專利名稱:身份認(rèn)證方法、身份認(rèn)證服務(wù)器和身份認(rèn)證裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及互聯(lián)網(wǎng)領(lǐng)域�,具體而言,涉及一種身份認(rèn)證方法����、身份認(rèn)證服務(wù)器和身份認(rèn)證裝置。
背景技術(shù):
隨著互聯(lián)網(wǎng)和電子商務(wù)的發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用已經(jīng)滲透到各行各業(yè)���,全球信息化已經(jīng)成為人類發(fā)展的大趨勢(shì)��。近年來(lái)網(wǎng)絡(luò)安全問(wèn)題尤為嚴(yán)峻�����,用戶頻繁的受到黑客���、木馬、惡意軟件的攻擊�,銀行賬戶被竊取、資金被盜用�、用戶身份被冒用現(xiàn)象等屢見(jiàn)不鮮。CSDN600萬(wàn)用戶密碼信息泄露����,電商巨頭亞馬遜中國(guó)也面臨了同樣的危機(jī),種種網(wǎng)絡(luò)安全隱患引發(fā)了人們對(duì)網(wǎng)絡(luò)安全的擔(dān)憂�����,“用戶號(hào)+密碼”的身份認(rèn)證模式已經(jīng)不適應(yīng)網(wǎng)絡(luò)安全要求���。
為了解決靜態(tài)密碼安全性差的問(wèn)題�,目前較為安全的身份認(rèn)證方法是采用動(dòng)態(tài)口令認(rèn)證方法進(jìn)行身份認(rèn)證,或者采用生物特征識(shí)別方法進(jìn)行身份認(rèn)證��,但是動(dòng)態(tài)口令認(rèn)證方法中動(dòng)態(tài)令牌可以被復(fù)制�,并且令牌與用戶本身沒(méi)有綁定關(guān)系,生成動(dòng)態(tài)口令的要素與用戶無(wú)關(guān)��,不具備用戶個(gè)體差異����,所以,當(dāng)他人得到令牌及其密碼時(shí)�,動(dòng)態(tài)口令已失去其安全意義,因而�����,現(xiàn)有技術(shù)中基于動(dòng)態(tài)口令的身份認(rèn)證方法的安全性仍然不足���。針對(duì)相關(guān)技術(shù)中基于動(dòng)態(tài)口令的身份認(rèn)證方法安全性較差的問(wèn)題,目前尚未提出有效的解決方案����。
發(fā)明內(nèi)容
本發(fā)明的主要目的在于提供一種身份認(rèn)證方法、身份認(rèn)證服務(wù)器和身份認(rèn)證裝置,以解決基于動(dòng)態(tài)口令的身份認(rèn)證方法安全性較差的問(wèn)題�。為了實(shí)現(xiàn)上述目的,根據(jù)本發(fā)明的一個(gè)方面�,提供了一種身份認(rèn)證方法。根據(jù)本發(fā)明的身份認(rèn)證方法包括認(rèn)證服務(wù)器接收客戶端發(fā)送的生物特征認(rèn)證請(qǐng)求��,其中�,生物特征認(rèn)證請(qǐng)求包括用戶生物特征;認(rèn)證服務(wù)器將隨機(jī)生成的挑戰(zhàn)數(shù)返回至客戶端�;認(rèn)證服務(wù)器接收客戶端發(fā)送的動(dòng)態(tài)驗(yàn)證口令,其中��,動(dòng)態(tài)驗(yàn)證口令由接收到挑戰(zhàn)數(shù)時(shí)客戶端的時(shí)間TM1���、挑戰(zhàn)數(shù)���、用戶生物特征和客戶端預(yù)存的第一種子密鑰生成;認(rèn)證服務(wù)器根據(jù)接收到動(dòng)態(tài)驗(yàn)證口令時(shí)認(rèn)證服務(wù)器的時(shí)間TM���、挑戰(zhàn)數(shù)�����、用戶生物特征和第二種子密鑰生成動(dòng)態(tài)口令�,其中,第二種子密鑰是與第一種子密鑰相對(duì)應(yīng)的密鑰��;以及認(rèn)證服務(wù)器驗(yàn)證動(dòng)態(tài)口令和動(dòng)態(tài)驗(yàn)證口令是否一致���,并根據(jù)驗(yàn)證結(jié)果向客戶端返回身份認(rèn)證結(jié)果��。進(jìn)一步地��,在接收客戶端發(fā)送的生物特征認(rèn)證請(qǐng)求之前���,該方法還包括認(rèn)證服務(wù)器接收客戶端發(fā)送的注冊(cè)請(qǐng)求,其中��,注冊(cè)請(qǐng)求包括用于采集用戶生物特征的采集裝置的標(biāo)識(shí)信息�;認(rèn)證服務(wù)器在接收到注冊(cè)請(qǐng)求時(shí),隨機(jī)生成種子密鑰��,并對(duì)應(yīng)存儲(chǔ)隨機(jī)生成的種子密鑰和標(biāo)識(shí)信息�����;以及認(rèn)證服務(wù)器向客戶端返回隨機(jī)生成的種子密鑰�����,其中��,第一種子密鑰和第二種子密鑰均為隨機(jī)生成的種子密鑰�����,生物特征認(rèn)證請(qǐng)求還包括標(biāo)識(shí)信息����,認(rèn)證服務(wù)器在生成動(dòng)態(tài)口令時(shí)根據(jù)標(biāo)識(shí)信息獲取第二種子密鑰。
進(jìn)一步地�,在將隨機(jī)生成的挑戰(zhàn)數(shù)返回至客戶端之前,該方法還包括認(rèn)證服務(wù)器對(duì)比用戶生物特征與認(rèn)證服務(wù)器歷史接收到的用戶生物特征是否滿足第一預(yù)設(shè)條件��,并在滿足第一預(yù)設(shè)條件時(shí)生成攻擊警告�;認(rèn)證服務(wù)器將攻擊警告返回至客戶端。進(jìn)一步地�����,將隨機(jī)生成的挑戰(zhàn)數(shù)返回至客戶端之前�����,該方法還包括認(rèn)證服務(wù)器在預(yù)存的生物特征模板庫(kù)中查詢與用戶生物特征相匹配的生物特征模板;當(dāng)認(rèn)證服務(wù)器查詢不到生物特征模板時(shí)返回生物特征認(rèn)證失敗信息至客戶端�,當(dāng)認(rèn)證服務(wù)器查詢到生物特征模板時(shí)根據(jù)用戶生物特征修正生物特征模板庫(kù)�����,其中����,將隨機(jī)生成的挑戰(zhàn)數(shù)返回至客戶端包括當(dāng)認(rèn)證服務(wù)器查詢到生物特征模板��,認(rèn)證服務(wù)器將隨機(jī)生成的挑戰(zhàn)數(shù)返回至客戶端���。進(jìn)一步地���,認(rèn)證服務(wù)器根據(jù)用戶生物特征修正生物特征模板庫(kù)包括當(dāng)用戶生物特征為用戶臉部特征且用戶臉部特征滿足預(yù)設(shè)人臉融合要求時(shí),認(rèn)證服務(wù)器增加用戶臉部特征至生物特征模板庫(kù)�;當(dāng)用戶生物特征為用戶虹膜特征且用戶虹膜特征滿足預(yù)設(shè)虹膜融合要求時(shí),認(rèn)證服務(wù)器增加用戶虹膜特征至生物特征模板庫(kù)�����;當(dāng)用戶生物特征為用戶指紋特征時(shí)��,認(rèn)證服務(wù)器增強(qiáng)生物特征模板中與用戶指紋特征相匹配的特征點(diǎn)的匹配權(quán)重系數(shù)��,減小生物特征模板中與用戶指紋特征不匹配的特征點(diǎn)的匹配權(quán)重系數(shù)��;以及當(dāng)用戶生·物特征為用戶掌紋特征時(shí)�,認(rèn)證服務(wù)器增強(qiáng)生物特征模板中與用戶掌紋特征相匹配的特征點(diǎn)的匹配權(quán)重系數(shù),減小生物特征模板中與用戶掌紋特征不匹配的特征點(diǎn)的匹配權(quán)重系數(shù)����。進(jìn)一步地,當(dāng)用戶生物特征為用戶臉部特征且用戶臉部特征滿足預(yù)設(shè)人臉融合要求時(shí)�����,認(rèn)證服務(wù)器增加用戶臉部特征數(shù)據(jù)至生物特征模板庫(kù)包括當(dāng)用戶臉部特征對(duì)應(yīng)的人臉狀態(tài)在生物特征模板對(duì)應(yīng)的人臉狀態(tài)中不存在時(shí)��,認(rèn)證服務(wù)器增加用戶臉部特征數(shù)據(jù)至生物特征模板庫(kù)�;以及當(dāng)認(rèn)證服務(wù)器接收到用戶臉部特征的時(shí)間與生物特征模板的建立時(shí)間之差超過(guò)預(yù)設(shè)時(shí)間間隔時(shí),認(rèn)證服務(wù)器增加用戶臉部特征數(shù)據(jù)至生物特征模板庫(kù)���,當(dāng)用戶生物特征為用戶虹膜特征且用戶虹膜特征滿足預(yù)設(shè)虹膜融合要求時(shí)�,認(rèn)證服務(wù)器增加用戶虹膜特征數(shù)據(jù)至生物特征模板庫(kù)包括當(dāng)用戶虹膜特征對(duì)應(yīng)的瞳孔半徑與生物特征模板對(duì)應(yīng)的瞳孔半徑之差超過(guò)預(yù)設(shè)半徑差時(shí)���,認(rèn)證服務(wù)器增加用戶虹膜特征數(shù)據(jù)至生物特征模板庫(kù)����;當(dāng)用戶虹膜特征對(duì)應(yīng)的眼瞼上拋物線到瞳孔圓心的間隔與瞳孔半徑的差超過(guò)預(yù)設(shè)間隔差時(shí)����,認(rèn)證服務(wù)器增加用戶虹膜特征數(shù)據(jù)至生物特征模板庫(kù)����;當(dāng)用戶虹膜特征對(duì)應(yīng)的虹膜噪聲模板中睫毛噪聲比例超過(guò)預(yù)設(shè)噪聲比例時(shí)����,認(rèn)證服務(wù)器增加用戶虹膜特征數(shù)據(jù)至生物特征模板庫(kù);以及當(dāng)用戶虹膜特征對(duì)應(yīng)的瞳孔內(nèi)無(wú)光斑時(shí)��,認(rèn)證服務(wù)器增加用戶虹膜特征數(shù)據(jù)至生物特征模板庫(kù)����。進(jìn)一步地,在認(rèn)證服務(wù)器生成動(dòng)態(tài)口令之前�����,該方法還包括認(rèn)證服務(wù)器接收客戶端發(fā)送的TMl ;認(rèn)證服務(wù)器判斷ITM-TMlI是否超過(guò)預(yù)設(shè)差值范圍�����;以及用于當(dāng)ITM-TMlI超過(guò)預(yù)設(shè)差值范圍時(shí)���,認(rèn)證服務(wù)器返回超時(shí)信息至客戶端�����,其中�����,認(rèn)證服務(wù)器生成動(dòng)態(tài)口令包括當(dāng)ITM-TMlI沒(méi)有超過(guò)預(yù)設(shè)差值范圍時(shí)��,認(rèn)證服務(wù)器生成動(dòng)態(tài)口令�。進(jìn)一步地�����,認(rèn)證服務(wù)器生成動(dòng)態(tài)口令包括當(dāng)|TM-TM1|沒(méi)有超過(guò)預(yù)設(shè)差值范圍時(shí)��,根據(jù)TM與TMl之間的時(shí)間生成一組動(dòng)態(tài)口令�;以及認(rèn)證服務(wù)器驗(yàn)證動(dòng)態(tài)口令和動(dòng)態(tài)驗(yàn)證口令是否一致包括認(rèn)證服務(wù)器驗(yàn)證動(dòng)態(tài)驗(yàn)證口令與一組動(dòng)態(tài)口令中的任意一個(gè)動(dòng)態(tài)口令是否一致。為了實(shí)現(xiàn)上述目的����,根據(jù)本發(fā)明的另一方面,提供了一種身份認(rèn)證服務(wù)器�。
根據(jù)本發(fā)明的身份認(rèn)證服務(wù)器包括認(rèn)證請(qǐng)求接收模塊,用于接收客戶端發(fā)送的生物特征認(rèn)證請(qǐng)求,其中����,生物特征認(rèn)證請(qǐng)求包括用戶生物特征;認(rèn)證請(qǐng)求應(yīng)答模塊���,用于將隨機(jī)生成的挑戰(zhàn)數(shù)返回至客戶端���;驗(yàn)證口令接收模塊,用于接收客戶端發(fā)送的動(dòng)態(tài)驗(yàn)證口令�����,其中��,動(dòng)態(tài)驗(yàn)證口令由接收到挑戰(zhàn)數(shù)時(shí)客戶端的時(shí)間TMl���、挑戰(zhàn)數(shù)�����、用戶生物特征和客戶端預(yù)存的第一種子密鑰生成�����;動(dòng)態(tài)口令生成模塊���,用于根據(jù)接收到動(dòng)態(tài)驗(yàn)證口令時(shí)認(rèn)證服務(wù)器的時(shí)間TM�����、挑戰(zhàn) 數(shù)����、用戶生物特征和第二種子密鑰生成動(dòng)態(tài)口令���,其中,第二種子密鑰是與第一種子密鑰相對(duì)應(yīng)的密鑰�;口令驗(yàn)證模塊,用于驗(yàn)證動(dòng)態(tài)口令和動(dòng)態(tài)驗(yàn)證口令是否一致�����;以及認(rèn)證結(jié)果發(fā)送模塊����,用于根據(jù)驗(yàn)證結(jié)果向客戶端返回的身份認(rèn)證結(jié)果。進(jìn)一步地�,該身份認(rèn)證服務(wù)器還包括注冊(cè)請(qǐng)求接收模塊,用于接收客戶端發(fā)送的注冊(cè)請(qǐng)求,其中�,注冊(cè)請(qǐng)求包括采集用戶生物特征的采集裝置的標(biāo)識(shí)信息;種子密鑰生成模塊����,用于在接收到注冊(cè)請(qǐng)求時(shí),隨機(jī)生成種子密鑰����;種子密鑰存儲(chǔ)模塊,用于對(duì)應(yīng)存儲(chǔ)隨機(jī)生成的種子密鑰和標(biāo)識(shí)信息���;以及注冊(cè)請(qǐng)求應(yīng)答模塊�����,用于向客戶端返回隨機(jī)生成的種子密鑰����,其中�,第一種子密鑰和第二種子密鑰均為隨機(jī)生成的種子密鑰,生物特征認(rèn)證請(qǐng)求還包括標(biāo)識(shí)信息��,動(dòng)態(tài)口令生成模塊還用于根據(jù)標(biāo)識(shí)信息獲取第二種子密鑰����。進(jìn)一步地�����,該身份認(rèn)證服務(wù)器還包括攻擊檢測(cè)模塊���,用于對(duì)比用戶生物特征與認(rèn)證請(qǐng)求接收模塊歷史接收到的用戶生物特征是否滿足第一預(yù)設(shè)條件,并在滿足第一預(yù)設(shè)條件時(shí)生成攻擊警告�����,其中���,認(rèn)證請(qǐng)求應(yīng)答模塊還用于將攻擊警告返回至客戶端。進(jìn)一步地���,該身份認(rèn)證服務(wù)器還包括特征查詢模塊�����,用于在預(yù)存的生物特征模板庫(kù)中查詢與用戶生物特征相匹配的生物特征模板���;以及特征融合模塊���,用于當(dāng)特征查詢模塊查詢到生物特征模板時(shí),根據(jù)用戶生物特征修正生物特征模板庫(kù)�����,其中���,認(rèn)證請(qǐng)求應(yīng)答模塊還用于當(dāng)查詢不到生物特征模板時(shí)返回生物特征認(rèn)證失敗信息至客戶端��,當(dāng)查詢到生物特征模板���,將隨機(jī)生成的挑戰(zhàn)數(shù)返回至客戶端。為了實(shí)現(xiàn)上述目的��,根據(jù)本發(fā)明的另一方面��,提供了一種身份認(rèn)證裝置���。根據(jù)本發(fā)明的身份認(rèn)證裝置設(shè)置于客戶端�,包括認(rèn)證請(qǐng)求發(fā)送模塊�����,用于發(fā)送生物特征認(rèn)證請(qǐng)求至認(rèn)證服務(wù)器,其中��,生物特征認(rèn)證請(qǐng)求包括用戶生物特征�;認(rèn)證應(yīng)答接收模塊,用于接收認(rèn)證服務(wù)器隨機(jī)生成的挑戰(zhàn)數(shù)�;動(dòng)態(tài)驗(yàn)證口令生成模塊,用于根據(jù)接收到挑戰(zhàn)數(shù)時(shí)客戶端的時(shí)間TM1�、挑戰(zhàn)數(shù)、用戶生物特征和客戶端預(yù)存的第一種子密鑰生成動(dòng)態(tài)驗(yàn)證口令�;動(dòng)態(tài)驗(yàn)證口令發(fā)送模塊,用于將動(dòng)態(tài)驗(yàn)證口令發(fā)送至認(rèn)證服務(wù)器�;以及認(rèn)證結(jié)果接收模塊,用于接收認(rèn)證服務(wù)器返回的身份認(rèn)證結(jié)果����,其中,身份認(rèn)證結(jié)果由認(rèn)證服務(wù)器根據(jù)驗(yàn)證動(dòng)態(tài)口令和動(dòng)態(tài)驗(yàn)證口令是否一致生成�,其中����,動(dòng)態(tài)口令由接收到動(dòng)態(tài)驗(yàn)證口令時(shí)認(rèn)證服務(wù)器的時(shí)間TM、挑戰(zhàn)數(shù)�、用戶生物特征、與第一種子密鑰對(duì)應(yīng)的第二種子密鑰生成����。進(jìn)一步地�����,該身份認(rèn)證裝置還包括注冊(cè)請(qǐng)求發(fā)送模塊���,用于發(fā)送注冊(cè)請(qǐng)求至認(rèn)證服務(wù)器,其中�����,注冊(cè)請(qǐng)求包括身份認(rèn)證裝置的標(biāo)識(shí)信息����;注冊(cè)應(yīng)答接收模塊,用于接收認(rèn)證服務(wù)器返回的隨機(jī)生成的種子密鑰�����,其中�����,第一種子密鑰和第二種子密鑰均為隨機(jī)生成的種子密鑰,生物特征認(rèn)證請(qǐng)求還包括標(biāo)識(shí)信息�。進(jìn)一步地,該身份認(rèn)證裝置還包括攻擊警告接收模塊����,用于接收認(rèn)證服務(wù)器返回的攻擊警告,其中���,攻擊警告用于表示用戶生物特征與認(rèn)證服務(wù)器歷史接收到的用戶生物特征滿足第一預(yù)設(shè)條件�。通過(guò)本發(fā)明���,采用包括以下步驟的身份認(rèn)證方法認(rèn)證服務(wù)器接收客戶端發(fā)送的生物特征認(rèn)證請(qǐng)求����;認(rèn)證服務(wù)器將隨機(jī)生成的挑戰(zhàn)數(shù)返回至客戶端�����;認(rèn)證服務(wù)器接收客戶端發(fā)送的動(dòng)態(tài)驗(yàn)證口令�����;認(rèn)證服務(wù)器生成動(dòng)態(tài)口令��;以及認(rèn)證服務(wù)器驗(yàn)證動(dòng)態(tài)口令和動(dòng)態(tài)驗(yàn)證口令是否一致��,并根據(jù)驗(yàn)證結(jié)果向客戶端返回身份認(rèn)證結(jié)果��,將生物特征參與動(dòng)態(tài)口令的計(jì)算過(guò)程中���,解決了基于動(dòng)態(tài)口令的身份認(rèn)證方法安全性較差的問(wèn)題�,進(jìn)而達(dá)到了通過(guò)生物特征來(lái)保證動(dòng)態(tài)口令的安全性的作用�,保障了用戶身份認(rèn)證的真實(shí)性和可靠性的效果O
構(gòu)成本申請(qǐng)的一部分的附圖用來(lái)提供對(duì)本發(fā)明的進(jìn)一步理解,本發(fā)明的示意性實(shí)施例及其說(shuō)明用于解釋本發(fā)明���,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定�。在附圖中圖I是根據(jù)本發(fā)明第一實(shí)施例的身份認(rèn)證系統(tǒng)的框圖�;
圖2是根據(jù)本發(fā)明第二實(shí)施例的身份認(rèn)證系統(tǒng)的框圖;圖3是根據(jù)圖2所示實(shí)施例中認(rèn)證服務(wù)器的組成示意4是根據(jù)圖2所示實(shí)施例中身份認(rèn)證裝置的組成示意圖�;圖5是根據(jù)本發(fā)明第一實(shí)施例的身份認(rèn)證方法的流程圖;圖6是根據(jù)本發(fā)明實(shí)施例的用戶ID及生物特征模板注冊(cè)流程圖�;圖7是根據(jù)本發(fā)明實(shí)施例的生物特征識(shí)別流程圖;圖8是根據(jù)本發(fā)明實(shí)施例的動(dòng)態(tài)口令校驗(yàn)流程圖��;以及圖9是根據(jù)本發(fā)明第三實(shí)施例的身份認(rèn)證方法的流程圖���。
具體實(shí)施例方式需要說(shuō)明的是��,在不沖突的情況下����,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互組合。下面將參考附圖并結(jié)合實(shí)施例來(lái)詳細(xì)說(shuō)明本發(fā)明���。本具體實(shí)施方式
首先提供了身份認(rèn)證系統(tǒng)的實(shí)施例��。圖I是根據(jù)本發(fā)明第一實(shí)施例的身份認(rèn)證系統(tǒng)的框圖����,如圖I所示�����,該身份認(rèn)證系統(tǒng)包括身份認(rèn)證服務(wù)器20和集成于客戶端的身份認(rèn)證裝置40�。其中,身份認(rèn)證服務(wù)器20包括認(rèn)證請(qǐng)求接收模塊21���、認(rèn)證請(qǐng)求應(yīng)答模塊22���、驗(yàn)證口令接收模塊23、動(dòng)態(tài)口令生成模塊24����、口令驗(yàn)證模塊25和認(rèn)證結(jié)果發(fā)送模塊26 ;身份認(rèn)證裝置40包括認(rèn)證請(qǐng)求發(fā)送模塊41、認(rèn)證應(yīng)答接收模塊42��、動(dòng)態(tài)驗(yàn)證口令生成模塊43�����、動(dòng)態(tài)驗(yàn)證口令發(fā)送模塊44和認(rèn)證結(jié)果接收t吳塊45����。其中,該身份認(rèn)證系統(tǒng)完成一次身份認(rèn)證的流程如下第一��,用戶控制身份認(rèn)證裝置40完成用戶生物特征的采集并存儲(chǔ)�,特征采集裝置可以為單獨(dú)設(shè)置的傳感器,也可以為集成于客戶端的采集設(shè)備�����,然后身份認(rèn)證裝置40的認(rèn)證請(qǐng)求發(fā)送模塊41將采集的用戶生物特征組織成為生物特征認(rèn)證請(qǐng)求報(bào)文��,并將該請(qǐng)求報(bào)文發(fā)送至認(rèn)證服務(wù)器20�����。第二,認(rèn)證服務(wù)器20的認(rèn)證請(qǐng)求接收模塊21接收到生物特征認(rèn)證請(qǐng)求報(bào)文����,對(duì)報(bào)文進(jìn)行解析,得到用戶生物特征��。第三�,在得到用戶生物特征之后,認(rèn)證服務(wù)器20的認(rèn)證請(qǐng)求應(yīng)答模塊22隨機(jī)生成的挑戰(zhàn)數(shù)CN���,并將挑戰(zhàn)數(shù)CN返回至客戶端的身份認(rèn)證裝置40��。
第四��,身份認(rèn)證裝置40的認(rèn)證應(yīng)答接收模塊42接收認(rèn)證服務(wù)器20返回的挑戰(zhàn)數(shù)
CN0第五���,身份認(rèn)證裝置40的動(dòng)態(tài)驗(yàn)證口令生成模塊43根據(jù)接收到挑戰(zhàn)數(shù)CN時(shí)客戶端的時(shí)間TMl、挑戰(zhàn)數(shù)CN���、用戶生物特征和客戶端預(yù)存的第一種子密鑰SKl生成動(dòng)態(tài)驗(yàn)證口令0TP1��,其中�����,動(dòng)態(tài)認(rèn)證口令的運(yùn)算采用雜湊算法��,雜湊算法又稱為散列算法或哈希算法���,包括但不限于SHA-I、SHA-256����、SM3、MD5等算法��。第六����,身份認(rèn)證裝置40的動(dòng)態(tài)驗(yàn)證口令發(fā)送模塊44將生成的動(dòng)態(tài)驗(yàn)證口令OTPl發(fā)送至認(rèn)證服務(wù)器20。第七���,認(rèn)證服務(wù)器20的驗(yàn)證口令接收模塊23接收動(dòng)態(tài)驗(yàn)證口令OTPl����。第八�����,認(rèn)證服務(wù)器20的動(dòng)態(tài)口令生成模塊24根據(jù)接收到動(dòng)態(tài)驗(yàn)證口令時(shí)認(rèn)證服務(wù)器的時(shí)間TM、挑戰(zhàn)數(shù)CN�����、用戶生物特征和第二種子密鑰SK2生成動(dòng)態(tài)口令0TP2�,其中,第 二種子密鑰SK2是與第一種子密鑰SKl相對(duì)應(yīng)的密鑰�����,第二種子密鑰SK2和第一種子密鑰SKl及其對(duì)應(yīng)關(guān)系可預(yù)存在認(rèn)證服務(wù)器20內(nèi)���。該處計(jì)算動(dòng)態(tài)口令0TP2的算法與生成OTPl的算法相同��,身份認(rèn)證裝置40與認(rèn)證服務(wù)器20可采用固定的算法進(jìn)行口令的計(jì)算�����,也可使動(dòng)態(tài)驗(yàn)證口令發(fā)送模塊44在發(fā)送OTPl時(shí)同時(shí)發(fā)送生成OTPl的算法標(biāo)識(shí)信息�����,以使動(dòng)態(tài)口令生成模塊24根據(jù)接收到的算法標(biāo)識(shí)信息選擇算法生成0TP2�����。第九�����,認(rèn)證服務(wù)器20的口令驗(yàn)證模塊25驗(yàn)證動(dòng)態(tài)口令0TP2和動(dòng)態(tài)驗(yàn)證口令OPTl
是否一致�����。第十����,當(dāng)0TP2和OPTl —致時(shí)����,生成身份認(rèn)證成功的認(rèn)證結(jié)果,當(dāng)0TP2和OPTl不一致時(shí)����,生成身份認(rèn)證失敗的認(rèn)證結(jié)果,并由認(rèn)證服務(wù)器20的認(rèn)證結(jié)果發(fā)送模塊26將身份認(rèn)證結(jié)果返回至客戶端��。第十一��,身份認(rèn)證裝置40的認(rèn)證結(jié)果接收模塊45接收身份認(rèn)證結(jié)果�����,完成一次身份認(rèn)證。在該實(shí)施例中����,將生物特征識(shí)別與動(dòng)態(tài)口令相結(jié)合,實(shí)現(xiàn)生物特征數(shù)據(jù)的防篡改和用戶身份認(rèn)證的安全可靠性�����,在動(dòng)態(tài)口令的生成過(guò)程中���,將生物特征參與動(dòng)態(tài)口令計(jì)算����,生成動(dòng)態(tài)口令的要素直接來(lái)源于用戶的人體生物特征����,從而不同用戶生成的動(dòng)態(tài)口令與用戶自身密切相關(guān),并且只要生物特征被非法篡改��,就會(huì)引起動(dòng)態(tài)口令的驗(yàn)證不符�����,從而起到通過(guò)生物特征來(lái)保證動(dòng)態(tài)口令的安全性的作用,保障了用戶身份認(rèn)證的真實(shí)性和可靠性����。優(yōu)選地,第一種子密鑰SKl和第二種子密鑰SK2可采用預(yù)注冊(cè)的方式進(jìn)行設(shè)置����,則身份認(rèn)證服務(wù)器還包括注冊(cè)請(qǐng)求接收模塊、種子密鑰生成模塊��、種子密鑰存儲(chǔ)模塊和注冊(cè)請(qǐng)求應(yīng)答模塊�����,相應(yīng)地,身份認(rèn)證裝置還包括注冊(cè)請(qǐng)求發(fā)送模塊和注冊(cè)應(yīng)答接收模塊���。在首次采用身份認(rèn)證裝置進(jìn)行身份認(rèn)證之前����,身份認(rèn)證裝置的注冊(cè)請(qǐng)求發(fā)送模塊將身份認(rèn)證裝置的標(biāo)識(shí)信息組織成為注冊(cè)請(qǐng)求報(bào)文發(fā)送至認(rèn)證服務(wù)器��,身份認(rèn)證服務(wù)器的注冊(cè)請(qǐng)求接收模塊接收客戶端發(fā)送的注冊(cè)請(qǐng)求報(bào)文,解析注冊(cè)請(qǐng)求報(bào)文得到身份認(rèn)證裝置的標(biāo)識(shí)信息���,種子密鑰生成模塊隨機(jī)生成種子密鑰����,并將該隨機(jī)生成的種子密鑰以及對(duì)應(yīng)的標(biāo)識(shí)信息存儲(chǔ)���,存儲(chǔ)的種子密鑰為第二種子密鑰����,然后由注冊(cè)請(qǐng)求應(yīng)答模塊將隨機(jī)生成的種子密鑰返回至身份認(rèn)證裝置�����,由注冊(cè)應(yīng)答接收模塊接收該隨機(jī)生成的種子密鑰�,得到第一種子密鑰。采用該方式生成第一種子密鑰和第二種子密鑰時(shí)����,認(rèn)證請(qǐng)求發(fā)送模塊41將用戶生物特征和身份認(rèn)證裝置的標(biāo)識(shí)信息一起組織成為生物特征認(rèn)證請(qǐng)求報(bào)文,在認(rèn)證請(qǐng)求接收模塊21接收到生物特征認(rèn)證請(qǐng)求報(bào)文之后�,認(rèn)證請(qǐng)求應(yīng)答模塊22生成挑戰(zhàn)數(shù)CN之前,認(rèn)證服務(wù)器首先進(jìn)行生物特征的認(rèn)證�,如果認(rèn)證成功,則認(rèn)證請(qǐng)求應(yīng)答模塊22生成挑戰(zhàn)數(shù)CN,并且動(dòng)態(tài)口令生成模塊24根據(jù)身份認(rèn)證裝置的標(biāo)識(shí)信息獲取第二種子密鑰SK2,否則認(rèn)證請(qǐng)求應(yīng)答模塊22返回生物特征認(rèn)證失敗信息至客戶端��;或者動(dòng)態(tài)驗(yàn)證口令發(fā)送模塊44在發(fā)送動(dòng)態(tài)驗(yàn)證口令OTPl時(shí)發(fā)送身份認(rèn)證裝置的標(biāo)識(shí)信息�����,動(dòng)態(tài)口令生成模塊24根據(jù)身份認(rèn)證裝置的標(biāo)識(shí)信息獲取第二種子密鑰SK2��。第一種子密鑰SKl和第二種子密鑰SK2也可采用其他的方式進(jìn)行設(shè)置�����,例如設(shè)置為固定值����,或者通過(guò)其他標(biāo)識(shí)信息進(jìn)行關(guān)聯(lián)均可。優(yōu)選地��,為了避免認(rèn)證過(guò)程中的重放攻擊�����,身份認(rèn)證服務(wù)器將每次認(rèn)證時(shí)接收到的用戶生物特征進(jìn)行存儲(chǔ)���,身份認(rèn)證服務(wù)器還包括攻擊檢測(cè)模塊,在每次進(jìn)行用戶生物特征的存儲(chǔ)之前,攻擊檢測(cè)模塊對(duì)比本次用戶生物特征與認(rèn)證請(qǐng)求接收模塊歷史接收到的用戶生物特征是否滿足第一預(yù)設(shè)條件����,該第一預(yù)設(shè)條件可設(shè)置為本次用戶生物特征與歷史用 戶生物特征完全相同,并在滿足該第一預(yù)設(shè)條件時(shí)生成攻擊警告����,將攻擊警告返回至客戶端,設(shè)置于客戶端的身份認(rèn)證裝置還包括攻擊警告接收模塊���,該攻擊警告接收模塊用于接收返回的攻擊警告����,其中�����,該攻擊警告能夠警示用戶���。由于每次采集的人體生物特征都存在差別����,因此�,兩次獲取的用戶生物特征完全相同的概率極小��,認(rèn)證服務(wù)器利用這一特點(diǎn)來(lái)禁止重放攻擊�,從而在每次接收到用戶生物特征后��,首先檢查本次用戶生物特征在歷史記錄中是否存在一致的記錄����,若一致,則拒絕該請(qǐng)求�����,當(dāng)某用戶ID或某客戶端ID頻繁出現(xiàn)這種情況��,累計(jì)達(dá)到一定次數(shù)���,認(rèn)證服務(wù)器將該用戶ID或客戶端ID記入黑名單����。進(jìn)一步優(yōu)選地����,身份認(rèn)證服務(wù)器將每次認(rèn)證時(shí)接收到的用戶生物特征轉(zhuǎn)換為哈希值進(jìn)行存儲(chǔ)����,則攻擊檢測(cè)模塊對(duì)比本次用戶生物特征對(duì)應(yīng)的哈希值與存儲(chǔ)的哈希值是否相同來(lái)檢測(cè)重放攻擊���,能夠減小認(rèn)證服務(wù)器的存儲(chǔ)量。進(jìn)一步優(yōu)選地����,當(dāng)攻擊檢測(cè)模塊對(duì)比本次用戶生物特征與歷史用戶生物特征不相同時(shí),身份認(rèn)證服務(wù)器還包括特征比對(duì)模塊和模板庫(kù)修改模塊���,其中�����,特征比對(duì)模塊用于將用戶生物特征與預(yù)存在生物特征模板庫(kù)中的生物特征模板進(jìn)行比對(duì)�,當(dāng)用戶生物特征與某一生物特征模板的比對(duì)結(jié)果滿足預(yù)設(shè)的比對(duì)要求時(shí)�����,則該生物特征模板與用戶生物特征相匹配�����;模板庫(kù)修改模塊用于當(dāng)特征比對(duì)模塊獲取到相匹配的生物特征模板時(shí)�����,根據(jù)用戶生物特征修改生物特征模板庫(kù)。該處的匹配較重放攻擊檢測(cè)時(shí)的匹配要求較低���,不必完全相同����。其中�,特征比對(duì)模塊具體可采用“一對(duì)一”的比對(duì)方法,該種比對(duì)方法要求身份認(rèn)證服務(wù)器接收用戶生物特征同時(shí)接收標(biāo)識(shí)信息����,生物特征模板庫(kù)存儲(chǔ)生物特征模板及其與標(biāo)識(shí)信息的對(duì)應(yīng)關(guān)系,則特征比對(duì)模塊首先根據(jù)接收到的標(biāo)識(shí)信息在生物特征模板庫(kù)中找到對(duì)應(yīng)的生物特征模板���,再將接收到的用戶生物特征與找到的生物特征模板進(jìn)行比對(duì)即可���,其中的標(biāo)識(shí)信息可以為用戶ID信息等。特征比對(duì)模塊也可采用“一對(duì)多”的比對(duì)方法���,特征比對(duì)模塊采用該比對(duì)方法時(shí)����,將接收到的用戶生物特征與生物特征模板庫(kù)中的生物特征模板一一比對(duì),直到獲取到相匹配的生物特征模板�。該方式只需接收用戶生物特征即可�,無(wú)需接收標(biāo)識(shí)信息。進(jìn)一步地�,如果生物特征模板庫(kù)存儲(chǔ)生物特征模板及其與標(biāo)識(shí)信息的對(duì)應(yīng)關(guān)系時(shí),則在獲取到相匹配的生物特征模板的同時(shí)��,也獲取到了相對(duì)應(yīng)的標(biāo)識(shí)信息��,例如用戶ID信息����。其中,根據(jù)用戶生物特征修改生物特征模板庫(kù)包括如下的修改方式當(dāng)用戶生物特征為用戶臉部特征且用戶臉部特征滿足預(yù)設(shè)人臉修改要求時(shí)��,認(rèn)證服務(wù)器增加用戶臉部特征至生物特征模板庫(kù)�;當(dāng)用戶生物特征為用戶虹膜特征且用戶虹膜特征滿足預(yù)設(shè)虹膜修改要求時(shí),認(rèn)證服務(wù)器增加用戶虹膜特征至生物特征模板庫(kù)���;當(dāng)用戶生物特征為用戶指紋特征時(shí)����,認(rèn)證服務(wù)器增強(qiáng)相匹配的生物特征模板中與用戶指紋特征相匹配的特征點(diǎn)的匹配權(quán)重系數(shù)���,減小相匹配的生物特征模板中與用戶指紋特征不匹配的特征點(diǎn)的匹配權(quán)重系數(shù)��;以及當(dāng)用戶生物特征為用戶掌紋特征時(shí)�����,認(rèn)證服務(wù)器增強(qiáng)相匹配的生物特征模板中與用戶掌紋特征相匹配的特征點(diǎn)的匹配權(quán)重系數(shù)���,減小相匹配的生物特征模板中與用戶掌紋特征不匹配的特征點(diǎn)的匹配權(quán)重系數(shù)����。其中��,認(rèn)證服務(wù)器增加用戶臉部特征數(shù)據(jù)至生物特征模板庫(kù)包括當(dāng)用戶臉部特征對(duì)應(yīng)的人臉狀態(tài)在相匹配的生物特征模板對(duì)應(yīng)的人臉狀態(tài)中不存在時(shí)��,該處的人臉狀態(tài)可以為人臉角度��、臉部方位或表情等狀態(tài)信息����,認(rèn)證服務(wù)器增加用戶臉部特征數(shù)據(jù)至相匹 配的生物特征模板庫(kù);考慮人臉隨時(shí)間變化的特性�,當(dāng)認(rèn)證服務(wù)器接收到用戶臉部特征的時(shí)間與相匹配的生物特征模板的建立時(shí)間之差超過(guò)預(yù)設(shè)時(shí)間間隔時(shí),認(rèn)證服務(wù)器增加用戶臉部特征數(shù)據(jù)至生物特征模板庫(kù)。其中��,認(rèn)證服務(wù)器增加用戶虹膜特征數(shù)據(jù)至生物特征模板庫(kù)包括當(dāng)用戶虹膜特征對(duì)應(yīng)的瞳孔半徑與相匹配的生物特征模板對(duì)應(yīng)的瞳孔半徑之差超過(guò)預(yù)設(shè)半徑差時(shí)��,認(rèn)證服務(wù)器增加用戶虹膜特征數(shù)據(jù)至生物特征模板庫(kù)�����,該半徑差可設(shè)置為大于或等于10個(gè)像素間隔����;當(dāng)用戶虹膜特征對(duì)應(yīng)的眼瞼上拋物線到瞳孔圓心的間隔與瞳孔半徑的差超過(guò)預(yù)設(shè)間隔差時(shí)���,認(rèn)證服務(wù)器增加用戶虹膜特征數(shù)據(jù)至生物特征模板庫(kù)�,該預(yù)設(shè)間隔差可設(shè)置為-5至O個(gè)像素���;當(dāng)用戶虹膜特征對(duì)應(yīng)的虹膜噪聲模板中睫毛噪聲比例超過(guò)預(yù)設(shè)噪聲比例時(shí)���,認(rèn)證服務(wù)器增加用戶虹膜特征數(shù)據(jù)至生物特征模板庫(kù);以及當(dāng)用戶虹膜特征對(duì)應(yīng)的瞳孔內(nèi)無(wú)光斑時(shí)���,認(rèn)證服務(wù)器增加用戶虹膜特征數(shù)據(jù)至生物特征模板庫(kù)���。再進(jìn)一步優(yōu)選地�,當(dāng)用戶未進(jìn)行生物特征注冊(cè)或用戶生物特征與生物特征模板庫(kù)中所有模板比對(duì)均不符時(shí)���,特征比對(duì)模塊獲取不到相匹配的生物特征模板�。當(dāng)獲取不到相匹配的生物特征模板時(shí)�����,認(rèn)證請(qǐng)求應(yīng)答模塊還用于返回生物特征認(rèn)證失敗信息至客戶端�����,當(dāng)獲取到相匹配的生物特征模板�����,將隨機(jī)生成的挑戰(zhàn)數(shù)返回至客戶端����。優(yōu)選地,認(rèn)證請(qǐng)求應(yīng)答模塊22在將挑戰(zhàn)數(shù)CN返回至身份認(rèn)證裝置40的同時(shí)�����,將生成挑戰(zhàn)數(shù)認(rèn)證服務(wù)器的時(shí)間TMO同時(shí)返回至身份認(rèn)證裝置40,動(dòng)態(tài)驗(yàn)證口令生成模塊43在生成OTPl時(shí)�����,根據(jù)TMO對(duì)TMl進(jìn)行校正�����,當(dāng)TMl與TMO相差超過(guò)預(yù)設(shè)的時(shí)間差范圍時(shí)���,將TMl設(shè)置為TMO���。優(yōu)選地����,動(dòng)態(tài)驗(yàn)證口令發(fā)送模塊44在發(fā)送OTPl時(shí),將TMl發(fā)送至認(rèn)證服務(wù)器20�,則動(dòng)態(tài)口令生成模塊24在生成0TP2時(shí),首先判斷|TM-TM1|是否超過(guò)預(yù)設(shè)差值范圍�����,其中����,TM為認(rèn)證服務(wù)器接收到OTPl時(shí)認(rèn)證服務(wù)器的時(shí)間����,ITM-TMlI超過(guò)預(yù)設(shè)差值范圍時(shí)����,認(rèn)證服務(wù)器20返回超時(shí)信息至客戶端,動(dòng)態(tài)口令生成模塊24在|TM-TM1|沒(méi)有超過(guò)預(yù)設(shè)差值范圍時(shí)�,生成動(dòng)態(tài)口令0TP2,能夠避免認(rèn)證超時(shí)��。進(jìn)一步優(yōu)選地�����,在ITM-TMl I沒(méi)有超過(guò)預(yù)設(shè)差值范圍時(shí)�,動(dòng)態(tài)口令生成模塊24根據(jù)TM與TMl之間的時(shí)間生成一組動(dòng)態(tài)口令,具體地��,以預(yù)設(shè)分鐘為步進(jìn)長(zhǎng)度��,在TM與TMl間選擇TMi���,每計(jì)算得到一個(gè)0TP2���,口令驗(yàn)證模塊25進(jìn)行一次驗(yàn)證����,當(dāng)OTPl和0TP2 —致時(shí)生成身份認(rèn)證成功的認(rèn)證結(jié)果����,如果不一致,動(dòng)態(tài)口令生成模塊24選擇新的TMi����,并進(jìn)行新的動(dòng)態(tài)口令的計(jì)算,直到OTPl等于0TP2取值結(jié)束�。圖2是根據(jù)本發(fā)明第二實(shí)施例的身份認(rèn)證系統(tǒng)的框圖,如圖2所示����,該系統(tǒng)包括認(rèn)證服務(wù)器���、應(yīng)用服務(wù)器��、各種客戶端(包括臺(tái)式電腦客戶端����、筆記本客戶端、PAD客戶端����、手機(jī)客戶端等)及身份認(rèn)證裝置。應(yīng)用服務(wù)器和各種客戶端是屬于計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用系統(tǒng)�,統(tǒng)稱為應(yīng)用系統(tǒng)。應(yīng)用系統(tǒng)用戶的身份認(rèn)證是安全管理的重要組成部分���,一般情況下����,需要用戶身份認(rèn)證的交易包括系統(tǒng)登錄��、業(yè)務(wù)授權(quán)����、權(quán)限轉(zhuǎn)移、帳戶確認(rèn)等�����,而每個(gè)用戶的身份認(rèn)證過(guò)程都需要通過(guò)安全技術(shù)手段來(lái)保障���。由于計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的多樣性����,形成了各種各樣的應(yīng)用系統(tǒng),同時(shí)���,每個(gè)應(yīng)用系統(tǒng)的安全管理都是必要的���,都需要完善的身份認(rèn)證技術(shù)手段,因此��,本實(shí)施例能夠同時(shí)為多種應(yīng)用系統(tǒng)提供一套統(tǒng)一����、開放的生物特征識(shí)別身份認(rèn)證系統(tǒng),實(shí)現(xiàn)企業(yè)網(wǎng)�、互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等用戶身份的安全認(rèn)證����。 在該實(shí)施例中�,生物特征認(rèn)證服務(wù)器(簡(jiǎn)稱為認(rèn)證服務(wù)器)作為獨(dú)立的身份認(rèn)證的第三方,以生物特征識(shí)別技術(shù)為核心技術(shù)�,具有用戶生物特征注冊(cè)和生物特征認(rèn)證等功能,可以為各個(gè)應(yīng)用系統(tǒng)提供統(tǒng)一的���、多模態(tài)的生物特征識(shí)別方式和手段�。該認(rèn)證服務(wù)器也可與應(yīng)用服務(wù)器集成于一體,使得應(yīng)用系統(tǒng)無(wú)需第三方也可完成用戶身份的安全認(rèn)證�。其中,如圖3所示���,作為第三方的生物特征認(rèn)證服務(wù)器與各應(yīng)用系統(tǒng)進(jìn)行通信�����,該認(rèn)證服務(wù)器包括如下的幾個(gè)部分操作系統(tǒng)����、生物特征數(shù)據(jù)庫(kù)�����、系統(tǒng)管理功能單元�、生物特征認(rèn)證服務(wù)單元、動(dòng)態(tài)口令生成及驗(yàn)證單元���、系統(tǒng)接口組件單元等���,具體說(shuō)明如下生物特征數(shù)據(jù)庫(kù)用于存儲(chǔ)客戶端發(fā)送的用戶生物特征數(shù)據(jù)����、認(rèn)證服務(wù)器在認(rèn)證過(guò)程中的認(rèn)證日志數(shù)據(jù)和用戶注冊(cè)和身份認(rèn)證時(shí)生成的生物特征模板庫(kù)�����,其中���,用戶生物特征包括指紋��、掌紋��、人臉���、虹膜���、靜脈等生物特征種類����,數(shù)據(jù)庫(kù)可以為Oracle、DB2���、Sybase���、Informix、SQL Server��、MySql等主流關(guān)系型數(shù)據(jù)庫(kù)�����;系統(tǒng)管理功能單元包括生物特征識(shí)別算法管理�、應(yīng)用服務(wù)器ID注冊(cè)、身份認(rèn)證裝置ID注冊(cè)�����、用戶ID及其生物特征注冊(cè)和修改���、黑名單管理等���;生物特征認(rèn)證服務(wù)單元提供各種生物特征驗(yàn)證功能,包括“一對(duì)一”特征比對(duì)�、“一對(duì)多”的特征識(shí)別,同時(shí)���,提供對(duì)待驗(yàn)證特征數(shù)據(jù)(也即客戶端發(fā)送的用戶生物特征)的合法性校驗(yàn)��、動(dòng)態(tài)生物特征模板融合(也即生物特征模板庫(kù)的修改)等功能�;在用戶生物特征認(rèn)證通過(guò)后,動(dòng)態(tài)口令生成及驗(yàn)證單元利用用戶生物特征����、時(shí)間戳、隨機(jī)挑戰(zhàn)數(shù)等動(dòng)態(tài)要素�,通過(guò)雜湊算法生成動(dòng)態(tài)口令,并且負(fù)責(zé)驗(yàn)證客戶端所生成的動(dòng)態(tài)驗(yàn)證口令與認(rèn)證服務(wù)器所生成的動(dòng)態(tài)口令是否一致����,通過(guò)驗(yàn)證結(jié)果判斷生物特征等相關(guān)信息的完整性和可靠性,向用戶端發(fā)送身份認(rèn)證結(jié)果�����;系統(tǒng)接口組件單元提供開放性���、可擴(kuò)展���、統(tǒng)一性的通信接口,方便各個(gè)應(yīng)用系統(tǒng)的連接�����,支持 WebService、Socket 等方式����,支持 SOAP����、HTTPS、TCP/IP 等協(xié)議����。其中,設(shè)置于客戶端身份認(rèn)證裝置可以是集成于客戶端的裝置����,也可以為與客戶端相連接、相互通信的獨(dú)立裝置��,如圖4所示�����,具體包括如下的幾個(gè)部分生物特征采集傳感器單元�、處理器單元(安全芯片)���、顯示單元、時(shí)鐘單元��、存儲(chǔ)單元�、鍵盤單元及通信單元等,每臺(tái)裝置均具有唯一的生物特征識(shí)別裝置ID (簡(jiǎn)稱裝置ID���,也即采集用戶生物特征的采集裝置的標(biāo)識(shí)信息)����,各單元的作用如下生物特征采集傳感器單元用于用戶生物特征圖像的采集��,是讀取生物特征的功能單元����,生物特征類型包括但不限于指紋、掌紋����、人臉、虹膜�、靜脈等;處理器單元用于生物特征圖像的處理�、特征提取��、動(dòng)態(tài)驗(yàn)證口令計(jì)算等功能��,相當(dāng)于裝置的CPU�,可用使用安全芯片加強(qiáng)裝置的安全保密�����;顯示單元用于顯示裝置時(shí)間���、動(dòng)態(tài)驗(yàn)證口令、接收到的動(dòng)態(tài)口令等相關(guān)信息�����,可以采用LCD或OLED等方式���;存儲(chǔ)單元是用于保存種子密鑰���、會(huì)話密鑰、用戶生物特征數(shù)據(jù)及裝置參數(shù)的存儲(chǔ)器��;時(shí)鐘單元用來(lái)提供時(shí)鐘��,并具有能夠根據(jù)要求校正時(shí)鐘的功能;鍵盤單元是用于輸入相關(guān)信息的單元�,例如輸入挑戰(zhàn)數(shù)、由用戶進(jìn)行操作確認(rèn)等���;通信單元用于客戶端等上位機(jī)通信���,通信接口方式包括USB、Ethernet����、Rs232等方式。當(dāng)認(rèn)證服務(wù)器作為獨(dú)立的身份認(rèn)證的第三方時(shí)����,在身份認(rèn)證系統(tǒng)進(jìn)行身份認(rèn)證之前,優(yōu)選地�����,將應(yīng)用服務(wù)器注冊(cè)至認(rèn)證服務(wù)器可采用如下的注冊(cè)流程首先���,確定應(yīng)用服務(wù)器ID�,該ID在系統(tǒng)內(nèi)具有唯一性��;其次,應(yīng)用服務(wù)器向認(rèn)證服務(wù)器發(fā)出ID注冊(cè)請(qǐng)求��,發(fā)送的數(shù)據(jù)包括應(yīng)用服務(wù)器ID ;最后���,認(rèn)證服務(wù)器接收請(qǐng)求���,檢查應(yīng)用服務(wù)器ID是否重復(fù),如果不重復(fù)��,那么再由認(rèn)證服務(wù)器隨機(jī)產(chǎn)生16-32字節(jié)的種子密鑰SK1���,每個(gè)應(yīng)用服務(wù)器具有唯一的SKlJf SKl返回至應(yīng)用服務(wù)器并保存,完成應(yīng)用服務(wù)器的注冊(cè)���。優(yōu)選地����,也可將設(shè)置于客戶端一側(cè)的身份認(rèn)證裝置注冊(cè)至認(rèn)證服務(wù)器����,以保證身份認(rèn)證裝置的合法性,其注冊(cè)流程可采用如下的流程首先,客戶端確定身份認(rèn)證裝置的ID,該ID在系統(tǒng)內(nèi)具有唯一性;其次�����,客戶端向認(rèn)證服務(wù)器發(fā)出ID注冊(cè)請(qǐng)求�����,發(fā)送的數(shù)據(jù)包括身份認(rèn)證裝置ID ;最后,認(rèn)證服務(wù)器接收請(qǐng)求�,檢查身份認(rèn)證裝置ID是否重復(fù)����,如果不重復(fù),那么再由認(rèn)證服務(wù)器隨機(jī)產(chǎn)生16-32字節(jié)的種子密鑰SK1���,每個(gè)身份認(rèn)證裝置具有唯一的SKlJf SKl返回至身份認(rèn)證裝置并保存,完成身份認(rèn)證裝置的注冊(cè)����。該身份認(rèn)證系統(tǒng)完成一次身份認(rèn)證的流程如下步驟S102 :客戶端接收用戶輸入的生物特征識(shí)別類型,其中�����,識(shí)別類型包括但不限于指紋��、人臉�、虹膜等類型���,用戶可根據(jù)自身特點(diǎn)或習(xí)慣,選擇適合自己的識(shí)別類型����;步驟S104 :根據(jù)識(shí)別類型���,客戶端驅(qū)動(dòng)身份認(rèn)證裝置采集指紋��、人臉或虹膜等相應(yīng)的人體生物特征,并將采集到的圖像進(jìn)行檢測(cè)���、定位�、圖像處理�����、提取特征等步驟����,該處的·身份認(rèn)證裝置是集指紋、人臉或虹膜等生物特征采集于一體的裝置����,受客戶端控制啟動(dòng)相應(yīng)的采集功能;步驟S106 :在用戶生物特征采集完成后�,將生物特征暫時(shí)保存在身份認(rèn)證裝置的存儲(chǔ)單元內(nèi)(記為ΒΙ0),用于后面的動(dòng)態(tài)驗(yàn)證口令的計(jì)算;步驟S108 :在采集并存儲(chǔ)用戶生物特征后��,客戶端利用用戶生物特征BIO組織生物特征認(rèn)證請(qǐng)求發(fā)送至認(rèn)證服務(wù)器�;步驟SllO :認(rèn)證服務(wù)器收到客戶端發(fā)來(lái)的認(rèn)證請(qǐng)求后,解密生物特征數(shù)據(jù)���,并隨機(jī)生成挑戰(zhàn)數(shù)CN (至少6位至8位數(shù)字碼)���,同時(shí),記錄認(rèn)證日志���,日志內(nèi)容包括本次請(qǐng)求認(rèn)證的生物特征ΒΙ0、挑戰(zhàn)數(shù)CN�����,并將挑戰(zhàn)數(shù)CN返回至客戶端�����;步驟S112 :客戶端在接收到認(rèn)證服務(wù)器返回的挑戰(zhàn)數(shù)后����,將該挑戰(zhàn)數(shù)傳入身份認(rèn)證裝置;步驟S114 :身份認(rèn)證裝置接收挑戰(zhàn)數(shù)CN,獲取身份認(rèn)證裝置當(dāng)前的時(shí)間TM1�����,根據(jù)時(shí)間TM1���、預(yù)存的第一種子密鑰SKl (當(dāng)身份認(rèn)證裝置在認(rèn)證服務(wù)器完成注冊(cè)時(shí)��,該密鑰SKl是在完成注冊(cè)時(shí)接收到的種子密鑰���,當(dāng)身份認(rèn)證裝置沒(méi)有注冊(cè),而應(yīng)用服務(wù)器完成注冊(cè)時(shí)���,該密鑰SKl是由客戶端與應(yīng)用服務(wù)器相互通信獲取到的種子密鑰�、挑戰(zhàn)數(shù)CN及暫存在身份認(rèn)證裝置的用戶生物特征BIO生成動(dòng)態(tài)驗(yàn)證口令OTPl����,0TP1=H (TMI, SKI, CN,ΒΙ0),生成動(dòng)態(tài)驗(yàn)證口令后,可以將BIO清除���;動(dòng)態(tài)認(rèn)證口令的運(yùn)算過(guò)程如下動(dòng)態(tài)認(rèn)證口令的運(yùn)算采用雜湊算法���,雜湊算法又稱為散列算法或哈希算法,雜湊算法分為多種,包括但不限于SHA-1����、SHA-256、SM3�����、MD5等算法����,具體運(yùn)算步驟如下TMl為時(shí)間戳,如當(dāng)前時(shí)間是2012年09月20日15點(diǎn)01分�,則對(duì)應(yīng)的TMl表示為“0x32,0x30����,0x31�,0x32,0x30���,0x39��,0x32�,0x30,0x31����,0x35,0x30����,0x31” 12 個(gè)字節(jié)的數(shù)據(jù);SKl為16-32個(gè)字節(jié)的種子密鑰�,密鑰長(zhǎng)度可根據(jù)需求進(jìn)行調(diào)整;CN為挑戰(zhàn)數(shù)��,至少為6位 至 8 位數(shù)字碼��,例如“59713131”���,運(yùn)算時(shí)�����,表示為“0x35�,0x39���,0x37�,0x31,0x33�����,0x31��,0x33�����,0x31” ;ΒΙ0為生物特征數(shù)據(jù)�����,為變長(zhǎng)字段����,例如指紋特征數(shù)據(jù)在128 512字節(jié)之間,人臉特征在3ΙΓ5Κ字節(jié)��,虹膜特征為512字節(jié)�;根據(jù)上述各要素生成動(dòng)態(tài)口令時(shí)可采用如下的方式將各個(gè)字段數(shù)據(jù)組成一段變長(zhǎng)數(shù)據(jù)��,即TM1+SK1+CN+BI0�����,作為輸入的原文數(shù)據(jù),通過(guò)雜湊算法運(yùn)算�����,形成定長(zhǎng)的摘要數(shù)據(jù)��,即動(dòng)態(tài)口令��;或者將TM1+CN+BI0作為原文數(shù)據(jù)��,然后用SKl來(lái)加密���,將加密數(shù)據(jù)作為輸入數(shù)據(jù)���,通過(guò)雜湊算法運(yùn)算,形成定長(zhǎng)的摘要數(shù)據(jù)�����,即動(dòng)態(tài)口令����。其中�,采用SM3算法時(shí)生成的摘要為32字節(jié)數(shù)據(jù)�����;采用SHA-I算法時(shí)生成摘要為20字節(jié)逐句���;采用SHA-256算法時(shí)生成摘要為32字節(jié)數(shù)據(jù)���;采用MD5算法時(shí)生成摘要為16
字節(jié)數(shù)據(jù)。步驟S116 :客戶端將身份認(rèn)證裝置生成的動(dòng)態(tài)驗(yàn)證口令OTPl上傳至應(yīng)用服務(wù)器�����,由應(yīng)用服務(wù)器組織報(bào)文�����,將動(dòng)態(tài)驗(yàn)證口令OTPl和應(yīng)用服務(wù)器ID等信息發(fā)送到認(rèn)證服務(wù)器�;步驟S118 :認(rèn)證服務(wù)器收到報(bào)文信息后,首先核對(duì)應(yīng)用服務(wù)器ID是否注冊(cè)�����,在校驗(yàn)合法后��,認(rèn)證服務(wù)器調(diào)出認(rèn)證日志記錄�,獲取該記錄中的BI0、CN��,獲取接收到報(bào)文時(shí)認(rèn)證服務(wù)器的時(shí)間TM�,獲取用于生成動(dòng)態(tài)口令的第二種子密鑰SK2,第二種子密鑰SK2與第一種子密鑰SKl相對(duì)應(yīng)�,可通過(guò)身份認(rèn)證裝置的ID獲取,也可通過(guò)其他關(guān)鍵字獲取��,并根據(jù)ΒΙ0�、CN、TM和SK2生成動(dòng)態(tài)口令0TP2 �����;生成動(dòng)態(tài)口令0TP2的方法與生成動(dòng)態(tài)驗(yàn)證口令OTPl的方法一致���,其具體運(yùn)算過(guò)程此處不再贅述����。步驟S120 :認(rèn)證服務(wù)器驗(yàn)證動(dòng)態(tài)口令0TP2和動(dòng)態(tài)驗(yàn)證口令OTPl是否一致�,如果OTPl與0TP2 —致,那么判定本次身份認(rèn)證成功�,否則�����,判定為認(rèn)證失敗��,將認(rèn)證結(jié)果返回應(yīng)用服務(wù)器���,然后再反饋回客戶端,完成一次身份認(rèn)證��。該實(shí)施例提供了一種身份認(rèn)證系統(tǒng)���,在該系統(tǒng)中���,將生物特征識(shí)別技術(shù)與動(dòng)態(tài)口令相結(jié)合,實(shí)現(xiàn)生物特征數(shù)據(jù)的防篡改和用戶身份認(rèn)證的安全可靠性����,在動(dòng)態(tài)口令的生成過(guò)程中,將生物特征參與動(dòng)態(tài)口令計(jì)算��,生成動(dòng)態(tài)口令的要素直接來(lái)源于用戶的人體生物特征�,從而不同用戶生成的動(dòng)態(tài)口令與用戶自身密切相關(guān),并且只要生物特征被非法篡改,就會(huì)引起動(dòng)態(tài)口令的驗(yàn)證不符���,從而起到通過(guò)生物特征來(lái)保證動(dòng)態(tài)口令的安全性的作用,保障了用戶身份認(rèn)證的真實(shí)性和可靠性���。優(yōu)選地���,在步驟SllO中,當(dāng)認(rèn)證服務(wù)器接收到認(rèn)證請(qǐng)求并解密生物特征數(shù)據(jù)后�����,判斷本次接收到的用戶生物特征或其哈希值是否在歷史記錄中存在�����,若存在�,則表明該生物特征可能被盜用或被復(fù)制,則向客戶端返回攻擊警告�,本次認(rèn)證失敗。優(yōu)選地�,可對(duì)發(fā)送該生物特征數(shù)據(jù)客戶端的ID或者該生物特征數(shù)據(jù)對(duì)應(yīng)的用戶ID的異常情況次數(shù)進(jìn)行累計(jì),如果異常次數(shù)達(dá)到預(yù)設(shè)值�����,那么就將該客戶端或該用戶記入黑名單。生物特征識(shí)別技術(shù)屬于模式識(shí)別技術(shù)�,每次采集的人體生物特征都存在差別,因此����,兩次獲取的用戶生物特征完全相同的概率極小,認(rèn)證服務(wù)器利用這一特點(diǎn)來(lái)禁止重放攻擊���。每次接收到用戶生物特征后��,在攻擊檢測(cè)完成后將本次生物特征數(shù)據(jù)記錄到歷史日志中����,也可以保存生物特征數(shù)據(jù)的壓縮值��,即哈希值�����,從而在每次接收到用戶生物特征后��,首先檢查本次用戶生物特征或哈希值在歷史記錄中是否存在一致的記錄�����,若一致,則拒絕該請(qǐng)求��,當(dāng)某用戶ID或某客戶端ID頻繁出現(xiàn)這種情況�,累計(jì)達(dá)到一定次數(shù),認(rèn)證服務(wù)器將 該用戶ID或客戶端ID記入黑名單�����。優(yōu)選地����,在身份認(rèn)證系統(tǒng)進(jìn)行身份認(rèn)證之前�����,對(duì)即將使用生物特征進(jìn)行身份認(rèn)證的用戶�����,通過(guò)客戶端把生物特征模板或用戶ID與生物特征模板注冊(cè)到認(rèn)證服務(wù)器�,注冊(cè)時(shí),可直接注冊(cè)固定類型的生物特征�,也可將不同生物特征,包括指紋、掌紋�����、人臉��、虹膜����、靜脈等注冊(cè)。用戶ID和生物特征模板注冊(cè)之前����,該用戶ID在應(yīng)用服務(wù)器已存在,注冊(cè)后���,認(rèn)證服務(wù)器內(nèi)的用戶ID與客戶端用戶輸入ID�、應(yīng)用服務(wù)器內(nèi)的用戶ID相對(duì)應(yīng)�����。其中�����,生物特征模板是指采集用戶的一個(gè)或多個(gè)生物特征樣本,利用多個(gè)生物特征樣本構(gòu)造的生物特征參考模板��,該模板可用來(lái)確定或者決定個(gè)體身份�,通常也稱之為注冊(cè)模板。進(jìn)一步優(yōu)選地��,當(dāng)認(rèn)證服務(wù)器判斷本次接收到的用戶生物特征或其哈希值在歷史記錄中不存在時(shí)�����,認(rèn)證服務(wù)器將用戶生物特征與預(yù)存在生物特征模板庫(kù)中的生物特征模板進(jìn)行比對(duì)���,以獲取到與用戶生物特征相匹配的生物特征模板,當(dāng)用戶ID與生物特征模板均注冊(cè)到認(rèn)證服務(wù)器��,且客戶端向認(rèn)證服務(wù)器發(fā)送用戶ID時(shí)���,認(rèn)證服務(wù)器采用“一對(duì)一”的生物特征比對(duì)方式�����,根據(jù)用戶ID在生物特征模板庫(kù)中自動(dòng)查找與用戶ID相匹配的生物特征模板����,然后將用戶生物特征與查找到的生物特征模板進(jìn)行比對(duì);當(dāng)僅有生物特征發(fā)送到認(rèn)證服務(wù)器時(shí)��,認(rèn)證服務(wù)器采用“一對(duì)多”的生物特征比對(duì)方式�,直接將用戶生物特征與生物特征模板庫(kù)中各生物特征進(jìn)行比對(duì),找到與用戶生物特征相匹配的生物特征注冊(cè)模板���。當(dāng)認(rèn)證服務(wù)器獲取不到相匹配的生物特征模板時(shí)返回生物特征認(rèn)證失敗信息至客戶端��,當(dāng)認(rèn)證服務(wù)器獲取到相匹配的生物特征模板時(shí)�,也即生物特征認(rèn)證通過(guò)后����,判斷本次生物特征的質(zhì)量,如果生物特征質(zhì)量或狀態(tài)滿足條件���,則進(jìn)行動(dòng)態(tài)生物特征模板融合處理過(guò)程��,也即根據(jù)用戶生物特征修改生物特征模板庫(kù)�。其中���,采用動(dòng)態(tài)生物特征模板融合的處理過(guò)程�����,隨著認(rèn)證次數(shù)的增加�,將認(rèn)證通過(guò)的生物特征數(shù)據(jù)進(jìn)行整合、修正���、補(bǔ)充等修改后���,在應(yīng)用變化中不斷完善生物特征模板信息,從而逐步增強(qiáng)生物識(shí)別的適應(yīng)性���,提高特征識(shí)別的準(zhǔn)確率���。動(dòng)態(tài)生物特征模板融合過(guò)程根據(jù)生物識(shí)別類型的不同而存在差別,且在生物特征質(zhì)量或狀態(tài)滿足一定條件下進(jìn)行�,避免根據(jù)質(zhì)量低的用戶生物特征對(duì)模板進(jìn)行融合�。
指紋識(shí)別或掌紋識(shí)別是基于特征點(diǎn)方式的運(yùn)算過(guò)程,其特征模板融合采用“積分制”的方法����。所謂“積分制”,就是在特征比對(duì)通過(guò)后�����,對(duì)匹配上的特征點(diǎn)做加分處理(設(shè)置最大值限制),對(duì)沒(méi)有匹配上的特征點(diǎn)做減分處理��,分?jǐn)?shù)越高表明該特征點(diǎn)的可信度越高�,反之,如果該特征點(diǎn)可信度越低����,特征點(diǎn)的可信度與特征比對(duì)中匹配算法的權(quán)重系數(shù)有關(guān),可信度越高��、權(quán)重越大�,提高特征比對(duì)的準(zhǔn)確性,同時(shí)�����,在特征比對(duì)過(guò)程中�����,特征點(diǎn)沒(méi)有匹配上�����,積分減少、可信度越降低�,當(dāng)負(fù)積分達(dá)到預(yù)定值后刪除該特征點(diǎn),在實(shí)際應(yīng)用中�,指掌紋的生物特征可能發(fā)生變化,因此���,存在增加新特征點(diǎn)的情況���,新特征點(diǎn)與原始特征點(diǎn)同樣適用于“積分制”的方法。人臉識(shí)別的動(dòng)態(tài)特征模板融合采用“多面人臉”方法�����,即通過(guò)多幅人臉表現(xiàn)出人臉的不同表情�����、臉部方位等�,增加人臉比對(duì)通過(guò)率。在人臉比對(duì)通過(guò)后�,判斷本次人臉的表情或方位是否能填補(bǔ)目前該人臉狀態(tài)的空白�,如果可以,則將新的人臉特征模板添加到模板庫(kù)����,同時(shí)�,也要考慮人臉隨時(shí)間變化等特性����,用新近人臉特征替換歷史人臉特征(原始人臉特征模板不能被替代),一般人臉圖像應(yīng)是正面照�,且為平視,不過(guò)頭部方位有時(shí)是變化的����,該處將變化范圍限定為上下俯仰角不超過(guò)±20°���,左右側(cè)偏角不超過(guò)±20°��,左右旋轉(zhuǎn)角不超過(guò)±10°�����。 虹膜識(shí)別具有極高的精確率,不過(guò)虹膜識(shí)別會(huì)受到某些因素的影響�,例如瞳孔縮放引起的虹膜非線性變化、眼瞼對(duì)虹膜的影響���、眼球左右旋轉(zhuǎn)角度等因素���,因此��,虹膜識(shí)別也需要?jiǎng)討B(tài)特征模板融合處理�,即用新的虹膜特征替換歷史虹膜特征(原始虹膜特征模板不能被替代)��。在虹膜比對(duì)通過(guò)后�,判斷本次虹膜特征是否滿足預(yù)設(shè)融合條件要求,如果可以���,則將新的虹膜特征模板添加到數(shù)據(jù)庫(kù)�。虹膜融合的前提條件為認(rèn)證服務(wù)器查詢到與用戶虹膜特征相匹配的虹膜特征模板�,但用戶虹膜特征與虹膜特征模板匹配得分較低,說(shuō)明本次認(rèn)證的用戶虹膜特征與模板庫(kù)內(nèi)的特征差異較大�。具體融合條件如下(I)判斷用戶虹膜特征對(duì)應(yīng)的瞳孔半徑的尺寸與虹膜特征模板對(duì)應(yīng)的瞳孔差超過(guò)10個(gè)像素間隔,也即與歷史記錄變化明顯時(shí)�����;(2)對(duì)于眼瞼的遮蓋的影響���,判斷用戶虹膜特征對(duì)應(yīng)的眼瞼上拋物線到瞳孔圓心的像素間隔(Interval)與瞳孔半徑的差是否超過(guò)預(yù)設(shè)間隔差���,可設(shè)預(yù)設(shè)間隔差為-5<=Interval<=0 ;(3)對(duì)于眼睫毛遮擋的影響����,在用戶虹膜特征對(duì)應(yīng)的虹膜噪聲模板中分別求出瞳孔左右兩塊(取64*32大小)中睫毛噪聲所占比例Ratiol、Ratio2,計(jì)算(Ratiol+Ratio2)-(Ratiol1 +Ratio2/ ),其中�,Ratiol'與RatW分別為相匹配的虹膜特征模板中求出的瞳孔左右兩塊中睫毛噪聲所占比例,并判斷計(jì)算所得的差是否在-O. 05����、. 05之內(nèi);或者�,利用兩比例中較小的值min (Ratiol, Ratio2)進(jìn)行判斷,如果min (Ratiol, Ratio2)=Ratiol,則判斷Ratiol與Ratiol '的差是否在_0· 02 O. 02之內(nèi)�����,如果min (Ratiol,Ratio2) =Ratio2��,則判斷 Ratio2 與 Ratio2/ 的差是否在 _0· 02 0. 02 之內(nèi)���;(4)當(dāng)用戶虹膜特征對(duì)應(yīng)的瞳孔內(nèi)無(wú)光斑�����,也即眼球偏轉(zhuǎn)�����,融合時(shí)眼球左右旋轉(zhuǎn)角度在±35度以內(nèi)���。優(yōu)選地��,在步驟SI 10中���,認(rèn)證服務(wù)器將挑戰(zhàn)數(shù)CN和當(dāng)前的認(rèn)證服務(wù)器時(shí)間TMO返回至客戶端,在步驟S114中生成OTPl時(shí)��,如果TMl與TMO之差超過(guò)預(yù)設(shè)值��,那么就需要校正身份認(rèn)證裝置的時(shí)鐘���,即令TM1=TM0�。在步驟S116中����,客戶端將OTPl和TMl上傳至應(yīng)用服務(wù)器,由應(yīng)用服務(wù)器組織報(bào)文發(fā)送到認(rèn)證服務(wù)器�����;在步驟S118中,獲取到接收?qǐng)?bào)文時(shí)認(rèn)證服務(wù)器的時(shí)間TM后���,判斷ITM-TMlI是否超出預(yù)設(shè)時(shí)間范圍�����,若超出預(yù)設(shè)值,則本次認(rèn)證時(shí)間過(guò)長(zhǎng)�����,判定認(rèn)證失敗�����,認(rèn)證服務(wù)器向客戶端返回超時(shí)信息��,如果沒(méi)有超出預(yù)設(shè)值����,則根據(jù)TM與TMl之間的時(shí)間生成一組動(dòng)態(tài)口令,具體地�,0TP2=H (TMi, SK2, CN, BIO),以預(yù)設(shè)分鐘為步進(jìn)長(zhǎng)度,在TM與TMl間選擇TMi ;每計(jì)算得到一個(gè)0TP2�����,在步驟S120中,比較OTPl和0TP2是否一致��,如果一致���,則判定認(rèn)證成功����,如果不一致�,選擇新的TMi,并進(jìn)行動(dòng)態(tài)口令的計(jì)算����,直到OTPl等于0TP2取值結(jié)束。優(yōu)選地����,在匹配生物特征模板與用戶生物特征時(shí),由于單一生物特征匹配有時(shí)具有局限性���,例如存在特征缺陷而無(wú)法使用����、生物特征仿造等,因此���,系統(tǒng)根據(jù)生物識(shí)別類型的特點(diǎn)��,提出一種逐級(jí)識(shí)別過(guò)濾及組合決策方法��。首先���,根據(jù)每種生物識(shí)別技術(shù)的特點(diǎn)進(jìn)行優(yōu)先順序的排列��,人臉識(shí)別最容易被接受��,可以排在第一位����,指紋識(shí)別最普遍,可以排在第二位�,虹膜識(shí)別最安全,可以排在第三位��。如果追求安全性或精確性���,那么就需要按照上述順序逐級(jí)認(rèn)證或組合認(rèn)證�����,例如先人臉識(shí)別��、后指紋識(shí)別����,或者先人臉識(shí)別、后虹膜識(shí)別�。 所謂“逐級(jí)識(shí)別過(guò)濾及組合決策方法”,就是“先易后繁�����、組合判斷”���,如果在先的生物特征匹配的相似度達(dá)到預(yù)設(shè)置要求�,則判定認(rèn)證成功���,如果相似度沒(méi)有達(dá)到既定預(yù)設(shè)值��,但滿足進(jìn)一步驗(yàn)證的條件�����,則選定優(yōu)先順序次低的生物識(shí)別類型做進(jìn)一步驗(yàn)證���,如果相似度達(dá)到預(yù)設(shè)置要求��,則判定認(rèn)證成功�。如果后續(xù)生物特征識(shí)別相似度仍然達(dá)不到預(yù)設(shè)置要求���,則將各自識(shí)別的相似度進(jìn)行組合�����,按照一定權(quán)重組合成一個(gè)新的相似度值(aX+bY,a����、b為權(quán)重系數(shù)-識(shí)別類型的精確度越高權(quán)重系數(shù)越大,X���、Y為單個(gè)識(shí)別的相似度)�����,判斷組合相似度是否滿足要求即可��。另外����,也可以利用每種生物識(shí)別技術(shù)的特點(diǎn),通過(guò)組合策略實(shí)現(xiàn)特定場(chǎng)所的應(yīng)用����,例如利用人臉識(shí)別技術(shù)的方便性完成用戶身份的定位,然后再利用指紋識(shí)別或虹膜識(shí)別的精確性��,對(duì)用戶身份做進(jìn)一步的驗(yàn)證��,這樣�,既實(shí)現(xiàn)了方便性、又是現(xiàn)了準(zhǔn)確性�����。與單一認(rèn)證方式相比�,多模態(tài)的認(rèn)證方式具有更好的技術(shù)性能,其特性如下安全性通過(guò)多模態(tài)生物識(shí)別���,入侵者用人造物或模仿品來(lái)同時(shí)騙過(guò)多生物特征基本上是不可能的���,系統(tǒng)更加安全���、可靠;準(zhǔn)確性通過(guò)多種生物特征融合和綜合評(píng)價(jià)���,可以有效克服單一生物特征常有的缺陷�,極大的提高身份認(rèn)證的準(zhǔn)確度�����;方便性在個(gè)人某項(xiàng)生物特征不便時(shí)亦可靈活調(diào)換�����,以保證在一種生物特征失真的情況下���,仍能順利識(shí)別。為確保通信數(shù)據(jù)的安全�,客戶端與認(rèn)證服務(wù)器之間、應(yīng)用服務(wù)器與認(rèn)證服務(wù)器之間的數(shù)據(jù)通信前可采用加密傳輸?shù)姆绞?��,加密算法的密鑰可采用由種子密鑰SK分散出的臨時(shí)會(huì)話密鑰���,用于生物特征等報(bào)文信息的通信安全����,如果超過(guò)預(yù)訂時(shí)間�,則重新生成會(huì)話密鑰。該實(shí)施例中的認(rèn)證服務(wù)器為支持多種類型生物識(shí)別方式的服務(wù)器��,以及支持不同廠家的生物識(shí)別算法���,采用IS0/IEC國(guó)際標(biāo)準(zhǔn)“BioAPI規(guī)范”的API/SPI模型����,具體實(shí)現(xiàn)如下=BioAPI框架對(duì)上層服務(wù)是統(tǒng)一的���,同時(shí)�,BioAPI框架通過(guò)SPI (算法或設(shè)備提供方的接口)屏蔽各廠商算法或設(shè)備驅(qū)動(dòng)的差異�,起到了標(biāo)準(zhǔn)中間件的作用;其中�����,算法或設(shè)備提供方只要按照SPI接口標(biāo)準(zhǔn)提供對(duì)應(yīng)的算法庫(kù)和設(shè)備驅(qū)動(dòng)��,上層應(yīng)用就可以通過(guò)“API/SPI”實(shí)現(xiàn)透明調(diào)用,從而屏蔽各廠商算法庫(kù)或設(shè)備驅(qū)動(dòng)的差異��。
本具體實(shí)施方式
還提供了身份認(rèn)證方法的實(shí)施例�����。圖5是根據(jù)本發(fā)明第一實(shí)施例的身份認(rèn)證方法的流程圖�����,如圖5所示��,該方法包括如下的步驟S202至步驟S210���。步驟S202 :認(rèn)證服務(wù)器接收客戶端發(fā)送的生物特征認(rèn)證請(qǐng)求�����,其中��,生物特征認(rèn)證請(qǐng)求包括用戶生物 特征���。用戶完成生物特征的采集之后��,客戶端將用戶生物特征組織成為生物特征認(rèn)證請(qǐng)求報(bào)文,并將該請(qǐng)求報(bào)文發(fā)送至認(rèn)證服務(wù)器��,認(rèn)證服務(wù)器對(duì)接收到的報(bào)文進(jìn)行解析�,得到用戶生物特征。步驟S204 :認(rèn)證服務(wù)器將隨機(jī)生成的挑戰(zhàn)數(shù)返回至客戶端����,在得到用戶生物特征之后,認(rèn)證服務(wù)器隨機(jī)生成的挑戰(zhàn)數(shù)CN��,并將挑戰(zhàn)數(shù)CN返回至客戶端���。步驟S206 :認(rèn)證服務(wù)器接收客戶端發(fā)送的動(dòng)態(tài)驗(yàn)證口令�����,其中����,動(dòng)態(tài)驗(yàn)證口令由接收到挑戰(zhàn)數(shù)時(shí)客戶端的時(shí)間TM1�、挑戰(zhàn)數(shù)、用戶生物特征和客戶端預(yù)存的第一種子密鑰生成�����。客戶端根據(jù)接收到挑戰(zhàn)數(shù)CN時(shí)客戶端的時(shí)間TM1�、挑戰(zhàn)數(shù)CN、用戶生物特征和客戶端預(yù)存的第一種子密鑰SKl生成動(dòng)態(tài)驗(yàn)證口令0TP1�,其中,動(dòng)態(tài)認(rèn)證口令的運(yùn)算采用雜湊算法�,雜湊算法又稱為散列算法或哈希算法,包括但不限于SHA-1�����、SHA-256����、SM3、MD5等算法�,并將將生成的動(dòng)態(tài)驗(yàn)證口令OTPl發(fā)送至認(rèn)證服務(wù)器。步驟S208 :認(rèn)證服務(wù)器生成動(dòng)態(tài)口令��。認(rèn)證服務(wù)器根據(jù)接收到動(dòng)態(tài)驗(yàn)證口令OTPl時(shí)認(rèn)證服務(wù)器的時(shí)間TM�、挑戰(zhàn)數(shù)CN、用戶生物特征和第二種子密鑰SK2生成動(dòng)態(tài)口令0TP2�,其中,第二種子密鑰SK2是與第一種子密鑰SKl相對(duì)應(yīng)的密鑰���,第二種子密鑰SK2和第一種子密鑰SKl及其對(duì)應(yīng)關(guān)系可預(yù)存在認(rèn)證服務(wù)器內(nèi)��。該處計(jì)算動(dòng)態(tài)口令0TP2的算法與生成OTPl的算法相同����,客戶端與認(rèn)證服務(wù)器可采用預(yù)定的固定算法進(jìn)行口令的計(jì)算�,也可在通信過(guò)程中約定口令計(jì)算算法。步驟S210 :認(rèn)證服務(wù)器驗(yàn)證動(dòng)態(tài)口令和動(dòng)態(tài)驗(yàn)證口令是否一致���,并根據(jù)驗(yàn)證結(jié)果向客戶端返回身份認(rèn)證結(jié)果��。當(dāng)0TP2和OPTl —致時(shí)�,生成身份認(rèn)證成功的認(rèn)證結(jié)果�,當(dāng)0TP2和OPTl不一致時(shí),生成身份認(rèn)證失敗的認(rèn)證結(jié)果����,并由認(rèn)證服務(wù)器將身份認(rèn)證結(jié)果返回至客戶端。在該實(shí)施例中�����,將生物特征識(shí)別與動(dòng)態(tài)口令相結(jié)合���,實(shí)現(xiàn)生物特征數(shù)據(jù)的防篡改和用戶身份認(rèn)證的安全可靠性�����,在動(dòng)態(tài)口令的生成過(guò)程中�����,將生物特征參與動(dòng)態(tài)口令計(jì)算�����,生成動(dòng)態(tài)口令的要素直接來(lái)源于用戶的人體生物特征�,從而不同用戶生成的動(dòng)態(tài)口令與用戶自身密切相關(guān),并且只要生物特征被非法篡改����,就會(huì)引起動(dòng)態(tài)口令的驗(yàn)證不符,從而起到通過(guò)生物特征來(lái)保證動(dòng)態(tài)口令的安全性的作用���,保障了用戶身份認(rèn)證的真實(shí)性和可靠性�����。優(yōu)選地���,第一種子密鑰SKl和第二種子密鑰SK2可采用預(yù)注冊(cè)的方式進(jìn)行設(shè)置��,則在接收客戶端發(fā)送的生物特征認(rèn)證請(qǐng)求之前�,該方法還包括認(rèn)證服務(wù)器接收客戶端發(fā)送的注冊(cè)請(qǐng)求���,其中,注冊(cè)請(qǐng)求包括用于采集用戶生物特征的采集裝置的標(biāo)識(shí)信息���,例如圖2所示實(shí)施例中的身份認(rèn)證裝置的標(biāo)識(shí)信息�����;認(rèn)證服務(wù)器在接收到注冊(cè)請(qǐng)求時(shí)��,隨機(jī)生成種子密鑰��,并對(duì)應(yīng)存儲(chǔ)隨機(jī)生成的種子密鑰和標(biāo)識(shí)信息���;以及認(rèn)證服務(wù)器向客戶端返回隨機(jī)生成的種子密鑰,其中�,第一種子密鑰和第二種子密鑰均為隨機(jī)生成的種子密鑰,生物特征認(rèn)證請(qǐng)求還包括標(biāo)識(shí)信息����,認(rèn)證服務(wù)器在生成動(dòng)態(tài)口令時(shí)根據(jù)標(biāo)識(shí)信息獲取第二種子密鑰����。采用該方式生成第一種子密鑰和第二種子密鑰時(shí)��,步驟S202中將用戶生物特征和身份認(rèn)證裝置的標(biāo)識(shí)信息一起組織成為生物特征認(rèn)證請(qǐng)求報(bào)文���,在步驟S204之前���,認(rèn)證服務(wù)器首先根據(jù)生物特征認(rèn)證請(qǐng)求報(bào)文判斷身份認(rèn)證裝置是否已完成注冊(cè),如果已完成注冊(cè)�����,則執(zhí)行步驟S204�����,并且在步驟S208中���,根據(jù)身份認(rèn)證裝置的標(biāo)識(shí)信息獲取第二種子密鑰SK2��,否則返回裝置生物特征認(rèn)證失敗信息至客戶端���;或者在步驟S206中�����,發(fā)送動(dòng)態(tài)驗(yàn)證口令OTPl的同時(shí)發(fā)送身份認(rèn)證裝置的標(biāo)識(shí)信息�����,在步驟S208中�,根據(jù)身份認(rèn)證裝置的標(biāo)識(shí)信息獲取第二種子密鑰SK2���。第一種子密鑰SKl和第二種子密鑰SK2也可采用其他的方式進(jìn)行設(shè)置,例如設(shè)置為固定值�����,或者通過(guò)其他標(biāo)識(shí)信息進(jìn)行關(guān)聯(lián)均可�。優(yōu)選地,為了避免認(rèn)證過(guò)程中的重放攻擊�����,該方法還包括進(jìn)行攻擊檢測(cè)的步驟�,具體過(guò)程與上文中身份認(rèn)證系統(tǒng)實(shí)施例中的攻擊檢測(cè)模塊的功能相對(duì)應(yīng),此處不再贅述。 優(yōu)選地����,在將隨機(jī)生成的挑戰(zhàn)數(shù)返回至客戶端之前,該方法還包括進(jìn)行用戶生物特征與生物特征模板的比對(duì)����,并根據(jù)比對(duì)結(jié)果獲取與用戶生物特征相匹配的生物特征模板,并進(jìn)行生物特征模板庫(kù)的修改�,具體過(guò)程與上文中特征比對(duì)模塊、模板庫(kù)修改模塊的功能以及與上文中的動(dòng)態(tài)生物特征模板融合的處理過(guò)程相對(duì)應(yīng)��,此處不再贅述�����。優(yōu)選地����,在認(rèn)證服務(wù)器生成動(dòng)態(tài)口令之前,該方法還包括客戶端(身份認(rèn)證裝置端)時(shí)間的校正步驟�����、認(rèn)證超時(shí)檢測(cè)步驟以及在認(rèn)證不超時(shí)時(shí)����,通過(guò)計(jì)算一組動(dòng)態(tài)口令進(jìn)行驗(yàn)證的步驟�,在上文中均已描述��,此處不再贅述���。本具體實(shí)施方式
還提供了身份認(rèn)證方法的第二實(shí)施例�,在該實(shí)施例中��,身份認(rèn)證方法包括首次進(jìn)行用戶生物特征認(rèn)證之前����,用戶ID及生物特征模板注冊(cè)流程;生物特征識(shí)別流程和動(dòng)態(tài)口令校驗(yàn)流程�����。對(duì)即將使用生物特征進(jìn)行身份認(rèn)證的用戶�����,通過(guò)應(yīng)用系統(tǒng)把用戶ID和生物特征模板注冊(cè)到認(rèn)證服務(wù)器��,其中�����,認(rèn)證服務(wù)器內(nèi)的用戶ID與應(yīng)用服務(wù)器內(nèi)的用戶ID相對(duì)應(yīng)�。用戶ID及生物特征模板注冊(cè)之前,要求該用戶ID在應(yīng)用系統(tǒng)已經(jīng)存在��。其中�,用戶ID及生物特征模板注冊(cè)過(guò)程如圖6所示,包括如下的步驟S4-1至步驟S4-14 S4-1 :在客戶端上輸入用戶ID�、選擇生物識(shí)別類型,生物識(shí)別類型包括指紋�����、掌紋��、人臉�����、虹膜��、靜脈等��;S4-2 :客戶端程序通過(guò)裝置API驅(qū)動(dòng)生物特征識(shí)別裝置(即身份認(rèn)證裝置)����,采集用戶生物特征并處理����、形成生物特征模板�����;S4-3 :用SK種子密鑰分散出來(lái)的會(huì)話密鑰加密用戶生物特征模板數(shù)據(jù)�����;S4-4 :將裝置ID���、用戶ID�、識(shí)別類型����、生物特征模板等信息組成通信數(shù)據(jù)報(bào)文���,發(fā)送到應(yīng)用服務(wù)器���;S4-5 :應(yīng)用服務(wù)器接收客戶端上傳報(bào)文信息�����,并解析報(bào)文���;S4-6 :應(yīng)用系統(tǒng)判斷用戶ID是否存在,如果用戶ID不存在����,那么本次操作失敗,結(jié)果返回客戶端��;如果用戶ID存在���,則繼續(xù)下一步處理��;S4-7 :將客戶端上傳報(bào)文加上應(yīng)用服務(wù)器ID后��,向認(rèn)證服務(wù)器發(fā)出注冊(cè)請(qǐng)求���;S4-8 :認(rèn)證服務(wù)器接收應(yīng)用系統(tǒng)的注冊(cè)請(qǐng)求,并解析通信數(shù)據(jù)報(bào)文�����;S4-9 :判斷請(qǐng)求報(bào)文中的應(yīng)用服務(wù)器ID和裝置ID是否已經(jīng)在認(rèn)證服務(wù)器中注冊(cè),如果未經(jīng)注冊(cè)�����,則本次認(rèn)證失敗返回�,如果已經(jīng)注冊(cè),則繼續(xù)下一步處理����;
S4-10 :通過(guò)裝置ID獲取對(duì)應(yīng)的SK種子密鑰,然后得到SK分散出的會(huì)話密鑰�,利用會(huì)話密鑰對(duì)生物特征數(shù)據(jù)密文進(jìn)行解密;S4-11 :判斷用戶ID是否存在�����,如果用戶ID不存在���,則向數(shù)據(jù)庫(kù)添加用戶ID及生物特征模板等信息���;如果用戶ID存在,則修改其生物特征模板信息����;處理結(jié)果返回應(yīng)用服務(wù)器;S4-12 :應(yīng)用服務(wù)器接收用戶注冊(cè)返回結(jié)果���,根據(jù)返回結(jié)果進(jìn)行下一步處理��;S4-13 :如果用戶注冊(cè)成功��,則應(yīng)用服務(wù)器系統(tǒng)修改該用戶ID所對(duì)應(yīng)的數(shù)據(jù)庫(kù)記錄����,包括生物特征啟用標(biāo)識(shí)及類型標(biāo)識(shí)等字段���,標(biāo)明該用戶ID啟用了生物特征認(rèn)證方式���,以及所采用的識(shí)別類型;S4-14 :最終將本次用戶注冊(cè)結(jié)果返回客戶端�,交易完成。
·
生物特征識(shí)別流程如圖7所示���,流程實(shí)現(xiàn)步驟包括如下的步驟S6-1至步驟
S6-11 S6-1 :用戶進(jìn)行認(rèn)證時(shí)���,首先要確定生物特征比對(duì)方式,即“一對(duì)一”的特征比對(duì)和“一對(duì)多”的特征比對(duì)?!耙粚?duì)一”方式下,在客戶端輸入用戶ID�,否則,不需要輸入���;S6-2 :然后選擇識(shí)別類型�����,即生物識(shí)別類型���,包括但不限于指紋、人臉��、虹膜等類型�����;S6-3 :根據(jù)識(shí)別類型�����,客戶端驅(qū)動(dòng)生物特征識(shí)別裝置采集指紋�、人臉或虹膜等人體生物特征�����,識(shí)別裝置的工作過(guò)程包括圖像采集、檢測(cè)����、定位、圖像處理���、提取特征等步驟���;S6-4 :人體生物特征采集完成后,將生物特征暫時(shí)保存在識(shí)別裝置內(nèi)(記為ΒΙ0)����,用于后面的動(dòng)態(tài)口令計(jì)算;S6-5 :向認(rèn)證服務(wù)器發(fā)出生物特征認(rèn)證請(qǐng)求�����,生物特征認(rèn)證請(qǐng)求包括兩種方式����?�!耙粚?duì)一”方式下��,需要將裝置ID��、用戶ID��、識(shí)別類型及生物特征發(fā)送到認(rèn)證服務(wù)器�����,“一對(duì)多”方式下�,只需要發(fā)送裝置ID�、識(shí)別類型及生物特征,無(wú)論哪種認(rèn)證方式�����,只要通過(guò)了生物特征比對(duì)或識(shí)別����,都將返回用戶ID ;S6-6 :認(rèn)證服務(wù)器收到客戶端發(fā)來(lái)的認(rèn)證請(qǐng)求后����,首先校驗(yàn)裝置ID是否經(jīng)過(guò)注冊(cè)��,然后���,判斷識(shí)別類型,根據(jù)識(shí)別類型查找對(duì)應(yīng)的生物特征模板庫(kù)����;S6-7 :解密生物特征數(shù)據(jù)�����,并判斷本次生物特征或其哈希值是否在歷史記錄中存在�,若存在,則表明該生物特征可能被盜用或被復(fù)制�,返回警告,本次認(rèn)證失?����?���;同時(shí),對(duì)該用戶ID異常情況的次數(shù)進(jìn)行累計(jì)�����,如果異常次數(shù)達(dá)到預(yù)設(shè)值(例如3次),那么就將該用戶ID記入黑名單����;S6-8 :判斷生物特征的比對(duì)方式,如果是“一對(duì)一”方式�,則根據(jù)用戶ID自動(dòng)查找該用戶信息,并進(jìn)行生物特征比對(duì)�,如果是“一對(duì)多”方式,則在生物特征模板庫(kù)內(nèi)進(jìn)行搜索�,找到與生物特征匹配的用戶信息;S6-9 :生物特征認(rèn)證通過(guò)后���,判斷本次生物特征的質(zhì)量�,如果生物特征質(zhì)量滿足條件��,則進(jìn)行動(dòng)態(tài)生物特征模板融合過(guò)程����;S6-10 :由認(rèn)證服務(wù)器隨機(jī)生成挑戰(zhàn)數(shù)CN (至少6位至8位數(shù)字碼),同時(shí)����,記錄認(rèn)證日志�����,日志內(nèi)容包括用戶ID����、裝置ID����、本次請(qǐng)求認(rèn)證的生物特征ΒΙ0、挑戰(zhàn)數(shù)CN���、當(dāng)前服務(wù)器時(shí)間TMO等信息,并將用戶ID���、挑戰(zhàn)數(shù)CN�、服務(wù)器時(shí)間TMO等信息返回應(yīng)用客戶端�����;S6-11 :將用戶ID����、挑戰(zhàn)數(shù)CN���、服務(wù)器時(shí)間TMO等信息返回客戶端,客戶端程序再把上述信息傳入生物特征識(shí)別裝置�����。動(dòng)態(tài)口令校驗(yàn)流程如圖8所示����,流程實(shí)現(xiàn)步驟包括如下的步驟S7-1至步驟S7-9 S7-1 :生物特征識(shí)別裝置接收用戶ID、挑戰(zhàn)數(shù)CN�、服務(wù)器時(shí)間TMO等信息;S7-2 :獲取裝置時(shí)間TMl���,如果TMl與TMO之差超過(guò)預(yù)設(shè)值(此處設(shè)置為±1分鐘)��,那么就需要校正裝置時(shí)鐘��,即令TMl=TMO ����;S7-3:根據(jù)時(shí)間���、種子密鑰����、挑戰(zhàn)數(shù)及生物特征等信息,生成動(dòng)態(tài)口令OTPl=H(TM1�����,SK, CN, BIO), TMl為識(shí)別裝置的當(dāng)前時(shí)間��,SK為識(shí)別裝置的種子密鑰�,CN為服務(wù)器發(fā)來(lái)的挑戰(zhàn)數(shù),BIO為暫存在設(shè)備內(nèi)的生物特征數(shù)據(jù)�。生成動(dòng)態(tài)口令完成后,可以將BIO清除��;S7-4 :客戶端將用戶ID���、0TP1、A T(TMl-TMO)�����、雜湊算法類型等信息上傳至應(yīng)用服務(wù)器�����;
S7-5 :由應(yīng)用服務(wù)器將用戶ID、OTPl���、AT��、雜湊算法類型��、應(yīng)用服務(wù)器ID等信息發(fā)送到認(rèn)證服務(wù)器����;S7-6 :認(rèn)證服務(wù)器收到報(bào)文信息后����,首先核對(duì)應(yīng)用服務(wù)器ID是否注冊(cè),只有校驗(yàn)合法后��,才能進(jìn)行下一步處理��;S7-7 :系統(tǒng)調(diào)出用戶ID對(duì)應(yīng)的認(rèn)證日志記錄�����,獲取該記錄對(duì)應(yīng)的BIO����、TMO�、CN等
信息�����;S7-8 :獲取認(rèn)證服務(wù)器當(dāng)前時(shí)間TM�����,判斷“TM- (ΤΜ0+Λ T)”是否超出預(yù)設(shè)時(shí)間范圍(此處設(shè)置為±2分鐘)�,若超出預(yù)設(shè)值,則本次認(rèn)證時(shí)間過(guò)長(zhǎng)�����,判定認(rèn)證失?��?��;如果沒(méi)有超出預(yù)設(shè)值���,則按照同樣的雜湊算法計(jì)算動(dòng)態(tài)口令��,即0TP2=H (TMi, SK,CN���,BI0)����,TMi取TMO+ Λ T和TM之中的小者�����,并在TMO+ Λ T與TM之間變化����,步進(jìn)長(zhǎng)度以分鐘為單位;比較OTPl和0ΤΡ2����,如果相同,則判定認(rèn)證成功�����,如果不相同����,則對(duì)TMi從TMO+ Δ T到TM依次取值��,并進(jìn)行H (TMi, SK, CN, ΒΙ0)運(yùn)算���,直到OTPl等于0TP2 ;S7-9 :如果OTPl等于0TP2���,那么就判定本次生物特征成功����,否則�����,判定為認(rèn)證失敗��,將認(rèn)證結(jié)果返回應(yīng)用服務(wù)器�����,然后再反饋回客戶端��。在該第二實(shí)施例中���,動(dòng)態(tài)口令的計(jì)算過(guò)程中加入了以下要素�,包括生物特征���、時(shí)間戳�����、挑戰(zhàn)數(shù)���、種子密鑰SK等,除了 SK外���,其他均為動(dòng)態(tài)因子�����。在認(rèn)證過(guò)程中����,通過(guò)時(shí)間戳來(lái)控制身份認(rèn)證的實(shí)時(shí)性�;通過(guò)挑戰(zhàn)數(shù)來(lái)控制本次認(rèn)證的隨機(jī)性;每次認(rèn)證中產(chǎn)生的生物特征數(shù)據(jù)ΒΙ0�����,也具有變化性,這是由生物識(shí)別技術(shù)特點(diǎn)決定的�����,在某種程度上�,BIO可以作為隨機(jī)數(shù)來(lái)使用;如果BIO被篡改或替換��,那么就會(huì)引起動(dòng)態(tài)口令的不符�,總之,本發(fā)明的生物特征識(shí)別與動(dòng)態(tài)口令應(yīng)用的結(jié)合����,將保證身份認(rèn)證的實(shí)時(shí)性、隨機(jī)性�����、防篡改和不可復(fù)制性���。以VIP用戶(貴賓客戶)的人臉定位和后續(xù)的指紋或虹膜身份認(rèn)證為例�,圖9是根據(jù)本發(fā)明第三實(shí)施例的身份認(rèn)證方法的流程圖����,如圖9所示�,生物特征識(shí)別的身份認(rèn)證流程示意圖實(shí)現(xiàn)步驟如下�����。首先通過(guò)人臉識(shí)別定位客戶���,包括如下的步驟S5-1至步驟S5-5 S5-1 :當(dāng)用戶進(jìn)入銀行營(yíng)業(yè)廳或其他場(chǎng)所后,在攝像區(qū)內(nèi)�����,應(yīng)用系統(tǒng)客戶端將驅(qū)動(dòng)人臉攝像識(shí)別裝置抓拍人臉圖像���,并進(jìn)行圖像采集��、檢測(cè)��、定位��、處理��、提取特征等處理����;S5-2 :客戶端將裝置ID、人臉特征數(shù)據(jù)��、識(shí)別類型等形成通信報(bào)文���,向認(rèn)證服務(wù)器發(fā)出人臉特征識(shí)別請(qǐng)求���;
S5-3:認(rèn)證服務(wù)器收到請(qǐng)求后,通過(guò)人臉特征在人臉特征模板庫(kù)中進(jìn)行搜索匹配��,即“一對(duì)多”識(shí)別方式�����;S5-4:經(jīng)過(guò)人臉特征搜索比對(duì)后����,判斷是否找到匹配的用戶。如果沒(méi)找到匹配的用戶����,則將失敗結(jié)果返回客戶端,本次人臉識(shí)別失?����。蝗绻业狡ヅ涞挠脩粜畔?����,系統(tǒng)隨機(jī)生成挑戰(zhàn)數(shù)�,并將用戶ID和挑戰(zhàn)數(shù)返回客戶端;S5-5:客戶端生成動(dòng)態(tài)口令�����,并經(jīng)應(yīng)用服務(wù)器向認(rèn)證服務(wù)器校驗(yàn)動(dòng)態(tài)口令��,并將結(jié)果返回應(yīng)用系統(tǒng)���,根據(jù)動(dòng)態(tài)口令的校驗(yàn)結(jié)果判定本次身份認(rèn)證是否成功。其次����,利用指紋技術(shù)進(jìn)一步驗(yàn)證用戶身份,如果VIP用戶還有其他業(yè)務(wù)需要辦理�����,那么可以利用前一過(guò)程的人臉定位結(jié)果,即利用用戶ID做“一對(duì)一”的指紋認(rèn)證����,包括如下的步驟S5-6至步驟S5-11S5-6 :客戶端驅(qū)動(dòng)指紋識(shí)別裝置,采集指紋并提取特征��; S5-7 :向認(rèn)證服務(wù)器發(fā)出指紋驗(yàn)證請(qǐng)求���,通過(guò)用戶ID驗(yàn)證用戶指紋��,即“一對(duì)一”的驗(yàn)證方式����;S5-8 :如果用戶指紋比對(duì)相似度達(dá)到了預(yù)設(shè)值����,則本次指紋驗(yàn)證通過(guò);如果指紋驗(yàn)證未通過(guò)���,則將本次指紋比對(duì)相似度和前次人臉相似度比對(duì)進(jìn)行組合判斷�,若達(dá)到預(yù)設(shè)要求���,則判組合驗(yàn)證通過(guò)����,否則,返回驗(yàn)證失敗結(jié)果��;S5-9 :指紋驗(yàn)證或組合驗(yàn)證通過(guò)后��,系統(tǒng)隨機(jī)生成挑戰(zhàn)數(shù)��,并將用戶ID和挑戰(zhàn)數(shù)等信息返回客戶端��;S5-10:客戶端生成動(dòng)態(tài)口令��,并經(jīng)應(yīng)用服務(wù)器向認(rèn)證服務(wù)器校驗(yàn)動(dòng)態(tài)口令�,并將結(jié)果返回應(yīng)用系統(tǒng)�����;S5-11 :根據(jù)動(dòng)態(tài)口令的校驗(yàn)結(jié)果判定本次身份認(rèn)證是否成功�。從以上的描述中,可以看出��,本發(fā)明實(shí)現(xiàn)了如下技術(shù)效果將將生物特征識(shí)別與動(dòng)態(tài)口令相結(jié)合�,實(shí)現(xiàn)生物特征數(shù)據(jù)的防篡改和用戶身份認(rèn)證的安全可靠性,在動(dòng)態(tài)口令的生成過(guò)程中��,將生物特征參與動(dòng)態(tài)口令計(jì)算,生成動(dòng)態(tài)口令的要素直接來(lái)源于用戶的人體生物特征���,從而不同用戶生成的動(dòng)態(tài)口令與用戶自身密切相關(guān)����,并且只要生物特征被非法篡改�����,就會(huì)引起動(dòng)態(tài)口令的驗(yàn)證不符�,從而起到通過(guò)生物特征來(lái)保證動(dòng)態(tài)口令的安全性的作用,保障了用戶身份認(rèn)證的真實(shí)性和可靠性���。需要說(shuō)明的是�,在附圖的流程圖示出的步驟可以在諸如一組計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)系統(tǒng)中執(zhí)行�����,并且�����,雖然在流程圖中示出了邏輯順序���,但是在某些情況下�,可以以不同于此處的順序執(zhí)行所示出或描述的步驟。顯然���,本領(lǐng)域的技術(shù)人員應(yīng)該明白���,上述的本發(fā)明的各模塊或各步驟可以用通用的計(jì)算裝置來(lái)實(shí)現(xiàn),它們可以集中在單個(gè)的計(jì)算裝置上�����,或者分布在多個(gè)計(jì)算裝置所組成的網(wǎng)絡(luò)上�����,可選地�,它們可以用計(jì)算裝置可執(zhí)行的程序代碼來(lái)實(shí)現(xiàn)��,從而��,可以將它們存儲(chǔ)在存儲(chǔ)裝置中由計(jì)算裝置來(lái)執(zhí)行���,或者將它們分別制作成各個(gè)集成電路模塊�����,或者將它們中的多個(gè)模塊或步驟制作成單個(gè)集成電路模塊來(lái)實(shí)現(xiàn)���。這樣���,本發(fā)明不限制于任何特定的硬件和軟件結(jié)合。以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已���,并不用于限制本發(fā)明����,對(duì)于本領(lǐng)域的技術(shù)人員來(lái)說(shuō)���,本發(fā)明可以有各種更改和變化���。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改�����、等同替換��、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)����。
權(quán)利要求
1.一種身份認(rèn)證方法,其特征在于����,包括 認(rèn)證服務(wù)器接收客戶端發(fā)送的生物特征認(rèn)證請(qǐng)求,其中����,所述生物特征認(rèn)證請(qǐng)求包括用戶生物特征; 所述認(rèn)證服務(wù)器將隨機(jī)生成的挑戰(zhàn)數(shù)返回至所述客戶端����; 所述認(rèn)證服務(wù)器接收所述客戶端發(fā)送的動(dòng)態(tài)驗(yàn)證口令,其中����,所述動(dòng)態(tài)驗(yàn)證口令由接收到所述挑戰(zhàn)數(shù)時(shí)所述客戶端的時(shí)間TM1、所述挑戰(zhàn)數(shù)�、所述用戶生物特征和所述客戶端預(yù)存的第一種子密鑰生成; 所述認(rèn)證服務(wù)器根據(jù)接收到所述動(dòng)態(tài)驗(yàn)證口令時(shí)所述認(rèn)證服務(wù)器的時(shí)間TM��、所述挑戰(zhàn)數(shù)����、所述用戶生物特征和第二種子密鑰生成動(dòng)態(tài)口令,其中�����,所述第二種子密鑰是與所述第一種子密鑰相對(duì)應(yīng)的密鑰��;以及 所述認(rèn)證服務(wù)器驗(yàn)證所述動(dòng)態(tài)口令和所述動(dòng)態(tài)驗(yàn)證口令是否一致���,并根據(jù)驗(yàn)證結(jié)果向所述客戶端返回身份認(rèn)證結(jié)果����。
2.根據(jù)權(quán)利要求I所述的身份認(rèn)證方法����,其特征在于,在接收客戶端發(fā)送的生物特征認(rèn)證請(qǐng)求之前,所述方法還包括 所述認(rèn)證服務(wù)器接收所述客戶端發(fā)送的注冊(cè)請(qǐng)求����,其中,所述注冊(cè)請(qǐng)求包括用于采集所述用戶生物特征的采集裝置的標(biāo)識(shí)信息��; 所述認(rèn)證服務(wù)器在接收到所述注冊(cè)請(qǐng)求時(shí)�,隨機(jī)生成種子密鑰���,并對(duì)應(yīng)存儲(chǔ)所述隨機(jī)生成的種子密鑰和所述標(biāo)識(shí)信息;以及 所述認(rèn)證服務(wù)器向所述客戶端返回所述隨機(jī)生成的種子密鑰�����, 其中�����,所述第一種子密鑰和所述第二種子密鑰均為所述隨機(jī)生成的種子密鑰�����,所述生物特征認(rèn)證請(qǐng)求還包括所述標(biāo)識(shí)信息�,所述認(rèn)證服務(wù)器在生成所述動(dòng)態(tài)口令時(shí)根據(jù)所述標(biāo)識(shí)信息獲取所述第二種子密鑰。
3.根據(jù)權(quán)利要求I所述的身份認(rèn)證方法��,其特征在于����,在將隨機(jī)生成的挑戰(zhàn)數(shù)返回至所述客戶端之前,所述方法還包括 所述認(rèn)證服務(wù)器對(duì)比所述用戶生物特征與所述認(rèn)證服務(wù)器歷史接收到的用戶生物特征是否滿足第一預(yù)設(shè)條件���,并在滿足所述第一預(yù)設(shè)條件時(shí)生成攻擊警告�����; 所述認(rèn)證服務(wù)器將所述攻擊警告返回至所述客戶端���。
4.根據(jù)權(quán)利要求I所述的身份認(rèn)證方法,其特征在于�,將隨機(jī)生成的挑戰(zhàn)數(shù)返回至所述客戶端之前,所述方法還包括 所述認(rèn)證服務(wù)器將所述用戶生物特征與預(yù)存在生物特征模板庫(kù)中的生物特征模板進(jìn)行比對(duì)���,以獲取到與所述用戶生物特征相匹配的生物特征模板�����; 當(dāng)所述認(rèn)證服務(wù)器獲取不到相匹配的生物特征模板時(shí)返回生物特征認(rèn)證失敗信息至所述客戶端��,當(dāng)所述認(rèn)證服務(wù)器獲取到所述相匹配的生物特征模板時(shí)根據(jù)所述用戶生物特征修改所述生物特征模板庫(kù)�����, 其中����,將隨機(jī)生成的挑戰(zhàn)數(shù)返回至所述客戶端包括當(dāng)所述認(rèn)證服務(wù)器獲取到所述相匹配的生物特征模板,所述認(rèn)證服務(wù)器將隨機(jī)生成的挑戰(zhàn)數(shù)返回至所述客戶端����。
5.根據(jù)權(quán)利要求4所述的身份認(rèn)證方法,其特征在于����,所述認(rèn)證服務(wù)器根據(jù)所述用戶生物特征修改所述生物特征模板庫(kù)包括 當(dāng)所述用戶生物特征為用戶臉部特征且所述用戶臉部特征滿足預(yù)設(shè)人臉修改要求時(shí),所述認(rèn)證服務(wù)器增加所述用戶臉部特征至所述生物特征模板庫(kù)�����; 當(dāng)所述用戶生物特征為用戶虹膜特征且所述用戶虹膜特征滿足預(yù)設(shè)虹膜修改要求時(shí)�,所述認(rèn)證服務(wù)器增加所述用戶虹膜特征至所述生物特征模板庫(kù); 當(dāng)所述用戶生物特征為用戶指紋特征時(shí)�����,所述認(rèn)證服務(wù)器增強(qiáng)所述相匹配的生物特征模板中與所述用戶指紋特征相匹配的特征點(diǎn)的匹配權(quán)重系數(shù)����,減小所述相匹配生物特征模板中與所述用戶指紋特征不匹配的特征點(diǎn)的匹配權(quán)重系數(shù);以及 當(dāng)所述用戶生物特征為用戶掌紋特征時(shí)�����,所述認(rèn)證服務(wù)器增強(qiáng)所述相匹配的生物特征模板中與所述用戶掌紋特征相匹配的特征點(diǎn)的匹配權(quán)重系數(shù),減小所述相匹配的生物特征模板中與所述用戶掌紋特征不匹配的特征點(diǎn)的匹配權(quán)重系數(shù)����。
6.根據(jù)權(quán)利要求5所述的身份認(rèn)證方法,其特征在于����, 當(dāng)所述用戶生物特征為用戶臉部特征且所述用戶臉部特征滿足預(yù)設(shè)人臉修改要求時(shí)�����,所述認(rèn)證服務(wù)器增加所述用戶臉部特征數(shù)據(jù)至所述生物特征模板庫(kù)包括 當(dāng)所述用戶臉部特征對(duì)應(yīng)的人臉狀態(tài)在所述相匹配的生物特征模板對(duì)應(yīng)的人臉狀態(tài)中不存在時(shí)�,所述認(rèn)證服務(wù)器增加所述用戶臉部特征數(shù)據(jù)至所述生物特征模板庫(kù);以及當(dāng)所述認(rèn)證服務(wù)器接收到所述用戶臉部特征的時(shí)間與所述相匹配的生物特征模板的建立時(shí)間之差超過(guò)預(yù)設(shè)時(shí)間間隔時(shí)����,所述認(rèn)證服務(wù)器增加所述用戶臉部特征數(shù)據(jù)至所述生物特征模板庫(kù), 當(dāng)所述用戶生物特征為用戶虹膜特征且所述用戶虹膜特征滿足預(yù)設(shè)虹膜修改要求時(shí)��,所述認(rèn)證服務(wù)器增加所述用戶虹膜特征數(shù)據(jù)至所述生物特征模板庫(kù)包括 當(dāng)所述用戶虹膜特征對(duì)應(yīng)的瞳孔半徑與所述相匹配的生物特征模板對(duì)應(yīng)的瞳孔半徑之差超過(guò)預(yù)設(shè)半徑差時(shí)����,所述認(rèn)證服務(wù)器增加所述用戶虹膜特征數(shù)據(jù)至所述生物特征模板庫(kù); 當(dāng)所述用戶虹膜特征對(duì)應(yīng)的眼瞼上拋物線到瞳孔圓心的間隔與瞳孔半徑的差超過(guò)預(yù)設(shè)間隔差時(shí)�����,所述認(rèn)證服務(wù)器增加所述用戶虹膜特征數(shù)據(jù)至所述生物特征模板庫(kù); 當(dāng)所述用戶虹膜特征對(duì)應(yīng)的虹膜噪聲模板中睫毛噪聲比例超過(guò)所述相匹配的生物特征模板對(duì)應(yīng)的虹膜噪聲模板中睫毛噪聲比例時(shí)����,所述認(rèn)證服務(wù)器增加所述用戶虹膜特征數(shù)據(jù)至所述生物特征模板庫(kù);以及 當(dāng)所述用戶虹膜特征對(duì)應(yīng)的瞳孔內(nèi)無(wú)光斑時(shí)���,所述認(rèn)證服務(wù)器增加所述用戶虹膜特征數(shù)據(jù)至所述生物特征模板庫(kù)���。
7.根據(jù)權(quán)利要求I所述的身份認(rèn)證方法,其特征在于����,在所述認(rèn)證服務(wù)器生成所述動(dòng)態(tài)口令之前,所述方法還包括 所述認(rèn)證服務(wù)器接收所述客戶端發(fā)送的所述TMl ���; 所述認(rèn)證服務(wù)器判斷ITM-TMlI是否超過(guò)預(yù)設(shè)差值范圍���;以及 用于當(dāng)ITM-TMlI超過(guò)所述預(yù)設(shè)差值范圍時(shí),所述認(rèn)證服務(wù)器返回超時(shí)信息至所述客戶端��, 其中�����,所述認(rèn)證服務(wù)器生成所述動(dòng)態(tài)口令包括當(dāng)ITM-TMlI沒(méi)有超過(guò)所述預(yù)設(shè)差值范圍時(shí),所述認(rèn)證服務(wù)器生成所述動(dòng)態(tài)口令�����。
8.根據(jù)權(quán)利要求7所述的身份認(rèn)證方法����,其特征在于, 所述認(rèn)證服務(wù)器生成所述動(dòng)態(tài)口令包括當(dāng)ITM-TMlI沒(méi)有超過(guò)所述預(yù)設(shè)差值范圍時(shí)���,根據(jù)所述TM與所述TMl之間的時(shí)間生成一組動(dòng)態(tài)口令;以及 所述認(rèn)證服務(wù)器驗(yàn)證所述動(dòng)態(tài)口令和所述動(dòng)態(tài)驗(yàn)證口令是否一致包括所述認(rèn)證服務(wù)器驗(yàn)證所述動(dòng)態(tài)驗(yàn)證口令與所述一組動(dòng)態(tài)口令中的任意一個(gè)動(dòng)態(tài)口令是否一致�����。
9.一種身份認(rèn)證服務(wù)器����,其特征在于,包括 認(rèn)證請(qǐng)求接收模塊�����,用于接收客戶端發(fā)送的生物特征認(rèn)證請(qǐng)求,其中�����,所述生物特征認(rèn)證請(qǐng)求包括用戶生物特征��; 認(rèn)證請(qǐng)求應(yīng)答模塊��,用于將隨機(jī)生成的挑戰(zhàn)數(shù)返回至所述客戶端�; 驗(yàn)證口令接收模塊,用于接收所述客戶端發(fā)送的動(dòng)態(tài)驗(yàn)證口令�,其中,所述動(dòng)態(tài)驗(yàn)證口令由接收到所述挑戰(zhàn)數(shù)時(shí)所述客戶端的時(shí)間TM1����、所述挑戰(zhàn)數(shù)、所述用戶生物特征和所述客戶端預(yù)存的第一種子密鑰生成�; 動(dòng)態(tài)口令生成模塊,用于根據(jù)接收到所述動(dòng)態(tài)驗(yàn)證口令時(shí)認(rèn)證服務(wù)器的時(shí)間TM����、所述挑戰(zhàn)數(shù)、所述用戶生物特征和第二種子密鑰生成動(dòng)態(tài)口令����,其中���,所述第二種子密鑰是與所述第一種子密鑰相對(duì)應(yīng)的密鑰; 口令驗(yàn)證模塊����,用于驗(yàn)證所述動(dòng)態(tài)口令和所述動(dòng)態(tài)驗(yàn)證口令是否一致;以及 認(rèn)證結(jié)果發(fā)送模塊�,用于根據(jù)驗(yàn)證結(jié)果向所述客戶端返回的身份認(rèn)證結(jié)果。
10.根據(jù)權(quán)利要求9所述的身份認(rèn)證服務(wù)器�����,其特征在于����,還包括 注冊(cè)請(qǐng)求接收模塊��,用于接收所述客戶端發(fā)送的注冊(cè)請(qǐng)求���,其中����,所述注冊(cè)請(qǐng)求包括采集所述用戶生物特征的采集裝置的標(biāo)識(shí)信息�; 種子密鑰生成模塊�,用于在接收到所述注冊(cè)請(qǐng)求時(shí)�����,隨機(jī)生成種子密鑰���; 種子密鑰存儲(chǔ)模塊�,用于對(duì)應(yīng)存儲(chǔ)所述隨機(jī)生成的種子密鑰和所述標(biāo)識(shí)信息�����; 注冊(cè)請(qǐng)求應(yīng)答模塊�����,用于向所述客戶端返回所述隨機(jī)生成的種子密鑰����, 其中,所述第一種子密鑰和所述第二種子密鑰均為所述隨機(jī)生成的種子密鑰����,所述生物特征認(rèn)證請(qǐng)求還包括所述標(biāo)識(shí)信息,所述動(dòng)態(tài)口令生成模塊還用于根據(jù)所述標(biāo)識(shí)信息獲取所述第二種子密鑰。
11.根據(jù)權(quán)利要求9所述的身份認(rèn)證服務(wù)器��,其特征在于��,還包括 攻擊檢測(cè)模塊�����,用于對(duì)比所述用戶生物特征與所述認(rèn)證請(qǐng)求接收模塊歷史接收到的用戶生物特征是否滿足第一預(yù)設(shè)條件��,并在滿足所述第一預(yù)設(shè)條件時(shí)生成攻擊警告�, 其中,所述認(rèn)證請(qǐng)求應(yīng)答模塊還用于將所述攻擊警告返回至所述客戶端�����。
12.根據(jù)權(quán)利要求9所述的身份認(rèn)證服務(wù)器�,其特征在于,還包括 特征比對(duì)模塊�,用于將所述用戶生物特征與預(yù)存在生物特征模板庫(kù)中的生物特征模板進(jìn)行比對(duì),以獲取到與所述用戶生物特征相匹配的生物特征模板���;以及 模板庫(kù)修改模塊,用于當(dāng)獲取到相匹配的生物特征模板時(shí)�,根據(jù)所述用戶生物特征修改所述生物特征模板庫(kù), 其中��,所述認(rèn)證請(qǐng)求應(yīng)答模塊還用于當(dāng)獲取不到所述相匹配的生物特征模板時(shí)返回生物特征認(rèn)證失敗信息至所述客戶端,當(dāng)獲取到所述相匹配的生物特征模板���,將隨機(jī)生成的挑戰(zhàn)數(shù)返回至所述客戶端�。
13.一種身份認(rèn)證裝置���,設(shè)置于客戶端���,其特征在于,所述身份認(rèn)證裝置包括 認(rèn)證請(qǐng)求發(fā)送模塊�,用于發(fā)送生物特征認(rèn)證請(qǐng)求至認(rèn)證服務(wù)器,其中���,所述生物特征認(rèn)證請(qǐng)求包括用戶生物特征��;認(rèn)證應(yīng)答接收模塊�,用于接收所述認(rèn)證服務(wù)器隨機(jī)生成的挑戰(zhàn)數(shù)����; 動(dòng)態(tài)驗(yàn)證口令生成模塊,用于根據(jù)接收到所述挑戰(zhàn)數(shù)時(shí)客戶端的時(shí)間TM1�����、所述挑戰(zhàn)數(shù)、所述用戶生物特征和所述客戶端預(yù)存的第一種子密鑰生成動(dòng)態(tài)驗(yàn)證口令�����; 動(dòng)態(tài)驗(yàn)證口令發(fā)送模塊�,用于將所述動(dòng)態(tài)驗(yàn)證口令發(fā)送至所述認(rèn)證服務(wù)器; 以及 認(rèn)證結(jié)果接收模塊�����,用于接收所述認(rèn)證服務(wù)器返回的身份認(rèn)證結(jié)果���,其中��,所述身份認(rèn)證結(jié)果由所述認(rèn)證服務(wù)器根據(jù)驗(yàn)證動(dòng)態(tài)口令和所述動(dòng)態(tài)驗(yàn)證口令是否一致生成�����,其中�����,所述動(dòng)態(tài)口令由接收到所述動(dòng)態(tài)驗(yàn)證口令時(shí)所述認(rèn)證服務(wù)器的時(shí)間TM、所述挑戰(zhàn)數(shù)、所述用戶生物特征�、與所述第一種子密鑰對(duì)應(yīng)的第二種子密鑰生成。
14.根據(jù)權(quán)利要求13所述的身份認(rèn)證裝置��,其特征在于��,還包括 注冊(cè)請(qǐng)求發(fā)送模塊�,用于發(fā)送注冊(cè)請(qǐng)求至所述認(rèn)證服務(wù)器,其中��,所述注冊(cè)請(qǐng)求包括所述身份認(rèn)證裝置的標(biāo)識(shí)信息���; 注冊(cè)應(yīng)答接收模塊���,用于接收所述認(rèn)證服務(wù)器返回的隨機(jī)生成的種子密鑰, 其中����,所述第一種子密鑰和所述第二種子密鑰均為所述隨機(jī)生成的種子密鑰,所述生物特征認(rèn)證請(qǐng)求還包括所述標(biāo)識(shí)信息���。
15.根據(jù)權(quán)利要求13所述的身份認(rèn)證裝置���,其特征在于��,還包括 攻擊警告接收模塊�����,用于接收所述認(rèn)證服務(wù)器返回的攻擊警告����,其中��,所述述攻擊警告用于表示所述用戶生物特征與所述認(rèn)證服務(wù)器歷史接收到的用戶生物特征滿足第一預(yù)設(shè)條件����。
全文摘要
本發(fā)明公開了一種身份認(rèn)證方法、身份認(rèn)證服務(wù)器和身份認(rèn)證裝置����。該方法包括認(rèn)證服務(wù)器接收客戶端發(fā)送的生物特征認(rèn)證請(qǐng)求;認(rèn)證服務(wù)器將隨機(jī)生成的挑戰(zhàn)數(shù)返回至客戶端�;認(rèn)證服務(wù)器接收客戶端發(fā)送的動(dòng)態(tài)驗(yàn)證口令,其中����,動(dòng)態(tài)驗(yàn)證口令由接收到挑戰(zhàn)數(shù)時(shí)客戶端的時(shí)間、挑戰(zhàn)數(shù)�����、用戶生物特征和客戶端預(yù)存的第一種子密鑰生成;認(rèn)證服務(wù)器根據(jù)接收到動(dòng)態(tài)驗(yàn)證口令時(shí)認(rèn)證服務(wù)器的時(shí)間��、挑戰(zhàn)數(shù)����、用戶生物特征和第二種子密鑰生成動(dòng)態(tài)口令����;以及認(rèn)證服務(wù)器驗(yàn)證動(dòng)態(tài)口令和動(dòng)態(tài)驗(yàn)證口令是否一致,并根據(jù)驗(yàn)證結(jié)果向客戶端返回身份認(rèn)證結(jié)果�。通過(guò)本發(fā)明,通過(guò)生物特征來(lái)保證動(dòng)態(tài)口令的安全性的作用�����,保障了用戶身份認(rèn)證的真實(shí)性和可靠性��。
文檔編號(hào)H04L9/32GK102916968SQ201210421519
公開日2013年2月6日 申請(qǐng)日期2012年10月29日 優(yōu)先權(quán)日2012年10月29日
發(fā)明者楊春林 申請(qǐng)人:北京天誠(chéng)盛業(yè)科技有限公司