专利名称:基于指纹、密码技术、易碎数字水印的安全认证方法
技术领域:
本发明涉及计算机技术、信息安全技术、信息隐藏技术,具体是一种基于指纹、密
码技术、易碎数字水印相结合的以解决网络条件辨别身份与信息真实与不可抵赖性的安全
认证方法。
背景技术:
通常人们在计算机信息安全系统方面对身份与信息的加密主要是通过密码技术 以加密的方式保证其身份与信息及通讯的安全,但在网络时代确保身份与信息及传输中的 安全,仅仅使用密码技术保证系统的安全性通常是不够的。现代密码学开发出来的加解密 系统无论是对称密钥系统(如DES),还是安全性更高的公开密钥系统(RSA),经过加密算法 处理所生成的密文具有随机性、不可读,反而明确提示了保密信息的存在,因而很容易引起 监控者的注意,并以此为依据进行对密文的破译或对发送者和接收者的攻击。采用加密技 术的另一个潜在的不足是随着计算机硬件的迅速发展,具有计算能力的破解技术的日益成 熟,仅通过增加密钥长度来达到增强安全性已不再是唯一的可行方法。密码被破解的可能 性越来越大,一旦加密数据被破解后其内容就完全透明了,即使非法拦截者在截获密文后 无法破译,但可以将其破坏后再发送,使得接收的消息无法译成明文,这也是使用密码在安 全性存在的不足。 2008年第4期《计算机与信息技术》公开了一篇名叫"基于数字水印和数字签名的 电子支票支付方式安全研究"的论文,作者李尤。该文详细论述了现有电子支票系统的实现 过程,分析了其中涉及到的数字签名相关过程,进而指出以数字签名为保障的支付系统基 本满足以下要求①发送的不可抵赖性;②接收的不可否认性;③接收信息内容完整性。但 是由于数字签名本身需要附着在电子支票上进行发送,因此其有被非法用户删除的危险; 同时,若电子支票以明文方式发送,则有被黑客截取,从而有泄露商业秘密的危险。对于后 者, 一般的解决方案是采用传统加密技术加密后进行发送,但随着计算机软硬件技术的发 展,密码被破译的可能性越来越大,即使非法拦截者在截获密文后无法破译,但可以将其破 坏后再发送,使得接收的消息无法译成明文。最后该论文提出一种结合了数字水印和数字 签名的电子支票支付系统,其主要原理是将通过数字签名和加密后的支票信息和数字信封 一起作为水印,用对方的公钥作为密码用嵌入算法嵌入到载体图片中,然后进行传输,从而 实现保密、安全、不可见及完整通信,在水印提取端,在收到水印图片后,用自己的密钥通过 水印提取算法提取水印,确定水印完整性后,再提取出电子支票,进行处理。该系统在原有 的基于数字签名的支付系统的基础上,加入了水印技术,半易碎水印的完整性保护和水印 的隐藏信息的特性,使电子支票的支付过程具有更高的安全性。但是该系统在安全认证方 面仍存在一定的缺陷,表现在它是一种基于PKI (Public Key Infrastructure)的安全认 证,CA (Certification Authority)只能对KEY的合法性进行确认,而无法确定KEY的合法 持有者。 目前广泛应用的密码技术和指纹识别技术在安全认证方面都存在一定的缺陷,如基于PKI的安全认证,CA只能对KEY的合法性进行确认,而无法确定KEY的合法持有者;由 于指纹的生理特性终生不变,通过生物特征可以辨别确定其身份,但指纹同时存在被克隆 非法盗用的风险。 申请号为02111629. 6、发明名称为基于整数小波的无损图象数字水印方法、申请 人为宣国荣的中国发明专利公开了一种用计算机软件在数字图像中嵌入数据,并可无损恢 复的处理方法,其详细说明了嵌入数字水印和提取数字水印的方法,其中,嵌入数字水印的 方法包括第一次灰度直方图调整、小波正变换、数据嵌入、小波反变换、第二次灰度直方图 调整,形成加水印图象。提取数字水印的方法包括第三次灰度直方图调整、小波正变换、数 据提取、小波反变换、第四次灰度直方图调整,恢复初始图象。该方法能使包括与图象有关 的文字、图象、语音等信息的数字水印及原始图象均能100%恢复。
发明内容
本发明的目的是提供一种基于指纹、密码技术、易碎数字水印相结合的安全认证 方法,以解决现有采用数字水印和数字签名实现安全认证时,只能对KEY的合法性进行确 认,而无法确定KEY的合法持有者,而现有的计算机指纹认证存在指纹容易被克隆非法盗 用的技术问题,达到对身份真实和唯一不可抵赖性认证的目标。 本发明基于整数小波算法无损数字水印,利用指纹图像作为载体,同时也将数字 身份和生物身份绑定,将秘密信息或其它信息嵌入到指纹图像中,通过对指纹图像嵌入秘 密信息或其它信息的提取与验证,有效的鉴别指纹的真实性,从而达到对身份真实性的确 认,有效的解决了通过计算机系统指纹可以被克隆缺陷,有效的防止指纹被盗用的风险,从 而达到对身份真实和唯一不可抵赖性认证目标。 本发明的技术方案如下一种基于指纹、密码技术、易碎数字水印相结合的安全认 证方法,包括以下步骤 发送方采集指纹图像,对所述指纹图像计摘要信息,将所述摘要信息与密钥、以及 通过数字签名和加密后的数字信息作为水印嵌入到所述指纹图像中; 通过发送端的指纹USBKEY,采集发送者的指纹并进行指纹认证,认证合法后将嵌 入水印的指纹图像发送给接收方; 接收方在收到信息后,首先对身份的真实性认证,包括首先检测验证指纹图像是 否嵌入数字水印,如果检测到数字水印,再验证数字水印是否正确,如果数字水印正确则发 送人的身份的真实性被确认,如果检测不到数字水印或者水印不正确则发送人的身份的真 实性认定不被确认;身份的真实性认证后,进行信息的真实性认证,包括从接收到的图像 中提取出数字水印信息,用与发送方相同的算法对提取水印后的指纹图像重新计算摘要信 息,并与水印信息中记载的指纹图像摘要信息比较,如果相同,则认定信息真实可信,否则 其信息不是真实可信的信息,为篡改过的信息。 其中,采用SHA256算法计算指纹图像的摘要信息。但是发送方和接收方必需采用
相同的算法,比如发送方嵌入水印前采用SHA256算法计算指纹图像的摘要信息,那么接
收方在提取水印后,计算恢复后的指纹图像的摘要信息时也必需采用SHA256算法。 所述指纹USBKEY包括安全芯片,安全芯片外接指纹传感器和USB接口 ,安全芯片
内集成有水印嵌入程序、水印提取程序、指纹比对程序、以及基础密码算法。其中,可以采用基于整数小波的无损图象水印技术向载体图像嵌入或提取无损数字水印,所述无损数字水 印是指嵌入的信息在提取时无损,而且载体图像在提取信息后也无损。 本发明将数字水印技术、数字签名和指纹识别有机地结合起来,它用指纹图像做 载体,将指纹图像的摘要信息、以及经加密和数字签名后的数字信息一起作为水印嵌入所 述指纹图像中,然后将指纹图像传输给接收方,实现了信息的隐蔽传输,在信息传输过程 中,第三方如果监控或截取,所见的只是一个指纹图片,如果对此图像进行任何处理,都将 导致数字水印损坏,因此增加了传输信息对攻击或篡改的敏感性,这是密码技术无法做到 的。 由于采用了指纹认证,信息发送者首先要有数字证书,并通过生物身份识别(即 指纹识别),才可以发送信息。而且由于将指纹图像的摘要信息也作为水印,所以接收方可 以通过计算恢复后指纹图像的摘要信息并与水印中记载的摘要信息进行比对,来鉴别指纹 的真实性,实现对KEY的合法持有者认证,从而能有效地克服现有数字签名安全认证中无 法对KEY的合法持有者进行认证,以及现有指纹认证中指纹易被克隆盗用的技术缺陷。
图1为本发明中指纹USBKEY的原理框图;
图2为本发明的基本应用架构;
图3为本发明的安全模型框图;
图4为本发明中信息传输过程示意图。
具体实施例方式
本发明基于整数小波算法无损数字水印,利用指纹图像作为载体,同时也将数字 身份和生物身份绑定,将秘密信息或其它信息嵌入到指纹图像中,通过对指纹图像嵌入秘 密信息或其它信息的提取与验证,有效的鉴别指纹的真实性,从而达到对身份真实性的确 认,有效的解决了通过计算机系统指纹可以被克隆缺陷,有效的防止指纹被盗用的风险,从 而达到对身份真实和唯一不可抵赖性认证目标。 参照图l,本发明中的指纹USBKEY采用国产加密芯片,将水印嵌入、水印提取、指 纹比对、基础密码算法等集成于同一个芯片内,外部接指纹传感器,用于采集指纹图像,全 部运算过程均在芯片内完成,具有极高的安全性。本发明提出的方法可构建各类需要安全 认证的应用系统,基本应用的结构如图2所示,本发明的安全模型如图3所示,信息传输过 程如图4所示。以下分别说明。 本发明的认证方法是基于PKI体系的基础密码服务,通过数字水印技术将生物身 份与数字身份绑定,实现网络化的真实性认证。 信息发送者首先要有系统中的合法身份(数字证书),并通过生物身份(指纹)识 别,才可以发送信息。这个过程在指纹USBKEY中实现。发送者将需要发送的信息进行处理 (如加密、签名等)后,通过数字水印技术将这些信息嵌入到指纹图像中,然后将指纹图像 通过网络发送到对方。 在信息传输过程中,第三方如果监控或截取,所见的只是一个指纹图片,如果对此 图像进行任何处理,都将导致数字水印损坏,因此增加了传输信息对攻击或篡改的敏感性,
5这是密码技术无法做到的。 信息接收者在收到信息后,首先检测水印的完整性,如果水印已破坏或无法识别, 则说明该信息不可信,已被攻击或篡改。如果水印检测合法,则提取图像中的信息,进行相 应的处理(如解密、验签)。
本发明的应用流程
—、身份真实性认证流程 采集提取指纹图像(256级灰度),对图像用SHA256计摘要信息,将相关摘要信息,
密钥、签名等数字信息嵌入到所采集的指纹图像中,然后再对指纹进行认证,只有通过认证
的合法身份才可以将嵌入信息唯一不可抵赖性指纹图像发送给接收方。 接收方在收到信息后,首先对身份的真实性认证,认证的流程为首先检测验证指
纹图像是否嵌入数字水印,如果检测到数字水印,再验证数字水印是否正确,只有在二者同
时正确情况下才确认其认证人身份的真实唯一不可抵赖性,否则其身份的真实性认定就得
不到确认。 二、信息的真实性认证流程 接收方在收到信息后,首先检测图像信息中是否有嵌入数字水印相关摘要信息、 密钥、签名等数字信息,如果具有数字水印信息则将其提取出来,用SHA256对恢复后的指 纹图像(也就是提取水印后的图像。由于采用了基于整数小波算法无损数字水印技术, 所以数字水印和原始指纹图像均能100%恢复)重新计算摘要信息,并与图像中提取出的 SHA256的值(即发送方提取的原始指纹图像的摘要信息的值)进行比较认证,如果相同,则 认定信息真实可信,否则其信息不是真实可信的信息,为篡改过的信息,从而达到对信息的 真实唯一不可抵赖性的判断和认定。 本发明中,身份与信息的真实性的安全认证可以通过网络实现远程认证,也可以 本地认证,包含生物身份的认证、数字身份的认证及二者的唯一对应关系。
权利要求
一种基于指纹、密码技术、易碎数字水印相结合的安全认证方法,其特征是包括以下步骤发送方采集指纹图像,对所述指纹图像计摘要信息,将所述摘要信息与密钥、以及通过数字签名和加密后的数字信息作为水印嵌入到所述指纹图像中;通过发送端的指纹USBKEY,采集发送者的指纹并进行指纹认证,认证合法后将嵌入水印的指纹图像发送给接收方;接收方在收到信息后,首先对身份的真实性认证,包括首先检测验证指纹图像是否嵌入数字水印,如果检测到数字水印,再验证数字水印是否正确,如果数字水印正确则发送人的身份的真实性被确认,如果检测不到数字水印或者水印不正确则发送人的身份的真实性认定不被确认;身份的真实性认证后,进行信息的真实性认证,包括从接收到的图像中提取出数字水印信息,用与发送方相同的算法对提取水印后的指纹图像重新计算摘要信息,并与水印信息中记载的指纹图像摘要信息比较,如果相同,则认定信息真实可信,否则其信息不是真实可信的信息,为篡改过的信息。
2. 根据权利要求1所述的安全认证方法,其特征是采用SHA256算法计算指纹图像的 摘要信息。
3. 根据权利要求1所述的安全认证方法,其特征是所述指纹USBKEY包括安全芯片, 安全芯片外接指纹传感器和USB接口,安全芯片内集成有水印嵌入程序、水印提取程序、指 纹比对程序、以及基础密码算法。
4. 根据权利要求3所述的安全认证方法,其特征是采用基于整数小波的无损图像水 印技术向载体图像嵌入或提取无损数字水印,所述无损数字水印是指嵌入的信息在提取时 无损,而且载体图像在提取信息后也无损。
全文摘要
一种基于指纹、密码技术、易碎数字水印相结合的安全认证方法,包括以下步骤发送方采集指纹图像,对指纹图像计摘要信息,将摘要信息与密钥、及通过数字签名和加密后的数字信息作为水印嵌入到所述指纹图像中;采集发送者的指纹,认证合法后将嵌入水印的指纹图像发送给接收方;接收方在收到信息后,首先检测验证指纹图像是否嵌入数字水印和验证数字水印是否正确,对身份的真实性认证,然后从接收到的图像中提取出数字水印信息,对提取水印后的指纹图像计算摘要信息,并与水印信息中记载的指纹图像摘要信息比较,对信息的真实性认证。其能有效克服现有数字签名安全认证无法对KEY的合法持有者认证,现有指纹认证中指纹易被克隆盗用的缺陷。
文档编号H04L9/32GK101729256SQ20081021678
公开日2010年6月9日 申请日期2008年10月24日 优先权日2008年10月24日
发明者刘海生, 刘连生 申请人:深圳宝嘉电子设备有限公司