面向普適網絡的遠程身份認證系統的製作方法

2023-04-29 03:06:06 1

專利名稱：面向普適網絡的遠程身份認證系統的製作方法
技術領域：
本實用新型涉及一種身份認證技術，特別是面向普適網絡的遠程身份認證系統。
背景技術：
龐大、可靠的通信網絡是建設智慧城市建設的基礎，在網際網路、物聯網、無線寬帶 網等現代通信網絡的發展和三網合一趨勢的推動下，當前新一代信息技術突飛猛進，隨之而來的是對信息安全的空前挑戰。身份認證技術是信息安全的核心技術之一，其是一種能夠對信息的收發方進行真實身份鑑別的技術，是保護信息安全的第一道大門，其任務是識另IJ、驗證網絡信息系統中用戶身份的合法性、真實性和抗抵賴性。身份認證技術的發展，經歷了從軟體認證到硬體認證，從單因子認證到雙(多)因子認證，從靜態認證到動態認證的過程。隨著網際網路技術的高速發展，身份認證已不再局限於面對面或者近距離，身份認證的過程往往藉助通信網絡，因此當前的身份認證技術正不斷地向著遠程化的方向過渡。目前，常用的遠程身份認證系統的拓撲架構如圖I所示，其一般都是用戶通過和接入通信網絡的PC或者服務商提供的終端進行交互來完成身份認證的，該遠程身份認證系統的認證方法為用戶向用戶終端提出驗證請求，用戶終端先完成對用戶初始驗證和秘密信息提取，然後通過通信網絡，向遠程驗證端發送密文，遠程驗證端收到消息後進行驗證並將驗證結果通過通信網絡發回給用戶終端，用戶終端根據驗證結果向用戶作出響應。如果要使上述認證方法具有高安全性，則要求有準確的用戶憑證提取和可靠的通信網絡支持。目前，計算機及網絡信息系統中常用的遠程身份認證方法主要有以下幾類I、基於秘密知識的身份認證技術，其將秘密知識作為認證用戶的唯一依據，秘密知識包括用戶ID、口令、密鑰等。基於「戶名/ 口令」的身份認證系統/方法是其中最簡單、最易實現的一種，也是目前應用最廣泛的認證技術，其優勢在於實現的簡單性，無須任何附加設備，成本低、速度快。然而這種認證技術存在很多安全問題，例如它是一種單因素的認證方式，安全性依賴於口令，口令一旦被洩露，用戶即可被冒充；大量、複雜的口令難以記憶；口令在傳輸過程中或系統漏洞遭攻擊時可能被截獲；無法抵抗重放攻擊；只能進行單向認證，即系統可認證用戶，而用戶無法對系統進行認證，等等。為了有效地改進基於「戶名/ 口令」的身份認證技術的安全性，以S/KEY為首的各種動態口令技術被廣泛使用。1991年貝爾通信研究中心(Bellcore)成功研製了 S/KEY身份認證系統，並在1995年被Internet工程任務組IETF所接受，成為RFC1760標準,該S/KEY身份認證系統利用單向散列函數生成一系列前後相關的口令，利用這些口令進行身份驗證。此後，安全專家提出了基於請求/應答方式、基於時間同步方式、基於事件同步方式的動態口令密碼體制。2、基於智慧卡的身份認證技術,其採用集成的帶有智能的電路卡(即智慧卡)，內置可編程的微處理器，可存儲數據，並提供硬體保護措施和加密算法。在智慧卡中存儲用戶個性化的秘密信息，進行認證時讀卡器通過用戶輸入個人身份識別碼，讀出智慧卡中的秘密信息，進而與主機之間進行認證。基於USB Key的身份認證系統/方法是當前比較流行的基於智慧卡的身份認證技術，它結合了現代密碼學技術、智慧卡技術和USB技術，廣泛應用於電子銀行、遠程支付等業務。該身份認證技術採用身份識別碼和USB Key進行雙因子認證，增強了保密係數；帶有安全數據存儲空間和硬體處理器，使得複雜的密鑰和加密算法應用成為可能，而且在用戶私有的智慧卡中完成所有的計算和存儲使得驗證過程在用戶之外不留痕跡；USB Key小巧且採用通用的接口，非常便於隨身攜帶和使用。但是該身份認證技術也有其嚴重的缺陷系統只認卡不認人，一旦智慧卡丟失，用戶就會被系統拒絕，而且智 能卡容易被複製或者被讀取內部的秘密信息；另外對於智慧卡認證，需要在每個認證端添加讀卡器，增加了硬體成本。3、基於生物特徵的身份認證技術，其以人體具有的惟一的、可靠的、終生穩定的生物特徵為依據，其利用計算機圖像處理和模式識別技術來實現身份認證。基於生物特徵的身份認證技術目前主要利用指紋、聲紋、虹膜、視網膜、臉形、掌紋這幾個方面的生物特徵進行識別。與傳統的身份認證技術相比，其不存在遺忘或丟失的問題，具有生物特徵的唯一性，防偽性能好，不易偽造或被盜，且對用戶的要求低。目前，指紋識別技術是較為典型的應用。儘管生物特徵的身份驗證機制提供了很高的安全性，但目前很多技術還沒有完全成熟，且基於生物特徵的信息採集、認證裝備的成本較高，只適用於小範圍的安全級別比較高的特定場所。為保證安全性，目前的遠程通信網絡一般都是結合上述多種身份認證技術來完成整一個身份驗證過程，但由於生物特徵的採集比對設備的成本很高，因此目前常規的遠程身份認證系統在用戶端往往採用用戶口令、智慧卡設備作為用戶憑證。根據上述分析，用戶面臨著秘密信息被盜用，以及用戶憑證被複製的風險，要完成驗證，用戶都必須先和用戶終端交互，因此要建立足夠多的用戶終端並長期進行維護以保證向用戶提供可靠的服務。然而，類似基於生物特徵的身份認證技術等對用戶終端具有非常高的要求，不同的身份認證系統人機互動機制不盡相同，因此在被用戶接受前需要有一個培訓及推廣的過程，一般來講安全性越高，對功能的限制越多，對使用環境越高，操作過程越複雜，對用戶素質的要求越苛刻，造成普通用戶難以掌握，從而很難做到大範圍的推廣；而且，用戶只和用戶終端進行交互，身份認證的過程往往藉助通信網絡，這中間極易產生不安全的因素。

實用新型內容本實用新型的目的是為了解決上述現有技術的不足而提供一種成本低、操作簡單、安全性能高、普適性強且防抵賴性好的面向普適網絡的遠程身份認證系統。為了實現上述目的，本實用新型所設計的面向普適網絡的遠程身份認證系統，包括位於客戶端的用戶終端和位於遠程驗證端的後端系統及與後端系統連接的前端系統，所述的用戶終端包含有智慧卡，其特徵是所述的智慧卡內含有預先儲存的用戶憑證信息，智慧卡具有配對的一個私鑰和一個事先已向後端系統發布的公鑰，智慧卡主要由第一中心處理模塊、用戶自主啟動模塊、第一加密解密模塊、第一調製解調模塊和第一音頻處理模塊組成；所述的用戶自主啟動模塊、第一加密解密模塊和第一調製解調模塊均與第一中心處理模塊相互通信連接，第一音頻處理模塊與第一調製解調模塊相互通信連接；所述的前端系統主要由第二音頻處理模塊、第二中心處理模塊、第二調製解調模塊和第二加密解密模塊組成；所述的第二音頻處理模塊與所述的第二調製解調模塊相互通信連接，第二調製解調模塊和所述的第二加密解密模塊均與所述的第二中心處理模塊相互通信連接。在此，所述的用戶自主啟動模塊是用於讀取用戶憑證及完成用戶憑證比對，並將用戶憑證比對結果發送給第一中心處理模塊的用戶自主啟動模塊；所述的第一加密解密模塊是用於加密用戶自主啟動模塊傳輸給第一中心處理模塊的信號或用於解密第一調製解調模塊傳輸給第一中心處理模塊的解調後的信號的第一加密解密模塊；所述的第一調製解 調模塊是用於調製第一加密解密模塊傳輸給第一中心處理模塊的加密後的信號或第一加密解密模塊傳輸給第一中心處理模塊的解密後的信號和解調第一音頻處理模塊傳輸給它的信號的第一調製解調模塊；所述的第一音頻處理模塊是用於採集和播放聲音信號，實現聲電信號轉換，並完成與第一調製解調模塊信號交互的第一音頻處理模塊；所述的第一中心處理模塊用於總體協調用戶自主啟動模塊、第一加密解密模塊、第一調製解調模塊運行及數據通信；所述的第二調製解調模塊是用於調製第二加密解密模塊傳輸給第二中心處理模塊的加密後的信號或解調第二音頻處理模塊傳輸給其的信號的第二調製解調模塊；所述的第二加密解密模塊是用於解密第二調製解調模塊傳輸給第二中心處理模塊的解調後的信號、加密第一中心處理模塊產生的隨機數的第二加密解密模塊；所述的第二音頻處理模塊是用於採集和播放聲音信號，實現聲電信號轉換，並完成與第二調製解調模塊信號交互的第二音頻處理模塊；所述的第二中心處理模塊用於總體協調第二加密解密模塊和第二調製解調模塊運行及數據通信。本實用新型系統採用具有用戶自主安全啟動功能的智慧卡，該卡中中心處理模塊根據用戶憑證比對結果決定是否啟動智慧卡的驗證功能，不僅大幅度地降低了設備建設、維護和人工的成本，而且有效避免了智慧卡遺失或被盜用後而使用戶信息洩密等不安全因素；同時本實用新型系統在信息交互方式上以音頻信號作為信息載體，提高讀卡的安全性，又擴展了接入的範圍；另一方面，藉助當前成熟的語音通信網絡，大幅度地提升了普適性以及用戶使用的易用性和高效性。作為優先，所述的第一中心處理模塊包括電源電路、時鐘電路、第一嵌入式微處理器和與第一嵌入式微處理器連接的第一存儲單元，其中第一嵌入式微處理器是用於控制用戶自主啟動模塊、第一加密解密模塊和第一調製解調模塊；用戶自主啟動模塊包括用於讀取用戶指紋的指紋採集器、用於輸入用戶密碼的數字鍵盤和用於完成用戶憑證比對的信息比對模塊，信息比對模塊與第一嵌入式微處理器相互通信連接，第一調製解調模塊為2DPSK調製解調模式，第一音頻處理模塊包括第一音頻收發設備和與第一音頻收發設備連接的第一音頻信號處理電路，第一音頻信號處理電路與第一調製解調模塊相互通信連接；所述的第二中心處理模塊包括電源電路、時鐘電路以及用於控制第二加密解密模塊和第二調製解調模塊的第二嵌入式微處理器和與第二嵌入式微處理器連接的第二存儲單元，第二調製解調模塊為2DPSK調製解調模式，第二音頻處理模塊包括第二音頻收發設備和與第二音頻收發設備連接的第二音頻信號處理電路，第二音頻信號處理電路與第二調製解調模塊相互通信連接，該優選方法使得本實用新型的使用效果更佳。為了使整個驗證過程可由代理人完成，能滿足用戶的特殊需求，所述的面向普適網絡的遠程身份認證系統還包括位於客戶端與遠程驗證端之間的驗證代理，第一音頻處理模塊通過通信網絡與驗證代理相互通信連接，驗證代理通過通信網絡與遠程驗證端的第二音頻處理模塊相互通信連接；所述的在客戶端與遠程驗證端之間設有驗證代理，其驗證代理的代理人所在的驗證代理終端為手機、或電話、或具有語音通信功能的終端設備。本實用新型的面向普適網絡的遠程身份認證系統中，其認證方法包括以下步驟第一步，在客戶端，智慧卡的第一中心處理模塊控制智慧卡的用戶自主啟動模塊讀取用戶憑證並完成用戶憑證比對，然後用戶自主啟動模塊發送比對結果給第一中心處理模塊，第一中心處理模塊根據用戶憑證比對結果決定是否啟動智慧卡的驗證功能；第二步，第一中心處理模塊控制智慧卡的第一加密解密模塊利用智慧卡的私鑰對驗證請求信號進行加密處理，然後第一加密解密模塊傳輸加 密後得到的含數字籤名的驗證請求信號給第一中心處理模塊；第三步，第一中心處理模塊控制智慧卡的第一調製解調模塊對含數字籤名的驗證請求信號進行調製處理，轉換為音頻信號，然後第一調製解調模塊傳輸音頻信號給智慧卡的第一音頻處理模塊；第四步，第一音頻處理模塊對音頻信號進行放大處理，並將處理後的音頻信號通過通信網絡發送給遠程驗證端；第五步，在遠程驗證端，前端系統的第二音頻處理模塊接收智慧卡的第一音頻處理模塊發送的音頻信號；第六步，第二音頻處理模塊對接收到的音頻信號進行處理，並將處理後的音頻信號傳輸給前端系統的第二調製解調模塊，然後前端系統的第二中心處理模塊控制第二調製解調模塊對音頻信號進行解調處理，並將解調後的音頻信號還原為已加密的含數字籤名的驗證請求信號，第二調製解調模塊傳輸已加密的含數字籤名的驗證請求信號給第二中心處理模塊；第七步，第二中心處理模塊控制前端系統的第二加密解密模塊利用通過IO模塊從後端系統中獲取的智慧卡的公鑰對加密後的含數字籤名的驗證請求信號進行解密處理，然後第二加密解密模塊傳輸數字籤名和解密後得到的請求信號給第二中心處理模塊；第八步，第二中心處理模塊保存數字籤名，同時第二中心處理模塊產生一組隨機數，並保存該隨機數作為原隨機數，然後第二中心處理模塊控制第二加密解密模塊利用智慧卡的公鑰對原隨機數進行加密處理，第二加密解密模塊傳輸加密後得到的加密數據給第二中心處理模塊；第九步，第二中心處理模塊控制第二調製解調模塊對加密數據進行調製處理，並將調製後的加密數據轉換為音頻信號，然後第二調製解調模塊傳輸音頻信號給第二音頻處理模塊；第十步，第二音頻處理模塊對音頻信號進行處理，並將處理後的音頻信號通過通信網絡發送給客戶端；第十一步，在客戶端的第一音頻處理模塊接收第二音頻處理模塊發送的音頻信號;第十二步，第一音頻處理模塊對接收到的音頻信號進行處理，並將處理後的音頻信號傳輸給第一調製解調模塊，然後第一中心處理模塊控制第一調製解調模塊對音頻信號進行解調處理，還原為加密數據，第一調製解調模塊傳輸加密數據給第一中心處理模塊；[0030]第十三步，第一中心處理模塊控制第一加密解密模塊利用智慧卡的私鑰對加密數據進行解密處理，然後第一加密解密模塊傳輸解密後得到的隨機數給第一中心處理模塊；第十四步，第一中心處理模塊控制第一調製解調模塊對隨機數進行調製處理，並將調製後的音頻信號，傳輸給第一音頻處理模塊；第十五步，第一音頻處理模塊對音頻信號進行處理，並將處理後的音頻信號通過通信網絡發送給遠程驗證端；第十六步，在遠程驗證端，第二音頻處理模塊接收第一音頻處理模塊發送的音頻信號;第十七步，第二音頻處理模塊對接收到的音頻信號進行處理，並將處理後的音頻信號傳輸給第二調製解調模塊，然後第二中心處理模塊控制第二調製解調模塊對音頻信號進行解調處理，獲得隨機數，第二調製解調模塊傳輸隨機數給第二中心處理模塊；第十八步，第二中心處理模塊比較原隨機數與新隨機數，得到驗證結果，S卩如果原隨機數與新隨機數相同，則通過驗證，反之，則不通過驗證。上述方法中採用了隨機數非對稱加密機制的通信模式，使得信道安全得到保障，而且在通信過程中引入了具有唯一性的私鑰數字籤名，使得本實用新型得到的認證方法具有防抵賴性。本實用新型得到的面向普適網絡的遠程身份認證系統，採用具有用戶自主安全啟動功能的智慧卡，既免除了客戶端的部署和維護工作，又由於智慧卡分擔了部分用戶驗證工作，可有效減少遠程驗證端的後端系統對用戶的確認工作，大大減輕了後端系統的壓力，從而使設備建設、維護和人工的成本大幅度地降低，同時使只有擁有該智慧卡的用戶才可以使用該智慧卡，並對用戶憑證進行加密處理，實現了用戶選擇的唯一性，有效避免了智慧卡遺失或被盜用後而使用戶信息洩密等不安全因素，而且在用戶終端完成了用戶的身份確認；認證系統在信息交互方式上以音頻信號作為信息載體，實現了低成本、遠距離非接觸的接入方式，不但可以提高讀卡的安全性，又擴展了接入的範圍，另一方面，藉助當前成熟的語音通信網絡，可隨時隨地建立通信連接，大幅度地提升了普適性以及用戶使用的易用性和高效性；認證系統通過設置一個驗證代理，可由代理人完成驗證過程，能滿足用戶的特殊需求；認證方法採用了隨機數非對稱加密機制的通信模式，使得信道安全得到保障；認證方法還在通信過程中弓IA 了具有唯一性的私鑰數字籤名，使得本實用新型方法具有防抵賴性。

圖I為常規的遠程身份認證系統的拓撲架構示意圖；圖2為本實施例I遠程身份認證系統的拓撲架構示意圖；圖3為本實施例I的用戶終端的功能模塊示意圖；圖4為本實施例I的用戶終端的功能模塊的構成示意圖；圖5為本實施例I的遠程驗證端前端系統的功能模塊的構成示意圖；圖6為本實施例I中2DPSK調製解調方式的原理圖；圖7為本實施例I的驗證代理實施圖；圖8為本實施例I的遠程身份認證方法的流程示意圖。[0046]圖中客戶端I、智慧卡11、第一中心處理模塊111、用戶自主啟動模塊112、第一加密解密模塊113、第一調製解調模塊114、第一音頻處理模塊115、第一嵌入式微處理器1111、第一存儲單元1112、指紋採集器1121、數字鍵盤1122、信息對比模塊1123、第一音頻收發設備1151、第一音頻處理電路1152、遠程驗證端2、前端系統21、後端系統22、第二中心處理模塊211、第二加密解密模塊212、第二調製解調模塊213、第二音頻處理模塊214、IO電路215、第二嵌入式微處理器2111、第二存儲單元2112、第二音頻收發設備2141、第二音頻處理電路2142、電源電路4、時鐘電路5、驗證代碼6、通信網絡7、反相器81、選相開關82、差分變換電路83、通信信道84、帶通濾波器85、相乘器86、低通濾波器87、抽樣判決器88、逆差分變換電路89。
具體實施方式

以下結合附圖和實施例對本實用新型進一步說明。實施例I :本實施例提出的一種面向普適網絡的遠程身份認證系統，如圖2所示，其包括位於客戶端I的用戶終端和位於遠程驗證端2的後端系統22及與後端系統22連接的前端系統21，用戶終端採用智慧卡11，該智慧卡11是一個具有音頻信號播放、接收和硬體處理功能的用戶卡，該智慧卡11可由用戶自主啟動，即需要用戶自主輸入用戶憑證才可以使智慧卡啟動生效，用戶憑證可以是安全性要求較高的指紋信息，也可以是通用性較強且成本較低的用戶密碼，這樣智慧卡11就類似於當前用戶驗證終端，輸入有效的用戶憑證時才允許通信。該智慧卡11具有配對的一個私鑰和一個公鑰，智慧卡11事先已向遠程驗證端2的後端系統22發布自己的公鑰，在實際處理過程中，在應用本認證系統登記用戶時，在本認證系統中註冊用戶擁有的智慧卡11，註冊智慧卡11的過程就是將智慧卡11的公鑰發布給遠程驗證端2的後端系統22的過程。智慧卡11主要由第一中心處理模塊111、用戶自主啟動模塊112、第一加密解密模塊113、第一調製解調模塊114和第一音頻處理模塊115組成，用戶自主啟動模塊112、第一加密解密模塊113和第一調製解調模塊114均與第一中心處理模塊111相互通信，第一音頻處理模塊115與第一調製解調模塊114相互通信，前端系統主要由IO模塊215、第二音頻處理模塊214、第二調製解調模塊213、第二加密解密模塊212和第二中心處理模塊211組成，第二音頻處理模塊214與第二調製解調模塊213相互通信，第二調製解調模塊213和第二加密解密模塊212均與第二中心處理模塊211相互通信，第二中心處理模塊211通過IO模塊215與後端系統22相互通信。在此，第一中心處理模塊111用於控制用戶自主啟動模塊112、第一加密解密模塊113和第一調製解調114模塊。用戶自主啟動模塊112用於讀取用戶憑證和完成用戶憑證比對，並將比對結果發送給第一中心處理模塊111，第一中心處理模塊111根據用戶憑證比對結果決定是否啟動智慧卡11的驗證功能。在使用前將用戶憑證信息存入該智慧卡11中並加密，由於一張智慧卡11隻能由一個用戶擁有，所以只要存儲一個用戶的憑證信息即可，在識別用戶時也只需比對一個用戶憑證信息，這樣在用戶終端完成初步的身份識別，即實現了較高安全性又避免了建立用戶憑證庫和比對憑證庫的工作，當用戶需要進行身份驗證時，啟動智慧卡11，該智慧卡11提示用戶輸入用戶憑證，同時用戶自主啟動模塊112開啟接收功能，在接收用戶指紋或鍵入的密碼等用戶憑證後，與存入智慧卡11內的用戶憑證進行比對，如果輸入的用戶憑證正確，第一中心處理模塊111即啟動智慧卡11的驗證功能。所述的用戶自主啟動模塊112是用於讀取用戶憑證及完成用戶憑證比對，並將用戶憑證比對結果發送給第一中心處理模塊111的用戶自主啟動模塊112 ;所述的第一加密解密模塊113是用於加密用戶自主啟動模塊112傳輸給第一中心處理模塊111的信號或用於解密第一調製解調模塊114傳輸給第一中心處理模塊111的解調後的信號的第一加密解密模塊113 ;所述的第一調製解調模塊114是用於調製第一加密解密模塊113傳輸給第一中心處理模塊111的加密後的信號或第一加密解 密模塊113傳輸給第一中心處理模塊111的解密後的信號和解調第一音頻處理模塊115傳輸給它的信號的第一調製解調模塊114 ；所述的第一音頻處理模塊115是用於採集和播放聲音信號，實現聲電信號轉換，並完成與第一調製解調模塊114信號交互的第一音頻處理模塊；所述的第一中心處理模塊111用於總體協調用戶自主啟動模塊112、第一加密解密模塊113、第一調製解調模塊114運行及數據通信；所述的第二調製解調模塊213是用於調製第二加密解密模塊212傳輸給第二中心處理模塊211的加密後的信號或解調第二音頻處理模塊214傳輸給其的信號的第二調製解調模塊；所述的第二加密解密模塊212是用於解密第二調製解調模塊213傳輸給第二中心處理模塊211的解調後的信號、加密第一中心處理模塊111產生的隨機數的第二加密解密模塊212 ;所述的第二音頻處理模塊214是用於採集和播放聲音信號，實現聲電信號轉換，並完成與第二調製解調模塊213信號交互的第二音頻處理模塊214 ;所述的第二中心處理模塊211用於總體協調第二加密解密模塊212和第二調製解調模塊213運行及數據通信。本認證系統將音頻信號作為信息傳輸載體，因此客戶端I與驗證端在近距離的情況下，可直接完成驗證；而對於遠程驗證的情況，則在驗證過程中客戶端I的智慧卡11和遠程驗證端2的前端系統21將需要驗證的驗證請求信號和應答的信號轉化為音頻信號，持有該智慧卡11的用戶只需要一個電話或手機就可以實現遠程驗證信息交互。信息驗證過程完全由機器自動實現，當用戶需要驗證時，操作智慧卡11向手機、電話等音頻收發設備發出包含驗證請求信號進行驗證，在遠程驗證端2同樣部署一個與用戶端音頻收發設備建立語音信號連接的音頻信號收發設備，接收驗證請求信號，並將驗證後的應答信息轉化為音頻信號進行回發。由於語音通信網絡和語音終端(音頻收發設備)的大範圍普及，使得本認證系統在接入方式、用戶易用性等方面具有較大的優勢。基於音頻信號的通信，又為用戶提供了一種非接觸式的接入方式，不但可以提高讀卡的安全性，又擴展了接入的範圍，解決了類似汽車咪錶刷卡、停車場刷卡、門禁刷卡、擁擠的公交上刷卡等很多不方便的問題。在此具體實施例中，如圖3和圖4所示，第一中心處理模塊111包括電源電路4、時鐘電路5、用於控制用戶自主啟動模塊112、第一加密解密模塊113和第一調製解調模塊114的第一嵌入式微處理器1111和與第一嵌入式微處理器1111連接的第一存儲單元1112，用戶自主啟動模塊112包括用於讀取用戶指紋的指紋採集器1121、用於輸入用戶密碼的數字鍵盤1122和用於完成用戶憑證比對的信息比對模塊1123，指紋採集器1121讀取用戶指紋並傳輸用戶指紋給信息比對模塊1123，信息比對模塊1123用於將當前輸入的用戶指紋或用戶通過數字鍵盤輸入的密碼與事先存入卡中的用戶憑證進行比對，將比對結果通知第一中心處理模塊111，信息比對模塊1123與第一嵌入式微處理器1111相互通信，第一音頻處理模塊115包括第一音頻收發設備1151和與第一音頻收發設備1151連接的第一音頻信號處理電路1152，第一音頻信號處理電路1152與第一調製解調模塊114相互通信；圖5所示第二中心處理模塊211包括用於控制第二加密解密模塊212和第二調製解調模塊213的第二嵌入式微處理器2111和與第二嵌入式微處理器2111連接的第二存儲單元2112，第二音頻處理模塊214包括第二音頻收發設備2141和與第二音頻收發設備2141連接的第二音頻信號處理電路2142，第二音頻信號處理電路2142與第二調製解調模塊213相互通信。在此，第一中心處理模塊111，第一加密解密模塊113和第二中心處理模塊211，第二加密解密模塊212可分別由兩套成熟的嵌入式系統實現，目前市場上集各種外設適合給類應用的嵌入式軟硬體整體解決平臺層出不窮，這些平臺採用的大多數嵌入式微處理器對實時任務有很強的支持能力，能完成多任務並且有較短的中斷響應時間，具有功能很強的存儲區保護功能和數位訊號處理能力。本實施例採用三星s3c2410嵌入式系統解決方案，第一嵌入式微處理器1111和第二嵌入式微處理器2111均可米用ARM9嵌入式微處理器,第一存儲單元1112和第二存儲單元2112可採用由SDRAM和FLASH兩個存儲器構成的存儲單
J Li o本實施例中指紋採集器1121採用刮擦式指紋傳感器，刮擦式指紋傳感器成像方法是當手指在指紋傳感器上刮過時，採集多幅圖像，然後對採集的圖像進行拼接，最終形成整個手指的指紋圖像。目前該類傳感器，體積較小能應用在手機、PDA設備上，能夠靈活適應當時的手指條件，無論是幹手指、溼手指、淺紋理指紋、老年手指等等都有很高的識別率，能夠達到300dpi以上解析度，能採集到手指較大區域的指紋圖像，抗靜電能力強，寬溫區，在特別寒冷或特別酷熱的環境下也能正常運行。在指紋識別中主要分指紋特徵提取和指紋特徵比對兩個部分，目前已經出現許多的指紋特徵提取和比對算法，而算法最終都歸結為在指紋圖像上找到並比對指紋的特徵，通過計算機模糊比較的方法，把兩個指紋的模板進行比較，計算出它們的相似程度，最終得到兩個指紋的匹配結果。第一音頻收發設備1151和第二音頻收發設備2141米用現有的微型喇口入和麥克風，例如手機用喇機和麥克風；第一音頻信號處理電路1152和第二音頻信號處理電路2142均採用現有的信號處理技術，用於對音頻信號進行放大、濾波和整形處理。在此具體實施例中，由於本實施例主要面向普通用戶在各類環境中的信息驗證，且由音頻信號作為載體直接來體現驗證的數字信息，並通過聲波傳輸，然而環境聲音、驗證時設備之間的距離對通信質量影響較大，因此常規的PSK(移相鍵控)、ASK(幅度鍵控)調製解調模式不適合作為本認證系統的調製解調模式，故本認證系統的第一調製解調模塊114和第二調製解調模塊213均採用在功耗、誤碼率和抗噪聲幹擾方面均較為優越的2DPSK( 二進位差分相移鍵控)調製解調方式，這種調製解調方式利用前後相鄰碼元的相對載波相位值來表示驗證過程中的數字信息。2DPSK調製解調模式的調製原理如圖6所示，載波信號從「載波信號」端輸入，一路直接送入選相開關82，另一路經反相器81反相後送入選相開關82，基帶信號經差分變換電路83後，作為模擬選相開關82的控制信號輪流選通不同相位的載波，完成2DPSK調製，並從「調製信號」端點輸出，進入通信信道84，調製信號經過通信信道84後夾雜了信道中噪聲，來到解調端，首先解調端先用帶通濾波器85濾去信道噪聲，然後將調製信號進入相乘器86與本地載波信號相乘後，去掉了調製信號中的載波成分，再經過低通濾波器87去除高頻成分，得到包含基帶信號的初始信號，然後對此信號進入抽樣判決器88進行抽樣判決(抽樣判決器88的判決電平可調節，其時鐘為基帶信號的位同步信號)，最後經過逆差分變換電路89，就可以恢復基帶信號。[0058]在此具體實施例中，如圖7所示，遠程身份認證系統還可以在客戶端I與遠程驗證端2之間設置驗證代理6，第一音頻處理模塊115通過通信網絡7與驗證代理6進行音頻信號交互，驗證代理6再通過通信網絡7與遠程驗證端2的第二音頻處理模214塊進行音頻信號交互，從而實現客戶端I與遠程驗證端2的間接交互。在此，驗證代理6可以採用手機或電話，也可以採用具有語音通信功能的終端設備。如圖8所示，本實施例描述的是面向普適網絡的遠程身份認證方法，其步驟如下第一步,在客戶端1，智慧卡11的第一中心處理模塊111控制智慧卡11的用戶自主啟動模塊112讀取用戶憑證並完成用戶憑證比對，然後用戶自主啟動模塊112發送比對結果給第一中心處理模塊111，第一中心處理模塊111根據用戶憑證比對結果決定是否啟動智慧卡11的驗證功能。應用本認證方法的系統在使用前將用戶憑證信息存入智慧卡11中並加密，由於一張智慧卡11隻能由一個用戶擁有，所以只要存儲一個用戶的指紋信息即可，在識別用戶 時也只需比對一個用戶憑證信息，這樣在用戶終端完成初步的身份識別，既實現了較高的安全性又避免了建立用戶憑證庫和比對憑證庫的工作。當用戶需要進行身份驗證時，啟動智慧卡11，該智慧卡11提示用戶輸入用戶憑證，同時用戶自主啟動模塊112開啟接收功能，在接收用戶指紋或鍵入的密碼後，與存入智慧卡11內的用戶憑證進行比對，如果輸入的用戶憑證正確，即啟動智慧卡11的驗證功能。第二步，第一中心處理模塊111控制智慧卡11的第一加密解密模塊113利用智慧卡11的私鑰對驗證請求信號進行加密處理，然後第一加密解密模塊113傳輸加密後得到的含數字籤名的驗證請求信號給第一中心處理模塊111。第三步，第一中心處理模塊111控制智慧卡11的第一調製解調模塊114對含數字籤名的驗證請求信號進行調製處理，轉換為音頻信號，然後第一調製解調模塊114傳輸音頻信號給智慧卡11的第一音頻處理模塊115。第四步，第一音頻處理模塊115對音頻信號進行放大處理，並將處理後的音頻信號通過通信網絡7發送給遠程驗證端6。第五步，在遠程驗證端2，前端系統21的第二音頻處理模214塊接收智慧卡11的第一音頻處理模塊115發送的音頻信號。第六步，第二音頻處理模塊214對接收到的音頻信號進行處理，並將處理後的音頻信號傳輸給前端系統21的第二調製解調模塊213，然後前端系統21的第二中心處理模塊211控制第二調製解調模塊213對音頻信號進行解調處理，並將解調後的音頻信號還原為已加密的含數字籤名的驗證請求信號，第二調製解調模塊213傳輸已加密的含數字籤名的驗證請求信號給第二中心處理模塊211。第七步，第二中心處理模塊211控制前端系統21的第二加密解密模塊212利用通過IO模塊215從後端系統22中獲取的智慧卡11的公鑰對加密後的含數字籤名的驗證請求信號進行解密處理，然後第二加密解密模塊212傳輸數字籤名和解密後得到的請求信號給第二中心處理模塊211。第八步，第二中心處理模塊211保存數字籤名，同時第二中心處理模塊211產生一組隨機數，並保存該隨機數作為原隨機數，然後第二中心處理模塊211控制第二加密解密模塊212利用智慧卡11的公鑰對原隨機數進行加密處理，第二加密解密模塊212傳輸加密後得到的加密數據給第二中心處理模塊211。第九步，第二中心處理模塊211控制第二調製解調模塊213對加密數據進行調製處理，並將調製後的加密數據轉換為音頻信號，然後第二調製解調模塊213傳輸音頻信號給第二音頻處理模塊214。第十步，第二音頻處理模塊214對音頻信號進行處理，並將處理後的音頻信號通過通信網絡發送給客戶端I。第H^一步，在客戶端I的第一音頻處理模塊115接收第二音頻處理模塊214發送的音頻信號。第十二步，第一音頻處理模塊115對接收到的音頻信 號進行處理，並將處理後的音頻信號傳輸給第一調製解調模塊114，然後第一中心處理模塊111控制第一調製解調模塊114對音頻信號進行解調處理，還原為加密數據，第一調製解調模塊114傳輸加密數據給第一中心處理模塊111。第十三步，第一中心處理模塊111控制第一加密解密模塊113利用智慧卡11的私鑰對加密數據進行解密處理，然後第一加密解密模塊113傳輸解密後得到的隨機數給第一中心處理模塊111。第十四步，第一中心處理模塊111控制第一調製解調模114塊對隨機數進行調製處理，並將調製後的音頻信號，傳輸給第一音頻處理模塊115。第十五步，第一音頻處理模塊115對音頻信號進行處理，並將處理後的音頻信號通過通信網絡7發送給遠程驗證端2。第十六步,在遠程驗證端2的第二音頻處理模塊214接收第一音頻處理模塊115發送的音頻信號。第十七步，第二音頻處理模塊214對接收到的音頻信號進行處理，並將處理後的音頻信號傳輸給第二調製解調模塊213，然後第二中心處理模塊211控制第二調製解調模塊213對音頻信號進行解調處理，獲得隨機數，第二調製解調模塊213傳輸隨機數給第二中心處理模塊211 ;第十八步，第二中心處理模塊211比較原隨機數與新隨機數，得到驗證結果，即如果原隨機數與新隨機數相同，則通過驗證，反之，則不通過驗證。為解決音頻信號通信中的安全性問題，本認證方法對交互信號進行非對稱加密，非對稱加密方法是目前公認的保障網絡社會安全的最佳體系。通信中被加密的數據是隨機生成的，並沒有實際意義，非對稱加密方法中私鑰和公鑰的特殊關係，使得本認證方法中的加密機制非常適合用於身份驗證，也就是說通信雙方只要通過確定收到的數據是由對方加密的就可以確定對方身份，而不需要知道實際被加密的數據是什麼。這樣，即便被監聽、錄音均不會洩露用戶信息，有效保證了安全性，同時本認證方法引入具有唯一性的私鑰數字籤名，使得本認證方法具有防抵賴性，而且這種加密機制使得安全的驗證代理成為可能，如果用戶想找一個代理人完成驗證工作，但又不想洩露自己的信息，則只要撥通代理人的電話，通過智慧卡11與代理人所在的驗證代理6端通信即可。
權利要求1.一種面向普適網絡的遠程身份認證系統，包括位於客戶端(I)的用戶終端和位於遠程驗證端(2)的後端系統(22)及與後端系統(22)連接的前端系統(21)，所述的用戶終端包含有智慧卡(11)，其特徵是所述的智慧卡(11)內含有預先儲存的用戶憑證信息，智慧卡(II)具有配對的ー個私鑰和一個事先已向後端系統(22)發布的公鑰，智慧卡(11)主要由第一中心處理模塊(111)、用戶自主啟動模塊(112)、第一加密解密模塊(113)、第一調製解調模塊(114)和第一音頻處理模塊(115)組成；所述的用戶自主啟動模塊(112)、第一加密解密模塊(113)和第一調製解調模塊(114)均與第一中心處理模塊(111)相互通信連接，第一音頻處理模塊(115)與第一調製解調模塊(114)相互通信連接；所述的前端系統(21)主要由第二音頻處理模塊(214)、第二中心處理模塊(211)、第二調製解調模塊(213)和第ニ加密解密模塊(212)組成；所述的第二音頻處理模塊(214)與所述的第二調製解調模塊(212)相互通信連接，第二調製解調模塊(213)和所述的第二加密解密模塊(212)均與所述的第二中心處理模塊(211)相互通信連接； 所述的第一中心處理模塊(111)包括電源電路(4)、時鐘電路(5)、第一嵌入式微處理器(1111)和與第一嵌入式微處理器(1111)連接的第一存儲單元(1112)，用戶自主啟動模塊(112)包括用於讀取用戶指紋的指紋採集器(1121)、用於輸入用戶密碼的數字鍵盤(1122)和用於完成用戶憑證比對的信息比對模塊(1123),信息比對模塊(1123)與第一嵌入式微處理器(1111)相互通信連接，第一調製解調模塊(114)為2DPSK調製解調模式，第一音頻處理模塊(I 15)包括第一音頻收發設備(I 151)和與第一音頻收發設備(I 151)連接的第一音頻信號處理電路(1152)，第一音頻信號處理電路(1152)與第一調製解調模塊(114)相互通信；第二中心處理模塊(211)包括電源電路(4)、時鐘電路(5)以及用於控制第二加密解密模塊(212)和第二調製解調模塊(213)的第二嵌入式微處理器(2111)和與第二嵌入式微處理器(2111)連接的第二存儲單元(2112)，第二調製解調模塊(213)為2DPSK調製解調模式，第二音頻處理模塊(214)包括第二音頻收發設備(2141)和與第二音頻收發設備(2141)連接的第二音頻信號處理電路(2142)，第二音頻信號處理電路(2142)與第二調製解調模塊(213)相互通信連接。
2.根據權利要求I所述的面向普適網絡的遠程身份認證系統，其特徵是所述的用戶自主啟動模塊(112)是用於讀取用戶憑證及完成用戶憑證比對，並將用戶憑證比對結果發送給第一中心處理模塊(111)的用戶自主啟動模塊(112 );所述的第一加密解密模塊(113 )是用於加密用戶自主啟動模塊(112)傳輸給第一中心處理模塊(111)的信號或用於解密第一調製解調模塊(114)傳輸給第一中心處理模塊(111)的解調後的信號的第一加密解密模塊(113);所述的第一調製解調模塊(114)是用於調製第一加密解密模塊(113)傳輸給第一中心處理模塊(111)的加密後的信號或第一加密解密模塊(113)傳輸給第一中心處理模塊(III)的解密後的信號和解調第一音頻處理模塊(115)傳輸給它的信號的第一調製解調模塊(114);所述的第一音頻處理模塊(115)是用於採集和播放聲音信號，實現聲電信號轉換，並完成與第一調製解調模塊(114)信號交互的第一音頻處理模塊；所述的第一中心處理模塊(111)用於總體協調用戶自主啟動模塊(112)、第一加密解密模塊(113)、第一調製解調模塊(114)運行及數據通信；所述的第二調製解調模塊(213)是用於調製第二加密解密模塊(212 )傳輸給第ニ中心處理模塊(211)的加密後的信號或解調第二音頻處理模塊(214)傳輸給其的信號的第二調製解調模塊；所述的第二加密解密模塊(212)是用於解密第二調製解調模塊(213)傳輸給第二中心處理模塊(211)的解調後的信號、加密第一中心處理模塊(111)產生的隨機數的第二加密解密模塊(212);所述的第二音頻處理模塊(214)是用於採集和播放聲音信號，實現聲電信號轉換，並完成與第二調製解調模塊(213)信號交互的第ニ音頻處理模塊(214);所述的第二中心處理模塊(211)用於總體協調第二加密解密模塊(212)和第二調製解調模塊(213)運行及數據通信。
3.根據權利 要求I或2所述的面向普適網絡的遠程身份認證系統，其特徵是所述客戶端(I)與遠程驗證端(2)之間設有驗證代理(6)，第一音頻處理模塊(115)通過通信網絡(7)與驗證代理(6)相互通信連接，驗證代理(6)通過通信網絡(7)與遠程驗證端(2)的第二音頻處理模塊(214)相互通信連接。
4.根據權利要求3所述的面向普適網絡的遠程身份認證系統，其特徵是所述的在客戶端(I)與遠程驗證端(2)之間設有驗證代理(6)，其驗證代理(6)的代理人所在的驗證代理(6)終端為手機、或電話、或具有語音通信功能的終端設備。
5.根據權利要求4所述的面向普適網絡的遠程身份認證系統，其特徵是所述的在客戶端(I)與遠程驗證端(2 )之間設有驗證代理(6 )，其驗證代理(6 )的代理人所在的驗證代理(6)終端為手機、或電話、或具有語音通信功能的終端設備。
專利摘要本實用新型公開了一種面向普適網絡的遠程身份認證系統，包括用戶終端和後端系統及與後端系統連接的前端系統，用戶終端採用智慧卡，智慧卡中預先存儲有用戶憑證信息，智慧卡配對有一個私鑰和一個公鑰，智慧卡事先已向後端系統發布公鑰，智慧卡主要由第一中心處理模塊、用戶自主啟動模塊、第一加密解密模塊、第一調製解調模塊和第一音頻處理模塊組成，用戶自主啟動模塊、第一加密解密模塊和第一調製解調模塊均與第一中心處理模塊相互通信，第一音頻處理模塊與第一調製解調模塊相互通信；前端系統主要由第二音頻處理模塊、第二調製解調模塊、第二加密解密模塊和第二中心處理模塊組成。本實用新型成本低、操作簡單、安全性能高、普適性強且防抵賴性好。
文檔編號H04L29/06GK202444500SQ201120479850
公開日2012年9月19日 申請日期2011年11月28日 優先權日2011年11月28日
發明者傅松寅, 張懿, 黃荻 申請人:寧波桔槐電子科技有限公司