基于虹膜信息的動(dòng)態(tài)口令生成方法
【專利說明】基于虹膜信息的動(dòng)態(tài)口令生成方法
[0001]本發(fā)明是申請?zhí)枮?014101662377、申請日為2014年4月23日、發(fā)明名稱為“基于虹膜信息的動(dòng)態(tài)口令生成方法”的專利的分案申請。
技術(shù)領(lǐng)域
[0002]本發(fā)明涉及電子鑒權(quán)領(lǐng)域，尤其涉及一種基于虹膜信息的動(dòng)態(tài)口令生成方法。
【背景技術(shù)】
[0003]動(dòng)態(tài)口令作為最安全的身份認(rèn)證技術(shù)之一，目前已經(jīng)被越來越多的行業(yè)所應(yīng)用。由于他使用便捷，且與平臺(tái)無關(guān)性，隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展，動(dòng)態(tài)口令技術(shù)已成為身份認(rèn)證技術(shù)的主流，被廣泛應(yīng)用于企業(yè)、網(wǎng)游、金融等領(lǐng)域，國內(nèi)外從事動(dòng)態(tài)口令相關(guān)研發(fā)和生產(chǎn)的企業(yè)也越來越多，其優(yōu)勢在于與各種業(yè)務(wù)系統(tǒng)快速無縫互操作，其完全自主研發(fā)的號(hào)令動(dòng)態(tài)口令身份認(rèn)證軟件系統(tǒng)穩(wěn)定、高效、支持多種認(rèn)證模式，其解決方案可以服務(wù)不同規(guī)模企業(yè)。
[0004]不同的應(yīng)用場合，對動(dòng)態(tài)口令的安全性能的要求不同，現(xiàn)有的動(dòng)態(tài)口令的使用存在時(shí)間同步、事件同步和挑戰(zhàn)應(yīng)答三種模式，可根據(jù)需要選擇不同的模式以適應(yīng)各種安全性能要求。而其中挑戰(zhàn)應(yīng)答模式的可靠性較高，常用于大額電子交易的應(yīng)用場合。對于挑戰(zhàn)應(yīng)答模式的動(dòng)態(tài)口令，由于在令牌和服務(wù)器之間除相同的算法外沒有需要進(jìn)行同步的條件，故能夠有效的解決令牌失步的問題，降低對應(yīng)用的影響，同時(shí)極大的增加了系統(tǒng)的可靠性，但這種動(dòng)態(tài)口令使用的缺點(diǎn)主要是在使用時(shí)，用戶需手工輸入挑戰(zhàn)值，對于操作人員，增加了復(fù)雜度。
[0005]因此，需要一種自動(dòng)產(chǎn)生挑戰(zhàn)值的挑戰(zhàn)型動(dòng)態(tài)口令生成方法，不需用戶手工輸入挑戰(zhàn)值，同時(shí)進(jìn)一步提高挑戰(zhàn)型動(dòng)態(tài)口令的安全性能，滿足可靠性要求極高的應(yīng)用場合的需求。

【發(fā)明內(nèi)容】

[0006]為了解決上述問題，本發(fā)明提供了一種新的挑戰(zhàn)型動(dòng)態(tài)口令生成方法，通過電子設(shè)備自動(dòng)提取用戶的虹膜信息，基于虹膜信息生成可驗(yàn)證的挑戰(zhàn)碼，并進(jìn)一步生成挑戰(zhàn)型動(dòng)態(tài)口令，一方面，減少人工操作步驟，提高設(shè)備的自動(dòng)化程度，另一方面，增加動(dòng)態(tài)口令生成系統(tǒng)的復(fù)雜度，降低動(dòng)態(tài)口令被破解的風(fēng)險(xiǎn)，方便了用戶的使用，有力地保障了用戶和商家的經(jīng)濟(jì)利益。
[0007]根據(jù)本發(fā)明的一方面，提供了一種基于虹膜信息的動(dòng)態(tài)口令生成方法，所述動(dòng)態(tài)口令生成方法包括:
[0008]步驟1:數(shù)字?jǐn)z像機(jī)對用戶的眼部進(jìn)行拍攝，以獲得用戶眼部的數(shù)字圖像；
[0009]步驟2:虹膜處理終端接收所述數(shù)字圖像，從所述數(shù)字圖像中提取虹膜圖像，進(jìn)行虹膜圖像調(diào)整，對調(diào)整后的虹膜圖像進(jìn)行基于Gabor函數(shù)集的二進(jìn)制編碼，生成256字節(jié)的二進(jìn)制編碼數(shù)據(jù)，并使用SM3加密算法對所述二進(jìn)制編碼數(shù)據(jù)基于時(shí)間因素加密，生成數(shù)字格式挑戰(zhàn)碼；
[0010]步驟3:令牌裝置接收所述數(shù)字格式挑戰(zhàn)碼，使用SM3算法基于時(shí)間因素對所述數(shù)字格式挑戰(zhàn)碼進(jìn)行加密換算，獲得動(dòng)態(tài)口令，并將所述動(dòng)態(tài)口令顯示在令牌裝置的顯示器的對話框中，以便于用戶錄入到與身份認(rèn)證服務(wù)器對應(yīng)的認(rèn)證錄入框中；
[0011]步驟4:身份認(rèn)證服務(wù)器接收用戶錄入的動(dòng)態(tài)口令，根據(jù)用戶錄入的動(dòng)態(tài)口令對用戶身份進(jìn)行認(rèn)證；
[0012]步驟5:身份認(rèn)證服務(wù)器將認(rèn)證結(jié)果返回給所述認(rèn)證錄入框；
[0013]在步驟4中，還包括以下步驟:身份認(rèn)證服務(wù)器使用所述SM3算法并基于時(shí)間因素對所述動(dòng)態(tài)口令解碼，以獲得所述數(shù)字格式挑戰(zhàn)碼，使用所述SM3算法基于時(shí)間因素對所述數(shù)字格式挑戰(zhàn)碼解碼，以獲得所述二進(jìn)制編碼數(shù)據(jù)，將所述二進(jìn)制編碼數(shù)據(jù)與預(yù)存的二進(jìn)制編碼數(shù)據(jù)進(jìn)行匹配，匹配成功則驗(yàn)證結(jié)果為用戶合法，匹配失敗則驗(yàn)證結(jié)果為用戶非法;
[0014]其中，所述數(shù)字?jǐn)z像機(jī)、所述虹膜處理終端和所述令牌裝置可集成于用戶智能終端中；所述預(yù)存的二進(jìn)制編碼數(shù)據(jù)為身份認(rèn)證服務(wù)器預(yù)先根據(jù)錄入的用戶虹膜信息基于Gabor函數(shù)集的二進(jìn)制編碼所獲得。
[0015]更具體地，所述用戶智能終端為手機(jī)、個(gè)人數(shù)字助理PDA或平板電腦。
[0016]更具體地，所述用戶智能終端具有顯示器，用于顯示所述數(shù)字格式挑戰(zhàn)碼或所述動(dòng)態(tài)口令。
[0017]更具體地，所述虹膜處理終端包括接收單元，用于接收所述數(shù)字圖像；提取單元，用于從所述數(shù)字圖像中提取虹膜圖像；調(diào)整單元，用于進(jìn)行虹膜圖像調(diào)整；編碼單元，用于對調(diào)整后的虹膜圖像進(jìn)行基于Gabor函數(shù)集的二進(jìn)制編碼，生成256字節(jié)的二進(jìn)制編碼數(shù)據(jù)；加密單元，用于使用SM3加密算法對所述二進(jìn)制編碼數(shù)據(jù)基于時(shí)間因素加密，生成數(shù)字格式挑戰(zhàn)碼。
[0018]更具體地，所述數(shù)字格式挑戰(zhàn)碼的長度在40位以內(nèi)。
[0019]更具體地，基于Gabor函數(shù)集的二進(jìn)制編碼包括，使用多個(gè)Gabor濾波器對調(diào)整后的虹膜圖像進(jìn)行分解，以從中提取二進(jìn)制編碼數(shù)據(jù)。
[0020]更具體地，所述多個(gè)Gabor濾波器都為二維濾波器。
[0021]更具體地，調(diào)整后的虹膜圖像的大小為256X256，基于Gabor函數(shù)集的二進(jìn)制編碼中，取Gabor函數(shù)集中的Gauss窗口大小為16X 16。
【附圖說明】
[0022]以下將結(jié)合附圖對本發(fā)明的實(shí)施方案進(jìn)行描述，其中:
[0023]圖1為根據(jù)本發(fā)明實(shí)施方案示出的基于虹膜信息的動(dòng)態(tài)口令生成方法的方法流程圖。
[0024]圖2為根據(jù)本發(fā)明實(shí)施方案示出的挑戰(zhàn)型動(dòng)態(tài)口令認(rèn)證系統(tǒng)的結(jié)構(gòu)方框圖。
[0025]圖3為根據(jù)本發(fā)明實(shí)施方案示出的虹膜處理終端的結(jié)構(gòu)方框圖。
【具體實(shí)施方式】
[0026]下面將參照附圖對本發(fā)明的基于虹膜信息的動(dòng)態(tài)口令生成方法的實(shí)施方案進(jìn)行詳細(xì)說明。
[0027]動(dòng)態(tài)口令，又稱為一次性口令OTP，即One-Time-Password，其特點(diǎn)是用戶根據(jù)服務(wù)商的硬件令牌的顯示數(shù)字來輸入動(dòng)態(tài)口令，而且每個(gè)登錄服務(wù)器的口令只使用一次，竊聽者無法用竊聽到的登錄口令來做下一次登錄，同時(shí)利用單向散列函數(shù)如SHA-1算法的不可逆性，防止竊聽者從竊聽到的登錄口令推出下次登錄口令。隨著電子商務(wù)和網(wǎng)絡(luò)游戲的盛行，網(wǎng)絡(luò)身份認(rèn)證技術(shù)越來越受到重視，人們需要可靠性提高的口令認(rèn)證方案，因此，當(dāng)前，各大銀行和大型電子商務(wù)網(wǎng)站逐漸拋棄了靜態(tài)口令的認(rèn)證方式，改為采用提供動(dòng)態(tài)口令令牌或動(dòng)態(tài)口令卡的設(shè)備來加強(qiáng)網(wǎng)絡(luò)身份認(rèn)證系統(tǒng)的安全性。
[0028]根據(jù)不確定因素的選擇方式，動(dòng)態(tài)口令可以分為時(shí)間同步、事件同步和挑戰(zhàn)應(yīng)答三種模式，這三種模式的可靠性不同，可根據(jù)應(yīng)用場合的需要選擇不同的模式以適應(yīng)各種安全性能要求。
[0029]生成時(shí)間同步、事件同步和挑戰(zhàn)應(yīng)答三種模式的動(dòng)態(tài)口令的令牌裝置分別具有特點(diǎn)如下:
[0030](I)基于時(shí)間同步的令牌裝置，一般每60秒產(chǎn)生一個(gè)新口令，但由于其同步的基礎(chǔ)是國際標(biāo)準(zhǔn)時(shí)間，則要求其服務(wù)器能夠十分精確的保持正確的時(shí)鐘，同時(shí)對其令牌的晶振頻率有嚴(yán)格的要求，從而降低系統(tǒng)失去同步的幾率；
[0031](2)基于事件同步的令牌裝置，其原理是通過某一特定的事件次序及相同的種子值作為輸入，在算法中運(yùn)算出一致的密碼，其運(yùn)算機(jī)理決定了其整個(gè)工作流程同時(shí)鐘無關(guān)，不受時(shí)鐘的影響，令牌中不存在時(shí)間脈沖晶振，但由于其算法的一致性，其口令是預(yù)先可知的，通過令牌，你可以預(yù)先知道今后的多個(gè)密碼，而且，基于事件同步的令牌同樣存在失去同步的風(fēng)險(xiǎn)；
[0032](3)基于挑戰(zhàn)應(yīng)答的令牌裝置，屬于異步令牌裝置，由于在令牌和服務(wù)器之間除相同的算法外沒有需要進(jìn)行同步的條件，故能夠有效的解決令牌失步的問題，降低對應(yīng)用的影響，同時(shí)極大的增加了系統(tǒng)的可靠性，異步口令使用的缺點(diǎn)主要是在使用時(shí)，用戶需多一個(gè)輸入挑戰(zhàn)值的步驟，對于操作人員，增加了復(fù)雜度。
[0033]因此，在應(yīng)用時(shí)，可根據(jù)用戶應(yīng)用的敏感程度和對安全的要求程度來選擇動(dòng)態(tài)口令的生成模式。對于可靠性要求極高的大金額電子交易場合來說，系統(tǒng)硬件開銷不是考慮的重點(diǎn)，重點(diǎn)在于電子交易的安全性能，這時(shí)，需要對有一定可靠性的基于挑戰(zhàn)應(yīng)答的動(dòng)態(tài)口令驗(yàn)證方案進(jìn)行改進(jìn)，在增加有限硬件的同時(shí)，進(jìn)一步改善驗(yàn)證系統(tǒng)的安全性能，同時(shí)減少人工操作步驟，提高系統(tǒng)的自動(dòng)化程度。
[0034]為了刪除挑戰(zhàn)應(yīng)答的動(dòng)態(tài)口令生成中，用戶需人工輸入挑戰(zhàn)值的步驟，本發(fā)明利用用戶的虹膜信息自動(dòng)生成挑戰(zhàn)值，通過較少的硬件開銷，減少操作人員的操作復(fù)雜度。
[0035]虹膜是位于黑色瞳孔和白色鞏膜之間的圓環(huán)狀部分，其包含有很多相互交錯(cuò)的斑點(diǎn)、細(xì)絲、冠狀、條紋、隱窩等的細(xì)節(jié)特征，這些特征決定了虹膜特征的唯一性，同時(shí)也決定了身份識(shí)別的唯一性。虹膜識(shí)別技術(shù)是人體生物識(shí)別技術(shù)的一種。虹膜的形成由遺傳基因決定，人體基因表達(dá)決定了虹膜的形態(tài)、生理、顏色和總的外觀。人發(fā)育到八個(gè)月左右，虹膜就基本上發(fā)育到了足夠尺寸，進(jìn)入了相對穩(wěn)定的時(shí)期，除非極少見的反常狀況、身體或精神上大的創(chuàng)傷才可能造成虹膜外觀上的改變外，虹膜形貌可以保持?jǐn)?shù)十年沒有多少變化。另一方面，虹膜是外部可見的，但同時(shí)又屬于內(nèi)部組織，位于角膜后面，要改變虹膜外觀，需要非常精細(xì)的外科手術(shù)，而且要冒著視力損傷的危險(xiǎn)。
[0036]虹膜的高度獨(dú)特性、穩(wěn)定性及不可更改的特點(diǎn)，是虹膜可用作身份鑒別的物質(zhì)基礎(chǔ)。在包括指紋在內(nèi)的所有生物識(shí)別技術(shù)中，虹膜識(shí)別是當(dāng)前應(yīng)用最為方便和精確