本發明公開了一種基于生物特征的認證系統和方法，所述系統包括：生物特征識別驗證模塊A，接收待認證數據的特征碼CODE，對用戶的生物特征采集認證，通過認證則輸出生物認證結果TICKET；結果驗證及簽名輔助模塊B，接收所述TICKET，使用和生物特征綁定的公鑰對TICKET進行驗證，驗證通過后對特征碼CODE做協同簽名運算，得到運算結果P1；簽名轉換模塊C，使用本身的密鑰信息和P1進行協同簽名運算，最終得到簽名值Signature。本發明還公開了該系統的認證方法。本發明實現從生物特征認證到數字簽名的轉換；解決如何把用戶生物特征認證結果傳遞到云端的問題；解決不同生物認證模塊輸出的認證結果不兼容的問題。

技術領域

本發明涉及一種基于生物特征的認證系統和方法，具體涉及一種基于生物特征和公鑰密碼體系的層次認證系統和方法，屬于信息安全、數據業務技術領域。

背景技術

現有的云端應用生物認證的方法包括：(1)中國專利CN201811281230.4，《一種指紋認證的云安全系統和方法》，本地指紋模塊負責對用戶輸入指紋進行校驗，將校驗成功與否的結果信息和本次使用的指紋特征點編碼信息上傳到權限授權模塊，由授權模塊根據指紋特征編碼信息進行重放攻擊檢測和授權。(2)中國專利CN201410315206.3《指紋認證云系統》，指紋特征驗證信息注冊上傳到云端，認證的時候傳遞指紋特征認證編碼信息，云端根據注冊時保存的指紋特征信息來進行驗證是否是本人。

雖然目前生物特征技術的成熟，使得在應用系統中代替用戶口令進行身份認證成為可能，但是現有的基于生物認證技術的權限控制方案主要存在如下問題：(1)本地指紋認證的方案沒有可靠的方法把認證結果傳遞到應用服務器端，防重放攻擊依賴于具體的指紋特征碼計算方法，不同廠家難以兼容。(2)服務端驗證的方法在云端存儲了指紋特征信息，認證時候傳遞生物特征認證編碼信息，容易暴露用戶的生物特征信息。

發明內容

現有云端生物認證方式，將本地生物認證結果傳遞到云端，并且客戶端生物特征模塊需要定制，無法使用移動設備已廣泛部署的生物認證模塊。本發明的目的在于提供一種基于生物特征的認證系統和方法，既滿足了使用生物特征認證的需求，又有效解決了客戶端移動設備現有生物模塊的復用問題。

現有云端生物認證和PKI公鑰密碼體系互相分離，在傳統基于PKI公鑰體系的應用系統增加生物認證支持需要修改認證模塊的認證模式，難度大。本發明的目的在于提供一種基于生物特征的認證系統和方法，將現存通用生物認證模塊和基于國密公鑰密碼體制-數字證書體系的結合，通過增加從生物特征認證到公鑰體系數字簽名的轉換模塊，使傳統基于PKI公鑰體系的應用系統無需修改就可以接入生物特征認證。

本發明解決其技術問題所采用的技術方案是：

一種基于生物特征的認證方法，包括：

(1)簽名轉換模塊C接收來自上層應用的待認證數據消息，計算并發送消息特征碼CODE，請求調用生物特征識別驗證模塊A進行生物特征采集認證，通過認證則輸出對CODE和模塊狀態信息生成的生物認證結果TICKET；

(2)將CODE和TICKET發給結果驗證及簽名輔助模塊B，結果驗證及簽名輔助模塊B使用和生物特征綁定的公鑰對TICKET進行驗證，驗證通過后對特征碼CODE做協同簽名輔助運算，得到運算結果P1；

(3)簽名轉換模塊C使用本身的協同密鑰和所述運算結果P1，進行協同簽名運算得到簽名值Signature。

進一步地，所述方法在運行前要完成初始化：模塊A生成一對公私密鑰對，其中私鑰用于生成TICKET，公鑰保存在模塊B中，公鑰與生物特征相互綁定，模塊B保存此生物特征和公鑰的綁定關系，后續模塊B使用此綁定關系來驗證TICKET是否有模塊A的生物特征授權；模塊C和模塊B在初始化時通過協同密鑰算法生成協同密鑰對，即各自的私鑰，并保存在各自模塊中，后續協同運算的時候使用各自的私鑰；所述模塊B的私鑰與所述生物特征綁定。