一種基于生物特征識別的客戶端及其工作方法技術

本發明專利技術公開了一種基于生物特征識別的客戶端及其工作方法，屬于信息安全領域。所述客戶端包括客戶端應用程序模塊和客戶端身份認證模塊，客戶端應用程序模塊根據客戶端標識和從服務器獲取的請求數據組成身份驗證請求并發送給客戶端身份認證模塊；客戶端身份認證模塊在判斷所述客戶端標識和請求數據合法之后提示用戶輸入生物特征數據并進行驗證，驗證成功則根據注冊標識、密鑰對私鑰以及所述請求數據計算得到斷言數據，通過客戶端應用程序模塊將斷言數據發送給服務器，接收并顯示服務器返回的請求結果。本發明專利技術中在客戶端身份認證模塊中完成對用戶生物特征信息的驗證，降低了用戶生物特征信息被攻擊的風險，提高了用戶在線注冊和登錄的安全性。

【技術實現步驟摘要】

本專利技術涉及信息安全領域，尤其涉及一種基于生物特征識別的客戶端及其工作方法。
技術介紹
隨著互聯網技術的發展，用戶已經可以方便的通過網絡隨時隨地登錄應用程序(app)進行購物等各種在線業務，而由于目前諸多的在線業務都會涉及到用戶財產信息，如銀行卡號等，因此，如何保證用戶信息的安全是當前研究的熱點問題。目前，雖然大多數客戶端提供商都采用賬號和密碼(包括字符密碼、手勢密碼等)的方式實現用戶注冊和登錄，以保護用戶信息的安全，但是，無論是何種密碼都有泄露或被黑客盜用的風險，因此在注冊使用應用程序時利用用戶的生物特征信息進行注冊的方法應運而生，其中，生物特征可以是指紋、人臉、虹膜等。但是，生物特征信息屬于用戶的隱私信息，如若生物特征信息被攻擊者竊取，則攻擊者就可以使用用戶的生物特征信息冒充用戶的身份，用戶的信息安全將面臨極大的威脅。因此，在利用生物特征信息進行在線注冊和認證的應用場景中，如何保證生物特征信息的安全成為一個亟待解決的問題。
技術實現思路
本專利技術的目的是為了克服現有技術的不足，提供一種基于生物特征識別的客戶端及其工作方法。本專利技術的技術方案如下：一種基于生物特征識別的客戶端工作方法，包括：步驟S1：客戶端應用程序模塊向服務器發起預設請求，并接收服務器返回的請求數據；步驟S2：客戶端應用程序模塊根據客戶端標識和所述請求數據組成身份驗證請求，向客戶端身份認證模塊發送所述身份驗證請求；步驟S3：客戶端身份認證模塊從所述身份驗證請求中獲取客戶端標識和請求數據，判斷所述客戶端標識和請求數據是否合法，是則提示用戶輸入生物特征數據，執行步驟S4，否則向客戶端應用程序模塊返回錯誤響應，結束；步驟S4：客戶端身份認證模塊根據用戶輸入的生物特征數據對當前用戶進行身份驗證，若驗證成功則執行步驟S5，否則向客戶端應用程序模塊返回錯誤響應，結束；步驟S5：客戶端身份認證模塊根據注冊標識、密鑰對私鑰以及所述請求數據計算得到斷言數據，根據所述斷言數據組成身份認證請求響應，向客戶端應用程序模塊返回所述身份認證請求響應；步驟S6：客戶端應用程序模塊從所述身份認證請求響應中獲取斷言數據，向服務器發送所述斷言數據，并接收服務器返回的請求響應；從所述請求響應中獲取請求結果并顯示，結束。所述預設請求為注冊請求，所述請求數據具體為注冊數據，所述注冊數據中包含有用戶名參數、挑戰值參數；所述步驟S5具體為：客戶端身份認證模塊生成注冊標識和密鑰對，保存所述注冊標識和密鑰對私鑰，獲取當前簽名次數，使用所述密鑰對私鑰對所述注冊標識、所述密鑰對公鑰以及所述注冊數據中包含的用戶名參數、挑戰值參數進行簽名計算得到簽名值，更新當前簽名次數，根據更新后的簽名次數、所述簽名值、所述注冊標識、所述密鑰對公鑰、所述用戶名參數和所述挑戰值參數組成斷言數據，根據所述斷言數據組成身份認證請求響應，向客戶端應用程序模塊返回所述身份認證請求響應；所述計算得到斷言數據之后還包括更新所述當前簽名次數。所述預設請求為認證請求，所述請求數據具體為認證數據，所述認證數據中包含有挑戰值參數和認證策略參數，所述認證策略參數中包含有注冊標識字段；所述步驟S5具體為：客戶端身份認證模塊根據所述認證策略參數中包含的注冊標識字段查找并獲取保存的注冊標識和密鑰對私鑰，獲取當前簽名次數，生成隨機數，使用所述密鑰對私鑰對所述注冊標識、所述隨機數以及所述認證數據中包含的挑戰值參數進行簽名得到簽名值，更新當前簽名次數，根據更新后的簽名次數、所述簽名值、所述注冊標識、所述隨機數和所述挑戰值參數組成斷言數據，根據所述斷言數據組成身份認證請求響應，向客戶端應用程序模塊返回所述身份認證請求響應，所述計算得到斷言數據之后還包括更新所述當前簽名次數。所述預設請求為交易請求，所述請求數據具體為交易數據，所述交易數據中包含有交易信息、挑戰值參數和認證策略參數，所述認證策略參數中包含有注冊標識字段；所述步驟S5具體為：客戶端身份認證模塊根據所述認證策略參數中包含的注冊標識字段查找并獲取保存的注冊標識和密鑰對私鑰，獲取當前簽名次數，生成隨機數，使用所述密鑰對私鑰對所述注冊標識、所述隨機數以及所述交易數據中包含的交易信息、挑戰值參數進行簽名計算得到簽名值，更新當前簽名次數，根據更新后的簽名次數、所述簽名值、所述注冊標識、所述隨機數和所述交易信息、所述挑戰值參數組成斷言數據，根據所述斷言數據組成身份認證請求響應，向客戶端應用程序模塊返回所述身份認證請求響應，所述計算得到斷言數據之后還包括更新所述當前簽名次數。本專利技術還提供了一種基于生物特征識別的客戶端，包括客戶端應程序模塊和客戶端身份認證模塊；所述客戶端應用程序模塊包括第一收發單元、第一交互單元、第二交互單元；所述第一收發單元，用于向服務器發起預設請求，并接收服務器返回的請求數據，觸發第一交互單元；還用于收到第一交互單元的觸發時向服務器發送斷言數據，并接收服務器返回的請求響應；所述第一交互單元，用于根據客戶端標識和所述請求數據組成身份驗證請求，向客戶端身份認證模塊發送所述身份驗證請求；還用于當接收到客戶端身份認證模塊返回的身份認證請求響應時，從所述身份認證請求響應中獲取斷言數據并觸發第一收發單元；所述第二交互單元，用于從所述第一收發單元接收到的所述請求響應中獲取請求結果并顯示；所述客戶端身份認證模塊包括第二收發單元、第一判斷單元、第二判斷單元和計算單元；所述第二收發單元，用于接收客戶端應用程序模塊發來的所述身份驗證請求，從所述身份驗證請求中獲取客戶端標識和請求數據并觸發第一判斷單元，還用于向客戶端應用程序模塊返回身份認證請求響應；所述第一判斷單元，用于判斷所述客戶端標識和請求數據是否合法，是則提示用戶輸入生物特征數據；否則向客戶端應用程序模塊返回錯誤響應；所述第二判斷單元，用于根據用戶輸入的生物特征數據對當前用戶進行身份驗證，若驗證成功則觸發計算單元，若驗證失敗則向客戶端應用程序模塊返回錯誤響應；所述計算單元，用于根據注冊標識、密鑰對私鑰以及所述請求數據計算得到斷言數據，根據所述斷言數據組成身份認證請求響應并觸發第二收發單元。本專利技術的有益效果如下：通過在客戶端的硬件裝置內部即本專利技術中所述客戶端身份認證模塊中完成對用戶生物特征信息的驗證，降低了用戶生物特征信息被攻擊的風險，提高了用戶在線注冊和登錄的安全性。附圖說明圖1是實施例1提供的一種基于生物特征識別的客戶端工作方法流程圖；圖2是實施例2提供的一種基于生物特征識別的注冊方法流程圖；圖3是實施例3提供的一種基于生物特征識別的認證/交易方法流程圖；圖4是實施例4提供的一種基于生物特征識別的客戶端的組成框圖。具體實施方式下面將結合本專利技術實施例中的附圖，對本專利技術實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本專利技術一部分實施例，而不是全部的實施例。基于本專利技術中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都屬于本專利技術保護的范圍。實施例1本實施例提供了一種基于生物特征識別的客戶端工作方法，其中，所述客戶端包括客戶端應用程序模塊和客戶端身份認證模塊，其工作方法具體如圖1所示，包括以下步驟：步驟S1：客戶端應用程序模塊向服務器發起預設請求，并接收服務器返回的請求數據；具體的，所述預設請求本文檔來自技高網...

【技術保護點】
一種基于生物特征識別的客戶端工作方法，其特征在于，包括：步驟S1：客戶端應用程序模塊向服務器發起預設請求，并接收服務器返回的請求數據；步驟S2：客戶端應用程序模塊根據客戶端標識和所述請求數據組成身份驗證請求，向客戶端身份認證模塊發送所述身份驗證請求；步驟S3：客戶端身份認證模塊從所述身份驗證請求中獲取客戶端標識和請求數據，判斷所述客戶端標識和請求數據是否合法，是則提示用戶輸入生物特征數據，執行步驟S4，否則向客戶端應用程序模塊返回錯誤響應，結束；步驟S4：客戶端身份認證模塊根據用戶輸入的生物特征數據對當前用戶進行身份驗證，若驗證成功則執行步驟S5，否則向客戶端應用程序模塊返回錯誤響應，結束；步驟S5：客戶端身份認證模塊根據注冊標識、密鑰對私鑰以及所述請求數據計算得到斷言數據，根據所述斷言數據組成身份認證請求響應，向客戶端應用程序模塊返回所述身份認證請求響應；步驟S6：客戶端應用程序模塊從所述身份認證請求響應中獲取斷言數據，向服務器發送所述斷言數據，并接收服務器返回的請求響應；從所述請求響應中獲取請求結果并顯示，結束。

【技術特征摘要】
1.一種基于生物特征識別的客戶端工作方法，其特征在于，包括：步驟S1：客戶端應用程序模塊向服務器發起預設請求，并接收服務器返回的請求數據；步驟S2：客戶端應用程序模塊根據客戶端標識和所述請求數據組成身份驗證請求，向客戶端身份認證模塊發送所述身份驗證請求；步驟S3：客戶端身份認證模塊從所述身份驗證請求中獲取客戶端標識和請求數據，判斷所述客戶端標識和請求數據是否合法，是則提示用戶輸入生物特征數據，執行步驟S4，否則向客戶端應用程序模塊返回錯誤響應，結束；步驟S4：客戶端身份認證模塊根據用戶輸入的生物特征數據對當前用戶進行身份驗證，若驗證成功則執行步驟S5，否則向客戶端應用程序模塊返回錯誤響應，結束；步驟S5：客戶端身份認證模塊根據注冊標識、密鑰對私鑰以及所述請求數據計算得到斷言數據，根據所述斷言數據組成身份認證請求響應，向客戶端應用程序模塊返回所述身份認證請求響應；步驟S6：客戶端應用程序模塊從所述身份認證請求響應中獲取斷言數據，向服務器發送所述斷言數據，并接收服務器返回的請求響應；從所述請求響應中獲取請求結果并顯示，結束。2.根據權利要求1所述的方法，其特征在于：所述判斷所述客戶端標識和請求數據是否合法具體包括：步驟1：檢查所述請求數據中包含的內容的格式是否合法，是則執行步驟2，否則判斷結果為不合法；步驟2：根據所述請求數據中包含的應用ID獲取信任列表，判斷所述客戶端標識是否存在在所述信任列表中，是則執行步驟3，否則判斷結果為不合法；步驟3：判斷客戶端身份認證模塊對應的認證策略參數是否與所述請求數據中包含的認證策略參數匹配，是則判斷結果為合法，否則判斷結果為不合法。3.根據權利要求2所述的方法，其特征在于：所述判斷結果為合法時還包括根據所述認證策略參數確定當前認證方式；所述步驟S3中所述提示用戶輸入生物特征數據具體為根據所述當前認證方式提示用戶輸入相應的生物特征數據。4.根據權利要求1所述的方法，其特征在于：所述預設請求為注冊請求，所述請求數據具體為注冊數據，所述注冊數據中包含有用戶名參數、挑戰值參數；所述步驟S5具體為：客戶端身份認證模塊生成注冊標識和密鑰對，保存所述注冊標識和密鑰對私鑰，獲取當前簽名次數，使用所述密鑰對私鑰對所述注冊標識、所述密鑰對公鑰以及所述注冊數據中包含的用戶名參數、挑戰值參數進行簽名計算得到簽名值，更新當前簽名次數，根據更新后的簽名次數、所述簽名值、所述注冊標識、所述密鑰對公鑰、所述用戶名參數和所述挑戰值參數組成斷言數據，根據所述斷言數據組成身份認證請求響應，向客戶端應用程序模塊返回所述身份認證請求響應；所述計算得到斷言數據之后還包括更新所述當前簽名次數。5.根據權利要求4所述的方法，其特征在于：所述根據更新后的簽名次數、所述簽名值、所述注冊標識、所述密鑰對公鑰、所述用戶名參數和所述挑戰值參數組成斷言數據具體包括，客戶端身份認證模塊獲取自身的認證器ID、協議版本、簽名算法和證書，根據獲取的所述認證器ID、所述協議版本、所述簽名算法、所述證書與所述更新后的簽名次數、所述簽名值、所述注冊標識、所述密鑰對公鑰、所述用戶名參數和所述挑戰值參數組成拼接結果，將所述拼接結果作為V值，將所述拼接結果的長度值作為L值，將第一預設值作為T值，按照TLV格式組成TLV數據，對所述TLV數據進行編碼，將得到的編碼結果作為所述斷言數據。6.根據權利要求1所述的方法，其特征在于：所述預設請求為認證/交易請求，所述步驟S3中所述提示用戶輸入生物特征數據之前還包括，判斷所述請求數據中是否含有交易信息，是則通過客戶端顯示所述交易信息，待用戶確認后執行所述提示用戶輸入生物特征數據；否則直接執行所述提示用戶輸入生物特征數據。7.根據權利要求6所述的方法，其特征在于：所述預設請求為認證請求，所述請求數據具體為認證數據，所述認證數據中包含有挑戰值參數和認證策略參數，所述認證策略參數中包含有注冊標識字段；所述步驟S5具體為：客戶端身份認證模塊根據所述認證策略參數中包含的注冊標識字段查找并獲取保存的注冊標識和密鑰對私鑰，獲取當前簽名次數，生成隨機數，使用所述密鑰對私鑰對所述注冊標識、所述隨機數以及所述認證數據中包含的挑戰值參數進行簽名得到簽名值，更新當前簽名次數，根據更新后的簽名次數、所述簽名值、所述注冊標識、所述隨機數和所述挑戰值參數組成斷言數據，根據所述斷言數據組成身份認證請求響應，向客戶端應用程序模塊返回所述身份認證請求響應，所述計算得到斷言數據之后還包括更新所述當前簽名次數。8.根據權利要求7所述的方法，其特征在于：所述根據更新后的簽名次數、所述簽名值、所述注冊標識和所述挑戰值參數組成斷言數據，具體包括：客戶端身份認證模塊獲取自身的認證器ID、協議版本、簽名算法和證書，根據獲取的所述認證器ID、所述協議版本、所述簽名算法、所述證書與所述更新后的簽名次數、所述簽名值、所述注冊標識、所述隨機數和所述挑戰值參數組成拼接結果，將所述拼接結果作為V值，將所述拼接結果的長度值作為L值，將第二預設值作為T值，按照TLV格式組成TLV數據，對所述TLV數據進行編碼，將得到的編碼結果作為所述斷言數據。9.根據權利要求6所述的方法，其特征在于：所述預設請求為交易請求，所述請求數據具體為交易數據，所述交易數據中包含有交易信息、挑戰值參數和認證策略參數，所述認證策略參數中包含有注冊標識字段；所述步驟S5具體為：客戶端身份認證模塊根據所述認證策略參數中包含的注冊標識字段查找并獲取保存的注冊標識和密鑰對私鑰，獲取當前簽名次數，生成隨機數，使用所述密鑰對私鑰對所述注冊標識、所述隨機數以及所述交易數據中包含的交易信息、挑戰值參數進行簽名計算得到簽名值，更新當前簽名次數，根據更新后的簽名次數、所述簽名值、所述注冊標識、所述隨機數和所述交易信息、所述挑戰值參數組成斷言數據，根據所述斷言數據組成身份認證請求響應，向客戶端應用程序模塊返回所述身份認證請求響應，所述計算得到斷言數據之后還包括更新所述當前簽名次數。10.根據權利要求9所述的方法，其特征在于：所述根據更新后的簽名次數、所述簽名值、所述注冊標識、所述隨機數和所述交易信息、所述挑戰值參數組成斷言數據具體包括：客戶端身份認證模塊獲取自身的認證器ID、協議版本、簽名算法和證書，根據獲取的所述認證器ID、所述協議版本、所述簽名算法、所述證書與所述更新后的簽名次數、所述簽名值、所述注冊標識、所述隨機數、所述挑戰值參數和交易信息組成拼接結果，將所述拼接結果作為V值，將所述拼接結果的長度值作為L值，將第二預設值作為T值，按照TLV格式組成TLV數據，對所述TLV數據進行編碼，將得到的編碼結果作為所述斷言數據。11.根據權利要求1所述的方法，其特征在于：所述步驟S2還包括獲取客戶端標識，具體如下：若客戶端操作系統為iOS系統，則所述客戶端應用程序模塊獲得客戶端的BundleID，并將其作為客戶端標識；若客戶端操作系統為Android系統，則客戶端應用程序模塊獲取客戶端數字簽名，根據預設哈希算法對所述客戶端數字簽名進行計算，并將計算得到的哈希值作為客戶端標識。12.一種基于生物特征識別的客戶端，其特征在于，包括客戶端應程序模塊和客戶端身份認證模塊；所述客戶端應用程序模塊包括第一收發單元、第一交互單元、第二交互單元；所述第一收發單元，用于向服務器發起預設請求，并接收服務器返回的請求數據，觸發第一交互單元；還用于收到第一交互單元的觸發時向服務器發送斷言數據，并接收服務器返回的請求響應；所述第一交互單元，用于根據客戶端標識和所述請求數據組成身份驗證請求，向客戶端身份認...

【專利技術屬性】
技術研發人員：陸舟，于華章，
申請(專利權)人：飛天誠信科技股份有限公司，
類型：發明
國別省市：北京;11