一种身份认证的系统的制作方法
一种身份认证的系统的制作方法
【技术领域】
[0001 ]本发明涉及身份认证技术领域,特别是涉及一种身份认证的系统。
【背景技术】
[0002]科技进步促使人们生活方式的改变,智能手机、4G通信技术以及云计算、大数据的发展,促进了移动互联网的发展,也催生了电商、移动支付以及传统行业向移动办公和移动政务等业务转变,手机银行、各种生活类、娱乐类APP赋予了人们生活的极大便利,不过与此同时,网上身份认证成为了诸多业务开展的瓶颈。
[0003]目前国内的互联网身份验证普遍使用“关联比对”方法,即将用户输入的“姓名+身份证号”等个人信息,传到后台对个人信息的正确性进行比对来认定其身份。但是“关联比对”方法在大规模应用的场景下主要存在以下问题:账户与用户分离,并不能证明账户的操作人为用户本人,即个人信息比对正确并不能代表本人真实意愿,无法防范个人身份被冒用或盗用的风险;并且采集个人信息的网络应用服务机构安全水平不一,个人信息大规模泄露的风险$父尚。
[0004]现有移动端身份认证的方式为:以手机号码下发短信验证码方式进行,其基本逻辑就是电信运营商会对手机号码的方法采用实名制,即人与手机号码相互绑定。在互联网或移动互联网应用需要用户注册或核实人员身份时,手机APP或PC上的应用程序会通过后台向用户所使用的手机发放具有某种规则的验证码,用户需要在APP上提交此验证码才能进行后续操作。此种方法虽然一定程度上缓解了互联网身份认证的问题,但其技术上并不严密,并不能对使用该手机的人员做到准确的识别,极易产生短信拦截、恶意短信等安全风险,且用户手机容易被盗,存在账户安全隐患,并不被银行等国家公信力机构所承认。
[0005]另外一种方式广泛被银行采用,即用户需要在银行柜台实名进行身份审核以及账户申请,并由银行根据其内部安全体系,向用户发放USB KEY。该USB KEY内置该用户的银行账户以及银行向用户发放的数字证书。在需要网络核实人员身份的场合,例如网银转账或进行业务办理时,用户需要在PC侧插入银行发行的USB KEY,并输入密码后,完成人员身份认证以及相关业务请求。不过由于该设备通常为USB接口,移动设备无法接入,或其他变种接口的USB KEY(如音码设备等),均存在手机兼容性问题,且由于其仅限银行使用并且使用频率不高,随身携带不便,而未能得到消费者的认可。
[0006]因此,提供一种可靠性、安全性较高的身份认证的系统是非常有必要的。
【发明内容】
[0007]本发明的目的是提供一种身份认证的系统,目的在于解决现有身份认证技术中不能确保用户身份的真实性、交易数据的可靠性以及交易的安全性的问题。
[0008]为解决上述技术问题,本发明提供一种身份认证的系统,包括:
[0009]智能终端、第三方移动应用服务器以及身份核验服务器;
[0010]其中,所述智能终端为所述身份核验服务器首次对所述用户的身份进行有效核实后发行的设备,用于对用户的生物特征数据进行识别,在识别匹配后,通过预设存储的安全密钥数据以及用户数据生成动态用户标识数据;
[0011]所述第三方移动应用服务器用于接收所述智能终端发送的动态用户标识数据,并将所述动态用户标识数据转发至所述身份核验服务器;
[0012]所述身份核验服务器用于对接收到的所述动态用户标识数据进行解密,获取所述用户数据以及消息鉴别码;对所述消息鉴别码进行校验,返回用户真实身份信息。
[0013]可选地,所述身份核验服务器在首次对所述用户的身份进行有效核实后,采用三级密钥体系向所述智能终端发行安全密钥数据,所述安全密钥数据包含设备主密钥、工作密钥以及计算消息鉴别码的密钥。
[0014]可选地,所述身份核验服务器具体用于:
[0015]根据非对称密钥RSA或SM2协商出所述主密钥;根据所述主密钥同步生成所述工作密钥;根据所述主密钥以及所述工作密钥同步生成所述计算消息鉴别码的密钥。
[0016]可选地,所述智能终端具体用于:
[0017]在首次对所述用户的身份进行有效核实后,对所述用户的生物特征信息进行注册,生成认证生物特征信息,以便对用户的生物特征数据进行识别。
[0018]可选地,所述智能终端具体用于:
[0019]获取所述主密钥、所述工作密钥、所述计算消息鉴别码的密钥以及所述用户数据;获取当前时间数据,将所述当前时间数据以及用户数据作为原文,以所述计算消息鉴别码的密钥为密钥,计算得到消息鉴别码;将所述消息鉴别码以及所述用户数据作为明文,采用所述工作密钥对数据进行加密,获取加密数据;将所述加密数据以及发行方标识数据组合为所述动态用户标识数据。
[0020]可选地,所述身份核验服务器具体用于:
[0021]通过所述用户数据在数据库中查询得到计算消息鉴别码的密钥,对所述消息鉴别码进行校验,返回用户真实身份信息。
[0022]可选地,所述智能终端以及所述第三方移动应用服务器之间通过蓝牙、无线通信网络或移动网络进行数据传输。
[0023]可选地,所述智能终端为可穿戴设备。
[0024]可选地,所述可穿戴设备具体为智能手环、智能手表、智能眼镜或智能戒指。
[0025]本发明所提供的身份认证的系统,身份核验服务器首次对用户的身份进行有效核实后发行智能终端,通过智能终端对用户的生物特征数据进行识别,在识别匹配后,通过预设存储的安全密钥数据以及用户数据生成动态用户标识数据;第三方移动应用服务器接收智能终端发送的动态用户标识数据,并将动态用户标识数据转发至身份核验服务器;身份核验服务器用于对接收到的动态用户标识数据进行解密,获取用户数据以及消息鉴别码;对消息鉴别码进行校验,返回用户真实身份信息。本发明所提供的身份认证的系统,通过对生物特征数据的比对,能够确保用户的有效身份,且采用数据加密技术确保了数据的可靠性以及安全性。
【附图说明】
[0026]为了更清楚的说明本发明实施例或现有技术的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0027]图1为本发明所提供的身份认证的系统的一种【具体实施方式】的结构框图;
[0028]图2为本发明所提供的身份认证的系统的另一种【具体实施方式】的系统架构。
【具体实施方式】
[0029]为了使本技术领域的人员更好地理解本发明方案,下面结合附图和【具体实施方式】对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0030]本发明所提供的身份认证的系统的一种【具体实施方式】的结构框图如图1所示,该系统包括:
[0031]智能终端1、第三方移动应用服务器2以及身份核验服务器3;
[0032]其中,所述智能终端1为所述身份核验服务器首次对所述用户的身份进行有效核实后发行的设备,用于对用户的生物特征数据进行识别,在识别匹配后,通过预设存储的安全密钥数据以及用户数据生成动态用户标识数据;
[0033]所述第三方移动应用服务器2用于接收所述智能终端发送的动态用户标识数据,并将所述动态用户标识数据转发至所述身份核验服务器;
[0034]所述身份核验服务器3用于对接收到的所述动态用户标识数据进行解密,获取用户数据以及消息鉴别码;对所述消息鉴别码进行校验,返回用户真实身份信息。
[0035]本发明所提供的身份认证的系统,身份核验服务器首次对用户的身份进行有效核实后发行智能终端,通过智能终端对用户的生物特征数据进行识别,在识别匹配后,通过预设存储的安全密钥数据以及用户数据生成动态用户标识数据;第三方移动应用服务器接收智能终端发送的动态用户标识数据,并将动态用户标识数据转发至身份核验服务器;身份核验服务器用于对接收到的动态用户标识数据进行解密,获取用户数据以及消息鉴别码;对消息鉴别码进行校验,返回用户真实身份信息。本发明所提供的身份认证的系统,通过对生物特征数据的比对,能够确保用户的有效身份,且采用数据加密技术确保了数据的可靠性以及安全性。
[0036]在上述实施例的基础上,身份核验服务器在首次对所述用户的身份进行有效核实后,采用三级密钥体系向所述智能终端发行安全密钥数据,所述安全密钥数据包含设备主密钥、工作密钥以及计算消息鉴别码的密钥。
[0037]具体地,发行三级密钥体系的过程可以包括:
[0038]第一级:根据非对称密钥RSA或SM2协商出主密钥TMK,如果协商失败则重复该流程;
[0039]第二级:根据TMK,同步生成工作密钥TWK,如果同步失败则跳转至第一级;
[0040]第三级:根据TMK和TWK同步生成 计算消息鉴别码的密钥TAK,以及用户ID,如果同步失败则跳转至第一级。
[0041]并且,在首次对所述用户的身份进行有效核实后,对所述用户的生物特征信息进行注册,生成认证生物特征信息,以便对用户的生物特征数据进行识别。
[0042]智能终端生成动态用户标识数据的过程可以具体为:
[0043]获取主密钥、工作密钥、计算消息鉴别码的密钥以及所述用户数据;
[0044]获取当前时间数据,将所述当前时间数据以及用户数据作为原文,以所述计算消息鉴别码的密钥为密钥,计算得到消息鉴别码;
[0045]将所述消息鉴别码以及所述用户数据作为明文,采用所述工作密钥对数据进行加密,获取加密数据;
[0046]将所述加密数据以及发行方标识数据组合为所述动态用户标识数据。
[0047]所述身份核验服务器具体用于:
[0048]通过所述用户数据在数据库中查询得到计算消息鉴别码的密钥,对所述消息鉴别码进行校验,返回用户真实身份信息。
[0049]具体地,所述智能终端以及所述第三方移动应用服务器之间可以通过蓝牙、无线通信网络或移动网络进行数据传输。
[0050]作为一种【具体实施方式】,本发明中智能终端可以为可穿戴设备,所述可穿戴设备包括智能手环、智能手表、智能眼镜或智能戒指。当然并不限于这几种,这均不影响本发明的实现。
[0051]本发明采用国家商务密码局认证的动态密码技术,对个人敏感信息进行脱敏,进行加密后在互联网上传递,可确保用户信息不被泄露和篡改,保护了用户隐私,数据更加安全可靠。且一次一密,每次生成的动态用户标识数据为不相同的密文,这样能够进一步确保数据的安全性。
[0052]本发明所提供的身份认证的系统的另一种【具体实施方式】的系统架构如图2所示,其中,渠道前置系统为真正运营的相关机构,如银行、移动运营商或其他第三方机构。渠道前置系统的两端分别与终端APP应用与本发明所提供的系统相连,报文采取透传的方式。
[0053]下面对本发明所提供的身份认证的系统的工作流程进行进一步详细描述。该过程包括:
[0054]柜台面签的过程:
[0055]用户在柜面提交身份证,由柜员通过二代证阅读器核验用户身份证;
[0056]向身份核验服务器提交用户身份信息,生成用户ID;
[0057]服务器向安全设备发行TMK、TWK以及TAK密钥,并同步服务器时间;
[0058]柜面发行安全可穿戴设备,录入用户指纹等生物特征数据,并存入CA证书、密钥数据,完成柜台面签的过程。
[0059]在用户需要进行身份认证时:
[0060]用户采集生物特征数据,在安全可穿戴设备上生成加密脱敏后的用户ID数据;
[0061]智能手机中的应用APP将脱敏后的用户ID数据传输至第三方移动应用服务器核验;
[0062]第三方移动应用服务器转发用户核验报文至身份核验服务器;
[0063]身份核验服务器返回用户的真实身份信息,发送至智能手机;
[0064]在身份核验成功后,可根据用户要求进行相关业务办理。
[0065]综上,本发明所提供的身份认证的系统是经相关机构,如银行,移动运营商以及第三方具有实名认证的效应的公司在安全环境下进行面签发行的,在发行过程中对用户身份进行有效核实,达到银行柜面签约安全标准,且面签后,设备内部数据用户不可自行更改,确保了设备与设备所属者关联性,设备所属者的真实性。
[0066]本发明是经国家相关安全部门认证的,同时设备具有安全SE,并且数据加密采用国家密码管理局要求的自主可控的密码算法,保证了数据的可靠性以及安全性。
[0067]另外,本发明可以采用可穿戴的物理形式,方便设备所属者的使用。
[0068]本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
[0069]专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
[0070]结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(R0M)、电可编程R0M、电可擦除可编程R0M、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
[0071]以上对本发明所提供的身份认证的系统进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
【主权项】
1.一种身份认证的系统,其特征在于,包括: 智能终端、第三方移动应用服务器以及身份核验服务器; 其中,所述智能终端为所述身份核验服务器首次对所述用户的身份进行有效核实后发行的设备,用于对用户的生物特征数据进行识别,在识别匹配后,通过预设存储的安全密钥数据以及用户数据生成动态用户标识数据; 所述第三方移动应用服务器用于接收所述智能终端发送的动态用户标识数据,并将所述动态用户标识数据转发至所述身份核验服务器; 所述身份核验服务器用于对接收到的所述动态用户标识数据进行解密,获取所述用户数据以及消息鉴别码;对所述消息鉴别码进行校验,返回用户真实身份信息。2.如权利要求1所述的身份认证的系统,其特征在于,所述身份核验服务器在首次对所述用户的身份进行有效核实后,采用三级密钥体系向所述智能终端发行安全密钥数据,所述安全密钥数据包含设备主密钥、工作密钥以及计算消息鉴别码的密钥。3.如权利要求2所述的身份认证的系统,其特征在于,所述身份核验服务器具体用于: 根据非对称密钥RSA或SM2协商出所述主密钥;根据所述主密钥同步生成所述工作密钥;根据所述主密钥以及所述工作密钥同步生成所述计算消息鉴别码的密钥。4.如权利要求1所述的身份认证的系统,其特征在于,所述智能终端具体用于: 在首次对所述用户的身份进行有效核实后,对所述用户的生物特征信息进行注册,生成认证生物特征信息,以便对用户的生物特征数据进行识别。5.如权利要求3所述的身份认证的系统,其特征在于,所述智能终端具体用于: 获取所述主密钥、所述工作密钥、所述计算消息鉴别码的密钥以及所述用户数据;获取当前时间数据,将所述当前时间数据以及用户数据作为原文,以所述计算消息鉴别码的密钥为密钥,计算得到消息鉴别码;将所述消息鉴别码以及所述用户数据作为明文,采用所述工作密钥对数据进行加密,获取加密数据;将所述加密数据以及发行方标识数据组合为所述动态用户标识数据。6.如权利要求1至5任一项所述的身份认证的系统,其特征在于,所述身份核验服务器具体用于: 通过所述用户数据在数据库中查询得到计算消息鉴别码的密钥,对所述消息鉴别码进行校验,返回用户真实身份信息。7.如权利要求6所述的身份认证的系统,其特征在于,所述智能终端以及所述第三方移动应用服务器之间通过蓝牙、无线通信网络或移动网络进行数据传输。8.如权利要求1所述的身份认证的系统,其特征在于,所述智能终端为可穿戴设备。9.如权利要求1所述的身份认证的系统,其特征在于,所述可穿戴设备具体为智能手环、智能手表、智能眼镜或智能戒指。
【专利摘要】本发明公开了一种身份认证的系统,包括:智能终端、第三方移动应用服务器以及身份核验服务器;其中,智能终端为身份核验服务器首次对用户身份进行有效核实后发行的设备,用于对用户的生物特征数据进行识别,在识别匹配后,通过预设存储的安全密钥数据以及用户数据生成动态用户标识数据;第三方移动应用服务器用于接收智能终端发送的动态用户标识数据,并将动态用户标识数据转发至身份核验服务器;身份核验服务器用于对接收到的动态用户标识数据进行解密,获取用户数据以及消息鉴别码;对消息鉴别码进行校验,返回用户真实身份信息。本发明通过对生物特征数据的比对,能够确保用户的有效身份,且采用数据加密技术确保了数据的可靠性以及安全性。
【IPC分类】H04L29/06
【公开号】CN105491077
【申请号】CN201610107939
【发明人】刘天泉, 陈凯
【申请人】浙江维尔科技股份有限公司
【公开日】2016年4月13日
【申请日】2016年2月26日
【技术领域】
[0001 ]本发明涉及身份认证技术领域,特别是涉及一种身份认证的系统。
【背景技术】
[0002]科技进步促使人们生活方式的改变,智能手机、4G通信技术以及云计算、大数据的发展,促进了移动互联网的发展,也催生了电商、移动支付以及传统行业向移动办公和移动政务等业务转变,手机银行、各种生活类、娱乐类APP赋予了人们生活的极大便利,不过与此同时,网上身份认证成为了诸多业务开展的瓶颈。
[0003]目前国内的互联网身份验证普遍使用“关联比对”方法,即将用户输入的“姓名+身份证号”等个人信息,传到后台对个人信息的正确性进行比对来认定其身份。但是“关联比对”方法在大规模应用的场景下主要存在以下问题:账户与用户分离,并不能证明账户的操作人为用户本人,即个人信息比对正确并不能代表本人真实意愿,无法防范个人身份被冒用或盗用的风险;并且采集个人信息的网络应用服务机构安全水平不一,个人信息大规模泄露的风险$父尚。
[0004]现有移动端身份认证的方式为:以手机号码下发短信验证码方式进行,其基本逻辑就是电信运营商会对手机号码的方法采用实名制,即人与手机号码相互绑定。在互联网或移动互联网应用需要用户注册或核实人员身份时,手机APP或PC上的应用程序会通过后台向用户所使用的手机发放具有某种规则的验证码,用户需要在APP上提交此验证码才能进行后续操作。此种方法虽然一定程度上缓解了互联网身份认证的问题,但其技术上并不严密,并不能对使用该手机的人员做到准确的识别,极易产生短信拦截、恶意短信等安全风险,且用户手机容易被盗,存在账户安全隐患,并不被银行等国家公信力机构所承认。
[0005]另外一种方式广泛被银行采用,即用户需要在银行柜台实名进行身份审核以及账户申请,并由银行根据其内部安全体系,向用户发放USB KEY。该USB KEY内置该用户的银行账户以及银行向用户发放的数字证书。在需要网络核实人员身份的场合,例如网银转账或进行业务办理时,用户需要在PC侧插入银行发行的USB KEY,并输入密码后,完成人员身份认证以及相关业务请求。不过由于该设备通常为USB接口,移动设备无法接入,或其他变种接口的USB KEY(如音码设备等),均存在手机兼容性问题,且由于其仅限银行使用并且使用频率不高,随身携带不便,而未能得到消费者的认可。
[0006]因此,提供一种可靠性、安全性较高的身份认证的系统是非常有必要的。
【发明内容】
[0007]本发明的目的是提供一种身份认证的系统,目的在于解决现有身份认证技术中不能确保用户身份的真实性、交易数据的可靠性以及交易的安全性的问题。
[0008]为解决上述技术问题,本发明提供一种身份认证的系统,包括:
[0009]智能终端、第三方移动应用服务器以及身份核验服务器;
[0010]其中,所述智能终端为所述身份核验服务器首次对所述用户的身份进行有效核实后发行的设备,用于对用户的生物特征数据进行识别,在识别匹配后,通过预设存储的安全密钥数据以及用户数据生成动态用户标识数据;
[0011]所述第三方移动应用服务器用于接收所述智能终端发送的动态用户标识数据,并将所述动态用户标识数据转发至所述身份核验服务器;
[0012]所述身份核验服务器用于对接收到的所述动态用户标识数据进行解密,获取所述用户数据以及消息鉴别码;对所述消息鉴别码进行校验,返回用户真实身份信息。
[0013]可选地,所述身份核验服务器在首次对所述用户的身份进行有效核实后,采用三级密钥体系向所述智能终端发行安全密钥数据,所述安全密钥数据包含设备主密钥、工作密钥以及计算消息鉴别码的密钥。
[0014]可选地,所述身份核验服务器具体用于:
[0015]根据非对称密钥RSA或SM2协商出所述主密钥;根据所述主密钥同步生成所述工作密钥;根据所述主密钥以及所述工作密钥同步生成所述计算消息鉴别码的密钥。
[0016]可选地,所述智能终端具体用于:
[0017]在首次对所述用户的身份进行有效核实后,对所述用户的生物特征信息进行注册,生成认证生物特征信息,以便对用户的生物特征数据进行识别。
[0018]可选地,所述智能终端具体用于:
[0019]获取所述主密钥、所述工作密钥、所述计算消息鉴别码的密钥以及所述用户数据;获取当前时间数据,将所述当前时间数据以及用户数据作为原文,以所述计算消息鉴别码的密钥为密钥,计算得到消息鉴别码;将所述消息鉴别码以及所述用户数据作为明文,采用所述工作密钥对数据进行加密,获取加密数据;将所述加密数据以及发行方标识数据组合为所述动态用户标识数据。
[0020]可选地,所述身份核验服务器具体用于:
[0021]通过所述用户数据在数据库中查询得到计算消息鉴别码的密钥,对所述消息鉴别码进行校验,返回用户真实身份信息。
[0022]可选地,所述智能终端以及所述第三方移动应用服务器之间通过蓝牙、无线通信网络或移动网络进行数据传输。
[0023]可选地,所述智能终端为可穿戴设备。
[0024]可选地,所述可穿戴设备具体为智能手环、智能手表、智能眼镜或智能戒指。
[0025]本发明所提供的身份认证的系统,身份核验服务器首次对用户的身份进行有效核实后发行智能终端,通过智能终端对用户的生物特征数据进行识别,在识别匹配后,通过预设存储的安全密钥数据以及用户数据生成动态用户标识数据;第三方移动应用服务器接收智能终端发送的动态用户标识数据,并将动态用户标识数据转发至身份核验服务器;身份核验服务器用于对接收到的动态用户标识数据进行解密,获取用户数据以及消息鉴别码;对消息鉴别码进行校验,返回用户真实身份信息。本发明所提供的身份认证的系统,通过对生物特征数据的比对,能够确保用户的有效身份,且采用数据加密技术确保了数据的可靠性以及安全性。
【附图说明】
[0026]为了更清楚的说明本发明实施例或现有技术的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0027]图1为本发明所提供的身份认证的系统的一种【具体实施方式】的结构框图;
[0028]图2为本发明所提供的身份认证的系统的另一种【具体实施方式】的系统架构。
【具体实施方式】
[0029]为了使本技术领域的人员更好地理解本发明方案,下面结合附图和【具体实施方式】对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0030]本发明所提供的身份认证的系统的一种【具体实施方式】的结构框图如图1所示,该系统包括:
[0031]智能终端1、第三方移动应用服务器2以及身份核验服务器3;
[0032]其中,所述智能终端1为所述身份核验服务器首次对所述用户的身份进行有效核实后发行的设备,用于对用户的生物特征数据进行识别,在识别匹配后,通过预设存储的安全密钥数据以及用户数据生成动态用户标识数据;
[0033]所述第三方移动应用服务器2用于接收所述智能终端发送的动态用户标识数据,并将所述动态用户标识数据转发至所述身份核验服务器;
[0034]所述身份核验服务器3用于对接收到的所述动态用户标识数据进行解密,获取用户数据以及消息鉴别码;对所述消息鉴别码进行校验,返回用户真实身份信息。
[0035]本发明所提供的身份认证的系统,身份核验服务器首次对用户的身份进行有效核实后发行智能终端,通过智能终端对用户的生物特征数据进行识别,在识别匹配后,通过预设存储的安全密钥数据以及用户数据生成动态用户标识数据;第三方移动应用服务器接收智能终端发送的动态用户标识数据,并将动态用户标识数据转发至身份核验服务器;身份核验服务器用于对接收到的动态用户标识数据进行解密,获取用户数据以及消息鉴别码;对消息鉴别码进行校验,返回用户真实身份信息。本发明所提供的身份认证的系统,通过对生物特征数据的比对,能够确保用户的有效身份,且采用数据加密技术确保了数据的可靠性以及安全性。
[0036]在上述实施例的基础上,身份核验服务器在首次对所述用户的身份进行有效核实后,采用三级密钥体系向所述智能终端发行安全密钥数据,所述安全密钥数据包含设备主密钥、工作密钥以及计算消息鉴别码的密钥。
[0037]具体地,发行三级密钥体系的过程可以包括:
[0038]第一级:根据非对称密钥RSA或SM2协商出主密钥TMK,如果协商失败则重复该流程;
[0039]第二级:根据TMK,同步生成工作密钥TWK,如果同步失败则跳转至第一级;
[0040]第三级:根据TMK和TWK同步生成 计算消息鉴别码的密钥TAK,以及用户ID,如果同步失败则跳转至第一级。
[0041]并且,在首次对所述用户的身份进行有效核实后,对所述用户的生物特征信息进行注册,生成认证生物特征信息,以便对用户的生物特征数据进行识别。
[0042]智能终端生成动态用户标识数据的过程可以具体为:
[0043]获取主密钥、工作密钥、计算消息鉴别码的密钥以及所述用户数据;
[0044]获取当前时间数据,将所述当前时间数据以及用户数据作为原文,以所述计算消息鉴别码的密钥为密钥,计算得到消息鉴别码;
[0045]将所述消息鉴别码以及所述用户数据作为明文,采用所述工作密钥对数据进行加密,获取加密数据;
[0046]将所述加密数据以及发行方标识数据组合为所述动态用户标识数据。
[0047]所述身份核验服务器具体用于:
[0048]通过所述用户数据在数据库中查询得到计算消息鉴别码的密钥,对所述消息鉴别码进行校验,返回用户真实身份信息。
[0049]具体地,所述智能终端以及所述第三方移动应用服务器之间可以通过蓝牙、无线通信网络或移动网络进行数据传输。
[0050]作为一种【具体实施方式】,本发明中智能终端可以为可穿戴设备,所述可穿戴设备包括智能手环、智能手表、智能眼镜或智能戒指。当然并不限于这几种,这均不影响本发明的实现。
[0051]本发明采用国家商务密码局认证的动态密码技术,对个人敏感信息进行脱敏,进行加密后在互联网上传递,可确保用户信息不被泄露和篡改,保护了用户隐私,数据更加安全可靠。且一次一密,每次生成的动态用户标识数据为不相同的密文,这样能够进一步确保数据的安全性。
[0052]本发明所提供的身份认证的系统的另一种【具体实施方式】的系统架构如图2所示,其中,渠道前置系统为真正运营的相关机构,如银行、移动运营商或其他第三方机构。渠道前置系统的两端分别与终端APP应用与本发明所提供的系统相连,报文采取透传的方式。
[0053]下面对本发明所提供的身份认证的系统的工作流程进行进一步详细描述。该过程包括:
[0054]柜台面签的过程:
[0055]用户在柜面提交身份证,由柜员通过二代证阅读器核验用户身份证;
[0056]向身份核验服务器提交用户身份信息,生成用户ID;
[0057]服务器向安全设备发行TMK、TWK以及TAK密钥,并同步服务器时间;
[0058]柜面发行安全可穿戴设备,录入用户指纹等生物特征数据,并存入CA证书、密钥数据,完成柜台面签的过程。
[0059]在用户需要进行身份认证时:
[0060]用户采集生物特征数据,在安全可穿戴设备上生成加密脱敏后的用户ID数据;
[0061]智能手机中的应用APP将脱敏后的用户ID数据传输至第三方移动应用服务器核验;
[0062]第三方移动应用服务器转发用户核验报文至身份核验服务器;
[0063]身份核验服务器返回用户的真实身份信息,发送至智能手机;
[0064]在身份核验成功后,可根据用户要求进行相关业务办理。
[0065]综上,本发明所提供的身份认证的系统是经相关机构,如银行,移动运营商以及第三方具有实名认证的效应的公司在安全环境下进行面签发行的,在发行过程中对用户身份进行有效核实,达到银行柜面签约安全标准,且面签后,设备内部数据用户不可自行更改,确保了设备与设备所属者关联性,设备所属者的真实性。
[0066]本发明是经国家相关安全部门认证的,同时设备具有安全SE,并且数据加密采用国家密码管理局要求的自主可控的密码算法,保证了数据的可靠性以及安全性。
[0067]另外,本发明可以采用可穿戴的物理形式,方便设备所属者的使用。
[0068]本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
[0069]专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
[0070]结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(R0M)、电可编程R0M、电可擦除可编程R0M、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
[0071]以上对本发明所提供的身份认证的系统进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
【主权项】
1.一种身份认证的系统,其特征在于,包括: 智能终端、第三方移动应用服务器以及身份核验服务器; 其中,所述智能终端为所述身份核验服务器首次对所述用户的身份进行有效核实后发行的设备,用于对用户的生物特征数据进行识别,在识别匹配后,通过预设存储的安全密钥数据以及用户数据生成动态用户标识数据; 所述第三方移动应用服务器用于接收所述智能终端发送的动态用户标识数据,并将所述动态用户标识数据转发至所述身份核验服务器; 所述身份核验服务器用于对接收到的所述动态用户标识数据进行解密,获取所述用户数据以及消息鉴别码;对所述消息鉴别码进行校验,返回用户真实身份信息。2.如权利要求1所述的身份认证的系统,其特征在于,所述身份核验服务器在首次对所述用户的身份进行有效核实后,采用三级密钥体系向所述智能终端发行安全密钥数据,所述安全密钥数据包含设备主密钥、工作密钥以及计算消息鉴别码的密钥。3.如权利要求2所述的身份认证的系统,其特征在于,所述身份核验服务器具体用于: 根据非对称密钥RSA或SM2协商出所述主密钥;根据所述主密钥同步生成所述工作密钥;根据所述主密钥以及所述工作密钥同步生成所述计算消息鉴别码的密钥。4.如权利要求1所述的身份认证的系统,其特征在于,所述智能终端具体用于: 在首次对所述用户的身份进行有效核实后,对所述用户的生物特征信息进行注册,生成认证生物特征信息,以便对用户的生物特征数据进行识别。5.如权利要求3所述的身份认证的系统,其特征在于,所述智能终端具体用于: 获取所述主密钥、所述工作密钥、所述计算消息鉴别码的密钥以及所述用户数据;获取当前时间数据,将所述当前时间数据以及用户数据作为原文,以所述计算消息鉴别码的密钥为密钥,计算得到消息鉴别码;将所述消息鉴别码以及所述用户数据作为明文,采用所述工作密钥对数据进行加密,获取加密数据;将所述加密数据以及发行方标识数据组合为所述动态用户标识数据。6.如权利要求1至5任一项所述的身份认证的系统,其特征在于,所述身份核验服务器具体用于: 通过所述用户数据在数据库中查询得到计算消息鉴别码的密钥,对所述消息鉴别码进行校验,返回用户真实身份信息。7.如权利要求6所述的身份认证的系统,其特征在于,所述智能终端以及所述第三方移动应用服务器之间通过蓝牙、无线通信网络或移动网络进行数据传输。8.如权利要求1所述的身份认证的系统,其特征在于,所述智能终端为可穿戴设备。9.如权利要求1所述的身份认证的系统,其特征在于,所述可穿戴设备具体为智能手环、智能手表、智能眼镜或智能戒指。
【专利摘要】本发明公开了一种身份认证的系统,包括:智能终端、第三方移动应用服务器以及身份核验服务器;其中,智能终端为身份核验服务器首次对用户身份进行有效核实后发行的设备,用于对用户的生物特征数据进行识别,在识别匹配后,通过预设存储的安全密钥数据以及用户数据生成动态用户标识数据;第三方移动应用服务器用于接收智能终端发送的动态用户标识数据,并将动态用户标识数据转发至身份核验服务器;身份核验服务器用于对接收到的动态用户标识数据进行解密,获取用户数据以及消息鉴别码;对消息鉴别码进行校验,返回用户真实身份信息。本发明通过对生物特征数据的比对,能够确保用户的有效身份,且采用数据加密技术确保了数据的可靠性以及安全性。
【IPC分类】H04L29/06
【公开号】CN105491077
【申请号】CN201610107939
【发明人】刘天泉, 陈凯
【申请人】浙江维尔科技股份有限公司
【公开日】2016年4月13日
【申请日】2016年2月26日
最新回复(0)