CN101330386A - 基于生物特征的认证系统及其身份认证方法 - Google Patents
基于生物特征的认证系统及其身份认证方法 Download PDFInfo
- Publication number
- CN101330386A CN101330386A CNA2008100978466A CN200810097846A CN101330386A CN 101330386 A CN101330386 A CN 101330386A CN A2008100978466 A CNA2008100978466 A CN A2008100978466A CN 200810097846 A CN200810097846 A CN 200810097846A CN 101330386 A CN101330386 A CN 101330386A
- Authority
- CN
- China
- Prior art keywords
- identifier
- biological
- user
- limited use
- authentication apparatus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
所述基于生物特征的认证系统及其身份认证方法,根据受限使用机器存储器上保存的用户ID识别号以及与其唯一对应绑定的数字处理终端的生物认证装置的ID识别号,将海量用户生物特征模板的集中保存和生物特征比对操作,从受限使用机器的认证功能中分离出来,分担给用户各自作为生物认证装置的数字处理终端上(包括用户自己的PC、笔记本电脑或手机、PDA等)---分散化保存用户的生物特征模板和分散化运算处理待认证生物特征与预先保存在各自的数字处理终端上的生物特征模板比对,并反馈比对验证结果给受限使用机器;受限使用机器的集中认证只是依据比对验证结果数据,授权对与该数字处理终端生物认证装置ID识别号对应绑定的用户ID识别进行等同认证。
Description
技术领域
本发明总的属于安全认证系统类别,涉及基于生物特征的认证系统及其身份认证方法。
背景技术
通常信息系统的安全范围定义在5大类安全技术,分别为:身份认证、访问控制、数据保密性、数据完整性以及不可否认性。身份认证是应用系统最基本的安全要求,传统身份识别和认证的方法是利用密码或用户接口模块(PIM)的人工制品(例如用户卡)或它们的组合。这些方法都是通过对密码或其他人工制品“物”的认证,用户通过对这些物的控制权来间接识别和认证持有者的身份,而并非对用户“本人”的身份识别,这种对“物”的认证缺点是密码或人工制品与用户本人是分离的,容易被盗或遗忘。
当今身份识别和认证技术的改良方向是使用用户本人的生物特征数据来识别和认证用户。生物特征数据是描述用户的唯一的物理特征的数据,并且它能够在请求访问时直接从用户本身读取鉴别。生物特征数据(包括人体的指纹特征鉴别数据、脸谱特征识别数据、视网膜图象特征识别数据、掌纹识别数据、掌背静脉脉络图象识别数据、语言识别数据、笔迹识别数据等等)的识别技术被公认为准确、安全的个体身份识别认证技术,在社会司法行政和经济活动中有着广泛需求。目前,很多创新技术方案都在不断完善生物特征身份识别技术。
其中,发明名称:利用指纹认证柜员身份的方法及其系统,专利号ZL 031164993.5针对目前的银行应用中无法对业务系统进行修改的情况,在设备层实现和银行业务的完全兼容,指纹读写器采用即插即用式设计。通过仿真模式,实现在不修改银行现有软件系统,不修改现有硬件系统,不改变原有作业流程,不必对现有的工作环境进行改变的情况下,将银行网点所有柜员的指纹保存到一个IC卡中集中管理,作为柜员进行身份认证的比对指纹模板,把IC卡当作传统指纹身份识别的指纹模板数据库存储器。但是,一个IC卡空间有限,不能把海量用户的指纹模板都保存到一个IC卡中。
中国专利申请号:01123671.X和ZL专利号98125160.9公开的利用指纹识别个人身份的系统需要预先建立一个指纹样本库。建立和维护集中式海量用户的指纹模板库需要大批量,高性能的服务器进行集中的指纹特征提取和指纹特征比对;另外,个人的生物生理信息属于个人隐私,是必须保护的。一旦泄露这些个人生物生理隐私信息对维护生物信息库的组织机构和生物信息所有者个人来说将会造成灾难性的后果。
图1显示了现有的密码认证或生物认证的系统。
应用主机1包括处理器1-1、存储器1-2保存登陆密码或生物特征模板、密钥,通过数据通讯接口1-3经过网络通讯线路及设备100与用户客户终端11相连。用户客户终端11包括数据通讯接口11-3、处理器11-1、存储器11-2,通过键盘接口11-4与输入键盘11-5相连。另外,如果在生物特征认证的情况下,通过生物数据接口11-6与生物传感器11-7相连;在虚框中显示的是:如果在使用IC卡认证的情况下,通过IC读写接口11-8与IC卡读写器11-9相连,IC卡11-10直接与IC卡读写器11-9相连通;如果使用USB中的私钥认证,通过USB接口11-11与U盘11-12相连。
在这里,应用主机1实际上是一个受限制使用或受控制访问的数字处理机器,也就是受限使用机器,它必须通过认证的用户才允许登陆或使用其资源;其硬件包括公知的数字电路或计算机体系结构的各类计算机、服务器或服务器集群。典型地,应用主机、也就是受限使用主机1的存储器1-2的非易失性存储器,例如硬盘,用于保存登陆密码、生物特征模板或密钥,并且能够在业务服务器1增加用户、删除用户或用户需要修改他们数据时被更新。在客户机11通过通讯线路及设备100请求访问业务应用服务器1时,用户使用输入键盘11-5输入密码通过键盘接口11-4(或用户使用生物传感器11-7采集生物特征数据通过生物数据接口11-6输入;或用户使用IC卡11-10插卡输入卡上用户编码或密码;或用户使用U盘输入私钥签名/证书加密)由处理器11-1控制经过客户机11的数据通讯接口11-3提交到业务应用服务器1,业务应用服务器1的处理器1-1将密码或生物特征数据与存储器1-2的非易失性存储器预先保存的登陆密码、生物特征模板比对或用存储器1-2的非易失性存储器保存的密钥解密验证。如果匹配成功或验证通过,处理器1-1将启动对所请求资源的访问和使用。
使用生物特征数据进行身份识别,特别是在网络上(例如互联网或无线移动通讯网)进行海量用户身份识别,按照现有技术方案是:在各个应用单位的受限使用机器上集中保存众多海量用户的生物特征样本或生物特征模板,建立生物特征数据模板数据库,用于处理比对待认证用户认证时直接从用户本身读取的生物特征数据。该生物特征数据可能是原始格式,如指纹的数字化图象,但更可能是简化格式,或细节特征具有代数关系的数组,它表示以预先定义的数字格式定义该图象相关点的图象编码图。
技术层面上,集中处理这些海量用户生物特征数据比对所需要的运算量比处理一般文本字符的密码比对运算处理量大几倍(需要几倍、几十倍、甚至百倍的CPU资源、内存资源和数据空间存储资源),而且对不同种类(例如、步态或脸谱)的生物特征认证处理可能比处理一般的核心应用程序需要要大的处理运算量。虽然现有技术中,有的将应用程序的服务器与生物特征认证服务器分开在不同服务器运行来分离业务处理与生物认证处理,但是用户在集中请求登陆的高峰期产生的突发生物认证数据很难得到即时处理,从而导致生物特征认证服务器面临当机(停机)的风险;而在深夜时刻用户请求生物认证量比较少,生物认证服务器又可能比较空闲。而且,从应用层面上讲,生物认证不同于密码认证方式-----用户可以随时控制修改密码(密码认证缺点之一是用户很难记住频繁修改的长密码,而短密码又很不安全),采用生物特征数据进行身份认证需要用户在所有的商家都留下他们恒定的生物特征数据模板,这会给用户的个人隐私带来麻烦也会给认证系统带来危险,况且也没有必要把某一个用户的生物特征数据模板都保留在众多商家,因为一个人的全部生物特征是恒定的,其部分生物特征数据也应该是一致的。商家需要的只是生物特征身份认证的结果——是与否;而用户生物特征数据本身并不是商家需要的。
发明内容
本发明所述的基于生物特征的认证系统及其身份认证方法,在于解决上述问题和使用缺陷而实现以下发明目的。
本发明的目的是:
·将海量用户的生物特征模板集中保存和生物特征集中比对操作,从受限使用机器的认证功能中分离出来,分散分担给用户各自的数字处理终端(包括用户自己的个人电脑、笔记本电脑或手机、PDA等)------分散化保存用户的生物特征模板、分散化运算和处理生物特征比对;受限使用机器的集中认证功能只是依据待认证生物特征与保存在用户分散的数字处理终端上的生物特征模板比对认证后的结果数据,授权对与该数字处理终端对应绑定的用户进行等同认证。
·充分利用现有用户名/密码认证的硬件,在不改变认证业务流程或很少修改传统认证习惯的情况下,改进技术方案兼容利用生物特征数据技术进行海量身份认证;
·利用生物特征识别技术与加密技术和代理技术的结合,特别是结合非对称密码技术PXI体系在安全领域的成熟应用,改进数字签名加密和生物特征数据身份识别技术有机结合起来,强化身份认证的安全性和方便性
为实现上述发明目的,按照本发明的第一方面,提供了一种基于生物特征的认证系统,用户基于在终端持有的生物传感器和ID识别号输入装置使用该系统,该系统包括有:
(1)基于生物特征的具有ID识别号的受限使用机器,至少具有存储器、认证模块;其中,
存储器,用于预先存储每个用户的ID识别号,以及与该用户ID识别号唯一对应绑定的生物认证装置的ID识别号;
认证模块,用于启动用户登陆具有ID识别号的受限使用机器来使用其特定鉴权的信息资源,
所述受限使用机器的认证模块,至少收到具有ID识别号的生物认证装置发来的,授权登陆或使用所述ID识别号的受限使用机器的一个生物特征验证数据,根据存储器上预先保存的与所述生物认证装置ID识别号对应绑定的用户ID识别号,认证模块启动所述ID识别号的用户登陆所述ID识别号的受限使用机器,或允许所述ID识别号用户使用所述ID识别号的受限使用机器特定鉴权的资源;
否则认证模块拒绝用户登陆所述ID识别号的受限使用机器或使用其特定鉴权的资源;
(2)基于生物特征的具有ID识别号的生物认证装置,至少具有生物特征比对模块、通讯管理模块;其中,
生物特征比对模块,用于将待认证生物特征数据与预先保存在生物认证装置中用户的生物特征模板的至少一部分进行比对并产生一个匹配验证结果数据;
通讯管理模块,用于管理具有ID识别号的生物认证装置与具有ID识别号的受限使用机器之间的数据通讯,
所述生物认证装置的通讯管理模块,在收到请求登陆受限使用机器的ID识别号、以及待认证生物特征数据后,经过生物特征比对模块的匹配比对而产生一个验证结果数据并发送至所述ID识别号的受限使用机器,即所述ID识别号的生物认证装置向所述ID识别号的受限使用机器发送授权使用所述受限使用机器的生物特征验证信号数据,或发送所述ID识别号生物认证装置的生物特征未验证信号数据拒绝授权使用所述ID识别号的受限使用机器。
基于上述生物特征的认证系统进一步提供了一个优选方案:
具有ID识别号的受限使用机器具有通讯转发模块,用于接收用户ID识别号和待认证生物特征数据,并根据存储器上预先保存的与用户ID识别号唯一对应绑定的生物认证装置ID识别号,将待认证生物特征数据通过通讯线路或和设备,转发给唯一对应绑定的ID识别号的生物认证装置以进行验证;
或是,通讯转发模块只接收用户ID识别号,根据预先保存在存储器上与用户ID识别号唯一对应绑定的生物认证装置ID识别号,通知所述ID识别号的生物认证装置所述的受限使用机器请求生物特征验证,并将生物认证装置ID识别号反馈给用户客户终端;用户客户终端,再将待认证生物特征数据直接发到所述ID识别号的生物认证装置请求进行生物特征比对验证,并将反馈验证结果数据传送给所述受限使用机器。
具有ID识别号的生物认证装置包括生物特征提取模块、解压缩模块或加密/解密模块;其中,
解压缩模块,用于对已经压缩的待认证生物特征原始数据进行解压缩为生物特征原始数据;
生物特征提取模块,用于从生物特征原始数据中提取生物特征数据;
加密/解密模块,用于第三方使用其私钥对用户的生物特征模板数据或和身份信息的整个数据块进行数字签名,然后保存在所述生物认证装置的存储器中,防止所述用户的生物特征模板被伪造或替换;以及在进行生物特征身份认证时,先要使用第三方的数字证书验证生物特征模板或和身份信息的一致性、完整性以及正确性;验证数字签名通过后再在所述生物特征摸板上进行生物特征数据的比对。
基于上述生物特征的认证系统进一步提供了另一个优选方案:
存储器,用于存储每个用户的ID识别号,以及与用户ID识别号一对一映射绑定的生物认证装置的ID识别号;
所述受限使用机器的认证模块,至少收到具有ID识别号的生物认证装置发来的,授权登陆或使用所述ID识别号的受限使用机器的一个生物特征验证数据,根据存储器上保存的与所述生物认证装置ID识别号一对一映射绑定的用户ID识别号,认证模块启动所述ID识别号的用户登陆所述ID识别号的受限使用机器,或允许所述ID识别号用户使用所述ID识别号的受限使用机器特定鉴权的资源;
具有ID识别号的受限使用机器具有通讯转发模块,用于接收用户ID识别号和待认证生物特征数据,并根据存储器上预先保存的与用户ID识别号一对一映射绑定的生物认证装置ID识别号,将待认证生物特征数据通过通讯线路或和设备,转发给一对一映射绑定的ID识别号的生物认证装置以进行验证;
或是,通讯转发模块只接收用户ID识别号,根据预先保存在存储器上与用户ID识别号一对一映射绑定的生物认证装置ID识别号,通知所述ID识别号的生物认证装置所述的受限使用机器请求生物特征验证,并将生物认证装置ID识别号反馈给用户客户终端;用户客户终端,再将待认证生物特征数据直接发到所述ID识别号的生物认证装置请求进行生物特征比对验证,并将反馈验证结果数据传送给所述受限使用机器。
基于上述生物特征的认证系统又进一步提供了另一个优选方案:
所述受限使用机器或用户客户终端具有加密/解密模块,用于它们之间与所述生物认证装置的加密/解密模块配合,对受限使用机器、生物认证装置或用户客户终端之间的通讯数据进行加密/解密和数字签名/验证,并在其存储器上保存各自的私钥;
所述受限使用机器的ID识别号是其CPU编号、存储器编号、网卡编号;或是其通讯的域名、URL、网址、IP4的IP地址、IP6的IP地址、主机名、端口号、数字签名、数字证书或其他可以识别受限使用机器的识别号;或是上述数据的组合;
所述生物认证装置ID识别号是其CPU编号、存储器编号、网卡编号,或是其网络通讯的移动通讯设备编号、手机号码、域名、动态域名、URL、网址、IP6的IP地址、移动IP地址、主机名、端口号、数字签名、数字证书或其他可以识别生物认证装置的识别号,或上述数据的组合;
所述通讯线路既可以是计算机内部的各种总线、并行线路、串行线路,也可以是计算机外的各种局域网、广域网、移动无线网或互联网通讯线路以及支持其进行数据传输的设备,其中,与生物认证装置连接的通讯线路是拨号上网、ISDN、ADSL等的电话线,家庭有线电视数据网,电力数据网,或者GPRS、CDMA、3G的无线移动网等客户端上网线路。
使用公共网络(特别是互联网或无线移动通讯网)进行电子商务活动时,安全是最受关注的因素。在本发明中,生物认证装置的移动终端号码、动态域名或移动IP等识别地址可能经常公开暴露在互联网上,再加上个人用户无法对生物认证装置的个人数字处理终端实施专业的放火墙保护,生物认证装置容易受到黑客的攻击,本发明提供了公共代理解析装置以及代理ID号码来隔离和隐藏生物认证装置并替代生物认证装置的ID识别号真实网络地址。效果是通过公共代理解析装置,将生物认证装置的真实地址信息隐藏,并对通过公共代理解析装置通讯的数据包中的生物认证装置的ID识别号与代理ID识别号进行等效翻译替换,过滤掉不合法的数据包来保护生物认证装置本身的ID识别号真实网络地址不被直接攻击。
为实现这个目的,基于上述生物特征的认证系统又进一步提供了另一个优选方案,该生物特征的认证系统还包括有一公共代理解析装置,该公共代理解析装置至少具有公共注册模块和代理解析模块;其中,
公共注册模块,用于用户登记其生物认证装置的ID识别号,然后申请一个等效的、用于隐藏其地址目标的、唯一对应的代理ID识别号,并将这两个对应绑定的数据保存在存储器上;在用户客户终端或受限使用机器上,用户可以使用代理ID识别号代替生物认证装置ID识别号;
代理解析模块,用于代理生物认证装置,管理其与用户客户终端或受限使用机器通讯,并对通过公共代理解析装置通讯的数据包中的生物认证装置的ID识别号与代理ID识别号进行等效翻译替换,同时过滤掉不合法的数据包来保护生物认证装置本身的ID识别号不被直接攻击;
在生物认证装置通过公共代理解 析装置向用户客户终端或受限使用机器发送通讯数据时,代理解析模块将通讯数据包中发送源的生物认证装置的ID识别号等效翻译替换成代理ID识别号,然后将通讯数据包转发给所述用户客户终端或所述受限使用机器;
当用户客户终端或受限使用机器使用代理ID识别号通过公共代理解析装置向生物认证装置发送通讯数据的时候,代理解析模块将通讯数据包中发送目的地的代理ID识别号等效翻译替换成为生物认证装置的ID识别号,然后将通讯数据包转发给所述ID识别号的生物认证装置;
代理解析模块既可以是集中式的,也可以是分布式的。
按照上述生物特征的认证系统优选方案再进一步提供了最佳方案:
所述的生物特征是ID识别号用户的指纹特征数据;
所述的生物认证装置是手机。
按照本发明的第二方面,提供了一种基于生物特征的认证方法:其流程是,
(a)从用户客户终端上,待认证用户输入用户ID识别号并采集待认证生物特征数据,通过通讯线路或和设备向具有ID识别号的受限使用机器发送,请求认证登陆使用所述ID识别号的受限使用机器或使用其特定鉴权的资源;
(b)所述ID识别号的受限使用机器接收用户ID识别号和待认证生物特征数据,根据预先保存在所述受限使用机器的存储器上的所述用户ID识别号以及与其唯一对应绑定的生物认证装置ID识别号,将待认证生物特征数据通过通讯线路或和设备,转发给所述ID识别号的生物认证装置,其中所述ID识别号的受限使用机器可以不保存待认证的生物特征数据;
(c)所述生物认证装置的生物特征比对模块,将所述待认证生物特征数据与预先保存在存储器中的用户的生物特征模板的至少一部分比对;
如果比对产生了匹配,所述ID识别号的生物认证装置则生成授权使用所述ID识别号的受限使用机器的生物特征验证信号;
如果比对没有产生匹配,所述ID识别号的生物认证装置则生成拒绝授权使用所述ID识别号的受限使用机器的生物特征未验证信号;
(d)所述ID识别号的生物认证装置向所述ID识别号的受限使用机器发送授权使用所述受限使用机器的生物特征验证信号数据,或发送所述ID识别号的生物特征未验证信号数据拒绝授权使用所述ID识别号的受限使用机器;
(e)根据收到的发送源的生物认证装置ID识别号,和至少所述ID识别号的生物认证装置对受限使用机器的生物特征验证信号授权数据,受限使用机器启动与所述ID识别号的生物认证装置对应绑定的所述ID识别号用户使用受限使用机器或使用其特定鉴权的资源;
如果收到包含所述ID识别号的生物认证装置对受限使用机器的生物特征未验证信号拒绝授权数据,或者所述受限使用机器在有效时间内未收到生物认证装置发送来的对受限使用机器的的生物特征验证信号授权数据,则受限使用机器拒绝所述用户的登陆请求。
按照本发明的第三方面,提供了一种基于生物特征的认证方法:包括有以下执行流程,
(a)从用户客户终端上,待认证用户输入用户ID识别号并采集待认证生物特征数据,通过通讯线路或和设备向具有ID识别号的受限使用机器发送,请求认证登陆使用所述受限使用机器或使用其特定鉴权的资源;
(b)根据预先保存在存储器上所述用户ID识别号以及与其唯一对应绑定的生物认证装置ID识别号,所述受限使用机器只接收用户ID识别号并向生物认证装置发送生物特征验证请求消息,将所述生物认证装置ID识别号反馈发送给用户客户终端;
(c)用户客户终端将所述ID识别号用户的待认证生物特征数据直接传送到所述ID识别号的生物认证装置;
(d)生物认证装置的生物特征比对模块,将待认证的生物特征数据与预先保存在存储器中的用户的生物特征模板的至少一部分比对;
如果比对产生了匹配,所述生物认证装置生成授权使用所述受限使用机器的生物特征验证信号;
如果比对没有产生匹配,所述生物认证装置生成拒绝授权使用受限使用机器的生物特征未验证信号;
(e)所述ID识别号的生物认证装置向所述ID识别号的受限使用机器发送授权使用所述受限使用机器的生物特征验证信号数据,或发送所述ID识别号的生物特征未验证信号数据拒绝授权使用所述ID识别号的受限使用机器;
(f)根据收到的发送源的生物认证装置ID识别号,以及至少所述生物认证装置对所述受限使用机器的生物特征验证信号授权数据,受限使用机器启动与所述ID识别号的生物认证装置对应绑定的所述ID识别号用户使用受限使用机器或使用其特定鉴权的资源;
如果收到生物认证装置对受限使用机器的生物特征产生未验证信号拒绝授权数据、或是受限使用机器在有效时间内未收到生物认证装置发送来对所述受限使用机器的生物特征验证信号授权数据,则受限使用机器拒绝所述ID识别号用户的登陆请求。
按照本发明的第四方面,提供了一种基于生物特征的认证方法:包括有以下实现流程,
(a)从用户客户终端上,待认证用户输入受限使用机器的ID识别号并采集待认证生物特征数据,通过通讯线路或和设备,向具有ID识别号的生物认证装置发送请求认证登陆使用所述受限使用机器或使用其特定鉴权的资源;
(b)使用所述生物认证装置的生物特征比对模块,将待认证的生物特征数据与预先保存在存储器中用户的生物特征模板的至少一部分比对;
如果比对产生了匹配,所述生物认证装置生成授权使用所述受限使用机器的生物特征验证信号;
如果比对没有产生匹配,则所述生物认证装置生成拒绝授权使用受限使用机器的生物特征未验证信号;
(c)所述ID识别号的生物认证装置向所述ID识别号的受限使用机器发送授权使用所述受限使用机器的生物特征验证信号数据,或发送所述ID识别号的生物特征未验证信号数据拒绝授权使用所述ID识别号的受限使用机器;
(d)根据收到的发送源的生物认证装置ID识别号,以及至少所述生物认证装置对所述受限使用机器的生物特征验证信号授权数据,受限使用机器启动与所述ID识别号的生物认证装置对应绑定的所述ID识别号用户使用受限使用机器或使用其特定鉴权的资源;
如果收到包含所述生物认证装置对所述受限使用机器的生物特征未验证信号拒绝授权数据,则受限使用机器拒绝与所述ID识别号的生物认证装置对应绑定的所述ID识别号用户的登陆请求;
其中,所述受限使用机器的存储器上预先保存所述用户ID识别号以及与其唯一对应绑定的生物认证装置ID识别号。
按照本发明的第二方面、第三方面和第四方面,进一步提供了这种基于生物特征的认证方法的一个优选方案:
存储器上预先保存所述用户ID识别号以及与其一对一映射绑定的生物认证装置ID识别号,其中;
根据与预先保存在所述受限使用机器存储器上用户ID识别号一对一映射绑定的生物认证装置ID识别号,所述ID识别号的受限使用机器接收用户ID识别号和待认证生物特征数据,将待认证生物特征数据通过通讯线路或和设备,转发给所述ID识别号的生物认证装置;
或根据保存在存储器上所述用户ID识别号以及与其一对一映射绑定的生物认证装置ID识别号,所述受限使用机器只接收用户ID识别号并向生物认证装置发送生物特征验证请求消息,将所述生物认证装置ID识别号反馈发送给用户客户终端;用户客户终端将所述ID识别号用户的待认证生物特征数据直接传送到所述ID识别号的生物认证装置;
根据收到的发送源的生物认证装置ID识别号,和至少所述ID识别号的生物认证装置对受限使用机器的生物特征验证信号授权数据,受限使用机器启动与所述ID识别号的生物认证装置一对一映射绑定的所述ID识别号用户使用受限使用机器或使用其特定鉴权的资源;
从任何配置有生物传感器的用户客户终端上采集待认证生物特征数据,连同用户客户终端ID识别号通过通讯线路或和设备,向所述受限使用机器或生物认证装置发送请求认证登陆使用受限使用机器或使用其特定鉴权的资源;
当通过认证授权以后,所述受限使用机器可以根据用户客户终端ID识别号向用户客户终端直接发送反馈数据;
用户客户终端ID识别号也可以与生物认证装置的ID识别号相同;
用户客户终端、受限使用机器或生物认证装置的ID识别号可以是它们各自的CPU编号、存储器编号、网卡编号;或是其通讯的域名、URL、网址、IP地址、移动IP地址、主机名、端口号、数字签名、数字证书或其它可以识别它们各自的识别号;或是上述数据的组合。
按照本发明的技术方案实施,可以产生如下技术效果:
1、克服了海量生物认证必须象密码认证那样集中保存生物摸版库和集中处理生物特征比对的技术偏见,剥离这些大量消耗运算处理资源的生物比对功能,分散给了海量用户各自的数字处理终端上的运算处理资源来处理----分散了生物特征集中处理所需要的大量存储资源,内存资源和CPU等资源,将这些处理任务分配给了用户自己数字处理终端上的闲置存储资源,内存资源和CPU等资源。这种实施方案导致经济上的结果是可以降低政府部门、主办单位建设海量生物特征认证系统的投资门槛,转而让海量用户分担一部分系统资源的投资(例如,估计这样的指纹认证系统每个用户在其数字终端上只需要增加大约100元左右费用,是可以被用户接受的,经济上也是容易普及的);同时,由于用户的生物特征模板可以一直保存和处理在用户自己的数字处理终端上,从而保护用户的个人生物特征数据的隐私。
2、避免现有集中处理方式下,用户集中认证时的突发生物特征数据造成生物认证服务器当机(停机)的风险。从而,提高了受限使用机器内部运行性能和对整个生物认证系统运行性能的改善,提高了海量用户生物认证程序和应用程序的执行效率和可靠性。
3、利用现有用户名/密码认证的硬件,在不改变认证业务流程或很少修改传统认证习惯的情况下,与密码认证几乎相同的流程从整个认证系统外部输入的用户ID或受限使用机器的ID,和待认证生物特征数据,经过整个认证系统处理得到与该ID用户唯一绑定的用户数字处理终端认证的结果数据,这个结果数据授权控制用户对相关的受限使用机器的应用系统资源的使用。
4、优选方案中,保存在用户手机的指纹模板被第三方进行了数字签名,使指纹模板不能被用户私自替换,从而完全避免了任何形式的冒名顶替。这不仅强化了身份认证、访问控制、数据保密性、数据完整性以及不可否认性,而且通过公共代理解析装置隐藏了生物认证装置的真实地址信息,防止被黑客攻击,提高了整个信息安全系统的安全性和方便性,最佳方案将指纹认证功能,公钥加密数字签名功能集成在手机平台上,方便指纹认证技术、公钥加密技术在海量用户的推广使用,解决了人们长期渴望利用生物特征进行海量认证但一直未能如愿的课题。
几个相关名词的说明:
生物特征原始数据是指从生物传感器检测采集的生物信号的原始数字化表示,一般为图片、音频或视频。这种数据一般占据比较大的数据空间。
生物特征数据是将生物特征原始数据预处理后进行细节特征点的提取,获取的生物特征的有效表示数据。这种数据比原始数据占据相对小的数据空间。
生物特征模板是用户登记的生物特征提取的各类细节特征点描述的集合。通常一个指纹特征模板包含几十个到一、两百个细节特征数值;而一般待认证指纹中有8-10个细节特征数值与模板上的匹配就可以判断出认证成功。
一般从生物传感器中采集的生物特征原始数据,比如图象、音频或视频,数据文件都比较大,经过预处理后进行细节特征点的提取,获取的生物特征的有效表示数据是生物特征数据,这个生物特征数据文件一般比较小。
如果在用户客户终端进行生物特征提取,其结果数据比较小,可以在比较窄的带宽的通讯线路上传输,但是必须在用户应用的所有不同的客户终端都采用同一个生物特征提取算法和与其匹配的生物传感器,因为生物认证装置中生物特征比对算法只能选用一个算法。
而如果用户客户终端只采集生物特征原始数据的通用格式进行数据传输,由于原始数据文件都比较大,则需要压缩数据和比较宽的带宽的通讯线路上传输,到达生物认证装置再解压缩和进行生物特征的提取,这样的好处是用户客户终端可以采用各种不同厂家的生物传感器采集生物特征原始数据,用户客户终端适用面宽一些。
结合附图,本发明的其他特点和优点,可以从下面通过举例来对本发明的原理进行解释的优选实施方式的说明中变得更清楚。
附图说明
图1显示了现有技术的一个实施方式的身份认证系统的结构示意图。
图2显示了本发明一个实施方式的生物身份认证系统的结构示意图
图3显示了本发明另一个实施方式的生物身份认证系统的结构示意图
图4显示了本发明一个实施方式的生物身份认证方法的流程图
图5显示了本发明另一个实施方式的生物身份认证方法的流程图
图6显示了本发明再一个实施方式的生物身份认证方法的流程图
图7显示本发明的一个实施方式的生物身份认证系统结构示意图
图8显示通用计算机或微型控制器的硬件和系统结构示意图。
具体实施
以下参考附图详细说明本发明的几个实施例:
在现有公知身份认证系统图1的基础上,图2显示本发明一个实施例,阴影方框部分的2代表基于每个用户的数字处理终端硬件的生物认证装置2,它负责生物特征身份比对认证。经过生物认证装置2生物验证后的结果数据发送给1代表的受限使用机器,受限使用机器1的认证模块1-4再根据生物认证装置2发的验证结果数据授权用户使用相应权限的资源,例如,访问用户个人的银行帐户信息。与图1的用户客户终端11,或应用主机1一样,图2的生物认证装置2硬件包括公知的处理器2-1、存储器2-2、数据通讯接口2-3和系统总线400,其中存储器2-2保存用户的生物特征模板,由系统总线400连接并通过数据通讯接口2-3经过通讯线路及设备100与受限使用机器1,或与用户客户终端11相连。图2所示的受限使用机器1、生物认证装置2或用户客户终端11的硬件各自包括公知的中央处理器、存储器、通讯总线、输入输出接口与通讯线路和设备的每个部件的功能及部件内部的功能在本技术领域都是众所周知的。如图8所示,生物认证装置2、受限使用机器1、用户客户终端11这些通用的计算机系统结构不仅适用个人计算机,服务器,集群化的服务器的计算机网络等系统,而且该系统也可以由单片机实现适用于手持移动设备,例如,手机、掌上电脑、PDA(个人数据助理)通过总线、并行线路、串行线路集成一个计算机通讯系统等。由这些公知通用硬件系统和本发明程序代码构成的功能模块形成本发明的生物认证系统;由这些公知通用硬件系统和执行本发明的方法步骤构成本发明的生物认证方法。
实施例1
结合图2说明本发明的一个实施例的生物认证系统:
用户基于在个人电脑终端11持有的掌纹生物传感器11-7和键盘字母数字输入装置11-5使用该生物认证系统;该生物认证系统包括有,
(1)基于掌纹生物特征的具有域名URL(例如,www.EMBbiz.net)的受限使用机器,即电子商务服务器1,至少具 有存储器1-2、认证模块1-4和加密/解密模块1-7;其中,
存储器1-2,用于存储每个用户的ID识别号,以及与每个用户ID识别号分别一对一映射绑定的智能手机2的手机号码,例如表1代表www.EMBbiz.net电子商务服务器1的存储器上保存的详细数据;
每个用户的ID识别号 | 与用户ID一对一映射绑定的智能手机2的手机号码这些手机号码互不相同 |
embbiz@126.com | 86-13601063732 |
liuhongli@xinhuanet.com | 86-13385881711 |
yangXK@embbiz.net | 86-13581816468 |
……………….. | ………………….. |
表1
认证模块1-4,用于用户启动登陆具有域名URL的电子商务服务器1来使用其特定鉴权的信息资源;
所述电子商务服务器1的认证模块1-4,至少收到具有手机号码的智能手机2发来授权登陆或使用所述域名URL的电子商务服务器1的一个生物特征验证数据,根据存储器1-2上预先保存的与所述智能手机2的手机号码一对一映射绑定的用户ID识别号,认证模块1-4启动所述ID识别号的用户登陆所述域名URL的电子商务服务器1,或允许所述ID识别号用户使用所述域名URL的电子商务服务器1特定鉴权的资源。例如收到手机号码为86-13601063732的手机发送来的授权使用所述域名URL的电子商务服务器1的一个生物特征验证数据YES,认证模块1-4对照存储器上预先保存的表1的数据,根据与86-13601063732一对一映射绑定的用户ID识别号embbiz@126.com,启动用户ID识别号为embbiz@126.com的用户登陆该电子商务服务器1,或允许embbiz@126.com使用该电子商务服务器1的交易信息资源;
否则认证模块1-4拒绝用户登陆所述域名URL的电子商务服务器1或使用其特定鉴权的资源;
加密/解密模块1-7,用于电子商务服务器1与所述智能手机2的加密/解密模块2-7配合,对它们之间的通讯数据进行加密/解密和数字签名/验证,确保它们之间数据传输的安全。
(2)基于生物特征的具有手机号码(例如86-13601063732)的智能手机2,包括有掌纹生物特征比对模块2-4、掌纹生物特征提取模块2-5、解压缩模块2-6、加密/解密模块2-7和通讯管理模块2-8;
其中,
解压缩模块2-6,用于对已经压缩的待认证掌纹生物特征原始数据进行解压缩为掌纹生物特征原始数据,之前在用户个人电脑11采集的待认证掌纹生物特征原始数据,被个人电脑11进行了数据压缩;
加密/解密模块2-7,用于第三方CA中心使用其私钥对用户的掌纹生物特征模板数据或和身份信息的整个数据块进行数字签名,然后保存在存储器2-2中,防止所述用户的掌纹生物特征模板被伪造或替换;之后在进行掌纹生物特征身份认证时,先要使用第三方CA中心的数字证书验证掌纹生物特征模板或和身份信息的正确性、一致性以及完整性;验证数字签名通过后再在所述掌纹生物特征摸板上对待认证掌纹生物特征数据进行生物特征数据的比对;
另外,加密/解密模块2-7还用于与电子商务服务器1(例如www.EMBbiz.net)的加密/解密模块1-7配合,对它们之间的通讯数据进行加密/解密和数字签名/验证,确保它们之间数据通讯的安全性;
掌纹生物特征提取模块2-5,用于从掌纹生物特征原始数据中提取掌纹生物特征数据,
在个人电脑11的掌纹传感器11-7采集到了原始掌纹生物特征数据后,对其进行压缩,再加密后传送到了智能手机2,经过加密/解密模块2-7的解密,解压缩模块2-6的解压缩后得到掌纹生物特征原始数据就可以进行掌纹生物特征提取,提取掌纹特征后,交给掌纹生物特征比对模块2-4;
掌纹生物特征比对模块2-4,用于将待认证掌纹生物特征数据与预先保存在智能手机2(例如86-13601063732)中所述ID识别号(例如embbiz@126.com)用户的掌纹生物特征模板的至少一部分进行比对并产生一个匹配验证结果数据;
通讯管理模块2-8,用于管理具有手机号码(例如86-13601063732)的智能手机2与具有网址URL(例如www.EMBbiz.net)的电子商务服务器1之间的数据通讯,所述(例如86-13601063732)智能手机2的通讯管理模块2-8,在收到请求登陆电子商务服务器1的域名URL(例如www.EMBbiz.net)、以及待认证掌纹生物特征数据后,经过掌纹生物特征比对模块2-4的匹配比对而产生一个验证结果数据(YES或NO),经过加密/解密模块2-7加密后发送至所述域名URL(例如www.EMBbiz.net)的电子商务服务器1,即所述(86-13601063732)手机号码的智能手机2向所述(www.EMBbiz.net)域名URL的电子商务服务器1发送授权使用所述(www.EMBbiz.net)电子商务服务器1的生物特征验证信号YES数据,或发送生物特征未验证信号NO数据拒绝授权使用所述域名URL的电子商务服务器1。
其中,可以执行如图6的步骤完成认证流程来使用这个生物认证系统:
(601a)从(客户终端)个人电脑11上,待认证用户输入电子商务服务器1(也就是受限使用机器)的域名URL(例如www.EMBbiz.net)、并输入用户的智能手机2的手机号码(例如:86-13601063732)和采集待认证掌纹生物特征原始数据,经过压缩和加密后,通过通讯线路或和设备100,连同个人电脑11的IP地址,向该(86-13601063732)手机号码的智能手机2发送这些数据,请求认证登陆使用电子商务服务器1(www.EMBbiz.net)或使用其特定鉴权的资源,例如,进行网上交易;
(602b)所述(86-13601063732)手机号码的智能手机2收到这些数据后,
加密/解密模块2-7把收到的数据解密成压缩的掌纹生物特征原始数据;
解压缩模块2-6,对压缩的待认证掌纹生物特征原始数据进行解压缩为掌纹生物特征原始数据;
掌纹生物特征提取模块2-5,从掌纹生物特征原始数据中提取掌纹生物特征数据;
加密/解密模块2-7使用第三方CA中心的数字证书验证预先保存在存储器2-2上的掌纹生物特征模板或和身份信息的数字签名的正确性、一致性以及完整性;验证数字签名通过后再在所述掌纹生物特征摸板上对待认证掌纹生物特征数据进行生物特征数据的比对;
掌纹生物特征比对模块2-4,将待认证的掌纹生物特征数据与预先保存在智能手机2的存储器中用户的已经验证数字签名的掌纹生物特征模板的至少一部分比对;
如果比对产生了匹配,所述(86-13601063732)手机号码的智能手机2生成授权使用所述(www.EMBbiz.net)域名URL电子商务服务器1的生物特征验证信号YES;
电子商务服务器1的域名URL | 智能手机2的手机号码 | 授权 |
www.EMBbiz.net | 86-13601063732 | YES |
表2
如果比对没有产生匹配,则所述手机号码的智能手机2则生成拒绝授权使用电子商务服务器1的生物特征未验证信号NO;
(603c)所述(86-13601063732)手机号码的智能手机2,连同个人电脑11的IP地址数据,向所述(www.EMBbiz.net)域名URL电子商务服务器1发送授权使用所述电子商务服务器1的生物特征验证信号YES数据,或发送所述(86-13601063732)手机号码的智能手机2的生物特征未验证信号NO数据拒绝授权使用所述(www.EMBbiz.net)域名URL的电子商务服务器1,这些通讯数据都经过加密/解密模块2-7加密后发送;
(604d)电子商务服务器1的加密/解密模块1-7解密验证后,根据收到的发送源的智能手机2的(86-13601063732)手机号码,以及至少所述智能手机2对所述(www.EMBbiz.net)电子商务服务器1的生物特征验证信号YES授权数据,电子商务服务器1再根据起存储器上保存的表1,启动与所述(86-13601063732)手机号码一对一映射绑定的所述ID识别号(embbiz@126.com)的用户从所述IP地址的客户终端11上,使用电子商务服务器1或使用其特定鉴权的资源,例如,进行网上交易;
表3
如果收到包含所述智能手机2对所述电子商务服务器1的生物特征未验证信号NO拒绝授权数据,则电子商务服务器1拒绝与所述手机号码一对一映射绑定的所述ID识别号的用户的登陆请求。
有线网络与无线移动网络等异构网络的互联互通一般要采用TCP/IP协议,相关联网终端必须有公共IP地址,但由于现在IPv4的IP地址接近枯竭,很多联网的终端设备无法获得固定公共IP地址,只能在每次联网的时候从(移动)通讯运营商那里临时获得一个公共IP地址,下一次联网的时候可能是通过另外一个公共IP地址连接互联网。手机终端设备2要作为服务器端接受数据使用就必须识别该手机的连接互联网时候的公共网络IP地址或和端口号,其中动态域名技术就可以让终端设备有一个固定的域名URL-------虽然每次终端设备联网时候其公共IP地址都可能不同。有关动态域名技术已经是公知技术,对于本行业技术人员很容易从网上搜索和市场上得到这种技术和服务,本实施例也可以采用动态域名来识别智能手机2;另外一个识别手机2的方法是利用手机号码,可以在手机2启动生物特征识别装置功能的时候主动向电子商务服务器1的固定公共IP地址主动发起(TCP)连接或(UDP)数据包,这样就可以得到手机2的当时临时公共IP;此刻,向该手机号发送数据也就是利用TCP/IP协议向该临时IP发送数据,每次向该固定手机号码发送数据时候的临时IP地址可能不同,但手机号码和手机本身是固定的,也就可以以手机作为服务器端将数据发送到该手机上了。随着IPv6的部署和实施,可以为每个设备都预留了充分的IP地址或移动IP。那时在IPv6中可以直接为手机分配可以识别的移动IP地址。
实施例2
下面结合图3说明本发明的另一个实施例的生物认证系统:
用户基于商户的POS机终端11持有的指纹传感器以及银行卡读写器、键盘输入装置使用该生物认证系统;其包括有,
·(1)基于指纹特征的具有域名URL(例如www.chinaunionpay.com)的银行
帐户服务器1、
·(2)基于指纹特征的具有手机号码(例如86-13601063732)的智能手机2和
·(3)公共代理解析装置3,
其中,
(1)基于指纹特征的具有域名URL的银行帐户服务器(也就是受限使用机器)1,具有存储器1-2、认证模块1-4、通讯转发模块1-5和加密/解密模块1-7;其中,
存储器1-2,用于预先存储用户每个银行卡的卡号,以及与每个卡号分别一对一映射绑定的智能手机2的手机号码,例如下表4的详细数据;
用户每个银行卡的卡号 | 与用户银行卡的卡号一对一映射绑定的智能手机2的手机号码(这些手机号码互不相同) |
622138 6102 0562 30888 | 86-13601063732 |
b2218 810000 2938 5888 | 86-13385881711 |
9558 8002 0014 2097388 | 86-13581816468 |
……………….. | ………………….. |
表4
认证模块1-4,用于启动银行卡的用户登陆具有域名URL(例如www.chinaunionpay.com)的银行帐户服务器1来使用其特定鉴权的信息资源,所述银行帐户服务器1的认证模块1-4,至少收到具有手机号码(例如86-13601063732)的智能手机2发来的,授权登陆或使用所述(例如www.chinaunionpay.com)域名URL的银行帐户商务服务器1的一个生物特征验证数据,根据存储器1-2上预先保存的表4上与所述智能手机2的手机号码(例如86-13601063732)一对一映射绑定的用户银行卡号(例如622138 6102 0562 30888),认证模块1-4启动所述银行卡号(例如622138 6102 0562 30888)的用户登陆所述(例如www.chinaunionpay.com)域名URL的银行帐户服务器1,或允许所述银行卡号的用户使用所述(例如www.chinaunionpay.com)域名URL的银行帐户服务器1特定鉴权的资源,例如收到手机号码为86-13601063732的手机发送来的授权使用所述域名URL的银行帐户服务器1的一个生物特征验证数据YES,认证模块1-4对照存储器上预先保存的表4的数据,根据与86-13601063732一对一映射绑定的银行卡号是622138 6102 0562 30888,启动刷卡刷入银行卡号为622138 6102 0562 30888的用户登陆该银行帐户服务器1,或允许银行卡号622138 6102 0562 30888使用该银行帐户服务器1的特定交易资源,例如转帐到POS机的商户的帐户;否则认证模块1-4拒绝该银行卡号登陆所述域名URL的银行帐户服务器1或使用其特定鉴权的资源;
通讯转发模块1-5,用于接收用户的银行卡号和待认证指纹特征数据,并根据银行帐户服务器1的存储器上预先保存的表4上的用户银行卡号(例如622138 61020562 30888)一对一映射绑定的智能手机2的手机号码(例如86-13601063732),将待认证指纹特征数据通过通讯线路或和设备100,转发给具有一对一映射绑定的手机号码(例如86-13601063732)的智能手机2以进行验证;
或是,通讯转发模块1-5只接收用户银行卡号,根据预先保存在存储器上用户卡号以及与其一对一映射绑定的智能手机2的手机号码,通知所述手机号码的智能手机2所述的银行帐户服务器1请求生物特征验证,并将智能手机2的手机号码反馈给用户POS机终端11;用户POS机终端11,再将待认证指纹特征数据直接发到所述手机号码的智能手机2请求进行生物特征比对验证,
最后将验证结果数据反馈传送给所述(例如www.chinaunionpay.com)银行帐户服务器1。
加密/解密模块1-7,用于银行帐户服务器1(例如www.chinaunionpay.com)与所述(例如86-13601063732)智能手机2的加密/解密模块2-7配合,对它们之间的通讯数据进行加密/解密和数字签名/验证,确保它们之间数据传输的安全。
(2)基于指纹特征的具有(例如86-13601063732)手机号码的智能手机2,具有加密/解密模块2-7、指纹特征比对模块2-4和通讯管理模块2-8;
其中,
加密/解密模块2-7,用于第三方CA中心预先使用其私钥对用户的指纹特征模板数据或和身份信息的整个数据块进行数字签名,然后保存在存储器2-2中,防止所述用户的指纹特征模板被伪造或替换为别人的指纹特征模板;以及在进行指纹特征身份认证时,先使用第三方CA中心的数字证书验证指纹特征模板或和身份信息的正确性、一致性以及完整性。验证数字签名通过后再在所述指纹特征摸板上对待认证指纹特征数据进行指纹特征数据的比对;
另外,加密/解密模块2-7还用于与银行帐户服务器1(例如www.chinaunionpay.com)的加密/解密模块1-7配合,对它们之间的通讯数据进行加密/解密和数字签名/验证,确保它们之间数据通讯的安全性;
指纹特征比对模块2-4,用于将待认证指纹特征数据与预先保存在智能手机2(例如86-13601063732)中所述银行卡用户的指纹特征模板的至少一部分进行比对并产生一个匹配验证结果数据;
通讯管理模块2-8,用于管理具有手机号码(例如86-13601063732)的智能手机2与具有网址URL(例如www.chinaunionpay.com)的电子商务服务器1之间的数据通讯,
所述(例如86-13601063732)智能手机2的通讯管理模块2-8,在收到请求登陆银行帐户服务器1的域名URL(例如www.chinaunionpay.com)、以及待认证指纹特征数据后,经过指纹特征比对模块2-4的匹配比对而产生一个验证结果数据(YES或NO),经过加密/解密模块2-7加密后发送至所述域名URL(例如www.chinaunionpay.com)的电子商务服务器1,即所述(86-13601063732)手机号码的智能手机2向所述(例如www.chinaunionpay.com)域名URL的银行帐户服务器1发送授权使用所述(例如www.chinaunionpay.com)电子商务服务器1的生物特征验证信号YES数据,或发送生物特征未验证信号NO数据拒绝授权使用所述域名URL的电子商务服务器1。
其中,可以执行如图5的步骤来使用这个生物认证系统:
(501a)从用户POS机终端11上,待认证用户刷卡输入银行卡号(例如6221386102 0562 30888)并采集待认证指纹特征数据,经过预处理后进行细节特征点的提取,获取指纹特征的有效表示数据,经过加密后通过通讯线路或和设备100向具有域名URL(例如www.chinaunionpay.com)的银行帐户服务器1(也就是受限使用机器)发送,请求认证登陆使用所述银行帐户服务器1或使用其银行卡号特定鉴权的信息资源,如操作转帐信息;
(502b)使用加密/解密模块1-7解密,根据预先保存在银行帐户服务器1(例如www.chinaunionpay.com)的存储器上表4所述用户的银行卡号(例如622138 61020562 30888),以及与其一对一映射绑定的手机号码(例如86-13601063732),所述银行帐户服务器1只接收用户的银行卡号并经过加密/解密模块1-7加密后向所述手机号码的智能手机2发送指纹特征验证请求消息,并将所述手机号码经过加密/解密模块1-7加密后反馈发送给POS机终端11;
(503c)用户的POS机终端11解密后,将所述银行卡的用户的待认证指纹特征数据加密后直接传送到所述(例如86-13601063732)手机号码的智能手机2上;
(504d)智能手机2的加密/解密模块2-7解密后,指纹特征比对模块2-4,将待认证的指纹特征数据与保存在智能手机2的存储器中的用户的指纹特征模板的至少一部分比对;
如果比对产生了匹配,所述(例如86-13601063732)智能手机2生成授权使用所述(例如www.chinaunionpay.com)银行帐户服务器1的生物特征验证信号YES;
如果比对没有产生匹配,所述智能手机2生成拒绝授权使用银行帐户服务器1的生物特征未验证信号NO;
(505e)所述(例如86-13601063732)手机号码的智能手机2向所述(例如www.chinaunionpay.com)的银行帐户服务器1经过加密/解密模块2-7加密后,发送授权使用所述(例如www.chinaunionpay.com)银行帐户服务器1的生物特征验证信号YES授权数据,或发送所述手机号码的智能手机2的生物特征未验证信号N0数据拒绝授权使用所述的银行帐户服务器1;
(506f)加密/解密模块1-7解密后,根据收到的发送源的手机号码(例如86-13601063732),以及至少所述智能手机2对所述(例如www.chinaunionpay.com)银行帐户服务器1的生物特征验证信号YES授权数据,银行帐户服务器1根据表4启动与所述手机号(例如86-13601063732)一对一映射绑定的所述银行卡号(例如622138 6102 0562 30888)的用户登陆银行帐户服务器1或使用其特定鉴权的资源,例如将所述银行卡号(例如622138 6102 0562 30888)的金额转帐到POS机的商户的银行帐户;
如果收到智能手机2对银行帐户服务器1产生的生物特征未验证信号NO拒绝授权数据、或是银行帐户服务器1在有效时间内未收到手机2发送来的对所述银行帐户服务器1的生物特征验证信号YES授权数据,则银行帐户服务器1拒绝所述银行卡号的用户的登陆请求。
实际部署中,可以在银行的帐户服务器1的用户银行卡号认证的数据表中的卡号数据项和密码数据项下增加指纹认证数据项,用于用户在指纹认证数据项中添加或修改手机2的手机号码数据,形成传统用户名/密码认证和本发明的指纹认证的双因子认证机制。用户在POS机11刷卡消费时,可以输入密码的认证和本发明的实施方式双因子认证----用户首先进行传统的密码认证,然后再进行本实施例的指纹认证。
(3)公共代理解析装置3,如图3的阴影部分显示,至少包括有公共注册模块3-4和代理解析模块3-5;其中,
公共注册模块3-4,用于用户登记其智能手机2的手机号码(例如86-13601063732),然后申请一个等效的、用于隐藏其地址目标的、唯一对应的代理ID识别号(例如liuhongli88888),并将这两个对应绑定的数据保存在存储器3-2上。之后在用户POS机终端11或银行帐户服务器1(例如www.chinaunionpay.com)上,用户可以使用代理ID识别号(例如liuhongli88888)替代智能手机2的手机号码(例如86-13601063732),这样用户个人的手机号码不必公开;
代理解析模块3-5,用于代理智能手机2,管理其与用户POS机终端11或银行帐户服务器1通讯,并对通过公共代理解析装置3通讯的数据包中的手机号码与代理ID识别号进行等效翻译替换,同时过滤掉不合法的数据包来保护智能手机2本身的手机号码不被直接攻击;
在智能手机2通过公共代理解析装置3向用户POS机终端11或银行帐户服务器1发送通讯数据时,公共代理解析装置3将通讯数据包中发送源的智能手机2的手机号码等效翻译替换成代理ID识别号,然后将通讯数据包转发给用户POS机终端11或银行帐户服务器1;
同样相反的,当用户POS机终端11或银行帐户服务器1使用代理ID识别号通过公共代理解析装置3向智能手机2发送通讯数据的时候,公共代理解析装置3将通讯数据包中发送目的地的代理ID识别号等效翻译替换成为智能手机2的手机号码,然后将通讯数据包转发给这个手机号码的智能手机2;
例如,银行卡号622138 6102 0562 30888的用户的手机号码是86-13601063732,申请了代理ID识别号是liuhongli88888,那么,在银行帐户服务器www.chinaunionpay.com上,保存的银行卡号622138 6102 0562 30888一对一映射绑定的手机号码86-13601063732更新替换为代理ID识别号:liuhongli88888,这样,银行帐户服务器www.chinaunionpay.com上:银行卡号622138 6102 0562 30888一对一映射绑定的是liuhongli88888
在智能手机86-13601063732通过公共代理解析装置3向用户POS机终端11或银行帐户服务器www.chinaunionpay.com发送通讯数据时,公共代理解析装置3将通讯数据包中发送源的智能手机的手机号码86-13601063732等效翻译替换成代理ID识别号liuhongli88888,然后将通讯数据包转发给用户POS机终端11或银行帐户服务器www.chinaunionpay.com;
同样相反的,当用户POS机终端11或银行帐户服务器www.chinaunionpay.com使用代理ID识别号liuhongli88888通过公共代理解析装置3向智能手机86-13601063732发送通讯数据的时候,公共代理解析装置3将通讯数据包中发送目的地的代理ID识别号liuhongli88888等效翻译替换成为智能手机2的手机号码86-13601063732,然后将通讯数据包转发给智能手机86-13601063732;
代理解析模块3-5既可以是集中式的,也可以是分布式的;
当用户手机号码都是属于一个城市的时候,可以在这个城市采用一个集中式的代理解析模块3-5,代理该城市的所有手机生物认证装置2;但是,如果用户手机号码是全国分布的,就需要代理解析模块3-5分布式到各个城市,并需要将代理ID识别号事先分成不同的城市域,例如北京的代理ID识别号都包括010为首或以.bj为尾,山东以0532为首或以.sd为尾,并建立一个集中各个城市域的检索表与各个城市的域代理解析模块映射,当一个代理ID在别的城市请求代理无法得到该城市域下的代理解析,可以向集中各个城市域的检索表查询所属城市域的代理解析模块,然后请求该域代理解析模块进行代理解析。
实施例3
结合图4的步骤说明本发明的生物认证方法的一个实施例。
(401a)从装配虹膜传感器和键盘的边防检查执法部门的边检客户终端电脑11上,待认证外籍入境人士输入其签证号码并采集待认证虹膜生物特征数据,经过预处理后进行细节特征点的提取,获取虹膜生物特征的有效表示数据,通过通讯线路或和设备100向具有固定IP地址的(受限使用机器)签证服务器1发送,请求认证登陆所述固定IP地址的签证服务器1或使用其特定鉴权的资源,例如显示该入境人士的签证信息记录,
以上通讯数据都经过发送方与接收方的加密/解密模块的加密/数字签名或解密/验证签名;
(402b)所述固定IP地址的签证服务器1接收签证号码和待认证虹膜生物特征数据,根据保存在所述固定IP地址的签证服务器1的存储器上的签证号码以及与其一对一映射绑定的动态域名URL,将待认证虹膜生物特征数据通过通讯线路或和设备100,转发给所述动态域名URL的外籍入境人士的笔记本电脑2,其中所述固定IP地址的签证服务器1不必保存待认证的虹膜生物特征数据,
以上通讯数据都经过发送方与接收方的加密/解密模块的加密/数字签名或解密/验证签名;
(403c)所述动态域名URL的外籍入境人士的笔记本电脑2的虹膜生物特征比对模块,将所述待认证虹膜生物特征数据与预先保存在动态域名URL的外籍入境人士的笔记本电脑2的存储器中的外籍入境人士的虹膜生物特征模板的至少一部分比对;
其中,之前使馆在签发该签证时候使用使馆的私钥对外籍入境人士的虹膜特征模板数据和身份信息的整个数据块进行了数字签名,然后保存在所述动态域名URL的外籍入境人士的笔记本电脑2的存储器中,防止所述外籍入境人士的虹膜特征模板和身份信息被伪造或替换为别人的虹膜特征模板,所以在使用外籍入境人士的虹膜生物特征模板比对之前,首先使用使馆的数字证书在加密/解密模块2-7验证虹膜特征模板和身份信息的正确性、一致性以及完整性。数字签名验证通过后,再在所述虹膜特征摸板上对待认证虹膜特征数据进行虹膜特征数据的比对;
如果比对产生了匹配,所述动态域名URL的外籍入境人士的笔记本电脑2生成授权使用所述固定IP地址的签证服务器1的生物特征验证信号YES;
如果比对没有产生匹配,所述动态域名URL的外籍入境人士的笔记本电脑2则生成拒绝授权使用所述固定IP地址的签证服务器1的生物特征未验证信号NO;
以上通讯数据都经过发送方与接收方的加密/解密模块的加密/数字签名或解密/验证签名;
(404d)所述动态域名URL的外籍入境人士的笔记本电脑2向所述固定IP地址的签证服务器1发送授权使用所述固定IP地址的签证服务器1的生物特征验证信号YES授权数据,或发送所述动态域名URL的外籍入境人士的笔记本电脑2的生物特征未验证信号数据NO拒绝授权使用所述固定IP地址的签证服务器1;
以上通讯数据都经过发送方与接收方的加密/解密模块的加密/数字签名或解密/验证签名;
(405e)根据收到的发送源的动态域名URL的电脑2,和至少所述动态域名URL的外籍入境人士的笔记本电脑2对所述固定IP地址的签证服务器1的生物特征验证信号YES授权数据,所述签证服务器1启动与所述动态域名URL一对一映射绑定的所述签证号码的外籍人士登陆显示所述签证服务器1特定鉴权的资源,例如显示该签证号码的入境人士的年龄、入境的记录等;
如果收到包含所述动态域名URL的外籍入境人士的笔记本电脑2对所述固定IP地址的签证服务器1的生物特征未验证信号NO拒绝授权数据,或者所述固定IP地址的签证服务器1在有效时间内未收到动态域名URL的外籍入境人士的笔记本电脑2发送来的对所述固定IP地址的签证服务器1的生物特征验证信号授权数据,则所述固定IP地址的签证服务器1拒绝所述外籍入境人士的登陆请求,也就可以判定该外籍入境人士为非法入境;
以上通讯数据都经过发送方与接收方的加密/解密模块的加密/数字签名或解密/验证签名。
本实施例中,可以使用动态域名URL来识别发送目的地,但是无法识别发送源,所以必须组合所述动态域名URL的外籍入境人士的笔记本电脑2的数字签名、数字证书来识别。
当然也可以通过组合动态域名URL的外籍入境人士的笔记本电脑2的CPU编号、存储器编号、网卡编号来识别。这些技术在本领域都是公知的。
实施例4
参照图5显示的步骤说明本发明的生物认证方法的另一个实施例
(501a)从证券交易终端机11上,待认证证券交易人员输入证券帐户号码,并采集证券交易人员待认证指纹特征数据,经过预处理后进行细节特征点的提取,获取指纹特征的有效表示数据,
通过通讯线路或和设备100向具有固定IP地址的证券交易管理服务器1(受限使用机器)发送,请求认证登陆使用所述证券交易管理服务器1使用其特定鉴权的资源,如进行证券交易或和转帐;
(502b)根据预先保存在证券交易管理服务器1的存储器上所述证券交易人员的证券帐户号码,以及与其一对一映射绑定的手机号码,所述证券交易管理服务器1只接收证券交易人员的证券帐户号码并向所述手机号码的智能手机2发送指纹特征验证请求消息,并将所述手机号码反馈发送给证券交易终端机11;
(503c)证券交易终端机11将所述证券交易人员的待认证指纹特征数据直接传送到所述手机号码的智能手机2上;
(504d)智能手机2的生物特征比对模块,将待认证的指纹特征数据与保存在手机2的存储器中的证券交易人员的指纹特征模板的至少一部分比对;
如果比对产生了匹配,所述智能手机2生成授权使用所述证券交易管理服务器1的生物特征验证信号YES;
如果比对没有产生匹配,所述智能手机2生成拒绝授权使用证券交易管理服务器1的生物特征未验证信号NO;
(505e)所述手机号码的智能手机2向所述固定IP地址的证券交易管理服务器1发送授权使用所述证券交易管理服务器1的生物特征验证信号YES授权数据,或发送所述手机号码的智能手机2的生物特征未验证信号NO数据拒绝授权使用所述固定IP地址的银证券交易管理服务器1;
(506f)根据收到的发送源的手机号码,以及至少所述智能手机2对所述证券交易管理服务器1的生物特征验证信号YES授权数据,证券交易管理服务器1启动与所述手机号一对一映射绑定的所述证券帐户号码的证券交易人员登陆证券交易管理服务器1使用其特定鉴权的资源,例如进行证券交易。
如果收到智能手机2对证券交易管理服务器1产生的生物特征未验证信号NO拒绝授权数据、或是证券交易管理服务器1在有效时间内未收到手机2发送来的对所述证券交易管理服务器1的生物特征验证信号YES授权数据,则证券交易管理服务器1拒绝所述银行卡号的用户的登陆请求。
实施例5
参照图6显示的步骤说明本发明的生物认证方法的再一个实施例:
其中,社保服务器1的存储器上预选保存了用户的社保卡号,以及与其一对一映射绑定的用户家庭电脑2的动态域名;
(601a)从社保定点药店的电脑终端11上,待认证社保用户刷卡或输入社保服务器1(受限使用机器)的IP地址并采集待认证脸谱生物特征数据,经过预处理后进行细节特征点的提取,获取人脸脸谱生物特征的有效表示数据,利用键盘输入用户的家庭电脑2的动态域名并通过通讯线路或和设备100,连同电脑终端11的IP地址,向具有动态域名的的家庭电脑2发送请求认证登陆使用社保服务器1或使用其特定鉴权的资源,例如,从其社保帐户扣款购买医保优惠折扣的医药;
(602b)使用所述动态域名的家庭电脑2中安装的生物特征比对模块,将待认证的人脸脸谱生物特征数据与保存在家庭电脑2的存储器中用户的人脸脸谱生物特征模板的至少一部分比对;
如果比对产生了匹配,所述动态域名的家庭电脑2生成授权使用所述IP地址社保服务器1生物特征验证信号YES;
如果比对没有产生匹配,则所述动态域名的家庭电脑2则生成拒绝授权使用社保服务器1的生物特征未验证信号NO;
(603c)所述动态域名的家庭电脑2,连同个人电脑11的IP地址数据,向所述固定IP地址的社保服务器1发送授权使用(505e)所述社保服务器1的生物特征验证信号YES数据,或发送所述动态域名家庭电脑2的生物特征未验证信号NO数据拒绝授权使用所述IP地址的社保服务器1;
(604d)根据收到的发送源的家庭电脑2的动态域名,以及至少所述家庭电脑2对所述社保服务器1的生物特征验证信号YES授权数据,社保服务器1启动与所述动态域名置一对一映射绑定的所述社保卡号用户,从所述IP地址的客户终端11上,使用社保服务器1或使用其特定鉴权的资源,例如,从其社保帐户扣款购买医保优惠折扣或免费的医药服务;
如果收到包含所述家庭电脑2对所述社保服务器1的生物特征未验证信号NO拒绝授权数据,则社保服务器1拒绝与所述家庭电脑2的动态域名一对一映射绑定的所述社保卡号的用户的登陆请求。
本实施例中,可以使用动态域名URL来识别发送目的地,但是无法识别发送源,所以必须组合所述动态域名家庭电脑2的数字签名、数字证书或家庭电脑2的CPU编号、存储器编号、网卡编号来识别。
实施例6
再参照图6显示的步骤说明本发明的生物认证方法的另一个实施例,其中,用户客户终端ID识别号与生物认证装置的ID识别号相同,也就是以生物认证装置2(这里是手机)本身同时作为客户终端11(这里是相同的手机);手机银行服务器1的存储器上预选保存了如表4所示用户的银行卡号,以及与其一对一映射绑定的用户手机2的手机号码。步骤如下:
(601a)用户从作为客户终端的个人智能手机11上,待认证手机银行用户使用手机键盘输入手机银行帐户服务器1(即受限使用机器)的网址URL(例如www.cmbchina.com)并采集待认证指纹生物特征原始数据,经过预处理后进行细节特征点的提取,获取指纹生物特征的有效表示数据。这时,作为客户终端11的手机与同时作为生物认证装置2的手机合并,就是智能手机11或2本身,默认情况下就是智能手机本机的本机手机号码(例如86-13601063732),通过合并的系统总线/300400,向本机也作为生物认证装置的智能手机2发送请求认证登陆使用手机银行帐户服务器1(例如www.cmbchina.com)或使用其特定鉴权的资源,例如,从其手机银行帐户上转帐;
(602b)使用本机(例如86-13601063732)作为生物认证装置的智能手机2的指纹特征比对模块,将待认证的指纹生物特征数据与本机作为生物认证装置的智能手机2的保存在存储器中用户的指纹生物特征模板的至少一部分比对;
如果比对产生了匹配,所述本机(例如86-13601063732)作为生物认证装置的智能手机2生成授权使用所述(例如www.cmbchina.com)网址URL手机银行帐户服务器1生物特征验证信号YES;
如果比对没有产生匹配,则所述本机作为生物认证装置的智能手机2则生成拒绝授权使用手机银行帐户服务器1的生物特征未验证信号NO;
(603c)所述本机(例如86-13601063732)作为生物认证装置的智能手机2,向所述网址URL(例如www.cmbchina.com)的手机银行帐户服务器1发送授权使用所述手机银行帐户服务器1的生物特征验证信号YES数据,或发送所述本机作为生物认证装置的智能手机2的生物特征未验证信号NO数据拒绝授权使用所述网址URL的手机银行帐户服务器1;
(604d)根据收到的发送源的本机作为生物认证装置的智能手机2的手机号码(例如86-13601063732),以及至少所述本机(例如86-13601063732)作为生物认证装置的智能手机2对所述(例如www.cmbchina.com)手机银行帐户服务器1的生物特征验证信号YES授权数据,手机银行帐户服务器1根据表4启动与所述本机作为生物认证装置的智能手机2的手机号码(例如86-13601063732)一对一映射绑定的所述银行卡号(例如622138 6102 0562 30888)的用户,从所述(例如86-13601063732)手机号码作为客户终端11本机上,使用手机银行帐户服务器1(例如www.cmbchina.com)或使用其特定鉴权的资源,例如,从其银行卡号622138 61020562 30888上转帐;
如果收到包含所述本机作为生物认证装置的智能手机2(例如86-13601063732)对所述手机银行帐户服务器1的生物特征未验证信号NO拒绝授权数据,则手机银行帐户服务器1(例如www.cmbchina.com)拒绝与所述向本机作为生物认证装置的智能手机2的手机号码一对一映射绑定的所述银行卡号(例如622138 6102 0562 30888)的用户的登陆请求。
本实施例的认证系统结构示意图如图7所显示,其中智能手机中的用户客户终端11与生物认证装置2的部分硬件是合并共享的,包括处理器2-1/11-1,存储器2-2/11-2,系统总线300/400,数据通讯接口2-3/11-3;
手机上还包括以这些共享硬件为基础组成的程序代码功能模块:指纹特征提取模块2-5,加密/解密模块2-7,指纹特征比对模块2-4,通讯管理模块2-6;
手机银行帐户服务器1上包括认证模块1-4,加密/解密模块1-7;
这些功能模块在前面的实施例中已经做了说明。
虽然结合附图描述了本发明的几个实施例,但是本领域普通技术人员可以在所附权利要求的范围内作出各种变形或修改。例如,可以变换其他的具体生物认证的方式,包括人体的指纹特征鉴别数据、脸谱特征识别数据、视网膜图象特征识别数据、掌纹识别数据、掌背静脉脉络图象识别数据、语言识别数据、笔迹识别数据,步态,DNA,等等。
生物认证装置的硬件不仅仅可以是手机,PDA,掌上电脑,笔记本电脑,台式电脑,而且可以是专用的生物认证装置独立设备,甚至是数字家电设备,这些硬件也适合公共代理解析装置、受限使用机器,它们都是常规计算机系统、微控制器系统或嵌入系统结构,如图8所显示。
说明书中所描述的只是该发明的具体实施方式,各种举例说明不对发明的实质内容构成限制,所属技术领域的普通技术人员在阅读了说明书后可以对以上所叙述的具体实施方式做修改或变形,而不背离发明的实质和范围。
Claims (10)
1、一种基于生物特征的认证系统,其特征在于:用户基于在终端持有的生物传感器和ID识别号输入装置使用该系统;包括有,
(1)基于生物特征的具有ID识别号的受限使用机器,至少具有存储器、认证模块;其中,
存储器,用于预先存储每个用户的ID识别号,以及与该用户ID识别号唯一对应绑定的生物认证装置的ID识别号;
认证模块,用于启动用户登陆具有ID识别号的受限使用机器来使用其特定鉴权的信息资源,
所述受限使用机器的认证模块,至少收到具有ID识别号的生物认证装置发来的,授权登陆或使用所述ID识别号的受限使用机器的一个生物特征验证数据,根据存储器上预先保存的与所述生物认证装置ID识别号对应绑定的用户ID识别号,认证模块启动所述ID识别号的用户登陆所述ID识别号的受限使用机器,或允许所述ID识别号用户使用所述ID识别号的受限使用机器特定鉴权的资源;
否则认证模块拒绝用户登陆所述ID识别号的受限使用机器或使用其特定鉴权的资源;
(2)基于生物特征的具有ID识别号的生物认证装置,至少具有生物特征比对模块、通讯管理模块;其中,
生物特征比对模块,用于将待认证生物特征数据与预先保存在生物认证装置中用户的生物特征模板的至少一部分进行比对并产生一个匹配验证结果数据;
通讯管理模块,用于管理具有ID识别号的生物认证装置与具有ID识别号的受限使用机器之间的数据通讯,
所述生物认证装置的通讯管理模块,在收到请求登陆受限使用机器的ID识别号、以及待认证生物特征数据后,经过生物特征比对模块的匹配比对而产生一个验证结果数据并发送至所述ID识别号的受限使用机器,即所述ID识别号的生物认证装置向所述ID识别号的受限使用机器发送授权使用所述受限使用机器的生物特征验证信号数据,或发送所述ID识别号生物认证装置的生物特征未验证信号数据拒绝授权使用所述ID识别号的受限使用机器。
2、根据权利要求1所述的基于生物特征的认证系统,其特征在于:
具有ID识别号的受限使用机器具有通讯转发模块,用于接收用户ID识别号和待认证生物特征数据,并根据存储器上预先保存的与用户ID识别号唯一对应绑定的生物认证装置ID识别号,将待认证生物特征数据通过通讯线路或和设备,转发给唯一对应绑定的ID识别号的生物认证装置以进行验证;
或是,通讯转发模块只接收用户ID识别号,根据预先保存在存储器上与用户ID识别号唯一对应绑定的生物认证装置ID识别号,通知所述ID识别号的生物认证装置所述的受限使用机器请求生物特征验证,并将生物认证装置ID识别号反馈给用户客户终端;用户客户终端,再将待认证生物特征数据直接发到所述ID识别号的生物认证装置请求进行生物特征比对验证,并将反馈验证结果数据传送给所述受限使用机器。
具有ID识别号的生物认证装置包括生物特征提取模块、解压缩模块或加密/解密模块;其中,
解压缩模块,用于对已经压缩的待认证生物特征原始数据进行解压缩为生物特征原始数据;
生物特征提取模块,用于从生物特征原始数据中提取生物特征数据;
加密/解密模块,用于第三方使用其私钥对用户的生物特征模板数据或和身份信息的整个数据块进行数字签名,然后保存在所述生物认证装置的存储器中,防止所述用户的生物特征模板被伪造或替换;以及在进行生物特征身份认证时,先要使用第三方的数字证书验证生物特征模板或和身份信息的一致性、完整性以及正确性;验证数字签名通过后再在所述生物特征摸板上进行生物特征数据的比对。
3、根据权利要求1或2所述的基于生物特征的认证系统,其特征在于:
存储器,用于存储每个用户的ID识别号,以及与用户ID识别号一对一映射绑定的生物认证装置的ID识别号;
所述受限使用机器的认证模块,至少收到具有ID识别号的生物认证装置发来的,授权登陆或使用所述ID识别号的受限使用机器的一个生物特征验证数据,根据存储器上保存的与所述生物认证装置ID识别号一对一映射绑定的用户ID识别号,认证模块启动所述ID识别号的用户登陆所述ID识别号的受限使用机器,或允许所述ID识别号用户使用所述ID识别号的受限使用机器特定鉴权的资源;
具有ID识别号的受限使用机器具有通讯转发模块,用于接收用户ID识别号和待认证生物特征数据,并根据存储器上预先保存的与用户ID识别号一对一映射绑定的生物认证装置ID识别号,将待认证生物特征数据通过通讯线路或和设备,转发给一对一映射绑定的ID识别号的生物认证装置以进行验证;
或是,通讯转发模块只接收用户ID识别号,根据预先保存在存储器上与用户ID识别号一对一映射绑定的生物认证装置ID识别号,通知所述ID识别号的生物认证装置所述的受限使用机器请求生物特征验证,并将生物认证装置ID识别号反馈给用户客户终端;用户客户终端,再将待认证生物特征数据直接发到所述ID识别号的生物认证装置请求进行生物特征比对验证,并将反馈验证结果数据传送给所述受限使用机器。
4、根据权利要求1、2或3所述的基于生物特征的认证系统,其特征在于:
所述受限使用机器或用户客户终端具有加密/解密模块,用于它们之间与所述生物认证装置的加密/解密模块配合,对受限使用机器、生物认证装置或用户客户终端之间的通讯数据进行加密/解密和数字签名/验证,并在其存储器上保存各自的私钥;
所述受限使用机器的ID识别号是其CPU编号、存储器编号、网卡编号;或是其通讯的域名、URL、网址、IP4的IP地址、IP6的IP地址、主机名、端口号、数字签名、数字证书或其他可以识别受限使用机器的识别号;或是上述数据的组合;
所述生物认证装置ID识别号是其CPU编号、存储器编号、网卡编号,或是其网络通讯的移动通讯设备编号、手机号码、域名、动态域名、URL、网址、IP6的IP地址、移动IP地址、主机名、端口号、数字签名、数字证书或其他可以识别生物认证装置的识别号,或上述数据的组合;
所述通讯线路既可以是计算机内部的各种总线、并行线路、串行线路,也可以是计算机外的各种局域网、广域网、移动无线网或互联网通讯线路以及支持其进行数据传输的设备,其中,与生物认证装置连接的通讯线路是拨号上网、ISDN、ADSL等的电话线,家庭有线电视数据网,电力数据网,或者GPRS、CDMA、3G的无线移动网等客户端上网线路。
5、根据权利要求1、2、3或4所述的基于生物特征的认证系统,其特征在于:包括有一公共代理解析装置,该公共代理解析装置至少具有公共注册模块和代理解析模块;其中,
公共注册模块,用于用户登记其生物认证装置的ID识别号,然后申请一个等效的、用于隐藏其地址目标的、唯一对应的代理ID识别号,并将这两个对应绑定的数据保存在存储器上;在用户客户终端或受限使用机器上,用户可以使用代理ID识别号代替生物认证装置ID识别号;
代理解析模块,用于代理生物认证装置,管理其与用户客户终端或受限使用机器通讯,并对通过公共代理解析装置通讯的数据包中的生物认证装置的ID识别号与代理ID识别号进行等效翻译替换,同时过滤掉不合法的数据包来保护生物认证装置本身的ID识别号不被直接攻击;
在生物认证装置通过公共代理解析装置向用户客户终端或受限使用机器发送通讯数据时,代理解析模块将通讯数据包中发送源的生物认证装置的ID识别号等效翻译替换成代理ID识别号,然后将通讯数据包转发给用户客户终端或受限使用机器;
当用户客户终端或受限使用机器使用代理ID识别号通过公共代理解析装置向生物认证装置发送通讯数据的时候,代理解析模块将通讯数据包中发送目的地的代理ID识别号等效翻译替换成为生物认证装置的ID识别号,然后将通讯数据包转发给所述ID识别号的生物认证装置;
代理解析模块既可以是集中式的,也可以是分布式的。
6、根据权利要求5所述的基于生物特征的认证系统,其特征在于:
所述的生物特征是ID识别号用户的指纹特征数据;
所述的生物认证装置是手机。
7、一种基于生物特征的身份认证方法,其特征在于:其使用流程是,
(a)从用户客户终端上,待认证用户输入用户ID识别号并采集待认证生物特征数据,通过通讯线路或和设备向具有ID识别号的受限使用机器发送,请求认证登陆使用所述ID识别号的受限使用机器或使用其特定鉴权的资源;
(b)所述ID识别号的受限使用机器接收用户ID识别号和待认证生物特征数据,根据预先保存在所述受限使用机器的存储器上的所述用户ID识别号以及与其唯一对应绑定的生物认证装置ID识别号,将待认证生物特征数据通过通讯线路或和设备,转发给所述ID识别号的生物认证装置,其中所述ID识别号的受限使用机器可以不保存待认证的生物特征数据;
(c)所述生物认证装置的生物特征比对模块,将所述待认证生物特征数据与预先保存在存储器中的用户的生物特征模板的至少一部分比对;
如果比对产生了匹配,所述ID识别号的生物认证装置则生成授权使用所述ID识别号的受限使用机器的生物特征验证信号;
如果比对没有产生匹配,所述ID识别号的生物认证装置则生成拒绝授权使用所述ID识别号的受限使用机器的生物特征未验证信号;
(d)所述ID识别号的生物认证装置向所述ID识别号的受限使用机器发送授权使用所述受限使用机器的生物特征验证信号数据,或发送所述ID识别号的生物特征未验证信号数据拒绝授权使用所述ID识别号的受限使用机器;
(e)根据收到的发送源的生物认证装置ID识别号,和至少所述ID识别号的生物认证装置对受限使用机器的生物特征验证信号授权数据,受限使用机器启动与所述ID识别号的生物认证装置对应绑定的所述ID识别号用户使用受限使用机器或使用其特定鉴权的资源;
如果收到包含所述ID识别号的生物认证装置对受限使用机器的生物特征未验证信号拒绝授权数据,或者所述受限使用机器在有效时间内未收到生物认证装置发送来的对受限使用机器的的生物特征验证信号授权数据,则受限使用机器拒绝所述用户的登陆请求。
8、一种基于生物特征的身份认证方法,其特征在于:包括有以下执行流程,
(a)从用户客户终端上,待认证用户输入用户ID识别号并采集待认证生物特征数据,通过通讯线路或和设备向具有ID识别号的受限使用机器发送,请求认证登陆使用所述受限使用机器或使用其特定鉴权的资源;
(b)根据预先保存在存储器上所述用户ID识别号以及与其唯一对应绑定的生物认证装置ID识别号,所述受限使用机器只接收用户ID识别号并向生物认证装置发送生物特征验证请求消息,将所述生物认证装置ID识别号反馈发送给用户客户终端;
(c)用户客户终端将所述ID识别号用户的待认证生物特征数据直接传送到所述ID识别号的生物认证装置;
(d)生物认证装置的生物特征比对模块,将待认证的生物特征数据与预先保存在存储器中的用户的生物特征模板的至少一部分比对;
如果比对产生了匹配,所述生物认证装置生成授权使用所述受限使用机器的生物特征验证信号;
如果比对没有产生匹配,所述生物认证装置生成拒绝授权使用受限使用机器的生物特征未验证信号;
(e)所述ID识别号的生物认证装置向所述ID识别号的受限使用机器发送授权使用所述受限使用机器的生物特征验证信号数据,或发送所述ID识别号的生物特征未验证信号数据拒绝授权使用所述ID识别号的受限使用机器;
(f)根据收到的发送源的生物认证装置ID识别号,以及至少所述生物认证装置对所述受限使用机器的生物特征验证信号授权数据,受限使用机器启动与所述ID识别号的生物认证装置对应绑定的所述ID识别号用户使用受限使用机器或使用其特定鉴权的资源;
如果收到生物认证装置对受限使用机器的生物特征产生未验证信号拒绝授权数据、或是受限使用机器在有效时间内未收到生物认证装置发送来对所述受限使用机器的生物特征验证信号授权数据,则受限使用机器拒绝所述ID识别号用户的登陆请求。
9、一种基于生物特征的身份认证方法,其特征在于:包括有以下实现流程,
(a)从用户客户终端上,待认证用户输入受限使用机器的ID识别号并采集待认证生物特征数据,通过通讯线路或和设备,向具有ID识别号的生物认证装置发送请求认证登陆使用所述受限使用机器或使用其特定鉴权的资源;
(b)使用所述生物认证装置的生物特征比对模块,将待认证的生物特征数据与预先保存在存储器中用户的生物特征模板的至少一部分比对;
如果比对产生了匹配,所述生物认证装置生成授权使用所述受限使用机器的生物特征验证信号;
如果比对没有产生匹配,则所述生物认证装置生成拒绝授权使用受限使用机器的生物特征未验证信号;
(c)所述ID识别号的生物认证装置向所述ID识别号的受限使用机器发送授权使用所述受限使用机器的生物特征验证信号数据,或发送所述ID识别号的生物特征未验证信号数据拒绝授权使用所述ID识别号的受限使用机器;
(d)根据收到的发送源的生物认证装置ID识别号,以及至少所述生物认证装置对所述受限使用机器的生物特征验证信号授权数据,受限使用机器启动与所述ID识别号的生物认证装置对应绑定的所述ID识别号用户使用受限使用机器或使用其特定鉴权的资源;
如果收到包含所述生物认证装置对所述受限使用机器的生物特征未验证信号拒绝授权数据,则受限使用机器拒绝与所述ID识别号的生物认证装置对应绑定的所述ID识别号用户的登陆请求;
其中,所述受限使用机器的存储器上预先保存所述用户ID识别号以及与其唯一对应绑定的生物认证装置ID识别号。
10、根据权利要求7、8或9所述的基于生物特征的身份认证方法,其特征在于:
存储器上预先保存所述用户ID识别号以及与其一对一映射绑定的生物认证装置ID识别号,其中;
根据与预先保存在所述受限使用机器存储器上用户ID识别号一对一映射绑定的生物认证装置ID识别号,所述ID识别号的受限使用机器接收用户ID识别号和待认证生物特征数据,将待认证生物特征数据通过通讯线路或和设备,转发给所述ID识别号的生物认证装置;
或根据保存在存储器上所述用户ID识别号以及与其一对一映射绑定的生物认证装置ID识别号,所述受限使用机器只接收用户ID识别号并向生物认证装置发送生物特征验证请求消息,将所述生物认证装置ID识别号反馈发送给用户客户终端;用户客户终端将所述ID识别号用户的待认证生物特征数据直接传送到所述ID识别号的生物认证装置;
根据收到的发送源的生物认证装置ID识别号,和至少所述ID识别号的生物认证装置对受限使用机器的生物特征验证信号授权数据,受限使用机器启动与所述ID识别号的生物认证装置一对一映射绑定的所述ID识别号用户使用受限使用机器或使用其特定鉴权的资源;
从任何配置有生物传感器的用户客户终端上采集待认证生物特征数据,连同用户客户终端ID识别号通过通讯线路或和设备,向所述受限使用机器或生物认证装置发送请求认证登陆使用受限使用机器或使用其特定鉴权的资源;
当通过认证授权以后,所述受限使用机器可以根据用户客户终端ID识别号向用户客户终端直接发送反馈数据;
用户客户终端ID识别号也可以与生物认证装置的ID识别号相同;
用户客户终端、受限使用机器或生物认证装置的ID识别号可以是它们各自的CPU编号、存储器编号、网卡编号;或是其通讯的域名、URL、网址、IP地址、移动IP地址、主机名、端口号、数字签名、数字证书或其它可以识别它们各自的识别号;或是上述数据的组合。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2008100978466A CN101330386A (zh) | 2008-05-19 | 2008-05-19 | 基于生物特征的认证系统及其身份认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2008100978466A CN101330386A (zh) | 2008-05-19 | 2008-05-19 | 基于生物特征的认证系统及其身份认证方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101330386A true CN101330386A (zh) | 2008-12-24 |
Family
ID=40205996
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2008100978466A Pending CN101330386A (zh) | 2008-05-19 | 2008-05-19 | 基于生物特征的认证系统及其身份认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101330386A (zh) |
Cited By (56)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101478541A (zh) * | 2008-10-21 | 2009-07-08 | 刘洪利 | 一种生物特征认证方法,以及一种生物特征认证系统 |
WO2010075762A1 (zh) * | 2009-01-05 | 2010-07-08 | Liu Hongli | 一种生物特征认证方法,以及一种生物特征认证系统 |
CN101789064A (zh) * | 2010-02-10 | 2010-07-28 | 华为终端有限公司 | 基于生物识别鉴权的方法和装置 |
CN101958795A (zh) * | 2009-07-15 | 2011-01-26 | 索尼公司 | 密钥存储设备及管理方法与生物认证设备、系统及方法 |
CN102034034A (zh) * | 2009-09-30 | 2011-04-27 | 株式会社日立制作所 | 生物认证装置 |
CN102034060A (zh) * | 2010-12-23 | 2011-04-27 | 东莞宇龙通信科技有限公司 | 一种操作权限控制方法、系统及移动终端 |
CN102411798A (zh) * | 2011-08-30 | 2012-04-11 | 北京西岭网络科技有限公司 | 考勤系统及方法 |
CN102523213A (zh) * | 2011-12-13 | 2012-06-27 | 华为终端有限公司 | 服务器、终端鉴权方法以及服务器、终端 |
CN102769531A (zh) * | 2012-08-13 | 2012-11-07 | 鹤山世达光电科技有限公司 | 身份认证装置及其方法 |
CN102833235A (zh) * | 2012-08-13 | 2012-12-19 | 鹤山世达光电科技有限公司 | 身份认证及管理装置及其方法 |
WO2013000144A1 (zh) * | 2011-06-30 | 2013-01-03 | 深圳市君盛惠创科技有限公司 | 提供应用服务的方法、无线应用协议网关及系统 |
CN103246900A (zh) * | 2012-02-09 | 2013-08-14 | 尤星 | 一种会员卡的在线鉴别方法及系统 |
CN103345703A (zh) * | 2013-06-17 | 2013-10-09 | 上海方付通商务服务有限公司 | 基于图像验证的银行业务交易认证方法及系统 |
CN103593618A (zh) * | 2013-10-28 | 2014-02-19 | 北京实数科技有限公司 | 电子数据证据的可采用性验证方法及系统 |
CN103678980A (zh) * | 2013-12-06 | 2014-03-26 | 北京奇虎科技有限公司 | 智能终端的安全保护方法及其装置 |
CN103761466A (zh) * | 2014-02-14 | 2014-04-30 | 上海云享科技有限公司 | 一种身份验证的方法及装置 |
CN103941652A (zh) * | 2013-01-22 | 2014-07-23 | 浙江安科网络技术有限公司 | 一种适用于各类dcs生产控制系统安全防护与安全审计的方法与装置 |
CN103997504A (zh) * | 2014-06-13 | 2014-08-20 | 谭知微 | 身份验证系统及身份验证方法 |
CN104321779A (zh) * | 2014-08-15 | 2015-01-28 | 深圳市杰仕博科技有限公司 | 基于移动终端的电子雾化装置的鉴权装置及方法 |
CN104364790A (zh) * | 2012-06-11 | 2015-02-18 | 赛门铁克公司 | 用于实施多因素认证的系统和方法 |
CN104917783A (zh) * | 2014-03-10 | 2015-09-16 | 杨济忠 | 人体生物信息网络生态系统交互运行方法 |
CN105069494A (zh) * | 2015-07-29 | 2015-11-18 | 浙江万里学院 | 一种身份信息识别系统及其使用方法 |
CN105100108A (zh) * | 2015-08-18 | 2015-11-25 | 赛肯(北京)科技有限公司 | 一种基于人脸识别的登录认证方法、装置及系统 |
CN105187412A (zh) * | 2015-08-18 | 2015-12-23 | 赛肯(北京)科技有限公司 | 一种基于手势识别的登录认证方法、装置及系统 |
CN105871925A (zh) * | 2016-06-15 | 2016-08-17 | 北京天诚盛业科技有限公司 | 一种用户终端、生物识别云服务器及社保平台服务器 |
CN106302511A (zh) * | 2016-08-31 | 2017-01-04 | 深圳前海弘稼科技有限公司 | 种植箱与用户绑定的方法、服务器、种植箱以及种植系统 |
WO2017000829A1 (zh) * | 2015-07-02 | 2017-01-05 | 阿里巴巴集团控股有限公司 | 一种基于生物特征的安全校验方法及客户端、服务器 |
CN106599782A (zh) * | 2016-11-08 | 2017-04-26 | 金虎林 | 利用虹膜特征点位置信息的认证方法 |
CN106603563A (zh) * | 2016-12-30 | 2017-04-26 | 厦门市美亚柏科信息股份有限公司 | 基于生物特征识别的信息安全实现方法和系统 |
CN106919823A (zh) * | 2015-12-28 | 2017-07-04 | 航天信息股份有限公司 | 一种粮食管理方法、操作终端、服务器及粮食管理系统 |
CN106971101A (zh) * | 2017-03-30 | 2017-07-21 | 山东超越数控电子有限公司 | 一种指静脉识别可信运行控制方法和系统 |
CN107196901A (zh) * | 2017-03-30 | 2017-09-22 | 阿里巴巴集团控股有限公司 | 一种身份注册及认证的方法及装置 |
CN107292149A (zh) * | 2016-04-11 | 2017-10-24 | 上海建朗信息科技有限公司 | 平板电脑虹膜签章系统 |
WO2017193645A1 (zh) * | 2016-12-14 | 2017-11-16 | 华为技术有限公司 | 一种显示数据的方法、装置和终端 |
CN108245145A (zh) * | 2018-01-18 | 2018-07-06 | 日照职业技术学院 | 一种健康监测系统 |
CN108877098A (zh) * | 2018-05-04 | 2018-11-23 | 平安科技(深圳)有限公司 | 无卡取款方法及装置、系统、存储介质和电子设备 |
CN108875340A (zh) * | 2017-05-16 | 2018-11-23 | 苹果公司 | 使用远程用户生物特征的电子设备操作 |
CN108989331A (zh) * | 2018-08-09 | 2018-12-11 | 芜湖机智智能科技有限公司 | 数据存储设备的使用鉴权方法及其设备和存储介质 |
CN109067880A (zh) * | 2018-08-09 | 2018-12-21 | 芜湖机智智能科技有限公司 | 共享设备的远程解锁方法及其装置、设备和存储介质 |
CN109067881A (zh) * | 2018-08-09 | 2018-12-21 | 顾宏超 | 远程授权方法及其装置、设备和存储介质 |
CN109117617A (zh) * | 2018-08-09 | 2019-01-01 | 芜湖机智智能科技有限公司 | 自助服务终端的远程鉴权方法及其装置、设备和存储介质 |
CN109118237A (zh) * | 2018-08-09 | 2019-01-01 | 芜湖机智智能科技有限公司 | 自助设施的预支付方法、及其装置和存储介质 |
CN109145561A (zh) * | 2018-08-09 | 2019-01-04 | 芜湖机智智能科技有限公司 | 计算机的鉴权方法及其设备和存储介质 |
CN109150535A (zh) * | 2017-06-19 | 2019-01-04 | 中国移动通信集团公司 | 一种身份认证方法、设备、计算机可读存储介质及装置 |
CN109196538A (zh) * | 2016-05-04 | 2019-01-11 | 西尔维奥·米卡利 | 分布式交易传播和验证系统 |
CN109194624A (zh) * | 2018-08-09 | 2019-01-11 | 芜湖机智智能科技有限公司 | 工程机械设备的使用鉴权方法及其设备和存储介质 |
CN109214154A (zh) * | 2017-06-29 | 2019-01-15 | 佳能株式会社 | 信息处理装置和方法 |
CN109544367A (zh) * | 2018-10-27 | 2019-03-29 | 平安医疗健康管理股份有限公司 | 一种基于数据处理的医保卡刷卡处理方法及相关设备 |
CN109919635A (zh) * | 2019-02-26 | 2019-06-21 | 河北泊松信息科技有限公司 | 一种物品鉴权方法及装置 |
CN109951437A (zh) * | 2019-01-14 | 2019-06-28 | 平安科技(深圳)有限公司 | 基于人脸识别的安全认证方法、装置以及服务器 |
WO2019144948A1 (en) * | 2018-01-27 | 2019-08-01 | Redrock Biometrics Inc | Decentralized biometric authentication platform |
CN110121697A (zh) * | 2016-11-22 | 2019-08-13 | 西恩·万·范 | 确定访问权限的系统、方法及介质 |
CN111034153A (zh) * | 2017-07-31 | 2020-04-17 | 株式会社理光 | 通信系统,分散处理系统,分布式处理方法和记录介质 |
CN111066025A (zh) * | 2017-09-09 | 2020-04-24 | 苹果公司 | 用于困难生物识别认证情况的静脉匹配 |
US11108577B2 (en) * | 2013-04-28 | 2021-08-31 | Tencent Technology (Shenzhen) Company Limited | Method and apparatus for establishing chat group |
US11210884B2 (en) | 2014-01-23 | 2021-12-28 | Apple Inc. | Electronic device operation using remote user biometrics |
-
2008
- 2008-05-19 CN CNA2008100978466A patent/CN101330386A/zh active Pending
Cited By (85)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101478541A (zh) * | 2008-10-21 | 2009-07-08 | 刘洪利 | 一种生物特征认证方法,以及一种生物特征认证系统 |
WO2010075762A1 (zh) * | 2009-01-05 | 2010-07-08 | Liu Hongli | 一种生物特征认证方法,以及一种生物特征认证系统 |
CN101958795B (zh) * | 2009-07-15 | 2013-06-05 | 索尼公司 | 密钥存储设备及管理方法与生物认证设备、系统及方法 |
CN101958795A (zh) * | 2009-07-15 | 2011-01-26 | 索尼公司 | 密钥存储设备及管理方法与生物认证设备、系统及方法 |
CN102034034A (zh) * | 2009-09-30 | 2011-04-27 | 株式会社日立制作所 | 生物认证装置 |
CN102034034B (zh) * | 2009-09-30 | 2014-03-19 | 株式会社日立制作所 | 生物认证装置 |
CN101789064A (zh) * | 2010-02-10 | 2010-07-28 | 华为终端有限公司 | 基于生物识别鉴权的方法和装置 |
CN102034060A (zh) * | 2010-12-23 | 2011-04-27 | 东莞宇龙通信科技有限公司 | 一种操作权限控制方法、系统及移动终端 |
US9198036B2 (en) | 2011-06-30 | 2015-11-24 | Shenzhen Junshenghuichuang Technologies Co., Ltd. | Method for providing application service |
WO2013000144A1 (zh) * | 2011-06-30 | 2013-01-03 | 深圳市君盛惠创科技有限公司 | 提供应用服务的方法、无线应用协议网关及系统 |
US9544769B2 (en) | 2011-06-30 | 2017-01-10 | Minsheng Wang | Method for providing application service |
US9986433B2 (en) | 2011-06-30 | 2018-05-29 | Dongguan Ruiteng Electronics Technologies Co., Ltd | Wireless application protocol gateway |
CN102411798A (zh) * | 2011-08-30 | 2012-04-11 | 北京西岭网络科技有限公司 | 考勤系统及方法 |
CN102523213A (zh) * | 2011-12-13 | 2012-06-27 | 华为终端有限公司 | 服务器、终端鉴权方法以及服务器、终端 |
CN102523213B (zh) * | 2011-12-13 | 2014-09-17 | 华为终端有限公司 | 服务器、终端鉴权方法以及服务器、终端 |
CN103246900A (zh) * | 2012-02-09 | 2013-08-14 | 尤星 | 一种会员卡的在线鉴别方法及系统 |
CN104364790B (zh) * | 2012-06-11 | 2017-06-20 | 赛门铁克公司 | 用于实施多因素认证的系统和方法 |
CN104364790A (zh) * | 2012-06-11 | 2015-02-18 | 赛门铁克公司 | 用于实施多因素认证的系统和方法 |
CN102769531A (zh) * | 2012-08-13 | 2012-11-07 | 鹤山世达光电科技有限公司 | 身份认证装置及其方法 |
CN102833235B (zh) * | 2012-08-13 | 2016-04-27 | 鹤山世达光电科技有限公司 | 身份认证管理装置 |
CN102833235A (zh) * | 2012-08-13 | 2012-12-19 | 鹤山世达光电科技有限公司 | 身份认证及管理装置及其方法 |
CN103941652A (zh) * | 2013-01-22 | 2014-07-23 | 浙江安科网络技术有限公司 | 一种适用于各类dcs生产控制系统安全防护与安全审计的方法与装置 |
US11108577B2 (en) * | 2013-04-28 | 2021-08-31 | Tencent Technology (Shenzhen) Company Limited | Method and apparatus for establishing chat group |
CN103345703A (zh) * | 2013-06-17 | 2013-10-09 | 上海方付通商务服务有限公司 | 基于图像验证的银行业务交易认证方法及系统 |
CN103593618A (zh) * | 2013-10-28 | 2014-02-19 | 北京实数科技有限公司 | 电子数据证据的可采用性验证方法及系统 |
CN103678980A (zh) * | 2013-12-06 | 2014-03-26 | 北京奇虎科技有限公司 | 智能终端的安全保护方法及其装置 |
US11210884B2 (en) | 2014-01-23 | 2021-12-28 | Apple Inc. | Electronic device operation using remote user biometrics |
CN103761466A (zh) * | 2014-02-14 | 2014-04-30 | 上海云享科技有限公司 | 一种身份验证的方法及装置 |
CN104917783A (zh) * | 2014-03-10 | 2015-09-16 | 杨济忠 | 人体生物信息网络生态系统交互运行方法 |
CN103997504A (zh) * | 2014-06-13 | 2014-08-20 | 谭知微 | 身份验证系统及身份验证方法 |
CN103997504B (zh) * | 2014-06-13 | 2017-11-10 | 谭知微 | 身份验证系统及身份验证方法 |
CN104321779A (zh) * | 2014-08-15 | 2015-01-28 | 深圳市杰仕博科技有限公司 | 基于移动终端的电子雾化装置的鉴权装置及方法 |
US10659230B2 (en) | 2015-07-02 | 2020-05-19 | Alibaba Group Holding Limited | Using biometric features for user authentication |
CN106330850A (zh) * | 2015-07-02 | 2017-01-11 | 阿里巴巴集团控股有限公司 | 一种基于生物特征的安全校验方法及客户端、服务器 |
CN106330850B (zh) * | 2015-07-02 | 2020-01-14 | 创新先进技术有限公司 | 一种基于生物特征的安全校验方法及客户端、服务器 |
WO2017000829A1 (zh) * | 2015-07-02 | 2017-01-05 | 阿里巴巴集团控股有限公司 | 一种基于生物特征的安全校验方法及客户端、服务器 |
US10892896B2 (en) | 2015-07-02 | 2021-01-12 | Advanced New Technologies Co., Ltd. | Using biometric features for user authentication |
CN105069494A (zh) * | 2015-07-29 | 2015-11-18 | 浙江万里学院 | 一种身份信息识别系统及其使用方法 |
CN105100108B (zh) * | 2015-08-18 | 2018-04-13 | 广州密码科技有限公司 | 一种基于人脸识别的登录认证方法、装置及系统 |
CN105100108A (zh) * | 2015-08-18 | 2015-11-25 | 赛肯(北京)科技有限公司 | 一种基于人脸识别的登录认证方法、装置及系统 |
CN105187412A (zh) * | 2015-08-18 | 2015-12-23 | 赛肯(北京)科技有限公司 | 一种基于手势识别的登录认证方法、装置及系统 |
CN105187412B (zh) * | 2015-08-18 | 2018-05-29 | 广州密码科技有限公司 | 一种基于手势识别的登录认证方法、装置及系统 |
CN106919823A (zh) * | 2015-12-28 | 2017-07-04 | 航天信息股份有限公司 | 一种粮食管理方法、操作终端、服务器及粮食管理系统 |
CN107292149A (zh) * | 2016-04-11 | 2017-10-24 | 上海建朗信息科技有限公司 | 平板电脑虹膜签章系统 |
CN109196538A (zh) * | 2016-05-04 | 2019-01-11 | 西尔维奥·米卡利 | 分布式交易传播和验证系统 |
CN105871925A (zh) * | 2016-06-15 | 2016-08-17 | 北京天诚盛业科技有限公司 | 一种用户终端、生物识别云服务器及社保平台服务器 |
CN106302511A (zh) * | 2016-08-31 | 2017-01-04 | 深圳前海弘稼科技有限公司 | 种植箱与用户绑定的方法、服务器、种植箱以及种植系统 |
CN106599782A (zh) * | 2016-11-08 | 2017-04-26 | 金虎林 | 利用虹膜特征点位置信息的认证方法 |
CN106599782B (zh) * | 2016-11-08 | 2020-06-09 | 金虎林 | 利用虹膜特征点位置信息的认证方法 |
CN110121697A (zh) * | 2016-11-22 | 2019-08-13 | 西恩·万·范 | 确定访问权限的系统、方法及介质 |
WO2017193645A1 (zh) * | 2016-12-14 | 2017-11-16 | 华为技术有限公司 | 一种显示数据的方法、装置和终端 |
CN106603563A (zh) * | 2016-12-30 | 2017-04-26 | 厦门市美亚柏科信息股份有限公司 | 基于生物特征识别的信息安全实现方法和系统 |
CN106971101A (zh) * | 2017-03-30 | 2017-07-21 | 山东超越数控电子有限公司 | 一种指静脉识别可信运行控制方法和系统 |
CN107196901B (zh) * | 2017-03-30 | 2020-06-02 | 阿里巴巴集团控股有限公司 | 一种身份注册及认证的方法及装置 |
CN107196901A (zh) * | 2017-03-30 | 2017-09-22 | 阿里巴巴集团控股有限公司 | 一种身份注册及认证的方法及装置 |
CN108875340B (zh) * | 2017-05-16 | 2021-04-06 | 苹果公司 | 使用远程用户生物特征的电子设备操作 |
CN108875340A (zh) * | 2017-05-16 | 2018-11-23 | 苹果公司 | 使用远程用户生物特征的电子设备操作 |
CN109150535A (zh) * | 2017-06-19 | 2019-01-04 | 中国移动通信集团公司 | 一种身份认证方法、设备、计算机可读存储介质及装置 |
US11042615B2 (en) | 2017-06-29 | 2021-06-22 | Canon Kabushiki Kaisha | Information processing apparatus and method |
CN109214154A (zh) * | 2017-06-29 | 2019-01-15 | 佳能株式会社 | 信息处理装置和方法 |
US11538276B2 (en) | 2017-07-31 | 2022-12-27 | Ricoh Company, Ltd. | Communication system, distributed processing system, distributed processing method, and recording medium |
CN111034153A (zh) * | 2017-07-31 | 2020-04-17 | 株式会社理光 | 通信系统,分散处理系统,分布式处理方法和记录介质 |
CN111066025A (zh) * | 2017-09-09 | 2020-04-24 | 苹果公司 | 用于困难生物识别认证情况的静脉匹配 |
CN111066025B (zh) * | 2017-09-09 | 2023-09-12 | 苹果公司 | 用于困难生物识别认证情况的静脉匹配 |
CN108245145A (zh) * | 2018-01-18 | 2018-07-06 | 日照职业技术学院 | 一种健康监测系统 |
WO2019144948A1 (en) * | 2018-01-27 | 2019-08-01 | Redrock Biometrics Inc | Decentralized biometric authentication platform |
CN108877098A (zh) * | 2018-05-04 | 2018-11-23 | 平安科技(深圳)有限公司 | 无卡取款方法及装置、系统、存储介质和电子设备 |
CN108877098B (zh) * | 2018-05-04 | 2021-07-27 | 平安科技(深圳)有限公司 | 无卡取款方法及装置、系统、存储介质和电子设备 |
CN109067880A (zh) * | 2018-08-09 | 2018-12-21 | 芜湖机智智能科技有限公司 | 共享设备的远程解锁方法及其装置、设备和存储介质 |
CN109145561A (zh) * | 2018-08-09 | 2019-01-04 | 芜湖机智智能科技有限公司 | 计算机的鉴权方法及其设备和存储介质 |
CN108989331A (zh) * | 2018-08-09 | 2018-12-11 | 芜湖机智智能科技有限公司 | 数据存储设备的使用鉴权方法及其设备和存储介质 |
CN109067881B (zh) * | 2018-08-09 | 2020-08-21 | 顾宏超 | 远程授权方法及其装置、设备和存储介质 |
CN109067881A (zh) * | 2018-08-09 | 2018-12-21 | 顾宏超 | 远程授权方法及其装置、设备和存储介质 |
CN109194624B (zh) * | 2018-08-09 | 2021-03-26 | 顾宏超 | 工程机械设备的使用鉴权方法及其设备和存储介质 |
CN109117617A (zh) * | 2018-08-09 | 2019-01-01 | 芜湖机智智能科技有限公司 | 自助服务终端的远程鉴权方法及其装置、设备和存储介质 |
CN109067880B (zh) * | 2018-08-09 | 2021-06-18 | 顾宏超 | 共享设备的远程解锁方法及其装置、设备和存储介质 |
CN109194624A (zh) * | 2018-08-09 | 2019-01-11 | 芜湖机智智能科技有限公司 | 工程机械设备的使用鉴权方法及其设备和存储介质 |
WO2020029566A1 (zh) * | 2018-08-09 | 2020-02-13 | 顾宏超 | 远程授权方法及其装置、设备和存储介质 |
CN109118237A (zh) * | 2018-08-09 | 2019-01-01 | 芜湖机智智能科技有限公司 | 自助设施的预支付方法、及其装置和存储介质 |
CN109118237B (zh) * | 2018-08-09 | 2021-10-29 | 顾宏超 | 自助设施的预支付方法、及其装置和存储介质 |
CN109117617B (zh) * | 2018-08-09 | 2021-10-29 | 顾宏超 | 自助服务终端的远程鉴权方法及其装置、设备和存储介质 |
CN109145561B (zh) * | 2018-08-09 | 2021-10-29 | 顾宏超 | 计算机的鉴权方法及其设备和存储介质 |
CN109544367A (zh) * | 2018-10-27 | 2019-03-29 | 平安医疗健康管理股份有限公司 | 一种基于数据处理的医保卡刷卡处理方法及相关设备 |
CN109951437A (zh) * | 2019-01-14 | 2019-06-28 | 平安科技(深圳)有限公司 | 基于人脸识别的安全认证方法、装置以及服务器 |
CN109919635A (zh) * | 2019-02-26 | 2019-06-21 | 河北泊松信息科技有限公司 | 一种物品鉴权方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101330386A (zh) | 基于生物特征的认证系统及其身份认证方法 | |
CN110741369B (zh) | 使用电子身份进行安全生物统计认证 | |
US7519558B2 (en) | Biometrically enabled private secure information repository | |
CN100414867C (zh) | 通过基于密钥的采样对生物统计数据提供保护 | |
KR101676215B1 (ko) | 추가적 검증에 의해 아날로그 디지털 서명으로 전자문서에 사인하는 방법 | |
CN103729948B (zh) | 具有nfc和指纹功能的移动终端的电子支付方法 | |
CN103679457B (zh) | 支付方法、执行该支付方法的支付服务器和支付系统 | |
CN102769531A (zh) | 身份认证装置及其方法 | |
CN101321069A (zh) | 手机生物身份证明制作、认证方法及其认证系统 | |
CN101478541A (zh) | 一种生物特征认证方法,以及一种生物特征认证系统 | |
KR20160070061A (ko) | 신원 검증 장치 및 방법 | |
CN105868970B (zh) | 一种认证方法和电子设备 | |
CN103825744A (zh) | 非现场个人数字证书申请方法及系统 | |
CN103606084A (zh) | 一种基于生物特征识别的移动在线支付方法及系统 | |
CN102223233A (zh) | 一种生物密码认证系统,以及一种生物密码认证方法 | |
CN103366274A (zh) | 一种混合式电子商务即时支付方法 | |
CN110992053A (zh) | 一种基于指静脉识别及区块链技术的安全支付系统及方法 | |
WO2018148900A1 (zh) | 基于指纹识别的校验方法、装置、以及交易系统 | |
CN104038509A (zh) | 指纹认证云系统 | |
CN103297237A (zh) | 身份注册和认证方法、系统、个人认证设备和认证服务器 | |
WO2021223591A1 (zh) | 物品信息处理方法、装置、设备及计算机可读存储介质 | |
CN205015906U (zh) | 电子证件防伪验证系统 | |
US20190019189A1 (en) | Payment authentication | |
KR20040082674A (ko) | 이중 생체 인증 시스템 및 방법 | |
CA3121338A1 (en) | System and method for identity creation and assertion |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C57 | Notification of unclear or unknown address | ||
DD01 | Delivery of document by public notice |
Addressee: Liu Hongli Document name: Notification of Publication of the Application for Invention |
|
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20081224 |