本發(fā)明屬于計(jì)算機(jī)安全技術(shù)領(lǐng)域，特別涉及生物特征加密與賬戶信息管理方法，可用于用戶賬戶信息的一體化管理，保護(hù)用戶賬戶信息安全。

背景技術(shù)：

近年來(lái)，隨著當(dāng)今互聯(lián)網(wǎng)的迅猛發(fā)展，為滿足用戶各個(gè)方面的需求，各種電腦端的應(yīng)用層出不窮，每個(gè)用戶根據(jù)自己需求、喜好，往往會(huì)注冊(cè)許多應(yīng)用。常見(jiàn)的電腦應(yīng)用主要包括：電子郵箱，網(wǎng)上銀行，聊天軟件，購(gòu)物網(wǎng)站等。隨之而來(lái)的問(wèn)題是用戶需要精確的記住每個(gè)應(yīng)用的賬戶名和密碼，導(dǎo)致賬戶的管理和記憶十分不便。而且，經(jīng)常會(huì)發(fā)生密碼錄入錯(cuò)誤，賬戶名密碼混記、遺忘等情況。除此之外，用戶在輸入賬戶名和密碼時(shí)還可能被第三方窺視，導(dǎo)致用戶的賬戶信息泄露甚至財(cái)產(chǎn)損失。

針對(duì)上述問(wèn)題，目前市面上已經(jīng)存在一些密鑰管理系統(tǒng)和應(yīng)用程序賬戶管理方法。

海柯力士信息安全技術(shù)有限公司在其申請(qǐng)的專利文件“一種密鑰管理系統(tǒng)及應(yīng)用程序賬戶管理方法”(申請(qǐng)?zhí)朇N201510272185.6，申請(qǐng)日期2015.05.25，公開(kāi)日期2015.09.23)中提出了一種密鑰管理系統(tǒng)及應(yīng)用程序賬戶管理方法。該方法通過(guò)使用API接口在服務(wù)器中統(tǒng)一管理應(yīng)用程序的賬戶。該方法的主要步驟是：首先，獲取應(yīng)用程序的賬戶信息并保存至本地服務(wù)器；其次，修改所述應(yīng)用程序獲取賬戶信息的方式，使應(yīng)用程序通過(guò)所述服務(wù)器獲取所述賬戶信息；最后，運(yùn)行所述應(yīng)用程序，應(yīng)用程序通過(guò)身份驗(yàn)證后，所述應(yīng)用程序通過(guò)API接口訪問(wèn)所述服務(wù)器獲取所述賬戶信息。該方法存在的不足之處是：第一，應(yīng)用程序身份驗(yàn)證是通過(guò)令牌驗(yàn)證的方式，身份驗(yàn)證的方式較為不便；第二，用戶的賬戶信息存在安全隱患，存有用戶賬戶信息的服務(wù)器沒(méi)有有效的保護(hù)措施，一旦該服務(wù)器被攻擊者攻破，將導(dǎo)致用戶的賬戶信息被竊取，給用戶帶來(lái)不可預(yù)想的損失；第三，這種方法保存的所述賬戶信息經(jīng)過(guò)嚴(yán)格保護(hù)，所述應(yīng)用程序與所述服務(wù)器之間交換是加密的數(shù)據(jù)，所以該方法的賬戶信息可移植性不強(qiáng)，不能隨意拷貝、移植賬戶信息。

現(xiàn)有的方法雖然一定程度上實(shí)現(xiàn)了應(yīng)用程序賬戶管理的功能，但這些方法均存在一些問(wèn)題：(1)應(yīng)用程序賬戶管理在加密過(guò)程中沒(méi)有對(duì)用戶密鑰進(jìn)行任何保護(hù)措施或保護(hù)措施的安全等級(jí)較低，容易被攻擊者盜取用戶賬號(hào)和密碼，存在安全隱患；(2)應(yīng)用程序賬戶管理在不同電腦間不可移植。用戶在不同的電腦間仍需重新注冊(cè)賬戶管理權(quán)限，導(dǎo)致該密鑰管理系統(tǒng)拓展性不強(qiáng)，缺少靈活性。(3)應(yīng)用程序賬戶管理本身需要進(jìn)行用戶的身份驗(yàn)證，用戶每次在使用該密鑰管理系統(tǒng)時(shí)仍需登陸自己的賬戶與密碼，方可使用該系統(tǒng)的功能，給用戶帶來(lái)不便。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明提出一種基于生物特征加密的賬戶信息統(tǒng)一管理方法，以解決用戶的賬戶繁多冗雜的問(wèn)題，使得用戶在電腦端可以直接利用自己的生物特征信息，實(shí)現(xiàn)應(yīng)用賬戶的自動(dòng)登陸，并且在保障用戶的賬戶信息安全基礎(chǔ)上，也保護(hù)了用戶生物特征信息的安全性。其中生物特征包括指紋、人臉、掌握、虹膜等。

實(shí)現(xiàn)本方法的主要思想是：通過(guò)模糊保險(xiǎn)箱算法(即Fuzzy Vault算法，具體參見(jiàn)文獻(xiàn)：Fingerprint-based fuzzy vault:implementation and performance.IEEE Transactions on Information Forensics and Security,2007,2(4),pp.744-757)中的綁定算法將生物特征信息UF與用戶隨機(jī)產(chǎn)生的密鑰Key綁定，生成輔助數(shù)據(jù)Helpdata以及保險(xiǎn)箱數(shù)據(jù)V。然后以密鑰Key為加密密鑰，使用對(duì)稱加密算法中加密算法E對(duì)賬戶信息明文文件F進(jìn)行加密，得到賬戶信息密文文件CF。將賬戶信息密文文件CF、保險(xiǎn)箱數(shù)據(jù)V和輔助數(shù)據(jù)Helpdata存儲(chǔ)在本地磁盤(pán)或用戶U盤(pán)中，并將密鑰Key和賬戶信息明文文件F安全銷毀。用戶進(jìn)行賬戶登錄時(shí)，可根據(jù)本地磁盤(pán)或U盤(pán)中存儲(chǔ)的上述加密信息，結(jié)合用戶自身生物特征實(shí)現(xiàn)應(yīng)用的自動(dòng)的賬戶密碼獲取與錄入。

根據(jù)以上思路，本發(fā)明的具體實(shí)現(xiàn)主要包括以下兩個(gè)步驟：

(1)賬戶注冊(cè)階段：

(1a)用戶選擇需要用于管理的賬戶信息，構(gòu)成賬戶信息明文文件F；

(1b)用戶隨機(jī)產(chǎn)生密鑰Key，通過(guò)生物特征采集儀采集用戶的生物特征信息UF，使用模糊保險(xiǎn)箱算法中的綁定算法，將用戶的生物特征信息UF與密鑰Key綁定，生成輔助數(shù)據(jù)Helpdata以及保險(xiǎn)箱數(shù)據(jù)V；

(1c)以密鑰Key為加密密鑰，使用對(duì)稱加密算法中的加密算法E對(duì)賬戶信息明文文件F進(jìn)行加密，得到賬戶信息密文文件CF；

(1d)將賬戶信息密文文件CF、保險(xiǎn)箱數(shù)據(jù)V和輔助數(shù)據(jù)Helpdata存儲(chǔ)在文件Card中，將文件Card保存到本地磁盤(pán)或用戶U盤(pán)中，同時(shí)，銷毀密鑰Key和賬戶信息明文文件F；

(2)賬戶登錄階段：

(2a)用戶登錄賬戶時(shí)，獲取的應(yīng)用程序名稱SN和輸入的賬戶名u；

(2b)通過(guò)生物特征采集儀采集登陸用戶的生物特征信息UF’，利用模糊保險(xiǎn)箱算法中的解綁定算法，結(jié)合輔助數(shù)據(jù)Helpdata中的信息，從保險(xiǎn)箱數(shù)據(jù)V中解綁出密鑰Key；

(2c)以密鑰Key為解密密鑰，使用對(duì)稱解密算法中的解密算法D對(duì)賬戶信息密文文件CF進(jìn)行解密，解密出賬戶信息明文文件F；

(2d)根據(jù)應(yīng)用程序名稱SN和賬戶名u，查詢賬戶信息明文文件F中的和應(yīng)用程序名稱SN和賬戶名u對(duì)應(yīng)的賬戶密碼pw來(lái)完成賬戶登錄。

本發(fā)明與現(xiàn)有技術(shù)相比具有如下優(yōu)點(diǎn)：

第1.由于本發(fā)明的用戶在每次登錄應(yīng)用程序時(shí)，均需驗(yàn)證生物特征信息方可通過(guò)驗(yàn)證，克服了現(xiàn)有技術(shù)中應(yīng)用程序身份驗(yàn)證不便的問(wèn)題，使得本方法提高了用戶在登錄應(yīng)用過(guò)程中的便捷性，提高了用戶的工作效率。

第2.由于本發(fā)明使用模糊保險(xiǎn)箱技術(shù)將用戶生物特征與用戶密鑰進(jìn)行結(jié)合，保障了用戶生物特征信息的安全性，避免了用戶生物特征信息盜取的風(fēng)險(xiǎn)。同時(shí)利用對(duì)稱加密算法結(jié)合用戶密鑰對(duì)賬戶信息明文F進(jìn)行加密?？朔爽F(xiàn)有技術(shù)中賬戶信息存在安全隱患的問(wèn)題。使得本發(fā)明的模糊保險(xiǎn)箱結(jié)合對(duì)稱加密算法的這種雙層保障提高了用戶密鑰信息的安全性，增強(qiáng)了對(duì)用戶隱私的保護(hù)。

第3.由于本發(fā)明的用戶僅需拷貝磁盤(pán)或U盤(pán)中的賬戶信息文件Card，就可以在另一臺(tái)電腦端，利用生物特征實(shí)現(xiàn)應(yīng)用程序的自動(dòng)登陸，而無(wú)需重新注冊(cè)驗(yàn)證，擴(kuò)展性和靈活性更強(qiáng)，，克服了現(xiàn)有方法中賬戶信息可移植性不強(qiáng)的問(wèn)題。

附圖說(shuō)明

圖1為本發(fā)明流程圖；

圖2為本發(fā)明注冊(cè)階段的流程圖；

圖3為本發(fā)明賬戶登錄階段的流程圖。

具體實(shí)施方式

本發(fā)明實(shí)施例中涉及的名詞的物理意義界定如下。

SN：應(yīng)用程序名稱；

F：賬戶信息明文文件；

CF：賬戶信息密文文件；

Key：密鑰，用來(lái)加密賬戶信息明文文件F或解密賬戶信息密文文件CF；

u：賬戶信息明文文件F中存儲(chǔ)的賬戶名；

pw：賬戶信息明文文件F中存儲(chǔ)的帳戶密碼；

UF：用戶生物特征信息；

UF’：重新采集的用戶的生物特征信息；

V：通過(guò)模糊保險(xiǎn)箱算法生成的保險(xiǎn)箱數(shù)據(jù)；

Helpdata：模糊保險(xiǎn)箱生成的輔助數(shù)據(jù)；

E和D：分別表示對(duì)稱加密算法中的加密算法和解密算法，對(duì)稱加密算法可以是DES、AES等；

Card：用于儲(chǔ)存賬戶信息密文文件CF、保險(xiǎn)箱數(shù)據(jù)V和輔助數(shù)據(jù)Helpdata的文件；

f：模糊保險(xiǎn)箱算法中的綁定算法(Vault encoding)；

g：模糊保險(xiǎn)箱算法中的解綁定算法(Vault decoding)。

下面結(jié)合附圖1對(duì)本發(fā)明做進(jìn)一步描述。

本發(fā)明包括注冊(cè)與賬戶登錄兩個(gè)階段。

參照?qǐng)D2，對(duì)本發(fā)明注冊(cè)階段的步驟描述如下。

步驟1，獲取用戶賬戶信息。

第1步，構(gòu)造應(yīng)用程序的賬戶信息明文文件。

用戶選擇需要用于管理的賬戶信息，構(gòu)成賬戶信息明文文件F。賬戶信息明文文件F中的每個(gè)賬戶信息包括該賬戶的應(yīng)用程序名稱SN、賬戶名u及賬戶密碼pw。用戶可寫(xiě)入多個(gè)應(yīng)用程序的賬戶名與密碼。假設(shè)有n個(gè)應(yīng)用程序，任一應(yīng)用程序中包含m_i個(gè)賬戶信息。賬戶信息明文文件F具體構(gòu)造格式如下：

第2步，用戶隨機(jī)產(chǎn)生密鑰Key，并通過(guò)指紋采集儀采集用戶生物特征信息UF。獲取用戶密鑰Key以及生物特征信息UF。生物特征包括人體的指紋、人臉、掌握、虹膜中的任一種。

步驟2，采用模糊保險(xiǎn)箱算法作為生物特征信息UF與密鑰Key的綁定加密算法。

使用模糊保險(xiǎn)箱算法中的綁定算法f將生物特征信息UF與用戶隨機(jī)產(chǎn)生的密鑰Key進(jìn)行綁定，生成輔助數(shù)據(jù)Helpdata以及保險(xiǎn)箱數(shù)據(jù)V：V＝f(UF,Key)。

模糊保險(xiǎn)箱算法是一種利用生物特征對(duì)信息進(jìn)行加密的方法，它將用戶的生物特征信息UF與密鑰Key進(jìn)行綁定，不可逆的生成加密后的數(shù)據(jù)V。該算法的具體步驟是：將128bit的密鑰分割為8個(gè)16bit，然后根據(jù)密鑰計(jì)算crc16的檢驗(yàn)數(shù)據(jù)，將9個(gè)16bit的數(shù)據(jù)作為模糊保險(xiǎn)箱構(gòu)造函數(shù)的系數(shù)。將真實(shí)細(xì)節(jié)點(diǎn)與添加雜湊點(diǎn)的特征信息帶入模糊保險(xiǎn)箱構(gòu)造函數(shù)，生成模糊保險(xiǎn)箱。只有當(dāng)生物特征信息能夠成功匹配時(shí)，密鑰才能被相應(yīng)算法從模糊保險(xiǎn)箱中提取出來(lái)。

模糊保險(xiǎn)箱算法與傳統(tǒng)加密方式相比，具有安全性高、解密方便的特點(diǎn)，因此本實(shí)例選取模糊保險(xiǎn)箱算法作為計(jì)算機(jī)軟硬件信息與生物特征信息結(jié)合的方法，常見(jiàn)的模糊保險(xiǎn)箱算法包括：基于生物特征的模糊保險(xiǎn)箱算法、基于人臉識(shí)別的模糊保險(xiǎn)箱算法、基于虹膜識(shí)別的模糊保險(xiǎn)箱算法等。

本發(fā)明的實(shí)施例采用基于生物特征的模糊保險(xiǎn)箱算法作為加密算法，該算法參見(jiàn)文獻(xiàn)Fingerprint-based fuzzy vault:implementation and performance.IEEE Transactions on Information Forensics and Security,2007,2(4),pp.744-757.

步驟3，采用對(duì)稱加密算法加密賬戶信息明文文件F。

以密鑰Key為加密密鑰，使用美國(guó)數(shù)據(jù)加密標(biāo)準(zhǔn)DES對(duì)稱加密算法中的加密算法E對(duì)賬戶信息明文文件F進(jìn)行加密，得到賬戶信息密文文件CF：CF＝E _Key(F)。

DES算法是一種對(duì)稱加密算法，是美國(guó)國(guó)家標(biāo)準(zhǔn)局公布的計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)加密標(biāo)準(zhǔn)算法，可以提供高質(zhì)量的數(shù)據(jù)保護(hù)，防止數(shù)據(jù)未經(jīng)授權(quán)的泄露和未被察覺(jué)的修改，具有相當(dāng)高的復(fù)雜性，使得破譯的開(kāi)銷超過(guò)可能獲得的收益，同時(shí)又適用于不同應(yīng)用場(chǎng)景。本發(fā)明實(shí)施例的DES算法是將64位的明文輸入塊變?yōu)?4位的密文輸出快，所使用的的密鑰也是64位。該算法參見(jiàn)文獻(xiàn)：Tsunoo Y,Cryptanalysis of DES Implemented on Computers with Cache.Proc of Ches Springer Lncs,2003,2779:62-76.

步驟4，生成加密數(shù)據(jù)與輔助信息。

將賬戶信息密文文件CF、保險(xiǎn)箱數(shù)據(jù)V和輔助數(shù)據(jù)Helpdata存儲(chǔ)在文件Card中，將文件Card保存到本地磁盤(pán)或用戶U盤(pán)中，并將密鑰Key和賬戶信息明文文件F安全銷毀。

參照?qǐng)D3對(duì)本發(fā)明賬戶登錄階段的步驟描述如下。

步驟5，用戶的賬戶登陸。

第1步，用戶打開(kāi)應(yīng)用程序SN，輸入賬戶名u。當(dāng)用戶輸入密碼時(shí)，啟動(dòng)本發(fā)明的賬戶信息統(tǒng)一管理應(yīng)用程序。用戶可選擇直接手動(dòng)輸入密碼登陸，或利用生物特征信息識(shí)別登陸。如果用戶選擇手動(dòng)輸入密碼登陸，則可直接輸入密碼實(shí)現(xiàn)應(yīng)用的登陸，賬戶信息統(tǒng)一管理應(yīng)用程序結(jié)束。如果用戶選擇利用本發(fā)明方法的生物特征信息識(shí)別登陸，則繼續(xù)執(zhí)行第2步。

第2步，賬戶信息統(tǒng)一管理應(yīng)用程序會(huì)查詢本地磁盤(pán)或U盤(pán)中是否存在對(duì)應(yīng)的Card文件，如果不存在，則提示用戶“無(wú)對(duì)應(yīng)Card文件，請(qǐng)用戶注冊(cè)”；如果查詢存在，則繼續(xù)執(zhí)行第3步。

第3步，彈出生物特征采集界面，重新采集用戶的生物特征信息UF’，利用模糊保險(xiǎn)箱算法中的解綁定算法，結(jié)合輔助數(shù)據(jù)Helpdata中的信息，從保險(xiǎn)箱數(shù)據(jù)V中解綁出密鑰Key：Key＝g(V)。

第4步，以密鑰Key為解密密鑰，使用對(duì)稱加密算法中的解密算法D對(duì)賬戶信息密文文件CF進(jìn)行解密，解密出賬戶信息明文文件F：F＝D _Key(CF)。

第5步，根據(jù)應(yīng)用程序名稱SN，查詢賬戶信息明文文件F中的應(yīng)用名，如果不存在，提示用戶“沒(méi)有添加此應(yīng)用，請(qǐng)用戶手動(dòng)輸入密碼登陸”并返回輸入密碼登陸界面；如果存在，則繼續(xù)執(zhí)行第6步。

第6步，根據(jù)用戶輸入的賬戶名u，查詢賬戶信息明文文件F中對(duì)應(yīng)的賬戶名，如果不存在，提示用戶“無(wú)此應(yīng)用賬號(hào)信息，請(qǐng)用戶手動(dòng)輸入密碼登陸”并返回輸入密碼登陸界面；如果存在，則取出對(duì)應(yīng)的賬戶的密碼pw，并自動(dòng)填寫(xiě)密碼pw，完成賬戶登錄。

第7步，將密鑰Key和賬戶信息明文文件F安全銷毀。

本發(fā)明賬戶信息是可以修改的。用戶可根據(jù)需要修改賬戶信息明文文件F中的賬號(hào)與密碼信息，例如新賬號(hào)的添加、已有賬號(hào)的刪除與密碼修改，賬戶信息修改的具體實(shí)現(xiàn)如下：

第1步，利用步驟5的第2步判斷本地磁盤(pán)或U盤(pán)中是否存在對(duì)應(yīng)的Card文件；重復(fù)步驟5的第3步驗(yàn)證用戶指紋信息，并從保險(xiǎn)箱數(shù)據(jù)V中解綁出密鑰Key；重復(fù)步驟5的第4步得到賬戶信息明文文件F。

第2步，用戶根據(jù)需要修改賬戶信息明文文件F。

第3步，利用步驟2生成輔助數(shù)據(jù)以及保險(xiǎn)箱數(shù)據(jù)；利用步驟3得到賬戶信息密文文件CF；利用步驟4生成新的加密數(shù)據(jù)與輔助信息。將新的加密數(shù)據(jù)與輔助信息存儲(chǔ)到文件Card中，并將文件Card保存到本地磁盤(pán)或用戶U盤(pán)中，完成賬戶信息的修改。

第4步，將密鑰Key、原來(lái)的及更新的賬戶信息明文文件F全部安全銷毀。

本發(fā)明所述的基于生物特征加密的賬戶信息統(tǒng)一管理方法，并不僅限于說(shuō)明書(shū)中的描述。凡在本發(fā)明的精神和原則之內(nèi)，所做的任何修改、同等替換、改進(jìn)等，均包含在本發(fā)明的權(quán)利要求范圍之內(nèi)。