CN112329519A - 一种安全的在线指纹匹配方法 - Google Patents
一种安全的在线指纹匹配方法 Download PDFInfo
- Publication number
- CN112329519A CN112329519A CN202010993853.5A CN202010993853A CN112329519A CN 112329519 A CN112329519 A CN 112329519A CN 202010993853 A CN202010993853 A CN 202010993853A CN 112329519 A CN112329519 A CN 112329519A
- Authority
- CN
- China
- Prior art keywords
- user
- service provider
- fingerprint
- authentication center
- template
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 238000012795 verification Methods 0.000 claims abstract description 43
- 238000013475 authorization Methods 0.000 claims abstract description 5
- 238000004364 calculation method Methods 0.000 claims description 21
- 239000013598 vector Substances 0.000 claims description 18
- 238000000605 extraction Methods 0.000 claims description 8
- 238000012545 processing Methods 0.000 claims description 8
- 238000012360 testing method Methods 0.000 claims description 5
- 238000010276 construction Methods 0.000 claims description 3
- 238000004321 preservation Methods 0.000 claims description 3
- 238000012797 qualification Methods 0.000 claims description 3
- 238000004806 packaging method and process Methods 0.000 claims description 2
- 238000004891 communication Methods 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003679 aging effect Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 239000004576 sand Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V40/00—Recognition of biometric, human-related or animal-related patterns in image or video data
- G06V40/10—Human or animal bodies, e.g. vehicle occupants or pedestrians; Body parts, e.g. hands
- G06V40/12—Fingerprints or palmprints
- G06V40/1347—Preprocessing; Feature extraction
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/70—Arrangements for image or video recognition or understanding using pattern recognition or machine learning
- G06V10/74—Image or video pattern matching; Proximity measures in feature spaces
- G06V10/75—Organisation of the matching processes, e.g. simultaneous or sequential comparisons of image or video features; Coarse-fine approaches, e.g. multi-scale approaches; using context analysis; Selection of dictionaries
- G06V10/751—Comparing pixel values or logical combinations thereof, or feature values having positional relevance, e.g. template matching
Abstract
本发明涉及一种安全的在线指纹匹配方法,包括:安全认证中心初始化阶段,安全认证中心生成系统参数,用户和服务商在安全认证中心注册,生成各自的公私钥对,用户指纹特征采集并提交模版数据;用户模版数据授权阶段,用户在服务提商处注册后,服务商向安全认证中心申请获取该用户的模版数据;用户服务请求阶段,用户端对用户的特征信息进行采集,使用同态BGN密码算法生成临时验证指纹密文信息;密文匹配阶段,服务商接收到用户的验证请求后,与数据库中该用户的模版数据进行匹配,匹配结果为真,则通过用户的服务请求,否则拒绝用户的服务请求。实现高效安全的在线指纹认证,解决服务商的不可信性与用户指纹特征的隐私性之间的矛盾。
Description
技术领域
本发明属于信息安全和隐私保护领域,具体涉及一种安全的在线指纹匹配方法,在 利用同态BGN加密算法对用户指纹特征进行隐私保护,在密文状态下进行特征匹配的方法。
背景技术
基于生物特征的身份识别最早是在1994年提出来的。但是生物特征识别系统的安全性是在近几年才开始受到广泛的关注。生物特征数据的加密类型的不同可以分为:特 征模板加密;可搜索加密;同态加密;矩阵加密。2006年Jules等人提出一种Fuzzy Vault 方法,将生物特征数据映射到密钥构造的多项式上得到真实点,再添加大量随机杂凑值, 验证时输入生物特征数据,当能够提取出足够数量的真实点,就能够恢复出密钥。该方 法非常适用于无序的生物特征数据集合。这种方法较好的解决了密码体制精确性和生物 特征模糊性之间的矛盾,然而Fuzzy Vault方法存在严重的安全缺陷:(1)通过交叉比 较多个模糊金库可以得到原始特征点模板的数据;(2)一旦密钥被盗,攻击者可以将 部分随机杂凑值换成其他值,就可以通过验证这些值来冒充合法用户通过系统验证。 2000年Song等人构造了首个可搜索加密方法,该方法可以实现在密文域遍历密文匹配 来实现查找,但是效率较低。2010年Li等人提出了一种基于模糊关键字的搜索方法, 该方法通过计算关键字之间的距离定义关键字之间的相似性。2017年,YANG等人提出 了基于双因子排序的模糊关键字检索方法,并以汉明距离和相似度评分作为判断依据。 2005年Abdalla等人利用公钥密码系统提出了一种身份加密搜索方法。2004年Golle等 人提出了多关键字搜索的安全威胁模型。2015年Mohammad等人利用可搜索加密技术, 提出了一个隐私保护的生物特征识别解决方法,名为CloudID。CloudID可以在加密域 中执行生物识别的操作,来确保云服务器或潜在攻击者无法直接访问敏感数据。2016 年朱斌瑞等人也将生物特征和可搜索加密结合,实现了安全快捷的生物特征关键词搜 索。可搜索加密方法主要是利用公钥密码体制来实现生物特征认证系统中的模板密文搜 索模块的隐私保护,该类型方法不能为认证系统提供完整的隐私保护,也不能完成系统 中复杂的数据密文计算。同态密码体制于1978年首次提出,其特点是可以对密文进行 计算,在不需要解密的情况下完成对加密数据运算。在保证生物特征数据安全的前提下 又不影响认证的准确度,是基于生物特征进行身份安全认证方法研究的热点。常用的同 态加密算法Paillier和RSA首先被用于人脸、虹膜、掌纹和指纹认证系统中来保证生物 特征数据的隐私保护。
2010年Barni等人提出的基于Paillier的FingerCode指纹认证方法,在不影响FingerCode指纹识别方法认证准确性的情况下实现了两方交互的场景下指纹数据隐私 保护。2014年Li等人提出了基于乱码电路和同态加密算法指纹细节点匹配认证方法, 实现了匹配模板数据的加密存储和两方安全计算。同年Chun等人利用同态密码体制构 造了欧氏距离和汉明距离的安全两方计算方法,实现了基于两种距离计算的多种生物特 征认证方法的隐私保护。2015年Blanton等人利用同态加密技术为指纹和虹膜认证系统 设计了隐私保护方法,实现了大数据场景下的两方安全计算。2017年Masaya等人提出 了基于两种基于理想格的同态加密方法,用于解决生物特征识别中安全计算汉明距离的 问题。然而,上述的全同态加密技术计算复杂度较高,实现成本高,而部分同态加密算 法支持的运算方式较少,不能够完全适用于复杂的生物特征数据匹配计算。
本申请基于e-finger隐私保护方法,引入LWE问题的实例,提出一种新的安全的在线指纹认证方法,称为Security e-finger。我们提出的Security e-finger方法采用同态加密 技术,在组合阶群下计算安全欧氏距离,保护用户的指纹信息,实现机密性,实现高效安全的在线指纹认证。
发明内容
本发明的目的在于提出一种安全的在线指纹匹配方法,该方法能够使服务器实现安 全高效的在线指纹认证,且不需要知道用户加密指纹特征的私钥,保证了用户的指纹特征的隐私性。
为了达到上述目的,本发明采用的技术方法如下:
利用同态BGN密码算法,将用户的指纹特征信息使用同态的BGN加密算法进行保护。
设计方法加入LWE问题实例,在用户的提出服务请求时,对用户的指纹特征加入一个LWE问题的实例,扰乱用户的指纹特征的分布情况,增加系统的安全性。
包括以下步骤:
步骤一:安全认证中心初始化阶段,安全认证中心生成系统参数,用户和服务商在安全认证中心注册,生成各自的公私钥对,用户指纹特征采集并提交模版数据;
步骤二:用户模版数据授权阶段,用户在服务提商处注册后,服务商向安全认证中心申请获取该用户的模版数据;
步骤三:用户服务请求阶段,用户端对用户的特征信息进行采集,使用同态BGN 密码算法生成临时验证指纹密文信息;
步骤四:密文匹配阶段,服务商接收到用户的验证请求后,与数据库中该用户的模版数据进行匹配,匹配结果为真,则通过用户的服务请求,否则拒绝用户的服务请求。
作为本发明方法进一步的说明:
步骤一:安全认证中心初始化
系统初始化以及系统参数分发:①用户(U)在安全认证中心处的注册,用户选取随机数 作为自己的私钥并计算得出公钥②分配安全参数ki和生成用户 加密参数③服务提供商(OAS)在安全认证中心处的注册,服务商 选取随机作为私钥计算出公钥安全认证中心获取模板:④安全认 证中心采集注册用户的指纹特征计算出加密模版数据
步骤二:用户模板授权
⑦认证中心验证用户和服务提供商的签名的正确性后,提供用户模板:安全认证中心接 收到服务提供商的请求后,安全认证中心首先验证签名时效性,用户的和服务提供商的 验证签名的正确性;验证正确后安全认证中心用私钥SKTA构造签名,将指纹模版数据包发送给服务提供方;
步骤三:用户的服务请求
用户首先利用终端设备采集自己的指纹图像,在通过Gabor滤波器的图像处理以及特征 提取,获取指纹的矢量信息给特征加入冗余后,用同态BGN算 法加密得到指纹特征的密文⑧用户用自己私钥对构造好的验证指纹信息进行签名;签名信息为签名 完成后将验证请求数据包发送给服务提供商;
步骤四:密文匹配阶段
服务提供商在布隆过滤器BFRDSi上运行BF.Test,计算来判断匹配参数Md是否为属于参 考集合RDSi;得到匹配结果RS,若RS为真,则验证成功,否则验证失败;⑨对RS 加密后得到将CRS发送用户。
作为本发明方法进一步的说明:所述步骤一的具体操作为:安全认证中心初始化选 择一个安全参数运行函数KeyGen(l):生成参数 <G,GT,e,q1,q2,g,h,N=q1*q2>,q1,q2为l比特的素数,g,u是环G的生成元,环G的 阶为N;计算出两个秘密的数值在G中生成子环,阶 是q1;认证中心选择随机参数作为认证中心的公钥skTA,计算出安全认证中心公钥 安全认证中心选取一个非对称的加密算法E(),哈希函数哈希函数最终TA保存秘密参数<q1,skTA>;公开参数 <G,GT,e,g,h,N,PKS,E(),H1(),H2()>;
(1)服务提供商(OAS)的注册:服务提供商需要在安全权认证中心进行注册以 获得使用指纹模版来进行身份认证服务的服务资格;当在安全认证中心出进行注册时, 服务提供商首先要选择随机数作为自己的私钥计算出公钥并将公 钥和服务商信息一起提交给安全认证中心,之后安全认证中心将分配给成功注册的服务 商一个秘密身份验证码ICS;
(2)用户(U)在认证中心的注册:用户选择一个随机数作为自己的私钥并计算得出公钥把公钥信息发送给认证中心;这时,认证中心为每个用户Ui选择一个随机性的安全参数ki和并计算以及用户加密参 数安全认证中心将参数发送给用户;
(3)保存模版:TA将采集注册用户的指纹,并通过图像处理以及特征提取,得到 用户指纹的FingerCode向量安全认证中心通过以下步骤将数据进行 加密存储:首先利用用户的冗余参数ki和哈希函数加冗余值,如公 式(1-1)所示:
(4)安全认证中心计算每个用户Ui的RDSi,其中 是判断两个FingerCode是否匹配的欧氏距离的门限值;基于RDSi,安全认证中心为每个用户构造一个BloomfilterBFRDSi;用户永久保存指纹分 量线性组合t(1),...,t(l),其中选取的LWE分布t(j),1≤j≤l,满足条件其中ej服从离散高斯分布。
作为本发明方法进一步的说明:所述步骤二的具体操作为:
(1)用户在服务提供商(OAS)的注册:用户用自己的私钥对自己的ID进行签名 发送给OAS:其中其中TS1是 时间戳,是每个用户的ID号;服务提供商接受到用户的请求数据后,首先验证TS1的时效性;然后验证是否成立;如果等式成 立,则验证通过;
(3)认证中心提供永久指纹模板:当安全认证中心接收到服务提供商的请求后,安全认证中心首先验证签名的时间戳TS1和TS2的时效性,以及用户身份标识Ui和指纹 认证服务提供商的IDS;之后用用户的公钥和服务提供商的公钥PKS验证签名的正 确性,即验证和 e(g,SigS)=e(PKS,H1(IDS||TS2))的正确性;如果这两个等式都成立,则用户和指纹认证 服务器签名有效,那么安全认证中心通过服务提供商的指纹模版请求;安全认证中心用 私钥SKTA构造签名,签名结束后,安全认证 中心将指纹模版数据包发送给服务提供方;
(4)服务提供商保存用户的模板信息:服务提供商接受到安全认证中心发来的指纹模版数据包后,首先验证时间戳信息TS3的时效性,然后验证中心的签名信息,如若签名信息没有问题,则服务提 供商保存用户的授权指纹模板
作为本发明方法进一步的说明:所述步骤三的具体操作为:
(2)生成扰乱密文偏量t:用户随机选择s∈{0,1}l,计算得出扰乱密文偏量t,t=(t(1),...,t(l))s其中t(1),...,t(l)为用户在安全认证中心提交指纹模版时返回的指纹分量线 性组合;
作为本发明方法进一步的说明:所述步骤四的具体操作为:
(1)验证用户请求数据包:首先,服务提供商接受到用户的验证请求数据包后,首先验证用户的身份标识以及时间戳TS4的时效性, 然后利用用户的公钥验证用户的签名 如果等式成立,则用户的签名有效,用户的 请求成功;
(2)计算匹配参数:根据用户的服务提供商在数据库中找到用户对应的匹配模板得到该用户的加密指纹模版数据以及布隆过滤器 BFRDSi;服务提供商利用指纹模版数据和用户的验证指纹数据计算匹配参数Md;具体 公式如(1-5)所示:
得出验证结果:服务提供商在布隆过滤器BFRDSi上运行BF.Test计算来判断匹配参数 Md是否为属于参考集合RDSi;
与现有技术相比,本发明具有以下有益效果:
本发明对e-finger方法的在线指纹认证方法过程进行了如下改进:
(1)在用户的注册阶段,安全认证中心会给每个用户选择一个随机参数ki',进而生成每个用户所独有的系统参数其中不同的 用户使用不同的系统参数值,即使有合谋攻击的存在,泄露了系统安全参数值,也不会 对其他的用户造成安全隐患。
(2)用户在进行服务请求时,将数据包发送给服务提供方, 其中即使在通信信道中有攻击者C的存在,因为数据包中包含有用户信息以及服务商信息IDS;攻击者C也无法使用该数据包向安全认 证中心进行模版数据的申请。
(3)在本申请方法中,引入LWE问题实例,使得每次用户处理过的临时验证指纹 信息和满足正态分布的信息无法区分,且每次用户的提交的临时验证指纹信息相差较 大,无法从多次验证请求信息中获取到其他有用的信息;在系统注册阶段,系统给用户 生成指纹分量线性组合t(1),...,t(l)其中选取的LWE分布t(j),1≤j≤l,满足条 件其中ej服从离散高斯分布;用户在进行验证请求时,只需要随 机的选择线性组合t(j),加密时进行运算rqy=SBU 2y′+t;使得系统安全性规约到解决LWE 困难问题中。
附图说明
图1是本发明方法系统模型流程图;
图2是本发明实施例中的时间线性增长图。
具体实施方式
本申请提出了一种新的安全的隐私保护方案——Security e-finger方案,该方案中引 入LWE问题的思想,对用户的临时指纹特征信息进行隐私保护。本申请提出的Security e-finger方案能够解决在线指纹认证系统中的指纹数据的隐私保护的安全性问题,同时 兼顾了系统对效率的要求,为生物特征认证系统提供一种新的隐私保护技术方案,为安 全指纹认证系统的推广提供了理论依据和技术支撑。
结合图1介绍本申请具体的实施过程:
安全认证中心初始化阶段
具体操作为:安全认证中心初始化选择一个安全参数运行函数KeyGen(l):生成参数<G,GT,e,q1,q2,g,h,N=q1*q2>,q1,q2为l比特的素数,g,u是环 G的生成元,环G的阶为N。计算出两个秘密的数值 在 G中生成子环,阶是q1。认证中心选择随机参数作为认证中心的公钥skTA,计算出安全 认证中心公钥安全认证中心选取一个非对称的加密算法E(),哈希函数 哈希函数最终TA保存秘密参数<q1,skTA>;公开参数 <G,GT,e,g,h,N,PKS,E(),H1(),H2()>。
(1)服务提供商(OAS)的注册:服务提供商需要在安全权认证中心进行注册以 获得使用指纹模版来进行身份认证服务的服务资格。当在安全认证中心出进行注册时, 服务提供商首先要选择随机数作为自己的私钥计算出公钥并将公 钥和服务商信息一起提交给安全认证中心,之后安全认证中心将分配给成功注册的服务 商一个秘密身份验证码ICS。
(2)用户(U)在认证中心的注册:用户选择一个随机数作为自己的私钥并计算得出公钥把公钥信息发送给认证中心。这时,认证中心为每个用户Ui选择一个随机性的安全参数ki和并计算以及用户加密参 数安全认证中心将参数发送给用户。
(3)保存模版:TA将采集注册用户的指纹,并通过图像处理以及特征提取,得到 用户指纹的FingerCode向量安全认证中心通过以下步骤将数据进行 加密存储:首先利用用户的冗余参数ki和哈希函数加冗余值,如公 式(1)所示。
用户模版数据授权阶段
具体操作为:(1)用户在服务提供商(OAS)的注册:用户用自己的私钥对自己 的ID进行签名发送给OAS:其中 其中TS1是时间戳,是每个用户的ID号。服务提供 商接受到用户的请求数据后,首先验证TS1的时效性。然后验证 是否成立。如果等式成立,则验证通过。
(3)认证中心提供永久指纹模板:当安全认证中心接收到服务提供商的请求后,安全认证中心首先验证签名的时间戳TS1和TS2的时效性,以及用户身份标识Ui和指纹 认证服务提供商的IDS。之后用用户的公钥和服务提供商的公钥PKS验证签名的正 确性,即验证和 e(g,SigS)=e(PKS,H1(IDS||TS2))的正确性。如果这两个等式都成立,则用户和指纹认证 服务器签名有效,那么安全认证中心通过服务提供商的指纹模版请求。安全认证中心用 私钥SKTA构造签名,签名结束后,安全认证 中心将指纹模版数据包发送给服务提供方。
(4)服务提供商保存用户的模板信息:服务提供商接受到安全认证中心发来的指纹模版数据包后,首先验证时间戳信息TS3的时效性,然后验证中心的签名信息,如若签名信息没有问题,则服务提 供商保存用户的授权指纹模板
用户服务请求阶段
(2)生成扰乱密文偏量t:用户随机选择s∈{0,1}l,计算得出扰乱密文偏量t, t=(t(1),...,t(l))s其中t(1),...,t(l)为用户在安全认证中心提交指纹模版时返回的指纹分分量 线性组合。
密文匹配阶段
具体操作为:(1)验证用户请求数据包:首先,服务提供商接受到用户的验证请 求数据包后,首先验证用户的身份标识以及时间戳TS4的 时效性,然后利用用户的公钥验证用户的签名 如果等式成立,则用户的签名有效,用户的 请求成功。
(2)计算匹配参数:根据用户的服务提供商在数据库中找到用户对应的匹配模板得到该用户的加密指纹模版数据以及布隆过滤器 BFRDSi。服务提供商利用指纹模版数据和用户的验证指纹数据计算匹配参数Md。具体 公式如(5)所示。
得出验证结果:服务提供商在布隆过滤器BFRDSi上运行BF.Test计算来判断匹配参数Md是否为属于参考集合RDSi。
方案的安全性分析:
(1)用户数据隐私性
在本方案中,客户端提取并加密的用户指纹数据会发送给服务器提供商,在数据传 输过程中,有攻击者监听通信通道并获取通信数据,用户的指纹数据的隐私性依然可以被保证。首先为了防止攻击者进行穷举攻击,对用户的特征向量添加 扰乱因子增加扰乱因子后,使得样本空间被扩展,可以有效保护用户的指纹特 征数据信息。在添加扰乱因子之后,通过公式(4)得到加密数据 每一个加密分量都用不同的密文偏量t。针对不同的用 户使用不同的参数对即使攻击者获取到用户的参数对信息,也能保证其 他用户的信息的安全性。即使攻击者获取到参数,想要计算出用户指纹数据 是离散对数问题,这样的离散对数问题在有限域上是困难的。每次加 密使用了扰乱密文偏量t,有效的防止攻击者进行穷举攻击。综上所述,本方案在用户 数据的隐私性可以得到保证
(2)模板数据机密性
在本方案中,加密模板数据将被授权给服务器提供商,存在攻击者监听通信信道并 获取通信数据,用户的模板数据的机密性依然可以被保证。首先,为了防止攻击者使用穷举攻击获取指纹特征,安全认证中心通过计算公式(1)为提取出的模板FingerCode向 量添加扰乱因子在添加扰乱之后,扩大了样本空间,可以有效 防止穷举攻击。之后,安全认证中心对添加扰乱后的向量进行加密计算,通过计算公式 (2)得到加密后的指纹匹配模板数据是n个随机数, 可以使得相同的特征加密后的模板值不相同。针对不同的用户使用不同的参考数据集构造一个用户专用的布隆过滤器BFRDSi,服务器提供商无 法通过布隆过滤器得到参考数据集的具体数据。服务器提供商除了最后的匹配结果之外 无法得到其他有关原始模板数据的信息,每个服务器提供商得到的指纹模板是不同的, 在安全中心为提取出的模板FingerCode向量添加扰乱因子的过程 中,其中是服务提供商的身份验证码,保证了每个服务器得到的指纹模板是独一 无二。在本方案中,安全中心加密存储的指纹模板数据的机密性可以得到保证。
(3)信息通信的安全性
用户方,服务提供方和安全认证中心三方之间所有进行的信息通信都可以被认证。 三方进行信息传输都使用的BLS短签名技术进行签名。BLS短签名在随机预言机中基于CDH问题是可证明安全的,可以实现消息的有效认证。例如,用户在指服务提供商 处注册时,对自己的身份标识IDS,服务商的身份标识IDS,公钥PKS以及时间戳TS1进 行签名时间戳TS1可以防止重放攻击,服务商标识IDS可 以防止其他服务商冒领模板,签名的用户私钥可以保证签名的不可抵赖性。服务提 供商收到用户请求之后,通过验证时间戳的时效性,验证签名是否有效。同理,所有三 方进行的其他所有信息通信都使用相同方式进行签名和验证。通过验证消息的时效性、 完整性和消息来源,判断通信消息是否被攻击者更改或者替换,完成对消息的有效性认 证。
实验环境:
实验环境:客户端使用Java作为开发语言,Core i5-6300-2.3GH四核核处理器,16GB RAM,Windows10操作系统。
实验结果:
客户端的主要计算操作在加密客户端采集的指纹数据向量部分。客户端将获取的用 户指纹FingerCode进行加密计算得到加密指纹数据其中影 响计算效率的最重要的参数是向量维度n以及增加的扰乱密文偏量t。因此,选择不同维度大小对比客户端的计算性能。FingerCode向量维度选取100到1000,计算时间线性 增长,如图2所示。
本发明引入了LWE问题的实例,在用户提交验证指纹信息时,每个指纹特征信息加入一个高斯分布t(j)的分量,使得用户的指纹特征满足高斯分布,隐藏了用户的指纹 特征的分布情况,更好的保护用户指纹特征信息。即使在通信信道中存在不法分子,在 获取到用户的密文以及模版数据后,仍然无法获取任何有关用户指纹特征、系统加密私 钥以及验证请求结果的信息。在安全性方面,本发明涉及到的基础加密方法为BGN同 态加密方法,在模版保护上是基于CDH问题是可证明安全的,在用户验证信息上是基 于解决LWE困难问题,能够有效抵抗量子攻击,因此安全性能够得到保证。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本 发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明 的保护范围。
Claims (5)
1.一种安全的在线指纹匹配方法,其特征在于,包括以下四个阶段:
步骤一:安全认证中心初始化
系统初始化以及系统参数分发:①用户(U)在安全认证中心处的注册,用户选取随机数作为自己的私钥并计算得出公钥②分配安全参数ki和生成用户加密参数③服务提供商(OAS)在安全认证中心处的注册,服务商选取随机作为私钥计算出公钥安全认证中心获取模板:④安全认证中心采集注册用户的指纹特征计算出加密模版数据
步骤二:用户模板授权
⑦认证中心验证用户和服务提供商的签名的正确性后,提供用户模板:安全认证中心接收到服务提供商的请求后,安全认证中心首先验证签名时效性,用户的和服务提供商的验证签名的正确性;验证正确后安全认证中心用私钥SKTA构造签名,将指纹模版数据包发送给服务提供方;
步骤三:用户的服务请求
用户首先利用终端设备采集自己的指纹图像,在通过Gabor滤波器的图像处理以及特征提取,获取指纹的矢量信息给特征加入冗余后,用同态BGN算法加密得到指纹特征的密文⑧用户用自己私钥对构造好的验证指纹信息进行签名;签名信息为签名完成后将验证请求数据包发送给服务提供商;
步骤四:密文匹配阶段
2.根据权利要求1所述的一种安全的在线指纹匹配方法,其特征在于:
所述步骤一的具体操作为:安全认证中心初始化选择一个安全参数运行函数KeyGen(l):生成参数<G,GT,e,q1,q2,g,h,N=q1*q2>,q1,q2为l比特的素数,g,u是环G的生成元,环G的阶为N;计算出两个秘密的数值 在G中生成子环,阶是q1;认证中心选择随机参数作为认证中心的公钥skTA,计算出安全认证中心公钥安全认证中心选取一个非对称的加密算法E(),哈希函数哈希函数最终TA保存秘密参数<q1,skTA>;公开参数<G,GT,e,g,h,N,PKS,E(),H1(),H2()>;
(1)服务提供商(OAS)的注册:服务提供商需要在安全权认证中心进行注册以获得使用指纹模版来进行身份认证服务的服务资格;当在安全认证中心出进行注册时,服务提供商首先要选择随机数作为自己的私钥计算出公钥并将公钥和服务商信息一起提交给安全认证中心,之后安全认证中心将分配给成功注册的服务商一个秘密身份验证码ICS;
(2)用户(U)在认证中心的注册:用户选择一个随机数作为自己的私钥并计算得出公钥把公钥信息发送给认证中心;这时,认证中心为每个用户Ui选择一个随机性的安全参数ki和并计算以及用户加密参数安全认证中心将参数发送给用户;
3.根据权利要求1所述的一种安全的在线指纹匹配方法,其特征在于:
所述步骤二的具体操作为:
(1)用户在服务提供商(OAS)的注册:用户用自己的私钥对自己的ID进行签名发送给OAS:其中其中TS1是时间戳,是每个用户的ID号;服务提供商接受到用户的请求数据后,首先验证TS1的时效性;然后验证是否成立;如果等式成立,则验证通过;
(3)认证中心提供永久指纹模板:当安全认证中心接收到服务提供商的请求后,安全认证中心首先验证签名的时间戳TS1和TS2的时效性,以及用户身份标识Ui和指纹认证服务提供商的IDS;之后用用户的公钥和服务提供商的公钥PKS验证签名的正确性,即验证和e(g,SigS)=e(PKS,H1(IDS||TS2))的正确性;如果这两个等式都成立,则用户和指纹认证服务器签名有效,那么安全认证中心通过服务提供商的指纹模版请求;安全认证中心用私钥SKTA构造签名,签名结束后,安全认证中心将指纹模版数据包发送给服务提供方;
4.根据权利要求1所述的一种安全的在线指纹匹配方法,其特征在于:
所述步骤三的具体操作为:
(2)生成扰乱密文偏量t:用户随机选择s∈{0,1}l,计算得出扰乱密文偏量t,t=(t(1),...,t(l))s其中t(1),...,t(l)为用户在安全认证中心提交指纹模版时返回的指纹分量线性组合;
5.根据权利要求1所述的一种安全的在线指纹匹配方法,其特征在于:
所述步骤四的具体操作为:
(1)验证用户请求数据包:首先,服务提供商接受到用户的验证请求数据包后,首先验证用户的身份标识以及时间戳TS4的时效性,然后利用用户的公钥验证用户的签名 如果等式成立,则用户的签名有效,用户的请求成功;
(2)计算匹配参数:根据用户的服务提供商在数据库中找到用户对应的匹配模板得到该用户的加密指纹模版数据以及布隆过滤器BFRDSi;服务提供商利用指纹模版数据和用户的验证指纹数据计算匹配参数Md;具体公式如(1-5)所示:
得出验证结果:服务提供商在布隆过滤器BFRDSi上运行BF.Test计算来判断匹配参数Md是否为属于参考集合RDSi;
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010993853.5A CN112329519B (zh) | 2020-09-21 | 2020-09-21 | 一种安全的在线指纹匹配方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010993853.5A CN112329519B (zh) | 2020-09-21 | 2020-09-21 | 一种安全的在线指纹匹配方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112329519A true CN112329519A (zh) | 2021-02-05 |
CN112329519B CN112329519B (zh) | 2024-01-02 |
Family
ID=74302936
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010993853.5A Active CN112329519B (zh) | 2020-09-21 | 2020-09-21 | 一种安全的在线指纹匹配方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112329519B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114301651A (zh) * | 2021-12-22 | 2022-04-08 | 河南大学 | 基于cp-abe的黄河坝岸监测数据共享方法 |
CN114780769A (zh) * | 2022-06-13 | 2022-07-22 | 杭州合众数据技术有限公司 | 基于布隆过滤器的人员核查方法 |
CN116055061A (zh) * | 2023-01-18 | 2023-05-02 | 南京龙垣信息科技有限公司 | 基于哈希加密的声纹认证隐私保护方法 |
CN117218685A (zh) * | 2023-10-18 | 2023-12-12 | 湖南工商大学 | 考虑特征模板保护的生物特征识别方法 |
WO2024031886A1 (zh) * | 2022-08-09 | 2024-02-15 | 中国银联股份有限公司 | 一种数据匹配方法、装置、系统、设备及介质 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102354354A (zh) * | 2011-09-28 | 2012-02-15 | 辽宁国兴科技有限公司 | 一种基于信息指纹技术的图片密码生成认证方法 |
CN103475472A (zh) * | 2013-07-22 | 2013-12-25 | 浙江万里学院 | 环lwe上ntru型的全同态加密方法 |
KR101411970B1 (ko) * | 2013-01-11 | 2014-06-26 | 고려대학교 산학협력단 | 암호 통신을 수행하는 객체 간 인증 방법 |
CN105933102A (zh) * | 2016-04-06 | 2016-09-07 | 重庆大学 | 利用隐秘矩阵构造的基于身份的全同态加密方法 |
CN106411533A (zh) * | 2016-11-10 | 2017-02-15 | 西安电子科技大学 | 双向隐私保护的在线指纹认证系统及方法 |
CN108494738A (zh) * | 2018-02-27 | 2018-09-04 | 华南理工大学 | 一种可验证的后量子电子投票系统及其实现方法 |
US20180309574A1 (en) * | 2017-04-25 | 2018-10-25 | International Business Machines Corporation | One-shot verifiable encryption from lattices |
CN110048832A (zh) * | 2013-09-16 | 2019-07-23 | 眼验股份有限公司 | 生物特征模板安全性及密钥产生 |
US20190305958A1 (en) * | 2018-04-03 | 2019-10-03 | Alibaba Group Holding Limited | Cross-blockchain authentication method and apparatus, and electronic device |
KR102075848B1 (ko) * | 2018-11-22 | 2020-02-10 | 부산대학교 산학협력단 | 다항식 연산 최적화 처리 장치, 다항식 연산 최적화 처리 방법 및 기록매체 |
-
2020
- 2020-09-21 CN CN202010993853.5A patent/CN112329519B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102354354A (zh) * | 2011-09-28 | 2012-02-15 | 辽宁国兴科技有限公司 | 一种基于信息指纹技术的图片密码生成认证方法 |
KR101411970B1 (ko) * | 2013-01-11 | 2014-06-26 | 고려대학교 산학협력단 | 암호 통신을 수행하는 객체 간 인증 방법 |
CN103475472A (zh) * | 2013-07-22 | 2013-12-25 | 浙江万里学院 | 环lwe上ntru型的全同态加密方法 |
CN110048832A (zh) * | 2013-09-16 | 2019-07-23 | 眼验股份有限公司 | 生物特征模板安全性及密钥产生 |
CN105933102A (zh) * | 2016-04-06 | 2016-09-07 | 重庆大学 | 利用隐秘矩阵构造的基于身份的全同态加密方法 |
CN106411533A (zh) * | 2016-11-10 | 2017-02-15 | 西安电子科技大学 | 双向隐私保护的在线指纹认证系统及方法 |
US20180309574A1 (en) * | 2017-04-25 | 2018-10-25 | International Business Machines Corporation | One-shot verifiable encryption from lattices |
CN108494738A (zh) * | 2018-02-27 | 2018-09-04 | 华南理工大学 | 一种可验证的后量子电子投票系统及其实现方法 |
US20190305958A1 (en) * | 2018-04-03 | 2019-10-03 | Alibaba Group Holding Limited | Cross-blockchain authentication method and apparatus, and electronic device |
KR102075848B1 (ko) * | 2018-11-22 | 2020-02-10 | 부산대학교 산학협력단 | 다항식 연산 최적화 처리 장치, 다항식 연산 최적화 처리 방법 및 기록매체 |
Non-Patent Citations (3)
Title |
---|
T. N. TAN: "High-Secure Fingerprint Authentication System Using Ring-LWE Cryptography", 《IEEE ACCESS》 * |
贺康等: "基于Fingercode和同态加密的指纹认证方案", 《计算机工程与应用》 * |
魏晴: "隐私保护的在线指纹认证研究与实现", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114301651A (zh) * | 2021-12-22 | 2022-04-08 | 河南大学 | 基于cp-abe的黄河坝岸监测数据共享方法 |
CN114301651B (zh) * | 2021-12-22 | 2023-07-21 | 河南大学 | 基于cp-abe的黄河坝岸监测数据共享方法 |
CN114780769A (zh) * | 2022-06-13 | 2022-07-22 | 杭州合众数据技术有限公司 | 基于布隆过滤器的人员核查方法 |
WO2024031886A1 (zh) * | 2022-08-09 | 2024-02-15 | 中国银联股份有限公司 | 一种数据匹配方法、装置、系统、设备及介质 |
CN116055061A (zh) * | 2023-01-18 | 2023-05-02 | 南京龙垣信息科技有限公司 | 基于哈希加密的声纹认证隐私保护方法 |
CN116055061B (zh) * | 2023-01-18 | 2024-03-05 | 南京龙垣信息科技有限公司 | 基于哈希加密的声纹认证隐私保护方法 |
CN117218685A (zh) * | 2023-10-18 | 2023-12-12 | 湖南工商大学 | 考虑特征模板保护的生物特征识别方法 |
Also Published As
Publication number | Publication date |
---|---|
CN112329519B (zh) | 2024-01-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Xi et al. | A fingerprint based bio‐cryptographic security protocol designed for client/server authentication in mobile computing environment | |
CN112329519B (zh) | 一种安全的在线指纹匹配方法 | |
CN112926092A (zh) | 保护隐私的身份信息存储、身份认证方法及装置 | |
Lin et al. | A new strong-password authentication scheme using one-way hash functions | |
CN108173871B (zh) | 基于射频指纹和生物指纹无线网接入认证系统及方法 | |
US20090265555A1 (en) | Methods and apparatus for credential validation | |
Zhu et al. | Efficient and privacy-preserving online fingerprint authentication scheme over outsourced data | |
CN111797427A (zh) | 一种兼顾隐私保护的区块链用户身份监管方法及系统 | |
Nagaraju et al. | SecAuthn: Provably secure multi-factor authentication for the cloud computing systems | |
CN107294725A (zh) | 一种多服务器环境下的三因素认证方法 | |
US11429702B2 (en) | Method of verification of a biometric authentication | |
CN114125833A (zh) | 一种用于智能设备通信的多因素认证密钥协商方法 | |
CN114401153B (zh) | 一种智慧井盖设备的认证方法及系统 | |
Liu et al. | Secure and efficient online fingerprint authentication scheme based on cloud computing | |
Wu et al. | Privacy-preserving cancelable biometric authentication based on RDM and ECC | |
CN110572392A (zh) | 一种基于Hyperledger网络的身份认证方法 | |
Kou et al. | Efficient and privacy-preserving distributed face recognition scheme via facenet | |
CN114021164A (zh) | 基于区块链的征信系统隐私保护方法 | |
Panchal et al. | Designing Secure and Efficient Biometric-Based Access Mechanism for Cloud Services | |
Abuarqoub | A lightweight two-factor authentication scheme for mobile cloud computing | |
Sarier | Practical multi-factor biometric remote authentication | |
Mandal et al. | Comprehensive and improved secure biometric system using homomorphic encryption | |
Meshram et al. | Conformal Chebyshev chaotic map-based remote user password authentication protocol using smart card | |
Mishra et al. | An improved biometric–based remote user authentication scheme for connected healthcare | |
CN115396149A (zh) | 一种基于隐私保护的高效认证密钥交换方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |