利用生物特征进行身份认证的方法及系统技术方案

本发明专利技术提出一种利用生物特征进行身份认证的方法，包括以下步骤：首先，发送端生成生物特征数字证书。生物特征数字证书的生成包括：先产生一对公私密钥对，提取生物特征点信息，再将公私密钥对中的公钥、生物特征点信息及个人注册信息发送至ＣＡ中心，后由ＣＡ中心签名并生成生物特征数字证书。其次，同步通信双方的时间。接着在通信时，提取发送端当前的时间戳，将时间戳加载到生物特征数字证书中，并用与公钥对应的私钥对生物特征数字证书进行签名后发送给接收端。最后，接收端用公钥对生物特征数字证书进行解密，并根据生物特征数字证书中的时间戳及生物特征点信息判断是否通过身份验证。本发明专利技术使身份认证更安全可靠。

【技术实现步骤摘要】

本专利技术涉及网络领域，尤其涉及一种利用生物识别技术进行网上身份认证的方法及系统。
技术介绍
随着互联网上电子商务和电子政务的蓬勃发展，网上交易由于其交易成本低、方便快捷等优点也得到了迅猛发展，同样网上电子政务由于其便利性也发展迅猛，同时利用网上交易和网上政务工作的用户数量也急剧增加。然而，网上交易或数据交换过程中的安全问题也日益凸现，它已成为阻碍网上交易或网上政务发展的一个主要瓶颈。这就造成大多数用户除了关注网络传输的方便快捷外，更在意整个过程中安全的问题。特别是，当通信过程中重要信息(如账号和密码)被泄漏或篡改时，极容易造成用户的财产损失。如何提高网上数据传送过程的安全性？银行等处理平台通常采用身份认证来确认数据通信的安全性，进而确保整个网上通信的安全性。最原始的方式为“用户名+密码”的方式。处理平台上预先存储用户名与密码的对应关系，当处理平台接收到用户端发出的包含用户名与密码的请求时，对比所述密码与预先保存该用户名对应的密码，若符合，则通过身份认证。这种方式极容易造成重要数据泄露。为此，现有技术人员又提出了一种利用数字签名技术进行数据通信的方法。数字签名技术是一种用以保证信息完整性的安全技术。请参阅图1，其为现有的利用数字签名技术进行数据通信的系统原理示意图。它包括发送端101、接收端103以及CA中心(鉴定中心)105。发送端101通过网络(如因特网)连接接收端103和CA中心105。发送端101包括一台个人电脑。请参阅图2，其为现有的利用数字签名技术进行数据通信的方法的流程示意简图。其包括以下步骤：首先进行S201，发送端101获得数字证书。S203：发送端101通常需要预先产生非对称的密钥对，一为私钥，一为与私钥对应的公钥；S205：发送端101利用公钥与用户信息等向CA中心105请求数字证书的注册；S207：CA中心105在确认其身份后，给发送端101发送数字证书。-->接着进行S209，在每一次网上交易时，接收端103和发送端101通过数字证书来进行数据通信。S211：发送端101用私钥对需要传送的信息进行签名加密；S213：发送端101将签名后的信息发送至接收端103；S215：接收端103接收到签名后的数据，到CA中心105上获得公钥；S217：接收端103用公钥解开私钥，验证签名，完成数据通信。这种方式虽然在保证数据通信的安全性方面是一个突破，但是，这种方式依然存在很大的安全隐患。如黑客可以无须攻破密码，而是将一个有效的数字证书保存起来，然后等待一段时间后再重新发送这个数字证书来伪装成用户端，达到重放攻击的目的，从而可以以用户端的名义与处理平台进行交易。为此，国家专利号为200410066343.4的专利技术专利公开了一种抵御重放攻击的生物认证装置和方法。此生物认证装置增加了系统独立的实时时钟模块，并经由通信模块与外界发生通信联系。对时钟模块的设置和时间读取，只能由包裹其外的数据加/解密模块，以密文的方式与上位机进行数据交互。请参见图3，其为国家专利号为200410066343.4的专利技术专利的抵御重放攻击的生物认证方法的流程图。S301：生成带有时间信息的生物特征点信息。S303：将生物特征点信息加密后通过公共网络上传到生物认证终端。S305：生物认证终端判断其附带的时间信息是否在允许的范围之内。S307：若不符合要求，则认证不通过。S309：若符合要求，则进行生物认证。此抵御重放攻击的生物认证装置和方法可以有效地抵御重放攻击，但其仍有以下缺陷：仅对验证信息进行简单的加密后便在公共网络上进行传送，而在进行身份验证时，黑客可以容易地通过互联网攻破密码。若密钥被攻破并修改，就能轻易的对通信内容篡改，混乱了电子商务和电子政务的网上身份认证体系，也会出现网上帐户资金被盗窃等事件。另外，数字证书的私钥通常固定地存储在发送端的电脑或USB Key里，容易在互联网上黑客攻破和盗用，直接引发私钥数据篡改的危险。
技术实现思路
-->本专利技术的目的是提供一种利用生物特征进行身份认证的方法，它能在进行网上身份验证时有效避免身份验证信息被黑客攻破，而达到安全通信的效果。本专利技术的再一目的是提供一种利用生物特征进行身份认证的系统，它能在进行网上身份验证时有效避免身份验证信息被黑客攻破，而达到安全通信的效果。本专利技术提供的第一种利用生物特征进行身份认证的方法，包括以下步骤：(一)用户通过注册端发起注册过程，所述注册端为设置在第三方的移动存储装置或者直接为发送端；生成一对公私密钥对，并在移动存储装置或发送端直接保存该公私密钥对的私钥；提取用户的生物特征点信息，并将该公私密钥对中的公钥、该生物特征点信息以及该用户的个人注册信息上传至一CA中心；以及该CA中心生成一生物特征数字证书后，将经过其签名的该生物特征数字证书返回，保存在该移动存储装置或发送端；(二)用户将移动存储装置连接在发送端或直接通过发送端进行验证过程该发送端和该接收端进行时间同步；该移动存储装置或发送端将当前时间加载到该生物特征数字证书上，生成带有一时间戳的该生物特征数字证书；该移动存储装置或发送端用该公私密钥对中的私钥对该生物特征数字证书进行加密后发送给该接收端；该接收端用该公私密钥对中的公钥解密带有该时间戳的该生物特征数字证书，获得该时间戳和该生物特征点信息；当该接收端的当前时间与该时间戳的时间差值在预定的范围内，则进行下一步骤；以及该接收端验证该生物特征点信息，若通过验证，则该用户通过身份认证。该接收端验证该生物特征点信息包括：A1、在注册过程预先将该生物特征点信息保存在该接收端；以及A2、该接收端将解密该生物特征数字证书获得的该生物特征点信息和步骤A1中预先保存的该生物特征点信息进行比对，若一致，则该用户通过身份-->认证。该接收端验证该生物特征点信息包括：B1、在验证过程中还包括该发送端将本端采集到该用户的该生物特征点信息利用安全通信协议预先发送至该接收端；以及B2、该接收端将步骤B1中接收到的该生物特征点信息和解密该生物特征数字证书获得的该生物特征点信息进行比对，若一致，则用户通过身份认证。上述流程还包括：该接收端直接从该CA中心下载该公私密钥对中的公钥；或者该接收端接收该发送端利用安全通信协议发送的该公私密钥对中的公钥。本专利技术提供第二种利用生物特征进行身份认证的方法，用以一发送端与一接收端的身份认证，包括以下步骤：(一)需要认证的用户利用移动存储装置通过接收端发起注册过程：在移动存储装置中生成一对公私密钥对，保存该对公私密钥对中的私钥，并将该公私密钥对的公钥发送至接收端；接收端提取并在本端保存有该用户的生物特征点信息，将该公私密钥对中的公钥、该生物特征点信息以及该用户的个人注册信息上传至一CA中心；该CA中心生成一生物特征数字证书后，将经过该CA中心签名的该生物特征数字证书传送至移动存储装置；(二)用户通过该移动存储装置连接至发送端来完成验证过程移动存储装置用该公私密钥对中的私钥加密该生物特征数字证书，通过发送端进行发送；该接收端解密接收到的该生物特征数字证书，获得该生物特征点信息；该接收端提取存储在本端的该生物特征点信息，与解密获得的该生物特征点信息，若一致，则该用户通过认证。上述方法还包括：发送端和该接收端进行时间同步；该移动存本文档来自技高网...

【技术保护点】
一种利用生物特征进行身份认证的方法，其特征在于，包括以下步骤：　（一）用户通过注册端发起注册过程，所述注册端为设置在第三方的移动存储装置或者直接为发送端；　生成一对公私密钥对，并在移动存储装置或发送端直接保存该公私密钥对的私钥；提取用户的生物特征点信息，并将该公私密钥对中的公钥、该生物特征点信息以及该用户的个人注册信息上传至一ＣＡ中心；以及　该ＣＡ中心生成一生物特征数字证书后，将经过其签名的该生物特征数字证书返回，保存在该移动存储装置或发送端；（二）用户将移动存储装置连接在发送端或直接通过发送端进行验证过程　该发送端和该接收端进行时间同步；　该移动存储装置或发送端将当前时间加载到该生物特征数字证书上，生成带有一时间戳的该生物特征数字证书；　该移动存储装置或发送端用该公私密钥对中的私钥对该生物特征数字证书进行加密后发送给该接收端；　该接收端用该公私密钥对中的公钥解密带有该时间戳的该生物特征数字证书，获得该时间戳和该生物特征点信息；　当该接收端的当前时间与该时间戳的时间差值在预定的范围内，则进行下一步骤；以及　该接收端验证该生物特征点信息，若通过验证，则该用户通过身份认证。

【技术特征摘要】
1、一种利用生物特征进行身份认证的方法，其特征在于，包括以下步骤：(一)用户通过注册端发起注册过程，所述注册端为设置在第三方的移动存储装置或者直接为发送端；生成一对公私密钥对，并在移动存储装置或发送端直接保存该公私密钥对的私钥；提取用户的生物特征点信息，并将该公私密钥对中的公钥、该生物特征点信息以及该用户的个人注册信息上传至一CA中心；以及该CA中心生成一生物特征数字证书后，将经过其签名的该生物特征数字证书返回，保存在该移动存储装置或发送端；(二)用户将移动存储装置连接在发送端或直接通过发送端进行验证过程该发送端和该接收端进行时间同步；该移动存储装置或发送端将当前时间加载到该生物特征数字证书上，生成带有一时间戳的该生物特征数字证书；该移动存储装置或发送端用该公私密钥对中的私钥对该生物特征数字证书进行加密后发送给该接收端；该接收端用该公私密钥对中的公钥解密带有该时间戳的该生物特征数字证书，获得该时间戳和该生物特征点信息；当该接收端的当前时间与该时间戳的时间差值在预定的范围内，则进行下一步骤；以及该接收端验证该生物特征点信息，若通过验证，则该用户通过身份认证。2、如权利要求1所述的利用生物特征进行身份认证的方法，其特征在于，该接收端验证该生物特征点信息包括：A1、在注册过程预先将该生物特征点信息保存在该接收端；以及A2、该接收端将解密该生物特征数字证书获得的该生物特征点信息和步骤A1中预先保存的该生物特征点信息进行比对，若一致，则该用户通过身份认证。3、如权利要求1所述的利用生物特征进行身份认证的方法，其特征在于，该接收端验证该生物特征点信息包括：B1、在验证过程中还包括该发送端将本端采集到该用户的该生物特征点信息利用安全通信协议预先发送至该接收端；以及B2、该接收端将步骤B1中接收到的该生物特征点信息和解密该生物特征数字证书获得的该生物特征点信息进行比对，若一致，则用户通过身份认证。4、如权利要求1所述的利用生物特征进行身份认证的方法，其特征在于，还包括：该接收端直接从该CA中心下载该公私密钥对中的公钥；或者该接收端接收该发送端利用安全通信协议发送的该公私密钥对中的公钥。5、一种利用生物特征进行身份认证的方法，用以一发送端与一接收端的身份认证，其特征在于，包括以下步骤：(一)需要认证的用户利用移动存储装置通过接收端发起注册过程：在移动存储装置中生成一对公私密钥对，保存该对公私密钥对中的私钥，并将该公私密钥对的公钥发送至接收端；接收端提取并在本端保存有该用户的生物特征点信息，将该公私密钥对中的公钥、该生物特征点信息以及该用户的个人注册信息上传至一CA中心；该CA中心生成一生物特征数字证书后，将经过该CA中心签名的该生物特征数字证书传送至移动存储装置；(二)用户通过该移动存储装置连接至发送端来完成验证过程移动存储装置用该公私密钥对中的私钥加密该生物特征数字证书，通过发送端进行发送；该接收端解密接收到的该生物特征数字证书，获得该生物特征点信息；该接收端提取存储在本端的该生物特征点信息，与解密获得的该生物特征点信息，若一致，则该用户通过认证。6、如权利要求5所述的利用生物特征进行身份认证的方法，其特征在于，还包括：发送端和该接收端进行时间同步；该移动存储装置将当前时间加载到该生物特征数字证书上，生成的是带有一时间戳的该生物特征数字证书；该接收端用该公私密钥对中的公钥解密带有该时间戳的该生物特征数字证书后，从中获得该时间戳；当该接收端的当前时间与该时间戳的时间差值不在预定的范围内，则该用户的身份认证不通过。7、一种利用生物特征进行身份认证的系统，其特征在于，包括发送端、CA中心和接收端，其中，该发送端包括：一用以建立与接收端...

【专利技术属性】
技术研发人员：梁敏，李健，蒋文琦，王从俊，
申请(专利权)人：杭州中正生物认证技术有限公司，
类型：发明
国别省市：86[中国|杭州]