CN113672890A

CN113672890A - 身份认证方法、装置、电子设备及计算机存储介质

Info

Publication number: CN113672890A
Application number: CN202010410537.0A
Authority: CN
Inventors: 杨文翠; 陈楚珺
Original assignee: China Mobile Communications Group Co Ltd; China Mobile Shanghai ICT Co Ltd
Current assignee: China Mobile Communications Group Co Ltd; China Mobile Shanghai ICT Co Ltd
Priority date: 2020-05-15
Filing date: 2020-05-15
Publication date: 2021-11-19

Abstract

本发明实施例提供了一种身份认证方法、装置、电子设备及计算机存储介质。该身份认证方法，应用于生物特征信息采集器，包括：获取待认证用户的身份标识信息、口令标识信息和生物特征信息；将生物特征信息与预设的同态加密的生物特征标准信息进行匹配；当生物特征信息与同态加密的生物特征标准信息匹配成功后，基于身份标识信息和口令标识信息，生成登录信息；向认证服务器发送登录信息，以用于认证服务器基于登录信息，采用安全多方计算方式执行认证服务器和用户终端之间的相互认证操作；其中，用户终端为待认证用户对应的终端。根据本发明实施例的身份认证方法、装置、电子设备及计算机存储介质，能够更加安全地进行身份认证。

Description

身份认证方法、装置、电子设备及计算机存储介质

技术领域

本发明属于身份认证技术领域，尤其涉及一种身份认证方法、装置、电子设备及计算机存储介质。

背景技术

生物识别是指用户本身属性，包括指纹、虹膜、DNA、面部特征、声音特征、行为特征。在NIST发布的FIPS190先进认证技术指导规范中，生物认证作为最高层的认证方案在很多方面相对于其它的认证方案具有最好的安全特性。

但是随着生物认证技术和云计算的普及，也出现了很多对生物认证方案的攻击方法，其中最值得关注的就是对用户的生物信息进行提取和复制，并进行仿冒的攻击(比如在提取或盗窃了用户的指纹特征后重建指纹图像并将指纹图像印刻在仿造的手指上以进行欺骗)。生物信息是十分敏感的信息，一旦被泄露，将会带来隐私和法律问题。目前解决方法有：

(1)基于生物识别特征的访问控制方法及系统。它接收人体的生物识别特征，并将所述人体的生物识别特征发送至智能卡进行生物特征验证；接收智能卡发送的生物特征验证结果；若生物特征验证为通过，授予相应的访问控制权限。

(2)一种基于海明距离的隐私保护生物识别方法。所述基于海明距离的隐私保护生物识别方法首先生成随机密钥，基于海明距离和位置敏感哈希(LSH)的思想对存储在数据库中的数据进行加密处理，并以密文的方式进行存储。在进行生物识别时，对待识别的信息用同样的密钥进行加密，然后与数据库里已加密的信息进行快速地匹配，并将结果返回给用户。

(3)基于同态加密的生物识别方法、装置、终端及业务服务器。方法包括：获取待识别用户的生物识别特征、加密比对源特征，以及公钥。利用公钥对生物识别特征进行加密，得到加密生物识别特征；计算出加密比对源特征和加密生物识别特征之间的加密相似度；将加密相似度和相似度阈值发送至业务服务器，以使业务服务器利用私钥对加密相似度进行解密，得到明文相似度，并将明文相似度与相似度阈值的比对结果发送至本端。

但是，上述这些解决方法均容易被攻破，安全性较差。

因此，如何更加安全地进行身份认证是本领域技术人员亟需解决的技术问题。

发明内容

本发明实施例提供一种身份认证方法、装置、电子设备及计算机存储介质，能够更加安全地进行身份认证。

第一方面，本发明实施例提供一种身份认证方法，应用于生物特征信息采集器，包括：

获取待认证用户的身份标识信息、口令标识信息和生物特征信息；

将生物特征信息与预设的同态加密的生物特征标准信息进行匹配；

当生物特征信息与同态加密的生物特征标准信息匹配成功后，基于身份标识信息和口令标识信息，生成登录信息；

向认证服务器发送登录信息，以用于认证服务器基于登录信息，采用安全多方计算方式执行认证服务器和用户终端之间的相互认证操作；其中，用户终端为待认证用户对应的终端。

可选地，获取待认证用户的身份标识信息、口令标识信息和生物特征信息，包括：

读取待认证用户对应的智能卡中的身份标识信息和口令标识信息；

采集待认证用户的生物特征信息。

可选地，将生物特征信息与预设的同态加密的生物特征标准信息进行匹配，包括：

分别确定生物特征信息对应的第一生物特征向量和生物特征标准信息对应的第二生物特征向量；

确定第一生物特征向量和第二生物特征向量之间的欧式距离；

判断欧式距离是否不大于预设的门限阈值；

当生物特征信息与同态加密的生物特征标准信息匹配成功后，基于身份标识信息和口令标识信息，生成登录信息，包括：

当确定欧式距离不大于门限阈值时，基于身份标识信息和口令标识信息，生成登录信息。

第二方面，本发明实施例提供一种身份认证方法，应用于认证服务器，包括：

接收生物特征信息采集器发送的登录信息；其中，登录信息是由生物特征信息采集器获取待认证用户的身份标识信息、口令标识信息和生物特征信息；将生物特征信息与预设的同态加密的生物特征标准信息进行匹配；当生物特征信息与同态加密的生物特征标准信息匹配成功后，基于身份标识信息和口令标识信息生成的；

基于登录信息，采用安全多方计算方式执行认证服务器和用户终端之间的相互认证操作；其中，用户终端为待认证用户对应的终端。

可选地，登录信息包括第一消息认证码；基于登录信息，采用安全多方计算方式执行认证服务器和用户终端之间的相互认证操作，包括：

基于第一消息认证码，采用安全多方计算方式针对用户终端进行认证；

当针对用户终端认证通过后，向用户终端发送认证信息，以用于用户终端基于认证信息，采用安全多方计算方式针对认证服务器进行认证；当针对认证服务器认证通过后，向认证服务器发送第二消息认证码；

接收用户终端发送的第二消息认证码。

可选地，在接收用户终端发送的第二消息认证码之后，方法还包括：

针对第二消息认证码进行认证；

当第二消息认证码认证通过后，向用户终端发送预生成的会话密钥。

第三方面，本发明实施例提供一种身份认证装置，应用于生物特征信息采集器，包括：

获取模块，用于获取待认证用户的身份标识信息、口令标识信息和生物特征信息；

匹配模块，用于将生物特征信息与预设的同态加密的生物特征标准信息进行匹配；

生成模块，用于当生物特征信息与同态加密的生物特征标准信息匹配成功后，基于身份标识信息和口令标识信息，生成登录信息；

发送模块，用于向认证服务器发送登录信息，以用于认证服务器基于登录信息，采用安全多方计算方式执行认证服务器和用户终端之间的相互认证操作；其中，用户终端为待认证用户对应的终端。

可选地，获取模块，用于读取待认证用户对应的智能卡中的身份标识信息和口令标识信息；采集待认证用户的生物特征信息。

可选地，匹配模块，用于分别确定生物特征信息对应的第一生物特征向量和生物特征标准信息对应的第二生物特征向量；确定第一生物特征向量和第二生物特征向量之间的欧式距离；判断欧式距离是否不大于预设的门限阈值；生成模块，用于当确定欧式距离不大于门限阈值时，基于身份标识信息和口令标识信息，生成登录信息。

第四方面，本发明实施例提供一种身份认证装置，应用于认证服务器，包括：

接收模块，用于接收生物特征信息采集器发送的登录信息；其中，登录信息是由生物特征信息采集器获取待认证用户的身份标识信息、口令标识信息和生物特征信息；将生物特征信息与预设的同态加密的生物特征标准信息进行匹配；当生物特征信息与同态加密的生物特征标准信息匹配成功后，基于身份标识信息和口令标识信息生成的；

执行模块，用于基于登录信息，采用安全多方计算方式执行认证服务器和用户终端之间的相互认证操作；其中，用户终端为待认证用户对应的终端。

可选地，登录信息包括第一消息认证码；执行模块，用于基于第一消息认证码，采用安全多方计算方式针对用户终端进行认证；当针对用户终端认证通过后，向用户终端发送认证信息，以用于用户终端基于认证信息，采用安全多方计算方式针对认证服务器进行认证；当针对认证服务器认证通过后，向认证服务器发送第二消息认证码；接收用户终端发送的第二消息认证码。

可选地，执行模块，还用于针对第二消息认证码进行认证；当第二消息认证码认证通过后，向用户终端发送预生成的会话密钥。

第五方面，本发明实施例提供一种电子设备，电子设备包括：处理器，以及存储有计算机程序指令的存储器；

处理器读取并执行计算机程序指令，以实现第一方面或者第一方面任一可选的实现方式中的身份认证方法；或，

处理器读取并执行计算机程序指令，以实现第二方面或者第二方面任一可选的实现方式中的身份认证方法。

第六方面，本发明实施例提供一种计算机存储介质，计算机存储介质上存储有计算机程序指令，计算机程序指令被处理器执行时实现第一方面或者第一方面任一可选的实现方式中的身份认证方法；或，

计算机程序指令被处理器执行时实现第二方面或者第二方面任一可选的实现方式中的身份认证方法。

本发明实施例的身份认证方法、装置、电子设备及计算机存储介质，能够更加安全地进行身份认证。该身份认证方法，获取待认证用户的身份标识信息、口令标识信息和生物特征信息，将生物特征信息与预设的同态加密的生物特征标准信息进行匹配；当生物特征信息与同态加密的生物特征标准信息匹配成功后，基于身份标识信息和口令标识信息，生成登录信息；向认证服务器发送登录信息，以用于认证服务器基于登录信息，采用安全多方计算方式执行认证服务器和用户终端之间的相互认证操作。可见，该身份认证方法进行了多次认证，相比于现有技术，能够更加安全地进行身份认证。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单的介绍，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种身份认证方法的流程示意图；

图2是本发明实施例提供的另一种身份认证方法的流程示意图；

图3是本发明实施例提供的一种身份认证装置的结构示意图；

图4是本发明实施例提供的另一种身份认证装置的结构示意图；

图5是本发明实施例提供的一种电子设备的结构示意图。

具体实施方式

下面将详细描述本发明的各个方面的特征和示例性实施例，为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及具体实施例，对本发明进行进一步详细描述。应理解，此处所描述的具体实施例仅被配置为解释本发明，并不被配置为限定本发明。对于本领域技术人员来说，本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

生物信息是十分敏感的信息，一旦被泄露，将会带来隐私和法律问题。目前解决方法有：(1)基于生物识别特征的访问控制方法及系统。(2)一种基于海明距离的隐私保护生物识别方法。(3)基于同态加密的生物识别方法、装置、终端及业务服务器。但是，上述这些解决方法均容易被攻破，安全性较差。

为了解决现有技术问题，本发明实施例提供了一种身份认证方法、装置、电子设备及计算机存储介质。下面首先对本发明实施例所提供的身份认证方法进行介绍。

图1示出了本发明实施例提供的一种身份认证方法的流程示意图。如图1所示，该身份认证方法可以包括以下步骤：

S101、获取待认证用户的身份标识信息、口令标识信息和生物特征信息。

在一个实施例中，获取待认证用户的身份标识信息、口令标识信息和生物特征信息，可以包括：读取待认证用户对应的智能卡中的身份标识信息和口令标识信息；采集待认证用户的生物特征信息。

S102、将生物特征信息与预设的同态加密的生物特征标准信息进行匹配。

S103、当生物特征信息与同态加密的生物特征标准信息匹配成功后，基于身份标识信息和口令标识信息，生成登录信息。

在一个实施例中，将生物特征信息与预设的同态加密的生物特征标准信息进行匹配，可以包括：分别确定生物特征信息对应的第一生物特征向量和生物特征标准信息对应的第二生物特征向量；确定第一生物特征向量和第二生物特征向量之间的欧式距离；判断欧式距离是否不大于预设的门限阈值；当生物特征信息与同态加密的生物特征标准信息匹配成功后，基于身份标识信息和口令标识信息，生成登录信息，可以包括：当确定欧式距离不大于门限阈值时，基于身份标识信息和口令标识信息，生成登录信息。

S104、向认证服务器发送登录信息，以用于认证服务器基于登录信息，采用安全多方计算方式执行认证服务器和用户终端之间的相互认证操作；其中，用户终端为待认证用户对应的终端。

该身份认证方法，获取待认证用户的身份标识信息、口令标识信息和生物特征信息，将生物特征信息与预设的同态加密的生物特征标准信息进行匹配；当生物特征信息与同态加密的生物特征标准信息匹配成功后，基于身份标识信息和口令标识信息，生成登录信息；向认证服务器发送登录信息，以用于认证服务器基于登录信息，采用安全多方计算方式执行认证服务器和用户终端之间的相互认证操作。可见，该身份认证方法进行了多次认证，相比于现有技术，能够更加安全地进行身份认证。

图2是本发明实施例提供的一种身份认证方法的流程示意图，该身份认证方法，应用于认证服务器，可以包括：

S201、接收生物特征信息采集器发送的登录信息；其中，登录信息是由生物特征信息采集器获取待认证用户的身份标识信息、口令标识信息和生物特征信息；将生物特征信息与预设的同态加密的生物特征标准信息进行匹配；当生物特征信息与同态加密的生物特征标准信息匹配成功后，基于身份标识信息和口令标识信息生成的；

S202、基于登录信息，采用安全多方计算方式执行认证服务器和用户终端之间的相互认证操作；其中，用户终端为待认证用户对应的终端。

在一个实施例中，登录信息包括第一消息认证码；基于登录信息，采用安全多方计算方式执行认证服务器和用户终端之间的相互认证操作，包括：基于第一消息认证码，采用安全多方计算方式针对用户终端进行认证；当针对用户终端认证通过后，向用户终端发送认证信息，以用于用户终端基于认证信息，采用安全多方计算方式针对认证服务器进行认证；当针对认证服务器认证通过后，向认证服务器发送第二消息认证码；接收用户终端发送的第二消息认证码。

在一个实施例中，在接收用户终端发送的第二消息认证码之后，还可以包括：针对第二消息认证码进行认证；当第二消息认证码认证通过后，向用户终端发送预生成的会话密钥。

下面以一个实施例对上述内容进行说明，具体如下：

在此先对本实施例所使用的符号进行集中说明，如表1所示。

表1

认证构造方案如下：

(1)初始化阶段：

初始化阶段用于建立和分发系统参数。给定安全参数k，可信注册中心T产生单项哈希函数h(*)，消息认证码函数MAC_(*)(*)。可信注册中心对于认证服务器S产生服务器秘钥Xs，对于生物信息采集器密产生密钥pk_R，sk_R。可信注册中心以安全方式将h(*)、MAC_(*)(*)、密钥Xs发给认证服务器，将h(*)、MAC_(*)(*)、密钥pk_R，sk_R发给生物信息采集器。

(2)用户注册阶段：

步骤一：用户C_i通过特定的生物信息采集设备向可信注册中心输入个人生物特征模板B_i，提供PW_i，用户身份信息Id_i。这些信息输入均在安全通道进行。

步骤二：注册中心计算

r_i＝h(pw_i||Sk_R),

步骤三：注册中心将(ID_i；h(*)；MAC_(*)(*)，f_i，e_i)存储在智能卡并安全转发C_i。

(3)用户登录阶段：

在C_i要登录身份为SID的服务器为S时，需要执行的步骤：

步骤一：C_i输入身份和口令Id_i和PW_i，在生物信息采集器采集个人身份信息

并将智能卡插入读卡器。

步骤二：智能卡与采集器之间通过两方安全计算，得到生物特征向量

和B_i间的欧式距离d。区别于直接用两方安全计算，本实施例先对生物信息进行同态加密，在加密状态下通过安全多方计算的方式完成生物模版的匹配操作，保证了计算的正确性和输入的保密性，也避免使用hash函数引起认证失败。然后与预定义的门限t进行比较。若比较结果为真，则C_i通过生物认证，继续执行以下步骤。

步骤三：采集器选择随机数R_C,t_C,并计算：r_i＝h(pw_i||Sk_R)；

tk_C＝h(ck||t_C)；

A_C1＝MAC_ck(R_C||t_C||SID)。

其中||表示两个比特串的连接操作，消息认证码A_C1用于对于C_i消息合法性进行认证。

步骤四：C_i发送消息(ID_i；t_C；M_C；A_C1)给远程服务器S，存储(R_C；t_C)。

(4)用户和服务器S执行相互认证：

步骤一：接收登录消息(ID_i；t_C；M_C；A_C1)后，S检查ID_i的格式。如果有效，S通过计算

设置

通过消息认证码A_C1对C_i进行认证。

步骤二：如果A_C1≠MAC_ck(R_C||t_C||SID)，S拒接登录终止会话。

步骤三：S选择随机数R_S,X_S，并设置tk_S＝h(ck||t_S)，生成会话密钥

以及消息M_S、A_S。

其中，

A_S＝MAC_sk(R_C||R_S||ID_i||SID)

步骤四：S发送消息(t_S；M_S；A_S)给C_i。

步骤五：C_i接收到消息S的消息后，计算

并计算

C_i继续计算会话ck＝h(ck||R_C||R_S)，并检查公式A_S＝MAC_sk(R_C||ID_i||SID)是否成立。如果成立，C_i完成对S的认证并生成正确会话密钥。C_i计算A_C2＝MAC_ck(R_S||R_C||ID_i||SID)。

步骤六：C_i将消息A_C2发送给S。

步骤七：S检查该公式A_C2＝MAC_ck(R_S||R_C||ID_i||SID)是否成立，如果成立，则S与C_i共享会话密钥sk。

(5)口令更新：

步骤一：C_i在采集器插入智能卡，输入旧口令PW_i、采集的生物信息

智能卡和采集器之间进行安全两方运算，计算得到生物特征向量

和B_i之间的欧氏距离d，与预定义的门限t进行比较。若比较结果为真，C_i通过生物认证。

步骤二：C_i输入新口令

采集器计算r_i＝h(pw_i||sk_R)，

以及

智能卡上的替换

本发明实施例具有如下有益效果：

(1)相比现有技术中的生物认证协议，本发明实施例将口令、智能卡和生物认证结合在一起，组成多因素认证系统，只有用户全部持有所有种正确的秘密的情况下才可能通过认证。

(2)在生物认证过程中，使用安全多方计算的方式进行生物模式匹配，保护生物模版，防止服务器端可能的模版泄露问题。在用户进行远程登录时，通过安全多方计算的方式计算生物向量之间的欧式距离并进行模版匹配。即使敌手能够读取服务器中存储的生物模版数据，也无法恢复出生物模版的明文。

(3)在处理生物信息时，对生物信息进行同态加密，在加密状态下通过安全多方计算的方式完成生物模版的匹配操作，计算的参与方在完成计算的同时无法获取原始输入密文对应明文，从而保证了计算的正确性和输入的保密性，也避免使用hash函数引起认证失败。

(4)在性能上，本发明实施例中不仅有hash和MAC运算，还引入了安全多方计算，虽增加了一定的通信和计算代价，但该安全多方计算是在距离很近的智能卡和采集器之间进行，不会因网络延迟而对系统性能造成很大影响。

如图3所示，本发明实施例还提供一种身份认证装置，应用于生物特征信息采集器，包括：

获取模块301，用于获取待认证用户的身份标识信息、口令标识信息和生物特征信息；

匹配模块302，用于将生物特征信息与预设的同态加密的生物特征标准信息进行匹配；

生成模块303，用于当生物特征信息与同态加密的生物特征标准信息匹配成功后，基于身份标识信息和口令标识信息，生成登录信息；

发送模块304，用于向认证服务器发送登录信息，以用于认证服务器基于登录信息，采用安全多方计算方式执行认证服务器和用户终端之间的相互认证操作；其中，用户终端为待认证用户对应的终端。

可选地，在一个实施例中，获取模块301，用于读取待认证用户对应的智能卡中的身份标识信息和口令标识信息；采集待认证用户的生物特征信息。

可选地，在一个实施例中，匹配模块302，用于分别确定生物特征信息对应的第一生物特征向量和生物特征标准信息对应的第二生物特征向量；确定第一生物特征向量和第二生物特征向量之间的欧式距离；判断欧式距离是否不大于预设的门限阈值；生成模块303，用于当确定欧式距离不大于门限阈值时，基于身份标识信息和口令标识信息，生成登录信息。

图3所示装置中的各个模块具有实现图1中各个步骤的功能，并能达到其相应的技术效果，为简洁描述，在此不再赘述。

如图4所示，本发明实施例还提供一种身份认证装置，应用于认证服务器，包括：

接收模块401，用于接收生物特征信息采集器发送的登录信息；其中，登录信息是由生物特征信息采集器获取待认证用户的身份标识信息、口令标识信息和生物特征信息；将生物特征信息与预设的同态加密的生物特征标准信息进行匹配；当生物特征信息与同态加密的生物特征标准信息匹配成功后，基于身份标识信息和口令标识信息生成的；

执行模块402，用于基于登录信息，采用安全多方计算方式执行认证服务器和用户终端之间的相互认证操作；其中，用户终端为待认证用户对应的终端。

可选地，在一个实施例中，登录信息包括第一消息认证码；执行模块402，用于基于第一消息认证码，采用安全多方计算方式针对用户终端进行认证；当针对用户终端认证通过后，向用户终端发送认证信息，以用于用户终端基于认证信息，采用安全多方计算方式针对认证服务器进行认证；当针对认证服务器认证通过后，向认证服务器发送第二消息认证码；接收用户终端发送的第二消息认证码。

可选地，在一个实施例中，执行模块402，还用于针对第二消息认证码进行认证；当第二消息认证码认证通过后，向用户终端发送预生成的会话密钥。

图4所示装置中的各个模块具有实现图2中各个步骤的功能，并能达到其相应的技术效果，为简洁描述，在此不再赘述。

图5示出了本发明实施例提供的一种电子设备的结构示意图。

电子设备可以包括处理器501以及存储有计算机程序指令的存储器502。

具体地，上述处理器501可以包括中央处理器(Central Processing Unit，CPU)，或者特定集成电路(Application Specific Integrated Circuit，ASIC)，或者可以被配置成实施本发明实施例的一个或多个集成电路。

存储器502可以包括用于数据或指令的大容量存储器。举例来说而非限制，存储器502可包括硬盘驱动器(Hard Disk Drive，HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus，USB)驱动器或者两个或更多个以上这些的组合。在一个实例中，存储器502可以包括可移除或不可移除(或固定)的介质，或者存储器502是非易失性固态存储器。存储器502可在电子设备的内部或外部。

在一个实例中，存储器502可以是只读存储器(Read Only Memory，ROM)。在一个实例中，该ROM可以是掩模编程的ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、电可改写ROM(EAROM)或闪存或者两个或更多个以上这些的组合。

处理器501通过读取并执行存储器502中存储的计算机程序指令，以实现图1或图2所示实施例中的方法，并达到图1或图2所示实例执行其方法达到的相应技术效果，为简洁描述在此不再赘述。

在一个示例中，电子设备还可包括通信接口503和总线510。其中，如图5所示，处理器501、存储器502、通信接口503通过总线510连接并完成相互间的通信。

通信接口503，主要用于实现本发明实施例中各模块、装置、单元和/或设备之间的通信。

总线510包括硬件、软件或两者，将电子设备的部件彼此耦接在一起。举例来说而非限制，总线可包括加速图形端口(Accelerated Graphics Port，AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture，EISA)总线、前端总线(Front Side Bus，FSB)、超传输(Hyper Transport，HT)互连、工业标准架构(IndustryStandard Architecture，ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微信道架构(MCA)总线、外围组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下，总线510可包括一个或多个总线。尽管本发明实施例描述和示出了特定的总线，但本发明考虑任何合适的总线或互连。

另外，本发明实施例可提供一种计算机存储介质来实现。该计算机存储介质上存储有计算机程序指令；该计算机程序指令被处理器执行时实现图1或图2所示的身份认证方法。

需要明确的是，本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见，这里省略了对已知方法的详细描述。在上述实施例中，描述和示出了若干具体的步骤作为示例。但是，本发明的方法过程并不限于所描述和示出的具体步骤，本领域的技术人员可以在领会本发明的精神后，作出各种改变、修改和添加，或者改变步骤之间的顺序。

以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时，其可以例如是电子电路、专用集成电路(Application SpecificIntegrated Circuit，ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时，本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中，或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RadioFrequency，RF)链路，等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。

还需要说明的是，本发明中提及的示例性实施例，基于一系列的步骤或者装置描述一些方法或系统。但是，本发明不局限于上述步骤的顺序，也就是说，可以按照实施例中提及的顺序执行步骤，也可以不同于实施例中的顺序，或者若干步骤同时执行。

以上所述，仅为本发明的具体实施方式，所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的系统、模块和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。应理解，本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。

Claims

1.一种身份认证方法，其特征在于，应用于生物特征信息采集器，包括：

将所述生物特征信息与预设的同态加密的生物特征标准信息进行匹配；

当所述生物特征信息与所述同态加密的生物特征标准信息匹配成功后，基于所述身份标识信息和所述口令标识信息，生成登录信息；

向认证服务器发送所述登录信息，以用于所述认证服务器基于所述登录信息，采用安全多方计算方式执行所述认证服务器和用户终端之间的相互认证操作；其中，所述用户终端为所述待认证用户对应的终端。

2.根据权利要求1所述的身份认证方法，其特征在于，所述获取待认证用户的身份标识信息、口令标识信息和生物特征信息，包括：

读取所述待认证用户对应的智能卡中的所述身份标识信息和所述口令标识信息；

采集所述待认证用户的所述生物特征信息。

3.根据权利要求1所述的身份认证方法，其特征在于，所述将所述生物特征信息与预设的同态加密的生物特征标准信息进行匹配，包括：

分别确定所述生物特征信息对应的第一生物特征向量和所述生物特征标准信息对应的第二生物特征向量；

确定所述第一生物特征向量和所述第二生物特征向量之间的欧式距离；

判断所述欧式距离是否不大于预设的门限阈值；

所述当所述生物特征信息与所述同态加密的生物特征标准信息匹配成功后，基于所述身份标识信息和所述口令标识信息，生成登录信息，包括：

当确定所述欧式距离不大于所述门限阈值时，基于所述身份标识信息和所述口令标识信息，生成所述登录信息。

4.一种身份认证方法，其特征在于，应用于认证服务器，包括：

接收生物特征信息采集器发送的登录信息；其中，所述登录信息是由所述生物特征信息采集器获取待认证用户的身份标识信息、口令标识信息和生物特征信息；将所述生物特征信息与预设的同态加密的生物特征标准信息进行匹配；当所述生物特征信息与所述同态加密的生物特征标准信息匹配成功后，基于所述身份标识信息和所述口令标识信息生成的；

基于所述登录信息，采用安全多方计算方式执行所述认证服务器和用户终端之间的相互认证操作；其中，所述用户终端为所述待认证用户对应的终端。

5.根据权利要求4所述的身份认证方法，其特征在于，所述登录信息包括第一消息认证码；所述基于所述登录信息，采用安全多方计算方式执行所述认证服务器和用户终端之间的相互认证操作，包括：

基于所述第一消息认证码，采用所述安全多方计算方式针对所述用户终端进行认证；

当针对所述用户终端认证通过后，向所述用户终端发送认证信息，以用于所述用户终端基于所述认证信息，采用所述安全多方计算方式针对所述认证服务器进行认证；当针对所述认证服务器认证通过后，向所述认证服务器发送第二消息认证码；

接收所述用户终端发送的所述第二消息认证码。

6.根据权利要求5所述的身份认证方法，其特征在于，在所述接收所述用户终端发送的所述第二消息认证码之后，所述方法还包括：

针对所述第二消息认证码进行认证；

当所述第二消息认证码认证通过后，向所述用户终端发送预生成的会话密钥。

7.一种身份认证装置，其特征在于，应用于生物特征信息采集器，包括：

匹配模块，用于将所述生物特征信息与预设的同态加密的生物特征标准信息进行匹配；

生成模块，用于当所述生物特征信息与所述同态加密的生物特征标准信息匹配成功后，基于所述身份标识信息和所述口令标识信息，生成登录信息；

发送模块，用于向认证服务器发送所述登录信息，以用于所述认证服务器基于所述登录信息，采用安全多方计算方式执行所述认证服务器和用户终端之间的相互认证操作；其中，所述用户终端为所述待认证用户对应的终端。

8.一种身份认证装置，其特征在于，应用于认证服务器，包括：

接收模块，用于接收生物特征信息采集器发送的登录信息；其中，所述登录信息是由所述生物特征信息采集器获取待认证用户的身份标识信息、口令标识信息和生物特征信息；将所述生物特征信息与预设的同态加密的生物特征标准信息进行匹配；当所述生物特征信息与所述同态加密的生物特征标准信息匹配成功后，基于所述身份标识信息和所述口令标识信息生成的；

执行模块，用于基于所述登录信息，采用安全多方计算方式执行所述认证服务器和用户终端之间的相互认证操作；其中，所述用户终端为所述待认证用户对应的终端。

9.一种电子设备，其特征在于，所述电子设备包括：处理器，以及存储有计算机程序指令的存储器；

所述处理器读取并执行所述计算机程序指令，以实现如权利要求1-3任意一项所述的身份认证方法；或，

所述处理器读取并执行所述计算机程序指令，以实现如权利要求4-6任意一项所述的身份认证方法。

10.一种计算机存储介质，其特征在于，所述计算机存储介质上存储有计算机程序指令，所述计算机程序指令被处理器执行时实现如权利要求1-3任意一项所述的身份认证方法；或，

所述计算机程序指令被处理器执行时实现如权利要求4-6任意一项所述的身份认证方法。