CN108810891A - 一种实现访问网络的认证方法、认证设备及用户设备 - Google Patents

一种实现访问网络的认证方法、认证设备及用户设备 Download PDF

Info

Publication number
CN108810891A
CN108810891A CN201710289715.7A CN201710289715A CN108810891A CN 108810891 A CN108810891 A CN 108810891A CN 201710289715 A CN201710289715 A CN 201710289715A CN 108810891 A CN108810891 A CN 108810891A
Authority
CN
China
Prior art keywords
data
feature vector
user
feature
user equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710289715.7A
Other languages
English (en)
Other versions
CN108810891B (zh
Inventor
郑若滨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201710289715.7A priority Critical patent/CN108810891B/zh
Priority to CN202110540511.2A priority patent/CN113411805A/zh
Priority to PCT/CN2018/084789 priority patent/WO2018196841A1/zh
Priority to EP18790253.1A priority patent/EP3595258B1/en
Publication of CN108810891A publication Critical patent/CN108810891A/zh
Priority to US16/598,472 priority patent/US11240666B2/en
Application granted granted Critical
Publication of CN108810891B publication Critical patent/CN108810891B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V40/00Recognition of biometric, human-related or animal-related patterns in image or video data
    • G06V40/70Multimodal biometrics, e.g. combining information from different biometric modalities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/68Gesture-dependent or behaviour-dependent

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Human Computer Interaction (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Multimedia (AREA)
  • Theoretical Computer Science (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本申请公开了一种实现访问网络的认证方法、认证设备及用户设备,属于通信技术领域。所述方法应用于认证设备,该方法包括:认证设备接收用户设备发送的认证应答消息,该认证应答消息包括第一数据,该第一数据是用户设备根据目标用户的生物特征数据获得的数据。然后,认证设备从服务器获取第二数据,该第二数据为服务器基于用户的生物特征数据获得的数据。当第一数据与第二数据相同时,认证设备生成指示信息,该指示信息用于指示用户设备认证成功。之后,认证设备向用户设备发送指示信息。本申请解决了访问网络的认证过程较复杂,网络易用性较差,安全性较差的问题,简化了实现访问网络的认证过程,提高了网络易用性和安全性。

Description

一种实现访问网络的认证方法、认证设备及用户设备
技术领域
本申请涉及通信技术领域,特别涉及一种实现访问网络的认证方法、认证设备及用户设备。
背景技术
随着互联网技术高速发展,家庭网络或公共无线网络能够进行无线互联上网,举例说明,家庭网络或公共无线网络可以采用无线保真(WIreless-FIdelity,WIFI)技术进行无线互联上网。其中,WIFI技术是一种允许用户设备连接到无线局域网的技术。用户设备基于WIFI技术访问网络时,常常需要执行认证操作。
相关技术中,以WIFI技术为例,当家庭网络或公共无线网络采用WIFI技术进行无线互联上网时,用户设备常常基于密码执行认证操作。基于密码的上网认证方式需要用户预先设置密码,设置密码的过程较复杂。目前实现访问网络的认证过程较复杂,网络易用性较差,安全性较差。
发明内容
本申请实施例提供了一种实现访问网络的认证方法、认证设备及用户设备,能够提高网络易用性和安全性,简化实现访问网络的认证过程。
第一方面,提供了一种实现访问网络的认证方法,应用于认证设备,该方法包括:认证设备接收用户设备发送的认证应答消息,该认证应答消息包括第一数据,该第一数据是用户设备根据目标用户的生物特征数据获得的数据。然后,认证设备从服务器获取第二数据,该第二数据为服务器基于用户的生物特征数据获得的数据。当第一数据与第二数据相同时,认证设备生成指示信息,该指示信息用于指示用户设备认证成功。之后,认证设备向用户设备发送该指示信息。
在本申请实施例中,用户设备和认证设备之间采用生物特征数据实现访问网络的认证,无需进行复杂的密码设置操作,简化了实现访问网络的认证过程,提高了网络易用性和安全性。
目标用户为具有网络访问需求的用户。目标用户可以为某一个用户(即个体用户),也可以为某一类用户。举例说明,生物特征数据的类型可以包括图像、视频、音频和文本中的至少一种。该生物特征数据可以包括表示用户身份的数据,表示用户身体状态的数据和表示用户所处环境的数据中的一种或多种。其中,表示用户身份的数据可以包括表示面部特征的数据、表示虹膜特征的数据、表示指纹特征的数据、表示体形特征的数据、表示毛细血管特征的数据及表示语音特征的数据中的一个或多个。表示用户身体状态的数据可以为表示身体健康状态的数据和表示运动状态的数据中的一个或多个。表示身体健康状态的数据也称生理数据,如呼吸频率、心率、体温及血压等。表示运动状态的数据可以为用户的移动速度,包括行走速度及跑步速度等。表示用户所处环境的数据可以为表示用户所处位置的数据。本申请中的运动状态还可以用于指示肢体动作及面部动作。
可选地,认证应答消息还包括索引信息,从服务器获取第二数据包括:向设置有数据库的服务器发送检索请求消息,该检索请求消息包括索引信息;接收设置有数据库的服务器发送的第三数据,该第三数据是设置有数据库的服务器根据索引信息获取的存储的用户的生物特征数据;将第三数据转换为第二数据。
设置有数据库的服务器预先存储有包括n个数据的数据集,n≥1,该n个数据均是基于用户的生物特征数据确定的数据。为了得到该数据集,可以通过采集设备事先采集用户的生物特征数据,举例说明,可以通过采集设备采集不同个体用户的生物特征数据,或者,采集不同类用户的生物特征数据。比如,当用户进行上网注册时,可以通过采集设备采集用户的生物特征数据,或者,当用户前往运营商营业厅(或相应网站)进行开户时,可以通过采集设备采集用户的生物特征数据。
在本申请实施例中,为了避免多次执行第三数据转换操作,以及第一数据和第二数据的比较操作,提高认证效率,提高用户体验,用户设备向认证设备发送的认证应答消息还可以包括索引信息,相应的,认证设备向设置有数据库的服务器发送的检索请求消息包括该索引信息。索引信息用于设置有数据库的服务器从数据集中查找第三数据。设置有数据库的服务器基于检索请求消息中的索引信息从数据集中检索得到第三数据,设置有数据库的服务器存储有索引信息和第三数据的对应关系。举例说明,索引信息可以为用户标识,该用户标识用于标识目标用户或用户设备。其中,该用户标识可以是目标用户的用户名,该用户标识还可以是用户设备的唯一编码、用户设备被分配的MAC地址、用户设备被分配的IP地址。设置有数据库的服务器中存储的数据集中每个数据可以携带有用户标识。
举例说明,认证设备可以将第三数据作为第二数据,此时,第二数据为第三数据。用户设备也可以按照某一规则或算法将第三数据转换为第二数据。比如,用户设备采用哈希函数将第三数据转换为第二数据,或者,采用转子机加密方式将第三数据转换为第二数据。认证设备将第三数据转换为第二数据的转换方式与用户设备将目标数据转换为第一数据的转换方式相同。
可选地,在接收用户设备发送的认证应答消息之前,该实现访问网络的认证方法还包括:接收用户设备发送的认证请求消息,该认证请求消息用于请求认证设备发送随机数据;获取随机数据;向用户设备发送随机数据。
将第三数据转换为第二数据包括:采用哈希函数对第三数据和随机数据进行计算,获得第二数据。
为了对抗重放攻击,认证设备获取随机数据,以便于认证设备基于该随机数据得到第二数据。同时,认证设备可以将该随机数据发送至用户设备,以便于用户设备采用该随机数据将目标数据转换为第一数据。该随机数据为随机产生的数据,该随机数据可以是认证设备随机产生的,也可以是其他设备随机产生后发送给认证设备的。认证设备每次获取的随机数据不同,所以攻击者无法通过监听的上一次的信息来完成认证过程。认证设备可以采用哈希函数对第三数据和随机数据进行计算,获得第二数据。采用哈希函数对第三数据和随机数据进行计算,能够有效对抗网络侦听攻击。逆向破解哈希函数比较困难,使得网络侦听无效。
可选地,第一数据为第一特征向量,第二数据为第三数据,第三数据为第二特征向量,第一特征向量为用户设备基于目标用户的生物特征数据获得的特征向量,第二特征向量为服务器基于用户的生物特征数据获得的特征向量;
或者,第一数据为第一特征码,第二数据为第三数据,第三数据为第二特征码,第一特征码是用户设备对第一特征向量进行转换后获得的特征码,第一特征向量是用户设备基于目标用户的生物特征数据获得的特征向量,第二特征码是服务器对第二特征向量进行转换后获得的特征码,第二特征向量为服务器基于用户的生物特征数据获得的特征向量。
可选地,第一数据为第二特征向量,第二数据为第三特征向量,第三数据为第四特征向量,随机数据为随机向量,第二特征向量为采用哈希函数对第一特征向量和随机向量进行计算后获得的特征向量,第一特征向量为用户设备基于目标用户的生物特征数据获得的特征向量,第四特征向量为服务器基于用户的生物特征数据获得的特征向量;
或者,第一数据为第二特征码,第二数据为第三特征码,第三数据为第四特征码,随机数据为随机码,第二特征码是采用哈希函数对第一特征码和随机码进行计算获得的特征码,第一特征码是用户设备对第一特征向量进行转换后获得的特征码,第一特征向量是用户设备基于目标用户的生物特征数据获得的特征向量,第四特征码是服务器对第二特征向量进行转换后获得的特征码,第二特征向量为服务器基于用户的生物特征数据获得的特征向量。
可选地,在向用户设备发送指示信息之后,该方法还包括:获取通信凭证;基于通信凭证与用户设备进行通信。
该通信凭证可以为通信密码或通信密钥。
举例说明,认证设备可以将设置有数据库的服务器发送的第三数据转换为通信凭证。用户设备可以将目标数据转换为通信凭证。用户设备转换目标数据的转换方式与认证设备转换第三数据的转换方式可以相同,也可以不同。当用户设备转换目标数据的转换方式与认证设备转换第三数据的转换方式相同时,用户设备与认证设备得到的通信凭证相同,该过程适用于对称密钥加密场景;当用户设备转换目标数据的转换方式与认证设备转换第三数据的转换方式不同时,用户设备与认证设备得到的通信凭证不同,用户设备得到用户公钥,认证设备得到用户私钥,该过程适用于非对称密钥加密场景。
举例说明,认证设备可以将设置有数据库的服务器发送的第三数据直接作为通信密钥。用户设备可以目标数据直接作为通信凭证。
在本申请实施例中,当认证设备不具备网关设备所具备的功能时,认证设备获取到通信凭证后,还可以将通信凭证发送至家庭网关、接入网关(如企业网关)、IoT网关、接入设备或IP边缘设备等网关设备,使得用户设备与网关设备基于通信凭证进行通信。举例说明,用户设备为第一家庭网关,网关设备为第二家庭网关,第二家庭网关为第一家庭网关的上级设备。认证设备将通信密钥发送至第二家庭网关,第一家庭网关和第二家庭网关基于通信密钥进行通信。
在本申请实施例中,用户设备认证成功后,用户设备和认证设备将生物特征数据作为通信凭证进行通信,能够有效对抗穷举攻击,提高了网络安全性。
第二方面,提供了一种实现访问网络的认证方法,应用于用户设备,该方法包括:用户设备根据目标用户的生物特征数据获得第一数据,第一数据是用户设备根据对目标用户的生物特征进行预处理后的数据获得的数据。之后,用户设备向认证设备发送认证应答消息,该认证应答消息包括第一数据。用户设备接收认证设备发送的指示信息,该指示信息用于指示用户设备认证成功。
在本申请实施例中,用户设备和认证设备之间采用生物特征数据实现访问网络的认证,无需进行复杂的密码设置操作,简化了实现访问网络的认证过程,提高了网络易用性和安全性。
其中,目标用户可以为某一个用户(即个体用户),也可以为某一类用户。举例说明,生物特征数据的类型可以包括图像、视频、音频和文本中的至少一种。该生物特征数据可以包括表示用户身份的数据,表示用户身体状态的数据和表示用户所处环境的数据中的一种或多种。
可选地,用户设备根据目标用户的生物特征数据获得第一数据,包括:采集目标用户的生物特征数据;根据目标用户的生物特征数据获得目标数据,目标数据为对目标用户的生物特征进行预处理后的数据;将目标数据转换为第一数据。
可选地,在将目标数据转换为第一数据之前,该实现访问网络的认证方法还包括:向认证设备发送认证请求消息,认证请求消息用于请求认证设备发送随机数据;接收认证设备发送的随机数据;将目标数据转换为第一数据,包括:采用哈希函数对目标数据和随机数据进行计算,得到第一数据。
举例说明,用户设备可以将目标数据作为第一数据,此时,第一数据为目标数据。用户设备也可以按照某一规则或算法将目标数据转换为第一数据。比如,用户设备采用哈希函数将目标数据转换为第一数据,或者,采用转子机加密方式将目标数据转换为第一数据。当用户设备接收到认证设备发送的随机数据时,用户设备可以采用哈希函数对目标数据和随机数据进行计算,得到第一数据。采用哈希函数对目标数据和随机数据进行计算,能够有效对抗网络侦听攻击,达到目标数据不明文传输的目的。
用户设备每次执行认证操作时,接收到认证设备发送的随机数据不同,所以攻击者无法通过监听的上一次的信息来完成认证过程。
可选地,第一数据为目标数据,目标数据为第一特征向量,第一特征向量为用户设备基于目标用户的生物特征数据获得的特征向量;
或者,第一数据为目标数据,目标数据为第一特征码,第一特征码是用户设备对第一特征向量进行转换后获得的特征码,第一特征向量是用户设备基于目标用户的生物特征数据获得的特征向量。
可选地,第一数据为第二特征向量,目标数据为第一特征向量,随机数据为随机向量,第一特征向量是用户设备基于目标用户的生物特征数据获得的特征向量;
或者,第一数据为第二特征码,目标数据为第一特征码,第一特征码是用户设备对第一特征向量进行转换后获得的特征码,第一特征向量是用户设备基于目标用户的生物特征数据获得的特征向量。
可选地,在接收认证设备发送的指示信息之后,该实现访问网络的认证方法还包括:获取通信凭证;基于通信凭证与认证设备进行通信,或者,基于通信凭证与网关设备进行通信,网关设备采用的通信凭证是认证设备发送的。
第三方面,提供了一种认证设备,该认证设备包括至少一个模块,该至少一个模块用于实现上述第一方面所述的实现访问网络的认证方法。
第四方面,提供了一种用户设备,该用户设备包括至少一个模块,该至少一个模块用于实现上述第二方面所述的实现访问网络的认证方法。
第五方面,提供了一种认证设备,该认证设备包括处理器、存储器、网络接口和总线。其中,总线用于连接处理器、存储器和网络接口。网络接口用于实现认证设备与用户设备之间的通信连接。处理器用于执行存储器中存储的程序来实现第一方面所述的实现访问网络的认证方法。
第六方面,提供了一种用户设备,该用户设备包括至少一个处理器和存储器。处理器可以执行存储器中存储的应用程序来执行第二方面所述的实现访问网络的认证方法。
进一步地,该用户设备还包括通信模块、至少一个通信总线和天线。该用户设备还包括其他功能性的构件,比如:电池模组、有线/无线充电结构等。通信总线用于实现这些组件之间的连接通信。通信模块可以用于通信。天线用于接收和发送信号。处理器通过通信总线与各个模块和部件通信。
第七方面,提供了一种实现访问网络的认证系统,包括认证设备和用户设备,认证设备为第三方面所述的认证设备,用户设备为第四方面所述的用户设备。
第八方面,提供了一种实现访问网络的认证系统,包括认证设备和用户设备,认证设备为第五方面所述的认证设备,用户设备为第六方面所述的用户设备。
第九方面,提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当该计算机可读存储介质在计算机上运行时,使得计算机执行上述第一方面所提供的实现访问网络的认证方法。
第十方面,提供了一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行上述第一方面所提供的实现访问网络的认证方法。
第十一方面,提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当该计算机可读存储介质在计算机上运行时,使得计算机执行上述第二方面所提供的实现访问网络的认证方法。
第十二方面,提供了一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行上述第二方面所提供的实现访问网络的认证方法。
上述第三方面、第五方面、第九方面和第十方面所获得的技术效果与第一方面中对应的技术手段所获得的技术效果近似,上述第四方面、第六方面、第十一方面和第十二方面所获得的技术效果与第二方面中对应的技术手段所获得的技术效果近似,在这里不再赘述。
本申请实施例提供的技术方案带来的有益效果是:
用户设备能够根据目标用户的生物特征数据获得第一数据,并向认证设备发送包括第一数据的认证应答消息。之后,认证设备从服务器获取第二数据,第二数据为服务器基于用户的生物特征数据获得的数据。当第一数据与第二数据相同时,认证设备生成指示信息,并向用户设备发送该指示信息,该指示信息用于指示用户设备认证成功。相较于相关技术,用户设备和认证设备之间采用生物特征数据实现访问网络的认证,并进行通信,无需进行复杂的密码设置操作,简化了实现访问网络的认证过程,提高了网络易用性和安全性。
附图说明
图1是本申请各个实施例所涉及的一种实施环境的示意图;
图2-1是本申请实施例提供的一种实现访问网络的认证方法的流程图;
图2-2是本申请实施例提供的一种获得第一数据的流程图;
图2-3是本申请实施例提供的一种获取第二数据的流程图;
图3是本申请实施例提供的另一种实现访问网络的认证方法的流程图;
图4是本申请实施例提供的又一种实现访问网络的认证方法的流程图;
图5-1是本申请实施例提供的一种认证设备的结构示意图;
图5-2是本申请实施例提供的一种第一获取模块的结构示意图;
图5-3是本申请实施例提供的又一种认证设备的结构示意图;
图6-1是本申请实施例提供的一种用户设备的结构示意图;
图6-2是本申请实施例提供的一种获取模块的结构示意图;
图7是本申请实施例提供的一种认证设备的结构示意图;
图8是本申请实施例提供的一种用户设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
通常地,家庭网络常采用WIFI(如802.11)、可见光通信(Visible LightCommunications,VLC)(如802.15.7)等技术进行无线互联上网。该过程中,用户设备采用密码执行认证操作。用户设备采用密码执行认证操作时,常常存在如下问题:1、无线设备,如WIFI接入点(Access Point,AP),或用户驻地设备(Customer Premises Equipment,CPE)的稳定性较差,常常会出现故障。出现故障后,无线设备或用户驻地设备需要复位重启。以无线设备为例,无线设备每次复位重启时,用户需要重新设置家中所有用户终端的密码。在物联网(Internet of Things,IoT)时代,家中的用户终端数量和种类很多,每次手工设置所有用户终端的密码的操作较繁琐,易用性较差。2、手工设置密码对用户的网络技能的要求较高,家中缺乏网络技能和知识的用户无法完成复杂和繁琐的密码设置过程。3、密码由于其本身的非随机性和特定的长度,容易被攻击者破解。4、出于安全性考虑,能够访问网络的用户名和密码通常与家庭网络与运营商设备通信的有线线路端口绑定,用户终端较难实现自动漫游。
通常地,公共无线网络,如公共WIFI(public WIFI),常采用WIFI,如802.11,或蜂窝移动网络,如码分多址(Code Division Multiple Access,CDMA)、长期演进(Long TermEvolution、LTE)、第五代(Fifth Generation,5G)等技术进行无线互联上网。该过程中,用户设备采用密码执行认证操作。用户设备采用密码执行认证操作时,常常存在如下问题:1、以手机为例,用户需要输入手机号码,再输入手机验证码,过程较繁琐,易用性较差,整个过程需要运营商提供短信验证码服务。2、对于缺乏网络技能和知识的用户会放弃采用公共无线网络来访问网络,而采用手机客户识别模块(Subscriber Identity Module,SIM)卡支持的移动数据,提高了访问网络的成本。3、在地广人稀的乡村,公共无线网络的建设难度较大,所以路人需要使用家庭WIFI(home WIFI)上网。但由于家庭WIFI都设置有密码,路人无法事先获得密码,所以最终路人无法正常使用家庭WIFI。
为了解决家庭网络和公共无线网络中,基于密码的认证方式存在认证过程较复杂,网络易用性较差,安全性较差,用户体验较差等问题,本申请实施例提供了一种基于用户的生物特征数据实现访问网络的认证方法。该生物特征数据可以包括表示用户身份的数据,表示用户身体状态的数据和表示用户所处环境的数据中的一种或多种。其中,表示用户身份的数据可以包括表示面部特征的数据、表示虹膜特征的数据、表示指纹特征的数据、表示体形特征的数据、表示毛细血管特征的数据及表示语音特征的数据中的一个或多个。表示用户身体状态的数据可以为表示身体健康状态的数据和表示运动状态的数据中的一个或多个。表示身体健康状态的数据也称生理数据,如呼吸频率、心率、体温及血压等。表示运动状态的数据可以为用户的移动速度,包括行走速度及跑步速度等。表示用户所处环境的数据可以为表示用户所处位置的数据。本申请中的运动状态还可以用于指示肢体动作及面部动作。本申请对生物特征数据的类型和内容不做限定。
本申请提供的实施例中,用户设备认证成功后,用户设备和认证设备将生物特征数据作为通信凭证进行通信。对于家庭网络来说,本申请实施例提供的方法,无需用户多次设置家中所有用户终端的密码;生物特征数据具有唯一性,其复杂度也远高于密码的复杂度,不易被攻击者破解;无需用户记住密码;用户终端能够实现自动漫游或游牧。自动漫游指的是用户终端移动至归属地网络之外,通过拜访地网络获得网络服务。游牧指的是用户利用相同或不同的用户终端,在不同的接入点获得网络服务。对于公共无线网络来说,本申请实施例提供的方法,无需用户输入手机号码和手机验证码,无需运营商提供短信验证码服务,简化了访问网络的过程;当用户在国外出差时,手机无需获取手机验证码即可连接至公共无线网络;基于生物特征数据的实现访问网络的认证方法为家庭WIFI的开放提供了良好的技术基础,使得家庭WIFI的开放成为可能。基于生物特征数据的通信方式能够有效对抗穷举攻击。穷举攻击是攻击者依次试用密钥空间中的密钥逐个对截获的密文进行脱密测试,从而找出正确密钥的一种攻击方式。部分生物特征数据,比如表示面部特征的数据、表示体形特征的数据和表示语音特征的数据,具有自然性和不被被测个体察觉的特点,所以网络易用性和用户体验都较好。基于生物特征数据的认证方法简化了实现访问网络的认证过程,提高了网络易用性、安全性和用户体验。
其中,生物特征数据的自然性指的是:基于生物特征数据识别用户身份的方式与人类(甚至其他生物)进行身份识别时所采用的方式相同。举例说明,人类可以通过观察比较面部来区分确认人的身份,或者,通过观察体形来区分确认人的身份,或者,通过听取语音来区分确认人的身份。生物特征数据的不被被测个体察觉的特点指的是:基于生物特征数据识别用户身份不令人反感,识别过程不容易引起人的注意,所以用户体验较好。举例说明,基于表示面部特征的数据识别用户身份时,仅需利用可见光获取人脸图像,而目前的智能手机都配置有摄像头,所以通过摄像头很容易获取到人脸图像。
请参考图1,其示出了本申请各个实施例所涉及的一种实施环境的示意图。该实施环境可以包括用户设备01、认证设备02和设置有数据库的服务器03。
其中,用户设备01可以为用户终端、家庭网关(如WIFI AP)、接入网关(如企业网关)或IoT网关等电子设备。用户终端可以为手机、电脑、游戏机、车载设备、自动贩卖机、机器人、医疗设备或可穿戴设备等。
认证设备02可以为设置在CPE(如家庭网关或企业网关)、接入节点(Access Node,AN)、互联网协议(Internet Protocol,IP)边缘(Edge)设备、电缆调制解调局端系统(CableModem Termination System,CMTS)、有线电视融合接入技术平台(Converged CableAccess Platform,CCAP)等网络设备(或服务器)内部的设备。认证设备02可以成为这些网络设备(或服务器)的部分或者全部。其中,AN可以为光路终结点(Optical LineTermination,OLT)、光网络模块(Optical Network Unit,ONU)或数字用户线接入复用器(Digital Subscriber Line Access Multiplexer,DSLAM)等。IP边缘设备可以为宽带接入服务器(Broadband Access Server,BRAS)或宽带网络网关(Broadband Network Gateway,BNG)。认证设备02可以具备网关设备所具备的功能。
设置有数据库的服务器03可以是一台服务器,或者由若干台服务器组成的服务器集群,或者是一个云计算服务中心。设置有数据库的服务器03存储有用户的生物特征数据。
举例说明,用户设备01采用WIFI技术访问网络时,向认证设备02发送认证应答消息,认证设备02向用户设备01发送认证结果。当用户设备01认证成功时,用户设备01和认证设备02分别获取通信密钥,并基于通信密钥进行通信。
当认证设备02不具备网关设备所具备的功能时,进一步的,该实施环境还可以包括家庭网关、接入网关(如企业网关)、IoT网关、接入设备或IP边缘设备等网关设备。当用户设备认证成功时,用户设备01和认证设备02分别获取通信密钥,认证设备02可以将通信密钥发送至网关设备,用户设备01和网关设备基于通信密钥进行通信。举例说明,用户设备01为第一IoT网关,网关设备为第二IoT网关,第二IoT网关为第一IoT网关的上级设备。认证设备02将通信密钥发送至第二IoT网关,第一IoT网关和第二IoT网关基于通信密钥进行通信。
图2-1是本申请实施例提供的一种实现访问网络的认证方法的流程图,该方法可以用于图1所示的实施环境。如图2-1所示,该方法可以包括:
步骤201、用户设备根据目标用户的生物特征数据获得第一数据。
目标用户为具有网络访问需求的用户。第一数据是用户设备根据对目标用户的生物特征进行预处理后的数据获得的数据。第一数据用于判断目标用户的用户设备是否认证成功。在本申请实施例中,目标用户可以为某一个用户(即个体用户),也可以为某一类用户。不同个体用户的生物特征数据不同,不同类用户的生物特征数据不同。举例说明,当目标用户为用户A时,用户A的生物特征数据与用户B的生物特征数据不同,比如,表示用户A的面部特征的数据与表示用户B的面部特征的数据不同。当目标用户为F1类用户时,F1类用户的生物特征数据和F2类用户的生物特征数据不同。比如,表示位于商场之内的一类用户所处位置的数据与表示位于商场之外的一类用户所处位置的数据不同。
举例说明,如图2-2所示,步骤201可以包括:
步骤2011、用户设备采集目标用户的生物特征数据。
举例说明,当生物特征数据为表示面部特征的数据时,用户设备可以通过摄像头获取目标用户的生物特征数据;当生物特征数据为表示指纹特征的数据时,用户设备可以通过指纹压力传感器获取目标用户的生物特征数据;当生物特征数据为表示虹膜特征的数据时,用户设备可以通过红外线虹膜图像采集器获取目标用户的生物特征数据;当生物特征数据为表示语音特征的数据时,用户设备可以通过麦克风获取目标用户的生物特征数据;当生物特征数据为表示用户所处位置的数据时,用户设备可以通过全球定位系统(Global Positioning System,GPS)定位仪获取目标用户的生物特征数据;当生物特征数据为体温数据时,用户设备可以通过温度计获取目标用户的生物特征数据。该生物特征数据还可以为其他随时间和空间变化的数据。
举例说明,生物特征数据的类型可以包括图像、视频、音频和文本中一种或多种。比如,当生物特征数据为表示面部特征的数据时,生物特征数据的类型可以为图像;当生物特征数据为表示语音特征的数据时,生物特征数据的类型可以为音频;当生物特征数据为表示肢体动作(比如摇头动作、伸展手臂动作)的数据时,生物特征数据的类型可以为视频或图像。当生物特征数据为表示面部动作(比如眨眼动作)的数据时,生物特征数据的类型可以为视频。当生物特征数据为表示肢体动作的数据或表示面部动作的数据时,用户设备可以通过语音或文字等方式提示目标用户做出相应动作,然后用户设备基于目标用户做出的动作来采集目标用户的生物特征数据。
举例说明,当生物特征数据的类型包括多种类型时,可以将图像、视频和音频三种类型的生物特征数据作为识别用户身份的主要数据,将其余类型的生物特征数据作为识别用户身份的辅助数据。
步骤2012、用户设备根据目标用户的生物特征数据获得目标数据。
该目标数据为对目标用户的生物特征进行预处理后的数据。
用户设备对步骤2011中采集的目标用户的生物特征数据进行预处理,过滤掉与目标用户的生物特征数据不相关的数据,得到目标数据。比如,用户设备获取目标用户的人脸图像,然后过滤掉人脸图像的背景信息。用户设备过滤掉与目标用户的语音片段无关的语音片段。举例说明,用户设备可以基于人脸图像计算出特征编码值或尺度不变特征变换(Scale-invariant feature transform,SIFT)特征。用户设备可以基于语音片段解析出音频签名、地点、时间、声调或响度。举例说明,用户设备可以从采集的人脸图像中基于眼、鼻及嘴来提取出目标数据,用户设备将不包括眼、鼻及嘴的信息确定为与目标用户的生物特征数据无关的信息。又如,用户设备可以从目标用户的语音片段中提取出位于100Hz(赫兹)到1000Hz频率范围内的声音的数据,并将提取出来的声音的数据作为目标数据,同时将低于100Hz的声音的数据和高于1000Hz的声音的数据滤除掉。另外,实际应用中,目标用户的声音不会是固定的一个频率,所以,用户设备可以将位于100Hz到1000Hz频率范围内但是固定频率的声音的数据滤除掉。
需要补充说明的是,在本申请实施例中,可以通过触发条件来触发用户设备获得目标数据。举例说明,当用户设备开机时,用户设备可以被触发根据表示目标用户的面部特征的数据或表示语音特征的数据获得目标数据。当目标用户启动安装于用户设备上的认证程序时,用户设备可以被触发根据表示目标用户的面部特征的数据或表示语音特征的数据获得目标数据。当用户设备进入某一区域(比如某一别墅所在区域或某一商场所在区域)时,用户设备可以被触发根据表示目标用户所处位置的数据获得目标数据。在生物特征数据为表示目标用户所处位置的数据的情况下,该目标数据可以包括某一区域的基准位置(比如某一别墅所在区域的中心位置)和该目标用户所处位置距离该基准位置的偏移量。当目标用户的体温超过预设值,或者,目标用户的心率高于预设值,或者,目标用户的血压高于预设值时,或者,目标用户的呼吸频率低于预设值时,用户设备可以被触发根据目标用户的生理数据获得目标数据。在生物特征数据为目标用户的生理数据的情况下,该目标数据可以包括基准值和实际值偏离该基准值的偏移量。举例说明,当目标用户的体温超过预设值(比如39.5度),达到40.5度时,用户设备被触发根据目标用户的体温数据获得目标数据,该目标数据包括39.5度和1度。其中,39.5度为基准值,1度为实际值偏离该基准值的偏移量。
步骤2013、用户设备向认证设备发送认证请求消息。
该认证请求消息用于请求认证设备发送随机数据。
在一种实现方式中,认证请求消息可以携带于可扩展身份验证协议(ExtensibleAuthentication Protocol,EAP)消息中或动态主机配置协议(Dynamic HostConfiguration Protocol,DHCP)消息中。相关技术中,认证请求消息用于指示用户设备请求执行认证操作,认证请求消息包括指示用户设备的设备标识,认证设备基于该设备标识区分不同的用户设备。举例说明,该设备标识可以为用户设备被分配的介质访问控制(Media Access Control,MAC)地址或IP地址。
步骤2014、认证设备获取随机数据。
为了对抗重放攻击,认证设备获取随机数据,以便于认证设备基于该随机数据得到第二数据。同时,认证设备可以将该随机数据发送至用户设备,以便于用户设备采用该随机数据将目标数据转换为第一数据。该随机数据为随机产生的数据,该随机数据可以是认证设备随机产生的,也可以是其他设备随机产生后发送给认证设备的。
步骤2015、认证设备向用户设备发送随机数据。
用户设备每次执行认证操作时,接收到认证设备发送的随机数据不同,所以攻击者无法通过监听的上一次信息来完成认证过程。
步骤2016、用户设备将目标数据转换为第一数据。
用户设备将步骤2012中的目标数据转换为第一数据。举例说明,用户设备可以将目标数据作为第一数据,此时,第一数据为目标数据。用户设备也可以按照某一规则或算法将目标数据转换为第一数据。比如,用户设备采用哈希函数将目标数据转换为第一数据,或者,采用转子机(Rotor Machines)加密方式将目标数据转换为第一数据。逆向破解哈希函数比较困难,用户设备采用哈希函数能够有效对抗网络侦听攻击,达到目标数据不明文传输的目的。其中,哈希函数可以为消息摘要算法第五版(Message-Digest Algorithm 5,MD5)、安全散列算法(Secure Hash Algorithm-1,SHA-1)、RACE原始完整性校验消息摘要(RACE Integrity Primitives Evaluation Message Digest-160,RIPEMD-160)算法、哈希运算消息认证码(Hash-based Message Authentication Code,HMAC)算法等。其中,RIPEMD-160是一个160位加密哈希函数。转子机加密方式用于对待转换数据进行移位运算。
当用户设备采用哈希函数转换目标数据时,在一种实现方式中,用户设备可以采用哈希函数对目标数据和随机数据进行计算,得到第一数据。在另一种实现方式中,用户设备可以对目标数据进行哈希运算,得到第一数据。这样,认证设备无需获得随机数据且将随机数据发送给用户设备。
当用户设备采用转子机加密方式转换目标数据时,在第一实现方式中,用户设备可以采用转子机加密方式对目标数据和随机数据的叠加结果进行移位运算,得到第一数据。在另一种实现方式中,用户设备可以采用转子机加密方式对目标数据进行移位运算,得到第一数据。这样,认证设备无需获得随机数据且将随机数据发送给用户设备。
步骤202、用户设备向认证设备发送认证应答消息,该认证应答消息包括第一数据。
步骤203、认证设备从服务器获取第二数据。
该第二数据为服务器基于用户的生物特征数据获得的数据。
举例说明,如图2-3所示,步骤203可以包括:
步骤2031、认证设备向设置有数据库的服务器发送检索请求消息。
认证设备向设置有数据库的服务器发送检索请求消息,该检索请求消息用于指示设置有数据库的服务器从数据集中获取第三数据,并向认证设备发送该第三数据。
步骤2032、设置有数据库的服务器基于检索请求消息从数据集中获取第三数据。
步骤2033、设置有数据库的服务器向认证设备发送第三数据。
设置有数据库的服务器预先存储有包括n个数据的数据集,n≥1,该n个数据均是基于用户的生物特征数据确定的数据。为了得到该数据集,可以通过采集设备事先采集用户的生物特征数据,举例说明,可以通过采集设备采集不同个体用户的生物特征数据,或者,采集不同类用户的生物特征数据。比如,当用户进行上网注册时,可以通过采集设备采集用户的生物特征数据,或者,当用户前往运营商营业厅(或相应网站)进行开户时,可以通过采集设备采集用户的生物特征数据。其中,数据集中的数据的获取方法可参见201中目标数据的获取方法,在此不再举例说明。数据集包括的数据可以是人脸的多个对象的特征数据,比如眼睛的生物特征数据、眉毛的生物特征数据、嘴巴的生物特征数据及耳朵的生物特征数据等。数据集包括的数据还可以是面部的拓扑结构几何关系、面部的特殊特征(如黑痣、疤痕)数据等。
步骤2034、认证设备将第三数据转换为第二数据。
举例说明,认证设备可以将第三数据作为第二数据,此时,第二数据为第三数据。用户设备也可以按照某一规则或算法将第三数据转换为第二数据。比如,用户设备采用哈希函数将第三数据转换为第二数据,或者,采用转子机加密方式将第三数据转换为第二数据。认证设备将第三数据转换为第二数据的转换方式与步骤2016中用户设备将目标数据转换为第一数据的转换方式相同。进一步的,当认证设备执行了步骤2014,也即认证设备获取到随机数据时,认证设备可以采用哈希函数对第三数据和随机数据进行计算,得到第二数据。其中,认证设备与用户设备采用相同的哈希函数或者相匹配的哈希函数,以便根据相同的数据和哈希函数计算获得的结果相同。认证设备也可以采用转子机加密方式对第三数据和随机数据的叠加结果进行移位运算,得到第二数据。其中,认证设备和用户设备采用相同的移位规则,以便执行相同的移位运算获得的结果相同。
步骤204、当第一数据与第二数据相同时,认证设备生成指示信息,该指示信息用于指示用户设备认证成功。
步骤205、认证设备向用户设备发送指示信息。
认证设备得到第一数据和第二数据后,对第一数据和第二数据进行比较。举例说明,数据集包括5个数据:Da、Db、Dc、Dd和De,认证设备将数据Da转换为第二数据。认证设备将第二数据与第一数据进行比较,假设第一数据为Dx,认证设备确定第二数据与第一数据Dx不同,那么认证设备可以向设置有数据库的服务器发送响应消息,设置有数据库的服务器基于该响应消息再次从数据集中获取数据Db,并向认证设备发送数据Db。之后,认证设备将数据Db转换为第二数据,认证设备将第二数据与第一数据Dx进行比较,确定第二数据与第一数据Dx相同,此时,认证设备生成指示信息,并向用户设备发送该指示信息。该过程可以通过大数据技术完成。
为了提高认证效率和用户体验,步骤202中的认证应答消息还可以包括索引信息,索引信息用于设置有数据库的服务器从数据集中查找第三数据。步骤2031中的检索请求消息包括该索引信息。在步骤2032中,设置有数据库的服务器可以基于检索请求消息中的索引信息从数据集中检索得到第三数据。设置有数据库的服务器存储有索引信息和第三数据的对应关系。其中,索引信息可以为用户标识,该用户标识用于标识目标用户或用户设备。该用户标识可以是目标用户的用户名。该用户标识还可以是用户设备的唯一编码、用户设备被分配的MAC地址、用户设备被分配的IP地址。设置有数据库的服务器中存储的数据集中每个数据可以携带有用户标识。比如,将目标用户的用户名作为表示面部特征的数据的索引值,设置有数据库的服务器基于该用户名能够快速检索到表示目标用户的面部特征的数据。将目标用户的GPS位置数据作为表示面部特征的数据的索引值,设置有数据库的服务器基于该GPS位置数据能够快速检索到相应位置的表示面部特征的数据。
举例说明,用户设备可通过外部输入的方式获取用户标识,比如,目标用户可以采用手动输入、语音输入等方式输入用户标识。用户设备可读取静态配置的用户标识。其中,用户设备向认证设备发送的认证应答消息可携带用户标识。可选地,用户标识也可以携带于步骤2013中的认证请求消息中。
步骤206、认证设备获取通信凭证。
举例说明,认证设备可以将设置有数据库的服务器发送的第三数据转换为通信凭证。认证设备也可以将设置有数据库的服务器发送的第三数据作为通信凭证。该通信凭证可以为通信密码或通信密钥。
步骤207、用户设备获取通信凭证。
举例说明,用户设备可以将步骤2012中的目标数据转换为通信凭证。用户设备也可以将目标数据作为通信凭证。其中,用户设备转换目标数据的转换方式与认证设备转换第三数据的转换方式可以相同,也可以不相同。
当用户设备转换目标数据的转换方式与认证设备转换第三数据的转换方式相同时,用户设备与认证设备得到的通信凭证相同,该过程适用于对称密钥加密场景。举例说明,当用户设备向认证设备发送数据之前,用户设备采用通信密钥对数据进行加密,再将加密后的数据发送至认证设备,认证设备接收到该加密后的数据,再采用相同的通信密钥对该加密后的数据进行解密。
当用户设备转换目标数据的转换方式与认证设备转换第三数据的转换方式不同时,用户设备与认证设备得到的通信凭证不相同,该过程适用于非对称密钥加密场景。此时,用户设备得到用户公钥,认证设备得到用户私钥。具体的,用户设备向认证设备发送数据之前,用户设备先采用用户公钥对数据进行加密,再将加密后的数据发送至认证设备。认证设备接收到该加密后的数据,再采用用户私钥对该加密后的数据进行解密。其中,用户设备可以采用RSA算法或椭圆曲线转换目标数据,得到用户公钥。认证设备可以采用RSA算法或椭圆曲线转换第三数据,得到用户私钥。
步骤208、认证设备基于通信凭证与用户设备进行通信。
在本申请实施例中,当认证设备不具备网关设备所具备的功能时,认证设备获取到通信凭证后,还可以将通信凭证发送至家庭网关、接入网关(如企业网关)、IoT网关、接入设备或IP边缘设备等网关设备,使得用户设备与网关设备基于通信凭证进行通信。举例说明,用户设备为第一家庭网关,网关设备为第二家庭网关,第二家庭网关为第一家庭网关的上级设备。认证设备将通信密钥发送至第二家庭网关,第一家庭网关和第二家庭网关基于通信密钥进行通信。
举例说明,采用本申请实施例提供的实现访问网络的认证方法,当目标用户的体温超过预设值(比如39.5度),达到40.5度时,用户设备被触发根据目标用户的体温数据获得目标数据,该目标数据包括39.5度和1度,其中,39.5度为基准值,1度为实际值偏离该基准值的偏移量。用户设备将该目标数据作为第一数据,用户设备向认证设备发送包括该第一数据的认证应答消息,认证设备从服务器获取第二数据,当第一数据与第二数据相同时,用户设备认证成功,用户设备连接至家庭网络,并向医院的终端发送提示信息,使得医院能够及时派医生来救治发高烧的病人。
本申请实施例提供的实现访问网络的认证方法,用户设备和认证设备之间采用生物特征数据实现访问网络的认证,无需进行复杂的密码设置操作,简化了实现访问网络的认证过程,提高了网络易用性和安全性。
图3是本申请实施例提供的一种实现访问网络的认证方法的流程图,该方法可以用于图1所示的实施环境。如图3所示,该方法可以包括:
步骤301、用户设备采集目标用户的生物特征数据。
步骤301的具体方法可参见步骤2011中的方法。
步骤302、用户设备从目标用户的生物特征数据中提取出第一特征向量。
该第一特征向量即为步骤2012中的目标数据的一种具体的数据形式。
举例说明,用户设备获取目标用户的人脸图像,并从人脸图像中提取出第一特征向量,该第一特征向量用C表示,其中,m和s均为正整数。该第一特征向量可以包括人脸的多个对象的生物特征数据,比如眼睛的生物特征数据、眉毛的生物特征数据、嘴巴的生物特征数据及耳朵的生物特征数据等。
举例说明,用户设备可被触发条件触发,以提取第一特征向量。具体的触发条件可参见图2-1对应的实施例中的相应内容。
步骤303、用户设备向认证设备发送认证请求消息。
该认证请求消息用于请求认证设备发送随机向量。
在一种实现方式中,认证请求消息可以携带于EAP消息或DHCP消息中。
步骤304、认证设备获取随机向量。
本申请实施例将该随机向量记做R,表示为:
其中,m和s均为正整数,rms为随机数。该随机向量R用于对抗重放攻击。
步骤305、认证设备向用户设备发送随机向量。
用户设备每次执行认证操作时,接收到认证设备发送的随机向量不完全相同,所以攻击者无法通过监听的上一次信息来完成认证过程。
步骤306、用户设备将第一特征向量转换为第一数据。
本申请实施例中的第一数据为第二特征向量,即第二特征向量为第一数据的一种具体的数据形式。第二特征向量可表示为D。
一方面,用户设备可以采用哈希函数对第一特征向量和随机向量进行计算,得到第二特征向量D。该第二特征向量D=H[C+R]。其中,H为一组Hash函数向量。采用哈希函数能够有效对抗网络侦听攻击。H可表示为:
其中,m和s均为正整数,hms为哈希函数。H中的所有hms可以是相同的哈希函数,也可以是不同的哈希函数。户设备采用的哈希函数与步骤311中认证设备采用的哈希函数相同。
第二特征向量可表示为:
在一种实现方式中,用户设备也可以直接对第一特征向量进行哈希运算,得到第二特征向量,即D=H[C]。
步骤307、用户设备向认证设备发送认证应答消息,该认证应答消息包括第一数据。
步骤307的具体方法可参见步骤202中的相应内容。本申请实施例中的第一数据为步骤306中的第一特征向量。
步骤308、认证设备向设置有数据库的服务器发送检索请求消息。
设置有数据库的服务器预先存储有包括n个特征向量的数据集,n≥1。每个特征向量是基于用户的生物特征数据确定的。每个特征向量可以携带有用户标识。n个特征向量与图2-1对应的实施例中n个数据的获取方法相同,在此不再赘述。n个特征向量可是通过提取用户的生物特征数据获得的特征向量。特征向量记做E,可表示为:
其中,n和t均为正整数,n等于m,t等于s。特征向量E可以指示用户的一种生物特征数据,也可以指示用户的多种生物特征数据。
步骤307中的认证应答消息还包括索引信息。索引信息的含义和功能与图2-1对应的实施例中的索引信息相同,在此不再赘述。
步骤309、设置有数据库的服务器基于检索请求消息中的索引信息从数据集中检索得到第三数据。
该索引信息与第三数据对应。本申请实施例的第三数据为第四特征向量,第四特征向量表示为E。
步骤310、设置有数据库的服务器向认证设备发送第三数据。
步骤311、认证设备将第三数据转换为第二数据。
本申请实施例的第二数据为第三特征向量,第三特征向量表示为F。认证设备采用与步骤306中相同的哈希函数对第四特征向量和随机向量进行计算,得到第三特征向量。第三特征向量F=H[E+R],其中,H[]为一组Hash函数向量。
其中,n和t均为正整数,n等于m,t等于s。
hnt为哈希函数。H中的所有hnt可以是相同的哈希函数,也可以是不同的哈希函数。认证设备采用的哈希函数与步骤306中用户设备采用的哈希函数相同,也即是,认证设备采用的hms与用户设备采用的hnt相同即可。第三特征向量可表示为:
在一种实现方式中,如果步骤306中,用户设备直接对第一特征向量进行哈希运算以获得第一数据,则认证设备可对第四特征向量进行哈希运算以获得第二数据。
步骤312、当第一数据与第二数据相同时,认证设备生成指示信息。
该指示信息用于指示用户设备认证成功。其中,第二特征向量与第三特征向量相同指的是:hms(cms+rms)=hnt(ent+rnt)。
步骤313、认证设备向用户设备发送指示信息。
步骤314、认证设备获取通信凭证。
步骤315、用户设备获取通信凭证。
认证设备和用户获取的通信凭证可以为通信密码或通信密钥。
在一种实现方式中,认证设备按照第一转换方式将第四特征向量转换为通信凭证,用户设备按照该第一转换方式将第一特征向量转换为通信凭证。也即是,用户设备转换第一特征向量的转换方式与认证设备转换第四特征向量的转换方式相同,该过程适用于对称密钥加密场景。
其中,
举例说明,第一转换方式可以为以下几种方式:1、用户设备可以将第一特征向量C中的第i(1≤i≤m)行第j(1≤j≤s)列的元素cij作为通信密钥,认证设备也将第四特征向量E中的第i行第j列的元素eij作为通信密钥。2、用户设备可以将第一特征向量C中的所有元素的和作为通信密钥,认证设备将第四特征向量E中的所有元素的和作为通信密钥。3、用户设备可以将第一特征向量C中的c11的第0位数据(第一特征向量C中每个元素包括至少一位数据),c22的第2位数据,c33的第3位数据,……,cms的第m位数据组成的m个数据作为通信密钥,认证设备将第四特征向量E中的e11的第0位数据(第四特征向量E中每个元素包括至少一位数据),e22的第2位数据,e33的第3位数据,……,ent的第n位数据组成的n个数据作为通信密钥。
或者,当生物特征数据为生理数据时,第一特征向量C包括基准值和实际值偏离该基准值的偏移量,第四特征向量E包括基准值和实际值偏离该基准值的偏移量,那么用户设备和认证设备可以将基准值作为通信密钥。用户设备和认证设备也可以对基准值进行同一运算,得到通信密钥。举例说明,用户设备和认证设备给基准值叠加一个值,或者,用户设备和认证设备对基准值进行移位运算,比如,原基准值为011,被左移一位之后得到110。
在一种实现方式中,认证设备按照第一转换方式将第四特征向量转换为通信凭证,用户设备按照第二转换方式将第一特征向量转换为通信凭证。第二转换方式与第一转换方式不同。也即是,用户设备转换第一特征向量的转换方式与认证设备转换第四特征向量的转换方式不同,该过程适用于非对称密钥加密系统,具体可参见图2-1对应的实施例的相应内容。
步骤316、认证设备基于通信凭证与用户设备进行通信。
在本申请实施例中,当认证设备不具备网关设备所具备的功能时,认证设备获取到通信凭证后,还可以将通信凭证发送至家庭网关、接入网关(如企业网关)、IoT网关、接入设备或IP边缘设备等网关设备,使得用户设备与网关设备基于通信凭证进行通信。
图4是本申请实施例提供的一种实现访问网络的认证方法的流程图,该方法可以用于图1所示的实施环境。如图4所示,该方法可以包括:
步骤401、用户设备采集目标用户的生物特征数据。
步骤402、用户设备从目标用户的生物特征数据中提取出第一特征向量。
步骤401-步骤402可参见步骤301-步骤302的相应内容。
步骤403、用户设备将第一特征向量转换为第一特征码。
举例说明,第一特征码即为步骤2012中的目标数据。第一特征码为一个值。举例说明,用户设备可以将第一特征向量中的所有元素相加得到第一特征码,也可以对第一特征向量中的所有元素进行其他类型运算得到第一特征码。或者,用户设备可以通过RSA算法将第一特征向量转换为第一特征码。
步骤404、用户设备向认证设备发送认证请求消息。
该认证请求消息用于请求认证设备发送随机码。
在一种实现方式中,认证请求消息可以携带于EAP消息或DHCP消息中。
步骤405、认证设备获取随机码。
步骤406、认证设备向用户设备发送随机码。
用户设备每次执行认证操作时,接收到认证设备发送的随机码不同,所以攻击者无法通过监听的上一次信息来完成认证过程。
步骤407、用户设备将第一特征码转换为第一数据。
本申请实施例的第一数据为第二特征码。在一种实现方式中,用户设备可以采用哈希函数对第一特征码和步骤405中的随机码进行计算,得到第二特征码。具体可以参考步骤306。在另一种实现方式中,用户设备可以直接对第一特征码进行哈希运算,得到第二特征码。
步骤408、用户设备向认证设备发送认证应答消息,该认证应答消息包括第一数据。
可选地,认证应答消息还包括索引信息。索引信息与图2-1对应的实施例中的索引信息相同。
步骤409、认证设备向设置有数据库的服务器发送检索请求消息。
设置有数据库的服务器预先存储有n个特征码,每个特征码是设置有数据库的服务器按照将特征向量进行转换后得到的,转换方式与步骤403中用户设备按照将第一特征向量转换为第一特征码的转换方式相同,在此不再赘述。每个特征码是一个值,每个特征码可以携带有用户标识。为了得到n个特征码,可以在用户进行上网注册、用户前往运营商营业厅(或相应网站)进行开户时,通过采集设备采集用户的生物特征数据。具体可以参考步骤308的相关说明。
如果认证应答消息包括索引信息,则检索请求消息包括该索引信息。
步骤410、设置有数据库的服务器基于检索请求消息中的索引信息从数据集中检索得到第三数据。
索引信息与第三数据对应。本申请实施例的第三数据为第四特征码。
步骤411、设置有数据库的服务器向认证设备发送第三数据。
步骤412、认证设备将第三数据转换为第二数据。
本申请实施例的第二数据为第三特征码。认证设备按照将第四特征码转换为第三特征码。认证设备采用与步骤407中相同的哈希函数(或者相匹配的哈希函数)对第四特征码和步骤405中的随机码进行计算,得到第三特征码。步骤412的具体过程可以参考步骤311。
可选地,在步骤407中,如果用户设备对第一特征码进行哈希运算以获得第二特征码,则在本步骤中,认证设备对第四特征码进行哈希运算以获得第三特征码。
步骤413、当第一数据与第二数据相同时,认证设备生成指示信息。
该指示信息用于指示用户设备认证成功。
步骤414、认证设备向用户设备发送指示信息。
步骤415、认证设备获取通信凭证。
举例说明,认证设备可以直接将步骤403中的第一特征码作为通信凭证。
步骤416、用户设备获取通信凭证。
举例说明,用户设备可以直接将步骤410中的第四特征码作为通信凭证。
认证设备和用户设备所采用的通信凭证可以为通信密码或通信密钥。
步骤417、认证设备基于通信凭证与用户设备进行通信。
在本申请实施例中,当认证设备不具备网关设备所具备的功能时,认证设备获取到通信凭证后,还可以将通信凭证发送至家庭网关、接入网关(如企业网关)、IoT网关、接入设备或IP边缘设备等网关设备,使得用户设备与网关设备基于通信凭证进行通信。
下述为本申请的装置实施例,可以用于执行本申请方法实施例。对于本申请装置实施例中未披露的细节,请参照本申请方法实施例。
图5-1是本申请实施例提供的一种认证设备500的结构示意图,该认证设备可以应用于图1所示的实施环境中的认证设备。如图5-1所示,该认证设备500包括:
第一接收模块510,用于接收用户设备发送的认证应答消息,该认证应答消息包括第一数据,第一数据是用户设备根据目标用户的生物特征数据获得的数据。
第一获取模块520,用于实现上述实施例中的步骤203,以及上述方法实施例中其他明示或隐含的获取第二数据的功能。
生成模块530,用于实现上述实施例中的步骤204、步骤312或步骤413。
第一发送模块540,用于实现上述实施例中的步骤205、步骤313或步骤414。
可选地,认证应答消息还包括索引信息,相应的,如图5-2所示,第一获取模块520,包括:
发送子模块521,用于实现上述实施例中的步骤2031、步骤308或步骤409。
接收子模块522,用于接收设置有数据库的服务器发送的第三数据,第三数据是设置有数据库的服务器根据索引信息获取的存储的用户的生物特征数据。
转换子模块523,用于实现上述实施例中的步骤2033,以及上述方法实施例中其他明示或隐含的转换第三数据的功能。
进一步的,如图5-3所示,该认证设备500还可以包括:
第二接收模块550,用于接收用户设备发送的认证请求消息,认证请求消息用于请求认证设备发送随机数据。
第二获取模块560,用于实现上述实施例中的步骤2014、步骤304或步骤405。
第二发送模块570,用于实现上述实施例中的步骤2015、步骤305或步骤406。
转换子模块523,用于:
采用哈希函数对第三数据和随机数据进行计算,得到第二数据。
图5-3中的其他标记含义可以参考图5-1。
可选地,第一数据为第一特征向量,第二数据为第三数据,第三数据为第二特征向量,第一特征向量为用户设备基于目标用户的生物特征数据获得的特征向量,第二特征向量为服务器基于用户的生物特征数据获得的特征向量;
或者,第一数据为第一特征码,第二数据为第三数据,第三数据为第二特征码,第一特征码是用户设备对第一特征向量进行转换后获得的特征码,第一特征向量是用户设备基于目标用户的生物特征数据获得的特征向量,第二特征码是服务器对第二特征向量进行转换后获得的特征码,第二特征向量为服务器基于用户的生物特征数据获得的特征向量。
可选地,第一数据为第二特征向量,第二数据为第三特征向量,第三数据为第四特征向量,随机数据为随机向量,第二特征向量为采用哈希函数对第一特征向量和随机向量进行计算后获得的特征向量,第一特征向量为用户设备基于目标用户的生物特征数据获得的特征向量,第四特征向量为服务器基于用户的生物特征数据获得的特征向量;
或者,第一数据为第二特征码,第二数据为第三特征码,第三数据为第四特征码,随机数据为随机码,第二特征码是采用哈希函数对第一特征码和随机码进行计算获得的特征码,第一特征码是用户设备对第一特征向量进行转换后获得的特征码,第一特征向量是用户设备基于目标用户的生物特征数据获得的特征向量,第四特征码是服务器对第二特征向量进行转换后获得的特征码,第二特征向量为服务器基于用户的生物特征数据获得的特征向量。
本申请实施例提供的认证设备基于生物特征数据来对用户设备进行认证,无需进行复杂的密码设置操作,简化了实现访问网络的认证过程,提高了网络易用性和安全性。
图6-1是本申请实施例提供的一种用户设备600的结构示意图,该设备可以应用于图1所示的实施环境中的用户设备。如图6-1所示,该用户设备600包括:
获取模块610,用于实现上述实施例中的步骤201,以及上述方法实施例中其他明示或隐含的获得第一数据的功能。
发送模块620,用于实现上述实施例中的步骤202、步骤307或步骤408。
接收模块630,用于接收认证设备发送的指示信息,指示信息用于指示用户设备认证成功。
可选地,如图6-2所示,获取模块610,包括:
采集子模块611,用于实现上述实施例中的步骤2011、步骤301或步骤401。
获取子模块612,用于实现上述实施例中的步骤2012,以及上述方法实施例中其他明示或隐含的获得目标数据的功能。
转换子模块613,用于实现上述实施例中的步骤2016,以及上述方法实施例中其他明示或隐含的转换目标数据的功能。
进一步的,如图6-2所示,获取模块610还可以包括:
发送子模块614,用于实现上述实施例中的步骤2013、步骤303或步骤404。
接收子模块615,用于接收认证设备发送的随机数据。
转换子模块613,用于:采用哈希函数对目标数据和随机数据进行计算,得到第一数据。
可选地,第一数据为目标数据,目标数据为第一特征向量,第一特征向量为用户设备基于目标用户的生物特征数据获得的特征向量;
或者,第一数据为目标数据,目标数据为第一特征码,第一特征码是用户设备对第一特征向量进行转换后获得的特征码,第一特征向量是用户设备基于目标用户的生物特征数据获得的特征向量。
可选地,第一数据为第二特征向量,目标数据为第一特征向量,随机数据为随机向量,第一特征向量是用户设备基于目标用户的生物特征数据获得的特征向量;
或者,第一数据为第二特征码,目标数据为第一特征码,第一特征码是用户设备对第一特征向量进行转换后获得的特征码,第一特征向量是用户设备基于目标用户的生物特征数据获得的特征向量。
图7是本申请实施例提供的一种认证设备700的结构示意图,该认证设备可以应用于图1所示的实施环境中的认证设备。图7中所示出的各个部件可以在包括一个或多个信号处理和/或专用集成电路在内的硬件、软件、或硬件和软件的组合中实现。现以图7所示的认证设备为例进行具体的说明,如图7所示,该认证设备700包括:处理器701(如中央处理器(Central Processing Unit,CPU))、存储器702、网络接口703和总线704。其中,总线704用于连接处理器701、存储器702和网络接口703。存储器702可能包含随机存取存储器(RandomAccess Memory,RAM),也可能包含非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过网络接口703(可以是有线或者无线)实现认证设备与用户设备之间的通信连接。存储器702中存储有程序7021,该程序7021用于实现各种应用功能,处理器701用于执行存储器702中存储的程序7021来配合实现图2-1、图3或图4所示的实现访问网络的认证方法。
本申请实施例提供的认证设备通过上述各个执行模块的配合来实现图5-1或5-3所示的装置实施例中认证设备完成的各项功能。如上文中图5-1中的第一接收模块510,可以由网络接口703实现;图5-1中的生成模块530,可以由处理器701执行存储器702中存储的程序7021来实现。
图8是本申请实施例提供的一种用户设备800的结构示意图,该设备可以应用于图1所示的实施环境中的用户设备。应该理解的是,该用户设备可以具有比图8中所示的更多的或者更少的部件,可以组合两个或更多的部件,或者可以具有不同的部件配置。图8中所示出的各个部件可以在包括一个或多个信号处理和/或专用集成电路在内的硬件、软件、或硬件和软件的组合中实现。现以图8所示的用户设备为例进行具体的说明,如图8所示,该用户设备800包括至少一个处理器1601、存储器1602、通信模块1603和通信总线1604。可选地,该用户设备800还包括天线1605。该用户设备还包括其他功能性的构件,比如:电池模组、有线/无线充电结构等。通信总线1604用于实现这些组件之间的连接通信。存储器1602可能包含非易失性固态存储器和/或动力学的非易失性存储设备,如闪速存储器、可转动的磁盘驱动器。通信模块1603可以用于通信,通信模块1603可以是通信接口。天线1605用于收发无线信号。天线1605可以和通信模块1603配合,以实现WIFI、CDMA、4G技术、5G技术等信号的收发。
具体的,存储器1602包含操作系统16021和应用程序16022,操作系统16021包含各种操作系统程序,用于实现基于硬件的各项操作;应用程序16022包含各种应用程序,用于实现各种应用功能,比如第一数据确定程序,第一数据确定程序能够使用户设备根据目标用户的生物特征数据获得第一数据。处理器1601通过通信总线1604与各个模块和部件通信,处理器1601可以执行存储器1602中存储的应用程序来配合实现图2-1、图3或图4所示的实现访问网络的认证方法。
本申请实施例提供的用户设备通过上述各个执行模块的配合来实现图6-1所示的装置实施例中用户设备完成的各项功能。如上文中图6-1中的获取模块610,可以是处理器1601执行存储器1602中存储的应用程序来实现;图6-1中的发送模块620和接收模块630可以由通信模块1603和天线1605来实现。
本申请实施例还提供了一种上网认证系统,包括认证设备和用户设备,其中,认证设备为图5-1或图5-3所示的认证设备;用户设备为图6-1所示的用户设备。
本申请实施例还提供了一种上网认证系统,包括认证设备和用户设备,其中,认证设备为图7所示的认证设备;用户设备为图8所示的用户设备。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,设备和模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现,所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机的可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质,或者半导体介质(例如固态硬盘)等。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。以上所述仅为本申请的可选实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (20)

1.一种实现访问网络的认证方法,其特征在于,应用于认证设备,所述方法包括:
接收用户设备发送的认证应答消息,所述认证应答消息包括第一数据,所述第一数据是所述用户设备根据目标用户的生物特征数据获得的数据;
从服务器获取第二数据,所述第二数据为所述服务器基于用户的生物特征数据获得的数据;
当所述第一数据与所述第二数据相同时,生成指示信息,所述指示信息用于指示所述用户设备认证成功;
向所述用户设备发送所述指示信息。
2.根据权利要求1所述的方法,其特征在于,所述认证应答消息还包括索引信息,所述从服务器获取第二数据包括:
向所述服务器发送检索请求消息,所述检索请求消息包括所述索引信息;
接收所述服务器发送的第三数据,所述第三数据是所述服务器根据所述索引信息获取的存储的用户的生物特征数据;
将所述第三数据转换为所述第二数据。
3.根据权利要求2所述的方法,其特征在于,在所述接收用户设备发送的认证应答消息之前,所述方法还包括:
接收所述用户设备发送的认证请求消息,所述认证请求消息用于请求所述认证设备发送随机数据;
获取所述随机数据;
向所述用户设备发送所述随机数据;
所述将所述第三数据转换为所述第二数据包括:
采用哈希函数对所述第三数据和所述随机数据进行计算,获得所述第二数据。
4.根据权利要求2所述的方法,其特征在于,所述第一数据为第一特征向量,所述第二数据为所述第三数据,所述第三数据为第二特征向量,所述第一特征向量为所述用户设备基于所述目标用户的生物特征数据获得的特征向量,所述第二特征向量为所述服务器基于所述用户的生物特征数据获得的特征向量;
或者,所述第一数据为第一特征码,所述第二数据为所述第三数据,所述第三数据为第二特征码,所述第一特征码是所述用户设备对第一特征向量进行转换后获得的特征码,所述第一特征向量是所述用户设备基于所述目标用户的生物特征数据获得的特征向量,所述第二特征码是所述服务器对第二特征向量进行转换后获得的特征码,所述第二特征向量为所述服务器基于所述用户的生物特征数据获得的特征向量。
5.根据权利要求3所述的方法,其特征在于,所述第一数据为第二特征向量,所述第二数据为第三特征向量,所述第三数据为第四特征向量,所述随机数据为随机向量,所述第二特征向量为采用哈希函数对第一特征向量和所述随机向量进行计算后获得的特征向量,所述第一特征向量为所述用户设备基于所述目标用户的生物特征数据获得的特征向量,所述第四特征向量为所述服务器基于所述用户的生物特征数据获得的特征向量;
或者,所述第一数据为第二特征码,所述第二数据为第三特征码,所述第三数据为第四特征码,所述随机数据为随机码,所述第二特征码是采用哈希函数对第一特征码和所述随机码进行计算获得的特征码,所述第一特征码是所述用户设备对第一特征向量进行转换后获得的特征码,所述第一特征向量是所述用户设备基于所述目标用户的生物特征数据获得的特征向量,所述第四特征码是所述服务器对第二特征向量进行转换后获得的特征码,所述第二特征向量为所述服务器基于所述用户的生物特征数据获得的特征向量。
6.一种实现访问网络的认证方法,其特征在于,应用于用户设备,所述方法包括:
根据目标用户的生物特征数据获得第一数据,所述第一数据是所述用户设备根据对所述目标用户的生物特征进行预处理后的数据获得的数据;
向认证设备发送认证应答消息,所述认证应答消息包括所述第一数据;
接收所述认证设备发送的指示信息,所述指示信息用于指示所述用户设备认证成功。
7.根据权利要求6所述的方法,其特征在于,所述根据目标用户的生物特征数据获得第一数据,包括:
采集所述目标用户的生物特征数据;
根据所述目标用户的生物特征数据获得目标数据,所述目标数据为对所述目标用户的生物特征进行预处理后的数据;
将所述目标数据转换为所述第一数据。
8.根据权利要求7所述的方法,其特征在于,在所述将所述目标数据转换为所述第一数据之前,所述方法还包括:
向所述认证设备发送认证请求消息,所述认证请求消息用于请求所述认证设备发送随机数据;
接收所述认证设备发送的所述随机数据;
所述将所述目标数据转换为所述第一数据,包括:
采用哈希函数对所述目标数据和所述随机数据进行计算,得到所述第一数据。
9.根据权利要求7所述的方法,其特征在于,所述第一数据为所述目标数据,所述目标数据为第一特征向量,所述第一特征向量为所述用户设备基于所述目标用户的生物特征数据获得的特征向量;
或者,所述第一数据为所述目标数据,所述目标数据为第一特征码,所述第一特征码是所述用户设备对第一特征向量进行转换后获得的特征码,所述第一特征向量是所述用户设备基于所述目标用户的生物特征数据获得的特征向量。
10.根据权利要求8所述的方法,其特征在于,所述第一数据为第二特征向量,所述目标数据为第一特征向量,所述随机数据为随机向量,所述第一特征向量是所述用户设备基于所述目标用户的生物特征数据获得的特征向量;
或者,所述第一数据为第二特征码,所述目标数据为第一特征码,所述第一特征码是所述用户设备对第一特征向量进行转换后获得的特征码,所述第一特征向量是所述用户设备基于所述目标用户的生物特征数据获得的特征向量。
11.一种认证设备,其特征在于,所述认证设备包括:
第一接收模块,用于接收用户设备发送的认证应答消息,所述认证应答消息包括第一数据,所述第一数据是所述用户设备根据目标用户的生物特征数据获得的数据;
第一获取模块,用于从服务器获取第二数据,所述第二数据为所述服务器基于用户的生物特征数据获得的数据;
生成模块,用于当所述第一数据与所述第二数据相同时,生成指示信息,所述指示信息用于指示所述用户设备认证成功;
第一发送模块,用于向所述用户设备发送所述指示信息。
12.根据权利要求11所述的认证设备,其特征在于,所述认证应答消息还包括索引信息,所述第一获取模块,包括:
发送子模块,用于向所述服务器发送检索请求消息,所述检索请求消息包括所述索引信息;
接收子模块,用于接收所述服务器发送的第三数据,所述第三数据是所述服务器根据所述索引信息获取的存储的用户的生物特征数据;
转换子模块,用于将所述第三数据转换为所述第二数据。
13.根据权利要求12所述的认证设备,其特征在于,所述认证设备还包括:
第二接收模块,用于接收所述用户设备发送的认证请求消息,所述认证请求消息用于请求所述认证设备发送随机数据;
第二获取模块,用于获取所述随机数据;
第二发送模块,用于向所述用户设备发送所述随机数据;
所述转换子模块,用于:
采用哈希函数对所述第三数据和所述随机数据进行计算,得到所述第二数据。
14.根据权利要求12所述的认证设备,其特征在于,所述第一数据为第一特征向量,所述第二数据为所述第三数据,所述第三数据为第二特征向量,所述第一特征向量为所述用户设备基于所述目标用户的生物特征数据获得的特征向量,所述第二特征向量为所述服务器基于所述用户的生物特征数据获得的特征向量;
或者,所述第一数据为第一特征码,所述第二数据为所述第三数据,所述第三数据为第二特征码,所述第一特征码是所述用户设备对第一特征向量进行转换后获得的特征码,所述第一特征向量是所述用户设备基于所述目标用户的生物特征数据获得的特征向量,所述第二特征码是所述服务器对第二特征向量进行转换后获得的特征码,所述第二特征向量为所述服务器基于所述用户的生物特征数据获得的特征向量。
15.根据权利要求13所述的认证设备,其特征在于,所述第一数据为第二特征向量,所述第二数据为第三特征向量,所述第三数据为第四特征向量,所述随机数据为随机向量,所述第二特征向量为采用哈希函数对第一特征向量和所述随机向量进行计算后获得的特征向量,所述第一特征向量为所述用户设备基于所述目标用户的生物特征数据获得的特征向量,所述第四特征向量为所述服务器基于所述用户的生物特征数据获得的特征向量;
或者,所述第一数据为第二特征码,所述第二数据为第三特征码,所述第三数据为第四特征码,所述随机数据为随机码,所述第二特征码是采用哈希函数对第一特征码和所述随机码进行计算获得的特征码,所述第一特征码是所述用户设备对第一特征向量进行转换后获得的特征码,所述第一特征向量是所述用户设备基于所述目标用户的生物特征数据获得的特征向量,所述第四特征码是所述服务器对第二特征向量进行转换后获得的特征码,所述第二特征向量为所述服务器基于所述用户的生物特征数据获得的特征向量。
16.一种用户设备,其特征在于,所述用户设备包括:
获取模块,用于根据目标用户的生物特征数据获得第一数据,所述第一数据是所述用户设备根据对所述目标用户的生物特征进行预处理后的数据获得的数据;
发送模块,用于向认证设备发送认证应答消息,所述认证应答消息包括所述第一数据;
接收模块,用于接收所述认证设备发送的指示信息,所述指示信息用于指示所述用户设备认证成功。
17.根据权利要求16所述的用户设备,其特征在于,所述获取模块,包括:
采集子模块,用于采集所述目标用户的生物特征数据;
获取子模块,用于根据所述目标用户的生物特征数据获得目标数据,所述目标数据为对所述目标用户的生物特征进行预处理后的数据;
转换子模块,用于将所述目标数据转换为所述第一数据。
18.根据权利要求17所述的用户设备,其特征在于,所述获取模块还包括:
发送子模块,用于向所述认证设备发送认证请求消息,所述认证请求消息用于请求所述认证设备发送随机数据;
接收子模块,用于接收所述认证设备发送的所述随机数据;
所述转换子模块,用于:
采用哈希函数对所述目标数据和所述随机数据进行计算,得到所述第一数据。
19.根据权利要求17所述的用户设备,其特征在于,所述第一数据为所述目标数据,所述目标数据为第一特征向量,所述第一特征向量为所述用户设备基于所述目标用户的生物特征数据获得的特征向量;
或者,所述第一数据为所述目标数据,所述目标数据为第一特征码,所述第一特征码是所述用户设备对第一特征向量进行转换后获得的特征码,所述第一特征向量是所述用户设备基于所述目标用户的生物特征数据获得的特征向量。
20.根据权利要求18所述的用户设备,其特征在于,所述第一数据为第二特征向量,所述目标数据为第一特征向量,所述随机数据为随机向量,所述第一特征向量是所述用户设备基于所述目标用户的生物特征数据获得的特征向量;
或者,所述第一数据为第二特征码,所述目标数据为第一特征码,所述第一特征码是所述用户设备对第一特征向量进行转换后获得的特征码,所述第一特征向量是所述用户设备基于所述目标用户的生物特征数据获得的特征向量。
CN201710289715.7A 2017-04-27 2017-04-27 一种实现访问网络的认证方法、认证设备及用户设备 Active CN108810891B (zh)

Priority Applications (5)

Application Number Priority Date Filing Date Title
CN201710289715.7A CN108810891B (zh) 2017-04-27 2017-04-27 一种实现访问网络的认证方法、认证设备及用户设备
CN202110540511.2A CN113411805A (zh) 2017-04-27 2017-04-27 一种实现访问网络的认证方法、认证设备及用户设备
PCT/CN2018/084789 WO2018196841A1 (zh) 2017-04-27 2018-04-27 一种实现访问网络的认证方法、认证设备及用户设备
EP18790253.1A EP3595258B1 (en) 2017-04-27 2018-04-27 Authentication method for realising access network, authentication device and user equipment
US16/598,472 US11240666B2 (en) 2017-04-27 2019-10-10 Authentication method for accessing network, authentication device, and user device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710289715.7A CN108810891B (zh) 2017-04-27 2017-04-27 一种实现访问网络的认证方法、认证设备及用户设备

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN202110540511.2A Division CN113411805A (zh) 2017-04-27 2017-04-27 一种实现访问网络的认证方法、认证设备及用户设备

Publications (2)

Publication Number Publication Date
CN108810891A true CN108810891A (zh) 2018-11-13
CN108810891B CN108810891B (zh) 2021-05-18

Family

ID=63919489

Family Applications (2)

Application Number Title Priority Date Filing Date
CN202110540511.2A Pending CN113411805A (zh) 2017-04-27 2017-04-27 一种实现访问网络的认证方法、认证设备及用户设备
CN201710289715.7A Active CN108810891B (zh) 2017-04-27 2017-04-27 一种实现访问网络的认证方法、认证设备及用户设备

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN202110540511.2A Pending CN113411805A (zh) 2017-04-27 2017-04-27 一种实现访问网络的认证方法、认证设备及用户设备

Country Status (4)

Country Link
US (1) US11240666B2 (zh)
EP (1) EP3595258B1 (zh)
CN (2) CN113411805A (zh)
WO (1) WO2018196841A1 (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109861820A (zh) * 2019-02-18 2019-06-07 吉林大学珠海学院 基于随机散列和位运算的加密解密方法和装置
CN109981249A (zh) * 2019-02-19 2019-07-05 吉林大学珠海学院 基于拉链式动态散列和nlfsr的加密解密方法及装置
CN110474921B (zh) * 2019-08-28 2020-06-26 中国石油大学(北京) 一种面向局域物联网的感知层数据保真方法
CN111753170A (zh) * 2020-07-04 2020-10-09 广州智云尚大数据科技有限公司 一种大数据快速检索系统及方法
CN111818034A (zh) * 2020-06-30 2020-10-23 中国工商银行股份有限公司 网络访问控制方法、装置、电子设备和介质
CN112104657A (zh) * 2020-09-17 2020-12-18 中国建设银行股份有限公司 信息校验方法和装置
CN112507982A (zh) * 2021-02-02 2021-03-16 成都东方天呈智能科技有限公司 一种人脸特征码的跨模型转换系统及方法

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114095221A (zh) * 2021-11-11 2022-02-25 合肥移瑞通信技术有限公司 安全验证方法、装置、设备及存储介质
US20230308467A1 (en) * 2022-03-24 2023-09-28 At&T Intellectual Property I, L.P. Home Gateway Monitoring for Vulnerable Home Internet of Things Devices
CN114499899B (zh) * 2022-04-15 2022-09-09 阿里云计算有限公司 身份校验系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7194632B2 (en) * 2000-06-23 2007-03-20 France Telecom Method for secure biometric authentication/identification, biometric data input module and verification module
CN101005359A (zh) * 2006-01-18 2007-07-25 华为技术有限公司 一种实现终端设备间安全通信的方法及装置
US20070239991A1 (en) * 2006-04-10 2007-10-11 Mitac International Corporation Fingerprint authentication method for accessing wireless network systems
CN102111418A (zh) * 2011-03-02 2011-06-29 北京工业大学 一种基于人脸特征密钥生成的网上身份认证方法
CN102306305A (zh) * 2011-07-06 2012-01-04 北京航空航天大学 一种基于生物特征水印的安全身份认证方法
CN104954329A (zh) * 2014-03-27 2015-09-30 阿里巴巴集团控股有限公司 一种生物特征信息的处理方法及装置
CN104954328A (zh) * 2014-03-27 2015-09-30 阿里巴巴集团控股有限公司 一种在线注册和认证的方法及装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001043338A1 (en) * 1999-12-09 2001-06-14 Milinx Business Group Inc. Method and apparatus for secure e-commerce transactions
JP2006155196A (ja) * 2004-11-29 2006-06-15 Intelligentdisc Inc ネットワークアクセスシステム、方法及び記憶媒体
US8369580B2 (en) * 2007-09-11 2013-02-05 Priv Id B.V. Method for transforming a feature vector
US9342832B2 (en) * 2010-08-12 2016-05-17 Visa International Service Association Securing external systems with account token substitution
US8694642B2 (en) * 2010-10-21 2014-04-08 Opendns, Inc. Selective proxying in domain name systems
US9754258B2 (en) * 2013-06-17 2017-09-05 Visa International Service Association Speech transaction processing

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7194632B2 (en) * 2000-06-23 2007-03-20 France Telecom Method for secure biometric authentication/identification, biometric data input module and verification module
CN101005359A (zh) * 2006-01-18 2007-07-25 华为技术有限公司 一种实现终端设备间安全通信的方法及装置
US20070239991A1 (en) * 2006-04-10 2007-10-11 Mitac International Corporation Fingerprint authentication method for accessing wireless network systems
CN102111418A (zh) * 2011-03-02 2011-06-29 北京工业大学 一种基于人脸特征密钥生成的网上身份认证方法
CN102306305A (zh) * 2011-07-06 2012-01-04 北京航空航天大学 一种基于生物特征水印的安全身份认证方法
CN104954329A (zh) * 2014-03-27 2015-09-30 阿里巴巴集团控股有限公司 一种生物特征信息的处理方法及装置
CN104954328A (zh) * 2014-03-27 2015-09-30 阿里巴巴集团控股有限公司 一种在线注册和认证的方法及装置

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109861820A (zh) * 2019-02-18 2019-06-07 吉林大学珠海学院 基于随机散列和位运算的加密解密方法和装置
CN109981249A (zh) * 2019-02-19 2019-07-05 吉林大学珠海学院 基于拉链式动态散列和nlfsr的加密解密方法及装置
CN110474921B (zh) * 2019-08-28 2020-06-26 中国石油大学(北京) 一种面向局域物联网的感知层数据保真方法
CN111818034A (zh) * 2020-06-30 2020-10-23 中国工商银行股份有限公司 网络访问控制方法、装置、电子设备和介质
CN111753170A (zh) * 2020-07-04 2020-10-09 广州智云尚大数据科技有限公司 一种大数据快速检索系统及方法
CN111753170B (zh) * 2020-07-04 2021-08-17 上海德吾信息科技有限公司 一种大数据快速检索系统及方法
CN112104657A (zh) * 2020-09-17 2020-12-18 中国建设银行股份有限公司 信息校验方法和装置
CN112104657B (zh) * 2020-09-17 2022-10-18 中国建设银行股份有限公司 信息校验方法和装置
CN112507982A (zh) * 2021-02-02 2021-03-16 成都东方天呈智能科技有限公司 一种人脸特征码的跨模型转换系统及方法

Also Published As

Publication number Publication date
WO2018196841A1 (zh) 2018-11-01
CN113411805A (zh) 2021-09-17
EP3595258B1 (en) 2022-05-11
US11240666B2 (en) 2022-02-01
EP3595258A1 (en) 2020-01-15
CN108810891B (zh) 2021-05-18
US20200045045A1 (en) 2020-02-06
EP3595258A4 (en) 2020-03-18

Similar Documents

Publication Publication Date Title
CN108810891B (zh) 一种实现访问网络的认证方法、认证设备及用户设备
US11323446B2 (en) Information processing device, information processing method, and mapping server
US20170093851A1 (en) Biometric authentication system
US11805118B2 (en) User authentication using tokens
US11792179B2 (en) Computer readable storage media for legacy integration and methods and systems for utilizing same
WO2017001972A1 (en) User friendly two factor authentication
US20180294965A1 (en) Apparatus, method and computer program product for authentication
KR20160123069A (ko) 단말의 통합 인증 방법 및 그 장치
US11968300B2 (en) Data extraction system, data extraction method, registration apparatus, and program
CN112733114B (zh) 一种面向智能家居的隐私保护人脸识别系统及方法
US20210344676A1 (en) Method and system for securing communications between a lead device and a secondary device
US11139962B2 (en) Method, chip, device and system for authenticating a set of at least two users
WO2019000421A1 (zh) 鉴权方法、鉴权设备和鉴权系统
US12063504B2 (en) Systems and methods for providing access to a wireless communication network based on radio frequency response information and context information
KR101607234B1 (ko) 사용자 인증 시스템 및 방법
CN118018185A (zh) 基于生物特征的网络配置方法、装置、设备及可读介质
US11971974B2 (en) Method and system for mapping a virtual smart card to a plurality of users
Moldamurat et al. Enhancing cryptographic protection, authentication, and authorization in cellular networks: a comprehensive research study.
EP3512229B1 (en) Network access authentication processing method and device
CN118118176A (zh) 一种能源区块链节点实名验证方法及装置
CN117676574A (zh) 一种b5g/6g接入授权自适应匹配方法及系统
CN114553413A (zh) 用于生物识别身份认证的接入认证和密钥派生方法及系统
Egner et al. Biometric identity management for standard mobile medical networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant