專利名稱:指紋識別與pki體系相結(jié)合的身份認(rèn)證系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本實用新型涉及一種信息安全技術(shù)領(lǐng)域的系統(tǒng),具體是一種指紋識別與PKI 體系相結(jié)合的身份認(rèn)證系統(tǒng)���。
背景技術(shù):
信息安全涉及到信息的采集����、存儲���、傳輸、訪問全過程��。信息操作執(zhí)行者的 非法性以及對信息的非法破壞等都會影響信息安全��,各種識別技術(shù)就是為了建立 操作者與信息操作之間的匹配性����、 一致性。以往��,對身份驗證�����,大多采用口令、 憑證等方式��,這些方式在今天仍廣泛應(yīng)用���,這種方式的建立雖然簡單方便�����,但卻 伴隨著容易丟失�、遺忘�����、復(fù)制及被盜用等諸多先天不良缺點��。
從廣義上講���,所有提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)�,都可叫做PKI系統(tǒng) (公開密鑰體系)����,PKI的主要目的是通過自動管理密鑰和證書,可以為用戶建 立起一個安全的網(wǎng)絡(luò)運行環(huán)境,使用戶可以在多種應(yīng)用環(huán)境下方便的使用加密和 數(shù)字簽名技術(shù)��,從而保證網(wǎng)上數(shù)據(jù)的機密性����、完整性、有效性����,數(shù)據(jù)的機密性是 指數(shù)據(jù)在傳輸過程中,不能被非授權(quán)者偷看��,數(shù)據(jù)的完整性是指數(shù)據(jù)在傳輸過程 中不能被非法篡改����,數(shù)據(jù)的有效性是指數(shù)據(jù)不能被否認(rèn)����。 一個典型、完整�、有效 的PKI應(yīng)用系統(tǒng)至少應(yīng)具有以下部分公鑰密碼證書管理。黑名單的發(fā)布和管 理�。密鑰的備份和恢復(fù)。自動更新密鑰��。自動管理歷史密鑰。支持交叉認(rèn)證�����。
由于PKI體系結(jié)構(gòu)是目前比較成熟�����、完善的Internet網(wǎng)絡(luò)安全解決方案�����, 國外的一些大的網(wǎng)絡(luò)安全公司紛紛推出一系列的基于PKI的網(wǎng)絡(luò)安全產(chǎn)品�����,如美 國的Verisign, IBM ����, Entrust等安全產(chǎn)品供應(yīng)商為用戶提供了一系列的客戶 端和服務(wù)器端的安全產(chǎn)品,為電子商務(wù)的發(fā)展提供了安全保證����。先進(jìn)世界上所有 的網(wǎng)上銀行均是基于PKI體系的。
由密碼學(xué)衍生出了現(xiàn)今廣泛使用的PKI體系�。整個PKI體系中最顯著的問題 是密鑰的管理�����。私鑰的管理關(guān)系到整個PKI的安全�,因此私鑰的載體也成為整個體系中最脆弱的部分�。為了密鑰安全,目前的流行形式是雙因素的認(rèn)證���,即將證 書(私鑰)保存在可信的硬件載體(Smart Card或者USB Key設(shè)備等)之中����。 但即便這樣����,也可能存在著丟失、盜用等風(fēng)險�。
生物特征識別技術(shù)無疑是身份驗證的首選方式����。指紋識別技術(shù)作為生物識別 領(lǐng)域應(yīng)用最廣泛的技術(shù),其主要原因在于指紋采集過程簡單�,采集設(shè)備成本相對 較低而且指紋比對算法經(jīng)過長期的優(yōu)化相對比較成熟。指紋特性是人體的一部 分����,不會丟失���,不必?fù)?dān)心忘記攜帶;指紋特征是每個人唯一的���,不可以復(fù)制��,不 用擔(dān)心被盜用�。所以利用指紋識別技術(shù)作為身份驗證的手段是安全�����、準(zhǔn)確�、可靠 的。但是由于生物識別由于其自身特點�,無法做到百分之百的精確識別,所以對 于不能出現(xiàn)任何差錯的應(yīng)用場合是無法完全勝任的�。
發(fā)明內(nèi)容
本實用新型針對上述現(xiàn)有技術(shù)中的不足,提供了一種指紋識別與PKI體系相 結(jié)合的身份認(rèn)證系統(tǒng)���。提出了指紋識別與PKI技術(shù)相結(jié)合的技術(shù)方案�,通過指紋 身份識別技術(shù)確定人員的真實性�����,輔助數(shù)字證書實現(xiàn)人員身份的精確判定并保障 通訊雙方身份合法性,通過數(shù)字簽名技術(shù)保障數(shù)據(jù)的完整性及數(shù)據(jù)存儲的安全 性����。
本實用新型是通過如下技術(shù)方案實現(xiàn)的,本實用新型包括證書身份認(rèn)證子 系統(tǒng)���、指紋身份認(rèn)證子系統(tǒng)����、業(yè)務(wù)終端及智能密碼指紋儀�����,其中
證書身份認(rèn)證子系統(tǒng)���、指紋身份認(rèn)證子系統(tǒng)��、業(yè)務(wù)終端三者間通過網(wǎng)絡(luò)連 接�����,智能密碼指紋儀直接連接于業(yè)務(wù)終端�,證書身份認(rèn)證子系統(tǒng)用于網(wǎng)絡(luò)上的身 份認(rèn)證����,保證各子系統(tǒng)之間的數(shù)據(jù)安全通信;指紋身份認(rèn)證子系統(tǒng)由指紋驗證服 務(wù)器組成����,指紋驗證服務(wù)器中存放有人員指紋及身份信息,指紋驗證服務(wù)器支持 加密功能���,能夠接受��、存貯加密過的來自智能密碼指紋儀中的指紋模板�����,同時能 夠根據(jù)請求下發(fā)指紋模板至證書身份認(rèn)證子系統(tǒng)和業(yè)務(wù)終端及智能密碼指紋儀��, 指紋驗證服務(wù)器可以根據(jù)請求驗證指紋模板并返回是否匹配的信息���。
所述證書身份認(rèn)證子系統(tǒng),即pki體系�,負(fù)責(zé)如下操作l.操作員信息、機 構(gòu)信息的增刪改査���;2.數(shù)字證書簽發(fā)�����、廢除��、凍結(jié)���;3.簽名驗證服務(wù)�����、數(shù)據(jù)加密 服務(wù)�。
所述指紋身份認(rèn)證子系統(tǒng)���,負(fù)責(zé)如下操作l.指紋識別數(shù)據(jù)的增加�、刪除���、修改�����;2.指紋査詢比對服務(wù)。
所述業(yè)務(wù)終端作為驗證終端,分別與證書身份認(rèn)證子系統(tǒng)和指紋身份認(rèn)證子 系統(tǒng)輸入相互配合。
所述智能密碼指紋儀���,其負(fù)責(zé)接入系統(tǒng)人員(即簡稱操作員)的指紋��,指紋 在智能密碼指紋儀中完成采集并生成指紋模板(指紋特征數(shù)據(jù))����,并內(nèi)置有存貯 器��,存儲指紋特征信息�����,操作員相關(guān)的數(shù)字證書�、密鑰等并同時通過業(yè)務(wù)終端將 信息反饋發(fā)送至證書身份認(rèn)證子系統(tǒng)和指紋身份認(rèn)證子系統(tǒng)實現(xiàn)雙重認(rèn)證(即雙 因子認(rèn)證)。
所述證書身份認(rèn)證子系統(tǒng)�����,包括CA認(rèn)證中心(證書授權(quán)中心)�、RA (注冊 權(quán))注冊中心以及分支機構(gòu)的RA注冊中心、AA認(rèn)證和授權(quán)服務(wù)器�����、LDAP輕型目 錄訪問協(xié)議服務(wù)器、SSL安全套接層協(xié)議����,上述子模塊相互之間配合協(xié)作,對外 提供PKI信任基礎(chǔ)設(shè)施的安全服務(wù)�����,其間的指令流程有成熟的國際標(biāo)準(zhǔn)����,涉及到 的國際標(biāo)準(zhǔn)包括ITU X. 509及ITU X. 500等,其中
CA認(rèn)證中心是PKI公鑰基礎(chǔ)設(shè)施的核心��,它主要完成生成/簽發(fā)證書�、生成 /簽發(fā)證書撤銷列表(CRL)、發(fā)布證書和CRL到目錄服務(wù)器��、維護(hù)證書數(shù)據(jù)庫和 審計日志庫等功能���,作為電子商務(wù)交易中受信任的第三方��,專門解決公鑰體系中 公鑰的合法性問題���。
CA認(rèn)證中心可以分級總部CA和根CA����,其中總部CA指使用本系統(tǒng)的組織 的CA系統(tǒng)�����,而根CA指的是行業(yè)性的甚至是全國性的CA系統(tǒng)����,為本組織的CA系 統(tǒng)提供合法性驗證�。
RA注冊中心是數(shù)字證書的申請、審核和注冊的機構(gòu)��,是CA認(rèn)證中心的延伸�, 在邏輯上RA和CA是一個整體,主要負(fù)責(zé)提供證書注冊�、審核以及發(fā)證功能。
AA (Authentication and Authorization)認(rèn)證和授權(quán)服務(wù)器為系統(tǒng)管理員 提供用戶信息�、認(rèn)證和授權(quán)的管理。
1DAP (Lightweight Directory Access Protocol)輕型目錄i方問助���、議月艮務(wù) 器��,統(tǒng)一存儲用戶信息����、證書和授權(quán)信息,LDAP/DB是一個實現(xiàn)此功能的數(shù)據(jù)庫 服務(wù)器��。
SSL (Secure Sockets Layer)安全套接層協(xié)議���,廣泛用于Internet上的身 份認(rèn)證與Web服務(wù)器和用戶端瀏覽器之間的數(shù)據(jù)安全通信�。
所述的指紋驗證服務(wù)器���,包括數(shù)據(jù)庫和比對算法模塊��、加密/解密模塊����,數(shù)據(jù)庫可以是任何關(guān)系型數(shù)據(jù)庫如SQLSERVER/SYBASE/INF0RMIX/DB2/0RECAL等�����, 比對算法模塊和加密/解密模塊在數(shù)據(jù)庫內(nèi)建立了網(wǎng)點機構(gòu)表�、網(wǎng)點設(shè)備表、人 員表�、指紋模板表�、操作日志表�、系統(tǒng)管理員表,表內(nèi)建立人員指紋信息與業(yè)務(wù) 系統(tǒng)人員號的對應(yīng)關(guān)系��,形成人員機構(gòu)及崗位權(quán)限管理系統(tǒng)�����,從而提供對網(wǎng)點機 構(gòu)管理����、設(shè)備管理��、崗位權(quán)限管理��、指紋模板管理���、操作日志管理���。
所述智能密碼指紋儀,包括主處理芯片及COS (Chip Operating System) 管理系統(tǒng)��,負(fù)責(zé)接入系統(tǒng)人員(即操作員)的指紋�,并內(nèi)置存貯器���,存放指紋特 征信息(即指紋模板),操作員相關(guān)的數(shù)字證書����、密鑰等。因此����,智能密碼指紋 儀內(nèi)數(shù)據(jù)的安全性非常重要。
所述主處理芯片采用安全芯片��,實現(xiàn)如下功能片上密鑰管理(密鑰生成�����、 密鑰存儲�、密鑰更新等);片上簽名及身份認(rèn)證(可以支持RSA���、 ECC域等公鑰 算法)���;專用算法下載執(zhí)行及高速率數(shù)據(jù)加解密(支持DES/3DES算法及包括國密 辦專用算法在內(nèi)的各種專用密碼算法)。私鑰存放在安全芯片內(nèi)����,永不出芯片����, 從而保證了私鑰的絕對安全性�。
所述COS管理系統(tǒng),用于管理數(shù)字證書����、私鑰及指紋模板在智能密碼指紋儀 內(nèi)的存貯,CA認(rèn)證中心通過實現(xiàn)定義好的程序接口向智能密碼指紋儀發(fā)起指令��, 智能密碼指紋儀據(jù)此作出響應(yīng)�,因而對系統(tǒng)的非法入侵具有很強的抗干擾能力�。
所述智能密碼指紋儀,采集接入系統(tǒng)人員(即操作員)的指紋信息���,是安全 問題的核心���,可根據(jù)系統(tǒng)規(guī)模采用不同的方式如果系統(tǒng)規(guī)模較小,在采取指定 地點的集中采集���,從根源上避免指紋和人員身份上可能存在的非法對應(yīng)���;如果系 統(tǒng)規(guī)模較大�,指紋采集工作可采取分級管理的模式����,分設(shè)總部管理員、分支機構(gòu) 管理員�����、營業(yè)機構(gòu)管理員三級結(jié)合的管理機制����。根據(jù)組織結(jié)構(gòu)及信息系統(tǒng)的規(guī)模, 可以在總部或者分支機構(gòu)設(shè)置RA操作員��,完成審核及錄入操作員信息的工作并 生成�����。根據(jù)授權(quán)碼執(zhí)行指紋登記的過程��,建議地點為分支機構(gòu)完成�,以保障系統(tǒng) 的安全。
本實用新型工作時��,相應(yīng)的業(yè)務(wù)流程如下
1、 新增操作員
RA錄入審核操作員信息—生成指紋授權(quán)碼—指紋認(rèn)證系統(tǒng)根據(jù)授權(quán)碼登記 指紋+前臺根據(jù)授權(quán)碼下載數(shù)字證書到指紋儀—簽到��、授權(quán)等后續(xù)業(yè)務(wù)流程�。
2、 刪除操作員
6a�����、 RA廢除證書—刪除證書信息�、刪除用戶信息—刪除指紋系統(tǒng)中的指 紋信息+刪除指紋儀中的操作員的指紋模版、數(shù)字證書�����。
3�����、 修改操作員
a����、 營業(yè)機構(gòu)主管驗證指紋+刪除指紋儀中的操作員的指紋模版����、數(shù)字證書�����。
b�����、 RA廢除證書》刪除證書���、用戶信息">新增操作員流程(不含指紋登記)。
4���、 簽到�、加密流程
指紋儀內(nèi)部校驗指紋今提取數(shù)字證書—數(shù)字簽名今證書認(rèn)證中心驗證數(shù)字 簽名+后續(xù)業(yè)務(wù)處理���。
5���、 授權(quán)流程
提取指紋信息+指紋認(rèn)證中心驗證身份—后續(xù)授權(quán)流程。 本實用新型通過將指紋識別指紋生物特征和PKI體系相結(jié)合�����,該驗證系統(tǒng)能 夠很好的解決單純PKI體系中證書/私鑰載體被非授權(quán)人員使用的漏洞,同時也 能克服指紋識別中存在的識假問題����,極大的增強了身份識別系統(tǒng)的安全強度。從 理論上來說�����,使用PKI指紋認(rèn)證指紋儀時被信息被非授權(quán)人員獲取的幾率趨近于 0��。由于本本實用新型創(chuàng)新地將生物認(rèn)證技術(shù)和PKI體系相結(jié)合��,解決了現(xiàn)在PKI 體系發(fā)展中的證書(私鑰)存放存在的漏洞�����,極大的增強了整個PKI認(rèn)證體系的 安全性���,必將對PKI體系的發(fā)展發(fā)揮較大的推動���,從而提高信息系統(tǒng)的安全性。 與現(xiàn)有技術(shù)相比�,本實用新型具有如下有益效果
1. 指紋模板與指紋驗證服務(wù)器間的通信信息使用PKI體系的非對稱算法加 密,確保指紋模板即使被截獲亦無法被泄露�。在現(xiàn)有指紋驗證終端(指紋儀)上 傳指紋模板時���,多數(shù)未加密�����,因此傳輸數(shù)據(jù)一旦被截獲��,指紋模板可能被非法復(fù) 制使用����,從而失去了指紋模板作為身份認(rèn)證的功用。現(xiàn)在有部分指紋驗證終端聲 稱指紋模板數(shù)據(jù)上傳是加密的�����,但是由于未與PKI結(jié)合����,只能采用對稱算法,因 而如果加密密碼一旦泄露����,指紋模板仍有可能被非法復(fù)制使用。而在PKI體系中 引入了證書�����,通過配合加密算法、摘要算法等��,保證了智能密碼指紋儀和指紋驗 證服務(wù)器之間的通信即使在被截獲后亦無法破解���,而且通信過程可以不被干擾�����。
2. 傳統(tǒng)的證書終端載體如USB Key通過PKI體系來驗證身份的合法性�,但 是由于無法判斷不同使用者的身份��,而使得證書終端載體僅能供一人使用���。USB Key從理論上來說也可以通過口令來判斷不同使用者��,但是口令容易泄露����,從而 使得證書終端載體成為整個P K I體系中薄弱的一環(huán)����,故而在實踐中基本沒有使用���。在本實用新型系統(tǒng)中��,智能密碼指紋儀作為證書終端載體�,其中可以存放多 個使用者的指紋模板和使用者的證書,而通過使用者的指紋模板及其證書之間建 立關(guān)聯(lián)即可以在同一證書終端載體上(智能密碼指紋儀)區(qū)別不同的使用者����,從 而達(dá)到不同的使用者僅能調(diào)用其相應(yīng)的證書,既使得同一證書終端載體可供多人 同時使用�,又保證了系統(tǒng)的安全性。
3.指紋在智能密碼指紋儀中完成采集����,以及在指紋身份認(rèn)證子系統(tǒng)中下 載指紋模板(指紋特征數(shù)據(jù))均通過加密完成,從而保證了指紋模板(指紋特征 數(shù)據(jù))在傳輸過程中的安全性��。本實用新型系統(tǒng)通過加密解決了傳統(tǒng)的指紋驗證 系統(tǒng)存在的指紋數(shù)據(jù)泄漏的漏洞����。在本實用新型應(yīng)用的系統(tǒng)中,即使指紋模板在 傳輸中被截獲�,截獲者也無法獲取指紋特征,因而也無法通過偽裝騙過指紋驗證��。 本實用新型可廣泛用于下列場所
1. 網(wǎng)上銀行、網(wǎng)上證券等交易系統(tǒng)的登陸認(rèn)證�����;
2. 電子政務(wù)����、涉密信息網(wǎng)、金融行業(yè)等的信息系統(tǒng)對身份認(rèn)證有要求嚴(yán)格 的行業(yè)和場所
3. 可廣泛應(yīng)用于根據(jù)公安部�����、保密局�����、商密局等公布的《信息安全等級保 護(hù)管理辦法》確認(rèn)的所有五個級別的特別是三級以上的信息系統(tǒng)的安全保障��。
圖1是本實用新型系統(tǒng)的結(jié)構(gòu)示意圖���。
圖2是本實用新型在指紋模板采集過程中指紋模板加密的流程示意圖����。
具體實施方式
以下結(jié)合附圖對本實用新型的實施例作詳細(xì)說明本實施例在以本實用新型 技術(shù)方案為前提下進(jìn)行實施���,給出了詳細(xì)的實施方式�����,但本實用新型的保護(hù)范圍 不限于下述的實施例�����。
如圖1所示����,本實施例包括證書身份認(rèn)證子系統(tǒng)����、指紋身份認(rèn)證子系統(tǒng)、 業(yè)務(wù)終端及智能密碼指紋儀����,其中證書身份認(rèn)證子系統(tǒng)、指紋身份認(rèn)證子系 統(tǒng)����、業(yè)務(wù)終端三者間通過網(wǎng)絡(luò)連接,智能密碼指紋儀直接連接于業(yè)務(wù)終端�����,證 書身份認(rèn)證子系統(tǒng)用于網(wǎng)絡(luò)上的身份認(rèn)證,保證各子系統(tǒng)之間的數(shù)據(jù)安全通信����; 指紋身份認(rèn)證子系統(tǒng)由指紋驗證服務(wù)器組成,指紋驗證服務(wù)器中存放有人員指紋及身份信息�����,指紋驗證服務(wù)器支持加密功能��,能夠接受�����、存貯加密過的來自智能 密碼指紋儀中的指紋模板�,同時能夠根據(jù)請求下發(fā)指紋模板至證書身份認(rèn)證子系 統(tǒng)和業(yè)務(wù)終端及智能密碼指紋儀,指紋驗證服務(wù)器根據(jù)請求驗證指紋模板并返回 是否匹配的信息��。
所述證書身份認(rèn)證子系統(tǒng)���,即pki體系���,負(fù)責(zé)如下操作l.操作員信息���、機 構(gòu)信息的增刪改查;2.數(shù)字證書簽發(fā)��、廢除����、凍結(jié);3.簽名驗證服務(wù)��、數(shù)據(jù)加密 服務(wù)�。
所述指紋身份認(rèn)證子系統(tǒng)�����,負(fù)責(zé)如下操作l.指紋識別數(shù)據(jù)的增加��、刪除�����、 修改����;2.指紋査詢比對服務(wù)��,其具體參數(shù)如下
操作系統(tǒng) Windows 98/SE, Windows ME����, Windows 2000���, Windows XP 硬件接口 通用串行總線接口�����, USB1. 1/2.0 容量 256M-4G
讀寫速率讀30M/S寫20M/S
拒真率(FRR)《1%
識假率(FAR)《0.0001%
內(nèi)置算法 RSA (1024/2048)/ECC192/SCB2
證書和標(biāo)準(zhǔn) PKCSftll�����, CSP����, X, 509v3���, SSLv3����, IPSec
工作溫度-10。C一70��。C
安全性設(shè)計 產(chǎn)品通過公安部安全產(chǎn)品測試�;
使用壽命〉100萬次。
所述業(yè)務(wù)終端作為驗證終端����,分別與證書身份認(rèn)證子系統(tǒng)和指紋身份認(rèn)證子 系統(tǒng)輸入相互配合。
所述智能密碼指紋儀���,其負(fù)責(zé)接入系統(tǒng)人員(即簡稱操作員)的指紋���,指紋 在智能密碼指紋儀中完成采集并生成指紋模板(指紋特征數(shù)據(jù)),并內(nèi)置有存貯 器����,存儲指紋特征信息�����,操作員相關(guān)的數(shù)字證書���、密鑰等并同時通過業(yè)務(wù)終端將 信息反饋發(fā)送至證書身份認(rèn)證子系統(tǒng)和指紋身份認(rèn)證子系統(tǒng)實現(xiàn)雙重認(rèn)證(即雙 因子認(rèn)證)���。
所述證書身份認(rèn)證子系統(tǒng)�,包括CA認(rèn)證中心���、RA注冊中心以及分支機構(gòu) 的RA注冊中心�、M認(rèn)證和授權(quán)服務(wù)器����、LDAP輕型目錄訪問協(xié)議服務(wù)器、SSL安 全套接層協(xié)議�,上述子模塊相互之間配合協(xié)作,對外提供PKI信任基礎(chǔ)設(shè)施的安全服務(wù)����,其間的指令流程有成熟的國際標(biāo)準(zhǔn),涉及到的國際標(biāo)準(zhǔn)包括ITUX.509 及ITU X. 500等����,其中
CA認(rèn)證中心是PKI公鑰基礎(chǔ)設(shè)施的核心,它主要完成生成/簽發(fā)證書����、生成 /簽發(fā)證書撤銷列表(CRL)、發(fā)布證書和CRL到目錄服務(wù)器����、維護(hù)證書數(shù)據(jù)庫和 審計日志庫等功能�����,作為電子商務(wù)交易中受信任的第三方��,專門解決公鑰體系中 公鑰的合法性問題����。
CA認(rèn)證中心可以分級總部CA和根CA��,其中總部CA指使用本系統(tǒng)的組織 的CA系統(tǒng)���,而根CA指的是行業(yè)性的甚至是全國性的CA系統(tǒng)�,為本組織的CA系 統(tǒng)提供合法性驗證��。
RA注冊中心是數(shù)字證書的申請���、審核和注冊的機構(gòu),是CA認(rèn)證中心的延伸��, 在邏輯上RA和CA是一個整體��,主要負(fù)責(zé)提供證書注冊、審核以及發(fā)證功能�����。
AA (Authentication and Authorization)認(rèn)證和授權(quán)服務(wù)器為系統(tǒng)管理員 提供用戶信息��、認(rèn)證和授權(quán)的管理����。
LDAP (Lightweight Directory Access Protocol)輕型目錄i方問助、i義月艮務(wù) 器�����,統(tǒng)一存儲用戶信息��、證書和授權(quán)信息�,LDAP/DB是一個實現(xiàn)此功能的數(shù)據(jù)庫 服務(wù)器。
SSL (Secure Sockets Layer)安全套接層協(xié)議���,廣泛用于Internet上的身 份認(rèn)證與Web服務(wù)器和用戶端瀏覽器之間的數(shù)據(jù)安全通信�����。
所述的指紋驗證服務(wù)器�����,包括數(shù)據(jù)庫和比對算法模塊��、加密/解密模塊���,數(shù) 據(jù)庫可以是任何關(guān)系型數(shù)據(jù)庫如SQLSERVER/SYBASE/INF0RMIX/DB2/0RECAL等��, 比對算法模塊和加密/解密模塊在數(shù)據(jù)庫內(nèi)建立了網(wǎng)點機構(gòu)表�����、網(wǎng)點設(shè)備表����、人 員表��、指紋模板表��、操作日志表��、系統(tǒng)管理員表����,表內(nèi)建立人員指紋信息與業(yè)務(wù) 系統(tǒng)人員號的對應(yīng)關(guān)系,形成人員機構(gòu)及崗位權(quán)限管理系統(tǒng)�,從而提供對網(wǎng)點機 構(gòu)管理、設(shè)備管理�����、崗位權(quán)限管理����、指紋模板管理、操作日志管理����。
所述智能密碼指紋儀,包括主處理芯片及COS (Chip Operating System) 管理系統(tǒng)����,負(fù)責(zé)接入系統(tǒng)人員(即操作員)的指紋,并內(nèi)置存貯器����,存放指紋特 征信息(即指紋模板),操作員相關(guān)的數(shù)字證書����、密鑰等�����。因此�,智能密碼指紋 儀內(nèi)數(shù)據(jù)的安全性非常重要�����。
所述主處理芯片采用安全芯片�����,實現(xiàn)如下功能片上密鑰管理(密鑰生成�����、 密鑰存儲���、密鑰更新等)�;片上簽名及身份認(rèn)證(可以支持RSA����、 ECC域等公鑰算法);專用算法下載執(zhí)行及高速率數(shù)據(jù)加解密(支持DES/3DES算法及包括國密辦 專用算法在內(nèi)的各種專用密碼算法)�。私鑰存放在安全芯片內(nèi)����,永不出芯片��,從 而保證了私鑰的絕對安全性�。
所述COS管理系統(tǒng)����,用于管理數(shù)字證書、私鑰及指紋模板在智能密碼指紋儀 內(nèi)的存貯�,CA認(rèn)證中心通過實現(xiàn)定義好的程序接口向智能密碼指紋儀發(fā)起指令, 智能密碼指紋儀據(jù)此作出響應(yīng)��,因而對系統(tǒng)的非法入侵具有很強的抗干擾能力�。
所述智能密碼指紋儀,采集接入系統(tǒng)人員(即操作員)的指紋信息���,是安全 問題的核心�,可根據(jù)系統(tǒng)規(guī)模采用不同的方式如果系統(tǒng)規(guī)模較小�����,在采取指定 地點的集中采集�����,從根源上避免指紋和人員身份上可能存在的非法對應(yīng);如果系
統(tǒng)規(guī)模較大���,指紋采集工作可采取分級管理的模式�,分設(shè)總部管理員��、分支機構(gòu) 管理員�����、營業(yè)機構(gòu)管理員三級結(jié)合的管理機制��。根據(jù)組織結(jié)構(gòu)及信息系統(tǒng)的規(guī)模����,
可以在總部或者分支機構(gòu)設(shè)置RA操作員,完成審核及錄入操作員信息的工作并 生成����。根據(jù)授權(quán)碼執(zhí)行指紋登記的過程,建議地點為分支機構(gòu)完成���,以保障系統(tǒng) 的安全�����。
如圖2所示��,是指紋模板采集過程中指紋模板加密過程����,首先主管(操作員) 從業(yè)務(wù)終端上發(fā)起指紋采集請求�,智能密碼指紋儀提示操作員采集指紋,智能密 碼指紋儀加密指紋數(shù)據(jù)并上傳�����,并上傳加密指紋模板���,解密后反饋確認(rèn)信息���。
所述智能密碼指紋儀,其參數(shù)具體如下
傳感器類型 反射電容式指紋傳感器(Capacitive area sensor) 芯片型號廠家FingerPrint Card 型號FPC1011C
傳感器使用壽命 一百萬次(ioo萬次)
探測技術(shù)反射式3D指紋采集技術(shù)���,具有活體指紋探測功能 探測位置真皮層 分辨率363DPI
適用性對干濕手指�、臟手指、破損手指均具有良好的適用性 存儲空間8M,最多可存儲1100枚指紋信息和每個用戶160字節(jié)的用戶信息���, 可擴充到2400枚����。
環(huán)境指標(biāo)工作溫度 -10'C 55'C 貯存溫度-20��。C 60�。C 相對濕度 20% 90%振動10-55Hz, 0. 35mm����, 1倍頻程/min, X��、 Y����、 Z方向各循環(huán)30min 通信接口 通訊接口支持RS232、 RS458��、 USB1. 1
RS232通訊參數(shù) 數(shù)據(jù)位8位�,奇偶校驗位無,停止位l位
RS232通訊波特率1200BPS- 115200BPS可調(diào)
本實施例中�����,實現(xiàn)指紋識別,公私密鑰對生成��,密鑰保護(hù)����,證書存儲,各類 加密算法����。對于證書和密鑰操作的性能指標(biāo)有
1) 讀數(shù)據(jù)X. 509V3的證書大小約為2K字節(jié),因此對智能鑰匙讀寫速度 測試數(shù)據(jù)量設(shè)定為2K字節(jié)����。測試時連續(xù)進(jìn)行50次讀2K數(shù)據(jù)的操作����,操作所需 時間的平均值為650毫秒。
2) 寫數(shù)據(jù)測試時連續(xù)進(jìn)行50次寫2K數(shù)據(jù)的操作��,操作所需時間的平均 值為1800毫秒����。
3) 產(chǎn)生1024位密鑰對為了保證私鑰的安全,密鑰由指紋USBKEY內(nèi)部芯 片產(chǎn)生。與私鑰有關(guān)的運算都在指紋USBKEY內(nèi)完成��,私鑰永遠(yuǎn)無法讀出���。測試 時連續(xù)進(jìn)行50次產(chǎn)生1024位密鑰對的操作�����。產(chǎn)生密鑰對所需時間的平均值為 10秒�����。公鑰加密時間約為40ms�,私鑰解密時間約為790ms���。私鑰簽名時間為 750ms.公鑰解密時間約為50ms.
4) 通用性方立指紋KEY提供符合業(yè)界廣泛采用的MicrosoftCryptoAPI 標(biāo)準(zhǔn)的接口��,可以方便地滿足應(yīng)用開發(fā)的需求�����。
電磁兼容性 抗靜電士15KV
抗電磁干擾 滿足國際電工委員會FCC標(biāo)準(zhǔn)
1權(quán)利要求1����、一種指紋識別與PKI體系相結(jié)合的身份認(rèn)證系統(tǒng),其特征在于�����,包括證書身份認(rèn)證子系統(tǒng)����、指紋身份認(rèn)證子系統(tǒng)、業(yè)務(wù)終端及智能密碼指紋儀�����,其中證書身份認(rèn)證子系統(tǒng)��、指紋身份認(rèn)證子系統(tǒng)�����、業(yè)務(wù)終端三者間通過網(wǎng)絡(luò)連接����,智能密碼指紋儀直接連接于業(yè)務(wù)終端���,證書身份認(rèn)證子系統(tǒng)用于網(wǎng)絡(luò)上的身份認(rèn)證�,保證各子系統(tǒng)之間的數(shù)據(jù)安全通信;指紋身份認(rèn)證子系統(tǒng)由指紋驗證服務(wù)器組成��,指紋驗證服務(wù)器中存放有人員指紋及身份信息��,指紋驗證服務(wù)器支持加密功能�����,能夠接受��、存貯加密過的來自智能密碼指紋儀中的指紋模板��,同時能夠根據(jù)請求下發(fā)指紋模板至證書身份認(rèn)證子系統(tǒng)和業(yè)務(wù)終端及智能密碼指紋儀��,指紋驗證服務(wù)器可以根據(jù)請求驗證指紋模板并返回是否匹配的信息�。
2、 根據(jù)權(quán)利要求1所述的指紋識別與PKI體系相結(jié)合的身份認(rèn)證系統(tǒng)�,其 特征是,所述的指紋驗證服務(wù)器���,包括數(shù)據(jù)庫和比對算法模塊�����、加密/解密模 塊����,數(shù)據(jù)庫分別與比對算法模塊、加密/解密模塊連接��。
3���、 根據(jù)權(quán)利要求1所述的指紋識別與PKI體系相結(jié)合的身份認(rèn)證系統(tǒng)�����,其 特征是��,所述智能密碼指紋儀�����,包括主處理芯片及COS管理系統(tǒng)�,并內(nèi)置有存貯 器�,主處理芯片采用安全芯片,私鑰存放在安全芯片內(nèi)�。專利摘要一種信息安全技術(shù)領(lǐng)域的指紋識別與PKI體系相結(jié)合的身份認(rèn)證系統(tǒng)�����,包括證書身份認(rèn)證子系統(tǒng)、指紋身份認(rèn)證子系統(tǒng)�、業(yè)務(wù)終端及智能密碼指紋儀,其中證書身份認(rèn)證子系統(tǒng)��、指紋身份認(rèn)證子系統(tǒng)�、業(yè)務(wù)終端間通過網(wǎng)絡(luò)連接,智能密碼指紋儀直接連接于業(yè)務(wù)終端�����,證書身份認(rèn)證子系統(tǒng)用于網(wǎng)絡(luò)上的身份認(rèn)證��,保證各子系統(tǒng)之間的數(shù)據(jù)安全通信���;指紋身份認(rèn)證子系統(tǒng)由指紋驗證服務(wù)器組成�,指紋驗證服務(wù)器中存放有人員指紋及身份信息���,支持加密功能�,同時能夠根據(jù)請求下發(fā)指紋模板至證書身份認(rèn)證子系統(tǒng)和業(yè)務(wù)終端及智能密碼指紋儀�,指紋驗證服務(wù)器可以根據(jù)請求驗證指紋模板并返回是否匹配的信息。本實用新型極大的增強了身份識別系統(tǒng)的安全強度�。
文檔編號H04L9/32GK201286105SQ20082015089
公開日2009年8月5日 申請日期2008年7月16日 優(yōu)先權(quán)日2008年7月16日
發(fā)明者李智勇, 黃海深 申請人:上海方立數(shù)碼科技有限公司