專利名稱:身份驗證方法及身份驗證系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)�,尤其涉及一種用以進(jìn)行身份驗證的方法及系統(tǒng),特別是有關(guān)對網(wǎng)站的真?zhèn)?��、發(fā)送郵件的發(fā)送者身份等進(jìn)行驗證的方法及驗證系統(tǒng)�����。
背景技術(shù):
近來,各類假冒網(wǎng)站�、假冒郵件等非常猖獗,給企業(yè)和使用者帶來了很大損失����。比如,假冒各大金融機(jī)構(gòu)網(wǎng)站來盜取持卡人密碼和賬號信息的事件時有發(fā)生�,不僅給銀行和持卡人造成了巨大的損失,而且嚴(yán)重影響了持卡人使用網(wǎng)上業(yè)務(wù)的信心,進(jìn)而影響了該類業(yè)務(wù)的迅猛發(fā)展��。
為此���,現(xiàn)有技術(shù)中提出了很多身份驗證方法����,來盡可能防止假冒網(wǎng)站���、假冒郵件的發(fā)生�。以下以對網(wǎng)站身份驗證為例來說明常見的身份驗證方法---利用第三方對網(wǎng)站或郵件的真實性進(jìn)行驗證��。
比如網(wǎng)站可以在申請VeriSign(VeriSign為第三方)服務(wù)器證書的同時申請VeriSign安全簽章服務(wù)����;VeriSign在數(shù)據(jù)庫中存儲該網(wǎng)站的安全簽章以及注冊信息;隨后�,網(wǎng)站在需要驗證的網(wǎng)頁上嵌入VeriSign安全簽章代碼。
每當(dāng)用戶訪問網(wǎng)站時���,可以通過點(diǎn)擊網(wǎng)頁上的安全簽章對網(wǎng)站進(jìn)行身份認(rèn)證����。若所述網(wǎng)站是在VerSign上預(yù)先進(jìn)行注冊,則用戶能看到該安全簽章對應(yīng)的網(wǎng)站注冊信息����,并且,該安全簽章對應(yīng)的網(wǎng)站注冊信息和用戶要訪問的網(wǎng)站一致�,否則,所述網(wǎng)站即為仿冒網(wǎng)站�。
VeriSign安全簽章是利用第三方對網(wǎng)站身份進(jìn)行認(rèn)證,由于其安全簽章都一個簡單的圖片或Flash(由macromedia公司推出的交互式矢量圖和Web動畫的標(biāo)準(zhǔn))����,而沒有相應(yīng)的安全簽章防篡改和識別工具,所以非常容易被偽冒�����,由此造成對網(wǎng)站身份認(rèn)證的可靠性降低����。
除了上述網(wǎng)站身份認(rèn)證方法外�����,現(xiàn)有技術(shù)還可以通過電子營業(yè)執(zhí)照進(jìn)行網(wǎng)站身份認(rèn)證���。即����,先由工商部門給網(wǎng)站頒發(fā)電子營業(yè)執(zhí)照,然后用戶通過驗證器驗證電子營業(yè)執(zhí)照的真?zhèn)?����,進(jìn)而判斷網(wǎng)站是否偽冒��。這種方法能夠在一定程度上保證身份認(rèn)證的可靠性���,但是,申請電子營業(yè)執(zhí)照的網(wǎng)站需要相應(yīng)的數(shù)字證書,為了保證身份認(rèn)證的可靠性���,該數(shù)字證書的簽發(fā)、管理以及更新流程較為復(fù)雜,從而使得這種進(jìn)行網(wǎng)站身份認(rèn)證的方法也非常復(fù)雜��,由此造成實現(xiàn)起來很不方便����。
2005年1月31日深圳市沃通通信服務(wù)有限公司向中國知識產(chǎn)權(quán)局申請的申請?zhí)枮椤?0051020006.6”的申請文件中����,公開了一種綁定域名和域名注冊者身份的網(wǎng)站身份認(rèn)證的實現(xiàn)方法����。在網(wǎng)站需要顯示認(rèn)證簽章的網(wǎng)頁上加上程序代碼,并在網(wǎng)站的根目錄上放置一個含有被認(rèn)證網(wǎng)站的唯一編碼的認(rèn)證文件���。當(dāng)用戶訪問此網(wǎng)頁時��,認(rèn)證代碼將把被訪問的網(wǎng)站的網(wǎng)址信息和認(rèn)證文件的信息發(fā)回認(rèn)證機(jī)構(gòu)的認(rèn)證管理服務(wù)器,實時驗證此網(wǎng)站的真實身份���。如果通過驗證�����,則在此網(wǎng)頁上動態(tài)顯示一個自動生成含有認(rèn)證機(jī)構(gòu)名稱��、含有網(wǎng)站所有者公章縮微圖樣����、含有生成簽章時標(biāo)準(zhǔn)時間的認(rèn)證簽章圖案�����。上述方法也同樣存在易于偽冒的技術(shù)問題��,從而造成認(rèn)證可靠性差的技術(shù)問題����。并且���,每一次身份驗證都需要訪問認(rèn)證機(jī)構(gòu)���,不僅需要占用大量的網(wǎng)絡(luò)資源�����,甚至造成進(jìn)出認(rèn)證機(jī)構(gòu)的網(wǎng)路阻塞�����,而且由于需要通過因特網(wǎng)訪問認(rèn)證機(jī)構(gòu)由此造成每一次身份驗證占用時間很長��。
綜上所述�,現(xiàn)有的身份認(rèn)證方法存在認(rèn)證可靠性差��、實現(xiàn)過程較為復(fù)雜的技術(shù)問題。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供了一種身份驗證方法及身份驗證系統(tǒng)���,以提高身份認(rèn)證方法的可靠性���、并簡化實現(xiàn)過程。
為解決上述問題���,本發(fā)明公開了一種身份驗證方法�,包括
(1)被驗證對象預(yù)先將表明本被驗證對象身份的身份信息進(jìn)行數(shù)字簽名�,并將簽名信息隱藏于本被驗證對象的一標(biāo)識中來生成防偽簽章;(2)當(dāng)用戶需要驗證某一對象身份時�,判斷所述對象內(nèi)是否存在防偽簽章�����,若否�����,則所述對象未通過身份驗證�����,否則,通過讀出隱藏于所述標(biāo)識中的信息來識別所述防偽簽章的真?zhèn)芜M(jìn)一步驗證所述對象的身份����。
步驟(1)中對所述身份信息進(jìn)行數(shù)字簽名具體為先將所述身份信息依次進(jìn)行編排,再用簽名算法對編排后的身份信息和標(biāo)識中的關(guān)鍵域信息進(jìn)行簽名�,隨后將所述簽名后的信息與編排后的身份信息組成待隱藏信息。
步驟(1)中對所述身份信息進(jìn)行數(shù)字簽名也可以具體為先將所述身份信息依次進(jìn)行編排�,再用摘要算法對編排后的身份信息和標(biāo)識中的關(guān)鍵域信息進(jìn)行摘要,隨后將摘要后的信息用簽名算法進(jìn)行簽名�,然后將所述簽名后的信息與編排后的身份信息組成待隱藏信息。
步驟(1)中利用隱藏算法將所述待隱藏信息隱藏于標(biāo)識中����,所述隱藏算法包括空域算法、變化域算法��、擴(kuò)展頻譜通信算法����、壓縮域算法、NEC算法或生理模型算法���,所述標(biāo)識包括圖像���、文字���、聲音。
步驟(1)中將所述待隱藏信息隱藏于標(biāo)識中進(jìn)一步指利用空域算法將待隱藏信息隱藏于BMP(位圖文件)圖像文件中���,具體包括將待隱藏信息轉(zhuǎn)化為二進(jìn)制數(shù)據(jù)碼流�����;將文件圖像數(shù)據(jù)部分的每個字節(jié)的奇偶性與所述二進(jìn)制數(shù)據(jù)碼流進(jìn)行比較�����;若該字節(jié)的奇偶性與對應(yīng)二進(jìn)制數(shù)據(jù)碼不一致���,則通過調(diào)整該字節(jié)最低位的“0”和“1”來改變字節(jié)的奇偶性,使之與二進(jìn)制數(shù)據(jù)流一致��。
步驟(2)中識別所述防偽簽章的真?zhèn)蝸磉M(jìn)一步驗證所述對象的身份具體為(a1)從防偽簽章中提取簽名后的信息和編排后的信息���;(a2)從標(biāo)識中提取關(guān)鍵域信息;(a3)采用和步驟(1)中相同的簽名算法對編排后的信息和關(guān)鍵域信息進(jìn)行驗證簽名����,若驗證通過��,則所述對象通過身份認(rèn)證����,否則所述對象未通過身份認(rèn)證�。
步驟(2)中識別所述防偽簽章的真?zhèn)蝸磉M(jìn)一步驗證所述對象的身份具體為(b1)從防偽簽章中提取簽名后的信息和編排后的信息;(b2)從標(biāo)識中提取關(guān)鍵域信息�����;(b3)采用和步驟(1)中相同的摘要算法對編排后的信息和關(guān)鍵域信息進(jìn)行摘要�����;(b4)采用和步驟(1)中相同的簽名算法對摘要后的信息進(jìn)行驗證簽名��,若驗證通過�����,則所述對象通過身份認(rèn)證����,否則所述對象未通過身份認(rèn)證。
本發(fā)明公開了一種身份驗證系統(tǒng),包括防偽簽章簽發(fā)子系統(tǒng)和防偽簽章識別器�����,其中防偽簽章簽發(fā)子系統(tǒng)對表明被驗證對象身份的身份信息進(jìn)行數(shù)字簽名�����,并將簽名信息隱藏于被驗證對象的一標(biāo)識中來生成防偽簽章�����;防偽簽章識別器設(shè)置在用戶端�����,用以判斷需要驗證的對象內(nèi)是否存在防偽簽章以及讀取隱藏于標(biāo)識中的信息來識別防偽簽章的真?zhèn)?��,以便驗證所述對象的身份���。
所述被驗證對象包括網(wǎng)站和郵件,防偽簽章識別器可以利用因特網(wǎng)進(jìn)行下載直接設(shè)置在郵件收發(fā)器上或設(shè)置在瀏覽器上�。
所述防偽簽章簽發(fā)子系統(tǒng)包括信息注冊和管理單元����、簽名單元��、簽章生成單元和信息隱藏單元�����,其中信息注冊和管理單元���,用于對使用防偽簽章的被驗證對象的身份信息注冊和維護(hù)管理;簽名單元用于對包括身份信息的信息進(jìn)行簽名�;信息隱藏單元用于利用隱藏算法將簽名后的信息隱藏于所述標(biāo)識中;簽章生成單元用于生成所述防驗證對象上的防偽簽章��。
與現(xiàn)有技術(shù)相比��,本發(fā)明具有以下優(yōu)點(diǎn)由于在本發(fā)明的流程中增加了安全簽章防篡改和識別步驟���,因此能夠準(zhǔn)確識別對象的真?zhèn)?���。并且����,每次驗證無需訪問第三方網(wǎng)站,不僅不占用網(wǎng)絡(luò)資源,而且也減少了由于網(wǎng)絡(luò)欺詐帶來驗證結(jié)果不準(zhǔn)確以及由于網(wǎng)絡(luò)故障帶來驗證困難的事件發(fā)生��。同時����,身份驗證實現(xiàn)起來也非常簡單。
圖1是本發(fā)明身份驗證系統(tǒng)的結(jié)構(gòu)示意圖�����;圖2是對網(wǎng)站進(jìn)行身份認(rèn)證的身份驗證系統(tǒng)的結(jié)構(gòu)示意圖����;圖3是本發(fā)明身份驗證方法的流程示意圖。
具體實施例方式
以下結(jié)合附圖���,具體說明本發(fā)明�����。
現(xiàn)有技術(shù)需要通過第三方來對對象(對象包括網(wǎng)站和郵件發(fā)送者)進(jìn)行身份識別��,設(shè)置在對象上的防偽簽章都只是一個簡單的標(biāo)識�,如圖片或Flash����,而沒有相應(yīng)的安全簽章防篡改和識別工具,由此造成很容易被偽冒���,進(jìn)而使得郵件或網(wǎng)站的可靠性降低����。本發(fā)明的核心在于��,只要網(wǎng)絡(luò)上雙方需要進(jìn)行身份認(rèn)證����,就可以設(shè)置安全簽章和識別工具����,比如在將關(guān)鍵信息隱藏于標(biāo)識中,通過相應(yīng)的識別工具識別標(biāo)識中有無關(guān)鍵信息及所述關(guān)鍵信息是否與預(yù)先隱藏在標(biāo)識中的關(guān)鍵信息一致����,進(jìn)而判斷出需要進(jìn)行身份認(rèn)證的對象的真?zhèn)危纱颂岣吡松矸菡J(rèn)證的可靠性�,同時每次身份驗證時無需通過第三方進(jìn)行認(rèn)證,縮小認(rèn)證響應(yīng)時間�,同時降低因特網(wǎng)網(wǎng)絡(luò)故障帶來認(rèn)證失敗的機(jī)率以及網(wǎng)絡(luò)欺詐帶來認(rèn)證結(jié)果不準(zhǔn)確的事件發(fā)生�,由此提高認(rèn)證的準(zhǔn)確度���。
請參閱圖1��,其為本發(fā)明身份驗證系統(tǒng)的結(jié)構(gòu)示意圖��。它包括防偽簽章簽發(fā)子系統(tǒng)11和防偽簽章識別器12��,其中防偽簽章簽發(fā)子系統(tǒng)11對表明被驗證對象身份的身份信息進(jìn)行數(shù)字簽名���,并將簽名信息隱藏于被驗證對象的一標(biāo)識中來生成防偽簽章���;防偽簽章識別器12設(shè)置在用戶端�,用以判斷需要驗證的對象內(nèi)是否存在防偽簽章以及讀取隱藏于標(biāo)識中的信息來識別防偽簽章的真?zhèn)?,以便驗證所述對象的身份���。通常是通過驗證簽名來達(dá)到驗證防偽簽章真?zhèn)蔚哪康?�。為了驗證簽名,在防偽簽章識別器中設(shè)置有用以驗證簽名的公鑰��。
所述防偽簽章簽發(fā)子系統(tǒng)包括信息注冊和管理單元、簽名單元�����、簽章生成單元和信息隱藏單元����,其中信息注冊和管理單元�,用于對使用防偽簽章的被驗證對象的身份信息注冊和維護(hù)管理���;簽名單元用于對包括身份信息的信息進(jìn)行簽名;信息隱藏單元用于利用隱藏算法將簽名后的信息隱藏于所述標(biāo)識中��;簽章生成單元用于生成所述被驗證對象上的防偽簽章����。
被驗證對象包括網(wǎng)站和郵件����。以下就以驗證網(wǎng)站真?zhèn)螢槔瑏碚f明用于對網(wǎng)站進(jìn)行身份認(rèn)證的身份驗證系統(tǒng)�。請參閱圖2�����,其為對網(wǎng)站進(jìn)行身份認(rèn)證的身份驗證系統(tǒng)的結(jié)構(gòu)示意圖。它包括若干需要接收防偽簽章服務(wù)的網(wǎng)站21����、提供防偽簽章服務(wù)的服務(wù)器22和若干用戶23。每一網(wǎng)站21可以通過因特網(wǎng)連接服務(wù)器22��,每一用戶23作為一個終端可以直接通過因特網(wǎng)登錄至網(wǎng)站上����。網(wǎng)站除了用戶真正需要訪問的網(wǎng)站21外,還可能存在對網(wǎng)站21進(jìn)行偽冒的假冒網(wǎng)站24�����,如何驗證用戶登錄的網(wǎng)站是用戶真正需要訪問的網(wǎng)站還是假冒網(wǎng)站24�。
該服務(wù)器22上設(shè)置防偽簽章簽發(fā)子系統(tǒng),該防偽簽章簽發(fā)子系統(tǒng)至少包括信息注冊和管理單元�����、簽名單元���、簽章生成單元和信息隱藏單元�。
信息注冊和管理單元,用于接收需要防偽簽章服務(wù)的網(wǎng)站21提出的注冊請求���,并將表明網(wǎng)站身份的注冊信息如網(wǎng)站域名�、網(wǎng)站名稱��、網(wǎng)站所有者���、網(wǎng)站類型以及用于隱藏信息的標(biāo)識信息等進(jìn)行保存和維護(hù)管理;簽名單元用于將表明其身份的身份信息�����,如網(wǎng)站域名���、網(wǎng)站名稱���、網(wǎng)站所有者、網(wǎng)站類型等進(jìn)行編排���,再用簽名算法對編排后的身份信息和標(biāo)識中的關(guān)鍵域信息進(jìn)行簽名�。考慮到對所有編排后的身份信息和標(biāo)識中的關(guān)鍵域信息進(jìn)行簽名�,數(shù)據(jù)量可能較大。即為了縮小簽名后的數(shù)據(jù)量���,還可以將編排后的身份信息和標(biāo)識中的關(guān)鍵域信息先進(jìn)行摘要�,再利用簽名算法對摘要后的信息進(jìn)行簽名�。簽名的算法很多,如RSA算法等��,但是簽名算法是現(xiàn)有技術(shù)���,在此就不再詳述���。同樣,對信息進(jìn)行摘要也是現(xiàn)有技術(shù)�,如使用SHA-1對信息進(jìn)行摘要,在此也不再詳述���。
信息隱藏單元用于將包含簽名信息的信息利用隱藏技術(shù)隱藏于標(biāo)識中�。待隱藏信息除了簽名信息外�����,還可以包括表明網(wǎng)站身份的身份信息網(wǎng)站域名、網(wǎng)站名稱�����、網(wǎng)站所有者��、網(wǎng)站類型��。
簽章生成單元用于生成所述網(wǎng)站上的防偽簽章����。即將加入隱藏信息的標(biāo)識(即防偽簽章)安裝在需要保護(hù)的網(wǎng)頁上。網(wǎng)站21可以從服務(wù)器22上下載防偽簽章�����,并將該防偽簽章設(shè)置在需要保護(hù)的網(wǎng)頁上����,并且�����,標(biāo)識可以和網(wǎng)站的URL(網(wǎng)址)進(jìn)行綁定。
每一需要驗證登錄的網(wǎng)站真假的用戶在本端預(yù)先設(shè)置防偽簽章識別器���。用戶可以通過因特網(wǎng)下載防偽簽章識別器����,也可以本地安裝防偽簽章識別器�。為了方便使用,可以將防偽簽章識別器直接安裝在瀏覽器上��,若是郵件發(fā)送者的身份認(rèn)證�����,也可以將防偽簽章識別器直接設(shè)置在outlook等郵件收發(fā)器����。利用防偽簽章識別器來識別網(wǎng)站的真?zhèn)巍1景l(fā)明的防偽簽章識別器用于先判斷是否存在防偽簽章���,然后判斷防偽簽章的真?zhèn)蝐1先從防偽簽章中提取簽名后的信息和編排后的信息和從標(biāo)識中提取關(guān)鍵域信息�;c2對編排后的信息和關(guān)鍵域信息進(jìn)行簽名或者對編排后的信息和關(guān)鍵域信息先進(jìn)行摘要再進(jìn)行驗證簽名(比如還包括c3用防偽簽章識別器中的公鑰解密簽名后的信息����,c4對比解密簽名后的信息與c2編排后或摘要后信息���,若相同,則驗證通過����,否則驗證未通過),若驗證通過��,則該網(wǎng)站通過身份認(rèn)證��,否則該網(wǎng)站未通過身份認(rèn)證��。
郵件發(fā)送者的身份認(rèn)證采用的認(rèn)證方式和網(wǎng)站的身份認(rèn)證相類似��,郵件發(fā)送者通過訪問提供防偽簽章的服務(wù)器�����,提供注冊信息�。服務(wù)器的防偽簽章簽發(fā)子系統(tǒng)生成防偽簽章���,郵件發(fā)送者下載該防偽簽章�����,并在每次發(fā)送的郵件中都包含此防偽簽章�,郵件的接收者安裝對應(yīng)的防偽簽章識別器,通過防偽簽章識別器來識別接收到的郵件中的簽章�����,進(jìn)而判斷該郵件發(fā)送者的真?zhèn)巍?br>
本發(fā)明還提供了一種身份驗證方法��。請參閱圖3����,其為本發(fā)明的身份驗證方法的流程圖。它包括S110被驗證對象預(yù)先將表明本被驗證對象身份的身份信息進(jìn)行數(shù)字簽名��,并將簽名信息隱藏于本被驗證對象的一標(biāo)識中來生成防偽簽章��;S120當(dāng)用戶需要驗證某一對象身份時�,判斷所述對象內(nèi)是否存在防偽簽章,若否�����,則所述對象未通過身份驗證��,否則���,通過讀出隱藏于所述標(biāo)識中的信息來識別所述防偽簽章的真?zhèn)芜M(jìn)一步驗證所述對象的身份�。
步驟S110中對所述身份信息進(jìn)行數(shù)字簽名具體為先將所述身份信息依次進(jìn)行編排,再用簽名算法對編排后的身份信息和標(biāo)識中的關(guān)鍵域信息進(jìn)行簽名���,隨后將所述簽名后的信息與編排后的身份信息組成待隱藏信息���。步驟S120中識別所述防偽簽章的真?zhèn)蝸磉M(jìn)一步驗證所述對象的身份具體為(a1)從防偽簽章中提取簽名后的信息和編排后的信息;(a2)從標(biāo)識中提取關(guān)鍵域信息�����;(a3)采用和步驟S110中相同的簽名算法對編排后的信息和關(guān)鍵域信息進(jìn)行驗證簽名�����,若驗證通過��,則所述對象通過身份認(rèn)證�����,否則所述對象未通過身份認(rèn)證�����。
步驟S110中對所述身份信息進(jìn)行數(shù)字簽名還可以具體為先將所述身份信息依次進(jìn)行編排�����,再用摘要算法對編排后的身份信息和標(biāo)識中的關(guān)鍵域信息進(jìn)行摘要��,隨后將摘要后的信息用簽名算法進(jìn)行簽名����,然后將所述簽名后的信息與編排后的身份信息組成待隱藏信息。步驟S120中識別所述防偽簽章的真?zhèn)蝸磉M(jìn)一步驗證所述對象的身份具體為(b1)從防偽簽章中提取簽名后的信息和編排后的信息���;(b2)從標(biāo)識中提取關(guān)鍵域信息�����;(b3)采用和步驟S110中相同的摘要算法對編排后的信息和關(guān)鍵域信息進(jìn)行摘要��;(b4)采用和步驟S110中相同的簽名算法對摘要后的信息進(jìn)行驗證簽名�,若驗證通過��,則所述對象通過身份認(rèn)證��,否則所述對象未通過身份認(rèn)證�。
步驟S110中將所述待隱藏信息隱藏于標(biāo)識中進(jìn)一步指利用空域算法將待隱藏信息隱藏于BMP圖像文件中��,具體包括將待隱藏信息轉(zhuǎn)化為二進(jìn)制數(shù)據(jù)碼流���;將文件圖像數(shù)據(jù)部分的每個字節(jié)的奇偶性與所述二進(jìn)制數(shù)據(jù)碼流進(jìn)行比較;若該字節(jié)的奇偶性與對應(yīng)二進(jìn)制數(shù)據(jù)碼不一致�,則通過調(diào)整該字節(jié)最低位的“0”和“1”來改變字節(jié)的奇偶性,使之與二進(jìn)制數(shù)據(jù)流一致�����。上述公開隱藏算法僅是其中一種較為常見的將待隱藏信息隱藏于標(biāo)識的方式�����,但本發(fā)明并不是僅局限于這一種隱藏處理方式����。
以下以被驗證對象為網(wǎng)站為例,來說明本發(fā)明的網(wǎng)站身份驗證流程���。網(wǎng)站的身份信息為網(wǎng)站域名�、網(wǎng)站名稱����、網(wǎng)站所有者�����、網(wǎng)站類型,標(biāo)識為一BMP格式的文件����。
(一)網(wǎng)站預(yù)先進(jìn)行數(shù)字簽名,并將簽名信息隱藏于BMP圖像文件中����,生成網(wǎng)站的防偽簽章1、首先對身份信息進(jìn)行數(shù)字簽名簽名流程如下(1).將上述信息按照下面的XML(可擴(kuò)展標(biāo)記語言)格式編排���;(2).使用SHA-1對身份信息和圖像關(guān)鍵域信息(比如BMP圖像文件中每一字節(jié)的高字節(jié))作摘要��;(3).使用RSA算法簽名第(2)步摘要后的信息�����;(4).最后將第(3)步的結(jié)果填充到第(1)步的signature(簽名)域中���。
XML詳細(xì)格式如下<Anti-phishing signature>
<URL>www.aaa.comc.cn</URL>
<Web server name>某某網(wǎng)站</Web server name>
<Web server owner>某某有限責(zé)任公司</Web server owner>
<Web server type>購物網(wǎng)站</Web server type>
<Signature>0A539C1851477A9A27C5B310E1917867A88C61D8FFF3E322EB56BF917BF57695E3CBDE461E11E7DD33CC1CD6A6420C74C148BF06F2D3FF122DDB5ED87119DEFCB3C8E6A51FF9FEA36EC25490377A5000E3033DDE54B38ED94A72BD67073989A15DD376E4092F4307EBED6C2EF404D5E89145FF30E54FE495646BFB576CFC12CF</Signature>
</Anti-phishing signature>
2、將上述的XML信息隱藏于BMP圖像中將信息隱藏于圖片有很多中方法����,如空域算法�����、變化域算法�、擴(kuò)展頻譜通信算法����、壓縮域算法、NEC算法以及生理模型算法等�。我們以最為簡單的空域算法將信息隱藏于bmp圖像舉例說明。
BMP圖像文件是位圖文件�����,位圖表示的是將一幅圖像分割成柵格�����,柵格的每一點(diǎn)稱為像素���,每一個像素具有自已的RG值(RG值用于表明該像素的顏色狀況)�����,即一幅圖像是由一系列像素點(diǎn)構(gòu)成的點(diǎn)陣��。24位BMP圖像文件的結(jié)構(gòu)特點(diǎn)為①每個文件只能非壓縮地存放一幅彩色圖像��;②文件頭由54個字節(jié)的數(shù)據(jù)段組成�,其中包含有該位圖文件的類型���、大小�、圖像尺寸及打印格式等�����;③從第55個字節(jié)開始���,是該文件的圖像數(shù)據(jù)部分�����,數(shù)據(jù)的排列順序以圖像的左下角為起點(diǎn)���,每連續(xù)3個字節(jié)便描述圖像一個像素點(diǎn)的顏色信息,這三個字節(jié)分別代表藍(lán)、綠�、紅三基色在此像素中的亮度,若某連續(xù)三個字節(jié)為00H���,00H����,F(xiàn)FH�����,則表示該像素的顏色為純紅色��。
一幅24位BMP圖像����,由54字節(jié)的文件頭和圖像數(shù)據(jù)部分組成,其中文件頭不能隱藏信息�,從第55字節(jié)以后為圖像數(shù)據(jù)部分,可以隱藏信息��。圖像數(shù)據(jù)部分是由一系列的8位二進(jìn)制數(shù)所組成���,由于每個8位二進(jìn)制數(shù)中“1”的個數(shù)或者為奇數(shù)或者為偶數(shù)����,約定若一個字節(jié)中“1”的個數(shù)為奇數(shù),則稱該字節(jié)為奇性字節(jié)����,用“1”表示;若一個字節(jié)中“1”的個數(shù)為偶數(shù)��,則稱該字節(jié)為偶性字節(jié)�����,用“0”表示��。我們用每個字節(jié)的奇偶性來表示隱藏的信息��。
舉例設(shè)一段24位BMP文件的數(shù)據(jù)為01100110��,00111100��,10001111���,00011010,00000000��,10101011,00111110�,10110000,則其字節(jié)的奇偶排序為0����,0,1����,1,0���,1����,1�����,1?����,F(xiàn)在需要隱藏信息79���,由于79轉(zhuǎn)化為8位二進(jìn)制為01001111���,將這兩個數(shù)列相比較�����,發(fā)現(xiàn)第2���,3,4�����,5位不一致����,于是對這段24位BMP文件數(shù)據(jù)的某些字節(jié)的奇偶性進(jìn)行調(diào)制����,使其與79轉(zhuǎn)化的8位二進(jìn)制相一致第2位將00111100變?yōu)?0111101,則該字節(jié)由偶變?yōu)槠?��;?位將10001111變?yōu)?0001110����,則該字節(jié)由奇變?yōu)榕迹坏?位將00011010變?yōu)?0011011���,則該字節(jié)由奇變?yōu)榕?��;?位將00000000變?yōu)?0000001,則該字節(jié)由偶變?yōu)槠?����;?jīng)過這樣的調(diào)制�,此24位BMP文件數(shù)據(jù)段字節(jié)的奇偶性便與79轉(zhuǎn)化的8位二進(jìn)制數(shù)完全相同,這樣���,8個字節(jié)便隱藏了一個字節(jié)的信息�。
綜上所述����,將信息嵌入BMP文件的步驟為I.將待隱藏信息轉(zhuǎn)化為二進(jìn)制數(shù)據(jù)碼流;II.將BMP文件圖像數(shù)據(jù)部分的每個字節(jié)的奇偶性與上述二進(jìn)制數(shù)碼流進(jìn)行比較���;III.通過調(diào)整字節(jié)最低位的“0”或“1”���,改變字節(jié)的奇偶性���,使之與上述二進(jìn)制數(shù)據(jù)流一致,即將信息嵌入到24位BMP圖像中�。
3.2的XML信息大概0.5k左右,按照上述的信息隱藏辦法4k的圖像文件即可�。使用上述方法將信息隱藏于網(wǎng)站標(biāo)識中生成防偽簽章,該防偽簽章可以置于網(wǎng)站的醒目位置����。
(二)用戶利用防偽簽章識別器來識別訪問網(wǎng)站的真?zhèn)畏纻巫R別器是使用嵌入IE編程技術(shù)實現(xiàn)的客戶端程序,由用戶下載并安裝于自己PC��。安裝完成后����,在IE瀏覽器上將有一個圖標(biāo)用來啟動防偽識別器。當(dāng)訪問到有3.3標(biāo)識的網(wǎng)站時���,可以啟用它來驗證該防偽標(biāo)簽的真實性,同時也就驗證了網(wǎng)站的真實性�����,任何對防偽標(biāo)簽的修改,任何防偽標(biāo)簽的非法使用都將被檢測到����。
驗證流程如下1.從當(dāng)前訪問的網(wǎng)站HTML(超文本鏈接標(biāo)示語言)響應(yīng)代碼中發(fā)現(xiàn)防偽標(biāo)簽和當(dāng)前URL;2.從防偽標(biāo)簽中提取3.2中的XML信息��;3.提取圖像關(guān)鍵域信息�����;4.對網(wǎng)站域名����、網(wǎng)站名稱、網(wǎng)站所有者����、網(wǎng)站類型和防偽簽章圖片關(guān)鍵信息域作摘要;5.用防偽簽章簽發(fā)子系統(tǒng)的公鑰解密3.2中signature域�����;6.對比第4步和第5步的結(jié)果以驗證簽名的合法性�����。
即上述驗證過程包括以下步驟(1)網(wǎng)站申請防偽簽章首先,簽章服務(wù)機(jī)構(gòu)驗證提出申請的網(wǎng)站的身份��,然后防偽簽章簽發(fā)子系統(tǒng)生成防偽簽章���,隨后�,將該防偽簽章發(fā)送對該網(wǎng)站�,最后,該網(wǎng)站將防偽簽章加載地其網(wǎng)站的醒目位置以便瀏覽者識別�����,通常����,網(wǎng)站可以將標(biāo)識與網(wǎng)站的URL進(jìn)行綁定。
(2)用戶驗證網(wǎng)站首先�,用戶下載安裝簽章服務(wù)機(jī)構(gòu)的防偽簽章識別器,當(dāng)用戶相驗證訪問的某個網(wǎng)站的真實性時���,點(diǎn)擊瀏覽器上的防偽簽章識別器標(biāo)識�,防偽簽章識別器驗證網(wǎng)站真實性�,并提示用戶識別結(jié)果���。
通過上述流程����,由于在本發(fā)明的流程中增加了安全簽章防篡改和識別步驟,因此能夠準(zhǔn)確識別網(wǎng)站的真?zhèn)?�。并且�����,每次驗證無需訪問第三方網(wǎng)站�����,不僅不占用網(wǎng)絡(luò)資源���,而且也減少了由于網(wǎng)絡(luò)欺詐帶來驗證結(jié)果不準(zhǔn)確以及由于網(wǎng)絡(luò)故障帶來驗證困難的事件發(fā)生�����。
郵件發(fā)送者的身份識別和網(wǎng)站身份的識別類似����,在此就不再贅述。本發(fā)明公開了幾個具體實施例���,但本發(fā)明并非局限于此�,任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落在本發(fā)明的保護(hù)范圍內(nèi)��。
權(quán)利要求
1.一種身份驗證方法����,其特征在于,包括(1)被驗證對象預(yù)先將表明本被驗證對象身份的身份信息進(jìn)行數(shù)字簽名��,并將簽名信息隱藏于本被驗證對象的一標(biāo)識中來生成防偽簽章��;(2)當(dāng)用戶需要驗證某一對象身份時���,判斷所述對象內(nèi)是否存在防偽簽章���,若否,則所述對象未通過身份驗證�����,否則��,通過讀出隱藏于所述標(biāo)識中的信息來識別所述防偽簽章的真?zhèn)芜M(jìn)一步驗證所述對象的身份。
2.如權(quán)利要求1所述的身份驗證方法�,其特征在于,步驟(1)中對所述身份信息進(jìn)行數(shù)字簽名具體為先將所述身份信息依次進(jìn)行編排�,再用簽名算法對編排后的身份信息和標(biāo)識中的關(guān)鍵域信息進(jìn)行簽名���,隨后將所述簽名后的信息與編排后的身份信息組成待隱藏信息��。
3.如權(quán)利要求1所述的身份驗證方法�����,其特征在于����,步驟(1)中對所述身份信息進(jìn)行數(shù)字簽名具體為先將所述身份信息依次進(jìn)行編排����,再用摘要算法對編排后的身份信息和標(biāo)識中的關(guān)鍵域信息進(jìn)行摘要,隨后將摘要后的信息用簽名算法進(jìn)行簽名��,然后將所述簽名后的信息與編排后的身份信息組成待隱藏信息���。
4.如權(quán)利要求2或3所述的身份驗證方法��,其特征在于�,步驟(1)中利用隱藏算法將所述待隱藏信息隱藏于標(biāo)識中,所述隱藏算法包括空域算法��、變化域算法��、擴(kuò)展頻譜通信算法���、壓縮域算法��、NEC算法或生理模型算法�����,所述標(biāo)識包括圖像�����、文字���、聲音。
5.如權(quán)利要求4所述的身份驗證方法��,其特征在于����,步驟(1)中將所述待隱藏信息隱藏于標(biāo)識中進(jìn)一步指利用空域算法將待隱藏信息隱藏于BMP圖像文件中���,具體包括將待隱藏信息轉(zhuǎn)化為二進(jìn)制數(shù)據(jù)碼流;將文件圖像數(shù)據(jù)部分的每個字節(jié)的奇偶性與所述二進(jìn)制數(shù)據(jù)碼流進(jìn)行比較����;若該字節(jié)的奇偶性與對應(yīng)二進(jìn)制數(shù)據(jù)碼不一致�����,則通過調(diào)整該字節(jié)最低位的“0”和“1”來改變字節(jié)的奇偶性�,使之與二進(jìn)制數(shù)據(jù)流一致。
6.如權(quán)利要求2所述的身份驗證方法��,其特征在于�,步驟(2)中識別所述防偽簽章的真?zhèn)蝸磉M(jìn)一步驗證所述對象的身份具體為(a1)從防偽簽章中提取簽名后的信息和編排后的信息;(a2)從標(biāo)識中提取關(guān)鍵域信息�;(a3)采用和步驟(1)中相同的簽名算法對編排后的信息和關(guān)鍵域信息進(jìn)行驗證簽名,若驗證通過��,則所述對象通過身份認(rèn)證���,否則所述對象未通過身份認(rèn)證�。
7.如權(quán)利要求3所述的身份驗證方法,其特征在于��,步驟(2)中識別所述防偽簽章的真?zhèn)蝸磉M(jìn)一步驗證所述對象的身份具體為(b1)從防偽簽章中提取簽名后的信息和編排后的信息�;(b2)從標(biāo)識中提取關(guān)鍵域信息;(b3)采用和步驟(1)中相同的摘要算法對編排后的信息和關(guān)鍵域信息進(jìn)行摘要�����;(b4)采用和步驟(1)中相同的簽名算法對摘要后的信息進(jìn)行驗證簽名��,若驗證通過�����,則所述對象通過身份認(rèn)證�����,否則所述對象未通過身份認(rèn)證��。
8.一種身份驗證系統(tǒng)�����,其特征在于���,包括防偽簽章簽發(fā)子系統(tǒng)和防偽簽章識別器�,其中防偽簽章簽發(fā)子系統(tǒng)對表明被驗證對象身份的身份信息進(jìn)行數(shù)字簽名,并將簽名信息隱藏于被驗證對象的一標(biāo)識中來生成防偽簽章���;防偽簽章識別器設(shè)置在用戶端��,用以判斷需要驗證的對象內(nèi)是否存在防偽簽章以及讀取隱藏于標(biāo)識中的信息來識別防偽簽章的真?zhèn)?��,以便驗證所述對象的身份。
9.如權(quán)利要求8所述的身份驗證系統(tǒng)��,其特征在于����,所述被驗證對象包括網(wǎng)站和郵件��,防偽簽章識別器利用因特網(wǎng)進(jìn)行下載直接設(shè)置在瀏覽器上或郵件收發(fā)器上����。
10.如權(quán)利要求8所述的身份驗證系統(tǒng),其特征在于����,所述防偽簽章簽發(fā)子系統(tǒng)包括信息注冊和管理單元�����、簽名單元�����、簽章生成單元和信息隱藏單元�,其中信息注冊和管理單元����,用于對使用防偽簽章的被驗證對象的身份信息注冊和維護(hù)管理;簽名單元用于對包括身份信息的信息進(jìn)行簽名�����;信息隱藏單元用于利用隱藏算法將簽名后的信息隱藏于所述標(biāo)識中�����。簽章生成單元用于生成所述防驗證對象上的防偽簽章��。
全文摘要
一種身份驗證方法���,它包括(1)被驗證對象預(yù)先將表明本被驗證對象身份的身份信息進(jìn)行數(shù)字簽名����,并將簽名信息隱藏于本被驗證對象的一標(biāo)識中來生成防偽簽章;(2)當(dāng)用戶需要驗證某一對象身份時����,判斷所述對象內(nèi)是否存在防偽簽章,若否���,則所述對象未通過身份驗證��,否則�����,通過讀出隱藏于所述標(biāo)識中的信息來識別所述防偽簽章的真?zhèn)芜M(jìn)一步驗證所述對象的身份���。在本發(fā)明的流程中增加了安全簽章防篡改和識別步驟��,因此能夠準(zhǔn)確識別對象的真?zhèn)?���。并且,每次驗證無需訪問第三方網(wǎng)站,不僅不占用網(wǎng)絡(luò)資源��,而且也減少了由于網(wǎng)絡(luò)欺詐帶來驗證結(jié)果不準(zhǔn)確以及由于網(wǎng)絡(luò)故障帶來驗證困難的事件發(fā)生���。本發(fā)明還提供了相應(yīng)的身份驗證系統(tǒng)��。
文檔編號H04L9/32GK1960249SQ20051003094
公開日2007年5月9日 申請日期2005年10月31日 優(yōu)先權(quán)日2005年10月31日
發(fā)明者郭銳, 李登峰, 潘鋼 申請人:中國銀聯(lián)股份有限公司