(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210191226.9 (22)申请日 2022.02.28 (71)申请人 西安电子科技大 学 地址 710071 陕西省西安市太白南路2号西 安电子科技大 学 (72)发明人 付玉龙　刘梦如　曹进　李晖　 (74)专利代理 机构 西安长和专利代理有限公司 61227 专利代理师 何畏 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/32(2006.01) H04L 9/40(2022.01) H04W 12/041(2021.01) H04W 12/0431(2021.01)H04W 12/08(2021.01) (54)发明名称 用于生物识别身份认证的接入认证和密钥 派生方法及系统 (57)摘要 本发明属于密钥管理和身份认证相关应用 技术领域， 公开了一种用于生物识别身份认证的 接入认证和密钥派生方法及系统， 注册阶段， 用 户在可信认证中心处进行注册， 上传生物特征、 软生物特征和身份标识等所有信息； 雾节点在统 一认证云处进行接入认证， 得到统一认证云下发 的身份标识和通过密钥协商 得到的共享根密钥， 注册完成后雾节点接入到云雾混构网络； 认证阶 段， 用户上传特征信息， 利用生物特征进行身份 识别； 雾节 点和统一认证云利用软生物特征融合 生成软生物特征密钥所需参数， 并利用密钥派生 生成软生物特征密钥和会话密钥， 分别用于加解 密生物特征和会话消息。 本发明可显著降低密钥 被破译的风险， 并增强用户生物特征隐私信息的 机密性。 权利要求书4页 说明书9页 附图3页 CN 114553413 A 2022.05.27 CN 114553413 A 1.一种用于生物识别身份认证的接入认证和密钥派生方法， 其特征在于， 所述用于生 物识别身份认证的接入认证和密钥派生方法包括以下步骤： 步骤一， 注册阶段， 用户在可信认证中心处进行注册， 上传生物特征、 软生物特征和身 份标识等所有信息； 雾节点在统一认证云处进行接入认证， 得到统一认证云下发的身份标 识和通过密钥协商得到的共享 根密钥， 注 册完成后雾节点接入到云雾混构网络； 步骤二， 认证阶段， 用户上传特征信息， 利用生物特征进行身份识别； 其中雾节点和统 一认证云利用软生物特征融合生成软生物特征密钥所需参数， 并利用密钥派生生成软生物 特征密钥和会话密钥， 分别用于加解密生物特 征和会话消息 。 2.如权利要求1所述的用于生物识别身份认证的接入认证和密钥派生方法， 其特征在 于， 所述步骤一中的注 册阶段包括： (1)用户在可信认证中心AUC处进行注册； 用户向AUC发送自己命名的唯一的身份标识； AUC指示用户采集生物特征和软生物特征并上传、 将用户的生物特征、 软生物特征和身份标 识的所有信息保存在自己的本地数据库中； (2)未在统一认证云Cloud处注册的雾节点FCC在Cloud处进行注册； Cloud为未注册的 FCC分配唯一的身份标识Fid， Cloud和FCC通过密钥协商 得到共享根密钥K， 且Fid和K进行一 对一映射； 注 册完成后FC C接入到云雾混构网络 。 3.如权利要求2所述的用于生物识别身份认证的接入认证和密钥派生方法， 其特征在 于， 所述步骤(1)中的身份标识为用户名或身份 证号等可以唯一标识用户身份的ID。 4.如权利要求1所述的用于生物识别身份认证的接入认证和密钥派生方法， 其特征在 于， 所述步骤二中的认证阶段包括： (1)UE将认证请求(包括支持的软生物特征列表SBC_List、 生物特征列表BC_List和会 话标识Sid)经由雾节点FCC转发到统一认证云Cloud。 Cloud在SBC_List中随机选择用 于 Cloud过滤、 筛选数据库的软生物特征序列SBC_Q， 剩 余软生物特征序列用于生成软生物特 征密钥加密生物特征， 在BC_List中随机选择生物特征序列BC_Q用于生物识别， 并发送认证 请求给认证中心AUC。 AUC将数据库中所有用户的软生物特征数据返回给Cloud。 最后Cloud 将SBC_Q与BC_Q序列经雾节点FC C转发到UE； (2)UE接收认证响应， 采集SBC_List和BC_Q对应的特征， 在采集到的特征数据中， 将 SBC_Q对应的软生物特征标记为V_SBC， 剩余的软生物特征标记 为K_SBC， 采集到的生物特征 标记为V_BC； 将所述消息 <V_SBC， K_SBC， V_BC， Sid>发送给雾节点FC C； (3)雾节点FCC接收特征数据， 使用K、 K_SBC和密钥派生算法生成软生物特征密钥KSBC， 使用KSBC和加密算法加密V_BC生成生物特征密文C1； 使用K、 Si d和SM3算法派生生成会话密 钥KSESSION， 使用KSESSION和SM4算法加密会话消息＜C1,V_SBC＞生成传输消息密文C2， 并将C2 和会话标识Sid发送给统一认证云Cl oud； (4)统一认证云Cloud接收密文后， 使用K、 Sid和SM3算法派生生成会话密钥KSESSION解密 传输消息密文C2， 得到＜C1,V_SBC＞； 使用V_SBC在保存的用户信息中进行过滤和筛选， 生 成集合S_Vnickname＝{V_Nickname|符合V_SBC的对应UEs的身份标识的哈希}； 对S_ Vnickname中的每个UE均利用K_SBCi和SM3算法派生生成密钥尝试解密生物特征密文C 1， 若 解密成功， 则可能是同一个用户。 最后将解密成功得到的集合S_Nickname和生物特征V_BC 发送给认证中心AUC； AUC收到认证消息， 进行生物识别， 将认证结果经Cloud、 FCC转发给UE，权　利　要　求　书 1/4 页 2 CN 114553413 A 2认证结束。 5.如权利要求4所述的用于生物识别身份认证的接入认证和密钥派生方法， 其特征在 于， 所述步骤(3)中的密钥派生算法包括MD5、 SHA ‑256和SM3等， 优选SM3算法； 所述步骤(3)、 (4)中的加解密算法包括AES、 3DES和SM4 等， 优选SM4 算法。 6.如权利要求1所述的用于生物识别身份认证的接入认证和密钥派生方法， 其特征在 于， 所述用于生物识别身份认证的接入认证和密钥派生方法还包括雾节点FCC和统一认证 云Cloud利用有偏 差的软生物特征生 成相同的软生物特征密钥用于加解密生物特征； 其中， 所述密钥派生和 加解密方法包括： (1)将雾节点FCC和统一认证云Cloud密钥协商得到的K分为SK和BK， 分别用于派生会话 密钥和软生物特征融合密钥； FCC和Cloud共享会话标识Sid和软生物特征融合参数SBC， 在 每次不同认证请求中均将变化， 分别辅助用于不同的密钥派生； 其中， 所述K 的密钥长度为 256bits， 所述SK为前128bits， 所述BK为后128bits； (2)雾节点FC C接收特征数据， 根据K_SBC计算软生物特 征融合参数SBC： SBC_sum＝w1×K_SBC1+w2×K_SBC2+...+wj×K_SBCj， 其中K_SBCj为用户的第j个软生 物特征， wj为对应的权 重， SBC_sum为软生物特 征的加权和； SBC＝＜SBC_sum/ Δ＞， 其中< …>代表向下取整； 使用SM3算法和不同的参数通过密钥派生 生成软生物特 征密钥KSBC和会话密钥KSESSION： KSBC＝SM3(BK,SBC)， KSESSION＝SM3(SK,Sid)； 使用KSBC和SM4算法加密生物特 征数据生成生物特 征密文C1： C1＝SM4(KSBC,V_BC)； 使用KSESSION和SM4算法加密 传输消息生成传输消息密文C2： C2＝SM4(KSESSION,＜C1,V_SBC＞)； FCC将C2和会话标识Sid发送给统一认证云Cl oud； (3)统一认证云Cl oud接收密文后， 使用SM 3算法密钥派生 生成会话密钥KSESSION： KSESSION＝SM3(SK,Sid)； 使用KSESSION和SM4算法解密 传输消息密文C2得到＜C1,V_SBC＞： ＜C1,V_SBC＞＝SM4(KSESSION,C2)； 用V_SBC在保存的用户信息中进行过滤和筛选， 找出所有可能是同一个待认证用户的 用户组， 生成集合S_Vnickname＝{V_Nickname|符合V_SBC的对应UEs的身份标识的哈希}； 对S_Vnickname中的每 个UE均计算： SBC_sumi＝w1×K_SBC1i+w2×K_SBC2i+...+wj×K_SBCji， 其中K_SBCji为第i个UE的第j 个软生物特 征， wj为对应的权 重， SBC_sumi为第i个UE的软生物特 征的加权和； SBCi＝＜SBC_sumi/Δ＞， 其中< …>代表向下取整； 权　利　要　求　书 2/4 页 3 CN 114553413 A 3