本發(fā)明涉及一種基于指紋識別的公鑰密碼集中服務的方法，包括：客戶端連接登錄服務進行對時，將采集到的用戶指紋通過一次一密算法保護后發(fā)送到登錄服務進行驗證；判斷是否為第一次登陸系統(tǒng)，如果是，調(diào)用密碼服務生成簽名公私鑰對和簽名證書CSR申請文件，然后用戶將CSR文件提交到CA申請簽名證書和加密證書，當CA返回簽名和加密證書及加密私鑰后，使用CA根證書驗證用戶導入證書是否為同CA簽發(fā)給該用戶的有效合法證書，驗證通過后將用戶公私鑰證書及相關(guān)文件解密轉(zhuǎn)換后，使用用戶指紋模板產(chǎn)生的PIN碼加密存儲在數(shù)據(jù)庫中；當在客戶端導入用戶加密和簽名證書后，基于加密證書中的公私鑰進行數(shù)據(jù)的加解密服務，或者基于簽名公私鑰進行簽名驗簽服務。

技術(shù)領域

本發(fā)明涉及計算機安全技術(shù)，特別涉及一種基于指紋識別的公鑰密碼集中服務的方法。

背景技術(shù)

密碼技術(shù)是信息安全的核心技術(shù)，身份認證、訪問控制、數(shù)字簽名、信息保密等都離不開密碼技術(shù)。在客戶端，采用終端密碼機或密碼卡時，終端密碼機或密碼卡與客戶端計算機是綁定的，一般不能隨意改變。當采用USBKey時，一般只使用公鑰算法做數(shù)字簽名與驗證，并且需要輸入保護私鑰的PIN碼，給用戶使用上帶來了不便。而且，用戶數(shù)字簽名，只是與存儲私鑰的設備進行了設定，并沒有與用戶個人的身份信息結(jié)合起來，無法保證證書的使用者就是證書的所有者。對于系統(tǒng)來講只是認證到物，所以很容易產(chǎn)生口令存在丟失、被遺忘、容易被攻破以及存在USBkey丟失等問題，這樣隨時都有設備遺失、身份假冒的問題。其他人擁有了USBKey，破解了PIN碼，就可以使用該用戶的身份進行數(shù)字簽名。在用戶終端使用USBKey時，一般不對用戶數(shù)據(jù)進行加密保護，主要原因是USBKey的對稱算法加密速率較低。

因此，在客戶端給用戶提供指紋識別設備，用于對用戶的身份認證，而將數(shù)字簽名與驗簽、數(shù)據(jù)加解密等密碼服務集中到一個公鑰密碼服務器上，是很有必要的。

在辦公網(wǎng)絡環(huán)境，通常都需要通過輸入口令登錄OA等辦公系統(tǒng)，用戶需要記住復雜的口令密碼，如包括大小寫字母和數(shù)字等，容易被遺忘。實際應用中，許多用戶采用固定不變的易記憶的口令，降低了安全性。即使在使用USBKey的場合，用戶往往也是使用易記憶的PIN碼，甚至還一直是出廠設置的缺省PIN碼，從來也沒有改變過。一旦USBKey丟失，很容易被破解PIN碼，從而冒充真實用戶的身份登錄系統(tǒng)，帶來了極大的安全威脅。在客戶端采用終端密碼機或密碼卡時，終端密碼機或密碼卡與客戶端計算機是綁定的，一般不能隨意改變。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種基于指紋識別的公鑰密碼集中服務的方法，用于解決上述現(xiàn)有技術(shù)的問題。

本發(fā)明一種基于指紋識別的公鑰密碼集中服務的方法，其中，包括：進行登錄認證，包括：客戶端連接登錄服務進行對時，將采集到的用戶指紋通過一次一密算法保護后發(fā)送到登錄服務進行驗證；登錄服務將采集的用戶指紋信息，與存儲在數(shù)據(jù)庫服務器中的用戶指紋信息進行比對驗證，驗證失敗，則返回錯誤消息；登錄服務將采集的用戶指紋信息，與存儲在數(shù)據(jù)庫服務器中的用戶指紋信息進行比對驗證；驗證通過，登錄服務生成一個TOKEN令牌，并為客戶端選擇一個密碼服務節(jié)點，將TOKEN令牌和密碼服務節(jié)點的IP地址和端口號返回給客戶端，用戶訪問密碼服務時，進行TOKEN令牌認證；以及當用戶訪問密碼服務通過TOKEN令牌認證；如登錄認證通過，則繼續(xù)，否則，結(jié)束；以及判斷是否為第一次登陸系統(tǒng)，如果是，調(diào)用密碼服務生成簽名公私鑰對和簽名證書CSR申請文件，然后用戶將CSR文件提交到CA申請簽名證書和加密證書，當CA返回簽名和加密證書及加密私鑰后，使用CA根證書驗證用戶導入證書是否為同CA簽發(fā)給該用戶的有效合法證書，驗證通過后將用戶公私鑰證書及相關(guān)文件解密轉(zhuǎn)換后，使用用戶指紋模板產(chǎn)生的PIN碼加密存儲在數(shù)據(jù)庫中；當在客戶端導入用戶加密和簽名證書后，基于加密證書中的公私鑰進行數(shù)據(jù)的加解密服務，或者基于簽名公私鑰進行簽名驗簽服務。