技術領域

本發明涉及計算機安全信息技術領域，特別是涉及計算機身份認證技術領域。

背景技術

身份認證過程，以及密切相關的交易控制，是認證主體（通常是服務提供方）對被認證主體（通常是用戶）進行認證，確認身份、擁有權和所屬權利等的過程。從最基礎的層次上講，是認證主體對被認證主體提交的信息加以某種確認的過程，也就是說，認證主體對這些提交的信息加以認可的過程。從原理上講，對提交的信息進行分類，就是所謂的認證因子。第一種認證因子即“知道什么”，是被認證主體具備某種特殊的，不易為他人知曉的知識，通常是某種口令，密碼等。第二種認證因子即“擁有什么”，是被認證主體擁有某種具體的物件，最著名的例子就是歷史上的虎符，以及目前使用很多的令牌、印章和智能卡(如信用卡等）等。第三種認證因子即“用戶所具有的生物特征”，個人生理上特有的，例如聲紋、指紋、眼紋、靜脈紋、面紋或行為特征等等。

早期的身份認證技術是對上述三種因子單獨進行使用，單獨使用一種認證因子的身份認證技術被稱為單因子認證。事實上，這就是目前的大多數情況，如各種網絡帳號的登錄密碼。但是，單因子認證相當不安全，為提高安全起見，需要同時使用兩種以上的因子，稱為多因子認證。

但是，現有技術中的多因子認證方案存在如下不足：那就是如果沒有好的系統方法，成本就比較高，使用也會欠方便。特別是每一個用戶（被認證主體）都對應很多的服務商（認證主體），如果沒有合適的方法，很難把多因子認證推廣開。

本申請人在2011年06月27日提出了發明專利申請“計算機系統身份識別方法”，該專利申請公開了一種雙因子認證的方案。該技術方案使得雙因子認證（知道什么，擁有什么）可以容易進行，但是由于沒有并沒有具體的方法來整合用戶所具有的生物特征，使之成為完整統一的三種因子合一的方法，因此其安全性和易用性還是不夠。

發明內容

本發明的目的是為了進一步的提高現有的多因子認證技術方案的安全性和易用性，提出了一種身份認證系統。

本發明的技術方案是之一：一種身份認證系統，其特征在于，包括用戶持有的個人認證設備，認證方持有的認證服務器，個人認證設備和認證服務器之間具有預先約定的對稱機密信息SK，包含內容信息RC和生物特征信息RB的認證內容RD的集合；

所述個人認證設備至少包括如下單元：

采集單元，用于采集用戶輸入的認證內容RD；

處理單元，用于將認證內容RD分解處理為內容信息RC和生物特征信息RB，用于采用預設的第一算法對所述生物特征信息RB、對稱機密信息SK、一次性信息T進行計算產生第一信息B；用于采用預設的第二算法對所述內容信息RC、對稱機密信息SK、一次性信息T進行計算產生第二信息C，用于采用預設的第三算法對所述第一信息B和第二信息C進行計算得到第三信息M；

通信單元，用于實現個人認證設備和認證服務器之間的數據通信，用于接收認證服務器向個人認證設備發出指令并提供相應的一次性信息T，用于個人認證設備將第三信息M傳送到認證服務器；

存儲單元，用于存儲從述個人認證設備的采集單元、處理單元和通信單元獲得的數據信息；

所述認證服務器至少包括如下單元：

通信單元，用于實現個人認證設備和認證服務器之間的數據通信，用于認證服務器向個人認證設備發出指令并提供相應的一次性信息T，用于接收個人認證設備傳送到認證服務器的第三信息M；

處理單元，用于根據預設的第三算法進行逆運算將第三信息M分解計算得到第一信息B和第二信息C；用于分解計算得到的第一信息B或第二信息C或第一信息B對應的第一中間信息BRg或第二信息C對應的第二中間信息CRg，并將前述信息存儲在認證服務器的數據庫中，作為用戶的注冊數據W1；用于認證服務器將認證注冊數據W1與預先計算并存儲在認證服務器上的注冊數據W進行比對，如果認證注冊數據W1與注冊數據W一致，則用戶的身份認證通過，否則用戶的身份認證失敗；

存儲單元，用于存儲從認證服務器的通信單元和處理單元獲得的數據信息；

上述個人認證設備的采集單元、通信單元和存儲單元分別與處理單元連接，上述認證服務器的通信單元和存儲單元分別與處理單元連接，上述個人認證設備和認證服務器通過各自的通信單元連接通信。