專(zhuān)利名稱(chēng):用于電子簽名的指紋識(shí)別儀的制作方法
技術(shù)領(lǐng)域:
本實(shí)用新型涉及信息安全認(rèn)證領(lǐng)域,具體涉及一種用于電子簽名的指紋識(shí)別儀。
背景技術(shù):
在信息交換發(fā)達(dá)的今天,保證信息安全成為首要問(wèn)題。為了保證信息存儲(chǔ)和傳輸?shù)陌踩?,信息的加密成為必要。目前的加密體制,一般需要用戶以口令的形式來(lái)保護(hù)密鑰,但口令難于記憶且易于破解。指紋認(rèn)證,是生物特征認(rèn)證的一種,具備準(zhǔn)確、快速、高效的特點(diǎn)。一種將指紋認(rèn)證與密碼保護(hù)體系相結(jié)合的新方式被應(yīng)用到越來(lái)越多的需要身份認(rèn)證的領(lǐng)域。
所謂電子簽名,是指數(shù)據(jù)電文中以電子形式所含、所附用于識(shí)別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)?;赑KI的公鑰密碼技術(shù)的數(shù)字簽名是電子簽名的一種特定形式。公鑰基礎(chǔ)設(shè)施PKI是一種新的信息安全認(rèn)證技術(shù),它由公開(kāi)密鑰密碼技術(shù)、數(shù)字證書(shū)、證書(shū)發(fā)放機(jī)構(gòu)(CA)和關(guān)于公開(kāi)密鑰的安全策略等基本成分共同組成的。數(shù)字證書(shū)簡(jiǎn)稱(chēng)證書(shū),是PKI的核心元素,由認(rèn)證機(jī)構(gòu)服務(wù)者簽發(fā),它是電子簽名的技術(shù)基礎(chǔ)保障?,F(xiàn)行的PKI機(jī)制一般為雙證書(shū)機(jī)制,即一個(gè)實(shí)體應(yīng)具有兩個(gè)證書(shū),兩個(gè)密鑰對(duì),一個(gè)是加密證書(shū),一個(gè)是簽名證書(shū),加密證書(shū)原則上是不能用于簽名的。證書(shū)在公鑰體制中是密鑰管理的媒介,不同的實(shí)體可通過(guò)證書(shū)來(lái)互相傳遞公鑰,證書(shū)由權(quán)威性、可信任性和公正性的第三方機(jī)構(gòu)簽發(fā),是權(quán)威性電子文檔。
如前所述,在整個(gè)電子簽名的技術(shù)實(shí)現(xiàn)中,無(wú)論是加密、傳輸、儲(chǔ)存、解密、驗(yàn)證各個(gè)過(guò)程都充分考慮了安全的需求,但是,由于電子簽名技術(shù)畢竟是一個(gè)純粹電子/信息的技術(shù),整個(gè)電子簽名的過(guò)程其實(shí)是對(duì)于數(shù)字證書(shū)的驗(yàn)證,因此在電子簽名中數(shù)字證書(shū)的安全是至關(guān)重要的。
但電子簽名中數(shù)字證書(shū)是非常容易被復(fù)制的,為了保護(hù)數(shù)字證書(shū),目前最為常用的技術(shù)是采用智能IC卡技術(shù)和USB Key技術(shù)將數(shù)字證書(shū)存放在IC卡和USB Key兩種物理介質(zhì)中,IC卡技術(shù)是通過(guò)將數(shù)字證書(shū)保存在一個(gè)非常可靠的智能芯片中,來(lái)確保數(shù)字證書(shū)不會(huì)被非法復(fù)制和使用,而且制作IC卡的成本較高。
但物理介質(zhì)與使用者之間并不存在完全不可分割的關(guān)系,唯一的關(guān)系就是通常在使用數(shù)字證書(shū)介質(zhì)的時(shí)候都會(huì)需要使用者輸入該介質(zhì)的訪問(wèn)密碼,這個(gè)訪問(wèn)數(shù)字證書(shū)的密碼正是所有電子簽名技術(shù)中最薄弱的環(huán)節(jié)。
實(shí)用新型內(nèi)容為解決現(xiàn)有技術(shù)的缺陷和不足,真正實(shí)現(xiàn)用戶身份識(shí)別,本實(shí)用新型專(zhuān)利提供的是一種全新的電子簽名方式——用于電子簽名的指紋識(shí)別儀。
用于電子簽名的指紋識(shí)別儀,包括讀取使用者的指紋信息的指紋傳感器、與上位計(jì)算機(jī)通訊的指紋識(shí)別控制器、驗(yàn)證使用者的身份的模塊安全管理器,指紋識(shí)別控制器與指紋傳感器、模塊安全管理器由通用串行總線連接,其特征在于所述的模塊安全管理器連接有智能密碼鑰匙接口。該智能密碼鑰匙接口與存儲(chǔ)外部數(shù)字證書(shū)的物理介質(zhì)連接后實(shí)現(xiàn)對(duì)指紋信息和外部數(shù)字證書(shū)的加密、解密和存儲(chǔ)。這樣的連接將用戶的指紋信息與訪問(wèn)外部數(shù)字證書(shū)的用戶的身份關(guān)聯(lián),采用指紋識(shí)別來(lái)實(shí)現(xiàn)對(duì)數(shù)字證書(shū)使用者身份的唯一性確認(rèn)。
所述的智能密碼鑰匙接口與存儲(chǔ)外部數(shù)字證書(shū)的物理介質(zhì)連接。這樣的連接實(shí)現(xiàn)了對(duì)指紋信息和外部數(shù)字證書(shū)的加密、解密和存儲(chǔ)。
所述的模塊安全管理器用于將指紋傳感器讀取指紋信息轉(zhuǎn)換為指紋模板并控制智能密碼鑰匙接口與智能密碼鑰匙通訊的開(kāi)啟和關(guān)閉。指紋傳感器讀取到使用者的指紋的圖象后,對(duì)原始圖象進(jìn)行初步的處理,使之更清晰,再建立指紋的特征數(shù)據(jù),這些數(shù)據(jù),通常稱(chēng)為指紋模板。
所述的智能密碼鑰匙接口(4)采用API應(yīng)用編程接口,所連接的物理介質(zhì)為智能IC卡或USB Key。兩種物理介質(zhì)可根據(jù)實(shí)際使用需要進(jìn)行選擇。API應(yīng)用編程接口可以支持任何國(guó)家商用密碼委員會(huì)開(kāi)發(fā)的智能密碼鑰匙。
所述的智能密碼鑰匙接口用于將指紋模板轉(zhuǎn)換成智能密碼鑰匙存儲(chǔ)于外部數(shù)字證書(shū)的物理介質(zhì)。物理介質(zhì)中通常有部分物理存儲(chǔ)空間用于存儲(chǔ)智能密碼鑰匙,只有獲得智能密碼鑰匙才能進(jìn)行對(duì)外部數(shù)字證書(shū)的訪問(wèn)。
所述的智能密碼鑰匙經(jīng)智能密碼鑰匙接口轉(zhuǎn)換后的數(shù)據(jù)與模塊安全管理器識(shí)別的數(shù)據(jù)相配。智能密碼鑰匙接口將智能密碼鑰匙解密,轉(zhuǎn)換成指紋特征數(shù)據(jù),即指紋模板。該指紋模板可為模塊安全管理器識(shí)別。
所述的模塊安全管理器用于將指紋傳感器讀取的指紋信息與存儲(chǔ)于外部數(shù)字證書(shū)的智能密碼鑰匙進(jìn)行比對(duì)。模塊安全管理器將使用者的指紋特征數(shù)據(jù)與智能密碼鑰匙轉(zhuǎn)換成的指紋特征數(shù)據(jù)進(jìn)行比對(duì),對(duì)使用者的身份進(jìn)行確認(rèn)。
所述的指紋傳感器為半導(dǎo)體傳感器。半導(dǎo)體傳感器體積小,價(jià)格低,使全部電子元器件集成為一體成為可能,并且性?xún)r(jià)比優(yōu)于光學(xué)傳感器。該半導(dǎo)體傳感器可屏蔽靜電,防止指紋傳感器被高壓靜電擊穿。
所述的指紋傳感器通過(guò)可編程控制線與模塊安全管理器通訊,響應(yīng)來(lái)自模塊安全管理器的控制信號(hào)。模塊安全管理器將指紋特征數(shù)據(jù)比對(duì)的結(jié)果,傳送給指紋傳感器,如果結(jié)果為一致,指紋傳感器將控制模塊安全管理器開(kāi)放對(duì)外部數(shù)字證書(shū)的硬件訪問(wèn)通道,起到管理和保護(hù)外部數(shù)字證書(shū)硬件訪問(wèn)通道的作用,同時(shí)作為外部數(shù)字證書(shū)的宿主平臺(tái)。
指紋傳感器、指紋識(shí)別控制器、模塊安全管理器、智能密碼鑰匙接口、可編程控制線集成為一個(gè)整體。使用于電子簽名的指紋識(shí)別儀體積小巧,便于攜帶。
本實(shí)用新型通過(guò)模塊安全管理器與智能密碼鑰匙接口的連接實(shí)現(xiàn)了指紋信息與存儲(chǔ)于外部物理媒介的智能密碼鑰匙間的相互轉(zhuǎn)換,對(duì)數(shù)據(jù)流進(jìn)行加解密后進(jìn)行同類(lèi)型數(shù)據(jù)比較,從而實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證,滿足指紋信息的安全加密儲(chǔ)存的要求;又利用指紋識(shí)別技術(shù)實(shí)現(xiàn)了對(duì)于外部數(shù)字證書(shū)的有效保護(hù),徹底解決了在應(yīng)用電子簽名技術(shù)時(shí)的安全問(wèn)題——即利用電子簽名技術(shù)實(shí)現(xiàn)了在傳輸與存儲(chǔ)等電子信息流過(guò)程中的數(shù)據(jù)安全,又利用指紋識(shí)別技術(shù)實(shí)現(xiàn)了對(duì)數(shù)字證書(shū)使用者本人的身份確認(rèn)。智能密碼鑰匙接口具有通用性可以支持經(jīng)過(guò)國(guó)家商用密碼委員會(huì)認(rèn)可的任何智能密碼鑰匙,使用于電子簽名的指紋識(shí)別儀應(yīng)用范圍不受限制。指紋傳感器采用半導(dǎo)體傳感器,降低了成本,縮小了體積,性?xún)r(jià)比更為優(yōu)越,便于實(shí)現(xiàn)將所有組成電子元器件集成為一體,便于攜帶。
圖1為本實(shí)用新型的結(jié)構(gòu)方框圖;圖2為本實(shí)用新型的邏輯結(jié)構(gòu)圖。
圖中1、指紋傳感器,2、指紋識(shí)別控制器,3、模塊安全管理器,4、智能密碼鑰匙接口,5、可編程控制線,虛線框內(nèi)為本實(shí)用新型。
具體實(shí)現(xiàn)方式通常存儲(chǔ)電子簽名中數(shù)字證書(shū)的物理介質(zhì)為智能IC卡和USBKey,兩者在本質(zhì)上沒(méi)有區(qū)別,針對(duì)不同的物理介質(zhì),智能密碼鑰匙接口可實(shí)際使用需要進(jìn)行選擇。以成本相對(duì)較低。
以下結(jié)合圖1說(shuō)明當(dāng)智能密碼鑰匙接口連接USB Key存儲(chǔ)外部數(shù)字證書(shū)時(shí)的用于電子簽名的指紋識(shí)別儀。本實(shí)用新型包括指紋傳感器1、指紋識(shí)別控制器2、模塊安全管理器3和智能密碼鑰匙接口4、可編程控制線5。
指紋識(shí)別控制器2以通用串行總線與上位計(jì)算機(jī)連接和通訊,位于整個(gè)儀器的核心位置,模塊安全管理器3、指紋傳感器1和智能密碼鑰匙接口4均通過(guò)指紋識(shí)別控制器2與上位計(jì)算機(jī)通訊。在最佳實(shí)施例中指紋識(shí)別控制器2可為指紋傳感器1提供電源。指紋識(shí)別控制器2與模塊安全管理器3和指紋傳感器1以通用串行總線連接。
指紋傳感器1,采用半導(dǎo)體傳感器,其體積小,價(jià)格低,性?xún)r(jià)比優(yōu)于光學(xué)傳感器,使全部電子元器件集成為一體后,整體體積減小,便于攜帶。該半導(dǎo)體傳感器可屏蔽靜電,防止指紋傳感器1被高壓靜電擊穿。指紋傳感器1將使用者的指紋圖像轉(zhuǎn)換成電子信號(hào),通過(guò)可編程控制線5與模塊安全管理器3通訊,傳遞給模塊安全管理器3。
模塊安全管理器3將收到的電子信號(hào)后對(duì)原始圖象進(jìn)行初步的處理,使之更清晰,再建立指紋的特征數(shù)據(jù),形成指紋模板。在作為對(duì)智能密碼鑰匙的初始化時(shí),將指紋模板通過(guò)智能密碼鑰匙接口4轉(zhuǎn)換形成的智能密碼鑰匙存儲(chǔ)于外部的USB Key中。當(dāng)需要驗(yàn)證使用者身份時(shí),模塊安全管理器3將存儲(chǔ)于外部USB Key的智能密碼鑰匙通過(guò)智能密碼鑰匙接口4轉(zhuǎn)換成的指紋特征數(shù)據(jù)與提取的使用者的指紋特征數(shù)據(jù)進(jìn)行比對(duì)。如果比較的結(jié)果為一致,指紋傳感器1將控制模塊安全管理器3開(kāi)放對(duì)USB Key的硬件訪問(wèn)通道,對(duì)于存儲(chǔ)于USBKey中的外部數(shù)字證書(shū)的訪問(wèn)和使用才能夠得以實(shí)現(xiàn)。如果比較結(jié)果為不一致,則使用者將不能通過(guò)身份驗(yàn)證,不可進(jìn)行相應(yīng)的操作。通常USB Key的存儲(chǔ)空間都能滿足存儲(chǔ)智能密碼鑰匙和數(shù)字證書(shū)的需要,并且USB Key本身具有硬件加密能力,可以保證智能密碼鑰匙的安全。智能密碼鑰匙接口4介于模塊安全管理器3和外部物理媒介之間,具有通用性,采用API應(yīng)用編程接口可基于不同的數(shù)字證書(shū),對(duì)數(shù)據(jù)流進(jìn)行加密、解密。模塊安全管理器3與智能密碼鑰匙接口4、智能密碼鑰匙接口4與外部USB Key均以通用串行總線連接。
可編程控制線5連接指紋傳感器1和模塊安全管理器3,負(fù)責(zé)兩者的通訊。
在這樣的使用環(huán)境中,USB Key被作為一個(gè)安全的存儲(chǔ)設(shè)備使用,為使用者儲(chǔ)存智能密碼鑰匙和數(shù)字證書(shū)。因此,對(duì)于多用戶的環(huán)境,只要所使用的USB Key支持分區(qū)管理,能夠把不同用戶的數(shù)據(jù)以不同的智能密碼鑰匙進(jìn)行分別存儲(chǔ),就可以實(shí)現(xiàn)單個(gè)設(shè)備對(duì)多用戶的支持。
對(duì)于智能密碼鑰匙接口連接智能IC卡的情況,工作原理相同,在此不多贅述。
圖2中,初始化外部數(shù)字證書(shū)的智能密碼鑰匙時(shí),提取使用者的指紋形成指紋圖像,對(duì)指紋圖像進(jìn)行數(shù)據(jù)處理,提取指紋特征數(shù)據(jù),形成指紋模板經(jīng)過(guò)API應(yīng)用編程接口轉(zhuǎn)換形成智能密碼鑰匙存儲(chǔ)在外部數(shù)字證書(shū)的物理介質(zhì)。驗(yàn)證使用者身份時(shí),提取使用者的指紋,經(jīng)過(guò)數(shù)據(jù)處理,形成指紋特征數(shù)據(jù),同時(shí)調(diào)用存儲(chǔ)在外部數(shù)字證書(shū)的物理介質(zhì)中的密碼鑰匙,經(jīng)過(guò)API應(yīng)用編程接口轉(zhuǎn)換成指紋模板,兩者進(jìn)行比對(duì),如果結(jié)果一致,反饋控制信號(hào)后,開(kāi)放訪問(wèn)和使用外部數(shù)字證書(shū)的通道,用應(yīng)程序可以運(yùn)行。
權(quán)利要求1.用于電子簽名的指紋識(shí)別儀,包括讀取使用者的指紋信息的指紋傳感器(1)、與上位計(jì)算機(jī)通訊的指紋識(shí)別控制器(2)、驗(yàn)證使用者的身份的模塊安全管理器(3),指紋識(shí)別控制器(2)與指紋傳感器(1)、模塊安全管理器(3)由通用串行總線連接,其特征在于所述的模塊安全管理器(3)連接有智能密碼鑰匙接口(4)。
2.根據(jù)權(quán)利要求1所述的用于電子簽名的指紋識(shí)別儀,其特征在于所述的智能密碼鑰匙接口(4)與存儲(chǔ)外部數(shù)字證書(shū)的物理介質(zhì)連接。
3.根據(jù)權(quán)利要求1所述的用于電子簽名的指紋識(shí)別儀,其特征在于所述的智能密碼鑰匙接口(4)采用API應(yīng)用編程接口,所連接的物理介質(zhì)為智能IC卡或USB Key。
4.根據(jù)權(quán)利要求1所述的用于電子簽名的指紋識(shí)別儀,其特征在于所述的指紋傳感器(1)為半導(dǎo)體傳感器。
5.根據(jù)權(quán)利要求1所述的用于電子簽名的指紋識(shí)別儀,其特征在于所述的指紋傳感器(1)通過(guò)可編程控制線(5)與模塊安全管理器(3)通訊,響應(yīng)來(lái)自模塊安全管理器(3)的控制信號(hào)。
6.根據(jù)權(quán)利要求1所述的用于電子簽名的指紋識(shí)別儀,其特征在于將指紋傳感器(1)、指紋識(shí)別控制器(2)、模塊安全管理器(3)、智能密碼鑰匙接口(4)、可編程控制線(5)集成為一個(gè)整體。
專(zhuān)利摘要用于電子簽名的指紋識(shí)別儀,涉及信息安全認(rèn)證領(lǐng)域,包括指紋傳感器、指紋識(shí)別控制器、模塊安全管理器、智能密碼鑰匙接口、可編程控制線。目前使用數(shù)字證書(shū)介質(zhì)的時(shí)候都需要使用者輸入訪問(wèn)密碼其是保護(hù)電子簽名的最薄弱環(huán)節(jié)。本實(shí)用新型通過(guò)模塊安全管理器與智能密碼鑰匙接口的連接實(shí)現(xiàn)指紋信息與智能密碼鑰匙間的相互轉(zhuǎn)換,對(duì)數(shù)據(jù)流進(jìn)行加解密后進(jìn)行同類(lèi)型數(shù)據(jù)比較,從而實(shí)現(xiàn)用戶身份的認(rèn)證,又利用指紋識(shí)別技術(shù)實(shí)現(xiàn)了對(duì)于外部數(shù)字證書(shū)的有效保護(hù)。智能密碼鑰匙接口支持經(jīng)過(guò)國(guó)家商用密碼委員會(huì)認(rèn)可的任何智能密碼鑰匙;指紋傳感器采用半導(dǎo)體傳感器,使各部件可集成為一體,降低成本,縮小體積,便于攜帶,性?xún)r(jià)比優(yōu)越。
文檔編號(hào)G06K9/00GK2824442SQ20052010049
公開(kāi)日2006年10月4日 申請(qǐng)日期2005年2月4日 優(yōu)先權(quán)日2005年2月4日
發(fā)明者王灝 申請(qǐng)人:王灝