[发明专利]个人认证设备

说明书

技术领域

本发明涉及计算机安全信息技术领域，特别是涉及计算机身份认证技术领域。 

背景技术

身份认证过程，以及密切相关的交易控制，是认证主体（通常是服务提供方）对被认证主体（通常是用户）进行认证，确认身份、拥有权和所属权利等的过程。从最基础的层次上讲，是认证主体对被认证主体提交的信息加以某种确认的过程，也就是说，认证主体对这些提交的信息加以认可的过程。从原理上讲，对提交的信息进行分类，就是所谓的认证因子。第一种认证因子即“知道什么”，是被认证主体具备某种特殊的，不易为他人知晓的知识，通常是某种口令，密码等。第二种认证因子即“拥有什么”，是被认证主体拥有某种具体的物件，最著名的例子就是历史上的虎符，以及目前使用很多的令牌、印章和智能卡(如信用卡等）等。第三种认证因子即“用户所具有的生物特征”，个人生理上特有的，例如声纹、指纹、眼纹、静脉纹、面纹或行为特征等等。 

早期的身份认证技术是对上述三种因子单独进行使用，单独使用一种认证因子的身份认证技术被称为单因子认证。事实上，这就是目前的大多数情况，如各种网络帐号的登录密码。但是，单因子认证相当不安全，为提高安全起见，需要同时使用两种以上的因子，称为多因子认证。 

但是，现有技术中的多因子认证方案存在如下不足：那就是如果没有好的系统方法，成本就比较高，使用也会欠方便。特别是每一个用户（被认证主体）都对应很多的服务商（认证主体），如果没有合适的方法，很难把多因子认证推广开。 

本申请人在2011年06月27日提出了发明专利申请“计算机系统身份识别方法”，该专利申请公开了一种双因子认证的方案。该技术方案使得双因子认证（知道什么，拥有什么）可以容易进行，但是由于没有并没有具体的方法来整合用户所具有的生物特征，使之成为完整统一的三种因子合一的方法，因此其安全性和易用性还是不够。 

发明内容

本发明的目的是为了进一步的提高现有的多因子认证技术方案的安全性和易用性，提出了一种个人认证设备。 

本发明的技术方案是：一种个人认证设备，用于包括用户持有的个人认证设备，认证方持有的认证服务器，个人认证设备和认证服务器之间具有预先约定的对称机密信息SK，包含内容信息RC和生物特征信息RB的认证内容RD的集合的身份注册系统或身份认证系统中；其特征在于， 

所述个人认证设备至少包括如下单元： 

采集单元，用于采集用户输入的认证内容RD； 

处理单元，用于将认证内容RD分解处理为内容信息RC和生物特征信息RB，用于采用预设的第一算法对所述生物特征信息RB、对称机密信息SK、一次性信息T进行计算产生第一信息B；用于采用预设的第二算法对所述内容信息RC、对称机密信息SK、一次性信息T进行计算产生第二信息C，用于采用预设的第三算法对所述第一信息B和第二信息C进行计算得到第三信息M； 

通信单元，用于实现个人认证设备和认证服务器之间的数据通信，用于接收认证服务器向个人认证设备发出指令并提供相应的一次性信息T，用于个人认证设备将第三信息M传送到认证服务器； 

存储单元，用于存储从述个人认证设备的采集单元、处理单元和通信单元获得的数据信息； 

上述个人认证设备的采集单元、通信单元和存储单元分别与处理单元连接，上述认证服务器的通信单元和存储单元分别与处理单元连接，上述个人认证设备和认证服务器通过各自的通信单元连接通信。 

本发明的有益效果是：本发明技术方案的认证过程中，用户知道什么，用户拥有什么，以及用户的生物特征，都必须同时正确具备，正确运用，否则无法通过认证。注意到信息M是一次性的，即使被获取，也不可能逆向获得用户的生物特征信息。同时，认证服务器完全可以主导整个认证过程，而不仅是通过静态的生物特征信息（这个信息总是在可能被伪造的阴影下的）来做认证。 

进一步，由于生物特征必须由用户本人才可能产生，即使在服务器的全部注册信息都泄露的最坏情况下，这个特性也使得攻击者不可能冒名用户，因此把损失控制在最小。这个性质是目前的几乎所有的系统和方法都不能很好解决的。 

由于我们的系统采用很方便的个人认证设备，而且在用户的简单使用过程中已经使得三种因子合一使用，用户再也不用记忆各种令人烦恼的密码，口令等等，方便程度极大提高。 

因此，本发明的技术方案有效的将“用户所具有的生物特征”这一认证因子和其他认证因子进行整合，并且采用个人认证设备集中采集各种认证信息，从而进一步提高了多因子认证技术的安全性和易用性。 

附图说明