国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      基于fuzzyvault和數(shù)字證書的身份認(rèn)證方法

      文檔序號(hào):7760565閱讀:542來源:國知局
      專利名稱:基于fuzzy vault和數(shù)字證書的身份認(rèn)證方法
      技術(shù)領(lǐng)域
      本發(fā)明屬于信息安全技術(shù)與生物認(rèn)證技術(shù)的交叉領(lǐng)域,涉及信息安全技術(shù)中基于 數(shù)字證書的身份認(rèn)證和生物識(shí)別技術(shù)中的指紋fuzzy vault,具體為一種基于fuzzy vault 和數(shù)字證書的雙強(qiáng)因子身份認(rèn)證方法,適用于高端用戶或有特殊需要的高安全度客戶的身 份認(rèn)證。
      背景技術(shù)
      身份認(rèn)證技術(shù)是網(wǎng)絡(luò)安全和信息系統(tǒng)安全的第一道屏障,是在計(jì)算機(jī)網(wǎng)絡(luò)中確認(rèn) 操作者身份的過程而產(chǎn)生的解決方法,是在信息安全時(shí)代備受關(guān)注的一個(gè)研究領(lǐng)域。我們生活的現(xiàn)實(shí)世界是一個(gè)真實(shí)的物理世界,每個(gè)人都擁有獨(dú)一無二的物理身 份。而今我們也生活在數(shù)字世界中,計(jì)算機(jī)網(wǎng)絡(luò)世界中一切信息包括用戶的身份信息都是 用一組特定的數(shù)據(jù)來表示的。計(jì)算機(jī)只能識(shí)別用戶的數(shù)字身份,所有對用戶的授權(quán)也是針 對用戶數(shù)字身份進(jìn)行的。如何保證以數(shù)字身份進(jìn)行操作的訪問者就是這個(gè)數(shù)字身份的合法 擁有者,也就是說保證操作者的物理身份與數(shù)字身份相對應(yīng),已成為一個(gè)重要的安全問題。 身份認(rèn)證技術(shù)的誕生就是為了解決這個(gè)問題?,F(xiàn)在計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)中常用的身份認(rèn)證方式主要有用戶名/密碼方式、數(shù)字證 書、IC卡/智能卡認(rèn)證、動(dòng)態(tài)口令、生物特征方式等。從認(rèn)證需要驗(yàn)證的條件來看,身份認(rèn)證技術(shù)還可以分為單因子認(rèn)證和雙因子認(rèn) 證。僅通過一個(gè)條件來驗(yàn)證一個(gè)人身份的技術(shù)稱為單因子認(rèn)證。相對雙因子來說,單因子 認(rèn)證更容易被仿冒,因?yàn)樗皇褂靡环N條件判斷用戶的身份。雙因子認(rèn)證時(shí)通過組合兩種 不同條件來證明一個(gè)人的身份,安全性有了明顯提高?,F(xiàn)在一般的系統(tǒng)應(yīng)用數(shù)字證書來進(jìn)行身份認(rèn)證。人們采用基于PKI的數(shù)字證書實(shí) 現(xiàn)了身份認(rèn)證、安全傳輸、不可否認(rèn)性,數(shù)據(jù)完整性等功能。實(shí)際上,數(shù)字證書是將證書持有 者的公開密鑰與持有者的身份進(jìn)行關(guān)聯(lián)的證明,能夠讓通信各方放心地確認(rèn)持證人的合法 身份。使用數(shù)字證書實(shí)現(xiàn)身份認(rèn)證需要重點(diǎn)考慮如何保證證書對應(yīng)私鑰的安全,證書對應(yīng) 的私鑰存儲(chǔ)在計(jì)算機(jī)的硬盤中不安全,任何能訪問證書的用戶都可能訪問得到該證書對應(yīng) 的私鑰。如果采用加密存儲(chǔ),加密密鑰的存放也是一個(gè)重要的問題,而且惡意用戶可能刪除 進(jìn)行加密的密鑰數(shù)據(jù)。采用口令加密的安全強(qiáng)度不夠,口令的長度決定了所能達(dá)到的安全 強(qiáng)度。為了保證數(shù)字證書對應(yīng)私鑰的安全,最好的方法是將包含私鑰的數(shù)字證書保存在智 能卡中,這是目前普遍采用的一種認(rèn)證方式。私鑰由用戶掌握,解決了證書PC存儲(chǔ)的缺陷, 一定程度上提高了身份認(rèn)證的安全性,智能卡能夠保存私鑰,而且能夠完成數(shù)字簽名等工 作。但是這個(gè)技術(shù)還有一些較大安全隱患,即此種方式在身份認(rèn)證時(shí)需要用戶輸入PIN碼, PIN碼可能會(huì)被攻擊者監(jiān)聽或攔截,從而沒有徹底解決黑客攔截或監(jiān)聽PIN碼,模擬用戶操 作的風(fēng)險(xiǎn),同時(shí)還存在智能卡丟失或被盜時(shí)被人冒用的風(fēng)險(xiǎn)。

      發(fā)明內(nèi)容
      本發(fā)明要解決的問題在于針對上述提到的數(shù)字證書對應(yīng)私鑰的安全存儲(chǔ)問題,提 出一種基于fuzzy vault和數(shù)字證書的“強(qiáng)雙因子身份認(rèn)證”方法,適用于高端用戶或有特 殊需要的高安全度客戶的身份認(rèn)證中。本發(fā)明的技術(shù)方案是將生成的用戶數(shù)字證書儲(chǔ)存于用戶智能卡中,再用用戶指紋 fuzzyvault來保護(hù)智能卡的PIN,同時(shí)為了減輕智能卡的計(jì)算負(fù)擔(dān),采用了秘密共享的方法, 將相關(guān)的保密運(yùn)算分配在智能卡和服務(wù)器上。這種方案進(jìn)一步完善了 PKI的安全認(rèn)證。具體包括如下內(nèi)容(1)在用戶注冊階段,首先在注冊用戶智能卡中生成用戶的RSA密鑰對;然后注冊 用戶智能卡向數(shù)字證書注冊機(jī)構(gòu)發(fā)送Pku和相關(guān)注冊信息。數(shù)字證書注冊機(jī)構(gòu)驗(yàn)證用戶的 注冊信息,保證注冊用戶身份合法,再檢查注冊用戶私鑰是否為其擁有;如果審核通過,數(shù) 字證書注冊機(jī)構(gòu)把用戶的注冊信息傳遞給數(shù)字證書認(rèn)證中心進(jìn)行必要的驗(yàn)證。如果成功通 過驗(yàn)證,數(shù)字證書認(rèn)證中心對注冊用戶生成數(shù)字證書,并用自己的私鑰對數(shù)字證書進(jìn)行簽 名,再發(fā)給注冊用戶,并存有一份數(shù)字證書記錄。生成的數(shù)字證書及對應(yīng)的私鑰存儲(chǔ)在用戶 智能卡中。數(shù)字證書可以用于加密或簽名等;接下來注冊用戶輸入指紋,指紋特征點(diǎn)從用戶 的注冊指紋圖像中提取出來,稱為真實(shí)細(xì)節(jié)點(diǎn)。分別將真實(shí)細(xì)節(jié)點(diǎn)分發(fā)到智能卡和指紋服 務(wù)器中,并用用戶的指紋細(xì)節(jié)點(diǎn)將用戶智能卡的PIN鎖定。從而用戶獨(dú)有的數(shù)字證書成功 生成,并存儲(chǔ)于智能卡中,智能卡的PIN被用戶指紋細(xì)節(jié)點(diǎn)綁定。(2)用戶指紋驗(yàn)證階段是從用戶輸入指紋中重構(gòu)多項(xiàng)式,以釋放指紋細(xì)節(jié)點(diǎn)綁定 的UK的PIN的步驟。因?yàn)橛脩舻恼鎸?shí)細(xì)節(jié)點(diǎn)分別分發(fā)到智能卡和指紋服務(wù)器中,因此當(dāng)且 僅當(dāng)服務(wù)器和智能卡中的信息都可得的時(shí)候,用合法用戶的指紋,才可以成功重構(gòu)多項(xiàng)式, 對其中的智能卡PIN碼解鎖,并釋放數(shù)字證書及其對應(yīng)私鑰,用于后面信息交互的安全加 密和簽名。(3)在用戶指紋驗(yàn)證階段,需要進(jìn)行通信的用戶分別輸入指紋到自己的UK中進(jìn)行 驗(yàn)證,驗(yàn)證成功后各自釋放出綁定于其中的用戶智能卡的PIN,從而釋放出安全存儲(chǔ)于各自 用戶UK中的包含私鑰Sku的數(shù)字證書。用戶雙方可使用數(shù)字證書對數(shù)據(jù)進(jìn)行加密或簽名, 以保證數(shù)據(jù)在傳輸過程中的安全性,完整性,以及不可抵賴性。本發(fā)明采用指紋fuzzy vault來對智能卡的PIN進(jìn)行加密,從而安全保護(hù)智能卡 中數(shù)字證書的私鑰。因此使用對應(yīng)私鑰處于高度安全環(huán)境下的數(shù)字證書進(jìn)行身份認(rèn)證,安 全性和可信性有了明顯提高。本方案具有如下優(yōu)點(diǎn)1、由于指紋的唯一性,以及它直接使用人的物理特征來表示每一個(gè)人的數(shù)字身 份,幾乎不可能被仿冒,用指紋來加密智能卡的PIN碼,私鑰得到高度安全保護(hù),真正認(rèn)人 不認(rèn)物,不存在遺失問題,因此也從根本上避免了前向保密性的問題。2、數(shù)字證書是PKI的核心元素,它是網(wǎng)上虛擬世界的實(shí)體身份證明,是具有權(quán)威 性、可信性和公正性的第三方CA認(rèn)證機(jī)構(gòu)所簽發(fā)的。數(shù)字證書在一個(gè)身份和該身份的持有 者所擁有的公/私鑰之間建立了一種聯(lián)系。智能卡主要用于存儲(chǔ)用戶身份的標(biāo)識(shí)及進(jìn)行相 關(guān)安全信息的運(yùn)算,可以將包含私鑰的數(shù)字證書妥善保存于智能卡中。生物特征認(rèn)證是通 過計(jì)算機(jī)利用人體固有的生理特性或行為特征鑒別個(gè)人身份。它直接利用人的物理特征來 表示每一個(gè)人的數(shù)字身份,幾乎不可能被仿冒。因此在智能卡上結(jié)合數(shù)字證書認(rèn)證和生物特征認(rèn)證兩者的優(yōu)點(diǎn),就可以實(shí)現(xiàn)高度安全的“強(qiáng)雙因子身份認(rèn)證”。3、Fuzzy vault方案是用于安全生物認(rèn)證和密鑰保護(hù)最全面的機(jī)制之一,通過將 生物特征和密鑰在一個(gè)加密的框架中綁定,能保護(hù)密鑰和生物模板的安全。通過使用指紋 的fuzzy vault來保護(hù)智能卡的PIN,確保智能卡中的數(shù)字證書及對應(yīng)私鑰僅被用戶本人 使用,使數(shù)據(jù)加密和數(shù)字簽名更加可靠。解決了智能卡的安全瓶頸,以指紋確定持有人身 份,用指紋來保護(hù)數(shù)字證書的私鑰,提高數(shù)字證書管理的安全等級(jí),可以有效的完成個(gè)人證 書的管理。用戶通過認(rèn)證指紋來開啟智能卡中數(shù)字證書的使用,只有通過指紋認(rèn)證才能進(jìn) 行身份確認(rèn)。使用戶免除了記憶口令,丟失口令,甚至是丟失智能卡的煩惱,同時(shí)真正做到 認(rèn)人不認(rèn)物,提高了安全性。4、對準(zhǔn)是指紋fuzzy vault方案中非常重要的一步,對準(zhǔn)工作的計(jì)算量對于計(jì)算 能力有限的智能卡來說比較大,為了提高智能卡認(rèn)證計(jì)算的速度,采用了秘密共享的方法, 將對準(zhǔn)工作分發(fā)到智能卡上,可以使指紋匹配的速度得到較大的提高。5、采用秘密共享的方法,可以將更多的雜湊點(diǎn)添加進(jìn)vault中,使其中隱藏的真 實(shí)點(diǎn)更加安全。同時(shí)將指紋信息分發(fā)到智能卡和指紋服務(wù)器中,僅獲得智能卡中的信息或 是僅獲得指紋服務(wù)器中的信息,都無法重構(gòu)多項(xiàng)式釋放出智能卡的PIN。當(dāng)且僅當(dāng)兩者都可 得時(shí),合法用戶才可以在智能卡和服務(wù)器的協(xié)同工作下順利通過指紋認(rèn)證,對智能卡解鎖 并釋放其中保存的數(shù)字證書及其私鑰,因此使得系統(tǒng)更加安全。


      圖1是本發(fā)明中用戶身份認(rèn)證系統(tǒng)流程2是本發(fā)明中用戶注冊階段和指紋驗(yàn)證階段的流程示意3是本發(fā)明中數(shù)字證書使用階段的流程示意圖符號(hào)說明PKI 公鑰基礎(chǔ)設(shè)施PIN 個(gè)人標(biāo)識(shí)號(hào)UK:用戶智能卡CA 數(shù)字證書認(rèn)證中心RA 數(shù)字證書注冊機(jī)構(gòu)FS 指紋服務(wù)器Pku :UK中數(shù)字證書的公鑰Sku :UK中數(shù)字證書的私鑰skCA:CA 的私鑰RI 用戶注冊信息Kab 對稱會(huì)話密鑰r:隨機(jī)數(shù)M1,M2:細(xì)節(jié)點(diǎn)集合AI 指紋對準(zhǔn)信息C0Q(X)多項(xiàng)式Q(x)的系數(shù)
      具體實(shí)施例方式本發(fā)明的主要方案為將數(shù)字證書和指紋認(rèn)證兩者在智能卡中結(jié)合,使用戶的數(shù)字 身份和物理身份相對應(yīng),同時(shí)將包含對應(yīng)私鑰的用戶數(shù)字證書存儲(chǔ)于智能卡中,使用用戶 指紋fuzzy vault對該智能卡的PIN進(jìn)行加密,由此達(dá)到高度安全的身份認(rèn)證目的。同時(shí) 為了減輕智能卡的計(jì)算負(fù)擔(dān),采用了秘密共享的方法。將對準(zhǔn)工作分發(fā)到指紋服務(wù)器中,使 得當(dāng)且僅當(dāng)智能卡和服務(wù)器中的信息都可得的時(shí)候,才可以成功恢復(fù)出智能卡的PIN,從而 釋放其中包含私鑰的數(shù)字證書。本方案解決了智能卡的安全瓶頸,以指紋確定持有人身份,提升密鑰管理的安全 等級(jí),應(yīng)用于身份認(rèn)證,徹底解決了現(xiàn)行技術(shù)和方法中存在的安全風(fēng)險(xiǎn),可以有效地完成個(gè) 人證書的管理。用戶通過認(rèn)證指紋來開啟智能卡,只有通過指紋認(rèn)證才能進(jìn)行身份確認(rèn)。使 用戶免除了記憶口令和丟失口令的煩惱,同時(shí)真正做到認(rèn)人不認(rèn)物,提高了安全性。本發(fā)明的用戶身份認(rèn)證系統(tǒng)流程圖如圖1所示,首先,在用戶UK中生成RSA密鑰 對,用戶UK發(fā)送公鑰和相關(guān)注冊信息到RA審核信息的正確性,審核通過后,RA將用戶信息 傳遞給CA進(jìn)行驗(yàn)證。通過驗(yàn)證后,CA為用戶生成證書并發(fā)送給用戶并存于用戶M中。注 冊用戶在M中輸入指紋,指紋中的真實(shí)細(xì)節(jié)點(diǎn)被提取出來,分別將真實(shí)細(xì)節(jié)點(diǎn)分發(fā)到M和 指紋服務(wù)器中,用用戶的指紋細(xì)節(jié)點(diǎn)將UK的PIN鎖定。下面將結(jié)合說明書中的附圖,對該發(fā)明的技術(shù)方案按照用戶注冊階段、用戶指紋 驗(yàn)證階段和數(shù)字證書使用階段進(jìn)行詳細(xì)、完整的描述一、用戶注冊階段本發(fā)明的用戶注冊階段流程示意圖如圖2所示,主要步驟介紹如下步驟1. 1 在注冊用戶的UK中生成RSA密鑰對公鑰Pku和私鑰Sku ;步驟1. 2 注冊用戶的UK中生成的Pku和注冊用戶的相關(guān)注冊信息RI被發(fā)送給 RA, RA首先驗(yàn)證注冊用戶的RI,保證注冊用戶身份合法,再檢查注冊用戶私鑰Sku是否為其 擁有,過程為RA生成隨機(jī)數(shù)r,用注冊用戶發(fā)送過來的公鑰Pku對r進(jìn)行加密,并發(fā)送回注 冊用戶。如果注冊用戶能用其私鑰Sku對隨機(jī)數(shù)r進(jìn)行解密,則該注冊用戶擁有此私鑰Sku ;圖2中步驟1. 2的協(xié)議流程為UK — RA =Pku Il RIRA- UK =R = Epku[r]UK —RA :r = Dsku[R]步驟1. 3 如果審核通過,RA把注冊用戶的RI傳遞給Ck, CA進(jìn)行必要的驗(yàn)證。如 果成功通過驗(yàn)證,CA對注冊用戶生成數(shù)字證書,并用自己的私鑰sk。A對數(shù)字證書進(jìn)行簽名, 再發(fā)給注冊用戶,并存有一份證書記錄。生成的證書可以用于加密或簽名等;
      0051]圖2中步驟1. 3的協(xié)議流程為RA — CA RICA — RA RI 11 pkU 11 SskcA[RI 11 pkj至此,數(shù)字證書成功生成,并存儲(chǔ)于UK中。步驟1. 4 注冊用戶在UK中輸入指紋,從注冊指紋圖像中提取指紋細(xì)節(jié)點(diǎn),將這些 指紋細(xì)節(jié)點(diǎn)定義為真實(shí)細(xì)節(jié)點(diǎn),其中的一部分真實(shí)細(xì)節(jié)點(diǎn)被分發(fā)到FS中,然后M和FS中 的指紋細(xì)節(jié)點(diǎn)共同將UK的PIN鎖定;
      其中涉及到的具體步驟分為(1)首先將UK的PIN附加一個(gè)錯(cuò)誤校驗(yàn)碼CRC16作為系數(shù),構(gòu)建一個(gè)η階的多項(xiàng) 式P(X),從用戶注冊指紋中選擇η個(gè)細(xì)節(jié)點(diǎn)的集合Μ1,在UK中注冊,其余的j個(gè)細(xì)節(jié)點(diǎn)組成 的集合M2注冊到FS中。M中存儲(chǔ)的細(xì)節(jié)點(diǎn)集合Ml中的η個(gè)真實(shí)細(xì)節(jié)點(diǎn),在域F = GF (216) 中作為元素被編碼,分別對η個(gè)真實(shí)細(xì)節(jié)點(diǎn)的編碼值計(jì)算多項(xiàng)式P(X)的映射值,隨機(jī)生成 Sik個(gè)與多項(xiàng)式P(X)無關(guān)的雜湊點(diǎn),用于保護(hù)UK中的真實(shí)細(xì)節(jié)點(diǎn),將η個(gè)真實(shí)細(xì)節(jié)點(diǎn)與生 成的雜湊點(diǎn)進(jìn)行置亂生成UK中的vault,即vaultUK,并存儲(chǔ)于用戶UK中。UK :vaultUK(2)在多項(xiàng)式P(x)上任意選擇i,(i^n)個(gè)與前面η個(gè)細(xì)節(jié)點(diǎn)不同的點(diǎn),將這i個(gè) 點(diǎn)的x-y坐標(biāo)附加上一個(gè)錯(cuò)誤校驗(yàn)碼CRC16作為系數(shù),構(gòu)造FS上的(2i_l)階多項(xiàng)式Q(x)。 分發(fā)到FS的細(xì)節(jié)點(diǎn)集合M2的j個(gè)真實(shí)細(xì)節(jié)點(diǎn),在域F = GF(216)中作為元素被編碼,分別 對這j個(gè)真實(shí)細(xì)節(jié)點(diǎn)的編碼值計(jì)算多項(xiàng)式QOO的映射值。隨機(jī)生成sFS個(gè)與多項(xiàng)式QOO 無關(guān)的雜湊點(diǎn),以保護(hù)FS中的真實(shí)細(xì)節(jié)點(diǎn)。將j個(gè)真實(shí)細(xì)節(jié)點(diǎn)與生成的雜湊點(diǎn)進(jìn)行置亂生 成FS中的vault,即vaultFS,并存儲(chǔ)在FS中。FS :vaultFS因此,UK的PIN被vaultUK和vaultFS共同保護(hù)。二、用戶指紋驗(yàn)證階段用戶指紋驗(yàn)證階段是從用戶輸入指紋中重構(gòu)多項(xiàng)式P (χ),以釋放UK的PIN。因?yàn)?多項(xiàng)式P (X)為η階,注冊在UK中的真實(shí)細(xì)節(jié)點(diǎn)只有η個(gè),使用拉格朗日插值法重構(gòu)多項(xiàng)式 P(x),至少需具備(n+1)個(gè)真實(shí)細(xì)節(jié)點(diǎn)。因此只具備UK中存儲(chǔ)的真實(shí)細(xì)節(jié)點(diǎn),還不能重構(gòu) 出多項(xiàng)式P(X),需要同時(shí)使用UK中注冊的真實(shí)細(xì)節(jié)點(diǎn)以及FS重構(gòu)出的多項(xiàng)式Q(X)的系 數(shù),才能使用拉格朗日插值法重構(gòu)出多項(xiàng)式P(X)。本方案的用戶指紋驗(yàn)證階段流程示意圖如圖2所示,主要步驟介紹如下步驟2. 1 驗(yàn)證用戶在M中輸入指紋,從驗(yàn)證指紋圖像中提取指紋細(xì)節(jié)點(diǎn),將其傳 輸?shù)紽S中,首先在FS中對提取出的細(xì)節(jié)點(diǎn)和存儲(chǔ)在FS中的vaultFS的真實(shí)細(xì)節(jié)點(diǎn)之間進(jìn) 行指紋對準(zhǔn),生成對準(zhǔn)信息Al,這個(gè)對準(zhǔn)信息AI被傳輸?shù)組,用于M中對提取出的細(xì)節(jié)點(diǎn) 和vaultUK中存儲(chǔ)的真實(shí)細(xì)節(jié)點(diǎn)之間的對準(zhǔn),以減輕智能卡的計(jì)算量;圖2中步驟2. 1的協(xié)議流程為FS — UK =AI步驟2. 2 使用步驟2. 1的對準(zhǔn)結(jié)果和錯(cuò)誤校驗(yàn)碼CRC16,對發(fā)送到FS的用戶驗(yàn)證 指紋細(xì)節(jié)點(diǎn)和存儲(chǔ)在FS中的vaultFS的真實(shí)細(xì)節(jié)點(diǎn)進(jìn)行細(xì)節(jié)點(diǎn)匹配,以獲取vaultFS中的 真實(shí)細(xì)節(jié)點(diǎn),從而使用拉格朗日插值法重構(gòu)FS中的多項(xiàng)式Q(x)。如果成功重構(gòu)出多項(xiàng)式 Q(χ),則將重構(gòu)出的多項(xiàng)式系數(shù)COq(χ)發(fā)送給UK,否則,匹配失敗,需要重新輸入用戶指紋 進(jìn)行驗(yàn)證;圖2中步驟2. 2的協(xié)議流程為FS —UK: COq (χ)步驟2. 3 使用FS發(fā)送的對準(zhǔn)信息Al,在驗(yàn)證用戶UK中對輸入的指紋細(xì)節(jié)點(diǎn)和 存儲(chǔ)在vaults中的真實(shí)細(xì)節(jié)點(diǎn)進(jìn)行指紋對準(zhǔn)。這個(gè)簡單的對準(zhǔn)操作將會(huì)實(shí)時(shí)進(jìn)行,即使 是在資源受控的UK上。使用此對準(zhǔn)結(jié)果,在驗(yàn)證用戶M中對輸入的指紋細(xì)節(jié)點(diǎn)和存儲(chǔ)在vaults中的真實(shí)細(xì)節(jié)點(diǎn)進(jìn)行指紋匹配,以獲取vaultUK中的真實(shí)細(xì)節(jié)點(diǎn);步驟2. 4 使用步驟2. 3的匹配結(jié)果,用FS發(fā)送過來的多項(xiàng)式Q (χ)的系數(shù)COq(χ), 以及錯(cuò)誤修正碼CRC16來重構(gòu)多項(xiàng)式P(X)。如果能正確重構(gòu)出多項(xiàng)式Q(x)和Ρ(χ),即可 由多項(xiàng)式P(X)釋放出綁定在其中的UK的ΡΙΝ,因此智能卡被解鎖。否則,匹配失敗,需要驗(yàn) 證用戶重新輸入指紋進(jìn)行驗(yàn)證。三、數(shù)字證書使用階段成功重構(gòu)多項(xiàng)式P(X),釋放出綁定于其中的UK的PIN之后,用戶就可以使用安全 存儲(chǔ)在UK中包含私鑰的數(shù)字證書進(jìn)行一系列的操作。本發(fā)明數(shù)字證書使用階段流程示意圖如圖3所示,主要步驟介紹如下步驟3. 1 在用戶指紋驗(yàn)證階段,需要進(jìn)行通信的用戶雙方A和B分別輸入指紋到 自己的M中進(jìn)行驗(yàn)證,驗(yàn)證成功后各自釋放出其中綁定的智能卡ΡΙΝ,從而釋放出安全存 儲(chǔ)于各自用戶UK中的包含私鑰Sku的數(shù)字證書;步驟3. 2 用戶A可以用用戶B數(shù)字證書的公鑰對數(shù)據(jù)m進(jìn)行加密并發(fā)送給用戶 B,以保證數(shù)據(jù)m在傳輸過程中的安全性,反之用戶B也可以對用戶A執(zhí)行相同操作。其中 涉及到的具體步驟分為(1)用戶A首先生成一個(gè)對稱會(huì)話密鑰Kab,用對稱會(huì)話密鑰Kab對數(shù)據(jù)m進(jìn)行加 密,然后使用用戶B的公鑰pkB對對稱會(huì)話密鑰Kab加密,然后將加密后的數(shù)據(jù)和對稱會(huì)話 密鑰一起發(fā)送給用戶B ;其協(xié)議流程為A-B =EKAB(m) Il EP1IB(KAB)(2)用戶B收到加密的消息后,先用自己的私鑰skB對對稱會(huì)話密鑰Kab進(jìn)行解密, 得到對稱會(huì)話密鑰Kab,再用對稱會(huì)話密鑰Kab對加密后的數(shù)據(jù)進(jìn)行解密,恢復(fù)出原始數(shù)據(jù)m。其協(xié)議流程為B =Kab = Dskfi (EpkB (Kab))m = DKab (EKab (m))步驟3. 3 用戶A可以用自己UK釋放的包含私鑰的數(shù)字證書對數(shù)據(jù)m進(jìn)行簽名并 發(fā)送給用戶B,以保證數(shù)據(jù)m在傳輸過程中的完整性以及不可抵賴性,反之用戶B也可以對 用戶A執(zhí)行相同操作。其中涉及到的具體步驟分為(1)用戶A首先對要發(fā)送的數(shù)據(jù)m求雜湊值,然后用自己的私鑰skA對雜湊值進(jìn)行 簽名,并發(fā)送給用戶B;其協(xié)議流程為A :H = h(m)A —B: S-(H)(2)用戶B收到簽名數(shù)據(jù)之后,對m用同樣的雜湊算法得到雜湊值H',然后用A 的公鑰pkA驗(yàn)證A的簽名。如果求得的雜湊值H'與簽名驗(yàn)證得到的H相等,則簽名有效, 證明信息是由A簽名的,否則,則證明信息不是由A簽名的。其協(xié)議流程為B :H' = h(m)H = VpkA(SskA(H))
      以上所描述的實(shí)施例僅是本發(fā)明的一部分實(shí)施例,而不是全部的實(shí)施例?;谝?上所述的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)的前提下,所獲得的所有其 它實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
      權(quán)利要求
      一種基于fuzzy vault和數(shù)字證書的身份認(rèn)證方法,其特征在于將數(shù)字證書和指紋認(rèn)證在智能卡中結(jié)合,使用戶的數(shù)字身份和物理身份相對應(yīng),同時(shí)將包含對應(yīng)私鑰的用戶數(shù)字證書存儲(chǔ)于智能卡中,使用用戶指紋fuzzy vault對該智能卡的PIN進(jìn)行加密,由此達(dá)到高度安全的身份認(rèn)證,同時(shí),采用秘密共享方法減輕智能卡的計(jì)算量,將對準(zhǔn)工作分發(fā)到指紋服務(wù)器,使得當(dāng)且僅當(dāng)智能卡和服務(wù)器中的信息都可得的時(shí)候,才能成功恢復(fù)出智能卡的PIN,從而釋放其中包含私鑰的數(shù)字證書;整個(gè)認(rèn)證過程包括用戶注冊階段,用戶指紋驗(yàn)證階段和數(shù)字證書使用階段用戶注冊階段,包含以下步驟步驟1.1在注冊用戶的UK中生成RSA密鑰對公鑰pkU和私鑰skU;步驟1.2注冊用戶的UK中生成的pkU和注冊用戶的相關(guān)注冊信息RI被發(fā)送給RA,RA首先驗(yàn)證注冊用戶的RI,保證注冊用戶身份合法,再檢查注冊用戶私鑰skU是否為其擁有;步驟1.3如果審核通過,RA把注冊用戶的RI傳遞給CA進(jìn)行驗(yàn)證,如果通過驗(yàn)證,CA對注冊用戶生成數(shù)字證書,并用自己的私鑰skCA對數(shù)字證書進(jìn)行簽名,再發(fā)給注冊用戶,并存有數(shù)字證書記錄;步驟1.4注冊用戶在UK中輸入指紋,從注冊指紋圖像中提取指紋細(xì)節(jié)點(diǎn),這些指紋細(xì)節(jié)點(diǎn)定義為真實(shí)細(xì)節(jié)點(diǎn),其中的一部分真實(shí)細(xì)節(jié)點(diǎn)被分發(fā)到FS中,然后UK和FS中的指紋細(xì)節(jié)點(diǎn)共同將UK的PIN鎖定;用戶指紋驗(yàn)證階段,包含以下步驟步驟2.1驗(yàn)證用戶在UK中輸入指紋,從驗(yàn)證指紋圖像中提取指紋細(xì)節(jié)點(diǎn),將其傳輸?shù)紽S中,首先在FS中對提取出的細(xì)節(jié)點(diǎn)和存儲(chǔ)在FS中的vaultFS的真實(shí)細(xì)節(jié)點(diǎn)之間進(jìn)行指紋對準(zhǔn),生成對準(zhǔn)信息AI,這個(gè)對準(zhǔn)信息AI被傳輸?shù)経K,用于UK中對提取出的細(xì)節(jié)點(diǎn)和vaultUK中存儲(chǔ)的真實(shí)細(xì)節(jié)點(diǎn)之間的對準(zhǔn),以減輕智能卡的計(jì)算量;步驟2.2使用步驟2.1的對準(zhǔn)結(jié)果和錯(cuò)誤校驗(yàn)碼CRC16,對發(fā)送到FS的用戶驗(yàn)證指紋細(xì)節(jié)點(diǎn)和存儲(chǔ)在FS中的vaultFS的真實(shí)細(xì)節(jié)點(diǎn)進(jìn)行細(xì)節(jié)點(diǎn)匹配,以獲取vaultFS中的真實(shí)細(xì)節(jié)點(diǎn),從而使用拉格朗日插值法重構(gòu)FS中的多項(xiàng)式Q(x),如果重構(gòu)成功,則將重構(gòu)出的多項(xiàng)式Q(x)的系數(shù)COQ(x)發(fā)送給UK;否則,匹配失敗,需要重新輸入用戶指紋進(jìn)行驗(yàn)證;步驟2.3使用FS發(fā)送的對準(zhǔn)信息AI,在驗(yàn)證用戶UK中對輸入的指紋細(xì)節(jié)點(diǎn)和存儲(chǔ)在vaultUK中的真實(shí)細(xì)節(jié)點(diǎn)進(jìn)行指紋對準(zhǔn),對準(zhǔn)操作實(shí)時(shí)進(jìn)行,使用此對準(zhǔn)結(jié)果,在驗(yàn)證用戶UK中對輸入的指紋細(xì)節(jié)點(diǎn)和存儲(chǔ)在vaultUK中的真實(shí)細(xì)節(jié)點(diǎn)進(jìn)行指紋匹配,獲取vaultUK中的真實(shí)細(xì)節(jié)點(diǎn);步驟2.4使用步驟2.3的匹配結(jié)果,用FS發(fā)送過來的多項(xiàng)式Q(x)的系數(shù)COQ(x)以及錯(cuò)誤修正碼CRC16來重構(gòu)多項(xiàng)式P(x),如果能正確重構(gòu)出多項(xiàng)式Q(x)和P(x),即可由多項(xiàng)式P(x)釋放出綁定在其中的UK的PIN,智能卡被解鎖;否則,匹配失敗,需要驗(yàn)證用戶重新輸入指紋進(jìn)行驗(yàn)證;數(shù)字證書使用階段,包含以下步驟步驟3.1在用戶指紋驗(yàn)證階段,需要進(jìn)行通信的用戶雙方A和B分別輸入指紋到自己的UK中進(jìn)行驗(yàn)證,驗(yàn)證成功后各自釋放出其中綁定的智能卡PIN,從而釋放出安全存儲(chǔ)于各自用戶UK中的包含私鑰skU的數(shù)字證書;步驟3.2用戶A可以用用戶B數(shù)字證書的公鑰對數(shù)據(jù)m進(jìn)行加密并發(fā)送給用戶B,以保證數(shù)據(jù)m在傳輸過程中的安全性,反之用戶B也可以對用戶A執(zhí)行相同操作;步驟3.3用戶A可以用自己UK釋放的包含私鑰的數(shù)字證書對數(shù)據(jù)m進(jìn)行簽名并發(fā)送給用戶B,以保證數(shù)據(jù)m在傳輸過程中的完整性以及不可抵賴性,反之用戶B也可以對用戶A執(zhí)行相同操作。
      2.根據(jù)權(quán)利要求1所述的基于fuzzyvault和數(shù)字證書的身份認(rèn)證方法,其特征在于 用戶注冊階段的步驟1. 2所述的檢查注冊用戶擁有私鑰Sku的過程為RA生成隨機(jī)數(shù)r,用 注冊用戶發(fā)送過來的公鑰Pku對r進(jìn)行加密,并發(fā)送回注冊用戶,如果注冊用戶能用其私鑰 Sku對隨機(jī)數(shù)r進(jìn)行解密,則該注冊用戶擁有此私鑰成。
      3.根據(jù)權(quán)利要求1所述的基于fuzzyvault和數(shù)字證書的身份認(rèn)證方法,其特征在于 用戶注冊階段的步驟1.3所述的CA對注冊用戶生成的數(shù)字證書可以用于加密或簽名操作, 并存儲(chǔ)于UK中。
      4.根據(jù)權(quán)利要求1所述的基于fuzzyvault和數(shù)字證書的身份認(rèn)證方法,其特征在于 用戶注冊階段的步驟1. 4所述將用戶的指紋細(xì)節(jié)點(diǎn)對UK的PIN鎖定步驟如下1)首先將UK的PIN附加一個(gè)錯(cuò)誤校驗(yàn)碼CRC16作為系數(shù),構(gòu)建一個(gè)η階的多項(xiàng)式 P (x),從用戶注冊指紋中選擇η個(gè)細(xì)節(jié)點(diǎn)的集合Ml,在UK中注冊,其余的j個(gè)細(xì)節(jié)點(diǎn)組成的 集合M2注冊到FS中,M中存儲(chǔ)的細(xì)節(jié)點(diǎn)集合Ml中的η個(gè)真實(shí)細(xì)節(jié)點(diǎn),在域F = GF (216)中 作為元素被編碼,分別對η個(gè)真實(shí)細(xì)節(jié)點(diǎn)的編碼值計(jì)算多項(xiàng)式P(X)的映射值,隨機(jī)生成sUK 個(gè)與多項(xiàng)式P U)無關(guān)的雜湊點(diǎn),用于保護(hù)UK中的真實(shí)細(xì)節(jié)點(diǎn),將η個(gè)真實(shí)細(xì)節(jié)點(diǎn)與生成的 雜湊點(diǎn)進(jìn)行置亂生成UK中的vaultUK,并存儲(chǔ)于用戶UK中;2)在多項(xiàng)式P(X)上任意選擇i個(gè)坐標(biāo)點(diǎn),iSn,將i個(gè)點(diǎn)的χ-y坐標(biāo)附加上一個(gè)錯(cuò)誤 校驗(yàn)碼CRC16作為系數(shù),構(gòu)造FS上的2i-l階多項(xiàng)式Q (χ),分發(fā)到FS的細(xì)節(jié)點(diǎn)集合Μ2的j 個(gè)真實(shí)細(xì)節(jié)點(diǎn),在域F = GF(216)中作為元素被編碼,分別對這j個(gè)真實(shí)細(xì)節(jié)點(diǎn)的編碼值計(jì) 算多項(xiàng)式QOO的映射值,隨機(jī)生成sFS個(gè)與多項(xiàng)式QOO無關(guān)的雜湊點(diǎn),以保護(hù)FS中的真實(shí) 細(xì)節(jié)點(diǎn),將j個(gè)真實(shí)細(xì)節(jié)點(diǎn)與生成的雜湊點(diǎn)進(jìn)行置亂生成FS中的vaultFS,并存儲(chǔ)在FS中, 使UK的PIN被vault·和vaultFS共同保護(hù)。
      5.根據(jù)權(quán)利要求1所述的基于fuzzyvault和數(shù)字證書的身份認(rèn)證方法,其特征在于用戶指紋驗(yàn)證階段從驗(yàn)證用戶輸入的指紋中重構(gòu)多項(xiàng)式P (χ),以釋放UK的ΡΙΝ,需要 使用UK中注冊的真實(shí)細(xì)節(jié)點(diǎn)和FS重構(gòu)出的多項(xiàng)式Q (χ)的系數(shù)COq(X),采用拉格朗日插值 法重構(gòu)出多項(xiàng)式P(X)。
      6.根據(jù)權(quán)利要求1所述基于fuzzyvault和數(shù)字證書的身份認(rèn)證方法,其特征在于 數(shù)字證書使用階段的步驟3. 2所述的用數(shù)字證書對數(shù)據(jù)m加密過程為1)用戶A生成一個(gè)對稱會(huì)話密鑰Kab,用對稱會(huì)話密鑰Kab對數(shù)據(jù)m進(jìn)行加密,然后使用 用戶B的公鑰pkB對對稱會(huì)話密鑰Kab加密,將加密后的數(shù)據(jù)和對稱會(huì)話密鑰一起發(fā)送給用 戶B;2)用戶B收到加密的消息后,先用自己的私鑰skB對對稱會(huì)話密鑰Kab進(jìn)行解密,得到 對稱會(huì)話密鑰Kab,再用對稱會(huì)話密鑰Kab對加密后的數(shù)據(jù)進(jìn)行解密,恢復(fù)出原始數(shù)據(jù)m。
      7.根據(jù)權(quán)利要求1所述基于fuzzyvault和數(shù)字證書的身份認(rèn)證方法,其特征在于 數(shù)字證書使用階段的步驟3. 3所述的用數(shù)字證書對數(shù)據(jù)m簽名過程為1)用戶A對要發(fā)送的數(shù)據(jù)m求雜湊值H,然后用自己的私鑰skA對雜湊值進(jìn)行簽名,并 發(fā)送給用戶B ;2)用戶B收到簽名數(shù)據(jù)之后,求m的雜湊值H',然后用A的公鑰pkA驗(yàn)證A的簽名, 如果求得的雜湊值H'與簽名驗(yàn)證得到的H相等,則簽名有效;否則,簽名無效。
      全文摘要
      本發(fā)明涉及基于fuzzy vault和數(shù)字證書的身份認(rèn)證方法,將數(shù)字證書和指紋認(rèn)證在智能卡中結(jié)合,使用戶的數(shù)字身份和物理身份對應(yīng),實(shí)現(xiàn)高度安全的身份認(rèn)證。首先在用戶UK中生成RSA密鑰對,用戶UK發(fā)送公鑰和相關(guān)注冊信息到RA進(jìn)行審核。當(dāng)審核通過,RA將用戶信息傳遞給CA進(jìn)行驗(yàn)證。驗(yàn)證成功后,CA為用戶生成數(shù)字證書并發(fā)送給用戶存于UK中;注冊用戶在UK中輸入指紋,并提取指紋中的真實(shí)細(xì)節(jié)點(diǎn),將真實(shí)細(xì)節(jié)點(diǎn)分發(fā)到UK和指紋服務(wù)器中,用用戶的指紋細(xì)節(jié)點(diǎn)將UK的PIN鎖定。存儲(chǔ)于UK中的數(shù)字證書及對應(yīng)的私鑰得到安全保護(hù)。為減輕智能卡的計(jì)算量,引進(jìn)秘密共享的方法,使得當(dāng)且僅當(dāng)智能卡和服務(wù)器中的信息都可得時(shí),才能恢復(fù)智能卡的PIN,從而釋放包含私鑰的數(shù)字證書。
      文檔編號(hào)H04L29/06GK101945114SQ201010289870
      公開日2011年1月12日 申請日期2010年9月20日 優(yōu)先權(quán)日2010年9月20日
      發(fā)明者劉泉, 劉陽, 龐遼軍, 李紅寧, 李芬, 江雪梅, 裴慶祺, 謝敏, 齊躍 申請人:西安電子科技大學(xué);武漢理工大學(xué)
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1