基于互联网第三方生物特征验证的网络身份验证方法

摘要

一种基于互联网第三方生物特征验证的网络身份验证方法，以生物特征(指纹、人脸、虹膜、唇膜等其它生物特征)作为用户身份标识，用户通过从由第三方提供的客户端控件提交生物特征码向第三方获取验证请求，通过请求令牌流程以及比对算法进行身份验证，通过完全合作网站或合作网络应用程序自助形式进行互联网身份验证，第三方提供含注册、验证、重设生物特征、绑定信息等请求接口，第三方无需知道用户在合作网站或合作网络应用程序的用户名称，从而避免获取用户在合作网站或合作网络应用程序的其它内容信息，合作网站或合作网络应用程序完全主动请求服务以及通过Cookie，SSL，多重加密方式、控件数字签名、用户自定义文字及图片等方式保证服务端可靠性以及三方通信内容安全性。

说明书

技术领域

本发明应用于互联网络，属于网络身份识别技术领域，具体涉及一种以第三方合作方式为网站提供通过运用各种生物特征设备而采集生物特征身份的验证方法。

背景技术

传统的互联网密码验证服务是基于“ID号+字符串密码”的验证模式，而基于互联网的生物特征验证服务是基于<ID号+“生物特征码”>的验证模式。

传统的验证方式一直存在一些问题，如密码容易忘记，并且容易被人窃取。用户忘记了密码，轻则会导致不能进入邮箱、论坛，重则登录不了业务系统，甚至由于忘记了管理员密码而需要重新安装整个系统，如果密码被人盗去则更是一件后果严重的事情，而实际上，传统字符串密码的的盗取是一件比较容易的事情，别人只要留意你在计算机终端的口令录入就可以成功盗取密码，甚至可以通过你的生日等相关信息猜出你的密码，所以用户平时需要经常更换密码来保证安全，这对用户来说增加了记忆负担，并且也没有从根本上解决问题，而生物特征中存储着巨大的数据信息，从而不用记忆、加之有时效性不会被猜中与盗取.

近年来，自动发送信息的互联网络，带给人们的方便与利益，正在快速增长之中，但也因此产生了很多的问题，尤其在信息安全方面。无论是团体或者个人的信息，都害怕在四通八达的网络上传送而发生有损权益的事情。由于生物特征可以通过互联网进行验证，通过生物特征识别技术，限定只有指定的人才能访问相关信息，可以极大地提高网上信息的安全性，这样，包括网上银行、网上贸易、电子商务、娱乐社区的一系列网络商业行为，就有了安全性保障。

发明内容

本发明旨在提供一种基于互联网第三方生物特征验证网络身份验证方法，通过生物特征识别技术，提高网上信息的安全性，这样，包括网上银行、网上贸易、电子商务、娱乐社区的一系列网络商业行为，就有了安全性保障。

为解决上述技术问题，本发明采用以下技术方案：

一种基于互联网第三方生物特征验证的网络身份验证方法，以生物特征作为用户身份标识用户通过网站提交生物特征码向第三方获取验证请求，通过请求令牌流程以及比对算法进行身份验证，通过完全用户网站或合作网络应用程序自助形式进行互连网身份验证，最终用户的关联绑定，及注册完全由网站自行完成，第三方只通过用户或网站在第三方注册的标识符接受用户注册、重新绑定、验证请求、重设生物特征信息等请求，无需知道用户在网站的用户名称，从而避免获取用户在网站的其它内容信息，合作网站完全主动请求服务以及通过Cookie，SSL，多重加密方式、用户自定义文字及图片等方式保证服务端可靠性以及三方通信内容安全性。

所述方法包括以下步骤：

(1)客户端(C)通过收集用户电脑注册表及USB端口扫描信息取得用户所使用的采集设备种类，并向生物特征验证服务器(A)提交动态更新Reader API请求，以驱动用户不同类型设备、客户端(C)向用户显示曾预先上传过的自定义图像及文字，以供用户识别第三方生物特征验证服务端的真实、正确性，并填写合作网站或合作网络应用程序(B)的帐号，把该帐号提交给合作网站或合作网络应用程序(B)；

(2)合作网站或合作网络应用程序(B)通过合作网站或合作网络应用程序(B)的帐号查询绑订关系数据库查到生物特征验证服务器(A)的ID序列号，并将所述生物特征验证服务器(A)的ID序列号和所述合作网站或合作网络应用程序(B)在生物特征验证服务器注册的网站ID写入Cookie，同时将所述生物特征验证服务器(A)的ID序列号及合作网站或合作网络应用程序(B)在生物特征验证服务器注册的网站ID发送给生物特征验证服务器(A)；

(3)生物特征验证服务器(A)接收到所述生物特征验证服务器(A)的ID序列号及合作网站(B)在生物特征验证服务器注册的网站ID后检查此两个ID是否存在，如果不存在则生成空登录令牌返回给合作网站或合作网络应用程序(B)；如果存在则生成非空登录令牌并返回给合作网站或合作网络应用程序(B)，同时将生成的所述登录令牌存入数据库备案；

(4)合作网站或合作网络应用程序(B)接收到所述登录令牌后判断登录令牌是否为空，如果登录令牌为空则生成失败跳转页面地址并返回给客户端(C)；如果登录令牌非空则将所述登录令牌写入Cookie及数据库备案，同时返回登录令牌及用户预定义文字或图像给客户端(C)；

(5)客户端(C)接收到登录令牌及用户预定义文字或图像后，显示用户预定义文字或图像，开始采集生物特征，并进行生物特征提取和处理，然后将所述登录令牌及处理后的生物特征数据发送给生物特征验证服务器(A)；

(6)生物特征验证服务器(A)接收到所述登录令牌及客户端(C)发送过来的所述生物特征数据后，验证比对此生物特征数据生成生物特征码，并将此特征码去以往验证日志库查询若找到完全一样的会根据安全级别策略来定是否通过验证(因特征码完全一样的机率效小)，若与以往的任何一种有完全一致的特征码，则系统自动识别为非法特征码；若比对成功验证服务器将智能提取此次特征码的新的特征点智能合并到特征库中，以确保每枚指纹特征数量逐渐完整，然后把比对结果存入数据库，同时将比对成功消息返回给客户端(C)；

(7)客户端(C)接收到接收比对成功消息并把该比对成功消息发送给合作网站(B)；

(8)合作网站或合作网络应用程序(B)接收到比对成功消息后从Cookie里取出生物特征验证服务器(A)的ID序列号及合作网站或合作网络应用程序(B)在生物特征验证服务器(A)注册的网站ID和登录令牌信息发送给生物特征验证服务器(A)；

(9)生物特征验证服务器(A)接收到所述生物特征验证服务器(A)的ID序列号及合作网站或合作网络应用程序(B)在生物特征验证服务器注册的网站ID和登录令牌后，通过令牌ID和生物特征验证服务器(A)的ID序列号及合作网站或合作网络应用程序(B)在生物特征验证服务器(A)注册的网站ID验证登录令牌是否合法，如果非法则产生错误信息，如果合法则通过此用户在合作网站或合作网络应用程序(B)的此次登陆请求所使用的账号和登录令牌从数据库查找步骤(6)中的生物特征比对结果，把错误信息或所述比对结果返回给合作网站或合作网络应用程序(B)；

(10)合作网站或合作网络应用程序(B)接收到返回的比对结果判断登录是否成功，如果比对失败则生成失败跳转页面地址，如果比对成功则生成登录Cookie并生成成功跳转页面地址，最后把跳转页面地址返回给客户端(C)，同时清除生物特征验证服务器(A)的ID序列号及合作网站或合作网络应用程序(B)在生物特征验证服务器注册的网站ID所写入的Cookie；

(11)客户端(C)接收到跳转页面地址进行页面跳转，登录流程完毕。

本发明以生物特征(指纹、人脸、虹膜、唇膜等其它生物特征)作为用户身份标识用户通过网站提交生物特征码向第三方获取验证请求，通过请求令牌流程以及比对算法进行身份验证，通过完全用户网站或合作网络应用程序自助形式进行互连网身份验证，第三方无需知道用户在合作网站或合作网络应用程序的用户名称，从而避免获取用户在合作网站或合作网络应用程序的其它内容信息，合作网站或合作网络应用程序完全主动请求服务以及通过Cookie，SSL，多重加密方式、控件数字签名、用户自定义文字及图片等方式保证服务端可靠性以及三方通信内容安全性。

附图说明

图1所示为本发明基于互联网第三方生物特征验证的网络身份验证方法系统示意图；

图2所示为本发明公开的基于互联网第三方生物特征验证的网络身份验证方法流程图。

具体实施方式

下面根据说明书附图对本发明的技术方案进一步详细表述。

如图1所示为本发明的系统组成示意图，本发明公开的基于互联网第三方生物特征验证的网络身份验证系统包括：客户端、合作网站或合作网络应用程序和作为第三方的生物特征验证服务器。客户端可以为工作站、便携电脑，以及其它智能客户端，在客户端安装有生物特征采集设备，可以对包括指纹、人脸、虹膜、唇膜等其它生物特征进行采集、处理和加密，生成具有“生物特征”特征码，然后向第三方“生物特征”验证服务器获取验证请求，并通过请求令牌流程以及比对算法，进行网络身份验证，从而避免获取用户在合作网站或合作网络应用程序的其它内容信息。

如图2所示为本发明公开的生物特征验证方法流程图，本发明的技术方案包括以下步骤：

1)客户端(C)通过收集用户电脑注册表及USB端口扫描信息取得用户所使用的采集设备种类，并向生物特征验证服务器(A)提交动态更新Reader API请求，以驱动用户不同类型设备、客户端(C)向用户显示曾预先上传过的自定义的图像及文字，以供用户识别第三方生物特征验证服务端的真实性，并填写合作网站或合作网络应用程序(B)的帐号，把该帐号提交给合作网站或合作网络应用程序(B)；

2)合作网站或合作网络应用程序(B)通过合作网站或合作网络应用程序(B)的帐号查询绑订关系数据库查到生物特征验证服务器(A)的ID序列号，并将所述生物特征验证服务器(A)的ID序列号和所述合作网站或合作网络应用程序(B)在生物特征验证服务器注册的合作网站或合作网络应用程序ID写入Cookie，同时将所述生物特征验证服务器(A)的ID序列号及合作网站或合作网络应用程序(B)在生物特征验证服务器注册的合作网站或合作网络应用程序ID发送给生物特征验证服务器(A)；

3)生物特征验证服务器(A)接收到所述生物特征验证服务器(A)的ID序列号及合作网站或合作网络应用程序(B)在生物特征验证服务器注册的合作网站或合作网络应用程序ID后检查此两个ID是否存在，如果不存在则生成空登录令牌返回给合作网站或合作网络应用程序(B)；如果存在则生成非空登录令牌并返回给合作网站或合作网络应用程序(B)，同时将生成的所述登录令牌存入数据库备案；

4)合作网站或合作网络应用程序(B)接收到所述登录令牌后判断登录令牌是否为空，如果登录令牌为空则生成失败跳转页面地址并返回给客户端(C)；如果登录令牌非空则将所述登录令牌写入Cookie及数据库备案，同时返回登录令牌及用户预定义文字或图像给客户端(C)；

5)客户端(C)接收到登录令牌及用户预定义文字或图像后，显示用户预定义文字或图像，开始采集生物特征，并进行生物特征提取和处理，然后将所述登录令牌及处理后的生物特征数据发送给生物特征验证服务器(A)；

6)生物特征验证服务器(A)接收到所述登录令牌及客户端(C)发送过来的所述生物特征数据后，验证比对此生物特征数据生成生物特征码，并将此特征码去以往验证日志库查询若找到完全一样的会根据安全级别策略来定是否通过验证：(因特征码完全一样的机率较小)，若与以往的任何一种有完全一致的特征码时，则系统自动识别为非法特征码；若比对成功验证服务器将智能提取此次特征码的新的特征点智能合并到特征库中，以确保每枚指纹特征数量逐渐完整，然后把比对结果存入数据库，同时将比对成功消息返回给客户端(C)；

7)客户端(C)接收到接收比对成功消息并把该比对成功消息发送给合作网站或合作网络应用程序(B)；

8)合作网站或合作网络应用程序(B)接收到比对成功消息后从Cookie里取出生物特征验证服务器(A)的ID序列号及合作网站或合作网络应用程序(B)在生物特征验证服务器(A)注册的合作网站或合作网络应用程序ID和登录令牌信息发送给生物特征验证服务器(A)；

9)生物特征验证服务器(A)接收到所述生物特征验证服务器(A)的ID序列号及合作网站或合作网络应用程序(B)在生物特征验证服务器注册的合作网站或合作网络应用程序ID和登录令牌后，通过令牌ID和生物特征验证服务器(A)的ID序列号及合作网站或合作网络应用程序(B)在生物特征验证服务器(A)注册的合作网站或合作网络应用程序ID验证登录令牌是否合法，如果非法则产生错误信息，如果合法则通过此用户在合作网站或合作网络应用程序(B)的此次登陆请求所使用的账号和登录令牌从数据库查找步骤(6)中的生物特征比对结果，把错误信息或所述比对结果返回给合作网站或合作网络应用程序(B)；

10)合作网站或合作网络应用程序(B)接收到返回的比对结果判断登录是否成功，如果比对失败则生成失败跳转页面地址，如果比对成功则生成登录Cookie并生成成功跳转页面地址，最后把跳转页面地址返回给客户端(C)，同时清除生物特征验证服务器(A)的ID序列号及合作网站或合作网络应用程序(B)在生物特征验证服务器注册的合作网站或合作网络应用程序ID所写入的Cookie；

11)客户端(C)接收到跳转页面地址进行页面跳转，登录流程完毕。

在采集生物特征后，对所提取的生物特征特征码进行以令牌ID、时间戳做为Key进行对称加密。合作网站或合作网络应用程序通过本发明所提供注册新用户及绑定原有用户的接口，将网站或合作网络应用程序用户与第三方生物特征服务器用户ID进行关联，通过提交用户的注册信息中的Email去第三方生物特征用户库中查询，验证服务器使用合作网站或合作网络应用程序用户的Email做为唯一标识，若存在代表此用户可能在其它合作网站或合作网络应用程序注册过，所以不必再进行第三方生物特征库的注册，直接从生物特征库查出相应用户在第三方生物特征库中用户ID返回，合作网站或合作网络应用程序进行绑定，省去重新录入生物特征过程，重设生物特征用户可在合作网站或合作网络应用程序通过输入旧的生物特征以及回答重置生物特征问题密码进入重新设置生物特征页面。

本发明所公开的验证方法通过完全由合作网站或合作网络应用程序自助形式进行互连网身份验证，最终用户的关联绑定及注册完全由网站或合作网络应用程序自行完成，第三方生物特征验证服务器(A)只通过用户或合作网站或合作网络应用程序(B)所注册的标识符及Email，通过提供接口的方式接受来自合作网站或合作网络应用程序(B)的用户注册、重新绑定、验证请求、重设生物特征信息主动请求，第三方无需知道用户在合作网站或合作网络应用程序的用户名称，从而避免获取用户在合作网站或合作网络应用程序(B)的其它内容信息.

生物特征验证服务器(A)、合作网站或合作网络应用程序(B)与客户端(C)之间的通讯均通过SSL方式以保证通讯的数据不被篡改，以及控件采用微软数字签名防止被加入不良代码。

本发明所述的生物特征可以为作为用户身份标识的指纹、人脸、虹膜、唇膜等其它生物特征。