技術領域

本發明涉及身份認證領域，具體是一種指紋認證方法及系統。

背景技術

當前形勢下，政府、企業和個人在使用各類系統時，越來越關注系統安全問題，而身份認證是系統安全中最重要的問題，只有在進行安全可靠的身份認證基礎上各類系統才能最有效地發揮安全防護作用。

目前常見的身份認證技術有：傳統的靜態口令認證技術、動態口令認證技術、USBKEY認證技術、生物特征認證技術、智能卡認證技術等。然而這些技術都或多或少的存在著一些弊端，比如傳統的靜態口令認證技術，其安全性僅基于用戶口令的保密性，而用戶口令一般都比較短或者很容易猜測，另外攻擊者可能竊聽通信信道或進行網絡窺探，這樣很容易就能截取用戶口令。而動態口令、USBKEY認證技術和智能卡技術都依賴于用戶手中的硬件設備，而這些設備很容易損壞、丟失并且要隨身攜帶，使用起來比較繁瑣。

如現有的指紋認證技術的實現過程如下：當用戶需要進行認證時，首先客戶端通過指紋傳感器獲取到用戶指紋，然后將指紋特征碼上傳到服務器端，服務器端將采集到的特征識別指紋樣本與指紋庫中已保存的該用戶的指紋進行特征對比，如果匹配則認證通過。由于現有的指紋認證技術在認證過程中獲取的指紋數據在傳輸過程中沒有進行加密，傳輸過程中很容易被攻擊者竊取或者篡改，無法保證指紋數據的安全性，且客戶端無法對服務器端的身份進行認證，不能保證用戶所訪問的服務器端是真實有效的。

發明內容

本發明所要解決的技術問題之一是為了防止用戶數據在網絡傳輸過程中被攻擊者竊取或者篡改，并通過對用戶數據進行加密，使得即使用戶數據被竊取，攻擊者也無法得到有效的用戶數據，確保用戶數據在系統認證的安全性和可靠性。此外，本發明還可以對服務器端進行驗證，確保用戶所訪問的服務器是真實有效的。

為了解決上述技術問題，本發明提供了一種指紋認證方法，所述方法包括：

認證步驟，根據客戶端的認證請求生成一對密鑰，所述密鑰包括公鑰和私鑰；

發送步驟，將所述公鑰發送到所述客戶端；

接收步驟，接收客戶端根據所述公鑰生成并發送的加密數據；

解密步驟，采用所述私鑰對所述加密數據進行解密，得到解密數據；

匹配步驟，根據本地存儲的數據信息對所述解密數據進行匹配。

進一步，所述加密數據包含有時間戳，所述時間戳未過期時，根據本地存儲的數據信息對所述解密數據進行匹配。

進一步，所述加密數據包括用戶ID和用戶指紋信息。

進一步，所述匹配步驟包括：根據本地存儲的ID信息對所述用戶ID進行匹配。

根據本地存儲的ID信息對所述用戶ID匹配成功之后，進一步根據本地存儲的指紋信息對所述用戶指紋信息進行匹配。

此外，所述方法進一步包括：匹配成功后，為所述用戶分配一個會話密鑰，并將所述會話密鑰發送給客戶端。

進一步，所述加密數據包含用戶密鑰，匹配成功后，為所述用戶分配一個會話密鑰，并根據所述用戶密鑰對所述會話密鑰進行加密后發送給客戶端。

根據本發明的另一方面，還提供了一種指紋認證系統，其特征在于，所述系統包括：

認證模塊，用于根據客戶端的認證請求生成一對密鑰，所述密鑰包括公鑰和私鑰；

發送模塊，用于將所述公鑰發送到所述客戶端；

接收模塊，用于接收客戶端根據所述公鑰生成并發送的加密數據；

解密模塊，用于采用所述私鑰對所述加密數據進行解密，得到解密數據；

匹配模塊，用于根據本地存儲的數據信息對所述解密數據進行匹配。

此外，所述系統進一步包括第一分配模塊，所述第一分配模塊用于所述匹配模塊匹配成功后，為所述用戶分配一個會話密鑰，并將所述會話密鑰發送給客戶端。

進一步，所述接收模塊的加密數據包含用戶密鑰，所述系統進一步包括第二分配模塊，所述第二分配模塊用于所述匹配模塊匹配成功后，為所述用戶分配一個會話密鑰，并根據所述用戶密鑰對所述會話密鑰進行加密后發送給客戶端。

與現有技術相比，本發明的一個或多個實施例可以具有如下優點：本發明通過對客戶端獲取的用戶數據進行加密，確保用戶數據在傳輸認證過程中的安全性，還通過對服務器端進行驗證，確保用戶所訪問的服務器的真實有效性。

本發明的其他優點、目標和特征在某種程度上將在隨后的說明書中進行闡述，并且在某種程度上，基于對下文的考察研究對本領域技術人員而言將是顯而易見的，或者可以從本發明的實踐中得到教導。本發明的目標和其他優點可以通過下面的說明書，權利要求書，以及附圖中所特別指出的結構來實現和獲得。