[发明专利]一种应用于身份认证的指纹USBKEY、指纹中心服务器及系统与方法

说明书

技术领域

本发明涉及信息安全技术领域，具体涉及一种应用于身份认证的指纹USBKEY、指纹中心服务器及系统与方法。

背景技术

USBKEY的理论基础是PKI(PublicKEYInfrastructure，公开密钥基础设施)安全体系，它是国际上解决开放式互联网络信息安全需求的一套体系。PKI体系支持身份认证，信息传输、存储的完整性，消息传输、存储的机密性，以及操作的不可否认性。“基础设施”的作用，就是只要遵从必要的原则，不同的实体都可以方便地使用基础实施提供的服务。

PKI的核心是认证中心(CA，CertificateAuthority)和数字证书。CA就像公安局发放身份证一样，发放数字证书这样一种身份证明。PKI采用RSA非对称加解密技术，利用数字证书，可以进行加密及签名，完美解决开放式互联网络环境下的安全需求。

USBKEY是专用硬件设备，内含运算芯片，可以完成各种加解密运算，生成公钥/私钥对，具有硬件随机数发生器。USBKEY可以存储数字证书和私钥，私钥只能在USBKEY内部参与运算，不能被读出。USBKEY能防止人为破坏性攻击。USBKEY是终端用户参与PKI安全系统的一种重要应用，可以完成身份认证、数据加解密、保证交易的机密性、完整性以及不可否认性。

在启用USBKEY参与安全运算时，需要UKEY的拥有者输入正确的PIN码，所以，即使拿到别人的USBKEY，如果不知道PIN码，同样不能进行交易。USBKEY需要同PC机连接才能使用。

动态密码也称动态口令字，一般由硬件口令发生器自动地、动态地产生。该设备里面已经内置了芯片和电池，芯片里已经固化了密码生成算法，这种算法是与时间因素相关联的，每个口令发生器有一个唯一的128位种子文件。种子文件结合特定的时间同步算法，每60秒会产生一个动态密码。每个设备发放给不同的使用者，并要求该使用者在初次使用这个设备的时候设定一个PIN码。以后，在每次要输入密码的时候，需要同时输入PIN码再加上动态密码的组合，也即双因素口令。

认证服务器在接到认证代理软件的认证请求后，只需要比对用户输入的动态密码与认证服务器产生的该设备的动态密码是否一致即可判断是否合法用户。可见，系统就是依赖相同时间+相同算法+相同种子文件所产生的相同运算结果(动态密码)这样简单却极为有效的方式来实现身份认证的。因此，口令发生器与认证服务器之间不需要任何通信联系，其核心就在于时间同步专利技术。动态密码采用AES或3DES对称加解密技术。动态密码主要完成安全体系中的身份认证部分。动态密码不需要同PC机连接。

综上，USBKEY需要和PC联机，在需要输入PIN码的时候，存在被黑客攻击的可能；动态密码的缺点主要表现在，电池耗尽时，设备需要重新初始化，不同厂家的产品不能兼容。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的应用于身份认证的指纹USBKEY、指纹中心服务器及系统与方法，通过网络指纹比对进行身份认证，提高了系统的安全性。

依据本发明的一个方面，提供了一种应用于身份认证的指纹USBKEY，包括安全芯片、存储芯片、指纹传感器和外围芯片组，还包括：

指纹传递模块，适用于将采集的指纹传递给指纹中心服务器，与指纹中心服务器中存储的指纹相比较；

接收调用指令模块，适用于当指纹中心服务器中的指纹比对结果正确时，接收指纹中心服务器发出的调用其自身数字证书的指令。

进一步地，所述安全芯片适用于芯片端程序的存储、MCU的调度与协调和内部硬件IP核的运算，其包括COS文件管理系统、MassStorage命令处理模块、USB传输处理模块、NANDFLASH文件管理模块、加密算法处理模块、硬件IP核接口模块、指纹算法处理模块和片内存储区。

进一步地，所述指纹传感器是电容式指纹传感器。

进一步地，所述MassStorage命令处理模块实现USBMassStorage协议的Bulk-only子协议和UFI子协议，实现免驱动的指纹USBKEY。

依据本发明的另一个方面，提供了一种应用于身份认证的指纹中心服务器，包括：

指纹模板存储单元，适用于预先在所述指纹中心服务器端进行用户指纹的采集，并提取指纹特征存储；

指纹接收单元，适用于所述指纹中心服务器接收指纹USBKEY发送的用户使用时采集的指纹，并与所述指纹模板存储单元存储的指纹特征相比较；