[发明专利]一种基于S/Key系统的身份认证方法

摘要

本发明涉及一种基于S/Key系统的身份认证方法。本发明在用户首次注册时通过客户端向认证服务器提交包括用户名、密码口令、迭代值及生物特征值的注册数据，由服务器生成与该用户对应的种子值，计算口令序列的第一个一次性口令。在用户身份认证过程中通过客户端和服务器之间的双向认证，而且是对注册用户的一次性口令和生物特征值相结合的双向认证。

主权项

1.一种基于S/Key系统认证方法，用户在首次注册时由客户端通过安全信道向认证服务器提交用户名IDA、秘密通行口令，以及设置一次性口令序列的迭代值N，同时提供注册用户的生物特征值T’，服务器生成与该用户对应的种子值S，并且计算口令序列的第一个口令P0＝HN(W+S)。用户在身份认证过程中首先通过客户端浏览器输入用户名IDA，向服务器提交认证请求，服务器收到认证请求后查询数据库，找出与用户名IDA对应的种子值S和当前迭代值N-i，以及上次认证时用于解密生物特征值的一次性口令Pi-1，并将这些值作为应答信息发送给客户端浏览器，客户端根据用户输入的秘密通行短语W、服务器发送过来的当前迭代值N-i和种子值S计算出当前一次性口令Pi＝HN-i(W+S)，并对当前口令Pi再进行一次哈希运算得到P’i-1＝H(Pi)，客户端将P’i-1与上次认证时用于解密生物特征值的一次性口令Pi-1比较，如果结果一致，则认为迭代值无误，客户端通过对服务器的验证。同时客户端采集用户的生物信息，提取特征值T，客户端用本次认证的一次性口令Pi作为密钥对用户生物特征值T进行加密，发送加密后的信息给服务器，服务器利用与客户端相同方法计算出本次认证的一次性口令P’i，用该一次性口令P’i对接收到的加密信息进行解密，解密后的用户生物特征值T与保存在服务器生物特征库中当前用户的生物特征值T’进行匹配，匹配成功则服务器通过对客户端的验证，并保存该一次性口令P’i，不匹配则拒绝此次登录请求。