所屬技術領域

本發(fā)明方法屬于生物識別應用領域，是生物特征加密技術與公鑰基礎設施PKI證書體系的結合，適用于基于生物特征的電子簽名、身份認證等網(wǎng)絡安全應用。

背景技術

互聯(lián)網(wǎng)技術快速發(fā)展，尤其當前云計算環(huán)境大數(shù)據(jù)處理的應用背景下，人們在享受信息網(wǎng)絡便利的同時，網(wǎng)絡安全問題也日益突顯。近十年快速發(fā)展的生物特征加密技術，作為生物特征識別與密碼學相融合的新方向與新應用，為解決互聯(lián)網(wǎng)環(huán)境下的密鑰管理問題提供了契機。同時，因其固有的免攜帶和方便性使其具有廣闊的應用領域和市場前景。

但是目前將生物特征加密技術產(chǎn)品化時，存在以下幾個問題亟待解決：

1)安全性不高，物理生物特征與數(shù)字網(wǎng)絡身份的身份關聯(lián)性有待加強：

數(shù)字證書U盾(即USBKey證書)是目前較為安全也被廣泛使用的一種身份認證方法，但USBKey是基于硬件防竄擾技術實現(xiàn)的“以設備為中心”的密鑰管理機制，由于用戶攜帶的USBKey容易遺忘或丟失，存在網(wǎng)絡身份與自然人不能直接對應的密鑰管理安全隱患，使得無法滿足相關互聯(lián)網(wǎng)應用尤其是核心業(yè)務要求的“以人為中心”審計追蹤“責任到人”的安全需求。因此，需要從密鑰管理中的兩個方面來加強身份關聯(lián)性：一是密鑰生成時，隨機數(shù)密鑰須由生物特征直接派生或間接綁定，實現(xiàn)自然人物理生物特征與數(shù)字密鑰的強關聯(lián)；二是密鑰使用時，通過PKI公鑰信任體系保證生物模板不可篡改，防止中間代理攻擊，實現(xiàn)數(shù)字密鑰與網(wǎng)絡身份唯一ID的強關聯(lián)。

2)防護太被動，生物特征模板安全威脅監(jiān)測的主動防御必須有所突破：

基于生物特征的加密技術是一種“以人為中心”的密鑰保護方式，其密鑰的安全性依賴人體固有的生物特征，不需要記憶和攜帶，方便隨時隨地使用。因此，基于生物密鑰的生物證書是一種基于“你所固有”的更安全更方便的身份認證方式。目前專家學者們多側重生物特征模板可撤銷進而實現(xiàn)密鑰可重置更新的相關研究，并且取得了大量的研究成果，但是對于進一步推動生物特征加密理論及技術實用化的基于生物特征的密鑰管理與應用關鍵技術的研究則相對較少，如基于生物密鑰的PKI生物證書應用。尤其是生物特征模板安全威脅監(jiān)測方面的研究與應用鮮有報道，當前的模板保護算法不能對可能存在的模板攻擊行為進行實時檢測，這可能是導致生物特征識別與加密產(chǎn)品不能快速應用于互聯(lián)網(wǎng)業(yè)務的一個很主要的客觀因素。

本發(fā)明專利就是在上述背景下針對以上問題而提出來的。

發(fā)明內容

本發(fā)明主要解決的技術問題是提供一種具有安全威脅監(jiān)測能力的生物特征模板保護方法，能夠針對以上存在的使用身份關聯(lián)性和模板安全威脅等問題，從生物特征加密技術實用化角度，研究基于生物特征的密鑰管理與應用關鍵技術，滿足以下三個典型的使用場景。

1)證書申請(與模板密存)：使用活體指紋，提交證書申請，擁有生物證書，證書到期失效；生物特征模板密存生物證書，模板參數(shù)密存后臺數(shù)據(jù)庫。

2)在線簽名(與離線驗簽)：使用活體指紋，提交簽名申請，獲取生物證書，恢復生物密鑰，派生私鑰簽名；生物證書公鑰，隨時離線驗簽。

3)威脅監(jiān)測(與證書吊銷)：使用破解指紋，提交簽名申請，獲取生物證書，不能恢復生物密鑰，不能派生私鑰簽名；后臺監(jiān)測告警，簽發(fā)吊銷證書。

為解決上述技術問題，本發(fā)明采用的一個技術方案是：

1.一種具有安全威脅監(jiān)測能力的生物特征模板保護方法，針對生物特征模板可能存在的模板攻擊行為問題，結合數(shù)字證書并利用網(wǎng)絡蜜罐原理進行模板安全威脅的實時監(jiān)測，實現(xiàn)基于生物特征的在線簽名密碼運算，涉及終端密碼設備、數(shù)字證書管理系統(tǒng)、生物證書簽名服務、模板蜜罐監(jiān)測服務和證書認證服務，其特征是：生物密鑰生成與模板蜜罐偽造，模板參數(shù)密存與模板蜜罐公開，特征快速匹配與識別生物證書，模板參數(shù)取回與模板威脅檢測，生物密鑰恢復與在線簽名應用。