CN114666114A - 一种基于生物特征的移动云数据安全认证方法 - Google Patents
一种基于生物特征的移动云数据安全认证方法 Download PDFInfo
- Publication number
- CN114666114A CN114666114A CN202210253334.4A CN202210253334A CN114666114A CN 114666114 A CN114666114 A CN 114666114A CN 202210253334 A CN202210253334 A CN 202210253334A CN 114666114 A CN114666114 A CN 114666114A
- Authority
- CN
- China
- Prior art keywords
- user
- cloud server
- registration
- key
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 238000012795 verification Methods 0.000 claims abstract description 13
- 238000004891 communication Methods 0.000 claims description 15
- 230000008569 process Effects 0.000 abstract description 9
- 230000009471 action Effects 0.000 description 12
- 230000005540 biological transmission Effects 0.000 description 4
- 238000013461 design Methods 0.000 description 2
- 239000012634 fragment Substances 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0421—Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种基于生物特征的移动云数据安全认证方法,包括注册阶段、登录阶段、身份验证和密钥协商阶段,采用用户和云服务器向注册中心发起注册,然后移动用户自进行生物信息验证,用户与云服务器相互交认证后交换密钥,在执行完认证阶段后,用户或云服务器使用会话密钥完成数据加密,然后通过不安全的通道发送加密数据。接收方使用相同的会话密钥解密接收到的数据,确保了数据的可靠性、可用性和完整性。本发明将生物特征信息融合到认证协议中,整个流程简易可靠,本发明基于生物特征进行匿名轻量级双因素认证,是一种有效且安全的身份验证协议,保证了数据访问的合法安全性。
Description
技术领域
本发明属于数据认证的技术领域,具体涉及一种基于生物特征的移动云数据安全认证方法。
背景技术
随着网络的不断发展,网络背后承担的经济价值越来越大,然而各种信息泄露事件不断的增多,造成了很多的经济损失,网络的信任认证变得越来越重要。互联网中存在着许多的不可信,许多有价值的信息容易泄露。因此必须要对通讯双方的身份真实性进行验证,以及保证信息传输过程中防止被人监听。总的来说就以下两点:
(1)身份认证,通过加入身份特征信息的认证协议,对通讯双方的身份进行有效的验证,来保护通信双方免受任何第三方的攻击。
(2)信息加密,数据在公开的通讯信道上以明文的方式传输,极其容易被监听或截从而导致信息的泄露。通过安全的方式交换密钥,通过密钥对数据进行加密,可有效的保证信息的机密性。
由于网络在设计之初并没有什么攻击事件,因此更多的考虑基本的通讯功能,而没有考虑太多的安全问题。而如今互联网发展越来越庞大,因为以前网络遗留着很多不安全的问题,越来越多的网络攻击事件频发。由于数据在传输过程中没有进行身份认证,且大多数以明文的方式进行传输,导致网络安全问题。因此非常需要重视。需要保证两个重要的点:(1)首先保证网络之中进行通讯的身份进行真实性检验,(2)数据传输过程之中为防止泄露需要进行加密传输。
用于移动云数据安全的基于生物特征B的认证协议在移动云计算中,移动设备和云服务器之间的数据共享通常是通过不可信的无线网络导致共享数据的安全风险。因此,移动云计算领域需要设计一种有效且安全的身份验证协议,以确保数据访问的合法性。然而,现有的身份验证协议在移动环境中容易受到多个安全问题的影响,无法提供对假冒攻击、内部特权攻击和秘密临时泄漏攻击的抵抗力,限制了移动设备在通信、计算和存储资源中的使用。
专利申请号为CN201110078425.0的现有技术公开了一种身份认证方法、信息采集设备及身份认证设备,该方法包括步骤:信息采集设备采集待认证用户用于进行身份认证的认证动作信息;并将采集到的认证动作信息发送给身份认证设备;所述身份认证设备将接收到的认证动作信息与预设的动作信息库中的各预设动作信息进行匹配;若匹配成功,则所述身份认证设备确认通过所述用户的身份认证。采用本申请技术方案,解决了现有技术中存在的对用户进行身份认证的安全性较低的问题。然而,具有以下缺陷:
1.成本高且认证流程复杂。信息采集设备采集待认证用户用于进行身份认证的认证动作信息;并将采集到的认证动作信息发送给身份认证设备;所述身份认证设备将接收到的认证动作信息与预设的动作信息库中的各预设动作信息进行匹配;若匹配成功,则所述身份认证设备确认通过所述用户的身份认证。需要专业的设备,成本高并认证复杂。
2.不能适应互联网大批量用户认证场景,互联网中身份信息认证要求简单已处理。该方案要求信息采集设备首先采集待认证用户用于进行身份认证的认证动作信息,然后将采集到的认证动作信息发送给身份认证设备。认证流程并不简单高效,不适合应用于大批量的互联网用户认证。
发明内容
本发明的目的在于提供一种基于生物特征的移动云数据安全认证方法,旨在解决上述问题。本发明基于生物特征进行匿名轻量级双因素认证,是一种有效且安全的身份验证协议,保证了数据访问的合法安全性。
本发明主要通过以下技术方案实现:
一种基于生物特征的移动云数据安全认证方法,包括以下步骤:
步骤S100:注册阶段:用户向注册中心发起注册请求,通过安全通道将注册信息和生物特征发送给注册中心;云服务器向注册中心发起注册请求,通过安全通道将密钥和身份发送给注册中心;注册中心基于用户和云服务器的注册请求信息,通过安全通道分别回复用户、云服务器注册信息;
步骤S200:登录阶段:用户根据账号、密码以及生物特征信息进行验证登录;
步骤S300:身份验证阶段:移动用户结合注册回复信息中的变量参数向云服务器发起认证请求,云服务器验证移动用户;云服务器结合注册回复信息中的变量参数向移动用户发起认证请求,移动用户验证云服务器;
步骤S400:密钥协商阶段:当移动用户和云服务器相互验证完成后,相互进行密钥交换;密钥交换完成后,移动用户和云服务器都使用密钥对通讯信息进行加密通讯。
为了更好地实现本发明,进一步地,所述步骤S100包括以下步骤:
步骤S101:用户和云服务器分别向注册中心发送注册信息:用户将包含用户名Name、密码PW、生物特征B、计算值α的注册信息通过安全通道提交给注册中心,云服务器将包含计算值β、随机密码PW生成算法密钥TK的注册信息通过安全通道提交给注册中心;
步骤S102:注册中心分别回复用户和云服务器的注册信息:注册中心在收到用户发来的注册信息后,存储注册信息,并将用户的注册信息发送给云服务器,云服务器接收用户的用户名Name、密码PW、生物特征B、计算值α,并计算密钥K=αb(mod p)=(ga)b(mod p);注册中心在收到云服务器发来的注册信息后,储存注册信息,并将云服务器的注册信息发送给用户,用户接收云服务器的计算值β、随机密码PW生成算法密钥TK,并计算密钥K=βa(mod p)=(gb)a(mod p);用户和云服务器共享了密钥K;
步骤S102:注册中心将用户的用户名Name、密码PW、生物特征B计算得到CV=h(Name,PW,B),并存储在智能卡SD卡中,且发送给用户,其中h(.)为安全单向散列函数。
为了更好地实现本发明,进一步地,计算值α=ga(mod p),a是私密的随机数,即只有用户MU知道a,其中1≤a≤p-2,p为大素数,g为生成元,2≤g≤p-2。
为了更好地实现本发明,进一步地,计算值β=gb(mod p),b是私密的随机数,即只有云服务器MCS知道b。
为了更好地实现本发明,进一步地,在步骤S200中,用户将智能卡SC插入读卡器,输入用户名Name`和密码PW`,并印上个人生物特征B`,并计算得到CV`=h(Name`,PW`,B`);将CV`与智能卡SD卡中的CV进行对比,若CV`=CV,则进行身份验证阶段,否则终止登录。
为了更好地实现本发明,进一步地,所述步骤S300包括以下步骤:
步骤S301:云服务器验证用户:用户将用户名Name`、密码PW`和生物特征B`打包,然后计算EightNum1=RPGA(TK,T),形成数据包,最后使用共享的密钥K加密数据包,并通过公用通道将数据包和EightNum1发送到云服务器;服务器收到用户通过公用通道发送的数据包,并使用共享的密钥K解密,然后计算EightNum1`=RPGA(TK,T),对比数据包中的信息与用户的注册信息以及EightNum1与EightNum1`,若都相等,则云服务器验证用户通过;
步骤S302:用户验证云服务器:云服务器使用共享的密钥K加密生物特征B,然后计算EightNum2=RPGA(TK,T),并通过公用通道将包含加密后的生物特征B和EightNum2的数据包发送给用户;用户收到云服务器的数据包后,通过共享的密钥K解密,然后计算EightNum2`=RPGA(TK,T),计算CV*=h(Name,PW,B);若CV*=CV,EightNum2`=EightNum2则匹配正确,则用户成功验证云服务器;
其中,EightNum为8位随机密码,
RPGA为随机密码生成算法,
TK为密钥
T为时间点。
为了更好地实现本发明,进一步地,所述步骤S400包括以下步骤:
步骤S401:云服务器选取共享的会话密钥PK,并选取一个随机数x加密得到SS,将密钥信息PK和加密值SS发送给用户;
步骤S402:用户获取云服务器发送的共享的会话密钥PK,使用PK解密出加密值SS,然后将解密值x`发送给云服务器;
步骤S403:云服务器收到用户MU发送的解密值x`,然后对比存储的随机数x,若x`=x相同则密钥协商完成。
本发明的有益效果:
(1)本发明将生物特征信息融合到认证协议中,整个流程简易可靠,采用用户和云服务器向注册中心发起注册,然后移动用户自进行生物信息验证,用户与云服务器相互交认证后交换密钥;本发明基于生物特征进行匿名轻量级双因素认证,是一种有效且安全的身份验证协议,保证了数据访问的合法安全性;
(2)本发明的认证可信度更高:加入生物特征信息认证和传统的密钥认证相比,认证具体到用户个体生物特征,从可信度更高,更容易防止假冒攻击等安全问题;安全性更高:将生物特征融合到认证协议之中,用户的生物信息很难被模仿因此安全级别相对更高,从而有效的避免信息泄露;成本更低:通过结合生物特征进行身份信息认证,能有效的降低计算量来维护数据安全,从而达到降低安全通信的成本;
(3)在执行完认证阶段后,用户或云服务器使用会话密钥完成数据加密,然后通过不安全的通道发送加密数据。接收方使用相同的会话密钥解密接收到的数据,确保了数据的可靠性、可用性和完整性;
(4)相比传统公钥加密私钥认证,本发明借助密钥间接对用户认证,将生物信息融入到认证协议中,直接对用户身份认证,直接认证相比于节间认证更加的简单可信;
(5)本发明在密钥的基础上,通过随机密码生成算法,加入时间因子从而在认证过程中超过有效时间会失效,能够有效防止重放攻击,让认证过程更加的安全,在只获取生物特征的情况下也无法认证,具有较好的实用性。
附图说明
图1为本发明的原理框图;
图2为本发明的流程图。
具体实施方式
实施例1:
一种基于生物特征的移动云数据安全认证方法,如图1所示,包括以下步骤:
步骤S100:注册阶段:用户向注册中心发起注册请求,通过安全通道将注册信息和生物特征发送给注册中心;云服务器向注册中心发起注册请求,通过安全通道将密钥和身份发送给注册中心;注册中心基于用户和云服务器的注册请求信息,通过安全通道分别回复用户、云服务器注册信息;
步骤S200:登录阶段:用户根据账号、密码以及生物特征信息进行验证登录;
步骤S300:身份验证阶段:移动用户结合注册回复信息中的变量参数向云服务器发起认证请求,云服务器验证移动用户;云服务器结合注册回复信息中的变量参数向移动用户发起认证请求,移动用户验证云服务器;
步骤S400:密钥协商阶段:当移动用户和云服务器相互验证完成后,相互进行密钥交换;密钥交换完成后,移动用户和云服务器都使用密钥对通讯信息进行加密通讯。
本发明将生物特征信息融合到认证协议中,整个流程简易可靠,采用用户和云服务器向注册中心发起注册,然后移动用户自进行生物信息验证,用户与云服务器相互交认证后交换密钥;本发明基于生物特征进行匿名轻量级双因素认证,是一种有效且安全的身份验证协议,保证了数据访问的合法安全性。
实施例2:
本实施例是在实施例1的基础上进行优化,所述步骤S100包括以下步骤:
步骤S101:用户和云服务器分别向注册中心发送注册信息:用户将包含用户名Name、密码PW、生物特征B、计算值α的注册信息通过安全通道提交给注册中心,云服务器将包含计算值β、随机密码PW生成算法密钥TK的注册信息通过安全通道提交给注册中心;
步骤S102:注册中心分别回复用户和云服务器的注册信息:注册中心在收到用户发来的注册信息后,存储注册信息,并将用户的注册信息发送给云服务器,云服务器接收用户的用户名Name、密码PW、生物特征B、计算值α,并计算密钥K=αb(mod p)=(ga)b(mod p);注册中心在收到云服务器发来的注册信息后,储存注册信息,并将云服务器的注册信息发送给用户,用户接收云服务器的计算值β、随机密码PW生成算法密钥TK,并计算密钥K=βa(mod p)=(gb)a(mod p);用户和云服务器共享了密钥K;
步骤S102:注册中心将用户的用户名Name、密码PW、生物特征B计算得到CV=h(Name,PW,B),并存储在智能卡SD卡中,且发送给用户,其中h(.)为安全单向散列函数。
进一步地,计算值α=ga(mod p),a是私密的随机数,即只有用户MU知道a,其中1≤a≤p-2,p为大素数,g为生成元,2≤g≤p-2。
进一步地,计算值β=gb(mod p),b是私密的随机数,即只有云服务器MCS知道b。
本实施例的其他部分与实施例1相同,故不再赘述。
实施例3:
本实施例是在实施例1或2的基础上进行优化,在步骤S200中,用户将智能卡SC插入读卡器,输入用户名Name`和密码PW`,并印上个人生物特征B`,并计算得到CV`=h(Name`,PW`,B`);将CV`与智能卡SD卡中的CV进行对比,若CV`=CV,则进行身份验证阶段,否则终止登录。
进一步地,所述步骤S300包括以下步骤:
步骤S301:云服务器验证用户:用户将用户名Name`、密码PW`和生物特征B`打包,然后计算EightNum1=RPGA(TK,T),形成数据包,最后使用共享的密钥K加密数据包,并通过公用通道将数据包和EightNum1发送到云服务器;服务器收到用户通过公用通道发送的数据包,并使用共享的密钥K解密,然后计算EightNum1`=RPGA(TK,T),对比数据包中的信息与用户的注册信息以及EightNum1与EightNum1`,若都相等,则云服务器验证用户通过;
步骤S302:用户验证云服务器:云服务器使用共享的密钥K加密生物特征B,然后计算EightNum2=RPGA(TK,T),并通过公用通道将包含加密后的生物特征B和EightNum2的数据包发送给用户;用户收到云服务器的数据包后,通过共享的密钥K解密,然后计算EightNum2`=RPGA(TK,T),计算CV*=h(Name,PW,B);若CV*=CV,EightNum2`=EightNum2则匹配正确,则用户成功验证云服务器;
其中,EightNum为8位随机密码,
RPGA为随机密码生成算法,
TK为密钥
T为时间点。
进一步地,所述步骤S400包括以下步骤:
步骤S401:云服务器选取共享的会话密钥PK,并选取一个随机数x加密得到SS,将密钥信息PK和加密值SS发送给用户;
步骤S402:用户获取云服务器发送的共享的会话密钥PK,使用PK解密出加密值SS,然后将解密值x`发送给云服务器;
步骤S403:云服务器收到用户MU发送的解密值x`,然后对比存储的随机数x,若x`=x相同则密钥协商完成。
本实施例的其他部分与上述实施例1或2相同,故不再赘述。
实施例4:
一种基于生物特征的移动云数据安全认证方法,如图1、图2所示,包括四个阶段:(1)注册阶段(2)登录阶段(3)身份验证(4)密钥协商阶段。具体如下:
一、注册阶段:
用户MU和云服务器MCS向注册中心RC发送注册信息:
1)选取公开的大素数p,和它的一个生成元g,2≤g≤p-2。
2)用户MU选择随机数a,1≤a≤p-2,并计算α=ga(mod p),a是私密的,即只有用户MU知道a。
用户MU自由选择用户名Name和密码PW,将自己的生物特征信息B印在特定设备上后,获取生物特征信息。然后将(用户名Name、密码PW、生物特征B、计算值α)通过安全通道将消息提交给注册中心RC
3)云服务器MCS选择随机数b,1≤b≤p-2,并计算β=gb(mod p)b是私密的,即只有云服务器MCS知道b。选取随机密码生成算法密钥(TK)。
云服务器MCS也注册中心RC注册。云服务器MCS将(计算值β,随机密码生成算法密钥TK)通过安全通道将消息提交给注册中心RC
注册中心RC回复用户MU和云服务器MCS的注册信息:
4)注册中心RC收到用户MU发来的注册请求消息后,存储注册信息,然后将用户信息然发送给云服务器MCS。云服务器MCS收到信息(用户名Name、密码PW、生物特征B、计算值α),计算K=αb(mod p)=(ga)b(mod p)
5)注册中心RC收到服务器MCS发来的注册请求消息后,存储注册信息,然后将用户信息发送给用户MU。用户MU收到信息后(计算值β,随机密码生成算法密钥TK),计算K=βa(mod p)=(gb)a(mod p)。此时用户MU和云服务器MCS共享了密钥K。(基于离散对数问题的计算复杂度,给定y,g,p,q,对于一般的x,没有已知的有效算法求解y=gx(modp))
6)注册中心RC将用(用户名Name、密码PW、生物特征B)特征计算后CV=h(Name,PW,B)存储在智能卡SD卡中后,发送给用户MU
RPGA:随机密码生成算法:
RPGA(TK,T)=Fragment(HMAC-SHA512(K,(CurrentUnixTime-T1)/F))
EightNum=RPGA(TK,T)
参数描述:
RPGA:随机密码生成算法
EightNum:8位随机密码
TK:密钥,
T:时间点,
CurrentUnixTime:当前时间戳
T1:初始时间戳
F:时间步长(秒),一次性密码变更的间隔时间,默认为60秒
Fragment:截取函数:
取HMAC-SHA512结果20字节(20byte)的最后一个字符的低4位offset num
offset num的值通过对16取余数(offset num%16)计算出字符截取的初始位置offset
HMAC-SHA512结果的第offset开始,取4个byte组成一个32位int
得到一个根据时间生成的8位挑战应答数字EightNum,如:(EightNum=95123648),该数字在时间步长F的时间内有效
在密钥的基础上,通过随机密码生成算法,加入时间因子从而在认证过程中超过有效时间会失效。优势如下:
第一,让认证过程更加的安全,在只获取生物特征的情况下也无法认证;
第二点,加入了时间因子,超过时间步长F后,随机密码会失效,能够有效防止重放攻击。
二、登录阶段:
生物信息验证登录:
1)用户将智能卡SC插入读卡器,输入用户名Name`和密码PW`,并印上个人生物特征B`。
2)智能卡SC,将输入的(用户名Name`+密码PW`+生物特征B`)计算出一个值CV`=h(Name`,PW`,B`),与SD智能卡中已存储的身份信息(用户名+密码+生物特征)计算后的值CV对比。用户输入计算值CV`=存储计算值CV,如果条件成立,则身份验证阶段将开始。否则,SC终止登录阶段。
三、身份验证:
认证和密钥协商阶段用户MU和云服务器MCS之间的相互认证在此阶段完成,不需要注册中心RC,之后为当前通信建立秘密会话密钥。
云服务器MCS验证用户MU:
1)用户MU将(Name`+密码PW`+生物特征B`)打包后,然后计算EightNum1=RPGA(TK,T)使用共享密钥K加密,通过公用通道发送到云服务器MCS
2)服务器收到用户MU通过公用通道发送的数据包(Name`+密码PW`+生物特征B`),使用共享密钥K解密后对比注册时注册中心回复的信息,然后计算EightNum1`=RPGA(TK,T)对比信息(用户名Name、密码PW、生物特征B),若注册信息匹配且EightNum1=EightNum1`则云服务器MCS验证用户MU通过。
用户MU验证云服务器MCS:
3)云服务器MCS使用公共密钥K,加密生物特征B,然后计算EightNum2=RPGA(TK,T),通过公共通道发送(生物特征B,8位随机密EightNum2)给用户MU
4)用户MU收到云服务器MCS的数据包后,通过公共密钥K解密出生物特征B信息,然后计算EightNum2`=RPGA(TK,T),然后计算CV*=h(Name,PW,B),然后与智能卡SD中存储的CV对比,若CV*=CV,EightNum2`=EightNum2则匹配正确,用户MU成功验证云服务器MCS
四、密钥协商阶段:
1)云服务器MCS选取共享的会话密钥PK,并选取一个随机数x加密得到SS,将密钥信息PK和加密值SS发送给用户MU
2)用户MU获取云服务器MCS发送的共享的会话密钥PK,使用PK解密出加密值SS,然后将解密值x`发送给云服务器MCS
3)云服务器MCS收到用户MU发送的解密值x`,然后对比存储的随机数x,若x`=x相同则密钥协商完成。
执行完认证阶段后,用户或云服务器使用会话密钥完成数据加密,然后通过不安全的通道发送加密数据。接收方使用相同的会话密钥解密接收到的数据,以确保数据的可靠性、可用性和完整性。
以上所述,仅是本发明的较佳实施例,并非对本发明做任何形式上的限制,凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化,均落入本发明的保护范围之内。
Claims (7)
1.一种基于生物特征的移动云数据安全认证方法,其特征在于,包括以下步骤:
步骤S100:注册阶段:用户向注册中心发起注册请求,通过安全通道将注册信息和生物特征发送给注册中心;云服务器向注册中心发起注册请求,通过安全通道将密钥和身份发送给注册中心;注册中心基于用户和云服务器的注册请求信息,通过安全通道分别回复用户、云服务器注册信息;
步骤S200:登录阶段:用户根据账号、密码以及生物特征信息进行验证登录;
步骤S300:身份验证阶段:移动用户结合注册回复信息中的变量参数向云服务器发起认证请求,云服务器验证移动用户;云服务器结合注册回复信息中的变量参数向移动用户发起认证请求,移动用户验证云服务器;
步骤S400:密钥协商阶段:当移动用户和云服务器相互验证完成后,相互进行密钥交换;密钥交换完成后,移动用户和云服务器都使用密钥对通讯信息进行加密通讯。
2.根据权利要求1所述的一种基于生物特征的移动云数据安全认证方法,其特征在于,所述步骤S100包括以下步骤:
步骤S101:用户和云服务器分别向注册中心发送注册信息:用户将包含用户名Name、密码PW、生物特征B、计算值α的注册信息通过安全通道提交给注册中心,云服务器将包含计算值β、随机密码PW生成算法密钥TK的注册信息通过安全通道提交给注册中心;
步骤S102:注册中心分别回复用户和云服务器的注册信息:注册中心在收到用户发来的注册信息后,存储注册信息,并将用户的注册信息发送给云服务器,云服务器接收用户的用户名Name、密码PW、生物特征B、计算值α,并计算密钥K=αb(mod p)=(ga)b(mod p);注册中心在收到云服务器发来的注册信息后,储存注册信息,并将云服务器的注册信息发送给用户,用户接收云服务器的计算值β、随机密码PW生成算法密钥TK,并计算密钥K=βa(modp)=(gb)a(mod p);用户和云服务器共享了密钥K;
步骤S102:注册中心将用户的用户名Name、密码PW、生物特征B计算得到CV=h(Name,PW,B),并存储在智能卡SD卡中,且发送给用户,其中h(.)为安全单向散列函数。
3.根据权利要求2所述的一种基于生物特征的移动云数据安全认证方法,其特征在于,计算值α=ga(mod p),a是私密的随机数,即只有用户MU知道a,其中1≤a≤p-2,p为大素数,g为生成元,2≤g≤p-2。
4.根据权利要求3所述的一种基于生物特征的移动云数据安全认证方法,其特征在于,计算值β=gb(mod p),b是私密的随机数,即只有云服务器MCS知道b。
5.根据权利要求2-4任一项所述的一种基于生物特征的移动云数据安全认证方法,其特征在于,在步骤S200中,用户将智能卡SC插入读卡器,输入用户名Name`和密码PW`,并印上个人生物特征B`,并计算得到CV`=h(Name`,PW`,B`);将CV`与智能卡SD卡中的CV进行对比,若CV`=CV,则进行身份验证阶段,否则终止登录。
6.根据权利要求5所述的一种基于生物特征的移动云数据安全认证方法,其特征在于,所述步骤S300包括以下步骤:
步骤S301:云服务器验证用户:用户将用户名Name`、密码PW`和生物特征B`打包,然后计算EightNum1=RPGA(TK,T),形成数据包,最后使用共享的密钥K加密数据包,并通过公用通道将数据包和EightNum1发送到云服务器;服务器收到用户通过公用通道发送的数据包,并使用共享的密钥K解密,然后计算EightNum1`=RPGA(TK,T),对比数据包中的信息与用户的注册信息以及EightNum1与EightNum1`,若都相等,则云服务器验证用户通过;
步骤S302:用户验证云服务器:云服务器使用共享的密钥K加密生物特征B,然后计算EightNum2=RPGA(TK,T),并通过公用通道将包含加密后的生物特征B和EightNum2的数据包发送给用户;用户收到云服务器的数据包后,通过共享的密钥K解密,然后计算EightNum2`=RPGA(TK,T),计算CV*=h(Name,PW,B);若CV*=CV,EightNum2`=EightNum2则匹配正确,则用户成功验证云服务器;
其中,EightNum为8位随机密码,
RPGA为随机密码生成算法,
TK为密钥
T为时间点。
7.根据权利要求1所述的一种基于生物特征的移动云数据安全认证方法,其特征在于,所述步骤S400包括以下步骤:
步骤S401:云服务器选取共享的会话密钥PK,并选取一个随机数x加密得到SS,将密钥信息PK和加密值SS发送给用户;
步骤S402:用户获取云服务器发送的共享的会话密钥PK,使用PK解密出加密值SS,然后将解密值x`发送给云服务器;
步骤S403:云服务器收到用户MU发送的解密值x`,然后对比存储的随机数x,若x`=x相同则密钥协商完成。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210253334.4A CN114666114B (zh) | 2022-03-15 | 2022-03-15 | 一种基于生物特征的移动云数据安全认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210253334.4A CN114666114B (zh) | 2022-03-15 | 2022-03-15 | 一种基于生物特征的移动云数据安全认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114666114A true CN114666114A (zh) | 2022-06-24 |
CN114666114B CN114666114B (zh) | 2024-02-02 |
Family
ID=82028755
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210253334.4A Active CN114666114B (zh) | 2022-03-15 | 2022-03-15 | 一种基于生物特征的移动云数据安全认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114666114B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116545774A (zh) * | 2023-07-05 | 2023-08-04 | 四川西盾科技有限公司 | 一种音视频会议安全保密方法及系统 |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103124269A (zh) * | 2013-03-05 | 2013-05-29 | 桂林电子科技大学 | 云环境下基于动态口令与生物特征的双向身份认证方法 |
CN103346888A (zh) * | 2013-07-02 | 2013-10-09 | 山东科技大学 | 一种基于密码、智能卡和生物特征的远程身份认证方法 |
CN104767624A (zh) * | 2015-04-23 | 2015-07-08 | 北京航空航天大学 | 基于生物特征的远程认证协议方法 |
US20160241532A1 (en) * | 2015-02-13 | 2016-08-18 | Yoti Ltd | Authentication of web content |
CN107294725A (zh) * | 2016-04-05 | 2017-10-24 | 电子科技大学 | 一种多服务器环境下的三因素认证方法 |
CN109327313A (zh) * | 2018-11-07 | 2019-02-12 | 西安电子科技大学 | 一种具有隐私保护特性的双向身份认证方法、服务器 |
CN112000941A (zh) * | 2020-10-29 | 2020-11-27 | 北京邮电大学 | 一种用于移动云计算的身份认证方法和系统 |
CN112399476A (zh) * | 2019-08-15 | 2021-02-23 | 华为技术有限公司 | 一种数据包传输方法、终端设备及网络设备 |
CN112968779A (zh) * | 2021-02-04 | 2021-06-15 | 西安电子科技大学 | 一种安全认证与授权控制方法、控制系统、程序存储介质 |
CN113259134A (zh) * | 2021-07-06 | 2021-08-13 | 浙江宇视科技有限公司 | 基于人脸识别的服务器防护方法、装置、设备及介质 |
CN113626794A (zh) * | 2021-07-22 | 2021-11-09 | 西安电子科技大学 | 客户/服务器模式下的认证及密钥协商方法、系统及应用 |
CN114125833A (zh) * | 2021-10-29 | 2022-03-01 | 南京信息工程大学 | 一种用于智能设备通信的多因素认证密钥协商方法 |
-
2022
- 2022-03-15 CN CN202210253334.4A patent/CN114666114B/zh active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103124269A (zh) * | 2013-03-05 | 2013-05-29 | 桂林电子科技大学 | 云环境下基于动态口令与生物特征的双向身份认证方法 |
CN103346888A (zh) * | 2013-07-02 | 2013-10-09 | 山东科技大学 | 一种基于密码、智能卡和生物特征的远程身份认证方法 |
US20160241532A1 (en) * | 2015-02-13 | 2016-08-18 | Yoti Ltd | Authentication of web content |
CN104767624A (zh) * | 2015-04-23 | 2015-07-08 | 北京航空航天大学 | 基于生物特征的远程认证协议方法 |
CN107294725A (zh) * | 2016-04-05 | 2017-10-24 | 电子科技大学 | 一种多服务器环境下的三因素认证方法 |
CN109327313A (zh) * | 2018-11-07 | 2019-02-12 | 西安电子科技大学 | 一种具有隐私保护特性的双向身份认证方法、服务器 |
CN112399476A (zh) * | 2019-08-15 | 2021-02-23 | 华为技术有限公司 | 一种数据包传输方法、终端设备及网络设备 |
CN112000941A (zh) * | 2020-10-29 | 2020-11-27 | 北京邮电大学 | 一种用于移动云计算的身份认证方法和系统 |
CN112968779A (zh) * | 2021-02-04 | 2021-06-15 | 西安电子科技大学 | 一种安全认证与授权控制方法、控制系统、程序存储介质 |
CN113259134A (zh) * | 2021-07-06 | 2021-08-13 | 浙江宇视科技有限公司 | 基于人脸识别的服务器防护方法、装置、设备及介质 |
CN113626794A (zh) * | 2021-07-22 | 2021-11-09 | 西安电子科技大学 | 客户/服务器模式下的认证及密钥协商方法、系统及应用 |
CN114125833A (zh) * | 2021-10-29 | 2022-03-01 | 南京信息工程大学 | 一种用于智能设备通信的多因素认证密钥协商方法 |
Non-Patent Citations (2)
Title |
---|
HARRY SHAW; SAYED HUSSEIN; HERMANN HELGERT: ""Prototype Genomics-Based Keyed-Hash Message Authentication Code Protocol"", 《2010 2ND INTERNATIONAL CONFERENCE ON EVOLVING INTERNET》 * |
张平;贾亦巧;王杰昌;石念峰: ""三因子匿名认证与密钥协商协议"", 《计算机应用》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116545774A (zh) * | 2023-07-05 | 2023-08-04 | 四川西盾科技有限公司 | 一种音视频会议安全保密方法及系统 |
CN116545774B (zh) * | 2023-07-05 | 2023-09-15 | 四川西盾科技有限公司 | 一种音视频会议安全保密方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN114666114B (zh) | 2024-02-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100581590B1 (ko) | 이중 요소 인증된 키 교환 방법 및 이를 이용한 인증방법과 그 방법을 포함하는 프로그램이 저장된 기록매체 | |
US7975139B2 (en) | Use and generation of a session key in a secure socket layer connection | |
US7607012B2 (en) | Method for securing a communication | |
EP1254547B1 (en) | Single sign-on process | |
Chattaraj et al. | A new two-server authentication and key agreement protocol for accessing secure cloud services | |
CN110020524B (zh) | 一种基于智能卡的双向认证方法 | |
CN113572765B (zh) | 一种面向资源受限终端的轻量级身份认证密钥协商方法 | |
EP2414983B1 (en) | Secure Data System | |
CN101192927B (zh) | 基于身份保密的授权与多重认证方法 | |
Di Pietro et al. | A two-factor mobile authentication scheme for secure financial transactions | |
CN116388995A (zh) | 一种基于puf的轻量级智能电网认证方法 | |
CN114666114B (zh) | 一种基于生物特征的移动云数据安全认证方法 | |
CN110784305B (zh) | 基于不经意伪随机函数和签密的单点登录认证方法 | |
CN112242993A (zh) | 双向认证方法及系统 | |
EP1623551B1 (en) | Network security method and system | |
WO2001011817A2 (en) | Network user authentication protocol | |
CN110768792B (zh) | 主密钥生成方法、装置及敏感安全参数的加解密方法 | |
Hsu et al. | Password authenticated key exchange protocol for multi-server mobile networks based on Chebyshev chaotic map | |
Chang et al. | A secure authentication scheme for telecare medical information systems | |
CN113014534A (zh) | 一种用户登录与认证的方法及装置 | |
He et al. | An asymmetric authentication protocol for M-Commerce applications | |
Malina et al. | Efficient and secure access control system based on programmable smart cards | |
CN117615373B (zh) | 基于ecc与puf的轻量级密钥协商身份认证与通信交流方法 | |
Rozenblit et al. | Computer aided design system for VLSI interconnections | |
Madhusudhan | Design of Robust Authentication Protocols for Roaming Service in Glomonet and Mitigation of XSS Attacks in Web Applications |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |