一种面向安全通信的生物认证密钥协商方法及系统技术方案

本发明专利技术公开了一种面向安全通信的生物认证密钥协商方法及系统，首先对虹膜或指纹两种生物特征进行处理，分别转化为生物特征向量或生物特征向量集合两种形式的生物特征私钥；然后用生物特征私钥对应的公钥来封装秘密信息，并且只有与该目标生物特征私钥类似的私钥才能解封装该信息；最后为通信双方协商一个会话密钥，并在该过程中实现隐式生物认证功能。本发明专利技术所提供的认证密钥协商方法不需要客户端存储私钥，在密钥协商的过程中保护参与方的生物特征，同时能够容忍生物特征中的噪声。同时能够容忍生物特征中的噪声。同时能够容忍生物特征中的噪声。

【技术实现步骤摘要】
一种面向安全通信的生物认证密钥协商方法及系统


[0001]本专利技术属于信息安全
，涉及一种应用密码学中认证密钥协商方法及系统，具体涉及一种面向安全通信的生物认证密钥协商方法。

技术介绍

[0002]随着互联网的发展，尤其是移动互联网的普及，社交网络平台成为最具影响力的互联网应用类型之一。在现有的主流通信模式下，客户端跟服务器之间的通信是加密的，而服务器本身是可以拿到明文信息的。通常情况下，公司为了利用大数据获取商业利润，或者配合相关部门的监控需求，都会保证能在服务器获得明文信息。而这成为整个网络的最大安全漏洞，因为一旦拿下服务器，就可以一次性获得数以亿计人的通讯记录。由于当今数字驱动社会中的大多数通信都利用通信网络，因此端到端加密对于保护传输信息的机密性至关重要，即通信方通过认证密钥协商进行认证并协商一个会话密钥，然后用该密钥保证消息的安全。
[0003]虽然目前一些社交应用已经部署了端到端加密，例如，Signal、WhatsApp、Facebook Messenger和Wire，但他们都依赖于传统的公钥技术。简单来说，每个参与方生成一对公钥和私钥并将公钥发送给对方。随后，两个参与方可以根据他们的密钥执行一个认证密钥协商协议。然而，现有的这些认证密钥协商协议在实践中并不适用于安全通信。首先，这些协议实际上验证的是私钥的所有权，而非参与方本身，因为私钥通常存储在终端设备中，敌手可以发起午餐时间攻击(lunchtimeattack)来冒充参与方。其次，如果敌手攻击终端设备，则私钥可能被盗取。更重要的是，不能够及时确定该私钥是否被克隆。第三，当参与者丢失或需要更换终端设备时很难及时更新公私钥对，因为每个新的公钥在启用之前都需要带外方式进行认证。
[0004]采用生物认证进行密钥协商的方法能够有效地解决上述问题，参与方根据自己的生物特征生成一个生物特征私钥和相应的公钥，所协商的会话密钥是通过认证用户生成，而非通过认证随机公钥。并且，结合活体检测技术可以有效抵抗生物特征克隆和重放攻击。也就是说，通过窃取生物特征难以对协议的安全性造成威胁。此外，在更换终端设备时不需要更新私钥和相应的公钥。因此，本专利技术提出一种面向安全通信的生物认证密钥协商方法，不需要客户端存储私钥，在密钥协商的过程中保护参与方的生物特征，同时能够容忍生物特征中的噪声。

技术实现思路

[0005]鉴于以上提及的传统密钥协商方法的弊端，以及法律法规中对生物特征的安全性要求，本专利技术提供了一种面向安全通信的生物认证密钥协商方法及系统，分别利用虹膜或指纹两种不同的生物特征实现认证密钥协商，在密钥协商的过程中保护参与方的生物特征，同时能够容忍生物特征中的噪声，以免对认证密钥协商的结果产生影响。
[0006]本专利技术的方法所采用的技术方案是：一种面向安全通信的生物认证密钥协商方
法，包括以下步骤：
[0007]步骤1：对生物特征进行处理，将虹膜或指纹生物特征转化为生物特征向量或生物特征向量集合的形式，作为用户的生物特征私钥；
[0008]步骤2：采用用户生物特征私钥对应的公钥来封装一个随机字符串，作为密钥协商的随机字符串；
[0009]步骤3：在同步通信或异步通信中，进行密钥协商；
[0010]步骤3.1：初始化；通信双方协商一组系统公共参数，并公开发送给通信双方；
[0011]步骤3.2：密钥生成；通信双方分别生成生物特征私钥和生物特征公钥，并将生物特征公钥发送给另一个参与方；
[0012]步骤3.3：认证密钥协商；发送方向接收方发起会话请求，相互验证对方身份并协商会话密钥，该密钥用于建立安全通信；
[0013]步骤3.3.1：通信双方分别输入系统公共参数和对方的生物特征公钥；
[0014]步骤3.3.2：在同步通信场景中，通信双方分别选取一个秘密的随机字符串，生成一个封装的消息；在异步通信场景中，仅发送方选取一个秘密的随机字符串，生成一个封装的消息，并利用该随机字符串、封装的消息和双方的生物特征公钥及会话标识符生成一个会话密钥并输出；
[0015]步骤3.3.3：在同步通信场景中，通信双方分别封装的消息发送给对方；在异步通信场景中，发送方将本次会话的会话标识符和封装的消息发送给接收方；
[0016]步骤3.3.4：在同步通信场景中，通信双方接收到封装的消息后，采用步骤1的方法重新生成新的生物私钥，并解封装恢复出对方的随机字符串；在异步通信场景中，接收方收到封装的消息后，采用步骤1的方法重新生成新的生物私钥，并解封装恢复出对方的随机字符串；
[0017]步骤3.3.5：在同步通信场景中，通信双方利用自己的随机字符串和对方的随机字符串，以及通信过程中的公钥和封装的消息，从而生成一个会话密钥；在异步通信场景中，接收方利用恢复出的随机字符串、封装的消息和双方的生物特征公钥及会话标识符生成一个会话密钥；
[0018]步骤3.3.6：在同步通信场景中，通信双方输出会话密钥；在异步通信场景中，接收方选取一个秘密的随机字符串，对字符串进行封装，从而生成一个封装的消息，并利用该字符串、生成的会话密钥，以及通信过程中的公钥、封装的消息、下一个会话的会话标识符，生成下一个会话的会话密钥，同时将下一个会话的会话标识符和封装的消息发送给发送方，发送方执行类似的操作，从而实现了异步通信场景下的会话密钥的协商和更新。
[0019]本专利技术的系统所采用的技术方案是：一种面向安全通信的生物认证密钥协商系统，包括以下模块：
[0020]模块1，用于对生物特征进行处理，将虹膜或指纹生物特征转化为生物特征向量或生物特征向量集合的形式，作为用户的生物特征私钥；
[0021]模块2，用于采用用户生物特征私钥对应的公钥来封装一个随机字符串，作为密钥协商的随机字符串；
[0022]模块3，用于在同步通信或异步通信中，进行密钥协商；
[0023]具体包括以下子模块：
[0024]模块3.1，用于初始化；通信双方协商一组系统公共参数，并公开发送给通信双方；
[0025]模块3.2，用于密钥生成；通信双方分别生成生物特征私钥和生物特征公钥，并将生物特征公钥发送给另一个参与方；
[0026]模块3.3，用于认证密钥协商；发送方向接收方发起会话请求，相互验证对方身份并协商会话密钥，该密钥用于建立安全通信；
[0027]具体包括以下子模块：
[0028]模块3.3.1，用于通信双方分别输入系统公共参数和对方的生物特征公钥；
[0029]模块3.3.2，用于在同步通信场景中，通信双方分别选取一个秘密的随机字符串，生成一个封装的消息；在异步通信场景中，仅发送方选取一个秘密的随机字符串，生成一个封装的消息，并利用该随机字符串、封装的消息和双方的生物特征公钥及会话标识符生成一个会话密钥并输出；
[0030]模块3.3.3，用于在同步通信场景中，通信双方分别封装的消息发送给对方；在异步通信场景中，发送方将本次会话的会话标识符和封装的消息本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种面向安全通信的生物认证密钥协商方法，其特征在于，包括以下步骤：步骤1：对生物特征进行处理，将虹膜或指纹生物特征转化为生物特征向量或生物特征向量集合的形式，作为用户的生物特征私钥；步骤2：采用用户生物特征私钥对应的公钥来封装一个随机字符串，作为密钥协商的随机字符串；步骤3：在同步通信或异步通信中，进行密钥协商；步骤3.1：初始化；通信双方协商一组系统公共参数，并公开发送给通信双方；步骤3.2：密钥生成；通信双方分别生成生物特征私钥和生物特征公钥，并将生物特征公钥发送给另一个参与方；步骤3.3：认证密钥协商；发送方向接收方发起会话请求，相互验证对方身份并协商会话密钥，该密钥用于建立安全通信；步骤3.3.1：通信双方分别输入系统公共参数和对方的生物特征公钥；步骤3.3.2：在同步通信场景中，通信双方分别选取一个秘密的随机字符串，生成一个封装的消息；在异步通信场景中，仅发送方选取一个秘密的随机字符串，生成一个封装的消息，并利用该随机字符串、封装的消息和双方的生物特征公钥及会话标识符生成一个会话密钥并输出；步骤3.3.3：在同步通信场景中，通信双方分别封装的消息发送给对方；在异步通信场景中，发送方将本次会话的会话标识符和封装的消息发送给接收方；步骤3.3.4：在同步通信场景中，通信双方接收到封装的消息后，采用步骤1的方法重新生成新的生物私钥，并解封装恢复出对方的随机字符串；在异步通信场景中，接收方收到封装的消息后，采用步骤1的方法重新生成新的生物私钥，并解封装恢复出对方的随机字符串；步骤3.3.5：在同步通信场景中，通信双方利用自己的随机字符串和对方的随机字符串，以及通信过程中的公钥和封装的消息，从而生成一个会话密钥；在异步通信场景中，接收方利用恢复出的随机字符串、封装的消息和双方的生物特征公钥及会话标识符生成一个会话密钥；步骤3.3.6：在同步通信场景中，通信双方输出会话密钥；在异步通信场景中，接收方选取一个秘密的随机字符串，对字符串进行封装，从而生成一个封装的消息，并利用该字符串、生成的会话密钥，以及通信过程中的公钥、封装的消息、下一个会话的会话标识符，生成下一个会话的会话密钥，同时将下一个会话的会话标识符和封装的消息发送给发送方，发送方执行类似的操作，从而实现了异步通信场景下的会话密钥的协商和更新。2.根据权利要求1所述的面向安全通信的生物认证密钥协商方法，其特征在于，步骤1的具体实现包括以下步骤：步骤1.1：对虹膜或指纹生物特征进行采集，并存入可信环境中以待后续处理；步骤1.2：对采集到的生物图像进行初始化处理，将虹膜或指纹生物特征转化为比特字符串或点集合的形式；步骤1.3：对字符串或点集合进行处理，转化为生物特征向量或生物特征向量集合的形式；步骤1.4：对生物特征向量或生物特征向量集合进行差错容忍处理，以消除生物特征处
理过程中的噪声。3.根据权利要求2所述的面向安全通信的生物认证密钥协商方法，其特征在于：步骤1.2中，将虹膜图像经过定位、分割和归一化处理，转化为随机纹理；将指纹图像经过定位、分割、图像增强、二值化处理，提取脊分裂或结束的局部不连续的位置作为细节点；将虹膜图像提取的随机纹理编码为比特字符串的形式；将指纹的所有细节点表示为一个X坐标，一个Y坐标和一个对应于细节脊和水平线之间角度的形式，从而组成一个点集合。4.根据权利要求2所述的面向安全通信的生物认证密钥协商方法，其特征在于：步骤1.3中，将虹膜的比特字符串分片为多个比特字符串；利用指纹细节点之间的相对位置，将指纹编码为多个生物特征向量；将虹膜的多个比特字符串组合为一个生物特征向量；将指纹的多个生物向量组合为一个生物特征向量集合。5.根据权利要求2所述的面向安全通信的生物认证密钥协商方法，其特征在于：步骤1.4中，对虹膜的生物特征向量进行差错容忍处理，输出一个近似的生物特征向量；将指纹生物特征向量集合中的每个向量进行差错容忍处理，输出一个近似的向量，并将这些向量组成一个近似的生物特征向量的集合；将差错容忍处理后的虹膜生物特征向量输出，作为用户的生物特征私钥；将差错容忍处理后的指纹生物特征向量集合输出，作为用户的生物特征私钥。6.根据权利要求1所述的面向安全通信的生物认证...

【专利技术属性】
技术研发人员：陈晶，王梅，何琨，杜瑞颖，
申请(专利权)人：武汉大学，
类型：发明
国别省市：