名是否与生成的随机数和存储的用户名一致。
[0077]身份验证密钥为进行验证时,认证端的服务器以智能卡的设备序列号作为分散因子而生成的预计与身份认证密钥相同的密钥。
[0078]若解密后的随机数和用户名与生产的随机数和存储的用户名一致,则说明设备序列号、随机数、用户名均准确。此时,可以进行后续验证或操作。在本实施例中,所述身份验证模块180,还用于在进行身份验证之前接收所述一致性判断模块160的判断结果,若所述判断结果为所述一致性判断模块160判断解密后的随机数和用户名与生成的随机数和存储的用户名一致,则进行所述身份验证。
[0079]若解密后的随机数和用户名与生产的随机数和存储的用户名不一致,则说明设备序列号、随机数、用户名至少有一个存在问题。此时,显示验证失败,返回特征接收发送模块140或随机数生成模块150。
[0080]如此,通过挑战应答模式进行随机数、用户名及密钥的验证,可以进一步增强访问控制的安全性。身份验证密钥与身份认证密钥生成的分散因子相同,两者理论上是相同的密钥,因此上述挑战应答模式具体为基于对称密钥的挑战应答模式。基于对称密钥的挑战应答模式不需要在认证端额外增加公钥基础设施,其结构简单,同时验证过程简单。
[0081]请继续参阅图4,在其中一个实施例中,还包括:
[0082]初次特征接收模块130,用于接收人体的生物识别特征,并存储至所述智能卡中。
[0083]智能卡由用户自己携带,如此,可以保证生物识别特征的安全性。
[0084]请继续参阅图4,在其中一个实施例中,还包括:
[0085]初始密钥验证模块110,用于接收所述智能卡的初始秘钥,并对所述初始密钥进行验证。
[0086]初始密钥为智能卡在进行个性化设置之前使用的密钥,可用于验证智能卡的真伪。若验证通过,则执行个性化设置模块120 ;否则,继续执行初始密钥验证模块110。
[0087]个性化设置模块120,用于根据所述智能卡的设备序列号生成身份认证密钥,并发送所述身份认证密钥至所述智能卡。
[0088]对智能卡进行个性化设置之后,初始密钥失效,后续操作采用个性化设置的身份认证密钥进行加密。如此,对智能卡进行个性化设置可以增大不同智能卡的区别。
[0089]以上实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出多个变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
【主权项】
1.一种基于生物识别特征的访问控制方法,其特征在于,包括步骤: 接收人体的生物识别特征,并将所述人体的生物识别特征发送至智能卡进行生物特征验证; 接收所述智能卡发送的生物特征验证结果; 若所述生物特征验证结果为通过,授予相应的访问控制权限。2.根据权利要求1所述的基于生物识别特征的访问控制方法,其特征在于,所述若所述生物特征验证结果为通过,授予相应的访问控制权限的步骤中还包括身份验证的步骤,所述身份验证的步骤包括: 接收录入的用户名和密码; 若所述生物特征验证结果为通过,根据接收的所述用户名和所述密码,及所述智能卡的设备序列号进行身份验证; 若所述身份验证的步骤的结果为通过,授予相应的访问控制权限。3.根据权利要求2所述的基于生物识别特征的访问控制方法,其特征在于,所述接收智能卡发送的生物特征验证结果的步骤之后,所述身份验证的步骤之前还包括步骤: 若所述生物特征验证结果为通过,生成随机数,发送所述随机数至所述智能卡,并接收所述智能卡采用身份认证密钥对所述随机数和用户名进行加密后生成的加密序列; 使用所述身份认证密钥对所述加密序列进行解密,并判断解密后的随机数和用户名是否与生成的随机数和存储的用户名一致; 若一致,进行所述身份验证的步骤。4.根据权利要求1所述的基于生物识别特征的访问控制方法,其特征在于,所述接收人体的生物识别特征,并发送至智能卡进行生物特征验证的步骤之前,还包括步骤: 接收人体的生物识别特征,并存储至所述智能卡中。5.根据权利要求4所述的基于生物识别特征的访问控制方法,其特征在于,所述接收人体的生物识别特征,并存储至所述智能卡中的步骤之前,还包括步骤: 接收所述智能卡的初始密钥,并对所述初始秘钥进行验证; 若验证通过,根据所述智能卡的设备序列号生成身份认证密钥,并发送所述身份认证密钥至所述智能卡。6.一种基于生物识别特征的访问控制系统,其特征在于,包括: 特征接收发送模块,用于接收人体的生物识别特征,并将所述人体的生物识别特征发送至智能卡进行生物特征验证; 特征结果接收模块,用于接收所述智能卡发送的生物特征验证结果; 访问权限授予模块,用于若所述特征结果接收模块接收的所述生物特征验证结果为通过,授予相应的访问控制权限。7.根据权利要求6所述的基于生物识别特征的访问控制系统,其特征在于,还包括用户名密码接收模块和身份验证模块; 所述用户名密码接收模块,用于接收录入的用户名和密码; 所述身份验证模块,用于若所述特征结果接收模块接收的所述生物特征验证结果为通过,根据接收的所述用户名和所述密码,及所述智能卡的设备序列号进行身份验证; 所述访问权限授予模块,还用于在授予相应的访问控制权限之前接收所述身份验证模块的所述身份验证的结果,若所述身份验证模块进行的所述身份验证为通过,授予相应的访问控制权限。8.根据权利要求7所述的基于生物识别特征的访问控制系统,其特征在于,还包括随机数生成模块和一致性判断模块; 所述随机数生成模块,用于若所述特征结果接收模块接收的所述生物特征验证结果为通过,生成随机数,发送所述随机数至所述智能卡,并接收所述智能卡采用身份认证密钥对所述随机数和用户名进行加密后生成的加密序列; 所述一致性判断模块,用于使用所述身份认证密钥对所述加密序列进行解密,并判断解密后的随机数和用户名是否与生成的随机数和存储的用户名一致; 所述身份验证模块,还用于在进行身份验证之前接收所述一致性判断模块的判断结果,若所述判断结果为所述一致性判断模块判断解密后的随机数和用户名与生成的随机数和存储的用户名一致,则进行所述身份验证。9.根据权利要求6所述的基于生物识别特征的访问控制系统,其特征在于,还包括: 初次特征接收模块,用于接收人体的生物识别特征,并存储至所述智能卡中。10.根据权利要求9所述的基于生物识别特征的访问控制系统,其特征在于,还包括: 初始密钥验证模块,用于接收所述智能卡的初始秘钥,并对所述初始密钥进行验证; 个性化设置模块,用于若所述初始密钥验证模块验证通过,根据所述智能卡的设备序列号生成身份认证密钥,并发送所述身份认证密钥至所述智能卡。
【专利摘要】一种基于生物识别特征的访问控制方法及系统,接收人体的生物识别特征,并将所述人体的生物识别特征发送至智能卡进行生物特征验证;接收智能卡发送的生物特征验证结果;若生物特征验证为通过,授予相应的访问控制权限。由于接收的生物识别特征发送至智能卡进行生物特征验证,因此,不需要在认证端保存或系统网络中传输生物识别特征,可以在一定程度上保证用户的生物识别特征的安全性。
【IPC分类】G06F21/34, G06F21/32
【公开号】CN105243305
【申请号】CN201510563102
【发明人】杨祎巍, 赖宇阳, 赵云, 林伟斌, 张明明
【申请人】中国南方电网有限责任公司电网技术研究中心, 南方电网科学研究院有限责任公司
【公开日】2016年1月13日
【申请日】2015年9月7日