本發(fā)明涉及信息安全領(lǐng)域，具體地，涉及一種基于生物特征加密進(jìn)行PBOC交易的方法、裝置及系統(tǒng)。

背景技術(shù)：

傳統(tǒng)的智能卡技術(shù)都是基于非對稱密鑰和對稱密鑰加密實(shí)現(xiàn)的，在程序破解上雖然具有一定的復(fù)雜性，但可破譯性也極高。目前生物特征加密技術(shù)已經(jīng)從研究階段轉(zhuǎn)向應(yīng)用階段，其一方面可以避免個人生物特征的泄露，另一方面又能將生物特征加密引入到各個行業(yè)中去，使行業(yè)更加安全高效地實(shí)現(xiàn)實(shí)用化和商業(yè)化的結(jié)合。因此，本發(fā)明考慮到生物特征加密技術(shù)的優(yōu)勢，考慮將其應(yīng)用到金融IC行業(yè)。

現(xiàn)今金融IC行業(yè)的PBOC的交易流程，極大地依賴傳統(tǒng)密碼學(xué)的RSA的大數(shù)分解的或橢圓曲線算法的復(fù)雜性，使得PBOV交易流程存在著算法的可破解性。另外，PBOC行業(yè)應(yīng)用的數(shù)據(jù)的個人化、準(zhǔn)備系統(tǒng)、密鑰分發(fā)系統(tǒng)以及密鑰的傳輸?shù)雀鞣矫娑即嬖谌藶橐蛩氐牟淮_性，很容易導(dǎo)致密鑰的丟失或智能卡的復(fù)制。同時，用戶口令信息的遺失，也會給用戶使用帶來了極大的不便。

因此，盡管PBOC給出了一套完整的加解密的方案，但是各個模塊之間的耦合給PBOC的可操作性以及安全性帶來巨大的潛在的威脅。通常地，發(fā)卡行需要通過密碼模塊分發(fā)出一對公私鑰，再簽發(fā)給認(rèn)證中心和個人化的廠商。這種形式造成了對接數(shù)據(jù)的分散性，讓各家廠商有機(jī)會復(fù)制證書或卡片的信息。

因此，本發(fā)明提出了利用生物特征加密進(jìn)行PBOC交易的技術(shù)方案。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明所要解決的技術(shù)問題是提供一種基于生物特征加密進(jìn)行PBOC交易的方法及系統(tǒng)，用于解決現(xiàn)有PBOC交易過分依賴于非對稱算法而可破譯的缺陷，以及因存在很多人為因素的流程而產(chǎn)生的不可確定性的技術(shù)問題。

本發(fā)明解決上述技術(shù)問題的技術(shù)方案如下：一種基于生物特征加密進(jìn)行PBOC交易的方法，包括：采集用戶的生物特征，并提取出有效生物特征；基于用戶輸入的密碼，生成用戶的私人密鑰；采用模糊保險箱算法將所述有效生物特征與所述私人密鑰結(jié)合成用于標(biāo)識用戶身份信息的生物特征模板；將所述生物特征模板存儲在后臺數(shù)據(jù)庫，并加載到金融IC卡中；以及將金融IC卡中的生物特征模板和用戶輸入的密碼提交給后臺服務(wù)器進(jìn)行驗(yàn)證，驗(yàn)證通過后，該金融IC卡被允許進(jìn)行PBOC交易。

優(yōu)選地，所述生物特征包括人臉、指紋、虹膜、靜脈、DNA和語音中的一者或多者。

優(yōu)選地，所述生成用戶的私人密鑰，具體包括：通過哈希算法處理用戶輸入的密碼，得到該密碼對應(yīng)的散列值，再對該散列值進(jìn)行CRC編碼，生成用戶的私人密鑰。

優(yōu)選地，所述生物特征模板是唯一且不可逆的。

優(yōu)選地，所述將金融IC卡中的生物特征模板和用戶輸入的密碼提交給后臺服務(wù)器進(jìn)行驗(yàn)證，具體包括：后臺服務(wù)器基于金融IC卡中的生物特征模板和用戶輸入的密碼，采用模糊保險箱算法的拉格朗日多項(xiàng)式插值算法恢復(fù)出多項(xiàng)式系數(shù)，再與后臺數(shù)據(jù)庫存儲的數(shù)據(jù)進(jìn)行比對，若比對一致，則通過驗(yàn)證，否則未通過驗(yàn)證。

本發(fā)明的技術(shù)方案還提供了一種基于生物特征加密進(jìn)行PBOC交易的裝置，包括：生物特征提取模塊，用于采集用戶的生物特征，并提取出有效生物特征；私人密鑰生成模塊，用于基于用戶輸入的密碼，生成用戶的私人密鑰；生物特征模板生成模塊，用于采用模糊保險箱算法將所述有效生物特征與所述私人密鑰結(jié)合成用于標(biāo)識用戶身份信息的生物特征模板；生物特征模板存儲模塊，用于將所述生物特征模板存儲在后臺數(shù)據(jù)庫，并加載到金融IC卡中；以及驗(yàn)證模塊，用于將金融IC卡中的生物特征模板和用戶輸入的密碼提交給后臺服務(wù)器進(jìn)行驗(yàn)證，驗(yàn)證通過后，該金融IC卡被允許進(jìn)行PBOC交易。

優(yōu)選地，所述生物特征包括人臉、指紋、虹膜、靜脈、DNA和語音中的一者或多者。

優(yōu)選地，所述生物特征模板是唯一且不可逆的。

優(yōu)選地，所述驗(yàn)證模塊中，將金融IC卡中的生物特征模板和用戶輸入的密碼提交給后臺服務(wù)器進(jìn)行驗(yàn)證，具體包括：后臺服務(wù)器基于金融IC卡中的生物特征模板和用戶輸入的密碼，采用模糊保險箱算法的拉格朗日多項(xiàng)式插值算法恢復(fù)出多項(xiàng)式系數(shù)，再與后臺數(shù)據(jù)庫存儲的數(shù)據(jù)進(jìn)行比對，若比對一致，則通過驗(yàn)證，否則未通過驗(yàn)證。

本發(fā)明的技術(shù)方案還提供了一種基于生物特征加密進(jìn)行PBOC交易的系統(tǒng)，包括：上述任一所述的基于生物特征加密進(jìn)行PBOC交易的裝置；金融IC卡，其加載有所述裝置生成的生物特征模板；后臺數(shù)據(jù)庫，其用于存儲所述生物特征模板、用戶密碼及用戶基本信息；后臺服務(wù)器，其用于在所述后臺數(shù)據(jù)庫中對金融IC卡中的生物特征模板和用戶輸入的密碼進(jìn)行驗(yàn)證，并在驗(yàn)證通過后允許所述金融IC卡進(jìn)行PBOC交易。

本發(fā)明的有益效果是：本發(fā)明解決了現(xiàn)行采用金融IC卡進(jìn)行PBOC交易時，過分依賴于非對稱算法而可破譯的缺陷，引入生物特征加密技術(shù)解決了PBOC交易因存在很多人為因素的流程而產(chǎn)生的不可確定性。

本發(fā)明的其他有益效果將在具體實(shí)施方式中進(jìn)一步說明。

附圖說明

圖1為本發(fā)明實(shí)施例中基于生物特征加密進(jìn)行PBOC交易的方法的流程示意圖；

圖2為本發(fā)明實(shí)施例中通過模糊保險箱算法進(jìn)行認(rèn)證的流程示意圖；

圖3為本發(fā)明實(shí)施例中各節(jié)點(diǎn)執(zhí)行PBOC流程的示意圖；

圖4為本發(fā)明實(shí)施例中進(jìn)行基于PEOS的開戶與交易的示意圖；

圖5為本發(fā)明實(shí)施例中通過模糊保險箱算法進(jìn)行注冊的流程示意圖；

圖6為本發(fā)明實(shí)施例中基于生物特征加密進(jìn)行PBOC交易的裝置的結(jié)構(gòu)示意圖。

附圖中，各標(biāo)號所代表的部件列表如下：

101、生物特征提取模塊，102、私人密鑰生成模塊，103、生物特征模板生成模塊，104、生物特征模板存儲模塊，105、驗(yàn)證模塊。

具體實(shí)施方式

以下結(jié)合附圖對本發(fā)明的原理和特征進(jìn)行描述，所舉實(shí)例只用于解釋本發(fā)明，并非用于限定本發(fā)明的范圍。

如圖1所示，本發(fā)明的實(shí)施例提出了一種基于生物特征加密進(jìn)行PBOC交易的方法，具體包括以下步驟：

S100，采集用戶的生物特征，并提取出有效生物特征；

S200，基于用戶輸入的密碼，生成用戶的私人密鑰；

S300，采用模糊保險箱算法將所述有效生物特征與所述私人密鑰結(jié)合成用于標(biāo)識用戶身份信息的生物特征模板；

S400，將所述生物特征模板存儲在后臺數(shù)據(jù)庫，并加載到金融IC卡中；以及

S500，將金融IC卡中的生物特征模板和用戶輸入的密碼提交給后臺服務(wù)器進(jìn)行驗(yàn)證，驗(yàn)證通過后，該金融IC卡被允許進(jìn)行PBOC交易。

需說明的是，圖1只示意了上述各步驟的一種優(yōu)選執(zhí)行順序，本實(shí)施例可根據(jù)實(shí)際情況，調(diào)整各步驟的執(zhí)行順序，其合理的執(zhí)行順序均應(yīng)在本發(fā)明的保護(hù)范圍內(nèi)。

對于步驟S100，其主要目的是完成用戶生物特征的提取，所述生物特征可以是人臉、指紋、虹膜、靜脈、DNA和語音中的一者或多者。為了保證特征特征的有效性，通常采集多張生物特征的圖像信息，再通過生物特征提取算法提取出有效的特征。在現(xiàn)有技術(shù)中，已有多種成熟的生物特征提取算法，因此本實(shí)施例中可直接采用現(xiàn)有技術(shù)中的生物特征提取算法完成步驟S100。

對于步驟S200，所述生成用戶的私人密鑰具體包括：通過哈希算法處理用戶輸入的密碼，得到該密碼對應(yīng)的散列值，再對該散列值進(jìn)行CRC編碼，生成用戶的私人密鑰。需說明的是，此處僅為本實(shí)施例中為生成私人密鑰采用的優(yōu)選實(shí)施方法，也可直接采用現(xiàn)有技術(shù)中其他的較為成熟的密鑰生成算法來得到用戶的私人密鑰。

步驟S300是本實(shí)施例的一個核心步驟，其采用模糊保險箱算法將步驟S100獲得的有效生物特征與步驟S200獲得的私人密鑰結(jié)合，從而生成用于標(biāo)識用戶身份信息的生物特征模板。為保證后續(xù)的驗(yàn)證過程，本實(shí)施例的生物特征模板優(yōu)選為是唯一且不可逆的。

其中，模糊保險箱算法是一種基于多項(xiàng)式插值的秘密共享方法，其主要思想是首先將用戶密鑰信息隱藏于多項(xiàng)式的系數(shù)中，之后將用戶生物特征的各個特征值投影到多項(xiàng)式上，得到多項(xiàng)式對應(yīng)的投影值，這些投影值中隱藏著用戶密鑰和用戶生物特征信息，稱為幫助數(shù)據(jù)。生成大量的干擾數(shù)據(jù)，將幫助數(shù)據(jù)隱藏在干擾數(shù)據(jù)中，生成模糊保險箱。如圖2所示，在用戶進(jìn)行身份認(rèn)證時，需要根據(jù)用戶提供的生物特征從模糊保險箱中提取出幫助數(shù)據(jù)，再由幫助數(shù)據(jù)重建出多項(xiàng)式，最后從多項(xiàng)式的系數(shù)的配準(zhǔn)過程中恢復(fù)用戶密鑰，進(jìn)行身份認(rèn)證。

步驟S400中，將所述生物特征模板存儲在后臺數(shù)據(jù)庫，以便于后續(xù)在后臺數(shù)據(jù)庫進(jìn)行生物特征模板的驗(yàn)證，而加密后的生物特征模板加載到金融IC卡，使得金融IC卡后續(xù)可基于生物特征模板進(jìn)行PEOS交易。

對于步驟S500，將金融IC卡中的生物特征模板和用戶輸入的密碼提交給后臺服務(wù)器進(jìn)行驗(yàn)證，具體包括：后臺服務(wù)器基于金融IC卡中的生物特征模板和用戶輸入的密碼，采用模糊保險箱算法的拉格朗日多項(xiàng)式插值算法恢復(fù)出多項(xiàng)式系數(shù)，再與后臺數(shù)據(jù)庫存儲的數(shù)據(jù)進(jìn)行比對，若比對一致，則通過驗(yàn)證，否則未通過驗(yàn)證。

因PEOS交易流程涉及用戶、個人化廠商、發(fā)卡行、銀行后臺服務(wù)器、銀行后臺數(shù)據(jù)庫等多個節(jié)點(diǎn)，本實(shí)施例中的各步驟根據(jù)實(shí)施的實(shí)踐情況，也是由不同的節(jié)點(diǎn)來完成的。如圖3所示，給出了一種優(yōu)選的各個節(jié)點(diǎn)執(zhí)行上述步驟S100-S500的PBOC流程。

1、個人化廠商

個人化廠商提供基本卡片文件系統(tǒng)及卡片交易環(huán)境，并提供加載模塊文件，使得卡片可以加載生物特征模板。

2、發(fā)卡行

發(fā)卡行提供對稱密鑰以及卡片初始信息，準(zhǔn)備加載用戶模板文件等，即步驟S100-S300可在發(fā)卡行完成，發(fā)卡行將準(zhǔn)備好的用戶模板文件傳輸給個人化廠商，使個人化廠商可以完成將模板加載至金融IC卡的步驟。

其中，步驟S200-S300也可由發(fā)卡行調(diào)用后臺服務(wù)器完成。

3、后臺服務(wù)器

后臺服務(wù)器主要執(zhí)行步驟S500, 銀行柜臺或ATM交易時，后臺服務(wù)器會根據(jù)用戶提供的一個外部的密碼口令和金融IC卡里面的加密過的生物特征模板，配準(zhǔn)后臺服務(wù)器的后臺數(shù)據(jù)庫里面模板數(shù)據(jù)。另外，后臺服務(wù)器也還可以執(zhí)行步驟S200-S300，生成私人密鑰和生成模板都是后臺服務(wù)器所具有的基本功能。

本實(shí)施例中后臺服務(wù)器能提供高階多項(xiàng)式運(yùn)算，減輕節(jié)點(diǎn)運(yùn)算的負(fù)荷，維護(hù)數(shù)據(jù)節(jié)點(diǎn)的傳輸。而服務(wù)器端只有在接收到密碼和生物特征信息才能訪問后臺數(shù)據(jù)庫的模板信息，否則是無法訪問該用戶確認(rèn)的有用信息。

4、后臺數(shù)據(jù)庫

后臺數(shù)據(jù)庫用于存儲加密的生物特征模板和一個外部密碼口令以及用戶基本信息等，用戶只有提供正確的生物特征信息和密碼口令才能夠查詢后臺數(shù)據(jù)庫。

通過本實(shí)施例的基于生物特征加密進(jìn)行PBOC交易的方法，對生物特征加密，既有利于保證用戶生物特征的隱私，又有利于增強(qiáng)PBOC交易的安全性和簡化性。結(jié)合圖3，如圖4所示，通過本實(shí)施例的方法，用戶可以完成基于PEOS的開戶與交易，具體如下。

1、開戶：注冊和更改生物特征保護(hù)

如圖5所示，用戶在線申請注冊時，用戶提供生物特征、密碼和用戶基本信息（手機(jī)號、身份證、地址信息等）。后臺服務(wù)器采用模糊保險箱算法將生物特征與私人密鑰結(jié)合，生成加密的生物特征模板，并進(jìn)一步完成注冊過程。

若用戶沒有注冊到后臺服務(wù)器，則可以登錄申請一個新的生物特征模板，若用戶需要重新更換加密過的特征模板，則需要提供一個有效的身份證和密碼信息更改。

2、交易：脫機(jī)交易和聯(lián)機(jī)交易

柜臺或ATM通史采集用戶生物特征信息（如指紋），結(jié)合用戶輸入密碼口令，可生成一維的生物特征模板，從而可以進(jìn)行脫機(jī)交易。

聯(lián)機(jī)交易中，需提取金融IC卡中保存的生物特征模板數(shù)據(jù)，并發(fā)給后臺服務(wù)器驗(yàn)證。利用模糊保險箱的拉格朗日多項(xiàng)式插值算法恢復(fù)出多項(xiàng)式系數(shù)，從而比對金融IC卡的有效性。

對應(yīng)地，本發(fā)明的實(shí)施例還提供了一種基于生物特征加密進(jìn)行PBOC交易的裝置和系統(tǒng)，該裝置與系統(tǒng)與上述的基于生物特征加密進(jìn)行PBOC交易的方法為同一原理，且實(shí)施過程類似，故下文不再累述。

本發(fā)明實(shí)施例提供的一種基于生物特征加密進(jìn)行PBOC交易的裝置，如圖6所示，包括：生物特征提取模塊101，用于采集用戶的生物特征，并提取出有效生物特征；私人密鑰生成模塊102，用于基于用戶輸入的密碼，生成用戶的私人密鑰；生物特征模板生成模塊103，用于采用模糊保險箱算法將所述有效生物特征與所述私人密鑰結(jié)合成用于標(biāo)識用戶身份信息的生物特征模板；生物特征模板存儲模塊104，用于將所述生物特征模板存儲在后臺數(shù)據(jù)庫，并加載到金融IC卡中；以及驗(yàn)證模塊105，用于將金融IC卡中的生物特征模板和用戶輸入的密碼提交給后臺服務(wù)器進(jìn)行驗(yàn)證，驗(yàn)證通過后，該金融IC卡被允許進(jìn)行PBOC交易。

本發(fā)明實(shí)施例提供的一種基于生物特征加密進(jìn)行PBOC交易的系統(tǒng)，包括：上述的基于生物特征加密進(jìn)行PBOC交易的裝置；金融IC卡，其加載有所述裝置生成的生物特征模板；后臺數(shù)據(jù)庫，其用于存儲所述生物特征模板、用戶密碼及用戶基本信息；后臺服務(wù)器，其用于在所述后臺數(shù)據(jù)庫中對金融IC卡中的生物特征模板和用戶輸入的密碼進(jìn)行驗(yàn)證，并在驗(yàn)證通過后允許所述金融IC卡進(jìn)行PBOC交易。

本發(fā)明實(shí)施例解決了現(xiàn)行采用金融IC卡進(jìn)行PBOC交易過分依賴于非對稱算法而可破譯的缺陷，引入生物特征加密技術(shù)解決了PBOC交易因存在很多人為因素的流程而產(chǎn)生的不可確定性。

以上所述僅為本發(fā)明的較佳實(shí)施例，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。