專利名稱:利用指紋USBkey進行身份驗證的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡領(lǐng)域�����,尤其涉及利用生物識別技術(shù)進行網(wǎng)上交易操作時 利用指紋USBkey進行身份驗證的方法及系統(tǒng)�����。
背景技術(shù):
隨著國內(nèi)電子商務的蓬勃發(fā)展�,網(wǎng)上交易由于其交易成本低、方便快捷 等優(yōu)點也得到了迅猛發(fā)展��,同時利用網(wǎng)上交易的用戶數(shù)量也急劇增加��。然而���, 網(wǎng)上交易的安全問題也日益凸現(xiàn)��,它已成為阻礙網(wǎng)上交易發(fā)展的一個主要瓶 頸�����。這就造成大多數(shù)用戶除了關(guān)注網(wǎng)上交易的方便快捷外���,更在意整個交易 過程中安全的問題。特別是����,當交易過程中重要信息(如賬號和密碼)被泄漏或 篡改時,極容易造成用戶的財產(chǎn)損失��。如何提高網(wǎng)上交易的安全性�?銀行等 處理平臺通常采用身份認證來確認數(shù)據(jù)通信的安全性,進而確保整個網(wǎng)上交 易的安全性����。
最原始的方式為"用戶名+密碼"的方式。處理平臺上預先存儲用戶名與 密碼的對應關(guān)系���,當處理平臺接收到用戶端發(fā)出的包含用戶名與密碼的請求 時����,對比所述密碼與預先保存該用戶名對應的密碼��,若一致���,則通過身份認 證����。這種方式極容易造成重要數(shù)據(jù)泄露。
為此���,現(xiàn)有技術(shù)人員又提出了一種利用數(shù)字簽名技術(shù)進行數(shù)據(jù)通信的方 法��。數(shù)字簽名技術(shù)是一種用于保證信息完整性的安全技術(shù)�����。請參閱圖1,其為 現(xiàn)有的利用數(shù)字簽名技術(shù)進行數(shù)據(jù)通信的系統(tǒng)原理示意圖�����。它包括處理平臺 11�����、 CA中心(鑒定中心)12和用戶端13���。用戶端13通過網(wǎng)絡(如因特網(wǎng)) 連接處理平臺11和CA中心12。用戶端13包括一個人電腦����。
請參閱圖2,其為現(xiàn)有的利用數(shù)字簽名技術(shù)進行數(shù)據(jù)通信的方法的流程示 意簡圖�。該包括以下步驟
首先進行SIO�,用戶端獲得數(shù)字證書��。
Sll:用戶端13通常需要預先產(chǎn)生非對稱的密鑰對�����, 一為私鑰���, 一為與私 鑰對應的^^鑰�;
S12:用戶端13利用公鑰與用戶信息等向CA中心12請求數(shù)字證書的注
冊��;
S13: CA中心12在確認其身份后���,給用戶端13發(fā)送數(shù)字證書��。 接著進行S20,在每一次網(wǎng)上交易時�����,處理平臺ll和用戶端13通過數(shù)字 證書來進行數(shù)據(jù)通信�����。
S21:用戶端13用私鑰對需要傳送的信息進行簽名��; S22:用戶端13將簽名后的信息發(fā)送至處理平臺11; S23:處理平臺11接收到簽名后的數(shù)據(jù)��,到CA中心12上獲得公鑰��; S24:處理平臺ll將加密進行解密�,完成數(shù)據(jù)通信。
這種方式雖然在保證數(shù)據(jù)通信的安全性方面是一個突破����,但是,這種方 式依然存在很大的安全隱患���。比如�,黑客可以通過互聯(lián)網(wǎng)進行密鑰的攻破和 盜用�,從而引發(fā)私鑰數(shù)據(jù)篡改、非法訪問數(shù)字證書及用戶信息被篡改等情況 的發(fā)生�,進而出現(xiàn)網(wǎng)上賬戶資金被盜竊的事件。
為了更進一步改善其安全性�, 一種有效的方式是對數(shù)字證書進行安全存 儲。在專利號為200410028723.9的中國專利中,專利權(quán)人中國工商銀行公開 了一種對網(wǎng)上銀行數(shù)據(jù)進行加密���、認證的裝置和方法����。在該專利中�����,公開了 一種USBkey加密�����、認證的裝置�。該裝置為一塊USB芯片和一塊加密芯片��。 每一個USBkey上都帶有PIN碼�,數(shù)字證書可設(shè)置在USBkey上。
請參閱圖3,其為專利號200410028723.9公開的網(wǎng)上數(shù)據(jù)認證的系統(tǒng)原 理圖���。它包括處理平臺(主要指銀行服務器)21���、 CA中心22和用戶端。用 戶端包括個人電腦23,還包括USBkey24。該USBkey24可以通過USB接口 可拆卸地連4妻至個人電腦23上�。
其認證過程為
首先,根據(jù)USBkey的序列號等用戶信息生成數(shù)字證書��。 然后���,將生成的數(shù)字證書分配至用戶的USBkey24中��。它可以通過銀行內(nèi) 部拒員幫助用戶下載數(shù)字證書并將其存儲在USBkey24中來完成���,它也可以是用戶自助下載數(shù)字證書并將其存儲在USBkey24中完成。
最后���,用戶端通過USBkey24進行與處理平臺21之間的通信(請參閱圖4)�����。
S31:用戶利用個人電腦23登錄處理平臺21;
S32:處理平臺21提示插入USBkey24,提示輸入PIN碼�;
S33:個人電腦23接收用戶輸入的PIN碼�����;
S34:當輸入的PIN碼與保存的PIN—致時��,提示驗i正通過;
S35:將用戶輸入的數(shù)據(jù)導入USBkey24;
S36: USBkey24用私鑰對數(shù)據(jù)進行簽名加密�;
S37:用戶將加密的信息發(fā)送至處理平臺21;
S38:處理平臺21利用用戶證書中的公鑰驗證加密信息,進行后續(xù)的操作���。
上述專利雖然能夠大大提升數(shù)據(jù)通信��,尤其是網(wǎng)上交易過程中的數(shù)據(jù)安 全性��,但是�����,它還是存在著以下的技術(shù)缺陷
第一每一數(shù)字證書對應一PIN碼,用戶端與處理平臺之間進行網(wǎng)上數(shù) 據(jù)的認證過程中�����,多次需要在網(wǎng)絡上傳送該PIN碼�,容易被黑客通過網(wǎng)絡進 行PIN碼的攔截,造成PIN碼被盜用的后果���。另外�,對于用戶而言���,PIN碼 難記容易遺忘���,造成很多不必要的麻煩��。也就是說��,PIN碼的不易記憶性以及 在網(wǎng)絡傳輸過程中的截取性�����,都使得PIN碼不安全�����,而PIN碼被不法分子獲 得后存在操作賬戶的風險����,這也使得銀行方和用戶都擔心USBkey和PIN碼 的遺失和被盜帶來的安全問題�,由此大大限定了 USBkey被大力推廣和廣泛使 用的可能。
第二 一個私鑰和一個凄t字證書對應�����, 一個數(shù)字i正書又和一個PIN碼對 應����。當一個USBkey中保存有多個數(shù)字證書時���,用戶需要記憶對應的多個PIN 碼。當PIN設(shè)置的過于簡單時�����,擔心被破譯的危險���,當PIN過于復雜時�����,用 戶又擔心遺忘該些PIN碼��。從該考慮角度而言,現(xiàn)有的利用USBkey對網(wǎng)上 銀行進行認證的系統(tǒng)對用戶的素質(zhì)要求很高����,這就限定了其USBkey的適用范 圍,特別是一些老人和文化水平不高的人不容易接受��。
第三在進行網(wǎng)絡通信過程中��,需要保存用戶個人的私密數(shù)據(jù),但現(xiàn)有 的USBkey中沒有措施來保證用戶存儲個人信息的安全性���。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種利用指紋USBkey進行身份驗證的方法及系 統(tǒng)�����,以解決現(xiàn)有技術(shù)中PIN碼被泄露而存在安全隱患的技術(shù)問題����。
為了達到上述目的�,本發(fā)明提供了 一種利用指紋USBkey進行身份驗證的 方法,包括
(1) 預先將用戶的指紋信息錄入到指紋USBkey后保存�����;
(2) 生成至少一數(shù)字證書�����,每一數(shù)字證書的生成包括在指紋USBkey中 先產(chǎn)生一對公私密鑰對�����,再將公鑰及數(shù)字證書相關(guān)信息發(fā)送至CA中心�,后由 CA中心生成數(shù)字證書�;
(3) 每一數(shù)字證書與對應的私鑰加密存儲在指紋USBkey上����;
(4) 在用戶端與處理平臺通信時,用戶端的指紋USBkey先按預先設(shè)定驗 證方式驗證指紋通過后����,再用對應的私鑰對需要發(fā)送的數(shù)據(jù)進行數(shù)字簽名后 傳送至處理平臺進行身份驗證。
優(yōu)選地�,步驟(3)中是指紋USBkey的加密裝置通過DES算法對凄史字證書 和私鑰 一起進行硬件加密。
優(yōu)選地�,步驟(3)還可每一數(shù)字證書與對應的私鑰設(shè)置不同的指紋驗證方 式進行加密,所述指紋驗證方式為采用不同的指紋或采用多個指紋不同次序 進行組合�����,并且所述指紋是在步驟(l)已錄入并加密保存在指紋USBkey上��。
優(yōu)選地�,步驟(4)需要發(fā)送的數(shù)據(jù)是先由用戶端的個人終端發(fā)送至指紋 USBkey,再對其進行數(shù)據(jù)簽名�����。
步驟(4)進行指紋驗證進一步包括指紋USBkey的指紋識別裝置先接收 指紋USBkey的指紋傳感器的指紋圖像��,后提取指紋圖像特征值�;將預先存儲 對應的指紋信息進行解密,比較兩者的特征值并計算匹配度�����,驗證是否處于 預先設(shè)定的范圍����,若是,則驗證通過����,否則驗證不通過。
上述方法還包括
(5)指故USBkey按預先設(shè)定的驗證方式驗證指紋通過后��,允許訪問指紋 USBkey上存儲個人信息的存儲區(qū)����。
步驟(3)還包括
生成的數(shù)字證書直接從CA中心通過網(wǎng)絡下載至指紋USBKey中,或者
生成的數(shù)字證書通過銀行內(nèi)部拒員幫助用戶下載數(shù)字證書至指紋 USBKey上按預先設(shè)定的驗證方式驗證指紋通過后����,允許下載數(shù)字證書。
一種利用指紋USBkey進行身份驗證的系統(tǒng)���,包括用戶端���、CA中心和處 理平臺���,用戶端通過網(wǎng)絡連接CA中心和處理平臺,其中��,
用戶端至少包括個人終端和指紋USBkey,個人終端通過USB接口連接 指紋USBkey���,并且個人終端至少包括輸入設(shè)備和輸出設(shè)備��,
指紋USB Key包括
指紋傳感器�,用于釆集用戶指紋�����,
存儲器��,進一步包括第一存儲單元����,用于存儲包括加密的指紋信息、加 密的數(shù)字證書和私鑰信息的信息;
USB接口�,用于連接個人終端���;
中央處理器����,它連接指紋傳感器����、存儲器和USB接口,其進一步包括指 紋識別裝置和加密裝置
指紋識別裝置����,用于從指紋傳感器傳送的指紋圖像中提取圖像特征值, 并與預先存儲的指紋信息解密處理����,比較兩者的特征值并計算匹配度,驗證 是否處于預先設(shè)定的范圍內(nèi)��;
加密裝置��,用于按照預先設(shè)定的算法加密指紋信息���、加密數(shù)字證書和私 鑰信息以及私鑰加密需發(fā)送的數(shù)據(jù)���。
所述中央處理器還包括密鑰發(fā)生器����,用于在上位機的指示下產(chǎn)生公私鑰 對���,私鑰存儲在存儲器中�����。
所述存儲器還包括用于存儲個人數(shù)據(jù)的第二存儲單元�,所述第一存儲單 元和/或第二存儲單元可設(shè)置在處理器中�。
與現(xiàn)有技術(shù)相比,本發(fā)明具有以下優(yōu)點
第一���,本發(fā)明將指紋識別技術(shù)與USBkey技術(shù)相結(jié)合���,確保了用戶身份的 安全合法及準確唯一。由此�����,本發(fā)明即可避免一個用戶要記憶多個數(shù)字證書 對應的不同PIN碼,同時�,本發(fā)明也修改了整個交易流程,在此交易過程中無 需用戶輸入PIN碼��,從根本上杜絕了PIN碼被遺忘或被泄露的危險��,降低了對 電腦的依賴性�����,有效的解決了目前銀行存在的木馬攻擊���、病毒、作支網(wǎng)站等多 種形式的網(wǎng)絡攻擊��,進一步保證了網(wǎng)絡交易的安全性���。
第二����,本發(fā)明在整個身份認證過程中���,不用將指紋和密鑰等重要信息上 傳至個人終端���,是否通過身份識別的驗證過程也全都在指紋USBkey中進行��, 保存了其重要信息的安全�。這里的指紋信息都是指紋特征值�����,非指紋圖像���, 而且由用戶自我攜帶���,這也對私人生物特征進行了隱私保護。另外����,本發(fā)明 的指紋識別裝置、存儲器�����、加密裝置���、密鑰發(fā)生裝置可以設(shè)置在同一硬件芯 片上�,防止在模塊間進行通信時數(shù)據(jù)被攔截和篡改,進一步提高了安全系數(shù)����。
第三,本發(fā)明通過RSA硬件加密和DES�����、 3DES�����、 SSF33軟件加密進行多重 數(shù)據(jù)保護����,極大提高了保密性���。
圖1為現(xiàn)有的利用數(shù)字簽名技術(shù)進行數(shù)據(jù)通信的系統(tǒng)原理示意圖���; 圖2為現(xiàn)有的利用數(shù)字簽名技術(shù)進行數(shù)據(jù)通信的方法的流程示意簡圖; 圖3為專利號200410028723.9公開的網(wǎng)上數(shù)據(jù)認證的系統(tǒng)原理圖�; 圖4為用戶端利用PIN碼作身份驗證的USBkey與處^I平臺之間的通信 示意圖5為本發(fā)明利用指紋USBkey進行身份-瞼證的系統(tǒng)原理結(jié)構(gòu)示意圖6為本發(fā)明的用戶端的第一種結(jié)構(gòu)示意圖7為本發(fā)明的用戶端的第二種結(jié)構(gòu)示意圖8為本發(fā)明利用指紋USBkey進行身份驗證的流程示意圖9為利用指紋USBkey注冊數(shù)字證書的過程的實施流程圖IO為在發(fā)生網(wǎng)上銀行操作時,通過指紋USBkey驗證身份發(fā)送數(shù)字簽
名的過程的一實施流程圖�。
具體實施例方式
以下結(jié)合附圖���,具體i兌明本發(fā)明。
請參閱圖5,其為本發(fā)明利用指紋USBkey進行身份驗證的系統(tǒng)原理結(jié)構(gòu) 示意圖��。它包括用戶端����、CA中心32和處理平臺31。
用戶端進一步包括個人終端33和指紋USBkey34����。個人終端33可以是個 人電腦,也可以具有處理能力且設(shè)置有USB接口的其它設(shè)備����,比如PDA等。 用戶終端33通過網(wǎng)絡連接CA中心32和處理平臺31��。用戶端可以通過無線 網(wǎng)絡或因特網(wǎng)連接CA中心32和處理平臺31����。通過有線或無線網(wǎng)絡連接是公 知技術(shù),需要在通信雙方上設(shè)置對應接口設(shè)備即可完成通信���,后續(xù)在分別介 紹各個設(shè)備的硬件組成時����,將不再贅述。同樣�����,用戶端可以直^l妄連"^妾網(wǎng)絡�����, 也可以是通過內(nèi)部的局域網(wǎng)連接網(wǎng)絡�����。
首先介紹用戶端��。請參閱圖6�,其為本發(fā)明的用戶端的結(jié)構(gòu)示意圖����。它包 括個人終端33和指紋USBkey34。
個人終端33包括第二處理器331����、 USB接口 332�、輸入設(shè)備333和輸出 設(shè)備334���。第二處理器331上通常設(shè)置有一驅(qū)動程序���,用于控制整個網(wǎng)上交易 過程與處理平臺31之間的數(shù)據(jù)通信。即第二處理器331上設(shè)置有交易控制裝 置�����,用于控制用戶端與處理平臺31之間的數(shù)據(jù)通信�����。輸入設(shè)備333用于接收 用戶的輸入信息�����,輸出設(shè)備334用于將信息輸出以便用戶能獲得��,通常是指 顯示屏��。
指紋USBkey34包括指紋傳感器341�、中央處理器342、存儲器343和USB 接口 344。
指紋傳感器341,用于采集用戶的指紋����。在設(shè)置USBkey之初,上位機可 以是指個人終端�,但通常是指銀行內(nèi)的終端。上位機上設(shè)置有控制程序��,按 照預先的設(shè)定提示用戶輸入哪一個或哪一些用戶的指紋�����。指紋傳感器341采 集用戶的指紋�。在進行身份驗證時,指紋傳感器同樣按約定采集需要驗證身
份的用戶指紋�����。通常�����,個人終端上通過輸出終端334顯示用戶采集哪一個指 的指紋���,用戶只需要按照提示將對應該數(shù)字證書的驗證手指放置在指紋傳感 器341上即可。
存儲器343��,進一步包括第一存儲單元3431和第二存儲單元3432,第一 存儲單元3431用于包括加密的指紋信息、加密的數(shù)字證書和私鑰信息等的信 息����,所述第二存儲單元3432用于存儲個人私密信息。第一存儲單元3431和 第二存儲單元3432可以是中央處理器342的存儲單元�����,也可以是外加的存儲 單元����,如FLASH存儲區(qū)。
第一存儲單元3431也可內(nèi)置于中央處理器342中��,參照圖7���。
USB接口 344���,用于連接個人終端。
處理器342�����,它連接指纟丈傳感器341、存儲器343和USB接口 344,其進 一步包括指紋識別裝置3421�、加密裝置3422和密鑰發(fā)生器3423。
指紋識別裝置3421,用于從指紋傳感器341傳送的指紋圖像中提取圖像 特征值��,并與預先存儲的指紋信息解密處理���,比較兩者的特征值并計算匹配 度����,若匹配度大于預先設(shè)定的范圍�,則驗證通過,否則����,驗證不通過。
加密裝置3422,用于按照預先設(shè)定的算法加密指紋信息��、加密數(shù)字證書 和私鑰信息以及采用私鑰加密需發(fā)送的數(shù)據(jù)�。本發(fā)明可以通過RSA硬件加密 和DES、 3DES�����、 SSF33等軟件加密的方式進行多重數(shù)據(jù)保護�。
密鑰發(fā)生器3423,產(chǎn)生公私鑰對���,在上位機(通常是指銀行終端)的指示 下產(chǎn)生公私鑰對�����,需要說明的是����, 一個私鑰可以對應一個公鑰�����,私鑰即存入 存儲器中�,公鑰即可導出。當?shù)谝淮鎯卧?431上預先存儲有數(shù)字證書的有 關(guān)個人信息的話����,可以將公鑰與該個人信息導出后傳送至個人終端,私鑰存 儲在存儲器中�。
在整個驗證過程,可以在個人終端33上安裝一驅(qū)動程序����,用于控制整個 驗證交易過程����。但是��,考慮到每次指紋USBkey在不同的個人終端33使用時��, 還需要安裝驅(qū)動程序����,非常不方便。本發(fā)明可以考慮將用于控制整個驗證交 易過程的控制單元設(shè)置在中央處理器342上�����。個人終端33只需要將接收到的信息傳送至中央處理器342����,以及根據(jù)接收到的中央處理器342的指令后控制 本終端的輸入和輸出。
CA中心32接收到公鑰和用戶信息后���,將公鑰和用戶信息相關(guān)聯(lián)�,發(fā)放 證書�,并將信息存儲在本端的數(shù)字庫中。由于CA中心32與現(xiàn)有的CA中心 32所做的工作基本相同���,即本發(fā)明無需改造現(xiàn)有的CA中心32,具有非常好 的兼容性����,減少實施成本����。
處理平臺31在接收到加密信息后,先從CA中心32上下載用戶的數(shù)字證 書����,利用證書的公鑰對加密信息進行解密,進而驗證用戶身份��。同樣�����,處理 平臺31也不需要^f故改動�,有效地減少了實施成本。
基于上述公開的系統(tǒng)�,本發(fā)明進一步闡明本發(fā)明的驗證過程。
請參閱圖8,其為本發(fā)明一種利用指紋USB key進行身份驗證的方法的流 程圖���,它包括兩個部分
一�、 利用指紋USBkey注冊數(shù)字證書的過程
S110:預先將用戶的指紋信息錄入到指紋USBkey后加密保存;
S120:生成至少一數(shù)字證書�����,每一數(shù)字證書的生成包括在指紋USBkey 中先產(chǎn)生一對公私密鑰對����,再將公鑰及數(shù)字證書相關(guān)信息發(fā)送至CA中心,后 由CA中心生成數(shù)字證書���;
S130:每一數(shù)字證書與對應的私鑰加密存儲在指紋USBkey上����。
二�、 在發(fā)生網(wǎng)上銀行操作時,通過指紋USBkey驗證身份發(fā)送數(shù)字簽名的 過程����。
S140:在用戶端與處理平臺通信時,用戶端的指紋USBkey先《^安預先設(shè) 定驗證方式驗證指紋通過后���,再用對應的私鑰對需要發(fā)送的數(shù)據(jù)進行數(shù)字簽 名后傳送至處理平臺進行身份驗證�。
指紋USBkey先驗證指紋�,只有驗證通過后�����,才允許從存儲器中取出私 鑰���,用私鑰對需要發(fā)送的數(shù)據(jù)進行數(shù)字簽名����。處理平臺在接收到加密信息后, 從CA中心下載用戶端的數(shù)字證書�,利用證書對公鑰進行解密處理,進而完成 身份認證�����。本發(fā)明的私鑰是預先保存在指紋USBkey上��,不得導出����。另外,需
要加密的數(shù)據(jù)也是導入指紋USBkey進行加密����,解決了私鑰的安全性問題�����。并 且��,即使指紋USBkey被盜�����,也無用擔心���。
請參閱圖9,其為利用指紋USBkey注冊數(shù)字證書的過程的實施流程圖����。 它包括
在進行數(shù)字證書申請時,由申請人到指定申請網(wǎng)點進行注冊(步驟all)����。 通過USB接口將指紋USB key連接到注冊的電腦上,在指紋傳感器上錄入申 請人指紋(步驟a12)����。指紋提取是否失敗(步驟a13),若是,則需要重新錄入(步 驟al2),否則,指纟丈提取成功��,直接提交證書相關(guān)信息(步驟a14)�����。系統(tǒng)檢驗 證書信息(步驟a15)��,信息有誤����,則重新提交(步驟al4);信息無誤,由密鑰發(fā) 生器通過RSA算法生成公私密鑰對(步驟a16)���。其中,私鑰存儲指紋USBkey 的存儲器���,公鑰和數(shù)字證書相關(guān)信息將一并發(fā)送至CA中心�����。CA中心生成數(shù) 字證書�����,與公鑰對應存儲(步驟a17)����。然后由CA中心將證書發(fā)關(guān)至指紋USBkey 的存儲區(qū),與私鑰相對應存儲(步驟a17)��。
加密裝置通過DES算法對數(shù)字證書和私鑰一起硬件加密��。當然�,為了更 為安全,每一數(shù)字證書與對應的私鑰可設(shè)置不同的指紋驗證方式進行加密, 所述指紋驗證方式為采用不同的指紋或采用多個指紋不同組合次序��,并且所 述指紋是在步驟S110已錄入加密保存在指紋USB key上����。
本發(fā)明一個指紋USBkey可進行多個數(shù)字證書的注冊申請�����,并對應產(chǎn)生 多個公私鑰密鑰對����,進行不同的加密保存。每一次生成的數(shù)字證書直接從CA 中心通過網(wǎng)絡存入指紋USB Key中���,或者生成的數(shù)字證書通過銀行內(nèi)部拒員 幫助用戶下載數(shù)字證書至指紋USBKey上按預先設(shè)定的驗證方式驗證指紋 通過后���,允許下載數(shù)字證書�����。在本發(fā)明通過銀行內(nèi)部拒員來幫助用戶下載數(shù) 字證書至指紋USBkey上時�����,只需要驗證指紋�����,當指紋通過時即可進行下載操 作��,避免現(xiàn)有技術(shù)中非常繁瑣的下載步驟。
請參閱圖10,其為在發(fā)生網(wǎng)上銀行操作時��,通過指紋USBkey驗證身份 發(fā)送數(shù)字簽名的過程的一實施流程圖���。它包括
網(wǎng)上銀行交易系統(tǒng)提示進行指紋USBkey認證(步驟bll),個人終端連接 指紋USBkey�,檢查設(shè)備是否正常(步驟bU)�。在指紋USBkey連接正常的情
況下,系統(tǒng)提示驗證指紋(步驟b13)。判斷輸入的指紋是否通過驗證(步驟b14), 若是�����,則進行步驟bl5�����,解開指紋USBkey的硬件加密�����,進行步驟bl6����,否則 進行步驟bl3。步驟bl6��,讀取數(shù)字證書�����,提取相應的私鑰��,然后用私鑰對交 易信息進行數(shù)字簽名(步驟M7),并把簽名后的信息提交至處理平臺的網(wǎng)上銀 行交易系統(tǒng)中心(步驟b18)��。需要發(fā)送的數(shù)據(jù)是先由用戶端的個人終端發(fā)送至 指紋USBkey,再對其進行數(shù)據(jù)簽名�。
進行指紋^S正可以通過以下步驟實現(xiàn)
指紋USBkey的指紋識別裝置先接收指紋USBkey的指紋傳感器的指紋圖 像,后提取指紋圖像特征值����;
將預先存儲對應的指紋信息進行解密;
比較兩者的特征值���,驗證是否處于預先設(shè)定的范圍����,若是��,則驗證通過�, 否則-瞼i正不通過。
另外��,還包括指紋USBkey按預先設(shè)定的驗證方式驗證指紋通過后�,允 許訪問指紋USBkey上存儲個人信息的存儲區(qū)。這樣就能保證個人信息存儲的 安全性����。
以上公開的僅為本發(fā)明的幾個具體實施例��,但本發(fā)明并非局限于此,任 何本領(lǐng)域的技術(shù)人員能思之的變化�,都應落在本發(fā)明的保護范圍內(nèi)。
權(quán)利要求
1�����、一種利用指紋USBkey進行身份驗證的方法���,其特征在于�,包括(1)預先將用戶的指紋信息錄入到指紋USBkey后保存����;(2)生成至少一數(shù)字證書,每一數(shù)字證書的生成包括在指紋USBkey中先產(chǎn)生一對公私密鑰對�,再將公鑰及數(shù)字證書相關(guān)信息發(fā)送至CA中心,后由CA中心生成數(shù)字證書����;(3)每一數(shù)字證書與對應的私鑰加密存儲在指紋USBkey上;(4)在用戶端與處理平臺通信時�,用戶端的指紋USBkey先按預先設(shè)定驗證方式驗證指紋通過后,再用對應的私鑰對需要發(fā)送的數(shù)據(jù)進行數(shù)字簽名后傳送至處理平臺進行身份驗證�。
2、 如權(quán)利要求l所述的方法���,其特征在于��,步驟(3)中是指紋USBkey的 加密裝置通過DES算法對數(shù)字證書和私鑰一起進行硬件加密�。
3����、 如權(quán)利要求l所述的方法,其特征在于���,步驟(3)中每一數(shù)字證書與對應的私鑰可設(shè)置不同的指紋驗證方式進行加 密����,所述指紋驗證方式為采用不同的指紋或釆用多個指紋按照不同次序進行 組合���,并且所述指紋是在步驟(l)已錄入并加密保存在指紋USBkey上���。
4、 如權(quán)利要求2或3所述的方法��,其特征在于����,步驟(4)需要發(fā)送的數(shù)據(jù) 是先由用戶端的個人終端發(fā)送至指紋USBkey,再對其進行數(shù)據(jù)簽名�。
5、 如權(quán)利要求2或3所述的方法����,其特征在于,步驟(4)進行指紋驗證進 一步包括指紋USBkey的指紋識別裝置先接收由指紋USBkey的指紋傳感器發(fā)送的 指紋圖像���,后提取指紋圖像特征值�;將預先存儲對應的指紋信息進行解密����;比較兩者的特征值,-瞼證是否處于預先設(shè)定的范圍�����,若是����,則l^證通過, 否則驗證不通過���。
6�、 如權(quán)利要求2或3所述的方法,其特征在于���,還包括(5)指紋USBkey按預先設(shè)定的驗證方式驗證指紋通過后����,允許訪問指紋 USBkey上存儲個人信息的存儲區(qū)���。
7����、 如權(quán)利要求2或3所述的方法��,其特征在于�����,步驟(3)還包括生成的數(shù)字證書直接從CA中心通過網(wǎng)絡下載至指紋USBKey中��,或者生成的數(shù)字證書通過銀行內(nèi)部拒員幫助用戶下載數(shù)字證書至指紋 USBKey上按預先設(shè)定的驗證方式驗證指紋通過后����,允許下載數(shù)字證書。
8、 一種利用指紋USBkey進行身份驗證的系統(tǒng)����,其特征在于,包括用戶 端����、CA中心和處理平臺��,用戶端通過網(wǎng)絡連接CA中心和處理平臺���,其中����,用戶端至少包括個人終端和指紋USBkey����,個人終端通過USB接口連接 指紋USBkey,并且個人終端至少包括輸入設(shè)備和輸出設(shè)備�����,指紋USBkey包括指紋傳感器���,用于釆集用戶指紋����,存儲器,進一步包括第一存儲單元��,用于存儲包括加密的指紋信息����、加 密的數(shù)字證書和私鑰信息的信息;USB接口��,用于連接個人終端��;中央處理器����,它連接指紋傳感器、存儲器和USB接口�����,其進一步包括指 紋識別裝置和加密裝置指紋識別裝置���,用于從指紋傳感器傳送的指紋圖像中提取圖像特征值�, 并與預先存儲的指紋信息解密處理,比較兩者的特征值并計算匹配度���,驗證 是否處于預先設(shè)定的范圍內(nèi)�;加密裝置�����,用于按照預先設(shè)定的算法加密指紋信息�、加密數(shù)字證書和私 鑰信息以及私鑰加密需發(fā)送的數(shù)據(jù)����。
9、 如權(quán)利要求8所述的系統(tǒng)�,其特征在于,所述中央處理器還包括密鑰 .發(fā)生器���,用于在上位機的指示下產(chǎn)生公私鑰對����,私鑰存儲在存儲器中�。
10、 如權(quán)利要求8所述的系統(tǒng)�����,其特征在于,所述存儲器還包括用于存 儲個人數(shù)據(jù)的第二存儲單元�,所述第 一存儲單元和/或第二存儲單元可設(shè)置在 處理器中。
全文摘要
本發(fā)明公開了一種利用指紋USBkey進行身份驗證的方法��,包括(1)預先將用戶的指紋信息錄入到指紋USBkey后保存��;(2)生成至少一數(shù)字證書��,每一數(shù)據(jù)證書的生成包括在指紋USBkey中先產(chǎn)生一對公私密鑰對�,再將公鑰及數(shù)字證書相關(guān)信息發(fā)送至CA中心,后由CA中心生成數(shù)字證書�����;(3)每一數(shù)字證書與對應的私鑰加密存儲在指紋USBkey上��;(4)在用戶端與處理平臺通信時�,用戶端的指紋USBkey先驗證指紋,再用對應的私鑰對需要發(fā)送的數(shù)據(jù)進行數(shù)字簽名后傳送至處理平臺進行身份驗證�。本發(fā)明在驗證指紋通過后,才允許數(shù)字簽名����,在整個交互過程中�,不存在PIN碼輸入和傳輸?shù)穆┒?���,最大程度地提高了交易的安全性?br>
文檔編號H04L9/32GK101340285SQ20071004344
公開日2009年1月7日 申請日期2007年7月5日 優(yōu)先權(quán)日2007年7月5日
發(fā)明者任良斌, 康惠海, 健 李, 敏 梁, 賀曉明 申請人:杭州中正生物認證技術(shù)有限公司