可信融合驗證技術的實體驗證設計,包括確定實體證據類型、確定實體驗證設計方法以及確定實現傳統和特殊驗證設計。

1.確定實體證據類型

特別需指出的是,因為傳統模式識別有誤識率、拒識率缺陷,故沒有真正意義實現使用生物信息特徵驗證進行“零知識”挑戰應答。而可信融合驗證技術,實現了顺利获得生物信息特徵驗證進行“零知識”挑戰應答。

可信融合驗證技術的實體驗證設計,得顺利获得生物信息特徵採集傳感器的硬件配合實現的,但老式的計算機並不具備該硬件。為了在過渡期兼顧老式計算機的使用,還須同時用傳統密碼學技術,直到淘汰老式的計算機。

為此,確定3種實體證據類型:口令機密、事證材料、生物信息特徵數據。

(1)口令機密。

提證時驗證者可信任的秘密,如密碼、PIN、密鑰、私鑰等。

(2)事物和證件材料。

驗證者信任的提證材料,如密碼、駕駛執照、身份證、信用卡和智能卡等。

(3)生物信息特徵數據。

提證者本身的特徵,如傳統簽名、指紋、聲音、面相、視網膜模式、筆跡等。

2.挑戰應答實體驗證設計方法

挑戰應答類型包括口令機密挑戰應答、算法機密挑戰應答、“零知識”機密挑戰應答。

(1)口令機密挑戰應答。

口令驗證:是實體驗證的最簡單最古老的方式,本節密碼是提證知道的機密或事情。

當一個用戶需訪問一個系統,並用系統的資源登錄的時候,就要用到口令,每個用戶有個公開的用戶身份和一個私人的口令,可把這個驗證方案分成兩個組:固定口令與一次性口令。

(2)算法機密挑戰應答

挑戰是由驗證者發送變量值,應答是把約定變化的函數計算結果報告挑戰。

①算法機密挑戰應答舉例

由驗證者挑戰發送一個隨時間變化的值。提證者顺利获得該時間變化機密函數的計算結果,來報告應答成發這結果,稱為對驗證者的應答,應答表明提證知道這個秘密。

②算法機密挑戰應答優點

在該挑戰一應答驗證的過程中,提證不需要發送密,就可以證明知道這個秘密,就是說,提證不向驗證者發送秘密,驗證者也能知道或把它找出來。

算法機密挑戰應答與口令驗證比較,在口令驗證中,提證要表明知道一個秘密來證明其身價,然而,因為提證暴露了這個秘密,就容易受到對手的攔截。

(3)“零知識”機密挑戰應答

零知識驗證,提證者不激露可能威該秘密或機密性的任何內容,提證在不透露秘密的前提下,向驗證者證明清楚這個秘密,設計這種相互作用過程,秘密就不至於泄露或猜測交換信息後,驗證者只知道提證者有秘密,別的就不知道了。

(4)抗實體驗證攻擊分析比較

攻由方法包括顺利获得預先計劃好的挑戰系列,從提證那裏提取一些有關該秘密的信息,在零知識驗證中,在不泄露秘密的情況下提證證明它知道這個秘密。

①在算法挑戰應答實體驗證中,提證的秘密不發送給驗證者。提證運用由驗證者發送的挑戰中的一個函數,這個函數就包含的秘密。

②在某些挑戰一應答方法中:驗證者實際上知道提證的秘密,這個秘密也可能被不誠實的驗證者濫用。

③在口令驗證中,提證需要發送他的秘密給驗證者,這就是乙方竊聽的目標。此外,不誠實的驗證者可能會把口令泄露給別人,或用它模仿提證。

3.可信融合驗證技術設計

可信融合驗證技術的實體驗證設計,來自傳統實體驗證的挑戰應答“知識”,但這克服了傳統驗證設計的先天不足,形成的擴展實體驗證設計。

可信融合驗證技術,將實體驗證設計視為挑戰應答確定實體驗證設計方法,包括提證者用私鑰隱秘生物信息特徵為“零知識”證書公鑰,並顺利获得註冊該證書成為驗證者用戶。之後登錄即形成證書驗證過程。

驗證證書由驗證者發起挑戰。第一时间,提證者顺利获得證書籤名認證,認知驗證方發起該挑戰的合法性,然後,提證者顺利获得私鑰解密還原“零知識”證書公鑰為生物信息特徵知識,且顺利获得可信模式識別技術認證,從而應答該挑戰,同時實現提、驗雙向驗證。