CN114666114A - 一种基于生物特征的移动云数据安全认证方法 - Google Patents

Abstract

本发明公开了一种基于生物特征的移动云数据安全认证方法，包括注册阶段、登录阶段、身份验证和密钥协商阶段，采用用户和云服务器向注册中心发起注册，然后移动用户自进行生物信息验证，用户与云服务器相互交认证后交换密钥，在执行完认证阶段后，用户或云服务器使用会话密钥完成数据加密，然后通过不安全的通道发送加密数据。接收方使用相同的会话密钥解密接收到的数据，确保了数据的可靠性、可用性和完整性。本发明将生物特征信息融合到认证协议中，整个流程简易可靠，本发明基于生物特征进行匿名轻量级双因素认证，是一种有效且安全的身份验证协议，保证了数据访问的合法安全性。

Description

一种基于生物特征的移动云数据安全认证方法

技术领域

本发明属于数据认证的技术领域，具体涉及一种基于生物特征的移动云数据安全认证方法。

背景技术

随着网络的不断发展，网络背后承担的经济价值越来越大，然而各种信息泄露事件不断的增多，造成了很多的经济损失，网络的信任认证变得越来越重要。互联网中存在着许多的不可信，许多有价值的信息容易泄露。因此必须要对通讯双方的身份真实性进行验证，以及保证信息传输过程中防止被人监听。总的来说就以下两点：

(1)身份认证，通过加入身份特征信息的认证协议，对通讯双方的身份进行有效的验证，来保护通信双方免受任何第三方的攻击。

(2)信息加密，数据在公开的通讯信道上以明文的方式传输，极其容易被监听或截从而导致信息的泄露。通过安全的方式交换密钥，通过密钥对数据进行加密，可有效的保证信息的机密性。

由于网络在设计之初并没有什么攻击事件，因此更多的考虑基本的通讯功能，而没有考虑太多的安全问题。而如今互联网发展越来越庞大，因为以前网络遗留着很多不安全的问题，越来越多的网络攻击事件频发。由于数据在传输过程中没有进行身份认证，且大多数以明文的方式进行传输，导致网络安全问题。因此非常需要重视。需要保证两个重要的点：(1)首先保证网络之中进行通讯的身份进行真实性检验，(2)数据传输过程之中为防止泄露需要进行加密传输。

用于移动云数据安全的基于生物特征B的认证协议在移动云计算中，移动设备和云服务器之间的数据共享通常是通过不可信的无线网络导致共享数据的安全风险。因此，移动云计算领域需要设计一种有效且安全的身份验证协议，以确保数据访问的合法性。然而，现有的身份验证协议在移动环境中容易受到多个安全问题的影响，无法提供对假冒攻击、内部特权攻击和秘密临时泄漏攻击的抵抗力，限制了移动设备在通信、计算和存储资源中的使用。

专利申请号为CN201110078425.0的现有技术公开了一种身份认证方法、信息采集设备及身份认证设备，该方法包括步骤：信息采集设备采集待认证用户用于进行身份认证的认证动作信息；并将采集到的认证动作信息发送给身份认证设备；所述身份认证设备将接收到的认证动作信息与预设的动作信息库中的各预设动作信息进行匹配；若匹配成功，则所述身份认证设备确认通过所述用户的身份认证。采用本申请技术方案，解决了现有技术中存在的对用户进行身份认证的安全性较低的问题。然而，具有以下缺陷：

1.成本高且认证流程复杂。信息采集设备采集待认证用户用于进行身份认证的认证动作信息；并将采集到的认证动作信息发送给身份认证设备；所述身份认证设备将接收到的认证动作信息与预设的动作信息库中的各预设动作信息进行匹配；若匹配成功，则所述身份认证设备确认通过所述用户的身份认证。需要专业的设备，成本高并认证复杂。

2.不能适应互联网大批量用户认证场景，互联网中身份信息认证要求简单已处理。该方案要求信息采集设备首先采集待认证用户用于进行身份认证的认证动作信息，然后将采集到的认证动作信息发送给身份认证设备。认证流程并不简单高效，不适合应用于大批量的互联网用户认证。

发明内容

本发明的目的在于提供一种基于生物特征的移动云数据安全认证方法，旨在解决上述问题。本发明基于生物特征进行匿名轻量级双因素认证，是一种有效且安全的身份验证协议，保证了数据访问的合法安全性。

本发明主要通过以下技术方案实现：

一种基于生物特征的移动云数据安全认证方法，包括以下步骤：

步骤S100：注册阶段：用户向注册中心发起注册请求，通过安全通道将注册信息和生物特征发送给注册中心；云服务器向注册中心发起注册请求，通过安全通道将密钥和身份发送给注册中心；注册中心基于用户和云服务器的注册请求信息，通过安全通道分别回复用户、云服务器注册信息；

步骤S200：登录阶段：用户根据账号、密码以及生物特征信息进行验证登录；

步骤S300：身份验证阶段：移动用户结合注册回复信息中的变量参数向云服务器发起认证请求，云服务器验证移动用户；云服务器结合注册回复信息中的变量参数向移动用户发起认证请求，移动用户验证云服务器；

步骤S400：密钥协商阶段：当移动用户和云服务器相互验证完成后，相互进行密钥交换；密钥交换完成后，移动用户和云服务器都使用密钥对通讯信息进行加密通讯。

为了更好地实现本发明，进一步地，所述步骤S100包括以下步骤：

步骤S101：用户和云服务器分别向注册中心发送注册信息：用户将包含用户名Name、密码PW、生物特征B、计算值α的注册信息通过安全通道提交给注册中心，云服务器将包含计算值β、随机密码PW生成算法密钥TK的注册信息通过安全通道提交给注册中心；

步骤S102：注册中心分别回复用户和云服务器的注册信息：注册中心在收到用户发来的注册信息后，存储注册信息，并将用户的注册信息发送给云服务器，云服务器接收用户的用户名Name、密码PW、生物特征B、计算值α，并计算密钥K＝α^b(mod p)＝(g^a)^b(mod p)；注册中心在收到云服务器发来的注册信息后，储存注册信息，并将云服务器的注册信息发送给用户，用户接收云服务器的计算值β、随机密码PW生成算法密钥TK，并计算密钥K＝β^a(mod p)＝(g^b)^a(mod p)；用户和云服务器共享了密钥K；

步骤S102：注册中心将用户的用户名Name、密码PW、生物特征B计算得到CV＝h(Name，PW，B)，并存储在智能卡SD卡中，且发送给用户，其中h(.)为安全单向散列函数。

为了更好地实现本发明，进一步地，计算值α＝g^a(mod p)，a是私密的随机数，即只有用户MU知道a，其中1≤a≤p-2，p为大素数，g为生成元，2≤g≤p-2。

为了更好地实现本发明，进一步地，计算值β＝g^b(mod p)，b是私密的随机数，即只有云服务器MCS知道b。

为了更好地实现本发明，进一步地，在步骤S200中，用户将智能卡SC插入读卡器，输入用户名Name`和密码PW`，并印上个人生物特征B`，并计算得到CV`＝h(Name`，PW`，B`)；将CV`与智能卡SD卡中的CV进行对比，若CV`＝CV，则进行身份验证阶段，否则终止登录。

为了更好地实现本发明，进一步地，所述步骤S300包括以下步骤：

步骤S301：云服务器验证用户：用户将用户名Name`、密码PW`和生物特征B`打包，然后计算EightNum1＝RPGA(TK，T)，形成数据包，最后使用共享的密钥K加密数据包，并通过公用通道将数据包和EightNum1发送到云服务器；服务器收到用户通过公用通道发送的数据包，并使用共享的密钥K解密，然后计算EightNum1`＝RPGA(TK，T)，对比数据包中的信息与用户的注册信息以及EightNum1与EightNum1`，若都相等，则云服务器验证用户通过；

步骤S302：用户验证云服务器：云服务器使用共享的密钥K加密生物特征B，然后计算EightNum2＝RPGA(TK，T)，并通过公用通道将包含加密后的生物特征B和EightNum2的数据包发送给用户；用户收到云服务器的数据包后，通过共享的密钥K解密，然后计算EightNum2`＝RPGA(TK，T)，计算CV*＝h(Name，PW，B)；若CV*＝CV，EightNum2`＝EightNum2则匹配正确，则用户成功验证云服务器；

其中，EightNum为8位随机密码，

RPGA为随机密码生成算法，

TK为密钥

T为时间点。

为了更好地实现本发明，进一步地，所述步骤S400包括以下步骤：

步骤S401：云服务器选取共享的会话密钥PK，并选取一个随机数x加密得到SS，将密钥信息PK和加密值SS发送给用户；

步骤S402：用户获取云服务器发送的共享的会话密钥PK，使用PK解密出加密值SS，然后将解密值x`发送给云服务器；

步骤S403：云服务器收到用户MU发送的解密值x`，然后对比存储的随机数x，若x`＝x相同则密钥协商完成。

本发明的有益效果：

(1)本发明将生物特征信息融合到认证协议中，整个流程简易可靠，采用用户和云服务器向注册中心发起注册，然后移动用户自进行生物信息验证，用户与云服务器相互交认证后交换密钥；本发明基于生物特征进行匿名轻量级双因素认证，是一种有效且安全的身份验证协议，保证了数据访问的合法安全性；

(2)本发明的认证可信度更高：加入生物特征信息认证和传统的密钥认证相比，认证具体到用户个体生物特征，从可信度更高，更容易防止假冒攻击等安全问题；安全性更高：将生物特征融合到认证协议之中，用户的生物信息很难被模仿因此安全级别相对更高，从而有效的避免信息泄露；成本更低：通过结合生物特征进行身份信息认证，能有效的降低计算量来维护数据安全，从而达到降低安全通信的成本；

(3)在执行完认证阶段后，用户或云服务器使用会话密钥完成数据加密，然后通过不安全的通道发送加密数据。接收方使用相同的会话密钥解密接收到的数据，确保了数据的可靠性、可用性和完整性；

(4)相比传统公钥加密私钥认证，本发明借助密钥间接对用户认证，将生物信息融入到认证协议中，直接对用户身份认证，直接认证相比于节间认证更加的简单可信；

(5)本发明在密钥的基础上，通过随机密码生成算法，加入时间因子从而在认证过程中超过有效时间会失效，能够有效防止重放攻击，让认证过程更加的安全，在只获取生物特征的情况下也无法认证，具有较好的实用性。

附图说明

图1为本发明的原理框图；

图2为本发明的流程图。

具体实施方式

实施例1：

一种基于生物特征的移动云数据安全认证方法，如图1所示，包括以下步骤：

步骤S100：注册阶段：用户向注册中心发起注册请求，通过安全通道将注册信息和生物特征发送给注册中心；云服务器向注册中心发起注册请求，通过安全通道将密钥和身份发送给注册中心；注册中心基于用户和云服务器的注册请求信息，通过安全通道分别回复用户、云服务器注册信息；

步骤S200：登录阶段：用户根据账号、密码以及生物特征信息进行验证登录；

步骤S300：身份验证阶段：移动用户结合注册回复信息中的变量参数向云服务器发起认证请求，云服务器验证移动用户；云服务器结合注册回复信息中的变量参数向移动用户发起认证请求，移动用户验证云服务器；

步骤S400：密钥协商阶段：当移动用户和云服务器相互验证完成后，相互进行密钥交换；密钥交换完成后，移动用户和云服务器都使用密钥对通讯信息进行加密通讯。

本发明将生物特征信息融合到认证协议中，整个流程简易可靠，采用用户和云服务器向注册中心发起注册，然后移动用户自进行生物信息验证，用户与云服务器相互交认证后交换密钥；本发明基于生物特征进行匿名轻量级双因素认证，是一种有效且安全的身份验证协议，保证了数据访问的合法安全性。

实施例2：

本实施例是在实施例1的基础上进行优化，所述步骤S100包括以下步骤：

步骤S101：用户和云服务器分别向注册中心发送注册信息：用户将包含用户名Name、密码PW、生物特征B、计算值α的注册信息通过安全通道提交给注册中心，云服务器将包含计算值β、随机密码PW生成算法密钥TK的注册信息通过安全通道提交给注册中心；

步骤S102：注册中心分别回复用户和云服务器的注册信息：注册中心在收到用户发来的注册信息后，存储注册信息，并将用户的注册信息发送给云服务器，云服务器接收用户的用户名Name、密码PW、生物特征B、计算值α，并计算密钥K＝α^b(mod p)＝(g^a)^b(mod p)；注册中心在收到云服务器发来的注册信息后，储存注册信息，并将云服务器的注册信息发送给用户，用户接收云服务器的计算值β、随机密码PW生成算法密钥TK，并计算密钥K＝β^a(mod p)＝(g^b)^a(mod p)；用户和云服务器共享了密钥K；

步骤S102：注册中心将用户的用户名Name、密码PW、生物特征B计算得到CV＝h(Name，PW，B)，并存储在智能卡SD卡中，且发送给用户，其中h(.)为安全单向散列函数。

进一步地，计算值α＝g^a(mod p)，a是私密的随机数，即只有用户MU知道a，其中1≤a≤p-2，p为大素数，g为生成元，2≤g≤p-2。

进一步地，计算值β＝g^b(mod p)，b是私密的随机数，即只有云服务器MCS知道b。

本实施例的其他部分与实施例1相同，故不再赘述。

实施例3：

本实施例是在实施例1或2的基础上进行优化，在步骤S200中，用户将智能卡SC插入读卡器，输入用户名Name`和密码PW`，并印上个人生物特征B`，并计算得到CV`＝h(Name`，PW`，B`)；将CV`与智能卡SD卡中的CV进行对比，若CV`＝CV，则进行身份验证阶段，否则终止登录。

进一步地，所述步骤S300包括以下步骤：

步骤S301：云服务器验证用户：用户将用户名Name`、密码PW`和生物特征B`打包，然后计算EightNum1＝RPGA(TK，T)，形成数据包，最后使用共享的密钥K加密数据包，并通过公用通道将数据包和EightNum1发送到云服务器；服务器收到用户通过公用通道发送的数据包，并使用共享的密钥K解密，然后计算EightNum1`＝RPGA(TK，T)，对比数据包中的信息与用户的注册信息以及EightNum1与EightNum1`，若都相等，则云服务器验证用户通过；

步骤S302：用户验证云服务器：云服务器使用共享的密钥K加密生物特征B，然后计算EightNum2＝RPGA(TK，T)，并通过公用通道将包含加密后的生物特征B和EightNum2的数据包发送给用户；用户收到云服务器的数据包后，通过共享的密钥K解密，然后计算EightNum2`＝RPGA(TK，T)，计算CV*＝h(Name，PW，B)；若CV*＝CV，EightNum2`＝EightNum2则匹配正确，则用户成功验证云服务器；

其中，EightNum为8位随机密码，

RPGA为随机密码生成算法，

TK为密钥

T为时间点。

进一步地，所述步骤S400包括以下步骤：

步骤S401：云服务器选取共享的会话密钥PK，并选取一个随机数x加密得到SS，将密钥信息PK和加密值SS发送给用户；

步骤S402：用户获取云服务器发送的共享的会话密钥PK，使用PK解密出加密值SS，然后将解密值x`发送给云服务器；

步骤S403：云服务器收到用户MU发送的解密值x`，然后对比存储的随机数x，若x`＝x相同则密钥协商完成。

本实施例的其他部分与上述实施例1或2相同，故不再赘述。

实施例4：

一种基于生物特征的移动云数据安全认证方法，如图1、图2所示，包括四个阶段：(1)注册阶段(2)登录阶段(3)身份验证(4)密钥协商阶段。具体如下：

一、注册阶段：

用户MU和云服务器MCS向注册中心RC发送注册信息：

1)选取公开的大素数p，和它的一个生成元g，2≤g≤p-2。

2)用户MU选择随机数a，1≤a≤p-2，并计算α＝g^a(mod p),a是私密的，即只有用户MU知道a。

用户MU自由选择用户名Name和密码PW，将自己的生物特征信息B印在特定设备上后，获取生物特征信息。然后将(用户名Name、密码PW、生物特征B、计算值α)通过安全通道将消息提交给注册中心RC

3)云服务器MCS选择随机数b，1≤b≤p-2，并计算β＝g^b(mod p)b是私密的，即只有云服务器MCS知道b。选取随机密码生成算法密钥(TK)。

云服务器MCS也注册中心RC注册。云服务器MCS将(计算值β，随机密码生成算法密钥TK)通过安全通道将消息提交给注册中心RC

注册中心RC回复用户MU和云服务器MCS的注册信息：

4)注册中心RC收到用户MU发来的注册请求消息后，存储注册信息，然后将用户信息然发送给云服务器MCS。云服务器MCS收到信息(用户名Name、密码PW、生物特征B、计算值α)，计算K＝α^b(mod p)＝(g^a)^b(mod p)

5)注册中心RC收到服务器MCS发来的注册请求消息后，存储注册信息，然后将用户信息发送给用户MU。用户MU收到信息后(计算值β，随机密码生成算法密钥TK)，计算K＝β^a(mod p)＝(g^b)^a(mod p)。此时用户MU和云服务器MCS共享了密钥K。(基于离散对数问题的计算复杂度，给定y,g,p,q，对于一般的x，没有已知的有效算法求解y＝g^x(modp))

6)注册中心RC将用(用户名Name、密码PW、生物特征B)特征计算后CV＝h(Name,PW,B)存储在智能卡SD卡中后，发送给用户MU

RPGA:随机密码生成算法：

RPGA(TK,T)＝Fragment(HMAC-SHA512(K,(CurrentUnixTime-T1)/F))

EightNum＝RPGA(TK,T)

参数描述：

RPGA:随机密码生成算法

EightNum：8位随机密码

TK:密钥，

T:时间点，

CurrentUnixTime:当前时间戳

T1:初始时间戳

F:时间步长(秒),一次性密码变更的间隔时间,默认为60秒

Fragment:截取函数：

取HMAC-SHA512结果20字节(20byte)的最后一个字符的低4位offset num

offset num的值通过对16取余数(offset num％16)计算出字符截取的初始位置offset

HMAC-SHA512结果的第offset开始,取4个byte组成一个32位int

得到一个根据时间生成的8位挑战应答数字EightNum，如：(EightNum＝95123648)，该数字在时间步长F的时间内有效

在密钥的基础上，通过随机密码生成算法，加入时间因子从而在认证过程中超过有效时间会失效。优势如下：

第一，让认证过程更加的安全，在只获取生物特征的情况下也无法认证；

第二点，加入了时间因子，超过时间步长F后，随机密码会失效，能够有效防止重放攻击。

二、登录阶段：

生物信息验证登录：

1)用户将智能卡SC插入读卡器，输入用户名Name`和密码PW`，并印上个人生物特征B`。

2)智能卡SC，将输入的(用户名Name`+密码PW`+生物特征B`)计算出一个值CV`＝h(Name`,PW`,B`)，与SD智能卡中已存储的身份信息(用户名+密码+生物特征)计算后的值CV对比。用户输入计算值CV`＝存储计算值CV，如果条件成立，则身份验证阶段将开始。否则，SC终止登录阶段。

三、身份验证：

认证和密钥协商阶段用户MU和云服务器MCS之间的相互认证在此阶段完成，不需要注册中心RC，之后为当前通信建立秘密会话密钥。

云服务器MCS验证用户MU：

1)用户MU将(Name`+密码PW`+生物特征B`)打包后，然后计算EightNum1＝RPGA(TK,T)使用共享密钥K加密，通过公用通道发送到云服务器MCS

2)服务器收到用户MU通过公用通道发送的数据包(Name`+密码PW`+生物特征B`)，使用共享密钥K解密后对比注册时注册中心回复的信息，然后计算EightNum1`＝RPGA(TK,T)对比信息(用户名Name、密码PW、生物特征B)，若注册信息匹配且EightNum1＝EightNum1`则云服务器MCS验证用户MU通过。

用户MU验证云服务器MCS：

3)云服务器MCS使用公共密钥K,加密生物特征B,然后计算EightNum2＝RPGA(TK,T)，通过公共通道发送(生物特征B，8位随机密EightNum2)给用户MU

4)用户MU收到云服务器MCS的数据包后，通过公共密钥K解密出生物特征B信息，然后计算EightNum2`＝RPGA(TK,T)，然后计算CV*＝h(Name,PW,B)，然后与智能卡SD中存储的CV对比，若CV*＝CV，EightNum2`＝EightNum2则匹配正确，用户MU成功验证云服务器MCS

四、密钥协商阶段：

1)云服务器MCS选取共享的会话密钥PK，并选取一个随机数x加密得到SS，将密钥信息PK和加密值SS发送给用户MU

2)用户MU获取云服务器MCS发送的共享的会话密钥PK，使用PK解密出加密值SS，然后将解密值x`发送给云服务器MCS

3)云服务器MCS收到用户MU发送的解密值x`，然后对比存储的随机数x，若x`＝x相同则密钥协商完成。

执行完认证阶段后，用户或云服务器使用会话密钥完成数据加密，然后通过不安全的通道发送加密数据。接收方使用相同的会话密钥解密接收到的数据，以确保数据的可靠性、可用性和完整性。

以上所述，仅是本发明的较佳实施例，并非对本发明做任何形式上的限制，凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化，均落入本发明的保护范围之内。

Claims (7)

1.一种基于生物特征的移动云数据安全认证方法，其特征在于，包括以下步骤：

步骤S100：注册阶段：用户向注册中心发起注册请求，通过安全通道将注册信息和生物特征发送给注册中心；云服务器向注册中心发起注册请求，通过安全通道将密钥和身份发送给注册中心；注册中心基于用户和云服务器的注册请求信息，通过安全通道分别回复用户、云服务器注册信息；

步骤S200：登录阶段：用户根据账号、密码以及生物特征信息进行验证登录；

步骤S300：身份验证阶段：移动用户结合注册回复信息中的变量参数向云服务器发起认证请求，云服务器验证移动用户；云服务器结合注册回复信息中的变量参数向移动用户发起认证请求，移动用户验证云服务器；

步骤S400：密钥协商阶段：当移动用户和云服务器相互验证完成后，相互进行密钥交换；密钥交换完成后，移动用户和云服务器都使用密钥对通讯信息进行加密通讯。

2.根据权利要求1所述的一种基于生物特征的移动云数据安全认证方法，其特征在于，所述步骤S100包括以下步骤：

步骤S101：用户和云服务器分别向注册中心发送注册信息：用户将包含用户名Name、密码PW、生物特征B、计算值α的注册信息通过安全通道提交给注册中心，云服务器将包含计算值β、随机密码PW生成算法密钥TK的注册信息通过安全通道提交给注册中心；

步骤S102：注册中心分别回复用户和云服务器的注册信息：注册中心在收到用户发来的注册信息后，存储注册信息，并将用户的注册信息发送给云服务器，云服务器接收用户的用户名Name、密码PW、生物特征B、计算值α，并计算密钥K＝α^b(mod p)＝(g^a)^b(mod p)；注册中心在收到云服务器发来的注册信息后，储存注册信息，并将云服务器的注册信息发送给用户，用户接收云服务器的计算值β、随机密码PW生成算法密钥TK，并计算密钥K＝β^a(modp)＝(g^b)^a(mod p)；用户和云服务器共享了密钥K；

步骤S102：注册中心将用户的用户名Name、密码PW、生物特征B计算得到CV＝h(Name，PW，B)，并存储在智能卡SD卡中，且发送给用户，其中h(.)为安全单向散列函数。

3.根据权利要求2所述的一种基于生物特征的移动云数据安全认证方法，其特征在于，计算值α＝g^a(mod p)，a是私密的随机数，即只有用户MU知道a，其中1≤a≤p-2，p为大素数，g为生成元，2≤g≤p-2。

4.根据权利要求3所述的一种基于生物特征的移动云数据安全认证方法，其特征在于，计算值β＝g^b(mod p)，b是私密的随机数，即只有云服务器MCS知道b。

5.根据权利要求2-4任一项所述的一种基于生物特征的移动云数据安全认证方法，其特征在于，在步骤S200中，用户将智能卡SC插入读卡器，输入用户名Name`和密码PW`，并印上个人生物特征B`，并计算得到CV`＝h(Name`，PW`，B`)；将CV`与智能卡SD卡中的CV进行对比，若CV`＝CV，则进行身份验证阶段，否则终止登录。

6.根据权利要求5所述的一种基于生物特征的移动云数据安全认证方法，其特征在于，所述步骤S300包括以下步骤：

步骤S301：云服务器验证用户：用户将用户名Name`、密码PW`和生物特征B`打包，然后计算EightNum1＝RPGA(TK，T)，形成数据包，最后使用共享的密钥K加密数据包，并通过公用通道将数据包和EightNum1发送到云服务器；服务器收到用户通过公用通道发送的数据包，并使用共享的密钥K解密，然后计算EightNum1`＝RPGA(TK，T)，对比数据包中的信息与用户的注册信息以及EightNum1与EightNum1`，若都相等，则云服务器验证用户通过；

步骤S302：用户验证云服务器：云服务器使用共享的密钥K加密生物特征B，然后计算EightNum2＝RPGA(TK，T)，并通过公用通道将包含加密后的生物特征B和EightNum2的数据包发送给用户；用户收到云服务器的数据包后，通过共享的密钥K解密，然后计算EightNum2`＝RPGA(TK，T)，计算CV*＝h(Name，PW，B)；若CV*＝CV，EightNum2`＝EightNum2则匹配正确，则用户成功验证云服务器；

其中，EightNum为8位随机密码，

RPGA为随机密码生成算法，

TK为密钥

T为时间点。

7.根据权利要求1所述的一种基于生物特征的移动云数据安全认证方法，其特征在于，所述步骤S400包括以下步骤：

步骤S401：云服务器选取共享的会话密钥PK，并选取一个随机数x加密得到SS，将密钥信息PK和加密值SS发送给用户；

步骤S402：用户获取云服务器发送的共享的会话密钥PK，使用PK解密出加密值SS，然后将解密值x`发送给云服务器；

步骤S403：云服务器收到用户MU发送的解密值x`，然后对比存储的随机数x，若x`＝x相同则密钥协商完成。

Images