基于自主导航的身份认证方法

1.本发明属于量子精密测量、传感防护和信息安全的交叉学科，具体是指一种基于量子惯性导航等设备对地理位置进行分析研判、根据地理位置声明和自主导航数据对只能在特定区域或位置活动的人员和设备进行身份认证的方法。


背景技术：

2.身份认证是信息安全系统的核心技术之一，主要用于人员和设备在接入网络、登陆邮箱、执行操作时的权限认定。常见的身份认证手段主要由信息学手段(包括登陆口令、账户密码、解锁图形等)和生物学手段(包括人脸识别、虹膜识别、指纹识别等)。信息学手段理论上可以在任何时间、任何地点使用，例如邮箱用户只需连接互联网并输入邮箱网址和相应的账户密码就能从任意位置调阅邮件；生物学手段一般只能在特定地点使用，例如刷脸支付、指纹打卡等。
3.对于一些特殊的信息安全应用场景而言，除需核查对方的身份之外，还需知悉其所处的地理位置(而非网络地址和计算机物理地址)，例如一台终端申请接入一个相对较为安全的网络时需要进行入网认证，比较安全的策略是网络管理者先验证这台终端的入网用网口令，在对这台终端所处的地理位置进行核查，防止有人窃取口令冒充身份，从其它地理位置接入此安全网络并进行攻击。需要注意的是，现阶段广泛采用的信息学手段，对身份核验的可靠性建立在“存储口令的服务器没有被入侵”这一前提上；各种本地生物学身份认证手段又无法为身处异地的人员或设备提供身份核验保障，尤其是利用人工智能换脸技术能够欺骗异地人员面部特征识别系统。


技术实现要素：

4.针对上述缺陷，本发明要解决的技术问题是如何将高精度量子自主导航设备嵌入需要核验身份的设备中，在设备出厂或上一次位于受控位置时输入当时的地理坐标并开启不可人为篡改的自主导航功能，该设备在搬移过程中的位移将会有自主导航设备感知并通过积分实时推算其最终位置；异地设备发起身份认证时应提供所处位置并上传导航数据，网络管理员根据其位置判断设备是否处于受控区域，防止身处非期望位置的人员或设备冒充身份接入通信网络或获取权限外信息。
5.针对上述缺陷，本发明的目的在于提供一种基于自主导航的身份认证方法，将量子自主导航设备嵌入待身份认证的设备中，在设备出厂或人员携带设备从某特定受控区域出发移动前，将地理位置坐标数据作为初始变量输入自主导航设备内；待身份认证的设备搬移到了特定位置、或待身份认证的设备移动到了特定位置，过程中的运动轨迹和最终地理位置通过不可篡改的自主导航设备分析获得，身份认证发起方将地理位置和惯性导航数据一并上传，网络管理员或身份认证检验者对其数据进行核验判断其是否处于受控区域或期望位置。
6.优选的，上述待身份认证的设备还包括身份认证人员随身携带的设备。
7.优选的，上述待身份认证的设备从地理坐标(n0，e0)出发，连接通信网络并获取此处的地理坐标声明。
8.优选的，上述方法具体包括以下步骤：
9.s1、将量子惯性导航设备集成为自主导航系统嵌入到待身份认证的设备中，所述量子惯性导航设备在出厂前保持联网状态，处于受控区域时关闭，在出厂时、断开网络连接或离开受控区域时将启动，并将本地地理坐标作为初始数据输入；
10.s2、待身份认证的设备在移动过程中的姿态信息将由自主导航系统识别，通过角加速度、角速度累积形成自主导航信号，包括运动轨迹、所处高度、目前所处位置坐标、移动速度变化情况；
11.s3、待身份认证的设备发起身份认证申请，将其不可篡改的自主导航数据上传，网络管理员或身份认证检验者对其地理位置进行核验，判断其移动过程中是否存在轨迹异常。
12.优选的，上述s3判断待核验身份的设备或人员是否处于受控区域，再配合登陆口令完成身份认证。
13.优选的，上述待核验身份的设备移动到(n，e)处，发起身份认证请求，提供口令和自己的地理坐标，并将自主导航数据直接上传。
14.优选的，上述自主导航数据是指在移动过程中对待核验身份人员加速度、角加速度的分析结果，显示其所处位置及移动轨迹。
15.优选的，上述网关将地理坐标信息和自主导航数据输入服务器中，服务器分析地理坐标信息所处的位置是否为受控位置，以及其移动轨迹是否符合要求，判断申请接入网络的待核验身份人员和设备是否在期望之内，是则核验通过，否则核验失败。
16.本发明提供一种基于自主导航的身份认证方法的运输防护方法，包括：
17.步骤一、将核心设备放入封闭式运输装置，内嵌自主导航设备，开始运输前预先输入目标地点的地理坐标和本地的地理坐标；
18.步骤二、在运输过程中，自主导航设备时刻分析角加速度和加速度信息，根据初始地理坐标核算实时位置，若该位置并非目标地点位置，即认定该核心设备尚未运输到制定地点；
19.步骤三、根据自主导航设备推算的实时位置与目标地点地理坐标的距离达到误差接收范围，封闭式运输装置处于解锁状态，此时运输人员通过输入口令方式开启封闭式运输装置并取出核心设备。
20.本发明提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述方法。
21.首先，本发明提出基于自主导航的身份认证方法，是对现有信息安全领域身份认证手段的重要补充，有利于构建集信息学手段、物理学手段和生物学手段于一体的高效身份核验系统，提高信息平台对冒充攻击的抵御能力；
22.其次，本发明所述自主导航信号将会与地理位置高度绑定，能够有效核验申请接入网络设备的地理位置，并对其移动轨迹进行异常分析，大幅提升5g基站等搬移式设备的入网用网安全；
23.最后，本发明还能作为一种重要的防护手段，为重要设备押运交付提供过程监控
保障，在银行、党政、商业等各领域均有广阔的应用前景。
附图说明
24.为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
25.图1示出了本发明基于自主导航的身份认证方法的一实施例示意图；
26.图2示出了本发明基于自主导航的身份认证方法的流程示意图；
27.图3示出了本发明基于自主导航的身份认证方法的另一实施例示意图。
具体实施方式
28.下面将详细描述本发明的各个方面的特征和示例性实施例，为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细描述。应理解，此处所描述的具体实施例仅被配置为解释本发明，并不被配置为限定本发明。对于本领域技术人员来说，本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。
29.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
30.如图1所示，本发明提供了一种基于应力发光薄膜的不太识别身份认证系统的实施例，包括：
31.s101、地磁特征地理位置数据库的建立，对通信网络终端和人员的期望地理位置进行地磁特征精密测量，建立期望地理位置-地磁特征一一对应的数据库；
32.s102、自主导航设备的运行，待身份认证的设备搬移到了特定位置、或待身份认证的设备移动到了特定位置，过程中的运动轨迹和最终地理位置都能通过不可认为修改的自主导航设备分析获得，身份认证发起方将地理位置和惯性导航数据一并上传，网络管理员或身份认证检验者对其数据进行核验判断其是否处于受控区域(或期望位置)。
33.如图2所示，本实施例展示了基于自主导航的身份认证方法的流程，实施步骤为：
34.(1)待核验身份的人员携带待核验身份的设备从地理坐标(n0，e0)出发，连接通信网络并获取此处的地理坐标声明；
35.(2)将地理坐标声明作为初始变量输入量子惯导设备组成的自主导航系统，自供电开启自主导航系统并锁定输入接口；
36.(3)待核验身份的人员携带待核验身份的设备移动到(n，e)处，发起身份认证请求，提供口令和自己的地理坐标，并将自主导航数据直接上传；自主导航数据是指在移动过程中对待核验身份人员加速度、角加速度的分析结果，既能显示其所处位置，又能反映其移
动轨迹
37.(4)网关将地理坐标信息和自主导航数据输入服务器中，服务器分析地理坐标信息所处的位置是否为受控位置，以及其移动轨迹是否符合要求，判断申请接入网络的待核验身份人员和设备是否在期望之内，是则核验通过，否则核验失败。例如，申请接入网络的设备应移动到我国北方某城市的某特定银行办公大楼内，但自主导航显示其此刻处于他国一处农田内，或未按制定路线移动而是接近甚至跨越了国境线，则本次核验失败，网关认定该设备和该人员身份冒充。
38.本发明还提供了一种基于自主导航身份认证方法的运输防护方法，用于核心设备运输过程中的防护，实施步骤如下：
39.(1)将核心设备放入封闭式运输装置，内嵌自主导航设备，开始运输前预先输入目标地点的地理坐标和本地的地理坐标；
40.(2)在运输过程中，自主导航设备时刻分析角加速度和加速度信息，根据初始地理坐标核算实时位置，若该位置并非目标地点位置，即认定该核心设备尚未运输到制定地点；
41.(3)根据自主导航设备推算的实时位置与目标地点地理坐标的距离达到误差接收范围，封闭式运输装置处于解锁状态，此时运输人员可以通过输入口令方式开启封闭式运输装置并取出核心设备。
42.如图3所示，本实施例还提供一种基于自主导航的身份认证方法，包括：
43.s201、将核磁共振陀螺、原子加速度计等高精度量子惯性导航设备集成为自主导航系统嵌入到有核验身份需要的设备中，或者嵌入到有核验身份需要的人员随身携带的设备，自主导航设备在出厂前、保持联网状态、处于受控区域时关闭，在出厂时、断开网络连接或离开受控区域时将启动，并将本地地理坐标作为初始数据输入；
44.s202、有核验身份需要的设备在移动过程中的姿态信息将由自主导航系统识别，通过角加速度、角速度累积形成自主导航信号，包括运动轨迹、所处高度、目前所处位置坐标、移动速度变化情况(能够反推移动过程中的交通工具)等；
45.s203、有核验身份需要的设备发起身份认证申请，将其不可篡改的自主导航数据上传，网络管理员或身份认证检验者对其地理位置进行核验，判断其移动过程中是否存在轨迹异常，此时核验身份的设备或人员是否处于受控区域，再配合登陆口令等信息学手段完成身份认证。
46.本实施例还提供一种基于自主导航的身份认证方法，将高精度量子自主导航设备嵌入需要核验身份的设备中，或者嵌入需要核验身份的人员随身携带的电子设备中，设备出厂时或待核验身份人员上一次在明确地址时将其地理位置坐标作为固有数据输入自主导航设备中，开启自主导航设备并进行地理位置坐标实时更新；异地设备或人员发起身份认证时，除输入口令外还需将惯性导航输出的地理坐标一并上传，由网络管理员核查其真实位置，防止窃取口令、身处非期望位置的人员或设备冒充通过身份认证。
47.在一些实施例中，量子惯导设备能够对加速度、角加速度等物理量进行精确测量，测量机理为量子特性，测量精度能够突破经典瓶颈，具有设备级的测量能力(即涵盖漂移补偿等伺服功能)。
48.在一些实施例中，量子精密测量设备包括但不限于核磁共振陀螺仪、原子自旋陀螺仪、原子干涉加速度计等，不限定量子惯导设备的参数指标，不限定量子惯导系统结构和
参数指标。
49.在一些实施例中，自主导航信号通过自主导航系统测量获得，主要通过处理时间基准、角加速度、加速度等数据，判断移动方向、移动速度、移动距离、实时坐标、所处高度等。
50.在一些实施例中，自主导航信号的精度和不确定度由量子惯导设备提供，应在高灵敏度、高精度和低功耗、长待机时间之内权衡，不限定自主导航信号的具体内容和数据格式。
51.在一些实施例中，有核验身份需要的设备发起身份认证申请，将其不可篡改的自主导航数据上传，网络管理员或身份认证检验者对其地理位置进行核验，判断其移动过程中是否存在轨迹异常，此时核验身份的设备或人员是否处于受控区域，再配合登陆口令等信息学手段完成身份认证。在通信网络入网认证时，受控区域是指期望中设备接入的位置，包括但不限于固定网口、固定无线通信基站等；在核心设备安全转运时，是否符合使用要求是指在运输过程中始终隔绝运输人员和核心设备，核心设备在到达目标地点前，运输人员无法接触或操作核心设备。凡使用高精度自主导航设备进行地理位置和轨迹分析并用于进行信息安全领域身份认证操作的方法均属于本发明要求范围。
52.与现有技术相比，本发明具有以下优势：
53.首先，本发明提出基于自主导航的身份认证方法，是对现有信息安全领域身份认证手段的重要补充，有利于构建集信息学手段、物理学手段和生物学手段于一体的高效身份核验系统，提高信息平台对冒充攻击的抵御能力；
54.其次，本发明所述自主导航信号将会与地理位置高度绑定，能够有效核验申请接入网络设备的地理位置，并对其移动轨迹进行异常分析，大幅提升5g基站等搬移式设备的入网用网安全；
55.最后，本发明还能作为一种重要的防护手段，为重要设备押运交付提供过程监控保障，在银行、党政、商业等各领域均有广阔的应用前景。
56.为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本技术时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
57.本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
58.本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
59.本技术可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组
件、数据结构等等。也可以在分布式计算环境中实践本技术，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
60.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
61.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
62.在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
63.内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。内存是计算机可读介质的示例。
64.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
65.还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
66.本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
67.以上所述仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本技术的权利要求范围之内。