专利名称:身份验证方法、系统及身份验证器的制作方法
技术领域:
本发明涉及通信领域,尤其涉及一种身份验证方法、系统及身份验证器。
背景技术:
目前,在大多数网络应用进程中,用户操作的客户端与服务器端之间都需要进行 身份验证,但由于客户端自身的安全缺陷而存在安全隐患,各种计算机病毒或恶意程序容 易控制客户端权限,因此客户端与服务器之间采用密码进行验证时,密码容易被中间截获, 用户身份容易被冒用,基于此,现有技术提供了 一种便携式电子证书存储机制,其主要将电 子证书存储在便携式外部存储器(如U盘)中,但由于便携式外部存储器并不与服务器端 之间直接通信,因此仍然存在客户端容易受病毒、黑客或恶意程序控制后产生的安全隐患。
发明内容
本发明实施例所要解决的技术问题在于,提供一种身份验证方法、系统及身份验 证器,可在身份验证过程中加入用户对其身份验证器的实际物理操作处理,以避开用户操 作客户端的不可信因素,消除客户端受病毒、黑客或恶意程序控制的安全隐患,进而大大提 高身份验证的安全性能,保证网络安全稳定运行。为解决上述技术问题,本发明实施例采用如下技术方案一种身份验证方法,该方 法基于一种身份验证系统,所述身份验证系统包括服务器端、与所述服务器端通过第一通 信链路相连的客户端,以及通过第二通信链路连接到所述客户端的身份验证器,所述方法 包括通过所述第一通信链路以及所述第二通信链路,利用在所述服务器端与所述身份验 证器之间预先配置的通信根密钥及通信ID,在所述服务器端与所述身份验证器之间创建虚 链路;基于所述虚链路,在所述服务器端与所述身份验证器之间依据用户对所述身份验证 器物理操作产生的输入信息进行验证交互,所述服务器端依据该验证交互结果进行所述身 份验证器的授权判定。一种身份验证系统,包括服务器端、与所述服务器端通过第一通信链路相连的客 户端,以及通过第二通信链路连接到所述客户端的身份验证器,其中所述客户端,用于通 过所述第一通信链路以及所述第二通信链路,在所述服务器端与所述身份验证器之间预先 配置通信根密钥及通信ID,并利用所述通信根密钥及所述通信ID,在所述服务器端与所述 身份验证器之间创建虚链路;所述身份验证器,用于获得用户物理操作产生的输入信息,并 基于所述虚链路在其与所述服务器端之间依据所述输入信息进行验证交互;所述服务器 端,用于依据所述验证交互结果进行授权判定。一种身份验证器,包括初始化模块,用于协同服务器端共同配置通信根密钥及通 信ID ;获取模块,用于获得用户物理操作产生的输入信息;交互模块,分别与所述初始化模 块以及所述获取模块相连,用于利用所述通信根密钥及所述通信ID与所述服务器端之间 创建虚链路,并基于该虚链路与所述服务器端之间依据所述输入信息进行验证交互。本发明实施例的有益效果是通过提供一种身份验证方法、系统及身份验证器,其主要利用服务器端与身份验证器之间预先配置的通信根密钥及通信ID,在服务器端与身 份验证器之间创建虚链路,并基于该虚链路,在服务器端与身份验证器之间对用户通过身 份验证器输入的输入信息进行验证交互,服务器端依据该验证交互结果进行身份验证器的 授权判定,本发明可在身份验证过程中加入用户对身份验证器输入信息的实际物理操作处 理,避开了用户操作客户端的不可信因素,消除了客户端受病毒、黑客或恶意程序控制的安 全隐患,进而大大提高了身份验证的安全性能,保证了网络应用安全可靠运行。下面结合附图对本发明实施例作进一步的详细描述。
图1是本发明的身份验证方法的第一实施例的流程图。
图2是本发明的身份验证方法的第二实施例的流程图。图3是本发明的身份验证方法的第三实施例的流程图。图4是本发明的身份验证方法的第四实施例的流程图。图5是本发明的身份验证方法的第五实施例的流程图。图6是本发明的身份验证方法的第六实施例的流程图。图7是本发明的身份验证方法的第七实施例的流程图。图8是本发明实施例的身份验证系统的的结构图。图9是本发明实施例的身份验证器的结构图。
具体实施例方式本发明实施例提供了一种身份验证方法以及其对应的身份验证系统和身份验证 器,身份验证方法基于对应的包含依次相连的服务器端、客户端及身份验证器的身份验证 系统,其主要通过服务器端与客户端之间的第一通信链路以及客户端与身份验证器之间的 第二通信链路,利用服务器端与身份验证器之间预先配置的通信根密钥及通信ID,在服务 器端与身份验证器之间创建虚链路,并基于该虚链路,在服务器端与身份验证器之间依据 用户对身份验证器物理操作产生的输入信息进行验证交互,服务器端依据该验证交互结果 进行身份验证器的授权判定,通过上述用户身份验证流程,当用户身份验证成功,即可针对 用户身份及业务种类进行身份验证器的授权,之后,即可接受客户端根据用户身份信息及 业务种类信息进行一次或多次业务操作。其中,输入信息可以是随机串输入信息、单键确 认信息、密码输入信息、指纹输入信息或序列号输入信息等,这样,可在身份验证过程中加 入用户对其身份验证器输入信息的实际物理操作处理,避开了用户操作客户端的不可信因 素,消除了客户端受病毒、黑客或恶意程序控制的安全隐患,进而大大提高了身份验证的安 全性能,保证了网络应用安全可靠运行。下面通过几个具体实施例对本发明的身份验证方法进行说明。图1是本发明的身份验证方法的第一实施例的流程图,该方法基于包括有服务器 端、客户端以及身份验证器的身份验证系统,其中,服务器端与客户端通过有线方式的第一 通信链路相连,而身份验证器与客户端之间通过USB方式的第二通信链路连接,具体地,该 客户端中可设置有客户端程序及屏幕,例如,客户端可以是设置有应用客户端程序的银行 柜台或设置有网银客户端程序的用户主机,而服务器端中也设置有服务器端程序,身份验证器中也同时配置有计算单元程序及键盘(键盘大小可根据实际情况选择制定,可采用微 型键盘等,键盘上的按键设置可以为多键或单键,多键可输入随机串、序列号、多键密码等, 单键可以进行单键确认等),身份验证器通过USB方式连接到客户端时,其计算单元程序可 通过客户端上的专用设备驱动程序与客户端程序通信,参照该图,该方法主要包括101,客 户端中的客户端程序通过第一通信链路向服务器端中的服务器端程序发送对身份验证器 进行初始化的请求,该请求中可携带用户身份信息、业务种类信息等,而身份信息可以是用 户身份证号,业务种类信息可以银行账号等用户信息;102,服务器端程序根据客户端传来 的请求,生成用于初始化身份验证器的通信根密钥及通信ID,并建立包含该通信根密钥和 通信ID的对应关系,具体地,服务器端程序获取请求后,随机产生一个通信根密钥及一个 唯一的通信ID,而上述对应关系可以是开放的关系列表,其不仅可包括通信根密钥及通信 ID,还可以包括其他相关联的对象,如上述请求中的用户身份信息、业务种类信息等,这样, 通信根密钥及通信ID即可当做用户身份信息、业务种类信息的唯一识别信息,在身份验证 后,即可接受客户端根据用户身份信息及业务种类信 息进行一次或多次业务操作;103,月艮 务器端程序通过第一通信链路向客户端程序返回其生成的通信根密钥以及通信ID ;104, 客户端程序通过第二通信链路将通信根密钥及通信ID写入身份验证器中的计算单元程 序;通过上述101-104的步骤则完成了服务器端对身份验证器的初始化,即在服务器端与 身份验证器之间同时配置了相应的通信根密钥及通信ID,为进行后续虚链路的创建提供了 条件,当然,作为一种实施方式,在服务器端与身份验证器之间预先配置通信根密钥及通信 ID除了采用上述初始化的方法,也可以不利用服务器端、客户端与身份验证器三者之间的 通信方式进行配置,而采用静态配置方式直接在服务器及身份验证器中配置相同的通信根 密钥及通信ID ;另外,为了保障服务器端与身份验证器端之间共同配置的通信根密钥及通 信ID的保密安全,可增加对通信根密钥及通信ID进行更新的步骤,其可在服务器端程序 与身份验证器的计算单元程序之间通过定期更新(如采用新的通信根密钥及通信ID分别 对服务器端与身份验证器进行静态配置)的方式或重新初始化的方式来进行,更新后的通 信根密钥及通信ID需重新写入对应关系中;105,客户端程序通过第一通信链路及第二通 信链路在身份验证器与服务器之间转发包含通信ID的通信内容,具体地,身份验证器的计 算单元程序一方发送的部分通信内容中必须包含通信ID,这样,服务器端程序才能在第一 时间从该部分通信内容中获得通信ID,这样,保证了通信ID作为身份验证器对服务器第一 次请求的识别参数;106,服务器端程序根据获得的通信ID查找对应关系,得到与该通信ID 对应的通信根密钥,当然,还可以得到对应关系中的其他信息,如用户身份信息和业务种类 信息等;107,服务器端程序与计算单元程序之间利用查找得到的通信根密钥,以客户端作 为中转,通过第一通信链路及第二通信链路进行协商通信,得到用于在服务器端与身份验 证器之间创建虚链路的临时通信密钥,具体地,协商通信为加密通信,密钥即上述通信根密 钥,而加密算法可以是公开的加密算法或其他未公开的加密算法,这样,保证了通信根密钥 作为协商虚链路的唯一参数;通过上述105-107的步骤则完成了在服务器端与身份验证器 之间的虚链路的创建,服务器端与身份验证器之间即可利用协商得到的临时通信密钥进行 加密通信,用该临时通信密钥加密的通信链路即上述虚链路,加密算法依然可以是公开的 加密算法或其他未公开的加密算法,当然,如果107的协商失败,则虚链路创建失败;108, 服务器端程序预先产生并存储有一随机串,即预置有随机串,当然该随机串必须是身份验证器上的键盘能够表达的;109,服务器端程序通过第一通信链路将预置的随机串发送到客 户端程序;110,客户端程序触发客户端的屏幕对随机串进行显示以提示用户通过身份验证 器的键盘输入该随机串;111,身份验证器获得随机串输入信息,具体地,用户从客户端的屏 幕上肉眼看到上述随机串后,通过身份验证器的键盘输入该随机串,产生随机串输入信息; 112,计算单元程序通过虚链路将随机串输入信息反馈到服务器端程序;113,服务器端程序 通过验证随机串输入信息及随机串匹配后,即认为用户身份验证成功,进行身份验证器的 授权,反之,若服务器端程序通过验证随机串输入信息及随机串不相匹配后,不对身份验证 器进行授权,或者,服务器端程序在接收随机串输入信息超时后,也不对身份验证器进行授 权。通过上述101-113的用户身份验证流程,当用户身份验证成功,即可针对用户身 份及业务种类进行身份验证器的授权,之后,即可接受客户端根据用户身份信息及业务种 类信息进行一次或多次业务操作。图2是本发明的身份验证方法的第二实施例的流程图,该第二实施例与图1所示 的第一实施例区别在于107之后的步骤采用如下流程替代208,服务器端程序通过第一通 信链路将用于提示用户进行 单键确认的第一提示信息发送到客户端程序;209,客户端程序 触发客户端的屏幕对第一提示信息进行显示;210,身份验证器获得单键确认信息,具体地, 用户从客户端的屏幕上肉眼看到上述第一提示信息后,通过身份验证器的键盘进行单键确 认,产生单键确认信息;211,计算单元程序依据单键确认信息将验证通过信息通过虚链路 反馈到服务器端程序;212,服务器端程序根据验证通过信息则认为用户身份认证成功,对 身份验证器进行授权。通过上述101-212的用户身份验证流程,当用户身份验证成功,即可针对用户身 份及业务种类进行身份验证器的授权,之后,即可接受客户端根据用户身份信息及业务种 类信息进行一次或多次业务操作。图3是本发明的身份验证方法的第三实施例的流程图,该第三实施例与图1所示 的第一实施例区别在于107之后的步骤采用如下流程替代308,服务器端程序通过第一通 信链路将用于提示用户进行密码验证的第二提示信息发送到客户端程序;309,客户端程序 触发客户端的屏幕对第二提示信息进行显示;310,身份验证器获得密码输入信息,具体地, 用户从客户端的屏幕上肉眼看到上述第二提示信息后,通过身份验证器的键盘输入密码, 产生密码输入信息;311,计算单元程序通过虚链路将密码输入信息反馈到服务器端程序; 312,服务器端程序通过验证密码输入信息及其预置的身份验证密码匹配后,即认为用户身 份验证成功,进行身份验证器的授权。通过上述101-312的用户身份验证流程,当用户身份验证成功,即可针对用户身 份及业务种类进行身份验证器的授权,之后,即可接受客户端根据用户身份信息及业务种 类信息进行一次或多次业务操作。图4是本发明的身份验证方法的第四实施例的流程图,该第四实施例与图1所示 的第一实施例区别在于107之后的步骤采用如下流程替代,而身份验证器上设置有生物特 征识别模块408,服务器端程序通过第一通信链路将用于提示用户进行生物特征验证的第 三提示信息发送到客户端程序;409,客户端程序触发客户端的屏幕对第三提示信息进行显 示;410,身份验证器获得生物特征输入信息,具体地,用户从客户端的屏幕上肉眼看到上述第三提示信息后,通过身份验证器的生物特征识别模块进行输入,产生生物特征输入信息; 411,计算单元程序通过虚链路将生物特征输入信息反馈到服务器端程序;412,服务器端 程序通过验证生物特征输入信息及其预置的生物特征信息匹配后,即认为用户身份验证成 功,进行身份验证器的授权。通过上述101-412的用户身份验证流程,当用户身份验证成功,即可针对用户身 份及业务种类进行身份验证器的授权,之后,即可接受客户端根据用户身份信息及业务种 类信息进行一次或多次业务操作。图5是本发明的身份验证方法的第五实施例的流程图,该第五实施例与图1所示 的第一实施例区别在于107之后的步骤采用如下流程替代,而身份验证器上设置有生物特 征识别模块508,服务器端程序通过第一通信链路将用于提示用户进行生物特征验证的第 三提示信息发送到客户端程序;509,客户端程序触发客户端的屏幕对第三提示信息进行显 示;510,身份验证器获得生物特征输入信息,具体地,用户从客户端的屏幕上肉眼看到上述 第三提示信息后,通过身份验证器的生物特征识别模块进行输入,产生生物特征输入信息; 511,计算单元程序通过验证生物特征输入信息与其预置的生物特征信息匹配后,通过虚链 路将验证通过信息反馈到服务器端程序;512,服务器 端程序依据验证通过信息,即认为用 户身份验证成功,进行身份验证器的授权。通过上述101-512的用户身份验证流程,当用户身份验证成功,即可针对用户身 份及业务种类进行身份验证器的授权,之后,即可接受客户端根据用户身份信息及业务种 类信息进行一次或多次业务操作。需要说明的是,上述生物特征是任何一种可鉴别用户身份的生物特征,其包括但 不仅限于指纹、DNA、虹膜等。图6是本发明的身份验证方法的第六实施例的流程图,该第六实施例与图1所示 的第一实施例区别在于107之后的步骤采用如下流程替代,而身份验证器上设置有微型显 示屏608,服务器端程序通过第一通信链路将用于提示用户进行序列号验证的第四提示信 息发送到客户端程序;609,客户端程序触发客户端的屏幕对第四提示信息进行显示;610, 计算单元程序根据通信根密钥结合通信根密钥产生的时间距离当前时间的分钟整数生成 序列号(即时间因子序列号,下同)并触发身份验证器上的微型显示屏对该序列号进行显 示;611,身份验证器获得序列号输入信息,具体地,用户从客户端的屏幕上肉眼看到上述 第四提示信息后,用户通过身份验证器的键盘输入其在微型显示屏上所见之序列号,产生 序列号输入信息;612,计算单元程序通过虚链路将序列号输入信息反馈到服务器端程序; 613,服务器端程序通过验证序列号输入信息及其以与身份验证器同样的方法生成的序列 号匹配后,即认为用户身份验证成功,进行身份验证器的授权。通过上述101-613的用户身份验证流程,当用户身份验证成功,即可针对用户身 份及业务种类进行身份验证器的授权,之后,即可接受客户端根据用户身份信息及业务种 类信息进行一次或多次业务操作。图7是本发明的身份验证方法的第七实施例的流程图,该第七实施例与图1所示 的第一实施例区别在于107之后的步骤采用如下流程替代,而身份验证器上设置有微型显 示屏708,服务器端程序通过第一通信链路将用于提示用户进行序列号验证的第四提示信 息发送到客户端程序;709,客户端程序触发客户端的屏幕对第四提示信息进行显示;710,计算单元程序根据通信根密钥结合通信根密钥产生的时间距离当前时间的分钟整数生成序列号;711,计算单元程序通过第二通信链路将序列号发送到客户端程序;712,客户端程 序触发客户端的屏幕对该序列号进行显示;713,身份验证器获得序列号输入信息,具体地, 用户从客户端的屏幕上肉眼看到上述第四提示信息后,用户通过身份验证器的键盘输入其 在微型显示屏上所见之序列号,产生序列号输入信息;714,计算单元程序通过虚链路将序 列号输入信息反馈到服务器端程序;715,服务器端程序通过验证序列号输入信息及其以与 身份验证器同样的方法生成的序列号匹配后,即认为用户身份验证成功,进行身份验证器 的授权。通过上述101-715的用户身份验证流程,当用户身份验证成功,即可针对用户身 份及业务种类进行身份验证器的授权,之后,即可接受客户端根据用户身份信息及业务种 类信息进行一次或多次业务操作。需要说明的是,图1所示的第一实施例安全性及可靠性较高,选作为本发明优选 实施例。相应地,本发明实施例还提供了如图8所示的对应的身份验证系统,其包括设置 有服务器端程序的服务器端801、与服务器端801通过第一通信链路802相连且设置有客 户端程序的客户端803,以及通过第二通信链路804连接到客户端803且设置有计算单元 程序的本发明实施例的身份验证器805,其中客户端803,用于通过第一通信链路802以及 第二通信链路804,在服务器端801与身份验证器805之间预先配置通信根密钥及通信ID, 并利用通信根密钥及通信ID,在服务器端801与身份验证器805之间创建虚链路806 ;身 份验证器805,用于获得用户物理操作产生的输入信息,并基于虚链路806在其与服务器端 801之间依据上述输入信息进行验证交互;服务器端801,用于依据上述验证交互结果进行 授权判定。其中,第一通信链路802为有线或无线方式的通信链路,第二通信链路804为USB、 串口、红外、蓝牙或其他方式的通信链路。而对应身份验证器805可以包括如图9所示的结构初始化模块901,用于协同服 务器端801共同配置通信根密钥及通信ID;获取模块902,用于获得用户物理操作产生的输 入信息;交互模块903,分别与初始化模块901以及获取模块902相连,用于利用通信根密 钥及通信ID与服务器端801之间创建虚链路806,并基于该虚链路806与服务器端801之 间对上述输入信息进行验证交互。具体地,获取模块902为键盘,物理操作为用户对键盘上按键的敲击动作,则上述 输入信息为随机串输入信息、单键确认信息、密码输入信息或序列号输入信息等,或者,获 取模块902为生物特征识别模块,物理操作为用户对生物特征识别模块的按压动作,则上 述输入信息为生物特征输入信息,生物特征识别模块可以是指纹识别模块、DNA识别模块、 虹膜识别模块等,但不仅限于此。作为一种实施方式,上述身份验证器805还可以包括一微动开关,其与初始化模 901相连,用于控制初始化模块901的开关动作,这样,当微动开关开启时,身份验证器805 处于初始化状态,在该状态下,与之相连的客户端803上的客户端程序可以将通信根密钥 及通信ID等信息通过身份验证器805的计算单元程序写入该身份验证器805中;当微动开 关关闭时,身份验证器805处于非初始化状态,在该状态下,计算单元程序拒绝写入客户端程序发来的更新信息但不拒绝写入虚链路发来的更新信息。当然,各个设备进行处理时,其上的软件可对其工作处理进行统筹,例如,客户端 程序可对客户端上的工作处理进行统筹等。另外,本领域普通技术人员可 以理解实现上述实施例方法中的全部或部分流 程,是可以通过程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读存储 介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质 可为磁碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random AccessMemory, RAM)等。以上所述是本发明的具体实施方式
,应当指出,对于本技术领域的普通技术人员 来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为 本发明的保护范围。
权利要求
一种身份验证方法,该方法基于一种身份验证系统,其特征在于,所述身份验证系统包括服务器端、与所述服务器端通过第一通信链路相连的客户端,以及通过第二通信链路连接到所述客户端的身份验证器,所述方法包括通过所述第一通信链路以及所述第二通信链路,利用在所述服务器端与所述身份验证器之间预先配置的通信根密钥及通信ID,在所述服务器端与所述身份验证器之间创建虚链路;基于所述虚链路,在所述服务器端与所述身份验证器之间依据用户对所述身份验证器物理操作产生的输入信息进行验证交互,所述服务器端依据该验证交互结果进行所述身份验证器的授权判定。
2.如权利要求1所述的方法,其特征在于,在所述服务器与所述身份验证器之间预先 配置所述通信根密钥及通信ID具体包括所述客户端通过所述第一通信链路向所述服务器端发送对所述身份验证器进行初始 化的请求;所述服务器端根据所述请求,生成用于初始化所述身份验证器的通信根密钥及通信ID 后,建立包含所述通信根密钥和所述通信ID的对应关系,并通过所述第一通信链路向所述 客户端返回所述通信根密钥及所述通信ID ;所述客户端通过所述第二通信链路将所述通信根密钥及通信ID写入所述身份验证ο
3.如权利要求2所述的方法,其特征在于,在所述服务器端与所述身份验证器之间创 建虚链路具体包括所述客户端通过所述第一通信链路及所述第二通信链路在所述身份验证器与所述服 务器端之间转发包含所述通信ID的通信内容;所述服务器端根据所述通信ID查找所述对应关系,得到对应的所述通信根密钥; 所述服务器端与所述身份验证器之间利用所述通信根密钥,通过所述第一通信链路及 所述第二通信链路进行协商通信,得到用于创建所述虚链路的临时通信密钥。
4.如权利要求1所述的方法,其特征在于,所述输入信息为随机串输入信息、单键确认 信息、密码输入信息、生物特征输入信息或序列号输入信息,当所述输入信息为随机串输入信息,在所述服务器端与所述身份验证器之间依据用户 对所述身份验证器物理操作产生的输入信息进行验证交互具体包括所述服务器端通过所述第一通信链路将预置的随机串发送到所述客户端; 所述客户端对所述随机串进行显示以提示用户通过所述身份验证器输入该随机串; 所述身份验证器获得所述随机串输入信息;所述身份验证器通过所述虚链路将所述随机串输入信息反馈到所述服务器端; 所述服务器端通过验证所述随机串输入信息及所述随机串匹配后,进行所述身份验证 器的授权;当所述输入信息为单键确认信息,在所述服务器端与所述身份验证器之间依据用户对 所述身份验证器物理操作产生的输入信息进行验证交互具体包括所述服务器端通过所述第一通信链路将用于提示所述用户进行单键确认的第一提示 信息发送到所述客户端;所述客户端对所述第一提示信息进行显示; 所述身份验证器获得所述单键确认信息;所述身份验证器依据所述单键确认信息将验证通过信息通过所述虚链路反馈到所述 服务器端;所述服务器端依据所述验证通过信息对所述身份验证器进行授权, 当所述输入信息为密码输入信息,在所述服务器端与所述身份验证器之间依据用户对 所述身份验证器物理操作产生的输入信息进行验证交互具体包括所述服务器端通过所述第一通信链路将用于提示所述用户进行密码验证的第二提示 信息发送到所述客户端;所述客户端对所述第二提示信息进行显示; 所述身份验证器获得所述密码输入信息;所述身份验证器通过所述虚链路将所述密码输入信息反馈到所述服务器端; 所述服务器端通过验证所述密码输入信息及其预置的身份验证密码匹配后,进行所述 身份验证器的授权,当所述输入信息为生物特征输入信息,在所述服务器端与所述身份验证器之间依据用 户对所述身份验证器物理操作产生的输入信息进行验证交互具体包括所述服务器端通过所述第一通信链路将用于提示所述用户进行生物特征验证的第三 提示信息发送到所述客户端;所述客户端对所述第三提示信息进行显示; 所述身份验证器获得所述生物特征输入信息;所述身份验证器通过所述虚链路将所述生物特征输入信息反馈到所述服务器端; 所述服务器端通过验证所述生物特征输入信息及其预置的生物特征信息匹配后,进行 所述身份验证器的授权,当所述输入信息为生物特征输入信息,在所述服务器端与所述身份验证器之间依据用 户对所述身份验证器物理操作产生的输入信息进行验证交互具体包括所述服务器端通过所述第一通信链路将用于提示用户进行生物特征验证的第三提示 信息发送到所述客户端;所述客户端对所述第三提示信息进行显示; 所述身份验证器获得所述生物特征输入信息;所述身份验证器通过验证所述生物特征输入信息与其预置的生物特征信息匹配后,通 过所述虚链路向所述服务器端反馈验证通过信息;所述服务器端依据所述验证通过信息进行所述身份验证器的授权, 当所述输入信息为序列号输入信息,在所述服务器端与所述身份验证器之间依据用户 对所述身份验证器物理操作产生的输入信息进行验证交互具体包括所述服务器端通过所述第一通信链路将用于提示所述用户进行序列号验证的第四提 示信息发送到所述客户端;所述客户端对所述第四提示信息进行显示; 所述身份验证器根据所述通信根密钥结合所述通信根密钥产生的时间距离当前时间 的分钟整数生成序列号并对该序列号进行显示;所述身份验证器获得所述序列号输入信息; 所述身份验证器通过所述虚链路将所述序列号输入信息反馈到所述服务器端; 所述服务器端通过验证所述序列号输入信息及其以与所述身份验证器同样的方法生 成的序列号匹配后,进行所述身份验证器的授权,当所述输入信息为序列号输入信息,在所述服务器端与所述身份验证器之间依据用户 对所述身份验证器物理操作产生的输入信息进行验证交互具体包括所述服务器端通过所述第一通信链路将用于提示所述用户进行序列号验证的第四提 示信息发送到所述客户端;所述客户端对所述第四提示信息进行显示;所述身份验证器根据所述通信根密钥结合所述通信根密钥产生的时间距离当前时间 的分钟整数生成序列号;所述身份验证器通过所述第二通信链路将所述序列号发送到所述客户端; 所述客户端对所述序列号进行显示; 所述身份验证器获得所述序列号输入信息;所述身份验证器通过所述虚链路将所述序列号输入信息反馈到所述服务器端; 所述服务器端通过验证所述序列号输入信息及其以与所述身份验证器同样的方法生 成的序列号匹配后,进行所述身份验证器的授权。
5.如权利要求1至4中任一项所述的方法,其特征在于,所述方法还包括 所述服务器端与所述身份验证器之间定期更新所述通信根密钥及所述通信ID,或者,所述服务器端与所述身份验证器之间通过重新初始化来更新所述通信根密钥及 所述通信ID。
6.一种身份验证系统,其特征在于,包括服务器端、与所述服务器端通过第一通信链路 相连的客户端,以及通过第二通信链路连接到所述客户端的身份验证器,其中所述客户端,用于通过所述第一通信链路以及所述第二通信链路,在所述服务器端与 所述身份验证器之间预先配置通信根密钥及通信ID,并利用所述通信根密钥及所述通信 ID,在所述服务器端与所述身份验证器之间创建虚链路;所述身份验证器,用于获得用户物理操作产生的输入信息,并基于所述虚链路在其与 所述服务器端之间依据所述输入信息进行验证交互;所述服务器端,用于依据所述验证交互结果进行授权判定。
7.如权利要求6所述的身份验证系统,其特征在于,所述第一通信链路为有线或无线 方式的通信链路,所述第二通信链路为USB、串口、红外或蓝牙方式的通信链路。
8.一种身份验证器,其特征在于,包括初始化模块,用于协同服务器端共同配置通信根密钥及通信ID ; 获取模块,用于获得用户物理操作产生的输入信息;交互模块,分别与所述初始化模块以及所述获取模块相连,用于利用所述通信根密钥 及所述通信ID与所述服务器端之间创建虚链路,并基于该虚链路与所述服务器端之间依 据所述输入信息进行验证交互。
9.如权利要求8所述的身份验证器,其特征在于,所述获取模块为键盘,则所述输入信 息为随机串输入信息、单键确认信息、密码输入信息或序列号输入信息,或者,所述获取模块为生物特征识别模块,则所述输入信息为生物特征输入信息。
10.如权利要求8所述的身份验证器,其特征在于,所述身份验证器还包括 微动开关,与所述初始化模块相连的,用于控制所述初始化模块的开关动作。
全文摘要
本发明实施例涉及一种身份验证方法,其主要利用服务器端与身份验证器之间预先配置的通信根密钥及通信ID,在服务器端与身份验证器之间创建虚链路,并基于该虚链路,在服务器端与身份验证器之间依据用户对身份验证器物理操作产生的输入信息进行验证交互,服务器端依据该验证交互结果进行身份验证器的授权判定。本发明实施例还提供了一种身份验证系统及身份验证器。采用本发明实施例,可在身份验证过程中加入用户对身份验证器输入信息的实际物理操作处理,避开了用户操作客户端的不可信因素,消除了客户端受病毒、黑客或恶意程序控制的安全隐患,进而大大提高了身份验证的安全性能,保证了网络应用安全可靠运行。
文档编号H04L29/06GK101873316SQ20101019206
公开日2010年10月27日 申请日期2010年6月4日 优先权日2010年6月4日
发明者吴梅兰 申请人:吴梅兰