一種移動設備無密碼安全認證方法及系統(tǒng)的制作方法
【技術領域】
[0001]本發(fā)明涉及軟件��、密碼學及通信安全領域���,尤其涉及密碼認證技術領域。
【背景技術】
[0002]本發(fā)明涉及到公私鑰體系及生物特征識別等概念�����。公私鑰體系是一種非對稱密碼技術�����,有別于傳統(tǒng)的對稱密碼技術��。公私鑰體系加密和解密過程使用不同的密碼算子���,即公鑰和私鑰對����。該項技術廣泛應用于互聯(lián)網(wǎng)加密、簽名等安全方面��。生物特征是如指紋���、虹膜���、語音等人體或行為特征,其具有唯一性�,本發(fā)明采用指紋特征。本發(fā)明將公私鑰體系和指紋識別這兩種技術結合在一起�,系統(tǒng)地解決了移動互聯(lián)網(wǎng)時代的安全認證難題。具體可以用于手機支付安全認證�、手機應用安全認證、企業(yè)USB指紋安全證書認證��。
[0003]實際應用中�,HTC、三星�、華為等在推出的手機中給出了硬件級指紋認證解決方案。但這些方案側重于指紋識別����,具有一定的局限性。以華為2014年9月I日推出的Mate7指紋技術為例���。該技術是國內推出的首個指紋支付的標準方案����。該技術將指紋特征存儲于CPU的保護區(qū)域,解決了手機本地認證的問題���;但業(yè)務安全及通信安全認證仍然由具體應用來完成���,華為的方案中必須通過支付寶認證體系來保障業(yè)務安全及通信安全�。
[0004]目前流行的指紋識別加應用認證的方式�,仍然需要密碼�,并且部分廠商將指紋特征存儲于(遠程)服務端�。這存在兩種問題,一是隱私泄露問題,雖然指紋特征難以復原指紋圖像����,但指紋特征畢竟具有唯一性�����,一旦泄露還是具有一定的安全隱患����;二是����,指紋驗證是本地驗證(最多只能證明這手機是使用人的)�����,難以保證業(yè)務及通信安全(例如認證信息傳輸過程中信息被篡改)����。
【發(fā)明內容】
[0005]本發(fā)明就是針對其他方案中重視指紋識別不重視業(yè)務及通信安全進行糾正,提出完整的技術方案�����。本發(fā)明是建立在指紋識別和公私鑰體系基礎之上并結合兩者優(yōu)點的技術及方法:指紋識別是基礎�,硬件實現(xiàn)的公私鑰模塊是核心����,兩者在移動設備中綜合應用是本發(fā)明核心特征�����。本發(fā)明用來解決移動設備及應用的安全認證問題�。該項技術非常適合指紋手機安全認證。具體技術方案如下:
[0006]一種移動設備無密碼安全認證方法����,包括:
[0007]啟動指紋識別模塊的步驟:手機應用客戶端接收用戶錄入的ID(例如用戶名),并啟動指紋識別模塊���;指紋識別模塊讀取指紋并與指紋識別模塊中存儲的信息進行比對驗證,若驗證通過則啟動密鑰模塊�,若驗證不通過則驗證失敗,將結果發(fā)送給客戶端�����。
[0008]調用密鑰模塊的步驟:密鑰模塊產生密鑰對和隨機數(shù)并對隨機數(shù)進行簽名�����,密鑰存儲于密鑰模塊專用區(qū)域,將相關信息發(fā)送至應用服務器��;
[0009]驗證簽名值的步驟:應用服務器驗證簽名值���,若驗證通過則完成操作成功的步驟��,將結果發(fā)送給客戶端模塊��,若驗證不通過則操作失敗���,將結果發(fā)送給客戶端模塊。
[0010]本發(fā)明還涉及一種移動設備無密碼安全認證系統(tǒng)��,包括客戶端模塊�、密鑰模塊和應用服務器,其中��,
[0011]所述的客戶端模塊用于啟動密鑰模塊��;
[0012]所述的密鑰模塊用于在被客戶端模塊啟動后產生密鑰對和隨機數(shù)并對隨機數(shù)進行簽名��,將相關信息發(fā)送至應用服務器�����;
[0013]所述的應用服務器用于驗證簽名值,若驗證通過則完成操作成功的步驟��,將結果發(fā)送給客戶端模塊����,若驗證不通過則操作失敗,將結果發(fā)送給客戶端模塊����。
[0014]本發(fā)明技術方案可分為三個部分。第一部分指紋識別模塊�����。該模塊基于現(xiàn)有的技術或方案��,但本技術方案并不關注現(xiàn)有指紋識別模塊的具體實現(xiàn)��。本方法要求該模塊:①必須是硬件實現(xiàn)指紋信息存儲在移動設備中��;③外部無法讀取存儲的指紋信息�����,只能讀取驗證是否通過的狀態(tài)�、指紋個數(shù)等與具體指紋特征無關的信息。目前����,大部分具有指紋識別模塊的手機均符合本部分要求。第二部分是公私鑰產生模塊(即密鑰模塊)�。該模塊是本方案核心。本方法要求該模塊:①必須是硬件實現(xiàn)且具有計算能力(將算法固化在芯片中����,留有存儲區(qū)�,具有計算能力)��;②能產生公私鑰對,私鑰存儲在模塊的保護區(qū)且不能被外部讀??����;公鑰可以被外部訪問�����;③能夠產生隨機數(shù)����,對計算隨機數(shù)簽名���,隨機數(shù)及簽名值能被外部讀??��;@具有算法選擇的能力���,可選擇RSA、DSA或ElGamal等算法,密鑰長度為512位�、1024位和2048位,可視密鑰強度進行選擇。第三部分是指紋識別模塊��、公私鑰產生模塊和具體應用之間的交互過程���。遵循本技術方案進行設計能夠解決認證�、業(yè)務和通信安全問題����。
[0015]本發(fā)明的有益效果如下:
[0016]本發(fā)明解決了移動設備的安全認證問題���,將指紋認證(移動端驗證)與公私鑰認證(業(yè)務認證����、通信安全)相結合���,保障了整個流程的安全�����。
[0017]因本發(fā)明的核心模塊是公私鑰產生模塊,且是硬件實現(xiàn)��。這使得各種不同的應用可以實現(xiàn)“密碼共享”-共用私鑰分享公鑰���。
【附圖說明】
[0018]圖1為本發(fā)明實施例一安全認證模塊及注冊流程圖��;
[0019]圖2為本發(fā)明實施例二安全認證模塊及登錄流程圖�����。
【具體實施方式】
[0020]本發(fā)明的具體方案具體在各種不同的環(huán)境中的應用���。有幾種典型應用場景。1.移動應用認證�。
[0021]用于用戶注冊���、登錄��、修改密鑰等場景���。
[0022]2.手機支付安全�。
[0023]是I的擴展�。用于手機支付,保障移動端安全認證和通信過程安全��,保障資金安全�����。
[0024]3.隱私保護。
[0025]因使用的是公私鑰體系及隨機數(shù)密碼����,且無需用戶輸入�����,從根本上解決了傳統(tǒng)密碼的安全隱患�����。使得暴力破解完全不可行。
[0026]4.企業(yè)內部安全�。
[0027]公私鑰指紋U盤證書,不僅無需輸入密碼����,而且從硬件層上保證了傳輸安全�����。5.其他不適合密碼且需后臺認證的場景�。
[0028]下面,結合附圖和實施例就具體應用分4種場景�,說明本方案實現(xiàn)認證的詳細過程。假定用戶已采集完指紋�����。
[0029]實施例一:用戶注冊時�,各模塊交互序列如圖1
[0030]a.用戶錄入代表自身的用戶ID信息,如用戶名��,如圖中I ;b.調用指紋模塊(圖中1.1)進行指紋驗證��,也即讀取用戶指紋與指紋模塊中存儲的指紋進行比對;如驗證通過(圖中1.1.1)轉C����,驗證不通過(圖中1.1.2),返回驗證失敗(圖中1.1.3) ;c.調用密鑰模塊(圖中2)��,產生密鑰對(圖中2.1)和隨機數(shù)(圖中2.2)����,并對隨機數(shù)進行簽名(圖中2.3),密鑰對存儲于密鑰模塊專用區(qū)域��;d.將用戶ID信息�����、隨機數(shù)、簽名值�����、公鑰信息等主要信息發(fā)送至應用服務器(圖中3);應用服務器驗證簽名值(圖中3.1);如通過�����,存儲用戶ID信息�、公鑰信息(圖中3.2)��,完成注冊(圖中3.3);如果驗證不通過(圖中3.4)注冊失敗(圖中3.5)�����。
[0031]上述步驟中,需要用戶參與的是過程a;其他過程由按本方案設計的系統(tǒng)自動處理��。
[0032]實施例二:用戶登錄認證時,各模塊交互序列如圖2
[0033]a.用戶錄入代表自身的用戶ID信息���;b.調用指紋模塊(圖中1.1)進行指紋驗證�,如驗證通過(圖中1.1.1)轉C,驗證不通過(圖中1.1.2)��,返回驗證失敗(圖中1.1.3);c.調用密鑰模塊(圖中2)��,產生隨機數(shù)(圖中2.1)���,并對隨機數(shù)進行簽名(圖中2.2) ;d.將用戶ID信息����、隨機數(shù)、簽名值等(此處不含公鑰信息)主要信息發(fā)送至應用服務器(圖中3);應用服務器驗證簽名值(圖中3.1);如通過驗證(3.2)�����,登錄成功(3.3);如果驗證不通過
[0034](3.4)登錄失敗(3.5)。
[0035]實施例三:用戶修改密鑰對
[0036]修改密鑰對,類似于修改“密碼”�。過程類似于用戶注冊過程(實施例一)。先要通過本地指紋認證�����,然后重新產生密鑰對����、隨機數(shù)和簽名值�����,服務器進行驗證���、存儲(更新已存在的記錄)等相關處理���。
[0037]實施例四:設備丟失時的處理
[0038]當用戶設備遺失時�����,此時在新設備上難以完成賬號與指紋的關聯(lián)����。此時��,通過傳統(tǒng)手段�����,比如手機驗證碼����、郵件驗證碼、密碼提示的方式���,先完成賬戶找回的功能�����;緊接著���,重新產生新密鑰對���,過程同實施例三。
【主權項】
1.一種移動設備無密碼安全認證方法��,其特征在于���,包括: 啟動密鑰模塊的步驟:客戶端接收用戶ID信息并啟動指紋識別模塊�,指紋識別模塊讀取用戶指紋并與指紋模塊中存儲的指紋信息進行比對��,若驗證通過則啟動密鑰模塊��,若驗證不通過則驗證失敗����,將結果發(fā)送給客戶端���; 調用密鑰模塊的步驟:密鑰模塊產生密鑰對和隨機數(shù)并對隨機數(shù)進行簽名�,將相關信息發(fā)送至應用服務器��; 驗證簽名值的步驟:應用服務器驗證簽名值,若驗證通過則完成操作成功的步驟�����,將結果發(fā)送給客戶端模塊�����,若驗證不通過則操作失敗��,將結果發(fā)送給客戶端模塊���。
2.根據(jù)權利要求1所述的一種移動設備無密碼安全認證方法����,其特征在于��,所述的密鑰模塊是硬件實現(xiàn)且設有專用存儲區(qū)域���,用于存儲公鑰�、私鑰�,私鑰不能被外部讀取。
3.根據(jù)權利要求1所述的一種移動設備無密碼安全認證方法����,其特征在于����,所述的密鑰模塊具有算法選擇��、密鑰長度選擇和計算能力����。
4.根據(jù)權利要求1所述的一種移動設備無密碼安全認證方法,其特征在于�����,所述調用密鑰模塊的步驟中的相關信息包括用戶ID�����、隨機數(shù)�、簽名值、公鑰�����。
5.根據(jù)權利要求1所述的一種移動設備無密碼安全認證方法���,其特征在于���,所述的驗證簽名值的步驟中操作成功的步驟包括應用服務器存儲用戶ID、公鑰信息并產生認證成功的信息���。
6.根據(jù)權利要求1所述的一種移動設備無密碼安全認證方法���,其特征在于,所述調用密鑰模塊的步驟中的相關信息包括用戶ID信息��、隨機數(shù)�、簽名值。
7.根據(jù)權利要求1��,其特征在于����,所述的驗證簽名值的步驟中操作成功的步驟包括應用服務器生成認證成功的信息。
8.一種移動設備無密碼安全認證系統(tǒng)��,其特征在于����,包括客戶端模塊�、密鑰模塊和應用服務器���,其中�, 所述的客戶端模塊用于啟動密鑰模塊����; 所述的密鑰模塊用于在被客戶端模塊啟動后產生密鑰對和隨機數(shù)并對隨機數(shù)進行簽名,將相關信息發(fā)送至應用服務器���; 所述的應用服務器用于驗證簽名值����,若驗證通過則完成操作成功的步驟��,將結果發(fā)送給客戶端模塊���,若驗證不通過則操作失敗�,將結果發(fā)送給客戶端模塊�。
9.根據(jù)權利要求6所述的一種移動設備無密碼安全認證系統(tǒng),其特征在于�����,所述的客戶端模塊包括客戶端和指紋識別模塊,所述的客戶端用于接收用戶ID信息并啟動指紋識別模塊�����;所述的指紋識別模塊用于讀取用戶指紋與指紋模塊中存儲的信息進行比對驗證�����,若驗證通過則啟動密鑰模塊���,若驗證不通過則驗證失敗,將結果發(fā)送給客戶端��。
【專利摘要】本發(fā)明涉及移動設備無密碼安全認證方法及系統(tǒng)��,其方法包括:啟動密鑰模塊的步驟:啟動密鑰模塊的條件——指紋驗證通過��;調用密鑰模塊的步驟:密鑰模塊產生密鑰對和隨機數(shù)并對隨機數(shù)進行簽名�,將相關信息發(fā)送至應用服務器;以及驗證簽名值的步驟:應用服務器驗證簽名值�����,若驗證通過則完成操作成功的步驟�����,將結果發(fā)送給客戶端模塊,若驗證不通過則操作失敗�����,將結果發(fā)送給客戶端模塊��。本發(fā)明解決了移動設備的安全認證的問題�����。
【IPC分類】H04L9-32, H04L29-06
【公開號】CN104660412
【申請?zhí)枴緾N201410566121
【發(fā)明人】張先利
【申請人】南京澤本信息技術有限公司
【公開日】2015年5月27日
【申請日】2014年10月22日