电子信息技术

本发明公开了一种基于生物特征的验证码认证方法及系统，包括发送认证请求，并接收验证码；根据获取的生物特征生成第一私钥和第一公钥；对所述生物特征进行哈希运算得到第一私钥，对所述第一私钥进行椭圆曲线加密得到第一公钥；根据第一私钥对验证码进行签名，并发送验证码和签名信息，以便获得由第一公钥完成认证的认证结果。将用户生物特征值作为私钥，对远程服务器验证码进行数字签名后再返回给远程服务器；由远程服务器根据用户公钥对验证码和签名信息进行认证。生物特征具有唯一性和不可复制性且无需网络传输和密钥管理，对验证码进行签名，使得验证码具有认证性、完整性、不可否认性，提高验证码安全性。

在采用第三方软件进行在线支付时，第三方支付公司广泛采用以手机短信为载体的短信验证码来确认用户身份；或者在用户忘记登录密码时，第三方服务器会向用户注册的手机号发送一条含有验证码的短信，用户在规定时间内将验证码输入提示对话框并且发送给远程服务器，以此来验证用户的真实性。通过验证码方式的身份认证方式，可以不用密码而直接使用短信验证码的方式进行登录，给用户带来了便利。

但是，发明人认为，上述认证方式存在很多安全隐患，一方面，短信以明文方式进行传输，网络中潜在的敌手可以通过监听的方式获得用户的验证码，从而冒充合法用户登录系统；另一方面，在用户手机丢失的情况下，如果用户没有及时注销手机号码，敌手可以在此时间段使用该手机冒充合法用户登录用户的系统，导致合法用户的利益受损；况且，如果用户手机里的其他软件被允许读取短信、通话记录等内容，验证码可能存在被恶意盗用的风险。甚至在用户相互串通的情况下，验证码被他人盗用，否认网络支付的真实性，那么交易平台与银行将会面临法律纠纷。另外，如果敌手能够以非法方式复制用户的手机卡、更换手机号后忘记在已注册的系统里更新手机号等情况下，都会导致因手机卡与合法用户的分离问题而给敌手冒充合法用户的行为提供了可乘之机。因此传统的验证码认证方式非常容易受到网络诈骗、木马拦截、窃听信道、钓鱼网站等攻击。

为了避免出现以上问题，目前对验证码认证方式进行改进，其一利用手机内置SDK(软件开发工具包)建立二进制通道，将短信验证码以二进制的形式进行传输；用户事先向安全服务器注册自己的密钥，在需要身份认证时，认证端将需要认证的手机号及短信验证码发送给安全服务器，安全服务器根据手机号码与密钥对应表获取密钥，对验证码加密处理之后，再返回给认证端，认证端将加密之后的验证码发送给相应客户端，客户端利用密钥解密，获取验证码。此方法对验证码加密处理，因此验证码不再是明文传输，即使被不法分子截获也无法解密获取明文，提高了验证码的安全性。但是此方法需要安全服务器一直在线，增加管理成本。

其二，建立一个受信任的安全代理，保管用户身份及用户通行证；此方法同样要求安全代理一直在线，增加成本。或将用户名及密码存储在称为密码管理器的卡片中，用户按照用“户名+口令”的方式登录，然后系统利用卡片进行二次身份认证；但此方法需要对卡片维护，更改密钥不方便。再者基于OMS手机平台身份认证，即使用基于硬件的特定动态口令进行身份认证，并且在手机上集成USB‑Key的功能，用手机内部的SIM卡实现了USB‑Key的功能，在进行一次性口令电子认证时，不必随身携带硬件，减少不必要的麻烦；但是此方法数据传输量有限，而且没有实现人机分离，在用户手机丢失的情况下，不法分子可以冒充合法用户进行身份认证。

本发明提出了一种基于生物特征的验证码认证方法及系统，将用户生物特征值作为私钥，对远程服务器验证码进行数字签名后再返回给远程服务器；由远程服务器根据用户公钥对验证码和签名信息进行认证。生物特征具有唯一性和不可复制性且无需网络传输和密钥管理，对验证码进行签名，使得验证码具有认证性、完整性、不可否认性，提高验证码安全性。

与现有技术相比，本发明的有益效果为：

本发明利用生物特征生成的第一私钥对验证码进行数字签名，能够把合法用户与验证码绑在一起，能够证明验证码确实被合法用户收到，解决了因手机丢失、更换手机号等问题带来的安全隐患。

本发明利用生物特征导出用户的私钥解决了密钥管理问题，生物特征既不用保存，也无需网络传输，具有自我管理功能，且使用方便。

本发明解决了传统手机验证码认证方式存在的恶意拦截、电信诈骗、信道窃听等安全隐患问题，提出基于生物特征的手机验证码数字签名技术，利用用户自身的生物特征作为私钥，采用基于椭圆曲线的ECC签名算法，对消息验证码进行数字签名，使得验证码具有完整性、认证性以及不可否认性，实现双因子认证，提高了验证的安全性和实用性。