一种动态口令与多生物特征结合的身份认证方法

1.一种动态口令与多生物特征识别相结合的身份认证方法，由用户事先在认证系统中设定用户名IDA、秘密通行短语W、一次性口令序列的迭代值N，同时提供注册用户的生物特征值，其特征在于用户在认证系统中提供的生物特征值Tx至少为不同的两种生物特征值，其中的X为正整数，其取值范围为1至所用的生物特征的个数，用户在身份认证过程中由服务器对用户通过客户端浏览器提供的用户名IDA进行查询，找到与用户名IDA对应的种子值S、当前迭代值N-i、上次认证时用于解密各生物特征值的一次性口令Pi-1，并将这三个值用W的散列值Kw加密后作为应答信息发送给客户端浏览器，客户端根据用户输入的秘密通行短语W’的散列值K’w解密出服务器发送过来的当前迭代值N-i、种子值S和上次认证的一N-i
次性口令Pi-1，进行N-i次哈希运算计算出当前一次性口令Pi＝H (W’+S)，并对Pi再进行一次哈希运算得到P’i-1＝H(Pi)，客户端比较P’i-1与Pi-1，如果一致则认为迭代值无误，客户端通过对服务器的验证，同时客户端采集与用户事先提供的生物特征同类的用户生物特征值T’x，客户端用本次认证的一次性口令Pi作为密钥对用户每种生物特征值T’x进行加密，将加密信息发送给服务器，服务器利用与客户端相同方法计算出本次认证的一次性口令P’i，用P’i对接收到的加密信息进行解密，解密得到的用户每种生物特征值T’x与对应的保存在服务器的生物特征模板库中当前用户的生物特征值Tx进行匹配，当任一个生物特征值T’x与事先保存在服务器的生物特征模板库中当前用户的生物特征值Tx匹配时，则认为用户合法，服务器端通过对客户端的认证，并保存该一次性口令P’i，至此用户认证完成；
如果任一个生物特征值T’x与事先保存在服务器的生物特征模板库中的用户生物特征值Tx都不吻合时，则用户非法，拒绝登录请求。
2.一种动态口令与多生物特征识别相结合的身份认证方法，由用户事先在认证系统中设定用户名IDA、秘密通行短语W、一次性口令序列的迭代值N，同时提供注册用户的生物特征值，其特征在于用户在认证系统中提供的生物特征值Tx至少为不同的两种生物特征值，系统中对各不同生物特征的识别率分别设定不同的权重Qx，其中的x为正整数，其取值范围为1至所用的生物特征的个数，同时使用生物特征的权值与所采集的生物特征个数的算术平均值作为阈值V，用户在身份认证过程中由服务器对用户通过客户端浏览器提供的用户名IDA进行查询，找到与用户名IDA对应的种子值S、当前迭代值N-i、上次认证时用于解密各生物特征值的一次性口令Pi-1，并将这三个值用W的散列值Kw加密后作为应答信息发送给客户端浏览器，客户端根据用户输入的秘密通行短语W’的散列值K’w解密出服务器发送过来的当前迭代值N-i、种子值S和上次认证的一次性口令Pi-1，进行N-i次哈希运算计算N-i
出当前一次性口令Pi＝H (W’+S)，并对Pi再进行一次哈希运算得到P’i-1＝H(Pi)，客户端比较P’i-1与Pi-1，如果一致则认为迭代值无误，客户端通过对服务器的验证，同时客户端采集与用户事先提供的生物特征同类的各验证用户生物特征值T’x，客户端用本次认证的一次性口令Pi作为密钥对用户每种生物特征值T’x进行加密，将加密信息发送给服务器，服务器利用与客户端相同方法计算出本次认证的一次性口令P’i，用P’i对接收到的加密信息进行解密，解密得到的用户每种生物特征值T’x与对应的保存在服务器生物特征模板库中当前用户的生物特征值Tx进行匹配，得到每种生物特征的匹配相似度rx，并对每种生物特征的匹配结果进行融合处理得到综合相似度R，最后由R与阈值V比较进行判决，如果R＞V，则认为用户合法，服务器端通过对客户端的认证，并保存该一次性口令P’i，至此用户认证完成；如果R≤V，则用户非法，拒绝登录请求。
3.一种动态口令与多生物特征识别相结合的身份认证方法，由用户事先在认证系统中设定用户名IDA、秘密通行短语W、一次性口令序列的迭代值N，同时提供注册用户的生物特征值，其特征在于用户在认证系统中提供的生物特征值Tx至少为不同的两种生物特征值，其中的X为正整数，其取值范围为1至所用的生物特征的个数，用户在身份认证过程中由服务器对用户通过客户端浏览器提供的用户名IDA进行查询，找到与用户名IDA对应的种子值S、当前迭代值N-i、上次认证时用于解密各生物特征值的一次性口令Pi-1，并将这三个值用W的散列值Kw加密后作为应答信息发送给客户端浏览器，客户端根据用户输入的秘密通行短语W’的散列值K’w解密出服务器发送过来的当前迭代值N-i、种子值S和上次认证的一N-i
次性口令Pi-1，进行N-i次哈希运算计算出当前一次性口令Pi＝H (W’+S)，并对Pi再进行一次哈希运算得到P’i-1＝H(Pi)，客户端比较P’i-1与Pi-1，如果一致则认为迭代值无误，客户端通过对服务器的验证，同时客户端采集与用户事先提供的生物特征同类的各验证用户生物特征值T’x，客户端用本次认证的一次性口令Pi作为密钥对用户每种生物特征值T’x进行加密，将加密信息发送给服务器，服务器利用与客户端相同方法计算出本次认证的一次性口令P’i，用P’i对接收到的加密信息进行解密，解密得到的用户每种生物特征值T’x与对应的保存在服务器生物特征模板库中当前用户的生物特征值Tx进行匹配，如果所有的T’x均与相应的Tx相匹配，则认为用户合法，服务器端通过对客户端的认证，并保存该一次性口令P’i，至此用户认证完成；如果有任一个T’x与相应的Tx不相匹配，则用户非法，拒绝登录请求。

一种动态口令与多生物特征结合的身份认证方法 \n技术领域\n[0001] 本发明涉及一种网络安全领域中身份认证的方法，特别是基于动态口令和多生物特征识别相结合的身份认证方法。 \n[0002] 背景技术\n[0003] 在复杂的网络环境中，用户的身份认证是首要问题。身份认证是网络安全系统的第一道防线，一旦身份认证系统被攻破，系统的所有安全措施将形同虚设。目前最传统及最普遍的是基于用户名和静态口令的身份认证方法，这种认证存在许多的缺点，首先用户必须记忆一些复杂的口令，其次静态口令多以明文形式在网上传输并且固定不变，即使经过加密后以密文形式传输，所用的加密密钥也是不变的，这使得攻击者可以通过窃听得口令达到入侵系统的目的。目前较为安全的身份认证方法是采用动态口令认证方法进行身份认证，或者采用生物特征识别方法进行身份认证。 \n[0004] 本专利申请的申请人曾在中国专利申请200710089999.1中提出一种基于S/Key系统的身份认证方法。该方法包括以下步骤：用户在首次注册时由客户端通过安全信道向认证服务器提交用户名IDA、秘密通行口令，以及设置一次性口令序列的迭代值N，同时提供注册用户的生物特征值T’，服务器生成与该用户对应的种子值S，并且计算口令序列的第N\n一个口令P0＝H(W+S)。用户在身份认证过程中首先通过客户端浏览器输入用户名IDA，向服务器提交认证请求，服务器收到认证请求后查询数据库，找出与用户名IDA对应的种子值S和当前迭代值N-i，以及上次认证时用于解密生物特征值的一次性口令Pi-1，并将这些值作为应答信息发送给客户端浏览器，客户端根据用户输入的秘密通行短语W、服务器发送过N-i\n来的当前迭代值N-i和种子值S计算出当前一次性口令Pi＝H (W+S)，并对当前口令Pi再进行一次哈希运算得到P’i-1＝H(Pi)，客户端将P’i-1与上次认证时用于解密生物特征值的一次性口令Pi-1比较，如果结果一致，则认为迭代值无误，客户端通过对服务器的验证。同时客户端采集用户的生物信息，提取特征值T，客户端用本次认证的一次性口令Pi作为密钥对用户生物特征值T进行加密，发送加密后的信息给服务器，服务器利用与客户端相同方法计算出本次认证的一次性口令P’i，用该一次性口令P’i对接收到的加密信息进行解密，解密后的用户生物特征值T与保存在服务器生物特征库中当前用户的生物特征值T’进行匹配，匹配成功则服务器通过对客户端的验证，并保存该一次性口令P’i，不匹配则说明用户非法，拒绝此次登录请求。可见该专利是以动态口令加上对生物特征值的验证来实现对登录用户的识别。这种以动态口令加生物特征进行识别的方法提高了身份认证的安全性。 [0005] 但是由于每一种生物特征识别方式都有其优点，都在不同领域获得了不同程度的成功，也有其固有的难以克服的缺点。例如，指纹识别中由于有疤痕、长茧、皮肤干燥、病态皮肤、皮肤老化、传感器受污染等原因可能在实际中难以提取到合适信息；虽然虹膜图像的获取较为严格，但一般来讲黑眼睛虹膜却较难读取；人脸图像会随着年龄变化，识别率容易受化妆、表情、姿势、光照变化等因素影响；声音会在人的健康状况发生变化时改变，而且同一个人的录音也能欺骗语音识别系统。由于传感器的噪声以及特征提取和匹配的缺陷，不能保证每次都能得出正确的识别结果，一个冒充者有可能被一个生物特征识别系统错误的接受，错误接受率和错误拒绝率不能同时为低。其它的生物特征值也有类似的情况。因此造成单一生物特征识别的准确率有限。特别是当生物特征值提取有误时将完全不能正常登录。 \n[0006] 另一方面，由于在登录认证中提取的生物特征值与系统事先存储的生物特征值难以实现完全匹配，这一问题也会造成用户无法顺利登录的现象。 \n[0007] 因为生物特征是个人隐私，而且是唯一的、不可撤销的。如果在网络传送过程中生物特征数据一旦泄漏，便会造成灾难性后果。而通过非法得到他人生物特征并加以复制，用复制的假生物特征骗过计算机系统进行冒名认证的事例也时有发生。因此在对身份认证系统安全性要求日益增高的今天，基于单一生物 特征的身份认证已不能满足需求。进入更为高级的系统中也需要一种更为可靠和安全的身份认证方法。 \n发明内容\n[0008] 本发明提供一种可以解决现有技术不足的身份认证方法。确切讲本发明涉及以下三种情况： \n[0009] 1、提供一种可以解决现有技术中因一种生物特征值提取中的问题导致系统不能通过认证的不足的一种动态口令和多生物特征识别相结合的身份认证方法。这是本发明的第一个目的。 \n[0010] 2、解决登录时单一的生物特征无法完全与系统事先存储的生物特征值完全匹配、准确率有限的问题，使提取到有一定匹配度的生物特征值时即可顺利实现登录的目的。这是本发明的第二个目的。 \n[0011] 3、针对特殊系统的要求，提供一种更为高级和安全的身份认证方法。这是本发明的第三个目的。 \n[0012] 本发明的第一个目的实现是：由用户事先在认证系统中设定用户名IDA、秘密通行短语W、一次性口令序列的迭代值N，同时提供注册用户的生物特征值，其特征在于用户在认证系统中提供的生物特征值至少为不同的两种生物特征值，用户在身份认证过程中由服务器对用户通过客户端浏览器提供的用户名IDA进行查询，找到与用户名IDA对应的种子值S、当前迭代值N-i、上次认证时用于解密各生物特征值的一次性口令Pi-1，并将这三个值用W的散列值Kw加密后作为应答信息发送给客户端浏览器，客户端根据用户输入的W的散列值K’w解密出服务器发送过来的当前迭代值N-i、种子值S和上次认证的一次性口令Pi-1，N-i\n计算出当前一次性口令Pi＝H (W+S)，并对Pi再进行一次哈希运算得到P’i-1＝H(Pi)，客户端比较P’i-1与Pi-1，如果一致则认为迭代值无误，客户端通过对服务器的验证，同时客户端采集与用户事先提供的生物特征同类的用户生物特征值T’x，客户端用本次认证的一次性口令Pi作为密钥对用户每种生物特征值T’x进行加密，将加密信息发送给服务器。服务器利用与客户端相同方法计算出本次认证的一次性口 令P’i，用P’i对接收到的加密信息进行解密，解密得到的用户每种生物特征值T’x与对应的保存在服务器的生物特征模板库中当前用户的生物特征值Tx进行匹配，当任一个生物特征值T’x与事先保存在服务器的生物特征模板库中当前用户的生物特征值Tx相匹配时，则认为用户合法，服务器端通过对客户端的认证，并保存该一次性口令P’i，至此用户认证完成；如果任一个生物特征值T’x与事先保存在服务器的生物特征模板库中的用户生物特征值Tx都不吻合时，则用户非法，拒绝登录请求。 \n[0013] 本发明的第二个目的实现是：由用户事先在认证系统中设定用户名IDA、秘密通行短语W、一次性口令序列的迭代值N，同时提供注册用户的生物特征值，其特征在于用户在认证系统中提供的生物特征值至少为不同的两种生物特征值，系统中对各不同生物特征的识别率分别设定不同的权重Qx，其中的x为正整数，其取值范围为1至所用的生物特征的个数，同时使用生物特征的权值与所采集的生物特征个数的算术平均值作为阈值，用户在身份认证过程中由服务器对用户通过客户端浏览器提供的用户名IDA进行查询，找到与用户名IDA对应的种子值S、当前迭代值N-i、上次认证时用于解密各生物特征值的秘密通行短语Pi-1，并将这三个值用W的散列值Kw加密后作为应答信息发送给客户端浏览器，客户端根据用户输入的W的散列值K’w解密出服务器发送过来的当前迭代值N-i、种子值S和上次N-i\n认证的一次性口令Pi-1，计算出当前一次性口令Pi＝H (W+S)，并对Pi再进行一次哈希运算得到P i-1＝H(Pi)，客户端比较P’i-1与Pi-1，如果一致则认为迭代值无误，客户端通过对服务器的验证，同时客户端采集与用户事先提供的生物特征同类的各验证用户生物特征值T’x，客户端用本次认证的一次性口令Pi作为密钥对用户每种生物特征值T’x进行加密，将加密信息发送给服务器，服务器利用与客户端相同方法计算出本次认证的一次性口令P’i，用P’i对接收到的加密信息进行解密，解密得到的用户每种生物特征值T’x与对应的保存在服务器生物特征模板库中当前用户的生物特征值Tx进行匹配，得到每种生物特征的匹配相似度rx，并对每种生物特征的匹配结果进行融合处理得到综 合相似度R，最后由R与阈值V比较进行判决，如果R＞V，则认为用户合法，服务器端通过对客户端的认证，并保存该一次性口令P’i，至此用户认证完成；如果R≤V，则用户非法，拒绝登录请求。 [0014] 本发明的第三个目的实现是：由用户事先在认证系统中设定用户名IDA、秘密通行短语W、一次性口令序列的迭代值N，同时提供注册用户的生物特征值，其特征在于用户在认证系统中提供的生物特征值T’x至少为不同的两种生物特征值，用户在身份认证过程中由服务器对用户通过客户端浏览器提供的用户名IDA进行查询，找到与用户名IDA对应的种子值S、当前迭代值N-i、上次认证时用于解密各生物特征值的一次性口令Pi-1，并将这三个值用W的散列值Kw加密后作为应答信息发送给客户端浏览器，客户端根据用户输入的W的散列值K’w解密出服务器发送过来的当前迭代值N-i、种子值S和上次认证的一次性口令N-i\nPi-1，计算出当前一次性口令Pi＝H (W+S)，并对Pi再进行一次哈希运算得到P’i-1＝H(Pi)，客户端比较P’i-1与Pi-1，如果一致则认为迭代值无误，客户端通过对服务器的验证，同时客户端采集与用户事先提供的生物特征同类的各验证用户生物特征值T’x，客户端用本次认证的一次性口令Pi作为密钥对用户每种生物特征值T’x进行加密，将加密信息发送给服务器，服务器利用与客户端相同方法计算出本次认证的一次性口令P’i，用P’i对接收到的加密信息进行解密，解密得到的用户每种生物特征值T’x与对应的保存在服务器生物特征模板库中当前用户的生物特征值Tx进行匹配，如果所有的T’x均与相应的Tx相匹配，则认为用户合法，服务器端通过对客户端的认证，并保存该一次性口令P’i，至此用户认证完成；如果有任一个T’x与相应的Tx不相匹配，则用户非法，拒绝登录请求。 \n[0015] 由上所述，本发明实际上采用了多生物特征识别，以解决现有技术的不足。 [0016] 多生物特征识别实际上就是多生物特征信息融合，通过多生物特征信息融合的方法，不同认证结果互为补充，可提高生物特征识别系统的准确性。多生物特征识别技术使得设计高性能实用的身份认证系统成为可能。 \n[0017] 本发明针对动态口令S/Key系统中秘密通行短语的重要性，及无法防止小数 攻击等漏洞，以及单因子生物特征识别技术存在泄漏生物特征数据和准确率有限的缺点，提出一种基于动态口令与多生物特征识别相结合的身份认证方法。 \n[0018] 在本发明提出的方法中，一次性口令主要是利用单向散列函数的安全性，即向前计算很容易、反向计算却很难的特点，把种子值和用户输入的秘密通行短语连接起来进行多次散列，散列次数为服务器应答信息中的迭代次数，迭代结果作为用户的一次性口令。每次用不同的数值即迭代次数作为不确定因素；而识别中的多生物特征是指对两种或两种以上生物特征进行采集、组合，再经过融合处理，以提高对生物特征值的识别，克服现有技术中因一种生物特征值提取中的问题导致系统不能通过认证的不足。 \n[0019] 由以上本发明的方法还可以直接得到另一种方法，即以多种生物特征值为识别的条件，进而实现进一步提高识别认证安全性的目的。 \n[0020] 本发明的优点至少有以下几方面： \n[0021] 1、本发明的认证方法中，客户端传递给服务器的认证信息不是单一的动态口令或单一的生物特征信息，而是用每次都在变化的动态口令对每种生物特征值加密的密文。任何重放或者窃听攻击都是无效的，有效防止了秘密通行短语和生物特征数据的泄漏问题，具有较高的安全性。 \n[0022] 2、本发明的认证方法中，增加了客户端对服务器的身份认证，实现了客户端和服务器之间的双向认证，提高了系统的安全性。 \n[0023] 3、本发明的认证方法中，将多种生物特征认证的匹配结果进行了一定的融合，进一步提高了认证系统的准确性。 \n[0024] 4、本发明的认证方法有广泛的应用前景，可以应用在金融、公安等对自身业务的安全性有较高要求的行业中。 \n附图说明\n[0025] 图1动态口令与多生物特征结合的身份认证系统流程图 \n[0026] 图2多生物特征融合的框架图 \n[0027] 具体实施方式 \n[0028] 本发明的身份认证方法包括以下步骤： \n[0029] (1)客户端用户向服务器发出身份认证请求： \n[0030] 用户身份IDA； \n[0031] (2)服务器根据客户端发送的用户名向客户端发出应答信息： \n[0032] 服务器向客户端发出用秘密通行短语W的散列值Kw加密的迭代值N-i、种子值S和上次认证时用于解密各种生物特征值(包括指纹特征值、虹膜特征值、人脸特征值等)的动态口令Pi-1； \n[0033] (3)客户端用用户输入的秘密通行短语W的散列值K’w解密得到当前迭代值N-i、种子值S、上次认证的动态口令Pi-1。计算如下： \n[0034] Pi＝HN-i(W+S)； \n[0035] 客户端保存当前口令Pi，并对当前口令Pi再进行一次哈希运算，计算如下： [0036] P’i-1＝H(Pi)； \n[0037] 客户端将P’i-1与上次认证时用于解密每种生物特征值(包括指纹特征值、虹膜特征值、人脸特征值等)的动态口令Pi-1比较，如果结果一致，则认为迭代值无误，客户端通过对服务器的验证。如果结果不同，则认为迭代值有误，此次身份认证终止。 [0038] 客户端通过各种生物特征采集仪提取该用户的相关生物特征值T’x，这些相关生物特征包括：指纹特征值T1’、虹膜特征值T2’、人脸特征值T3’等，可根据需要选取。用Pi作+\n为加密密钥对T’x(其中x∈Z)进行加密，加密如下： \n[0039] Mx＝E(T’x，Pi)； \n[0040] 然后将密文Mx作为认证信息发送给服务器。 \n[0041] (4)服务器根据该用户当前迭代值N-i、种子值S、秘密通行短语W，用与客户相同哈希函数计算出动态口令P’i，计算如下： \n[0042] P’i＝HN-i(W+S)； \n[0043] 以动态口令P’i作为解密密钥对接收到的密文Mx进行解密，解密如下： [0044] T’x＝D(Mx，P’i)； \n[0045] 解密后得到的每种生物特征值T’x分别与当前用户保存在服务器端的生物特征模板库中的模板特征值Tx(包括指纹特征值T1、虹膜特征值T2、人脸特征值T3等)进行匹配，得到每种生物特征的匹配结果。 \n[0046] 在本发明的三个目的实现过程中以上各步骤中是相同的。 \n[0047] A.当采用本发明的第一个目的时，只需要求解密后得到的各种生物特征值T’x中的任一个能与当前用户保存在服务器端的生物特征模板库中的相应模板特征值Tx匹配即可通过认证。 \n[0048] B.在采用本发明的第二个目的时，需先考虑解密后得到的每种生物特征值T’x分别与当前用户保存在服务器端的生物特征模板库中的模板特征值Tx(包括指纹特征值T1、虹膜特征值T2、人脸特征值T3等)的匹配情况，进而得到每种生物特征的匹配结果。该匹配结果可用对应的匹配相似度rx表示。服务器对每种生物特征的匹配结果进行融合得到综合相似度R，计算如下(其中Qx分别表示指纹、虹膜、人脸等每种生物特征的权值，为0到1+\n之间的常数，由实验得到；x∈Z)： \n[0049] R＝∑rxQx/∑Qx； \n[0050] 最后，R与阈值V＝∑Qx/n(n为生物特征个数，理论上为任意正整数)比较进行判决，如果R＞V，则认为该用户合法，服务器通过对客户端的认证，并保存动态口令P’i，至此该用户认证完成。如果R≤V，则该用户非法，拒绝登录请求。 \n[0051] C.在采用本发明的第三个目的时与第一目的的情况有所类似，但要求各生物特征值均与模板存储的生物特征值匹配，这样才能通过认证。 \n[0052] 显然，在采用本发明的第三个目的时也可应用与本发明的第二个目的相类似的技术措施，适当降低服务器对每种生物特征的匹配结果进行融合得到综合相似度R，同时适当提高阈值，以提高认证的可靠性。 \n[0053] 另一方面，在上述的本发明的三个目的实现中，在每次成功登录后，迭代值 递减，当迭代值减为0或秘密通行短语W泄密后，必须重新初始化迭代值和修改秘密通行短语。 [0054] 由以上所述内容还可见，本发明的三个目的的实现是通过在系统中软件做出相应的权限限制完成，其相互的实现没有特别的困难。 \n[0055] 关于本发明的具体情况可参见附图1至附图2的内容。 \n[0056] 下面以一个具体的信息管理系统中本发明第二目的实现的应用为例说明本发明的过程： \n[0057] 1.身份认证过程： \n[0058] (1)用户通过客户端浏览器输入用户名hualong06，向服务器提交认证请求。 [0059] (2)服务器查询数据库，找出与用户名hualong06对应的种子值S＝z8l2hl03wj， [0060] 和当前迭代值N-i＝10，同时找出上次认证时用于解密密钥的动态口令Pi-1， [0061] Pi-1＝e172155aca3780552e49b34d0cef86a9 \n[0062] 并将这三个值用秘密通行短语W的散列值Kw加密后作为应答信息发送给客户端浏览器。如果数据库中没有与该用户名对应的记录则拒绝此次登录请求。 \n[0063] (3)客户端收到服务器发送的应答信息后，提示hualong06输入秘密通行短语W＝cominf505，同时通过指纹采集仪采集hualong06的右手拇指指纹图像，通过虹膜摄像头采集左眼虹膜图像，通过人脸摄像头采集人脸图像，客户端调用相应的指纹处理模块、虹膜处理模块和人脸处理模块分别提取出指纹特征值T’1、虹膜特征值T’2和人脸特征值T’3，并调用相应的运算模块做如下运算： \n[0064] 计算秘密通行短语W的散列值K’w，并解密得到S，N-i，Pi-1\n[0065] 计算本次认证用作加密密钥的动态口令： \n[0066] Pi＝HN-i(W+S)＝87f25293e1ab871e91d59049ec7fb40b \n[0067] 计算上次认证用作解密密钥的动态口令： \n[0068] P’i-1＝H(Pi)＝e172155aca3780552e49b34d0cef86a9 \n[0069] 比较Pi-1与P’i-1的值(如果不相同，则终止此次登录)。结果相同，用Pi作为秘钥对提取的每种生物特征值进行加密： \n[0070] Mx＝E(Tx，Pi) \n[0071] 将各加密信息Mx作为认证信息发送给服务器。 \n[0072] (4)服务器收到客户端的认证信息后，作如下运算： \n[0073] P’i＝HN-i(W+S)＝87f25293e1ab871e91d59049ec7fb40b \n[0074] 用P’i作为解密秘钥对加密信息进行解密： \n[0075] T’x＝D(Mx，P’i) \n[0076] 将解密后得到的各生物特征值T’x与服务器生物特征模板库中保存的该用户的对应的生物特征值Tx进行匹配，得到每种生物特征的匹配结果，匹配结果用匹配相似度rx表示，其中指纹匹配相似度为r1，虹膜匹配相似度为r2，人脸匹配相似度为r3。 [0077] 服务器对每种生物特征的匹配结果进行融合得到综合相似度R，计算如下： [0078] R＝∑rxQx/∑Qx； \n[0079] 阈值V＝∑Qx/n，其中的n为所用的生物特征的个数。将R与V比较进行判决，如果R＞V，则认为该用户合法，服务器端通过对客户端的认证，并保存动态口令P’i，如果R≤V，则该用户非法，拒绝登录请求。 \n[0080] 本例中取Q1＝60％，Q2＝80％，Q3＝40％，则∑Qx＝180％，n＝3，V＝60％。 [0081] 若r1＝92％，r2＝98％，r3＝81％，则R＝92.2％，R＞V，该用户合法； [0082] 若r1＝92％，r2＝98％，r3＝10％，则R＝76.4％，R＞V，该用户合法； [0083] 若r1＝60％，r2＝80％，r3＝50％，则R＝66.7％，R＞V，该用户合法； [0084] 若r1＝40％，r2＝50％，r3＝30％，则R＝40.0％，R＜V，该用户非法，拒绝登录。 \n[0085] 需要说明的本发明的实际应用不局限于以上给出的实施例，所使用的生物特征可以是指纹、虹膜、人脸、掌纹、视网膜、人耳、唇纹、语音、笔迹、步态、手势等任意两种或两种以上生物特征的组合。