[发明专利]一种增强指纹Fuzzy Vault系统安全性的方法

说明书

技术领域

本发明属于信息安全和生物特征识别技术领域，涉及到一种基于指纹细节点的密钥管理方法，具体是一种增强指纹Fuzzy Vault系统安全性的方法，可应用于网络与信息安全、生物认证、生物特征加密等领域。

背景技术

随着社会网络化和信息化的发展，如何更加快速而且便捷的进行用户真实身份认证成为人们面临的一个普遍问题。目前使用最广的身份认证方式都是基于密码技术的口令认证，可分为单因子和多因子认证两种：单因子认证就是大家熟知的″用户名+口令″方式；多因子认证是在单因子方式基础上又增加了一个由智能卡或USB钥匙构成的令牌，即″口令+令牌″方式。但这两种认证方式与用户真实的物理身份毫不相关，因此都存在着被他人盗用或者冒用的安全隐患。

可见，仅仅识别用户知道和拥有什么不足以从根本上实现对用户身份的认证和鉴别，而识别用户的物理身份是越来越多的安全系统的最根本需求。在这种需求下，生物特征识别技术获得了长足的发展。生物特征包括人的生理特征和行为特征两大类，其中生理特征诸如指纹、脸形、虹膜、掌纹、语音等；行为特征主要有步态、签名、击键等，都吸引了大批的研究者在进行广泛而深入的研究。

指纹作为最为古老和实用的生物特征，从19世纪起就作为可靠的刑侦技术受到了广泛关注。进入信息化社会以后，生物特征识别技术逐渐成为民用技术中发展最快并且最具潜力的信息技术，指纹作为全世界使用最为广泛而且国际市场占有份额最大的生物特征，理论研究逐渐趋于成熟，应用实例越来越多。生物特征加密技术(Biometric Encryption)是目前国内外对生物特征识别领域的一个研究热点。

生物特征加密技术是一个把密钥和生物特征安全地绑定到一起的过程，通过使用生物特征信息来管理传统密码学中的密钥，使得密钥和生物特征本身都不能从系统存储的模板中获取到，当且仅当活体生物特征提交给系统时才会重新生成密钥。

模糊保险箱(Fuzzy Vault)算法是生物特征加密领域最为经典的实用化算法，很多研究者的工作都是基于这个算法的。概括地说，这个算法可以分为两个步骤：1)用户Alice将秘密K放到保险箱(Vault)中，并且用无序集A加以锁定；2)用户Bob使用无序集B尝试访问K(即打开保险箱Vault)。Bob能够访问到K的充分必要条件是无序集B和A的绝大多数元素重合。

但是该算法存在一些问题，包括安全和性能方面：

1、对于所绑定的密钥K的完整性校验采用了循环冗余校验CRC16，而给定一个CRC16校验值，很容易构建多个符合该校验值的明文信息，从而可能引起系统错误接受率FAR的增加；

2、对上述的CRC16校验值，在现有的Fuzzy Vault系统中均把它作为和密钥K相同的秘密进行安全性保护，这导致了系统承担额外的秘密信息的安全存储负载，同时，也导致系统的计算复杂度增加；

3、现有的Fuzzy Vault系统均属于一次性应用且不可撤销，也就是说，对于同样一个指纹，只可进行一次Fuzzy Vault应用，如果进行两次或两次以上Fuzzy Vault应用，将很容易暴露该指纹的细节点信息；

4、现有的Fuzzy Vault系统直接使用指纹细节点信息，当真实用户成功认证过程中，其细节点模板会有短暂的暴露，攻击者可能会利用这段空隙进行攻击。

目前，针对上述安全问题，也有人提出一些修改方法：1)通过使用加密算法对现有的FuzzyVault系统产生的Vault数据加密，但该方法在认证需要解密Vault数据，同样给了攻击者攻击的空隙，而且，由于Vault数据本身在设计时要求以明文形式给出，增加加解密运算会影响系统性能；2)对指纹图像进行分割，对每一个子区域进行不同的变化，增加混乱度，以便增加攻击复杂性，但是，该方法会使得靠近分块边缘的点分到不同的块，从而是的错误拒绝率FRR增大。

另外，现有的这些改进方法，都没有考虑使用CRC16作为校验带来的FAR增加问题。因此，现有的指纹Fuzzy Vault系统还很不实用，在性能和安全性上都需要进行改进，必须设计新的、可撤销的、安全的Fuzzy Vault方案。

发明内容

本发明针对目前生物识别技术领域的指纹Fuzzy Vault系统中存在的尚未有效解决的安全问题，提出了一种增强指纹Fuzzy Vault系统安全性方法。用来实现：

[I]增加对指纹模板信息的保护，使得改进的Fuzzy Vault的加密和解密过程仅对变换后的指纹信息进行操作；