一种生物特征认证系统及生物特征认证方法

本发明涉及生物特征识别和密码技术领域，具体涉及一种生物特征认证系统及生 物特征认证方法。

生物特征即一个人固有的生理或行为特征，比如指纹，虹膜，人脸，指静脉和掌纹 等。生物特征有一定的唯一性和稳定性，即任何两个人的某种生物特征之间的差异比较大， 每个人的生物特征一般不会随着时间发生巨大的变化。这使得生物特征很适合作为身份认 证和识别系统中的认证信息。相比较传统认证和识别系统中的口令、令牌等认证信息，生物 特征具有不会遗忘、不会丢失、不易窃取、不能共享等优点，基于生物特征的认证和识别系 统可以提供更好的用户易用性、更高的安全性，因此开始得到越来越广泛的应用，比如指纹 已经广泛应用于门禁、考勤等系统。

然而生物特征的广泛应用也给个人隐私和安全性带来隐患。同一个生物特征模板 应用于不同的系统时，可以通过比对系统中存储的生物特征模板到共同的注册用户，但 若是系统中存储的生物特征模板泄露或遗失，使用该生物特征模板可以轻易实现在任何采 用生物特征作为认证信息的系统中冒充用户本人，从而给用户的个人隐私安全和账号安全 带来极大的隐患。

传统的生物识别认证技术在应用方面暴露出较多的问题，具体如下：

其一，安全性问题。注册时，需要将用户的生物特征模板(或样本)存储在数据库， 这样会来带两方面缺点：

①无论用于存储个人生物特征模板(或样本)的数据库是用于行业应用还是普通 商用，用户对于个人隐私信息的被动采集和存储会随着社会发展越来越敏感，同时也为智 能化发展埋下政策隐患。

②无论用于存储个人生物特征模板(或样本)的数据库是建在后台服务器，还是在 建在终端设备，都面临着被窃取的问题，尤其是易丢失的终端设备。那么，用户的生物特征 模板(或样本)被窃取后，就可能被他人逆向破解生物特征，从而非法使用，造成隐私泄露、 财产损失、安全威胁等不可估量的后果。

其二，鲁棒性问题。生物识别认证技术在未来普及化和多模态发展的大趋势下，对 部署应用的鲁棒性要求越来越高，传统生物识别认证技术的应用在鲁棒性上将面临以下问 题：

①当用户基数较大时，用户模板(或样本)数据量庞大。一方面，大大增加了存储模 板(或样本)数据和维护模板(或样本)数据的难度；另一方面，在认证环节，需要对存储在数 据库中的所有模板进行一一比对，这必然面临着巨大的计算复杂度，较低的认证效率在所 难免，同时，也大大增加了认证设备的部署成本和运维开销。

②随着生物特征认证技术的发展，采用多模态的生物特征进行认证成为未来发展 大趋势，一旦采用多模态的生物特征进行认证而没有一个归一量化的方式，需面临巨大的 计算复杂度，既不利于提高认证设备认证的效率，也不利于多模态生物识别认证的普及化 应用。

③各类生物识别认证应用采集的生物特征的类别不同，可以为指纹、人脸、虹膜、 指静脉等的一种或多种；同时，各类生物识别认证应用采用生物特征模板获取模板(或样 本)特征序列的方式不一样，决定了各种生物识别认证应用中的算法千差万别，也就决定了 各类生物特征序列的数据类型繁杂，在数据量庞大的基础上更加增大了计算复杂难度，降 低了识别效率，同时不利于生物识别认证应用的统一化及普及化。

针对现有技术中存在的缺陷，本发明的目的在于提供一种生物特征认证系统及生 物特征认证方法，无需存储个人生物特征信息，有效避免了个人生物特征信息泄露的安全 隐患。

为达到以上目的，本发明采取的技术方案是：一种生物特征认证系统，包括：

生物特征采集设备，其用于采集用户生物特征数据，所述生物特征包括用户申请 注册时采集的第一特征数据和用户申请认证时采集的第二特征数据；

口令生成设备，在用户申请注册时，其用于使用第一特征数据和一个常量共同生 成第一特征值，并使用第一特征值和用户口令生成注册安全口令；在用户申请认证时，其使 用第二特征数据和生成第一特征值所用的常量共同生成第二特征值，并使用第二特征值和 用户口令生成认证安全口令；

授权认证设备，其用于接受用户的注册申请并生成用户ID；在本地或远程服务器 中存储注册安全口令和用户ID；接受用户的认证申请并获取用户ID；比对该用户ID对应的 注册安全口令和认证安全口令是否一致，若一致则对该用户ID通过授权。

在上述技术方案的基础上，所述口令生成设备包括生物特征处理器和口令放大 器，其中：

所述生物特征处理器用于在用户申请注册时，使用第一特征数据和一个常量共同 生成第一特征值；在用户申请认证时，其使用第二特征数据和生成第一特征值所用的常量 共同生成第二特征值；

所述口令放大器用于在用户申请注册时，使用第一特征值和用户口令生成注册安 全口令；在用户申请认证时，使用第二特征值和用户口令生成认证安全口令。

在上述技术方案的基础上，所述生物特征数据包括指纹信息，虹膜信息，人脸信 息，指静脉信息、掌纹信息、掌静脉信息、巩膜信息、步态信息、声纹信息中的一种、多种或多 种形成的组合。

在上述技术方案的基础上，所述常量为用户ID、设备ID或一个常数。

在上述技术方案的基础上，所述用户口令为用户密码、身份证、电话号码或用户ID 的加权值。

本发明还公开了一种生物特征认证方法，在用户申请注册时和用户申请认证时使 用生物特征采集设备采集生物特征数据并将生物特征数据输入口令生成设备分别生成注 册安全口令和认证安全口令；使用授权认证设备在本地或远程服务器中存储注册安全口令 和用户ID；使用授权认证设备比对该用户ID对应的注册安全口令和认证安全口令是否一 致，若一致则对该用户ID通过授权。

在上述技术方案的基础上，包括以下步骤：

S1，使用授权认证设备接受用户的注册申请并生成用户ID；

S2，使用生物特征采集设备采集第一特征数据；

S3，使用生物特征处理器将第一特征数据和一个常量共同生成第一特征值R；

S4，使用口令放大器将生物特征处理器生成的第一特征值R和用户口令生成注册 安全口令h；

S5，使用授权认证设备在本地或远程服务器中存储注册安全口令和用户ID；

S6，使用授权认证设备接受用户的认证申请并获取用户ID；

S7，使用生物特征采集设备采集第二特征数据；

S8，使用生物特征处理器将第二特征数据和生成第一特征值所用的常量共同生成 第二特征值R’；

S9，使用口令放大器将生物特征处理器生成的第二特征值R’和用户口令生成认证 安全口令h’；

S10，使用授权认证设备比对该用户ID对应的注册安全口令和认证安全口令是否 一致；若一致，通过授权；若不一致，返回不通过授权。

在上述技术方案的基础上，所述生物特征数据包括指纹信息，虹膜信息，人脸信 息，指静脉信息、掌纹信息、掌静脉信息、巩膜信息、步态信息、声纹信息中的一种、多种或多 种形成的组合。

在上述技术方案的基础上，所述常量为用户ID、设备ID或一个常数。

在上述技术方案的基础上，所述用户口令为用户密码或用户ID的加权值。

与现有技术相比，本发明的优点在于：

本发明在用户申请注册时和用户申请认证时使用生物特征采集设备采集生物特 征数据并将生物特征数据输入口令分别生成设备生成注册安全口令和认证安全口令；使用 授权认证设备在本地或远程服务器中存储注册安全口令和用户ID；并比对该用户ID对应的 注册安全口令和认证安全口令是否一致来进行授权认证。采用本发明无需存储个人生物特 征信息，只需存储口令生成装置利用生物特征信息生成的安全口令，从而有效避免了个人 生物特征信息泄露的安全隐患。

图1为本发明实施例中生物特征认证系统的结构示意图；

图2为本发明实施例中生物特征认证方法的流程示意图。

以下结合附图及实施例对本发明作进一步详细说明。

参见图1所示，本发明实施例提供一种生物特征认证系统，包括：生物特征采集设 备，其用于采集用户生物特征数据，生物特征包括用户申请注册时采集的第一特征数据和 用户申请认证时采集的第二特征数据。

口令生成设备，在用户申请注册时，其使用第一特征数据和一个常量共同生成第 一特征值，并使用第一特征值和用户口令生成注册安全口令；在用户申请认证时，其使用第 二特征数据和生成第一特征值所用的常量共同生成第二特征值，并使用第二特征值和用户 口令生成认证安全口令。

授权认证设备，其用于接受用户的注册申请并生成用户ID；在本地或远程服务器 中存储注册安全口令和用户ID；接受用户的认证申请并获取用户ID；比对该用户ID对应的 注册安全口令和认证安全口令是否一致，若一致则对该用户ID通过授权。

生物特征处理器用于在用户申请注册时，使用第一特征数据和一个常量共同生成 第一特征值；在用户申请认证时，其使用第二特征数据和生成第一特征值所用的常量共同 生成第二特征值。

口令放大器用于在用户申请注册时，使用第一特征值和用户口令生成注册安全口 令；在用户申请认证时，使用第二特征值和用户口令生成认证安全口令。

生物特征数据包括指纹信息，虹膜信息，人脸信息，指静脉信息、掌纹信息、掌静脉 信息、巩膜信息、步态信息、声纹信息中的一种、多种或多种形成的组合。常量为用户ID、设 备ID或一个常数。用户口令为用户密码或用户ID的加权值。授权认证设备还用于在注册安 全口令和认证安全口令不一致时，终止认证，锁定用户ID。

本发明在用户申请注册时和用户申请认证时使用生物特征采集设备采集生物特 征数据并将生物特征数据输入口令生成设备分别生成注册安全口令和认证安全口令；使用 授权认证设备在本地或远程服务器中存储注册安全口令和用户ID；再使用授权认证设备比 对该用户ID对应的注册安全口令和认证安全口令是否一致来进行授权认证。采用本发明无 需存储个人生物特征信息，只需存储口令生成装置利用生物特征信息生成的安全口令，从 而有效避免了个人生物特征信息泄露的安全隐患。

参见图2所示，本发明还公开了一种生物特征认证方法，在用户申请注册时和用户 申请认证时使用生物特征采集设备采集生物特征数据并将生物特征数据输入口令生成设 备分别生成注册安全口令和认证安全口令；使用授权认证设备在本地或远程服务器中存储 注册安全口令和用户ID；使用授权认证设备比对该用户ID对应的注册安全口令和认证安全 口令是否一致，若一致则对该用户ID通过授权。

包括以下步骤：

S1，使用授权认证设备接受用户的注册申请并生成用户ID；

S2，使用生物特征采集设备采集第一特征数据；

S3，使用生物特征处理器将第一特征数据和一个常量共同生成第一特征值R；

S4，使用口令放大器将生物特征处理器生成的第一特征值R和用户口令生成注册 安全口令h；

S5，使用授权认证设备在本地或远程服务器中存储注册安全口令和用户ID；

S6，使用授权认证设备接受用户的认证申请并获取用户ID；

S7，使用生物特征采集设备采集第二特征数据；

S8，使用生物特征处理器将第二特征数据和生成第一特征值所用的常量共同固定 特征值R’；

S9，使用口令放大器将生物特征处理器生成的第二特征值R’和用户口令生成认证 安全口令h’；

S10，使用授权认证设备比对该用户ID对应的注册安全口令和认证安全口令是否 一致；若一致，通过授权；若不一致，返回不通过授权。

生物特征数据包括指纹信息，虹膜信息，人脸信息，指静脉信息、掌纹信息、掌静脉 信息、巩膜信息、步态信息、声纹信息中的一种、多种或多种形成的组合。常量为用户ID、设 备ID或一个常数。用户口令为用户密码或用户ID的加权值。

本发明在用户申请注册时和用户申请认证时使用生物特征采集设备采集生物特 征数据并将生物特征数据输入口令生成设备分别生成注册安全口令和认证安全口令；使用 授权认证设备在本地或远程服务器中存储注册安全口令和用户ID；使用授权认证设备比对 该用户ID对应的注册安全口令和认证安全口令是否一致来进行授权认证。采用本发明无需 存储个人生物特征信息，只需存储口令生成装置利用生物特征信息生成的安全口令，从而 有效避免了个人生物特征信息泄露的安全隐患。

本发明不局限于上述实施方式，对于本技术领域的普通技术人员来说，在不脱离 本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护 范围之内。本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。