基于格密码的远程生物认证方法及系统的制作方法
【专利摘要】本发明适用于通信【技术领域】,提供了一种基于格密码的远程生物认证方法和系统,所述方法包括:设定格和格的陷门基,并将格和陷门基存储于远程终端,将格存储于服务器;将用户的原始生物特征信息和身份信息存储于服务器,且服务器根据格与原始生物特征信息进行运算,获得相应的终端鉴权信息;远程终端将用户的当前生物特征信息发送至服务器时,服务器根据当前生物特征信息查找对应的原始生物特征信息及终端鉴权信息,再将终端鉴权信息发送至远程终端;远程终端根据终端鉴权信息、当前生物特征信息和陷门基进行运算,若运算结果匹配则认证成功。借此,本发明能够有效地帮助服务器和用户识别伪造终端,从而达到抵抗伪造终端攻击的效果。
【专利说明】基于格密码的远程生物认证方法及系统
【技术领域】[0001]本发明涉及通信【技术领域】,尤其涉及一种基于格密码的远程生物认证方法及系统。
【背景技术】
[0002]生物认证技术是通过人体固有的生物特征,如指纹、虹膜、掌纹等对用户身份进行认证的技术。生物认证技术无需用户记忆复杂口令且无需携带令牌等设备,并且具有准确、高效的优点,正日益广泛地应用于各种需要身份认证的场合。学术界和工业界已经提出多个远程生物认证方案,这些方案所涉及远程生物认证系统均由远程终端和服务器两部分组成,如图1所示,用户在服务器注册身份信息和生物信息后,远程终端采集用户的生物特征信息并发送给服务器,服务器根据存储的用户注册信息执行用户身份认证操作。
[0003]攻击者对远程生物认证系统的一种攻击方法是伪造终端设备,诱使用户通过伪造终端和服务器建立连接,当用户通过身份认证后,伪造终端和服务器之间就能够建立认证信道,进而实施其他攻击手段。现有的远程生物认证方案均无法抵抗上述伪造终端的攻击。
[0004]综上可知,现有技术在实际使用上显然存在不便与缺陷,所以有必要加以改进。
【发明内容】
[0005]针对上述的缺陷,本发明的目的在于提供一种基于格密码的远程生物认证方法及系统,其能够有效地帮助服务器和用户识别伪造终端,从而达到抵抗伪造终端攻击的效果。
[0006]为了实现上述目的,本发明提供一种基于格密码的远程生物认证方法,包括步骤有:
[0007]设定格和所述格的陷门基,并将所述格和所述陷门基存储于远程终端,将所述格存储于服务器;
[0008]将用户的原始生物特征信息和身份信息存储于所述服务器,且所述服务器根据所述格与所述原始生物特征信息进行运算,获得相应的终端鉴权信息;
[0009]所述远程终端将用户的当前生物特征信息发送至所述服务器时,所述服务器根据所述当前生物特征信息查找对应的所述原始生物特征信息及所述终端鉴权信息,再将所述终端鉴权信息发送至所述远程终端;
[0010]所述远程终端根据所述终端鉴权信息、所述当前生物特征信息和所述陷门基进行运算,若运算结果匹配则认证成功。
[0011]根据本发明所述的远程生物认证方法,所述设定格和所述格的陷门基,并将所述格和所述陷门基存储于远程终端,将所述格存储于服务器的步骤包括:
[0012]选定整数m、n、q,满足n≥1, m≥5n.lgq, q为素数且q=poly (n),并随机选取m*n个小于q的非负整数组成矩阵A ;
[0013]根据所述矩阵A生成格⑷丨以及所述格⑷碑陷门基T,使得所述矩阵A的分布规律在统计上和均匀随机分布无法区分;[0014]将所述格.七和所述陷门基T存储于所述远程终端,并将所述格存储于所述服务器。
[0015]根据本发明所述的远程生物认证方法,所述将用户的原始生物特征信息和身份信息存储于所述服务器,且服务器根据所述格与所述原始生物特征信息进行运算,获得相应的终端鉴权信息的步骤包括:
[0016]所述远程终端向所述服务器提交用户的原始生物特征信息w和身份信息IDu ;
[0017]所述服务器将所述原始生物特征信息w转化为高维空间的向量;
[0018]所述服务器在所述格上选取一个随机格点V,计算终端鉴权信息U=原始生物特征信息W-随机格点V,所述终端鉴权信息U作为安全模型;
[0019]所述服务器将所述身份信息IDu、所述终端鉴权信息U、所述随机格点V、所述原始生物特征信息w作为用户信息进行存储。
[0020]根据本发明所述的远程生物认证方法,所述远程终端将用户的当前生物特征信息发送至所述服务器时,所述服务器根据所述当前生物特征信息查找对应的所述原始生物特征信息及所述终端鉴权信息,再将所述终端鉴权信息发送至所述远程终端的步骤包括:
[0021]所述远程终端采集用户的当前生物特征信息W’,并将所述当前生物特征信息w’发给所述服务器;
[0022]所述服务器在已存储的所述用户信息中查询是否有与所述当前生物特征信息w’匹配的所述原始生物特征信息w ;
[0023]若有匹配的所述原始生物特征信息W,则所述用户的身份认证成功,且将所述原始生物特征信息W对应的所述终端鉴权信息U发送给所述远程终端;
[0024]若没有匹配的所述原始生物特征信息W,则所述用户的身份认证失败。
[0025]根据本发明所述的远程生物认证方法,所述远程终端根据所述终端鉴权信息、所述当前生物特征信息和所述陷门基进行运算,若运算结果匹配则认证成功的步骤包括:
[0026]所述远程终端计算第一格点V’ =原始生物特征信息-终端鉴权信息U,并使用
所述陷门基T,在所述格,41$.上查找与所述第一格点V’最近的第二格点V*,并将所述第二格点V*发送给所述服务器;
[0027]所述服务器判断所述第二格点V*与所述随机格点V是否相等,若是则判定所述远程终端为合法终端且认证成功,否则判定所述远程终端为伪造终端且认证失败。
[0028]本发明还提供一种基于格密码的远程生物认证系统,包括有相互通信连接的远程终端和服务器;
[0029]参数设定模块,用于设定格和所述格的陷门基,并将所述格和所述陷门基存储于远程终端,将所述格存储于服务器,所述参数设定模块可设于所述远程终端或者所述服务器中;
[0030]所述服务器还包括:
[0031]用户注册模块,用于将用户的原始生物特征信息和身份信息存储于所述服务器,且所述服务器根据所述格与所述原始生物特征信息进行运算,获得相应的终端鉴权信息;
[0032]第一认证模块,用于当所述远程终端将用户的当前生物特征信息发送至所述服务器时,根据所述当前生物特征信息查找对应的所述原始生物特征信息及所述终端鉴权信息,再将所述终端鉴权信息发送至所述远程终端;
[0033]所述远程终端还包括:
[0034]第二认证模块,用于根据所述终端鉴权信息、所述当前生物特征信息和所述陷门基进行运算,若运算结果匹配则认证成功。
[0035]根据本发明所述的远程生物认证系统,所述参数设定模块进一步包括:
[0036]矩阵生成子模块,用于选定整数m、n、q,满足η≥1,m≥5η.lgq,q为素数且q=poly (η),并随机选取m*n个小于q的非负整数组成矩阵A ;
[0037]格生成子模块,用于根据所述矩阵A生成格今以及所述格的陷门基T,使得所述矩阵A的分布规律在统计上和均匀随机分布无法区分;
[0038]存储控制子模块,用于将所述格」和所述陷门基T存储于所述远程终端,并将所述格(AL存储于所述服务器。
[0039]根据本发明所述的远程生物认证系统,所述远程终端进一步包括:
[0040]信息提交模块,用于向所述服务器提交用户的原始生物特征信息w和身份信息IDu;
[0041]所述服务器的所述用户注册模块进一步包括:
[0042]向量转换子模块,用于将接收到的所述原始生物特征信息w转化为高维空间的向量;
[0043]模型计算子模块,用于在所述格上选取一个随机格点V,计算终端鉴权信息U=原始生物特征信息W-随机格点V,所述终端鉴权信息U作为安全模型;
[0044]存储子模块,用于将所述身份信息IDu、所述终端鉴权信息U、所述随机格点V、所述原始生物特征信息w作为用户信息进行存储。
[0045]根据本发明所述的远程生物认证系统,所述远程终端进一步包括:
[0046]认证请求模块,用于采集用户的当前生物特征信息W’,并将所述当前生物特征信息w’发给所述服务器;
[0047]所述服务器的所述第一认证模块进一步包括:
[0048]生物匹配子模块,用于在所述服务器已存储的所述用户信息中,查询是否有与所述当前生物特征信息匹配的所述原始生物特征信息《,若是则所述用户的身份认证成功,否则所述用户的身份认证失败;
[0049]信息发送子模块,用于若有匹配的所述原始生物特征信息W,则将所述原始生物特征信息W对应的所述终端鉴权信息U发送给所述远程终端。
[0050]根据本发明所述的远程生物认证系统,所述远程终端的所述第二认证模块用于计算第一格点V’ =原始生物特征信息W’-终端鉴权信息U,并使用所述陷门基T,在所述格
,0:,句_上查找与所述第一格点V’最近的第二格点V*’并将所述第二格点V*发送给所述服
务器;
[0051 ] 所述服务器进一步包括:
[0052]第三认证模块,用于判断所述第二格点V*与所述随机格点V是否相等,若是则判定所述远程终端为合法终端且认证成功,否则判定所述远程终端为伪造终端且认证失败。[0053]本发明远程生物认证方案基于格密码学技术,其不仅能根据用户的生物特征信息对用户进行身份认证,而且能够基于格密码学的困难问题,将生物特征信息匹配的过程转化为求解BDD问题的过程,使用本发明进行远程生物认证时,伪造终端无法实现正确的用户特征数据转化,因此无论用户是否合法,都不能实现成功认证,其能够有效地帮助服务器和用户识别伪造终端,从而达到抵抗伪造终端攻击的效果,充分保证了远程生物认证系统的安全性。
【专利附图】
【附图说明】
[0054]图1是现有远程生物认证系统的结构示意图;
[0055]图2是本发明基于格密码的远程生物认证系统的结构示意图;
[0056]图3是本发明优选基于格密码的远程生物认证系统的结构示意图;
[0057]图4是本发明基于格密码的远程生物认证方法的流程图;
[0058]图5是本发明优选基于格密码的远程生物认证方法的流程图。
【具体实施方式】
[0059]为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0060]图2是本发明基于格密码的远程生物认证系统的结构示意图,所述远程生物认证系统100包括有相互通信连接的远程终端10和服务器20,其中:
[0061]所述远程终端10包括:
[0062]参数设定模块11,用于基于格密码学原理选取特定数据,设定格和格的陷门基,并将格和陷门基存储于远程终端10,将格存储于服务器20。优选的是,所述参数设定模块11也可设于服务器20中。根据格密码学原理,使用格和陷门基可解决格上的BDD (BoundedDistance Decoding,有界距离解码)问题。参数设定模块11只需执行一次,可在本发明初次实施时完成。
[0063]所述服务器20包括:
[0064]用户注册模块21,用于将用户的原始生物特征信息和身份信息存储于服务器20,且服务器20根据格与原始生物特征信息进行运算,获得相应的终端鉴权信息。用户注册模块21执行用户注册阶段功能,每个用户都要执行一次用户注册阶段。在该阶段中,用户将自己的原始生物特征信息(例如指纹信息、虹膜信息等)和身份信息(例如姓名、联系方式等)提交给服务器20,服务器20存储该用户的原始生物特征信息及身份信息,以备将来用户请求认证时使用。
[0065]第一认证模块22,用于当远程终端10将用户的当前生物特征信息发送至服务器20时,根据当前生物特征信息查找对应的原始生物特征信息及终端鉴权信息,再将终端鉴权信息发送至远程终端10。
[0066]所述远程终端10还包括:
[0067]第二认证模块12,用于根据所述终端鉴权信息、当前生物特征信息和陷门基进行运算,若运算结果匹配则认证成功。运算结果匹配说明远程终端10具有解决BDD问题的能力,也就是说明远程终端10存有陷门基T,从而是合法终端。
[0068]本发明采用将生物特征信息转化为高维空间中的向量的思想,基于格密码学原理,达到了抗伪造终端攻击的效果,提升了安全性。本发明的安全性基于格密码学中的BDD问题,BDD问题是格密码学中一个著名的困难问题,其困难性是密码学界的一个重要结论,本发明借此解决了现有远程生物认证方案不能够抵抗伪造终端攻击的问题,不仅有重要的理论价值,而且具有很强的实用性。
[0069]要理解BDD问题先要理解格的概念。设Z为整数集合,R为实数集合,Rn是η维实向量的集合,B = Iv1, V2, , νη}是Rn上一组线性无关的向量,这些向量的整数线性组合
【权利要求】
1.一种基于格密码的远程生物认证方法,其特征在于,包括步骤有: 设定格和所述格的陷门基,并将所述格和所述陷门基存储于远程终端,将所述格存储于服务器; 将用户的原始生物特征信息和身份信息存储于所述服务器,且所述服务器根据所述格与所述原始生物特征信息进行运算,获得相应的终端鉴权信息; 所述远程终端将用户的当前生物特征信息发送至所述服务器时,所述服务器根据所述当前生物特征信息查找对应的所述原始生物特征信息及所述终端鉴权信息,再将所述终端鉴权信息发送至所述远程终端; 所述远程终端根据所述终端鉴权信息、所述当前生物特征信息和所述陷门基进行运算,若运算结果匹配则认证成功。
2.根据权利要求1所述的远程生物认证方法,其特征在于,所述设定格和所述格的陷门基,并将所述格和所述陷门基存储于远程终端,将所述格存储于服务器的步骤包括: 选定整数m、n、q,满足η≥I, m≥5n.lgq, q为素数且q=poly (η),并随机选取m*n个小于q的非负整数组成矩阵A; 根据所述矩阵A生成格以及所述格.片的陷门基T,使得所述矩阵A的分布规律在统计上和均匀随机分布无法区分; 将所述格.+?L.4),和所述陷门基T存储于所述远程终端,并将所述格(.4:1存储于所述服务器。
3.根据权利要求1或2所述的远程生物认证方法,其特征在于,所述将用户的原始生物特征信息和身份信息存储于所述服务器,且服务器根据所述格与所述原始生物特征信息进行运算,获得相应的终端鉴权信息的步骤包括: 所述远程终端向所述服务器提交用户的原始生物特征信息w和身份信息IDu ; 所述服务器将所述原始生物特征信息w转化为高维空间的向量; 所述服务器在所述格上选取一个随机格点V,计算终端鉴权信息U=原始生物特征信息W-随机格点V,所述终端鉴权信息u作为安全模型; 所述服务器将所述身份信息IDu、所述终端鉴权信息U、所述随机格点V、所述原始生物特征信息w作为用户信息进行存储。
4.根据权利要求3所述的远程生物认证方法,其特征在于,所述远程终端将用户的当前生物特征信息发送至所述服务器时,所述服务器根据所述当前生物特征信息查找对应的所述原始生物特征信息及所述终端鉴权信息,再将所述终端鉴权信息发送至所述远程终端的步骤包括: 所述远程终端采集用户的当前生物特征信息w’,并将所述当前生物特征信息w’发给所述服务器; 所述服务器在已存储的所述用户信息中查询是否有与所述当前生物特征信息w’匹配的所述原始生物特征信息w ; 若有匹配的所述原始生物特征信息W,则所述用户的身份认证成功,且将所述原始生物特征信息w对应的所述终端鉴权信息u发送给所述远程终端; 若没有匹配的所述原始生物特征信息《,则所述用户的身份认证失败。
5.根据权利要求3所述的远程生物认证方法,其特征在于,所述远程终端根据所述终端鉴权信息、所述当前生物特征信息和所述陷门基进行运算,若运算结果匹配则认证成功的步骤包括: 所述远程终端计算第一格点V’ =原始生物特征信息W’ -终端鉴权信息U,并使用所述陷门基T,在所述格.《g上查找与所述第一格点V’最近的第二格点V*,并将所述第二格点V*发送给所述服务器; 所述服务器判断所述第二格点V*与所述随机格点V是否相等,若是则判定所述远程终端为合法终端且认证成功,否则判定所述远程终端为伪造终端且认证失败。
6.一种基于格密码的远程生物认证系统,其特征在于,包括有相互通信连接的远程终端和服务器; 参数设定模块,用于设定格和所述格的陷门基,并将所述格和所述陷门基存储于远程终端,将所述格存储于服务器,所述参数设定模块可设于所述远程终端或者所述服务器中; 所述服务器还包括: 用户注册模块,用于将用户的原始生物特征信息和身份信息存储于所述服务器,且所述服务器根据所述格与所述原始生物特征信息进行运算,获得相应的终端鉴权信息; 第一认证模块,用于当所述远程终端将用户的当前生物特征信息发送至所述服务器时,根据所述当前生物特征信息查找对应的所述原始生物特征信息及所述终端鉴权信息,再将所述终端鉴权信息发送至所述远程终端; 所述远程终端还包括: 第二认证模块,用于根据所述终端鉴权信息、所述当前生物特征信息和所述陷门基进行运算,若运算结果匹配则认证成功。
7.根据权利要求6所述的远程生物认证系统,其特征在于,所述参数设定模块进一步包括: 矩阵生成子模块,用于选定整数m、n、q,满足η≥l,m^ 5η.lgq, q为素数且q=poly (η),并随机选取m*n个小于q的非负整数组成矩阵A ; 格生成子模块,用于根据所述矩阵A生成格.-兮W)以及所述格的陷门基Τ,使得所述矩阵A的分布规律在统计上和均匀随机分布无法区分; 存储控制子模块,用于将所述格..C (X)和所述陷门基T存储于所述远程终端,并将所述格存储于所述服务器。
8.根据权利要求6或7所述的远程生物认证系统,其特征在于,所述远程终端进一步包括: 信息提交模块,用于向所述服务器提交用户的原始生物特征信息w和身份信息IDu ; 所述服务器的所述用户注册模块进一步包括: 向量转换子模块,用于将接收到的所述原始生物特征信息w转化为高维空间的向量;模型计算子模块,用于在所述格上选取一个随机格点V,计算终端鉴权信息U=原始生物特征信息W-随机格点V,所述终端鉴权信息u作为安全模型;存储子模块,用于将所述身份信息IDu、所述终端鉴权信息U、所述随机格点V、所述原始生物特征信息w作为用户信息进行存储。
9.根据权利要求8所述的远程生物认证系统,其特征在于,所述远程终端进一步包括: 认证请求模块,用于采集用户的当前生物特征信息w’,并将所述当前生物特征信息w’发给所述服务器; 所述服务器的所述第一认证模块进一步包括: 生物匹配子模块,用于在所述服务器已存储的所述用户信息中,查询是否有与所述当前生物特征信息匹配的所述原始生物特征信息W,若是则所述用户的身份认证成功,否则所述用户的身份认证失败; 信息发送子模块,用于若有匹配的所述原始生物特征信息W,则将所述原始生物特征信息W对应的所述终端鉴权信息U发送给所述远程终端。
10.根据权利要求8所述的远程生物认证系统,其特征在于,所述远程终端的所述第二认证模块用于计算第一格点V’ =原始生物特征信息W’ -终端鉴权信息U,并使用所述陷门基T,在所述格七0)_上查找与所述第一格点V’最近的第二格点V*,并将所述第二格点V*发送给所述服务器; 所述服务器进一步包括: 第三认证模块,用于判断所述第二格点V*与所述随机格点V是否相等,若是则判定所述远程终端为合法终端且认证成功,否则判定所述远程终端为伪造终端且认证失败。
【文档编号】G06F21/32GK103746980SQ201310744240
【公开日】2014年4月23日 申请日期:2013年12月30日 优先权日:2013年12月30日
【发明者】钟焰涛 申请人:宇龙计算机通信科技(深圳)有限公司