指纹加密鉴权方法.pdf

本发明涉及互联网通信安全保障技术领域，公开了一种指纹加密鉴权方法，用户在客户端提出加密资料申请；客户端给用户下发加密方案；用户提供帐户信息并提取指纹；客户端对帐户信息和指纹加密后发送到服务端，生成令牌；服务端拦截客户端请求，提取令牌信息，判断指纹的合法性以及指纹和请求的唯一性；如果相似请求已经存在或指纹不合法，则终止鉴权，否则对所述请求和指纹进行验证；如果验证通过则登陆成功，进入具体业务接口否则终止鉴权。本发明自身生成令牌绑定自身，进一步增加了安全性，不可重复提交，使攻击性请求无处藏身。

权利要求书1.  一种指纹加密鉴权方法，其特征在于：包括如下步骤：(1)用户在客户端提出加密资料申请；(2)客户端给用户下发加密方案；(3)用户提供帐户信息并提取指纹；(4)客户端对帐户信息和指纹加密后发送到服务端，生成令牌，所述加密过程包括第一级用户名密码加密、第二级消息体加密和第三级指纹加密；(5)服务端拦截客户端请求，提取令牌信息，判断指纹的合法性以及指纹和请求的唯一性；如果相似请求已经存在或指纹不合法，则终止鉴权，否则进入下一步；(6)对所述请求和指纹进行验证；如果验证通过则进入下一步，否则终止鉴权；(7)登陆成功，进入具体业务接口。2.  根据权利要求1所述的指纹加密鉴权方法，其特征在于：所述第(4)步中的第一级加密为rsa加密，第二级加密为对称加密，第三级加密为md5加密。3.  根据权利要求1所述的指纹加密鉴权方法，其特征在于：所述第(6)步中的验证过程包括通过从客户端得到的私钥对用户帐户、信息体和指纹进行解密，解密后与服务端进行权限验证。4.  根据权利要求1至3中任一项所述的指纹加密鉴权方法，其特征在于：所述服务端包括鉴权服务集群和业务服务集群，所述客户端通过路由服务端与所述鉴权服务集群和业务服务集群连接进行数据传输。5.  根据权利要求1至3中任一项所述的指纹加密鉴权方法，其特征在于：所述第(7)步中，包括将用户密钥存放在服务端的缓存中的步骤。6.  根据权利要求1至3中任一项所述的指纹加密鉴权方法，其特征在于：所述客户端为手持终端、个人PC或车载终端。

说明书指纹加密鉴权方法
技术领域
本发明涉及互联网通信安全保障技术领域，尤其涉及一种指纹加密鉴权方法。
背景技术
《2014年全球社交、数字和移动》报告显示，中国有13.5亿人口，其中互联网网民比例为44％，达5.9亿人，随着这以数字继续快速增长，人们日渐担心我们每天使用的网络是安全问题。
近期发生的携程信用卡泄露事件，CSDN密码泄露事件等等，每天扰乱着人们紧绷的神经。针对以上现象，现在行业中主流的解决方案如下：
1.用户登录鉴权获取服务端鉴权令牌；
2.用户拿到登录交换的令牌访问服务；
3.服务器端把令牌存放在session中，客户端在访问的时候带上服务端给的令牌，服务端根据令牌确定用户是否有权限进行访问；
这种鉴权方法在一定程度上解决了安全问题，用户只有用自己的用户名密码登录后才能访问相关服务，但是，此种鉴权方式存在如下问题：
1.用户在登陆的时候口令是明文的，很容易被截获；
2.用户的token很容易被截获，而被别人拿着去访问用户的私密服务；
3.因为session存放在服务器的内存中，单台服务器相互隔离，无法满足分布式服务鉴权问题，因此只能满足小用户量的服务；
4.部分用户使用了https协议，对访问的整个流程加密，https虽然高安全。但是通过https加密后存在以下问题：
(1)访问的性能就会变差，因为https一系列的加密算法对服务端和客户端的性能消耗都是惊人的,所以https访问速度慢的惊人。
(2)流量就会增大，https的消息体会使用aes128算法进行加密，加密过程中会出现补位的现象，增加了没必要的流量开销，流量会大于http协议。
(3)https必须安装证书，比较麻烦。
发明内容
本发明的目的是为了解决上述问题，提供一种指纹加密鉴权方法，提高传输过程中的安全性。
本发明采取的技术方案是：
一种指纹加密鉴权方法，其特征是，包括如下步骤：
(1)用户在客户端提出加密资料申请；
(2)客户端给用户下发加密方案；
(3)用户提供帐户信息并提取指纹；
(4)客户端对帐户信息和指纹加密后发送到服务端，生成令牌，所述加密过程包括第一级用户名密码加密、第二级消息体加密和第三级指纹加密；
(5)服务端拦截客户端请求，提取令牌信息，判断指纹的合法性以及指纹和请求的唯一性；如果相似请求已经存在或指纹不合法，则终止鉴权，否则进入下一步；
(6)对所述请求和指纹进行验证；如果验证通过则进入下一步，否则终止鉴权；
(7)登陆成功，进入具体业务接口。
进一步，所述第(4)步中的第一级加密为rsa加密，第二级加密为对称加密，第三级加密为md5加密。
进一步，所述第(6)步中的验证过程包括通过从客户端得到的私钥对用户帐户、信息体和指纹进行解密，解密后与服务端进行权限验证。
进一步，所述服务端包括鉴权服务集群和业务服务集群，所述客户端通过路由服务端与所述鉴权服务集群和业务服务集群连接进行数据传输。
进一步，所述第(7)步中，包括将用户密钥存放在服务端的缓存中的步骤。
进一步，所述客户端为手持终端、个人PC或车载终端。
本发明的有益效果是：
(1)不用申请证书，为中小型企业节省证书申请维护费用；
(2)数据传送几乎不增加额外的流量；
(3)自身生成令牌绑定自身，进一步增加了安全性；
(4)不可重复提交，使攻击性请求无处藏身。
附图说明
附图1是本发明的鉴权方法的流程图；
附图2是加密鉴权系统架构图；
附图3是加密鉴权系统的另一种架构图。
具体实施方式
下面结合附图对本发明指纹加密鉴权方法的具体实施方式作详细说明。
参见附图1，指纹加密鉴权方法的步骤如下：
(1)用户在客户端提出加密资料申请。客户端适用于各种终端，比如手持终端、个人PC或车载终端等。
(2)客户端给用户下发加密方案。
(3)用户提供帐户信息并提取指纹。
(4)客户端对帐户信息和指纹加密后发送到服务端，生成令牌，加密过程包括第一级用户名密码加密、第二级消息体加密和第三级指纹加密。服务端包括鉴权服务集群和业务服务集群，客户端通过路由服务端与所述鉴权服务集群和业务服务集群连接进行数据传输。其中第一级加密为rsa加密，第二级加密为对称加密，第三级加密为md5加密。
(5)服务端拦截客户端请求，提取令牌信息，判断指纹的合法性以及指纹和请求的唯一性；如果相似请求已经存在或指纹不合法，则终止鉴权，否则进入下一步。
(6)对所述请求和指纹进行验证；如果验证通过则进入下一步，否则终止鉴权。其验证过程是从客户端得到的私钥对用户帐户、信息体和指纹进行解密，解密后与服务端进行权限验证。
(7)登陆成功，进入具体业务接口。并将用户密钥存放在服务端的缓存中的步骤。
参见附图2，指纹加密鉴权的系统架构包括从客户端连接的代理服务器、路由服务器以及鉴权服务集群，用户通过客户端输入帐户及指纹，连接至服务端，通过上述加密鉴权方法实现鉴权。
参见附图3，通过路由服务器连接鉴权服务集群和业务服务集群，使鉴权服务集群对业务服务集群实现权限分配，使用户通过鉴权对业务服务集群进 行权限操作。
以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。