便携式身份认证控制装置（IAC）技术研究

◆彭永勇 何 林



便携式身份认证控制装置（IAC）技术研究

◆彭永勇 何 林

(四川中电启明星信息技术有限公司 四川 610225)

为了解决企业使用密码登录企业应用带来的不安全、繁琐等问题，本文提出了无密登录关键技术研究方案，通过便携式身份认证控制装置（IAC）复合技术，让用户更简捷、安全、可信的使用企业应用。

安全；指纹；强认证；简捷

0 引言

随着企业信息化和互联网的高速发展，自然人越来越多的个人信息和敏感资料会被存储在不同系统、尤其是互联网应用上，如果这些信息发生了泄露，就会对个人的财产、隐私信息造成链式暴露，对自然人的正常工作、生活、甚至生命危险等造成多方面影响和危害，信息安全事件频繁。由此，现代社会对信息安全要求越来越高，信息安全已经上升到国家层面，传统的身份认证识别方式须进行变革创新。

通过分析，新身份认证方式需满足以下要求：

（1）认证信息具有唯一性；

（2）认证信息无法被复制或盗取；

（3）服务器保存的认证信息安全不可被破解；

（4）简捷快速安全登录；

（5）内外网数据安全隔离。

基于以上问题，本文提出了一种基于非涉密登录关键技术“便携式身份认证控制装置（IAC）”复合技术，克服了现有技术的困难，避免通过使用账号密码这种传统方法登录带来的问题，在使用过程中无需用户输入用户账号和密码，通过指纹生物信息+U-KEY硬件，一键完成认证登录，更加快捷、安全的登录企业应用。

1 传统登录技术分析

目前比较传统的登录主要有账号密码登录、动态口令登录、扫码登录，这几种常见的登录方式都各自存在弊端，具体原因分析如下：

1.1账号密码登录

账号密码登录是最常见、使用历史最长的登录方式。其原理是为不同身份的登录人分配不同的密码和账号。当用户输入的账号和密码相匹配时，系统则认为登录人的身份合法。

1.2动态口令登录

手机动态口令是一次性有效的密码安全防护措施，利用手机作为随机密码生成或者接受终端，用户在登录应用系统时候，输入手机上的生成或者接收到的密码不停变化的随机密码，提升了用户身份认证或者交易的安全，目前在网银、第三方支付、证券、电信、电子政务、企业等领域使用。

1.3扫码登录

扫码登录是结合二维码与二维码扫码终端进行登录的一种方式。一般用户登录系统时系统返回二维码页面，并定时更新二维码。用户需下载扫码APP，通过该特定APP扫描二维码并确认登录。该登录方式安全可靠，无需记忆特定密码，操作简便。

1.4各登录方式缺点分析

账号密码登录：用户的账号和密码很容易被窃取、破解，安全性较低。若用户拥有多个账号，则需要设置多个密码，不便于记忆管理。同时密码需要定期修改，给使用者带来了极大的不便。

手机动态口令：用户首先需要输入要接受动态口令的手机，然后在界面输入手机收到的动态密码，在整个过程中虽然保证了信息的安全性，但是登录过程比较繁琐，需要两次输入，达不到快捷登录系统的要求。

扫码登录：用户需要额外下载APP，登录过程对网络依赖大。在某些特定场合需内外网穿墙。

因此本文提出了一种更加安全快捷的“便携式身份认证控制装置（IAC）”无密码登录技术。

2 “便携式身份认证控制装置（IAC）”技术分析

由于人体具有人体所固有的不可复制的唯一性，这一生物秘钥无法被复制、失窃或遗忘，利用生物识别进行身份认定具有安全、可靠、准确等特性，从而不必携带大量钥匙、记忆复杂的密码、频繁的修改身份信息，让身份认证变得简单、轻松且更加可靠。

但是在系统内部，生物识别信息被转换成电子信息，在传输、存储和使用的过程中，可能会被拦截、转移、甚至伪造对信息系统进行攻击，于是在认证控制器的设计中，采用了证书和指纹的联合认证方式，而且数据设计采用了校验数据和用户数据分离传输的设计方式。

2.1关健技术点

（1）如何将生物信息转换为电子信息

指纹识别：便携式身份认证控制装置（IAC）是一种复合型身份认证验证技术。其U-KEY硬件能够识别用户指纹，通过算法，可将不同指纹转信息换为的电子数据存储。

（2）如何保证指纹信息与用户账号对应

账号绑定：每个U-KEY具有唯一的标识码。通过账号绑定功能，用户可将U-KEY与对应账号绑定。其不同的key就代表了不同的账号。

（3）如何保证数据安全

U-KEY内置有数字证书，其指纹数据也经过国密算法加密，为安全提供双重保障。其与服务器通信也是基于CAS、OAUTH、OPENID等开放协议的技术手段，实现可信身份认证联合体系解决方案。

2.2安全设计

（1）主机和网络安全

功能按三级等保要求设计，操作系统、Web中间件、数据库进行安全扫描和基线配置核查，修复系统漏洞和配置不合规项。

（2）数据安全

应用服务不存储企业机密信息和用户隐私数据。指纹数据采用国密加密，U-KEY使用证书保证安全通信，重要数据传输采用SSL协议结合SM2、SM3、SM4国密算法进行加密传输和数字签名。

（3）业务安全

通过用户信息脱敏设计，U-KEY认证与应用系统认证为两套完全独立的认证体系，且必须U-KEY认证通过后才可进行系统认证。

3 “便携式身份认证控制装置（IAC）”技术方案

便携式身份认证控制装置（IAC）针对指纹KEY识别和数字证书技术，建立自然人到机器的互信通道。同时在软件上，IAC作为第三方证书可信验证，建立了从机器到后端服务的互信通道。以此从人-机器-服务建立了充分的互信机制，保证了信息的安全性和可靠性。

用户先使用U-KEY录入指纹，再将系统账号与U-KEY绑定。用户登录时系统会自动判断该U-KEY绑定的账号。技术方案架构如图1所示：

图1 技术方案架构

大致步骤如下：

（1）借助第三方的硬件设备指纹U-KEY，验证用户指纹信息，建立自然人-机器的互信通道；

（2）指纹验证通过，由U-KEY-CLIENT发起证书校验请求，CA-SERVER证书服务器对证书进行合法性校验，生成校验信息。建立U-KEY对应的证书可信通道；

（3）根据校验信息，由CLIENT发起用户数据校验，IAC-SERVER返回用户数据校验信息。建立证书到用户数据的可信通道；

（4）由CLIENT发起认证请求，GATE-SERVER根据用户数据校验信息与IAC-SERVER建立数据互信通道，获取用户数据，用于认证服务；

（5）GATE-SERVER返回到信息系统指定地址，并进行一系列登录操作，并跳转到指定页面。

4 总结

本文的重点是将用户信息与生物信息相结合，通过U-KEY进行认证登录。在客户端只保留校验信息而不是源生数据信息。三段式校验信息的互信，建立了从自然人-机器-服务的全程可信通道，防止了中途的数据篡改，用户信息得到了充分的保护。

[1]程元斌.基于指纹信息的身份认证系统的研究[D].江汉大学数学与计算科学学院，2006.

[2]https://wenku.baidu.com/view/26f993e0561252d380eb6e9f.html.

[3]韩伟红.指纹自动识别系统中的预处理技术[J].计算机研究与发展，1997.

[4]田捷，杨鑫.生物特征识别技术理论与应用[M].电子工业出版社，2005.