CN103746980B - 基于格密码的远程生物认证方法及系统 - Google Patents
基于格密码的远程生物认证方法及系统 Download PDFInfo
- Publication number
- CN103746980B CN103746980B CN201310744240.8A CN201310744240A CN103746980B CN 103746980 B CN103746980 B CN 103746980B CN 201310744240 A CN201310744240 A CN 201310744240A CN 103746980 B CN103746980 B CN 103746980B
- Authority
- CN
- China
- Prior art keywords
- information
- lattice
- server
- terminal
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Abstract
本发明适用于通信技术领域,提供了一种基于格密码的远程生物认证方法和系统,所述方法包括:设定格和格的陷门基,并将格和陷门基存储于远程终端,将格存储于服务器;将用户的原始生物特征信息和身份信息存储于服务器,且服务器根据格与原始生物特征信息进行运算,获得相应的终端鉴权信息;远程终端将用户的当前生物特征信息发送至服务器时,服务器根据当前生物特征信息查找对应的原始生物特征信息及终端鉴权信息,再将终端鉴权信息发送至远程终端;远程终端根据终端鉴权信息、当前生物特征信息和陷门基进行运算,若运算结果匹配则认证成功。借此,本发明能够有效地帮助服务器和用户识别伪造终端,从而达到抵抗伪造终端攻击的效果。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种基于格密码的远程生物认证方法及系统。
背景技术
生物认证技术是通过人体固有的生物特征,如指纹、虹膜、掌纹等对用户身份进行认证的技术。生物认证技术无需用户记忆复杂口令且无需携带令牌等设备,并且具有准确、高效的优点,正日益广泛地应用于各种需要身份认证的场合。学术界和工业界已经提出多个远程生物认证方案,这些方案所涉及远程生物认证系统均由远程终端和服务器两部分组成,如图1所示,用户在服务器注册身份信息和生物信息后,远程终端采集用户的生物特征信息并发送给服务器,服务器根据存储的用户注册信息执行用户身份认证操作。
攻击者对远程生物认证系统的一种攻击方法是伪造终端设备,诱使用户通过伪造终端和服务器建立连接,当用户通过身份认证后,伪造终端和服务器之间就能够建立认证信道,进而实施其他攻击手段。现有的远程生物认证方案均无法抵抗上述伪造终端的攻击。
综上可知,现有技术在实际使用上显然存在不便与缺陷,所以有必要加以改进。
发明内容
针对上述的缺陷,本发明的目的在于提供一种基于格密码的远程生物认证方法及系统,其能够有效地帮助服务器和用户识别伪造终端,从而达到抵抗伪造终端攻击的效果。
为了实现上述目的,本发明提供一种基于格密码的远程生物认证方法,包括步骤有:
设定格和所述格的陷门基,并将所述格和所述陷门基存储于远程终端,将所述格存储于服务器;
将用户的原始生物特征信息和身份信息存储于所述服务器,且所述服务器根据所述格与所述原始生物特征信息进行运算,获得相应的终端鉴权信息;
所述远程终端将用户的当前生物特征信息发送至所述服务器时,所述服务器根据所述当前生物特征信息查找对应的所述原始生物特征信息及所述终端鉴权信息,再将所述终端鉴权信息发送至所述远程终端;
所述远程终端根据所述终端鉴权信息、所述当前生物特征信息和所述陷门基进行运算,若运算结果匹配则认证成功。
根据本发明所述的远程生物认证方法,所述设定格和所述格的陷门基,并将所述格和所述陷门基存储于远程终端,将所述格存储于服务器的步骤包括:
选定整数m、n、q,满足n≥1,m≥5n·lgq,q为素数且q=poly(n),并随机选取m*n个小于q的非负整数组成矩阵A;
根据所述矩阵A生成格以及所述格的陷门基T,使得所述矩阵A的分布规律在统计上和均匀随机分布无法区分;
将所述格和所述陷门基T存储于所述远程终端,并将所述格存储于所述服务器。
根据本发明所述的远程生物认证方法,所述将用户的原始生物特征信息和身份信息存储于所述服务器,且服务器根据所述格与所述原始生物特征信息进行运算,获得相应的终端鉴权信息的步骤包括:
所述远程终端向所述服务器提交用户的原始生物特征信息w和身份信息IDU;
所述服务器将所述原始生物特征信息w转化为高维空间的向量;
所述服务器在所述格上选取一个随机格点v,计算终端鉴权信息u=原始生物特征信息w-随机格点v,所述终端鉴权信息u作为安全模型;
所述服务器将所述身份信息IDU、所述终端鉴权信息u、所述随机格点v、所述原始生物特征信息w作为用户信息进行存储。
根据本发明所述的远程生物认证方法,所述远程终端将用户的当前生物特征信息发送至所述服务器时,所述服务器根据所述当前生物特征信息查找对应的所述原始生物特征信息及所述终端鉴权信息,再将所述终端鉴权信息发送至所述远程终端的步骤包括:
所述远程终端采集用户的当前生物特征信息w’,并将所述当前生物特征信息w’发给所述服务器;
所述服务器在已存储的所述用户信息中查询是否有与所述当前生物特征信息w’匹配的所述原始生物特征信息w;
若有匹配的所述原始生物特征信息w,则所述用户的身份认证成功,且将所述原始生物特征信息w对应的所述终端鉴权信息u发送给所述远程终端;
若没有匹配的所述原始生物特征信息w,则所述用户的身份认证失败。
根据本发明所述的远程生物认证方法,所述远程终端根据所述终端鉴权信息、所述当前生物特征信息和所述陷门基进行运算,若运算结果匹配则认证成功的步骤包括:
所述远程终端计算第一格点v’=当前生物特征信息w’-终端鉴权信息u,并使用所述陷门基T,在所述格上查找与所述第一格点v’最近的第二格点v*,并将所述第二格点v*发送给所述服务器;
所述服务器判断所述第二格点v*与所述随机格点v是否相等,若是则判定所述远程终端为合法终端且认证成功,否则判定所述远程终端为伪造终端且认证失败。
本发明还提供一种基于格密码的远程生物认证系统,包括有相互通信连接的远程终端和服务器;
参数设定模块,用于设定格和所述格的陷门基,并将所述格和所述陷门基存储于远程终端,将所述格存储于服务器,所述参数设定模块可设于所述远程终端或者所述服务器中;
所述服务器还包括:
用户注册模块,用于将用户的原始生物特征信息和身份信息存储于所述服务器,且所述服务器根据所述格与所述原始生物特征信息进行运算,获得相应的终端鉴权信息;
第一认证模块,用于当所述远程终端将用户的当前生物特征信息发送至所述服务器时,根据所述当前生物特征信息查找对应的所述原始生物特征信息及所述终端鉴权信息,再将所述终端鉴权信息发送至所述远程终端;
所述远程终端还包括:
第二认证模块,用于根据所述终端鉴权信息、所述当前生物特征信息和所述陷门基进行运算,若运算结果匹配则认证成功。
根据本发明所述的远程生物认证系统,所述参数设定模块进一步包括:
矩阵生成子模块,用于选定整数m、n、q,满足n≥1,m≥5n·lgq,q为素数且q=poly(n),并随机选取m*n个小于q的非负整数组成矩阵A;
格生成子模块,用于根据所述矩阵A生成格以及所述格的陷门基T,使得所述矩阵A的分布规律在统计上和均匀随机分布无法区分;
存储控制子模块,用于将所述格和所述陷门基T存储于所述远程终端,并将所述格存储于所述服务器。
根据本发明所述的远程生物认证系统,所述远程终端进一步包括:
信息提交模块,用于向所述服务器提交用户的原始生物特征信息w和身份信息IDU;
所述服务器的所述用户注册模块进一步包括:
向量转换子模块,用于将接收到的所述原始生物特征信息w转化为高维空间的向量;
模型计算子模块,用于在所述格上选取一个随机格点v,计算终端鉴权信息u=原始生物特征信息w-随机格点v,所述终端鉴权信息u作为安全模型;
存储子模块,用于将所述身份信息IDU、所述终端鉴权信息u、所述随机格点v、所述原始生物特征信息w作为用户信息进行存储。
根据本发明所述的远程生物认证系统,所述远程终端进一步包括:
认证请求模块,用于采集用户的当前生物特征信息w’,并将所述当前生物特征信息w’发给所述服务器;
所述服务器的所述第一认证模块进一步包括:
生物匹配子模块,用于在所述服务器已存储的所述用户信息中,查询是否有与所述当前生物特征信息w’匹配的所述原始生物特征信息w,若是则所述用户的身份认证成功,否则所述用户的身份认证失败;
信息发送子模块,用于若有匹配的所述原始生物特征信息w,则将所述原始生物特征信息w对应的所述终端鉴权信息u发送给所述远程终端。
根据本发明所述的远程生物认证系统,所述远程终端的所述第二认证模块用于计算第一格点v’=当前生物特征信息w’-终端鉴权信息u,并使用所述陷门基T,在所述格上查找与所述第一格点v’最近的第二格点v*,并将所述第二格点v*发送给所述服务器;
所述服务器进一步包括:
第三认证模块,用于判断所述第二格点v*与所述随机格点v是否相等,若是则判定所述远程终端为合法终端且认证成功,否则判定所述远程终端为伪造终端且认证失败。
本发明远程生物认证方案基于格密码学技术,其不仅能根据用户的生物特征信息对用户进行身份认证,而且能够基于格密码学的困难问题,将生物特征信息匹配的过程转化为求解BDD问题的过程,使用本发明进行远程生物认证时,伪造终端无法实现正确的用户特征数据转化,因此无论用户是否合法,都不能实现成功认证,其能够有效地帮助服务器和用户识别伪造终端,从而达到抵抗伪造终端攻击的效果,充分保证了远程生物认证系统的安全性。
附图说明
图1是现有远程生物认证系统的结构示意图;
图2是本发明基于格密码的远程生物认证系统的结构示意图;
图3是本发明优选基于格密码的远程生物认证系统的结构示意图;
图4是本发明基于格密码的远程生物认证方法的流程图;
图5是本发明优选基于格密码的远程生物认证方法的流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
图2是本发明基于格密码的远程生物认证系统的结构示意图,所述远程生物认证系统100包括有相互通信连接的远程终端10和服务器20,其中:
所述远程终端10包括:
参数设定模块11,用于基于格密码学原理选取特定数据,设定格和格的陷门基,并将格和陷门基存储于远程终端10,将格存储于服务器20。优选的是,所述参数设定模块11也可设于服务器20中。根据格密码学原理,使用格和陷门基可解决格上的BDD(BoundedDistance Decoding,有界距离解码)问题。参数设定模块11只需执行一次,可在本发明初次实施时完成。
所述服务器20包括:
用户注册模块21,用于将用户的原始生物特征信息和身份信息存储于服务器20,且服务器20根据格与原始生物特征信息进行运算,获得相应的终端鉴权信息。用户注册模块21执行用户注册阶段功能,每个用户都要执行一次用户注册阶段。在该阶段中,用户将自己的原始生物特征信息(例如指纹信息、虹膜信息等)和身份信息(例如姓名、联系方式等)提交给服务器20,服务器20存储该用户的原始生物特征信息及身份信息,以备将来用户请求认证时使用。
第一认证模块22,用于当远程终端10将用户的当前生物特征信息发送至服务器20时,根据当前生物特征信息查找对应的原始生物特征信息及终端鉴权信息,再将终端鉴权信息发送至远程终端10。
所述远程终端10还包括:
第二认证模块12,用于根据所述终端鉴权信息、当前生物特征信息和陷门基进行运算,若运算结果匹配则认证成功。运算结果匹配说明远程终端10具有解决BDD问题的能力,也就是说明远程终端10存有陷门基T,从而是合法终端。
本发明采用将生物特征信息转化为高维空间中的向量的思想,基于格密码学原理,达到了抗伪造终端攻击的效果,提升了安全性。本发明的安全性基于格密码学中的BDD问题,BDD问题是格密码学中一个著名的困难问题,其困难性是密码学界的一个重要结论,本发明借此解决了现有远程生物认证方案不能够抵抗伪造终端攻击的问题,不仅有重要的理论价值,而且具有很强的实用性。
要理解BDD问题先要理解格的概念。设Z为整数集合,R为实数集合,Rn是n维实向量的集合,是Rn上一组线性无关的向量,这些向量的整数线性组合构成的集合称为格,记为L(B),B称为格的一组基。BDD问题描述为:假设L为格,λ2(L)为L上的非零最短向量长度,给定向量w,满足有||w-v||≤λ2(L)(即向量w和v之间的距离小于λ2(L)),要求找到格向量v。
图3是本发明优选基于格密码的远程生物认证系统的结构示意图,所述远程生物认证系统100包括有相互通信连接的远程终端10和服务器20,所述远程终端10可包括参数设定模块11、第二认证模块12、信息提交模块13和/或认证请求模块14,所述服务器20可包括用户注册模块21、第一认证模块22和/或第三认证模块23,其中:
所述远程终端10的参数设定模块11用于执行参数设定阶段功能,参数设定阶段只需要执行一次,可在本发明初次实施时完成,主要是确定整数m、n、q的值,确定矩阵A和陷门基T的值等系统参数,所述系统参数将在后面两个阶段中应用。参数设定模块11进一步包括:
矩阵生成子模块111,用于选定整数m、n、q,满足n≥1,m≥5n·lgq,q为素数且q=poly(n),并随机选取m*n个小于q的非负整数组成一个m*n的矩阵A。公式q=poly(n)是指q的值随着n的增长呈多项式增长。
格生成子模块112,用于根据矩阵A生成格以及格的陷门基T,使得矩阵A的分布规律在统计上和均匀随机分布无法区分,即矩阵A的分布规律在统计上和均匀随机分布无法区分,可近似认为矩阵A符合均匀随机分布,保证A无法被猜测到。陷门基T相当于私钥,陷门基T的生成过程很复杂,涉及格密码学的高斯抽样算法。
存储控制子模块113,用于将格和陷门基T存储于远程终端10,并将格存储于服务器20。
根据格密码学原理,使用矩阵A和陷门基T可解决格上的BDD问题。在远程终端10中,用户输入生物特征信息后,使用该数据匹配用户在服务器20处存储的生物特征信息的过程转化为求解BDD问题的过程。
所述远程终端10的信息提交模块13,用于向服务器20提交用户的原始生物特征信息w和身份信息IDU。所述原始生物特征信息w可以是用户的指纹信息、虹膜信息、掌纹信息等,所述身份信息IDU可以是用户的姓名、联系方式、权限等。
所述服务器20的用户注册模块21进一步包括:
向量转换子模块211,用于将接收到的原始生物特征信息w转化为高维空间的向量。服务器20读取用户的原始生物特征信息w后,将该数据转化为向量w∈Zm。将用户的生物特征信息转化为向量的方法很多,也很常用。以指纹识别为例,指纹数据的对比是通过对指纹的多组特征进行对比实现的,每一组特征可量化为矩阵的一个分量,这多组特征就可组成一个向量。之所以要转化为向量,是因为本发明是基于格的方案,而格理论中处理的数据对象就是向量,因此采用向量来处理生物特征信息是实现本方案的必然前提。
模型计算子模块212,用于在格上选取一个随机格点v,计算终端鉴权信息u=原始生物特征信息w-随机格点v,终端鉴权信息u作为安全模型。
由前面对格的定义可知,格是由高维空间中无限个点组成的集合,随机格点v是格上的随机选取的一个点,选取目的是为了下一步计算安全模型u,w是用户的生物特征信息,u=w-v是上述两个向量之差。安全模型的作用是将用户的生物特征信息匹配问题转化为BDD问题,进而才能认证远程终端10的合法性。
存储子模块213,用于将身份信息IDU、终端鉴权信息u、随机格点v、原始生物特征信息w作为用户信息进行存储。
远程终端10的认证请求模块14,用于采集用户的当前生物特征信息w’,并将当前生物特征信息w’发给服务器20。所述当前生物特征信息w’是指用户当前通过指纹扫描、虹膜扫描等输入的指纹信息、虹膜信息,用于根据当前生物特征信息w’是否与原始生物特征信息w匹配,来验证用户是否为合法用户。
所述服务器20的第一认证模块22进一步包括:
生物匹配子模块221,用于接收到远程终端10发来的当前生物特征信息w’后,在服务器20已存储的用户信息(IDU,u,v,w)中,查询是否有与当前生物特征信息w’匹配的原始生物特征信息w,若是则用户的身份认证成功,否则用户的身份认证失败。
信息发送子模块222,用于若有匹配的原始生物特征信息w,则将原始生物特征信息w对应的终端鉴权信息u发送给远程终端10。目的是让远程终端10通过u和w’计算出v的值。若远程终端10能够计算出v的值,则是合法的远程终端10,否则是伪造终端。
所述远程终端10的第二认证模块12,用于计算第一格点v’=当前生物特征信息w’-终端鉴权信息u,并使用陷门基T,在格上查找与第一格点v’最近的第二格点v*,即解决格上的BDD问题,并将第二格点v*发送给服务器20。由于v=w-u,所以向量v’和向量v非常接近,从而得到和v非常接近的向量v’。
服务器20的第三认证模块23,用于判断第二格点v*与随机格点v是否相等,若是则判定远程终端10为合法终端且认证成功,否则判定远程终端10为伪造终端且认证失败。
v*是远程终端10计算出来的值,v是服务器20存储的值,这二者相等,说明远程终端10具有解决BDD问题的能力。也就是说远程终端10存有陷门基T,从而该远程终端10是合法终端。本方案保证了只有合法的远程终端10能够完成身份认证过程。用户的身份认证实际上通过w和w’的比对已经完成,通过v=v*,进一步保证了远程终端10的合法性,从而最终完成整个身份认证过程。
图4是本发明基于格密码的远程生物认证方法的流程图,其可通过如图2或图3所示的远程生物认证系统100实现,包括步骤有:
步骤S401,设定格和格的陷门基,并将格和陷门基存储于远程终端10,将格存储于服务器20。
根据格密码学原理,使用格和陷门基可解决格上的BDD(Bounded DistanceDecoding,有界距离解码)问题。本步骤只需执行一次,可在本发明初次实施时完成。
步骤S402,将用户的原始生物特征信息和身份信息存储于服务器20,且服务器20根据格与原始生物特征信息进行运算,获得相应的终端鉴权信息。
本步骤为用户注册阶段,每个用户都要执行一次用户注册阶段。在该阶段中,用户将自己的原始生物特征信息(例如指纹信息、虹膜信息等)和身份信息(例如姓名、联系方式等)提交给服务器20,服务器20存储该用户的原始生物特征信息及身份信息,以备将来用户请求认证时使用。
步骤S403,远程终端10将用户的当前生物特征信息发送至服务器20时,服务器20根据当前生物特征信息查找对应的原始生物特征信息及终端鉴权信息,再将终端鉴权信息发送至远程终端10。
步骤S404,远程终端10根据终端鉴权信息、当前生物特征信息和陷门基进行运算,若运算结果匹配则认证成功。
本步骤中若运算结果匹配,说明远程终端10具有解决BDD问题的能力,也就是说明远程终端10存有陷门基T,从而是合法终端。
本发明采用基于格密码学技术,利用格密码学的困难问题,设计了一个抗伪造终端攻击安全的远程生物认证方案。使用本发明进行远程生物认证时,伪造的终端无法实现正确的用户特征数据转化,因此无论用户是否合法,都不能实现成功的身份认证。这能够有效地帮助用户和服务器20识别伪造终端,保障安全性。
图5是本发明优选基于格密码的远程生物认证方法的流程图,其可通过如图3所示的远程生物认证系统100实现,本发明通过基于格的BDD问题实现抗伪造终端攻击,与传统远程生物认证系统一致。用户通过远程终端10输入生物特征,远程终端10将输入的生物特征信息传输到服务器20,服务器20进行身份认证。分为三阶段,图2。包括步骤有:
步骤S501,选定整数m、n、q,满足n≥1,m≥5n·lgq,q为素数且q=poly(n),并随机选取m*n个小于q的非负整数组成矩阵A。
公式q=poly(n)是指q的值随着n的增长呈多项式增长。
步骤S502,根据矩阵A生成格以及格的陷门基T,使得矩阵A的分布规律在统计上和均匀随机分布无法区分。
陷门基T相当于私钥,陷门基T的生成过程很复杂,涉及格密码学的高斯抽样算法。矩阵A的分布规律在统计上和均匀随机分布无法区分,即矩阵A的分布规律在统计上和均匀随机分布无法区分,可近似认为矩阵A符合均匀随机分布,保证A无法被猜测到。
步骤S503,将格和陷门基T存储于远程终端10,并将格存储于服务器20。
根据格密码学原理,使用矩阵A和陷门基T可解决格上的BDD问题。在远程终端10中,用户输入生物特征信息后,使用该数据匹配用户在服务器20处存储的生物特征信息的过程转化为求解BDD问题的过程。
上述步骤S501~步骤S503为参数设定阶段,参数设定阶段确定整数m、n、q的值,确定矩阵A和陷门基T的值。参数设定阶段只需要执行一次,可在本发明初次实施时完成。该阶段生成系统参数,这些参数将在后面两个阶段中应用。
步骤S504,远程终端10向服务器20提交用户的原始生物特征信息w和身份信息IDU。
所述原始生物特征信息w可以是用户的指纹信息、虹膜信息、掌纹信息等,所述身份信息IDU可以是用户的姓名、联系方式、权限等。
步骤S505,服务器20将原始生物特征信息w转化为高维空间的向量。
服务器20读取用户的原始生物特征信息w后,将该数据转化为向量w∈Zm。将用户的生物特征信息转化为向量的方法很多,也很常用。以指纹识别为例,指纹数据的对比是通过对指纹的多组特征进行对比实现的,每一组特征可量化为矩阵的一个分量,这多组特征就可组成一个向量。之所以要转化为向量,是因为本发明是基于格的方案,而格理论中处理的数据对象就是向量,因此采用向量来处理生物特征信息是实现本方案的必然前提。
步骤S506,服务器20在格上选取一个随机格点v,计算终端鉴权信息u=原始生物特征信息w-随机格点v,终端鉴权信息u作为安全模型。
由前面对格的定义可知,格是由高维空间中无限个点组成的集合,随机格点v是格上的随机选取的一个点,选取目的是为了下一步计算安全模型u,w是用户的生物特征信息,u=w-v是上述两个向量之差。安全模型的作用是将用户的生物特征信息匹配问题转化为BDD问题,进而才能认证远程终端10的合法性。
步骤S507,服务器20将身份信息IDU、终端鉴权信息u、随机格点v、原始生物特征信息w作为用户信息进行存储。
上述步骤S504~步骤S507为用户注册阶段,每个用户都要执行一次用户注册阶段。在该阶段中,用户将自己的生物特征信息(例如指纹信息、虹膜信息等)和身份信息提交给服务器20,服务器20存储该用户的生物特征信息及身份信息,以备将来用户请求认证时使用。
步骤S508,远程终端10采集用户的当前生物特征信息w’,并将当前生物特征信息w’发给服务器20。
所述当前生物特征信息w’是指用户当前通过指纹扫描、虹膜扫描等输入的指纹信息、虹膜信息,用于根据当前生物特征信息w’是否与原始生物特征信息w匹配,来验证用户是否为合法用户。
步骤S509,服务器20在已存储的用户信息(IDU,u,v,w)中查询是否有与当前生物特征信息w’匹配的原始生物特征信息w,若是则执行步骤S511,否则执行步骤S510。
步骤S510,若没有匹配的原始生物特征信息w,则用户的身份认证失败。
步骤S511,若有匹配的原始生物特征信息w,则用户的身份认证成功,且将原始生物特征信息w对应的终端鉴权信息u发送给远程终端10。
本步骤目的是让远程终端10通过u和w’计算出v的值。若远程终端10能够计算出v的值,则是合法的远程终端10,否则是伪造终端。
步骤S512,远程终端10计算第一格点v’=当前生物特征信息w’-终端鉴权信息u,并使用陷门基T,在格上查找与第一格点v’最近的第二格点v*,并将第二格点v*发送给服务器20。
本步骤由于v=w-u,所以向量v’和向量v非常接近,从而得到和v非常接近的向量v’。
步骤S513,服务器20判断第二格点v*与随机格点v是否相等,若是执行步骤S514,否则执行步骤S515。
步骤S514,判定远程终端10为合法终端且认证成功。
步骤S515,判定远程终端10为伪造终端且认证失败。
v*是远程终端10计算出来的值,v是服务器20存储的值,这二者相等,说明远程终端10具有解决BDD问题的能力。也就是说远程终端10存有陷门基T,从而该远程终端10是合法终端。本方案保证了只有合法的远程终端10能够完成身份认证过程。用户的身份认证实际上通过w和w’的比对已经完成,通过v=v*,进一步保证了远程终端10的合法性,从而最终完成整个身份认证过程。
上述步骤S508~S514是用户身份认证阶段,用户身份认证阶段可执行任意多次。当用户在服务器20注册过自己的生物特征信息和身份信息后,用户可随时通过远程终端10输入自己的生物特征信息发送给服务器20请求身份认证,服务器20通过生物特征信息比对确定用户身份。
综上所述,本发明远程生物认证方案基于格密码学技术,其不仅能根据用户的生物特征信息对用户进行身份认证,而且能够基于格密码学的困难问题,将生物特征信息匹配的过程转化为求解BDD问题的过程,使用本发明进行远程生物认证时,伪造终端无法实现正确的用户特征数据转化,因此无论用户是否合法,都不能实现成功认证,其能够有效地帮助服务器和用户识别伪造终端,从而达到抵抗伪造终端攻击的效果,充分保证了远程生物认证系统的安全性。
当然,本发明还可有其它多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (6)
1.一种基于格密码的远程生物认证方法,其特征在于,包括步骤有:
设定格和所述格的陷门基,并将所述格和所述陷门基存储于远程终端,将所述格存储于服务器;
将用户的原始生物特征信息和身份信息存储于所述服务器,且所述服务器根据所述格与所述原始生物特征信息进行运算,获得相应的终端鉴权信息;
所述远程终端将用户的当前生物特征信息发送至所述服务器时,所述服务器根据所述当前生物特征信息查找对应的所述原始生物特征信息及所述终端鉴权信息,再将所述终端鉴权信息发送至所述远程终端;
所述远程终端根据所述终端鉴权信息、所述当前生物特征信息和所述陷门基进行运算,若运算结果匹配则认证成功;
所述设定格和所述格的陷门基,并将所述格和所述陷门基存储于远程终端,将所述格存储于服务器的步骤包括:
选定整数m、n、q,满足n≥1,m≥5n·lgq,q为素数且q=poly(n),并随机选取m*n个小于q的非负整数组成矩阵A;
根据所述矩阵A生成格以及所述格的陷门基T,使得所述矩阵A的分布规律在统计上和均匀随机分布无法区分;
将所述格和所述陷门基T存储于所述远程终端,并将所述格存储于所述服务器;
所述远程终端根据所述终端鉴权信息、所述当前生物特征信息和所述陷门基进行运算,若运算结果匹配则认证成功的步骤包括:
所述远程终端计算第一格点v’=当前生物特征信息w’-终端鉴权信息u,并使用所述陷门基T,在所述格上查找与所述第一格点v’最近的第二格点v*,并将所述第二格点v*发送给所述服务器;
所述服务器判断所述第二格点v*与所述随机格点v是否相等,若是则判定所述远程终端为合法终端且认证成功,否则判定所述远程终端为伪造终端且认证失败。
2.根据权利要求1所述的远程生物认证方法,其特征在于,所述将用户的原始生物特征信息和身份信息存储于所述服务器,且服务器根据所述格与所述原始生物特征信息进行运算,获得相应的终端鉴权信息的步骤包括:
所述远程终端向所述服务器提交用户的原始生物特征信息w和身份信息IDU;
所述服务器将所述原始生物特征信息w转化为高维空间的向量;
所述服务器在所述格上选取一个随机格点v,计算终端鉴权信息u=原始生物特征信息w-随机格点v,所述终端鉴权信息u作为安全模型;
所述服务器将所述身份信息IDU、所述终端鉴权信息u、所述随机格点v、所述原始生物特征信息w作为用户信息进行存储。
3.根据权利要求2所述的远程生物认证方法,其特征在于,所述远程终端将用户的当前生物特征信息发送至所述服务器时,所述服务器根据所述当前生物特征信息查找对应的所述原始生物特征信息及所述终端鉴权信息,再将所述终端鉴权信息发送至所述远程终端的步骤包括:
所述远程终端采集用户的当前生物特征信息w’,并将所述当前生物特征信息w’发给所述服务器;
所述服务器在已存储的所述用户信息中查询是否有与所述当前生物特征信息w’匹配的所述原始生物特征信息w;
若有匹配的所述原始生物特征信息w,则所述用户的身份认证成功,且将所述原始生物特征信息w对应的所述终端鉴权信息u发送给所述远程终端;
若没有匹配的所述原始生物特征信息w,则所述用户的身份认证失败。
4.一种基于格密码的远程生物认证系统,其特征在于,包括有相互通信连接的远程终端和服务器;
参数设定模块,用于设定格和所述格的陷门基,并将所述格和所述陷门基存储于远程终端,将所述格存储于服务器,所述参数设定模块可设于所述远程终端或者所述服务器中;
所述服务器还包括:
用户注册模块,用于将用户的原始生物特征信息和身份信息存储于所述服务器,且所述服务器根据所述格与所述原始生物特征信息进行运算,获得相应的终端鉴权信息;
第一认证模块,用于当所述远程终端将用户的当前生物特征信息发送至所述服务器时,根据所述当前生物特征信息查找对应的所述原始生物特征信息及所述终端鉴权信息,再将所述终端鉴权信息发送至所述远程终端;
所述远程终端还包括:
第二认证模块,用于根据所述终端鉴权信息、所述当前生物特征信息和所述陷门基进行运算,若运算结果匹配则认证成功;
所述参数设定模块进一步包括:
矩阵生成子模块,用于选定整数m、n、q,满足n≥1,m≥5n·lgq,q为素数且q=poly(n),并随机选取m*n个小于q的非负整数组成矩阵A;
格生成子模块,用于根据所述矩阵A生成格以及所述格的陷门基T,使得所述矩阵A的分布规律在统计上和均匀随机分布无法区分;
存储控制子模块,用于将所述格和所述陷门基T存储于所述远程终端,并将所述格存储于所述服务器;
所述远程终端的所述第二认证模块用于计算第一格点v’=当前生物特征信息w’-终端鉴权信息u,并使用所述陷门基T,在所述格上查找与所述第一格点v’最近的第二格点v*,并将所述第二格点v*发送给所述服务器;
所述服务器进一步包括:
第三认证模块,用于判断所述第二格点v*与所述随机格点v是否相等,若是则判定所述远程终端为合法终端且认证成功,否则判定所述远程终端为伪造终端且认证失败。
5.根据权利要求4所述的远程生物认证系统,其特征在于,所述远程终端进一步包括:
信息提交模块,用于向所述服务器提交用户的原始生物特征信息w和身份信息IDU;
所述服务器的所述用户注册模块进一步包括:
向量转换子模块,用于将接收到的所述原始生物特征信息w转化为高维空间的向量;
模型计算子模块,用于在所述格上选取一个随机格点v,计算终端鉴权信息u=原始生物特征信息w-随机格点v,所述终端鉴权信息u作为安全模型;
存储子模块,用于将所述身份信息IDU、所述终端鉴权信息u、所述随机格点v、所述原始生物特征信息w作为用户信息进行存储。
6.根据权利要求5所述的远程生物认证系统,其特征在于,所述远程终端进一步包括:
认证请求模块,用于采集用户的当前生物特征信息w’,并将所述当前生物特征信息w’发给所述服务器;
所述服务器的所述第一认证模块进一步包括:
生物匹配子模块,用于在所述服务器已存储的所述用户信息中,查询是否有与所述当前生物特征信息w’匹配的所述原始生物特征信息w,若是则所述用户的身份认证成功,否则所述用户的身份认证失败;
信息发送子模块,用于若有匹配的所述原始生物特征信息w,则将所述原始生物特征信息w对应的所述终端鉴权信息u发送给所述远程终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310744240.8A CN103746980B (zh) | 2013-12-30 | 2013-12-30 | 基于格密码的远程生物认证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310744240.8A CN103746980B (zh) | 2013-12-30 | 2013-12-30 | 基于格密码的远程生物认证方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103746980A CN103746980A (zh) | 2014-04-23 |
| CN103746980B true CN103746980B (zh) | 2017-02-15 |
Family
ID=50503967
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310744240.8A Expired - Fee Related CN103746980B (zh) | 2013-12-30 | 2013-12-30 | 基于格密码的远程生物认证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103746980B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105357214A (zh) * | 2015-11-26 | 2016-02-24 | 东莞酷派软件技术有限公司 | 远程控制方法、远程控制装置、终端和远程控制系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101227278A (zh) * | 2007-01-18 | 2008-07-23 | 中国科学院自动化研究所 | 一种基于多生物特征的远程网络身份认证方法与系统 |
| CN101321069A (zh) * | 2008-06-23 | 2008-12-10 | 刘洪利 | 手机生物身份证明制作、认证方法及其认证系统 |
| CN101350811A (zh) * | 2007-07-18 | 2009-01-21 | 华为技术有限公司 | 生物认证方法、设备及系统 |
| EP2479699A1 (en) * | 2009-09-18 | 2012-07-25 | Fujitsu Limited | Biometric authentication system and control method |
| US9049191B2 (en) * | 2010-09-30 | 2015-06-02 | Panasonic Corporation | Biometric authentication system, communication terminal device, biometric authentication device, and biometric authentication method |
-
2013
- 2013-12-30 CN CN201310744240.8A patent/CN103746980B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101227278A (zh) * | 2007-01-18 | 2008-07-23 | 中国科学院自动化研究所 | 一种基于多生物特征的远程网络身份认证方法与系统 |
| CN101350811A (zh) * | 2007-07-18 | 2009-01-21 | 华为技术有限公司 | 生物认证方法、设备及系统 |
| CN101321069A (zh) * | 2008-06-23 | 2008-12-10 | 刘洪利 | 手机生物身份证明制作、认证方法及其认证系统 |
| EP2479699A1 (en) * | 2009-09-18 | 2012-07-25 | Fujitsu Limited | Biometric authentication system and control method |
| US9049191B2 (en) * | 2010-09-30 | 2015-06-02 | Panasonic Corporation | Biometric authentication system, communication terminal device, biometric authentication device, and biometric authentication method |
Non-Patent Citations (1)
| Title |
|---|
| 快速格公钥密码方案的研究;张建航;《中国优秀硕士学位论文全文数据库 信息科技辑》;20130415(第4期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103746980A (zh) | 2014-04-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ferrara et al. | A two-factor protection scheme for MCC fingerprint templates | |
| TWI707244B (zh) | 區塊鏈跨鏈的認證方法、系統、伺服器及可讀儲存媒體 | |
| US9036891B2 (en) | Intrinsic physical layer authentication of integrated circuits | |
| US8670562B2 (en) | Generation and use of a biometric key | |
| El-Shafai et al. | Efficient and secure cancelable biometric authentication framework based on genetic encryption algorithm | |
| JP2004536384A (ja) | ネットワークを介した指紋のリモート認証方法、システムおよびコンピュータ・プログラム | |
| CN103346887A (zh) | 一种基于智能卡多服务器环境下的低复杂度身份认证方法 | |
| CN105262733B (zh) | 一种指纹鉴权方法、云端服务器、指纹识别方法和终端 | |
| CN103338202A (zh) | 一种基于智能卡的远程用户密码双重验证方法 | |
| CN103347018A (zh) | 一种基于智能卡的多服务环境下远程身份认证方法 | |
| WO2010149400A1 (de) | System und verfahren zur zuverlässigen authentisierung eines gerätes | |
| Chiou | Secure method for biometric-based recognition with integrated cryptographic functions | |
| CN103858377B (zh) | 用于管理和控制来自组织成结构化集合的不同身份域的数据的方法 | |
| CN103746980B (zh) | 基于格密码的远程生物认证方法及系统 | |
| Chen et al. | Binary biometric representation through pairwise adaptive phase quantization | |
| Barman et al. | Revocable key generation from irrevocable biometric data for symmetric cryptography | |
| Wu et al. | A Fuzzy Vault Scheme for Ordered Biometrics. | |
| Bansal et al. | Fingerprint fuzzy vault using Hadamard transformation | |
| Ahmad et al. | Improving the performance of projection-based cancelable fingerprint template method | |
| Wang et al. | A novel multibiometric template security scheme for the fusion of dual iris, visible and thermal face images | |
| Abdal-Ghafour et al. | Authentication enhancement techniques for BAC in 2G E-passport | |
| Hong-wei et al. | A new fuzzy fingerprint vault using multivariable linear function based on lorenz chaotic system | |
| Li et al. | A High Performance and Secure Palmprint Template Protection Scheme. | |
| You et al. | Research and application of physical unclonable functions | |
| Priya et al. | Generation of 128-Bit blended key for AES algorithm |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170215 Termination date: 20211230 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |