专利名称:基于数字证书和生物识别信息进行双重认证的方法
技术领域:
本发明属于数字安全认证技术领域,尤其涉及一种基于数字证书和生物信息识别双重认证的安全认证方法,其可以应用于对身份认证要求比较严格的会计凭证管理系统。
背景技术:
计算机网络和信息技术的迅速发展在促进了信息化快速发展的同时也带来了诸多新的安全问题和风险。身份认证系统作为信息系统的第一道安全关卡,是保证只有合法用户才能访问信息系统,进行信息读写的重要措施。传统的用户名口令认证方式实现简单、成本低,但由于密码是静态的数据,在验证过程中需要在计算机内存中和网络中传输,而每次验证使用的验证信息都是相同的,很容易被驻留在计算机内存中的木马程序或网络中的 监听设备截获。因此用户名口令认证方式一种是极不安全的身份认证方式,已无法满足当前复杂网络环境下身份认证的安全需求。随着技术的发展,又涌现出数字证书、动态口令、智能卡、生物识别等新的身份认证技术。目前,数字证书技术是最成熟、最安全的身份认证解决方法。《电子签名法》的颁布实施也表明了国家对数字证书技术的大力支持。此外,数字证书具有保密性、完整性、真实性、不可否认性等特点,使得数字证书身份认证正在被广泛采用。然而,虽然数字证书能够保证交易双方的不可抵赖性,但是仍然无法保证交易的绝对安全性,例如,数字证书仍然存在丢失或被盗之后,例如安装了数字证书的笔记本或手机丢失之后被别人使用的问题。上述问题在会计凭证管理系统中尤为突出,这是因为,对于会计公司来讲,其受企业客户的委托,为企业管理财务;同时其也要受到国家税务部门的监督和管理,在使用计算机系统所构成的会计凭证管理系统时,对于操作人员的身份有着严格的要求,每一笔交易的会计凭证都需要企业相关部门领导的签字或授权,在计通过算机网络应用会计凭证管理系统时,对于会计公司而言,如果仅仅要求企业客户相关领导采用数字证书(通常为数字认证客户端应用插件)进行身份认证,无法确保使用该数字证书的领导是否是其本人,如果出现被人盗用,那么出现的损失或者出现交易不真实性,一方面会给企业带来损失,另一方面在进行将来责任追究时也没法理清责任所在。
发明内容
鉴于现有技术中存在的问题,本发明的目的在于提供一种基于数字证书和生物识别信息进行双重认证的方法,其特征在于包括如下步骤SI、用户向服务器端发起注册请求,将自己的公共密钥及部分个人身份信息传送给服务器端或第三方权威认证中心进行注册;S2、服务器端或第三方权威认证中心在核实用户身份的过程中,请求输入生物识别信息,并将生物识别信息存储在服务器端;S3、在服务器端或第三方权威认证中心对用户身份进行核实之后,向用户的手机或PC终端下发CA数字证书,数字证书内容包括服务器端的公共密钥;
S4、用户登陆服务器时,再次输入生物识别信息进行验证登陆,并在数据传输的过程中,使用服务器端的公共密钥对数据进行加密传输,而将自己的生物识别信息作为数字证书密钥对中的私有密钥使用;S5、服务器端通过比较所存储的生物识别信息和用户登陆时输入的生物识别信息是否匹配来对用户进行验证,并在验证通过后,将所存储的用户的生物识别信息作为数字证书密钥对中的私有密钥使用。进一步,本发明所述的基于数字证书和生物识别信息进行双重认证的方法,其特征在于所述服务器端为会计凭证管理系统的服务器;所述用户为使用会计凭证管理系统的客户端。进一步,本发明所述的基于数字证书和生物识别信息进行双重认证的方法,其特征在于所述步骤S2中生物识别信息是用户的虹膜或指纹信息。本发明在服务器端(例如,会计凭证管理系统的服务器)向用户(普通用户或财务审批领导)的手机或PC终端下发CA数字证书,通过数字证书验证用户的合法性,并在数 字证书的认证过程中使用生物识别信息作为服务器端和客户端共同使用的数字证书密钥对中的私有密钥来进一步保证认证的安全性,由于生物信息例如虹膜信息、指纹信息等信息是身份的固有信息,无法复制或被盗,因此,可以保证认证的绝对安全性。
图I是本发明所述基于数字证书和生物识别信息进行双重认证的方法的流程图。
具体实施例方式为使本发明的上述目的、特征和优点更加明显易懂,下面对本发明的实现原理进行详细描述,并结合附图对本发明作进一步详细的说明1976年,美国学者Dime和Henman为解决信息公开传送和密钥管理问题,提出一种新的密钥交换协议,允许在不安全的媒体上的通讯双方交换信息,安全地达成一致的密钥,这就是“公开密钥系统”。相对于“对称加密算法”这种方法也叫做“非对称加密算法”。与对称加密算法不同,非对称加密算法需要两个密钥公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。在微软的Window NT的安全性体系结构中,公开密钥系统主要用于对私有密钥的加密过程。每个用户如果想要对数据进行加密,都需要生成一对自己的密钥对(keypair)。密钥对中的公开密钥和非对称加密解密算法是公开的,但私有密钥则应该由密钥的主人妥
善保管。使用公开密钥对文件进行加密传输的实际过程包括四步(I)发送方生成一个会话密钥(对称密钥)并用接收方的公开密钥对会话密钥进行加密,然后通过网络传输到接收方;(2)发送方对需要传输的文件用会话密钥进行加密,然后通过网络把加密后的文件传输到接收方;(3)接收方用自己的私有密钥进行解密后得到会话密钥;(4)接收方用会话密钥对文件进行解密得到文件的明文形式。因为只有接收方才拥有自己的私有密钥,所以即使其他人得到了经过加密的会话密钥,也因为无法进行解密而保证了会话密钥的安全性,从而也保证了传输文件的安全性。实际上,上述在文件传输过程中实现了两个加密解密过程文件本身的加密解密与会话密钥的加密解密,这分别通过对称加密解密和非对称加密解密来实现。数字证书是网络通讯中标志通讯各方身份信息的一系列数据,其作用类似于现实生活中的身份证。它是由权威机构发行的,人们可以在交往中用它来识别对方的身份。
最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息,证书的格式遵循ITUT X. 509国际标准。一个标准的X. 509数字证书包含以下一些内容 证书的版本信息; 证书的序列号,每个证书都有一个唯一的证书序列号; 证书所使用的签名算法; 证书的发行机构名称,命名规则一般采用X. 500格式; 证书的有效期,现在通用的证书一般采用UTC时间格式,它的计时范围为1950-2049 ; 证书所有人的名称,命名规则一般采用X. 500格式; 证书所有人的公开密钥; 证书发行者对证书的签名。数字证书即是采用了非对称算法的公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。本发明通过在数字证书的使用过程中加入人类生物识别信息,例如,虹膜或指纹信息来进一步保证数字认证的安全性,由于虹膜或指纹属于人类固有的生物信息,并且由生物识别信息所产生的数字序列信息与一般的用户密码也不相同,其比用户设置的口令密码要复杂的多,所以很难被窃取,由此可以保证身份的绝对性。本发明具体实现过程是,首先在服务器端(例如,会计凭证管理系统的服务器)向客户(例如,普通用户或企业用户领导)颁布标准数字证书,数字证书颁发过程如下用户设置自己的公共密钥,并将公共密钥及部分个人身份信息传送给会计凭证管理系统进行注册(该数字证书可以由第三方权威认证中心来颁布)。服务器端或认证中心在核实身份的过程中,要求用户输入生物识别信息,例如,虹膜或指纹,这一点要求用户客户端或者服务器端设备具备虹膜或指纹采集设备,这些设备是现有设备中已经能够实现的,这些设备可以将人类的虹膜或指纹信息识别为一串数字信息,服务器端与客户端之间经由专线网络或者通过人与人之间当面设置的方式,将生物识别信息保存在服务器端。当然这个过程可以结合用户的其他个人信息来执行一些必要的步骤,以确信请求确实由用户发送而来,然后,会计公司或第三方权威认证中心将发给用户一个数字证书,该证书内包括了服务器端的公共密钥,同时还附有对认证中心公共密钥加以确认的数字证书。当用户想证明其公开密钥的合法性时,就可以提供这一数字证书。数字证书的公钥体制利用一对互相匹配的密钥进行加密、解密,每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥)。本发明基于此,对于企业客户将自己的生物识别信息,例如,虹膜或指纹信息作为私密钥使用,而对于会计公司的会计凭证管理系统,相应地将企业客户注册时所保留的生物识别信息作为会计公司的私有密钥。在数字证书的公钥体制中,私有密钥仅为本人所知,但是本发明在基于企业用户和会计公司之间的契约关系,将企业用户的操作人员的生物识别信息作为产生私有密钥的基础,在注册过程中双方确定由企业中哪一位管理人员的生物识别信息作为私有密钥,本发明使用生物识别信息的数字认证过程已经结束,那么对于数字认证双方的身份,主要是企业登陆会计凭证管理系统的用户的身份是如何保证的呢?下面结合图I来描述本发明基于数字证书和生物识别信息进行双重认证的过程。
图I是本发明所述基于数字证书和生物识别信息进行双重认证的方法的流程图,如图所示,本发明方法包括如下步骤SI、用户向服务器端发起注册请求,将自己的公共密钥及部分个人身份信息传送给服务器端或第三方权威认证中心进行注册;S2、服务器端或第三方权威认证中心在核实用户身份的过程中,请求输入生物识别信息,并将生物识别信息存储在服务器端;S3、在服务器端或第三方权威认证中心对用户身份进行核实之后,向用户的手机或PC终端下发CA数字证书,数字证书内容包括服务器端的公共密钥;S4、用户登陆服务器时,再次输入生物识别信息进行验证登陆,并在数据传输的过程中,使用服务器端的公共密钥对数据进行加密传输,而将自己的生物识别信息作为数字证书密钥对中的私有密钥使用;S5、服务器端通过比较所存储的生物识别信息和用户登陆时输入的生物识别信息是否匹配来对用户进行验证,并在验证通过后,将所存储的用户的生物识别信息作为数字证书密钥对中的私有密钥使用。进一步,本发明所述的基于数字证书和生物识别信息进行双重认证的方法,其特征在于所述服务器端为会计凭证管理系统的服务器;所述用户为使用会计凭证管理系统的客户端。由于服务器端对用户传输来的数据仍然使用用户的生物识别信息作为服务器端的私有密钥进行解密,所以会计公司服务器端的操作人员无法修改自己的私有密钥,只能使用用户的生物识别信息,所以能够保证会计公司对数据操作行为的唯一性,如果出现会计问题,在后续问题查找的过程中,用户可以通过自己的生物识别信息登录会计公司的会计凭证管理系统查看相关内容,从而可以明确责任所在。进一步,本发明所述的基于数字证书和生物识别信息进行双重认证的方法,其特征在于所述步骤S2中生物识别信息是用户的虹膜或指纹信息。
本发明在服务器端(例如,会计凭证管理系统的服务器)向用户(普通用户或财务审批领导)的手机或PC终端下发CA数字证书,通过数字证书验证用户的合法性,并在数字证书的认证过程中使用生物识别信息作为服务器端和客户端共同使用的数字证书密钥对中的私有密钥来进一步保证认证的安全性,由于生物信息例如虹膜信息、指纹信息等信息是身份的固有信息,无法复制或被盗,因此,可以保证认证的绝对安全性。以上是对本发明的优选实施例进行的详细描述,但本领 域的普通技术人员应该意识到,在本发明的范围内和精神指导下,各种改进、添加和替换都是可能的,例如调整接口调用顺序、改变消息格式和内容、使用不同的编程语言(如C、C++、Java等)实现等。这些都在本发明的权利要求所限定的保护范围内。
权利要求
1.一种基于数字证书和生物识别信息进行双重认证的方法,其特征在于包括如下步骤 51、用户向服务器端发起注册请求,将自己的公共密钥及部分个人身份信息传送给服务器端或第三方权威认证中心进行注册; 52、服务器端或第三方权威认证中心在核实用户身份的过程中,请求输入生物识别信息,并将生物识别信息存储在服务器端; 53、在服务器端或第三方权威认证中心对用户身份进行核实之后,向用户的手机或PC终端下发CA数字证书,数字证书内容包括服务器端的公共密钥; 54、用户登陆服务器时,再次输入生物识别信息进行验证登陆,并在数据传输的过程中,使用服务器端的公共密钥对数据进行加密传输,而将自己的生物识别信息作为数字证书密钥对中的私有密钥使用; 55、服务器端通过比较所存储的生物识别信息和用户登陆时输入的生物识别信息是否匹配来对用户进行验证,并在验证通过后,将所存储的用户的生物识别信息作为数字证书密钥对中的私有密钥使用。
2.根据权利要求I所述的基于数字证书和生物识别信息进行双重认证的方法,其特征在于所述服务器端为会计凭证管理系统的服务器;所述用户为使用会计凭证管理系统的客户端。
3.根据权利要求I或2所述的基于数字证书和生物识别信息进行双重认证的方法,其特征在于所述步骤S2中生物识别信息是用户的虹膜或指纹信息。
全文摘要
一种基于数字证书和生物识别信息进行双重认证的方法,其主要构思在于在服务器端(例如,会计凭证管理系统的服务器)向用户(普通用户或财务审批领导)的手机或PC终端下发CA数字证书,该数字证书可以经过第三方权威电子认证中心的认证,通过数字证书验证用户的合法性,并在数字证书的认证过程中使用生物识别信息作为服务器端和客户端使用的数字证书密钥对中的各自的私有密钥来进一步保证认证的安全性,由于生物信息例如虹膜信息、指纹信息等信息是身份的固有信息,无法复制或被盗,因此,可以保证认证的绝对安全性。
文档编号H04L29/06GK102769623SQ201210256168
公开日2012年11月7日 申请日期2012年7月24日 优先权日2012年7月24日
发明者孙丽梅, 潘瑜青, 王久立 申请人:北京华财理账顾问有限公司