专利名称:通过多因子身份认证完成服务的方法、系统及认证终端的制作方法
技术领域:
本发明实施例属于通信技术领域,特别涉及一种通过多因子身份认证完成服务的方法、系统及认证终端。
背景技术:
为了提高服务的效率,各个服务机构都争相开设了电子服务,这样用户无需在服务机构的窗口排队通过纸件的方式完成各种申请、交易,转账等服务,只需通过终端设备输入数字化的信息即可通过身份认证登录自己的账户来申请完成各种服务,比如在网络计算机中通过浏览器输入自己的账号和密码即可登录自己在相应机构注册的账户,通过输入金额来完成费用的提交和确认。然而,现有技术中的这种身份认证方式存在一定安全隐患,由于身份信息(用户的账号、密码等)是要发向服务器的,所以一旦终端侧或数据的传输通道被侵入,则这些身份信息就有可能被盗取,而获得这些身份信息的不法分子就可以通过盗取的身份信息来申请完成各种服务,比如金融服务,这将大大破坏了社会的安全环境,所以本领域技术人员长期以来一直希望将电子服务设计的更加安全可靠。
发明内容
本发明实施例的目的在于提供一种通过多因子身份认证完成服务的方法、系统及认证终端,通过本发明实施例所提供的方法、系统及认证终端可以使得用户在申请电子服务时(1)确保在安全可靠的环境下进行身份认证;(2)无需向服务器发送身份信息,而只需根据认证终端接收到的认证请求在终端完成身份认证,再返回认证的结果即可完成服务,无需像现有技术那样将需要认证的身份信息在网络中传递,大大提高了认证的安全性和可靠性。为实现上述目的,本发明实施例提供一种通过多因子身份认证完成服务的方法, 所述方法包括认证服务器接收用户侧发送的或者第三方服务器发送的认证请求消息,所述消息中包括用户信息和申请服务的信息;认证服务器通过网络向对应所述用户信息的认证终端转发所述请求消息;所述认证终端根据接收到的所述请求消息以及在本地获取到的身份信息对用户进行身份认证,所述获取到的身份信息包括用户的账户信息和/或指纹信息和/或面部信息和/或瞳孔信息和/或语音信息和/或DNA信息和/或用户坐标信息;当所述认证终端确认所述用户的身份后,向认证服务器发送响应所述请求消息的确认信息;认证服务器接收到所述确认信息并完成对应所述服务信息的服务,或将所述确认信息转发给所述第三方服务器以使所述第三方服务器完成对应所述服务信息的服务。为了有效向转发所述请求消息,所述认证服务器通过网络向对应所述用户信息的认证终端转发所述请求消息包括根据所述用户信息中的用户账号,查找预先与所述账号绑定的认证终端产品身份
编号;根据查找到的所述产品身份编号,获取预先与所述产品身份编号绑定的对应所述认证终端的通信地址;根据所述通信地址以及所述通信地址对应的网络向所述认证终端发送所述请求消息。为了与认证终端有效连接,在根据所述通信地址以及所述通信地址对应的网络向所述认证终端发送所述请求消息前,所述方法还包括判断是否与所述认证终端建立了连接,若没有与所述认证终端建立连接,则根据所述通信地址建立与所述认证终端通信的加密信道,通过所述加密信道向所述认证终端发送所述请求消息。为了进一步加强信息传递的安全,当所述认证终端中包括对应服务器的数字证书时,所述方法在发送响应所述请求消息的确认信息前还包括通过所述数字证书对需要发送的包含有获取到的用户身份信息的确认信息进行加密,以使所述服务器接收到所述包含有用户身份信息的确认信息后,根据所述数字证书获取用户身份信息已完成对应所述服务信息的服务。为实现上述目的,本发明实施例还提供一种通过多因子身份认证完成服务的系统,所述系统包括认证服务器,用于接收用户侧发送的或者第三方服务器发送的认证请求消息,所述消息中包括用户信息和申请服务的信息,向对应所述用户信息的认证终端转发所述请求消息;接收到所述认证终端发送的确认信息并完成对应所述服务信息的服务,或将所述确认信息转发给所述第三方服务器以使所述第三方服务器完成对应所述服务信息的服务;认证终端,用于根据接收到的所述认证服务器发送的所述请求消息以及获取到的身份信息对用户进行身份认证,所述获取到的身份信息包括用户的账户信息和/或指纹信息和/或面部信息和/或瞳孔信息和/或语音信息和/或DNA (Deoxyribonucleic acid脱氧核糖核酸)信息和/或用户坐标信息,当确认所述用户的身份后,发送响应所述请求消息的确认信息。该认证终端是独立、封闭、完整的软件和硬件运行环境,和外界的所有通信均通过和认证服务器的数据连接完成。所述认证服务器为了更好的转发请求消息,用于根据所述用户信息中的用户账号,查找预先与所述账号绑定的认证终端产品身份编号,根据查找到的所述产品身份编号, 获取预先与所述产品身份编号绑定的对应所述认证终端的通信地址,根据所述通信地址以及所述通信地址对应的网络向所述认证终端发送所述请求消息。为了更安全的发送消息,所述认证服务器在根据所述通信地址以及所述通信地址对应的网络向所述认证终端发送所述请求消息时,具体用于判断是否与所述认证终端建立了连接,若没有与所述认证终端建立连接,则建立与所述认证终端通信的加密信道,通过所述加密信道向所述认证终端发送所述请求消息。为了更安全地传输身份信息,当所述认证终端中包括对应第三方服务器的数字证书时,所述认证终端在发送响应所述请求消息的确认信息前还用于通过所述数字证书对需要发送的包含有用户身份信息的确认信息进行加密,以使所述第三方服务器接收到所述包含有用户身份信息的确认信息后,根据所述数字证书获取用户身份信息已完成对应所述服务信息的服务。为实现上述目的,本发明实施例还提供一种多因子认证终端,用于根据接收到的认证服务器发送的认证请求消息以及获取到的身份信息对用户进行身份认证。所述设备可以包括接收单元,用于接收认证请求消息,所述消息中包括用户信息和申请服务的信息;身份采集单元,用于在所述接收单元接收到的请求消息后,采集用户的身份信息, 所述身份信息包括用户的账户信息和/或指纹信息和/或面部信息和/或瞳孔信息和/或语音信息和/或DNA信息和/或用户坐标信息;身份认证单元,用于对所述身份采集单元采集的用户身份信息进行认证;发送单元,用于当所述身份认证单元确认所述用户的身份后,发送响应所述请求消息的确认信息;为了防止通过破坏认证终端来取得用户信息,所述终端还包括自毁单元,用于当预设的自毁条件满足时,清除所述设备中保存的所有用户信息 (例如数字证书)和身份信息等。该认证终端是独立、封闭、完整的软件和硬件运行环境,和外界的所有通信均通过和认证服务器的数据连接完成。本发明实施例的优点在于完全封闭的软件和硬件运行环境保证了身份信息获取、计算、传输的安全性,无需在网络中传输用户的身份信息,只需根据认证请求在终端侧进行认证即可,大大提高了身份认证的安全性和可靠性。
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为本发明实施例提供的一种通过多因子身份认证完成服务的方法的示意流程图。图2为本发明实施例提供的另一种通过多因子身份认证完成服务的方法的示意流程图。图3为本发明实施例提供的一种通过多因子身份认证完成服务的系统功能结构示意框图。图4为本发明实施例提供的一种通过多因子身份认证终端的功能结构示意框图。
具体实施例方式下面将结合本发明实施例中的附图,清楚、完整地描述本发明实施例中的技术方案。显然,该部分所描述的实施例是本发明一部分实施例,而不是全部的实施例。本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。本发明实施例提供一种通过多因子身份认证完成服务的方法,如图1所示,该方法可以包括101.认证服务器接收用户侧发送的或者第三方服务器发送的认证请求消息,所述消息中包括用户信息和申请服务的信息;由于用户申请服务,所以本步骤认证服务器会接收到用户侧或服务器发送的认证请求消息,以希望证明是用户本人在申请服务。该用户侧指的是用户请求服务所用的设备, 例如用户访问网络银行所用的PC机。这些设备根据用户的操作获取用户信息(比如用户的账号)和申请服务的信息。若要直接将这些信息发送到认证服务器则,用户侧设备根据用户信息和申请服务信息,生成认证请求消息后发送。若将这些信息发送到第三方服务器,则该第三方服务器根据用户信息和申请服务信息,生成认证请求消息后发送至认证服务器。如果第三方服务器希望与认证设备之间建立端到端的安全信道,还可以预先在认证设备中安装相应用户的数字证书。在第三方服务器生成认证请求时,将认证请求中的信息使用对应用户的数字证书加密后发至认证服务器。只有该信息到达认证设备后,认证设备使用对应数字证书才可以解密,而所有中间通信过程均无法对此信息进行解密,大大增加了信息传递的安全性。102.认证服务器通过网络向对应所述用户信息的认证终端转发认证请求消息;由于本实施例中对用户的身份认证并不是通过传输身份信息来实现的,而是在特定的认证终端中来实现用户身份的认证,所以本步骤根据步骤101接收的请求消息,由认证服务器向对应所述用户信息的认证终端转发所述请求消息。本步骤中的认证终端位于用户侧,该认证终端内预先存储了用户本人的用户信息,所以请求消息是向对应所述用户信息的认证终端发送的。103.认证终端根据接收到的所述请求消息以及在本地获取到的身份信息对用户进行身份认证;本步骤中用户侧的认证终端接收到请求消息后,即开始进行对用户的身份验证, 比如认证终端通过显示屏显示出请求消息中的用户信息和申请服务的信息以给用户确认, 当用户需要确认这些信息时可以输入对应账号的密码或输入其他的生理特征,以使认证终端获取到的身份信息。本实施例中的认证终端可以实现多因子身份认证,如通过用户输入的账户信息(账号及密码)确认用户身份,或采集用户的指纹信息确认用户身份,或采集用户的面部信息确认用户身份,或采集用户的瞳孔信息确认用户身份,或采集用户的语音信息确认用户身份,或采集用户的DNA信息确认用户身份,或通过GPS (Global Positioning System全球定位系统)模块采集用户的坐标信息确认用户身份,或采集用户的其他身份信息来确认用户身份,而且不仅可以是择一的方式,也可以是多重因子并用的方式来确定,比如先通过用户输入的账户信息(账号及密码)确认用户身份,再采集用户的指纹信息确认用户身份等,具体识别顺序可根据实际需求进行设定。由于认证终端预先存储了用户的这些身份信息,所以只需将获取到用户的身份信息与存储的身份信息进行比对即可实现对用户身份的确认。由于这种比对技术为现有技术,故本实施例在此不做赘述。
104.当认证终端确认所述用户的身份后,向认证服务器发送响应所述请求消息的确认信息;当认证终端将采集到的身份信息与存储的身份信息进行比对后获得一致的结果即确认了用户的身份,此时认证终端将发送响应所述请求消息的确认信息,以告知对端用户身份已得到确认。需要说明的是,该确认信息并不包含用户的身份信息,仅仅是一个确认的结果信肩、ο如果第三方业务服务器对于相应用户发放了数字证书,认证设备必须使用该证书对确认信息进行加密,然后发送到认证服务器。这样可以保证确认信息在到达第三方业务服务器前,任何其他中间环节均无法解密。105.认证服务器接收到所述确认信息并完成对应所述服务信息的服务,或将所述确认信息转发给第三方服务器以使第三方服务器完成对应所述服务信息的服务。本步骤中,认证服务器接收到了认证终端发送的确认信息后,即可知道是用户本人申请的服务,所以此时可以完成用户所申请的服务。若步骤101接收到的是第三方服务器发送的认证请求消息,认证服务器将所述确认信息转发给第三方服务器以使所述服务器完成用户所申请的服务。由本实施例可以看出,本发明所述通过多因子身份认证完成服务的方法无需传输用户的身份信息来确认用户身份,只需根据用户的申请将请求发送至用户侧专门进行认证的终端处进行认证,确认身份后只响应确认的结果即可,无需像现有技术那样将需要认证的身份信息在网络中传递,大大提高了认证的安全性和可靠性。本发明实施例还提供一种通过多因子身份认证完成服务的方法,如图2所示,该方法可以包括201.认证服务器接收用户侧发送的或者第三方服务器发送的认证请求消息,所述消息中包括申请服务的信息和用户信息。此处,用户信息可以是包含在用户侧或第三方处的用户唯一标识,例如,用户帐号,或者是绑定在一起的用户帐号和认证终端产品身份编号。由此可知,本实施例允许将认证终端产品身份编号保存在用户侧或第三方服务器中,以便将该编号发送至认证服务器进行确认。本步骤基本与步骤101相同,故相同之处不再赘述。202.认证服务器根据用户信息中的用户唯一标识,确认对应该标识的认证终端产品身份编号;认证终端产品身份编号是该认证终端产品的唯一身份编号,也即ID号。当用户购买了新的认证终端产品后,即可通过服务机构将用户的唯一标识(比如用户账号)与认证终端产品身份编号(ID号)的对应关系存储于认证服务器内。当用户申请某服务后,为了对用户进行身份确认,在步骤201接收到认证请求后,本步骤即可根据用户信息中用户唯一标识,确认对应该标识的认证终端产品身份编号,以进一步确认用户所持的认证终端。比如当用户唯一标识为用户账号时,本步骤即可根据用户账号查找到预先与该账号绑定的认证终端产品身份编号;当用户唯一标识为绑定在一起的用户帐号和认证终端产品身份编号时,本步骤即可确认标识中的认证终端产品身份编号是否与存储的对应该标识的认证终端产品身份编号相同,若相同即可执行后续步骤。203.认证服务器判断是否与所述认证终端建立了连接;若与所述认证终端建立连接,则转入步骤206,若没有与所述认证终端建立连接,则转入步骤204 ;当步骤202确认了认证终端的产品身份编号后,本步骤即可判断认证服务器是否与认证终端建立了连接,若通过产品身份编号查找到的连接记录表示已建立了连接,则转入步骤206,完成请求消息的发送。若通过产品身份编号没有查找到的连接记录,则转入步骤204,获取认证终端的通信地址。204.根据确认的所述产品身份编号,获取预先与所述产品身份编号绑定的对应所述认证终端的通信地址;在步骤202确定了用户的认证终端后,则要向该认证终端转发请求消息,以触发认证终端对用户进行身份认证。而根据步骤203的判断,认证服务器并没有与认证终端进行连接,所以本步骤要获取认证终端的通信地址。本实施例中认证终端的通信地址是预先与认证终端产品身份编号绑定好的,比如在认证终端初始化时,该认证终端会通过有线或无线的方式与认证后台服务器建立连接,从而认证后台服务器根据建立的连接获取到该认证终端的通信地址,并将该通信地址与认证终端产品身份编号绑定,或者在本步骤之前认证终端与认证后台服务器建立连接,以使认证后台服务器根据建立的连接获取到该认证终端的通信地址,并将该通信地址与认证终端产品身份编号绑定。该通信地址根据认证终端所使用的网络确定是呼叫号码或IPdnternet Protocol,因特网协议)地址、端口号,比如当认证终端可以适用移动网络(比如GSM,Global System forMobile Communications,全球移动通讯系统,或 WCDMA, Wideband CodeDivision Multiple Access,宽带码分多址)时,该通信地址就可以是一个呼叫号码。若认证终端与PC (Personal Computer,个人计算机)连接(如通过 USB (Universal Serial Bus,通用串行总线)数据线相连),当PC连接互联网时,该认证终端将该PC作为网关连接互联网。当该认证终端通过互联网或移动互联网连接认证服务器时,认证终端即通过 TCPKEEPALIVE (即 TCP 存活)、HTTP WebSocket、IMAP (Internet MessageAccess Protocol,互联网消息访问协议),或其他基于IP (Internet Protocol)的应用层协议建立并保持与认证后台服务器的连接,此时该通信地址就可以是一个认证服务器上的IP连接记录,该记录可以包括IP地址以及对应该IP地址的端口号。205.根据通信地址建立与认证终端通信的加密信道,通过加密信道向所述认证终端发送所述请求消息。本步骤即可根据步骤204获取到的通信地址建立与认证终端通信的加密信道, 比如通过 HTTPS (Hypertext Transfer Protocol over Secure SocketLayer,安全超文本传输协议)建立与认证终端之间的加密信道,也可同时支持IPSECanternet Protocol Security,因特网协议安全)。这样大大增加了信道的安全性,进一步从信道上提高数据传输的安全。206.根据通信地址以及所述通信地址对应的网络向所述认证终端发送所述请求消息;当步骤203确定了认证服务器已与认证终端连接后,即可知晓认证终端的通信地址,本步骤就可以根据通信地址以及所述通信地址对应的网络向所述认证终端发送请求消息了。比如当认证终端的通信地址是一个呼叫号码时,本步骤通过移动网络即可将请求消息以短信(SMS,ShortMessaging Service)业务或非结构化补充数据业务(USSD, UnstructuredSupplementary Service Data,非结构化补充数据业务)的方式发送至对应该呼叫号码的认证终端。207.认证终端根据接收到的所述请求消息以及获取到的身份信息对用户进行身份认证;本步骤中认证终端接收步骤205或206发送的请求消息,请求认证用户的身份,已核实是用户本人申请的服务。由于该消息中包含用户信息和用户所申请服务的信息,所以认证终端将用户所申请服务的信息显示出来以供用户确认,当用户看到显示的信息后即可确认该消息的真实性,如的确是用户本人申请的服务,则可以将进行身份认证的步骤。本认证终端为一种多因子认证设备,通过获取用户的身份信息可以对用户进行身份认证,如通过用户输入的账户信息(账号及密码)确认用户身份,或采集用户的指纹信息确认用户身份,或采集用户的面部信息确认用户身份,或采集用户的瞳孔信息确认用户身份,或采集用户的语音信息确认用户身份,或采集用户的DNA信息确认用户身份,或通过 GPS (Global Positioning System全球定位系统)模块采集用户的坐标信息确认用户身份, 或采集用户的其他身份信息来确认用户身份,而且不仅可以是择一的方式,也可以是多重因子并用的方式来确定,比如先通过用户输入的账户信息(账号及密码)确认用户身份,再采集用户的指纹信息确认用户身份等,具体识别顺序可根据实际需求进行设定。由于认证终端预先存储了用户的这些身份信息,所以只需将获取到用户的身份信息与存储的身份信息进行比对即可实现对用户身份的确认。由于这种比对技术为现有技术,故本实施例在此不做赘述。208.当认证终端确认所述用户的身份后,发送响应所述请求消息的确认信息;本步骤根据步骤207的确认用户身份的结果,要向认证后台服务器发送响应所述请求消息的确认信息,已告知认证后台服务器用户本人的确申请了服务,可以完成用户申请的服务。该确认信息的发送方式与格式基本与发送请求消息的方式相同,故不再赘述。若认证终端中包括对应服务器的数字证书,则认证终端可以将获取到的用户身份信息加密在需要发送的确认信息中,随确认信息一同发送。209.接收到所述确认信息并完成对应所述服务信息的服务,或将所述确认信息转发给所述服务器以使所述服务器完成对应所述服务信息的服务。本步骤在接收到步骤208发送的确认信息后,即可知道之前的确是用户本人申请的服务,所以此时可以完成用户所申请的服务。若步骤201接收到的是服务器发送的认证请求消息,此时将所述确认信息转发给所述服务器以使所述服务器完成用户所申请的服务。若确认信息中还包含有经第三方服务器的数字证书加密的信息,则认证服务器直接将密文发送到相应的第三方服务器,不进行任何其他工作。这种方式主要适用于一个认证服务器对应于多个第三方服务机构的情况。因为每个服务机构都有自己的数字证书,只有自己服务机构的服务器才具有解密的能力。由此可以看出,本实施例所述的方法无需在网络中传输用户的身份信息,只需根据认证请求在终端侧进行身份认证即可,各种加密措施的运用大大提高了身份认证的安全性和可靠性。为了实现上述实施例所述的方法,本发明实施例还提供一种通过多因子身份认证完成服务的系统,如图3所示,图3为本发明实施例提供的通过多因子身份认证完成服务的系统功能结构框图,从图3中可以看出该系统主要包括认证服务器301和认证终端302,认证服务器301,用于接收用户侧303发送的或者第三方服务器304发送的认证请求消息,所述消息中包括用户信息和申请服务的信息,向对应所述用户信息的认证终端 302转发所述请求消息;接收到认证终端302发送的确认信息并完成对应所述服务信息的服务,或将所述确认信息转发给第三方服务器304,以使第三方服务器304完成对应所述服务信息的服务;其中认证服务器301在向对应所述用户信息的认证终端302转发所述请求消息时,具体用于根据所述用户信息中的用户账号,查找预先与所述账号绑定的认证终端产品身份编号,根据查找到的所述产品身份编号,获取预先与所述产品身份编号绑定的对应该认证终端302的通信地址,根据所述通信地址以及所述通信地址对应的网络向认证终端302发送所述请求消息。而认证服务器301在根据所述通信地址以及所述通信地址对应的网络向所述认证终端发送所述请求消息时,具体用于判断是否与所述认证终端302建立了连接,若没有与认证终端302建立连接,则建立与认证终端302通信的加密信道,通过所述加密信道向认证终端302发送所述请求消息。认证终端302,用于根据接收到的认证服务器301发送的所述请求消息以及获取到的身份信息对用户进行身份认证,所述获取到的身份信息包括用户的账户信息和/或指纹信息和/或面部信息和/或瞳孔信息和/或语音信息和/或DNA信息和/或用户坐标信息,当根据获取到的身份信息确认所述用户的身份后,发送响应所述请求消息的确认信息。 而当认证终端302中包括对应第三方服务器304的数字证书时,认证终端302在发送响应所述请求消息的确认信息前还用于通过所述数字证书对需要发送的确认信息(其中可以包含用户身份信息和所请求服务的描述)进行加密,以使第三方服务器304接收到所述确认信息后,根据所述数字证书获取用户身份信息已完成对应所述服务信息的服务。为了使本领域技术人员更加清楚地理解本发明实施例所述的方法,下面以不同场景的应用为例说明本发明实施例的方法。场景一,用户申请登录网银服务,用户持有的认证终端具有无线通信功能,配有一个呼叫号码15212345678,该用户的网银账号为987456321,密码为333。由于用户在购买认证终端后,就在对应网银的银行办理了认证终端注册,所以该用户的用户信息(包括用户网银账号)就被存储在该认证终端,同时在该银行的网银服务器注明,该用户网银帐号可以使用认证终端认证,并且在认证服务器中将用户网银帐号和认证终端ID绑定在一起。当用户将认证终端通过无线网络与认证服务器连接后,认证服务器即将该认证终端的呼叫号码15212345678与认证终端ID绑定。当用户登录网银时,用户通过网络终端设备(比如PC)提出登录网银的申请,该申请通过认证请求消息向银行的网银服务器发送,该请求消息中至少包括用户的网银账号 987456321和申请登录网银的服务信息,网银服务器接收到请求消息后,根据请求消息中的网银账号987456321确认用户可以使用认证服务,然后将该请求消息转发至认证服务器。 认证服务器根据网银帐号在本地查找到对应该账号987456321的认证终端ID,并通过认证终端ID判断是否已与认证终端建立了连接;若通过认证终端ID查找到的连接记录表示已建立了连接,则将该请求消息发送至呼叫号码为15212345678的认证终端;若没有建立连接,则查找和认证终端ID对应的呼叫号码15212345678,然后根据无线加密方式与呼叫号码为15212345678的认证终端建立加密信道,通过该加密信道向呼叫号码为15212345678 的认证终端发送所述请求消息。认证终端接收到请求消息后,通过显示屏显示消息内容,以告知用户本人网银账号987456321正在请求登录网银,用户根据显示的信息即可知道该请求是否是自己申请的,用户本人在认证终端上输入对应账号的密码333,认证终端即可根据密码333对用户身份进行确认,从而向认证服务器发送确认信息,认证服务器接收到该确认信息后,将确认信息转发给网银服务器,以使网银服务器接收到确认信息后批准用户登录网银的申请,这样用户就可以通过PC访问网络银行了。本场景中在对用户进行身份认证时还可以是通过其他方式来进行,比如识别用户的指纹确认用户身份,或采集用户的面部信息确认用户身份,或采集用户的瞳孔信息确认用户身份,或采集用户的语音信息确认用户身份,或采集用户的DNA信息确认用户身份,或通过GPS (GlobalPositioning System全球定位系统)模块采集用户的坐标信息确认用户身份,或采集用户的其他身份信息来确认用户身份,而且不仅可以是择一的方式,也可以是多重因子并用的方式来确定,比如先通过用户输入的账户信息(账号及密码)确认用户身份,再采集用户的指纹信息确认用户身份等,具体识别顺序可根据实际需求进行设定。场景二,用户申请远程交易服务(比如转账、购物消费等),用户持有的认证终端具有有线通信功能,可通过USB数据线与连接互联网的PC相连,该用户的银行账号为 1234567890,密码为333。由于用户在购买认证终端后,就在相应的银行办理了认证终端注册,所以该用户的用户信息(包括用户的银行账号、密码等身份信息)就被存储在该银行的业务服务器内,同时在认证服务器中将用户信息和认证终端ID绑定在一起。当用户将认证终端通过USB数据线与连接互联网的PC相连,从而通过PC连接至互联网,最终建立并保持与认证服务器的连接,认证服务器即将该认证终端的IP地址196. 232. 45. 3以及端口号 23456与认证终端ID绑定。如果用户端的IP地址发生变化,认证终端自动重新建立和认证服务器的连接,之后认证服务器更新该认证终端的IP地址以及端口号。当用户需要通过银行卡完成交易时,用户通过网络交易终端设备(比如POS机 (point of sale,销售终端))提出交易申请,该申请通过认证请求消息向银行的业务服务器发送,该请求消息中至少包括用户的银行账号1234567890和申请交易的服务信息。业务服务器根据请求消息中的银行账号1234567890查找并确认该账号可以使用终端认证,然后将用户银行帐号以及认证请求发送到认证服务器。认证服务器使用用户银行帐号查找到认证终端ID,并通过认证终端ID查找到的连接记录表示已建立了连接,则将该请求消息发送至IP地址为196. 232. 45.3以及端口号为23456的认证终端处。认证终端接收到请求消息后,通过显示屏显示消息内容,以告知用户本人银行账号1234567890正在请求进行目标交易,用户根据显示的信息即可知道该请求是否是自己申请的,用户本人在认证终端上输入对应账号的密码333,认证终端即可根据密码333对用户身份进行确认。此时认证终端进一步要求用户输入指纹,认证终端通过认证终端上的指纹采集区采集用户指纹信息。认证终端将采集到的指纹信息与预先存储的指纹信息进行比对,从而确认了指纹的一致,并向认证服务器发送确认信息。认证服务器接收到该确认信息后,将确认信息转发给银行业务服务器,以使业务服务器接收到确认信息后完成用户申请的交易,这样用户就确认了该交易。本场景中在对用户进行身份认证时还可以是通过其他方式来进行,比如采集用户的面部信息确认用户身份,或采集用户的瞳孔信息确认用户身份,或采集用户的语音信息确认用户身份,或采集用户的DNA信息确认用户身份,或通过GPS (Global Positioning System全球定位系统)模块采集用户的坐标信息确认用户身份已指定用户在特定区域内申请服务,或采集用户的其他身份信息来确认用户身份,而且不仅可以是择一的方式,也可以是多重因子并用的方式来确定,具体识别顺序可根据实际需求进行设定。本场景还可以进一步延伸至其他交易的产品上,比如当用户购买的物品是机票或火车票时,交易完成后航空公司或火车站的服务器接收到业务服务器发送的支付确认信息,那么航空公司或火车站的服务器即可通过认证服务器将机票或火车票上的二维码图像发送到用户的认证终端上,这样用户就可以凭借在认证终端存储的二维码图像完成登机或上火车。场景三,用户申请物流配送服务,与场景一相同用户持有的认证终端具有无线通信功能,配有一个呼叫号码15212345678,该用户的银行账号为1234567890,密码为333。由于用户在购买认证终端后,就在相应的银行办理了认证终端注册,所以该用户的用户信息 (包括用户的银行账号、密码等身份信息)就被存储在该认证终端和该银行的业务服务器内,同时在业务服务器中标明该帐户可以使用认证终端进行身份认证。而在认证服务器中记录用户帐户和认证终端ID的绑定关系。当用户将认证终端通过无线网络与认证服务器连接后,认证服务器即将该认证终端的呼叫号码15212345678与认证终端ID绑定。当用户申请物流配送服务时,用户通过网络终端设备(比如PC)向商户发出订单。 商户服务器向银行提出物流配送服务的申请,该申请通过交易请求消息向银行的业务服务器发送,该请求消息中至少包括用户的银行账号为1234567890和申请物流配送服务的信息。银行业务服务器接收到请求消息后冻结对应账号1234567890上相应额度的资金,并根据请求消息中的银行账号1234567890确认该帐号可以使用终端认证,然后将包含该银行帐号的请求消息发送至认证服务器。认证服务器根据用户银行帐号查找对应该账号的认证终端ID,并通过认证终端ID判断是否已与认证终端建立了连接;若通过认证终端ID查找到的连接记录表示已建立了连接,则将该请求消息发送至连接记录中相应通信地址的认证终端处;若没有建立连接,则根据终端ID查找到呼叫号码15212345678,根据无线加密方式与呼叫号码为15212345678的认证终端建立加密信道,通过该加密信道向呼叫号码为 15212345678的认证终端发送所述请求消息。认证终端接收到请求消息后,通过显示屏显示消息内容,以告知用户本人银行账号1234567890正在请求物流配送服务,用户根据显示的信息即可知道该请求是否是自己申请的。如是自己申请的,用户本人在认证终端上输入对应账号的密码333,认证终端即可根据密码333对用户身份进行确认。认证服务器接收到该确认信息后,将确认信息转发给业务服务器,该业务服务器将物流配送服务的请求消息发送至目标物流公司服务器,以使目标物流公司根据物流配送服务的请求消息为用户提供物流配送服务。当目标物流公司的人员交付货物、用户确认后,目标物流公司通过商户服务器向银行业务服务器发送确认消息。银行业务服务器接收到确认消息后将该确认消息转变为认证请求消息,该请求消息中至少包括用户的姓名、付款订单号、目标物流公司人员确认物流配送的服务的时间、地点等确认信息。银行业务服务器根据请求消息中用户订单号码查找用户的银行账号1234567890,再根据银行账号1234567890确认该帐号可以使用终端认证,根据订单信息以及用户帐号建立认证请求,然后将认证请求发送到认证服务器。认证服务器根据请求中的用户帐号查找对应该账号的认证终端ID,使用该终端ID判断是否已与认证终端建立了连接;若已建立了连接,则将该请求消息发送至相应通信地址的认证终端处;若没有建立连接,则根据终端ID查找到呼叫号码15212345678,根据无线加密方式与呼叫号码为15212345678的认证终端建立加密信道,通过该加密信道向呼叫号码为15212345678的认证终端发送所述请求消息。认证终端接收到请求消息后,通过显示屏显示消息内容,以告知用户本人和目标物流公司确认的物流配送服务,用户根据显示的信息即可知道该请求是否是自己确认的,用户本人在认证终端上输入对应账号的密码333,认证终端即可根据密码333对用户身份进行确认。此时认证终端可以进一步要求采集面部信息,用户将脸部对准认证终端上的摄像头拍照以供认证终端采集用户面部信息。认证终端将采集到的面部信息与预先存储的面部信息进行比对,从而确认了面部的一致性,并向认证服务器发送确认信息。认证服务器接收到该确认信息后,将确认信息转发给银行业务服务器。业务服务器接收到确认信息后解冻用户的银行账号并完成用户申请物流配送服务所需的费用支付,这样用户就可以实现物流配送服务。本场景中在对用户进行身份认证时还可以是通过其他方式来进行,比如采集用户的面部信息确认用户身份,或采集用户的瞳孔信息确认用户身份,或采集用户的语音信息确认用户身份,或采集用户的DNA信息确认用户身份,或通过GPS (Global Positioning System全球定位系统)模块采集用户的坐标信息确认用户身份已指定用户在特定区域内申请服务,或采集用户的其他身份信息来确认用户身份,而且不仅可以是择一的方式,也可以是多重因子并用的方式来确定,具体识别顺序可根据实际需求进行设定。场景四,用户具有A、B两个账号,对应A服务机构的A账号为1234567890,密码为555 ;对应B服务机构的B账号为9874563210,密码为333。此种场景下,各个服务机构共享一个认证后台服务器,为了更加安全的传递信息,每个服务机构都有自己的数字证书, 比如对应A服务机构的为A数字证书,对应B服务机构的为B数字证书,该数字证书用于对传递的信息加密解密,这样没有其他服务机构的数字证书就无法对其信息进行破解。本场景中仍以用户持有的认证终端具有无线通信功能为例,该认证终端配有一个呼叫号码 15212345678,这样用户在购买认证终端后,就在A、B两服务机构办理认证终端注册,所以该用户的用户信息(包括用户的A、B账号、相应密码等身份信息)以及数字证书A、B就被存储在该认证终端和A、B机构的业务服务器中,同时在共享的认证服务器中将用户信息和认证终端ID绑定在一起。当用户将认证终端通过无线网络与认证服务器连接后,认证服务器即将该认证终端的呼叫号码15212345678与认证终端ID绑定。当用户申请A服务机构的服务,用户通过网络终端设备(比如PC)提出A服务申请,该申请通过认证请求消息向认证服务器发送,该请求消息中至少包括用户的A帐号信息和申请A服务信息。此处的服务信息使用数字证书A加密,从而该信息在从A机构服务器到认证终端的路径上无法解密。认证服务器接收到请求消息后,根据请求消息中的用户 A帐号查找对应终端ID,并通过认证终端ID判断是否已与认证终端建立了连接。若通过认证终端ID查找到的连接记录表示已建立了连接,认证服务器将该请求消息发送至呼叫号码为15212345678的认证终端处;若没有建立连接,则查找和认证终端ID对应的呼叫号码15212345678,并根据无线加密方式与呼叫号码为15212345678的认证终端建立加密信道, 通过该加密信道向呼叫号码为15212345678的认证终端发送所述请求消息。认证终端接收到请求消息后,使用A的数字证书将申请A服务信息解密并通过显示屏显示消息内容,以告知用户本人A账号1234567890正在请求申请A服务。用户根据显示的信息即可知道该请求是否是自己申请的,用户本人在认证终端上输入对应账号的密码555,认证终端即可根据密码555对用户身份进行确认。如成功,认证终端将该账号A和密码通过数字证书A打包加密,通过确认信息向认证服务器发送。认证服务器接收到该确认信息后,根据确认信息中对应A服务机构的标签再将确认信息转发给A服务机构服务器。A服务机构服务器通过数字证书A对加密的信息进行解密从而获取账号A =1234567890和密码555,确认了账号A和密码匹配后即可完成用户申请的A服务。本场景虽以申请A服务为例,但本领域技术人员可以根据上述说明清楚知悉,用户对B服务的申请流程,本系统的处理方式也是类似的,故在此不再赘述。而在对用户进行身份认证时还可以是通过其他方式来进行,比如识别用户的指纹确认用户身份,或采集用户的面部信息确认用户身份,或采集用户的瞳孔信息确认用户身份,或采集用户的语音信息确认用户身份,或采集用户的DNA信息确认用户身份,或通过GPS (Global Positioning System全球定位系统)模块采集用户的坐标信息确认用户身份,或采集用户的其他身份信息来确认用户身份,而且不仅可以是择一的方式,也可以是多重因子并用的方式来确定,比如先通过用户输入的账户信息(账号及密码)确认用户身份,再采集用户的指纹信息确认用户身份等,具体识别顺序可根据实际需求进行设定。认证终端确认这些用户身份后,将采集并确认的用户身份信息通过相应数字证书加密后向相应服务机构服务器发送,而相应服务机构服务器接收到加密的用户身份信息后再通过自己的数字证书即可完成解密,获得用户身份信息。基于上述场景说明可以清楚看出,本实施例所述的系统无需在网络中传输用户的身份信息,只需根据认证请求在认证终端侧进行多因子身份认证并将认证结果返回即可, 大大提高了身份认证的安全性和可靠性,若需要在传输信道中传输身份信息,则可以对身份信息进行加密来传输。需要说明的是,上述场景所提及的通过多因子身份认证完成服务的方法只是为了本领域技术人员理解本方案而举例说明的几种实施例,不能认为本实施例所述的通过多因子身份认证完成服务的方法只能有上述几个场景的方式来实现,因此不能将其作为本发明的限制解释,本领域技术人员根据上述实施例的描述对本发明技术方案做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。本发明实施例还提供一种多因子认证终端,如图4所示,图4为本发明实施例所述多因子认证终端的功能结构框图,从图4中可以看出该多因子认证终端包括接收单元401,用于接收认证请求消息,所述消息中包括用户信息和申请服务的信息;还可以用户接收服务机构发送的广告信息和业务信息,比如银行发送的联名卡业务信肩、ο身份采集单元402,用于根据接收单元401接收到的请求消息,采集用户的身份信息,所述身份信息包括用户的账户信息和/或指纹信息和/或面部信息和/或瞳孔信息和 /或语音信息和/或DNA信息和/或用户坐标信息;比如输入模块(键盘、触摸屏)、指纹采集模块、摄像头、麦克风、GPS模块等。身份认证单元403,用于对身份采集单元402采集的用户身份信息进行认证;比如将采集到的身份信息与存储单元405中存储的身份信息进行比对来认证身份信息的真实性,比对方法为本领域技术人员所知悉的普通技术知识,在此不再赘述。发送单元404,用于当身份认证单元403确认所述用户的身份后,发送响应所述请求消息的确认信息;其中接收单元401和发送单元404可以是通过无线和/或有线的方式来与外部的服务器、PC 进行通信,比如 GSM、CDMA、CDMA2000、TDS-CDMA, TD-LTE, WIFI、Bluetooth、 Zigbee、USB (如是通过USB等有线方式连接,还需在相应的设备上安装驱动程序)等,对于本领域技术人员而言,这些通信方式都是熟知的普通技术,在此不一一赘述。存储单元405,用于存储用户信息和用户的身份信息。本实施例中的存储单元405 是一种安全存储单元,该存储单元405保存硬件加密密匙,可对于安全存储中的用户信息、 用户的身份信息以及其他用户信息进行加密保存。这些信息只能通过该安全中央处理器访问,不能被终端上的通用中央处理器直接访问。显示单元406,由于显示各种信息,比如IXD显示单元、E-PAPER显示单元、投影单
兀等ο屏蔽单元407,用于屏蔽通过USB接口进行通信、存储以外的任何其他访问。自毁单元408,用于当预设的自毁条件满足时,清除所述设备中保存的所有用户信息和身份信息。该预设的自毁条件包括系统完整性条件,比如定期(包括系统启动、停止、 每次进行身份认证时)对系统的完整性进行确认,一旦发现问题,启动清除所有存储单元 405中存储的信息;或者根据接收到的自毁命令执行清除信息的动作;或者当终端停止使用超过预定时间段后执行清除信息的动作。这样即使用户丢失认证终端也不会担心其中的信息被窃。由此可以看出,本实施例所述的认证终端不仅可以根据接收到的请求消息启动身份认证,而且可以对请求消息响应认证结果,也可以安全的存储身份信息并在必要时进行自毁,保护了用户信息的安全性。当然,以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的逻辑和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种通过多因子身份认证完成服务的方法,其特征在于,所述方法包括认证服务器接收用户侧发送的或者第三方服务器发送的认证请求消息,所述消息中包括用户信息和申请服务的信息;认证服务器通过网络向对应所述用户信息的认证终端转发所述请求消息;所述认证终端根据接收到的所述请求消息以及在本地获取到的身份信息对用户进行身份认证,所述获取到的身份信息包括用户的账户信息和/或指纹信息和/或面部信息和 /或瞳孔信息和/或语音信息和/或DNA信息和/或用户坐标信息;当所述认证终端确认所述用户的身份后,向认证服务器发送响应所述请求消息的确认 fn息;认证服务器接收到所述确认信息并完成对应所述服务信息的服务,或将所述确认信息转发给所述第三方服务器以使所述第三方服务器完成对应所述服务信息的服务。
2.根据权利要求1所述的方法,其特征在于,所述认证服务器通过网络向对应所述用户信息的认证终端转发所述请求消息包括根据所述用户信息中的用户账号,查找预先与所述账号绑定的认证终端产品身份编号;根据查找到的所述产品身份编号,获取预先与所述产品身份编号绑定的对应所述认证终端的通信地址;根据所述通信地址以及所述通信地址对应的网络向所述认证终端发送所述请求消息。
3.根据权利要求2所述的方法,其特征在于,在根据所述通信地址以及所述通信地址对应的网络向所述认证终端发送所述请求消息前,所述方法还包括判断是否与所述认证终端建立了连接,若没有与所述认证终端建立连接,则根据所述通信地址建立与所述认证终端通信的加密信道,通过所述加密信道向所述认证终端发送所述请求消息。
4.根据权利要求1或3所述的方法,其特征在于,当所述认证终端中包括对应服务器的数字证书时,所述方法在发送响应所述请求消息的确认信息前还包括通过所述数字证书对需要发送的包含有获取到的用户身份信息的确认信息进行加密, 以使所述服务器接收到所述包含有用户身份信息的确认信息后,根据所述数字证书获取用户身份信息已完成对应所述服务信息的服务。
5.一种通过多因子身份认证完成服务的系统,其特征在于,所述系统包括认证服务器,用于接收用户侧发送的或者第三方服务器发送的认证请求消息,所述消息中包括用户信息和申请服务的信息,向对应所述用户信息的认证终端转发所述请求消息;接收到所述认证终端发送的确认信息并完成对应所述服务信息的服务,或将所述确认信息转发给所述第三方服务器以使所述第三方服务器完成对应所述服务信息的服务;认证终端,用于根据接收到的所述认证服务器发送的所述请求消息以及获取到的身份信息对用户进行身份认证,所述获取到的身份信息包括用户的账户信息和/或指纹信息和 /或面部信息和/或瞳孔信息和/或语音信息和/或DNA信息和/或用户坐标信息,当确认所述用户的身份后,发送响应所述请求消息的确认信息。
6.根据权利要求5所述的系统,其特征在于,所述认证服务器在向对应所述用户信息的认证终端转发所述请求消息时,具体用于根据所述用户信息中的用户账号,查找预先与所述账号绑定的认证终端产品身份编号,根据查找到的所述产品身份编号,获取预先与所述产品身份编号绑定的对应所述认证终端的通信地址,根据所述通信地址以及所述通信地址对应的网络向所述认证终端发送所述请求消息。
7.根据权利要求6所述的系统,其特征在于,所述认证服务器在根据所述通信地址以及所述通信地址对应的网络向所述认证终端发送所述请求消息时,具体用于判断是否与所述认证终端建立了连接,若没有与所述认证终端建立连接,则建立与所述认证终端通信的加密信道,通过所述加密信道向所述认证终端发送所述请求消息。
8.根据权利要求5或7所述的系统,其特征在于,当所述认证终端中包括对应第三方服务器的数字证书时,所述认证终端在发送响应所述请求消息的确认信息前还用于通过所述数字证书对需要发送的包含有用户身份信息的确认信息进行加密,以使所述第三方服务器接收到所述包含有用户身份信息的确认信息后,根据所述数字证书获取用户身份信息已完成对应所述服务信息的服务。
9.一种多因子身份认证终端,其特征在于,所述设备包括接收单元,用于接收认证请求消息,所述消息中包括用户信息和申请服务的信息;身份采集单元,用于根据所述接收单元接收到的请求消息,采集用户的身份信息,所述身份信息包括用户的账户信息和/或指纹信息和/或面部信息和/或瞳孔信息和/或语音信息和/或DNA信息;身份认证单元,用于对所述身份采集单元采集的用户身份信息进行认证;发送单元,用于当所述身份认证单元确认所述用户的身份后,发送响应所述请求消息的确认信息。
10.根据权利要求9所述的设备,其特征在于,所述终端还包括自毁单元,用于当预设的自毁条件满足时,清除所述设备中保存的所有用户信息和身份fe息。
全文摘要
本发明实施例提供一种通过多因子身份认证完成服务的方法、系统及认证终端,属于通信技术领域,其中该方法接收用户侧发送的或者服务器发送的认证请求消息,所述消息中包括用户信息和申请服务的信息,向对应所述用户信息的认证终端转发所述请求消息,所述认证终端根据接收到的所述请求消息以及获取到的身份信息对用户进行多因子身份认证,当所述认证终端确认所述用户的身份后(1)发送响应所述请求消息的确认信息,接收到所述确认信息并完成对应所述服务信息的服务;或(2)将所述确认信息转发给所述服务器以使所述服务器完成对应所述服务信息的服务。无需像现有技术那样需要将认证的身份信息在网络中传递,大大提高了认证的安全性和可靠性。
文档编号H04L29/06GK102420800SQ20101029467
公开日2012年4月18日 申请日期2010年9月28日 优先权日2010年9月28日
发明者俞浩波, 张轶, 曾硕 申请人:俞浩波, 张轶, 曾硕