一种身份注册、身份认证的方法、设备和系统的制作方法

一种身份注册、身份认证的方法、设备和系统的制作方法
【专利摘要】本发明实施例提供一种身份注册、身份认证的方法、设备和系统。包括：终端根据登录密码和登录生物特征，采用生物特征解码算法从生物特征保险箱中提取出恢复生物特征，然后，终端获取注册校验信息，并根据恢复生物特征和登录密码采用该注册校验算法生成登录校验信息，如果注册校验信息与登录校验信息相同，那么终端确定登录密码和登录生物特征有效。上述方法中，当用户为合法用户时，根据登录生物特征从生物特征保险箱中提取的恢复生物特征与注册生物特征完全相同，从而能够降低生物特征认证的拒识率，提高了生物特征的识别能力。
【专利说明】一种身份注册、身份认证的方法、设备和系统
【技术领域】
[0001]本发明实施例涉及数据通信技术，尤其涉及一种身份注册、身份认证的方法、设备和系统。
【背景技术】
[0002]传统的身份认证基于用户输入的密码和令牌进行身份认证，但是，传统身份认证方法的安全性不高。例如，简单密码容易被攻击者盗取，复杂密码存在遗忘的风险，智能卡存在被盗或丢失的风险。因此出现了基于生物特征的身份认证，生物特征可以是指纹、人脸、虹膜等，基于生物特征的身份认证使用用户固有的物理或行为属性进行认证，丢失、被窃等风险小，综合这三种因素进行认证，可以有效地提高身份认证的安全性。
[0003]现有的基于三因素的身份认证方法包括注册和认证两个过程:在注册过程中，用户选择随机数K，输入身份标识ID1、密码PW1、生物特征Bi，注册中心生成随机数Xs，注册中心计算./;=々(尽十人?、C=ZKZ5K十人?十和Q=A(JAIH)十并将
(IDph(^fiWi)和随机数K存储到为用户分配的智能卡中，其中，h(.)是单向哈希函数，注册中心通过可靠渠道将智能卡发放给用户。在认证过程中，用户首先插入智能卡，终端扫
描获取用户的生物特征B' i，然后判断A(次十K、= /是否成立，若成立，则用户通过生物特
征认证，在生物特征认证之后，终端和服务器之间还需要互相认证。
[0004]但是，现有技术的基于三因素的身份认证方法存在以下问题:现有技术中采用哈希函数来保护生物特征数据，通过比较用户注册生物特征(即用户在注册过程中提交的生物特征)和查询生物特征(即用户在登录过程中提交的生物特征)的单向哈希变换结果是否一致来对用户进行生物特征认证。但是，哈希函数的特点是对输入参数的扰动非常敏感。由于光照、姿势等获取环境的差异，同一个人在两次扫描的生物特征一般而言都不可能完全一致，也即用户的注册生物特征和查询生物特征一般都会存在一定的类内变化，而由于哈希函数对输入参数的扰动敏感的特点，使得即使微小的类内变化也可能造成注册生物特征和查询生物特征的哈希变换结果有较大差异，从而使得合法的用户不能通过生物特征认证。

【发明内容】

[0005]本发明实施例提供一种身份注册、身份认证的方法、设备和系统，用于解决现有技术中生物特征认证识别率低的问题。
[0006]第一方面，本发明实施例提供的终端包括:接收模块，用于接收用户输入的登录信息，所述登录信息包含登录密码和登录生物特征；获取模块，用于获取生物特征保险箱，所述生物特征保险箱是根据用户注册时输入的注册生物特征和注册密码采用生物特征编码算法生成的；提取模块 ，用于根据所述登录密码和所述登录生物特征，采用生物特征解码算法从生物特征保险箱中提取出恢复生物特征；所述获取模块，还用于获取注册校验信息，所述注册校验信息是根据所述注册密码和所述注册生物特征采用注册校验算法生成的；计算模块，用于根据所述登录密码和所述恢复生物特征采用所述注册校验算法生成登录校验信息；校验模块，用于当所述注册校验信息和所述登录校验信息相等时，确定所述登录密码和所述登录生物特征有效。
[0007]在第一方面的第一种可能的实现方式中，所述提取模块，用于根据所述登录密码和所述登录生物特征，采用生物特征解码算法从生物特征保险箱中提取出恢复生物特征具体包括:所述提取模块，用于根据所述登录密码生成L元多项式，L为大于等于I的正整数；将所述登录生物特征划分成长度为L的特征子向量；对于每个所述特征子向量，计算所述特征子向量在所述L元多项式上的投影z，从所述生物特征保险箱选取至少一个备选点对，其中，所述备选点对的第一参数是长度为L的向量,第二参数是所述第一参数在所述L元多项式上的投影，所述备选点对的第一参数与所述特征子向量的距离小于预设距离阈值；从所述备选点对中选取一个目的点对，所述目的点对是所述备选点对中第二参数与所述z的距离最小的点对，将所述目的点对的第一参数作为所述特征子向量对应的恢复特征子向量；将各所述特征子向量对应的恢复特征子向量组合成恢复生物特征。
[0008]结合第一方面或第一方面的第一种可能的实现方式，在第二种可能的实现方式中，终端还包括:发送模块；在所述校验模块确定所述登录密码和所述登录生物特征有效之后，所述获取模块还用于:获取参数ei;所述参数ei是采用第二不可逆算法对第一随机数和用户注册时输入的注册身份标识计算得到互认证参数后，再根据第三不可逆算法对所述注册生物特征和注册密码、所述互认证参数计算得到的；所述计算模块还用于:采用与所述第三不可逆算法对应的解析算法对所述参数e1、所述登录密码、所述恢复生物特征计算得到参数M1 ;在生成第二随机数后，采用第一变换算法对所述第二随机数和所述参数M1计算得到参数M2,采用第四不可逆算法对所述第二随机数和所述参数M1计算得到参数M3 ;所述发送模块，用于将第一认证参数发送给认证服务器，以使所述认证服务器根据所述第一认证参数验证所述终端是否有效，所述第一认证参数包括:所述注册身份标识、所述参数M2和所述参数M3 ;所述接收模块还用于:接收所述认证服务器返回的第二认证参数，所述第二认证参数包括参数M7和参数M8,所述第二认证参数是所述认证服务器根据所述第一认证参数验证所述终端有效之后生成的，所述参数M7是采用第二变换算法对第三随机数和所述互认证参数计算得到的，所述参数M8是采用第五不可逆算法对所述第三随机数和所述互认证参数、所述第二随机数计算得到的；所述计算模块还用于:采用和所述第二变换算法对应的解析算法对所述参数M7和参数M1计算得到参数M9，采用所述第五不可逆算法对所述参数M1、参数M9和所述第二随机数计算得到参数Mltl ;所述校验模块还用于:如果所述参数Mltl和所述参数M8相等，则确定所述认证服务器的身份有效。
[0009]第二方面，本发明实施例提供的注册中心包括:接收模块，用于接收用户输入的注册信息，所述注册信息包括注册密码和注册生物特征；计算模块，用于根据所述注册密码和所述注册生物特征采用注册校验算法生成注册校验信息；生成模块，用于根据所述注册密码和所述注册生物特征，采用生物特征编码算法生成生物特征保险箱，所述生物特征保险箱和所述注册校验信息用于提供给终端，以便对所述用户输入的登录密码和登录生物特征进行验证。
[0010]在第二方面的第一种可能的实现方式中，所述生成模块用于根据所述注册密码和所述注册生物特征，采用生物特征编码算法生成生物特征保险箱，具体包括:所述生成模块，用于根据所述注册密码生成L元多项式，L为大于等于I的正整数；将所述注册生物特征划分成长度为L的特征子向量；对于每个所述特征子向量，生成真实数据点对，所述真实数据点对的第一参数为所述特征子向量，所述真实数据点对的第二参数为所述特征子向量在所述L元多项式上的投影值；生成干扰数据点对，所述干扰数据点对的第一参数是长度为L的向量，所述干扰数据点对的第一参数在所述L元多项式上的投影值与所述干扰数据点对的第二参数的值不相等；将各个所述特征子向量对应的真实数据点对与所述干扰数据点对混合生成所述生物特征保险箱。
[0011]结合第二方面或第二方面的第一种可能的实现方式，在第二种可能的实现方式中，注册信息还包括注册身份标识，所述计算模块还用于:生成第一随机数，所述第一随机数在所述注册中心与认证服务器之间共享；采用第二不可逆算法对所述第一随机数和所述注册身份标识计算得到互认证参数后，再采用第三不可逆算法对所述注册生物特征和所述注册密码、所述互认证参数计算得到参数ei，所述参数ei用于提供给所述终端，以便所述终端和所述认证服务器之间互相验证。
[0012]第三方面，本发明实施例提供的身份认证的方法包括:终端接收用户输入的登录信息，所述登录信息包含登录密码和登录生物特征；所述终端获取生物特征保险箱，所述生物特征保险箱是根据用户注册时输入的注册生物特征和注册密码采用生物特征编码算法生成的；所述终端根据所述登录密码和所述登录生物特征，采用生物特征解码算法从生物特征保险箱中提取出恢复生物特征；所述终端获取注册校验信息，所述注册校验信息是根据所述注册密码和所述注册生物特征采用注册校验算法生成的；所述终端根据所述登录密码和所述恢复生物特征采用所述注册校验算法生成登录校验信息；如果所述注册校验信息和所述登录校验信息相等，则所述终端确定所述登录密码和所述登录生物特征有效。
[0013]在第三方面的第一种可能的实现方式中，所述终端根据所述登录密码和所述登录生物特征，采用生物特征解码算法从生物特征保险箱中提取出恢复生物特征，包括:所述终端根据所述登录密码生成L元多项式，L为大于等于I的正整数；所述终端将所述登录生物特征划分成长度为L的特征子向量；对于每个所述特征子向量，所述终端计算所述特征子向量在所述L元多项式上的投影z，从所述生物特征保险箱选取至少一个备选点对，其中，所述备选点对的第一参数是长度为L的向量，第二参数是所述第一参数在所述L元多项式上的投影，所述备选点对的第一参数与所述特征子向量的距离小于预设距离阈值；从所述备选点对中选取一个目的点对，所述目的点对是所述备选点对中第二参数与所述z的距离最小的点对，将所述目的点对的第一参数作为所述特征子向量对应的恢复特征子向量；所述终端将各所述特征子向量对应的恢复特征子向量组合成恢复生物特征。
[0014]结合第三方面或第三方面的第一种可能的实现方式，在第二种可能的实现方式中，所述终端确定所述登录密码和所述登录生物特征有效之后，还包括:所述终端获取参数ei;所述参数ei是采用第二不可逆算法对第一随机数和用户注册时输入的注册身份标识计算得到互认证参数后，再根据第三不可逆算法对所述注册生物特征和注册密码、所述互认证参数计算得到的；所述终端采用与所述第三不可逆算法对应的解析算法对所述参数e1、所述登录密码、所述恢复生物特征计算得到参数M1 ;所述终端生成第二随机数；所述终端采用第一变换算法对所述第二随机数和所述参数M1计算得到参数M2,采用第四不可逆算法对所述第二随机数和所述参数M1计算得到参数M3 ;所述终端将第一认证参数发送给认证服务器，以使所述认证服务器根据所述第一认证参数验证所述终端是否有效，所述第一认证参数包括:所述注册身份标识、所述参数M2和所述参数M3 ;所述终端接收所述认证服务器返回的第二认证参数，所述第二认证参数包括参数M7和参数M8,所述第二认证参数是所述认证服务器根据所述第一认证参数验证所述终端有效之后生成的，所述M7是采用第二变换算法对第三随机数和所述互认证参数计算得到的，所述M8是采用第五不可逆算法对所述第三随机数和所述互认证参数、所述第二随机数计算得到的；所述终端采用与所述第二变换算法对应的解析算法对所述参数M7和参数M1计算得到参数M9，采用所述第五不可逆算法对所述参数M1、参数M9和所述第二随机数计算得到参数Mltl ;如果所述参数Mltl和所述参数M8相等，则所述终端确定所述认证服务器的身份有效。
[0015]结合第三方面的第二种可能的实现方式，在第三种可能的实现方式中，所述终端将第一认证参数发送给认证服务器之后还包括:认证服务器接收所述终端发送的所述第一认证参数，所述第一认证参数包括:所述用户的注册身份标识、所述参数M2和所述参数M2 ；所述认证服务器根据所述注册身份标识和所述第一随机数采用所述第二不可逆算法生成参数M4;所述认证服务器根据所述参数仏和所述参数M4使用与所述第一变换算法对应的解析算法生成参数M5 ;所述认证服务器根据所述参数M4和所述参数M5使用所述第四不可逆算法生成参数M6 ;如果所述参数M3和所述参数M6相等，所述认证服务器确定所述终端的身份有效；所述认证服务器生成第三随机数，根据所述参数M4和所述第三随机数使用所述第二变换算法生成参数M7 ;所述认证服务器根据所述参数M4、所述参数M5和所述第三随机数使用所述第五不可逆算法生成参数M8 ;所述认证服务器将所述第二认证参数发送给所述终端，以使所述终端 根据所述第二认证参数确定所述认证服务器是否有效，所述第二认证参数包括:所述参数M7和所述参数M8。
[0016]第四方面，本发明实施例提供了身份注册的方法，所述方法包括:注册中心接收用户输入的注册信息，所述注册信息包括注册密码和注册生物特征；所述注册中心根据所述注册密码和所述注册生物特征采用注册校验算法生成注册校验信息；所述注册中心根据所述注册密码和所述注册生物特征，采用生物特征编码算法生成生物特征保险箱，所述生物特征保险箱和所述注册校验信息用于提供给终端，以便对所述用户输入的登录密码和登录生物特征进行验证。
[0017]在第四方面的第一种可能的实现方式中，所述注册中心根据所述注册密码和所述注册生物特征，采用生物特征编码算法生成生物特征保险箱，包括:所述注册中心根据所述注册密码生成L元多项式，L为大于等于I的正整数；所述注册中心将所述注册生物特征划分成长度为L的特征子向量；对于每个所述特征子向量，所述注册中心生成真实数据点对，所述真实数据点对的第一参数为所述特征子向量，所述真实数据点对的第二参数为所述特征子向量在所述L元多项式上的投影值；所述注册中心生成干扰数据点对，所述干扰数据点对的第一参数是长度为L的向量，所述干扰数据点对的第一参数在所述L元多项式上的投影值与所述干扰数据点对的第二参数的值不相等；所述注册中心将各个所述特征子向量对应的真实数据点对与所述干扰数据点对混合生成所述生物特征保险箱。
[0018]结合第四方面或第四方面的第一种可能的实现方式，在第二种可能的实现方式中，所述注册信息还包括注册身份标识，所述方法还包括:所述注册中心生成第一随机数，所述第一随机数在所述注册中心与认证服务器之间共享；所述注册中心采用第二不可逆算法对所述第一随机数和所述注册身份标识计算得到互认证参数后，再采用第三不可逆算法对所述注册生物特征和所述注册密码、所述互认证参数计算得到参数ei，所述参数ei用于提供给所述终端，以便所述终端和所述认证服务器之间互相验证。
[0019]本发明实施例，通过终端接收用户输入的登录密码和登录生物特征，获取生物特征保险箱和注册校验信息，采用生物特征解码算法从生物特征保险箱中提取出恢复生物特征，根据登录密码和恢复生物特征采用注册校验算法生成登录校验信息，如果注册校验信息和登录校验信息相等，则确定登录密码和登录生物特征有效；采用该发明，当用户为合法用户时，根据登录生物特征从生物特征保险箱中提取的恢复生物特征与注册生物特征完全相同，从而降低生物特征认证的拒识率，提高了生物特征的识别能力。
【专利附图】

【附图说明】
[0020]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0021]图1为本发明实施例提供的用户身份认证的终端结构图；
[0022]图2为本发明另一个实施例提供的用户身份认证的终端结构图；
[0023]图3为本发明实施例提供的用户身份注册的注册中心结构图；
[0024]图4为本发明实施例提供的用户身份认证的方法流程图；
[0025]图5为本发明实施例提供的终端和认证服务器之间互认证的方法流程图；
[0026]图6为本发明实施例提供的身份注册的方法流程图；
[0027]图7为本发明实施例提供的认证系统的结构图；
[0028]图8为本发明实施例提供的基于计算机系统的终端结构图；
[0029]图9为本发明实施例提供的基于计算机系统的注册中心结构图。
【具体实施方式】
[0030]为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0031]本发明实施例提供的身份认证方法是基于三因素的认证方法，用户在身份认证之前需要先在注册中心完成身份注册，身份注册成功之后才能进行身份认证。注册过程主要由注册中心完成，认证过程由终端和认证服务器共同完成，以下将具体介绍本发明实施例的身份注册、身份认证方法。说明一下，以下各实施例中出现的注册密码、注册生物特征是指用户在注册中心进行注册时提交的密码和生物特征，登录密码、登录生物特征是指用户使用终端登录时输入的密码和生物特征，恢复生物特征是指终端从生物特征保险箱中提取的生物特征。
[0032]另外，本发明各实施例中的终端可以是专有设备或者通用设备，注册中心接收到用户的注册信息后，生成的信息可以存储在专有设备上或为用户分配的智能卡上，用户通过该专有设备可以直接登录，或者将该智能卡插入到通用设备上登录。该通用设备可以是私有设备，例如手机、个人计算机，该通用设备还可以是公共设备，例如，自动取款机。
[0033]本发明实施例一提供了用于实现用户身份认证的终端，如图1所示，本实施例的终端可以包括:接收模块11、获取模块12、提取模块13、计算模块14和校验模块15。
[0034]其中，接收模块11，用于接收用户输入的登录信息，该登录信息包含登录密码和登录生物特征。
[0035]获取模块12，用于获取生物特征保险箱，该生物特征保险箱是根据用户注册时输入的注册生物特征和注册密码采用生物特征编码算法生成的。
[0036]提取模块13，用于根据接收模块11接收的登录密码和登录生物特征，采用生物特征解码算法从获取模块12获取的生物特征保险箱中提取出恢复生物特征。
[0037]获取模块12，还用于获取注册校验信息，该注册校验信息是根据注册密码和注册生物特征采用注册校验算法生成的。
[0038]计算模块14，用于根据接收模块11接收的登录密码和提取模块13提取的恢复生物特征采用该注册校验算法生成登录校验信息。
[0039]校验模块15，用于当注册校验信息和登录校验信息相等时，确定登录密码和登录生物特征有效。
[0040]可选地，该登录信息还包含登录身份标识，获取模块12在获取生物特征保险箱时，具体用于:获取与该登录身份标识对应的生物特征保险箱。获取模块12获取的该生物特征保险箱是注册中心根据用户注册时输入的注册生物特征和注册密码采用生物特征编码算法生成的，该生物特征保险箱保存在终端上。具体的，该生物特征保险箱保存在注册中心为用户分配的智能卡上，或者专有设备上，终端从智能卡或本地读取该生物特征保险箱。
[0041]提取模块13用于根据所述登录密码和所述登录生物特征，采用生物特征解码算法从生物特征保险箱中提取出恢复生物特征具体包括:
[0042]首先，根据该登录密码生成L元多项式，L为大于等于I的正整数。
[0043]然后，将登录生物特征划分成长度为L的特征子向量,对于每个特征子向量,计算该特征子向量在该L元多项式上的投影z，从生物特征保险箱选取至少一个备选点对，其中，该备选点对的第一参数是长度为L的向量，第二参数是该第一参数在该L元多项式上的投影，该备选点对的第一参数与特征子向量的距离小于预设距离阈值；从该备选点对中选取一个目的点对，该目的点对是该备选点对中第二参数与z的距离最小的点对，将该目的点对的第一参数作为特征子向量对应的恢复特征子向量。
[0044]最后，将各特征子向量对应的恢复特征子向量组合成恢复生物特征。
[0045]计算模块14，用于根据所述登录密码和所述恢复生物特征采用所述注册校验算法生成登录校验信息具体为:计算模块14，用于根据登录密码和恢复生物特征采用第一不可逆算法生成登录校验信息。该第一不可逆算法的要求是:不能从该登录校验信息逆推得到该登录密码和该恢复生物特征。
[0046]其中，终端的各个模块的具体执行过程参见图4对应实施例的描述。
[0047]本实施例中，由于使用生物特征解码算法从生物特征保险箱中提取恢复生物特征，只要用户输入的登录生物特征和注册生物特征在类内变化，提取到的恢复生物特征将与注册生物特征完全相同，那么注册生物特征和恢复生物特征的哈希变换值也相同，从而能够降低生物特征认证的拒识率，从而提高了生物特征的识别能力。
[0048]本发明实施例二提供了实现用户身份认证的终端，如图2所示，本实施例的终端在图1所示终端结构的基础上，进一步地，还包括发送模块16，用于将第一认证参数发送给认证服务器，以使认证服务器根据该第一认证参数验证终端是否有效，该第一认证参数包括:注册身份标识、参数M2和参数M3。
[0049]在校验模块15确定登录密码和登录生物特征有效之后，发送模块16发送该第一认证参数之前，获取模块12还用于:获取参数ei，参数ei是采用第二不可逆算法对第一随机数和用户注册时输入的注册身份标识计算得到互认证参数后，再根据第三不可逆算法对注册生物特征和注册密码、互认证参数计算得到的。
[0050]计算模块14还用于:采用与第三不可逆算法对应的解析算法对参数e1、登录密码、恢复生物特征计算得到参数M1，然后，生成第二随机数，采用第一变换算法对该第二随机数和参数M1计算得到参数M2，采用第四不可逆算法对第二随机数和参数M1计算得到参数M3。
[0051]在计算模块14计算得到参数M2和参数M3后，发送模块16将第一认证参数发送给认证服务器，以使认证服务器根据该第一认证参数验证终端是否有效，该第一认证参数包括:注册身份标识、参数M2和参数M3。在认证服务器根据该第一认证参数验证终端有效之后，认证服务器生成第二认证参数并将该第二认证参数发送给终端。
[0052]接收模块11还用于:接收认证服务器返回的第二认证参数，该第二认证参数包括参数M7和参数M8,该第二认证参数是认证服务器根据该第一认证参数验证终端有效之后生成的，参数M7是采用第二变换算法对第三随机数和互认证参数计算得到的，参数M8是采用第五不可逆算法对第三随机数和互认证参数、第二随机数计算得到的。
[0053]在接收模块11接收到该第二认证参数后，计算模块14还用于:采用和第二变换算法对应的解析算法对参数M7和参数M1计算得到参数M9,采用第五不可逆算法对参数M1、参数^和第二随机数计算得到参数M1(l。在计算模块13根据该第二认证参数计算得到参数Mki后，校验模块15还用于:比较接收模块11接收的参数M8和计算模块14计算得到的参数Mki是否相等，如果参数Mltl和参数M8相等，则确定认证服务器的身份有效。
[0054]本实施例中，计算模块14在采用与第三不可逆算法对应的解析算法对参数e1、登
录密码、恢复生物特征计算得到参数M1时，具体用于:采用公式M1 十对参数M1、登录密码、恢复生物特征计算得到参数M1,其中，h(.)是单向哈希函数,参数PW'为登录密码，参数B:为恢复生物特征。
[0055]计算模块14在采用第一变换算法对第二随机数和参数M1计算得到参数M2,采用第四不可逆算法对第二随机数和参数M1计算得到参数M3时，具体用于:采用公式M2 =MlBRi对第二随机数和参数M1计算得到参数M2，采用公式M3=h (M11 | Rc)对第二随机
数和参数M1计算得到参数M3,其中，h(.)是单向哈希函数，参数R。为第二随机数。
[0056]计算模块14在采用与第二变换算法对应的解析算法对参数M7和参数M1计算得到参数M9，采用第五不可逆算法对参数M1、参数M9和第二随机数计算得到参数Mki时，具体用于:采用公式M9 =M7 对参数M7和参数M1计算得到参数M9，采用公式M10=h (M1 Rc M9)对参数M1、参数M9和第二随机数计算得到参数Mltl,其中，h(.)是单向哈希函数，参数R。为所述第二随机数。
[0057]本实施例中，在完成对用户登录密码和登录生物特征的验证之后，终端和服务器之间进行互认证，因为计算参数M3的算法和计算参数M8的算法不同，攻击者假如通过截获到参数M7和M8后冒充M2和M3进行登录，服务器可以在接收到第一认证参数后就识别出，因此只需要进行两次交互就可以完成认证过程，从而减少了互认证的流程步骤。
[0058]本发明实施例三提供了用于用户身份注册的注册中心，如图3所示，本实施例提供的注册中心包括:接收模块21、计算模块22和生成模块23。
[0059]其中，接收模块21，用于接收用户输入的注册信息，该注册信息包括注册密码和注册生物特征。
[0060]计算模块22，用于根据注册密码和注册生物特征采用注册校验算法生成注册校验信息。
[0061]生成模块23，用于根据注册密码和注册生物特征，采用生物特征编码算法生成生物特征保险箱，该生物特征保险箱和该注册校验信息用于提供给终端，以便对用户输入的登录密码和登录生物特征进行验证。
[0062]计算模块22具体用于:根据注册密码和注册生物特征使用第一不可逆算法生成注册校验信息。
[0063]计算模块22在根据注册密码和注册生物特征使用第一不可逆算法生成注册校验信息时，具体用于:采用公式fi=h(PW| IBi)对注册密码和注册生物特征计算生成注册校验信息，其中，h(.)是单向哈希函数,参数PW为注册密码,参数Bi为注册生物特征,参数fi为注册校验信息。
[0064]本实施例中，生成模块23用于根据所述注册密码和所述注册生物特征，采用生物特征编码算法生成生物特征保险箱，具体包括:
[0065]首先，根据注册密码生成L元多项式，L为大于等于I的正整数。
[0066]其次，将注册生物特征划分成长度为L的特征子向量，对于每个特征子向量，生成真实数据点对，真实数据点对的第一参数为特征子向量，真实数据点对的第二参数为特征子向量在L元多项式上的投影值。
[0067]然后，生成干扰数据点对，其中，干扰数据点对的第一参数是长度为L的向量，且干扰数据点对的第二参数与第一参数在L元多项式上的投影值不相等。
[0068]最后，将各个特征子向量对应的真实数据点对与干扰数据点对混合生成生物特征保险箱。
[0069]注册中心生成生物特征保险箱和注册校验信息后，将该生物特征保险箱和该注册校验信息保存在终端上，具体的，保存在为用户分配的智能卡或者专有设备上，该智能卡用于插入到允许用户登录的通用设备，例如手机、个人计算机或者自动取款机。其中，注册中心还可以直接部署在终端上。
[0070]可选地，注册信息还可以包括注册身份标识，计算模块22还用于:生成第一随机数，该第一随机数在注册中心与认证服务器之间共享，并采用第二不可逆算法对第一随机数和注册身份标识计算得到互认证参数，在计算得到互认证参数后，再采用第三不可逆算法对注册生物特征和注册密码、互认证参数计算得到参数ei，参数ei用于提供给终端，以便终端和认证服务器之间互相验证。
[0071]计算模块22在采用第二不可逆算法对第一随机数和注册身份标识计算得到互认证参数时，具体为:采用函数I^hdDi I Ixs)对第一随机数和注册身份标识计算得到互认证参数，其中，h(.)是单向哈希函数,参数IDi为注册身份标识,参数Xs为第一随机数，参数T1为互认证参数。
[0072]计算模块22在采用第三不可逆算法对注册生物特征和注册密码、互认证参数计算得到参数ei时，具体为:采用函数6 = ^?我.)对注册生物特征和注册密码、互认证参数计算得到参数ei;其中，h(.)是单向哈希函数,参数PWi为注册密码,参数Bi为注册生物特征，参数A为互认证参数。
[0073]其中，注册中心的各个模块的具体执行过程参见图6对应实施例的描述。
[0074]本实施例的注册中心，在用户注册时，根据用户输入的注册密码和注册生物特征生成生物特征保险箱，通过将注册生物特征和注册密码绑定加密保存在该生物特征保险箱中，提高了生物特征的安全性，该生物特征保险箱用于提供给终端，以使终端在对用户进行身份认证时，使用该生物特征保险箱进行认证。
[0075]本发明实施例 四提供了身份认证的方法，用于终端对用户登录时输入的登录密码和登录生物特征进行认证，如图4所示，本实施例的方法可以包括以下步骤:
[0076]步骤301、终端接收用户输入的登录信息，登录信息包含登录密码和登录生物特征。
[0077]在身份认证时，用户通过终端输入登录信息，该登录信息包含登录密码和登录生物特征，登录密码为一定位数的数字和字母的组合，用户可以根据自己的需要设置简单或者复杂的密码，登录生物特征可以是用户的人脸、虹膜、指纹或其它生物特征。由于光照、姿势等获取环境的差异，即使是合法用户，在登录时输入的登录生物特征和注册时使用的注册生物特征也不可能完全相同，因此，本发明实施例中只要用户的注册生物特征和登录生物特征属于类内变化即可，即满足0〈| IB1-B'」|〈τ'，B' i为登录生物特征，BiS注册生物特征，τ ,为生物特征阈值，I IB1-B' J I为B, 1和&的特征距离。
[0078]步骤302、终端获取生物特征保险箱，该生物特征保险箱是根据用户注册时输入的注册生物特征和注册密码采用生物特征编码算法生成的。
[0079]其中，当终端为专有设备时，该步骤具体为从本地获取生物特征保险箱；当终端为通用设备时，该通用设备需要插入注册中心为用户分配的智能卡，该步骤具体为从智能卡中犾取生物特征保险箱。
[0080]可选地，该登录信息还包含登录身份标识，终端在获取生物特征保险箱时具体用于:获取与该登录身份标识对应的生物特征保险箱。例如，终端允许多个用户采用各自的登录信息登录，需要用户登录时输入登录身份标识。
[0081]步骤303、终端根据该登录密码和该登录生物特征，采用生物特征解码算法从该生物特征保险箱中提取出恢复生物特征。
[0082]该步骤具体为:
[0083]第一步、终端根据该登录密码生成L元多项式，L为大于等于I的正整数。
[0084]多项式的元数L可以根据生物特征的不同进行选择，例如，当生物特征为指纹时，由于指纹是细节点的平面坐标集合，各点之间是无序的，可以取L=2，当生物特征为人脸时，由于人脸特征中的各元素分别对应投影矩阵中的一个基向量，各点之间是有序的，L的取值可以大一些。在根据登录密码生成L元多项式时，采用预设的多项式生成算法生成该L元多项式，该参数L和多项式生成算法预先保存在终端和注册中心上，如果登录密码和注册密码相同，该终端生成的L元多项式与注册中心在生成生物特征保险箱时生成的L元多项式相同。
[0085]在根据登录密码生成L元多项式时，按照该多项式生成算法对登录密码进行计算得到多项式的系数。例如将登录密码的每个元素作为多项式的系数，或者，用登录密码的每个元素乘以一个预设因子得到的值作为多项式系数，本发明并不对该多项式生成算法进行限制。例如，用户输入的登录密码为6位数字的密码，即PWiMp1，…，P6),注册中心将登录密码的各元素作为多项式的系数，构建一个二元二次的多项式:/(XliX2 ) = +P2' x2 +P3-X1-X2+P4'xI+P5'χ2+Ρβ°
[0086]第二步、终端将该登录生物特征划分成长度为L的特征子向量,对于每个特征子向量，终端计算该特征子向量在该L元多项式上的投影z，从该生物特征保险箱选取至少一个备选点对，其中，该备选点对的第一参数是长度为L的向量，第二参数是该第一参数在该L元多项式上的投影，该备选点对的第一参数与该特征子向量的距离小于预设距离阈值，从备选点对中选取一个目的点对，该目的点对是该备选点对中第二参数与z的距离最小的点对，将该目的点对的第一参数作为特征子向量对应的恢复特征子向量。
[0087]假设该L元多项式用f表示，该特征子向量用b' j表示，则该特征子向量在该L元多项式上的投影z为f' (x)0每个备选点对包含两个参数:第一参数和第二参数，该第一参数用X表示，该第二参数用y表示，那么 该备选点对的第一参数与该特征子向量的距离为I |b' J-X I，该备选点对可以用以下公式表示:T={(x, y) I (X，y) e V, I Ib'」-χ| |〈 τ }，V为该生物特征保险箱，τ表示距离阈值，I |Χ| I表示求距离运算，T表示备选点对。该生物特征保险箱中包含真实数据点对和干扰数据点对，真实数据点对的第一参数为注册生物特征的特征子向量，真实数据点对的第二参数为注册生物特征的特征子向量在L元多项式上的投影值，干扰数据点对的第一参数是长度为L的向量，干扰数据点对的第一参数在L元多项式上的投影值与干扰数据点对的第二参数的值不相等。当登录用户是合法用户时，登录生物特征和注册生物特征是类内变化，变化相对比小，因此，选择合适的距离阈值τ可以确保注册生物特征的特征子向量包含在备选点对中。
[0088]在确定备选点对后，终端从备选点对中选取目的点对，该目的点对是该备选点对中第二参数与ζ的距离最小的点对，假设该备选点对中的第二参数与ζ的距离用
If' (x)-y I表示，那么目的点对可以用以下公式表示:％ =啤丨,V:,.- !11/⑴-'丨卜
y表示第二参数，f' (X)表示第一参数在多项式上的投影z，6)表示目的点对。由于注册中
心生成的干扰数据点对的第一参数在L元多项式上的投影值与干扰数据点对的第二参数的值不相等，所以通过选取目的点对可以排除干扰数据点对的影响，当用户为合法用户时，可以确保提取的恢复生物特征与注册生物特征相同。
[0089]第三步、终端将各特征子向量对应的恢复特征子向量组合成恢复生物特征。
[0090]如果登录密码和登录生物特征均有效，那么终端提取出的恢复生物特征与注册生物特征相同。
[0091]步骤304、终端获取注册校验信息，该注册校验信息是根据该注册密码和该注册生物特征采用注册校验算法生成的。
[0092]其中，当终端为专有设备时，该步骤具体为从本地获取注册校验信息；当终端为通用设备时，该通用设备需要插入注册中心为用户分配的智能卡，该步骤具体为从智能卡中获取注册校验信息。
[0093]步骤305、终端根据该登录密码和该恢复生物特征采用该注册校验算法生成登录校验信息。
[0094]具体地，终端根据该登录密码和该恢复生物特征采用第一不可逆算法生成该登录校验信息，该第一不可逆算法的要求是:不能从该登录校验信息逆推得到该登录密码和该恢复生物特征。
[0095]例如，终端采用公式丨丨<)计算登录校验信息，其中，h(.)表示单向哈
希函数运算，PW' i为登录密码，式为恢复生物特征，f' 登录校验信息。这里，只是列
举了一种算法，当然，也可以采用其他算法生成该登录校验信息，例如将连接运算修改为异或运算等。
[0096]步骤306、如果该注册校验信息和该登录校验信息相等，则终端确定该登录密码和该登录生物特征有效。
[0097]由于注册中心生成注册校验信息的使用的算法与终端生成的登录校验信息使用的算法相同，当合法用户登录时，输入的注册密码与登录密码相同，只要登录生物特征和注册生物特征在类内变化，则可以提取出和注册生物特征完全相同的恢复生物特征，因此计算得到的注册校验信息与登录校验信息也相同，从而确定该登录密码和该登录生物特征有效。如果登录密码和登录生物特征中至少一个不合法，那么注册校验信息和登录校验信息不同，登录密码和登录生物特征不合法，拒绝用户登录。
[0098]本实施例，由于使用生物特征解码算法从生物特征保险箱中提取恢复生物特征，只要用户输入的登录生物特征和注册生物特征在类内变化，提取到的恢复生物特征将与注册生物特征完全相同，那么注册生物特征和恢复生物特征的哈希变换值也相同，从而能够降低生物特征认证的拒识率，从而提高了生物特征的识别能力。
[0099]在一些情况下，如果终端要和认证服务器通信，在采用图4对应实施例的方法验证登录密码和登录生物特征有效之后，终端和认证服务器之间还需要互相认证对方的身份是否有效。本发明实施例五中提供了终端和认证服务器之间的互认证的方法，如图5所示，具体包括以下步骤:
[0100]步骤401、终端获取参数ei;该参数4是注册中心采用第二不可逆算法对第一随机数和用户注册时输入的注册身份标识计算得到互认证参数后，再根据第三不可逆算法对注册生物特征和注册密码、互认证参数计算得到的，采用与第三不可逆算法对应的解析算法对参数ep登录密码、恢复生物特征计算得到参数Mp
[0101]其中，当终端为专有设备时，该步骤具体为从本地获取参数ei ;当终端为通用设备时，该通用设备需要插入注册中心为用户分配的智能卡，该步骤具体为从智能卡中获取参数e”[0102]其中，第二不可逆算法的要求是:不能从该互认证参数逆推得到该第一随机数和该注册身份标识。第三不可逆算法的要求是:不能从参数ei逆推得到该互认证参数、该注册生物特征和注册密码，合法用户在认证时，能够根据该注册生物特征和注册密码从参数θ?逆推得到该互认证参数。
[0103] 例如，注册中心采用函数I^hdDiI |XS)计算得到互认证参数，其中，h(.)是单向哈希函数，参数IDi为注册身份标识,参数Xs为第一随机数,参数A为互认证参数。
[0104]例如，注册中心采用函数&=/;.?/抑(/5% θβ,.)对注册生物特征和注册密码、互认
证参数计算得到参数ei;其中，h(.)是单向哈希函数,参数PWi为注册密码,参数Bi为注册生物特征，参数A为互认证参数。
[0105]例如，终端采用公式％ =?十Α(/Π厂W对参数e1、登录密码、恢复生物特征
计算得到参数M1，其中，h(.)是单向哈希函数，参数PW'为登录密码，参数 < 为恢复生物特征。
[0106]步骤402、终端生成第二随机数，采用第一变换算法对该第二随机数和参数乂计算得到参数M2，采用第四不可逆算法对该第二随机数和参数M1计算得到参数M3。
[0107]该第一变换算法的要求是:不能从参数M2逆推得到该第二随机数和参数M1,如果已知参数M1，可以使用第一变换算法对应的解析算法从参数M2得到该第二随机数。该第四不可逆算法的要求是:(I)不能从参数M3逆推得到该第二随机数和参数M1 ; (2)即使知道参数M2,也不能从参数M3逆推得到该第二随机数和参数M1 ; (3)即使知道参数M2,也不能根据参数M1得到第二随机数得到参数M3, (4) M3古M2。
[0108]例如，终端采用公式=Ml十/(对第二随机数和参数M1计算得到参数M2，采用
&M3=h(M」Ir。)对第二随机数和参数M1计算得到参数m3，其中，h(.)是单向哈希函数，参数R。为第二随机数。
[0109]步骤403、终端将第一认证参数发送给认证服务器，该第一认证参数包括:注册身份标识、参数M2和参数M3,以使该认证服务器根据该第一认证参数验证该终端是否有效。
[0110]可选的，终端还可以采用第六不可逆算法对所述参数M1和当前时间戳计算生成参数Mt,该第一认证参数进一步还包括:参数Mt和当前时间戳。
[0111]其中，第六不可逆算法的要求是:即使获取到当前时间戳，不能从参数Mt逆推得到参数札。例如，终端采用公式Mt=WM1I |t)计算生成参数Mt，其中，h(.)是单向哈希函数，参数t为当前时间戳。
[0112]步骤404、认证服务器接收终端发送的该第一认证参数，根据该注册身份标识和第一随机数采用第二不可逆算法生成参数M4，根据参数M2和参数M4使用与第一变换算法对应的解析算法生成参数M5,根据参数M4和参数M5使用第四不可逆算法生成参数M6。
[0113]例如，认证服务器采用公SMfhaDi I |XS)计算得到参数M4,其中，h(.)是单向哈希函数，参数IDi为注册身份标识,参数Xs为第一随机数。
[0114]例如，认证服务器采用公式从5 =Μ2ΘΜ4计算得到参数M5。
[0115]例如，认证服务器采用公SM6=h(M4| |m5)计算得到参数M6，其中，h(.)是单向哈希函数。[0116]可选的，当所述第一认证参数还包括参数Mt和当前时间戳时，认证服务器在生成参数M5之前，还包括:根据参数M4和当前时间戳使用第六不可逆算法生成参h V；确定所
述参数V/与参数Mt相等后进一步获取本地保存的时间戳，判断当前时间戳是否大于所述保存的时间戳，如果当前时间戳大于所述保存的时间戳，则将本地保存的时间戳替换为所述当前时间戳，如果参数与参数Mt不相等或者当前时间戳不大于本地保存的时间戳，则说明认证服务器受到了重放攻击，终止互认证过程。
[0117]步骤405、如果参数M3和参数M6相等，则认证服务器确定终端的身份有效，生成第三随机数，根据参数M4和该第三随机数使用第二变换算法生成参数M7,根据参数M4、参数M5和该第三随机数使用第五不可逆算法生成参数Μ8。
[0118]其中，该第二变换算法的要求是:(I)不能从参数M7逆推得到参数M4和该第三随机数；(2)如果已知参数M4，可以使用与该第二变换算法对应的解析算法从参数M7得到该第三随机数。
[0119]其中，该第五不可逆算法的要求是=(I)M8幸M7; (2)不能从参数M8逆推得到参数M4、参数M5和该第三随机数；(3)即使知道参数M7,也不能从参数M8逆推得到参数M4、参数M5和该第三随机数；(4)即使知道参数M4、参数M5和该第三随机数中的任意两个参数，也不能从参数M8逆推得到除该任意两个参数外的另一个参数。
[0120]例如，采用公式M- = M4 @ R、计算得到参数M7，其中，h (.)是单向哈希函数，参数Rs为所述第三随机数。
[0121]例如，认证服务器采用公式队吨(M41 |m5| Rs)计算得参数M8，其中，h(.)是单向哈希函数，参数Rs为所述第三随机数。
[0122]步骤406、认证服务器将第二认证参数发送给终端，该第二认证参数包括:参数M7和参数M8,以使终端根据该第二认证参数确定该认证服务器是否有效。
[0123]步骤407、终端接收认证服务器返回的第二认证参数，采用与第二变换算法对应的解析算法对参数M7和参数M1计算得到参数M9,采用第五不可逆算法对参数M1、参数M9和第二随机数计算得到参数Mltl,如果参数Mltl和参数M8相等，则确定认证服务器的身份有效。
[0124]例如，终端采用公式19 = V/ DM1计算得到参数M9，其中，h(.)是单向哈希函数，参数R。为第二随机数。
[0125]例如，采用公式I Rc M9)计算得到参数Mltl,其中,h (.)是单向哈希函数，参数R。为第二随机数。
[0126]可选的，在终端和认证服务器完成互认证之后，终端和认证服务器分别计算会话密钥，终端和认证服务器生成的会话密钥相等，具体地，终端根据第二随机数、参数M1和参数M9计算得到该会话密钥，认证服务器根据参数M4、参数M5和第三随机数生成该会话密钥。
[0127]本实施例提供的方法，在终端确定登录密码和登录生物特征有效之后，终端和认证服务器之间进行互认证，因为计算参数M3的算法和计算参数M8的算法不同，攻击者假如通过截获到参数M7和M8后冒充M2和M3进行登录，服务器可以在接收到第一认证参数后就识别出，因此只需要进行两次交互就可以完成认证过程，从而减少了互认证的流程步骤，可以减少互认证的流程步骤。[0128]本发明实施例六提供了身份注册的方法，用于注册中心接收用户的注册信息并生成生物特征保险箱，如图6所示，本实施例的方法可以包括以下步骤:
[0129]步骤501、注册中心接收用户输入的注册信息，该注册信息包括注册密码和注册生物特征。
[0130]用户的身份标识和注册密码由用户自己设置，身份标识可以为邮箱、QQ号等，注册密码可以为数字和字母组合，用户可以根据自己的需要设置简单或者复杂的密码。注册生物特征可以是人脸、虹膜、指纹或其它生物特征。
[0131]步骤502、注册中心根据该注册密码和该注册生物特征采用注册校验算法生成注册校验信息。
[0132]该步骤具体为:注册中心根据该注册密码和该注册生物特征使用第一不可逆算法生成该注册校验信息。
[0133]例如，采用公式fi=h(PW| IBi)计算生成注册校验信息，其中，h(.)是单向哈希函数，参数PW为注册密码，参数Bi为注册生物特征，参数fi为注册校验信息。
[0134]步骤503、注册中心根据该注册密码和该注册生物特征，采用生物特征编码算法生成生物特征保险箱，该生物特征保险箱和该注册校验信息用于提供给终端，以便对用户输入的登录密码和登录生物特征进行验证。
[0135]该步骤具体为:
[0136]第一步、注册中心根据注册密码生成L元多项式，L为大于等于I的正整数。
[0137]注册中心在根据注册密码生成L元多项式时，使用多项式生成算法对注册密码进行计算得到多项式的系数。例如将注册密码的每个元素作为多项式的系数，或者，用注册密码的每个元素乘以一个预设因子得到的值作为多项式系数，本发明并不对多项式生成算法进行限制。注册中心使用的该多项式生成算法与终端在身份认证时使用的多项式生成算法相同，如果注册密码和登录密码相同，那么注册中心在注册时生成的多项式与终端在认证时生成的多项式相同。
[0138]第二步、注册中心将注册生物特征划分成长度为L的特征子向量,根据每个特征子向量生成真实数据点对，该真实数据点对的第一参数为特征子向量，该真实数据点对的第二参数为特征子向量在该L元多项式上的投影值。
[0139]注册中心将注册生物特征划分K个长度分别为L的特征子向量，该特征子向量用bj表示，j=l, 2，…，K，当注册生物特征长度不够时，可以补零，对于每个特征子向量注册中心计算其在多项式上的投影值，组成真实数据点对，该真实数据点对的第一参数为特征子向量，该真实数据点对的第二参数为该特征子向量在多项式上的投影值。
[0140]第三步、注册中心生成干扰数据点对，该干扰数据点对的第一参数是长度为L的向量，该干扰数据点对的第一参数在L元多项式上的投影值与干扰数据点对的第二参数的值不相等。
[0141]该干扰数据点对的第一参数可以为任意数，但是该干扰数据点对的第二参数与该干扰数据点对的第一参数在多项式上的投影值不相等。
[0142]第四步、注册中心将各个特征子向量对应的真实数据点对与干扰数据点混合生成生物特征保险箱。
[0143]通常情况下，该真实数据点对的数目小于该干扰数据点对的数目，这是因为干扰数据点对的数目越多，系统的安全性越高，但是，干扰数据点对的数目增多也会增加从生物特征保险箱确定恢复生物特征的计算量，因此，在生成干扰数据点对时应该综合考虑干扰数据点对的数目。
[0144]注册中心生成生物特征保险箱和注册校验信息后，可以存储在专有设备上或为用户分配的智能卡上，用户通过该专有设备可以直接登录，或者将该智能卡插入到通用设备上登录，用户登录时从该智能卡中读取生物特征保险箱和注册校验信息。
[0145]可选地，步骤501中用户输入的注册信息还包括注册身份标识，该身份注册方法还可以包括以下步骤:注册中心生成第一随机数，该第一随机数在注册中心与认证服务器之间共享；注册中心采用第二不可逆算法对第一随机数和注册身份标识计算得到互认证参数后，再采用第三不可逆算法对注册生物特征和注册密码、互认证参数计算得到参数ei，参数ei用于提供给终端，以便终端和所述认证服务器之间互相验证。
[0146]其中，第二不可逆算法的要求是:不能从该互认证参数逆推得到该第一随机数和该注册身份标识。该第三不可逆算法的要求是:不能从参数ei逆推得到该互认证参数、该注册生物特征和注册密码，合法用户在认证时，能够根据该注册生物特征和注册密码从参数ei逆推得到该互认证参数。
[0147]例如，注册中心采用函数ri=h(IDi| |XS)对第一随机数和注册身份标识计算得到互认证参数，其中，h(.)是单向哈希函数,参数IDi为注册身份标识,参数Xs为第一随机数，参数A为互 认证参数。
[0148]例如，注册中心采用函数6@我)对注册生物特征和注册密码、互认
证参数计算得到参数ei;其中,其中，h(.)是单向哈希函数,参数PWi为注册密码,参数Bi为注册生物特征，参数A为互认证参数。
[0149]本实施例提供的身份注册方法，注册中心接收用户输入的注册密码和注册生物特征，根据注册密码和注册生物特征采用注册校验算法生成注册校验信息，并根据注册密码和注册生物特征采用生物特征编码算法生成生物特征保险箱，通过将注册生物特征和注册密码绑定加密保存在该生物特征保险箱中，提高了生物特征的安全性，该生物特征保险箱用于保存在终端上，以使终端在对用户进行身份认证时，使用该生物特征保险箱进行认证。
[0150]图7为本发明实施例提供的认证系统的结构图，如图7所示，本实施例提供的认证系统包括:终端61和认证服务器62，终端61的具体描述参见图1，图2的实施例，可以执行图4和图5的实施例所示的方法，认证服务器62可以执行图5的实施例所示的方法。
[0151]本发明实施例中的终端可以基于计算机系统来实现，如图8所示，本实施例的终端包括:处理器71、存储器72和通信接口 73，其中，处理器71可以是中央处理器(centralprocessing unit,简称 CPU)、专用集成电路(application-specific integratedcircuit,简称ASIC)等,存储器72可以包括:随机存取存储器(random access memory,简称RAM),只读存储器(read-only memory,简称ROM),磁盘等具有存储功能的实体。本实施例中的还可以包括总线74，处理器71、存储器72以及通信接口 73之间可通过总线74连接并通信。
[0152]本实施例中，通信接口 73用于接收用户输入的登录信息，所述登录信息包含登录密码和登录生物特征；处理器71具体用于执行以下操作:获取生物特征保险箱，所述生物特征保险箱是根据用户注册时输入的注册生物特征和注册密码采用生物特征编码算法生成的；根据所述登录密码和所述登录生物特征，采用生物特征解码算法从生物特征保险箱中提取出恢复生物特征；获取注册校验信息，所述注册校验信息是根据所述注册密码和所述注册生物特征采用注册校验算法生成的；根据所述登录密码和所述恢复生物特征采用所述注册校验算法生成登录校验信息；如果所述注册校验信息和所述登录校验信息相等，则确定所述登录密码和所述登录生物特征有效。
[0153]处理器71根据所述登录密码和所述登录生物特征，采用生物特征解码算法从生物特征保险箱中提取出恢复生物特征具体为:根据所述登录密码生成L元多项式，L为大于等于I的正整数；将所述登录生物特征划分成长度为L的特征子向量；对于每个所述特征子向量，计算所述特征子向量在所述L元多项式上的投影z，从所述生物特征保险箱选取至少一个备选点对，其中，所述备选点对的第一参数是长度为L的向量，第二参数是所述第一参数在所述L元多项式上的投影，所述备选点对的第一参数与所述特征子向量的距离小于预设距离阈值；从所述备选点对中选取一个目的点对，所述目的点对是所述备选点对中第二参数与所述ζ的距离最小的点对，将所述目的点对的第一参数作为所述特征子向量对应的恢复特征子向量；将各所述特征子向量对应的恢复特征子向量组合成恢复生物特征。
[0154]所述终端确定所述登录密码和所述登录生物特征有效之后，处理器71还用于:获取参数ei;所述参数ei是采用第二不可逆算法对第一随机数和用户注册时输入的注册身份标识计算得到互认证参数后，再根据第三不可逆算法对所述注册生物特征和注册密码、所述互认证参数计算得到的；采用与所述第三不可逆算法对应的解析算法对所述参数e1、所述登录密码、所述恢复生物特征计算得到参数M1 ;生成第二随机数；采用第一变换算法对所述第二随机数和所述参数M1计算得到参数M2，采用第四不可逆算法对所述第二随机数和所述参数M1计算得到参数M3。
[0155]在处理器71生成第一认证参数之后，通信接口 73执行如下操作:将第一认证参数发送给认证服务器，以使所述认证服务器根据所述第一认证参数验证所述终端是否有效，所述第一认证参数包括:所述注册身份标识、所述参数M2和所述参数M3 ;接收所述认证服务器返回的第二认证参数，所述第二认证参数包括参数M7和参数M8,所述第二认证参数是所述认证服务器根据所述第一认证参数验证所述终端有效之后生成的，所述M7是采用第二变换算法对第三随机数和所述互认证参数计算得到的，所述M8是采用第五不可逆算法对所述第三随机数和所述互认证参数、所述第二随机数计算得到的。处理器71还用于:采用与所述第二变换算法对应的解析算法对所述参数M7和参数M1计算得到参数M9，采用所述第五不可逆算法对所述参数M1、参数M9和所述第二随机数计算得到参数Mltl ;如果所述参数Mltl和所述参数M8相等，则终端确定所述认证服务器的身份有效。
[0156]本实施例的终端，可用于执行图4对应实施例、图5对应实施例中描述的终端相关的各步骤，本实施例在此不再详述。
[0157]本发明实施例中的注册中心可以基于计算机系统来实现，如图9所示，本实施例的注册中心包括:处理器81、存储器82和通信接口 83，其中，处理器81可以是中央处理器(central processing unit,简称 CPU)、专用集成电路(application-specificintegrated circuit,简称ASIC)等,存储器82可以包括:随机存取存储器(random accessmemory,简称RAM),只读存储器(read-only memory,简称ROM),磁盘等具有存储功能的实体。本实施例中的还可以包括总线84，处理器81、存储器82以及通信接口 83之间可通过总线84连接并通信。
[0158]本实施例中，通信接口 83用于接收用户输入的注册信息，所述注册信息包括注册密码和注册生物特征；处理器81用于执行以下操作:根据所述注册密码和所述注册生物特征采用注册校验算法生成注册校验信息；根据所述注册密码和所述注册生物特征，采用生物特征编码算法生成生物特征保险箱，所述生物特征保险箱和所述注册校验信息用于提供给终端，以便对所述用户输入的登录密码和登录生物特征进行验证。
[0159]处理器81根据所述注册密码和所述注册生物特征采用注册校验算法生成注册校验信息具体为:处理器81根据所述注册密码和所述注册生物特征使用第一不可逆算法生成所述注册校验信息。
[0160]处理器81根据所述注册密码和所述注册生物特征，采用生物特征编码算法生成生物特征保险箱具体为:根据所述注册密码生成L元多项式，L为大于等于I的正整数；将所述注册生物特征划分成长度为L的特征子向量；对于每个所述特征子向量，生成真实数据点对，所述真实数据点对的第一参数为所述特征子向量，所述真实数据点对的第二参数为所述特征子向量在所述L元多项式上的投影值；生成干扰数据点对，所述干扰数据点对的第一参数是长度为L的向量，所述干扰数据点对的第一参数在所述L元多项式上的投影值与所述干扰数据点对的第二参数的值不相等；将各个所述特征子向量对应的真实数据点对与所述干扰数据点对混合生成所述生物特征保险箱。
[0161]可选地，所述真实数据点对的数目小于所述干扰数据点对的数目。
[0162]可选地，所述注册信息还包括注册身份标识，处理器81还用于:生成第一随机数，所述第一随机数在所述注册中心与认证服务器之间共享；采用第二不可逆算法对所述第一随机数和所述注册身份标识计算得到互认证参数后，再采用第三不可逆算法对所述注册生物特征和所述注册密码、所述互认证参数计算得到参数ei;所述参数ei用于提供给所述终端，以便所述终端和所述认证服务器之间互相验证。
[0163]本实施例的注册中心，可用于执行图6对应实施例中描述的注册中心相关的各步骤，本实施例在此不再详述。
[0164]本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储介质包括:R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
[0165]最后应说明的是:以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
【权利要求】
1.一种终端，其特征在于，包括: 接收模块，用于接收用户输入的登录信息，所述登录信息包含登录密码和登录生物特征； 获取模块，用于获取生物特征保险箱，所述生物特征保险箱是根据用户注册时输入的注册生物特征和注册密码采用生物特征编码算法生成的； 提取模块，用于根据所述登录密码和所述登录生物特征，采用生物特征解码算法从生物特征保险箱中提取出恢复生物特征； 所述获取模块，还用于获取注册校验信息，所述注册校验信息是根据所述注册密码和所述注册生物特征采用注册校验算法生成的； 计算模块，用于根据所述登录密码和所述恢复生物特征采用所述注册校验算法生成登录校验信息； 校验模块，用于当所述注册校验信息和所述登录校验信息相等时，确定所述登录密码和所述登录生物特征有效。
2.根据权利要求1所述的终端，其特征在于，所述计算模块，用于根据所述登录密码和所述恢复生物特征采用所述注册校验算法生成登录校验信息具体为:所述计算模块，用于根据所述登录密码和所述恢复生物特征采用第一不可逆算法生成所述登录校验信息。
3.根据权利要求2所述的终端，其特征在于，所述计算模块用于根据所述登录密码和所述恢复生物特征采用所述第一不可逆算法生成所述登录校验信息时，具体包括:所述计算模块，采用公式y； = h(PW；W式)对所述登录密码和所述恢复生物特征计算得到所述登录校验信息，其中，h(.)是单向哈希函数，PW' i为所述登录密码，式为所述恢复生物特征，f'所述登录校验信息。
4.根据权利要求1-3中任一项所述的终端，其特征在于，所述提取模块，用于根据所述登录密码和所述登录生物特征，采用生物特征解码算法从生物特征保险箱中提取出恢复生物特征具体包括:所述提取模块，用于根据所述登录密码生成L元多项式，L为大于等于I的正整数； 将所述登录生物特征划分成长度为L的特征子向量； 对于每个所述特征子向量，计算所述特征子向量在所述L元多项式上的投影z，从所述生物特征保险箱选取至少一个备选点对，其中，所述备选点对的第一参数是长度为L的向量，第二参数是所述第一参数在所述L元多项式上的投影，所述备选点对的第一参数与所述特征子向量的距离小于预设距离阈值；从所述备选点对中选取一个目的点对，所述目的点对是所述备选点对中第二参数与所述z的距离最小的点对，将所述目的点对的第一参数作为所述特征子向量对应的恢复特征子向量； 将各所述特征子向量对应的恢复特征子向量组合成恢复生物特征。
5.根据权利要求1-4中任一项所述的终端，其特征在于: 所述登录信息还包含登录身份标识； 所述获取模块用于获取生物特征保险箱具体包括:所述获取模块，用于获取与所述登录身份标识对应的生物特征保险箱。
6.根据权利要求1-5中任一项所述的终端，其特征在于，还包括:发送模块；在所述校验模块确定所述登录密码和所述登录生物特征有效之后，所述获取模块还用于: 获取参数ei;所述参数ei是采用第二不可逆算法对第一随机数和用户注册时输入的注册身份标识计算得到互认证参数后，再根据第三不可逆算法对所述注册生物特征和注册密码、所述互认证参数计算得到的； 所述计算模块还用于: 采用与所述第三不可逆算法对应的解析算法对所述参数e1、所述登录密码、所述恢复生物特征计算得到参数M1 ;在生成第二随机数后，采用第一变换算法对所述第二随机数和所述参数M1计算得到参数M2，采用第四不可逆算法对所述第二随机数和所述参数M1计算得到参数M3 ； 所述发送模块，用于将第一认证参数发送给认证服务器，以使所述认证服务器根据所述第一认证参数验证所述终端是否有效，所述第一认证参数包括:所述注册身份标识、所述参数M2和所述参数M3 ； 所述接收模块还用于:接收所述认证服务器返回的第二认证参数，所述第二认证参数包括参数M7和参数M8,所述第二认证参数是所述认证服务器根据所述第一认证参数验证所述终端有效之后生成的，所述参数M7是采用第二变换算法对第三随机数和所述互认证参数计算得到的，所述参数M8是采用第五不可逆算法对所述第三随机数和所述互认证参数、所述第二随机数计算得到的； 所述计算模块还用于:采用和所述第二变换算法对应的解析算法对所述参数M7和参数M1计算得到参数M9,采用所述第五不可逆算法对所述参数M1、参数M9和所述第二随机数计算得到参数Mltl ； 所述校验模块还用于:如果所述参数Mltl和所述参数M8相等，则确定所述认证服务器的身份有效。
7.根据权利要求6所述的终端，其特征在于，所述计算模块用于采用与所述第三不可逆算法对应的解析算法对所述参数所述登录密码、所述恢复生物特征计算得到所述参数M1时,具体包括: 所述计算模块，采用公式M1 = e,.十h(h(PWi')十B*i)对所述参数e1、所述登录密码、所述恢复生物特征计算得到所述参数M1，其中，h(.)是单向哈希函数，参数PW' i为所述登录密码，参数S力所述恢复生物特征。
8.根据权利要求6或7所述的终端，其特征在于，所述计算模块用于采用所述第一变换算法对所述第二随机数和所述参数M1计算得到所述参数M2,采用所述第四不可逆算法对所述第二随机数和所述参数M1计算得到所述参数M3,具体包括: 所述计算模块，用于采用公式At = ? R,对所述第二随机数和所述参数M1计算得到所述参数仏，采用公式M3=WM1I IR。)对所述第二随机数和所述参数M1计算得到所述参数M3,其中，h(.)是单向哈希函数，参数R。为所述第二随机数； 所述计算模块用于采用与所述第二变换算法对应的解析算法对所述参数M7和所述参数M1计算得到所述参数M9,采用所述第五不可逆算法对所述参数M1、参数M9和所述第二随机数计算得到所述参数Mltl时,具体包括:所述计算模块，用于采用公式M9 =M1 对所述参数M7和所述参数M1计算得到所述参数M9，采用公式IR。！ |m9)对所述参数M1、参数M9和所述第二随机数计算得到所述参数Mltl，其中，h(.)是单向哈希函数，参数R。为所述第二随机数。
9.根据权利要求6-8中任一项所述的终端，其特征在于，所述发送模块将第一认证参数发送给认证服务器之前，所述计算模块还用于: 采用第六不可逆算法对所述参数M1和当前时间戳计算生成参数Mt ； 所述第一认证参数还包括:所述参数Mt和所述当前时间戳。
10.根据权利要求9所述的终端，其特征在于，所述计算模块在采用第六不可逆算法对所述参数M1和所述当前时间戳计算生成所述参数Mt时，具体用于: 采用公式Mt=WM1I |t)对所述参数M1和所述当前时间戳计算生成所述参数Mt，其中，h(.)是单向哈希函数，参数t为当前时间戳。
11.一种注册中心，其特征在于，包括: 接收模块，用于接收用户输入的注册信息，所述注册信息包括注册密码和注册生物特征； 计算模块，用于根据所述注册密码和所述注册生物特征采用注册校验算法生成注册校验信息； 生成模块，用于根据所述注册密码和所述注册生物特征，采用生物特征编码算法生成生物特征保险箱，所述生物特征保险箱和所述注册校验信息用于提供给终端，以便对所述用户输入的登录密码和登录生物特征进行验证。
12.根据权利要求11所述的注册中心，其特征在于，所述计算模块具体用于: 根据所述注册密码和所述注册生物特征使用第一不可逆算法生成所述注册校验信息。
13.根据权利要求12所述的注册中心，其特征在于，所述计算模块，用于根据所述注册密码和所述注册生物特征使用所述第一不可逆算法生成所述注册校验信息具体包括: 所述计算模块，用于采用公式fi=h(PW| IBi)对所述注册密码和所述注册生物特征计算生成所述注册校验信息，其中，h(.)是单向哈希函数，参数PW为所述注册密码，参数Bi为所述注册生物特征，参数A为所述注册校验信息。
14.根据权利要求11-13中任一项所述的注册中心，其特征在于，所述生成模块用于根据所述注册密码和所述注册生物特征，采用生物特征编码算法生成生物特征保险箱，具体包括:所述生成模块，用于根据所述注册密码生成L元多项式，L为大于等于I的正整数； 将所述注册生物特征划分成长度为L的特征子向量； 对于每个所述特征子向量，生成真实数据点对，所述真实数据点对的第一参数为所述特征子向量，所述真实数据点对的第二参数为所述特征子向量在所述L元多项式上的投影值； 生成干扰数据点对，所述干扰数据点对的第一参数是长度为L的向量，所述干扰数据点对的第一参数在所述L元多项式上的投影值与所述干扰数据点对的第二参数的值不相等; 将各个所述特征子向量对应的真实数据点对与所述干扰数据点对混合生成所述生物特征保险箱。
15.根据权利要求14所述的注册中心，其特征在于，所述生成模块，用于对于每个所述特征子向量，生成真实数据点对进一步包括:所述真实数据点对的数目小于所述干扰数据点对的数目。
16.根据权利要求11-15中任一项所述的注册中心，其特征在于，所述注册信息还包括注册身份标识，所述计算模块还用于: 生成第一随机数，所述第一随机数在所述注册中心与认证服务器之间共享； 采用第二不可逆算法对所述第一随机数和所述注册身份标识计算得到互认证参数后，再采用第三不可逆算法对所述注册生物特征和所述注册密码、所述互认证参数计算得到参数ei;所述参数ei用于提供给所述终端，以便所述终端和所述认证服务器之间互相验证。
17.根据权利要求16所述的注册中心，其特征在于，所述计算模块，用于采用第二不可逆算法对所述第一随机数和所述注册身份标识计算得到所述互认证参数具体包括: 所述计算模块，用于采用函数I^hdDiI |XS)对所述第一随机数和所述注册身份标识计算得到所述互认证参数，其中，h(.)是单向哈希函数,参数IDi为所述注册身份标识,参数Xs为所述第一随机数，参数A为所述互认证参数； 所述计算模块，用于采用第三不可逆算法对所述注册生物特征和所述注册密码、所述互认证参数计算得到参数ei;具体包括: 所述计算模块，用于采用函数6 = /:.? KK澤丨?尽)对所述注册生物特征和所述注册密码、所述互认证参数计算得到所述参数ei,其中，h(.)是单向哈希函数,参数PWi为所述注册密码，参数Bi为所述注册生物特征，参数&为所述互认证参数。
18.一种身份认证的方法，其特征在于，包括: 终端接收用户输入的登录信息，所述登录信息包含登录密码和登录生物特征； 所述终端获取生物特征保险箱，所述生物特征保险箱是根据用户注册时输入的注册生物特征和注册密码采用生物特征编码算法生成的； 所述终端根据所述登录密码和所述登录生物特征，采用生物特征解码算法从生物特征保险箱中提取出恢复生物特征； 所述终端获取注册校验信息，所述注册校验信息是根据所述注册密码和所述注册生物特征采用注册校验算法生成的； 所述终端根据所述登录密码和所述恢复生物特征采用所述注册校验算法生成登录校验信息； 如果所述注册校验信息和所述登录校验信息相等，则所述终端确定所述登录密码和所述登录生物特征有效。
19.根据权利要求18所述的方法，其特征在于，所述终端根据所述登录密码和所述恢复生物特征采用所述注册校验算法生成登录校验信息，包括: 所述终端根据所述登录密码和所述恢复生物特征采用第一不可逆算法生成所述登录校验信息。
20.根据权利要求19所述的方法，其特征在于，所述终端根据所述登录密码和所述恢复生物特征采用第一不可逆算法生成所述登录校验信息具体为:所述终端采用公式X'=ACPdI式)对所述登录密码和所述恢复生物特征计算得到所述登录校验信息，其中，h(.)是单向哈希函数，PW' i为所述登录密码，B力所述恢复生物特征，f' i为所述登录校验信息。
21.根据权利要求18-20中任一项所述的方法，其特征在于，所述终端根据所述登录密码和所述登录生物特征，采用生物特征解码算法从生物特征保险箱中提取出恢复生物特征，包括: 所述终端根据所述登录密码生成L元多项式，L为大于等于I的正整数； 所述终端将所述登录生物特征划分成长度为L的特征子向量； 对于每个所述特征子向量，所述终端计算所述特征子向量在所述L元多项式上的投影z，从所述生物特征保险箱选取至少一个备选点对，其中，所述备选点对的第一参数是长度为L的向量，第二参数是所述第一参数在所述L元多项式上的投影，所述备选点对的第一参数与所述特征子向量的距离小于预设距离阈值；从所述备选点对中选取一个目的点对，所述目的点对是所述备选点对中第二参数与所述z的距离最小的点对，将所述目的点对的第一参数作为所述特征子向 量对应的恢复特征子向量； 所述终端将各所述特征子向量对应的恢复特征子向量组合成恢复生物特征。
22.根据权利要求18-21中任一项所述的方法，其特征在于: 所述登录信息还包含登录身份标识； 所述终端获取生物特征保险箱具体为所述终端获取与所述登录身份标识对应的生物特征保险箱。
23.根据权利要求18-22中任一项所述的方法，其特征在于，所述终端确定所述登录密码和所述登录生物特征有效之后，还包括: 所述终端获取参数ei;所述参数ei是采用第二不可逆算法对第一随机数和用户注册时输入的注册身份标识计算得到互认证参数后，再根据第三不可逆算法对所述注册生物特征和注册密码、所述互认证参数计算得到的； 所述终端采用与所述第三不可逆算法对应的解析算法对所述参数e1、所述登录密码、所述恢复生物特征计算得到参数M1 ； 所述终端生成第二随机数； 所述终端采用第一变换算法对所述第二随机数和所述参数M1计算得到参数M2,采用第四不可逆算法对所述第二随机数和所述参数M1计算得到参数M3 ； 所述终端将第一认证参数发送给认证服务器，以使所述认证服务器根据所述第一认证参数验证所述终端是否有效，所述第一认证参数包括:所述注册身份标识、所述参数M2和所述参数M3 ； 所述终端接收所述认证服务器返回的第二认证参数，所述第二认证参数包括参数M7和参数M8,所述第二认证参数是所述认证服务器根据所述第一认证参数验证所述终端有效之后生成的，所述M7是采用第二变换算法对第三随机数和所述互认证参数计算得到的，所述M8是采用第五不可逆算法对所述第三随机数和所述互认证参数、所述第二随机数计算得到的； 所述终端采用与所述第二变换算法对应的解析算法对所述参数M7和参数M1计算得到参数M9，采用所述第五不可逆算法对所述参数M1、参数M9和所述第二随机数计算得到参数M10 ； 如果所述参数Mltl和所述参数M8相等，则所述终端确定所述认证服务器的身份有效。
24.根据权利要求23所述的方法，其特征在于， 所述终端采用与所述第三不可逆算法对应的解析算法对所述参数e1、所述登录密码、所述恢复生物特征计算得到参数M1具体为:所述终端采用公式M1 ?h(h(PW;)?e;)对所述参数e1、所述登录密码、所述恢复生物特征计算得到所述参数M1,其中，h(.)是单向哈希函数，参数PW' 所述登录密码,参数5力所述恢复生物特征。
25.根据权利要求23或24所述的方法，其特征在于， 所述终端采用第一变换算法对所述第二随机数和所述参数M1计算得到参数M2,采用第四不可逆算法对所述第二随机数和所述参数M1计算得到参数M3具体为:所述终端采用公式M2 =M1 ? ^对所述第二随机数和所述参数Ml计算得到参数M2，采用公式M3=h (M11 I Rc)对所述第二随机数和所述参数M1计算得到参数M3，其中，h (.)是单向哈希函数，参数R。为所述第二随机数； 所述终端采用与所述第二变换算法对应的解析算法对所述参数M7和参数M1计算得到参数M9，采用所述第五不可逆算法对所述参数M1、参数M9和所述第二随机数计算得到参数M10具体为:所述终端采用公式M9 =M1 对所述参数M7和参数M1计算得到参数M9,采 用公式Ir。！ Im9)对所述参数M1、参数M9和所述第二随机数计算得到参数Mltl，其中，h(.)是单向哈希函数，参数R。为所述第二随机数。
26.根据权利要求23-25中任一项所述的方法，其特征在于，所述终端将第一认证参数发送给认证服务器之前，还包括:所述终端采用第六不可逆算法对所述参数M1和当前时间戳计算生成参数Mt; 所述第一认证参数还包括:所述参数Mt和所述当前时间戳。
27.根据权利要求26所述的方法，其特征在于，所述终端采用第六不可逆算法对所述参数M1和当前时间戳计算生成参数Mt具体为:所述终端采用公式Mt=h(M」|t)对所述参数M1和所述当前时间戳计算生成参数Mt，其中，h(.)是单向哈希函数，参数t为当前时间戳。
28.根据权利要求23所述的方法，其特征在于，所述终端将第一认证参数发送给认证服务器之后还包括: 认证服务器接收所述终端发送的所述第一认证参数，所述第一认证参数包括:所述用户的注册身份标识、所述参数M2和所述参数M2 ； 所述认证服务器根据所述注册身份标识和所述第一随机数采用所述第二不可逆算法生成参数M4 ； 所述认证服务器根据所述参数M2和所述参数M4使用与所述第一变换算法对应的解析算法生成参数M5 ； 所述认证服务器根据所述参数M4和所述参数M5使用所述第四不可逆算法生成参数M6; 如果所述参数M3和所述参数M6相等，所述认证服务器确定所述终端的身份有效；所述认证服务器生成第三随机数，根据所述参数M4和所述第三随机数使用所述第二变换算法生成参数M7 ； 所述认证服务器根据所述参数M4、所述参数M5和所述第三随机数使用所述第五不可逆算法生成参数M8 ；所述认证服务器将所述第二认证参数发送给所述终端，以使所述终端根据所述第二认证参数确定所述认证服务器是否有效，所述第二认证参数包括:所述参数M7和所述参数M8。
29.根据权利要求28所述的方法，其特征在于，所述认证服务器根据所述注册身份标识和所述第一随机数采用所述第二不可逆算法生成参数M4具体为:所述认证服务器采用公SM4=h(IDi| |XS)对所述注册身份标识和所述第一随机数计算得到参数M4,其中，h(.)是单向哈希函数，参数IDi为所述注册身份标识，参数Xs为所述第一随机数； 所述认证服务器根据所述参数M2和所述参数M4使用与所述第一变换算法对应的解析算法生成参数M5具体为:所述认证服务器采用公式M5 =M2 ΦΙ4对所述参数M2和所述参数M4计算得到参数M5 ； 所述认证服务器根据所述参数M4和所述参数M5使用所述第四不可逆算法生成参数M6具体为:所述认证服务器采用公式M6=h(M4| IM5)对所述参数M4和所述参数M5计算的到参数M6，其中，h(.)是单 向哈希函数。
30.根据权利要求28或29所述的方法，其特征在于， 所述根据所述参数M4和所述第三随机数使用所述第二变换算法生成参数馬具体为:采用公式M7 =Λ/4?昃对所述参数M4和所述第三随机数计算得到参数M7，其中，h(.)是单向哈希函数，参数Rs为所述第三随机数； 所述认证服务器根据所述参数M4、所述参数M5和所述第三随机数使用所述第五不可逆算法生成参数M8具体为:所述认证服务器采用公式M8=h(M4| |m5| Rs)对所述参数M4、所述参数M5和所述第三随机数计算得参数M8，其中，h (.)是单向哈希函数，参数Rs为所述第三随机数。
31.根据权利要求28-30中任一项所述的方法，其特征在于，所述第一认证参数中还包括当前时间戳和参数Mt; 所述认证服务器根据所述参数M2和所述参数M4使用与第一变换算法对应的解析算法生成参数M5之前还包括: 所述认证服务器根据所述参数M4和所述当前时间戳使用第六不可逆算法生成参数M:; 所述认证服务器确定所述参数^<与所述参数Mt相等后，获取本地保存的时间戳； 确定所述当前时间戳大于所述本地保存的时间戳。
32.根据权利要求31所述的方法，其特征在于，所述方法还包括:所述认证服务器将所述本地保存的时间戳替换为所述当前时间戳。
33.一种身份注册的方法,其特征在于,包括: 注册中心接收用户输入的注册信息，所述注册信息包括注册密码和注册生物特征；所述注册中心根据所述注册密码和所述注册生物特征采用注册校验算法生成注册校验信息； 所述注册中心根据所述注册密码和所述注册生物特征，采用生物特征编码算法生成生物特征保险箱，所述生物特征保险箱和所述注册校验信息用于提供给终端，以便对所述用户输入的登录密码和登录生物特征进行验证。
34.根据权利要求33所述的方法，其特征在于，所述注册中心根据所述注册密码和所述注册生物特征采用注册校验算法生成注册校验信息，包括: 所述注册中心根据所述注册密码和所述注册生物特征使用第一不可逆算法生成所述注册校验信息。
35.根据权利要求34所述的方法，其特征在于，所述注册中心根据所述注册密码和所述注册生物特征使用第一不可逆算法生成所述注册校验信息具体为:所述注册中心采用公式fi=h(PW| IBi)对所述注册密码和所述注册生物特征计算生成所述注册校验信息，其中，h(.)是单向哈希函数,参数PW为所述注册密码,参数Bi为所述注册生物特征,参数A为所述注册校验信息。
36.根据权利要求33-35中任一项所述的方法，其特征在于，所述注册中心根据所述注册密码和所述注册生物特征，采用生物特征编码算法生成生物特征保险箱，包括: 所述注册中心根据所述注册密码生成L元多项式，L为大于等于I的正整数； 所述注册中心将所述注册生物特征划分成长度为L的特征子向量； 对于每个所述特征子向量，所述注册中心生成真实数据点对，所述真实数据点对的第一参数为所述特征子向量，所述真实数据点对的第二参数为所述特征子向量在所述L元多项式上的投影值； 所述注册中心生成干扰数据点对，所述干扰数据点对的第一参数是长度为L的向量，所述干扰数据点对的第一参数在所述L元多项式上的投影值与所述干扰数据点对的第二参数的值不相等； 所述注册中心将各个所述特征子向量对应的真实数据点对与所述干扰数据点对混合生成所述生物特征保险箱。
37.根据权利要求36所述的方法，其特征在于，所述真实数据点对的数目小于所述干扰数据点对的数目。
38.根据权利要求33-37中任一项所述的方法，其特征在于，所述注册信息还包括注册身份标识，所述方法还包括: 所述注册中心生成第一随机数，所述第一随机数在所述注册中心与认证服务器之间共 所述注册中心采用第二不可逆算法对所述第一随机数和所述注册身份标识计算得到互认证参数后，再采用第三不可逆算法对所述注册生物特征和所述注册密码、所述互认证参数计算得到参数ei;所述参数ei用于提供给所述终端，以便所述终端和所述认证服务器之间互相验证。
39.根据权利要求38所述的方法，其特征在于，所述注册中心采用第二不可逆算法对所述第一随机数和所述注册身份标识计算得到互认证参数具体为:所述注册中心采用函数r^hdDj |XS)对所述第一随机数和所述注册身份标识计算得到互认证参数，其中，h(.)是单向哈希函数，参数IDi为所述注册身份标识，参数Xs为所述第一随机数，参数A为所述互认证参数； 所述采用第三不可逆算法对所述注册生物特征和所述注册密码、所述互认证参数计算得到参数^具体为:采用函数6=/:.?咐(/5M ?孕)对所述注册生物特征和所述注册密码、所述互认证参数计算得到参数ei;其中，h(.)是单向哈希函数,参数PWi为所述注册密码，参数Bi为所述注册生物特征 ,参数!Ti为所述互认证参数。
40.一种认证系统，其特征在于，包括:认证服务器和如权利要求1-9中任一权利要求所述的终端； 所述认证服务器用于在所述终端确定所述登录密码和所述登录生物特征有效之后，接收所述终端发送的所述第一认证参数，所述第一认证参数包括:用户的注册身份标识、参数M2和参数M3 ;根据所述注册身份标识和所述第一随机数采用所述第二不可逆算法生成参数M4 ;根据所述参数M2和所述参数M4使用与所述第一变换算法对应的解析算法生成参数M5 ；根据所述参数M4和所述参数M5使用所述第四不可逆算法生成参数M6 ;如果所述参数M3和所述参数仏相等，确定所述终端的身份有效；生成所述第三随机数，根据所述参数仏和所述第三随机数使用所述第二变换算法生成参数M7 ;根据所述参数M4、所述参数M5和所述第三随机数使用所述第五不可逆算法生成参数M8 ;将所述第二认证参数发送给所述终端，以使所述终端根据所述第 二认证参数确定所述认证服务器是否有效，所述第二认证参数包括:所述参数M7和所述参数M8。
【文档编号】H04L29/06GK103929425SQ201410160781
【公开日】2014年7月16日 申请日期:2014年4月21日 优先权日:2014年4月21日
【发明者】贲圣兰 申请人:华为技术有限公司