技術(shù)領(lǐng)域

本發(fā)明屬于信息安全和生物特征識(shí)別技術(shù)領(lǐng)域，涉及到一種基于指紋細(xì)節(jié)點(diǎn)的密鑰管理方法，具體是一種增強(qiáng)指紋Fuzzy?Vault系統(tǒng)安全性的方法，可應(yīng)用于網(wǎng)絡(luò)與信息安全、生物認(rèn)證、生物特征加密等領(lǐng)域。

背景技術(shù)

隨著社會(huì)網(wǎng)絡(luò)化和信息化的發(fā)展，如何更加快速而且便捷的進(jìn)行用戶真實(shí)身份認(rèn)證成為人們面臨的一個(gè)普遍問(wèn)題。目前使用最廣的身份認(rèn)證方式都是基于密碼技術(shù)的口令認(rèn)證，可分為單因子和多因子認(rèn)證兩種：?jiǎn)我蜃诱J(rèn)證就是大家熟知的″用戶名+口令″方式；多因子認(rèn)證是在單因子方式基礎(chǔ)上又增加了一個(gè)由智能卡或USB鑰匙構(gòu)成的令牌，即″口令+令牌″方式。但這兩種認(rèn)證方式與用戶真實(shí)的物理身份毫不相關(guān)，因此都存在著被他人盜用或者冒用的安全隱患。

可見(jiàn)，僅僅識(shí)別用戶知道和擁有什么不足以從根本上實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證和鑒別，而識(shí)別用戶的物理身份是越來(lái)越多的安全系統(tǒng)的最根本需求。在這種需求下，生物特征識(shí)別技術(shù)獲得了長(zhǎng)足的發(fā)展。生物特征包括人的生理特征和行為特征兩大類(lèi)，其中生理特征諸如指紋、臉形、虹膜、掌紋、語(yǔ)音等；行為特征主要有步態(tài)、簽名、擊鍵等，都吸引了大批的研究者在進(jìn)行廣泛而深入的研究。

指紋作為最為古老和實(shí)用的生物特征，從19世紀(jì)起就作為可靠的刑偵技術(shù)受到了廣泛關(guān)注。進(jìn)入信息化社會(huì)以后，生物特征識(shí)別技術(shù)逐漸成為民用技術(shù)中發(fā)展最快并且最具潛力的信息技術(shù)，指紋作為全世界使用最為廣泛而且國(guó)際市場(chǎng)占有份額最大的生物特征，理論研究逐漸趨于成熟，應(yīng)用實(shí)例越來(lái)越多。生物特征加密技術(shù)(Biometric?Encryption)是目前國(guó)內(nèi)外對(duì)生物特征識(shí)別領(lǐng)域的一個(gè)研究熱點(diǎn)。

生物特征加密技術(shù)是一個(gè)把密鑰和生物特征安全地綁定到一起的過(guò)程，通過(guò)使用生物特征信息來(lái)管理傳統(tǒng)密碼學(xué)中的密鑰，使得密鑰和生物特征本身都不能從系統(tǒng)存儲(chǔ)的模板中獲取到，當(dāng)且僅當(dāng)活體生物特征提交給系統(tǒng)時(shí)才會(huì)重新生成密鑰。

模糊保險(xiǎn)箱(Fuzzy?Vault)算法是生物特征加密領(lǐng)域最為經(jīng)典的實(shí)用化算法，很多研究者的工作都是基于這個(gè)算法的。概括地說(shuō)，這個(gè)算法可以分為兩個(gè)步驟：1)用戶Alice將秘密K放到保險(xiǎn)箱(Vault)中，并且用無(wú)序集A加以鎖定；2)用戶Bob使用無(wú)序集B嘗試訪問(wèn)K(即打開(kāi)保險(xiǎn)箱Vault)。Bob能夠訪問(wèn)到K的充分必要條件是無(wú)序集B和A的絕大多數(shù)元素重合。

但是該算法存在一些問(wèn)題，包括安全和性能方面：

1、對(duì)于所綁定的密鑰K的完整性校驗(yàn)采用了循環(huán)冗余校驗(yàn)CRC16，而給定一個(gè)CRC16校驗(yàn)值，很容易構(gòu)建多個(gè)符合該校驗(yàn)值的明文信息，從而可能引起系統(tǒng)錯(cuò)誤接受率FAR的增加；

2、對(duì)上述的CRC16校驗(yàn)值，在現(xiàn)有的Fuzzy?Vault系統(tǒng)中均把它作為和密鑰K相同的秘密進(jìn)行安全性保護(hù)，這導(dǎo)致了系統(tǒng)承擔(dān)額外的秘密信息的安全存儲(chǔ)負(fù)載，同時(shí)，也導(dǎo)致系統(tǒng)的計(jì)算復(fù)雜度增加；

3、現(xiàn)有的Fuzzy?Vault系統(tǒng)均屬于一次性應(yīng)用且不可撤銷(xiāo)，也就是說(shuō)，對(duì)于同樣一個(gè)指紋，只可進(jìn)行一次Fuzzy?Vault應(yīng)用，如果進(jìn)行兩次或兩次以上Fuzzy?Vault應(yīng)用，將很容易暴露該指紋的細(xì)節(jié)點(diǎn)信息；

4、現(xiàn)有的Fuzzy?Vault系統(tǒng)直接使用指紋細(xì)節(jié)點(diǎn)信息，當(dāng)真實(shí)用戶成功認(rèn)證過(guò)程中，其細(xì)節(jié)點(diǎn)模板會(huì)有短暫的暴露，攻擊者可能會(huì)利用這段空隙進(jìn)行攻擊。

目前，針對(duì)上述安全問(wèn)題，也有人提出一些修改方法：1)通過(guò)使用加密算法對(duì)現(xiàn)有的FuzzyVault系統(tǒng)產(chǎn)生的Vault數(shù)據(jù)加密，但該方法在認(rèn)證需要解密Vault數(shù)據(jù)，同樣給了攻擊者攻擊的空隙，而且，由于Vault數(shù)據(jù)本身在設(shè)計(jì)時(shí)要求以明文形式給出，增加加解密運(yùn)算會(huì)影響系統(tǒng)性能；2)對(duì)指紋圖像進(jìn)行分割，對(duì)每一個(gè)子區(qū)域進(jìn)行不同的變化，增加混亂度，以便增加攻擊復(fù)雜性，但是，該方法會(huì)使得靠近分塊邊緣的點(diǎn)分到不同的塊，從而是的錯(cuò)誤拒絕率FRR增大。

另外，現(xiàn)有的這些改進(jìn)方法，都沒(méi)有考慮使用CRC16作為校驗(yàn)帶來(lái)的FAR增加問(wèn)題。因此，現(xiàn)有的指紋Fuzzy?Vault系統(tǒng)還很不實(shí)用，在性能和安全性上都需要進(jìn)行改進(jìn)，必須設(shè)計(jì)新的、可撤銷(xiāo)的、安全的Fuzzy?Vault方案。

發(fā)明內(nèi)容

本發(fā)明針對(duì)目前生物識(shí)別技術(shù)領(lǐng)域的指紋Fuzzy?Vault系統(tǒng)中存在的尚未有效解決的安全問(wèn)題，提出了一種增強(qiáng)指紋Fuzzy?Vault系統(tǒng)安全性方法。用來(lái)實(shí)現(xiàn)：

[I]增加對(duì)指紋模板信息的保護(hù)，使得改進(jìn)的Fuzzy?Vault的加密和解密過(guò)程僅對(duì)變換后的指紋信息進(jìn)行操作；