专利名称:一种基于指纹加密的身份认证系统及其实现方法
技术领域:
本发明涉及生物信号加密等技术领域,特别一种基于指纹加密的身份认证系统及 其实现方法。
背景技术:
近几年,由于身份认证系统的出现和日益普及,我们足不出户就可以通过用户认 证、电话支付等方式开展电子商务,参与远程信息管理、网络购物等高效现代生活,越来越 多的个人及企业已经习惯于将敏感数据和商业机密通过安全认证系统进行网络传输。然 而,这些传统的加密体制也存在使用不方便以及记忆困难等缺点。典型的加密密钥都是随 机且足够长的,人们很难记忆这些冗长随机的字符串,因此这样的密钥往往被存储在某种 介质上,然后再由口令来保护密钥的安全性。这样,整个密钥系统的安全性就是基于口令 的。以在线交易安全为例,为了保障整个通信过程中数据机密性、数据完整性、合法身 份认证和抗抵赖性等方面,采取的主流认证技术被划分为(I)SFA(Single-factor authentication 单因子认证)仅通过一个条件的符合 来证明一个人的身份称之为单因子认证。大家熟知的“用户名+ 口令”的身份认证机制,实 际上就是一种单因子认证方式,因为用户名是易知的。(2)MFA(Multi-factor authentication多因子认证)通过组合两种及两种以上 不同条件来证明一个人的身份称之为多因子认证。常见的多因子认证方式是结合密码以及 实物(信用卡、SMS手机、令牌)等条件对用户进行认证的方法。由于传统单因子认证即静态密码(用户名+密码)为代表的技术已经被认为是极 度危险的身份认证手段,因此近年来逐步发展出基于USB key的身份认证,它被认为是一种 方便且可靠安全的身份认证技术。它采用一次一密的双因子认证模式,很好地解决了身份 认证的可靠性的问题,并提供USB接口与先进的电脑通用。它内置了 CPU、存储器、芯片操作 系统(COS)等,可以存储用户的密钥或者数字证书,利用USB内置的密码算法实现对于用户 身份的认证.由于每个USB Key都具有硬件PIN码保护。PIN码和硬件构成了用户使用USB Key 的两个必要因素。用户只有同时取得了 USB Key和用户PIN码,才可以登录系统,即使用户 的USB key遗失,拾到者由于不知道用户PIN码,也无法仿冒合法用户的身份。然而,随着编解码技术、钓鱼技术以及木马病毒的无孔不入和黑客工具的层层升 级,采用USB KEY方式进行网络身份认证的安全性将面临新一轮的挑战。尤其是目前最大 规模的应用在线支付功能。以银行发售的USB Key (即U盾)举例,在当前广泛应用和实际操作中存在几大安 全漏洞1.利用PIN码 和时间差作案目前的大多数银行使用的USB Key的PIN码都是从电脑上输入的,因此黑客可以通过木马程序直接截获USB Key的PIN码,这也是目前大多数USB Key存在的一个漏洞。知 道了 PIN码后,如果用户忘记将USB Key从电脑上取出,那么黑客还可以进一步通过PIN码 来操作USB Key。一个非常极端的情况是当个人用户的电脑已经被黑客远程控制,即键盘 或屏幕的操作处于黑客监控中,以目前的USB Key功能还能保证安全交易吗?答案是否定 的!因为此时USBKey的PIN码已经处于可被黑客截取的环境,只要USB Key被用户操作完 之后没有被立刻取出,那么黑客完全可以在这个短暂的间歇期通过人工操作或病毒软件伪 造一次交易,而此时USB Key以及PIN码均处于验证通过状态。事实上,这不是单纯的假设 分析,而是来自于诸多的现实案例。2.从外部读取Key内的密钥USB Key的密钥从“理论”上讲是无法从外部直接读取的,这个“理论”建立在设计 的绝对安全假设之上,如果设计和编写USB Key操作系统COS的人无意或人为地在COS留 下了后门,那么设计者以及黑客就可以轻松从外部读取Key内部的密钥。采取什么技术才能改进和解决诸如上述的安全隐患成为近年来颇被关注的研究 话题。其中,基于生物特征的加密技术最为研究人员重视。它将生物特征识别技术与传统加 密技术相结合,为加密系统提供了一种利用生物特征信息保护密钥的机制,很好地解决了 当前密钥保护机制存在的种种问题。当用户须得到一个被保护的密钥时,只要向系统提供 自己的生物特征样本,如果验证样本和注册模板匹配,则密钥立即被释放,即实现了加/解 密数据。由于密钥和生物特征信息在完成加密之后并没有保存在系统存储空间内,密钥和 生物特征信息都无法从系统中直接获取到。当且只当正确的活体生物的特征信息被提交给 系统时才能重新生成密钥。因此,生物特征加密技术作为采取用户物理身份进行加密和管 理密钥的新颖的密钥保护机制,不但从本质上解决了通过钓鱼软件截获用户口令(PIN码) 的不足,由于生物特征不容易被攻击者获知,安全性更高。生物加密领域最为经典的实用算法是Fuzzy Vault方案,其很好地解决了生物特 征的模糊性和密码机制的精确性之间的矛盾。这种方法将待保护的密钥用生物模板编码 后,把生物模板数据隐藏在一群随机干扰数据中,和干扰数据构成一个Vault数据,从这些 混合数据中很难分离出真实数据,真实数据被认为是“上锁”的。真实用户出示的现场样本 则用来“解锁”真实数据。它比较适合于认证结果与特征点顺序无关的生物特征数据的保 护,甚至可以容忍特征点数目的变化。但它也存在一些安全缺陷(1)对于不同的应用,同一个用户的原始生物模板可以用来绑定多个密钥,生成多 个vault。但如果攻击者设法获得同一用户的两个vault,通过简单地交叉比较就可以获得 用户的原始模板,进而获得密钥。因此原始模板和密钥都受到了威胁。(2)生物特征模板的唯一性导致了模板不可撤销。众所周知,口令是可以随时变更 的,一旦原来的口令遇到安全问题就可以通过撤销原口令输入新口令来解决问题,然而对 于同一个指纹来说,特征信息是固定不能改变的,一旦出现安全问题这个指纹就无法再次 使用了。
发明内容
本发明的目的之一在于克服当前基于口令的加密技术和密钥保护机制中存在的 缺点和不足,提供一种基于指纹加密的身份认证系统。本发明具有允许撤销、可无限次重置生物特征密码、安全性高和防止交叉比对的漏洞等优点。本发明的目的之二在于提供一种基于指纹加密的身份认证系统的实现方法。
本发明的目的之一通过下述技术方案实现一种基于指纹加密的身份认证系统, 包括用户接口、密钥接口和数据库,还包括口令处理单元、指纹处理单元、转换处理单元、解 密处理单元和加密处理单元;所述用户接口分别与口令处理单元、指纹处理单元相连接,口令处理单元、指纹处 理单元、解密处理单元和加密处理单元分别与转换处理单元相连接;所述解密处理单元和 加密处理单元分别与数据库相连接,所述解密处理单元和加密处理单元分别与密钥接口相 连。为更好的实现本发明,所述口令处理单元包括依次相连的口令读取模块、口令矩 阵生成模块和矩阵变形模块,所述口令读取模块还与用户接口相连接,所述矩阵变形模块 还与转换处理单元相连接。优选的,所述指纹处理单元包括依次相连的指纹读取模块、平滑过滤模块、方向场 评估模块,有效域探测模块、脊线探测模块、细化模块和细节点定位模块,其中所述指纹读 取模块还与用户接口相连,所述细节点定位模块还与转换处理单元相连接。优选的,所述转换处理单元包括依次相连的模板提取模块、分区模块和模板转换 模块,所述模板提取模块还与指纹处理单元相连接,所述加密处理单元、解密处理单元和口 令处理单元分别与模板转换模块相连接。优选的,所述解密处理单元包括依次相连的数据读取模块、拆分模块、过滤模块、 分组模块、重构模块和校验模块,所述数据读取模块还与数据库相连接,所述过滤模块还与 转换处理单元相连接,所述校验模块还与密钥接口相连接。优选的,所述加密处理单元包括密钥读取模块、多项式构成模块、混淆模块、预处 理模块、真实点生成模块、锁定模块和数据写入模块,所述密钥读取模块、多项式构成模块、 混淆模块、锁定模块和数据写入模块依次相连,所述多项式构成模块、预处理模块和锁定模 块分别与真实点生成模块相连,所述预处理模块与转换处理单元相连,所述密钥读取模块 与密钥接口相连,所述数据写入模块与数据库相连。本发明的目的之二通过下述技术方案实现一种基于指纹加密的身份认证系统的 实现方法,包括密钥加密和密钥解密;其中密钥加密具体包括以下步骤Si、用户通过用户交互模块输入自己的指纹图像、口令以及需要加密保护的密钥 fn息;S2、指纹处理单元从用户接口读取步骤Sl中的用户指纹图像,指纹处理单元对指 纹图像进行处理,并将处理后的指纹图像传递给转换处理单元;S3、口令处理单元从用户接口读取步骤Sl中的用户口令,生成口令矩阵并进行转 换处理,得到变换矩阵并发送给转换处理单元;S4、转换处理单元接收步骤S2中的指纹图像,生成原始模板并进行分区,根据步 骤S3中的变换矩阵对分区后的原始模板进行不可逆转换,得到转换模板并发送至加密处
理单元;S5、加密处理单元从密钥接口读取步骤Sl中的密钥信息并构建一个η阶多项式,接收步骤S4中的转换模板并进行预处理;根据预处理后的转换模板以及η阶多项式进行运 算处理,最终生成一个新的点集V并将其储存进数据库;其中η为正整数;其中密钥解密具体包括以下步骤G1、用户通过用户交互模块输入解密的指纹图像和解密口令;G2、指纹处理单元从用户接口读取步骤Gl中的解密指纹图像,指纹处理单元对指 纹图像进行处理,并将处理后的指纹图像传递给转换处理单元;G3、口令处理单元从用户接口读取步骤Gl中的解密口令,生成口令矩阵并进行转 换处理,得到变换矩阵并发送给转换处理单元;G4、转换处理单元接收步骤G2中的指纹图像,生成原始模板并进行分区,根据步 骤G3中的变换矩阵对分区后的原始模板进行不可逆转换,得到转换模板并发送到解密处
理单元;G5、解密处理单元读取储存在数据库中的点集V,并对其进行拆分、过滤、排列组 合、多项式重构和校验处理,若通过校验,则恢复出密钥;若没有通过校验,则解密失败,返 回步骤Gl。为更好的实现本发明,所述步骤S2具体包括以下步骤S2. 1指纹处理单元通过指纹读取模块从用户接口读取用户指纹图像,并在平滑过 滤模块中进行平滑处理,让整个图像取得均勻一致的明暗效果;S2. 2方向场估计模块在收到从平滑过滤模块传送来的指纹图像后,对其进行计 算,得到方向场;S2. 3有效域探测模块在收到从方向场估计模块传来的指纹图像后,对其进行有效 域的锁定,去除无用的空白域并把处理完的图像传送给脊线探测模块;S2. 4脊线探测模块对接收到图像进行二值化处理,得到指纹脊线图像;S2. 5细化模块在接收到来自脊线探测模块的指纹脊线图像后,将脊线的宽度设为 单个像素的宽度,得到脊线的骨架图像,从而清晰化了脊线的形态,并将需要进行细节点提 取的脊线骨架图像传送给细节点定位模块;S2. 6细节点定位模块对接收到的图像进行分叉点和断点的探测和定位,最终得到 细节点图像;S2. 7细节点定位模块将细节点图像传递给转换处理单元;所述步骤S3具体包括以下步骤S3. 1 口令读取模块从用户接口读取用户口令并发送至口令矩阵生成模块;S3. 2 口令矩阵生成模块对步骤S3. 1传递过来的用户口令进行下述处理 将8bytes的用户口令W平均分成8个单元,其中W1 W8依次表示各个单元的ASC 码;W = W11W21W31W41W51W61W71W8将W1 W8转化为二进制码,其中mn mi8表示Wi的各位上的二进制码,其中i = 1,2……8 ;Wi = Hii! I mi21 mi31 mi41 mi51 mi61 mi71 mi8生成8X8的口令矩阵M并将其传送给矩阵变形模块
权利要求
1.一种基于指纹加密的身份认证系统,包括用户接口、密钥接口和数据库,其特征在 于,还包括口令处理单元、指纹处理单元、转换处理单元、解密处理单元和加密处理单元;所述用户接口分别与口令处理单元、指纹处理单元相连接,口令处理单元、指纹处理单 元、解密处理单元和加密处理单元分别与转换处理单元相连接;所述解密处理单元和加密 处理单元分别与数据库相连接,所述解密处理单元和加密处理单元分别与密钥接口相连。
2.根据权利要求1所述一种基于指纹加密的身份认证系统,其特征在于,所述口令处 理单元包括依次相连的口令读取模块、口令矩阵生成模块和矩阵变形模块,所述口令读取 模块还与用户接口相连接,所述矩阵变形模块还与转换处理单元相连接。
3.根据权利要求1所述一种基于指纹加密的身份认证系统,其特征在于,所述指纹处 理单元包括依次相连的指纹读取模块、平滑过滤模块、方向场评估模块,有效域探测模块、 脊线探测模块、细化模块和细节点定位模块,其中所述指纹读取模块还与用户接口相连,所 述细节点定位模块还与转换处理单元相连接。
4.根据权利要求1所述一种基于指纹加密的身份认证系统,其特征在于,所述转换处 理单元包括依次相连的模板提取模块、分区模块和模板转换模块,所述模板提取模块还与 指纹处理单元相连接,所述加密处理单元、解密处理单元和口令处理单元分别与模板转换 模块相连接。
5.根据权利要求1所述一种基于指纹加密的身份认证系统,其特征在于,所述解密处 理单元包括依次相连的数据读取模块、拆分模块、过滤模块、分组模块、重构模块和校验模 块,所述数据读取模块还与数据库相连接,所述过滤模块还与转换处理单元相连接,所述校 验模块还与密钥接口相连接。
6.根据权利要求1所述一种基于指纹加密的身份认证系统,其特征在于,所述加密处 理单元包括密钥读取模块、多项式构成模块、混淆模块、预处理模块、真实点生成模块、锁定 模块和数据写入模块,所述密钥读取模块、多项式构成模块、混淆模块、锁定模块和数据写 入模块依次相连,所述多项式构成模块、预处理模块和锁定模块分别与真实点生成模块相 连,所述预处理模块与转换处理单元相连,所述密钥读取模块与密钥接口相连,所述数据写 入模块与数据库相连。
7.一种基于指纹加密的身份认证系统的实现方法,其特征在于,包括密钥加密和密钥 解密;其中密钥加密具体包括以下步骤S1、用户通过用户交互模块输入自己的指纹图像、口令以及需要加密保护的密钥信息;S2、指纹处理单元从用户接口读取步骤Sl中的用户指纹图像,指纹处理单元对指纹图 像进行处理,并将处理后的指纹图像传递给转换处理单元;S3、口令处理单元从用户接口读取步骤Sl中的用户口令,生成口令矩阵并进行转换处 理,得到变换矩阵并发送给转换处理单元;S4、转换处理单元接收步骤S2中的指纹图像,生成原始模板并进行分区,根据步骤S3 中的变换矩阵对分区后的原始模板进行不可逆转换,得到转换模板并发送至加密处理单 元;S5、加密处理单元从密钥接口读取步骤Sl中的密钥信息并构建一个η阶多项式,接收步骤S4中的转换模板并进行预处理;根据预处理后的转换模板以及η阶多项式进行运算处 理,最终生成一个新的点集V并将其储存进数据库;其中η为正整数; 其中密钥解密具体包括以下步骤G1、用户通过用户交互模块输入解密的指纹图像和解密口令;G2、指纹处理单元从用户接口读取步骤Gl中的解密指纹图像,指纹处理单元对指纹图 像进行处理,并将处理后的指纹图像传递给转换处理单元;G3、口令处理单元从用户接口读取步骤Gl中的解密口令,生成口令矩阵并进行转换处 理,得到变换矩阵并发送给转换处理单元;G4、转换处理单元接收步骤G2中的指纹图像,生成原始模板并进行分区,根据步骤G3 中的变换矩阵对分区后的原始模板进行不可逆转换,得到转换模板并发送到解密处理单 元;G5、解密处理单元读取储存在数据库中的点集V,并对其进行拆分、过滤、排列组合、多 项式重构和校验处理,若通过校验,则恢复出密钥;若没有通过校验,则解密失败,返回步骤 G1。
8.根据权利要求7所述一种基于指纹加密的身份认证系统的实现方法,其特征在于, 所述步骤S2具体包括以下步骤S2. 1指纹处理单元通过指纹读取模块从用户接口读取用户指纹图像,并在平滑过滤模 块中进行平滑处理,让整个图像取得均勻一致的明暗效果;S2. 2方向场估计模块在收到从平滑过滤模块传送来的指纹图像后,对其进行计算,得 到方向场;S2. 3有效域探测模块在收到从方向场估计模块传来的指纹图像后,对其进行有效域的 锁定,去除无用的空白域并把处理完的图像传送给脊线探测模块;S2. 4脊线探测模块对接收到图像进行二值化处理,得到指纹脊线图像; S2. 5细化模块在接收到来自脊线探测模块的指纹脊线图像后,将脊线的宽度设为单个 像素的宽度,得到脊线的骨架图像,从而清晰化了脊线的形态,并将需要进行细节点提取的 脊线骨架图像传送给细节点定位模块;S2. 6细节点定位模块对接收到的图像进行分叉点和断点的探测和定位,最终得到细节 点图像;·52.7细节点定位模块将细节点图像传递给转换处理单元; 所述步骤S3具体包括以下步骤·53.1 口令读取模块从用户接口读取用户口令并发送至口令矩阵生成模块; S3. 2 口令矩阵生成模块对步骤S3. 1传递过来的用户口令进行下述处理将8bytes的用户口令W平均分成8个单元,其中W1 W8依次表示各个单元的ASC码;W = W11W21W31W41W51W61W71W8将W1 转化为二进制码,其中mn mi8表示Wi的各位上的二进制码,其中i = 1, 2......8 ;Wi = mn I mi21 Hii31 mi41 mi51 mi61 mi71 mi8生成8X8的口令矩阵M并将其传送给矩阵变形模块
9.根据权利要求8所述一种基于指纹加密的身份认证系统的实现方法,其特征在于, 所述步骤G2具体包括以下步骤G2. 1指纹处理单元通过指纹读取模块从用户接口读取用户指纹图像,并在平滑过滤模 块中进行平滑处理,让整个图像取得均勻一致的明暗效果;G2. 2方向场估计模块在收到从平滑过滤模块传送来的指纹图像后,对其进行计算,得 到方向场;G2. 3有效域探测模块在收到从方向场估计模块传来的指纹图像后,对其进行有效域的 锁定,去除无用的空白域并把处理完的图像传送给脊线探测模块;G2. 4脊线探测模块对接收到图像进行二值化处理,得到指纹脊线图像; G2. 5细化模块在接收到来自脊线探测模块的指纹脊线图像后,将脊线的宽度设为单个 像素的宽度,得到脊线的骨架图像,从而清晰化了脊线的形态,并将需要进行细节点提取的 脊线骨架图像传送给细节点定位模块;G2. 6细节点定位模块对接收到的图像进行分叉点和断点的探测和定位,最终得到细节 点图像;G2. 7细节点定位模块将细节点图像传递给转换处理单元; 所述步骤G3具体包括以下步骤G3. 1 口令读取模块从用户接口读取用户解密口令并发送至口令矩阵生成模块; G3.2 口令矩阵生成模块对步骤S3. 1传递过来的用户解密口令进行处理,得到一个 8X8的口令矩阵并将其传送给矩阵变形模块;生成8X8的口令矩阵Mtl并将其传送给矩阵变形模块Mq 二G3. 3矩阵变形模块对接收到的矩阵Mtl进行下述运算;进行矩阵计算,得到中间矩阵 C、其中<~<表示Ctlt的元素;其中C代表初始矩阵,即[1 2 3 4 5 6 7 8]
全文摘要
本发明公开了一种基于指纹加密的身份认证系统,包括用户接口、密钥接口和数据库,还包括口令处理单元、指纹处理单元、转换处理单元、解密处理单元和加密处理单元;所述用户接口分别与口令处理单元、指纹处理单元相连接,口令处理单元、指纹处理单元、解密处理单元和加密处理单元分别与转换处理单元相连接;所述解密处理单元和加密处理单元分别与数据库相连接,所述解密处理单元和加密处理单元分别与密钥接口相连。本发明还公开了一种基于指纹加密的身份认证系统的实现方法,包括加密和解密步骤。本发明具有允许撤销、可无限次重置生物特征密码、安全性高和防止交叉比对的漏洞等优点。
文档编号G06F21/00GK102004872SQ20101052449
公开日2011年4月6日 申请日期2010年10月27日 优先权日2010年10月27日
发明者徐念龙, 杨莹 申请人:杨莹