[发明专利]基于fuzzy vault和数字证书的身份认证方法

说明书

技术领域

本发明属于信息安全技术与生物认证技术的交叉领域，涉及信息安全技术中基于数字证书的身份认证和生物识别技术中的指纹fuzzy vault，具体为一种基于fuzzy vault和数字证书的双强因子身份认证方法，适用于高端用户或有特殊需要的高安全度客户的身份认证。

背景技术

身份认证技术是网络安全和信息系统安全的第一道屏障，是在计算机网络中确认操作者身份的过程而产生的解决方法，是在信息安全时代备受关注的一个研究领域。

我们生活的现实世界是一个真实的物理世界，每个人都拥有独一无二的物理身份。而今我们也生活在数字世界中，计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的。计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份进行的。如何保证以数字身份进行操作的访问者就是这个数字身份的合法拥有者，也就是说保证操作者的物理身份与数字身份相对应，已成为一个重要的安全问题。身份认证技术的诞生就是为了解决这个问题。

现在计算机及网络系统中常用的身份认证方式主要有用户名/密码方式、数字证书、IC卡/智能卡认证、动态口令、生物特征方式等。

从认证需要验证的条件来看，身份认证技术还可以分为单因子认证和双因子认证。仅通过一个条件来验证一个人身份的技术称为单因子认证。相对双因子来说，单因子认证更容易被仿冒，因为它只使用一种条件判断用户的身份。双因子认证时通过组合两种不同条件来证明一个人的身份，安全性有了明显提高。

现在一般的系统应用数字证书来进行身份认证。人们采用基于PKI的数字证书实现了身份认证、安全传输、不可否认性，数据完整性等功能。实际上，数字证书是将证书持有者的公开密钥与持有者的身份进行关联的证明，能够让通信各方放心地确认持证人的合法身份。使用数字证书实现身份认证需要重点考虑如何保证证书对应私钥的安全，证书对应的私钥存储在计算机的硬盘中不安全，任何能访问证书的用户都可能访问得到该证书对应的私钥。如果采用加密存储，加密密钥的存放也是一个重要的问题，而且恶意用户可能删除进行加密的密钥数据。采用口令加密的安全强度不够，口令的长度决定了所能达到的安全强度。为了保证数字证书对应私钥的安全，最好的方法是将包含私钥的数字证书保存在智能卡中，这是目前普遍采用的一种认证方式。私钥由用户掌握，解决了证书PC存储的缺陷，一定程度上提高了身份认证的安全性，智能卡能够保存私钥，而且能够完成数字签名等工作。但是这个技术还有一些较大安全隐患，即此种方式在身份认证时需要用户输入PIN码，PIN码可能会被攻击者监听或拦截，从而没有彻底解决黑客拦截或监听PIN码，模拟用户操作的风险，同时还存在智能卡丢失或被盗时被人冒用的风险。

发明内容

本发明要解决的问题在于针对上述提到的数字证书对应私钥的安全存储问题，提出一种基于fuzzy vault和数字证书的“强双因子身份认证”方法，适用于高端用户或有特殊需要的高安全度客户的身份认证中。

本发明的技术方案是：将生成的用户数字证书储存于用户智能卡中，再用用户指纹fuzzyvault来保护智能卡的PIN，同时为了减轻智能卡的计算负担，采用了秘密共享的方法，将相关的保密运算分配在智能卡和服务器上。这种方案进一步完善了PKI的安全认证。

具体包括如下内容：

(1)在用户注册阶段，首先在注册用户智能卡中生成用户的RSA密钥对；然后注册用户智能卡向数字证书注册机构发送pk_U和相关注册信息。数字证书注册机构验证用户的注册信息，保证注册用户身份合法，再检查注册用户私钥是否为其拥有；如果审核通过，数字证书注册机构把用户的注册信息传递给数字证书认证中心进行必要的验证。如果成功通过验证，数字证书认证中心对注册用户生成数字证书，并用自己的私钥对数字证书进行签名，再发给注册用户，并存有一份数字证书记录。生成的数字证书及对应的私钥存储在用户智能卡中。数字证书可以用于加密或签名等；接下来注册用户输入指纹，指纹特征点从用户的注册指纹图像中提取出来，称为真实细节点。分别将真实细节点分发到智能卡和指纹服务器中，并用用户的指纹细节点将用户智能卡的PIN锁定。从而用户独有的数字证书成功生成，并存储于智能卡中，智能卡的PIN被用户指纹细节点绑定。