[发明专利]一种动态口令与多生物特征结合的身份认证方法

说明书

技术领域

本发明涉及一种网络安全领域中身份认证的方法，特别是基于动态口令和多生物特征识别相结合的身份认证方法。 

背景技术

在复杂的网络环境中，用户的身份认证是首要问题。身份认证是网络安全系统的第一道防线，一旦身份认证系统被攻破，系统的所有安全措施将形同虚设。目前最传统及最普遍的是基于用户名和静态口令的身份认证方法，这种认证存在许多的缺点，首先用户必须记忆一些复杂的口令，其次静态口令多以明文形式在网上传输并且固定不变，即使经过加密后以密文形式传输，所用的加密密钥也是不变的，这使得攻击者可以通过窃听得口令达到入侵系统的目的。目前较为安全的身份认证方法是采用动态口令认证方法进行身份认证，或者采用生物特征识别方法进行身份认证。 

本专利申请的申请人曾在中国专利申请200710089999.1中提出一种基于S/Key系统的身份认证方法。该方法包括以下步骤：用户在首次注册时由客户端通过安全信道向认证服务器提交用户名ID_A、秘密通行口令，以及设置一次性口令序列的迭代值N，同时提供注册用户的生物特征值T’，服务器生成与该用户对应的种子值S，并且计算口令序列的第一个口令P₀＝H^N(W+S)。用户在身份认证过程中首先通过客户端浏览器输入用户名ID_A，向服务器提交认证请求，服务器收到认证请求后查询数据库，找出与用户名ID_A对应的种子值S和当前迭代值N-i，以及上次认证时用于解密生物特征值的一次性口令P_i-1，并将这些值作为应答信息发送给客户端浏览器，客户端根据用户输入的秘密通行短语W、服务器发送过来的当前迭代值N-i和种子值S计算出当前一次性口令P_i＝H^N-i(W+S)，并对当前口令P_i再进行一次哈希运算得到P’_i-1＝H(P_i)，客户端将P’_i-1与上次认证时用于解密生物特征值的一次性口令P_i-1比较，如果结果一致，则认为迭代值无误，客户端通过对服务器的验证。同时客户端采集用户的生物信息，提取特征值T，客户端用本次认证的一次性口令P_i作为密钥对用户生物特征值T进行加密，发送加密后的信息给服务器，服务器利用与客户端相同方法计算出本次认证的一次性口令P’_i，用该一次性口令P’_i对接收到的加密信息进行解密，解密后的用户生物特征值T与保存在服务器生物特征库中当前用户的生物特征值T’进行匹配，匹配成功则服务器通过对客户端的验证，并保存该一次性口令P’_i，不匹配则说明用户非法，拒绝此次登录请求。可见该专利是以动态口令加上对生物特征值的验证来实现对登录用户的识别。这种以动态口令加生物特征进行识别的方法提高了身份认证的安全性。 

但是由于每一种生物特征识别方式都有其优点，都在不同领域获得了不同程度的成功，也有其固有的难以克服的缺点。例如，指纹识别中由于有疤痕、长茧、皮肤干燥、病态皮肤、皮肤老化、传感器受污染等原因可能在实际中难以提取到合适信息；虽然虹膜图像的获取较为严格，但一般来讲黑眼睛虹膜却较难读取；人脸图像会随着年龄变化，识别率容易受化妆、表情、姿势、光照变化等因素影响；声音会在人的健康状况发生变化时改变，而且同一个人的录音也能欺骗语音识别系统。由于传感器的噪声以及特征提取和匹配的缺陷，不能保证每次都能得出正确的识别结果，一个冒充者有可能被一个生物特征识别系统错误的接受，错误接受率和错误拒绝率不能同时为低。其它的生物特征值也有类似的情况。因此造成单一生物特征识别的准确率有限。特别是当生物特征值提取有误时将完全不能正常登录。 

另一方面，由于在登录认证中提取的生物特征值与系统事先存储的生物特征值难以实现完全匹配，这一问题也会造成用户无法顺利登录的现象。 

因为生物特征是个人隐私，而且是唯一的、不可撤销的。如果在网络传送过程中生物特征数据一旦泄漏，便会造成灾难性后果。而通过非法得到他人生物特征并加以复制，用复制的假生物特征骗过计算机系统进行冒名认证的事例也时有发生。因此在对身份认证系统安全性要求日益增高的今天，基于单一生物 特征的身份认证已不能满足需求。进入更为高级的系统中也需要一种更为可靠和安全的身份认证方法。 

发明内容

本发明提供一种可以解决现有技术不足的身份认证方法。确切讲本发明涉及以下三种情况：