专利名称:基于手机、蓝牙和二维条码的实时身份认证方法
技术领域:
本发明属于信息安全身份认证技术领域,涉及一种使用手机、综合利用蓝牙通讯技术和二维条码技术的身份认证方法。
背景技术:
二维条码是新型的条码技术,它除了一维条码所具有的制作简单、成本低、信息采集速度快等传统优点以外,还具有高密度、具有纠错能力、信息量大、安全性强等多种优点。目前从图像构成上看,二维条码有堆叠式、棋盘式、矩阵式三种。在国际上二维条码已经广泛使用,国内也制定了PDF417和QR码的国家标准。
目前,手机作为一种常见的个人便携式电子产品,已经广泛普及,并深入生活的各个方面。中国手机的持有量已经超过了固定电话安装数量,并且仍在高速增长。同时手机的性能也在不断增强,功能逐渐丰富,不再仅仅传统的通讯工具,而成为重要的数字化辅助设备。目前正在使用的手机,大多具有较大的屏幕,附带蓝牙等短距离无线通讯功能,可以由用户自主安装JAVA、C++编写的软件。
蓝牙是由爱立信诺基亚、Intel、IBM和东芝等率先开发的一种短距离无线连接技术,工作在2.4GHz频段上。它提供两台以上带有蓝牙芯片或适配器的设备进行无线连接,通讯距离最长大约为10米,无方向性,可实时进行数据和语音传输,有较高的传输速率。作为一种无线传输方式,蓝牙极为方便易用,但是因为它具有无线性、无方向性且覆盖范围较广等特点,但容易被窃取或截获,保密性和安全性较差。
现有的身份认证方法大约分为三类1、基于静态密码的身份认证方法此类方法是传统的身份认证方法,拥有成熟的技术并被广泛应用。其根据表现形式又可分为输入密码式和证件式两类。
在输入密码式方法中,用户要进行身份验证,需要在指定设备或系统下利用键盘输入密码。这种方式因为键盘暴露在外,容易受到破坏,并且针对键盘或者系统设置木马类软件,可以截取密码。
在使用证件的方法中,一般是使用特殊扫描设备验证证件上的条码信息或其他显式、隐式图文信息,或者使用读卡器读取磁卡的信息。在使用这类方法的系统中,经常出现证件因为损坏而失效,或者证件内容被复制的情况。
基于静态密码认证方法的系统,其统一缺点是存在购买特定设备的设备开销,密码长期不变、易被复制模仿甚至识破,使用不够便捷等等。这类系统存在很多安全隐患,越来越无法适应日益提高的需求。
2、基于动态密码的身份认证方法动态密码是指用户使用专门设备或者软件,在每次身份认证时都随机产生一个密码,由认证系统来确认这个密码的正确性并验证身份。基于此类方法的系统需要用户携带专门的动态密码生成设备,或者需安装某种软件的设备。而其中使用无线信号进行通讯的产品,存在传输信息被截获的可能。
3、基于生物特征的身份认证方法使用人体特征识别,包括指纹、人脸、声音等等。使用方便,但是容易受意外状况、本人身体状况的影响,也可能被复制模仿,某些设备造价高。
发明内容
本发明的目的在于提供一种方便实用、通用性强、高效安全的身份认证方法,以解决现有身份系统中存在的需要用户额外携带证件或设备,认证特征易被模仿,认证信息可能被截获、窃取等问题。
本发明的技术方案是用户首先在手机端安装用于身份认证的客户端软件并在服务器端注册,在认证时,通过蓝牙建立手机与认证服务器之间的连接,服务器根据手机提供的信息初步确认访问者身份,向手机返回一个随机密码,并在服务器端暂时保存这个密码;手机将服务器返回的随机密码解释为二维条码并显示在屏幕上;认证服务器通过摄像头获取手机屏幕并提取解释其中的二维条码信息,以验证用户身份;产生的随机密码在认证成功后或在一段时间内没有成功认证的情况下自动失效。并且提供了发生意外时的补救措施。系统结构参见图2。
用户将软件安装在手机端,并且在服务器端进行注册。客户端软件记录此身份认证服务器的标识、用户标识并确定一个静态密钥,此静态密钥用MD5算法加密后,被分别记录到手机端和服务器端,今后除修改注册信息外,并不会以任何方式传输。如图4。
当用户携带手机进入认证服务器的蓝牙设备的通讯范围后,客户端软件检测到服务器端通过蓝牙设备广播的服务信息,提示用户是否建立连接。如果用户确认连接,则建立连接并将相应的用户标识发送至服务器。
服务器通过识别用户标识,初识用户身份,并随机产生动态密码。之后的认证过程提供两种技术解决方案。
方案一服务器端使用事先存储的用户密钥(已经经由MD5算法加密)对动态密码使用对称加密算法RC2进行加密,将加密后的信息发送回客户端。
客户端用存储的用户密钥(同样已经经由MD5算法加密),或者用户即时输入的密码经MD5加密后的值,对获得的信息进行解密。
客户端将经过解密得到的动态密码转换为Data Matrix二维条码信息并显示出来。用户将手机屏幕置于摄像头前,由摄像头采集图像。
服务器端将摄像头采集的图像进行分析获得二维条码所含的信息。通过将这些信息还原为原来的形式,即动态密码,并将其与保存在服务器端的动态密码相比较,如果相同则确认其身份。
如果认证成功或长时间没有从屏幕上获得正确的图像信息,则放弃动态密码。
方案二服务器端直接发送动态密码给客户端。
客户端将动态密码使用经MD5加密过的用户密钥进行RC2加密。
客户端将加密后的密文信息转化为Data Matrix二维条码信息并显示在屏幕上。用户将手机屏幕置于摄像头前,由摄像头采集图像。
服务器端将摄像头采集的图像进行分析获得二位条码所含的信息。并使用服务器端存储的用户密钥(经由MD5加密)将其解密,再将解密结果与动态密码相比较,如果相同则确认其身份。
如果认证成功或长时间没有从屏幕上获得正确的图像信息,则都会导致动态密码失效。图3描述了第一种方案的认证流程。
一旦开始认证,认证的全部处理过程都会记录到日志文件中,以便日后的查证。
本发明中允许用户对手机端程序进行密码保护,或者本地不存储用户密钥,而是由用户即时输入,以进一步提系统的高安全性。
本发明中提供了用户使用互联网、短信、现场手动等措施,以此注销账户,取消其继续使用权,以作为丢失手机的补救措施。注销账户流程如图5。
本发明中Data Matrix二维条码的生成、纠错和解读技术均遵循国际标准ISO/IEC16022-International Symbology Specification,Data Matrix。
本发明还公开了一种二维条码的识别方法,从摄像头所拍摄手机屏幕图像中定位二维条码并识别二维条码的信息,参见附图6。具体包括如下步骤1、过摄像头获得手机屏幕的真彩色图像。效果如图7。
2、对图像的红色、蓝色两相进行均值滤波,以消除对液晶屏幕拍摄时常见的红蓝色斑纹。
3、将图像灰度化。
4、根据图像四周机体颜色偏暗,中间屏幕颜色偏亮的特色,对整幅图像的灰度值进行统计确定阈值,结合对图像四周进行线形惩罚的方法,从图像中提取手机屏幕区域。
5、使用最大类间方差法将上述手机屏幕区域图像二值化以获得手机屏幕的二值图像。
6、使用Sobel算子提取上述二值图像的边缘获得边缘图像。参见图8。
7、对上述边缘图像使用Radon变换,提取图像中的直线。
8、将夹角在85度到95度之间的直线对提取出来,将附近一定区域内的像素投影到直线上,以定位点阵区域。参见图9。
9、根据直线方向旋正图像,根据直线夹角校正倾斜形变,并提取二维条码图像。如图10。
10、根据已知的点阵大小,对点阵图像进行均分,判断每格中的颜色值,获取点阵的数值,交由系统校验、解码。
本发明的效果和益处是本发明使用手机作为用户端载体,不需要额外的设备。因为手机屏幕本身发光,所以采集设备也无需使用照明模块。同时由于手机的高隐私性,也减少了用户端信息被他人获得的可能性。
本发明使用图像传输最终验证信息,并且用二维条码对信息进行表达。既使信息容易识别,又避免了无线传输的无方向性、公开性,使得非法用户无法截获、破译、复制、模拟最终的验证信息,从而在保留无线方式,不失简便易用的同时,极大地提高了安全性能。同时用户可以通过条码的展示和识别这一过程,确认是向指定设备发出了请求并被确认,减少了用户对使用无线设备的连接对象不明确的担忧,使得这一方法更容易被接受。
本发明使用动态密码,保证了验证信息的时效性。破解者即便可以复制验证信息,也无法重复认证过程,进一步增加了安全度。
图1是本发明的组织构成示意图。
图中1手机;2手机屏幕;3摄像头;4支持蓝牙通讯的PC机或服务器;5接PC或服务器的蓝牙适配器。
图2是本发明的体系结构示意图。
图3是本发明的验证流示意程图。
图4是本发明的注册模块流程示意图。
图5是本发明的注销模块流程示意图。
图6是本发明的二维条码识别流程示意图。
图7是本发明的摄像头拍摄图像例图。
图8是上述二维条码识别方法中,经过屏幕提取、边缘提取后的效果例图。
图9是上述二维条码识别方法中,根据Radon变换识别出的直线所提取的二维条码所在区域图。
图10是上述二维条码识别方法中,经旋正、校正后提取的二维条码图像图。
图11是实施例1的体系结构示意图。
图12是实施例2的体系结构示意图。
具体实施例方式
下面结合技术方案和附图详细叙述本发明的具体实施例。
实施例1如图11,它给出了门禁系统使用本发明的一个实施例。
本门禁系统的服务器端的硬件设备由一台可运行WindowsXP SP2以上平台的PC机,一个WindowsXP SP2蓝牙驱动兼容的蓝牙通讯模块,一个摄像头构成。PC机上安装有身份认证系统服务端软件。
本门禁系统的客户端是任何支持蓝牙功能、屏幕分辨率大于50×50的手机,包括运行Symbian、Windows、Linux系统的智能手机,支持Brew平台的CDMA手机,以及其他支持JSR82 API,即Java APIs for Bluetooth WirelessTechnology(JABWT)的手机。手机端需安装对应相应平台的客户端程序。本例以使用Symbian系统的手机为例说明。
首先用户在门禁服务器端注册,在服务器端输入用户ID和密码A,同时在手机端软件输入用户名和密码A。服务器端和手机端的密码使用MD5算法加密为字串B并存储,作为用户密钥。用户还需要在手机上输入以及服务器所独有的服务ID号和PIN码。此ID号为16位十进制数字,用以区分不同的认证服务系统。PIN码可由服务器管理员设定,其主要作用是避免其他蓝牙设备的连接干扰。注册后用户可以立刻试用门禁系统以确认信息的准确性。
服务器启动后,使用RFCOMM协议,启动蓝牙Socket服务,并向外发布此服务。当用户开启手机上的客户端软件后,客户端软件开始寻找蓝牙服务,并尝试使用PIN码连接。如果连接成功,则服务器端发送服务ID号到客户端,客户端验证是否是已注册的验证服务。如果是,则向服务器返回确认信息。服务器收到确认信息后随机生成64位动态密码C,使用上述串B进行RC2加密后成为串D,发送给用户手机。手机接收到串D后用本地存储的串B进行解密得到动态密码C,并将动态密码C按照Data Matrix的标准生成20×20的二维条码。手机端调用绘图接口,将二维条码以白底黑点的形式显示在屏幕上。
用户将手机屏幕展现给安装在门上的摄像头,摄像头截取图像并传送到服务器。服务器端通过二维条码识别算法将二维条码的图像信息转换为二进制信息。使用Data Matrix标准方法进行解读二维条码的信息为串D。如果在解读的过程中校验失败,则重新获取图像。服务器验证串D与动态密码C是否吻合,以验证用户身份。如果验证成功,则向电子门发送开门信息。
如果验证成功,或者服务器在20秒时间内未获得正确的验证信息,则宣布动态密码失效。服务器断开与客户端的连接,重新发布服务。
如果手机丢失,可以到服务器端注销用户,防止手机被非法使用。
此实施例所展示的门禁系统,可以用于家庭、小区以及各种企事业单位。
实施例2如图12,给出了与银行联网的商场消费系统使用本发明的一个实施例。其流程与上述实施例1类似,区别在于用户在银行进行注册,从银行处获取服务ID号。消费系统的服务ID号仅用于区分不同银行。同一个银行在各商场消费系统的服务ID号均相同。用户可在手机端选择要使用的银行的服务。
商场在验证用户信息的时候,通过银行网络从银行服务器获取经MD5加密后的静态密钥,即上述的串B。商场并不保有用户的相关信息。如果信息验证成功,则通过银行网络完成消费活动。
注销可以通过网上银行、本人到银行、短信等多种方式注销。
本实施例展示的消费系统可用于各种商场、超市、酒店或其他消费场所。
权利要求
1.一种基于手机、蓝牙和二维条码的实时身份认证方法,是在支持蓝牙通讯的手机、摄像头、身份认证服务器和可连接身份认证服务器的蓝牙通讯设备上实现的,其特征在于手机作为客户端,与认证服务器之间通过蓝牙通讯设备建立无线连接;摄像头作为图像采集装置,与认证服务器之间建立有线连接;服务器在与客户端建立无线连接后,通过客户端发来的信息初步识别用户身份;初识成功后,服务器生成动态密码,并将此动态密码使用初识用户的用户密钥加密,把密文发给手机;手机使用用户密钥解密收到的密文,获得动态密码,并将动态密码信息转换为二维条码显示在屏幕上;服务器通过摄像头拍摄手机屏幕,识别屏幕上的二维条码,解读二维条码中所含有的动态密码信息,并与之前生成的动态密码相匹配以验证用户身份。
2.根据权利要求1所述的一种基于手机、蓝牙和二维条码的实时身份认证方法中,用于识别手机屏幕上的二维条码的方法其特征在于对图像进行红蓝均值滤波,以消除拍摄手机屏幕时常见的红色、蓝色斑纹;将图像灰度化后,提取手机屏幕区域;使用最大类间差法二值化手机屏幕区域;使用Sobel算子提取二维图像的边缘信息;使用Radon变换提取二维图像中的直线;提取相互垂直的直线对,并判断点阵区域;旋正图像、校正形变并提取二维条码图像;对二维条码图像均分以获取二维条码信息。
全文摘要
本发明属于信息安全身份认证技术领域,涉及一种使用手机、综合利用蓝牙通讯技术和二维条码技术的身份认证方法。其特征是利用手机的蓝牙功能与服务器建立连接;服务器产生动态密码,使用与用户事先约定的密钥加密,传输到手机后再解密;手机将解密后得到的动态密码转换为二维条码信息,并显示到手机屏幕上;服务器端使用摄像头拍摄手机屏幕,从中识别二维条码信息,并解读出其中含有的动态密码;将此动态密码与之前生成的动态密码相匹配以验证用户身份。本发明的效果和益处是解决了现有身份认证系统中存在的需要用户额外携带证件或设备,认证特征易被模仿,认证信息可能被截获、窃取等问题。
文档编号G06K9/00GK1777101SQ20051004780
公开日2006年5月24日 申请日期2005年11月22日 优先权日2005年11月22日
发明者冯林, 袁彬, 孙焘, 吴炎飞 申请人:大连理工大学