一种基于居家养老的身份认证的方法及系统.pdf

本发明实施例公开了一种基于居家养老的身份认证的方法及系统，该系统，其中方法包括：用户基于互动电视终端设备向远端医疗管理系统发送访问请求；互动电视终端设备判断所述反馈信息中有进行身份认证的认证字符串，则调用所存储的用户数字证书对认证字符串进行加密处理，并生产第一加密字符串；远端医疗管理系统接收第一加密字符串，并根据第一加密字符串和第二加密字符串进行比较，若所述第一加密字符串与第二加密字符串相同，则认证通过，所述用户访问请求认证成功。实施本发明实施例，认证单元负责对数字证书的存储和解析，并根据数字证书中的权利要求和限制对加密模块进行相应的管理和控制。

1.  一种基于居家养老的身份认证的方法，其特征在于，包括如下步骤：
用户基于互动电视终端设备向远端医疗管理系统发送访问请求；
远端医疗管理系统向用户所在的互动电视终端设备发送反馈信息；
互动电视终端设备识别所述反馈信息是否有进行身份认证的认证字符串；
若判断所述反馈信息中有进行身份认证的认证字符串，则调用所存储的用户数字证书对认证字符串进行加密处理，并生产第一加密字符串，并将所述第一加密字符串发送给远端医疗管理系统；
远端医疗管理系统识别出所述用户的用户数字证书，基于所发送的认证字符串获得第二加密字符串；
远端医疗管理系统接收第一加密字符串，并根据第一加密字符串和第二加密字符串进行比较，若所述第一加密字符串与第二加密字符串相同，则认证通过，所述用户访问请求认证成功。

2.  如权利要求1所述的基于居家养老的身份认证的方法，其特征在于，所述认证字符串为对时间字符串、地址字符串和防重放攻击字符串的组合进行加密处理所获得的字符串。

3.  如权利要求1所述的基于居家养老的身份认证的方法，其特征在于，所述用户数字证书包含用户的公私钥对。

4.  一种基于居家养老的身份认证的系统，其特征在于，包括：
互动电视终端设备，用于在用户基于互动电视终端设备向远端医疗管理系统发送访问请求后，接收远端医疗管理系统发送的反馈信息，识别所述反馈信息是否有进行身份认证的认证字符串，若判断所述反馈信息中有进行身份认证的认证字符串，则调用所存储的用户数字证书对认证字符串 进行加密处理，并生产第一加密字符串，并将所述第一加密字符串发送给远端医疗管理系统；
远端医疗管理系统，用于基于访问请求向向用户所在的互动电视终端设备发送反馈信息，以及识别出所述用户的用户数字证书，基于所发送的认证字符串获得第二加密字符串；接收第一加密字符串，并根据第一加密字符串和第二加密字符串进行比较，若所述第一加密字符串与第二加密字符串相同，则认证通过，所述用户访问请求认证成功。

5.  如权利要求4所述的基于居家养老的身份认证的系统，其特征在于，包括：
所述认证字符串为对时间字符串、地址字符串和防重放攻击字符串的组合进行加密处理所获得的字符串。

6.  如权利要求5所述的基于居家养老的身份认证的系统，其特征在于，所述用户数字证书包含用户的公私钥对。

一种基于居家养老的身份认证的方法及系统
技术领域
本发明涉及居家养老技术领域，尤其涉一种基于居家养老的身份认证的方法及系统。
背景技术
随着中国社会老龄化趋势不断加重，老年人的问题，已经成为当今社会亟待解决的问题。就目前而言，养老方式大体上可分为“养老院式养老”和“居家养老”两种。“居家养老”方式近些年得到了老人、子女以及社会的普遍认可和关注。
在居家养老系统中，用户如何安全有效的访问各个医疗系统内的资源，同时不同医疗系统如何有效区分不同访问权限用户，并根据不同访问权限通过资源授权成为首先要解决的关键技术之一，这就涉及到居家养老中的身份认证技术。身份认证技术解决的是验证网络通讯双方真实身份的问题，目的是为了在通信双方之间建立相互信任的关系，验证用户的真实身份，防止非法用户窃取敏感数据，通过对身份认证技术的理论分析和系统设计等方面的研究，可以增强现有认证系统的安全性、可用性和易管理性，提高系统的效率，为居家养老系统提供高效实用的身份认证解决方案；基于口令的认证机制因其简单有效、易于使用，在分布式环境下被广泛应用于身份合法性验证，从而决定是否提供资源的使用授权，但是用户在选择口令的时候，一般都是选择便于自己记忆的口令，这样就很容易遭受字典攻击，为此许多研究人员从增加安全性和提高效率这两方面入手，提出了一系列的协议，大致可以分为两类：基于安全函数的认证协议以及基于公钥体制的认证协议，前者由于具备开销小、效率高等特点，成为近年来研究的热点。对于计算机单机的应用，用户资源使用访问控制可以实现资源的安全保护，而对于集中分时系统的服务，通过基于用户身份认证，如登录口令等实现资源的安全保护，而在计算机网络广泛应用的时代，更常见的 是客户机/服务器分布式应用模型，在这种模型中，要求每个客户机能保证对每个用户身份的识别，每个客户机对服务器身份的识别以及服务器对每个客户机身份的识别。目前在有些对安全性要求较高的系统中，单纯的基于口令的认证方式已无法满足当前复杂网络环境下身份认证的需求，随着技术的发展，又涌现出数字证书、生物识别等新的身份认证技术。目前，具有数字签名的数字证书技术是最成熟、最安全的身份认证解决方法。数字证书具有的保密性、完整性、真实性和不可否认性等特点，使得数字证书身份认证正在被广泛应用，但是，在单纯的基于数字证书的认证中，如果其中一方传递的证书链不是自己的，另一方只对接收到的证书链进行有效期、完整性、签名等验证，往往也可以通过，因此，系统资源授权就存在风险。
(1)基于“USB Key”的身份认证方式
基于“USB Key”的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。作为一种通用串行总线(Universal Serial Bus；以下简称USB)接口的硬件设备，USB Key内置单片机或智能卡芯片，且具有一定的存储空间，用于存储用户的个人数字证书。在用户进行访问医疗系统的过程中，用户只需将其与个人计算机(Personal Computer；以下简称PC)连接，USB Key便能够通过存储的个人数字证书进行数字签名和签名验证的运算，从而保证了用户认证的安全性。
(2)内置用户数字证书的基于“USB Key”的身份认证方式
该技术是在“USB Key”的身份认证方式的基础上提出的在移动终端设备中内置存储有用户的数字证书的证书存储卡的解决方案，证书存储卡相当于设置在移动终端设备中的“USB Key”，在该技术中，用户在进行访问医疗系统时，能够直接通过终端设备中的证书存储卡对认证信息进行认证，访问不受应用环境的限制，而且在使用之前用户无需进行安装驱动、下载证书等繁琐操作，提高了用户体验。
1、由于USB Key在工作时必须与计算机连接，即用户必须在计算机及 良好的网络环境条件下才能使用USB Key，因而对于用户而言，在应用上具有很大的局限性，同时在使用USB Key之前，用户需要在PC机上为其安装驱动，并下载个人证书信息到USB Key中，这些操作对于很多对计算机操作并不熟悉的用户，特别是老年人群体而言，是很不方便的。
2、对于用户而言，在整个访问过程中进行的操作都是在PC机或者移动终端设备上实现的，而无论是因特网还是移动通信网络，都属于开放式的系统，因此都有可能遭受黑客、假网站等第三方的恶意攻击，或是存在感染木马和病毒的风险，从而导致访问过程中个人信息的丢失或篡改，导致非法用户访问敏感数据，存在资源授权风险。
发明内容
本文采用数字证书方式对互动电视终端设备进行身份认证，认证单元的公私钥对的载体为数字证书，认证单元具有验证获得的数字证书正确性的能力。
为了解决上述问题，本发明提出了一种基于居家养老的身份认证的方法，包括如下步骤：
用户基于互动电视终端设备向远端医疗管理系统发送访问请求；
远端医疗管理系统向用户所在的互动电视终端设备发送反馈信息；
互动电视终端设备识别所述反馈信息是否有进行身份认证的认证字符串；
若判断所述反馈信息中有进行身份认证的认证字符串，则调用所存储的用户数字证书对认证字符串进行加密处理，并生产第一加密字符串，并将所述第一加密字符串发送给远端医疗管理系统；
远端医疗管理系统识别出所述用户的用户数字证书，基于所发送的认证字符串获得第二加密字符串；
远端医疗管理系统接收第一加密字符串，并根据第一加密字符串和第二加密字符串进行比较，若所述第一加密字符串与第二加密字符串相同，则认证通过，所述用户访问请求认证成功。
所述认证字符串为对时间字符串、地址字符串和防重放攻击字符串的 组合进行加密处理所获得的字符串。
所述用户数字证书包含用户的公私钥对。
相应的，本发明还提出了一种基于居家养老的身份认证的系统，包括：
互动电视终端设备，用于在用户基于互动电视终端设备向远端医疗管理系统发送访问请求后，接收远端医疗管理系统发送的反馈信息，识别所述反馈信息是否有进行身份认证的认证字符串，若判断所述反馈信息中有进行身份认证的认证字符串，则调用所存储的用户数字证书对认证字符串进行加密处理，并生产第一加密字符串，并将所述第一加密字符串发送给远端医疗管理系统；
远端医疗管理系统，用于基于访问请求向向用户所在的互动电视终端设备发送反馈信息，以及识别出所述用户的用户数字证书，基于所发送的认证字符串获得第二加密字符串；接收第一加密字符串，并根据第一加密字符串和第二加密字符串进行比较，若所述第一加密字符串与第二加密字符串相同，则认证通过，所述用户访问请求认证成功。
所述认证字符串为对时间字符串、地址字符串和防重放攻击字符串的组合进行加密处理所获得的字符串。
所述用户数字证书包含用户的公私钥对。
实施本发明实施例采用数字证书方式对互动电视终端设备进行身份认证，认证单元的公私钥对的载体为数字证书，认证单元具有验证获得的数字证书正确性的能力。同时，认证单元还支持数字签名验证功能，能够对获得的关键数据的完整性和来源进行鉴别。认证单元负责对数字证书的存储和解析，并根据数字证书中的权利要求和限制对加密模块进行相应的管理和控制。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附 图。
图1是本发明实施例中的基于居家养老的身份认证系统结构示意图；
图2是本发明实施例中的认证单元的结构示意图；
图3是本发明实施例中的远端服务器结构示意图。
具体实施方式
下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
本发明属于信息安全和认证领域，特别是涉及一种基于居家养老的身份认证技术，采用数字证书方式对互动电视终端设备进行身份认证，认证单元的公私钥对的载体为数字证书，认证单元具有验证获得的数字证书正确性的能力。同时，认证单元还支持数字签名验证功能，能够对获得的关键数据的完整性和来源进行鉴别。认证单元负责对数字证书的存储和解析，并根据数字证书中的权利要求和限制对加密模块进行相应的管理和控制。
本发明针对居家养老系统中，现有身份认证技术存在一定的资源授权风险，为用户提供了一种更为安全可靠的身份认证技术，用户不用再过于担心黑客、假网站、木马病毒的风险；而且对于用户而言，其操作简单，维护方便，提高了用户体验。图1为基于居家养老的身份认证系统结构示意图，主要包括两大模块：互动电视终端设备和与之相连接的各个医疗管理系统。远端服务器设在各个医疗管理系统内，通过计算机网络与外界进行信息交互。当用户需要访问某个医疗管理系统内的资源时，即通过互动电视终端设备与该医疗管理系统内的远端服务器进行通信。系统通过设置在互动电视终端设备中的认证单元对用户的身份进行认证，从而决定是否对其进行资源授权。
由图2中可知，本发明能为居家养老用户提供一种更为安全可靠的身份认证技术，该身份认证技术的核心模块是认证单元，认证单元设置于互动电视终端设备中，其主要功能是对远端服务器向互动电视终端设备发送 的信息进行识别，若识别出信息为远端服务器发送的用于进行身份认证的认证字符串，则应用所存储的用户数字证书对认证字符串进行加密处理，获得第一加密字符串。认证单元内部结构示意图如图2所示。主要包括四个模块：识别模块、加密模块、返回模块和存储模块。下面分别对这四个模块的功能进行描述。
(一)识别模块
识别模块与加密模块相连接，用于对远端服务器向互动电视终端设备发送的各种信息进行识别，这里的信息既包括远端服务器向互动电视终端设备发送的用于身份认证的认证字符串，也包括远端服务器向互动电视终端设备返回的是否通过身份认证的反馈信息，同时还包括远端服务器与互动电视终端设备进行其他通信时两者之间进行信息交换时发送的各种信息。
(二)加密模块
加密模块是认证单元的核心模块，与识别模块、返回模块和存储模块相连接。加密模块用于若识别模块识别出该信息为远端服务器发送的用于身份认证的认证字符串，则应用所存储的用户数字证书对该认证字符串进行加密处理，获得第一加密字符串，其中认证字符串为对时间字符串、地址字符串和防重放攻击字符串的组合进行加密处理所获得的字符串。理论上，不同的认证字符串不会得出相同的第一加密字符串，即一个认证字符串对应一个唯一的第一加密字符串，但是第一加密字符串和认证字符串无法得出用户的数字证书，而且认证单元具有不可读取性，因此任何人都无法获知用户的数字证书。并且远端服务器每次都会发不同的防重放字符串(随机字符串)和时间字符串，所有当每次认证完成后，刚发出的认证字符串便不再有效，因此应用该认证单元进行身份认证是绝对安全的。
(三)返回模块
返回模块与加密模块相连接，返回模块用于将加密模块获得的第一加密字符串，返回给远端服务器，供远端服务器进行身份认证。
(四)存储模块
存储模块与加密模块连接，用于存储用户数字证书。用户数字证书内 包含用户的公私钥对，公钥和私钥总是成对出现的，其中，公钥是公开的密钥，而私钥只有用户自己知道。在这种机制中，用公钥加密的数据只有对应的私钥可以解密；用私钥加密的数据只有对应的公钥可以解密。采用公私钥对不仅能够大大提高安全性与可靠性，同时还支持数字签名功能，数字签名的应用过程是，数据源发送方(用户)使用自己的私钥对数据校验或其他与数据内容有关的变量进行加密处理，完成对数据的合法“签名”，数据接收方则利用对方的公钥来解读收到的“数字签名”，并将解读结果用于对数据完整性的检验，以确认签名的合法性，从而验证获得的数字证书是否正确。
具体地，当用户尝试登录某个医疗管理系统时，向该医疗管理系统内的远端服务器发送访问请求，然后远端服务器向互动电视终端设备发送用于对该用户进行身份认证的认证字符串，该认证字符串为由时间字符串、地址字符串和防重放攻击字符串组合在一起进行加密后得到的字符串。认证单元中的识别模块对远端服务器发给互动电视终端设备的信息进行识别，若识别出该信息为认证字符串，则拦截认证字符串，然后通过加密模块对该认证字符串进行加密处理(具体是应用存储模块中存储的用户数字证书对认证字符串进行不可逆运算得到第一加密字符串)，加密模块在应用用户数字证书对认证字符串进行加密处理获得第一加密字符串后，通过返回模块将该第一加密字符串返回给医疗管理系统的远端服务器，远端服务器可以应用该第一加密字符串对用户的身份进行认证。医疗管理系统需对重要敏感数据进行签名或验证时，必须使用本认证单元完成。认证单元支持数字签名验证功能，以对获得的关键数据的完整性和来源进行鉴别。用户数字证书存储在认证单元的存储模块中，认证单元能够对数字证书进行存储和解析，并根据数字证书中的权利要求和限制对加密模块进行相应的管理和控制。
由图2中可知，由认证单元产生的第一加密字符串通过返回模块返回给远端服务器进行身份认证，远端服务器的结构示意图如图3所示，包括发送模块、接收模块、存储模块和认证模块。下面对这些模块的功能实现进行一一描述：
(一)发送模块
发送模块与认证模块相连接，用于向互动电视终端设备发送各种信息，这些信息既包括向互动电视终端设备发送的用于身份认证的认证字符串，也包括向互动电视终端设备返回是否通过身份认证的反馈信息，同时还包括远端服务器与互动电视终端设备进行其他通信时两者之间进行信息交换时发送的各种信息。
(二)接收模块
接收模块与认证模块相连接，用于接收认证单元返回的第一加密字符串，该第一加密字符串是应用所存储的用户数字证书对该认证字符串进行加密处理而得到的。
(四)存储模块
存储模块与认证模块连接，用于存储用户数字证书。具体功能实现与图2中所示的认证单元存储模块一致，这里不再赘述。
(四)认证模块
认证模块与发送模块、接收模块和存储模块相连接，用于应用自身存储的该用户数字证书对该认证字符串进行加密处理，获得第二加密字符串，并应用该第二加密字符串和接收模块返回的第一加密字符串对用户进行身份认证，认证完成后将是否通过身份认证信息经发送模块发送给互动电视终端设备的认证单元，从而确定是否进行资源授权。
远端服务器设在医疗管理系统内，通过计算机网络与外界进行信息交互。具体地，当用户尝试登录某个医疗管理系统时，首先向该医疗管理系统内的远端服务器发送访问请求，然后服务器中的发送模块将向互动电视终端设备发送用于对该用户进行身份认证的认证字符串，该认证字符串为由时间字符串、地址字符串和防重放攻击字符串组合在一起进行加密后得到的字符串。认证单元对该认证字符串进行加密处理(具体为根据所存储的用户数字证书对认证字符串进行不可逆运算)后，向服务器返回经过加密处理的第一加密字符串。接收模块接收第一加密字符串，然后通过认证模块对该用户进行身份认证。具体地，由于服务器也存储有该用户的用户数字证书，在向该用户发送认证字符串后，远端服务器可以根据自身所存 储的用户数字证书对所发送的认证字符串进行相同的不可逆运算，并获得第二加密字符串，在接收到认证单元返回的第一加密字符串后，认证模块根据第一加密字符串和第二加密字符串进行比较，若相同，则认证成功，允许访问该医疗管理系统内的资源，若不相同，则认证失败，访问请求被拒绝。
本发明基于上述系统结构中，首先用户基于互动电视终端设备向远端医疗管理系统发送访问请求；远端医疗管理系统向用户所在的互动电视终端设备发送反馈信息；互动电视终端设备识别所述反馈信息是否有进行身份认证的认证字符串；若判断所述反馈信息中有进行身份认证的认证字符串，则调用所存储的用户数字证书对认证字符串进行加密处理，并生产第一加密字符串，并将所述第一加密字符串发送给远端医疗管理系统；远端医疗管理系统识别出所述用户的用户数字证书，基于所发送的认证字符串获得第二加密字符串；远端医疗管理系统接收第一加密字符串，并根据第一加密字符串和第二加密字符串进行比较，若所述第一加密字符串与第二加密字符串相同，则认证通过，所述用户访问请求认证成功。该认证字符串为对时间字符串、地址字符串和防重放攻击字符串的组合进行加密处理所获得的字符串。该用户数字证书包含用户的公私钥对。
综上，实施本发明实施例采用数字证书方式对互动电视终端设备进行身份认证，认证单元的公私钥对的载体为数字证书，认证单元具有验证获得的数字证书正确性的能力。同时，认证单元还支持数字签名验证功能，能够对获得的关键数据的完整性和来源进行鉴别。认证单元负责对数字证书的存储和解析，并根据数字证书中的权利要求和限制对加密模块进行相应的管理和控制。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：只读存储器(ROM，Read Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁盘或光盘等。
另外，以上对本发明实施例所提供的基于居家养老的身份认证的方法 及系统进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。