一种基于生物识别的网络接入认证方法与流程

本发明实施例涉及网络安全技术领域，尤其涉及一种基于生物识别的网络接入认证方法。

背景技术：

随着社会与经济的不断发展，网络成为了人们生活中必不可少的一部分。然而，随着网络的发展，一系列的安全问题也接踵而至，对当今网络环境产生了极大的安全威胁，如ddos攻击、ssl攻击、dns劫持等。尤其在安全性要求高的网络中，如金融系统或公安系统等网络中，网络攻击事件或信息泄露的发生，往往会带来十分严重的后果，对社会和经济造成巨大的损失。因此，在互联网中保证接入用户的身份真实性十分重要。

aaa协议作为一种网络中进行访问安全控制和身份验证的安全管理机制，提供了认证、授权和计费三种安全服务，被现有互联网广泛应用。portal认证技术是现如今应用最广泛的aaa协议之一。在判断一个接入用户是否合法的时候，现有aaa技术大多采用两种机制——用户名/密码机制和证书机制。

现有技术中，用户名/密码机制容易丢失、遗忘、转借和破解；证书机制是用户在一定的设备上安装并存储私钥或其它令牌，如果设备落入恶意用户的手中，恶意用户将有权访问或复制该证书。因此，在安全性要求高的网络中，这两种认证机制并不能有效地保证网络安全。

技术实现要素：

本发明实施例提供一种基于生物识别的网络接入认证方法，用以解决现有技术中用户名/密码机制容易丢失、遗忘、转借和破解；证书机制是用户在一定的设备上安装并存储私钥或其它令牌，如果设备落入恶意用户的手中，恶意用户将有权访问或复制该证书。因此，在安全性要求高的网络中，这两种认证机制并不能有效地保证网络安全的问题。

第一方面，本发明实施例提供一种基于生物识别的网络接入认证方法，包括：

向认证服务器发送认证请求报文，接收所述认证服务器返回的认证类型指令；

根据所述认证类型指令中的认证类型，获取所述认证类型对应的生物特征信息，并将所述生物特征信息发送给所述认证服务器，以供所述认证服务器对所述生物特征信息进行认证；

接收所述认证服务器发送的认证成功信息。

其中，所述认证类型对应的生物特征信息至少包括：人脸特征信息、指纹特征信息、掌纹特征信息、语音特征信息和虹膜特征信息中的一种或多种。

其中所述获取所述认证类型对应的生物特征信息的步骤具体包括：接收用户生物特征的原始信息，对所述生物特征的原始信息进行预处理，获得生物特征码；对所述生物特征码进行加密，获得加密后的生物特征码，并将所述加密后的生物特征码作为所述生物特征信息。

第二方面，本发明实施例还提供一种基于生物识别的网络接入认证方法，包括：

接收用户终端发送的请求报文，根据所述请求报文，向所述用户终端发送认证类型指令，以供所述用户终端根据所述认证类型指令中的认证类型，获取所述认证类型对应的生物特征信息；

接收生物特征信息，对所述生物特征信息进行认证，在认证通过后向所述用户终端发送认证成功信息。

其中，所述接收生物特征信息，对所述生物特征信息进行认证的步骤还包括：若认证失败，则向所述用户终端返回认证失败信息。

其中，所述向所述用户终端发送认证成功信息的步骤之后，还包括，对所述用户终端对应的ip地址打开网关出口，以供所述用户终端访通过所述网关访问网络。

本发明实施例还提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上述第一方面所提供的方法的步骤。

本发明实施例还提供一种用户终端，包括：

至少一个处理器；以及与所述处理器连接的至少一个存储器，其中：所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行如上述第一方面所提供的的方法。

本发明实施例还提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上述第二方面所提供的方法的步骤。

本发明实施例还提供一种认证服务器，包括：

至少一个处理器；以及与所述处理器连接的至少一个存储器，其中：所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行如上述第二方面所提供的的方法。

本发明实施例提供的基于生物识别的网络接入认证方法，在portal认证技术上扩展生物识别技术，使用生物识别的方法判断接入用户的合法性，从而使得网络中的用户接入更加安全可靠。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种基于生物识别的网络接入认证方法的流程图；

图2为本发明实施例提供的一种基于生物识别的网络接入认证方法的认证服务器流程示意图；

图3为本发明实施例提供的一种基于生物识别的网络接入认证方法的又一流程示意图；

图4为本发明实施例提供的一种用户终端的结构示意图；

图5为本发明实施例提供的一种认证服务器的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

参考图1，图1为本发明实施例提供的一种基于生物识别的网络接入认证方法的流程图，所提供的方法包括：

s1，向认证服务器发送认证请求报文，接收所述认证服务器返回的认证类型指令。

s2，根据所述认证类型指令中的认证类型，获取所述认证类型对应的生物特征信息，并将所述生物特征信息发送给所述认证服务器，以供所述认证服务器对所述生物特征信息进行认证。

具体的，在一次portal认证网络接入的过程中，首先认证终端发起portal认证，向认证服务器发送认证请求报文，认证服务器在接收到认证请求报文后，响应用户终端的请求报文，认证服务器返回携带认证方式type的消息。

用户终端在接收到携带认证方式type的消息后，根据消息中type所指代的认证类型，获得对应的生物特征信息，例如当type值为1的时候，表示需要人脸特征作为生物信息，type值为2的时候，表示需要指纹特征作为生物信息。

用户终端通过进行生物特征扫描，预处理并生成相应的生物特征码作为生物特征信息发送给认证服务器，以供认证服务器对用户终端进行验证，认证服务器将生物特征信息，与特征数据库内储存的信息进行比对，判断该生物特征信息是否合法，同时返回认证结果给用户终端，如果认证通过，则认证终端可以接入网络；否则拒绝认证终端接入网络。

本发明提供的方法，在portal认证技术上扩展生物识别技术，使用生物识别的方法判断接入用户的合法性，从而使得网络中的用户接入更加安全可靠。

在上述实施例的基础上，所述认证类型对应的生物特征信息至少包括：人脸特征信息、指纹特征信息、掌纹特征信息、语音特征信息和虹膜特征信息中的一种或多种。

具体的，认证终端需要方便扫描和获取目标生物学特征，包括但不限于下列识别技术的一种或其组合：人脸识别、指纹识别、掌纹识别、语音识别、虹膜识别等，认证服务器返回的认证类型指令中可以是单一的生物信息或多种生物特征信息的组合。

在上述实施例的基础上，所述获取所述认证类型对应的生物特征信息的步骤具体包括：

接收用户生物特征的原始信息，对所述生物特征的原始信息进行预处理，获得生物特征码；

对所述生物特征码进行加密，获得加密后的生物特征码，并将所述加密后的生物特征码作为所述生物特征信息。

具体的，认证终端包含生物特征扫描模块、生物特征预处理模块、通信模块和其它模块。其中生物特征扫描模块用来获取用户生物特征的原始信息，并经过预处理模块进行处理得到可以进行通信和识别的相关生物特征码，该特征码需满足不可伪造性和隐私性。

参考图2，图2为本发明实施例提供的一种基于生物识别的网络接入认证方法的认证服务器流程示意图，所提供的方法包括：

s21，接收用户终端发送的请求报文，根据所述请求报文，向所述用户终端发送认证类型指令，以供所述用户终端根据所述认证类型指令中的认证类型，获取所述认证类型对应的生物特征信息；

s22，接收生物特征信息，对所述生物特征信息进行认证，在认证通过后向所述用户终端发送认证成功信息。

具体的，在接收到用户终端发送的请求报文后，认证服务器回应该请求，认证服务器返回携带认证方式type的消息，其中type为0表示传统的用户名密码机制，1为人脸识别，2为指纹识别，以此类推，如果type>0，用户终端使用对应的生物识别方法采取相关特征码；否则，输入用户名密码；用户终端在接收到认证服务器回应的信息后，将ip地址、mac地址、用户名密码或生物特征码发送给认证服务器，认证服务器判断用户名密码或生物特征信息是否合法，若合法，则通知网关对该ip地址开通网关出口，随后认证服务器返回认证成功信息给用户终端，用户终端可以访问外部网络资源。

通过此方法，在portal认证技术上扩展生物识别技术，使用生物识别的方法判断接入用户的合法性，从而使得网络中的用户接入更加安全可靠。

在上述实施例的基础上，所述接收生物特征信息，对所述生物特征信息进行认证的步骤还包括：若认证失败，则向所述用户终端返回认证失败信息。

所述向所述用户终端发送认证成功信息的步骤之后，还包括，对所述用户终端对应的ip地址打开网关出口，以供所述用户终端访通过所述网关访问网络。

具体的，认证服务器中保存了所有合法用户的相关生物特征码信息，可以通过比对用户终端发送来的待识别的生物特征码并判断其是否合法，若不合法则直接返回认证失败信息。

参考图3，图3为本发明实施例提供的一种基于生物识别的网络接入认证方法的又一流程示意图，其中，整个认证系统分为认证终端和认证服务器两个部分。

认证终端包含生物特征扫描模块、生物特征预处理模块、通信模块和其它模块。其中生物特征扫描模块用来获取用户生物特征的原始信息，并经过预处理模块进行处理得到可以进行通信和识别的相关生物特征码，该特征码需满足不可伪造性和隐私性；通信模块用来与认证服务器通信；其它模块泛指认证终端其它所需要的功能模块。

认证服务器包含生物特征存储数据库、生物特征识别模块、通信模块和其它模块。生物特征存储数据库保存了所有合法用户的相关生物特征码信息；生物特征识别模块用来比对认证终端发送来的待识别的生物特征码并判断其是否合法；通信模块用来与认证终端通信；其它模块泛指认证服务器其它所需要的功能模块。

基于生物识别的网络接入认证方法的具体流程如下，认证终端发起portal认证，认证服务器回应该请求，认证终端进行生物特征扫描、预处理并生成相应的生物特征码；认证终端通过通信模块发送加密后的生物特征码到认证服务器；认证服务器经生物特征识别模块，与特征数据库进行比对，判断该特征码是否合法；认证服务器返回认证结果给认证终端；如果认证通过，则认证终端可以接入网络；否则拒绝认证终端接入网络。

图4示例了一种用户终端的结构示意图，如图4所示，该服务器可以包括：处理器(processor)410、存储器(memory)430和总线440，其中，处理器410，存储器430通过总线440完成相互间的通信。处理器410可以调用存储器430中的逻辑指令，以执行如下方法：向认证服务器发送认证请求报文，接收所述认证服务器返回的认证类型指令；根据所述认证类型指令中的认证类型，获取所述认证类型对应的生物特征信息，并将所述生物特征信息发送给所述认证服务器，以供所述认证服务器对所述生物特征信息进行认证；接收所述认证服务器发送的认证成功信息。

本实施例还提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的方法，例如包括：向认证服务器发送认证请求报文，接收所述认证服务器返回的认证类型指令；根据所述认证类型指令中的认证类型，获取所述认证类型对应的生物特征信息，并将所述生物特征信息发送给所述认证服务器，以供所述认证服务器对所述生物特征信息进行认证；接收所述认证服务器发送的认证成功信息。

本实施例提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行上述各方法实施例所提供的方法，例如包括：向认证服务器发送认证请求报文，接收所述认证服务器返回的认证类型指令；根据所述认证类型指令中的认证类型，获取所述认证类型对应的生物特征信息，并将所述生物特征信息发送给所述认证服务器，以供所述认证服务器对所述生物特征信息进行认证；接收所述认证服务器发送的认证成功信息。

图5示例了一种认证服务器的结构示意图，如图5所示，该服务器可以包括：处理器(processor)510、存储器(memory)530和总线540，其中，处理器510，存储器530通过总线540完成相互间的通信。处理器510可以调用存储器530中的逻辑指令，以执行如下方法：接收用户终端发送的请求报文，根据所述请求报文，向所述用户终端发送认证类型指令，以供所述用户终端根据所述认证类型指令中的认证类型，获取所述认证类型对应的生物特征信息；接收生物特征信息，对所述生物特征信息进行认证，在认证通过后向所述用户终端发送认证成功信息。

本实施例还提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的方法，例如包括：接收用户终端发送的请求报文，根据所述请求报文，向所述用户终端发送认证类型指令，以供所述用户终端根据所述认证类型指令中的认证类型，获取所述认证类型对应的生物特征信息；接收生物特征信息，对所述生物特征信息进行认证，在认证通过后向所述用户终端发送认证成功信息。

本实施例提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行上述各方法实施例所提供的方法，例如包括：接收用户终端发送的请求报文，根据所述请求报文，向所述用户终端发送认证类型指令，以供所述用户终端根据所述认证类型指令中的认证类型，获取所述认证类型对应的生物特征信息；接收生物特征信息，对所述生物特征信息进行认证，在认证通过后向所述用户终端发送认证成功信息。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。