首页 > 专利 > 北京后易科技有限公司 > 一种基于指纹认证的密码安全管理方法与设备专利详情

一种基于指纹认证的密码安全管理方法与设备 0 0

有效专利查看PDF

申请进展

基本信息

申请人信息

代理人信息

摘要

法律状态

权利要求

说明书

专利申请流程有哪些步骤？

申请

申请号：指国家知识产权局受理一件专利申请时给予该专利申请的一个标示号码。唯一性原则。

申请日：提出专利申请之日。

2015-07-28

申请公布

申请公布指发明专利申请经初步审查合格后，自申请日（或优先权日）起18个月期满时的公布或根据申请人的请求提前进行的公布。

申请公布号：专利申请过程中，在尚未取得专利授权之前，国家专利局《专利公报》公开专利时的编号。

申请公布日：申请公开的日期，即在专利公报上予以公开的日期。

2015-12-30

授权

授权指对发明专利申请经实质审查没有发现驳回理由，授予发明专利权；或对实用新型或外观设计专利申请经初步审查没有发现驳回理由，授予实用新型专利权或外观设计专利权。

2018-11-30

预估到期

发明专利权的期限为二十年，实用新型专利权期限为十年，外观设计专利权期限为十五年，均自申请日起计算。专利届满后法律终止保护。

2035-07-28

基本信息

有效性	有效专利	专利类型	发明专利
申请号	CN201510449242.3	申请日	2015-07-28
公开/公告号	CN105117658B	公开/公告日	2018-11-30
授权日	2018-11-30	预估到期日	2035-07-28
申请年	2015年	公开/公告年	2018年
缴费截止日
分类号	G06F21/62 、G06F21/60 、G06F21/32 、H04L9/32	主分类号	G06F21/62
是否联合申请	独立申请	文献类型号	B
独权数量	1	从权数量	4
权利要求数量	5	非专利引证数量	0
引用专利数量	5	被引证专利数量	0
非专利引证
引用专利	CN102761410A、CN103490901A、CN101674299A、US2013/0339722A1、CN101282222A	被引证专利
专利权维持	7	专利申请国编码	CN
专利事件	转让	事务标签	公开、实质审查、授权、权利转移

申请人信息

申请人	北京后易科技有限公司	第一申请人	北京后易科技有限公司
专利权人	北京后易科技有限公司	当前专利权人	嘉兴智旭信息科技有限公司
发明人	刘涛、易啟林	第一发明人	刘涛
地址	北京市海淀区东北旺中关村软件园2号楼2B-2258	邮编	100094
申请人数量	1	发明人数量	2
申请人所在省	北京市	申请人所在市	北京市海淀区

代理人信息

代理机构

专利代理机构是经省专利管理局审核，国家知识产权局批准设立，可以接受委托人的委托，在委托权限范围内以委托人的名义办理专利申请或其他专利事务的服务机构。

北京中海智圣知识产权代理有限公司

代理人

专利代理师是代理他人进行专利申请和办理其他专利事务，取得一定资格的人。

罗建平

摘要

本发明涉及一种基于指纹认证的密码安全管理方法与设备。所述设备包括中央处理模块、指纹采集模块、蓝牙模块和加密与安全存储模块。中央处理模块与指纹采集模块、蓝牙模块和加密与安全存储模块分别相连。本发明将用户指纹用于密钥制作保护隐私数据，使指纹不仅起到身份认证的作用，更起到了加密数据的作用。采用指纹制作密钥，比采用密码派生密钥能更好地抵御黑客的暴力密码攻击。本发明将用户标识用于密钥制作，而且使用户与设备共同参与密钥制作，大大提高了安全性能，使除了用户以外的其他任何人都无法解密被保护的数据，即使制造商都无能为力，除非由用户亲自提供用户标识和指纹。

摘要附图
说明书附图：图1

法律状态

序号	法律状态公告日	法律状态	法律状态信息
1	2022-01-18	专利权的转移	登记生效日: 2022.01.06 专利权人由北京后易科技有限公司变更为嘉兴智旭信息科技有限公司地址由100094 北京市海淀区东北旺中关村软件园2号楼2B-2258变更为314500 浙江省嘉兴市桐乡市崇福镇南门工农路1号枣强街南4号02
2	2018-11-30	授权
3	2015-12-30	实质审查的生效	IPC(主分类): G06F 21/62 专利申请号: 201510449242.3 申请日: 2015.07.28
4	2015-12-02	公开

权利要求

权利要求书是申请文件最核心的部分，是申请人向国家申请保护他的发明创造及划定保护范围的文件。

1.一种基于指纹认证的密码安全管理方法，由密码管理设备实现，其特征在于包括以下步骤：
步骤1，用户提交新的密码，如果用户首次使用，用户提供自定义的标识UI；
步骤2，应用程序APP端根据用户标识UI派生出能够参与密码运算的值UN，并将所述UN传递给密码管理设备；
步骤3，采用密钥派生算法2计算得到密钥K3；
所述采用密钥派生算法2计算得到密钥K3的方法表示如下：
K3＝HASH(UN,Salt,K4)
式中，HASH为通用的密码哈希算法函数SHA1；Salt为一个随机数，与所述UI、F1一一对应，用于防止黑客构造彩虹表实施攻击；K4为所述密码管理设备内部的一个固定密钥，只要黑客得不到K4，即使有其他的数据也无法得到K3；
步骤4，选取一条指纹F1，产生指纹模版FP1；
步骤5，使用所述密钥K3加密所述指纹模版FP1得到指纹模版FP2；
步骤6，由用户与密码管理设备共同参与，采用密钥派生算法1计算得到密钥K1；
所述采用密钥派生算法1计算得到密钥K1的方法表示如下：
K1＝HASH(UN,FP1,Salt,K4)
式中，HASH为通用的密码哈希算法函数SHA1；Salt为一个随机数，与所述UI、F1一一对应；K4为所述密码管理设备内部的一个固定密钥；
步骤7，采用密钥K1对密码记录D加密，得到密文D1；
步骤8，采用内置密钥K2对密文D1加密，得到D2；密码管理设备内部保存D2，并提供导出备份接口；
其中，步骤2所述由UI派生出UN的方法表示为：
UN＝PBKDF2(UI,count)
式中，count的取值满足计算速度为秒级的处理器的要求，用于通过降低穷举的速度防止穷举UN；PBKDF2为一个通用的密码算法，算法的输入为一串字符串和运算量参数，输出的UN具有不可逆性，即无法从UN得到UI，输出数据能够用作密钥。

2.一种实现权利要求1所述方法的密码管理设备，其特征在于，所述密码管理设备包括中央处理模块、指纹采集模块、蓝牙模块、加密与安全存储模块；所述中央处理模块与所述指纹采集模块、蓝牙模块和加密与安全存储模块分别相连；
其中，所述中央处理模块是所述密码管理设备的控制计算中心，完成指纹信号数据处理功能，并协调各个模块的工作。

3.根据权利要求2所述的密码管理设备，其特征在于，所述指纹采集模块采用电容式指纹传感器采集用户指纹，并将采集到的用户指纹图像送入所述中央处理模块。

4.根据权利要求2所述的密码管理设备，其特征在于，所述蓝牙模块采用蓝牙4.0芯片，用于所述密码管理设备与外部设备的数据传输。

5.根据权利要求2～4任意一项所述的密码管理设备，其特征在于，所述加密与安全存储模块采用存储区域进行硬件加密处理的存储型安全芯片，用于在所述中央处理模块控制下，存储用户的账号和密码表，完成加密、解密操作。

说明书

技术领域

[0001] 本发明属于互联网信息安全领域，具体涉及一种基于指纹认证的密码安全管理方法与设备。

背景技术

[0002] 现有的密码管理方法主要有两种类型：云端备份存储型，本地浏览器缓存型。云端备份存储型是指用户在输入用户名密码的同时在服务器端做备份，在后续使用时由产品的插件自动输入用户名和密码。本地浏览器缓存型是指当用户输入密码和用户名时，由浏览器提醒是否缓存密码，当用户选择缓存时，浏览器将密码保存在本地的临时文件中。当用户再次使用密码时由浏览器插件自动填充。

[0003] 云端备份存储型密码管理方法存在的问题是：采用云备份将用户隐私传到服务器，不但云端服务器内部容易泄密，而且容易被黑客窃取。本地浏览器缓存型密码管理方法存在的问题是：将密码保存在本地的临时文件中，没有采取任何加密保护措施，密码的安全性根本无法保证。

[0004] 申请号为CN201220033844.2、名称为“一种基于云计算的指纹密码管理系统”的中国实用新型专利，公开了一种指纹密码管理系统。该系统数据保存在云端服务器存储模块中，容易被黑客窃取。而且给出的指纹密码保护方法也比较单一，安全性不高。

发明内容

[0005] 针对现有技术中存在的上述问题，本发明提出一种基于指纹认证的密码安全管理方法与设备，将用户密码加密保存在密码管理设备中，可以有效地防止黑客窃取或密码管理器制造商的泄密。

[0006] 为了实现上述目的，本发明采用如下技术方案。

[0007] 一种基于指纹认证的密码安全管理方法，由密码管理设备实现，包括以下步骤：

[0008] 步骤1，用户提交新的密码，如果用户首次使用，用户提供自定义的标识UI；

[0009] 步骤2，应用程序APP端根据用户标识UI派生出能够参与密码运算的值UN，并将所述UN传递给密码管理设备；

[0010] 步骤3，采用密钥派生算法2计算得到密钥K3；

[0011] 步骤4，选取一条指纹F1，产生指纹模版FP1；

[0012] 步骤5，使用所述密钥K3加密所述指纹模版FP1得到指纹模版FP2；

[0013] 步骤6，由用户与密码管理设备共同参与，采用密钥派生算法1计算得到密钥K1；

[0014] 步骤7，采用密钥K1对密码记录D加密，得到密文D1；

[0015] 步骤8，采用内置密钥K2对密文D1加密，得到D2；密码管理设备内部保存D2，并提供导出备份接口。

[0016] 进一步地，所述由UI派生出UN的方法表示为：

[0017] UN＝PBKDF2(UI,count)

[0018] 式中，count的取值满足计算速度为秒级的处理器的要求，用于通过降低穷举的速度防止穷举UN。PBKDF2为一个通用的密码算法，算法的输入为一串字符串和运算量参数，输出的UN具有不可逆性，即无法从UN得到UI，输出数据能够用作密钥。

[0019] 进一步地，所述采用密钥派生算法2计算得到密钥K3的方法表示如下：

[0020] K3＝HASH(UN,Salt,K4)

[0021] 式中，HASH为通用的密码哈希算法函数SHA1。Salt为一个随机数，与所述UI、F1一一对应，用于防止黑客构造彩虹表实施攻击。K4为所述密码管理设备内部的一个固定密钥，只要黑客得不到K4，即使有其他的数据也无法得到K3。

[0022] 进一步地，所述采用密钥派生算法1计算得到密钥K1的方法表示如下：

[0023] K1＝HASH(UN,FP1,Salt,K4)

[0024] 式中，HASH为通用的密码哈希算法函数SHA1。Salt为一个随机数，与所述UI、F1一一对应。K4为所述密码管理设备内部的一个固定密钥。

[0025] 一种实现上述方法的密码管理设备，包括中央处理模块、指纹采集模块、蓝牙模块、加密与安全存储模块。所述中央处理模块与所述指纹采集模块、蓝牙模块和加密与安全存储模块分别相连。

[0026] 进一步地，所述中央处理模块是所述密码管理设备的控制计算中心，完成指纹信号数据处理功能，并协调各个模块的工作。

[0027] 进一步地，所述指纹采集模块采用电容式指纹传感器采集用户指纹，并将采集到的用户指纹图像送入所述中央处理模块。

[0028] 进一步地，所述蓝牙模块采用蓝牙4.0芯片，用于所述密码管理设备与外部设备的数据传输。

[0029] 进一步地，所述加密与安全存储模块采用存储区域进行过硬件加密处理的存储型安全芯片，用于在所述中央处理模块控制下，存储用户的账号和密码表，完成加密、解密操作。

[0030] 与现有技术相比，本发明具有以下有益效果：

[0031] (1)本发明将用户指纹用于密钥制作，用于保护隐私数据，使指纹不仅起到身份认证的作用，更起到了加密数据的作用。采用指纹制作密钥，比采用密码派生密钥能更好地抵御黑客的暴力密码攻击。

[0032] (2)本发明将用户标识UI用于密钥制作，使除了用户以外的其他任何人都无法解密被保护的数据，即使制造商都无能为力，除非由用户亲自提供用户标识和指纹。

[0033] (3)本发明所述的密码管理设备在加密存储方面采用存储型安全芯片，提高了密码管理的安全性；通信方面采用蓝牙4.0，支持移动互联网接入，并且具有超长待机的优点；指纹采集模块采用电容按压式传感器，与光学传感器相比，具有抗湿手指，可鉴别活体指纹的优点。

实施方案

[0035] 下面结合附图和实施例对本发明做进一步说明。

[0036] 一种基于指纹认证的密码安全管理方法，包括以下步骤：

[0037] 步骤1：用户提交新的密码记录D，D＝{密码、用户名、URL}，在实际应用中可以对应一个邮箱的用户名、密码。

[0038] 步骤2：如果用户首次使用，用户提供其自定义的标识UI。

[0039] 步骤3：应用程序APP端根据用户标识UI派生出UN，并传递给密码管理设备。

[0040] 由用户标识UI派生出UN的方法表示如下：

[0041] UN＝PBKDF2(UI,count)

[0042] 式中，count的取值满足在性能较差的处理器上按秒级计算的要求，用于防止黑客穷举UN，降低穷举的速度。PBKDF2为一个通用的密码算法，该算法的输入为一串字符串和运算量参数，输出数据可以用作密钥。

[0043] 以下步骤在密码管理设备内部完成：

[0044] 步骤4：通过密钥派生算法2得到密钥K3。

[0045] 该步骤用于产生一个新的密钥，可表示如下：

[0046] K3＝HASH(UN,Salt,K4)

[0047] 式中，HASH函数为通用的密码哈希算法函数SHA1。UN来自用户标识UI，由用户输入，设置UN的目的是防止设备制造商提前知道密钥，从而可以随意解密用户数据。K4为密码管理设备内部的一个固定密钥，用于设备制造商一侧的保护，当黑客没有攻破设备内的芯片得到K4时，即使有其他的数据也无法得到K3。Salt是一个随机数，与UI、F1一一对应，用于防止黑客构造彩虹表实施攻击。所述F1是步骤5选取的一条指纹，步骤4与步骤5可以并行执行。

[0048] 生成密钥K3的方法中涉及到了由用户UI派生的UN、随机数Salt和固定密钥K4三个要素，使保密性大大增加。

[0049] 步骤5：选取一条指纹F1，产生指纹模版FP1。

[0050] 步骤6：使用K3加密FP1得到FP2。

[0051] 步骤7：通过密钥派生算法1得到密钥K1。

[0052] 该方法由用户与密码管理设备共同参与，提供四个元素UN、FP1、Salt和K4的共同作用，使保密性得到进一步提高。生成密钥K1的方法表示如下：

[0053] K1＝HASH(UN,FP1,Salt,K4)

[0054] 式中，HASH函数为通用的密码哈希算法函数SHA1。

[0055] 步骤8：用K1对密码记录D加密，得到密文D1。

[0056] 该步骤为数据的第一层加密，这一层加密是由用户的指纹F1和用户标识UI制作出的密钥K1来加密原始数据。

[0057] 步骤9：用内置密钥K2对D1加密，得到D2。该步骤为数据的第二层加密。使用双层加密的目的是提供双层加密保护：用户进行第一层加密，设备制造商进行第二层加密。这种加密的好处是黑客即使通过窃取了用户指纹和标识UI，如果没有设备中的密钥仍无法解密导出的数据。

[0058] 步骤10：保护结束。密码管理设备内部保存D2，并提供导出备份接口，备份时需要同时导出{FP2，D2，Salt}。将这三个元素再次送入密码管理设备即可恢复之前用户的所有密码。

[0059] 一种实现上述方法的密码管理设备，包括中央处理模块、指纹采集模块、蓝牙模块、加密与安全存储模块。所述中央处理模块与所述指纹采集模块、蓝牙模块和加密与安全存储模块分别相连。其中，

[0060] 所述中央处理模块是所述密码管理设备的控制计算中心，完成指纹信号数据处理功能，并协调各个模块的工作。所述指纹信号数据处理主要包括将模拟的指纹图像信号转换成数字信号，并进行图像增强、二值化、细化优化及特征提取等处理，最终实现指纹特征匹配。

[0061] 所述指纹采集模块用于采集用户的指纹，将采集到的用户指纹图像送入所述中央处理模块。所述指纹采集模块采用电容式指纹传感器，所述传感器与中央处理器之间通过SPI接口传输图像。与光学指纹传感器相比，电容式指纹传感器具有抗湿手指，可鉴别活体指纹的优点。

[0062] 所述蓝牙模块用于所述密码管理设备与外部系统(如手机、电脑)的数据传输。例如，用户在操作手机端或PC端软件欲登陆某个网站时，需要在所述指纹采集模块上按指纹，指纹匹配成功后由所述中央处理模块读取解密对应的账号和密码，并通过蓝牙模块反馈给手机端或PC端的软件。所述蓝牙模块采用蓝牙4.0芯片，支持移动互联网接入，并且具有超长的待机时间。

[0063] 所述加密与安全存储模块用于在所述中央处理模块控制下存储用户的账号和密码表，完成加密、解密操作。所述安全存储模块与中央处理模块通过串口通信传输数据。存储在该模块上的数据都经历过本实用新型所述方法的安全处理，而且该模块采用的是存储型安全芯片，比如ST23ZL48，其存储区域本身也经过了基于硬件的加密处理，通常通过内置固定密钥硬件隐藏、内存总线混淆、总线加密、强对称密码算法实现对flash区域、rom区域和ram区域的加密。类似芯片供应商有ST、英飞凌、国民技术等。

[0064] 本发明不限于上述实施方式，本领域技术人员所做出的对上述实施方式任何显而易见的改进或变更，都不会超出本发明的构思和所附权利要求的保护范围。