一种基于指纹的身份认证系统方案

收稿日期:2008-04-09;修回日期:2008-05-28。 基金项目:国家863计划项目(2007AA01Z466)。 作者简介:谢巍(1983-),男,四川峨眉山人,硕士研究生,主要研究方向:信息安全、网络安全技术;　谷利泽(1965-),男,辽宁营口人,教授,博士,主要研究方向:现代密码学、网络安全;　钮心忻(1963-),女,浙江湖州人,教授,博士生导师,主要研究方向:信息安全、信息隐藏、数字水印。

文章编号:1001-9081(2008)10-2464-03

一种基于指纹的身份认证系统方案

谢　巍,谷利泽,钮心忻

(北京邮电大学网络与交换技术国家重点实验室信息安全中心,北京100876)

(kevin -x w@ )

摘　要:给出了一种基于指纹的身份认证系统方案,该方案采用US B 2Key 指纹锁获取用户指纹,在Schnorr 身份

认证协议的基础上,将指纹特征融入其中,实现了客户端与服务器的双向认证,具有了更高的安全性。通过假冒、重放等攻击对系统安全性进行分析,证明了系统的安全可行。最后描述了系统计算效率和开销,说明该系统便于实施和维护。

关键词:身份认证;指纹;Schnorr 协议;US B 指纹锁中图分类号:TP309 文献标志码:A

Authen ti ca ti on system schem e ba sed on f i n gerpr i n t

X I E W ei,G U L i 2ze,N I U Xin 2xin

(Infor m ation Security Center ,S tate Key L aboratory of N et w orking and Sw itching Technology,

B eijing U niversity of Posts and Teleco mm unications,B eijing 100876,China )

Abstract:An authenticati on syste m sche me based on finger p rint was p r oposed .The authenticati on syste m accomp lished mutual 2authenticati on bet w een client and server with the combinati on of the finger p rint cap tured by US B 2Key and the Schnorr p r ot ocol .The higher security of syste m was p r oved by the analysis of masquerade and rep ly attacks .A t last,the efficiency and cost of syste m were described and the system was p r oved t o be easily used and maintained .

Key words:authenticati on;finger p rint;Schnorr p r ot ocol;US B 2Key

0　引言

身份认证技术是网络安全和信息系统安全的第一道屏障,它是在信息安全时代备受关注的一个研究领域。

身份认证是识别和证实主体与其所声称实体身份相符的过程。概括说来,身份认证过程有三个可用于证实主体身份的要素,即:用户的知识,如口令等;用户物品,如I C 卡等;用户的特征,如指纹、虹膜等。指纹以其唯一、持久、方便获取的特性,被广泛应用到身份识别中,代表着用户身份认证技术的未来方向,有着广阔的发展前景。

认证协议是身份认证系统的核心之一,它的安全性直接关系到整个系统的安全性。很多认证系统被击破的主要原因往往不是底层硬件,而是认证协议存在的缺陷。因此,如何设计一种高质量的认证协议对于开发身份认证系统有着举足轻重的作用。

综合考虑到建立PKI 体系结构成本较高,后期维护开销较大,而用户指纹数据具有唯一性、持久性,利用US B 2Key 指纹锁采集方便等因素,本文给出了一种基于用户指纹、实现双向认证的身份认证系统方案。

1　基于指纹的身份认证系统

基于指纹的身份认证系统由客户端和服务器端组成,客

户端又由US B 2Key 指纹锁和个人电脑组成,如图1所示。在本系统中,US B 2Key 指纹锁可以实时采集用户指纹信息,并能对其做处理。同时,指纹锁可以进行一系列的加解密运算,具有存储秘密信息功能。US B 2Key 内部的安全硬件保证了只有

该指纹锁的拥有者才能访问该设备,其他用户无法通过非法手段读出里面的秘密信息

。

图1　身份认证系统组成

1.1　用户注册

用户注册时,用户可以到安全管理员处现场采集指纹,将生成的注册指纹数特征值F RA 与用户标识U I D A 一起存入数据库,同时写进US B 2Key 指纹锁内的保密存储区,制成一把有效的指纹锁,配发给用户,完成注册。若用户是通过远程注册,其主要流程如下:

1)先用US B 2Key 采集指纹,生成用户的指纹数特征值,再将注册信息E PK (U I D A ‖F RA ‖H (U I D A ‖F RA ))发送到服务器。注册信息是用服务器公钥加密,其中主要包括用户标识U I D A 、

用户指纹数特征值F RA 和二者的哈希值

H (U I D A ‖F RA )。

2)服务器用私钥解密注册信息,检查消息完整性,检查

用户标识是否在合法用户列表中,通过之后保存用户的指纹数据,向客户端发送通过注册消息。

3)客户端收到通过注册的消息后将用户标识和指纹数

特征值存入US B 2Key 的保密存储区。

该注册过程只能成功执行一次。

第28卷第10期

2008年10月

计算机应用

Computer App licati ons

Vol .28No .10

Oct .2008