專利名稱:面向普適網(wǎng)絡(luò)的遠(yuǎn)程身份認(rèn)證系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本實(shí)用新型涉及一種身份認(rèn)證技術(shù)�,特別是面向普適網(wǎng)絡(luò)的遠(yuǎn)程身份認(rèn)證系統(tǒng)�。
背景技術(shù):
龐大���、可靠的通信網(wǎng)絡(luò)是建設(shè)智慧城市建設(shè)的基礎(chǔ)��,在互聯(lián)網(wǎng)����、物聯(lián)網(wǎng)���、無(wú)線寬帶 網(wǎng)等現(xiàn)代通信網(wǎng)絡(luò)的發(fā)展和三網(wǎng)合一趨勢(shì)的推動(dòng)下����,當(dāng)前新一代信息技術(shù)突飛猛進(jìn)����,隨之而來(lái)的是對(duì)信息安全的空前挑戰(zhàn)。身份認(rèn)證技術(shù)是信息安全的核心技術(shù)之一���,其是一種能夠?qū)π畔⒌氖瞻l(fā)方進(jìn)行真實(shí)身份鑒別的技術(shù),是保護(hù)信息安全的第一道大門�,其任務(wù)是識(shí)另IJ、驗(yàn)證網(wǎng)絡(luò)信息系統(tǒng)中用戶身份的合法性����、真實(shí)性和抗抵賴性�����。身份認(rèn)證技術(shù)的發(fā)展���,經(jīng)歷了從軟件認(rèn)證到硬件認(rèn)證,從單因子認(rèn)證到雙(多)因子認(rèn)證����,從靜態(tài)認(rèn)證到動(dòng)態(tài)認(rèn)證的過(guò)程。隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展����,身份認(rèn)證已不再局限于面對(duì)面或者近距離,身份認(rèn)證的過(guò)程往往借助通信網(wǎng)絡(luò)�,因此當(dāng)前的身份認(rèn)證技術(shù)正不斷地向著遠(yuǎn)程化的方向過(guò)渡。目前�����,常用的遠(yuǎn)程身份認(rèn)證系統(tǒng)的拓?fù)浼軜?gòu)如圖I所示�,其一般都是用戶通過(guò)和接入通信網(wǎng)絡(luò)的PC或者服務(wù)商提供的終端進(jìn)行交互來(lái)完成身份認(rèn)證的,該遠(yuǎn)程身份認(rèn)證系統(tǒng)的認(rèn)證方法為用戶向用戶終端提出驗(yàn)證請(qǐng)求,用戶終端先完成對(duì)用戶初始驗(yàn)證和秘密信息提取�,然后通過(guò)通信網(wǎng)絡(luò),向遠(yuǎn)程驗(yàn)證端發(fā)送密文����,遠(yuǎn)程驗(yàn)證端收到消息后進(jìn)行驗(yàn)證并將驗(yàn)證結(jié)果通過(guò)通信網(wǎng)絡(luò)發(fā)回給用戶終端,用戶終端根據(jù)驗(yàn)證結(jié)果向用戶作出響應(yīng)��。如果要使上述認(rèn)證方法具有高安全性��,則要求有準(zhǔn)確的用戶憑證提取和可靠的通信網(wǎng)絡(luò)支持����。目前,計(jì)算機(jī)及網(wǎng)絡(luò)信息系統(tǒng)中常用的遠(yuǎn)程身份認(rèn)證方法主要有以下幾類I����、基于秘密知識(shí)的身份認(rèn)證技術(shù),其將秘密知識(shí)作為認(rèn)證用戶的唯一依據(jù)�����,秘密知識(shí)包括用戶ID�����、口令��、密鑰等�。基于“戶名/ 口令”的身份認(rèn)證系統(tǒng)/方法是其中最簡(jiǎn)單����、最易實(shí)現(xiàn)的一種,也是目前應(yīng)用最廣泛的認(rèn)證技術(shù)�����,其優(yōu)勢(shì)在于實(shí)現(xiàn)的簡(jiǎn)單性�,無(wú)須任何附加設(shè)備,成本低��、速度快��。然而這種認(rèn)證技術(shù)存在很多安全問(wèn)題�����,例如它是一種單因素的認(rèn)證方式���,安全性依賴于口令�����,口令一旦被泄露�����,用戶即可被冒充�����;大量�����、復(fù)雜的口令難以記憶�����;口令在傳輸過(guò)程中或系統(tǒng)漏洞遭攻擊時(shí)可能被截獲��;無(wú)法抵抗重放攻擊��;只能進(jìn)行單向認(rèn)證����,即系統(tǒng)可認(rèn)證用戶��,而用戶無(wú)法對(duì)系統(tǒng)進(jìn)行認(rèn)證��,等等。為了有效地改進(jìn)基于“戶名/ 口令”的身份認(rèn)證技術(shù)的安全性�����,以S/KEY為首的各種動(dòng)態(tài)口令技術(shù)被廣泛使用��。1991年貝爾通信研究中心(Bellcore)成功研制了 S/KEY身份認(rèn)證系統(tǒng)����,并在1995年被Internet工程任務(wù)組IETF所接受,成為RFC1760標(biāo)準(zhǔn),該S/KEY身份認(rèn)證系統(tǒng)利用單向散列函數(shù)生成一系列前后相關(guān)的口令���,利用這些口令進(jìn)行身份驗(yàn)證�����。此后���,安全專家提出了基于請(qǐng)求/應(yīng)答方式、基于時(shí)間同步方式��、基于事件同步方式的動(dòng)態(tài)口令密碼體制。2����、基于智能卡的身份認(rèn)證技術(shù),其采用集成的帶有智能的電路卡(即智能卡),內(nèi)置可編程的微處理器�����,可存儲(chǔ)數(shù)據(jù)�����,并提供硬件保護(hù)措施和加密算法�����。在智能卡中存儲(chǔ)用戶個(gè)性化的秘密信息�����,進(jìn)行認(rèn)證時(shí)讀卡器通過(guò)用戶輸入個(gè)人身份識(shí)別碼�����,讀出智能卡中的秘密信息�,進(jìn)而與主機(jī)之間進(jìn)行認(rèn)證����?��;赨SB Key的身份認(rèn)證系統(tǒng)/方法是當(dāng)前比較流行的基于智能卡的身份認(rèn)證技術(shù)����,它結(jié)合了現(xiàn)代密碼學(xué)技術(shù)�、智能卡技術(shù)和USB技術(shù)���,廣泛應(yīng)用于電子銀行��、遠(yuǎn)程支付等業(yè)務(wù)�。該身份認(rèn)證技術(shù)采用身份識(shí)別碼和USB Key進(jìn)行雙因子認(rèn)證��,增強(qiáng)了保密系數(shù)���;帶有安全數(shù)據(jù)存儲(chǔ)空間和硬件處理器�,使得復(fù)雜的密鑰和加密算法應(yīng)用成為可能�����,而且在用戶私有的智能卡中完成所有的計(jì)算和存儲(chǔ)使得驗(yàn)證過(guò)程在用戶之外不留痕跡;USB Key小巧且采用通用的接口���,非常便于隨身攜帶和使用����。但是該身份認(rèn)證技術(shù)也有其嚴(yán)重的缺陷系統(tǒng)只認(rèn)卡不認(rèn)人�����,一旦智能卡丟失�,用戶就會(huì)被系統(tǒng)拒絕,而且智 能卡容易被復(fù)制或者被讀取內(nèi)部的秘密信息�;另外對(duì)于智能卡認(rèn)證,需要在每個(gè)認(rèn)證端添加讀卡器�����,增加了硬件成本���。3�、基于生物特征的身份認(rèn)證技術(shù)�,其以人體具有的惟一的、可靠的、終生穩(wěn)定的生物特征為依據(jù)���,其利用計(jì)算機(jī)圖像處理和模式識(shí)別技術(shù)來(lái)實(shí)現(xiàn)身份認(rèn)證����?���;谏锾卣鞯纳矸菡J(rèn)證技術(shù)目前主要利用指紋、聲紋��、虹膜��、視網(wǎng)膜����、臉形����、掌紋這幾個(gè)方面的生物特征進(jìn)行識(shí)別。與傳統(tǒng)的身份認(rèn)證技術(shù)相比�����,其不存在遺忘或丟失的問(wèn)題�,具有生物特征的唯一性�,防偽性能好�����,不易偽造或被盜��,且對(duì)用戶的要求低���。目前����,指紋識(shí)別技術(shù)是較為典型的應(yīng)用���。盡管生物特征的身份驗(yàn)證機(jī)制提供了很高的安全性���,但目前很多技術(shù)還沒(méi)有完全成熟,且基于生物特征的信息采集��、認(rèn)證裝備的成本較高�,只適用于小范圍的安全級(jí)別比較高的特定場(chǎng)所。為保證安全性���,目前的遠(yuǎn)程通信網(wǎng)絡(luò)一般都是結(jié)合上述多種身份認(rèn)證技術(shù)來(lái)完成整一個(gè)身份驗(yàn)證過(guò)程��,但由于生物特征的采集比對(duì)設(shè)備的成本很高���,因此目前常規(guī)的遠(yuǎn)程身份認(rèn)證系統(tǒng)在用戶端往往采用用戶口令��、智能卡設(shè)備作為用戶憑證����。根據(jù)上述分析����,用戶面臨著秘密信息被盜用,以及用戶憑證被復(fù)制的風(fēng)險(xiǎn)����,要完成驗(yàn)證����,用戶都必須先和用戶終端交互,因此要建立足夠多的用戶終端并長(zhǎng)期進(jìn)行維護(hù)以保證向用戶提供可靠的服務(wù)�����。然而,類似基于生物特征的身份認(rèn)證技術(shù)等對(duì)用戶終端具有非常高的要求�,不同的身份認(rèn)證系統(tǒng)人機(jī)交互機(jī)制不盡相同,因此在被用戶接受前需要有一個(gè)培訓(xùn)及推廣的過(guò)程����,一般來(lái)講安全性越高,對(duì)功能的限制越多���,對(duì)使用環(huán)境越高����,操作過(guò)程越復(fù)雜���,對(duì)用戶素質(zhì)的要求越苛刻���,造成普通用戶難以掌握,從而很難做到大范圍的推廣����;而且,用戶只和用戶終端進(jìn)行交互��,身份認(rèn)證的過(guò)程往往借助通信網(wǎng)絡(luò)���,這中間極易產(chǎn)生不安全的因素�����。
實(shí)用新型內(nèi)容本實(shí)用新型的目的是為了解決上述現(xiàn)有技術(shù)的不足而提供一種成本低���、操作簡(jiǎn)單�、安全性能高�����、普適性強(qiáng)且防抵賴性好的面向普適網(wǎng)絡(luò)的遠(yuǎn)程身份認(rèn)證系統(tǒng)���。為了實(shí)現(xiàn)上述目的�,本實(shí)用新型所設(shè)計(jì)的面向普適網(wǎng)絡(luò)的遠(yuǎn)程身份認(rèn)證系統(tǒng)���,包括位于客戶端的用戶終端和位于遠(yuǎn)程驗(yàn)證端的后端系統(tǒng)及與后端系統(tǒng)連接的前端系統(tǒng)�,所述的用戶終端包含有智能卡��,其特征是所述的智能卡內(nèi)含有預(yù)先儲(chǔ)存的用戶憑證信息��,智能卡具有配對(duì)的一個(gè)私鑰和一個(gè)事先已向后端系統(tǒng)發(fā)布的公鑰����,智能卡主要由第一中心處理模塊、用戶自主啟動(dòng)模塊���、第一加密解密模塊�����、第一調(diào)制解調(diào)模塊和第一音頻處理模塊組成�����;所述的用戶自主啟動(dòng)模塊�、第一加密解密模塊和第一調(diào)制解調(diào)模塊均與第一中心處理模塊相互通信連接����,第一音頻處理模塊與第一調(diào)制解調(diào)模塊相互通信連接;所述的前端系統(tǒng)主要由第二音頻處理模塊���、第二中心處理模塊�、第二調(diào)制解調(diào)模塊和第二加密解密模塊組成�;所述的第二音頻處理模塊與所述的第二調(diào)制解調(diào)模塊相互通信連接,第二調(diào)制解調(diào)模塊和所述的第二加密解密模塊均與所述的第二中心處理模塊相互通信連接����。在此��,所述的用戶自主啟動(dòng)模塊是用于讀取用戶憑證及完成用戶憑證比對(duì)�����,并將用戶憑證比對(duì)結(jié)果發(fā)送給第一中心處理模塊的用戶自主啟動(dòng)模塊��;所述的第一加密解密模塊是用于加密用戶自主啟動(dòng)模塊傳輸給第一中心處理模塊的信號(hào)或用于解密第一調(diào)制解調(diào)模塊傳輸給第一中心處理模塊的解調(diào)后的信號(hào)的第一加密解密模塊���;所述的第一調(diào)制解 調(diào)模塊是用于調(diào)制第一加密解密模塊傳輸給第一中心處理模塊的加密后的信號(hào)或第一加密解密模塊傳輸給第一中心處理模塊的解密后的信號(hào)和解調(diào)第一音頻處理模塊傳輸給它的信號(hào)的第一調(diào)制解調(diào)模塊;所述的第一音頻處理模塊是用于采集和播放聲音信號(hào)���,實(shí)現(xiàn)聲電信號(hào)轉(zhuǎn)換�,并完成與第一調(diào)制解調(diào)模塊信號(hào)交互的第一音頻處理模塊����;所述的第一中心處理模塊用于總體協(xié)調(diào)用戶自主啟動(dòng)模塊、第一加密解密模塊���、第一調(diào)制解調(diào)模塊運(yùn)行及數(shù)據(jù)通信��;所述的第二調(diào)制解調(diào)模塊是用于調(diào)制第二加密解密模塊傳輸給第二中心處理模塊的加密后的信號(hào)或解調(diào)第二音頻處理模塊傳輸給其的信號(hào)的第二調(diào)制解調(diào)模塊��;所述的第二加密解密模塊是用于解密第二調(diào)制解調(diào)模塊傳輸給第二中心處理模塊的解調(diào)后的信號(hào)��、加密第一中心處理模塊產(chǎn)生的隨機(jī)數(shù)的第二加密解密模塊�����;所述的第二音頻處理模塊是用于采集和播放聲音信號(hào)��,實(shí)現(xiàn)聲電信號(hào)轉(zhuǎn)換����,并完成與第二調(diào)制解調(diào)模塊信號(hào)交互的第二音頻處理模塊����;所述的第二中心處理模塊用于總體協(xié)調(diào)第二加密解密模塊和第二調(diào)制解調(diào)模塊運(yùn)行及數(shù)據(jù)通信。本實(shí)用新型系統(tǒng)采用具有用戶自主安全啟動(dòng)功能的智能卡����,該卡中中心處理模塊根據(jù)用戶憑證比對(duì)結(jié)果決定是否啟動(dòng)智能卡的驗(yàn)證功能,不僅大幅度地降低了設(shè)備建設(shè)��、維護(hù)和人工的成本��,而且有效避免了智能卡遺失或被盜用后而使用戶信息泄密等不安全因素��;同時(shí)本實(shí)用新型系統(tǒng)在信息交互方式上以音頻信號(hào)作為信息載體,提高讀卡的安全性��,又?jǐn)U展了接入的范圍����;另一方面,借助當(dāng)前成熟的語(yǔ)音通信網(wǎng)絡(luò)���,大幅度地提升了普適性以及用戶使用的易用性和高效性��。作為優(yōu)先��,所述的第一中心處理模塊包括電源電路���、時(shí)鐘電路、第一嵌入式微處理器和與第一嵌入式微處理器連接的第一存儲(chǔ)單元���,其中第一嵌入式微處理器是用于控制用戶自主啟動(dòng)模塊��、第一加密解密模塊和第一調(diào)制解調(diào)模塊�;用戶自主啟動(dòng)模塊包括用于讀取用戶指紋的指紋采集器�、用于輸入用戶密碼的數(shù)字鍵盤和用于完成用戶憑證比對(duì)的信息比對(duì)模塊,信息比對(duì)模塊與第一嵌入式微處理器相互通信連接,第一調(diào)制解調(diào)模塊為2DPSK調(diào)制解調(diào)模式�,第一音頻處理模塊包括第一音頻收發(fā)設(shè)備和與第一音頻收發(fā)設(shè)備連接的第一音頻信號(hào)處理電路,第一音頻信號(hào)處理電路與第一調(diào)制解調(diào)模塊相互通信連接�����;所述的第二中心處理模塊包括電源電路�、時(shí)鐘電路以及用于控制第二加密解密模塊和第二調(diào)制解調(diào)模塊的第二嵌入式微處理器和與第二嵌入式微處理器連接的第二存儲(chǔ)單元���,第二調(diào)制解調(diào)模塊為2DPSK調(diào)制解調(diào)模式���,第二音頻處理模塊包括第二音頻收發(fā)設(shè)備和與第二音頻收發(fā)設(shè)備連接的第二音頻信號(hào)處理電路,第二音頻信號(hào)處理電路與第二調(diào)制解調(diào)模塊相互通信連接���,該優(yōu)選方法使得本實(shí)用新型的使用效果更佳����。為了使整個(gè)驗(yàn)證過(guò)程可由代理人完成�,能滿足用戶的特殊需求,所述的面向普適網(wǎng)絡(luò)的遠(yuǎn)程身份認(rèn)證系統(tǒng)還包括位于客戶端與遠(yuǎn)程驗(yàn)證端之間的驗(yàn)證代理���,第一音頻處理模塊通過(guò)通信網(wǎng)絡(luò)與驗(yàn)證代理相互通信連接��,驗(yàn)證代理通過(guò)通信網(wǎng)絡(luò)與遠(yuǎn)程驗(yàn)證端的第二音頻處理模塊相互通信連接�;所述的在客戶端與遠(yuǎn)程驗(yàn)證端之間設(shè)有驗(yàn)證代理,其驗(yàn)證代理的代理人所在的驗(yàn)證代理終端為手機(jī)���、或電話��、或具有語(yǔ)音通信功能的終端設(shè)備���。本實(shí)用新型的面向普適網(wǎng)絡(luò)的遠(yuǎn)程身份認(rèn)證系統(tǒng)中,其認(rèn)證方法包括以下步驟第一步�����,在客戶端�����,智能卡的第一中心處理模塊控制智能卡的用戶自主啟動(dòng)模塊讀取用戶憑證并完成用戶憑證比對(duì)��,然后用戶自主啟動(dòng)模塊發(fā)送比對(duì)結(jié)果給第一中心處理模塊����,第一中心處理模塊根據(jù)用戶憑證比對(duì)結(jié)果決定是否啟動(dòng)智能卡的驗(yàn)證功能;第二步����,第一中心處理模塊控制智能卡的第一加密解密模塊利用智能卡的私鑰對(duì)驗(yàn)證請(qǐng)求信號(hào)進(jìn)行加密處理��,然后第一加密解密模塊傳輸加 密后得到的含數(shù)字簽名的驗(yàn)證請(qǐng)求信號(hào)給第一中心處理模塊�����;第三步���,第一中心處理模塊控制智能卡的第一調(diào)制解調(diào)模塊對(duì)含數(shù)字簽名的驗(yàn)證請(qǐng)求信號(hào)進(jìn)行調(diào)制處理�����,轉(zhuǎn)換為音頻信號(hào)�,然后第一調(diào)制解調(diào)模塊傳輸音頻信號(hào)給智能卡的第一音頻處理模塊;第四步����,第一音頻處理模塊對(duì)音頻信號(hào)進(jìn)行放大處理,并將處理后的音頻信號(hào)通過(guò)通信網(wǎng)絡(luò)發(fā)送給遠(yuǎn)程驗(yàn)證端���;第五步��,在遠(yuǎn)程驗(yàn)證端��,前端系統(tǒng)的第二音頻處理模塊接收智能卡的第一音頻處理模塊發(fā)送的音頻信號(hào)�����;第六步�����,第二音頻處理模塊對(duì)接收到的音頻信號(hào)進(jìn)行處理��,并將處理后的音頻信號(hào)傳輸給前端系統(tǒng)的第二調(diào)制解調(diào)模塊��,然后前端系統(tǒng)的第二中心處理模塊控制第二調(diào)制解調(diào)模塊對(duì)音頻信號(hào)進(jìn)行解調(diào)處理�����,并將解調(diào)后的音頻信號(hào)還原為已加密的含數(shù)字簽名的驗(yàn)證請(qǐng)求信號(hào)�,第二調(diào)制解調(diào)模塊傳輸已加密的含數(shù)字簽名的驗(yàn)證請(qǐng)求信號(hào)給第二中心處理模塊;第七步�����,第二中心處理模塊控制前端系統(tǒng)的第二加密解密模塊利用通過(guò)IO模塊從后端系統(tǒng)中獲取的智能卡的公鑰對(duì)加密后的含數(shù)字簽名的驗(yàn)證請(qǐng)求信號(hào)進(jìn)行解密處理�����,然后第二加密解密模塊傳輸數(shù)字簽名和解密后得到的請(qǐng)求信號(hào)給第二中心處理模塊;第八步���,第二中心處理模塊保存數(shù)字簽名��,同時(shí)第二中心處理模塊產(chǎn)生一組隨機(jī)數(shù)����,并保存該隨機(jī)數(shù)作為原隨機(jī)數(shù)��,然后第二中心處理模塊控制第二加密解密模塊利用智能卡的公鑰對(duì)原隨機(jī)數(shù)進(jìn)行加密處理����,第二加密解密模塊傳輸加密后得到的加密數(shù)據(jù)給第二中心處理模塊���;第九步��,第二中心處理模塊控制第二調(diào)制解調(diào)模塊對(duì)加密數(shù)據(jù)進(jìn)行調(diào)制處理�,并將調(diào)制后的加密數(shù)據(jù)轉(zhuǎn)換為音頻信號(hào)�,然后第二調(diào)制解調(diào)模塊傳輸音頻信號(hào)給第二音頻處理模塊;第十步���,第二音頻處理模塊對(duì)音頻信號(hào)進(jìn)行處理��,并將處理后的音頻信號(hào)通過(guò)通信網(wǎng)絡(luò)發(fā)送給客戶端��;第十一步��,在客戶端的第一音頻處理模塊接收第二音頻處理模塊發(fā)送的音頻信號(hào);第十二步��,第一音頻處理模塊對(duì)接收到的音頻信號(hào)進(jìn)行處理���,并將處理后的音頻信號(hào)傳輸給第一調(diào)制解調(diào)模塊���,然后第一中心處理模塊控制第一調(diào)制解調(diào)模塊對(duì)音頻信號(hào)進(jìn)行解調(diào)處理,還原為加密數(shù)據(jù)�,第一調(diào)制解調(diào)模塊傳輸加密數(shù)據(jù)給第一中心處理模塊;[0030]第十三步���,第一中心處理模塊控制第一加密解密模塊利用智能卡的私鑰對(duì)加密數(shù)據(jù)進(jìn)行解密處理���,然后第一加密解密模塊傳輸解密后得到的隨機(jī)數(shù)給第一中心處理模塊;第十四步��,第一中心處理模塊控制第一調(diào)制解調(diào)模塊對(duì)隨機(jī)數(shù)進(jìn)行調(diào)制處理�,并將調(diào)制后的音頻信號(hào),傳輸給第一音頻處理模塊���;第十五步�,第一音頻處理模塊對(duì)音頻信號(hào)進(jìn)行處理,并將處理后的音頻信號(hào)通過(guò)通信網(wǎng)絡(luò)發(fā)送給遠(yuǎn)程驗(yàn)證端�;第十六步,在遠(yuǎn)程驗(yàn)證端����,第二音頻處理模塊接收第一音頻處理模塊發(fā)送的音頻信號(hào);第十七步,第二音頻處理模塊對(duì)接收到的音頻信號(hào)進(jìn)行處理�,并將處理后的音頻信號(hào)傳輸給第二調(diào)制解調(diào)模塊,然后第二中心處理模塊控制第二調(diào)制解調(diào)模塊對(duì)音頻信號(hào)進(jìn)行解調(diào)處理��,獲得隨機(jī)數(shù)�,第二調(diào)制解調(diào)模塊傳輸隨機(jī)數(shù)給第二中心處理模塊;第十八步��,第二中心處理模塊比較原隨機(jī)數(shù)與新隨機(jī)數(shù)�,得到驗(yàn)證結(jié)果��,S卩如果原隨機(jī)數(shù)與新隨機(jī)數(shù)相同���,則通過(guò)驗(yàn)證��,反之�,則不通過(guò)驗(yàn)證。上述方法中采用了隨機(jī)數(shù)非對(duì)稱加密機(jī)制的通信模式�,使得信道安全得到保障,而且在通信過(guò)程中引入了具有唯一性的私鑰數(shù)字簽名�����,使得本實(shí)用新型得到的認(rèn)證方法具有防抵賴性�。本實(shí)用新型得到的面向普適網(wǎng)絡(luò)的遠(yuǎn)程身份認(rèn)證系統(tǒng),采用具有用戶自主安全啟動(dòng)功能的智能卡�����,既免除了客戶端的部署和維護(hù)工作����,又由于智能卡分擔(dān)了部分用戶驗(yàn)證工作,可有效減少遠(yuǎn)程驗(yàn)證端的后端系統(tǒng)對(duì)用戶的確認(rèn)工作���,大大減輕了后端系統(tǒng)的壓力�,從而使設(shè)備建設(shè)���、維護(hù)和人工的成本大幅度地降低����,同時(shí)使只有擁有該智能卡的用戶才可以使用該智能卡,并對(duì)用戶憑證進(jìn)行加密處理�,實(shí)現(xiàn)了用戶選擇的唯一性,有效避免了智能卡遺失或被盜用后而使用戶信息泄密等不安全因素��,而且在用戶終端完成了用戶的身份確認(rèn)���;認(rèn)證系統(tǒng)在信息交互方式上以音頻信號(hào)作為信息載體��,實(shí)現(xiàn)了低成本�、遠(yuǎn)距離非接觸的接入方式�����,不但可以提高讀卡的安全性�����,又?jǐn)U展了接入的范圍����,另一方面,借助當(dāng)前成熟的語(yǔ)音通信網(wǎng)絡(luò)��,可隨時(shí)隨地建立通信連接�,大幅度地提升了普適性以及用戶使用的易用性和高效性;認(rèn)證系統(tǒng)通過(guò)設(shè)置一個(gè)驗(yàn)證代理�,可由代理人完成驗(yàn)證過(guò)程,能滿足用戶的特殊需求��;認(rèn)證方法采用了隨機(jī)數(shù)非對(duì)稱加密機(jī)制的通信模式��,使得信道安全得到保障��;認(rèn)證方法還在通信過(guò)程中弓IA 了具有唯一性的私鑰數(shù)字簽名�,使得本實(shí)用新型方法具有防抵賴性。
圖I為常規(guī)的遠(yuǎn)程身份認(rèn)證系統(tǒng)的拓?fù)浼軜?gòu)示意圖�����;圖2為本實(shí)施例I遠(yuǎn)程身份認(rèn)證系統(tǒng)的拓?fù)浼軜?gòu)示意圖�;圖3為本實(shí)施例I的用戶終端的功能模塊示意圖�;圖4為本實(shí)施例I的用戶終端的功能模塊的構(gòu)成示意圖;圖5為本實(shí)施例I的遠(yuǎn)程驗(yàn)證端前端系統(tǒng)的功能模塊的構(gòu)成示意圖����;圖6為本實(shí)施例I中2DPSK調(diào)制解調(diào)方式的原理圖;圖7為本實(shí)施例I的驗(yàn)證代理實(shí)施圖����;圖8為本實(shí)施例I的遠(yuǎn)程身份認(rèn)證方法的流程示意圖���。[0046]圖中客戶端I、智能卡11�、第一中心處理模塊111、用戶自主啟動(dòng)模塊112���、第一加密解密模塊113�����、第一調(diào)制解調(diào)模塊114�����、第一音頻處理模塊115�����、第一嵌入式微處理器1111����、第一存儲(chǔ)單元1112�、指紋采集器1121�、數(shù)字鍵盤1122�����、信息對(duì)比模塊1123�����、第一音頻收發(fā)設(shè)備1151、第一音頻處理電路1152���、遠(yuǎn)程驗(yàn)證端2���、前端系統(tǒng)21、后端系統(tǒng)22���、第二中心處理模塊211、第二加密解密模塊212���、第二調(diào)制解調(diào)模塊213��、第二音頻處理模塊214�、IO電路215���、第二嵌入式微處理器2111、第二存儲(chǔ)單元2112����、第二音頻收發(fā)設(shè)備2141�����、第二音頻處理電路2142�、電源電路4����、時(shí)鐘電路5、驗(yàn)證代碼6�����、通信網(wǎng)絡(luò)7�����、反相器81、選相開(kāi)關(guān)82���、差分變換電路83�、通信信道84��、帶通濾波器85��、相乘器86��、低通濾波器87���、抽樣判決器88、逆差分變換電路89�����。
具體實(shí)施方式
以下結(jié)合附圖和實(shí)施例對(duì)本實(shí)用新型進(jìn)一步說(shuō)明�����。實(shí)施例I :本實(shí)施例提出的一種面向普適網(wǎng)絡(luò)的遠(yuǎn)程身份認(rèn)證系統(tǒng)�����,如圖2所示�����,其包括位于客戶端I的用戶終端和位于遠(yuǎn)程驗(yàn)證端2的后端系統(tǒng)22及與后端系統(tǒng)22連接的前端系統(tǒng)21�����,用戶終端采用智能卡11��,該智能卡11是一個(gè)具有音頻信號(hào)播放�、接收和硬件處理功能的用戶卡,該智能卡11可由用戶自主啟動(dòng)���,即需要用戶自主輸入用戶憑證才可以使智能卡啟動(dòng)生效����,用戶憑證可以是安全性要求較高的指紋信息��,也可以是通用性較強(qiáng)且成本較低的用戶密碼����,這樣智能卡11就類似于當(dāng)前用戶驗(yàn)證終端,輸入有效的用戶憑證時(shí)才允許通信�����。該智能卡11具有配對(duì)的一個(gè)私鑰和一個(gè)公鑰,智能卡11事先已向遠(yuǎn)程驗(yàn)證端2的后端系統(tǒng)22發(fā)布自己的公鑰�,在實(shí)際處理過(guò)程中,在應(yīng)用本認(rèn)證系統(tǒng)登記用戶時(shí)�����,在本認(rèn)證系統(tǒng)中注冊(cè)用戶擁有的智能卡11���,注冊(cè)智能卡11的過(guò)程就是將智能卡11的公鑰發(fā)布給遠(yuǎn)程驗(yàn)證端2的后端系統(tǒng)22的過(guò)程。智能卡11主要由第一中心處理模塊111���、用戶自主啟動(dòng)模塊112���、第一加密解密模塊113、第一調(diào)制解調(diào)模塊114和第一音頻處理模塊115組成����,用戶自主啟動(dòng)模塊112、第一加密解密模塊113和第一調(diào)制解調(diào)模塊114均與第一中心處理模塊111相互通信���,第一音頻處理模塊115與第一調(diào)制解調(diào)模塊114相互通信���,前端系統(tǒng)主要由IO模塊215�、第二音頻處理模塊214�、第二調(diào)制解調(diào)模塊213、第二加密解密模塊212和第二中心處理模塊211組成�����,第二音頻處理模塊214與第二調(diào)制解調(diào)模塊213相互通信����,第二調(diào)制解調(diào)模塊213和第二加密解密模塊212均與第二中心處理模塊211相互通信,第二中心處理模塊211通過(guò)IO模塊215與后端系統(tǒng)22相互通信���。在此�����,第一中心處理模塊111用于控制用戶自主啟動(dòng)模塊112�、第一加密解密模塊113和第一調(diào)制解調(diào)114模塊����。用戶自主啟動(dòng)模塊112用于讀取用戶憑證和完成用戶憑證比對(duì),并將比對(duì)結(jié)果發(fā)送給第一中心處理模塊111����,第一中心處理模塊111根據(jù)用戶憑證比對(duì)結(jié)果決定是否啟動(dòng)智能卡11的驗(yàn)證功能���。在使用前將用戶憑證信息存入該智能卡11中并加密,由于一張智能卡11只能由一個(gè)用戶擁有���,所以只要存儲(chǔ)一個(gè)用戶的憑證信息即可�,在識(shí)別用戶時(shí)也只需比對(duì)一個(gè)用戶憑證信息��,這樣在用戶終端完成初步的身份識(shí)別�����,即實(shí)現(xiàn)了較高安全性又避免了建立用戶憑證庫(kù)和比對(duì)憑證庫(kù)的工作����,當(dāng)用戶需要進(jìn)行身份驗(yàn)證時(shí)����,啟動(dòng)智能卡11,該智能卡11提示用戶輸入用戶憑證����,同時(shí)用戶自主啟動(dòng)模塊112開(kāi)啟接收功能����,在接收用戶指紋或鍵入的密碼等用戶憑證后����,與存入智能卡11內(nèi)的用戶憑證進(jìn)行比對(duì),如果輸入的用戶憑證正確����,第一中心處理模塊111即啟動(dòng)智能卡11的驗(yàn)證功能。所述的用戶自主啟動(dòng)模塊112是用于讀取用戶憑證及完成用戶憑證比對(duì)�����,并將用戶憑證比對(duì)結(jié)果發(fā)送給第一中心處理模塊111的用戶自主啟動(dòng)模塊112 ;所述的第一加密解密模塊113是用于加密用戶自主啟動(dòng)模塊112傳輸給第一中心處理模塊111的信號(hào)或用于解密第一調(diào)制解調(diào)模塊114傳輸給第一中心處理模塊111的解調(diào)后的信號(hào)的第一加密解密模塊113 ;所述的第一調(diào)制解調(diào)模塊114是用于調(diào)制第一加密解密模塊113傳輸給第一中心處理模塊111的加密后的信號(hào)或第一加密解 密模塊113傳輸給第一中心處理模塊111的解密后的信號(hào)和解調(diào)第一音頻處理模塊115傳輸給它的信號(hào)的第一調(diào)制解調(diào)模塊114 �;所述的第一音頻處理模塊115是用于采集和播放聲音信號(hào),實(shí)現(xiàn)聲電信號(hào)轉(zhuǎn)換����,并完成與第一調(diào)制解調(diào)模塊114信號(hào)交互的第一音頻處理模塊;所述的第一中心處理模塊111用于總體協(xié)調(diào)用戶自主啟動(dòng)模塊112����、第一加密解密模塊113、第一調(diào)制解調(diào)模塊114運(yùn)行及數(shù)據(jù)通信;所述的第二調(diào)制解調(diào)模塊213是用于調(diào)制第二加密解密模塊212傳輸給第二中心處理模塊211的加密后的信號(hào)或解調(diào)第二音頻處理模塊214傳輸給其的信號(hào)的第二調(diào)制解調(diào)模塊����;所述的第二加密解密模塊212是用于解密第二調(diào)制解調(diào)模塊213傳輸給第二中心處理模塊211的解調(diào)后的信號(hào)、加密第一中心處理模塊111產(chǎn)生的隨機(jī)數(shù)的第二加密解密模塊212 ;所述的第二音頻處理模塊214是用于采集和播放聲音信號(hào)����,實(shí)現(xiàn)聲電信號(hào)轉(zhuǎn)換,并完成與第二調(diào)制解調(diào)模塊213信號(hào)交互的第二音頻處理模塊214 ;所述的第二中心處理模塊211用于總體協(xié)調(diào)第二加密解密模塊212和第二調(diào)制解調(diào)模塊213運(yùn)行及數(shù)據(jù)通信���。本認(rèn)證系統(tǒng)將音頻信號(hào)作為信息傳輸載體�,因此客戶端I與驗(yàn)證端在近距離的情況下���,可直接完成驗(yàn)證�;而對(duì)于遠(yuǎn)程驗(yàn)證的情況���,則在驗(yàn)證過(guò)程中客戶端I的智能卡11和遠(yuǎn)程驗(yàn)證端2的前端系統(tǒng)21將需要驗(yàn)證的驗(yàn)證請(qǐng)求信號(hào)和應(yīng)答的信號(hào)轉(zhuǎn)化為音頻信號(hào)�,持有該智能卡11的用戶只需要一個(gè)電話或手機(jī)就可以實(shí)現(xiàn)遠(yuǎn)程驗(yàn)證信息交互�����。信息驗(yàn)證過(guò)程完全由機(jī)器自動(dòng)實(shí)現(xiàn)�����,當(dāng)用戶需要驗(yàn)證時(shí)����,操作智能卡11向手機(jī)、電話等音頻收發(fā)設(shè)備發(fā)出包含驗(yàn)證請(qǐng)求信號(hào)進(jìn)行驗(yàn)證�,在遠(yuǎn)程驗(yàn)證端2同樣部署一個(gè)與用戶端音頻收發(fā)設(shè)備建立語(yǔ)音信號(hào)連接的音頻信號(hào)收發(fā)設(shè)備,接收驗(yàn)證請(qǐng)求信號(hào)��,并將驗(yàn)證后的應(yīng)答信息轉(zhuǎn)化為音頻信號(hào)進(jìn)行回發(fā)���。由于語(yǔ)音通信網(wǎng)絡(luò)和語(yǔ)音終端(音頻收發(fā)設(shè)備)的大范圍普及�����,使得本認(rèn)證系統(tǒng)在接入方式�、用戶易用性等方面具有較大的優(yōu)勢(shì)�。基于音頻信號(hào)的通信��,又為用戶提供了一種非接觸式的接入方式�,不但可以提高讀卡的安全性,又?jǐn)U展了接入的范圍��,解決了類似汽車咪表刷卡、停車場(chǎng)刷卡����、門禁刷卡、擁擠的公交上刷卡等很多不方便的問(wèn)題���。在此具體實(shí)施例中����,如圖3和圖4所示���,第一中心處理模塊111包括電源電路4�、時(shí)鐘電路5�、用于控制用戶自主啟動(dòng)模塊112、第一加密解密模塊113和第一調(diào)制解調(diào)模塊114的第一嵌入式微處理器1111和與第一嵌入式微處理器1111連接的第一存儲(chǔ)單元1112�����,用戶自主啟動(dòng)模塊112包括用于讀取用戶指紋的指紋采集器1121��、用于輸入用戶密碼的數(shù)字鍵盤1122和用于完成用戶憑證比對(duì)的信息比對(duì)模塊1123�,指紋采集器1121讀取用戶指紋并傳輸用戶指紋給信息比對(duì)模塊1123,信息比對(duì)模塊1123用于將當(dāng)前輸入的用戶指紋或用戶通過(guò)數(shù)字鍵盤輸入的密碼與事先存入卡中的用戶憑證進(jìn)行比對(duì)�,將比對(duì)結(jié)果通知第一中心處理模塊111,信息比對(duì)模塊1123與第一嵌入式微處理器1111相互通信����,第一音頻處理模塊115包括第一音頻收發(fā)設(shè)備1151和與第一音頻收發(fā)設(shè)備1151連接的第一音頻信號(hào)處理電路1152,第一音頻信號(hào)處理電路1152與第一調(diào)制解調(diào)模塊114相互通信����;圖5所示第二中心處理模塊211包括用于控制第二加密解密模塊212和第二調(diào)制解調(diào)模塊213的第二嵌入式微處理器2111和與第二嵌入式微處理器2111連接的第二存儲(chǔ)單元2112,第二音頻處理模塊214包括第二音頻收發(fā)設(shè)備2141和與第二音頻收發(fā)設(shè)備2141連接的第二音頻信號(hào)處理電路2142���,第二音頻信號(hào)處理電路2142與第二調(diào)制解調(diào)模塊213相互通信�����。在此�����,第一中心處理模塊111��,第一加密解密模塊113和第二中心處理模塊211���,第二加密解密模塊212可分別由兩套成熟的嵌入式系統(tǒng)實(shí)現(xiàn),目前市場(chǎng)上集各種外設(shè)適合給類應(yīng)用的嵌入式軟硬件整體解決平臺(tái)層出不窮����,這些平臺(tái)采用的大多數(shù)嵌入式微處理器對(duì)實(shí)時(shí)任務(wù)有很強(qiáng)的支持能力����,能完成多任務(wù)并且有較短的中斷響應(yīng)時(shí)間��,具有功能很強(qiáng)的存儲(chǔ)區(qū)保護(hù)功能和數(shù)字信號(hào)處理能力����。本實(shí)施例采用三星s3c2410嵌入式系統(tǒng)解決方案,第一嵌入式微處理器1111和第二嵌入式微處理器2111均可米用ARM9嵌入式微處理器,第一存儲(chǔ)單元1112和第二存儲(chǔ)單元2112可采用由SDRAM和FLASH兩個(gè)存儲(chǔ)器構(gòu)成的存儲(chǔ)單
J Li o本實(shí)施例中指紋采集器1121采用刮擦式指紋傳感器�,刮擦式指紋傳感器成像方法是當(dāng)手指在指紋傳感器上刮過(guò)時(shí),采集多幅圖像�,然后對(duì)采集的圖像進(jìn)行拼接,最終形成整個(gè)手指的指紋圖像���。目前該類傳感器�,體積較小能應(yīng)用在手機(jī)����、PDA設(shè)備上,能夠靈活適應(yīng)當(dāng)時(shí)的手指條件��,無(wú)論是干手指����、濕手指��、淺紋理指紋、老年手指等等都有很高的識(shí)別率���,能夠達(dá)到300dpi以上分辨率����,能采集到手指較大區(qū)域的指紋圖像�����,抗靜電能力強(qiáng)�����,寬溫區(qū)����,在特別寒冷或特別酷熱的環(huán)境下也能正常運(yùn)行。在指紋識(shí)別中主要分指紋特征提取和指紋特征比對(duì)兩個(gè)部分����,目前已經(jīng)出現(xiàn)許多的指紋特征提取和比對(duì)算法���,而算法最終都?xì)w結(jié)為在指紋圖像上找到并比對(duì)指紋的特征,通過(guò)計(jì)算機(jī)模糊比較的方法�,把兩個(gè)指紋的模板進(jìn)行比較,計(jì)算出它們的相似程度����,最終得到兩個(gè)指紋的匹配結(jié)果。第一音頻收發(fā)設(shè)備1151和第二音頻收發(fā)設(shè)備2141米用現(xiàn)有的微型喇口入和麥克風(fēng)����,例如手機(jī)用喇機(jī)和麥克風(fēng);第一音頻信號(hào)處理電路1152和第二音頻信號(hào)處理電路2142均采用現(xiàn)有的信號(hào)處理技術(shù)���,用于對(duì)音頻信號(hào)進(jìn)行放大�、濾波和整形處理���。在此具體實(shí)施例中���,由于本實(shí)施例主要面向普通用戶在各類環(huán)境中的信息驗(yàn)證,且由音頻信號(hào)作為載體直接來(lái)體現(xiàn)驗(yàn)證的數(shù)字信息����,并通過(guò)聲波傳輸�,然而環(huán)境聲音��、驗(yàn)證時(shí)設(shè)備之間的距離對(duì)通信質(zhì)量影響較大�����,因此常規(guī)的PSK(移相鍵控)��、ASK(幅度鍵控)調(diào)制解調(diào)模式不適合作為本認(rèn)證系統(tǒng)的調(diào)制解調(diào)模式�,故本認(rèn)證系統(tǒng)的第一調(diào)制解調(diào)模塊114和第二調(diào)制解調(diào)模塊213均采用在功耗�、誤碼率和抗噪聲干擾方面均較為優(yōu)越的2DPSK( 二進(jìn)制差分相移鍵控)調(diào)制解調(diào)方式,這種調(diào)制解調(diào)方式利用前后相鄰碼元的相對(duì)載波相位值來(lái)表示驗(yàn)證過(guò)程中的數(shù)字信息�����。2DPSK調(diào)制解調(diào)模式的調(diào)制原理如圖6所示�,載波信號(hào)從“載波信號(hào)”端輸入,一路直接送入選相開(kāi)關(guān)82���,另一路經(jīng)反相器81反相后送入選相開(kāi)關(guān)82��,基帶信號(hào)經(jīng)差分變換電路83后����,作為模擬選相開(kāi)關(guān)82的控制信號(hào)輪流選通不同相位的載波,完成2DPSK調(diào)制����,并從“調(diào)制信號(hào)”端點(diǎn)輸出,進(jìn)入通信信道84�,調(diào)制信號(hào)經(jīng)過(guò)通信信道84后夾雜了信道中噪聲,來(lái)到解調(diào)端�����,首先解調(diào)端先用帶通濾波器85濾去信道噪聲�����,然后將調(diào)制信號(hào)進(jìn)入相乘器86與本地載波信號(hào)相乘后���,去掉了調(diào)制信號(hào)中的載波成分����,再經(jīng)過(guò)低通濾波器87去除高頻成分�,得到包含基帶信號(hào)的初始信號(hào),然后對(duì)此信號(hào)進(jìn)入抽樣判決器88進(jìn)行抽樣判決(抽樣判決器88的判決電平可調(diào)節(jié)�����,其時(shí)鐘為基帶信號(hào)的位同步信號(hào)),最后經(jīng)過(guò)逆差分變換電路89�����,就可以恢復(fù)基帶信號(hào)����。[0058]在此具體實(shí)施例中,如圖7所示���,遠(yuǎn)程身份認(rèn)證系統(tǒng)還可以在客戶端I與遠(yuǎn)程驗(yàn)證端2之間設(shè)置驗(yàn)證代理6,第一音頻處理模塊115通過(guò)通信網(wǎng)絡(luò)7與驗(yàn)證代理6進(jìn)行音頻信號(hào)交互�����,驗(yàn)證代理6再通過(guò)通信網(wǎng)絡(luò)7與遠(yuǎn)程驗(yàn)證端2的第二音頻處理模214塊進(jìn)行音頻信號(hào)交互���,從而實(shí)現(xiàn)客戶端I與遠(yuǎn)程驗(yàn)證端2的間接交互�。在此�����,驗(yàn)證代理6可以采用手機(jī)或電話,也可以采用具有語(yǔ)音通信功能的終端設(shè)備���。如圖8所示�,本實(shí)施例描述的是面向普適網(wǎng)絡(luò)的遠(yuǎn)程身份認(rèn)證方法�����,其步驟如下第一步,在客戶端1���,智能卡11的第一中心處理模塊111控制智能卡11的用戶自主啟動(dòng)模塊112讀取用戶憑證并完成用戶憑證比對(duì)�,然后用戶自主啟動(dòng)模塊112發(fā)送比對(duì)結(jié)果給第一中心處理模塊111�����,第一中心處理模塊111根據(jù)用戶憑證比對(duì)結(jié)果決定是否啟動(dòng)智能卡11的驗(yàn)證功能����。應(yīng)用本認(rèn)證方法的系統(tǒng)在使用前將用戶憑證信息存入智能卡11中并加密,由于一張智能卡11只能由一個(gè)用戶擁有�����,所以只要存儲(chǔ)一個(gè)用戶的指紋信息即可��,在識(shí)別用戶 時(shí)也只需比對(duì)一個(gè)用戶憑證信息,這樣在用戶終端完成初步的身份識(shí)別�����,既實(shí)現(xiàn)了較高的安全性又避免了建立用戶憑證庫(kù)和比對(duì)憑證庫(kù)的工作����。當(dāng)用戶需要進(jìn)行身份驗(yàn)證時(shí),啟動(dòng)智能卡11�����,該智能卡11提示用戶輸入用戶憑證���,同時(shí)用戶自主啟動(dòng)模塊112開(kāi)啟接收功能�,在接收用戶指紋或鍵入的密碼后��,與存入智能卡11內(nèi)的用戶憑證進(jìn)行比對(duì)�,如果輸入的用戶憑證正確��,即啟動(dòng)智能卡11的驗(yàn)證功能�。第二步,第一中心處理模塊111控制智能卡11的第一加密解密模塊113利用智能卡11的私鑰對(duì)驗(yàn)證請(qǐng)求信號(hào)進(jìn)行加密處理�����,然后第一加密解密模塊113傳輸加密后得到的含數(shù)字簽名的驗(yàn)證請(qǐng)求信號(hào)給第一中心處理模塊111。第三步��,第一中心處理模塊111控制智能卡11的第一調(diào)制解調(diào)模塊114對(duì)含數(shù)字簽名的驗(yàn)證請(qǐng)求信號(hào)進(jìn)行調(diào)制處理����,轉(zhuǎn)換為音頻信號(hào),然后第一調(diào)制解調(diào)模塊114傳輸音頻信號(hào)給智能卡11的第一音頻處理模塊115�。第四步,第一音頻處理模塊115對(duì)音頻信號(hào)進(jìn)行放大處理��,并將處理后的音頻信號(hào)通過(guò)通信網(wǎng)絡(luò)7發(fā)送給遠(yuǎn)程驗(yàn)證端6��。第五步����,在遠(yuǎn)程驗(yàn)證端2,前端系統(tǒng)21的第二音頻處理模214塊接收智能卡11的第一音頻處理模塊115發(fā)送的音頻信號(hào)��。第六步���,第二音頻處理模塊214對(duì)接收到的音頻信號(hào)進(jìn)行處理�,并將處理后的音頻信號(hào)傳輸給前端系統(tǒng)21的第二調(diào)制解調(diào)模塊213�����,然后前端系統(tǒng)21的第二中心處理模塊211控制第二調(diào)制解調(diào)模塊213對(duì)音頻信號(hào)進(jìn)行解調(diào)處理,并將解調(diào)后的音頻信號(hào)還原為已加密的含數(shù)字簽名的驗(yàn)證請(qǐng)求信號(hào)��,第二調(diào)制解調(diào)模塊213傳輸已加密的含數(shù)字簽名的驗(yàn)證請(qǐng)求信號(hào)給第二中心處理模塊211���。第七步�,第二中心處理模塊211控制前端系統(tǒng)21的第二加密解密模塊212利用通過(guò)IO模塊215從后端系統(tǒng)22中獲取的智能卡11的公鑰對(duì)加密后的含數(shù)字簽名的驗(yàn)證請(qǐng)求信號(hào)進(jìn)行解密處理�,然后第二加密解密模塊212傳輸數(shù)字簽名和解密后得到的請(qǐng)求信號(hào)給第二中心處理模塊211。第八步�,第二中心處理模塊211保存數(shù)字簽名,同時(shí)第二中心處理模塊211產(chǎn)生一組隨機(jī)數(shù)�,并保存該隨機(jī)數(shù)作為原隨機(jī)數(shù),然后第二中心處理模塊211控制第二加密解密模塊212利用智能卡11的公鑰對(duì)原隨機(jī)數(shù)進(jìn)行加密處理�,第二加密解密模塊212傳輸加密后得到的加密數(shù)據(jù)給第二中心處理模塊211。第九步����,第二中心處理模塊211控制第二調(diào)制解調(diào)模塊213對(duì)加密數(shù)據(jù)進(jìn)行調(diào)制處理,并將調(diào)制后的加密數(shù)據(jù)轉(zhuǎn)換為音頻信號(hào)���,然后第二調(diào)制解調(diào)模塊213傳輸音頻信號(hào)給第二音頻處理模塊214。第十步����,第二音頻處理模塊214對(duì)音頻信號(hào)進(jìn)行處理�����,并將處理后的音頻信號(hào)通過(guò)通信網(wǎng)絡(luò)發(fā)送給客戶端I�。第H^一步����,在客戶端I的第一音頻處理模塊115接收第二音頻處理模塊214發(fā)送的音頻信號(hào)。第十二步�����,第一音頻處理模塊115對(duì)接收到的音頻信 號(hào)進(jìn)行處理��,并將處理后的音頻信號(hào)傳輸給第一調(diào)制解調(diào)模塊114�,然后第一中心處理模塊111控制第一調(diào)制解調(diào)模塊114對(duì)音頻信號(hào)進(jìn)行解調(diào)處理,還原為加密數(shù)據(jù)���,第一調(diào)制解調(diào)模塊114傳輸加密數(shù)據(jù)給第一中心處理模塊111�����。第十三步���,第一中心處理模塊111控制第一加密解密模塊113利用智能卡11的私鑰對(duì)加密數(shù)據(jù)進(jìn)行解密處理��,然后第一加密解密模塊113傳輸解密后得到的隨機(jī)數(shù)給第一中心處理模塊111�����。第十四步��,第一中心處理模塊111控制第一調(diào)制解調(diào)模114塊對(duì)隨機(jī)數(shù)進(jìn)行調(diào)制處理��,并將調(diào)制后的音頻信號(hào)���,傳輸給第一音頻處理模塊115。第十五步����,第一音頻處理模塊115對(duì)音頻信號(hào)進(jìn)行處理,并將處理后的音頻信號(hào)通過(guò)通信網(wǎng)絡(luò)7發(fā)送給遠(yuǎn)程驗(yàn)證端2����。第十六步,在遠(yuǎn)程驗(yàn)證端2的第二音頻處理模塊214接收第一音頻處理模塊115發(fā)送的音頻信號(hào)。第十七步����,第二音頻處理模塊214對(duì)接收到的音頻信號(hào)進(jìn)行處理,并將處理后的音頻信號(hào)傳輸給第二調(diào)制解調(diào)模塊213�����,然后第二中心處理模塊211控制第二調(diào)制解調(diào)模塊213對(duì)音頻信號(hào)進(jìn)行解調(diào)處理��,獲得隨機(jī)數(shù)����,第二調(diào)制解調(diào)模塊213傳輸隨機(jī)數(shù)給第二中心處理模塊211 ;第十八步,第二中心處理模塊211比較原隨機(jī)數(shù)與新隨機(jī)數(shù)�,得到驗(yàn)證結(jié)果,即如果原隨機(jī)數(shù)與新隨機(jī)數(shù)相同��,則通過(guò)驗(yàn)證���,反之����,則不通過(guò)驗(yàn)證�。為解決音頻信號(hào)通信中的安全性問(wèn)題,本認(rèn)證方法對(duì)交互信號(hào)進(jìn)行非對(duì)稱加密����,非對(duì)稱加密方法是目前公認(rèn)的保障網(wǎng)絡(luò)社會(huì)安全的最佳體系����。通信中被加密的數(shù)據(jù)是隨機(jī)生成的���,并沒(méi)有實(shí)際意義���,非對(duì)稱加密方法中私鑰和公鑰的特殊關(guān)系,使得本認(rèn)證方法中的加密機(jī)制非常適合用于身份驗(yàn)證�����,也就是說(shuō)通信雙方只要通過(guò)確定收到的數(shù)據(jù)是由對(duì)方加密的就可以確定對(duì)方身份�����,而不需要知道實(shí)際被加密的數(shù)據(jù)是什么���。這樣��,即便被監(jiān)聽(tīng)�����、錄音均不會(huì)泄露用戶信息��,有效保證了安全性����,同時(shí)本認(rèn)證方法引入具有唯一性的私鑰數(shù)字簽名�����,使得本認(rèn)證方法具有防抵賴性��,而且這種加密機(jī)制使得安全的驗(yàn)證代理成為可能���,如果用戶想找一個(gè)代理人完成驗(yàn)證工作�,但又不想泄露自己的信息�����,則只要撥通代理人的電話�����,通過(guò)智能卡11與代理人所在的驗(yàn)證代理6端通信即可�����。
權(quán)利要求1.一種面向普適網(wǎng)絡(luò)的遠(yuǎn)程身份認(rèn)證系統(tǒng),包括位于客戶端(I)的用戶終端和位于遠(yuǎn)程驗(yàn)證端(2)的后端系統(tǒng)(22)及與后端系統(tǒng)(22)連接的前端系統(tǒng)(21)����,所述的用戶終端包含有智能卡(11),其特征是所述的智能卡(11)內(nèi)含有預(yù)先儲(chǔ)存的用戶憑證信息��,智能卡(II)具有配對(duì)的ー個(gè)私鑰和一個(gè)事先已向后端系統(tǒng)(22)發(fā)布的公鑰���,智能卡(11)主要由第一中心處理模塊(111)����、用戶自主啟動(dòng)模塊(112)�����、第一加密解密模塊(113)��、第一調(diào)制解調(diào)模塊(114)和第一音頻處理模塊(115)組成�����;所述的用戶自主啟動(dòng)模塊(112)�、第一加密解密模塊(113)和第一調(diào)制解調(diào)模塊(114)均與第一中心處理模塊(111)相互通信連接����,第一音頻處理模塊(115)與第一調(diào)制解調(diào)模塊(114)相互通信連接�;所述的前端系統(tǒng)(21)主要由第二音頻處理模塊(214)、第二中心處理模塊(211)����、第二調(diào)制解調(diào)模塊(213)和第ニ加密解密模塊(212)組成;所述的第二音頻處理模塊(214)與所述的第二調(diào)制解調(diào)模塊(212)相互通信連接�����,第二調(diào)制解調(diào)模塊(213)和所述的第二加密解密模塊(212)均與所述的第二中心處理模塊(211)相互通信連接���; 所述的第一中心處理模塊(111)包括電源電路(4)、時(shí)鐘電路(5)���、第一嵌入式微處理器(1111)和與第一嵌入式微處理器(1111)連接的第一存儲(chǔ)單元(1112)�����,用戶自主啟動(dòng)模塊(112)包括用于讀取用戶指紋的指紋采集器(1121)���、用于輸入用戶密碼的數(shù)字鍵盤(1122)和用于完成用戶憑證比對(duì)的信息比對(duì)模塊(1123),信息比對(duì)模塊(1123)與第一嵌入式微處理器(1111)相互通信連接��,第一調(diào)制解調(diào)模塊(114)為2DPSK調(diào)制解調(diào)模式�����,第一音頻處理模塊(I 15)包括第一音頻收發(fā)設(shè)備(I 151)和與第一音頻收發(fā)設(shè)備(I 151)連接的第一音頻信號(hào)處理電路(1152)�,第一音頻信號(hào)處理電路(1152)與第一調(diào)制解調(diào)模塊(114)相互通信��;第二中心處理模塊(211)包括電源電路(4)���、時(shí)鐘電路(5)以及用于控制第二加密解密模塊(212)和第二調(diào)制解調(diào)模塊(213)的第二嵌入式微處理器(2111)和與第二嵌入式微處理器(2111)連接的第二存儲(chǔ)單元(2112)�����,第二調(diào)制解調(diào)模塊(213)為2DPSK調(diào)制解調(diào)模式�����,第二音頻處理模塊(214)包括第二音頻收發(fā)設(shè)備(2141)和與第二音頻收發(fā)設(shè)備(2141)連接的第二音頻信號(hào)處理電路(2142)�����,第二音頻信號(hào)處理電路(2142)與第二調(diào)制解調(diào)模塊(213)相互通信連接���。
2.根據(jù)權(quán)利要求I所述的面向普適網(wǎng)絡(luò)的遠(yuǎn)程身份認(rèn)證系統(tǒng)����,其特征是所述的用戶自主啟動(dòng)模塊(112)是用于讀取用戶憑證及完成用戶憑證比對(duì)����,并將用戶憑證比對(duì)結(jié)果發(fā)送給第一中心處理模塊(111)的用戶自主啟動(dòng)模塊(112 );所述的第一加密解密模塊(113 )是用于加密用戶自主啟動(dòng)模塊(112)傳輸給第一中心處理模塊(111)的信號(hào)或用于解密第一調(diào)制解調(diào)模塊(114)傳輸給第一中心處理模塊(111)的解調(diào)后的信號(hào)的第一加密解密模塊(113);所述的第一調(diào)制解調(diào)模塊(114)是用于調(diào)制第一加密解密模塊(113)傳輸給第一中心處理模塊(111)的加密后的信號(hào)或第一加密解密模塊(113)傳輸給第一中心處理模塊(III)的解密后的信號(hào)和解調(diào)第一音頻處理模塊(115)傳輸給它的信號(hào)的第一調(diào)制解調(diào)模塊(114);所述的第一音頻處理模塊(115)是用于采集和播放聲音信號(hào),實(shí)現(xiàn)聲電信號(hào)轉(zhuǎn)換���,并完成與第一調(diào)制解調(diào)模塊(114)信號(hào)交互的第一音頻處理模塊�����;所述的第一中心處理模塊(111)用于總體協(xié)調(diào)用戶自主啟動(dòng)模塊(112)����、第一加密解密模塊(113)�����、第一調(diào)制解調(diào)模塊(114)運(yùn)行及數(shù)據(jù)通信�;所述的第二調(diào)制解調(diào)模塊(213)是用于調(diào)制第二加密解密模塊(212 )傳輸給第ニ中心處理模塊(211)的加密后的信號(hào)或解調(diào)第二音頻處理模塊(214)傳輸給其的信號(hào)的第二調(diào)制解調(diào)模塊��;所述的第二加密解密模塊(212)是用于解密第二調(diào)制解調(diào)模塊(213)傳輸給第二中心處理模塊(211)的解調(diào)后的信號(hào)�、加密第一中心處理模塊(111)產(chǎn)生的隨機(jī)數(shù)的第二加密解密模塊(212);所述的第二音頻處理模塊(214)是用于采集和播放聲音信號(hào)���,實(shí)現(xiàn)聲電信號(hào)轉(zhuǎn)換,并完成與第二調(diào)制解調(diào)模塊(213)信號(hào)交互的第ニ音頻處理模塊(214);所述的第二中心處理模塊(211)用于總體協(xié)調(diào)第二加密解密模塊(212)和第二調(diào)制解調(diào)模塊(213)運(yùn)行及數(shù)據(jù)通信���。
3.根據(jù)權(quán)利 要求I或2所述的面向普適網(wǎng)絡(luò)的遠(yuǎn)程身份認(rèn)證系統(tǒng)�����,其特征是所述客戶端(I)與遠(yuǎn)程驗(yàn)證端(2)之間設(shè)有驗(yàn)證代理(6)����,第一音頻處理模塊(115)通過(guò)通信網(wǎng)絡(luò)(7)與驗(yàn)證代理(6)相互通信連接���,驗(yàn)證代理(6)通過(guò)通信網(wǎng)絡(luò)(7)與遠(yuǎn)程驗(yàn)證端(2)的第二音頻處理模塊(214)相互通信連接���。
4.根據(jù)權(quán)利要求3所述的面向普適網(wǎng)絡(luò)的遠(yuǎn)程身份認(rèn)證系統(tǒng),其特征是所述的在客戶端(I)與遠(yuǎn)程驗(yàn)證端(2)之間設(shè)有驗(yàn)證代理(6)�����,其驗(yàn)證代理(6)的代理人所在的驗(yàn)證代理(6)終端為手機(jī)��、或電話����、或具有語(yǔ)音通信功能的終端設(shè)備�。
5.根據(jù)權(quán)利要求4所述的面向普適網(wǎng)絡(luò)的遠(yuǎn)程身份認(rèn)證系統(tǒng)�,其特征是所述的在客戶端(I)與遠(yuǎn)程驗(yàn)證端(2 )之間設(shè)有驗(yàn)證代理(6 ),其驗(yàn)證代理(6 )的代理人所在的驗(yàn)證代理(6)終端為手機(jī)�、或電話、或具有語(yǔ)音通信功能的終端設(shè)備���。
專利摘要本實(shí)用新型公開(kāi)了一種面向普適網(wǎng)絡(luò)的遠(yuǎn)程身份認(rèn)證系統(tǒng)����,包括用戶終端和后端系統(tǒng)及與后端系統(tǒng)連接的前端系統(tǒng)����,用戶終端采用智能卡,智能卡中預(yù)先存儲(chǔ)有用戶憑證信息���,智能卡配對(duì)有一個(gè)私鑰和一個(gè)公鑰,智能卡事先已向后端系統(tǒng)發(fā)布公鑰�,智能卡主要由第一中心處理模塊、用戶自主啟動(dòng)模塊�、第一加密解密模塊、第一調(diào)制解調(diào)模塊和第一音頻處理模塊組成�,用戶自主啟動(dòng)模塊�、第一加密解密模塊和第一調(diào)制解調(diào)模塊均與第一中心處理模塊相互通信�,第一音頻處理模塊與第一調(diào)制解調(diào)模塊相互通信;前端系統(tǒng)主要由第二音頻處理模塊�、第二調(diào)制解調(diào)模塊、第二加密解密模塊和第二中心處理模塊組成���。本實(shí)用新型成本低��、操作簡(jiǎn)單�、安全性能高����、普適性強(qiáng)且防抵賴性好。
文檔編號(hào)H04L29/06GK202444500SQ201120479850
公開(kāi)日2012年9月19日 申請(qǐng)日期2011年11月28日 優(yōu)先權(quán)日2011年11月28日
發(fā)明者傅松寅, 張懿, 黃荻 申請(qǐng)人:寧波桔槐電子科技有限公司