技術領域

本實用新型涉及生物信號加密等技術領域，特別一種基于指紋加密的身份認證系統。

背景技術

近幾年，由于身份認證系統的出現和日益普及，我們足不出戶就可以通過用戶認證、電話支付等方式開展電子商務，參與遠程信息管理、網絡購物等高效現代生活，越來越多的個人及企業已經習慣于將敏感數據和商業機密通過安全認證系統進行網絡傳輸。然而，這些傳統的加密體制也存在使用不方便以及記憶困難等缺點。典型的加密密鑰都是隨機且足夠長的，人們很難記憶這些冗長隨機的字符串，因此這樣的密鑰往往被存儲在某種介質上，然后再由口令來保護密鑰的安全性。這樣，整個密鑰系統的安全性就是基于口令的。

以在線交易安全為例，為了保障整個通信過程中數據機密性、數據完整性、合法身份認證和抗抵賴性等方面，采取的主流認證技術被劃分為：

(1)SFA(Single-factor?authentication單因子認證)：僅通過一個條件的符合來證明一個人的身份稱之為單因子認證。大家熟知的“用戶名+口令”的身份認證機制，實際上就是一種單因子認證方式，因為用戶名是易知的。

(2)MFA(Multi-factor?authentication多因子認證)：通過組合兩種及兩種以上不同條件來證明一個人的身份稱之為多因子認證。常見的多因子認證方式是結合密碼以及實物(信用卡、SMS手機、令牌)等條件對用戶進行認證的方法。

由于傳統單因子認證即靜態密碼(用戶名+密碼)為代表的技術已經被認為是極度危險的身份認證手段，因此近年來逐步發展出基于USB?key的身份認證，它被認為是一種方便且可靠安全的身份認證技術。它采用一次一密的雙因子認證模式，很好地解決了身份認證的可靠性的問題，并提供USB接口與先進的電腦通用。它內置了CPU、存儲器、芯片操作系統(COS)等，可以存儲用戶的密鑰或者數字證書，利用USB內置的密碼算法實現對于用戶身份的認證.

由于每個USB?Key都具有硬件PIN碼保護。PIN碼和硬件構成了用戶使用USB?Key的兩個必要因素。用戶只有同時取得了USB?Key和用戶PIN碼，才可以登錄系統，即使用戶的USB?key遺失，拾到者由于不知道用戶PIN碼，也無法仿冒合法用戶的身份。

然而，隨著編解碼技術、釣魚技術以及木馬病毒的無孔不入和黑客工具的層層升級，采用USB?KEY方式進行網絡身份認證的安全性將面臨新一輪的挑戰。尤其是目前最大規模的應用：在線支付功能。

以銀行發售的USB?Key(即U盾)舉例，在當前廣泛應用和實際操作中存在幾大安全漏洞：

1.利用PIN碼和時間差作案

目前的大多數銀行使用的USB?Key的PIN碼都是從電腦上輸入的，因此黑客可以通過木馬程序直接截獲USB?Key的PIN碼，這也是目前大多數USB?Key存在的一個漏洞。知道了PIN碼后，如果用戶忘記將USB?Key從電腦上取出，那么黑客還可以進一步通過PIN碼來操作USB?Key。一個非常極端的情況是：當個人用戶的電腦已經被黑客遠程控制，即鍵盤或屏幕的操作處于黑客監控中，以目前的USB?Key功能還能保證安全交易嗎？答案是否定的！因為此時USBKey的PIN碼已經處于可被黑客截取的環境，只要USB?Key被用戶操作完之后沒有被立刻取出，那么黑客完全可以在這個短暫的間歇期通過人工操作或病毒軟件偽造一次交易，而此時USB?Key以及PIN碼均處于驗證通過狀態。事實上，這不是單純的假設分析，而是來自于諸多的現實案例。

2.從外部讀取Key內的密鑰

USB?Key的密鑰從“理論”上講是無法從外部直接讀取的，這個“理論”建立在設計的絕對安全假設之上，如果設計和編寫USB?Key操作系統COS的人無意或人為地在COS留下了后門，那么設計者以及黑客就可以輕松從外部讀取Key內部的密鑰。