专利名称:身份验证方法及身份验证系统的制作方法
技术领域:
本发明涉及网络,尤其涉及一种用以进行身份验证的方法及系统,特别是有关对网站的真伪、发送邮件的发送者身份等进行验证的方法及验证系统。
背景技术:
近来,各类假冒网站、假冒邮件等非常猖獗,给企业和使用者带来了很大损失。比如,假冒各大金融机构网站来盗取持卡人密码和账号信息的事件时有发生,不仅给银行和持卡人造成了巨大的损失,而且严重影响了持卡人使用网上业务的信心,进而影响了该类业务的迅猛发展。
为此,现有技术中提出了很多身份验证方法,来尽可能防止假冒网站、假冒邮件的发生。以下以对网站身份验证为例来说明常见的身份验证方法---利用第三方对网站或邮件的真实性进行验证。
比如网站可以在申请VeriSign(VeriSign为第三方)服务器证书的同时申请VeriSign安全签章服务;VeriSign在数据库中存储该网站的安全签章以及注册信息;随后,网站在需要验证的网页上嵌入VeriSign安全签章代码。
每当用户访问网站时,可以通过点击网页上的安全签章对网站进行身份认证。若所述网站是在VerSign上预先进行注册,则用户能看到该安全签章对应的网站注册信息,并且,该安全签章对应的网站注册信息和用户要访问的网站一致,否则,所述网站即为仿冒网站。
VeriSign安全签章是利用第三方对网站身份进行认证,由于其安全签章都一个简单的图片或Flash(由macromedia公司推出的交互式矢量图和Web动画的标准),而没有相应的安全签章防篡改和识别工具,所以非常容易被伪冒,由此造成对网站身份认证的可靠性降低。
除了上述网站身份认证方法外,现有技术还可以通过电子营业执照进行网站身份认证。即,先由工商部门给网站颁发电子营业执照,然后用户通过验证器验证电子营业执照的真伪,进而判断网站是否伪冒。这种方法能够在一定程度上保证身份认证的可靠性,但是,申请电子营业执照的网站需要相应的数字证书,为了保证身份认证的可靠性,该数字证书的签发、管理以及更新流程较为复杂,从而使得这种进行网站身份认证的方法也非常复杂,由此造成实现起来很不方便。
2005年1月31日深圳市沃通通信服务有限公司向中国知识产权局申请的申请号为“20051020006.6”的申请文件中,公开了一种绑定域名和域名注册者身份的网站身份认证的实现方法。在网站需要显示认证签章的网页上加上程序代码,并在网站的根目录上放置一个含有被认证网站的唯一编码的认证文件。当用户访问此网页时,认证代码将把被访问的网站的网址信息和认证文件的信息发回认证机构的认证管理服务器,实时验证此网站的真实身份。如果通过验证,则在此网页上动态显示一个自动生成含有认证机构名称、含有网站所有者公章缩微图样、含有生成签章时标准时间的认证签章图案。上述方法也同样存在易于伪冒的技术问题,从而造成认证可靠性差的技术问题。并且,每一次身份验证都需要访问认证机构,不仅需要占用大量的网络资源,甚至造成进出认证机构的网路阻塞,而且由于需要通过因特网访问认证机构由此造成每一次身份验证占用时间很长。
综上所述,现有的身份认证方法存在认证可靠性差、实现过程较为复杂的技术问题。
发明内容
本发明的目的在于提供了一种身份验证方法及身份验证系统,以提高身份认证方法的可靠性、并简化实现过程。
为解决上述问题,本发明公开了一种身份验证方法,包括
(1)被验证对象预先将表明本被验证对象身份的身份信息进行数字签名,并将签名信息隐藏于本被验证对象的一标识中来生成防伪签章;(2)当用户需要验证某一对象身份时,判断所述对象内是否存在防伪签章,若否,则所述对象未通过身份验证,否则,通过读出隐藏于所述标识中的信息来识别所述防伪签章的真伪进一步验证所述对象的身份。
步骤(1)中对所述身份信息进行数字签名具体为先将所述身份信息依次进行编排,再用签名算法对编排后的身份信息和标识中的关键域信息进行签名,随后将所述签名后的信息与编排后的身份信息组成待隐藏信息。
步骤(1)中对所述身份信息进行数字签名也可以具体为先将所述身份信息依次进行编排,再用摘要算法对编排后的身份信息和标识中的关键域信息进行摘要,随后将摘要后的信息用签名算法进行签名,然后将所述签名后的信息与编排后的身份信息组成待隐藏信息。
步骤(1)中利用隐藏算法将所述待隐藏信息隐藏于标识中,所述隐藏算法包括空域算法、变化域算法、扩展频谱通信算法、压缩域算法、NEC算法或生理模型算法,所述标识包括图像、文字、声音。
步骤(1)中将所述待隐藏信息隐藏于标识中进一步指利用空域算法将待隐藏信息隐藏于BMP(位图文件)图像文件中,具体包括将待隐藏信息转化为二进制数据码流;将文件图像数据部分的每个字节的奇偶性与所述二进制数据码流进行比较;若该字节的奇偶性与对应二进制数据码不一致,则通过调整该字节最低位的“0”和“1”来改变字节的奇偶性,使之与二进制数据流一致。
步骤(2)中识别所述防伪签章的真伪来进一步验证所述对象的身份具体为(a1)从防伪签章中提取签名后的信息和编排后的信息;(a2)从标识中提取关键域信息;(a3)采用和步骤(1)中相同的签名算法对编排后的信息和关键域信息进行验证签名,若验证通过,则所述对象通过身份认证,否则所述对象未通过身份认证。
步骤(2)中识别所述防伪签章的真伪来进一步验证所述对象的身份具体为(b1)从防伪签章中提取签名后的信息和编排后的信息;(b2)从标识中提取关键域信息;(b3)采用和步骤(1)中相同的摘要算法对编排后的信息和关键域信息进行摘要;(b4)采用和步骤(1)中相同的签名算法对摘要后的信息进行验证签名,若验证通过,则所述对象通过身份认证,否则所述对象未通过身份认证。
本发明公开了一种身份验证系统,包括防伪签章签发子系统和防伪签章识别器,其中防伪签章签发子系统对表明被验证对象身份的身份信息进行数字签名,并将签名信息隐藏于被验证对象的一标识中来生成防伪签章;防伪签章识别器设置在用户端,用以判断需要验证的对象内是否存在防伪签章以及读取隐藏于标识中的信息来识别防伪签章的真伪,以便验证所述对象的身份。
所述被验证对象包括网站和邮件,防伪签章识别器可以利用因特网进行下载直接设置在邮件收发器上或设置在浏览器上。
所述防伪签章签发子系统包括信息注册和管理单元、签名单元、签章生成单元和信息隐藏单元,其中信息注册和管理单元,用于对使用防伪签章的被验证对象的身份信息注册和维护管理;签名单元用于对包括身份信息的信息进行签名;信息隐藏单元用于利用隐藏算法将签名后的信息隐藏于所述标识中;签章生成单元用于生成所述防验证对象上的防伪签章。
与现有技术相比,本发明具有以下优点由于在本发明的流程中增加了安全签章防篡改和识别步骤,因此能够准确识别对象的真伪。并且,每次验证无需访问第三方网站,不仅不占用网络资源,而且也减少了由于网络欺诈带来验证结果不准确以及由于网络故障带来验证困难的事件发生。同时,身份验证实现起来也非常简单。
图1是本发明身份验证系统的结构示意图;图2是对网站进行身份认证的身份验证系统的结构示意图;图3是本发明身份验证方法的流程示意图。
具体实施例方式
以下结合附图,具体说明本发明。
现有技术需要通过第三方来对对象(对象包括网站和邮件发送者)进行身份识别,设置在对象上的防伪签章都只是一个简单的标识,如图片或Flash,而没有相应的安全签章防篡改和识别工具,由此造成很容易被伪冒,进而使得邮件或网站的可靠性降低。本发明的核心在于,只要网络上双方需要进行身份认证,就可以设置安全签章和识别工具,比如在将关键信息隐藏于标识中,通过相应的识别工具识别标识中有无关键信息及所述关键信息是否与预先隐藏在标识中的关键信息一致,进而判断出需要进行身份认证的对象的真伪,由此提高了身份认证的可靠性,同时每次身份验证时无需通过第三方进行认证,缩小认证响应时间,同时降低因特网网络故障带来认证失败的机率以及网络欺诈带来认证结果不准确的事件发生,由此提高认证的准确度。
请参阅图1,其为本发明身份验证系统的结构示意图。它包括防伪签章签发子系统11和防伪签章识别器12,其中防伪签章签发子系统11对表明被验证对象身份的身份信息进行数字签名,并将签名信息隐藏于被验证对象的一标识中来生成防伪签章;防伪签章识别器12设置在用户端,用以判断需要验证的对象内是否存在防伪签章以及读取隐藏于标识中的信息来识别防伪签章的真伪,以便验证所述对象的身份。通常是通过验证签名来达到验证防伪签章真伪的目的。为了验证签名,在防伪签章识别器中设置有用以验证签名的公钥。
所述防伪签章签发子系统包括信息注册和管理单元、签名单元、签章生成单元和信息隐藏单元,其中信息注册和管理单元,用于对使用防伪签章的被验证对象的身份信息注册和维护管理;签名单元用于对包括身份信息的信息进行签名;信息隐藏单元用于利用隐藏算法将签名后的信息隐藏于所述标识中;签章生成单元用于生成所述被验证对象上的防伪签章。
被验证对象包括网站和邮件。以下就以验证网站真伪为例,来说明用于对网站进行身份认证的身份验证系统。请参阅图2,其为对网站进行身份认证的身份验证系统的结构示意图。它包括若干需要接收防伪签章服务的网站21、提供防伪签章服务的服务器22和若干用户23。每一网站21可以通过因特网连接服务器22,每一用户23作为一个终端可以直接通过因特网登录至网站上。网站除了用户真正需要访问的网站21外,还可能存在对网站21进行伪冒的假冒网站24,如何验证用户登录的网站是用户真正需要访问的网站还是假冒网站24。
该服务器22上设置防伪签章签发子系统,该防伪签章签发子系统至少包括信息注册和管理单元、签名单元、签章生成单元和信息隐藏单元。
信息注册和管理单元,用于接收需要防伪签章服务的网站21提出的注册请求,并将表明网站身份的注册信息如网站域名、网站名称、网站所有者、网站类型以及用于隐藏信息的标识信息等进行保存和维护管理;签名单元用于将表明其身份的身份信息,如网站域名、网站名称、网站所有者、网站类型等进行编排,再用签名算法对编排后的身份信息和标识中的关键域信息进行签名。考虑到对所有编排后的身份信息和标识中的关键域信息进行签名,数据量可能较大。即为了缩小签名后的数据量,还可以将编排后的身份信息和标识中的关键域信息先进行摘要,再利用签名算法对摘要后的信息进行签名。签名的算法很多,如RSA算法等,但是签名算法是现有技术,在此就不再详述。同样,对信息进行摘要也是现有技术,如使用SHA-1对信息进行摘要,在此也不再详述。
信息隐藏单元用于将包含签名信息的信息利用隐藏技术隐藏于标识中。待隐藏信息除了签名信息外,还可以包括表明网站身份的身份信息网站域名、网站名称、网站所有者、网站类型。
签章生成单元用于生成所述网站上的防伪签章。即将加入隐藏信息的标识(即防伪签章)安装在需要保护的网页上。网站21可以从服务器22上下载防伪签章,并将该防伪签章设置在需要保护的网页上,并且,标识可以和网站的URL(网址)进行绑定。
每一需要验证登录的网站真假的用户在本端预先设置防伪签章识别器。用户可以通过因特网下载防伪签章识别器,也可以本地安装防伪签章识别器。为了方便使用,可以将防伪签章识别器直接安装在浏览器上,若是邮件发送者的身份认证,也可以将防伪签章识别器直接设置在outlook等邮件收发器。利用防伪签章识别器来识别网站的真伪。本发明的防伪签章识别器用于先判断是否存在防伪签章,然后判断防伪签章的真伪c1先从防伪签章中提取签名后的信息和编排后的信息和从标识中提取关键域信息;c2对编排后的信息和关键域信息进行签名或者对编排后的信息和关键域信息先进行摘要再进行验证签名(比如还包括c3用防伪签章识别器中的公钥解密签名后的信息,c4对比解密签名后的信息与c2编排后或摘要后信息,若相同,则验证通过,否则验证未通过),若验证通过,则该网站通过身份认证,否则该网站未通过身份认证。
邮件发送者的身份认证采用的认证方式和网站的身份认证相类似,邮件发送者通过访问提供防伪签章的服务器,提供注册信息。服务器的防伪签章签发子系统生成防伪签章,邮件发送者下载该防伪签章,并在每次发送的邮件中都包含此防伪签章,邮件的接收者安装对应的防伪签章识别器,通过防伪签章识别器来识别接收到的邮件中的签章,进而判断该邮件发送者的真伪。
本发明还提供了一种身份验证方法。请参阅图3,其为本发明的身份验证方法的流程图。它包括S110被验证对象预先将表明本被验证对象身份的身份信息进行数字签名,并将签名信息隐藏于本被验证对象的一标识中来生成防伪签章;S120当用户需要验证某一对象身份时,判断所述对象内是否存在防伪签章,若否,则所述对象未通过身份验证,否则,通过读出隐藏于所述标识中的信息来识别所述防伪签章的真伪进一步验证所述对象的身份。
步骤S110中对所述身份信息进行数字签名具体为先将所述身份信息依次进行编排,再用签名算法对编排后的身份信息和标识中的关键域信息进行签名,随后将所述签名后的信息与编排后的身份信息组成待隐藏信息。步骤S120中识别所述防伪签章的真伪来进一步验证所述对象的身份具体为(a1)从防伪签章中提取签名后的信息和编排后的信息;(a2)从标识中提取关键域信息;(a3)采用和步骤S110中相同的签名算法对编排后的信息和关键域信息进行验证签名,若验证通过,则所述对象通过身份认证,否则所述对象未通过身份认证。
步骤S110中对所述身份信息进行数字签名还可以具体为先将所述身份信息依次进行编排,再用摘要算法对编排后的身份信息和标识中的关键域信息进行摘要,随后将摘要后的信息用签名算法进行签名,然后将所述签名后的信息与编排后的身份信息组成待隐藏信息。步骤S120中识别所述防伪签章的真伪来进一步验证所述对象的身份具体为(b1)从防伪签章中提取签名后的信息和编排后的信息;(b2)从标识中提取关键域信息;(b3)采用和步骤S110中相同的摘要算法对编排后的信息和关键域信息进行摘要;(b4)采用和步骤S110中相同的签名算法对摘要后的信息进行验证签名,若验证通过,则所述对象通过身份认证,否则所述对象未通过身份认证。
步骤S110中将所述待隐藏信息隐藏于标识中进一步指利用空域算法将待隐藏信息隐藏于BMP图像文件中,具体包括将待隐藏信息转化为二进制数据码流;将文件图像数据部分的每个字节的奇偶性与所述二进制数据码流进行比较;若该字节的奇偶性与对应二进制数据码不一致,则通过调整该字节最低位的“0”和“1”来改变字节的奇偶性,使之与二进制数据流一致。上述公开隐藏算法仅是其中一种较为常见的将待隐藏信息隐藏于标识的方式,但本发明并不是仅局限于这一种隐藏处理方式。
以下以被验证对象为网站为例,来说明本发明的网站身份验证流程。网站的身份信息为网站域名、网站名称、网站所有者、网站类型,标识为一BMP格式的文件。
(一)网站预先进行数字签名,并将签名信息隐藏于BMP图像文件中,生成网站的防伪签章1、首先对身份信息进行数字签名签名流程如下(1).将上述信息按照下面的XML(可扩展标记语言)格式编排;(2).使用SHA-1对身份信息和图像关键域信息(比如BMP图像文件中每一字节的高字节)作摘要;(3).使用RSA算法签名第(2)步摘要后的信息;(4).最后将第(3)步的结果填充到第(1)步的signature(签名)域中。
XML详细格式如下<Anti-phishing signature>
<URL>www.aaa.comc.cn</URL>
<Web server name>某某网站</Web server name>
<Web server owner>某某有限责任公司</Web server owner>
<Web server type>购物网站</Web server type>
<Signature>0A539C1851477A9A27C5B310E1917867A88C61D8FFF3E322EB56BF917BF57695E3CBDE461E11E7DD33CC1CD6A6420C74C148BF06F2D3FF122DDB5ED87119DEFCB3C8E6A51FF9FEA36EC25490377A5000E3033DDE54B38ED94A72BD67073989A15DD376E4092F4307EBED6C2EF404D5E89145FF30E54FE495646BFB576CFC12CF</Signature>
</Anti-phishing signature>
2、将上述的XML信息隐藏于BMP图像中将信息隐藏于图片有很多中方法,如空域算法、变化域算法、扩展频谱通信算法、压缩域算法、NEC算法以及生理模型算法等。我们以最为简单的空域算法将信息隐藏于bmp图像举例说明。
BMP图像文件是位图文件,位图表示的是将一幅图像分割成栅格,栅格的每一点称为像素,每一个像素具有自已的RG值(RG值用于表明该像素的颜色状况),即一幅图像是由一系列像素点构成的点阵。24位BMP图像文件的结构特点为①每个文件只能非压缩地存放一幅彩色图像;②文件头由54个字节的数据段组成,其中包含有该位图文件的类型、大小、图像尺寸及打印格式等;③从第55个字节开始,是该文件的图像数据部分,数据的排列顺序以图像的左下角为起点,每连续3个字节便描述图像一个像素点的颜色信息,这三个字节分别代表蓝、绿、红三基色在此像素中的亮度,若某连续三个字节为00H,00H,FFH,则表示该像素的颜色为纯红色。
一幅24位BMP图像,由54字节的文件头和图像数据部分组成,其中文件头不能隐藏信息,从第55字节以后为图像数据部分,可以隐藏信息。图像数据部分是由一系列的8位二进制数所组成,由于每个8位二进制数中“1”的个数或者为奇数或者为偶数,约定若一个字节中“1”的个数为奇数,则称该字节为奇性字节,用“1”表示;若一个字节中“1”的个数为偶数,则称该字节为偶性字节,用“0”表示。我们用每个字节的奇偶性来表示隐藏的信息。
举例设一段24位BMP文件的数据为01100110,00111100,10001111,00011010,00000000,10101011,00111110,10110000,则其字节的奇偶排序为0,0,1,1,0,1,1,1。现在需要隐藏信息79,由于79转化为8位二进制为01001111,将这两个数列相比较,发现第2,3,4,5位不一致,于是对这段24位BMP文件数据的某些字节的奇偶性进行调制,使其与79转化的8位二进制相一致第2位将00111100变为00111101,则该字节由偶变为奇;第3位将10001111变为10001110,则该字节由奇变为偶;第4位将00011010变为00011011,则该字节由奇变为偶;第5位将00000000变为00000001,则该字节由偶变为奇;经过这样的调制,此24位BMP文件数据段字节的奇偶性便与79转化的8位二进制数完全相同,这样,8个字节便隐藏了一个字节的信息。
综上所述,将信息嵌入BMP文件的步骤为I.将待隐藏信息转化为二进制数据码流;II.将BMP文件图像数据部分的每个字节的奇偶性与上述二进制数码流进行比较;III.通过调整字节最低位的“0”或“1”,改变字节的奇偶性,使之与上述二进制数据流一致,即将信息嵌入到24位BMP图像中。
3.2的XML信息大概0.5k左右,按照上述的信息隐藏办法4k的图像文件即可。使用上述方法将信息隐藏于网站标识中生成防伪签章,该防伪签章可以置于网站的醒目位置。
(二)用户利用防伪签章识别器来识别访问网站的真伪防伪识别器是使用嵌入IE编程技术实现的客户端程序,由用户下载并安装于自己PC。安装完成后,在IE浏览器上将有一个图标用来启动防伪识别器。当访问到有3.3标识的网站时,可以启用它来验证该防伪标签的真实性,同时也就验证了网站的真实性,任何对防伪标签的修改,任何防伪标签的非法使用都将被检测到。
验证流程如下1.从当前访问的网站HTML(超文本链接标示语言)响应代码中发现防伪标签和当前URL;2.从防伪标签中提取3.2中的XML信息;3.提取图像关键域信息;4.对网站域名、网站名称、网站所有者、网站类型和防伪签章图片关键信息域作摘要;5.用防伪签章签发子系统的公钥解密3.2中signature域;6.对比第4步和第5步的结果以验证签名的合法性。
即上述验证过程包括以下步骤(1)网站申请防伪签章首先,签章服务机构验证提出申请的网站的身份,然后防伪签章签发子系统生成防伪签章,随后,将该防伪签章发送对该网站,最后,该网站将防伪签章加载地其网站的醒目位置以便浏览者识别,通常,网站可以将标识与网站的URL进行绑定。
(2)用户验证网站首先,用户下载安装签章服务机构的防伪签章识别器,当用户相验证访问的某个网站的真实性时,点击浏览器上的防伪签章识别器标识,防伪签章识别器验证网站真实性,并提示用户识别结果。
通过上述流程,由于在本发明的流程中增加了安全签章防篡改和识别步骤,因此能够准确识别网站的真伪。并且,每次验证无需访问第三方网站,不仅不占用网络资源,而且也减少了由于网络欺诈带来验证结果不准确以及由于网络故障带来验证困难的事件发生。
邮件发送者的身份识别和网站身份的识别类似,在此就不再赘述。本发明公开了几个具体实施例,但本发明并非局限于此,任何本领域的技术人员能思之的变化都应落在本发明的保护范围内。
权利要求
1.一种身份验证方法,其特征在于,包括(1)被验证对象预先将表明本被验证对象身份的身份信息进行数字签名,并将签名信息隐藏于本被验证对象的一标识中来生成防伪签章;(2)当用户需要验证某一对象身份时,判断所述对象内是否存在防伪签章,若否,则所述对象未通过身份验证,否则,通过读出隐藏于所述标识中的信息来识别所述防伪签章的真伪进一步验证所述对象的身份。
2.如权利要求1所述的身份验证方法,其特征在于,步骤(1)中对所述身份信息进行数字签名具体为先将所述身份信息依次进行编排,再用签名算法对编排后的身份信息和标识中的关键域信息进行签名,随后将所述签名后的信息与编排后的身份信息组成待隐藏信息。
3.如权利要求1所述的身份验证方法,其特征在于,步骤(1)中对所述身份信息进行数字签名具体为先将所述身份信息依次进行编排,再用摘要算法对编排后的身份信息和标识中的关键域信息进行摘要,随后将摘要后的信息用签名算法进行签名,然后将所述签名后的信息与编排后的身份信息组成待隐藏信息。
4.如权利要求2或3所述的身份验证方法,其特征在于,步骤(1)中利用隐藏算法将所述待隐藏信息隐藏于标识中,所述隐藏算法包括空域算法、变化域算法、扩展频谱通信算法、压缩域算法、NEC算法或生理模型算法,所述标识包括图像、文字、声音。
5.如权利要求4所述的身份验证方法,其特征在于,步骤(1)中将所述待隐藏信息隐藏于标识中进一步指利用空域算法将待隐藏信息隐藏于BMP图像文件中,具体包括将待隐藏信息转化为二进制数据码流;将文件图像数据部分的每个字节的奇偶性与所述二进制数据码流进行比较;若该字节的奇偶性与对应二进制数据码不一致,则通过调整该字节最低位的“0”和“1”来改变字节的奇偶性,使之与二进制数据流一致。
6.如权利要求2所述的身份验证方法,其特征在于,步骤(2)中识别所述防伪签章的真伪来进一步验证所述对象的身份具体为(a1)从防伪签章中提取签名后的信息和编排后的信息;(a2)从标识中提取关键域信息;(a3)采用和步骤(1)中相同的签名算法对编排后的信息和关键域信息进行验证签名,若验证通过,则所述对象通过身份认证,否则所述对象未通过身份认证。
7.如权利要求3所述的身份验证方法,其特征在于,步骤(2)中识别所述防伪签章的真伪来进一步验证所述对象的身份具体为(b1)从防伪签章中提取签名后的信息和编排后的信息;(b2)从标识中提取关键域信息;(b3)采用和步骤(1)中相同的摘要算法对编排后的信息和关键域信息进行摘要;(b4)采用和步骤(1)中相同的签名算法对摘要后的信息进行验证签名,若验证通过,则所述对象通过身份认证,否则所述对象未通过身份认证。
8.一种身份验证系统,其特征在于,包括防伪签章签发子系统和防伪签章识别器,其中防伪签章签发子系统对表明被验证对象身份的身份信息进行数字签名,并将签名信息隐藏于被验证对象的一标识中来生成防伪签章;防伪签章识别器设置在用户端,用以判断需要验证的对象内是否存在防伪签章以及读取隐藏于标识中的信息来识别防伪签章的真伪,以便验证所述对象的身份。
9.如权利要求8所述的身份验证系统,其特征在于,所述被验证对象包括网站和邮件,防伪签章识别器利用因特网进行下载直接设置在浏览器上或邮件收发器上。
10.如权利要求8所述的身份验证系统,其特征在于,所述防伪签章签发子系统包括信息注册和管理单元、签名单元、签章生成单元和信息隐藏单元,其中信息注册和管理单元,用于对使用防伪签章的被验证对象的身份信息注册和维护管理;签名单元用于对包括身份信息的信息进行签名;信息隐藏单元用于利用隐藏算法将签名后的信息隐藏于所述标识中。签章生成单元用于生成所述防验证对象上的防伪签章。
全文摘要
一种身份验证方法,它包括(1)被验证对象预先将表明本被验证对象身份的身份信息进行数字签名,并将签名信息隐藏于本被验证对象的一标识中来生成防伪签章;(2)当用户需要验证某一对象身份时,判断所述对象内是否存在防伪签章,若否,则所述对象未通过身份验证,否则,通过读出隐藏于所述标识中的信息来识别所述防伪签章的真伪进一步验证所述对象的身份。在本发明的流程中增加了安全签章防篡改和识别步骤,因此能够准确识别对象的真伪。并且,每次验证无需访问第三方网站,不仅不占用网络资源,而且也减少了由于网络欺诈带来验证结果不准确以及由于网络故障带来验证困难的事件发生。本发明还提供了相应的身份验证系统。
文档编号H04L9/32GK1960249SQ20051003094
公开日2007年5月9日 申请日期2005年10月31日 优先权日2005年10月31日
发明者郭锐, 李登峰, 潘钢 申请人:中国银联股份有限公司