公钥对加密后的比对结果进行解密得到比对结果,并根据比对结果向PKI 认证设备发送验证结果,若验证通过,则PKI认证设备向服务器发送获取的视频信息。
5. 如权利要求4所述的方法,其特征在于,PKI认证设备在比对结果中加入时间戳后加 密,并向服务器发送加密后比对结果。
6. —种利用公钥基础设施实现用户身份验证的方法,其特征在于,包括PKI认证设备将采集的用户面部特征信息和预存的用户面部特征信息进行比对,通过 私钥对比对结果进行加密,并向服务器发送加密后的比对结果;服务器利用公钥对加密后的比对结果进行解密得到比对结果,并根据比对结果向PKI认证设备发送验证结果。
7. —种利用公钥基础设施实现用户身份验证的系统,其特征在于,包括公钥基础设施PKI认证设备,用于获取通过实时视频采集得到的视频信息,并向服务器发送获取的视频信息,根据服务器发送的随机数产生动态口令并通过私钥进行签名,向服务器发送签名后的动态口令;服务器,用于以视频信息为参数产生随机数,并向PKI认证设备发送随机数,服务器根 据公钥和随机数验证签名后的动态口令。
8. 如权利要求7所述的系统,其特征在于,PKI认证设备,还用于将采集的用户面部特 征信息和预存的用户面部特征信息进行比对,通过私钥对比对结果进行加密,并向服务器 发送加密后的比对结果;服务器,还用于利用公钥对加密后的比对结果进行解密得到比对结果,并根据比对结 果向PKI认证设备发送验证结果,若验证通过,则向服务器发送获取的视频信息。
9. 一种利用公钥基础设施实现用户身份验证的系统,其特征在于,包括 PKI认证设备,用于将采集的用户面部特征信息和预存的用户面部特征信息进行比对,通过私钥对比对结果进行加密,并向服务器发送加密后的比对结果;服务器,用于利用公钥对加密后的比对结果进行解密得到比对结果,并根据比对结果 向PKI认证设备发送验证结果。
10. —种公钥基础设施PKI认证设备,其特征在于,包括获取模块,用于获取通过实时视频采集得到的视频信息,并向服务器发送获取的视频 信息;第一接收模块,用于接收由服务器以视频信息为参数产生并向PKI认证设备发送的随 机数;签名模块,用于根据随机数产生动态口令并通过私钥进行签名,向服务器发送签名后 的动态口令。
11. 如权利要求IO所述的设备,其特征在于,签名模块,还用于PKI认证设备根据获取 的视频信息对服务器发送的随机数进行验证后,根据随机数产生动态口令。
12. 如权利要求IO所述的设备,其特征在于,还包括,视频采集模块,用于采集视频信息。
13. 如权利要求IO所述的设备,其特征在于,还包括比对模块,用于将采集的用户面 部特征信息和预存的用户面部特征信息进行比对,通过私钥对比对结果进行加密,并向服 务器发送加密后的比对结果;第二接收模块,用于接收由服务器根据比对结果发送的验证结果,比对结果是服务器 利用公钥对加密后的比对结果进行解密得到的;获取模块还用于若验证通过,则向服务器发送获取的视频信息。
14. 如权利要求13所述的设备,其特征在于,比对模块还用于在比对结果中加入时间 戳后加密,并向服务器发送加密后比对结果。
15. —种公钥基础设施PKI认证设备,其特征在于,包括比对模块,用于将采集的用户 面部特征信息和预存的用户面部特征信息进行比对,通过私钥对比对结果进行加密,并向 服务器发送加密后的比对结果;第二接收模块,用于接收由服务器根据比对结果发送的验证结果,比对结果是服务器 利用公钥对加密后的比对结果进行解密得到的。
全文摘要
为了解决用户身份验证的安全性较低的问题,本发明公开了一种利用公钥基础设施实现用户身份验证的方法及系统,本发明公开的方法包括公钥基础设施PKI认证设备获取通过实时视频采集得到的视频信息,并向服务器发送获取的视频信息,服务器以视频信息为参数产生随机数,并向PKI认证设备发送随机数,PKI认证设备根据随机数产生动态口令并通过私钥进行签名,向服务器发送签名后的动态口令,服务器根据公钥和随机数验证签名后的动态口令,由于进行实时动态采集获取视频信息并以此作为随机数产生源,大大提高了其随机性,因此提高了用户身份验证的安全性。
文档编号H04N5/225GK101741843SQ20091024184
公开日2010年6月16日 申请日期2009年12月10日 优先权日2009年12月10日
发明者何洋 申请人:北京握奇数据系统有限公司