專利名稱:基于指紋識別技術(shù)的網(wǎng)絡(luò)身份認(rèn)證方法
技術(shù)領(lǐng)域:
本實用新型屬于利用指紋識別技術(shù)進行網(wǎng)絡(luò)身份認(rèn)證的全新領(lǐng)域���,本實用新型涉及指紋網(wǎng)絡(luò)認(rèn)證的方法和流程等��。
背景領(lǐng)域目前的身份認(rèn)證以PKI數(shù)字證書為主要介質(zhì)��,證書和私鑰用口令進行保護�����,但用戶對口令的保護是非常不嚴(yán)密的�����,最大的問題是容易被竊取��,木馬程序可以輕松的截取用戶密碼���。由于密碼被盜等原因遭受損失的例子比比皆是。根據(jù)調(diào)查��,每月更改密碼的網(wǎng)民只占總數(shù)的14.4%����。所以說PKI體系在身份認(rèn)證方面,如果證書保管不善���,則仍然存在身份假冒的可能性�。而指紋可以唯一的鑒別一個人的身份�。通過應(yīng)用指紋識別技術(shù)可以實現(xiàn)真正的個人身份識別,安全強度大為提高�。
傳統(tǒng)的數(shù)字證書通常需要例如USBKEY或IC卡等載體,這也就限制了使用人必須隨身攜帶��,而且只能個人使用��,不僅不方便也容易發(fā)生丟失��、泄密等保管問題本發(fā)明指紋網(wǎng)絡(luò)身份認(rèn)證方法采用了活體指紋識別技術(shù)和基于密鑰的網(wǎng)絡(luò)認(rèn)證管理技術(shù)�,從而實現(xiàn)了精確的個人身份識別功能,不僅解決了傳統(tǒng)的密碼管理的安全性缺陷���,同時解決了傳統(tǒng)的PKI數(shù)字證書系統(tǒng)的不可互換性缺陷和保管缺陷��。
發(fā)明內(nèi)容
1系統(tǒng)的物理構(gòu)架指紋終端通過USB口連接到用戶終端計算機�,用戶通過internet與應(yīng)用服務(wù)器(指用戶系統(tǒng)的網(wǎng)路服務(wù)器�����,以下相同)相聯(lián),指紋服務(wù)器(指由點佰趣公司設(shè)計實現(xiàn)的指紋識別服務(wù)器����,以下相同)和應(yīng)用服務(wù)器之間采用VPN專線連接。
2認(rèn)證內(nèi)容共分為五個認(rèn)證步驟��,其基本流程見圖2�,內(nèi)容如下第一階段建立安全能力,初始化C/S之間的邏輯連接�,協(xié)商安全參數(shù),如選擇雙方均支持的密碼算法等��。如圖1���。
Client_hello消息包括如下參數(shù)●Version客戶機能實現(xiàn)的最高SSL版本�。
●Random客戶機產(chǎn)生的隨機結(jié)構(gòu)�����,包括32位的時間戳和28字節(jié)隨機數(shù)����。
●Session ID非零值表示客戶機需要更新已存在的連接參數(shù),或為已經(jīng)的會話生成新的連接,零值表示客戶機為新的會話生成新的連接�。
●CipherSuite客戶機支持的加密算法的列表�����,按優(yōu)先選擇的降序排列�。
●Compression Method客戶機支持的壓縮模式的列表。
Server_hello消息包括如下參數(shù)●Version所按客戶機能實現(xiàn)的較低版本和服務(wù)器支持的較高版本選擇的結(jié)果���。
●Random服務(wù)器產(chǎn)生的隨機結(jié)構(gòu)�����,與客戶機的Random無關(guān)����。
●Session ID如客戶機的Session ID取非零值����,則服務(wù)器取相同的值,如果客戶機的Session ID取零值���,服務(wù)器的Session ID字段包含一個為新會話所需的值�。
●CipherSuite從客戶機支持的加密算法的列表中優(yōu)先選擇的音單個密碼組。
●Compression Method從客戶機支持的壓縮模式的列表中選擇的壓縮模式����。
第二階段服務(wù)器身份驗證和密鑰交換,驗證網(wǎng)絡(luò)游戲服務(wù)的身份�,并啟動密鑰交換流程。如圖2���。
●服務(wù)器以發(fā)送證書開始本階段�����,消息中包含一個或一系列X.509證書����。
●Server_key_exchange用于啟動密鑰交換��。
●Fingerprint_requset該消息包括兩個參數(shù)指紋加密算法類型和服務(wù)器ID����。指紋加密算法類型指定加密用戶指紋的密碼算法和立佰服務(wù)器的公鑰;服務(wù)器ID����,指定立佰服務(wù)器的名稱或地址(因為立佰服務(wù)器可能不止一個)��。
●Server_hello_done該消息是必須的�����,該消息由服務(wù)器發(fā)出��,確定服務(wù)器呼叫和相關(guān)消息的結(jié)束。發(fā)出該消息后服務(wù)器將等待客戶的響應(yīng)��,該消息沒有任何參數(shù)���。
第三階段客戶機身份驗證和密鑰交換���,如圖3。
·在收到Server_hello_done消息后����,客戶機必須驗證服務(wù)器是否提供了正確的證書,并判斷Server_hello的參數(shù)是否可接收��,如果這些都滿足�����,客戶機將向服務(wù)器發(fā)送消息,開始客戶機驗證和密鑰交換階段�����。
·如果客戶端有指紋采集器����,客戶機發(fā)送fingerprint消息開始本階段,如客戶機沒有證書�,則發(fā)送no_fingerprint警告。
·接下來發(fā)送Client_key_exchange消息�,消息內(nèi)容取決于密鑰交換的類型。
·最后����,為了讓服務(wù)器驗證客戶機的身份,客戶機發(fā)送certifacate_verify消息�����,消息為客戶機對獲得的服務(wù)器方信息的MAC�����,并用自己的私鑰加密���。
第四階段建立安全通道��,如圖4��。
·該階段完成安全連接的建立�����,客戶機發(fā)送change_cipher_spec消息���,將選擇的對稱加密密鑰和加密算法發(fā)送給網(wǎng)絡(luò)游戲服務(wù)器。
·服務(wù)器確認(rèn)密鑰和加密算法���,將當(dāng)前密碼規(guī)格傳送到CipherSpec����,并發(fā)送其結(jié)束消息���。
第五階段認(rèn)證客戶端將采集的用戶指紋用指紋服務(wù)器的公鑰加密后��,連同指紋數(shù)據(jù)的散列值一起用第四階段交換的對稱密鑰加密上傳給應(yīng)用服務(wù)器�,應(yīng)用服務(wù)器解密該數(shù)據(jù)���,并用應(yīng)用服務(wù)器與指紋服務(wù)器之間的密鑰重新加密��,傳給指紋服務(wù)器�����。指紋服務(wù)器將認(rèn)證結(jié)果返回給應(yīng)用服務(wù)器���。
附圖����,包含在內(nèi)用于提供本發(fā)明的進一步理解并包括在本申請內(nèi)以及構(gòu)成本申請的一部分�,說明本發(fā)明的具體實施并與說明書一起用于解釋本發(fā)明的原理,圖中圖1流程圖1圖2流程圖2圖3流程圖3圖4流程圖4圖5系統(tǒng)物理結(jié)構(gòu)6認(rèn)證流程圖具體實施方式
關(guān)鍵流程的實施如下1.注冊流程a)用戶應(yīng)用服務(wù)器的注冊頁面���,并填寫用戶名����,密碼��;b)應(yīng)用服務(wù)器接受用戶數(shù)據(jù)�����,并拆包出用戶名和密碼,驗證正確后�����,通過SSL協(xié)議建立與用戶之間的安全通道��,然后采集用戶指紋�����,并將指紋數(shù)據(jù)通過SSL安全通道上傳到應(yīng)用服務(wù)器��。注意需要采集三次指紋�����,用于建立用戶指紋模板��;c)應(yīng)用服務(wù)器解密指紋數(shù)據(jù)包��,并重新用應(yīng)用游戲服務(wù)器與指紋服務(wù)器之間共享的密鑰加密���,將用戶名和指紋數(shù)據(jù)打包后發(fā)給指紋服務(wù)器;d)指紋服務(wù)器確認(rèn)該用戶為新用戶后進行指紋有效性驗證���,完成用戶ID與指紋模板的綁定��。
e)指紋服務(wù)器將綁定結(jié)果返回應(yīng)用服務(wù)器��;f)應(yīng)用服務(wù)器統(tǒng)治用戶注冊結(jié)果����。
2.認(rèn)證流程a)應(yīng)用服務(wù)器根據(jù)用戶操作發(fā)出認(rèn)證要求;b)用戶輸入用戶名���,并按照系統(tǒng)提示輸入一次指紋��,用戶計算機將數(shù)據(jù)通過SSL安全通道傳輸給應(yīng)用服務(wù)器�;c)應(yīng)用服務(wù)器將數(shù)據(jù)通過VPN轉(zhuǎn)發(fā)給指紋服務(wù)器��;d)指紋服務(wù)器認(rèn)證用戶的身份�,并將認(rèn)證結(jié)果發(fā)送給應(yīng)用服務(wù)器;e)應(yīng)用服務(wù)器向用戶返回認(rèn)證結(jié)果或進行相關(guān)業(yè)務(wù)處理��。
3.注銷流程a)用戶應(yīng)用服務(wù)器的注銷界面����,輸入用戶名,并按照系統(tǒng)提示輸入一次指紋;b)應(yīng)用服務(wù)器接受用戶數(shù)據(jù)并轉(zhuǎn)發(fā)給立佰趣指紋服務(wù)器����;c)指紋服務(wù)器進行指紋有效性驗證,驗證通過時在數(shù)據(jù)庫中注銷該用戶��;d)指紋服務(wù)器將注銷結(jié)果返回應(yīng)用服務(wù)器�����,應(yīng)用服務(wù)器在數(shù)據(jù)庫中完成該用戶的指紋認(rèn)證功能的注銷��;e)應(yīng)用服務(wù)器將注銷結(jié)果返回給用戶��。
權(quán)利要求
1.基于指紋識別技術(shù)的網(wǎng)絡(luò)身份認(rèn)證的設(shè)計思想�,即將指紋身份識別技術(shù)應(yīng)用于網(wǎng)絡(luò)身份認(rèn)證技術(shù)思想。
2.如權(quán)利1所述的指紋身份認(rèn)證的基本流程�����,包括用戶注冊流程�;用戶銷戶流程��;用戶認(rèn)證流程�����;用戶查詢流程。
3.基于指紋識別技術(shù)的網(wǎng)絡(luò)身份認(rèn)證的基本方法�,包括安全通道的建立方法;指紋數(shù)據(jù)的加密和解密方法���。
全文摘要
本發(fā)明是一種全新的個人身份認(rèn)證方法���,它利用指紋識別統(tǒng)計技術(shù)、網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)運營平臺構(gòu)建了一個個人身份識別平臺����,可以實現(xiàn)不同于現(xiàn)有的PKI數(shù)字證書認(rèn)證系統(tǒng)的更加安全的個人身份識別系統(tǒng)。本實用新型的核心為基于指紋識別技術(shù)的個人身份認(rèn)證的方法和實現(xiàn)流程�����。摘要附圖詳細反映了這一認(rèn)證技術(shù)的基本方法和流程����。
文檔編號H04L9/32GK1960250SQ20061002949
公開日2007年5月9日 申請日期2006年7月28日 優(yōu)先權(quán)日2006年7月28日
發(fā)明者陳曉峰 申請人:陳曉峰