CN102710613A - 多接收者生物特征签密方法 - Google Patents

Abstract

本发明公开了一种多接收者生物特征签密方法，具体实现步骤包括：1、系统参数生成；2、特征提取；3、用户注册；4、发送者加密；5、接收者解密。本发明使用模糊提取(Fuzzy Extractor)技术将生物特征与用户密钥绑定来保护密钥，通过生物特征信息直接认证用户身份，解决了传统密码学中密钥安全，密钥滥用等安全问题。在加密过程中加入了发送者的数字签名，解密时通过验证就可确认发送者身份，解决了发送者被伪造的问题。本发明提高了系统整体的安全性和可靠性，具有安全，高效，用户无需保存任何秘密信息的优点，可以应用于分布式网络应用领域。

Description

多接收者生物特征签密方法

技术领域

本发明属于计算机技术领域，更进一步涉及一种网络安全技术领域中多接收者生物特征签密方法。本发明是一种多接收者生物特征(如指纹、虹膜、人脸等)签密方法，即消息发送者使用自己的生物特征进行加密所得到的密文，每一个授权的接收者都可以使用其生物特征对该密文进行解密。本发明可用于分布式网络应用当中，解决了网络服务提供商对网络中的所有授权用户进行广播消息的安全问题、所有授权用户私钥的安全问题以及接收者对发送者身份确认的问题。

背景技术

在分布式网络应用(例如网络会议、圆桌会议、收费电视等)中，为了保证系统中仅被授权的用户可以正确接收信息，而非授权用户无法正确接收信息，需要安全广播技术作为支持。安全广播是实现一个发送者向多个授权接收者发送相同消息的安全技术，能够实现上述网络应用的安全需求。

西安电子科技大学在其专利申请文件“基于生物特征的多接收者加密方法”(申请号201010528004.9，申请日期2010.10.29，公开日期2011.2.16)中提出了一种基于生物特征的多接收者加密方法，该方法的主要步骤是：首先，用户向可信第三方TTP(Trust Third Party)进行注册，TTP为每一个注册用户计算私钥，并用该用户的生物特征(如指纹、虹膜、人脸等)对私钥进行绑定得到一个绑定数据存放在一个智能卡中，将智能卡颁发给用户；加密时，发送者用自己的生物特征、授权接收者的身份信息以及消息输入智能卡进行计算得到密文，并进行广播；解密时，接收者收到密文后用自己的生物特征和密文输入智能卡进行解密。但是该方法存在一些缺陷：首先，用户虽然不需要秘密保存有关密钥的任何信息，但仍需要借助于智能卡，虽然智能卡丢失不会给用户带来任何损失，但必须得重新申请，才能进行加解密操作；其次，接收者解密时需要重构加密时构造的拉格朗日(Lagrange)多项式，这样会泄露其他授权接收者的隐私，存在安全问题；而且当授权接收者很多时，计算量将会很大，严重影响了解密效率；另外解密过程必须是授权的接收者进行解密计算，否则解密过程都是无意义的，但该方案缺少对接收者是否具有解密权限的验证过程，容易导致非授权接收者没有必要的解密开销。

发明内容

本发明的目的在于克服上述现有技术在进行安全广播时需要每个用户安全保存密钥、解密时对发送者身份确认、解密效率低的问题，提供一个结合模糊提取技术的多接收者生物特征签密方法。

实现本方法的主要思想是：用户注册时，密钥生成中心根据用户的身份信息为其计算私钥，然后用模糊提取方法将生物特征数据与该私钥进行绑定得到一个矫正参数，该参数不需要安全保存，而是对外公开，而且不会泄露任何密钥信息；在密文中加入发送者的数字签名来解决了接收者在解密时对发送者身份的确认问题；解密时，接收者无需进行多项式恢复，首先进行发送者身份验证，判定发送者是否伪造以及自己是否为授权的接收者，进而确定是否需要进一步解密操作。这样，以用户的生物特征作为密钥，每个用户不再需要安全保存密码学中的密钥，就不会发生传统密码学中忘记密钥、密钥被盗、密钥丢失和密钥滥用等问题，从而可以提高系统整体的安全性、高效性。

根据以上思路，本发明的具体实现步骤包括如下：

(1)生成系统参数

1a)根据系统安全参数选取一个大素数；

1b)密钥生成中心构造两个阶为大素数的加法循环群G₁和乘法循环群G₂；

1c)密钥生成中心利用群G₁和群G₂构造一个双线性映射，从群G₁任意选取生成元；

1d)从群G₁中随机选取系统主密钥和一个元素，将选取的这个元素和系统主密钥相乘的结果作为系统公钥，秘密保存系统主密钥；

1e)密钥生成中心构造5个密码单向哈希函数H₀，H₁，H₂，H₃，H₄；

1f)密钥生成中心构造一个模糊提取算法；

1g)密钥生成中心选取一个加密算法(E，D)；

(2)提取特征

密钥生成中心利用采集仪采集用户的生物特征，利用生物特征提取方法提取生物特征数据；

(3)用户注册

3a)用户向密钥生成中心提交身份信息；

3b)密钥生成中心利用下式计算私钥：

S＝s(P₀+Q)

其中，S为用户私钥，s为系统主密钥，P₀为系统参数，Q表示对身份信息利用密码单向哈希函数H₀计算得到的身份映射参数；

3c)密钥生成中心利用模糊提取方法将步骤(2)中提取的生物特征数据和用户私钥进行绑定，得到一个矫正参数；

3d)密钥生成中心对外公布矫正参数，并通告该用户注册成功；

(4)发送者加密

4a)发送者提交相关信息给密钥生成中心；

4b)密钥生成中心利用模糊提取方法和步骤(2)得到的发送者生物特征以及发送者的矫正参数对发送者私钥进行解绑定，恢复发送者私钥；

4c)密钥生成中心随机选取一个密钥序列，并利用密码单向哈希函数H₁对密钥序列和明文消息处理得到消息映射参数；

4d)密钥生成中心利用下式计算密文分量：

$L=\underset{i=0}{\overset{n}{\mathrm{\Σ}}}{a}_i{\mathrm{yQ}}_i$

其中，L为密文分量，i为计数游标，n为授权接收者的总数，a_i为系数，该系数为密钥生成中心对步骤4a)中提交的身份信息处理的结果利用拉格朗日插值法得到的系数，y为加密参数，Q_i为利用密码单向哈希函数H₀对身份信息计算得到的身份映射参数；

4e)将消息映射参数与步骤4b)获得的发送者私钥相乘，得到发送者身份验证信息；

4f)将消息映射参数与步骤1c)中选取的生成元相乘的结果、随机选取一个整数与系统公钥相乘的结果两者共同构成文件密钥；

4g)利用下式计算解密参数：

$Z=\mathrm{\σ}\⊕H_3\left({e(P_{\mathrm{pub}},P_0)}^r\right)$

其中，Z为解密参数，σ为步骤4c)随机选取的密钥序列，

为异或运算符，H₃为密码单向哈希函数，e为双线性映射，P_pub为系统公钥，P₀为系统参数，r为消息映射参数；

4h)利用系统参数中的加密方法对明文消息进行加密，得到消息密文；

4i)密钥生成中心将步骤4c)、步骤4e)、步骤4f)、步骤4g)和步骤4h)得到的结果构成密文并对密文进行广播；

(5)接收者解密

5a)接收者提交身份信息和待解密的密文消息给密钥生成中心；

5b)密钥生成中心利用模糊提取方法和接收者的生物特征以及接收者的矫正参数对接收者私钥进行解绑定，恢复接收者私钥；

5c)利用下式计算解密权限判定参数：

$\mathrm{\δ}=\underset{i=0}{\overset{n}{\mathrm{\Σ}}}\left(x^i\mathrm{mod}q\right)L_i$

其中，δ为解密权限判定参数，i为计数游标，n为授权接收者的总数，x为身份映射参数，L_i为密文分量，q为步骤1a)中选取的大素数；

5d)利用下式计算解密权限：

A＝e(P，K)

其中，A为解密权限，e为双线性映射，P为步骤1c)中选取的生成元，K为密文分量；

5e)利用下式计算接收者权限：

$\mathrm{ut}=\frac{e(U_1,S^{\′})}{e(U_2,\mathrm{\δ})}\·e(U_2,{\mathrm{\δ}}_0)$

其中，ut为接收者权限，e为双线性映射，U₁、U₂为密文分量，S′为步骤5b)中恢复得到的接收者私钥，δ，δ₀为解密权限判定参数；

5f)判断解密权限和接收者权限是否相等，如果相等，则该接收者是授权的接收者，执行下述解密步骤，否则不是授权的接收者，无需执行以下步骤，结束解密；

5g)接收者利用下式计算密钥序列：

${\mathrm{\σ}}^{\′}=V\⊕H_3\left(\frac{e(U_1,S^{\′})}{e(U_2,\mathrm{\δ})}\right)$

其中，σ′为密钥序列，V、U₁、U₂为密文分量，

为异或运算符，H₃为密码单向哈希函数，e为双线性映射，S′为步骤5b)恢复的接收者私钥，δ为步骤5c)中得到的解密权限判定参数；

5h)接收者利用密码单向哈希函数H₄对步骤5g)得到的密钥序列计算得到解密密钥；

5i)接收者利用系统参数中的解密方法以步骤5h)中得到的解密密钥为密钥对消息密文进行解密得到消息明文；

5j)接收者对步骤5g)得到的密钥序列和步骤5i)得到的消息明文，利用密码单向哈希函数H₁计算得到消息映射参数；

5k)接收者判断消息映射参数与生成元的乘积和密文分量U₁是否相等，如果相等，则消息明文正确，接收该消息，否则存在错误，拒绝该消息，完成解密；

本发明与现有技术相比具有如下优点：

第一，本发明使用模糊提取方法将生物特征和用户密钥进行绑定来保护用户密钥，使用生物特征代替密码学中的密钥，克服了现有技术中的密钥安全，密钥滥用等安全问题，使得本发明具有更安全地保护密钥安全的优点。

第二，本发明在加密方法中加入了发送者的数字签名，可以通过验证即可确认发送者身份，克服了现有技术中发送者伪造的问题，使得本发明具有通过验证发送者身份，防止发送者被伪造的优点。

第三，本发明改进了现有的加密方法，克服了现有技术中解密时需重构多项式的缺陷，使得本发明具有解密效率，避免泄露其他用户隐私的优点。

第四，本发明改进了现有的加密方法，接收者在解密时进行简单的验证即可判断自己是否为授权的接收者，克服了现有技术中缺少解密权限判定的问题，使得本发明避免了非授权接收者没有必要的解密操作的优点。

附图说明

附图1为本发明的流程图。

具体实施方式

下面结合附图1对本发明做进一步的描述。

步骤1，系统参数生成

密钥生成中心根据安全参数κ选取一个大素数q(q＞2^κ)，构造两个q阶的加法循环群G₁和乘法循环群G₂；并构造一个双线性映射，即e：G₁×G₁→G₂；从群G₁随机选取生成元P，随机选取系统主密钥

和一个元素P₀∈G₁，计算对应的系统公钥P_pub＝sP；构造5个密码单向哈希函数，记为：

$H_1:{\left\{\mathrm{0,1}\right\}}^i\×{\left\{\mathrm{0,1}\right\}}^{*}\→z_q^{*};$ $H_2:{\left\{\mathrm{0,1}\right\}}^{*}\→Z_q^{*};$ H₃：G₂→{0，1}^l；H₄：{0，1}^l→{0，1}^l；密钥生成中心构造一个模糊提取算法，包括特征提取函数F_b，编码函数E_b，译码函数D_b，并选取一个加密算法(E，D)。

密钥生成中心公布系统参数Params：

Params＝<G₁，G₂，q，e，P，P₀，P_pub，H₀，H₁，H₂，H₃，H₄，E_b，D_b，F_b，E，D>

秘密保存系统主密钥s。

步骤2，特征提取

密钥生成中心利用采集仪采集用户R_i(0≤i≤n)生物特征特征(以指纹为例)B_i，并利用特征提取函数F_b提取特征数据b_i＝F_b(B_i)。

步骤3，用户注册，包括发送者R₀和n个接收者R₁，R₂，…，R_n，向密钥生成中心PKG进行注册，提取生物特征密钥。发送者需要在加密前提取密钥，而接收者仅需要在解密前进行提取。

用户R_i(0≤i≤n)向密钥生成中心提交身份信息ID_i，密钥生成中心利用系统主密钥和用户身份信息以及系统参数中的密码单向哈希函数H₀计算用户私钥：首先计算

然后计算用户R_i的私钥S_i＝s(P₀+Q_i)。

密钥生成中心利用模糊提取方法将步骤2中提取的指纹特征数据b_i和用户私钥S_i进行绑定，得到一个矫正参数

密钥生成中心对外公布矫正参数PAR_i，并通告用户注册成功。

步骤4，发送者加密，发送者R₀对明文消息m进行加密，使得只有授权的接收者R₁，R₂，...，R_n才能进行解密。发送者提交身份信息ID₀，授权接收者R₁，R₂，...，R_n的身份信息ID₁，ID₂，…，ID_n及明文消息m给密钥生成中心。

密钥生成中心利用模糊提取方法对步骤2中提取的发送者指纹特征数据b′₀和矫正参数PAR₀对发送者的私钥进行解绑定，恢复发送者私钥： $S_0^{\&prime;}=\mathrm{Rep}(b_0^{\&prime;},{\mathrm{PAR}}_0)=D_b(b_0^{\&prime;}\&CirclePlus;b_0\&CirclePlus;E_b\left(S_0\right)).$

密钥生成中心随机选取一个密钥序列σ∈{0，1}^l，并利用密码单向哈希函数H₁对密钥序列σ和明文消息m进行计算得到消息映射参数：r＝H₁(σ，m)，随机选取

设y＝τ^-1rmodq，计算x_i＝H₂(ID_i)和Q_i＝H₀(ID_i)(i＝0，1，...，n)，利用n+1对(x_i，Q_i)导出n+1个数值对(x_i，y_i)，其中，y_i＝yQ_i，并构造函数F_i(x)满足F_i(x_i)＝y_i，利用拉格朗日插值法对这n+1个数值对(x_i，y_i)进行插值，得到一个n次多项f_i(x)：

$f_i\left(x\right)=\underset{0\&le;j\&NotEqual;i\&le;n}{\mathrm{\&Pi;}}\frac{x-x_j}{x_i-x_j}=a_{i,0}+a_{i,1}x+...+a_{i,n}{x}^n,$ a_i，0，a_i，1，…，a_i，n∈Z_q

利用f_i(x)的各次系数a_i，j(i，j＝0，1，...，n，且i≠j)和y以及Q_i计算密文分量将消息映射参数r分别与发送者私钥S′₀相乘得到发送者身份验证信息rS₀′，将消息映射参数r与加法循环群G₁生成元P相乘的结果rP、随机选取的整数τ与系统公钥P_pub相乘的结果τP_pub两者共同构成文件密钥，然后，计算解密参数：

利用系统参数中的加密方法E对明文消息m进行加密得到消息密文

密钥生成中心对密文c：

$c=<{\mathrm{ID}}_0,L_0,L_1,...,L_n,{\mathrm{rS}}_0^{\&prime;},\mathrm{rP},{\mathrm{\&tau;P}}_{\mathrm{pub}},\mathrm{\&sigma;}\&CirclePlus;H_3\left(e{(P_{\mathrm{pub}},P_0)}^r\right),E_{H_4\left(\mathrm{\&sigma;}\right)}\left(M\right)>$ 进行广播，完成加密操作。

步骤5，接收者解密

接收者R_i(0＜i≤n)提交身份信息ID_i和待解密的密文

c＝<ID₀，L₀，L₁，...，L_n，K，U₁，U₂，V，W>给密钥生成中心，利用模糊提取方法对接收者私钥进行解绑定，恢复接收者私钥： $S_i^{\&prime;}=\mathrm{Rep}(b_i^{\&prime;}\&CirclePlus;{\mathrm{PAR}}_i)D_b(b_i^{\&prime;}\&CirclePlus;b_i\&CirclePlus;E_b\left(S_i\right)).$

利用下式计算解密权限判定参数：

${\mathrm{\&delta;}}_i=\underset{j=0}{\overset{n}{\mathrm{\&Sigma;}}}\left({x_i}^j\mathrm{mod}q\right)L_j$ 和 ${\mathrm{\&delta;}}_0=\underset{j=0}{\overset{n}{\mathrm{\&Sigma;}}}\left({x_0}^j\mathrm{mod}q\right)L_j$

其中，δ_i，δ₀为解密权限判定参数，x_i，x₀分别为利用密码单向哈希函数H₂对接收者身份信息ID_i和发送者身份信息ID₀计算的身份映射参数，即：x_i＝H₂(ID_i)，x₀＝H₂(ID₀)，L_j为密文分量，q为选取的大素数。

接收者计算解密权限Pow＝e(P，K)，接收者权限

并判断解密权限和接收者权限是否相等，如果相等，则该接收者是授权的接收者，继续执行下述解密步骤，否则不是授权的接收者，无需执行下述步骤，结束解密。

接收者利用下式计算密钥序列：

${\mathrm{\&sigma;}}^{\&prime;}=V\&CirclePlus;H_3\left(\frac{e(U_1,S_i^{\&prime;})}{e(U_2,{\mathrm{\&delta;}}_i)}\right)$

其中，σ′为密钥序列，V、U₁、U₂为密文分量，

为异或运算符，H₃为密码单向哈希函数，e为双线性映射，S′_i为恢复的接收者私钥，δ_i为解密权限判定参数。

接收者对密钥序列σ′利用密码单向哈希函数H₄计算得到解密密钥H₄(σ′)，利用系统参数中的解密方法以解密密钥H₄(σ′)为密钥对消息密文进行解密得到消息明文 $m^{\&prime;}=D_{H_4\left({\mathrm{\&sigma;}}^{\&prime;}\right)}\left(W\right).$

接收者验证等式U₁＝r′P是否成立来判断消息明文的正确性，如果成立，则消息正确，接收该消息明文，否则存在错误，拒绝接受消息明文，接收者可请求发送者重新发送，完成解密。

Claims (6)

1.多接收者生物特征签密方法，具体步骤包括：

(1)生成系统参数

1a)根据系统安全参数选取一个大素数；

1b)密钥生成中心构造两个阶为大素数的加法循环群G₁和乘法循环群G₂；

1c)密钥生成中心利用群G₁和群G₂构造一个双线性映射，从群G₁任意选取生成元；

1d)从群G₁中随机选取系统主密钥和一个元素，将选取的这个元素和系统主密钥相乘的结果作为系统公钥，秘密保存系统主密钥；

1e)密钥生成中心构造5个密码单向哈希函数H₀，H₁，H₂，H₃，H₄；

1f)密钥生成中心构造一个模糊提取算法；

1g)密钥生成中心选取一个加密算法(E，D)；

(2)提取特征

密钥生成中心利用采集仪采集用户的生物特征，利用生物特征提取方法提取生物特征数据；

(3)用户注册

3a)用户向密钥生成中心提交身份信息；

3b)密钥生成中心利用下式计算私钥：

S＝s(P₀+Q)

其中，S为用户私钥，s为系统主密钥，P₀为系统参数，Q表示对身份信息利用密码单向哈希函数H₀计算得到的身份映射参数；

3c)密钥生成中心利用模糊提取方法将步骤(2)中提取的生物特征数据和用户私钥进行绑定，得到一个矫正参数；

3d)密钥生成中心对外公布矫正参数，并通告该用户注册成功；

(4)发送者加密

4a)发送者提交相关信息给密钥生成中心； 

4b)密钥生成中心利用模糊提取方法和步骤(2)得到的发送者生物特征以及发送者的矫正参数对发送者私钥进行解绑定，恢复发送者私钥；

4c)密钥生成中心随机选取一个密钥序列，并利用密码单向哈希函数H1对密钥序列和明文消息处理得到消息映射参数；

4d)密钥生成中心利用下式计算密文分量：

其中，L为密文分量，i为计数游标，n为授权接收者的总数，a_i为系数，该系数为密钥生成中心对步骤4a)中提交的身份信息处理的结果利用拉格朗日插值法得到的系数，y为加密参数，Q_i为利用密码单向哈希函数H₀对身份信息计算得到的身份映射参数；

4e)将消息映射参数与步骤4b)获得的发送者私钥相乘，得到发送者身份验证信息；

4f)将消息映射参数与步骤1c)中选取的生成元相乘的结果、随机选取一个整数与系统公钥相乘的结果两者共同构成文件密钥；

4g)利用下式计算解密参数：

其中，Z为解密参数，σ为步骤4c)随机选取的密钥序列， 

为异或运算符，H₃为密码单向哈希函数，e为双线性映射，P_pub为系统公钥，P₀为系统参数，r为消息映射参数；

4h)利用系统参数中的加密方法对明文消息进行加密，得到消息密文；

4i)密钥生成中心将步骤4c)、步骤4e)、步骤4f)、步骤4g)和步骤4h)得到的结果构成密文并对密文进行广播；

(5)接收者解密

5a)接收者提交身份信息和待解密的密文消息给密钥生成中心；

5b)密钥生成中心利用模糊提取方法和接收者的生物特征以及接收者的矫正参数对接收者私钥进行解绑定，恢复接收者私钥； 

5c)利用下式计算解密权限判定参数：

其中，δ为解密权限判定参数，i为计数游标，n为授权接收者的总数，x为身份映射参数，L_i为密文分量，q为步骤1a)中选取的大素数；

5d)利用下式计算解密权限：

A＝e(P，K)

其中，A为解密权限，e为双线性映射，P为步骤1c)中选取的生成元，K为密文分量；

5e)利用下式计算接收者权限：

其中，ut为接收者权限，e为双线性映射，U₁、U₂为密文分量，S′为步骤5b)中恢复得到的接收者私钥，δ，δ₀为解密权限判定参数；

5f)判断解密权限和接收者权限是否相等，如果相等，则该接收者是授权的接收者，执行下述解密步骤，否则不是授权的接收者，无需执行以下步骤，结束解密；

5g)接收者利用下式计算密钥序列：

其中，σ′为密钥序列，V、U₁、U₂为密文分量， 

为异或运算符，H₃为密码单向哈希函数，e为双线性映射，S′为步骤5b)恢复的接收者私钥，δ为步骤5c)中得到的解密权限判定参数；

5h)接收者利用密码单向哈希函数H₄对步骤5g)得到的密钥序列计算得到解密密钥；

5i)接收者利用系统参数中的解密方法以步骤5h)中得到的解密密钥为密钥对消息密文进行解密得到消息明文；

5j)接收者对步骤5g)得到的密钥序列和步骤5i)得到的消息明文，利用密码单向哈希函数H₁计算得到消息映射参数； 

5k)接收者判断消息映射参数与生成元的乘积和密文分量U₁是否相等，如果相等，则消息明文正确，接收该消息，否则存在错误，拒绝该消息，完成解密。

2.根据权利要求1所述的多接收者生物特征签密方法，其特征在于：步骤(2)中所述的生物特征是指指纹，虹膜，掌纹。

3.根据权利要求1所述的多接收者生物特征签密方法，其特征在于：步骤(2)中所述的生物特征提取方法包括如下步骤：

第一步，利用Gabor滤波方法对提取的生物特征进行增强；

第二步，对增强以后的生物特征进行二值化得到生物特征数据。

4.根据权利要求1所对述的多接收者生物特征签密方法，其特征在于：步骤3c)中所述的模糊提取方法中绑定过程包括如下步骤：

第一步，用BCH纠错码对用户私钥进行编码；

第二步，对编码结果和生物特征数据进行模二加得到矫正参数。

5.根据权利要求1所对述的多接收者生物特征签密方法，其特征在于：步骤4a)中所述的相关信息包括：发送者身份信息、n个授权接收者的身份信息和待加密的明文消息。

6.根据权利要求1所述的多接收者生物特征签密方法，其特征在于：步骤4b)，步骤5b)中所述的模糊提取方法中解绑定步骤如下：

第一步，用生物特征数据和矫正参数进行模二加；

第二步，用BCH纠错码对模二加的结果进行译码，恢复用户私钥。 

Images