基于生物特征加密的账户信息统一管理方法与流程

本发明属于计算机安全技术领域，特别涉及生物特征加密与账户信息管理方法，可用于用户账户信息的一体化管理，保护用户账户信息安全。

背景技术：

近年来，随着当今互联网的迅猛发展，为满足用户各个方面的需求，各种电脑端的应用层出不穷，每个用户根据自己需求、喜好，往往会注册许多应用。常见的电脑应用主要包括：电子邮箱，网上银行，聊天软件，购物网站等。随之而来的问题是用户需要精确的记住每个应用的账户名和密码，导致账户的管理和记忆十分不便。而且，经常会发生密码录入错误，账户名密码混记、遗忘等情况。除此之外，用户在输入账户名和密码时还可能被第三方窥视，导致用户的账户信息泄露甚至财产损失。

针对上述问题，目前市面上已经存在一些密钥管理系统和应用程序账户管理方法。

海柯力士信息安全技术有限公司在其申请的专利文件“一种密钥管理系统及应用程序账户管理方法”(申请号CN201510272185.6，申请日期2015.05.25，公开日期2015.09.23)中提出了一种密钥管理系统及应用程序账户管理方法。该方法通过使用API接口在服务器中统一管理应用程序的账户。该方法的主要步骤是：首先，获取应用程序的账户信息并保存至本地服务器；其次，修改所述应用程序获取账户信息的方式，使应用程序通过所述服务器获取所述账户信息；最后，运行所述应用程序，应用程序通过身份验证后，所述应用程序通过API接口访问所述服务器获取所述账户信息。该方法存在的不足之处是：第一，应用程序身份验证是通过令牌验证的方式，身份验证的方式较为不便；第二，用户的账户信息存在安全隐患，存有用户账户信息的服务器没有有效的保护措施，一旦该服务器被攻击者攻破，将导致用户的账户信息被窃取，给用户带来不可预想的损失；第三，这种方法保存的所述账户信息经过严格保护，所述应用程序与所述服务器之间交换是加密的数据，所以该方法的账户信息可移植性不强，不能随意拷贝、移植账户信息。

现有的方法虽然一定程度上实现了应用程序账户管理的功能，但这些方法均存在一些问题：(1)应用程序账户管理在加密过程中没有对用户密钥进行任何保护措施或保护措施的安全等级较低，容易被攻击者盗取用户账号和密码，存在安全隐患；(2)应用程序账户管理在不同电脑间不可移植。用户在不同的电脑间仍需重新注册账户管理权限，导致该密钥管理系统拓展性不强，缺少灵活性。(3)应用程序账户管理本身需要进行用户的身份验证，用户每次在使用该密钥管理系统时仍需登陆自己的账户与密码，方可使用该系统的功能，给用户带来不便。

技术实现要素：

本发明提出一种基于生物特征加密的账户信息统一管理方法，以解决用户的账户繁多冗杂的问题，使得用户在电脑端可以直接利用自己的生物特征信息，实现应用账户的自动登陆，并且在保障用户的账户信息安全基础上，也保护了用户生物特征信息的安全性。其中生物特征包括指纹、人脸、掌握、虹膜等。

实现本方法的主要思想是：通过模糊保险箱算法(即Fuzzy Vault算法，具体参见文献：Fingerprint-based fuzzy vault:implementation and performance.IEEE Transactions on Information Forensics and Security,2007,2(4),pp.744-757)中的绑定算法将生物特征信息UF与用户随机产生的密钥Key绑定，生成辅助数据Helpdata以及保险箱数据V。然后以密钥Key为加密密钥，使用对称加密算法中加密算法E对账户信息明文文件F进行加密，得到账户信息密文文件CF。将账户信息密文文件CF、保险箱数据V和辅助数据Helpdata存储在本地磁盘或用户U盘中，并将密钥Key和账户信息明文文件F安全销毁。用户进行账户登录时，可根据本地磁盘或U盘中存储的上述加密信息，结合用户自身生物特征实现应用的自动的账户密码获取与录入。

根据以上思路，本发明的具体实现主要包括以下两个步骤：

(1)账户注册阶段：

(1a)用户选择需要用于管理的账户信息，构成账户信息明文文件F；

(1b)用户随机产生密钥Key，通过生物特征采集仪采集用户的生物特征信息UF，使用模糊保险箱算法中的绑定算法，将用户的生物特征信息UF与密钥Key绑定，生成辅助数据Helpdata以及保险箱数据V；

(1c)以密钥Key为加密密钥，使用对称加密算法中的加密算法E对账户信息明文文件F进行加密，得到账户信息密文文件CF；

(1d)将账户信息密文文件CF、保险箱数据V和辅助数据Helpdata存储在文件Card中，将文件Card保存到本地磁盘或用户U盘中，同时，销毁密钥Key和账户信息明文文件F；

(2)账户登录阶段：

(2a)用户登录账户时，获取的应用程序名称SN和输入的账户名u；

(2b)通过生物特征采集仪采集登陆用户的生物特征信息UF’，利用模糊保险箱算法中的解绑定算法，结合辅助数据Helpdata中的信息，从保险箱数据V中解绑出密钥Key；

(2c)以密钥Key为解密密钥，使用对称解密算法中的解密算法D对账户信息密文文件CF进行解密，解密出账户信息明文文件F；

(2d)根据应用程序名称SN和账户名u，查询账户信息明文文件F中的和应用程序名称SN和账户名u对应的账户密码pw来完成账户登录。

本发明与现有技术相比具有如下优点：

第1.由于本发明的用户在每次登录应用程序时，均需验证生物特征信息方可通过验证，克服了现有技术中应用程序身份验证不便的问题，使得本方法提高了用户在登录应用过程中的便捷性，提高了用户的工作效率。

第2.由于本发明使用模糊保险箱技术将用户生物特征与用户密钥进行结合，保障了用户生物特征信息的安全性，避免了用户生物特征信息盗取的风险。同时利用对称加密算法结合用户密钥对账户信息明文F进行加密。克服了现有技术中账户信息存在安全隐患的问题。使得本发明的模糊保险箱结合对称加密算法的这种双层保障提高了用户密钥信息的安全性，增强了对用户隐私的保护。

第3.由于本发明的用户仅需拷贝磁盘或U盘中的账户信息文件Card，就可以在另一台电脑端，利用生物特征实现应用程序的自动登陆，而无需重新注册验证，扩展性和灵活性更强，，克服了现有方法中账户信息可移植性不强的问题。

附图说明

图1为本发明流程图；

图2为本发明注册阶段的流程图；

图3为本发明账户登录阶段的流程图。

具体实施方式

本发明实施例中涉及的名词的物理意义界定如下。

SN：应用程序名称；

F：账户信息明文文件；

CF：账户信息密文文件；

Key：密钥，用来加密账户信息明文文件F或解密账户信息密文文件CF；

u：账户信息明文文件F中存储的账户名；

pw：账户信息明文文件F中存储的帐户密码；

UF：用户生物特征信息；

UF’：重新采集的用户的生物特征信息；

V：通过模糊保险箱算法生成的保险箱数据；

Helpdata：模糊保险箱生成的辅助数据；

E和D：分别表示对称加密算法中的加密算法和解密算法，对称加密算法可以是DES、AES等；

Card：用于储存账户信息密文文件CF、保险箱数据V和辅助数据Helpdata的文件；

f：模糊保险箱算法中的绑定算法(Vault encoding)；

g：模糊保险箱算法中的解绑定算法(Vault decoding)。

下面结合附图1对本发明做进一步描述。

本发明包括注册与账户登录两个阶段。

参照图2，对本发明注册阶段的步骤描述如下。

步骤1，获取用户账户信息。

第1步，构造应用程序的账户信息明文文件。

用户选择需要用于管理的账户信息，构成账户信息明文文件F。账户信息明文文件F中的每个账户信息包括该账户的应用程序名称SN、账户名u及账户密码pw。用户可写入多个应用程序的账户名与密码。假设有n个应用程序，任一应用程序中包含m_i个账户信息。账户信息明文文件F具体构造格式如下：

第2步，用户随机产生密钥Key，并通过指纹采集仪采集用户生物特征信息UF。获取用户密钥Key以及生物特征信息UF。生物特征包括人体的指纹、人脸、掌握、虹膜中的任一种。

步骤2，采用模糊保险箱算法作为生物特征信息UF与密钥Key的绑定加密算法。

使用模糊保险箱算法中的绑定算法f将生物特征信息UF与用户随机产生的密钥Key进行绑定，生成辅助数据Helpdata以及保险箱数据V：V＝f(UF,Key)。

模糊保险箱算法是一种利用生物特征对信息进行加密的方法，它将用户的生物特征信息UF与密钥Key进行绑定，不可逆的生成加密后的数据V。该算法的具体步骤是：将128bit的密钥分割为8个16bit，然后根据密钥计算crc16的检验数据，将9个16bit的数据作为模糊保险箱构造函数的系数。将真实细节点与添加杂凑点的特征信息带入模糊保险箱构造函数，生成模糊保险箱。只有当生物特征信息能够成功匹配时，密钥才能被相应算法从模糊保险箱中提取出来。

模糊保险箱算法与传统加密方式相比，具有安全性高、解密方便的特点，因此本实例选取模糊保险箱算法作为计算机软硬件信息与生物特征信息结合的方法，常见的模糊保险箱算法包括：基于生物特征的模糊保险箱算法、基于人脸识别的模糊保险箱算法、基于虹膜识别的模糊保险箱算法等。

本发明的实施例采用基于生物特征的模糊保险箱算法作为加密算法，该算法参见文献Fingerprint-based fuzzy vault:implementation and performance.IEEE Transactions on Information Forensics and Security,2007,2(4),pp.744-757.

步骤3，采用对称加密算法加密账户信息明文文件F。

以密钥Key为加密密钥，使用美国数据加密标准DES对称加密算法中的加密算法E对账户信息明文文件F进行加密，得到账户信息密文文件CF：CF＝E _Key(F)。

DES算法是一种对称加密算法，是美国国家标准局公布的计算机系统的数据加密标准算法，可以提供高质量的数据保护，防止数据未经授权的泄露和未被察觉的修改，具有相当高的复杂性，使得破译的开销超过可能获得的收益，同时又适用于不同应用场景。本发明实施例的DES算法是将64位的明文输入块变为64位的密文输出快，所使用的的密钥也是64位。该算法参见文献：Tsunoo Y,Cryptanalysis of DES Implemented on Computers with Cache.Proc of Ches Springer Lncs,2003,2779:62-76.

步骤4，生成加密数据与辅助信息。

将账户信息密文文件CF、保险箱数据V和辅助数据Helpdata存储在文件Card中，将文件Card保存到本地磁盘或用户U盘中，并将密钥Key和账户信息明文文件F安全销毁。

参照图3对本发明账户登录阶段的步骤描述如下。

步骤5，用户的账户登陆。

第1步，用户打开应用程序SN，输入账户名u。当用户输入密码时，启动本发明的账户信息统一管理应用程序。用户可选择直接手动输入密码登陆，或利用生物特征信息识别登陆。如果用户选择手动输入密码登陆，则可直接输入密码实现应用的登陆，账户信息统一管理应用程序结束。如果用户选择利用本发明方法的生物特征信息识别登陆，则继续执行第2步。

第2步，账户信息统一管理应用程序会查询本地磁盘或U盘中是否存在对应的Card文件，如果不存在，则提示用户“无对应Card文件，请用户注册”；如果查询存在，则继续执行第3步。

第3步，弹出生物特征采集界面，重新采集用户的生物特征信息UF’，利用模糊保险箱算法中的解绑定算法，结合辅助数据Helpdata中的信息，从保险箱数据V中解绑出密钥Key：Key＝g(V)。

第4步，以密钥Key为解密密钥，使用对称加密算法中的解密算法D对账户信息密文文件CF进行解密，解密出账户信息明文文件F：F＝D _Key(CF)。

第5步，根据应用程序名称SN，查询账户信息明文文件F中的应用名，如果不存在，提示用户“没有添加此应用，请用户手动输入密码登陆”并返回输入密码登陆界面；如果存在，则继续执行第6步。

第6步，根据用户输入的账户名u，查询账户信息明文文件F中对应的账户名，如果不存在，提示用户“无此应用账号信息，请用户手动输入密码登陆”并返回输入密码登陆界面；如果存在，则取出对应的账户的密码pw，并自动填写密码pw，完成账户登录。

第7步，将密钥Key和账户信息明文文件F安全销毁。

本发明账户信息是可以修改的。用户可根据需要修改账户信息明文文件F中的账号与密码信息，例如新账号的添加、已有账号的删除与密码修改，账户信息修改的具体实现如下：

第1步，利用步骤5的第2步判断本地磁盘或U盘中是否存在对应的Card文件；重复步骤5的第3步验证用户指纹信息，并从保险箱数据V中解绑出密钥Key；重复步骤5的第4步得到账户信息明文文件F。

第2步，用户根据需要修改账户信息明文文件F。

第3步，利用步骤2生成辅助数据以及保险箱数据；利用步骤3得到账户信息密文文件CF；利用步骤4生成新的加密数据与辅助信息。将新的加密数据与辅助信息存储到文件Card中，并将文件Card保存到本地磁盘或用户U盘中，完成账户信息的修改。

第4步，将密钥Key、原来的及更新的账户信息明文文件F全部安全销毁。

本发明所述的基于生物特征加密的账户信息统一管理方法，并不仅限于说明书中的描述。凡在本发明的精神和原则之内，所做的任何修改、同等替换、改进等，均包含在本发明的权利要求范围之内。