指纹证书双因子认证系统安全解决方案.doc

“指纹+数字证书”双因子认证系统安全解决方案中天一维科技有限公司Ewaytek Co.,Ltd“指纹+数字证书”双因子认证系统安全解决方案卷与分册 方案资料版本 2006V1.0出版状态 标准BOM编码 M版权声明中天一维科技有限公司2006版权所有，保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书的部分或全部，并不得以任何形式传播。Copyright 2005 by Ewaytek Co., Ltd.All Rights Reserved.No part of this document may be reproduced or transmitted in any form or by any means without prior written consent of Shanghai Ewaytek Co., Ltd目 录1术语51.1指纹KEY51.2双因子认证51.3企业内部网络51.4PKI51.5CA证书颁发机构51.6数字证书61.7注册机构RA61.8PC/SC61.9CSP61.10SDK二次开发工具62方案简介73方案特点及优势83.1不可抵赖性83.2安全性83.3可靠性93.3.1安全可靠的指纹KEY硬件结构93.3.2稳健的系统体系结构93.3.3自动系统故障恢复93.3.4完善的诊断工具103.4易用性103.4.1简单的指纹身份验证操作113.4.2用户状态迁移工具113.4.3紧急管理服务113.4.4存储区域网络和网络访问服务器支持113.4.5网络负载平衡增强功能113.5可扩展性124双因子认证的域登录解决方案134.1系统结构设计134.2系统设置及应用134.2.1配置域控制器144.2.2配置 IIS 服务器154.2.3配置 CA 服务器164.2.4申请注册代理证书204.2.5安装指纹KEY驱动程序及硬件234.2.6初始化指纹KEY244.2.7申请智能卡证书244.2.8使用指纹KEY进行域登录274.2.9域安全策略设置285核心产品技术简介295.1产品特点及优势295.1.1高安全性295.1.2使用方便295.1.3易于集成295.1.4高性价比295.2产品外观305.3详细规格306系统实施及成本构成301 术语1.1 指纹KEY指纹KEY是将传统的USB KEY与指纹识别技术相结合，利用指纹识别代替密码识别的方法验证USB KEY的用户身份的一种特殊的USB KEY。指纹KEY内容存储用户指纹特征数据，内部完成指纹验证比对（脱机认证），利用指纹识别技术独立完成用户身份验证。指纹KEY是具有极高安全性的网络身份认证工具。指纹KEY是中天一维科技有限公司具有发明性专利的安全认证产品，它具有高安全性、高可靠性、安装使用方便、体积小巧方便携带等特点。1.2 双因子认证本方案中的双因子认证是指“指纹身份认证”+“数字证书认证”。数字证书被存储在有条件访问的指纹KEY设备中。数字证书由可信任的CA中心发放，指纹KEY由可信任的安全管理机构发放。发放指纹KEY的同时将数字证书下载到指纹KEY中，并且采集用户指纹。在进行网络操作系统登录（如：域登录）及应用系统登录时，首先插入指纹KEY并且进行指纹身份认证，指纹身份认证通过后进行“数字证书”的电子签名认证。1.3 企业内部网络企业内部网络可以是企业OA系统，银行综合业务系统或是证券综合业务系统，此方案适合于WINDOWS网络系统也适合于UNIX网络系统，可以支持B/S系统结构也可以支持C/S网络系统结构。1.4 PKI公钥基础结构 (PKI) 是通过使用公钥加密对参与电子交易的每一方的有效性进行验证和身份验证的数字证书、证书颁发机构 (CA) 和其他注册机构 (RA)。1.5 CA证书颁发机构负责建立并保证属于对象（通常是用户或计算机）或其他证书颁发机构的公钥的真实性的实体。证书颁发机构的活动可以包括通过已签名的证书将公钥绑定到可分辨的名称上、管理证书序列号以及证书吊销。1.6 数字证书通常用于身份验证及保证公开网络上信息安全性的数字文档。证书将公钥安全地绑定到持有相应私钥的实体中。证书由证书颁发机构 (CA) 数字签名，并且可以颁发给用户、计算机或服务。1.7 注册机构RA为管理员配置的计算机，用于代表其他用户请求并检索已颁发的证书。RA 不需要在同一个计算机上安装证书颁发机构。1.8 PC/SCpc/sc即个人计算机(personal computer)/智能卡(smart card)，它是为智能卡访问windows平台（包括windows2000）而定义的一种标准结构。pc/sc的体系结构为智能卡（或指纹KEY）与个人计算机系统设计的交互规范，已经让智能卡进入pc机世界的问题变得容易了。pc/sc的主要优点就是让应用程序不必为了与智能卡（或指纹KEY）通信而去了解智能卡（或指纹KEY）的细节。而且，该应用程序还能适用于任何遵从pc/sc标准的读卡器（或指纹KEY）。1.9 CSP加密服务提供程序 (CSP)，执行身份验证、编码和加密服务的代码，基于 Windows 的应用程序通过 CryptoAPI 访问这些服务。CSP 负责创建密钥、吊销密钥以及使用密钥执行各种加密操作。每个 CSP 都提供了不同的 CryptoAPI 实现。某些提供了更强大的加密算法，而另一些则使用硬件组件，例如指纹KEY，智能卡。1.10 SDK二次开发工具为方便用户基于“指纹+数字证书”的双因子认证系统开发高安全的应用系统，本方案提供了丰富的二次应用开发接口。其中包括PC/SC及指纹采集、指纹图像显示等接口，同时还可以为用户提供后台的“统一生物认证平台（UNIBAP）”系统。2 方案简介随着政府、企业信息化建设的深化，越来越多的单位建立了自己的办公自动化系统，这些系统在提高企业效率和管理水平等方面发挥了很大的作用，由于OA系统管理着许多企事业单位重要的信息，因而对安全要求较高。然而早期开发的OA系统中存在安全隐患，其中身份认证部分是最薄弱环节。早期开发的办公自动化系统，大多是利用“ID+PASSWORD”，“IC卡+PASSWORD”或是“USBKEY+PASSWORD”的方式进行网络身份验证。在这些系统中网络传输及网络数据存储在利用防火墙、IPSec、VPN、AES、3DES等技术之后都得到了良好的安全保障。然而网络资源的授权使用及网络用户的真实身份验证仍然是最薄弱的环节。具调查显示目前在企业机密信息被窃取、银行帐户被滥用、证券帐户的盗用等各种网络安全问题中，80%来自于内部犯罪。造成网络安全问题内部犯罪的直接原因是： 网络计算机被非法使用 网络用户被盗用 文件的真实性完整性和不可抵赖性得不到保障现有网络系统中针对使用者的身份认证方式依旧停留在“密码”验证的水平上，从而“密码”成为网络安全系统的一个“弱因子”。密码存在如下问题： 用户以最常用编码作为密码很容易被功破（生日、电话号码等） 用户在使用复杂密码时十分不方便（容易忘记、将密码记录在易泄密的介质上） 计算机的键盘输入很容易被跟踪（木马程序） 密码如果泄露可以被任何非法用户所使用计算机只认“密码”不认“人” 密码认证不具有“不可抵赖性”任何人都可以使用一个密码针对这种情况，我公司开发了新一代“指纹+数字证书”的双因子认证系统，该系统能够有效地解决企业网络系统的用户身份安全认证及网络的安全传输。“指纹+数字证书”的双因子认证系统是将指纹认证与数字证书认证有机结合，利用指纹对用户进行身份认证，同时基于PKI技术，将数字签名、身份认证和证书管理等信息安全技术植入现有的企业网络安全系统内，以此保证企业网络系统对于用户身份的可靠认证和信息的可靠传输。从而达到网络数据的“机密性”、“真实性”、“完整性”和“不可抵赖”。PKI 体系在解决信息的安全传输方面已经被证明是非常有效的，但是在身份认证方面，如果数字证书保管不善，则仍然存在身份假冒的可能性。众所周知，指纹具有唯一性、不变性、便携性的优点，利用指纹则可以唯一的鉴别一个人的身份。本方案是将指纹身份验证技术与PKI体系有机的结合起来，最大限度的保证的企业网络系统的安全。利用“指纹+数字证书”的双因子认证解决方案可以建设高安全性的域登录系统以及VPN系统。3 方案特点及优势3.1 不可抵赖性信息的不可抵赖性是指发送信息的一方不能对自己的发送的信息进行抵赖，不能否认自己发送信息的行为。由于信息的传输是通过开放的互联网，经常会由于对发送的信息进行抵赖而引起不必要的纠纷和问题，给交易的双方带来巨大的影响和损失。网上交易行为一旦被进行交易的一方所否认，另一方没有已签名的记录来作为仲裁的依据。因此，需要提供一种有效的机制，来保证业务系统中传递信息的不可抵赖性。指纹识别技术是公认的可确认唯一性的身份识别手段，“指纹+数字证书”的双因子认证系统是综合了密码技术、数字摘要技术、数字签名等多项安全技术以及一套成熟的安全管理机制来提供有效的信息安全服务，通过建设 CA认证中心为用户签发数字证书，用户在业务系统中使用证书，完成用户的身份认证、访问控制以及信息传输的机密性、完整性和不可抵赖性。 PKI 技术已经被广泛应用于电子政务和电子商务，被证明是保证基于互联网的电子政务和电子商务安全的最佳解决方案。将指纹识别技术与PKI技术相结合利用指纹识别技术验证用户身份，通过指纹身份验证后方可访问数字证书，进行数字签名等应用。因此将指纹识别技术与PKI技术相结合，建立“指纹+数字证书”的双因子认证系统是实现“不可抵赖性”的最可靠保障。3.2 安全性“指纹+数字证书”的双因子认证解决方案利用了目前具有极高安全性的指纹识别技术、PKI技术和Windows 2003网络系统平台。指纹识别技术是一种成熟的模式识别技术，指纹识别技术可以作到在1,000,000人的基数内作到不“认假”，即一百万人中没有相同的两枚指纹。也就是说如果确认了指纹身份验证的合法性的正确性便可以断定是该指纹所有者的身份。在“指纹+数字证书”的双因子认证解决方案中保证系统整体安全性的第一步就是保证指纹识别过程的“独立性”、“公正性”。为保证指纹识别过程的“独立性”和“公正性”本方案采用嵌入式指纹识别算法，将指纹图像采集、图像处理、特征提取及指纹验证过程全部放在一个高安全芯片内完成。指纹识别的全过程不会被任何应用程序所干扰，可以做到最大程度的“独立性”和“公正性”。在“指纹+数字证书”的双因子认证解决方案中保证系统整体安全性的第二步是单独高安全芯片的指纹KEY。指纹识别算法与RSA算法、DES算法、TDES算法以及HASH算法等共同存放在同一个高安全芯片内，指纹图像的采集和处理全面由同一颗芯片完成。数字证书也存放在这个芯片中，电子签名及数据加解密都在同一颗芯片中完成。因此“指纹+数字证书”的双因子认证解决方案是利用基于单独的高安全芯片指纹KEY进行指纹身份认证和数字证书存储的，指纹身份认证在指纹KEY中完成，然后再读取数字证书进行电子签名，从而最终确认用户的网络真实身份。在“指纹+数字证书”的双因子认证解决方案中保证系统整体安全性的第三个层面是系统登录、网络链接和网络管理的安全性。本方案选择WINDOWS网络系统作为首选网络操作系统。利用WINDOWS网络操作系统的“域策略”、“域安全策略”、“组策略”、“CA服务器”、“VPN服务器”等多层次的安全保障机制作为整体解决方案的安全运行载体，为组织和搭建整个系统的安全打下良好基础。综上所述，“指纹+数字证书”的双因子认证解决方案是将“指纹KEY”与Windows网络操作系统下的PKI系统技术相结合，建设一套从用户指纹身份验证开始、到域登录、到VPN网络建立、再到域用户权限管理等多层次多级别的综合性安全保障体系。3.3 可靠性“指纹+数字证书”的双因子认证解决方案选择Windows Server 2003网络操作系统作为系统运行基础，很好的继承了Windows Server 2003系统的可靠性特点。3.3.1 安全可靠的指纹KEY硬件结构本方案中所应用的指纹KEY具有高计算能力、高安全性、多种应用接口、低功耗等特点。 指纹KEY内完成全部指纹身份验证过程 指纹KEY内密钥管理（密钥生成、密钥存储、密钥更新等） 指纹KEY内签名及身份认证（可以支持 RSA、ECC（p 域）等公钥算法） 专用算法下载执行及高速率数据加解密（支持 DES/3DES 算法和各种专用密码算法） 通过丰富的应用程序接口可以支持多种上层应用（PC/SC、PKCS # 11、 MS CAPI、 X.509 v3）3.3.2 稳健的系统体系结构系统越稳健，其可靠性就越大，即使一个应用程序或服务遇到了问题，也是如此。“指纹+数字证书”的双因子认证解决方案选择Windows Server 2003网络操作系统作为系统运行基础，Windows Server 2003是稳健的系统体系结构。Windows Server 2003可以通过对没有响应的应用程序进行了更好的处理，可以移动、最小化、关闭没有响应的应用程序的窗口，并可调整其大小。此外，在更新的驱动程序不能正常运行的情况下，还可以还原旧的驱动程序。系统的支持结构可以确保在早期 Windows 操作系统上正常运行的应用程序能够继续在 Windows Server 2003 家族产品上运行。3.3.3 自动系统故障恢复Windows Server 2003系统通过自动系统故障恢复 (ASR)，可以定期创建 ASR 集，作为系统出现故障时整个系统恢复方案的一部分。只有在使用其他方式，如“安全模式”和“最后一次正确的配置”等启动选项无效的情况下，才可以将 ASR 作为系统恢复的最后手段。有关以上选项和其他恢复选项的详细信息，请参阅启动选项。ASR 恢复选项由两部分构成：ASR 备份和 ASR 还原。您可以通过“备份”实用程序中的“自动系统故障恢复准备向导”来使用备份功能。“自动系统故障恢复准备向导”能够备份系统状态数据、系统服务、以及所有与操作系统组件相关的磁盘。同时向导还会创建一张软盘，其中包含有关备份、磁盘配置（包含基本卷和动态卷）以及如何执行还原的信息。在启动过程中的文本模式下出现提示时，您可以按 F2 使用 ASR 的还原功能。ASR 将从软盘中读取磁盘配置，并至少还原用于启动计算机的磁盘上的所有磁盘签名、卷和分区。（ASR 将尝试还原所有磁盘配置，但在某些情况下，ASR 不可能还原全部磁盘配置。）在这之后 ASR 将安装 Windows 的基本组件，并使用由“自动系统故障恢复准备向导”所创建的 ASR 备份集自动开始还原。3.3.4 完善的诊断工具Windows Server 2003系统利用诊断工具来监视系统状态并防止发生问题。诊断工具包括了以下多种诊断手断： 任务管理器概述 使用网络诊断 系统信息 系统属性 服务 事件查看器 网络监视器 监视性能 关闭事件跟踪程序 SNMP 设备管理器 Windows Management Instrumentation 控制3.4 易用性“指纹+数字证书”的双因子认证解决方案选择Windows Server 2003网络操作系统作为系统运行基础，很好的继承了Windows Server 2003系统的易用性特点。3.4.1 简单的指纹身份验证操作“指纹+数字证书”的双因子认证解决方案中所应用的指纹KEY是将传统的USBKEY的PIN码替换成了指纹，将原有的PIN码验证替换成了指纹身份验证，指纹KEY上集成了指纹传感器，指纹采集及验证直接在指纹KEY上完成。3.4.2 用户状态迁移工具 用户状态迁移工具 (USMT) 通过捕获和还原用户设置、文件和文档有助于进行部署。用户不必为诸如电子邮件服务器、代理服务器、桌面配色方案和桌面墙纸等重新配置桌面设置。 3.4.3 紧急管理服务 通过紧急管理服务，并与相应的硬件结合，即使在无法通过标准远程管理工具和机制访问服务器时，也可以完成远程管理和系统恢复任务。详细信息，请参阅紧急管理服务。 3.4.4 存储区域网络和网络访问服务器支持 Windows Server 2003 家族中的存储区域网络 (SAN) 和网络访问服务器 (NAS) 支持具有许多新的系统增强功能，以提高服务器的可用性。这些改进功能包括容错、网络连接方案，如连接到 SAN 和 NAS 服务器。连接到 SAN 时，Windows Server 2003 家族支持多路径故障转移，即从主服务器（运行 Windows 2000 Server、Windows 2000 Advanced Server、Windows 2000 Datacenter Server 或 Windows Server 2003 家族中的任何产品）到 SAN 卷启用冗余路径。Windows Server 2003 家族还支持连接到 NAS 以及用作 NAS。 3.4.5 网络负载平衡增强功能 网络负载平衡现在可以绑定到多个网络适配器，以便可以在每一台主机上配置多个独立的群集。有关虚拟群集的详细信息，请参阅虚拟群集。网络负载平衡使用 Internet 组管理协议 (IGMP) 支持限制交换流，以使流向网络负载平衡群集的流量只经过那些用于群集主机的端口，而不经过所有交换端口。 双向相似性通过使用 Microsoft Internet Security and Acceleration (ISA) Server 2000 增强了网络负载平衡在防火墙或代理服务器两侧进行负载平衡的能力。双向相似性可确保经过 ISA 服务器阵列中的特定服务器路由的客户端连接回到同一 ISA 服务器上进行负载平衡。这使得可以使用新的方案进行网络负载平衡，而这在早期版本中是无法使用的。详细信息，请参阅网络负载平衡和状态可控的连接。通过网络负载平衡管理器，可以创建新的网络负载平衡群集，并可以从一台远程或本地计算机对群集和群集中的所有主机进行配置和管理。3.5 可扩展性“指纹+数字证书”的双因子认证解决方案选择Windows Server 2003网络操作系统作为系统运行基础，很好的继承了Windows Server 2003系统的可扩展性特点。4 双因子认证的域登录解决方案4.1 系统结构设计“指纹+数字证书”的双因子认证系统是建立在Windows Server网络操作系统之上的，可以采用Windows 2003 Server或Windows 2000 Server。本系统中需要部属DNS服务器、主域控制器、IIS服务器、CA服务器，网络接入可以支持以太网也可以支持拨号链接。网络结构示意图如下：图1：网络结构拓扑图某些方面 4.2 系统设置及应用利用指纹KEY在Windows Server 2003上实现双因子认证的域登录不需要进行程序的开发，只需配置系统就可以了，我们分八个步骤来设置“指纹+数字证书”的双因子域登录系统： 一、配置域控制器 二、配置 IIS 服务器 三、配置 CA 服务器 四、申请注册代理证书 五、安装指纹KEY的驱动程序及硬件 六、初始化指纹KEY七、申请智能卡证书 八、使用指纹KEY进行域登录4.2.1 配置域控制器 由于“指纹+数字证书”的双因子认证解决方案是基于 PKI 体系的，而 PKI体系的核心是 CA 中心，而要建立 CA 中心颁发智能卡证书，需要安装企业根 CA，而安装企业 CA 中心，要求必须安装域控制器（Active Directory ）,下面我们来配置域控制器。从管理您的服务器界面上选择“添加或删除角色”选项，进入到选择服务角色，如图2。图2：配置域控制器选择“域控制器（Active Directory），选择“下一步（N）”按钮，按界面操作来配置域控制器，设置服务器类型，DNS,NetBIOS 等，完成域控制器的配置。4.2.2 配置 IIS 服务器 因为我们从web上来申请智能卡证书，而 windows 2003 Server 自带的证书系统需要通过IIS 来发布证书，因此我们需要安装 IIS 服务器，其服务器程序是基于 asp，所以我们必须配置active server page为允许，我们下面来配置 IIS 服务器。从管理您的服务器界面上选择“添加或删除角色”选项,后进入配置服务器角色的界面，如图3。图3：配置IIS服务器选择“应用程序服务器（IIS,ASP.NET）”，选择“下一步（N）”按钮，按系统提供完成 IIS 的其它配置。启动 IIS,出现Web 服务扩展界面（图4）。图4：配置IIS服务器将Active Server Pages 服务设置为允许完成 Internet 信息服务（IIS）管理器的配置。4.2.3 配置 CA 服务器 要颁发智能卡证书，必须要配置证书服务器，我们下面来配置证书服务器。选择“添加/删除Windows 组件，出现添加删除windows 组件的界面，如图5、图6。图5：配置CA服务器选择“证书服务”选项后出现，选择“下一步（N）”按钮,根据系统提示进行操作，出现选择CA类型界面（图6）。图6：配置CA服务器 要颁发智能卡登录证书，必须选择“企业根CA”才可以使用，选择“企业根CA（E）”后，选择“下一步（N）”按钮，根据系统提示填写CA识别信息、证书数据库设置等信息后完成证书颁发机构的安装 注：企业根CA和独立根CA都是证书颁发体系中最受信任的证书颁发机构，可以独立地颁发证书。企业根CA需要Active Directory 支持，而独立根CA不需要。从属级的CA由于只能从另一证书颁发机构获取证书，所以一般不被选择。而创立根主要用于外部网的CA,在安装后不能增加证书模板，不能颁发智能卡证书，所以我们这里不选择独立根CA。启动“证书颁发机构”，启动证书模板对话框（图7）图7：配置CA服务器 图8：配置CA服务器选择智能卡用户，智能卡登录，注册代理，注册代理（计算机）等策略，后选择“确定”按钮，返回到证书颁发机构（图9）。图9：配置CA服务器我们看到我们新增加的证书模板，已经位于证书模板中了，完成CA中心的配置。注：智能卡登录功能有客户端验证，智能卡登录。智能卡用户比智能卡登录多了安全电子邮件的功能，注册代理是以用户的帐号来申请注册代理证书，而注册代理（计算机）是以用户的计算机来申请注册代理证书。4.2.4 申请注册代理证书 Windows Server 2003为了安全起见，要求颁发智能卡证书必须通过注册代理站来颁发，不允许随意颁发智能卡证书，注册代理站需要使用注册代理证书，所以必须先申请注册代理证书，我们下面来申请注册代理证书 运行mmc程序进入控制台管理，启动添加独立管理单元对话对话框（图10、11）图9：配置CA服务器图10：配置CA服务器选择“证书”，选择“添加（A）”按钮后，根据系统提示完成证书管理单元选择。在控制台管理界面，选择“证书-当前用户”，选择“个人”，点击鼠标右键，选择“所有证书（K）”，选择“申请新证书”， 进行证书类别选择（图11、12、13）图11：配置CA服务器图12：配置CA服务器图13：配置CA服务器选择“注册代理”，选择“下一步（N）”按钮，根据系统提示填写出现证书的名称和描述等信息完成注册代理证书的申请4.2.5 安装指纹KEY驱动程序及硬件要在计算机上使用指纹KEY，必须要安装指纹的驱动程序，才可以访问指纹KEY，下面我们来安装指纹KEY的驱动程序。 运行指纹KEY驱动安装程序，根据系统提示完成驱动程序的安装。 注意：在安装驱动时不要将指纹KEY插在计算机的USB接口上。 驱动安装完成后需要重新启动计算机。在计算机重新启动后，将指纹KEY插入到计算机的USB接口，出现找到新硬件根据系统提示完成指纹KEY硬件的安装。完成指纹KEY的安装后，桌面将出现用户管理工具，利用用户管理工具可以完成指纹KEY的初始化，同时状态栏会出现指纹KEY的监视器。4.2.6 初始化指纹KEY要利用指纹KEY进行“指纹+数字证书”双因子认证域登录，首先要在指纹KEY中存放证书，必须先对指纹KEY进行初始化后，才能存储证书，我们下面就对指纹KEY进行初始化。运行，选择“指纹管理”，出现指纹管理初始化界面（图14）利用“登记指纹”进行用户指纹采集，完成初始化设置。4.2.7 申请智能卡证书 运行 Internet Explorer，在地址中输入http:/IPADDS/certsrv，出现证书服务页面（图 15、16）图15：申请智能卡证书图16：申请智能卡证书选择申请一个证书，选择选择“高级证书申请”，进行高级证书申请（图17）图17：申请智能卡证书选择“通过使用智能卡证书注册站来为另一个用户申请一个智能卡证书”，出现智能卡证书注册站（图18）图18：申请智能卡证书选择证书模板为“智能卡用户”，选择加密服务提供程序为：“IdeaBank Cryptographic Service Provider V1.0”，选择用户后，选择“注册”按钮，出现输入用户指纹的对话框用于验证用户身份。此时在指纹KEY上采集刚才初始化时采集的指纹。致此完成智能卡证书申请，可以进行“指纹+数字证书”双因子认证的域登录。4.2.8 使用指纹KEY进行域登录现在我们已经将数字证书存储在指纹KEY中了，我们开始使用指纹KEY来进行“指纹+数字证书”双因子认证域登录。录出现系统登录窗口时插入指纹KEY（图19）。图19：系统登录窗口插入指纹KEY后出现PIN码输入窗口，此时不需要输入任何数据直接按回车键，会出现指纹采集窗口，然后根据指纹KEY上面的指示灯提示采集指纹。指纹验证通过后系统完成“指纹+数字证书”的双因子