一种结合指纹的移动终端安全接入认证方法与流程

本发明涉及一种移动终端安全接入认证方法，尤其是一种结合指纹的移动终端安全接入认证方法。

背景技术：

现阶段终端安全主要采用的身份识别手段是通过密码、USBKEY、数字证书等认证手段，仅仅验证了使用者是否知道确定的信息，而这些标识身份的媒介和被标识的人本身并不相关，不仅容易丢失和泄漏，而且在现有的技术条件下，伪造也并不困难，所以传统的身份识别方式已经不能适应快速发展的社会的各项智能要求，特别是安全和管理方面，客观上需要一种新的、更加准确可靠的身份识别技术。

指纹识别技术是目前最成熟且价格便宜的生物特征识别技术。目前指纹识别的技术应用最为广泛，不仅在门禁、考勤系统中可以看到指纹识别技术的身影，市场上有了更多指纹识别的应用：如笔记本电脑、手机、汽车、银行支付都可应用指纹识别的技术。

随着智能手机、平板电脑等无线移动终端的普及使用，移动办公与远程作业趋于成熟，使移动办公与作业越发便捷和有效,大大提高了工作的效率和效益。但由于移动网络与终端的特性，各种网络病毒和黑客攻击引起信息安全问题也越发严重，保证机密数据不遭泄露，实现对移动接入对象的认证成为移动安全接入方案的重中之重。

传统的身份认证技术一般采用安全芯片技术和PKI技术，其流程为：（1）调用安全芯片生成证书请求文件；（2）提交证书请求文件到CA系统签发证书，获得证书文件；（3）将安全芯片、证书文件和CA证书文件置于移动终端上，运行安全客户端软件；（4）安全客户端软件与服务端通信，交换双方证书，通过各自CA证书文件验证对方证书的签名，实现交互双方身份的双向验证；（5）通过密钥协商协议，如IPSec VPN、SSL VPN或自定义协议等，协商双方数据传输时的工作密钥；

传统的身份识别技术仅仅是对带有安全芯片和数字证书的设备进行验证，无法对使用设备的人的身份进行验证。如果设备被非法人员获得，将可以执行该设备允许的所有操作，这必将造成信息泄露和错误的责任追究。

技术实现要素：

本发明要解决的技术问题是现有的身份识别技术仅仅是对带有安全芯片和数字证书的设备进行验证，无法对使用设备的人的身份进行验证。

为了解决上述技术问题，本发明提供了一种结合指纹的移动终端安全接入认证方法，包括如下步骤：

步骤1，建立加密通道，由客户端调用USBKEY以及存储于USBKEY中数字证书，按照SSL VPN协议完成基于数字证书的双向身份验证以及基于国密SM1算法的加密通道协商；

步骤2，用户注册，具体步骤为：

步骤2.1，由客户端收集终端特征信息，并提示用户输入指纹以获取指纹特性信息，再将终端特征信息和指纹特性信息作为用户注册信息通过加密通道上传至安全接入网关；

步骤2.2，安全接入网关接收客户端上传的用户注册信息，并将用户注册信息存储于数据库中，同时设定用户注册信息的初始审核结果为“未审核”，未审核的用户不具备访问受保护服务器的权限；

步骤3，用户信息审核，由受保护服务器对数据库中未审核的用户注册信息进行审核，检测其有效性和完整性，并重点审查是否为合法用户，对于不合法的用户注册信息，设置其审核结果为“未通过”，对于合法的用户注册信息，设置其审核结果为“通过”；

步骤4，用户业务访问，具体步骤为：

步骤4.1，客户端采集用户的指纹特性信息，并将指纹特性信息连同终端特征信息一起上传至安全接入网关，安全接入网关根据终端特征信息中的一项数据来搜索数据库，若搜索到对应的用户注册信息记录，则进入步骤4.2，若未搜索到对应的用户注册信息记录，则进入步骤4.3；

步骤4.2，安全接入网关检查该用户注册信息的审核状态，若审核结果为“未审核”或“未通过”，则由安全接入网关返回失败结果并终止该用户的客户端访问受保护服务器的行为；若审核结果为“通过”，则比较该用户的客户端本次提交的终端特征信息与数据库中存储的终端特征信息的全部数据内容是否完全一致，如果不完全一致，则由安全接入网关返回失败结果并终止该用户的客户端访问受保护服务器，如果完全一致，则由安全接入网关向该用户的客户端返回认证成功结果，并允许该用户的客户端访问受保护服务器；

步骤4.3，安全接入网关在数据库中新增一条用户注册信息记录，设定该用户注册信息初始审核结果为“未审核”，等待受保护服务器审核。

采用在用户注册过程中增加用户指纹特性信息，从而在进行用户业务访问时验证指纹特征信息，有效地对使用客户端的人的身份进行验证，防止受保护服务器被非法访问，增强使用安全性；采用终端特征信息中的一项数据来搜索数据库能够有确保收索数据库的时效性，提高系统的响应速度；采用安全接入网关对用户注册信息的审核状态进行检查，能够进一步确保对受保护服务器访问行为的安全性。

作为本发明的进一步限定方案，步骤2.1中的终端特征信息包括USBKEY序列号、数字证书序列号以及移动终端序列号。采用终端特征信息能够便于受保护服务器对客户端的合法性进行登记验证。

作为本发明的进一步限定方案，步骤4.1中安全接入网关根据终端特征信息中的数字证书序列号来搜索数据库。采用数字证书序列号来搜索数据库能够有确保收索数据库的时效性，提高系统的响应速度。

作为本发明的进一步限定方案，步骤3中的不合法的用户注册信息分为用户注册信息不完整或用户注册信息错误。对不完整或错误的用户注册信息进行不合法性定义能够进一步确保受保护服务器访问的安全性。

作为本发明的进一步限定方案，步骤3中对于审核结果为“未通过”的用户注册信息，若为合法用户的错误操作引起，则由客户端向受保护服务器申请删除原有用户注册信息记录，并重新提交用户注册信息。该设计能够便于合法用户的申诉，避免造成合法用户的误伤。

本发明的有益效果在于：（1）采用在用户注册过程中增加用户指纹特性信息，使得标识身份的媒介和自然人本身直接相关，从而在进行用户业务访问时验证指纹特征信息，可以实现将身份识别和被识别人本身真正对应起来，有效地对使用客户端的人的身份进行验证，防止受保护服务器被非法访问，增强使用安全性，解决传统身份认证技术只认证设备不认证设备使用人员的安全缺陷；（2）采用终端特征信息中的一项数据来搜索数据库能够有确保收索数据库的时效性，提高系统的响应速度；（3）采用安全接入网关对用户注册信息的审核状态进行检查，能够进一步确保对受保护服务器访问行为的安全性；（4）通过将用户指纹特征信息与数字证书信息、USBKEY信息、移动终端信息绑定，在验证设备合法性基础上验证用户的身份，实现了对使用人和使用设备的双重验证；（5）服务器端进行用户特性信息的比较，提高了非法用户绕过验证的难度；（6）通过安全加密技术传输用户特性信息，保证了信息在传输过程中的保密性与完整性；（7）将身份验证结果与终端访问权限相关联，通过安全接入网关将移动终端与受保护服务器隔离，只有通过身份验证的用户，安全接入网关才允许其访问受保护的服务器。

附图说明

图1为本发明的系统原理框图；

图2为本发明的加密通道建立流程图；

图3为本发明的用户注册流程图；

图4为本发明的审核流程图；

图5为本发明的使用流程图。

具体实施方式

如图1-5所示，本发明公开的结合指纹的移动终端安全接入认证方法采用客户端/服务器模式，移动终端安装客户端软件，软件首先使用USBKEY和数字证书与安全接入网关协商完成基于证书的身份认证和基于国密算法的加密通道建立，然后收集终端特性信息，包括USBKEY序列号、数字证书序列号、移动终端序列号和用户指纹特性信息，通过加密通道上传到安全接入网关。安全接入网关验证终端信息的完整性和有效性，根据验证结果决定终端是否能访问受保护的服务器。具体包括如下步骤：

步骤1，建立加密通道，由用户通过客户端调用USBKEY以及存储于USBKEY中数字证书，按照SSL VPN协议完成基于数字证书的双向身份验证以及基于国密SM1算法的加密通道协商，此过程与现有的加密通道建立过程相同；

步骤2，用户注册，具体步骤为：

步骤2.1，在用户首次运行客户端时，由客户端收集终端特征信息，并提示用户输入指纹以获取指纹特性信息，再将终端特征信息和指纹特性信息作为用户注册信息通过加密通道上传至安全接入网关，其中，终端特征信息包括USBKEY序列号、数字证书序列号以及移动终端序列号；

步骤2.2，安全接入网关接收客户端上传的用户注册信息，并将用户注册信息存储于数据库中，同时设定用户注册信息的初始审核结果为“未审核”，未审核的用户不具备访问受保护服务器的权限；

步骤3，用户信息审核，由受保护服务器的系统管理员对数据库中未审核的用户注册信息进行审核，检测其有效性和完整性，并重点审查是否为合法用户，对于不合法的用户注册信息，设置其审核结果为“未通过”，对于合法的用户注册信息，设置其审核结果为“通过”，其中，不合法的用户注册信息分为用户注册信息不完整或用户注册信息错误，对于审核结果为“未通过”的用户注册信息，若为合法用户的错误操作引起，则由用户通过客户端向受保护服务器的系统管理员申请删除原有用户注册信息记录，并重新提交用户注册信息；

步骤4，用户业务访问，具体步骤为：

步骤4.1，用户运行客户端，由客户端采集用户的指纹特性信息，并将指纹特性信息连同终端特征信息一起上传至安全接入网关，安全接入网关根据终端特征信息中的数字证书序列号来搜索数据库，若搜索到对应的用户注册信息记录，则进入步骤4.2，若未搜索到对应的用户注册信息记录，则进入步骤4.3；

步骤4.2，安全接入网关检查该用户注册信息的审核状态，若审核结果为“未审核”或“未通过”，则由安全接入网关返回失败结果并终止该用户的客户端访问受保护服务器的行为；若审核结果为“通过”，则比较该用户的客户端本次提交的终端特征信息与数据库中存储的终端特征信息的全部数据内容（即USBKEY序列号、数字证书序列号以及移动终端序列号）是否完全一致，如果不完全一致，则由安全接入网关返回失败结果并终止该用户的客户端访问受保护服务器，如果完全一致，则由安全接入网关向该用户的客户端返回认证成功结果，并允许该用户的客户端访问受保护服务器；

步骤4.3，安全接入网关在数据库中新增一条用户注册信息记录，设定该用户注册信息初始审核结果为“未审核”，等待受保护服务器审核。

本发明利用基于指纹的身份识别技术，解决了传统身份识别技术安全性不足的问题，通过将基于指纹的身份识别技术与传统的身份识别方式相结合，将智能卡、数字证书、移动终端和使用人生物特征作为一个整体进行身份验证，任何一项缺失或不对应都将导致验证不通过，这样就使得标识身份的介质和使用人本身直接相关，实现了身份识别媒介与被识别人本身的真正对应，有效提升了移动终端信息接入的安全性水平，更有利于便捷的移动技术在信息化应用中发挥作用。

由于现有的生物识别技术具有多样性，主要的生物识别技术包括人脸识别、虹膜识别、视网膜识别、指纹识别、掌纹识别、手形识别、签名识别、语音识别等，可采用其中一种或几种作为标识人的特征信息替代本发明中的指纹特征信息，实现组合认证功能。

本发明中的相关技术术语名词解释：

SSL VPN：是指采用SSL （Security Socket Layer）协议来实现远程接入的一种新型的VPN技术。

IPSec VPN：指采用IPSec协议实现远程接入的一种VPN技术，其全称为Internet Protocol Security，是由Internet Engineering Task Force (IETF) 定义的安全标准框架，用以提供公用和专用网络的端对端加密和验证服务。

国密SM1算法：一种国家商用密码分组加密算法，明文与密文分组长度为128比特，有效密钥长度为128比特。