本發(fā)明涉及一種移動(dòng)終端安全接入認(rèn)證方法，尤其是一種結(jié)合指紋的移動(dòng)終端安全接入認(rèn)證方法。

背景技術(shù)：

現(xiàn)階段終端安全主要采用的身份識(shí)別手段是通過密碼、USBKEY、數(shù)字證書等認(rèn)證手段，僅僅驗(yàn)證了使用者是否知道確定的信息，而這些標(biāo)識(shí)身份的媒介和被標(biāo)識(shí)的人本身并不相關(guān)，不僅容易丟失和泄漏，而且在現(xiàn)有的技術(shù)條件下，偽造也并不困難，所以傳統(tǒng)的身份識(shí)別方式已經(jīng)不能適應(yīng)快速發(fā)展的社會(huì)的各項(xiàng)智能要求，特別是安全和管理方面，客觀上需要一種新的、更加準(zhǔn)確可靠的身份識(shí)別技術(shù)。

指紋識(shí)別技術(shù)是目前最成熟且價(jià)格便宜的生物特征識(shí)別技術(shù)。目前指紋識(shí)別的技術(shù)應(yīng)用最為廣泛，不僅在門禁、考勤系統(tǒng)中可以看到指紋識(shí)別技術(shù)的身影，市場(chǎng)上有了更多指紋識(shí)別的應(yīng)用：如筆記本電腦、手機(jī)、汽車、銀行支付都可應(yīng)用指紋識(shí)別的技術(shù)。

隨著智能手機(jī)、平板電腦等無線移動(dòng)終端的普及使用，移動(dòng)辦公與遠(yuǎn)程作業(yè)趨于成熟，使移動(dòng)辦公與作業(yè)越發(fā)便捷和有效,大大提高了工作的效率和效益。但由于移動(dòng)網(wǎng)絡(luò)與終端的特性，各種網(wǎng)絡(luò)病毒和黑客攻擊引起信息安全問題也越發(fā)嚴(yán)重，保證機(jī)密數(shù)據(jù)不遭泄露，實(shí)現(xiàn)對(duì)移動(dòng)接入對(duì)象的認(rèn)證成為移動(dòng)安全接入方案的重中之重。

傳統(tǒng)的身份認(rèn)證技術(shù)一般采用安全芯片技術(shù)和PKI技術(shù)，其流程為：（1）調(diào)用安全芯片生成證書請(qǐng)求文件；（2）提交證書請(qǐng)求文件到CA系統(tǒng)簽發(fā)證書，獲得證書文件；（3）將安全芯片、證書文件和CA證書文件置于移動(dòng)終端上，運(yùn)行安全客戶端軟件；（4）安全客戶端軟件與服務(wù)端通信，交換雙方證書，通過各自CA證書文件驗(yàn)證對(duì)方證書的簽名，實(shí)現(xiàn)交互雙方身份的雙向驗(yàn)證；（5）通過密鑰協(xié)商協(xié)議，如IPSec VPN、SSL VPN或自定義協(xié)議等，協(xié)商雙方數(shù)據(jù)傳輸時(shí)的工作密鑰；

傳統(tǒng)的身份識(shí)別技術(shù)僅僅是對(duì)帶有安全芯片和數(shù)字證書的設(shè)備進(jìn)行驗(yàn)證，無法對(duì)使用設(shè)備的人的身份進(jìn)行驗(yàn)證。如果設(shè)備被非法人員獲得，將可以執(zhí)行該設(shè)備允許的所有操作，這必將造成信息泄露和錯(cuò)誤的責(zé)任追究。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明要解決的技術(shù)問題是現(xiàn)有的身份識(shí)別技術(shù)僅僅是對(duì)帶有安全芯片和數(shù)字證書的設(shè)備進(jìn)行驗(yàn)證，無法對(duì)使用設(shè)備的人的身份進(jìn)行驗(yàn)證。

為了解決上述技術(shù)問題，本發(fā)明提供了一種結(jié)合指紋的移動(dòng)終端安全接入認(rèn)證方法，包括如下步驟：

步驟1，建立加密通道，由客戶端調(diào)用USBKEY以及存儲(chǔ)于USBKEY中數(shù)字證書，按照SSL VPN協(xié)議完成基于數(shù)字證書的雙向身份驗(yàn)證以及基于國密SM1算法的加密通道協(xié)商；

步驟2，用戶注冊(cè)，具體步驟為：

步驟2.1，由客戶端收集終端特征信息，并提示用戶輸入指紋以獲取指紋特性信息，再將終端特征信息和指紋特性信息作為用戶注冊(cè)信息通過加密通道上傳至安全接入網(wǎng)關(guān)；

步驟2.2，安全接入網(wǎng)關(guān)接收客戶端上傳的用戶注冊(cè)信息，并將用戶注冊(cè)信息存儲(chǔ)于數(shù)據(jù)庫中，同時(shí)設(shè)定用戶注冊(cè)信息的初始審核結(jié)果為“未審核”，未審核的用戶不具備訪問受保護(hù)服務(wù)器的權(quán)限；

步驟3，用戶信息審核，由受保護(hù)服務(wù)器對(duì)數(shù)據(jù)庫中未審核的用戶注冊(cè)信息進(jìn)行審核，檢測(cè)其有效性和完整性，并重點(diǎn)審查是否為合法用戶，對(duì)于不合法的用戶注冊(cè)信息，設(shè)置其審核結(jié)果為“未通過”，對(duì)于合法的用戶注冊(cè)信息，設(shè)置其審核結(jié)果為“通過”；

步驟4，用戶業(yè)務(wù)訪問，具體步驟為：

步驟4.1，客戶端采集用戶的指紋特性信息，并將指紋特性信息連同終端特征信息一起上傳至安全接入網(wǎng)關(guān)，安全接入網(wǎng)關(guān)根據(jù)終端特征信息中的一項(xiàng)數(shù)據(jù)來搜索數(shù)據(jù)庫，若搜索到對(duì)應(yīng)的用戶注冊(cè)信息記錄，則進(jìn)入步驟4.2，若未搜索到對(duì)應(yīng)的用戶注冊(cè)信息記錄，則進(jìn)入步驟4.3；

步驟4.2，安全接入網(wǎng)關(guān)檢查該用戶注冊(cè)信息的審核狀態(tài)，若審核結(jié)果為“未審核”或“未通過”，則由安全接入網(wǎng)關(guān)返回失敗結(jié)果并終止該用戶的客戶端訪問受保護(hù)服務(wù)器的行為；若審核結(jié)果為“通過”，則比較該用戶的客戶端本次提交的終端特征信息與數(shù)據(jù)庫中存儲(chǔ)的終端特征信息的全部數(shù)據(jù)內(nèi)容是否完全一致，如果不完全一致，則由安全接入網(wǎng)關(guān)返回失敗結(jié)果并終止該用戶的客戶端訪問受保護(hù)服務(wù)器，如果完全一致，則由安全接入網(wǎng)關(guān)向該用戶的客戶端返回認(rèn)證成功結(jié)果，并允許該用戶的客戶端訪問受保護(hù)服務(wù)器；

步驟4.3，安全接入網(wǎng)關(guān)在數(shù)據(jù)庫中新增一條用戶注冊(cè)信息記錄，設(shè)定該用戶注冊(cè)信息初始審核結(jié)果為“未審核”，等待受保護(hù)服務(wù)器審核。

采用在用戶注冊(cè)過程中增加用戶指紋特性信息，從而在進(jìn)行用戶業(yè)務(wù)訪問時(shí)驗(yàn)證指紋特征信息，有效地對(duì)使用客戶端的人的身份進(jìn)行驗(yàn)證，防止受保護(hù)服務(wù)器被非法訪問，增強(qiáng)使用安全性；采用終端特征信息中的一項(xiàng)數(shù)據(jù)來搜索數(shù)據(jù)庫能夠有確保收索數(shù)據(jù)庫的時(shí)效性，提高系統(tǒng)的響應(yīng)速度；采用安全接入網(wǎng)關(guān)對(duì)用戶注冊(cè)信息的審核狀態(tài)進(jìn)行檢查，能夠進(jìn)一步確保對(duì)受保護(hù)服務(wù)器訪問行為的安全性。

作為本發(fā)明的進(jìn)一步限定方案，步驟2.1中的終端特征信息包括USBKEY序列號(hào)、數(shù)字證書序列號(hào)以及移動(dòng)終端序列號(hào)。采用終端特征信息能夠便于受保護(hù)服務(wù)器對(duì)客戶端的合法性進(jìn)行登記驗(yàn)證。

作為本發(fā)明的進(jìn)一步限定方案，步驟4.1中安全接入網(wǎng)關(guān)根據(jù)終端特征信息中的數(shù)字證書序列號(hào)來搜索數(shù)據(jù)庫。采用數(shù)字證書序列號(hào)來搜索數(shù)據(jù)庫能夠有確保收索數(shù)據(jù)庫的時(shí)效性，提高系統(tǒng)的響應(yīng)速度。

作為本發(fā)明的進(jìn)一步限定方案，步驟3中的不合法的用戶注冊(cè)信息分為用戶注冊(cè)信息不完整或用戶注冊(cè)信息錯(cuò)誤。對(duì)不完整或錯(cuò)誤的用戶注冊(cè)信息進(jìn)行不合法性定義能夠進(jìn)一步確保受保護(hù)服務(wù)器訪問的安全性。

作為本發(fā)明的進(jìn)一步限定方案，步驟3中對(duì)于審核結(jié)果為“未通過”的用戶注冊(cè)信息，若為合法用戶的錯(cuò)誤操作引起，則由客戶端向受保護(hù)服務(wù)器申請(qǐng)刪除原有用戶注冊(cè)信息記錄，并重新提交用戶注冊(cè)信息。該設(shè)計(jì)能夠便于合法用戶的申訴，避免造成合法用戶的誤傷。

本發(fā)明的有益效果在于：（1）采用在用戶注冊(cè)過程中增加用戶指紋特性信息，使得標(biāo)識(shí)身份的媒介和自然人本身直接相關(guān)，從而在進(jìn)行用戶業(yè)務(wù)訪問時(shí)驗(yàn)證指紋特征信息，可以實(shí)現(xiàn)將身份識(shí)別和被識(shí)別人本身真正對(duì)應(yīng)起來，有效地對(duì)使用客戶端的人的身份進(jìn)行驗(yàn)證，防止受保護(hù)服務(wù)器被非法訪問，增強(qiáng)使用安全性，解決傳統(tǒng)身份認(rèn)證技術(shù)只認(rèn)證設(shè)備不認(rèn)證設(shè)備使用人員的安全缺陷；（2）采用終端特征信息中的一項(xiàng)數(shù)據(jù)來搜索數(shù)據(jù)庫能夠有確保收索數(shù)據(jù)庫的時(shí)效性，提高系統(tǒng)的響應(yīng)速度；（3）采用安全接入網(wǎng)關(guān)對(duì)用戶注冊(cè)信息的審核狀態(tài)進(jìn)行檢查，能夠進(jìn)一步確保對(duì)受保護(hù)服務(wù)器訪問行為的安全性；（4）通過將用戶指紋特征信息與數(shù)字證書信息、USBKEY信息、移動(dòng)終端信息綁定，在驗(yàn)證設(shè)備合法性基礎(chǔ)上驗(yàn)證用戶的身份，實(shí)現(xiàn)了對(duì)使用人和使用設(shè)備的雙重驗(yàn)證；（5）服務(wù)器端進(jìn)行用戶特性信息的比較，提高了非法用戶繞過驗(yàn)證的難度；（6）通過安全加密技術(shù)傳輸用戶特性信息，保證了信息在傳輸過程中的保密性與完整性；（7）將身份驗(yàn)證結(jié)果與終端訪問權(quán)限相關(guān)聯(lián)，通過安全接入網(wǎng)關(guān)將移動(dòng)終端與受保護(hù)服務(wù)器隔離，只有通過身份驗(yàn)證的用戶，安全接入網(wǎng)關(guān)才允許其訪問受保護(hù)的服務(wù)器。

附圖說明

圖1為本發(fā)明的系統(tǒng)原理框圖；

圖2為本發(fā)明的加密通道建立流程圖；

圖3為本發(fā)明的用戶注冊(cè)流程圖；

圖4為本發(fā)明的審核流程圖；

圖5為本發(fā)明的使用流程圖。

具體實(shí)施方式

如圖1-5所示，本發(fā)明公開的結(jié)合指紋的移動(dòng)終端安全接入認(rèn)證方法采用客戶端/服務(wù)器模式，移動(dòng)終端安裝客戶端軟件，軟件首先使用USBKEY和數(shù)字證書與安全接入網(wǎng)關(guān)協(xié)商完成基于證書的身份認(rèn)證和基于國密算法的加密通道建立，然后收集終端特性信息，包括USBKEY序列號(hào)、數(shù)字證書序列號(hào)、移動(dòng)終端序列號(hào)和用戶指紋特性信息，通過加密通道上傳到安全接入網(wǎng)關(guān)。安全接入網(wǎng)關(guān)驗(yàn)證終端信息的完整性和有效性，根據(jù)驗(yàn)證結(jié)果決定終端是否能訪問受保護(hù)的服務(wù)器。具體包括如下步驟：

步驟1，建立加密通道，由用戶通過客戶端調(diào)用USBKEY以及存儲(chǔ)于USBKEY中數(shù)字證書，按照SSL VPN協(xié)議完成基于數(shù)字證書的雙向身份驗(yàn)證以及基于國密SM1算法的加密通道協(xié)商，此過程與現(xiàn)有的加密通道建立過程相同；

步驟2，用戶注冊(cè)，具體步驟為：

步驟2.1，在用戶首次運(yùn)行客戶端時(shí)，由客戶端收集終端特征信息，并提示用戶輸入指紋以獲取指紋特性信息，再將終端特征信息和指紋特性信息作為用戶注冊(cè)信息通過加密通道上傳至安全接入網(wǎng)關(guān)，其中，終端特征信息包括USBKEY序列號(hào)、數(shù)字證書序列號(hào)以及移動(dòng)終端序列號(hào)；

步驟2.2，安全接入網(wǎng)關(guān)接收客戶端上傳的用戶注冊(cè)信息，并將用戶注冊(cè)信息存儲(chǔ)于數(shù)據(jù)庫中，同時(shí)設(shè)定用戶注冊(cè)信息的初始審核結(jié)果為“未審核”，未審核的用戶不具備訪問受保護(hù)服務(wù)器的權(quán)限；

步驟3，用戶信息審核，由受保護(hù)服務(wù)器的系統(tǒng)管理員對(duì)數(shù)據(jù)庫中未審核的用戶注冊(cè)信息進(jìn)行審核，檢測(cè)其有效性和完整性，并重點(diǎn)審查是否為合法用戶，對(duì)于不合法的用戶注冊(cè)信息，設(shè)置其審核結(jié)果為“未通過”，對(duì)于合法的用戶注冊(cè)信息，設(shè)置其審核結(jié)果為“通過”，其中，不合法的用戶注冊(cè)信息分為用戶注冊(cè)信息不完整或用戶注冊(cè)信息錯(cuò)誤，對(duì)于審核結(jié)果為“未通過”的用戶注冊(cè)信息，若為合法用戶的錯(cuò)誤操作引起，則由用戶通過客戶端向受保護(hù)服務(wù)器的系統(tǒng)管理員申請(qǐng)刪除原有用戶注冊(cè)信息記錄，并重新提交用戶注冊(cè)信息；

步驟4，用戶業(yè)務(wù)訪問，具體步驟為：

步驟4.1，用戶運(yùn)行客戶端，由客戶端采集用戶的指紋特性信息，并將指紋特性信息連同終端特征信息一起上傳至安全接入網(wǎng)關(guān)，安全接入網(wǎng)關(guān)根據(jù)終端特征信息中的數(shù)字證書序列號(hào)來搜索數(shù)據(jù)庫，若搜索到對(duì)應(yīng)的用戶注冊(cè)信息記錄，則進(jìn)入步驟4.2，若未搜索到對(duì)應(yīng)的用戶注冊(cè)信息記錄，則進(jìn)入步驟4.3；

步驟4.2，安全接入網(wǎng)關(guān)檢查該用戶注冊(cè)信息的審核狀態(tài)，若審核結(jié)果為“未審核”或“未通過”，則由安全接入網(wǎng)關(guān)返回失敗結(jié)果并終止該用戶的客戶端訪問受保護(hù)服務(wù)器的行為；若審核結(jié)果為“通過”，則比較該用戶的客戶端本次提交的終端特征信息與數(shù)據(jù)庫中存儲(chǔ)的終端特征信息的全部數(shù)據(jù)內(nèi)容（即USBKEY序列號(hào)、數(shù)字證書序列號(hào)以及移動(dòng)終端序列號(hào)）是否完全一致，如果不完全一致，則由安全接入網(wǎng)關(guān)返回失敗結(jié)果并終止該用戶的客戶端訪問受保護(hù)服務(wù)器，如果完全一致，則由安全接入網(wǎng)關(guān)向該用戶的客戶端返回認(rèn)證成功結(jié)果，并允許該用戶的客戶端訪問受保護(hù)服務(wù)器；

步驟4.3，安全接入網(wǎng)關(guān)在數(shù)據(jù)庫中新增一條用戶注冊(cè)信息記錄，設(shè)定該用戶注冊(cè)信息初始審核結(jié)果為“未審核”，等待受保護(hù)服務(wù)器審核。

本發(fā)明利用基于指紋的身份識(shí)別技術(shù)，解決了傳統(tǒng)身份識(shí)別技術(shù)安全性不足的問題，通過將基于指紋的身份識(shí)別技術(shù)與傳統(tǒng)的身份識(shí)別方式相結(jié)合，將智能卡、數(shù)字證書、移動(dòng)終端和使用人生物特征作為一個(gè)整體進(jìn)行身份驗(yàn)證，任何一項(xiàng)缺失或不對(duì)應(yīng)都將導(dǎo)致驗(yàn)證不通過，這樣就使得標(biāo)識(shí)身份的介質(zhì)和使用人本身直接相關(guān)，實(shí)現(xiàn)了身份識(shí)別媒介與被識(shí)別人本身的真正對(duì)應(yīng)，有效提升了移動(dòng)終端信息接入的安全性水平，更有利于便捷的移動(dòng)技術(shù)在信息化應(yīng)用中發(fā)揮作用。

由于現(xiàn)有的生物識(shí)別技術(shù)具有多樣性，主要的生物識(shí)別技術(shù)包括人臉識(shí)別、虹膜識(shí)別、視網(wǎng)膜識(shí)別、指紋識(shí)別、掌紋識(shí)別、手形識(shí)別、簽名識(shí)別、語音識(shí)別等，可采用其中一種或幾種作為標(biāo)識(shí)人的特征信息替代本發(fā)明中的指紋特征信息，實(shí)現(xiàn)組合認(rèn)證功能。

本發(fā)明中的相關(guān)技術(shù)術(shù)語名詞解釋：

SSL VPN：是指采用SSL （Security Socket Layer）協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種新型的VPN技術(shù)。

IPSec VPN：指采用IPSec協(xié)議實(shí)現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù)，其全稱為Internet Protocol Security，是由Internet Engineering Task Force (IETF) 定義的安全標(biāo)準(zhǔn)框架，用以提供公用和專用網(wǎng)絡(luò)的端對(duì)端加密和驗(yàn)證服務(wù)。

國密SM1算法：一種國家商用密碼分組加密算法，明文與密文分組長度為128比特，有效密鑰長度為128比特。