專利名稱：基于帶指紋識別的證書存儲設(shè)備的證書認證系統(tǒng)及其認證方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種證書認證系統(tǒng)，特別是一種在證書存儲設(shè)備中增加指紋識別設(shè)備 (比如指紋key盤)，并在證書認證流程中增加對用戶指紋識別的安全認證環(huán)節(jié)，從而達到 增強用戶信息安全目的的證書認證系統(tǒng)，屬于信息安全技術(shù)領(lǐng)域。
背景技術(shù)：
CA (Certificate Authority)認證是一種電子商務(wù)認證體系。其由電子商務(wù)認證 授權(quán)機構(gòu)作為電子商務(wù)交易中受信任的第三方，負責向交易雙方發(fā)放和管理數(shù)字證書，并 承擔公鑰體系中公鑰的合法性檢驗的責任。在電子商務(wù)過程中，交易雙方通過向電子商務(wù) 認證授權(quán)機構(gòu)發(fā)送預先獲得的數(shù)字證書證明證書中列出的用戶合法擁有證書中列出的公 開密鑰。CA機構(gòu)的數(shù)字簽名使得攻擊者不能偽造和篡改證書，從而建立一套完整的電子商 務(wù)認證體系。 現(xiàn)有的證書認證系統(tǒng)結(jié)構(gòu)如圖2所示， 一般包括至少一個證書認證服務(wù)器和若干 與該證書認證服務(wù)器網(wǎng)絡(luò)連接的證書存儲設(shè)備。用戶進行證書認證的流程如下首先，用戶 需要通過用戶名和密碼在證書認證服務(wù)器上進行登錄；登陸完成后，證書認證服務(wù)器根據(jù) 用戶請求從用戶所特有的證書存儲設(shè)備中調(diào)用該用戶的數(shù)字證書，以進行證書認證。
在上述認證過程中，證書認證過程是一套較為完善的安全認證體系。但是，在前期 用戶進行用戶登錄時，用戶的用戶名和密碼是通過網(wǎng)絡(luò)進行傳輸?shù)?，這一過程并不具有足 夠安全保障。在實際使用中，用戶往往會首先被人盜用用戶名和密碼，進而實現(xiàn)對認證證書 的偽造或篡改，從而達到非法目的。因此，現(xiàn)有的證書認證系統(tǒng)存在著安全隱患，急待進行 完善。

發(fā)明內(nèi)容
本發(fā)明的主要目的在于解決現(xiàn)有技術(shù)中存在的問題，提供一種在證書存儲設(shè)備中
增加指紋識別設(shè)備，并在證書認證流程中增加對用戶指紋識別的安全認證環(huán)節(jié)，從而達到
增強用戶信息安全目的的證書認證系統(tǒng)。 本發(fā)明的目的是通過下述技術(shù)方案予以實現(xiàn)的 —種基于帶指紋識別的證書存儲設(shè)備的證書認證系統(tǒng)，其特征在于包括至少一
個證書認證服務(wù)器和若干與該證書認證服務(wù)器網(wǎng)絡(luò)連接的證書存儲設(shè)備； 所述證書存儲設(shè)備包括控制器、存儲區(qū)和指紋傳感器；所述存儲區(qū)中存儲有數(shù)字
證書數(shù)據(jù)、指紋比對信息和指紋比對程序；所述控制器分別與存儲區(qū)、指紋傳感器相連，用
以實現(xiàn)指紋身份認證程序的控制、指紋信息的比對以及存儲區(qū)的數(shù)據(jù)管理；該控制器還與
數(shù)據(jù)接口相連，通過該數(shù)據(jù)接口連接至網(wǎng)絡(luò)。 所述控制器采用單芯片結(jié)構(gòu)。 所述指紋傳感器可以是滑動熱敏式、滑動電容式或壓感面積式指紋傳感器。
—種證書認證方法，基于所述基于帶指紋識別的證書存儲設(shè)備的證書認證系統(tǒng)實 現(xiàn)，其特征在于包括如下步驟 (1)用戶通過用戶名和密碼在證書認證服務(wù)器上進行登錄； (2)用戶登錄成功后，證書認證服務(wù)器根據(jù)用戶請求向用戶的證書存儲設(shè)備調(diào)用 數(shù)字證書； (3)證書存儲設(shè)備收到證書認證服務(wù)器的調(diào)用請求后，要求用戶進行指紋識別；
(4)用戶通過指紋傳感器進行指紋掃描，并將掃描獲得的指紋信息與存儲區(qū)中 存儲的指紋比對信息進行比對；如果比對成功則執(zhí)行步驟(5)，如果比對失敗則執(zhí)行步驟 (6); (5)證書存儲設(shè)備響應證書認證服務(wù)器的請求，將存儲區(qū)所存儲的數(shù)字證書數(shù)據(jù) 發(fā)送至證書認證服務(wù)器，已進行證書認證； (6)證書存儲設(shè)備拒絕向證書認證服務(wù)器發(fā)送數(shù)字證書信息，并向用戶發(fā)出指紋 認證失敗提示。 本發(fā)明的有益效果是通過該證書認證系統(tǒng)及其認證方法的設(shè)計，證書存儲設(shè)備 在向證書認證服務(wù)器發(fā)送數(shù)字證書前還必須通過指紋認證步驟，從而提高了證書認證系統(tǒng) 的安全性。


圖1為基于帶指紋識別的證書存儲設(shè)備的證書認證系統(tǒng)的結(jié)構(gòu)示意圖；
圖2為現(xiàn)有證書認證系統(tǒng)的結(jié)構(gòu)示意圖； 圖3為基于帶指紋識別的證書存儲設(shè)備設(shè)備的證書認證系統(tǒng)的證書認證流程圖；
圖4為證書存儲設(shè)備的結(jié)構(gòu)示意圖。
具體實施例方式
下面結(jié)合附圖和實施例對本發(fā)明作進一步描述。 圖1為本發(fā)明所設(shè)計的基于帶指紋識別的證書存儲設(shè)備的證書認證系統(tǒng)結(jié)構(gòu)示 意圖。如圖所示，該證書認證系統(tǒng)包括至少一個證書認證服務(wù)器和若干與該證書認證服務(wù) 器網(wǎng)絡(luò)連接的證書存儲設(shè)備。該證書認證服務(wù)器與現(xiàn)有的證書認證服務(wù)器并無區(qū)別，在此 不再詳述。 該證書存儲設(shè)備中包括控制器、存儲區(qū)和指紋傳感器。所述存儲區(qū)中存儲有數(shù)字 證書數(shù)據(jù)、指紋比對信息和指紋比對程序。所述控制器分別與存儲區(qū)、指紋傳感器相連，用 以實現(xiàn)指紋身份認證程序的控制、指紋信息的比對以及存儲區(qū)的數(shù)據(jù)管理。該控制器還與 數(shù)據(jù)接口相連，通過該數(shù)據(jù)接口連接至網(wǎng)絡(luò)。 如上所述，該證書認證系統(tǒng)與現(xiàn)有技術(shù)最大的區(qū)別在于在證書存儲設(shè)備中增加了 指紋傳感器，以實現(xiàn)對用戶的指紋進行識別認證。并且，這里用戶的指紋信息完全是在存儲 設(shè)備本地進行認證，并不通過網(wǎng)絡(luò)進行傳播，因此能夠更好的保障用戶信息安全?；谶@樣 的系統(tǒng)結(jié)構(gòu)改造，本發(fā)明設(shè)計了如圖3所示的證書認證方法，具體包括如下步驟
(1)用戶通過用戶名和密碼在證書認證服務(wù)器上進行登錄； (2)用戶登錄成功后，證書認證服務(wù)器根據(jù)用戶請求向用戶的證書存儲設(shè)備調(diào)用數(shù)字證書； (3)證書存儲設(shè)備收到證書認證服務(wù)器的調(diào)用請求后，要求用戶進行指紋識別；
(4)用戶通過指紋傳感器進行指紋掃描，并將掃描獲得的指紋信息與存儲區(qū)中 存儲的指紋比對信息進行比對；如果比對成功則執(zhí)行步驟(5)，如果比對失敗則執(zhí)行步驟 (6); (5)證書存儲設(shè)備響應證書認證服務(wù)器的請求，將存儲區(qū)所存儲的數(shù)字證書數(shù)據(jù) 發(fā)送至證書認證服務(wù)器，已進行證書認證； (6)證書存儲設(shè)備拒絕向證書認證服務(wù)器發(fā)送數(shù)字證書信息，并向用戶發(fā)出指紋 認證失敗提示。 可見，通過本發(fā)明所設(shè)計的證書認證系統(tǒng)及其認證方法，證書存儲設(shè)備在向證書 認證服務(wù)器發(fā)送數(shù)字證書前還必須通過指紋認證步驟。只有指紋認證通過后，證書存儲設(shè) 備才獲準發(fā)出數(shù)字證書。眾所周知，指紋信息是一種人體生理信息，該信息不同于用戶名及 密碼容易為他人盜用。并且，該系統(tǒng)中指紋認證的過程完全在證書存儲設(shè)備本地進行，并不 將用戶的指紋信息通過網(wǎng)絡(luò)進行傳輸。這也避免了他人通過網(wǎng)絡(luò)盜用用戶指紋信息的可 能。因此，可以極大地改善現(xiàn)有證書認證系統(tǒng)中所存在的安全隱患。 不僅如此，本發(fā)明在對前述證書存儲設(shè)備的結(jié)構(gòu)設(shè)計中還針對其應用特點進行了 結(jié)構(gòu)優(yōu)化?，F(xiàn)有的證書存儲設(shè)備由于其數(shù)據(jù)量并不大，因此一般僅采用較普通的控制器進 行數(shù)據(jù)處理即可。而對于指紋識別而言，由于其數(shù)據(jù)處理量較大，一般需要采用DSP進行數(shù) 據(jù)處理。然而，DSP芯片本身沒有有效的安全保護、加密等模塊或功能支持，因此對于證書 存儲設(shè)備存在安全隱患。其次，如果在證書存儲設(shè)備中采用雙芯片結(jié)構(gòu)設(shè)計的話，其芯片之 間的通訊與傳輸也存在著不安全因素。 鑒于以上情況，本發(fā)明所設(shè)計的證書存儲設(shè)備的結(jié)構(gòu)如圖4所示，采用單芯片結(jié) 構(gòu)設(shè)計，將數(shù)字證書的數(shù)據(jù)處理工作和指紋識別工作集于單個芯片進行處理。這樣就可以 解決上面所提到的安全隱患問題。 另外，本發(fā)明所指的指紋傳感器可以采用現(xiàn)所常用的多種不同形式的指紋傳感器 來實現(xiàn)，如滑動熱敏式、滑動電容式、壓感面積式等。 綜上所述，本發(fā)明提供了一種在證書存儲設(shè)備中增加指紋識別設(shè)備，并在證書認 證流程中增加對用戶指紋識別的安全認證環(huán)節(jié)，從而達到增強用戶信息安全目的的證書認 證系統(tǒng)。本領(lǐng)域技術(shù)人員基于上述設(shè)計思想之下，所做的任何不具有創(chuàng)造性的改造，均應視 為在本發(fā)明的保護范圍之內(nèi)。
權(quán)利要求
一種基于帶指紋識別的證書存儲設(shè)備的證書認證系統(tǒng)，其特征在于包括至少一個證書認證服務(wù)器和若干與該證書認證服務(wù)器網(wǎng)絡(luò)連接的證書存儲設(shè)備；所述證書存儲設(shè)備包括控制器、存儲區(qū)和指紋傳感器；所述存儲區(qū)中存儲有數(shù)字證書數(shù)據(jù)、指紋比對信息和指紋比對程序；所述控制器分別與存儲區(qū)、指紋傳感器相連，用以實現(xiàn)指紋身份認證程序的控制、指紋信息的比對以及存儲區(qū)的數(shù)據(jù)管理；該控制器還與數(shù)據(jù)接口相連，通過該數(shù)據(jù)接口連接至網(wǎng)絡(luò)。
2. 如權(quán)利要求1所述的基于帶指紋識別的證書存儲設(shè)備的證書認證系統(tǒng)，其特征在 于所述控制器采用單芯片結(jié)構(gòu)。
3. 如權(quán)利要求1所述的基于帶指紋識別的證書存儲設(shè)備的證書認證系統(tǒng)，其特征在 于所述指紋傳感器可以是滑動熱敏式、滑動電容式或壓感面積式指紋傳感器。
4. 一種證書認證方法，基于權(quán)利要求1所述的基于帶指紋識別的證書存儲設(shè)備的證書 認證系統(tǒng)實現(xiàn)，其特征在于包括如下步驟(1) 用戶通過用戶名和密碼在證書認證服務(wù)器上進行登錄；(2) 用戶登錄成功后，證書認證服務(wù)器根據(jù)用戶請求向用戶的證書存儲設(shè)備調(diào)用數(shù)字 證書；(3) 證書存儲設(shè)備收到證書認證服務(wù)器的調(diào)用請求后，要求用戶進行指紋識別；(4) 用戶通過指紋傳感器進行指紋掃描，并將掃描獲得的指紋信息與存儲區(qū)中存儲的 指紋比對信息進行比對；如果比對成功則執(zhí)行步驟(5)，如果比對失敗則執(zhí)行步驟(6);(5) 證書存儲設(shè)備響應證書認證服務(wù)器的請求，將存儲區(qū)所存儲的數(shù)字證書數(shù)據(jù)發(fā)送 至證書認證服務(wù)器，已進行證書認證；(6) 證書存儲設(shè)備拒絕向證書認證服務(wù)器發(fā)送數(shù)字證書信息，并向用戶發(fā)出指紋認證 失敗提示。
全文摘要
本發(fā)明提供了一種基于帶指紋識別的證書存儲設(shè)備的證書認證系統(tǒng)，其特征在于包括至少一個證書認證服務(wù)器和若干與該證書認證服務(wù)器網(wǎng)絡(luò)連接的證書存儲設(shè)備；所述證書存儲設(shè)備包括控制器、存儲區(qū)和指紋傳感器；所述存儲區(qū)中存儲有數(shù)字證書數(shù)據(jù)、指紋比對信息和指紋比對程序；所述控制器分別與存儲區(qū)、指紋傳感器相連，用以實現(xiàn)指紋身份認證程序的控制、指紋信息的比對以及存儲區(qū)的數(shù)據(jù)管理；該控制器還與數(shù)據(jù)接口相連，通過該數(shù)據(jù)接口連接至網(wǎng)絡(luò)。通過該證書認證系統(tǒng)及其認證方法的設(shè)計，證書存儲設(shè)備在向證書認證服務(wù)器發(fā)送數(shù)字證書前還必須通過指紋認證步驟，從而提高了證書認證系統(tǒng)的安全性。
文檔編號G06F21/00GK101789062SQ20101003438
公開日2010年7月28日 申請日期2010年1月21日 優(yōu)先權(quán)日2010年1月21日
發(fā)明者李振新, 王志超, 韓曉舟 申請人:北京中天一維科技有限公司