CN113765856B - 身份认证方法、装置、设备和介质 - Google Patents
身份认证方法、装置、设备和介质 Download PDFInfo
- Publication number
- CN113765856B CN113765856B CN202010500361.8A CN202010500361A CN113765856B CN 113765856 B CN113765856 B CN 113765856B CN 202010500361 A CN202010500361 A CN 202010500361A CN 113765856 B CN113765856 B CN 113765856B
- Authority
- CN
- China
- Prior art keywords
- parameter
- identity
- password
- encryption parameter
- generating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Collating Specific Patterns (AREA)
Abstract
本发明实施例提供了一种身份认证方法、装置、设备和介质。该方法包括:获取待认证用户的第一身份标识、第一口令和第一生物特征;根据第一身份标识、第一口令、第一生物特征和第一随机数生成第一验证信息;向服务器发送第一验证信息,以用于服务器根据第一验证信息是否满足第一预设条件判断终端是否合法,在第一验证信息满足第一预设条件的情况下,服务器确定终端合法。根据本发明实施例提供的身份认证方法、装置、设备和介质,能够实现认证信息动态加密,增加被破解难度。
Description
技术领域
本发明涉及数据安全领域,尤其涉及一种身份认证方法、装置、设备和介质。
背景技术
随着网络通信技术的不断发展,通信安全越来越受到人们的重视。
用户从服务器获得信息或者享受服务器提供的服务,首先需登录到服务器并经过身份验证。身份验证技术发展到现在,主要采用的方法为基于动态口令、动态ID、生物特征并结合智能卡的身份认证技术。
但是,用户和服务器之间的认证消息容易被他人拦截,认证消息中用户信息大多采用单向函数加密,容易被破解(如暴力破解法、猜测破解法等)。这样,他人会利用破解得到的用户信息非法登录服务器。
发明内容
本发明实施例提供了一种身份认证方法、装置、设备和介质,能够实现认证信息动态加密,增加被破解难度。
本发明实施例的一方面,提供一种身份认证方法,应用于终端,该方法包括:
获取待认证用户的第一身份标识、第一口令和第一生物特征;
根据第一身份标识、第一口令、第一生物特征和第一随机数生成第一验证信息;
向服务器发送第一验证信息,以用于服务器根据第一验证信息是否满足第一预设条件判断终端是否合法,在第一验证信息满足第一预设条件的情况下,服务器确定终端合法。
本发明实施例的另一方面,提供一种身份认证方法,应用于服务器,该方法包括:
获取来自于终端的第一验证信息;
根据第一验证信息是否满足第一预设条件判断终端是否合法,在第一验证信息满足第一预设条件的情况下,确定终端合法。
本发明实施例的另一方面,提供一种身份认证装置,应用于终端,该装置包括:
第一获取模块,用于获取待认证用户的第一身份标识、第一口令和第一生物特征;
第一生成模块,用于根据第一身份标识、第一口令、第一生物特征和第一随机数生成第一验证信息;
第一发送模块,用于向服务器发送第一验证信息,以用于服务器根据第一验证信息是否满足第一预设条件判断终端是否合法,在第一验证信息满足第一预设条件的情况下,确定终端合法。
本发明实施例的另一方面,提供一种身份认证装置,应用于服务器,该装置包括:
第二获取模块,用于获取来自于终端的第一验证信息;
第一判断模块,用于根据第一验证信息是否满足第一预设条件判断终端是否合法,在第一验证信息满足第一预设条件的情况下,确定终端合法。
根据本发明实施例的另一方面,提供一种身份认证设备,该设备包括:
处理器以及存储有计算机程序指令的存储器;
处理器执行计算机程序指令时实现如上述本发明实施例提供的身份认证方法。
根据本发明实施例的另一方面,提供一种计算机存储介质,计算机存储介质上存储有计算机程序指令,计算机程序指令被处理器执行时实现如上述本发明实施例提供的身份认证方法。
本发明实施例提供的身份认证方法、装置、设备和介质,通过第一随机数对第一身份标识、第一口令、第一生物特征进行动态加密,增加从第一验证信息直接破解出第一身份标识、第一口令、第一生物特征的难度。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出本发明一个实施例的身份认证方法的流程图;
图2示出本发明另一个实施例的身份认证方法的流程图;
图3为图2中步骤S140的子流程图;
图4为图3中步骤S141的子流程图;
图5为图2中步骤S120的一个实施例的子流程图;
图6为图2中步骤S120的另一个实施例的子流程图;
图7示出本发明又一个实施例的身份认证方法的流程图;
图8为图7中步骤S220的子流程图;
图9示出本发明又另一个实施例的身份认证方法的流程图;
图10为图9中步骤S230的子流程图;
图11示出本发明又再一个实施例的身份认证方法的流程图;
图12为图11中步骤S170的子流程图;
图13示出本发明另再一个实施例的身份认证方法的更改口令的子流程图;
图14示出本发明一个实施例的身份认证装置的结构示意图;
图15示出本发明另一个实施例的身份认证装置的结构示意图;
图16示出本发明一个实施例的示例性硬件架构的结构图。
具体实施方式
下面将详细描述本发明的各个方面的特征和示例性实施例,为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细描述。应理解,此处所描述的具体实施例仅被配置为解释本发明,并不被配置为限定本发明。对于本领域技术人员来说,本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
在用户登录服务器阶段,传输的认证信息容易被拦截。而认证信息往往包含用户的身份信息和加密卡信息。其中,身份信息通常采用单向哈希函数进行加密,然而一个信息经单向加密函数加密后的哈希为一个固定值,为拦截者提供了破解合法用户的身份信息的线索,采用如暴力破解的方式容易得到用户的身份信息。
因此,为了解决上述问题,本发明实施例提供了一种身份认证的方法、装置、设备和介质,能够实现认证信息动态加密,增加被破解难度。
下面结合附图1至16,描述根据本发明实施例提供的身份认证方法、装置、设备和介质。应注意,这些实施例并不是用来限制本发明公开的范围。
下面通过图1至13详细介绍根据本发明实施例的身份认证方法。
为了更好的理解本发明得技术方案,下面结合图1对本发明一个实施例的身份认证方法进行详细说明,图1是示出本发明一个实施例的身份认证方法的流程图。其中,该身份认证方法应用于终端。
如图1所示,本发明实施例中的身份认证方法包括以下步骤:
S110:获取待认证用户的第一身份标识、第一口令和第一生物特征。
其中,第一身份标识、第一口令和第一生物特征由待认证用户提供。第一身份标识可以是待认证用户的用户名、名字、代号等,第一身份标识用于区别不同的用户。第一口令为用户名选用的口令。第一生物特征可以是待认证用户的指纹、掌纹、声纹、虹膜等。
S120:根据第一身份标识、第一口令、第一生物特征和第一随机数生成第一验证信息。
第一随机数由终端随机生成。第一验证信息中包含第一随机数,能够实现对第一身份标识、第一口令、第一生物特征进行动态加密。
S130:向服务器发送第一验证信息,以用于服务器根据第一验证信息是否满足第一预设条件判断终端是否合法,在第一验证信息满足第一预设条件的情况下,服务器确定终端合法。
第一预设条件可以是用于根据第一验证信息判断终端是否合法的一个或多个函数。第一预设条件可以包括多个子预设条件,例如当第一验证信息满足所有子预设条件的情况下,确定终端合法。
本发明实施例提供的身份认证方法,通过第一随机数对第一身份标识、第一口令、第一生物特征进行动态加密,增加从第一验证信息直接破解出第一身份标识、第一口令、第一生物特征的难度。
在一些实施例中,步骤S120中,除第一身份标识、第一口令、第一生物特征和第一随机数之外,还需要根据第一预存信息生成第一验证信息。第一预存信息可以预存储于加密卡。可选地,可根据注册过程将第一预存信息存储至加密卡。注册过程中,合法用户提供注册身份标识、注册口令和注册生物特征,以用于注册并生成第一预存信息。
第一预存信息包括:第一哈希函数、第一纠错码、第一大素数和第一生成元、第一预存参数和第二预存参数。
第一纠错码由注册生物特征根据第一模糊提取函数对中的第一生成函数生成,并且同时生成与第一纠错码对应的预设模糊参数,预设模糊参数用于对注册生物特征进行加密。
第一生成元为第一大素数的域的一个生成元。
第一预存参数和第二预存参数均根据预设模糊参数、第一大素数和第一生成元及合法用户在注册时提供的注册身份标识、注册口令和注册生物特征生成。第一预存参数和第二预存参数为对应注册身份标识、注册口令和注册生物特征的加密值。其中,注册身份标识和注册口令至少位于第一生成元的指数位。这样能够通过指数函数增加第一预存参数和第二预存参数的复杂度,以加大根据第一预存参数和第二预存参数还原注册身份标识、注册口令的难度。
具体地,注册过程可以包括步骤:
获取合法用户提供注册身份标识、注册口令和注册生物特征。
终端根据注册生物特征通过第一生成函数生成预设模糊参数和第一纠错码,并满足:(σi,vi)=Gen(BIOi),其中Gen(·)为第一生成函数,σi为预设模糊参数,BIOi为预设模糊参数,vi为第一纠错码。其中,预设模糊参数可通过σi=Rep(BIOi,vi)计算得到,Rep(·,·)为第一恢复函数。
接下来,根据注册口令和预设模糊参数计算注册口令中间参数,并满足:RPWi=h(PWi||σi),其中,h()为第一哈希函数,RPWi为注册口令中间参数,PWi为注册口令。
然后通过安全信道相服务器发送{IDi,h(IDi||RPWi)}进行注册。
服务器计算注册中间参数、第一预存参数和第二预存参数,满足:Ci=h(Ai),其中,Ai为注册中间参数,p为第一大素数,g为第一生成元,x为服务器的第一密钥,第一密钥可以选自第一大素数的域,Bi为第一预存参数,Ci为第二预存参数。
接下来,服务器将包含{h(·),Bi,Ci,g,p}的信息通过安全信道发送给终端,终端将{h(·),Bi,Ci,g,p}存储至加密卡。
请一并参阅图2,图2示出本发明另一个实施例的身份认证方法的流程图。
在一些实施例中,在步骤S110:获取待认证用户的第一身份标识、第一口令和第一生物特征之后,且在步骤S120:根据第一身份标识、第一口令、第一生物特征和第一随机数生成第一验证信息之前,还包括:S140:根据第一身份标识、第一口令和第一生物特征验证用户身份是否合法。终端通过步骤S140验证待认证用户的第一身份标识、第一口令和第一生物特征是否与注册时的注册身份标识、注册口令和注册生物特征一致。
请一并参阅图3和图4,图3为图2中步骤S140的子流程图,图4为图3中步骤S141的子流程图。
具体地,如图3所示,步骤S140:根据第一身份标识、第一口令和第一生物特征验证用户身份是否合法,包括:
S141:根据第一身份标识、第一口令和第一生物特征生成第二验证信息。
其中,如图4所示,步骤S141:根据第一身份标识、第一口令和第一生物特征生成第二验证信息,包括:
S1411:根据第一生物特征和第一纠错码通过第一恢复函数生成第一模糊参数,其中第一纠错码由与第一恢复函数对应的第一生成函数生成。第一模糊参数与第一生物特征相对应。并且,在第一模糊参数与预设模糊参数相同的情况下,能够确定第一生物特征与注册生物特征相同。第一生物特征、第一纠错码和第一模糊参数满足:σi=Rep(BIOi,vi),其中BIOi为第一生物特征,σi为第一模糊参数。
S1412:根据第一口令与第一模糊参数的级联值通过第一哈希函数生成第一口令中间参数。第一口令、第一模糊参数和第一口令中间参数满足RPWi *=h(PWi||σi),其中PWi为第一口令,RPWi *为第一口令中间参数。
S1413:根据第一身份标识和第一口令中间参数的级联值关于第一哈希函数的哈希值与第一预存参数的位异或运算值生成第一中间加密参数。第一身份标识、第一口令中间参数、第一预存参数和第一中间加密参数满足:其中Ai *为第一中间加密参数,IDi为第一身份标识。
S1414:根据第一中间加密参数通过第一哈希函数生成第二验证信息。第一中间加密参数和第二验证信息满足Ci *=h(Ai *),其中Ci *为第二验证信息。
S142:比较第二验证信息与第二预存参数,在第二验证信息与第二预存参数一致的情况下,确定用户身份合法。即判断Ci *=Ci是否成立,如果成立则确定第一身份标识、第一口令和第一生物特征与注册时的注册身份标识、注册口令和注册生物特征一致,进而确定用户身份合法。
请一并参阅图5,图5为图2中步骤S120的一个实施例的子流程图。
在一些实施例中,步骤S120:根据第一身份标识、第一口令、第一生物特征和第一随机数生成第一验证信息,包括以下步骤。可选地,步骤S120具体包括:在用户身份合法的合法情况下,包括步骤:
S1201:根据第一生物特征和第一纠错码通过第一恢复函数生成第一模糊参数。其中,第一生物特征、第一纠错码和第一模糊参数满足:σi=Rep(BIOi,vi),其中BIOi为第一生物特征,σi为第一模糊参数。
S1202:根据第一口令与第一模糊参数的级联值通过第一哈希函数生成第一口令中间参数。第一口令、第一模糊参数和第一口令中间参数满足RPWi *=h(PWi||σi),其中PWi为第一口令,RPWi *为第一口令中间参数。
可以理解的是,在包括步骤S1411和步骤S1412的实施例中,本实施例的身份认证方法可不包含步骤S1201和S1202,而是获取步骤S1411中的第一模糊参数和步骤S1412中的第一口令中间参数。
S1203:根据第一身份标识、第一随机数、第一大素数和第一大素数的域的第一生成元生成第一动态身份标识。第一身份标识、第一随机数、第一大素数、第一生成元和第一动态身份标识满足:其中,为CIDi为第一动态身份标识,ri为第一随机数,第一随机数可选自第一大素数的域。
通过第一随机数对第一身份标识进行动态加密,即便第一验证信息被截获,也能够增加通过第一动态身份标识还原第一身份标识的难度。
其中,第一身份标识位于第一生成元的指数位。这样能够增加第一动态身份标识的复杂度,进一步增加通过第一动态身份标识还原第一身份标识的难度。
S1204:根据第一身份标识、第一口令中间参数、第一随机数、所第一大素数和第一生成元获得第一动态口令。第一身份标识、第一口令中间参数、第一随机数、所第一大素数、第一生成元和第一动态口令满足:其中,CPWi为第一动态口令。
由于第一口令中间参数与第一口令相对应,因此通过第一随机数对第一口令中间参数进行动态加密,即是通过第一随机数对第一口令进行动态加密,即便第一验证信息被截获,也能够增加通过第一动态身份标识还原第一口令的难度。
其中第一身份标识和第一口令中间参数位于第一生成元的指数位。这样能够增加第一动态身份标识和第一口令的复杂度,进一步增加通过第一动态口令还原第一身份标识和第一口令的难度。
S1205:至少根据第一动态身份标识和第一动态口令生成第一验证信息。具体地,第一验证信息可以包括第一动态身份标识和第一动态口令。
请一并参阅图6,图6为图2中步骤S120的另一个实施例的子流程图。
在一些实施例中,步骤S120:根据第一身份标识、第一口令、第一生物特征和第一随机数生成第一验证信息,还包括:
S1206:根据第一身份标识和第一口令中间参数的级联值关于第一哈希函数的哈希值与第一预存参数的位异或运算值生成第一中间加密参数。具体的,第一身份标识、第一口令中间参数、第一预存参数和第一中间加密参数满足:其中,Ai *为第一中间加密参数。
S1207:根据第一中间加密参数、第一身份标识、第一口令中间参数、第一随机数、第一大素数和第一生成元生成第二中间加密参数。具体的,第一中间加密参数、第一身份标识、第一口令中间参数、第一随机数、第一大素数、第一生成元和第二中间加密参数满足:其中,Di为第二中间加密参数。
其中,第一身份标识、第一口令中间参数可以位于第一生成元的指数位。
S1208:根据第一中间加密参数、第一身份标识、第一口令中间参数、第一大素数和第一生成元生成第三中间加密参数。具体的,第一加密参数、第一身份标识、第一口令中间参数、第一大素数、第一生成元和第三中间加密参数满足:其中EIDi为第三中间加密参数。
其中,第一身份标识、第一口令中间参数可以位于第一生成元的指数位。
S1209:根据第一身份标识、第一口令中间参数、第一大素数和第一生成元生成第四中间加密参数。具体的,第一身份标识、第一口令中间参数、第一大素数、第一生成元和第四中间加密参数满足:其中,EPWi为第四中间加密参数。
其中,第一身份标识、第一口令中间参数可以位于第一生成元的指数位。
S1210:根据第三中间加密参数、第四中间加密参数、第一随机数和第一时间戳的级联值关于第一哈希函数的哈希值获得第一加密参数,其中第一时间戳为计算第一加密参数时的时间。第一时间戳可以是开始计算第一加密参数时的时间,由于计算第一加密参数所持续的时间较短,因此第一时间戳也可以代表计算完成第一加密参数时的时间。
具体的,第三中间加密参数、第四中间加密参数、第一随机数、第一时间戳和第一加密参数可以满足M1=h(EIDi||EPWi||ri||T1),其中M1为第一加密参数。
S1211:根据第一动态身份标识、第一动态口令、第二中间加密参数、第一加密参数和第一时间戳生成第一验证信息。第一验证信息包括第一动态身份标识、第一动态口令、第二中间加密参数、第一加密参数和第一时间戳,即{CIDi,CPWi,Di,M1,T1}。
终端将第一验证信息{CIDi,CPWi,Di,M1,T1}发送给服务器。
请一并参阅图7,图7示出本发明又一个实施例的身份认证方法的流程图。本发明实施例还提供一种身份认证方法,应用于服务器。
如图7所示,本发明实施例中的身份认证方法包括以下步骤:
S210:获取来自于终端的第一验证信息。具体地,服务器获取第一验证信息{CIDi,CPWi,Di,M1,T1},第一验证信息第一验证信息包括第一动态身份标识、第一动态口令、第二中间加密参数、第一加密参数和第一时间戳。
S220:根据第一验证信息是否满足第一预设条件判断终端是否合法,在第一验证信息满足第一预设条件的情况下,确定终端合法。
请一并参阅图8,图8为图7中步骤S220的子流程图。
在一些实施例中,步骤S220:根据第一验证信息是否满足第一预设条件判断终端是否合法,包括:
S221:根据第一时间戳与接收到第一验证信息的第一当前时间判断第一验证信息的时序是否合法,在第一当前时间与第一时间戳的差值小于第一时间阈值的情况下,确定第一验证信息的时序合法。
并且在第一当前时间与第一时间戳的差值大于或等于第一时间阈值的情况下,则判断第一验证信息的时序不合法,包含第一时间戳的第一验证信息不是新鲜信息。
通过判断第一验证信息的时序是否合法能够确定第一验证信息是否为新鲜信息,进而能够抵御重放攻击和伪装攻击。重放攻击是指攻击者发送一个服务器已接收过的包,来达到欺骗服务器的目的。
在一些实施例中,步骤S221中,在确定第一验证信息的时序合法之后,步骤S220:根据第一验证信息是否满足第一预设条件判断终端是否合法,身份认证方法还包括:
S222:根据第二中间加密参数、服务器的第一密钥、第一大素数和第一动态身份标识获得第三校验参数。第二中间加密参数、第一密钥、第一大素数、第一动态身份标识和第三校验参数满足:其中,ri *为第三校验参数。
S223:根据第三校验参数、第一动态身份标识、第一密钥和第一大素数获得第四校验参数。第三校验参数、第一动态身份标识、第一密钥、第一大素数和第四校验参数满足:其中,EIDi *为第四校验参数。
S224:根据第三校验参数、第一动态口令和第一大素数获得第五校验参数。第三校验参数、第一动态口令、第一大素数和第五校验参数满足:其中EPWi *为第五校验参数。
S225:根据第四校验参数、第五校验参数、第三校验参数和第一时间戳获得第六校验参数。第四校验参数、第五校验参数、第三校验参数、第一时间戳和第六校验参数满足:其中M1 *为第六校验参数。
S226:比较第六校验参数与第一加密参数,在第六校验参数与第一加密参数一致的情况下,确定终端合法。
请一并参阅图9,图9示出本发明又另一个实施例的身份认证方法的流程图。
在一些实施例中,步骤S220中,在确定终端合法之后,包括:
S230:向终端发送第三验证信息,以用于终端根据第三验证信息是否满足第二预设条件,在第三验证信息满足第二预设条件的情况下,确定服务器合法。
第二预设条件可以是用于根据第二验证信息判断终端是否合法的一个或多个函数。第二预设条件可以包括多个子预设条件,例如当第二验证信息满足所有子预设条件的情况下,确定服务器合法。
请一并参阅图10,图10为图9中步骤S230的子流程图。
在一些实施例中,S230:向终端发送第三验证信息,包括:
S231:根据第四校验参数、第三校验参数、第二随机数、第一时间戳和第二时间戳生成第二加密参数。其中,第二随机数为服务器随机选择。
具体的,第四校验参数、第三校验参数、第二随机数、第一时间戳、第二时间戳和第二加密参数满足:其中M2为第二加密参数。
S232:根据第五校验参数、第三校验参数、第二随机数、第一时间戳和第二时间戳生成第三加密参数。第五校验参数、第三校验参数、第二随机数、第一时间戳、第二时间戳和第三加密参数满足:M3=h(EPWi *||ri||rj||T1||T2),M3为第三加密参数。
S233:将包括第二加密参数、第三加密参数和第二时间戳的第三验证信息发送至终端,其中,第二时间戳为计算第二加密参数和/或第三加密参数时的时间。第二时间戳可以是开始计算第二加密参数和第三加密参数时的时间中最早的一个。第三验证信息包括第二加密参数、第三加密参数和第二时间戳{M2,M3,T2}。
请一并参阅图11,图11示出本发明又再一个实施例的身份认证方法的流程图。
在一些实施例中,步骤S130中,在向服务器发送第一验证信息之后,且在服务器确定终端合法的情况下,应用于终端的身份认证方法还包括:
S150:接收来自于服务器的第三验证信息,其中第三验证信息包括第二加密参数、第三加密参数和第二时间戳,其中,第二时间戳为计算第二加密参数和/或第三加密参数时的时间。
S160:根据第二时间戳与接收到第三验证信息的第二当前时间判断第三验证信息的时序是否合法,在第二当前时间与第二时间戳的差值小于第二时间阈值的情况下,确定第三验证信息的时序合法。
并且,在第二当前时间与第二时间戳的差值大于或等于第二时间阈值的情况下,判断第三验证信息的时序不合法,即包含第二时间戳的第三验证信息不是新鲜消息。
通过判断第三验证信息的时序是否合法能够确定第三验证信息是否为新鲜信息,进而能够抵御重放攻击和伪装攻击。
在一些实施例中,步骤S160中,在确定第三验证信息的时序合法之后,还包括:
S170:根据第三中间加密参数、第四中间加密参数、第一随机数、第一时间戳和第三验证信息是否满足第二子预设条件判断服务器是否合法,在第三中间加密参数、第四中间加密参数、第一随机数、第一时间戳和第三验证信息满足第二预设条件的情况下,确定服务器合法。
请一并参阅图12,图12为图11中步骤S170的子流程图。
在一些实施例中,步骤S170:根据第三中间加密参数、第四中间加密参数、第一随机数、第一时间戳和第三验证信息是否满足第二子预设条件判断服务器是否合法,包括:
S171:根据第三中间加密参数、第一随机数、第一时间戳和第二时间戳的级联值的关于第一哈希函数的哈希值与第二加密参数的位异或运算值获得第一校验参数。具体地,第三中间加密参数、第一随机数、第一时间戳、第二时间戳、第二加密参数和第一校验参数满足:其中rj *为第一校验参数。
S172:根据第四中间加密参数、第一随机数、第一校验参数、第一时间戳和第二时间戳的级联值的关于第一哈希函数的哈希值获得第二校验参数。第四中间加密参数、第一随机数、第一校验参数、第一时间戳、第二时间戳和第二校验参数满足:其中M3 *为第二校验参数。
S173:比较第二校验参数与第三加密参数,在第二校验参数与第三加密参数一致的情况下,确定服务器合法。
在步骤S170中,在确定服务器合法的情况下,生成与服务器共享的共享密钥。共享密钥可以为第三中间加密参数、第四中间加密参数、第一随机数和第一校验参数的级联值的关于第一哈希函数的哈希值,SK=h(EIDi||EPWi||ri||rj),其中SK为共享密钥。
请一并参阅图13,图13示出本发明另再一个实施例的身份认证方法的更改口令的子流程图。
在一些实施例中,步骤S142中,在确定用户身份合法之后,还包括口令更改的步骤:
S181:获取第二口令。
S182:根据第二口令与第一模糊参数的级联值通过第一哈希函数生成第二口令中间参数。第二口令、第一模糊参数和第二口令中间参数满足:RPWi new=h(PWi new||σ),其中RPWi new为第二口令中间参数。
S183:根据第二口令中间参数、第一中间加密参数、第一身份标识、第一口令中间参数、第一大素数和第一生成元生成第五中间加密参数。第二口令中间参数、第一中间加密参数、第一身份标识、第一口令中间参数、第一大素数、第一生成元和第五中间加密参数满足:其中Ai new为第五中间加密参数。
S184:根据第一身份标识与第二口令中间参数的级联值关于第一哈希函数的哈希值与第五中间加密参数的位异或运算值获得第三参数。第一身份标识、第二口令中间参数、第五中间加密参数和第三参数满足:其中Bi new为第三参数。
S185:根据第五中间加密参数关于第一哈希函数的哈希值获得第四参数。第五中间加密参数和第四参数满足:其中Ci new,为第四参数。
S186:采用第三参数和第四参数更新第一预存参数和第二预存参数。这样,将加密卡中对应的注册口令更改为第二口令。
本发明实施例的身份认证方法,终端与服务器之间的传输信息中对应用户的第一身份标识、第一口令和第一生物特征的数据保持不断变化,进而实现第一身份标识、第一口令和第一生物特征的动态隐藏加密,增加被破解的难度。
下面通过图14和15详细介绍根据本发明实施例的身份认证装置,身份认证装置与身份认证方法相对应。
图14示出了根据本发明一个实施例的身份认证装置的结构示意图。
如图14所示,应用于终端的身份认证装置包括:
第一获取模块110,用于获取待认证用户的第一身份标识、第一口令和第一生物特征。
第一生成模块120,用于根据第一身份标识、第一口令、第一生物特征和第一随机数生成第一验证信息。
第一发送模块130,用于向服务器发送第一验证信息,以用于服务器根据第一验证信息是否满足第一预设条件判断终端是否合法,在第一验证信息满足第一预设条件的情况下,确定终端合法。
图15示出本发明另一个实施例的身份认证装置的结构示意图。
应用于服务器的身份认证装置,包括:
第二获取模块210,用于获取来自于终端的第一验证信息。
第一判断模块220,用于根据第一验证信息是否满足第一预设条件判断终端是否合法,在第一验证信息满足第一预设条件的情况下,确定终端合法。
本发明实施例提供的身份认证装置的各个单元具有实现图1至图13所示实施例的身份认证方法/步骤的功能,且能达到与图1至图13所示实施例相应的技术效果,为简洁描述,在此不再赘述。
图16示出了能够实现根据本发明实施例的身份认证方法和装置的计算设备的示例性硬件架构的结构图。
如图16所示,计算设备300包括输入设备301、输入接口302、中央处理器303、存储器304、输出接口305、以及输出设备306。其中,输入接口302、中央处理器303、存储器304、以及输出接口305通过总线310相互连接,输入设备301和输出设备306分别通过输入接口302和输出接口305与总线310连接,进而与计算设备300的其他组件连接。
具体地,输入设备301接收来自外部的输入信息,并通过输入接口302将输入信息传送到中央处理器303;中央处理器303基于存储器304中存储的计算机可执行指令对输入信息进行处理以生成输出信息,将输出信息临时或者永久地存储在存储器304中,然后通过输出接口305将输出信息传送到输出设备306;输出设备306将输出信息输出到计算设备300的外部供用户使用。
也就是说,图16所示的计算设备也可以被实现身份认证设备,该身份认证设备可以包括:存储有计算机可执行指令的存储器;以及处理器,该处理器在执行计算机可执行指令时可以实现结合图1至图13描述的身份认证方法。
本发明实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现本发明实施例提供的身份认证方法。
需要明确的是,本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本发明的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本发明的精神后,作出各种改变、修改和添加,或者改变步骤之间的顺序。以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
本发明可以以其他的具体形式实现,而不脱离其精神和本质特征。例如,特定实施例中所描述的算法可以被修改,而设备体系结构并不脱离本发明的基本精神。因此,当前的实施例在所有方面都被看作是示例性的而非限定性的,本发明的范围由所附权利要求而非上述描述定义,并且,落入权利要求的含义和等同物的范围内的全部改变从而都被包括在本发明的范围之中。
Claims (20)
1.一种身份认证方法,其特征在于,应用于终端,包括:
获取待认证用户的第一身份标识、第一口令和第一生物特征;
根据所述第一身份标识、所述第一口令、所述第一生物特征和第一随机数生成第一验证信息;
其中,所述根据所述第一身份标识、所述第一口令、所述第一生物特征和第一随机数生成第一验证信息,包括:
根据所述第一生物特征和第一纠错码通过第一恢复函数生成第一模糊参数,其中所述第一纠错码由与所述第一恢复函数对应的第一生成函数生成;
根据所述第一口令与所述第一模糊参数的级联值通过第一哈希函数生成第一口令中间参数;
根据所述第一身份标识和所述第一口令中间参数的级联值关于所述第一哈希函数的哈希值与第一预存参数的位异或运算值生成第一中间加密参数;
根据所述第一中间加密参数、所述第一身份标识、所述第一口令中间参数、所述第一随机数、第一大素数和所述第一大素数域的第一生成元生成第二中间加密参数;
根据所述第一中间加密参数、所述第一身份标识、所述第一口令中间参数、所述第一大素数和所述第一生成元生成第三中间加密参数;
根据所述第一身份标识、所述第一口令中间参数、所述第一大素数和所述第一生成元生成第四中间加密参数;
根据所述第三中间加密参数、所述第四中间加密参数、所述第一随机数和第一时间戳的级联值关于所述第一哈希函数的哈希值获得第一加密参数,其中所述第一时间戳为计算所述第一加密参数时的时间,其中,所述第三中间加密参数、所述第四中间加密参数、所述第一随机数、所述第一时间戳和所述第一加密参数可以满足M1=h(EIDi‖EPWi‖ri‖T1),其中M1为所述第一加密参数,h()为所述第一哈希函数,EIDi为所述第三中间加密参数,EPWi为第四中间加密参数,ri为所述第一随机数,T1为所述第一时间戳;
根据所述第一身份标识、所述第一随机数、第一大素数和所述第一大素数的域的第一生成元生成第一动态身份标识,其中,所述第一身份标识位于所述第一生成元的指数位;
根据所述第一身份标识、所述第一口令中间参数、所述第一随机数、所第一大素数和所述第一生成元获得第一动态口令,其中所述第一身份标识和所述第一口令中间参数位于所述第一生成元的指数位;
根据所述第一动态身份标识、所述第一动态口令、所述第二中间加密参数、所述第一加密参数和所述第一时间戳生成所述第一验证信息;
向服务器发送所述第一验证信息,以用于所述服务器根据所述第一验证信息是否满足第一预设条件判断所述终端是否合法,在所述第一验证信息满足所述第一预设条件的情况下,所述服务器确定所述终端合法。
2.根据权利要求1所述的身份认证方法,其特征在于,所述根据所述第一身份标识、所述第一口令、所述第一生物特征和第一随机数生成第一验证信息,包括:
至少根据所述第一动态身份标识和所述第一动态口令生成所述第一验证信息。
3.根据权利要求1所述的身份认证方法,其特征在于,在所述获取待认证用户的第一身份标识、第一口令和第一生物特征之后,且在所述根据所述第一身份标识、所述第一口令、所述第一生物特征和第一随机数生成第一验证信息之前,还包括:
根据所述第一身份标识、所述第一口令和所述第一生物特征验证用户身份是否合法;
所述根据所述第一身份标识、所述第一口令、所述第一生物特征和第一随机数生成第一验证信息,具体包括:
在所述用户身份合法的合法情况下,根据所述第一身份标识、所述第一口令、所述第一生物特征和所述第一随机数生成所述第一验证信息。
4.根据权利要求3所述的身份认证方法,其特征在于,所述根据所述第一身份标识、所述第一口令和所述第一生物特征验证用户身份是否合法,包括:
根据所述第一身份标识、所述第一口令和所述第一生物特征生成第二验证信息;
比较所述第二验证信息与第二预存参数,在所述第二验证信息与所述第二预存参数一致的情况下,确定所述用户身份合法。
5.根据权利要求4所述的身份认证方法,其特征在于,所述根据所述第一身份标识、所述第一口令和所述第一生物特征生成所述第二验证信息,包括:
根据所述第一生物特征和第一纠错码通过第一恢复函数生成第一模糊参数,其中所述第一纠错码由与所述第一恢复函数对应的第一生成函数生成;
根据所述第一口令与所述第一模糊参数的级联值通过第一哈希函数生成第一口令中间参数;
根据所述第一身份标识和所述第一口令中间参数的级联值关于所述第一哈希函数的哈希值与第一预存参数的位异或运算值生成第一中间加密参数;
根据所述第一中间加密参数通过第一哈希函数生成第二验证信息。
6.根据权利要求1所述的身份认证方法,其特征在于,在所述向服务器发送所述第一验证信息之后,且在所述服务器确定所述终端合法的情况下,还包括:
接收来自于所述服务器的第三验证信息,其中所述第三验证信息包括第二加密参数、第三加密参数和第二时间戳,其中,所述第二时间戳为计算所述第二加密参数和/或所述第三加密参数时的时间;
根据所述第二时间戳与接收到所述第三验证信息的第二当前时间判断所述第三验证信息的时序是否合法,在所述第二当前时间与所述第二时间戳的差值小于第二时间阈值的情况下,确定所述第三验证信息的时序合法。
7.根据权利要求6所述的身份认证方法,其特征在于,在所述确定所述第三验证信息的时序合法之后,还包括:
根据所述第三中间加密参数、第四中间加密参数、所述第一随机数、所述第一时间戳和所述第三验证信息是否满足第二子预设条件判断所述服务器是否合法,在所述第三中间加密参数、第四中间加密参数、所述第一随机数、所述第一时间戳和所述第三验证信息满足所述第二子预设条件的情况下,确定所述服务器合法;
在确定所述服务器合法的情况下,生成与所述服务器共享的共享密钥。
8.根据权利要求7所述的身份认证方法,其特征在于,所述根据所述第三中间加密参数、第四中间加密参数、所述第一随机数、所述第一时间戳和所述第三验证信息是否满足第二子预设条件判断所述服务器是否合法,包括:
根据所述第三中间加密参数、所述第一随机数、所述第一时间戳和所述第二时间戳的级联值的关于所述第一哈希函数的哈希值与所述第二加密参数的位异或运算值获得第一校验参数;
根据所述第四中间加密参数、所述第一随机数、所述第一校验参数、所述第一时间戳和所述第二时间戳的级联值的关于所述第一哈希函数的哈希值获得第二校验参数;
比较所述第二校验参数与所述第三加密参数,在所述第二校验参数与所述第三加密参数一致的情况下,确定所述服务器合法。
9.根据权利要求8所述的身份认证方法,其特征在于,所述共享密钥为所述第三中间加密参数、所述第四中间加密参数、所述第一随机数和所述第一校验参数的级联值的关于所述第一哈希函数的哈希值。
10.根据权利要求5所述的身份认证方法,其特征在于,
所述第一预存参数和所述第二预存参数均根据预设模糊参数、第一大素数和所述第一生成元及合法用户在注册时提供的注册身份标识、注册口令和注册生物特征生成,其中,所述注册身份标识和所述注册口令至少位于所述第一生成元的指数位。
11.根据权利要求10所述的身份认证方法,其特征在于,在所述确定所述用户身份合法之后,还包括:
获取第二口令;
根据所述第二口令与所述第一模糊参数的级联值通过所述第一哈希函数生成第二口令中间参数;
根据所述第二口令中间参数、所述第一中间加密参数、所述第一身份标识、所述第一口令中间参数、所述第一大素数和所述第一生成元生成第五中间加密参数;
根据所述第一身份标识与所述第二口令中间参数的级联值关于所述第一哈希函数的哈希值与所述第五中间加密参数的位异或运算值获得第三参数;
根据所述第五中间加密参数关于所述第一哈希函数的哈希值获得第四参数;
采用所述第三参数和所述第四参数更新所述第一预存参数和所述第二预存参数。
12.一种身份认证方法,其特征在于,应用于服务器,包括:
获取来自于终端的第一验证信息;
其中,所述第一验证信息由所述终端生成,所述第一验证的信息的生成过程可以包括:
获取待认证用户的第一身份标识、第一口令和第一生物特征
根据所述第一身份标识、所述第一口令、所述第一生物特征和第一随机数生成第一验证信息;
其中,所述根据所述第一身份标识、所述第一口令、所述第一生物特征和第一随机数生成第一验证信息,包括:
根据所述第一生物特征和第一纠错码通过第一恢复函数生成第一模糊参数,其中所述第一纠错码由与所述第一恢复函数对应的第一生成函数生成;
根据所述第一口令与所述第一模糊参数的级联值通过第一哈希函数生成第一口令中间参数;
根据所述第一身份标识和所述第一口令中间参数的级联值关于所述第一哈希函数的哈希值与第一预存参数的位异或运算值生成第一中间加密参数;
根据所述第一中间加密参数、所述第一身份标识、所述第一口令中间参数、所述第一随机数、第一大素数和所述第一大素数域的第一生成元生成第二中间加密参数;
根据所述第一中间加密参数、所述第一身份标识、所述第一口令中间参数、所述第一大素数和所述第一生成元生成第三中间加密参数;
根据所述第一身份标识、所述第一口令中间参数、所述第一大素数和所述第一生成元生成第四中间加密参数;
根据所述第三中间加密参数、所述第四中间加密参数、所述第一随机数和第一时间戳的级联值关于所述第一哈希函数的哈希值获得第一加密参数,其中所述第一时间戳为计算所述第一加密参数时的时间,其中,所述第三中间加密参数、所述第四中间加密参数、所述第一随机数、所述第一时间戳和所述第一加密参数可以满足M1=h(EIDi‖EPWi‖ri‖T1),其中M1为所述第一加密参数,h()为所述第一哈希函数,EIDi为所述第三中间加密参数,EPWi为第四中间加密参数,ri为所述第一随机数,T1为所述第一时间戳;
根据所述第一身份标识、所述第一随机数、第一大素数和所述第一大素数的域的第一生成元生成第一动态身份标识,其中,所述第一身份标识位于所述第一生成元的指数位;
根据所述第一身份标识、所述第一口令中间参数、所述第一随机数、所第一大素数和所述第一生成元获得第一动态口令,其中所述第一身份标识和所述第一口令中间参数位于所述第一生成元的指数位;
根据所述第一动态身份标识、所述第一动态口令、所述第二中间加密参数、所述第一加密参数和所述第一时间戳生成所述第一验证信息;
根据所述第一验证信息是否满足第一预设条件判断所述终端是否合法,在所述第一验证信息满足所述第一预设条件的情况下,确定所述终端合法。
13.根据权利要求12所述的身份认证方法,其特征在于,所述第一验证信息包括第一动态身份标识、第一动态口令、第二中间加密参数、第一加密参数和第一时间戳;
所述根据所述第一验证信息是否满足第一预设条件判断所述终端是否合法,包括:
根据所述第一时间戳与接收到所述第一验证信息的第一当前时间判断所述第一验证信息的时序是否合法,在所述第一当前时间与所述第一时间戳的差值小于第一时间阈值的情况下,确定所述第一验证信息的时序合法。
14.根据权利要求13所述的身份认证方法,其特征在于,在所述确定所述第一验证信息的时序合法之后,所述根据所述第一验证信息是否满足第一预设条件判断所述终端是否合法,还包括:
根据所述第二中间加密参数、所述服务器的第一密钥、第一大素数和所述第一动态身份标识获得第三校验参数;
根据所述第三校验参数、所述第一动态身份标识、所述第一密钥和所述第一大素数获得第四校验参数;
根据所述第三校验参数、所述第一动态口令和所述第一大素数获得第五校验参数;
根据所述第四校验参数、所述第五校验参数、所述第三校验参数和所述第一时间戳获得第六校验参数;
比较所述第六校验参数与所述第一加密参数,在所述第六校验参数与所述第一加密参数一致的情况下,确定所述终端合法。
15.根据权利要求14所述的身份认证方法,其特征在于,在所述确定所述终端合法之后,包括:
向所述终端发送第三验证信息,以用于所述终端根据所述第三验证信息是否满足第二预设条件,在所述第三验证信息满足所述第二预设条件的情况下,确定所述服务器合法。
16.根据权利要求15所述的身份认证方法,其特征在于,所述向所述终端发送第三验证信息,包括:
根据所述第四校验参数、所述第三校验参数、第二随机数、所述第一时间戳和第二时间戳生成第二加密参数;
根据所述第五校验参数、所述第三校验参数、第二随机数、所述第一时间戳和所述第二时间戳生成第三加密参数;
将包括所述第二加密参数、所述第三加密参数和所述第二时间戳的所述第三验证信息发送至所述终端,其中,所述第二时间戳为计算所述第二加密参数和/或所述第三加密参数时的时间。
17.一种身份认证装置,其特征在于,应用于终端,包括:
第一获取模块,用于获取待认证用户的第一身份标识、第一口令和第一生物特征;
第一生成模块,用于根据所述第一身份标识、所述第一口令、所述第一生物特征和第一随机数生成第一验证信息;
其中,所述第一生成模块还用于根据所述第一生物特征和第一纠错码通过第一恢复函数生成第一模糊参数,其中所述第一纠错码由与所述第一恢复函数对应的第一生成函数生成;
根据所述第一口令与所述第一模糊参数的级联值通过第一哈希函数生成第一口令中间参数;
根据所述第一身份标识和所述第一口令中间参数的级联值关于所述第一哈希函数的哈希值与第一预存参数的位异或运算值生成第一中间加密参数;
根据所述第一中间加密参数、所述第一身份标识、所述第一口令中间参数、所述第一随机数、第一大素数和所述第一大素数域的第一生成元生成第二中间加密参数;
根据所述第一中间加密参数、所述第一身份标识、所述第一口令中间参数、所述第一大素数和所述第一生成元生成第三中间加密参数;
根据所述第一身份标识、所述第一口令中间参数、所述第一大素数和所述第一生成元生成第四中间加密参数;
根据所述第三中间加密参数、所述第四中间加密参数、所述第一随机数和第一时间戳的级联值关于所述第一哈希函数的哈希值获得第一加密参数,其中所述第一时间戳为计算所述第一加密参数时的时间,其中所述第三中间加密参数、所述第四中间加密参数、所述第一随机数、所述第一时间戳和所述第一加密参数可以满足M1=h(EIDi‖EPWi‖ri‖T1),其中M1为所述第一加密参数,h()为所述第一哈希函数,EIDi为所述第三中间加密参数,EPWi为第四中间加密参数,ri为所述第一随机数,T1为所述第一时间戳;
根据所述第一身份标识、所述第一随机数、第一大素数和所述第一大素数的域的第一生成元生成第一动态身份标识,其中,所述第一身份标识位于所述第一生成元的指数位;
根据所述第一身份标识、所述第一口令中间参数、所述第一随机数、所第一大素数和所述第一生成元获得第一动态口令,其中所述第一身份标识和所述第一口令中间参数位于所述第一生成元的指数位;
根据所述第一动态身份标识、所述第一动态口令、所述第二中间加密参数、所述第一加密参数和所述第一时间戳生成所述第一验证信息;
第一发送模块,用于向服务器发送所述第一验证信息,以用于所述服务器根据所述第一验证信息是否满足第一预设条件判断所述终端是否合法,在所述第一验证信息满足所述第一预设条件的情况下,确定所述终端合法。
18.一种身份认证装置,其特征在于,应用于服务器,包括:
第二获取模块,用于获取来自于终端的第一验证信息;
其中,所述第一验证信息由所述终端生成,所述第一验证的信息的生成过程可以包括:
获取待认证用户的第一身份标识、第一口令和第一生物特征
根据所述第一身份标识、所述第一口令、所述第一生物特征和第一随机数生成第一验证信息;
其中,所述根据所述第一身份标识、所述第一口令、所述第一生物特征和第一随机数生成第一验证信息,包括:
根据所述第一生物特征和第一纠错码通过第一恢复函数生成第一模糊参数,其中所述第一纠错码由与所述第一恢复函数对应的第一生成函数生成;
根据所述第一口令与所述第一模糊参数的级联值通过第一哈希函数生成第一口令中间参数;
根据所述第一身份标识和所述第一口令中间参数的级联值关于所述第一哈希函数的哈希值与第一预存参数的位异或运算值生成第一中间加密参数;
根据所述第一中间加密参数、所述第一身份标识、所述第一口令中间参数、所述第一随机数、第一大素数和所述第一大素数域的第一生成元生成第二中间加密参数;
根据所述第一中间加密参数、所述第一身份标识、所述第一口令中间参数、所述第一大素数和所述第一生成元生成第三中间加密参数;
根据所述第一身份标识、所述第一口令中间参数、所述第一大素数和所述第一生成元生成第四中间加密参数;
根据所述第三中间加密参数、所述第四中间加密参数、所述第一随机数和第一时间戳的级联值关于所述第一哈希函数的哈希值获得第一加密参数,其中所述第一时间戳为计算所述第一加密参数时的时间,其中,所述第三中间加密参数、所述第四中间加密参数、所述第一随机数、所述第一时间戳和所述第一加密参数可以满足M1=h(EIDi‖EPWi‖ri‖T1),其中M1为所述第一加密参数,h()为所述第一哈希函数,EIDi为所述第三中间加密参数,EPWi为第四中间加密参数,ri为所述第一随机数,T1为所述第一时间戳;
根据所述第一身份标识、所述第一随机数、第一大素数和所述第一大素数的域的第一生成元生成第一动态身份标识,其中,所述第一身份标识位于所述第一生成元的指数位;
根据所述第一身份标识、所述第一口令中间参数、所述第一随机数、所第一大素数和所述第一生成元获得第一动态口令,其中所述第一身份标识和所述第一口令中间参数位于所述第一生成元的指数位;
根据所述第一动态身份标识、所述第一动态口令、所述第二中间加密参数、所述第一加密参数和所述第一时间戳生成所述第一验证信息;
第一判断模块,用于根据所述第一验证信息是否满足第一预设条件判断所述终端是否合法,在所述第一验证信息满足所述第一预设条件的情况下,确定所述终端合法。
19.一种身份认证设备,其特征在于,所述设备包括:处理器以及存储有计算机程序指令的存储器;
所述处理器执行所述计算机程序指令时实现如权利要求1-11和/或12-16任意一项所述身份认证方法。
20.一种计算机存储介质,其特征在于,所述计算机存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如权利要求1-11和/或12-16任意一项所述身份认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010500361.8A CN113765856B (zh) | 2020-06-04 | 2020-06-04 | 身份认证方法、装置、设备和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010500361.8A CN113765856B (zh) | 2020-06-04 | 2020-06-04 | 身份认证方法、装置、设备和介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113765856A CN113765856A (zh) | 2021-12-07 |
| CN113765856B true CN113765856B (zh) | 2023-09-08 |
Family
ID=78783663
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010500361.8A Active CN113765856B (zh) | 2020-06-04 | 2020-06-04 | 身份认证方法、装置、设备和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113765856B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115766115A (zh) * | 2022-10-28 | 2023-03-07 | 支付宝(杭州)信息技术有限公司 | 一种身份验证方法、装置、存储介质及电子设备 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103346888A (zh) * | 2013-07-02 | 2013-10-09 | 山东科技大学 | 一种基于密码、智能卡和生物特征的远程身份认证方法 |
| US9111085B1 (en) * | 2012-09-21 | 2015-08-18 | Girling Kelly Design Group, LLC | Computer-implemented system and method for electronic personal identity verification |
| CN105516201A (zh) * | 2016-01-20 | 2016-04-20 | 陕西师范大学 | 一种多服务器环境下轻量级匿名认证与密钥协商方法 |
| CN105871553A (zh) * | 2016-06-28 | 2016-08-17 | 电子科技大学 | 一种无需用户身份的三因素的远程用户认证方法 |
| CN106921640A (zh) * | 2015-12-28 | 2017-07-04 | 航天信息股份有限公司 | 身份认证方法、认证装置及认证系统 |
| CN109088888A (zh) * | 2018-10-15 | 2018-12-25 | 山东科技大学 | 一种基于智能卡的安全通信方法及其系统 |
| CN109714167A (zh) * | 2019-03-15 | 2019-05-03 | 北京邮电大学 | 适用于移动应用签名的身份认证与密钥协商方法及设备 |
| CN109756893A (zh) * | 2019-01-25 | 2019-05-14 | 黑龙江大学 | 一种基于混沌映射的群智感知物联网匿名用户认证方法 |
| CN110502886A (zh) * | 2019-08-16 | 2019-11-26 | 广州国音智能科技有限公司 | 多重身份验证方法、装置、终端及计算机存储介质 |
| CN110838920A (zh) * | 2019-11-20 | 2020-02-25 | 北京航空航天大学 | web系统中无需存储口令相关信息的口令认证与密钥协商协议 |
| WO2020042462A1 (zh) * | 2018-08-31 | 2020-03-05 | 深圳壹账通智能科技有限公司 | 基于生理特征信息的身份验证方法、装置、系统和介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6622795B2 (ja) * | 2014-05-22 | 2019-12-18 | アナログ ディヴァイスィズ インク | 動的鍵生成を用いるネットワーク認証システム |
-
2020
- 2020-06-04 CN CN202010500361.8A patent/CN113765856B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9111085B1 (en) * | 2012-09-21 | 2015-08-18 | Girling Kelly Design Group, LLC | Computer-implemented system and method for electronic personal identity verification |
| CN103346888A (zh) * | 2013-07-02 | 2013-10-09 | 山东科技大学 | 一种基于密码、智能卡和生物特征的远程身份认证方法 |
| CN106921640A (zh) * | 2015-12-28 | 2017-07-04 | 航天信息股份有限公司 | 身份认证方法、认证装置及认证系统 |
| CN105516201A (zh) * | 2016-01-20 | 2016-04-20 | 陕西师范大学 | 一种多服务器环境下轻量级匿名认证与密钥协商方法 |
| CN105871553A (zh) * | 2016-06-28 | 2016-08-17 | 电子科技大学 | 一种无需用户身份的三因素的远程用户认证方法 |
| WO2020042462A1 (zh) * | 2018-08-31 | 2020-03-05 | 深圳壹账通智能科技有限公司 | 基于生理特征信息的身份验证方法、装置、系统和介质 |
| CN109088888A (zh) * | 2018-10-15 | 2018-12-25 | 山东科技大学 | 一种基于智能卡的安全通信方法及其系统 |
| CN109756893A (zh) * | 2019-01-25 | 2019-05-14 | 黑龙江大学 | 一种基于混沌映射的群智感知物联网匿名用户认证方法 |
| CN109714167A (zh) * | 2019-03-15 | 2019-05-03 | 北京邮电大学 | 适用于移动应用签名的身份认证与密钥协商方法及设备 |
| CN110502886A (zh) * | 2019-08-16 | 2019-11-26 | 广州国音智能科技有限公司 | 多重身份验证方法、装置、终端及计算机存储介质 |
| CN110838920A (zh) * | 2019-11-20 | 2020-02-25 | 北京航空航天大学 | web系统中无需存储口令相关信息的口令认证与密钥协商协议 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113765856A (zh) | 2021-12-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Xi et al. | A fingerprint based bio‐cryptographic security protocol designed for client/server authentication in mobile computing environment | |
| Jiang et al. | Three-factor authentication protocol using physical unclonable function for IoV | |
| US8670562B2 (en) | Generation and use of a biometric key | |
| US8689300B2 (en) | Method and system for generating digital fingerprint | |
| JP2018521417A (ja) | 生体特徴に基づく安全性検証方法、クライアント端末、及びサーバ | |
| CN110351727B (zh) | 一种适于无线传感网络的认证与密钥协商方法 | |
| CN106330838B (zh) | 一种动态签名方法及应用该方法的客户端和服务器 | |
| JP2008526078A (ja) | 鍵生成、及び認証の承認に関する方法及び装置 | |
| JP2004536384A (ja) | ネットワークを介した指紋のリモート認証方法、システムおよびコンピュータ・プログラム | |
| CN110020869B (zh) | 用于生成区块链授权信息的方法、装置及系统 | |
| CN113536250B (zh) | 令牌生成方法、登录验证方法及相关设备 | |
| JPWO2020121460A1 (ja) | 照合システム、クライアントおよびサーバ | |
| Fischlin et al. | Subtle kinks in distance-bounding: an analysis of prominent protocols | |
| CN111800262A (zh) | 数字资产的处理方法、装置和电子设备 | |
| CN101090321B (zh) | 使用非周期精确测量发现仿真客户机的设备和方法 | |
| CN113765856B (zh) | 身份认证方法、装置、设备和介质 | |
| JP7302606B2 (ja) | システムおよびサーバ | |
| CN117424709B (zh) | 终端设备的登录方法、设备以及可读存储介质 | |
| KR100866608B1 (ko) | 모바일 기기를 이용한 사용자와 서버간의 상호 인증시스템, 그 방법 및 기록매체 | |
| JP2007188194A (ja) | 認証システム、変換関数生成装置、変換関数生成方法、この変換関数生成方法をコンピュータに実行させることが可能なプログラム、及び、このプログラムをコンピュータが実行することが可能にて記録した記録媒体 | |
| CN114598454B (zh) | 密钥生成及身份认证方法、装置、设备及计算机存储介质 | |
| Maitra et al. | Analysis and enhancement of secure three-factor user authentication using Chebyshev Chaotic Map | |
| CN115865508A (zh) | 一种边缘计算双向认证方法 | |
| KR100986980B1 (ko) | 생체 인증 방법, 클라이언트 및 서버 | |
| CN116866093B (zh) | 身份认证方法、身份认证设备以及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |