亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種強化隱私保護的遠程生物特征身份認證方法與流程

文檔序號:11291915閱讀:562來源:國知局
一種強化隱私保護的遠程生物特征身份認證方法與流程

本發(fā)明屬于信息安全領(lǐng)域,具體涉及一種強化隱私保護的遠程生物特征身份認證方法。



背景技術(shù):

隨著人工智能的快速發(fā)展,基于生物特征的身份認證技術(shù)逐漸為智能時代提供了便捷和安全的身份認證,已在國家安全、金融、司法、電子商務(wù)、電子政務(wù)等應(yīng)用領(lǐng)域?qū)崿F(xiàn)了自動、準確的身份標(biāo)識。然而隨著商業(yè)應(yīng)用的增長,生物特征身份認證面臨著不可忽視的安全隱患,由于生物特征具備永久性和唯一性,而在應(yīng)用中需要存儲數(shù)字化后的特征作為模板,一旦遭受攻擊或失竊,將造成嚴重后果。被盜取或篡改的生物特征可能被不法分子用于冒充合法用戶進行非法認證,使得與用戶身份永久關(guān)聯(lián)的生物特征在應(yīng)用系統(tǒng)中失效;被盜取的特征模板同時可能由攻擊者推測出原始生物特征圖像,從而泄露用戶隱私;此外,同一生物特征在不受保護的情況下保存在多個應(yīng)用系統(tǒng)中,容易被不法分子追蹤而實現(xiàn)交叉匹配。因此,在推廣生物特征身份認證應(yīng)用的同時,如何有效保護生物特征信息和用戶隱私成為國內(nèi)外研究的熱點之一。

在實現(xiàn)用戶生物特征的隱私保護和安全認證過程中,有效保護存儲的數(shù)字化模板尤為重要。研究者近年來提出的生物特征模板保護策略主要分為生物特征加密和生物特征變換兩大類。其中,生物特征加密直接從生物信號中提取出一個密鑰或通過某種方式將兩者有機結(jié)合,然后保存為模板,認證過程通過生物特征的成功匹配而提取出密鑰用于認證。該方法通過結(jié)合物理身份與數(shù)字身份提高了認證的安全性,但如何從變化的生物特征中提取精確不變的密鑰并不容易,因而會影響身份認證的精度。另一種基于特征變換的生物特征模板保護技術(shù)通過對生物特征進行某種變換,最終保存變換域的特征為模板。其中,隨機映射(randomprojection,rp)變換實現(xiàn)了將特征從n維空間到m維空間的映射,同時能以極高的概率使兩點之間的歐氏距離接近于原始數(shù)據(jù),從而實現(xiàn)了距離保持特性。因此,將隨機映射用于生物特征的模板保護中,其距離保持特性使得基于歐氏距離在變換域內(nèi)匹配對認證準確性影響較?。淮送?,基于不同的隨機映射矩陣,可以針對同一生物特征生成不同的模板,使得模板具有可再生性和可撤銷性?;陔S機映射的生物特征模板保護方法已為生物特征身份認證提供了準確、可撤銷的認證性能;但同時,隨著生物特征身份認證在商業(yè)領(lǐng)域的應(yīng)用增長,大多需要用戶進行遠程的身份認證,此類方法在安全性上則暴露出如下問題:

(1)隨機映射算法的生成模板安全性低,無法抵抗相似性攻擊、相似性攻擊、重放攻擊等常見攻擊。由于傳統(tǒng)rp算法大多將變換數(shù)據(jù)直接作為保存模板,存在利用逆變換或交叉匹配攻擊而完全恢復(fù)原始生物特征信息的隱患;同時當(dāng)變換后的特征被盜取時,此類方法無法抵抗重放攻擊。

(2)對于變換密鑰(rp矩陣或產(chǎn)生映射矩陣的偽隨機序列)缺乏安全有效的管理機制。由于在認證過程中,rp矩陣需用于變換特征的生成,因此注冊過程產(chǎn)生的rp矩陣需要進行存儲或傳輸。若被用戶保存,實現(xiàn)雙因子認證,安全性較高,但其安全性取決于隨機數(shù)令牌的安全性,并且多因子認證為應(yīng)用帶來不便;若被用戶終端保存,則將用戶與用戶終端綁定,應(yīng)用將受到局限;若被應(yīng)用端保存,則密鑰容易被非法盜取而存在用戶的生物特征信息被泄露的安全隱患。

(3)在商業(yè)應(yīng)用中,涉及的身份認證大多在遠程的、處于不完全可信環(huán)境應(yīng)用系統(tǒng)中,已有的算法對于指紋圖像等的處理及模板、密鑰的保存都存在安全隱患。若引入可信第三方進行管理,則會提高應(yīng)用成本,同時存在著第三方無法保證自身可信度的問題。

因此,為了改善上述問題,本領(lǐng)域亟待出現(xiàn)可行的技術(shù)方案。



技術(shù)實現(xiàn)要素:

鑒于以上所述現(xiàn)有技術(shù)存在的問題和不足,本發(fā)明提供一種強化隱私保護的遠程生物特征身份認證方案,其所具備的特點為:

(1)對生物特征的隱私保護結(jié)合算法和協(xié)議、軟件和硬件的優(yōu)勢實現(xiàn)對更為完全的保護,提供更為全面的保護,能有效抵抗針對生物特征模板和認證系統(tǒng)的常見攻擊;

(2)不依賴于遠程的應(yīng)用系統(tǒng)或用戶終端的可信度,同時不需要可信第三方,也不需要將用戶與用戶終端進行綁定。

本發(fā)明技術(shù)方案提供一種強化隱私保護的遠程生物特征身份認證方法,包括預(yù)處理階段,注冊階段和認證階段,

所述預(yù)處理階段包括以下步驟,

步驟a1,輸入安全參數(shù)par,生成用戶終端私鑰對(pki,ski)和應(yīng)用端公私鑰對(pka,ska);

步驟a2,針對每個用戶終端i,用私鑰ski分別和其他各用戶終端j的公鑰pkj生成轉(zhuǎn)換密鑰,得到重加密密鑰rekeyij=rekeygen(par,ski,pkj),預(yù)存在應(yīng)用端;

所述注冊階段,實現(xiàn)方式包括以下子步驟,

步驟b1,用戶在用戶終端i提出注冊申請;

步驟b2,應(yīng)用端將公鑰pka傳至用戶終端;

步驟b3,在用戶終端的trustzone可信計算區(qū)內(nèi)對輸入生物特征利用改進的隨機映射算法生成保存模板,并對隨機映射矩陣進行加密保護,將模板和密鑰密文傳至應(yīng)用端;實現(xiàn)方式包括以下子步驟,

步驟b3-1,用戶終端在trustzone中獲取用戶生物特征圖像f,提取生物特征x;

步驟b3-2,利用改進的隨機映射算法生成隨機映射矩陣r和生物特征模板t0;所述改進的隨機映射算法通過劃分映射域引入噪聲干擾后,再利用子隨機映射矩陣進行交叉融合,保存為生物特征模板;包括對n×n維(n為偶數(shù))的原始特征x進行隨機映射得到n×n維變換特征y,均分y得到相互獨立的生物特征匹配特征域y1與加噪干擾域y2,其中,y1=r1tx,y2=r2tx,r1=[r1,r2,...,rm],r2=[rm+1,rm+2,...,rn](其中m=n/2)為對應(yīng)的子隨機映射矩陣;

步驟b3-3,加密隨機映射矩陣r,包括先利用隨機密鑰k加密隨機映射矩陣r,得到re;在用戶終端用公鑰pki對k加密,得到ke;同時,對子隨機映射矩陣r2用應(yīng)用端的公鑰pk加密,得到r2e;

步驟b3-4,參數(shù)傳遞,包括將生成的數(shù)據(jù)t0,re,ke,r2e和用戶終端序號i一起串聯(lián)后傳至應(yīng)用端進行保存,應(yīng)用端用私鑰ska解密r2e得到r2,同時用戶終端i注銷所有數(shù)據(jù);

步驟b4,應(yīng)用端數(shù)據(jù)保存,包括由應(yīng)用端保存注冊用戶的相關(guān)數(shù)據(jù)ke||re||t0||r2||i;

所述認證階段,實現(xiàn)方式包括以下子步驟,

步驟c1,用戶在用戶終端j提出認證申請;

步驟c2,應(yīng)用端利用轉(zhuǎn)換密鑰rekeyij對ke進行二次加密后得到ke’,并生成隨機數(shù)θ作為用于抵抗重放攻擊的驗證數(shù),將re||ke'||θ傳至用戶終端;

步驟c3,在用戶終端的trustzone可信計算區(qū)內(nèi)對輸入生物特征利用改進的隨機映射算法生成變換特征,將變換特征傳至應(yīng)用端;實現(xiàn)方式包括以下子步驟,

步驟c3-1,用戶終端在trustzone中獲取用戶生物特征圖像f’,提取生物特征x';

步驟c3-2,利用改進的隨機映射算法生成生物特征模板,并傳至應(yīng)用端;所述改進的隨機映射算法通過劃分映射域引入噪聲干擾后,再利用子隨機映射矩陣進行交叉融合,保存為生物特征模板,生成變換特征t1;交叉融合時采用了由隨機驗證數(shù)θ生成的矩陣θ';

步驟c3-3,參數(shù)傳遞,用于將生成的變換特征t1傳至應(yīng)用端;同時,認證用戶終端注銷所有數(shù)據(jù);

步驟c4,應(yīng)用端特征匹配,實現(xiàn)方式包括以下子步驟,

步驟c4-1,匹配特征提取,應(yīng)用端利用子隨機映射矩陣r2提取出生物特征模板t0和變換特征t1的匹配特征f0、f1;

步驟c4-2,特征匹配,利用歐氏距離計算函數(shù)f(.)得到匹配分數(shù)s=f(f0,(f1-θ')),將s與系統(tǒng)閾值對比進行決策,實現(xiàn)身份認證。

而且,步驟b3-2的實現(xiàn)包括以下子步驟,

步驟b3-2-1,隨機映射矩陣的生成,包括生成服從獨立同高斯分布的n×n維隨機矩陣r,r=[r1,r2,...,rn],rk(1≤k≤n)為n維列向量,其元素為獨立同分布的高斯隨機變量,并對r矩陣進行g(shù)ram-schmidt正交化;其中,n為偶數(shù);

步驟b3-2-2,隨機映射過程,包括對n×n維的原始特征x進行隨機映射得到n×n維變換特征y,y=rtx;均分y得到相互獨立的生物特征匹配特征域y1與加噪干擾域y2,其中,y1=r1tx,y2=r2tx,r1=[r1,r2,...,rm],r2=[rm+1,rm+2,...,rn]為對應(yīng)的子隨機映射矩陣;在y2域添加隨機生成的m×n維噪聲ns,得到更新的加噪干擾域y2e=y(tǒng)2+ns;

步驟b3-2-3,特征融合,包括利用子隨機映射矩陣r1、r2交叉融合生物特征匹配特征域與加噪干擾域,得到t0=r2y1+r1y2e,t0為生成的生物特征模板。

而且,步驟c3-2的實現(xiàn)包括以下子步驟,

步驟c3-2-1,隨機映射矩陣的解密與獲取,包括利用用戶終端私鑰skj對ke'一次解密得到隨機數(shù)k,用k解密re得到隨機映射矩陣r;

步驟c3-2-2,隨機映射過程,包括對原始特征x'進行隨機映射得到變換特征y',y'=rtx';均分y'得到相互獨立的生物特征匹配特征域y1'與加噪干擾域y2',其中,y1'=r1tx',y2'=r2tx',r1=[r1,r2,...,rm],r2=[rm+1,rm+2,...,rn]為對應(yīng)的子隨機映射矩陣;在y2'域添加隨機生成的m×n維噪聲ns',得到y(tǒng)2e'=y(tǒng)2'+ns';

步驟c3-2-3,特征融合,包括利用子隨機映射矩陣r1、r2交叉融合生物特征匹配特征域、加噪干擾域,以及由隨機驗證數(shù)θ生成的矩陣θ'(θ'為元素全為隨機數(shù)θ的m×n維矩陣),得到t1為生成的變換特征,得到生物特征模板;

步驟c4-1中,應(yīng)用端利用r2提取出保存模板t和變換特征t1的匹配特征f0、f1,分別為

而且,基于elgamal重加密機制實現(xiàn)對改進的隨機映射算法中變換密鑰的管理。

而且,步驟a2中,基于elgamal重加密機制生成重加密密鑰rekeyij。

而且,步驟b3-3中,基于elgamal算法利用用戶終端的公鑰pki加密k得到密文ke,由(a,b)兩部分密文組成如下,

其中,k1為隨機數(shù),且滿足gcd(k1,p-1)=1;

利用應(yīng)用端的公鑰pka加密r2得到的r2e為,

其中,k2為隨機數(shù),且滿足gcd(k2,p-1)=1,ya是應(yīng)用端的公鑰參數(shù)xa為應(yīng)用端私鑰ska。

而且,步驟b3-4中,基于elgamal算法,應(yīng)用端用私鑰ska解密r2e得到r2,

而且,步驟c2中,基于elgamal算法,應(yīng)用端利用轉(zhuǎn)換密鑰rekeyij對ke進行重加密后得到ke’,ke’由(a,c,d)三部分密文組成,

其中

而且,步驟c3-2-1中,基于elgamal算法,利用用戶終端私鑰skj對ke'一次解密得到k,

而且,所述生物特征為指紋、人臉或虹膜。

與現(xiàn)有的技術(shù)相比,本發(fā)明提供的一種強化隱私保護的遠程生物特征身份認證方案,更適用于處于遠程、不可信環(huán)境的商業(yè)應(yīng)用中的身份認證,其顯著的優(yōu)點是:

(1)本發(fā)明提高了隨機映射算法的生成模板安全性,能有效抵抗針對模板的常見的攻擊。由于保存的模板是在隨機映射的基礎(chǔ)上加入噪聲干擾后,再通過r1、r2交叉融合的特征,而認證過程只需要利用r2提取出y1(y1=r1tx)進行匹配。因此,即使r2和生物特征模板t均被攻擊,由于r1受重加密機制保護,保持未知,故無法恢復(fù)出原始生物特征x,在保持rp算法匹配準確率的同時提高了密鑰r和生物特征模板的安全性。同時能抵抗統(tǒng)計分析攻擊(添加的隨機噪聲在每次認證中使得變換特征均具有隨機變化性)、相似性攻擊(若攻擊者獲得了某應(yīng)用端的多個用戶的多個映射,由于r是用戶特定的,因此無法通過相似性攻擊推測出rp矩陣)、交叉匹配攻擊(已知同一個用戶的多個映射,無法推測出原始生物特征)和重放攻擊(由于驗證隨機數(shù)具備時效性,并通過子隨機映射矩陣融合在變換特征中,因此在應(yīng)用端可以通過提取驗證而抵抗重放攻擊)。

(2)本發(fā)明對于變換密鑰(rp矩陣)實現(xiàn)了安全有效的管理?;谥丶用軝C制,將秘密數(shù)據(jù)安全存儲在應(yīng)用端,同時在用戶終端利用一次解密即可恢復(fù),在保證安全性和可用性的同時有效降低了用戶的存儲開銷。

(3)本發(fā)明的認證安全性不依賴于遠程應(yīng)用端的可信度或第三方認證?;谟脩艚K端的trustzone可信計算區(qū)可以實現(xiàn)對原始指紋圖像等生物特征的安全采集和處理,不對外泄露用戶的秘密信息;對應(yīng)用端存儲的數(shù)據(jù)受重加密機制的保護,不需要可信第三方的參與。同時,對用戶與用戶終端綁定、用戶與用戶終端不綁定的場景均適用,在提高認證隱私保護強度的同時具備良好的適用性。

綜上,本發(fā)明能在保持傳統(tǒng)隨機映射算法的認證準確性和模板可撤銷性的同時,克服算法在遠程認證中存在的模板容易被恢復(fù)和密鑰管理問題,強化對用戶指紋的隱私保護,并且具有較高的抵抗攻擊能力和應(yīng)用的普適性。通過本發(fā)明提供的一種強化隱私保護的遠程生物特征身份認證方案,可以為生物特征身份認證系統(tǒng)中的用戶生物特征提供更高強度的隱私保護,能夠促進生物特征身份認證在商業(yè)領(lǐng)域應(yīng)用的推廣,具有重要的市場價值。

附圖說明

圖1是本發(fā)明實施例的總體方案框圖。

圖2是本發(fā)明實施例的注冊過程。

圖3是本發(fā)明實施例的認證過程。

具體實施方式

以下將結(jié)合附圖對本發(fā)明的構(gòu)思、具體技術(shù)方案作進一步說明,以充分地展示本發(fā)明的目的、原理和效果。應(yīng)理解這些實施例僅用于說明本發(fā)明而不用于限制本發(fā)明的范圍,在閱讀了本發(fā)明之后,本領(lǐng)域技術(shù)人員對本發(fā)明的各種等價形式的修改均落于本申請所附權(quán)利要求所限定的范圍。

本發(fā)明提供的一種強化隱私保護的遠程生物特征身份認證方法,在改進隨機映射生物特征模板保護算法的同時,對密鑰(隨機映射矩陣)的管理引入重加密機制,可以應(yīng)用在生物特征身份認證系統(tǒng)中提高對用戶的隱私保護強度和對常見攻擊的抵抗能力,實現(xiàn)遠程的安全認證,包括預(yù)處理階段,注冊階段和認證階段。

具體而言,基于隨機映射生物特征模板保護算法,利用其距離保持特性和模板可撤銷性的同時,改進算法的模板生成方式,通過劃分映射域引入噪聲干擾后,再利用子隨機映射矩陣進行交叉融合,保存為模板。在密鑰管理協(xié)議上,引入具備密文安全轉(zhuǎn)換功能的新型公鑰加密體制——重加密機制,不依賴于遠程的應(yīng)用端可信度,通過對密鑰的兩層加密,從數(shù)據(jù)源頭上控制對數(shù)據(jù)明文的訪問權(quán)限,讓應(yīng)用端在存儲密文的同時,能夠根據(jù)需要提供不同的重加密密文版本,從而有效防范秘密數(shù)據(jù)在傳輸和存儲過程中的竊取風(fēng)險。在硬件環(huán)境上,利用用戶終端的trustzone安全計算區(qū),在與操作系統(tǒng)完全隔離的tee(trustedexecutionenvironment)可信環(huán)境內(nèi)對對生物特征進行采集和基于改進的rp算法的處理,除了輸出特定參數(shù)和變換模板外,不對外泄露任何數(shù)據(jù),實現(xiàn)安全計算。

該方案在用戶終端的trustzone可信計算區(qū)中結(jié)合了改進的隨機映射模板保護算法、基于elgamal的重加密機制在實現(xiàn)對隨機映射矩陣的管理,既能保持隨機映射算法的生物特征認證優(yōu)勢,同時能提高遠程生物特征認證的安全性和隱私保護強度。

本發(fā)明實施例以指紋為例,通過改進隨機映射算法,并結(jié)合重加密機制,基于硬件級的trustzone技術(shù)提出對指紋身份認證的隱私保護方案。實施例的總體方案框圖如圖1所示,涉及用戶、用戶終端和遠程應(yīng)用端的交互,在注冊階段,用戶在用戶終端提出注冊請求后,先獲取應(yīng)用端傳遞的參數(shù),再在trustzone可信計算區(qū)內(nèi)對指紋進行處理,生成注冊模板并利用重加密機制一次加密變換密鑰,最后傳至應(yīng)用端保存;在認證階段則在用戶提出認證請求后,應(yīng)用端利用轉(zhuǎn)換密鑰對隨機映射矩陣密鑰進行二次加密后,傳至用戶終端,再在trustzone區(qū)內(nèi)對變換密鑰進行一次解密恢復(fù)后,對指紋進行特征變換,最后將變換特征傳至應(yīng)用端進行特征匹配和身份認證。采用其他生物特征時(如人臉、虹膜等)的實現(xiàn)方式一致。

elgamal加密算法是一種常見的公鑰密碼體制,基于elgamal算法構(gòu)造的重加密模型在重加密機制提出的同時得到了驗證,其安全性是基于有限域上的離散對數(shù)問題的困難性。本發(fā)明實施例將基于elgamal重加密機制實現(xiàn)對隨機映射模板保護算法中變換密鑰的管理,同時利用終端的trustzone可信計算環(huán)境通過改進的隨機映射算法對指紋認證進行隱私保護。具體的強化隱私保護的遠程生物特征身份認證方案以指紋為例,包括三個階段:預(yù)處理階段、注冊階段和認證階段。

具體實施時,可基于軟件技術(shù)支持自動化運行。

首先是預(yù)處理階段,實施例具體實現(xiàn)步驟如下:

步驟a1,輸入安全參數(shù)par,系統(tǒng)開始初始化,利用密鑰生成算法生成用戶終端公私鑰對(pki,ski)和應(yīng)用端公私鑰對(pka,ska);其中,pki為用戶終端公鑰,ski為用戶終端私鑰,pka為應(yīng)用端公鑰,ska為應(yīng)用端私鑰。

實施例中,根據(jù)elgamal算法的公鑰密碼算法特點:先選擇公鑰參數(shù)(y,g,p)和私鑰x,并確定公鑰參數(shù)y為y=gxmodp。故用戶終端和應(yīng)用端公私鑰對的選擇過程為:先選擇隨機數(shù)x作為私鑰,用戶終端i的隨機數(shù)是一個小于p的正整數(shù)構(gòu)成的群,p是大素數(shù),g是中的本原元;則私鑰為x,公鑰為(y,g,p),其中y=gxmodp.

步驟a2,針對每個用戶終端i,用其私鑰ski分別和其他每個用戶終端j的公鑰pkj生成轉(zhuǎn)換密鑰,即重加密密鑰rekeyij=rekeygen(par,ski,pkj),其中,rekeygen(.)為重加密密鑰生成算法,par為公共參數(shù);將重加密密鑰預(yù)存在應(yīng)用端;

具體實施時,基于elgamal加密算法生成的重加密轉(zhuǎn)換密鑰rekeyij,參考文獻《asecurere-encryptionschemefordataservicesinacloudcomputingenvironment》中的生成方法,為故得到重加密密鑰矩陣rekey(為p×p維,p為用戶終端總數(shù))。

其次是注冊階段,如圖2所示,實施例具體實現(xiàn)步驟如下:

步驟b1,用戶在用戶終端i提出注冊申請;

步驟b2,遠程應(yīng)用端將應(yīng)用端公鑰pka傳至用戶終端;

步驟b3,實施例采用在處理器中配置了armtrustzone技術(shù)的用戶終端設(shè)備,在用戶終端的trustzone可信計算區(qū)內(nèi)對輸入指紋圖像利用改進的隨機映射算法生成保存模板,并對隨機映射矩陣進行加密保護,將模板和密鑰密文傳至應(yīng)用端。本發(fā)明在原始隨機映射算法的基礎(chǔ)上改進了模板生成方式,通過劃分映射域引入噪聲干擾后,再利用子隨機映射矩陣進行交叉融合,保存為模板,而非直接將映射特征作為模板保存。改進后的算法在保持身份認證性能的同時,有效提高了針對模板的常見攻擊的抵抗能力,不僅能抵抗已知模板攻擊和已知密鑰攻擊,同時能抵抗統(tǒng)計分析攻擊、相似性攻擊、交叉匹配攻擊和重放攻擊。該方案以指紋為例,實現(xiàn)方式包括以下子步驟,

步驟b3-1,用戶終端在trustzone中獲取用戶指紋圖像f,提取指紋特征x;

實施例中,對指紋特征的提取利用文獻《filterbank-basedfingerprintmatching》提出的方法提取fingercode特征:先對原始指紋圖像以奇異點為中心剪裁得到175×175的圖像,再參照文獻提取生成576維fingercode特征,轉(zhuǎn)為24×24矩陣后作為特征x;

步驟b3-2,利用改進的隨機映射算法生成指紋模板,所述改進的隨機映射算法通過劃分映射域引入噪聲干擾后,再利用子隨機映射矩陣進行交叉融合,保存為模板;實現(xiàn)方式包括以下子步驟,

步驟b3-2-1,隨機映射矩陣的生成:生成服從獨立同高斯分布的n×n維(n為偶數(shù))隨機矩陣r,r=[r1,r2,...,rn],rk(1≤k≤n)為n維列向量,其元素為獨立同分布的高斯隨機變量,即矩陣r的每個元素rij滿足rij~n(0,1/n)(其中,i、j為整數(shù),且1≤i≤n,1≤j≤n),并對r矩陣進行g(shù)ram-schmidt正交化;

實施例中,生成服從獨立同高斯分布的24×24維隨機矩陣r,r=[r1,r2,...,r24],rk(1≤k≤24)為24維列向量,其元素為獨立同分布的高斯隨機變量,即服從均值為0方差為1/24的高斯分布,即rij~n(0,1/24),并對r矩陣進行g(shù)ram-schmidt正交化;

步驟b3-2-2,隨機映射過程:原始特征x(n×n維)進行隨機映射得到變換特征y(n×n維),即y=rtx;均分y得到相互獨立的指紋匹配特征域y1與加噪干擾域y2,其中,y1=r1tx,y2=r2tx,均為m×n維特征(m=n/2),r1=[r1,r2,...,rm],r2=[rm+1,rm+2,...,rn]為對應(yīng)的子隨機映射矩陣;在y2域添加隨機生成的m×n維噪聲ns,得到更新的加噪干擾域y2e=y(tǒng)2+ns;

實施例中,對原始特征x進行隨機映射得到變換特征y,即y=rtx;均分y得到相互獨立的指紋匹配特征域y1與加噪干擾域y2,其中,y1=r1tx,y2=r2tx,均為m×n維特征,r1=[r1,r2,...,r12],r2=[r13,r14,...,r24]為對應(yīng)的子隨機映射矩陣;在y2域添加隨機生成的12×24維隨機均勻分布噪聲ns,得到更新的加噪干擾域y2e=y(tǒng)2+ns;

步驟b3-2-3,特征融合:利用子隨機映射矩陣r1、r2交叉融合指紋匹配特征域與加噪干擾域,得到t0=r2y1+r1y2e,t0即為生成的特征模板。

步驟b3-3,加密隨機映射矩陣r:為降低計算復(fù)雜度,先利用隨機密鑰k加密隨機映射矩陣r,得到re=e(r,k)(e(.)為加密算法);再對低維的k進行重加密機制的保護,即在用戶終端用公鑰pki對k加密,得到密文ke=e(k,pki);同時,對子隨機映射矩陣r2(用于認證階段提取匹配特征)用應(yīng)用端的公鑰pka加密,得到r2e=e(r2,pka),以避免每次在認證階段對r2的傳遞;

具體實施時,為降低計算復(fù)雜度和存儲容量,隨機密鑰k的維數(shù)應(yīng)越小越好;同時對隨機映射矩陣r的加密可采用aes加密、des加密、rsa加密、異或加密算法等。實施例中選擇一維隨機的密鑰k以獲得最小的計算復(fù)雜度和存儲容量;同時選擇aes加密對r進行加密。同時,基于elgamal算法利用用戶終端的公鑰pki加密k得到密文ke,由(a,b)兩部分密文組成,具體為:

其中,k1為隨機數(shù),且滿足gcd(k1,p-1)=1(gcd(.)為求最大公約數(shù)函數(shù))。而利用應(yīng)用端的公鑰pka加密r2得到的r2e為:

其中,k2為隨機數(shù),且滿足gcd(k2,p-1)=1,ya是應(yīng)用端的公鑰參數(shù)(xa為應(yīng)用端私鑰ska)。

步驟b3-4,參數(shù)傳遞:將生成的數(shù)據(jù)t0,re,ke,r2e和用戶終端序號i一起串聯(lián)后傳至應(yīng)用端進行保存,表示為ke||re||t0||r2e||i。應(yīng)用端用私鑰ska解密r2e得到r2,同時,注冊終端(即用戶終端i)注銷所有數(shù)據(jù)(包括f,x,r,t0,re,k,ke,r2e);

實施例中,基于elgamal算法利用應(yīng)用端同時用私鑰ska解密r2e得到r2,即:

步驟b4,應(yīng)用端數(shù)據(jù)保存:應(yīng)用端保存注冊用戶的相關(guān)數(shù)據(jù):ke||re||t0||r2||i。雙豎線表示數(shù)據(jù)串聯(lián)。

最后是認證階段,如圖3所示,實施例具體實現(xiàn)步驟如下:

步驟c1,用戶在用戶終端j提出認證申請;

步驟c2,遠程應(yīng)用端利用轉(zhuǎn)換密鑰rekeyij對ke進行二次加密后得到ke’,并生成隨機數(shù)θ作為用于抵抗重放攻擊的驗證數(shù),將re||ke'||θ傳至用戶終端;

具體實施時,基于elgamal算法應(yīng)用端利用轉(zhuǎn)換密鑰rekeyij對ke進行重加密后得到ke’,ke’由(a,c,d)三部分密文組成,具體為:

其中

步驟c3,在用戶終端的trustzone可信計算區(qū)內(nèi)對輸入指紋利用改進的隨機映射算法生成變換特征,將變換特征傳至應(yīng)用端。實現(xiàn)方式包括以下子步驟,

步驟c3-1,用戶終端在trustzone中獲取用戶指紋圖像f’,提取24×24維指紋特征x';

步驟c3-2,利用改進的隨機映射算法生成指紋模板,并傳至應(yīng)用端。本發(fā)明在原始隨機映射算法的基礎(chǔ)上改進了模板生成方式,通過劃分映射域引入噪聲干擾后,再利用子隨機映射矩陣進行交叉融合,保存為模板,而非直接將映射特征作為模板保存。實現(xiàn)方式包括以下子步驟,

步驟c3-2-1,隨機映射矩陣的解密與獲?。豪糜脩艚K端私鑰skj對ke'一次解密得到隨機數(shù)k,用k解密re得到隨機映射矩陣r;

具體實施時,基于elgamal算法利用用戶終端私鑰skj對ke'一次解密得到k,過程為:

同時,對re的解密以k為密鑰利用aes算法解密得到隨機映射矩陣r;

步驟c3-2-2,隨機映射過程:對原始特征x'(n×n維)進行隨機映射得到變換特征y'(n×n維),即y'=rtx';均分y'得到相互獨立的指紋匹配特征域y1'與加噪干擾域y2',其中,y1'=r1tx',y2'=r2tx',均為m×n維特征,r1=[r1,r2,...,rm],r2=[rm+1,rm+2,...,rn]為對應(yīng)的子隨機映射矩陣;在y2'域添加隨機生成的m×n維噪聲ns',得到y(tǒng)2e'=y(tǒng)2'+ns';

實施例中,對原始特征x'進行隨機映射得到變換特征y',即y'=rtx';均分y'得到相互獨立的指紋匹配特征域y1'與加噪干擾域y2',其中,y1'=r1tx',y2'=r2tx',均為12×24維特征,r1=[r1,r2,...,r12],r2=[r13,r14,...,r24]為對應(yīng)的子隨機映射矩陣;在y2'域添加隨機生成的12×24維噪聲ns',得到y(tǒng)2e'=y(tǒng)2'+ns';

步驟c3-2-3,特征融合:利用子隨機映射矩陣r1、r2交叉融合指紋匹配特征域、加噪干擾域,以及由隨機驗證數(shù)θ生成的矩陣θ'(θ'為元素全為隨機數(shù)θ的m×n維矩陣),得到(在本發(fā)明實例中,),t1即為生成的變換特征,即指紋模板;

步驟c3-3,參數(shù)傳遞:將生成的變換特征t1傳至應(yīng)用端;同時,認證用戶終端注銷所有數(shù)據(jù)(包括f’,x’,r,t1,re,k,ke’,θ);

步驟c4,應(yīng)用端特征匹配,實現(xiàn)方式包括以下子步驟,

步驟c4-1,匹配特征提取:應(yīng)用端利用子隨機映射矩陣r2提取出保存的生物特征模板t0和變換特征t1的匹配特征,分別為在本發(fā)明實施例中即匹配特征為

步驟c4-2,特征匹配,利用歐式距離計算函數(shù)f(.)得到匹配分數(shù)s=f(f0,(f1-θ')),將s與相應(yīng)預(yù)設(shè)閾值(判定為匹配的歐氏距離閾值)對比進行決策。

由于不匹配的特征之間歐氏距離很大,匹配的特征之間歐式距離小,所以可預(yù)先給定一個閾值,小于此閾值時,判定為匹配。

具體實施時,以上方案可采用軟件技術(shù)實現(xiàn)自動運行。采用以上技術(shù)方案,本發(fā)明既能保持傳統(tǒng)隨機映射算法的準確率(最終匹配特征均是)和可撤銷性(變換隨機映射矩陣即可生成不同模板),同時能提高指紋身份認證的模板安全性和密鑰安全性,有效增強認證系統(tǒng)的抵抗攻擊能力和隱私保護強度。

本文中所描述的具體實施例僅僅是對本發(fā)明方案作舉例說明,并不用于限定本發(fā)明,例如,對于重加密機制的實現(xiàn)不限于elgamal加密算法,其他重加密機制同樣適用;對于用戶終端的可信計算區(qū)也不局限于trustzone計算環(huán)境,其他硬件級的安全運行解決方案同樣使用。本發(fā)明所屬技術(shù)領(lǐng)域的技術(shù)人員可以對所描述的具體實施做各種各樣的修改或補充或采用類似的方式替代,但并不會偏離本發(fā)明的精神或者超越所附權(quán)利要求書所定義的范圍。

當(dāng)前第1頁1 2 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1