专利名称::一种生物认证方法及系统的制作方法
技术领域:
:本发明涉及数据安全领域,尤其涉及一种生物认证方法及系统。
背景技术:
:随着网络快速发展,网络越来越和人们的工作与生活融合在一起,电子政务、电子办公、电子商务得到了大量的应用,网上银行,网上交易等也愈发普遍,因此对人的身份认证也就显得非常重要,它甚至是其它工作开始的第一步。以传统密码方式进行认证,存在容易忘记、容易被别人窃取等很难弥补的缺陷,安全性无法令人满意,以至于近年来网络欺诈,账户盗用的现象日益增多。因此,发展更高安全层次的个人信息保障,认证机制势在必行。近年来生物特征识别技术逐渐成熟,以及网络身份认证的特殊环境,把生物特征识别技术应用在身份认证上,利用生物特征的唯一性、稳定性等特点,为信息安全提供了保障。生物识别技术是指利用人类自身生理或行为特征进行身份确认的一种技术,如指紋识别、虹膜识别、脸型识别、脉络识别等。生物识别认证系统必须先创建生物特征模版,进行身份认证时将新收集的生物特征数据与预先注册存储的模版进行匹配,看匹配结果在是否有效范围内来判断结果。生物识别认证系统的安全性表示系统抵抗对任何非法企图通过身份验证的能力。对生物系统安全性的破坏来自两个方面生物系统固有的不完善性和非法的攻击。这两种因素都可能导致一个认证系统提供一个错误的身份证明,错误地接受非法用户的身份。对于受这个认证系统保护的资源,这将会导致非法-沐问或》皮坏。请参阅图1,生物认证系统可能会受到如下一些攻击1、在传感器侧提供伪造的生物特征(欺骗攻击)提供给传感器的是真的生物表征,但表征的取得是非法的,如塑胶手指、打印的虹膜图像等。2、重新提交以前存储的数字生物数据(重放攻击)绕过传感器,把以前登记的数字生物数据直接提交给特征提取器。3、覆盖特征提取器的处理结果利用木马病毒把预先选定的模版直接覆盖特征提取器的处理结果。4、篡改生物特征表述在特征提取器和匹配器模块之间的传输中,使用伪造的特征集取代真正采集处理后获得的模版。5、破坏匹配器使用木马病毒在匹配模块中产生匹配得分。6、攻击存放预存模版和匹配器的通道在存放模版的数据库和匹配模块的传输中,用伪造的模版替换预存的模版。7、篡改模版事先修改数据库中存放的模版(无论是否是分布式系统),这样后来使用的已经是一个伪造的模版了。8、覆盖决策结果使用木马病毒修改或替换决策模块的结果,或在向应用设备传输途中替换决策结果。在上述的攻击中,2-8的攻击发生在生物系统内部,其中2、4、6、8多发生在分布式系统中。目前有很多安全技术用于防御这些攻击,简单来说,确保通道安全和数据加密可以防御传输过程中发生的攻击;解决重放攻击最常用的方法是在数据中增加时间戳,或者在提交生物特征时采用口令-应答机制;安装防木马和病毒的软件可以防止夂马病毒干扰认证过程。对分布式生物认证系统中各部件之间数据传输的安全保护已经有了一些国际标准或草案,如ISO/IECCD24761。但是现有的认证方法对攻击的防御都是从认证系统外部出发,而并没有通过提高数据本身安全性的方面出发,所以生物认证过程的安全性得不到有效的提高。
发明内容本发明要解决的技术问题是提供一种生物认证方法及系统,能够提高生物认证过程的安全性。本发明提供的生物认证方法,包括客户端向验证端发送参数信息唯一标识符;验证端根据所述参数信息唯一标识符,通过生物安全级别列表查询对应的生物认证参数并将所述生物认证参数发送至客户端;客户端根据接收到的生物认证参数进行相应处理并将生物信息发送至验证端;验证端根据生物认证参数对生物信息进行验证。可选地,所述客户端向验证端发送参数信息唯一标识符的步骤包括客户端向验证端发送包含参数信息唯一标识符的属性证书。可选地,所述客户端向验证端发送参数信息唯一标识符的步骤包括客户端将包含参数信息唯一标识符的生物安全级别列表存放于验证端数据库或文件或者生物算法证书中。可选地,在客户端向验证端发送包含参数信息唯一标识符的属性证书的步骤之后包括验证端对接收到的属性证书进行解析,获取参数信息唯一标识符以及安全级别。可选地,客户端还向-睑证端发送生物证书;验证端4妄收到所述生物证书之后包括解析生物证书,获取生物模版。可选地,所述生物安全级别列表包括生物安全级别,策略以及生物参数信息;所述生物安全级别包括参数信息唯一标识符,和/或安全级别;所述生物参数信息包括生物类型,和/或生物算法,和/或算法错误匹配率值;所述验证端根据所述参数信息唯一标识符,通过生物安全级别列表查询对应的生物认证参数的步骤包括根据参数信息唯一标识符在生物安全级别列表中查询具有相应参数信息唯一标识符的项;获取所述项的安全级别,策略,生物类型,生物算法以及算法错误匹配率。可选地,所述将生物认证参数发送至客户端的步骤包括验证端将策略发送至客户端请求客户端进行策略检查。可选地,若策略检查通过,则客户端获取用户生物信息并将其发送至验证端;验证端处理所述生物信息并生成活体生物模版;根据生物算法对生成的活体生物模版以及从生物证书中解析出的生物模版进行匹配评分;根据算法错误匹配率对所述匹配评分进行判定,并输出认证结果。本发明提供的生物认证系统,包括客户端以及验证端;所述客户端向验证端发送参数信息唯一标识符;所述验证端根据所述标识符,通过与生物安全级别列表中的对应标识符比对,查询对应的生物认证参数并将所述生物认证参数发送至客户端;所述客户端根据接收到的生物认证参数进行相应处理并将生物信息发送至验证端;所述验证端根据生物认证参数对生物信息进行验证。可选地,所述客户端包括生物信息读取单元以及发送单元;所述生物信息读取单元用于读取用户提供的生物信息;所述发送单元用于向验证端发送生物i正书以及属性i正书。可选地,所述验证端包括接收单元,解析单元,认证处理单元,生物模版处理单元,生物模版匹配单元以及判定单元;所述接收单元用于接收发送单元发送的生物证书以及属性证书,并将其发送至解析单元;所述解析单元用于解析生物证书形成生物^t版并发送至生物;漠版匹配单元,并解析属性证书,将解析结果发送至认证处理单元,并解析生物算法证书,将解析结果发送至认证处理单元;所述认证处理单元根据接收到的解析结果从生物信息读取单元读取生物信息并将所述生物信息发送至生物模版处理单元;所述生物模版处理单元根据接收到的生物信息生成活体生物模版并发送至生物模版匹配单元;所述生物模版匹配单元用于对接收到的生物模版以及活体生物模版进行匹配并将匹配评分发送至判定单元;所述判定单元用于判定匹配评分并输出认证结果。以上技术方案可以看出,本发明具有以下优点本发明在验证过程中利用了生物安全级别列表,验证端预先将生物安全级别列表存储,在进行认证时,验证端根据客户端发送的参数信息唯一标识符查询存储的生物安全级别列表中对应的生物认证参数,并将参数反馈客户端,客户端根据生物认证参数提供对应的生物信息至验证端进行检测,所以能够提高生物认证过程的安全性;其次,验证端可以通过多种方式存储生物安全级别列表,客户端也可以通过多种方式发送参数信息唯一标识符,所以提高了生物认证的灵活性。图1为现有技术中生物系统可能受到的攻击示意图;图2为本发明生物认证方法具体实施方式流程图;图3为本发明生物认证方法流程示意图;图4为本发明生物认证系统示意图。具体实施例方式本发明提供了一种生物认证方法及系统,用于提高生物认证过程的安全性以及灵活性。请参阅图2,本发明生物认证方法具体实施方式流程包括201、客户端向验证端发送参数信息唯一标识符;其中,客户端向验证端发送参数信息唯一标识符的方式有以下两种一、绑定方式首先根据实际应用,由生物权威机构评价各种生物算法情况,并给出具体的策略、生物参数和相应的安全级别,制作成具体的生物安全级别列表。其中,生物安全级别列表是由多个生物安全级别模版按照一定的顺序组合而成;其中,在本实施例中,生物安全级别;漠版包括生物安全级别由参数信息唯一标识符和安全级别构成。参数信息唯一标识符唯一区分出生物安全级别所对应的各种参数,如生物参数信息和安全级别的Hash值等,在实际使用时,将此项连同安全级别一起提供给具体的客户端用户或指定的数据库。安全级别标识出某种策略和生物参数信息下代表的生物安全性。确定安全级别高低的依据是先根据策略,策略条件越多安全级别越高;再根据某一策略下同一生物类型,同一算法所对应的错误匹配率(FMR,FalseMatchRate)值,FMR值越小(在保证可用的情况下)安全越高。最后综合这两方面的情况确定出安全级别的值。策略策略反映使用者具体选用的策略方法,包括单模生物认证、单模生物认证+活体检测、多模生物认证、多模生物认证+活体检测等,也可以根据需要加入其它策略。其中,单模生物认证就是采用单个生物类型进行认证,如单独使用指紋、虹膜、脉络等进行身份认证;活体检测就是要求生物读取器具有识别活体生物的功能;多模生物认证就是同时使用不同类型的生物或同一生物不同实体进行身份认证。生物参数信息由生物类型、生物算法、算法FMR值和相关参数构成。生物类型标识出生物认证使用的生物名称。如指紋、虹膜、面部等,还包括各种生物的组合(如指紋+虹膜)。生物算法生物认证中进行生物识别时所使用的生物处理算法,包括活体生物模版处理算法和生物模版匹配算法。生物算法FMR:某种生物算法所对应的一系列值,它反映算法的错误匹配率,这个值越小,其认证的结果越可靠,所以可以使用FMR来反映生物安全级别的高低。相关参数留作以后使用,作为扩充,可以根据需要加入。根据上述格式,下面给出一个生物安全级别列表的具体实例,如下表所示表l<table>tableseeoriginaldocumentpage10</column></row><table><table>tableseeoriginaldocumentpage11</column></row><table>在上表中,按照行的排序,由上至下,生物安全级别逐渐升高。其中,杂凑值Hash或加密值i,Hash或加密值j,Hash或加密值k,Hash或加密值1各不相同。参数信息唯一标识值和相关的生物参数信息。安全级别安全级别与策略和FMR关联,具体确定安全级别高低的依据可以是先根据策略,策略条件越多安全级别越高;再根据某一策略下同一生物类型,同一算法所对应的FMR值,FMR值越小(在保证可用的情况下)安全越高,最后综合这两方面的情况确定出安全级别的值。可以理解的是,同样可以根据具体的需要调整关联的方式,安全级别的值反映生物安全级别的值。在策略下,一般认为安全级别递增次序是单模<单模+活体检测<多模<多模+活体检测,可以根据需要添加策略,即策略条件越多安全级别越高。即Ai<Bj<Ck<Dl。生物算法对于策略为单模情况下,同一个生物类型可能会有对应多个生物处理算法,如处理指紋的算法有多种。对于策略为多模情况下,相同组合的生物类型,可能对应多种算法的组合,如指紋+虹膜组合可以对应处理算法指紋算法1+虹膜算法1,也可以为指紋算法2+虹膜算法2。FMR值每一个算法或算法组合可以对应多个FMR值,可以在满足系统可用的条件下给出一系列的值,它们决定安全级别的高低。例如策略为A,生物类型为B,生物算法为C,在这种情况下对应的FMR值为l,2,3,这些数值决定安全级别的高低。其中,生成的生物安全级别列表一般被存放在生物算法证书中。其次将生物安全级别列表中的参数信息唯一标识符放在属性证书的扩展中,即使参数信息唯一标识符和属性证书绑定,在使用的时候,客户端将生物证书与属性证书发送给验证端,即是将参数信息唯一标识符发送给验证端。其中,参数信息唯一标识符是hash值或加密值(若使用加密值,一般使用BAC的公钥),或者其它能用来唯一标识某条安全级别信息的符号。二、独立方式独立使用生物安全级别列表是指不把生物安全级别列表放到生物算法证书中,比如把生物安全级别列表放到数据库中或一个文件中,每次使用时,从数据库或文件中调用。此时,若参数信息唯一标识符与属性证书绑定,则其调用机制与绑定方式相同,若参数信息唯一标识符不与属性证书绑定,则可以将每个用户权限对应的参数信息唯一标识符放到数据库中,以此代替从属性证书中解析用户参数信息唯一标识符和安全级别,每次使用时从数据库中调用相应的用户参数信息唯一标识符和安全级别。202、验证端查询对应的生物认证参数;其中,验证端接收到参数信息唯一标识符之后,在生物算法证书中存储的生物安全级别列表中查询具有相应参数信息唯一标识符的项并获取该项的安全级别,策略,生物类型,生物算法以及算法错误匹配率。203、将生物认证参数发送至客户端;其中,验证端将获取到的生物认证参数发送至客户端。204、客户端根据接收到的生物认证参数进行相应处理并将生物信息发送至验4正端;205、验证端根据生物认证参数对生物信息进行验证。请参阅图3,本发明生物认证方法流程包括301、客户端向验证端发送生物证书和属性证书;302、验证端接收并验证生物证书和属性证书的有效性,同时检验生物证书和属性证书的绑定关系;303、解析属性证书,获得用户权限、杂凑值和安全级别(也可以是能区分调用参数的其它标识,如加密等);304、解析生物证书,获得生物模版,若有多个生物模版,就根据生物类型选取生物模版;305、验证并解析生物算法证书,获得生物安全级别列表;306~307、才艮据步骤303中的杂凑值和安全级别在生物安全级别列表中查找到对应的生物认证参数;其中,杂凑值Hash或加密值i,Hash或加密值j,Hash或加密值k,Hash或加密值l各不相同;其中,生物认证参数包括策略、生物类型、生物算法以及FMR值(门限值);将生物认证参数划分为三部分1、策略,生物类型以及生物算法中的处理算法;2、FMR值;3、生物算法中的匹配算法;将这三部分分别发送至不同单元进行处理。308、验证端发送策略给客户端,要求客户端通过策略的检查,否则拒绝客户端的下一步的操作;309、如果步骤308检查通过,客户端判断本地是否含有认证所需的生物信息,若没有,则提示用户通过输入设备输入相应的生物信息,客户端采集到所需的生物信息之后将生物信息发送至验证端,验证端获取用户生物信息,并将生物信息发送给活体生物模版处理单元(活体生物模版处理单元可以在验证端,也可以在客户端或第三方,本实施例中在验证端);310、活体生物模版处理单元,处理发送来的生物信息,获得活体生物模版;311、生物模版匹配单元,根据步骤304的生物模版和步骤307的算法参数,将活体生物模版和步骤304的生物模版进行匹配评分;312、根据FMR参数值对步骤311进行判定,获得结果,完成身份认证,通知其它调用。本实施例中,生物安全级别列表被存放于生物算法证书中,且参数信息唯一标识符与属性证书绑定,可以理解的是,若生物安全级别列表未被存放于生物算法证书中,或者参数信息唯一标识符未与属性证书绑定,其认证流程大致相同,区别仅在于生物安全级别列表或参数信息唯一标识符获:f又的位置不同。请参阅图4,本发明生物认证系统包括客户端401以及验证端402;客户端401向-睑证端402发送参数信息唯一标识符;验证端402冲艮据所述标识符,通过与生物安全级别列表中的对应标识符比对,查询对应的生物认证参数并将所述生物认证参数发送至客户端401;客户端401根据接收到的生物认证参数进行相应处理并将生物信息发送至-睑-〖正端402;验证端402根据生物认证参数对生物信息进行验证。其中,客户端401包括生物信息读取单元4011以及发送单元4012;生物信息读取单元4011用于读取用户提供的生物信息;其中,验证端402包括接收单元4021,解析单元4022,认证处理单元4023,生物模版处理单元4024,生物模版匹配单元4025以及判定单元4026;接收单元4021用于接收发送单元4012发送的生物证书以及属性证书,并将其发送至解析单元4022;解析单元4022用于解析生物证书形成生物模版并发送至生物模版匹配单元4025,并解析属性证书,将解析结果发送至认证处理单元4023,并解析生物算法证书,将解析结果发送至认证处理单元4023;认证处理单元4023根据接收到的解析结果从生物信息读取单元4011读取生物信息并将所述生物信息发送至生物模版处理单元4024;生物模版处理单元4024根据接收到的生物信息生成活体生物模版并发送至生物模版匹配单元4025;生物模版匹配单元4025用于对接收到的生物模版以及活体生物模版进行匹配并将匹配评分发送至判定单元4026;判定单元4026用于判定匹配评分并输出认i正结果。以上对本发明所提供的一种生物认证方法及系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。权利要求1、一种生物认证方法,其特征在于,包括客户端向验证端发送参数信息唯一标识符;验证端根据所述参数信息唯一标识符,通过生物安全级别列表查询对应的生物认证参数并将所述生物认证参数发送至客户端;客户端根据接收到的生物认证参数进行相应处理并将生物信息发送至验证端;验证端根据生物认证参数对生物信息进行验证。2、根据权利要求1所述的生物认证方法,其特征在于,所述客户端向验证端发送参数信息唯一标识符的步骤包括客户端向验证端发送包含参数信息唯一标识符的属性证书。3、根据权利要求1所述的生物认证方法,其特征在于,所述客户端向验证端发送参数信息唯一标识符的步骤包括客户端将包含参数信息唯一标识符的生物安全级别列表存放于验证端数据库或文件或者生物算法证书中。4、根据权利要求2所述的生物认证方法,其特征在于,在客户端向验证端发送包含参数信息唯一标识符的属性证书的步骤之后包括验证端对接收到的属性证书进行解析,获取参数信息唯一标识符以及安全级别。5、根据权利要求4所述的生物认证方法,其特征在于,客户端还向验证端发送生物证书;验证端接收到所述生物证书之后包括解析生物证书,获取生物模版。6、根据权利要求5所述的生物认证方法,其特征在于,所述生物安全级别列表包括生物安全级别,策略以及生物参数信息;所述生物安全级别包括参数信息唯一标识符,和/或安全级别;所述生物参数信息包括生物类型,和/或生物算法,和/或算法错误匹配率值;所述验证端根据所述参数信息唯一标识符,通过生物安全级别列表查询对应的生物认证参数的步骤包括根据参数信息唯一标识符在生物安全级别列表中查询具有相应参数信息唯一标识符的项;获取所述项的安全级别,策略,生物类型,生物算法以及算法错误匹配率。7、根据权利要求6所述的生物认证方法,其特征在于,所述将生物认证参数发送至客户端的步骤包括验证端将策略发送至客户端请求客户端进行策略检查。8、根据权利要求7所述的生物认证方法,其特征在于,若策略检查通过,则客户端获取用户生物信息并将其发送至验证端;验证端处理所述生物信息并生成活体生物模版;根据生物算法对生成的活体生物模版以及从生物证书中解析出的生物模版进行匹配评分;根据算法错误匹配率对所述匹配评分进行判定,并输出认证结果。9、一种生物认证系统,其特征在于,包括客户端以及验证端;所述客户端向验证端发送参数信息唯一标识符;所述验证端才艮据所述标识符,通过与生物安全级别列表中的对应标识符比对,查询对应的生物认证参数并将所述生物认证参数发送至客户端;所述客户端根据接收到的生物认证参数进行相应处理并将生物信息发送至-睑i正端;所述验证端根据生物认证参数对生物信息进行验证。10、根据权利要求9所述的生物认证系统,其特征在于,所述客户端包括:生物信息读取单元以及发送单元;所述生物信息读取单元用于读取用户提供的生物信息;所述发送单元用于向验证端发送生物证书以及属性证书。11、根据权利要求10所述的生物认证系统,其特征在于,所述验证端包括接收单元,解析单元,认证处理单元,生物模版处理单元,生物模版匹配单元以及判定单元;所述接收单元用于接收发送单元发送的生物证书以及属性证书,并将其发送至解析单元;所述解析单元用于解析生物证书形成生物模版并发送至生物模版匹配单元,并解析属性证书,将解析结果发送至认证处理单元,并解析生物算法证书,将解析结果发送至认证处理单元;所述认证处理单元根据接收到的解析结果从生物信息读取单元读取生物信息并将所述生物信息发送至生物模版处理单元;所述生物模版处理单元根据接收到的生物信息生成活体生物模版并发送至生物模版匹配单元;所述生物模版匹配单元用于对接收到的生物模版以及活体生物模版进行匹配并将匹配评分发送至判定单元;所述判定单元用于判定匹配评分并输出认证结果。全文摘要本发明公开了一种生物认证方法及系统,用于提高生物认证过程的安全性以及灵活性。所述方法包括客户端向验证端发送参数信息唯一标识符;验证端根据所述参数信息唯一标识符,通过生物安全级别列表查询对应的生物认证参数并将所述生物认证参数发送至客户端;客户端根据接收到的生物认证参数进行相应处理并将生物信息发送至验证端;验证端根据生物认证参数对生物信息进行验证。本发明还相应地提供一个生物认证系统。本发明可以有效地提高生物认证过程的安全性以及灵活性。文档编号H04L9/32GK101174949SQ20061013649公开日2008年5月7日申请日期2006年10月30日优先权日2006年10月30日发明者冰刘,刘宏伟申请人:华为技术有限公司