【技术实现步骤摘要】
一种远程鉴权方法、装置及系统
本专利技术属于信息安全
,具体地涉及一种远程鉴权方法、装置及系统。
技术介绍
当前,诸如指纹特征信息和虹膜特征信息等的生物特征信息已经被广泛应用于鉴权系统中,例如指纹解锁系统、虹膜签到系统、指纹打卡系统和指纹登录系统等。在这些鉴权系统中,有一个重要的应用场景是远程鉴权,例如使用指纹特征信息登录特定网站。在远程鉴权场景中,主要包括有三个实体:生物特征信息采集设备、用于作为被鉴权方的客户端设备和用于作为鉴权方的鉴权服务器。所述生物特征信息采集设备负责将用户的生物信息转化为数字化的生物特征信息;所述客户端设备为用户所使用的机器,负责从采集设备处收集数字化的生物特征信息并发送到鉴权服务器,请求鉴权;所述鉴权服务器为用户提供特定的鉴权服务,即当收到客户端设备发来的生物特征信息后,将该生物特征信息与已经存储的且合法的生物特征信息进行匹配,如果匹配通过则授予该客户端设备对应权限,否则为鉴权失败(例如登录失败)。但是上述远程鉴权技术会存在如下缺陷:(1)生物特征信息在从采集设备传递到客户端设备的过程中缺少保护措施,客户端设备会得到明文的生物特征信息,使得无法阻止客户端设备复制并存储该生物特征信息,尤其在多用户共用客户端设备的情况下,被复制的生物特征信息能够用来进行冒名授权,因此将会导致用户的生物特征信息出现泄露以及恶意登录使用的情况;(2)基于生物特征信息鉴权的系统本身要求在服务器侧必须预先存储合法的生物特征信息以及其与用户的对应关系,因此存在一个非常重要的需求就是如何保护 ...
【技术保护点】
1.一种远程鉴权方法,其特征在于,包括:/n采集获取用户的待验生物特征信息;/n使用加密密钥对所述待验生物特征信息进行加密,得到待验密文信息,其中,所述加密密钥来自鉴权服务器且由可信计算模块生成,所述可信计算模块内置在所述鉴权服务器中或通信连接所述鉴权服务器;/n将所述待验密文信息传输至客户端设备,以便所述客户端设备在向所述鉴权服务器发起鉴权请求时,将所述待验密文信息传输至所述鉴权服务器,进而使得所述鉴权服务器在将所述待验密文信息送入所述可信计算模块后,在所述可信计算模块内使用与所述加密密钥对应的解密密钥对所述待验密文信息进行解密,并在所述可信计算模块内将注册生物特征信息与解密获取的所述待验生物特征信息进行匹配对比,最后根据所述可信计算模块输出的匹配结果响应所述鉴权请求,其中,所述注册生物特征信息加密存储在所述鉴权服务器中并可被所述可信计算模块解密获取。/n
【技术特征摘要】
1.一种远程鉴权方法,其特征在于,包括:
采集获取用户的待验生物特征信息;
使用加密密钥对所述待验生物特征信息进行加密,得到待验密文信息,其中,所述加密密钥来自鉴权服务器且由可信计算模块生成,所述可信计算模块内置在所述鉴权服务器中或通信连接所述鉴权服务器;
将所述待验密文信息传输至客户端设备,以便所述客户端设备在向所述鉴权服务器发起鉴权请求时,将所述待验密文信息传输至所述鉴权服务器,进而使得所述鉴权服务器在将所述待验密文信息送入所述可信计算模块后,在所述可信计算模块内使用与所述加密密钥对应的解密密钥对所述待验密文信息进行解密,并在所述可信计算模块内将注册生物特征信息与解密获取的所述待验生物特征信息进行匹配对比,最后根据所述可信计算模块输出的匹配结果响应所述鉴权请求,其中,所述注册生物特征信息加密存储在所述鉴权服务器中并可被所述可信计算模块解密获取。
2.一种生物特征信息采集装置,其特征在于,包括依次通信连接的采集模块、加密模块和第一传输模块;
所述采集模块,用于采集获取用户的待验生物特征信息;
所述加密模块,用于使用加密密钥对所述待验生物特征信息进行加密,得到待验密文信息,其中,所述加密密钥来自鉴权服务器且由可信计算模块生成,所述可信计算模块内置在所述鉴权服务器中或通信连接所述鉴权服务器;
所述第一传输模块,用于将所述待验密文信息传输至客户端设备,以便所述客户端设备在向所述鉴权服务器发起鉴权请求时,将所述待验密文信息传输至所述鉴权服务器,进而使得所述鉴权服务器在将所述待验密文信息送入所述可信计算模块后,在所述可信计算模块内使用与所述加密密钥对应的解密密钥对所述待验密文信息进行解密,并在所述可信计算模块内将注册生物特征信息与解密获取的所述待验生物特征信息进行匹配对比,最后根据所述可信计算模块输出的匹配结果响应所述鉴权请求,其中,所述注册生物特征信息加密存储在所述鉴权服务器中并可被所述可信计算模块解密获取。
3.一种远程鉴权方法,其特征在于,包括:
接收来自客户端设备的鉴权请求,其中,所述鉴权请求携带有来自生物特征信息采集设备的待验密文信息,所述待验密文信息为所述生物特征信息采集设备在采集获取用户的待验生物特征信息后,使用加密密钥对所述待验生物特征信息进行加密而得到的密文信息,所述加密密钥来自本地鉴权服务器且由可信计算模块生成,所述可信计算模块内置在本地鉴权服务器中或通信连接本地鉴权服务器;
将所述待验密文信息送入所述可信计算模块后,在所述可信计算模块内使用与所述加密密钥对应的解密密钥对所述待验密文信息进行解密,并在所述可信计算模块内将注册生物特征信息与解密获取的所述待验生物特征信息进行匹配对比,其中,所述注册生物特征信息加密存储在本地鉴权服务器中并可被所述可信计算模块解密获取;
根据所述可信计算模块输出的匹配结果响应所述鉴权请求。
4.如权利要求3所述的远程鉴权方法,其特征在于,当所述鉴权请求还携带有由所述客户端设备指定的待验用户标识信息时,则在所述可信计算模块内将注册生物特征信息与解密获取的所述待验生物特征信息进行匹配对比,包括:
将与所述待验用户标识信息绑定存储的且已加密的所述注册生物特征信息送入所述可信计算模块中;
在所述可信计算模块内,解密获取所述注册生物特征信息,并将所述注册生物特征信息与所述待验生物特征信息进行匹配对比,若匹配,则输出用于指示匹配成功的第一匹配结果,否则输出用于指示匹配失败的第二匹配结果。
5.如权利要求3所述的远程鉴权方法,其特征在于,当所述鉴权请求未携带有由所述客户端设备指定的待验用户标识信息时,则在所述可信计算模块内将注册生物特征信息与解密获取的所述待验...
【专利技术属性】
技术研发人员:余曦晨,
申请(专利权)人:四川普思科创信息技术有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。