生物特征识别方法与流程

本发明涉及一种识别技术，尤其涉及一种生物特征识别技术。

背景技术：

生物识别技术(biometricidentificationtechnology)是指利用人体生物特征进行身份认证的一种技术。更具体一点，生物特征识别技术就是通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合，利用人体固有的生理特性和行为特征来进行个人身份的鉴定。目前，现有的实现生物识别技术的方法都需要在采集用户的生物特征完成之后，将其作为预设生物特征集中存储于本地生物识别器或处理器中，一旦本地生物识别器或处理器遭受攻击，就会导致预设生物特征数据被泄露，加上生物特征的不可更改性，这些生物特征数据一旦泄漏，将会产生无法挽回的巨大损失。除此之外，当前的生物识别技术由于需要在处理器和本地设备之间传送实时待识别的生物特征，这样会使得整个识别过程时间较长，影响用户体验。

为此，本发明提出一种基于密码学技术的生物特征识别方法，克服了现有技术中的缺陷，在大大提高安全性的同时，也提高了性能。

技术实现要素：

本发明实施例提供一种生物特征识别方法，能够提高识别安全性和识别性能。

本发明实施例提供一种生物特征识别方法，方法包括以下步骤：

s101，接收来自采集器发送的预设生物特征，对所述预设生物特征进行密码学处理，并将所述预设生物特征及其密码学处理结果发送至用户设备存储；

s102，识别器接收来自所述用户设备的部分或全部所述密码学处理结果，并对所述密码学处理结果的正确性进行识别，如果识别通过，则执行s103；如果识别不通过，则操作结束；

s103，所述采集器实时采集用户生物特征，将所述实时采集的用户生物特征与所述预设生物特征进行比较，获得识别结果。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出了本发明的生物特征识别方法的流程示意图。

具体实施方式

下面将详细描述本发明的各个方面的特征和示例性实施例，为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细描述。需要说明的是，本发明不仅限于下文提出或在附图中图示的装置、步骤或细节。本发明还可以具有其他实施方式或以其他方式实现。

应当理解，本说明书中使用的诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。同时，在以下各实施例的描述中，“多个”的含义是两个以上，除非另有明确具体的限定。术语“步骤”和/或“块”在此可以用于指示采用的方法的不同元素，但是这些术语不应被解释为暗示在此公开的各种步骤之中或之间的任何特定次序，除非另有明确说明或记载。

为了便于理解，以下是本发明所涉及的名词解释：

预设生物特征：首次采集用户的生物特征，并对该生物特征进行登记的生物特征。

识别器：将待识别的生物特征与预设生物特征进行对比和判别真伪的设备。识别器既可以是本地设备，也可以是远程设备。

采集器：采集用户生物特征的设备，可以集成在生物特征识别器中，也可以单独存在。采集器既可以是本地设备，也可以是远程设备。

用户设备：指的是用户持有的可以存储生物特征的设备(例如手机、智能卡等)，本发明中涉及的用户设备可以是一个或者多个，均可以与识别器通信，部分用户设备可以同时与处理器通信，部分用户设备还可以进行密码运算。

处理器：指的是对预设生物特征进行密码学处理，获得密码学处理结果的设备。该处理器既可以是本地设备，也可以是远程设备。

密码学处理：可以是基于任何形式的密码学体系，例如ibc体系(identity-basedcryptograph，基于标识的密码体系)、隐式证书体系(一种新兴的非对称密码学)、pki体系(publickeyinfrastructure，公钥基础设置)、消息认证码体系(mac)、对称加密体系等。可以根据需要确定基于哪一种密码学体系对该预设生物特征进行密码学处理，本发明并不对密码学体系的类型进行特别的限定。

下面结合附图对本发明的具体实施方式进行详细说明。

参见图1，本发明实施例提供的生物特征识别方法的流程图，具体实现步骤包括：

s101，接收来自采集器发送的预设生物特征，对该预设生物特征进行密码学处理，并将该预设生物特征及其密码学处理结果发送至用户设备存储。

优选地，预设生物特征可以包含具有验证功能的附加信息，例如权限信息、身份信息、时间、位置等，可以根据需要确定是否将附件信息添加到预设生物特征中。区别于现有的生物识别技术，该具有验证功能的附加信息的方案可以应用于需要特别提高安全性的场景中，例如，对用户设备进行绑定以及验证用户设备的真实性。

一般地，在基于ibc体系、隐式证书体系、pki体系的密码学处理中，通常由处理器保存主秘钥或私钥，此时对该预设生物特征进行的密码学处理是在处理器中进行；在基于mac体系、对称加密体系的密码学处理中，通常由识别器生成加密秘钥，或者可以由处理器和识别器共享加密秘钥，此时对该预设生物特征进行的密码学处理是在处理器或者识别器中进行。因此本发明，并不特别限定s101具体是在服务中或者是在识别器中执行。

需要注意的是，该密码学处理结果所包含的内容与所运用的密码学体系的类型有关，举例说明，基于ibc体系的密码学处理中，密码学处理结果包含该预设生物特征及其对应的私钥(即以该预设生物特征作为id生成的私钥)；基于隐式证书体系的密码学处理中，密码学处理结果包含该预设生物特征及其对应的私钥及隐式证书(即以该预设生物特征作为id生成的私钥和隐式证书)；基于pki体系的密码学处理中，密码学处理结果包含该预设生物特征及其对应的数字签名(即对该预设生物特征的数字签名)；基于mac体系的密码学处理中，密码学处理结果包含该预设生物特征及其对应的mac；基于对称加密体系的密码学处理中，该密码学处理结果包含该预设生物特征对应的密文。由于本发明没有限定具体的密码学类型，相应的，本发明也不意味着对该密码学处理结果的具体内容进行限定。

为了便于理解发明，下面分别以ibc体系以及隐式证书体系为例阐述密码学处理结果的具体生成方法，基于其他密码学体系的密码学处理结果的生成方法在此不再赘述。

1、基于ibc体系

私钥生成器(pkg)进行初始化，

(ibc_master_key,ibc_common_para)＝ibc_setup()；

初始化阶段产生一个主密钥(ibc_master_key)和一组公共参数(ibc_common_para)。

私钥生成器(pkg)进行私钥生成：

private_keyid＝ibc_pkg(ibc_master_key,id,ibc_common_para)；

管理员操作pkg，输入ibc_master_key和id以及ibc_common_para，为该用户生成私钥(private_keyid)。在本发明中，这里的id即为所述预设生物特征，生成的私钥即为该预设生物特征对应的私钥。

2、基于隐式证书体系

弱化的私钥生成器(wpkg)进行初始化：

(master_key,common_para)＝setup()；

初始化阶段产生一个主密钥(master_key)和一组公共参数(common_para)。主密钥由管理员保存，并将公共参数公开。

私钥生成器(pkg)进行私钥生成：

(private_keyid,imcert)＝wpkg(master_key,id,common_para)；

上述公式仅仅是对此过程的一个抽象性概述。实际过程是，签名方与wpkg进行若干次交互和计算后，获得与其id对应的私钥(private_keyid)和隐式证书(imcert)。在本发明中，这里的id即为所述预设生物特征，生成的私钥即为该预设生物特征对应的私钥。

签名方获得私钥后，就可以进行数字签名。在本发明中，这里的数字签名即为该预设生物特征对应的数字签名：

signature＝sign(message,private_keyid,common_para)。

s102，识别器接收来自用户设备的部分或全部所述密码学处理结果，并对该验签数据的正确性进行识别，如果识别通过，则执行s103；如果识别不通过，则操作结束。

所述挑战信息指的是用于密码学验证的一种原始信息，可以由用户设备生成，或者从识别器获取。被验证/鉴权方基于挑战信息生成验证信息，验证/鉴权方基于挑战信息和验证信息判断鉴权/验证是否有效。

需要指出，在基于ibc体系、隐式证书体系中，执行s102之前，执行s102’，所述用户设备使用所述预设生物特征对应的私钥对一挑战信息进行数字签名，并将所述数字签名、所述挑战信息以及所述密码学处理结果一起作为新的密码学处理结果发送给所述识别器。

生成数字签名的具体方法如下：

1、基于ibc体系：

ibc_signature＝ibc_sign(message,private_keyid,ibc_common_para)，

2、基于隐式证书体系：

signature＝sign(message,private_keyid,common_para)，

为了便于理解发明，以基于ibc体系和隐式证书体系为例，简单介绍验签的方法：

1、基于ibc体系

识别器可以通过下列函数进行验签

result＝ibc_verify(message,ibc_signature,id,ibc_common_para)，

2、基于隐式证书体系

result＝verify(message,signature,id,imcert,common_para)，

s103，采集器实时采集用户生物特征，将该实时采集的用户生物特征与所述预设生物特征进行比较，获得识别结果。

更进一步地，如果预设生物特征包含具有验证功能的附加信息，例如权限信息、身份信息、时间、位置等，s103还包含对该附加信息进行验证的步骤。

需要强调的是，本发明所述的生物特征识别方法区别于现有技术的特征在于：第一，处理器无论基于哪一种密码学体系进行处理，均要对预设生物特征进行密码学处理，也就是使用该预设生物特征作为参数进行密码学处理；第二，处理器将密码学处理结果发送到用户设备中进行存储。

本发明所述的生物特征识别方法区别于现有技术的优势有：第一，是不需要集中存储预设生物特征；第二，对预设生物特征进行密码学处理可以大大提高安全性；第三，不需要互联网远距离传递预设生物特征，提高了生物特征识别的效率。

至此，已经通过举例的方式详细地描述了认为本公开的优选实施例，但是本领域的技术人员将认识到：在不背离本发明的精神和实质的前提下，可以对其进行进一步的修改和变化，并且所有这些修改和变化都应当落入本发明的保护范围内。因此，本发明的保护范围应以所述权利要求的保护范围为准。