【技术实现步骤摘要】
本专利技术涉及一种信息安全,是一种基于人脸识别的认证密钥协商方法、系统。
技术介绍
1、现有的认证密钥交换协议多依赖于公钥基础设施(public key infrastructure,pki)建立安全信道,但是pki系统的可靠性需依赖于一个可信的认证机构,难以抵抗单点故障。相较于传统的身份认证方法,生物识别技术不易遗忘,不易复制,利用其进行身份认证无需设置、记忆众多口令,可以有效减少口令丢失泄露情况发生,并且可以有效避免短信验证码被恶意拦截风险。但是,由于生物信息不可再生且通常携带噪声,如何设计差错容忍的指纹模板保护方法以及基于指纹的认证密钥协商,实现安全通信十分重要。
2、认证密钥协商(aka,authenticated key agreement)协议作为信息安全中的一个重要领域已被应用到众多实际场景中。fido(线上快速身份验证)联盟建议不要将生物信息存在服务器上,但是需要将设备与身份进行绑定。基于口令的aka协议具有便于记忆、便于管理等优点,极大程度地方便用户使用。然而,口令便于记忆,但是熵值较小,很容易遭受字典攻击。为了抵抗单一口令所存在的字典攻击,许多双因子认证协议被提出,目前使用较多的是基于口令和智能卡的双因子协议,在该类双因子协议中攻击者不能仅依靠猜测口令来破解aka协议,还需要获得智能卡内信息,然而该认证方式也具有一定的局限性。用户需要额外的携带一个智能卡,这对用户来说增加了一定的不便性。同时智能卡也可能丢失,当智能卡丢失后,用户就不能够再登录到服务器,除非用户重新申请一个智能卡。这对于某些需要处理
3、随着人脸识别的身份认证与密钥协商系统广泛应用,在行政、公共安全、交通、商业等领域发挥重要作用,为生活安全提供一定的保障。现有结合人脸识别的身份认证与密钥协商的方法存在以下问题:(1)服务端存储明文形式数据,且服务端与客户端通信过程中人脸模板以明文形式传输;(2)恶意服务端能够解密模板;(3)加密后的人脸模板降低了模型的识别率。
技术实现思路
1、本专利技术提供了一种基于人脸识别的认证密钥协商方法、系统,克服了上述现有技术之不足,其能有效解决现有结合人脸识别的身份认证与密钥协商的方法存在的服务端存储明文形式数据的问题。
2、本专利技术的技术方案之一是通过以下措施来实现的:一种基于人脸识别的认证密钥协商方法,实现基于人脸识别的身份认证中客户端与服务端之间的对会话密钥协商,包括:
3、响应于执行登录及密钥协商,服务端获取客户端输出的用户id、临时公钥tbkclient、临时密钥temkey;
4、服务端查询永久密钥perkey,验证临时密钥temkey是否正确,响应于是返回状态码至客户端,且输出serverauth至客户端;
5、客户端验证serverauth是否正确,响应于是输出会话密钥sessionkey和确认信息confirminfo,其中确认信息confirminfo为表示信任服务端和已生成会话密钥sessionkey的确认信息;
6、服务端验证确认信息confirminfo是否正确,响应于是返回状态码至客户端,并计算会话密钥sessionkey'。
7、下面是对上述专利技术技术方案的进一步优化或/和改进:
8、上述客户端输出的用户id、临时公钥tbkclient、临时密钥temkey,包括:
9、客户端通过椭圆曲线加密算法生成临时私钥trkclient和临时公钥tbkclien;
10、客户端通过具有calculation功能的单向散列函数计算得到用户id、teminfo、永久密钥perkey和临时密钥temkey;
11、teminfo=hash((tbkserver*trkclient)||tbkserver||tbkclient)
12、perkey=hash(accinfo||r)
13、temkey=hash(teminfo||perkey')。
14、上述服务端查询永久密钥perkey,验证临时密钥temkey是否正确,响应于是返回状态码至客户端,且输出serverauth至客户端,包括:
15、服务端查询永久密钥perkey,利用与客户端相同的具有calculation功能的单向散列函数计算temkey';
16、teminfo'=((trkserver*tbkclient)||tbkserver||tbkclient)
17、temkey'=hash(teminfo||perkey')
18、验证temkey=temkey'是否成立,响应于是则返回状态码至客户端;
19、通过椭圆曲线加密算法生成临时私钥trkserver2与临时公钥tbkserver2;
20、通过具有calculation功能的单向散列函数计算得到serverauth,并发送至客户端;
21、teminfo2=(tbkserver||perkey||teminfo),
22、serverauth=mac((trkclient||tbkserver||tbkserver2||teminfo),teminfo2)。
23、上述客户端验证serverauth是否正确,响应于是输出会话密钥sessionkey和确认信息confirminfo,包括:
24、客户端通过与服务端相同的单向散列函数计算得到serverauth';
25、验证serverauth=serverauth'是否成立,响应于是输出会话密钥sessionkey和确认信息confirminfo;
26、sessionkey=hash(id||teminfo||perkey||tbkserver2*trkclient||tbkclient||tbkserver||tbkserver2)
27、confirminfo=hash(id||teminfo||perkey||(trkclient*tbkserver2))。
28、上述服务端验证确认信息confirminfo是否正确,响应于是返回状态码至客户端,并计算会话密钥sessionkey',包括:
29、服务端计算获得confirminfo';
30、confirminfo'=hash(id||teminfo||perkey||(tbkclient*trkserver2))
31、验证confirminfo=confirminfo'是否成立,响应于是返回状态码至客户端;
32、计算会话密钥sessionkey';
33、
34、上述还包括基于人脸识别执行用户注册或登录,包括:
35、获取人脸信息,本文档来自技高网...
【技术保护点】
1.一种基于人脸识别的认证密钥协商方法,其特征在于,实现基于人脸识别的身份认证中客户端与服务端之间的对会话密钥协商,包括:
2.根据权利要求1所述的基于人脸识别的认证密钥协商方法,其特征在于,所述客户端输出的用户ID、临时公钥TbkClient、临时密钥TemKey,包括:
3.根据权利要求1或2所述的基于人脸识别的认证密钥协商方法,其特征在于,所述服务端查询永久密钥PerKey,验证临时密钥TemKey是否正确,响应于是返回状态码至客户端,且输出ServerAuth至客户端,包括:
4.根据权利要求1或2所述的基于人脸识别的认证密钥协商方法,其特征在于,所述客户端验证ServerAuth是否正确,响应于是输出会话密钥SessionKey和确认信息ConfirmInfo,包括:
5.根据权利要求1或2所述的基于人脸识别的认证密钥协商方法,其特征在于,所述服务端验证确认信息ConfirmInfo是否正确,响应于是返回状态码至客户端,并计算会话密钥SessionKey',包括:
6.根据权利要求1至5中任意一项所述的基于人脸
7.一种应用如权利要求1至6中任意一项所述方法的基于人脸识别的认证密钥协商系统,其特征在于,包括:
8.根据权利要求7所述的基于人脸识别的认证密钥协商系统,其特征在于,所述客户端包括:
9.根据权利要求7或8所述的基于人脸识别的认证密钥协商系统,其特征在于,所述服务端,包括:
10.根据权利要求7至9中任意一项所述的基于人脸识别的认证密钥协商系统,其特征在于,所述服务端,还包括:
...【技术特征摘要】
1.一种基于人脸识别的认证密钥协商方法,其特征在于,实现基于人脸识别的身份认证中客户端与服务端之间的对会话密钥协商,包括:
2.根据权利要求1所述的基于人脸识别的认证密钥协商方法,其特征在于,所述客户端输出的用户id、临时公钥tbkclient、临时密钥temkey,包括:
3.根据权利要求1或2所述的基于人脸识别的认证密钥协商方法,其特征在于,所述服务端查询永久密钥perkey,验证临时密钥temkey是否正确,响应于是返回状态码至客户端,且输出serverauth至客户端,包括:
4.根据权利要求1或2所述的基于人脸识别的认证密钥协商方法,其特征在于,所述客户端验证serverauth是否正确,响应于是输出会话密钥sessionkey和确认信息confirminfo,包括:
5.根据权利要求1...
【专利技术属性】
技术研发人员:万姣,李凯,胡美慧,向志威,陈立志,曹进平,常春雷,摆小军,景康,李德高,赵忠浩,
申请(专利权)人:国网新疆电力有限公司信息通信公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。