[发明专利]一种基于指纹认证的密码安全管理方法与设备

说明书

本发明涉及一种基于指纹认证的密码安全管理方法与设备。所述设备包括中央处理模块、指纹采集模块、蓝牙模块和加密与安全存储模块。中央处理模块与指纹采集模块、蓝牙模块和加密与安全存储模块分别相连。本发明将用户指纹用于密钥制作保护隐私数据，使指纹不仅起到身份认证的作用，更起到了加密数据的作用。采用指纹制作密钥，比采用密码派生密钥能更好地抵御黑客的暴力密码攻击。本发明将用户标识用于密钥制作，而且使用户与设备共同参与密钥制作，大大提高了安全性能，使除了用户以外的其他任何人都无法解密被保护的数据，即使制造商都无能为力，除非由用户亲自提供用户标识和指纹。

技术领域

本发明属于互联网信息安全领域，具体涉及一种基于指纹认证的密码安全管理方法与设备。

背景技术

现有的密码管理方法主要有两种类型：云端备份存储型，本地浏览器缓存型。云端备份存储型是指用户在输入用户名密码的同时在服务器端做备份，在后续使用时由产品的插件自动输入用户名和密码。本地浏览器缓存型是指当用户输入密码和用户名时，由浏览器提醒是否缓存密码，当用户选择缓存时，浏览器将密码保存在本地的临时文件中。当用户再次使用密码时由浏览器插件自动填充。

云端备份存储型密码管理方法存在的问题是：采用云备份将用户隐私传到服务器，不但云端服务器内部容易泄密，而且容易被黑客窃取。本地浏览器缓存型密码管理方法存在的问题是：将密码保存在本地的临时文件中，没有采取任何加密保护措施，密码的安全性根本无法保证。

申请号为CN201220033844.2、名称为“一种基于云计算的指纹密码管理系统”的中国实用新型专利，公开了一种指纹密码管理系统。该系统数据保存在云端服务器存储模块中，容易被黑客窃取。而且给出的指纹密码保护方法也比较单一，安全性不高。

发明内容

针对现有技术中存在的上述问题，本发明提出一种基于指纹认证的密码安全管理方法与设备，将用户密码加密保存在密码管理设备中，可以有效地防止黑客窃取或密码管理器制造商的泄密。

为了实现上述目的，本发明采用如下技术方案。

一种基于指纹认证的密码安全管理方法，由密码管理设备实现，包括以下步骤：

步骤1，用户提交新的密码，如果用户首次使用，用户提供自定义的标识UI；

步骤2，应用程序APP端根据用户标识UI派生出能够参与密码运算的值UN，并将所述UN传递给密码管理设备；

步骤3，采用密钥派生算法2计算得到密钥K3；

步骤4，选取一条指纹F1，产生指纹模版FP1；

步骤5，使用所述密钥K3加密所述指纹模版FP1得到指纹模版FP2；

步骤6，由用户与密码管理设备共同参与，采用密钥派生算法1计算得到密钥K1；

步骤7，采用密钥K1对密码记录D加密，得到密文D1；

步骤8，采用内置密钥K2对密文D1加密，得到D2；密码管理设备内部保存D2，并提供导出备份接口。

进一步地，所述由UI派生出UN的方法表示为：

UN＝PBKDF2(UI,count)

式中，count的取值满足计算速度为秒级的处理器的要求，用于通过降低穷举的速度防止穷举UN。PBKDF2为一个通用的密码算法，算法的输入为一串字符串和运算量参数，输出的UN具有不可逆性，即无法从UN得到UI，输出数据能够用作密钥。

进一步地，所述采用密钥派生算法2计算得到密钥K3的方法表示如下：

K3＝HASH(UN,Salt,K4)