身份认证方法、身份认证系统、终端和服务器的制造方法
【技术领域】
[0001] 本发明设及生物识别技术领域,具体而言,设及一种身份认证方法、一种身份认证 系统、一种终端和一种服务器。
【背景技术】
[0002] 目前,生物识别技术是指利用人体生物特征进行身份认证的技术,常见的生物识 别技术包括指纹识别、人脸识别、虹膜识别等。
[0003] 在移动终端(比如手机)上集成生物识别技术能够有效保护移动终端上的信息的 安全,其中,生物特征模板数据的存储是个关键的问题,因为移动终端上的恶意程序可能会 窃取移动终端上存储的生物特征模板数据,从而轻易通过生物识别认证,导致重要信息的 泄漏,给用户带来不好的体验。
[0004] 同态加密是一种特殊的加密技术,它允许人们对密文进行特定的代数运算,且得 到的运算结果与对明文进行同样的运算的结果一样。换言之,运项技术令人们可W在加密 的数据中进行操作,得出正确的结果,而在整个处理过程中无需对数据进行解密。但是目前 的同态加密技术还无法直接应用在生物特征模板匹配运样的复杂运算上。 阳〇化]因此,需要一种新的身份认证方法,可W将生物识别技术与同态加密技术相结合, 使服务器不需要解密就能进行正确的生物特征信息匹配,并可W有效的避免现有技术中因 将用户生物特征信息存储在终端W及服务器上易被恶意窃取的问题,提高了基于生物特征 信息的身份认证的安全性和可靠性,从而提升了用户体验。
【发明内容】
[0006] 本发明正是基于上述问题,提出了一种新的技术方案,通过将生物识别技术与同 态加密技术相结合,使服务器不需要解密就能进行正确的生物特征信息匹配,并有效的避 免现有技术中因将用户生物特征信息存储在终端上易被恶意窃取的问题,实现了用户生物 特征信息的安全储存,提高了基于生物特征信息的身份认证的安全性和可靠性,从而提升 了用户体验。
[0007] 有鉴于此,本发明的第一方面,提出了一种身份认证方法,用于终端,包括:采集预 设用户的第一生物特征信息;将所述第一生物特征信息的至少一项第一属性信息W向量形 式表示,并根据预设密钥对W向量形式表示的所述至少一项第一属性信息进行同态加密处 理,W生成第一生物特征向量;将所述第一生物特征向量发送至服务器,W供所述服务器将 所述第一生物特征向量存储为第一生物特征模板向量。
[0008] 在该技术方案中,首先进行第一生物特征模板向量的预存储过程,具体地,通过将 采集到的预设用户的第一生物特征信息中可供身份认证的第一属性信息W向量形式表示, 其中,可供身份认证的第一属性信息有一项或多项,而用向量形式表示每一项第一属性信 息,即可得到一个表示第一生物特征信息的向量组,根据存储的预设密钥对该向量组中的 每一个分向量进行同态加密,即可得到第一生物特征向量,然后将第一物特征向量发送至 服务器,由服务器将其存储为第一生物特征模板向量,其中,预设密钥可W是终端随机产生 的,也可W是根据用户实际需要设定的,最终存储在终端中,即将经过同态加密生成的第一 生物特征模板向量存储在服务器中,而用于解密的预设密钥存储在终端中,则服务器无法 获知此预设密钥,如此,通过将生物识别技术与同态加密技术相结合,使服务器不需要解密 就能进行正确的生物特征信息匹配,并可W有效的避免现有技术中因将用户生物特征信息 存储在终端上易被恶意窃取的问题,实现了用户生物特征信息的安全储存,提高了基于生 物特征信息的身份认证的安全性和可靠性,从而提升了用户体验。
[0009] 在上述技术方案中,优选地,还包括:采集当前用户的第二生物特征信息;将所述 第二生物特征信息的至少一项第二属性信息W向量形式表示,并根据所述预设密钥对W向 量形式表示的所述至少一项第二属性信息进行同态加密处理,W生成第二生物特征向量; 将所述第二生物特征向量发送至所述服务器,W供所述服务器根据所述第二生物特征向量 与所述第一生物特征模板向量生成第一欧氏距离;接收来自所述服务器的所述第一欧氏距 离;对所述第一欧氏距离进行同态解密处理得到第二欧氏距离;根据所述第二欧氏距离确 定所述第二生物特征信息与所述第一生物特征信息是否匹配,W确定身份认证是否成功。
[0010] 在该技术方案中,通过将采集到的当前用户的第二生物特征信息中可供身份认证 的第二属性信息W向量形式表示,其中,可供身份认证的第二属性信息有一项或多项,而用 向量形式表示每一项第二属性信息,即可得到一个表示第二生物特征信息的向量组,根据 预设密钥对该向量组中的每一个分向量进行同态加密,即可得到第二生物特征向量,然后 将第二生物特征向量发送至服务器,W供服务器在不解密的情况下,计算得出第二生物特 征向量与其预存储的第一生物特征模板向量的第一欧氏距离,当然,第一欧氏距离也是加 密的,服务器也无法获知第一欧氏距离的具体结果,如此,可W防止服务器滥用用户的第一 生物特征模板向量,确保了匹配结果的安全性。 1 ] 另外,通过将第一生物特征模板向量存储在服务器中,与现有技术相比,避免了因 将第一生物特征模板向量存储在终端上易被恶意窃取的问题,服务器将计算得到的第一欧 氏距离发送至终端,通过终端对其进行同态解密得到第二欧氏距离,进而即可根据第二欧 氏距离确定第二生物特征信息与所述第一生物特征信息是否匹配,W确定身份认证是否成 功,即用于同态解密的预设密钥存储在终端中,服务器无法获知此预设密钥,进一步确保了 身份认证的安全性和可靠性。
[0012] 通过将生物识别技术与同态加密技术相结合,使服务器不需要解密就能进行正确 的生物特征信息匹配,并可W有效的避免现有技术中因将用户生物特征信息存储在终端上 易被恶意窃取的问题,实现了用户生物特征信息的安全储存,提高了基于生物特征信息的 身份认证的安全性和可靠性,从而提升了用户体验。
[0013] 在上述技术方案中,优选地,根据所述第二欧氏距离确定所述第二生物特征信息 与所述第一生物特征信息是否匹配,W确定身份认证是否成功,具体包括:判断所述第二欧 氏距离是否小于或等于预设距离;W及当判定所述第二欧氏距离小于或等于所述预设距离 时,所述第二生物特征信息与所述第一生物特征信息匹配成功,则身份认证成功;当判定所 述第二欧氏距离大于所述预设距离时,所述第二生物特征信息与所述第一生物特征信息匹 配失败,则身份认证失败。
[0014] 在该技术方案中,第二生物特征信息与所述第一生物特征信息是否匹配由第二欧 氏距离决定,通过判断第二欧氏距离与预设距离的大小即可确定其是否匹配,具体地,当判 定第二欧氏距离小于或等于预设距离时,第二生物特征信息与所述第一生物特征信息匹配 成功,则表明用户身份认证成功,否则,身份认证失败,如此,有效的避免了现有技术中因将 第一生物特征模板向量存储在终端上易被恶意窃取的问题,提高了基于生物特征信息的身 份认证的安全性和可靠性,从而提升了用户体验。其中,预设距离可W根据实际应用场景需 要测算出来。
[0015] 在上述技术方案中,优选地,所述第一生物特征信息和所述第二生物特征信息至 少包括W下之一或其组合:指纹图像信息、虹膜图像信息和人脸图像信息。
[0016] 在该技术方案中,第一生物特征信息和第二生物特征信息至少包含但不限于W下 之一或其组合:指纹图像信息、虹膜图像信息和人脸图像信息,即本方案可W基于不同的生 物特征信息实现,W使服务器不需要解密就能进行正确的生物特征信息匹配,并可W有效 的避免现有技术中因将第一生物特征模板向量存储在终端上易被恶意窃取的问题,进而提 高基于生物特征信息的身份认证的安全性和可靠性的效果,进一步提高了身份认证的适用 性。
[0017] 根据本发明的第二方面,提出了一种身份认证系统,用于终端,包括:采集模块,用 于采集预设用户的第一生物特征信息;加密模块,用于将所述第一生物特征信息的至少一 项第一属性信息W向量形式表示,并根据预设密钥对W向量形式表示的所述至少一项第一 属性信息进行同态加密处理,W生成第一生物特征向量;第一发送模块,用于将所述第一生 物特征向量发送至服务器,W供所述服务器将所述第一生物特征向量存储为第一生物特征 模板向量。
[0018] 在该技术方案中,首先进行第一生物特征模板向量的预存储过程,具体地,通过将 采集到的预设用户的第一生物特征信息中可供身份认证的第一属性信息W向量形式表示, 其中,可供身份认证的第一属性信息有一项或多项,而用向量形式表示每一项第一属性信 息,即可得到一个表示第一生物特征信息的向量组,根据存储的预设密钥对该向量组中的 每一个分向量进行同态加密,即可得到第一生物特征向量,然后将第一物特征向量发送至 服务器,由服务器将其存储为第一生物特征模板向量,其中,预设密钥可W是终端随机产生 的,也可W是根据用户实际需要设定的,最终存储在终端中,即将经过同态加密生成的第一 生物特征模板向量存储在服务器中,而用于解密的预设密钥存储在终端中,则服务器无法 获知此预设密钥,如此,通过将生物识别技术与同态加密技术相结合,使服务器不需要解密 就能进行正确的生物特征信息匹配,并可W有效的避免现有技术中因将用户生物特征信息 存储在终端上易被恶意窃取的问题,实现了用户生物特征信息的安全储存,提高了基于生 物特征信息的身份认证的安全性和可靠性,从而提升了用户体验。
[0019] 在上述技术方案中,优选地,所述采集模块还用于采集当前用户的第二生物特征 信息;所述加密模块还用于将所述第二生物特征信息的至少一项第二属性信息W向量形式 表示,并根据所述预设密钥对W向量形式表示的所述至少一项第二属性信息进行同态加密 处理,W生成第二生物特征向量;所述第一发送模块还用于将所述第二生物特征向量发送 至所述服务器,W供所述服务器根据所述第二生物特征向量与所述第一生物特征模板向量 生成第一欧氏距离;W及所述身份认证系统还包括:第一接收模块,用于接收来自所述服 务器的所述第一欧氏距离;解密模块,用于对所述第一欧氏距离进行同态解密处理得到第 二欧氏距离;判断模块,用于根据所述第二欧氏距离确定所述第二生物特征信息与所述第 一生物特征信息是否匹配,W确定身份认证是否成功。
[0020] 在该技术方案中,通过将采集到的当前用户的第二生物特征信息中可供身份认证 的第二属性信息W向量形式表示,其中,可供身份认证的第二属性信息有一项或多项,而用 向量形式表示每一项第二属性信息,即可得到一个表示第二生物特征信息的向量组,根据 预设密钥对该向量组中的每一个分向量进行同态加密,即可得到第二生物特征向量,然后 将第