[发明专利]泛在环境中的认证

说明书

本发明的各实施例通过将基于公钥认证书加密的生物信息预先保存在用户所有或者持有的设备(例如，智能卡、通信终端等)中，并在设备内部通过生物匹配执行用户认证(第一次用户认证)。此外，使用与加密的生物信息匹配的公钥认证书进行在应用服务器上执行的、用于承认交易等的用户认证(第二次用户认证)。此外，本发明实施例为了强化第一次/第二次用户认证的安全采用了附加的认证要素，如一次性密码(One Time Password)、键击(Keystroke)、动态签名(Dynamic Signature)、位置信息等。进一步地，本发明的另一实施例在控制物联网设备的接入方面，采用由第一次认证认证和第二次用户认证构成的认证算法。

本申请是申请号为201580016070.9、申请日为2015年4月23日、 发明名称为“泛在环境中的认证”的申请的分案申请。

技术领域

本发明涉及一种包括在线/离线认证的泛在环境中的用户认证和 物联网设备认证。

背景技术

该部分记载的内容仅用于提供本发明实施例的背景信息，而不是 用于限制本发明。

伴随着产业的发展，物联网(IoT)的应用被得到关注。例如， 作为个人使用的装备的智能电视、吸尘器机器人、汽车导航、及各种 提供云服务的远端服务，而且如水库、核电站等人类很难直接进入的 设施的远端管理和管控及交通管控系统中也在尝试使用物联网。但 是，对于载有通信功能和自身采集并处理数据功能的物联网设备和物 联网系统，由于使用主体和所有者之间的关系不够明确，因此可能成 为网络空间的攻击对象。

尤其，构成目前物联网的物联网设备大体上计算功能简单、安全 性薄弱，处于容易受到攻击的状态。基于物联网网络的特点，特定 领域的安全性薄弱及基于该薄弱环节的网络攻击，会导致对其它产业 领域产生恶劣影响的副作用。

只具有简单的通信功能的物联网设备，不能仅仅依靠安装网络安 全软件保障网络安全，因此物联网设备需要额外内设安全硬件模块或 者整个系统中采用安全方案。物联网安全问题的例子包括在物联网设 备或者网络上植入恶意代码，导致重要信息泄露或者触发伪造或变形 的系统障碍，使攻击者能够从远端自由地操纵等。尤其，作为典型的 示例，感染有恶意代码的终端接入网络时会造成十分严重的损害。作 为典型示例，通过远端控制无人汽车/电动车/智能汽车能够制造交通 事故，能够引起医院的医疗设备的误操作并危及患者生命等。

物联网网络中必须保障物联网设备的完整性，必须能够透明地了 解接入网络的物联网设备的可靠性，必须能够确认终端或者网络的使 用者的合法性。

现有的信息保护有关的系统中，非法用户通过获取合法用户的个人信 息、密码、生物信息等进行黑客行为。作为另一反面示例，认证机构 (Certificate Authority)发行的公钥认证书由于没有个人认证信息， 因此如果能够盗取公钥认证书和认证书密码，则存在他人可以非法使 用的缺点。此外，如果盗取了用户的账号、密码或者详细信息等并且 知道用户的认证信息时，利用正常的终端在远端登录企业或者政府机 关的业务系统，则存在可正常且自由地使用业务系统的问题。凭借路 边捡到的企业员工的集成芯片制作的电子身份证卡，通过盗用相片等 信息，能够如同合法的用户正常出入企业的出入关门，该问题是硬件 安全的典型示例。此外，媒体经常报道由于没有利用账号、密码、生 物信息、令牌、OTP及PKI认证进行多元(Multi-Factor)认证而是分 别单独使用，导致黑客在中间通过变形或者伪造等方法进行黑客的示 例。

发明内容

本发明的目的在于，提供一种包括在线/离线认证的泛在环境中 用户认证和物联网设备(物联网设备)认证的方法，及使用该方法的 设备和认证系统。