【技术实现步骤摘要】
公用网络下人脸特征协同保护安全认证系统
[0001]本申请涉及一种人脸特征协同保护安全认证系统,特别涉及一种公用网络下人脸特征协同保护安全认证系统,属于人脸特征安全认证
技术介绍
[0002]随着云计算和大数据的迅速崛起,公用网络服务的覆盖面越来越广,对身份安全认证的需求也越来越多。面对日益增长的身份认证需求,安全认证应向着易用、低成本、高安全的方向发展。传统的基于密码口令的认证技术安全性主要依赖口令的复杂程度,导致身份认证技术的易用性与安全性成反向关联关系,即口令越简单安全性越差,安全性越好的密码越复杂难记。基于硬件令牌的认证技术,虽然安全性较高,但是部署成本也高,而且使用不方便且易用性差。生物特征识别技术的出现,为构建安全且便于用户使用的身份认证技术带来了新契机。生物特征相比于密码口令更加复杂,与生物个体终身绑定且具有稳定性,生物特征虽复杂却不容易遗忘丢失。生物特征与生俱来,不需要像硬件令牌一样携带额外的认证物品,生物特征认证过程的用户体验更好。然而,原始生物特征的唯一性和不可撤消性为生物特征认证系统埋下了安全隐患,公用网络环境下生物特征特别是人脸特征的安全成为人们关心的问题。
[0003]伴随移动网络的快速发展,智能终端设备的性能越来越强,许多智能手机厂商将人脸识别作为手机标配,各金融支付平台开始支持研究人脸、虹膜等身份认证技术,生物特征认证技术被越来越多的人所接受和使用。生物特征识别技术的飞速发展使得人脸识别技术被广泛应用于安全认证协议当中,然而,生物特征自身具有的不可撤消性、与用户身份一一 ...
【技术保护点】
【技术特征摘要】
1.公用网络下人脸特征协同保护安全认证系统,其特征在于,基于人脸安全认证协议中的人脸特征协同保护问题,分别从人脸特征协同保护的安全认证协议和人脸特征协同保护的安全认证系统两方面构建公用网络环境下基于生物特征保护的安全认证模型,提出了一种两方参与的安全认证架构;第一,基于人脸特征协同保护的安全认证协议,包括:基于人脸特征协同保护的安全认证架构、人脸特征协同保护模型、无证书公钥密钥协同保护系统、基于无证书的变化项协商协议、基于特异壳变换的人脸特征协同保护方法;其中,人脸特征协同保护模型又包括:模型结构特征定义、人脸安全认证协议、协议数学模型;结合公用网络环境下生物特征身份认证的特征和认证交互过程,得出服务器承担存储特征特异壳和完成特征匹配的任务可实现基于生物特征的跨终端身份认证,并设计出一种适合于跨终端应用场景下两方参与的基于人脸特征协同保护的安全认证架构,对基于变换技术的特征协同保护算法进行抽象,关注特征特异壳和认证数据的安全,提供人脸身份认证交互流程上的安全保障;第二,基于人脸特征协同保护的安全认证系统,包括:系统总体架构、系统模块设计、系统注册过程设计、系统认证过程设计,实现从底层处理模块到协议认证交互流程。2.根据权利要求1所述公用网络下人脸特征协同保护安全认证系统,其特征在于,提出一种中心模型下的人脸特征协同保护的安全认证架构,服务器执行匹配操作,认证时只需提交认证模版,服务器进行匹配即可,基于特征协同保护的安全认证方法包括注册过程和认证过程;注册过程:用户端获取应用服务器关联信息和必要参数,用户端采集用户人脸数据,用户端对原始人脸进行绑定服务器标识、不可逆变换生成人脸特异壳,用户端发送用户标识连同人脸特异壳到应用服务器;认证过程:用户端获取应用服务器关联信息和必要参数,用户端采集用户人脸数据,用户端对原始人脸进行绑定服务器标识、不可逆变换生成认证模板,然后将认证模板连同用户标识发送给服务器,服务器根据用户标识查找注册模板,将注册模板和认证模板进行匹配,完成整个身份认证;通过对人脸特征协同保护算法进行建模,基于人脸特征协同保护算法完成身份认证,设计用户端设备注册协议,实现用户端设备环境和性能的评估和特征协同保护算法变化项协商。3.根据权利要求1所述公用网络下人脸特征协同保护安全认证系统,其特征在于,模型结构特征定义:人脸特征协同保护模型分成三个模块,分别是:生成用户注册模板模块、生成用户认证模板模块、特异壳匹配模块,其中生成用户注册模板模块在注册过程完成,后两个模块在认证过程完成;用户端设备首先通过人脸传感器扫描用户j的人脸得到原始人脸图像J
j
,然后进行特征提取得到人脸特征数据Z
j
,使用特异壳变换方法对人脸特征进行变换,将特征数据Z
j
转化为密文特异壳,变换参数分为用户端参数和服务器端参数,用户端参数在生成模版时使用,服务器端参数在特异壳匹配之前用于解变换特异壳,变换参数由用户j和服务器i双方共享的值和各自的私钥生成,双方各自的私钥不直接参与特异壳生成和特异壳匹配;定义一:人脸特征协同保护模型中,VJA
j
表示用户j的身份标识,CJA
i
表示服务器i的身
份标识,用户j在服务器i存储的注册模板为R
ji
,用户j认证时生成的认证模板用N
ji
表示;定义二:如果已知用户端设备参数为w1,服务器端参数w2,用户和服务器之间的共享参数为w,用户私钥为cw
j
,服务器私钥为cw
i
,用户端参数生成算法为f
s
,服务器端参数数生成算法为f
c
,则有:w1=f
s
(w,cw
j
,CJA
i
),w2=f
c
(w,cw
i
,VJA
j
);定义三:如果t表示随机值,用户j的注册模板生成算法为g
tbf
,则有:R
ji
=g
tbf
(Z
j
,w1,w2,t);定义四:用户j的认证模板生成算法为g
dvr
,则有:N
ji
=g
dvr
(Z
j
,w1,t);定义五:服务器i的特异壳匹配算法为a,系统设定的视值为b,匹配结果用s表示,则有:s=a(R
ji
,N
ji
,w2,b)∈{accepted,rejected};设计满足以下性质的算法f
s
、f
c
、g
tbf
、g
dvr
、a,则人脸特征协同保护模型成立,基于特征特征协同保护算法满足以下特征:特征一:算法g
tbf
和g
dvr
对原始特征数据的操作具有不可逆性,即对算法x,在缺少特异壳生成时使用的随机值t的情况下,恢复原始人脸特征数据Z
j
在计算上不可行;特征二:参数与私钥绑定,对私钥的绑定具有不可逆性,即已知参数生成算法f
s
和f
c
,由w1恢复出cw
j
和由w2恢复出cw
i
在计算上不可行;特征三:注册模板R
ji
和认证模板N
ji
具有可匹配性,或在参数w2的解作用后具有可匹配性,即对R
ji
和N
ji
可进行相似度计算;原始特征数据Z
j
的不可逆操作以及对注册模板和认证模板的匹配操作不可逆保证Z的安全,特异壳R
ji
和N
ji
可匹配保证人脸认证可用。4.根据权利要求1所述公用网络下人脸特征协同保护安全认证系统,其特征在于,人脸安全认证协议:人脸安全认证的注册流程包括:流程一:用户端与服务器端之间:w,w2,VJA
j
,CJA
i
用户端设备和服务器之间协商共享参数w用于生成各自的特征协同保护参数w1,w2,用户端执行w1=f
s
(w,cw
j
,CJA
j
),服务器执行w2=f
c
(w,cw
i
,VJA
i
);流程二:用户端到服务器端:R
ji
用户端设备捕获原始人脸J
j
,提取特征数据Z
j
,利用认证模板生成算法g
dvr
生成注册模板R
ji
并发送给服务器;服务器接收特征特异壳R
ji
,在自己的数据库中存储{VJA
j
,w,w2,R
ji
};注册完成后,用户进行认证的流程包括:流程1:用户端到服务器端:VJA
j
用户端向服务器发送待认证用户的身份标识VJA
j
;流程2:服务器端到用户端:w服务器根据VJA
j
查找到共享值w,发送给用户端设备;流程3:用户端到服务器端:N
ji
用户端设备根据共享值w以及私钥cw
j
生成参数w1,用户端设备捕获原始人脸J
j
,提取特征数据Z
j
,利用认证模板生成算法g
tbf
生成认证模板N
ji
,并发送给服务器;服务器根据VJA
j
查找到注册模板R
ji
,调用特异壳匹配算法a与认证模板N
ji
进行匹配,并将匹配结果s发送给用户端设备,如果结果为accepted,则认证通过,否则拒绝服务;注册模板和认证模板的生
成依赖于用户端设备与应用服务器在注册阶段协商的共享值,改变共享值w实现对人脸特异壳的撤消。5.根据权利要求1所述公用网络下人脸特征协同保护安全认证系统,其特征在于,协议数学模型:人脸特征协同保护模型中的特异壳生成算法对特征进行可逆和不可逆的变换,基于特征变换的人脸特征协同保护模型的定义包括:定义六:基于特征变换的人脸特征协同保护模型由f
s
、f
c
、g
tbf
、g
dvr
、a五个算法组成:输入用户端私钥cw
j
,参数生成算法f
s
输出w1;输入服务器私钥cw
i
,参数生成算法f
c
输出w2;输入用户人脸特征数据Z
j
、用户端参数w1、服务器参数w2,算法输出注册模板N
ji
;输入用户人脸特征数据Z
j
和用户端参数w1,算法输出认证模板R
ji
;输入注册模板N
ji
和认证模板R
ji
,特异壳匹配算法输出匹配结果s,且s∈{accepted,rejected};正确性:g
tbf
对应人脸身份认证的注册过程,{g
dvr
,a}组成人脸身份认证的认证过程,a对应人脸的匹配过程,用户端采集原始人脸,默认对原始人脸有足够的保护,且所有特异壳生成操作在用户端进行,整个模型对特异壳的保护取决于实现的特异壳生成算法g
tbf
、g
dvr
,和参与算法的参数w,w1,w2;可行性:由算法f
c
生成的参数w2与服务器私钥cw
i
绑定,算法f
c
保证私钥cw
i
的安全,注册模板R
ji
和认证模板N
ji
加入随机数因子,保证原始人脸特征不被泄露,R
ji
和N
ji
在w2的参与下匹配。6.根据权利要求1所述公用网络下人脸特征协同保护安全认证系统,其特征在于,无证书公钥密钥协同保护系统:用户端和服务器的密钥对均是按下述方法获得:用S
j
表示系统中的成员j,标识为SJA
j
,密钥协商的步骤包括:第一步:S
j
→
秘钥生成系统:v
j
,SJA
j
S
j
设置随机数作为自己的部分主密钥,是F
q
的一个乘法子群,F
q
是有限循环群,计算部分密钥对S
j
开始与秘钥生成系统协商完整的密钥对,S
j
将v
j
和自己的SJA
j
发送给秘钥生成系统;第二步:秘钥生成系统
→
S
j
:k
j
,AW
j
秘钥生成系统设置随机数计算部分密钥对并根据v
j
和用...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。