本發明涉及一種基于生物信息的認證裝置，該裝置包括：種子數據生成單元，其生成包括生物信息的種子數據，所述種子數據具有第一長度；加密單元，其通過對種子數據進行加密來生成第一加密值和第二加密值，所述第一加密值和所述第二加密值具有第二長度；以及認證信息生成單元，其通過使用輸入至其的第一加密值和第二加密值中的每一個來生成公鑰和私鑰中的至少一個，其中，私鑰是在其使用之后被丟棄而不存儲的信息。

技術領域

與示例性實施方式一致的方法和設備大體上涉及基于生物信息的認證。

背景技術

使用互聯網銀行的用戶將證書存儲在公司或家中的計算機或便攜式終端中并使用。另選地，可在可攜帶的安全令牌中向用戶發放證書。這里，作為硬件安全模塊(HSM)的安全令牌通常被稱為USB型HSM。通常，HSM意指生成加密密鑰并將其存儲在硬件中的裝置，并且除了USB令牌型之外，可被實現為芯片型、PCMCIA令牌型、PCI卡或網絡服務器型。

證書由基于公鑰基礎結構(PKI)生成的一對加密密鑰構成，并且加密密鑰可被稱為公鑰和私鑰。因此，證書發放意指生成并存儲加密密鑰。當發放安全令牌時，生成公鑰和私鑰。公鑰被發送至證書頒發機構(CA)，私鑰被存儲在安全令牌中。在這種情況下，可使用RSA算法作為生成公鑰和私鑰的算法。

如上所述，一般HSM將加密密鑰存儲在硬件中，并且使用所存儲的加密密鑰來執行加密、解密或電子簽名。具體地講，由于加密密鑰無法被導出到HSM之外或從HSM導出，所以HSM具有比將密鑰存儲在硬盤或存儲器上的方法更高的安全級別。然而，一般HSM連續地存儲所生成的加密密鑰。因此，即使一般HSM具有比將密鑰存儲在計算機的硬盤或存儲器中的方法更高的安全級別，在一般HSM中也沒有完全消除將暴露所存儲的加密密鑰的可能性。因此，需要一種與將加密密鑰存儲在硬盤或HSM內的方法相比增加了安全級別的方法。

此外，存在這樣的技術：基于生物信息的標識來認證用戶，授予授權用戶訪問所存儲的加密密鑰的權限，或者利用生物信息來加密和存儲加密密鑰。然而，由于需要存儲加密密鑰，所以仍存在將暴露加密密鑰的可能性。

發明內容

技術問題

本公開致力于提供一種認證裝置和認證方法，該認證裝置和認證方法每當認證事件發生時基于生物信息生成私鑰并基于所生成的私鑰來執行認證。

技術方案

示例性實施方式提供一種基于生物信息的認證裝置。該基于生物信息的認證裝置包括：種子數據生成器，該種子數據生成器生成包括生物信息并具有第一長度的種子數據；加密器，該加密器對所述種子數據進行加密以生成具有第二長度的第二加密值和第一加密值，其中，所述第一加密值和所述第二加密值彼此不同；以及認證信息生成器，該認證信息生成器基于輸入的所述第一加密值和所述第二加密值中的每一個來生成公鑰和私鑰中的至少一個。所述私鑰在使用之后被丟棄。

認證信息生成器可分別通過將所述第一加密值和所述第二加密值中的每一個轉換為素數來生成第一素數值和第二素數值，并且基于輸入所述第一素數值和所述第二素數值的密鑰生成算法來生成所述公鑰和所述私鑰。

認證信息生成器可計算第一素數轉換值和第二素數轉換值以分別將所述第一加密值和所述第二加密值轉換為所述第一素數值和所述第二素數值，并且可以將所述第一素數轉換值和所述第二素數轉換值存儲在存儲裝置中。

在認證事件時，響應于接收到所述第一加密值和所述第二加密值，所述認證信息生成器可以：從所述存儲裝置檢索所述第一素數轉換值和所述第二素數轉換值，基于所述第一加密值和所述第一素數轉換值來計算所述第一素數值，并且基于所述第二加密值和所述第二素數轉換值來計算所述第二素數值。

認證信息生成器可使用RSA密鑰生成算法來生成所述公鑰和所述私鑰。