采用生物特征令牌的用户认证系统专利

【摘要】 一种集成生物特征认证与令牌认证的用户认证系统，该系统把预先采集 的用户生物特征模版转化为私钥，将其保存在用户的生物特征令牌之中，交 由用户自己保管，即可节省维护用户生物特征数据库所需的费用，又能够避 免用户生物特征数据流失，侵犯用户的隐私权。在公钥基础设施的支持下， 用户可以通过任何一个支持本发明的私钥产生器，包括由可信任第三方运行 的私钥产生器，获得其生物特征令牌，并可在任何兼容本发明的应用系统中 使用生物特征令牌。本发明提供了一个代价较低的方案，可以解决生物特征 数据维护问题并规范生物特征数据的使用方法。利用本发明能够以即插即用 的方式，将生物特征认证技术推广应用于各种计算机应用系统，包括商场和 银行的交易系统之中。 【专利类型】发明申请 【申请人】郑建德 【申请人类型】个人 【申请人地址】100036北京市海淀区万寿路6号院3号楼5单元3门302 【申请人地区】中国 【申请人城市】北京市 【申请人区县】海淀区 【申请号】CN200810212129.3 【申请日】2008-09-08 【申请年份】2008 【公开公告号】CN101674181A 【公开公告日】2010-03-17 【公开公告年份】2010 【IPC分类号】H04L9/32; H04L9/08 【发明人】郑建德 【主权项内容】1.一种生物特征令牌认证系统，该系统物理/逻辑上包括认证方、用户、用户私钥产生器(PKG)、生物特征令牌，其中认证方和私钥产生器均备有必要的仪器设备，用以采集用户的生物特征，如指纹特征，基因指纹特征、巩膜特征等；该系统的认证机制由认证方初始化机制(A)、私钥产生器初始化机制(B)、用户私钥产生和生物特征令牌初始化机制(C)、以及用户认证机制(D)组成，其特征是： 所述认证方初始化机制(A)包括如下步骤： 步骤(A1)，认证方选择生物特征模版规范、以及相关算法，包括哈希算法等，并将其公布； 步骤(A2)，认证方公布所信任的安全认证中心(CA)，如果用户私钥产生器由认证方或其指定代理运行，这一步可以省略。 所述私钥产生器初始化机制(B)包括如下步骤： 步骤(B1)，私钥产生器利用软件或硬件随机产生两个秘密大素数，分别记为p和q，用它们组成其主密钥，同时计算n＝pq，并产生一个大整数e，使得gcd[e，(p-1)(q-1)]＝1； 步骤(B2)，私钥产生器再选择一个单向哈希函数h，并将(n，e)和h公布，如果私钥产生器由用户自己运行，则每个用户拥有自己的(n，e)参数对，如果私钥产生器由可信任第三方(TTP)运行，则(n，e)由系统所有用户共享； 步骤(B3)，用户或TTP向特定的安全认证中心申请数字证书，以实现(n，e)与该用户或TTP的绑定，如果用户私钥产生器由认证方或其指定代理运 行，这一步可以省略。 所述用户私钥产生和生物令牌初始化机制(C)包括如下步骤： 步骤(C1)，私钥产生器通过必要的仪器设备采集用户的生物特征，按照给定的规范制作生物特征模版，如指纹模版，记为T，并按如下公式将其映射为用户基于生物特征的公钥，记为b： b＝ρ(T)‖h′[ID，ρ(T)]， 其中ρ代表一个可逆的编码算法，h’代表一个抗碰撞的单向哈希函数，”‖”代表串联运算，ID代表用户的名字和/或账号； 步骤(C2)，私钥产生器利用其主密钥，即n的素数因子p和q，根据如下方程为用户提取基于指纹的私钥β： α＝βe(modn)； 步骤(C3)，私钥产生器以密钥的格式将β保存在用户的生物特征令牌之中； 步骤(C4)，私钥产生器把用户的ID以及按如下公式计算的TAC也保存在用户的生物特征令牌之中： T4C＝h′[ID，ρ(T)]； 步骤(C5)，私钥产生器最后将用户或TTP的数字证书以及受信任的根证书保存在用户的生物特征令牌之中。 所述用户身份认证机制(D)包括： 步骤(D1)，用户向指定的令牌终端插入生物特征令牌，请求进行身份认证； 步骤(D2)，认证方从用户的生物特征令牌中读出用户的ID和TAC；以及保存其中的用户/TTP数字证书，检查证书的有效性，并从证书中提取PKG 的参数n； 步骤(D3)，认证方当场提取用户的生物特征，制作生物特征模版的一个样本，记为T”； 步骤(D4)，认证方产生一个随机数ξ，，将其作为质询码Rs，或按如下公式计算Rs： Rs＝σ(T′)‖ξ 其中函数σ用于提取特定的生物特征信息，并将其发送给令牌； 步骤(D5)，令牌获取与用户相关的参数λ，该参数可以是一个由用户输入的口令、一个静态对称密钥，一个动态会话密钥或一个根据用户生物特征中的稳定元素算出的数，如果λ选为一个与用户生物特征相关的参数，它可以利用σ(T)∩σ(T′)算出，因为其中包含了T和T’共有的部分生物特征； 步骤(D6)，令牌先产生另一个随机数η，直接设定Ru＝η或按如下公式计算Ru： Ru＝[σ(T)∩σ(T′)]‖η， 再计算 x＝ke(mod?n)， 其中k也是一个随机数，最后把(Ru，x，y)作为应答码返回给认证方； 步骤(D7)，认证方先获取与用户相关的参数λ，如果λ选为一个与用户生物特征相关的参数，它可以利用σ(T)∩σ(T′)算出，所需的信息可以从Ru中提取，认证方再按如下公式根据应答码算出用户基于生物特征的的公钥b： 其中h代表一个单向哈希函数，并从b中恢复出生物特征模版T，再将其与 现场采集到的用户生物特征样本T’进行匹配，若匹配成功，则接受该用户，否则予以拒绝。 【当前权利人】郑建德 【当前专利权人地址】北京市海淀区万寿路6号院3号楼5单元3门302 【被引证次数】17 【被他引次数】17.0 【家族被引证次数】17