專利名稱:三元素身份認證系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機應(yīng)用領(lǐng)域,特別涉及一種三元素身份認證系統(tǒng)�����。
背景技術(shù):
國內(nèi)外各種應(yīng)用系統(tǒng)和網(wǎng)絡(luò)設(shè)備流行的身份認證方法是靜態(tài)口令的認證方法�,這種方法簡單容易實現(xiàn),但存在嚴重的安全隱患,并且其口令的維護非常繁瑣�����。在強身份認證領(lǐng)域��,基于令牌和智能卡的動態(tài)口令認證方法是一種較好的解決方案��,它相對于前述的靜態(tài)口令����,具有較高的安全級別,而且口令的維護相對簡單�����,因此具有較好的應(yīng)用�����。但是基于令牌和智能卡的動態(tài)口令認證方法在安全級別上并不能滿足所有用戶的要求��。目前�����,國內(nèi)也應(yīng)用了生物識別方法����,生物識別方法的障礙主要表現(xiàn)為技術(shù)不成熟、系統(tǒng)識別率低���、用戶應(yīng)用和實施復(fù)雜�,加大了用戶的IT投入��。要提供更高級別的安全強度��,必須結(jié)合基于生物特征的認證方法����,同時在使用方便性上滿足人們對系統(tǒng)日異提高的要求。
發(fā)明內(nèi)容
本發(fā)明的目的�����,在于克服已知技術(shù)的各種缺陷��,提供一種高安全級別��、高可靠性和節(jié)省用戶投入�����、使用方便的三元素身份認證系統(tǒng)。
為達到上述目的�,本發(fā)明三元素身份認證系統(tǒng)包括采集器和客戶電腦終端,還包括通過網(wǎng)絡(luò)與客戶電腦終端相連的服務(wù)器����,采集器包括個人PIN碼、令牌和面部特征采集器��;客戶電腦終端和服務(wù)器分別具有網(wǎng)絡(luò)通訊模塊��;服務(wù)器具有用戶信息庫�;客戶電腦終端和服務(wù)器分別存儲有對采集器的數(shù)據(jù)信息進行采集并與用戶信息庫進行比對識別的操作序列,該操作序列執(zhí)行如下步驟客戶電腦終端接收訪問者個人PIN碼�、令牌碼和面部特征數(shù)據(jù);客戶電腦終端通過網(wǎng)絡(luò)將采集數(shù)據(jù)進行加密傳輸�;服務(wù)器接收采集數(shù)據(jù)并對采集數(shù)據(jù)與用戶信息庫中的數(shù)據(jù)進行比對識別;比對識別的結(jié)果通過網(wǎng)絡(luò)傳輸返回客戶電腦終端�����,允許或拒絕訪問者訪問后端系統(tǒng)���。
本發(fā)明三元素身份認證系統(tǒng),其中,令牌為鑰匙式鎖扣令牌���。
本發(fā)明三元素身份認證系統(tǒng)�����,其中���,面部特征采集器為微型攝像頭,客戶電腦終端設(shè)有與微型攝像頭相連的特征提取模塊�����。
本發(fā)明三元素身份認證系統(tǒng)�����,其中�,網(wǎng)絡(luò)為局域網(wǎng)、Internet網(wǎng)或其他網(wǎng)絡(luò)���。
本發(fā)明三元素身份認證系統(tǒng)與現(xiàn)有技術(shù)相比的優(yōu)點在于融合靜態(tài)口令認證���、動態(tài)口令認證和基于用戶面部特征的生物特征認證方法����,使其無縫結(jié)合���。綜合三種身份認證方法���,達到了相對于目前強身份認證系統(tǒng)最高的安全級別。同時����,用戶不需要精密且昂貴的特征提取設(shè)備,將大大節(jié)省用戶的IT投入����,系統(tǒng)具有高可靠性和良好的使用方便性。
下面結(jié)合實施例參照附圖進行詳細說明����,以求對本發(fā)明的目的、特征和優(yōu)點得到更深入的理解�。
圖1是本發(fā)明三元素身份認證系統(tǒng)的方框圖;圖2是本發(fā)明三元素身份認證系統(tǒng)的流程圖��。
具體實施例方式
下面結(jié)合附圖詳細說明本發(fā)明的實施例�。
參照圖1,在本發(fā)明優(yōu)選的實施例中�,本發(fā)明三元素身份認證系統(tǒng)包括采集器、客戶電腦終端和與客戶電腦終端相連的服務(wù)器����。采集器包括個人PI N碼、令牌和面部特征采集器�。客戶電腦終端和服務(wù)器分別具有網(wǎng)絡(luò)通訊模塊�。通訊網(wǎng)絡(luò)可為局域網(wǎng)、Internet網(wǎng)或其他網(wǎng)絡(luò)���。服務(wù)器具有用戶信息庫��。
本發(fā)明身份認證系統(tǒng)所說的“三元素”是指個人PIN碼�����、令牌碼和面部特征數(shù)據(jù)�。其中��,令牌為鑰匙式鎖扣令牌�,為每個用戶提供唯一的硬件標識。令牌每60秒生成一個唯一�����、無法預(yù)知的令牌碼。當用戶登錄時��,需要輸入該令牌碼��,加上自己的PIN碼���,構(gòu)成服務(wù)器用戶的口令碼�。面部特征采集器為微型攝像頭�����,在客戶電腦終端設(shè)有與微型攝像頭相連的特征提取模塊�����,由一個圖像攝取設(shè)備和圖像預(yù)處理元器件組成�,完成面部特征的采集,并能對圖像進行預(yù)處理���,提取用戶面部輪廓特征�。
客戶電腦終端完成將面部特征采集器采集到的面部輪廓信息數(shù)據(jù)和用戶輸入的個人PIN碼����、令牌碼轉(zhuǎn)發(fā)給服務(wù)器����,并完成受保護的客戶終端與服務(wù)器之間的加密通訊����,以及完成對受保護對象的訪問權(quán)限的控制���。
本發(fā)明身份認證系統(tǒng)的服務(wù)器軟件是整個系統(tǒng)的核心���,它完成系統(tǒng)用戶信息管理,同時�,它還要進行個人PIN碼匹配、令牌碼匹配����、面部輪廓匹配三項核心驗證。
參照圖2�,下面對系統(tǒng)軟件的工作過程做詳細說明。
本發(fā)明三元素身份認證系統(tǒng)的客戶電腦終端和服務(wù)器分別存儲有對采集器的數(shù)據(jù)信息進行采集并與用戶信息庫進行比對識別的操作序列����,該操作序列執(zhí)行如下步驟客戶電腦終端接收訪問者個人PIN碼�、令牌碼和面部特征數(shù)據(jù)�;客戶電腦終端通過網(wǎng)絡(luò)將采集數(shù)據(jù)進行加密傳輸;服務(wù)器接收采集數(shù)據(jù)并對采集數(shù)據(jù)與用戶信息庫中的數(shù)據(jù)進行比對識別�����;比對識別的結(jié)果通過網(wǎng)絡(luò)傳輸返回客戶電腦終端�����,允許或拒絕訪問者訪問后端系統(tǒng)����。
這里,對其上述步驟具體具體說明如下1�、用戶在系統(tǒng)的客戶電腦終端輸入個人PIN碼和令牌上顯示的當前的動態(tài)口令,同時���,客戶電腦終端由面部特征采集器將該用戶的面部圖像及面部特征值提取出來�����;2�����、系統(tǒng)的客戶電腦終端將個人PIN碼�、令牌當前動態(tài)口令和用戶面部特征值進行加密通訊,通過網(wǎng)絡(luò)轉(zhuǎn)發(fā)到服務(wù)器���;3��、服務(wù)器接收到個人PIN碼、令牌當前動態(tài)口令和用戶面部特征值后����,首先將個人PIN碼與信息庫中該用戶的PIN碼進行比對如相符,則進行下一步���;如不相符���,則提示認證失敗����;4、PIN碼比對成功后�,服務(wù)器計算該用戶的動態(tài)口令碼,并與用戶發(fā)來的當前動態(tài)口令碼比對如相符,則進行下一步�;如不相符,則提示認證失?��?�;5�����、動態(tài)口令碼比對成功后�����,服務(wù)器在信息庫中提取該用戶面部輪廓特征信息�����,并與用戶發(fā)來的面部輪廓特征信息比對如相符��,則提示認證成功信息�,授權(quán)訪問后端系統(tǒng)���;如不相符�,則提示重新輸入用戶面部輪廓特征信息;6����、當用戶面部輪廓特征信息重新輸入后,重復(fù)第五步�����。當?shù)诙伪葘Σ幌喾?��,最終提示認證失敗��,拒絕訪問后端系統(tǒng)。
本發(fā)明三元素身份認證系統(tǒng)的特點是融合靜態(tài)口令認證����、動態(tài)口令認證和基于面部輪廓特征的生物特征認證方法,使其能無縫地結(jié)合���。在結(jié)合這三種認證方法的同時�,系統(tǒng)充分地考慮部署節(jié)省用戶的IT投入�。用戶不需要精密且昂貴的特征提取設(shè)備,只需要一個專用的微型攝像頭即可����。同時�,人臉面部特征識別具有主動性��、非侵犯性并顯示與用戶友好等許多優(yōu)點�。
本發(fā)明三元素身份認證系統(tǒng)融合了三種身份認證方法,可以達到相對于目前強身份認證系統(tǒng)最高的安全級別��。該系統(tǒng)在識別的過程中�,三元素相互綜合,不會因為某一種方法認證的失敗而輕易地做出錯誤判斷��,系統(tǒng)會根據(jù)所提供的認證信息的匹配程度來決定下一步的處理方法����。也就是說,當用戶靜態(tài)口令和動態(tài)口令兩元素的認證信息正確��,但是第三元素面部輪廓特征不正確時����,系統(tǒng)會要求再次輸入不正確元素一次。這使系統(tǒng)具有高可靠性和良好的使用方便性�。因此,本發(fā)明三元素身份認證系統(tǒng)具有很好的應(yīng)用前景�。
權(quán)利要求
1.一種三元素身份認證系統(tǒng)��,包括采集器和客戶電腦終端�����,其特征在于還包括通過網(wǎng)絡(luò)與所述客戶電腦終端相連的服務(wù)器�����,所述采集器包括個人PIN碼����、令牌和面部特征采集器��;所述客戶電腦終端和所述服務(wù)器分別具有網(wǎng)絡(luò)通訊模塊�;所述服務(wù)器具有用戶信息庫;所述客戶電腦終端和所述服務(wù)器分別存儲有對所述采集器的數(shù)據(jù)信息進行采集并與所述用戶信息庫進行比對識別的操作序列�����,該操作序列執(zhí)行如下步驟所述客戶電腦終端接收訪問者個人PIN碼�、令牌碼和面部特征數(shù)據(jù)�����;所述客戶電腦終端通過網(wǎng)絡(luò)將采集數(shù)據(jù)進行加密傳輸;所述服務(wù)器接收采集數(shù)據(jù)并對采集數(shù)據(jù)與所述用戶信息庫中的數(shù)據(jù)進行比對識別���;比對識別的結(jié)果通過網(wǎng)絡(luò)傳輸返回所述客戶電腦終端���,允許或拒絕訪問者訪問后端系統(tǒng)。
2.根據(jù)權(quán)利要求1的三元素身份認證系統(tǒng)��,其特征在于其中��,所述令牌為鑰匙式鎖扣令牌��,其輸出為動態(tài)令牌碼��。
3.根據(jù)權(quán)利要求1或2的三元素身份認證系統(tǒng)��,其特征在于所述面部特征采集器為微型攝像頭�����,所述客戶電腦終端設(shè)有與所述微型攝像頭相連的特征提取模塊��。
4.根據(jù)權(quán)利要求3的三元素身份認證系統(tǒng)�,其特征在于所述網(wǎng)絡(luò)為局域網(wǎng)、Internet網(wǎng)或其他網(wǎng)絡(luò)��。
全文摘要
本發(fā)明三元素身份認證系統(tǒng)包括采集器、客戶電腦終端和與客戶電腦終端相連的服務(wù)器����。采集器包括個人PIN碼、令牌和面部特征采集器�����??蛻綦娔X終端和服務(wù)器分別具有網(wǎng)絡(luò)通訊模塊。通訊網(wǎng)絡(luò)可為局域網(wǎng)�、Internet網(wǎng)或其他網(wǎng)絡(luò)。服務(wù)器具有用戶信息庫����。服務(wù)器內(nèi)箝操作程序是整個系統(tǒng)的核心,完成系統(tǒng)用戶信息管理并進行個人PIN碼匹配�、令牌碼匹配、面部輪廓匹配三項核心驗證�����。本發(fā)明與現(xiàn)有技術(shù)相比的優(yōu)點在于綜合三種身份認證方法����,達到了相對于目前強身份認證系統(tǒng)最高的安全級別,無需精密且昂貴的特征提取設(shè)備�����,大大節(jié)省用戶的IT投入���,系統(tǒng)具有高可靠性和良好的使用方便性�����。
文檔編號H04L9/32GK1705264SQ20041004601
公開日2005年12月7日 申請日期2004年6月1日 優(yōu)先權(quán)日2004年6月1日
發(fā)明者孟憲成, 蔡澤軍 申請人:四川安盟電子信息安全有限責任公司