人脸识别身份认证系统的制作方法

专利名称：人脸识别身份认证系统的制作方法
技术领域：
本发明属于互联网信息安全领域，特别涉及一种用于互联网上的各应用软 件的人脸识别身份认证系统。
背景技术：
互联网常见和传统的身份认证方式为固定口令认证，即输入预先设置好的 明文口令来确认用户身份。在当前木马病毒横行,杀毒软件效果不佳的情况下， 这种方式的安全性非常差。不论是从机器的内存中或者是网络传输过程中，人 们几乎都能够截取到固定明文口令，因此用户数据的安全性得不到任何保障。
针对传统固定明文口令认证的缺陷，人们利用各种认证方式来代替预先设 置却因固定不变而容易失窃的明文口令认证方式l.文件证书，例如建设银行 的网上银行证书，其利用网上银行证书锁定特定的输入终端，从而确保只有从 某一下载了银行证书的认证终端进行登录才有效；2. USB key,例如工商银行的 U盾登录方式，其利用U盾绑定的移动终端来确保移动终端的唯一性。这些都 是通过绑定登录终端来加强固定明文口令登录的安全性。
此外，人们己经开始削弱明文口令的固定性并增强其动态性。典型的如工 商银行的口令卡网上银行交易方式，其在每次交易时都会要求输入对应于随机 生成特定序列的口令卡密码从而部分程度地让明文口令有了动态性；此外人们 进一步开发了完全动态的密码设备，例如中国专利申请CN1764296的《动态口 令认证系统和方法》，其涉及一种基于手机的动态口令认证的方法和系统，通 过用户手机中的SIM卡内置的动态口令安全算法产生随时变化的动态口令以 通过口令认证。此技术已经有效地实现了身份认证的完全动态性和安全性，同 时免除了用户记忆密码和经常需要更换密码的麻烦。
然而即使这样的完全动态口令登录方式仍然不可避免地存在以下缺点l.仍 然需要记忆或输入繁琐的口令，并且这些口令容易遗忘或者泄露；2.需要随身携带动态口令认证工具,例如移动终端等并容易丢失；3.动态认证凭据要求百分
百的精确匹配，并且仍然可以被伪造，用户仍然存在较高风险。

发明内容
本发明的目的是针对现有技术的不足，将生物特征鉴别技术与互联网系统 相结合，解决了上述固定及动态认证方式中存在的问题，为互联网身份认证的 安全性提供了保障。
本发明提供了一种计算机互联网络中的身份认证系统，该身份认证系统包 括服务器端、通信线路和一个或多个客户端，其中服务器端通过通信线路和一 个或多个客户端连接，其特征在于每个在服务器端拥有注册信息的客户，都可 以通过登录任何一个客户端或服务器端并经过服务器端的身份确认后，进入所 有支持服务器端身份认证的多个客户端。
本发明优选上述身份认证系统是固定密码、生物特征、动态口令、USB key 硬件证书或软件证书的身份认证系统。
本发明优选上述身份认证系统是生物特征身份认证系统。 本发明优选上述生物特征身份认证系统的客户端包括如下模块 生物特征检测模块，对摄入的待识别图像，检测所需的生物特征； 生物特征值提取模块，对于检测到的生物特征，提取生物特征值，并把相 关生物特征值通过通信线路传送至服务器端； 所述服务器端包括如下模块
生物特征值数据库模块，存有客户的生物特征值数据；
生物特征识别模块，从生物特征值数据库中提取已有的生物特征值，并将 从客户端传送过来的待识别生物特征值与其进行对比匹配，利用对比匹配结果 来确定客户的身份认证。
本发明优选上述生物特征值提取模块还对于待识别图像的摄入时间戳进行 提取，并把该摄入时间戳和提取的生物特征值一起传送到服务器端以进行客户 的身份认证。本发明优选特上述生物特征值和/或时间戳是经过加密传送至服务器端并在 服务器端解密还原生物特征值和/或时间戳。
本发明优选上述加密/解密算法是非对称的加密/解密算法。
本发明优选上述加密/解密算法是由硬件完成的。
本发明优选上述生物特征是人脸。
在不同客户端的终端上应用本发明的人脸识别公共系统认证l用户的脸即 为认证凭据，无需记忆口令或随身携带额外的认证设备；2以用户的生物特征 作为认证凭据，难以被伪造，并且其摒弃了传统的百分百匹配认证模式，采取 国际风行的生物识别的模糊匹配；3在数据传送过程中采取了加密尤其是非加 密算法以保证身份认证系统的安全性。


图1为本发明平台模块关系结构图。 图2为本发明客户端主动方式的认证过程时序图。 图3为本发明服务器端主动方式的认证过程时序图。 图4为本发明生物特征的身份认证流程示意图。
具体实施例方式
下面通过附图来进一步举例说明本发明的具体实施方式
。 参见图l，本发明中各平台认证协议的数据结构如下
1. 私钥KPRI，存放于服务器端
2. 公钥KPUB,存放于客户端
3. 服务器端随机数RND
4. 时间戳T
5. 用户登录凭据图片JPG
6. JPG特征值F
7. 哈希值H
8. 以K为密钥的非对称加密函数ERSAK()
9. 以K为密钥的非对称解密函数DRSAK()10. 以K为密钥的对称加密函数EDESK()
11. 以K为密钥的对称解密函数DDESK()
12. 哈希算法hash()
13. 客户端主动请求LReq，请求结果LRst
14. 服务器端主动请求VReq，请求结果VRst
15. 凭据采集方式控制位C
16. 需要取得的有效凭据个数N
17. 硬件端标识CID
参见图2,本发明中客户端主动方式的初始化协议流程如下
1. 客户端向认证服务器提交认证请求
2. 服务器端返回加密所需的随机数和预比较值
3. 客户端将随机数传给硬件端
4. 硬件端获取认证凭据，并加密，传送给客户端
5. 客户端计算特征值，传送给认证服务器
6. 认证服务器返回认证结果给客户端
7. 客户端向应用服务器确认认证结果
8. 应用服务器向认证服务器进行査询
9. 认证服务器返回查询结果
10. 应用服务器讲最终认证结果返回给客户端
11. 流程结束
参见图3，本发明中服务器端主动方式的初始化协议流程如下:
1. 应用服务器向认证服务器提交认证请求
2. 认证服务器返回加密用随机值和会话标识
3. 应用服务器将随机值和会话标识传到客户端
4. 客户端将随机值和会话标识传到硬件端
5. 硬件端返回会话对应散列值给客户端
6. 将散列值传送给应用服务器端7. 讲散列值传送给认证服务器
8. 返回最终的认证结果给应用服务器
9. 流程结束
参见图4，本发明提供了一种利用人脸作为生物识别特征的身份识别系 统，其包括一个或多个客户端、服务器端以及它们之间的通信线路。客户端可 以是个人计算机，也可以是其它可以输入数据的硬件终端或移动终端。客户端 包括如下模块人脸检测模块、特征值提取模块；而服务器端包括如下模块-人脸特征值数据库模块、人脸识别模块。
人脸检测模块对摄入的待识别人脸，采用众所周知的Asaboost方法检测所 需的人脸特征；根据检测定位到的特征点，通过固定人眼位置进行归一化及仿 射变换，从而截取固定尺寸的人脸图像，之后经过规范化或边缘模糊化处理， 再采用主成分分析(PCA)，或对图像特征点提取小波变换(如Gabor变换)系 数，得到待识别人脸的特征值。此时除了提取人脸特征值，还可以将待识别人 脸图像的摄入时间戳等其他辅助信息一起加密，该加密算法可釆用非对称加密 算法，之后将加密处理的数据包传送给服务器端。
在服务器端的人脸识别模块得到由客户端传送过来的数据包之后，对该数 据包进行对应的非对称或对称解密从而还原人脸特征值、待识别人脸图像的摄 入时间戳等，从如人脸的生物特征值数据库中提取已有的人脸特征值，并将从 客户端传送过来的待识别人脸特征值与其进行对比匹配，并计算两个特征值之 间的欧式距离，如果时间戳是唯一的并且表明拍摄时间较近，则把人脸特征值 的距离和如时间戳的辅助信息距离加权后进行对比。利用对比匹配结果来确定 客户的身份认证。
如果对比匹配结果是通过了身份认证，即相似度通过了阀值要求，那么服 务器端把识别的结果通过通信线路传给一个或多个客户端，这时用户就可以通 过互联网络以及服务器端进入各个客户端而无需重复登录。同时将得到的最新 的特征值及辅助信息存储并更新服务器端的如人脸的生物特征数据库。以上所述的具体实施方式
只是对本发明结构的一种具体举例，但本发明的 保护范围并不局限于此，任何熟悉该技术的人在形式或细节上对其作各种各样 的变化或替换，都不影响本发明的实质与精神，都应该涵盖在本发明的保护范 围之内。
权利要求
1、一种计算机互联网络中的身份认证系统，该身份认证系统包括服务器端、通信线路和一个或多个客户端，其中服务器端通过通信线路和一个或多个客户端连接，其特征在于每个在服务器端拥有注册信息的客户，都可以通过登录任何一个客户端或服务器端并经过服务器端的身份确认后，进入所有支持服务器端身份认证的多个客户端。
2、 如权利要求l的身份认证系统是固定密码、生物特征、动态口令、 USB key硬件证书或软件证书的身份认证系统。
3、 如权利要求1或2的身份认证系统是生物特征身份认证系统。
4、 如权利要求3的身份认证系统，其生物特征身份认证系统的客户端 包括如下模块生物特征检测模块，对摄入的待识别图像，检测所需的生物特征； 生物特征值提取模块，对于检测到的生物特征，提取生物特征值，并 把相关生物特征值通过通信线路传送至服务器端； 所述服务器端包括如下模块生物特征值数据库模块，存有客户的生物特征值数据； 生物特征识别模块，从生物特征值数据库中提取已有的生物特征值， 并将从客户端传送过来的待识别生物特征值与其进行对比匹配，利用对比匹配结果来确定客户的身份认证。
5、 如权利要求4的身份认证系统，其生物特征值提取模块还对待识别 图像的摄入时间戳进行提取，并把该摄入时间戳和提取的生物特征值一起 传送到服务器端以进行客户的身份认证。
6、 如权利要求5的身份认证系统，其生物特征值和/或时间戳是经过 加密传送至服务器端并在服务器端解密还原生物特征值和/或时间戳。
7、 如权利要求6的身份认证系统，其加密/解密算法是非对称的加密/ 解密算法。
8、 如权利要求6或7的身份认证系统，其加密/解密算法是由硬件完成的。
9、 如权利要求2-8任一的身份认证系统，其生物特征是人脸。
全文摘要
本发明提供了一种计算机互联网络中的身份认证系统，该身份认证系统包括服务器端、通信线路和一个或多个客户端，其中服务器端通过通信线路和一个或多个客户端连接，其特征在于每个在服务器端拥有注册信息的客户，都可以通过登录任何一个客户端或服务器端并经过服务器端的身份确认后，进入所有支持服务器端身份认证的多个客户端。
文档编号G06K9/00GK101420301SQ20081017179
公开日2009年4月29日 申请日期2008年10月30日 优先权日2008年4月21日
发明者林格灵, 润 邓 申请人:林格灵;邓 润