[发明专利]一种手势密码结合FIDO的识别身份的方法及系统

权利要求书

1.一种手势密码结合FIDO的识别身份的方法，其特征在于，包括以下步骤：

S1、UVT值生成：用户客户端获取用户输入的账户名和手势密码，用户客户端将获取到的手势密码值哈希后与账户名拼接，形成UVT值，并发送给身份认证服务器；

S2、UVT值校验：身份认证服务器将收到的UVT值与身份认证服务器中存储的UVT值进行对比，确认手势密码是否正确，并将结果消息返给用户客户端；

用户注册时，步骤S1还包括：

用户客户端请求身份认证服务器下发挑战值给用户客户端；

用户客户端获取用户输入的账户名和手势密码，将获取到的手势密码值哈希后与账户名拼接，形成UVT值，并使用身份认证服务器下发的挑战值作为密钥对UVT值加密。

2.根据权利要求1所述的手势密码结合FIDO的识别身份的方法，其特征在于，步骤S2中，身份认证服务器中存储的UVT值为用户注册时用户设置的账户名和手势密码所对应的UVT。

3.根据权利要求1所述的手势密码结合FIDO的识别身份的方法，其特征在于，用户注册时，步骤S1还包括：

调用Android KeyStore或iOS KeyChain产生一对公钥和私钥，将私钥安全存储在用户客户端；

使用已生成的私钥对公钥、账户名和加密后的UVT值进行签名同时生成KEY_ID，之后将公钥、账户名、加密后的UVT值及签名值与KEY_ID一并发送给身份认证服务器。

4.根据权利要求3所述的手势密码结合FIDO的识别身份的方法，其特征在于，用户注册时，身份认证服务器接收到数据后，使用接收到的公钥进行验签，确认签名单元的合法性；确认后，数据库保存挑战值、公钥、账户名、UVT值与KEY_ID，并将结果消息返给用户客户端。

5.根据权利要求1所述的手势密码结合FIDO的识别身份的方法，其特征在于，用户认证时，步骤S1还包括：

用户客户端请求身份认证服务器下发挑战值和KEY_ID给用户客户端；

用户客户端获取用户输入的账户名和手势密码，将获取到的手势密码值哈希后与账户名拼接，形成UVT值，并使用身份认证服务器下发的挑战值作为密钥对UVT值加密；

用户客户端根据KEY_ID检索用户客户端的本地数据库，以获取密钥句柄，之后从Android KeyStore或iOS KeyChain中根据密钥句柄提取出对应私钥，对账户名和加密后的UVT值进行签名后，将账户名、加密后的UVT值与签名发送给身份认证服务器。

6.根据权利要求5所述的手势密码结合FIDO的识别身份的方法，其特征在于，用户认证时，步骤S2还包括：

身份认证服务器使用账户名对应的公钥进行验签；验签通过后，使用之前下发给客户端的挑战值解密UVT值进行解密以获取明文值，并使用数据库中保存的挑战值对注册时生成的UVT进行解密以获取明文值，校验两者是否一致，并将结果消息返给用户客户端。

7.一种手势密码结合FIDO的识别身份的系统，其特征在于，包括：

用户客户端，用于获取用户输入的账户名和手势密码，将获取到的手势密码值哈希后与账户名拼接，形成UVT值；以及

身份认证服务器，用于接收用户客户端发送的UVT值，并与身份认证服务器中存储的UVT值进行对比，确认手势密码是否正确，并将结果消息给用户客户端；

所述用户客户端还包括签名单元；

所述签名单元在用户注册时能够调用Android KeyStore或iOS KeyChain产生一对公钥和私钥，将私钥安全存储在用户客户端，并且在用户认证时能够根据KEY_ID检索设备用户客户端以获取密钥句柄，而后从Android KeyStore或iOS KeyChain中根据密钥句柄提取出对应私钥。