利用生物特征进行身份认证的方法及系统的制作方法

专利名称：利用生物特征进行身份认证的方法及系统的制作方法
技术领域：
本发明涉及网络领域，尤其涉及一种利用生物识别技术进行网上身份认 证的方法及系统。
背景技术：
随着互联网上电子商务和电子政务的蓬勃发展，网上交易由于其交易成 本低、方便快捷等优点也得到了迅猛发展，同样网上电子政务由于其便利性 也发展迅猛，同时利用网上交易和网上政务工作的用户数量也急剧增加。然 而，网上交易或数据交换过程中的安全问题也日益凸现，它已成为阻碍网上 交易或网上政务发展的 一个主要瓶颈。这就造成大多数用户除了关注网络传 输的方便快捷外，更在意整个过程中安全的问题。特别是，当通信过程中童 要信息(如账号和密码)被泄漏或篡改时，极容易造成用户的财产损失。如何提 高网上数据传送过程的安全性？银行等处理平台通常采用身份认证来确认数 据通信的安全性，进而确保整个网上通信的安全性。
最原始的方式为"用户名+密码"的方式。处理平台上预先存储用户名与 密码的对应关系，当处理平台接收到用户端发出的包含用户名与密码的请求 时，对比所述密码与预先保存该用户名对应的密码，若符合，则通过身份认 证。这种方式极容易造成重要数据泄露。
为此，现有技术人员又提出了 一种利用数字签名技术进行数据通信的方 法。数字签名技术是一种用以保证信息完整性的安全技术。请参阅图1，其为 现有的利用数字签名技术进行数据通信的系统原理示意图。它包括发送端
101、接收端103以及CA中心(筌定中心)105。发送端101通过网络(如因 特网)连接接收端103和CA中心105。发送端101包括一台个人电脑。
请参阅图2,其为现有的利用数字签名技术进行数据通信的方法的流程示 意简图。其包括以下步骤
首先进行S201,发送端101获得数字证书。
S203:发送端101通常需要预先产生非对称的密钥对， 一为私钥， 一为与 私钥对应的公钥；
S205:发送端101利用公钥与用户信息等向CA中心105请求数字证书 的注册；
S207: CA中心105在确认其身份后，给发送端101发送数字证书。接着进行S209,在每一次网上交易时，接收端103和发送端101通过数 字证书来进行数据通信。
S211:发送端101用私钥对需要传送的信息进行签名加密； S213:发送端101将签名后的信息发送至接收端103; S215:接收端103接收到签名后的数据，到CA中心105上获得公钥； S217:接收端103用公钥解开私钥，验证签名，完成数据通信。 这种方式虽然在保证数据通信的安全性方面是一个突破，但是，这种方 式依然存在很大的安全隐患。如黑客可以无须攻破密码，而是将一个有效的 数字证书保存起来，然后等待一段时间后再重新发送这个数字证书来伪装成 用户端，达到重放攻击的目的，从而可以以用户端的名义与处理平台进行交 易。
为此，国家专利号为200410066343.4的发明专利公开了 一种抵御重放攻 击的生物认证装置和方法。此生物认证装置增加了系统独立的实时时钟模 块，并经由通信模块与外界发生通信联系。对时钟模块的设置和时间读取， 只能由包裹其外的数据加/解密模块，以密文的方式与上位机进行数据交互。
请参见图3,其为国家专利号为200410066343.4的发明专利的抵御重放 攻击的生物认证方法的流程图。
S301:生成带有时间信息的生物特征点信息。
S303:将生物特征点信息加密后通过公共网络上传到生物认证终端。 S305:生物认证终端判断其附带的时间信息是否在允许的范围之内。 S307:若不符合要求，则认证不通过。 S309:若符合要求，则进行生物认证。
此抵御重放攻击的生物认证装置和方法可以有效地抵御重放攻击，但其 仍有以下缺陷
仅对验证信息进行简单的加密后便在公共网络上进行传送，而在进行身份验 证时，黑客可以容易地通过互联网攻破密码。若密钥被攻破并修改，就能轻 易的对通信内容篡改，混乱了电子商务和电子政务的网上身份认证体系，也 会出现网上帐户资金被盗窃等事件。
另外，数字证书的私钥通常固定地存储在发送端的电脑或USB Key里， 容易在互联网上黑客攻破和盗用，直接引发私钥数据篡改的危险
发明内容
本发明的目的是提供一种利用生物特征进行身份认证的方法，它能在进 行网上身份验证时有效避免身份验证信息被黑客攻破，而达到安全通信的效果。
本发明的再一目的是提供一种利用生物特征进行身份认证的系统，它能 在进行网上身份验证时有效避免身份验证信息被黑客攻破，而达到安全通信 的效果。
本发明提供的第 一种利用生物特征进行身份认证的方法，包括以下步骤
(一) 用户通过注册端发起注册过程，所述注册端为设置在第三方的移动存 储装置或者直接为发送端；
生成一对公私密钥对，并在移动存储装置或发送端直接保存该公私密钥 乂于的私钥；
提取用户的生物特征点信息，并将该公私密钥对中的公钥、该生物特征 点信息以及该用户的个人注册信息上传至一CA中心；以及
该CA中心生成一生物特征数字证书后，将经过其签名的该生物特征数字 证书返回，保存在该移动存储装置或发送端；
(二) 用户将移动存储装置连接在发送端或直接通过发送端进行验证过程 该发送端和该接收端进行时间同步；
该移动存储装置或发送端将当前时间加载到该生物特征数字证书上，生 成带有 一 时间戳的该生物特征数字证书；
该移动存储装置或发送端用该公私密钥对中的私钥对该生物特征数字证 书进行加密后发送给该接收端；
该接收端用该公私密钥对中的公钥解密带有该时间戳的该生物特征数字 证书，获得该时间戳和该生物特征点信息；
当该接收端的当前时间与该时间戳的时间差值在预定的范围内，则进行 下一步骤；以及
该接收端验证该生物特征点信息，若通过验证，则该用户通过身份认证。 该接收端验证该生物特征点信息包括
Al、在注册过程预先将该生物特征点信息保存在该接收端；以及
A2、该接收端将解密该生物特征数字证书获得的该生物特征点信息和步 骤Al中预先保存的该生物特征点信息进行比对，若一致，则该用户通过身份认证。
该接收端验证该生物特征点信息包括
Bl、在验证过程中还包括该发送端将本端釆集到该用户的该生物特征点 信息利用安全通信协议预先发送至该接收端；以及
B2、该接收端将步骤Bl中接收到的该生物特征点信息和解密该生物特征 数字证书获得的该生物特征点信息进行比对，若一致，则用户通过身份认证。
上述流程还包括
该接收端直接从该CA中心下载该公私密钥对中的公钥；或者 该接收端接收该发送端利用安全通信协议发送的该公私密钥对中的公钥。
本发明提供第二种利用生物特征进行身份认证的方法，用以 一发送端与 一接收端的身份认证，包括以下步骤
(一) 需要认证的用户利用移动存储装置通过接收端发起注册过程 在移动存储装置中生成一对公私密钥对，保存该对公私密钥对中的私钥，
并将该公私密钥对的公钥发送至接收端；
接收端提取并在本端保存有该用户的生物特征点信息，将该公私密钥对 中的公钥、该生物特征点信息以及该用户的个人注册信息上传至一CA中心；
该CA中心生成一生物特征数字证书后，将经过该CA中心签名的该生物 特征数字证书传送至移动存储装置；
(二) 用户通过该移动存储装置连接至发送端来完成验证过程
移动存储装置用该公私密钥对中的私钥加密该生物特征数字证书，通过 发送端进行发送；
该接收端解密接收到的该生物特征数字证书，获得该生物特征点信息；
该接收端提取存储在本端的该生物特征点信息，与解密获得的该生物特 征点信息，若一致，则该用户通过认证。
上述方法还包括
发送端和该接收端进行时间同步；
该移动存储装置将当前时间加载到该生物特征数字证书上，生成的是带 有 一 时间戳的该生物特征数字证书；
该接收端用该公私密钥对中的公钥解密带有该时间戳的该生物特征数字证书后，从中获得该时间戳；
当该接收端的当前时间与该时间戳的时间差值不在预定的范围内，则该 用户的身份认证不通过。
本发明公开的第 一种利用生物特征进行身份认证的系统，包括发送端、
CA中心和接收端，其中， 该发送端包括
一用以建立与接收端、CA中心通信的第一通信单元； 一生物特征采集装置，用以采集需要认证用户的生物特征点信息； 一密钥产生单元，用以生成一对公私密钥对；
一第一存储器，用于以加密的方式存储该公私密钥对的私钥和由CA中心 返回的生物特征数字证书；
一第一处理器，其又包括
注册处理单元用于将采集到的用户的生物特征点信息、该公私密钥对 的公钥、用户的个人注册信息通过该第一通信单元发送至CA中心，并将CA 中心返回的生物特征数字证书保存到第 一存储器中；
时间处理单元用以同步该发送端与该接收端的时间；
加密单元用于将当前时间信息加载到生物特征数字证书，并利用公私 密钥中的私钥进行加密；
接收端，该接收端又进一步包括
一第二通信单元，用以与该发送端传送信息；以及
一第二处理器，该第二处理器又包括
第二时间处理单元，用以同步该发送端与该接收端的时间；
解密单元，用以用该公私密钥对中的公钥对接收到的数字包进行解密， 获得时间戳及该生物特征点信息；
验证单元，用以判断该生物特征数字证书中的该时间戳及该生物特征点 信息的有效性。
本发明公开第二种利用生物特征进行身份认证的系统，包括发送端、移 动存储装置、第三方和接收端，其中，
移动存储装置进一步包括
与发送端、第三方建立连接的通信接口；一密钥产生单元，用以生成一对公私密钥对；
第一存储器，用于以加密的方式存储该公私密钥对的私钥和由CA中心返 回的生物特征数字证书；
处理器至少包括加密单元用于将当前时间信息加载到生物特征数字证 书，并利用公私密钥中的私钥加密生物特征数字证书；
第三方，至少包括与移动存储装置和第三方进行通信的通信接口和处理 器，所述处理器至少包括注册处理单元用于将用户的生物特征点信息、该 公私密钥对的公钥、用户的个人注册信息发送至CA中心，并将CA中心返回 的生物特征数字证书保存到第 一存储器中；
发送端进一步包括分别与移动存储装置和接收端通信的通信接口 ； 接收端，该接收端又进一步包括 一第二通信单元，用以与该发送端传送信息；以及 一第二处理器，该第二处理器又包括
解密单元，用以用该公私密钥对中的公钥对接收到的数字包进行解密， 获得生物特征点；
验证单元，用以判断该生物特征数字证书中的该时间戳及该生物特征点 信息的有效性。
' 在所述移动存储装置中还包括用于采集用户生物特征点信息的生物特征 采集器；或者
在所述第三方和发送端各设置一用于采集用户生物特征点信息的生物特 征采集器。
本发明公开的第三种利用生物特征进行身份认证的系统，包括发送端、 移动存储装置、接收端，其中，
移动存储装置进一步包括
分别与发送端和接收端建立连接的通信接口 ；
一密钥产生单元，用以生成一对公私密钥对；
第一存储器，用于以加密的方式存储该公私密钥对的私钥和由CA中心返 回的生物特征数字证书；
处理器至少包括加密单元用于将当前时间信息加载到生物特征数字证 书，并利用公私密钥中的私钥加密生物特征数字证书；发送端进一步包括分别与移动存储装置和接收端通信的通信接口 ； 接收端，该接收端又进一步包括 一第二通信单元，用以与该发送端传送信息；以及 一第二处理器，该第二处理器又包括 .
注册处理单元用于将用户的生物特征点信息、该公私密钥对的公钥、 用户的个人注册信息发送至CA中心，并将CA中心返回的生物特征数字证书 保存到第 一存储器中和第二存储器；
注册处理单元用于将用户的生物特征点信息、该公私密钥对的公钥、 用户的个人注册信息发送至CA中心，并接收由CA中心返回的生物特征数字 证书，将用户的生物特征数字证书存储至移动存储装置；
保存处理单元，用于将该公私密钥对的公钥保存在本端；
验证单元，用以判断该生物特征数字证书中的该时间戳有效性，以及判 断该生物特征数字证书中该生物特征点信息与第二存储器中的生物特征点信 息是否一致，进而验证用户身份的有效性。
与现有技术相比，本发明具有以下技术效果
第一，本发明将生物特征识别技术引入到普通的数字证书中，用具有稳 定性、可靠性和唯一性的生物特征标识大大提高了数字证书的安全性。
第二，本发明在数字证书中还引入了时间戳，局限了数字证书在网络上 传输的时间，从而有效避免了黑客采用如重放攻击等利用时间差的手段来伪 装成发送端，而篡改数字证书的危险发生，使身份认证更准确。
第三，将生物特征识别的过程，由安全设施简单的零散客户端转移到注 册端或第三方，由客户端或第三方集中进行生物特征的保存和识别步骤，增 加安全性和准确性。


图1为现有的利用数字签名技术进行数据通信的系统原理示意图2为现有的利用数字签名技术进行数据通信的方法的流程示意简图3为国家专利号为200410066343.4的发明专利的抵御重放攻击的生物
认证方法的流程图4为本发明实施例的第一种利用生物特征进行身份认证的系统结构示
意图；图5为本发明实施例的第一种生物特征进行身份认证的方法流程示意图； 图6为本发明实施例的第二种利用生物特征进行身份认证的系统结构示 意图7为本发明实施例的一种利用生物特征进行身份认证的方法的注册流 程图8为本发明实施例的一种利用生物特征进行身份认证的方法的同步时 间流程图9为本发明实施例的一种利用生物特征进行身份认证的方法的身份验 证流程图10为本发明实施例的第三种利用生物特征进行身份认证的系统结构示 意图11为本发明实施例的第三种生物特征进行身份认证的方法流程示意图。
具体实施例方式
以下结合附图，具体说明本发明。
本发明的重要思路在于，本发明在数字证书的生成过程中加载用户的生 物特征点信息如此，在认证过程中，可以通过认证生物特征点信息来完成对 用户的身份认证。基于上述的原则，本发明可以细分为下述三种情况
第 一种情况为，用户通过移动存储装置在第三方上完成用户的注册过程， 在认证时，用户通过移动存储装置在发送端上完成接收端对用户的认证；
第二种情况为，用户直接在发送端完成用户的注册过程，在认证时，用 户在接收端完成对发送端用户的认证；
第三种情况为，用户通过移动存储装置在接收端完成用户的注册过程， 在认证时，用户通过移动存储装置在发送端上完成接收端对用户的认证。 以下具体说明上述三种情况的认证结构和认证过程。
请参阅图4 ,其为本发明第一种利用生物特征信息进行身份认证系统的 结构示意图。它包括移动存储装置430、第三方420、 CA中心410、发送端 440和接收端450,其中，移动存储装置430进一步包括
与发送端440、第三方420建立连接的通信接口；
一密钥产生单元，用以生成一对公私密钥对；
第一存储器，用于以加密的方式存储该公私密钥对的私钥和由CA中心410返回的生物特征数字证书；
处理器，至少包括加密单元用于利用公私密钥中的私钥加密生物特征 数字证书。
密钥产生单元可以采用单独的硬件来实现，也可以作为软件集成在处理 器。另外，在移动存储装置中还可以包括用于采集用户的生物特征信息(如 指紋信息)的生物特征采集器，如果生物特征采集器不设置在移动存储装置 430中，则第三方420上设置有生物特征采集器。在验证过程中，若接收端 450未保存有注册过程中用户的生物特征信息时，则发送端440上还需要设置 用于采集用户生物特征信息的生物特征采集器。移动存储装置430可以为移 动USBKey。
第三方420，除了接收用户输入用于注册的用户个人信息的输入设备和输 出设备之外，至少还包括与移动存储装置430、 CA中心410进行通信的通信 接口 421和处理器，所述处理器至少包括注册处理单元用于将用户的生物 特征点信息、该公私密钥对的公钥、用户的个人注册信息发送至CA中心410, 并将CA中心410返回的生物特征数字证书传送到移动存储装置430。
发送端440进一步包括分别与移动存储装置430和接收端450通信的通 信接口。当认证过程中还需要进行时间戳认证时，发送端440还需要包括用 于完成发送端440和接收端450之间时间同步的时间同步处理单元，通常是 由发送端440的处理器来完成的，时间同步处理单元在进行身份认证之前， 预先将当前时间传送到移动存储装置430,以使其生成带有时间戳的生物特征 数字证书。
接收端450，该接收端450又进一步包括 一第二通信单元，用以与该发送端440传送信息；以及 一第二处理器，该第二处理器又包括
解密单元，用以用该公私密钥对中的公钥对接收到的数字包进行解密，
获得生物特征点信息；
验证单元，用以判断该生物特征数字证书中的该生物特征点信息有效性。 基于上述公开的系统结构，请参阅图5，本发明提供了一种利用生物特
征进行身份认证的方法的流程包括以下步骤
(一)用户通过注册端发起注册过程，所述注册端为设置在第三方的移动存 储装置；S410:生成一对公私密钥对，并在移动存储装置直接保存该公钥密钥的私
钥；
S420:提取用户的生物特征点信息，并将该公私密钥对中的公钥、该生物 特征点信息以及该用户的个人注册信息上传至一 CA中心；以及
S430: CA中心按照现有的生成算法生成生物特征数字证书，再将经过其 签名的该生物特征数字证书返回，保存在该移动存储装置；
(二)用户将移动存储装置连接在发送端或直接通过发送端进行验证过程 S440:该发送端和该接收端进行时间同步；
S450:该移动存储装置接收到发送端发送的当前时间，将当前时间加载到 该生物特征数字证书上，生成带有一时间戳的该生物特征数字证书；
S460:该移动存储装置用该公私密钥对中的私钥对该生物特征数字证书进 行加密后通过发送端发送给该接收端； '
S470:该接收端用该公私密钥对中的公钥解密带有该时间戳的该生物特征 数字证书，获得该时间戳和该生物特征点信息；
S480:当该接收端的当前时间与该时间戳的时间差值在预定的范围内，则 进行下一步骤；以及
S490:该接收端验证该生物特征点信息，若通过验证，则该用户通过身份 认证。
该接收端验证该生物特征点信息包括
Al、在注册过程预先将该生物特征点信息保存在该接收端；以及
A2、该接收端将解密该生物特征数字证书获得的该生物特征点信息和步 骤Al中预先保存的该生物特征点信息进行比对，若一致，则该用户通过身份 认证。
该接收端验证该生物特征点信息还可以通过以下步骤来实现
B1 、在验证过程中还包括该发送端将本端采集到该用户的该生物特征点
信息利用安全通信协议预先发送至该接收端；以及
B2、该接收端将步骤Bl中接收到的该生物特征点信息和解密该生物特征
数字证书获得的该生物特征点信息进行比对，若一致，则用户通过身份认证。 该接收端可以直接从该CA中心下载该公私密钥对中的公钥；或者 该接收端接收该发送端利用安全通信协议发送的该公私密钥对中的公钥。
请参阅图6 ，其为本发明第二种利用生物特征信息进行身份认证系统的 结构示意图。它包括CA中心510、发送端520和接收端530,其中， 该发送端520包括
一用以建立与接收端530、 CA中心510通信的第一通信单元； 一生物特征采集装置，用以采集需要认证用户的生物特征点信息； 一密钥产生单元，用以生成一对公私密钥对；
第一存储器，用于以加密的方式存储该公私密钥对的私钥和由CA中心返 回的生物特征数字证书；
一第一处理器，其又包括
注册处理单元用于将采集到的用户的生物特征点信息、该公私密钥对 的公钥、用户的个人注册信息通过该第一通信单元发送至CA中心510,并将 CA中心510返回的生物特征数字证书保存到第一存储器中；
时间处理单元用以同步该发送端与该接收端的时间；
加密单元用于将当前时间信息加载到生物特征数字证书，并利用公私密 钥中的私钥加密生物特征数字证书；
接收端530，该接收端又进一步包括
一第二通信单元，用以与该发送端传送信息；以及
一第二处理器，该第二处理器又包括
第二时间处理单元，用以同步该发送端与该接收端的时间；
解密单元，用以用该公私密钥对中的公钥对接收到的数字包进行解密， 获得时间戳及该生物特征点信息；
验证单元，用以判断该生物特征数字证书中的该时间戳有效性，以及判 断该生物特征数字证书中该生物特征点信息与第二存储器中的生物特征点信 息是否一致，进而验证用户身份的有效性。 '
请参见图7，其为本发明实施例的一种利用生物特征进行身份认证的方法 的注册流程图。
注册生物特征数字证书时可以在个人电脑上设置生物特征采集装置后通 过网络完成，生物特征采集装置可以通过USB接口外接于个人电脑。若接收 端为银行、证券公司营业点或其它大型电子交易平台，也可以通过直接去营业点经内部经拒员帮助进行注册。
S701:输入个人注册信息。个人注册信息包括注册端的个人基本信息， 用以显示注册端使用者的身份。
S703:釆集生物特征点信息。通过在电脑上连接采集生物特征采集装置 来采集生物特征点信息，生物特征包括指紋、虹膜、掌紋、面像，采集生物 特征点信息时，可以先采集其图像，在所采集的图像基础上进行部分特征要 点的提取数据。
S705:产生密钥对。密钥对是通过软件计算生成的，用以签名加密和解 密，具有公钥和私钥，公钥与私钥相对应，如使用私钥加密时只能使用公钥
进行解密。
S707:将公钥、生物特征点信息及个人注册信息发送至CA中心。
S709:生成生物特征数字证书。CA中心对接收到的信息作以公证，确认 合格后作成生物特征数字证书，并对生物特征数字证书加以签字，以标明数 字证书的注册内容合格、时间有效等相关信息。
S711:保存生物特征数字证书。注册端(本实例中注册端为发送端)接收 CA中心生成的生物特征数字证书，并保存在注册端。生物特征数字证书可以 保存在电脑硬盘中。
因本发明在数字证书中加入了时间戳，因此在身份验证前需要设置发送 端或接收端的系统时间，保持发送端与接收端的时间同步。
请参见图8,其为本发明实施例的一种利用生物特征进行身份认证的方法 的同步时间流程图。
S801:发送端接受身份认证申请后向接收端提交时间同步申请。 S803:接收端将加密后的本端系统时间信息发送给发送端。
S805:发送端对系统时间信息进行解密并根据系统时间信息设置本方时 间，使发送端与接收端的时间相同。除了根据接收端的系统时间来设置发送 端的时间外，也可以根据发送端的系统时间来设置接收端的时间。
请参见图9，其为本发明实施例的一种利用生物特征进行身份认证的方法 的身份验证流程图。
S901:发送端提取本端时间戳，并加载到生物特征数字证书中。
S903:发送端用私钥对生物特征数字证书进行签名加密，并发送给接收 端。此时发送端向接收端发送的生物特征数字证书包括四个部分，即生物特征点信息、个人注册信息、时间戳以及CA中心的签名。
S905:接收端用公钥对生物特征数字证书解密。公钥可以从CA中心下 载，也可以由发送端事先通过安全通信协议连同本端采集到的用户生物特征 信息发送给接收端。
S907:验证生物特征数字证书的有效性。接收端验证生物特征数字证书 的有效性时需要验证其中的时间戳及生物特征点信息的有效性。在验证时间 戳时，首先读取生物特征数字证书中时间戳的时间，再算出时间戳的时间与 接收端接收到生物特征数字证书的时间的差值，然后将此差值与预先设置的 一个有效时间范围来比对，若差值在有效时间范围内，则说明时间戳有效， 若差值不在有效时间范围内，说明时间戳无效。验证生物特征点信息时，将 生物特征数字证书中提取出的生物特征点信息或由发送端通过安全通信协议 发送给接收端的生物特征点信息进行比对，判断两者是否符合，若符合则说 明生物特征点信息有效，若不符合则说明生物特征点信息无效。当时间戳及 生物特征点信息都有效时，接收端才可以确定生物特征数字证书有效而使发 送端通过身份验证。若时间戳与生物特征点信息有一个为无效，则接收端认 为生物特征数字证书无效。
本发明将生物特征识别技术引入到普通的数字证书中，用具有稳定性、 可靠性和唯一性的生物特征标识大大提高了数字证书的安全性。且本发明在 数字证书中还引入了时间戳，局限了数字证书在网络上传输的时间，从而有 效避免了黑客采用如重放攻击等利用时间差的手段来伪装成发送端，而篡改 数字证书的危险发生，使身份认证更准确安全。
请参阅图10，其为一种利用生物特征进行身份认证的系统的结构原理图， 它包括发送端610、移动存储装置620、接收端630和CA中心640其中，
移动存储装置620进一步包括
分别与发送端610和接收端630建立连接的通信接口 ； 一密钥产生单元，用以生成一对公私密钥对；
第一存储器，用于以加密的方式存储该公私密钥对的私钥和由CA中心返 回的生物特征数字证书；
处理器，至少包括加密单元用于将当前时间信息加载到生物特征数字 证书，并利用公私密钥中的私钥加密生物特征数字证书；
发送端610进一步包括分别与移动存储装置620和接收端630通信的通信接口 ；
接收端630,该接收端630又进一步包括 一第二通信单元，用以与该发送端610传送信息；以及 一第二处理器，该第二处理器又包括
注册处理单元用于将用户的生物特征点信息、该公私密钥对的公钥、 用户的个人注册信息发送至CA中心，并接收由CA中心返回的生物特征数字 证书，将用户的生物特征数字证书存储至移动存储装置；
保存处理单元，用于将该公私密钥对的公钥保存在本端；
解密单元，用以用该公私密钥对中的公钥对接收到的数字包进行解密，
获得生物特征点信息；
验证单元，用以判断该生物特征数字证书中的该时间戳有效性，以及判
断该生物特征数字证书中该生物特征点信息与第二存储器中的生物特征点信
息是否一致，进而验证用户身份的有效性。
请参阅图11,其为第三种利用生物特征进行身份认证的方法的流程图。 它用以 一发送端与 一接收端的身份认证，包括以下步骤
(一) 需要认证的用户利用移动存储装置通过接收端发起注册过程
S21 :在移动存储装置中生成一对公私密钥对，保存该对公私密钥对中的私 钥，并将该公私密钥对的公钥发送至接收端；
S22:接收端提取并在本端保存有该用户的生物特征点信息，将该公私密钥 对中的公钥、该生物特征点信息以及该用户的个人注册信息上传至一 CA中
S23:该CA中心生成一生物特征数字证书后，将经过该CA中心签名的该 生物特征数字证书传送至移动存储装置；
(二) 用户通过该移动存储装置连接至发送端来完成验证过程
S24:移动存储装置用该公私密钥对中的私钥加密该生物特征数字证书，通 过发送端进行发送；
S25:该接收端解密接收到的该生物特征数字证书，获得该生物特征点信
,&，
S26:该接收端提取存储在本端的该生物特征点信息，与解密获得的该生物 特征点信息，若一致，则该用户通过认证。本方法还包括
发送端和该接收端进行时间同步；
该移动存储装置将当前时间加载到该生物特征数字证书上，生成的是带 有 一 时间戳的该生物特征数字证书；
该接收端用该公私密钥对中的公钥解密带有该时间戳的该生物特征数字 证书后，从中获得该时间戳；
当该接收端的当前时间与该时间戳的时间差值不在预定的范围内，则该 用户的身份认证不通过。
本发明主要适用于通信过程中的身份认证，应用于网上交易、网上办公 等场合，有广泛的应用前景。
以上公开的仅为本发明的几个具体实施例，但本发明并非局限于此，任 何本领域的技术人员能思之的变化，都应落在本发明的保护范围内。
权利要求
1、一种利用生物特征进行身份认证的方法，其特征在于，包括以下步骤(一)用户通过注册端发起注册过程，所述注册端为设置在第三方的移动存储装置或者直接为发送端；生成一对公私密钥对，并在移动存储装置或发送端直接保存该公私密钥对的私钥；提取用户的生物特征点信息，并将该公私密钥对中的公钥、该生物特征点信息以及该用户的个人注册信息上传至一CA中心；以及该CA中心生成一生物特征数字证书后，将经过其签名的该生物特征数字证书返回，保存在该移动存储装置或发送端；(二)用户将移动存储装置连接在发送端或直接通过发送端进行验证过程该发送端和该接收端进行时间同步；该移动存储装置或发送端将当前时间加载到该生物特征数字证书上，生成带有一时间戳的该生物特征数字证书；该移动存储装置或发送端用该公私密钥对中的私钥对该生物特征数字证书进行加密后发送给该接收端；该接收端用该公私密钥对中的公钥解密带有该时间戳的该生物特征数字证书，获得该时间戳和该生物特征点信息；当该接收端的当前时间与该时间戳的时间差值在预定的范围内，则进行下一步骤；以及该接收端验证该生物特征点信息，若通过验证，则该用户通过身份认证。
2、 如权利要求1所述的利用生物特征进行身份认证的方法，其特征在于， 该接收端验证该生物特征点信息包括Al、在注册过程预先将该生物特征点信息保存在该接收端；以及A2 、该接收端将解密该生物特征数字证书获得的该生物特征点信息和步 骤A1中预先保存的该生物特征点信息进行比对，若一致，则该用户通过身份 认证。
3、 如权利要求1所述的利用生物特征进行身份认证的方法，其特征在于，该接收端验证该生物特征点信息包括Bl、在-睑证过程中还包括该发送端将本端采集到该用户的该生物特征点 信息利用安全通信协议预先发送至该接收端；以及B2、该接收端将步骤Bl中接收到的该生物特征点信息和解密该生物特征 数字证书获得的该生物特征点信息进行比对，若一致，则用户通过身份认证。
4、 如权利要求1所述的利用生物特征进行身份认证的方法，其特征在于， 还包括该接收端直接/人该CA中心下载该公私密钥对中的公钥；或者 该接收端接收该发送端利用安全通信协议发送的该公私密钥对中的公钥。
5 、 一种利用生物特征进行身份认证的方法，用以 一发送端与 一接收端 的身份认证，其特征在于，包括以下步骤(一) 需要认证的用户利用移动存储装置通过接收端发起注册过程在移动存储装置中生成一对公私密钥对，保存该对公私密钥对中的私钥， 并将该公私密钥对的公钥发送至接收端；接收端提取并在本端保存有该用户的生物特征点信息，将该公私密钥对 中的公钥、该生物特征点信息以及该用户的个人注册信息上传至一CA中心；该CA中心生成一生物特征数字证书后，将经过该CA中心签名的该生物 特征数字证书传送至移动存储装置；(二) 用户通过该移动存储装置连接至发送端来完成验证过程移动存储装置用该公私密钥对中的私钥加密该生物特征数字证书，通过 发送端进行发送；该接收端解密接收到的该生物特征数字证书，获得该生物特征点信息；该接收端提取存储在本端的该生物特征点信息，与解密获得的该生物特 征点信息，若一致，则该用户通过认证。
6、如权利要求5所述的利用生物特征进行身份认证的方法，其特征在于， 还包括发送端和该接收端进行时间同步；该移动存储装置将当前时间加载到该生物特征数字证书上，生成的是带有 一 时间戳的该生物特征数字证书；该接收端用该公私密钥对中的公钥解密带有该时间戳的该生物特征数字 证书后，从中获得该时间戳；当该接收端的当前时间与该时间戳的时间差值不在预定的范围内，则该 用户的身份认证不通过。
7、 一种利用生物特征进行身份认证的系统，其特征在于，包括发送端、 CA中心和接收端，其中，该发送端包括一用以建立与接收端、CA中心通信的第一通信单元； 一生物特征釆集装置，用以采集需要认证用户的生物特征点信息； 一密钥产生单元，用以生成一对公私密钥对；一第一存储器，用于以加密的方式存储该公私密钥对的私钥和由CA中心 返回的生物特征数字证书；一第一处理器，其又包括注册处理单元用于将采集到的用户的生物特征点信息、该公私密钥对 的公钥、用户的个人注册信息通过该第一通信单元发送至CA中心，并将CA 中心返回的生物特征数字证书保存到第 一存储器中；时间处理单元用以同步该发送端与该接收端的时间；加密单元用于将当前时间信息加载到生物特征数字证书，并利用公私 密钥中的私钥进行加密；接收端，该接收端又进一步包括一第二通信单元，用以与该发送端传送信息；以及一第二处理器，该第二处理器又包括第二时间处理单元，用以同步该发送端与该接收端的时间；解密单元，用以用该公私密钥对中的公钥对接收到的数字包进行解密，获得时间戳及该生物特征点信息；验证单元，用以判断该生物特征数字证书中的该时间戳及该生物特征点 信息有效性。
8、 一种利用生物特征进行身份认证的系统，其特征在于，包括发送端、 移动存储装置、第三方和接收端，其中，移动存储装置进一步包括与发送端、第三方建立连接的通信接口；一密钥产生单元，用以生成一对公私密钥对；第一存储器，用于以加密的方式存储该公私密钥对的私钥和由CA中心返 回的生物特征数字证书；处理器至少包括加密单元用于将当前时间信息加载到生物特征数字证 书，并利用公私密钥中的私钥加密生物特征数字证书；第三方，至少包括与移动存储装置和第三方进行通信的通信接口和处理 器，所述处理器至少包括注册处理单元用于将用户的生物特征点信息、该 公私密钥对的公钥、用户的个人注册信息发送至CA中心，并将CA中心返回 的生物特征数字证书保存到第 一存储器中；发送端进一步包括分别与移动存储装置和接收端通信的通信接口；接收端，该接收端又进一步包括一第二通信单元，用以与该发送端传送信息；以及一第二处理器，该第二处理器又包括解密单元，用以用该公私密钥对中的公钥对接收到的数字包进行解密， 获得生物特征点；验证单元，用以判断该生物特征数字证书中的该时间戳及该生物特征点 信息的有效性。
9、如权利要求8所述的生物特征进行身份认证的系统，其特征在于， 在所述移动存储装置中还包括用于采集用户生物特征点信息的生物特征采集在所述第三方和发送端各设置一用于采集用户生物特征点信息的生物特征采集器。
10、 一种利用生物特征进行身份认证的系统，其特征在于，包括发送端、 移动存储装置、接收端，其中，移动存储装置进一步包括 分别与发送端和接收端建立连接的通信接口 ； 一密钥产生单元，用以生成一对公私密钥对；第一存储器，用于以加密的方式存储该公私密钥对的私钥和由CA中心返 回的生物特征数字证书；处理器至少包括加密单元用于将当前时间信息加载到生物特征数字证 书，并利用公私密钥中的私钥加密生物特征数字证书；发送端进一步包括分别与移动存储装置和接收端通信的通信接口 ；接收端，该接收端又进一步包括一第二通信单元，用以与该发送端传送信息；以及一第二处理器，该第二处理器又包括注册处理单元用于将用户的生物特征点信息、该公私密钥对的公钥、 用户的个人注册信息发送至CA中心，并接收由CA中心返回的生物特征数字 证书，将用户的生物特征数字证书存储至移动存储装置；保存处理单元，用于将该公私密钥对的公钥保存在本端；解密单元，用以用该公私密钥对中的公钥对接收到的数字包进行解密， 获得生物特征点信息；验证单元，用以判断该生物特征数字证书中的该时间戳有效性，以及判 断该生物特征数字证书中该生物特征点信息与第二存储器中的生物特征点信 息是否一致，进而验证用户身份的有效性。
全文摘要
本发明提出一种利用生物特征进行身份认证的方法，包括以下步骤首先，发送端生成生物特征数字证书。生物特征数字证书的生成包括先产生一对公私密钥对，提取生物特征点信息，再将公私密钥对中的公钥、生物特征点信息及个人注册信息发送至CA中心，后由CA中心签名并生成生物特征数字证书。其次，同步通信双方的时间。接着在通信时，提取发送端当前的时间戳，将时间戳加载到生物特征数字证书中，并用与公钥对应的私钥对生物特征数字证书进行签名后发送给接收端。最后，接收端用公钥对生物特征数字证书进行解密，并根据生物特征数字证书中的时间戳及生物特征点信息判断是否通过身份验证。本发明使身份认证更安全可靠。
文档编号H04L9/30GK101442407SQ200710170810
公开日2009年5月27日 申请日期2007年11月22日 优先权日2007年11月22日
发明者健 李, 敏 梁, 王从俊, 蒋文琦 申请人:杭州中正生物认证技术有限公司