以可視密碼為基礎的身份識別技術方案分析

魏鵬娟

（陜西交通職業技術學院，陜西西安，710018）

0 引言

身份識別技術是指通過一定的技術手段判斷人的身份的一種方法。網絡化的全面普及以及信息技術的不斷發展，使得身份識別成為非常普遍和重要的問題。隨著人工智能技術在視頻、圖像處理分析領域的不斷發展應用，以視頻或圖像等可視數據為基礎的身份識別技術受到人們的廣泛關注和研究[1-3]。目前常用的身份識別技術主要有生物識別技術、智能卡識別技術、口令識別技術等等，被廣泛應用到各個領域，對于用戶身份的安全性提供了極大的保障。但是由于門禁卡、證件等攜帶個人身份信息的物品會出現丟失或者被非法破譯等現象，因此，該種身份識別方式同樣存在較大的安全隱患[4]。

可視密碼是1994年由Naor和Shamir提出的一種一種依靠人眼解密的秘密共享方法，將一個秘密圖像加密成若干個分享圖像，并將其分配給對應的參與者進行保管。由于不同的分享圖像之間看起來毫無聯系，因此秘密圖像的信息很難被泄露，而解密方式也很簡單，只需要將若干分享圖像進行疊加，即可利用視覺進行秘密圖像的識別，不需要進行復雜的密碼學運算[5-6]。相較于傳統密碼學技術而言，可視密碼技術的隱蔽性、安全性和簡易性等都更強[7]。本文中將可視密碼技術和身份識別技術進行結合，提出一種以可視密碼為基礎的身份識別技術方案，將用戶的身份信息利用可視密碼技術進行加密，并將身份信息通過秘密分享圖像的形式分別存儲于識別設備和數據庫中，身份識別只需將分享圖像進行疊加運算即可實現解密?？梢暶艽a加密的方式可以有效保護用戶的身份信息，因為攻擊者無法通過分享圖像獲取秘密圖像的任何游泳信息，也無法仿制替換，保障了用戶信息的安全性。

1 可視密碼概述

密碼體制在設計時，只對秘鑰保密而算法一般是公開的，因此密碼體制的安全性由秘鑰的安全性和強度來決定。秘鑰的丟失、泄露會導致密碼的安全性大大降低甚至泄露，因此秘鑰的安全性是信息安全性的重要保障。通常情況下，秘鑰由一人保管，造成秘鑰的丟失和泄露概率大大提高。如果將秘鑰分為若干個子密鑰，再交由非配給對應的人員進行保管，而原始秘鑰的恢復需要任意固定數量的子密鑰，子密鑰少于這一固定數量變無法獲取任何原始秘鑰的有效信息，這一體制被稱為秘密共享。這一概念由Blakley和Shamir提出，同時也給出了（k,n）（1≤k≤n）門限秘密共享方案。秘密共享的基本思路是將秘密分為n個子秘密，再交由n個人進行管理，在恢復原始秘密時需要將k個子秘密進行集合才可以，少于k個子秘密則無法進行原始秘密的恢復。秘密共享方案最大的優勢是，n個子秘密中任何相應范圍的管理人員出現問題，只要保證至少有k個子秘密的安全可靠，變可以恢復得到原始秘密，極大的保障了秘密的安全性。早期秘密共享主要用于處理文本形式的秘鑰，隨著科學技術的不斷發展和和信息技術的不斷更新，越來越多的圖像被用于秘鑰。作為生動、直觀的一種描述，圖像常被用于作為信息載體，被廣泛應用到各個領域中。

可視密碼是以秘密共享為基礎的針對于圖像的密碼技術，近幾年來作為密碼學的一個新的方向發展迅速?？梢暶艽a概念最早由Noar和Shamir等人提出，同時他們還提出了適用于黑白圖像的可視密碼方案(k,n)-VCS。該方案是將一個黑白秘密圖像加密后分為n個子秘密圖像，將其中任意k個子秘密圖像進行疊合，利用人眼便可恢復得到秘密圖像，少于k個子秘密圖像則無法得到任何有效信息。

2 基于可視密碼的身份識別方案

本文中提出的以可視密碼為基礎的身份識別技術方案將可視密碼技術與智能卡口令身份識別技術相結合，既可以保證身份信息的安全性，同時也無需進行復雜運算。該方案流程協議主要分為初始化、注冊、登錄、識別四個階段。具體的方案流程如圖1所示。

圖1 以可視密碼為基礎的只能口令卡身份識別流程圖

2.1 初始化階段

初始化階段主要有服務器S完成，包括秘鑰Sk的選擇。

2.2 注冊階段

用戶U通過終端輸入身份標識ID和口令PW，終端通過可視密碼方案(2,2)-VCS將用于用戶身份識別的口令PW進行加密，并分解為兩個子秘密圖像PW1和PW2，并通過安全信道將用戶ID和子秘密圖像PW2發送給服務器S。服務器接收到上述信息后，開始執行下述操作：

服務器S通過可視密碼方案(2,2)-VCS將空白圖像P分為兩個子秘密圖像P1、P2，同時將秘鑰Sk分解為Sk1和Sk2。

用戶U將PW1存儲到智能口令卡中。

2.3 登陸階段

用戶在登陸過程中，需要插入智能口令卡，同時輸入用戶ID和口令PW′。智能口令卡先用戶輸入的ID進行驗證，若與其中存儲的ID不一致，則登陸失敗。若一致，則繼續執行后續操作。

第一步，計算A=PW′⊕PW1⊕P1。

第二步，生成隨機整數M，并根據M值生成圖片I，通過可視密碼方案(2,2)-VCS將圖片I分為兩個子圖片I1和I2，并計算B=I2⊕Sk1。

第三步，發送 {ID,A,B}至服務器S，請求登陸。

2.4 識別階段

用戶識別：服務器在收到用戶請求登陸信息后，執行下述操作對用戶進行識別驗證。

第一，服務器在響應數據庫中進行搜索，查驗用戶ID是否存在。若數據庫中不存在此用戶ID則拒絕其登陸，并將結果發送給用戶。若存在用戶ID，則繼續在數據庫中搜索該用戶的相關信息數據。

第二，計算C=A⊕PW2⊕P2，驗證C與P是否相等。若二者不相等，則識別失敗，并將結果發送給用戶。若二者相等，則識別成功，繼續執行第三步操作。

第三，計算D=B⊕P2⊕Sk2⊕Sk，并發送給用戶。

服務器識別：用戶受到服務器發送上述信息后，計算E=D⊕P1⊕R1，通過肉眼對E上的數據進行讀取，并輸入終端，智能口令卡驗證其與數值M是否相等，若相等則識別成功，若不相等則識別失敗。

將可視密碼技術和智能口令卡身份識別技術相結合，融合了二者個優勢，同時也克服了單獨使用的缺陷，安全性大大提高。且通過用戶和服務器的雙向認證，更加保障了密碼的安全性。由于該方案將秘密圖像分為兩個部分進行存儲運算，避免了服務器內部人員的惡意行為。另外該方案的部分識別信息存儲在智能口令卡中，對竊取憑證攻擊能夠有效防御。

3 仿真實驗

為了驗證本文中提出的方案的有效性，在本部分內容中通過仿真實驗對方案進行驗證，得到如圖2所示的仿真結果。其中圖a～圖d代表該方案的初始化參數。

圖2 仿真實驗

由圖中可以明顯看出，中間變量A、B、D均為噪聲圖像，彼此之間毫無聯系，從這三個圖像中不能獲取任何有效信息。而變量C則為空白圖像，表明用戶的身份識別成功。而變量E與服務器生成的隨機數值M相同，則證明服務器識別成功。通過上述仿真實驗完成了服務器和用戶的雙向識別，證明了基于可視密碼技術的只能口令卡身份識別方案的可靠性和有效性。

4 結語

隨著互聯網的不斷普及，信息的安全性問題成為信息安全技術領域需要關注的重點問題。身份識別作為信息訪問的首道關口，嚴格進行身份識別是保障信息安全的重要手段?？梢暶艽a作為信息安全技術領域的新方向，具有隱蔽性好，安全性高，加密解密方式簡單，通用性好等優勢，因此將可視密碼技術應用到身份識別方面，將極大保障用戶信息的安全性。文中首先對可視密碼進行了概述，并針對智能口令卡身份識別技術，提出了將可視密碼技術和智能口令卡身份識別技術相結合的方案，并通過仿真實驗對方案的可行性進行了驗證。該方案的提出對于提高信息的安全性和隱私性有重要意義。