CN102916968B - 身份认证方法、身份认证服务器和身份认证装置 - Google Patents
身份认证方法、身份认证服务器和身份认证装置 Download PDFInfo
- Publication number
- CN102916968B CN102916968B CN201210421519.8A CN201210421519A CN102916968B CN 102916968 B CN102916968 B CN 102916968B CN 201210421519 A CN201210421519 A CN 201210421519A CN 102916968 B CN102916968 B CN 102916968B
- Authority
- CN
- China
- Prior art keywords
- user
- biometric
- authentication server
- authentication
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Collating Specific Patterns (AREA)
Abstract
本发明公开了一种身份认证方法、身份认证服务器和身份认证装置。该方法包括认证服务器接收客户端发送的生物特征认证请求;认证服务器将随机生成的挑战数返回至客户端;认证服务器接收客户端发送的动态验证口令,其中,动态验证口令由接收到挑战数时客户端的时间、挑战数、用户生物特征和客户端预存的第一种子密钥生成;认证服务器根据接收到动态验证口令时认证服务器的时间、挑战数、用户生物特征和第二种子密钥生成动态口令;以及认证服务器验证动态口令和动态验证口令是否一致,并根据验证结果向客户端返回身份认证结果。通过本发明,通过生物特征来保证动态口令的安全性的作用,保障了用户身份认证的真实性和可靠性。
Description
技术领域
本发明涉及互联网领域,具体而言,涉及一种身份认证方法、身份认证服务器和身份认证装置。
背景技术
随着互联网和电子商务的发展,计算机网络应用已经渗透到各行各业,全球信息化已经成为人类发展的大趋势。近年来网络安全问题尤为严峻,用户频繁的受到黑客、木马、恶意软件的攻击,银行账户被窃取、资金被盗用、用户身份被冒用现象等屡见不鲜。CSDN600万用户密码信息泄露,电商巨头亚马逊中国也面临了同样的危机,种种网络安全隐患引发了人们对网络安全的担忧,“用户号+密码”的身份认证模式已经不适应网络安全要求。
为了解决静态密码安全性差的问题,目前较为安全的身份认证方法是采用动态口令认证方法进行身份认证,或者采用生物特征识别方法进行身份认证,但是动态口令认证方法中动态令牌可以被复制,并且令牌与用户本身没有绑定关系,生成动态口令的要素与用户无关,不具备用户个体差异,所以,当他人得到令牌及其密码时,动态口令已失去其安全意义,因而,现有技术中基于动态口令的身份认证方法的安全性仍然不足。
针对相关技术中基于动态口令的身份认证方法安全性较差的问题,目前尚未提出有效的解决方案。
发明内容
本发明的主要目的在于提供一种身份认证方法、身份认证服务器和身份认证装置,以解决基于动态口令的身份认证方法安全性较差的问题。
为了实现上述目的,根据本发明的一个方面,提供了一种身份认证方法。
根据本发明的身份认证方法包括:认证服务器接收客户端发送的生物特征认证请求,其中,生物特征认证请求包括用户生物特征;认证服务器将随机生成的挑战数返回至客户端;认证服务器接收客户端发送的动态验证口令,其中,动态验证口令由接收到挑战数时客户端的时间TM1、挑战数、用户生物特征和客户端预存的第一种子密钥生成;认证服务器根据接收到动态验证口令时认证服务器的时间TM、挑战数、用户生物特征和第二种子密钥生成动态口令,其中,第二种子密钥是与第一种子密钥相对应的密钥;以及认证服务器验证动态口令和动态验证口令是否一致,并根据验证结果向客户端返回身份认证结果。
进一步地,在接收客户端发送的生物特征认证请求之前,该方法还包括:认证服务器接收客户端发送的注册请求,其中,注册请求包括用于采集用户生物特征的采集装置的标识信息;认证服务器在接收到注册请求时,随机生成种子密钥,并对应存储随机生成的种子密钥和标识信息;以及认证服务器向客户端返回随机生成的种子密钥,其中,第一种子密钥和第二种子密钥均为随机生成的种子密钥,生物特征认证请求还包括标识信息,认证服务器在生成动态口令时根据标识信息获取第二种子密钥。
进一步地,在将随机生成的挑战数返回至客户端之前,该方法还包括:认证服务器对比用户生物特征与认证服务器历史接收到的用户生物特征是否满足第一预设条件,并在满足第一预设条件时生成攻击警告;认证服务器将攻击警告返回至客户端。
进一步地,将随机生成的挑战数返回至客户端之前,该方法还包括:认证服务器在预存的生物特征模板库中查询与用户生物特征相匹配的生物特征模板;当认证服务器查询不到生物特征模板时返回生物特征认证失败信息至客户端,当认证服务器查询到生物特征模板时根据用户生物特征修正生物特征模板库,其中,将随机生成的挑战数返回至客户端包括:当认证服务器查询到生物特征模板,认证服务器将随机生成的挑战数返回至客户端。
进一步地,认证服务器根据用户生物特征修正生物特征模板库包括:当用户生物特征为用户脸部特征且用户脸部特征满足预设人脸融合要求时,认证服务器增加用户脸部特征至生物特征模板库;当用户生物特征为用户虹膜特征且用户虹膜特征满足预设虹膜融合要求时,认证服务器增加用户虹膜特征至生物特征模板库;当用户生物特征为用户指纹特征时,认证服务器增强生物特征模板中与用户指纹特征相匹配的特征点的匹配权重系数,减小生物特征模板中与用户指纹特征不匹配的特征点的匹配权重系数;以及当用户生物特征为用户掌纹特征时,认证服务器增强生物特征模板中与用户掌纹特征相匹配的特征点的匹配权重系数,减小生物特征模板中与用户掌纹特征不匹配的特征点的匹配权重系数。
进一步地,当用户生物特征为用户脸部特征且用户脸部特征满足预设人脸融合要求时,认证服务器增加用户脸部特征数据至生物特征模板库包括:当用户脸部特征对应的人脸状态在生物特征模板对应的人脸状态中不存在时,认证服务器增加用户脸部特征数据至生物特征模板库;以及当认证服务器接收到用户脸部特征的时间与生物特征模板的建立时间之差超过预设时间间隔时,认证服务器增加用户脸部特征数据至生物特征模板库,当用户生物特征为用户虹膜特征且用户虹膜特征满足预设虹膜融合要求时,认证服务器增加用户虹膜特征数据至生物特征模板库包括:当用户虹膜特征对应的瞳孔半径与生物特征模板对应的瞳孔半径之差超过预设半径差时,认证服务器增加用户虹膜特征数据至生物特征模板库;当用户虹膜特征对应的眼睑上抛物线到瞳孔圆心的间隔与瞳孔半径的差超过预设间隔差时,认证服务器增加用户虹膜特征数据至生物特征模板库;当用户虹膜特征对应的虹膜噪声模板中睫毛噪声比例超过预设噪声比例时,认证服务器增加用户虹膜特征数据至生物特征模板库;以及当用户虹膜特征对应的瞳孔内无光斑时,认证服务器增加用户虹膜特征数据至生物特征模板库。
进一步地,在认证服务器生成动态口令之前,该方法还包括:认证服务器接收客户端发送的TM1;认证服务器判断|TM-TM1|是否超过预设差值范围;以及用于当|TM-TM1|超过预设差值范围时,认证服务器返回超时信息至客户端,其中,认证服务器生成动态口令包括:当|TM-TM1|没有超过预设差值范围时,认证服务器生成动态口令。
进一步地,认证服务器生成动态口令包括:当|TM-TM1|没有超过预设差值范围时,根据TM与TM1之间的时间生成一组动态口令;以及认证服务器验证动态口令和动态验证口令是否一致包括:认证服务器验证动态验证口令与一组动态口令中的任意一个动态口令是否一致。
为了实现上述目的,根据本发明的另一方面,提供了一种身份认证服务器。
根据本发明的身份认证服务器包括:认证请求接收模块,用于接收客户端发送的生物特征认证请求,其中,生物特征认证请求包括用户生物特征;认证请求应答模块,用于将随机生成的挑战数返回至客户端;验证口令接收模块,用于接收客户端发送的动态验证口令,其中,动态验证口令由接收到挑战数时客户端的时间TM1、挑战数、用户生物特征和客户端预存的第一种子密钥生成;动态口令生成模块,用于根据接收到动态验证口令时认证服务器的时间TM、挑战数、用户生物特征和第二种子密钥生成动态口令,其中,第二种子密钥是与第一种子密钥相对应的密钥;口令验证模块,用于验证动态口令和动态验证口令是否一致;以及认证结果发送模块,用于根据验证结果向客户端返回的身份认证结果。
进一步地,该身份认证服务器还包括:注册请求接收模块,用于接收客户端发送的注册请求,其中,注册请求包括采集用户生物特征的采集装置的标识信息;种子密钥生成模块,用于在接收到注册请求时,随机生成种子密钥;种子密钥存储模块,用于对应存储随机生成的种子密钥和标识信息;以及注册请求应答模块,用于向客户端返回随机生成的种子密钥,其中,第一种子密钥和第二种子密钥均为随机生成的种子密钥,生物特征认证请求还包括标识信息,动态口令生成模块还用于根据标识信息获取第二种子密钥。
进一步地,该身份认证服务器还包括:攻击检测模块,用于对比用户生物特征与认证请求接收模块历史接收到的用户生物特征是否满足第一预设条件,并在满足第一预设条件时生成攻击警告,其中,认证请求应答模块还用于将攻击警告返回至客户端。
进一步地,该身份认证服务器还包括:特征查询模块,用于在预存的生物特征模板库中查询与用户生物特征相匹配的生物特征模板;以及特征融合模块,用于当特征查询模块查询到生物特征模板时,根据用户生物特征修正生物特征模板库,其中,认证请求应答模块还用于当查询不到生物特征模板时返回生物特征认证失败信息至客户端,当查询到生物特征模板,将随机生成的挑战数返回至客户端。
为了实现上述目的,根据本发明的另一方面,提供了一种身份认证装置。
根据本发明的身份认证装置设置于客户端,包括:认证请求发送模块,用于发送生物特征认证请求至认证服务器,其中,生物特征认证请求包括用户生物特征;认证应答接收模块,用于接收认证服务器随机生成的挑战数;动态验证口令生成模块,用于根据接收到挑战数时客户端的时间TM1、挑战数、用户生物特征和客户端预存的第一种子密钥生成动态验证口令;动态验证口令发送模块,用于将动态验证口令发送至认证服务器;以及认证结果接收模块,用于接收认证服务器返回的身份认证结果,其中,身份认证结果由认证服务器根据验证动态口令和动态验证口令是否一致生成,其中,动态口令由接收到动态验证口令时认证服务器的时间TM、挑战数、用户生物特征、与第一种子密钥对应的第二种子密钥生成。
进一步地,该身份认证装置还包括:注册请求发送模块,用于发送注册请求至认证服务器,其中,注册请求包括身份认证装置的标识信息;注册应答接收模块,用于接收认证服务器返回的随机生成的种子密钥,其中,第一种子密钥和第二种子密钥均为随机生成的种子密钥,生物特征认证请求还包括标识信息。
进一步地,该身份认证装置还包括:攻击警告接收模块,用于接收认证服务器返回的攻击警告,其中,攻击警告用于表示用户生物特征与认证服务器历史接收到的用户生物特征满足第一预设条件。
通过本发明,采用包括以下步骤的身份认证方法:认证服务器接收客户端发送的生物特征认证请求;认证服务器将随机生成的挑战数返回至客户端;认证服务器接收客户端发送的动态验证口令;认证服务器生成动态口令;以及认证服务器验证动态口令和动态验证口令是否一致,并根据验证结果向客户端返回身份认证结果,将生物特征参与动态口令的计算过程中,解决了基于动态口令的身份认证方法安全性较差的问题,进而达到了通过生物特征来保证动态口令的安全性的作用,保障了用户身份认证的真实性和可靠性的效果。
附图说明
构成本申请的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明第一实施例的身份认证系统的框图;
图2是根据本发明第二实施例的身份认证系统的框图;
图3是根据图2所示实施例中认证服务器的组成示意图
图4是根据图2所示实施例中身份认证装置的组成示意图;
图5是根据本发明第一实施例的身份认证方法的流程图;
图6是根据本发明实施例的用户ID及生物特征模板注册流程图;
图7是根据本发明实施例的生物特征识别流程图;
图8是根据本发明实施例的动态口令校验流程图;以及
图9是根据本发明第三实施例的身份认证方法的流程图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
本具体实施方式首先提供了身份认证系统的实施例。
图1是根据本发明第一实施例的身份认证系统的框图,如图1所示,该身份认证系统包括身份认证服务器20和集成于客户端的身份认证装置40。其中,身份认证服务器20包括认证请求接收模块21、认证请求应答模块22、验证口令接收模块23、动态口令生成模块24、口令验证模块25和认证结果发送模块26;身份认证装置40包括认证请求发送模块41、认证应答接收模块42、动态验证口令生成模块43、动态验证口令发送模块44和认证结果接收模块45。
其中,该身份认证系统完成一次身份认证的流程如下:
第一,用户控制身份认证装置40完成用户生物特征的采集并存储,特征采集装置可以为单独设置的传感器,也可以为集成于客户端的采集设备,然后身份认证装置40的认证请求发送模块41将采集的用户生物特征组织成为生物特征认证请求报文,并将该请求报文发送至认证服务器20。
第二,认证服务器20的认证请求接收模块21接收到生物特征认证请求报文,对报文进行解析,得到用户生物特征。
第三,在得到用户生物特征之后,认证服务器20的认证请求应答模块22随机生成的挑战数CN,并将挑战数CN返回至客户端的身份认证装置40。
第四,身份认证装置40的认证应答接收模块42接收认证服务器20返回的挑战数CN。
第五,身份认证装置40的动态验证口令生成模块43根据接收到挑战数CN时客户端的时间TM1、挑战数CN、用户生物特征和客户端预存的第一种子密钥SK1生成动态验证口令OTP1,其中,动态认证口令的运算采用杂凑算法,杂凑算法又称为散列算法或哈希算法,包括但不限于SHA-1、SHA-256、SM3、MD5等算法。
第六,身份认证装置40的动态验证口令发送模块44将生成的动态验证口令OTP1发送至认证服务器20。
第七,认证服务器20的验证口令接收模块23接收动态验证口令OTP1。
第八,认证服务器20的动态口令生成模块24根据接收到动态验证口令时认证服务器的时间TM、挑战数CN、用户生物特征和第二种子密钥SK2生成动态口令OTP2,其中,第二种子密钥SK2是与第一种子密钥SK1相对应的密钥,第二种子密钥SK2和第一种子密钥SK1及其对应关系可预存在认证服务器20内。该处计算动态口令OTP2的算法与生成OTP1的算法相同,身份认证装置40与认证服务器20可采用固定的算法进行口令的计算,也可使动态验证口令发送模块44在发送OTP1时同时发送生成OTP1的算法标识信息,以使动态口令生成模块24根据接收到的算法标识信息选择算法生成OTP2。
第九,认证服务器20的口令验证模块25验证动态口令OTP2和动态验证口令OPT1是否一致。
第十,当OTP2和OPT1一致时,生成身份认证成功的认证结果,当OTP2和OPT1不一致时,生成身份认证失败的认证结果,并由认证服务器20的认证结果发送模块26将身份认证结果返回至客户端。
第十一,身份认证装置40的认证结果接收模块45接收身份认证结果,完成一次身份认证。
在该实施例中,将生物特征识别与动态口令相结合,实现生物特征数据的防篡改和用户身份认证的安全可靠性,在动态口令的生成过程中,将生物特征参与动态口令计算,生成动态口令的要素直接来源于用户的人体生物特征,从而不同用户生成的动态口令与用户自身密切相关,并且只要生物特征被非法篡改,就会引起动态口令的验证不符,从而起到通过生物特征来保证动态口令的安全性的作用,保障了用户身份认证的真实性和可靠性。
优选地,第一种子密钥SK1和第二种子密钥SK2可采用预注册的方式进行设置,则身份认证服务器还包括注册请求接收模块、种子密钥生成模块、种子密钥存储模块和注册请求应答模块,相应地,身份认证装置还包括注册请求发送模块和注册应答接收模块。
在首次采用身份认证装置进行身份认证之前,身份认证装置的注册请求发送模块将身份认证装置的标识信息组织成为注册请求报文发送至认证服务器,身份认证服务器的注册请求接收模块接收客户端发送的注册请求报文,解析注册请求报文得到身份认证装置的标识信息,种子密钥生成模块随机生成种子密钥,并将该随机生成的种子密钥以及对应的标识信息存储,存储的种子密钥为第二种子密钥,然后由注册请求应答模块将随机生成的种子密钥返回至身份认证装置,由注册应答接收模块接收该随机生成的种子密钥,得到第一种子密钥。
采用该方式生成第一种子密钥和第二种子密钥时,认证请求发送模块41将用户生物特征和身份认证装置的标识信息一起组织成为生物特征认证请求报文,在认证请求接收模块21接收到生物特征认证请求报文之后,认证请求应答模块22生成挑战数CN之前,认证服务器首先进行生物特征的认证,如果认证成功,则认证请求应答模块22生成挑战数CN,并且动态口令生成模块24根据身份认证装置的标识信息获取第二种子密钥SK2,否则认证请求应答模块22返回生物特征认证失败信息至客户端;或者动态验证口令发送模块44在发送动态验证口令OTP1时发送身份认证装置的标识信息,动态口令生成模块24根据身份认证装置的标识信息获取第二种子密钥SK2。
第一种子密钥SK1和第二种子密钥SK2也可采用其他的方式进行设置,例如设置为固定值,或者通过其他标识信息进行关联均可。
优选地,为了避免认证过程中的重放攻击,身份认证服务器将每次认证时接收到的用户生物特征进行存储,身份认证服务器还包括攻击检测模块,在每次进行用户生物特征的存储之前,攻击检测模块对比本次用户生物特征与认证请求接收模块历史接收到的用户生物特征是否满足第一预设条件,该第一预设条件可设置为本次用户生物特征与历史用户生物特征完全相同,并在满足该第一预设条件时生成攻击警告,将攻击警告返回至客户端,设置于客户端的身份认证装置还包括攻击警告接收模块,该攻击警告接收模块用于接收返回的攻击警告,其中,该攻击警告能够警示用户。
由于每次采集的人体生物特征都存在差别,因此,两次获取的用户生物特征完全相同的概率极小,认证服务器利用这一特点来禁止重放攻击,从而在每次接收到用户生物特征后,首先检查本次用户生物特征在历史记录中是否存在一致的记录,若一致,则拒绝该请求,当某用户ID或某客户端ID频繁出现这种情况,累计达到一定次数,认证服务器将该用户ID或客户端ID记入黑名单。
进一步优选地,身份认证服务器将每次认证时接收到的用户生物特征转换为哈希值进行存储,则攻击检测模块对比本次用户生物特征对应的哈希值与存储的哈希值是否相同来检测重放攻击,能够减小认证服务器的存储量。
进一步优选地,当攻击检测模块对比本次用户生物特征与历史用户生物特征不相同时,身份认证服务器还包括特征比对模块和模板库修改模块,其中,特征比对模块用于将用户生物特征与预存在生物特征模板库中的生物特征模板进行比对,当用户生物特征与某一生物特征模板的比对结果满足预设的比对要求时,则该生物特征模板与用户生物特征相匹配;模板库修改模块用于当特征比对模块获取到相匹配的生物特征模板时,根据用户生物特征修改生物特征模板库。该处的匹配较重放攻击检测时的匹配要求较低,不必完全相同。
其中,特征比对模块具体可采用“一对一”的比对方法,该种比对方法要求身份认证服务器接收用户生物特征同时接收标识信息,生物特征模板库存储生物特征模板及其与标识信息的对应关系,则特征比对模块首先根据接收到的标识信息在生物特征模板库中找到对应的生物特征模板,再将接收到的用户生物特征与找到的生物特征模板进行比对即可,其中的标识信息可以为用户ID信息等。
特征比对模块也可采用“一对多”的比对方法,特征比对模块采用该比对方法时,将接收到的用户生物特征与生物特征模板库中的生物特征模板一一比对,直到获取到相匹配的生物特征模板。该方式只需接收用户生物特征即可,无需接收标识信息。进一步地,如果生物特征模板库存储生物特征模板及其与标识信息的对应关系时,则在获取到相匹配的生物特征模板的同时,也获取到了相对应的标识信息,例如用户ID信息。
其中,根据用户生物特征修改生物特征模板库包括如下的修改方式:当用户生物特征为用户脸部特征且用户脸部特征满足预设人脸修改要求时,认证服务器增加用户脸部特征至生物特征模板库;当用户生物特征为用户虹膜特征且用户虹膜特征满足预设虹膜修改要求时,认证服务器增加用户虹膜特征至生物特征模板库;当用户生物特征为用户指纹特征时,认证服务器增强相匹配的生物特征模板中与用户指纹特征相匹配的特征点的匹配权重系数,减小相匹配的生物特征模板中与用户指纹特征不匹配的特征点的匹配权重系数;以及当用户生物特征为用户掌纹特征时,认证服务器增强相匹配的生物特征模板中与用户掌纹特征相匹配的特征点的匹配权重系数,减小相匹配的生物特征模板中与用户掌纹特征不匹配的特征点的匹配权重系数。
其中,认证服务器增加用户脸部特征数据至生物特征模板库包括:当用户脸部特征对应的人脸状态在相匹配的生物特征模板对应的人脸状态中不存在时,该处的人脸状态可以为人脸角度、脸部方位或表情等状态信息,认证服务器增加用户脸部特征数据至相匹配的生物特征模板库;考虑人脸随时间变化的特性,当认证服务器接收到用户脸部特征的时间与相匹配的生物特征模板的建立时间之差超过预设时间间隔时,认证服务器增加用户脸部特征数据至生物特征模板库。
其中,认证服务器增加用户虹膜特征数据至生物特征模板库包括:当用户虹膜特征对应的瞳孔半径与相匹配的生物特征模板对应的瞳孔半径之差超过预设半径差时,认证服务器增加用户虹膜特征数据至生物特征模板库,该半径差可设置为大于或等于10个像素间隔;当用户虹膜特征对应的眼睑上抛物线到瞳孔圆心的间隔与瞳孔半径的差超过预设间隔差时,认证服务器增加用户虹膜特征数据至生物特征模板库,该预设间隔差可设置为-5至0个像素;当用户虹膜特征对应的虹膜噪声模板中睫毛噪声比例超过预设噪声比例时,认证服务器增加用户虹膜特征数据至生物特征模板库;以及当用户虹膜特征对应的瞳孔内无光斑时,认证服务器增加用户虹膜特征数据至生物特征模板库。
再进一步优选地,当用户未进行生物特征注册或用户生物特征与生物特征模板库中所有模板比对均不符时,特征比对模块获取不到相匹配的生物特征模板。当获取不到相匹配的生物特征模板时,认证请求应答模块还用于返回生物特征认证失败信息至客户端,当获取到相匹配的生物特征模板,将随机生成的挑战数返回至客户端。
优选地,认证请求应答模块22在将挑战数CN返回至身份认证装置40的同时,将生成挑战数认证服务器的时间TM0同时返回至身份认证装置40,动态验证口令生成模块43在生成OTP1时,根据TM0对TM1进行校正,当TM1与TM0相差超过预设的时间差范围时,将TM1设置为TM0。
优选地,动态验证口令发送模块44在发送OTP1时,将TM1发送至认证服务器20,则动态口令生成模块24在生成OTP2时,首先判断|TM-TM1|是否超过预设差值范围,其中,TM为认证服务器接收到OTP1时认证服务器的时间,|TM-TM1|超过预设差值范围时,认证服务器20返回超时信息至客户端,动态口令生成模块24在|TM-TM1|没有超过预设差值范围时,生成动态口令OTP2,能够避免认证超时。
进一步优选地,在|TM-TM1|没有超过预设差值范围时,动态口令生成模块24根据TM与TM1之间的时间生成一组动态口令,具体地,以预设分钟为步进长度,在TM与TM1间选择TMi,每计算得到一个OTP2,口令验证模块25进行一次验证,当OTP1和OTP2一致时生成身份认证成功的认证结果,如果不一致,动态口令生成模块24选择新的TMi,并进行新的动态口令的计算,直到OTP1等于OTP2取值结束。
图2是根据本发明第二实施例的身份认证系统的框图,如图2所示,该系统包括认证服务器、应用服务器、各种客户端(包括台式电脑客户端、笔记本客户端、PAD客户端、手机客户端等)及身份认证装置。
应用服务器和各种客户端是属于计算机网络应用系统,统称为应用系统。应用系统用户的身份认证是安全管理的重要组成部分,一般情况下,需要用户身份认证的交易包括系统登录、业务授权、权限转移、帐户确认等,而每个用户的身份认证过程都需要通过安全技术手段来保障。由于计算机网络应用的多样性,形成了各种各样的应用系统,同时,每个应用系统的安全管理都是必要的,都需要完善的身份认证技术手段,因此,本实施例能够同时为多种应用系统提供一套统一、开放的生物特征识别身份认证系统,实现企业网、互联网、物联网等用户身份的安全认证。
在该实施例中,生物特征认证服务器(简称为认证服务器)作为独立的身份认证的第三方,以生物特征识别技术为核心技术,具有用户生物特征注册和生物特征认证等功能,可以为各个应用系统提供统一的、多模态的生物特征识别方式和手段。该认证服务器也可与应用服务器集成于一体,使得应用系统无需第三方也可完成用户身份的安全认证。
其中,如图3所示,作为第三方的生物特征认证服务器与各应用系统进行通信,该认证服务器包括如下的几个部分:操作系统、生物特征数据库、系统管理功能单元、生物特征认证服务单元、动态口令生成及验证单元、系统接口组件单元等,具体说明如下:
生物特征数据库用于存储客户端发送的用户生物特征数据、认证服务器在认证过程中的认证日志数据和用户注册和身份认证时生成的生物特征模板库,其中,用户生物特征包括指纹、掌纹、人脸、虹膜、静脉等生物特征种类,数据库可以为Oracle、DB2、Sybase、Informix、SQLServer、MySql等主流关系型数据库;
系统管理功能单元包括生物特征识别算法管理、应用服务器ID注册、身份认证装置ID注册、用户ID及其生物特征注册和修改、黑名单管理等;
生物特征认证服务单元提供各种生物特征验证功能,包括“一对一”特征比对、“一对多”的特征识别,同时,提供对待验证特征数据(也即客户端发送的用户生物特征)的合法性校验、动态生物特征模板融合(也即生物特征模板库的修改)等功能;
在用户生物特征认证通过后,动态口令生成及验证单元利用用户生物特征、时间戳、随机挑战数等动态要素,通过杂凑算法生成动态口令,并且负责验证客户端所生成的动态验证口令与认证服务器所生成的动态口令是否一致,通过验证结果判断生物特征等相关信息的完整性和可靠性,向用户端发送身份认证结果;
系统接口组件单元提供开放性、可扩展、统一性的通信接口,方便各个应用系统的连接,支持WebService、Socket等方式,支持SOAP、HTTPS、TCP/IP等协议。
其中,设置于客户端身份认证装置可以是集成于客户端的装置,也可以为与客户端相连接、相互通信的独立装置,如图4所示,具体包括如下的几个部分:生物特征采集传感器单元、处理器单元(安全芯片)、显示单元、时钟单元、存储单元、键盘单元及通信单元等,每台装置均具有唯一的生物特征识别装置ID(简称装置ID,也即采集用户生物特征的采集装置的标识信息),各单元的作用如下:
生物特征采集传感器单元用于用户生物特征图像的采集,是读取生物特征的功能单元,生物特征类型包括但不限于指纹、掌纹、人脸、虹膜、静脉等;处理器单元用于生物特征图像的处理、特征提取、动态验证口令计算等功能,相当于装置的CPU,可用使用安全芯片加强装置的安全保密;显示单元用于显示装置时间、动态验证口令、接收到的动态口令等相关信息,可以采用LCD或OLED等方式;存储单元是用于保存种子密钥、会话密钥、用户生物特征数据及装置参数的存储器;时钟单元用来提供时钟,并具有能够根据要求校正时钟的功能;键盘单元是用于输入相关信息的单元,例如输入挑战数、由用户进行操作确认等;通信单元用于客户端等上位机通信,通信接口方式包括USB、Ethernet、Rs232等方式。
当认证服务器作为独立的身份认证的第三方时,在身份认证系统进行身份认证之前,优选地,将应用服务器注册至认证服务器可采用如下的注册流程:
首先,确定应用服务器ID,该ID在系统内具有唯一性;其次,应用服务器向认证服务器发出ID注册请求,发送的数据包括应用服务器ID;最后,认证服务器接收请求,检查应用服务器ID是否重复,如果不重复,那么再由认证服务器随机产生16-32字节的种子密钥SK1,每个应用服务器具有唯一的SK1,将SK1返回至应用服务器并保存,完成应用服务器的注册。
优选地,也可将设置于客户端一侧的身份认证装置注册至认证服务器,以保证身份认证装置的合法性,其注册流程可采用如下的流程:
首先,客户端确定身份认证装置的ID,该ID在系统内具有唯一性;其次,客户端向认证服务器发出ID注册请求,发送的数据包括身份认证装置ID;最后,认证服务器接收请求,检查身份认证装置ID是否重复,如果不重复,那么再由认证服务器随机产生16-32字节的种子密钥SK1,每个身份认证装置具有唯一的SK1,将SK1返回至身份认证装置并保存,完成身份认证装置的注册。
该身份认证系统完成一次身份认证的流程如下:
步骤S102:客户端接收用户输入的生物特征识别类型,其中,识别类型包括但不限于指纹、人脸、虹膜等类型,用户可根据自身特点或习惯,选择适合自己的识别类型;
步骤S104:根据识别类型,客户端驱动身份认证装置采集指纹、人脸或虹膜等相应的人体生物特征,并将采集到的图像进行检测、定位、图像处理、提取特征等步骤,该处的身份认证装置是集指纹、人脸或虹膜等生物特征采集于一体的装置,受客户端控制启动相应的采集功能;
步骤S106:在用户生物特征采集完成后,将生物特征暂时保存在身份认证装置的存储单元内(记为BIO),用于后面的动态验证口令的计算;
步骤S108:在采集并存储用户生物特征后,客户端利用用户生物特征BIO组织生物特征认证请求发送至认证服务器;
步骤S110:认证服务器收到客户端发来的认证请求后,解密生物特征数据,并随机生成挑战数CN(至少6位至8位数字码),同时,记录认证日志,日志内容包括:本次请求认证的生物特征BIO、挑战数CN,并将挑战数CN返回至客户端;
步骤S112:客户端在接收到认证服务器返回的挑战数后,将该挑战数传入身份认证装置;
步骤S114:身份认证装置接收挑战数CN,获取身份认证装置当前的时间TM1,根据时间TM1、预存的第一种子密钥SK1(当身份认证装置在认证服务器完成注册时,该密钥SK1是在完成注册时接收到的种子密钥,当身份认证装置没有注册,而应用服务器完成注册时,该密钥SK1是由客户端与应用服务器相互通信获取到的种子密钥、挑战数CN及暂存在身份认证装置的用户生物特征BIO生成动态验证口令OTP1,OTP1=H(TM1,SK1,CN,BIO),生成动态验证口令后,可以将BIO清除;
动态认证口令的运算过程如下:动态认证口令的运算采用杂凑算法,杂凑算法又称为散列算法或哈希算法,杂凑算法分为多种,包括但不限于SHA-1、SHA-256、SM3、MD5等算法,具体运算步骤如下:
TM1为时间戳,如当前时间是2012年09月20日15点01分,则对应的TM1表示为“0x32,0x30,0x31,0x32,0x30,0x39,0x32,0x30,0x31,0x35,0x30,0x31”12个字节的数据;SK1为16-32个字节的种子密钥,密钥长度可根据需求进行调整;CN为挑战数,至少为6位至8位数字码,例如:“59713131”,运算时,表示为“0x35,0x39,0x37,0x31,0x33,0x31,0x33,0x31”;BIO为生物特征数据,为变长字段,例如:指纹特征数据在128~512字节之间,人脸特征在3K~5K字节,虹膜特征为512字节;根据上述各要素生成动态口令时可采用如下的方式:将各个字段数据组成一段变长数据,即:TM1+SK1+CN+BIO,作为输入的原文数据,通过杂凑算法运算,形成定长的摘要数据,即动态口令;或者将TM1+CN+BIO作为原文数据,然后用SK1来加密,将加密数据作为输入数据,通过杂凑算法运算,形成定长的摘要数据,即动态口令。
其中,采用SM3算法时生成的摘要为32字节数据;采用SHA-1算法时生成摘要为20字节逐句;采用SHA-256算法时生成摘要为32字节数据;采用MD5算法时生成摘要为16字节数据。
步骤S116:客户端将身份认证装置生成的动态验证口令OTP1上传至应用服务器,由应用服务器组织报文,将动态验证口令OTP1和应用服务器ID等信息发送到认证服务器;
步骤S118:认证服务器收到报文信息后,首先核对应用服务器ID是否注册,在校验合法后,认证服务器调出认证日志记录,获取该记录中的BIO、CN,获取接收到报文时认证服务器的时间TM,获取用于生成动态口令的第二种子密钥SK2,第二种子密钥SK2与第一种子密钥SK1相对应,可通过身份认证装置的ID获取,也可通过其他关键字获取,并根据BIO、CN、TM和SK2生成动态口令OTP2;
生成动态口令OTP2的方法与生成动态验证口令OTP1的方法一致,其具体运算过程此处不再赘述。
步骤S120:认证服务器验证动态口令OTP2和动态验证口令OTP1是否一致,如果OTP1与OTP2一致,那么判定本次身份认证成功,否则,判定为认证失败,将认证结果返回应用服务器,然后再反馈回客户端,完成一次身份认证。
该实施例提供了一种身份认证系统,在该系统中,将生物特征识别技术与动态口令相结合,实现生物特征数据的防篡改和用户身份认证的安全可靠性,在动态口令的生成过程中,将生物特征参与动态口令计算,生成动态口令的要素直接来源于用户的人体生物特征,从而不同用户生成的动态口令与用户自身密切相关,并且只要生物特征被非法篡改,就会引起动态口令的验证不符,从而起到通过生物特征来保证动态口令的安全性的作用,保障了用户身份认证的真实性和可靠性。
优选地,在步骤S110中,当认证服务器接收到认证请求并解密生物特征数据后,判断本次接收到的用户生物特征或其哈希值是否在历史记录中存在,若存在,则表明该生物特征可能被盗用或被复制,则向客户端返回攻击警告,本次认证失败。优选地,可对发送该生物特征数据客户端的ID或者该生物特征数据对应的用户ID的异常情况次数进行累计,如果异常次数达到预设值,那么就将该客户端或该用户记入黑名单。
生物特征识别技术属于模式识别技术,每次采集的人体生物特征都存在差别,因此,两次获取的用户生物特征完全相同的概率极小,认证服务器利用这一特点来禁止重放攻击。每次接收到用户生物特征后,在攻击检测完成后将本次生物特征数据记录到历史日志中,也可以保存生物特征数据的压缩值,即哈希值,从而在每次接收到用户生物特征后,首先检查本次用户生物特征或哈希值在历史记录中是否存在一致的记录,若一致,则拒绝该请求,当某用户ID或某客户端ID频繁出现这种情况,累计达到一定次数,认证服务器将该用户ID或客户端ID记入黑名单。
优选地,在身份认证系统进行身份认证之前,对即将使用生物特征进行身份认证的用户,通过客户端把生物特征模板或用户ID与生物特征模板注册到认证服务器,注册时,可直接注册固定类型的生物特征,也可将不同生物特征,包括指纹、掌纹、人脸、虹膜、静脉等注册。用户ID和生物特征模板注册之前,该用户ID在应用服务器已存在,注册后,认证服务器内的用户ID与客户端用户输入ID、应用服务器内的用户ID相对应。其中,生物特征模板是指采集用户的一个或多个生物特征样本,利用多个生物特征样本构造的生物特征参考模板,该模板可用来确定或者决定个体身份,通常也称之为注册模板。
进一步优选地,当认证服务器判断本次接收到的用户生物特征或其哈希值在历史记录中不存在时,认证服务器将用户生物特征与预存在生物特征模板库中的生物特征模板进行比对,以获取到与用户生物特征相匹配的生物特征模板,当用户ID与生物特征模板均注册到认证服务器,且客户端向认证服务器发送用户ID时,认证服务器采用“一对一”的生物特征比对方式,根据用户ID在生物特征模板库中自动查找与用户ID相匹配的生物特征模板,然后将用户生物特征与查找到的生物特征模板进行比对;当仅有生物特征发送到认证服务器时,认证服务器采用“一对多”的生物特征比对方式,直接将用户生物特征与生物特征模板库中各生物特征进行比对,找到与用户生物特征相匹配的生物特征注册模板。当认证服务器获取不到相匹配的生物特征模板时返回生物特征认证失败信息至客户端,当认证服务器获取到相匹配的生物特征模板时,也即生物特征认证通过后,判断本次生物特征的质量,如果生物特征质量或状态满足条件,则进行动态生物特征模板融合处理过程,也即根据用户生物特征修改生物特征模板库。
其中,采用动态生物特征模板融合的处理过程,随着认证次数的增加,将认证通过的生物特征数据进行整合、修正、补充等修改后,在应用变化中不断完善生物特征模板信息,从而逐步增强生物识别的适应性,提高特征识别的准确率。动态生物特征模板融合过程根据生物识别类型的不同而存在差别,且在生物特征质量或状态满足一定条件下进行,避免根据质量低的用户生物特征对模板进行融合。
指纹识别或掌纹识别是基于特征点方式的运算过程,其特征模板融合采用“积分制”的方法。所谓“积分制”,就是在特征比对通过后,对匹配上的特征点做加分处理(设置最大值限制),对没有匹配上的特征点做减分处理,分数越高表明该特征点的可信度越高,反之,如果该特征点可信度越低,特征点的可信度与特征比对中匹配算法的权重系数有关,可信度越高、权重越大,提高特征比对的准确性,同时,在特征比对过程中,特征点没有匹配上,积分减少、可信度越降低,当负积分达到预定值后删除该特征点,在实际应用中,指掌纹的生物特征可能发生变化,因此,存在增加新特征点的情况,新特征点与原始特征点同样适用于“积分制”的方法。
人脸识别的动态特征模板融合采用“多面人脸”方法,即:通过多幅人脸表现出人脸的不同表情、脸部方位等,增加人脸比对通过率。在人脸比对通过后,判断本次人脸的表情或方位是否能填补目前该人脸状态的空白,如果可以,则将新的人脸特征模板添加到模板库,同时,也要考虑人脸随时间变化等特性,用新近人脸特征替换历史人脸特征(原始人脸特征模板不能被替代),一般人脸图像应是正面照,且为平视,不过头部方位有时是变化的,该处将变化范围限定为上下俯仰角不超过±20°,左右侧偏角不超过±20°,左右旋转角不超过±10°。
虹膜识别具有极高的精确率,不过虹膜识别会受到某些因素的影响,例如瞳孔缩放引起的虹膜非线性变化、眼睑对虹膜的影响、眼球左右旋转角度等因素,因此,虹膜识别也需要动态特征模板融合处理,即用新的虹膜特征替换历史虹膜特征(原始虹膜特征模板不能被替代)。在虹膜比对通过后,判断本次虹膜特征是否满足预设融合条件要求,如果可以,则将新的虹膜特征模板添加到数据库。虹膜融合的前提条件为:认证服务器查询到与用户虹膜特征相匹配的虹膜特征模板,但用户虹膜特征与虹膜特征模板匹配得分较低,说明本次认证的用户虹膜特征与模板库内的特征差异较大。具体融合条件如下:
(1)判断用户虹膜特征对应的瞳孔半径的尺寸与虹膜特征模板对应的瞳孔差超过10个像素间隔,也即与历史记录变化明显时;
(2)对于眼睑的遮盖的影响,判断用户虹膜特征对应的眼睑上抛物线到瞳孔圆心的像素间隔(Interval)与瞳孔半径的差是否超过预设间隔差,可设预设间隔差为-5<=Interval<=0;
(3)对于眼睫毛遮挡的影响,在用户虹膜特征对应的虹膜噪声模板中分别求出瞳孔左右两块(取64*32大小)中睫毛噪声所占比例Ratio1、Ratio2,计算(Ratio1+Ratio2)-(Ratio1′+Ratio2′),其中,Ratio1′与Ratio2′分别为相匹配的虹膜特征模板中求出的瞳孔左右两块中睫毛噪声所占比例,并判断计算所得的差是否在-0.05~0.05之内;或者,利用两比例中较小的值min(Ratio1,Ratio2)进行判断,如果min(Ratio1,Ratio2)=Ratio1,则判断Ratio1与Ratio1′的差是否在-0.02~0.02之内,如果min(Ratio1,Ratio2)=Ratio2,则判断Ratio2与Ratio2′的差是否在-0.02~0.02之内;
(4)当用户虹膜特征对应的瞳孔内无光斑,也即眼球偏转,融合时眼球左右旋转角度在±35度以内。
优选地,在步骤S110中,认证服务器将挑战数CN和当前的认证服务器时间TM0返回至客户端,在步骤S114中生成OTP1时,如果TM1与TM0之差超过预设值,那么就需要校正身份认证装置的时钟,即令TM1=TM0。在步骤S116中,客户端将OTP1和TM1上传至应用服务器,由应用服务器组织报文发送到认证服务器;在步骤S118中,获取到接收报文时认证服务器的时间TM后,判断|TM-TM1|是否超出预设时间范围,若超出预设值,则本次认证时间过长,判定认证失败,认证服务器向客户端返回超时信息,如果没有超出预设值,则根据TM与TM1之间的时间生成一组动态口令,具体地,OTP2=H(TMi,SK2,CN,BIO),以预设分钟为步进长度,在TM与TM1间选择TMi;每计算得到一个OTP2,在步骤S120中,比较OTP1和OTP2是否一致,如果一致,则判定认证成功,如果不一致,选择新的TMi,并进行动态口令的计算,直到OTP1等于OTP2取值结束。
优选地,在匹配生物特征模板与用户生物特征时,由于单一生物特征匹配有时具有局限性,例如:存在特征缺陷而无法使用、生物特征仿造等,因此,系统根据生物识别类型的特点,提出一种逐级识别过滤及组合决策方法。
首先,根据每种生物识别技术的特点进行优先顺序的排列,人脸识别最容易被接受,可以排在第一位,指纹识别最普遍,可以排在第二位,虹膜识别最安全,可以排在第三位。如果追求安全性或精确性,那么就需要按照上述顺序逐级认证或组合认证,例如:先人脸识别、后指纹识别,或者先人脸识别、后虹膜识别。
所谓“逐级识别过滤及组合决策方法”,就是“先易后繁、组合判断”,如果在先的生物特征匹配的相似度达到预设置要求,则判定认证成功,如果相似度没有达到既定预设值,但满足进一步验证的条件,则选定优先顺序次低的生物识别类型做进一步验证,如果相似度达到预设置要求,则判定认证成功。如果后续生物特征识别相似度仍然达不到预设置要求,则将各自识别的相似度进行组合,按照一定权重组合成一个新的相似度值(aX+bY,a、b为权重系数-识别类型的精确度越高权重系数越大,X、Y为单个识别的相似度),判断组合相似度是否满足要求即可。
另外,也可以利用每种生物识别技术的特点,通过组合策略实现特定场所的应用,例如:利用人脸识别技术的方便性完成用户身份的定位,然后再利用指纹识别或虹膜识别的精确性,对用户身份做进一步的验证,这样,既实现了方便性、又是现了准确性。
与单一认证方式相比,多模态的认证方式具有更好的技术性能,其特性如下:安全性:通过多模态生物识别,入侵者用人造物或模仿品来同时骗过多生物特征基本上是不可能的,系统更加安全、可靠;准确性:通过多种生物特征融合和综合评价,可以有效克服单一生物特征常有的缺陷,极大的提高身份认证的准确度;方便性:在个人某项生物特征不便时亦可灵活调换,以保证在一种生物特征失真的情况下,仍能顺利识别。
为确保通信数据的安全,客户端与认证服务器之间、应用服务器与认证服务器之间的数据通信前可采用加密传输的方式,加密算法的密钥可采用由种子密钥SK分散出的临时会话密钥,用于生物特征等报文信息的通信安全,如果超过预订时间,则重新生成会话密钥。
该实施例中的认证服务器为支持多种类型生物识别方式的服务器,以及支持不同厂家的生物识别算法,采用ISO/IEC国际标准“BioAPI规范”的API/SPI模型,具体实现如下:BioAPI框架对上层服务是统一的,同时,BioAPI框架通过SPI(算法或设备提供方的接口)屏蔽各厂商算法或设备驱动的差异,起到了标准中间件的作用;其中,算法或设备提供方只要按照SPI接口标准提供对应的算法库和设备驱动,上层应用就可以通过“API/SPI”实现透明调用,从而屏蔽各厂商算法库或设备驱动的差异。
本具体实施方式还提供了身份认证方法的实施例。
图5是根据本发明第一实施例的身份认证方法的流程图,如图5所示,该方法包括如下的步骤S202至步骤S210。
步骤S202:认证服务器接收客户端发送的生物特征认证请求,其中,生物特征认证请求包括用户生物特征。
用户完成生物特征的采集之后,客户端将用户生物特征组织成为生物特征认证请求报文,并将该请求报文发送至认证服务器,认证服务器对接收到的报文进行解析,得到用户生物特征。
步骤S204:认证服务器将随机生成的挑战数返回至客户端,在得到用户生物特征之后,认证服务器随机生成的挑战数CN,并将挑战数CN返回至客户端。
步骤S206:认证服务器接收客户端发送的动态验证口令,其中,动态验证口令由接收到挑战数时客户端的时间TM1、挑战数、用户生物特征和客户端预存的第一种子密钥生成。
客户端根据接收到挑战数CN时客户端的时间TM1、挑战数CN、用户生物特征和客户端预存的第一种子密钥SK1生成动态验证口令OTP1,其中,动态认证口令的运算采用杂凑算法,杂凑算法又称为散列算法或哈希算法,包括但不限于SHA-1、SHA-256、SM3、MD5等算法,并将将生成的动态验证口令OTP1发送至认证服务器。
步骤S208:认证服务器生成动态口令。
认证服务器根据接收到动态验证口令OTP1时认证服务器的时间TM、挑战数CN、用户生物特征和第二种子密钥SK2生成动态口令OTP2,其中,第二种子密钥SK2是与第一种子密钥SK1相对应的密钥,第二种子密钥SK2和第一种子密钥SK1及其对应关系可预存在认证服务器内。该处计算动态口令OTP2的算法与生成OTP1的算法相同,客户端与认证服务器可采用预定的固定算法进行口令的计算,也可在通信过程中约定口令计算算法。
步骤S210:认证服务器验证动态口令和动态验证口令是否一致,并根据验证结果向客户端返回身份认证结果。
当OTP2和OPT1一致时,生成身份认证成功的认证结果,当OTP2和OPT1不一致时,生成身份认证失败的认证结果,并由认证服务器将身份认证结果返回至客户端。
在该实施例中,将生物特征识别与动态口令相结合,实现生物特征数据的防篡改和用户身份认证的安全可靠性,在动态口令的生成过程中,将生物特征参与动态口令计算,生成动态口令的要素直接来源于用户的人体生物特征,从而不同用户生成的动态口令与用户自身密切相关,并且只要生物特征被非法篡改,就会引起动态口令的验证不符,从而起到通过生物特征来保证动态口令的安全性的作用,保障了用户身份认证的真实性和可靠性。
优选地,第一种子密钥SK1和第二种子密钥SK2可采用预注册的方式进行设置,则在接收客户端发送的生物特征认证请求之前,该方法还包括:认证服务器接收客户端发送的注册请求,其中,注册请求包括用于采集用户生物特征的采集装置的标识信息,例如图2所示实施例中的身份认证装置的标识信息;认证服务器在接收到注册请求时,随机生成种子密钥,并对应存储随机生成的种子密钥和标识信息;以及认证服务器向客户端返回随机生成的种子密钥,其中,第一种子密钥和第二种子密钥均为随机生成的种子密钥,生物特征认证请求还包括标识信息,认证服务器在生成动态口令时根据标识信息获取第二种子密钥。
采用该方式生成第一种子密钥和第二种子密钥时,步骤S202中将用户生物特征和身份认证装置的标识信息一起组织成为生物特征认证请求报文,在步骤S204之前,认证服务器首先根据生物特征认证请求报文判断身份认证装置是否已完成注册,如果已完成注册,则执行步骤S204,并且在步骤S208中,根据身份认证装置的标识信息获取第二种子密钥SK2,否则返回装置生物特征认证失败信息至客户端;或者在步骤S206中,发送动态验证口令OTP1的同时发送身份认证装置的标识信息,在步骤S208中,根据身份认证装置的标识信息获取第二种子密钥SK2。第一种子密钥SK1和第二种子密钥SK2也可采用其他的方式进行设置,例如设置为固定值,或者通过其他标识信息进行关联均可。
优选地,为了避免认证过程中的重放攻击,该方法还包括进行攻击检测的步骤,具体过程与上文中身份认证系统实施例中的攻击检测模块的功能相对应,此处不再赘述。
优选地,在将随机生成的挑战数返回至客户端之前,该方法还包括进行用户生物特征与生物特征模板的比对,并根据比对结果获取与用户生物特征相匹配的生物特征模板,并进行生物特征模板库的修改,具体过程与上文中特征比对模块、模板库修改模块的功能以及与上文中的动态生物特征模板融合的处理过程相对应,此处不再赘述。
优选地,在认证服务器生成动态口令之前,该方法还包括客户端(身份认证装置端)时间的校正步骤、认证超时检测步骤以及在认证不超时时,通过计算一组动态口令进行验证的步骤,在上文中均已描述,此处不再赘述。
本具体实施方式还提供了身份认证方法的第二实施例,在该实施例中,身份认证方法包括:首次进行用户生物特征认证之前,用户ID及生物特征模板注册流程;生物特征识别流程和动态口令校验流程。
对即将使用生物特征进行身份认证的用户,通过应用系统把用户ID和生物特征模板注册到认证服务器,其中,认证服务器内的用户ID与应用服务器内的用户ID相对应。用户ID及生物特征模板注册之前,要求该用户ID在应用系统已经存在。其中,用户ID及生物特征模板注册过程如图6所示,包括如下的步骤S4-1至步骤S4-14:
S4-1:在客户端上输入用户ID、选择生物识别类型,生物识别类型包括指纹、掌纹、人脸、虹膜、静脉等;
S4-2:客户端程序通过装置API驱动生物特征识别装置(即身份认证装置),采集用户生物特征并处理、形成生物特征模板;
S4-3:用SK种子密钥分散出来的会话密钥加密用户生物特征模板数据;
S4-4:将装置ID、用户ID、识别类型、生物特征模板等信息组成通信数据报文,发送到应用服务器;
S4-5:应用服务器接收客户端上传报文信息,并解析报文;
S4-6:应用系统判断用户ID是否存在,如果用户ID不存在,那么本次操作失败,结果返回客户端;如果用户ID存在,则继续下一步处理;
S4-7:将客户端上传报文加上应用服务器ID后,向认证服务器发出注册请求;
S4-8:认证服务器接收应用系统的注册请求,并解析通信数据报文;
S4-9:判断请求报文中的应用服务器ID和装置ID是否已经在认证服务器中注册,如果未经注册,则本次认证失败返回,如果已经注册,则继续下一步处理;
S4-10:通过装置ID获取对应的SK种子密钥,然后得到SK分散出的会话密钥,利用会话密钥对生物特征数据密文进行解密;
S4-11:判断用户ID是否存在,如果用户ID不存在,则向数据库添加用户ID及生物特征模板等信息;如果用户ID存在,则修改其生物特征模板信息;处理结果返回应用服务器;
S4-12:应用服务器接收用户注册返回结果,根据返回结果进行下一步处理;
S4-13:如果用户注册成功,则应用服务器系统修改该用户ID所对应的数据库记录,包括生物特征启用标识及类型标识等字段,标明该用户ID启用了生物特征认证方式,以及所采用的识别类型;
S4-14:最终将本次用户注册结果返回客户端,交易完成。
生物特征识别流程如图7所示,流程实现步骤包括如下的步骤S6-1至步骤S6-11:
S6-1:用户进行认证时,首先要确定生物特征比对方式,即“一对一”的特征比对和“一对多”的特征比对。“一对一”方式下,在客户端输入用户ID,否则,不需要输入;
S6-2:然后选择识别类型,即生物识别类型,包括但不限于指纹、人脸、虹膜等类型;
S6-3:根据识别类型,客户端驱动生物特征识别装置采集指纹、人脸或虹膜等人体生物特征,识别装置的工作过程包括图像采集、检测、定位、图像处理、提取特征等步骤;
S6-4:人体生物特征采集完成后,将生物特征暂时保存在识别装置内(记为BIO),用于后面的动态口令计算;
S6-5:向认证服务器发出生物特征认证请求,生物特征认证请求包括两种方式。“一对一”方式下,需要将装置ID、用户ID、识别类型及生物特征发送到认证服务器,“一对多”方式下,只需要发送装置ID、识别类型及生物特征,无论哪种认证方式,只要通过了生物特征比对或识别,都将返回用户ID;
S6-6:认证服务器收到客户端发来的认证请求后,首先校验装置ID是否经过注册,然后,判断识别类型,根据识别类型查找对应的生物特征模板库;
S6-7:解密生物特征数据,并判断本次生物特征或其哈希值是否在历史记录中存在,若存在,则表明该生物特征可能被盗用或被复制,返回警告,本次认证失败;同时,对该用户ID异常情况的次数进行累计,如果异常次数达到预设值(例如:3次),那么就将该用户ID记入黑名单;
S6-8:判断生物特征的比对方式,如果是“一对一”方式,则根据用户ID自动查找该用户信息,并进行生物特征比对,如果是“一对多”方式,则在生物特征模板库内进行搜索,找到与生物特征匹配的用户信息;
S6-9:生物特征认证通过后,判断本次生物特征的质量,如果生物特征质量满足条件,则进行动态生物特征模板融合过程;
S6-10:由认证服务器随机生成挑战数CN(至少6位至8位数字码),同时,记录认证日志,日志内容包括:用户ID、装置ID、本次请求认证的生物特征BIO、挑战数CN、当前服务器时间TM0等信息,并将用户ID、挑战数CN、服务器时间TM0等信息返回应用客户端;
S6-11:将用户ID、挑战数CN、服务器时间TM0等信息返回客户端,客户端程序再把上述信息传入生物特征识别装置。
动态口令校验流程如图8所示,流程实现步骤包括如下的步骤S7-1至步骤S7-9:
S7-1:生物特征识别装置接收用户ID、挑战数CN、服务器时间TM0等信息;
S7-2:获取装置时间TM1,如果TM1与TM0之差超过预设值(此处设置为±1分钟),那么就需要校正装置时钟,即:令TM1=TM0;
S7-3:根据时间、种子密钥、挑战数及生物特征等信息,生成动态口令OTP1=H(TM1,SK,CN,BIO),TM1为识别装置的当前时间,SK为识别装置的种子密钥,CN为服务器发来的挑战数,BIO为暂存在设备内的生物特征数据。生成动态口令完成后,可以将BIO清除;
S7-4:客户端将用户ID、OTP1、△T(TM1-TM0)、杂凑算法类型等信息上传至应用服务器;
S7-5:由应用服务器将用户ID、OTP1、△T、杂凑算法类型、应用服务器ID等信息发送到认证服务器;
S7-6:认证服务器收到报文信息后,首先核对应用服务器ID是否注册,只有校验合法后,才能进行下一步处理;
S7-7:系统调出用户ID对应的认证日志记录,获取该记录对应的BIO、TM0、CN等信息;
S7-8:获取认证服务器当前时间TM,判断“TM–(TM0+△T)”是否超出预设时间范围(此处设置为±2分钟),若超出预设值,则本次认证时间过长,判定认证失败;
如果没有超出预设值,则按照同样的杂凑算法计算动态口令,即OTP2=H(TMi,SK,CN,BIO),TMi取TM0+△T和TM之中的小者,并在TM0+△T与TM之间变化,步进长度以分钟为单位;比较OTP1和OTP2,如果相同,则判定认证成功,如果不相同,则对TMi从TM0+△T到TM依次取值,并进行H(TMi,SK,CN,BIO)运算,直到OTP1等于OTP2;
S7-9:如果OTP1等于OTP2,那么就判定本次生物特征成功,否则,判定为认证失败,将认证结果返回应用服务器,然后再反馈回客户端。
在该第二实施例中,动态口令的计算过程中加入了以下要素,包括生物特征、时间戳、挑战数、种子密钥SK等,除了SK外,其他均为动态因子。在认证过程中,通过时间戳来控制身份认证的实时性;通过挑战数来控制本次认证的随机性;每次认证中产生的生物特征数据BIO,也具有变化性,这是由生物识别技术特点决定的,在某种程度上,BIO可以作为随机数来使用;如果BIO被篡改或替换,那么就会引起动态口令的不符,总之,本发明的生物特征识别与动态口令应用的结合,将保证身份认证的实时性、随机性、防篡改和不可复制性。
以VIP用户(贵宾客户)的人脸定位和后续的指纹或虹膜身份认证为例,图9是根据本发明第三实施例的身份认证方法的流程图,如图9所示,生物特征识别的身份认证流程示意图实现步骤如下。
首先通过人脸识别定位客户,包括如下的步骤S5-1至步骤S5-5:
S5-1:当用户进入银行营业厅或其他场所后,在摄像区内,应用系统客户端将驱动人脸摄像识别装置抓拍人脸图像,并进行图像采集、检测、定位、处理、提取特征等处理;
S5-2:客户端将装置ID、人脸特征数据、识别类型等形成通信报文,向认证服务器发出人脸特征识别请求;
S5-3:认证服务器收到请求后,通过人脸特征在人脸特征模板库中进行搜索匹配,即“一对多”识别方式;
S5-4:经过人脸特征搜索比对后,判断是否找到匹配的用户。如果没找到匹配的用户,则将失败结果返回客户端,本次人脸识别失败;如果找到匹配的用户信息,系统随机生成挑战数,并将用户ID和挑战数返回客户端;
S5-5:客户端生成动态口令,并经应用服务器向认证服务器校验动态口令,并将结果返回应用系统,根据动态口令的校验结果判定本次身份认证是否成功。
其次,利用指纹技术进一步验证用户身份,如果VIP用户还有其他业务需要办理,那么可以利用前一过程的人脸定位结果,即利用用户ID做“一对一”的指纹认证,包括如下的步骤S5-6至步骤S5-11
S5-6:客户端驱动指纹识别装置,采集指纹并提取特征;
S5-7:向认证服务器发出指纹验证请求,通过用户ID验证用户指纹,即:“一对一”的验证方式;
S5-8:如果用户指纹比对相似度达到了预设值,则本次指纹验证通过;如果指纹验证未通过,则将本次指纹比对相似度和前次人脸相似度比对进行组合判断,若达到预设要求,则判组合验证通过,否则,返回验证失败结果;
S5-9:指纹验证或组合验证通过后,系统随机生成挑战数,并将用户ID和挑战数等信息返回客户端;
S5-10:客户端生成动态口令,并经应用服务器向认证服务器校验动态口令,并将结果返回应用系统;
S5-11:根据动态口令的校验结果判定本次身份认证是否成功。
从以上的描述中,可以看出,本发明实现了如下技术效果:将将生物特征识别与动态口令相结合,实现生物特征数据的防篡改和用户身份认证的安全可靠性,在动态口令的生成过程中,将生物特征参与动态口令计算,生成动态口令的要素直接来源于用户的人体生物特征,从而不同用户生成的动态口令与用户自身密切相关,并且只要生物特征被非法篡改,就会引起动态口令的验证不符,从而起到通过生物特征来保证动态口令的安全性的作用,保障了用户身份认证的真实性和可靠性。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (12)
1.一种身份认证方法,其特征在于,包括:
认证服务器接收客户端发送的生物特征认证请求,其中,所述生物特征认证请求包括用户生物特征;
所述认证服务器将随机生成的挑战数返回至所述客户端;
所述认证服务器接收所述客户端发送的动态验证口令,其中,所述动态验证口令由接收到所述挑战数时所述客户端的时间TM1、所述挑战数、所述用户生物特征和所述客户端预存的第一种子密钥生成;
所述认证服务器根据接收到所述动态验证口令时所述认证服务器的时间TM、所述挑战数、所述用户生物特征和第二种子密钥生成动态口令,其中,所述第二种子密钥是与所述第一种子密钥相对应的密钥;以及
所述认证服务器验证所述动态口令和所述动态验证口令是否一致,并根据验证结果向所述客户端返回身份认证结果;
在将随机生成的挑战数返回至所述客户端之前,所述方法还包括:
所述认证服务器对比所述用户生物特征与所述认证服务器历史接收到的用户生物特征是否满足第一预设条件,并在满足所述第一预设条件时生成攻击警告;
所述认证服务器将所述攻击警告返回至所述客户端,其中,所述第一预设条件为本次用户生物特征与历史用户生物特征完全相同。
2.根据权利要求1所述的身份认证方法,其特征在于,在接收客户端发送的生物特征认证请求之前,所述方法还包括:
所述认证服务器接收所述客户端发送的注册请求,其中,所述注册请求包括用于采集所述用户生物特征的采集装置的标识信息;
所述认证服务器在接收到所述注册请求时,随机生成种子密钥,并对应存储所述随机生成的种子密钥和所述标识信息;以及
所述认证服务器向所述客户端返回所述随机生成的种子密钥,
其中,所述第一种子密钥和所述第二种子密钥均为所述随机生成的种子密钥,所述生物特征认证请求还包括所述标识信息,所述认证服务器在生成所述动态口令时根据所述标识信息获取所述第二种子密钥。
3.根据权利要求1所述的身份认证方法,其特征在于,将随机生成的挑战数返回至所述客户端之前,所述方法还包括:
所述认证服务器将所述用户生物特征与预存在生物特征模板库中的生物特征模板进行比对,以获取到与所述用户生物特征相匹配的生物特征模板;
当所述认证服务器获取不到相匹配的生物特征模板时返回生物特征认证失败信息至所述客户端,当所述认证服务器获取到所述相匹配的生物特征模板时根据所述用户生物特征修改所述生物特征模板库,
其中,将随机生成的挑战数返回至所述客户端包括:当所述认证服务器获取到所述相匹配的生物特征模板,所述认证服务器将随机生成的挑战数返回至所述客户端。
4.根据权利要求3所述的身份认证方法,其特征在于,所述认证服务器根据所述用户生物特征修改所述生物特征模板库包括:
当所述用户生物特征为用户脸部特征且所述用户脸部特征满足预设人脸修改要求时,所述认证服务器增加所述用户脸部特征至所述生物特征模板库;
当所述用户生物特征为用户虹膜特征且所述用户虹膜特征满足预设虹膜修改要求时,所述认证服务器增加所述用户虹膜特征至所述生物特征模板库;
当所述用户生物特征为用户指纹特征时,所述认证服务器增强所述相匹配的生物特征模板中与所述用户指纹特征相匹配的特征点的匹配权重系数,减小所述相匹配生物特征模板中与所述用户指纹特征不匹配的特征点的匹配权重系数;以及
当所述用户生物特征为用户掌纹特征时,所述认证服务器增强所述相匹配的生物特征模板中与所述用户掌纹特征相匹配的特征点的匹配权重系数,减小所述相匹配的生物特征模板中与所述用户掌纹特征不匹配的特征点的匹配权重系数。
5.根据权利要求4所述的身份认证方法,其特征在于,
当所述用户生物特征为用户脸部特征且所述用户脸部特征满足预设人脸修改要求时,所述认证服务器增加所述用户脸部特征数据至所述生物特征模板库包括:
当所述用户脸部特征对应的人脸状态在所述相匹配的生物特征模板对应的人脸状态中不存在时,所述认证服务器增加所述用户脸部特征数据至所述生物特征模板库;以及
当所述认证服务器接收到所述用户脸部特征的时间与所述相匹配的生物特征模板的建立时间之差超过预设时间间隔时,所述认证服务器增加所述用户脸部特征数据至所述生物特征模板库,
当所述用户生物特征为用户虹膜特征且所述用户虹膜特征满足预设虹膜修改要求时,所述认证服务器增加所述用户虹膜特征数据至所述生物特征模板库包括:
当所述用户虹膜特征对应的瞳孔半径与所述相匹配的生物特征模板对应的瞳孔半径之差超过预设半径差时,所述认证服务器增加所述用户虹膜特征数据至所述生物特征模板库;
当所述用户虹膜特征对应的眼睑上抛物线到瞳孔圆心的间隔与瞳孔半径的差超过预设间隔差时,所述认证服务器增加所述用户虹膜特征数据至所述生物特征模板库;
当所述用户虹膜特征对应的虹膜噪声模板中睫毛噪声比例超过所述相匹配的生物特征模板对应的虹膜噪声模板中睫毛噪声比例时,所述认证服务器增加所述用户虹膜特征数据至所述生物特征模板库;以及
当所述用户虹膜特征对应的瞳孔内无光斑时,所述认证服务器增加所述用户虹膜特征数据至所述生物特征模板库。
6.根据权利要求1所述的身份认证方法,其特征在于,在所述认证服务器生成所述动态口令之前,所述方法还包括:
所述认证服务器接收所述客户端发送的所述TM1;
所述认证服务器判断|TM-TM1|是否超过预设差值范围;以及
用于当|TM-TM1|超过所述预设差值范围时,所述认证服务器返回超时信息至所述客户端,
其中,所述认证服务器生成所述动态口令包括:当|TM-TM1|没有超过所述预设差值范围时,所述认证服务器生成所述动态口令。
7.根据权利要求6所述的身份认证方法,其特征在于,
所述认证服务器生成所述动态口令包括:当|TM-TM1|没有超过所述预设差值范围时,根据所述TM与所述TM1之间的时间生成一组动态口令;以及
所述认证服务器验证所述动态口令和所述动态验证口令是否一致包括:所述认证服务器验证所述动态验证口令与所述一组动态口令中的任意一个动态口令是否一致。
8.一种身份认证服务器,其特征在于,包括:
认证请求接收模块,用于接收客户端发送的生物特征认证请求,其中,所述生物特征认证请求包括用户生物特征;
认证请求应答模块,用于将随机生成的挑战数返回至所述客户端;
验证口令接收模块,用于接收所述客户端发送的动态验证口令,其中,所述动态验证口令由接收到所述挑战数时所述客户端的时间TM1、所述挑战数、所述用户生物特征和所述客户端预存的第一种子密钥生成;
动态口令生成模块,用于根据接收到所述动态验证口令时认证服务器的时间TM、所述挑战数、所述用户生物特征和第二种子密钥生成动态口令,其中,所述第二种子密钥是与所述第一种子密钥相对应的密钥;
口令验证模块,用于验证所述动态口令和所述动态验证口令是否一致;以及
认证结果发送模块,用于根据验证结果向所述客户端返回的身份认证结果;
还包括:
攻击检测模块,用于对比所述用户生物特征与所述认证请求接收模块历史接收到的用户生物特征是否满足第一预设条件,并在满足所述第一预设条件时生成攻击警告,
其中,所述认证请求应答模块还用于将所述攻击警告返回至所述客户端,所述第一预设条件为本次用户生物特征与历史用户生物特征完全相同。
9.根据权利要求8所述的身份认证服务器,其特征在于,还包括:
注册请求接收模块,用于接收所述客户端发送的注册请求,其中,所述注册请求包括采集所述用户生物特征的采集装置的标识信息;
种子密钥生成模块,用于在接收到所述注册请求时,随机生成种子密钥;
种子密钥存储模块,用于对应存储所述随机生成的种子密钥和所述标识信息;
注册请求应答模块,用于向所述客户端返回所述随机生成的种子密钥,
其中,所述第一种子密钥和所述第二种子密钥均为所述随机生成的种子密钥,所述生物特征认证请求还包括所述标识信息,所述动态口令生成模块还用于根据所述标识信息获取所述第二种子密钥。
10.根据权利要求8所述的身份认证服务器,其特征在于,还包括:
特征比对模块,用于将所述用户生物特征与预存在生物特征模板库中的生物特征模板进行比对,以获取到与所述用户生物特征相匹配的生物特征模板;以及
模板库修改模块,用于当获取到相匹配的生物特征模板时,根据所述用户生物特征修改所述生物特征模板库,
其中,所述认证请求应答模块还用于当获取不到所述相匹配的生物特征模板时返回生物特征认证失败信息至所述客户端,当获取到所述相匹配的生物特征模板,将随机生成的挑战数返回至所述客户端。
11.一种身份认证装置,设置于客户端,其特征在于,所述身份认证装置包括:
认证请求发送模块,用于发送生物特征认证请求至认证服务器,其中,所述生物特征认证请求包括用户生物特征;
认证应答接收模块,用于接收所述认证服务器随机生成的挑战数;
动态验证口令生成模块,用于根据接收到所述挑战数时客户端的时间TM1、所述挑战数、所述用户生物特征和所述客户端预存的第一种子密钥生成动态验证口令;
动态验证口令发送模块,用于将所述动态验证口令发送至所述认证服务器;以及
认证结果接收模块,用于接收所述认证服务器返回的身份认证结果,其中,所述身份认证结果由所述认证服务器根据验证动态口令和所述动态验证口令是否一致生成,其中,所述动态口令由接收到所述动态验证口令时所述认证服务器的时间TM、所述挑战数、所述用户生物特征、与所述第一种子密钥对应的第二种子密钥生成;
攻击警告接收模块,用于接收所述认证服务器返回的攻击警告,其中,所述攻击警告用于表示所述用户生物特征与所述认证服务器历史接收到的用户生物特征满足第一预设条件,所述第一预设条件为本次用户生物特征与历史用户生物特征完全相同。
12.根据权利要求11所述的身份认证装置,其特征在于,还包括:
注册请求发送模块,用于发送注册请求至所述认证服务器,其中,所述注册请求包括所述身份认证装置的标识信息;
注册应答接收模块,用于接收所述认证服务器返回的随机生成的种子密钥,
其中,所述第一种子密钥和所述第二种子密钥均为所述随机生成的种子密钥,所述生物特征认证请求还包括所述标识信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210421519.8A CN102916968B (zh) | 2012-10-29 | 2012-10-29 | 身份认证方法、身份认证服务器和身份认证装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210421519.8A CN102916968B (zh) | 2012-10-29 | 2012-10-29 | 身份认证方法、身份认证服务器和身份认证装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102916968A CN102916968A (zh) | 2013-02-06 |
| CN102916968B true CN102916968B (zh) | 2016-01-27 |
Family
ID=47615202
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210421519.8A Active CN102916968B (zh) | 2012-10-29 | 2012-10-29 | 身份认证方法、身份认证服务器和身份认证装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102916968B (zh) |
Families Citing this family (85)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103124269B (zh) * | 2013-03-05 | 2016-01-20 | 桂林电子科技大学 | 云环境下基于动态口令与生物特征的双向身份认证方法 |
| CN103312509A (zh) * | 2013-05-16 | 2013-09-18 | 彭汉儒 | 动态令牌、动态口令显示方法和装置 |
| CN103607401A (zh) * | 2013-11-26 | 2014-02-26 | 中远网络物流信息科技有限公司 | 基于中心控制塔的物联网系统 |
| CN103647649B (zh) * | 2013-12-18 | 2017-03-29 | 上海众人网络安全技术有限公司 | 一种基于光波信息的双因素身份认证方法 |
| CN104077560B (zh) * | 2014-01-13 | 2017-07-04 | 北京市公安局刑事侦查总队 | 指纹比对方法 |
| CN103927469B (zh) * | 2014-04-23 | 2015-09-09 | 无锡北斗星通信息科技有限公司 | 基于虹膜信息的动态口令生成方法 |
| CN104868999B (zh) * | 2014-04-28 | 2016-05-11 | 福建爱特点信息科技有限公司 | 一种基于脑电波波形特征的挑战型动态口令认证方法 |
| CN103986578B (zh) * | 2014-05-07 | 2015-10-28 | 无锡北斗星通信息科技有限公司 | 基于指纹信息的身份认证方法 |
| CN104702414B (zh) * | 2014-05-07 | 2016-08-24 | 惠州市索菱精密塑胶有限公司 | 基于指纹信息的身份认证方法 |
| CN104657649B (zh) * | 2014-05-23 | 2018-02-23 | 北京集联网络技术有限公司 | 一种生物特征识别开机的令牌装置 |
| CN105205365B (zh) * | 2014-05-26 | 2020-05-05 | 创新先进技术有限公司 | 一种生物特征信息的注册和认证方法及装置 |
| CN104038509B (zh) * | 2014-07-03 | 2019-03-15 | 南昌欧菲生物识别技术有限公司 | 指纹认证云系统 |
| EP3174324A4 (en) * | 2014-07-21 | 2018-09-05 | Nanchang Coolpad Intelligent Technology Company Limited | Mobility management entity, home server, terminal, and identity authentication system and method |
| US9363267B2 (en) * | 2014-09-25 | 2016-06-07 | Ebay, Inc. | Transaction verification through enhanced authentication |
| CN105513169B (zh) * | 2014-09-26 | 2018-04-20 | 杭州海康威视系统技术有限公司 | 一种门禁多重认证组组合开门认证方法及系统 |
| CN104410498B (zh) * | 2014-12-03 | 2018-04-03 | 上海众人网络安全技术有限公司 | 一种动态口令认证方法及其系统 |
| KR101763011B1 (ko) * | 2014-12-29 | 2017-08-04 | 이도훈 | 지문 정보의 코딩과 인식 시스템, 그리고 그 구동 방법 |
| CN104579694B (zh) * | 2015-02-09 | 2018-09-14 | 浙江大学 | 一种身份认证方法及系统 |
| CN105049209B (zh) * | 2015-06-16 | 2018-10-23 | 中国银行股份有限公司 | 动态口令生成方法及装置 |
| CN106330850B (zh) * | 2015-07-02 | 2020-01-14 | 创新先进技术有限公司 | 一种基于生物特征的安全校验方法及客户端、服务器 |
| CN105160302B (zh) * | 2015-08-10 | 2018-04-06 | 西安凯虹电子科技有限公司 | 多模态生物识别通用平台及身份认证方法 |
| CN106446642A (zh) * | 2015-08-10 | 2017-02-22 | 宇龙计算机通信科技(深圳)有限公司 | 一种终端屏幕解锁的方法及装置 |
| CN105187412B (zh) * | 2015-08-18 | 2018-05-29 | 广州密码科技有限公司 | 一种基于手势识别的登录认证方法、装置及系统 |
| CN105357667B (zh) * | 2015-10-22 | 2019-04-30 | 东信和平科技股份有限公司 | 一种新型电子身份鉴别智能卡及鉴别方法 |
| CN106656946B (zh) * | 2015-11-03 | 2020-05-19 | 东莞酷派软件技术有限公司 | 一种动态鉴权方法及装置 |
| US9847997B2 (en) * | 2015-11-11 | 2017-12-19 | Visa International Service Association | Server based biometric authentication |
| CN105553667A (zh) * | 2015-12-16 | 2016-05-04 | 北京海泰方圆科技股份有限公司 | 一种动态口令的生成方法 |
| CN107294900B (zh) * | 2016-03-30 | 2021-01-26 | 创新先进技术有限公司 | 基于生物特征的身份注册方法和装置 |
| CN107437996B (zh) * | 2016-05-27 | 2020-02-21 | 宇龙计算机通信科技(深圳)有限公司 | 一种身份认证的方法、装置及终端 |
| CN105975838A (zh) * | 2016-06-12 | 2016-09-28 | 北京集创北方科技股份有限公司 | 安全芯片、生物特征识别方法和生物特征模板注册方法 |
| CN106096444B (zh) * | 2016-06-12 | 2019-05-14 | 杨鹏 | 一种基于生物信息的身份识别与社会信息记录方法及系统 |
| CN106209766A (zh) * | 2016-06-16 | 2016-12-07 | 山西特信环宇信息技术有限公司 | 一种手机的双向应用平台及方法 |
| CN106157007A (zh) * | 2016-07-13 | 2016-11-23 | 山西特信环宇信息技术有限公司 | 一种交易币的应用平台及方法 |
| CN106101136B (zh) * | 2016-07-22 | 2019-04-12 | 飞天诚信科技股份有限公司 | 一种生物特征对比的认证方法及系统 |
| CN109328348B (zh) * | 2016-09-30 | 2023-03-03 | 华为技术有限公司 | 一种业务认证方法、系统及相关设备 |
| CN106921655B (zh) * | 2017-01-26 | 2021-01-29 | 华为技术有限公司 | 一种业务授权方法及装置 |
| CN107222477B (zh) * | 2017-05-27 | 2018-01-02 | 国网山东省电力公司 | 一种设备接入识别认证系统和方法 |
| CN107301297B (zh) * | 2017-06-28 | 2020-11-03 | 正升环境科技股份有限公司 | 噪声治理管理方法及装置 |
| CN107315943A (zh) * | 2017-08-03 | 2017-11-03 | 深圳市驿固科技有限公司 | 一种管理指纹的方法 |
| CN107665340B (zh) * | 2017-09-22 | 2020-06-02 | 北京小米移动软件有限公司 | 指纹识别方法、装置、电子设备 |
| CN109583264B (zh) * | 2017-09-28 | 2023-01-17 | 阿里巴巴集团控股有限公司 | 信息识别方法、装置及电子设备 |
| CN107682545B (zh) * | 2017-09-28 | 2023-04-21 | 山西特信环宇信息技术有限公司 | 基于生物识别技术的人证机合一手机终端系统 |
| KR101936080B1 (ko) * | 2017-10-26 | 2019-04-03 | 순천향대학교 산학협력단 | 안전한 스마트 홈 환경을 위한 ksi 기반 인증 및 통신 방법 및 이를 위한 시스템 |
| CN108063665B (zh) * | 2017-11-01 | 2021-02-26 | 平安普惠企业管理有限公司 | 通信方法及终端设备 |
| CN108040033A (zh) * | 2017-11-10 | 2018-05-15 | 国网浙江省电力公司电力科学研究院 | 基于云计算及移动公共平台的内网安全接入方法及系统 |
| CN107809515B (zh) * | 2017-11-23 | 2021-12-14 | 维沃移动通信有限公司 | 一种显示控制方法及移动终端 |
| CN108763894B (zh) * | 2018-04-26 | 2020-10-02 | 维沃移动通信有限公司 | 一种用户身份的认证方法、移动终端 |
| CN108734001B (zh) * | 2018-04-26 | 2020-10-02 | 维沃移动通信有限公司 | 一种用户身份的认证方法、移动终端 |
| CN108710833B (zh) * | 2018-04-26 | 2020-10-02 | 维沃移动通信有限公司 | 一种用户身份的认证方法、移动终端 |
| CN108650247A (zh) * | 2018-04-26 | 2018-10-12 | 维沃移动通信有限公司 | 一种用户身份的认证方法、移动终端 |
| CN108875566B (zh) * | 2018-05-03 | 2019-12-06 | 中国矿业大学 | 多模态阵列式生物特征采集系统 |
| CN108632271B (zh) * | 2018-05-04 | 2021-07-13 | 平安科技(深圳)有限公司 | 身份认证方法及装置 |
| CN108737971B (zh) * | 2018-05-11 | 2022-08-30 | 深圳市文鼎创数据科技有限公司 | 身份认证方法、设备及存储介质 |
| CN108429769B (zh) * | 2018-06-01 | 2021-08-06 | 北京一砂信息技术有限公司 | 基于生物特征识别的身份认证方法、装置、系统及存储介质 |
| IT201800006758A1 (it) * | 2018-06-28 | 2019-12-28 | Sistema e metodo di verifica in linea dell’identità di un soggetto | |
| CN108880822B (zh) * | 2018-06-29 | 2021-06-29 | 郑州云海信息技术有限公司 | 一种身份认证方法、装置、系统及一种智能无线设备 |
| CN109214294A (zh) * | 2018-08-07 | 2019-01-15 | 信利光电股份有限公司 | 一种安全进入系统及方法 |
| CN109088890A (zh) * | 2018-10-18 | 2018-12-25 | 国网电子商务有限公司 | 一种身份认证方法、相关装置及系统 |
| CN111104657A (zh) * | 2018-10-25 | 2020-05-05 | 中国电信股份有限公司 | 身份认证方法和系统、认证平台、用户终端和应用终端 |
| CN109561074A (zh) * | 2018-10-31 | 2019-04-02 | 北京中电华大电子设计有限责任公司 | 一种指纹认证的云安全系统和方法 |
| CN109673011B (zh) * | 2018-12-03 | 2021-11-26 | 武汉奥浦信息技术有限公司 | 一种移动终端身份信息关联分析方法及装置 |
| CN110175496B (zh) * | 2019-01-17 | 2023-05-23 | 深圳启脉科技有限公司 | 一种微型可穿戴的血管生物识别装置及身份认证方法 |
| CN109861999B (zh) * | 2019-01-21 | 2022-04-26 | 深圳市敢为软件技术有限公司 | 数据传输的控制方法、装置及存储介质 |
| CN110536296B (zh) * | 2019-04-18 | 2024-10-25 | 中兴通讯股份有限公司 | 认证参数发送方法和装置以及认证参数处理方法和装置 |
| CN110047185B (zh) * | 2019-04-25 | 2021-09-14 | 广州河东科技有限公司 | 一种智能门锁的开锁方法及系统 |
| CN110085036A (zh) * | 2019-05-30 | 2019-08-02 | 捷德(中国)信息科技有限公司 | 一种套牌识别方法、车牌拆卸识别方法和电子车牌 |
| CN110287670A (zh) * | 2019-06-26 | 2019-09-27 | 北京芯安微电子技术有限公司 | 一种生物特征信息和身份信息关联方法、系统及设备 |
| CN110505205B (zh) * | 2019-07-18 | 2021-04-23 | 华信永道(北京)科技股份有限公司 | 云平台加解密服务接入方法及接入系统 |
| CN110704823A (zh) * | 2019-09-10 | 2020-01-17 | 平安科技(深圳)有限公司 | 数据请求方法、装置、存储介质及电子设备 |
| CN110991655B (zh) * | 2019-12-17 | 2021-04-02 | 支付宝(杭州)信息技术有限公司 | 多方联合进行模型数据处理的方法及装置 |
| CN111212046B (zh) * | 2019-12-26 | 2022-06-17 | 航天信息股份有限公司 | 远程变更税控设备税务数字证书的方法和电子设备 |
| CN111262701B (zh) * | 2020-01-10 | 2023-05-23 | 普联国际有限公司 | 一种重放攻击检测方法、系统、设备及存储介质 |
| CN111432405A (zh) * | 2020-03-31 | 2020-07-17 | 中电四川数据服务有限公司 | 一种用于电子病历的授权认证方法及系统 |
| CN111586024B (zh) * | 2020-04-30 | 2022-06-14 | 广州市百果园信息技术有限公司 | 一种认证方法、设备和存储介质 |
| CN111340603A (zh) * | 2020-05-15 | 2020-06-26 | 支付宝(杭州)信息技术有限公司 | 对象处理方法以及装置 |
| CN111859000A (zh) * | 2020-06-24 | 2020-10-30 | 天津大学 | 一种深度学习模型下的人脸特征数据库构建和更新方法 |
| CN112543241B (zh) * | 2020-10-22 | 2023-05-30 | 重庆恢恢信息技术有限公司 | 一种利用区块链进行建筑工地安全图像数据挖掘方法 |
| CN112565279A (zh) * | 2020-12-09 | 2021-03-26 | 苗改燕 | 一种基于安全网络用传感器信号处理系统 |
| CN113011339A (zh) * | 2021-03-19 | 2021-06-22 | 支付宝(杭州)信息技术有限公司 | 用户身份的校验方法、装置和电子设备 |
| CN113420285B (zh) * | 2021-06-22 | 2024-05-28 | 深圳市优尚至科技有限公司 | 一种基于动态密码生成器的认证方法及装置 |
| CN113726757B (zh) * | 2021-08-24 | 2023-08-22 | 杭州迪普科技股份有限公司 | Https协议客户端的验证方法及装置 |
| CN117981272A (zh) | 2021-09-07 | 2024-05-03 | 洪沛桦 | 去中心化零信任身份核实认证系统及方法 |
| CN116137574B (zh) * | 2021-11-18 | 2024-04-09 | 北京小米移动软件有限公司 | 外设认证方法、装置电子设备及存储介质 |
| CN116738411B (zh) * | 2023-06-02 | 2024-04-19 | 广州广电运通智能科技有限公司 | 基于生物特征识别的多模态注册方法和身份识别方法 |
| CN119814308B (zh) * | 2025-03-14 | 2025-07-22 | 北京凝思软件股份有限公司 | 基于国密加密网络协议的通信方法、服务器和客户端 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1859095A (zh) * | 2005-10-18 | 2006-11-08 | 华为技术有限公司 | 一种通过生物识别认证用户身份的方法 |
| CN101098232A (zh) * | 2007-07-12 | 2008-01-02 | 兰州大学 | 一种动态口令与多生物特征结合的身份认证方法 |
| CN101741843A (zh) * | 2009-12-10 | 2010-06-16 | 北京握奇数据系统有限公司 | 利用公钥基础设施实现用户身份验证的方法、设备及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101197665B (zh) * | 2007-12-24 | 2011-11-09 | 北京飞天诚信科技有限公司 | 动态口令生成方法及其装置 |
| CN102123033A (zh) * | 2011-03-23 | 2011-07-13 | 北京恒光数码科技有限公司 | 一种动态密码令牌身份认证方法、移动终端及系统 |
-
2012
- 2012-10-29 CN CN201210421519.8A patent/CN102916968B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1859095A (zh) * | 2005-10-18 | 2006-11-08 | 华为技术有限公司 | 一种通过生物识别认证用户身份的方法 |
| CN101098232A (zh) * | 2007-07-12 | 2008-01-02 | 兰州大学 | 一种动态口令与多生物特征结合的身份认证方法 |
| CN101741843A (zh) * | 2009-12-10 | 2010-06-16 | 北京握奇数据系统有限公司 | 利用公钥基础设施实现用户身份验证的方法、设备及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102916968A (zh) | 2013-02-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102916968B (zh) | 身份认证方法、身份认证服务器和身份认证装置 | |
| CN112218294B (zh) | 基于5g的物联网设备的接入方法、系统及存储介质 | |
| CN101098232B (zh) | 一种动态口令与多生物特征结合的身份认证方法 | |
| CN110569658B (zh) | 基于区块链网络的用户信息处理方法、装置、电子设备及存储介质 | |
| CN104301286B (zh) | 用户登录认证方法及装置 | |
| US10547453B2 (en) | Methods for digitally signing an electronic file and authentication method | |
| CN111931144A (zh) | 一种操作系统与业务应用统一安全登录认证方法及装置 | |
| CN111814133A (zh) | 移动应用统一登录方法及装置 | |
| CN105227316A (zh) | 基于人脸图像身份验证的移动互联网账号登录系统及方法 | |
| CN108134791A (zh) | 一种数据中心综合管理系统登录验证方法 | |
| CN101771539A (zh) | 一种基于人脸识别的身份认证方法 | |
| CN105827571B (zh) | 基于uaf协议的多模态生物特征认证方法和设备 | |
| CN106612259A (zh) | 身份识别、业务处理以及生物特征信息的处理方法和设备 | |
| CN107147609A (zh) | 一种提升云终端安全节能的方法及云终端、云服务器 | |
| CN102457527A (zh) | 基于生物密钥的单点登录方法、装置和系统 | |
| CN110545274A (zh) | 一种基于人证合一的uma服务的方法、装置和系统 | |
| CN112328989A (zh) | 基于生物特征的网络身份验证方法、系统和存储介质 | |
| CN116389145A (zh) | 基于多因素认证结合多维授权模型的动态访问控制方法 | |
| CN113779536A (zh) | 一种用户访问方法、系统、电子设备及介质 | |
| CN107517217A (zh) | 一种基于指纹识别的多因子无线密钥填充系统 | |
| CN114430324B (zh) | 基于哈希链的线上快速身份验证方法 | |
| Kwon et al. | CCTV-based multi-factor authentication system. | |
| CN106921655A (zh) | 一种业务授权方法及装置 | |
| CN118840773A (zh) | 一种基于3d人脸识别技术的门禁系统 | |
| CN206962826U (zh) | 基于fido u2f双因子指纹识别的身份认证系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220309 Address after: 071800 Beijing Tianjin talent home (Xincheng community), West District, Xiongxian Economic Development Zone, Baoding City, Hebei Province Patentee after: BEIJING EYECOOL TECHNOLOGY Co.,Ltd. Patentee after: Beijing Eyes Intelligent Technology Co.,Ltd. Address before: 100085, 1 floor 8, 1 Street, ten Street, Haidian District, Beijing. Patentee before: BEIJING TECHSHINO TECHNOLOGY Co.,Ltd. |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Identity authentication method, identity authentication server and identity authentication device Effective date of registration: 20220614 Granted publication date: 20160127 Pledgee: China Construction Bank Corporation Xiongxian sub branch Pledgor: BEIJING EYECOOL TECHNOLOGY Co.,Ltd. Registration number: Y2022990000332 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Granted publication date: 20160127 Pledgee: China Construction Bank Corporation Xiongxian sub branch Pledgor: BEIJING EYECOOL TECHNOLOGY Co.,Ltd. Registration number: Y2022990000332 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Identity authentication method, identity authentication server and identity authentication device Granted publication date: 20160127 Pledgee: China Construction Bank Corporation Xiongxian sub branch Pledgor: BEIJING EYECOOL TECHNOLOGY Co.,Ltd. Registration number: Y2025980020547 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right |