CN104618113A - 一种移动端身份认证及安全信道建立的方法 - Google Patents

Abstract

本发明属于身份认证和图像识别领域，具体涉及一种移动端利身份认证及安全信道建立的方法，包括步骤1)身份认证，数据传输双方分别使用智能终端的前后摄像头互相拍摄，提取第一用户的前置摄像头拍摄图像和第二用户的后置摄像头拍摄图像的特征值进行第一次图像匹配，当匹配成功时，进入下一步骤；步骤2)安全信道建立，首先利用步骤1)所拍摄图像的背景噪声生成随机密钥，通过随机密钥建立临时信道，然后在此临时信道基础上利用迪菲－赫尔曼密钥交换方法建立安全信道。本方法建立的通信信道稳定安全、有效性高；仅需拍摄图像便可以进行身份验证和安全信道的建立，具有安全高效、方便快捷的优点，在移动数据传输领域能够得到长期和普遍的应用。

Description

一种移动端身份认证及安全信道建立的方法

技术领域

本发明属于身份认证和图像识别领域，具体涉及一种移动端利身份认证及安全信道建立的方法。

背景技术

随着移动互联网的日新月异和不断繁荣，移动设备端的数据传输需求增长的速度越来越快。在此背景下，移动数据传输技术得到了前所未有的高速发展。信息爆炸的时代，个人隐私正在以各种各样的方式不停泄露，如何保护个人隐私和数据安全是不得不考虑的问题。在此基础上，移动设备端的数据传输无论利用的是蓝牙、WIFI还是NFC等方式，数据必须传输给正确的用户并且必须安全的传输给该用户。简而言之，数据传输最底层的要求是正确的身份认证和安全的信道建立。目前成熟的身份认证技术有利用公钥密码理论和对称密钥技术建立起来的PKI(Public Key infrastructure，公钥基础设施)认证和CBC-MAC(Cipher Block Chaining Message Authentication Code，基于密文的消息认证)。

PKI是利用公钥理论和技术建立的提供安全服务的基础设施。利用PKI进行安全的数据传输的原理是数据接收者向授权中心CA(CertificateAuthority)申请数字证书，数据发送者通过CA获得目标的数字证书，然后利用数字证书中接收者的公钥加密数据，接收者利用自己的私钥解密得到原始数据。其身份认证方式是通过第三方权威机构CA分发的数字证书获得目标的身份。该方法广泛应用于网络安全和电子商务中。PKI技术在移动端有其明显的不足。移动端数据传输具有突发性，简易性和便携性等特点，并且在短时间需要进行高效实时的认证，PKI认证技术由于通信附加信息和计算量都较大，不适合在移动端进行数据传输。

CBC-MAC认证技术出现得较早，是一种构造方法简单的经典方法，采用AES作为加密算法。CBC-MAC认证技术苏日安附加量和计算量比PKI技术小一些，但由于其仍然具有靠大量的加解密运算得以保证数据安全的上层认证特性，无法满足移动端的低复杂度以达到快速认证的需求。

移动端的身份认证有一种给予“射频指纹”的方法，该方法利用无线设备发射机由于器件容差产生的射频指纹进行身份认证。无线设备发射机器件容差的唯一性保证射频指纹难以复制和克隆。这种方法有固有的缺陷。正如指纹识别认证一样，射频指纹只能对已经“验证”过的目标进行验证。换句话说，虽然射频指纹具有唯一性，但是需要有录入射频指纹的过程，该方法只能对录入的射频指纹进行认证，不能对陌生人进行验证，难以满足移动端位置不确定性和用户不确定性的要求。

加密信道建立方法主要有对称密钥加密和不对称密钥加密。对称密钥加密要求数据传输双方使用同样的密钥分别进行加密和解密，但是密钥的传输可能是不安全的。不对称密钥使用公钥和私钥，发送者使用公钥加密，接收者使用私钥解密。PKI使用不对称密钥方法，也是一种信道加密的技术。受限于移动端设备的性能和网络状况，公钥和私钥的产生以及分配会很繁琐，这必然会减缓加密信道建立的过程，时间的增长也是移动端数据传输所不能容忍的。

发明内容

本发明的目的在于，针对现有技术存在的缺陷和不足，提供一种以图像特征值匹配进行身份认证以及利用图像中的背景噪声产生随机密钥建立短时安全信道从而建立稳定的加密安全信道的方法。

为实现上述目的，本发明采用以下技术方案：包括以下步骤：

步骤1)身份认证，

数据传输双方分别使用智能终端的前后摄像头互相拍摄，提取第一用户的前置摄像头拍摄图像和第二用户的后置摄像头拍摄图像的特征值进行第一次图像匹配，当匹配成功时，进入下一步骤；

步骤2)安全信道建立，

首先利用步骤1)所拍摄图像的背景噪声生成随机密钥，通过随机密钥建立临时信道，然后在此临时信道基础上利用迪菲－赫尔曼密钥交换方法建立安全信道。

进一步的，步骤1)所述身份认证具体为：建立二进制串内核用于图像匹配：

(1)柱状图交互，定义图像像素属性可能的值，将其按不同的间隔分组，使用柱状图将图像的每个像素属性相关联，利用柱状图表示图像包含每组像素的信息；进行数据传输的双方拍摄的图像分别图像A、B，对于有N个像素的p维图像A，其柱状图为：

其中A_M为第M个块，并且图像A和B的柱状图交互为：

$H_{\mathrm{int}}(A,B)=N-(1/2){\left|\right|A-B\left|\right|}_{L^1};$

其中L¹是：

$L^1={\mathrm{\Σ}}_{m=1}^M{A}_m;$

(2)利用Hausdorff内核进行灰度匹配：

其中是图像A和图像B灰度匹配的量，hA(B)是图像B对图像A的柱状图交互；

(3)匹配度计算：

基于Hausdorff的Mercer内核

$H_S(A,B)=\frac{1}{2}(A\·B^S+B\·A^S),$

其中S是H的三维模板，H_S(A，B)为匹配度，设定图像A和图像B匹配成功的阈值；

(4)图像匹配

根据Hausdorff的Mercer内核获得的结果与阈值进行比较，当匹配度≥阈值时，匹配成功。

进一步的，步骤2)所述生成随机密钥具体操作为：

(1)背景噪声提取：

$\mathrm{pp}\left(g_k\right)=P\left(g_k\right)/\underset{k=n}{\overset{m}{\mathrm{\Σ}}}P\left(g_k\right)$

其中p(gk)是像素点gk在柱状图中所占的比例，提取的背景噪声如下：

$\underset{k=a}{\overset{b}{\mathrm{\Σ}}}\mathrm{pp}\left(g_k\right),a,b\∈[n,m];$

(2)利用提取的背景噪声生成DES密钥，将背景噪声随机提取64位作为Key,

Key＝k₁k₂k₃…k₆₃k₆₄；

去除作为奇偶校验位的第8、16、24、32、40、48、56、64位，剩下的56位作为有效输入K；将K均等分为A,B两个部分，各28位,A、B分别进行16次循环左移迭代，除第1、2、9、16次循环左移1位外，其他循环左移2位；在第i次迭代过程中，A、B循环左移后按位异或生成C_i；所有迭代结束后将C_i按位异或得到DES随机密钥C；

(3)交换密钥建立临时信道。

进一步的，步骤2)所述建立安全信道具体为：

(1)选定一个有限循环群G和它的一个生成元g，并且选定一个大素数p；

(2)数据传输的一方为发送者，发送者使用背景噪声中提取的随机密钥a，并且将g^a mod p发送给接受者；

(3)数据传输的另一方为接收者，接收者使用其背景噪声中的随机密钥b，并且将g^b mod p发送给发送者；

(4)发送者计算(g^b)^amod p；

(5)接收者计算(g^a)^bmod p；

(6)发送者和接收者同时协商出群元素gab，其被用作共享密钥；

(7)利用共享密钥建立安全信道；

(8)在安全信道上利用DES加密算法对数据进行加密从而进行安全传输。

进一步的，所述身份认证还包括第二次图像匹配，当第一次图像匹配成功时，进行第二次匹配：数据传输双方切换前后摄像头进行相互拍摄，提取第一用户的后置摄像头拍摄图像和第二用户前置摄像头拍摄图像的特征值进行第二次图像匹配，当匹配成功时，再进入下一步骤。

进一步的，所述的图像特征值为灰度或亮度。

与现有技术相比，本发明具有以下有益的技术效果：进行数据传输双方的电智能终端首先进行身份认证，使用前置和后置摄像头互相拍摄，并分别提取双方拍摄的图像的特征值进行图像匹配，当匹配成功时，再进行安全信道的建立。通过在拍摄图像的背景噪声中生成随机密钥，通过随机密钥建立临时信道，然后在临时信道的基础上建立安全信道。在身份认证时，攻击者无法得到正确的匹配图像，能够有效防止攻击的发生。并且通过在临时信道上利用迪菲－赫尔曼密钥交换方法建立稳定安全的通信信道，有效性高。本发明提供的方法仅需拍摄图像便可以进行身份验证和安全信道的建立，具有安全高效、方便快捷的优点，在移动数据传输领域能够得到长期和普遍的应用。

进一步的，通过设置两次图像匹配的方法，当两次图像匹配均成功时，再进行安全信道的建立，进一步提高安全性，有效防止攻击。

具体实施方式

下面结合实施例对本发明做进一步详细描述。

本发明包括以下步骤：步骤1)身份认证，

数据传输双方分别使用智能终端的前后摄像头互相拍摄，提取第一用户的前置摄像头拍摄图像和第二用户的后置摄像头拍摄图像的特征值进行第一次图像匹配，当匹配成功时；当第一次图像匹配成功时，进行第二次匹配：数据传输双方切换前后摄像头进行相互拍摄，并分别提取双方智能终端第二次拍摄图像的特征值进行第二次图像匹配，当匹配成功时，再进入下一步骤。图像特征值可以为灰度或亮度。

身份认证具体为：建立二进制串内核用于图像匹配：

(1)柱状图交互，定义图像像素属性可能的值，将其按不同的间隔分组，使用柱状图将图像的每个像素属性相关联，利用柱状图表示图像包含每组像素的信息；对于有N个像素的p维图像A，其柱状图为：

其中A_M为第M个块，同理可得有N个像素的p维图像B的柱状图；并且两个电子设备拍摄的图像A和B的柱状图交互为：

$H_{\mathrm{int}}(A,B)=N-(1/2){\left|\right|A-B\left|\right|}_{L^1};$

其中L¹是：

$L^1={\mathrm{\Σ}}_{m=1}^M{A}_m;$

(2)利用Hausdorff内核进行灰度匹配：

其中是图像A和图像B灰度匹配的量，hA(B)是图像B对图像A的柱状图交互；

(3)匹配度计算：

基于Hausdorff的Mercer内核进行矩阵运算：

$H_S(A,B)=\frac{1}{2}(A\·B^S+B\·A^S),$

其中S是H的三维模板，H_S(A，B)为匹配度，设定图像A和图像B匹配成功的阈值；

(4)图像匹配

根据Hausdorff的Mercer内核获得的结果与阈值进行比较，当匹配度≥阈值时，第一次匹配成功。数据传输的双方切换前后摄像头进行拍照，即第一次使用前置摄像头的一防使用后置摄像头拍摄，第一次使用后置摄像头的一方使用前置摄像头拍摄，具体操作方法与第一次匹配操作相同；当第二次匹配成功时，进行安全信道的建立。

步骤2)安全信道建立，

首先利用步骤1)所拍摄图像的背景噪声生成随机密钥，通过随机密钥建立临时信道，然后在此临时信道基础上利用迪菲－赫尔曼密钥交换方法建立安全信道。临时信道是指拍摄完毕后用户需要交换数据所使用的信道，该信道在用户交换完数据后会被弃用。

步骤2)所述生成随机密钥具体操作为：

(1)背景噪声提取：

$\mathrm{pp}\left(g_k\right)=P\left(g_k\right)/\underset{k=n}{\overset{m}{\mathrm{\Σ}}}P\left(g_k\right)$

其中p(gk)是像素点gk在柱状图中所占的比例，提取的背景噪声如下：

$\underset{k=a}{\overset{b}{\mathrm{\Σ}}}\mathrm{pp}\left(g_k\right),a,b\∈[n,m];$

(2)利用提取的背景噪声生成DES密钥，将背景噪声随机提取64位作为Key,

Key＝k₁k₂k₃…k₆₃k₆₄；

去除作为奇偶校验位的第8、16、24、32、40、48、56、64位，剩下的56位作为有效输入K；将K均等分为A,B两个部分，各28位,A、B分别进行16次循环左移迭代，除第1、2、9、16次循环左移1位外，其他循环左移2位；在第i次迭代过程中，A、B循环左移后按位异或生成C_i；所有迭代结束后将C_i按位异或得到DES随机密钥C；

(3)交换密钥建立临时信道。

步骤2)所述建立安全信道具体为：

(1)选定一个有限循环群G和它的一个生成元g，并且选定一个大素数p；

(2)数据传输的一方为发送者，发送者使用背景噪声中提取的随机密钥a，并且将g^a mod p发送给接受者；

(3)数据传输的另一方为接收者，接收者使用其背景噪声中的随机密钥b，并且将g^b mod p发送给发送者；

(4)发送者计算(g^b)^amod p；

(5)接收者计算(g^a)^bmod p；

(6)发送者和接收者同时协商出群元素gab，其被用作共享密钥；

(7)利用共享密钥建立安全信道；

(8)在安全信道上利用DES加密算法对数据进行加密从而进行安全传输。

建立安全信道之后可以使用DES加密算法对数据进行加密，使得数据本身(DES加密)和传输过程(迪菲－赫尔曼密钥交换方法)都得到安全保证。DES加密算法是现有的一套复杂的加密系统，可以直接使用。

本发明分为两个步骤：一是身份认证，二是安全信道建立。身份验证的具体过程是数据传输双方分别使用各自手机的前置摄像头和后置摄像头面对对方进行拍摄。显然，一方的前置摄像头拍摄到的图像与另一方后置摄像头拍摄的图像具有高度相似性，反之亦然。身份验证的思想是正因为前后摄像头拍摄的图像具有这种高度的相似性，所以分别提取前后摄像头拍摄图像的特征值进行图像匹配，如果能够成功匹配，则可以认证双方的身份，继而进行安全信道的建立。考虑以下身份欺骗攻击行为，攻击者想要伪造摄像头拍摄的图像从而进行身份欺骗。由于光线的视距传播特点，攻击者在身后拍摄时会被前方真正的数据传输者所遮挡，无法得到正确的图像。考虑到光线的透视作用，攻击者在较远的地方拍摄可能会得到与前方传输者按比例缩放的相似图像，但是由于手机摄像头的像素有限，远距离的拍摄势必会导致图像分辨率的降低，从而极大的降低图像匹配的精度。另一种情况，攻击者在近距离的拍摄行为很容易引起传输者的注意，从而有效防止攻击的发生。

综上所述本发明的身份验证方式具有很强的抗攻击能力。另外，身份识别时只需要拍摄图像，具有很好的便携性。在身份验证成功的基础上，安全信道的建立分为两个子阶段。首先，利用摄像头拍摄图像的背景噪声，如衣服褶皱等产生随机密钥，建立起一个比较安全的临时信道。之后，在此临时信道上利用经典的迪菲－赫尔曼密钥交换(Diffie-Hellman key exchange)方法建立起稳定的安全的通信信道。实验结果表明，本发明提出的身份认证方法和安全信道建立方法安全性较高，因为攻击者很难获得正确的图像和背景噪声。有效性高，无需消耗很多移动设备如手机的资源，耗电量低。使用方便，仅仅需要拍摄图像便可以进行验证和传输，并没有使用额外设备。我们相信本发明提出的移动端身份验证和安全信道建立方法能够利用其自身安全有效、方便快捷的优点，在移动数据传输领域得到长期和普遍的应用。

Claims (6)

1.一种移动端身份认证及安全信道建立的方法，其特征在于，包括以下步骤：

步骤1)身份认证，

数据传输双方分别使用智能终端的前后摄像头互相拍摄，提取第一用户的前置摄像头拍摄图像和第二用户的后置摄像头拍摄图像的特征值进行第一次图像匹配，当匹配成功时，进入下一步骤；

步骤2)安全信道建立，

首先利用步骤1)所拍摄图像的背景噪声生成随机密钥，通过随机密钥建立临时信道，然后在此临时信道基础上利用迪菲－赫尔曼密钥交换方法建立安全信道。

2.根据权利要求1所述的一种移动端身份认证及安全信道建立的方法，其特征在于，步骤1)所述身份认证具体为：建立二进制串内核用于图像匹配：

(1)柱状图交互，定义图像像素属性可能的值，将其按不同的间隔分组，使用柱状图将图像的每个像素属性相关联，利用柱状图表示图像包含每组像素的信息；进行数据传输的双方拍摄的图像分别图像A、B，对于有N个像素的p维图像A，其柱状图为：

其中A_M为第M个块，并且图像A和B的柱状图交互为：

$H_{\mathrm{int}}(A,B)=N-(1/2)\left|\right|A-B{\left|\right|}_{L^1};$

其中L¹是：

$L^1={\mathrm{\Σ}}_{m=1}^M{A}_m;$

(2)利用Hausdorff内核进行灰度匹配：

其中是图像A和图像B灰度匹配的量，hA(B)是图像B对图像A的柱状图交互；

(3)匹配度计算：

基于Hausdorff的Mercer内核

$H_S(A,B)=\frac{1}{2}(A\·B^S+B\·A^S),$

其中S是H的三维模板，H_S(A，B)为匹配度，设定图像A和图像B匹配成功的阈值；

(4)图像匹配

根据Hausdorff的Mercer内核获得的结果与阈值进行比较，当匹配度≥阈值时，匹配成功。

3.根据权利要求2所述的一种移动端身份认证及安全信道建立的方法，其特征在于，步骤2)所述生成随机密钥具体操作为：

(1)背景噪声提取：

$\mathrm{pp}\left(g_k\right)=P\left(g_k\right)/\underset{k=n}{\overset{m}{\mathrm{\Σ}}}P\left(g_k\right)$

其中p(gk)是像素点gk在柱状图中所占的比例，提取的背景噪声如下：

$\underset{k=a}{\overset{b}{\mathrm{\Σ}}}\mathrm{pp}\left(g_k\right),a,b\∈[n,m];$

(2)利用提取的背景噪声生成DES密钥，将背景噪声随机提取64位作为Key,

Key＝k₁k₂k₃…k₆₃k₆₄；

去除作为奇偶校验位的第8、16、24、32、40、48、56、64位，剩下的56位作为有效输入K；将K均等分为A,B两个部分，各28位,A、B分别进行16次循环左移迭代，除第1、2、9、16次循环左移1位外，其他循环左移2位；在第i次迭代过程中，A、B循环左移后按位异或生成C_i；所有迭代结束后将C_i按位异或得到DES随机密钥C；

(3)交换密钥建立临时信道。

4.根据权利要求3所述的一种移动端身份认证及安全信道建立的方法，其特征在于，步骤2)所述建立安全信道具体为：

(1)选定一个有限循环群G和它的一个生成元g，并且选定一个大素数p；

(2)数据传输的一方为发送者，发送者使用背景噪声中提取的随机密钥a，并且将g^a mod p发送给接受者；

(3)数据传输的另一方为接收者，接收者使用其背景噪声中的随机密钥b，并且将g^b mod p发送给发送者；

(4)发送者计算(g^b)^amod p；

(5)接收者计算(g^a)^bmod p；

(6)发送者和接收者同时协商出群元素gab，其被用作共享密钥；

(7)利用共享密钥建立安全信道；

(8)在安全信道上利用DES加密算法对数据进行加密从而进行安全传输。

5.根据2所述的一种移动端身份认证及安全信道建立的方法，其特征在于，所述身份认证还包括第二次图像匹配，当第一次图像匹配成功时，进行第二次匹配：数据传输双方切换前后摄像头进行相互拍摄，提取第一用户的后置摄像头拍摄图像和第二用户前置摄像头拍摄图像的特征值进行第二次图像匹配，当匹配成功时，再进入下一步骤。

6.根据权利要求1所述的一种移动端身份认证及安全信道建立的方法，其特征在于，所述的图像特征值为灰度或亮度。