專利名稱:基于可視密碼的生物特征遠程認證方法
技術領域:
本發(fā)明屬于網絡安全技術領域,涉及到遠程認證過程中生物特征隱私保護的安全技術�,具體是一種基于一般存取結構上的可視密碼的生物特征,如指紋�、虹膜、人臉等�����,遠程認證方法����,用于對數(shù)據庫中的生物特征采用一般存取結構上的可視密碼方法進行秘密分存����,從而保證生物特征數(shù)據在傳輸和存儲過程中的安全性。
背景技術:
在生物特征遠程認證過程中���,為了保證生物特征數(shù)據不被惡意破壞和竊取���,需要安全保護技術作為支持。在現(xiàn)有大多數(shù)方案中�,通常采用將密鑰和生物特征模板數(shù)據有機融合的方法來保證生物特征數(shù)據在存儲和傳輸過程中的安全性���,而其中較常用的模板保護方法為基于輔助數(shù)據的理論和方法,但這些保護方法本身也存在一定缺陷���,如方法復雜�����、不同生物特征所需方法不同�、無法同時滿足所有安全級別要求等�����。文獻"Visual Cryptography for Biometric Privacy. IEEE Transactions on Information Forensics and Security, vol. 6, no. 1��,pp. 70-81���,Mar. 2011. ” 公幵了一禾中基于門限可視密碼方法的生物特征加密方法����。該方法的主要思想是在注冊過程中�����,對生物特征圖像進行二值化處理,轉換成二值生物特征圖像��;然后通過最基本的二對二門限可視密碼方法將生物特征圖像分存為兩張無意義的二值份額圖像��,并保存到兩個獨立的數(shù)據庫中����;在認證過程中,首先將兩個獨立數(shù)據庫中的對應份額圖像相互疊加��,并通過逆變換恢復出原始的秘密生物特征圖像���;然后將新提取的生物特征圖像與恢復的秘密生物特征圖像相匹配。但是該方法存在以下缺陷首先�����,二對二門限可視密碼方法必須在同時擁有全部份額的情況下才能恢復秘密生物特征圖像��,所以存儲于服務器的任意份額一旦遭到破壞便無法再恢復出秘密生物特征圖像���;其次�����,由于生物特征匹配一般在客戶端進行��,因此份額圖像必須傳送到客戶端�����,而二對二門限可視密碼方法構造簡單�,只產生兩張份額,在傳輸過程中�,一旦兩張份額同時丟失,秘密生物特征圖像被竊取的幾率便大大提高�����。
發(fā)明內容
本發(fā)明的目的在于針對上述已有技術的不足���,提出一種基于一般存取結構上的可視密碼的生物特征遠程認證方法����,以保證在任意份額遭破壞的情況下���,秘密生物特征圖像仍可恢復���,同時保證即使部分份額被竊取���,也不會泄露秘密生物特征圖像的信息,提高生物特征遠程認證過程中數(shù)據存儲和傳輸?shù)陌踩?����。為實現(xiàn)上述目的����,本發(fā)明的技術方案包括如下步驟1)對生物特征遠程認證系統(tǒng)中的用戶U進行注冊,獲取注冊生物特征圖像SI �;2)利用一般存取結構上的可視密碼方法對所得注冊生物特征圖像SI進行加密2a)對注冊生物特征圖像SI進行二值化預處理,獲得注冊二值生物特征圖像BS �����;
2b)將二值生物特征圖像BS分存為η張份額圖像S1, S2, L�,Sn, η為正整數(shù)��;2c)從所得η張份額圖像SpS2AAn中��,選取屬于禁止集組合Γ f����。rt的任意k張份額W��,&存儲于客戶端存儲器中�,k<n����,ii; i2,L����,ik為小于η的k個不相同的正整數(shù);2d)將剩余n-k張份額WL, 分存于n-k個相互獨立的遠程服務器D1, D2, L���,Dn_k中�����,J2, ... , jn_k為小于η的η-k個不相同的正整數(shù)����;3)根據用戶U在客戶端所申明的身份��,恢復與申明身份相對應的注冊二值生物特征圖像BI 3a)將n-k個獨立遠程服務器D1, D2, L�,Dn_k中對應的n_k張份額圖像Χ’Λ,<^2, L, YaJ專送到客戶端;3b)從客戶端存儲器中抽取另外k張對應份額圖像S\��,yi2����,L,S\���;3c)從所有η張份額圖像中選取許可集Γ qual中的任意份額組合{S' 1;S' 2�����,...��,S' P}����,將該組合中的份額圖像S' 1;S' 2����,...,S' ρ相互疊加���, 進行邏輯或運算,恢復出人眼可辨的二值生物特征圖像ΒΙ’,ρ < η ��;3d)對恢復出的二值生物特征圖像Bi’進行去除噪聲處理�����,還原出準確的注冊二值生物特征圖像BI ��;4)在客戶端現(xiàn)場獲取用戶U的生物特征圖像Si’��,并將生物特征圖像Si’與還原的注冊二值生物特征圖像BI進行匹配認證��,若匹配成功�,則認證成功,判定用戶U的真實身份與所申明的身份相符�����;反之���,判定用戶U的真實身份與所申明的身份不符���。與現(xiàn)有技術相比較,本發(fā)明具有如下優(yōu)點1�、本發(fā)明由于一般存取結構上的可視密碼方法生成了多張份額圖像��,因此在數(shù)據存儲和遠程認證的數(shù)據傳輸過程中�����,即使部分份額被惡意篡改和破壞�,該發(fā)明也能夠保證注冊生物特征圖像的可恢復性�����,從而保證了生物特征遠程認證系統(tǒng)的穩(wěn)定性�;2、本發(fā)明由于選用一般存取結構上的可視密碼方法對生物特征圖像進行加密��,在所有可能的份額組合中只有特定的份額組合能夠恢復出注冊生物特征圖像�,因此在數(shù)據存儲和遠程認證的數(shù)據傳輸過程中,即使部分份額被竊取����,該發(fā)明也能夠保證從被竊取的份額圖像中恢復出注冊生物特征圖像的可能性最小,從而保證了生物特征遠程認證系統(tǒng)的安全性���;3���、本發(fā)明由于用可視密碼方法生成的份額圖像是雜亂無章的二值圖像���,從單張份額圖像中無法獲得任何關于注冊生物特征圖像的有用信息���,因此在遠程認證的數(shù)據傳輸過程中份額圖像可以明文傳輸�����,無需再加密�����。
圖1本發(fā)明基于可視密碼方法的生物特征遠程認證方法總流程圖�;圖2本發(fā)明中對生物特征遠程認證的注冊及加密子流程圖��;圖3本發(fā)明中對生物特征遠程認證的解密及認證子流程圖���。
具體實施例方式
在具體實施方式
中結合附圖��,將詳細描述一個完整的基于可視密碼的生物特征遠程認證方法的具體流程����。參照圖1����,本發(fā)明的基于可視密碼的生物特征遠程認證方法���,包括注冊、加密�����、解密及認證幾個步驟��,其中注冊與加密過程如圖2所示���,解密與認證過程如圖3所示�����,具體步驟如下步驟1 對生物特征遠程認證系統(tǒng)中的用戶U進行注冊��,通過傳感器獲取用戶U的注冊生物特征圖像Si�。步驟2 利用一般存取結構上的可視密碼方法對所得注冊生物特征圖像SI進行加密2a)對所得注冊生物特征圖像SI進行二值化預處理���,如果注冊生物特征圖像SI 為指紋圖像或虹膜圖像�,則進行閾值二值化預處理��,即設定一個像素閾值,對指紋和虹膜圖像進行二值化���;如果注冊生物特征圖像SI為人臉圖像����,則采用抖動技術進行二值化預處理���,詳細步驟參見文獻 “Visual cryptography for gray-level images by dithering techniques. Pattern Recognition Letters, vol. 24, issue 1-3,pp. 349-358���,2003����,�����,����,經二值化預處理后,注冊生物特征圖像SI轉變成注冊二值生物特征圖像BS �����;2b)將注冊二值生物特征圖像BS分存為η張份額圖像S1, S2, L,Sn���,列出所有的份額組合情況�,定義許可集集合為Γ\����,保證許可集集合Γ q中的份額組合能夠恢復出注冊二值生物特征圖像BS,其余所有不能恢復出注冊二值生物特征圖像BS的份額組合構成禁止集rf���,例如�����,取η = 3����,從而將二值生物特征圖像BS分存為3張份額圖像S1, S2, S3����,并定義許可集Γ ^為{{S1; S2}, (S1, S3}},本步驟的具體操作參見文獻“Visual Cryptography for General Access Structures. Information and Computation, vol.129, issue2, pp.86-106,1996” ;2c)從所得η張份額圖像S1, S2, L�,&中,選取屬于禁止集組合rf的任意k張份額&42,L��,民存儲于客戶端存儲器中�����,k<n�����,ii; i2, L, ik為小于η的k個不相同的正整數(shù)���,例如,取k= 1����,從而將屬于禁止集Γ f的份額S1存儲于客戶端存儲器中;2d)將剩余n-k張份額WL��,^Vi分存于n_k個相互獨立的遠程服務器D1,D2, L�����,Dn_k中,j2��,... , jn_k為小于η的n-k個不相同的正整數(shù)��,例如��,將除份額S1外的剩余的兩張份額&和&分別存儲于兩個相互獨立的遠程服務器D1和D2上���。步驟3 根據訪問生物特征遠程認證系統(tǒng)的用戶U在客戶端所申明的身份����,恢復與申明身份相對應的注冊二值生物特征圖像BI 3a)用戶U在生物特征遠程認證系統(tǒng)的客戶端申明自己的身份�;3b)根據用戶U的身份申明,從生物特征遠程認證系統(tǒng)的客戶端存儲器中抽取k張與用戶U的身份申明相對應份額s\7\2,L���,Vp例如�����,從生物特征遠程認證系統(tǒng)的客戶端存儲器中抽取與用戶U的身份申明相對應的份額S’ i����,并將用戶U的身份申明傳送給n-k個獨立的遠程服務器D1, D2, L����,Dn_k ��;3c)根據用戶U的身份申明���,n-k個獨立的遠程服務器DnDyLDrf將與用戶U的身份申明相對應的n-k張份額圖像&Λ,νΛ, ,VaJ專送到客戶端�����,例如�����,將兩個相互獨立的遠程服務器D1和D2中的份額圖像S��,2和S’ 3傳送到客戶端�����;3d)從所有η張份額圖像S\���,C2,L����,C jP &Λ���,&Λ, �����,義^中選取許可集Γ q中的任意份額組合{S' 1����; S' 2, S' ρ},將該組合中的P張份額圖像S' 1��; S' 2�,...,S' ρ相互疊加����,逐像素點進行邏輯或運算,恢復出人眼可辨識的二值生物特征圖像ΒΙ’�����,ρ <n���,例如����,由于許可集為((S1, SJ, (S1, S3}},從而將份額圖像S1* &或S1* &相互疊加��,逐像素點進行邏輯或運算�,恢復出人眼可辨識的秘密生物特征圖像Bi’ ;3e)對恢復出的二值生物特征圖像Bi’進行去除噪聲處理�����,還原出準確的注冊二值生物特征圖像Bi��,其具體步驟如下3el)將二值生物特征圖像Bi’分成大小為m的小塊�����,m為一般存取結構上的可視密碼方法的像素膨脹系數(shù)��,m取值為正整數(shù)��;3e2)計算二值生物特征圖像Bi’每個小塊中所有像素取值的和St ���;3e3)將二值生物特征圖像Bi’中每個小塊的大小變?yōu)?�����,并賦以每個小塊所對應的像素取值的和St�,從而將二值生物特征圖像BI轉換成圖像GI’ ��;3e4)對圖像GI’進行二值化��,還原出準確的注冊二值生物特征圖像BI�����。步驟4 在生物特征遠程認證系統(tǒng)的客戶端現(xiàn)場獲取用戶U的生物特征圖像Si’��, 將生物特征圖像Si�����,與還原的注冊二值生物特征圖像BI進行匹配認證�。本步驟的實現(xiàn)參見專著“D.Maltoni,AKJain, and S. Prabhakar. Handbook of fingerprint recognition. Springer, 2009.��,�,,具體描述如下4a)通過傳感器����,在生物特征遠程認證系統(tǒng)的客戶端現(xiàn)場獲取用戶U的生物特征圖像Si’ ��;4b)對現(xiàn)場獲取的生物特征圖像Si’進行二值化�,并從中提取生物特征模板數(shù)據 M’����,同時,從還原的注冊二值生物特征圖像BI中提取生物特征模板數(shù)據M �����;4c)將生物特征圖像Si�����,的生物特征模板數(shù)據M’和注冊二值生物特征圖像BI的生物特征模板數(shù)據M進行比對���,并計算兩者之間的匹配分數(shù)���,若匹配分數(shù)大于等于0. 9,則認證成功��,判定用戶U的真實身份與所申明的身份相符���;反之�����,判定用戶U的真實身份與所申明的身份不符�。通過以上四個步驟�����,實現(xiàn)了基于可視密碼的生物特征遠程認證方法的注冊�����、加密����、 解密及認證流程。本發(fā)明所述的基于可視密碼的生物特征遠程認證方法并不僅限于說明書和實施方式中的描述���。凡在本發(fā)明的精神和原則之內���,所做的任何修改、同等替換����、改進等���,均包含在本發(fā)明的權利要求范圍之內。名詞解釋U:已授權的注冊用戶SI 注冊用戶的生物特征圖像BS 對生物特征圖像SI進行二值化預處理后所得的二值生物特征圖像Γ 預先定義的許可集����,其中的任意份額組合都能夠恢復出秘密生物特征圖像, 參見文獻“Visual Cryptography for General Access Structures�,Information and Computation,vol. 129�����,issue 2�����,pp. 86-106���,1996�����,�����,rf :禁止集����,由份額圖像的所有可能組合與許可集的補集構成��,禁止集中的任意份額組合都無法恢復出秘密生物特征圖像���,參見文獻“Visual Cryptography for General Access Structures,Information and Computation,vol. 129,issue 2, pp. 86-106,1996�,����,η 份額總數(shù),η取值為正整數(shù)
S1, S2, L�,Sn 經可視密碼方法生成的η張份額圖像k 存儲于客戶端的份額數(shù)量,k<n,k取值為正整數(shù)I1, i2, L�����,ik 小于η的k個不相同的正整數(shù)& 存儲于客戶端的k張份額D1, D2, L�,Dn_k :n-k個獨立遠程服務器J1, j2, ..., jn_k 小于η的n-k個不相同的正整數(shù)Sh,Sh,U Sjn i :存儲于n-k個獨立遠程服務器的n-k張份額^',,^',,L, 根據用戶U所申明的身份,從客戶端中取出的與申明的身份相對應的k張份額S^h,S^h,U S、“ :根據用戶U所申明的身份����,從服務器中傳送到客戶端的與申明的身份相對應的n-k張份額ρ :ρ < η,ρ取值為正整數(shù)S' 1 S' 2�,...,S' P:許可集Γ qual中的一組能夠恢復出秘密生物特征圖像的份額組合Bi’ 將許可集中的份額組合S' 1 S' 2��,. . .�����,S' ρ相互疊加進行邏輯或運算�,所恢復出的人眼可辨的二值生物特征圖像m 一般存取結構上的可視密碼方法的像素膨脹系數(shù),m取值為正整數(shù)St 將二值生物特征圖像BI�,分成大小為m的小塊,每個小塊中所有像素取值的和GI'將二值生物特征圖像Bi’中每個小塊的大小變?yōu)?���,并賦以每個小塊所對應的像素取值的和St后所得的圖像BI 對圖像GI’進行二值化���,還原出的準確的注冊二值生物特征圖像Si’ 在生物特征遠程認證系統(tǒng)的客戶端現(xiàn)場獲取的用戶U的生物特征圖像M,從現(xiàn)場獲取的用戶U的生物特征圖像中提取的生物特征模板數(shù)據M 從恢復的注冊二值生物特征圖像BI中提取的生物特征模板數(shù)據��。
權利要求
1.一種基于可視密碼的生物特征遠程認證方法����,包括如下步驟1)對生物特征遠程認證系統(tǒng)中的用戶U進行注冊����,獲取注冊生物特征圖像SI����;2)利用一般存取結構上的可視密碼方法對所得注冊生物特征圖像SI進行加密 2a)對注冊生物特征圖像SI進行二值化預處理�,獲得注冊二值生物特征圖像BS ; 2b)將二值生物特征圖像BS分存為η張份額圖像S1, S2, L�,Sn, η為正整數(shù);2c)從所得η張份額圖像S1, S2����,L,&中��,選取屬于禁止集組合rf的任意k張份額H L��,&存儲于客戶端存儲器中���,k<n, ii; i2����,L,ik為小于η的k個不相同的正整數(shù)���; 2d)將剩余n-k張份額^/1,&��,LJu分存于n-k個相互獨立的遠程服務器 D1, D2, L���,Dn_k中,J2, ... , jn_k為小于η的n-k個不相同的正整數(shù)���;3)根據用戶U在客戶端所申明的身份��,恢復與申明身份相對應的注冊二值生物特征圖像BI 3a)將n-k個獨立遠程服務器DnDyI^Dlrt中對應的n_k張份額圖像·^,���,·^,, L,專送到客戶端�����;3b)從客戶端存儲器中抽取另外k張對應份額圖像5\7\2���,LJk ���; 3c)從所有η張份額圖像中選取許可集中的任意份額組合{S' 1 S' 2���,...,S' ρ}, 將該組合中的份額圖像S' 1 S' 2�,...,S' ρ相互疊加�,進行邏輯或運算,恢復出人眼可辨的二值生物特征圖像Bi’���,ρ < η ���;3d)對恢復出的二值生物特征圖像Bi’進行去除噪聲處理�����,還原出準確的注冊二值生物特征圖像BI ���;4)在客戶端現(xiàn)場獲取用戶U的生物特征圖像Si’�,并將生物特征圖像Si’與還原的注冊二值生物特征圖像B進行匹配認證�,若匹配成功,則認證成功�,判定用戶U的真實身份與所申明的身份相符;反之����,判定用戶U的真實身份與所申明的身份不符���。
2.根據權利要求1所述的基于可視密碼的生物特征遠程認證方法,其中步驟3d)所述的對恢復出的二值生物特征圖像Bi’進行去除噪聲處理���,按如下步驟進行3dl)將二值生物特征圖像Bi’分成大小為m的小塊�����,m為一般存取結構上的可視密碼方法的像素膨脹系數(shù)���,m取值為正整數(shù);3d2)計算二值生物特征圖像Bi’每個小塊中所有像素取值的和St �; 3d3)將二值生物特征圖像Bi’中每個小塊的大小變?yōu)?,并賦以每個小塊所對應的像素取值的和St�����,從而將二值生物特征圖像BI轉換成圖像GI’ ����;3d4)對圖像GI’進行二值化,還原出準確的注冊二值生物特征圖像Bi�����。
3.根據權利要求1所述的基于可視密碼的生物特征遠程認證方法,其中步驟4)所述在客戶端現(xiàn)場獲取用戶U的生物特征圖像Si’�����,并將生物特征圖像Si’與還原的注冊二值生物特征圖像BI進行匹配認證�,按如下步驟進行4a)通過傳感器,在生物特征遠程認證系統(tǒng)的客戶端現(xiàn)場獲取用戶U的生物特征圖像Si�����,�;4b)對現(xiàn)場獲取的生物特征圖像Si’進行二值化,并從中提取生物特征模板數(shù)據M’��,同時�,從還原的注冊二值生物特征圖像BI中提取生物特征模板數(shù)據M �����;4c)將生物特征圖像Si’的生物特征模板數(shù)據M’和注冊二值生物特征圖像BI的生物特征模板數(shù)據M進行比對�����,并計算兩者之間的匹配分數(shù),若匹配分數(shù)大于等于0. 9���,則認證成功����,判定用戶U的真實身份與所申明的身份相符����;反之,判定用戶U的真實身份與所申明的身份不符���。
全文摘要
本發(fā)明提供一種基于可視密碼的生物特征遠程認證方法���,用于解決傳統(tǒng)生物特征遠程認證系統(tǒng)中數(shù)據存儲和傳輸?shù)陌踩[患。其實現(xiàn)步驟是首先對用戶進行注冊����;然后通過一般存取結構上的可視密碼方法將注冊生物特征圖像分存為多張份額,定義份額圖像的許可集����,并確保僅許可集中的份額組合能夠恢復出注冊生物特征圖像;接著將許可集中的任意份額組合相疊加,進行邏輯或運算�����,從而解密出注冊生物特征圖像�;最后利用解密的注冊生物特征圖像對訪問用戶進行認證。本發(fā)明能夠保證在任意份額圖像遭破壞時����,秘密生物特征圖像仍可恢復,同時保證即使部分份額被竊取�����,也不會泄露秘密生物特征圖像的信息����,提高了生物特征遠程認證過程中數(shù)據存儲和傳輸?shù)陌踩浴?br>
文檔編號H04L9/32GK102413148SQ201210000518
公開日2012年4月11日 申請日期2012年1月3日 優(yōu)先權日2012年1月3日
發(fā)明者劉而云, 龐遼軍, 曹凱, 梁繼民, 田捷, 練春鋒, 趙恒 申請人:西安電子科技大學