[发明专利]一种带生物特征识别功能的身份认证系统及其认证方法

说明书

技术领域

本发明涉及信息安全领域和移动支付领域以及生物识别领域，尤其是一种带生物特征识别功能的身份认证系统及其认证方法。

背景技术

作为信息安全的第一道大门用户身份认证是各种安全措施可以发挥作用的前提。而作为所有信息安全应用的计算基础结构的核心部件PKI产品，可以为个人信息的安全存储及传输提供更多的功能和更好的服务。其中电子签证机构(CA)作为通信的第三方，为各种服务提供可信任的认证服务。CA可向用户发行电子签证证书，为用户提供成员身份验证和密钥管理等功能。

目前针对个人信息安全的身份认证产品主要是能够完成设备对设备的认证，如USB Key、SDKey、数字证书等。该类产品对设备持有人的合法身份确定主要是通过PIN码来确定的，由此带来的安全隐患可轻易的被不法分子利用。如USB Key、SDKey、数字证书都有被骗签的安全隐患。

中国发明专利申请第CN101561873A号公开了一种具备虹膜识别和USB Key功能的多模态身份认证设备。该专利是利用了人自身的虹膜特征唯一性的特点在硬件设备层实现了用虹膜识别身份认证方式替代普通PIN码身份认证方式，能有效的验证USB Key持有人身份解决PIN码失窃、冒用等潜在风险。但由于虹膜识别功能模块作为单独的模块完成身份识别，再通过物理链路通知USB Key功能模块认证是否成功，这在防范恶意破坏性攻击方面是无法保障USB Key的安全身份认证的。如非法用户在获取到该硬件设备后可破解物理链路上的数据，进而绕开虹膜识别功能模块直接向USBKey功能模块发送认证通过信息。

中国实用新型专利第CN201349222Y号公开了一种利用指纹判定实现身份认证的USB Key加密设备。该专利通过运行个性化认证程序解决了Key模块和FM职指纹识别模块间的连接问题，借助USB HUB控制器和USB数据总线将Key模块和FM指纹识别模块连接起来，在一定程度上提高了USB Key的使用安全性。但同输入PIN码的USB Key漏洞相同，非法用户都可以通过木马监控到USB接口的数据，进而控制Key模块完成非法认证。

中国发明专利第CN 101251878A号公开了一种借助硬件认证身份的SD存储卡，该专利通过组合SD主控模块、信息安全模块、闪存介质通过SD memory与PC、PDA和/或移动电话一类的主设备完成数据交换，解决了在手机等不带USB接口的移动设备上和在PC上同时使用的问题。但同样未从根本上解决SDKey在PIN码输入上的安全漏洞。

CN101561873A号专利申请和第CN201349222Y号专利均揭示利用人自身的生物特征唯一性的特点分别在硬件设备层和软件层面增强了USB Key使用的安全性，但并没有从根本上解决设备持有人身份的确定。同时由于通过增加生物识别模块的方法代价昂贵，并且在现有通用设备如PC机等设备上难以升级，在PDA和/或移动电话上都很难实现。而第CN 101251878A号专利申请揭示通过将个人安全信息放在硬件SD卡上的形式解决了PC与移动设备通用的问题，解决了硬件设备对银行终端的身份确认，但同样无法从根本上解决设备持有人对银行终端的身份确认。

本发明要解决的技术问题在于从根本上解决设备持有人对银行终端的身份认证的同时高效安全便捷保护个人身份信息的存储及传输。

同时可方便的通过只对现有常用安全设备如USB Key、SDKey、OTP等产品进行升级即可满足各个应用领域对个人身份信息安全要求的保证，避免大量应用终端如PC、手机等产品的升级改造。另外，可有效避免交易信息在送到个人身份认证终端时被篡改的漏洞。

发明内容

本发明要解决上述现有技术的缺点，提供一种带生物特征识别功能的身份认证系统及其认证方法，提高设备持有人对银行终端认证的安全性。

本发明解决其技术问题采用的技术方案：这种带生物特征识别功能的身份认证系统，包括CPU主控单元、系统控制单元、硬件加解密单元、带MPU保护功能的片上存储器、对外通讯单元、人机交互控制单元、外部存储器控制单元、PKI系统和传感器系统；

所述传感器系统单元109包括指纹和或面部和或虹膜等生物特征采集传感器，如CMOS、半导体指纹传感器、摄像头等面部、虹膜采集传感器，组成的最小单元。还可包括控制传感器并生成特征的MCU组成的特征采集生成模组单元；

所述PKI系统108包括利用PKI体系完成数字签名所需的软、硬件系统；