CN103679436A - 一种基于生物信息识别的电子合同保全系统和方法 - Google Patents

Abstract

本发明公开一种基于生物信息识别的电子合同保全，涉及计算机信息处理技术领域。针对现有技术存在的电子合同交由第三方保存时存在的合同可能被篡改，个人生物特征产生的密钥不可能完全一致，不同途径和方法的信息匹配和信息提取，易造成特征信息的泄密。本发明设计一种基于生物信息识别的电子合同保全系统，在生成电子合同中使用申请人生物信息进行加密，并叠加用户身份证信息作为电子合同的唯一认证标识，将电子合同添加时间戳，发送到第三方电子保全中心进行保存，当客户需要再次办理相关业务或者出现合同纠纷时，只需核对用户生物特征信息登录身份认证服务器，从电子保全中心提取保全的电子合同。

Description

一种基于生物信息识别的电子合同保全系统和方法

技术领域

本发明涉及计算机信息处理技术领域，具体涉及一种电子信息的认证与保全技术。

背景技术

在银行、电信、保险等服务行业，客户在柜台办理业务时需要对大量的单据、合同进行签字确认，登录时需要提供口令，每次办理都需重复如此繁琐的程序，并且，口令密码容易被窃取，业务人员对客户的签名不可能熟悉，模仿的签名也不容易被识别，存在许多账户不安全的因素。在信息时代，客户需要使用用口令和密码的地方和场景非常之多，过多的密码容易混淆和忘记，密码也极容易被窃取，很多用户在多种情况下使用相同的密码，当一个密码被窃取后，其他的应用也容易遭到侵犯，因此在服务柜台办理各种业务、进行银行账户操作时采用密码登录，使用签名对身份进行核实的传统处理方式中存在程序繁琐，使用不方便，密码容易泄露，不安全等因素。

公开号为CN101075316，名称为一种电子票证交易认证管理方法的中国专利，公开一种电子票证交易认证管理计算机系统，用于电子票证交易认证管理，电子票证载体结构功能的实现及其内容的填写、辨读、认证、传递、签发，交易交换电子票证的装置终端功能管理、以及终端间、系统间的通讯会话。建立电子票证交易认证管理中心，实现多系统综合认证、采信，保障票证的真实性、可支付性。

建立一个电子票证交易认证管理中心，与电子票证发行发售机关建立委托制作电子票证、代理发行发售电子票证关系；与电子票证认证机关建立电子票证业务认证中介服务关系、与电信公司建立系统通讯服务关系，在电子票证发行发售机关、电子票证认证机关，与电子票证用户之间，作为第三方，承担用户身份认证、用户装置认证、电子票证统一生成下载、电子票证代理发行发售、电子票证业务认证中介服务、电子票证真实性认证、电子签名认证、电子票证业务统一交换、管理责任；建立一个电子票证交易认证管理中心，作为电子票证交易认证管理中心对客户服务的窗口，完成对客户的各项服务；提取个性化加权特征，并加注时间戳，经压缩加密制作电子签名认证比对资料，作为每次电子签名的认证比对依据；在认证过程中，收集客户每次签名的累积变化规律加权值，即时调整认证比对依据资料；电子签名软件与电子票证管理软件结合，共同对签注权利人进行权限绑定。

传统的身份鉴定方法包括身份标识物品（如证件、ATM卡等）和身份标识信息（如用户名和密码），主要借助体外物，一旦证明身份的标识物品和信息被盗或遗忘，其身份就容易被他人冒充或取代。由于人体特征具有人体所固有的不可复制的唯一性，这一生物密钥无法复制，失窃或被遗忘，利用生物识别技术进行身份认定，安全、可靠、准确。

申请号为03116493.5的中国发明专利申请，公开了一种适用于商业运营管理的数据处理方法及其系统，提供一种利用指纹识别从而对柜员身份进行认证的方法及其系统。将网点柜员的指纹模板及相关信息数据录入网点IC卡,将网点IC卡中数据下载至指纹读写器中,终端机发送身份认证命令至指纹读写器,指纹读写器采集柜员的指纹特征并与指纹模板比对,比对成功允许继续下一步业务流程，比对不成功不得继续下一步业务流程,解决银行营业网点中限权卡使用保管不当问题，消除由此带来的种种安全稳患。

生物特征消除了记忆口令的问题，但是，生物特征却有一个没有口令的安全问题，直接通过某种方式如哈希保护生物特征认证是不可行的。原因是，一份同样的生物特征的两次读取很难完全一致，生物特征在不时发生自然的微小的变化，在进行物理测量时会有变化，为了解决生物特征认证中具有的变化性，大部分的系统是为每一个用户存储特征模板，由于生物特征认证系统需要一定的弹性进行特征匹配，特征模板常常是直接存储的。生物认证系统会遭受假冒攻击，模板攻击等一系列攻击。假冒攻击是恶意的攻击者假冒合法用户，通过提供伪装的生物特征来欺骗生物认证系统，对传感器与特征提取器间通信的重放攻击，为了检测重放攻击，识别器要保证数据是从传感器获得，最常用的方法是使用时间戳和挑战应答机制防止重放攻击。攻击者截取上一次合法认证时传输的数据，如用户名，密码等，然后攻击者假冒该合法用户在与认证服务器交互时，提交合法用户的信息，达到欺骗服务器的目的。因此，传统的基于生物特征识别的生物特征认证方法在安全性上具有重大的弱点。

密码协议通常依赖准确的信息，密码中通常以均匀分布的随机串作为密钥。在生物特征系统中，常常存在变化，特征数据几乎很少能够在两次对生物特征的读取中完全一致。比如一个人的指纹或者虹膜扫描显然不是均匀的随机串，并且不能在每次读取时被完全准确的产生。因此，基于生物特征的密钥产生技术必然存在以下问题，个人的生物特征在提交和读取时常常发生变化，产生的密钥不可能完全一致。并且，由不同的应用部门分别建立和保存用户的生物特征信息，容易造成资源的浪费和用户信息保存的不安全，不同途径和方法的信息匹配和信息提取，易造成特征信息的泄密。

第三方认证保全机构提供对电子合同保全及认证，能够有效地审查确认电子合同、电子交易证据是否客观真实，方便人们及时、便捷、准确地获取保存的原始合同，极大地节省时间和资源，还能够有效地解决电子信息传输的安全问题。

目前由第三方机构提供的电子合同认证主要涉及电子签名，时间戳和数字水印。采用电子签名、时间戳和数字水印技术设计的电子合同服务可以解决合同文件的安全送达问题，合同文件的短期保存和查阅问题，但无法解决合同文件的防篡改问题、合同双方的身份真实问题，目前合同文件的防篡改问题完全依赖于提供电子合同服务系统的第三方机构，不能从技术层面对第三方服务机构实行有效的控制，不同途径和方法的信息匹配和信息提取，易造成特征信息的泄密。

发明内容

本发明针对现有技术存在的电子合同交由第三方认证保存时存在的合同可能篡改的问题，个人生物特征产生的密钥不可能完全一致，且分别建立和保存用户的生物特征信息，容易造成资源的浪费和用户信息保存的不安全，不同途径和方法的信息匹配和信息提取，易造成特征信息的泄密。

本发明解决上述技术问题的技术方案是：设计一种基于生物信息识别的电子合同保全系统，在生成电子合同中使用申请人生物信息进行加密，并叠加用户身份证信息作为电子合同的唯一认证标识，将电子合同添加时间戳，发送到第三方信任机构电子保全中心进行保存，当客户需要再次办理相关业务或者出现合同纠纷时，只需核对用户生物特征信息登录身份认证服务器，从电子保全中心提取保全的电子合同。

该电子合同保全系统包括：客户端U、服务器端S、电子保全中心T，客户端包括：电子合同加密生成模块、生物特征采集模块、客户端身份认证模块；服务器端包括：服务器端身份认证模块；电子保全中心包括：安全数据库、生物特征信息验证模块。

生物特征采集模块：用于采集用户的生物特征并提取生物特征信息，采集客户身份证扫描信息，获取身份证号码作为数字签章，生物特征采集模块将采集的生物特征图像，转换为生物特征数据，利用模糊提取器对生物特征进行模糊提取，获得用户生物特征密钥R。生物特征采集模块可采集客户指纹、虹膜等生物特征信息，对于不同的生物特征，可采用不同采集设备，如虹膜采集器、指纹采集器等；

电子合同加密生成模块：根据客户请求办理业务生成电子合同初稿，在电子合同初稿上添加用户生物特征密钥R和数字签章，生成加密电子合同，发送到电子合同保全中心进行保存；

客户端身份认证模块：与电子合同保全中心和服务器端进行交互，实现客户端认证协议。获取生物特征采集模块的用户生物特征密钥，提供服务器端解密核实用户身份，提供给电子合同保全中心用于提取客户对应的电子合同。

服务器端身份认证模块：与电子保全中心和客户端进行交互，实现认证协议。接收客服端提供的用户生物特征密钥，利用生物特征密钥生成提取密钥，用于验证客服身份，提供电子保全中心提取电子合同时进行身份验证。

电子保全中心安全数据库，接收添加了生物特征密钥和数字签章的电子合同，打上时间戳，存入安全数据库，根据生物特征密钥为每个注册用户存储信息，包括：用户名、恢复该用户生物特征密钥所需的冗余信息PUB：<IDu,PUB>，用户名、其生物特征密钥对应的公钥<IDu,d_ID>。

生物特征信息验证模块：与服务器端身份认证模块交互，接收服务器端身份认证模块提供的提取密钥，根据提取密钥匹配安全数据库的注册用户信息，查找对应电子合同。

本发明还提供一种基于生物信息识别的电子合同保全方法，该方法包括：特征信息采集模块采集用户的生物特征并提取生物特征图像信息，将其转换为生物特征数据，利用模糊提取器对生物特征进行模糊提取，获得用户生物特征密钥R，采集客户身份证扫描信息，获取身份证号码作为数字签章；电子合同加密生成模块根据客户请求生成电子合同初稿，在电子合同初稿上添加用户生物特征密钥R和数字签章，生成加密电子合同，发送到电子合同保全中心进行保存；客户端身份认证模块与电子合同保全中心和服务器端进行交互，实现客户端认证协议，获取生物特征采集模块的用户生物特征密钥，提供服务器端解密核实用户身份，提供给电子合同保全中心用于提取客户对应的电子合同；服务器端身份认证模块与电子保全中心和客户端进行交互，实现服务器端认证协议，服务器端身份认证模块接收客服端提供的用户生物特征密钥，生成提取密钥，用于验证客户身份，并提供电子保全中心进行身份验证；电子保全中心安全数据库，接收添加了生物特征密钥和数字签章的电子合同，打上时间戳，存入安全数据库，根据生物特征密钥为每个注册用户存储信息，包括：用户名、恢复该用户生物特征密钥所需的冗余信息PUB：<IDu,PUB>，用户名、其生物特征密钥对应的公钥<IDu,d_ID>；生物特征信息验证模块与服务器端身份认证模块交互，接收服务器端身份认证模块提供的提取密钥，根据提取密钥匹配安全数据库的注册用户信息，查找对应的电子合同。

本发明的认证方案采用了生物特征作为用户认证因素，与传统的口令和智能卡的身份认证相比，生物特征具有更高的安全性，认证更加方便。并且采用了双向认证协议，可以抵抗对密钥交换协议的中间人攻击。本系统并不保存用户的生物特征密钥，而是用用户的生物特征密钥作为ID，在合法用户没有在认证现场并且提交生物特征时，系统是无法产生该生物特征密钥值的。这样就避免了第三方冒充合法用户进行操作的行为，利用第三方存储注册用户信息和产生系统参数，如果存在多个认证应用，同一用户的注册信息就可以由第三方统一管理，并用于多个应用中。

附图说明

图1本发明基于生物信息识别的电子合同保全系统框图；

图2电子加密合同生成保全流程图；

图3身份认证流程示意图；

图4认证协议流程图。

具体实施方式

如图1所示为本发明电子合同保全系统原理框图，包括：客户端U、服务器端S、电子保全中心T，客户端包括：生物特征采集模块、电子合同加密生成模块、客户端身份认证模块；服务器端包括：服务器端身份认证模块；电子保全中心包括：安全数据库、生物特征信息验证模块。

生物特征采集模块：用于采集用户的生物特征并提取生物特征信息，采集客户身份证扫描信息，获取身份证号码作为数字签章，生物特征采集模块将采集的生物特征图像，转换为生物特征数据，利用模糊提取器对生物特征进行模糊提取，获得用户生物特征密钥R。生物特征采集模块可采集客户指纹、虹膜等生物特征信息，对于不同的生物特征，可采用不同采集设备，如虹膜采集器、指纹采集器等；

电子合同加密生成模块：根据客户请求办理业务生成电子合同初稿，在电子合同初稿上添加用户生物特征密钥R和数字签章，生成加密电子合同，发送到电子合同保全中心进行保存；

客户端身份认证模块：与电子合同保全中心和服务器端进行交互，实现客户端认证协议。获取生物特征采集模块的用户生物特征密钥，提供服务器端解密核实用户身份，提供给电子合同保全中心用于提取客户对应的电子合同。

服务器端身份认证模块：与电子保全中心和客户端进行交互，实现认证协议。接收客服端提供的用户生物特征密钥，利用生物特征密钥生成提取密钥，用于验证客服身份，提供电子保全中心提取电子合同时进行身份验证。

电子保全中心安全数据库：接收添加了生物特征密钥和数字签章的电子合同，打上时间戳，存入安全数据库，根据生物特征密钥为每个注册用户存储信息，包括：用户名、恢复该用户生物特征密钥所需的冗余信息PUB：<IDu,PUB>，用户名、其生物特征密钥对应的公钥<IDu,d_ID>。

生物特征信息验证模块：与服务器端身份认证模块交互，接收服务器端身份认证模块提供的提取密钥，根据提取密钥匹配安全数据库的注册用户信息，查找对应电子合同。

如图2所示为电子加密合同生成保全流程图。生物特征采集模块采集用户的生物特征并提取生物特征信息，获取身份证号码作为数字签章。对于不同的生物特征，生物特征采集模块可采用不同采集设备，如虹膜采集器、指纹采集器等，可采集客户指纹、虹膜等生物特征图像信息。生物特征采集模块采集生物特征图像，将其转换为生物特征数据，利用模糊提取器对生物特征数据进行模糊提取，获得用户生物特征密钥R。电子合同加密生成模块根据客户请求业务生成电子合同初稿，在电子合同初稿上添加用户生物特征密钥R和数字签章，生成电子合同，添加上时间戳发送到电子合同保全中心进行保存。

图3所示为身份认证流程示意图。客户端身份认证模块与电子合同保全中心和服务器端进行交互，实现客户端认证协议；获取生物特征采集模块的用户生物特征密钥，提供给服务器端解密核实用户身份，提供给电子合同保全中心证实客户身份提取客户对应的电子合同。

服务器端身份认证模块与电子保全中心和客户端进行交互，实现服务器端认证协议。接收客户端提供的用户生物特征密钥，生成提取密钥，用于验证客户身份，提供电子保全中心提取电子合同时进行身份验证。

电子保全中心安全数据库接收添加了生物特征密钥和数字签章的电子合同，打上时间戳，存入安全数据库，根据生物特征密钥为每个注册用户存储信息，具体可可包括：用户名、恢复该用户生物特征密钥所需的冗余信息PUB：<IDu,PUB>，用户名、其生物特征密钥R对应的公钥<IDu,d_ID>。生物特征信息验证模块与服务器端身份认证模块交互，接收服务器端身份认证模块提供的提取密钥，根据提取密钥匹配安全数据库中注册用户信息，查找对应的电子合同。

客户端身份认证模块与服务器端身份认证模块、电子合同保全中心生物特征信息验证模块进行交互实现认证协议。服务器端生成系统可公开的参数，用户向生物特征提取器提交如指纹特征等生物信息，如指纹采集器得到原始指纹特征w，模糊提取器从该指纹特征中提取出生物特征密钥和冗余信息<R,PUB>，将生物特征密钥R以及一个任意的字符串结合服务器的身份IDs生成服务器解密密钥d_ID，送入电子合同保全中心安全数据库中保存，根据客户端用户名和服务器解密密钥生成对应的公钥<IDu,d_ID>。当用户需要通过认证服务器请求认证自己的身份时，指纹采集器提交客户指纹特征W¹，模糊提取器根据W¹与原始指纹特征的冗余信息PUB共同恢复原始指纹特征w，进而计算特征提取密钥。服务器将通过身份认证的客户端生物特征提取密钥送入电子合同保全中心生物特征信息验证模块，验证用户身份的合法性。

图4为认证协议流程图。具体包括如下步骤：

初始化阶段：电子合同保全中心T生成系统参数，包括：生成两个阶数为素数P的循环群（G₁）和（G₂），满足关系为e:(G₁)²—（G₂）的一个映射对，任意选择一个生成元p作为系统主密钥；选择一个强密码杂凑函数F，调用强密码杂凑函数F把客户的身份用户名IDu映射为循环群（G₁）中的一个元素，构建强密码杂凑函数的哈希函数H，电子保全中心把主密钥作为系统的私钥保存，并公开系统参数；

客户端身份认证模块与服务器端进行交互包括：

用户注册阶段：生物特征采集器获得生物特征数据W，模糊提取器对生物特征进行模糊提取，获得用户生物特征密钥R，以及恢复生物特征W与生物特征密钥R所需的冗余信息PUB，利用生物特征密钥获得生物特征密钥R对应的公钥<IDu,d_ID>，生成服务器所需认证密钥（解密密钥d_ID）。用户U向服务器S请求注册，其身份为IDu。U向S提交生物特征W，S通过模糊提取器，提取生物特征密钥R、重构生物特征W及生物特征密钥R所需的冗余信息PUB，并调用哈希函数H计算生物特征密钥R的哈希值H(R)。服务器端保存用户信息<IDu,PUB,H(R)>，并将哈希值H(R)作为客户端和服务器端双方认证的共享密钥。

用户认证阶段：当用户U想向服务器S证实自己的身份时，用户向服务器S发起认证请求，提交自己的身份ID_u，以及生物特征W¹，服务器收到用户的请求后，产生一个随机数R_B，将PUB和R_B一起发送给客户端身份认证模块；由客户端判断PUB是否受到篡改，如果受到篡改，则客户端立刻终止认证，并通知服务器，如果PUB未被篡改，则客户端根据生物特征W¹、PUB进行认证解密Rep，调用公式Rep<W¹，PUB>=R¹获取待证实身份的生物特征密钥R¹，计算该生物特征密钥的哈希值H(R¹)，根据收到的R¹ _B，通过MAC地址处理得到加密信息MAC(H(R¹),R_B,IDu,IDs)发送到服务器，服务器接收到加密信息后，用自己存储的H(R)、随机数R_B，、客户身份IDu、和服务器身份信息IDs通过地址处理运算重构出MAC(H(R),R_B,IDu,IDs)。如果重构的MAC(H(R),R_B,IDu,IDs)与接收到的加密信息MAC(H(R¹),R¹ _B,IDu,IDs)中包含相同的随机数(即R_B＝R¹ _B，则通过用户认证，否则拒绝用户认证。其中，IDu为客户身份中地址信息，IDs为服务器身份中地址信息。

服务器端身份认证模块与电子保全中心的交互包括：

服务器注册阶段：身份信息为IDs的服务器S向电子保全中心T进行注册，在T验证该服务器的合法性后，将系统主密钥作为与服务器共享的密钥K_TS，电子保全中心T用该密钥K_TS加密消息，服务器将用密钥K_TS解密消息，建立服务器和电子保全中心之间的信任。

服务器认证阶段：当客户想向服务器证实自己的身份时，向服务器S发起认证请求，认证步骤如下：客户U向服务器S发起认证请求，声称自己的身份是ID_U；服务器S收到用户U的请求后，向电子保全中心T请求验证U的身份所需的相关信息；T查询本地安全数据库，找到ID_U根据生物特征密钥为每个注册用户存储的信息：<ID_U,d_ID>和<ID_U,PUB>，该信息包括用户身份ID_U、认证密钥d_ID、冗余信息PUB。电子保全中心生物特征信息验证模块用与S共享的密钥K_TS加密这两条信息，获得加密信息：｛ID_U,d_ID}_Kts，{ID_U,PUB}_Kts，并向服务器发回两条信息，服务器S用密钥K_TS解密这两条信息，得到信息d_ID、ID_U、PUB。

校验阶段：服务器将客户的PUB值及随机数RB发给客户端，客户端进行计算及校验，如果校验输出错误，说明PUB被篡改，则客户端立刻终止认证，并通知服务器端。否则客户端提取生物特征密钥R，根据生物特征密钥计算密文C，将密文C发送给服务器S，服务器解密密文，如果密文中包含了正确的R_B，则通过U的身份认证校验。

服务器S判断依据为：当用户是合法用户时，客户端产生生物特征密钥R，服务器端使用具有用户的生物特征密钥R对应的私钥d_ID，服务器解密密文C，验证其中是否含有随机数R_B，如果含有R_B则服务器S认为客户端提交了合法的生物特征。S向客户端返回随机数作为加密值，构建加密密钥，客户端将接收到的加密密钥与自己根据生物特征密钥R及私钥计算得到的信息进行比较，如果相等，则U也认证了S为经过T证实的合法认证服务器。这样在U和S之间实现了双向认证，且U和S可以获得共享密钥，并在以后的通信中使用该共享密钥。

获得用户生物特征密钥R可采用基于一维特征的方法、基于二维小波变换和积分图像相结合的方法、基于模糊隶属度和灰度的方法。以下具体对基于模糊隶属度和灰度提取方法做具体描述。

模糊提取模块提取生物特征图像信息获得用户生物特征密钥R具体可采用如下方法，模糊提取模块对采集的生物特征图像信息W进行分类，建立模糊集合，可根据贝叶斯公式确定图像信息中的像元属于某个类别程度的隶属度函数μ_i(x_k)，由生物特征图像像元的隶属度函数、样本图像的灰度值，根据公式：

确定模糊分割矩阵m_ji，所有模糊分割矩阵构成均值向量矩阵M_t，从均值向量矩阵中提取对角元素生成生物特征密钥R，其中，m为生物特征图像信息样本像元总数，x_jk表示第j个图像第k个像元的灰度值，i表示参与分类的类别。

基于一维特征的方法采用低通滤波器对生物图像信息进行预处理，分割生物信息纹理图像子图，将其划分为预定的特征区域，提取子图的生物特征信息，计算每个特征区域生物特征信息的均值和方差。根据均值和方差确定预定窗口的长宽尺寸，计算预定窗口中所有像素的灰度平均值，将窗口中每个像素的灰度值减去灰度平均值，获得生物特征图像信息，提取该生物特征图像信息的像素的平均值，每一行像素平均值作为特征向量。该特征向量作为生物特征密钥R。

本发明中对于不同的应用，电子保全中心在建立系统参数时采用不同的系统主密钥s，系统计算出的d_ID各不相同，这样，在不同的认证应用中，认证双方采用的加密密钥对就不同，即使在某一应用中的密钥受到破坏，也不会影响其他应用中使用生物特征密钥对。

Claims (10)

1.一种基于生物信息识别的电子合同保全认证系统，其特征在于，客户端包括：生物特征采集模块、电子合同加密生成模块、客户端身份认证模块；服务器端包括：服务器端身份认证模块；电子保全中心包括：安全数据库、生物特征信息验证模块；

生物特征采集模块：用于采集并提取客户生物特征信息，获得生物特征密钥R，采集客户身份证信息，获取身份证号码作为数字签章；

电子合同加密生成模块：在电子合同初稿上添加生物特征密钥R和数字签章，生成加密电子合同，发送到电子合同保全中心；

客户端身份认证模块：与电子合同保全中心和服务器端进行交互，实现客户端认证协议；

服务器端身份认证模块：与电子保全中心和客户端进行交互，实现服务器端认证协议，接收客服端生物特征密钥生成提取密钥，提供电子保全中心验证客户身份；

电子保全中心安全数据库：接收加密电子合同，打上时间戳，存入安全数据库，根据生物特征密钥为每个用户注册存储身份信息；

生物特征信息验证模块：与服务器端身份认证模块交互，接收提取密钥，根据提取密钥匹配安全数据库的注册用户信息，查找对应的加密电子合同。

2.根据权利要求1所述的系统，其特征在于，客户端身份认证模块与服务器端进行交互包括用户注册阶段和用户认证阶段，具体为：用户注册阶段：生物特征采集器获得身份为IDu的客户的生物特征数据W，模糊提取器提取用户生物特征密钥R，以及恢复生物特征数据W与生物特征密钥R所需的冗余信息PUB，获得生物特征密钥R对应的公钥<IDu,d_ID>，调用哈希函数H计算生物特征密钥R的哈希值H(R)，服务器端保存用户信息<IDu,PUB,H(R)>，并将哈希值H(R)作为客户端和服务器端双方认证的共享密钥；用户认证阶段：用户向服务器S提交自己的身份IDu以及生物特征W¹，服务器产生一个随机数R¹ _B，将PUB和R¹ _B一起发送给客户端身份认证模块；客户端判断PUB是否被篡改，如果未被篡改则根据生物特征W¹、PUB进行认证解密Rep，获取待证实身份的生物特征密钥R¹，计算该生物特征密钥的哈希值H(R¹)，根据H(R¹)、R¹ _B、IDu、IDs通过MAC地址处理得到加密信息发送到服务器，服务器接收到加密信息后，用自己存储的H(R)、随机数R_B，、客户端身份IDu、服务器身份IDs通过地址处理运算重构信息，如果重构信息与加密信息中均包含相同的随机数，则通过用户认证。

3.根据权利要求1所述的系统，其特征在于，服务器注册阶段：电子保全中心T将系统主密钥作为与服务器的共享密钥K_TS；服务器认证阶段：服务器S收到身份为ID_U的用户U的请求后，向电子保全中心T发送验证请求，从安全数据库中查询到对应的包括用户身份ID_U、认证密钥d_ID、冗余信息PUB的注册用户信息：<ID_U,d_ID>和<ID_U,PUB>，电子保全中心生物特征信息验证模块用与S共享的密钥K_TS加密注册用户信息，获得加密信息：｛ID_U,d_ID}_Kts，{ID_U,PUB}_Kts，向服务器发回上述两条加密信息，服务器S用密钥K_TS解密这两条信息，得到信息d_ID、ID_U、PUB；校验阶段：服务器将客户的PUB值及随机数R_B发给客户端，客户端进行计算及校验，如果校验正确，客户端提取生物特征密钥R，并计算对应的密文C，将密文C发送给服务器，服务器解密密文，如果密文中包含了正确的R_B，则通过U的身份认证校验。

4.根据权利要求1所述的系统，其特征在于，生物特征密钥R的获取方法包括：模糊提取模块对采集的生物特征图像信息W进行分类，建立模糊集合，确定图像信息中的像元属于某个类别的隶属度函数μ_i(x_k)，根据公式：

确定模糊分割矩阵m_ji，所有模糊分割矩阵构成均值向量矩阵，从均值向量矩阵中提取对角元素构成生物特征密钥R，其中，m为样本像元总数，x_jk为第j个图像第k个样本像元的灰度值，i为参与分类的类别。

5.根据权利要求2所述的系统，其特征在于，所述哈希函数的建立包括：初始化阶段，生成两个阶数为素数P的循环群（G₁）和（G₂），满足关系为(G₁)²—（G₂）的一个映射对，任意选择一个素数p作为系统主密钥；选择一个强密码杂凑函数F，调用强密码杂凑函数F把客户的身份用户名IDu映射为循环群（G₁）中的一个元素，作为强密码杂凑函数的哈希函数H。

6.一种基于生物信息识别的电子合同保全认证方法，其特征在于，客户端生物特征采集模块采集并提取客户生物特征信息，获得生物特征密钥R，采集客户身份证信息，获取身份证号码作为数字签章；电子合同加密生成模块在电子合同初稿上添加生物特征密钥R和数字签章，生成加密电子合同，发送到电子合同保全中心；客户端身份认证模块与电子合同保全中心和服务器端进行交互，实现客户端认证协议；服务器端身份认证模块与电子合同保全中心和客户端进行交互，接收客服端生物特征密钥生成提取密钥，提供电子保全中心验证客户身份；电子保全中心安全数据库接收加密电子合同，打上时间戳，根据生物特征密钥为每个用户注册身份信息，存入安全数据库，生物特征信息验证模块与服务器端身份认证模块交互，接收提取密钥，根据提取密钥匹配安全数据库的注册用户信息，查找对应的加密电子合同。

7.根据权利要求6所述的方法，其特征在于，客户端身份认证模块与服务器端进行交互具体为：用户注册阶段：生物特征采集器获得身份为IDu的客户的生物特征数据W，模糊提取器提取用户生物特征密钥R，以及恢复生物特征数据W与生物特征密钥R所需的冗余信息PUB，获得生物特征密钥R对应的公钥<IDu,d_ID>，调用哈希函数H计算生物特征密钥R的哈希值H(R)，服务器端保存用户信息<IDu,PUB,H(R)>，并将哈希值H(R)作为客户端和服务器端双方认证的共享密钥；用户认证阶段：用户向服务器S提交自己的身份IDu以及生物特征W¹，服务器产生一个随机数R¹ _B，将PUB和R¹ _B一起发送给客户端身份认证模块；客户端判断PUB是否被篡改，如果未被篡改则根据生物特征W¹、PUB进行认证解密Rep，获取待证实身份的生物特征密钥R¹，计算该生物特征密钥的哈希值H(R¹)，根据H(R¹)、R¹ _B、IDu、IDs通过MAC地址处理得到加密信息发送到服务器，服务器接收到加密信息后，用自己存储的H(R)、随机数R_B，、客户端身份IDu、服务器身份IDs通过地址处理运算重构信息，如果重构信息与加密信息中均包含相同的随机数，则通过用户认证。

8.根据权利要求6所述的方法，其特征在于，服务器注册阶段：电子保全中心T将系统主密钥作为与服务器的共享密钥K_TS；服务器认证阶段：服务器S收到身份为ID_U的用户U的请求后，向电子保全中心T发送验证请求，从安全数据库中查询到对应的包括用户身份ID_U、认证密钥d_ID、冗余信息PUB的注册用户信息：<ID_U,d_ID>和<ID_U,PUB>，电子保全中心生物特征信息验证模块用与S共享的密钥K_TS加密注册用户信息，获得加密信息：｛ID_U,d_ID}_Kts，{ID_U,PUB}_Kts，向服务器发回上述两条加密信息，服务器S用密钥K_TS解密这两条信息，得到信息d_ID、ID_U、PUB；校验阶段：服务器将客户的PUB值及随机数R_B发给客户端，客户端进行计算及校验，如果校验正确，客户端提取生物特征密钥R，并计算对应的密文C，将密文C发送给服务器，服务器解密密文，如果密文中包含了正确的R_B，则通过U的身份认证校验。

9.根据权利要求6所述的方法，其特征在于，生物特征密钥R的获取方法包括：模糊提取模块对采集的生物特征图像信息W进行分类，建立模糊集合，确定图像信息中的像元属于某个类别的隶属度函数μ_i(x_k)，根据公式：确定模糊分割矩阵m_ji，所有模糊分割矩阵构成均值向量矩阵，从均值向量矩阵中提取对角元素构成生物特征密钥R，其中，m为样本像元总数，x_jk为第j个图像第k个样本像元的灰度值，i为参与分类的类别。

10.根据权利要求7所述的方法，其特征在于，所述哈希函数的建立包括：初始化阶段，生成两个阶数为素数P的循环群（G₁）和（G₂），满足关系为(G₁)²—（G₂）的一个映射对，任意选择一个素数p作为系统主密钥；选择一个强密码杂凑函数F，调用强密码杂凑函数F把客户的身份用户名IDu映射为循环群（G₁）中的一个元素，作为强密码杂凑函数的哈希函数H。

Images