CN107395369B - 面向移动互联网自带设备的认证方法、访问方法及系统 - Google Patents

Abstract

本发明实施例公开了一种面向移动互联网自带设备的认证方法、访问方法及系统，所述认证方法应用于服务器上，所述认证方法包括：注册步骤：接收用户发送的注册请求信息及请求ID；验证注册请求信息，生成第一设备密匙；接收用户发送的第一设备密匙及第一面部图像；提取第一面部图像，得到第一特征向量；集成得到第一信息模版并保存；及认证步骤：接收用户发送的访问请求及请求ID；验证请求ID；接收第二设备密匙及第二面部图像；得到第二特征向量并进行集成，得到第二信息模版；对比模版之间的汉明距离。本发明实施例通过采用生物哈希技术结合用户的面部图像和PUF来对用户及设备进行认证，解决了自带设备系统的认证安全性低的问题，进而保障了用户的信息安全。

Description

面向移动互联网自带设备的认证方法、访问方法及系统

技术领域

本发明涉及互联网数据安全技术领域，尤其涉及一种面向移动互联网自带设备的认证方法、访问方法及系统。

背景技术

随着技术的飞速发展，公司员工拥有的笔记本电脑，平板电脑和智能手机比他们公司部署的互联网技术设备更加先进，这一现象已经成了普遍问题。互联网技术的自给自足不可避免的带动了自带设备策略的发展，这一策略允许员工携带个人拥有的设备访问公司特权信息和应用程序。这一策略带来了一些积极的影响，如提高了生产率，员工满意度和成本节约，使得公司和组织愿意接受BYOD(Bring Your Own Device，自带设备)。而BYOD的负面影响是，公司对这些个人几乎没有控制，设备可能会丢失，被盗或受到威胁，而导致互联网技术的安全和公司敏感信息面临风险。因此，确保只有具有受信任设备的人员才可以访问公司网络对企业的BYOD至关重要。

和使用传统的方式通过密码来表明身份不同，生物识别功能因为其吸引人的属性越来越多地用于用户身份鉴定，如容易安装和使用，不可否认的问责制，节约时间和成本等。由于人类及其生物特征强大而永久的联系，人们对于使用生物特征进行身份识别的一个主要关心点是生物特征信息的安全性和隐私性。

现有的对策大多是将生物识别信息存储在硬件中，如苹果iPhone6上的A8芯片等安全硬体模板，使用标准加密算法加密它们，如AES和RSA；或采用特征变换方法，如生物哈希。然而，当设备丢失或被盗时，已经登记的生物识别信息易受入侵或半侵入式攻击，而且伪造的代理设备也可以对机密信息进行访问。因此，现有的认证方法安全性低。

发明内容

本发明实施例所要解决的技术问题在于，提供一种面向移动互联网自带设备的认证方法、访问方法及系统，以使提高自带设备系统的认证安全性。

为了解决上述技术问题，本发明实施例提出了一种面向移动互联网自带设备的认证方法，所述认证方法应用于服务器上，所述服务器包括数据库，用户通过自带设备访问所述服务器，所述设备包括CMOS摄像机及内置的CMOS图像传感器PUF，所述认证方法包括：

注册步骤：接收用户通过所述设备发送的允许当前设备访问服务器的注册请求信息以及与用户和设备对应的请求ID；

验证注册请求信息，若通过则接受请求ID并发送一个与请求ID对应的激励至所述设备，所述激励用于所述PUF生成相应的第一设备密匙；

接收用户通过设备发送的第一设备密匙及预处理后的用户的第一面部图像；

采用特征提取算法提取第一面部图像，得到用户特定的第一特征向量；

将第一特征向量及第一设备密匙通过生物哈希技术进行集成，得到第一信息模版；保存第一信息模版及请求ID至数据库，并删除第一特征向量及第一设备密匙，完成注册；及

认证步骤：接收用户通过设备发送的请求ID及寻求访问权限的访问请求；

验证请求ID是否存在，若不存在则立即拒绝该访问，若存在则生成对应所述用户与设备的组合激励，所述组合激励用于所述PUF生成相应的第二设备密匙；

接收用户通过设备发送的第二设备密匙及预处理后的用户的第二面部图像；

采用特征提取算法提取第二面部图像，得到用户特定的第二特征向量，并将第二特征向量及第二设备密匙通过生物哈希技术进行集成，得到第二信息模版；

对比第二信息模版与第一信息模版，若两模版之间的汉明距离在预设的阙值内，则认证成功并接受访问；反之，则认证失败并拒绝访问。

相应地，本发明实施例还提供了一种面向移动互联网自带设备的访问方法，所述访问方法应用于自带设备上，所述自带设备与服务器相连，所述设备包括CMOS摄像机及内置的CMOS图像传感器PUF，所述服务器包括数据库，所述访问方法包括：

注册请求步骤：响应于用户触发的允许当前设备访问服务器的注册请求信息，创建与当前用户及设备对应的请求ID，将注册请求信息及请求ID发送至服务器；

响应于服务器返回的与请求ID对应的激励，将激励应用于所述PUF生成相应的第一设备密钥，并将第一设备密钥发送至服务器；同时，拍摄当前用户的第一面部图像，将第一面部图像预处理为预设的大小并发送至服务器；及

访问请求步骤：响应于当前用户触发的寻求访问权限的访问请求，将访问请求及请求ID发送至服务器，以便服务器在请求ID验证通过的情况下发出一组合激励；

响应于服务器发出的组合激励，将组合激励应用于所述PUF生成相应的第二设备密钥，并将第二设备密钥发送至服务器；同时，拍摄当前用户的第二面部图像，将第二面部图像预处理为预设的大小并发送至服务器，以便服务器验证当前用户及设备的身份进而判断是否接受用户的访问。

相应地，本发明实施例还提供了一种面向移动互联网自带设备的认证系统，包括自带设备及与自带设备连接的服务器，所述设备包括CMOS摄像机及内置的CMOS图像传感器PUF，所述服务器包括数据库，所述服务器还包括：

注册模块：接收用户通过所述设备发送的允许当前设备访问服务器的注册请求信息以及与用户和设备对应的请求ID；

验证注册请求信息，若通过则接受请求ID并发送一个与请求ID对应的激励至所述设备，所述激励用于所述PUF生成相应的第一设备密匙；

接收用户通过设备发送的第一设备密匙及预处理后的用户的第一面部图像；

采用特征提取算法提取第一面部图像，得到用户特定的第一特征向量；

将第一特征向量及第一设备密匙通过生物哈希技术进行集成，得到第一信息模版；保存第一信息模版及请求ID至数据库，并删除第一特征向量及第一设备密匙，完成注册；及

认证模块：接收用户通过设备发送的请求ID及寻求访问权限的访问请求；

验证请求ID是否存在，若不存在则立即拒绝该访问，若存在则生成对应所述用户与设备的组合激励，所述组合激励用于所述PUF生成相应的第二设备密匙；

接收用户通过设备发送的第二设备密匙及预处理后的用户的第二面部图像；

采用特征提取算法提取第二面部图像，得到用户特定的第二特征向量，并将第二特征向量及第二设备密匙通过生物哈希技术进行集成，得到第二信息模版；

对比第二信息模版与第一信息模版，若两模版之间的汉明距离在预设的阙值内，则认证成功并接受访问；反之，则认证失败并拒绝访问。

本发明实施例通过提出一种面向移动互联网自带设备的认证方法、访问方法及系统，所述认证方法包括注册步骤及认证步骤，通过采用生物哈希技术结合用户的面部图像和自带设备的PUF来对用户及设备进行认证，解决了自带设备系统的认证安全性低的问题，进而保障了用户的信息安全。

附图说明

图1是本发明实施例的面向移动互联网自带设备的认证方法的流程示意图。

图2是本发明实施例的面向移动互联网自带设备的访问方法的流程示意图。

图3是本发明实施例的CMOS图像传感器PUF生成密钥示意图。

图4是本发明实施例的面向移动互联网自带设备的系统结构示意图。

具体实施方式

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互结合，下面结合附图和具体实施例对本发明作进一步详细说明。

本发明实施例中若有方向性指示(诸如上、下、左、右、前、后……)仅用于解释在某一特定姿态(如附图所示)下各部件之间的相对位置关系、运动情况等，如果该特定姿态发生改变时，则该方向性指示也相应地随之改变。

另外，在本发明中若涉及“第一”、“第二”等的描述仅用于描述目的，而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。

请参照图1，本发明实施例的面向移动互联网自带设备的认证方法应用于服务器上，所述服务器包括数据库，用户通过自带设备访问所述服务器，所述设备包括CMOS摄像机及内置的CMOS图像传感器PUF(Physical Unclonable Function，物理不可克隆函数)，所述认证方法包括：

注册步骤：接收用户通过所述设备发送的允许当前设备访问服务器的注册请求信息以及与用户和设备对应的请求ID；验证注册请求信息，若通过则接受请求ID并发送一个与请求ID对应的激励至所述设备，所述激励用于所述PUF生成相应的第一设备密匙；接收用户通过设备发送的第一设备密匙及预处理后的用户的第一面部图像；采用特征提取算法提取第一面部图像，得到用户特定的第一特征向量；将第一特征向量及第一设备密匙通过生物哈希技术进行集成，得到第一信息模版；保存第一信息模版及请求ID至数据库，并删除第一特征向量及第一设备密匙，完成注册。用户可注册多个自带设备用于访问服务器；对于特定的用户与设备组合，注册时可能会产生多个激励。特征提取算法(Gabor滤波器，PCA和LDA)被应用于收集所有授权用户的脸部图像；脸部特征维度和变换后的矩阵W(特征面)都会存储在数据库中。优选地，第一信息模版以用户、设备、激励及模板信息四部分的形式存储在系统数据库中。

认证步骤：接收用户通过设备发送的请求ID及寻求访问权限的访问请求；验证请求ID是否存在，若不存在则立即拒绝该访问，若存在则生成对应所述用户与设备的组合激励，所述组合激励用于所述PUF生成相应的第二设备密匙；接收用户通过设备发送的第二设备密匙及预处理后的用户的第二面部图像；采用特征提取算法提取第二面部图像，得到用户特定的第二特征向量，并将第二特征向量及第二设备密匙通过生物哈希技术进行集成，得到第二信息模版；对比第二信息模版与第一信息模版，若两模版之间的汉明距离在预设的阙值内，则认证成功并接受访问；反之，则认证失败并拒绝访问。由于PUF响应的可靠性和传输问题，本发明实施例的认证过程可以向自带设备发送不同的激励，进行多次，以减少由对面部图像的不完全反馈或潜在的突发性错误而引起的错误。

作为一种实施方式，特征提取算法包括：

步骤1：采用二维Gabor过滤器抽取图像的空间局部频度特征，其中，二维Gabor滤波器φ_μ，ν(x,y)为由正弦平面调制的高斯函数，即：

其中x’＝xcosθv+ysinθv，y’＝-xsinθv+ycosθv，f_u＝f_max/2^(u/2)，θ_v＝vπ/8，μ＝0,1,...,4；ν＝0,1,...,7；

采用如下公式计算图像I(x,y)的Gabor特性对应的参数集(μ,ν)

G_μ，ν(x,y)＝I(x,y)×φ_μ,ν(x,y)。

步骤2：采用PCA提取图像数据的特征，给定一个大尺寸样本

j的主分量为特征向量μ_j，

x_i在这个维度上的投影是

采用如下公式消除这个维度：

其中

步骤3：采用LDA提取图像数据的特征，LDA映射出一个C类样本数据到一个(m＝C-1)m维空间，在这个空间中，为了测量散点矩阵群集间的变量，将S_b进行了最大化处理。而为了提高群集内变量的识别率，我们将Sw进行了最小化处理。

其中μ和μ_c分别是总体样本数据和c类的平均向量，y_ci是在c类中所观察的Nc个样本中的第i个；

找到一个线性投影权W，使得高维样本数据y转换成低维度变量y’:

y’＝W^Ty；

通过把Fisher标准最大化来找到最优的W，函数J(w)如下:

本发明实施例先采用Gabor,然后PCA，LDA顺序使用，组合提取面部特征，进一步提高了面部的识别率。

作为一种实施方式，在注册请求信息不通过的情况下，面向移动互联网自带设备的认证方法还包括：向设备发送错误提示，所述错误提示用于提示当前用户注册信息不通过。

作为一种实施方式，认证步骤之后还包括：

信息模版更新步骤：将第二信息模版中区别于第一信息模版的特征信息更新到第一信息模版中，并保存至数据库。

本发明实施例通过提取生物特征并投影到随机的PUF空间来实现提高BYOD的安全性，因为原始生物特征和随机投影空间参数都必须存储在设备上；本发明实施例可以更好的区分出假冒的用户设备，而且对于真实的用户设备对具有卓越的重现性。

请参照图2，本发明实施例的面向移动互联网自带设备的访问方法应用于自带设备上，所述自带设备与服务器相连，所述设备包括CMOS摄像机及内置的CMOS图像传感器PUF，所述服务器包括数据库，所述访问方法包括注册请求步骤及访问请求步骤。

注册请求步骤：响应于用户触发的允许当前设备访问服务器的注册请求信息，创建与当前用户及设备对应的请求ID，将注册请求信息及请求ID发送至服务器；响应于服务器返回的与请求ID对应的激励，将激励应用于所述PUF生成相应的第一设备密钥，并将第一设备密钥发送至服务器；同时，拍摄当前用户的第一面部图像，将第一面部图像预处理为预设的大小并发送至服务器。本发明实施例通过CMOS图像传感器PUF来生成设备密钥，随机的信息是从CMOS图像传感器的固定噪声(FPN)中得到的；FPN是在均匀照明下或完全黑暗中，图像传感器输出像素电压随机变化的值，它是由于制造工艺的误差导致的设备和有源像素传感器之间互连不匹配的结果。如图3所示，验证请求被发送时，设备将从系统中收到一个激励。激励将被用来初始化线性反馈移位寄存器(Linear Feedback Shift Register，LFSR)，并与用户信息和设备ID进行异或运算，以此生成真正的激励C；另一个“阴影下的激励”C’也将通过混合真正的激励C与LFSR输出而产生；两个内部挑战C和C’被解码为像素地址用来定位在CMOS图像传感器阵列中的两个像素点；两个复位电压，Pc和Pc’，被读取和比较，以此把信息转换成二进制位作为最终响应；为了获得k位设备密钥，时钟多次控制LFSR来产生k个“阴影激励”C’。

访问请求步骤：响应于当前用户触发的寻求访问权限的访问请求，将访问请求及请求ID发送至服务器，以便服务器在请求ID验证通过的情况下发出一组合激励；响应于服务器发出的组合激励，将组合激励应用于所述PUF生成相应的第二设备密钥，并将第二设备密钥发送至服务器；同时，拍摄当前用户的第二面部图像，将第二面部图像预处理为预设的大小并发送至服务器，以便服务器验证当前用户及设备的身份进而判断是否接受用户的访问。

请参照图4，本发明实施例的面向移动互联网自带设备的认证系统包括自带设备及与自带设备连接(通过网络或光纤连接)的服务器，所述设备包括CMOS摄像机及内置的CMOS图像传感器PUF，所述服务器包括数据库，所述服务器还包括：

注册模块：接收用户通过所述设备发送的允许当前设备访问服务器的注册请求信息以及与用户和设备对应的请求ID；验证注册请求信息，若通过则接受请求ID并发送一个与请求ID对应的激励至所述设备，所述激励用于所述PUF生成相应的第一设备密匙；接收用户通过设备发送的第一设备密匙及预处理后的用户的第一面部图像；采用特征提取算法提取第一面部图像，得到用户特定的第一特征向量；将第一特征向量及第一设备密匙通过生物哈希技术进行集成，得到第一信息模版；保存第一信息模版及请求ID至数据库，并删除第一特征向量及第一设备密匙，完成注册；及

认证模块：接收用户通过设备发送的请求ID及寻求访问权限的访问请求；验证请求ID是否存在，若不存在则立即拒绝该访问，若存在则生成对应所述用户与设备的组合激励，所述组合激励用于所述PUF生成相应的第二设备密匙；接收用户通过设备发送的第二设备密匙及预处理后的用户的第二面部图像；采用特征提取算法提取第二面部图像，得到用户特定的第二特征向量，并将第二特征向量及第二设备密匙通过生物哈希技术进行集成，得到第二信息模版；对比第二信息模版与第一信息模版，若两模版之间的汉明距离在预设的阙值内，则认证成功并接受访问；反之，则认证失败并拒绝访问。

作为一种实施方式，服务器还包括特征提取子模块：

采用二维Gabor过滤器抽取图像的空间局部频度特征，其中，二维Gabor滤波器φ_μ，ν(x,y)为由正弦平面调制的高斯函数，即：

其中x’＝xcosθv+ysinθv，y’＝-xsinθv+ycosθv，f_u＝f_max/2^(u/2)，θ_v＝vπ/8，μ＝0,1,...,4；ν＝0,1,...,7；

采用如下公式计算图像I(x,y)的Gabor特性对应的参数集(μ,ν)

G_μ，ν(x,y)＝I(x,y)×φ_μ,ν(x,y)；

采用PCA提取图像数据的特征，给定一个大尺寸样本

j的主分量为特征向量μ_j，

x_i在这个维度上的投影是

采用如下公式消除这个维度：

其中

采用LDA提取图像数据的特征，LDA映射出一个C类样本数据到一个(m＝C-1)m维空间，在这个空间中，为了测量散点矩阵群集间的变量，将S_b进行了最大化处理。而为了提高群集内变量的识别率，我们将Sw进行了最小化处理。

其中μ和μ_c分别是总体样本数据和c类的平均向量，y_ci是在c类中所观察的Nc个样本中的第i个；

找到一个线性投影权W，使得高维样本数据y转换成低维度变量y’:

y’＝W^Ty；

通过把Fisher标准最大化来找到最优的W，函数J(w)如下:

作为一种实施方式，服务器还包括：

错误提示模块：向设备发送错误提示，所述错误提示用于提示当前用户注册信息不通过。

作为一种实施方式，服务器还包括：

信息模版更新模块：将第二信息模版中区别于第一信息模版的特征信息更新到第一信息模版中，并保存至数据库。

作为一种实施方式，自带设备还包括：

注册请求模块：响应于用户触发的注册请求，创建与当前用户及设备对应的请求ID，将注册请求及请求ID发送至服务器；

响应于服务器返回的与请求ID对应的激励，将激励应用于所述PUF生成相应的第一设备密钥，并将第一设备密钥发送至服务器；同时，拍摄当前用户的第一面部图像，将第一面部图像预处理为预设的大小并发送至服务器；及

访问请求模块：响应于当前用户触发的寻求访问权限的访问请求，将访问请求及请求ID发送至服务器，以便服务器在请求ID验证通过的情况下发出一组合激励；

响应于服务器发出的组合激励，将组合激励应用于所述PUF生成相应的第二设备密钥，并将第二设备密钥发送至服务器；同时，拍摄当前用户的第二面部图像，将第二面部图像预处理为预设的大小并发送至服务器，以便服务器验证当前用户及设备的身份进而判断是否接受用户的访问。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同范围限定。

Claims (7)

1.一种面向移动互联网自带设备的认证方法，其特征在于，所述认证方法应用于服务器上，所述服务器包括数据库，用户通过自带设备访问所述服务器，所述设备包括CMOS摄像机及内置的CMOS图像传感器PUF，所述认证方法包括：

注册步骤：接收用户通过所述设备发送的允许当前设备访问服务器的注册请求信息以及与用户和设备对应的请求ID；

验证注册请求信息，若通过则接受请求ID并发送一个与请求ID对应的激励至所述设备，所述激励用于所述PUF生成相应的第一设备密匙；

接收用户通过设备发送的第一设备密匙及预处理后的用户的第一面部图像；

采用特征提取算法提取第一面部图像，得到用户特定的第一特征向量；

将第一特征向量及第一设备密匙通过生物哈希技术进行集成，得到第一信息模版；保存第一信息模版及请求ID至数据库，并删除第一特征向量及第一设备密匙，完成注册；及

认证步骤：接收用户通过设备发送的请求ID及寻求访问权限的访问请求；

验证请求ID是否存在，若不存在则立即拒绝该访问，若存在则生成对应所述用户与设备的组合激励，所述组合激励用于所述PUF生成相应的第二设备密匙；

接收用户通过设备发送的第二设备密匙及预处理后的用户的第二面部图像；

采用特征提取算法提取第二面部图像，得到用户特定的第二特征向量，并将第二特征向量及第二设备密匙通过生物哈希技术进行集成，得到第二信息模版；

对比第二信息模版与第一信息模版，若两模版之间的汉明距离在预设的阙值内，则认证成功并接受访问；反之，则认证失败并拒绝访问；

所述特征提取算法包括：

步骤1：采用二维Gabor过滤器抽取图像的空间局部频度特征，其中，二维Gabor滤波器φ_μ，ν(x，y)为由正弦平面调制的高斯函数，即

其中：x，y表示图像的坐标，x’＝xcosθv+ysinθv，y’＝-xsinθv+ycosθv，f＝f_max/2^(μ/2)，f_max是最大频率，θ_v＝vπ/8，μ＝0,1,...,4；ν＝0,1,...,7；

采用如下公式计算二维Gabor滤波器对图像I(x,y)的滤波：

其中：I(x，y)表示坐标(x，y)处的图像，*表示图像的卷积操作，G_μ,v(x,y)表示坐标(x，y)处经Gabor滤波器卷积处理过的图像；

步骤2：采用PCA即Principal Component Analysis主成分分析来提取图像数据的特征，给定一个大尺寸样本

R^m是一个m阶列向量，X是一个m×n维矩阵，j的主分量为特征向量μ_j，

x_i在这个维度上的投影是

采用如下公式消除这个维度：

其中

步骤3：采用多类别LDA(Linear Discriminant Analysis，线性判别分析)提取图像数据的特征，即是多类向低维投影，则对于LDA的C类样本数据，投影到低维空间的维度为m，其中：m＝C-1，在这个空间中，为了测量散点矩阵群集间的变量，将S_b进行了最大化处理，而为了提高群集内变量的识别率，我们将Sw进行了最小化处理；

类间散度矩阵：

类内散度矩阵：；

其中

和

分别是总体样本数据和C类的平均向量，y_ci是在C类中所观察的Nc个样本中的第i个；

找到一个线性投影权W，使得高维样本数据y_i转换成低维度变量y_i’:

y_i’＝W^Ty_i；

最优的W可以通过把Fisher标准最大化来找到，函数J(w)如下:

2.如权利要求1所述的一种面向移动互联网自带设备的认证方法，其特征在于，在注册请求信息不通过的情况下，还包括：

向设备发送错误提示，所述错误提示用于提示当前用户注册信息不通过。

3.如权利要求1所述的一种面向移动互联网自带设备的认证方法，其特征在于，所述认证步骤之后还包括：

信息模版更新步骤：将第二信息模版中区别于第一信息模版的特征信息更新到第一信息模版中，并保存至数据库。

4.一种面向移动互联网自带设备的认证系统，其特征在于，包括自带设备及与自带设备连接的服务器，所述设备包括CMOS摄像机及内置的CMOS图像传感器PUF，所述服务器包括数据库，所述服务器还包括：

注册模块：接收用户通过所述设备发送的允许当前设备访问服务器的注册请求信息以及与用户和设备对应的请求ID；

验证注册请求信息，若通过则接受请求ID并发送一个与请求ID对应的激励至所述设备，所述激励用于所述PUF生成相应的第一设备密匙；

接收用户通过设备发送的第一设备密匙及预处理后的用户的第一面部图像；

采用特征提取算法提取第一面部图像，得到用户特定的第一特征向量；

将第一特征向量及第一设备密匙通过生物哈希技术进行集成，得到第一信息模版；保存第一信息模版及请求ID至数据库，并删除第一特征向量及第一设备密匙，完成注册；及

认证模块：接收用户通过设备发送的请求ID及寻求访问权限的访问请求；

验证请求ID是否存在，若不存在则立即拒绝该访问，若存在则生成对应所述用户与设备的组合激励，所述组合激励用于所述PUF生成相应的第二设备密匙；

接收用户通过设备发送的第二设备密匙及预处理后的用户的第二面部图像；

采用特征提取算法提取第二面部图像，得到用户特定的第二特征向量，并将第二特征向量及第二设备密匙通过生物哈希技术进行集成，得到第二信息模版；

对比第二信息模版与第一信息模版，若两模版之间的汉明距离在预设的阙值内，则认证成功并接受访问；反之，则认证失败并拒绝访问；

所述服务器还包括特征提取子模块：

采用二维Gabor过滤器抽取图像的空间局部频度特征，其中，二维Gabor滤波器φ_μ，ν(x，y)为由正弦平面调制的高斯函数，即

其中：x，y表示图像的坐标，x’＝xcosθv+ysinθv，y’＝-xsinθv+ycosθv，f_μ＝f_max/2^(μ/2)，f_max是最大频率，，θ_v＝vπ/8，μ＝0,1,...,4；ν＝0,1,...,7；

采用如下公式计算二维Gabor滤波器对图像I(x,y)的滤波：

其中：I(x，y)表示坐标(x，y)处的图像，*表示图像的卷积操作，G_μ,v(x,y)表示坐标(x，y)处经Gabor滤波器卷积处理过的图像；

采用PCA即Principal Component Analysis主成分分析来提取图像数据的特征，给定一个大尺寸样本

R^m是一个m阶列向量，X是一个m×n维矩阵，j的主分量为特征向量μ_j，

xi在这个维度上的投影是

采用如下公式消除这个维度：

其中

采用多类别LDA即Linear Discriminant Analysis线性判别分析来提取图像数据的特征，即是多类向低维投影，则对于LDA的C类样本数据，投影到低维空间的维度为m，其中：m＝C-1，在这个空间中，为了测量散点矩阵群集间的变量，将S_b进行了最大化处理，而为了提高群集内变量的识别率，我们将Sw进行了最小化处理；

类间散度矩阵：

类内散度矩阵：；

其中

和

分别是总体样本数据和c类的平均向量，y_ci是在c类中所观察的Nc个样本中的第i个；

找到一个线性投影权W，使得高维样本数据y_i转换成低维度变量y_i’:

Y_i’＝W^Ty_i；

最优的W可以通过把Fisher标准最大化来找到，函数J(w)如下:

5.如权利要求4所述的一种面向移动互联网自带设备的认证系统，其特征在于，所述服务器还包括：

错误提示模块：向设备发送错误提示，所述错误提示用于提示当前用户注册信息不通过。

6.如权利要求4所述的一种面向移动互联网自带设备的认证系统，其特征在于，所述服务器还包括：

信息模版更新模块：将第二信息模版中区别于第一信息模版的特征信息更新到第一信息模版中，并保存至数据库。

7.如权利要求4所述的一种面向移动互联网自带设备的认证系统，其特征在于，所述设备还包括：

注册请求模块：响应于用户触发的允许当前设备访问服务器的注册请求信息，创建与当前用户及设备对应的请求ID，将注册请求信息及请求ID发送至服务器；

响应于服务器返回的与请求ID对应的激励，将激励应用于所述PUF生成相应的第一设备密匙，并将第一设备密匙发送至服务器；同时，拍摄当前用户的第一面部图像，将第一面部图像预处理为预设的大小并发送至服务器；及

访问请求模块：响应于当前用户触发的寻求访问权限的访问请求，将访问请求及请求ID发送至服务器，以便服务器在请求ID验证通过的情况下发出一组合激励；

响应于服务器发出的组合激励，将组合激励应用于所述PUF生成相应的第二设备密匙，并将第二设备密匙发送至服务器；同时，拍摄当前用户的第二面部图像，将第二面部图像预处理为预设的大小并发送至服务器，以便服务器验证当前用户及设备的身份进而判断是否接受用户的访问。

Images