改进的多因素身份认证通用集成框架

摘要

如何将多种身份认证技术无缝结合,形成一个通用的集成框架,并解决因生物特征流失引发用户隐私权被侵害的问题,无疑是一个重要的课题。虽然现有的通用集成框架将多种认证技术有效的融合起来,然而整个框架中所有信息的传输均建立在安全信道上,没有对具体的传输方式进行分析及解决；同时,在集成框架整体结构设计方面,缺乏对注册模块结构的分析与设计。
　　 本文在现有框架的基础上,通过完善通用集成框架的整体结构,改进框架支撑协议,提出一种改进的多因素身份认证技术通用集成框架。主要研究内容包括：⑴提出一种改进的集成框架的总体结构设计。由于现有的通用集成框架的基本结构设计只描述了身份认证模块,本文通过引入注册管理器模块,详细描述了用户申请密钥的过程。同时,还添加了生物数据处理器模块和用户令牌模块,进一步完善集成框架的总体结构设计。⑵提出一种改进的集成框架认证协议。鉴于现有的通用集成框架中,所有敏感信息都是通过安全信道传输作为假设前提,这样的安全信道需要其他机制的配合,不具备普适性。本文采用公钥密码体制,通过令牌系统的公钥对用户申请的私钥加密,然后发送给用户,只有拥有该令牌的用户才能获取私钥,确保了敏感数据传输的安全。⑶结合OAEP与SMS4加密算法,对生物特征模板进行加解密处理。虽然现有的集成框架引入生物密钥降低了生物特征受到各种威胁,但攻击者在一定概率上能从应答码中还原出生物特征模板。本文结合生物特征加密与生物特征密钥两种方法:对生物特征模板先进行OEAP填充的SMS4算法加密,将密文作为用户身份标识进行基于身份密钥的申请,避免用户从应答码中还原出生物特征模板。⑷将改进的多因素身份认证通用集成框架应用到Windows操作系统的身份认证,实现指纹登录操作系统。