專利名稱:一種基于指紋加密的身份認(rèn)證系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本實用新型涉及生物信號加密等技術(shù)領(lǐng)域,特別一種基于指紋加密的身份認(rèn)證系統(tǒng)。
背景技術(shù):
近幾年,由于身份認(rèn)證系統(tǒng)的出現(xiàn)和日益普及,我們足不出戶就可以通過用戶認(rèn)證、電話支付等方式開展電子商務(wù),參與遠(yuǎn)程信息管理、網(wǎng)絡(luò)購物等高效現(xiàn)代生活,越來越多的個人及企業(yè)已經(jīng)習(xí)慣于將敏感數(shù)據(jù)和商業(yè)機(jī)密通過安全認(rèn)證系統(tǒng)進(jìn)行網(wǎng)絡(luò)傳輸。然而,這些傳統(tǒng)的加密體制也存在使用不方便以及記憶困難等缺點。典型的加密密鑰都是隨機(jī)且足夠長的,人們很難記憶這些冗長隨機(jī)的字符串,因此這樣的密鑰往往被存儲在某種介質(zhì)上,然后再由口令來保護(hù)密鑰的安全性。這樣,整個密鑰系統(tǒng)的安全性就是基于口令的。以在線交易安全為例,為了保障整個通信過程中數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性、合法身份認(rèn)證和抗抵賴性等方面,采取的主流認(rèn)證技術(shù)被劃分為(I)SFA(Single-factor authentication 單因子認(rèn)證)僅通過一個條件的符合來證明一個人的身份稱之為單因子認(rèn)證。大家熟知的“用戶名+ 口令”的身份認(rèn)證機(jī)制,實際上就是一種單因子認(rèn)證方式,因為用戶名是易知的。(2)MFA(Multi-factor authentication多因子認(rèn)證)通過組合兩種及兩種以上不同條件來證明一個人的身份稱之為多因子認(rèn)證。常見的多因子認(rèn)證方式是結(jié)合密碼以及實物(信用卡、SMS手機(jī)、令牌)等條件對用戶進(jìn)行認(rèn)證的方法。由于傳統(tǒng)單因子認(rèn)證即靜態(tài)密碼(用戶名+密碼)為代表的技術(shù)已經(jīng)被認(rèn)為是極度危險的身份認(rèn)證手段,因此近年來逐步發(fā)展出基于USB key的身份認(rèn)證,它被認(rèn)為是一種方便且可靠安全的身份認(rèn)證技術(shù)。它采用一次一密的雙因子認(rèn)證模式,很好地解決了身份認(rèn)證的可靠性的問題,并提供USB接口與先進(jìn)的電腦通用。它內(nèi)置了 CPU、存儲器、芯片操作系統(tǒng)(COS)等,可以存儲用戶的密鑰或者數(shù)字證書,利用USB內(nèi)置的密碼算法實現(xiàn)對于用戶身份的認(rèn)證.由于每個USB Key都具有硬件PIN碼保護(hù)。PIN碼和硬件構(gòu)成了用戶使用USB Key 的兩個必要因素。用戶只有同時取得了 USB Key和用戶PIN碼,才可以登錄系統(tǒng),即使用戶的USB key遺失,拾到者由于不知道用戶PIN碼,也無法仿冒合法用戶的身份。然而,隨著編解碼技術(shù)、釣魚技術(shù)以及木馬病毒的無孔不入和黑客工具的層層升級,采用USB KEY方式進(jìn)行網(wǎng)絡(luò)身份認(rèn)證的安全性將面臨新一輪的挑戰(zhàn)。尤其是目前最大規(guī)模的應(yīng)用在線支付功能。以銀行發(fā)售的USB Key (即U盾)舉例,在當(dāng)前廣泛應(yīng)用和實際操作中存在幾大安全漏洞1.利用PIN碼和時間差作案目前的大多數(shù)銀行使用的USB Key的PIN碼都是從電腦上輸入的,因此黑客可以通過木馬程序直接截獲USB Key的PIN碼,這也是目前大多數(shù)USB Key存在的一個漏洞。知道了 PIN碼后,如果用戶忘記將USB Key從電腦上取出,那么黑客還可以進(jìn)一步通過PIN碼來操作USB Key。一個非常極端的情況是當(dāng)個人用戶的電腦已經(jīng)被黑客遠(yuǎn)程控制,即鍵盤或屏幕的操作處于黑客監(jiān)控中,以目前的USB Key功能還能保證安全交易嗎?答案是否定的!因為此時USBKey的PIN碼已經(jīng)處于可被黑客截取的環(huán)境,只要USB Key被用戶操作完之后沒有被立刻取出,那么黑客完全可以在這個短暫的間歇期通過人工操作或病毒軟件偽造一次交易,而此時USB Key以及PIN碼均處于驗證通過狀態(tài)。事實上,這不是單純的假設(shè)分析,而是來自于諸多的現(xiàn)實案例。2.從外部讀取Key內(nèi)的密鑰USB Key的密鑰從“理論”上講是無法從外部直接讀取的,這個“理論”建立在設(shè)計的絕對安全假設(shè)之上,如果設(shè)計和編寫USB Key操作系統(tǒng)COS的人無意或人為地在COS留下了后門,那么設(shè)計者以及黑客就可以輕松從外部讀取Key內(nèi)部的密鑰。采取什么技術(shù)才能改進(jìn)和解決諸如上述的安全隱患成為近年來頗被關(guān)注的研究話題。其中,基于生物特征的加密技術(shù)最為研究人員重視。它將生物特征識別技術(shù)與傳統(tǒng)加密技術(shù)相結(jié)合,為加密系統(tǒng)提供了一種利用生物特征信息保護(hù)密鑰的機(jī)制,很好地解決了當(dāng)前密鑰保護(hù)機(jī)制存在的種種問題。當(dāng)用戶須得到一個被保護(hù)的密鑰時,只要向系統(tǒng)提供自己的生物特征樣本,如果驗證樣本和注冊模板匹配,則密鑰立即被釋放,即實現(xiàn)了加/解密數(shù)據(jù)。由于密鑰和生物特征信息在完成加密之后并沒有保存在系統(tǒng)存儲空間內(nèi),密鑰和生物特征信息都無法從系統(tǒng)中直接獲取到。當(dāng)且只當(dāng)正確的活體生物的特征信息被提交給系統(tǒng)時才能重新生成密鑰。因此,生物特征加密技術(shù)作為采取用戶物理身份進(jìn)行加密和管理密鑰的新穎的密鑰保護(hù)機(jī)制,不但從本質(zhì)上解決了通過釣魚軟件截獲用戶口令(PIN碼) 的不足,由于生物特征不容易被攻擊者獲知,安全性更高。生物加密領(lǐng)域最為經(jīng)典的實用算法是Fuzzy Vault方案,其很好地解決了生物特征的模糊性和密碼機(jī)制的精確性之間的矛盾。這種方法將待保護(hù)的密鑰用生物模板編碼后,把生物模板數(shù)據(jù)隱藏在一群隨機(jī)干擾數(shù)據(jù)中,和干擾數(shù)據(jù)構(gòu)成一個Vault數(shù)據(jù),從這些混合數(shù)據(jù)中很難分離出真實數(shù)據(jù),真實數(shù)據(jù)被認(rèn)為是“上鎖”的。真實用戶出示的現(xiàn)場樣本則用來“解鎖”真實數(shù)據(jù)。它比較適合于認(rèn)證結(jié)果與特征點順序無關(guān)的生物特征數(shù)據(jù)的保護(hù),甚至可以容忍特征點數(shù)目的變化。但它也存在一些安全缺陷(1)對于不同的應(yīng)用,同一個用戶的原始生物模板可以用來綁定多個密鑰,生成多個vault。但如果攻擊者設(shè)法獲得同一用戶的兩個vault,通過簡單地交叉比較就可以獲得用戶的原始模板,進(jìn)而獲得密鑰。因此原始模板和密鑰都受到了威脅。(2)生物特征模板的唯一性導(dǎo)致了模板不可撤銷。眾所周知,口令是可以隨時變更的,一旦原來的口令遇到安全問題就可以通過撤銷原口令輸入新口令來解決問題,然而對于同一個指紋來說,特征信息是固定不能改變的,一旦出現(xiàn)安全問題這個指紋就無法再次使用了。
實用新型內(nèi)容本實用新型的目的之一在于克服當(dāng)前基于口令的加密技術(shù)和密鑰保護(hù)機(jī)制中存在的缺點和不足,提供一種基于指紋加密的身份認(rèn)證系統(tǒng)。本實用新型具有允許撤銷、可無限次重置生物特征密碼、安全性高和防止交叉比對的漏洞等優(yōu)點。本實用新型的目的之一通過下述技術(shù)方案實現(xiàn)一種基于指紋加密的身份認(rèn)證系統(tǒng),包括用戶接口、密鑰接口和數(shù)據(jù)庫,還包括口令處理單元、指紋處理單元、轉(zhuǎn)換處理單元、解密處理單元和加密處理單元;所述用戶接口分別與口令處理單元、指紋處理單元相連接,口令處理單元、指紋處理單元、解密處理單元和加密處理單元分別與轉(zhuǎn)換處理單元相連接;所述解密處理單元和加密處理單元分別與數(shù)據(jù)庫相連接,所述解密處理單元和加密處理單元分別與密鑰接口相連。為更好的實現(xiàn)本實用新型,所述口令處理單元包括依次相連的口令讀取模塊、口令矩陣生成模塊和矩陣變形模塊,所述口令讀取模塊還與用戶接口相連接,所述矩陣變形模塊還與轉(zhuǎn)換處理單元相連接。優(yōu)選的,所述口令處理單元采用STC公司的ARM3系列的通用芯片STM32f 103來實現(xiàn)。優(yōu)選的,所述指紋處理單元包括依次相連的指紋讀取模塊、平滑過濾模塊、方向場評估模塊,有效域探測模塊、脊線探測模塊、細(xì)化模塊和細(xì)節(jié)點定位模塊,其中所述指紋讀取模塊還與用戶接口相連,所述細(xì)節(jié)點定位模塊還與轉(zhuǎn)換處理單元相連接。優(yōu)選的,所述指紋處理單元采用Authentek公司的Touch指紋識別芯片AES3500 來實現(xiàn)。優(yōu)選的,所述轉(zhuǎn)換處理單元包括依次相連的模板提取模塊、分區(qū)模塊和模板轉(zhuǎn)換模塊,所述模板提取模塊還與指紋處理單元相連接,所述加密處理單元、解密處理單元和口令處理單元分別與模板轉(zhuǎn)換模塊相連接。優(yōu)選的,所述轉(zhuǎn)換處理單元采用STC公司的ARM3系列的通用芯片STM32f 103來實現(xiàn)。優(yōu)選的,所述解密處理單元包括依次相連的數(shù)據(jù)讀取模塊、拆分模塊、過濾模塊、 分組模塊、重構(gòu)模塊和校驗?zāi)K,所述數(shù)據(jù)讀取模塊還與數(shù)據(jù)庫相連接,所述過濾模塊還與轉(zhuǎn)換處理單元相連接,所述校驗?zāi)K還與密鑰接口相連接。優(yōu)選的,所述解密處理單元采用STC公司的ARM3系列的通用芯片STM32f 103來實現(xiàn)。優(yōu)選的,所述加密處理單元包括密鑰讀取模塊、多項式構(gòu)成模塊、混淆模塊、預(yù)處理模塊、真實點生成模塊、鎖定模塊和數(shù)據(jù)寫入模塊,所述密鑰讀取模塊、多項式構(gòu)成模塊、 混淆模塊、鎖定模塊和數(shù)據(jù)寫入模塊依次相連,所述多項式構(gòu)成模塊、預(yù)處理模塊和鎖定模塊分別與真實點生成模塊相連,所述預(yù)處理模塊與轉(zhuǎn)換處理單元相連,所述密鑰讀取模塊與密鑰接口相連,所述數(shù)據(jù)寫入模塊與數(shù)據(jù)庫相連。優(yōu)選的,所述加密處理單元采用STC公司的ARM3系列的通用芯片STM32f 103來實現(xiàn)。本實用新型相對于現(xiàn)有技術(shù)具有如下的優(yōu)點及效果(1)對于不同的應(yīng)用,用戶可以選擇不同的口令來變換同有不變的指紋特征信息, vault的加密和解密過程都是利用變換后的指紋特征信息,因此可有效地防止交叉比對的漏洞。[0033](2)本實用新型的轉(zhuǎn)換算法是個不可逆的,即使知道了轉(zhuǎn)換后的指紋信息和變換方程也無法推導(dǎo)出用戶的指紋模板信息,安全性得到了提高。(3)允許撤銷,可無限次重置生物特征密碼。如果vault泄露,可以通過修改密碼重新生成新的Vault,因此有效的解決了原fuzzy vault的模板不可撤銷問題,應(yīng)用價值得到了提高。(4)創(chuàng)新的指紋加密算法,保護(hù)密鑰的同時也保護(hù)了用戶的指紋特征信息。(5)與以往的單純的加密保護(hù)不同,替代并改進(jìn)當(dāng)前基于口令校驗的身份認(rèn)證系統(tǒng)的安全性,本實用新型將傳統(tǒng)的加密算法與生物特征驗證相結(jié)合。
圖1是本實施例中一種基于指紋加密的身份認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖;圖2是本實施例中口令處理單元的結(jié)構(gòu)示意圖;圖3是本實施例中指紋處理單元的結(jié)構(gòu)示意圖;圖4是本實施例中轉(zhuǎn)換處理單元的結(jié)構(gòu)示意圖;圖5是本實施例中解密處理單元的結(jié)構(gòu)示意圖;圖6是本實施例中加密處理單元的結(jié)構(gòu)示意圖;圖1是本實施例中一種基于指紋加密的身份認(rèn)證系統(tǒng)的結(jié)構(gòu)示意具體實施方式
下面結(jié)合實施例及附圖對本實用新型作進(jìn)一步詳細(xì)的描述,但本實用新型的實施方式不限于此。實施例—種基于指紋加密的身份認(rèn)證系統(tǒng),其通過用戶交互模塊與用戶交互指紋圖像、 口令以及密鑰信息;如圖1所示,本系統(tǒng)包括用戶接口、密鑰接口和數(shù)據(jù)庫,還包括口令處理單元、指紋處理單元、轉(zhuǎn)換處理單元、解密處理單元和加密處理單元;所述用戶接口分別與口令處理單元、指紋處理單元相連接,口令處理單元、指紋處理單元、解密處理單元和加密處理單元分別與轉(zhuǎn)換處理單元相連接;所述解密處理單元和加密處理單元分別與數(shù)據(jù)庫相連接,所述解密處理單元和加密處理單元分別與密鑰接口相連。用戶接口發(fā)送用戶的口令到口令處理單元,或者發(fā)送指紋信息到指紋處理單元。密鑰接口發(fā)送需要加密保護(hù)的密鑰到加密處理單元,或者接受來自解密處理單元釋放的保護(hù)密鑰。如圖2所示,所述口令處理單元包括依次相連的口令讀取模塊、口令矩陣生成模塊和矩陣變形模塊,所述口令讀取模塊還與用戶接口相連接,所述矩陣變形模塊還與轉(zhuǎn)換處理單元相連接。所述口令處理單元采用STC公司的ARM3系列的通用芯片STM32H03來實現(xiàn)。如圖3所示,所述指紋處理單元包括依次相連的指紋讀取模塊、平滑過濾模塊、方向場評估模塊,有效域探測模塊、脊線探測模塊、細(xì)化模塊和細(xì)節(jié)點定位模塊,其中所述指紋讀取模塊還與用戶接口相連,所述細(xì)節(jié)點定位模塊還與轉(zhuǎn)換處理單元相連接。所述指紋處理單元采用Authentek公司的Touch指紋識別芯片AES3500來實現(xiàn)。如圖4所示,所述轉(zhuǎn)換處理單元包括依次相連的模板提取模塊、分區(qū)模塊和模板轉(zhuǎn)換模塊,所述模板提取模塊還與指紋處理單元相連接,所述加密處理單元、解密處理單元和口令處理單元分別與模板轉(zhuǎn)換模塊相連接。所述轉(zhuǎn)換處理單元采用STC公司的ARM3系列的通用芯片STM32H03來實現(xiàn)。如圖5所示,所述解密處理單元包括依次相連的數(shù)據(jù)讀取模塊、拆分模塊、過濾模塊、分組模塊、重構(gòu)模塊和校驗?zāi)K,所述數(shù)據(jù)讀取模塊還與數(shù)據(jù)庫相連接,所述過濾模塊還與轉(zhuǎn)換處理單元相連接,所述校驗?zāi)K還與密鑰接口相連接。所述解密處理單元采用STC 公司的ARM3系列的通用芯片STM32H03來實現(xiàn)。如圖6所示,所述加密處理單元包括密鑰讀取模塊、多項式構(gòu)成模塊、混淆模塊、 預(yù)處理模塊、真實點生成模塊、鎖定模塊和數(shù)據(jù)寫入模塊,所述密鑰讀取模塊、多項式構(gòu)成模塊、混淆模塊、鎖定模塊和數(shù)據(jù)寫入模塊依次相連,所述多項式構(gòu)成模塊、預(yù)處理模塊和鎖定模塊分別與真實點生成模塊相連,所述預(yù)處理模塊與轉(zhuǎn)換處理單元相連,所述密鑰讀取模塊與密鑰接口相連,所述數(shù)據(jù)寫入模塊與數(shù)據(jù)庫相連。所述加密處理單元采用STC公司的ARM3系列的通用芯片STM32H03來實現(xiàn)。上述一種基于指紋加密的身份認(rèn)證系統(tǒng)的工作流程,包括密鑰加密和密鑰解密;其中密鑰加密具體包括以下步驟Si、用戶通過用戶交互模塊輸入自己的指紋圖像、口令(Sbyte)以及需要加密保護(hù)的密鑰信息(16n bit);S2、指紋處理單元從用戶接口讀取步驟Sl中的用戶指紋圖像,指紋處理單元對指紋圖像進(jìn)行處理,并將處理后的指紋圖像傳遞給轉(zhuǎn)換處理單元;S3、口令處理單元從用戶接口讀取步驟Sl中的用戶口令,生成口令矩陣并進(jìn)行轉(zhuǎn)換處理,得到變換矩陣并發(fā)送給轉(zhuǎn)換處理單元;S4、轉(zhuǎn)換處理單元接收步驟S2中的指紋圖像,生成原始模板并進(jìn)行分區(qū),根據(jù)步驟S3中的變換矩陣對分區(qū)后的原始模板進(jìn)行不可逆轉(zhuǎn)換,得到轉(zhuǎn)換模板并發(fā)送至加密處
理單元;S5、加密處理單元從密鑰接口讀取步驟Sl中的密鑰信息并構(gòu)建一個η階多項式, 接收步驟S4中的轉(zhuǎn)換模板并進(jìn)行預(yù)處理;根據(jù)預(yù)處理后的轉(zhuǎn)換模板以及η階多項式進(jìn)行運(yùn)算處理,最終生成一個新的點集V并將其儲存進(jìn)數(shù)據(jù)庫。所述步驟S2具體包括以下步驟S2. 1指紋處理單元通過指紋讀取模塊從用戶接口讀取用戶指紋圖像,并在平滑過濾模塊中進(jìn)行平滑處理,讓整個圖像取得均勻一致的明暗效果;S2. 2方向場估計模塊在收到從平滑過濾模塊傳送來的指紋圖像后,對其進(jìn)行計算,得到方向場;S2. 3有效域探測模塊在收到從方向場估計模塊傳來的指紋圖像后,對其進(jìn)行有效域的鎖定,去除無用的空白域并把處理完的圖像傳送給脊線探測模塊;S2. 4脊線探測模塊對接收到圖像進(jìn)行二值化處理,得到指紋脊線圖像;S2. 5細(xì)化模塊在接收到來自脊線探測模塊的指紋脊線圖像后,將脊線的寬度設(shè)為單個像素的寬度,得到脊線的骨架圖像,從而清晰化了脊線的形態(tài),并將需要進(jìn)行細(xì)節(jié)點提取的脊線骨架圖像傳送給細(xì)節(jié)點定位模塊;S2. 6細(xì)節(jié)點定位模塊對接收到的圖像進(jìn)行分叉點和斷點的探測和定位,最終得到細(xì)節(jié)點圖像;S2. 7細(xì)節(jié)點定位模塊將細(xì)節(jié)點圖像傳遞給轉(zhuǎn)換處理單元;所述步驟S3具體包括以下步驟S3. 1 口令讀取模塊從用戶接口讀取用戶口令并發(fā)送至口令矩陣生成模塊;S3. 2 口令矩陣生成模塊對步驟S3. 1傳遞過來的用戶口令進(jìn)行下述處理將8bytes的用戶口令W平均分成8個單元,其中W1 W8依次表示各個單元的ASC 碼;W = W11W21W31W41W51W61W71W8將W1 轉(zhuǎn)化為二進(jìn)制碼,其中mn mi8表示W(wǎng)i的各位上的二進(jìn)制碼;Wi = Hii! I mi21 mi31 | mi51 mi61 mi7 mi8(i = 1,2......8)生成8X8的口令矩陣M并將其傳送給矩陣變形模塊
權(quán)利要求1.一種基于指紋加密的身份認(rèn)證系統(tǒng),包括用戶接口、密鑰接口和數(shù)據(jù)庫,其特征在于,還包括口令處理單元、指紋處理單元、轉(zhuǎn)換處理單元、解密處理單元和加密處理單元;所述用戶接口分別與口令處理單元、指紋處理單元相連接,口令處理單元、指紋處理單元、解密處理單元和加密處理單元分別與轉(zhuǎn)換處理單元相連接;所述解密處理單元和加密處理單元分別與數(shù)據(jù)庫相連接,所述解密處理單元和加密處理單元分別與密鑰接口相連。
2.根據(jù)權(quán)利要求1所述一種基于指紋加密的身份認(rèn)證系統(tǒng),其特征在于,所述口令處理單元、解密處理單元、加密處理單元和轉(zhuǎn)換處理單元均采用STC公司的ARM3系列的通用芯片STM32f 103來實現(xiàn);所述指紋處理單元采用由Authentek公司的Touch指紋識別芯片AES3500來實現(xiàn)。
專利摘要本實用新型公開了一種基于指紋加密的身份認(rèn)證系統(tǒng),包括用戶接口、密鑰接口和數(shù)據(jù)庫,還包括口令處理單元、指紋處理單元、轉(zhuǎn)換處理單元、解密處理單元和加密處理單元;所述用戶接口分別與口令處理單元、指紋處理單元相連接,口令處理單元、指紋處理單元、解密處理單元和加密處理單元分別與轉(zhuǎn)換處理單元相連接;所述解密處理單元和加密處理單元分別與數(shù)據(jù)庫相連接,所述解密處理單元和加密處理單元分別與密鑰接口相連。本實用新型具有允許撤銷、可無限次重置生物特征密碼、安全性高和防止交叉比對的漏洞等優(yōu)點。
文檔編號G06K9/00GK201965619SQ201020582790
公開日2011年9月7日 申請日期2010年10月27日 優(yōu)先權(quán)日2010年10月27日
發(fā)明者徐念龍, 楊瑩 申請人:楊瑩