专利名称:一种基于指纹加密的身份认证系统的制作方法
技术领域:
本实用新型涉及生物信号加密等技术领域,特别一种基于指纹加密的身份认证系统。
背景技术:
近几年,由于身份认证系统的出现和日益普及,我们足不出户就可以通过用户认证、电话支付等方式开展电子商务,参与远程信息管理、网络购物等高效现代生活,越来越多的个人及企业已经习惯于将敏感数据和商业机密通过安全认证系统进行网络传输。然而,这些传统的加密体制也存在使用不方便以及记忆困难等缺点。典型的加密密钥都是随机且足够长的,人们很难记忆这些冗长随机的字符串,因此这样的密钥往往被存储在某种介质上,然后再由口令来保护密钥的安全性。这样,整个密钥系统的安全性就是基于口令的。以在线交易安全为例,为了保障整个通信过程中数据机密性、数据完整性、合法身份认证和抗抵赖性等方面,采取的主流认证技术被划分为(I)SFA(Single-factor authentication 单因子认证)仅通过一个条件的符合来证明一个人的身份称之为单因子认证。大家熟知的“用户名+ 口令”的身份认证机制,实际上就是一种单因子认证方式,因为用户名是易知的。(2)MFA(Multi-factor authentication多因子认证)通过组合两种及两种以上不同条件来证明一个人的身份称之为多因子认证。常见的多因子认证方式是结合密码以及实物(信用卡、SMS手机、令牌)等条件对用户进行认证的方法。由于传统单因子认证即静态密码(用户名+密码)为代表的技术已经被认为是极度危险的身份认证手段,因此近年来逐步发展出基于USB key的身份认证,它被认为是一种方便且可靠安全的身份认证技术。它采用一次一密的双因子认证模式,很好地解决了身份认证的可靠性的问题,并提供USB接口与先进的电脑通用。它内置了 CPU、存储器、芯片操作系统(COS)等,可以存储用户的密钥或者数字证书,利用USB内置的密码算法实现对于用户身份的认证.由于每个USB Key都具有硬件PIN码保护。PIN码和硬件构成了用户使用USB Key 的两个必要因素。用户只有同时取得了 USB Key和用户PIN码,才可以登录系统,即使用户的USB key遗失,拾到者由于不知道用户PIN码,也无法仿冒合法用户的身份。然而,随着编解码技术、钓鱼技术以及木马病毒的无孔不入和黑客工具的层层升级,采用USB KEY方式进行网络身份认证的安全性将面临新一轮的挑战。尤其是目前最大规模的应用在线支付功能。以银行发售的USB Key (即U盾)举例,在当前广泛应用和实际操作中存在几大安全漏洞1.利用PIN码和时间差作案目前的大多数银行使用的USB Key的PIN码都是从电脑上输入的,因此黑客可以通过木马程序直接截获USB Key的PIN码,这也是目前大多数USB Key存在的一个漏洞。知道了 PIN码后,如果用户忘记将USB Key从电脑上取出,那么黑客还可以进一步通过PIN码来操作USB Key。一个非常极端的情况是当个人用户的电脑已经被黑客远程控制,即键盘或屏幕的操作处于黑客监控中,以目前的USB Key功能还能保证安全交易吗?答案是否定的!因为此时USBKey的PIN码已经处于可被黑客截取的环境,只要USB Key被用户操作完之后没有被立刻取出,那么黑客完全可以在这个短暂的间歇期通过人工操作或病毒软件伪造一次交易,而此时USB Key以及PIN码均处于验证通过状态。事实上,这不是单纯的假设分析,而是来自于诸多的现实案例。2.从外部读取Key内的密钥USB Key的密钥从“理论”上讲是无法从外部直接读取的,这个“理论”建立在设计的绝对安全假设之上,如果设计和编写USB Key操作系统COS的人无意或人为地在COS留下了后门,那么设计者以及黑客就可以轻松从外部读取Key内部的密钥。采取什么技术才能改进和解决诸如上述的安全隐患成为近年来颇被关注的研究话题。其中,基于生物特征的加密技术最为研究人员重视。它将生物特征识别技术与传统加密技术相结合,为加密系统提供了一种利用生物特征信息保护密钥的机制,很好地解决了当前密钥保护机制存在的种种问题。当用户须得到一个被保护的密钥时,只要向系统提供自己的生物特征样本,如果验证样本和注册模板匹配,则密钥立即被释放,即实现了加/解密数据。由于密钥和生物特征信息在完成加密之后并没有保存在系统存储空间内,密钥和生物特征信息都无法从系统中直接获取到。当且只当正确的活体生物的特征信息被提交给系统时才能重新生成密钥。因此,生物特征加密技术作为采取用户物理身份进行加密和管理密钥的新颖的密钥保护机制,不但从本质上解决了通过钓鱼软件截获用户口令(PIN码) 的不足,由于生物特征不容易被攻击者获知,安全性更高。生物加密领域最为经典的实用算法是Fuzzy Vault方案,其很好地解决了生物特征的模糊性和密码机制的精确性之间的矛盾。这种方法将待保护的密钥用生物模板编码后,把生物模板数据隐藏在一群随机干扰数据中,和干扰数据构成一个Vault数据,从这些混合数据中很难分离出真实数据,真实数据被认为是“上锁”的。真实用户出示的现场样本则用来“解锁”真实数据。它比较适合于认证结果与特征点顺序无关的生物特征数据的保护,甚至可以容忍特征点数目的变化。但它也存在一些安全缺陷(1)对于不同的应用,同一个用户的原始生物模板可以用来绑定多个密钥,生成多个vault。但如果攻击者设法获得同一用户的两个vault,通过简单地交叉比较就可以获得用户的原始模板,进而获得密钥。因此原始模板和密钥都受到了威胁。(2)生物特征模板的唯一性导致了模板不可撤销。众所周知,口令是可以随时变更的,一旦原来的口令遇到安全问题就可以通过撤销原口令输入新口令来解决问题,然而对于同一个指纹来说,特征信息是固定不能改变的,一旦出现安全问题这个指纹就无法再次使用了。
实用新型内容本实用新型的目的之一在于克服当前基于口令的加密技术和密钥保护机制中存在的缺点和不足,提供一种基于指纹加密的身份认证系统。本实用新型具有允许撤销、可无限次重置生物特征密码、安全性高和防止交叉比对的漏洞等优点。本实用新型的目的之一通过下述技术方案实现一种基于指纹加密的身份认证系统,包括用户接口、密钥接口和数据库,还包括口令处理单元、指纹处理单元、转换处理单元、解密处理单元和加密处理单元;所述用户接口分别与口令处理单元、指纹处理单元相连接,口令处理单元、指纹处理单元、解密处理单元和加密处理单元分别与转换处理单元相连接;所述解密处理单元和加密处理单元分别与数据库相连接,所述解密处理单元和加密处理单元分别与密钥接口相连。为更好的实现本实用新型,所述口令处理单元包括依次相连的口令读取模块、口令矩阵生成模块和矩阵变形模块,所述口令读取模块还与用户接口相连接,所述矩阵变形模块还与转换处理单元相连接。优选的,所述口令处理单元采用STC公司的ARM3系列的通用芯片STM32f 103来实现。优选的,所述指纹处理单元包括依次相连的指纹读取模块、平滑过滤模块、方向场评估模块,有效域探测模块、脊线探测模块、细化模块和细节点定位模块,其中所述指纹读取模块还与用户接口相连,所述细节点定位模块还与转换处理单元相连接。优选的,所述指纹处理单元采用Authentek公司的Touch指纹识别芯片AES3500 来实现。优选的,所述转换处理单元包括依次相连的模板提取模块、分区模块和模板转换模块,所述模板提取模块还与指纹处理单元相连接,所述加密处理单元、解密处理单元和口令处理单元分别与模板转换模块相连接。优选的,所述转换处理单元采用STC公司的ARM3系列的通用芯片STM32f 103来实现。优选的,所述解密处理单元包括依次相连的数据读取模块、拆分模块、过滤模块、 分组模块、重构模块和校验模块,所述数据读取模块还与数据库相连接,所述过滤模块还与转换处理单元相连接,所述校验模块还与密钥接口相连接。优选的,所述解密处理单元采用STC公司的ARM3系列的通用芯片STM32f 103来实现。优选的,所述加密处理单元包括密钥读取模块、多项式构成模块、混淆模块、预处理模块、真实点生成模块、锁定模块和数据写入模块,所述密钥读取模块、多项式构成模块、 混淆模块、锁定模块和数据写入模块依次相连,所述多项式构成模块、预处理模块和锁定模块分别与真实点生成模块相连,所述预处理模块与转换处理单元相连,所述密钥读取模块与密钥接口相连,所述数据写入模块与数据库相连。优选的,所述加密处理单元采用STC公司的ARM3系列的通用芯片STM32f 103来实现。本实用新型相对于现有技术具有如下的优点及效果(1)对于不同的应用,用户可以选择不同的口令来变换同有不变的指纹特征信息, vault的加密和解密过程都是利用变换后的指纹特征信息,因此可有效地防止交叉比对的漏洞。[0033](2)本实用新型的转换算法是个不可逆的,即使知道了转换后的指纹信息和变换方程也无法推导出用户的指纹模板信息,安全性得到了提高。(3)允许撤销,可无限次重置生物特征密码。如果vault泄露,可以通过修改密码重新生成新的Vault,因此有效的解决了原fuzzy vault的模板不可撤销问题,应用价值得到了提高。(4)创新的指纹加密算法,保护密钥的同时也保护了用户的指纹特征信息。(5)与以往的单纯的加密保护不同,替代并改进当前基于口令校验的身份认证系统的安全性,本实用新型将传统的加密算法与生物特征验证相结合。
图1是本实施例中一种基于指纹加密的身份认证系统的结构示意图;图2是本实施例中口令处理单元的结构示意图;图3是本实施例中指纹处理单元的结构示意图;图4是本实施例中转换处理单元的结构示意图;图5是本实施例中解密处理单元的结构示意图;图6是本实施例中加密处理单元的结构示意图;图1是本实施例中一种基于指纹加密的身份认证系统的结构示意具体实施方式
下面结合实施例及附图对本实用新型作进一步详细的描述,但本实用新型的实施方式不限于此。实施例—种基于指纹加密的身份认证系统,其通过用户交互模块与用户交互指纹图像、 口令以及密钥信息;如图1所示,本系统包括用户接口、密钥接口和数据库,还包括口令处理单元、指纹处理单元、转换处理单元、解密处理单元和加密处理单元;所述用户接口分别与口令处理单元、指纹处理单元相连接,口令处理单元、指纹处理单元、解密处理单元和加密处理单元分别与转换处理单元相连接;所述解密处理单元和加密处理单元分别与数据库相连接,所述解密处理单元和加密处理单元分别与密钥接口相连。用户接口发送用户的口令到口令处理单元,或者发送指纹信息到指纹处理单元。密钥接口发送需要加密保护的密钥到加密处理单元,或者接受来自解密处理单元释放的保护密钥。如图2所示,所述口令处理单元包括依次相连的口令读取模块、口令矩阵生成模块和矩阵变形模块,所述口令读取模块还与用户接口相连接,所述矩阵变形模块还与转换处理单元相连接。所述口令处理单元采用STC公司的ARM3系列的通用芯片STM32H03来实现。如图3所示,所述指纹处理单元包括依次相连的指纹读取模块、平滑过滤模块、方向场评估模块,有效域探测模块、脊线探测模块、细化模块和细节点定位模块,其中所述指纹读取模块还与用户接口相连,所述细节点定位模块还与转换处理单元相连接。所述指纹处理单元采用Authentek公司的Touch指纹识别芯片AES3500来实现。如图4所示,所述转换处理单元包括依次相连的模板提取模块、分区模块和模板转换模块,所述模板提取模块还与指纹处理单元相连接,所述加密处理单元、解密处理单元和口令处理单元分别与模板转换模块相连接。所述转换处理单元采用STC公司的ARM3系列的通用芯片STM32H03来实现。如图5所示,所述解密处理单元包括依次相连的数据读取模块、拆分模块、过滤模块、分组模块、重构模块和校验模块,所述数据读取模块还与数据库相连接,所述过滤模块还与转换处理单元相连接,所述校验模块还与密钥接口相连接。所述解密处理单元采用STC 公司的ARM3系列的通用芯片STM32H03来实现。如图6所示,所述加密处理单元包括密钥读取模块、多项式构成模块、混淆模块、 预处理模块、真实点生成模块、锁定模块和数据写入模块,所述密钥读取模块、多项式构成模块、混淆模块、锁定模块和数据写入模块依次相连,所述多项式构成模块、预处理模块和锁定模块分别与真实点生成模块相连,所述预处理模块与转换处理单元相连,所述密钥读取模块与密钥接口相连,所述数据写入模块与数据库相连。所述加密处理单元采用STC公司的ARM3系列的通用芯片STM32H03来实现。上述一种基于指纹加密的身份认证系统的工作流程,包括密钥加密和密钥解密;其中密钥加密具体包括以下步骤Si、用户通过用户交互模块输入自己的指纹图像、口令(Sbyte)以及需要加密保护的密钥信息(16n bit);S2、指纹处理单元从用户接口读取步骤Sl中的用户指纹图像,指纹处理单元对指纹图像进行处理,并将处理后的指纹图像传递给转换处理单元;S3、口令处理单元从用户接口读取步骤Sl中的用户口令,生成口令矩阵并进行转换处理,得到变换矩阵并发送给转换处理单元;S4、转换处理单元接收步骤S2中的指纹图像,生成原始模板并进行分区,根据步骤S3中的变换矩阵对分区后的原始模板进行不可逆转换,得到转换模板并发送至加密处
理单元;S5、加密处理单元从密钥接口读取步骤Sl中的密钥信息并构建一个η阶多项式, 接收步骤S4中的转换模板并进行预处理;根据预处理后的转换模板以及η阶多项式进行运算处理,最终生成一个新的点集V并将其储存进数据库。所述步骤S2具体包括以下步骤S2. 1指纹处理单元通过指纹读取模块从用户接口读取用户指纹图像,并在平滑过滤模块中进行平滑处理,让整个图像取得均勻一致的明暗效果;S2. 2方向场估计模块在收到从平滑过滤模块传送来的指纹图像后,对其进行计算,得到方向场;S2. 3有效域探测模块在收到从方向场估计模块传来的指纹图像后,对其进行有效域的锁定,去除无用的空白域并把处理完的图像传送给脊线探测模块;S2. 4脊线探测模块对接收到图像进行二值化处理,得到指纹脊线图像;S2. 5细化模块在接收到来自脊线探测模块的指纹脊线图像后,将脊线的宽度设为单个像素的宽度,得到脊线的骨架图像,从而清晰化了脊线的形态,并将需要进行细节点提取的脊线骨架图像传送给细节点定位模块;S2. 6细节点定位模块对接收到的图像进行分叉点和断点的探测和定位,最终得到细节点图像;S2. 7细节点定位模块将细节点图像传递给转换处理单元;所述步骤S3具体包括以下步骤S3. 1 口令读取模块从用户接口读取用户口令并发送至口令矩阵生成模块;S3. 2 口令矩阵生成模块对步骤S3. 1传递过来的用户口令进行下述处理将8bytes的用户口令W平均分成8个单元,其中W1 W8依次表示各个单元的ASC 码;W = W11W21W31W41W51W61W71W8将W1 转化为二进制码,其中mn mi8表示Wi的各位上的二进制码;Wi = Hii! I mi21 mi31 | mi51 mi61 mi7 mi8(i = 1,2......8)生成8X8的口令矩阵M并将其传送给矩阵变形模块
权利要求1.一种基于指纹加密的身份认证系统,包括用户接口、密钥接口和数据库,其特征在于,还包括口令处理单元、指纹处理单元、转换处理单元、解密处理单元和加密处理单元;所述用户接口分别与口令处理单元、指纹处理单元相连接,口令处理单元、指纹处理单元、解密处理单元和加密处理单元分别与转换处理单元相连接;所述解密处理单元和加密处理单元分别与数据库相连接,所述解密处理单元和加密处理单元分别与密钥接口相连。
2.根据权利要求1所述一种基于指纹加密的身份认证系统,其特征在于,所述口令处理单元、解密处理单元、加密处理单元和转换处理单元均采用STC公司的ARM3系列的通用芯片STM32f 103来实现;所述指纹处理单元采用由Authentek公司的Touch指纹识别芯片AES3500来实现。
专利摘要本实用新型公开了一种基于指纹加密的身份认证系统,包括用户接口、密钥接口和数据库,还包括口令处理单元、指纹处理单元、转换处理单元、解密处理单元和加密处理单元;所述用户接口分别与口令处理单元、指纹处理单元相连接,口令处理单元、指纹处理单元、解密处理单元和加密处理单元分别与转换处理单元相连接;所述解密处理单元和加密处理单元分别与数据库相连接,所述解密处理单元和加密处理单元分别与密钥接口相连。本实用新型具有允许撤销、可无限次重置生物特征密码、安全性高和防止交叉比对的漏洞等优点。
文档编号G06K9/00GK201965619SQ201020582790
公开日2011年9月7日 申请日期2010年10月27日 优先权日2010年10月27日
发明者徐念龙, 杨莹 申请人:杨莹