CN101945114B - 基于fuzzy vault和数字证书的身份认证方法 - Google Patents
基于fuzzy vault和数字证书的身份认证方法 Download PDFInfo
- Publication number
- CN101945114B CN101945114B CN 201010289870 CN201010289870A CN101945114B CN 101945114 B CN101945114 B CN 101945114B CN 201010289870 CN201010289870 CN 201010289870 CN 201010289870 A CN201010289870 A CN 201010289870A CN 101945114 B CN101945114 B CN 101945114B
- Authority
- CN
- China
- Prior art keywords
- user
- fingerprint
- digital certificate
- smart card
- polynomial
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 238000012795 verification Methods 0.000 claims abstract description 41
- 238000004364 calculation method Methods 0.000 claims abstract description 6
- 239000000284 extract Substances 0.000 claims abstract description 5
- 238000012550 audit Methods 0.000 claims abstract 2
- 230000008569 process Effects 0.000 claims description 9
- 230000005540 biological transmission Effects 0.000 claims description 6
- 238000013507 mapping Methods 0.000 claims description 4
- 238000012937 correction Methods 0.000 claims description 2
- 238000012552 review Methods 0.000 abstract description 4
- 238000005516 engineering process Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 3
- 238000013475 authorization Methods 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Collating Specific Patterns (AREA)
Abstract
本发明涉及基于fuzzy vault和数字证书的身份认证方法,将数字证书和指纹认证在智能卡中结合,使用户的数字身份和物理身份对应,实现高度安全的身份认证。首先在用户UK中生成RSA密钥对,用户UK发送公钥和相关注册信息到RA进行审核。当审核通过,RA将用户信息传递给CA进行验证。验证成功后,CA为用户生成数字证书并发送给用户存于UK中;注册用户在UK中输入指纹,并提取指纹中的真实细节点,将真实细节点分发到UK和指纹服务器中,用用户的指纹细节点将UK的PIN锁定。存储于UK中的数字证书及对应的私钥得到安全保护。为减轻智能卡的计算量,引进秘密共享的方法,使得当且仅当智能卡和服务器中的信息都可得时,才能恢复智能卡的PIN,从而释放包含私钥的数字证书。
Description
技术领域
本发明属于信息安全技术与生物认证技术的交叉领域,涉及信息安全技术中基于数字证书的身份认证和生物识别技术中的指纹fuzzy vault,具体为一种基于fuzzy vault和数字证书的双强因子身份认证方法,适用于高端用户或有特殊需要的高安全度客户的身份认证。
背景技术
身份认证技术是网络安全和信息系统安全的第一道屏障,是在计算机网络中确认操作者身份的过程而产生的解决方法,是在信息安全时代备受关注的一个研究领域。
我们生活的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。而今我们也生活在数字世界中,计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的。计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份进行的。如何保证以数字身份进行操作的访问者就是这个数字身份的合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,已成为一个重要的安全问题。身份认证技术的诞生就是为了解决这个问题。
现在计算机及网络系统中常用的身份认证方式主要有用户名/密码方式、数字证书、IC卡/智能卡认证、动态口令、生物特征方式等。
从认证需要验证的条件来看,身份认证技术还可以分为单因子认证和双因子认证。仅通过一个条件来验证一个人身份的技术称为单因子认证。相对双因子来说,单因子认证更容易被仿冒,因为它只使用一种条件判断用户的身份。双因子认证时通过组合两种不同条件来证明一个人的身份,安全性有了明显提高。
现在一般的系统应用数字证书来进行身份认证。人们采用基于PKI的数字证书实现了身份认证、安全传输、不可否认性,数据完整性等功能。实际上,数字证书是将证书持有者的公开密钥与持有者的身份进行关联的证明,能够让通信各方放心地确认持证人的合法身份。使用数字证书实现身份认证需要重点考虑如何保证证书对应私钥的安全,证书对应的私钥存储在计算机的硬盘中不安全,任何能访问证书的用户都可能访问得到该证书对应的私钥。如果采用加密存储,加密密钥的存放也是一个重要的问题,而且恶意用户可能删除进行加密的密钥数据。采用口令加密的安全强度不够,口令的长度决定了所能达到的安全强度。为了保证数字证书对应私钥的安全,最好的方法是将包含私钥的数字证书保存在智能卡中,这是目前普遍采用的一种认证方式。私钥由用户掌握,解决了证书PC存储的缺陷,一定程度上提高了身份认证的安全性,智能卡能够保存私钥,而且能够完成数字签名等工作。但是这个技术还有一些较大安全隐患,即此种方式在身份认证时需要用户输入PIN码,PIN码可能会被攻击者监听或拦截,从而没有彻底解决黑客拦截或监听PIN码,模拟用户操作的风险,同时还存在智能卡丢失或被盗时被人冒用的风险。
发明内容
本发明要解决的问题在于针对上述提到的数字证书对应私钥的安全存储问题,提出一种基于fuzzy vault和数字证书的“强双因子身份认证”方法,适用于高端用户或有特殊需要的高安全度客户的身份认证中。
本发明的技术方案是:将生成的用户数字证书储存于用户智能卡中,再用用户指纹fuzzyvault来保护智能卡的PIN,同时为了减轻智能卡的计算负担,采用了秘密共享的方法,将相关的保密运算分配在智能卡和服务器上。这种方案进一步完善了PKI的安全认证。
具体包括如下内容:
(1)在用户注册阶段,首先在注册用户智能卡中生成用户的RSA密钥对;然后注册用户智能卡向数字证书注册机构发送pkU和相关注册信息。数字证书注册机构验证用户的注册信息,保证注册用户身份合法,再检查注册用户私钥是否为其拥有;如果审核通过,数字证书注册机构把用户的注册信息传递给数字证书认证中心进行必要的验证。如果成功通过验证,数字证书认证中心对注册用户生成数字证书,并用自己的私钥对数字证书进行签名,再发给注册用户,并存有一份数字证书记录。生成的数字证书及对应的私钥存储在用户智能卡中。数字证书可以用于加密或签名等;接下来注册用户输入指纹,指纹特征点从用户的注册指纹图像中提取出来,称为真实细节点。分别将真实细节点分发到智能卡和指纹服务器中,并用用户的指纹细节点将用户智能卡的PIN锁定。从而用户独有的数字证书成功生成,并存储于智能卡中,智能卡的PIN被用户指纹细节点绑定。
(2)用户指纹验证阶段是从用户输入指纹中重构多项式,以释放指纹细节点绑定的UK的PIN的步骤。因为用户的真实细节点分别分发到智能卡和指纹服务器中,因此当且仅当服务器和智能卡中的信息都可得的时候,用合法用户的指纹,才可以成功重构多项式,对其中的智能卡PIN码解锁,并释放数字证书及其对应私钥,用于后面信息交互的安全加密和签名。
(3)在用户指纹验证阶段,需要进行通信的用户分别输入指纹到自己的UK中进行验证,验证成功后各自释放出绑定于其中的用户智能卡的PIN,从而释放出安全存储于各自用户UK中的包含私钥skU的数字证书。用户双方可使用数字证书对数据进行加密或签名,以保证数据在传输过程中的安全性,完整性,以及不可抵赖性。
本发明采用指纹fuzzy vault来对智能卡的PIN进行加密,从而安全保护智能卡中数字证书的私钥。因此使用对应私钥处于高度安全环境下的数字证书进行身份认证,安全性和可信性有了明显提高。本方案具有如下优点:
1、由于指纹的唯一性,以及它直接使用人的物理特征来表示每一个人的数字身份,几乎不可能被仿冒,用指纹来加密智能卡的PIN码,私钥得到高度安全保护,真正认人不认物,不存在遗失问题,因此也从根本上避免了前向保密性的问题。
2、数字证书是PKI的核心元素,它是网上虚拟世界的实体身份证明,是具有权威性、可信性和公正性的第三方CA认证机构所签发的。数字证书在一个身份和该身份的持有者所拥有的公/私钥之间建立了一种联系。智能卡主要用于存储用户身份的标识及进行相关安全信息的运算,可以将包含私钥的数字证书妥善保存于智能卡中。生物特征认证是通过计算机利用人体固有的生理特性或行为特征鉴别个人身份。它直接利用人的物理特征来表示每一个人的数字身份,几乎不可能被仿冒。因此在智能卡上结合数字证书认证和生物特征认证两者的优点,就可以实现高度安全的“强双因子身份认证”。
3、Fuzzy vault方案是用于安全生物认证和密钥保护最全面的机制之一,通过将生物特征和密钥在一个加密的框架中绑定,能保护密钥和生物模板的安全。通过使用指纹的fuzzy vault来保护智能卡的PIN,确保智能卡中的数字证书及对应私钥仅被用户本人使用,使数据加密和数字签名更加可靠。解决了智能卡的安全瓶颈,以指纹确定持有人身份,用指纹来保护数字证书的私钥,提高数字证书管理的安全等级,可以有效的完成个人证书的管理。用户通过认证指纹来开启智能卡中数字证书的使用,只有通过指纹认证才能进行身份确认。使用户免除了记忆口令,丢失口令,甚至是丢失智能卡的烦恼,同时真正做到认人不认物,提高了安全性。
4、对准是指纹fuzzy vault方案中非常重要的一步,对准工作的计算量对于计算能力有限的智能卡来说比较大,为了提高智能卡认证计算的速度,采用了秘密共享的方法,将对准工作分发到智能卡上,可以使指纹匹配的速度得到较大的提高。
5、采用秘密共享的方法,可以将更多的杂凑点添加进vault中,使其中隐藏的真实点更加安全。同时将指纹信息分发到智能卡和指纹服务器中,仅获得智能卡中的信息或是仅获得指纹服务器中的信息,都无法重构多项式释放出智能卡的PIN。当且仅当两者都可得时,合法用户才可以在智能卡和服务器的协同工作下顺利通过指纹认证,对智能卡解锁并释放其中保存的数字证书及其私钥,因此使得系统更加安全。
附图说明
图1是本发明中用户身份认证系统流程图
图2是本发明中用户注册阶段和指纹验证阶段的流程示意图
图3是本发明中数字证书使用阶段的流程示意图
符号说明
PKI:公钥基础设施
PIN:个人标识号
UK:用户智能卡
CA:数字证书认证中心
RA:数字证书注册机构
FS:指纹服务器
pkU:UK中数字证书的公钥
skU:UK中数字证书的私钥
skCA:CA的私钥
RI:用户注册信息
KAB:对称会话密钥
r:随机数
M1,M2:细节点集合
AI:指纹对准信息
COQ(x):多项式Q(x)的系数
具体实施方式
本发明的主要方案为将数字证书和指纹认证两者在智能卡中结合,使用户的数字身份和物理身份相对应,同时将包含对应私钥的用户数字证书存储于智能卡中,使用用户指纹fuzzy vault对该智能卡的PIN进行加密,由此达到高度安全的身份认证目的。同时为了减轻智能卡的计算负担,采用了秘密共享的方法。将对准工作分发到指纹服务器中,使得当且仅当智能卡和服务器中的信息都可得的时候,才可以成功恢复出智能卡的PIN,从而释放其中包含私钥的数字证书。
本方案解决了智能卡的安全瓶颈,以指纹确定持有人身份,提升密钥管理的安全等级,应用于身份认证,彻底解决了现行技术和方法中存在的安全风险,可以有效地完成个人证书的管理。用户通过认证指纹来开启智能卡,只有通过指纹认证才能进行身份确认。使用户免除了记忆口令和丢失口令的烦恼,同时真正做到认人不认物,提高了安全性。
本发明的用户身份认证系统流程图如图1所示,首先,在用户UK中生成RSA密钥对,用户UK发送公钥和相关注册信息到RA审核信息的正确性,审核通过后,RA将用户信息传递给CA进行验证。通过验证后,CA为用户生成证书并发送给用户并存于用户UK中。注册用户在UK中输入指纹,指纹中的真实细节点被提取出来,分别将真实细节点分发到UK和指纹服务器中,用用户的指纹细节点将UK的PIN锁定。
下面将结合说明书中的附图,对该发明的技术方案按照用户注册阶段、用户指纹验证阶段和数字证书使用阶段进行详细、完整的描述:
一、用户注册阶段
本发明的用户注册阶段流程示意图如图2所示,主要步骤介绍如下:
步骤1.1:在注册用户的UK中生成RSA密钥对:公钥pkU和私钥skU;
步骤1.2:注册用户的UK中生成的pkU和注册用户的相关注册信息RI被发送给RA,RA首先验证注册用户的RI,保证注册用户身份合法,再检查注册用户私钥skU是否为其拥有,过程为:RA生成随机数r,用注册用户发送过来的公钥pkU对r进行加密,并发送回注册用户。如果注册用户能用其私钥skU对随机数r进行解密,则该注册用户拥有此私钥skU;
图2中步骤1.2的协议流程为:
UK→RA:pkU‖RI
RA→UK:R=EpkU[r]
UK→RA:r=DskU[R]
步骤1.3:如果审核通过,RA把注册用户的RI传递给CA,CA进行必要的验证。如果成功通过验证,CA对注册用户生成数字证书,并用自己的私钥skCA对数字证书进行签名,再发给注册用户,并存有一份证书记录。生成的证书可以用于加密或签名等;
图2中步骤1.3的协议流程为:
RA→CA:RI
CA→RA:RI‖pkU‖SskCA[RI‖pkU]
至此,数字证书成功生成,并存储于UK中。
步骤1.4:注册用户在UK中输入指纹,从注册指纹图像中提取指纹细节点,将这些指纹细节点定义为真实细节点,其中的一部分真实细节点被分发到FS中,然后UK和FS中的指纹细节点共同将UK的PIN锁定;
其中涉及到的具体步骤分为:
(1)首先将UK的PIN附加一个错误校验码CRC16作为系数,构建一个n阶的多项式P(x),从用户注册指纹中选择n个细节点的集合M1,在UK中注册,其余的j个细节点组成的集合M2注册到FS中。UK中存储的细节点集合M1中的n个真实细节点,在域F=GF(216)中作为元素被编码,分别对n个真实细节点的编码值计算多项式P(x)的映射值,随机生成sUK个与多项式P(x)无关的杂凑点,用于保护UK中的真实细节点,将n个真实细节点与生成的杂凑点进行置乱生成UK中的vault,即vaultUK,并存储于用户UK中。
UK:vaultUK
(2)在多项式P(x)上任意选择i,(i≤n)个与前面n个细节点不同的点,将这i个点的x-y坐标附加上一个错误校验码CRC16作为系数,构造FS上的(2i-1)阶多项式Q(x)。分发到FS的细节点集合M2的j个真实细节点,在域F=GF(216)中作为元素被编码,分别对这j个真实细节点的编码值计算多项式Q(x)的映射值。随机生成sFS个与多项式Q(x)无关的杂凑点,以保护FS中的真实细节点。将j个真实细节点与生成的杂凑点进行置乱生成FS中的vault,即vaultFS,并存储在FS中。
FS:vaultFS
因此,UK的PIN被vaultUK和vaultFS共同保护。
二、用户指纹验证阶段
用户指纹验证阶段是从用户输入指纹中重构多项式P(x),以释放UK的PIN。因为多项式P(x)为n阶,注册在UK中的真实细节点只有n个,使用拉格朗日插值法重构多项式P(x),至少需具备(n+1)个真实细节点。因此只具备UK中存储的真实细节点,还不能重构出多项式P(x),需要同时使用UK中注册的真实细节点以及FS重构出的多项式Q(x)的系数,才能使用拉格朗日插值法重构出多项式P(x)。
本方案的用户指纹验证阶段流程示意图如图2所示,主要步骤介绍如下:
步骤2.1:验证用户在UK中输入指纹,从验证指纹图像中提取指纹细节点,将其传输到FS中,首先在FS中对提取出的细节点和存储在FS中的vaultFS的真实细节点之间进行指纹对准,生成对准信息AI,这个对准信息AI被传输到UK,用于UK中对提取出的细节点和vaultUK中存储的真实细节点之间的对准,以减轻智能卡的计算量;
图2中步骤2.1的协议流程为:
FS→UK:AI
步骤2.2:使用步骤2.1的对准结果和错误校验码CRC16,对发送到FS的用户验证指纹细节点和存储在FS中的vaultFS的真实细节点进行细节点匹配,以获取vaultFS中的真实细节点,从而使用拉格朗日插值法重构FS中的多项式Q(x)。如果成功重构出多项式Q(x),则将重构出的多项式系数COQ(x)发送给UK,否则,匹配失败,需要重新输入用户指纹进行验证;
图2中步骤2.2的协议流程为:
FS→UK:COQ(x)
步骤2.3:使用FS发送的对准信息AI,在验证用户UK中对输入的指纹细节点和存储在vaultUK中的真实细节点进行指纹对准。这个简单的对准操作将会实时进行,即使是在资源受控的UK上。使用此对准结果,在验证用户UK中对输入的指纹细节点和存储在vaultUK中的真实细节点进行指纹匹配,以获取vaultUK中的真实细节点;
步骤2.4:使用步骤2.3的匹配结果,用FS发送过来的多项式Q(x)的系数COQ(x),以及错误修正码CRC16来重构多项式P(x)。如果能正确重构出多项式Q(x)和P(x),即可由多项式P(x)释放出绑定在其中的UK的PIN,因此智能卡被解锁。否则,匹配失败,需要验证用户重新输入指纹进行验证。
三、数字证书使用阶段
成功重构多项式P(x),释放出绑定于其中的UK的PIN之后,用户就可以使用安全存储在UK中包含私钥的数字证书进行一系列的操作。
本发明数字证书使用阶段流程示意图如图3所示,主要步骤介绍如下:
步骤3.1:在用户指纹验证阶段,需要进行通信的用户双方A和B分别输入指纹到自己的UK中进行验证,验证成功后各自释放出其中绑定的智能卡PIN,从而释放出安全存储于各自用户UK中的包含私钥skU的数字证书;
步骤3.2:用户A可以用用户B数字证书的公钥对数据m进行加密并发送给用户B,以保证数据m在传输过程中的安全性,反之用户B也可以对用户A执行相同操作。其中涉及到的具体步骤分为:
(1)用户A首先生成一个对称会话密钥KAB,用对称会话密钥KAB对数据m进行加密,然后使用用户B的公钥pkB对对称会话密钥KAB加密,然后将加密后的数据和对称会话密钥一起发送给用户B;
其协议流程为:
A→B:EKAB(m)‖EpkB(KAB)
(2)用户B收到加密的消息后,先用自己的私钥skB对对称会话密钥KAB进行解密,得到对称会话密钥KAB,再用对称会话密钥KAB对加密后的数据进行解密,恢复出原始数据m。
其协议流程为:
B:KAB=DskB(EpkB(KAB))
m=DKAB(EKAB(m))
步骤3.3:用户A可以用自己UK释放的包含私钥的数字证书对数据m进行签名并发送给用户B,以保证数据m在传输过程中的完整性以及不可抵赖性,反之用户B也可以对用户A执行相同操作。其中涉及到的具体步骤分为:
(1)用户A首先对要发送的数据m求杂凑值,然后用自己的私钥skA对杂凑值进行签名,并发送给用户B;
其协议流程为:
A:H=h(m)
A→B:SskA(H)
(2)用户B收到签名数据之后,对m用同样的杂凑算法得到杂凑值H′,然后用A的公钥pkA验证A的签名。如果求得的杂凑值H′与签名验证得到的H相等,则签名有效,证明信息是由A签名的,否则,则证明信息不是由A签名的。
其协议流程为:
B:H′=h(m)
H=VpkA(SskA(H))
以上所描述的实施例仅是本发明的一部分实施例,而不是全部的实施例。基于以上所述的实施例,本领域普通技术人员在没有做出创造性劳动的前提下,所获得的所有其它实施例,都属于本发明保护的范围。
Claims (6)
1.一种基于fuzzy vault和数字证书的身份认证方法,其特征在于:将数字证书和指纹认证在智能卡中结合,使用户的数字身份和物理身份相对应,同时将包含对应私钥的用户数字证书存储于智能卡中,使用用户指纹fuzzy vault对该智能卡的PIN进行加密,由此达到高度安全的身份认证,同时,采用秘密共享方法减轻智能卡的计算量,将对准工作分发到指纹服务器,使得当且仅当智能卡和服务器中的信息都可得的时候,才能成功恢复出智能卡的PIN,从而释放其中包含私钥的数字证书;整个认证过程包括用户注册阶段,用户指纹验证阶段和数字证书使用阶段:
用户注册阶段,包含以下步骤:
步骤1.1在注册用户的用户智能卡UK中生成RSA密钥对:公钥pkU和私钥skU;
步骤1.2注册用户的用户智能卡UK中生成的pkU和注册用户的相关注册信息RI被发送给数字证书注册机构RA,RA首先验证用户注册信息RI,保证注册用户身份合法,再检查注册用户私钥skU是否为其拥有;
步骤1.3如果审核通过,数字证书注册机构RA把用户注册信息RI传递给数字证书认证中心CA进行验证,如果通过验证,CA对注册用户生成数字证书,并用自己的私钥skCA对数字证书进行签名,再发给注册用户,并存有数字证书记录;
步骤1.4注册用户在用户智能卡UK中输入指纹,从注册指纹图像中提取指纹细节点,这些指纹细节点定义为真实细节点,其中的一部分真实细节点被分发到指纹服务器FS中,然后UK和FS中的指纹细节点共同将UK的个人标识号PIN锁定,其步骤如下;
1)首先将用户智能卡UK的个人标识号PIN附加一个错误校验码CRC16作为系数,构建一个n阶的多项式P(x),从用户注册指纹中选择n个细节点的集合M1,在UK中注册,其余的j个细节点组成的集合M2注册到指纹服务器FS中,UK中存储的细节点集合M1中的n个真实细节点,在域F=GF(216)中作为元素被编码,分别对n个真实细节点的编码值计算多项式P(x)的映射值,随机生成sUK个与多项式P(x)无关的杂凑点,用于保护UK中的真实细节点,将n个真实细节点与生成的杂凑点进行置乱生成UK中的vaultUK,并存储于用户UK中;
2)在多项式P(x)上任意选择i个坐标点,i≤n,将i个点的x-y坐标附加上一个错误校验码CRC16作为系数,构造FS上的2i-1阶多项式Q(x),分发到FS的细节点集合M2的j个真实细节点,在域F=GF(216)中作为元素被编码,分别对这j个真实细节点的编码值计算多项式Q(x)的映射值,随机生成sFS个与多项式Q(x)无关的杂凑点,以保护FS中的真实细节点,将j个真实细节点与生成的杂凑点进行置乱生成FS中的vaultFS,并存储在FS中,使UK的PIN被vaultUK和vaultFS共同保护;
用户指纹验证阶段,包含以下步骤:
步骤2.1验证用户在用户智能卡UK中输入指纹,从验证指纹图像中提取指纹细节点,将其传输到指纹服务器FS中,首先在FS中对提取出的细节点和存储在FS中的vaultFS的真实细节点之间进行指纹对准,生成对准信息AI;
步骤2.2使用步骤2.1的对准信息AI和错误校验码CRC16,对发送到指纹服务器FS的用户验证指纹细节点和存储在FS中的vaultFS的真实细节点进行细节点匹配,以获取vaultFS中的真实细节点,从而使用拉格朗日插值法重构FS中的多项式Q(x),如果重构成功,则将重构出的多项式Q(x)的系数COQ(x)发送给用户智能卡UK;否则,匹配失败,需要重新输入用户指纹进行验证;
步骤2.3使用指纹服务器FS发送的对准信息AI,在验证用户智能卡UK中对输入的指纹细节点和存储在vaultUK中的真实细节点进行指纹对准,对准操作实时进行,使用此对准结果,在验证用户UK中对输入的指纹细节点和存储在vaultUK中的真实细节点进行指纹匹配,获取vaultUK中的真实细节点;
步骤2.4使用步骤2.3的匹配结果、发送过来的多项式Q(x)的系数COQ(x)以及错误修正码CRC16来重构多项式P(x),如果能正确重构出多项式Q(x)和P(x),即可由多项式P(x)释放出绑定在其中的用户智能卡UK的个人标识号PIN,智能卡被解锁;否则,匹配失败,需要验证用户重新输入指纹进行验证;
数字证书使用阶段,包含以下步骤:
步骤3.1在用户指纹验证阶段,需要进行通信的用户双方A和B分别输入指纹到自己的用户智能卡UK中进行验证,验证成功后各自释放出其中绑定的智能卡个人标识号PIN,从而释放出安全存储于各自用户UK中的包含私钥skU的数字证书;
步骤3.2用户A用用户B数字证书的公钥对数据m进行加密并发送给用户B,以保证数据m在传输过程中的安全性,反之用户B也能对用户A执行相同操作;
步骤3.3用户A用自己用户智能卡UK释放的包含私钥的数字证书对数据m进行签名并发送给用户B,以保证数据m在传输过程中的完整性以及不可抵赖性,反之用户B也能对用户A执行相同操作。
2.根据权利要求1所述的基于fuzzy vault和数字证书的身份认证方法,其特征在于:用户注册阶段的步骤1.2所述的检查注册用户私钥skU是否为其拥有的过程为:数字证书注册机构RA生成随机数r,用注册用户发送过来的公钥pkU对r进行加密,并发送回注册用户,如果注册用户能用其私钥skU对随机数r进行解密,则该注册用户拥有此私钥skU。
3.根据权利要求1所述的基于fuzzy vault和数字证书的身份认证方法,其特征在于:用户注册阶段的步骤1.3所述的数字证书用于加密或签名操作,并存储于用户智能卡UK中。
4.根据权利要求1所述基于fuzzy vault和数字证书的身份认证方法,其特征在于:
用户指纹验证阶段从验证用户输入的指纹中重构多项式P(x),以释放用户智能卡UK的个人标识号PIN,需要使用UK中注册的真实细节点和指纹服务器FS重构出的多项式Q(x)的系数COQ(x),采用拉格朗日插值法重构出多项式P(x)。
5.根据权利要求1所述基于fuzzy vault和数字证书的身份认证方法,其特征在于:数字证书使用阶段的步骤3.2中用户B数字证书的公钥对数据加密进行加密的过程为:
1)用户A生成一个对称会话密钥KAB,用对称会话密钥KAB对数据m进行加密,然后使用用户B的公钥pkB对对称会话密钥KAB加密,将加密后的数据和加密后的对称会话密钥一起发送给用户B;
2)用户B收到加密的消息后,先用自己的私钥skB对加密后的对称会话密钥KAB进行解密,得到对称会话密钥KAB,再用对称会话密钥KAB对加密后的数据进行解密,恢复出原始数据m。
6.根据权利要求1所述基于fuzzy vault和数字证书的身份认证方法,其特征在于:数字证书使用阶段的步骤3.3中用自己UK释放的包含私钥的数字证书对数据m进行签名的过程为:
1)用户A对要发送的数据m求杂凑值H,然后用自己的私钥skA对杂凑值进行签名,并发送给用户B;
2)用户B收到签名数据之后,对m用同样的杂凑值算法得到杂凑值H′,然后用A的公钥pkA验证A的签名,如果求得的杂凑值H′与签名验证得到的H相等,则签名有效;否则,签名无效。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010289870 CN101945114B (zh) | 2010-09-20 | 2010-09-20 | 基于fuzzy vault和数字证书的身份认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010289870 CN101945114B (zh) | 2010-09-20 | 2010-09-20 | 基于fuzzy vault和数字证书的身份认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101945114A CN101945114A (zh) | 2011-01-12 |
| CN101945114B true CN101945114B (zh) | 2013-06-12 |
Family
ID=43436881
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010289870 Expired - Fee Related CN101945114B (zh) | 2010-09-20 | 2010-09-20 | 基于fuzzy vault和数字证书的身份认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101945114B (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102769623B (zh) * | 2012-07-24 | 2014-03-05 | 北京华财理账顾问有限公司 | 基于数字证书和生物识别信息进行双重认证的方法 |
| CN105023154A (zh) * | 2014-04-21 | 2015-11-04 | 航天信息股份有限公司 | 基于多功能金融ic卡的电子支付方法和装置 |
| CN105743648A (zh) * | 2014-12-09 | 2016-07-06 | 航天信息股份有限公司 | 一种应用于身份认证的指纹usbkey、指纹中心服务器及系统与方法 |
| CN106850201B (zh) * | 2017-02-15 | 2019-11-08 | 济南晟安信息技术有限公司 | 智能终端多因子认证方法、智能终端、认证服务器及系统 |
| CN108595318B (zh) * | 2018-03-31 | 2021-05-14 | 西安电子科技大学 | Rfc制导的ssl/tls实现中数字证书验证模块的差异测试方法 |
| CN109309658B (zh) * | 2018-06-14 | 2024-12-27 | 孔德键 | 多重认证的身份认证方法及身份验证设备及身份认证系统 |
| CN108768643A (zh) * | 2018-06-22 | 2018-11-06 | 哈尔滨工业大学 | 一种隐私数据保护方法及系统 |
| CN109992942B (zh) * | 2019-01-03 | 2022-02-08 | 西安电子科技大学 | 基于秘密共享的隐私保护人脸认证方法及系统、智能终端 |
| CN110390746B (zh) * | 2019-06-16 | 2024-12-27 | 深圳市盐田区中大集成电路研究院 | 一种指纹防盗门禁的实现方法 |
| CN110430204A (zh) * | 2019-08-12 | 2019-11-08 | 徐州恒佳电子科技有限公司 | 一种基于第三方密码簿服务器的改进型json安全通信方法 |
| CN110493272B (zh) * | 2019-09-25 | 2020-10-02 | 北京风信科技有限公司 | 使用多重密钥的通信方法和通信系统 |
| CN113691365B (zh) * | 2020-05-16 | 2024-04-26 | 成都天瑞芯安科技有限公司 | 云私钥生成和使用方法 |
| CN114007218B (zh) * | 2020-07-28 | 2024-01-26 | 中国电信股份有限公司 | 认证方法、系统、终端以及数字身份认证功能实体 |
| CN113139166B (zh) * | 2021-03-16 | 2022-09-02 | 标信智链(杭州)科技发展有限公司 | 基于云证书的评标专家签名方法及装置 |
| CN114372274B (zh) * | 2021-12-07 | 2024-12-27 | 广州大学 | 一种远程数据备份加密方法、系统、装置及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101350724A (zh) * | 2008-08-15 | 2009-01-21 | 西安电子科技大学 | 一种基于生物特征信息的加密方法 |
| CN101369892A (zh) * | 2008-08-08 | 2009-02-18 | 西安电子科技大学 | 一种增强指纹Fuzzy Vault系统安全性的方法 |
| CN101552776A (zh) * | 2009-04-14 | 2009-10-07 | 西安电子科技大学 | 基于秘密共享的Fuzzy Vault加密方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100949801B1 (ko) * | 2008-04-17 | 2010-03-30 | 한국전자통신연구원 | 퍼지볼트 시스템에서의 다항식 복원장치 및 그 방법 |
-
2010
- 2010-09-20 CN CN 201010289870 patent/CN101945114B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101369892A (zh) * | 2008-08-08 | 2009-02-18 | 西安电子科技大学 | 一种增强指纹Fuzzy Vault系统安全性的方法 |
| CN101350724A (zh) * | 2008-08-15 | 2009-01-21 | 西安电子科技大学 | 一种基于生物特征信息的加密方法 |
| CN101552776A (zh) * | 2009-04-14 | 2009-10-07 | 西安电子科技大学 | 基于秘密共享的Fuzzy Vault加密方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101945114A (zh) | 2011-01-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101945114B (zh) | 基于fuzzy vault和数字证书的身份认证方法 | |
| CN106548345B (zh) | 基于密钥分割实现区块链私钥保护的方法及系统 | |
| US9716698B2 (en) | Methods for secure enrollment and backup of personal identity credentials into electronic devices | |
| KR100876003B1 (ko) | 생체정보를 이용하는 사용자 인증방법 | |
| CN102664885B (zh) | 一种基于生物特征加密和同态算法的身份认证方法 | |
| JP5710439B2 (ja) | テンプレート配信型キャンセラブル生体認証システムおよびその方法 | |
| Kumar et al. | Development of a new cryptographic construct using palmprint-based fuzzy vault | |
| US9384338B2 (en) | Architectures for privacy protection of biometric templates | |
| CN101369892A (zh) | 一种增强指纹Fuzzy Vault系统安全性的方法 | |
| CN105119721B (zh) | 一种基于智能卡的三因素远程身份认证方法 | |
| CN104065487A (zh) | 一种基于数字指纹随机密值ibc身份认证方法 | |
| CN109981290A (zh) | 一种智能医疗环境下基于无证书签密的通信系统及方法 | |
| CN113516473B (zh) | 一种基于生物特征的区块链托管门限钱包方法 | |
| CN106921489A (zh) | 一种数据加密方法及装置 | |
| TWI476629B (zh) | Data security and security systems and methods | |
| CN116112242B (zh) | 面向电力调控系统的统一安全认证方法及系统 | |
| CN109961542A (zh) | 一种门禁装置、验证装置、验证系统及其验证方法 | |
| CN101510875A (zh) | 一种基于n维球面的身份认证方法 | |
| CN113468596B (zh) | 一种用于电网数据外包计算的多元身份认证方法及系统 | |
| CN1976276B (zh) | 一种主控密钥的管理方法和系统 | |
| Panchal | Bio-Crypto System | |
| CN108243156B (zh) | 一种基于指纹密钥进行网络认证的方法和系统 | |
| Li et al. | Identity Authentication Based on Fuzzy Vault and Digital Certificate | |
| CN119094177A (zh) | 一种自定义认证方式的身份认证方法及系统 | |
| CN115967488A (zh) | 一种虚拟服务端分布式密钥管理系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130612 Termination date: 20160920 |