專利名稱:一種基于生物特征加密和同態算法的身份認證方法
技術領域:
本發明是一種適用于云計算環境中的身份認證方案,主要將生物特征加密技術和同態算法應用到身份認證系統中,屬于計算機網絡與信息安全技術領域。
背景技術:
隨著信息網絡的高速發展,云計算環境由于其方便、快捷等優點越來越受到人們的親睞,如何在開放的云計算環境中保護系統資源顯得尤為重要,設計ー個安全的身份認證系統防范非法用戶訪問系統資源和敵手的惡意攻擊、入侵,成為當前網絡安全領域的一個十分重要且迫切的難點問題。身份認證是指在用戶在進入系統或是訪問不同保護級別的系統資源時,系統確認該用戶的身份是否真實、合法和唯一的過程。通過身份認證系統基本可確保用戶身份的真實性、合法性、唯一性。目前,身份認證系統已被應用在各種各樣的環境中,比如無線傳感器網絡中,家用網絡中,無線點對點網絡中,移動網絡中等。身份認證系統結合的技術也是繁復多祥,如結合指紋等單一生物特征的,結合指紋+掌紋等雙重生物特征的,基于ロ令的,基于橢圓曲線密碼體制的,基于一次性ロ令的等。但是現在大多數的身份認證系統存在一些問題,主要包括
(I)用戶隱私性現在大多數的身份認證系統都是將用戶的個人信息以明文的形式直接存儲,若有敵手攻擊,很大程度上會導致用戶個人的隱私信息泄露。(2)數據安全性系統的資源存于服務器中,既加重了服務器的負擔,若遭到敵手攻擊也容易導致數據資源的泄密。(3)訪問權限性很多的身份認證系統沒有授予不同的用戶不同的權限,容易引發合法用戶非法訪問系統資源的問題。在云計算環境下,迫切需要構造ー種提高用戶隱私性、保障數據安全性、增強訪問權限性的身份認證系統。由此,本發明結合生物特征加密技術和同態算法構造了一種在很大程度上安全、有效的身份認證方案。
發明內容
技術問題本發明的目的是提出一種基于生物特征加密和同態算法的身份認證方法,將用戶的生物特征加密后作為登錄系統的ロ令,系統資源也加密后存儲在云計算環境中,為了避免將加密信息解密后再使用而造成的時間和空間的開銷,使用同態加密技術可大大削減加密和解密所需的時空開銷,提高運行效率。技術方案本發明的實現是在云計算環境中提供一種基于生物特征加密和同態算法的身份認證方法,該認證方法包括下面5個階段步驟
I)注冊階段用戶先登陸云計算環境提供方服務器的注冊頁面,申請注冊ー個賬號,輸入個人的ー些必要相關信息PI,使用自己的私鑰Pr簽名后發送給提供方服務器,提供方服務器使用用戶的公鑰Pu驗證發送過來的簽名,若判定用戶發送的信息真實有效,則反饋給用戶進行聲音或指紋的生物特征采集工作I,采集好用戶的生物特征BC后,從用戶的注冊信息中提取ー個密鑰Key,提供方服務器加密密鑰與生物特征異或的結果后,作為加密的生物模板儲存在云計算服務器中;
步驟I :用戶發送用私鑰Pr簽名的身份信息PI給提供方服務器,
步驟2 :提供方服務器用用戶公鑰Pu驗證簽名,若信息有效則反饋給用戶進行生物特征米集工作I,
步驟3 :用戶發送生物特征BC給提供方服務器,提供方服務器從用戶的身份信息PI中提取密鑰Key,
步驟4 :提供方服務器發送密鑰和生物特征異或后的加密結果E(BClKey)給云計算服務器,作為加密的生物模板; 2)登錄階段當用戶注冊成功后,可獲得ー個對應的移動設備,用戶通過該設備輸入自己的生物特征BC丨登錄提供方服務器,加上用戶時間戳Tu后發送給提供方服務器,提供方服務器將此登錄信息加上時間戳Ts后發送給云計算服務器,云計算服務器中使用同態算法在不解密生物特征的情況下進行活體生物特征與加密的生物模板的匹配,由于在信息的傳遞處理過程中,不可避免的會有噪聲夾雜其中,模板匹配相似度在可接受的范圍內,并且在三次之內匹配成功,則表示該用戶是合法用戶,云計算服務器返回加上時間戳Tc的表示該用戶是合法的信息Ic給提供方服務器,提供方服務器收到消息后返回加上自己的時間戳Ts丨的登錄成功的信息Is給用戶;否則,服務器在半個小時之內禁止該用戶登錄;
步驟I :用戶發送加密的登陸生物特征E (BC丨)和用戶時間戳Tu給提供方服務器, 步驟2 :提供方服務器將E (BC丨)加上自己的時間戳Ts發送給云計算服務器,
步驟3 :云計算服務器進行生物特征匹配,若成功登陸,則發送加上時間戳Tc的反饋信息Ic給提供方服務器,
步驟4 :提供方服務器發送加上時間戳Ts丨的登陸成功的信息Is給用戶;
3)認證階段用戶根據提供方服務器和自己的時間戳差值判定服務器身份的真實性,而服務器根據登錄時的生物特征與模板是否匹配,認證用戶的身份,這個過程實現了用戶和提供方服務器之間、提供方服務器和云計算服務器之間的三向認證,
步驟I :在云計算服務器中,使用同態算法在不解密生物信息的情況下進行生物特征的匹配,若E (BC丨)=E (BC),則是合法用戶,否則為非法用戶;
步驟2 :在提供方服務器端,計算ATsc=Tc-Ts是否在ー個可接受的范圍,若是,則提供方服務器和云計算服務器之間進行了成功認證;否則失敗;
步驟3 :在用戶端,計算ATus=Ts丨-Tu是否在ー個可接受的范圍,若是,則用戶和提供方服務器之間進行了成功認證;否則失敗;
4)授權階段提供方服務器通過謂詞加密的訪問控制方案制定訪問規則,即初始時設置初級用戶Ul對應謂詞Pl,中級用戶U2對應謂詞P2,高級用戶U3對應謂詞P3,VIP對應謂詞P4,初級管理者Gl對應謂詞P5,中級管理者G2對應謂詞P6,高級管理者G3對應謂詞P7 ;在登錄階段中提供方服務器得到該用戶的Key則對應為用戶的屬性信息,授權時通過判斷用戶的屬性信息滿足哪一個謂詞Pi,即滿足Pi (Key) =1,則授予用戶Pi的權限,用戶根據該權限則可解密訪問對應的存于云計算服務器中加密資源,同時系統還應實時更新用戶的權限信息,遇到緊急情況時可撤銷用戶的權限,防止特殊事件發生;步驟I :提供方服務器初始設置初級用戶Ul對應謂詞P1,中級用戶U2對應謂詞P2,高級用戶U3對應謂詞P3,VIP對應謂詞P4,初級管理者Gl對應謂詞P5,中級管理者G2對應謂詞P6,高級管理者G3對應謂詞P7,
步驟2 =Key相應為用戶的身份屬性,
步驟3 :根據Pi (Key)=I,則授予用戶Pi的權限,根據該權限解密訪問對應的存于云計算服務器中的加密資源;若Pi (Key)=O,則輸出空字符,表明該用戶已被撤銷權限,不能訪問云計算服務器中的任何資源;
5)審計階段提供方服務器記錄用戶和云計算服務器與安全相關的主要活動事件日志,為系統管理員監控系統和活動用戶提供必要的審計信息,必要時發出報警信息。有益效果本發明所設計的應用在云計算環境中的身份認證方案具有如下的優點
(I)注冊時用戶的信息經簽名后發送的,存于云端的生物模板是使用密鑰加密的且不易被破解,故而增強了用戶的隱私性。密鑰是從用戶的加密注冊信息中提取的,避免了從外部輸入帶來的潛在安全問題而且還能應用到后面的授權階段。使用加密的生物模板從某種意義上達到了雙因子認證的效果,將用戶的物理身份和數字身份較完美的結合在一起。(2)使用生物特征進行登錄,解決了使用傳統的用戶名和ロ令方式易被遺忘或盜竊或泄露信息的缺陷,而且在登錄時不必進行繁瑣的輸入,方便用戶登錄。即使移動設備丟竊了,敵手也不能在短時間內破解,因為登錄系統需要活體生物特征的匹配。(3)在登錄認證時雙方都加入時間戳,可保證用戶、提供方服務器和云計算服務器之間的ー個三向認證。(4)根據用戶身份的屬性能滿足的權限的謂詞條件,授予用戶不同的訪問權限,可防止合法用戶非法使用資源,也能實現查詢關鍵字的隱私保護,提供更全面的安全性。本發明設計的基于生物特征加密和同態算法的身份認證系統方案,具有較高的安全強度,提高了整個身份認證系統的安全性。
圖I是身份認證方案的架構,形象的展現了認證過程的5個階段注冊、登錄、認證、授權、審計。
具體實施例方式本發明所設計的基于生物特征加密和同態算法的身份認證方案,其使用過程包括下面5個階段步驟
(I)注冊階段。用戶先登陸云計算環境提供方服務器的注冊頁面,申請注冊ー個賬號,輸入個人的ー些必要相關信息PI,使用自己的私鑰Pr簽名后發送給提供方服務器,提供方服務器使用用戶的公鑰Pu驗證發送過來的簽名,若判定用戶發送的信息真實有效,則反饋給用戶進行生物特征(聲音或指紋等)采集工作I,采集好用戶的生物特征BC后,從用戶的注冊信息中提取ー個密鑰Key,提供方服務器加密密鑰與生物特征異或的結果后,作為加密的生物模板儲存在云計算服務器中。步驟I :用戶提供方服務器Sign(PI,Pr),、步驟2 :用戶〈一提供方服務器=Verify (Pu, Sign(PI1Pr)) | I,
步驟3 :用戶-> 提供方服務器BC| I Key,
步驟4 :提供方服務器ー> 云計算服務器E (BCI Key)。注Sign為簽名算法,Verify為驗證算法,| |為連接操作,E為同態加密,I為按位或運算。(2)登錄階段。當用戶注冊成 功后,可獲得ー個對應的移動設備,用戶通過該設備輸入自己的生物特征BC丨登錄提供方服務器,加上用戶時間戳Tu后發送給提供方服務器,提供方服務器將此登錄信息加上時間戳Ts后發送給云計算服務器,云計算服務器中使用同態算法在不解密生物特征的情況下進行活體生物特征與加密的生物模板的匹配,由于在信息的傳遞處理過程中,不可避免的會有噪聲夾雜其中,模板匹配相似度在可接受的范圍內,并且在三次之內匹配成功,則表示該用戶是合法用戶,云計算服務器返回加上時間戳Tc的表示該用戶是合法的信息Ic給提供方服務器,提供方服務器收到消息后返回加上自己的時間戳Ts'的登錄成功的信息Is給用戶。否則,服務器在半個小時之內禁止該用戶登求。步驟I :用戶提供方服務器E (BC ’ ) +Tu,
步驟2 :提供方服務器ー> 云計算服務器E (BC ’ )+Ts,
步驟3 :提供方服務器く--云計算服務器TC+E(Key)+IC,
步驟4 :用戶く--提供方服務器Ts丨+Is。(3)認證階段。用戶根據提供方服務器和自己的時間戳差值判定服務器身份的真實性,而云計算服務器根據用戶登錄時經提供方服務器加密的生物特征與模板是否匹配,認證用戶的身份,這個過程實現了用戶和提供方服務器之間、提供方服務器和云計算服務器之間的三向認證。步驟I :在云計算服務器中,使用同態算法在不解密生物信息的情況下進行生物特征的匹配,若E (BC丨)=E (BC),則是合法用戶,否則為非法用戶。步驟2 :在提供方服務器端,計算ATsc=Tc-Ts是否在ー個可接受的范圍,若是,則提供方服務器和云計算服務器之間進行了成功認證;否則失敗。步驟3 :在用戶端,計算ATus=Ts丨-Tu是否在ー個可接受的范圍,若是,則用戶和提供方服務器之間進行了成功認證;否則失敗。(4)授權階段。提供方服務器通過謂詞加密的訪問控制方案制定訪問規則,即初始時設置初級用戶Ul對應謂詞P1,中級用戶U2對應謂詞P2,高級用戶U3對應謂詞P3,VIP對應謂詞P4,初級管理者Gl對應謂詞P5,中級管理者G2對應謂詞P6,高級管理者G3對應謂詞P7。在登錄階段中提供方服務器得到該用戶的Key則對應為用戶的屬性信息,授權時通過判斷用戶的屬性信息滿足哪一個謂詞Pi,即滿足Pi (Key) =1,則授予用戶Pi的權限,用戶根據該權限則可解密訪問對應的存于云計算服務器中加密資源。同時系統還應實時更新用戶的權限信息,遇到緊急情況時可撤銷用戶的權限,防止特殊事件發生。步驟I :提供方服務器初始設置U1—>P1,U2—P2,U3—>P3, VIP—>P4, Gl->P5,G2—>P6, G3—>P7,
步驟2 Key相應為用戶的身份屬性,
步驟3 :根據Pi (Key)=I,則授予用戶Pi的權限,根據該權限解密訪問對應的存于云計算服務器中的加密資源;若Pi (Key) =0,則輸出空字符,表明該用戶已被撤銷權限,不能訪問云計算服務器中的任何資源。 (5)審計階段。提供方服務器記錄用戶和云計算服務器與安全相關的主要活動事件日志,為系統管理員監控系統和活動用戶提供必要的審計信息,必要時發出報警信息。
權利要求
1. 一種基于生物特征加密和同態算法的身份認證方法,其特征在于該認證方法包括下面5個階段步驟 . 1)注冊階段用戶先登陸云計算環境提供方服務器的注冊頁面,申請注冊一個賬號,輸入個人的一些必要相關信息PI,使用自己的私鑰Pr簽名后發送給提供方服務器,提供方服務器使用用戶的公鑰Pu驗證發送過來的簽名,若判定用戶發送的信息真實有效,則反饋給用戶進行聲音或指紋的生物特征采集工作I,采集好用戶的生物特征BC后,從用戶的注冊信息中提取一個密鑰Key,提供方服務器加密密鑰與生物特征異或的結果后,作為加密的生物模板儲存在云計算服務器中; 步驟I :用戶發送用私鑰Pr簽名的身份信息PI給提供方服務器, 步驟2 :提供方服務器用用戶公鑰Pu驗證簽名,若信息有效則反饋給用戶進行生物特征米集工作I, 步驟3 :用戶發送生物特征BC給提供方服務器,提供方服務器從用戶的身份信息PI中提取密鑰Key, 步驟4 :提供方服務器發送密鑰和生物特征異或后的加密結果E(BClKey)給云計算服務器,作為加密的生物模板; . 2)登錄階段當用戶注冊成功后,可獲得一個對應的移動設備,用戶通過該設備輸入自己的生物特征BC丨登錄提供方服務器,加上用戶時間戳Tu后發送給提供方服務器,提供方服務器將此登錄信息加上時間戳Ts后發送給云計算服務器,云計算服務器中使用同態算法在不解密生物特征的情況下進行活體生物特征與加密的生物模板的匹配,由于在信息的傳遞處理過程中,不可避免的會有噪聲夾雜其中,模板匹配相似度在可接受的范圍內,并且在三次之內匹配成功,則表示該用戶是合法用戶,云計算服務器返回加上時間戳Tc的表示該用戶是合法的信息Ic給提供方服務器,提供方服務器收到消息后返回加上自己的時間戳Ts丨的登錄成功的信息Is給用戶;否則,服務器在半個小時之內禁止該用戶登錄; 步驟I :用戶發送加密的登陸生物特征E (BC丨)和用戶時間戳Tu給提供方服務器, 步驟2 :提供方服務器將E (BC丨)加上自己的時間戳Ts發送給云計算服務器, 步驟3 :云計算服務器進行生物特征匹配,若成功登陸,則發送加上時間戳Tc的反饋信息Ic給提供方服務器, 步驟4 :提供方服務器發送加上時間戳Ts丨的登陸成功的信息Is給用戶; . 3)認證階段用戶根據提供方服務器和自己的時間戳差值判定服務器身份的真實性,而服務器根據登錄時的生物特征與模板是否匹配,認證用戶的身份,這個過程實現了用戶和提供方服務器之間、提供方服務器和云計算服務器之間的三向認證, 步驟I :在云計算服務器中,使用同態算法在不解密生物信息的情況下進行生物特征的匹配,若E (BC丨)=E (BC),則是合法用戶,否則為非法用戶; 步驟2 :在提供方服務器端,計算ATsc=Tc-Ts是否在一個可接受的范圍,若是,則提供方服務器和云計算服務器之間進行了成功認證;否則失敗; 步驟3 :在用戶端,計算ATus=Ts丨-Tu是否在一個可接受的范圍,若是,則用戶和提供方服務器之間進行了成功認證;否則失敗; . 4)授權階段提供方服務器通過謂詞加密的訪問控制方案制定訪問規則,即初始時設置初級用戶Ul對應謂詞Pl,中級用戶U2對應謂詞P2,高級用戶U3對應謂詞P3,VIP對應謂詞P4,初級管理者Gl對應謂詞P5,中級管理者G2對應謂詞P6,高級管理者G3對應謂詞P7 ;在登錄階段中提供方服務器得到該用戶的Key則對應為用戶的屬性信息,授權時通過判斷用戶的屬性信息滿足哪一個謂詞Pi,即滿足Pi (Key) =1,則授予用戶Pi的權限,用戶根據該權限則可解密訪問對應的存于云計算服務器中加密資源,同時系統還應實時更新用戶的權限信息,遇到緊急情況時可撤銷用戶的權限,防止特殊事件發生; 步驟I :提供方服務器初始設置初級用戶Ul對應謂詞P1,中級用戶U2對應謂詞P2,高級用戶U3對應謂詞P3,VIP對應謂詞P4,初級管理者Gl對應謂詞P5,中級管理者G2對應謂詞P6,高級管理者G3對應謂詞P7, 步驟2 =Key相應為用戶的身份屬性, 步驟3 :根據Pi (Key)=I,則授予用戶Pi的權限,根據該權限解密訪問對應的存于云計算服務器中的加密資源;若Pi (Key) =0,則輸出空字符,表明該用戶已被撤銷權限,不能訪問云計算服務器中的任何資源; 5)審計階段提供方服務器記錄用戶和云計算服務器與安全相關的主要活動事件日志,為系統管理員監控系統和活動用戶提供必要的審計信息,必要時發出報警信息。
全文摘要
一種基于生物特征加密和同態算法的身份認證方法,使用用戶的生物特征作為口令通過移動設備登錄系統,比通常的口令方式更加快捷,并且使用加密的生物模板更安全,同時信息在傳遞的過程中都是以密文的形式傳遞的,保證了用戶的隱私性;加入時間戳等因素使用戶和提供方服務器及云計算服務器間進行三方認證,增強了三方之間的可信度;對用戶進行根據屬性的謂詞加密的授權操作并實時更新權限信息,可以防止合法用戶非法使用云計算環境中的資源,更好的管理了資源。利用同態算法可實現在不解密的情況下進行操作,就如同先解密再進行操作的效果是一樣的,節省了時間和空間開銷,大大的提高了系統的效率,具很高的安全性和效率性。
文檔編號H04L29/06GK102664885SQ20121011394
公開日2012年9月12日 申請日期2012年4月18日 優先權日2012年4月18日
發明者孫國梓, 徐雯麗, 楊一濤, 王志偉, 陳丹偉 申請人:南京郵電大學