专利名称:基于fuzzy vault和数字证书的身份认证方法
技术领域:
本发明属于信息安全技术与生物认证技术的交叉领域,涉及信息安全技术中基于 数字证书的身份认证和生物识别技术中的指纹fuzzy vault,具体为一种基于fuzzy vault 和数字证书的双强因子身份认证方法,适用于高端用户或有特殊需要的高安全度客户的身 份认证。
背景技术:
身份认证技术是网络安全和信息系统安全的第一道屏障,是在计算机网络中确认 操作者身份的过程而产生的解决方法,是在信息安全时代备受关注的一个研究领域。我们生活的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身 份。而今我们也生活在数字世界中,计算机网络世界中一切信息包括用户的身份信息都是 用一组特定的数据来表示的。计算机只能识别用户的数字身份,所有对用户的授权也是针 对用户数字身份进行的。如何保证以数字身份进行操作的访问者就是这个数字身份的合法 拥有者,也就是说保证操作者的物理身份与数字身份相对应,已成为一个重要的安全问题。 身份认证技术的诞生就是为了解决这个问题。现在计算机及网络系统中常用的身份认证方式主要有用户名/密码方式、数字证 书、IC卡/智能卡认证、动态口令、生物特征方式等。从认证需要验证的条件来看,身份认证技术还可以分为单因子认证和双因子认 证。仅通过一个条件来验证一个人身份的技术称为单因子认证。相对双因子来说,单因子 认证更容易被仿冒,因为它只使用一种条件判断用户的身份。双因子认证时通过组合两种 不同条件来证明一个人的身份,安全性有了明显提高。现在一般的系统应用数字证书来进行身份认证。人们采用基于PKI的数字证书实 现了身份认证、安全传输、不可否认性,数据完整性等功能。实际上,数字证书是将证书持有 者的公开密钥与持有者的身份进行关联的证明,能够让通信各方放心地确认持证人的合法 身份。使用数字证书实现身份认证需要重点考虑如何保证证书对应私钥的安全,证书对应 的私钥存储在计算机的硬盘中不安全,任何能访问证书的用户都可能访问得到该证书对应 的私钥。如果采用加密存储,加密密钥的存放也是一个重要的问题,而且恶意用户可能删除 进行加密的密钥数据。采用口令加密的安全强度不够,口令的长度决定了所能达到的安全 强度。为了保证数字证书对应私钥的安全,最好的方法是将包含私钥的数字证书保存在智 能卡中,这是目前普遍采用的一种认证方式。私钥由用户掌握,解决了证书PC存储的缺陷, 一定程度上提高了身份认证的安全性,智能卡能够保存私钥,而且能够完成数字签名等工 作。但是这个技术还有一些较大安全隐患,即此种方式在身份认证时需要用户输入PIN码, PIN码可能会被攻击者监听或拦截,从而没有彻底解决黑客拦截或监听PIN码,模拟用户操 作的风险,同时还存在智能卡丢失或被盗时被人冒用的风险。
发明内容
本发明要解决的问题在于针对上述提到的数字证书对应私钥的安全存储问题,提 出一种基于fuzzy vault和数字证书的“强双因子身份认证”方法,适用于高端用户或有特 殊需要的高安全度客户的身份认证中。本发明的技术方案是将生成的用户数字证书储存于用户智能卡中,再用用户指纹 fuzzyvault来保护智能卡的PIN,同时为了减轻智能卡的计算负担,采用了秘密共享的方法, 将相关的保密运算分配在智能卡和服务器上。这种方案进一步完善了 PKI的安全认证。具体包括如下内容(1)在用户注册阶段,首先在注册用户智能卡中生成用户的RSA密钥对;然后注册 用户智能卡向数字证书注册机构发送Pku和相关注册信息。数字证书注册机构验证用户的 注册信息,保证注册用户身份合法,再检查注册用户私钥是否为其拥有;如果审核通过,数 字证书注册机构把用户的注册信息传递给数字证书认证中心进行必要的验证。如果成功通 过验证,数字证书认证中心对注册用户生成数字证书,并用自己的私钥对数字证书进行签 名,再发给注册用户,并存有一份数字证书记录。生成的数字证书及对应的私钥存储在用户 智能卡中。数字证书可以用于加密或签名等;接下来注册用户输入指纹,指纹特征点从用户 的注册指纹图像中提取出来,称为真实细节点。分别将真实细节点分发到智能卡和指纹服 务器中,并用用户的指纹细节点将用户智能卡的PIN锁定。从而用户独有的数字证书成功 生成,并存储于智能卡中,智能卡的PIN被用户指纹细节点绑定。(2)用户指纹验证阶段是从用户输入指纹中重构多项式,以释放指纹细节点绑定 的UK的PIN的步骤。因为用户的真实细节点分别分发到智能卡和指纹服务器中,因此当且 仅当服务器和智能卡中的信息都可得的时候,用合法用户的指纹,才可以成功重构多项式, 对其中的智能卡PIN码解锁,并释放数字证书及其对应私钥,用于后面信息交互的安全加 密和签名。(3)在用户指纹验证阶段,需要进行通信的用户分别输入指纹到自己的UK中进行 验证,验证成功后各自释放出绑定于其中的用户智能卡的PIN,从而释放出安全存储于各自 用户UK中的包含私钥Sku的数字证书。用户双方可使用数字证书对数据进行加密或签名, 以保证数据在传输过程中的安全性,完整性,以及不可抵赖性。本发明采用指纹fuzzy vault来对智能卡的PIN进行加密,从而安全保护智能卡 中数字证书的私钥。因此使用对应私钥处于高度安全环境下的数字证书进行身份认证,安 全性和可信性有了明显提高。本方案具有如下优点1、由于指纹的唯一性,以及它直接使用人的物理特征来表示每一个人的数字身 份,几乎不可能被仿冒,用指纹来加密智能卡的PIN码,私钥得到高度安全保护,真正认人 不认物,不存在遗失问题,因此也从根本上避免了前向保密性的问题。2、数字证书是PKI的核心元素,它是网上虚拟世界的实体身份证明,是具有权威 性、可信性和公正性的第三方CA认证机构所签发的。数字证书在一个身份和该身份的持有 者所拥有的公/私钥之间建立了一种联系。智能卡主要用于存储用户身份的标识及进行相 关安全信息的运算,可以将包含私钥的数字证书妥善保存于智能卡中。生物特征认证是通 过计算机利用人体固有的生理特性或行为特征鉴别个人身份。它直接利用人的物理特征来 表示每一个人的数字身份,几乎不可能被仿冒。因此在智能卡上结合数字证书认证和生物特征认证两者的优点,就可以实现高度安全的“强双因子身份认证”。3、Fuzzy vault方案是用于安全生物认证和密钥保护最全面的机制之一,通过将 生物特征和密钥在一个加密的框架中绑定,能保护密钥和生物模板的安全。通过使用指纹 的fuzzy vault来保护智能卡的PIN,确保智能卡中的数字证书及对应私钥仅被用户本人 使用,使数据加密和数字签名更加可靠。解决了智能卡的安全瓶颈,以指纹确定持有人身 份,用指纹来保护数字证书的私钥,提高数字证书管理的安全等级,可以有效的完成个人证 书的管理。用户通过认证指纹来开启智能卡中数字证书的使用,只有通过指纹认证才能进 行身份确认。使用户免除了记忆口令,丢失口令,甚至是丢失智能卡的烦恼,同时真正做到 认人不认物,提高了安全性。4、对准是指纹fuzzy vault方案中非常重要的一步,对准工作的计算量对于计算 能力有限的智能卡来说比较大,为了提高智能卡认证计算的速度,采用了秘密共享的方法, 将对准工作分发到智能卡上,可以使指纹匹配的速度得到较大的提高。5、采用秘密共享的方法,可以将更多的杂凑点添加进vault中,使其中隐藏的真 实点更加安全。同时将指纹信息分发到智能卡和指纹服务器中,仅获得智能卡中的信息或 是仅获得指纹服务器中的信息,都无法重构多项式释放出智能卡的PIN。当且仅当两者都可 得时,合法用户才可以在智能卡和服务器的协同工作下顺利通过指纹认证,对智能卡解锁 并释放其中保存的数字证书及其私钥,因此使得系统更加安全。
图1是本发明中用户身份认证系统流程2是本发明中用户注册阶段和指纹验证阶段的流程示意3是本发明中数字证书使用阶段的流程示意图符号说明PKI 公钥基础设施PIN 个人标识号UK:用户智能卡CA 数字证书认证中心RA 数字证书注册机构FS 指纹服务器Pku :UK中数字证书的公钥Sku :UK中数字证书的私钥skCA:CA 的私钥RI 用户注册信息Kab 对称会话密钥r:随机数M1,M2:细节点集合AI 指纹对准信息C0Q(X)多项式Q(x)的系数
具体实施例方式本发明的主要方案为将数字证书和指纹认证两者在智能卡中结合,使用户的数字 身份和物理身份相对应,同时将包含对应私钥的用户数字证书存储于智能卡中,使用用户 指纹fuzzy vault对该智能卡的PIN进行加密,由此达到高度安全的身份认证目的。同时 为了减轻智能卡的计算负担,采用了秘密共享的方法。将对准工作分发到指纹服务器中,使 得当且仅当智能卡和服务器中的信息都可得的时候,才可以成功恢复出智能卡的PIN,从而 释放其中包含私钥的数字证书。本方案解决了智能卡的安全瓶颈,以指纹确定持有人身份,提升密钥管理的安全 等级,应用于身份认证,彻底解决了现行技术和方法中存在的安全风险,可以有效地完成个 人证书的管理。用户通过认证指纹来开启智能卡,只有通过指纹认证才能进行身份确认。使 用户免除了记忆口令和丢失口令的烦恼,同时真正做到认人不认物,提高了安全性。本发明的用户身份认证系统流程图如图1所示,首先,在用户UK中生成RSA密钥 对,用户UK发送公钥和相关注册信息到RA审核信息的正确性,审核通过后,RA将用户信息 传递给CA进行验证。通过验证后,CA为用户生成证书并发送给用户并存于用户M中。注 册用户在M中输入指纹,指纹中的真实细节点被提取出来,分别将真实细节点分发到M和 指纹服务器中,用用户的指纹细节点将UK的PIN锁定。下面将结合说明书中的附图,对该发明的技术方案按照用户注册阶段、用户指纹 验证阶段和数字证书使用阶段进行详细、完整的描述一、用户注册阶段本发明的用户注册阶段流程示意图如图2所示,主要步骤介绍如下步骤1. 1 在注册用户的UK中生成RSA密钥对公钥Pku和私钥Sku ;步骤1. 2 注册用户的UK中生成的Pku和注册用户的相关注册信息RI被发送给 RA, RA首先验证注册用户的RI,保证注册用户身份合法,再检查注册用户私钥Sku是否为其 拥有,过程为RA生成随机数r,用注册用户发送过来的公钥Pku对r进行加密,并发送回注 册用户。如果注册用户能用其私钥Sku对随机数r进行解密,则该注册用户拥有此私钥Sku ;图2中步骤1. 2的协议流程为UK — RA =Pku Il RIRA- UK =R = Epku[r]UK —RA :r = Dsku[R]步骤1. 3 如果审核通过,RA把注册用户的RI传递给Ck, CA进行必要的验证。如 果成功通过验证,CA对注册用户生成数字证书,并用自己的私钥sk。A对数字证书进行签名, 再发给注册用户,并存有一份证书记录。生成的证书可以用于加密或签名等;
0051]图2中步骤1. 3的协议流程为RA — CA RICA — RA RI 11 pkU 11 SskcA[RI 11 pkj至此,数字证书成功生成,并存储于UK中。步骤1. 4 注册用户在UK中输入指纹,从注册指纹图像中提取指纹细节点,将这些 指纹细节点定义为真实细节点,其中的一部分真实细节点被分发到FS中,然后M和FS中 的指纹细节点共同将UK的PIN锁定;
其中涉及到的具体步骤分为(1)首先将UK的PIN附加一个错误校验码CRC16作为系数,构建一个η阶的多项 式P(X),从用户注册指纹中选择η个细节点的集合Μ1,在UK中注册,其余的j个细节点组成 的集合M2注册到FS中。M中存储的细节点集合Ml中的η个真实细节点,在域F = GF (216) 中作为元素被编码,分别对η个真实细节点的编码值计算多项式P(X)的映射值,随机生成 Sik个与多项式P(X)无关的杂凑点,用于保护UK中的真实细节点,将η个真实细节点与生 成的杂凑点进行置乱生成UK中的vault,即vaultUK,并存储于用户UK中。UK :vaultUK(2)在多项式P(x)上任意选择i,(i^n)个与前面η个细节点不同的点,将这i个 点的x-y坐标附加上一个错误校验码CRC16作为系数,构造FS上的(2i_l)阶多项式Q(x)。 分发到FS的细节点集合M2的j个真实细节点,在域F = GF(216)中作为元素被编码,分别 对这j个真实细节点的编码值计算多项式QOO的映射值。随机生成sFS个与多项式QOO 无关的杂凑点,以保护FS中的真实细节点。将j个真实细节点与生成的杂凑点进行置乱生 成FS中的vault,即vaultFS,并存储在FS中。FS :vaultFS因此,UK的PIN被vaultUK和vaultFS共同保护。二、用户指纹验证阶段用户指纹验证阶段是从用户输入指纹中重构多项式P (χ),以释放UK的PIN。因为 多项式P (X)为η阶,注册在UK中的真实细节点只有η个,使用拉格朗日插值法重构多项式 P(x),至少需具备(n+1)个真实细节点。因此只具备UK中存储的真实细节点,还不能重构 出多项式P(X),需要同时使用UK中注册的真实细节点以及FS重构出的多项式Q(X)的系 数,才能使用拉格朗日插值法重构出多项式P(X)。本方案的用户指纹验证阶段流程示意图如图2所示,主要步骤介绍如下步骤2. 1 验证用户在M中输入指纹,从验证指纹图像中提取指纹细节点,将其传 输到FS中,首先在FS中对提取出的细节点和存储在FS中的vaultFS的真实细节点之间进 行指纹对准,生成对准信息Al,这个对准信息AI被传输到M,用于M中对提取出的细节点 和vaultUK中存储的真实细节点之间的对准,以减轻智能卡的计算量;图2中步骤2. 1的协议流程为FS — UK =AI步骤2. 2 使用步骤2. 1的对准结果和错误校验码CRC16,对发送到FS的用户验证 指纹细节点和存储在FS中的vaultFS的真实细节点进行细节点匹配,以获取vaultFS中的 真实细节点,从而使用拉格朗日插值法重构FS中的多项式Q(x)。如果成功重构出多项式 Q(χ),则将重构出的多项式系数COq(χ)发送给UK,否则,匹配失败,需要重新输入用户指纹 进行验证;图2中步骤2. 2的协议流程为FS —UK: COq (χ)步骤2. 3 使用FS发送的对准信息Al,在验证用户UK中对输入的指纹细节点和 存储在vaults中的真实细节点进行指纹对准。这个简单的对准操作将会实时进行,即使 是在资源受控的UK上。使用此对准结果,在验证用户M中对输入的指纹细节点和存储在vaults中的真实细节点进行指纹匹配,以获取vaultUK中的真实细节点;步骤2. 4 使用步骤2. 3的匹配结果,用FS发送过来的多项式Q (χ)的系数COq(χ), 以及错误修正码CRC16来重构多项式P(X)。如果能正确重构出多项式Q(x)和Ρ(χ),即可 由多项式P(X)释放出绑定在其中的UK的ΡΙΝ,因此智能卡被解锁。否则,匹配失败,需要验 证用户重新输入指纹进行验证。三、数字证书使用阶段成功重构多项式P(X),释放出绑定于其中的UK的PIN之后,用户就可以使用安全 存储在UK中包含私钥的数字证书进行一系列的操作。本发明数字证书使用阶段流程示意图如图3所示,主要步骤介绍如下步骤3. 1 在用户指纹验证阶段,需要进行通信的用户双方A和B分别输入指纹到 自己的M中进行验证,验证成功后各自释放出其中绑定的智能卡ΡΙΝ,从而释放出安全存 储于各自用户UK中的包含私钥Sku的数字证书;步骤3. 2 用户A可以用用户B数字证书的公钥对数据m进行加密并发送给用户 B,以保证数据m在传输过程中的安全性,反之用户B也可以对用户A执行相同操作。其中 涉及到的具体步骤分为(1)用户A首先生成一个对称会话密钥Kab,用对称会话密钥Kab对数据m进行加 密,然后使用用户B的公钥pkB对对称会话密钥Kab加密,然后将加密后的数据和对称会话 密钥一起发送给用户B ;其协议流程为A-B =EKAB(m) Il EP1IB(KAB)(2)用户B收到加密的消息后,先用自己的私钥skB对对称会话密钥Kab进行解密, 得到对称会话密钥Kab,再用对称会话密钥Kab对加密后的数据进行解密,恢复出原始数据m。其协议流程为B =Kab = Dskfi (EpkB (Kab))m = DKab (EKab (m))步骤3. 3 用户A可以用自己UK释放的包含私钥的数字证书对数据m进行签名并 发送给用户B,以保证数据m在传输过程中的完整性以及不可抵赖性,反之用户B也可以对 用户A执行相同操作。其中涉及到的具体步骤分为(1)用户A首先对要发送的数据m求杂凑值,然后用自己的私钥skA对杂凑值进行 签名,并发送给用户B;其协议流程为A :H = h(m)A —B: S-(H)(2)用户B收到签名数据之后,对m用同样的杂凑算法得到杂凑值H',然后用A 的公钥pkA验证A的签名。如果求得的杂凑值H'与签名验证得到的H相等,则签名有效, 证明信息是由A签名的,否则,则证明信息不是由A签名的。其协议流程为B :H' = h(m)H = VpkA(SskA(H))
以上所描述的实施例仅是本发明的一部分实施例,而不是全部的实施例。基于以 上所述的实施例,本领域普通技术人员在没有做出创造性劳动的前提下,所获得的所有其 它实施例,都属于本发明保护的范围。
权利要求
一种基于fuzzy vault和数字证书的身份认证方法,其特征在于将数字证书和指纹认证在智能卡中结合,使用户的数字身份和物理身份相对应,同时将包含对应私钥的用户数字证书存储于智能卡中,使用用户指纹fuzzy vault对该智能卡的PIN进行加密,由此达到高度安全的身份认证,同时,采用秘密共享方法减轻智能卡的计算量,将对准工作分发到指纹服务器,使得当且仅当智能卡和服务器中的信息都可得的时候,才能成功恢复出智能卡的PIN,从而释放其中包含私钥的数字证书;整个认证过程包括用户注册阶段,用户指纹验证阶段和数字证书使用阶段用户注册阶段,包含以下步骤步骤1.1在注册用户的UK中生成RSA密钥对公钥pkU和私钥skU;步骤1.2注册用户的UK中生成的pkU和注册用户的相关注册信息RI被发送给RA,RA首先验证注册用户的RI,保证注册用户身份合法,再检查注册用户私钥skU是否为其拥有;步骤1.3如果审核通过,RA把注册用户的RI传递给CA进行验证,如果通过验证,CA对注册用户生成数字证书,并用自己的私钥skCA对数字证书进行签名,再发给注册用户,并存有数字证书记录;步骤1.4注册用户在UK中输入指纹,从注册指纹图像中提取指纹细节点,这些指纹细节点定义为真实细节点,其中的一部分真实细节点被分发到FS中,然后UK和FS中的指纹细节点共同将UK的PIN锁定;用户指纹验证阶段,包含以下步骤步骤2.1验证用户在UK中输入指纹,从验证指纹图像中提取指纹细节点,将其传输到FS中,首先在FS中对提取出的细节点和存储在FS中的vaultFS的真实细节点之间进行指纹对准,生成对准信息AI,这个对准信息AI被传输到UK,用于UK中对提取出的细节点和vaultUK中存储的真实细节点之间的对准,以减轻智能卡的计算量;步骤2.2使用步骤2.1的对准结果和错误校验码CRC16,对发送到FS的用户验证指纹细节点和存储在FS中的vaultFS的真实细节点进行细节点匹配,以获取vaultFS中的真实细节点,从而使用拉格朗日插值法重构FS中的多项式Q(x),如果重构成功,则将重构出的多项式Q(x)的系数COQ(x)发送给UK;否则,匹配失败,需要重新输入用户指纹进行验证;步骤2.3使用FS发送的对准信息AI,在验证用户UK中对输入的指纹细节点和存储在vaultUK中的真实细节点进行指纹对准,对准操作实时进行,使用此对准结果,在验证用户UK中对输入的指纹细节点和存储在vaultUK中的真实细节点进行指纹匹配,获取vaultUK中的真实细节点;步骤2.4使用步骤2.3的匹配结果,用FS发送过来的多项式Q(x)的系数COQ(x)以及错误修正码CRC16来重构多项式P(x),如果能正确重构出多项式Q(x)和P(x),即可由多项式P(x)释放出绑定在其中的UK的PIN,智能卡被解锁;否则,匹配失败,需要验证用户重新输入指纹进行验证;数字证书使用阶段,包含以下步骤步骤3.1在用户指纹验证阶段,需要进行通信的用户双方A和B分别输入指纹到自己的UK中进行验证,验证成功后各自释放出其中绑定的智能卡PIN,从而释放出安全存储于各自用户UK中的包含私钥skU的数字证书;步骤3.2用户A可以用用户B数字证书的公钥对数据m进行加密并发送给用户B,以保证数据m在传输过程中的安全性,反之用户B也可以对用户A执行相同操作;步骤3.3用户A可以用自己UK释放的包含私钥的数字证书对数据m进行签名并发送给用户B,以保证数据m在传输过程中的完整性以及不可抵赖性,反之用户B也可以对用户A执行相同操作。
2.根据权利要求1所述的基于fuzzyvault和数字证书的身份认证方法,其特征在于 用户注册阶段的步骤1. 2所述的检查注册用户拥有私钥Sku的过程为RA生成随机数r,用 注册用户发送过来的公钥Pku对r进行加密,并发送回注册用户,如果注册用户能用其私钥 Sku对随机数r进行解密,则该注册用户拥有此私钥成。
3.根据权利要求1所述的基于fuzzyvault和数字证书的身份认证方法,其特征在于 用户注册阶段的步骤1.3所述的CA对注册用户生成的数字证书可以用于加密或签名操作, 并存储于UK中。
4.根据权利要求1所述的基于fuzzyvault和数字证书的身份认证方法,其特征在于 用户注册阶段的步骤1. 4所述将用户的指纹细节点对UK的PIN锁定步骤如下1)首先将UK的PIN附加一个错误校验码CRC16作为系数,构建一个η阶的多项式 P (x),从用户注册指纹中选择η个细节点的集合Ml,在UK中注册,其余的j个细节点组成的 集合M2注册到FS中,M中存储的细节点集合Ml中的η个真实细节点,在域F = GF (216)中 作为元素被编码,分别对η个真实细节点的编码值计算多项式P(X)的映射值,随机生成sUK 个与多项式P U)无关的杂凑点,用于保护UK中的真实细节点,将η个真实细节点与生成的 杂凑点进行置乱生成UK中的vaultUK,并存储于用户UK中;2)在多项式P(X)上任意选择i个坐标点,iSn,将i个点的χ-y坐标附加上一个错误 校验码CRC16作为系数,构造FS上的2i-l阶多项式Q (χ),分发到FS的细节点集合Μ2的j 个真实细节点,在域F = GF(216)中作为元素被编码,分别对这j个真实细节点的编码值计 算多项式QOO的映射值,随机生成sFS个与多项式QOO无关的杂凑点,以保护FS中的真实 细节点,将j个真实细节点与生成的杂凑点进行置乱生成FS中的vaultFS,并存储在FS中, 使UK的PIN被vault·和vaultFS共同保护。
5.根据权利要求1所述的基于fuzzyvault和数字证书的身份认证方法,其特征在于用户指纹验证阶段从验证用户输入的指纹中重构多项式P (χ),以释放UK的ΡΙΝ,需要 使用UK中注册的真实细节点和FS重构出的多项式Q (χ)的系数COq(X),采用拉格朗日插值 法重构出多项式P(X)。
6.根据权利要求1所述基于fuzzyvault和数字证书的身份认证方法,其特征在于 数字证书使用阶段的步骤3. 2所述的用数字证书对数据m加密过程为1)用户A生成一个对称会话密钥Kab,用对称会话密钥Kab对数据m进行加密,然后使用 用户B的公钥pkB对对称会话密钥Kab加密,将加密后的数据和对称会话密钥一起发送给用 户B;2)用户B收到加密的消息后,先用自己的私钥skB对对称会话密钥Kab进行解密,得到 对称会话密钥Kab,再用对称会话密钥Kab对加密后的数据进行解密,恢复出原始数据m。
7.根据权利要求1所述基于fuzzyvault和数字证书的身份认证方法,其特征在于 数字证书使用阶段的步骤3. 3所述的用数字证书对数据m签名过程为1)用户A对要发送的数据m求杂凑值H,然后用自己的私钥skA对杂凑值进行签名,并 发送给用户B ;2)用户B收到签名数据之后,求m的杂凑值H',然后用A的公钥pkA验证A的签名, 如果求得的杂凑值H'与签名验证得到的H相等,则签名有效;否则,签名无效。
全文摘要
本发明涉及基于fuzzy vault和数字证书的身份认证方法,将数字证书和指纹认证在智能卡中结合,使用户的数字身份和物理身份对应,实现高度安全的身份认证。首先在用户UK中生成RSA密钥对,用户UK发送公钥和相关注册信息到RA进行审核。当审核通过,RA将用户信息传递给CA进行验证。验证成功后,CA为用户生成数字证书并发送给用户存于UK中;注册用户在UK中输入指纹,并提取指纹中的真实细节点,将真实细节点分发到UK和指纹服务器中,用用户的指纹细节点将UK的PIN锁定。存储于UK中的数字证书及对应的私钥得到安全保护。为减轻智能卡的计算量,引进秘密共享的方法,使得当且仅当智能卡和服务器中的信息都可得时,才能恢复智能卡的PIN,从而释放包含私钥的数字证书。
文档编号H04L29/06GK101945114SQ201010289870
公开日2011年1月12日 申请日期2010年9月20日 优先权日2010年9月20日
发明者刘泉, 刘阳, 庞辽军, 李红宁, 李芬, 江雪梅, 裴庆祺, 谢敏, 齐跃 申请人:西安电子科技大学;武汉理工大学