專利名稱:用于電子簽名的指紋識別儀的制作方法
技術(shù)領(lǐng)域:
本實用新型涉及信息安全認(rèn)證領(lǐng)域��,具體涉及一種用于電子簽名的指紋識別儀�����。
背景技術(shù):
在信息交換發(fā)達(dá)的今天���,保證信息安全成為首要問題�。為了保證信息存儲和傳輸?shù)陌踩?,信息的加密成為必要。目前的加密體制,一般需要用戶以口令的形式來保護密鑰���,但口令難于記憶且易于破解�。指紋認(rèn)證��,是生物特征認(rèn)證的一種�,具備準(zhǔn)確、快速�、高效的特點。一種將指紋認(rèn)證與密碼保護體系相結(jié)合的新方式被應(yīng)用到越來越多的需要身份認(rèn)證的領(lǐng)域��。
所謂電子簽名���,是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)�����?���;赑KI的公鑰密碼技術(shù)的數(shù)字簽名是電子簽名的一種特定形式。公鑰基礎(chǔ)設(shè)施PKI是一種新的信息安全認(rèn)證技術(shù)���,它由公開密鑰密碼技術(shù)��、數(shù)字證書��、證書發(fā)放機構(gòu)(CA)和關(guān)于公開密鑰的安全策略等基本成分共同組成的�。數(shù)字證書簡稱證書,是PKI的核心元素����,由認(rèn)證機構(gòu)服務(wù)者簽發(fā),它是電子簽名的技術(shù)基礎(chǔ)保障?����,F(xiàn)行的PKI機制一般為雙證書機制�,即一個實體應(yīng)具有兩個證書,兩個密鑰對�����,一個是加密證書���,一個是簽名證書�����,加密證書原則上是不能用于簽名的�����。證書在公鑰體制中是密鑰管理的媒介�,不同的實體可通過證書來互相傳遞公鑰,證書由權(quán)威性����、可信任性和公正性的第三方機構(gòu)簽發(fā),是權(quán)威性電子文檔����。
如前所述,在整個電子簽名的技術(shù)實現(xiàn)中����,無論是加密、傳輸����、儲存��、解密���、驗證各個過程都充分考慮了安全的需求��,但是��,由于電子簽名技術(shù)畢竟是一個純粹電子/信息的技術(shù)����,整個電子簽名的過程其實是對于數(shù)字證書的驗證,因此在電子簽名中數(shù)字證書的安全是至關(guān)重要的����。
但電子簽名中數(shù)字證書是非常容易被復(fù)制的,為了保護數(shù)字證書�,目前最為常用的技術(shù)是采用智能IC卡技術(shù)和USB Key技術(shù)將數(shù)字證書存放在IC卡和USB Key兩種物理介質(zhì)中,IC卡技術(shù)是通過將數(shù)字證書保存在一個非?�?煽康闹悄苄酒?���,來確保數(shù)字證書不會被非法復(fù)制和使用,而且制作IC卡的成本較高�。
但物理介質(zhì)與使用者之間并不存在完全不可分割的關(guān)系,唯一的關(guān)系就是通常在使用數(shù)字證書介質(zhì)的時候都會需要使用者輸入該介質(zhì)的訪問密碼��,這個訪問數(shù)字證書的密碼正是所有電子簽名技術(shù)中最薄弱的環(huán)節(jié)�����。
實用新型內(nèi)容為解決現(xiàn)有技術(shù)的缺陷和不足,真正實現(xiàn)用戶身份識別����,本實用新型專利提供的是一種全新的電子簽名方式——用于電子簽名的指紋識別儀。
用于電子簽名的指紋識別儀�����,包括讀取使用者的指紋信息的指紋傳感器��、與上位計算機通訊的指紋識別控制器�����、驗證使用者的身份的模塊安全管理器��,指紋識別控制器與指紋傳感器��、模塊安全管理器由通用串行總線連接�����,其特征在于所述的模塊安全管理器連接有智能密碼鑰匙接口����。該智能密碼鑰匙接口與存儲外部數(shù)字證書的物理介質(zhì)連接后實現(xiàn)對指紋信息和外部數(shù)字證書的加密、解密和存儲��。這樣的連接將用戶的指紋信息與訪問外部數(shù)字證書的用戶的身份關(guān)聯(lián)���,采用指紋識別來實現(xiàn)對數(shù)字證書使用者身份的唯一性確認(rèn)��。
所述的智能密碼鑰匙接口與存儲外部數(shù)字證書的物理介質(zhì)連接���。這樣的連接實現(xiàn)了對指紋信息和外部數(shù)字證書的加密、解密和存儲��。
所述的模塊安全管理器用于將指紋傳感器讀取指紋信息轉(zhuǎn)換為指紋模板并控制智能密碼鑰匙接口與智能密碼鑰匙通訊的開啟和關(guān)閉�。指紋傳感器讀取到使用者的指紋的圖象后,對原始圖象進(jìn)行初步的處理�,使之更清晰,再建立指紋的特征數(shù)據(jù)��,這些數(shù)據(jù)�����,通常稱為指紋模板��。
所述的智能密碼鑰匙接口(4)采用API應(yīng)用編程接口,所連接的物理介質(zhì)為智能IC卡或USB Key��。兩種物理介質(zhì)可根據(jù)實際使用需要進(jìn)行選擇�。API應(yīng)用編程接口可以支持任何國家商用密碼委員會開發(fā)的智能密碼鑰匙。
所述的智能密碼鑰匙接口用于將指紋模板轉(zhuǎn)換成智能密碼鑰匙存儲于外部數(shù)字證書的物理介質(zhì)�。物理介質(zhì)中通常有部分物理存儲空間用于存儲智能密碼鑰匙,只有獲得智能密碼鑰匙才能進(jìn)行對外部數(shù)字證書的訪問����。
所述的智能密碼鑰匙經(jīng)智能密碼鑰匙接口轉(zhuǎn)換后的數(shù)據(jù)與模塊安全管理器識別的數(shù)據(jù)相配。智能密碼鑰匙接口將智能密碼鑰匙解密��,轉(zhuǎn)換成指紋特征數(shù)據(jù)�,即指紋模板。該指紋模板可為模塊安全管理器識別���。
所述的模塊安全管理器用于將指紋傳感器讀取的指紋信息與存儲于外部數(shù)字證書的智能密碼鑰匙進(jìn)行比對�。模塊安全管理器將使用者的指紋特征數(shù)據(jù)與智能密碼鑰匙轉(zhuǎn)換成的指紋特征數(shù)據(jù)進(jìn)行比對�����,對使用者的身份進(jìn)行確認(rèn)�����。
所述的指紋傳感器為半導(dǎo)體傳感器。半導(dǎo)體傳感器體積小�,價格低�����,使全部電子元器件集成為一體成為可能�,并且性價比優(yōu)于光學(xué)傳感器。該半導(dǎo)體傳感器可屏蔽靜電�����,防止指紋傳感器被高壓靜電擊穿����。
所述的指紋傳感器通過可編程控制線與模塊安全管理器通訊,響應(yīng)來自模塊安全管理器的控制信號��。模塊安全管理器將指紋特征數(shù)據(jù)比對的結(jié)果����,傳送給指紋傳感器,如果結(jié)果為一致�����,指紋傳感器將控制模塊安全管理器開放對外部數(shù)字證書的硬件訪問通道,起到管理和保護外部數(shù)字證書硬件訪問通道的作用��,同時作為外部數(shù)字證書的宿主平臺����。
指紋傳感器、指紋識別控制器�����、模塊安全管理器����、智能密碼鑰匙接口、可編程控制線集成為一個整體�����。使用于電子簽名的指紋識別儀體積小巧�����,便于攜帶����。
本實用新型通過模塊安全管理器與智能密碼鑰匙接口的連接實現(xiàn)了指紋信息與存儲于外部物理媒介的智能密碼鑰匙間的相互轉(zhuǎn)換��,對數(shù)據(jù)流進(jìn)行加解密后進(jìn)行同類型數(shù)據(jù)比較��,從而實現(xiàn)對用戶身份的認(rèn)證�,滿足指紋信息的安全加密儲存的要求��;又利用指紋識別技術(shù)實現(xiàn)了對于外部數(shù)字證書的有效保護���,徹底解決了在應(yīng)用電子簽名技術(shù)時的安全問題——即利用電子簽名技術(shù)實現(xiàn)了在傳輸與存儲等電子信息流過程中的數(shù)據(jù)安全,又利用指紋識別技術(shù)實現(xiàn)了對數(shù)字證書使用者本人的身份確認(rèn)��。智能密碼鑰匙接口具有通用性可以支持經(jīng)過國家商用密碼委員會認(rèn)可的任何智能密碼鑰匙����,使用于電子簽名的指紋識別儀應(yīng)用范圍不受限制。指紋傳感器采用半導(dǎo)體傳感器��,降低了成本�����,縮小了體積�����,性價比更為優(yōu)越,便于實現(xiàn)將所有組成電子元器件集成為一體���,便于攜帶����。
圖1為本實用新型的結(jié)構(gòu)方框圖�;圖2為本實用新型的邏輯結(jié)構(gòu)圖。
圖中1�����、指紋傳感器���,2�����、指紋識別控制器�����,3�、模塊安全管理器,4���、智能密碼鑰匙接口�,5��、可編程控制線���,虛線框內(nèi)為本實用新型��。
具體實現(xiàn)方式通常存儲電子簽名中數(shù)字證書的物理介質(zhì)為智能IC卡和USBKey�����,兩者在本質(zhì)上沒有區(qū)別,針對不同的物理介質(zhì)��,智能密碼鑰匙接口可實際使用需要進(jìn)行選擇��。以成本相對較低��。
以下結(jié)合圖1說明當(dāng)智能密碼鑰匙接口連接USB Key存儲外部數(shù)字證書時的用于電子簽名的指紋識別儀����。本實用新型包括指紋傳感器1�����、指紋識別控制器2����、模塊安全管理器3和智能密碼鑰匙接口4��、可編程控制線5��。
指紋識別控制器2以通用串行總線與上位計算機連接和通訊�����,位于整個儀器的核心位置����,模塊安全管理器3、指紋傳感器1和智能密碼鑰匙接口4均通過指紋識別控制器2與上位計算機通訊�����。在最佳實施例中指紋識別控制器2可為指紋傳感器1提供電源���。指紋識別控制器2與模塊安全管理器3和指紋傳感器1以通用串行總線連接����。
指紋傳感器1,采用半導(dǎo)體傳感器�,其體積小,價格低���,性價比優(yōu)于光學(xué)傳感器�,使全部電子元器件集成為一體后����,整體體積減小,便于攜帶���。該半導(dǎo)體傳感器可屏蔽靜電�����,防止指紋傳感器1被高壓靜電擊穿。指紋傳感器1將使用者的指紋圖像轉(zhuǎn)換成電子信號�����,通過可編程控制線5與模塊安全管理器3通訊���,傳遞給模塊安全管理器3���。
模塊安全管理器3將收到的電子信號后對原始圖象進(jìn)行初步的處理�,使之更清晰�����,再建立指紋的特征數(shù)據(jù)���,形成指紋模板��。在作為對智能密碼鑰匙的初始化時��,將指紋模板通過智能密碼鑰匙接口4轉(zhuǎn)換形成的智能密碼鑰匙存儲于外部的USB Key中�����。當(dāng)需要驗證使用者身份時�����,模塊安全管理器3將存儲于外部USB Key的智能密碼鑰匙通過智能密碼鑰匙接口4轉(zhuǎn)換成的指紋特征數(shù)據(jù)與提取的使用者的指紋特征數(shù)據(jù)進(jìn)行比對�。如果比較的結(jié)果為一致��,指紋傳感器1將控制模塊安全管理器3開放對USB Key的硬件訪問通道,對于存儲于USBKey中的外部數(shù)字證書的訪問和使用才能夠得以實現(xiàn)��。如果比較結(jié)果為不一致����,則使用者將不能通過身份驗證,不可進(jìn)行相應(yīng)的操作�����。通常USB Key的存儲空間都能滿足存儲智能密碼鑰匙和數(shù)字證書的需要��,并且USB Key本身具有硬件加密能力����,可以保證智能密碼鑰匙的安全。智能密碼鑰匙接口4介于模塊安全管理器3和外部物理媒介之間��,具有通用性�,采用API應(yīng)用編程接口可基于不同的數(shù)字證書��,對數(shù)據(jù)流進(jìn)行加密���、解密����。模塊安全管理器3與智能密碼鑰匙接口4、智能密碼鑰匙接口4與外部USB Key均以通用串行總線連接���。
可編程控制線5連接指紋傳感器1和模塊安全管理器3���,負(fù)責(zé)兩者的通訊。
在這樣的使用環(huán)境中���,USB Key被作為一個安全的存儲設(shè)備使用��,為使用者儲存智能密碼鑰匙和數(shù)字證書����。因此��,對于多用戶的環(huán)境��,只要所使用的USB Key支持分區(qū)管理��,能夠把不同用戶的數(shù)據(jù)以不同的智能密碼鑰匙進(jìn)行分別存儲���,就可以實現(xiàn)單個設(shè)備對多用戶的支持���。
對于智能密碼鑰匙接口連接智能IC卡的情況����,工作原理相同�����,在此不多贅述�����。
圖2中��,初始化外部數(shù)字證書的智能密碼鑰匙時��,提取使用者的指紋形成指紋圖像�,對指紋圖像進(jìn)行數(shù)據(jù)處理,提取指紋特征數(shù)據(jù)��,形成指紋模板經(jīng)過API應(yīng)用編程接口轉(zhuǎn)換形成智能密碼鑰匙存儲在外部數(shù)字證書的物理介質(zhì)�。驗證使用者身份時,提取使用者的指紋��,經(jīng)過數(shù)據(jù)處理���,形成指紋特征數(shù)據(jù)��,同時調(diào)用存儲在外部數(shù)字證書的物理介質(zhì)中的密碼鑰匙���,經(jīng)過API應(yīng)用編程接口轉(zhuǎn)換成指紋模板,兩者進(jìn)行比對�����,如果結(jié)果一致��,反饋控制信號后����,開放訪問和使用外部數(shù)字證書的通道,用應(yīng)程序可以運行����。
權(quán)利要求1.用于電子簽名的指紋識別儀,包括讀取使用者的指紋信息的指紋傳感器(1)��、與上位計算機通訊的指紋識別控制器(2)����、驗證使用者的身份的模塊安全管理器(3)���,指紋識別控制器(2)與指紋傳感器(1)、模塊安全管理器(3)由通用串行總線連接�,其特征在于所述的模塊安全管理器(3)連接有智能密碼鑰匙接口(4)。
2.根據(jù)權(quán)利要求1所述的用于電子簽名的指紋識別儀����,其特征在于所述的智能密碼鑰匙接口(4)與存儲外部數(shù)字證書的物理介質(zhì)連接。
3.根據(jù)權(quán)利要求1所述的用于電子簽名的指紋識別儀����,其特征在于所述的智能密碼鑰匙接口(4)采用API應(yīng)用編程接口,所連接的物理介質(zhì)為智能IC卡或USB Key��。
4.根據(jù)權(quán)利要求1所述的用于電子簽名的指紋識別儀���,其特征在于所述的指紋傳感器(1)為半導(dǎo)體傳感器�。
5.根據(jù)權(quán)利要求1所述的用于電子簽名的指紋識別儀����,其特征在于所述的指紋傳感器(1)通過可編程控制線(5)與模塊安全管理器(3)通訊,響應(yīng)來自模塊安全管理器(3)的控制信號�����。
6.根據(jù)權(quán)利要求1所述的用于電子簽名的指紋識別儀,其特征在于將指紋傳感器(1)����、指紋識別控制器(2)�、模塊安全管理器(3)、智能密碼鑰匙接口(4)�、可編程控制線(5)集成為一個整體。
專利摘要用于電子簽名的指紋識別儀��,涉及信息安全認(rèn)證領(lǐng)域�,包括指紋傳感器、指紋識別控制器���、模塊安全管理器�、智能密碼鑰匙接口����、可編程控制線。目前使用數(shù)字證書介質(zhì)的時候都需要使用者輸入訪問密碼其是保護電子簽名的最薄弱環(huán)節(jié)��。本實用新型通過模塊安全管理器與智能密碼鑰匙接口的連接實現(xiàn)指紋信息與智能密碼鑰匙間的相互轉(zhuǎn)換���,對數(shù)據(jù)流進(jìn)行加解密后進(jìn)行同類型數(shù)據(jù)比較�,從而實現(xiàn)用戶身份的認(rèn)證,又利用指紋識別技術(shù)實現(xiàn)了對于外部數(shù)字證書的有效保護�����。智能密碼鑰匙接口支持經(jīng)過國家商用密碼委員會認(rèn)可的任何智能密碼鑰匙���;指紋傳感器采用半導(dǎo)體傳感器�����,使各部件可集成為一體�,降低成本��,縮小體積��,便于攜帶����,性價比優(yōu)越。
文檔編號G06K9/00GK2824442SQ20052010049
公開日2006年10月4日 申請日期2005年2月4日 優(yōu)先權(quán)日2005年2月4日
發(fā)明者王灝 申請人:王灝