WO2010048760A1

WO2010048760A1 - 移动终端认证处理方法和装置

Info

Publication number: WO2010048760A1
Application number: PCT/CN2008/072891
Authority: WO
Inventors: 金崇庭; 刘峥嵘; 郭奇成
Original assignee: 中兴通讯股份有限公司
Priority date: 2008-10-31
Filing date: 2008-10-31
Publication date: 2010-05-06
Also published as: EP2352321A4; US20110201309A1; EP2352321A1; CN102017678A; EP2352321B1; US8238880B2

Description

移动终端认证处理方法和装置

技术领域本发明涉及通信领域，尤其涉及一种移动终端认证处理方法和装置。背景技术随着移动通信技术的发展，特别是智能手机的快速发展，移动终端具有了越来越多的功能业务，例如多媒体娱乐、移动办公、信息管理、移动购物等。同时，随着手机上网功能的不断完善和智能开放平台的普及，手机逐渐成为个人信息管理的综合平台。由于手机的安全性已经与用户个人隐私、信息安全、经济财产安全等密切相关联，传统的手机身份验证，都是对文本信息进行加密，信息量非常有限，手机一旦遗失，将会给用户带来巨大损失，安全性较低。发明内容

此，本发明的主要目的在于提供一种移动终端认证处理方法及装置，以解决上述问题。才艮据本发明的一个方面，提供了一种移动终端认证处理方法。根据本发明的移动终端认证处理方法包括：接收来自移动终端的图像身份消息，其中，图像身份消息中携带有移动终端的用户标识、当前图像特征信息；查找预先保存的与移动终端的用户标识具有对应关系的图像特征信息，并根据预先设置的安全等级将当前图像特征信息与图像特征信息进行相应的算法匹配，并# -据匹配结果对移动终端进行认证处理。其中，在接收来自移动终端的图像身份消息之前，该方法还包括：对于每个移动终端，预先设置其用户标识、图像特征信息和安全等级之间的对应关系。其中，在接收来自移动终端的图像身份消息之前，该方法进一步包括：移动终端通过其上的图像拍摄装置获取图像，并根据图像获取当前图像特征信息。优选地，图像身份消息还包括移动终端请求的安全等级，对应地，上述方法还包括：将移动终端请求的安全等级与移动终端预先设置的安全等级进行比较；在请求的安全等级低于或等于预先设置的安全等级的情况下，向移动终端 4吏权请求的安全等级对应的移动终端运行模式。其中，根据匹配结果对移动终端进行认证处理的操作具体包括：根据匹配结果得到 4吏权结果，其中， 4吏权结果为移动终端通过认证或移动终端未通过认证；根据授权结果构造认证授权数据包并返回给移动终端。优选地，该方法还包括：移动终端接收认证 4吏权数据包，并艮据认证 4曼权数据包判断其是否通过认证；在判断为是的情况下，移动终端在进入请求的安全等级所对应的运行模式；在判断为否或移动终端未在发送图像身份消息之后的预定时间段内接收到认证授权数据包的情况下，移动终端进入受限模式。其中，上述移动终端的用户标识包括以下之一：国际移动用户识别码、机身码、移动识别号码。才艮据本发明的另一方面，提供了一种移动终端认证处理装置。根据本发明的移动终端认证处理装置包括：接收模块，用于接收来自移动终端的图像身份消息，其中，图像身份消息中携带有移动终端的用户标识、当前图像特征信息；查找模块，用于查找预先保存的与移动终端的用户标识具有对应关系的图像特征信息；匹配模块，用于才艮据预先设置的安全等级将当前图像特征信息与图像特征信息进行相应的算法匹配；认证处理模块，用于才艮据算法匹配确定的匹配结果对移动终端进行认证处理。进一步地，该上述装置还包括：设置模块，用于设置每个移动终端的用户标识、图像特征信息和安全等级之间的对应关系。通过本发明的上述至少一个技术方案，釆用摄像釆集的图像信息作为身份识别密码，可以提供不同安全等级的身份认证，大大增强了移动终端身份认证的安全性和扩展性。附图说明附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：

图 2 是才艮据本发明方法实施例的移动终端认证处理方法的详细处理流程图；图 3是才艮据本发明方法实施例的移动终端认证处理装置的结构框图；图 4 是才艮据本发明方法实施例的移动终端认证处理装置的优选结构才匡图；图 5是才艮据本发明方法实施例的移动终端认证处理方法的示意图。具体实施方式功能相无述针对上述问题，本发明提出了一种通过摄像图片对移动终端进行安全论证来控制移动终端开机的方法，主要涉及具备摄像头的移动终端如何进行不同安全等级的图像身份认证来接入***。本发明的主要思路是：移动终端在开机后进入受限模式，并提示用户进行身份认证，通过手机中的摄像头模块釆集身份关联图像，即通过摄像头拍摄照片，并对图像进行特征信息提取，将该特征信息和用户标识构建图像身份信息包，将该信息包进行加密和压缩后，通过无线网络侧将信息包发送给身份认证服务器进行身份验证，并由身份认证服务器确定相应的安全运行模式。下面将结合附图详细描述本发明。方法实施例根据本发明实施例，提供了一种移动终端认证处理方法。需要说明的是，为了便于描述，在下文中以步骤的形式示出并描述了本发明的方法实施例的技术方案，在下文中所示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行。虽然在相关的附图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。图 1 是根据本发明实施例的移动终端认证处理方法的流程图，如图 1 所示，该方法包括以下步骤：步骤 S102 , 网络侧接收来自移动终端的图像身份消息，其中，图像身份消息中携带有移动终端的用户标识、当前图像特征信息；步骤 S104 , 查找预先保存的与移动终端的用户标识具有对应关系的图像特征信息，并根据预先设置的安全等级将当前图像特征信息与图像特征信息进行相应的算法匹配，并才艮据匹配结果对移动终端进行认证处理。通过本发明实施例提供的技术方案，釆用摄像釆集的图像信息作为身份识别密码，可以提供不同安全等级的身份认证，大大增强了移动终端身份认证的安全性和扩展性。需要说明的是，在进行本发明实施例之前，对于每个移动终端，需要在网络侧预先设置该移动终端的用户标识、图像特征信息和安全等级三者之间的对应关系，且移动终端的用户标识可以包括以下之一：国际移动用户识别码 ( International mobile subscriber identity , 简称为 IMSI )、机身码 ( PS-NUMBER ) ,移动识别号码（ Mobile Identification Number,简称为 MIN ) 等。为了获取移动终端的运行模式，移动终端还可以在图像身份消息中携带所请求的安全等级，网络侧接收到该所请求的安全等级后，将移动终端请求的安全等级与移动终端预先设置的安全等级进行比较，在所请求的安全等级低于或等于预先设置的安全等级的情况下，网络侧向移动终端授权请求的安全等级对应的移动终端运行模式，在所请求的安全等级高于预先设置的安全等级的情况下，网络侧可以向移动终端 4曼权该移动终端预先设置的安全等级对应的移动终端运行模式，或者向移动终端返回错误结果。在具体实施过程中，网络侧根据匹配结果得到授权结果，其中，如果授权结果为移动终端通过认证或移动终端未通过认证，网络侧才艮据 4曼权结果构造认证 4吏权数据包并返回给移动终端，移动终端接收到网络侧返回的认证 4曼权数据包，并根据认证授权数据包判断其是否通过认证；在判断为是的情况下，移动终端在进入请求的安全等级所对应的运行模式，在判断为否或移动终端未在发送图像身份消息之后的预定时间段内接收到认证授权数据包的情况下，移动终端进入受限模式。本发明适用于带有带摄像头功能的 GSM/GPRS移动终端，本发明方法中，该移动终端可工作在 GSM/GPRS移动通信网络，支持 WAP彩信业务、支持摄像拍照。在进行本发明实施例之前，需要在身份认证数据库中保存各移动终端的身份认证数据和安全策略，例如，需要保存的身份认证数据可以如下表 1所示。表 1

根据安全等级的高低，移动终端的所有应用被划分成 4种不同的安全等级，每种安全等级对应一个或多个应用，并注册成 4个列表，供开机启动调用。另外，安全等级与移动终端的运行模式具有对应关系，即移动终端工作在某种运行模式下，则该移动终端只能运行该运行模式对应的安全等级中的应用。不同的安全等级还对应不同的算法匹配，才艮据移动终端预先设置的安全等级，网络侧才艮据该设置的安全等级对移动终端进行不同的算法匹配。例如，移动终端运行模式可以由***重新定义，下表 2为一个样例。表 2

如表 2所示，例如，中级运行模式下只能运行安全等级为中级和低级列表中的应用程序，而不运行高级列表中的应用程序保存移动终端的身份认证数据和安全策略之后 ,可以建立各移动终端的用户标识、图像特征信息和安全等级三者之间的对应关系。图 2是才艮据本发明实施例的移动终端认证处理方法的详细流程图，如图 2所示，该方法包括以下步骤：步骤 S202, 移动终端开机，进入受限模式待机，允许用户拨打身份认证紧急电话寻求帮助；步骤 S204, 提示用户需要摄像身份认证，并启动摄像程序；步骤 S206 , 用户拍摄身份关联图片后，例如自己的头像，调用图像分析程序提取图像特征信息，并与本机用户 IMSI 号组成图像身份信息包

( Picture ID Package , 简称为 PIDP ) , 使用 DES算法力。密后，并进行压缩，这里，还可以使用其他加密算法对 PIDP包进行力口密；移动终端将 PIDP 包作为图像身份认证方法的核心交换数据，该 PIDP 包的格式可以釆用如下定义。表 3 bit 6 4

byte

1 PIDP包标识符 (7EH)

2-4 PIDP包的长度 ( 24bits, 从下一字节到最后一个字节的长度）

协议标识符 (54H)

6 PIDP包编号 ID (前 5位才艮据本机时间随机生成）

是否串接类型（00H表示否， 01H表示是）

下一个串接包编号 ID (前 5位与当前 ID编号一致，后面顺序编号 ) 接收应用标志（移动终端接收艮务器 3 证结果方式， 04H 表示短消息业务， 08H表示彩信业务， 12H表示均可）

10 用户 ID类型（ 00H表示 IMSI号， 01H表示 PS-NUMBER等）

11-12 用户 ID, 比口 IMSI号（ 15bits )

13 移动终端请求运行模式 Level ( 00H、 02H、 04H、 08H等）

14-16 图像数据长度（从下一字节到最后一个字节的长度）

图像编码格式 ( 00H表示 JEPG,01H表示 BMP, 02H表示 PNG, 03H

17

表示 GIF等）

18 图像数据内容图像数据内容

2bytes: E0FFH 其中，第 1个字节， PIDP包标识符，用于标识当前消息为图像身份信息包；第 7个字节，用于标识当前 PIDP包是否为串接，如果是串接，则根据第 8个字节确定下一个包编号；否则确定当前 PIDP包为完整信息包；第 9 个字节，用于接收应用标志，表示移动终端可以支持哪些消息业务接收服务器验证结果；第 13 个字节，用于移动终端请求运行模式，表示通过服务器验证后，如果移动终端请求的运行模式处于服务器授权范围，优先使用该模式。例如，移动终端身份验证通过了 "全功能模式" 验证，而请求的是 "中高级应用可用模式"，则服务器反馈结果 08H, 即 "中高级应用可用模式"；步骤 S208 , 移动终端通过彩信模块和预先存储的认证服务器号码，将 PIDP包发送给服务器，在等待服务器反馈的同时，启动超时定时器；步骤 S210, 月艮务器收到完整的 PIDP包后，解密解压缩，还原图像身份信息（对应于上述的步骤 S102 ); 步骤 S212, 服务器在身份认证数据库中，查询该 IMSI号用户的图像身份信息 Picture ID, 并根据 "安全等级，，字段进行相应等级算法比较，将匹配结果组成论证 4曼权数据包（ Picture ID Authorization Package, 简称为 PIDAP ) 通过无线网络返回给移动终端（对应于上述的步骤 S104 );

PIDAP 包作为服务器身份认证的结果返回给移动终端，格式定义如下表 4所示。表 4

步骤 S214, 移动终端接收到 PIDAP包，检查是否为合法 PIDAP包，然后解析 PIDAP包，根据是否通过论证及授权运行等级信息，结合本地的安全等级应用列表，启动相应的应用程序，例如，移动终端接收到 PIDAP包时，检查第 4字节编号 ID的前 5位是否与之前发送的 PIDP包 ID前 5位相同，不同则表示该包为非法包，将被丢弃；步骤 S216, —旦出现异常情况，移动终端未收到服务器反馈的 PIDAP 包，定时器都会超时，移动终端使用受限模式。上述异常情况可能包括以下之一：无线通信网络异常，例如无信号或者信号弱等；服务器收到异常 PIDP包被丢弃，例如 PIDP包协议不正确，串接不完整；服务器负荷过大， PIDP包返回超时；移动终端没有解收到 PIDP, 或者接收到非法 PIDAP包，例如编号前 5位与 PIDP包不一致。图 2 所示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行。虽然在图 2中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。装置实施例根据本发明实施例，提供一种移动终端认证处理装置。图 3示出了根据本发明实施例的移动终端认证处理装置的结构框图，如图 3所示，该装置包括接收模块 10、查找模块 20、匹配模块 30和认证处理模块 40。接收模块 10, 用于接收来自移动终端的图像身份消息，其中，图像身份消息中携带有移动终端的用户标识、当前图像特征信息；查找模块 20, 连接至接收模块 10, 用于查找预先保存的与移动终端的用户标识具有对应关系的图像特征信息；匹配模块 30, 连接至查找模块 20, 用于根据预先设置的安全等级将当前图像特征信息与图像特征信息进行相应的算法匹配；认证处理模块 40, 连接至匹配模块 30, 用于才艮据算法匹配确定的匹配结果对移动终端进行认证处理。图 4示出了本发明实施例的移动终端认证处理装置的优选结构架图，如图 4所示，在图 3所示装置的基础上，该装置还可以包 ϋ置模块 50。该设置模块 50连接至查找模块 20和匹配模块 30,用于设置每个移动终端的用户标识、图像特征信息和安全等级之间的对应关系。通过本发明实施例提供的移动终端认证处理装置，釆用摄像釆集的图像信息作为身份识别密码，可以提供不同安全等级的身份认证，大大增强了移动终端身份认证的安全性和扩展性。图 5是才艮据本发明实施例的移动终端认证处理方法的示意图，图 5中示出的身份认证月艮务器可以为图 3或图 4所示的移动终端认证处理装置，并可通过该身份认证服务器执行图 1所示的技术方案，如图 5所示，在认证处理过程中，终端依次进行下述处理：受卩 Μ莫式开机、拍摄身份关联图像、图像特征信息提取及加密、将图像身份信息包发送给身^ ί人证服务器的同时启动定时器，身份认证服务器根据安全策略，比较图像身份信息，将论证授权数据封装后发送给终端，终端接收论证授权数据包，并判断该论证授权数据包是否合法，合法的情况下对身份认证信息进行分析，并根据相应安全等级执行开机过程，否则将该论证 4曼权数据包丢弃，用户终端仍处于受限模式。如上所述，借助于本发明提供的移动终端认证处理方法和 /或装置，釆用摄像釆集的图像信息作为身份识别密码，可以提供不同安全等级的身入证，大大增强了移动终端身份认证的安全性和扩展性，同时提供用户一种个性化设置的开机过程。以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变^^ 凡在本发明的^^申和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1. 一种移动终端认证处理方法，其特征在于，包括：

接收来自移动终端的图像身份消息，其中，所述图像身份消息中携带有所述移动终端的用户标识、当前图像特征信息；

查找预先保存的与所述移动终端的用户标识具有对应关系的图像特征信息，并根据预先设置的安全等级将所述当前图像特征信息与所述图像特征信息进行相应的算法匹配，并才艮据匹配结果对所述移动终端进行认证处理。

2. 根据权利要求 1所述的方法，其特征在于，在接收来自移动终端的图像身份消息之前，所述方法还包括：

对于每个移动终端，预先设置其用户标识、图像特征信息和安全等级之间的对应关系。

3. 根据权利要求 1所述的方法，其特征在于，在接收来自移动终端的图像身份消息之前，进一步包括：所述移动终端通过其上的图像拍摄装置获取图像，并才艮据所述图像获取所述当前图像特征信息。

4. 根据权利要求 1所述的方法，其特征在于，所述图像身份消息还包括所述移动终端请求的安全等级。

5. 根据权利要求 4所述的方法，其特征在于，所述方法还包括：

将所述移动终端请求的安全等级与所述移动终端预先设置的安全等级进行比较；

在所述请求的安全等级低于或等于所述预先设置的安全等级的情况下，向所述移动终端授权所述请求的安全等级对应的移动终端运行模式。

6. 根据权利要求 1所述的方法，其特征在于，根据所述匹配结果对所述移动终端进行所述认证处理的操作具体包括：

根据所述匹配结果得到授权结果，其中，所述授权结果为所述移动终端通过认证或所述移动终端未通过认证；根据所述授权结果构造认证授权数据包并返回给所述移动终端。

7. 根据权利要求 6所述的方法，其特征在于，进一步包括：

所述移动终端接收所述认证授权数据包，并根据所述认证授权数据包判断其是否通过认证；

在判断为是的情况下，所述移动终端在进入所述请求的安全等级所对应的运行模式；

在判断为否或所述移动终端未在发送所述图像身份消息之后的预定时间段内接收到所述认证授权数据包的情况下，所述移动终端进入受限模式。

8. 根据权利要求 1至 7中任一项所述的方法，其特征在于，所述移动终端的用户标识包括以下之一：国际移动用户识别码、机身码、移动识别号码。

9. 一种移动终端认证处理装置，其特征在于，包括：

接收模块，用于接收来自移动终端的图像身份消息，其中，所述图像身份消息中携带有所述移动终端的用户标识、当前图像特征信息；查找模块，用于查找预先保存的与所述移动终端的用户标识具有对应关系的图像特征信息；

匹配模块，用于根据预先设置的安全等级将所述当前图像特征信息与所述图像特征信息进行相应的算法匹配；

认证处理模块，用于才艮据所述算法匹配确定的匹配结果对所述移动终端进行认证处理。

10. 根据权利要求 9所述的装置，其特征在于，所述装置还包括：

设置模块，用于设置每个移动终端的用户标识、图像特征信息和安全等级之间的对应关系。