CN101345625A - 一种基于生物特征的远程认证方法 - Google Patents
一种基于生物特征的远程认证方法 Download PDFInfo
- Publication number
- CN101345625A CN101345625A CNA2008101506424A CN200810150642A CN101345625A CN 101345625 A CN101345625 A CN 101345625A CN A2008101506424 A CNA2008101506424 A CN A2008101506424A CN 200810150642 A CN200810150642 A CN 200810150642A CN 101345625 A CN101345625 A CN 101345625A
- Authority
- CN
- China
- Prior art keywords
- user
- information
- biological
- verifier
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及一种基于生物特征的远程认证方法。该方法包括如下过程:用户向代理者ID1发送接入请求信息报文;代理者ID1与验证者ID2进行秘密协商过程,生成共享的秘密信息并随机产生一个密钥K;验证者ID2向代理者ID1发送公开信息;代理者ID1向用户发送生物信息采集请求并采集用户生物信息;代理者ID1计算密钥,验证是否是验证者ID2所选取的密钥,从而完成用户生物特征的远程认证正确。本发明实现了用户和验证者之间生物特征的异地、远程安全认证,在认证过程中能够同时对用户进行物理身份进行认证,使认证同时具有用户的物理身份标识特征,更有效保证了系统的安全性、可靠性。
Description
技术领域
本发明属于信息安全和生物特征识别技术领域,涉及到一种基于生物特征的远程认证方法,可应用于网络与信息安全、生物认证、生物特征加密等领域。
背景技术
当今社会是一个高度信息化、网络化的社会,社会的每一个人在网络上都可以有一个自己的网络数字身份。在虚拟的网络世界里,人们通常使用这样的数字身份来代替自己本身。例如,每天都会在网络上用该数字身份从事各种各样的活动,网上购物、资金转账、网络会议等等。在从事这些活动的过程中,人们不一定要亲临现场,仅需要出示自己的数字身份并交互一些信息即可完成各种事务活动。
信息化、网络化在为人们生活、工作、学习等方面带来便利的同时,也带来了一些前所未有的问题。由于网络生活体现的是一种数字化生活,每个人面对的对方都是一个数字代号,是一个虚拟的用户,因此无法认证用户的物理身份,这些特点会导致各种各样的安全问题。如果用户的身份信息被他人冒用,或者用户的机密信息被他人所窃取,都将对人们造成难以估计的损失。在世界范围的各个国家中,由于各种原因引起的信息泄密事件层出不穷,最常见的就是机密文件、敏感信息、重要数据、设计图纸、配方、软件源代码等通过不同的途径、方法和手段流失到竞争对手和无关人员手中。
尤其是无线网络技术的出现,更突出了这种安全问题。近年来,无线网络已经以迅雷不及掩耳之势进入人们的生活,涵盖了小到个人空间(如无线个域网WPAN,美国IEEE标准802.15)、区域空间(如无线局域网WLAN,美国IEEE标准802.11),大到整个都市空间(如无线城域网WMAN,美国IEEE标准802.16)的无线网络技术。无线网络带来了一种新的上网理念,人们摆脱了物理线路的束缚,无线自由连网的特性满足了人们长期以来期望自由上网的愿望。无线网络以安装方便,性价比高,具有高度的灵活性和机动性等优势,成为当今网络发展的趋势所向。
然而,正是由于无线网络自由自在的开放性和无处不在性,造成了无线网络的天然的安全缺陷。无线网络采用公共的电磁波作为载体,电磁波能够穿过天花板、玻璃、楼层、砖、墙等物体,无线信号弥散到整个空间使得任何人都可以截获,无线信道缺乏严格的物理界限使得任何人均可以任意接入。相对于有线网络来说,无线网络的通信内容更容易遭受窃听和篡改,安全管理和防护更为复杂和困难。在某些敏感行业,如证券、银行、电子商务,安全威胁对于无线网络的继续发展产生越来越大的影响,有时甚至成为否定因素。
随着越来越多的信息通信系统基于无线网络技术构建,无线网络的安全问题也日渐严重,必将威胁并涉及到个人、企业、社会、经济甚至国家安全,信息安全已成为世界各国、学术界、业界等亟待解决的重要问题之一,世界各国就如何构筑无线网络安全体系都在进行深入的探索。目前,解决这一问题的主要方法是认证技术,即不仅仅要知道对方的数字身份,还需要通过交互质询方式来验证其是否是所声称的用户。一般来说,就是验证对方是否知道某个秘密,或称之为密钥。
当前,许多网络认证协议被用来认证通信双方的身份有效性,包括:美国IEEE802.11i安全协议、中国的无线局域网安全国家标准WAPI协议、美国IEEE802.16e安全协议等。这些协议在进行认证时,主要通过验证用户具有什么秘密信息来实现。如果用户能够向认证方证明他具有该秘密,那么,该用户的身份就是有效的,否则,说明该用户是一个无效用户。其缺点是,这些协议均无法验证该用户是否是窃取了其他合作用户秘密信息的攻击者。在一些安全级别较高的场合,如军事、保密机关等,仅识别用户具有什么秘密是不足的,通常还需要通过视频、指纹等信息验证其是否是所声称的用户本身,以避免他人冒充行为。
除此之外,目前使用最广的数字身份认证方式都是基于密码技术的口令认证,有单因子和多因子两种:单因子认证就是大家熟知的″用户名+口令″方式;多因子认证是在单因子方式基础上又增加了一个由智能卡或USB钥匙构成的令牌,即″口令+令牌″。但这两种方式与用户真实的物理身份毫不相关,因此都存在着被他人盗用或者冒用的安全隐患。
仅仅识别用户知道和拥有什么还不足以防范对设备的滥用问题,需要从根本上识别用户的物理身份。尤其是“9-11”恐怖事件以后,世界各国越发重视对用户物理或生物身份的识别问题。生物特征作为身份认证的手段具有悠久的历史,在信息化高度发展的今天,生物特征识别技术又有了更新的发展。由于生物特征具有难以被猜测、永恒不变、不需记忆、随身携带等诸多优点,使用生物特征作为人们的网络身份标识具有比传统的私钥更加安全、更加可靠、更加便捷。
与传统认证方法相比,基于生物特征,如指纹、虹膜、人脸等的识别技术能够防止口令遗忘和令牌丢失问题,而且基于生物特征信息的唯一性,很难被伪造和冒用等,还可以防止权限转让等问题,安全性更高。因此,基于生物特征的认证技术是应对权利滥用问题的理想选择。
然而,目前的生物认证主要是本地验证方式。也就是说,在注册时,用户提供自己的生物特征给认证者,由认证者安全保存用户的生物信息模板;在认证时,用户需要再次在本地将自己的生物特征提供给认证者,由认证者比对两次提供的生物特征是否匹配。如果匹配,则认证通过;否则,认证不通过。其特点是,需要面对面的、在本地实施认证。
使用生物本地认证会对用户会带来许多不便。用户每次使用设备之前,都需要亲自到设备所在场所与设备进行生物认证。如果用户身在异地,则无法通过网络连接访问远在异地的设备。
目前,也有一些学者对基于生物的远程认证进行了研究。常见的思想是,将所有的用户生物信息存放在一个服务器上,在认证时,将用户的生物信息加密传递到用户所在地的机器上,然后,解密后得到用户生物信息,再接着采用现有的本地生物认证方法进行认证。该方法存在一些缺点:(1)需要一个服务器存放所有用户生物信息,提高了系统实现开销;(2)服务器通常会成为攻击者集中攻击的对象,如果攻击者攻破了服务器,造成的损失将是无法估计的;(3)用户生物信息需要加密传递,机器之间的密钥协商和密钥管理需要其他协议支持,增加了系统复杂性;(4)用户生物信息的传输必然会增加系统的通信复杂度,占用系统的通信带宽;(5)用户所在地的机器通过解密可以获取用户生物信息明文,增加了用户生物信息泄露的危险;(6)所采用生物信息的传递方式增加了安全隐患,如果攻击者能够成功攻破用户所在地机器或成功地冒充一个合法机器,那么,攻击者很容易获取服务器上的任何生物信息。因此,现有的远程认证思想实际上是不可行且不实用的。
发明内容
本发明针对目前生物认证技术要求用户和验证者必须处于同一地点认证所带来的局限性,结合现有的生物特征认证技术和传统密码学安全协议,提出一种基于生物特征的远程认证方法。当用户需要远程与异地设备进行生物认证时,用户只需要向本地代理提供自己的生物特征即可,而无需再亲临远程设备所在地,从而提高生物认证的灵活性。
本发明提供的生物特征远程认证方法包括如下过程:
1)接入请求过程:接入请求信息报文由用户发送给代理者ID1。当用户需要和验证者ID2进行远程生物认证时,向本地代理者ID1发送接入请求信息报文。该分组报文包括用户的身份标识、验证者ID2的身份等信息。
2)秘密协商过程:该过程由代理者ID1和验证者ID2通过交互方式共同完成。当代理者ID1收到用户的接入请求分组报文后,和验证者ID2建立安全关联,生成共享的秘密信息S。
3)公开信息传递过程:该公共信息由验证者ID2发送给代理者ID1。当验证者ID2和代理者ID1交互生成共享秘密信息S后,随机产生一个密钥K,将用户生物模板、密钥K和秘密S进行绑定,生成一个公开信息T发送给代理者ID1。
4)生物信息采集过程:该过程由用户和代理者ID1共同完成。代理者ID1向用户发送生物信息采集请求,并采集用户有效的生物信息。
5)结果验证过程:该过程由验证者ID2和代理者ID1通过交互方式共同完成。代理者ID1根据采集的用户生物信息、秘密S对公开信息T进行解绑定操作,得到密钥K。然后,通过与验证者ID2交互,验证所得到的密钥K是否验证者ID2所选取的密钥K。如果相等,则用户远程生物认证成功;否则,认证失败。
本发明实现了用户和验证者之间以代理者为中心的基于生物特征的远程认证,所具有的特点和优势在于:
(1)解决了远程、异地的生物特征认证的安全问题,用户和认证设备无需在同一地点进行“面对面”认证,应用更为灵活、便捷;
(2)无需中央服务器支持,且除了验证者之外,包括代理者在内的其他任何实体无法获取关于用户生物模板的明文或密文信息;
(3)在每次认证过程中,均使用由生物信息生成的一次性认证数据,能够预防重放攻击,同时也提高了对生物模板信息的保护和认证效率;
(4)在认证生物特征过程中还能够同时对用户进行物理身份进行认证,由于兼具有用户的物理身份标识特征,有效保证了系统安全性、可靠性;
(5)由于无需中央服务器支持,从而能够降低整个系统的实现代价和复杂度,而且,由于无需每次认证过程中从中央服务器获取用户生物信息,降低了系统的通信负担。
附图说明
图1:本发明基于生物特征的远程认证示意图
名词解释:
ID1:代理者;
ID2:验证者;
K:密钥;
S:秘密;
T:公开信息。
具体实施方式
参照图1,本发明包含以下实现步骤:
1)接入请求过程:接入请求信息报文由用户发送给代理者ID1。当用户需要和验证者ID2进行远程生物认证时,向本地代理者ID1发送接入请求信息报文。该分组包括用户的身份标识、验证者ID2的身份等信息。
2)秘密协商过程:该过程由代理者1D1和验证者ID2通过交互方式共同完成。当代理者ID1收到用户的接入请求分组后,和验证者ID2建立安全关联,生成共享的秘密信息S。
3)公开信息传递过程:该公共信息由验证者ID2发送给代理者ID1。当验证者ID2和代理者ID1交互生成共享秘密信息S后,随机产生一个密钥K,将用户生物模板、密钥K和秘密S进行绑定,生成一个公开信息T发送给代理者ID1。
4)生物信息采集过程:该过程由用户和代理者ID1共同完成。代理者ID1向用户发送生物信息采集请求,并采集用户有效的生物信息。
5)结果验证过程:该过程由验证者ID2和代理者ID1通过交互方式共同完成。代理者ID1根据采集的用户生物信息、秘密S对公开信息T进行解绑定操作,生成密钥K。然后,通过与验证者ID2交互,验证所计算的密钥K是否验证者ID2所选取的密钥K。如果相等,则用户远程生物认证成功;否则,认证失败。
通过以上方法,实现了用户和验证者之间以代理者为中心的基于生物特征的远程认证。
本发明所述的基于生物的远程认证方法并不仅限于说明书和实施方式中的描述。凡在本发明的精神和原则之内,所做的任何修改、同等替换、改进等,均包含在本发明的权利要求范围之内。
Claims (3)
1、一种基于生物特征的远程认证方法,其特征在于:用户和验证者之间以本地代理者为中心进行生物特征远程认证,所述认证方法的实现包括如下过程:
1)接入请求过程:当用户需要和验证者ID2进行生物特征远程认证时,向本地代理者ID1发送接入请求信息报文,该分组报文包括用户的身份标识、验证者ID2的身份信息;
2)秘密协商过程:验证者ID2和代理者ID1通过交互方式秘密协商生成共享的秘密信息S,并随机产生一个密钥K;
3)公开信息传递过程:验证者ID2向代理者ID1发送公开信息T,
4)生物信息采集过程:代理者ID1向用户发送生物信息采集请求,并采集用户有效的生物信息;
5)结果验证过程:代理者ID1计算密钥K,并通过与验证者ID2交互,验证所计算的密钥K是否是验证者ID2所选取的密钥K,如果是,则用户生物特征远程认证成功;否则,认证失败。
2、根据权利要求1所述的基于生物特征的远程认证方法,其特征在于:所述步骤3)中的公开信息T由秘密信息S和用户生物模板对步骤2)随机产生密钥K绑定的结果。
3、根据权利要求1所述的基于生物特征的远程认证方法,其特征在于:所述步骤5)中的密钥K的计算是用户生物特征信息和秘密信息S对公开信息T解绑定的结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008101506424A CN101345625B (zh) | 2008-08-15 | 2008-08-15 | 一种基于生物特征的远程认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008101506424A CN101345625B (zh) | 2008-08-15 | 2008-08-15 | 一种基于生物特征的远程认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101345625A true CN101345625A (zh) | 2009-01-14 |
CN101345625B CN101345625B (zh) | 2010-08-25 |
Family
ID=40247522
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008101506424A Expired - Fee Related CN101345625B (zh) | 2008-08-15 | 2008-08-15 | 一种基于生物特征的远程认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101345625B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102722696A (zh) * | 2012-05-16 | 2012-10-10 | 西安电子科技大学 | 基于多生物特征的身份证与持有人的同一性认证方法 |
CN108959891A (zh) * | 2018-07-19 | 2018-12-07 | 南京邮电大学 | 基于秘密共享的脑电身份认证方法 |
CN109960915A (zh) * | 2017-12-22 | 2019-07-02 | 苏州迈瑞微电子有限公司 | 一种身份认证的方法 |
CN109992942A (zh) * | 2019-01-03 | 2019-07-09 | 西安电子科技大学 | 基于秘密共享的隐私保护人脸认证方法及系统、智能终端 |
CN113744440A (zh) * | 2021-09-03 | 2021-12-03 | 建信金融科技有限责任公司 | 一种基于场景的门禁准入方法、装置、介质和设备 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1403941A (zh) * | 2001-09-03 | 2003-03-19 | 王柏东 | 一种结合密码与生物辨识技术应用于安全认证的方法 |
JP2008108035A (ja) * | 2006-10-25 | 2008-05-08 | Fujitsu Ltd | 生体認証のためのシステム、クライアント、サーバ、その制御方法及び制御プログラム |
-
2008
- 2008-08-15 CN CN2008101506424A patent/CN101345625B/zh not_active Expired - Fee Related
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102722696A (zh) * | 2012-05-16 | 2012-10-10 | 西安电子科技大学 | 基于多生物特征的身份证与持有人的同一性认证方法 |
CN109960915A (zh) * | 2017-12-22 | 2019-07-02 | 苏州迈瑞微电子有限公司 | 一种身份认证的方法 |
CN108959891A (zh) * | 2018-07-19 | 2018-12-07 | 南京邮电大学 | 基于秘密共享的脑电身份认证方法 |
CN108959891B (zh) * | 2018-07-19 | 2022-07-12 | 南京邮电大学 | 基于秘密共享的脑电身份认证方法 |
CN109992942A (zh) * | 2019-01-03 | 2019-07-09 | 西安电子科技大学 | 基于秘密共享的隐私保护人脸认证方法及系统、智能终端 |
CN113744440A (zh) * | 2021-09-03 | 2021-12-03 | 建信金融科技有限责任公司 | 一种基于场景的门禁准入方法、装置、介质和设备 |
CN113744440B (zh) * | 2021-09-03 | 2023-04-07 | 建信金融科技有限责任公司 | 一种基于场景的门禁准入方法、装置、介质和设备 |
Also Published As
Publication number | Publication date |
---|---|
CN101345625B (zh) | 2010-08-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101350724B (zh) | 一种基于生物特征信息的加密方法 | |
CN109327313A (zh) | 一种具有隐私保护特性的双向身份认证方法、服务器 | |
CN106488452B (zh) | 一种结合指纹的移动终端安全接入认证方法 | |
CN104321777B (zh) | 生成公共标识以验证携带识别对象的个人的方法 | |
CN101420301A (zh) | 人脸识别身份认证系统 | |
CN109040139A (zh) | 一种基于区块链与智能合约的身份认证系统及方法 | |
CN104767731A (zh) | 一种Restful移动交易系统身份认证防护方法 | |
CN109150535A (zh) | 一种身份认证方法、设备、计算机可读存储介质及装置 | |
CN103124269A (zh) | 云环境下基于动态口令与生物特征的双向身份认证方法 | |
CN105207776A (zh) | 一种指纹认证方法及系统 | |
CN106850201A (zh) | 智能终端多因子认证方法、智能终端、认证服务器及系统 | |
CN105656862A (zh) | 认证方法及装置 | |
WO2014141263A1 (en) | Asymmetric otp authentication system | |
CN101345625B (zh) | 一种基于生物特征的远程认证方法 | |
CN112383401B (zh) | 一种提供身份鉴别服务的用户名生成方法及系统 | |
CN111954211A (zh) | 一种移动终端新型认证密钥协商系统 | |
CN103297237B (zh) | 身份注册和认证方法、系统、个人认证设备和认证服务器 | |
CN103312672A (zh) | 身份认证方法及系统 | |
CN108667801A (zh) | 一种物联网接入身份安全认证方法及系统 | |
KR101348079B1 (ko) | 휴대단말을 이용한 전자서명 시스템 | |
KR101468192B1 (ko) | 스마트워크 환경에서의 얼굴인식기반 사용자인증 기법 | |
CN106230840A (zh) | 一种高安全性的口令认证方法 | |
CN112329004A (zh) | 一种人脸识别及人脸密码的方法、装置 | |
Nasiri et al. | Using Combined One-Time Password for Prevention of Phishing Attacks. | |
Pampori et al. | Securely eradicating cellular dependency for e-banking applications |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100825 Termination date: 20140815 |
|
EXPY | Termination of patent right or utility model |