本發明屬于數據加密領域，具體涉及一種基于索引自編碼的可撤銷生物特征模板保護方法及其終端，以及利用該保護方法的身份驗證方法和系統。可撤銷生物特征模板保護方法用于對用戶的生物特征模板信息進行采集、處理、保存和應用。該可撤銷生物特征模板保護方法包括注冊階段和驗證階段兩個部分的內容。注冊階段對用戶生物特征進行索引自編碼，然后結合隨機的二進制密鑰得到密文和可撤銷模板并保存，驗證階段對用戶生物特征進行索引自編碼，然后依次進行密鑰解碼，模板生成和模板匹配；最終實現身份識別。本發明提供的技術方案克服了現有單因子和雙因子的生物特征模板保護方法在便捷性和安全性上無法實現兼顧的問題。

技術領域

本發明屬于數據加密領域，具體涉及一種基于索引自編碼的可撤銷生物特征模板保護方法及其終端，以及采用該保護方法的一種用戶身份驗證系統。

背景技術

隨著信息科技的不斷發展，互聯網服務的內容越來越豐富，為人們的日常生活帶來了便利，這同時也使得信息安全問題變得更加重要。生物識別特征指人體固有的生理特征，這些特征可以用于進行身份識別和驗證，為了提高數據的安全性，生物識別特征在線上的身份管理中得到了越來越廣泛的應用。考慮到生物識別特征的重要性，人們也越來越重視生物特征的識別與保護。同時，生物特征模板有一些問題值得注意；例如，由于生物特征具有不可撤銷性，一旦受到損害，無法重新發出模板，因此需要保證生成的可撤銷生物模板具有可再生性。此外，生物特征具有唯一性，如果用戶特征被盜取，就無法生成新的生物特征。因此，在線上應用中對生物特征模板進行保護，防止數據泄露是一個關鍵而緊迫的事情。

生物特征模板保護可分為雙因子可撤銷生物特征模板保護和單因子可撤銷生物特征模板保護兩種方式。對于雙因子可撤銷生物特征模板保護方案，它需要附加一個用戶特定的參數(以令牌或密碼形式出現)與生物特征一起輸入，以啟用轉換模板的不可鏈接性和可撤銷性。例如，在某些技術方案中，技術人員通過將特征向量與用戶特定的非正交隨機矩陣內積生成二進制向量(位串)，然后進行閾值二值化生成可撤銷生物特征模板的方案。這種技術方案可以大大提升生物特征模板在應用過程中的安全性。但是，雙因子可撤銷方案中需要用戶額外輸入令牌或密碼作為因子，這也存在一些問題：例如，用戶需要額外保存令牌或記憶密碼，當這些數據或驗證信息丟失后，則無法完成身份驗證，這可能會給用戶帶來麻煩。同時令牌和密碼也存在被盜取的風險，信息安全等級依然相對較低。

相比于雙因子可撤銷生物特征模板保護算法，單因子可撤銷生物特征模板保護算法不需要額外的輸入因子，只需要將生物特征作為輸入，解決了雙因子保護算法中因引入外部因子帶來的弊端。這些方案主要通過對生物特征模板進行數據處理，實現數據加密和應用，而不需要額外輸入其它的加密信息。雖然單因子可撤銷生物模板保護方案在應用過程相對較為便利，但是這種技術方案的安全等級相對較低，一旦數據處理方式被破解，則數據庫中存儲的用戶生物識別特征存在被泄露的嚴重風險，也會導致身份驗證系統完全失效。

發明內容

為了克服現有單因子和雙因子的生物特征模板保護方法在便捷性和安全性上無法實現兼顧的問題，本發明提供了一種基于索引自編碼的可撤銷生物特征模板保護方法、系統，及其終端。

本發明采用以下技術方案實現：

一種基于索引自編碼的可撤銷生物特征模板保護方法，其用于對用戶的生物特征模板信息進行采集、處理、保存和應用。可撤銷生物特征模板保護方法包括注冊階段和驗證階段兩個部分的內容，注冊階段用于保存各個用戶包含編碼后的可撤銷生物模板的注冊信息，驗證階段用于利用注冊用戶的注冊信息對驗證用戶的請求進行查詢和驗證。

注冊階段和驗證階段具體包括如下過程：

一、注冊階段：

S1：采集注冊用戶的生物特征信息，并生成一個對應的原始生物特征向量x；原始生物特征向量x為二進制向量。

S2：獲取一個隨機二進制向量；隨機二進制向量作為加密生物特征信息的密鑰r。