CN108243156B - 一种基于指纹密钥进行网络认证的方法和系统 - Google Patents

一种基于指纹密钥进行网络认证的方法和系统 Download PDF

Info

Publication number
CN108243156B
CN108243156B CN201611218551.0A CN201611218551A CN108243156B CN 108243156 B CN108243156 B CN 108243156B CN 201611218551 A CN201611218551 A CN 201611218551A CN 108243156 B CN108243156 B CN 108243156B
Authority
CN
China
Prior art keywords
fingerprint
key
user terminal
user
session
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201611218551.0A
Other languages
English (en)
Other versions
CN108243156A (zh
Inventor
王绍刚
尹刚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Aisino Corp
Original Assignee
Aisino Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Aisino Corp filed Critical Aisino Corp
Priority to CN201611218551.0A priority Critical patent/CN108243156B/zh
Publication of CN108243156A publication Critical patent/CN108243156A/zh
Application granted granted Critical
Publication of CN108243156B publication Critical patent/CN108243156B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Collating Specific Patterns (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种基于指纹密钥进行网络认证的方法,包括:用户终端向密钥分发中心发送用户终端发送包括初始指纹密钥的身份信息;密钥分发中心生成会话指纹密钥,并且利用用户终端的初始指纹密钥对会话指纹密钥进行加密,并且利用应用服务器初始密钥对会话指纹密钥和身份信息进行加密;用户终端从密钥分发中心接收加密的会话指纹密钥和加密的许可票据;利用用户终端初始指纹密钥对加密的会话指纹密钥进行解密;用户终端建立包括身份信息认证票据,用户终端利用会话指纹密钥对认证票据进行加密;用户终端发送加密的许可票据和加密的认证票据至应用服务器;以及应用服务器对加密的许可票据和认证票据进行解密,来对用户终端进行验证。

Description

一种基于指纹密钥进行网络认证的方法和系统
技术领域
本发明涉及网络信息安全领域,并且更具体地,涉及在可信赖第三方参与下的一种用户终端和应用服务器的交互认证方法和系统。
背景技术
在网络通信环境中,为允许用户在非安全网络环境下通信,向服务器以一种安全的方式证明自己的身份,需要为用户和另一实体提供强大的认证服务,现有技术通常是通过密钥系统来实现。基于密钥的认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被做任意地读取、修改和插入数据。在以上情况下,基于密钥系统的认证可以作为一种可信任的第三方认证服务,并且是通过传统的密码技术执行认证服务的。系统设计上一般采用用户终端、服务器端结构与密码系统结合,能够进行相互认证,即用户终端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止replay攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。目前的加密方法通常是使用公开密钥加密的方法。
然后,现有的加密系统条件下,由于密码与用户的身份缺乏联系,网络攻击者很容易获得加密数据包,并使用字典攻击找到正确口令,攻击者获得正确口令后,很容易利用得到的用户密钥将自己伪装成合法用户,使用网络服务器的资源。
发明内容
本发明提出了一种基于指纹密钥进行网络认证的方法和系统,以解决将密钥与用户的身份之间缺乏联系的问题。
为了解决上述问题,本发明提供一种基于指纹密钥进行网络认证的方法,所述方法包括:用户终端向密钥分发中心发送所述用户终端的身份信息,所述身份信息包括初始指纹密钥;
密钥分发中心生成会话指纹密钥,并且利用用户终端的初始指纹密钥对会话指纹密钥进行加密,得到加密的会话指纹密钥,并且利用应用服务器初始密钥对会话指纹密钥和身份信息进行加密,得到经过加密的许可票据;
所述用户终端从所述密钥分发中心接收加密的会话指纹密钥和所述加密的许可票据;利用用户终端初始指纹密钥对加密的会话指纹密钥进行解密,获取会话指纹密钥;
所述用户终端对解密后的会话指纹密钥中的会话密码和用户指纹进行验证;验证通过后,所述用户终端建立认证票据,所述认证票据包括所述身份信息,所述用户终端利用所述会话指纹密钥对所述认证票据进行加密;所述用户终端发送所述加密的许可票据和所述加密的认证票据至所述应用服务器;以及
所述应用服务器利用与密钥分发中心的应用服务器初始密钥对来自所述用户终端的所述加密的许可票据进行解密,获取所述用户的身份信息和所述会话指纹密钥;所述应用服务器利用获取的所述会话指纹密钥对所述加密的认证票据进行解密,根据所述认证票据中的身份信息与许可票据中的身份信息来对用户终端进行验证;
如果通过验证,则确定用户终端得到认证;否则服务器认证失败。
优选地,在应用服务器获取所述用户的身份信息和所述会话指纹密钥之后还包括应用服务器对所述许可票据中的身份信息进行鉴别:比较所述许可票据中的身份信息中时间戳记录时间和当前时间的时间偏差,如果时间偏差在可接受的范围内,则确定身份信息通过鉴别。
优选地,所述会话指纹密钥包括会话密码和用户指纹;所述用户终端初始指纹密钥包括用户终端会话密码和用户指纹;以及所述用户终端初始指纹密钥存储在智能卡中。
优选地,所述用户终端对解密后的会话指纹密钥中的会话密码和用户指纹进行验证包括指纹识别步骤、指纹密钥生成步骤和密码密钥恢复步骤;其中指纹识别步骤利用指纹识别算法、指纹密钥生成步骤利用指纹密钥生成算法以及密码密钥恢复步骤利用密码密钥恢复算法来实现;
将所述指纹识别算法、指纹密钥生成算法和密码密钥恢复算法写入到所述智能卡中;
采集用户指纹图像和随机密码,利用所述指纹识别算法将所述用户指纹图像处理为由细节点信息组成的指纹模版;
将指纹模版、密码输入指纹生成算法,获得所述指纹密钥;
用户提供指纹图像和用户所述的智能卡,利用所述密码恢复算法,生成新的指纹密钥。
优选地,所述用户提供指纹图像和用户所述的智能卡,利用所述密码恢复算法,生成新的指纹密钥还包括:用户将智能卡插入读取器并采集用户指纹图像,并将该指纹图像进行识别,新生成指纹模版,输入新成生的指纹模版,生成新的指纹密钥。
优选地,其中在服务器认证失败后,通过所述服务器反馈认证失败通知到所述用户终端。
基于本发明的另一方面,本发明提供一种基于指纹密钥进行网络认证的系统,所述系统包括:
用户终端,向密钥分发中心发送所述用户终端的身份信息,所述身份信息包括初始指纹密钥;所述用户终端从所述密钥分发中心接收加密的会话指纹密钥和加密的许可票据;利用用户终端初始指纹密钥进行解密,获取会话指纹密钥;所述用户终端对解密后的会话指纹密钥中的会话密码和用户指纹进行验证;验证通过后,所述用户终端建立认证票据,所述认证票据包括所述身份信息,所述用户终端利用所述会话指纹密钥对所述认证票据进行加密;所述用户终端发送所述加密的许可票据和所述加密的认证票据至所述应用服务器
密钥分发中心,生成会话指纹密钥,并且利用用户终端的初始指纹密钥对会话指纹密钥进行加密,得到加密的会话指纹密钥;利用应用服务器初始密钥对初始指纹密钥和身份信息进行加密,得到加密的许可票据;以及
应用服务器,利用与密钥分发中心的应用服务器初始密钥对来自所述用户终端的所述加密的许可票据进行解密,获取所述用户的身份信息和所述会话指纹密钥;所述应用服务器利用获取的所述会话指纹密钥对所述加密的认证票据进行解密,根据所述认证票据中的身份信息与许可票据中的身份信息来对用户终端进行验证;
如果通过验证,则确定用户终端得到认证;否则服务器认证失败。
优选地,在应用服务器获取所述用户的身份信息和所述会话指纹密钥之后还包括应用服务器对所述许可票据中的身份信息进行鉴别:比较所述许可票据中的身份信息中时间戳记录时间和当前时间的时间偏差,如果时间偏差在可接受的范围内,则确定身份信息通过鉴别。
优选地,所述会话指纹密钥包括会话密码和用户指纹;所述用户终端初始指纹密钥包括用户终端会话密码和用户指纹;以及所述用户终端初始指纹密钥存储在智能卡中。
优选地,所述用户终端对解密后的会话指纹密钥中的会话密码和用户指纹进行验证包括指纹识别、指纹密钥生成和密码密钥恢复;其中指纹识别利用指纹识别算法、指纹密钥生成利用指纹密钥生成算法以及密码密钥恢复利用密码密钥恢复算法来实现;
将所述指纹识别算法、指纹密钥生成算法和密码密钥恢复算法写入到所述智能卡中;
采集用户指纹图像和随机密码,利用所述指纹识别算法将所述用户指纹图像处理为由细节点信息组成的指纹模版;
将指纹模版、密码输入指纹生成算法,获得所述指纹密钥;
用户提供指纹图像和用户所述的智能卡,利用所述密码恢复算法,生成新的指纹密钥。
优选地,所述用户提供指纹图像和用户所述的智能卡,利用所述密码恢复算法,生成新的指纹密钥还包括:用户将智能卡插入读取器并采集用户指纹图像,并将该指纹图像进行识别,新生成指纹模版,输入新成生的指纹模版,生成新的指纹密钥。
优选地,其中在服务器认证失败后,通过所述服务器反馈认证失败通知到所述用户终端。优选地,其中根据所述认证票据中的身份信息与许可票据中的身份信息来对用户终端进行验证包括:当所述认证票据中的身份信息与许可票据中的身份信息相同时,确定用户终端通过验证;否则服务器认证失败,通过所述服务器反馈认证失败通知到所述用户终端。
本发明提供的技术方案,由于加入了用户指纹作为用户身份的识别,解决了密码密钥和用户身份之间缺乏联系的问题,可以有效地防止网络攻击者伪装成合法用户,使用网络中的服务器资源。本发明的技术方案,不需要建立指纹模版数据库,认证方式更简单、高效。
附图说明
通过参考下面的附图,可以更为完整地理解本发明的示例性实施方式:
图1为根据本发明实施方式的一种基于指纹密钥的网络认证方法的流程图;
图2为根据本发明实施方式的一种基于指纹密钥的网络认证系统的结构图;以及
图3为根据本发明实施方式的一种基于指纹密钥的网络认证方法的指纹密钥生成及恢复方法流程图。
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元/元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
图1为根据本发明实施方式的一种基于指纹密钥的网络认证方法的流程图。本发明实施方式用户在请求利用服务器资源时,由用户端向密钥分发中心请求会话指纹密钥,密钥分发中心为用户生成会话指纹密钥,服务器端利用密钥分发中心生成的会话指纹密钥完成对用户身份的认证。本发明实施方式的用户认证方法加入了用户指纹作为用户身份的识别,解决了密码密钥和用户身份之间缺乏联系的问题,可以有效地防止网络攻击者伪装成合法用户,使用网络中的服务器资源。如图1所示,方法100从步骤110开始。
优选地,在步骤101:用户终端向密钥分发中心发送用户终端的身份信息,身份信息包括初始指纹密钥。用户端向密钥分发中心发送自己的身份信息,身份信息包括初始指纹密钥。
优选地,在步骤102:密钥分发中心生成会话指纹密钥,并且利用用户终端的初始指纹密钥对会话指纹密钥进行加密,得到加密的会话指纹密钥,并且利用应用服务器初始密钥对会话指纹密钥和身份信息进行加密,得到经过加密的许可票据。本发明实施方式利用用户终端初始指纹密钥对密钥分发中心生成的会话指纹密钥进行加密,由于只有真正的用户端拥有初始指纹密钥,保证了用户的密钥和用户身份之间建立了联系。优选地,用户终端向应用服务器发送请求,需要向应用服务器提供一个仅限于用户终端和应用服务器知晓的密钥来进行身份鉴定,而包含密钥的票据需要在用户和应用服务器之间传送,所以密钥不能是长期密钥,只能是短期密钥,即会话密钥。本发明实施方式中将密钥和用户身份信息进行关联,建立会话指纹密钥,可以有效的识别用户终端的身份,防止攻击者伪装成合法的用户终端使用应用服务器资源。密钥分发中心是作为用户终端和应用服务器共同信赖的第三方,参与到认证过程中。密钥分发中心掌握着用户终端的初始指纹密钥,并且利用用户终端的初始指纹密钥对会话指纹密钥进行加密,得到加密的会话指纹密钥发送给用户端。密钥分发中心利用掌握的服务器端的初始密钥,并且利用应用服务器初始密钥对会话指纹密钥和身份信息进行加密,得到经过加密的许可票据,并将经过加密的许可票据发送给用户端。
优选地,会话指纹密钥包括会话密码和用户指纹;用户终端初始指纹密钥包括用户终端初始会话密码和用户指纹;以及用户终端初始指纹密钥存储在智能卡中。
优选地,在步骤103:用户终端从密钥分发中心接收加密的会话指纹密钥和加密的许可票据;利用用户终端初始指纹密钥对加密的会话指纹密钥进行解密,获取会话指纹密钥。用户终端获取从密钥分发中心发送的加密后的会话指纹密钥和许可票据;用户终端利用用户终端初始指纹密钥进行解密,获取用户终端和密钥分发中心的初始会话指纹密钥,准备生成加密的认证票据。
优选地,在步骤104:用户终端对解密后的会话指纹密钥中的会话密码和用户指纹进行验证;验证通过后,用户终端建立认证票据,认证票据包括身份信息,用户终端利用会话指纹密钥对认证票据进行加密;用户终端发送加密的许可票据和加密的认证票据至应用服务器。
优选地,用户终端对解密后的会话指纹密钥中的会话密码和用户指纹进行验证包括指纹识别步骤、指纹密钥生成步骤和密码密钥恢复步骤;其中指纹识别步骤利用指纹识别算法、指纹密钥生成步骤利用指纹密钥生成算法以及密码密钥恢复步骤利用密码密钥恢复算法来实现;将指纹识别算法、指纹密钥生成算法和密码密钥恢复算法写入到智能卡中;采集用户指纹图像和随机密码,利用指纹识别算法将用户指纹图像处理为由细节点信息组成的指纹模版;将指纹模版、密码输入指纹生成算法,获得指纹密钥;用户提供指纹图像和用户的智能卡,利用密码恢复算法,生成新的指纹密钥。
优选地,用户提供指纹图像和用户的智能卡,利用密码恢复算法,生成新的指纹密钥还包括:用户将智能卡插入读取器并采集用户指纹图像,并将该指纹图像进行识别,新生成指纹模版,输入新成生的指纹模版,生成新的指纹密钥。
优选地,在步骤105:应用服务器利用与密钥分发中心的应用服务器初始密钥对来自用户终端的加密的许可票据进行解密,获取用户的身份信息和会话指纹密钥;应用服务器利用获取的会话指纹密钥对加密的认证票据进行解密,根据认证票据中的身份信息与许可票据中的身份信息来对用户终端进行验证。
优选地,还包括应用服务器对许可票据中的身份信息进行鉴别:比较身份信息中时间戳记录时间和当前时间的时间偏差,如果时间偏差在可接受的范围内,则确定身份信息通过鉴别。
优选地,其中根据认证票据中的身份信息与许可票据中的身份信息来对用户终端进行验证包括:当认证票据中的身份信息与许可票据中的身份信息相同时,确定用户终端通过验证;否则服务器认证失败,通过服务器反馈认证失败通知到用户终端。
优选地,在步骤106:如果通过验证,则确定用户终端得到认证;否则服务器认证失败。
图2为根据本发明实施方式的一种基于指纹密钥的网络认证系统的结构图。如图2所示,本发明实施方式的网络认证系统由用户终端220、应用服务器230与密钥分发中心210共三方参与完成。优选地,由用户终端220向密钥分发中心210发送用户终端220的身份信息,并请求密钥分发中心210发送会话指纹密钥。密钥分发中心210发送加密后的会话指纹密钥和许可票据至用户终端220。用户终端220发送许可票据和认证票据至应用服务器230。应用服务器230对用户身份进行鉴别,并将鉴别结果反馈给用户终端220。
优选地,用户终端220,向密钥分发中心210发送用户终端220的身份信息,身份信息包括初始指纹密钥;用户终端220从密钥分发中心210接收加密的会话指纹密钥和加密的许可票据;利用用户终端220初始指纹密钥进行解密,获取会话指纹密钥;用户终端220对解密后的会话指纹密钥中的会话密码和用户指纹进行验证;验证通过后,用户终端220建立认证票据,认证票据包括身份信息,用户终端220利用会话指纹密钥对认证票据进行加密;用户终端220发送加密的许可票据和加密的认证票据至应用服务器230
优选地,密钥分发中心210,生成会话指纹密钥,并且利用用户终端220的初始指纹密钥对会话指纹密钥进行加密,得到加密的会话指纹密钥;利用应用服务器230初始密钥对初始指纹密钥和身份信息进行加密,得到加密的许可票据;以及
优选地,应用服务器230,利用与密钥分发中心210的应用服务器230初始密钥对来自用户终端220的加密的许可票据进行解密,获取用户的身份信息和会话指纹密钥;应用服务器230利用获取的会话指纹密钥对加密的认证票据进行解密,根据认证票据中的身份信息与许可票据中的身份信息来对用户终端220进行验证;
如果通过验证,则确定用户终端220得到认证;否则服务器认证失败。
优选地,应用服务器230对许可票据中的身份信息进行鉴别:比较身份信息中时间戳记录时间和当前时间的时间偏差,如果时间偏差在可接受的范围内,则确定身份信息通过鉴别。
优选地,会话指纹密钥包括会话密码和用户指纹;用户终端220初始指纹密钥包括用户终端220会话密码和用户指纹;以及用户终端220初始指纹密钥存储在智能卡中。
优选地,用户终端220对解密后的会话指纹密钥中的会话密码和用户指纹进行验证包括指纹识别步骤、指纹密钥生成步骤和密码密钥恢复步骤;其中指纹识别步骤利用指纹识别算法、指纹密钥生成步骤利用指纹密钥生成算法以及密码密钥恢复步骤利用密码密钥恢复算法来实现;
将指纹识别算法、指纹密钥生成算法和密码密钥恢复算法写入到智能卡中;
采集用户指纹图像和随机密码,利用指纹识别算法将用户指纹图像处理为由细节点信息组成的指纹模版;
将指纹模版、密码输入指纹生成算法,获得指纹密钥;
用户提供指纹图像和用户的智能卡,利用密码恢复算法,生成新的指纹密钥。
优选地,用户提供指纹图像和用户的智能卡,利用密码恢复算法,生成新的指纹密钥还包括:用户将智能卡插入读取器并采集用户指纹图像,并将该指纹图像进行识别,新生成指纹模版,输入新成生的指纹模版,生成新的指纹密钥。
优选地,其中根据认证票据中的身份信息与许可票据中的身份信息来对用户终端220进行验证包括:当认证票据中的身份信息与许可票据中的身份信息相同时,确定用户终端220通过验证;否则服务器认证失败,通过服务器反馈认证失败通知到用户终端220。
本发明实施方式的一种基于指纹密钥的网络认证系统200本发明另一实施方式的一种基于指纹密钥的网络认证方法100相对应,在此不再进行赘述。
图3为根据本发明实施方式的一种基于指纹密钥的网络认证方法的指纹密钥生成及恢复方法流程图。如图3所示,优选地,方法300从步骤310开始,用户终端初始指纹密钥包括用户终端初始会话密码和用户指纹;用户终端初始密钥存储在智能卡上。在用户需要使用其密码密钥以认证其身份时,只须重新采集其指纹,即可从智能卡上恢复其密码密钥。优选地,在步骤320,将指纹识别算法、指纹密钥生成算法和密码密钥恢复算法写入到智能卡中。优选地,在步骤330,采集用户指纹图像和随机密码,利用指纹识别算法将用户指纹图像处理为由细节点信息组成的指纹模版。将指纹密钥、随机密码记录为用户终端的初始指纹密钥。优选地,在步骤340,用户提供指纹图像和用户的智能卡,利用密码恢复算法,生成新的指纹密钥。在用户的指纹密钥需要恢复时,用户将智能卡的信息以及重新采集的指纹图像提供给密钥分发中心,密钥分发中心将指纹图像利用指纹识别算法生成指纹图像数据,并且使用指纹图像数据作为指纹密钥恢复算法的用户指纹输入。优选地,本发明实施方式对用户提供的指纹图像进行验证,如果指纹图像数据和指纹图像之间差别小于预定的数值,则通过验证,即可恢复指纹密钥;否则验证失败,将提醒用户重新采集指纹。如果智能卡持有人三次验证都操作性,智能卡将自毁以保证安全性。
本发明提供的技术方案,由于加入了用户指纹作为用户身份的识别,解决了密码密钥和用户身份之间缺乏联系的问题,可以有效地防止网络攻击者伪装成合法用户,使用网络中的服务器资源。本发明的技术方案,不需要建立指纹模版数据库,认证方式更简单、高效。
已经通过参考少量实施方式描述了本发明。然而,本领域技术人员所公知的,正如附带的专利权利要求所限定的,除了本发明以上公开的其他的实施例等同地落在本发明的范围内。
通常地,在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解释,除非在其中被另外明确地定义。所有的参考“一个//该[装置、组件等]”都被开放地解释为装置、组件等中的至少一个实例,除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确的顺序运行,除非明确地说明。

Claims (12)

1.一种基于指纹密钥进行网络认证的方法,所述方法包括:
用户终端向密钥分发中心发送所述用户终端的身份信息,所述身份信息包括初始指纹密钥;
密钥分发中心生成会话指纹密钥,并且利用用户终端的初始指纹密钥对会话指纹密钥进行加密,得到加密的会话指纹密钥,并且利用应用服务器初始密钥对会话指纹密钥和身份信息进行加密,得到经过加密的许可票据;
所述用户终端从所述密钥分发中心接收加密的会话指纹密钥和所述加密的许可票据;利用用户终端初始指纹密钥对加密的会话指纹密钥进行解密,获取会话指纹密钥;
所述用户终端对解密后的会话指纹密钥中的会话密码和用户指纹进行验证;验证通过后,所述用户终端建立认证票据,所述认证票据包括所述身份信息,所述用户终端利用所述会话指纹密钥对所述认证票据进行加密;所述用户终端发送所述加密的许可票据和所述加密的认证票据至所述应用服务器;以及
所述应用服务器利用与密钥分发中心的应用服务器初始密钥对来自所述用户终端的所述加密的许可票据进行解密,获取所述用户的身份信息和所述会话指纹密钥;所述应用服务器利用获取的所述会话指纹密钥对所述加密的认证票据进行解密,根据所述认证票据中的身份信息与许可票据中的身份信息来对用户终端进行验证;
如果通过验证,则确定用户终端得到认证;否则服务器认证失败。
2.根据权利要求1所述的方法,在应用服务器获取所述用户的身份信息和所述会话指纹密钥之后还包括应用服务器对所述许可票据中的身份信息进行鉴别:比较所述许可票据中的身份信息中时间戳记录时间和当前时间的时间偏差,如果时间偏差在可接受的范围内,则确定身份信息通过鉴别。
3.根据权利要求1所述的方法,所述会话指纹密钥包括会话密码和用户指纹;所述用户终端初始指纹密钥包括用户终端会话密码和用户指纹;以及所述用户终端初始指纹密钥存储在智能卡中。
4.根据权利要求3所述的方法,所述用户终端对解密后的会话指纹密钥中的会话密码和用户指纹进行验证包括指纹识别步骤、指纹密钥生成步骤和密码密钥恢复步骤;其中指纹识别步骤利用指纹识别算法、指纹密钥生成步骤利用指纹密钥生成算法以及密码密钥恢复步骤利用密码密钥恢复算法来实现;
将所述指纹识别算法、指纹密钥生成算法和密码密钥恢复算法写入到所述智能卡中;
采集用户指纹图像和随机密码,利用所述指纹识别算法将所述用户指纹图像处理为由细节点信息组成的指纹模版;
将指纹模版、密码输入指纹生成算法,获得所述指纹密钥;
用户提供指纹图像和用户所述的智能卡,利用所述密码恢复算法,生成新的指纹密钥。
5.根据权利要求4所述的方法,所述用户提供指纹图像和用户所述的智能卡,利用所述密码恢复算法,生成新的指纹密钥还包括:用户将智能卡插入读取器并采集用户指纹图像,并将该指纹图像进行识别,新生成指纹模版,输入新成生的指纹模版,生成新的指纹密钥。
6.根据权利要求1所述的方法,其中在服务器认证失败后,通过所述服务器反馈认证失败通知到所述用户终端。
7.一种基于指纹密钥进行网络认证的系统,所述系统包括:
用户终端,向密钥分发中心发送所述用户终端的身份信息,所述身份信息包括初始指纹密钥;所述用户终端从所述密钥分发中心接收加密的会话指纹密钥和加密的许可票据;利用用户终端初始指纹密钥进行解密,获取会话指纹密钥;所述用户终端对解密后的会话指纹密钥中的会话密码和用户指纹进行验证;验证通过后,所述用户终端建立认证票据,所述认证票据包括所述身份信息,所述用户终端利用所述会话指纹密钥对所述认证票据进行加密;所述用户终端发送所述加密的许可票据和所述加密的认证票据至应用服务器
密钥分发中心,生成会话指纹密钥,并且利用用户终端的初始指纹密钥对会话指纹密钥进行加密,得到加密的会话指纹密钥;利用应用服务器初始密钥对初始指纹密钥和身份信息进行加密,得到加密的许可票据;以及
应用服务器,利用与密钥分发中心的应用服务器初始密钥对来自所述用户终端的所述加密的许可票据进行解密,获取所述用户的身份信息和所述会话指纹密钥;所述应用服务器利用获取的所述会话指纹密钥对所述加密的认证票据进行解密,根据所述认证票据中的身份信息与许可票据中的身份信息来对用户终端进行验证;
如果通过验证,则确定用户终端得到认证;否则服务器认证失败。
8.根据权利要求7所述的系统,在应用服务器获取所述用户的身份信息和所述会话指纹密钥之后还包括应用服务器对所述许可票据中的身份信息进行鉴别:比较所述许可票据中的身份信息中时间戳记录时间和当前时间的时间偏差,如果时间偏差在可接受的范围内,则确定身份信息通过鉴别。
9.根据权利要求7所述的系统,所述会话指纹密钥包括会话密码和用户指纹;所述用户终端初始指纹密钥包括用户终端会话密码和用户指纹;以及所述用户终端初始指纹密钥存储在智能卡中。
10.根据权利要求9所述的系统,所述用户终端对解密后的会话指纹密钥中的会话密码和用户指纹进行验证包括指纹识别、指纹密钥生成和密码密钥恢复;其中指纹识别利用指纹识别算法、指纹密钥生成利用指纹密钥生成算法以及密码密钥恢复利用密码密钥恢复算法来实现;
将所述指纹识别算法、指纹密钥生成算法和密码密钥恢复算法写入到所述智能卡中;
采集用户指纹图像和随机密码,利用所述指纹识别算法将所述用户指纹图像处理为由细节点信息组成的指纹模版;
将指纹模版、密码输入指纹生成算法,获得所述指纹密钥;
用户提供指纹图像和用户所述的智能卡,利用所述密码恢复算法,生成新的指纹密钥。
11.根据权利要求10所述的系统,所述用户提供指纹图像和用户所述的智能卡,利用所述密码恢复算法,生成新的指纹密钥还包括:用户将智能卡插入读取器并采集用户指纹图像,并将该指纹图像进行识别,新生成指纹模版,输入新成生的指纹模版,生成新的指纹密钥。
12.根据权利要求7所述的系统,其中在服务器认证失败后,通过所述服务器反馈认证失败通知到所述用户终端。
CN201611218551.0A 2016-12-26 2016-12-26 一种基于指纹密钥进行网络认证的方法和系统 Active CN108243156B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611218551.0A CN108243156B (zh) 2016-12-26 2016-12-26 一种基于指纹密钥进行网络认证的方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611218551.0A CN108243156B (zh) 2016-12-26 2016-12-26 一种基于指纹密钥进行网络认证的方法和系统

Publications (2)

Publication Number Publication Date
CN108243156A CN108243156A (zh) 2018-07-03
CN108243156B true CN108243156B (zh) 2020-09-11

Family

ID=62701542

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611218551.0A Active CN108243156B (zh) 2016-12-26 2016-12-26 一种基于指纹密钥进行网络认证的方法和系统

Country Status (1)

Country Link
CN (1) CN108243156B (zh)

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7269737B2 (en) * 2001-09-21 2007-09-11 Pay By Touch Checking Resources, Inc. System and method for biometric authorization for financial transactions
US9141956B2 (en) * 2006-11-13 2015-09-22 Ncr Corporation Using biometric tokens to pre-stage and complete transactions
CN101282217A (zh) * 2007-04-05 2008-10-08 华为技术有限公司 一种生物特征数据的保护方法、装置及系统
CN101420413B (zh) * 2007-10-25 2012-11-07 华为技术有限公司 会话密钥协商方法、认证服务器及网络设备
CN101340436B (zh) * 2008-08-14 2011-05-11 普天信息技术研究院有限公司 基于便携式存储设备实现远程访问控制的方法及装置
CN101488111A (zh) * 2009-02-17 2009-07-22 普天信息技术研究院有限公司 一种身份认证方法和系统
CN102194066A (zh) * 2010-03-16 2011-09-21 邵宇 一种以指纹信息作为密钥的方法
CN102063612A (zh) * 2010-08-10 2011-05-18 江苏永驰股份有限公司 一种基于智能卡的指纹比对方法

Also Published As

Publication number Publication date
CN108243156A (zh) 2018-07-03

Similar Documents

Publication Publication Date Title
US10609014B2 (en) Un-password: risk aware end-to-end multi-factor authentication via dynamic pairing
CN106612180B (zh) 实现会话标识同步的方法及装置
US10680808B2 (en) 1:N biometric authentication, encryption, signature system
US6073237A (en) Tamper resistant method and apparatus
CN103124269B (zh) 云环境下基于动态口令与生物特征的双向身份认证方法
CN110932870B (zh) 一种量子通信服务站密钥协商系统和方法
WO2019052286A1 (zh) 基于区块链的用户身份验证方法、装置及系统
US20150113283A1 (en) Protecting credentials against physical capture of a computing device
CN107733933B (zh) 一种基于生物识别技术的双因子身份认证的方法及系统
KR101897715B1 (ko) 바이오정보를 이용한 패스워드 없는 전자서명 시스템
KR20060127080A (ko) 생체 인식 기술의 사용에 기초한 사용자 인증 방법 및 관련구조
CN112565265B (zh) 物联网终端设备间的认证方法、认证系统及通讯方法
KR101078546B1 (ko) 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치, 그를 이용한 전자 서명 시스템
CN107733636B (zh) 认证方法以及认证系统
CN101420301A (zh) 人脸识别身份认证系统
CN111159684B (zh) 一种基于浏览器的安全防护系统和方法
CN105207776A (zh) 一种指纹认证方法及系统
CN113472793A (zh) 一种基于硬件密码设备的个人数据保护系统
JP2013084034A (ja) テンプレート配信型キャンセラブル生体認証システムおよびその方法
CN111740995B (zh) 一种授权认证方法及相关装置
WO2014141263A1 (en) Asymmetric otp authentication system
US20120124378A1 (en) Method for personal identity authentication utilizing a personal cryptographic device
CN111540093A (zh) 一种门禁控制系统及其控制方法
TWI476629B (zh) Data security and security systems and methods
US20130166911A1 (en) Implementation process for the use of cryptographic data of a user stored in a data base

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant