ES2818199T3 - Método de verificación de seguridad con base en una característica biométrica, un terminal de cliente y un servidor - Google Patents

Método de verificación de seguridad con base en una característica biométrica, un terminal de cliente y un servidor Download PDF

Info

Publication number
ES2818199T3
ES2818199T3 ES16817193T ES16817193T ES2818199T3 ES 2818199 T3 ES2818199 T3 ES 2818199T3 ES 16817193 T ES16817193 T ES 16817193T ES 16817193 T ES16817193 T ES 16817193T ES 2818199 T3 ES2818199 T3 ES 2818199T3
Authority
ES
Spain
Prior art keywords
user
response message
verification
server
template
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES16817193T
Other languages
English (en)
Inventor
Junsui Lin
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Advanced New Technologies Co Ltd
Original Assignee
Advanced New Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Advanced New Technologies Co Ltd filed Critical Advanced New Technologies Co Ltd
Application granted granted Critical
Publication of ES2818199T3 publication Critical patent/ES2818199T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V40/00Recognition of biometric, human-related or animal-related patterns in image or video data
    • G06V40/10Human or animal bodies, e.g. vehicle occupants or pedestrians; Body parts, e.g. hands
    • G06V40/12Fingerprints or palmprints
    • G06V40/1365Matching; Classification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Human Computer Interaction (AREA)
  • Multimedia (AREA)
  • Collating Specific Patterns (AREA)

Abstract

Un método de verificación de seguridad basado en características biométricas realizado por un dispositivo cliente en un sistema de autenticación de identidad, en donde el sistema de autenticación de identidad comprende además un servidor, y en donde el dispositivo cliente guarda un registro de habilitación que comprende un ID de plantilla de la característica biométrica que se usa para la verificación de características biométricas y se obtiene en un proceso de habilitación de la verificación de características biométricas; el método de verificación de seguridad que comprende: enviar una solicitud de autenticación al servidor (1); recibir, desde el servidor, un mensaje de acuse de recibo a la solicitud de autenticación que comprende un ID de usuario (2); recibir una entrada de característica biométrica por parte de un usuario (3); obtener un ID de plantilla de la característica biométrica correspondiente a la característica biométrica, que comprende identificar, a partir de plantillas de características biométricas almacenadas, una plantilla de característica biométrica que corresponde a la entrada de característica biométrica recibida por el usuario y obtener un ID para la plantilla de característica biométrica identificada; buscar un registro de habilitación guardado correspondiente de acuerdo con el ID de usuario; comparar el ID de plantilla de la característica biométrica obtenido con el ID de plantilla de la característica biométrica en el correspondiente registro de habilitación guardado; generar un mensaje de respuesta de autenticación que comprende el ID de plantilla de la característica biométrica obtenido y el ID de usuario si el ID de plantilla de la característica biométrica obtenido y el ID de plantilla de la característica biométrica en el registro de habilitación guardado correspondiente son consistentes (5); y enviar el mensaje de respuesta de autenticación al servidor (6), para que el servidor reciba el mensaje de respuesta de autenticación, obtenga el ID de usuario en el mismo, busque un registro de usuario de acuerdo con el ID de usuario y realice la verificación.

Description

DESCRIPCIÓN
Método de verificación de seguridad con base en una característica biométrica, un terminal de cliente y un servidor Campo técnico
La presente invención se refiere al campo de las tecnologías de autenticación de identidad y, en particular, a un método de verificación de seguridad con base en una característica biométrica, un terminal de cliente y un servidor para su uso en un proceso de autenticación de identidad.
Antecedentes
Es necesario introducir una contraseña en un proceso de verificación de contraseña tradicional. Cada vez que se ingresa la contraseña, existe un riesgo de fuga, por ejemplo, un troyano keylogger, un peep físico y similares. Debido a que una huella digital tiene características tales como alta estabilidad, singularidad individual y alta precisión de algoritmo, muchos dispositivos comienzan a usar una función de verificación de huellas dactilares en los últimos años. Por ejemplo, el pago en línea se implementa a través de la verificación de huellas dactilares, lo que puede mejorar la experiencia del usuario y mejorar la seguridad del pago.
En la técnica anterior, en un proceso de verificación de huellas dactilares en línea, un terminal de cliente envía datos de huellas dactilares (una imagen de huellas dactilares o datos característicos de huellas dactilares) de un usuario a un terminal de servidor. El terminal de servidor compara los datos de huellas dactilares originales del usuario con los datos de huellas dactilares recibidos, completando así la verificación. Debido a que los datos de huellas dactilares deben transmitirse al terminal de servidor, existe el riesgo de que se filtren los datos de huellas dactilares en un proceso de carga. Los datos de huellas dactilares son datos privados y, por lo tanto, es posible que el usuario no acepte cargar los datos de huellas dactilares. Además, la fuga de datos de huellas dactilares puede causar un riesgo para la reputación. Incluso si el usuario acepta cargar los datos de huellas dactilares, el tráfico de la red debe consumirse durante la carga de datos. El terminal de servidor también necesita comparar los datos de huellas dactilares, consumiendo así recursos informáticos y de almacenamiento adicionales.
El documento US 2010/223663 A1 describe un dispositivo de servidor de autenticación, un dispositivo terminal, un sistema de autenticación y un método de autenticación.
El documento US 2008/172725 A1 describe un sistema, aparato y programa para la autenticación biométrica.
Resumen
La presente invención se define por las reivindicaciones. Los objetivos de la presente invención son proporcionar un método de verificación de seguridad con base en una característica biométrica, un terminal de cliente y un servidor, para evitar los problemas técnicos anteriores de consumo de tráfico de red y el riesgo de filtrar datos de huellas dactilares personales en un proceso de verificación. en la técnica anterior y mejorar aún más la seguridad.
Para lograr los objetivos anteriores, la solución técnica de la presente invención es la siguiente:
Un método de verificación de seguridad con base en una característica biométrica se realiza por un terminal de cliente (dispositivo) en un sistema de autenticación de identidad, donde el sistema de autenticación de identidad incluye además un terminal de servidor, el terminal de cliente guarda un registro de habilitación y el registro de habilitación incluye un ID de plantilla de la característica biométrica que se usa para la verificación de características biométricas y se adquiere en un proceso de habilitación de la verificación de características biométricas; y el método de verificación de seguridad incluye:
enviar una solicitud de autenticación al terminal de servidor y recibir un mensaje de acuse de recibo a la solicitud de autenticación que comprende un ID de usuario devuelto por el terminal de servidor; y
recibir una entrada de característica biométrica por parte de un usuario, adquirir un ID de plantilla de la característica biométrica correspondiente a la característica biométrica, que comprende identificar, a partir de plantillas de características biométricas almacenadas, una plantilla de característica biométrica que corresponde a la entrada de característica biométrica recibida por el usuario y obtener un ID para la plantilla de característica biométrica identificada, buscar un registro de habilitación guardado correspondiente de acuerdo con el ID de usuario, y comparar el ID de plantilla de la característica biométrica adquirida con el ID de plantilla de la característica biométrica en el registro de habilitación guardado correspondiente, generar un mensaje de respuesta de autenticación que incluye el ID de plantilla de la característica biométrica adquirida e ID de usuario si los dos ID de plantilla de la característica biométrica son consistentes, y enviar el mensaje de respuesta de autenticación al terminal de servidor, de modo que el terminal de servidor reciba el mensaje de respuesta de autenticación, obtenga el ID de usuario en el mismo, busque un registro de usuario de acuerdo con el ID de usuario y realice la verificación.
El proceso de habilitación de la verificación de características biométricas incluye:
enviar una solicitud de habilitación para habilitar la verificación de características biométricas al terminal de servidor, y recibir un mensaje de acuse de recibo a la solicitud de habilitación devuelto por el terminal de servidor;
recibir la característica biométrica usada para la verificación y entrada por parte del usuario, adquirir el ID de plantilla de la característica biométrica correspondiente a la característica biométrica usada para verificación, y generar y guardar el registro de habilitación; y generar un mensaje de respuesta de habilitación que incluya el ID de plantilla de la característica biométrica, y enviar el mensaje de respuesta de habilitación al terminal de servidor, de modo que el terminal de servidor reciba el mensaje de respuesta de habilitación, adquiera el ID de plantilla de la característica biométrica incluido en el mensaje, y genere y guarde un registro de usuario.
Además, el terminal de servidor firma el mensaje de acuse de recibo a la solicitud de autenticación o mensaje de acuse de recibo a la solicitud de habilitación mediante el uso de una primera clave privada acordada, y después de que el terminal de cliente recibe el mensaje de acuse de recibo a la solicitud de autenticación, el método incluye, además:
verificar el mensaje de acuse de recibo a la solicitud de autenticación recibido mediante el uso de una primera clave pública acordada, donde se da una respuesta posterior solo cuando la verificación tiene éxito; de lo contrario, se informa un error; y
después de que el terminal de cliente recibe mensaje de acuse de recibo a la solicitud de habilitación, el método incluye, además:
verificar mensaje de acuse de recibo a la solicitud de habilitación recibido mediante el uso de la primera clave pública acordada, donde se realiza una respuesta posterior solo cuando la verificación tiene éxito; de lo contrario, se informa un error.
Esta etapa puede fortalecer aún más la seguridad en el proceso de habilitación y evitar la falsificación del proceso de habilitación.
Además, mensaje de acuse de recibo a la solicitud de habilitación conlleva un valor de desafío, y el proceso de habilitación de la verificación de características biométricas incluye, además:
generar un par de claves pública y privada de usuario que incluye una clave privada de usuario y una clave pública de usuario, y guardar la clave privada de usuario; y
seleccionar un algoritmo de firma de acuerdo con el valor de desafío en mensaje de acuse de recibo a la solicitud de habilitación, y firmar el mensaje de respuesta de habilitación generado mediante el uso del algoritmo de firma seleccionado y una segunda clave privada acordada y luego enviar el mensaje de respuesta de habilitación firmado al terminal de servidor, donde habilitar el mensaje de respuesta incluye la clave pública del usuario, de modo que el terminal de servidor recibe el mensaje de habilitación de respuesta y verifica el mensaje de respuesta de
habilitación mediante el uso de la segunda clave pública acordada, la clave pública del usuario se guarda en el terminal de servidor.
Además, el mensaje de acuse de recibo a la solicitud de autenticación lleva un valor de desafío, y el método de verificación de seguridad incluye, además:
seleccionar un algoritmo de firma de acuerdo con el valor de desafío, y firmar el mensaje de respuesta de autenticación mediante el uso del algoritmo de firma seleccionado y la clave privada del usuario, de modo que el terminal de servidor también seleccione un algoritmo de firma de acuerdo con el valor de desafío
después de recibir el mensaje de respuesta de autenticación y verifica el mensaje de respuesta de autenticación mediante el uso del algoritmo de firma y la clave pública del usuario.
Se genera un par de claves de usuario en el proceso de habilitar la verificación de características biométricas, y en el proceso de autenticación, la verificación se realiza mediante el uso del algoritmo de firma seleccionado y el par de claves de usuario, fortaleciendo así la seguridad y evitando un ataque de repetición de un mensaje falsificado.
Además, mensaje de acuse de recibo a la solicitud de habilitación incluye además un ID de usuario, y después de que el terminal de cliente recibe mensaje de acuse de recibo a la solicitud de habilitación, el método incluye, además:
guardar el ID de usuario en el registro de habilitación, donde el mensaje de respuesta de habilitación generado por el terminal de cliente incluye además el ID de usuario, de modo que después de recibir el mensaje de respuesta de habilitación,
el terminal de servidor adquiera el ID de usuario en el mismo y guarde el ID de usuario en el registro de usuario. El mensaje de respuesta de habilitación incluye además un ID de dispositivo de terminal de cliente, de modo que después de recibir mensaje de acuse de recibo a la solicitud de habilitación, el terminal de servidor adquiere el ID de dispositivo en el mismo y guarda el ID de dispositivo en el registro de usuario.
El mensaje de respuesta de autenticación incluye además el ID de dispositivo del terminal de cliente, de modo que después de recibir el mensaje de respuesta de autenticación, el terminal de servidor adquiere el ID de dispositivo en el mismo y busca el registro de usuario correspondiente de acuerdo con el ID de dispositivo.
Mediante el uso de las etapas anteriores, se puede soportar una situación en la que un dispositivo terminal admite múltiples usuarios o un usuario tiene múltiples dispositivos terminales. Se busca un registro de habilitación correspondiente o un registro de usuario de acuerdo con un ID de usuario o un ID de dispositivo, para llevar a cabo la comparación y verificación.
La presente invención proporciona además un método de verificación de seguridad con base en una característica biométrica. El método se aplica a un terminal de servidor en un sistema de autenticación de identidad, donde el sistema de autenticación de identidad incluye además un terminal de cliente, el terminal de servidor guarda un registro de usuario y el registro de usuario incluye un ID de plantilla de la característica biométrica que se usa para la verificación de características biométricas y se adquiere en un proceso de habilitación de la verificación de características biométricas. El método de verificación de seguridad incluye:
recibir una solicitud de autenticación desde el terminal de cliente y enviar un mensaje de acuse de recibo de solicitud de autenticación al terminal de cliente, en donde el mensaje de acuse de recibo de solicitud de autenticación comprende un ID de usuario;
recibir un mensaje de respuesta de autenticación desde el terminal de cliente, donde el mensaje de respuesta de autenticación incluye un ID de plantilla de la característica biométrica y el ID de usuario, obtener el ID de usuario del mensaje de respuesta de autenticación; buscar un registro de usuario correspondiente de acuerdo con el ID de usuario; y realizar la verificación comparando el ID de la plantilla de característica biométrica en el mensaje de respuesta de autenticación con el ID de plantilla de la característica biométrica en el registro de usuario guardado, donde la verificación tiene éxito si los dos ID de plantilla de la característica biométrica en el mensaje de respuesta de autenticación y el ID de la plantilla de característica biométrica en el registro de usuario correspondiente son coherentes; de lo contrario, se informa un error.
El proceso de habilitación de la verificación de características biométricas incluye:
recibir una solicitud de habilitación para habilitar la verificación de la característica biométrica desde el terminal de cliente, y enviar un mensaje de acuse de recibo a la solicitud de habilitación al terminal de cliente, de modo que el terminal de cliente adquiera, de acuerdo con una característica biométrica usada para la verificación y entrada por parte de un usuario, un ID de plantilla de la característica biométrica correspondiente a la característica biométrica usada para la verificación, y genera y guarda un registro de habilitación; y
recibir un mensaje de respuesta de habilitación desde el terminal de cliente, adquirir el ID de plantilla de la característica biométrica incluido en el mensaje de respuesta de habilitación y generar y guardar el registro de usuario.
Además, el método de verificación de seguridad incluye, además:
firmar el mensaje de acuse de recibo a la solicitud de autenticación o mensaje de acuse de recibo a la solicitud de habilitación mediante el uso de una primera clave privada acordada, de modo que el terminal de cliente verifica el mensaje de acuse de recibo a la solicitud de autenticación recibido mediante el uso de una primera clave pública acordada, donde una respuesta posterior se realiza solo cuando la verificación tiene éxito, de lo contrario se informa un error; o el terminal de cliente verifica mensaje de acuse de recibo a la solicitud de habilitación recibido mediante el uso de una primera clave pública acordada,
donde se da una respuesta posterior solo cuando la verificación tiene éxito; de lo contrario, se informa un error. Esta etapa puede fortalecer aún más la seguridad en el proceso de habilitación y evitar la falsificación del proceso de habilitación.
Además, mensaje de acuse de recibo a la solicitud de habilitación lleva un valor de desafío; el terminal de cliente genera un par de claves pública y privada de usuario que incluyen una clave privada de usuario y una clave pública de usuario y guarda la clave privada de usuario; y el proceso de habilitación de la verificación de características biométricas incluye, además:
recibir el mensaje de respuesta de habilitación firmado por el terminal de cliente mediante el uso de un algoritmo de firma seleccionado y una segunda clave privada acordada, donde el algoritmo de firma se selecciona por el terminal de cliente de acuerdo con el valor de desafío en mensaje de acuse de recibo a la solicitud de habilitación,
y el mensaje de respuesta de habilitación incluye una clave pública de usuario; y seleccionar además un algoritmo de firma de acuerdo con el valor de desafío, y verificar el mensaje de respuesta de habilitación mediante el uso de una segunda clave pública, la clave pública de usuario se guarda en el terminal de servidor.
Además, el método de verificación de seguridad incluye, además:
recibir el mensaje de respuesta de autenticación firmado por el terminal de cliente mediante el uso de un algoritmo de firma seleccionado y la clave privada del usuario, donde el algoritmo de firma se selecciona por el terminal de cliente de acuerdo con el valor de desafío en el mensaje de acuse de recibo de solicitud de autenticación; y seleccionar además un algoritmo de firma de acuerdo con el valor de desafío, y verificar una firma en el mensaje de respuesta de autenticación mediante el uso del algoritmo de firma y la clave pública del usuario.
Se genera un par de claves de usuario en el proceso de habilitar la verificación de características biométricas, y en el proceso de autenticación, la verificación se realiza mediante el uso del algoritmo de firma seleccionado y el par de claves de usuario, fortaleciendo así la seguridad y evitando un ataque de repetición de un mensaje falsificado.
El mensaje de respuesta de habilitación incluye además un ID de dispositivo de terminal de cliente, y después de que el terminal de servidor recibe el mensaje de respuesta de habilitación, el método incluye, además: adquirir el ID de dispositivo del mensaje de respuesta de habilitación y guardar el ID de dispositivo en el registro de usuario.
El mensaje de acuse de recibo a la solicitud de autenticación incluye además el ID de usuario, de modo que el terminal de cliente busca el registro de habilitación correspondiente de acuerdo con el ID de usuario, y compara el ID de plantilla de la característica biométrica adquirida con el ID de plantilla de la característica biométrica en el registro de habilitación encontrado; el mensaje de respuesta de autenticación generado por el terminal de cliente incluye además el ID de usuario; y después de que el terminal de servidor recibe el mensaje de respuesta de autenticación, el método incluye además:
adquirir el ID de usuario del mensaje de respuesta de autenticación, y buscar el registro de usuario correspondiente de acuerdo con el ID de usuario.
El mensaje de respuesta de autenticación incluye además el ID de dispositivo del terminal de cliente, y después de que el terminal de servidor recibe el mensaje de respuesta de autenticación, el método incluye, además: adquirir el ID de dispositivo del mensaje de respuesta de autenticación y buscar el registro de usuario correspondiente de acuerdo con el ID de dispositivo.
La presente invención proporciona además un terminal de cliente, que se aplica a un sistema de autenticación de identidad, donde el sistema de autenticación de identidad incluye además un terminal de servidor, el terminal de cliente guarda un registro de habilitación, y el registro de habilitación incluye un ID de plantilla de la característica biométrica que se usa para la verificación de características biométricas y se adquiere en un proceso de habilitación de la verificación de características biométricas; y el terminal de cliente incluye:
un módulo de solicitud configurado para enviar una solicitud de autenticación al terminal de servidor y recibir un mensaje de acuse de recibo a la solicitud de autenticación devuelto por el terminal de servidor; y
un módulo de respuesta configurado para recibir una entrada de característica biométrica por un usuario, adquirir un ID de plantilla de la característica biométrica correspondiente a la característica biométrica, comparar el ID de plantilla de la característica biométrica adquirido con el ID de plantilla de la característica biométrica en el registro de habilitación guardado, generar un mensaje de respuesta de autenticación que incluye el ID de plantilla de la característica biométrica adquirida si los dos ID de plantilla de la característica biométrica son consistentes, y enviar el mensaje de respuesta de autenticación al terminal de servidor, de modo que el terminal de servidor recibe el mensaje de respuesta de autenticación y realiza la verificación.
Además, el módulo de solicitud se configura además para enviar una solicitud de habilitación para habilitar la verificación de características biométricas al terminal de servidor, y recibir un mensaje de acuse de recibo a la solicitud de habilitación devuelto por el terminal de servidor; el módulo de respuesta se configura además para recibir la característica biométrica usada para la verificación y la entrada por parte del usuario, adquirir el ID de plantilla de la característica biométrica correspondiente a la característica biométrica usada para la verificación, generar y guardar el registro de habilitación, generar un mensaje de respuesta de habilitación que incluye el ID de plantilla de la característica biométrica, y enviar el mensaje de respuesta de habilitación al terminal de servidor, de modo que el terminal de servidor reciba el mensaje de respuesta de habilitación, adquiera el ID de plantilla de la característica biométrica incluido en el mensaje y genere y guarde un registro de usuario.
Además, el terminal de servidor firma el mensaje de acuse de recibo de solicitud de autenticación o mensaje de acuse de recibo a la solicitud de habilitación mediante el uso de una primera clave privada acordada, y después de recibir el mensaje de acuse de recibo de solicitud de autenticación, el módulo de solicitud se configura además para verificar el mensaje de acuse de recibo de solicitud de autenticación recibido mediante el uso de una primera clave pública acordada, donde se da una respuesta posterior solo cuando la verificación tiene éxito; de lo contrario, se informa un error; y después de recibir mensaje de acuse de recibo a la solicitud de habilitación, el módulo de solicitud se configura además para verificar mensaje de acuse de recibo a la solicitud de habilitación recibido mediante el uso de la primera clave pública acordada, donde se realiza una respuesta posterior solo cuando la verificación tiene éxito; de lo contrario, se informa un error.
En la presente invención, mensaje de acuse de recibo a la solicitud de habilitación lleva un valor de desafío, y el módulo de respuesta se configura además para generar un par de claves pública y privada de usuario que incluyen una clave privada de usuario y una clave pública de usuario, y guardar la clave privada de usuario; y seleccione un algoritmo de firma de acuerdo con el valor de desafío en mensaje de acuse de recibo a la solicitud de habilitación, y firmar el mensaje de respuesta de habilitación generado mediante el uso del algoritmo de firma seleccionado y una segunda clave privada acordada y luego enviar el mensaje de respuesta de habilitación firmado al terminal de servidor, donde el mensaje de respuesta de habilitación incluye la clave pública del usuario, de modo que el terminal de servidor recibe el mensaje de respuesta de habilitación y verifica el mensaje de respuesta de habilitación mediante el uso de la segunda clave pública acordada, la clave pública del usuario se guarda en el terminal de servidor.
Además, el mensaje de acuse de recibo a la solicitud de autenticación lleva un valor de desafío, y el módulo de respuesta se configura además para seleccionar un algoritmo de firma de acuerdo con el valor de desafío, y firmar el mensaje de respuesta de autenticación mediante el uso del algoritmo de firma seleccionado y la clave privada del usuario, de modo que el terminal de servidor también selecciona un algoritmo de firma de acuerdo con el valor de desafío después de recibir el mensaje de respuesta de autenticación y verifica el mensaje de respuesta de autenticación mediante el uso del algoritmo de firma y la clave pública del usuario.
La presente invención proporciona además un servidor que se aplica a un sistema de autenticación de identidad, donde el sistema de autenticación de identidad incluye además un terminal de cliente, el servidor guarda un registro de usuario y el registro de usuario incluye un ID de plantilla de la característica biométrica que se usa para la verificación de características biométricas y se adquiere en un proceso de habilitación de la verificación de características biométricas; y el servidor incluye:
un módulo de acuse de recibo configurado para recibir una solicitud de autenticación del terminal de cliente y enviar un mensaje de acuse de recibo de solicitud de autenticación al terminal de cliente; y
un módulo de verificación configurado para recibir un mensaje de respuesta de autenticación desde el terminal de cliente, donde el mensaje de respuesta de autenticación incluye un ID de plantilla de la característica biométrica; y realizar la verificación al comparar el ID de plantilla de la característica biométrica en el mensaje de respuesta de autenticación con el ID de plantilla de la característica biométrica en el registro de usuario guardado,
donde la verificación tiene éxito si los dos ID de plantilla de la característica biométrica son consistentes, de lo contrario se informa un error.
Además, el módulo de acuse de recibo se configura además para recibir una solicitud de habilitación para habilitar la verificación de la característica biométrica desde el terminal de cliente, y enviar un mensaje de acuse de recibo a la solicitud de habilitación al terminal de cliente, de modo que el terminal de cliente adquiera, de acuerdo con una característica biométrica usada para la verificación y entrada por parte de un usuario, un ID de plantilla de la característica biométrica correspondiente a la característica biométrica usada para la verificación, y generar y guardar un registro de habilitación; y el módulo de verificación se configura además para recibir un mensaje de respuesta de habilitación desde el terminal de cliente, adquirir el ID de plantilla de la característica biométrica incluido en el mensaje de respuesta de habilitación y generar y guardar el registro de usuario.
Además, el módulo de acuse de recibo se configura para firmar el mensaje de acuse de recibo de solicitud de autenticación o mensaje de acuse de recibo a la solicitud de habilitación mediante el uso de una primera clave privada acordada, de modo que el terminal de cliente verifica el mensaje de acuse de recibo de solicitud de autenticación recibido mediante el uso de una primera clave pública acordada, donde se da una respuesta posterior solo cuando la verificación tiene éxito; de lo contrario, se informa un error; o el terminal de cliente verifica mensaje de acuse de recibo a la solicitud de habilitación recibido mediante el uso una primera clave pública acordada, donde se da una respuesta posterior solo cuando la verificación tiene éxito; de lo contrario, se informa un error.
En la presente invención, mensaje de acuse de recibo a la solicitud de habilitación lleva un valor de desafío; el terminal de cliente genera un par de claves pública y privada de usuario que incluyen una clave privada de usuario y una clave pública de usuario y guarda la clave privada de usuario; y el módulo de verificación se configura además para recibir el mensaje de respuesta de habilitación firmado por el terminal de cliente mediante el uso de un algoritmo de firma seleccionado y una segunda clave privada acordada, donde el algoritmo de firma se selecciona por el terminal de cliente de acuerdo con el valor de desafío en mensaje de acuse de recibo a la solicitud de habilitación, y el mensaje de respuesta de habilitación incluye una clave pública de usuario; y seleccionar además un algoritmo de firma de acuerdo con el valor de desafío, verificar el mensaje de respuesta de habilitación mediante el uso de una segunda clave pública y guardar la clave pública del usuario.
Además, el módulo de verificación se configura además para recibir el mensaje de respuesta de autenticación firmado por el terminal de cliente mediante el uso de un algoritmo de firma seleccionado y la clave privada del usuario, donde el algoritmo de firma se selecciona por el terminal de cliente de acuerdo con el valor de desafío en mensaje de acuse de recibo a la solicitud de habilitación; y seleccionar además un algoritmo de firma de acuerdo con el valor de desafío y verificar la firma en el mensaje de respuesta de autenticación mediante el uso del algoritmo de firma y la clave pública del usuario.
Un método de verificación de seguridad con base en una característica biométrica, un terminal de cliente y un servidor de la presente invención implementan que el terminal de cliente realiza la verificación de huellas dactilares, el almacenamiento de plantillas de huellas dactilares y un proceso de verificación en un entorno de ejecución confiable (TEE). Esta implementación está completamente aislada del soporte físico común, evitando así un riesgo de fuga de privacidad. Además, el tráfico de la red se reduce en un proceso de transmisión de datos de huellas dactilares. Además, el terminal de servidor solo compara los ID de las plantillas de huellas dactilares, lo que reduce los gastos generales de cálculo y de almacenamiento del terminal de servidor. Una plantilla de huellas dactilares específica está vinculada cuando la verificación de huellas dactilares está habilitada. Una nueva plantilla de huellas dactilares agregada después de que se habilita la verificación no puede usarse para la verificación, lo que mejora la seguridad. Al usar un algoritmo de firma seleccionado, la seguridad se refuerza aún más en el proceso de verificación y se evita un ataque a la red de un mensaje falsificado.
Breve Descripción de los Dibujos
La Figura 1 es un diagrama de flujo de un proceso para habilitar la verificación de características biométricas de acuerdo con la presente invención;
La Figura 2 es un diagrama de flujo de un método de verificación de seguridad con base en una característica biométrica de acuerdo con la presente invención;
La Figura 3 es un diagrama estructural esquemático de un terminal de cliente de acuerdo con la presente invención; y
La Figura 4 es un diagrama estructural esquemático de un servidor de acuerdo con la presente invención.
Descripción Detallada
La solución técnica de la presente invención se describe más detalladamente a continuación con referencia a los dibujos adjuntos y las modalidades, y las siguientes modalidades no imponen una limitación a la presente invención. Para la verificación con base en una característica biométrica, es cada vez más común realizar la autenticación de identidad por medios técnicos tales como el reconocimiento de huellas dactilares, reconocimiento de voz, reconocimiento facial y reconocimiento de iris. Tal verificación de características biométricas se aplica ampliamente, por ejemplo, en un sistema de control de acceso o pago por Internet. Esta modalidad usa la verificación de huellas dactilares en pagos por Internet como un ejemplo para describir en detalle un método de verificación de seguridad con base en una característica biométrica de acuerdo con la presente invención.
A diferencia de la verificación de huellas dactilares en línea, la verificación de huellas dactilares en el pago por Internet de esta modalidad completa la comparación de huellas dactilares en un terminal de cliente de un usuario y además verifica un resultado en un terminal de servidor. Esta doble protección garantiza la eficacia de la verificación de huellas dactilares. El terminal de cliente en esta modalidad es generalmente un programa de aplicación y se instala en un terminal móvil, un ordenador u otro dispositivo inteligente del usuario. Algunos terminales de cliente son terminales de escaneo de huellas dactilares combinados directamente con páginas web que son proporcionados por proveedores de servicios.
Un método de verificación de huellas dactilares de esta modalidad incluye un proceso de habilitación de verificación de huellas dactilares y un proceso de verificación, que se describen por separado a continuación.
Modalidad 1: Proceso de habilitación de verificación de huellas dactilares
Para la verificación de huellas dactilares en pagos por Internet, primero debe habilitarse una función de verificación de huellas dactilares. Como se muestra en la Figura 1, el proceso incluye las siguientes etapas:
CD Un terminal de cliente envía una solicitud de habilitación para habilitar la verificación de huellas dactilares a un terminal de servidor.
Al habilitar la función de verificación de huellas dactilares, un usuario primero inicia la solicitud de habilitación al terminal de servidor
@ Después de recibir la solicitud de habilitación para habilitar la verificación de huellas dactilares, el terminal de servidor envía un mensaje de acuse de recibo a la solicitud de habilitación al terminal de cliente.
@ Después de recibir mensaje de acuse de recibo a la solicitud de habilitación, el terminal de cliente recibe una imagen de huella dactilar utilizada para la verificación y entrada por parte del usuario, y adquiere un ID de la plantilla de huella dactilar correspondiente a la imagen de huella dactilar utilizada para verificación.
Antes de que se habilite la verificación de huellas dactilares, un dispositivo de terminal de cliente del usuario almacena múltiples plantillas de huellas dactilares introducidas por el usuario. La plantilla de huella digital es una función de huella digital extraída de una imagen de huella digital. Cuando la función de verificación de huellas dactilares está habilitada, el usuario ingresa, en el terminal de cliente, una imagen de la huella dactilar de un dedo para la verificación de huellas dactilares. Por ejemplo, el usuario coloca el dedo en un dispositivo de escaneo de huellas digitales. Se adquiere la imagen de la huella digital y se extrae una función de huella digital. Luego, la función de huellas dactilares se compara con las plantillas de huellas dactilares almacenadas en el terminal de cliente, para adquirir un ID de la plantilla de huella dactilar correspondiente.
Si el dispositivo de terminal de cliente del usuario no almacena ninguna plantilla de huellas dactilares del usuario antes de que se habilite la verificación de huellas dactilares, la imagen de huella dactilar utilizada por el usuario para la verificación de huellas dactilares también se puede ingresar directamente aquí, para generar una plantilla de huella dactilar y una plantilla de huella dactilar ID y adquiera el ID de la plantilla de huella dactilar.
© El terminal de cliente guarda un registro de habilitación, donde el registro de habilitación incluye el ID de la plantilla de huella dactilar.
El registro de habilitación es un registro guardado en el dispositivo de terminal de cliente e incluye un ID de la plantilla de huella dactilar usada por el usuario para la verificación de huellas dactilares durante la habilitación de la verificación de huellas dactilares. El ID de la plantilla de huella dactilar se compara con un ID de la plantilla de huella dactilar de entrada en una etapa posterior de verificación de huellas dactilares, para juzgar si el ID de la plantilla de huella dactilar de entrada es coherente con el ID de la plantilla de huella dactilar original utilizado durante la habilitación de la verificación. Es decir, solo la entrada del ID de la plantilla de huella dactilar durante la habilitación de la verificación se puede utilizar en la verificación posterior. El ID de la plantilla de huella dactilar usado para la verificación no se puede modificar descifrando una contraseña de encendido del usuario. Por lo tanto, incluso cuando se pierde el dispositivo de terminal de cliente del usuario, el usuario no tiene que preocuparse de que la contraseña esté descifrada y el dispositivo se use de manera fraudulenta por una persona ilegal.
© El terminal de cliente genera un mensaje de respuesta de habilitación que incluye el ID de la plantilla de huella dactilar en el registro de habilitación y envía el mensaje de respuesta de habilitación al terminal de servidor.
En esta modalidad, el ID de la plantilla de huella dactilar en el registro de habilitación se transporta en el mensaje de respuesta de habilitación y se envía al terminal de servidor, de modo que el terminal de servidor guarda la información.
© El terminal de servidor recibe el mensaje de respuesta de habilitación y genera y guarda un registro de usuario, donde el registro de usuario incluye el ID de la plantilla de huella dactilar del usuario.
De esta forma, después de recibir el mensaje de respuesta de habilitación enviado por el terminal de cliente, el terminal de servidor genera y guarda el registro de usuario. El registro de usuario incluye el ID de la plantilla de huella dactilar del usuario. El terminal de servidor guarda el registro de usuario para verificar el resultado en el proceso de verificación posterior.
Preferiblemente, para mejorar aún más la seguridad en el proceso de habilitación, la etapa @ de esta modalidad incluye además la siguiente subetapa:
cifrar, por el terminal de servidor, mensaje de acuse de recibo a la solicitud de habilitación mediante el uso de una primera clave privada.
De esta forma, después de recibir mensaje de acuse de recibo a la solicitud de habilitación, el terminal de cliente necesita verificar mensaje de acuse de recibo a la solicitud de habilitación. En términos generales, el terminal de cliente y el terminal de servidor acuerdan un par de claves pública y privada del servidor que incluyen una primera clave pública y una primera clave privada. La primera clave pública se guarda en el terminal de cliente y la primera clave privada se guarda en el terminal de servidor. El terminal de servidor encripta mensaje de acuse de recibo a la solicitud de habilitación utilizando la primera clave privada y luego envía el mensaje encriptado al terminal de cliente. El terminal de cliente descifra el mensaje utilizando la primera clave pública y realiza la verificación. Se realizan las etapas posteriores si la verificación se realiza correctamente; de lo contrario, se informa un error. Un algoritmo de cifrado utilizado en la presente puede ser un algoritmo simétrico, un algoritmo asimétrico, un algoritmo abstracto o similar.
Por lo tanto, la etapa @ de esta modalidad incluye además la siguiente subetapa:
verificar, por el terminal de cliente, mensaje de acuse de recibo a la solicitud de habilitación utilizando la primera clave pública, donde se realiza una respuesta posterior solo cuando la verificación tiene éxito; de lo contrario, se informa un error.
Es decir, después de recibir mensaje de acuse de recibo a la solicitud de habilitación, el terminal de cliente descifra el mensaje utilizando la primera clave pública y realiza la verificación. Se realizan las etapas posteriores si la verificación se realiza correctamente; de lo contrario, se informa un error. Cabe señalar que, en un caso general en el que el requisito de seguridad no es alto, también se puede omitir el proceso de verificación de mensaje de acuse de recibo a la solicitud de habilitación. La primera clave pública y la primera clave privada permanecen sin cambios para cualquier terminal de cliente.
En esta modalidad, si varios usuarios se registran en el terminal de cliente, por ejemplo, si varios usuarios comparten un terminal de cliente, el registro de habilitación debe incluir un ID de usuario, para distinguir entre los registros de habilitación de diferentes usuarios. Sin embargo, debido a que es fácil para un pirata informático atacar el terminal de cliente para manipular un ID de usuario, mensaje de acuse de recibo a la solicitud de habilitación en esta modalidad incluye un ID de usuario. Mensaje de acuse de recibo a la solicitud de habilitación está cifrado y firmado, lo que evita de manera efectiva que mensaje de acuse de recibo a la solicitud de habilitación sea manipulado en un proceso de transmisión. Mensaje de acuse de recibo a la solicitud de habilitación incluye el ID de usuario y el registro de habilitación se genera utilizando el ID de usuario, asegurando así efectivamente que el registro de habilitación registra un ID de usuario correcto y un ID de plantilla de huella digital correspondiente. Por lo tanto, se garantiza la precisión de la verificación en las etapas posteriores.
Por lo tanto, mensaje de acuse de recibo a la solicitud de habilitación de esta modalidad incluye además el ID de usuario, y el registro de habilitación incluye el ID de usuario y el ID de la plantilla de huella dactilar. El mensaje de respuesta de habilitación también incluye el ID de usuario y el ID de la plantilla de huella dactilar. Por lo tanto, después de recibir el mensaje de respuesta de habilitación, el terminal de servidor adquiere el ID de usuario y el ID de la plantilla de huella dactilar, y genera y guarda el registro de usuario. El registro de usuario incluye el ID de usuario y el ID de la plantilla de huella dactilar.
De esta manera, después de que el usuario inicia sesión en el terminal de cliente utilizando el ID de usuario, se busca un registro de habilitación correspondiente según el ID de usuario. Se puede realizar una coincidencia entre el ID de usuario y el ID de la plantilla de huella dactilar en el registro de habilitación. Se puede admitir que varios usuarios compartan un terminal de cliente. Asimismo, en el terminal de servidor, también se busca un registro de usuario de acuerdo con el ID de usuario, y la verificación se realiza comparando los correspondientes ID de la plantilla de huella dactilar.
Además, cuando el usuario tiene múltiples dispositivos terminales, con el fin de distinguir entre diferentes dispositivos terminales, el mensaje de respuesta de habilitación incluye además un ID de dispositivo, para distinguir mejor entre diferentes dispositivos del usuario. Por lo tanto, el terminal de servidor almacena un registro de usuario que incluye un ID de usuario, un ID de dispositivo y un ID de la plantilla de huella dactilar. Cuando el usuario tiene múltiples dispositivos, el terminal de servidor guarda diferentes registros de usuario correspondientes a los diferentes dispositivos del usuario, para implementar el reconocimiento y la verificación. Asimismo, cuando el usuario usa diferentes dispositivos terminales, con base en las etapas anteriores de la presente invención, los diferentes dispositivos terminales del usuario pueden distinguirse entre sí, para realizar la verificación. Es decir, durante la comparación, se buscan además un registro de habilitación y un registro de usuario correspondientes de acuerdo con el ID de dispositivo, y la verificación se realiza comparando el ID de la plantilla de huella dactilar con los del registro de habilitación y el registro de usuario coincidentes.
Preferentemente, para evitar además un ataque de repetición en el proceso de verificación, en el proceso de habilitación de esta modalidad, se usa además una forma de desafío-respuesta para mejorar la seguridad. Es decir, en la etapa @, mensaje de acuse de recibo a la solicitud de habilitación lleva además un valor de desafío. La forma de desafío-respuesta es uno de los métodos más usados en la autenticación de identidad. Por lo tanto, después de recibir la solicitud de habilitación del terminal de cliente, el terminal de servidor genera un valor de desafío y envía mensaje de acuse de recibo a la solicitud de habilitación que lleva el valor de desafío al terminal de cliente. En una etapa posterior, la verificación se realiza al verificar un valor de respuesta. El valor de desafío se genera en un proceso de autenticación de identidad mediante el uso de un algoritmo aleatorio. Para la generación de un número aleatorio, en la técnica anterior se proporcionan un algoritmo pseudoaleatorio y un algoritmo aleatorio fuerte. En esta modalidad, se usa el algoritmo aleatorio fuerte y los números aleatorios adquiridos se distribuyen de manera más uniforme. Después de recibir mensaje de acuse de recibo a la solicitud de habilitación, el terminal de cliente necesita generar un valor de respuesta. El mensaje de habilitación de respuesta lleva el valor de respuesta y se envía al terminal de servidor. El terminal de servidor debe verificar el mensaje de respuesta de habilitación.
Después de la etapa @, esta modalidad incluye además las siguientes etapas:
seleccionar, mediante el terminal de cliente, un algoritmo de firma de acuerdo con el valor de desafío incluido en mensaje de acuse de recibo a la solicitud de habilitación, y generar un par de claves pública y privada de usuario, donde el registro de habilitación guardado incluye la clave privada de usuario;
firmar el mensaje de respuesta de habilitación mediante el uso del algoritmo de firma seleccionado y una segunda clave privada acordada, donde el mensaje de respuesta de habilitación incluye la clave pública de usuario generada; y
de igual manera, verificar el mensaje de respuesta de habilitación mediante el uso de un algoritmo de firma seleccionado de acuerdo con el valor de desafío y una segunda clave pública acordada, y guardar un registro de usuario que incluye la clave pública de usuario después de que la verificación sea exitosa o informar un error si la verificación falla.
Cuando el algoritmo de firma se selecciona de acuerdo con el valor de desafío recibido, hay, por ejemplo, cuatro algoritmos de firma que pueden seleccionarse, que son un algoritmo de firma 1, un algoritmo de firma 2, un algoritmo de firma 3 y un algoritmo de firma 4 respectivamente. El algoritmo puede seleccionarse de acuerdo con un resto obtenido después de dividir el valor de desafío. Si el resto es 0 después de dividir el valor de desafío por 4, se selecciona el algoritmo de firma 1. Si el resto es 1, se selecciona el algoritmo de firma 2. El resto se puede deducir por analogía.
El algoritmo de firma específico puede ser un algoritmo de hash seguro tal como RAS-SHA1 o RSA-SHA256. El algoritmo de firma anterior corresponde a un algoritmo de generación de claves públicas y privadas de usuario uniforme. Se genera un par de claves pública y privada de usuario cuando la función de verificación está habilitada y se usa para el cifrado y el descifrado en la verificación de huellas dactilares posterior. Por tanto, cada usuario tiene su propio par de claves pública y privada de usuario, donde el par de claves pública y privada de usuario incluye una clave privada de usuario y una clave pública de usuario.
Antes de que se envíe el mensaje de respuesta de habilitación, en esta modalidad, el mensaje de respuesta de habilitación se firma mediante el uso del algoritmo de firma seleccionado y la segunda clave privada acordada. En la presente descripción, la segunda clave privada está determinada por el soporte físico del terminal de cliente. De manera correspondiente, el terminal de servidor tiene una segunda clave pública correspondiente.
Cabe señalar que el algoritmo se selecciona de acuerdo con un resto obtenido después de dividir el valor de desafío en esta modalidad. El algoritmo también puede seleccionarse directamente de acuerdo con el dígito de un lugar y el dígito de decenas del valor de desafío, o de acuerdo con un valor obtenido al dividir el valor de desafío por 4. La presente invención no se limita una forma de selección específica.
El proceso de verificación del mensaje de respuesta de habilitación por parte del servidor incluye las siguientes dos etapas de verificación:
1) La firma se verifica mediante el uso de la segunda clave pública y el algoritmo de firma.
En el terminal de servidor, el valor de desafío se divide mediante el uso de un método similar al que se usa por el terminal de cliente para obtener un resto. Se selecciona un algoritmo de firma correspondiente y el mensaje de respuesta firmado se verifica de acuerdo con la segunda clave pública acordada.
2) Se calcula un valor de respuesta mediante el uso de un algoritmo igual que se usa por el terminal de cliente, y la verificación se realiza comparando el valor de respuesta obtenido con un valor de respuesta en el mensaje de respuesta.
En un proceso de verificación de huellas dactilares, después de recibir mensaje de acuse de recibo a la solicitud de habilitación, el terminal de cliente debe responder y devolver un mensaje de respuesta al terminal de servidor. El mensaje de respuesta incluye un valor de respuesta que se calcula mediante el uso de un algoritmo fijo de acuerdo con el valor de desafío, de modo que el terminal de servidor calcula un valor de respuesta de acuerdo con el mismo algoritmo, y luego realiza la verificación al comparar los valores de respuesta.
De esta manera, después de que la verificación sea exitosa, el terminal de servidor guarda un registro de usuario correspondiente. El registro de usuario guardado por el terminal de servidor incluye un ID de usuario, un ID de dispositivo, una clave pública de usuario y un ID de la plantilla de huella dactilar, de modo que la verificación del resultado se realiza en el proceso de verificación posterior.
En esta modalidad, mensaje de acuse de recibo a la solicitud de habilitación incluye un ID de usuario y un valor de desafío. El registro de habilitación incluye una clave privada de usuario, el ID de usuario y un ID de la plantilla de huella dactilar. El mensaje de respuesta de habilitación incluye una clave pública de usuario, el ID de usuario, un ID de dispositivo y el ID de la plantilla de huella dactilar. El registro de usuario guardado por el terminal de servidor incluye el ID de usuario, el ID de dispositivo, el ID de la plantilla de huella dactilar y la clave pública de usuario. Modalidad 2: proceso de autenticación de huellas dactilares durante el uso por parte de un usuario
Cuando el usuario usa el pago por Internet, se debe verificar una huella dactilar del usuario. Como se muestra en la Figura 2, se realizan las siguientes etapas:
(1) Un terminal de cliente envía una solicitud de autenticación a un terminal de servidor y el terminal de servidor adquiere la solicitud de autenticación del terminal de cliente.
(2) Después de recibir la solicitud de autenticación, el terminal de servidor envía un mensaje de acuse de recibo de solicitud de autenticación al terminal de cliente.
(3) Después de recibir el mensaje de acuse de recibo a la solicitud de autenticación, el terminal de cliente recibe una imagen de huella dactilar usada para la verificación y entrada por parte del usuario, adquiere un ID de la plantilla de huella dactilar correspondiente a la imagen de huella dactilar usada para la verificación y compara el ID de la plantilla de huella dactilar con un ID de la plantilla de huella dactilar en un registro de habilitación guardado por el terminal de cliente. Se realiza la siguiente etapa si los dos ID de la plantilla de huella dactilar son coherentes; de lo contrario, se informa un error.
Durante la verificación de huellas dactilares en un proceso de pago, el usuario solo necesita colocar un dedo usado para el pago en un escáner de huellas dactilares de acuerdo con una interfaz de solicitud e ingresar una imagen de huella dactilar usada para la verificación. El terminal de cliente encuentra una plantilla de huella dactilar correspondiente de las plantillas de huellas dactilares almacenadas, adquiere el ID de la plantilla de huella dactilar, encuentra un registro de habilitación correspondiente de acuerdo con un ID de usuario y compara el ID de la plantilla de huella dactilar adquirida con una plantilla de huellas dactilares en el registro de habilitación. Si el ID de la plantilla de huella dactilar adquirido es coherente con el del registro de habilitación, la verificación se realiza correctamente; de lo contrario, se informa un error y la verificación falla.
Por ejemplo, si el usuario usa un dedo índice cuando la función de verificación de huellas dactilares está habilitada, el registro de habilitación guarda un ID de la plantilla de huella dactilar del "dedo índice". Durante la verificación, primero se identifica si un ID de la plantilla de huella dactilar correspondiente a una entrada de huella dactilar por parte del usuario en el terminal es el ID de la plantilla de huella dactilar del "dedo índice", es decir, si el ID de la plantilla de huella dactilar es consistente con el ID de la plantilla de huella dactilar guardado en el registro de habilitación.
En esta modalidad, los ID de la plantilla de huella dactilar se comparan localmente en el terminal de cliente. No es necesario transmitir la huella dactilar del usuario a través de una red, evitando así la fuga de una característica biométrica del usuario.
(1) El terminal de cliente genera un mensaje de respuesta de autenticación que incluye el ID de la plantilla de huella dactilar adquirida y envía el mensaje de respuesta de autenticación al terminal de servidor.
(2) El terminal de servidor recibe el mensaje de respuesta de autenticación y compara el ID de la plantilla de huella dactilar incluido en el mensaje con el ID de la plantilla de huella dactilar en el registro de usuario correspondiente guardado localmente. La verificación se realiza correctamente si los ID de la plantilla de huella dactilar son coherentes; de lo contrario, se informa un error.
En el proceso de autenticación de huellas dactilares de esta modalidad, después de realizar la verificación de huellas dactilares, el terminal de cliente solo necesita enviar el ID de la plantilla de huella dactilar en lugar de la plantilla de huella dactilar al terminal de servidor. El terminal de servidor compara de nuevo el ID de la plantilla de huella dactilar con el ID de la plantilla de huella dactilar en el registro de usuario. La autenticación de huellas dactilares se realiza además a través de las dos comparaciones, logrando así una mayor seguridad. Además, la transmisión del ID de la plantilla de huella dactilar consume poco tráfico de transmisión en un proceso de transmisión, y la cantidad de cálculo del terminal de servidor también es pequeña.
De manera similar a la Modalidad 1, el mensaje de acuse de recibo a la solicitud de autenticación incluye un ID de usuario, para distinguir entre usuarios y entre dispositivos terminales de los usuarios. Por tanto, el terminal de cliente busca localmente el registro de habilitación correspondiente de acuerdo con el ID de usuario, y compara el ID de la plantilla de huella dactilar adquirido con el ID de la plantilla de huella dactilar en el registro de habilitación. Además, el mensaje de respuesta de autenticación incluye un ID de dispositivo, el ID de usuario y el ID de la plantilla de huella dactilar. El terminal de servidor encuentra el registro de usuario correspondiente de acuerdo con el mensaje de respuesta de autenticación, y compara el ID de la plantilla de huella dactilar con el del registro de usuario correspondiente guardado localmente. Si los ID de la plantilla de huella dactilar son coherentes, se considera que la verificación se realiza correctamente y el proceso de verificación finaliza; de lo contrario, se informa un error y la verificación falla.
De manera similar a la Modalidad 1, en la Modalidad 2, el mensaje de acuse de recibo a la solicitud de autenticación también puede cifrarse mediante el uso de una primera clave privada. Luego, el terminal de cliente descifra el mensaje y lo verifica mediante el uso de una primera clave pública.
Debe señalarse que, en un proceso de autenticación de verificación de huellas dactilares, esta modalidad aún realiza la verificación con base en una forma de desafío-respuesta. De igual manera, el mensaje de acuse de recibo a la solicitud de autenticación incluye un valor de desafío. El terminal de cliente selecciona un algoritmo de firma de acuerdo con el valor de desafío. Una clave usada en el algoritmo de firma puede ser una segunda clave privada. En este caso, el terminal de servidor realiza la verificación mediante el uso de una segunda clave pública.
Preferentemente, el mensaje de respuesta de autenticación se firma mediante el uso de una clave privada de usuario en el registro de habilitación. El terminal de servidor también selecciona un algoritmo de firma de acuerdo con el valor de desafío y verifica el mensaje de respuesta de autenticación mediante el uso de una clave pública de usuario en el registro de usuario. El proceso de verificación es el mismo que el proceso de verificación del mensaje de respuesta en la Modalidad 1, solo que las claves usadas son diferentes. En la Modalidad 1, la segunda clave pública se usa para realizar la verificación, mientras que en la Modalidad 2, la clave pública de usuario se usa para realizar la verificación. Debido a que el par de claves pública y privada del usuario es único para cada usuario, la seguridad en el proceso de verificación está aún más garantizada.
Es decir, el terminal de cliente selecciona un algoritmo de firma de acuerdo con el valor de desafío y firma el mensaje de respuesta de autenticación mediante el uso del algoritmo de firma seleccionado y la clave privada de usuario. Después de recibir el mensaje de respuesta de autenticación, el terminal de servidor también selecciona un algoritmo de firma de acuerdo con el valor de desafío y verifica el mensaje de respuesta de autenticación mediante el uso del algoritmo de firma y la clave pública de usuario.
A diferencia de la Modalidad 1, el mensaje de acuse de recibo a la solicitud de autenticación en esta etapa incluye además información del servicio, de modo que el terminal de cliente muestra la información del servicio después de recibir el mensaje de acuse de recibo a la solicitud de autenticación. El usuario puede juzgar, de acuerdo con la información de servicio mostrada, si el servicio es un servicio correspondiente a la autenticación de huellas dactilares que el usuario está realizando actualmente. En caso afirmativo, el usuario selecciona continuar con la operación; de lo contrario, el usuario puede renunciar a la autenticación de huellas dactilares.
Tanto en el proceso de habilitación como en el proceso de verificación posterior, la presente invención selecciona el algoritmo de firma de acuerdo con un número aleatorio. Sin embargo, el número de algoritmos de firma seleccionados para realizar una firma no se limita a uno, y también puede seleccionarse una combinación de múltiples algoritmos para realizar una operación de firma, aumentando así la variedad de los algoritmos. Por ejemplo, se seleccionan dos algoritmos de firma de acuerdo con el dígito de las unidades y el dígito de decenas del número aleatorio. La seguridad de la firma se mejora aún más mediante dos operaciones de firma sucesivas. En esta modalidad, debido a que se usa un algoritmo de firma aleatorio para la verificación de firma en el mensaje de respuesta, un atacante no conoce el algoritmo de firma incluso si se filtra la clave privada del usuario, y no puede falsificar el mensaje de respuesta.
En la técnica anterior, una solución de verificación propuesta por la alianza Fast Identity Online (FIDO) incluye una contraseña, un complemento de página web y soporte físico de verificación. Existe una variedad de soporte físico de verificación, por ejemplo, un disco flash USB (o una clave USB), un chip de comunicación de campo cercano (NFC), un chip de módulo de plataforma confiable (TPM) y soporte físico de reconocimiento biométrico, tal como un escáner de huellas dactilares, soporte físico de reconocimiento de voz, soporte físico de reconocimiento facial y soporte físico de reconocimiento de iris. Mediante el uso del método de verificación propuesto por la alianza FIDO, no se enviará una contraseña de usuario, sino que se procesará mediante el uso de programa informático dentro de un dispositivo tal como un teléfono móvil o un ordenador. Una vez que la verificación se realiza correctamente, el programa informático envía una clave a un servidor de inicio de sesión y no se guarda ninguna información de inicio de sesión. Al mismo tiempo, el servidor de inicio de sesión envía la clave al equipo de usuario para notificar que ha "pasado la autenticación". Si una empresa tiene la intención de usar la forma de autenticación de la alianza FIDO, solo se requiere instalar un programa informático de verificación en un servidor y luego instalar el complemento o programa de aplicación correspondiente en los dispositivos de los clientes y el personal. Sin embargo, mediante el uso de la verificación de huellas dactilares como un ejemplo, la habilitación de la verificación de huellas dactilares propuesta por la alianza FIDO solo puede vincularse a un dispositivo. Es decir, una vez habilitada la verificación de huellas dactilares, todas las plantillas de huellas dactilares del dispositivo pueden usarse para completar la verificación de huellas dactilares. También puede usarse una plantilla de huella dactilar agregada después de que se habilita la verificación de huellas dactilares para completar la verificación. Sin embargo, generalmente, solo se requiere ingresar una contraseña simple (por ejemplo, una contraseña de 4 dígitos) para agregar una plantilla de huella dactilar. Esto se convierte en una debilidad de seguridad, lo que provoca un agujero de seguridad. Además, un mensaje del terminal de servidor no tiene firma y, por lo tanto, los módulos en el extremo de un dispositivo pueden ser atacados mediante un mensaje falso. Sin embargo, en la presente invención, un registro de habilitación y un registro de usuario se almacenan en un proceso de habilitación, y un ID de la plantilla de huella dactilar usado para la verificación de huellas dactilares no puede modificarse posteriormente, evitando así que se agregue una plantilla de huella dactilar después de que se habilita la verificación de huellas dactilares. Además, se selecciona un algoritmo de firma mediante el uso de un valor de desafío y se agrega una firma en un proceso de verificación, evitando así un ataque a través de un mensaje falso.
Como se muestra en la Figura 3, la presente invención proporciona además un terminal de cliente, que se aplica a un sistema de autenticación de identidad. El sistema de autenticación de identidad más reciente incluye un terminal de servidor. El terminal de cliente guarda un registro de habilitación y el terminal de servidor guarda un registro de usuario. El registro de habilitación y el registro de usuario incluyen un ID de plantilla de la característica biométrica que se usa para la verificación de características biométricas y se adquiere en un proceso de habilitación de la verificación de características biométricas. El terminal de cliente incluye:
un módulo de solicitud configurado para enviar una solicitud de autenticación al terminal de servidor y recibir un mensaje de acuse de recibo a la solicitud de autenticación devuelto por el terminal de servidor; y
un módulo de respuesta configurado para recibir una entrada de característica biométrica por parte de un usuario; adquirir un ID de plantilla de la característica biométrica correspondiente a la característica biométrica; comparar el ID de plantilla de la característica biométrica adquirido con el ID de plantilla de la característica biométrica en el registro de habilitación guardado localmente; y generar un mensaje de respuesta de autenticación que incluye el ID de plantilla de la característica biométrica adquirido si los dos ID de plantilla de la característica biométrica son consistentes, y enviar el mensaje de respuesta de autenticación al terminal de servidor, de modo que el terminal de servidor reciba el mensaje de respuesta de autenticación y realiza la verificación al comparar el ID de plantilla de la característica biométrica con el ID de plantilla de la característica biométrica en el registro de usuario guardado localmente; o informar un error si los dos ID de plantilla de la característica biométrica son inconsistentes.
Además, el módulo de solicitud se configura además para enviar una solicitud de habilitación para habilitar la verificación de características biométricas al terminal de servidor, y recibir un mensaje de acuse de recibo a la solicitud de habilitación devuelto por el terminal de servidor. El módulo de respuesta se configura además para recibir la característica biométrica usada para la verificación y la entrada por parte del usuario, adquirir el ID de plantilla de la característica biométrica correspondiente a la característica biométrica usada para la verificación, generar y guardar el registro de habilitación, generar un mensaje de respuesta de habilitación que incluye el ID de plantilla de la característica biométrica, y enviar el mensaje de respuesta de habilitación al terminal de servidor, de modo que el terminal de servidor recibe el mensaje de respuesta de habilitación, adquiere el ID de plantilla de la característica biométrica incluido en el mensaje y genera y guarda el registro de usuario.
Además, el terminal de servidor firma el mensaje de acuse de recibo de solicitud de autenticación o mensaje de acuse de recibo a la solicitud de habilitación mediante el uso de una primera clave privada acordada, y luego de recibir el mensaje de acuse de recibo de solicitud de autenticación, el módulo de solicitud se configura además para verificar el mensaje de acuse de recibo de solicitud de autenticación recibido mediante el uso de una primera clave pública acordada, donde se da una respuesta posterior solo cuando la verificación tiene éxito; de lo contrario, se informa un error. Después de recibir mensaje de acuse de recibo a la solicitud de habilitación, el módulo de solicitud se configura además para verificar mensaje de acuse de recibo a la solicitud de habilitación recibido mediante el uso de la primera clave pública acordada, donde se realiza una respuesta posterior solo cuando la verificación tiene éxito; de lo contrario, se informa un error.
En la presente invención, mensaje de acuse de recibo a la solicitud de habilitación lleva un valor de desafío. El módulo de respuesta se configura además para generar un par de claves pública y privada de usuario que incluyen una clave privada de usuario y una clave pública de usuario, y guardar la clave privada de usuario; y seleccionar un algoritmo de firma de acuerdo con el valor de desafío en mensaje de acuse de recibo a la solicitud de habilitación, y firmar el mensaje de respuesta de habilitación generado mediante el uso del algoritmo de firma seleccionado y una segunda clave privada acordada y luego enviar el mensaje de respuesta de habilitación firmado al terminal de servidor. El mensaje de respuesta de habilitación incluye la clave pública de usuario, de modo que el terminal de servidor recibe el mensaje de respuesta de habilitación y verifica el mensaje de respuesta de habilitación mediante el uso de la segunda clave pública acordada, la clave pública del usuario se guarda en el terminal de servidor.
Además, el mensaje de acuse de recibo a la solicitud de autenticación lleva un valor de desafío. El módulo de respuesta se configura además para seleccionar un algoritmo de firma de acuerdo con el valor de desafío, y firmar el mensaje de respuesta de autenticación mediante el uso del algoritmo de firma seleccionado y la clave privada de usuario, de modo que el terminal de servidor también selecciona un algoritmo de firma de acuerdo con el valor de desafío después de recibir el mensaje de respuesta de autenticación y verifica el mensaje de respuesta de autenticación mediante el uso del algoritmo de firma y la clave pública del usuario.
Además, mensaje de acuse de recibo a la solicitud de habilitación incluye además un ID de usuario. El módulo de respuesta se configura además para guardar el ID de usuario en el registro de habilitación. El mensaje de respuesta de habilitación generado incluye además el ID de usuario, de modo que después de recibir el mensaje de respuesta de habilitación, el terminal de servidor adquiere el ID de usuario en el mismo y guarda el ID de usuario en el registro de usuario.
Además, el mensaje de respuesta de habilitación incluye además un ID de dispositivo de terminal de cliente, de modo que después de recibir mensaje de acuse de recibo a la solicitud de habilitación, el terminal de servidor adquiere el ID de dispositivo en el mismo y guarda el ID de dispositivo en el registro de usuario.
Además, el mensaje de acuse de recibo a la solicitud de autenticación incluye además el ID de usuario. Después de recibir la entrada de la característica biométrica por parte del usuario y adquirir el ID de plantilla de la característica biométrica correspondiente a la característica biométrica, el módulo de respuesta se configura además para buscar el registro de habilitación correspondiente de acuerdo con el ID de usuario, a fin de comparar el ID de plantilla de la característica biométrica adquirido con el ID de plantilla de la característica biométrica en el registro de habilitación encontrado. El mensaje de respuesta de autenticación generado por el módulo de respuesta incluye además el ID de usuario, de manera que después de recibir el mensaje de respuesta de autenticación, el terminal de servidor adquiere el ID de usuario en el mismo y busca el registro de usuario correspondiente de acuerdo con el ID de usuario.
Además, el mensaje de respuesta de autenticación incluye además un ID de dispositivo de terminal de cliente, de modo que después de recibir el mensaje de respuesta de autenticación, el terminal de servidor adquiere el ID de dispositivo en el mismo y busca el registro de usuario correspondiente de acuerdo con el ID de dispositivo.
Como se muestra en la Figura 4, la presente invención proporciona además un servidor correspondiente al terminal de servidor anterior. El servidor se aplica a un sistema de autenticación de identidad. El sistema de autenticación de identidad incluye además un terminal de cliente. El terminal de cliente guarda un registro de habilitación y el servidor guarda un registro de usuario. El registro de habilitación y el registro de usuario incluyen un ID de plantilla de la característica biométrica que se usa para la verificación de características biométricas y se adquiere en un proceso de habilitación de la verificación de características biométricas. El terminal de servidor incluye:
un módulo de acuse de recibo configurado para recibir una solicitud de autenticación del terminal de cliente y enviar un mensaje de acuse de recibo de solicitud de autenticación al terminal de cliente; y
un módulo de verificación configurado para recibir un mensaje de respuesta de autenticación desde el terminal de cliente, donde el mensaje de respuesta de autenticación incluye un ID de plantilla de la característica biométrica; y realizar la verificación al comparar el ID de plantilla de la característica biométrica en el mensaje de respuesta de autenticación con el ID de plantilla de la característica biométrica en el registro de usuario guardado, donde la verificación tiene éxito si los dos ID de plantilla de la característica biométrica son consistentes, de lo contrario se informa un error.
Además, el módulo de acuse de recibo se configura para recibir una solicitud de habilitación para habilitar la verificación de características biométricas desde el terminal de cliente, y enviar un mensaje de acuse de recibo a la solicitud de habilitación al terminal de cliente, de modo que el terminal de cliente adquiera, de acuerdo con una característica biométrica usada para la verificación y entrada por parte de un usuario, un ID de plantilla de la característica biométrica correspondiente a la característica biométrica usada para la verificación, genera un registro de habilitación y guarda el registro de habilitación.
El módulo de verificación se configura además para recibir un mensaje de respuesta de habilitación desde el terminal de cliente, adquirir el ID de plantilla de la característica biométrica incluido en el mensaje de respuesta de habilitación y generar y guardar el registro de usuario.
Además, el módulo de acuse de recibo se configura para firmar el mensaje de acuse de recibo de solicitud de autenticación o mensaje de acuse de recibo a la solicitud de habilitación mediante el uso de una primera clave privada acordada, de modo que el terminal de cliente verifica el mensaje de acuse de recibo de solicitud de autenticación recibido mediante el uso de una primera clave pública acordada, donde se da una respuesta posterior solo cuando la verificación tiene éxito; de lo contrario, se informa un error; o el terminal de cliente verifica mensaje de acuse de recibo a la solicitud de habilitación recibido mediante el uso una primera clave pública acordada, donde se da una respuesta posterior solo cuando la verificación tiene éxito; de lo contrario, se informa un error.
En la presente invención, mensaje de acuse de recibo a la solicitud de habilitación lleva un valor de desafío. El terminal de cliente genera un par de claves pública y privada de usuario que incluyen una clave privada de usuario y una clave pública de usuario y guarda la clave privada de usuario. El módulo de verificación se configura además para recibir el mensaje de respuesta de habilitación firmado por el terminal de cliente mediante el uso de un algoritmo de firma seleccionado y una segunda clave privada acordada, donde el terminal de cliente selecciona el algoritmo de firma de acuerdo con el valor de desafío en mensaje de acuse de recibo a la solicitud de habilitación, y el mensaje de respuesta de habilitación incluye una clave pública de usuario; y seleccionar además un algoritmo de firma de acuerdo con el valor de desafío, y verificar el mensaje de respuesta de habilitación mediante el uso de una segunda clave pública. La clave pública del usuario se guarda en el terminal de servidor.
Además, el módulo de verificación se configura además para recibir el mensaje de respuesta de autenticación firmado por el terminal de cliente mediante el uso de un algoritmo de firma seleccionado y la clave privada de usuario, donde el algoritmo de firma se selecciona por el terminal de cliente de acuerdo con el valor de desafío en el mensaje de acuse de recibo a la solicitud de autenticación; y seleccionar además un algoritmo de firma de acuerdo con el valor de desafío, y verificar la firma en el mensaje de respuesta de autenticación mediante el uso del algoritmo de firma y la clave pública del usuario.
Además, mensaje de acuse de recibo a la solicitud de habilitación incluye además un ID de usuario, de modo que el terminal de cliente guarda el ID de usuario en el registro de habilitación después de recibir mensaje de acuse de recibo a la solicitud de habilitación. El mensaje de respuesta de habilitación generado por el terminal de cliente incluye además el ID de usuario. Después de recibir el mensaje de respuesta de habilitación, el módulo de verificación se configura además para adquirir el ID de usuario del mensaje de respuesta de habilitación y guardar el ID de usuario en el registro de usuario.
Además, el mensaje de respuesta de habilitación incluye además un ID de dispositivo de terminal de cliente. Después de recibir el mensaje de respuesta de habilitación, el módulo de verificación se configura además para adquirir el ID de dispositivo del mensaje de respuesta de habilitación y guardar el ID de dispositivo en el registro de usuario.
Además, el mensaje de acuse de recibo a la solicitud de autenticación incluye además el ID de usuario, de modo que el terminal de cliente busca el registro de habilitación correspondiente de acuerdo con el ID de usuario, y compara el ID de plantilla de la característica biométrica adquirida con el ID de plantilla de la característica biométrica en el registro de habilitación encontrado. El mensaje de respuesta de autenticación generado por el terminal de cliente incluye además el ID de usuario. Después de recibir el mensaje de respuesta de autenticación, el módulo de verificación se configura además para adquirir el ID de usuario en el mensaje de respuesta de autenticación y buscar el registro de usuario correspondiente de acuerdo con el ID de usuario.
Además, el mensaje de respuesta de autenticación incluye además el ID de dispositivo de terminal de cliente. Después de recibir el mensaje de respuesta de autenticación, el módulo de verificación se configura además para adquirir el ID de dispositivo en el mensaje de respuesta de autenticación y buscar el registro de usuario correspondiente de acuerdo con el ID de dispositivo.

Claims (1)

  1. REIVINDICACIONES
    Un método de verificación de seguridad basado en características biométricas realizado por un dispositivo cliente en un sistema de autenticación de identidad, en donde el sistema de autenticación de identidad comprende además un servidor, y en donde el dispositivo cliente guarda un registro de habilitación que comprende un ID de plantilla de la característica biométrica que se usa para la verificación de características biométricas y se obtiene en un proceso de habilitación de la verificación de características biométricas; el método de verificación de seguridad que comprende:
    enviar una solicitud de autenticación al servidor (1);
    recibir, desde el servidor, un mensaje de acuse de recibo a la solicitud de autenticación que comprende un ID de usuario (2);
    recibir una entrada de característica biométrica por parte de un usuario (3);
    obtener un ID de plantilla de la característica biométrica correspondiente a la característica biométrica, que comprende identificar, a partir de plantillas de características biométricas almacenadas, una plantilla de característica biométrica que corresponde a la entrada de característica biométrica recibida por el usuario y obtener un ID para la plantilla de característica biométrica identificada;
    buscar un registro de habilitación guardado correspondiente de acuerdo con el ID de usuario; comparar el ID de plantilla de la característica biométrica obtenido con el ID de plantilla de la característica biométrica en el correspondiente registro de habilitación guardado;
    generar un mensaje de respuesta de autenticación que comprende el ID de plantilla de la característica biométrica obtenido y el ID de usuario si el ID de plantilla de la característica biométrica obtenido y el ID de plantilla de la característica biométrica en el registro de habilitación guardado correspondiente son consistentes (5); y
    enviar el mensaje de respuesta de autenticación al servidor (6), para que el servidor reciba el mensaje de respuesta de autenticación, obtenga el ID de usuario en el mismo, busque un registro de usuario de acuerdo con el ID de usuario y realice la verificación.
    El método de verificación de seguridad de la reivindicación 1, en donde el proceso de habilitar la verificación de características biométricas comprende:
    enviar una solicitud de habilitación para habilitar la verificación de características biométricas al servidor y recibir un mensaje de acuse de recibo a la solicitud de habilitación devuelto por el servidor;
    recibir la característica biométrica usada para la verificación y entrada por parte del usuario; obtener el ID de plantilla de la característica biométrica correspondiente a la característica biométrica usada para la verificación;
    generar y guardar el registro de habilitación;
    generar un mensaje de respuesta de habilitación que comprende el ID de plantilla de la característica biométrica; y
    enviar el mensaje de respuesta de habilitación al servidor, de modo que el servidor reciba el mensaje de respuesta de habilitación, obtenga el ID de plantilla de la característica biométrica incluido en el mensaje y genere y guarde el registro de usuario.
    El método de verificación de seguridad de acuerdo con la reivindicación 2, en donde el servidor firma el mensaje de acuse de recibo a la solicitud de autenticación o mensaje de acuse de recibo a la solicitud de habilitación mediante el uso de una primera clave privada acordada, y después de que el dispositivo cliente recibe el mensaje de acuse de recibo a la solicitud de autenticación, el método comprende, además: verificar el mensaje de acuse de recibo de solicitud de autenticación recibido mediante el uso de una primera clave pública acordada, en donde se realiza una respuesta posterior solo cuando la verificación tiene éxito; de lo contrario, se informa un error; y
    después de que el dispositivo cliente recibe mensaje de acuse de recibo a la solicitud de habilitación, el método comprende, además:
    verificar mensaje de acuse de recibo a la solicitud de habilitación recibido mediante el uso de la primera clave pública acordada, en donde se realiza una respuesta posterior solo cuando la verificación tiene éxito, de lo contrario se informa un error.
    El método de verificación de seguridad de la reivindicación 2, en donde mensaje de acuse de recibo a la solicitud de habilitación lleva un valor de desafío, y el proceso de habilitación de la verificación de características biométricas comprende, además:
    generar un par de claves pública y privada de usuario que comprende una clave privada de usuario y una clave pública de usuario, y guardar la clave privada de usuario; y
    seleccionar un algoritmo de firma de acuerdo con el valor de desafío en mensaje de acuse de recibo a la solicitud de habilitación, y firmar el mensaje de respuesta de habilitación generado mediante el uso del algoritmo de firma seleccionado y una segunda clave privada acordada y luego enviar el mensaje de respuesta de habilitación firmado al servidor, en donde la respuesta de habilitación el mensaje comprende la clave pública de usuario, de modo que el servidor recibe el mensaje de respuesta de habilitación y verifica el mensaje de respuesta de habilitación mediante el uso de la segunda clave pública acordada, la clave pública del usuario que se guarda en el servidor; y
    opcionalmente, en donde el mensaje de acuse de recibo a la solicitud de autenticación lleva un valor de desafío, y el método de verificación de seguridad comprende, además:
    seleccionar un algoritmo de firma de acuerdo con el valor de desafío, y firmar el mensaje de respuesta de autenticación mediante el algoritmo de firma seleccionado y la clave privada de usuario, de modo que el servidor también selecciona un algoritmo de firma de acuerdo con el valor de desafío después de recibir el mensaje de respuesta de autenticación y verifica el mensaje de respuesta de autenticación mediante el uso del algoritmo de firma y la clave pública de usuario.
    El método de verificación de seguridad de la reivindicación 2, en donde mensaje de acuse de recibo a la solicitud de habilitación comprende además un ID de usuario, y después de que el dispositivo cliente recibe mensaje de acuse de recibo a la solicitud de habilitación, el método comprende, además:
    guardar el ID de usuario en el registro de habilitación, en donde el mensaje de respuesta de habilitación generado por el dispositivo cliente comprende además el ID de usuario, de modo que después de recibir el mensaje de respuesta de habilitación, el servidor obtiene el ID de usuario en el mismo y guarda el ID de usuario en el registro de usuario, opcionalmente en donde el mensaje de respuesta de habilitación comprende además un ID de dispositivo cliente, de modo que después de recibir mensaje de acuse de recibo a la solicitud de habilitación, el servidor obtiene el ID de dispositivo en el mismo y guarda el ID de dispositivo en el registro de usuario, y opcionalmente en donde el mensaje de respuesta de autenticación comprende además el ID de dispositivo del cliente, de modo que después de recibir el mensaje de respuesta de autenticación, el servidor obtiene el ID de dispositivo en el mismo y busca el registro de usuario correspondiente de acuerdo con el ID de dispositivo.
    Un método de verificación de seguridad basado en características biométricas realizado por un servidor en un sistema de autenticación de identidad, en donde el sistema de autenticación de identidad comprende además un dispositivo cliente, el servidor guarda un registro de usuario que comprende un ID de plantilla de la característica biométrica que se usa para la verificación de características biométricas y se obtiene en un proceso de habilitación de la verificación de características biométricas;
    el método de verificación de seguridad que comprende:
    recibir una solicitud de autenticación del dispositivo cliente;
    enviar un mensaje de acuse de recibo a la solicitud de autenticación al dispositivo cliente, en donde el mensaje de acuse de recibo a la solicitud de autenticación comprende un ID de usuario;
    recibir un mensaje de respuesta de autenticación desde el dispositivo cliente, en donde el mensaje de respuesta de autenticación comprende un ID de plantilla de la característica biométrica y el ID de usuario; obtener el ID de usuario del mensaje de respuesta de autenticación;
    buscar un registro de usuario correspondiente de acuerdo con el ID de usuario; y
    realizar la verificación al comparar el ID de plantilla de la característica biométrica en el mensaje de respuesta de autenticación con el ID de plantilla de la característica biométrica en el registro de usuario correspondiente, en donde la verificación tiene éxito si el ID de plantilla de la característica biométrica en el mensaje de respuesta de autenticación y el ID de plantilla de la característica biométrica en el correspondiente registro de usuario son consistentes; de lo contrario, se informa un error.
    El método de verificación de seguridad de la reivindicación 6, en donde el método de verificación de seguridad comprende, además:
    firmar el mensaje de acuse de recibo a la solicitud de autenticación o mensaje de acuse de recibo a la solicitud de habilitación mediante el uso de una primera clave privada acordada, de modo que el dispositivo cliente verifica el mensaje de acuse de recibo a la solicitud de autenticación recibido mediante el uso de una primera clave pública acordada, en donde una respuesta posterior se realiza solo cuando la verificación tiene éxito, de lo contrario, se informa un error; o el dispositivo cliente verifica mensaje de acuse de recibo a la solicitud de habilitación recibido mediante el uso de una primera clave pública acordada, en donde se realiza una respuesta posterior solo cuando la verificación tiene éxito; de lo contrario, se informa un error.
    El método de verificación de seguridad de la reivindicación 6, en donde mensaje de acuse de recibo a la solicitud de habilitación lleva un valor de desafío; el dispositivo cliente genera un par de claves pública y privada de usuario que comprende una clave privada de usuario y una clave pública de usuario y guarda la clave privada de usuario; y el proceso de habilitación de la verificación de características biométricas comprende, además:
    recibir un mensaje de respuesta de habilitación firmado por el dispositivo cliente mediante el uso de un algoritmo de firma seleccionado y una segunda clave privada acordada, en donde el algoritmo de firma se selecciona por el dispositivo cliente de acuerdo con el valor de desafío en mensaje de acuse de recibo a la solicitud de habilitación, y el mensaje de respuesta de habilitación comprende una clave pública de usuario; seleccionar además un algoritmo de firma de acuerdo con el valor de desafío, y verificar el mensaje de respuesta de habilitación mediante el uso de una segunda clave pública, la clave pública del usuario se guarda en el servidor.
    9. El método de verificación de seguridad de la reivindicación 8, en donde el método de verificación de seguridad comprende, además:
    recibir el mensaje de respuesta de autenticación firmado por el dispositivo cliente mediante el uso de un algoritmo de firma seleccionado y la clave privada del usuario, en donde el algoritmo de firma se selecciona por el dispositivo cliente de acuerdo con el valor de desafío en el mensaje de acuse de recibo de solicitud de autenticación; y seleccionar además un algoritmo de firma de acuerdo con el valor de desafío, y verificar la firma en el mensaje de respuesta de autenticación mediante el uso del algoritmo de firma y la clave pública de usuario.
    10. El método de verificación de seguridad de la reivindicación 8, en donde el mensaje de respuesta de habilitación comprende además un ID de dispositivo cliente, y después de que el servidor recibe el mensaje de respuesta de habilitación, el método comprende, además:
    obtener el ID de dispositivo del mensaje de respuesta de habilitación y guardar el ID de dispositivo en el registro de usuario.
    11. El método de verificación de seguridad de la reivindicación 9, en donde el mensaje de respuesta de autenticación comprende además el ID de dispositivo cliente, y después de que el servidor recibe el mensaje de respuesta de autenticación, el método comprende, además:
    obtener el ID de dispositivo del mensaje de respuesta de autenticación y buscar el registro de usuario correspondiente de acuerdo con el ID de dispositivo.
    12. Un dispositivo cliente, aplicado a un sistema de autenticación de identidad, en donde el sistema de autenticación de identidad comprende además un servidor, el dispositivo cliente guarda un registro de habilitación y el registro de habilitación comprende un ID de plantilla de la característica biométrica que se usa para la verificación de características biométricas y se obtiene en un proceso de habilitación de la verificación de características biométricas; el dispositivo cliente comprende:
    múltiples módulos configurados para realizar operaciones de acuerdo con el método de cualquiera de las reivindicaciones 1 a 5.
    13. Un servidor, aplicado a un sistema de autenticación de identidad, en donde el sistema de autenticación de identidad comprende además un dispositivo cliente, el servidor guarda un registro de usuario y el registro de usuario comprende un ID de plantilla de la característica biométrica que se usa para la verificación de características biométricas y se obtiene en un proceso de habilitación de la verificación de características biométricas; el servidor que comprende:
    múltiples módulos configurados para realizar operaciones de acuerdo con el método de cualquiera de las reivindicaciones 6 a 11.
ES16817193T 2015-07-02 2016-06-23 Método de verificación de seguridad con base en una característica biométrica, un terminal de cliente y un servidor Active ES2818199T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201510394393.3A CN106330850B (zh) 2015-07-02 2015-07-02 一种基于生物特征的安全校验方法及客户端、服务器
PCT/CN2016/086868 WO2017000829A1 (zh) 2015-07-02 2016-06-23 一种基于生物特征的安全校验方法及客户端、服务器

Publications (1)

Publication Number Publication Date
ES2818199T3 true ES2818199T3 (es) 2021-04-09

Family

ID=57607902

Family Applications (1)

Application Number Title Priority Date Filing Date
ES16817193T Active ES2818199T3 (es) 2015-07-02 2016-06-23 Método de verificación de seguridad con base en una característica biométrica, un terminal de cliente y un servidor

Country Status (9)

Country Link
US (2) US10659230B2 (es)
EP (1) EP3319292B1 (es)
JP (1) JP6882254B2 (es)
KR (1) KR102493744B1 (es)
CN (1) CN106330850B (es)
ES (1) ES2818199T3 (es)
PL (1) PL3319292T3 (es)
SG (2) SG11201710590XA (es)
WO (1) WO2017000829A1 (es)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106330850B (zh) 2015-07-02 2020-01-14 创新先进技术有限公司 一种基于生物特征的安全校验方法及客户端、服务器
CN107026836B (zh) * 2016-10-28 2020-03-06 阿里巴巴集团控股有限公司 一种业务实现方法和装置
CN107092819B (zh) * 2017-03-08 2020-04-14 Oppo广东移动通信有限公司 一种指纹录入检验方法及装置
CN107133603A (zh) * 2017-05-24 2017-09-05 努比亚技术有限公司 防止指纹泄漏的方法、移动终端及计算机可读存储介质
CN107466454A (zh) * 2017-06-15 2017-12-12 深圳市汇顶科技股份有限公司 生物特征数据的安全处理方法、装置、传感器及终端设备
US20190349363A1 (en) * 2018-05-14 2019-11-14 GM Global Technology Operations LLC Biometric authentication with enhanced biometric data protection
US11005971B2 (en) * 2018-08-02 2021-05-11 Paul Swengler System and method for user device authentication or identity validation without passwords or matching tokens
CN109272287A (zh) * 2018-08-31 2019-01-25 业成科技(成都)有限公司 系统控制方法、电子签核系统、计算机及可读存储介质
CN110932858B (zh) * 2018-09-19 2023-05-02 阿里巴巴集团控股有限公司 认证方法和系统
CN109561074A (zh) * 2018-10-31 2019-04-02 北京中电华大电子设计有限责任公司 一种指纹认证的云安全系统和方法
WO2020091434A1 (ko) * 2018-11-02 2020-05-07 엘지전자 주식회사 무선 통신 시스템에서 생체정보를 이용하여 인증을 하기 위한 방법 및 장치
KR102210620B1 (ko) * 2018-12-20 2021-02-02 한국스마트인증 주식회사 서버에의 비밀 정보 저장 방법 및 복구 방법
US11075763B2 (en) * 2019-02-15 2021-07-27 International Business Machines Corporation Compute digital signature authentication sign with encrypted key instruction
US11108567B2 (en) 2019-02-15 2021-08-31 International Business Machines Corporation Compute digital signature authentication verify instruction
US11303456B2 (en) 2019-02-15 2022-04-12 International Business Machines Corporation Compute digital signature authentication sign instruction
KR20200100481A (ko) * 2019-02-18 2020-08-26 삼성전자주식회사 생체 정보를 인증하기 위한 전자 장치 및 그의 동작 방법
US10467398B1 (en) * 2019-03-14 2019-11-05 Alibaba Group Holding Limited Authentication by transmitting information through a human body
CN111988267B (zh) * 2019-05-24 2023-10-20 阿里巴巴集团控股有限公司 针对计算设备的认证方法及装置
WO2021049321A1 (ja) * 2019-09-12 2021-03-18 ソニー株式会社 認証装置、認証方法、プログラム、および情報処理装置
CN110708326A (zh) * 2019-10-14 2020-01-17 北京明略软件系统有限公司 业务请求异常概率的确定方法和装置
US11496466B2 (en) * 2019-11-15 2022-11-08 Visa International Service Association Using an enrolled biometric dataset to detect adversarial examples in biometrics-based authentication system
TWI720738B (zh) * 2019-12-16 2021-03-01 臺灣網路認證股份有限公司 結合線上快速認證及公鑰基礎架構以識別身分之裝置及方法
CN111489162A (zh) * 2020-04-07 2020-08-04 上海优扬新媒信息技术有限公司 一种基于生物特征的数据处理方法及装置
CN111782107A (zh) * 2020-06-30 2020-10-16 联想(北京)有限公司 信息处理方法、装置、计算机系统及可读存储介质
CN112104657B (zh) * 2020-09-17 2022-10-18 中国建设银行股份有限公司 信息校验方法和装置
US11977611B2 (en) 2020-10-20 2024-05-07 Mastercard International Incorporated Digital rights management platform
CN112968864A (zh) * 2021-01-26 2021-06-15 太原理工大学 一种可信的IPv6网络服务过程机制
CN113297552B (zh) * 2021-02-05 2023-11-17 中国银联股份有限公司 基于生物特征id链的验证方法及其验证系统、用户终端

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6535622B1 (en) * 1999-04-26 2003-03-18 Veridicom, Inc. Method for imaging fingerprints and concealing latent fingerprints
JP2001256191A (ja) * 2000-03-09 2001-09-21 Mitsubishi Electric Corp ネットワーク指紋認証システム
KR20030097847A (ko) * 2001-05-02 2003-12-31 시큐젠 코포레이션 컴퓨터 네트워크상에서 사용자를 생체인증하는 방법
ATE483190T1 (de) * 2001-07-18 2010-10-15 Daon Holdings Ltd Verteiltes netzwerksystem mit biometrischer zugangsprüfung
US7400749B2 (en) * 2002-07-08 2008-07-15 Activcard Ireland Limited Method and apparatus for supporting a biometric registration performed on an authentication server
US20070016777A1 (en) 2005-07-08 2007-01-18 Henderson James D Method of and system for biometric-based access to secure resources with dual authentication
US9112705B2 (en) * 2006-02-15 2015-08-18 Nec Corporation ID system and program, and ID method
US20100223663A1 (en) * 2006-04-21 2010-09-02 Mitsubishi Electric Corporation Authenticating server device, terminal device, authenticating system and authenticating method
JP2008176407A (ja) * 2007-01-16 2008-07-31 Toshiba Corp 生体認証システム、装置及びプログラム
JP5028194B2 (ja) * 2007-09-06 2012-09-19 株式会社日立製作所 認証サーバ、クライアント端末、生体認証システム、方法及びプログラム
CN101330386A (zh) * 2008-05-19 2008-12-24 刘洪利 基于生物特征的认证系统及其身份认证方法
JP5147673B2 (ja) * 2008-12-18 2013-02-20 株式会社日立製作所 生体認証システムおよびその方法
JP2010244365A (ja) * 2009-04-07 2010-10-28 Sony Corp サービス提供装置、サービス提供方法、生体情報認証サーバ、生体情報認証方法、プログラムおよびサービス提供システム
CN101958792A (zh) * 2009-07-17 2011-01-26 华为技术有限公司 对用户进行指纹认证的方法和装置
US8799666B2 (en) 2009-10-06 2014-08-05 Synaptics Incorporated Secure user authentication using biometric information
WO2011081852A2 (en) * 2009-12-14 2011-07-07 Ceelox, Inc. Enterprise biometric authentication system for a windows biometric framework
JP5309088B2 (ja) * 2010-06-21 2013-10-09 株式会社日立製作所 生体認証システムにおける、生体情報の登録方法、テンプレートの利用申請の方法、および、認証方法
US9049191B2 (en) * 2010-09-30 2015-06-02 Panasonic Corporation Biometric authentication system, communication terminal device, biometric authentication device, and biometric authentication method
WO2012081126A1 (ja) * 2010-12-17 2012-06-21 富士通株式会社 生体認証装置、生体認証方法及び生体認証用コンピュータプログラム
CN102646190B (zh) * 2012-03-19 2018-05-08 深圳市腾讯计算机系统有限公司 一种基于生物特征的认证方法、装置及系统
CN102916968B (zh) * 2012-10-29 2016-01-27 北京天诚盛业科技有限公司 身份认证方法、身份认证服务器和身份认证装置
US9189612B2 (en) * 2013-05-13 2015-11-17 Ira Konvalinka Biometric verification with improved privacy and network performance in client-server networks
CN103368745A (zh) * 2013-07-19 2013-10-23 江南大学 一种教育信息资源保障的用户身份强认证方法
EP3611871B1 (en) * 2013-09-19 2021-12-08 Intel Corporation Technologies for synchronizing and restoring reference templates
CN104639517B (zh) * 2013-11-15 2019-09-17 阿里巴巴集团控股有限公司 利用人体生物特征进行身份验证的方法和装置
CN106330850B (zh) 2015-07-02 2020-01-14 创新先进技术有限公司 一种基于生物特征的安全校验方法及客户端、服务器

Also Published As

Publication number Publication date
US10892896B2 (en) 2021-01-12
CN106330850B (zh) 2020-01-14
US10659230B2 (en) 2020-05-19
KR20180026508A (ko) 2018-03-12
PL3319292T3 (pl) 2020-12-28
EP3319292B1 (en) 2020-08-26
JP6882254B2 (ja) 2021-06-02
EP3319292A4 (en) 2018-06-27
US20180145833A1 (en) 2018-05-24
SG11201710590XA (en) 2018-01-30
KR102493744B1 (ko) 2023-01-30
SG10202000533XA (en) 2020-03-30
US20200280445A1 (en) 2020-09-03
WO2017000829A1 (zh) 2017-01-05
JP2018521417A (ja) 2018-08-02
CN106330850A (zh) 2017-01-11
EP3319292A1 (en) 2018-05-09

Similar Documents

Publication Publication Date Title
ES2818199T3 (es) Método de verificación de seguridad con base en una característica biométrica, un terminal de cliente y un servidor
US10798087B2 (en) Apparatus and method for implementing composite authenticators
US9350548B2 (en) Two factor authentication using a protected pin-like passcode
CN106575326B (zh) 利用非对称加密实施一次性密码的系统和方法
US9740849B2 (en) Registration and authentication of computing devices using a digital skeleton key
US11824991B2 (en) Securing transactions with a blockchain network
US9294281B2 (en) Utilization of a protected module to prevent offline dictionary attacks
US20160205098A1 (en) Identity verifying method, apparatus and system, and related devices
US10848304B2 (en) Public-private key pair protected password manager
US20170085561A1 (en) Key storage device and method for using same
JP2002521962A (ja) 認証トークンを使用して共有秘密を確立する方法及びシステム
EP3206329B1 (en) Security check method, device, terminal and server
US8397281B2 (en) Service assisted secret provisioning
US9654466B1 (en) Methods and systems for electronic transactions using dynamic password authentication
CN101420302A (zh) 安全认证方法和设备
KR102445379B1 (ko) 서버 장치의 동작 방법, 단말의 동작 방법 및 서버 장치
CN110995416A (zh) 一种将移动端与客户端关联的方法
Kumari et al. Hacking resistance protocol for securing passwords using personal device
de Souza et al. Multi-factor authentication in key management systems
Liou Analysis of Feasibility and Security Measures on Dynamic Authentication