专利名称:指纹识别与pki体系相结合的身份认证系统的制作方法
技术领域:
本发明涉及一种信息安全技术领域的系统,具体是一种指纹识别与 PKI体系相结合的身份认证系统。
背景技术:
信息安全涉及到信息的采集、存储、传输、访问全过程。信息操作执 行者的非法性以及对信息的非法破坏等都会影响信息安全,各种识别技术
就是为了建立操作者与信息操作之间的匹配性、 一致性。以往,对身份验 证,大多采用口令、凭证等方式,这些方式在今天仍广泛应用,这种方式 的建立虽然简单方便,但却伴随着容易丢失、遗忘、复制及被盗用等诸多 先天不良缺点。
从广义上讲,所有提供公钥加密和数字签名服务的系统,都可叫做PKI 系统(公开密钥体系),PKI的主要目的是通过自动管理密钥和证书,可以 为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方 便的使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有 效性,数据的机密性是指数据在传输过程中,不能被非授权者偷看,数据 的完整性是指数据在传输过程中不能被非法篡改,数据的有效性是指数据 不能被否认。 一个典型、完整、有效的PKI应用系统至少应具有以下部分: 公钥密码证书管理。黑名单的发布和管理。密钥的备份和恢复。自动 更新密钥。自动管理历史密钥。支持交叉认证。
由于PKI体系结构是目前比较成熟、完善的Internet网络安全解决 方案,国外的一些大的网络安全公司纷纷推出一系列的基于PKI的网络安 全产品,如美国的Verisign, IBM , Entrust等安全产品供应商为用户提供了一系列的客户端和服务器端的安全产品,为电子商务的发展提供了 安全保证。先进世界上所有的网上银行均是基于PKI体系的。
由密码学衍生出了现今广泛使用的PKI体系。整个PKI体系中最显著 的问题是密钥的管理。私钥的管理关系到整个PKI的安全,因此私钥的载 体也成为整个体系中最脆弱的部分。为了密钥安全,目前的流行形式是双 因素的认证,即将证书(私钥)保存在可信的硬件载体(Smart Card或者 USB Key设备等)之中。但即便这样,也可能存在着丢失、盗用等风险。
生物特征识别技术无疑是身份验证的首选方式。指纹识别技术作为生 物识别领域应用最广泛的技术,其主要原因在于指纹采集过程简单,采集 设备成本相对较低而且指纹比对算法经过长期的优化相对比较成熟。指纹 特性是人体的一部分,不会丢失,不必担心忘记携带;指纹特征是每个人 唯一的,不可以复制,不用担心被盗用。所以利用指纹识别技术作为身份 验证的手段是安全、准确、可靠的。但是由于生物识别由于其自身特点, 无法做到百分之百的精确识别,所以对于不能出现任何差错的应用场合是 无法完全胜任的。
发明内容
本发明针对上述现有技术中的不足,提供了一种指纹识别与PKI体系 相结合的身份认证系统。提出了指纹识别与PKI技术相结合的技术方案, 通过指纹身份识别技术确定人员的真实性,辅助数字证书实现人员身份的 精确判定并保障通讯双方身份合法性,通过数字签名技术保障数据的完整 性及数据存储的安全性。
本发明是通过如下技术方案实现的,本发明包括证书身份认证子系 统、指纹身份认证子系统、业务终端及智能密码指纹仪,其中
证书身份认证子系统、指纹身份认证子系统、业务终端三者间通过 网络连接,智能密码指纹仪直接连接于业务终端,证书身份认证子系统用
于网络上的身份认证,保证各子系统之间的数据安全通信;指纹身份认证子系统由指纹验证服务器组成,指纹验证服务器中存放有人员指纹及身份 信息,指纹验证服务器支持加密功能,能够接受、存贮加密过的来自智能 密码指纹仪中的指纹模板,同时能够根据请求下发指纹模板至证书身份认 证子系统和业务终端及智能密码指纹仪,指纹验证服务器可以根据请求验 证指纹模板并返回是否匹配的信息。
所述证书身份认证子系统,即pki体系,负责如下操作l.操作员信 息、机构信息的增删改査;2.数字证书签发、废除、冻结;3.签名验证服 务、数据加密服务。
所述指纹身份认证子系统,负责如下操作l.指纹识别数据的增加、 删除、修改;2.指纹査询比对服务。
所述业务终端作为验证终端,分别与证书身份认证子系统和指纹身份 认证子系统输入相互配合。
所述智能密码指纹仪,其负责接入系统人员(即简称操作员)的指纹, 指纹在智能密码指纹仪中完成采集并生成指纹模板(指纹特征数据),并 内置有存贮器,存储指纹特征信息,操作员相关的数字证书、密钥等并同 时通过业务终端将信息反馈发送至证书身份认证子系统和指纹身份认证 子系统实现双重认证(即双因子认证)。
所述证书身份认证子系统,包括CA认证中心(证书授权中心)、RA (注册权)注册中心以及分支机构的RA注册中心、AA认证和授权服务器、 LDAP轻型目录访问协议服务器、SSL安全套接层协议,上述子模块相互之 间配合协作,对外提供PKI信任基础设施的安全服务,其间的指令流程有 成熟的国际标准,涉及到的国际标准包括ITUX.509及ITUX.500等,其
中
CA认证中心是PKI公钥基础设施的核心,它主要完成生成/签发证书、 生成/签发证书撤销列表(CRL)、发布证书和CRL到目录服务器、维护证 书数据库和审计日志库等功能,作为电子商务交易中受信任的第三方,专 门解决公钥体系中公钥的合法性问题。CA认证中心可以分级总部CA和根CA,其中总部CA指使用本系统 的组织的CA系统,而根CA指的是行业性的甚至是全国性的CA系统,为 本组织的CA系统提供合法性验证。
RA注册中心是数字证书的申请、审核和注册的机构,是CA认证中心 的延伸,在逻辑上RA和CA是一个整体,主要负责提供证书注册、审核 以及发证功能。
AA (Authentication and Authorization)认i正和授权月艮务器为系统 管理员提供用户信息、认证和授权的管理。
LDAP (Lightweight Directory Access Protocol)轻型目录访问幼、 议服务器,统一存储用户信息、证书和授权信息,LDAP/DB是一个实现此 功能的数据库服务器。
SSL (Secure Sockets Layer)安全套接层协议,广泛用于Internet 上的身份认证与Web服务器和用户端浏览器之间的数据安全通信。
所述的指纹验证服务器,包括数据库和比对算法模块、加密/解密模 块,数据库可以是任何关系型数据库如 SQLSERVER/SYBASE/INF0RMIX/DB2/0RECAL等,比对算法模块和加密/解密 模块在数据库内建立了网点机构表、网点设备表、人员表、指纹模板表、 操作日志表、系统管理员表,表内建立人员指纹信息与业务系统人员号的 对应关系,形成人员机构及岗位权限管理系统,从而提供对网点机构管理、 设备管理、岗位权限管理、指纹模板管理、操作日志管理。
所述智能密码指纹仪,包括主处理芯片及COS (Chip Operating System)管理系统,负责接入系统人员(即操作员)的指纹,并内置存贮 器,存放指纹特征信息(即指纹模板),操作员相关的数字证书、密钥等。 因此,智能密码指纹仪内数据的安全性非常重要。
所述主处理芯片采用安全芯片,实现如下功能片上密钥管理(密钥 生成、密钥存储、密钥更新等);片上签名及身份认证(可以支持RSA、 ECC域等公钥算法);专用算法下载执行及高速率数据加解密(支持DES/3DES算法及包括国密办专用算法在内的各种专用密码算法)。私钥存 放在安全芯片内,永不出芯片,从而保证了私钥的绝对安全性。
所述COS管理系统,用于管理数字证书、私钥及指纹模板在智能密码 指纹仪内的存贮,CA认证中心通过实现定义好的程序接口向智能密码指纹 仪发起指令,智能密码指纹仪据此作出响应,因而对系统的非法入侵具有 很强的抗干扰能力。
所述智能密码指纹仪,采集接入系统人员(即操作员)的指纹信息, 是安全问题的核心,可根据系统规模采用不同的方式如果系统规模较小, 在采取指定地点的集中采集,从根源上避免指纹和人员身份上可能存在的 非法对应;如果系统规模较大,指纹采集工作可采取分级管理的模式,分
设总部管理员、分支机构管理员、营业机构管理员三级结合的管理机制。
根据组织结构及信息系统的规模,可以在总部或者分支机构设置RA操作 员,完成审核及录入操作员信息的工作并生成。根据授权码执行指纹登记 的过程,建议地点为分支机构完成,以保障系统的安全。 本发明工作时,相应的业务流程如下
1、 新增操作员
RA录入审核操作员信息》生成指纹授权码+指纹认证系统根据授权 码登记指纹》前台根据授权码下载数字证书到指纹仪+签到、授权等后续 业务流程。
2、 删除操作员
a、 RA废除证书—删除证书信息、删除用户信息今删除指纹系统中 的指纹信息今删除指纹仪中的操作员的指纹模版、数字证书。
3、 修改操作员
a、 营业机构主管验证指纹+删除指纹仪中的操作员的指纹模版、数 字证书。
b、 RA废除证书+删除证书、用户信息—新增操作员流程(不含指纹 登记)。4、 签到、加密流程
指纹仪内部校验指纹+提取数字证书》数字签名+证书认证中心验证 数字签名+后续业务处理。
5、 授权流程
提取指纹信息+指纹认证中心验证身份—后续授权流程。
本发明通过将指纹识别指纹生物特征和PKI体系相结合,该验证系统 能够很好的解决单纯PKI体系中证书/私钥载体被非授权人员使用的漏洞, 同时也能克服指纹识别中存在的识假问题,极大的增强了身份识别系统的 安全强度。从理论上来说,使用PKI指纹认证指纹仪时被信息被非授权人 员获取的几率趋近于0。由于本本发明创新地将生物认证技术和PKI体系 相结合,解决了现在PKI体系发展中的证书(私钥)存放存在的漏洞,极 大的增强了整个PKI认证体系的安全性,必将对PKI体系的发展发挥较大 的推动,从而提高信息系统的安全性。与现有技术相比,本发明具有如下 有益效果
1. 指纹模板与指纹验证服务器间的通信信息使用PKI体系的非对称 算法加密,确保指纹模板即使被截获亦无法被泄露。在现有指纹验证终端
(指纹仪)上传指纹模板时,多数未加密,因此传输数据一旦被截获,指 纹模板可能被非法复制使用,从而失去了指纹模板作为身份认证的功用。 现在有部分指纹验证终端声称指纹模板数据上传是加密的,但是由于未与 PKI结合,只能采用对称算法,因而如果加密密码一旦泄露,指纹模板仍 有可能被非法复制使用。而在PKI体系中引入了证书,通过配合加密算法、 摘要算法等,保证了智能密码指纹仪和指纹验证服务器之间的通信即使在 被截获后亦无法破解,而且通信过程可以不被干扰。
2. 传统的证书终端载体如USB Key通过PKI体系来验证身份的合法 性,但是由于无法判断不同使用者的身份,而使得证书终端载体仅能供一 人使用。USB Key从理论上来说也可以通过口令来判断不同使用者,但是 口令容易泄露,从而使得证书终端载体成为整个P K I体系中薄弱的一环,故而在实践中基本没有使用。在本发明系统中,智能密码指纹仪作为 证书终端载体,其中可以存放多个使用者的指纹模板和使用者的证书,而 通过使用者的指纹模板及其证书之间建立关联即可以在同一证书终端载 体上(智能密码指纹仪)区别不同的使用者,从而达到不同的使用者仅能 调用其相应的证书,既使得同一证书终端载体可供多人同时使用,又保证 了系统的安全性。
3.指纹在智能密码指纹仪中完成采集,以及在指纹身份认证子系统 中下载指纹模板(指纹特征数据)均通过加密完成,从而保证了指纹模板 (指纹特征数据)在传输过程中的安全性。本发明系统通过加密解决了传 统的指纹验证系统存在的指纹数据泄漏的漏洞。在本发明应用的系统中, 即使指纹模板在传输中被截获,截获者也无法获取指纹特征,因而也无法 通过伪装骗过指纹验证。
本发明可广泛用于下列场所
1. 网上银行、网上证券等交易系统的登陆认证;
2. 电子政务、涉密信息网、金融行业等的信息系统对身份认证有要 求严格的行业和场所
3. 可广泛应用于根据公安部、保密局、商密局等公布的《信息安全 等级保护管理办法》确认的所有五个级别的特别是三级以上的信息系统的 安全保障。
图1是本发明系统的结构示意图。
图2是本发明在指纹模板采集过程中指纹模板加密的流程示意图。
具体实施例方式
以下结合附图对本发明的实施例作详细说明本实施例在以本发明技 术方案为前提下进行实施,给出了详细的实施方式,但本发明的保护范围不限于下述的实施例。
如图1所示,本实施例包括证书身份认证子系统、指纹身份认证子 系统、业务终端及智能密码指纹仪,其中证书身份认证子系统、指纹 身份认证子系统、业务终端三者间通过网络连接,智能密码指纹仪直接 连接于业务终端,证书身份认证子系统用于网络上的身份认证,保证各子 系统之间的数据安全通信;指纹身份认证子系统由指纹验证服务器组成, 指纹验证服务器中存放有人员指纹及身份信息,指纹验证服务器支持加密 功能,能够接受、存贮加密过的来自智能密码指纹仪中的指纹模板,同时 能够根据请求下发指纹模板至证书身份认证子系统和业务终端及智能密 码指纹仪,指纹验证服务器根据请求验证指纹模板并返回是否匹配的信 息。
所述证书身份认证子系统,即pki体系,负责如下操作l.操作员信 息、机构信息的增删改査;2.数字证书签发、废除、冻结;3.签名验证服
务、数据加密服务。
所述指纹身份认证子系统,负责如下操作l.指纹识别数据的增加、 删除、修改;2,指纹査询比对服务,其具体参数如下
操作系统Windows 98/SE, Windows ME, Windows 2000, Windows XP 硬件接口通用串行总线接口, USB1. 1/2.0 容量256M-4G
读写速率读30M/S写20M/S
拒真率(FRR) 《1%
识假率(FAR) 《0.0001%
内置算法RSA (1024/2048)/ECC192/SCB2
i正书和标准 PKCSttll, CSP, X.509v3, SSLv3, IPSec
工作温度-10。C一7(TC
安全性设计产品通过公安部安全产品测试; 使用寿命〉100万次。所述业务终端作为验证终端,分别与证书身份认证子系统和指纹身份 认证子系统输入相互配合。
所述智能密码指纹仪,其负责接入系统人员(即简称操作员)的指纹, 指纹在智能密码指纹仪中完成采集并生成指纹模板(指纹特征数据),并 内置有存贮器,存储指纹特征信息,操作员相关的数字证书、密钥等并同 时通过业务终端将信息反馈发送至证书身份认证子系统和指纹身份认证 子系统实现双重认证(即双因子认证)。
所述证书身份认证子系统,包括CA认证中心、RA注册中心以及分
支机构的RA注册中心、AA认证和授权服务器、LDAP轻型目录访问协议服 务器、SSL安全套接层协议,上述子模块相互之间配合协作,对外提供PKI 信任基础设施的安全服务,其间的指令流程有成熟的国际标准,涉及到的 国际标准包括ITU X. 509及ITU X. 500等,其中
CA认证中心是PKI公钥基础设施的核心,它主要完成生成/签发证书、 生成/签发证书撤销列表(CRL)、发布证书和CRL到目录服务器、维护证 书数据库和审计日志库等功能,作为电子商务交易中受信任的第三方,专
门解决公钥体系中公钥的合法性问题。
CA认证中心可以分级总部CA和根CA,其中总部CA指使用本系统 的组织的CA系统,而根CA指的是行业性的甚至是全国性的CA系统,为 本组织的CA系统提供合法性验证。
RA注册中心是数字证书的申请、审核和注册的机构,是CA认证中心 的延伸,在逻辑上RA和CA是一个整体,主要负责提供证书注册、审核 以及发证功能。
AA (Authentication and Authorization)认i正禾口授权月艮务器为系统 管理员提供用户信息、认证和授权的管理。
LDAP (Lightweight Directory Access Protocol)轻型目录访问协 议服务器,统一存储用户信息、证书和授权信息,LDAP/DB是一个实现此 功能的数据库服务器。SSL (Secure Sockets Layer)安全套接层协议,广泛用于Internet 上的身份认证与Web服务器和用户端浏览器之间的数据安全通信。所述的指纹验证服务器,包括数据库和比对算法模块、加密/解密模 块,数据库可以是任何关系型数据库如 SQLSERVER/SYBASE/INF0RMIX/DB2/0RECAL等,比对算法模块和加密/解密 模块在数据库内建立了网点机构表、网点设备表、人员表、指纹模板表、 操作日志表、系统管理员表,表内建立人员指纹信息与业务系统人员号的 对应关系,形成人员机构及岗位权限管理系统,从而提供对网点机构管理、 设备管理、岗位权限管理、指纹模板管理、操作日志管理。所述智能密码指纹仪,包括主处理芯片及COS (Chip Operating System)管理系统,负责接入系统人员(即操作员)的指纹,并内置存贮 器,存放指纹特征信息(即指纹模板),操作员相关的数字证书、密钥等。 因此,智能密码指纹仪内数据的安全性非常重要。所述主处理芯片采用安全芯片,实现如下功能片上密钥管理(密钥 生成、密钥存储、密钥更新等);片上签名及身份认证(可以支持RSA、 ECC 域等公钥算法);专用算法下载执行及高速率数据加解密(支持DES/3DES 算法及包括国密办专用算法在内的各种专用密码算法)。私钥存放在安全 芯片内,永不出芯片,从而保证了私钥的绝对安全性。所述COS管理系统,用于管理数字证书、私钥及指纹模板在智能密码 指纹仪内的存贮,CA认证中心通过实现定义好的程序接口向智能密码指纹 仪发起指令,智能密码指纹仪据此作出响应,因而对系统的非法入侵具有 很强的抗干扰能力。所述智能密码指纹仪,采集接入系统人员(即操作员)的指纹信息, 是安全问题的核心,可根据系统规模采用不同的方式如果系统规模较小, 在采取指定地点的集中采集,从根源上避免指纹和人员身份上可能存在的 非法对应;如果系统规模较大,指纹采集工作可采取分级管理的模式,分 设总部管理员、分支机构管理员、营业机构管理员三级结合的管理机制。根据组织结构及信息系统的规模,可以在总部或者分支机构设置RA操作 员,完成审核及录入操作员信息的工作并生成。根据授权码执行指纹登记 的过程,建议地点为分支机构完成,以保障系统的安全。如图2所示,是指纹模板采集过程中指纹模板加密过程,首先主管(操作员)从业务终端上发起指纹采集请求,智能密码指纹仪提示操作员采集 指纹,智能密码指纹仪加密指纹数据并上传,并上传加密指纹模板,解密后反馈确认信息。所述智能密码指纹仪,其参数具体如下传感器类型反射电容式指纹传感器(Capacitive area sensor) 芯片型号厂家FingerPrint Card 型号FPC1011C 传感器使用寿命 一百万次(100万次)探测技术反射式3D指纹采集技术,具有活体指纹探测功能 探测位置真皮层 分辨率 363DPI适用性对干湿手指、脏手指、破损手指均具有良好的适用性 存储空间8M,最多可存储1100枚指纹信息和每个用户160字节的用 户信息,可扩充到2400枚。环境指标工作温度-10°C 55°C 贮存温度-20。C 60。C 相对湿度20% 90%振动10-55Hz, 0. 35mm, 1倍频程/min, X、 Y、 Z方向各循环30min 通信接口通讯接口支持RS232、 RS458、 USB1. 1RS232通讯参数数据位8位,奇偶校验位无,停止位l位RS232通讯波特率 1200BPS- 115200BPS可调 本实施例中,实现指纹识别,公私密钥对生成,密钥保护,证书存储, 各类加密算法。对于证书和密钥操作的性能指标有l)读数据X. 509V3的证书大小约为2K字节,因此对智能钥匙读写速度测试数据量设定为2K字节。测试时连续进行50次读2K数据的操作, 操作所需时间的平均值为650毫秒。2) 写数据测试时连续进行50次写2K数据的操作,操作所需时间的 平均值为1800毫秒。3) 产生1024位密钥对为了保证私钥的安全,密钥由指纹USBKEY内 部芯片产生。与私钥有关的运算都在指纹USBKEY内完成,私钥永远无法 读出。测试时连续进行50次产生1024位密钥对的操作。产生密钥对所需 时间的平均值为10秒。公钥加密时间约为40ms,私钥解密时间约为 790ms。私钥签名时间为750ms.公钥解密时间约为50ms.4) 通用性方立指纹KEY提供符合业界广泛采用的 MicrosoftCryptoAPI标准的接口,可以方便地满足应用开发的需求。电磁兼容性抗静电士15KV抗电磁干扰满足国际电工委员会FCC标准。
权利要求
1、一种指纹识别与PKI体系相结合的身份认证系统,其特征在于,包括证书身份认证子系统、指纹身份认证子系统、业务终端及智能密码指纹仪,其中证书身份认证子系统、指纹身份认证子系统、业务终端三者间通过网络连接,智能密码指纹仪直接连接于业务终端,证书身份认证子系统用于网络上的身份认证,保证各子系统之间的数据安全通信;指纹身份认证子系统由指纹验证服务器组成,指纹验证服务器中存放有人员指纹及身份信息,指纹验证服务器支持加密功能,能够接受、存贮加密过的来自智能密码指纹仪中的指纹模板,同时能够根据请求下发指纹模板至证书身份认证子系统和业务终端及智能密码指纹仪,指纹验证服务器可以根据请求验证指纹模板并返回是否匹配的信息。
2、 根据权利要求1所述的指纹识别与PKI体系相结合的身份认证系 统,其特征是,所述证书身份认证子系统,即pki体系,负责如下操作 l.操作员信息、机构信息的增删改査;2.数字证书签发、废除、冻结;3.签名验证服务、数据加密服务。
3、 根据权利要求1所述的指纹识别与PKI体系相结合的身份认证系 统,其特征是,所述指纹身份认证子系统,负责如下操作l.指纹识别数 据的增加、删除、修改;2.指纹查询比对服务。
4、 根据权利要求1所述的指纹识别与PKI体系相结合的身份认证系 统,其特征是,所述证书身份认证子系统,包括CA认证中心、RA注册 中心以及分支机构的RA注册中心、AA认证和授权服务器、LDAP轻型目录 访问协议服务器、SSL安全套接层协议,上述子模块相互之间配合协作, 对外提供PKI信任基础设施的安全服务,其间的指令流程有成熟的国际标 准,涉及到的国际标准包括ITU X.509及ITU X.500,其中CA认证中心是PKI公钥基础设施的核心,它主要完成生成/签发证书、 生成/签发证书撤销列表、发布证书和CRL到目录服务器、维护证书数据库和审计日志库等功能,作为电子商务交易中受信任的第三方,专门解决 公钥体系中公钥的合法性问题;CA认证中心可以分级总部CA和根CA,其中总部CA指使用本系统 的组织的CA系统,而根CA指的是行业性的甚至是全国性的CA系统,为 本组织的CA系统提供合法性验证;RA注册中心是数字证书的申请、审核和注册的机构,是CA认证中心 的延伸,在逻辑上RA和CA是一个整体,主要负责提供证书注册、审核 以及发证功能;AA认证和授权服务器为系统管理员提供用户信息、认证和授权的管理;LDAP轻型目录访问协议服务器,统一存储用户信息、证书和授权信息, LDAP/DB是一个实现此功能的数据库服务器;SSL安全套接层协议,广泛用于Internet上的身份认证与Web服务器 和用户端浏览器之间的数据安全通信。
5、 根据权利要求1所述的指纹识别与PKI体系相结合的身份认证系 统,其特征是,所述的指纹验证服务器,包括数据库和比对算法模块、 加密/解密模块,数据库可以是任何关系型数据库,比对算法模块和加密/ 解密模块在数据库内建立了网点机构表、网点设备表、人员表、指纹模板 表、操作日志表、系统管理员表,表内建立人员指纹信息与业务系统人员 号的对应关系,形成人员机构及岗位权限管理系统,从而提供对网点机构 管理、设备管理、岗位权限管理、指纹模板管理、操作日志管理。
6、 根据权利要求1所述的指纹识别与PKI体系相结合的身份认证系 统,其特征是,所述智能密码指纹仪,其负责接入系统人员的指纹,指纹 在智能密码指纹仪中完成采集并生成指纹模板,并内置有存贮器,存储指 纹特征信息,操作员相关的数字证书、密钥等并同时通过业务终端将信息 反馈发送至证书身份认证子系统和指纹身份认证子系统实现双重认证。
7、 根据权利要求1或6所述的指纹识别与PKI体系相结合的身份认证系统,其特征是,所述智能密码指纹仪,包括主处理芯片及COS管理系统,负责接入系统人员的指纹,并内置存贮器,存放指纹特征信息,操作 员相关的数字证书、密钥。
8、 根据权利要求7所述的指纹识别与PKI体系相结合的身份认证系 统,其特征是,所述主处理芯片釆用安全芯片,实现如下功能片上密钥 管理;片上签名及身份认证;专用算法下载执行及高速率数据加解密, 私钥存放在安全芯片内,永不出芯片,从而保证了私钥的绝对安全性。
9、 根据权利要求7所述的指纹识别与PKI体系相结合的身份认证系 统,其特征是,所述COS管理系统,用于管理数字证书、私钥及指纹模板 在智能密码指纹仪内的存贮,CA认证中心通过实现定义好的程序接口向智 能密码指纹仪发起指令,智能密码指纹仪据此作出响应,因而对系统的非 法入侵具有很强的抗干扰能力。
10、 根据权利要求1或6所述的指纹识别与PKI体系相结合的身份认 证系统,其特征是,所述智能密码指纹仪,采集接入系统人员的指纹信息, 是安全问题的核心,可根据系统规模采用不同的方式如果系统规模较小, 在采取指定地点的集中采集,从根源上避免指纹和人员身份上可能存在的 非法对应;如果系统规模较大,指纹采集工作可采取分级管理的模式,分 设总部管理员、分支机构管理员、营业机构管理员三级结合的管理机制, 根据组织结构及信息系统的规模,可以在总部或者分支机构设置RA操作 员,完成审核及录入操作员信息的工作并生成,根据授权码执行指纹登记 的过程,建议地点为分支机构完成,以保障系统的安全。
全文摘要
一种信息安全技术领域的指纹识别与PKI体系相结合的身份认证系统,包括证书身份认证子系统、指纹身份认证子系统、业务终端及智能密码指纹仪,其中证书身份认证子系统、指纹身份认证子系统、业务终端间通过网络连接,智能密码指纹仪直接连接于业务终端,证书身份认证子系统用于网络上的身份认证,保证各子系统之间的数据安全通信;指纹身份认证子系统由指纹验证服务器组成,指纹验证服务器中存放有人员指纹及身份信息,支持加密功能,同时能够根据请求下发指纹模板至证书身份认证子系统和业务终端及智能密码指纹仪,指纹验证服务器可以根据请求验证指纹模板并返回是否匹配的信息。本发明极大的增强了身份识别系统的安全强度。
文档编号H04L9/32GK101631020SQ20081004064
公开日2010年1月20日 申请日期2008年7月16日 优先权日2008年7月16日
发明者李智勇, 王晓敏, 黄海深 申请人:上海方立数码科技有限公司