[发明专利]基于fuzzy vault和数字证书的身份认证方法

摘要

本发明涉及基于fuzzy vault和数字证书的身份认证方法，将数字证书和指纹认证在智能卡中结合，使用户的数字身份和物理身份对应，实现高度安全的身份认证。首先在用户UK中生成RSA密钥对，用户UK发送公钥和相关注册信息到RA进行审核。当审核通过，RA将用户信息传递给CA进行验证。验证成功后，CA为用户生成数字证书并发送给用户存于UK中；注册用户在UK中输入指纹，并提取指纹中的真实细节点，将真实细节点分发到UK和指纹服务器中，用用户的指纹细节点将UK的PIN锁定。存储于UK中的数字证书及对应的私钥得到安全保护。为减轻智能卡的计算量，引进秘密共享的方法，使得当且仅当智能卡和服务器中的信息都可得时，才能恢复智能卡的PIN，从而释放包含私钥的数字证书。

主权项

一种基于fuzzy vault和数字证书的身份认证方法，其特征在于：将数字证书和指纹认证在智能卡中结合，使用户的数字身份和物理身份相对应，同时将包含对应私钥的用户数字证书存储于智能卡中，使用用户指纹fuzzy vault对该智能卡的PIN进行加密，由此达到高度安全的身份认证，同时，采用秘密共享方法减轻智能卡的计算量，将对准工作分发到指纹服务器，使得当且仅当智能卡和服务器中的信息都可得的时候，才能成功恢复出智能卡的PIN，从而释放其中包含私钥的数字证书；整个认证过程包括用户注册阶段，用户指纹验证阶段和数字证书使用阶段：用户注册阶段，包含以下步骤：步骤1.1在注册用户的UK中生成RSA密钥对：公钥pkU和私钥skU；步骤1.2注册用户的UK中生成的pkU和注册用户的相关注册信息RI被发送给RA，RA首先验证注册用户的RI，保证注册用户身份合法，再检查注册用户私钥skU是否为其拥有；步骤1.3如果审核通过，RA把注册用户的RI传递给CA进行验证，如果通过验证，CA对注册用户生成数字证书，并用自己的私钥skCA对数字证书进行签名，再发给注册用户，并存有数字证书记录；步骤1.4注册用户在UK中输入指纹，从注册指纹图像中提取指纹细节点，这些指纹细节点定义为真实细节点，其中的一部分真实细节点被分发到FS中，然后UK和FS中的指纹细节点共同将UK的PIN锁定；用户指纹验证阶段，包含以下步骤：步骤2.1验证用户在UK中输入指纹，从验证指纹图像中提取指纹细节点，将其传输到FS中，首先在FS中对提取出的细节点和存储在FS中的vaultFS的真实细节点之间进行指纹对准，生成对准信息AI，这个对准信息AI被传输到UK，用于UK中对提取出的细节点和vaultUK中存储的真实细节点之间的对准，以减轻智能卡的计算量；步骤2.2使用步骤2.1的对准结果和错误校验码CRC16，对发送到FS的用户验证指纹细节点和存储在FS中的vaultFS的真实细节点进行细节点匹配，以获取vaultFS中的真实细节点，从而使用拉格朗日插值法重构FS中的多项式Q(x)，如果重构成功，则将重构出的多项式Q(x)的系数COQ(x)发送给UK；否则，匹配失败，需要重新输入用户指纹进行验证；步骤2.3使用FS发送的对准信息AI，在验证用户UK中对输入的指纹细节点和存储在vaultUK中的真实细节点进行指纹对准，对准操作实时进行，使用此对准结果，在验证用户UK中对输入的指纹细节点和存储在vaultUK中的真实细节点进行指纹匹配，获取vaultUK中的真实细节点；步骤2.4使用步骤2.3的匹配结果，用FS发送过来的多项式Q(x)的系数COQ(x)以及错误修正码CRC16来重构多项式P(x)，如果能正确重构出多项式Q(x)和P(x)，即可由多项式P(x)释放出绑定在其中的UK的PIN，智能卡被解锁；否则，匹配失败，需要验证用户重新输入指纹进行验证；数字证书使用阶段，包含以下步骤：步骤3.1在用户指纹验证阶段，需要进行通信的用户双方A和B分别输入指纹到自己的UK中进行验证，验证成功后各自释放出其中绑定的智能卡PIN，从而释放出安全存储于各自用户UK中的包含私钥skU的数字证书；步骤3.2用户A可以用用户B数字证书的公钥对数据m进行加密并发送给用户B，以保证数据m在传输过程中的安全性，反之用户B也可以对用户A执行相同操作；步骤3.3用户A可以用自己UK释放的包含私钥的数字证书对数据m进行签名并发送给用户B，以保证数据m在传输过程中的完整性以及不可抵赖性，反之用户B也可以对用户A执行相同操作。