專利名稱:身份驗證方法���、系統(tǒng)及身份驗證器的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域�,尤其涉及一種身份驗證方法、系統(tǒng)及身份驗證器����。
背景技術(shù):
目前,在大多數(shù)網(wǎng)絡(luò)應(yīng)用進程中���,用戶操作的客戶端與服務(wù)器端之間都需要進行 身份驗證�,但由于客戶端自身的安全缺陷而存在安全隱患�����,各種計算機病毒或惡意程序容 易控制客戶端權(quán)限����,因此客戶端與服務(wù)器之間采用密碼進行驗證時,密碼容易被中間截獲����, 用戶身份容易被冒用,基于此�,現(xiàn)有技術(shù)提供了 一種便攜式電子證書存儲機制,其主要將電 子證書存儲在便攜式外部存儲器(如U盤)中,但由于便攜式外部存儲器并不與服務(wù)器端 之間直接通信���,因此仍然存在客戶端容易受病毒���、黑客或惡意程序控制后產(chǎn)生的安全隱患。
發(fā)明內(nèi)容
本發(fā)明實施例所要解決的技術(shù)問題在于��,提供一種身份驗證方法��、系統(tǒng)及身份驗 證器����,可在身份驗證過程中加入用戶對其身份驗證器的實際物理操作處理���,以避開用戶操 作客戶端的不可信因素�����,消除客戶端受病毒�、黑客或惡意程序控制的安全隱患�����,進而大大提 高身份驗證的安全性能��,保證網(wǎng)絡(luò)安全穩(wěn)定運行。為解決上述技術(shù)問題�,本發(fā)明實施例采用如下技術(shù)方案一種身份驗證方法,該方 法基于一種身份驗證系統(tǒng)�,所述身份驗證系統(tǒng)包括服務(wù)器端、與所述服務(wù)器端通過第一通 信鏈路相連的客戶端�����,以及通過第二通信鏈路連接到所述客戶端的身份驗證器�����,所述方法 包括通過所述第一通信鏈路以及所述第二通信鏈路�����,利用在所述服務(wù)器端與所述身份驗 證器之間預(yù)先配置的通信根密鑰及通信ID����,在所述服務(wù)器端與所述身份驗證器之間創(chuàng)建虛 鏈路;基于所述虛鏈路����,在所述服務(wù)器端與所述身份驗證器之間依據(jù)用戶對所述身份驗證 器物理操作產(chǎn)生的輸入信息進行驗證交互,所述服務(wù)器端依據(jù)該驗證交互結(jié)果進行所述身 份驗證器的授權(quán)判定。一種身份驗證系統(tǒng)�,包括服務(wù)器端、與所述服務(wù)器端通過第一通信鏈路相連的客 戶端����,以及通過第二通信鏈路連接到所述客戶端的身份驗證器,其中所述客戶端��,用于通 過所述第一通信鏈路以及所述第二通信鏈路����,在所述服務(wù)器端與所述身份驗證器之間預(yù)先 配置通信根密鑰及通信ID��,并利用所述通信根密鑰及所述通信ID���,在所述服務(wù)器端與所述 身份驗證器之間創(chuàng)建虛鏈路��;所述身份驗證器��,用于獲得用戶物理操作產(chǎn)生的輸入信息����,并 基于所述虛鏈路在其與所述服務(wù)器端之間依據(jù)所述輸入信息進行驗證交互�;所述服務(wù)器 端,用于依據(jù)所述驗證交互結(jié)果進行授權(quán)判定。一種身份驗證器�,包括初始化模塊,用于協(xié)同服務(wù)器端共同配置通信根密鑰及通 信ID �;獲取模塊,用于獲得用戶物理操作產(chǎn)生的輸入信息�����;交互模塊��,分別與所述初始化模 塊以及所述獲取模塊相連���,用于利用所述通信根密鑰及所述通信ID與所述服務(wù)器端之間 創(chuàng)建虛鏈路����,并基于該虛鏈路與所述服務(wù)器端之間依據(jù)所述輸入信息進行驗證交互��。本發(fā)明實施例的有益效果是通過提供一種身份驗證方法�、系統(tǒng)及身份驗證器,其主要利用服務(wù)器端與身份驗證器之間預(yù)先配置的通信根密鑰及通信ID��,在服務(wù)器端與身 份驗證器之間創(chuàng)建虛鏈路����,并基于該虛鏈路����,在服務(wù)器端與身份驗證器之間對用戶通過身 份驗證器輸入的輸入信息進行驗證交互���,服務(wù)器端依據(jù)該驗證交互結(jié)果進行身份驗證器的 授權(quán)判定���,本發(fā)明可在身份驗證過程中加入用戶對身份驗證器輸入信息的實際物理操作處 理,避開了用戶操作客戶端的不可信因素��,消除了客戶端受病毒�����、黑客或惡意程序控制的安 全隱患�,進而大大提高了身份驗證的安全性能��,保證了網(wǎng)絡(luò)應(yīng)用安全可靠運行��。下面結(jié)合附圖對本發(fā)明實施例作進一步的詳細描述����。
圖1是本發(fā)明的身份驗證方法的第一實施例的流程圖。
圖2是本發(fā)明的身份驗證方法的第二實施例的流程圖�����。圖3是本發(fā)明的身份驗證方法的第三實施例的流程圖。圖4是本發(fā)明的身份驗證方法的第四實施例的流程圖�。圖5是本發(fā)明的身份驗證方法的第五實施例的流程圖。圖6是本發(fā)明的身份驗證方法的第六實施例的流程圖����。圖7是本發(fā)明的身份驗證方法的第七實施例的流程圖。圖8是本發(fā)明實施例的身份驗證系統(tǒng)的的結(jié)構(gòu)圖��。圖9是本發(fā)明實施例的身份驗證器的結(jié)構(gòu)圖���。
具體實施例方式本發(fā)明實施例提供了一種身份驗證方法以及其對應(yīng)的身份驗證系統(tǒng)和身份驗證 器�����,身份驗證方法基于對應(yīng)的包含依次相連的服務(wù)器端��、客戶端及身份驗證器的身份驗證 系統(tǒng),其主要通過服務(wù)器端與客戶端之間的第一通信鏈路以及客戶端與身份驗證器之間的 第二通信鏈路��,利用服務(wù)器端與身份驗證器之間預(yù)先配置的通信根密鑰及通信ID�����,在服務(wù) 器端與身份驗證器之間創(chuàng)建虛鏈路��,并基于該虛鏈路��,在服務(wù)器端與身份驗證器之間依據(jù) 用戶對身份驗證器物理操作產(chǎn)生的輸入信息進行驗證交互��,服務(wù)器端依據(jù)該驗證交互結(jié)果 進行身份驗證器的授權(quán)判定����,通過上述用戶身份驗證流程,當(dāng)用戶身份驗證成功��,即可針對 用戶身份及業(yè)務(wù)種類進行身份驗證器的授權(quán)�����,之后�,即可接受客戶端根據(jù)用戶身份信息及 業(yè)務(wù)種類信息進行一次或多次業(yè)務(wù)操作。其中�,輸入信息可以是隨機串輸入信息、單鍵確 認信息���、密碼輸入信息、指紋輸入信息或序列號輸入信息等��,這樣��,可在身份驗證過程中加 入用戶對其身份驗證器輸入信息的實際物理操作處理,避開了用戶操作客戶端的不可信因 素��,消除了客戶端受病毒����、黑客或惡意程序控制的安全隱患,進而大大提高了身份驗證的安 全性能����,保證了網(wǎng)絡(luò)應(yīng)用安全可靠運行。下面通過幾個具體實施例對本發(fā)明的身份驗證方法進行說明�����。圖1是本發(fā)明的身份驗證方法的第一實施例的流程圖��,該方法基于包括有服務(wù)器 端�����、客戶端以及身份驗證器的身份驗證系統(tǒng)���,其中�,服務(wù)器端與客戶端通過有線方式的第一 通信鏈路相連��,而身份驗證器與客戶端之間通過USB方式的第二通信鏈路連接,具體地��,該 客戶端中可設(shè)置有客戶端程序及屏幕��,例如�����,客戶端可以是設(shè)置有應(yīng)用客戶端程序的銀行 柜臺或設(shè)置有網(wǎng)銀客戶端程序的用戶主機���,而服務(wù)器端中也設(shè)置有服務(wù)器端程序�,身份驗證器中也同時配置有計算單元程序及鍵盤(鍵盤大小可根據(jù)實際情況選擇制定�,可采用微 型鍵盤等,鍵盤上的按鍵設(shè)置可以為多鍵或單鍵��,多鍵可輸入隨機串���、序列號�、多鍵密碼等�, 單鍵可以進行單鍵確認等),身份驗證器通過USB方式連接到客戶端時���,其計算單元程序可 通過客戶端上的專用設(shè)備驅(qū)動程序與客戶端程序通信����,參照該圖�����,該方法主要包括101�,客 戶端中的客戶端程序通過第一通信鏈路向服務(wù)器端中的服務(wù)器端程序發(fā)送對身份驗證器 進行初始化的請求,該請求中可攜帶用戶身份信息��、業(yè)務(wù)種類信息等��,而身份信息可以是用 戶身份證號����,業(yè)務(wù)種類信息可以銀行賬號等用戶信息;102���,服務(wù)器端程序根據(jù)客戶端傳來 的請求����,生成用于初始化身份驗證器的通信根密鑰及通信ID�����,并建立包含該通信根密鑰和 通信ID的對應(yīng)關(guān)系,具體地����,服務(wù)器端程序獲取請求后,隨機產(chǎn)生一個通信根密鑰及一個 唯一的通信ID����,而上述對應(yīng)關(guān)系可以是開放的關(guān)系列表,其不僅可包括通信根密鑰及通信 ID����,還可以包括其他相關(guān)聯(lián)的對象,如上述請求中的用戶身份信息����、業(yè)務(wù)種類信息等,這樣�, 通信根密鑰及通信ID即可當(dāng)做用戶身份信息、業(yè)務(wù)種類信息的唯一識別信息����,在身份驗證 后,即可接受客戶端根據(jù)用戶身份信息及業(yè)務(wù)種類信 息進行一次或多次業(yè)務(wù)操作���;103�,月艮 務(wù)器端程序通過第一通信鏈路向客戶端程序返回其生成的通信根密鑰以及通信ID ;104, 客戶端程序通過第二通信鏈路將通信根密鑰及通信ID寫入身份驗證器中的計算單元程 序�;通過上述101-104的步驟則完成了服務(wù)器端對身份驗證器的初始化����,即在服務(wù)器端與 身份驗證器之間同時配置了相應(yīng)的通信根密鑰及通信ID,為進行后續(xù)虛鏈路的創(chuàng)建提供了 條件�,當(dāng)然,作為一種實施方式���,在服務(wù)器端與身份驗證器之間預(yù)先配置通信根密鑰及通信 ID除了采用上述初始化的方法��,也可以不利用服務(wù)器端��、客戶端與身份驗證器三者之間的 通信方式進行配置��,而采用靜態(tài)配置方式直接在服務(wù)器及身份驗證器中配置相同的通信根 密鑰及通信ID ���;另外,為了保障服務(wù)器端與身份驗證器端之間共同配置的通信根密鑰及通 信ID的保密安全�,可增加對通信根密鑰及通信ID進行更新的步驟,其可在服務(wù)器端程序 與身份驗證器的計算單元程序之間通過定期更新(如采用新的通信根密鑰及通信ID分別 對服務(wù)器端與身份驗證器進行靜態(tài)配置)的方式或重新初始化的方式來進行�����,更新后的通 信根密鑰及通信ID需重新寫入對應(yīng)關(guān)系中;105�����,客戶端程序通過第一通信鏈路及第二通 信鏈路在身份驗證器與服務(wù)器之間轉(zhuǎn)發(fā)包含通信ID的通信內(nèi)容��,具體地���,身份驗證器的計 算單元程序一方發(fā)送的部分通信內(nèi)容中必須包含通信ID�����,這樣����,服務(wù)器端程序才能在第一 時間從該部分通信內(nèi)容中獲得通信ID�����,這樣����,保證了通信ID作為身份驗證器對服務(wù)器第一 次請求的識別參數(shù)�;106��,服務(wù)器端程序根據(jù)獲得的通信ID查找對應(yīng)關(guān)系��,得到與該通信ID 對應(yīng)的通信根密鑰����,當(dāng)然����,還可以得到對應(yīng)關(guān)系中的其他信息,如用戶身份信息和業(yè)務(wù)種類 信息等����;107,服務(wù)器端程序與計算單元程序之間利用查找得到的通信根密鑰�����,以客戶端作 為中轉(zhuǎn)����,通過第一通信鏈路及第二通信鏈路進行協(xié)商通信,得到用于在服務(wù)器端與身份驗 證器之間創(chuàng)建虛鏈路的臨時通信密鑰�,具體地���,協(xié)商通信為加密通信,密鑰即上述通信根密 鑰�����,而加密算法可以是公開的加密算法或其他未公開的加密算法��,這樣��,保證了通信根密鑰 作為協(xié)商虛鏈路的唯一參數(shù)����;通過上述105-107的步驟則完成了在服務(wù)器端與身份驗證器 之間的虛鏈路的創(chuàng)建,服務(wù)器端與身份驗證器之間即可利用協(xié)商得到的臨時通信密鑰進行 加密通信����,用該臨時通信密鑰加密的通信鏈路即上述虛鏈路,加密算法依然可以是公開的 加密算法或其他未公開的加密算法����,當(dāng)然,如果107的協(xié)商失敗�����,則虛鏈路創(chuàng)建失敗��;108��, 服務(wù)器端程序預(yù)先產(chǎn)生并存儲有一隨機串�,即預(yù)置有隨機串,當(dāng)然該隨機串必須是身份驗證器上的鍵盤能夠表達的����;109,服務(wù)器端程序通過第一通信鏈路將預(yù)置的隨機串發(fā)送到客 戶端程序�;110,客戶端程序觸發(fā)客戶端的屏幕對隨機串進行顯示以提示用戶通過身份驗證 器的鍵盤輸入該隨機串�����;111�,身份驗證器獲得隨機串輸入信息���,具體地�����,用戶從客戶端的屏 幕上肉眼看到上述隨機串后���,通過身份驗證器的鍵盤輸入該隨機串��,產(chǎn)生隨機串輸入信息����; 112�,計算單元程序通過虛鏈路將隨機串輸入信息反饋到服務(wù)器端程序;113���,服務(wù)器端程序 通過驗證隨機串輸入信息及隨機串匹配后����,即認為用戶身份驗證成功�,進行身份驗證器的 授權(quán),反之����,若服務(wù)器端程序通過驗證隨機串輸入信息及隨機串不相匹配后,不對身份驗證 器進行授權(quán)�,或者,服務(wù)器端程序在接收隨機串輸入信息超時后�����,也不對身份驗證器進行授 權(quán)。通過上述101-113的用戶身份驗證流程�,當(dāng)用戶身份驗證成功,即可針對用戶身 份及業(yè)務(wù)種類進行身份驗證器的授權(quán)�����,之后�,即可接受客戶端根據(jù)用戶身份信息及業(yè)務(wù)種 類信息進行一次或多次業(yè)務(wù)操作。圖2是本發(fā)明的身份驗證方法的第二實施例的流程圖�,該第二實施例與圖1所示 的第一實施例區(qū)別在于107之后的步驟采用如下流程替代208,服務(wù)器端程序通過第一通 信鏈路將用于提示用戶進行 單鍵確認的第一提示信息發(fā)送到客戶端程序���;209����,客戶端程序 觸發(fā)客戶端的屏幕對第一提示信息進行顯示�����;210����,身份驗證器獲得單鍵確認信息�����,具體地, 用戶從客戶端的屏幕上肉眼看到上述第一提示信息后�����,通過身份驗證器的鍵盤進行單鍵確 認��,產(chǎn)生單鍵確認信息��;211��,計算單元程序依據(jù)單鍵確認信息將驗證通過信息通過虛鏈路 反饋到服務(wù)器端程序�;212,服務(wù)器端程序根據(jù)驗證通過信息則認為用戶身份認證成功����,對 身份驗證器進行授權(quán)。通過上述101-212的用戶身份驗證流程�,當(dāng)用戶身份驗證成功,即可針對用戶身 份及業(yè)務(wù)種類進行身份驗證器的授權(quán)����,之后,即可接受客戶端根據(jù)用戶身份信息及業(yè)務(wù)種 類信息進行一次或多次業(yè)務(wù)操作。圖3是本發(fā)明的身份驗證方法的第三實施例的流程圖�,該第三實施例與圖1所示 的第一實施例區(qū)別在于107之后的步驟采用如下流程替代308,服務(wù)器端程序通過第一通 信鏈路將用于提示用戶進行密碼驗證的第二提示信息發(fā)送到客戶端程序����;309,客戶端程序 觸發(fā)客戶端的屏幕對第二提示信息進行顯示��;310��,身份驗證器獲得密碼輸入信息����,具體地, 用戶從客戶端的屏幕上肉眼看到上述第二提示信息后�,通過身份驗證器的鍵盤輸入密碼, 產(chǎn)生密碼輸入信息����;311,計算單元程序通過虛鏈路將密碼輸入信息反饋到服務(wù)器端程序��; 312�,服務(wù)器端程序通過驗證密碼輸入信息及其預(yù)置的身份驗證密碼匹配后��,即認為用戶身 份驗證成功,進行身份驗證器的授權(quán)�。通過上述101-312的用戶身份驗證流程,當(dāng)用戶身份驗證成功��,即可針對用戶身 份及業(yè)務(wù)種類進行身份驗證器的授權(quán)����,之后,即可接受客戶端根據(jù)用戶身份信息及業(yè)務(wù)種 類信息進行一次或多次業(yè)務(wù)操作�。圖4是本發(fā)明的身份驗證方法的第四實施例的流程圖,該第四實施例與圖1所示 的第一實施例區(qū)別在于107之后的步驟采用如下流程替代���,而身份驗證器上設(shè)置有生物特 征識別模塊408����,服務(wù)器端程序通過第一通信鏈路將用于提示用戶進行生物特征驗證的第 三提示信息發(fā)送到客戶端程序�����;409�,客戶端程序觸發(fā)客戶端的屏幕對第三提示信息進行顯 示;410���,身份驗證器獲得生物特征輸入信息��,具體地�����,用戶從客戶端的屏幕上肉眼看到上述第三提示信息后���,通過身份驗證器的生物特征識別模塊進行輸入����,產(chǎn)生生物特征輸入信息�����; 411����,計算單元程序通過虛鏈路將生物特征輸入信息反饋到服務(wù)器端程序;412����,服務(wù)器端 程序通過驗證生物特征輸入信息及其預(yù)置的生物特征信息匹配后,即認為用戶身份驗證成 功���,進行身份驗證器的授權(quán)���。通過上述101-412的用戶身份驗證流程,當(dāng)用戶身份驗證成功��,即可針對用戶身 份及業(yè)務(wù)種類進行身份驗證器的授權(quán)�,之后,即可接受客戶端根據(jù)用戶身份信息及業(yè)務(wù)種 類信息進行一次或多次業(yè)務(wù)操作�。圖5是本發(fā)明的身份驗證方法的第五實施例的流程圖,該第五實施例與圖1所示 的第一實施例區(qū)別在于107之后的步驟采用如下流程替代�����,而身份驗證器上設(shè)置有生物特 征識別模塊508�,服務(wù)器端程序通過第一通信鏈路將用于提示用戶進行生物特征驗證的第 三提示信息發(fā)送到客戶端程序;509����,客戶端程序觸發(fā)客戶端的屏幕對第三提示信息進行顯 示;510��,身份驗證器獲得生物特征輸入信息���,具體地����,用戶從客戶端的屏幕上肉眼看到上述 第三提示信息后,通過身份驗證器的生物特征識別模塊進行輸入��,產(chǎn)生生物特征輸入信息���; 511�,計算單元程序通過驗證生物特征輸入信息與其預(yù)置的生物特征信息匹配后�,通過虛鏈 路將驗證通過信息反饋到服務(wù)器端程序;512����,服務(wù)器 端程序依據(jù)驗證通過信息,即認為用 戶身份驗證成功���,進行身份驗證器的授權(quán)����。通過上述101-512的用戶身份驗證流程����,當(dāng)用戶身份驗證成功,即可針對用戶身 份及業(yè)務(wù)種類進行身份驗證器的授權(quán)��,之后���,即可接受客戶端根據(jù)用戶身份信息及業(yè)務(wù)種 類信息進行一次或多次業(yè)務(wù)操作����。需要說明的是,上述生物特征是任何一種可鑒別用戶身份的生物特征��,其包括但 不僅限于指紋���、DNA、虹膜等���。圖6是本發(fā)明的身份驗證方法的第六實施例的流程圖��,該第六實施例與圖1所示 的第一實施例區(qū)別在于107之后的步驟采用如下流程替代�����,而身份驗證器上設(shè)置有微型顯 示屏608����,服務(wù)器端程序通過第一通信鏈路將用于提示用戶進行序列號驗證的第四提示信 息發(fā)送到客戶端程序����;609����,客戶端程序觸發(fā)客戶端的屏幕對第四提示信息進行顯示���;610����, 計算單元程序根據(jù)通信根密鑰結(jié)合通信根密鑰產(chǎn)生的時間距離當(dāng)前時間的分鐘整數(shù)生成 序列號(即時間因子序列號�,下同)并觸發(fā)身份驗證器上的微型顯示屏對該序列號進行顯 示;611����,身份驗證器獲得序列號輸入信息,具體地��,用戶從客戶端的屏幕上肉眼看到上述 第四提示信息后��,用戶通過身份驗證器的鍵盤輸入其在微型顯示屏上所見之序列號���,產(chǎn)生 序列號輸入信息�����;612�����,計算單元程序通過虛鏈路將序列號輸入信息反饋到服務(wù)器端程序��; 613��,服務(wù)器端程序通過驗證序列號輸入信息及其以與身份驗證器同樣的方法生成的序列 號匹配后��,即認為用戶身份驗證成功�����,進行身份驗證器的授權(quán)�。通過上述101-613的用戶身份驗證流程�,當(dāng)用戶身份驗證成功,即可針對用戶身 份及業(yè)務(wù)種類進行身份驗證器的授權(quán)����,之后,即可接受客戶端根據(jù)用戶身份信息及業(yè)務(wù)種 類信息進行一次或多次業(yè)務(wù)操作����。圖7是本發(fā)明的身份驗證方法的第七實施例的流程圖,該第七實施例與圖1所示 的第一實施例區(qū)別在于107之后的步驟采用如下流程替代���,而身份驗證器上設(shè)置有微型顯 示屏708���,服務(wù)器端程序通過第一通信鏈路將用于提示用戶進行序列號驗證的第四提示信 息發(fā)送到客戶端程序��;709���,客戶端程序觸發(fā)客戶端的屏幕對第四提示信息進行顯示;710���,計算單元程序根據(jù)通信根密鑰結(jié)合通信根密鑰產(chǎn)生的時間距離當(dāng)前時間的分鐘整數(shù)生成序列號��;711����,計算單元程序通過第二通信鏈路將序列號發(fā)送到客戶端程序�����;712��,客戶端程 序觸發(fā)客戶端的屏幕對該序列號進行顯示��;713,身份驗證器獲得序列號輸入信息���,具體地����, 用戶從客戶端的屏幕上肉眼看到上述第四提示信息后�����,用戶通過身份驗證器的鍵盤輸入其 在微型顯示屏上所見之序列號����,產(chǎn)生序列號輸入信息;714��,計算單元程序通過虛鏈路將序 列號輸入信息反饋到服務(wù)器端程序���;715,服務(wù)器端程序通過驗證序列號輸入信息及其以與 身份驗證器同樣的方法生成的序列號匹配后����,即認為用戶身份驗證成功,進行身份驗證器 的授權(quán)�����。通過上述101-715的用戶身份驗證流程,當(dāng)用戶身份驗證成功���,即可針對用戶身 份及業(yè)務(wù)種類進行身份驗證器的授權(quán)�,之后��,即可接受客戶端根據(jù)用戶身份信息及業(yè)務(wù)種 類信息進行一次或多次業(yè)務(wù)操作�。需要說明的是,圖1所示的第一實施例安全性及可靠性較高�����,選作為本發(fā)明優(yōu)選 實施例�。相應(yīng)地,本發(fā)明實施例還提供了如圖8所示的對應(yīng)的身份驗證系統(tǒng)���,其包括設(shè)置 有服務(wù)器端程序的服務(wù)器端801�、與服務(wù)器端801通過第一通信鏈路802相連且設(shè)置有客 戶端程序的客戶端803��,以及通過第二通信鏈路804連接到客戶端803且設(shè)置有計算單元 程序的本發(fā)明實施例的身份驗證器805�,其中客戶端803,用于通過第一通信鏈路802以及 第二通信鏈路804�����,在服務(wù)器端801與身份驗證器805之間預(yù)先配置通信根密鑰及通信ID, 并利用通信根密鑰及通信ID��,在服務(wù)器端801與身份驗證器805之間創(chuàng)建虛鏈路806 �;身 份驗證器805,用于獲得用戶物理操作產(chǎn)生的輸入信息�,并基于虛鏈路806在其與服務(wù)器端 801之間依據(jù)上述輸入信息進行驗證交互;服務(wù)器端801��,用于依據(jù)上述驗證交互結(jié)果進行 授權(quán)判定����。其中,第一通信鏈路802為有線或無線方式的通信鏈路�����,第二通信鏈路804為USB��、 串口�、紅外���、藍牙或其他方式的通信鏈路�。而對應(yīng)身份驗證器805可以包括如圖9所示的結(jié)構(gòu)初始化模塊901,用于協(xié)同服 務(wù)器端801共同配置通信根密鑰及通信ID;獲取模塊902�����,用于獲得用戶物理操作產(chǎn)生的輸 入信息���;交互模塊903�����,分別與初始化模塊901以及獲取模塊902相連����,用于利用通信根密 鑰及通信ID與服務(wù)器端801之間創(chuàng)建虛鏈路806�,并基于該虛鏈路806與服務(wù)器端801之 間對上述輸入信息進行驗證交互。具體地����,獲取模塊902為鍵盤,物理操作為用戶對鍵盤上按鍵的敲擊動作��,則上述 輸入信息為隨機串輸入信息��、單鍵確認信息��、密碼輸入信息或序列號輸入信息等,或者��,獲 取模塊902為生物特征識別模塊�����,物理操作為用戶對生物特征識別模塊的按壓動作�����,則上 述輸入信息為生物特征輸入信息��,生物特征識別模塊可以是指紋識別模塊�、DNA識別模塊、 虹膜識別模塊等�����,但不僅限于此��。作為一種實施方式�����,上述身份驗證器805還可以包括一微動開關(guān)��,其與初始化模 901相連�,用于控制初始化模塊901的開關(guān)動作,這樣��,當(dāng)微動開關(guān)開啟時���,身份驗證器805 處于初始化狀態(tài)���,在該狀態(tài)下,與之相連的客戶端803上的客戶端程序可以將通信根密鑰 及通信ID等信息通過身份驗證器805的計算單元程序?qū)懭朐撋矸蒡炞C器805中��;當(dāng)微動開 關(guān)關(guān)閉時���,身份驗證器805處于非初始化狀態(tài)�����,在該狀態(tài)下����,計算單元程序拒絕寫入客戶端程序發(fā)來的更新信息但不拒絕寫入虛鏈路發(fā)來的更新信息����。當(dāng)然��,各個設(shè)備進行處理時��,其上的軟件可對其工作處理進行統(tǒng)籌�,例如���,客戶端 程序可對客戶端上的工作處理進行統(tǒng)籌等����。另外�����,本領(lǐng)域普通技術(shù)人員可 以理解實現(xiàn)上述實施例方法中的全部或部分流 程���,是可以通過程序來指令相關(guān)的硬件來完成���,所述的程序可存儲于一計算機可讀存儲 介質(zhì)中,該程序在執(zhí)行時��,可包括如上述各方法的實施例的流程�。其中,所述的存儲介質(zhì) 可為磁碟、光盤��、只讀存儲記憶體(Read-Only Memory, ROM)或隨機存儲記憶體(Random AccessMemory, RAM)等���。以上所述是本發(fā)明的具體實施方式
,應(yīng)當(dāng)指出��,對于本技術(shù)領(lǐng)域的普通技術(shù)人員 來說�,在不脫離本發(fā)明原理的前提下,還可以做出若干改進和潤飾�,這些改進和潤飾也視為 本發(fā)明的保護范圍。
權(quán)利要求
一種身份驗證方法�,該方法基于一種身份驗證系統(tǒng),其特征在于�����,所述身份驗證系統(tǒng)包括服務(wù)器端�����、與所述服務(wù)器端通過第一通信鏈路相連的客戶端��,以及通過第二通信鏈路連接到所述客戶端的身份驗證器���,所述方法包括通過所述第一通信鏈路以及所述第二通信鏈路����,利用在所述服務(wù)器端與所述身份驗證器之間預(yù)先配置的通信根密鑰及通信ID,在所述服務(wù)器端與所述身份驗證器之間創(chuàng)建虛鏈路��;基于所述虛鏈路�,在所述服務(wù)器端與所述身份驗證器之間依據(jù)用戶對所述身份驗證器物理操作產(chǎn)生的輸入信息進行驗證交互,所述服務(wù)器端依據(jù)該驗證交互結(jié)果進行所述身份驗證器的授權(quán)判定��。
2.如權(quán)利要求1所述的方法��,其特征在于�,在所述服務(wù)器與所述身份驗證器之間預(yù)先 配置所述通信根密鑰及通信ID具體包括所述客戶端通過所述第一通信鏈路向所述服務(wù)器端發(fā)送對所述身份驗證器進行初始 化的請求;所述服務(wù)器端根據(jù)所述請求����,生成用于初始化所述身份驗證器的通信根密鑰及通信ID 后,建立包含所述通信根密鑰和所述通信ID的對應(yīng)關(guān)系�����,并通過所述第一通信鏈路向所述 客戶端返回所述通信根密鑰及所述通信ID �;所述客戶端通過所述第二通信鏈路將所述通信根密鑰及通信ID寫入所述身份驗證ο
3.如權(quán)利要求2所述的方法,其特征在于�,在所述服務(wù)器端與所述身份驗證器之間創(chuàng) 建虛鏈路具體包括所述客戶端通過所述第一通信鏈路及所述第二通信鏈路在所述身份驗證器與所述服 務(wù)器端之間轉(zhuǎn)發(fā)包含所述通信ID的通信內(nèi)容;所述服務(wù)器端根據(jù)所述通信ID查找所述對應(yīng)關(guān)系,得到對應(yīng)的所述通信根密鑰����; 所述服務(wù)器端與所述身份驗證器之間利用所述通信根密鑰,通過所述第一通信鏈路及 所述第二通信鏈路進行協(xié)商通信����,得到用于創(chuàng)建所述虛鏈路的臨時通信密鑰���。
4.如權(quán)利要求1所述的方法���,其特征在于,所述輸入信息為隨機串輸入信息���、單鍵確認 信息��、密碼輸入信息����、生物特征輸入信息或序列號輸入信息��,當(dāng)所述輸入信息為隨機串輸入信息�����,在所述服務(wù)器端與所述身份驗證器之間依據(jù)用戶 對所述身份驗證器物理操作產(chǎn)生的輸入信息進行驗證交互具體包括所述服務(wù)器端通過所述第一通信鏈路將預(yù)置的隨機串發(fā)送到所述客戶端; 所述客戶端對所述隨機串進行顯示以提示用戶通過所述身份驗證器輸入該隨機串��; 所述身份驗證器獲得所述隨機串輸入信息�����;所述身份驗證器通過所述虛鏈路將所述隨機串輸入信息反饋到所述服務(wù)器端���; 所述服務(wù)器端通過驗證所述隨機串輸入信息及所述隨機串匹配后�,進行所述身份驗證 器的授權(quán)�����;當(dāng)所述輸入信息為單鍵確認信息����,在所述服務(wù)器端與所述身份驗證器之間依據(jù)用戶對 所述身份驗證器物理操作產(chǎn)生的輸入信息進行驗證交互具體包括所述服務(wù)器端通過所述第一通信鏈路將用于提示所述用戶進行單鍵確認的第一提示 信息發(fā)送到所述客戶端;所述客戶端對所述第一提示信息進行顯示�; 所述身份驗證器獲得所述單鍵確認信息;所述身份驗證器依據(jù)所述單鍵確認信息將驗證通過信息通過所述虛鏈路反饋到所述 服務(wù)器端����;所述服務(wù)器端依據(jù)所述驗證通過信息對所述身份驗證器進行授權(quán)���, 當(dāng)所述輸入信息為密碼輸入信息,在所述服務(wù)器端與所述身份驗證器之間依據(jù)用戶對 所述身份驗證器物理操作產(chǎn)生的輸入信息進行驗證交互具體包括所述服務(wù)器端通過所述第一通信鏈路將用于提示所述用戶進行密碼驗證的第二提示 信息發(fā)送到所述客戶端���;所述客戶端對所述第二提示信息進行顯示�����; 所述身份驗證器獲得所述密碼輸入信息�����;所述身份驗證器通過所述虛鏈路將所述密碼輸入信息反饋到所述服務(wù)器端; 所述服務(wù)器端通過驗證所述密碼輸入信息及其預(yù)置的身份驗證密碼匹配后�����,進行所述 身份驗證器的授權(quán)����,當(dāng)所述輸入信息為生物特征輸入信息,在所述服務(wù)器端與所述身份驗證器之間依據(jù)用 戶對所述身份驗證器物理操作產(chǎn)生的輸入信息進行驗證交互具體包括所述服務(wù)器端通過所述第一通信鏈路將用于提示所述用戶進行生物特征驗證的第三 提示信息發(fā)送到所述客戶端���;所述客戶端對所述第三提示信息進行顯示�����; 所述身份驗證器獲得所述生物特征輸入信息���;所述身份驗證器通過所述虛鏈路將所述生物特征輸入信息反饋到所述服務(wù)器端����; 所述服務(wù)器端通過驗證所述生物特征輸入信息及其預(yù)置的生物特征信息匹配后�����,進行 所述身份驗證器的授權(quán)��,當(dāng)所述輸入信息為生物特征輸入信息�����,在所述服務(wù)器端與所述身份驗證器之間依據(jù)用 戶對所述身份驗證器物理操作產(chǎn)生的輸入信息進行驗證交互具體包括所述服務(wù)器端通過所述第一通信鏈路將用于提示用戶進行生物特征驗證的第三提示 信息發(fā)送到所述客戶端���;所述客戶端對所述第三提示信息進行顯示�����; 所述身份驗證器獲得所述生物特征輸入信息��;所述身份驗證器通過驗證所述生物特征輸入信息與其預(yù)置的生物特征信息匹配后�����,通 過所述虛鏈路向所述服務(wù)器端反饋驗證通過信息���;所述服務(wù)器端依據(jù)所述驗證通過信息進行所述身份驗證器的授權(quán)���, 當(dāng)所述輸入信息為序列號輸入信息,在所述服務(wù)器端與所述身份驗證器之間依據(jù)用戶 對所述身份驗證器物理操作產(chǎn)生的輸入信息進行驗證交互具體包括所述服務(wù)器端通過所述第一通信鏈路將用于提示所述用戶進行序列號驗證的第四提 示信息發(fā)送到所述客戶端�����;所述客戶端對所述第四提示信息進行顯示��; 所述身份驗證器根據(jù)所述通信根密鑰結(jié)合所述通信根密鑰產(chǎn)生的時間距離當(dāng)前時間 的分鐘整數(shù)生成序列號并對該序列號進行顯示���;所述身份驗證器獲得所述序列號輸入信息; 所述身份驗證器通過所述虛鏈路將所述序列號輸入信息反饋到所述服務(wù)器端���; 所述服務(wù)器端通過驗證所述序列號輸入信息及其以與所述身份驗證器同樣的方法生 成的序列號匹配后����,進行所述身份驗證器的授權(quán),當(dāng)所述輸入信息為序列號輸入信息����,在所述服務(wù)器端與所述身份驗證器之間依據(jù)用戶 對所述身份驗證器物理操作產(chǎn)生的輸入信息進行驗證交互具體包括所述服務(wù)器端通過所述第一通信鏈路將用于提示所述用戶進行序列號驗證的第四提 示信息發(fā)送到所述客戶端;所述客戶端對所述第四提示信息進行顯示���;所述身份驗證器根據(jù)所述通信根密鑰結(jié)合所述通信根密鑰產(chǎn)生的時間距離當(dāng)前時間 的分鐘整數(shù)生成序列號�;所述身份驗證器通過所述第二通信鏈路將所述序列號發(fā)送到所述客戶端�����; 所述客戶端對所述序列號進行顯示����; 所述身份驗證器獲得所述序列號輸入信息;所述身份驗證器通過所述虛鏈路將所述序列號輸入信息反饋到所述服務(wù)器端����; 所述服務(wù)器端通過驗證所述序列號輸入信息及其以與所述身份驗證器同樣的方法生 成的序列號匹配后,進行所述身份驗證器的授權(quán)���。
5.如權(quán)利要求1至4中任一項所述的方法����,其特征在于,所述方法還包括 所述服務(wù)器端與所述身份驗證器之間定期更新所述通信根密鑰及所述通信ID��,或者���,所述服務(wù)器端與所述身份驗證器之間通過重新初始化來更新所述通信根密鑰及 所述通信ID�����。
6.一種身份驗證系統(tǒng)�,其特征在于���,包括服務(wù)器端���、與所述服務(wù)器端通過第一通信鏈路 相連的客戶端,以及通過第二通信鏈路連接到所述客戶端的身份驗證器����,其中所述客戶端����,用于通過所述第一通信鏈路以及所述第二通信鏈路,在所述服務(wù)器端與 所述身份驗證器之間預(yù)先配置通信根密鑰及通信ID���,并利用所述通信根密鑰及所述通信 ID,在所述服務(wù)器端與所述身份驗證器之間創(chuàng)建虛鏈路�����;所述身份驗證器����,用于獲得用戶物理操作產(chǎn)生的輸入信息,并基于所述虛鏈路在其與 所述服務(wù)器端之間依據(jù)所述輸入信息進行驗證交互����;所述服務(wù)器端,用于依據(jù)所述驗證交互結(jié)果進行授權(quán)判定����。
7.如權(quán)利要求6所述的身份驗證系統(tǒng),其特征在于����,所述第一通信鏈路為有線或無線 方式的通信鏈路,所述第二通信鏈路為USB��、串口�、紅外或藍牙方式的通信鏈路。
8.一種身份驗證器,其特征在于����,包括初始化模塊,用于協(xié)同服務(wù)器端共同配置通信根密鑰及通信ID ��; 獲取模塊���,用于獲得用戶物理操作產(chǎn)生的輸入信息�;交互模塊�����,分別與所述初始化模塊以及所述獲取模塊相連���,用于利用所述通信根密鑰 及所述通信ID與所述服務(wù)器端之間創(chuàng)建虛鏈路�,并基于該虛鏈路與所述服務(wù)器端之間依 據(jù)所述輸入信息進行驗證交互���。
9.如權(quán)利要求8所述的身份驗證器�����,其特征在于�,所述獲取模塊為鍵盤��,則所述輸入信 息為隨機串輸入信息���、單鍵確認信息�����、密碼輸入信息或序列號輸入信息�,或者����,所述獲取模塊為生物特征識別模塊,則所述輸入信息為生物特征輸入信息���。
10.如權(quán)利要求8所述的身份驗證器�,其特征在于����,所述身份驗證器還包括 微動開關(guān),與所述初始化模塊相連的�����,用于控制所述初始化模塊的開關(guān)動作。
全文摘要
本發(fā)明實施例涉及一種身份驗證方法��,其主要利用服務(wù)器端與身份驗證器之間預(yù)先配置的通信根密鑰及通信ID��,在服務(wù)器端與身份驗證器之間創(chuàng)建虛鏈路����,并基于該虛鏈路,在服務(wù)器端與身份驗證器之間依據(jù)用戶對身份驗證器物理操作產(chǎn)生的輸入信息進行驗證交互�,服務(wù)器端依據(jù)該驗證交互結(jié)果進行身份驗證器的授權(quán)判定。本發(fā)明實施例還提供了一種身份驗證系統(tǒng)及身份驗證器����。采用本發(fā)明實施例,可在身份驗證過程中加入用戶對身份驗證器輸入信息的實際物理操作處理�����,避開了用戶操作客戶端的不可信因素���,消除了客戶端受病毒��、黑客或惡意程序控制的安全隱患�����,進而大大提高了身份驗證的安全性能�,保證了網(wǎng)絡(luò)應(yīng)用安全可靠運行。
文檔編號H04L29/06GK101873316SQ20101019206
公開日2010年10月27日 申請日期2010年6月4日 優(yōu)先權(quán)日2010年6月4日
發(fā)明者吳梅蘭 申請人:吳梅蘭