本发明专利一种身份认证和位置认证系统, 涉及一种认证特定身份的人员处于特定位置的认证系统,集成了网络通信技术,是一种基于设备认证和实时个人信息收集与认证的综合性认证方案。
背景技术:
现有的身份认证技术,如人脸识别考勤机、指纹识别的应用,实际上隐含着位置认证的功能。基于身份认证可靠的技术,如果我们知道了认证设备的位置,并且确信认证设备和被认证对象必须保持近距离方可认证成功,就可确定被认证对象的位置。目前能够实现类似认证功能的产品和系统很多,其中的一些认证技术需要专门的认证硬件产品,如使用专用的摄像头和人脸识别技术的考勤机;另外一些技术,如直接通过移动设备的定位功能进行身份和位置认证,它的缺点在于定位系统自身的缺陷,如位置认证的精度有限,而且不能够进行三维的认证,认证系统不能相对精确地确认被认证对象是在30层还是在一层;另外,它们中间的很多产品缺少足够强大的通信功能,不能够实时地将认证信息传输至目标用户。本专利旨在提供一个身份和位置认证系统,它基于通用的硬件,如手机、PC机、通用路由设备等,以及这些设备通常内置的硬件功能如定位、照相等,在集成软件和适当的算法的基础上,进行身份和位置认证。从而实现购置成本低、部署成本低、高可靠性和智能化。
技术实现要素:
本专利实现的认证系统依赖于对认证请求组件(1)的认证。认证方式通常分为注册和认证两个步骤。可以在将认证请求组件(1)向认证组件(2)进行注册的时候,认证组件(2)认证并记录认证求解组件(1)的mac地址、手机号码或者是这些信息的散列值或加密值或是认证人的照片,也可以由认证请求组件(1)或认证组件(2)确定经随机值产生方法、加密方法或者其他约定算法生成的认证值,由认证请求组件(1)和认证组件(2)分别存储。认证的方法可以是基于信息的简单比对或者基于相应算法的比对。
一种身份认证和位置认证系统,它包含认证请求组件(1)、认证组件(2)和若干路由设备(3),其特征在于,认证组件(2)和路由设备(3)在同一局域网内,认证请求组件(1)通过认证组件(2)的局域网内的IP地址、端口号、其他地址与认证组件(2)建立网络连接,当发出认证对话请求,认证成功,则认证请求组件(1)所属设备必定与路由设备(3)直接连接,由此可认证请求组件(1)所属设备的身份和位置,认证组件(2)的IP地址或端口号可以采用一次性约定或者持续更新的方式。
一种身份认证和位置认证系统, 它包含认证请求组件(1)、认证组件(2)和若干路由设备(3),其特征在于,认证组件(2)和路由设备(3)在同一局域网内,认证请求组件(1)通过认证组件(2)的局域网内的IP地址、端口号、其他地址向认证组件(2)建立网络连接,然后发出认证对话,如果认证成功,则认证请求组件(1)所属设备必定与路由设备(3)直接连接,由此可认证请求组件(1)所属设备的身份和位置。认证组件(2)IP地址或端口号可以采用一次性约定或者持续更新的方式,认证请求组件(1)通过认证组件(2)的连接可以是多次,可以先确定下一次连接的端口号,并传递加密的或者不加密的端口号,之后的连接基于已经确定的IP地址和端口号,作用是传送认证信息。
一种身份认证和位置认证系统,它包含认证请求组件(1)、认证组件(2)、若干路由设备(3)和认证地址传送组件(4),其特征在于,认证组件(2)和路由设备(3)在同一局域网内,认证请求组件(1)从认证地址传送组件(4)获取认证连接地址、端口号、二者组合,认证连接地址和端口号是通过事先约定的算法产生的或者几个组件通信确定的,然后认证请求组件(1)通过认证连接地址和端口号与认证组件(2)建立网络连接,然后发出认证对话,如果认证成功,则认证请求组件(1)所属设备必定与路由设备(3)直接连接,由此可认证请求组件(1)所属设备的身份和位置。
一种身份认证和位置认证系统,它包含认证请求组件(1)、认证组件(2)和若干路由设备(3),其特征在于,认证请求组件(1)与认证组件(2)建立网络连接,然后发出认证对话,认证回话包含通过执行ICMP协议命令、程序、其他网络管理协议命令或程序产生的路由信息,认证组件存贮特定的IP地址信息,而具有这特定的IP地址的设备的位置是可识别的,由此可认定特定认证请求组件(1)所属设备的位置和身份特征。
一种身份认证和位置认证系统,它包含认证请求组件(1)、认证组件(2)和若干路由设备(3),其特征在于,认证请求组件(1)与认证组件(2)建立网络连接,然后发出认证对话,认证回话包含通过执行ICMP协议命令、程序、其他网络管理协议命令或程序产生的路由信息,认证组件存贮特定的IP地址信息,而具有这特定的IP地址的设备的位置是可识别的,由此可认定特定认证请求组件(1)所属设备的位置和身份特征,认证请求组件(1)通过认证组件(2)的连接可以是多次,可以先确定下一次连接的端口号,并传递加密的或者不加密的端口号,之后的连接基于已经确定的IP地址和端口号,作用是传送认证信息。
一种身份认证和位置认证系统,它包含认证请求组件(1)、认证组件(2)、若干路由设备(3)和认证地址传送组件(4),其特征在于,认证请求组件(1)向认证地址传送组件(4)获取认证连接地址、端口号或者二者组合,认证连接地址和端口号是通过事先约定的算法产生的、通信确定的,然后认证请求组件(1)通过认证连接地址和端口号与认证组件(2)建立网络连接,然后发出认证对话,认证回话包含通过执行ICMP协议命令或程序或其他网络管理协议命令或程序产生的路由信息,认证组件存贮特定的IP地址信息,而具有这特定的IP地址的设备的位置是可识别的,由此可认定特定认证请求组件(1)所属设备的位置和身份特征。
一种身份认证和位置认证系统,它包含认证请求组件(1)、认证组件(2)和若干路由设备(3),其特征在于,认证组件(2)和路由设备(3)在同一局域网内,认证请求组件(1)通过认证组件(2)的局域网内的IP地址及端口号或其他地址与认证组件(2)建立网络连接,然后发出认证对话,如果认证成功,则认证请求组件(1)所属设备必定与路由设备(3)直接连接,由此可认证请求组件(1)所属设备的身份和位置,认证组件(2)的IP地址或端口号可以采用一次性约定或者持续更新的方式, 验证信息包括手机号码或者其散列值或加密值、设备标识或者其散列值或加密值、网络供应商提供的标识或者其散列值或加密值、MAC地址、其散列值、加密值、预先确定的内置验证信息、位置信息、其散列值、加密值、被验证人的照片中的一个或者多个组合。
一种身份认证和位置认证系统,它包含认证请求组件(1)、认证组件(2)和若干路由设备(3),其特征在于,认证组件(2)和路由设备(3)在同一局域网内,认证请求组件(1)通过认证组件(2)的局域网内的IP地址及端口号或其他地址向认证组件(2)建立网络连接,然后发出认证对话,如果认证成功,则认证请求组件(1)所属设备必定与路由设备(3)直接连接,由此可认证请求组件(1)所属设备的身份和位置,认证组件(2)IP地址或端口号可以采用一次性约定或者持续更新的方式。要点在于,认证请求组件(1)通过认证组件(2)的连接可以是多次,可以先确定下一次连接的端口号,并传递加密的或者不加密的端口号,之后的连接基于已经确定的IP地址和端口号,作用是传送认证信息。验证信息包括手机号码或者其散列值或加密值、设备标识或者其散列值或加密值、网络供应商提供的标识或者其散列值或加密值、MAC 地址、其散列值、加密值、预先确定的内置验证信息、位置信息、其散列值、加密值、被验证人的照片中的一个或者多个组合。
一种身份认证和位置认证系统,它包含认证请求组件(1)、认证组件(2)、若干路由设备(3)和认证地址传送组件(4),其特征在于,认证组件(2)和路由设备(3)在同一局域网内,认证请求组件(1)向认证地址传送组件(4)获取认证连接地址、端口号或者二者组合,认证连接地址和端口号是认证组件(2)和认证地址传送组件(4)通过事先约定的算法产生的或者通信确定的,然后认证请求组件(1)通过认证连接地址和端口号与认证组件(2)建立网络连接,然后发出认证对话,如果认证成功,则认证请求组件(1)所属设备必定与路由设备(3)直接连接,由此可认证请求组件(1)所属设备的身份和位置,验证信息包括手机号码或者其散列值或加密值、设备标识或者其散列值或加密值、网络供应商提供的标识或者其散列值或加密值、MAC地址、其散列值、加密值、预先确定的内置验证信息、位置信息、其散列值、加密值、被验证人的照片中的一个或者多个组合。
一种身份认证和位置认证系统,它包含认证请求组件(1)、认证组件(2)和若干路由设备(3),其特征在于,认证请求组件(1)与认证组件(2)建立网络连接,然后发出认证对话,认证回话包含通过执行ICMP协议命令、程序、其他网络管理协议命令或程序产生的路由信息,认证组件存贮特定的IP地址信息,而具有这特定的IP地址的设备的位置是可识别的,由此可认定特定认证请求组件(1)所属设备的位置和身份特征,验证信息包括手机号码或者其散列值或加密值、设备标识或者其散列值或加密值、网络供应商提供的标识或者其散列值或加密值、MAC地址、其散列值、加密值、预先确定的内置验证信息、位置信息、其散列值、加密值、被验证人的照片中的一个或者多个组合。
一种身份认证和位置认证系统,它包含认证请求组件(1)、认证组件(2)和若干路由设备(3),其特征在于,认证请求组件(1)与认证组件(2)建立网络连接,然后发出认证对话,认证回话包含通过执行ICMP协议命令或程序或其他网络管理协议命令或程序产生的路由信息,认证组件存贮特定的IP地址信息,而具有这特定的IP地址的设备的位置是可识别的,由此可认定特定认证请求组件(1)所属设备的位置和身份特征,认证请求组件(1)通过认证组件(2)的连接可以是多次,可以先确定下一次连接的端口号,并传递加密的或者不加密的端口号,之后的连接基于已经确定的IP地址和端口号,作用是传送认证信息。验证信息包括手机号码或者其散列值或加密值、设备标识或者其散列值或加密值、网络供应商提供的标识或者其散列值或加密值、MAC地址、其散列值、加密值、预先确定的内置验证信息、位置信息、其散列值、加密值、被验证人的照片中的一个或者多个组合。
一种身份认证和位置认证系统,它包含认证请求组件(1)、认证组件(2)、若干路由设备(3)和认证地址传送组件(4),其特征在于,认证请求组件(1)向认证地址传送组件(4)获取认证连接地址、端口号也可以二者组合,认证连接地址和端口号是认证组件(2)和认证地址传送组件(4)通过事先约定的算法产生的、通信确定的,然后通过认证连接地址和端口号与认证组件(2)建立网络连接,然后发出认证对话,认证回话包含通过执行ICMP协议命令或程序或其他网络管理协议命令或程序产生的路由信息,认证组件存贮特定的IP地址信息,而具有这特定的IP地址的设备的位置是可识别的,由此可认定特定认证请求组件(1)所属设备的位置和身份特征,验证信息包括手机号码或者其散列值或加密值、设备标识或者其散列值或加密值、网络供应商提供的标识或者其散列值或加密值、MAC地址、其散列值、加密值、预先确定的内置验证信息、位置信息、者其散列值、加密值、被验证人的照片中的一个或者多个组合。
本发明专利通常至少包括3个组件,认证请求组件(1)、认证组件(2)和若干路由设备(3),认证请求组件(1)根据认证组件(2)的局域网内IP地址向认证组件(2)发出连接请求。通常情况下如果能够连接成功则可以认为认证请求组件(1)和认证组件(2)处于同一局域网,认证组件(2)是受控的位置确定的,从而可以确定请求组件(1)处于路由设备(3)覆盖范围内的局域网内。同时认证请求组件(1)、认证组件(2)进行必要的通信以获取必要的认证信息,如手机号码、MAC地址、实时照片等,以完成对身份的认证。路由设备(3)可以是路由器、交换机或者能够实现路由功能的设备。
本系统为避免第三方代持证请求组件(1)进行认证作弊,可采取在认证的时候由认证请求组件(1)打开摄像头,获得认证人的照片。认证组件(2)可以通过面部识别校验的方法确认认证人是否合法;另一方面,认证组件(2)未必需要实时地进行面部识别校验,它可以定期地将存贮的一系列的一段时间内的特定认证人的照片进行比对,在人脸识别的基础上智能地识别是否有异常,甚至只是简单地存储照片以备人工检查核对。
通信过程中有作弊的可能性。假如截获了认证请求组件(1)向认证组件(2)发出的通信数据包,就可能解析出认证请求组件(1)和认证组件(2)首次通信的地址和端口号。作弊者可以在另一个网络环境,设置一个服务器,它将认证请求组件(1)发向上述地址和端口号的连接信息进行转发,再通过中间服务器以及部署在和认证组件处于同一局域网内的服务器,最终转发至认证组件(2),如此认证请求组件(1)和认证组件(2)就可以建立初次连接。为规避这样的作弊手段,在建立初次连接之后,认证请求组件(1)和认证组件(2)可以确定一个约定好的端口号,这个端口号是可变的甚至是加密的,并且下一次连接可以是由认证组件(2)向认证请求组件(1)发起连接请求,更加大作弊的难度,意味着作弊者必须在认证组件(2)的局域网内安装一个转发服务器,考虑到认证组件(2)的局域网环境是高度受控的(不论是从物理硬件管理上还是从IP地址设定方面而言),实际操作的难度和复杂度高到作弊不可行。认证信息甚至可以包含有定位信息,更加大了作弊的难度和可行性。还可以采用的规避作弊的方法是认证组件(2)IP地址或端口号可以采用一次性约定或者持续更新的方式。
为了增加系统的灵活性,同时也能够防止作弊确保认证请求组件(1)和认证组件(2)的连接的地址不可预知,可以考虑在系统中增加认证地址传送组件(4),用于通知认证请求组件(1)和认证组件(2)进行验证时的连接地址和端口号。认证地址传送组件(4)可以由单独部署或者与组织的其他系统部署在同样的环境,或者认证地址传送组件(4)由提供专职服务的第三方提供,这样的认证地址传送组件(4)的部署成本可能是可以忽略不计的。为简化设计和开发,也可采用认证组件(2)集成认证地址传送组件(4)的方式。
本系统考虑了另外一种认证的可能性,即认证组件(2)不在局域网的情况。这种情况下,证请求组件(1)和认证组件(2)通过执行ICMP协议命令或者程序或者其他网络管理协议命令或者程序获取路由信息,而路由组件(3)的IP地址、MAC地址等逻辑和物理特征是可以事先获取的,通过这两组数据的比对,可以识别出认证请求组件(1)和认证组件(2)的连接是否经由组织的局域网。这种方案的优点是组织的局域网内不需要单独部署认证组件(2),认证组件(2)可以部署在组织的其他设备上。
以上系统可以用于考勤认证和各种系统的身份认证,提供实时的位置和身份信息,通过组件之间多种组合的设定连接确认达到身份认证和位置认证的功能,其实用范围广泛,不借助于传统考勤机器,防止作弊性能突出,有利于互联网技术对于商务办公作业的帮助以及充分运用,推广难度小,市场潜力巨大。
附图说明
下面结合附图和实施例对本发明专利进一步说明。
图1是本发明专利的设计原理图。
图中 1. 认证请求组件、2. 认证组件、3. 若干路由设备、4. 认证地址传送组件。
具体实施方式
一种身份认证和位置认证系统,它包含认证请求组件(1)、认证组件(2)和若干路由设备(3),其特征在于,认证组件(2)和路由设备(3)在同一局域网内,认证请求组件(1)通过认证组件(2)的局域网内的IP地址、端口号、其他地址与认证组件(2)建立网络连接,认证地址传送组件(4)可以由单独部署或者与组织的其他系统部署在同样的环境,或者认证地址传送组件(4)由提供专职服务的第三方提供。