[0035] 下面结合附图和实施例对本发明做进一步说明。
[0036] 一种基于指纹认证的密码安全管理方法,包括以下步骤:
[0037] 步骤1:用户提交新的密码记录D,D={密码、用户名、URL},在实际应用中可以对应一个邮箱的用户名、密码。
[0038] 步骤2:如果用户首次使用,用户提供其自定义的标识UI。
[0039] 步骤3:应用程序APP端根据用户标识UI派生出UN,并传递给密码管理设备。
[0040] 由用户标识UI派生出UN的方法表示如下:
[0041] UN=PBKDF2(UI,count)
[0042] 式中,count的取值满足在性能较差的处理器上按秒级计算的要求,用于防止黑客穷举UN,降低穷举的速度。PBKDF2为一个通用的密码算法,该算法的输入为一串字符串和运算量参数,输出数据可以用作密钥。
[0043] 以下步骤在密码管理设备内部完成:
[0044] 步骤4:通过密钥派生算法2得到密钥K3。
[0045] 该步骤用于产生一个新的密钥,可表示如下:
[0046] K3=HASH(UN,Salt,K4)
[0047] 式中,HASH函数为通用的密码哈希算法函数SHA1。UN来自用户标识UI,由用户输入,设置UN的目的是防止设备制造商提前知道密钥,从而可以随意解密用户数据。K4为密码管理设备内部的一个固定密钥,用于设备制造商一侧的保护,当黑客没有攻破设备内的芯片得到K4时,即使有其他的数据也无法得到K3。Salt是一个随机数,与UI、F1一一对应,用于防止黑客构造彩虹表实施攻击。所述F1是步骤5选取的一条指纹,步骤4与步骤5可以并行执行。
[0048] 生成密钥K3的方法中涉及到了由用户UI派生的UN、随机数Salt和固定密钥K4三个要素,使保密性大大增加。
[0049] 步骤5:选取一条指纹F1,产生指纹模版FP1。
[0050] 步骤6:使用K3加密FP1得到FP2。
[0051] 步骤7:通过密钥派生算法1得到密钥K1。
[0052] 该方法由用户与密码管理设备共同参与,提供四个元素UN、FP1、Salt和K4的共同作用,使保密性得到进一步提高。生成密钥K1的方法表示如下:
[0053] K1=HASH(UN,FP1,Salt,K4)
[0054] 式中,HASH函数为通用的密码哈希算法函数SHA1。
[0055] 步骤8:用K1对密码记录D加密,得到密文D1。
[0056] 该步骤为数据的第一层加密,这一层加密是由用户的指纹F1和用户标识UI制作出的密钥K1来加密原始数据。
[0057] 步骤9:用内置密钥K2对D1加密,得到D2。该步骤为数据的第二层加密。使用双层加密的目的是提供双层加密保护:用户进行第一层加密,设备制造商进行第二层加密。这种加密的好处是黑客即使通过窃取了用户指纹和标识UI,如果没有设备中的密钥仍无法解密导出的数据。
[0058] 步骤10:保护结束。密码管理设备内部保存D2,并提供导出备份接口,备份时需要同时导出{FP2,D2,Salt}。将这三个元素再次送入密码管理设备即可恢复之前用户的所有密码。
[0059] 一种实现上述方法的密码管理设备,包括中央处理模块、指纹采集模块、蓝牙模块、加密与安全存储模块。所述中央处理模块与所述指纹采集模块、蓝牙模块和加密与安全存储模块分别相连。其中,
[0060] 所述中央处理模块是所述密码管理设备的控制计算中心,完成指纹信号数据处理功能,并协调各个模块的工作。所述指纹信号数据处理主要包括将模拟的指纹图像信号转换成数字信号,并进行图像增强、二值化、细化优化及特征提取等处理,最终实现指纹特征匹配。
[0061] 所述指纹采集模块用于采集用户的指纹,将采集到的用户指纹图像送入所述中央处理模块。所述指纹采集模块采用电容式指纹传感器,所述传感器与中央处理器之间通过SPI接口传输图像。与光学指纹传感器相比,电容式指纹传感器具有抗湿手指,可鉴别活体指纹的优点。
[0062] 所述蓝牙模块用于所述密码管理设备与外部系统(如手机、电脑)的数据传输。例如,用户在操作手机端或PC端软件欲登陆某个网站时,需要在所述指纹采集模块上按指纹,指纹匹配成功后由所述中央处理模块读取解密对应的账号和密码,并通过蓝牙模块反馈给手机端或PC端的软件。所述蓝牙模块采用蓝牙4.0芯片,支持移动互联网接入,并且具有超长的待机时间。
[0063] 所述加密与安全存储模块用于在所述中央处理模块控制下存储用户的账号和密码表,完成加密、解密操作。所述安全存储模块与中央处理模块通过串口通信传输数据。存储在该模块上的数据都经历过本实用新型所述方法的安全处理,而且该模块采用的是存储型安全芯片,比如ST23ZL48,其存储区域本身也经过了基于硬件的加密处理,通常通过内置固定密钥硬件隐藏、内存总线混淆、总线加密、强对称密码算法实现对flash区域、rom区域和ram区域的加密。类似芯片供应商有ST、英飞凌、国民技术等。
[0064] 本发明不限于上述实施方式,本领域技术人员所做出的对上述实施方式任何显而易见的改进或变更,都不会超出本发明的构思和所附权利要求的保护范围。