專利名稱:一種基于加密人臉的匿名身份認(rèn)證方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明是一種基于加密人臉的匿名身份認(rèn)證方法和系統(tǒng)�����,屬于信息安全領(lǐng)域�。
背景技術(shù):
隨著社會(huì)網(wǎng)絡(luò)化和信息化的發(fā)展,如何更加快速����、便捷、安全的進(jìn)行身份認(rèn)證成為 人們面臨的一個(gè)普遍問(wèn)題��。身份認(rèn)證在安全系統(tǒng)中的地位極其重要,是最基本的安全服務(wù)�����, 其它的安全服務(wù)都要依賴于它�����。一旦身份認(rèn)證系統(tǒng)被攻破��,那么系統(tǒng)的所有安全措施將形 同虛設(shè)�����。黑客攻擊的目標(biāo)往往就是身份認(rèn)證系統(tǒng)��。因此要加快信息安全的建設(shè)�����,加強(qiáng)身份 認(rèn)證理論及其應(yīng)用的研究是非常重要的��。另外����,除了黑客之外高級(jí)權(quán)限用戶(比如管理員) 登錄系統(tǒng)后���,能夠修改普通用戶的敏感數(shù)據(jù)����,并且宣稱系統(tǒng)遭受到了黑客攻擊。傳統(tǒng)密碼學(xué)方法通過(guò)加密密鑰對(duì)用戶的內(nèi)容進(jìn)行保密����,為了滿足加密內(nèi)容的安全 性,加密密鑰通常是隨機(jī)生成的長(zhǎng)比特串�,這樣的密鑰對(duì)用戶來(lái)說(shuō)難以記憶;同時(shí)�,生物特 征識(shí)別具有便攜性、唯一性�����、可靠性��、通用性等特點(diǎn)����,但由于傳統(tǒng)的生物特征識(shí)別系統(tǒng)不采 用任何加密措施,系統(tǒng)中存儲(chǔ)的是原始的特征值�����,因而隨著硬件攻擊和破解技術(shù)的發(fā)展,整 個(gè)生物特征識(shí)別系統(tǒng)就有可能完全暴露在黑客的攻擊范圍內(nèi)����,從而使用戶身份的安全性和 隱私性受到威脅。生物特征不像口令和密鑰����,丟失后可以重置,生物特征的丟失是永久性的 丟失�。而加密生物特征身份認(rèn)證系統(tǒng)既有傳統(tǒng)的生物特征識(shí)別的優(yōu)點(diǎn),又可以保證生物特 征的安全性�。
發(fā)明內(nèi)容
本發(fā)明公開(kāi)了一種基于加密人臉的匿名身份認(rèn)證方法和系統(tǒng),該系統(tǒng)可以用于基 于網(wǎng)絡(luò)的在線身份認(rèn)證�。根據(jù)Paillier算法的同態(tài)性,將Paillier公鑰密碼體制對(duì)人臉 特征進(jìn)行加密���,提高人臉識(shí)別的安全性��,并應(yīng)用于采用歐氏距離進(jìn)行度量的人臉身份認(rèn)證 系統(tǒng)中,使其具有很好的認(rèn)證性能���。本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的該方法根據(jù)Paillier算法的同態(tài)性�����,利用 Paillier公鑰密碼體制對(duì)人臉特征進(jìn)行加密并應(yīng)用于采用歐氏距離進(jìn)行度量的人臉身份 認(rèn)證系統(tǒng)中��。所述Paillier公鑰密碼體制是P. Paillier等在1999年的歐洲和亞洲密碼會(huì)議 上提出的具有良好同態(tài)性質(zhì)的概率加密體制���,并給出了一種能夠驗(yàn)證消息完整性的加密方 案���,在隨機(jī)預(yù)言模型下證明了該加密方案能夠抵抗適應(yīng)性攻擊(NM-CCA2)。所述Paillier算法的同態(tài)性質(zhì)是指令E表示加密方案����,M,C分別表 示明文和密文空間����,明文空間M是操作為φ的群,密文空間C是操作為 的群��。對(duì) 于該加密方案的任何一個(gè)實(shí)例E���,給定�。=£�;(叫)和�����。=瓦2(趴2)���,就存在1"使得 C1 = Eh {mx) Eri {m2) = Er (^1 θ W2),則稱加密方案E關(guān)于(Θ, )滿足同態(tài)性質(zhì)���。其基于加密人臉的匿名身份認(rèn)證方法包括兩個(gè)階段注冊(cè)階段�����,認(rèn)證階段�。首先�,由應(yīng)用服務(wù)器根據(jù)Paillier公鑰密碼體制生成身份認(rèn)證系統(tǒng)的密鑰對(duì)公鑰(n,g)和私鑰(λ�����,μ )����,同時(shí)將公鑰分配給客戶端�,將私鑰存儲(chǔ)在應(yīng)用服務(wù)器中��。所述注冊(cè)階段包括a.M(M ^ 2)個(gè)用戶在客戶端進(jìn)行注冊(cè)����,客戶端獲取用戶的身份信息和人臉特征向 量八1 :(an�,ai2…Eiij…aiN),i = 1����,2 M,j = 1���,2…N����,Ai是第i個(gè)用戶的人臉特征向量���,a�。. 是第i個(gè)用戶的人臉特征向量的第j個(gè)特征值��;N為人臉特征向量的維數(shù)���;b.使用公鑰(n��,g)對(duì)這M個(gè)用戶的人臉特征進(jìn)行加密�����,根據(jù)公式⑴和⑵計(jì)算 Uij 和 Vij
權(quán)利要求
一種基于加密人臉的匿名身份認(rèn)證方法�,其特征在于,該方法根據(jù)Paillier算法的同態(tài)性����,將Paillier公鑰密碼體制對(duì)人臉特征加密并采用歐氏距離進(jìn)行度量的人臉身份認(rèn)證方法,該方法包括兩個(gè)階段注冊(cè)階段和認(rèn)證階段�����;由應(yīng)用服務(wù)器根據(jù)Paillier公鑰密碼體制生成身份認(rèn)證系統(tǒng)的密鑰對(duì)公鑰(n�����,g)和私鑰(λ��,μ)���,同時(shí)將公鑰(n����,g)分配給客戶端,將私鑰(λ�����,μ)存儲(chǔ)在應(yīng)用服務(wù)器中�����;所述注冊(cè)階段包括a.M個(gè)用戶在客戶端進(jìn)行注冊(cè)�����,客戶端獲取用戶的身份信息和人臉特征向量Ai(ai1�����,ai2…aij…aiN)�,i=1�,2…M,j=1���,2…N����,Ai是第i個(gè)用戶的人臉特征向量,aij是第i個(gè)用戶的人臉特征向量的第j個(gè)特征值�����,N為人臉特征向量的維數(shù)�;b.使用公鑰(n,g)對(duì)這M個(gè)用戶的人臉特征進(jìn)行加密���,根據(jù)公式(1)和(2)計(jì)算Uij和Vij <mrow><msub> <mi>U</mi> <mi>ij</mi></msub><mo>=</mo><mi>E</mi><mrow> <mo>(</mo> <msubsup><mi>a</mi><mi>ij</mi><mn>2</mn> </msubsup> <mo>,</mo> <msubsup><mi>r</mi><mi>ij</mi><mi>a</mi> </msubsup> <mo>)</mo></mrow><mo>=</mo><msup> <mi>g</mi> <msubsup><mi>a</mi><mi>ij</mi><mn>2</mn> </msubsup></msup><mo>·</mo><mi></mi><msup> <mrow><mo>(</mo><msubsup> <mi>r</mi> <mi>ij</mi> <mi>a</mi></msubsup><mo>)</mo> </mrow> <mi>n</mi></msup><msup> <mrow><mi>mod</mi><mi>n</mi> </mrow> <mn>2</mn></msup><mo>-</mo><mo>-</mo><mo>-</mo><mrow> <mo>(</mo> <mn>1</mn> <mo>)</mo></mrow> </mrow> <mrow><msub> <mi>V</mi> <mi>ij</mi></msub><mo>=</mo><mi>E</mi><mrow> <mo>(</mo> <msub><mrow> <mn>2</mn> <mi>a</mi></mrow><mi>ij</mi> </msub> <mo>,</mo> <msubsup><mi>r</mi><mi>ij</mi><mi>a</mi> </msubsup> <mo>)</mo></mrow><mo>=</mo><msup> <mi>g</mi> <msub><mrow> <mn>2</mn> <mi>a</mi></mrow><mi>ij</mi> </msub></msup><mo>·</mo><msup> <mrow><mo>(</mo><msubsup> <mi>r</mi> <mi>ij</mi> <mi>a</mi></msubsup><mo>)</mo> </mrow> <mi>n</mi></msup><msup> <mrow><mi>mod</mi><mi>n</mi> </mrow> <mn>2</mn></msup><mo>-</mo><mo>-</mo><mo>-</mo><mrow> <mo>(</mo> <mn>2</mn> <mo>)</mo></mrow> </mrow>其中�,Uij和Vij是兩組加密值�,是一組和人臉特征向量維數(shù)相同的隨機(jī)數(shù),且1≤i≤M�����,1≤j≤N�����;c.將M個(gè)用戶的身份信息和人臉特征的加密值通過(guò)應(yīng)用服務(wù)器的數(shù)據(jù)轉(zhuǎn)發(fā)存儲(chǔ)在數(shù)據(jù)庫(kù)服務(wù)器中���;認(rèn)證階段包括d.匿名用戶在客戶端進(jìn)行登錄��,客戶端按照與所述步驟a相同的方法獲取匿名用戶的人臉特征向量B(b1���,b2��,…bj…�,bN)��,j=1�,2…N��,bj是匿名用戶的人臉特征向量的第j個(gè)特征值���;e.使用所述公鑰(n�����,g)對(duì)該用戶的人臉特征進(jìn)行加密��,根據(jù)公式(3)計(jì)算Wj�,j=1����,2L N <mrow><msub> <mi>W</mi> <mi>j</mi></msub><mo>=</mo><mi>E</mi><mrow> <mo>(</mo> <msubsup><mi>b</mi><mi>j</mi><mn>2</mn> </msubsup> <mo>,</mo> <msubsup><mi>r</mi><mi>j</mi><mi>b</mi> </msubsup> <mo>)</mo></mrow><mo>=</mo><msup> <mi>g</mi> <msubsup><mi>b</mi><mi>j</mi><mn>2</mn> </msubsup></msup><mo>·</mo><msup> <mrow><mo>(</mo><msubsup> <mi>r</mi> <mi>j</mi> <mi>b</mi></msubsup><mo>)</mo> </mrow> <mi>n</mi></msup><msup> <mrow><mi>mod</mi><mi>n</mi> </mrow> <mn>2</mn></msup><mo>-</mo><mo>-</mo><mo>-</mo><mrow> <mo>(</mo> <mn>3</mn> <mo>)</mo></mrow> </mrow>其中,Wj是一組加密值,是一組和人臉特征個(gè)數(shù)相同且不同于的隨機(jī)數(shù)��;f.將該匿名用戶人臉特征的加密值通過(guò)應(yīng)用服務(wù)器的數(shù)據(jù)轉(zhuǎn)發(fā)子模塊輸出到數(shù)據(jù)庫(kù)服務(wù)器中與在注冊(cè)階段存儲(chǔ)在數(shù)據(jù)庫(kù)服務(wù)器中的M個(gè)用戶人臉特征的加密值按照公式(4)計(jì)算加密域距離Pi���,i=1����,2L M <mrow><msub> <mi>P</mi> <mi>i</mi></msub><mo>=</mo><munderover> <mi>Π</mi> <mrow><mi>j</mi><mo>=</mo><mn>1</mn> </mrow> <mrow><mi>j</mi><mo>=</mo><mi>N</mi> </mrow></munderover><msub> <mi>U</mi> <mi>ij</mi></msub><msub> <mi>W</mi> <mi>j</mi></msub><msup> <msub><mi>V</mi><mi>ij</mi> </msub> <mrow><mi>n</mi><mo>-</mo><msub> <mi>b</mi> <mi>j</mi></msub> </mrow></msup><msup> <mrow><mi>mod</mi><mi>n</mi> </mrow> <mn>2</mn></msup><mo>-</mo><mo>-</mo><mo>-</mo><mrow> <mo>(</mo> <mn>4</mn> <mo>)</mo></mrow> </mrow>g.應(yīng)用服務(wù)器的認(rèn)證子模塊利用私鑰(λ�,μ)通過(guò)公式(5),(6)對(duì)M個(gè)加密值進(jìn)行解密�,得到M個(gè)歐氏距離di(Ai,B)�,i=1,2L M <mrow><msub> <mi>D</mi> <mi>i</mi></msub><mrow> <mo>(</mo> <msub><mi>P</mi><mi>i</mi> </msub> <mo>)</mo></mrow><mo>=</mo><mfrac> <mrow><mrow> <mo>(</mo> <msup><msub> <mi>P</mi> <mi>i</mi></msub><mi>λ</mi> </msup> <msup><mrow> <mi>mod</mi> <mi>n</mi></mrow><mn>2</mn> </msup> <mo>-</mo> <mn>1</mn> <mo>)</mo></mrow><mo>*</mo><mi>μ</mi> </mrow> <mi>n</mi></mfrac><mi>mod</mi><mi>n</mi><mo>,</mo><mi>i</mi><mo>=</mo><mn>1,2</mn><mo>,</mo><mi>LM</mi><mo>-</mo><mo>-</mo><mo>-</mo><mrow> <mo>(</mo> <mn>5</mn> <mo>)</mo></mrow> </mrow>di(Ai�,B)=(Di(Pi))1/2(6)h.若其中的最小歐氏距離小于設(shè)定閾值,則認(rèn)為該用戶通過(guò)身份認(rèn)證�����,允許進(jìn)入系統(tǒng)�����,否則�,認(rèn)為該用戶沒(méi)有通過(guò)身份認(rèn)證,用戶登錄系統(tǒng)失敗,并將是否成功登錄系統(tǒng)的信息反饋到客戶端的登錄子模塊���。FSA00000322440900013.tif,FSA00000322440900014.tif,FSA00000322440900015.tif,FSA00000322440900017.tif,FSA00000322440900018.tif
2.根據(jù)權(quán)利要求1所述基于加密人臉的匿名身份認(rèn)證方法和系統(tǒng)�����,其特征在于���,所述 人臉特征采用的是多塊局部二元模式特征。
3.根據(jù)權(quán)利要求1所述基于加密人臉的匿名身份認(rèn)證方法和系統(tǒng)�����,其特征在于�,所述 身份信息即為用戶登錄系統(tǒng)的用戶名��。
4.一種基于加密人臉的匿名身份認(rèn)證系統(tǒng)�����,其特征在于�����,包括客戶端模塊,用于獲取用戶的身份信息和人臉特征向量�����,并使用公鑰對(duì)人臉特征進(jìn)行 加密�����;所述客戶端模塊具體包括客戶注冊(cè)子模塊�,用于在用戶進(jìn)行注冊(cè)時(shí)獲取用戶的身份信息和人臉特征向量,并使 用公鑰對(duì)人臉特征進(jìn)行加密����;客戶登錄子模塊,用于在匿名用戶進(jìn)行登錄時(shí)獲取用戶的人臉特征向量����,并使用公鑰 對(duì)人臉特征進(jìn)行加密;數(shù)據(jù)庫(kù)服務(wù)器模塊���,數(shù)據(jù)庫(kù)服務(wù)器與應(yīng)用服務(wù)器相連��;注冊(cè)階段�����,數(shù)據(jù)庫(kù)服務(wù)器用于存 儲(chǔ)獲取的所有用戶的身份信息和相應(yīng)的加密人臉特征�,用戶登錄階段,數(shù)據(jù)庫(kù)服務(wù)器用于 接收登錄用戶的加密人臉特征��,并計(jì)算接收的加密人臉特征與所有已存儲(chǔ)的加密人臉特征 之間的加密域距離���;應(yīng)用服務(wù)器模塊���,用于為數(shù)據(jù)庫(kù)服務(wù)器發(fā)送信息;對(duì)匿名用戶進(jìn)行身份認(rèn)證����,并將認(rèn)證 結(jié)果反饋給客戶端的客戶登錄子模塊;所述應(yīng)用服務(wù)器模塊具體包括數(shù)據(jù)轉(zhuǎn)發(fā)子模塊����,數(shù)據(jù)轉(zhuǎn)發(fā)子模塊與客戶端的客戶注冊(cè)子模塊和客戶登錄子模塊相 連���,用于給數(shù)據(jù)庫(kù)服務(wù)器發(fā)送信息�;認(rèn)證子模塊��,認(rèn)證子模塊與客戶登陸子模塊和數(shù)據(jù)庫(kù)服務(wù)器相連����,它從數(shù)據(jù)庫(kù)服務(wù)器 接收加密域距離����,利用私鑰對(duì)所有的加密域距離進(jìn)行解密�,得到若干個(gè)歐氏距離,設(shè)其中最 小的歐氏距離小于設(shè)定閾值�����,則認(rèn)為該匿名用戶通過(guò)身份認(rèn)證����,允許進(jìn)入系統(tǒng),否則���,認(rèn)為 該匿名用戶沒(méi)有通過(guò)身份認(rèn)證�����,登錄系統(tǒng)失敗�����,并將是否成功登錄系統(tǒng)的信息反饋到客戶 端的客戶登錄子模塊�����。
全文摘要
本發(fā)明公開(kāi)了信息安全領(lǐng)域中的一種基于加密人臉的匿名身份認(rèn)證方法和系統(tǒng)���。包括根據(jù)Paillier公鑰密碼體制生成公鑰和私鑰�,將公鑰分配給客戶端����,將私鑰存儲(chǔ)在應(yīng)用服務(wù)器?�?蛻舳嗽谟脩糇?cè)時(shí)獲取用戶身份并對(duì)獲取的人臉特征加密�����,客戶端在匿名用戶登錄時(shí)對(duì)獲取的人臉特征加密��;數(shù)據(jù)庫(kù)服務(wù)器將用戶登錄加密信息與注冊(cè)加密信息進(jìn)行計(jì)算�;應(yīng)用服務(wù)器利用私鑰解密計(jì)算得到解密信息,若滿足條件�,認(rèn)為該用戶可以進(jìn)入系統(tǒng)�����。本發(fā)明由于Paillier公鑰密碼體制是單向的并且在語(yǔ)義上是安全的,以及匿名用戶的加密人臉特征和私鑰不在同一個(gè)服務(wù)器內(nèi)����,即使是高級(jí)權(quán)限用戶也無(wú)法獲知用戶的信息,所以可以保證身份認(rèn)證系統(tǒng)的安全性��。
文檔編號(hào)H04L29/06GK101984576SQ20101052242
公開(kāi)日2011年3月9日 申請(qǐng)日期2010年10月22日 優(yōu)先權(quán)日2010年10月22日
發(fā)明者仲盛, 吳雪, 曹連超, 毋立芳, 肖鵬, 陳婷婷 申請(qǐng)人:北京工業(yè)大學(xué)