魏鵬娟

（陜西交通職業(yè)技術(shù)學(xué)院，陜西西安，710018）

0 引言

身份識別技術(shù)是指通過一定的技術(shù)手段判斷人的身份的一種方法。網(wǎng)絡(luò)化的全面普及以及信息技術(shù)的不斷發(fā)展，使得身份識別成為非常普遍和重要的問題。隨著人工智能技術(shù)在視頻、圖像處理分析領(lǐng)域的不斷發(fā)展應(yīng)用，以視頻或圖像等可視數(shù)據(jù)為基礎(chǔ)的身份識別技術(shù)受到人們的廣泛關(guān)注和研究[1-3]。目前常用的身份識別技術(shù)主要有生物識別技術(shù)、智能卡識別技術(shù)、口令識別技術(shù)等等，被廣泛應(yīng)用到各個領(lǐng)域，對于用戶身份的安全性提供了極大的保障。但是由于門禁卡、證件等攜帶個人身份信息的物品會出現(xiàn)丟失或者被非法破譯等現(xiàn)象，因此，該種身份識別方式同樣存在較大的安全隱患[4]。

可視密碼是1994年由Naor和Shamir提出的一種一種依靠人眼解密的秘密共享方法，將一個秘密圖像加密成若干個分享圖像，并將其分配給對應(yīng)的參與者進(jìn)行保管。由于不同的分享圖像之間看起來毫無聯(lián)系，因此秘密圖像的信息很難被泄露，而解密方式也很簡單，只需要將若干分享圖像進(jìn)行疊加，即可利用視覺進(jìn)行秘密圖像的識別，不需要進(jìn)行復(fù)雜的密碼學(xué)運算[5-6]。相較于傳統(tǒng)密碼學(xué)技術(shù)而言，可視密碼技術(shù)的隱蔽性、安全性和簡易性等都更強[7]。本文中將可視密碼技術(shù)和身份識別技術(shù)進(jìn)行結(jié)合，提出一種以可視密碼為基礎(chǔ)的身份識別技術(shù)方案，將用戶的身份信息利用可視密碼技術(shù)進(jìn)行加密，并將身份信息通過秘密分享圖像的形式分別存儲于識別設(shè)備和數(shù)據(jù)庫中，身份識別只需將分享圖像進(jìn)行疊加運算即可實現(xiàn)解密?？梢暶艽a加密的方式可以有效保護(hù)用戶的身份信息，因為攻擊者無法通過分享圖像獲取秘密圖像的任何游泳信息，也無法仿制替換，保障了用戶信息的安全性。

1 可視密碼概述

密碼體制在設(shè)計時，只對秘鑰保密而算法一般是公開的，因此密碼體制的安全性由秘鑰的安全性和強度來決定。秘鑰的丟失、泄露會導(dǎo)致密碼的安全性大大降低甚至泄露，因此秘鑰的安全性是信息安全性的重要保障。通常情況下，秘鑰由一人保管，造成秘鑰的丟失和泄露概率大大提高。如果將秘鑰分為若干個子密鑰，再交由非配給對應(yīng)的人員進(jìn)行保管，而原始秘鑰的恢復(fù)需要任意固定數(shù)量的子密鑰，子密鑰少于這一固定數(shù)量變無法獲取任何原始秘鑰的有效信息，這一體制被稱為秘密共享。這一概念由Blakley和Shamir提出，同時也給出了（k,n）（1≤k≤n）門限秘密共享方案。秘密共享的基本思路是將秘密分為n個子秘密，再交由n個人進(jìn)行管理，在恢復(fù)原始秘密時需要將k個子秘密進(jìn)行集合才可以，少于k個子秘密則無法進(jìn)行原始秘密的恢復(fù)。秘密共享方案最大的優(yōu)勢是，n個子秘密中任何相應(yīng)范圍的管理人員出現(xiàn)問題，只要保證至少有k個子秘密的安全可靠，變可以恢復(fù)得到原始秘密，極大的保障了秘密的安全性。早期秘密共享主要用于處理文本形式的秘鑰，隨著科學(xué)技術(shù)的不斷發(fā)展和和信息技術(shù)的不斷更新，越來越多的圖像被用于秘鑰。作為生動、直觀的一種描述，圖像常被用于作為信息載體，被廣泛應(yīng)用到各個領(lǐng)域中。

可視密碼是以秘密共享為基礎(chǔ)的針對于圖像的密碼技術(shù)，近幾年來作為密碼學(xué)的一個新的方向發(fā)展迅速?？梢暶艽a概念最早由Noar和Shamir等人提出，同時他們還提出了適用于黑白圖像的可視密碼方案(k,n)-VCS。該方案是將一個黑白秘密圖像加密后分為n個子秘密圖像，將其中任意k個子秘密圖像進(jìn)行疊合，利用人眼便可恢復(fù)得到秘密圖像，少于k個子秘密圖像則無法得到任何有效信息。

2 基于可視密碼的身份識別方案

本文中提出的以可視密碼為基礎(chǔ)的身份識別技術(shù)方案將可視密碼技術(shù)與智能卡口令身份識別技術(shù)相結(jié)合，既可以保證身份信息的安全性，同時也無需進(jìn)行復(fù)雜運算。該方案流程協(xié)議主要分為初始化、注冊、登錄、識別四個階段。具體的方案流程如圖1所示。

圖1 以可視密碼為基礎(chǔ)的只能口令卡身份識別流程圖

2.1 初始化階段

初始化階段主要有服務(wù)器S完成，包括秘鑰Sk的選擇。

2.2 注冊階段

用戶U通過終端輸入身份標(biāo)識ID和口令PW，終端通過可視密碼方案(2,2)-VCS將用于用戶身份識別的口令PW進(jìn)行加密，并分解為兩個子秘密圖像PW1和PW2，并通過安全信道將用戶ID和子秘密圖像PW2發(fā)送給服務(wù)器S。服務(wù)器接收到上述信息后，開始執(zhí)行下述操作：

服務(wù)器S通過可視密碼方案(2,2)-VCS將空白圖像P分為兩個子秘密圖像P1、P2，同時將秘鑰Sk分解為Sk1和Sk2。

用戶U將PW1存儲到智能口令卡中。

2.3 登陸階段

用戶在登陸過程中，需要插入智能口令卡，同時輸入用戶ID和口令PW′。智能口令卡先用戶輸入的ID進(jìn)行驗證，若與其中存儲的ID不一致，則登陸失敗。若一致，則繼續(xù)執(zhí)行后續(xù)操作。

第一步，計算A=PW′⊕PW1⊕P1。

第二步，生成隨機整數(shù)M，并根據(jù)M值生成圖片I，通過可視密碼方案(2,2)-VCS將圖片I分為兩個子圖片I1和I2，并計算B=I2⊕Sk1。

第三步，發(fā)送 {ID,A,B}至服務(wù)器S，請求登陸。

2.4 識別階段

用戶識別：服務(wù)器在收到用戶請求登陸信息后，執(zhí)行下述操作對用戶進(jìn)行識別驗證。

第一，服務(wù)器在響應(yīng)數(shù)據(jù)庫中進(jìn)行搜索，查驗用戶ID是否存在。若數(shù)據(jù)庫中不存在此用戶ID則拒絕其登陸，并將結(jié)果發(fā)送給用戶。若存在用戶ID，則繼續(xù)在數(shù)據(jù)庫中搜索該用戶的相關(guān)信息數(shù)據(jù)。

第二，計算C=A⊕PW2⊕P2，驗證C與P是否相等。若二者不相等，則識別失敗，并將結(jié)果發(fā)送給用戶。若二者相等，則識別成功，繼續(xù)執(zhí)行第三步操作。

第三，計算D=B⊕P2⊕Sk2⊕Sk，并發(fā)送給用戶。

服務(wù)器識別：用戶受到服務(wù)器發(fā)送上述信息后，計算E=D⊕P1⊕R1，通過肉眼對E上的數(shù)據(jù)進(jìn)行讀取，并輸入終端，智能口令卡驗證其與數(shù)值M是否相等，若相等則識別成功，若不相等則識別失敗。

將可視密碼技術(shù)和智能口令卡身份識別技術(shù)相結(jié)合，融合了二者個優(yōu)勢，同時也克服了單獨使用的缺陷，安全性大大提高。且通過用戶和服務(wù)器的雙向認(rèn)證，更加保障了密碼的安全性。由于該方案將秘密圖像分為兩個部分進(jìn)行存儲運算，避免了服務(wù)器內(nèi)部人員的惡意行為。另外該方案的部分識別信息存儲在智能口令卡中，對竊取憑證攻擊能夠有效防御。

3 仿真實驗

為了驗證本文中提出的方案的有效性，在本部分內(nèi)容中通過仿真實驗對方案進(jìn)行驗證，得到如圖2所示的仿真結(jié)果。其中圖a～圖d代表該方案的初始化參數(shù)。

圖2 仿真實驗

由圖中可以明顯看出，中間變量A、B、D均為噪聲圖像，彼此之間毫無聯(lián)系，從這三個圖像中不能獲取任何有效信息。而變量C則為空白圖像，表明用戶的身份識別成功。而變量E與服務(wù)器生成的隨機數(shù)值M相同，則證明服務(wù)器識別成功。通過上述仿真實驗完成了服務(wù)器和用戶的雙向識別，證明了基于可視密碼技術(shù)的只能口令卡身份識別方案的可靠性和有效性。

4 結(jié)語

隨著互聯(lián)網(wǎng)的不斷普及，信息的安全性問題成為信息安全技術(shù)領(lǐng)域需要關(guān)注的重點問題。身份識別作為信息訪問的首道關(guān)口，嚴(yán)格進(jìn)行身份識別是保障信息安全的重要手段?？梢暶艽a作為信息安全技術(shù)領(lǐng)域的新方向，具有隱蔽性好，安全性高，加密解密方式簡單，通用性好等優(yōu)勢，因此將可視密碼技術(shù)應(yīng)用到身份識別方面，將極大保障用戶信息的安全性。文中首先對可視密碼進(jìn)行了概述，并針對智能口令卡身份識別技術(shù)，提出了將可視密碼技術(shù)和智能口令卡身份識別技術(shù)相結(jié)合的方案，并通過仿真實驗對方案的可行性進(jìn)行了驗證。該方案的提出對于提高信息的安全性和隱私性有重要意義。