本发明专利技术公开了一种生物特征数据安全访问控制方法,再采集设备在采集到受采人的生物特征数据后,将生物特征数据和受采人选择的控制访问策略上传到生物特征库中后,采用对称加密算法对生物特征进行加密,对加密密钥采用非对称加密算法进行加密,然后采用属性基加密算法对加密后的生物特征再进行加密。在身份认证时,调用算法运行中心中属性基加密算法对应的解密算法进行解密,然后采用非对称加密算法的公钥解密加密密钥,最终解密得到生物特征。本申请提升了加密效率,保证了生物特征数据的安全,同时这种一对多的授权访问控制模式节省了传统生物特征认证中不同行业建立自己生物特征库的弊端,有效的节约了建设多生物特征库的成本。成本。成本。
【技术实现步骤摘要】
一种生物特征数据安全访问控制方法
[0001]本申请属于身份认证
,尤其涉及一种生物特征数据安全访问控制方法,用于保护生物特征数据在身份认证流程中的安全访问。
技术介绍
[0002]在身份认证的领域,基于生物特征的身份认证以其便捷、随身性等绝对优势,得以迅速在身份认证领域立足并且广泛应用;政府各类的线下业务转到线上办理已成为一种趋势。而在此过程中,自然少不了对经办人员和申请人身份信息的核验,而常见的线上办事对于申请人的身份认证多是通过用户的手工录入,如签字、身份证号验证和相关的口令验证。而这种方式对于年纪较大的人群来说具有一定的负担,而且也不够便捷。同时为了保证整个办事流程的准确性,减少办事后因申请人质疑等矛盾而导致回溯事件的发生,还需要对经办人和申请人身份信息的校对等操作,显然这不仅增添了很多负担,也降低了办事效率。
[0003]对于生物特征身份认证来说,其原理为把原始个体生物特征信息转为计算机语言然后存储,当产生身份认证后再将生物特征提取出来和数据库中的生物特征比对。然而生物特征数据因它的不可再生性,所以一旦泄露将直接导致个体生物特征数据的永久丢失,为此常见办法就是加密处理,但是对于线上办事场景来说,申请人可能会在各行各业产生身份认证的情形,而现有的一些处理场景是各种行业都建立属于自己的生物特征库,而由于缺少统一的管理和采用技术的良莠不齐,因而增加了生物特征泄露的几率。
[0004]因此身份认证
需要可以实现一对多的安全访问模式,即一处生物特征库,多处身份认证机构使用,这样即加强了生物特征库的统一管理又减少不必要的建设成本。
技术实现思路
[0005]本申请的目的是提出一种生物特征数据安全访问控制方法,结合基于属性基的加密,可以实现对生物特征加密保护的同时,还能实现对生物特征数据的使用授权中的细粒度的访问控制,实现只有符合国家技术安全要求的机构或者团体使用生物特征库的可能。
[0006]为了实现上述目的,本申请技术方案如下:
[0007]一种生物特征数据安全访问控制方法,应用于身份认证系统,所述身份认证系统包括生物特征库、算法运行中心、身份认证机构和认证机构属性授权中心,所述生物特征数据安全访问控制方法,包括:
[0008]采集设备在采集到受采人的生物特征数据后,将生物特征数据和受采人选择的控制访问策略上传到生物特征库中;
[0009]生物特征库调用算法运行中心中的初始化算法生成公共参数和系统主密钥;
[0010]生物特征库调用算法运行中心的随机密钥生成函数生成第一密钥,采用第一加密算法对收到的生物特征数据进行加密,得到第一密文,调用算法运行中心的第二加密算法对所述第一密钥进行加密,得到第二密钥;
[0011]生物特征库调用算法运行中心中的属性基加密算法对第一密文、第二密钥、公共参数进行加密,生成第二密文;
[0012]身份认证机构调用算法运行中心中的初始化算法生成公共参数和系统主密钥,将自己的属性信息、标识信息、公共参数和系统主密钥一起发送到认证机构属性授权中心请求解密的密钥;
[0013]认证机构属性授权中心判断身份认证机构的属性信息是否满足所要访问的生物特征对应的控制访问策略,如果满足则调用算法运行中心属性基加密算法对应的解密密钥生成算法生成解密密钥返回给身份认证机构;
[0014]身份认证机构从生物特征库获取第二密文,调用算法运行中心中属性基加密算法对应的解密算法进行解密,得到第一密文;
[0015]身份认证机构采用第二加密算法的公钥对从生物特征库获得的第二密钥进行解密得到第一密钥,然后对第一密文进行解密,得到生物特征数据。
[0016]进一步的,所述第一加密算法为对称加密算法。
[0017]进一步的,所述第二加密算法为非对称加密算法。
[0018]进一步的,所述生物特征数据安全访问控制方法,还包括:
[0019]将第二密文和第二密钥整合进行序列化保存;
[0020]所述身份认证机构从生物特征库获取第二密文,包括:
[0021]身份认证机构从生物特征库获取序列化后的密文,通过反序列化操作获得第二密文。
[0022]进一步的,所述第二加密算法为RSA加密算法,所述RSA加密算法在产生两个指定位数的大素数时,包括:
[0023]输入期望生成的大素数的位数;
[0024]根据输入的位数调用随机数生成算法生成两个数;
[0025]判断所生成的两个数是否是素数,如果不是则重新根据输入的位数调用随机数生成算法生成两个数,再次进行判断,如果是,则输出所生成的两个数作为指定位数的大素数。
[0026]进一步的,所述身份认证系统还包括认证机构中央授权中心,所述生物特征数据安全访问控制方法,还包括:
[0027]身份认证机构向认证机构中央授权中心注册,认证机构中央授权中心为身份认证机构分配标识信息和属性信息。
[0028]本申请提出了一种生物特征数据安全访问控制方法,结合基于属性基的加密技术,可以实现对生物特征加密保护的同时,还能实现对生物特征数据的使用授权中的细粒度的访问控制,同时针对生物特征所具有的序列化结构特点,采用仿用高级加密标准的方式进行加密处理,同时对加密所用到的加密密钥再进行加密,前者提升了加密效率,二者结合的混合加密方式更保证了生物特征数据的安全,同时这种一对多的授权访问控制模式节省了传统生物特征认证中不同行业建立自己生物特征库的弊端,有效的节约了建设多生物特征库的成本。
附图说明
[0029]图1为本申请生物特征数据安全访问控制方法流程图;
[0030]图2为本申请实施例控制访问策略示意图。
具体实施方式
[0031]为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅用以解释本申请,并不用于限定本申请。
[0032]身份认证系统中,通常包括:生物特征受采者BR(biometricrecipients),生物特征库BL(Biosignaturelibrary),算法运行中心TARTC(Thealgorithmrunsthecenter),身份认证机构IAA(Identityauthenticationagency),认证机构属性授权中心CAPAC(TheCertificationAuthorityPropertyAuthorizationCenter),认证机构中央授权中心CACAC(CertificationAuthorityCentralAuthorizationCenter),其各自负责的功能如下:
[0033]生物特征受采者BR:负责提供生物特征数据M
b_original
和生物特征数据的访问策略A;
[0034]生物特征库BL:负责加密存储的生物特征数据D
b_original,betterAES
;
[0035]算法运行中本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种生物特征数据安全访问控制方法,应用于身份认证系统,其特征在于,所述身份认证系统包括生物特征库、算法运行中心、身份认证机构和认证机构属性授权中心,所述生物特征数据安全访问控制方法,包括:采集设备在采集到受采人的生物特征数据后,将生物特征数据和受采人选择的控制访问策略上传到生物特征库中;生物特征库调用算法运行中心中的初始化算法生成公共参数和系统主密钥;生物特征库调用算法运行中心的随机密钥生成函数生成第一密钥,采用第一加密算法对收到的生物特征数据进行加密,得到第一密文,调用算法运行中心的第二加密算法对所述第一密钥进行加密,得到第二密钥;生物特征库调用算法运行中心中的属性基加密算法对第一密文、第二密钥、公共参数进行加密,生成第二密文;身份认证机构调用算法运行中心中的初始化算法生成公共参数和系统主密钥,将自己的属性信息、标识信息、公共参数和系统主密钥一起发送到认证机构属性授权中心请求解密的密钥;认证机构属性授权中心判断身份认证机构的属性信息是否满足所要访问的生物特征对应的控制访问策略,如果满足则调用算法运行中心属性基加密算法对应的解密密钥生成算法生成解密密钥返回给身份认证机构;身份认证机构从生物特征库获取第二密文,调用算法运行中心中属性基加密算法对应的解密算法进行解密,得到第一密文;身份认证机构采用第二加密算法的公钥对从生物特征库获得的第二密钥进行解密得到第...
【专利技术属性】
技术研发人员:郑河荣,张军,潘翔,
申请(专利权)人:浙江工业大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。