CN113691367B - 脱敏安全的生物特征身份认证方法 - Google Patents

脱敏安全的生物特征身份认证方法 Download PDF

Info

Publication number
CN113691367B
CN113691367B CN202010415550.5A CN202010415550A CN113691367B CN 113691367 B CN113691367 B CN 113691367B CN 202010415550 A CN202010415550 A CN 202010415550A CN 113691367 B CN113691367 B CN 113691367B
Authority
CN
China
Prior art keywords
authentication
user
authentication server
identity
data set
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010415550.5A
Other languages
English (en)
Other versions
CN113691367A (zh
Inventor
尚望
兰天
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Tianrui Xin'an Technology Co ltd
Original Assignee
Chengdu Tianrui Xin'an Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Tianrui Xin'an Technology Co ltd filed Critical Chengdu Tianrui Xin'an Technology Co ltd
Priority to CN202010415550.5A priority Critical patent/CN113691367B/zh
Publication of CN113691367A publication Critical patent/CN113691367A/zh
Application granted granted Critical
Publication of CN113691367B publication Critical patent/CN113691367B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Mathematical Physics (AREA)
  • Biomedical Technology (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • General Health & Medical Sciences (AREA)
  • Pure & Applied Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Collating Specific Patterns (AREA)

Abstract

本发明提出了一种脱敏安全的生物特征身份认证方法。用户身份注册时,将生物特征模板经过密码算法处理后生成一个脱敏数据集,存储到认证服务器,该脱敏数据集中不包含任何生物特征信息。身份鉴别时,认证服务器使用随机数作为秘密和脱敏数据集生成认证数据集,发送给用户,用户使用生物特征和该认证数据集进行密码计算,完成身份鉴别。每次身份鉴别,认证服务器都使用不同随机数作为临时秘密构造认证数据集,避免脱敏数据猜测;认证服务器不存储用户生物特征信息,避免攻击导致的生物特征泄露风险。

Description

脱敏安全的生物特征身份认证方法
技术领域
本发明涉及生物特征身份认证方法,包括但不仅限于该领域。
背景技术
身份认证是确定用户身份是否合法的过程,一般使用如下三种方法:(1)用户所知:用户知道的知识如口令等;(2)用户所有:用户持有的东西如IC卡/U盾等;(3)用户所是:用户生物特征如指纹等。其中生物特征具有随身携带、无需记忆、使用方便等优势,更重要的是具有抗抵赖特性,可实现生物体和凭证的合一,其安全性与可靠性更高。
在电子信息领域,一般将生物特征数字化处理为生物特征模板,生物特征模板由一系列的特征点构成,除非特别说明,本文档不区分生物特征和生物特征模板。基于生物特征的身份认证包括注册和鉴别两个阶段,注册阶段采集生物特征获得特征模板并存储,鉴别阶段将采集得到特征模板和注册特征模板比对,以确定生物体身份。由于生物特征的不可撤销性、隐私性和抗抵赖性,一旦生物特征模板泄露,将造成不可恢复的信息安全问题。针对上述安全风险,现有生物特征认证将认证限制在本地设备端中,不进行网络传输,从而也就无法实现网络认证;同时为了避免本地端窃取风险,需要将生物特征存储在本地端的安全区域内,该方法成本高,终端失窃后仍然存在破解风险。
SM9是一种基于标识的椭圆曲线(ECC)密码算法,是我国自主研制的密码算法,并已经发布为国家密码行业标准GM/T 0044。SM9算法定义了曲线参数、双线性对、签名、加密和密钥交换功能。利用SM9算法,可以将生物特征模板处理为脱敏数据,避免在身份认证过程中直接使用生物特征;以脱敏数据为基础,将基于原始生物特征的身份认证,转变为基于脱敏数据和密码技术的身份认证,从而实现脱敏安全的生物特征身份认证。
发明内容
本发明提出了一种脱敏安全的生物特征认证方法。用户身份注册时,将生物特征模板经过密码处理后生成一个脱敏数据集,存储到认证服务器,该脱敏数据集中不包含任何生物特征信息;身份鉴别时,认证服务器使用随机数作为秘密和脱敏数据集生成认证数据集,发送给用户,用户使用生物特征和认证数据集进行密码计算,完成身份鉴别;每次身份鉴别,认证服务器都使用不同随机数作为临时秘密,避免脱敏数据猜测;认证服务器不存储任何用户生物特征信息,避免攻击导致的生物特征泄露风险。
下面结合附图2和附图3对本发明进行详细说明。
本发明所述,用户身份注册时,将生物特征模板经过密码处理后生成一个脱敏数据集,存储到认证服务器,说明如下:
如图2中MA1所示,在用户端,记注册时采集的生物特征处理后得到的生物特征模板,有N个特征点,特征点记为Xi(i=1..N),每个Xi按约定规则编码为一个数值。
如图2中MA2所示,在用户端,首先生成D个随机数rd到r1,将其作为系数构造一元D次方程f(x)=rdxD+rd-1xD-1+..r1x;生成随机数k作为秘密,使用SM9算法计算双线性对t=e(P1,P2),P1和P2是SM9算法的生成元,计算Ei=tf(Xi)(i=1..N)。由于rd..r1不可知,Ei是一个计算得到的结果,其中不包含生物特征任何信息,且不可逆推出特征Xi。用户录入注册用户名,生成三元组Q1=(用户名,D,Ei(i=1..N)),发送Q1给认证服务器。
如图2中MB1所示,认证服务器登记和存储Q1。推导可知,认证服务器内不存储也不知晓任何用户生物特征信息。
本发明所述,身份鉴别时,使用随机数作为秘密和脱敏数据集生成认证数据集,进行身份鉴别,说明如下。
如图3中MA3所示,在用户端,生成一个随机数作为挑战r1,将用户名和r1发送给认证服务器。
如图3中MB2所示,认证服务器使用用户名,得到该用户名对应的Q1三元组。认证服务器生成一个随机数k作为临时秘密,计算h=HASH(tk),HASH为散列计算;用h作为密钥加密r1得到认证码Token1。认证服务器使用Q1计算Ti=Ei*tk(i=1..N);生成随机数r2,记认证数据集A1=(D,Ti(i=1..N),Token1,r2),发送A1给用户。
如图3中MA4所示,在用户端,用户录入鉴别用生物特征,终端采集生物特征得到生物特征模板,有M个特征点,特征点记为Xj’(j=1..M,j<=N),每个Xj’按约定规则编码为一个数值。将与Xi点对应的Xj’点,和A1中的Ti构造一个二元组F=(FX,FY),其中FX=Xj’,FY等于Xi点计算得到的Ti;将M个点依次匹配后计算得到的二元组记为数据集Fm(m=1..M),如果Fm(m=1..M)中元素个数小于D那么识别失败,否则进行下一步操作。
用户从Fm(m=1..M)中选择D个点计算计算h’=HASH(s),HASH为散列计算。如果鉴别用生物特征和注册生物特征一致,即D个点中每个点F=(FX=Xj’,FY=Ti)中的Xj’都等于Xi;那么可知这D个点都是一元D次方程f(x)=rdxD+rd-1xD-1+..r1x上的点,可以推导得出s=tk。推导过程如下:
MA4-1:对于一元N次方程f(x)=anxn+an-1xn-1+..a1x,可以写成拉格朗日插值多项式为:li(x)为拉格朗日插值基函数。拉格朗日基函数具有如下性质:/>是x=0时的拉格朗日基函数,推导可知
MA4-2:可以推导出,就是一元D次方程f(x)=rdxD+rd-1xD-1+..r1x的拉格朗日基函数,记为lm(0)。由拉格朗日基函数性质可知,记/>
MA4-3:集合Fm(m=1..M)中的D个点,每个点F=(FX=Xj’,FY=Ti);如果Xj’=Xi,那么可知这D个点都是一元D次方程f(x)=rdxD+rd-1xD-1+..r1x上的点,可以推导得出s:
根据以上推导,只有D个验证特征点和D个注册特征点匹配,才可以得到s=tk。如果s=tk,可知,h’等于h;否则h’不等于h。
用户端以h’作为密钥加密r1得到Token1,比较Token1’和Token1,相同则对认证服务器身份鉴别通过;不同则返回身份鉴别失败,流程结束。
用户端从A1中获取随机数r2,将h’作为密钥加密r2生成认证码Token2,将Token2发送给认证服务器。
如图3中MB3所示,认证服务器收到Token2后,用前面得到的h作为密钥加密r2得到Token2’,比较Token2’和Token2,一致则对用户身份鉴别通过;否则返回身份鉴别失败,流程结束。
该身份认证方法将生物特征模板经过密码算法计算后形成认证数据集,认证数据集中不包含生物特征的任何信息,也不可逆推出生物特征模板,认证数据集中包含有随机因子,失效后可以被撤销,具备脱敏性。认证服务器和用户端都不存储和传输用户生物特征模板,避免攻击导致的泄露风险。身份鉴别时,将生物特征模板匹配转变为脱敏数据上的密码计算,避免存储和传递任何生物特征信息;使用不同的随机数作为临时秘密计算认证数据集,避免脱敏数据猜测。
附图说明
图1为脱敏安全的生物特征身份认证方法框图
图2、图3为脱敏安全的生物特征身份认证详细步骤图
图4、图5为应用本方法的生物特征网络身份认证应用示意图
具体实施方式
下面结合附图对本发明的脱敏安全的生物特征身份认证方法说明。
图4、图5是本发明在基于指纹生物特征的网络身份认证中的应用示意图。图中包括用户(自然人)、身份注册设备、应用终端和认证服务器。
身份注册:
A1:用户在身份注册设备上注册。用户录入用户名;在终端上按压指纹,指纹通过注册设备上的指纹传感器采集成图像,图像处理后获得指纹特征模板,假定特征模板由N个特征点构成,每个特征点Ni是一个二元组(特征类型,特征值),按约定规则编码成一个数值。
身份注册设备将指纹特征模板被输入到算法处理模块中。算法处理模块将N个特征点依次进行函数计算,得到脱敏数据集Ei(i=1..N),计算过程参见图2中MA2。
身份注册设备将Q1三元组(用户名,D,Ei(i=1..N))发送给认证服务器。
A2:认证服务器收到并存储Q1三元组(用户名,D,Ei(i=1..N))。
身份鉴别:
A3:需要鉴别用户身份时,用户在应用终端上输入用户名,应用终端生成一个挑战r1,将(用户名,r1)发送给认证服务器。
A4:认证服务器根据用户名得到对应Q1三元组(用户名,D,Ei(i=1..N));认证服务器生成随机数k作为秘密,计算h=HASH(tk),计算数据集Ti=Ei*tk(i=1..N),计算Token1;生成挑战r2;发送A1四元组(D,Ti(i=1..N),Token1,r2)给应用终端。计算过程参见图3中MB2。
A5:应用终端收到A1四元组,用户按压指纹,终端上的指纹传感器采集指纹后,处理为指纹生物特征模板,得到M个特征点,对特征点按约定规则编码。将M个特征点输入算法处理模块,算法处理模块取D个点计算得到s;算法处理模块计算h’=HASH(s),验证Token1,如果不通过则对认证服务器的身份鉴别失败,流程终止;否则对认证服务器的身份鉴别通过,计算Token2发送给认证服务器。计算过程参见图3中MA4。
A6:认证服务器收到Token2,验证Token2,如果通过则对用户身份鉴别通过,否则鉴别失败,返回鉴别如果。计算过程参见图3中MB3。

Claims (1)

1.一种脱敏安全的生物特征身份认证方法,其特征在于:
用户使用生物特征进行身份注册时:
步骤1:用户生物特征模板包括N个特征点,特征点记为Xi(i=1..N);用户在本地端,生成D个随机数记为rd..r1,构造一元高次方程f(x)=rdxD+rd-1xD-1..r1x1;使用SM9算法计算t=(P1,P2),P1和P2是SM9生成元;计算Ei=tf(Xi)(i=1..N);记脱敏数据集Q1=(D,Ei(i=1..N));
步骤2:用户将Q1传输给认证服务器,认证服务器存储Q1,Q1中不包括任何生物特征点信息;
用户使用生物特征进行身份鉴别时:
步骤1:用户生成一个随机数r1作为挑战发送给认证服务器;
步骤2:认证服务器生成一个随机数k作为临时秘密;生成和一个随机数r2作为挑战;计算h=HASH(tk),HASH为散列计算;h作为密钥加密r1得到Token1;使用Q1计算Ti=Ei*tk(i=1..N);记认证数据集A1=(D,Ti(i=1..N),Token1,r2),发送A1给用户;
步骤3:用户录入生物特征,采集后得到验证用生物特征模板,有M个特征点,每个特征点记为Xj’(j<=M<=N),Xj’按约定规则编码为一个数值;将与Xi点对应的Xj’
点,和A1中的Ti构造一个二元组F=(FX,FY),其中FX=Xj’,FY等于Xi点计算得到的Ti;将M个点依次匹配后计算得到的二元组记为数据集Fm(m=1..M),如果Fm(m=1..
M)中元素个数小于D那么识别失败,否则从其中选择D个点计算计算h’=HASH(s),将h’作为密钥加密r1得到Token1’,比较Token1’和Token1,一致则对认证服务器身份鉴别通过;从A1中取得r2,将h’
作为密钥加密r2生成认证码Token2,将Token2发送给认证服务器;
步骤4:认证服务器使用前面计算得到的h作为密钥加密r2得到Token2’,比较Token2’和Token2,一致则对用户身份鉴别通过。
CN202010415550.5A 2020-05-16 2020-05-16 脱敏安全的生物特征身份认证方法 Active CN113691367B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010415550.5A CN113691367B (zh) 2020-05-16 2020-05-16 脱敏安全的生物特征身份认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010415550.5A CN113691367B (zh) 2020-05-16 2020-05-16 脱敏安全的生物特征身份认证方法

Publications (2)

Publication Number Publication Date
CN113691367A CN113691367A (zh) 2021-11-23
CN113691367B true CN113691367B (zh) 2024-04-12

Family

ID=78575309

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010415550.5A Active CN113691367B (zh) 2020-05-16 2020-05-16 脱敏安全的生物特征身份认证方法

Country Status (1)

Country Link
CN (1) CN113691367B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113688651A (zh) * 2020-05-16 2021-11-23 成都天瑞芯安科技有限公司 基于sm9算法的生物特征密码脱敏保护方法

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102215223A (zh) * 2011-05-20 2011-10-12 北京工业大学 一种基于人脸特征的模糊保险箱远程身份认证方法
CN103346888A (zh) * 2013-07-02 2013-10-09 山东科技大学 一种基于密码、智能卡和生物特征的远程身份认证方法
CN103679436A (zh) * 2013-12-17 2014-03-26 重庆邮电大学 一种基于生物信息识别的电子合同保全系统和方法
CN105516201A (zh) * 2016-01-20 2016-04-20 陕西师范大学 一种多服务器环境下轻量级匿名认证与密钥协商方法
CN106059764A (zh) * 2016-08-02 2016-10-26 西安电子科技大学 基于终止密钥导出函数的口令及指纹三方认证方法
CN106330454A (zh) * 2016-08-16 2017-01-11 优云合(北京)科技有限公司 一种数字证书的生成方法及验证方法
CN106506168A (zh) * 2016-12-07 2017-03-15 北京信任度科技有限公司 一种安全的基于生物特征远程身份认证的方法
CN109639731A (zh) * 2019-01-22 2019-04-16 西安电子科技大学 多因子通用可组合认证及服务授权方法、通信服务系统
CN109756893A (zh) * 2019-01-25 2019-05-14 黑龙江大学 一种基于混沌映射的群智感知物联网匿名用户认证方法
US10523654B1 (en) * 2015-07-21 2019-12-31 Hrl Laboratories, Llc System and method to integrate secure and privacy-preserving biometrics with identification, authentication, and online credential systems

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9672404B2 (en) * 2013-07-07 2017-06-06 Victor Gorelik Active biometric authentication with zero privacy leakage

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102215223A (zh) * 2011-05-20 2011-10-12 北京工业大学 一种基于人脸特征的模糊保险箱远程身份认证方法
CN103346888A (zh) * 2013-07-02 2013-10-09 山东科技大学 一种基于密码、智能卡和生物特征的远程身份认证方法
CN103679436A (zh) * 2013-12-17 2014-03-26 重庆邮电大学 一种基于生物信息识别的电子合同保全系统和方法
US10523654B1 (en) * 2015-07-21 2019-12-31 Hrl Laboratories, Llc System and method to integrate secure and privacy-preserving biometrics with identification, authentication, and online credential systems
CN105516201A (zh) * 2016-01-20 2016-04-20 陕西师范大学 一种多服务器环境下轻量级匿名认证与密钥协商方法
CN106059764A (zh) * 2016-08-02 2016-10-26 西安电子科技大学 基于终止密钥导出函数的口令及指纹三方认证方法
CN106330454A (zh) * 2016-08-16 2017-01-11 优云合(北京)科技有限公司 一种数字证书的生成方法及验证方法
CN106506168A (zh) * 2016-12-07 2017-03-15 北京信任度科技有限公司 一种安全的基于生物特征远程身份认证的方法
CN109639731A (zh) * 2019-01-22 2019-04-16 西安电子科技大学 多因子通用可组合认证及服务授权方法、通信服务系统
CN109756893A (zh) * 2019-01-25 2019-05-14 黑龙江大学 一种基于混沌映射的群智感知物联网匿名用户认证方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
Fuzzy Vector Signature and Its Application to Privacy-Preserving Authentication;Minhye Seo等;IEEE Access;全文 *
一种多服务器环境下基于生物特征身份认证的安全性分析;张敏;张阳;;西南民族大学学报(自然科学版)(第06期);全文 *
隐私保护的在线指纹认证研究与实现;魏晴;中国优秀硕士学位论文全文数据库;全文 *

Also Published As

Publication number Publication date
CN113691367A (zh) 2021-11-23

Similar Documents

Publication Publication Date Title
US9049191B2 (en) Biometric authentication system, communication terminal device, biometric authentication device, and biometric authentication method
EP3046286B1 (en) Information processing method, program, and information processing apparatus
CN105471575B (zh) 一种信息加密、解密方法及装置
EP1489551B1 (en) Biometric authentication system employing various types of biometric data
Mariño et al. A crypto-biometric scheme based on iris-templates with fuzzy extractors
US20100310070A1 (en) Generation and Use of a Biometric Key
Bolle et al. Anonymous and revocable fingerprint recognition
WO2012097362A2 (en) Protecting codes, keys and user credentials with identity and patterns
JP7259868B2 (ja) システムおよびクライアント
JP7231023B2 (ja) 照合システム、クライアントおよびサーバ
Liu et al. An efficient biometric identification in cloud computing with enhanced privacy security
JP7302606B2 (ja) システムおよびサーバ
CN113647049A (zh) 使用生物特征或其他模糊数据的后量子签名方案
CN114065169B (zh) 一种隐私保护生物认证方法和装置、电子设备
US20230246820A1 (en) Dynamic privacy-preserving application authentication
Conti et al. Fingerprint traits and RSA algorithm fusion technique
CN113691367B (zh) 脱敏安全的生物特征身份认证方法
CN112733111B (zh) 一种基于片段分割的阈值谓词加密生物特征认证方法
Aanjanadevi et al. Face Attribute Convolutional Neural Network System for Data Security with Improved Crypto Biometrics.
JP7235055B2 (ja) 認証システム、クライアントおよびサーバ
Selimović et al. Authentication based on the image encryption using delaunay triangulation and catalan objects
CN101510875A (zh) 一种基于n维球面的身份认证方法
CN114168918A (zh) 基于puf的人脸信息保护及双向认证系统
CN109194469B (zh) 基于连续变量量子密钥分发的指纹认证方法
Fatima Securing the biometric template: a survey

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant