一種移動設(shè)備無密碼安全認(rèn)證方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及軟件、密碼學(xué)及通信安全領(lǐng)域�,尤其涉及密碼認(rèn)證技術(shù)領(lǐng)域。
【背景技術(shù)】
[0002]本發(fā)明涉及到公私鑰體系及生物特征識別等概念���。公私鑰體系是一種非對稱密碼技術(shù)�,有別于傳統(tǒng)的對稱密碼技術(shù)�����。公私鑰體系加密和解密過程使用不同的密碼算子����,即公鑰和私鑰對。該項(xiàng)技術(shù)廣泛應(yīng)用于互聯(lián)網(wǎng)加密�����、簽名等安全方面�。生物特征是如指紋、虹膜��、語音等人體或行為特征,其具有唯一性�,本發(fā)明采用指紋特征。本發(fā)明將公私鑰體系和指紋識別這兩種技術(shù)結(jié)合在一起����,系統(tǒng)地解決了移動互聯(lián)網(wǎng)時(shí)代的安全認(rèn)證難題。具體可以用于手機(jī)支付安全認(rèn)證���、手機(jī)應(yīng)用安全認(rèn)證��、企業(yè)USB指紋安全證書認(rèn)證�。
[0003]實(shí)際應(yīng)用中,HTC�、三星、華為等在推出的手機(jī)中給出了硬件級指紋認(rèn)證解決方案�。但這些方案側(cè)重于指紋識別,具有一定的局限性��。以華為2014年9月I日推出的Mate7指紋技術(shù)為例���。該技術(shù)是國內(nèi)推出的首個(gè)指紋支付的標(biāo)準(zhǔn)方案��。該技術(shù)將指紋特征存儲于CPU的保護(hù)區(qū)域����,解決了手機(jī)本地認(rèn)證的問題;但業(yè)務(wù)安全及通信安全認(rèn)證仍然由具體應(yīng)用來完成��,華為的方案中必須通過支付寶認(rèn)證體系來保障業(yè)務(wù)安全及通信安全��。
[0004]目前流行的指紋識別加應(yīng)用認(rèn)證的方式�,仍然需要密碼,并且部分廠商將指紋特征存儲于(遠(yuǎn)程)服務(wù)端��。這存在兩種問題�,一是隱私泄露問題,雖然指紋特征難以復(fù)原指紋圖像���,但指紋特征畢竟具有唯一性�,一旦泄露還是具有一定的安全隱患���;二是�����,指紋驗(yàn)證是本地驗(yàn)證(最多只能證明這手機(jī)是使用人的),難以保證業(yè)務(wù)及通信安全(例如認(rèn)證信息傳輸過程中信息被篡改)�。
【發(fā)明內(nèi)容】
[0005]本發(fā)明就是針對其他方案中重視指紋識別不重視業(yè)務(wù)及通信安全進(jìn)行糾正�����,提出完整的技術(shù)方案��。本發(fā)明是建立在指紋識別和公私鑰體系基礎(chǔ)之上并結(jié)合兩者優(yōu)點(diǎn)的技術(shù)及方法:指紋識別是基礎(chǔ)���,硬件實(shí)現(xiàn)的公私鑰模塊是核心,兩者在移動設(shè)備中綜合應(yīng)用是本發(fā)明核心特征��。本發(fā)明用來解決移動設(shè)備及應(yīng)用的安全認(rèn)證問題���。該項(xiàng)技術(shù)非常適合指紋手機(jī)安全認(rèn)證。具體技術(shù)方案如下:
[0006]一種移動設(shè)備無密碼安全認(rèn)證方法���,包括:
[0007]啟動指紋識別模塊的步驟:手機(jī)應(yīng)用客戶端接收用戶錄入的ID(例如用戶名)�����,并啟動指紋識別模塊�;指紋識別模塊讀取指紋并與指紋識別模塊中存儲的信息進(jìn)行比對驗(yàn)證���,若驗(yàn)證通過則啟動密鑰模塊��,若驗(yàn)證不通過則驗(yàn)證失敗�,將結(jié)果發(fā)送給客戶端。
[0008]調(diào)用密鑰模塊的步驟:密鑰模塊產(chǎn)生密鑰對和隨機(jī)數(shù)并對隨機(jī)數(shù)進(jìn)行簽名���,密鑰存儲于密鑰模塊專用區(qū)域�,將相關(guān)信息發(fā)送至應(yīng)用服務(wù)器����;
[0009]驗(yàn)證簽名值的步驟:應(yīng)用服務(wù)器驗(yàn)證簽名值,若驗(yàn)證通過則完成操作成功的步驟���,將結(jié)果發(fā)送給客戶端模塊��,若驗(yàn)證不通過則操作失敗���,將結(jié)果發(fā)送給客戶端模塊。
[0010]本發(fā)明還涉及一種移動設(shè)備無密碼安全認(rèn)證系統(tǒng)�,包括客戶端模塊、密鑰模塊和應(yīng)用服務(wù)器�,其中,
[0011]所述的客戶端模塊用于啟動密鑰模塊���;
[0012]所述的密鑰模塊用于在被客戶端模塊啟動后產(chǎn)生密鑰對和隨機(jī)數(shù)并對隨機(jī)數(shù)進(jìn)行簽名���,將相關(guān)信息發(fā)送至應(yīng)用服務(wù)器���;
[0013]所述的應(yīng)用服務(wù)器用于驗(yàn)證簽名值,若驗(yàn)證通過則完成操作成功的步驟���,將結(jié)果發(fā)送給客戶端模塊�����,若驗(yàn)證不通過則操作失敗�,將結(jié)果發(fā)送給客戶端模塊���。
[0014]本發(fā)明技術(shù)方案可分為三個(gè)部分���。第一部分指紋識別模塊����。該模塊基于現(xiàn)有的技術(shù)或方案,但本技術(shù)方案并不關(guān)注現(xiàn)有指紋識別模塊的具體實(shí)現(xiàn)�����。本方法要求該模塊:①必須是硬件實(shí)現(xiàn)指紋信息存儲在移動設(shè)備中;③外部無法讀取存儲的指紋信息�,只能讀取驗(yàn)證是否通過的狀態(tài)、指紋個(gè)數(shù)等與具體指紋特征無關(guān)的信息��。目前�����,大部分具有指紋識別模塊的手機(jī)均符合本部分要求�。第二部分是公私鑰產(chǎn)生模塊(即密鑰模塊)。該模塊是本方案核心�����。本方法要求該模塊:①必須是硬件實(shí)現(xiàn)且具有計(jì)算能力(將算法固化在芯片中��,留有存儲區(qū)����,具有計(jì)算能力);②能產(chǎn)生公私鑰對�����,私鑰存儲在模塊的保護(hù)區(qū)且不能被外部讀取��;公鑰可以被外部訪問���;③能夠產(chǎn)生隨機(jī)數(shù)��,對計(jì)算隨機(jī)數(shù)簽名�����,隨機(jī)數(shù)及簽名值能被外部讀?��。籃具有算法選擇的能力���,可選擇RSA��、DSA或ElGamal等算法���,密鑰長度為512位、1024位和2048位��,可視密鑰強(qiáng)度進(jìn)行選擇��。第三部分是指紋識別模塊���、公私鑰產(chǎn)生模塊和具體應(yīng)用之間的交互過程����。遵循本技術(shù)方案進(jìn)行設(shè)計(jì)能夠解決認(rèn)證��、業(yè)務(wù)和通信安全問題����。
[0015]本發(fā)明的有益效果如下:
[0016]本發(fā)明解決了移動設(shè)備的安全認(rèn)證問題,將指紋認(rèn)證(移動端驗(yàn)證)與公私鑰認(rèn)證(業(yè)務(wù)認(rèn)證��、通信安全)相結(jié)合���,保障了整個(gè)流程的安全。
[0017]因本發(fā)明的核心模塊是公私鑰產(chǎn)生模塊���,且是硬件實(shí)現(xiàn)����。這使得各種不同的應(yīng)用可以實(shí)現(xiàn)“密碼共享”-共用私鑰分享公鑰���。
【附圖說明】
[0018]圖1為本發(fā)明實(shí)施例一安全認(rèn)證模塊及注冊流程圖��;
[0019]圖2為本發(fā)明實(shí)施例二安全認(rèn)證模塊及登錄流程圖�����。
【具體實(shí)施方式】
[0020]本發(fā)明的具體方案具體在各種不同的環(huán)境中的應(yīng)用���。有幾種典型應(yīng)用場景��。1.移動應(yīng)用認(rèn)證����。
[0021]用于用戶注冊����、登錄、修改密鑰等場景�。
[0022]2.手機(jī)支付安全。
[0023]是I的擴(kuò)展��。用于手機(jī)支付���,保障移動端安全認(rèn)證和通信過程安全��,保障資金安全�。
[0024]3.隱私保護(hù)�。
[0025]因使用的是公私鑰體系及隨機(jī)數(shù)密碼,且無需用戶輸入��,從根本上解決了傳統(tǒng)密碼的安全隱患�。使得暴力破解完全不可行。
[0026]4.企業(yè)內(nèi)部安全�����。
[0027]公私鑰指紋U盤證書���,不僅無需輸入密碼�,而且從硬件層上保證了傳輸安全�。5.其他不適合密碼且需后臺認(rèn)證的場景。
[0028]下面��,結(jié)合附圖和實(shí)施例就具體應(yīng)用分4種場景�����,說明本方案實(shí)現(xiàn)認(rèn)證的詳細(xì)過程�����。假定用戶已采集完指紋。
[0029]實(shí)施例一:用戶注冊時(shí)��,各模塊交互序列如圖1
[0030]a.用戶錄入代表自身的用戶ID信息�,如用戶名,如圖中I ;b.調(diào)用指紋模塊(圖中1.1)進(jìn)行指紋驗(yàn)證��,也即讀取用戶指紋與指紋模塊中存儲的指紋進(jìn)行比對�����;如驗(yàn)證通過(圖中1.1.1)轉(zhuǎn)C��,驗(yàn)證不通過(圖中1.1.2)��,返回驗(yàn)證失敗(圖中1.1.3) ;c.調(diào)用密鑰模塊(圖中2)���,產(chǎn)生密鑰對(圖中2.1)和隨機(jī)數(shù)(圖中2.2)�����,并對隨機(jī)數(shù)進(jìn)行簽名(圖中2.3)�,密鑰對存儲于密鑰模塊專用區(qū)域�;d.將用戶ID信息�、隨機(jī)數(shù)�、簽名值、公鑰信息等主要信息發(fā)送至應(yīng)用服務(wù)器(圖中3);應(yīng)用服務(wù)器驗(yàn)證簽名值(圖中3.1);如通過�����,存儲用戶ID信息�����、公鑰信息(圖中3.2)�����,完成注冊(圖中3.3);如果驗(yàn)證不通過(圖中3.4)注冊失敗(圖中3.5)���。
[0031]上述步驟中,需要用戶參與的是過程a;其他過程由按本方案設(shè)計(jì)的系統(tǒng)自動處理�����。
[0032]實(shí)施例二:用戶登錄認(rèn)證時(shí)�����,各模塊交互序列如圖2
[0033]a.用戶錄入代表自身的用戶ID信息;b.調(diào)用指紋模塊(圖中1.1)進(jìn)行指紋驗(yàn)證���,如驗(yàn)證通過(圖中1.1.1)轉(zhuǎn)C����,驗(yàn)證不通過(圖中1.1.2)���,返回驗(yàn)證失敗(圖中1.1.3);c.調(diào)用密鑰模塊(圖中2)��,產(chǎn)生隨機(jī)數(shù)(圖中2.1)����,并對隨機(jī)數(shù)進(jìn)行簽名(圖中2.2) ;d.將用戶ID信息����、隨機(jī)數(shù)、簽名值等(此處不含公鑰信息)主要信息發(fā)送至應(yīng)用服務(wù)器(圖中3);應(yīng)用服務(wù)器驗(yàn)證簽名值(圖中3.1);如通過驗(yàn)證(3.2)���,登錄成功(3.3);如果驗(yàn)證不通過
[0034](3.4)登錄失敗(3.5)�����。
[0035]實(shí)施例三:用戶修改密鑰對
[0036]修改密鑰對�,類似于修改“密碼”。過程類似于用戶注冊過程(實(shí)施例一)�。先要通過本地指紋認(rèn)證,然后重新產(chǎn)生密鑰對�����、隨機(jī)數(shù)和簽名值�����,服務(wù)器進(jìn)行驗(yàn)證�����、存儲(更新已存在的記錄)等相關(guān)處理�。
[0037]實(shí)施例四:設(shè)備丟失時(shí)的處理
[0038]當(dāng)用戶設(shè)備遺失時(shí)�����,此時(shí)在新設(shè)備上難以完成賬號與指紋的關(guān)聯(lián)�。此時(shí),通過傳統(tǒng)手段�,比如手機(jī)驗(yàn)證碼、郵件驗(yàn)證碼、密碼提示的方式���,先完成賬戶找回的功能���;緊接著,重新產(chǎn)生新密鑰對�,過程同實(shí)施例三。
【主權(quán)項(xiàng)】
1.一種移動設(shè)備無密碼安全認(rèn)證方法��,其特征在于���,包括: 啟動密鑰模塊的步驟:客戶端接收用戶ID信息并啟動指紋識別模塊����,指紋識別模塊讀取用戶指紋并與指紋模塊中存儲的指紋信息進(jìn)行比對�����,若驗(yàn)證通過則啟動密鑰模塊�����,若驗(yàn)證不通過則驗(yàn)證失敗����,將結(jié)果發(fā)送給客戶端; 調(diào)用密鑰模塊的步驟:密鑰模塊產(chǎn)生密鑰對和隨機(jī)數(shù)并對隨機(jī)數(shù)進(jìn)行簽名���,將相關(guān)信息發(fā)送至應(yīng)用服務(wù)器����; 驗(yàn)證簽名值的步驟:應(yīng)用服務(wù)器驗(yàn)證簽名值���,若驗(yàn)證通過則完成操作成功的步驟���,將結(jié)果發(fā)送給客戶端模塊,若驗(yàn)證不通過則操作失敗���,將結(jié)果發(fā)送給客戶端模塊。
2.根據(jù)權(quán)利要求1所述的一種移動設(shè)備無密碼安全認(rèn)證方法��,其特征在于�����,所述的密鑰模塊是硬件實(shí)現(xiàn)且設(shè)有專用存儲區(qū)域���,用于存儲公鑰�、私鑰,私鑰不能被外部讀取�。
3.根據(jù)權(quán)利要求1所述的一種移動設(shè)備無密碼安全認(rèn)證方法,其特征在于���,所述的密鑰模塊具有算法選擇�、密鑰長度選擇和計(jì)算能力�����。
4.根據(jù)權(quán)利要求1所述的一種移動設(shè)備無密碼安全認(rèn)證方法����,其特征在于,所述調(diào)用密鑰模塊的步驟中的相關(guān)信息包括用戶ID���、隨機(jī)數(shù)��、簽名值�、公鑰����。
5.根據(jù)權(quán)利要求1所述的一種移動設(shè)備無密碼安全認(rèn)證方法�����,其特征在于��,所述的驗(yàn)證簽名值的步驟中操作成功的步驟包括應(yīng)用服務(wù)器存儲用戶ID��、公鑰信息并產(chǎn)生認(rèn)證成功的信息��。
6.根據(jù)權(quán)利要求1所述的一種移動設(shè)備無密碼安全認(rèn)證方法�,其特征在于��,所述調(diào)用密鑰模塊的步驟中的相關(guān)信息包括用戶ID信息�����、隨機(jī)數(shù)�、簽名值。
7.根據(jù)權(quán)利要求1���,其特征在于,所述的驗(yàn)證簽名值的步驟中操作成功的步驟包括應(yīng)用服務(wù)器生成認(rèn)證成功的信息�����。
8.一種移動設(shè)備無密碼安全認(rèn)證系統(tǒng),其特征在于���,包括客戶端模塊���、密鑰模塊和應(yīng)用服務(wù)器��,其中�����, 所述的客戶端模塊用于啟動密鑰模塊�����; 所述的密鑰模塊用于在被客戶端模塊啟動后產(chǎn)生密鑰對和隨機(jī)數(shù)并對隨機(jī)數(shù)進(jìn)行簽名�,將相關(guān)信息發(fā)送至應(yīng)用服務(wù)器; 所述的應(yīng)用服務(wù)器用于驗(yàn)證簽名值�����,若驗(yàn)證通過則完成操作成功的步驟�,將結(jié)果發(fā)送給客戶端模塊�,若驗(yàn)證不通過則操作失敗�����,將結(jié)果發(fā)送給客戶端模塊�����。
9.根據(jù)權(quán)利要求6所述的一種移動設(shè)備無密碼安全認(rèn)證系統(tǒng)�����,其特征在于����,所述的客戶端模塊包括客戶端和指紋識別模塊�����,所述的客戶端用于接收用戶ID信息并啟動指紋識別模塊�;所述的指紋識別模塊用于讀取用戶指紋與指紋模塊中存儲的信息進(jìn)行比對驗(yàn)證,若驗(yàn)證通過則啟動密鑰模塊��,若驗(yàn)證不通過則驗(yàn)證失敗����,將結(jié)果發(fā)送給客戶端。
【專利摘要】本發(fā)明涉及移動設(shè)備無密碼安全認(rèn)證方法及系統(tǒng)����,其方法包括:啟動密鑰模塊的步驟:啟動密鑰模塊的條件——指紋驗(yàn)證通過;調(diào)用密鑰模塊的步驟:密鑰模塊產(chǎn)生密鑰對和隨機(jī)數(shù)并對隨機(jī)數(shù)進(jìn)行簽名����,將相關(guān)信息發(fā)送至應(yīng)用服務(wù)器;以及驗(yàn)證簽名值的步驟:應(yīng)用服務(wù)器驗(yàn)證簽名值���,若驗(yàn)證通過則完成操作成功的步驟�,將結(jié)果發(fā)送給客戶端模塊����,若驗(yàn)證不通過則操作失敗�����,將結(jié)果發(fā)送給客戶端模塊�����。本發(fā)明解決了移動設(shè)備的安全認(rèn)證的問題�����。
【IPC分類】H04L9-32, H04L29-06
【公開號】CN104660412
【申請?zhí)枴緾N201410566121
【發(fā)明人】張先利
【申請人】南京澤本信息技術(shù)有限公司
【公開日】2015年5月27日
【申請日】2014年10月22日