身份認證方法、身份認證系統、終端和服務器的制造方法

身份認證方法、身份認證系統、終端和服務器的制造方法
【技術領域】
[0001] 本發明設及生物識別技術領域，具體而言，設及一種身份認證方法、一種身份認證 系統、一種終端和一種服務器。
【背景技術】
[0002] 目前，生物識別技術是指利用人體生物特征進行身份認證的技術，常見的生物識 別技術包括指紋識別、人臉識別、虹膜識別等。
[0003] 在移動終端（比如手機）上集成生物識別技術能夠有效保護移動終端上的信息的 安全，其中，生物特征模板數據的存儲是個關鍵的問題，因為移動終端上的惡意程序可能會 竊取移動終端上存儲的生物特征模板數據，從而輕易通過生物識別認證，導致重要信息的 泄漏，給用戶帶來不好的體驗。
[0004] 同態加密是一種特殊的加密技術，它允許人們對密文進行特定的代數運算，且得 到的運算結果與對明文進行同樣的運算的結果一樣。換言之，運項技術令人們可W在加密 的數據中進行操作，得出正確的結果，而在整個處理過程中無需對數據進行解密。但是目前 的同態加密技術還無法直接應用在生物特征模板匹配運樣的復雜運算上。 陽〇化]因此，需要一種新的身份認證方法，可W將生物識別技術與同態加密技術相結合， 使服務器不需要解密就能進行正確的生物特征信息匹配，并可W有效的避免現有技術中因 將用戶生物特征信息存儲在終端W及服務器上易被惡意竊取的問題，提高了基于生物特征 信息的身份認證的安全性和可靠性，從而提升了用戶體驗。

【發明內容】

[0006] 本發明正是基于上述問題，提出了一種新的技術方案，通過將生物識別技術與同 態加密技術相結合，使服務器不需要解密就能進行正確的生物特征信息匹配，并有效的避 免現有技術中因將用戶生物特征信息存儲在終端上易被惡意竊取的問題，實現了用戶生物 特征信息的安全儲存，提高了基于生物特征信息的身份認證的安全性和可靠性，從而提升 了用戶體驗。
[0007] 有鑒于此，本發明的第一方面，提出了一種身份認證方法，用于終端，包括：采集預 設用戶的第一生物特征信息；將所述第一生物特征信息的至少一項第一屬性信息W向量形 式表示，并根據預設密鑰對W向量形式表示的所述至少一項第一屬性信息進行同態加密處 理，W生成第一生物特征向量；將所述第一生物特征向量發送至服務器，W供所述服務器將 所述第一生物特征向量存儲為第一生物特征模板向量。
[0008] 在該技術方案中，首先進行第一生物特征模板向量的預存儲過程，具體地，通過將 采集到的預設用戶的第一生物特征信息中可供身份認證的第一屬性信息W向量形式表示， 其中，可供身份認證的第一屬性信息有一項或多項，而用向量形式表示每一項第一屬性信 息，即可得到一個表示第一生物特征信息的向量組，根據存儲的預設密鑰對該向量組中的 每一個分向量進行同態加密，即可得到第一生物特征向量，然后將第一物特征向量發送至 服務器，由服務器將其存儲為第一生物特征模板向量，其中，預設密鑰可W是終端隨機產生 的，也可W是根據用戶實際需要設定的，最終存儲在終端中，即將經過同態加密生成的第一 生物特征模板向量存儲在服務器中，而用于解密的預設密鑰存儲在終端中，則服務器無法 獲知此預設密鑰，如此，通過將生物識別技術與同態加密技術相結合，使服務器不需要解密 就能進行正確的生物特征信息匹配，并可W有效的避免現有技術中因將用戶生物特征信息 存儲在終端上易被惡意竊取的問題，實現了用戶生物特征信息的安全儲存，提高了基于生 物特征信息的身份認證的安全性和可靠性，從而提升了用戶體驗。
[0009] 在上述技術方案中，優選地，還包括：采集當前用戶的第二生物特征信息；將所述 第二生物特征信息的至少一項第二屬性信息W向量形式表示，并根據所述預設密鑰對W向 量形式表示的所述至少一項第二屬性信息進行同態加密處理，W生成第二生物特征向量； 將所述第二生物特征向量發送至所述服務器，W供所述服務器根據所述第二生物特征向量 與所述第一生物特征模板向量生成第一歐氏距離；接收來自所述服務器的所述第一歐氏距 離；對所述第一歐氏距離進行同態解密處理得到第二歐氏距離；根據所述第二歐氏距離確 定所述第二生物特征信息與所述第一生物特征信息是否匹配，W確定身份認證是否成功。
[0010] 在該技術方案中，通過將采集到的當前用戶的第二生物特征信息中可供身份認證 的第二屬性信息W向量形式表示，其中，可供身份認證的第二屬性信息有一項或多項，而用 向量形式表示每一項第二屬性信息，即可得到一個表示第二生物特征信息的向量組，根據 預設密鑰對該向量組中的每一個分向量進行同態加密，即可得到第二生物特征向量，然后 將第二生物特征向量發送至服務器，W供服務器在不解密的情況下，計算得出第二生物特 征向量與其預存儲的第一生物特征模板向量的第一歐氏距離，當然，第一歐氏距離也是加 密的，服務器也無法獲知第一歐氏距離的具體結果，如此，可W防止服務器濫用用戶的第一 生物特征模板向量，確保了匹配結果的安全性。 1 ] 另外，通過將第一生物特征模板向量存儲在服務器中，與現有技術相比，避免了因 將第一生物特征模板向量存儲在終端上易被惡意竊取的問題，服務器將計算得到的第一歐 氏距離發送至終端，通過終端對其進行同態解密得到第二歐氏距離，進而即可根據第二歐 氏距離確定第二生物特征信息與所述第一生物特征信息是否匹配，W確定身份認證是否成 功，即用于同態解密的預設密鑰存儲在終端中，服務器無法獲知此預設密鑰，進一步確保了 身份認證的安全性和可靠性。
[0012] 通過將生物識別技術與同態加密技術相結合，使服務器不需要解密就能進行正確 的生物特征信息匹配，并可W有效的避免現有技術中因將用戶生物特征信息存儲在終端上 易被惡意竊取的問題，實現了用戶生物特征信息的安全儲存，提高了基于生物特征信息的 身份認證的安全性和可靠性，從而提升了用戶體驗。
[0013] 在上述技術方案中，優選地，根據所述第二歐氏距離確定所述第二生物特征信息 與所述第一生物特征信息是否匹配，W確定身份認證是否成功，具體包括：判斷所述第二歐 氏距離是否小于或等于預設距離；W及當判定所述第二歐氏距離小于或等于所述預設距離 時，所述第二生物特征信息與所述第一生物特征信息匹配成功，則身份認證成功；當判定所 述第二歐氏距離大于所述預設距離時，所述第二生物特征信息與所述第一生物特征信息匹 配失敗，則身份認證失敗。
[0014] 在該技術方案中，第二生物特征信息與所述第一生物特征信息是否匹配由第二歐 氏距離決定，通過判斷第二歐氏距離與預設距離的大小即可確定其是否匹配，具體地，當判 定第二歐氏距離小于或等于預設距離時，第二生物特征信息與所述第一生物特征信息匹配 成功，則表明用戶身份認證成功，否則，身份認證失敗，如此，有效的避免了現有技術中因將 第一生物特征模板向量存儲在終端上易被惡意竊取的問題，提高了基于生物特征信息的身 份認證的安全性和可靠性，從而提升了用戶體驗。其中，預設距離可W根據實際應用場景需 要測算出來。
[0015] 在上述技術方案中，優選地，所述第一生物特征信息和所述第二生物特征信息至 少包括W下之一或其組合：指紋圖像信息、虹膜圖像信息和人臉圖像信息。
[0016] 在該技術方案中，第一生物特征信息和第二生物特征信息至少包含但不限于W下 之一或其組合：指紋圖像信息、虹膜圖像信息和人臉圖像信息，即本方案可W基于不同的生 物特征信息實現，W使服務器不需要解密就能進行正確的生物特征信息匹配，并可W有效 的避免現有技術中因將第一生物特征模板向量存儲在終端上易被惡意竊取的問題，進而提 高基于生物特征信息的身份認證的安全性和可靠性的效果，進一步提高了身份認證的適用 性。
[0017] 根據本發明的第二方面，提出了一種身份認證系統，用于終端，包括：采集模塊，用 于采集預設用戶的第一生物特征信息；加密模塊，用于將所述第一生物特征信息的至少一 項第一屬性信息W向量形式表示，并根據預設密鑰對W向量形式表示的所述至少一項第一 屬性信息進行同態加密處理，W生成第一生物特征向量；第一發送模塊，用于將所述第一生 物特征向量發送至服務器，W供所述服務器將所述第一生物特征向量存儲為第一生物特征 模板向量。
[0018] 在該技術方案中，首先進行第一生物特征模板向量的預存儲過程，具體地，通過將 采集到的預設用戶的第一生物特征信息中可供身份認證的第一屬性信息W向量形式表示， 其中，可供身份認證的第一屬性信息有一項或多項，而用向量形式表示每一項第一屬性信 息，即可得到一個表示第一生物特征信息的向量組，根據存儲的預設密鑰對該向量組中的 每一個分向量進行同態加密，即可得到第一生物特征向量，然后將第一物特征向量發送至 服務器，由服務器將其存儲為第一生物特征模板向量，其中，預設密鑰可W是終端隨機產生 的，也可W是根據用戶實際需要設定的，最終存儲在終端中，即將經過同態加密生成的第一 生物特征模板向量存儲在服務器中，而用于解密的預設密鑰存儲在終端中，則服務器無法 獲知此預設密鑰，如此，通過將生物識別技術與同態加密技術相結合，使服務器不需要解密 就能進行正確的生物特征信息匹配，并可W有效的避免現有技術中因將用戶生物特征信息 存儲在終端上易被惡意竊取的問題，實現了用戶生物特征信息的安全儲存，提高了基于生 物特征信息的身份認證的安全性和可靠性，從而提升了用戶體驗。
[0019] 在上述技術方案中，優選地，所述采集模塊還用于采集當前用戶的第二生物特征 信息；所述加密模塊還用于將所述第二生物特征信息的至少一項第二屬性信息W向量形式 表示，并根據所述預設密鑰對W向量形式表示的所述至少一項第二屬性信息進行同態加密 處理，W生成第二生物特征向量；所述第一發送模塊還用于將所述第二生物特征向量發送 至所述服務器，W供所述服務器根據所述第二生物特征向量與所述第一生物特征模板向量 生成第一歐氏距離；W及所述身份認證系統還包括：第一接收模塊，用于接收來自所述服 務器的所述第一歐氏距離；解密模塊，用于對所述第一歐氏距離進行同態解密處理得到第 二歐氏距離；判斷模塊，用于根據所述第二歐氏距離確定所述第二生物特征信息與所述第 一生物特征信息是否匹配，W確定身份認證是否成功。
[0020] 在該技術方案中，通過將采集到的當前用戶的第二生物特征信息中可供身份認證 的第二屬性信息W向量形式表示，其中，可供身份認證的第二屬性信息有一項或多項，而用 向量形式表示每一項第二屬性信息，即可得到一個表示第二生物特征信息的向量組，根據 預設密鑰對該向量組中的每一個分向量進行同態加密，即可得到第二生物特征向量，然后 將第