技術領域

本發明涉及網絡安全技術領域，具體涉及一種生物信息認證方法。

背景技術

隨著網絡快速發展，電子商務得到了大量的應用，網上銀行、交易等也愈發普遍。近年來網絡欺詐，帳戶盜用的現象日益增多，以傳統密碼方式保護個人帳戶信息顯然已經不足以起到安全效果。因此，需要為用戶提供更高安全層次的個人信息保障、認證機制。

PKI(Public?Key?Infrastructure，公鑰認證體系)目前已經得到了一定程度的應用。該認證機制由權威機構發放公鑰證書給終端用戶，并在證書中存放了用戶的公鑰以及其他信息。與公鑰相對應的私鑰由用戶自己保管，公鑰與私鑰為唯一確定的關系，從公鑰不能夠推斷出私鑰，但公鑰加密的信息可以通過私鑰唯一解密。PKI的這種特性，能夠保證驗證者根據用戶是否能夠提供私鑰確認用戶是否為公鑰證書上聲明的實體，進而保證了用戶信息不會被非法竊取。在該機制中，保護用戶私鑰是關鍵，私鑰一般是以電子信息的方式存放在某些硬件上面。如果私鑰丟失，也就意味著用戶的個人信息失去了保障。

利用個人生物信息(例如，指紋、虹膜等)進行身份驗證是一種保護資源的有效方法?？紤]生物信息本身的特殊性以及網絡身份認證的特殊環境，將生物信息與PKI相結合形成一種更為安全的認證架構成為一個非常有競爭力的研究領域。

TSM(Telebiometric?System?Mechanism)是目前探討生物信息與PKI相結合實現公網上更為安全的認證的一個項目，其將TLS(Transport?Layer?Security，傳輸層安全)與生物認證相結合，以生物信息進一步保證終端用戶即為注冊用戶。

TSM根據生物模板(Biometric?Template用戶注冊時權威機構提取用戶生物信息用來為后面的驗證提供樣板依據)存放位置、生物認證進行的實體位置將公網上進行生物認證劃分為9種類型，如下表1所示：

表1：

其中，Client為用戶使用的終端(一般可以采集用戶的生物信息)；Server為提供服務的設備，必須對用戶進行驗證后才準許其訪問自身提供的資源；TTP(Trusted?Third?Party，可信的第三方)為第三方，一般為Client和Server都信任的機構；

Local為本地認證模型，模板存儲在本地，將采集的生物信息與模板進行比對，形成生物信息認證結果也在本地進行；Download認證模型，模板不在本地，但是生物認證在本地，因此需要從Server將生物模板下載到本地，然后進行生物認證；RFC3739?Client/Server?Matching是借鑒了RFC3739的認證模型，為客戶端或者服務器端認證；

Attached表示客戶端將本地存儲的生物模板信息與其他信息一起發送給Server，由Server進行匹配；Center表示客戶端僅負責采集生物信息，生物模板存儲在Server處，由Server進行匹配；

Matching?sourcing?by?Client/Server表示Client/Server端存儲有生物模板，將此生物模板與Client端采集的生物信息以attached(附加)的方式發送給TTP，由TTP進行匹配；Storage?&?Matching?Outsourcing表示生物模板存儲在TTP，Client端將采集的生物信息發往TTP，由TTP進行匹配。

例如，TSM中的Local認證模型如圖1所示。

TSM主要針對兩種情況：(1)用戶公鑰證書與Client(客戶端)的公鑰證書為一個(例如個人電腦，個人手機)；(2)用戶公鑰證書與Client的公鑰證書為不同的兩個(例如實驗室門禁系統)，將生物認證與基于PKI的TLS(傳輸層安全)協議相結合，提供了生物信息與公鑰相結合的認證架構。

TSM在其生物認證模型中給出了生物驗證的過程。在Client發送給Server的Biometric?Client?Hello(生物認證請求)消息中，包含了客戶端可以提供的生物數據類型、生物驗證模型等信息。如果支持多種驗證方案，以列表形式列出，而且TSM給出了其ASN.1編碼。但這種ASN.1編碼結構還存在以下缺點：

(1)對于生物數據類型與生物認證模型不是唯一對應的時候，ASN.1表示的BiometricMethod(認證方案)會很復雜，使得Biometric?Client?Hello消息中的數據太長，從而占用過多的網絡及系統資源；