專(zhuān)利名稱(chēng)：：基于生物特征的認(rèn)證系統(tǒng)及其身份認(rèn)證方法
技術(shù)領(lǐng)域：
：本發(fā)明總的屬于安全認(rèn)證系統(tǒng)類(lèi)別，涉及基于生物特征的認(rèn)證系統(tǒng)及其身份認(rèn)證方法。
背景技術(shù)：
：通常信息系統(tǒng)的安全范圍定義在5大類(lèi)安全技術(shù)，分別為身份認(rèn)證、訪(fǎng)問(wèn)控制、數(shù)據(jù)保密性、數(shù)據(jù)完整性以及不可否認(rèn)性。身份認(rèn)證是應(yīng)用系統(tǒng)最基本的安全要求，傳統(tǒng)身份識(shí)別和認(rèn)證的方法是利用密碼或用戶(hù)接口模塊(PIM)的人工制品(例如用戶(hù)卡)或它們的組合。這些方法都是通過(guò)對(duì)密碼或其他人工制品"物"的認(rèn)證，用戶(hù)通過(guò)對(duì)這些物的控制權(quán)來(lái)間接識(shí)別和認(rèn)證持有者的身份，而并非對(duì)用戶(hù)"本人"的身份識(shí)別，這種對(duì)"物"的認(rèn)證缺點(diǎn)是密碼或人工制品與用戶(hù)本人是分離的，容易被盜或遺忘。當(dāng)今身份識(shí)別和認(rèn)證技術(shù)的改良方向是使用用戶(hù)本人的生物特征數(shù)據(jù)來(lái)識(shí)別和認(rèn)證用戶(hù)。生物特征數(shù)據(jù)是描述用戶(hù)的唯一的物理特征的數(shù)據(jù)，并且它能夠在請(qǐng)求訪(fǎng)問(wèn)時(shí)直接從用戶(hù)本身讀取鑒別。生物特征數(shù)據(jù)(包括人體的指紋特征鑒別數(shù)據(jù)、臉譜特征識(shí)別數(shù)據(jù)、視網(wǎng)膜圖象特征識(shí)別數(shù)據(jù)、掌紋識(shí)別數(shù)據(jù)、掌背靜脈脈絡(luò)圖象識(shí)別數(shù)據(jù)、語(yǔ)言識(shí)別數(shù)據(jù)、筆跡識(shí)別數(shù)據(jù)等等)的識(shí)別技術(shù)被公認(rèn)為準(zhǔn)確、安全的個(gè)體身份識(shí)別認(rèn)證技術(shù)，在社會(huì)司法行政和經(jīng)濟(jì)活動(dòng)中有著廣泛需求。目前，很多創(chuàng)新技術(shù)方案都在不斷完善生物特征身份識(shí)別技術(shù)。其中，發(fā)明名稱(chēng):利用指紋認(rèn)證柜員身份的方法及其系統(tǒng)，專(zhuān)利號(hào)ZL031164993.5針對(duì)目前的銀行應(yīng)用中無(wú)法對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行修改的情況，在設(shè)備層實(shí)現(xiàn)和銀行業(yè)務(wù)的完全兼容，指紋讀寫(xiě)器采用即插即用式設(shè)計(jì)。通過(guò)仿真模式，實(shí)現(xiàn)在不修改銀行現(xiàn)有軟件系統(tǒng)，不修改現(xiàn)有硬件系統(tǒng)，不改變?cè)凶鳂I(yè)流程，不必對(duì)現(xiàn)有的工作環(huán)境進(jìn)行改變的情況下，將銀行網(wǎng)點(diǎn)所有柜員的指紋保存到一個(gè)IC卡中集中管理，作為柜員進(jìn)行身份認(rèn)證的比對(duì)指紋模板，把IC卡當(dāng)作傳統(tǒng)指紋身份識(shí)別的指紋模板數(shù)據(jù)庫(kù)存儲(chǔ)器。但是，一個(gè)IC卡空間有限，不能把海量用戶(hù)的指紋模板都保存到一個(gè)IC卡中。中國(guó)專(zhuān)利申請(qǐng)?zhí)?1123671.X和ZL專(zhuān)利號(hào)98125160.9公開(kāi)的利用指紋識(shí)別個(gè)人身份的系統(tǒng)需要預(yù)先建立一個(gè)指紋樣本庫(kù)。建立和維護(hù)集中式海量用戶(hù)的指紋模板庫(kù)需要大批量，高性能的服務(wù)器進(jìn)行集中的指紋特征提取和指紋特征比對(duì)；另外，個(gè)人的生物生理信息屬于個(gè)人隱私，是必須保護(hù)的。一旦泄露這些個(gè)人生物生理隱私信息對(duì)維護(hù)生物信息庫(kù)的組織機(jī)構(gòu)和生物信息所有者個(gè)人來(lái)說(shuō)將會(huì)造成災(zāi)難性的后果。圖1顯示了現(xiàn)有的密碼認(rèn)證或生物認(rèn)證的系統(tǒng)。應(yīng)用主機(jī)1包括處理器l-l、存儲(chǔ)器1-2保存登陸密碼或生物特征模板、密鑰，通過(guò)數(shù)據(jù)通訊接口1-3經(jīng)過(guò)網(wǎng)絡(luò)通訊線(xiàn)路及設(shè)備100與用戶(hù)客戶(hù)終端11相連。用戶(hù)客戶(hù)終端11包括數(shù)據(jù)通訊接口11-3、處理器11-1、存儲(chǔ)器11-2，通過(guò)鍵盤(pán)接口114與輸入鍵盤(pán)11-5相連。另外，如果在生物特征認(rèn)證的情況下，通過(guò)生物數(shù)據(jù)接口11-6與生物傳感器ll-7相連；在虛框中顯示的是如果在使用IC卡認(rèn)證的情況下，通過(guò)IC讀寫(xiě)接口11-8與IC卡讀寫(xiě)器11-9湘連，IC卡11-10直接與IC卡讀寫(xiě)器11-9相連通；如果使用USB中的私鑰認(rèn)證，通過(guò)USB接口11-11與U盤(pán)11-12相連。在這里，應(yīng)用主機(jī)1實(shí)際上是一個(gè)受限制使用或受控制訪(fǎng)問(wèn)的數(shù)字處理機(jī)器，也就是受限使用機(jī)器，它必須通過(guò)認(rèn)證的用戶(hù)才允許登陸或使用其資源；其硬件包括公知的數(shù)字電路或計(jì)算機(jī)體系結(jié)構(gòu)的各類(lèi)計(jì)算機(jī)、服務(wù)器或服務(wù)器集群。典型地，應(yīng)用主機(jī)、也就是受限使用主機(jī)1的存儲(chǔ)器1-2的非易失性存儲(chǔ)器，例如硬盤(pán)，用于保存登陸密碼、生物特征模板或密鑰，并且能夠在業(yè)務(wù)服務(wù)器1增加用戶(hù)、刪除用戶(hù)或用戶(hù)需要修改他們數(shù)據(jù)時(shí)被更新。在客戶(hù)機(jī)11通過(guò)通訊線(xiàn)路及設(shè)備100請(qǐng)求訪(fǎng)問(wèn)業(yè)務(wù)應(yīng)用服務(wù)器1時(shí)，用戶(hù)使用輸入鍵盤(pán)11-5輸入密碼通過(guò)鍵盤(pán)接口11-4(或用戶(hù)使用生物傳感器ll-7采集生物特征數(shù)據(jù)通過(guò)生物數(shù)據(jù)接口11-6輸入；或用戶(hù)使用IC卡11-10插卡輸入卡上用戶(hù)編碼或密碼；或用戶(hù)使用U盤(pán)輸入私鑰簽名/證書(shū)加密)由處理器11-1控制經(jīng)過(guò)客戶(hù)機(jī)11的數(shù)據(jù)通訊接口11-3提交到業(yè)務(wù)應(yīng)用服務(wù)器1，業(yè)務(wù)應(yīng)用服務(wù)器1的處理器1-1將密碼或生物特征數(shù)據(jù)與存儲(chǔ)器1-2的非易失性存儲(chǔ)器預(yù)先保存的登陸密碼、生物特征模板比對(duì)或用存儲(chǔ)器1-2的非易失性存儲(chǔ)器保存的密鑰解密驗(yàn)證。如果匹配成功或驗(yàn)證通過(guò)，處理器1-1將啟動(dòng)對(duì)所請(qǐng)求資源的訪(fǎng)問(wèn)和使用。使用生物特征數(shù)據(jù)進(jìn)行身份識(shí)別，特別是在網(wǎng)絡(luò)上(例如互聯(lián)網(wǎng)或無(wú)線(xiàn)移動(dòng)通訊網(wǎng))進(jìn)行海量用戶(hù)身份識(shí)別，按照現(xiàn)有技術(shù)方案是在各個(gè)應(yīng)用單位的受限使用機(jī)器上集中保存眾多海量用戶(hù)的生物特征樣本或生物特征模板，建立生物特征數(shù)據(jù)模板數(shù)據(jù)庫(kù)，用于處理比對(duì)待認(rèn)證用戶(hù)認(rèn)證時(shí)直接從用戶(hù)本身讀取的生物特征數(shù)據(jù)。該生物特征數(shù)據(jù)可能是原始格式，如指紋的數(shù)字化圖象，但更可能是簡(jiǎn)化格式，或細(xì)節(jié)特征具有代數(shù)關(guān)系的數(shù)組，它表示以預(yù)先定義的數(shù)字格式定義該圖象相關(guān)點(diǎn)的圖象編碼圖。技術(shù)層面上，集中處理這些海量用戶(hù)生物特征數(shù)據(jù)比對(duì)所需要的運(yùn)算量比處理一般文本字符的密碼比對(duì)運(yùn)算處理量大幾倍(需要幾倍、幾十倍、甚至百倍的CPU資源、內(nèi)存資源和數(shù)據(jù)空間存儲(chǔ)資源)，而且對(duì)不同種類(lèi)(例如、步態(tài)或臉譜)的生物特征認(rèn)證處理可能比處理一般的核心應(yīng)用程序需要要大的處理運(yùn)算量。雖然現(xiàn)有技術(shù)中，有的將應(yīng)用程序的服務(wù)器與生物特征認(rèn)證服務(wù)器分開(kāi)在不同服務(wù)器運(yùn)行來(lái)分離業(yè)務(wù)處理與生物認(rèn)證處理，但是用戶(hù)在集中請(qǐng)求登陸的高峰期產(chǎn)生的突發(fā)生物認(rèn)證數(shù)據(jù)很難得到即時(shí)處理，從而導(dǎo)致生物特征認(rèn)證服務(wù)器面臨當(dāng)機(jī)(停機(jī))的風(fēng)險(xiǎn)；而在深夜時(shí)刻用戶(hù)請(qǐng)求生物認(rèn)證量比較少，生物認(rèn)證服務(wù)器又可能比較空閑。而且，從應(yīng)用層面上講，生物認(rèn)證不同于密碼認(rèn)證方式---用戶(hù)可以隨時(shí)控制修改密碼(密碼認(rèn)證缺點(diǎn)之一是用戶(hù)很難記住頻繁修改的長(zhǎng)密碼，而短密碼又很不安全)，采用生物特征數(shù)據(jù)進(jìn)行身份認(rèn)證需要用戶(hù)在所有的商家都留下他們恒定的生物特征數(shù)據(jù)模板，這會(huì)給用戶(hù)的個(gè)人隱私帶來(lái)麻煩也會(huì)給認(rèn)證系統(tǒng)帶來(lái)危險(xiǎn)，況且也沒(méi)有必要把某一個(gè)用戶(hù)的生物特征數(shù)據(jù)模板都保留在眾多商家，因?yàn)橐粋€(gè)人的全部生物特征是恒定的，其部分生物特征數(shù)據(jù)也應(yīng)該是一致的。商家需要的只是生物特征身份認(rèn)證的結(jié)果——是與否；而用戶(hù)生物特征數(shù)據(jù)本身并不是商家需要的。
發(fā)明內(nèi)容本發(fā)明所述的基于生物特征的認(rèn)證系統(tǒng)及其身份認(rèn)證方法，在于解決上述問(wèn)題和使用缺陷而實(shí)現(xiàn)以下發(fā)明目的。本發(fā)明的目的是將海量用戶(hù)的生物特征模板集中保存和生物特征集中比對(duì)操作，從受限使用機(jī)器的認(rèn)證功能中分離出來(lái)，分散分擔(dān)給用戶(hù)各自的數(shù)字處理終端(包括用戶(hù)自己的個(gè)人電腦、筆記本電腦或手機(jī)、PDA等)一一分散化保存用戶(hù)的生物特征模板、分散化運(yùn)算和處理生物特征比對(duì)；受限使用機(jī)器的集中認(rèn)證功能只是依據(jù)待認(rèn)證生物特征與保存在用戶(hù)分散的數(shù)字處理終端上的生物特征模板比對(duì)認(rèn)證后的結(jié)果數(shù)據(jù)，授權(quán)對(duì)與該數(shù)字處理終端對(duì)應(yīng)綁定的用戶(hù)進(jìn)行等同認(rèn)證。充分利用現(xiàn)有用戶(hù)名/密碼認(rèn)證的硬件，在不改變認(rèn)證業(yè)務(wù)流程或很少修改傳統(tǒng)認(rèn)證習(xí)慣的情況下，改進(jìn)技術(shù)方案兼容利用生物特征數(shù)據(jù)技術(shù)進(jìn)行海量身份認(rèn)證；利用生物特征識(shí)別技術(shù)與加密技術(shù)和代理技術(shù)的結(jié)合，特別是結(jié)合非對(duì)稱(chēng)密碼技術(shù)PKI體系在安全領(lǐng)域的成熟應(yīng)用，改進(jìn)數(shù)字簽名加密和生物特征數(shù)據(jù)身份識(shí)別技術(shù)有機(jī)結(jié)合起來(lái)，強(qiáng)化身份認(rèn)證的安全性和方便性為實(shí)現(xiàn)上述發(fā)明目的，按照本發(fā)明的第一方面，提供了一種基于生物特征的認(rèn)證系統(tǒng)，用戶(hù)基于在終端持有的生物傳感器和ID識(shí)別號(hào)輸入裝置使用該系統(tǒng)，該系統(tǒng)包括有(1)基于生物特征的具有ID識(shí)別號(hào)的受限使用機(jī)器，至少具有存儲(chǔ)器、認(rèn)證模塊；其中，存儲(chǔ)器，用于預(yù)先存儲(chǔ)每個(gè)用戶(hù)的ID識(shí)別號(hào)，以及與該用戶(hù)ID識(shí)別號(hào)唯一對(duì)應(yīng)綁定的生物認(rèn)證裝置的ID識(shí)別號(hào)；認(rèn)證模塊，用于啟動(dòng)用戶(hù)登陸具有ID識(shí)別號(hào)的受限使用機(jī)器來(lái)使用其特定鑒權(quán)的信息資源，所述受限使用機(jī)器的認(rèn)證模塊，至少收到具有ID識(shí)別號(hào)的生物認(rèn)證裝置發(fā)來(lái)的，授權(quán)登陸或使用所述ID識(shí)別號(hào)的受限使用機(jī)器的一個(gè)生物特征驗(yàn)證數(shù)據(jù)，根據(jù)存儲(chǔ)器上預(yù)先保存的與所述生物認(rèn)證裝置ID識(shí)別號(hào)對(duì)應(yīng)綁定的用戶(hù)ID識(shí)別號(hào)，認(rèn)證模塊啟動(dòng)所述ID識(shí)別號(hào)的用戶(hù)登陸所述ID識(shí)別號(hào)的受限使用機(jī)器，或允許所述ID識(shí)別號(hào)用戶(hù)使用所述ID識(shí)別號(hào)的受限使用機(jī)器特定鑒權(quán)的資源；否則認(rèn)證模塊拒絕用戶(hù)登陸所述ID識(shí)別號(hào)的受限使用機(jī)器或使用其特定鑒權(quán)的資源；(2)基于生物特征的具有ID識(shí)別號(hào)的生物認(rèn)證裝置，至少具有生物特征比對(duì)模塊、通訊管理模塊；其中，生物特征比對(duì)模塊，用于將待認(rèn)證生物特征數(shù)據(jù)與預(yù)先保存在生物認(rèn)證裝置中用戶(hù)的生物特征模板的至少一部分進(jìn)行比對(duì)并產(chǎn)生一個(gè)匹配驗(yàn)證結(jié)果數(shù)據(jù)；通訊管理模塊，用于管理具有ID識(shí)別號(hào)的生物認(rèn)證裝置與具有ID識(shí)別號(hào)的受限使用機(jī)器之間的數(shù)據(jù)通訊，所述生物認(rèn)證裝置的通訊管理模塊，在收到請(qǐng)求登陸受限使用機(jī)器的ID識(shí)別號(hào)、以及待認(rèn)證生物特征數(shù)據(jù)后，經(jīng)過(guò)生物特征比對(duì)模塊的匹配比對(duì)而產(chǎn)生一個(gè)驗(yàn)證結(jié)果數(shù)據(jù)并發(fā)送至所述ID識(shí)別號(hào)的受限使用機(jī)器，即所述ID識(shí)別號(hào)的生物認(rèn)證裝置向所述ID識(shí)別號(hào)的受限使用機(jī)器發(fā)送授權(quán)使用所述受限使用機(jī)器的生物特征驗(yàn)證信號(hào)數(shù)據(jù)，或發(fā)送所述ID識(shí)別號(hào)生物認(rèn)證裝置的生物特征未驗(yàn)證信號(hào)數(shù)據(jù)拒絕授權(quán)使用所述ID識(shí)別號(hào)的受限使用機(jī)器。基于上述生物特征的認(rèn)證系統(tǒng)進(jìn)一步提供了一個(gè)優(yōu)選方案具有ID識(shí)別號(hào)的受限使用機(jī)器具有通訊轉(zhuǎn)發(fā)模塊，用于接收用戶(hù)ID識(shí)別號(hào)和待認(rèn)證生物特征數(shù)據(jù)，并根據(jù)存儲(chǔ)器上預(yù)先保存的與用戶(hù)ID識(shí)別號(hào)唯一對(duì)應(yīng)綁定的生物認(rèn)證裝置ID識(shí)別號(hào)，將待認(rèn)證生物特征數(shù)據(jù)通過(guò)通訊線(xiàn)路或和設(shè)備，轉(zhuǎn)發(fā)給唯一對(duì)應(yīng)綁定的ID識(shí)別號(hào)的生物認(rèn)證裝置以進(jìn)行驗(yàn)證；或是，通訊轉(zhuǎn)發(fā)模塊只接收用戶(hù)ID識(shí)別號(hào)，根據(jù)預(yù)先保存在存儲(chǔ)器上與用戶(hù)ID識(shí)別號(hào)唯一對(duì)應(yīng)綁定的生物認(rèn)證裝置ID識(shí)別號(hào)，通知所述ID識(shí)別號(hào)的生物認(rèn)證裝置所述的受限使用機(jī)器請(qǐng)求生物特征驗(yàn)證，并將生物認(rèn)證裝置ID識(shí)別號(hào)反饋給用戶(hù)客戶(hù)終端；用戶(hù)客戶(hù)終端，再將待認(rèn)證生物特征數(shù)據(jù)直接發(fā)到所述ID識(shí)別號(hào)的生物認(rèn)證裝置請(qǐng)求進(jìn)行生物特征比對(duì)驗(yàn)證，并將反饋驗(yàn)證結(jié)果數(shù)據(jù)傳送給所述受限使用機(jī)器。具有ID識(shí)別號(hào)的生物認(rèn)證裝置包括生物特征提取模塊、解壓縮模塊或加密/解密模塊；其中，解壓縮模塊，用于對(duì)已經(jīng)壓縮的待認(rèn)證生物特征原始數(shù)據(jù)進(jìn)行解壓縮為生物特征原始數(shù)據(jù)；生物特征提取模塊，用于從生物特征原始數(shù)據(jù)中提取生物特征數(shù)據(jù)；加密/解密模塊，用于第三方使用其私鑰對(duì)用戶(hù)的生物特征模板數(shù)據(jù)或和身份信息的整個(gè)數(shù)據(jù)塊進(jìn)行數(shù)字簽名，然后保存在所述生物認(rèn)證裝置的存儲(chǔ)器中，防止所述用戶(hù)的生物特征模板被偽造或替換；以及在進(jìn)行生物特征身份認(rèn)證時(shí)，先要使用第三方的數(shù)字證書(shū)驗(yàn)證生物特征模板或和身份信息的一致性、完整性以及正確性；驗(yàn)證數(shù)字簽名通過(guò)后再在所述生物特征摸板上進(jìn)行生物特征數(shù)據(jù)的比對(duì)?；谏鲜錾锾卣鞯恼J(rèn)證系統(tǒng)進(jìn)一步提供了另一個(gè)優(yōu)選方案存儲(chǔ)器，用于存儲(chǔ)每個(gè)用戶(hù)的ID識(shí)別號(hào)，以及與用戶(hù)ID識(shí)別號(hào)一對(duì)一映射綁定的生物認(rèn)證裝置的ID識(shí)別號(hào)；所述受限使用機(jī)器的認(rèn)證模塊，至少收到具有ID識(shí)別號(hào)的生物認(rèn)證裝置發(fā)來(lái)的，授權(quán)登陸或使用所述ID識(shí)別號(hào)的受限使用機(jī)器的一個(gè)生物特征驗(yàn)證數(shù)據(jù)，根據(jù)存儲(chǔ)器上保存的與所述生物認(rèn)證裝置ID識(shí)別號(hào)一對(duì)一映射綁定的用戶(hù)ID識(shí)別號(hào)，認(rèn)證模塊啟動(dòng)所述ID識(shí)別號(hào)的用戶(hù)登陸所述ID識(shí)別號(hào)的受限使用機(jī)器，或允許所述ID識(shí)別號(hào)用戶(hù)使用所述ID識(shí)別號(hào)的受限使用機(jī)器特定鑒權(quán)的資源；具有ID識(shí)別號(hào)的受限使用機(jī)器具有通訊轉(zhuǎn)發(fā)模塊，用于接收用戶(hù)ID識(shí)別號(hào)和待認(rèn)證生物特征數(shù)據(jù)，并根據(jù)存儲(chǔ)器上預(yù)先保存的與用戶(hù)ID識(shí)別號(hào)一對(duì)一映射綁定的生物認(rèn)證裝置ID識(shí)別號(hào)，將待認(rèn)證生物特征數(shù)據(jù)通過(guò)通訊線(xiàn)路或和設(shè)備，轉(zhuǎn)發(fā)給一對(duì)一映射綁定的ID識(shí)別號(hào)的生物認(rèn)證裝置以進(jìn)行驗(yàn)證；或是，通訊轉(zhuǎn)發(fā)模塊只接收用戶(hù)ID識(shí)別號(hào)，根據(jù)預(yù)先保存在存儲(chǔ)器上與用戶(hù)ID識(shí)別號(hào)一對(duì)一映射綁定的生物認(rèn)證裝置ID識(shí)別號(hào)，通知所述ID識(shí)別號(hào)的生物認(rèn)證裝置所述的受限使用機(jī)器請(qǐng)求生物特征驗(yàn)證，并將生物認(rèn)證裝置ID識(shí)別號(hào)反饋給用戶(hù)客戶(hù)終端；用戶(hù)客戶(hù)終端，再將待認(rèn)證生物特征數(shù)據(jù)直接發(fā)到所述ID識(shí)別號(hào)的生物認(rèn)證裝置請(qǐng)求進(jìn)行生物特征比對(duì)驗(yàn)證，并將反饋驗(yàn)證結(jié)果數(shù)據(jù)傳送給所述受限使用機(jī)器?；谏鲜錾锾卣鞯恼J(rèn)證系統(tǒng)又進(jìn)一步提供了另一個(gè)優(yōu)選方案所述受限使用機(jī)器或用戶(hù)客戶(hù)終端具有加密/解密模塊，用于它們之間與所述生物認(rèn)證裝置的加密/解密模塊配合，對(duì)受限使用機(jī)器、生物認(rèn)證裝置或用戶(hù)客戶(hù)終端之間的通訊數(shù)據(jù)進(jìn)行加密/解密和數(shù)字簽名/驗(yàn)證，并在其存儲(chǔ)器上保存各自的私鑰；所述受限使用機(jī)器的ID識(shí)別號(hào)是其CPU編號(hào)、存儲(chǔ)器編號(hào)、網(wǎng)卡編號(hào)；或是其通訊的域名、URL、網(wǎng)址、IP4的IP地址、IP6的IP地址、主機(jī)名、端口號(hào)、數(shù)字簽名、數(shù)字證書(shū)或其他可以識(shí)別受限使用機(jī)器的識(shí)別號(hào)；或是上述數(shù)據(jù)的組合；所述生物認(rèn)證裝置iD識(shí)別s是其cpu編g、存儲(chǔ)器編g、網(wǎng)卡編g，或是其網(wǎng)絡(luò)通訊的移動(dòng)通訊設(shè)備編S、手機(jī)S碼、域名、動(dòng)態(tài)域名、URL、網(wǎng)址、IP6的IP地址、移動(dòng)IP地址、主機(jī)名、端口號(hào)、數(shù)字簽名、數(shù)字證書(shū)或其他可以識(shí)別生物認(rèn)證裝置的識(shí)別號(hào)，或上述數(shù)據(jù)的組合；所述通訊線(xiàn)路既可以是計(jì)算機(jī)內(nèi)部的各種總線(xiàn)、并行線(xiàn)路、串行線(xiàn)路，也可以是計(jì)算機(jī)外的各種局域網(wǎng)、廣域網(wǎng)、移動(dòng)無(wú)線(xiàn)網(wǎng)或互聯(lián)網(wǎng)通訊線(xiàn)路以及支持其進(jìn)行數(shù)據(jù)傳輸?shù)脑O(shè)備，其中，與生物認(rèn)證裝置連接的通訊線(xiàn)路是撥號(hào)上網(wǎng)、ISDN、ADSL等的電話(huà)線(xiàn)，家庭有線(xiàn)電視數(shù)據(jù)網(wǎng)，電力數(shù)據(jù)網(wǎng)，或者GPRS、CDMA、3G的無(wú)線(xiàn)移動(dòng)網(wǎng)等客戶(hù)端上網(wǎng)線(xiàn)路。使用公共網(wǎng)絡(luò)(特別是互聯(lián)網(wǎng)或無(wú)線(xiàn)移動(dòng)通訊網(wǎng))進(jìn)行電子商務(wù)活動(dòng)時(shí)，安全是最受關(guān)注的因素。在本發(fā)明中，生物認(rèn)證裝置的移動(dòng)終端號(hào)碼、動(dòng)態(tài)域名或移動(dòng)IP等識(shí)別地址可能經(jīng)常公開(kāi)暴露在互聯(lián)網(wǎng)上，再加上個(gè)人用戶(hù)無(wú)法對(duì)生物認(rèn)證裝置的個(gè)人數(shù)字處理終端實(shí)施專(zhuān)業(yè)的放火墻保護(hù)，生物認(rèn)證裝置容易受到黑客的攻擊，本發(fā)明提供了公共代理解析裝置以及代理ID號(hào)碼來(lái)隔離和隱藏生物認(rèn)證裝置并替代生物認(rèn)證裝置的ID識(shí)別號(hào)真實(shí)網(wǎng)絡(luò)地址。效果是通過(guò)公共代理解析裝置，將生物認(rèn)證裝置的真實(shí)地址信息隱藏，并對(duì)通過(guò)公共代理解析裝置通訊的數(shù)據(jù)包中的生物認(rèn)證裝置的ID識(shí)別號(hào)與代理ID識(shí)別號(hào)進(jìn)行等效翻譯替換，過(guò)濾掉不合法的數(shù)據(jù)包來(lái)保護(hù)生物認(rèn)證裝置本身的ID識(shí)別號(hào)真實(shí)網(wǎng)絡(luò)地址不被直接攻擊。為實(shí)現(xiàn)這個(gè)目的，基于上述生物特征的認(rèn)證系統(tǒng)又進(jìn)一步提供了另一個(gè)優(yōu)選方案，該生物特征的認(rèn)證系統(tǒng)還包括有一公共代理解析裝置，該公共代理解析裝置至少具有公共注冊(cè)模塊和代理解析模塊；其中，公共注冊(cè)模塊，用于用戶(hù)登記其生物認(rèn)證裝置的ID識(shí)別號(hào)，然后申請(qǐng)一個(gè)等效的、用于隱藏其地址目標(biāo)的、唯一對(duì)應(yīng)的代理ID識(shí)別號(hào)，并將這兩個(gè)對(duì)應(yīng)綁定的數(shù)據(jù)保存在存儲(chǔ)器上；在用戶(hù)客戶(hù)終端或受限使用機(jī)器上，用戶(hù)可以使用代理ID識(shí)別號(hào)代替生物認(rèn)證裝置ID識(shí)別號(hào)；代理解析模塊，用于代理生物認(rèn)證裝置，管理其與用戶(hù)客戶(hù)終端或受限使用機(jī)器通訊，并對(duì)通過(guò)公共代理解析裝置通訊的數(shù)據(jù)包中的生物認(rèn)證裝置的ID識(shí)別號(hào)與代理ID識(shí)別號(hào)進(jìn)行等效翻譯替換，同時(shí)過(guò)濾掉不合法的數(shù)據(jù)包來(lái)保護(hù)生物認(rèn)證裝置本身的ID識(shí)別號(hào)不被直接攻擊；在生物認(rèn)證裝置通過(guò)公共代理解析裝置向用戶(hù)客戶(hù)終端或受限使用機(jī)器發(fā)送通訊數(shù)據(jù)時(shí)，代理解析模塊將通訊數(shù)據(jù)包中發(fā)送源的生物認(rèn)證裝置的ID識(shí)別號(hào)等效翻譯替換成代理ID識(shí)別號(hào)，然后將通訊數(shù)據(jù)包轉(zhuǎn)發(fā)給所述用戶(hù)客戶(hù)終端或所述受限使用機(jī)器；當(dāng)用戶(hù)客戶(hù)終端或受限使用機(jī)器使用代理ID識(shí)別號(hào)通過(guò)公共代理解析裝置向生物認(rèn)證裝置發(fā)送通訊數(shù)據(jù)的時(shí)候，代理解析模塊將通訊數(shù)據(jù)包中發(fā)送目的地的代理ID識(shí)別號(hào)等效翻譯替換成為生物認(rèn)證裝置的ID識(shí)別號(hào)，然后將通訊數(shù)據(jù)包轉(zhuǎn)發(fā)給所述ID識(shí)別號(hào)的生物認(rèn)證裝置；代理解析模塊既可以是集中式的，也可以是分布式的。按照上述生物特征的認(rèn)證系統(tǒng)優(yōu)選方案再進(jìn)一步提供了最佳方案-所述的生物特征是ID識(shí)別號(hào)用戶(hù)的指紋特征數(shù)據(jù)；所述的生物認(rèn)證裝置是手機(jī)。按照本發(fā)明的第二方面，提供了一種基于生物特征的認(rèn)證方法其流程是，(a)從用戶(hù)客戶(hù)終端上，待認(rèn)證用戶(hù)輸入用戶(hù)ID識(shí)別號(hào)并采集待認(rèn)證生物特征數(shù)據(jù)，通過(guò)通訊線(xiàn)路或和設(shè)備向具有ID識(shí)別號(hào)的受限使用機(jī)器發(fā)送，請(qǐng)求認(rèn)證登陸使用所述ID識(shí)別號(hào)的受限使用機(jī)器或使用其特定鑒權(quán)的資源；(b)所述ID識(shí)別號(hào)的受限使用機(jī)器接收用戶(hù)ID識(shí)別號(hào)和待認(rèn)證生物特征數(shù)據(jù)，根據(jù)預(yù)先保存在所述受限使用機(jī)器的存儲(chǔ)器上的所述用戶(hù)ID識(shí)別號(hào)以及與其唯一對(duì)應(yīng)綁定的生物認(rèn)證裝置ID識(shí)別號(hào)，將待認(rèn)證生物特征數(shù)據(jù)通過(guò)通訊線(xiàn)路或和設(shè)備，轉(zhuǎn)發(fā)給所述ID識(shí)別號(hào)的生物認(rèn)證裝置，其中所述ID識(shí)別號(hào)的受限使用機(jī)器可以不保存待認(rèn)證的生物特征數(shù)據(jù)；(c)所述生物認(rèn)證裝置的生物特征比對(duì)模塊，將所述待認(rèn)證生物特征數(shù)據(jù)與預(yù)先保存在存儲(chǔ)器中的用戶(hù)的生物特征模板的至少一部分比對(duì)；如果比對(duì)產(chǎn)生了匹配，所述ID識(shí)別號(hào)的生物認(rèn)證裝置則生成授權(quán)使用所述ID識(shí)別號(hào)的受限使用機(jī)器的生物特征驗(yàn)證信號(hào)；如果比對(duì)沒(méi)有產(chǎn)生匹配，所述ID識(shí)別號(hào)的生物認(rèn)證裝置則生成拒絕授權(quán)使用所述ID識(shí)別號(hào)的受限使用機(jī)器的生物特征未驗(yàn)證信號(hào)；(d)所述ID識(shí)別號(hào)的生物認(rèn)證裝置向所述ID識(shí)別號(hào)的受限使用機(jī)器發(fā)送授權(quán)使用所述受限使用機(jī)器的生物特征驗(yàn)證信號(hào)數(shù)據(jù)，或發(fā)送所述ID識(shí)別號(hào)的生物特征未驗(yàn)證信號(hào)數(shù)據(jù)拒絕授權(quán)使用所述ID識(shí)別號(hào)的受限使用機(jī)器；(e)根據(jù)收到的發(fā)送源的生物認(rèn)證裝置ID識(shí)別號(hào)，和至少所述ID識(shí)別號(hào)的生物認(rèn)證裝置對(duì)受限使用機(jī)器的生物特征驗(yàn)證信號(hào)授權(quán)數(shù)據(jù)，受限使用機(jī)器啟動(dòng)與所述ID識(shí)別號(hào)的生物認(rèn)證裝置對(duì)應(yīng)綁定的所述ID識(shí)別號(hào)用戶(hù)使用受限使用機(jī)器或使用其特定鑒權(quán)的資源；如果收到包含所述ID識(shí)別號(hào)的生物認(rèn)證裝置對(duì)受限使用機(jī)器的生物特征未驗(yàn)證信號(hào)拒絕授權(quán)數(shù)據(jù)，或者所述受限使用機(jī)器在有效時(shí)間內(nèi)未收到生物認(rèn)證裝置發(fā)送來(lái)的對(duì)受限使用機(jī)器的的生物特征驗(yàn)證信號(hào)授權(quán)數(shù)據(jù)，則受限使用機(jī)器拒絕所述用戶(hù)的登陸請(qǐng)求。按照本發(fā)明的第三方面，提供了一種基于生物特征的認(rèn)證方法包括有以下執(zhí)行流程，(a)從用戶(hù)客戶(hù)終端上，待認(rèn)證用戶(hù)輸入用戶(hù)ID識(shí)別號(hào)并采集待認(rèn)證生物特征數(shù)據(jù)，通過(guò)通訊線(xiàn)路或和設(shè)備向具有ID識(shí)別號(hào)的受限使用機(jī)器發(fā)送，請(qǐng)求認(rèn)證登陸使用所述受限使用機(jī)器或使用其特定鑒權(quán)的資源；(b)根據(jù)預(yù)先保存在存儲(chǔ)器上所述用戶(hù)ID識(shí)別號(hào)以及與其唯一對(duì)應(yīng)綁定的生物認(rèn)證裝置ID識(shí)別號(hào)，所述受限使用機(jī)器只接收用戶(hù)ID識(shí)別號(hào)并向生物認(rèn)證裝置發(fā)送生物特征驗(yàn)證請(qǐng)求消息，將所述生物認(rèn)證裝置ID識(shí)別號(hào)反饋發(fā)送給用戶(hù)客戶(hù)終端；(c)用戶(hù)客戶(hù)終端將所述ID識(shí)別號(hào)用戶(hù)的待認(rèn)證生物特征數(shù)據(jù)直接傳送到所述ID識(shí)別號(hào)的生物認(rèn)證裝置；(d)生物認(rèn)證裝置的生物特征比對(duì)模塊，將待認(rèn)證的生物特征數(shù)據(jù)與預(yù)先保存在存儲(chǔ)器中的用戶(hù)的生物特征模板的至少一部分比對(duì)；如果比對(duì)產(chǎn)生了匹配，所述生物認(rèn)證裝置生成授權(quán)使用所述受限使用機(jī)器的生物特征驗(yàn)證信號(hào)；如果比對(duì)沒(méi)有產(chǎn)生匹配，所述生物認(rèn)證裝置生成拒絕授權(quán)使用受限使用機(jī)器的生物特征未驗(yàn)證信號(hào)；(e)所述ID識(shí)別號(hào)的生物認(rèn)證裝置向所述ID識(shí)別號(hào)的受限使用機(jī)器發(fā)送授權(quán)17使用所述受限使用機(jī)器的生物特征驗(yàn)證信號(hào)數(shù)據(jù)，或發(fā)送所述ID識(shí)別號(hào)的生物特征未驗(yàn)證信號(hào)數(shù)據(jù)拒絕授權(quán)使用所述ID識(shí)別號(hào)的受限使用機(jī)器；(f)根據(jù)收到的發(fā)送源的生物認(rèn)證裝置ID識(shí)別號(hào)，以及至少所述生物認(rèn)證裝置對(duì)所述受限使用機(jī)器的生物特征驗(yàn)證信號(hào)授權(quán)數(shù)據(jù)，受限使用機(jī)器啟動(dòng)與所述ID識(shí)別號(hào)的生物認(rèn)證裝置對(duì)應(yīng)綁定的所述ID識(shí)別號(hào)用戶(hù)使用受限使用機(jī)器或使用其特定鑒權(quán)的資源；如果收到生物認(rèn)證裝置對(duì)受限使用機(jī)器的生物特征產(chǎn)生未驗(yàn)證信號(hào)拒絕授權(quán)數(shù)據(jù)、或是受限使用機(jī)器在有效時(shí)間內(nèi)未收到生物認(rèn)證裝置發(fā)送來(lái)對(duì)所述受限使用機(jī)器的生物特征驗(yàn)證信號(hào)授權(quán)數(shù)據(jù)，則受限使用機(jī)器拒絕所述ID識(shí)別號(hào)用戶(hù)的登陸請(qǐng)求。按照本發(fā)明的第四方面，提供了一種基于生物特征的認(rèn)證方法包括有以下實(shí)現(xiàn)流程，(a)從用戶(hù)客戶(hù)終端上，待認(rèn)證用戶(hù)輸入受限使用機(jī)器的ID識(shí)別號(hào)并采集待認(rèn)證生物特征數(shù)據(jù)，通過(guò)通訊線(xiàn)路或和設(shè)備，向具有ID識(shí)別號(hào)的生物認(rèn)證裝置發(fā)送請(qǐng)求認(rèn)證登陸使用所述受限使用機(jī)器或使用其特定鑒權(quán)的資源；(b)使用所述生物認(rèn)證裝置的生物特征比對(duì)模塊，將待認(rèn)證的生物特征數(shù)據(jù)與預(yù)先保存在存儲(chǔ)器中用戶(hù)的生物特征模板的至少一部分比對(duì)；如果比對(duì)產(chǎn)生了匹配，所述生物認(rèn)證裝置生成授權(quán)使用所述受限使用機(jī)器的生物特征驗(yàn)證信號(hào)；如果比對(duì)沒(méi)有產(chǎn)生匹配，則所述生物認(rèn)證裝置生成拒絕授權(quán)使用受限使用機(jī)器的生物特征未驗(yàn)證信號(hào)；(c)所述ID識(shí)別號(hào)的生物認(rèn)證裝置向所述ID識(shí)別號(hào)的受限使用機(jī)器發(fā)送授權(quán)使用所述受限使用機(jī)器的生物特征驗(yàn)證信號(hào)數(shù)據(jù)，或發(fā)送所述ID識(shí)別號(hào)的生物特征未驗(yàn)證信號(hào)數(shù)據(jù)拒絕授權(quán)使用所述ID識(shí)別號(hào)的受限使用機(jī)器；(d)根據(jù)收到的發(fā)送源的生物認(rèn)證裝置ID識(shí)別號(hào)，以及至少所述生物認(rèn)證裝置對(duì)所述受限使用機(jī)器的生物特征驗(yàn)證信號(hào)授權(quán)數(shù)據(jù)，受限使用機(jī)器啟動(dòng)與所述ID識(shí)別號(hào)的生物認(rèn)證裝置對(duì)應(yīng)綁定的所述ID識(shí)別號(hào)用戶(hù)使用受限使用機(jī)器或使用其特定鑒權(quán)的資源；如果收到包含所述生物認(rèn)證裝置對(duì)所述受限使用機(jī)器的生物特征未驗(yàn)證信號(hào)拒絕授權(quán)數(shù)據(jù)，則受限使用機(jī)器拒絕與所述ID識(shí)別號(hào)的生物認(rèn)證裝置對(duì)應(yīng)綁定的所述ID識(shí)別號(hào)用戶(hù)的登陸請(qǐng)求；其中，所述受限使用機(jī)器的存儲(chǔ)器上預(yù)先保存所述用戶(hù)ID識(shí)別號(hào)以及與其唯一對(duì)應(yīng)綁定的生物認(rèn)證裝置ID識(shí)別號(hào)。按照本發(fā)明的第二方面、第三方面和第四方面，進(jìn)一步提供了這種基于生物特征的認(rèn)證方法的一個(gè)優(yōu)選方案-存儲(chǔ)器上預(yù)先保存所述用戶(hù)ID識(shí)別號(hào)以及與其一對(duì)一映射綁定的生物認(rèn)證裝置ID識(shí)別號(hào)，其中；根據(jù)與預(yù)先保存在所述受限使用機(jī)器存儲(chǔ)器上用戶(hù)ID識(shí)別號(hào)一對(duì)一映射綁定的生物認(rèn)證裝置ID識(shí)別號(hào)，所述ID識(shí)別號(hào)的受限使用機(jī)器接收用戶(hù)ID識(shí)別號(hào)和待認(rèn)證生物特征數(shù)據(jù)，將待認(rèn)證生物特征數(shù)據(jù)通過(guò)通訊線(xiàn)路或和設(shè)備，轉(zhuǎn)發(fā)給所述ID識(shí)別號(hào)的生物認(rèn)證裝置；或根據(jù)保存在存儲(chǔ)器上所述用戶(hù)ID識(shí)別號(hào)以及與其一對(duì)一映射綁定的生物認(rèn)證裝置ID識(shí)別號(hào)，所述受限使用機(jī)器只接收用戶(hù)ID識(shí)別號(hào)并向生物認(rèn)證裝置發(fā)送生物特征驗(yàn)證請(qǐng)求消息，將所述生物認(rèn)證裝置ID識(shí)別號(hào)反饋發(fā)送給用戶(hù)客戶(hù)終端；用戶(hù)客戶(hù)終端將所述ID識(shí)別號(hào)用戶(hù)的待認(rèn)證生物特征數(shù)據(jù)直接傳送到所述ID識(shí)別號(hào)的生物認(rèn)證裝置；根據(jù)收到的發(fā)送源的生物認(rèn)證裝置ID識(shí)別號(hào)，和至少所述ID識(shí)別號(hào)的生物認(rèn)證裝置對(duì)受限使用機(jī)器的生物特征驗(yàn)證信號(hào)授權(quán)數(shù)據(jù)，受限使用機(jī)器啟動(dòng)與所述ID識(shí)別號(hào)的生物認(rèn)證裝置一對(duì)一映射綁定的所述ID識(shí)別號(hào)用戶(hù)使用受限使用機(jī)器或使用其特定鑒權(quán)的資源；從任何配置有生物傳感器的用戶(hù)客戶(hù)終端上采集待認(rèn)證生物特征數(shù)據(jù)，連同用戶(hù)客戶(hù)終端ID識(shí)別號(hào)通過(guò)通訊線(xiàn)路或和設(shè)備，向所述受限使用機(jī)器或生物認(rèn)證裝置發(fā)送請(qǐng)求認(rèn)證登陸使用受限使用機(jī)器或使用其特定鑒權(quán)的資源；當(dāng)通過(guò)認(rèn)證授權(quán)以后，所述受限使用機(jī)器可以根據(jù)用戶(hù)客戶(hù)終端ID識(shí)別號(hào)向用戶(hù)客戶(hù)終端直接發(fā)送反饋數(shù)據(jù)；用戶(hù)客戶(hù)終端ID識(shí)別號(hào)也可以與生物認(rèn)證裝置的ID識(shí)別號(hào)相同；用戶(hù)客戶(hù)終端、受限使用機(jī)器或生物認(rèn)證裝置的ID識(shí)別號(hào)可以是它們各自的CPU編號(hào)、存儲(chǔ)器編號(hào)、網(wǎng)卡編號(hào)；或是其通訊的域名、URL、網(wǎng)址、IP地址、移動(dòng)IP地址、主機(jī)名、端口號(hào)、數(shù)字簽名、數(shù)字證書(shū)或其它可以識(shí)別它們各自的識(shí)別號(hào)；或是上述數(shù)據(jù)的組合。按照本發(fā)明的技術(shù)方案實(shí)施，可以產(chǎn)生如下技術(shù)效果1、克服了海量生物認(rèn)證必須象密碼認(rèn)證那樣集中保存生物摸版庫(kù)和集中處理生物特征比對(duì)的技術(shù)偏見(jiàn)，剝離這些大量消耗運(yùn)算處理資源的生物比對(duì)功能，分散給了海量用戶(hù)各自的數(shù)字處理終端上的運(yùn)算處理資源來(lái)處理一一分散了生物特征集中處理所需要的大量存儲(chǔ)資源，內(nèi)存資源和CPU等資源，將這些處理任務(wù)分配給了用戶(hù)自己數(shù)字處理終端上的閑置存儲(chǔ)資源，內(nèi)存資源和CPU等資源。這種實(shí)施方案導(dǎo)致經(jīng)濟(jì)上的結(jié)果是可以降低政府部門(mén)、主辦單位建設(shè)海量生物特征認(rèn)證系統(tǒng)的投資門(mén)檻，轉(zhuǎn)而讓海量用戶(hù)分擔(dān)一部分系統(tǒng)資源的投資(例如，估計(jì)這樣的指紋認(rèn)證系統(tǒng)每個(gè)用戶(hù)在其數(shù)字終端上只需要增加大約IOO元左右費(fèi)用，是可以被用戶(hù)接受的，經(jīng)濟(jì)上也是容易普及的)；同時(shí)，由于用戶(hù)的生物特征模板可以一直保存和處理在用戶(hù)自己的數(shù)字處理終端上，從而保護(hù)用戶(hù)的個(gè)人生物特征數(shù)據(jù)的隱私。2、避免現(xiàn)有集中處理方式下，用戶(hù)集中認(rèn)證時(shí)的突發(fā)生物特征數(shù)據(jù)造成生物認(rèn)證服務(wù)器當(dāng)機(jī)(停機(jī))的風(fēng)險(xiǎn)。從而，提高了受限使用機(jī)器內(nèi)部運(yùn)行性能和對(duì)整個(gè)生物認(rèn)證系統(tǒng)運(yùn)行性能的改善，提高了海量用戶(hù)生物認(rèn)證程序和應(yīng)用程序的執(zhí)行效率和可靠性。3、利用現(xiàn)有用戶(hù)名/密碼認(rèn)證的硬件，在不改變認(rèn)證業(yè)務(wù)流程或很少修改傳統(tǒng)認(rèn)證習(xí)慣的情況下，與密碼認(rèn)證幾乎相同的流程從整個(gè)認(rèn)證系統(tǒng)外部輸入的用戶(hù)ID或受限使用機(jī)器的ID,和待認(rèn)證生物特征數(shù)據(jù)，經(jīng)過(guò)整個(gè)認(rèn)證系統(tǒng)處理得到與該ID用戶(hù)唯一綁定的用戶(hù)數(shù)字處理終端認(rèn)證的結(jié)果數(shù)據(jù)，這個(gè)結(jié)果數(shù)據(jù)授權(quán)控制用戶(hù)對(duì)相關(guān)的受限使用機(jī)器的應(yīng)用系統(tǒng)資源的使用。4、優(yōu)選方案中，保存在用戶(hù)手機(jī)的指紋模板被第三方進(jìn)行了數(shù)字簽名，使指紋模板不能被用戶(hù)私自替換，從而完全避免了任何形式的冒名頂替。這不僅強(qiáng)化了身份認(rèn)證、訪(fǎng)問(wèn)控制、數(shù)據(jù)保密性、數(shù)據(jù)完整性以及不可否認(rèn)性，而且通過(guò)公共代理解析裝置隱藏了生物認(rèn)證裝置的真實(shí)地址信息，防止被黑客攻擊，提高了整個(gè)信息安全系統(tǒng)的安全性和方便性，最佳方案將指紋認(rèn)證功能，公鑰加密數(shù)字簽名功能集成在手機(jī)平臺(tái)上，方便指紋認(rèn)證技術(shù)、公鑰加密技術(shù)在海量用戶(hù)的推廣使用，解決了人們長(zhǎng)期渴望利用生物特征進(jìn)行海量認(rèn)證但一直未能如愿的課題。幾個(gè)相關(guān)名詞的說(shuō)明生物特征原始數(shù)據(jù)是指從生物傳感器檢測(cè)采集的生物信號(hào)的原始數(shù)字化表示，一般為圖片、音頻或IEM71^種數(shù)據(jù)一般占據(jù)比較大的數(shù)據(jù)空間。生物特征數(shù)據(jù)是將生物特征原始數(shù)據(jù)預(yù)處理后進(jìn)行細(xì)節(jié)特征點(diǎn)的提取，獲取的生物特征的有效表示數(shù)據(jù)。這種數(shù)據(jù)比原始數(shù)據(jù)占據(jù)相對(duì)小的數(shù)據(jù)空間。生物特征模板是用戶(hù)登記的生物特征提取的各類(lèi)細(xì)節(jié)特征點(diǎn)描述的集合。通常一個(gè)指紋特征模板包含幾十個(gè)到一、兩百個(gè)細(xì)節(jié)特征數(shù)值；而一般待認(rèn)證指紋中有8-10個(gè)細(xì)節(jié)特征數(shù)值與模板上的匹配就可以判斷出認(rèn)證成功。一般從生物傳感器中采集的生物特征原始數(shù)據(jù)，比如圖象、音頻或視頻，數(shù)據(jù)文件都比較大，經(jīng)過(guò)預(yù)處理后進(jìn)行細(xì)節(jié)特征點(diǎn)的提取，獲取的生物特征的有效表示數(shù)據(jù)是生物特征數(shù)據(jù)，這個(gè)生物特征數(shù)據(jù)文件一般比較小。如果在用戶(hù)客戶(hù)終端進(jìn)行生物特征提取，其結(jié)果數(shù)據(jù)比較小，可以在比較窄的帶寬的通訊線(xiàn)路上傳輸，但是必須在用戶(hù)應(yīng)用的所有不同的客戶(hù)終端都采用同一個(gè)生物特征提取算法和與其匹配的生物傳感器，因?yàn)樯镎J(rèn)證裝置中生物特征比對(duì)算法只能選用一個(gè)算法。而如果用戶(hù)客戶(hù)終端只采集生物特征原始數(shù)據(jù)的通用格式進(jìn)行數(shù)據(jù)傳輸，由于原始數(shù)據(jù)文件都比較大，則需要壓縮數(shù)據(jù)和比較寬的帶寬的通訊線(xiàn)路上傳輸，到達(dá)生物認(rèn)證裝置再解壓縮和進(jìn)行生物特征的提取，這樣的好處是用戶(hù)客戶(hù)終端可以采用各種不同廠家的生物傳感器采集生物特征原始數(shù)據(jù)，用戶(hù)客戶(hù)終端適用面寬一些。結(jié)合附圖，本發(fā)明的其他特點(diǎn)和優(yōu)點(diǎn)，可以從下面通過(guò)舉例來(lái)對(duì)本發(fā)明的原理進(jìn)行解釋的優(yōu)選實(shí)施方式的說(shuō)明中變得更清楚。圖1顯示了現(xiàn)有技術(shù)的一個(gè)實(shí)施方式的身份認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖。圖2顯示了本發(fā)明一個(gè)實(shí)施方式的生物身份認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖圖3顯示了本發(fā)明另一個(gè)實(shí)施方式的生物身份認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖圖4顯示了本發(fā)明一個(gè)實(shí)施方式的生物身份認(rèn)證方法的流程圖圖5顯示了本發(fā)明另一個(gè)實(shí)施方式的生物身份認(rèn)證方法的流程圖圖6顯示了本發(fā)明再一個(gè)實(shí)施方式的生物身份認(rèn)證方法的流程圖圖7顯示本發(fā)明的一個(gè)實(shí)施方式的生物身份認(rèn)證系統(tǒng)結(jié)構(gòu)示意圖圖8顯示通用計(jì)算機(jī)或微型控制器的硬件和系統(tǒng)結(jié)構(gòu)示意圖。具體實(shí)施以下參考附圖詳細(xì)說(shuō)明本發(fā)明的幾個(gè)實(shí)施例-在現(xiàn)有公知身份認(rèn)證系統(tǒng)圖1的基礎(chǔ)上，圖2顯示本發(fā)明一個(gè)實(shí)施例，陰影方框部分的2代表基于每個(gè)用戶(hù)的數(shù)字處理終端硬件的生物認(rèn)證裝置2，它負(fù)責(zé)生物特征身份比對(duì)認(rèn)證。經(jīng)過(guò)生物認(rèn)證裝置2生物驗(yàn)證后的結(jié)果數(shù)據(jù)發(fā)送給1代表的受限使用機(jī)器，受限使用機(jī)器1的認(rèn)證模塊1-4再根據(jù)生物認(rèn)證裝置2發(fā)的驗(yàn)證結(jié)果數(shù)據(jù)授權(quán)用戶(hù)使用相應(yīng)權(quán)限的資源，例如，訪(fǎng)問(wèn)用戶(hù)個(gè)人的銀行帳戶(hù)信息。與圖1的用戶(hù)客戶(hù)終端11，或應(yīng)用主機(jī)1一樣，圖2的生物認(rèn)證裝置2硬件包括公知的處理器2-1、存儲(chǔ)器2-2、數(shù)據(jù)通訊接口2-3和系統(tǒng)總線(xiàn)400，其中存儲(chǔ)器2-2保存用戶(hù)的生物特征模板，由系統(tǒng)總線(xiàn)400連接并通過(guò)數(shù)據(jù)通訊接口2-3經(jīng)過(guò)通訊線(xiàn)路及設(shè)備100與受限使用機(jī)器1，或與用戶(hù)客戶(hù)終端ll相連。圖2所示的受限使用機(jī)器1、生物認(rèn)證裝置2或用戶(hù)客戶(hù)終端11的硬件各自包括公知的中央處理器、存儲(chǔ)器、通訊總線(xiàn)、輸入輸出接口與通訊線(xiàn)路和設(shè)備的每個(gè)部件的功能及部件內(nèi)部的功能在本
技術(shù)領(lǐng)域：
都是眾所周知的。如圖8所示，生物認(rèn)證裝置2、受限使用機(jī)器1、用戶(hù)客戶(hù)終端11這些通用的計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)不僅適用個(gè)人計(jì)算機(jī)，服務(wù)器，集群化的服務(wù)器的計(jì)算機(jī)網(wǎng)絡(luò)等系統(tǒng)，而且該系統(tǒng)也可以由單片機(jī)實(shí)現(xiàn)適用于手持移動(dòng)設(shè)備，例如，手機(jī)、掌上電腦、PDA(個(gè)人數(shù)據(jù)助理)通過(guò)總線(xiàn)、并行線(xiàn)路、串行線(xiàn)路集成一個(gè)計(jì)算機(jī)通訊系統(tǒng)等。由這些公知通用硬件系統(tǒng)和本發(fā)明程序代碼構(gòu)成的功能模塊形成本發(fā)明的生物認(rèn)證系統(tǒng)；由這些公知通用硬件系統(tǒng)和執(zhí)行本發(fā)明的方法步驟構(gòu)成本發(fā)明的生物認(rèn)證方法。實(shí)施例l結(jié)合圖2說(shuō)明本發(fā)明的一個(gè)實(shí)施例的生物認(rèn)證系統(tǒng)用戶(hù)基于在個(gè)人電腦終端11持有的掌紋生物傳感器11-7和鍵盤(pán)字母數(shù)字輸入裝置11-5使用該生物認(rèn)證系統(tǒng)；該生物認(rèn)證系統(tǒng)包括有，(1)基于掌紋生物特征的具有域名URL(例如，wWw.EMBbiz.net)的受限使用機(jī)器，即電子商務(wù)服務(wù)器l，至少具有存儲(chǔ)器l-2、認(rèn)證模塊l-4和加密/解密模塊1-7;其中，存儲(chǔ)器l-2，用于存儲(chǔ)每個(gè)用戶(hù)的ID識(shí)別號(hào)，以及與每個(gè)用戶(hù)ID識(shí)別號(hào)分別一對(duì)一映射綁定的智能手機(jī)2的手機(jī)號(hào)碼，例如表1代表www.EMBbiz.net電子商務(wù)服務(wù)器1的存儲(chǔ)器上保存的詳細(xì)數(shù)據(jù)；每個(gè)用戶(hù)的ID識(shí)別號(hào)與用戶(hù)ID—對(duì)一映射綁定的智能手機(jī)2的手機(jī)號(hào)碼這些手機(jī)號(hào)碼互不相同embbiz@126.com86-13601063732liuhongli@xinhuanet.com86-13385881711yangXK@embbiz.net86-13581816468表1認(rèn)證模塊卜4，用于用戶(hù)啟動(dòng)登陸具有域名URL的電子商務(wù)服務(wù)器1來(lái)使用其特定鑒權(quán)的信息資源；所述電子商務(wù)服務(wù)器1的認(rèn)證模塊1-4，至少收到具有手機(jī)號(hào)碼的智能手機(jī)2發(fā)來(lái)授權(quán)登陸或使用所述域名URL的電子商務(wù)服務(wù)器1的一個(gè)生物特征驗(yàn)證數(shù)據(jù)，根據(jù)存儲(chǔ)器1-2上預(yù)先保存的與所述智能手機(jī)2的手機(jī)號(hào)碼一對(duì)一映射綁定的用戶(hù)ID識(shí)別號(hào)，認(rèn)證模塊1-4啟動(dòng)所述ID識(shí)別號(hào)的用戶(hù)登陸所述域名URL的電子商務(wù)服務(wù)器1，或允許所述ID識(shí)別號(hào)用戶(hù)使用所述域名URL的電子商務(wù)服務(wù)器1特定鑒權(quán)的資源。例如收到手機(jī)號(hào)碼為86-13601063732的手機(jī)發(fā)送來(lái)的授權(quán)使用所述域名URL的電子商務(wù)服務(wù)器1的一個(gè)生物特征驗(yàn)證數(shù)據(jù)YES,認(rèn)證模塊1-4對(duì)照存儲(chǔ)器上預(yù)先保存的表1的數(shù)據(jù)，根據(jù)與86-13601063732—對(duì)一映射綁定的用戶(hù)ID識(shí)別號(hào)embbiz@126.com，啟動(dòng)用戶(hù)ID識(shí)別號(hào)為embbiz@126.com的用戶(hù)登陸該電子商務(wù)服務(wù)器1，或允許embbiz@126.com使用該電子商務(wù)服務(wù)器1的交易信息資源；否則認(rèn)證模塊1-4拒絕用戶(hù)登陸所述域名URL的電子商務(wù)服務(wù)器1或使用其特定鑒權(quán)的資源；加密/解密模塊1-7，用于電子商務(wù)服務(wù)器1與所述智能手機(jī)2的加密/解密模塊232-7配合，對(duì)它們之間的通訊數(shù)據(jù)進(jìn)行加密/解密和數(shù)字簽名/驗(yàn)證，確保它們之間數(shù)據(jù)傳輸?shù)陌踩?2)基于生物特征的具有手機(jī)號(hào)碼(例如86-13601063732)的智能手機(jī)2，包括有掌紋生物特征比對(duì)模塊2-4、掌紋生物特征提取模塊2-5、解壓縮模塊2-6、加密/解密模塊2-7和通訊管理模塊2-8;其中，解壓縮模塊2-6，用于對(duì)已經(jīng)壓縮的待認(rèn)證掌紋生物特征原始數(shù)據(jù)進(jìn)行解壓縮為掌紋生物特征原始數(shù)據(jù)，之前在用戶(hù)個(gè)人電腦11采集的待認(rèn)證掌紋生物特征原始數(shù)據(jù)，被個(gè)人電腦11進(jìn)行了數(shù)據(jù)壓縮；加密/解密模塊2-7,用于第三方CA中心使用其私鑰對(duì)用戶(hù)的掌紋生物特征模板數(shù)據(jù)或和身份信息的整個(gè)數(shù)據(jù)塊進(jìn)行數(shù)字簽名，然后保存在存儲(chǔ)器2-2中，防止所述用戶(hù)的掌紋生物特征模板被偽造或替換；之后在進(jìn)行掌紋生物特征身份認(rèn)證時(shí)，先要使用第三方CA中心的數(shù)字證書(shū)驗(yàn)證掌紋生物特征模板或和身份信息的正確性、一致性以及完整性；驗(yàn)證數(shù)字簽名通過(guò)后再在所述掌紋生物特征摸板上對(duì)待認(rèn)證掌紋生物特征數(shù)據(jù)進(jìn)行生物特征數(shù)據(jù)的比對(duì)；另夕卜，加密/解密模塊2-7還用于與電子商務(wù)服務(wù)器1(例如www.EMBbiz.net)的加密/解密模塊l-7配合，對(duì)它們之間的通訊數(shù)據(jù)進(jìn)行加密/解密和數(shù)字簽名/驗(yàn)證，確保它們之間數(shù)據(jù)通訊的安全性；掌紋生物特征提取模塊2-5，用于從掌紋生物特征原始數(shù)據(jù)中提取掌紋生物特征數(shù)據(jù)，在個(gè)人電腦11的掌紋傳感器11-7采集到了原始掌紋生物特征數(shù)據(jù)后，對(duì)其進(jìn)行壓縮，再加密后傳送到了智能手機(jī)2，經(jīng)過(guò)加密/解密模塊2-7的解密，解壓縮模塊2-6的解壓縮后得到掌紋生物特征原始數(shù)據(jù)就可以進(jìn)行掌紋生物特征提取，提取掌紋特征后，交給掌紋生物特征比對(duì)模塊2-4;掌紋生物特征比對(duì)模塊2-4，用于將待認(rèn)證掌紋生物特征數(shù)據(jù)與預(yù)先保存在智能手機(jī)2(例如86-13601063732)中所述ID識(shí)別號(hào)(例如embbiz@126.com)用戶(hù)的掌紋生物特征模板的至少一部分進(jìn)行比對(duì)并產(chǎn)生一個(gè)匹配驗(yàn)證結(jié)果數(shù)據(jù)；通訊管理模塊2-8，用于管理具有手機(jī)號(hào)碼(例如86-13601063732)的智能手機(jī)2與具有網(wǎng)址URL(例如www.EMBbiz.net)的電子商務(wù)服務(wù)器1之間的數(shù)據(jù)通訊，所述(例如86-13601063732)智能手機(jī)2的通訊管理模塊2-8，在收到請(qǐng)求登陸電子商務(wù)服務(wù)器1的域名URL(例如www.EMBbiz.net)、以及待認(rèn)證掌紋生物特征數(shù)據(jù)后，經(jīng)過(guò)掌紋生物特征比對(duì)模塊24的匹配比對(duì)而產(chǎn)生一個(gè)驗(yàn)證結(jié)果數(shù)據(jù)(YES或NO),經(jīng)過(guò)加密/解密模塊2-7加密后發(fā)送至所述域名URL(例如www.EMBbiz.net)的電子商務(wù)服務(wù)器1，即所述(86-13601063732)手機(jī)號(hào)碼的智能手機(jī)2向所述(www.EMBbiz.net)域名URL的電子商務(wù)服務(wù)器1發(fā)送授權(quán)使用所述(www.EMBbiz.net)電子商務(wù)服務(wù)器1的生物特征驗(yàn)證信號(hào)YES數(shù)據(jù)，或發(fā)送生物特征未驗(yàn)證信號(hào)NO數(shù)據(jù)拒絕授權(quán)使用所述域名URL的電子商務(wù)服務(wù)器1。其中，可以執(zhí)行如圖6的步驟完成認(rèn)證流程來(lái)使用這個(gè)生物認(rèn)證系統(tǒng)(601a)從(客戶(hù)終端)個(gè)人電腦11上，待認(rèn)證用戶(hù)輸入電子商務(wù)服務(wù)器1(也就是受限使用機(jī)器)的域名URL(例如www.EMBbiz.net)、并輸入用戶(hù)的智能手機(jī)2的手機(jī)號(hào)碼(例如86-13601063732)和采集待認(rèn)證掌紋生物特征原始數(shù)據(jù)，經(jīng)過(guò)壓縮和加密后，通過(guò)通訊線(xiàn)路或和設(shè)備100，連同個(gè)人電腦11的IP地址，向該(86-13601063732)手機(jī)號(hào)碼的智能手機(jī)2發(fā)送這些數(shù)據(jù)，請(qǐng)求認(rèn)證登陸使用電子商務(wù)服務(wù)器l(www.EMBbiz.net)或使用其特定鑒權(quán)的資源，例如，進(jìn)行網(wǎng)上交易；(602b)所述(86-13601063732)手機(jī)號(hào)碼的智能手機(jī)2收到這些數(shù)據(jù)后，加密/解密模塊2-7把收到的數(shù)據(jù)解密成壓縮的掌紋生物特征原始數(shù)據(jù)；解壓縮模塊2-6，對(duì)壓縮的待認(rèn)證掌紋生物特征原始數(shù)據(jù)進(jìn)行解壓縮為掌紋生物特征原始數(shù)據(jù)；掌紋生物特征提取模塊2-5，從掌紋生物特征原始數(shù)據(jù)中提取掌紋生物特征數(shù)據(jù)；加密/解密模塊2-7使用第三方CA中心的數(shù)字證書(shū)驗(yàn)證預(yù)先保存在存儲(chǔ)器2-2上的掌紋生物特征模板或和身份信息的數(shù)字簽名的正確性、一致性以及完整性；驗(yàn)證數(shù)字簽名通過(guò)后再在所述掌紋生物特征摸板上對(duì)待認(rèn)證掌紋生物特征數(shù)據(jù)進(jìn)行生物特征數(shù)據(jù)的比對(duì)；掌紋生物特征比對(duì)模塊2>4，將待認(rèn)證的掌紋生物特征數(shù)據(jù)與預(yù)先保存在智能手機(jī)2的存儲(chǔ)器中用戶(hù)的已經(jīng)驗(yàn)證數(shù)字簽名的掌紋生物特征模板的至少一部分比對(duì)；如果比對(duì)產(chǎn)生了匹配，所述(86-13601063732)手機(jī)號(hào)碼的智能手機(jī)2生成授權(quán)使用所述(www.EMBbiz.net)域名URL電子商務(wù)服務(wù)器1的生物特征驗(yàn)證信號(hào)YES;<table>tableseeoriginaldocumentpage26</column></row><table>表2如果比對(duì)沒(méi)有產(chǎn)生匹配，則所述手機(jī)號(hào)碼的智能手機(jī)2則生成拒絕授權(quán)使用電子商務(wù)服務(wù)器1的生物特征未驗(yàn)證信號(hào)NO;(603c)所述(86-13601063732)手機(jī)號(hào)碼的智能手機(jī)2，連同個(gè)人電腦11的IP地址數(shù)據(jù)，向所述(www.EMBbiz.net)域名URL電子商務(wù)服務(wù)器1發(fā)送授權(quán)使用所述電子商務(wù)服務(wù)器1的生物特征驗(yàn)證信號(hào)YES數(shù)據(jù)，或發(fā)送所述(86-13601063732)手機(jī)號(hào)碼的智能手機(jī)2的生物特征未驗(yàn)證信號(hào)NO數(shù)據(jù)拒絕授權(quán)使用所述(www.EMBbiz.net)域名URL的電子商務(wù)服務(wù)器1，這些通訊數(shù)據(jù)都經(jīng)過(guò)加密/解密模塊2-7加密后發(fā)送；(604d)電子商務(wù)服務(wù)器l的加密/解密模塊l-7解密驗(yàn)證后，根據(jù)收到的發(fā)送源的智能手機(jī)2的(86-13601063732)手機(jī)號(hào)碼，以及至少所述智能手機(jī)2對(duì)所述(www.EMBbiz.net)電子商務(wù)服務(wù)器1的生物特征驗(yàn)證信號(hào)YES授權(quán)數(shù)據(jù)，電子商務(wù)服務(wù)器1再根據(jù)起存儲(chǔ)器上保存的表1，啟動(dòng)與所述(86-13601063732)手機(jī)號(hào)碼一對(duì)一映射綁定的所述ID識(shí)別號(hào)(embbiz⑨126.com)的用戶(hù)從所述IP地址的客戶(hù)終端11上，使用電子商務(wù)服務(wù)器l或使用其特定鑒權(quán)的資源，例如，進(jìn)行網(wǎng)上交易；<table>tableseeoriginaldocumentpage26</column></row><table>表3如果收到包含所述智能手機(jī)2對(duì)所述電子商務(wù)服務(wù)器1的生物特征未驗(yàn)證信號(hào)NO拒絕授權(quán)數(shù)據(jù)，則電子商務(wù)服務(wù)器1拒絕與所述手機(jī)號(hào)碼一對(duì)一映射綁定的所述ID識(shí)別號(hào)的用戶(hù)的登陸請(qǐng)求。有線(xiàn)網(wǎng)絡(luò)與無(wú)線(xiàn)移動(dòng)網(wǎng)絡(luò)等異構(gòu)網(wǎng)絡(luò)的互聯(lián)互通一般要采用TCP/IP協(xié)議，相關(guān)聯(lián)網(wǎng)終端必須有公共IP地址，但由于現(xiàn)在IPv4的IP地址接近枯竭，很多聯(lián)網(wǎng)的終端設(shè)備無(wú)法獲得固定公共IP地址，只能在每次聯(lián)網(wǎng)的時(shí)候從(移動(dòng))通訊運(yùn)營(yíng)商那里臨時(shí)獲得一個(gè)公共IP地址，下一次聯(lián)網(wǎng)的時(shí)候可能是通過(guò)另外一個(gè)公共IP地址連接互聯(lián)網(wǎng)。手機(jī)終端設(shè)備2要作為服務(wù)器端接受數(shù)據(jù)使用就必須識(shí)別該手機(jī)的連接互聯(lián)網(wǎng)時(shí)候的公共網(wǎng)絡(luò)IP地址或和端口號(hào)，其中動(dòng)態(tài)域名技術(shù)就可以讓終端設(shè)備有一個(gè)固定的域名URL——雖然每次終端設(shè)備聯(lián)網(wǎng)時(shí)候其公共IP地址都可能不同。有關(guān)動(dòng)態(tài)域名技術(shù)已經(jīng)是公知技術(shù)，對(duì)于本行業(yè)技術(shù)人員很容易從網(wǎng)上搜索和市場(chǎng)上得到這種技術(shù)和服務(wù)，本實(shí)施例也可以采用動(dòng)態(tài)域名來(lái)識(shí)別智能手機(jī)2;另外一個(gè)識(shí)別手機(jī)2的方法是利用手機(jī)號(hào)碼，可以在手機(jī)2啟動(dòng)生物特征識(shí)別裝置功能的時(shí)候主動(dòng)向電子商務(wù)服務(wù)器1的固定公共IP地址主動(dòng)發(fā)起(TCP)連接或(UDP)數(shù)據(jù)包，這樣就可以得到手機(jī)2的當(dāng)時(shí)臨時(shí)公共IP;此刻，向該手機(jī)號(hào)發(fā)送數(shù)據(jù)也就是利用TCP/IP協(xié)議向該臨時(shí)IP發(fā)送數(shù)據(jù)，每次向該固定手機(jī)號(hào)碼發(fā)送數(shù)據(jù)時(shí)候的臨時(shí)IP地址可能不同，但手機(jī)號(hào)碼和手機(jī)本身是固定的，也就可以以手機(jī)作為服務(wù)器端將數(shù)據(jù)發(fā)送到該手機(jī)上了。隨著IPv6的部署和實(shí)施，可以為每個(gè)設(shè)備都預(yù)留了充分的IP地址或移動(dòng)IP。那時(shí)在IPv6中可以直接為手機(jī)分配可以識(shí)別的移動(dòng)IP地址。實(shí)施例2下面結(jié)合圖3說(shuō)明本發(fā)明的另一個(gè)實(shí)施例的生物認(rèn)證系統(tǒng)用戶(hù)基于商戶(hù)的POS機(jī)終端11持有的指紋傳感器以及銀行卡讀寫(xiě)器、鍵盤(pán)輸入裝置使用該生物認(rèn)證系統(tǒng)；其包括有，(1)基于指紋特征的具有域名URL(例如www.chinaunionpay.com)的銀行帳戶(hù)服務(wù)器l、(2)基于指紋特征的具有手機(jī)號(hào)碼(例如86-13601063732)的智能手機(jī)2和(3)公共代理解析裝置3，(1)基于指紋特征的具有域名URL的銀行帳戶(hù)服務(wù)器(也就是受限使用機(jī)器)1，具有存儲(chǔ)器1-2、認(rèn)證模塊1-4、通訊轉(zhuǎn)發(fā)模塊1-5和加密/解密模塊l-7;其中，存儲(chǔ)器1-2，用于預(yù)先存儲(chǔ)用戶(hù)每個(gè)銀行卡的卡號(hào)，以及與每個(gè)卡號(hào)分別一對(duì)一映射綁定的智能手機(jī)2的手機(jī)號(hào)碼，例如下表4的詳細(xì)數(shù)據(jù);用戶(hù)每個(gè)銀行卡的卡號(hào)與用戶(hù)銀行卡的卡號(hào)一對(duì)一映射綁定的智能手機(jī)2的手機(jī)號(hào)碼(這些手機(jī)號(hào)碼互不相同)622138610205623088886-13601063732b22188100002938588886-13385881711955880020014209738886-13581816468表4認(rèn)證模塊1-4，用于啟動(dòng)銀行卡的用戶(hù)登陸具有域名URL(例如www.chinaunio叩ay.com)的銀行帳戶(hù)服務(wù)器1來(lái)使用其特定鑒權(quán)的信息資源，所述銀行帳戶(hù)服務(wù)器1的認(rèn)證模塊1-4，至少收到具有手機(jī)號(hào)碼(例如86-13601063732)的智能手機(jī)2發(fā)來(lái)的，授權(quán)登陸或使用所述(例如www.chinaunio叩ay.com)域名URL的銀行帳戶(hù)商務(wù)服務(wù)器1的一個(gè)生物特征驗(yàn)證數(shù)據(jù)，根據(jù)存儲(chǔ)器1-2上預(yù)先保存的表4上與所述智能手機(jī)2的手機(jī)號(hào)碼(例如86-13601063732)—對(duì)一映射綁定的用戶(hù)銀行卡號(hào)(例如6221386102056230888),認(rèn)證模塊1-4啟動(dòng)所述銀行卡號(hào)(例如6221386102056230888)的用戶(hù)登陸所述(例如www.chinaunionpay.com)域名URL的銀行帳戶(hù)服務(wù)器1，或允許所述銀行卡號(hào)的用戶(hù)使用所述(例如www.chinaunionpay.com)域名URL的銀行帳戶(hù)服務(wù)器1特定鑒權(quán)的資源，例如收到手機(jī)號(hào)碼為86-13601063732的手機(jī)發(fā)送來(lái)的授權(quán)使用所述域名URL的銀行帳戶(hù)服務(wù)器1的一個(gè)生物特征驗(yàn)證數(shù)據(jù)YES,認(rèn)證模塊1-4對(duì)照存儲(chǔ)器上預(yù)先保存的表4的數(shù)據(jù)，根據(jù)與86-13601063732—對(duì)一映射綁定的銀行卡號(hào)是6221386102056230888，啟動(dòng)刷卡刷入銀行卡號(hào)為6221386102056230888的用戶(hù)登陸該銀行帳戶(hù)服務(wù)器1，或允許銀行卡號(hào)6221386102056230888使用該銀行帳戶(hù)服務(wù)器1的特定交易資源，例如轉(zhuǎn)帳到POS機(jī)的商戶(hù)的帳戶(hù)；否則認(rèn)證模塊28l-4拒絕該銀行卡號(hào)登陸所述域名URL的銀行帳戶(hù)服務(wù)器1或使用其特定鑒權(quán)的資源；通訊轉(zhuǎn)發(fā)模塊l-5，用于接收用戶(hù)的銀行卡號(hào)和待認(rèn)證指紋特征數(shù)據(jù)，并根據(jù)銀行帳戶(hù)服務(wù)器1的存儲(chǔ)器上預(yù)先保存的表4上的用戶(hù)銀行卡號(hào)(例如6221386102056230888)—對(duì)一映射綁定的智能手機(jī)2的手機(jī)號(hào)碼(例如86-13601063732)，將待認(rèn)證指紋特征數(shù)據(jù)通過(guò)通訊線(xiàn)路或和設(shè)備100，轉(zhuǎn)發(fā)給具有一對(duì)一映射綁定的手機(jī)號(hào)碼(例如86-13601063732)的智能手機(jī)2以進(jìn)行驗(yàn)證；或是，通訊轉(zhuǎn)發(fā)模塊1-5只接收用戶(hù)銀行卡號(hào)，根據(jù)預(yù)先保存在存儲(chǔ)器上用戶(hù)卡號(hào)以及與其一對(duì)一映射綁定的智能手機(jī)2的手機(jī)號(hào)碼，通知所述手機(jī)號(hào)碼的智能手機(jī)2所述的銀行帳戶(hù)服務(wù)器1請(qǐng)求生物特征驗(yàn)證，并將智能手機(jī)2的手機(jī)號(hào)碼反饋給用戶(hù)POS機(jī)終端11;用戶(hù)POS機(jī)終端11，再將待認(rèn)證指紋特征數(shù)據(jù)直接發(fā)到所述手機(jī)號(hào)碼的智能手機(jī)2請(qǐng)求進(jìn)行生物特征比對(duì)驗(yàn)證，最后將驗(yàn)證結(jié)果數(shù)據(jù)反饋傳送給所述(例如www.chinaunionpay.com)銀行帳戶(hù)服務(wù)器l。加密/解密模塊1-7，用于銀行帳戶(hù)服務(wù)器1(例如www.chinaunionpay.com)與所述(例如86-13601063732)智能手機(jī)2的加密/解密模塊2-7配合，對(duì)它們之間的通訊數(shù)據(jù)進(jìn)行加密/解密和數(shù)字簽名/驗(yàn)證，確保它們之間數(shù)據(jù)傳輸?shù)陌踩?2)基于指紋特征的具有(例如86-13601063732)手機(jī)號(hào)碼的智能手機(jī)2，具有加密/解密模塊2-7、指紋特征比對(duì)模塊2-4和通訊管理模塊2-8;其中，加密/解密模塊2-7，用于第三方CA中心預(yù)先使用其私鑰對(duì)用戶(hù)的指紋特征模板數(shù)據(jù)或和身份信息的整個(gè)數(shù)據(jù)塊進(jìn)行數(shù)字簽名，然后保存在存儲(chǔ)器2-2中，防止所述用戶(hù)的指紋特征模板被偽造或替換為別人的指紋特征模板；以及在進(jìn)行指紋特征身份認(rèn)證時(shí)，先使用第三方CA中心的數(shù)字證書(shū)驗(yàn)證指紋特征模板或和身份信息的正確性、一致性以及完整性。驗(yàn)證數(shù)字簽名通過(guò)后再在所述指紋特征摸板上對(duì)待認(rèn)證指紋特征數(shù)據(jù)進(jìn)行指紋特征數(shù)據(jù)的比對(duì)；另外，加密/解密模塊2-7還用于與銀行帳戶(hù)服務(wù)器l(例如www.chinaunionpay.com)的加密/解密模塊1-7配合，對(duì)它們之間的通訊數(shù)據(jù)進(jìn)行加密/解密和數(shù)字簽名/驗(yàn)證，確保它們之間數(shù)據(jù)通訊的安全性；指紋特征比對(duì)模塊2-4，用于將待認(rèn)證指紋特征數(shù)據(jù)與預(yù)先保存在智能手機(jī)2(例如86-13601063732)中所述銀行卡用戶(hù)的指紋特征模板的至少一部分進(jìn)行比對(duì)并產(chǎn)生一個(gè)匹配驗(yàn)證結(jié)果數(shù)據(jù)；通訊管理模塊2-8,用于管理具有手機(jī)號(hào)碼(例如86-13601063732)的智能手機(jī)2與具有網(wǎng)址URL(例如www.chinaunionpay.com)的電子商務(wù)服務(wù)器1之間的數(shù)據(jù)通訊，所述(例如86-13601063732)智能手機(jī)2的通訊管理模塊2-8，在收到請(qǐng)求登陸銀行帳戶(hù)服務(wù)器1的域名URL(例如www.chinaunio叩ay.com)、以及待認(rèn)證指紋特征數(shù)據(jù)后，經(jīng)過(guò)指紋特征比對(duì)模塊2-4的匹配比對(duì)而產(chǎn)生一個(gè)驗(yàn)證結(jié)果數(shù)據(jù)(YES或NO)，經(jīng)過(guò)加密/解密模塊2-7加密后發(fā)送至所述域名URL(例如胃.chinaunio叩ay.com)的電子商務(wù)服務(wù)器l，即所述(86-13601063732)手機(jī)號(hào)碼的智能手機(jī)2向所述(例如www.chinaunionpay.com)域名URL的銀行帳戶(hù)服務(wù)器1發(fā)送授權(quán)使用所述(例如www.chinaunionpay.com)電子商務(wù)服務(wù)器1的生物特征驗(yàn)證信號(hào)YES數(shù)據(jù)，或發(fā)送生物特征未驗(yàn)證信號(hào)NO數(shù)據(jù)拒絕授權(quán)使用所述域名URL的電子商務(wù)服務(wù)器1。其中，可以執(zhí)行如圖5的步驟來(lái)使用這個(gè)生物認(rèn)證系統(tǒng)(501a)從用戶(hù)POS機(jī)終端11上，待認(rèn)證用戶(hù)刷卡輸入銀行卡號(hào)(例如6221386102056230888)并采集待認(rèn)證指紋特征數(shù)據(jù)，經(jīng)過(guò)預(yù)處理后進(jìn)行細(xì)節(jié)特征點(diǎn)的提取，獲取指紋特征的有效表示數(shù)據(jù)，經(jīng)過(guò)加密后通過(guò)通訊線(xiàn)路或和設(shè)備100向具有域名URL(例如www.chinaunionpay.com)的銀行帳戶(hù)服務(wù)器1(也就是受限使用機(jī)器)發(fā)送，請(qǐng)求認(rèn)證登陸使用所述銀行帳戶(hù)服務(wù)器1或使用其銀行卡號(hào)特定鑒權(quán)的信息資源，如操作轉(zhuǎn)帳信息；(502b)使用加密/解密模塊1-7解密，根據(jù)預(yù)先保存在銀行帳戶(hù)服務(wù)器1(例如www.chinaunionpay.com)的存儲(chǔ)器上表4所述用戶(hù)的銀行卡號(hào)(例如6221386102056230888)，以及與其一對(duì)一映射綁定的手機(jī)號(hào)碼(例如86-13601063732)，所述銀行帳戶(hù)服務(wù)器1只接收用戶(hù)的銀行卡號(hào)并經(jīng)過(guò)加密/解密模塊l-7加密后向所述手機(jī)號(hào)碼的智能手機(jī)2發(fā)送指紋特征驗(yàn)證請(qǐng)求消息，并將所述手機(jī)號(hào)碼經(jīng)過(guò)加密/解密模塊1-7加密后反饋發(fā)送給POS機(jī)終端11;(503c)用戶(hù)的P0S機(jī)終端11解密后，將所述銀行卡的用戶(hù)的待認(rèn)證指紋特征數(shù)據(jù)加密后直接傳送到所述(例如86-13601063732)手機(jī)號(hào)碼的智能手機(jī)2上；(504d)智能手機(jī)2的加密/解密模塊2-7解密后，指紋特征比對(duì)模塊2-4，將待認(rèn)證的指紋特征數(shù)據(jù)與保存在智能手機(jī)2的存儲(chǔ)器中的用戶(hù)的指紋特征模板的至少一部分比對(duì)；如果比對(duì)產(chǎn)生了匹配，所述(例如86-13601063732)智能手機(jī)2生成授權(quán)使用所述(例如www.chinaunio叩ay.com)銀行帳戶(hù)服務(wù)器1的生物特征驗(yàn)證信號(hào)YES;如果比對(duì)沒(méi)有產(chǎn)生匹配，所述智能手機(jī)2生成拒絕授權(quán)使用銀行帳戶(hù)服務(wù)器1的生物特征未驗(yàn)證信號(hào)NO;(505e)所述(例如86-13601063732)手機(jī)號(hào)碼的智能手機(jī)2向所述(例如www.chinaunio叩ay.com)的銀行帳戶(hù)服務(wù)器1經(jīng)過(guò)加密/解密模塊2-7加密后，發(fā)送授權(quán)使用所述(例如www.chinaunionpay.com)銀行帳戶(hù)服務(wù)器1的生物特征驗(yàn)證信號(hào)YES授權(quán)數(shù)據(jù)，或發(fā)送所述手機(jī)號(hào)碼的智能手機(jī)2的生物特征未驗(yàn)證信號(hào)NO數(shù)據(jù)拒絕授權(quán)使用所述的銀行帳戶(hù)服務(wù)器1;(506f)加密/解密模塊1-7解密后，根據(jù)收到的發(fā)送源的手機(jī)號(hào)碼(例如86-13601063732)，以及至少所述智能手機(jī)2對(duì)所述(例如www.chinaunionpay.com)銀行帳戶(hù)服務(wù)器1的生物特征驗(yàn)證信號(hào)YES授權(quán)數(shù)據(jù)，銀行帳戶(hù)服務(wù)器1根據(jù)表4啟動(dòng)與所述手機(jī)號(hào)(例如86-13601063732)—對(duì)一映射綁定的所述銀行卡號(hào)(例如6221386102056230888)的用戶(hù)登陸銀行帳戶(hù)服務(wù)器1或使用其特定鑒權(quán)的資源，例如將所述銀行卡號(hào)(例如6221386102056230888)的金額轉(zhuǎn)帳到POS機(jī)的商戶(hù)的銀行帳戶(hù)；如果收到智能手機(jī)2對(duì)銀行帳戶(hù)服務(wù)器1產(chǎn)生的生物特征未驗(yàn)證信號(hào)NO拒絕授權(quán)數(shù)據(jù)、或是銀行帳戶(hù)服務(wù)器1在有效時(shí)間內(nèi)未收到手機(jī)2發(fā)送來(lái)的對(duì)所述銀行帳戶(hù)服務(wù)器1的生物特征驗(yàn)證信號(hào)YES授權(quán)數(shù)據(jù)，則銀行帳戶(hù)服務(wù)器1拒絕所述銀行卡號(hào)的用戶(hù)的登陸請(qǐng)求。實(shí)際部署中，可以在銀行的帳戶(hù)服務(wù)器1的用戶(hù)銀行卡號(hào)認(rèn)證的數(shù)據(jù)表中的卡號(hào)數(shù)據(jù)項(xiàng)和密碼數(shù)據(jù)項(xiàng)下增加指紋認(rèn)證數(shù)據(jù)項(xiàng)，用于用戶(hù)在指紋認(rèn)證數(shù)據(jù)項(xiàng)中添加或修改手機(jī)2的手機(jī)號(hào)碼數(shù)據(jù)，形成傳統(tǒng)用戶(hù)名/密碼認(rèn)證和本發(fā)明的指紋認(rèn)證的雙因子認(rèn)證機(jī)制。用戶(hù)在POS機(jī)11刷卡消費(fèi)時(shí)，可以輸入密碼的認(rèn)證和本發(fā)明的實(shí)施方式雙因子認(rèn)證----用戶(hù)首先進(jìn)行傳統(tǒng)的密碼認(rèn)證，然后再進(jìn)行本實(shí)施例的指紋認(rèn)證。(3)公共代理解析裝置3，如圖3的陰影部分顯示，至少包括有公共注冊(cè)模塊3-4和代理解析模塊3-5;其中，公共注冊(cè)模塊3-4，用于用戶(hù)登記其智能手機(jī)2的手機(jī)號(hào)碼(例如86-13601063732)，然后申請(qǐng)一個(gè)等效的、用于隱藏其地址目標(biāo)的、唯一對(duì)應(yīng)的代理ID識(shí)別號(hào)(例如liuhongli88888)，并將這兩個(gè)對(duì)應(yīng)綁定的數(shù)據(jù)保存在存儲(chǔ)器3-2上。之后在用戶(hù)P0S機(jī)終端ll或銀行帳戶(hù)服務(wù)器l(例如www.chinaunio叩ay.com)上，用戶(hù)可以使用代理ID識(shí)別號(hào)(例如liuhongli88888)替代智能手機(jī)2的手機(jī)號(hào)碼(例如86-13601063732)，這樣用戶(hù)個(gè)人的手機(jī)號(hào)碼不必公開(kāi)；代理解析模塊3-5，用于代理智能手機(jī)2，管理其與用戶(hù)P0S機(jī)終端11或銀行帳戶(hù)服務(wù)器1通訊，并對(duì)通過(guò)公共代理解析裝置3通訊的數(shù)據(jù)包中的手機(jī)號(hào)碼與代理ID識(shí)別號(hào)進(jìn)行等效翻譯替換，同時(shí)過(guò)濾掉不合法的數(shù)據(jù)包來(lái)保護(hù)智能手機(jī)2本身的手機(jī)號(hào)碼不被直接攻擊；在智能手機(jī)2通過(guò)公共代理解析裝置3向用戶(hù)POS機(jī)終端11或銀行帳戶(hù)服務(wù)器1發(fā)送通訊數(shù)據(jù)時(shí)，公共代理解析裝置3將通訊數(shù)據(jù)包中發(fā)送源的智能手機(jī)2的手機(jī)號(hào)碼等效翻譯替換成代理ID識(shí)別號(hào)，然后將通訊數(shù)據(jù)包轉(zhuǎn)發(fā)給用戶(hù)POS機(jī)終端11或銀行帳戶(hù)服務(wù)器l;同樣相反的，當(dāng)用戶(hù)POS機(jī)終端11或銀行帳戶(hù)服務(wù)器1使用代理ID識(shí)別號(hào)通過(guò)公共代理解析裝置3向智能手機(jī)2發(fā)送通訊數(shù)據(jù)的時(shí)候，公共代理解析裝置3將通訊數(shù)據(jù)包中發(fā)送目的地的代理ID識(shí)別號(hào)等效翻譯替換成為智能手機(jī)2的手機(jī)號(hào)碼，然后將通訊數(shù)據(jù)包轉(zhuǎn)發(fā)給這個(gè)手機(jī)號(hào)碼的智能手機(jī)2;例如，銀行卡號(hào)6221386102056230888的用戶(hù)的手機(jī)號(hào)碼是86-13601063732，申請(qǐng)了代理ID識(shí)別號(hào)是liuhongli88888，那么，在銀行帳戶(hù)服務(wù)器www.chinaunio叩ay.com上，保存的銀行卡號(hào)6221386102056230888—對(duì)一映射綁定的手機(jī)號(hào)碼86-13601063732更新替換為代理ID識(shí)別號(hào)liuhongli88888,這樣，銀行帳戶(hù)服務(wù)器ww.chinaunio叩ay.com上銀行卡號(hào)6221386102056230888一對(duì)一映射綁定的是liuhongli88888在智能手機(jī)86-13601063732通過(guò)公共代理解析裝置3向用戶(hù)POS機(jī)終端11或銀行帳戶(hù)服務(wù)器www.chinaunio叩ay.com發(fā)送通訊數(shù)據(jù)時(shí)，公共代理解析裝置3將通訊數(shù)據(jù)包中發(fā)送源的智能手機(jī)的手機(jī)號(hào)碼86-13601063732等效翻譯替換成代理ID識(shí)別號(hào)liuhongli88888，然后將通訊數(shù)據(jù)包轉(zhuǎn)發(fā)給用戶(hù)POS機(jī)終端11或銀行帳戶(hù)服務(wù)器www.chinaunio叩ay.conu同樣相反的，當(dāng)用戶(hù)POS機(jī)終端11或銀行帳戶(hù)服務(wù)器www.chinaunionpay.com使用代理ID識(shí)別號(hào)liuhongli88888通過(guò)公共代理解析裝置3向智能手機(jī)86-13601063732發(fā)送通訊數(shù)據(jù)的時(shí)候，公共代理解析裝置3將通訊數(shù)據(jù)包中發(fā)送目的地的代理ID識(shí)別號(hào)liuhongli88888等效翻譯替換成為智能手機(jī)2的手機(jī)號(hào)碼86-13601063732，然后將通訊數(shù)據(jù)包轉(zhuǎn)發(fā)給智能手機(jī)86-13601063732;代理解析模塊3-5既可以是集中式的，也可以是分布式的；當(dāng)用戶(hù)手機(jī)號(hào)碼都是屬于一個(gè)城市的時(shí)候，可以在這個(gè)城市采用一個(gè)集中式的代理解析模塊3-5，代理該城市的所有手機(jī)生物認(rèn)證裝置2;但是，如果用戶(hù)手機(jī)號(hào)碼是全國(guó)分布的，就需要代理解析模塊3-5分布式到各個(gè)城市，并需要將代理ID識(shí)別號(hào)事先分成不同的城市域，例如北京的代理ID識(shí)別號(hào)都包括010為首或以.bj為尾，山東以0532為首或以.sd為尾，并建立一個(gè)集中各個(gè)城市域的檢索表與各個(gè)城市的域代理解析模塊映射，當(dāng)一個(gè)代理ID在別的城市請(qǐng)求代理無(wú)法得到該城市域下的代理解析，可以向集中各個(gè)城市域的檢索表査詢(xún)所屬城市域的代理解析模塊，然后請(qǐng)求該域代理解析模塊進(jìn)行代理解析。實(shí)施例3結(jié)合圖4的步驟說(shuō)明本發(fā)明的生物認(rèn)證方法的一個(gè)實(shí)施例。(401a)從裝配虹膜傳感器和鍵盤(pán)的邊防檢査執(zhí)法部門(mén)的邊檢客戶(hù)終端電腦11上，待認(rèn)證外籍入境人士輸入其簽證號(hào)碼并采集待認(rèn)證虹膜生物特征數(shù)據(jù)，經(jīng)過(guò)預(yù)處理后進(jìn)行細(xì)節(jié)特征點(diǎn)的提取，獲取虹膜生物特征的有效表示數(shù)據(jù)，通過(guò)通訊線(xiàn)路或和設(shè)備100向具有固定IP地址的(受限使用機(jī)器)簽證服務(wù)器1發(fā)送，請(qǐng)求認(rèn)證登陸所述固定IP地址的簽證服務(wù)器1或使用其特定鑒權(quán)的資源，例如顯示該入境人士的簽證信息記錄，以上通訊數(shù)據(jù)都經(jīng)過(guò)發(fā)送方與接收方的加密/解密模塊的加密/數(shù)字簽名或解密/驗(yàn)證簽名；(402b)所述固定IP地址的簽證服務(wù)器1接收簽證號(hào)碼和待認(rèn)證虹膜生物特征數(shù)據(jù)，根據(jù)保存在所述固定IP地址的簽證服務(wù)器1的存儲(chǔ)器上的簽證號(hào)碼以及與其一對(duì)一映射綁定的動(dòng)態(tài)域名URL，將待認(rèn)證虹膜生物特征數(shù)據(jù)通過(guò)通訊線(xiàn)路或和設(shè)備100，轉(zhuǎn)發(fā)給所述動(dòng)態(tài)域名URL的外籍入境人士的筆記本電腦2,其中所述固定IP地址的簽證服務(wù)器1不必保存待認(rèn)證的虹膜生物特征數(shù)據(jù)，以上通訊數(shù)據(jù)都經(jīng)過(guò)發(fā)送方與接收方的加密/解密模塊的加密/數(shù)字簽名或解密/驗(yàn)證簽名；(403c)所述動(dòng)態(tài)域名URL的外籍入境人士的筆記本電腦2的虹膜生物特征比對(duì)模塊，將所述待認(rèn)證虹膜生物特征數(shù)據(jù)與預(yù)先保存在動(dòng)態(tài)域名URL的外籍入境人士的筆記本電腦2的存儲(chǔ)器中的外籍入境人士的虹膜生物特征模板的至少一部分比對(duì)；其中，之前使館在簽發(fā)該簽證時(shí)候使用使館的私鑰對(duì)外籍入境人士的虹膜特征模板數(shù)據(jù)和身份信息的整個(gè)數(shù)據(jù)塊進(jìn)行了數(shù)字簽名，然后保存在所述動(dòng)態(tài)域名URL的外籍入境人士的筆記本電腦2的存儲(chǔ)器中，防止所述外籍入境人士的虹膜特征模板和身份信息被偽造或替換為別人的虹膜特征模板，所以在使用外籍入境人士的虹膜生物特征模板比對(duì)之前，首先使用使館的數(shù)字證書(shū)在加密/解密模塊2-7驗(yàn)證虹膜特征模板和身份信息的正確性、一致性以及完整性。數(shù)字簽名驗(yàn)證通過(guò)后，再在所述虹膜特征摸板上對(duì)待認(rèn)證虹膜特征數(shù)據(jù)進(jìn)行虹膜特征數(shù)據(jù)的比對(duì)；如果比對(duì)產(chǎn)生了匹配，所述動(dòng)態(tài)域名URL的外籍入境人士的筆記本電腦2生成授權(quán)使用所述固定IP地址的簽證服務(wù)器1的生物特征驗(yàn)證信號(hào)YES;如果比對(duì)沒(méi)有產(chǎn)生匹配，所述動(dòng)態(tài)域名URL的外籍入境人士的筆記本電腦2則生成拒絕授權(quán)使用所述固定IP地址的簽證服務(wù)器1的生物特征未驗(yàn)證信號(hào)NO;以上通訊數(shù)據(jù)都經(jīng)過(guò)發(fā)送方與接收方的加密/解密模塊的加密/數(shù)字簽名或解密/驗(yàn)證簽名；(404d)所述動(dòng)態(tài)域名URL的外籍入境人士的筆記本電腦2向所述固定IP地址的簽證服務(wù)器1發(fā)送授權(quán)使用所述固定IP地址的簽證服務(wù)器1的生物特征驗(yàn)證信號(hào)YES授權(quán)數(shù)據(jù)，或發(fā)送所述動(dòng)態(tài)域名URL的外籍入境人士的筆記本電腦2的生物特征未驗(yàn)證信號(hào)數(shù)據(jù)NO拒絕授權(quán)使用所述固定IP地址的簽證服務(wù)器1;以上通訊數(shù)據(jù)都經(jīng)過(guò)發(fā)送方與接收方的加密/解密模塊的加密/數(shù)字簽名或解密/驗(yàn)證簽名；(405e)根據(jù)收到的發(fā)送源的動(dòng)態(tài)域名URL的電腦2，和至少所述動(dòng)態(tài)域名URL的外籍入境人士的筆記本電腦2對(duì)所述固定IP地址的簽證服務(wù)器1的生物特征驗(yàn)證信號(hào)YES授權(quán)數(shù)據(jù)，所述簽證服務(wù)器1啟動(dòng)與所述動(dòng)態(tài)域名URL—對(duì)一映射綁定的所述簽證號(hào)碼的外籍人士登陸顯示所述簽證服務(wù)器1特定鑒權(quán)的資源，例如顯示該簽證號(hào)碼的入境人士的年齡、入境的記錄等；如果收到包含所述動(dòng)態(tài)域名URL的外籍入境人士的筆記本電腦2對(duì)所述固定IP地址的簽證服務(wù)器1的生物特征未驗(yàn)證信號(hào)NO拒絕授權(quán)數(shù)據(jù)，或者所述固定IP地址的簽證服務(wù)器1在有效時(shí)間內(nèi)未收到動(dòng)態(tài)域名URL的外籍入境人士的筆記本電腦2發(fā)送來(lái)的對(duì)所述固定IP地址的簽證服務(wù)器1的生物特征驗(yàn)證信號(hào)授權(quán)數(shù)據(jù)，則所述固定IP地址的簽證服務(wù)器1拒絕所述外籍入境人士的登陸請(qǐng)求，也就可以判定該外籍入境人士為非法入境；以上通訊數(shù)據(jù)都經(jīng)過(guò)發(fā)送方與接收方的加密/解密模塊的加密/數(shù)字簽名或解密/驗(yàn)證簽名。本實(shí)施例中，可以使用動(dòng)態(tài)域名URL來(lái)識(shí)別發(fā)送目的地，但是無(wú)法識(shí)別發(fā)送源，所以必須組合所述動(dòng)態(tài)域名URL的外籍入境人士的筆記本電腦2的數(shù)字簽名、數(shù)字證書(shū)來(lái)識(shí)別。當(dāng)然也可以通過(guò)組合動(dòng)態(tài)域名URL的外籍入境人士的筆記本電腦2的CPU編號(hào)、存儲(chǔ)器編號(hào)、網(wǎng)卡編號(hào)來(lái)識(shí)別。這些技術(shù)在本領(lǐng)域都是公知的。實(shí)施例4參照?qǐng)D5顯示的步驟說(shuō)明本發(fā)明的生物認(rèn)證方法的另一個(gè)實(shí)施例(501a)從證券交易終端機(jī)11上，待認(rèn)證證券交易人員輸入證券帳戶(hù)號(hào)碼，并采集證券交易人員待認(rèn)證指紋特征數(shù)據(jù)，經(jīng)過(guò)預(yù)處理后進(jìn)行細(xì)節(jié)特征點(diǎn)的提取，獲取指紋特征的有效表示數(shù)據(jù)，通過(guò)通訊線(xiàn)路或和設(shè)備100向具有固定IP地址的證券交易管理服務(wù)器1(受限使用機(jī)器)發(fā)送，請(qǐng)求認(rèn)證登陸使用所述證券交易管理服務(wù)器1使用其特定鑒權(quán)的資源，如進(jìn)行證券交易或和轉(zhuǎn)帳；(502b)根據(jù)預(yù)先保存在證券交易管理服務(wù)器1的存儲(chǔ)器上所述證券交易人員的證券帳戶(hù)號(hào)碼，以及與其一對(duì)一映射綁定的手機(jī)號(hào)碼，所述證券交易管理服務(wù)器l只接收證券交易人員的證券帳戶(hù)號(hào)碼并向所述手機(jī)號(hào)碼的智能手機(jī)2發(fā)送指紋特征驗(yàn)證請(qǐng)求消息，并將所述手機(jī)號(hào)碼反饋發(fā)送給證券交易終端機(jī)11;(503c)證券交易終端機(jī)11將所述證券交易人員的待認(rèn)證指紋特征數(shù)據(jù)直接傳送到所述手機(jī)號(hào)碼的智能手機(jī)2上；(504d)智能手機(jī)2的生物特征比對(duì)模塊，將待認(rèn)證的指紋特征數(shù)據(jù)與保存在手機(jī)2的存儲(chǔ)器中的證券交易人員的指紋特征模板的至少一部分比對(duì)；如果比對(duì)產(chǎn)生了匹配，所述智能手機(jī)2生成授權(quán)使用所述證券交易管理服務(wù)器1的生物特征驗(yàn)證信號(hào)YES;如果比對(duì)沒(méi)有產(chǎn)生匹配，所述智能手機(jī)2生成拒絕授權(quán)使用證券交易管理服務(wù)器1的生物特征未驗(yàn)證信號(hào)NO;(505e)所述手機(jī)號(hào)碼的智能手機(jī)2向所述固定IP地址的證券交易管理服務(wù)器1發(fā)送授權(quán)使用所述證券交易管理服務(wù)器1的生物特征驗(yàn)證信號(hào)YES授權(quán)數(shù)據(jù)，或發(fā)送所述手機(jī)號(hào)碼的智能手機(jī)2的生物特征未驗(yàn)證信號(hào)NO數(shù)據(jù)拒絕授權(quán)使用所述固定IP地址的銀證券交易管理服務(wù)器1;(506f)根據(jù)收到的發(fā)送源的手機(jī)號(hào)碼，以及至少所述智能手機(jī)2對(duì)所述證券交易管理服務(wù)器1的生物特征驗(yàn)證信號(hào)YES授權(quán)數(shù)據(jù)，證券交易管理服務(wù)器1啟動(dòng)與所述手機(jī)號(hào)一對(duì)一映射綁定的所述證券帳戶(hù)號(hào)碼的證券交易人員登陸證券交易管理服務(wù)器1使用其特定鑒權(quán)的資源，例如進(jìn)行證券交易。如果收到智能手機(jī)2對(duì)證券交易管理服務(wù)器1產(chǎn)生的生物特征未驗(yàn)證信號(hào)NO拒絕授權(quán)數(shù)據(jù)、或是證券交易管理服務(wù)器1在有效時(shí)間內(nèi)未收到手機(jī)2發(fā)送來(lái)的對(duì)所述證券交易管理服務(wù)器1的生物特征驗(yàn)證信號(hào)YES授權(quán)數(shù)據(jù)，則證券交易管理服務(wù)器1拒絕所述銀行卡號(hào)的用戶(hù)的登陸請(qǐng)求。實(shí)施例5參照?qǐng)D6顯示的步驟說(shuō)明本發(fā)明的生物認(rèn)證方法的再一個(gè)實(shí)施例-其中，社保服務(wù)器1的存儲(chǔ)器上預(yù)選保存了用戶(hù)的社?？ㄌ?hào)，以及與其一對(duì)一映射綁定的用戶(hù)家庭電腦2的動(dòng)態(tài)域名；(601a)從社保定點(diǎn)藥店的電腦終端ll上，待認(rèn)證社保用戶(hù)刷卡或輸入社保服務(wù)器l(受限使用機(jī)器)的IP地址并采集待認(rèn)證臉譜生物特征數(shù)據(jù)，經(jīng)過(guò)預(yù)處理后進(jìn)行細(xì)節(jié)特征點(diǎn)的提取，獲取人臉臉譜生物特征的有效表示數(shù)據(jù)，利用鍵盤(pán)輸入用戶(hù)的家庭電腦2的動(dòng)態(tài)域名并通過(guò)通訊線(xiàn)路或和設(shè)備100，連同電腦終端11的IP地址，向具有動(dòng)態(tài)域名的的家庭電腦2發(fā)送請(qǐng)求認(rèn)證登陸使用社保服務(wù)器1或使用其特定鑒權(quán)的資源，例如，從其社保帳戶(hù)扣款購(gòu)買(mǎi)醫(yī)保優(yōu)惠折扣的醫(yī)藥；(602b)使用所述動(dòng)態(tài)域名的家庭電腦2中安裝的生物特征比對(duì)模塊，將待認(rèn)證的人臉臉譜生物特征數(shù)據(jù)與保存在家庭電腦2的存儲(chǔ)器中用戶(hù)的人臉臉譜生物特征模板的至少一部分比對(duì)；如果比對(duì)產(chǎn)生了匹配，所述動(dòng)態(tài)域名的家庭電腦2生成授權(quán)使用所述IP地址社保服務(wù)器1生物特征驗(yàn)證信號(hào)YES;如果比對(duì)沒(méi)有產(chǎn)生匹配，則所述動(dòng)態(tài)域名的家庭電腦2則生成拒絕授權(quán)使用社保服務(wù)器1的生物特征未驗(yàn)證信號(hào)NO;(603c)所述動(dòng)態(tài)域名的家庭電腦2，連同個(gè)人電腦11的IP地址數(shù)據(jù)，向所述固定IP地址的社保服務(wù)器1發(fā)送授權(quán)使用(505e)所述社保服務(wù)器1的生物特征驗(yàn)證信號(hào)YES數(shù)據(jù)，或發(fā)送所述動(dòng)態(tài)域名家庭電腦2的生物特征未驗(yàn)證信號(hào)NO數(shù)據(jù)拒絕授權(quán)使用所述IP地址的社保服務(wù)器1;(604d)根據(jù)收到的發(fā)送源的家庭電腦2的動(dòng)態(tài)域名，以及至少所述家庭電腦2對(duì)所述社保服務(wù)器1的生物特征驗(yàn)證信號(hào)YES授權(quán)數(shù)據(jù)，社保服務(wù)器1啟動(dòng)與所述動(dòng)態(tài)域名置一對(duì)一映射綁定的所述社?？ㄌ?hào)用戶(hù)，從所述IP地址的客戶(hù)終端11上，使用社保服務(wù)器1或使用其特定鑒權(quán)的資源，例如，從其社保帳戶(hù)扣款購(gòu)買(mǎi)醫(yī)保優(yōu)惠折扣或免費(fèi)的醫(yī)藥服務(wù)；如果收到包含所述家庭電腦2對(duì)所述社保服務(wù)器1的生物特征未驗(yàn)證信號(hào)NO拒絕授權(quán)數(shù)據(jù)，則社保服務(wù)器1拒絕與所述家庭電腦2的動(dòng)態(tài)域名一對(duì)一映射綁定的所述社?？ㄌ?hào)的用戶(hù)的登陸請(qǐng)求。本實(shí)施例中，可以使用動(dòng)態(tài)域名URL來(lái)識(shí)別發(fā)送目的地，但是無(wú)法識(shí)別發(fā)送源，所以必須組合所述動(dòng)態(tài)域名家庭電腦2的數(shù)字簽名、數(shù)字證書(shū)或家庭電腦2的CPU編號(hào)、存儲(chǔ)器編號(hào)、網(wǎng)卡編號(hào)來(lái)識(shí)別。實(shí)施例6再參照?qǐng)D6顯示的步驟說(shuō)明本發(fā)明的生物認(rèn)證方法的另一個(gè)實(shí)施例，其中，用戶(hù)客戶(hù)終端ID識(shí)別號(hào)與生物認(rèn)證裝置的ID識(shí)別號(hào)相同，也就是以生物認(rèn)證裝置2(這里是手機(jī))本身同時(shí)作為客戶(hù)終端11(這里是相同的手機(jī))；手機(jī)銀行服務(wù)器1的存儲(chǔ)器上預(yù)選保存了如表4所示用戶(hù)的銀行卡號(hào)，以及與其一對(duì)一映射綁定的用戶(hù)手機(jī)2的手機(jī)號(hào)碼。步驟如下(601a)用戶(hù)從作為客戶(hù)終端的個(gè)人智能手機(jī)ll上，待認(rèn)證手機(jī)銀行用戶(hù)使用手機(jī)鍵盤(pán)輸入手機(jī)銀行帳戶(hù)服務(wù)器1(即受限使用機(jī)器)的網(wǎng)址URL(例如www.cmbchina.com)并采集待認(rèn)證指紋生物特征原始數(shù)據(jù)，經(jīng)過(guò)預(yù)處理后進(jìn)行細(xì)節(jié)特征點(diǎn)的提取，獲取指紋生物特征的有效表示數(shù)據(jù)。這時(shí)，作為客戶(hù)終端11的手機(jī)與同時(shí)作為生物認(rèn)證裝置2的手機(jī)合并，就是智能手機(jī)11或2本身，默認(rèn)情況下就是智能手機(jī)本機(jī)的本機(jī)手機(jī)號(hào)碼(例如86-13601063732)，通過(guò)合并的系統(tǒng)總線(xiàn)/300400，向本機(jī)也作為生物認(rèn)證裝置的智能手機(jī)2發(fā)送請(qǐng)求認(rèn)證登陸使用手機(jī)銀行帳戶(hù)服務(wù)器1(例如www.cmbchirm.com)或使用其特定鑒權(quán)的資源，例如，從其手機(jī)銀行帳戶(hù)上轉(zhuǎn)帳；(602b)使用本機(jī)(例如86-13601063732)作為生物認(rèn)證裝置的智能手機(jī)2的指紋特征比對(duì)模塊，將待認(rèn)證的指紋生物特征數(shù)據(jù)與本機(jī)作為生物認(rèn)證裝置的智能手機(jī)2的保存在存儲(chǔ)器中用戶(hù)的指紋生物特征模板的至少一部分比對(duì)；如果比對(duì)產(chǎn)生了匹配，所述本機(jī)(例如86-13601063732)作為生物認(rèn)證裝置的智能手機(jī)2生成授權(quán)使用所述(例如www.cmbchina.com)網(wǎng)址URL手機(jī)銀行帳戶(hù)服務(wù)器1生物特征驗(yàn)證信號(hào)YES;如果比對(duì)沒(méi)有產(chǎn)生匹配，則所述本機(jī)作為生物認(rèn)證裝置的智能手機(jī)2則生成拒絕授權(quán)使用手機(jī)銀行帳戶(hù)服務(wù)器1的生物特征未驗(yàn)證信號(hào)NO;(603c)所述本機(jī)(例如86-13601063732)作為生物認(rèn)證裝置的智能手機(jī)2，向所述網(wǎng)址URL(例如www.cmbchina.com)的手機(jī)銀行帳戶(hù)服務(wù)器1發(fā)送授權(quán)使用所述手機(jī)銀行帳戶(hù)服務(wù)器1的生物特征驗(yàn)證信號(hào)YES數(shù)據(jù)，或發(fā)送所述本機(jī)作為生物認(rèn)證裝置的智能手機(jī)2的生物特征未驗(yàn)證信號(hào)NO數(shù)據(jù)拒絕授權(quán)使用所述網(wǎng)址URL的手機(jī)銀行帳戶(hù)服務(wù)器l;(604d)根據(jù)收到的發(fā)送源的本機(jī)作為生物認(rèn)證裝置的智能手機(jī)2的手機(jī)號(hào)碼(例如86-13601063732),以及至少所述本機(jī)(例如86-13601063732)作為生物認(rèn)證裝置的智能手機(jī)2對(duì)所述(例如ww.crabchina.com)手機(jī)銀行帳戶(hù)服務(wù)器1的生物特征驗(yàn)證信號(hào)YES授權(quán)數(shù)據(jù)，手機(jī)銀行帳戶(hù)服務(wù)器1根據(jù)表4啟動(dòng)與所述本機(jī)作為生物認(rèn)證裝置的智能手機(jī)2的手機(jī)號(hào)碼(例如86-13601063732)—對(duì)一映射綁定的所述銀行卡號(hào)(例如6221386102056230888)的用戶(hù)，從所述(例如86-13601063732)手機(jī)號(hào)碼作為客戶(hù)終端11本機(jī)上，使用手機(jī)銀行帳戶(hù)服務(wù)器1(例如www.cmbchina.com)或使用其特定鑒權(quán)的資源，例如，從其銀行卡號(hào)6221386102056230888上轉(zhuǎn)帳；如果收到包含所述本機(jī)作為生物認(rèn)證裝置的智能手機(jī)2(例如86-13601063732)對(duì)所述手機(jī)銀行帳戶(hù)服務(wù)器l的生物特征未驗(yàn)證信號(hào)NO拒絕授權(quán)數(shù)據(jù)，則手機(jī)銀行帳戶(hù)服務(wù)器1(例如www.cmbchina.com)拒絕與所述向本機(jī)作為生物認(rèn)證裝置的智能手機(jī)2的手機(jī)號(hào)碼一對(duì)一映射綁定的所述銀行卡號(hào)(例如6221386102056230888)的用戶(hù)的登陸請(qǐng)求。本實(shí)施例的認(rèn)證系統(tǒng)結(jié)構(gòu)示意圖如圖7所顯示，其中智能手機(jī)中的用戶(hù)客戶(hù)終端11與生物認(rèn)證裝置2的部分硬件是合并共享的，包括處理器2-1/11-1，存儲(chǔ)器2-2/11-2，系統(tǒng)總線(xiàn)300/400，數(shù)據(jù)通訊接口2-3/11-3;手機(jī)上還包括以這些共享硬件為基礎(chǔ)組成的程序代碼功能模塊指紋特征提取模塊2-5，加密/解密模塊2-7，指紋特征比對(duì)模塊2-4，通訊管理模塊2-6;手機(jī)銀行帳戶(hù)服務(wù)器1上包括認(rèn)證模塊1-4，加密/解密模塊1-7;這些功能模塊在前面的實(shí)施例中已經(jīng)做了說(shuō)明。雖然結(jié)合附圖描述了本發(fā)明的幾個(gè)實(shí)施例，但是本領(lǐng)域普通技術(shù)人員可以在所附權(quán)利要求的范圍內(nèi)作出各種變形或修改。例如，可以變換其他的具體生物認(rèn)證的方式，包括人體的指紋特征鑒別數(shù)據(jù)、臉譜特征識(shí)別數(shù)據(jù)、視網(wǎng)膜圖象特征識(shí)別數(shù)據(jù)、掌紋識(shí)別數(shù)據(jù)、掌背靜脈脈絡(luò)圖象識(shí)別數(shù)據(jù)、語(yǔ)言識(shí)別數(shù)據(jù)、筆跡識(shí)別數(shù)據(jù)，步態(tài)，DNA，等等。生物認(rèn)證裝置的硬件不僅僅可以是手機(jī)，PDA，掌上電腦，筆記本電腦，臺(tái)式電腦，而且可以是專(zhuān)用的生物認(rèn)證裝置獨(dú)立設(shè)備，甚至是數(shù)字家電設(shè)備，這些硬件也適合公共代理解析裝置、受限使用機(jī)器，它們都是常規(guī)計(jì)算機(jī)系統(tǒng)、微控制器系統(tǒng)或嵌入系統(tǒng)結(jié)構(gòu)，如圖8所顯示。說(shuō)明書(shū)中所描述的只是該發(fā)明的具體實(shí)施方式，各種舉例說(shuō)明不對(duì)發(fā)明的實(shí)質(zhì)內(nèi)容構(gòu)成限制，所屬
技術(shù)領(lǐng)域：
的普通技術(shù)人員在閱讀了說(shuō)明書(shū)后可以對(duì)以上所敘述的具體實(shí)施方式做修改或變形，而不背離發(fā)明的實(shí)質(zhì)和范圍。權(quán)利要求1、一種基于生物特征的認(rèn)證系統(tǒng)，其特征在于用戶(hù)基于在終端持有的生物傳感器和ID識(shí)別號(hào)輸入裝置使用該系統(tǒng)；包括有，(1)基于生物特征的具有ID識(shí)別號(hào)的受限使用機(jī)器，至少具有存儲(chǔ)器、認(rèn)證模塊；其中，存儲(chǔ)器，用于預(yù)先存儲(chǔ)每個(gè)用戶(hù)的ID識(shí)別號(hào)，以及與該用戶(hù)ID識(shí)別號(hào)唯一對(duì)應(yīng)綁定的生物認(rèn)證裝置的ID識(shí)別號(hào)；認(rèn)證模塊，用于啟動(dòng)用戶(hù)登陸具有ID識(shí)別號(hào)的受限使用機(jī)器來(lái)使用其特定鑒權(quán)的信息資源，所述受限使用機(jī)器的認(rèn)證模塊，至少收到具有ID識(shí)別號(hào)的生物認(rèn)證裝置發(fā)來(lái)的，授權(quán)登陸或使用所述ID識(shí)別號(hào)的受限使用機(jī)器的一個(gè)生物特征驗(yàn)證數(shù)據(jù)，根據(jù)存儲(chǔ)器上預(yù)先保存的與所述生物認(rèn)證裝置ID識(shí)別號(hào)對(duì)應(yīng)綁定的用戶(hù)ID識(shí)別號(hào)，認(rèn)證模塊啟動(dòng)所述ID識(shí)別號(hào)的用戶(hù)登陸所述ID識(shí)別號(hào)的受限使用機(jī)器，或允許所述ID識(shí)別號(hào)用戶(hù)使用所述ID識(shí)別號(hào)的受限使用機(jī)器特定鑒權(quán)的資源；否則認(rèn)證模塊拒絕用戶(hù)登陸所述ID識(shí)別號(hào)的受限使用機(jī)器或使用其特定鑒權(quán)的資源；(2)基于生物特征的具有ID識(shí)別號(hào)的生物認(rèn)證裝置，至少具有生物特征比對(duì)模塊、通訊管理模塊；其中，生物特征比對(duì)模塊，用于將待認(rèn)證生物特征數(shù)據(jù)與預(yù)先保存在生物認(rèn)證裝置中用戶(hù)的生物特征模板的至少一部分進(jìn)行比對(duì)并產(chǎn)生一個(gè)匹配驗(yàn)證結(jié)果數(shù)據(jù)；通訊管理模塊，用于管理具有ID識(shí)別號(hào)的生物認(rèn)證裝置與具有ID識(shí)別號(hào)的受限使用機(jī)器之間的數(shù)據(jù)通訊，所述生物認(rèn)證裝置的通訊管理模塊，在收到請(qǐng)求登陸受限使用機(jī)器的ID識(shí)別號(hào)、以及待認(rèn)證生物特征數(shù)據(jù)后，經(jīng)過(guò)生物特征比對(duì)模塊的匹配比對(duì)而產(chǎn)生一個(gè)驗(yàn)證結(jié)果數(shù)據(jù)并發(fā)送至所述ID識(shí)別號(hào)的受限使用機(jī)器，即所述ID識(shí)別號(hào)的生物認(rèn)證裝置向所述ID識(shí)別號(hào)的受限使用機(jī)器發(fā)送授權(quán)使用所述受限使用機(jī)器的生物特征驗(yàn)證信號(hào)數(shù)據(jù)，或發(fā)送所述ID識(shí)別號(hào)生物認(rèn)證裝置的生物特征未驗(yàn)證信號(hào)數(shù)據(jù)拒絕授權(quán)使用所述ID識(shí)別號(hào)的受限使用機(jī)器。2、根據(jù)權(quán)利要求1所述的基于生物特征的認(rèn)證系統(tǒng)，其特征在于具有ID識(shí)別號(hào)的受限使用機(jī)器具有通訊轉(zhuǎn)發(fā)模塊，用于接收用戶(hù)ID識(shí)別號(hào)和待認(rèn)證生物特征數(shù)據(jù)，并根據(jù)存儲(chǔ)器上預(yù)先保存的與用戶(hù)ID識(shí)別號(hào)唯一對(duì)應(yīng)綁定的生物認(rèn)證裝置ID識(shí)別號(hào)，將待認(rèn)證生物特征數(shù)據(jù)通過(guò)通訊線(xiàn)路或和設(shè)備，轉(zhuǎn)發(fā)給唯一對(duì)應(yīng)綁定的ID識(shí)別號(hào)的生物認(rèn)證裝置以進(jìn)行驗(yàn)證；或是，通訊轉(zhuǎn)發(fā)模塊只接收用戶(hù)ID識(shí)別號(hào)，根據(jù)預(yù)先保存在存儲(chǔ)器上與用戶(hù)ID識(shí)別號(hào)唯一對(duì)應(yīng)綁定的生物認(rèn)證裝置ID識(shí)別號(hào)，通知所述ID識(shí)別號(hào)的生物認(rèn)證裝置所述的受限使用機(jī)器請(qǐng)求生物特征驗(yàn)證，并將生物認(rèn)證裝置ID識(shí)別號(hào)反饋給用戶(hù)客戶(hù)終端；用戶(hù)客戶(hù)終端，再將待認(rèn)證生物特征數(shù)據(jù)直接發(fā)到所述ID識(shí)別號(hào)的生物認(rèn)證裝置請(qǐng)求進(jìn)行生物特征比對(duì)驗(yàn)證，并將反饋驗(yàn)證結(jié)果數(shù)據(jù)傳送給所述受限使用機(jī)器。具有ID識(shí)別號(hào)的生物認(rèn)證裝置包括生物特征提取模塊、解壓縮模塊或加密/解密模塊；其中，解壓縮模塊，用于對(duì)己經(jīng)壓縮的待認(rèn)證生物特征原始數(shù)據(jù)進(jìn)行解壓縮為生物特征原始數(shù)據(jù)；生物特征提取模塊，用于從生物特征原始數(shù)據(jù)中提取生物特征數(shù)據(jù)；加密/解密模塊，用于第三方使用其私鑰對(duì)用戶(hù)的生物特征模板數(shù)據(jù)或和身份信息的整個(gè)數(shù)據(jù)塊進(jìn)行數(shù)字簽名，然后保存在所述生物認(rèn)證裝置的存儲(chǔ)器中，防止所述用戶(hù)的生物特征模板被偽造或替換；以及在進(jìn)行生物特征身份認(rèn)證時(shí)，先要使用第三方的數(shù)字證書(shū)驗(yàn)證生物特征模板或和身份信息的一致性、完整性以及正確性；驗(yàn)證數(shù)字簽名通過(guò)后再在所述生物特征摸板上進(jìn)行生物特征數(shù)據(jù)的比對(duì)。3、根據(jù)權(quán)利要求1或2所述的基于生物特征的認(rèn)證系統(tǒng)，其特征在于-存儲(chǔ)器，用于存儲(chǔ)每個(gè)用戶(hù)的ID識(shí)別號(hào)，以及與用戶(hù)ID識(shí)別號(hào)一對(duì)一映射綁定的生物認(rèn)證裝置的ID識(shí)別號(hào)；所述受限使用機(jī)器的認(rèn)證模塊,至少收到具有ID識(shí)別號(hào)的生物認(rèn)證裝置發(fā)來(lái)的，授權(quán)登陸或使用所述ID識(shí)別號(hào)的受限使用機(jī)器的一個(gè)生物特征驗(yàn)證數(shù)據(jù)，根據(jù)存儲(chǔ)器上保存的與所述生物認(rèn)證裝置ID識(shí)別號(hào)一對(duì)一映射綁定的用戶(hù)ID識(shí)別號(hào)，認(rèn)證模塊啟動(dòng)所述ID識(shí)別號(hào)的用戶(hù)登陸所述ID識(shí)別號(hào)的受限使用機(jī)器，或允許所述ID識(shí)別號(hào)用戶(hù)使用所述ID識(shí)別號(hào)的受限使用機(jī)器特定鑒權(quán)的資源；具有ID識(shí)別號(hào)的受限使用機(jī)器具有通訊轉(zhuǎn)發(fā)模塊，用于接收用戶(hù)ID識(shí)別號(hào)和待認(rèn)證生物特征數(shù)據(jù)，并根據(jù)存儲(chǔ)器上預(yù)先保存的與用戶(hù)ID識(shí)別號(hào)一對(duì)一映射綁定的生物認(rèn)證裝置ID識(shí)別號(hào)，將待認(rèn)證生物特征數(shù)據(jù)通過(guò)通訊線(xiàn)路或和設(shè)備，轉(zhuǎn)發(fā)給一對(duì)一映射綁定的ID識(shí)別號(hào)的生物認(rèn)證裝置以進(jìn)行驗(yàn)證；或是，通訊轉(zhuǎn)發(fā)模塊只接收用戶(hù)ID識(shí)別號(hào)，根據(jù)預(yù)先保存在存儲(chǔ)器上與用戶(hù)ID識(shí)別號(hào)一對(duì)一映射綁定的生物認(rèn)證裝置ID識(shí)別號(hào)，通知所述ID識(shí)別號(hào)的生物認(rèn)證裝置所述的受限使用機(jī)器請(qǐng)求生物特征驗(yàn)證，并將生物認(rèn)證裝置ID識(shí)別號(hào)反饋給用戶(hù)客戶(hù)終端；用戶(hù)客戶(hù)終端，再將待認(rèn)證生物特征數(shù)據(jù)直接發(fā)到所述ID識(shí)別號(hào)的生物認(rèn)證裝置請(qǐng)求進(jìn)行生物特征比對(duì)驗(yàn)證，并將反饋驗(yàn)證結(jié)果數(shù)據(jù)傳送給所述受限使用機(jī)器。4、根據(jù)權(quán)利要求l、2或3所述的基于生物特征的認(rèn)證系統(tǒng)，其特征在于所述受限使用機(jī)器或用戶(hù)客戶(hù)終端具有加密/解密模塊，用于它們之間與所述生物認(rèn)證裝置的加密/解密模塊配合，對(duì)受限使用機(jī)器、生物認(rèn)證裝置或用戶(hù)客戶(hù)終端之間的通訊數(shù)據(jù)進(jìn)行加密/解密和數(shù)字簽名/驗(yàn)證，并在其存儲(chǔ)器上保存各自的私鑰；所述受限使用機(jī)器的ID識(shí)別號(hào)是其CPU編號(hào)、存儲(chǔ)器編號(hào)、網(wǎng)卡編號(hào)；或是其通訊的域名、URL、網(wǎng)址、IP4的IP地址、IP6的IP地址、主機(jī)名、端口號(hào)、數(shù)字簽名、數(shù)字證書(shū)或其他可以識(shí)別受限使用機(jī)器的識(shí)別號(hào)；或是上述數(shù)據(jù)的組合；所述生物認(rèn)證裝置ID識(shí)別號(hào)是其CPU編號(hào)、存儲(chǔ)器編號(hào)、網(wǎng)卡編號(hào)，或是其網(wǎng)絡(luò)通訊的移動(dòng)通訊設(shè)備編號(hào)、手機(jī)號(hào)碼、域名、動(dòng)態(tài)域名、URL、網(wǎng)址、IP6的IP地址、移動(dòng)IP地址、主機(jī)名、端口號(hào)、數(shù)字簽名、數(shù)字證書(shū)或其他可以識(shí)別生物認(rèn)證裝置的識(shí)別號(hào)，或上述數(shù)據(jù)的組合；所述通訊線(xiàn)路既可以是計(jì)算機(jī)內(nèi)部的各種總線(xiàn)、并行線(xiàn)路、串行線(xiàn)路，也可以是計(jì)算機(jī)外的各種局域網(wǎng)、廣域網(wǎng)、移動(dòng)無(wú)線(xiàn)網(wǎng)或互聯(lián)網(wǎng)通訊線(xiàn)路以及支持其進(jìn)行數(shù)據(jù)傳輸?shù)脑O(shè)備，其中，與生物認(rèn)證裝置連接的通訊線(xiàn)路是撥號(hào)上網(wǎng)、ISDN、ADSL等的電話(huà)線(xiàn)，家庭有線(xiàn)電視數(shù)據(jù)網(wǎng)，電力數(shù)據(jù)網(wǎng)，或者GPRS、CDMA、3G的無(wú)線(xiàn)移動(dòng)網(wǎng)等客戶(hù)端上網(wǎng)線(xiàn)路。5、根據(jù)權(quán)利要求l、2、3或4所述的基于生物特征的認(rèn)證系統(tǒng)，其特征在于包括有一公共代理解析裝置，該公共代理解析裝置至少具有公共注冊(cè)模塊和代理解析模塊；其中，公共注冊(cè)模塊，用于用戶(hù)登記其生物認(rèn)證裝置的ID識(shí)別號(hào)，然后申請(qǐng)一個(gè)等效的、用于隱藏其地址目標(biāo)的、唯一對(duì)應(yīng)的代理ID識(shí)別號(hào)，并將這兩個(gè)對(duì)應(yīng)綁定的數(shù)據(jù)保存在存儲(chǔ)器上；在用戶(hù)客戶(hù)終端或受限使用機(jī)器上，用戶(hù)可以使用代理ID識(shí)別號(hào)代替生物認(rèn)證裝置ID識(shí)別號(hào)；代理解析模塊，用于代理生物認(rèn)證裝置，管理其與用戶(hù)客戶(hù)終端或受限使用機(jī)器通訊，并對(duì)通過(guò)公共代理解析裝置通訊的數(shù)據(jù)包中的生物認(rèn)證裝置的ID識(shí)別號(hào)與代理ID識(shí)別號(hào)進(jìn)行等效翻譯替換，同時(shí)過(guò)濾掉不合法的數(shù)據(jù)包來(lái)保護(hù)生物認(rèn)證裝置本身的ID識(shí)別號(hào)不被直接攻擊；在生物認(rèn)證裝置通過(guò)公共代理解析裝置向用戶(hù)客戶(hù)終端或受限使用機(jī)器發(fā)送通訊數(shù)據(jù)時(shí)，代理解析模塊將通訊數(shù)據(jù)包中發(fā)送源的生物認(rèn)證裝置的ID識(shí)別號(hào)等效翻譯替換成代理ID識(shí)別號(hào)，然后將通訊數(shù)據(jù)包轉(zhuǎn)發(fā)給用戶(hù)客戶(hù)終端或受限使用機(jī)器；當(dāng)用戶(hù)客戶(hù)終端或受限使用機(jī)器使用代理ID識(shí)別號(hào)通過(guò)公共代理解析裝置向生物認(rèn)證裝置發(fā)送通訊數(shù)據(jù)的時(shí)候，代理解析模塊將通訊數(shù)據(jù)包中發(fā)送目的地的代理ID識(shí)別號(hào)等效翻譯替換成為生物認(rèn)證裝置的ID識(shí)別號(hào)，然后將通訊數(shù)據(jù)包轉(zhuǎn)發(fā)給所述ID識(shí)別號(hào)的生物認(rèn)證裝置；代理解析模塊既可以是集中式的，也可以是分布式的。6、根據(jù)權(quán)利要求5所述的基于生物特征的認(rèn)證系統(tǒng)，其特征在于所述的生物特征是ID識(shí)別號(hào)用戶(hù)的指紋特征數(shù)據(jù)；所述的生物認(rèn)證裝置是手機(jī)。7、一種基于生物特征的身份認(rèn)證方法，其特征在于其使用流程是，(a)從用戶(hù)客戶(hù)終端上，待認(rèn)證用戶(hù)輸入用戶(hù)ID識(shí)別號(hào)并采集待認(rèn)證生物特征數(shù)據(jù)，通過(guò)通訊線(xiàn)路或和設(shè)備向具有ID識(shí)別號(hào)的受限使用機(jī)器發(fā)送，請(qǐng)求認(rèn)證登陸使用所述ID識(shí)別號(hào)的受限使用機(jī)器或使用其特定鑒權(quán)的資源；(b)所述ID識(shí)別號(hào)的受限使用機(jī)器接收用戶(hù)ID識(shí)別號(hào)和待認(rèn)證生物特征數(shù)據(jù)，根據(jù)預(yù)先保存在所述受限使用機(jī)器的存儲(chǔ)器上的所述用戶(hù)ID識(shí)別號(hào)以及與其唯一對(duì)應(yīng)綁定的生物認(rèn)證裝置ID識(shí)別號(hào)，將待認(rèn)證生物特征數(shù)據(jù)通過(guò)通訊線(xiàn)路或和設(shè)備，轉(zhuǎn)發(fā)給所述ID識(shí)別號(hào)的生物認(rèn)證裝置，其中所述ID識(shí)別號(hào)的受限使用機(jī)器可以不保存待認(rèn)證的生物特征數(shù)據(jù)；(c)所述生物認(rèn)證裝置的生物特征比對(duì)模塊，將所述待認(rèn)證生物特征數(shù)據(jù)與預(yù)先保存在存儲(chǔ)器中的用戶(hù)的生物特征模板的至少一部分比對(duì)；如果比對(duì)產(chǎn)生了匹配，所述ID識(shí)別號(hào)的生物認(rèn)證裝置則生成授權(quán)使用所述ID識(shí)別號(hào)的受限使用機(jī)器的生物特征驗(yàn)證信號(hào)；如果比對(duì)沒(méi)有產(chǎn)生匹配，所述ID識(shí)別號(hào)的生物認(rèn)證裝置則生成拒絕授權(quán)使用所述ID識(shí)別號(hào)的受限使用機(jī)器的生物特征未驗(yàn)證信號(hào)；(d)所述ID識(shí)別號(hào)的生物認(rèn)證裝置向所述ID識(shí)別號(hào)的受限使用機(jī)器發(fā)送授權(quán)使用所述受限使用機(jī)器的生物特征驗(yàn)證信號(hào)數(shù)據(jù)，或發(fā)送所述ID識(shí)別號(hào)的生物特征未驗(yàn)證信號(hào)數(shù)據(jù)拒絕授權(quán)使用所述ID識(shí)別號(hào)的受限使用機(jī)器；(e)根據(jù)收到的發(fā)送源的生物認(rèn)證裝置ID識(shí)別號(hào)，和至少所述ID識(shí)別號(hào)的生物認(rèn)證裝置對(duì)受限使用機(jī)器的生物特征驗(yàn)證信號(hào)授權(quán)數(shù)據(jù)，受限使用機(jī)器啟動(dòng)與所述ID識(shí)別號(hào)的生物認(rèn)證裝置對(duì)應(yīng)綁定的所述ID識(shí)別號(hào)用戶(hù)使用受限使用機(jī)器或使用其特定鑒權(quán)的資源；如果收到包含所述ID識(shí)別號(hào)的生物認(rèn)證裝置對(duì)受限使用機(jī)器的生物特征未驗(yàn)證信號(hào)拒絕授權(quán)數(shù)據(jù)，或者所述受限使用機(jī)器在有效時(shí)間內(nèi)未收到生物認(rèn)證裝置發(fā)送來(lái)的對(duì)受限使用機(jī)器的的生物特征驗(yàn)證信號(hào)授權(quán)數(shù)據(jù)，則受限使用機(jī)器拒絕所述用戶(hù)的登陸請(qǐng)求。8、一種基于生物特征的身份認(rèn)證方法，其特征在于包括有以下執(zhí)行流程，(a)從用戶(hù)客戶(hù)終端上，待認(rèn)證用戶(hù)輸入用戶(hù)ID識(shí)別號(hào)并采集待認(rèn)證生物特征數(shù)據(jù)，通過(guò)通訊線(xiàn)路或和設(shè)備向具有ID識(shí)別號(hào)的受限使用機(jī)器發(fā)送，請(qǐng)求認(rèn)證登陸使用所述受限使用機(jī)器或使用其特定鑒權(quán)的資源；(b)根據(jù)預(yù)先保存在存儲(chǔ)器上所述用戶(hù)ID識(shí)別號(hào)以及與其唯一對(duì)應(yīng)綁定的生物認(rèn)證裝置ID識(shí)別號(hào)，所述受限使用機(jī)器只接收用戶(hù)ID識(shí)別號(hào)并向生物認(rèn)證裝置發(fā)送生物特征驗(yàn)證請(qǐng)求消息，將所述生物認(rèn)證裝置ID識(shí)別號(hào)反饋發(fā)送給用戶(hù)客戶(hù)終端；(c)用戶(hù)客戶(hù)終端將所述ID識(shí)別號(hào)用戶(hù)的待認(rèn)證生物特征數(shù)據(jù)直接傳送到所述ID識(shí)別號(hào)的生物認(rèn)證裝置；(d)生物認(rèn)證裝置的生物特征比對(duì)模塊，將待認(rèn)證的生物特征數(shù)據(jù)與預(yù)先保存在存儲(chǔ)器中的用戶(hù)的生物特征模板的至少一部分比對(duì)；如果比對(duì)產(chǎn)生了匹配，所述生物認(rèn)證裝置生成授權(quán)使用所述受限使用機(jī)器的生物特征驗(yàn)證信號(hào)；如果比對(duì)沒(méi)有產(chǎn)生匹配，所述生物認(rèn)證裝置生成拒絕授權(quán)使用受限使用機(jī)器的生物特征未驗(yàn)證信號(hào)；(e)所述ID識(shí)別號(hào)的生物認(rèn)證裝置向所述ID識(shí)別號(hào)的受限使用機(jī)器發(fā)送授權(quán)使用所述受限使用機(jī)器的生物特征驗(yàn)證信號(hào)數(shù)據(jù)，或發(fā)送所述ID識(shí)別號(hào)的生物特征未驗(yàn)證信號(hào)數(shù)據(jù)拒絕授權(quán)使用所述ID識(shí)別號(hào)的受限使用機(jī)器；(f)根據(jù)收到的發(fā)送源的生物認(rèn)證裝置ID識(shí)別號(hào)，以及至少所述生物認(rèn)證裝置對(duì)所述受限使用機(jī)器的生物特征驗(yàn)證信號(hào)授權(quán)數(shù)據(jù)，受限使用機(jī)器啟動(dòng)與所述ID識(shí)別號(hào)的生物認(rèn)證裝置對(duì)應(yīng)綁定的所述ID識(shí)別號(hào)用戶(hù)使用受限使用機(jī)器或使用其特定鑒權(quán)的資源；如果收到生物認(rèn)證裝置對(duì)受限使用機(jī)器的生物特征產(chǎn)生未驗(yàn)證信號(hào)拒絕授權(quán)數(shù)據(jù)、或是受限使用機(jī)器在有效時(shí)間內(nèi)未收到生物認(rèn)證裝置發(fā)送來(lái)對(duì)所述受限使用機(jī)器的生物特征驗(yàn)證信號(hào)授權(quán)數(shù)據(jù)，則受限使用機(jī)器拒絕所述ID識(shí)別號(hào)用戶(hù)的登陸請(qǐng)求。9、一種基于生物特征的身份認(rèn)證方法，其特征在于包括有以下實(shí)現(xiàn)流程，(a)從用戶(hù)客戶(hù)終端上，待認(rèn)證用戶(hù)輸入受限使用機(jī)器的ID識(shí)別號(hào)并采集待認(rèn)證生物特征數(shù)據(jù)，通過(guò)通訊線(xiàn)路或和設(shè)備，向具有ID識(shí)別號(hào)的生物認(rèn)證裝置發(fā)送請(qǐng)求認(rèn)證登陸使用所述受限使用機(jī)器或使用其特定鑒權(quán)的資源；(b)使用所述生物認(rèn)證裝置的生物特征比對(duì)模塊，將待認(rèn)證的生物特征數(shù)據(jù)與預(yù)先保存在存儲(chǔ)器中用戶(hù)的生物特征模板的至少一部分比對(duì)；如果比對(duì)產(chǎn)生了匹配，所述生物認(rèn)證裝置生成授權(quán)使用所述受限使用機(jī)器的生物特征驗(yàn)證信號(hào)；如果比對(duì)沒(méi)有產(chǎn)生匹配，則所述生物認(rèn)證裝置生成拒絕授權(quán)使用受限使用機(jī)器的生物特征未驗(yàn)證信號(hào)；(c)所述ID識(shí)別號(hào)的生物認(rèn)證裝置向所述ID識(shí)別號(hào)的受限使用機(jī)器發(fā)送授權(quán)使用所述受限使用機(jī)器的生物特征驗(yàn)證信號(hào)數(shù)據(jù)，或發(fā)送所述ID識(shí)別號(hào)的生物特征未驗(yàn)證信號(hào)數(shù)據(jù)拒絕授權(quán)使用所述ID識(shí)別號(hào)的受限使用機(jī)器；(d)根據(jù)收到的發(fā)送源的生物認(rèn)證裝置ID識(shí)別號(hào)，以及至少所述生物認(rèn)證裝置對(duì)所述受限使用機(jī)器的生物特征驗(yàn)證信號(hào)授權(quán)數(shù)據(jù)，受限使用機(jī)器啟動(dòng)與所述ID識(shí)別號(hào)的生物認(rèn)證裝置對(duì)應(yīng)綁定的所述ID識(shí)別號(hào)用戶(hù)使用受限使用機(jī)器或使用其特定鑒權(quán)的資源；如果收到包含所述生物認(rèn)證裝置對(duì)所述受限使用機(jī)器的生物特征未驗(yàn)證信號(hào)拒絕授權(quán)數(shù)據(jù)，則受限使用機(jī)器拒絕與所述ID識(shí)別號(hào)的生物認(rèn)證裝置對(duì)應(yīng)綁定的所述ID識(shí)別號(hào)用戶(hù)的登陸請(qǐng)求；其中，所述受限使用機(jī)器的存儲(chǔ)器上預(yù)先保存所述用戶(hù)ID識(shí)別號(hào)以及與其唯一對(duì)應(yīng)綁定的生物認(rèn)證裝置ID識(shí)別號(hào)。10、根據(jù)權(quán)利要求7、8或9所述的基于生物特征的身份認(rèn)證方法，其特征在于存儲(chǔ)器上預(yù)先保存所述用戶(hù)ID識(shí)別號(hào)以及與其一對(duì)一映射綁定的生物認(rèn)證裝置ID識(shí)別號(hào)，其中；根據(jù)與預(yù)先保存在所述受限使用機(jī)器存儲(chǔ)器上用戶(hù)ID識(shí)別號(hào)一對(duì)一映射綁定的生物認(rèn)證裝置ID識(shí)別號(hào)，所述ID識(shí)別號(hào)的受限使用機(jī)器接收用戶(hù)ID識(shí)別號(hào)和待認(rèn)證生物特征數(shù)據(jù)，將待認(rèn)證生物特征數(shù)據(jù)通過(guò)通訊線(xiàn)路或和設(shè)備，轉(zhuǎn)發(fā)給所述ID識(shí)別號(hào)的生物認(rèn)證裝置；或根據(jù)保存在存儲(chǔ)器上所述用戶(hù)ID識(shí)別號(hào)以及與其一對(duì)一映射綁定的生物認(rèn)證裝置ID識(shí)別號(hào)，所述受限使用機(jī)器只接收用戶(hù)ID識(shí)別號(hào)并向生物認(rèn)證裝置發(fā)送生物特征驗(yàn)證請(qǐng)求消息，將所述生物認(rèn)證裝置ID識(shí)別號(hào)反饋發(fā)送給用戶(hù)客戶(hù)終端；用戶(hù)客戶(hù)終端將所述ID識(shí)別號(hào)用戶(hù)的待認(rèn)證生物特征數(shù)據(jù)直接傳送到所述ID識(shí)別號(hào)的生物認(rèn)證裝置；根據(jù)收到的發(fā)送源的生物認(rèn)證裝置ID識(shí)別號(hào)，和至少所述ID識(shí)別號(hào)的生物認(rèn)證裝置對(duì)受限使用機(jī)器的生物特征驗(yàn)證信號(hào)授權(quán)數(shù)據(jù)，受限使用機(jī)器啟動(dòng)與所述ID識(shí)別號(hào)的生物認(rèn)證裝置一對(duì)一映射綁定的所述ID識(shí)別號(hào)用戶(hù)使用受限使用機(jī)器或使用其特定鑒權(quán)的資源；從任何配置有生物傳感器的用戶(hù)客戶(hù)終端上采集待認(rèn)證生物特征數(shù)據(jù)，連同用戶(hù)客戶(hù)終端ID識(shí)別號(hào)通過(guò)通訊線(xiàn)路或和設(shè)備，向所述受限使用機(jī)器或生物認(rèn)證裝置發(fā)送請(qǐng)求認(rèn)證登陸使用受限使用機(jī)器或使用其特定鑒權(quán)的資源；當(dāng)通過(guò)認(rèn)證授權(quán)以后，所述受限使用機(jī)器可以根據(jù)用戶(hù)客戶(hù)終端ID識(shí)別號(hào)向用戶(hù)客戶(hù)終端直接發(fā)送反饋數(shù)據(jù)；用戶(hù)客戶(hù)終端ID識(shí)別號(hào)也可以與生物認(rèn)證裝置的ID識(shí)別號(hào)相同；用戶(hù)客戶(hù)終端、受限使用機(jī)器或生物認(rèn)證裝置的ID識(shí)別號(hào)可以是它們各自的CPU編號(hào)、存儲(chǔ)器編號(hào)、網(wǎng)卡編號(hào)；或是其通訊的域名、URL、網(wǎng)址、IP地址、移動(dòng)IP地址、主機(jī)名、端口號(hào)、數(shù)字簽名、數(shù)字證書(shū)或其它可以識(shí)別它們各自的識(shí)別號(hào)；或是上述數(shù)據(jù)的組合。全文摘要所述基于生物特征的認(rèn)證系統(tǒng)及其身份認(rèn)證方法，根據(jù)受限使用機(jī)器存儲(chǔ)器上保存的用戶(hù)ID識(shí)別號(hào)以及與其唯一對(duì)應(yīng)綁定的數(shù)字處理終端的生物認(rèn)證裝置的ID識(shí)別號(hào)，將海量用戶(hù)生物特征模板的集中保存和生物特征比對(duì)操作，從受限使用機(jī)器的認(rèn)證功能中分離出來(lái)，分擔(dān)給用戶(hù)各自作為生物認(rèn)證裝置的數(shù)字處理終端上(包括用戶(hù)自己的PC、筆記本電腦或手機(jī)、PDA等)---分散化保存用戶(hù)的生物特征模板和分散化運(yùn)算處理待認(rèn)證生物特征與預(yù)先保存在各自的數(shù)字處理終端上的生物特征模板比對(duì)，并反饋比對(duì)驗(yàn)證結(jié)果給受限使用機(jī)器；受限使用機(jī)器的集中認(rèn)證只是依據(jù)比對(duì)驗(yàn)證結(jié)果數(shù)據(jù)，授權(quán)對(duì)與該數(shù)字處理終端生物認(rèn)證裝置ID識(shí)別號(hào)對(duì)應(yīng)綁定的用戶(hù)ID識(shí)別進(jìn)行等同認(rèn)證。文檔編號(hào)H04L9/32GK101330386SQ20081009784公開(kāi)日2008年12月24日申請(qǐng)日期2008年5月19日優(yōu)先權(quán)日2008年5月19日發(fā)明者劉洪利申請(qǐng)人:劉洪利