[发明专利]身份认证系统

说明书

技术领域

本发明涉及计算机安全信息技术领域，特别是涉及计算机身份认证技术领域。

背景技术

身份认证过程，以及密切相关的交易控制，是认证主体（通常是服务提供方）对被认证主体（通常是用户）进行认证，确认身份、拥有权和所属权利等的过程。从最基础的层次上讲，是认证主体对被认证主体提交的信息加以某种确认的过程，也就是说，认证主体对这些提交的信息加以认可的过程。从原理上讲，对提交的信息进行分类，就是所谓的认证因子。第一种认证因子即“知道什么”，是被认证主体具备某种特殊的，不易为他人知晓的知识，通常是某种口令，密码等。第二种认证因子即“拥有什么”，是被认证主体拥有某种具体的物件，最著名的例子就是历史上的虎符，以及目前使用很多的令牌、印章和智能卡(如信用卡等）等。第三种认证因子即“用户所具有的生物特征”，个人生理上特有的，例如声纹、指纹、眼纹、静脉纹、面纹或行为特征等等。

早期的身份认证技术是对上述三种因子单独进行使用，单独使用一种认证因子的身份认证技术被称为单因子认证。事实上，这就是目前的大多数情况，如各种网络帐号的登录密码。但是，单因子认证相当不安全，为提高安全起见，需要同时使用两种以上的因子，称为多因子认证。

但是，现有技术中的多因子认证方案存在如下不足：那就是如果没有好的系统方法，成本就比较高，使用也会欠方便。特别是每一个用户（被认证主体）都对应很多的服务商（认证主体），如果没有合适的方法，很难把多因子认证推广开。

本申请人在2011年06月27日提出了发明专利申请“计算机系统身份识别方法”，该专利申请公开了一种双因子认证的方案。该技术方案使得双因子认证（知道什么，拥有什么）可以容易进行，但是由于没有并没有具体的方法来整合用户所具有的生物特征，使之成为完整统一的三种因子合一的方法，因此其安全性和易用性还是不够。

发明内容

本发明的目的是为了进一步的提高现有的多因子认证技术方案的安全性和易用性，提出了一种身份认证系统。

本发明的技术方案是之一：一种身份认证系统，其特征在于，包括用户持有的个人认证设备，认证方持有的认证服务器，个人认证设备和认证服务器之间具有预先约定的对称机密信息SK，包含内容信息RC和生物特征信息RB的认证内容RD的集合；

所述个人认证设备至少包括如下单元：

采集单元，用于采集用户输入的认证内容RD；

处理单元，用于将认证内容RD分解处理为内容信息RC和生物特征信息RB，用于采用预设的第一算法对所述生物特征信息RB、对称机密信息SK、一次性信息T进行计算产生第一信息B；用于采用预设的第二算法对所述内容信息RC、对称机密信息SK、一次性信息T进行计算产生第二信息C，用于采用预设的第三算法对所述第一信息B和第二信息C进行计算得到第三信息M；

通信单元，用于实现个人认证设备和认证服务器之间的数据通信，用于接收认证服务器向个人认证设备发出指令并提供相应的一次性信息T，用于个人认证设备将第三信息M传送到认证服务器；

存储单元，用于存储从述个人认证设备的采集单元、处理单元和通信单元获得的数据信息；

所述认证服务器至少包括如下单元：

通信单元，用于实现个人认证设备和认证服务器之间的数据通信，用于认证服务器向个人认证设备发出指令并提供相应的一次性信息T，用于接收个人认证设备传送到认证服务器的第三信息M；

处理单元，用于根据预设的第三算法进行逆运算将第三信息M分解计算得到第一信息B和第二信息C；用于分解计算得到的第一信息B或第二信息C或第一信息B对应的第一中间信息BRg或第二信息C对应的第二中间信息CRg，并将前述信息存储在认证服务器的数据库中，作为用户的注册数据W1；用于认证服务器将认证注册数据W1与预先计算并存储在认证服务器上的注册数据W进行比对，如果认证注册数据W1与注册数据W一致，则用户的身份认证通过，否则用户的身份认证失败；

存储单元，用于存储从认证服务器的通信单元和处理单元获得的数据信息；

上述个人认证设备的采集单元、通信单元和存储单元分别与处理单元连接，上述认证服务器的通信单元和存储单元分别与处理单元连接，上述个人认证设备和认证服务器通过各自的通信单元连接通信。