CN112328989A

CN112328989A - 基于生物特征的网络身份验证方法、***和存储介质

Info

Publication number: CN112328989A
Application number: CN202011163936.8A
Authority: CN
Inventors: 韩思; 范渊; 吴永越
Original assignee: Hangzhou Dbappsecurity Technology Co Ltd
Current assignee: Hangzhou Dbappsecurity Technology Co Ltd
Priority date: 2020-10-27
Filing date: 2020-10-27
Publication date: 2021-02-05

Abstract

本申请涉及一种基于生物特征的网络身份验证方法、***和存储介质，其中，该基于生物特征的网络身份验证方法包括：获取身份信息、虹膜信息和会话秘钥，根据会话秘钥对身份信息和虹膜信息进行加密，得到第一加密信息，根据身份信息和虹膜信息生成第一校验码，发送第一加密信息和第一校验码至服务器，在服务器验证通过的情况下获取第二加密信息和第二校验码，根据会话秘钥对第二加密信息进行解密，根据第二校验码和解密后的第二加密信息，判断身份验证是否通过。通过本申请，解决了相关技术中仅通过口令密码和所拥有的物品进行身份验证，导致身份验证过程安全性较低，容易为用户造成损失的问题，提高了用户信息的隐私性。

Description

基于生物特征的网络身份验证方法、***和存储介质

技术领域

本申请涉及网络安全技术领域，特别是涉及基于生物特征的网络身份验证方法、***和存储介质。

背景技术

通常情况下，在远程桌面服务或远程桌面连接过程中需要进行网络用户的身份验证，随着网络技术的发展，如何准确地鉴定网络用户的身份、保护用户信息安全是必须解决的一个问题。

在相关技术中，大多采用基于身份信息或者拥有物品的认证方法进行身份认证，例如，通过口令密码。由于口令密码和所拥有的物品等都易丢失、被窃、遗忘，且无法通过口令密码和所拥有的物品识别冒名顶替者，导致相关技术中的身份验证方法安全性较低，容易为用户造成损失。

目前针对相关技术中仅通过口令密码和所拥有的物品进行身份验证，导致身份验证过程安全性较低，容易为用户造成损失的问题，尚未提出有效的解决方案。

发明内容

本申请实施例提供了一种基于生物特征的网络身份验证方法、***和存储介质，以至少解决相关技术中仅通过口令密码和所拥有的物品进行身份验证，导致身份验证过程安全性较低，容易为用户造成损失的问题。

第一方面，本申请实施例提供了一种基于生物特征的网络身份验证方法，包括：

获取身份信息和虹膜信息；

获取会话秘钥，根据所述会话秘钥对所述身份信息和虹膜信息进行加密，得到第一加密信息，根据所述身份信息和所述虹膜信息生成第一校验码；

发送所述第一加密信息和所述第一校验码至服务器进行验证，在所述验证通过的情况下获取第二加密信息和第二校验码；

根据所述会话秘钥对所述第二加密信息进行解密，根据所述第二校验码和解密后的第二加密信息，判断身份验证是否通过。

在其中一些实施例中，得到第一加密信息还包括：

根据时间戳、所述身份信息和所述虹膜信息生成第一加密信息，其中，所述时间戳与所述会话秘钥同时生成。

在其中一些实施例中，获取虹膜信息包括：

获取待识别的虹膜图像，根据所述虹膜图像与数据库中的模板虹膜进行对比，得到所述虹膜图像的第一特征；

对所述虹膜图像进行识别，得到第二特征；

根据所述第一特征和所述第二特征，得到所述虹膜信息。

在其中一些实施例中，得到所述虹膜图像的第一特征包括：

获取多组待识别的虹膜图像的多个编码矩阵，其中，所述虹膜图像与所述编码矩阵对应；

将多个所述编码矩阵分别与所述模板虹膜的编码矩阵进行对比，得到多个所述第一特征；

在多个所述第一特征中，选取值最小的所述第一特征，作为所述虹膜图像的第一特征。

在其中一些实施例中，获取待识别的虹膜图像包括：

获取初始虹膜图像中虹膜的内边界和外边界；

根据所述内边界和所述外边界，通过极坐标对所述初始虹膜图像进行归一化；

对归一化后的所述初始虹膜图像进行直方图均衡化，得到所述待识别的虹膜图像。

第二方面，本申请实施例提供了一种基于生物特征的网络身份验证方法，包括：

通过认证生成会话秘钥，获取第一加密信息和第一校验码，根据所述会话秘钥对所述第一加密信息进行解密，获取身份信息和虹膜信息；

根据所述身份信息和所述虹膜信息对所述第一校验码进行验证，在验证通过的情况下，将所述身份信息、所述虹膜信息分别与数据库中的模板身份信息、模板虹膜信息进行匹配；

在匹配成功的情况下，根据所述会话秘钥对所述模板身份信息和模板虹膜信息加密，生成第二加密信息，并根据所述模板身份信息和模板虹膜信息生成第二校验码；

发送所述第二加密信息和所述第二校验码。

在其中一些实施例中，在发送所述第二加密信息和所述第二校验码之前，还包括：

获取时间戳；

在所述时间戳与当前时间的差值大于预设时间段阈值的情况下，所述验证被判定为无效。

在其中一些实施例中，所述虹膜信息包括第一特征和第二特征，在验证通过之后，所述方法还包括：

在所述第二特征存在于所述数据库中的情况下，根据所述第一特征进行身份验证；

在所述第二特征不存在于所述数据库中的情况下，将所述第一特征和所述第二特征添加至所述数据库。

第三方面，本申请实施例提供了一种基于生物特征的网络身份验证***，包括客户机和服务器：

所述服务器接收所述客户机的通信请求，根据所述通信请求，所述服务器与所述客户机相互认证，生成会话秘钥；

所述客户机获取身份信息和虹膜信息，根据所述会话秘钥对所述身份信息和虹膜信息进行加密，得到第一加密信息，根据所述身份信息和所述虹膜信息生成第一校验码；

所述客户机发送所述第一加密信息和所述第一校验码至所述服务器进行验证；

所述服务器根据所述会话秘钥对所述第一加密信息进行解密，获取所述身份信息和所述虹膜信息；

所述服务器根据所述身份信息和所述虹膜信息对所述第一校验码进行验证，在验证通过的情况下，将所述身份信息、所述虹膜信息分别与数据库中的模板身份信息、模板虹膜信息进行匹配；

所述服务器在匹配成功的情况下，根据所述会话秘钥对所述模板身份信息和模板虹膜信息加密，生成第二加密信息，并根据所述模板身份信息和模板虹膜信息生成第二校验码，将所述第二加密信息和所述第二校验码发送至所述客户机；

所述客户机根据所述会话秘钥对所述第二加密信息进行解密，根据所述第二校验码和解密后的第二加密信息，判断身份验证是否通过。

第四方面，本申请实施例提供了一种电子装置，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上述第一方面或者第二方面所述的基于生物特征的网络身份验证方法。

第五方面，本申请实施例提供了一种存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上述第一方面或者第二方面所述的基于生物特征的网络身份验证方法。

相比于相关技术，本申请实施例提供的基于生物特征的网络身份验证方法，通过获取身份信息、虹膜信息和会话秘钥，根据会话秘钥对身份信息和虹膜信息进行加密，得到第一加密信息，根据身份信息和虹膜信息生成第一校验码，发送第一加密信息和第一校验码至服务器进行验证，在验证通过的情况下获取第二加密信息和第二校验码，根据会话秘钥对第二加密信息进行解密，根据第二校验码和解密后的第二加密信息，判断身份验证是否通过，解决了相关技术中仅通过口令密码和所拥有的物品进行身份验证，导致身份验证过程安全性较低，容易为用户造成损失的问题，提高了用户信息的隐私性，为用户降低了财产损失的可能性。

本申请的一个或多个实施例的细节在以下附图和描述中提出，以使本申请的其他特征、目的和优点更加简明易懂。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1是根据本申请实施例的基于生物特征的网络身份验证方法的流程图；

图2是根据本申请实施例的获取虹膜信息的方法的流程图；

图3是根据本申请实施例的虹膜图像预处理的方法的流程图；

图4是根据本申请实施例的另一种基于生物特征的网络身份验证方法的流程图；

图5为本申请实施例的基于生物特征的网络身份验证方法的终端的硬件结构框图；

图6是根据本申请实施例的基于生物特征的网络身份验证***的结构框图；

图7是根据本申请优选实施例的网络身份验证***的示意图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行描述和说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。基于本申请提供的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。此外，还可以理解的是，虽然这种开发过程中所作出的努力可能是复杂并且冗长的，然而对于与本申请公开的内容相关的本领域的普通技术人员而言，在本申请揭露的技术内容的基础上进行的一些设计，制造或者生产等变更只是常规的技术手段，不应当理解为本申请公开的内容不充分。

在本申请中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是，本申请所描述的实施例在不冲突的情况下，可以与其它实施例相结合。

除非另作定义，本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制，可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形，意图在于覆盖不排他的包含；例如包含了一系列步骤或模块(单元)的过程、方法、***、产品或设备没有限定于已列出的步骤或单元，而是可以还包括没有列出的步骤或单元，或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电气的连接，不管是直接的还是间接的。本申请所涉及的“多个”是指大于或者等于两个。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，“A和/或B”可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象，不代表针对对象的特定排序。

网络身份认证要求用户在与服务器创建会话前先进行身份验证，这一措施是保证远程传输信息的安全性和完整性，保证远程存取访问的可靠性和用户身份的不可抵赖性的一个重要手段，通常应用于远程桌面服务或远程桌面连接等技术中。

互联网服务内容供应商出于考虑运营成本，对用户身份验证的安全性重视普遍不足，而且很少建立实体服务，用户一旦发生帐号被盗或者密码遗忘等情况，只能通过简单的填写表单或者发送邮件方式要求服务商协助。正因为互联网服务内容供应商对用户身份真实性验证保障的不足，造成目前用户信息被盗取的现象产生，严重影响了用户正常使用服务的体验，且容易造成无可挽回的损失。

本实施例提供了一种基于生物特征的网络身份验证方法，应用于客户机与服务器进行交互的场景下，以该方法应用于客户机为例，图1是根据本申请实施例的基于生物特征的网络身份验证方法的流程图，如图1所示，该方法包括如下步骤：

步骤S110，获取身份信息和虹膜信息。

本实施例中，由客户机获取用户的身份信息和虹膜信息，其中，身份信息为用户表明自己身份的信息，通常是与用户对应的标识符(identifier，简称为ID)或者编码，例如身份证号或者工号等等。对于虹膜信息，可以通过客户端的摄像头采集用户的虹膜图像，再对虹膜图像中的特征进行识别得到。

步骤S120，获取会话秘钥，根据会话秘钥对身份信息和虹膜信息进行加密，得到第一加密信息，根据身份信息和虹膜信息生成第一校验码。

其中，会话秘钥是通过服务器和客户机相互认证，使用Diffie-Hellman算法生成的，以K_s表示，服务器和客户机之间的认证满足正常通讯协议即可，Diffie-Hellman算法是一种密钥一致性算法，其在有限域上计算离散对数，可以提高计算过程的安全性，进一步地，Diffie-Hellman算法仅当需要时才生成会话密钥，减小了将会话密钥长时间存储而导致会话秘钥遭受攻击的机会，而且，除对全局参数的约定外，会话密钥的交换不需要事先存在的基础结构，全局参数例如身份信息和虹膜信息。本实施采用Diffie-Hellman算法进行密钥交换，保证了密钥的不可知，提高认证的隐私性和安全性，减少了秘钥被窃取的可能性。

服务器和客户机的会话密钥K_s包括公私钥对{(PK_i,SK_i)}，具体的生成过程为：服务器根据要传输的明文和公私钥生成会话列表，会话列表中包括公钥PK_i列表，私钥不存在与会话列表中；客户机根据***的分布式秘钥，即会话列表中的公钥生成主公钥，然后通过ElGamal算法加密得到密文，其中，分布式秘钥指的是不需要第三方来集中生成和发送，而是由客户机和服务器相互认证生成的公私钥；服务器计算出密文之积，通过分布式秘钥生成的协议，恢复主私钥；客户机输入主私钥，用ElGamal解密函数，对密文之积进行解密，根据解密结果实现服务器和客户机相互认证，认证成功则允许客户机进行访问。本实施例中的ElGamal是一种非对称加密算法。

本实施例中，第一校验码通对身份信息和虹膜信息进行MD5校验得到，其中，MD5校验是一个将任意长度的数据字符串转化成短的固定长度的值的单向操作，任意两个字符串具有不同的散列值。

步骤S130，发送第一加密信息和第一校验码至服务器进行验证，在验证通过的情况下获取第二加密信息和第二校验码，本实施例中的第二加密信息和第二校验码均由服务器生成。

步骤S140，根据会话秘钥对第二加密信息进行解密，根据第二校验码和解密后的第二加密信息，判断身份验证是否通过。

客户机在收到第二加密信息之后，通过会话秘钥对第二加密信息进行解密，然后对解密后的信息做MD5校验，在得到的校验码与第二校验码一致的情况下，认为客户机的身份验证通过。通过使用MD5校验，可以减少远程仿冒，提高远程传输信息的正确性。

通过上述步骤S110至步骤S140，本实施例基于用户的虹膜来验证身份，由于虹膜具有惟一性、稳定性、可采集性、非侵犯性等优点，因此通过虹膜进行认证和识别的准确性更高，且用户虹膜易于采集，不易受外界影响，可以有效降低用户识别的错误率，解决了相关技术中仅通过口令密码和所拥有的物品进行身份验证，导致身份验证过程安全性较低，容易为用户造成损失的问题，提高了用户信息的隐私性，为用户降低了财产损失的可能性。

在其中一些实施例中，得到第一加密信息还包括：根据时间戳、身份信息和虹膜信息生成第一加密信息，其中，该时间戳与会话秘钥同时生成。在有时间戳的情况下，若服务器接收到第一加密信息，会先对时间戳进行验证，在时间戳的时间与验证时间的差值大于预设时间段阈值的情况下，判定验证无效，其中，预设时间段阈值可以由开发人员根据场景需求进行设置。本实施例中引入时间戳，使得会话密钥有一定的时效，用户如在一定时间内没有动作，则会话密钥过期，需要重新验证身份，保证了会话密钥的有效，同时提高了客户机的安全性。

在其中一些实施例中，图2是根据本申请实施例的获取虹膜信息的方法的流程图，如图2所示，该方法包括如下步骤：

步骤S210，获取待识别的虹膜图像，根据虹膜图像与数据库中的模板虹膜进行对比，得到虹膜图像的第一特征。

本实施例中，数据库为预先建立好的，且包括多个模板虹膜，模板虹膜即为用户为了进行身份验证在数据库中预先录入的虹膜图像，在通过客户机请求服务器上的数据时，可以重新获取用户的虹膜与事先存储的模板虹膜进行对比，本实施例中第一特征为虹膜图像的唯一特征，每个用户都不相同，根据该唯一特征可以确定唯一的用户，例如斑点、细丝、冠状、条纹、隐窝等，可以将虹膜图像与模板虹膜对比后得到的虹膜特征值作为第一特征。

步骤S220，对虹膜图像进行识别，得到第二特征。

本实施例中的第二特征为可以从虹膜图像中识别得到的不唯一特征，可以根据第二特征确定多个用户，例如，含色素、血管、平滑肌、巩膜、虹膜、瞳孔﹑晶状体、视网膜，还可以为虹膜颜色等等，例如黄色，蓝色、棕色。

步骤S230，根据第一特征和第二特征，得到虹膜信息。

通过上述步骤S210至步骤S230，本实施例中的虹膜信息由虹膜的唯一特征和不唯一特征共同组成，可以进一步提高虹膜信息的识别准确度。

在其中一些实施例中，考虑采集到的虹膜图像有遮挡或者不清楚的情况，因此需要采集多组待识别的虹膜图像，每一组虹膜图像都包括左眼和右眼的虹膜图像，其中，虹膜图像的数量可以定义阈值，然后将采集到的虹膜图像与数据库中的模板虹膜进行比对，通常情况下采集6组即可。具体为：获取多组待识别的虹膜图像的多个编码矩阵，其中，虹膜图像与编码矩阵对应，然后将多个编码矩阵分别与模板虹膜的编码矩阵进行对比，得到多个第一特征，进一步地，可以通过如下公式1进行虹膜对比：

ψ_i＝(I_i-I₀)²，i＝1,2,3,....,n 公式1

其中，ψ_i为虹膜特征值，I₀模板虹膜的编码矩阵，I_i为待识别虹膜图像的编码矩阵，其中，虹膜图像可以由瞳孔图像得到，ψ_i为第i幅图像与模板图像比较的结果，n是图像库中图像的数量。然后找ψ_i中值最小的记为min(ψ_i)，即多个第一特征中，选取值最小的第一特征，作为虹膜图像的第一特征。

本实施例中，通过获取多组虹膜图像，可以减少采集到的虹膜图像不清楚导致的识别误差，提高虹膜图像的识别准确度。

虹膜是位于瞳孔和角膜之间的一个环形器官，直径约十几毫米，不同人种的虹膜颜色有很大的差别。在采集虹膜图像时，由于人眼本身是一个镜头，在使用专用的图像采集设备采集虹膜图像时，应避免在人眼中成像的杂光被摄入，在得到初始的虹膜图像之后，还需要对初始的虹膜图像进行预处理。

在其中一些实施例中，图3是根据本申请实施例的虹膜图像预处理的方法的流程图，如图3所示，该方法包括如下步骤：

步骤S310，获取初始虹膜图像中虹膜的内边界和外边界。

在采集到初始虹膜图像之后，需要先对初始虹膜图像进行定位。因为虹膜是位于瞳孔和巩膜之间的环状组织，环状组织的内外径对应不同的圆心，因此要分别确定其内、外边界。对于内边界，可以采用二值化的方法，利用图像灰度投影量分布来定位瞳孔，计算初始虹膜图像的灰度直方图，灰度阈值优选为灰度第一峰值和第二个峰值之间的最小值，以成功分离瞳孔。对于外边界，首先对初始虹膜图像进行边缘提取，最后采用最小二乘拟合得到外边界，其中，边缘提取可以使用Canny算子。

步骤S320，根据内边界和外边界，通过极坐标对初始虹膜图像进行归一化。

由于虹膜的内外边界都可看作圆，因此本实施例中采用极坐标来进行归一化。因为内外边界具有不同圆心，因此可以假设初始虹膜图像内边界和外边界的参数分别是：(x_i,y_i,r_i,)、(x₀,y₀,r₀),以内边界的圆心作为极坐标的中心。

在得到极坐标的中心后，做与水平线成θ角的射线，该射线与内边界、外界各有一个交点，分别是：B(x_i(θ),y_i(θ))、A(x₀(θ),y₀(θ))，则射线上两个交点之间的任意一点都可以用这两个交点的线性组合表示，如公式2所示：

在公式2中，(x,y)为射线上两个交点之间任意一点的坐标。通过公式2可以将初始虹膜图像中的每个点一一映射到极坐标(r,θ)中，经处理的初始虹膜图像具有瞳孔缩放和旋转不变性。

步骤S330，对归一化后的初始虹膜图像进行直方图均衡化，得到待识别的虹膜图像。

在对初始虹膜图像进行归一化之后，还需要对初始虹膜图像进行增强，例如，对初始虹膜图像进行局部的直方图均衡化，增强对比度，消除光照不均匀对初始虹膜图像的影响。

通过上述步骤S310至步骤S330，本实施例对初始虹膜图像进行预处理得到最终用于验证的虹膜图像，提高了虹膜图像的质量，也进一步提高了虹膜识别的速度和效率。

本实施例提供了一种基于生物特征的网络身份验证方法，应用于客户机与服务器进行交互的场景下，以该方法应用于服务器为例，图4是根据本申请实施例的另一种基于生物特征的网络身份验证方法的流程图，如图4所示，该方法包括如下步骤：

步骤S410，通过认证生成会话秘钥，获取第一加密信息和第一校验码，根据会话秘钥对第一加密信息进行解密，获取身份信息和虹膜信息。

本实施例中，客户机和服务器相互认证，然后生成会话秘钥，服务器获取客户机发送的第一加密信息和第一校验码，并根据会话秘钥对第一加密信息进行解密。其中，第一加密信息根据会话秘钥对身份信息和虹膜信息进行加密得到，第一校验码通过MD5校验根据身份信息和虹膜信息生成。

步骤S420，根据身份信息和虹膜信息对第一校验码进行验证，在验证通过的情况下，将身份信息、虹膜信息分别与数据库中的模板身份信息、模板虹膜信息进行匹配。

服务器根据解密后得到的身份信息和虹膜信息，同样使用MD5校验对第一校验码进行验证。在验证通过的情况下，服务器根据虹膜信息和身份信息进行下一步验证，数据库中的模板身份信息和模板虹膜信息为预先存储的用户信息，用户再次请求服务器服务时，需要根据模板身份信息和模板虹膜信息进行验证。

步骤S430，在匹配成功的情况下，对模板身份信息和模板虹膜信息加密，生成第二加密信息，并根据模板身份信息和模板虹膜信息生成第二校验码。

在服务器解密后得到的身份信息、虹膜信息分别与模板身份信息、模板虹膜信息一致的情况下，认为验证成功，然后服务器生成第二加密信息和第二校验码与客户机进行验证。

步骤S440，发送第二加密信息和第二校验码。

通过上述步骤S410至步骤S440，服务器与客户机之间的交互通过虹膜信息进行，由于虹膜具有惟一性、稳定性、可采集性、非侵犯性等优点，因此通过虹膜进行认证和识别的准确性更高，且用户虹膜易于采集，不易受外界影响，可以有效降低用户识别的错误率，解决了相关技术中仅通过口令密码和所拥有的物品进行身份验证，导致身份验证过程安全性较低，容易为用户造成损失的问题，提高了用户信息的隐私性，为用户降低了财产损失的可能性。

在其中一些实施例中，服务器发送所述第二加密信息和所述第二校验码之前，还可以获取时间戳，在时间戳与当前时间的差值大于预设时间段阈值的情况下，验证被判定为无效。具体地，服务器接收到第一加密信息和第一校验码之后，先根据时间戳判断客户机的认证请求是否过期，如果过期，则请求无效，否则，用Diffie-Hellman算法得到的会话密钥对第一加密信息进行解密，保证了会话密钥的有效，同时提高了客户机的安全性。

在其中一些实施例中，虹膜信息包括第一特征和第二特征，其中，第一特征为虹膜图像的唯一特征，根据该第一特征可以确定一个匹配的用户，第二特征为不唯一特征，可以根据第二特征确定多个用户，在对第一校验码验证通过之后，方法还包括：在第二特征存在于数据库中的情况下，可以根据第二特征确定一个较小的验证范围，在这个较小的验证范围内根据第一特征进行用户的身份验证，如果验证通过，则服务器生成第二加密信息，否则，用户可以选择重新认证或者进行注册；在第二特征不存在于数据库中的情况下，则服务器判断当前场景为注册，将第一特征和第二特征添加至数据库。本实施例中服务器通过第一特征和第二特征，对虹膜特征逐步验证，可以进一步提高虹膜信息的识别准确度。

需要说明的是，在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本申请提供的方法实施例可以在终端、计算机或者类似的运算装置中执行。以运行在终端上为例，图5为本申请实施例的基于生物特征的网络身份验证方法的终端的硬件结构框图。如图5所示，终端50可以包括一个或多个(图5中仅示出一个)处理器502(处理器502可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器504，可选地，上述终端还可以包括用于通信功能的传输设备506以及输入输出设备508。本领域普通技术人员可以理解，图5所示的结构仅为示意，其并不对上述终端的结构造成限定。例如，终端50还可包括比图5中所示更多或者更少的组件，或者具有与图5所示不同的配置。

存储器504可用于存储控制程序，例如，应用软件的软件程序以及模块，如本申请实施例中的基于生物特征的网络身份验证方法对应的控制程序，处理器502通过运行存储在存储器504内的控制程序，从而执行各种功能应用以及数据处理，即实现上述的方法。存储器504可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器504可进一步包括相对于处理器502远程设置的存储器，这些远程存储器可以通过网络连接至终端50。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输设备506用于经由一个网络接收或者发送数据。上述的网络具体实例可包括终端50的通信供应商提供的无线网络。在一个实例中，传输设备506包括一个网络适配器(Network Interface Controller，简称为NIC)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输设备506可以为射频(Radio Frequency，简称为RF)模块，其用于通过无线方式与互联网进行通讯。

本实施例还提供了一种基于生物特征的网络身份验证***，该***用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图6是根据本申请实施例的基于生物特征的网络身份验证***的结构框图，如图6所示，该***包括客户机61和服务器62：

服务器62接收客户机61的通信请求，根据通信请求，服务器62与客户机61相互认证，生成会话秘钥；

客户机61获取身份信息和虹膜信息，根据会话秘钥对身份信息和虹膜信息进行加密，得到第一加密信息，根据身份信息和虹膜信息生成第一校验码；

客户机61发送第一加密信息和第一校验码至服务器62进行验证；

服务器62根据会话秘钥对第一加密信息进行解密，获取身份信息和虹膜信息；

服务器62根据身份信息和虹膜信息对第一校验码进行验证，在验证通过的情况下，将身份信息、虹膜信息分别与数据库中的模板身份信息、模板虹膜信息进行匹配；

服务器62在匹配成功的情况下，根据会话秘钥对模板身份信息和模板虹膜信息加密，生成第二加密信息，并根据模板身份信息和模板虹膜信息生成第二校验码，将第二加密信息和第二校验码发送至客户机61；

客户机61根据会话秘钥对第二加密信息进行解密，根据第二校验码和解密后的第二加密信息，判断身份验证是否通过。

其中，客户机61可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备，服务器62可以用独立的服务器或者是多个服务器组成的服务器集群来实现。

服务器62与客户机61之间的交互通过虹膜信息进行，由于虹膜具有惟一性、稳定性、可采集性、非侵犯性等优点，因此通过虹膜进行认证和识别的准确性更高，且用户虹膜易于采集，不易受外界影响，可以有效降低用户识别的错误率，解决了相关技术中仅通过口令密码和所拥有的物品进行身份验证，导致身份验证过程安全性较低，容易为用户造成损失的问题，提高了用户信息的隐私性，为用户降低了财产损失的可能性。

下面通过优选实施例对本申请实施例进行描述和说明。

图7是根据本申请优选实施例的网络身份验证***的示意图，如图7所示，该***是在网络环境下“浏览器/服务器”结构，浏览器安装于客户机上，用户若要访问远程服务器，需要在获取该服务器上的资源之前，通过虹膜实现身份认证，服务器端的所有信息资源都在该网络身份验证***的管理下，未通过身份认证的用户不能访问服务器资源。本***分为客户机和服务器两个部分，客户机通过Internet浏览器提供给用户操作界面，实现用户活体虹膜信息的采集、加/解密和传输功能，并返回用户操作结果，服务器实现网络传输，提档、虹膜信息匹配以及管理虹膜数据库。具体地，验证过程如下：服务器和客户机相互认证，通过Diffie-Hellman生成会话秘钥K_s，同时产生时间戳T；客户机采集用户的虹膜图像，识别虹膜信息并获取用户的身份信息ID，该虹膜信息包括第一特征IrisFeature和第二特征Others；客户机将ID、IrisFeature和Others用会话密钥K_s加密得到第一加密信息，将第一加密信息和时间戳T、第一校验码组成认证信息M1发送至服务器，其中校验码根据身份信息、第一特征和第二特征通过MD5校验得到；服务器接收到认证信息M1之后，先根据时间戳T判断认证信息对应的客户机请求是否过期，若过期，则请求无效，否则，用相应的会话密钥K_s解密得到ID、IrisFeature和Others，然后验证第一校验码，如果验证通过，则根据虹膜的第二特征判断是客户机的请求为注册还是识别，若注册，则添加虹膜信息到数据库，若识别则将ID、IrisFeature和Others与数据库中的值进行对比；在对比完成，且匹配成功的情况下，服务器将数据库中的模板身份信息和模板虹膜信息通过会话密钥K_s进行加密，得到第二加密信息，并将第二加密信息和第二加密信息的MD5校验码组成认证信息M2传送到客户机，其中，第二加密信息的MD5校验码即为第二校验码；客户机获取认证信息M2，通过会话秘钥对第二加密信息进行解密，通过第二校验码对第二加密信息进行验证。

本实施例中，建立连接的客户机和服务器都是用会话密钥进行加密，如果根据时间戳判定通信超时，则该会话密钥失效，需要客户机重新进行验证。由于客户机不存储虹膜信息，每次验证都实时采集客户的虹膜信息，从而避免了仿冒者。

需要说明的是，上述各个模块可以是功能模块也可以是程序模块，既可以通过软件来实现，也可以通过硬件来实现。对于通过硬件来实现的模块而言，上述各个模块可以位于同一处理器中；或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。

本实施例还提供了一种电子装置，包括存储器和处理器，该存储器中存储有计算机程序，该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。

可选地，上述电子装置还可以包括传输设备以及输入输出设备，其中，该传输设备和上述处理器连接，该输入输出设备和上述处理器连接。

可选地，在本实施例中，上述处理器可以被设置为通过计算机程序执行以下步骤：

S1，获取身份信息和虹膜信息；

S2，获取会话秘钥，根据会话秘钥对身份信息和虹膜信息进行加密，得到第一加密信息，根据身份信息和虹膜信息生成第一校验码；

S3，发送第一加密信息和第一校验码至服务器进行验证，在验证通过的情况下获取第二加密信息和第二校验码；

S4，根据会话秘钥对第二加密信息进行解密，根据第二校验码和解密后的第二加密信息，判断身份验证是否通过。

可选地，在本实施例中，上述处理器还可以被设置为通过计算机程序执行以下步骤：

S5，通过认证生成会话秘钥，获取第一加密信息和第一校验码，根据会话秘钥对第一加密信息进行解密，获取身份信息和虹膜信息；

S6，根据身份信息和虹膜信息对第一校验码进行验证，在验证通过的情况下，将身份信息、虹膜信息分别与数据库中的模板身份信息、模板虹膜信息进行匹配；

S7，在匹配成功的情况下，根据会话秘钥对模板身份信息和模板虹膜信息加密，生成第二加密信息，并根据模板身份信息和模板虹膜信息生成第二校验码；

S8，发送第二加密信息和第二校验码。

需要说明的是，本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，本实施例在此不再赘述。

另外，结合上述实施例中的基于生物特征的网络身份验证方法，本申请实施例可提供一种存储介质来实现。该存储介质上存储有计算机程序；该计算机程序被处理器执行时实现上述实施例中的任意一种基于生物特征的网络身份验证方法。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims

1.一种基于生物特征的网络身份验证方法，其特征在于，包括：

获取身份信息和虹膜信息；

2.根据权利要求1所述的基于生物特征的网络身份验证方法，其特征在于，得到第一加密信息还包括：

3.根据权利要求1所述的基于生物特征的网络身份验证方法，其特征在于，获取虹膜信息包括：

对所述虹膜图像进行识别，得到第二特征；

根据所述第一特征和所述第二特征，得到所述虹膜信息。

4.根据权利要求3所述的基于生物特征的网络身份验证方法，其特征在于，得到所述虹膜图像的第一特征包括：

5.根据权利要求3所述的基于生物特征的网络身份验证方法，其特征在于，获取待识别的虹膜图像包括：

获取初始虹膜图像中虹膜的内边界和外边界；

6.一种基于生物特征的网络身份验证方法，其特征在于，包括：

发送所述第二加密信息和所述第二校验码。

7.根据权利要求6所述的基于生物特征的网络身份验证方法，其特征在于，在发送所述第二加密信息和所述第二校验码之前，还包括：

获取时间戳；

8.根据权利要求6所述的基于生物特征的网络身份验证方法，其特征在于，所述虹膜信息包括第一特征和第二特征，在对所述第一校验码进行验证，且验证通过之后，所述方法还包括：

9.一种基于生物特征的网络身份验证***，其特征在于，包括客户机和服务器：

10.一种存储介质，其特征在于，所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行权利要求1至5中任一项所述的基于生物特征的网络身份验证方法或权利要求6至8中任一项所述的基于生物特征的网络身份验证方法。