一种安全的基于生物特征远程身份认证的方法与流程

技术领域

本发明涉及一种信息安全技术领域，具体地说是一种安全的基于生物特征远程身份认证的方法。

背景技术：

指纹、虹膜、人脸、静脉等生物特征是识别认证个人用户的天然凭证，每个人的生物特征具备唯一性，难以伪造和假冒。人们一直希望利用生物特征进行身份认证，以达到无需让用户记住复杂的口令或者随身携带U盾等设备的目的。

常见的生物特征认证技术原理是:用户首次注册时采集生物特征，经过特征提取和编码后，把生物特征值存储到服务器后台。身份认证时，再次采集并计算特征值，把特征值和后台存储的特征值对比，若匹配则认证成功，反之认证失败。这种简单特征匹配的认证方式，仅适用于封闭环境或可信信道环境，不适用于互联网环境。生物特征或生物特征值是高度隐私数据，一旦信息泄露就会造成用户的假冒、隐私的泄露等，更为严重的是一旦泄露则是永久泄露，不能更改。互联网是非安全环境，生物特征在传输、存储过程中非常容易被嗅探或攻破。

现代密码技术在网络通信中一般应用于数据保密、身份认证、数据完整性保护和抗抵赖。当前主流身份认证协议比如SSL\TLS、Kerberos等均使用了现代密码技术。

在非安全信道的互联网环境下，基于生物特征要实现安全的身份认证，需至少满足如下条件：

1、生物特征零存储，在客户端、服务端永不保存用户生物特征值，也不传输用户生物特征值，防止隐私泄露；

2、双向认证，在不安全的信道下，即要防止用户的假冒也要防止服务器的假冒，都能够通过算法或协议保障；

3、多因素认证，引入口令等其他认证方式，以增强认证强度。

如何能够满足上述三个条件，进行安全的生物特征身份认证，是本领域技术人员目前迫切需要解决的问题。

技术实现要素：

本发明的技术任务是针对以上不足，提供一种安全的基于生物特征远程身份认证的方法，来解决在非安全信道的互联网环境下，基于生物特征如何实现安全身份认证的问题。

本发明的技术任务是按以下方式实现的，

一种安全的基于生物特征远程身份认证的方法，生物特征识别融合现代密码学，借助密码算法和协议实现安全身份认证；首次注册时，把生物特征作为秘密或者利用生物特征进行秘密生成，服务器不存储生物特征值，而是存储推演协商的密钥；身份认证时，根据服务端的密钥、生物特征生成的密钥做挑战验证，实现双向认证。

包括如下步骤：

[一]、注册过程如下：

[1]、通过客户端的采集认证终端，采集用户的生物特征，对生物特征依次进行预处理、特征提取和编码，得到生物特征值；

[2]、把生物特征值经过模糊提取或纠错码处理得到一段公开数据和一段秘密数据；

[3]、销毁秘密数据；

[4]、把公开数据以及用户注册信息使用服务器端证书加密，从客户端发送并存储到服务器端；

[二]、认证过程如下：

[5]、用户通过客户端登录系统时，向服务器端发出认证请求；

[6]、服务器端产生认证挑战码数据，认证挑战码数据使用服务器端证书的私钥签名获得签名值，把签名值、认证挑战码数据发送给客户端；

[7]、用户通过客户端的采集认证终端，再次采集用户的生物特征，对生物特征依次进行预处理、特征提取和编码，得到生物特征值；

[8]、把生物特征值经过模糊提取或纠错码处理得到一段公开数据和一段秘密数据；

[9]、客户端使用服务器端证书验证认证挑战码数据的签名值；若签名值验证通过，则表明服务端器可信；

[10]、利用秘密数据对认证挑战码数据加密，发送到服务器端；

[11]、销毁秘密数据；

[12]、服务器端接收到第[10]步发送的数据后，使用用户公开数据解密加密后的认证挑战码数据，解密成功，则表示认证成功。

步骤[2]替换为：把生物特征值经过模糊提取或纠错码处理，并加入口令，得到一段公开数据和一段秘密数据；步骤[8]替换为：把生物特征值经过模糊提取或纠错码处理，并加入口令，得到一段公开数据和一段秘密数据。

客户端与服务器端的通信信道使用SSL/TLS协议安全通讯。

步骤[4]中，使用服务器端证书加密，采用的加密算法为PKI非对称算法RSA或SM2。

步骤[6]中，服务器端产生一个随机数，添加时间戳作为认证挑战码数据；认证挑战码数据使用服务器端证书的私钥签名，签名算法采用PKI非对称算法RSA或SM2。

步骤[1]及步骤[7]中，采集认证终端为摄像头或麦克风或指纹仪或静脉采集仪；生物特征为人脸或声纹或指纹或静脉。

步骤[9]中，客户端使用PKI技术，验证认证挑战码数据的签名。

本发明的一种安全的基于生物特征远程身份认证的方法具有以下优点：

1、能够满足在非安全信道的互联网环境下，基于生物特征的安全身份认证；

2、能够实现生物特征零存储、服务端、客户端双向认证、支持其他认证因素，提升认证强度；

3、保留了生物特征的方便性，引入密码技术增强了安全性：把生物特征作为秘密或者利用生物特征结合其他因素进行秘密生成，再利用成熟密码技术实现身份认证，这样即可以保留生物特征认证的方便性，又保护了生物特征的隐私，同时具备较高的安全性；

4、实现了生物特征的零存储、零传输，避免了隐私数据的泄露；

5、提出引入口令等多因素，进一步增强了安全性。

附图说明

下面结合附图对本发明进一步说明。

附图1为一种安全的基于生物特征远程身份认证的方法的实施例1的注册流程图；

附图2为一种安全的基于生物特征远程身份认证的方法的实施例1的认证流程图；

附图3为一种安全的基于生物特征远程身份认证的方法的实施例2的注册流程图；

附图4为一种安全的基于生物特征远程身份认证的方法的实施例2的认证流程图。

具体实施方式

参照说明书附图和具体实施例对本发明的一种安全的基于生物特征远程身份认证的方法作以下详细地说明。

实施例1：

本发明的一种安全的基于生物特征远程身份认证的方法,生物特征识别融合现代密码学，借助密码算法和协议实现安全身份认证；首次注册时，把生物特征作为秘密或者利用生物特征进行秘密生成，服务器不存储生物特征值，而是存储推演协商的密钥；身份认证时，根据服务端的密钥、生物特征生成的密钥做挑战验证，实现双向认证。

具体包括如下步骤：

如图1所示，注册过程如下：

步骤101：通过客户端的采集认证终端，采集用户的生物特征Um，对生物特征Um依次进行预处理、特征提取和编码，得到生物特征值Wm；采集认证终端为摄像头；生物特征为人脸；

步骤102：把生物特征值Wm经过模糊提取或纠错码处理得到一段公开数据Pm和一段秘密数据Rm；

步骤103：销毁秘密数据Rm；

步骤104：把公开数据Pm以及用户注册信息使用服务器端证书加密得到P'm，采用的加密算法为PKI非对称算法RSA，从客户端发送到服务器端，确保仅有服务器端才能收到该数据；

步骤105：利用服务器端私钥解密P'm，得到公开数据Pm；

步骤106：把公开数据Pm安全的存储在服务器端。

如图2所示，认证过程如下：

步骤201：用户通过客户端登录系统时，向服务器端发出认证请求；

步骤202：服务器端产生一个随机数，添加时间戳作为认证挑战码数据Nm；

步骤203：认证挑战码数据Nm使用服务器端证书的私钥签名得签名值Sn，签名算法采用PKI非对称算法RSA；把签名值Sn、认证挑战码数据Nm发送给客户端；

步骤204：用户通过客户端的采集认证终端，再次采集用户的生物特征Um，对生物特征Um依次进行预处理、特征提取和编码，得到生物特征值W'm；

步骤205：把生物特征值W'm经过模糊提取或纠错码处理得到一段公开数据P'm和一段秘密数据R'm；

步骤206：客户端结合服务器端证书，使用PKI技术，验证认证挑战码数据Nm的签名值Sn；若签名值Sn验证通过，则表明服务端器可信；

步骤207：利用秘密数据R'm对认证挑战码数据Nm加密得到N''m，发送到服务器端；销毁秘密数据R'm；

步骤208：服务器端接收到N''m后，使用用户公开数据Pm解密加密后的认证挑战码数据N''m，解密后数据若等于认证挑战码数据Nm，即为解密成功，则表示认证成功，否则认证失败。

客户端与服务器端的通信信道使用SSL/TLS协议安全通讯。

实施例2：

本发明的一种安全的基于生物特征远程身份认证的方法,生物特征识别融合现代密码学，借助密码算法和协议实现安全身份认证；首次注册时，把生物特征作为秘密或者利用生物特征进行秘密生成，服务器不存储生物特征值，而是存储推演协商的密钥；身份认证时，根据服务端的密钥、生物特征生成的密钥做挑战验证，实现双向认证。

具体包括如下步骤：

如图3所示，注册过程如下：

步骤101：通过客户端的采集认证终端，采集用户的生物特征Um，对生物特征Um依次进行预处理、特征提取和编码，得到生物特征值Wm；采集认证终端为指纹仪；生物特征为指纹；

步骤102：把生物特征值Wm经过模糊提取或纠错码处理，并加入口令，得到一段公开数据Pm和一段秘密数据Rm；

步骤103：销毁秘密数据Rm；

步骤104：把公开数据Pm以及用户注册信息使用服务器端证书加密得到P'm，采用的加密算法为SM2算法，从客户端发送到服务器端，确保仅有服务器端才能收到该数据；

步骤105：利用服务器端私钥解密P'm，得到公开数据Pm；

步骤106：把公开数据Pm安全的存储在服务器端。

如图4所示，认证过程如下：

步骤201：用户通过客户端登录系统时，向服务器端发出认证请求；

步骤202：服务器端产生一个随机数，添加时间戳作为认证挑战码数据Nm；

步骤203：认证挑战码数据Nm使用服务器端证书的私钥签名得签名值Sn，签名算法采用SM2算法；把签名值Sn、认证挑战码数据Nm发送给客户端；

步骤204：用户通过客户端的采集认证终端，再次采集用户的生物特征Um，对生物特征Um依次进行预处理、特征提取和编码，得到生物特征值W'm；

步骤205：把生物特征值W'm经过模糊提取或纠错码处理，并加入口令，得到一段公开数据P'm和一段秘密数据R'm；

步骤206：客户端结合服务器端证书，使用PKI技术，验证认证挑战码数据Nm的签名值Sn；若签名值Sn验证通过，则表明服务端器可信；

步骤207：利用秘密数据R'm对认证挑战码数据Nm加密得到N''m，发送到服务器端；销毁秘密数据R'm；

步骤208：服务器端接收到N''m后，使用用户公开数据Pm解密加密后的认证挑战码数据N''m，解密后数据若等于认证挑战码数据Nm，即为解密成功，则表示认证成功，否则认证失败。

客户端与服务器端的通信信道使用SSL/TLS协议安全通讯。

通过上面具体实施方式，所述技术领域的技术人员可容易的实现本发明。但是应当理解，本发明并不限于上述的具体实施方式。在公开的实施方式的基础上，所述技术领域的技术人员可任意组合不同的技术特征，从而实现不同的技术方案。另外一些技术手段也可以做常规置换，比如采集认证终端也可以为摄像头或麦克风或指纹仪或静脉采集仪一种或者几种的结合；同时得到相对应的生物特征：人脸或声纹或指纹或静脉；还可将步骤102和步骤205进行优化，得到增强方案，除了加入口令，还可以引入其他增强安全性的因素。

除说明书所述的技术特征外，均为本专业技术人员的已知技术。