CN110213232B - 一种指纹特征和密钥双重验证方法和装置 - Google Patents
一种指纹特征和密钥双重验证方法和装置 Download PDFInfo
- Publication number
- CN110213232B CN110213232B CN201910346130.3A CN201910346130A CN110213232B CN 110213232 B CN110213232 B CN 110213232B CN 201910346130 A CN201910346130 A CN 201910346130A CN 110213232 B CN110213232 B CN 110213232B
- Authority
- CN
- China
- Prior art keywords
- environment
- authentication
- static password
- key
- authentication server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
Abstract
本发明提供一种指纹特征和密钥双重验证方法和装置,该方法包括:注册步骤、认证步骤和验证步骤。本发明通过用户名、静态密码和指纹信息进行运算,解决了在不同环境之间进行认证存在安全隐患。
Description
技术领域
本发明涉及数据处理技术领域,尤其涉及一种指纹特征和密钥双重验证方法和装置。
背景技术
随着人们对网络空间的依赖度越来越高,网络空间中信息交流和互动越来越多,网络已经成为推动社会发展的重要工具,网络实体资源已经成为网络空间的战略资源。在分布式环境中,各个地区、行业、部门为了方便管理用户,设置相应的资源访问控制系统,形成相对独立的环境。然而单个独立的环境不能提供完整的应用服务,用户访问其他环境资源时,需要在不同环境之间进行认证。通常情况下,传统的认证主要是基于对称密钥体制和公钥密码体制。但上述的体制认证效率不高,实际应用困难。另外,现有技术在不同环境中验证身份时,也可以通过指纹来实现对身份的验证,然而如果指纹信息丢失,也会造成信息泄露的问题。
发明内容
本发明的主要目的在于提供一种指纹特征和密钥双重验证方法和装置,旨在解决现有网络中身份验证方式泄露,导致不安全的技术问题。
依据本申请实施例的一个方面,提供了一种指纹特征和密钥双重验证方法,包括:注册步骤:在环境一中,用户在本地终端上输入用户名和静态密码,然后通过指纹采集器采集指纹;终端使用模糊提取技术的随机密钥生成函数,对输入的指纹特征模板进行处理,产生随机密钥和公开信息,将用户的静态密码做哈希运算,然后将指纹特征模板和静态密码删除,用户终端将用户名、随机密钥和哈希运算后的静态密码通过安全的信道发送到本地认证服务器;本地认证服务器接收到上述信息后,检查该用户的身份ID是否已经存在,如果不存在则可以注册该用户的信息,并打接收到的信息存储在数据库中;然后用户终端将公开信息发送到服务器节点上组装成交易记录在数据库上。
认证步骤:用户终端向服务器节点查询数据库数据,得到公开信息,使用模糊提取技术的恢复算法,恢复出随机密钥;对静态密码做哈希运算,将指纹模板和静态密码删除,将用户名、恢复的随机密钥、哈希运算后的静态密码用环境二中的认证服务器的公钥进行加密,将加密后的结果和用户名发送给环境一中认证服务器;
环境一中的认证服务器根据用户名在数据库中查找随机密码和哈希运算后的静态密码;生成动态指令,将该动态指令作为密钥进行对称加密,将加密的结果以及根据用户名、恢复的随机密钥、哈希运算后的静态密码用环境二中的认证服务器的公钥进行加密的结果发送给环境二中认证服务器;
验证步骤:环境二认证服务器收到上述信息后,使用私钥进行解密,得到用户名、随机密钥和哈希后的随机密钥,通过动态指令对对称加密进行解密;如果能够解密,则认证服务器验证验证注册步骤和认证步骤中产生的随机密钥是否相同,如果相同,则认证成功,则向环境二认证服务器返回认证成功的消息;如果不相同,则认证失败;如果无法解密,则验证失败。
依据本申请实施例的另一个方面,提供了一种指纹特征和密钥双重验证装置,包括:注册模块:在环境一中,用户在本地终端上输入用户名和静态密码,然后通过指纹采集器采集指纹;终端使用模糊提取技术的随机密钥生成函数,对输入的指纹特征模板进行处理,产生随机密钥和公开信息,将用户的静态密码做哈希运算,然后将指纹特征模板和静态密码删除,用户终端将用户名、随机密钥和哈希运算后的静态密码通过安全的信道发送到本地认证服务器;本地认证服务器接收到上述信息后,检查该用户的身份ID是否已经存在,如果不存在则可以注册该用户的信息,并打接收到的信息存储在数据库中;然后用户终端将公开信息发送到服务器节点上组装成交易记录在数据库上。
认证模块:用户终端向服务器节点查询数据库数据,得到公开信息,使用模糊提取技术的恢复算法,恢复出随机密钥;对静态密码做哈希运算,将指纹模板和静态密码删除,将用户名、恢复的随机密钥、哈希运算后的静态密码用环境二中的认证服务器的公钥进行加密,将加密后的结果和用户名发送给环境一中认证服务器;
环境一中的认证服务器根据用户名在数据库中查找随机密码和哈希运算后的静态密码;生成动态指令,将该动态指令作为密钥进行对称加密,将加密的结果以及根据用户名、恢复的随机密钥、哈希运算后的静态密码用环境二的认证服务器的公钥进行加密的结果发送给环境二认证服务器;
验证模块:环境二认证服务器收到上述信息后,使用私钥进行解密,得到用户名、随机密钥和哈希后的随机密钥,通过动态指令对对称加密进行解密;如果能够解密,则认证服务器验证验证注册步骤和认证步骤中产生的随机密钥是否相同,如果相同,则认证成功,则向环境二认证服务器返回认证成功的消息;如果不相同,则认证失败;如果无法解密,则验证失败。
综上所述,本申请通过上述方法和装置,有益的效果在于实现了用户终端和认证服务器的双向认证,实现了在不同环境中的认证。
上述说明仅是本申请实施例技术方案的概述,为了能够更清楚了解本申请实施例的技术手段,而可依照说明书的内容予以实施,并且为了让本申请实施例的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
图1本发明一实施例提供的一种指纹特征和密钥双重验证方法的流程图
图2本发明一实施例提供的一种指纹特征和密钥双重验证装置的结构示意图
图3本发明一实施例提供的指纹特征和密钥双重验证系统结构图
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
在对等网络中,数据库节点之间可以互相通信,构成一个对等的网状结构,以减少中心网络的开销;当一个数据库节点产生数据时,可以同时向对等网络中的其它数据库节点发送广播,数据库节点也可以在其它任意数据库节点中查询和获取数据。在数据库节点中,可以执行数据库业务逻辑,如执行交易验证、共识计算等数据库的交易对应数据库账本内的一条条数据。本方案中的数据库的交易由公开信息P及其相关信息组成。交易的数据结构包括用户标识、操作标识、公开信息以及用户终端的签名。
当操作标识表示为用户注册时,用户终端的指纹特征采集器提取指纹特征模板,公开信息,用户唯一标识、注册操作标识,以及签名信息发送给注册数据库节点,注册数据库节点组装交易数据并附上交易号广播至数据库网络。
当用户查询时,用户终端向数据库网络的注册数据库节点发送用户唯一标识、以及用户终端的签名,注册数据库节点根据用户唯一标识查询数据库得到用户对应的公开信息,返回给用户终端。然后注册数据库节点组装交易并附上交易号广播至数据库网络。
实施例一
图1是本申请实施例一提供的一种指纹特征和密钥双重验证方法。如图1所示,该方法包括:
注册步骤:环境一中,用户在本地终端上输入用户名ID-A和静态密码PW-A,然后通过指纹采集器采集指纹采样样本FP;终端使用模糊提取技术的随机密钥生成函数Gen-A(),对输入的指纹特征FP进行处理,利用Gen-A()算法对于指纹特征FP处理输出一个产生随机密码R-k和一个公开信息P-A,将用户的静态密码PW-A做哈希运算得到结果y-a,y-a=H(R-k||PW-A),然后将指纹特征FP和静态密码PW-A删除,用户终端将用户名ID-A、随机密钥R-k和静态密码哈希运算后得到的结果y-a通过安全的信道发送到环境一中的认证服务器AUTH-A;
其中,
环境一中的认证服务器AUTH-A接收到上述信息后,检查该用户ID-A是否已经存在,如果不存在则可以注册该用户的信息,并把接收到的信息存储在数据库中;然后用户终端将公开信息发送到服务器节点上组装成交易记录在数据库上。
认证步骤:在用户终端上输入用户名ID-A和静态密码PW-A’,并搜集得到用户指纹信息FP’,用户终端向服务器节点查询数据库数据,得到公开信息P-A,使用模糊提取技术的REP算法,恢复出随机密钥R-k’;对静态密码PW-A’做哈希运算得到y-a’,y-a’=H(R-k’||PW-A’);将指纹特征FP’和静态密码PW-A’删除,将用户名ID-A、恢复的随机密钥R-k’和静态密码哈希运算后的数值y-a’用环境二中的认证服务器的公钥PK-B进行加密,将加密后的结果RB和用户名ID-A发送给环境一中认证服务器AUTH-A;其中,加密算法可采用PBE(Password Base Encryption)加密算法来实现;
环境一中的认证服务器AUTH-A根据用户名ID-A在数据库中查找随机密码R-k和静态密码哈希运算后的数值y-a;产生一个随机数x,计算离散对数M,M=gx,根据y-a生成动态指令d,d=Mxy-a,使用该动态指令d进行对称加密,将加密的结、M以及根据用户名ID-A、恢复的随机密钥R-k’、y-a’用环境二的认证服务器的公钥进行加密的结果RB发送给环境二认证服务器AUTH-B;
验证步骤:环境二认证服务器AUTH-B收到上述信息后,使用私钥对RB进行解密,得到用户名ID-A、随机密钥R-k’和哈希后的静态密码y-a’,通过公式d’=My-a’得到动态指令d’,并对RB进行解密;如果能够解密,则认证服务器AUTH-B验证R-k和R-k’是否相同,如果相同,则认证成功,则向环境一中的终端返回认证成功的消息;如果不相同,则认证失败;如果无法解密,则验证失败。
优选的,加解密算法可采用DES、3DES、AES、Blowfish、IEDA、PBE等算法实现。
优选的,在注册步骤中,在用户终端采集指纹特征FP、对指纹特征FP进行MD5计算并将获取的指纹特征FP的Hash值传输至服务器,服务器接收指纹特征FP的Hash值。根据存储的指纹特征的Hash值读取相对应的干扰字符串并将干扰字符串传输至用户终端,在用户终端接收干扰字符串并根据指纹特征和干扰字符串生成数据库私钥。
在认证步骤中,获取用户在用户终端录入的指纹特征,与私钥生成使用的指纹特征一致。用户终端解密获取干扰字符串S’,若S’与已存储的S一致,则利用MD5算法生成数据库私钥,进行交易,获取到得到公开信息P;否则进行私钥恢复。
上述步骤中,通过在用户终端采集指纹特征并根据指纹特征和干扰字符串生成数据库私钥;在服务器将指纹特征的Hash值和干扰字符串以相对应的形式存储;在服务器接收指纹特征的Hash值、根据存储的指纹特征的Hash值读取相对应的干扰字符串并将干扰字符串传输至用户终端,在用户终端接收干扰字符串并根据指纹特征和干扰字符串生成数据库私钥,使得数据库私钥能够抵御黑客攻击并且易于恢复。本发明实施例中指纹特征参与私钥生成,干扰字符串加以扰乱,由于指纹特征具有唯一性等特征,由此保证去数据库私钥的安全性。
优选的,在用户向数据库注册的时,若注册数据库装置同意注册请求后,注册数据库装置检测该装置中是否有新写入的区块数据;
优选的,注册数据库装置验证注册请求是否合法;该步骤中,具体可以由注册数据库装置的数据库应用来执行。注册请求中包括协议版本、签名以及用户名ID-A、静态密码PW-A、指纹FP、用户签名的具体内容等,并在注册请求验证合法后,将注册数据库装置标识Id,注册数据库装置的类型Type以及上述注册信息关联并存储;
优选的,验证注册请求;若验证通过,注册数据库装置可以通过共识机制,同意该注册请求。具体的,注册数据库装置中的数据库应用可以选择数据库装置中的任一数据库节点作为目标数据库节点,向该目标数据库节点发送注册提议请求,由目标数据库节点向被注册数据库装置中的其他所有数据库节点发送携带注册数据库装置标识的注册提议请求,并由被注册数据库装置的所有数据库节点对注册数据库装置进行共识评分,得到注册数据库装置的最终评分;然后由注册数据库装置中的数据库应用检测最终评分是否大于预设评分阈值;若是,被注册数据库装置中的数据库应用确定同意注册数据库装置的注册请求。
优选的,若注册数据库装置同意注册请求后,并在注册数据库装置检测到有新写入的区块数据时,注册数据库装置通过监听端对以及监听地址所形成的安全信道,接收新写入的区块数据的消息;
优选的,注册数据库装置验证新写入的区块数据的用户名ID-A、随机密钥、哈希运算后的静态密码是否正确;验证通过后,将接收到的新写入的区块数据作为一个新的区块数据存储。
实施例二
图2是本申请实施例二提供的一种指纹特征和密钥双重验证装置的结构图。如图2所示,该装置包括:
注册模块:环境一中,用户在本地终端上输入用户名ID-A和静态密码PW-A,然后通过指纹采集器采集指纹采样样本FP;终端使用模糊提取技术的随机密钥生成函数Gen-A(),对输入的指纹特征FP进行处理,利用Gen-A()算法对于指纹特征FP处理输出一个产生随机密码R-k和一个公开信息P-A,将用户的静态密码PW-A做哈希运算得到结果y-a,y-a=H(R-k||PW-A),然后将指纹特征FP和静态密码PW-A删除,用户终端将用户名ID-A、随机密钥R-k和静态密码哈希运算后得到的结果y-a通过安全的信道发送到环境一中的认证服务器AUTH-A;
环境一中的认证服务器AUTH-A接收到上述信息后,检查该用户ID-A是否已经存在,如果不存在则可以注册该用户的信息,并把接收到的信息存储在数据库中;然后用户终端将公开信息发送到服务器节点上组装成交易记录在数据库上。
认证模块:在用户终端上输入用户名ID-A和静态密码PW-A’,并搜集得到用户指纹信息FP’,用户终端向服务器节点查询数据库数据,得到公开信息P-A,使用模糊提取技术的REP算法,恢复出随机密钥R-k’;对静态密码PW-A’做哈希运算得到y-a’,将指纹特征FP’和静态密码PW-A’删除,将用户名ID-A、恢复的随机密钥R-k’和静态密码哈希运算后的数值y-a’用环境二中的认证服务器的公钥PK-B进行加密,将加密后的结果RB和用户名ID-A发送给环境一中认证服务器AUTH-A;
环境一中的认证服务器AUTH-A根据用户名ID-A在数据库中查找随机密码R-k和静态密码哈希运算后的数值y-a;产生一个随机数x,计算离散对数M,M=gx,根据y-a生成动态指令d,使用该动态指令d进行对称加密,将加密的结果以及根据用户名ID-A、M、恢复的随机密钥R-k’、y-a’用环境二的认证服务器的公钥进行加密的结果RB发送给环境二认证服务器AUTH-B;
验证模块:环境二认证服务器AUTH-B收到上述信息后,使用私钥对RB进行解密,得到用户名ID-A、随机密钥R-k’和哈希后的静态密码y-a’,通过公式d=My-a’得到动态指令d,并对RB进行解密;如果能够解密,则认证服务器AUTH-B验证R-k和R-k’是否相同,如果相同,则认证成功,则向环境一中的终端返回认证成功的消息;如果不相同,则认证失败;如果无法解密,则验证失败。
优选的,在用户向数据库注册的时,若注册数据库装置同意注册请求后,注册数据库装置检测该装置中是否有新写入的区块数据;
优选的,注册数据库装置验证注册请求是否合法;该步骤中,具体可以由注册数据库装置的数据库应用来执行。注册请求中包括协议版本、签名以及用户名ID-A、静态密码PW-A、指纹FP的具体内容等,并在注册请求验证合法后,将注册数据库装置标识Id,注册数据库装置的类型Type以及上述注册信息关联并存储;
优选的,验证注册请求;若验证通过,注册数据库装置可以通过共识机制,同意该注册请求。具体的,注册数据库装置中的数据库应用可以选择数据库装置中的任一数据库节点作为目标数据库节点,向该目标数据库节点发送注册提议请求,由目标数据库节点向被注册数据库装置中的其他所有数据库节点发送携带注册数据库装置标识的注册提议请求,并由被注册数据库装置的所有数据库节点对注册数据库装置进行共识评分,得到注册数据库装置的最终评分;然后由注册数据库装置中的数据库应用检测最终评分是否大于预设评分阈值;若是,被注册数据库装置中的数据库应用确定同意注册数据库装置的注册请求。
优选的,若注册数据库装置同意注册请求后,并在注册数据库装置检测到有新写入的区块数据时,注册数据库装置通过监听端对以及监听地址所形成的安全信道,接收新写入的区块数据的消息;
优选的,注册数据库装置验证新写入的区块数据的用户名ID-A、随机密钥、哈希运算后的静态密码是否正确;验证通过后,将接收到的新写入的区块数据作为一个新的区块数据存储
综上,本申请实施例提供的一种基于数据库的身份认证装置及方法,能够兼顾信息的安全性与高效性。
本发明实施例的第三个方面,提出了一种计算机程序产品,该计算机程序产品包括存储在计算机可读存储介质上的计算程序,该计算机程序包括指令,当该指令被计算机执行时,使该计算机执行上述任意方法实施例中的基于指纹特征的数据库私钥使用方法与实现上述任意装置/系统实施例中的基于指纹特征的数据库私钥使用装置/系统。所述计算机程序产品的实施例,可以达到与之对应的前述任意方法与装置/系统实施例相同或者相类似的效果。
最后需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。所述计算机程序的实施例,可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
本领域技术人员还将明白的是,结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性,已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现所述的功能,但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。
结合这里的公开所描述的各种示例性逻辑块、模块和电路可以利用被设计成用于执行这里所述功能的下列部件来实现或执行:通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立门或晶体管逻辑、分立的硬件组件或者这些部件的任何组合。通用处理器可以是微处理器,但是可替换地,处理器可以是任何传统处理器、控制器、微控制器或状态机。处理器也可以被实现为计算设备的组合,例如,DSP和微处理器的组合、多个微处理器、一个或多个微处理器结合DSP和/或任何其它这种配置。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子;在本发明实施例的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,并存在如上所述的本发明实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。
Claims (10)
1.一种指纹特征和密钥双重验证方法,包括:
注册步骤:在环境一中,终端获取用户名ID-A、静态密码PW-A和指纹信息FP,并对所述FP进行处理得到随机密钥R-k和公开信息P-A,并对所述PW-A做哈希运算得到y-a,然后将ID-A、R-k和y-a发送给环境一中的认证服务器进行认证并记录在数据库上,并将P-A发送到服务器节点上组装成交易记录在数据库上;
认证步骤:当终端重新获取到用户名ID-A、静态密码PW-A’以及指纹信息FP’时,向服务器节点查询数据库数据,得到公开信息P-A,并使用模糊提取技术的恢复算法恢复出随机密钥R-k’,并对PW-A’做哈希运算得到y-a’,并利用环境二中的认证服务器的公钥对ID-A、R-k’、y-a’进行加密得到加密结果RB,然后将RB和ID-A发给环境一中的认证服务器;环境一中的认证服务器根据ID-A在数据库中查找到随机密码R-k和静态密码y-a,根据y-a生成动态指令,并将该动态指令作为密钥进行对称加密得到M,然后将M和RB发送给环境二中的认证服务器;
验证步骤:环境二中的认证服务器使用私钥对RB进行解密得到用户名ID-A、哈希运算后的静态密码y-a’和恢复的随机密钥R-k’,并通过动态指令对M进行解密;如果能够解密,则验证注册步骤中产生的随机密钥R-k和认证步骤中产生的随机密钥R-k’是否相同,如果相同,则认证成功,则向终端返回认证成功的消息;如果不相同,则认证失败;如果无法解密,则验证失败。
2.如权利要求1所述的方法,注册步骤中包括:终端使用模糊提取技术的随机密钥生成函数Gen-A(),对输入的指纹特征FPFP进行处理,产生随机密码R-k和公开信息P-A。
3.如权利要求2所述的方法,注册步骤中包括:将用户的静态密码PW-A做哈希运算得到结果y-a,然后将指纹特征FP和静态密码PW-A删除,用户终端将用户名ID-A、随机密钥R-k和哈希运算后的静态密码y-a通过安全的信道发送到本地认证服务器AUTH-A。
4.如权利要求3所述的方法,认证步骤包括在用户终端上输入用户名ID-A和静态密码PW-A’,并搜集得到用户指纹信息FP’,用户终端向服务器节点查询数据库数据,得到公开信息P-A,使用模糊提取技术的恢复算法,恢复出随机密钥R-k’,对静态密码做哈希运算得到y-a’,将指纹特征FP和静态密码PW-A’删除,将用户名ID-A、恢复的随机密钥R-k’、哈希运算后的静态密码y-a’用环境二中的认证服务器的公钥PK-B进行加密,将加密后的结果和用户名发送给环境一的认证服务器AUTH-A。
5.如权利要求4所述的方法,验证步骤包括:环境二的认证服务器AUTH-B收到上述信息后,使用私钥进行解密,得到用户名ID-A、随机密钥R-k’和哈希后的随机密钥y-a’,通过动态指令d对对称加密进行解密。
6.一种指纹特征和密钥双重验证装置,包括:
注册模块:用于在环境一中,终端获取用户名ID-A、静态密码PW-A和指纹信息FP,并对所述FP进行处理得到随机密钥R-k和公开信息P-A,并对所述PW-A做哈希运算得到y-a,然后将ID-A、R-k和y-a发送给环境一中的认证服务器进行认证并记录在数据库上,并将P-A发送到服务器节点上组装成交易记录在数据库上;
认证模块:用于当终端重新获取到用户名ID-A、静态密码PW-A’以及指纹信息FP’时,向服务器节点查询数据库数据,得到公开信息P-A,并使用模糊提取技术的恢复算法恢复出随机密钥R-k’,并对PW-A’做哈希运算得到y-a’,并利用环境二中的认证服务器的公钥对ID-A、R-k’、y-a’进行加密得到加密结果RB,然后将RB和ID-A发给环境一中的认证服务器;环境一中的认证服务器根据ID-A在数据库中查找到随机密码R-k和静态密码y-a,根据y-a生成动态指令,并将该动态指令作为密钥进行对称加密得到M,然后将M和RB发送给环境二中的认证服务器;
验证模块:用于在环境二中的认证服务器使用私钥对RB进行解密得到用户名ID-A、哈希运算后的静态密码y-a’和恢复的随机密钥R-k’,并通过动态指令对M进行解密;如果能够解密,则验证注册步骤中产生的随机密钥R-k和认证步骤中产生的随机密钥R-k’是否相同,如果相同,则认证成功,则向终端返回认证成功的消息;如果不相同,则认证失败;如果无法解密,则验证失败。
7.如权利要求6所述的装置,注册模块中包括:终端使用模糊提取技术的随机密钥生成函数Gen-A(),对输入的指纹特征FP进行处理,产生随机密码R-k和公开信息P-A。
8.如权利要求7所述的装置,注册模块中包括将用户的静态密码PW-A做哈希运算得到结果y-a,然后将指纹特征FP和静态密码PW-A删除,用户终端将用户名ID-A、随机密钥R-k和哈希运算后的静态密码y-a通过安全的信道发送到本地认证服务器AUTH-A。
9.如权利要求8所述的装置,认证模块包括在用户终端上输入用户名ID-A和静态密码PW-A’,并搜集得到用户指纹信息FP’,用户终端向服务器节点查询数据库数据,得到公开信息P-A,使用模糊提取技术的恢复算法,恢复出随机密钥R-k’,对静态密码做哈希运算得到y-a’,将指纹模板Tem和静态密码PW-A’删除,将用户名ID-A、恢复的随机密钥R-k’、哈希运算后的静态密码y-a’用环境二中的认证服务器的公钥PK-B进行加密,将加密后的结果和用户名发送给环境一的认证服务器AUTH-A。
10.如权利要求9所述的装置,验证模块包括:环境二的认证服务器AUTH-B收到上述信息后,使用私钥进行解密,得到用户名ID-A、随机密钥R-k’和哈希后的随机密钥y-a’,通过动态指令d对对称加密进行解密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910346130.3A CN110213232B (zh) | 2019-04-26 | 2019-04-26 | 一种指纹特征和密钥双重验证方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910346130.3A CN110213232B (zh) | 2019-04-26 | 2019-04-26 | 一种指纹特征和密钥双重验证方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110213232A CN110213232A (zh) | 2019-09-06 |
| CN110213232B true CN110213232B (zh) | 2020-01-31 |
Family
ID=67786393
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910346130.3A Active CN110213232B (zh) | 2019-04-26 | 2019-04-26 | 一种指纹特征和密钥双重验证方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110213232B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111262702A (zh) * | 2020-01-13 | 2020-06-09 | 中国电子技术标准化研究院 | 基于国密算法和生物特征的双因子认证方法、装置和系统 |
| CN113920548B (zh) * | 2021-08-24 | 2022-12-13 | 杭州电子科技大学 | 一种基于指纹的可重用鲁棒模糊提取方法 |
| CN114547565B (zh) * | 2021-12-29 | 2024-02-20 | 中国长江电力股份有限公司 | 一种用于水电站监控系统的双因子认证登录方法及系统 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100512109C (zh) * | 2005-09-30 | 2009-07-08 | 广东省电信有限公司研究院 | 验证接入主机安全性的访问认证系统和方法 |
| CN100576797C (zh) * | 2007-10-25 | 2009-12-30 | 王松 | 基于指纹的网络身份验证方法 |
| CN101741561B (zh) * | 2008-11-17 | 2012-06-06 | 联想(北京)有限公司 | 双向硬件认证方法及系统 |
| CN101714918A (zh) * | 2009-10-23 | 2010-05-26 | 浙江维尔生物识别技术股份有限公司 | 一种登录vpn的安全系统以及登录vpn的安全方法 |
| US9009793B2 (en) * | 2011-03-31 | 2015-04-14 | Infosys Limited | Dynamic pin dual factor authentication using mobile device |
| CN106295290B (zh) * | 2015-06-26 | 2021-12-21 | 创新先进技术有限公司 | 基于指纹信息生成认证信息的方法、装置及系统 |
| CN109409895A (zh) * | 2018-09-29 | 2019-03-01 | 深圳先牛信息技术有限公司 | 一种融合虹膜识别和人脸识别的支付装置及支付方法 |
-
2019
- 2019-04-26 CN CN201910346130.3A patent/CN110213232B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN110213232A (zh) | 2019-09-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112218294B (zh) | 基于5g的物联网设备的接入方法、系统及存储介质 | |
| CN111949953B (zh) | 基于区块链的身份认证方法、系统、装置和计算机设备 | |
| JP6547079B1 (ja) | 登録・認可方法、装置及びシステム | |
| WO2020237868A1 (zh) | 数据传输方法、电子设备、服务器及存储介质 | |
| EP3435591B1 (en) | 1:n biometric authentication, encryption, signature system | |
| CN101465735B (zh) | 网络用户身份验证方法、服务器及客户端 | |
| CN108696358B (zh) | 数字证书的管理方法、装置、可读存储介质及服务终端 | |
| KR20190031989A (ko) | 블록체인 기반의 전자 계약 처리 시스템 및 방법 | |
| CN110213232B (zh) | 一种指纹特征和密钥双重验证方法和装置 | |
| CN109714370B (zh) | 一种基于http协议端云安全通信的实现方法 | |
| JP3362780B2 (ja) | 通信システムにおける認証方法、センタ装置、認証プログラムを記録した記録媒体 | |
| CN110071937B (zh) | 基于区块链的登录方法、系统及存储介质 | |
| JP2001186122A (ja) | 認証システム及び認証方法 | |
| CN109492424B (zh) | 数据资产管理方法、数据资产管理装置及计算机可读介质 | |
| JP2003188874A (ja) | 安全にデータを伝送する方法 | |
| CN111741268B (zh) | 视频的传输方法、装置、服务器、设备和介质 | |
| CN114070559A (zh) | 一种基于多因子的工业物联网会话密钥协商方法 | |
| KR102146940B1 (ko) | 토큰 위변조 검증 방법 | |
| US11823194B2 (en) | Decentralized biometric authentication platform | |
| JP4426030B2 (ja) | 生体情報を用いた認証装置及びその方法 | |
| CN114244508A (zh) | 数据加密方法、装置、设备及存储介质 | |
| CN113965425B (zh) | 物联网设备的接入方法、装置、设备及计算机可读存储介质 | |
| JP6533542B2 (ja) | 秘密鍵複製システム、端末および秘密鍵複製方法 | |
| US20210037009A1 (en) | Biometric data sub-sampling during decentralized biometric authentication | |
| Liou et al. | T-auth: A novel authentication mechanism for the IoT based on smart contracts and PUFs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |