CN110213232A - 一种指纹特征和密钥双重验证方法和装置 - Google Patents
一种指纹特征和密钥双重验证方法和装置 Download PDFInfo
- Publication number
- CN110213232A CN110213232A CN201910346130.3A CN201910346130A CN110213232A CN 110213232 A CN110213232 A CN 110213232A CN 201910346130 A CN201910346130 A CN 201910346130A CN 110213232 A CN110213232 A CN 110213232A
- Authority
- CN
- China
- Prior art keywords
- environment
- static password
- user name
- key
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Power Engineering (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biodiversity & Conservation Biology (AREA)
- Collating Specific Patterns (AREA)
Abstract
本发明提供一种指纹特征和密钥双重验证方法和装置,该方法包括:注册步骤、认证步骤和验证步骤。本发明通过用户名、静态密码和指纹信息进行运算,解决了在不同环境之间进行认证存在安全隐患。
Description
技术领域
本发明涉及数据处理技术领域,尤其涉及一种指纹特征和密钥双重验证方 法和装置。
背景技术
随着人们对网络空间的依赖度越来越高,网络空间中信息交流和互动越来 越多,网络已经成为推动社会发展的重要工具,网络实体资源已经成为网络空 间的战略资源。在分布式环境中,各个地区、行业、部门为了方便管理用户, 设置相应的资源访问控制系统,形成相对独立的环境。然而单个独立的环境不 能提供完整的应用服务,用户访问其他环境资源时,需要在不同环境之间进行 认证。通常情况下,传统的认证主要是基于对称密钥体制和公钥密码体制。但 上述的体制认证效率不高,实际应用困难。另外,现有技术在不同环境中验证 身份时,也可以通过指纹来实现对身份的验证,然而如果指纹信息丢失,也会 造成信息泄露的问题。
发明内容
本发明的主要目的在于提供一种指纹特征和密钥双重验证方法和装置,旨 在解决现有网络中身份验证方式泄露,导致不安全的技术问题。
依据本申请实施例的一个方面,提供了一种指纹特征和密钥双重验证方 法,包括:注册步骤:在环境一中,用户在本地终端上输入用户名和静态密码, 然后通过指纹采集器采集指纹;终端使用模糊提取技术的随机密钥生成函数, 对输入的指纹特征模板进行处理,产生随机密钥和公开信息,将用户的静态密 码做哈希运算,然后将指纹特征模板和静态密码删除,用户终端将用户名、随 机密钥和哈希运算后的静态密码通过安全的信道发送到本地认证服务器;本地 认证服务器接收到上述信息后,检查该用户的身份ID是否已经存在,如果不存 在则可以注册该用户的信息,并打接收到的信息存储在数据库中;然后用户终 端将公开信息发送到服务器节点上组装成交易记录在数据库上。
认证步骤:用户终端向服务器节点查询数据库数据,得到公开信息,使用 模糊提取技术的恢复算法,恢复出随机密钥;对静态密码做哈希运算,将指纹 模板和静态密码删除,将用户名、恢复的随机密钥、哈希运算后的静态密码用 环境二中的认证服务器的公钥进行加密,将加密后的结果和用户名发送给环境 一中认证服务器;
环境一中的认证服务器根据用户名在数据库中查找随机密码和哈希运算 后的静态密码;生成动态指令,将该动态指令作为密钥进行对称加密,将加密 的结果以及根据用户名、恢复的随机密钥、哈希运算后的静态密码用环境二中 的认证服务器的公钥进行加密的结果发送给环境二中认证服务器;
验证步骤:环境二认证服务器收到上述信息后,使用私钥进行解密,得到 用户名、随机密钥和哈希后的随机密钥,通过动态指令对对称加密进行解密; 如果能够解密,则认证服务器验证验证注册步骤和认证步骤中产生的随机密钥 是否相同,如果相同,则认证成功,则向环境二认证服务器返回认证成功的消 息;如果不相同,则认证失败;如果无法解密,则验证失败。
依据本申请实施例的另一个方面,提供了一种指纹特征和密钥双重验证装 置,包括:注册模块:在环境一中,用户在本地终端上输入用户名和静态密码, 然后通过指纹采集器采集指纹;终端使用模糊提取技术的随机密钥生成函数, 对输入的指纹特征模板进行处理,产生随机密钥和公开信息,将用户的静态密 码做哈希运算,然后将指纹特征模板和静态密码删除,用户终端将用户名、随 机密钥和哈希运算后的静态密码通过安全的信道发送到本地认证服务器;本地 认证服务器接收到上述信息后,检查该用户的身份ID是否已经存在,如果不存 在则可以注册该用户的信息,并打接收到的信息存储在数据库中;然后用户终 端将公开信息发送到服务器节点上组装成交易记录在数据库上。
认证模块:用户终端向服务器节点查询数据库数据,得到公开信息,使用 模糊提取技术的恢复算法,恢复出随机密钥;对静态密码做哈希运算,将指纹 模板和静态密码删除,将用户名、恢复的随机密钥、哈希运算后的静态密码用 环境二中的认证服务器的公钥进行加密,将加密后的结果和用户名发送给环境 一中认证服务器;
环境一中的认证服务器根据用户名在数据库中查找随机密码和哈希运算 后的静态密码;生成动态指令,将该动态指令作为密钥进行对称加密,将加密 的结果以及根据用户名、恢复的随机密钥、哈希运算后的静态密码用环境二的 认证服务器的公钥进行加密的结果发送给环境二认证服务器;
验证模块:环境二认证服务器收到上述信息后,使用私钥进行解密,得到 用户名、随机密钥和哈希后的随机密钥,通过动态指令对对称加密进行解密; 如果能够解密,则认证服务器验证验证注册步骤和认证步骤中产生的随机密钥 是否相同,如果相同,则认证成功,则向环境二认证服务器返回认证成功的消 息;如果不相同,则认证失败;如果无法解密,则验证失败。
综上所述,本申请通过上述方法和装置,有益的效果在于实现了用户终端 和认证服务器的双向认证,实现了在不同环境中的认证。
上述说明仅是本申请实施例技术方案的概述,为了能够更清楚了解本申请 实施例的技术手段,而可依照说明书的内容予以实施,并且为了让本申请实施 例的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实 施方式。
附图说明
图1本发明一实施例提供的一种指纹特征和密钥双重验证方法的流程图
图2本发明一实施例提供的一种指纹特征和密钥双重验证装置的结构示意图
图3本发明一实施例提供的指纹特征和密钥双重验证系统结构图
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了 本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被 这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本 公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
在对等网络中,数据库节点之间可以互相通信,构成一个对等的网状结构, 以减少中心网络的开销;当一个数据库节点产生数据时,可以同时向对等网络 中的其它数据库节点发送广播,数据库节点也可以在其它任意数据库节点中查 询和获取数据。在数据库节点中,可以执行数据库业务逻辑,如执行交易验证、 共识计算等数据库的交易对应数据库账本内的一条条数据。本方案中的数据库 的交易由公开信息P及其相关信息组成。交易的数据结构包括用户标识、操作 标识、公开信息以及用户终端的签名。
当操作标识表示为用户注册时,用户终端的指纹特征采集器提取指纹特征 模板,公开信息,用户唯一标识、注册操作标识,以及签名信息发送给注册数 据库节点,注册数据库节点组装交易数据并附上交易号广播至数据库网络。
当用户查询时,用户终端向数据库网络的注册数据库节点发送用户唯一标 识、以及用户终端的签名,注册数据库节点根据用户唯一标识查询数据库得到 用户对应的公开信息,返回给用户终端。然后注册数据库节点组装交易并附上 交易号广播至数据库网络。
实施例一
图1是本申请实施例一提供的一种指纹特征和密钥双重验证方法。如图1 所示,该方法包括:
注册步骤:环境一中,用户在本地终端上输入用户名ID-A和静态密码PW-A, 然后通过指纹采集器采集指纹采样样本FP;终端使用模糊提取技术的随机密钥 生成函数Gen-A(),对输入的指纹特征FP进行处理,利用Gen-A()算法对于指纹 特征FP处理输出一个产生随机密码R-k和一个公开信息P-A,将用户的静态密 码PW-A做哈希运算得到结果y-a,y-a=H(R-k||PW-A),然后将指纹特征FP和静 态密码PW-A删除,用户终端将用户名ID-A、随机密钥R-k和静态密码哈希运算 后得到的结果y-a通过安全的信道发送到环境一中的认证服务器AUTH-A;
其中,
环境一中的认证服务器AUTH-A接收到上述信息后,检查该用户ID-A是否 已经存在,如果不存在则可以注册该用户的信息,并把接收到的信息存储在数 据库中;然后用户终端将公开信息发送到服务器节点上组装成交易记录在数据 库上。
认证步骤:在用户终端上输入用户名ID-A和静态密码PW-A’,并搜集得到 用户指纹信息FP’,用户终端向服务器节点查询数据库数据,得到公开信息P-A, 使用模糊提取技术的REP算法,恢复出随机密钥R-k’;对静态密码PW-A’做哈希 运算得到y-a’,y-a’=H(R-k’||PW-A’);将指纹特征FP’和静态密码PW-A’删除, 将用户名ID-A、恢复的随机密钥R-k’和静态密码哈希运算后的数值y-a’用环境二 中的认证服务器的公钥PK-B进行加密,将加密后的结果RB和用户名ID-A发送 给环境一中认证服务器AUTH-A;其中,加密算法可采用PBE(Password Base Encryption)加密算法来实现;
环境一中的认证服务器AUTH-A根据用户名ID-A在数据库中查找随机密码 R-k和静态密码哈希运算后的数值y-a;产生一个随机数x,计算离散对数M, M=gx,根据y-a生成动态指令d,d=Mxy-a,使用该动态指令d进行对称加密,将 加密的结、M以及根据用户名ID-A、恢复的随机密钥R-k’、y-a’用环境二的认 证服务器的公钥进行加密的结果RB发送给环境二认证服务器AUTH-B;
验证步骤:环境二认证服务器AUTH-B收到上述信息后,使用私钥对RB进 行解密,得到用户名ID-A、随机密钥R-k’和哈希后的静态密码y-a’,通过公式 d’=My-a’得到动态指令d’,并对RB进行解密;如果能够解密,则认证服务器 AUTH-B验证R-k和R-k’是否相同,如果相同,则认证成功,则向环境一中的终 端返回认证成功的消息;如果不相同,则认证失败;如果无法解密,则验证失 败。
优选的,加解密算法可采用DES、3DES、AES、Blowfish、IEDA、PBE等算法 实现。
优选的,在注册步骤中,在用户终端采集指纹特征FP、对指纹特征FP进 行MD5计算并将获取的指纹特征FP的Hash值传输至服务器,服务器接收指纹 特征FP的Hash值。根据存储的指纹特征的Hash值读取相对应的干扰字符串并 将干扰字符串传输至用户终端,在用户终端接收干扰字符串并根据指纹特征和 干扰字符串生成数据库私钥。
在认证步骤中,获取用户在用户终端录入的指纹特征,与私钥生成使用的 指纹特征一致。用户终端解密获取干扰字符串S’,若S’与已存储的S一致, 则利用MD5算法生成数据库私钥,进行交易,获取到得到公开信息P;否则进 行私钥恢复。
上述步骤中,通过在用户终端采集指纹特征并根据指纹特征和干扰字符串 生成数据库私钥;在服务器将指纹特征的Hash值和干扰字符串以相对应的形式 存储;在服务器接收指纹特征的Hash值、根据存储的指纹特征的Hash值读取 相对应的干扰字符串并将干扰字符串传输至用户终端,在用户终端接收干扰字 符串并根据指纹特征和干扰字符串生成数据库私钥,使得数据库私钥能够抵御 黑客攻击并且易于恢复。本发明实施例中指纹特征参与私钥生成,干扰字符串 加以扰乱,由于指纹特征具有唯一性等特征,由此保证去数据库私钥的安全性。
优选的,在用户向数据库注册的时,若注册数据库装置同意注册请求后, 注册数据库装置检测该装置中是否有新写入的区块数据;
优选的,注册数据库装置验证注册请求是否合法;该步骤中,具体可以由 注册数据库装置的数据库应用来执行。注册请求中包括协议版本、签名以及用 户名ID-A、静态密码PW-A、指纹FP、用户签名的具体内容等,并在注册请求 验证合法后,将注册数据库装置标识Id,注册数据库装置的类型Type以及上述 注册信息关联并存储;
优选的,验证注册请求;若验证通过,注册数据库装置可以通过共识机制, 同意该注册请求。具体的,注册数据库装置中的数据库应用可以选择数据库装 置中的任一数据库节点作为目标数据库节点,向该目标数据库节点发送注册提 议请求,由目标数据库节点向被注册数据库装置中的其他所有数据库节点发送 携带注册数据库装置标识的注册提议请求,并由被注册数据库装置的所有数据 库节点对注册数据库装置进行共识评分,得到注册数据库装置的最终评分;然 后由注册数据库装置中的数据库应用检测最终评分是否大于预设评分阈值;若 是,被注册数据库装置中的数据库应用确定同意注册数据库装置的注册请求。
优选的,若注册数据库装置同意注册请求后,并在注册数据库装置检测到 有新写入的区块数据时,注册数据库装置通过监听端对以及监听地址所形成的 安全信道,接收新写入的区块数据的消息;
优选的,注册数据库装置验证新写入的区块数据的用户名ID-A、随机密钥、 哈希运算后的静态密码是否正确;验证通过后,将接收到的新写入的区块数据 作为一个新的区块数据存储。
实施例二
图2是本申请实施例二提供的一种指纹特征和密钥双重验证装置的结构 图。如图2所示,该装置包括:
注册模块:环境一中,用户在本地终端上输入用户名ID-A和静态密码PW-A, 然后通过指纹采集器采集指纹采样样本FP;终端使用模糊提取技术的随机密钥 生成函数Gen-A(),对输入的指纹特征FP进行处理,利用Gen-A()算法对于指纹 特征FP处理输出一个产生随机密码R-k和一个公开信息P-A,将用户的静态密 码PW-A做哈希运算得到结果y-a,y-a=H(R-k||PW-A),然后将指纹特征FP和静 态密码PW-A删除,用户终端将用户名ID-A、随机密钥R-k和静态密码哈希运算 后得到的结果y-a通过安全的信道发送到环境一中的认证服务器AUTH-A;
环境一中的认证服务器AUTH-A接收到上述信息后,检查该用户ID-A是否 已经存在,如果不存在则可以注册该用户的信息,并把接收到的信息存储在数 据库中;然后用户终端将公开信息发送到服务器节点上组装成交易记录在数据 库上。
认证模块:在用户终端上输入用户名ID-A和静态密码PW-A’,并搜集得到 用户指纹信息FP’,用户终端向服务器节点查询数据库数据,得到公开信息P-A, 使用模糊提取技术的REP算法,恢复出随机密钥R-k’;对静态密码PW-A’做哈 希运算得到y-a’,将指纹特征FP’和静态密码PW-A’删除,将用户名ID-A、 恢复的随机密钥R-k’和静态密码哈希运算后的数值y-a’用环境二中的认证服 务器的公钥PK-B进行加密,将加密后的结果RB和用户名ID-A发送给环境一中 认证服务器AUTH-A;
环境一中的认证服务器AUTH-A根据用户名ID-A在数据库中查找随机密码 R-k和静态密码哈希运算后的数值y-a;产生一个随机数x,计算离散对数M, M=gx,根据y-a生成动态指令d,使用该动态指令d进行对称加密,将加密的 结果以及根据用户名ID-A、M、恢复的随机密钥R-k’、y-a’用环境二的认证服 务器的公钥进行加密的结果RB发送给环境二认证服务器AUTH-B;
验证模块:环境二认证服务器AUTH-B收到上述信息后,使用私钥对RB进 行解密,得到用户名ID-A、随机密钥R-k’和哈希后的静态密码y-a’,通过公式 d=My-a’得到动态指令d,并对RB进行解密;如果能够解密,则认证服务器 AUTH-B验证R-k和R-k’是否相同,如果相同,则认证成功,则向环境一中的 终端返回认证成功的消息;如果不相同,则认证失败;如果无法解密,则验证 失败。
优选的,在用户向数据库注册的时,若注册数据库装置同意注册请求后, 注册数据库装置检测该装置中是否有新写入的区块数据;
优选的,注册数据库装置验证注册请求是否合法;该步骤中,具体可以由 注册数据库装置的数据库应用来执行。注册请求中包括协议版本、签名以及用 户名ID-A、静态密码PW-A、指纹FP的具体内容等,并在注册请求验证合法后, 将注册数据库装置标识Id,注册数据库装置的类型Type以及上述注册信息关联 并存储;
优选的,验证注册请求;若验证通过,注册数据库装置可以通过共识机制, 同意该注册请求。具体的,注册数据库装置中的数据库应用可以选择数据库装 置中的任一数据库节点作为目标数据库节点,向该目标数据库节点发送注册提 议请求,由目标数据库节点向被注册数据库装置中的其他所有数据库节点发送 携带注册数据库装置标识的注册提议请求,并由被注册数据库装置的所有数据 库节点对注册数据库装置进行共识评分,得到注册数据库装置的最终评分;然 后由注册数据库装置中的数据库应用检测最终评分是否大于预设评分阈值;若 是,被注册数据库装置中的数据库应用确定同意注册数据库装置的注册请求。
优选的,若注册数据库装置同意注册请求后,并在注册数据库装置检测到 有新写入的区块数据时,注册数据库装置通过监听端对以及监听地址所形成的 安全信道,接收新写入的区块数据的消息;
优选的,注册数据库装置验证新写入的区块数据的用户名ID-A、随机密钥、 哈希运算后的静态密码是否正确;验证通过后,将接收到的新写入的区块数据 作为一个新的区块数据存储
综上,本申请实施例提供的一种基于数据库的身份认证装置及方法,能够 兼顾信息的安全性与高效性。
本发明实施例的第三个方面,提出了一种计算机程序产品,该计算机程序 产品包括存储在计算机可读存储介质上的计算程序,该计算机程序包括指令, 当该指令被计算机执行时,使该计算机执行上述任意方法实施例中的基于指纹 特征的数据库私钥使用方法与实现上述任意装置/系统实施例中的基于指纹特 征的数据库私钥使用装置/系统。所述计算机程序产品的实施例,可以达到与之 对应的前述任意方法与装置/系统实施例相同或者相类似的效果。
最后需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中 的全部或部分流程,可以通过计算机程序来指令相关硬件来完成,所述的程序 可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法 的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体 (Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。 所述计算机程序的实施例,可以达到与之对应的前述任意方法实施例相同或者 相类似的效果。
本领域技术人员还将明白的是,结合这里的公开所描述的各种示例性逻辑 块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。 为了清楚地说明硬件和软件的这种可互换性,已经就各种示意性组件、方块、 模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件 还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技 术人员可以针对每种具体应用以各种方式来实现所述的功能,但是这种实现决 定不应被解释为导致脱离本发明实施例公开的范围。
结合这里的公开所描述的各种示例性逻辑块、模块和电路可以利用被设计 成用于执行这里所述功能的下列部件来实现或执行:通用处理器、数字信号处 理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器 件、分立门或晶体管逻辑、分立的硬件组件或者这些部件的任何组合。通用处 理器可以是微处理器,但是可替换地,处理器可以是任何传统处理器、控制器、 微控制器或状态机。处理器也可以被实现为计算设备的组合,例如,DSP和微 处理器的组合、多个微处理器、一个或多个微处理器结合DSP和/或任何其它这 种配置。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的, 并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子;在本发 明实施例的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行 组合,并存在如上所述的本发明实施例的不同方面的许多其它变化,为了简明 它们没有在细节中提供。因此,凡在本发明实施例的精神和原则之内,所做的 任何省略、修改、等同替换、改进等,均应包含在本发明实施例的保护范围之 内。
Claims (10)
1.一种指纹特征和密钥双重验证方法,包括:
注册步骤:在环境一中获取用户名、静态密码和指纹信息,运算后发送给本地认证服务器进行认证并记录在数据库上,完成用户注册;
认证步骤:将在终端上获取的用户名、静态密码以及指纹信息向服务器节点查询数据库数据,恢复随机密钥,并利用环境二的认证服务器进行加密,然后将加密结果和用户名发给环境一中的认证服务器,环境一中的认证服务器根据用户名查找到随机密码和静态密码,根据静态密码生成动态指令并加密,然后将加密结果、用户名、静态密码和恢复随机密钥发送给环境二中的认证服务器;
验证步骤:环境二中的认证服务器对上述加密结果、用户名、静态密码和恢复随机密钥进行验证。
2.如权利要求1所述的方法,注册步骤中包括:终端使用模糊提取技术的随机密钥生成函数Gen-A(),对输入的指纹特征FPFP进行处理,产生随机密码R-k和公开信息P-A。
3.如权利要求2所述的方法,注册步骤中包括:将用户的静态密码PW-A做哈希运算得到结果y-a,然后将指纹特征FP和静态密码PW-A删除,用户终端将用户名ID-A、随机密钥R-k和哈希运算后的静态密码y-a通过安全的信道发送到本地认证服务器AUTH-A。
4.如权利要求3所述的方法,认证步骤包括在用户终端上输入用户名ID-A和静态密码PW-A’,并搜集得到用户指纹信息FP’,用户终端向服务器节点查询数据库数据,得到公开信息P-A,使用模糊提取技术的恢复算法,恢复出随机密钥R-k’,对静态密码做哈希运算得到y-a’,将指纹特征FP和静态密码PW-A’删除,将用户名ID-A、恢复的随机密钥R-k’、哈希运算后的静态密码y-a’用环境二中的认证服务器的公钥PK-B进行加密,将加密后的结果和用户名发送给环境一的认证服务器AUTH-A。
5.如权利要求4所述的方法,验证步骤包括:环境二的认证服务器AUTH-B收到上述信息后,使用私钥进行解密,得到用户名ID-A、随机密钥R-k’和哈希后的随机密钥y-a’,通过动态指令d对对称加密进行解密。
6.一种指纹特征和密钥双重验证装置,包括:
注册模块:用于在环境一中获取用户名、静态密码和指纹信息,运算后发送给本地认证服务器进行认证并记录在数据库上,完成用户注册;
认证模块:用于将在终端上获取的用户名、静态密码以及指纹信息向服务器节点查询数据库数据,恢复随机密钥,并利用环境二的认证服务器进行加密,然后将加密结果和用户名发给环境一种的认证服务器,环境一中的认证服务器根据用户名查找到随机密码和静态密码,根据静态密码生成动态指令并加密,然后将加密结果、用户名、静态密码和恢复随机密钥发送给环境二中的认证服务器;
验证模块:用于对环境二中的认证服务器进行验证。
7.如权利要求6所述的装置,注册模块中包括:终端使用模糊提取技术的随机密钥生成函数Gen-A(),对输入的指纹特征FP进行处理,产生随机密码R-k和公开信息P-A。
8.如权利要求7所述的装置,注册模块中包括将用户的静态密码PW-A做哈希运算得到结果y-a,然后将指纹特征FP和静态密码PW-A删除,用户终端将用户名ID-A、随机密钥R-k和哈希运算后的静态密码y-a通过安全的信道发送到本地认证服务器AUTH-A。
9.如权利要求8所述的装置,认证模块包括在用户终端上输入用户名ID-A和静态密码PW-A’,并搜集得到用户指纹信息FP’,用户终端向服务器节点查询数据库数据,得到公开信息P-A,使用模糊提取技术的恢复算法,恢复出随机密钥R-k’,对静态密码做哈希运算得到y-a’,将指纹模板Tem和静态密码PW-A’删除,将用户名ID-A、恢复的随机密钥R-k’、哈希运算后的静态密码y-a’用环境二中的认证服务器的公钥PK-B进行加密,将加密后的结果和用户名发送给环境一的认证服务器AUTH-A。
10.如权利要求9所述的装置,验证模块包括:环境二的认证服务器AUTH-B收到上述信息后,使用私钥进行解密,得到用户名ID-A、随机密钥R-k’和哈希后的随机密钥y-a’,通过动态指令d对对称加密进行解密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910346130.3A CN110213232B (zh) | 2019-04-26 | 2019-04-26 | 一种指纹特征和密钥双重验证方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910346130.3A CN110213232B (zh) | 2019-04-26 | 2019-04-26 | 一种指纹特征和密钥双重验证方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110213232A true CN110213232A (zh) | 2019-09-06 |
| CN110213232B CN110213232B (zh) | 2020-01-31 |
Family
ID=67786393
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910346130.3A Active CN110213232B (zh) | 2019-04-26 | 2019-04-26 | 一种指纹特征和密钥双重验证方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110213232B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111262702A (zh) * | 2020-01-13 | 2020-06-09 | 中国电子技术标准化研究院 | 基于国密算法和生物特征的双因子认证方法、装置和系统 |
| CN113920548A (zh) * | 2021-08-24 | 2022-01-11 | 杭州电子科技大学 | 一种基于指纹的可重用鲁棒模糊提取方法 |
| CN114547565A (zh) * | 2021-12-29 | 2022-05-27 | 中国长江电力股份有限公司 | 一种用于水电站监控系统的双因子认证登录方法及系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1744494A (zh) * | 2005-09-30 | 2006-03-08 | 广东省电信有限公司研究院 | 验证接入主机安全性的访问认证系统和方法 |
| CN101150407A (zh) * | 2007-10-25 | 2008-03-26 | 王松 | 基于指纹的网络身份验证方法 |
| CN101714918A (zh) * | 2009-10-23 | 2010-05-26 | 浙江维尔生物识别技术股份有限公司 | 一种登录vpn的安全系统以及登录vpn的安全方法 |
| CN101741561A (zh) * | 2008-11-17 | 2010-06-16 | 联想(北京)有限公司 | 双向硬件认证方法及系统 |
| US9009793B2 (en) * | 2011-03-31 | 2015-04-14 | Infosys Limited | Dynamic pin dual factor authentication using mobile device |
| CN106295290A (zh) * | 2015-06-26 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 基于指纹信息生成认证信息的方法、装置及系统 |
| CN109409895A (zh) * | 2018-09-29 | 2019-03-01 | 深圳先牛信息技术有限公司 | 一种融合虹膜识别和人脸识别的支付装置及支付方法 |
-
2019
- 2019-04-26 CN CN201910346130.3A patent/CN110213232B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1744494A (zh) * | 2005-09-30 | 2006-03-08 | 广东省电信有限公司研究院 | 验证接入主机安全性的访问认证系统和方法 |
| CN101150407A (zh) * | 2007-10-25 | 2008-03-26 | 王松 | 基于指纹的网络身份验证方法 |
| CN101741561A (zh) * | 2008-11-17 | 2010-06-16 | 联想(北京)有限公司 | 双向硬件认证方法及系统 |
| CN101714918A (zh) * | 2009-10-23 | 2010-05-26 | 浙江维尔生物识别技术股份有限公司 | 一种登录vpn的安全系统以及登录vpn的安全方法 |
| US9009793B2 (en) * | 2011-03-31 | 2015-04-14 | Infosys Limited | Dynamic pin dual factor authentication using mobile device |
| CN106295290A (zh) * | 2015-06-26 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 基于指纹信息生成认证信息的方法、装置及系统 |
| CN109409895A (zh) * | 2018-09-29 | 2019-03-01 | 深圳先牛信息技术有限公司 | 一种融合虹膜识别和人脸识别的支付装置及支付方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111262702A (zh) * | 2020-01-13 | 2020-06-09 | 中国电子技术标准化研究院 | 基于国密算法和生物特征的双因子认证方法、装置和系统 |
| CN113920548A (zh) * | 2021-08-24 | 2022-01-11 | 杭州电子科技大学 | 一种基于指纹的可重用鲁棒模糊提取方法 |
| CN114547565A (zh) * | 2021-12-29 | 2022-05-27 | 中国长江电力股份有限公司 | 一种用于水电站监控系统的双因子认证登录方法及系统 |
| CN114547565B (zh) * | 2021-12-29 | 2024-02-20 | 中国长江电力股份有限公司 | 一种用于水电站监控系统的双因子认证登录方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110213232B (zh) | 2020-01-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11855983B1 (en) | Biometric electronic signature authenticated key exchange token | |
| US10516538B2 (en) | System and method for digitally signing documents using biometric data in a blockchain or PKI | |
| US11005653B2 (en) | Integrated method and device for storing and sharing data | |
| US10680808B2 (en) | 1:N biometric authentication, encryption, signature system | |
| EP3701668B1 (en) | Methods for recording and sharing a digital identity of a user using distributed ledgers | |
| CN108696358B (zh) | 数字证书的管理方法、装置、可读存储介质及服务终端 | |
| JP4460763B2 (ja) | 生物測定データを用いた暗号キー発生法 | |
| KR101658501B1 (ko) | 해시함수 기반의 전자서명 서비스 시스템 및 그 방법 | |
| CN110086608A (zh) | 用户认证方法、装置、计算机设备及计算机可读存储介质 | |
| KR102177848B1 (ko) | 액세스 요청을 검증하기 위한 방법 및 시스템 | |
| US8806206B2 (en) | Cooperation method and system of hardware secure units, and application device | |
| CN107209821A (zh) | 用于对电子文件进行数字签名的方法以及认证方法 | |
| JP2001326632A (ja) | 分散グループ管理システムおよび方法 | |
| CN107871081A (zh) | 一种计算机信息安全系统 | |
| WO2020048055A1 (zh) | 实体印章的记账方法及终端设备 | |
| KR20120053929A (ko) | 전자서명키 이중 암호화를 이용한 전자서명 대행 시스템과 웹 저장소에 저장을 특징으로 하는 그 방법 | |
| CN110213232A (zh) | 一种指纹特征和密钥双重验证方法和装置 | |
| WO2021190197A1 (zh) | 生物支付设备的认证方法、装置、计算机设备和存储介质 | |
| CN113282944A (zh) | 智能锁开启方法、装置、电子设备及存储介质 | |
| JPH10224345A (ja) | チップカード用暗号鍵認証方法および証明書 | |
| JP6533542B2 (ja) | 秘密鍵複製システム、端末および秘密鍵複製方法 | |
| US11405387B1 (en) | Biometric electronic signature authenticated key exchange token | |
| JP7250960B2 (ja) | ユーザのバイオメトリクスを利用したユーザ認証および署名装置、並びにその方法 | |
| JP4426030B2 (ja) | 生体情報を用いた認証装置及びその方法 | |
| US7739500B2 (en) | Method and system for consistent recognition of ongoing digital relationships |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |