專利名稱:利用生物特征進(jìn)行身份認(rèn)證的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)領(lǐng)域��,尤其涉及一種利用生物識(shí)別技術(shù)進(jìn)行網(wǎng)上身份認(rèn) 證的方法及系統(tǒng)�。
背景技術(shù):
隨著互聯(lián)網(wǎng)上電子商務(wù)和電子政務(wù)的蓬勃發(fā)展,網(wǎng)上交易由于其交易成 本低��、方便快捷等優(yōu)點(diǎn)也得到了迅猛發(fā)展,同樣網(wǎng)上電子政務(wù)由于其便利性 也發(fā)展迅猛,同時(shí)利用網(wǎng)上交易和網(wǎng)上政務(wù)工作的用戶數(shù)量也急劇增加���。然 而,網(wǎng)上交易或數(shù)據(jù)交換過程中的安全問題也日益凸現(xiàn)�,它已成為阻礙網(wǎng)上 交易或網(wǎng)上政務(wù)發(fā)展的 一個(gè)主要瓶頸。這就造成大多數(shù)用戶除了關(guān)注網(wǎng)絡(luò)傳 輸?shù)姆奖憧旖萃?���,更在意整個(gè)過程中安全的問題。特別是�,當(dāng)通信過程中童 要信息(如賬號(hào)和密碼)被泄漏或篡改時(shí),極容易造成用戶的財(cái)產(chǎn)損失�����。如何提 高網(wǎng)上數(shù)據(jù)傳送過程的安全性�����?銀行等處理平臺(tái)通常采用身份認(rèn)證來確認(rèn)數(shù) 據(jù)通信的安全性�����,進(jìn)而確保整個(gè)網(wǎng)上通信的安全性�。
最原始的方式為"用戶名+密碼"的方式�����。處理平臺(tái)上預(yù)先存儲(chǔ)用戶名與 密碼的對(duì)應(yīng)關(guān)系,當(dāng)處理平臺(tái)接收到用戶端發(fā)出的包含用戶名與密碼的請(qǐng)求 時(shí)���,對(duì)比所述密碼與預(yù)先保存該用戶名對(duì)應(yīng)的密碼����,若符合�����,則通過身份認(rèn) 證����。這種方式極容易造成重要數(shù)據(jù)泄露。
為此�����,現(xiàn)有技術(shù)人員又提出了 一種利用數(shù)字簽名技術(shù)進(jìn)行數(shù)據(jù)通信的方 法�����。數(shù)字簽名技術(shù)是一種用以保證信息完整性的安全技術(shù)�。請(qǐng)參閱圖1,其為 現(xiàn)有的利用數(shù)字簽名技術(shù)進(jìn)行數(shù)據(jù)通信的系統(tǒng)原理示意圖��。它包括發(fā)送端
101、接收端103以及CA中心(筌定中心)105���。發(fā)送端101通過網(wǎng)絡(luò)(如因 特網(wǎng))連接接收端103和CA中心105����。發(fā)送端101包括一臺(tái)個(gè)人電腦��。
請(qǐng)參閱圖2,其為現(xiàn)有的利用數(shù)字簽名技術(shù)進(jìn)行數(shù)據(jù)通信的方法的流程示 意簡(jiǎn)圖���。其包括以下步驟
首先進(jìn)行S201,發(fā)送端101獲得數(shù)字證書��。
S203:發(fā)送端101通常需要預(yù)先產(chǎn)生非對(duì)稱的密鑰對(duì)�, 一為私鑰�����, 一為與 私鑰對(duì)應(yīng)的公鑰���;
S205:發(fā)送端101利用公鑰與用戶信息等向CA中心105請(qǐng)求數(shù)字證書 的注冊(cè)�;
S207: CA中心105在確認(rèn)其身份后�,給發(fā)送端101發(fā)送數(shù)字證書。接著進(jìn)行S209,在每一次網(wǎng)上交易時(shí)����,接收端103和發(fā)送端101通過數(shù) 字證書來進(jìn)行數(shù)據(jù)通信。
S211:發(fā)送端101用私鑰對(duì)需要傳送的信息進(jìn)行簽名加密��; S213:發(fā)送端101將簽名后的信息發(fā)送至接收端103; S215:接收端103接收到簽名后的數(shù)據(jù)��,到CA中心105上獲得公鑰�����; S217:接收端103用公鑰解開私鑰����,驗(yàn)證簽名,完成數(shù)據(jù)通信���。 這種方式雖然在保證數(shù)據(jù)通信的安全性方面是一個(gè)突破�����,但是����,這種方 式依然存在很大的安全隱患���。如黑客可以無須攻破密碼���,而是將一個(gè)有效的 數(shù)字證書保存起來�,然后等待一段時(shí)間后再重新發(fā)送這個(gè)數(shù)字證書來偽裝成 用戶端�,達(dá)到重放攻擊的目的,從而可以以用戶端的名義與處理平臺(tái)進(jìn)行交 易�。
為此,國家專利號(hào)為200410066343.4的發(fā)明專利公開了 一種抵御重放攻 擊的生物認(rèn)證裝置和方法�����。此生物認(rèn)證裝置增加了系統(tǒng)獨(dú)立的實(shí)時(shí)時(shí)鐘模 塊����,并經(jīng)由通信模塊與外界發(fā)生通信聯(lián)系。對(duì)時(shí)鐘模塊的設(shè)置和時(shí)間讀取����, 只能由包裹其外的數(shù)據(jù)加/解密模塊,以密文的方式與上位機(jī)進(jìn)行數(shù)據(jù)交互���。
請(qǐng)參見圖3,其為國家專利號(hào)為200410066343.4的發(fā)明專利的抵御重放 攻擊的生物認(rèn)證方法的流程圖���。
S301:生成帶有時(shí)間信息的生物特征點(diǎn)信息��。
S303:將生物特征點(diǎn)信息加密后通過公共網(wǎng)絡(luò)上傳到生物認(rèn)證終端�����。 S305:生物認(rèn)證終端判斷其附帶的時(shí)間信息是否在允許的范圍之內(nèi)。 S307:若不符合要求��,則認(rèn)證不通過�。 S309:若符合要求,則進(jìn)行生物認(rèn)證�����。
此抵御重放攻擊的生物認(rèn)證裝置和方法可以有效地抵御重放攻擊��,但其 仍有以下缺陷
僅對(duì)驗(yàn)證信息進(jìn)行簡(jiǎn)單的加密后便在公共網(wǎng)絡(luò)上進(jìn)行傳送����,而在進(jìn)行身份驗(yàn) 證時(shí),黑客可以容易地通過互聯(lián)網(wǎng)攻破密碼��。若密鑰被攻破并修改�,就能輕 易的對(duì)通信內(nèi)容篡改,混亂了電子商務(wù)和電子政務(wù)的網(wǎng)上身份認(rèn)證體系�����,也 會(huì)出現(xiàn)網(wǎng)上帳戶資金被盜竊等事件。
另外�,數(shù)字證書的私鑰通常固定地存儲(chǔ)在發(fā)送端的電腦或USB Key里, 容易在互聯(lián)網(wǎng)上黑客攻破和盜用�����,直接引發(fā)私鑰數(shù)據(jù)篡改的危險(xiǎn)
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種利用生物特征進(jìn)行身份認(rèn)證的方法��,它能在進(jìn) 行網(wǎng)上身份驗(yàn)證時(shí)有效避免身份驗(yàn)證信息被黑客攻破�,而達(dá)到安全通信的效果。
本發(fā)明的再一目的是提供一種利用生物特征進(jìn)行身份認(rèn)證的系統(tǒng)���,它能 在進(jìn)行網(wǎng)上身份驗(yàn)證時(shí)有效避免身份驗(yàn)證信息被黑客攻破�,而達(dá)到安全通信 的效果��。
本發(fā)明提供的第 一種利用生物特征進(jìn)行身份認(rèn)證的方法��,包括以下步驟
(一) 用戶通過注冊(cè)端發(fā)起注冊(cè)過程�,所述注冊(cè)端為設(shè)置在第三方的移動(dòng)存 儲(chǔ)裝置或者直接為發(fā)送端;
生成一對(duì)公私密鑰對(duì)��,并在移動(dòng)存儲(chǔ)裝置或發(fā)送端直接保存該公私密鑰 乂于的私鑰;
提取用戶的生物特征點(diǎn)信息�����,并將該公私密鑰對(duì)中的公鑰��、該生物特征 點(diǎn)信息以及該用戶的個(gè)人注冊(cè)信息上傳至一CA中心��;以及
該CA中心生成一生物特征數(shù)字證書后����,將經(jīng)過其簽名的該生物特征數(shù)字 證書返回����,保存在該移動(dòng)存儲(chǔ)裝置或發(fā)送端;
(二) 用戶將移動(dòng)存儲(chǔ)裝置連接在發(fā)送端或直接通過發(fā)送端進(jìn)行驗(yàn)證過程 該發(fā)送端和該接收端進(jìn)行時(shí)間同步�;
該移動(dòng)存儲(chǔ)裝置或發(fā)送端將當(dāng)前時(shí)間加載到該生物特征數(shù)字證書上,生 成帶有 一 時(shí)間戳的該生物特征數(shù)字證書���;
該移動(dòng)存儲(chǔ)裝置或發(fā)送端用該公私密鑰對(duì)中的私鑰對(duì)該生物特征數(shù)字證 書進(jìn)行加密后發(fā)送給該接收端����;
該接收端用該公私密鑰對(duì)中的公鑰解密帶有該時(shí)間戳的該生物特征數(shù)字 證書��,獲得該時(shí)間戳和該生物特征點(diǎn)信息;
當(dāng)該接收端的當(dāng)前時(shí)間與該時(shí)間戳的時(shí)間差值在預(yù)定的范圍內(nèi)���,則進(jìn)行 下一步驟���;以及
該接收端驗(yàn)證該生物特征點(diǎn)信息,若通過驗(yàn)證����,則該用戶通過身份認(rèn)證。 該接收端驗(yàn)證該生物特征點(diǎn)信息包括
Al�、在注冊(cè)過程預(yù)先將該生物特征點(diǎn)信息保存在該接收端;以及
A2�、該接收端將解密該生物特征數(shù)字證書獲得的該生物特征點(diǎn)信息和步 驟Al中預(yù)先保存的該生物特征點(diǎn)信息進(jìn)行比對(duì),若一致����,則該用戶通過身份認(rèn)證。
該接收端驗(yàn)證該生物特征點(diǎn)信息包括
Bl����、在驗(yàn)證過程中還包括該發(fā)送端將本端釆集到該用戶的該生物特征點(diǎn) 信息利用安全通信協(xié)議預(yù)先發(fā)送至該接收端;以及
B2���、該接收端將步驟Bl中接收到的該生物特征點(diǎn)信息和解密該生物特征 數(shù)字證書獲得的該生物特征點(diǎn)信息進(jìn)行比對(duì)���,若一致��,則用戶通過身份認(rèn)證�。
上述流程還包括
該接收端直接從該CA中心下載該公私密鑰對(duì)中的公鑰����;或者 該接收端接收該發(fā)送端利用安全通信協(xié)議發(fā)送的該公私密鑰對(duì)中的公鑰。
本發(fā)明提供第二種利用生物特征進(jìn)行身份認(rèn)證的方法��,用以 一發(fā)送端與 一接收端的身份認(rèn)證�,包括以下步驟
(一) 需要認(rèn)證的用戶利用移動(dòng)存儲(chǔ)裝置通過接收端發(fā)起注冊(cè)過程 在移動(dòng)存儲(chǔ)裝置中生成一對(duì)公私密鑰對(duì),保存該對(duì)公私密鑰對(duì)中的私鑰���,
并將該公私密鑰對(duì)的公鑰發(fā)送至接收端;
接收端提取并在本端保存有該用戶的生物特征點(diǎn)信息�,將該公私密鑰對(duì) 中的公鑰、該生物特征點(diǎn)信息以及該用戶的個(gè)人注冊(cè)信息上傳至一CA中心�����;
該CA中心生成一生物特征數(shù)字證書后�����,將經(jīng)過該CA中心簽名的該生物 特征數(shù)字證書傳送至移動(dòng)存儲(chǔ)裝置;
(二) 用戶通過該移動(dòng)存儲(chǔ)裝置連接至發(fā)送端來完成驗(yàn)證過程
移動(dòng)存儲(chǔ)裝置用該公私密鑰對(duì)中的私鑰加密該生物特征數(shù)字證書��,通過 發(fā)送端進(jìn)行發(fā)送�;
該接收端解密接收到的該生物特征數(shù)字證書,獲得該生物特征點(diǎn)信息��;
該接收端提取存儲(chǔ)在本端的該生物特征點(diǎn)信息����,與解密獲得的該生物特 征點(diǎn)信息,若一致��,則該用戶通過認(rèn)證����。
上述方法還包括
發(fā)送端和該接收端進(jìn)行時(shí)間同步;
該移動(dòng)存儲(chǔ)裝置將當(dāng)前時(shí)間加載到該生物特征數(shù)字證書上�����,生成的是帶 有 一 時(shí)間戳的該生物特征數(shù)字證書��;
該接收端用該公私密鑰對(duì)中的公鑰解密帶有該時(shí)間戳的該生物特征數(shù)字證書后�����,從中獲得該時(shí)間戳;
當(dāng)該接收端的當(dāng)前時(shí)間與該時(shí)間戳的時(shí)間差值不在預(yù)定的范圍內(nèi)���,則該 用戶的身份認(rèn)證不通過��。
本發(fā)明公開的第 一種利用生物特征進(jìn)行身份認(rèn)證的系統(tǒng)����,包括發(fā)送端�����、
CA中心和接收端����,其中, 該發(fā)送端包括
一用以建立與接收端�、CA中心通信的第一通信單元�; 一生物特征采集裝置,用以采集需要認(rèn)證用戶的生物特征點(diǎn)信息�; 一密鑰產(chǎn)生單元,用以生成一對(duì)公私密鑰對(duì)���;
一第一存儲(chǔ)器����,用于以加密的方式存儲(chǔ)該公私密鑰對(duì)的私鑰和由CA中心 返回的生物特征數(shù)字證書;
一第一處理器�,其又包括
注冊(cè)處理單元用于將采集到的用戶的生物特征點(diǎn)信息、該公私密鑰對(duì) 的公鑰�、用戶的個(gè)人注冊(cè)信息通過該第一通信單元發(fā)送至CA中心,并將CA 中心返回的生物特征數(shù)字證書保存到第 一存儲(chǔ)器中��;
時(shí)間處理單元用以同步該發(fā)送端與該接收端的時(shí)間����;
加密單元用于將當(dāng)前時(shí)間信息加載到生物特征數(shù)字證書,并利用公私 密鑰中的私鑰進(jìn)行加密�����;
接收端����,該接收端又進(jìn)一步包括
一第二通信單元,用以與該發(fā)送端傳送信息��;以及
一第二處理器�,該第二處理器又包括
第二時(shí)間處理單元,用以同步該發(fā)送端與該接收端的時(shí)間���;
解密單元����,用以用該公私密鑰對(duì)中的公鑰對(duì)接收到的數(shù)字包進(jìn)行解密, 獲得時(shí)間戳及該生物特征點(diǎn)信息��;
驗(yàn)證單元����,用以判斷該生物特征數(shù)字證書中的該時(shí)間戳及該生物特征點(diǎn) 信息的有效性。
本發(fā)明公開第二種利用生物特征進(jìn)行身份認(rèn)證的系統(tǒng)����,包括發(fā)送端、移 動(dòng)存儲(chǔ)裝置�、第三方和接收端,其中�����,
移動(dòng)存儲(chǔ)裝置進(jìn)一步包括
與發(fā)送端�����、第三方建立連接的通信接口����;一密鑰產(chǎn)生單元,用以生成一對(duì)公私密鑰對(duì)�����;
第一存儲(chǔ)器�,用于以加密的方式存儲(chǔ)該公私密鑰對(duì)的私鑰和由CA中心返 回的生物特征數(shù)字證書;
處理器至少包括加密單元用于將當(dāng)前時(shí)間信息加載到生物特征數(shù)字證 書��,并利用公私密鑰中的私鑰加密生物特征數(shù)字證書��;
第三方��,至少包括與移動(dòng)存儲(chǔ)裝置和第三方進(jìn)行通信的通信接口和處理 器����,所述處理器至少包括注冊(cè)處理單元用于將用戶的生物特征點(diǎn)信息、該 公私密鑰對(duì)的公鑰����、用戶的個(gè)人注冊(cè)信息發(fā)送至CA中心,并將CA中心返回 的生物特征數(shù)字證書保存到第 一存儲(chǔ)器中���;
發(fā)送端進(jìn)一步包括分別與移動(dòng)存儲(chǔ)裝置和接收端通信的通信接口 �; 接收端,該接收端又進(jìn)一步包括 一第二通信單元��,用以與該發(fā)送端傳送信息���;以及 一第二處理器�����,該第二處理器又包括
解密單元����,用以用該公私密鑰對(duì)中的公鑰對(duì)接收到的數(shù)字包進(jìn)行解密�, 獲得生物特征點(diǎn);
驗(yàn)證單元�,用以判斷該生物特征數(shù)字證書中的該時(shí)間戳及該生物特征點(diǎn) 信息的有效性。
' 在所述移動(dòng)存儲(chǔ)裝置中還包括用于采集用戶生物特征點(diǎn)信息的生物特征 采集器��;或者
在所述第三方和發(fā)送端各設(shè)置一用于采集用戶生物特征點(diǎn)信息的生物特 征采集器��。
本發(fā)明公開的第三種利用生物特征進(jìn)行身份認(rèn)證的系統(tǒng)��,包括發(fā)送端�、 移動(dòng)存儲(chǔ)裝置、接收端,其中�,
移動(dòng)存儲(chǔ)裝置進(jìn)一步包括
分別與發(fā)送端和接收端建立連接的通信接口 ���;
一密鑰產(chǎn)生單元�,用以生成一對(duì)公私密鑰對(duì)��;
第一存儲(chǔ)器�����,用于以加密的方式存儲(chǔ)該公私密鑰對(duì)的私鑰和由CA中心返 回的生物特征數(shù)字證書��;
處理器至少包括加密單元用于將當(dāng)前時(shí)間信息加載到生物特征數(shù)字證 書�,并利用公私密鑰中的私鑰加密生物特征數(shù)字證書;發(fā)送端進(jìn)一步包括分別與移動(dòng)存儲(chǔ)裝置和接收端通信的通信接口 ����; 接收端,該接收端又進(jìn)一步包括 一第二通信單元����,用以與該發(fā)送端傳送信息;以及 一第二處理器����,該第二處理器又包括 .
注冊(cè)處理單元用于將用戶的生物特征點(diǎn)信息��、該公私密鑰對(duì)的公鑰�、 用戶的個(gè)人注冊(cè)信息發(fā)送至CA中心�����,并將CA中心返回的生物特征數(shù)字證書 保存到第 一存儲(chǔ)器中和第二存儲(chǔ)器��;
注冊(cè)處理單元用于將用戶的生物特征點(diǎn)信息����、該公私密鑰對(duì)的公鑰、 用戶的個(gè)人注冊(cè)信息發(fā)送至CA中心����,并接收由CA中心返回的生物特征數(shù)字 證書,將用戶的生物特征數(shù)字證書存儲(chǔ)至移動(dòng)存儲(chǔ)裝置��;
保存處理單元��,用于將該公私密鑰對(duì)的公鑰保存在本端�;
驗(yàn)證單元,用以判斷該生物特征數(shù)字證書中的該時(shí)間戳有效性�,以及判 斷該生物特征數(shù)字證書中該生物特征點(diǎn)信息與第二存儲(chǔ)器中的生物特征點(diǎn)信 息是否一致��,進(jìn)而驗(yàn)證用戶身份的有效性�����。
與現(xiàn)有技術(shù)相比�,本發(fā)明具有以下技術(shù)效果
第一�����,本發(fā)明將生物特征識(shí)別技術(shù)引入到普通的數(shù)字證書中�,用具有穩(wěn) 定性���、可靠性和唯一性的生物特征標(biāo)識(shí)大大提高了數(shù)字證書的安全性�。
第二���,本發(fā)明在數(shù)字證書中還引入了時(shí)間戳���,局限了數(shù)字證書在網(wǎng)絡(luò)上 傳輸?shù)臅r(shí)間,從而有效避免了黑客采用如重放攻擊等利用時(shí)間差的手段來偽 裝成發(fā)送端��,而篡改數(shù)字證書的危險(xiǎn)發(fā)生����,使身份認(rèn)證更準(zhǔn)確�。
第三����,將生物特征識(shí)別的過程,由安全設(shè)施簡(jiǎn)單的零散客戶端轉(zhuǎn)移到注 冊(cè)端或第三方��,由客戶端或第三方集中進(jìn)行生物特征的保存和識(shí)別步驟�����,增 加安全性和準(zhǔn)確性�����。
圖1為現(xiàn)有的利用數(shù)字簽名技術(shù)進(jìn)行數(shù)據(jù)通信的系統(tǒng)原理示意圖2為現(xiàn)有的利用數(shù)字簽名技術(shù)進(jìn)行數(shù)據(jù)通信的方法的流程示意簡(jiǎn)圖3為國家專利號(hào)為200410066343.4的發(fā)明專利的抵御重放攻擊的生物
認(rèn)證方法的流程圖4為本發(fā)明實(shí)施例的第一種利用生物特征進(jìn)行身份認(rèn)證的系統(tǒng)結(jié)構(gòu)示
意圖��;圖5為本發(fā)明實(shí)施例的第一種生物特征進(jìn)行身份認(rèn)證的方法流程示意圖����; 圖6為本發(fā)明實(shí)施例的第二種利用生物特征進(jìn)行身份認(rèn)證的系統(tǒng)結(jié)構(gòu)示 意圖7為本發(fā)明實(shí)施例的一種利用生物特征進(jìn)行身份認(rèn)證的方法的注冊(cè)流 程圖8為本發(fā)明實(shí)施例的一種利用生物特征進(jìn)行身份認(rèn)證的方法的同步時(shí) 間流程圖9為本發(fā)明實(shí)施例的一種利用生物特征進(jìn)行身份認(rèn)證的方法的身份驗(yàn) 證流程圖10為本發(fā)明實(shí)施例的第三種利用生物特征進(jìn)行身份認(rèn)證的系統(tǒng)結(jié)構(gòu)示 意圖11為本發(fā)明實(shí)施例的第三種生物特征進(jìn)行身份認(rèn)證的方法流程示意圖。
具體實(shí)施例方式
以下結(jié)合附圖��,具體說明本發(fā)明���。
本發(fā)明的重要思路在于�,本發(fā)明在數(shù)字證書的生成過程中加載用戶的生 物特征點(diǎn)信息如此,在認(rèn)證過程中�,可以通過認(rèn)證生物特征點(diǎn)信息來完成對(duì) 用戶的身份認(rèn)證?�;谏鲜龅脑瓌t����,本發(fā)明可以細(xì)分為下述三種情況
第 一種情況為,用戶通過移動(dòng)存儲(chǔ)裝置在第三方上完成用戶的注冊(cè)過程�����, 在認(rèn)證時(shí)���,用戶通過移動(dòng)存儲(chǔ)裝置在發(fā)送端上完成接收端對(duì)用戶的認(rèn)證;
第二種情況為��,用戶直接在發(fā)送端完成用戶的注冊(cè)過程���,在認(rèn)證時(shí)��,用 戶在接收端完成對(duì)發(fā)送端用戶的認(rèn)證�;
第三種情況為,用戶通過移動(dòng)存儲(chǔ)裝置在接收端完成用戶的注冊(cè)過程���, 在認(rèn)證時(shí)����,用戶通過移動(dòng)存儲(chǔ)裝置在發(fā)送端上完成接收端對(duì)用戶的認(rèn)證�。 以下具體說明上述三種情況的認(rèn)證結(jié)構(gòu)和認(rèn)證過程。
請(qǐng)參閱圖4 ,其為本發(fā)明第一種利用生物特征信息進(jìn)行身份認(rèn)證系統(tǒng)的 結(jié)構(gòu)示意圖���。它包括移動(dòng)存儲(chǔ)裝置430�����、第三方420��、 CA中心410����、發(fā)送端 440和接收端450,其中����,移動(dòng)存儲(chǔ)裝置430進(jìn)一步包括
與發(fā)送端440、第三方420建立連接的通信接口����;
一密鑰產(chǎn)生單元���,用以生成一對(duì)公私密鑰對(duì);
第一存儲(chǔ)器����,用于以加密的方式存儲(chǔ)該公私密鑰對(duì)的私鑰和由CA中心410返回的生物特征數(shù)字證書;
處理器���,至少包括加密單元用于利用公私密鑰中的私鑰加密生物特征 數(shù)字證書�����。
密鑰產(chǎn)生單元可以采用單獨(dú)的硬件來實(shí)現(xiàn),也可以作為軟件集成在處理 器����。另外,在移動(dòng)存儲(chǔ)裝置中還可以包括用于采集用戶的生物特征信息(如 指紋信息)的生物特征采集器�����,如果生物特征采集器不設(shè)置在移動(dòng)存儲(chǔ)裝置 430中��,則第三方420上設(shè)置有生物特征采集器。在驗(yàn)證過程中�����,若接收端 450未保存有注冊(cè)過程中用戶的生物特征信息時(shí)��,則發(fā)送端440上還需要設(shè)置 用于采集用戶生物特征信息的生物特征采集器�����。移動(dòng)存儲(chǔ)裝置430可以為移 動(dòng)USBKey����。
第三方420,除了接收用戶輸入用于注冊(cè)的用戶個(gè)人信息的輸入設(shè)備和輸 出設(shè)備之外�,至少還包括與移動(dòng)存儲(chǔ)裝置430、 CA中心410進(jìn)行通信的通信 接口 421和處理器�����,所述處理器至少包括注冊(cè)處理單元用于將用戶的生物 特征點(diǎn)信息��、該公私密鑰對(duì)的公鑰�����、用戶的個(gè)人注冊(cè)信息發(fā)送至CA中心410, 并將CA中心410返回的生物特征數(shù)字證書傳送到移動(dòng)存儲(chǔ)裝置430。
發(fā)送端440進(jìn)一步包括分別與移動(dòng)存儲(chǔ)裝置430和接收端450通信的通 信接口�����。當(dāng)認(rèn)證過程中還需要進(jìn)行時(shí)間戳認(rèn)證時(shí)����,發(fā)送端440還需要包括用 于完成發(fā)送端440和接收端450之間時(shí)間同步的時(shí)間同步處理單元,通常是 由發(fā)送端440的處理器來完成的���,時(shí)間同步處理單元在進(jìn)行身份認(rèn)證之前���, 預(yù)先將當(dāng)前時(shí)間傳送到移動(dòng)存儲(chǔ)裝置430,以使其生成帶有時(shí)間戳的生物特征 數(shù)字證書。
接收端450��,該接收端450又進(jìn)一步包括 一第二通信單元���,用以與該發(fā)送端440傳送信息;以及 一第二處理器�����,該第二處理器又包括
解密單元,用以用該公私密鑰對(duì)中的公鑰對(duì)接收到的數(shù)字包進(jìn)行解密�,
獲得生物特征點(diǎn)信息;
驗(yàn)證單元����,用以判斷該生物特征數(shù)字證書中的該生物特征點(diǎn)信息有效性。 基于上述公開的系統(tǒng)結(jié)構(gòu)��,請(qǐng)參閱圖5���,本發(fā)明提供了一種利用生物特
征進(jìn)行身份認(rèn)證的方法的流程包括以下步驟
(一)用戶通過注冊(cè)端發(fā)起注冊(cè)過程�����,所述注冊(cè)端為設(shè)置在第三方的移動(dòng)存 儲(chǔ)裝置�;S410:生成一對(duì)公私密鑰對(duì)���,并在移動(dòng)存儲(chǔ)裝置直接保存該公鑰密鑰的私
鑰��;
S420:提取用戶的生物特征點(diǎn)信息���,并將該公私密鑰對(duì)中的公鑰、該生物 特征點(diǎn)信息以及該用戶的個(gè)人注冊(cè)信息上傳至一 CA中心��;以及
S430: CA中心按照現(xiàn)有的生成算法生成生物特征數(shù)字證書,再將經(jīng)過其 簽名的該生物特征數(shù)字證書返回�����,保存在該移動(dòng)存儲(chǔ)裝置����;
(二)用戶將移動(dòng)存儲(chǔ)裝置連接在發(fā)送端或直接通過發(fā)送端進(jìn)行驗(yàn)證過程 S440:該發(fā)送端和該接收端進(jìn)行時(shí)間同步;
S450:該移動(dòng)存儲(chǔ)裝置接收到發(fā)送端發(fā)送的當(dāng)前時(shí)間��,將當(dāng)前時(shí)間加載到 該生物特征數(shù)字證書上�,生成帶有一時(shí)間戳的該生物特征數(shù)字證書;
S460:該移動(dòng)存儲(chǔ)裝置用該公私密鑰對(duì)中的私鑰對(duì)該生物特征數(shù)字證書進(jìn) 行加密后通過發(fā)送端發(fā)送給該接收端���; '
S470:該接收端用該公私密鑰對(duì)中的公鑰解密帶有該時(shí)間戳的該生物特征 數(shù)字證書���,獲得該時(shí)間戳和該生物特征點(diǎn)信息;
S480:當(dāng)該接收端的當(dāng)前時(shí)間與該時(shí)間戳的時(shí)間差值在預(yù)定的范圍內(nèi)�����,則 進(jìn)行下一步驟�;以及
S490:該接收端驗(yàn)證該生物特征點(diǎn)信息,若通過驗(yàn)證�,則該用戶通過身份 認(rèn)證。
該接收端驗(yàn)證該生物特征點(diǎn)信息包括
Al�、在注冊(cè)過程預(yù)先將該生物特征點(diǎn)信息保存在該接收端;以及
A2����、該接收端將解密該生物特征數(shù)字證書獲得的該生物特征點(diǎn)信息和步 驟Al中預(yù)先保存的該生物特征點(diǎn)信息進(jìn)行比對(duì),若一致���,則該用戶通過身份 認(rèn)證��。
該接收端驗(yàn)證該生物特征點(diǎn)信息還可以通過以下步驟來實(shí)現(xiàn)
B1 ��、在驗(yàn)證過程中還包括該發(fā)送端將本端采集到該用戶的該生物特征點(diǎn)
信息利用安全通信協(xié)議預(yù)先發(fā)送至該接收端�;以及
B2�����、該接收端將步驟Bl中接收到的該生物特征點(diǎn)信息和解密該生物特征
數(shù)字證書獲得的該生物特征點(diǎn)信息進(jìn)行比對(duì)���,若一致�����,則用戶通過身份認(rèn)證�。 該接收端可以直接從該CA中心下載該公私密鑰對(duì)中的公鑰;或者 該接收端接收該發(fā)送端利用安全通信協(xié)議發(fā)送的該公私密鑰對(duì)中的公鑰�。
請(qǐng)參閱圖6 ,其為本發(fā)明第二種利用生物特征信息進(jìn)行身份認(rèn)證系統(tǒng)的 結(jié)構(gòu)示意圖�����。它包括CA中心510����、發(fā)送端520和接收端530,其中, 該發(fā)送端520包括
一用以建立與接收端530��、 CA中心510通信的第一通信單元����; 一生物特征采集裝置,用以采集需要認(rèn)證用戶的生物特征點(diǎn)信息���; 一密鑰產(chǎn)生單元����,用以生成一對(duì)公私密鑰對(duì)����;
第一存儲(chǔ)器�����,用于以加密的方式存儲(chǔ)該公私密鑰對(duì)的私鑰和由CA中心返 回的生物特征數(shù)字證書;
一第一處理器��,其又包括
注冊(cè)處理單元用于將采集到的用戶的生物特征點(diǎn)信息�����、該公私密鑰對(duì) 的公鑰����、用戶的個(gè)人注冊(cè)信息通過該第一通信單元發(fā)送至CA中心510,并將 CA中心510返回的生物特征數(shù)字證書保存到第一存儲(chǔ)器中;
時(shí)間處理單元用以同步該發(fā)送端與該接收端的時(shí)間��;
加密單元用于將當(dāng)前時(shí)間信息加載到生物特征數(shù)字證書�����,并利用公私密 鑰中的私鑰加密生物特征數(shù)字證書���;
接收端530���,該接收端又進(jìn)一步包括
一第二通信單元����,用以與該發(fā)送端傳送信息�����;以及
一第二處理器����,該第二處理器又包括
第二時(shí)間處理單元,用以同步該發(fā)送端與該接收端的時(shí)間���;
解密單元���,用以用該公私密鑰對(duì)中的公鑰對(duì)接收到的數(shù)字包進(jìn)行解密, 獲得時(shí)間戳及該生物特征點(diǎn)信息�;
驗(yàn)證單元,用以判斷該生物特征數(shù)字證書中的該時(shí)間戳有效性��,以及判 斷該生物特征數(shù)字證書中該生物特征點(diǎn)信息與第二存儲(chǔ)器中的生物特征點(diǎn)信 息是否一致����,進(jìn)而驗(yàn)證用戶身份的有效性。 '
請(qǐng)參見圖7����,其為本發(fā)明實(shí)施例的一種利用生物特征進(jìn)行身份認(rèn)證的方法 的注冊(cè)流程圖����。
注冊(cè)生物特征數(shù)字證書時(shí)可以在個(gè)人電腦上設(shè)置生物特征采集裝置后通 過網(wǎng)絡(luò)完成�����,生物特征采集裝置可以通過USB接口外接于個(gè)人電腦����。若接收 端為銀行���、證券公司營業(yè)點(diǎn)或其它大型電子交易平臺(tái)����,也可以通過直接去營業(yè)點(diǎn)經(jīng)內(nèi)部經(jīng)拒員幫助進(jìn)行注冊(cè)���。
S701:輸入個(gè)人注冊(cè)信息�����。個(gè)人注冊(cè)信息包括注冊(cè)端的個(gè)人基本信息��, 用以顯示注冊(cè)端使用者的身份�。
S703:釆集生物特征點(diǎn)信息。通過在電腦上連接采集生物特征采集裝置 來采集生物特征點(diǎn)信息�����,生物特征包括指紋�����、虹膜��、掌紋��、面像���,采集生物 特征點(diǎn)信息時(shí)����,可以先采集其圖像�����,在所采集的圖像基礎(chǔ)上進(jìn)行部分特征要 點(diǎn)的提取數(shù)據(jù)。
S705:產(chǎn)生密鑰對(duì)����。密鑰對(duì)是通過軟件計(jì)算生成的,用以簽名加密和解 密����,具有公鑰和私鑰,公鑰與私鑰相對(duì)應(yīng)��,如使用私鑰加密時(shí)只能使用公鑰
進(jìn)行解密��。
S707:將公鑰�����、生物特征點(diǎn)信息及個(gè)人注冊(cè)信息發(fā)送至CA中心����。
S709:生成生物特征數(shù)字證書����。CA中心對(duì)接收到的信息作以公證,確認(rèn) 合格后作成生物特征數(shù)字證書���,并對(duì)生物特征數(shù)字證書加以簽字�,以標(biāo)明數(shù) 字證書的注冊(cè)內(nèi)容合格、時(shí)間有效等相關(guān)信息�����。
S711:保存生物特征數(shù)字證書�。注冊(cè)端(本實(shí)例中注冊(cè)端為發(fā)送端)接收 CA中心生成的生物特征數(shù)字證書,并保存在注冊(cè)端�����。生物特征數(shù)字證書可以 保存在電腦硬盤中���。
因本發(fā)明在數(shù)字證書中加入了時(shí)間戳��,因此在身份驗(yàn)證前需要設(shè)置發(fā)送 端或接收端的系統(tǒng)時(shí)間�����,保持發(fā)送端與接收端的時(shí)間同步����。
請(qǐng)參見圖8,其為本發(fā)明實(shí)施例的一種利用生物特征進(jìn)行身份認(rèn)證的方法 的同步時(shí)間流程圖�。
S801:發(fā)送端接受身份認(rèn)證申請(qǐng)后向接收端提交時(shí)間同步申請(qǐng)���。 S803:接收端將加密后的本端系統(tǒng)時(shí)間信息發(fā)送給發(fā)送端。
S805:發(fā)送端對(duì)系統(tǒng)時(shí)間信息進(jìn)行解密并根據(jù)系統(tǒng)時(shí)間信息設(shè)置本方時(shí) 間����,使發(fā)送端與接收端的時(shí)間相同。除了根據(jù)接收端的系統(tǒng)時(shí)間來設(shè)置發(fā)送 端的時(shí)間外��,也可以根據(jù)發(fā)送端的系統(tǒng)時(shí)間來設(shè)置接收端的時(shí)間��。
請(qǐng)參見圖9��,其為本發(fā)明實(shí)施例的一種利用生物特征進(jìn)行身份認(rèn)證的方法 的身份驗(yàn)證流程圖���。
S901:發(fā)送端提取本端時(shí)間戳���,并加載到生物特征數(shù)字證書中�����。
S903:發(fā)送端用私鑰對(duì)生物特征數(shù)字證書進(jìn)行簽名加密����,并發(fā)送給接收 端。此時(shí)發(fā)送端向接收端發(fā)送的生物特征數(shù)字證書包括四個(gè)部分,即生物特征點(diǎn)信息���、個(gè)人注冊(cè)信息��、時(shí)間戳以及CA中心的簽名����。
S905:接收端用公鑰對(duì)生物特征數(shù)字證書解密��。公鑰可以從CA中心下 載�,也可以由發(fā)送端事先通過安全通信協(xié)議連同本端采集到的用戶生物特征 信息發(fā)送給接收端。
S907:驗(yàn)證生物特征數(shù)字證書的有效性�。接收端驗(yàn)證生物特征數(shù)字證書 的有效性時(shí)需要驗(yàn)證其中的時(shí)間戳及生物特征點(diǎn)信息的有效性。在驗(yàn)證時(shí)間 戳?xí)r�,首先讀取生物特征數(shù)字證書中時(shí)間戳的時(shí)間,再算出時(shí)間戳的時(shí)間與 接收端接收到生物特征數(shù)字證書的時(shí)間的差值���,然后將此差值與預(yù)先設(shè)置的 一個(gè)有效時(shí)間范圍來比對(duì)���,若差值在有效時(shí)間范圍內(nèi),則說明時(shí)間戳有效����, 若差值不在有效時(shí)間范圍內(nèi)��,說明時(shí)間戳無效�����。驗(yàn)證生物特征點(diǎn)信息時(shí)�����,將 生物特征數(shù)字證書中提取出的生物特征點(diǎn)信息或由發(fā)送端通過安全通信協(xié)議 發(fā)送給接收端的生物特征點(diǎn)信息進(jìn)行比對(duì)��,判斷兩者是否符合�����,若符合則說 明生物特征點(diǎn)信息有效���,若不符合則說明生物特征點(diǎn)信息無效。當(dāng)時(shí)間戳及 生物特征點(diǎn)信息都有效時(shí)�����,接收端才可以確定生物特征數(shù)字證書有效而使發(fā) 送端通過身份驗(yàn)證��。若時(shí)間戳與生物特征點(diǎn)信息有一個(gè)為無效�,則接收端認(rèn) 為生物特征數(shù)字證書無效。
本發(fā)明將生物特征識(shí)別技術(shù)引入到普通的數(shù)字證書中����,用具有穩(wěn)定性、 可靠性和唯一性的生物特征標(biāo)識(shí)大大提高了數(shù)字證書的安全性���。且本發(fā)明在 數(shù)字證書中還引入了時(shí)間戳���,局限了數(shù)字證書在網(wǎng)絡(luò)上傳輸?shù)臅r(shí)間,從而有 效避免了黑客采用如重放攻擊等利用時(shí)間差的手段來偽裝成發(fā)送端�,而篡改 數(shù)字證書的危險(xiǎn)發(fā)生,使身份認(rèn)證更準(zhǔn)確安全���。
請(qǐng)參閱圖10���,其為一種利用生物特征進(jìn)行身份認(rèn)證的系統(tǒng)的結(jié)構(gòu)原理圖, 它包括發(fā)送端610��、移動(dòng)存儲(chǔ)裝置620����、接收端630和CA中心640其中,
移動(dòng)存儲(chǔ)裝置620進(jìn)一步包括
分別與發(fā)送端610和接收端630建立連接的通信接口 ���; 一密鑰產(chǎn)生單元����,用以生成一對(duì)公私密鑰對(duì);
第一存儲(chǔ)器��,用于以加密的方式存儲(chǔ)該公私密鑰對(duì)的私鑰和由CA中心返 回的生物特征數(shù)字證書����;
處理器,至少包括加密單元用于將當(dāng)前時(shí)間信息加載到生物特征數(shù)字 證書�,并利用公私密鑰中的私鑰加密生物特征數(shù)字證書;
發(fā)送端610進(jìn)一步包括分別與移動(dòng)存儲(chǔ)裝置620和接收端630通信的通信接口 �;
接收端630,該接收端630又進(jìn)一步包括 一第二通信單元,用以與該發(fā)送端610傳送信息�;以及 一第二處理器,該第二處理器又包括
注冊(cè)處理單元用于將用戶的生物特征點(diǎn)信息��、該公私密鑰對(duì)的公鑰����、 用戶的個(gè)人注冊(cè)信息發(fā)送至CA中心,并接收由CA中心返回的生物特征數(shù)字 證書��,將用戶的生物特征數(shù)字證書存儲(chǔ)至移動(dòng)存儲(chǔ)裝置;
保存處理單元���,用于將該公私密鑰對(duì)的公鑰保存在本端;
解密單元���,用以用該公私密鑰對(duì)中的公鑰對(duì)接收到的數(shù)字包進(jìn)行解密����,
獲得生物特征點(diǎn)信息��;
驗(yàn)證單元�����,用以判斷該生物特征數(shù)字證書中的該時(shí)間戳有效性�,以及判
斷該生物特征數(shù)字證書中該生物特征點(diǎn)信息與第二存儲(chǔ)器中的生物特征點(diǎn)信
息是否一致,進(jìn)而驗(yàn)證用戶身份的有效性�。
請(qǐng)參閱圖11,其為第三種利用生物特征進(jìn)行身份認(rèn)證的方法的流程圖。 它用以 一發(fā)送端與 一接收端的身份認(rèn)證��,包括以下步驟
(一) 需要認(rèn)證的用戶利用移動(dòng)存儲(chǔ)裝置通過接收端發(fā)起注冊(cè)過程
S21 :在移動(dòng)存儲(chǔ)裝置中生成一對(duì)公私密鑰對(duì)��,保存該對(duì)公私密鑰對(duì)中的私 鑰�,并將該公私密鑰對(duì)的公鑰發(fā)送至接收端;
S22:接收端提取并在本端保存有該用戶的生物特征點(diǎn)信息,將該公私密鑰 對(duì)中的公鑰�、該生物特征點(diǎn)信息以及該用戶的個(gè)人注冊(cè)信息上傳至一 CA中
S23:該CA中心生成一生物特征數(shù)字證書后,將經(jīng)過該CA中心簽名的該 生物特征數(shù)字證書傳送至移動(dòng)存儲(chǔ)裝置�;
(二) 用戶通過該移動(dòng)存儲(chǔ)裝置連接至發(fā)送端來完成驗(yàn)證過程
S24:移動(dòng)存儲(chǔ)裝置用該公私密鑰對(duì)中的私鑰加密該生物特征數(shù)字證書,通 過發(fā)送端進(jìn)行發(fā)送��;
S25:該接收端解密接收到的該生物特征數(shù)字證書�,獲得該生物特征點(diǎn)信
,&,
S26:該接收端提取存儲(chǔ)在本端的該生物特征點(diǎn)信息���,與解密獲得的該生物 特征點(diǎn)信息�����,若一致�����,則該用戶通過認(rèn)證����。本方法還包括
發(fā)送端和該接收端進(jìn)行時(shí)間同步���;
該移動(dòng)存儲(chǔ)裝置將當(dāng)前時(shí)間加載到該生物特征數(shù)字證書上����,生成的是帶 有 一 時(shí)間戳的該生物特征數(shù)字證書;
該接收端用該公私密鑰對(duì)中的公鑰解密帶有該時(shí)間戳的該生物特征數(shù)字 證書后���,從中獲得該時(shí)間戳;
當(dāng)該接收端的當(dāng)前時(shí)間與該時(shí)間戳的時(shí)間差值不在預(yù)定的范圍內(nèi)����,則該 用戶的身份認(rèn)證不通過。
本發(fā)明主要適用于通信過程中的身份認(rèn)證����,應(yīng)用于網(wǎng)上交易、網(wǎng)上辦公 等場(chǎng)合�����,有廣泛的應(yīng)用前景���。
以上公開的僅為本發(fā)明的幾個(gè)具體實(shí)施例����,但本發(fā)明并非局限于此���,任 何本領(lǐng)域的技術(shù)人員能思之的變化��,都應(yīng)落在本發(fā)明的保護(hù)范圍內(nèi)�。
權(quán)利要求
1、一種利用生物特征進(jìn)行身份認(rèn)證的方法�����,其特征在于����,包括以下步驟(一)用戶通過注冊(cè)端發(fā)起注冊(cè)過程,所述注冊(cè)端為設(shè)置在第三方的移動(dòng)存儲(chǔ)裝置或者直接為發(fā)送端�����;生成一對(duì)公私密鑰對(duì)����,并在移動(dòng)存儲(chǔ)裝置或發(fā)送端直接保存該公私密鑰對(duì)的私鑰;提取用戶的生物特征點(diǎn)信息����,并將該公私密鑰對(duì)中的公鑰、該生物特征點(diǎn)信息以及該用戶的個(gè)人注冊(cè)信息上傳至一CA中心�����;以及該CA中心生成一生物特征數(shù)字證書后,將經(jīng)過其簽名的該生物特征數(shù)字證書返回�,保存在該移動(dòng)存儲(chǔ)裝置或發(fā)送端;(二)用戶將移動(dòng)存儲(chǔ)裝置連接在發(fā)送端或直接通過發(fā)送端進(jìn)行驗(yàn)證過程該發(fā)送端和該接收端進(jìn)行時(shí)間同步��;該移動(dòng)存儲(chǔ)裝置或發(fā)送端將當(dāng)前時(shí)間加載到該生物特征數(shù)字證書上�����,生成帶有一時(shí)間戳的該生物特征數(shù)字證書�;該移動(dòng)存儲(chǔ)裝置或發(fā)送端用該公私密鑰對(duì)中的私鑰對(duì)該生物特征數(shù)字證書進(jìn)行加密后發(fā)送給該接收端����;該接收端用該公私密鑰對(duì)中的公鑰解密帶有該時(shí)間戳的該生物特征數(shù)字證書,獲得該時(shí)間戳和該生物特征點(diǎn)信息����;當(dāng)該接收端的當(dāng)前時(shí)間與該時(shí)間戳的時(shí)間差值在預(yù)定的范圍內(nèi),則進(jìn)行下一步驟�;以及該接收端驗(yàn)證該生物特征點(diǎn)信息,若通過驗(yàn)證�����,則該用戶通過身份認(rèn)證。
2�����、 如權(quán)利要求1所述的利用生物特征進(jìn)行身份認(rèn)證的方法����,其特征在于, 該接收端驗(yàn)證該生物特征點(diǎn)信息包括Al����、在注冊(cè)過程預(yù)先將該生物特征點(diǎn)信息保存在該接收端;以及A2 ����、該接收端將解密該生物特征數(shù)字證書獲得的該生物特征點(diǎn)信息和步 驟A1中預(yù)先保存的該生物特征點(diǎn)信息進(jìn)行比對(duì),若一致�����,則該用戶通過身份 認(rèn)證���。
3���、 如權(quán)利要求1所述的利用生物特征進(jìn)行身份認(rèn)證的方法����,其特征在于��,該接收端驗(yàn)證該生物特征點(diǎn)信息包括Bl�����、在-瞼證過程中還包括該發(fā)送端將本端采集到該用戶的該生物特征點(diǎn) 信息利用安全通信協(xié)議預(yù)先發(fā)送至該接收端��;以及B2�、該接收端將步驟Bl中接收到的該生物特征點(diǎn)信息和解密該生物特征 數(shù)字證書獲得的該生物特征點(diǎn)信息進(jìn)行比對(duì),若一致�,則用戶通過身份認(rèn)證�。
4、 如權(quán)利要求1所述的利用生物特征進(jìn)行身份認(rèn)證的方法���,其特征在于����, 還包括該接收端直接/人該CA中心下載該公私密鑰對(duì)中的公鑰���;或者 該接收端接收該發(fā)送端利用安全通信協(xié)議發(fā)送的該公私密鑰對(duì)中的公鑰���。
5 ����、 一種利用生物特征進(jìn)行身份認(rèn)證的方法����,用以 一發(fā)送端與 一接收端 的身份認(rèn)證,其特征在于��,包括以下步驟(一) 需要認(rèn)證的用戶利用移動(dòng)存儲(chǔ)裝置通過接收端發(fā)起注冊(cè)過程在移動(dòng)存儲(chǔ)裝置中生成一對(duì)公私密鑰對(duì)��,保存該對(duì)公私密鑰對(duì)中的私鑰����, 并將該公私密鑰對(duì)的公鑰發(fā)送至接收端;接收端提取并在本端保存有該用戶的生物特征點(diǎn)信息�,將該公私密鑰對(duì) 中的公鑰、該生物特征點(diǎn)信息以及該用戶的個(gè)人注冊(cè)信息上傳至一CA中心�����;該CA中心生成一生物特征數(shù)字證書后��,將經(jīng)過該CA中心簽名的該生物 特征數(shù)字證書傳送至移動(dòng)存儲(chǔ)裝置����;(二) 用戶通過該移動(dòng)存儲(chǔ)裝置連接至發(fā)送端來完成驗(yàn)證過程移動(dòng)存儲(chǔ)裝置用該公私密鑰對(duì)中的私鑰加密該生物特征數(shù)字證書����,通過 發(fā)送端進(jìn)行發(fā)送����;該接收端解密接收到的該生物特征數(shù)字證書,獲得該生物特征點(diǎn)信息��;該接收端提取存儲(chǔ)在本端的該生物特征點(diǎn)信息���,與解密獲得的該生物特 征點(diǎn)信息�,若一致����,則該用戶通過認(rèn)證�����。
6���、如權(quán)利要求5所述的利用生物特征進(jìn)行身份認(rèn)證的方法�,其特征在于, 還包括發(fā)送端和該接收端進(jìn)行時(shí)間同步�;該移動(dòng)存儲(chǔ)裝置將當(dāng)前時(shí)間加載到該生物特征數(shù)字證書上,生成的是帶有 一 時(shí)間戳的該生物特征數(shù)字證書��;該接收端用該公私密鑰對(duì)中的公鑰解密帶有該時(shí)間戳的該生物特征數(shù)字 證書后�����,從中獲得該時(shí)間戳����;當(dāng)該接收端的當(dāng)前時(shí)間與該時(shí)間戳的時(shí)間差值不在預(yù)定的范圍內(nèi),則該 用戶的身份認(rèn)證不通過���。
7���、 一種利用生物特征進(jìn)行身份認(rèn)證的系統(tǒng),其特征在于�,包括發(fā)送端、 CA中心和接收端�����,其中,該發(fā)送端包括一用以建立與接收端�、CA中心通信的第一通信單元; 一生物特征釆集裝置��,用以采集需要認(rèn)證用戶的生物特征點(diǎn)信息����; 一密鑰產(chǎn)生單元,用以生成一對(duì)公私密鑰對(duì)�;一第一存儲(chǔ)器,用于以加密的方式存儲(chǔ)該公私密鑰對(duì)的私鑰和由CA中心 返回的生物特征數(shù)字證書�����;一第一處理器�,其又包括注冊(cè)處理單元用于將采集到的用戶的生物特征點(diǎn)信息、該公私密鑰對(duì) 的公鑰����、用戶的個(gè)人注冊(cè)信息通過該第一通信單元發(fā)送至CA中心,并將CA 中心返回的生物特征數(shù)字證書保存到第 一存儲(chǔ)器中�����;時(shí)間處理單元用以同步該發(fā)送端與該接收端的時(shí)間�;加密單元用于將當(dāng)前時(shí)間信息加載到生物特征數(shù)字證書,并利用公私 密鑰中的私鑰進(jìn)行加密�;接收端,該接收端又進(jìn)一步包括一第二通信單元����,用以與該發(fā)送端傳送信息;以及一第二處理器�,該第二處理器又包括第二時(shí)間處理單元,用以同步該發(fā)送端與該接收端的時(shí)間���;解密單元��,用以用該公私密鑰對(duì)中的公鑰對(duì)接收到的數(shù)字包進(jìn)行解密��,獲得時(shí)間戳及該生物特征點(diǎn)信息�;驗(yàn)證單元����,用以判斷該生物特征數(shù)字證書中的該時(shí)間戳及該生物特征點(diǎn) 信息有效性。
8����、 一種利用生物特征進(jìn)行身份認(rèn)證的系統(tǒng),其特征在于����,包括發(fā)送端����、 移動(dòng)存儲(chǔ)裝置����、第三方和接收端,其中�,移動(dòng)存儲(chǔ)裝置進(jìn)一步包括與發(fā)送端、第三方建立連接的通信接口���;一密鑰產(chǎn)生單元�,用以生成一對(duì)公私密鑰對(duì)�����;第一存儲(chǔ)器���,用于以加密的方式存儲(chǔ)該公私密鑰對(duì)的私鑰和由CA中心返 回的生物特征數(shù)字證書����;處理器至少包括加密單元用于將當(dāng)前時(shí)間信息加載到生物特征數(shù)字證 書�����,并利用公私密鑰中的私鑰加密生物特征數(shù)字證書�����;第三方���,至少包括與移動(dòng)存儲(chǔ)裝置和第三方進(jìn)行通信的通信接口和處理 器���,所述處理器至少包括注冊(cè)處理單元用于將用戶的生物特征點(diǎn)信息、該 公私密鑰對(duì)的公鑰���、用戶的個(gè)人注冊(cè)信息發(fā)送至CA中心�����,并將CA中心返回 的生物特征數(shù)字證書保存到第 一存儲(chǔ)器中����;發(fā)送端進(jìn)一步包括分別與移動(dòng)存儲(chǔ)裝置和接收端通信的通信接口�;接收端,該接收端又進(jìn)一步包括一第二通信單元���,用以與該發(fā)送端傳送信息�����;以及一第二處理器���,該第二處理器又包括解密單元���,用以用該公私密鑰對(duì)中的公鑰對(duì)接收到的數(shù)字包進(jìn)行解密, 獲得生物特征點(diǎn)��;驗(yàn)證單元����,用以判斷該生物特征數(shù)字證書中的該時(shí)間戳及該生物特征點(diǎn) 信息的有效性。
9���、如權(quán)利要求8所述的生物特征進(jìn)行身份認(rèn)證的系統(tǒng)�����,其特征在于�, 在所述移動(dòng)存儲(chǔ)裝置中還包括用于采集用戶生物特征點(diǎn)信息的生物特征采集在所述第三方和發(fā)送端各設(shè)置一用于采集用戶生物特征點(diǎn)信息的生物特征采集器���。
10�����、 一種利用生物特征進(jìn)行身份認(rèn)證的系統(tǒng)���,其特征在于,包括發(fā)送端���、 移動(dòng)存儲(chǔ)裝置����、接收端���,其中��,移動(dòng)存儲(chǔ)裝置進(jìn)一步包括 分別與發(fā)送端和接收端建立連接的通信接口 �����; 一密鑰產(chǎn)生單元�,用以生成一對(duì)公私密鑰對(duì)��;第一存儲(chǔ)器,用于以加密的方式存儲(chǔ)該公私密鑰對(duì)的私鑰和由CA中心返 回的生物特征數(shù)字證書��;處理器至少包括加密單元用于將當(dāng)前時(shí)間信息加載到生物特征數(shù)字證 書����,并利用公私密鑰中的私鑰加密生物特征數(shù)字證書;發(fā)送端進(jìn)一步包括分別與移動(dòng)存儲(chǔ)裝置和接收端通信的通信接口 �����;接收端���,該接收端又進(jìn)一步包括一第二通信單元��,用以與該發(fā)送端傳送信息��;以及一第二處理器��,該第二處理器又包括注冊(cè)處理單元用于將用戶的生物特征點(diǎn)信息���、該公私密鑰對(duì)的公鑰、 用戶的個(gè)人注冊(cè)信息發(fā)送至CA中心��,并接收由CA中心返回的生物特征數(shù)字 證書���,將用戶的生物特征數(shù)字證書存儲(chǔ)至移動(dòng)存儲(chǔ)裝置����;保存處理單元,用于將該公私密鑰對(duì)的公鑰保存在本端��;解密單元���,用以用該公私密鑰對(duì)中的公鑰對(duì)接收到的數(shù)字包進(jìn)行解密��, 獲得生物特征點(diǎn)信息;驗(yàn)證單元���,用以判斷該生物特征數(shù)字證書中的該時(shí)間戳有效性�����,以及判 斷該生物特征數(shù)字證書中該生物特征點(diǎn)信息與第二存儲(chǔ)器中的生物特征點(diǎn)信 息是否一致�����,進(jìn)而驗(yàn)證用戶身份的有效性��。
全文摘要
本發(fā)明提出一種利用生物特征進(jìn)行身份認(rèn)證的方法����,包括以下步驟首先,發(fā)送端生成生物特征數(shù)字證書���。生物特征數(shù)字證書的生成包括先產(chǎn)生一對(duì)公私密鑰對(duì)��,提取生物特征點(diǎn)信息���,再將公私密鑰對(duì)中的公鑰、生物特征點(diǎn)信息及個(gè)人注冊(cè)信息發(fā)送至CA中心�,后由CA中心簽名并生成生物特征數(shù)字證書。其次���,同步通信雙方的時(shí)間�����。接著在通信時(shí)����,提取發(fā)送端當(dāng)前的時(shí)間戳���,將時(shí)間戳加載到生物特征數(shù)字證書中��,并用與公鑰對(duì)應(yīng)的私鑰對(duì)生物特征數(shù)字證書進(jìn)行簽名后發(fā)送給接收端���。最后��,接收端用公鑰對(duì)生物特征數(shù)字證書進(jìn)行解密����,并根據(jù)生物特征數(shù)字證書中的時(shí)間戳及生物特征點(diǎn)信息判斷是否通過身份驗(yàn)證�����。本發(fā)明使身份認(rèn)證更安全可靠�。
文檔編號(hào)H04L9/30GK101442407SQ200710170810
公開日2009年5月27日 申請(qǐng)日期2007年11月22日 優(yōu)先權(quán)日2007年11月22日
發(fā)明者健 李, 敏 梁, 王從俊, 蔣文琦 申請(qǐng)人:杭州中正生物認(rèn)證技術(shù)有限公司