技術(shù)領(lǐng)域

本發(fā)明屬于信息安全領(lǐng)域，涉及一種電子指紋身份標(biāo)簽(EID-Tag)生成及驗(yàn)證的方法，應(yīng)用于遠(yuǎn)程服務(wù)終端特別是自助服務(wù)終端對(duì)用戶身份的驗(yàn)證，提供安全、便捷的服務(wù)，同時(shí)，很好地保護(hù)用戶的隱私信息。

背景技術(shù)

指紋驗(yàn)證技術(shù)作為身份驗(yàn)證的手段已經(jīng)得到越來(lái)越多的應(yīng)用：最常見(jiàn)有考勤機(jī)，門禁系統(tǒng)等；把指紋信息與銀行卡綁定，可以替代密碼或簽字甚至銀行卡本身，完成支付功能；從2013年起公安部門在公民換領(lǐng)第2代身份證以及發(fā)放電子護(hù)照時(shí)，也要錄取用戶的指紋信息，并將其存入證件中。隨著指紋驗(yàn)證應(yīng)用范圍的推廣，指紋信息泄露的安全風(fēng)險(xiǎn)就凸顯出來(lái)：用人單位可以輕易的獲得員工的指紋；銀行甚至使用銀行POS機(jī)的商戶也可以輕易的獲得用戶的指紋；使用帶指紋讀出功能的二代證讀卡器的單位，比如賓館、機(jī)場(chǎng)也可能得到旅客的指紋，除非限制其使用。當(dāng)一部分指紋信息被泄露，會(huì)污染整個(gè)指紋驗(yàn)證的網(wǎng)絡(luò)環(huán)境，指紋驗(yàn)證系統(tǒng)功能癱瘓。另一方面，在大規(guī)模應(yīng)用的情況下，用于比對(duì)的指紋模版如果存儲(chǔ)在中心，勢(shì)必造成瓶頸，實(shí)行1:N比對(duì)幾乎不可能，需要用戶輸入一個(gè)檢索碼實(shí)施1:1比對(duì)；如果將模版部署到應(yīng)用提供商，存在極大信息泄露風(fēng)險(xiǎn)，且依然不能解決1:N比對(duì)問(wèn)題。

射頻識(shí)別(RFID)技術(shù)作為身份驗(yàn)證的手段的應(yīng)用更為廣泛，比如單位員工的工卡，倉(cāng)儲(chǔ)物流的貨物標(biāo)簽等，其最主要的特點(diǎn)是成本極低，非接觸識(shí)別等。RFID結(jié)合智能芯片(IC)，可以完成“近場(chǎng)支付”(NFC)，比如公交卡，高速速通卡，手機(jī)錢包等。但是，RFID的最大弱點(diǎn)是不能確認(rèn)當(dāng)前持卡人就是卡的所有人，因此不能用于較嚴(yán)格的身份驗(yàn)證，支付也只能用于特定目的或小額支付，以減小丟失后被他人冒用的損失。

PKI/CA技術(shù)作為身份驗(yàn)證的手段的應(yīng)用更為久遠(yuǎn)。自從1970年代發(fā)明了RSA非對(duì)稱加密算法后，PKI/CA技術(shù)作為認(rèn)證和加密的手段就被廣泛地應(yīng)用于計(jì)算機(jī)和通信網(wǎng)路之中。個(gè)人證書也在逐步普及，例如網(wǎng)絡(luò)銀行使用的U-KEY，以及接觸或非接觸式的IC銀行卡也可以內(nèi)置數(shù)字證書等。為了防止丟失冒用，還需要設(shè)置口令來(lái)加以保護(hù)。由于數(shù)字證書的私鑰存儲(chǔ)及計(jì)算必須隔離在數(shù)字證書的存儲(chǔ)介質(zhì)中進(jìn)行才能保證安全，導(dǎo)致介質(zhì)必須具備運(yùn)算和雙向通信功能，增加了介質(zhì)的成本。

因此，如何在遠(yuǎn)程服務(wù)終端，特別是遠(yuǎn)程自助服務(wù)終端安全、低成本、便捷地實(shí)現(xiàn)用戶的真實(shí)身份驗(yàn)證，同時(shí)保護(hù)用戶隱私，已成為各種遠(yuǎn)程服務(wù)中亟待解決的重大問(wèn)題。

發(fā)明內(nèi)容

本發(fā)明的目的是為了增強(qiáng)遠(yuǎn)程服務(wù)終端對(duì)用戶真實(shí)身份進(jìn)行驗(yàn)證的安全性和便捷性，提出一種電子指紋身份標(biāo)簽生成及驗(yàn)證的方法，在有效實(shí)現(xiàn)身份驗(yàn)證的同時(shí)，保證了用戶的隱私信息安全。

本發(fā)明的技術(shù)方案是：

電子指紋身份標(biāo)簽生成過(guò)程：

1、利用“模糊保險(xiǎn)箱”技術(shù)，將用戶指紋轉(zhuǎn)換成用于比對(duì)的模糊標(biāo)準(zhǔn)指紋模版；

2、將用戶的身份信息，身份證號(hào)碼、姓名、照片等用口令加密成加密的身份數(shù)據(jù)；(口令由身份服務(wù)商IDSP和用戶共同持有)

3、為用戶生成唯一的序列號(hào)；

4、將序列號(hào)、模糊指紋模版和加密的身份數(shù)據(jù)用哈希函數(shù)(MD5，SHA-1等)運(yùn)算得到哈希值，IDSP對(duì)哈希值簽名；

5、將簽名、序列號(hào)、標(biāo)準(zhǔn)指紋模版和加密的身份數(shù)據(jù)寫入RFID芯片，生成電子指紋身份標(biāo)簽，即EID-Tag，發(fā)給用戶。

驗(yàn)證過(guò)程：

1、讀出EID-Tag內(nèi)容，驗(yàn)證簽名；

2、利用“模糊保險(xiǎn)箱”技術(shù)采集用戶的現(xiàn)場(chǎng)指紋模版；并與讀出的標(biāo)準(zhǔn)指紋模版進(jìn)行比對(duì)，通過(guò)即完成驗(yàn)證及支付類的應(yīng)用；

3、如果驗(yàn)證方需要用戶的身份信息，可以通過(guò)在線(向IDSP請(qǐng)求)或離線(用戶輸入)的方式得到口令，解密身份信息。

本發(fā)明的優(yōu)點(diǎn)是：

1、安全：由于采用模糊保險(xiǎn)箱技術(shù)，任何人包括IDSP都不能從標(biāo)準(zhǔn)指紋模版和現(xiàn)場(chǎng)指紋模版中還原出用戶的指紋圖像和特征；由于使用口令對(duì)身份信息加以保護(hù)，除非得到本人或IDSP授權(quán)，他人無(wú)法得到用戶身份信息。上述兩種情況在EID-Tag丟失時(shí)依然成立。

2、準(zhǔn)確、高效：用戶僅需在出示EID-Tag的同時(shí)按下指紋即可完成準(zhǔn)確的身份驗(yàn)證(無(wú)須驗(yàn)證方人員比對(duì)照片來(lái)確認(rèn))或完成需要授權(quán)的操作，如支付；指紋比對(duì)工作在終端完成，大大節(jié)約傳輸以及1:N比對(duì)的系統(tǒng)開(kāi)銷。指紋比對(duì)比數(shù)字證書更加直接。

3、經(jīng)濟(jì)：EID-Tag只是靜態(tài)數(shù)據(jù)的存儲(chǔ)，無(wú)須雙向傳輸和內(nèi)部運(yùn)算，其成本非常低廉。

具體實(shí)施方式