基于蓝牙的身份认证系统及其方法.pdf

摘要
申请专利号：	CN201410383914.0	申请日：	2014.08.06
公开号：	CN104202299A	公开日：	2014.12.10
当前法律状态：	实审	有效性：	审中
法律详情：	实质审查的生效IPC(主分类):H04L 29/06申请日:20140806\|\|\|公开
IPC分类号：	H04L29/06; H04L9/32; H04B5/00	主分类号：	H04L29/06
申请人：	北京中金国信科技有限公司
发明人：	李闯; 姜晓新
地址：	100054 北京市西城区菜市口南大街平原里20-3
优先权：
专利代理机构：	北京瑞思知识产权代理事务所(普通合伙) 11341	代理人：	李涛;袁红红
PDF下载：	PDF下载

内容摘要

本发明涉及网络安全技术领域，提供了一种基于蓝牙的身份认证方法及系统。本发明方法包括：向认证令牌设备内植入特征码；根据用户信息和用户的认证令牌设备内的特征码做绑定记录在服务器端；所述用户设备通过访问服务器端获取所述绑定信息中的特征码；所述用户设备将所述特征码进行计算并进行蓝牙广播；所述认证令牌设备开启电源后侦听蓝牙广播数据，并与自身特征码验证匹配的结果，与所述用户设备建立蓝牙链路，为用户设备提供身份认证。本发明避免了现有蓝牙设备常见的安全隐患，可加强各业务系统的可信身份认证和提高各业务系统数据的权威性、保密性，节省了认证令牌设备功耗的同时提升了用户的使用体验。

权利要求书

1.  一种基于蓝牙通讯的身份认证方法，其特征在于，所述方法包括：
步骤1：向认证令牌设备内植入特征码；
步骤2：发放令牌设备时根据用户的信息和所述用户的认证令牌设备内的特征码得到绑定信息，并将绑定信息记录在服务器端；
步骤3：所述用户的用户设备通过访问服务器端获取所述绑定信息中的特征码；
步骤4：所述用户设备将所述特征码通过一定规则加密计算，将计算结果作为广播包数据的一部分，进行蓝牙信号广播；
步骤5：所述认证令牌设备侦听蓝牙广播信号，并将侦听到的广播数据与自身特征码进行计算规则匹配，如匹配成功则主动与用户设备建立蓝牙链接，为所述用户设备提供身份认证；
其中，所述步骤3包括：
步骤3.1：所述用户设备向所述服务器端发送包括用户信息的认证请求；
步骤3.2：所述服务器端在接收到所述认证请求后提取所述认证请求中的用户信息；
步骤3.3：所述服务器端根据提取的用户信息，查找与所述用户信息相对应的绑定信息；
步骤3.4：所述服务器端将查到到的绑定信息中的特征码发送给所述用户设备；
所述步骤5包括：
步骤5.1：所述认证令牌设备侦听蓝牙广播数据；
步骤5.2：所述认证令牌设备对侦听到的蓝牙数据进行分析，提取其中含特征码因子的加密处理结果，作为外部认证数据。
步骤5.3：所述认证令牌设备根据自身特征码判断所述外部认证数据是否符合自身规则，若符合，则进入步骤5.4，若不一致，则返回步骤5.1；
步骤5.4：所述认证令牌设备主动与所述用户设备建立蓝牙链路，为所述用户设备提供身份认证；
在所述步骤4中，所述用户设备以连接次数作为加密因子对所述特征码进行加密计算；在所述步骤5中，所述认证令牌设备利用所述连接次数对侦听到的广播数据与自身特征码进行计算规则匹配，其中，所述连接次数为所述用户设备与所述认证令牌设备所建立的连接的次数。

2.  根据权利要求1所述的一种基于蓝牙通讯技术的身份认证方法，其特征在于，所述方法还包括：
所述用户设备在身份认证完成后自动删除特征码。

3.  根据权利要求1或2所述的一种基于蓝牙通讯的身份认证方法，其特征在于，所述认证令牌设备完成认证后，关闭自身电源。

4.  根据权利要求3所述的一种基于蓝牙通讯的身份认证方法，其特征在于，所述认证令牌设备判断广播包数据匹配后主动发起蓝牙连接请求，所述认证令牌设备不被动接受蓝牙连接请求。

5.  根据权利要求4所述的一种基于蓝牙通讯的身份认证方法，其特征在于，所述用户设备是内置有相应程序的移动通讯装置。

6.  根据权利要求5所述的一种基于蓝牙通讯的身份认证方法，其特征在于，所述用户设备将所述连接次数存储于所述服务器端，并在每次加密时，从所述服务器端取回已存储的连接次数信息；所述认证令牌设备将所述连接次数存储于自身存储空间中，并在进行计算规则匹配时，从自身存储空间中取出所述连接次数信息。

7.  根据权利要求6所述的一种基于蓝牙通讯的身份认证方法，其特征在于，每一次建立连接后，所述认证令牌设备将自身存储空间中的连接次数信息递增，同时所述用户设备将连接次数存储递增后存储在所述服务器端。

8.  一种基于蓝牙通讯的身份认证系统，包括：服务器、用户设备和认证令牌设备；其特征在于，
所述服务器包括绑定模块、绑定信息存储模块、特征码提供模块、连接次数存储模块；其中，
所述绑定模块，用于将用户的认证令牌设备内特征码和所述用户的信息进行绑定得到绑定信息；
所述绑定信息存储模块，用于存储绑定信息；
所述特征码提供模块，用于在接收到用户设备发送的认证请求后提取所述认证请求中的用户信息；并根据提取的用户信息，在所述绑定信息存储模块中查找与所述用户信息相对应的绑定信息；以及将查找到的绑定信息中的特征码发送给所述用户设备；
所述连接次数存储模块，用于接收并存储所述用户设备发送的连接次数信息；
所述用户设备，包括特征码提取模块、认证令牌设备连接模块、第一广播模块、特征码删除模块、连接次数获取模块、连接次数更新模块；其中，
所述特征码提取模块，用于向所述服务器端发送包括用户信息的认证请求以从所述服务器获取特征码；
所述连接次数获取模块，用于从所述服务器端的连接次数存储模块中获取连接次数信息；
所述认证令牌设备连接模块，用于触发所述连接次数获取模块获取服务器端的连接次数信息，并以连接次数作为加密因子对所述特征码通过一定规则加密计算，并基于计算结果生成连接请求信息广播包；并将所述广播包编码成蓝牙信号；
所述第一广播模块，用于广播所述认证令牌设备连接模块生成的所述蓝牙信号；
所述特征码删除模块，用于在完成身份认证后，删除获取的特征码；
所述连接次数更新模块，用于在实现与所述认证令牌设备的连接后，对所述服务器端存储的连接次数信息进行更新；
所述认证令牌设备，包括侦听模块、身份认证模块、第二广播模块、电源管理模块、本地连接次数存储更新模块；其中，
所述侦听模块，用于侦听蓝牙信号；
所述身份认证模块，用于提取本地连接次数存储更新模块中的连接次数信息对侦听到的蓝牙信号进行解码，并根据解码结果判断所述蓝牙信号中是否包含特征码；以及判断所述包含的特征码与植入的特征码是否一致；若一致，则与所述用户设备建立蓝牙链路，生成身份认证信息，并将身份认证信息编码为蓝牙信号通过所述蓝牙链路由所述第二广播模块发送给所述用户设备以提供身份认证；
所述第二广播模块，用于广播蓝牙信号；
所述电源管理模块，用于在完成身份认证服务后，关闭认证令牌设备的电源；
所述本地连接次数存储更新模块，用于存储所述连接次数信息，并在实现与所述用户设备的连接后，更新所述连接次数信息。

9.  根据权利要求8所述的一种基于蓝牙通讯的身份认证系统，其特征在于，所述用户设备是内置有相应程序的移动通讯装置。

10.  根据权利要求9所述的一种基于蓝牙通讯的身份认证系统，其特征在于，所述连接次数更新模块，用于在实现与所述认证令牌设备的连接后，对所述连接次数获取模块获取的连接次数进行加1计算，并将计算结果作为更新后的连接次数发送给对所述服务器端；所述本地连接次数存储更新模块，在实现与所述用户设备的连接后，对所存储的连接次数进行加1计算并存储计算结果。

说明书

基于蓝牙的身份认证系统及其方法
技术领域
本发明涉及网络安全技术领域，特别涉及一种基于蓝牙通讯的身份认证的方法及系统。
背景技术
随着计算机网络深入到人们生活的方方面面，越来越多的网络应用中涉及到了用户的隐私信息，单纯的用户口令由于安全系数较低，已很难有效地保证用户的信息安全。因而互联网上常常需要对用户进行强度远大于用户名口令方式的身份认证，一个典型场景是用户登录网银进行转账操作时需要对操作用户身份进行严格认证，目前在PC机上普遍使用USBKey(一般称为U盾)设备作为身份认证的手段，这类设备和PC机间通过USB数据口进行通讯，用户需要进行身份认证时在PC机上插入Key，使用完毕时拔出Key，认证信息完全由USBKey提供，不具有该Key的非授权用户则被拒绝访问，该方式极大地保证了用户账户安全。
但目前在移动设备上，还很少有能够提供以USBKey或类似方式进行身份认证的设备。原因主要有两个：1、很难找到一种通用的数据通讯方式能全部兼容iOS、Android等系统的设备；2、因为电量、体积、连接线等问题，很难设计出用户体验令人满意的设备。为实现移动设备上的身份认证，曾先后出现过SD卡盾、SIM卡盾、SIM卡贴片盾、耳机接口盾、等设备，但由于其均要求与移动设备进行接触式连接，因而效果均不太理想。
当前市场上也有少量的蓝牙类的相关产品，但现有的蓝牙类产品普遍存在以下问题：1、没有使用安全强度高的PKI技术；2、没有好的方法进行用户设备和认证令牌设备的匹配，建立连接和通讯的过程都不够安全；3、通常作为从设备盲目接受无线连接请求，这就增加恶意攻击的可能，从而造成安全隐患；4、使用一次需要开启电源的时间长，电量消耗快。基于以上原因，现有的认证令牌设备未能很好的解决移动设备的身份认证问题。
发明内容
有鉴于此，本发明提供了一种基于蓝牙通讯的身份认证方法及系统，以解决现有技术中无法在移动设备中进行有效的身份认证的问题。
为解决上述技术问题，本发明的基于蓝牙通讯的身份认证方法包括：
步骤1：向认证令牌设备内植入特征码；
步骤2：根据用户的信息和所述用户的认证令牌设备内的特征码得到绑定信息，并将绑定信息记录在服务器端；
步骤3：所述用户的用户设备通过访问服务器端获取所述绑定信息中的特征码；
步骤4：所述用户设备将利用所述特征码进行计算出外部认证数据，将外部认证数据作为广播包的一部分进行蓝牙广播；
步骤5：所述认证令牌设备侦听蓝牙广播数据，提取其中外部认证数据，根据自身特征码进行验证是否匹配，基于匹配结果与所述用户设备建立蓝牙链路，为用户设备提供身份认证。
其中，在所述步骤4中，所述用户设备以连接次数作为加密因子对所述特征码进行加密计算；在所述步骤5中，所述认证令牌设备利用所述连接次数对侦听到的广播数据与自身特征码进行计算规则匹配。
所述连接次数为所述用户设备与所述认证令牌设备所建立的连接的次数
所述方法还包括：
所述用户设备在身份认证完成后自动删除特征码。
所述认证令牌设备完成认证后，关闭自身电源。
所述步骤3包括：
步骤3.1：所述用户设备向所述服务器端发送包括用户信息的认证请求；
步骤3.2：所述服务器端在接收到所述认证请求后提取所述认证请求中的用户信息；
步骤3.3：所述服务器端根据提取的用户信息，查找与所述用户信息相对应的绑定信息；
步骤3.4：所述服务器端将查到到的绑定信息中的特征码发送给所述用户设备。
所述步骤5包括：
步骤5.1：所述认证令牌设备侦听蓝牙广播数据；
步骤5.2：所述认证令牌设备对侦听到的蓝牙数据进行分析，提取其中含特征码因子的加密处理结果，作为外部认证数据。
步骤5.3：所述认证令牌设备根据自身特征码判断所述外部认证数据是否符合自身规则，若符合，则进入步骤5.4，若不一致，则返回步骤5.1；
步骤5.4：所述认证令牌设备与所述用户设备建立蓝牙链路，为所述用户设备提供身份认证。
所述用户设备和认证令牌设备将待发送信息加密后再编码成蓝牙信号。
所述用户设备是内置有相应程序的移动通讯装置。
所述用户设备将所述连接次数存储于所述服务器端，并在每次加密时，从所述服务器端取回已存储的连接次数信息；所述认证令牌设备将所述连接次数存储于自身存储空间中，并在进行计算规则匹配时，从自身存储空间中取出所述连接次数信息。
每一次建立连接后，所述认证令牌设备将自身存储空间中的连接次数信息递增，同时所述用户设备将连接次数存储递增后存储在所述服务器端.
本发明还提供了一种基于蓝牙通讯的身份认证系统，包括：服务器、用户设备和认证令牌设备；其中，
所述服务器包括绑定模块、绑定信息存储模块、特征码提供模块、连接次数存储模块，其中，
所述绑定模块用于将用户的认证令牌设备内特征码和所述用户的信息进行绑定得到绑定信息；
所述绑定信息存储模块用于存储绑定信息；
所述特征码提供模块，用于在接收到用户设备发送的认证请求后提取所述认证请求中的用户信息；并根据提取的用户信息，在所述绑定信息存储模块中查找与所述用户信息相对应的绑定信息；以及将查找到的绑定信息中的特征码发送给所述用户设备；
所述连接次数存储模块，用于接收并存储所述用户设备发送的连接次数信息；；
所述用户设备，包括特征码提取模块、认证令牌设备连接模块、第一广播模块、特征码删除模块、连接次数获取模块、连接次数更新模块；其中，
所述特征码提取模块，用于向所述服务器端发送包括用户信息的认证请求以从所述服务器获取特征码；
所述连接次数获取模块，用于从所述服务器端的连接次数存储模块中获取连接次数信息；
所述认证令牌设备连接模块，用于触发所述连接次数获取模块获取服务器端的连接次数信息，并以连接次数作为加密因子对所述特征码通过一定规则加密计算，并基于计算结果生成连接请求信息广播包；并将所述广播包编码成蓝牙信号；
所述第一广播模块，用于广播所述认证令牌设备连接模块生成的所述蓝牙信号；
所述特征码删除模块，用于在完成身份认证后，删除获取的特征码；
所述连接次数更新模块，用于在实现与所述认证令牌设备的连接后，对所述服务器端存储的连接次数信息进行更新；
所述认证令牌设备，包括侦听模块、身份认证模块、第二广播模块、电源管理模块、本地连接次数存储更新模块；其中，
所述侦听模块，用于侦听蓝牙信号；
所述身份认证模块，用于提取本地连接次数存储更新模块中的连接次数信息对侦听到的蓝牙信号进行解码，并根据解码结果判断所述蓝牙信号中是否包含特征码；以及判断所述包含的特征码与植入的特征码是否一致；若一致，则与所述用户设备建立蓝牙链路，生成身份认证信息，并将身份认证信息编码为蓝牙信号通过所述蓝牙链路由所述第二广播模块发送给所述用户设备以提供身份认证；
所述第二广播模块，用于广播蓝牙信号；
所述电源管理模块，用于在完成身份认证服务后，关闭认证令牌设备的电源；
所述本地连接次数存储更新模块，用于存储所述连接次数信息，并在实现与所述用户设备的连接后，更新所述连接次数信息。
所述用户设备是内置有相应程序的移动通讯装置。
所述连接次数更新模块，用于在实现与所述认证令牌设备的连接后，对所述连接次数获取模块获取的连接次数进行加1计算，并将计算结果作为更新后的连接次数发送给对所述服务器端；所述本地连接次数存储更新模块，在实现与所述用户设备的连接后，对所存储的连接次数进行加1计算并存储计算结果。
通过上述技术方案，本发明避免了现有蓝牙设备常见的安全隐患，可加强各业务系统的可信身份认证和提高各业务系统数据的权威性、保密性，同时提升了用户的使用体验。
附图说明
图1为本发明一实施例给出的基于蓝牙通讯的身份认证方法的流程示意图；
图2为本发明一实施例给出的基于蓝牙通讯的身份认证系统的结构示意图。
具体实施方式
下面将结合各附图对本发明实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。
传统的身份认证令牌设备如U盾，很难在移动终端上使用，近年一些采用了蓝牙、耳机等通讯接口的认证令牌设备因为兼容性的问题仅能适配一部分终端。而现有的某些使用了蓝牙传输的安全设备并没有使用高认证强度的PKI技术；并且其通讯链接的建立和通讯过程都没有足够高的安全性；被动盲目的接受蓝牙连接请求，增加了被攻击的风险；当周围有多个类似设备时，用户终端无法准确识别对应的设备。
为了克服现有认证令牌设备的上述缺陷，本发明提供了一种通过特征码匹配且用户设备作以从模式建立连接的方式来使用认证令牌设备进行身份认证。如图1所示，本发明一实施例给出的基于蓝牙通讯的身份认证方法包括：
步骤1：认证令牌设备生产时内植入特征码；
步骤2：发放认证令牌设备内时，根据用户的信息和所述特征码得到绑定信息，并将绑定信息记录在服务器端；
步骤3：用户使用时使用所述用户设备通过访问服务器端获取所述绑定信息中的特征码；
优选地，所述步骤3可以包括：
步骤3.1：所述用户设备向所述服务器端发送包括用户信息的认证请求；
步骤3.2：所述服务器端在接收到所述认证请求后提取所述认证请求中的用户信息；
步骤3.3：所述服务器端根据提取的用户信息，查找与所述用户信息相对应的绑定信息；
步骤3.4：所述服务器端将查到到的绑定信息中的特征码发送给所述用户设备。
步骤4：所述用户设备将利用所述特征码进行计算出外部认证数据，将外部认证数据作为广播包的一部分进行蓝牙广播；在所述步骤4中，所述用户设备以连接次数作为加密因子对所述特征码进行加密计算。所述连接次数为所述用户设备与所述认证令牌设备所建立的连接的次数。
优选地，所述用户设备将所述连接次数存储于所述服务器端，并在每次加密时，从所述服务器端取回存储的连接次数信息。优选地，每一次建立连接后，所述用户设备将连接次数存储递增后存储于所述服务器端。
步骤5：所述认证令牌设备侦听蓝牙广播数据，提取其中外部认证数据，根据自身特征码进行验证是否匹配，基于匹配结果与所述用户设备建立蓝牙链路，为用户设备提供身份认证。在所述步骤5中，所述认证令牌设备利用所述连接次数对侦听到的广播数据与自身特征码进行计算规则匹配。
优选地，所述步骤5可以包括：
步骤5.1：所述认证令牌设备侦听蓝牙广播数据；
步骤5.2：所述认证令牌设备对侦听到的蓝牙数据进行分析，提取其中含特征码因子的加密处理结果，作为外部认证数据。
步骤5.3：所述认证令牌设备根据自身特征码判断所述外部认证数据是否符合自身规则，若符合，则进入步骤5.4，若不一致，则返回步骤5.1；
步骤5.4：所述认证令牌设备与所述用户设备建立蓝牙链路，为所述用户设备提供身份认证。
优选地，所述认证令牌设备将所述连接次数存储于自身存储空间中，并在进行计算规则匹配时，从自身存储空间中取出所述连接次数信息。优选地，每一次建立连接后，所述认证令牌设备将自身存储空间中的连接次数信息递增。
优选地，所述方法还可以包括：
所述用户设备在身份认证完成后自动删除特征码。
所述认证令牌设备完成认证后，关闭自身电源。
优选地，所述用户设备和认证令牌设备可以将待发送信息加密后再编码成蓝牙信号。
优选地，所述用户设备以从模式认证令牌设备以主模式建立蓝牙通讯链接。
优选地，所述用户设备利用特征码计算外部认证数据时，可以利用时间、连接次数等作为因子增加外部认证数据的随机性，并和所述认证令牌设备来实现同步。
优选地，当利用连接次数等作为所述用户设备、所述认证令牌设备的同步因子时，所述用户设备将同步因子存储在所述服务器端。
优选地，所述用户设备可以是内置有相应程序的移动通讯装置，例如手机、平板电脑等。
再参见图2，本发明另一实施例还提供了一种基于蓝牙通讯的身份认证系统，包括：服务器、用户设备和认证令牌设备；其中，
所述服务器包括绑定模块、绑定信息存储模块、特征码提供模块、连接次数存储模块，其中，
所述绑定模块用于将用户的认证令牌设备内特征码和所述用户的信息进行绑定得到绑定信息；
所述绑定信息存储模块用于存储绑定信息；
所述特征码提供模块，用于在接收到用户设备发送的认证请求后提取所述认证请求中的用户信息；并根据提取的用户信息，在所述绑定信息存储模块中查找与所述用户信息相对应的绑定信息；以及将查找到的绑定信息中的特征码发送给所述用户设备；
所述连接次数存储模块，用于接收并存储所述用户设备发送的连接次数信息。
所述用户设备，包括特征码提取模块、认证令牌设备连接模块、第一广播模块、特征码删除模块、连接次数获取模块、连接次数更新模块；其中，
所述特征码提取模块，用于向所述服务器端发送包括用户信息的认证请求以从所述服务器获取特征码；
所述连接次数获取模块，用于从所述服务器端的连接次数存储模块中获取连接次数信息；
所述认证令牌设备连接模块，用于触发所述连接次数获取模块获取服务器端的连接次数信息，并以连接次数作为加密因子对所述特征码通过一定规则加密计算，并基于计算结果生成连接请求信息广播包；并将所述广播包编码成蓝牙信号；
所述第一广播模块，用于广播所述认证令牌设备连接模块生成的所述蓝牙信号；
所述特征码删除模块，用于在完成身份认证后，删除获取的特征码；
所述连接次数更新模块，用于在实现与所述认证令牌设备的连接后，对所述服务器端存储的连接次数信息进行更新；
所述认证令牌设备，包括侦听模块、身份认证模块、第二广播模块、电源管理模块、本地连接次数存储更新模块；其中，
所述侦听模块，用于侦听蓝牙信号；
所述身份认证模块，用于提取本地连接次数存储更新模块中的连接次数信息对侦听到的蓝牙信号进行解码，并根据解码结果判断所述蓝牙信号中是否包含特征码；以及判断所述包含的特征码与植入的特征码是否一致；若一致，则与所述用户设备建立蓝牙链路，生成身份认证信息，并将身份认证信息编码为蓝牙信号通过所述蓝牙链路由所述第二广播模块发送给所述用户设备以提供身份认证；
所述第二广播模块，用于广播蓝牙信号；
所述电源管理模块，用于在完成身份认证服务后，关闭认证令牌设备的电源；
所述本地连接次数存储更新模块，用于存储所述连接次数信息，并在实现与所述用户设备的连接后，更新所述连接次数信息。
所述用户设备可以是内置有相应程序的移动通讯装置。例如，手机、平板电脑等。
优选地，所述连接次数更新模块，用于在实现与所述认证令牌设备的连接后，对所述连接次数获取模块获取的连接次数进行加1计算，并将计算结果作为更新后的连接次数发送给对所述服务器端；所述本地连接次数存储更新模块，在实现与所述用户设备的连接后，对所存储的连接次数进行加1计算并存储计算结果
本发明的实施例中，预先将认证令牌设备的特征码记录在服务器端，同时设置认证令牌设备为主动接受蓝牙连接请求，使得认证令牌设备在开启电源后默认仅判断周围蓝牙信号，不接受其他蓝牙设备连接请求。这样一方面可以避免认证令牌设备被非授权用户设备搜索到甚至连接上，增强了认证令牌设备的安全性；另一方面降低了认证令牌设备的功耗，节省电量从而延长了设备使用时间。
随后，在将蓝牙认证令牌设备发放给用户时，将用户的用户信息和该认证令牌设备的特征码绑定。绑定的信息记录在服务器端，信息的绑定由授信的管理员进行，可以在发放的同时进行，也可以在发放后进行，但优选地在发放的同时进行。
用户在使用认证令牌设备进行身份认证时，首先通过用户设备(如移动终端、平板电脑或其他带有蓝牙通讯功能的计算机设备)输入用户信息来访问服务器，通过验证的用户可以获取与用户信息对应的认证令牌设备的特征码。随后，用户设备开启蓝牙功能，利用该特征码计算外部认证数据，并进行蓝牙广播，与此同时用户打开认证令牌设备的电源。认证令牌设备侦听到该蓝牙广播后，验证匹配后与用户设备建立蓝牙链路，为该用户设备中提交的用户数据提供身份认证。所述认证令牌设备包括安全芯片，可以完成RSA、SM2等数字签名功能。可以进行普通的对称、非对称加密操作为用户设备提供服务。所述身份认证可以是为用户数据提供的数字签名、加密通信或两者的结合等，可以通过软件、硬件或软硬结合的方式实现，具体的实现过程类似于现有的USBKey形式，在此不再赘述。
本发明的认证令牌设备相较于其他蓝牙设备具有更高的安全性，能有效避免非授权用户设备的试探连接，由于仅能与授信用户建立链路，为用户数据和认证令牌设备的使用提供了双重安全保障。为进一步保证安全和降低功耗，本发明的认证令牌设备在完成一次身份认证之后会立即关闭认证令牌设备电源。更优选地，在认证令牌设备关闭电源时会主动删除或提示用户删除用户设备中保留的特征码，以避免该用户设备被非授权用户非法使用，进一步保证该认证令牌设备的安全性。
通过上述方式，本发明提供了一种基于蓝牙通讯的身份认证方法及系统，通过蓝牙进行通信，解决了传统认证令牌设备和用户设备数据交互的问题，通过用户设备广播包含特征码因子的广播信息，认证令牌设备主动验证并请求建立连接，解决蓝牙链路建立的安全问题，通过可以去服务器取回特征码，不需要搜索，减少用户介入次数，优化用户体验，同时也能大大缩短认证令牌设备的工作时间，减少耗电量。所以，本发明特别适合移动设备如手机、平板电脑的身份认证服务，对推广移动电子商务具有重要意义。
以上实施方式仅用于说明本发明，而并非对本发明的限制，有关技术领域的普通技术人员，在不脱离本发明的精神和范围的情况下，还可以做出各种变化和变型，因此所有等同的技术方案也属于本发明的范畴，本发明的专利保护范围应由权利要求限定。

资源描述

《基于蓝牙的身份认证系统及其方法.pdf》由会员分享，可在线阅读，更多相关《基于蓝牙的身份认证系统及其方法.pdf（13页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN104202299A43申请公布日20141210CN104202299A21申请号201410383914022申请日20140806H04L29/06200601H04L9/32200601H04B5/0020060171申请人北京中金国信科技有限公司地址100054北京市西城区菜市口南大街平原里20372发明人李闯姜晓新74专利代理机构北京瑞思知识产权代理事务所普通合伙11341代理人李涛袁红红54发明名称基于蓝牙的身份认证系统及其方法57摘要本发明涉及网络安全技术领域，提供了一种基于蓝牙的身份认证方法及系统。本发明方法包括向认证令牌设备内植入特征码；根据用户信息和用户。

2、的认证令牌设备内的特征码做绑定记录在服务器端；所述用户设备通过访问服务器端获取所述绑定信息中的特征码；所述用户设备将所述特征码进行计算并进行蓝牙广播；所述认证令牌设备开启电源后侦听蓝牙广播数据，并与自身特征码验证匹配的结果，与所述用户设备建立蓝牙链路，为用户设备提供身份认证。本发明避免了现有蓝牙设备常见的安全隐患，可加强各业务系统的可信身份认证和提高各业务系统数据的权威性、保密性，节省了认证令牌设备功耗的同时提升了用户的使用体验。51INTCL权利要求书3页说明书7页附图2页19中华人民共和国国家知识产权局12发明专利申请权利要求书3页说明书7页附图2页10申请公布号CN104202299AC。

3、N104202299A1/3页21一种基于蓝牙通讯的身份认证方法，其特征在于，所述方法包括步骤1向认证令牌设备内植入特征码；步骤2发放令牌设备时根据用户的信息和所述用户的认证令牌设备内的特征码得到绑定信息，并将绑定信息记录在服务器端；步骤3所述用户的用户设备通过访问服务器端获取所述绑定信息中的特征码；步骤4所述用户设备将所述特征码通过一定规则加密计算，将计算结果作为广播包数据的一部分，进行蓝牙信号广播；步骤5所述认证令牌设备侦听蓝牙广播信号，并将侦听到的广播数据与自身特征码进行计算规则匹配，如匹配成功则主动与用户设备建立蓝牙链接，为所述用户设备提供身份认证；其中，所述步骤3包括步骤31所述用户。

4、设备向所述服务器端发送包括用户信息的认证请求；步骤32所述服务器端在接收到所述认证请求后提取所述认证请求中的用户信息；步骤33所述服务器端根据提取的用户信息，查找与所述用户信息相对应的绑定信息；步骤34所述服务器端将查到到的绑定信息中的特征码发送给所述用户设备；所述步骤5包括步骤51所述认证令牌设备侦听蓝牙广播数据；步骤52所述认证令牌设备对侦听到的蓝牙数据进行分析，提取其中含特征码因子的加密处理结果，作为外部认证数据。步骤53所述认证令牌设备根据自身特征码判断所述外部认证数据是否符合自身规则，若符合，则进入步骤54，若不一致，则返回步骤51；步骤54所述认证令牌设备主动与所述用户设备建立蓝牙。

5、链路，为所述用户设备提供身份认证；在所述步骤4中，所述用户设备以连接次数作为加密因子对所述特征码进行加密计算；在所述步骤5中，所述认证令牌设备利用所述连接次数对侦听到的广播数据与自身特征码进行计算规则匹配，其中，所述连接次数为所述用户设备与所述认证令牌设备所建立的连接的次数。2根据权利要求1所述的一种基于蓝牙通讯技术的身份认证方法，其特征在于，所述方法还包括所述用户设备在身份认证完成后自动删除特征码。3根据权利要求1或2所述的一种基于蓝牙通讯的身份认证方法，其特征在于，所述认证令牌设备完成认证后，关闭自身电源。4根据权利要求3所述的一种基于蓝牙通讯的身份认证方法，其特征在于，所述认证令牌设备判。

6、断广播包数据匹配后主动发起蓝牙连接请求，所述认证令牌设备不被动接受蓝牙连接请求。5根据权利要求4所述的一种基于蓝牙通讯的身份认证方法，其特征在于，所述用户设备是内置有相应程序的移动通讯装置。6根据权利要求5所述的一种基于蓝牙通讯的身份认证方法，其特征在于，所述用户权利要求书CN104202299A2/3页3设备将所述连接次数存储于所述服务器端，并在每次加密时，从所述服务器端取回已存储的连接次数信息；所述认证令牌设备将所述连接次数存储于自身存储空间中，并在进行计算规则匹配时，从自身存储空间中取出所述连接次数信息。7根据权利要求6所述的一种基于蓝牙通讯的身份认证方法，其特征在于，每一次建立连接后，。

7、所述认证令牌设备将自身存储空间中的连接次数信息递增，同时所述用户设备将连接次数存储递增后存储在所述服务器端。8一种基于蓝牙通讯的身份认证系统，包括服务器、用户设备和认证令牌设备；其特征在于，所述服务器包括绑定模块、绑定信息存储模块、特征码提供模块、连接次数存储模块；其中，所述绑定模块，用于将用户的认证令牌设备内特征码和所述用户的信息进行绑定得到绑定信息；所述绑定信息存储模块，用于存储绑定信息；所述特征码提供模块，用于在接收到用户设备发送的认证请求后提取所述认证请求中的用户信息；并根据提取的用户信息，在所述绑定信息存储模块中查找与所述用户信息相对应的绑定信息；以及将查找到的绑定信息中的特征码发送。

8、给所述用户设备；所述连接次数存储模块，用于接收并存储所述用户设备发送的连接次数信息；所述用户设备，包括特征码提取模块、认证令牌设备连接模块、第一广播模块、特征码删除模块、连接次数获取模块、连接次数更新模块；其中，所述特征码提取模块，用于向所述服务器端发送包括用户信息的认证请求以从所述服务器获取特征码；所述连接次数获取模块，用于从所述服务器端的连接次数存储模块中获取连接次数信息；所述认证令牌设备连接模块，用于触发所述连接次数获取模块获取服务器端的连接次数信息，并以连接次数作为加密因子对所述特征码通过一定规则加密计算，并基于计算结果生成连接请求信息广播包；并将所述广播包编码成蓝牙信号；所述第一广播。

9、模块，用于广播所述认证令牌设备连接模块生成的所述蓝牙信号；所述特征码删除模块，用于在完成身份认证后，删除获取的特征码；所述连接次数更新模块，用于在实现与所述认证令牌设备的连接后，对所述服务器端存储的连接次数信息进行更新；所述认证令牌设备，包括侦听模块、身份认证模块、第二广播模块、电源管理模块、本地连接次数存储更新模块；其中，所述侦听模块，用于侦听蓝牙信号；所述身份认证模块，用于提取本地连接次数存储更新模块中的连接次数信息对侦听到的蓝牙信号进行解码，并根据解码结果判断所述蓝牙信号中是否包含特征码；以及判断所述包含的特征码与植入的特征码是否一致；若一致，则与所述用户设备建立蓝牙链路，生成身份认证信。

10、息，并将身份认证信息编码为蓝牙信号通过所述蓝牙链路由所述第二广播模块发送给所述用户设备以提供身份认证；所述第二广播模块，用于广播蓝牙信号；权利要求书CN104202299A3/3页4所述电源管理模块，用于在完成身份认证服务后，关闭认证令牌设备的电源；所述本地连接次数存储更新模块，用于存储所述连接次数信息，并在实现与所述用户设备的连接后，更新所述连接次数信息。9根据权利要求8所述的一种基于蓝牙通讯的身份认证系统，其特征在于，所述用户设备是内置有相应程序的移动通讯装置。10根据权利要求9所述的一种基于蓝牙通讯的身份认证系统，其特征在于，所述连接次数更新模块，用于在实现与所述认证令牌设备的连接后，对。

11、所述连接次数获取模块获取的连接次数进行加1计算，并将计算结果作为更新后的连接次数发送给对所述服务器端；所述本地连接次数存储更新模块，在实现与所述用户设备的连接后，对所存储的连接次数进行加1计算并存储计算结果。权利要求书CN104202299A1/7页5基于蓝牙的身份认证系统及其方法技术领域0001本发明涉及网络安全技术领域，特别涉及一种基于蓝牙通讯的身份认证的方法及系统。背景技术0002随着计算机网络深入到人们生活的方方面面，越来越多的网络应用中涉及到了用户的隐私信息，单纯的用户口令由于安全系数较低，已很难有效地保证用户的信息安全。因而互联网上常常需要对用户进行强度远大于用户名口令方式的身份认。

12、证，一个典型场景是用户登录网银进行转账操作时需要对操作用户身份进行严格认证，目前在PC机上普遍使用USBKEY一般称为U盾设备作为身份认证的手段，这类设备和PC机间通过USB数据口进行通讯，用户需要进行身份认证时在PC机上插入KEY，使用完毕时拔出KEY，认证信息完全由USBKEY提供，不具有该KEY的非授权用户则被拒绝访问，该方式极大地保证了用户账户安全。0003但目前在移动设备上，还很少有能够提供以USBKEY或类似方式进行身份认证的设备。原因主要有两个1、很难找到一种通用的数据通讯方式能全部兼容IOS、ANDROID等系统的设备；2、因为电量、体积、连接线等问题，很难设计出用户体验令人满。

13、意的设备。为实现移动设备上的身份认证，曾先后出现过SD卡盾、SIM卡盾、SIM卡贴片盾、耳机接口盾、等设备，但由于其均要求与移动设备进行接触式连接，因而效果均不太理想。0004当前市场上也有少量的蓝牙类的相关产品，但现有的蓝牙类产品普遍存在以下问题1、没有使用安全强度高的PKI技术；2、没有好的方法进行用户设备和认证令牌设备的匹配，建立连接和通讯的过程都不够安全；3、通常作为从设备盲目接受无线连接请求，这就增加恶意攻击的可能，从而造成安全隐患；4、使用一次需要开启电源的时间长，电量消耗快。基于以上原因，现有的认证令牌设备未能很好的解决移动设备的身份认证问题。发明内容0005有鉴于此，本发明提供。

14、了一种基于蓝牙通讯的身份认证方法及系统，以解决现有技术中无法在移动设备中进行有效的身份认证的问题。0006为解决上述技术问题，本发明的基于蓝牙通讯的身份认证方法包括0007步骤1向认证令牌设备内植入特征码；0008步骤2根据用户的信息和所述用户的认证令牌设备内的特征码得到绑定信息，并将绑定信息记录在服务器端；0009步骤3所述用户的用户设备通过访问服务器端获取所述绑定信息中的特征码；0010步骤4所述用户设备将利用所述特征码进行计算出外部认证数据，将外部认证数据作为广播包的一部分进行蓝牙广播；0011步骤5所述认证令牌设备侦听蓝牙广播数据，提取其中外部认证数据，根据自身特征码进行验证是否匹配，。

15、基于匹配结果与所述用户设备建立蓝牙链路，为用户设备提供说明书CN104202299A2/7页6身份认证。0012其中，在所述步骤4中，所述用户设备以连接次数作为加密因子对所述特征码进行加密计算；在所述步骤5中，所述认证令牌设备利用所述连接次数对侦听到的广播数据与自身特征码进行计算规则匹配。0013所述连接次数为所述用户设备与所述认证令牌设备所建立的连接的次数0014所述方法还包括0015所述用户设备在身份认证完成后自动删除特征码。0016所述认证令牌设备完成认证后，关闭自身电源。0017所述步骤3包括0018步骤31所述用户设备向所述服务器端发送包括用户信息的认证请求；0019步骤32所述服务。

16、器端在接收到所述认证请求后提取所述认证请求中的用户信息；0020步骤33所述服务器端根据提取的用户信息，查找与所述用户信息相对应的绑定信息；0021步骤34所述服务器端将查到到的绑定信息中的特征码发送给所述用户设备。0022所述步骤5包括0023步骤51所述认证令牌设备侦听蓝牙广播数据；0024步骤52所述认证令牌设备对侦听到的蓝牙数据进行分析，提取其中含特征码因子的加密处理结果，作为外部认证数据。0025步骤53所述认证令牌设备根据自身特征码判断所述外部认证数据是否符合自身规则，若符合，则进入步骤54，若不一致，则返回步骤51；0026步骤54所述认证令牌设备与所述用户设备建立蓝牙链路，为所。

17、述用户设备提供身份认证。0027所述用户设备和认证令牌设备将待发送信息加密后再编码成蓝牙信号。0028所述用户设备是内置有相应程序的移动通讯装置。0029所述用户设备将所述连接次数存储于所述服务器端，并在每次加密时，从所述服务器端取回已存储的连接次数信息；所述认证令牌设备将所述连接次数存储于自身存储空间中，并在进行计算规则匹配时，从自身存储空间中取出所述连接次数信息。0030每一次建立连接后，所述认证令牌设备将自身存储空间中的连接次数信息递增，同时所述用户设备将连接次数存储递增后存储在所述服务器端0031本发明还提供了一种基于蓝牙通讯的身份认证系统，包括服务器、用户设备和认证令牌设备；其中，0。

18、032所述服务器包括绑定模块、绑定信息存储模块、特征码提供模块、连接次数存储模块，其中，0033所述绑定模块用于将用户的认证令牌设备内特征码和所述用户的信息进行绑定得到绑定信息；0034所述绑定信息存储模块用于存储绑定信息；0035所述特征码提供模块，用于在接收到用户设备发送的认证请求后提取所述认证请求中的用户信息；并根据提取的用户信息，在所述绑定信息存储模块中查找与所述用户信说明书CN104202299A3/7页7息相对应的绑定信息；以及将查找到的绑定信息中的特征码发送给所述用户设备；0036所述连接次数存储模块，用于接收并存储所述用户设备发送的连接次数信息；0037所述用户设备，包括特征码。

19、提取模块、认证令牌设备连接模块、第一广播模块、特征码删除模块、连接次数获取模块、连接次数更新模块；其中，0038所述特征码提取模块，用于向所述服务器端发送包括用户信息的认证请求以从所述服务器获取特征码；0039所述连接次数获取模块，用于从所述服务器端的连接次数存储模块中获取连接次数信息；0040所述认证令牌设备连接模块，用于触发所述连接次数获取模块获取服务器端的连接次数信息，并以连接次数作为加密因子对所述特征码通过一定规则加密计算，并基于计算结果生成连接请求信息广播包；并将所述广播包编码成蓝牙信号；0041所述第一广播模块，用于广播所述认证令牌设备连接模块生成的所述蓝牙信号；0042所述特征码。

20、删除模块，用于在完成身份认证后，删除获取的特征码；0043所述连接次数更新模块，用于在实现与所述认证令牌设备的连接后，对所述服务器端存储的连接次数信息进行更新；0044所述认证令牌设备，包括侦听模块、身份认证模块、第二广播模块、电源管理模块、本地连接次数存储更新模块；其中，0045所述侦听模块，用于侦听蓝牙信号；0046所述身份认证模块，用于提取本地连接次数存储更新模块中的连接次数信息对侦听到的蓝牙信号进行解码，并根据解码结果判断所述蓝牙信号中是否包含特征码；以及判断所述包含的特征码与植入的特征码是否一致；若一致，则与所述用户设备建立蓝牙链路，生成身份认证信息，并将身份认证信息编码为蓝牙信号通。

21、过所述蓝牙链路由所述第二广播模块发送给所述用户设备以提供身份认证；0047所述第二广播模块，用于广播蓝牙信号；0048所述电源管理模块，用于在完成身份认证服务后，关闭认证令牌设备的电源；0049所述本地连接次数存储更新模块，用于存储所述连接次数信息，并在实现与所述用户设备的连接后，更新所述连接次数信息。0050所述用户设备是内置有相应程序的移动通讯装置。0051所述连接次数更新模块，用于在实现与所述认证令牌设备的连接后，对所述连接次数获取模块获取的连接次数进行加1计算，并将计算结果作为更新后的连接次数发送给对所述服务器端；所述本地连接次数存储更新模块，在实现与所述用户设备的连接后，对所存储的连。

22、接次数进行加1计算并存储计算结果。0052通过上述技术方案，本发明避免了现有蓝牙设备常见的安全隐患，可加强各业务系统的可信身份认证和提高各业务系统数据的权威性、保密性，同时提升了用户的使用体验。附图说明0053图1为本发明一实施例给出的基于蓝牙通讯的身份认证方法的流程示意图；0054图2为本发明一实施例给出的基于蓝牙通讯的身份认证系统的结构示意图。说明书CN104202299A4/7页8具体实施方式0055下面将结合各附图对本发明实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的。

23、前提下所获得的所有其他实施例，都属于本发明保护的范围。0056传统的身份认证令牌设备如U盾，很难在移动终端上使用，近年一些采用了蓝牙、耳机等通讯接口的认证令牌设备因为兼容性的问题仅能适配一部分终端。而现有的某些使用了蓝牙传输的安全设备并没有使用高认证强度的PKI技术；并且其通讯链接的建立和通讯过程都没有足够高的安全性；被动盲目的接受蓝牙连接请求，增加了被攻击的风险；当周围有多个类似设备时，用户终端无法准确识别对应的设备。0057为了克服现有认证令牌设备的上述缺陷，本发明提供了一种通过特征码匹配且用户设备作以从模式建立连接的方式来使用认证令牌设备进行身份认证。如图1所示，本发明一实施例给出的基于。

24、蓝牙通讯的身份认证方法包括0058步骤1认证令牌设备生产时内植入特征码；0059步骤2发放认证令牌设备内时，根据用户的信息和所述特征码得到绑定信息，并将绑定信息记录在服务器端；0060步骤3用户使用时使用所述用户设备通过访问服务器端获取所述绑定信息中的特征码；0061优选地，所述步骤3可以包括0062步骤31所述用户设备向所述服务器端发送包括用户信息的认证请求；0063步骤32所述服务器端在接收到所述认证请求后提取所述认证请求中的用户信息；0064步骤33所述服务器端根据提取的用户信息，查找与所述用户信息相对应的绑定信息；0065步骤34所述服务器端将查到到的绑定信息中的特征码发送给所述用户设。

25、备。0066步骤4所述用户设备将利用所述特征码进行计算出外部认证数据，将外部认证数据作为广播包的一部分进行蓝牙广播；在所述步骤4中，所述用户设备以连接次数作为加密因子对所述特征码进行加密计算。所述连接次数为所述用户设备与所述认证令牌设备所建立的连接的次数。0067优选地，所述用户设备将所述连接次数存储于所述服务器端，并在每次加密时，从所述服务器端取回存储的连接次数信息。优选地，每一次建立连接后，所述用户设备将连接次数存储递增后存储于所述服务器端。0068步骤5所述认证令牌设备侦听蓝牙广播数据，提取其中外部认证数据，根据自身特征码进行验证是否匹配，基于匹配结果与所述用户设备建立蓝牙链路，为用户设。

26、备提供身份认证。在所述步骤5中，所述认证令牌设备利用所述连接次数对侦听到的广播数据与自身特征码进行计算规则匹配。0069优选地，所述步骤5可以包括0070步骤51所述认证令牌设备侦听蓝牙广播数据；说明书CN104202299A5/7页90071步骤52所述认证令牌设备对侦听到的蓝牙数据进行分析，提取其中含特征码因子的加密处理结果，作为外部认证数据。0072步骤53所述认证令牌设备根据自身特征码判断所述外部认证数据是否符合自身规则，若符合，则进入步骤54，若不一致，则返回步骤51；0073步骤54所述认证令牌设备与所述用户设备建立蓝牙链路，为所述用户设备提供身份认证。0074优选地，所述认证令牌。

27、设备将所述连接次数存储于自身存储空间中，并在进行计算规则匹配时，从自身存储空间中取出所述连接次数信息。优选地，每一次建立连接后，所述认证令牌设备将自身存储空间中的连接次数信息递增。0075优选地，所述方法还可以包括0076所述用户设备在身份认证完成后自动删除特征码。0077所述认证令牌设备完成认证后，关闭自身电源。0078优选地，所述用户设备和认证令牌设备可以将待发送信息加密后再编码成蓝牙信号。0079优选地，所述用户设备以从模式认证令牌设备以主模式建立蓝牙通讯链接。0080优选地，所述用户设备利用特征码计算外部认证数据时，可以利用时间、连接次数等作为因子增加外部认证数据的随机性，并和所述认证。

28、令牌设备来实现同步。0081优选地，当利用连接次数等作为所述用户设备、所述认证令牌设备的同步因子时，所述用户设备将同步因子存储在所述服务器端。0082优选地，所述用户设备可以是内置有相应程序的移动通讯装置，例如手机、平板电脑等。0083再参见图2，本发明另一实施例还提供了一种基于蓝牙通讯的身份认证系统，包括服务器、用户设备和认证令牌设备；其中，0084所述服务器包括绑定模块、绑定信息存储模块、特征码提供模块、连接次数存储模块，其中，0085所述绑定模块用于将用户的认证令牌设备内特征码和所述用户的信息进行绑定得到绑定信息；0086所述绑定信息存储模块用于存储绑定信息；0087所述特征码提供模块，。

29、用于在接收到用户设备发送的认证请求后提取所述认证请求中的用户信息；并根据提取的用户信息，在所述绑定信息存储模块中查找与所述用户信息相对应的绑定信息；以及将查找到的绑定信息中的特征码发送给所述用户设备；0088所述连接次数存储模块，用于接收并存储所述用户设备发送的连接次数信息。0089所述用户设备，包括特征码提取模块、认证令牌设备连接模块、第一广播模块、特征码删除模块、连接次数获取模块、连接次数更新模块；其中，0090所述特征码提取模块，用于向所述服务器端发送包括用户信息的认证请求以从所述服务器获取特征码；0091所述连接次数获取模块，用于从所述服务器端的连接次数存储模块中获取连接次数信息；00。

30、92所述认证令牌设备连接模块，用于触发所述连接次数获取模块获取服务器端的连说明书CN104202299A6/7页10接次数信息，并以连接次数作为加密因子对所述特征码通过一定规则加密计算，并基于计算结果生成连接请求信息广播包；并将所述广播包编码成蓝牙信号；0093所述第一广播模块，用于广播所述认证令牌设备连接模块生成的所述蓝牙信号；0094所述特征码删除模块，用于在完成身份认证后，删除获取的特征码；0095所述连接次数更新模块，用于在实现与所述认证令牌设备的连接后，对所述服务器端存储的连接次数信息进行更新；0096所述认证令牌设备，包括侦听模块、身份认证模块、第二广播模块、电源管理模块、本地连接。

31、次数存储更新模块；其中，0097所述侦听模块，用于侦听蓝牙信号；0098所述身份认证模块，用于提取本地连接次数存储更新模块中的连接次数信息对侦听到的蓝牙信号进行解码，并根据解码结果判断所述蓝牙信号中是否包含特征码；以及判断所述包含的特征码与植入的特征码是否一致；若一致，则与所述用户设备建立蓝牙链路，生成身份认证信息，并将身份认证信息编码为蓝牙信号通过所述蓝牙链路由所述第二广播模块发送给所述用户设备以提供身份认证；0099所述第二广播模块，用于广播蓝牙信号；0100所述电源管理模块，用于在完成身份认证服务后，关闭认证令牌设备的电源；0101所述本地连接次数存储更新模块，用于存储所述连接次数信息，。

32、并在实现与所述用户设备的连接后，更新所述连接次数信息。0102所述用户设备可以是内置有相应程序的移动通讯装置。例如，手机、平板电脑等。0103优选地，所述连接次数更新模块，用于在实现与所述认证令牌设备的连接后，对所述连接次数获取模块获取的连接次数进行加1计算，并将计算结果作为更新后的连接次数发送给对所述服务器端；所述本地连接次数存储更新模块，在实现与所述用户设备的连接后，对所存储的连接次数进行加1计算并存储计算结果0104本发明的实施例中，预先将认证令牌设备的特征码记录在服务器端，同时设置认证令牌设备为主动接受蓝牙连接请求，使得认证令牌设备在开启电源后默认仅判断周围蓝牙信号，不接受其他蓝牙设备。

33、连接请求。这样一方面可以避免认证令牌设备被非授权用户设备搜索到甚至连接上，增强了认证令牌设备的安全性；另一方面降低了认证令牌设备的功耗，节省电量从而延长了设备使用时间。0105随后，在将蓝牙认证令牌设备发放给用户时，将用户的用户信息和该认证令牌设备的特征码绑定。绑定的信息记录在服务器端，信息的绑定由授信的管理员进行，可以在发放的同时进行，也可以在发放后进行，但优选地在发放的同时进行。0106用户在使用认证令牌设备进行身份认证时，首先通过用户设备如移动终端、平板电脑或其他带有蓝牙通讯功能的计算机设备输入用户信息来访问服务器，通过验证的用户可以获取与用户信息对应的认证令牌设备的特征码。随后，用户设。

34、备开启蓝牙功能，利用该特征码计算外部认证数据，并进行蓝牙广播，与此同时用户打开认证令牌设备的电源。认证令牌设备侦听到该蓝牙广播后，验证匹配后与用户设备建立蓝牙链路，为该用户设备中提交的用户数据提供身份认证。所述认证令牌设备包括安全芯片，可以完成RSA、SM2等数字签名功能。可以进行普通的对称、非对称加密操作为用户设备提供服务。所述身份认证可以是为用户数据提供的数字签名、加密通信或两者的结合等，可以通过软件、硬件或软说明书CN104202299A107/7页11硬结合的方式实现，具体的实现过程类似于现有的USBKEY形式，在此不再赘述。0107本发明的认证令牌设备相较于其他蓝牙设备具有更高的安全。

35、性，能有效避免非授权用户设备的试探连接，由于仅能与授信用户建立链路，为用户数据和认证令牌设备的使用提供了双重安全保障。为进一步保证安全和降低功耗，本发明的认证令牌设备在完成一次身份认证之后会立即关闭认证令牌设备电源。更优选地，在认证令牌设备关闭电源时会主动删除或提示用户删除用户设备中保留的特征码，以避免该用户设备被非授权用户非法使用，进一步保证该认证令牌设备的安全性。0108通过上述方式，本发明提供了一种基于蓝牙通讯的身份认证方法及系统，通过蓝牙进行通信，解决了传统认证令牌设备和用户设备数据交互的问题，通过用户设备广播包含特征码因子的广播信息，认证令牌设备主动验证并请求建立连接，解决蓝牙链路建。

36、立的安全问题，通过可以去服务器取回特征码，不需要搜索，减少用户介入次数，优化用户体验，同时也能大大缩短认证令牌设备的工作时间，减少耗电量。所以，本发明特别适合移动设备如手机、平板电脑的身份认证服务，对推广移动电子商务具有重要意义。0109以上实施方式仅用于说明本发明，而并非对本发明的限制，有关技术领域的普通技术人员，在不脱离本发明的精神和范围的情况下，还可以做出各种变化和变型，因此所有等同的技术方案也属于本发明的范畴，本发明的专利保护范围应由权利要求限定。说明书CN104202299A111/2页12图1说明书附图CN104202299A122/2页13图2说明书附图CN104202299A13。

展开阅读全文