基于移动终端的二代居民身份证认证研究

基于移动终端的二代居民身份证认证研究

0数据安全的保护根据sp2算法的相关研究，sm2算法的可证性安全性达到了公钥密码算法的最高安全级别，其执行效率相当于或略优于其他国际标准的同类型椭圆曲线的密码算法。区块链是一种分布式数据库,通过去中心化、去信任的方式,集体维护一个可靠数据库当前,二代居民身份证读取设备容易被不法分子利用,基于中心的认证服务大量存储用户实名信息,具有隐私泄露的风险。截止2017年12月,我国网民规模已达7.53亿,其中使用手机上网的网民占97.5%,智能手机已经成为现代生活不可缺少的一部分1预备知识1.1sm2/sm3算法国家密码管理局在ECC算法的基础上提出了一套我国自主设计的商用密码算法——SM2算法,它是一个公钥密码算法,全称为SM2椭圆曲线公钥密码算法,是我国的公钥密码算法标准。SM2算法包括数字签名算法、密钥交换协议、公钥加密算法,其安全性源于求解散对数问题的困难强度。相比RSA算法,SM2算法密钥的长度更短,具有安全性高、存储空间小、签名速度快等优点。同时,相对于国际标准ECC算法,SM2算法在解密正确性判断、明文编码问题、对待加密数据长度的限制及加密计算效率上都要更好在SM2数字签名算法中,用户A作为签名者,其密钥对包括其私钥dSM2签名及验证过程如图1、图2所示。SM3密码哈希算法是国家密码管理局2010年公布的中国商用密码哈希算法标准。该算法由王小云等人设计,消息分组512比特,输出哈希值256比特,采用merkle-damgard结构。SM3密码哈希算法的压缩函数与SHA-256的压缩函数具有相似的结构,但SM3密码哈希算法的设计更加复杂,如SHA-256压缩函数的每一轮都使用2个消息字本文采用SM2作为公钥密码算法产生公私钥对实现对用户身份信息的加密保护,采用SM3算法作为生成区块地址及哈希计算的哈希算法。1.2le根节点物理检测区块链是以P2P网络为依托,由多个独立节点参与并由这些节点共同维护的分布式数据库系统,也可以将它理解为分布式账簿。区块链的特点是不易篡改、很难伪造、可追溯如图3所示,区块链分为区块头和区块体。区块头包含版本号、上一区块哈希值、Merkle根节点、时间戳、难度值、随机数和交易记录区块链可分为公有链、私有链和联盟链。公有链中无官方组织及管理机构,无中心服务器,参与的节点按照系统规则自由接入网络,不受控制,节点间基于共识机制开展工作。私有链建立在某个企业内部,系统的运作规则根据企业要求进行设定,仅少数节点具有修改、读取权限,同时仍保留着区块链的真实性和部分去中心化的特性。联盟链则由若干机构联合发起,介于公有链和私有链之间,兼具部分去中心化的特性。区块链因其自身特有的去中心化、难篡改的特性,应用非常广泛。除了在常见的金融、教育领域外,区块链也被应用到电子政务、建筑管理、物流跟踪、智能医疗、物联网交通和食品安全等众多领域中。本文在设计移动端身份认证协议时,将认证数据写入身份认证区块链,借助联盟链形式的区块链来实现对用户身份的验证。2身份身份验证协议2.1电子身份认证本文身份认证协议中的符号及含义如表1所示。1)基本身份信息ID2)获取的面部特征值ID(1)用户注册时,系统调用智能手机等移动设备的摄像头,提取用户面部信息,并通过基于卷积神经网络的人像识别算法和神经网络模型将用户的面部信息抽象成一个固定维度(通常是几百或几千维)的向量,得到用户的面部特征值ID(2)每次登录系统都需要提取用户的面部特征值以查验用户身份,第n次登录时获取的面部特征值记为ID3)用户名ID4)用户的公私钥对(d5)随机数k和椭圆曲线基点G是椭圆曲线算法的重要参数。6)电子身份证号eID为公民网络电子身份标识,是网络上远程证明个人真实身份的权威性电子文件。我国的eID由公安部第三研究所研制签发,该身份标识依托国家人口库,可有效解决用户身份隐私信息泄露问题7)身份哈希值H8)注册时间戳T9)注册身份签名值SIG(1)用户注册时,系统使用SM2签名算法对用户的H(2)用户第n次制证时,系统使用SM2签名算法对用户的H2.2身份认证的实现过程本文设计的基于SM2算法和区块链的身份认证协议主要为电子身份证系统提供认证服务。传统eID认证服务系统框架中包含eID签发机构、eID身份登记和发行机构、身份服务机构、用户及网络应用本文将eID身份登记和发行机构进行了优化,用户可通过移动客户端完成查验登记、申领补办,解决了以往身份证申领、补办、挂失流程复杂的问题。利用区块链的去中心化、匿名化优势,替代传统身份服务机构。同时,为政府部门、商户等提供统一的认证服务应用系统,防止身份认证过程中的用户隐私泄露。本文电子身份证系统框架包括服务器端的公安认证服务系统、身份认证区块链、移动客户端的电子身份证系统、用户、PC端的认证服务应用系统,如图5所示。1)公安认证服务系统:依托国家人口库系统,核实用户身份真实性并为用户签发eID,负责eID的全生命周期管理,以及身份认证区块链的建立与维护。2)电子身份证系统:受理用户的eID申领,采集用户面部特征,为用户进行eID登记,与公安认证服务系统进行核验,为用户在线生成身份二维码。3)身份认证区块链:以公安认证服务系统生成的身份认证区块为依据,为用户提供身份查询与认证服务。4)用户:需要证明其身份真实性的所有公民。5)认证服务应用系统:向政府部门、商户统一提供身份认证服务的各类应用,依赖身份认证区块链的身份认证能力确定用户身份,提供相应服务。本文中,用户进行身份认证首先需要进行注册,注册时需通过动态验证码验证手机号的真实性和有效性;然后填写基本身份信息,通过摄像头进行面部信息采集,并设置登录用户名和登录密码。注册成功后,用户通过面部识别和登录密码进行登录,系统会为其产生动态二维码作为电子身份证。酒店、银行等机构扫描该二维码,通过认证服务应用系统验证该用户的身份信息,若通过验证,系统会返回验证成功。根据最小信息暴露原则,系统只返回验证结果,不返回用户的明文身份信息。具体流程如图6所示。2.2.1注册步骤用户A在移动客户端上注册时,采取手机动态口令验证手机号码真实性。完成手机号验证后,用户填写基本身份信息ID2.2.2目标函数用户A注册成功后,公安认证服务系统签发用户eID。移动客户端通过SM2算法产生私钥d公安认证服务系统计算用户的H身份认证区块生成流程如图8所示。产生身份认证区块的代码如下:433f4223b8e350671fBlock#4hasbeenaddedtotheblockchain!Hash:fc8d7b695bab99cec3f6c824a5e5e1e7765837c3522c6cf54b52bbda25b0e0caBlock#5hasbeenaddedtotheblockchain!Hash:9006dd3798420f9334e453b00f5c15615eeca62e304694e331fa009efdf0d820Block#6hasbeenaddedtotheblockchain!Hash:633cc899ac1fb89462d444840d446cedfddc56c39590e185ee8c1042aeb893f5Block#7hasbeenaddedtotheblockchain!Hash:d4be6cb4632e8c5d9ac5afc0f2058e8964732f16c1b9117d3a3ba67e1fc25a90Block#8hasbeenaddedtotheblockchain!Hash:547103cea13401f420830121c8f64af9521a300cd2e78889021e5fca0e08708aBlock#9hasbeenaddedtotheblockchain!Hash:059bee68c18aa1e25fbbd131341c3f29b6d1c398c60d26ca5ca54e44e81e91f1Block#10hasbeenaddedtotheblockchain!Hash:63fafbdbd076cfcd7d3292579baf0ecf7b06d025b76a03b011fb73947e93cdfa2.2.3登录步骤用户通过系统用户名ID2.2.4生成电子身份验证阶段用户登录后,移动客户端使用d2.2.5身份身份验证阶段进行身份认证时,用户出示动态身份二维码QR3系统性能分析3.1效率分析1sm2/sm3算法SM2算法的安全强度高于RSA-2048,大致与RSA-3072相当。但如果在芯片中运行RSA-3072,将非常耗时,相比之下,SM2算法所需的运算负载更小,运算速度更快本文采用SM2算法生成公私钥对以及对信息进行签名,并且用SM3算法对消息进行哈希运算,运算速度更快,运算效率更高。2人脸识别的鲁棒性目前,基于卷积神经网络的人脸识别算法识别率可达到99%以上,识别单张人脸的时间小于0.05s,并且对光照差异、面部表情变化、有无遮挡物等干扰具有鲁棒性。3参与主体之间的业务合作本文采用联盟链的形式构建用户的身份认证区块链,一方面由多机构联合参与维护管理更加公平高效,另一方面后期商户、银行等机构可加入到联盟中,使用该联盟链记录用户的购物、办卡等操作,拓展更丰富的身份认证与数据记录功能,使得身份认证效率更高。3.2安全分析本文从以下5个方面对协议的安全性进行分析。1去中心化密态存储本文协议将可查询的用户身份隐私信息通过国密算法加密后,密态地存储在身份认证区块链上,区块链去中心化的存储方式有效避免了中心化认证方式中存在的单点失败和多CA信任难的问题。2多因素认证本文协议采取动态口令、面部识别和身份二维码的多因素认证方式,引入了生物特征认证因素和动态口令机制,相比传统的智能卡与口令的双因素认证方式更加安全。3防止重放攻击每个区块的区块头包含的时间戳和随机数可以有效防止创建区块过程中的重放攻击。在认证过程中,每次传送的消息中都加入了时间戳,因此截获的消息不可重用。4推算用户公钥用户私钥加密存储在本地客户端,即使攻击者获得用户公钥,推算出身份认证区块地址,查询得到的身份信息仍是密文状态,无法破解用户身份信息。5个人隐私保护采用动态二维码和区块链的认证方式,用户身份信息不会在网上直接传送。密态的身份二维码不会泄露个人隐私,相比明文的二代身份证具有更强的隐私保护功能。根据最小信息暴露原则,认证服务应用系统通过区块链验证成功后返回的是验证结果而非用户身份信息,较传统认证方式有更好的用户隐私保护性。4电子身份认证协议的安全性分析针对目前二代居民身份证在进行身份认证的过程中存在的隐私泄露问题,本文基于SM2算法和区块链技术,并结合动态口令、面部识别、二维码等技术,对传统的身份认证方式进行了改进,提出了一种移动端安全电子身份证系统,并且设计了相关身份认证协议。SM2算法与RSA算法相比具有安全性高、存储空间小、签名速度快等优点,同时,相对于国际标准ECC,SM2算法在解密正确性判断、明文编码问题、对待加密数据长度的限制及加密计算效率上都要更好。并且SM2算法相对于RSA算法和国际标准ECC算法计算量更小,更加适用于广泛使用的移动设备。SM3算法能够有效地避免高概率的局部碰撞