CN109714148A - 对用户身份进行远程多方认证的方法 - Google Patents

Abstract

本发明提供了一种对用户身份进行远程多方认证的方法。该方法在保证申请用户在申请敏感服务前，除了进行用户身份验证之外，还需要通过可信用户的验证，只有当申请用户和可信用户同时登录系统时，才确认申请用户的身份与动机均合法，允许申请用户使用敏感服务。本方法利用Paillier加密体制的加法同态性，在发送登录信息时进行加盐，使得用户的登录信息得到保护，防止登录信息泄露；利用重加密技术，实现了申请用户与可信用户具有不同秘钥的条件下，能够经过重加密而被同一套秘钥解密；能够抵抗内部人攻击与重放攻击等攻击方式，具有较高的安全性。

Description

对用户身份进行远程多方认证的方法

技术领域

本发明涉及云计算安全领域，尤其涉及一种对用户身份进行远程多方认证的方法。

背景技术

云计算的出现为人们提供了一种新的工作方式，基于云计算提供的服务，工作人员可以按需进行各种服务的申请，以此提升工作人员的工作效率与工作灵活度。

然而在云计算为工作人员提供便利的同时，不法分子也会利用云系统的漏洞对一些组织部门造成危害。典型的方式是，不法分子事先偷取用户的登录信息，诸如偷取登录密码，偷取用户登录所需的智能卡，以及复制用户生物特征，以达到仿冒合法用户进行登录与申请服务的目的。由于云服务申请者的登录位置与登录环境无法预测，因此对登录者的真实身份与申请动机进行认证具有一定的困难。

发明内容

本发明的实施例提供了一种对用户身份进行远程多方认证的方法，以克服现有技术的问题。

为了实现上述目的，本发明采取了如下技术方案。

一种对用户身份进行远程多方认证的方法，利用密钥管理中心KMC生成用户的公钥和私钥，在数据库服务器DB中存储所有用户的由代理服务器Proxy进行重加密处理后的重加密密文指纹信息，包括：

当申请用户登录系统并申请使用敏感服务时，所述申请用户利用自己的公钥将自己的指纹信息进行加密，将加密的指纹信息发送至代理服务器Proxy；可信用户利用自己的公钥将自己的指纹信息进行加密，将加密的指纹信息发送至代理服务器Proxy；

所述代理服务器Proxy对所述申请用户的加密的指纹信息进行重加密处理，得到所述申请用户的及时重加密密文指纹信息，对所述可信用户的加密的指纹信息进行重加密处理，得到所述可信用户的及时重加密密文指纹信息；

当所述申请用户的及时重加密密文指纹信息与所述数据库服务器DB中存储的所述申请用户的重加密密文指纹信息之间的差值没有超出设定的阈值，所述可信用户的及时重加密密文指纹信息与所述数据库服务器DB中存储的所述可信用户的重加密密文指纹信息之间的差值没有超出设定的阈值，则判断所述申请用户验证成功，允许使用敏感服务。

进一步地，所述的利用密钥管理中心KMC生成用户的公钥和私钥，包括：

KMC在用户User i的注册过程中利用基于Paillier加密体制生成用户User i的公钥与私钥，执行下列操作：

KMC随机选择两个大素数p_i和q_i，确保p_i和q_i相互独立，并且使得其满足 gcd(p_iq_i,(p_i-1)(q_i-1))＝1；

计算n_i＝p_iq_i，并求得p_i-1和q_i-1的最小公倍数λ_i，即λ_i＝lcm(p_i-1,q_i-1)；

随机选择整数g_i使得其满足

定义计算

得到User i的公钥pk_i＝(n_i,g_i)，私钥sk_i＝(λ_i,μ_i)；

所述KMC将User i的公钥pk_i和私钥sk_i发送给所述User i。

进一步地，所述的在数据库服务器DB中存储所有用户的由代理服务器Proxy进行重加密处理后的重加密密文指纹信息，包括：

用户通过用户生物特征提取器FE读取自己的指纹信息，对指纹信息进行加盐后使用 Paillier加密体制进行加密，将加盐加密指纹信息发送至数据库服务器DB；

所述数据库服务器DB对所述加盐加密指纹信息进行去盐处理后，得到用户的密文指纹信息，将用户的密文指纹信息发送给代理服务器Proxy，所述代理服务器Proxy对所述密文指纹信息进行重加密，得到所述用户的重加密密文指纹信息，将所述用户的重加密密文指纹信息存储到数据库服务器DB中。

进一步地，所述的在数据库服务器DB中存储所有用户的由代理服务器Proxy进行重加密处理后的重加密密文指纹信息，具体包括：

User i在指纹提取器FE i处提取自己的指纹信息，将所述指纹信息存储于矩阵FP_i[·] 中；

KMC随机生成与FP_i[·]大小相同的随机矩阵R_i[·]，将指纹矩阵FP_i[·]和随机矩阵R_i[·]进行求和运算，得到加盐后的矩阵Salt_i[·]；

随机选择整数r_i，要求0<r_i<n_i，并且即gcd(r_i,n_i)＝1；

将Salt_i[·]中第x行，第y列的元素记作s_xy，对s_xy加密，得到元素s_xy对应的密文为将Salt_i[·]中的所有元素加密后进行整合，得到加密后的加盐矩阵DSalt_i[·]；将DSalt_i[·]发送至数据库服务器DB；

数据库服务器DB利用Paillier加密体制的加法同态性，将用户User i的DSalt_i[·]进行除盐，得到矩阵DFP_i[·]，并将矩阵DFP_i[·]发送至代理服务器Proxy；

代理服务器Proxy初始化重加密系统，利用代理服务器的重加密密钥rk，将矩阵DFP_i[·] 进行重加密，得到重加密密文指纹信息RDFP_i[·]，将所述重加密密文指纹信息RDFP_i[·]存储到数据库服务器DB中。

进一步地，所述的当申请用户登录系统并申请使用敏感服务时，所述申请用户利用自己的公钥将自己的指纹信息进行加密，将加密的指纹信息发送至代理服务器Proxy；可信用户利用自己的公钥将自己的指纹信息进行加密，将加密的指纹信息发送至代理服务器Proxy，包括：

设申请用户为用户User i，可信用户为用户User j，用户User i利用FE i读取其指纹信息，存储于矩阵中，用户User j利用FE j读取其指纹信息，存储于矩阵中；

KMC随机生成大小相同的随机矩阵和将指纹矩阵和随机矩阵进行求和运算，得到加盐后的矩阵将指纹矩阵和随机矩阵进行求和运算，得到加盐后的矩阵

用户User i和用户User j分别从KMC获取自己的公钥和私钥，用户User i和用户User j 分别利用各自的公钥将和进行加密，得到和并利用Paillier加密体制的加法同态性，将用户User i的除盐后得到矩阵将用户User j的除盐后得到矩阵将和发送至代理服务器Proxy。

进一步地，所述的代理服务器Proxy对所述申请用户的加密的指纹信息进行重加密处理，得到所述申请用户的及时重加密密文指纹信息，对所述可信用户的加密的指纹信息进行重加密处理，得到所述可信用户的及时重加密密文指纹信息；

当所述申请用户的及时重加密密文指纹信息与所述数据库服务器DB中存储的所述申请用户的重加密密文指纹信息之间的差值没有超出设定的阈值，所述可信用户的及时重加密密文指纹信息与所述数据库服务器DB中存储的所述可信用户的重加密密文指纹信息之间的差值没有超出设定的阈值，则判断所述申请用户认证成功，允许使用敏感服务，包括：

代理服务器Proxy初始化重加密系统，得到公共参数pubParam；

利用代理服务器的重加密密钥rk，将矩阵进行重加密得到新矩阵将矩阵进行重加密得到新矩阵获取存储在数据库服务器DB中的所述申请用户的重加密密文指纹信息RDFP_i[·]和所述可信用户的重加密密文指纹信息RDFP_j[·]，计算 RDFP_i[·]和之间的加密汉明距离DD_i，计算RDFP_j[·]和之间的加密汉明距离DD_j；

将DD_i和DD_j进行解密，得到汉明距离MD_i和MD_j，判断MD_i和MD_j是否都小于设定的阈值σ，如果是，则判断所述申请用户认证成功，允许其使用敏感服务；否则，判断所述申请用户认证失败，拒绝其使用敏感服务。

由上述本发明的实施例提供的技术方案可以看出，本发明实施例的方案保证申请用户在申请敏感服务前，除了进行用户身份验证之外，还需要通过可信用户的验证，以保证申请用户的身份与动机均合法。本方案利用Paillier加密体制的加法同态性，在发送登录信息时进行加盐，使得用户的登录信息得到保护，防止登录信息泄露；利用重加密技术，实现了申请用户与可信用户具有不同秘钥的条件下，能够经过重加密而被同一套秘钥解密；能够抵抗内部人攻击与重放攻击等攻击方式，具有较高的安全性。

本发明附加的方面和优点将在下面的描述中部分给出，这些将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供了一种对用户身份进行远程多方认证的方法的处理流程图；

图2为本发明实施例提供的一种用户信息注册流程的示意图；

图3为本发明实施例提供的一种用户登录流程的示意图。

具体实施方式

下面详细描述本发明的实施方式，所述实施方式的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。

本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解，当我们称元件被“连接”或“耦接”到另一元件时，它可以直接连接或耦接到其他元件，或者也可以存在中间元件。此外，这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。

本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样定义，不会用理想化或过于正式的含义来解释。

为便于对本发明实施例的理解，下面将结合附图以几个具体实施例为例做进一步的解释说明，且各个实施例并不构成对本发明实施例的限定。

本发明实施例通过Paillier加密体制具有的加法同态性来对用户的登录信息进行保护，防止重放攻击；利用经典的重加密技术，使得申请服务的用户在登录系统的同时，需要至少一个可信用户对申请用户的真实性与登录动机进行验证。可信用户的作用是对申请用户进行验证，当申请用户与可信用户同时登陆系统时，可以认为申请用户的身份与动机均通过了可信用户的认证，此时敏感服务才可被分配到申请用户。如果申请用户在没有可信用户登录的情况下申请服务，会被看做非法申请并拒绝申请行为。基于这一模式，可以防止当前登录用户并非真实的用户，也可以防止真实用户恶意地申请敏感服务，防止内部人攻击。

本发明实施例提供了一种基于Paillier加密体制与重加密技术的对用户身份进行远程多方认证的方法，以防止攻击者通过截取通信流量，实现重放攻击。防止由于内部人员的恶意行为，造成的内部人攻击。

本发明实施例提供的一种对用户身份进行远程多方认证的方法的处理流程如图1所示，包括如下的处理步骤：

步骤S110、利用密钥管理中心KMC生成用户的公钥和私钥，在数据库服务器DB中存储所有用户的由代理服务器Proxy进行重加密处理后的重加密密文指纹信息。

步骤S120、当申请用户登录系统并申请使用敏感服务时，所述申请用户利用自己的公钥将自己的指纹信息进行加密，将加密的指纹信息发送至代理服务器Proxy；可信用户利用自己的公钥将自己的指纹信息进行加密，将加密的指纹信息发送至代理服务器Proxy。

步骤S130、所述代理服务器Proxy对所述申请用户的加密的指纹信息进行重加密处理，得到所述申请用户的及时重加密密文指纹信息，对所述可信用户的加密的指纹信息进行重加密处理，得到所述可信用户的及时重加密密文指纹信息。

步骤S140、当所述申请用户的及时重加密密文指纹信息与所述数据库服务器DB中存储的所述申请用户的重加密密文指纹信息之间的差值没有超出设定的阈值，所述可信用户的及时重加密密文指纹信息与所述数据库服务器DB中存储的所述可信用户的重加密密文指纹信息之间的差值没有超出设定的阈值，则判断所述申请用户验证成功，允许使用敏感服务。

在本发明实施例的基于Paillier加密体制与重加密技术的对用户身份进行远程多方认证的方法中，图2为本发明实施例提供的一种用户信息注册流程的示意图，注册流程包含四个实体，分别是：用户User、用户生物特征提取器FE(Fingerprint Extractor)、用户申请密钥的密钥管理中心KMC(Key Management Center)和保存用户登录信息的数据库服务器DB(Database Server)。

图3为本发明实施例提供的一种用户登录流程的示意图，用户申请服务流程包含五个实体，分别是：用户User、用户生物特征提取器FE、用户申请密钥的密钥管理中心KMC、可对用户登录信息进行重加密的代理服务器Proxy(Proxy Server)和保存用户登录信息的数据库服务器DB。

用户User：申请敏感云服务的人员，包括服务申请者，与可信验证者；

用户生物特征提取器FE：用于提取当前用户的指纹信息的特殊设备；

密钥管理中心KMC：为加密系统提供密钥生成等操作的设备；

代理服务器Proxy：用于对用户在不同的密钥下加密的信息进行重加密，使得用户的加密信息能够被同一套重加密密钥处理的设备；

数据库服务器DB：用于存储用户登录信息的设备。

在本发明实施例的对用户身份进行远程多方认证的方法的具体处理步骤如下：

系统初始化

在这个阶段，KMC利用基于Paillier加密体制生成用户公钥与私钥。User的注册过程执行下列操作：

-密钥管理中心KMC随机选择两个大素数p_i和q_i，确保p_i和q_i相互独立，并且使得其满足gcd(p_iq_i,(p_i-1)(q_i-1))＝1，即使得两质数等长；

-计算n_i＝p_iq_i，并求得p_i-1和q_i-1的最小公倍数λ_i，即λ_i＝lcm(p_i-1,q_i-1)；

-随机选择整数g_i使得其满足

-定义计算

-基于上述计算，得到User i的公钥pk_i＝(n_i,g_i)，私钥sk_i＝(λ_i,μ_i)。

用户User注册信息的加密与存储

任意用户(假设为用户User i)申请其专有的公钥和私钥后，通过FE读取其指纹信息，对指纹信息进行加盐后使用Paillier加密体制进行加密，将加盐加密指纹信息发送至数据库服务器DB，数据库服务器DB对加盐加密指纹信息进行去除加盐、去除加密处理后，得到用户的指纹信息，将用户的指纹信息进行储存，作为用户身份验证模板，具体处理过程如下：

-User i在指纹提取器FE i处提取自己指纹信息，指纹信息存储于矩阵 FP_i[·]中；

-KMC随机生成与FP_i[·]大小相同的随机矩阵R_i[·]，将指纹矩阵FP_i[·]和随机矩阵R_i[·]进行求和运算，得到加盐后的矩阵Salt_i[·]。这里需要确保Salt_i[·] 中的每个元素都大于0且小于n_i；

-随机选择整数r_i，要求0<r_i<n_i，并且即gcd(r_i,n_i)＝1；

-将Salt_i[·]中第x行，第y列的元素记作s_xy，对其加密，得到该元素对应的密文为

-将Salt_i[·]中的所有元素加密后进行整合，得到加密后的加盐矩阵(即加盐加密指纹信息)DSalt_i[·]；将DSalt_i[·]发送至数据库服务器DB

-数据库服务器DB利用Paillier加密体制的加法同态性，将用户User i的 DSalt_i[·]进行除盐，得到矩阵DFP_i[·]，并将DFP_i[·]发送至代理服务器 Proxy。DFP_i[·]为用户User i的密文指纹信息。

用户User注册信息重加密

用户User i的密文指纹信息DFP_i[·]发送至代理服务器Proxy后，需要对其进行重加密，使得使用不同密钥加密的指纹信息能够使用同一套重加密密钥进行解密。过程如下：

-初始化重加密系统，得到公共参数pubParam；

-利用代理服务器的重加密密钥rk，将矩阵DFP_i[·]进行重加密，得到重加密密文指纹信息RDFP_i[·]，并将其存储到数据库服务器DB中，即DB存储所有由重加密系统获得的用户登录信息。

·用户User登录信息加密

当申请用户User i申请敏感服务时，要求可信用户User j验证用户User i身份的真实性与申请动机的合法性，即当申请用户User i和可信用户User j同时登录系统时，敏感服务才可被申请。过程如下：

-用户User i利用FE i读取其指纹信息，存储于矩阵中，用户User j 利用FE j读取其指纹信息，存储于矩阵中；

-KMC随机生成大小相同的随机矩阵和分别将指纹矩阵和随机矩阵指纹矩阵和随机矩阵进行求和运算，得到加盐后的矩阵和这里需要确保和中的每个元素都大于0且分别小于n_i与n_j；

-利用前述公钥与私钥获取方法，由KMC生成用户User i的公钥pk_i＝(n_i,g_i) 和私钥sk_i＝(λ_i,μ_i)，以及用户User j的公钥pk_j＝(n_j,g_j)和私钥 sk_j＝(λ_j,μ_j)；

-利用各自的公钥，将和进行加密，得到和并利用Paillier加密体制的加法同态性，将用户User i的除盐后得到矩阵将用户User j的除盐后得到矩阵进而将和发送至代理服务器Proxy。

·代理重加密与验证

用户将利用各自的公钥进行加密后的登录信息发送至Proxy后，需要对其进行重加密，使得使用不同密钥加密的指纹信息能够使用同一套重加密密钥进行解密，并且验证当前登录的指纹信息与已保存的指纹模板是否吻合，如果吻合，则验证通过；反之，验证失败。过程如下：

-初始化重加密系统，得到公共参数pubParam；

-利用代理服务器的重加密密钥rk，将矩阵和进行重加密，得到新矩阵和并将其与原本存储到数据库服务器DB 中的RDFP_i[·]和RDFP_j[·]进行对比，分别计算RDFP_i[·]和之间的加密汉明距离DD_i，以及RDFP_j[·]和之间的加密汉明距离 DD_j；

-将DD_i和DD_j进行解密，得到汉明距离MD_i和MD_j，判断MD_i和MD_j是否在阈值σ内，如果MD_i和MD_j均没有超出阈值σ，则认证成功，允许申请敏感服务；否则认证失败，拒绝申请。

综上所述，本发明实施例提供了一种基于Paillier加密体制与重加密技术的对用户身份进行远程多方认证的方法，加强了用户在申请敏感服务时的安全认证过程；实施了本发明的方法，可以确保敏感服务在未经许可的情况下不会被非法申请，可以确保服务器存储的用户登录信息不会轻易泄露，保证了用户登录信息的机密性，可以确保恶意的内部人员无法申请敏感服务，防止内部人攻击；可以确保攻击者无法通过对流量的抓取而实施重放攻击。

本发明实施例的方案保证申请用户在申请敏感服务前，除了进行用户身份验证之外，还需要通过可信用户的验证，以保证申请用户的身份与动机均合法。本方案利用Paillier 加密体制的加法同态性，在发送登录信息时进行加盐，使得用户的登录信息得到保护，防止登录信息泄露；利用重加密技术，实现了申请用户与可信用户具有不同秘钥的条件下，能够经过重加密而被同一套秘钥解密；能够抵抗内部人攻击与重放攻击等攻击方式，具有较高的安全性。

本领域普通技术人员可以理解：附图只是一个实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims (6)

1.一种对用户身份进行远程多方认证的方法，其特征在于，利用密钥管理中心KMC生成用户的公钥和私钥，在数据库服务器DB中存储所有用户的由代理服务器Proxy进行重加密处理后的重加密密文指纹信息，包括：

当申请用户登录系统并申请使用敏感服务时，所述申请用户利用自己的公钥将自己的指纹信息进行加密，将加密的指纹信息发送至代理服务器Proxy；可信用户利用自己的公钥将自己的指纹信息进行加密，将加密的指纹信息发送至代理服务器Proxy；

所述代理服务器Proxy对所述申请用户的加密的指纹信息进行重加密处理，得到所述申请用户的及时重加密密文指纹信息，对所述可信用户的加密的指纹信息进行重加密处理，得到所述可信用户的及时重加密密文指纹信息；

当所述申请用户的及时重加密密文指纹信息与所述数据库服务器DB中存储的所述申请用户的重加密密文指纹信息之间的差值没有超出设定的阈值，所述可信用户的及时重加密密文指纹信息与所述数据库服务器DB中存储的所述可信用户的重加密密文指纹信息之间的差值没有超出设定的阈值，则判断所述申请用户验证成功，允许使用敏感服务。

2.根据权利要求1所述的方法，其特征在于，所述的利用密钥管理中心KMC生成用户的公钥和私钥，包括：

KMC在用户User i的注册过程中利用基于Paillier加密体制生成用户User i的公钥与私钥，执行下列操作：

KMC随机选择两个大素数p_i和q_i，确保p_i和q_i相互独立，并且使得其满足gcd(p_iq_i,(p_i-1)(q_i-1))＝1；

计算n_i＝p_iq_i，并求得p_i-1和q_i-1的最小公倍数λ_i，即λ_i＝lcm(p_i-1,q_i-1)；

随机选择整数g_i使得其满足

定义计算

得到User i的公钥pk_i＝(n_i,g_i)，私钥sk_i＝(λ_i,μ_i)；

所述KMC将User i的公钥pk_i和私钥sk_i发送给所述User i。

3.根据权利要求2所述的方法，其特征在于，所述的在数据库服务器DB中存储所有用户的由代理服务器Proxy进行重加密处理后的重加密密文指纹信息，包括：

用户通过用户生物特征提取器FE读取自己的指纹信息，对指纹信息进行加盐后使用Paillier加密体制进行加密，将加盐加密指纹信息发送至数据库服务器DB；

所述数据库服务器DB对所述加盐加密指纹信息进行去盐处理后，得到用户的密文指纹信息，将用户的密文指纹信息发送给代理服务器Proxy，所述代理服务器Proxy对所述密文指纹信息进行重加密，得到所述用户的重加密密文指纹信息，将所述用户的重加密密文指纹信息存储到数据库服务器DB中。

4.根据权利要求3所述的方法，其特征在于，所述的在数据库服务器DB中存储所有用户的由代理服务器Proxy进行重加密处理后的重加密密文指纹信息，具体包括：

User i在指纹提取器FE i处提取自己的指纹信息，将所述指纹信息存储于矩阵FP_i[·]中；

KMC随机生成与FP_i[·]大小相同的随机矩阵R_i[·]，将指纹矩阵FP_i[·]和随机矩阵R_i[·]进行求和运算，得到加盐后的矩阵Salt_i[·]；

随机选择整数r_i，要求0<r_i<n_i，并且即gcd(r_i,n_i)＝1；

将Salt_i[·]中第x行，第y列的元素记作s_xy，对s_xy加密，得到元素s_xy对应的密文为将Salt_i[·]中的所有元素加密后进行整合，得到加密后的加盐矩阵DSalt_i[·]；将DSalt_i[·]发送至数据库服务器DB；

数据库服务器DB利用Paillier加密体制的加法同态性，将用户User i的DSalt_i[·]进行除盐，得到矩阵DFP_i[·]，并将矩阵DFP_i[·]发送至代理服务器Proxy；

代理服务器Proxy初始化重加密系统，利用代理服务器的重加密密钥rk，将矩阵DFP_i[·]进行重加密，得到重加密密文指纹信息RDFP_i[·]，将所述重加密密文指纹信息RDFP_i[·]存储到数据库服务器DB中。

5.根据权利要求1至4任一项所述的方法，其特征在于，所述的当申请用户登录系统并申请使用敏感服务时，所述申请用户利用自己的公钥将自己的指纹信息进行加密，将加密的指纹信息发送至代理服务器Proxy；可信用户利用自己的公钥将自己的指纹信息进行加密，将加密的指纹信息发送至代理服务器Proxy，包括：

设申请用户为用户User i，可信用户为用户User j，用户User i利用FE i读取其指纹信息，存储于矩阵中，用户User j利用FE j读取其指纹信息，存储于矩阵中；

KMC随机生成大小相同的随机矩阵和将指纹矩阵和随机矩阵进行求和运算，得到加盐后的矩阵将指纹矩阵和随机矩阵进行求和运算，得到加盐后的矩阵

用户User i和用户User j分别从KMC获取自己的公钥和私钥，用户User i和用户Userj分别利用各自的公钥将和进行加密，得到和并利用Paillier加密体制的加法同态性，将用户User i的除盐后得到矩阵将用户User j的除盐后得到矩阵将和发送至代理服务器Proxy。

6.根据权利要求5所述的方法，其特征在于，所述的代理服务器Proxy对所述申请用户的加密的指纹信息进行重加密处理，得到所述申请用户的及时重加密密文指纹信息，对所述可信用户的加密的指纹信息进行重加密处理，得到所述可信用户的及时重加密密文指纹信息；

当所述申请用户的及时重加密密文指纹信息与所述数据库服务器DB中存储的所述申请用户的重加密密文指纹信息之间的差值没有超出设定的阈值，所述可信用户的及时重加密密文指纹信息与所述数据库服务器DB中存储的所述可信用户的重加密密文指纹信息之间的差值没有超出设定的阈值，则判断所述申请用户认证成功，允许使用敏感服务，包括：

代理服务器Proxy初始化重加密系统，得到公共参数pubParam；

利用代理服务器的重加密密钥rk，将矩阵进行重加密得到新矩阵将矩阵进行重加密得到新矩阵获取存储在数据库服务器DB中的所述申请用户的重加密密文指纹信息RDFP_i[·]和所述可信用户的重加密密文指纹信息RDFP_j[·]，计算RDFP_i[·]和之间的加密汉明距离DD_i，计算RDFP_j[·]和之间的加密汉明距离DD_j；

将DD_i和DD_j进行解密，得到汉明距离MD_i和MD_j，判断MD_i和MD_j是否都小于设定的阈值σ，如果是，则判断所述申请用户认证成功，允许其使用敏感服务；否则，判断所述申请用户认证失败，拒绝其使用敏感服务。