專利名稱:一種動(dòng)態(tài)口令與多生物特征結(jié)合的身份認(rèn)證方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)安全領(lǐng)域中身份認(rèn)證的方法,特別是基于動(dòng)態(tài)口令和多 生物特征識別相結(jié)合的身份認(rèn)證方法�。
背景技術(shù):
在復(fù)雜的網(wǎng)絡(luò)環(huán)境中,用戶的身份認(rèn)證是首要問題��。身份認(rèn)證是網(wǎng)絡(luò)安全系 統(tǒng)的第一道防線���, 一旦身份認(rèn)證系統(tǒng)被攻破��,系統(tǒng)的所有安全措施將形同虛設(shè)���。 目前最傳統(tǒng)及最普遍的是基于用戶名和靜態(tài)口令的身份認(rèn)證方法���,這種認(rèn)證存 在許多的缺點(diǎn),首先用戶必須記憶一些復(fù)雜的口令���,其次靜態(tài)口令多以明文形 式在網(wǎng)上傳輸并且固定不變��,即使經(jīng)過加密后以密文形式傳輸�����,所用的加密密 鑰也是不變的���,這使得攻擊者可以通過竊聽得口令達(dá)到入侵系統(tǒng)的目的。目前 較為安全的身份認(rèn)證方法是采用動(dòng)態(tài)口令認(rèn)證方法進(jìn)行身份認(rèn)證��,或者采用生 物特征識別方法進(jìn)行身份認(rèn)證��。
本專利申請的申請人曾在中國專利申請200710089999.1中提出一種基于 S/Key系統(tǒng)的身份汄證方法�。該方法包括以下步驟用戶在首次注冊時(shí)由客戶端' 通過安全信道向認(rèn)證服務(wù)器提交用戶名IDA、秘密通行口令��,以及設(shè)置一次性口 令序列的迭代值N�,同時(shí)提供注冊用戶的生物特征值T',服務(wù)器生成與該用戶 對應(yīng)的種子值S,并且計(jì)算口令序列的第一個(gè)口令P(THW(W+S)�����。用戶在身份認(rèn)證 過程中首先通過客戶端瀏覽器輸入用戶名IDA�,向服務(wù)器提交認(rèn)證請求,服務(wù)器 收到認(rèn)證請求后査詢數(shù)據(jù)庫��,找出與用戶名IDA對應(yīng)的種子值S和當(dāng)前迭代值N-i��, 以及上次認(rèn)證時(shí)用于解密生物特征值的一次性口令Pw���,并將這些值作為應(yīng)答信 息發(fā)送給客戶端瀏覽器����,客戶端根據(jù)用戶輸入的秘密通行短語W����、服務(wù)器發(fā)送 過來的當(dāng)前迭代值N-i和種子值S計(jì)算出當(dāng)前一次性口令Pi =HN-i(W+S)����,并對當(dāng)前 口令Pi再進(jìn)行一次哈希運(yùn)算得到P,i.f H( Pi)�����,客戶端將P,w與上次認(rèn)證時(shí)用�����, 密生物特征值的一次性口令Pw比較�����,如果結(jié)果一致����,則認(rèn)為迭代值無誤,客戶
端通過對服務(wù)器的驗(yàn)證���。同時(shí)客戶端采集用戶的生物信息��,提取特征值T�����,客戶
端用本次認(rèn)證的一次性口令Pi作為密鑰對用戶生物特征值T進(jìn)行加密����,發(fā)送加密 后的信息給服務(wù)器,服務(wù)器利用與客戶端相同方法計(jì)算出本次認(rèn)證的一次性口 令P'i����,用該一次性口令P'i對接收到的加密信息進(jìn)行解密,解密后的用戶生物特 征值T與保存在服務(wù)器生物特征庫中當(dāng)前用戶的生物特征值T'進(jìn)行匹配���,匹配成 功則服務(wù)器通過對客戶端的驗(yàn)證����,并保存該一次性口令P'i���,不匹配則說明用戶 非法����,拒絕此次登錄請求����?���?梢娫搶@且詣?dòng)態(tài)口令加上對生物特征值的驗(yàn)證 來實(shí)現(xiàn)對登錄用戶的識別。這種以動(dòng)態(tài)口令加生物特征進(jìn)行識別的方法提高了 身份認(rèn)證的安全性��。
但是由于每一種生物特征識別方式都有其優(yōu)點(diǎn),都在不同領(lǐng)域獲得了不同程 度的成功�,也有其固有的難以克服的缺點(diǎn)。例如��,指紋識別中由于有疤痕�、長 繭、皮膚干燥���、病態(tài)皮膚��、皮膚老化���、傳感器受污染等原因可能在實(shí)際中難以 提取到合適信息;雖然虹膜圖像的獲取較為嚴(yán)格�����,但一般來講黑眼睛虹膜卻較 難讀?���。蝗四槇D像會(huì)隨著年齡變化�����,識別率容易受化妝、表情���、姿勢�����、光照變 化等因素影響����;聲音會(huì)在人的健康狀況發(fā)生變化時(shí)改變�,而且同一個(gè)人的錄音 也能欺騙語音識別系統(tǒng)。由于傳感器的噪聲以及特征提取和匹配的缺陷�,不能 保證每次都能得出正確的識別結(jié)果, 一個(gè)冒充者有可能被一個(gè)生物特征識別系 統(tǒng)錯(cuò)誤的接受�����,錯(cuò)誤接受率和錯(cuò)誤拒絕率不能同時(shí)為低��。其它的生物特征值也 有類似的情況���。因此造成單一生物特征識別的準(zhǔn)確率有限。特別是當(dāng)生物特征 值提取有誤時(shí)將完全不能正常登錄�。
另一方面��,由于在登錄認(rèn)證中提取的生物特征值與系統(tǒng)事先存儲(chǔ)的生物特征 值難以實(shí)現(xiàn)完全匹配���,這一問題也會(huì)造成用戶無法順利登錄的現(xiàn)象。
因?yàn)樯锾卣魇莻€(gè)人隱私����,而且是唯一的、不可撤銷的���。如果在網(wǎng)絡(luò)傳送過 程中生物特征數(shù)據(jù)一旦泄漏���,便會(huì)造成災(zāi)難性后果。而通過非法得到他人生物 特征并加以復(fù)制����,用復(fù)制的假生物特征騙過計(jì)算機(jī)系統(tǒng)進(jìn)行冒名認(rèn)證的事例也 時(shí)有發(fā)生。因此在對身份認(rèn)證系統(tǒng)安全性要求日益增高的今天�����,基于單一生物
特征的身份認(rèn)證已不能滿足需求�。進(jìn)入更為高級的系統(tǒng)中也需要一種更為可靠
和安全的身份認(rèn)證方法。
發(fā)明內(nèi)容
本發(fā)明提供一種可以解決現(xiàn)有技術(shù)不足的身份認(rèn)證方法��。確切講本發(fā)明涉 及以下三種情況
1 、提供一種可以解決現(xiàn)有技術(shù)中因一種生物特征值提取中的問題導(dǎo)致系統(tǒng) 不能通過認(rèn)證的不足的一種動(dòng)態(tài)口令和多生物特征識別相結(jié)合的身份認(rèn)證方 法�。這是本發(fā)明的第一個(gè)目的。
2���、 解決登錄時(shí)單一的生物特征無法完全與系統(tǒng)事先存儲(chǔ)的生物特征值完全 匹配����、準(zhǔn)確率有限的問題���,使提取到有一定匹配度的生物特征值時(shí)即可順利實(shí) 現(xiàn)登錄的目的��。這是本發(fā)明的第二個(gè)目的�。
3�、 針對特殊系統(tǒng)的要求,提供一種更為高級和安全的身份認(rèn)證方法�。這是 本發(fā)明的第三個(gè)目的。
本發(fā)明的第一個(gè)目的實(shí)現(xiàn)是由用戶事先在認(rèn)證系統(tǒng)中設(shè)定用戶名IDA��、秘 密通行短語W���、 一次性口令序列的迭代值N���,同時(shí)提供注冊用戶的生物特征值�, 其特征在于用戶在認(rèn)證系統(tǒng)中提供的生物特征值至少為不同的兩種生物特征
值��,用戶在身份認(rèn)證過程中由服務(wù)器對用戶通過客戶端瀏覽器提供的用戶名IDA 進(jìn)行查詢��,找到與用戶名IDA對應(yīng)的種子值S��、當(dāng)前迭代值N-i��、上次認(rèn)證時(shí)用于 解密各生物特征值的一次性口令Pi.P并將這三個(gè)值用W的散列值Kw加密后作為 應(yīng)答信息發(fā)送給客戶端瀏覽器��,客戶端根據(jù)用戶輸入的W的散列值K w解密出服 務(wù)器發(fā)送過來的當(dāng)前迭代值N-i�����、種子值S和上次認(rèn)證的一次性口令Pw�,計(jì)算出 當(dāng)前一次性口令P「H�����,W+S)��,并對Pi再進(jìn)行一次哈希運(yùn)算得到P'i-產(chǎn)H(Pj)��,客 戶端比較P'w與Pi.,,如果一致則認(rèn)為迭代值無誤��,客戶端通過對服務(wù)器的驗(yàn)證�, 同時(shí)客戶端采集與用戶事先提供的生物特征同類的用戶生物特征值T'x,客戶端 用本次認(rèn)證的一次性口令Pi作為密鑰對用戶每種生物特征值T'x進(jìn)行加密���,將加密 信息發(fā)送給服務(wù)器�。服務(wù)器利用與客戶端相同方法計(jì)算出本次認(rèn)證的一次性口
令P'i����,用P'i對接收到的加密信息進(jìn)行解密,解密得到的用戶每種生物特征值T�、 與對應(yīng)的保存在服務(wù)器的生物特征模板庫中當(dāng)前用戶的生物特征值Tx進(jìn)行匹 配,當(dāng)任一個(gè)生物特征值T;與事先保存在服務(wù)器的生物特征模板庫中當(dāng)前用戶 的生物特征值Tx相匹配時(shí)��,則認(rèn)為用戶合法�,服務(wù)器端通過對客戶端的認(rèn)證, 并保存該一次性口令P'i���,至此用戶認(rèn)證完成��;如果任一個(gè)生物特征值T'x與事先 保存在服務(wù)器的生物特征模板庫中的用戶生物特征值TJ&不吻合時(shí)�����,則用戶非 法����,拒絕登錄請求。
本發(fā)明的第二個(gè)目的實(shí)現(xiàn)是由用戶事先在認(rèn)證系統(tǒng)中設(shè)定用戶名IDA����、秘 密通行短語W����、 一次性口令序列的迭代值N,同時(shí)提供注冊用戶的生物特征值�����, 其特征在于用戶在認(rèn)證系統(tǒng)中提供的生物特征值至少為不同的兩種生物特征 值���,系統(tǒng)中對各不同生物特征的識別率分別設(shè)定不同的權(quán)重Qx��,其中的x為正 整數(shù)����,其取值范圍為1至所用的生物特征的個(gè)數(shù)���,同時(shí)使用生物特征的權(quán)值與 所采集的生物特征個(gè)數(shù)的算術(shù)平均值作為閾值��,用戶在身份認(rèn)證過程中由服務(wù) 器對用戶通過客戶端瀏覽器提供的用戶名IDA進(jìn)行查詢����,找到與用戶名IDA對應(yīng) 的種子值S、當(dāng)前迭代值N-i����、上次認(rèn)證時(shí)用于解密各生物特征值的秘密通行短 語Pw,并將這三個(gè)值用W的散列值Kw加密后作為應(yīng)答信息發(fā)送給客戶端瀏覽 器����,客戶端根據(jù)用戶輸入的W的散列值Kw解密出服務(wù)器發(fā)送過來的當(dāng)前迭代 值N-i、種子值S和上次認(rèn)證的一次性口令Pw�,計(jì)算出當(dāng)前一次性口令Pi =HN"(W+S),并對Pi再進(jìn)行一次哈希運(yùn)算得到P'i.產(chǎn)H( Pi)����,客戶端比較P'w與 Pw,如果一致則認(rèn)為迭代值無誤��,客戶端通過對服務(wù)器的驗(yàn)證����,同時(shí)客戶端采 集與用戶事先提供的生物特征同類的各驗(yàn)證用戶生物特征值T'x�����,客戶端用本次 認(rèn)證的一次性口令Pi作為密鑰對用戶每種生物特征值T'x進(jìn)行加密�,將加密信息 發(fā)送給服務(wù)器��,服務(wù)器利用與客戶端相同方法計(jì)算出本次認(rèn)證的一次性口令P'i�, 用P'i對接收到的加密信息進(jìn)行解密,解密得到的用戶每種生物特征值T;與對應(yīng) 的保存在服務(wù)器生物特征模板庫中當(dāng)前用戶的生物特征值Tx進(jìn)行匹配��,得到每 種生物特征的匹配相似度rx����,并對每種生物特征的匹配結(jié)果進(jìn)行融合處理得到綜 合相似度R�,最后由R與閾值V比較進(jìn)行判決,如果R〉V��,則認(rèn)為用戶合法���, 服務(wù)器端通過對客戶端的認(rèn)證�,并保存該一次性口令P'i��,至此用戶認(rèn)證完成��; 如果R《V,則用戶非法�,拒絕登錄請求。
本發(fā)明的第三個(gè)目的實(shí)現(xiàn)是由用戶事先在認(rèn)證系統(tǒng)中設(shè)定用戶名IDA���、秘 密通行短語W���、 一次性口令序列的迭代值N,同時(shí)提供注冊用戶的生物特征值��, 其特征在于用戶在認(rèn)證系統(tǒng)中提供的生物特征值T'x至少為不同的兩種生物特征 值�����,用戶在身份認(rèn)證過程中由服務(wù)器對用戶通過客戶端瀏覽器提供的用戶名IDA 進(jìn)行查詢���,找到與用戶名IDA對應(yīng)的種子值S��、當(dāng)前迭代值N-i����、上次認(rèn)證時(shí)用于 解密各生物特征值的一次性口令Pw��,并將這三個(gè)值用W的散列值Kw加密后作為 應(yīng)答信息發(fā)送給客戶端瀏覽器�����,客戶端根據(jù)用戶輸入的W的散列值Kw解密出服 務(wù)器發(fā)送過來的當(dāng)前迭代值N-i、種子值S和上次認(rèn)證的一次性口令Pw�����,計(jì)算出 當(dāng)前一次性口令P^HN-i(W+S)�,并對Pi再進(jìn)行一次哈希運(yùn)算得到P'i-尸H(Pi),客 戶端比較P'w與Pi.P如果一致則認(rèn)為迭代值無誤����,客戶端通過對服務(wù)器的驗(yàn)證, 同時(shí)客戶端采集與用戶事先提供的生物特征同類的各驗(yàn)證用戶生物特征值T'x��, 客戶端用本次認(rèn)證的一次性口令Pi作為密鑰對用戶每種生物特征值T'x進(jìn)行加密��, 將加密信息發(fā)送給服務(wù)器���,服務(wù)器利用與客戶端相同方法計(jì)算出本次認(rèn)證的一 次性口令P'i,用P'i對接收到的加密信息進(jìn)行解密�,解密得到的用戶每種生物特征 值T'x與對應(yīng)的保存在服務(wù)器生物特征模板庫中當(dāng)前用戶的生物特征值Tx進(jìn)行匹
配,如果所有的T'x均與相應(yīng)的Tx相匹配����,則認(rèn)為用戶合法����,服務(wù)器端通過對客 戶端的認(rèn)證�����,并保存該一次性口令P'i���,至此用戶認(rèn)證完成���;如果有任一個(gè)T'x與 相應(yīng)的Tx不相匹配,則用戶非法�,拒絕登錄請求。
由上所述���,本發(fā)明實(shí)際上采用了多生物特征識別��,以解決現(xiàn)有技術(shù)的不足�����。 多生物特征識別實(shí)際上就是多生物特征信息融合�����,通過多生物特征信息融 合的方法��,不同認(rèn)證結(jié)果互為補(bǔ)充���,可提高生物特征識別系統(tǒng)的準(zhǔn)確性����。多生 物特征識別技術(shù)使得設(shè)計(jì)高性能實(shí)用的身份認(rèn)證系統(tǒng)成為可能�。
本發(fā)明針對動(dòng)態(tài)口令S/Key系統(tǒng)中秘密通行短語的重要性,及無法防止小數(shù)
攻擊等漏洞�����,以及單因子生物特征識別技術(shù)存在泄漏生物特征數(shù)據(jù)和準(zhǔn)確率有 限的缺點(diǎn)�,提出一種基于動(dòng)態(tài)口令與多生物特征識別相結(jié)合的身份認(rèn)證方法。
在本發(fā)明提出的方法中�, 一次性口令主要是利用單向散列函數(shù)的安全性, 即向前計(jì)算很容易����、反向計(jì)算卻很難的特點(diǎn)����,把種子值和用戶輸入的秘密通行 短語連接起來進(jìn)行多次散列�,散列次數(shù)為服務(wù)器應(yīng)答信息中的迭代次數(shù)��,迭代
結(jié)果作為用戶的一次性口令�����。每次用不同的數(shù)值即迭代次數(shù)作為不確定因素����; 而識別中的多生物特征是指對兩種或兩種以上生物特征進(jìn)行采集、組合�����,再經(jīng) 過融合處理�,以提高對生物特征值的識別,克服現(xiàn)有技術(shù)中因一種生物特征值 提取中的問題導(dǎo)致系統(tǒng)不能通過認(rèn)證的不足��。
由以上本發(fā)明的方法還可以直接得到另一種方法�����,即以多種生物特征值為 識別的條件����,進(jìn)而實(shí)現(xiàn)進(jìn)一步提高識別認(rèn)證安全性的目的��。
本發(fā)明的優(yōu)點(diǎn)至少有以下幾方面
1�����、 本發(fā)明的認(rèn)證方法中���,客戶端傳遞給服務(wù)器的認(rèn)證信息不是單一的動(dòng)態(tài) 口令或單一的生物特征信息,而是用每次都在變化的動(dòng)態(tài)口令對每種生物特征 值加密的密文����。任何重放或者竊聽攻擊都是無效的,有效防止了秘密通行短語 和生物特征數(shù)據(jù)的泄漏問題��,具有較高的安全性���。
2�、 本發(fā)明的認(rèn)證方法中����,增加了客戶端對服務(wù)器的身份認(rèn)證,實(shí)現(xiàn)了客戶
端和服務(wù)器之間的雙向認(rèn)證����,提高了系統(tǒng)的安全性。
3�����、 本發(fā)明的認(rèn)證方法中���,將多種生物特征認(rèn)證的匹配結(jié)果進(jìn)行了一定的融 合�,進(jìn)一步提高了認(rèn)證系統(tǒng)的準(zhǔn)確性�。
4、 本發(fā)明的認(rèn)證方法有廣泛的應(yīng)用前景����,可以應(yīng)用在金融、公安等對自身 業(yè)務(wù)的安全性有較高要求的行業(yè)中�����。
圖l動(dòng)態(tài)口令與多生物特征結(jié)合的身份認(rèn)證系統(tǒng)流程圖 圖2多生物特征融合的框架圖
具體實(shí)施例方式
本發(fā)明的身份認(rèn)證方法包括以下步驟
(1) 客戶端用戶向服務(wù)器發(fā)出身份認(rèn)證請求 用戶身份ID^
(2) 服務(wù)器根據(jù)客戶端發(fā)送的用戶名向客戶端發(fā)出應(yīng)答信息 服務(wù)器向客戶端發(fā)出用秘密通行短語W的散列值Kw加密的迭代值N-i��、種子
值S和上次認(rèn)證時(shí)用于解密各種生物特征值(包括指紋特征值���、虹膜特征值����、人 臉特征值等)的動(dòng)態(tài)口令Pi-n
(3) 客戶端用用戶輸入的秘密通行短語W的散列值K'w解密得到當(dāng)前迭代 值N-i、種子值S�、上次認(rèn)證的動(dòng)態(tài)口令Pw。計(jì)算如下
Pi=HN-i(W+S);
客戶端保存當(dāng)前口令pi�,并對當(dāng)前口令pi再進(jìn)行一次哈希運(yùn)算,計(jì)算如下-
P'i-產(chǎn)H(Pi);
客戶端將p'w與上次認(rèn)證時(shí)用于解密每種生物特征值(包括指紋特征值�、虹 膜特征值、人臉特征值等)的動(dòng)態(tài)口令PW比較�����,如果結(jié)果一致�,則認(rèn)為迭代值 無誤,客戶端通過對服務(wù)器的驗(yàn)證����。如果結(jié)果不同,則認(rèn)為迭代值有誤�����,此次 身份認(rèn)證終止�����。
客戶端通過各種生物特征釆集儀提取該用戶的相關(guān)生物特征值T'x,這些相
關(guān)生物特征包括指紋特征值lV�、虹膜特征值T2'、人臉特征值lV等��,可根據(jù)需 要選取���。用Pi作為加密密鑰對T'x (其中xEZ+)進(jìn)行加密,加密如下 M,E(T'x���,PO; 然后將密文Mx作為認(rèn)證信息發(fā)送給服務(wù)器�����。
(4) 服務(wù)器根據(jù)該用戶當(dāng)前迭代值N-i�����、種子值S��、秘密通行短語W���,用與
客戶相
同哈希函數(shù)計(jì)算出動(dòng)態(tài)口令P'i,計(jì)算如下 P�,產(chǎn)HN-i(W+S);
以動(dòng)態(tài)口令P'i作為解密密鑰對接收到的密文Mx進(jìn)行解密��,解密如下
解密后得到的每種生物特征值T'x分別與當(dāng)前用戶保存在服務(wù)器端的生物特 征模板庫中的模板特征值Tx(包括指紋特征值T,����、虹膜特征值T2��、人臉特征值T3 等)進(jìn)行匹配���,得到每種生物特征的匹配結(jié)果���。
在本發(fā)明的三個(gè)目的實(shí)現(xiàn)過程中以上各步驟中是相同的。
A. 當(dāng)采用本發(fā)明的第一個(gè)目的時(shí)��,只需要求解密后得到的各種生物特征 值T'x中的任一個(gè)能與當(dāng)前用戶保存在服務(wù)器端的生物特征模板庫中的相應(yīng)模板 特征值Tx匹配即可通過認(rèn)證��。
B. 在采用本發(fā)明的第二個(gè)目的時(shí)��,需先考慮解密后得到的每種生物特征 值T'x分別與當(dāng)前用戶保存在服務(wù)器端的生物特征模板庫中的模板特征值Tx (包 括指紋特征值1V虹膜特征值T2�、人臉特征值T3等)的匹配情況,進(jìn)而得到每種 生物特征的匹配結(jié)果����。該匹配結(jié)果可用對應(yīng)的匹配相似度rx表示。服務(wù)器對每種 生物特征的匹配結(jié)果進(jìn)行融合得到綜合相似度R��,計(jì)算如下(其中Qx分別表示指 紋、虹膜�、人臉等每種生物特征的權(quán)值,為0到1之間的常數(shù)��,由實(shí)驗(yàn)得到����;xE Z+):
R=ErxQx/EQx;
最后����,R與閾值V-2Qx/n (n為生物特征個(gè)數(shù),理論上為任意正整數(shù))比較 進(jìn)行判決���,如果R〉V��,則認(rèn)為該用戶合法��,服務(wù)器通過對客戶端的認(rèn)證����,并保 存動(dòng)態(tài)口令P'i��,至此該用戶認(rèn)證完成����。如果R《V����,則該用戶非法�,拒絕登錄請 求。
C. 在采用本發(fā)明的第三個(gè)目的時(shí)與第一目的的情況有所類似�,但要求各生 物特征值均與模板存儲(chǔ)的生物特征值匹配,這樣才能通過認(rèn)證�。
顯然,在采用本發(fā)明的第三個(gè)目的時(shí)也可應(yīng)用與本發(fā)明的第二個(gè)目的相類 似的技術(shù)措施�����,適當(dāng)降低服務(wù)器對每種生物特征的匹配結(jié)果進(jìn)行融合得到綜合 相似度R�����,同時(shí)適當(dāng)提高閾值��,以提高認(rèn)證的可靠性��。
另一方面���,在上述的本發(fā)明的三個(gè)目的實(shí)現(xiàn)中�,在每次成功登錄后,迭代值
遞減����,當(dāng)?shù)禍p為o或秘密通行短語w泄密后,必須重新初始化迭代值和修改 秘密通行短語��。
由以上所述內(nèi)容還可見�����,本發(fā)明的三個(gè)目的的實(shí)現(xiàn)是通過在系統(tǒng)中軟件做 出相應(yīng)的權(quán)限限制完成���,其相互的實(shí)現(xiàn)沒有特別的困難。
關(guān)于本發(fā)明的具體情況可參見附圖1至附圖2的內(nèi)容��。
下面以一個(gè)具體的信息管理系統(tǒng)中本發(fā)明第二目的實(shí)現(xiàn)的應(yīng)用為例說明本
發(fā)明的過程
l.身份認(rèn)證過程
(1) 用戶通過客戶端瀏覽器輸入用戶名hualong06��,向服務(wù)器提交認(rèn)證請求�。
(2) 服務(wù)器查詢數(shù)據(jù)庫,找出與用戶名hualong06對應(yīng)的種子值S-z812W03wj�, 和當(dāng)前迭代值N-i40,同時(shí)找出上次認(rèn)證時(shí)用于解密密鑰的動(dòng)態(tài)口令Pi.,����,
Pi.尸el72155aca3780552e49b34d0cef86a9
并將這三個(gè)值用秘密通行短語W的散列值Kw加密后作為應(yīng)答信息發(fā)送給客 戶端瀏覽器����。如果數(shù)據(jù)庫中沒有與該用戶名對應(yīng)的記錄則拒絕此次登錄請 求����。
(3) 客戶端收到服務(wù)器發(fā)送的應(yīng)答信息后,提示hualong06輸入秘密通行短語 W= cominf505���,同時(shí)通過指紋采集儀采集hualong06的右手拇指指紋圖像����, 通過虹膜攝像頭采集左眼虹膜圖像����,通過人臉攝像頭采集人臉圖像,客戶 端調(diào)用相應(yīng)的指紋處理模塊���、虹膜處理模塊和人臉處理模塊分別提取出指 紋特征值T�����、�����、虹膜特征值T'2和人臉特征值T'3���,并調(diào)用相應(yīng)的運(yùn)算模塊做如 下運(yùn)算
計(jì)算秘密通行短語W的散列值K;v�,并解密得到S���, N-i����, Pw 計(jì)算本次認(rèn)證用作加密密鑰的動(dòng)態(tài)口令
Pi =HN"(W+S)= 87f25293e 1 ab871 e91 d59049ec7fb40b
計(jì)算上次認(rèn)證用作解密密鑰的動(dòng)態(tài)口令
P'i.產(chǎn)H( Pj) = el72155aca3780552e49b34d0cef86a9 比較Pi.i與P'W的值(如果不相同���,則終止此次登錄)����。結(jié)果相同��,用Pi作 為秘鑰對提取的每種生物特征值進(jìn)行加密
<formula>formula see original document page 14</formula>
將各加密信息ivy乍為認(rèn)證信息發(fā)送給服務(wù)器�。
(4)服務(wù)器收到客戶端的認(rèn)證信息后���,作如下運(yùn)算
<formula>formula see original document page 14</formula>
用P'i作為解密秘鑰對加密信息進(jìn)行解密
將解密后得到的各生物特征值T'x與服務(wù)器生物特征模板庫中保存的該用戶 的對應(yīng)的生物特征值Tx進(jìn)行匹配����,得到每種生物特征的匹配結(jié)果,匹配結(jié)果用 匹配相似度K表示��,其中指紋匹配相似度為rp虹膜匹配相似度為r2����,人臉匹配 相似度為1"3。
服務(wù)器對每種生物特征的匹配結(jié)果進(jìn)行融合得到綜合相似度R�,計(jì)算如下 R=£rxQx/EQx;
閾值V-i:Qx/n,其中的n為所用的生物特征的個(gè)數(shù)��。將R與V比較進(jìn)行判決��,
如果R〉V,則認(rèn)為該用戶合法�����,服務(wù)器端通過對客戶端的認(rèn)證����,并保存動(dòng)態(tài)口
令P'i,如果R《V,則該用戶非法���,拒絕登錄請求����。
本例中取Q產(chǎn)60。/��。�����, Q2=80%�, Q3=40%,則EQx-1800/����。, n=3���, V=60%���。 若1*1=92%, r2=98°/���。, r3=81%���,則R-92.2�。/。����, R>V,該用戶合法��; 若1*1=92°/()��, r2=98%�����, r3=10%�����,則11=76.4%����, R>V,該用戶合法���; 若1"1=60%�, r2=80%, r3=50%�,則11=66.7%, R>V��,該用戶合法��; 若1"1=40%�, r2=50%, r3=30%�,貝1」11=40.0%, R<V����,該用戶非法,拒絕登錄�。 需要說明的本發(fā)明的實(shí)際應(yīng)用不局限于以上給出的實(shí)施例,所使用的生物
特征可以是指紋��、虹膜�、人臉、掌紋����、視網(wǎng)膜、人耳��、唇紋����、語音、筆跡��、步
態(tài)���、手勢等任意兩種或兩種以上生物特征的組合�。
權(quán)利要求
1���、一種動(dòng)態(tài)口令與多生物特征識別相結(jié)合的身份認(rèn)證方法����,由用戶事先在認(rèn)證系統(tǒng)中設(shè)定用戶名IDA���、秘密通行短語W���、一次性口令序列的迭代值N,同時(shí)提供注冊用戶的生物特征值�,其特征在于用戶在認(rèn)證系統(tǒng)中提供的生物特征值T’x至少為不同的兩種生物特征值,用戶在身份認(rèn)證過程中由服務(wù)器對用戶通過客戶端瀏覽器提供的用戶名IDA進(jìn)行查詢����,找到與用戶名IDA對應(yīng)的種子值S��、當(dāng)前迭代值N-i�、上次認(rèn)證時(shí)用于解密各生物特征值的一次性口令Pi-1����,并將這三個(gè)值用W的散列值Kw加密后作為應(yīng)答信息發(fā)送給客戶端瀏覽器,客戶端根據(jù)用戶輸入的W的散列值K’w解密出服務(wù)器發(fā)送過來的當(dāng)前迭代值N-i�����、種子值S和上次認(rèn)證的一次性口令Pi-1����,計(jì)算出當(dāng)前一次性口令Pi=HN-1(W+S),并對Pi再進(jìn)行一次哈希運(yùn)算得到P’i-1=H(Pi)����,客戶端比較P’i-1與Pi-1,如果一致則認(rèn)為迭代值無誤���,客戶端通過對服務(wù)器的驗(yàn)證����,同時(shí)客戶端采集與用戶事先提供的生物特征同類的用戶生物特征值T’x,客戶端用本次認(rèn)證的一次性口令Pi作為密鑰對用戶每種生物特征值T’x進(jìn)行加密�����,將加密信息發(fā)送給服務(wù)器���。服務(wù)器利用與客戶端相同方法計(jì)算出本次認(rèn)證的一次性口令P’i,用P’i對接收到的加密信息進(jìn)行解密�����,解密得到的用戶每種生物特征值T’x與對應(yīng)的保存在服務(wù)器的生物特征模板庫中當(dāng)前用戶的生物特征值Tx進(jìn)行匹配��,當(dāng)任一個(gè)生物特征值T’x與事先保存在服務(wù)器的生物特征模板庫中當(dāng)前用戶的生物特征值Tx匹配時(shí)����,則認(rèn)為用戶合法,服務(wù)器端通過對客戶端的認(rèn)證�����,并保存該一次性口令P’i���,至此用戶認(rèn)證完成�;如果任一個(gè)生物特征值T’x與事先保存在服務(wù)器的生物特征模板庫中的用戶生物特征值Tx都不吻合時(shí),則用戶非法���,拒絕登錄請求���。
2、 一種動(dòng)態(tài)口令與多生物特征識別相結(jié)合的身份認(rèn)證方法���,由用戶事先在 認(rèn)證系統(tǒng)中設(shè)定用戶名IDA�����、秘密通行短語W��、 一次性口令序列的迭代值N��, 同時(shí)提供注冊用戶的生物特征值��,其特征在于用戶在認(rèn)證系統(tǒng)中提供的生物特 征值至少為不同的兩種生物特征值�,系統(tǒng)中對各不同生物特征的識別率分別設(shè) 定不同的權(quán)重Qx�����,其中的x為正整數(shù),其取值范圍為1至所用的生物特征的個(gè)數(shù)�����,同時(shí)使用生物特征的權(quán)值與所采集的生物特征個(gè)數(shù)的算術(shù)平均值作為閾值����,用戶在身份認(rèn)證過程中由服務(wù)器對用戶通過客戶端瀏覽器提供的用戶名IDA進(jìn) 行查詢,找到與用戶名IDA對應(yīng)的種子值S��、當(dāng)前迭代值N-i���、上次認(rèn)證時(shí)用于 解密各生物特征值的秘密通行短語Pw,并將這三個(gè)值用W的散列值Kw加密后 作為應(yīng)答信息發(fā)送給客戶端瀏覽器�,客戶端根據(jù)用戶輸入的W的散列值K'w解 密出服務(wù)器發(fā)送過來的當(dāng)前迭代值N-i、種子值S和上次認(rèn)證的一次性口令Pw��, 計(jì)算出當(dāng)前一次性口令Pi =HN"(W+S)�����,并對Pi再進(jìn)行一次哈希運(yùn)算得到P'i.產(chǎn) H(PO���,客戶端比較P'w與Pw����,如果一致則認(rèn)為迭代值無誤,客戶端通過對服 務(wù)器的驗(yàn)證�,同時(shí)客戶端采集與用戶事先提供的生物特征同類的各驗(yàn)證用戶生 物特征值T'x,客戶端用本次認(rèn)證的一次性口令Pi作為密鑰對用戶每種生物特征 值T;進(jìn)行加密�,將加密信息發(fā)送給服務(wù)器,服務(wù)器利用與客戶端相同方法計(jì)算 出本次認(rèn)證的一次性口令P'i�,用P'i對接收到的加密信息進(jìn)行解密,解密得到的 用戶每種生物特征值T;與對應(yīng)的保存在服務(wù)器生物特征模板庫中當(dāng)前用戶的生 物特征值IV進(jìn)行匹配�,得到每種生物特征的匹配相似度rx,并對每種生物特征 的匹配結(jié)果進(jìn)行融合處理得到綜合相似度R�����,最后由R與閾值V比較進(jìn)行判決�, 如果R〉V,則認(rèn)為用戶合法��,服務(wù)器端通過對客戶端的認(rèn)證�,并保存該一次性 口令P'i,至此用戶認(rèn)證完成�����;如果R《V���,則用戶非法�����,拒絕登錄請求�����。
3���、 一種動(dòng)態(tài)口令與多生物特征識別相結(jié)合的身份認(rèn)證方法���,由用戶事先在 認(rèn)證系統(tǒng)中設(shè)定用戶名IDA��、秘密通行短語W�����、 一次性口令序列的迭代值N�, 同時(shí)提供注冊用戶的生物特征值,其特征在于用戶在認(rèn)證系統(tǒng)中提供的生物特 征值至少為不同的兩種生物特征值����,用戶在身份認(rèn)證過程中由服務(wù)器對用戶通 過客戶端瀏覽器提供的用戶名IDA進(jìn)行查詢��,找到與用戶名IDA對應(yīng)的種子值S����、 當(dāng)前迭代值N-i�、上次認(rèn)證時(shí)用于解密各生物特征值的一次性口令Pi-p并將這 三個(gè)值用W的散列值Kw加密后作為應(yīng)答信息發(fā)送給客戶端瀏覽器,客戶端根 據(jù)用戶輸入的W的散列值K'w解密出服務(wù)器發(fā)送過來的當(dāng)前迭代值N-i�、種子值 S和上次認(rèn)證的一次性口令Pw,計(jì)算出當(dāng)前一次性口令Pi-H^i(W+S)����,并對Pi再進(jìn)行一次哈希運(yùn)算得到P'i.產(chǎn)H(PO,客戶端比較P'w與Pw,如果一致則認(rèn)為 迭代值無誤����,客戶端通過對服務(wù)器的驗(yàn)證,同時(shí)客戶端采集與用戶事先提供的 生物特征同類的各驗(yàn)證用戶生物特征值T'x���,客戶端用本次認(rèn)證的一次性口令Pi 作為密鑰對用戶每種生物特征值T;進(jìn)行加密�,將加密信息發(fā)送給服務(wù)器����,服務(wù) 器利用與客戶端相同方法計(jì)算出本次認(rèn)證的一次性口令P'i,用P'i對接收到的加 密信息進(jìn)行解密����,解密得到的用戶每種生物特征值T;與對應(yīng)的保存在服務(wù)器生 物特征模板庫中當(dāng)前用戶的生物特征值Tx進(jìn)行匹配����,如果所有的T;均與相應(yīng)的 Tx相匹配�,則認(rèn)為用戶合法,服務(wù)器端通過對客戶端的認(rèn)證��,并保存該一次性 口令P'i�,至此用戶認(rèn)證完成;如果有任一個(gè)T;與相應(yīng)的L不相匹配�����,則用戶 非法���,拒絕登錄請求����。
全文摘要
本發(fā)明涉及一種動(dòng)態(tài)口令與多生物特征結(jié)合的身份認(rèn)證方法��。本發(fā)明在用戶身份認(rèn)證過程中首先由客戶端通過動(dòng)態(tài)口令實(shí)現(xiàn)對服務(wù)器的認(rèn)證�����,然后客戶端用生成的動(dòng)態(tài)口令對提取的用戶相應(yīng)生物特征值(包括指紋����、虹膜、人臉特征值等)加密后作為認(rèn)證信息發(fā)送給服務(wù)器�����,服務(wù)器將解密后的用戶每種生物特征值與對應(yīng)的模板中的生物特征進(jìn)行匹配得到匹配相似度����,并融合各種生物特征匹配結(jié)果得到綜合相似度,最后由綜合相似度與閾值比較判斷用戶是否合法完成服務(wù)器對客戶端的認(rèn)證����。
文檔編號G06K9/00GK101098232SQ200710137429
公開日2008年1月2日 申請日期2007年7月12日 優(yōu)先權(quán)日2007年7月12日
發(fā)明者張冬冬, 張曉煒, 徐華龍, 申永軍, 陳文江 申請人:蘭州大學(xué);甘肅中匯電子工程有限公司