CN103986693A - 一种特征信息与密钥绑定方法 - Google Patents

Abstract

本发明涉及一种特征信息与密钥绑定方法，包括绑定过程和解绑定过程。绑定过程包括以下步骤：对特征信息点进行预处理，排除无效的特征信息点，只利用有效的特征信息点生成其信息点密钥；利用秘密共享方案，把密钥分成多个共享子密钥及其参数；利用信息点密钥依次加密子密钥及其参数，生成密钥密文数据，即特征信息模板。解绑定过程包括以下步骤：利用特征信息点生成特征密钥；根据特征信息模板的相关信息，利用当前的特征密钥解密出相关的共享子密钥及其参数；根据所有的共享子密钥及其参数，利用插值公式，恢复出原密钥。与已有方法相比，本发明方法具有算法效率高，安全可靠的特点；并且当在绑定过程中特征信息的特征信息点次序和解绑定过程的不一致时，本发明方法同样有效。

Description

一种特征信息与密钥绑定方法

技术领域：

本发明涉及特征信息与密钥的绑定技术，特别涉及一种特征信息与密钥绑定方法，属于密钥技术领域。

背景技术

在密码体制中，密钥的安全是最重要的。信息保密的关键在于密钥的安全，因此密钥必须受到安全地保护和分配。密钥短，便于记忆，但是不安全，密钥过长，难于记忆，也不方便使用。为了解决密钥安全性和易记性的矛盾，一般的做法是把密钥保存下来以备用。然而，这种方法也存在密钥被非法窃取的可能。一种较好的办法就是通过密钥与某些特征信息进行绑定的方式来保证密钥的安全性。

目前，一种利用特征信息如指纹信息或者设备硬件信息与密钥进行绑定的技术已经被提出，该方法利用秘密共享方案，把密钥分成多个共享子密钥后；利用信息点密钥依次加密共享子密钥，生成密钥密文。这种方法具备安全可靠，自适应性好，使用灵活的特点，但是，上述密钥绑定方式存在着缺陷，即密钥绑定阶段和密钥恢复阶段，所有无效的信息点会被当成一个特殊的特征信息点，参与密钥绑定计算和密钥恢复计算，不仅增加了整个算法的计算量，降低了算法的效率；同时，当前后两个阶段的特征信息点次序不一致时，可能导致密钥恢复失败。

本发明就是在该密钥绑定方法的优缺点的基础上，提出一种改进的特征信息与密钥绑定方法，改进后的方法具有更加广泛的适用性，具有更少的存储空间和更高的运算效率。

发明内容

本发明方法的目的是为了解决以更少的存储空间和更高的运算效率保护密钥安全的问题，提出了一种特征信息与密钥绑定方法。

为了达到上述目的，本发明提供了一种特征信息与密钥绑定方法，该方法包括两个过程：绑定阶段和解绑定阶段。

在绑定阶段，统计无效的特征信息点的个数n₀，利用特征信息中的各个特征信息点生成各自的信息点密钥。利用门限方案，把密钥分割成n个共享子密钥，这样就得到每个共享子密钥及其参数。利用各个信息点密钥依次加密共享子密钥及其参数，得到共享子密钥密文，即特征信息模板。

在解绑定阶段，利用特征信息中的各个信息点生成各自的信息点密钥，根据特征信息模板的相关信息，利用当前的特征信息的各个特征信息点生成的密钥，解密出t个相关的共享子密钥及其参数后，根据这些合法的共享子密钥及其参数，利用门限方案中的插值公式就能恢复出原密钥。

本发明的具体实现步骤如下：

一种特征信息与密钥绑定方法，该方法包括两个阶段：绑定过程和解绑定过程。

所述绑定过程包括如下步骤：

步骤1：获取待绑定密钥K和特征信息数组info，根据特征信息数组info（长度为n），统计出无效特征信息点的个数n₀（n>n₀≥0）；

步骤2：计算门限值利用随机数函数生成t-1个非零的随机数，分别记为a₁,…,a_t-₁；

步骤3：设j=1，随机生成一个长度为32Byte以上的大素数p；

步骤4：利用随机数生成函数生成一个非零的x_j，把x_j作为自变量，计算对应的共享子密钥y_j=f(x_j)，其中，

$f\left(x\right)=K+\underset{j=1}{\overset{t-1}{\mathrm{\Σ}}}{a}_j\×x^j\mathrm{mod}p;$

j=j+1，若j≤n-n₀，则返回步骤4；否则，执行步骤5；

步骤5：设i=1，j=1；初始化验证信息数组m（长度为n-n₀），加密信息数组S（长度为n-n₀），特征信息点绑定顺序数组EhdID（长度为n-n₀）；

步骤6：从info中获取其第i个元素的值info[i]，若info[i]的值不为空，通过函数G(*)生成对应的信息点密钥info_Key[j]=G(info[i])，并且在EhdID数组中添加info[i]的散列函数标识，执行步骤7；否则，i=i+1，执行步骤8；

步骤7：使用加密函数E(*,*)利用加密密钥info_Key[j]对y_j|x_j加密得到加密信息S[j]=E(info_Key[j],y_j|x_j)；使用散列函数计算S[j]|y_j|x_j的散列值m[j]；j=j+1，i=i+1，执行步骤8；

其中，y_j|x_j表示把y_j，x_j串联起来；S[j]|y_j|x_j表示把S[j]，y_j，x_j串联起来；

步骤8：若i>n或者j>n-n₀，则执行步骤9；否则，返回步骤6；

步骤9：保存m，S，t，EhdID，p信息，记录在密文数据中。

所述解绑定过程包括如下步骤：

步骤1：获取特征信息数组info（长度为n）；

步骤2：i=1，k=1，从密文数据中解析出EhdID、m、S、t、p信息；

步骤3：index=-1；若info[i]为空，则i=i+1，执行步骤5；否则，生成info[i]的散列函数标识，并找到该散列函数标识在EhdID中对应的元素的下标位置index，如果index==-1，则i=i+1，执行步骤5；否则，执行步骤4；

步骤4：通过函数G(*)生成info[i]的特征信息点密钥info_Key[k]=G(info[i])，使用与加密函数E(*,*)对应的解密函数D(*,*)利用解密密钥info_Key[k]对加密信息S[index]进行解密，得到y_k|x_k=D(info_Key[k],S[index])，使用散列函数计算S[index]|y_k|x_k的散列值，验证其与m[index]是否相同，若不相同，则设i=i+1，执行步骤5；否则，若k<t，则k=k+1，i=i+1，执行步骤5，否则，执行步骤6；

其中y_k|x_k表示把y_k，x_k串联起来；S[index]|y_k|x_k表示把S[index]，y_k，x_k串联起来；

步骤5：若i>n，则执行步骤7；否则，返回步骤3；

步骤6：得到t个共享子密钥及其参数点对(y_k,x_k)后，根据公式

$K=\underset{j=1}{\overset{t}{\mathrm{\&Sigma;}}}{y}_j\&times;\left(\underset{1\&le;k\&le;t,k\&NotEqual;j}{\mathrm{\&Pi;}}\frac{x_k}{x_k-x_j}\right)\mathrm{mod}p$

恢复出密钥K，结束。

步骤7：密钥恢复失败，结束。

本发明的有益效果：在绑定和解绑定过程中，无效的特征信息点将不参与绑定计算，这样就大大减少了整个过程的计算量，具有效率高，安全可靠的效果；在绑定过程的特征信息中特征信息点次序和解绑定过程的不一致时，本发明方法同样有效。

附图说明

图1为本发明中特征信息与密钥进行绑定过程。

图2为本发明中特征信息与密钥进行解绑定过程。

具体实施方式

下面结合附图对本发明方法的实施方式作详细说明。

本发明主要涉及特征信息与密钥的绑定与解绑定，特征信息的提取问题不是本发明的考虑范围。本发明假设在密钥绑定与解绑定之前，特征信息已经被成功提取。本发明约定，特征信息一共有n个特征信息点（包括n-n₀个合法的特征信息点和n₀个无效的特征信息点），若某个特征信息点无效，将该特征信息点的值设为空，并且特征信息中至少存在一个有效的特征信息点。

在介绍本发明方法的详细过程前，我们先对涉及到的符号作如表1所述约定。

表1符号约定

符号	含义
		n	特征信息中所有特征信息点的总数
n0	特征信息中无效的特征信息点的总数
		t	门限值
info，info[i]	特征信息数组及其第i个特征信息点
		infoID，infoID[i]	特征信息点标识数组及其第i个特征信息点标识
info_Key，info_Key[i]	特征信息点密钥数组及其第i个特征信息点密钥
		G(*)	一个生成32Byte随机数的类似哈希函数
EhdID，EhdID[i]	特征信息点绑定顺序数组
		xi	第i个随机数
yi	第i个共享子密钥
		m，m[i]	验证信息数组及其第i个元素值
S，S[i]	加密信息数组及其第i个元素值
		E,，D(,)	AES对称加密函数及对应的AES对称解密函数
Hash256(*)	Hash256函数
		*|*	连接符，把两部分的内容串联起来
p	长度为32Byte以上的大素数

下面我们就介绍本发明方法的详细过程。

1）密钥绑定过程：

步骤1：获取待绑定密钥K和特征信息数组info，根据特征信息数组info（总共包含n个特征信息点），统计出info数组中所有的n个特征信息点中的无效特征信息点的个数n₀（n>n₀≥0）；

步骤2：计算门限值根据门限函数Shamir(t,n-n₀)，利用随机数函数生成t-1个非零的随机数，分别记为a₁,…,a_t-1；

步骤3：设j=1，随机生成一个长度为32Byte以上的大素数p；

步骤4：利用随机数生成函数生成一个非零的x_j，把x_j作为自变量，计算对应的共享子密钥y_j=f(x_j)，其中，

$f\left(x\right)=K+\underset{j=1}{\overset{t-1}{\mathrm{\&Sigma;}}}{a}_j\&times;x^j\mathrm{mod}p;$

这样，得到共享子密钥及其参数点对(x_j,y_j)，j=j+1，若j≤n-n₀，则返回步骤4；否则，说明已得到了n-n₀个子密钥及其参数点对(x_j,y_j)，1≤j≤n-n₀，执行步骤5；

步骤5：设i=1，j=1；初始化验证信息数组m（包含n-n₀个元素，每个元素长度32Byte），加密信息数组S（包含n-n₀个元素），特征信息点绑定顺序数组EhdID（包含n-n₀个元素，每个元素长度32Byte）；

步骤6：从特征信息数组info中获取其第i个元素的值info[i]，若特征信息点info[i]的值不为空，生成它的信息点密钥info_Key[j]=G(info[i])，（G(*)是一个生成长度为32Byte随机数的类似哈希函数的函数），并且在EhdID数组中添加该特征信息点的散列函数标识，即EhdID[j]=Hash256(info[i])，执行步骤7；否则，跳过该特征信息点，设i=i+1，执行步骤8；

步骤7：选择一个(x_j,y_j)，把y_j，x_j串联起来，即y_j|x_j；信息点密钥info_Key[j]作为加密密钥，利用AES对称加密函数对y_j|x_j进行加密（也可以使用其它对称加密算法，如DES，3DES，RC5），得到S[j]=E(info_Key[j],y_j|x_j)；串联S[j]，y_j，x_j，得到S[j]|y_j|x_j串，计算其哈希值（也可以使用其它的散列函数，如MD5，SHA-512）m[j]=Hash256(S[j]|y_j|x_j)；设j=j+1，i=i+1，执行步骤8；

步骤8：若i>n或者j>n-n₀，则执行步骤9；否则，返回步骤6；

步骤9：保存m，S，t，EhdID，大素数p等信息，即特征信息模版，记录在密文数据中。

2）密钥解绑定过程：

步骤1：获取当前的特征信息数组info，其中，info共有n个特征信息点，可能存在无效的特征信息点；

步骤2：i=1，k=1，从密文数据（特征信息模版）中解析出特征信息点绑定顺序数组EhdID、验证信息数组m、加密信息数组S、门限值t、大素数p；

步骤3：设index=-1；若info中的特征信息点info[i]为空，则设i=i+1，执行步骤5；否则，生成该特征信息点的信息标识infoID=Hash256(info[i])，找到infoID在特征信息点绑定顺序数组EhdID中所对应的元素的下标位置index，如果index==-1；则设i=i+1，执行步骤5；否则，执行步骤4；

步骤4：生成该特征信息点的信息点密钥info_Key[k]=G(info[i])，（G(*)可以是一个生成32Byte随机数的类似哈希函数的函数），然后把info_Key[k]作为解密密钥，利用AES对称加密算法（也可以使用其它对称加密算法，如DES，3DES，RC5）对加密信息S[index]进行解密，得到y_k|x_k=D(info_Key[k],S[index])，把S[index]，y_k，x_k串联起来，得到S[index]|y_k|x_k并且计算其哈希值，验证m[index]与Hash256(S[index]|y_k|x_k)（也可以使用其它的散列函数，如MD5，SHA-512）是否相同，若不相同，则设i=i+1，执行步骤5；否则，说明得到的共享子密钥及其参数点对(y_k,x_k)是合法的。若k<t，则设k=k+1，i=i+1，执行步骤5，否则，执行步骤6；

步骤5：若i>n，则执行步骤7；否则，返回步骤3；

步骤6：得到t个共享子密钥及其参数点对(y_k,x_k)后，根据Shamir门限方案中的插值公式

$K=\underset{j=1}{\overset{t}{\mathrm{\&Sigma;}}}{y}_j\&times;\left(\underset{1\&le;k\&le;t,k\&NotEqual;j}{\mathrm{\&Pi;}}\frac{x_k}{x_k-x_j}\right)\mathrm{mod}p$

恢复出密钥K，结束。

步骤7：密钥恢复失败，结束。

本发明方法的原理说明：

本发明方法，通过对特征信息进行预处理，标出缺失的特征信息点，计算时只考虑有效的特征信息点，忽略缺失或者不存在的特征信息点，避免这些特征信息点对算法造成的影响，从而提高算法的效率。

假设原密钥绑定算法的门限值为t₁，改进后算法的新门限值为t₂。门限值为即包含了n₀个缺失或者不存在的特征信息点。在排除特征信息中缺失或者不存在的特征信息点后，得到t₂=t₁-n₀。因此，可得：

在本发明方法中，取门限值根据Shamir(t，n-n₀)门限方案，在密钥绑定阶段，使用t-1次多项式：把待绑定的密钥K分成n-n₀个共享子密钥及其参数；在解绑定阶段，得到t个共享子密钥及其参数后，利用公式恢复出密钥K。可见，门限值t变小，生成共享子密钥所需要的时间就减少，恢复密钥所需要的插值计算量也相应减少。同时，改进后只需要n-n₀次绑定运算，解绑定阶段只需要恢复出t₂个相关共享子密钥及其参数，也很大程度上减少了计算量。因此，本发明方法克服了已有方法计算效率不高的问题。

针对已有方法有时不能有效恢复出密钥的问题，本发明方法基于特征信息数组info外，生成特征信息点标识数组infoID。由于infoID是根据特征信息点生成的，因此每个特征信息点对应的特征信息点标识都是唯一的。通过特征信息点标识数组infoID、特征信息数组info和特征信息点绑定顺序数组EhdID相结合，可以解决密钥绑定阶段和密钥解绑定阶段，特征信息点的先后次序不一致导致的不能有效恢复出密钥问题。

在密钥绑定阶段，每个参与绑定运算的特征信息点标识是按照绑定的次序依次存储在特征信息点绑定顺序数组EhdID中。因此，在解绑定阶段，利用EhdID数组能够判断当前特征信息点是否合法。EhdID数组只与绑定次序有关，与解绑定阶段的特征信息点的次序无关。因此，无论两个阶段的特征信息数组info中的特征信息点的次序是否一致，只要它们有t个相同的有效特征信息点，通过数组EhdID，本发明方法都能够正常恢复出密钥。

为了说明本发明的内容及实施方法，本说明书给出了具体实施例。在实施例中引入细节的目的不是限制权利要求书的范围，而是帮助理解本发明所述方法。本领域的技术人员应理解：在不脱离本发明及其所附权利要求的精神和范围内，对最佳实施例步骤的各种修改、变化或替换都是可能的。因此，本发明不应局限于最佳实施例及附图所公开的内容。

Claims (1)

1.一种特征信息与密钥绑定方法，其特征在于，所述的方法包括两个阶段：绑定过程和解绑定过程；

所述绑定过程包括如下步骤：

步骤1：获取待绑定密钥K和特征信息数组info，根据特征信息数组info（长度为n），统计出无效特征信息点的个数n₀（n>n₀≥0）；

步骤2：计算门限值利用随机数函数生成t-1个非零的随机数，分别记为a₁,…,a_t-1；

步骤3：设j=1，随机生成一个长度为32Byte以上的大素数p；

步骤4：利用随机数生成函数生成一个非零的x_j，把x_j作为自变量，计算对应的共享子密钥y_j=f(x_j)，其中，

$f\left(x\right)=K+\underset{j=1}{\overset{t-1}{\mathrm{\&Sigma;}}}{a}_j\&times;x^j\mathrm{mod}p;$

j=j+1，若j≤n-n₀，则返回步骤4；否则，执行步骤5；

步骤5：设i=1，j=1；初始化验证信息数组m（长度为n-n₀），加密信息数组S（长度为n-n₀），特征信息点绑定顺序数组EhdID（长度为n-n₀）；

步骤6：从info中获取其第i个元素的值info[i]，若info[i]的值不为空，通过函数G(*)生成对应的信息点密钥info_Key[j]=G(info[i])，并且在EhdID数组中添加info[i]的散列函数标识，执行步骤7；否则，i=i+1，执行步骤8；

步骤7：使用加密函数E(*,*)利用加密密钥info_Key[j]对y_j|x_j加密得到加密信息S[j]=E(info_Key[j],y_j|x_j)；使用散列函数计算S[j]|y_j|x_j的散列值m[j]；j=j+1，i=i+1，执行步骤8；

其中，y_j|x_j表示把y_j，x_j串联起来；S[j]|y_j|x_j表示把S[j]，y_j，x_j串联起来；

步骤8：若i>n或者j>n-n₀，则执行步骤9；否则，返回步骤6；

步骤9：保存m，S，t，EhdID，p信息，记录在密文数据中。

所述解绑定过程包括如下步骤：

步骤1：获取特征信息数组info（长度为n）；

步骤2：i=1，k=1，从密文数据中解析出EhdID、m、S、t、p信息；

步骤3：index=-1；若info[i]为空，则i=i+1，执行步骤5；否则，生成info[i]的散列函数标识，并找到该散列函数标识在EhdID中对应的元素的下标位置index，如果index==-1，则i=i+1，执行步骤5；否则，执行步骤4；

步骤4：通过函数G(*)生成info[i]的特征信息点密钥info_Key[k]=G(info[i])，使用与加密函数E(*,*)对应的解密函数D(*,*)利用解密密钥info_Key[k]对加密信息S[index]进行解密，得到y_k|x_k=D(info_Key[k],S[index])，使用散列函数计算S[index]|y_k|x_k的散列值，验证其与m[index]是否相同，若不相同，则设i=i+1，执行步骤5；否则，若k<t，则k=k+1，i=i+1，执行步骤5，否则，执行步骤6；

其中y_k|x_k表示把y_k，x_k串联起来；S[index]|y_k|x_k表示把S[index]，y_k，x_k串联起来；

步骤5：若i>n，则执行步骤7；否则，返回步骤3；

步骤6：得到t个共享子密钥及其参数点对(y_k,x_k)后，根据公式

$K=\underset{j=1}{\overset{t}{\mathrm{\&Sigma;}}}{y}_j\&times;\left(\underset{1\&le;k\&le;t,k\&NotEqual;j}{\mathrm{\&Pi;}}\frac{x_k}{x_k-x_j}\right)\mathrm{mod}p$

恢复出密钥K，结束。

步骤7：密钥恢复失败，结束。