專利名稱:身份驗(yàn)證方法及身份驗(yàn)證系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò),尤其涉及一種用以進(jìn)行身份驗(yàn)證的方法及系統(tǒng),特別是有關(guān)對(duì)網(wǎng)站的真?zhèn)?����、發(fā)送郵件的發(fā)送者身份等進(jìn)行驗(yàn)證的方法及驗(yàn)證系統(tǒng)。
背景技術(shù):
近來(lái),各類假冒網(wǎng)站�、假冒郵件等非常猖獗,給企業(yè)和使用者帶來(lái)了很大損失��。比如����,假冒各大金融機(jī)構(gòu)網(wǎng)站來(lái)盜取持卡人密碼和賬號(hào)信息的事件時(shí)有發(fā)生�,不僅給銀行和持卡人造成了巨大的損失��,而且嚴(yán)重影響了持卡人使用網(wǎng)上業(yè)務(wù)的信心����,進(jìn)而影響了該類業(yè)務(wù)的迅猛發(fā)展。
為此���,現(xiàn)有技術(shù)中提出了很多身份驗(yàn)證方法����,來(lái)盡可能防止假冒網(wǎng)站、假冒郵件的發(fā)生�。以下以對(duì)網(wǎng)站身份驗(yàn)證為例來(lái)說(shuō)明常見(jiàn)的身份驗(yàn)證方法---利用第三方對(duì)網(wǎng)站或郵件的真實(shí)性進(jìn)行驗(yàn)證���。
比如網(wǎng)站可以在申請(qǐng)VeriSign(VeriSign為第三方)服務(wù)器證書的同時(shí)申請(qǐng)VeriSign安全簽章服務(wù);VeriSign在數(shù)據(jù)庫(kù)中存儲(chǔ)該網(wǎng)站的安全簽章以及注冊(cè)信息;隨后�����,網(wǎng)站在需要驗(yàn)證的網(wǎng)頁(yè)上嵌入VeriSign安全簽章代碼。
每當(dāng)用戶訪問(wèn)網(wǎng)站時(shí)�����,可以通過(guò)點(diǎn)擊網(wǎng)頁(yè)上的安全簽章對(duì)網(wǎng)站進(jìn)行身份認(rèn)證�。若所述網(wǎng)站是在VerSign上預(yù)先進(jìn)行注冊(cè)���,則用戶能看到該安全簽章對(duì)應(yīng)的網(wǎng)站注冊(cè)信息���,并且�����,該安全簽章對(duì)應(yīng)的網(wǎng)站注冊(cè)信息和用戶要訪問(wèn)的網(wǎng)站一致�����,否則����,所述網(wǎng)站即為仿冒網(wǎng)站����。
VeriSign安全簽章是利用第三方對(duì)網(wǎng)站身份進(jìn)行認(rèn)證����,由于其安全簽章都一個(gè)簡(jiǎn)單的圖片或Flash(由macromedia公司推出的交互式矢量圖和Web動(dòng)畫的標(biāo)準(zhǔn))����,而沒(méi)有相應(yīng)的安全簽章防篡改和識(shí)別工具,所以非常容易被偽冒�,由此造成對(duì)網(wǎng)站身份認(rèn)證的可靠性降低����。
除了上述網(wǎng)站身份認(rèn)證方法外���,現(xiàn)有技術(shù)還可以通過(guò)電子營(yíng)業(yè)執(zhí)照進(jìn)行網(wǎng)站身份認(rèn)證����。即���,先由工商部門給網(wǎng)站頒發(fā)電子營(yíng)業(yè)執(zhí)照�����,然后用戶通過(guò)驗(yàn)證器驗(yàn)證電子營(yíng)業(yè)執(zhí)照的真?zhèn)?��,進(jìn)而判斷網(wǎng)站是否偽冒���。這種方法能夠在一定程度上保證身份認(rèn)證的可靠性����,但是����,申請(qǐng)電子營(yíng)業(yè)執(zhí)照的網(wǎng)站需要相應(yīng)的數(shù)字證書,為了保證身份認(rèn)證的可靠性,該數(shù)字證書的簽發(fā)��、管理以及更新流程較為復(fù)雜,從而使得這種進(jìn)行網(wǎng)站身份認(rèn)證的方法也非常復(fù)雜����,由此造成實(shí)現(xiàn)起來(lái)很不方便�。
2005年1月31日深圳市沃通通信服務(wù)有限公司向中國(guó)知識(shí)產(chǎn)權(quán)局申請(qǐng)的申請(qǐng)?zhí)枮椤?0051020006.6”的申請(qǐng)文件中��,公開(kāi)了一種綁定域名和域名注冊(cè)者身份的網(wǎng)站身份認(rèn)證的實(shí)現(xiàn)方法�����。在網(wǎng)站需要顯示認(rèn)證簽章的網(wǎng)頁(yè)上加上程序代碼,并在網(wǎng)站的根目錄上放置一個(gè)含有被認(rèn)證網(wǎng)站的唯一編碼的認(rèn)證文件�。當(dāng)用戶訪問(wèn)此網(wǎng)頁(yè)時(shí),認(rèn)證代碼將把被訪問(wèn)的網(wǎng)站的網(wǎng)址信息和認(rèn)證文件的信息發(fā)回認(rèn)證機(jī)構(gòu)的認(rèn)證管理服務(wù)器�,實(shí)時(shí)驗(yàn)證此網(wǎng)站的真實(shí)身份。如果通過(guò)驗(yàn)證���,則在此網(wǎng)頁(yè)上動(dòng)態(tài)顯示一個(gè)自動(dòng)生成含有認(rèn)證機(jī)構(gòu)名稱�����、含有網(wǎng)站所有者公章縮微圖樣、含有生成簽章時(shí)標(biāo)準(zhǔn)時(shí)間的認(rèn)證簽章圖案�����。上述方法也同樣存在易于偽冒的技術(shù)問(wèn)題,從而造成認(rèn)證可靠性差的技術(shù)問(wèn)題�。并且,每一次身份驗(yàn)證都需要訪問(wèn)認(rèn)證機(jī)構(gòu)�����,不僅需要占用大量的網(wǎng)絡(luò)資源�����,甚至造成進(jìn)出認(rèn)證機(jī)構(gòu)的網(wǎng)路阻塞,而且由于需要通過(guò)因特網(wǎng)訪問(wèn)認(rèn)證機(jī)構(gòu)由此造成每一次身份驗(yàn)證占用時(shí)間很長(zhǎng)����。
綜上所述��,現(xiàn)有的身份認(rèn)證方法存在認(rèn)證可靠性差、實(shí)現(xiàn)過(guò)程較為復(fù)雜的技術(shù)問(wèn)題���。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供了一種身份驗(yàn)證方法及身份驗(yàn)證系統(tǒng)����,以提高身份認(rèn)證方法的可靠性、并簡(jiǎn)化實(shí)現(xiàn)過(guò)程�����。
為解決上述問(wèn)題,本發(fā)明公開(kāi)了一種身份驗(yàn)證方法�����,包括
(1)被驗(yàn)證對(duì)象預(yù)先將表明本被驗(yàn)證對(duì)象身份的身份信息進(jìn)行數(shù)字簽名����,并將簽名信息隱藏于本被驗(yàn)證對(duì)象的一標(biāo)識(shí)中來(lái)生成防偽簽章�����;(2)當(dāng)用戶需要驗(yàn)證某一對(duì)象身份時(shí),判斷所述對(duì)象內(nèi)是否存在防偽簽章,若否�,則所述對(duì)象未通過(guò)身份驗(yàn)證,否則,通過(guò)讀出隱藏于所述標(biāo)識(shí)中的信息來(lái)識(shí)別所述防偽簽章的真?zhèn)芜M(jìn)一步驗(yàn)證所述對(duì)象的身份�。
步驟(1)中對(duì)所述身份信息進(jìn)行數(shù)字簽名具體為先將所述身份信息依次進(jìn)行編排���,再用簽名算法對(duì)編排后的身份信息和標(biāo)識(shí)中的關(guān)鍵域信息進(jìn)行簽名���,隨后將所述簽名后的信息與編排后的身份信息組成待隱藏信息。
步驟(1)中對(duì)所述身份信息進(jìn)行數(shù)字簽名也可以具體為先將所述身份信息依次進(jìn)行編排��,再用摘要算法對(duì)編排后的身份信息和標(biāo)識(shí)中的關(guān)鍵域信息進(jìn)行摘要���,隨后將摘要后的信息用簽名算法進(jìn)行簽名��,然后將所述簽名后的信息與編排后的身份信息組成待隱藏信息。
步驟(1)中利用隱藏算法將所述待隱藏信息隱藏于標(biāo)識(shí)中�,所述隱藏算法包括空域算法、變化域算法���、擴(kuò)展頻譜通信算法、壓縮域算法��、NEC算法或生理模型算法,所述標(biāo)識(shí)包括圖像、文字、聲音�����。
步驟(1)中將所述待隱藏信息隱藏于標(biāo)識(shí)中進(jìn)一步指利用空域算法將待隱藏信息隱藏于BMP(位圖文件)圖像文件中,具體包括將待隱藏信息轉(zhuǎn)化為二進(jìn)制數(shù)據(jù)碼流;將文件圖像數(shù)據(jù)部分的每個(gè)字節(jié)的奇偶性與所述二進(jìn)制數(shù)據(jù)碼流進(jìn)行比較;若該字節(jié)的奇偶性與對(duì)應(yīng)二進(jìn)制數(shù)據(jù)碼不一致����,則通過(guò)調(diào)整該字節(jié)最低位的“0”和“1”來(lái)改變字節(jié)的奇偶性���,使之與二進(jìn)制數(shù)據(jù)流一致。
步驟(2)中識(shí)別所述防偽簽章的真?zhèn)蝸?lái)進(jìn)一步驗(yàn)證所述對(duì)象的身份具體為(a1)從防偽簽章中提取簽名后的信息和編排后的信息�;(a2)從標(biāo)識(shí)中提取關(guān)鍵域信息��;(a3)采用和步驟(1)中相同的簽名算法對(duì)編排后的信息和關(guān)鍵域信息進(jìn)行驗(yàn)證簽名�,若驗(yàn)證通過(guò),則所述對(duì)象通過(guò)身份認(rèn)證����,否則所述對(duì)象未通過(guò)身份認(rèn)證�。
步驟(2)中識(shí)別所述防偽簽章的真?zhèn)蝸?lái)進(jìn)一步驗(yàn)證所述對(duì)象的身份具體為(b1)從防偽簽章中提取簽名后的信息和編排后的信息����;(b2)從標(biāo)識(shí)中提取關(guān)鍵域信息���;(b3)采用和步驟(1)中相同的摘要算法對(duì)編排后的信息和關(guān)鍵域信息進(jìn)行摘要�����;(b4)采用和步驟(1)中相同的簽名算法對(duì)摘要后的信息進(jìn)行驗(yàn)證簽名�,若驗(yàn)證通過(guò)����,則所述對(duì)象通過(guò)身份認(rèn)證����,否則所述對(duì)象未通過(guò)身份認(rèn)證�。
本發(fā)明公開(kāi)了一種身份驗(yàn)證系統(tǒng)�����,包括防偽簽章簽發(fā)子系統(tǒng)和防偽簽章識(shí)別器,其中防偽簽章簽發(fā)子系統(tǒng)對(duì)表明被驗(yàn)證對(duì)象身份的身份信息進(jìn)行數(shù)字簽名�����,并將簽名信息隱藏于被驗(yàn)證對(duì)象的一標(biāo)識(shí)中來(lái)生成防偽簽章�����;防偽簽章識(shí)別器設(shè)置在用戶端,用以判斷需要驗(yàn)證的對(duì)象內(nèi)是否存在防偽簽章以及讀取隱藏于標(biāo)識(shí)中的信息來(lái)識(shí)別防偽簽章的真?zhèn)?�,以便?yàn)證所述對(duì)象的身份。
所述被驗(yàn)證對(duì)象包括網(wǎng)站和郵件,防偽簽章識(shí)別器可以利用因特網(wǎng)進(jìn)行下載直接設(shè)置在郵件收發(fā)器上或設(shè)置在瀏覽器上。
所述防偽簽章簽發(fā)子系統(tǒng)包括信息注冊(cè)和管理單元��、簽名單元、簽章生成單元和信息隱藏單元,其中信息注冊(cè)和管理單元,用于對(duì)使用防偽簽章的被驗(yàn)證對(duì)象的身份信息注冊(cè)和維護(hù)管理���;簽名單元用于對(duì)包括身份信息的信息進(jìn)行簽名���;信息隱藏單元用于利用隱藏算法將簽名后的信息隱藏于所述標(biāo)識(shí)中�;簽章生成單元用于生成所述防驗(yàn)證對(duì)象上的防偽簽章���。
與現(xiàn)有技術(shù)相比�����,本發(fā)明具有以下優(yōu)點(diǎn)由于在本發(fā)明的流程中增加了安全簽章防篡改和識(shí)別步驟,因此能夠準(zhǔn)確識(shí)別對(duì)象的真?zhèn)巍2⑶遥看悟?yàn)證無(wú)需訪問(wèn)第三方網(wǎng)站�����,不僅不占用網(wǎng)絡(luò)資源����,而且也減少了由于網(wǎng)絡(luò)欺詐帶來(lái)驗(yàn)證結(jié)果不準(zhǔn)確以及由于網(wǎng)絡(luò)故障帶來(lái)驗(yàn)證困難的事件發(fā)生。同時(shí)�����,身份驗(yàn)證實(shí)現(xiàn)起來(lái)也非常簡(jiǎn)單。
圖1是本發(fā)明身份驗(yàn)證系統(tǒng)的結(jié)構(gòu)示意圖��;圖2是對(duì)網(wǎng)站進(jìn)行身份認(rèn)證的身份驗(yàn)證系統(tǒng)的結(jié)構(gòu)示意圖�����;圖3是本發(fā)明身份驗(yàn)證方法的流程示意圖。
具體實(shí)施例方式
以下結(jié)合附圖�,具體說(shuō)明本發(fā)明�。
現(xiàn)有技術(shù)需要通過(guò)第三方來(lái)對(duì)對(duì)象(對(duì)象包括網(wǎng)站和郵件發(fā)送者)進(jìn)行身份識(shí)別,設(shè)置在對(duì)象上的防偽簽章都只是一個(gè)簡(jiǎn)單的標(biāo)識(shí)���,如圖片或Flash,而沒(méi)有相應(yīng)的安全簽章防篡改和識(shí)別工具���,由此造成很容易被偽冒,進(jìn)而使得郵件或網(wǎng)站的可靠性降低���。本發(fā)明的核心在于,只要網(wǎng)絡(luò)上雙方需要進(jìn)行身份認(rèn)證����,就可以設(shè)置安全簽章和識(shí)別工具�,比如在將關(guān)鍵信息隱藏于標(biāo)識(shí)中,通過(guò)相應(yīng)的識(shí)別工具識(shí)別標(biāo)識(shí)中有無(wú)關(guān)鍵信息及所述關(guān)鍵信息是否與預(yù)先隱藏在標(biāo)識(shí)中的關(guān)鍵信息一致,進(jìn)而判斷出需要進(jìn)行身份認(rèn)證的對(duì)象的真?zhèn)?��,由此提高了身份認(rèn)證的可靠性��,同時(shí)每次身份驗(yàn)證時(shí)無(wú)需通過(guò)第三方進(jìn)行認(rèn)證���,縮小認(rèn)證響應(yīng)時(shí)間,同時(shí)降低因特網(wǎng)網(wǎng)絡(luò)故障帶來(lái)認(rèn)證失敗的機(jī)率以及網(wǎng)絡(luò)欺詐帶來(lái)認(rèn)證結(jié)果不準(zhǔn)確的事件發(fā)生�����,由此提高認(rèn)證的準(zhǔn)確度�����。
請(qǐng)參閱圖1,其為本發(fā)明身份驗(yàn)證系統(tǒng)的結(jié)構(gòu)示意圖�。它包括防偽簽章簽發(fā)子系統(tǒng)11和防偽簽章識(shí)別器12,其中防偽簽章簽發(fā)子系統(tǒng)11對(duì)表明被驗(yàn)證對(duì)象身份的身份信息進(jìn)行數(shù)字簽名��,并將簽名信息隱藏于被驗(yàn)證對(duì)象的一標(biāo)識(shí)中來(lái)生成防偽簽章���;防偽簽章識(shí)別器12設(shè)置在用戶端���,用以判斷需要驗(yàn)證的對(duì)象內(nèi)是否存在防偽簽章以及讀取隱藏于標(biāo)識(shí)中的信息來(lái)識(shí)別防偽簽章的真?zhèn)危员泸?yàn)證所述對(duì)象的身份��。通常是通過(guò)驗(yàn)證簽名來(lái)達(dá)到驗(yàn)證防偽簽章真?zhèn)蔚哪康?��。為了?yàn)證簽名,在防偽簽章識(shí)別器中設(shè)置有用以驗(yàn)證簽名的公鑰。
所述防偽簽章簽發(fā)子系統(tǒng)包括信息注冊(cè)和管理單元、簽名單元����、簽章生成單元和信息隱藏單元�,其中信息注冊(cè)和管理單元����,用于對(duì)使用防偽簽章的被驗(yàn)證對(duì)象的身份信息注冊(cè)和維護(hù)管理;簽名單元用于對(duì)包括身份信息的信息進(jìn)行簽名;信息隱藏單元用于利用隱藏算法將簽名后的信息隱藏于所述標(biāo)識(shí)中�;簽章生成單元用于生成所述被驗(yàn)證對(duì)象上的防偽簽章。
被驗(yàn)證對(duì)象包括網(wǎng)站和郵件。以下就以驗(yàn)證網(wǎng)站真?zhèn)螢槔?�,?lái)說(shuō)明用于對(duì)網(wǎng)站進(jìn)行身份認(rèn)證的身份驗(yàn)證系統(tǒng)��。請(qǐng)參閱圖2,其為對(duì)網(wǎng)站進(jìn)行身份認(rèn)證的身份驗(yàn)證系統(tǒng)的結(jié)構(gòu)示意圖���。它包括若干需要接收防偽簽章服務(wù)的網(wǎng)站21、提供防偽簽章服務(wù)的服務(wù)器22和若干用戶23。每一網(wǎng)站21可以通過(guò)因特網(wǎng)連接服務(wù)器22,每一用戶23作為一個(gè)終端可以直接通過(guò)因特網(wǎng)登錄至網(wǎng)站上���。網(wǎng)站除了用戶真正需要訪問(wèn)的網(wǎng)站21外,還可能存在對(duì)網(wǎng)站21進(jìn)行偽冒的假冒網(wǎng)站24���,如何驗(yàn)證用戶登錄的網(wǎng)站是用戶真正需要訪問(wèn)的網(wǎng)站還是假冒網(wǎng)站24。
該服務(wù)器22上設(shè)置防偽簽章簽發(fā)子系統(tǒng),該防偽簽章簽發(fā)子系統(tǒng)至少包括信息注冊(cè)和管理單元�、簽名單元、簽章生成單元和信息隱藏單元�����。
信息注冊(cè)和管理單元�����,用于接收需要防偽簽章服務(wù)的網(wǎng)站21提出的注冊(cè)請(qǐng)求�,并將表明網(wǎng)站身份的注冊(cè)信息如網(wǎng)站域名�、網(wǎng)站名稱��、網(wǎng)站所有者、網(wǎng)站類型以及用于隱藏信息的標(biāo)識(shí)信息等進(jìn)行保存和維護(hù)管理����;簽名單元用于將表明其身份的身份信息�����,如網(wǎng)站域名、網(wǎng)站名稱、網(wǎng)站所有者、網(wǎng)站類型等進(jìn)行編排,再用簽名算法對(duì)編排后的身份信息和標(biāo)識(shí)中的關(guān)鍵域信息進(jìn)行簽名����。考慮到對(duì)所有編排后的身份信息和標(biāo)識(shí)中的關(guān)鍵域信息進(jìn)行簽名,數(shù)據(jù)量可能較大����。即為了縮小簽名后的數(shù)據(jù)量����,還可以將編排后的身份信息和標(biāo)識(shí)中的關(guān)鍵域信息先進(jìn)行摘要,再利用簽名算法對(duì)摘要后的信息進(jìn)行簽名�。簽名的算法很多����,如RSA算法等,但是簽名算法是現(xiàn)有技術(shù)���,在此就不再詳述��。同樣,對(duì)信息進(jìn)行摘要也是現(xiàn)有技術(shù),如使用SHA-1對(duì)信息進(jìn)行摘要�,在此也不再詳述��。
信息隱藏單元用于將包含簽名信息的信息利用隱藏技術(shù)隱藏于標(biāo)識(shí)中���。待隱藏信息除了簽名信息外��,還可以包括表明網(wǎng)站身份的身份信息網(wǎng)站域名、網(wǎng)站名稱����、網(wǎng)站所有者�、網(wǎng)站類型�。
簽章生成單元用于生成所述網(wǎng)站上的防偽簽章�����。即將加入隱藏信息的標(biāo)識(shí)(即防偽簽章)安裝在需要保護(hù)的網(wǎng)頁(yè)上��。網(wǎng)站21可以從服務(wù)器22上下載防偽簽章,并將該防偽簽章設(shè)置在需要保護(hù)的網(wǎng)頁(yè)上�,并且,標(biāo)識(shí)可以和網(wǎng)站的URL(網(wǎng)址)進(jìn)行綁定��。
每一需要驗(yàn)證登錄的網(wǎng)站真假的用戶在本端預(yù)先設(shè)置防偽簽章識(shí)別器�。用戶可以通過(guò)因特網(wǎng)下載防偽簽章識(shí)別器,也可以本地安裝防偽簽章識(shí)別器���。為了方便使用,可以將防偽簽章識(shí)別器直接安裝在瀏覽器上��,若是郵件發(fā)送者的身份認(rèn)證,也可以將防偽簽章識(shí)別器直接設(shè)置在outlook等郵件收發(fā)器�。利用防偽簽章識(shí)別器來(lái)識(shí)別網(wǎng)站的真?zhèn)巍1景l(fā)明的防偽簽章識(shí)別器用于先判斷是否存在防偽簽章��,然后判斷防偽簽章的真?zhèn)蝐1先從防偽簽章中提取簽名后的信息和編排后的信息和從標(biāo)識(shí)中提取關(guān)鍵域信息����;c2對(duì)編排后的信息和關(guān)鍵域信息進(jìn)行簽名或者對(duì)編排后的信息和關(guān)鍵域信息先進(jìn)行摘要再進(jìn)行驗(yàn)證簽名(比如還包括c3用防偽簽章識(shí)別器中的公鑰解密簽名后的信息���,c4對(duì)比解密簽名后的信息與c2編排后或摘要后信息,若相同,則驗(yàn)證通過(guò)�����,否則驗(yàn)證未通過(guò))�,若驗(yàn)證通過(guò)�,則該網(wǎng)站通過(guò)身份認(rèn)證�,否則該網(wǎng)站未通過(guò)身份認(rèn)證�。
郵件發(fā)送者的身份認(rèn)證采用的認(rèn)證方式和網(wǎng)站的身份認(rèn)證相類似����,郵件發(fā)送者通過(guò)訪問(wèn)提供防偽簽章的服務(wù)器���,提供注冊(cè)信息����。服務(wù)器的防偽簽章簽發(fā)子系統(tǒng)生成防偽簽章���,郵件發(fā)送者下載該防偽簽章�����,并在每次發(fā)送的郵件中都包含此防偽簽章���,郵件的接收者安裝對(duì)應(yīng)的防偽簽章識(shí)別器,通過(guò)防偽簽章識(shí)別器來(lái)識(shí)別接收到的郵件中的簽章,進(jìn)而判斷該郵件發(fā)送者的真?zhèn)巍?br>
本發(fā)明還提供了一種身份驗(yàn)證方法����。請(qǐng)參閱圖3����,其為本發(fā)明的身份驗(yàn)證方法的流程圖。它包括S110被驗(yàn)證對(duì)象預(yù)先將表明本被驗(yàn)證對(duì)象身份的身份信息進(jìn)行數(shù)字簽名,并將簽名信息隱藏于本被驗(yàn)證對(duì)象的一標(biāo)識(shí)中來(lái)生成防偽簽章�;S120當(dāng)用戶需要驗(yàn)證某一對(duì)象身份時(shí)��,判斷所述對(duì)象內(nèi)是否存在防偽簽章,若否����,則所述對(duì)象未通過(guò)身份驗(yàn)證����,否則����,通過(guò)讀出隱藏于所述標(biāo)識(shí)中的信息來(lái)識(shí)別所述防偽簽章的真?zhèn)芜M(jìn)一步驗(yàn)證所述對(duì)象的身份���。
步驟S110中對(duì)所述身份信息進(jìn)行數(shù)字簽名具體為先將所述身份信息依次進(jìn)行編排�,再用簽名算法對(duì)編排后的身份信息和標(biāo)識(shí)中的關(guān)鍵域信息進(jìn)行簽名��,隨后將所述簽名后的信息與編排后的身份信息組成待隱藏信息����。步驟S120中識(shí)別所述防偽簽章的真?zhèn)蝸?lái)進(jìn)一步驗(yàn)證所述對(duì)象的身份具體為(a1)從防偽簽章中提取簽名后的信息和編排后的信息�����;(a2)從標(biāo)識(shí)中提取關(guān)鍵域信息�����;(a3)采用和步驟S110中相同的簽名算法對(duì)編排后的信息和關(guān)鍵域信息進(jìn)行驗(yàn)證簽名��,若驗(yàn)證通過(guò)��,則所述對(duì)象通過(guò)身份認(rèn)證,否則所述對(duì)象未通過(guò)身份認(rèn)證�。
步驟S110中對(duì)所述身份信息進(jìn)行數(shù)字簽名還可以具體為先將所述身份信息依次進(jìn)行編排�,再用摘要算法對(duì)編排后的身份信息和標(biāo)識(shí)中的關(guān)鍵域信息進(jìn)行摘要,隨后將摘要后的信息用簽名算法進(jìn)行簽名����,然后將所述簽名后的信息與編排后的身份信息組成待隱藏信息。步驟S120中識(shí)別所述防偽簽章的真?zhèn)蝸?lái)進(jìn)一步驗(yàn)證所述對(duì)象的身份具體為(b1)從防偽簽章中提取簽名后的信息和編排后的信息����;(b2)從標(biāo)識(shí)中提取關(guān)鍵域信息��;(b3)采用和步驟S110中相同的摘要算法對(duì)編排后的信息和關(guān)鍵域信息進(jìn)行摘要;(b4)采用和步驟S110中相同的簽名算法對(duì)摘要后的信息進(jìn)行驗(yàn)證簽名��,若驗(yàn)證通過(guò),則所述對(duì)象通過(guò)身份認(rèn)證��,否則所述對(duì)象未通過(guò)身份認(rèn)證���。
步驟S110中將所述待隱藏信息隱藏于標(biāo)識(shí)中進(jìn)一步指利用空域算法將待隱藏信息隱藏于BMP圖像文件中�,具體包括將待隱藏信息轉(zhuǎn)化為二進(jìn)制數(shù)據(jù)碼流���;將文件圖像數(shù)據(jù)部分的每個(gè)字節(jié)的奇偶性與所述二進(jìn)制數(shù)據(jù)碼流進(jìn)行比較����;若該字節(jié)的奇偶性與對(duì)應(yīng)二進(jìn)制數(shù)據(jù)碼不一致����,則通過(guò)調(diào)整該字節(jié)最低位的“0”和“1”來(lái)改變字節(jié)的奇偶性�����,使之與二進(jìn)制數(shù)據(jù)流一致。上述公開(kāi)隱藏算法僅是其中一種較為常見(jiàn)的將待隱藏信息隱藏于標(biāo)識(shí)的方式����,但本發(fā)明并不是僅局限于這一種隱藏處理方式��。
以下以被驗(yàn)證對(duì)象為網(wǎng)站為例�,來(lái)說(shuō)明本發(fā)明的網(wǎng)站身份驗(yàn)證流程���。網(wǎng)站的身份信息為網(wǎng)站域名���、網(wǎng)站名稱�����、網(wǎng)站所有者�����、網(wǎng)站類型,標(biāo)識(shí)為一BMP格式的文件����。
(一)網(wǎng)站預(yù)先進(jìn)行數(shù)字簽名,并將簽名信息隱藏于BMP圖像文件中��,生成網(wǎng)站的防偽簽章1、首先對(duì)身份信息進(jìn)行數(shù)字簽名簽名流程如下(1).將上述信息按照下面的XML(可擴(kuò)展標(biāo)記語(yǔ)言)格式編排���;(2).使用SHA-1對(duì)身份信息和圖像關(guān)鍵域信息(比如BMP圖像文件中每一字節(jié)的高字節(jié))作摘要���;(3).使用RSA算法簽名第(2)步摘要后的信息���;(4).最后將第(3)步的結(jié)果填充到第(1)步的signature(簽名)域中。
XML詳細(xì)格式如下<Anti-phishing signature>
<URL>www.aaa.comc.cn</URL>
<Web server name>某某網(wǎng)站</Web server name>
<Web server owner>某某有限責(zé)任公司</Web server owner>
<Web server type>購(gòu)物網(wǎng)站</Web server type>
<Signature>0A539C1851477A9A27C5B310E1917867A88C61D8FFF3E322EB56BF917BF57695E3CBDE461E11E7DD33CC1CD6A6420C74C148BF06F2D3FF122DDB5ED87119DEFCB3C8E6A51FF9FEA36EC25490377A5000E3033DDE54B38ED94A72BD67073989A15DD376E4092F4307EBED6C2EF404D5E89145FF30E54FE495646BFB576CFC12CF</Signature>
</Anti-phishing signature>
2��、將上述的XML信息隱藏于BMP圖像中將信息隱藏于圖片有很多中方法����,如空域算法、變化域算法���、擴(kuò)展頻譜通信算法�、壓縮域算法、NEC算法以及生理模型算法等�。我們以最為簡(jiǎn)單的空域算法將信息隱藏于bmp圖像舉例說(shuō)明���。
BMP圖像文件是位圖文件�����,位圖表示的是將一幅圖像分割成柵格����,柵格的每一點(diǎn)稱為像素,每一個(gè)像素具有自已的RG值(RG值用于表明該像素的顏色狀況)��,即一幅圖像是由一系列像素點(diǎn)構(gòu)成的點(diǎn)陣�����。24位BMP圖像文件的結(jié)構(gòu)特點(diǎn)為①每個(gè)文件只能非壓縮地存放一幅彩色圖像���;②文件頭由54個(gè)字節(jié)的數(shù)據(jù)段組成�,其中包含有該位圖文件的類型��、大小��、圖像尺寸及打印格式等��;③從第55個(gè)字節(jié)開(kāi)始,是該文件的圖像數(shù)據(jù)部分�,數(shù)據(jù)的排列順序以圖像的左下角為起點(diǎn),每連續(xù)3個(gè)字節(jié)便描述圖像一個(gè)像素點(diǎn)的顏色信息�,這三個(gè)字節(jié)分別代表藍(lán)����、綠、紅三基色在此像素中的亮度,若某連續(xù)三個(gè)字節(jié)為00H���,00H�,F(xiàn)FH���,則表示該像素的顏色為純紅色�。
一幅24位BMP圖像�,由54字節(jié)的文件頭和圖像數(shù)據(jù)部分組成���,其中文件頭不能隱藏信息,從第55字節(jié)以后為圖像數(shù)據(jù)部分�,可以隱藏信息���。圖像數(shù)據(jù)部分是由一系列的8位二進(jìn)制數(shù)所組成,由于每個(gè)8位二進(jìn)制數(shù)中“1”的個(gè)數(shù)或者為奇數(shù)或者為偶數(shù)�,約定若一個(gè)字節(jié)中“1”的個(gè)數(shù)為奇數(shù)�����,則稱該字節(jié)為奇性字節(jié),用“1”表示�;若一個(gè)字節(jié)中“1”的個(gè)數(shù)為偶數(shù),則稱該字節(jié)為偶性字節(jié),用“0”表示����。我們用每個(gè)字節(jié)的奇偶性來(lái)表示隱藏的信息。
舉例設(shè)一段24位BMP文件的數(shù)據(jù)為01100110���,00111100��,10001111�,00011010���,00000000,10101011��,00111110��,10110000����,則其字節(jié)的奇偶排序?yàn)?���,0�����,1,1��,0���,1���,1,1?,F(xiàn)在需要隱藏信息79���,由于79轉(zhuǎn)化為8位二進(jìn)制為01001111���,將這兩個(gè)數(shù)列相比較,發(fā)現(xiàn)第2�,3�����,4�,5位不一致��,于是對(duì)這段24位BMP文件數(shù)據(jù)的某些字節(jié)的奇偶性進(jìn)行調(diào)制��,使其與79轉(zhuǎn)化的8位二進(jìn)制相一致第2位將00111100變?yōu)?0111101,則該字節(jié)由偶變?yōu)槠?���;?位將10001111變?yōu)?0001110��,則該字節(jié)由奇變?yōu)榕?���;?位將00011010變?yōu)?0011011��,則該字節(jié)由奇變?yōu)榕?����;?位將00000000變?yōu)?0000001��,則該字節(jié)由偶變?yōu)槠?���;?jīng)過(guò)這樣的調(diào)制��,此24位BMP文件數(shù)據(jù)段字節(jié)的奇偶性便與79轉(zhuǎn)化的8位二進(jìn)制數(shù)完全相同����,這樣���,8個(gè)字節(jié)便隱藏了一個(gè)字節(jié)的信息����。
綜上所述���,將信息嵌入BMP文件的步驟為I.將待隱藏信息轉(zhuǎn)化為二進(jìn)制數(shù)據(jù)碼流����;II.將BMP文件圖像數(shù)據(jù)部分的每個(gè)字節(jié)的奇偶性與上述二進(jìn)制數(shù)碼流進(jìn)行比較;III.通過(guò)調(diào)整字節(jié)最低位的“0”或“1”�,改變字節(jié)的奇偶性��,使之與上述二進(jìn)制數(shù)據(jù)流一致����,即將信息嵌入到24位BMP圖像中��。
3.2的XML信息大概0.5k左右��,按照上述的信息隱藏辦法4k的圖像文件即可。使用上述方法將信息隱藏于網(wǎng)站標(biāo)識(shí)中生成防偽簽章���,該防偽簽章可以置于網(wǎng)站的醒目位置���。
(二)用戶利用防偽簽章識(shí)別器來(lái)識(shí)別訪問(wèn)網(wǎng)站的真?zhèn)畏纻巫R(shí)別器是使用嵌入IE編程技術(shù)實(shí)現(xiàn)的客戶端程序����,由用戶下載并安裝于自己PC。安裝完成后�����,在IE瀏覽器上將有一個(gè)圖標(biāo)用來(lái)啟動(dòng)防偽識(shí)別器。當(dāng)訪問(wèn)到有3.3標(biāo)識(shí)的網(wǎng)站時(shí)�,可以啟用它來(lái)驗(yàn)證該防偽標(biāo)簽的真實(shí)性,同時(shí)也就驗(yàn)證了網(wǎng)站的真實(shí)性���,任何對(duì)防偽標(biāo)簽的修改,任何防偽標(biāo)簽的非法使用都將被檢測(cè)到����。
驗(yàn)證流程如下1.從當(dāng)前訪問(wèn)的網(wǎng)站HTML(超文本鏈接標(biāo)示語(yǔ)言)響應(yīng)代碼中發(fā)現(xiàn)防偽標(biāo)簽和當(dāng)前URL����;2.從防偽標(biāo)簽中提取3.2中的XML信息����;3.提取圖像關(guān)鍵域信息;4.對(duì)網(wǎng)站域名����、網(wǎng)站名稱��、網(wǎng)站所有者����、網(wǎng)站類型和防偽簽章圖片關(guān)鍵信息域作摘要����;5.用防偽簽章簽發(fā)子系統(tǒng)的公鑰解密3.2中signature域�����;6.對(duì)比第4步和第5步的結(jié)果以驗(yàn)證簽名的合法性��。
即上述驗(yàn)證過(guò)程包括以下步驟(1)網(wǎng)站申請(qǐng)防偽簽章首先,簽章服務(wù)機(jī)構(gòu)驗(yàn)證提出申請(qǐng)的網(wǎng)站的身份���,然后防偽簽章簽發(fā)子系統(tǒng)生成防偽簽章��,隨后���,將該防偽簽章發(fā)送對(duì)該網(wǎng)站,最后���,該網(wǎng)站將防偽簽章加載地其網(wǎng)站的醒目位置以便瀏覽者識(shí)別����,通常,網(wǎng)站可以將標(biāo)識(shí)與網(wǎng)站的URL進(jìn)行綁定����。
(2)用戶驗(yàn)證網(wǎng)站首先,用戶下載安裝簽章服務(wù)機(jī)構(gòu)的防偽簽章識(shí)別器��,當(dāng)用戶相驗(yàn)證訪問(wèn)的某個(gè)網(wǎng)站的真實(shí)性時(shí)�����,點(diǎn)擊瀏覽器上的防偽簽章識(shí)別器標(biāo)識(shí)���,防偽簽章識(shí)別器驗(yàn)證網(wǎng)站真實(shí)性���,并提示用戶識(shí)別結(jié)果。
通過(guò)上述流程��,由于在本發(fā)明的流程中增加了安全簽章防篡改和識(shí)別步驟���,因此能夠準(zhǔn)確識(shí)別網(wǎng)站的真?zhèn)?����。并且��,每次?yàn)證無(wú)需訪問(wèn)第三方網(wǎng)站�,不僅不占用網(wǎng)絡(luò)資源,而且也減少了由于網(wǎng)絡(luò)欺詐帶來(lái)驗(yàn)證結(jié)果不準(zhǔn)確以及由于網(wǎng)絡(luò)故障帶來(lái)驗(yàn)證困難的事件發(fā)生。
郵件發(fā)送者的身份識(shí)別和網(wǎng)站身份的識(shí)別類似�,在此就不再贅述����。本發(fā)明公開(kāi)了幾個(gè)具體實(shí)施例�����,但本發(fā)明并非局限于此,任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落在本發(fā)明的保護(hù)范圍內(nèi)����。
權(quán)利要求
1.一種身份驗(yàn)證方法�,其特征在于,包括(1)被驗(yàn)證對(duì)象預(yù)先將表明本被驗(yàn)證對(duì)象身份的身份信息進(jìn)行數(shù)字簽名�,并將簽名信息隱藏于本被驗(yàn)證對(duì)象的一標(biāo)識(shí)中來(lái)生成防偽簽章�;(2)當(dāng)用戶需要驗(yàn)證某一對(duì)象身份時(shí)��,判斷所述對(duì)象內(nèi)是否存在防偽簽章���,若否��,則所述對(duì)象未通過(guò)身份驗(yàn)證,否則�,通過(guò)讀出隱藏于所述標(biāo)識(shí)中的信息來(lái)識(shí)別所述防偽簽章的真?zhèn)芜M(jìn)一步驗(yàn)證所述對(duì)象的身份�����。
2.如權(quán)利要求1所述的身份驗(yàn)證方法,其特征在于����,步驟(1)中對(duì)所述身份信息進(jìn)行數(shù)字簽名具體為先將所述身份信息依次進(jìn)行編排,再用簽名算法對(duì)編排后的身份信息和標(biāo)識(shí)中的關(guān)鍵域信息進(jìn)行簽名�����,隨后將所述簽名后的信息與編排后的身份信息組成待隱藏信息。
3.如權(quán)利要求1所述的身份驗(yàn)證方法��,其特征在于�,步驟(1)中對(duì)所述身份信息進(jìn)行數(shù)字簽名具體為先將所述身份信息依次進(jìn)行編排,再用摘要算法對(duì)編排后的身份信息和標(biāo)識(shí)中的關(guān)鍵域信息進(jìn)行摘要,隨后將摘要后的信息用簽名算法進(jìn)行簽名�,然后將所述簽名后的信息與編排后的身份信息組成待隱藏信息。
4.如權(quán)利要求2或3所述的身份驗(yàn)證方法����,其特征在于,步驟(1)中利用隱藏算法將所述待隱藏信息隱藏于標(biāo)識(shí)中��,所述隱藏算法包括空域算法���、變化域算法、擴(kuò)展頻譜通信算法����、壓縮域算法��、NEC算法或生理模型算法����,所述標(biāo)識(shí)包括圖像����、文字����、聲音。
5.如權(quán)利要求4所述的身份驗(yàn)證方法��,其特征在于,步驟(1)中將所述待隱藏信息隱藏于標(biāo)識(shí)中進(jìn)一步指利用空域算法將待隱藏信息隱藏于BMP圖像文件中�,具體包括將待隱藏信息轉(zhuǎn)化為二進(jìn)制數(shù)據(jù)碼流;將文件圖像數(shù)據(jù)部分的每個(gè)字節(jié)的奇偶性與所述二進(jìn)制數(shù)據(jù)碼流進(jìn)行比較�����;若該字節(jié)的奇偶性與對(duì)應(yīng)二進(jìn)制數(shù)據(jù)碼不一致,則通過(guò)調(diào)整該字節(jié)最低位的“0”和“1”來(lái)改變字節(jié)的奇偶性,使之與二進(jìn)制數(shù)據(jù)流一致���。
6.如權(quán)利要求2所述的身份驗(yàn)證方法��,其特征在于,步驟(2)中識(shí)別所述防偽簽章的真?zhèn)蝸?lái)進(jìn)一步驗(yàn)證所述對(duì)象的身份具體為(a1)從防偽簽章中提取簽名后的信息和編排后的信息���;(a2)從標(biāo)識(shí)中提取關(guān)鍵域信息;(a3)采用和步驟(1)中相同的簽名算法對(duì)編排后的信息和關(guān)鍵域信息進(jìn)行驗(yàn)證簽名�����,若驗(yàn)證通過(guò)�,則所述對(duì)象通過(guò)身份認(rèn)證,否則所述對(duì)象未通過(guò)身份認(rèn)證�。
7.如權(quán)利要求3所述的身份驗(yàn)證方法�,其特征在于���,步驟(2)中識(shí)別所述防偽簽章的真?zhèn)蝸?lái)進(jìn)一步驗(yàn)證所述對(duì)象的身份具體為(b1)從防偽簽章中提取簽名后的信息和編排后的信息;(b2)從標(biāo)識(shí)中提取關(guān)鍵域信息��;(b3)采用和步驟(1)中相同的摘要算法對(duì)編排后的信息和關(guān)鍵域信息進(jìn)行摘要��;(b4)采用和步驟(1)中相同的簽名算法對(duì)摘要后的信息進(jìn)行驗(yàn)證簽名�����,若驗(yàn)證通過(guò),則所述對(duì)象通過(guò)身份認(rèn)證�����,否則所述對(duì)象未通過(guò)身份認(rèn)證�����。
8.一種身份驗(yàn)證系統(tǒng),其特征在于���,包括防偽簽章簽發(fā)子系統(tǒng)和防偽簽章識(shí)別器,其中防偽簽章簽發(fā)子系統(tǒng)對(duì)表明被驗(yàn)證對(duì)象身份的身份信息進(jìn)行數(shù)字簽名�,并將簽名信息隱藏于被驗(yàn)證對(duì)象的一標(biāo)識(shí)中來(lái)生成防偽簽章;防偽簽章識(shí)別器設(shè)置在用戶端���,用以判斷需要驗(yàn)證的對(duì)象內(nèi)是否存在防偽簽章以及讀取隱藏于標(biāo)識(shí)中的信息來(lái)識(shí)別防偽簽章的真?zhèn)危员泸?yàn)證所述對(duì)象的身份����。
9.如權(quán)利要求8所述的身份驗(yàn)證系統(tǒng),其特征在于�,所述被驗(yàn)證對(duì)象包括網(wǎng)站和郵件�����,防偽簽章識(shí)別器利用因特網(wǎng)進(jìn)行下載直接設(shè)置在瀏覽器上或郵件收發(fā)器上�����。
10.如權(quán)利要求8所述的身份驗(yàn)證系統(tǒng)���,其特征在于,所述防偽簽章簽發(fā)子系統(tǒng)包括信息注冊(cè)和管理單元�����、簽名單元�、簽章生成單元和信息隱藏單元����,其中信息注冊(cè)和管理單元,用于對(duì)使用防偽簽章的被驗(yàn)證對(duì)象的身份信息注冊(cè)和維護(hù)管理�����;簽名單元用于對(duì)包括身份信息的信息進(jìn)行簽名���;信息隱藏單元用于利用隱藏算法將簽名后的信息隱藏于所述標(biāo)識(shí)中�����。簽章生成單元用于生成所述防驗(yàn)證對(duì)象上的防偽簽章����。
全文摘要
一種身份驗(yàn)證方法���,它包括(1)被驗(yàn)證對(duì)象預(yù)先將表明本被驗(yàn)證對(duì)象身份的身份信息進(jìn)行數(shù)字簽名,并將簽名信息隱藏于本被驗(yàn)證對(duì)象的一標(biāo)識(shí)中來(lái)生成防偽簽章���;(2)當(dāng)用戶需要驗(yàn)證某一對(duì)象身份時(shí)�,判斷所述對(duì)象內(nèi)是否存在防偽簽章���,若否���,則所述對(duì)象未通過(guò)身份驗(yàn)證�,否則��,通過(guò)讀出隱藏于所述標(biāo)識(shí)中的信息來(lái)識(shí)別所述防偽簽章的真?zhèn)芜M(jìn)一步驗(yàn)證所述對(duì)象的身份�����。在本發(fā)明的流程中增加了安全簽章防篡改和識(shí)別步驟�����,因此能夠準(zhǔn)確識(shí)別對(duì)象的真?zhèn)?����。并且���,每次?yàn)證無(wú)需訪問(wèn)第三方網(wǎng)站,不僅不占用網(wǎng)絡(luò)資源���,而且也減少了由于網(wǎng)絡(luò)欺詐帶來(lái)驗(yàn)證結(jié)果不準(zhǔn)確以及由于網(wǎng)絡(luò)故障帶來(lái)驗(yàn)證困難的事件發(fā)生�。本發(fā)明還提供了相應(yīng)的身份驗(yàn)證系統(tǒng)�。
文檔編號(hào)H04L9/32GK1960249SQ20051003094
公開(kāi)日2007年5月9日 申請(qǐng)日期2005年10月31日 優(yōu)先權(quán)日2005年10月31日
發(fā)明者郭銳, 李登峰, 潘鋼 申請(qǐng)人:中國(guó)銀聯(lián)股份有限公司