一种设备接入识别认证系统和方法与流程

本发明涉及设备接入识别认证系统和方法。

背景技术：

网络安全是网络信息传输过程中的重要保障，在受限制的局域网中，对接入局域网的设备进行认证是实现局域网网络安全的重要措施。现有的认证方式主要包括：口令认证、生物学认证、硬件指纹认证等。口令认证是在认证服务器上为可以登录局域网的用户建立用户名和密码，当用户所输入的用户名和密码与认证服务器的用户名和密码一致时，允许用户登录并使用局域网。生物学认证主要是认证服务器存储有可以登录局域网的用户的指纹、声音、虹膜等具有唯一性的生物学特征，当用户在登录时提供的生物学特征与认证服务器存储的生物学特征在经过某些特定比对方式后，认为比对结果一致时，允许用户登录并使用局域网。硬件指纹认证是指认证服务器存储有可以登录局域网的计算设备(例如服务器设备、pc设备、移动终端设备等)所拥有的唯一标识信息(硬即件指纹)，例如硬盘物理序列号、cpu序列号、mac地址、bios序列号、主板序列号、imei等，当用户使用的计算设备中的硬件指纹与认证服务器存储的硬件指纹在经过某些特定比对方式后，认为比对结果一致时，允许用户登录并使用局域网。上述认证方法存在的主要问题如下：

一、不适用于网络安全要求较高的环境。例如，生物学认证是“认人不认设备”，只要生物信息是准确的，具有合法身份的用户可以轻松的使用非保密设备接入局域网，而非保密设备的使用，必然带来整个局域网的安全隐患。再如，硬件指纹是“认设备不认人”，当管理出现松懈时，非认证用户也可以能够使用特定的接入局域网的计算设备访问局域网的资源，容易导致泄密等安全隐患。此外，口令认证术语“不认设备不认人”，一旦口令被破解，任何人使用任何设备都能够访问局域网的资源，非常不安全。

二、部分认证方式不能够兼容所有的局域网连接设备。例如，生物学认证和口令认证对于类似于网络打印机的设备存在明显的兼容缺陷，具体而言，如果对于此类设备不进行认证，则此类设备容易称为局域网被入侵的薄弱环节，如果进行认证，一方面此类设备没有接收用户方便输入生物学特征或口令的接口，难于操作，另一方面，此类设备的使用人员较多，如果都采用例如生物学认证，系统负担较重。

技术实现要素：

为克服上述问题，本发明涉及一种设备接入识别认证方法，包括：认证服务器接收待认证设备发送的认证信息，所述认证信息包括设备标识；如果所述设备标识指示待认证设备为第一类设备，则使用生物学特征和硬件指纹进行认证，如果所述设备标识指示待认证设备为第二类设备，则使用硬件指纹进行认证。

本发明还提供了相应的设备接入识别系统，包括认证服务器、第一类设备、第二类设备；第一类设备使用生物学特征和硬件指纹进行认证，第二类设备使用硬件指纹进行认证。

本发明提供的设备接入识别认证方法和系统，区分设备使用类型，将生物学认证和硬件指纹认证相结合，能够做到对于第一类设备(例如pc、移动终端等)“认人又认设备”，提升了局域网的安全性，对第二类设备(例如网络打印机)，简化认证过程。

附图说明

图1是设备接入识别认证系统的结构图；

图2是使用认证服务器对接入网络的待认证设备进行认证的认证方法的流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，将结合附图对本发明作进一步地详细描述。这种描述是通过示例而非限制的方式介绍了与本发明的原理相一致的具体实施方式，这些实施方式的描述是足够详细的，以使得本领域技术人员能够实践本发明，在不脱离本发明的范围和精神的情况下可以使用其他实施方式并且可以改变和/或替换各要素的结构。因此，不应当从限制性意义上来理解以下的详细描述。

如图1所示，本发明提供了认证系统，包括认证服务器和待认证的设备1……设备n，认证服务器和待认证的设备之间通过局域网互相连接。待认证的设备包括第一类设备和第二类设备两种类型，第一类设备为接入局域网的用户个体使用的设备，例如台式计算机(pc)、笔记本计算机、pad、移动终端等；第二类设备为接入局域网的公共用户使用的设备，例如网络打印机等。由于第一类设备和第二类设备的自身特征和用户特征均存在较大差异，第一类设备的安全性要求也远高于第二类设备，因此对于两类设备采用不同的认证策略，即对于第一类设备，使用生物学特征和硬件指纹进行认证；对于第二类设备，使用硬件指纹进行认证。

可选的，生物学特征包括用户指纹特征、用户虹膜特征、用户人脸特征、用户声音特征中的一种或多种。优选的，生物学特征使用用户指纹特征。

可选的，硬件指纹包括硬盘物理序列号、cpu序列号、mac地址、bios序列号、主板序列号、国际移动设备身份码(imei)中的一种或多种。优选的，硬件指纹至少包括mac地址或者imei。

根据本发明的一个方面，认证系统进一步包括第一认证数据库和第二认证数据库，第一认证数据库和第二认证数据库均可以位于认证服务器中，或者与认证服务器电连接，或者一个位于认证服务器中而另一个与认证服务器电连接。本领域技术人员清楚第一、二认证数据库与认证服务器的位置关系和连接关系不会影响本发明的保护范围。

根据本发明的一个方面，第一认证数据库至少存储有生物学特征和硬件指纹的对应关系，用于第一类设备的认证，即第一认证数据库中的每条记录至少包括两个字段，第一字段指示用户的生物学特征，第二字段指示待认证设备的mac地址或imei。优选的，第一认证数据库中还包括存储有其他硬件指纹的字段，例如分别存储硬盘物理序列号的字段、存储cpu序列号的字段、存储有主板序列号的字段等。第二认证数据库至少存储有所硬件指纹，用于第二类设备的认证。

根据本发明的一个方面，当有新的设备接入局域网时，认证服务器根据新的设备的类型更新第一或第二认证数据库。例如，在局域网中增加新的网络打印机时，具有管理权限的用户登录认证服务器，在第二认证数据库中增加一条记录，记录的主要内容为网络打印机的硬件指纹。再如，在局域网中增加新的pc或pad使用用户时，具有管理权限的用户登录认证服务器，在第一认证数据库中增加一条记录，记录的主要内容为该用户的生物学特征(例如用户的指纹特征)以及用户所使用的pc或pad的mac地址或imei。

根据本发明的一个方面，当有用户离职或者更换设备时，具有管理权限的用户可以登录认证服务器，删除第一或第二数据库中与相应用户或设备对应的记录。

如图2所示，在本发明的第一实施例中，提供了使用认证服务器对接入网络的待认证设备进行认证的认证方法，主要包括以下步骤：

步骤s100，认证服务器接收待认证设备发送的认证信息。其中，认证信息中至少包括指示待认证设备类型的设备标识和硬件指纹。对于第一类设备，认证信息中还包括用户指纹图像等生物学特征。本领域技术人员应当理解，第一类设备包括用户指纹图像(例如，第一用户指纹图像)等生物学特征的采集装置。

步骤s200，认证服务器判断待认证设备的类型，如果为第一类设备，则执行步骤s300，如果为第二类设备，则执行步骤s400。

步骤s300，认证服务器解析认证信息，获得待认证设备的用户指纹图像(第一用户指纹图像)和硬件指纹(第一硬件指纹)。根据第一硬件指纹在第一认证数据库中检索，获得第一认证数据库中存储的与待认证设备的硬件指纹对应的用户指纹特征(第二用户指纹特征)。根据第一用户指纹图像，提取第一用户指纹特征。比较第一、第二用户指纹特征，如果二者的相似度超过第一阈值，则向待认证设备发送认证成功的信息。

步骤s400，认证服务器获得待认证设备的硬件指纹，如果待认证设备的硬件指纹与第二认证数据库中存储的硬件指纹匹配，则向待认证设备发送认证成功的信息。

可选的，用户提供用户名和密码登录待认证设备，这种情况下，待认证装置将采集到的用户指纹图像作为认证信息的一部分(即步骤s100和s300中的第一用户指纹图像)发送给认证服务器。

但是优选的，用户使用用户指纹登录待认证设备，并将经过采样压缩的用户指纹图像作为认证信息的一部分发送给认证服务器。这种情况下，一方面，用户不需要向连续两次输入验证信息以分别登录待验证设备和局域网，提升了用户体验；另一方面，由于待认证设备已经通过用户指纹认证过用户身份，因此认证服务器再次对用户身份进行验证时可以采用更为简化的方式进行，在保证认证的前提下，即可以提升认证服务器的认证效率，又可以降低认证服务器和待认证设备之间的网络负荷。该优选方式下，具体的认证方法为在步骤s100之前，还包括以下步骤：

步骤s010，待认证设备采集用户的指纹图像，然后对指纹图像进行预处理，消除明显的图像噪声。

步骤s020，在待认证设备的本地，提取预处理后的指纹图像的指纹特征，将该指纹特征与待认证设备本地存储的一个或多个用户指纹特征进行比对，并根据比对结果确定是否允许用户使用待认证设备。

步骤s030，当允许用户使用待认证设备后，对预处理后的指纹图像进行采样压缩，形成步骤s100和s300中所述的第一用户指纹图像。具体采样压缩算法为：

如果p<＝d，那么zi,j＝pi,j；

如果p>d，那么zi,j＝ti,j。

其中，zi,j为第一用户指纹图像中第i行，第j列的像素点的像素值，pi,j是与zi,j对应的采样窗口内的像素均值，ti,j是与zi,j对应的采样窗口内的经过修正的像素均值，d为根据经验获得的固定阈值。上述采样压缩算法中，如果采样窗口的像素值较为平均(即p<＝d)，则认为采样窗口内要么绝大部分是表征指纹的像素，要么绝大部分是表征背景的像素，因此以均值作为第一用户指纹图像的对应点的像素值；反之，则认为采样窗口内的像素部分是表征指纹的像素，部分是表征背景的像素，这种情况下，本发明对采样窗口的像素均值进行修正，以突出表征指纹的像素。

p、pi,j的计算公式分别如下：

其中，n为对预处理后的指纹图像进行采样的采样窗口的分辨率，因此采样窗口的大小为n*n个像素；优选的，n的取值为2或3。q[n(i-1)+a,n(j-1)+b]为预处理后的指纹图像中第n(i-1)+a行，第n(j-1)+b列的像素值，a，b，i，j均为自然数。

ti,j的计算公式分别如下：

q为修正使用的像素值，由于指纹可以近似的看成基本具有同心的像素环，因此q可以根据采样窗口内像素值最大(有可能是反应指纹的像素)的像素点qmx,my在像素环的径向上延伸的像素点的像素值确定。确定方式为：

当k<1，且mx>＝sx时，q＝q(mx+1,my)；

当k<1，且mx<sx时，q＝q(mx-1,my)；

当k>＝1，且my>＝sy时，q＝q(mx,my+1)；

当k>＝1，且my<sy时，q＝q(mx,my-1)；

mx和my为zi,j对应的采样窗口内的像素值最大的像素点qmx,my的横坐标和纵坐标，cx和cy为预处理后的指纹图像的中心点的横坐标和纵坐标，sx和sy为zi,j对应的采样窗口的中心点的横坐标和纵坐标。k为qmx,my和预处理后的指纹图像的中心点的连线的斜率，q(mx+1,my)、q(mx-1,my)、q(mx,my+1)、q(mx,my-1)分别为qmx,my的上下左右方向的像素点的像素值。

本领域技术人员清楚，在该实施例中，第一用户指纹图像为采样压缩后的图像时，第一认证数据库中存储的也是采集到的经过采样压缩后具有较低分辨率的指纹图像中提取的指纹特征。

在本发明的第二实施例中，提供了使用认证服务器对接入网络的待认证设备进行认证的认证方法，主要包括以下步骤：

步骤s100，认证服务器接收待认证设备发送的认证信息。其中，认证信息中至少包括指示待认证设备类型的设备标识和硬件指纹。对于第一类设备，认证信息中还包括用户指纹图像等生物学特征。本领域技术人员应当理解，第一类设备包括用户指纹特征(例如，第一用户指纹特征)等生物学特征的采集装置。

步骤s200，认证服务器判断待认证设备的类型，如果为第一类设备，则执行步骤s300，如果为第二类设备，则执行步骤s400。

步骤s300，认证服务器解析认证信息，获得待认证设备的用户指纹特征(第一用户指纹特征)和硬件指纹(第一硬件指纹)。根据第一硬件指纹在第一认证数据库中检索，获得第一认证数据库中存储的与待认证设备的硬件指纹对应的用户指纹特征(第二用户指纹特征)。比较第一、第二用户指纹特征，如果二者的相似度超过第一阈值，则向待认证设备发送认证成功的信息。

步骤s400，认证服务器获得待认证设备的硬件指纹，如果待认证设备的硬件指纹与第二认证数据库中存储的硬件指纹匹配，则向待认证设备发送认证成功的信息。

第二实施例中，在步骤s100之前，还包括以下步骤：

步骤s010，待认证设备采集用户的指纹图像，然后对指纹图像进行预处理，消除明显的图像噪声。

步骤s020，在待认证设备的本地，提取预处理后的指纹图像的指纹特征，将该指纹特征与待认证设备本地存储的一个多个用户指纹特征进行比对，如果二者的相似度超过第二阈值，则允许用户使用待认证设备。

步骤s030，当允许用户使用待认证设备后，将提取预处理后的指纹图像的指纹特征作为步骤s100和s300中所述的第一用户指纹特征。

可选的，对于同一用户的指纹特征而言，第一认证数据库中存储的第二用户指纹特征和待认证设备本地存储的用户指纹信息是同一种指纹采集设备采集的，此时第一阈值和第二阈值等同。优选的，这种情况下，还可以使用步骤s040替换步骤s030以提升认证服务器认证的成功率。

步骤s040，将待认证设备本地存储的指纹特征作为步骤s100和s300中所述的第一用户指纹特征。

与其他实现方式相比，采用步骤s040生成第一用户指纹特征的方式更适合于第一类设备的保密要求不高的情况。这种情况中，第一类设备允许多用户登录并作为单机使用，但是仅允许部分用户甚至一个用户接入局域网。当该用户登录到待认证设备时，已经有待认证设备完成了指纹认证，此时认证服务器完成硬件指纹认证。由于认证服务器存储的指纹特征与待认证设备存储的指纹特征一致，该用户也必然能够通过认证服务器的指纹认证，因此使用待认证设备存储的指纹特征作为第一用户指纹特征，并发送给认证服务器，将使得认证服务器在指纹特征比对过程中更为简单，而且不影响比对结果，同时还能够避免其他不具备访问局域网权限的用户访问局域网。

可选的，对于同一用户的指纹特征而言，第一认证数据库中存储的第二用户指纹特征和待认证设备本地存储的用户指纹信息是不同的指纹设备采集的。此时，考虑到认证服务器中已经采用了硬件指纹对待认证设备进行了认证，因此认证服务器进行认证时候效率优先，优选的，第一阈值小于第二阈值，以提升认证服务器认证的成功率。

在本发明的第三实施例中，提供了使用认证服务器对接入网络的待认证设备进行认证的认证方法，主要包括以下步骤：

步骤s100，认证服务器接收待认证设备发送的认证信息。其中，认证信息中至少包括指示待认证设备类型的设备标识和硬件指纹。

步骤s200，认证服务器判断待认证设备的类型，如果为第一类设备，则执行步骤s300，如果为第二类设备，则执行步骤s400。

步骤s300，认证服务器解析认证信息，获得待认证设备的硬件指纹(第一硬件指纹)。根据第一硬件指纹在第一认证数据库中检索，如果第一认证数据库中无法检索到第一硬件指纹，则认证失败；否则，向待认证设备发送请求获取第一用户指纹图像或者第一用户指纹特征的命令；

步骤s320，待认证设备向认证服务器发送第一用户指纹图像或者第一用户指纹特征；

步骤s340，认证服务器提取第一认证数据库中存储的与待认证设备的硬件指纹对应的用户指纹特征(第二用户指纹特征)。可选的，根据第一用户指纹图像，提取第一用户指纹特征。比较第一、第二用户指纹特征，如果二者的相似度超过第一阈值，则向待认证设备发送认证成功的信息。

步骤s400，认证服务器获得待认证设备的硬件指纹，如果待认证设备的硬件指纹与第二认证数据库中存储的硬件指纹匹配，则向待认证设备发送认证成功的信息。

本领域技术人员清楚，该实施例中的第一用户指纹图像和第一用户指纹特征的获取方式与前述实施例中的方式相同，因此不再赘述。该实施例中，通过认证服务器发送的索取第一用户指纹图像或第一用户指纹特征的命令，使得在硬件指纹无法认证通过时，不需要额外的传输数据量较大的第一用户指纹图像或第一用户指纹特征，从而节约了认证过程中的带宽。

本领域技术人员应当理解，虽然本发明的具体实施方式中是以用户指纹作为生物学特征进行示例性说明，但是本发明的精神仍然适用于虹膜、声音、人脸等所有的生物学特征，使用这些生物学特征的相应技术仍然属于本发明的保护范围。

本发明公开的方法包括用于实现本发明目的的一个或多个步骤，方法步骤可彼此相互交换而没有离开本发明的范围。换言之，除非实施例的正常操作需要特定顺序的步骤，可修改具体步骤的顺序，而不会离开本发明精神的范围。尽管本发明主要描述了具体实施例和应用，但本领域技术人员应理解本发明并不局限于此。根据本发明公开的方法和系统，对于本领域技术人员明显的各种修改、变化以及改变均不背离本发明的精神和范围。