一种基于指纹识别的公钥密码集中服务的方法

本发明涉及计算机安全技术，特别涉及一种基于指纹识别的公钥密码集中服务的方法。

密码技术是信息安全的核心技术，身份认证、访问控制、数字签名、信息保密等都离不开密码技术。在客户端，采用终端密码机或密码卡时，终端密码机或密码卡与客户端计算机是绑定的，一般不能随意改变。当采用USBKey时，一般只使用公钥算法做数字签名与验证，并且需要输入保护私钥的PIN码，给用户使用上带来了不便。而且，用户数字签名，只是与存储私钥的设备进行了设定，并没有与用户个人的身份信息结合起来，无法保证证书的使用者就是证书的所有者。对于系统来讲只是认证到物，所以很容易产生口令存在丢失、被遗忘、容易被攻破以及存在USBkey丢失等问题，这样随时都有设备遗失、身份假冒的问题。其他人拥有了USBKey，破解了PIN码，就可以使用该用户的身份进行数字签名。在用户终端使用USBKey时，一般不对用户数据进行加密保护，主要原因是USBKey的对称算法加密速率较低。

因此，在客户端给用户提供指纹识别设备，用于对用户的身份认证，而将数字签名与验签、数据加解密等密码服务集中到一个公钥密码服务器上，是很有必要的。

在办公网络环境，通常都需要通过输入口令登录OA等办公系统，用户需要记住复杂的口令密码，如包括大小写字母和数字等，容易被遗忘。实际应用中，许多用户采用固定不变的易记忆的口令，降低了安全性。即使在使用USBKey的场合，用户往往也是使用易记忆的PIN码，甚至还一直是出厂设置的缺省PIN码，从来也没有改变过。一旦USBKey丢失，很容易被破解PIN码，从而冒充真实用户的身份登录系统，带来了极大的安全威胁。在客户端采用终端密码机或密码卡时，终端密码机或密码卡与客户端计算机是绑定的，一般不能随意改变。

本发明的目的在于提供一种基于指纹识别的公钥密码集中服务的方法，用于解决上述现有技术的问题。

本发明一种基于指纹识别的公钥密码集中服务的方法，其中，包括：进行登录认证，包括：客户端连接登录服务进行对时，将采集到的用户指纹通过一次一密算法保护后发送到登录服务进行验证；登录服务将采集的用户指纹信息，与存储在数据库服务器中的用户指纹信息进行比对验证，验证失败，则返回错误消息；登录服务将采集的用户指纹信息，与存储在数据库服务器中的用户指纹信息进行比对验证；验证通过，登录服务生成一个TOKEN令牌，并为客户端选择一个密码服务节点，将TOKEN令牌和密码服务节点的IP地址和端口号返回给客户端，用户访问密码服务时，进行TOKEN令牌认证；以及当用户访问密码服务通过TOKEN令牌认证；如登录认证通过，则继续，否则，结束；以及判断是否为第一次登陆系统，如果是，调用密码服务生成签名公私钥对和签名证书CSR申请文件，然后用户将CSR文件提交到CA申请签名证书和加密证书，当CA返回签名和加密证书及加密私钥后，使用CA根证书验证用户导入证书是否为同CA签发给该用户的有效合法证书，验证通过后将用户公私钥证书及相关文件解密转换后，使用用户指纹模板产生的PIN码加密存储在数据库中；当在客户端导入用户加密和签名证书后，基于加密证书中的公私钥进行数据的加解密服务，或者基于签名公私钥进行签名验签服务。

根据本发明的基于指纹识别的公钥密码集中服务的方法的一实施例，其中，一次一密算法保护包括：登录时用户输入口令，客户端把用户口令和时间因子数据使用HMAC算法计算得到一次性口令作为HMAC算法的密钥，使用一次性口令对指纹采集信息进行传输保护。

根据本发明的基于指纹识别的公钥密码集中服务的方法的一实施例，其中，解密私钥和签名私钥由用户指纹模板信息杂凑产生的PIN码进行加密保护；签名私钥和验证公钥证书用于对用户数据进行数字签名与验签；用户文件/数据密钥用来对用户请求加密的文件或数据进行对称算法加密，由用户加密公钥对用户文件/数据密钥进行加密保护，用户解密私钥对用户文件/数据密钥进行解密。

根据本发明的基于指纹识别的公钥密码集中服务的方法的一实施例，其中，用户每次进行数据加密时，先调用初始化接口，根据对称算法及模式，生成一个对称加密密钥，由用户加密公钥加密保护，使得用户文件和数据加密一次一密。

根据本发明的基于指纹识别的公钥密码集中服务的方法的一实施例，其中，使用用户指纹模板PIN码作密钥对TOKEN明文进行对称加密；客户端携带TOKEN令牌访问密码服务，调用密码服务提供的密码服务，密码服务根据用户ID号查用户信息，使用指纹模板PIN码对TOKEN令牌解密，对TOKEN数据明文进行验证。

根据本发明的基于指纹识别的公钥密码集中服务的方法的一实施例，其中，各用户证书的申请流程包括：在客户端上调用密码服务接口，生成签名密钥对；在客户端上调用密码服务接口，生成签名证书CSR申请文件；将CSR申请文件提交到RA；RA向CA提交CSR申请文件和用户信息；CA获取用户信息和CSR申请文件，向KMC申请密钥；KMC生成一个对称加密密钥和一对非对称加密密钥对，非对称加密密钥对为加密公钥和解密私钥；使用对称加密密钥，加密解密私钥；使用用户提供的验证公钥加密对称密钥；KMC将加密公钥、已加密的解密私钥以及已加密的对称密钥发给CA；CA根据用户验证公钥和用户信息生成签名证书；CA根据加密公钥和用户信息生成加密证书；RA下载加密证书、签名证书、已加密的解密私钥以及已加密的对称加密密钥；用户下载加密证书、签名证书、已加密的解密私钥以及已加密的对称加密密钥；在客户端上调用密码服务接口，将签名证书导入到密码服务；密码服务验证用户导入签名证书的合法性、有效期以及CN是否与用户本人ID号一致；在客户端上调用密码服务接口，将加密证书及私钥口令的密文导入到密码服务；密码服务验证用户导入加密证书的合法性、有效期以及CN是否与用户本人ID号一致；密码服务使用签名私钥解密得到对称加密密钥；密码服务使用对称加密密钥解密得到解密私钥；将用户的签名私钥和解密私钥使用用户模板信息杂凑生成的PIN码进行对称加密保存在数据库中。

根据本发明的基于指纹识别的公钥密码集中服务的方法的一实施例，其中，当用户在客户端导入加密证书后，基于加密公私钥对进行数据的加解密服务的加密服务包括：将一段要加密的数据、用户选择的算法类型和加密模式输到密码服务上；密码服务根据用户选择的算法和模式产生对称加密密钥及初始向量；使用对称加密密钥，对用户数据进行对称算法加密，使用用户加密公钥将对称加密密钥加密；向客户端返回对称加密密钥密文及用户数据密文。

根据本发明的基于指纹识别的公钥密码集中服务的方法的一实施例，其中，当用户在客户端导入加密证书后，基于加密公私钥对进行数据的加解密服务的解密服务包括：用户将一段要用户数据密文、对称加密密钥密文等信息传输到密码服务上；密码服务使用该用户的PIN码解密用户的解密私钥；使用用户解密私钥解密对称加密密钥；使用对称加密密钥，对用户数据密文进行解密；向客户端返回解密后的用户数据。

根据本发明的基于指纹识别的公钥密码集中服务的方法的一实施例，其中，用户数字签名与验签包括：当用户在客户端通过指纹身份认证后，基于签名公私钥对进行数据的数字签名与验签服务；当用户在客户端通过指纹身份认证后，基于签名公私钥对进行数据的数字签名与验签服务；数字签名过程包括：用户将一段要签名的数据传输到密码服务上；密码服务将签名私钥密文、用户数据一起送入密码卡中做如下运算：使用杂凑算法产生用户数据的杂凑值；使用指纹模板计算PIN码解密用户的签名私钥，使用用户签名私钥对杂凑值进行私钥加密得到签名值；将签名值返回给客户端；验签过程包括：将对方用户ID、原始数据、签名值发送给密码服务；密码服务根据对方用户ID，查该用户的签名证书，并进行证书有效性验证；从签名证书中提取出验证公钥；将验证公钥、用户数据、签名值一起送入密码卡中做如下运算：对签名值进行公钥解密得到杂凑值1；将原始数据使用杂凑算法进行杂凑运算得到杂凑值2；比较杂凑值1和杂凑值2：两者相同即为验证成功，两者不同则为验证失败；将验证成功或失败的结果返回给客户端。

根据本发明的基于指纹识别的公钥密码集中服务的方法的一实施例，其中，CA签发签名证书后，为用户产生加密公私钥对，CA参考签名CSR文件携带用户信息为用户签发加密证书，CA产生随机数作为口令保护加密密钥对中的私钥，然后再用签名CSR文件中的公钥加密随机数。

本发明与现有密码口令登录的技术相比，免去了用户登录时输入口令的过程、避免了用户保存口令的文件被泄漏以及用户忘记口令的可能。同时，由于每次采集用户指纹图像信息的不同并且进行了OTP一次一密保护，所以每次在网上传输的数据是不同的，在服务端还设置了单次登录有效期，从而避免了重放攻击。与USBKey登录相比，避免了用户记忆PIN码和USBKey设备丢失带来的安全隐患；本发明将用户的公私钥集中存储在服务器端，终端不需要再配置密码机或密码卡，同时避免了在客户端泄密的可能。

图1所示为基于指纹识别的公钥密码集中服务的系统的原理图；

图2所示为公钥密码服务器软件框架图；

图3所示为指纹识别原理图；

图4所示为用户密钥结构示意图；

图5所示为用户指纹登录验证流程图。

为使本发明的目的、内容、和优点更加清楚，下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。

图1所示为基于指纹识别的公钥密码集中服务的系统的原理图，如图1所示，基于指纹识别的公钥密码集中服务的系统由服务器子网和客户端子网组成。其中，服务器子网主要包括公钥密码服务器、用户管理客户端等，主要功能包括用户管理客户端软件(包括用户注册管理、用户指纹采集与存储等功能)、密码服务进程(提供用户身份认证、用户数字签名与验签、用户数据加解密、基本密码运算服务等服务功能)。客户端子网主要包括客户端软件和指纹采集仪，主要功能包括用户现场采集指纹数据及登录验证、用户证书申请及导入、用户数据加密、数字签名与验证请求等。

本地远程客户端子网与本地客户端子网相同，在网络传输的两端各配置一台IPSec VPN设备，实现网络数据的远程传输加密。

图2所示为公钥密码服务器软件框架图，如图2所示，本发明包括两种服务：一种是全局服务，可独立与客户端建立连接并处理相关命令，包括：Routeservice和密码服务CipherService；还有一种是内部服务，不直接与客户端建立连接，与客户端交互命令需要由Routeservice转发，包括：登录服务LoginService和Umgrservice。这些服务可以部署在同一台机器，也可以部署在局域网内的不同机器。服务启动后，根据配置文件内的配置的Route服务地址，自动连接Route服务进行注册，并更新其他服务节点信息。

如图2所示，Routeworker是Routeservice的业务进程，监听其他子服务和客户端的连接请求。Service链接Routeworker后，会注册或更新对应节点信息。客户端连接Routeworker后，Routeworker根据命令查可处理的内部服务，转发命令到比较空闲的内部服务。

loginworker是登录服务LoginService的业务进程，处理用户登录时指纹比对的工作。

umgrworker是Umgrservice的业务进程，主要实现用户的注册、删除、更新和查询功能。

Cipherworker是密码服务CipherService的业务进程，实现用户对算法引擎的调用，Cipherworker启动时，通过监听服务端口，有客户端链接时会为每个客户端创建一个单独的channel。

图3所示为指纹识别原理图，如图3所示，包括离线存储和在线识别两个阶段，

指纹验证流程：利用人员的ID，从指纹库中将事先录入的指纹特征提取出来，然后与现场采集的指纹数据进行比对，来证明该人员是否为所要识别的人。

本实施例基于配套的SDK进行开发，进行指纹数据的提取、传输和存储，以及基于动态库实现指纹采集与存储的指纹模板信息的比对功能。该设备初始采集信息时，要求对同一手指采集三次，对三次数据进行综合后得到该手指的指纹模板信息(长度在2KB之内)。

为保证指纹采集数据传输的安全性，采用TOTP(Time-base OneTime Password)技术生成一次性口令。具体过程是：客户端登录前先与服务器进行对时，登录时用户输入口令，客户端把用户口令和时间因子数据使用HMAC算法计算得到一次性口令(用户口令作为HMAC算法的密钥)，然后使用一次性口令对指纹采集信息进行传输保护。

图4所示为用户密钥结构示意图，如图4所示，密钥分成用户签名公私钥与加密公私钥、用户文件/数据密钥等密钥。其中，用户解密私钥和签名私钥由用户指纹模板信息杂凑产生的PIN码进行加密保护；用户签名私钥和验证公钥证书用于对用户数据进行数字签名与验签；用户文件/数据密钥用来对用户请求加密的文件或数据进行对称算法加密，由用户加密公钥对用户文件/数据密钥进行加密保护，用户解密私钥对用户文件/数据密钥进行解密，在用户调用加密服务接口时，由服务器临时生成随机数做为用户文件/数据密钥。用户每次进行数据加密时，先调用初始化接口，根据选择的对称算法及模式，生成一个对称加密密钥，由用户加密公钥加密保护，从而做到用户文件/数据加密的一次一密。

图5所示为用户指纹登录验证流程图，如图5所示，用户身份认证包括：

用户使用公钥密码服务器提供的密码服务前需要进行登录认证：

(1)首先客户端连接登录服务LoginService进行对时，然后客户端将用户ID、采集到的用户指纹通过OTP(一次一密)算法保护后发送到登录服务LoginService进行验证；

(2)登录服务LoginService将采集的用户指纹信息，与存储在数据库服务器中的用户指纹信息进行比对验证；验证失败，则返回错误消息，同时限制同一用户在连续一段时间(比如2小时)内只能尝试登录5次，防止恶意攻击；

(3)登录服务LoginService将采集的用户指纹信息，与存储在数据库服务器中的用户指纹信息进行比对验证；验证通过，登录服务LoginService会生成一个TOKEN令牌，并为客户端选择一个密码服务CipherService节点，然后将TOKEN令牌和密码服务CipherService节点的IP地址和端口号等信息返回给客户端。用户访问密码服务CipherService时，需携带此TOKEN令牌做认证；

TOKEN令牌生成过程如下：使用用户指纹模板PIN码作密钥对TOKEN明文(TOKEN明文为包含标识用户身份信息的字符串)进行对称加密。

(4)对于远程用户，需要在远程用户子网与服务器子网之间采用VPN设备进行数据传输加密，确保数据传输的安全性。

TOKEN令牌认证包括：

客户端携带TOKEN令牌访问密码服务CipherService，调用密码服务CipherService提供的密码服务。密码服务CipherService会先根据用户ID号查用户信息，然后使用指纹模板PIN码对TOKEN令牌解密，最后对json数据进行验证，只有TOKEN令牌认证通过后才可以调用密码服务。

用户公私钥证书生成和存储包括：

当用户访问密码服务CipherService，通过TOKEN令牌认证后，如果是第一次登录系统，首先需要申请并导入签名、加密证书，然后才能真正的调用密码服务。用户证书的申请流程如下所示：

用户在客户端上调用密码服务CipherService接口，生成签名密钥对；

用户在客户端上调用密码服务CipherService接口，生成签名证书CSR申请文件(P10格式)；

用户将CSR申请文件提交到RA；

RA向CA提交CSR申请文件和用户信息；

CA获取用户信息和CSR申请文件，向KMC申请密钥；

KMC生产一个对称加密密钥和一对非对称加密密钥对(加密公钥和解密私钥)；

使用对称加密密钥，加密解密私钥；

使用用户提供的验证公钥加密对称密钥；

KMC将加密公钥、已加密的解密私钥、已加密的对称密钥发给CA；

CA根据用户验证公钥和用户信息生成签名证书；

CA根据加密公钥和用户信息生成加密证书；

RA下载加密证书、签名证书、已加密的解密私钥、已加密的对称加密密钥；

用户下载加密证书、签名证书、已加密的解密私钥、已加密的对称加密密钥；

用户在客户端上调用密码服务CipherService接口，将签名证书导入到密码服务CipherService；

密码服务CipherService验证用户导入签名证书的合法性(是否本系统CA签发)、有效期以及CN是否与用户本人ID号一致；

用户在客户端上调用密码服务CipherService接口，将加密证书及私钥口令的密文导入到密码服务CipherService；

密码服务CipherService验证用户导入加密证书的合法性(是否本系统CA签发)、有效期以及CN是否与用户本人ID号一致；

密码服务CipherService使用签名私钥解密得到对称加密密钥；

密码服务CipherService使用对称加密密钥解密得到解密私钥；

将用户的签名私钥和解密私钥使用用户模板信息杂凑生成的PIN码进行对称加密保存在数据库中。

用户数据加密与解密包括；

当用户在客户端导入加密证书后，可以基于加密公私钥对进行数据的加解密服务。

加密过程如下：

用户将一段要加密的数据、用户选择的算法类型和加密模式输到密码服务CipherService上；

密码服务CipherService根据用户选择的算法和模式产生对称加密密钥及初始向量IV；使用对称加密密钥，对用户数据进行对称算法加密，使用用户加密公钥将对称加密密钥加密；

向客户端返回对称加密密钥密文及用户数据密文。

解密过程如下：

用户将一段要用户数据密文、对称加密密钥密文等信息传输到密码服务CipherService上；

密码服务CipherService使用该用户的PIN码解密用户的解密私钥；使用用户解密私钥解密对称加密密钥；使用对称加密密钥，对用户数据密文进行解密；

向客户端返回解密后的用户数据。

用户数字签名与验签包括：

当用户在客户端通过指纹身份认证后，可以基于签名公私钥对进行数据的数字签名与验签服务。

数字签名过程如下：

用户将一段要签名的数据传输到密码服务CipherService上；

密码服务CipherService将签名私钥密文、用户数据一起送入密码卡中做如下运算：使用杂凑算法产生用户数据的杂凑值；使用指纹模板计算PIN码解密用户的签名私钥，使用用户签名私钥对杂凑值进行私钥加密(即数字签名)得到签名值；将签名值返回给客户端；

验证过程如下：

将对方用户ID、原始数据、签名值发送给密码服务CipherService；

密码服务CipherService根据对方用户ID，查该用户的签名证书，并进行证书有效性验证(是否为CA颁发的，是否在有效期内)；从签名证书中提取出验证公钥；将验证公钥、用户数据、签名值一起送入密码卡中做如下运算：对签名值进行公钥解密(即签名验证)得到杂凑值1；将原始数据使用杂凑算法进行杂凑运算得到杂凑值2；比较杂凑值1和杂凑值2：两者相同即为验证成功，两者不同则为验证失败；将验证成功或失败的结果返回给客户端。

本发明的基于指纹识别的公钥密码集中服务的方法，基于指纹的公钥密码集中服务机制，在具备网络传输加密功能的环境里，用户通过客户端上的指纹识别设备，实施用户的身份认证并获取公钥密码服务器上用户私钥的使用权，公钥密码服务器可以为这些用户提供数字签名与验证、用户数据加解密等密码服务。

本发明可以用于以下两个方面：一是在云计算计算模式环境下，由于用户的数据和计算并非本地存储和运行，而是交付到云端服务器保存、运行以及共享资源，数据安全性与隐私问题成为云计算发展的重要障碍。采用指纹识别技术进行身份认证，利用指纹特征唯一性、不变性、不易丢失、遗忘或被伪造等优点，保证用户访问云端的安全性。同时，在用户端与云端的通信中，采用IPSec VPN或SSL协议，进一步保证了网络成熟过程中数据的安全性。在此基础上，为用户提供数字签名与验证、用户数据加解密等公钥密码服务，实现了对用户个人数据的加密存储，从而保证用户的隐私。随着指纹识别技术的不断发展以及硬件成本的不断下降，基于指纹识别的公钥密码服务技术必将获得更为广泛的应用，从而进一步推荐云计算行业的发展。

二是在客户端/服务器计算模式下，包含多个子网的网络一般在子网间都采取了网络传输加密措施，所以数据远程传输机密性能够得到保证。但不能对用户进行个人数据和隐私信息保护。本发明通过指纹识别，将用户与其证书绑定在一起，确保是用户本人在使用自己的数字证书(和私钥)，在此基础上对用户的数据进行数字签名和加密保护。随着人们对个人隐私信息保护和个人数据保护的重视，基于指纹识别的公钥密码服务技术必将得到应用和发展。

本发明在用户注册时，会将采集到的用户指纹进行加密保护后再存储到数据库，防止用户指纹明文数据泄漏的可能；本发明在用户登录时，会将采集到的用户指纹进行OTP一次一密保护后再传输到后台服务器，防止在网络通信过程中的数据泄漏可能；本发明将用户的公私钥集中存储在服务器端，终端不需要再配置密码机或密码卡，即可为用户提供公钥密码服务。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。