生物计量私用密钥基础结构的制作方法

专利名称：生物计量私用密钥基础结构的制作方法
技术领域：
本发明一般涉及网络通信和交易，并特别涉及使用采用生物计量鉴别的私用密钥基础机构的网络通信与交易的信任与验证。
背景技术：
因特网正日益成为全球范围商业和通信的基本平台。现在这是充满了无数的计算机和电子网络的一个联网的世界。在商业世界，总部办公室，金融机构等通信并共享着敏感信息，都使因特网使用蓬勃增加。商业，政府，与个人都严重依赖着新技术，进行日常的商业活动。成人、儿童等通过访问因特网依赖于电子邮件在他们的舒服的家中与朋友，伙伴，及亲爱的人通信。
由于日常越来越接近实现因特网与其他网络的全部潜能，人们现在以同基于纸张的交易和现场相关的相同的信用程度从事商业交易。密封的信封，正式的信笺，书写的签名，ID验证与可靠的投递服务，在传统的通信中提供了可信度。在网络中，电子交易是在“虚拟世界”进行的。
然而促使因特网蓬勃发展的非常的开放性，也使其难以保证因特网在上下文、形式和用户身份交易的可靠性。政府，商业和个人需要的机制不仅要保证他们通过因特网传输的信息的完整性，而且还有舒适性，使得受到保护的信息是真正由本人发送的，这样提供与亲自进行的基于纸张的交易和身份验证同样的信用等级。
因而在向因特网发送他们的敏感通信之前，用户需要特别的保证。他们希望他们的电子交易保密并避免被篡改。他们希望能够确信参与者就是所声称的人，并且他们希望保证在有犯罪之后任何人都不能否认交易中的牵连。
公用密钥加密和公用密钥基础结构(PKI)，是在网络环境中用于提供可靠的在线交易的已知方法。如已知，公用密钥加密包括使用非对称公用密钥与私用密钥(即密钥对)。实现公用密钥加密的一个示例性框架在由RSA Security，Inc.提供的公开的Public-KeyCryptography Standard(PKCS)中提出。该标准的2.1版(2002年6月)在www.rsasecurity.com/rsalabs/pkcs/pkcs-1/index.html可得，其内容在此结合以资参考。
PKI进而可包括使用数字证书和认证当局。传统的PKI 100的一个例子示于图1。如图1所示，当发送者102希望向接收者104发送受托(trusted)消息(例如为了进行安全交易)时，发送者102从认证当局106申请密钥对。认证当局(CA)106为发送者102生成包括私用密钥108和公用密钥110的一个密钥对。CA进而发出包含发送者公用密钥和各种其他识别信息的加密数字证书114。CA使其自身的公用密钥112例如通过印刷公开或在因特网上可得。这时目标接收者104可使用CA的公用密钥112解码数字证书，并验证其是由CA 106发出的。使用这一信息，接收者这时可获得发送者的公用密钥110，并使用该密钥向发送者102发回加密的回复。从发送者102到接收者104的消息，不论是否被加密，都可包括一数字签名供进一步验证。正如所知，数字签名使用发送者私用密钥108产生于该消息本身，验证该签名属于这一特定消息，并这样保证消息的内容没有被篡改。这样使用发送者公用密钥110，接收者108可解码数字签名并进行这种附加的验证。应当注意，这里使用术语“发送者”和“接收者”是为示例的简洁。业内专业人员应当明白，在一个交易中具体的“发送者”也可以接收加密的或未加密的消息，而一具体的“接收者”也可以对同一或不同的交易发送消息。
这样传统的PKI 100试图保证敏感的电子通信私秘性并避免受到篡改。其提供了某些安全性，使得原始消息的内容不会被篡改并能够由接收实体验证。
渴望参与数字革命的政府，商业和个人都是数字证书在未来的用户。鉴于这将涉及的潜在的证书数目，就需要一种方法监督并管理它们的使用。证书的管理是PKI认证当局能力的评估。在世界范围，企业不论大小都采用公用密钥基础结构作为它们优选的解决方案，以便能够中心化生成，分配，管理，更新和收回证书。
然而，仍存在问题。在因特网上当前交易系统安全的前提是合法用户拥有已知的东西(私用密钥)，或已经以口令或加密用户私用密钥的标记(token)委托，或准许通过使用传统加密技术对其访问。这一私用密钥能够嵌入在数字证书的内容中(在web浏览器的情形下)，或者能够在手持的或计算机装置中被加密，诸如灵巧卡或其他电子装置。在所有这些情景中，是假设用户保护这些装置及密钥不会受到通过个人财产和安全措施被窃。然而，在今天的网络环境中，这些标记可能由用户不小心的控制，或直接被偷窃或口令被篡改，安全易于受到威胁。
由本受让人共有的共同未决U.S.申请No.90/801,468(AWT-003)，使用生物计量学大大推进了降低与在线交易相关联的欺骗的技术状态。然而仍然需要把该发明的某些生物计量用户鉴别方式，更充分扩展到标准网络环境中在线通信与商业交易，以便进一步解决该技术中上述问题。

发明内容
本发明一般涉及网络通信与交易的信任与鉴别。根据本发明的一个方式，提供了一种采用生物计量(biometric)私用密钥(BioPKI)的网络基础结构。一般来说，Bio PKI是使电子用户鉴别有效的两个软件解决方案的唯一的组合当前技术水平的生物计量签名系统，以及用于数据集成的数字签名。该组合的解决方案允许联网业务和商家诸如金融机构，确信在标准的网络环境中用户鉴别以可信而安全的方式进行。这一新的技术提供了电子通信界中的用户鉴别与数据集成两者。
在一个示例性实现中，生物计量签名通过向现有的数字签名过程添加自动的非规范的用户鉴别能力来证明标准的数字签名。与纯粹基于生物计量系统或数字签名/证书环境中的简单验证不同，BioPKI使用了生物计量技术的组合访问私用密钥，以便基于生物计量鉴别和工业标准的PKI技术生成数字签名。在一个例子中，BioPKI使用公用密钥加密技术加密用于向BioPKI服务器传输的生物计量签名信息。加密包包含几层内部信息，以保证在访问个人私用密钥之前生物计量签名安全与可靠。
根据本发明的一个方式，该系统包括一个客户机/服务器设计，使得BioPKI能够在网络环境中无缝地工作。在一个可行的例子中，该系统的特征是一种分布式体系结构，以便快速鉴别个人，这通常要使用简单的四个数字PIN/标记技术鉴别，以确认个人的私用密钥(诸如灵巧卡)。BioPKI鉴别服务器要访问生物计量模板，这是在访问用户本身私用密钥之前鉴别个人必须的，并有处理能力把数字签名路由到适当的下游实体供交易处理。这包括诸如支付网关，金融机构，或其他鉴别经纪人。BioPKI采用生物计量用户鉴别以及私用密钥基础结构技术。通过把这两种技术结合在一起，生成一种更加可靠的“无线PKI”安全系统，其不需要个人维持多个标记；而是这一方法允许那些私用密钥(多个)存储在安全服务器上，该服务器只能在生物计量签名(例如指纹)被验证之后才能访问。BioPKI还能够使用用于用户鉴别的一种附加的口令元素实现，这可以要求或可以不要求生物计量签名附加的安全性。这后一技术允许系统的用户有能够对于目标交易处理确定他们所希望的安全级别。
BioPKI服务器和主机通过各种可靠的网络方法连接，以形成客户机/服务器体系结构。该服务器和客户机每一个包含分散的子系统，他们向网络用户提供各种级别的鉴别服务。在本发明的一个例子中，该系统由用户客户机(多个)、基于网络的服务器、及保证用户数据可靠传送的工业标准的加密组件组成。当前的实现包括通过SSL强大的加密。


在阅读伴有附图的本发明具体实施例的以下描述时，对于业内专业人员本发明的这些和其他方式和特征将变得明显，其中图1是表示传统的公用密钥基础结构的框图；图2是表示采用根据本发明的生物计量鉴别(Bio PKI)的网络基础结构的框图；图3是一框图，表示能够用于根据本发明的基础结构的PKdI服务器的一种示例性实现；图4是一框图，表示能够用于根据本发明的基础结构的PKdI服务器的另一示例性实现；图5是一流程图，表示通过根据本发明的一个方式登记(enrollment)过程实现的一种示例方法；图6是一流程图，表示通过根据本发明的一个方式记录注册(registration)过程实现的一种示例方法；图7是一流程图，表示通过根据本发明的一个方式登录(login)过程实现的一种示例方法；图8是一流程图，表示通过根据本发明的一个方式确认(confirmation)过程实现的一种示例方法。
具体实施例方式
现在将参照附图详细说明本发明，这些附图作为本发明的示例性例子提供，以使业内专业人员能够实践本发明。明显地，以下的附图和例子不意味着限制本发明的范围。此外，本发明某些元件可部分地或全部使用已知的组件实现，将只描述为理解本发明所必须的那些已知的组件部分，将省略这些已知组件的其他部分的详细描述，以突出本发明。进而，使用硬件一定的组件与使用软件一定的其它组件的实现，在业内专业人员中被看作是设计的选择，且这里所描述的它们的组合是为了示例，而不是限制。另外，本发明包括与这里以示例方式所述当前和未来已知的组件的等价物，且包括这些等价物的实现被看作是本发明的可替代的实施例。
图2是一框图，表示根据本发明的一个方式生物计量私用密钥基础结构(Bio PKI)200的一种示例实现。
一般来说，简要使用公用密钥密码术，数字签名和生物计量特征，BioPKI提供了用户通过因特网和其它网络秘密传输敏感信息所需的可靠性。根据本发明的一种方式，鉴别是基于要求生物计量签名(多个)与已知的模板匹配，以便在继续交易过程之前访问存储在安全服务器上的私用密钥。
BioPKI保护了个人的生物计量特征，使其不能被泄密或滥用。然后这一可靠的信息用来检索唯一指定私用密钥，该密钥只能通过生物计量确信来访问以指定交易消息上下文。结果是，采用数字签名、加密和解密(数据扰频和反扰频)技术以及策略和过程全面的框架的这一新的技术，提供重要的优点。这包括以下通过保证电子通信不被未授权人员截获和阅读提供了私秘性；通过保证它们在传输期间不被更改，以及所使用的私用密钥在指定给消息之前以生物计量签名验证，确保电子通信的完整性；验证电子交易中涉及的部分的身份，使得电子交易中涉及的任何部分不能拒绝它们在交易中的牵连。此外，BioPKI通过一种对用户透明的简单的过程传递这些担保。
至于传统的PKI’s，这一示例实现中BioPKI200使用公用密钥加密，使得基于PKCS通过使用数学算法或密钥对数据扰频(加密)，及相关的数学密钥对其反扰频(解密)，保证敏感信息或消息的保密性。因而，授权的用户接收PkdI客户机220，例如其包含捕获硬件和软件的专门的加密和生物计量签名。对于授权在PKI 200中使用的用户还生成一对密钥，一个是可访问的公用密钥204，另一个是私用密钥206。然而，与传统的PKI’s不同，用户的这一私用密钥204对用户保持保密并存储在可靠的服务器上，并只有在真实的生物计量签名208已被鉴别之后才能访问。在密钥对中的密钥在数学上是相关联的，使得以发送者私用密钥206加密的消息只能使用对应的公用密钥204被证实。这样作为发送者，一个授权的用户(例如银行顾客或雇员)使用他/她的私用密钥206加密他/她的消息(例如资金转移请求)，并且意向的接收者(例如银行)使用公用密钥204证实该消息。可使公用密钥通过例如在电子指南中发布而自由获得。
至于传统PKI’s，认证当局202是Bio PKI200的主要组件。这是受委托的第三方，负责发出对应于授权用户的数字证书210，并在它们整个寿命期间管理它们。然而与传统的证书当局不同，根据本发明的认证当局202还包括一个PKdI服务器212，如以下更为详细所述，其生成并管理用于生物计量模板和与授权用户相关的私用密钥的知识库。
PKdI服务器212例如是通过诸如由Sun，Hewlett Packard等提供的服务器计算机实现的，配以Unix或类似的操作系统及网络服务器功能，诸如公共域Apache服务器。PKdI服务器212最好还包括安全软件层协议功能，用于所有与客户机220的通信的加密/解密。根据本发明的另一方式，PKdI服务器212由与其交易受到保护的业务分开的受托第三方维护和操作。应当注意，PKdI服务器212可包括与这里所述不同的硬件和软件。然而为突出本发明，这种传统的组件和功能将不再详细说明。对于这里所述的功能和实现，还可与共同未决申请No.09/801,468(AWT-003)对比。
虽然为了示例这里是分开描述的，但应当理解，PKdI服务器212一定的组件和功能可集成在诸如金融机构等交易供应商的web服务器或网络内。业内专业人员将可理解通过本例所述之后的各种替代方式，且这些替代方式被看作是本发明附加的实施例。
生物计量签名208可与传统的针对个人驾驶执照，护照等的身份检验相对比。在一个示例的实现中，诸如在共同未决申请(AWT-003)中所述的指纹特征技术，用来对来自生物计量样品的不同特征进行确定和编码，以产生生物计量签名模板。然后对个人的记录的模板进行生物计量比较，以准许对用于交易的个人的私用密钥206进行访问。
数字证书210是例如包含发送者的公用密钥204与关于发送者特定标识信息的电子文件。数字证书可通过CA 202加密，并由接收者使用CA的用于验证证书内容的公用密钥222解密。例如通过使用标准的数字证书产生，使它们可防止篡改且不能被伪造，并由用于敏感信息的数据加密/解密的因特网团体受托。这样如同在发放护照时护照办公室那样，证书当局202认证被准许数字证书的个人就是他或她所声称的人。
数字签名214是可与传统的纸基签名相比的电子标识符-它是唯一的可验证的，并且只有签名者能够使其启动。与加密或未加密的消息一同使用，数字签名还保证包含在数字签署的消息或文档中的信息在传输期间没有被改变。
PkdI客户机220包括生物计量收集装置和相关的软件(例如指纹扫描与特征，视网膜扫描与特征等)，以及用于与PkdI服务器212通信的加密/解密软件。就共同未决申请No.09/801,468(AWT-003)未描述的和业内已知的加密/解密，网络通信技术与协议(例如HTTPS，TCP/IP及SSL)来说，PkdI客户机220的功能和实现细节，从以下PkdI服务器212的描述将明显可见。进而应当注意，与PkdI客户机220相关的具体的计算机装置对于本发明不是主要的，并可包括诸如PC，膝上型电脑，笔记本电脑，PDA及其它手持装置，灵巧电话机等装置。
一般来说，本发明的生物计量刻划特征提供了保证，使得个人借助于不可否认的特征，例如指纹，视网膜扫描等被鉴别。根据本发明的一个方式，对于他们需要访问的每一服务，个人不再需要维护包含他们的私人信息的“标记”。而是这种信息可在PkdI服务器212上对于授权用户产生和存储。这时对附加到消息上的一个数字签名的请求，使用生物计量签名对于个人提交请求进行鉴别。如果由个人与对数字签名请求一同提交的生物计量签名，与个人存储的模板不匹配，则个人的私用密钥206对于该请求不能访问或使用。这一技术保证了用户自身的私用密钥不会由于偷窃而被泄密，并且用户不会有为启动安全交易必须持有仪器或口令的负担。这样需要由用户提供或维护的唯一的“标记”是他/她自身不可改变的特征，诸如在共同未能决申请中所述的指纹，视网膜扫描或其它生物计量签名。
图3中提供了表示根据本发明一定方式的PkdI服务器212一个示例性实现的框图。
如图3中所示，这例子中的服务器212包括登记(enrollment)过程302，该过程将生成两个不同的预登记密钥，然后提供给不同的实体，供对于每一寻求与该系统登记的个人产生最终登记密钥。在一个示例性实现中，登记密钥是唯一且随机产生的字母数字串，其至少为19个字符长。根据一个例子，登记过程302要求最终登记密钥由一个受托个人使用由两个其它个人产生的预登记密钥产生，这样提供了另一层的安全性并保证了新用户的登记不被单个的个人所控制。应当注意，登记可包含其它的行动，诸如帐户信息及其它与预期用户相关的标识信息的输入/产生。
进而如图3所示，PkdI服务器212还包括注册(registration)过程304。一般来说，注册过程304允许个人与PkdI服务器212注册。在注册过程期间，与第三方相关的受托个人配置预期的用户与PkdI客户机220，并监督用户通过客户机输入的帐户ID、口令及登记密钥。受托个人最好还保证该人员实际输入该ID，口令，登记密钥，且生物样本是“冠名的”登记者。
在PkdI服务器212已证实由登记者输入的该帐户ID、口令及BioPKI登记密钥之后，这时要求登记者提交生物签名208用于生成生物计量模板。在收到“验证的”生物模板之后，PkdI服务器212对于登记者产生一个私人和一个公用密钥204，206(即密钥对)。
在登记者已成功与PkdI服务器212注册之后，他/她将被重新定向到登录页面或对于正常交易处理的规定位置。登录过程306维护该登录页面。一般来说，在允许访问发送者私用密钥206以生成供要求数字签名的交易的数字签名214之前，登录过程要鉴别发送者的生物计量签名208。
如上所述，在许多的优点中，这省略了需要个人必须携带供特定应用的几个“标记”。这些标记是另外与域一同存储在服务器212上，并只有当进行了所有的验证和生物计量签名过程发生时才能使用。
然后登录过程306，使用存储在PkdI服务器中对应于输入的用户ID与口令的生物计量模板，对个人进行生物计量鉴别。例如，登录过程306引起PkdI客户机220从个人收集生物计量签名。然后收集的生物计量签名208与存储的生物计量模板对比。在证实了收集的生物计量签名208时，可执行到适当的应用程序或页面的重新定向。例如，BioPKI可具有能力向与被请求的业务相关联的帐户与口令系统转发鉴别的请求，供验证和检索与该个人相关的许可信息。如果生物计量签名208与存储的模板不匹配，则该个人被重新定向到生物计量失败的一指定页面。在共同未决的申请(AWT-003)中提供了如何确定“匹配”的一个例子。
在一个示例性实现中，BioPKI采用PKCS技术加密生物计量签名208信息，供向PkdI服务器212传输。加密包可进而包含几层内部信息，以保证包在传输期间或出发点没有被泄密。例如，当PkdI服务器212收到对生物计量鉴别的请求时，该服务器向该请求指定一个唯一的交易ID，其成为加密/解密过程的一部分。结果是，不会生成两个相同的交易，而且它们也不会被BioPKI接受。
当PkdI服务器212收到生物计量包时，它检验该包的每个组件的完整性。通过对所有交易请求使用唯一产生的一次性私人-公用密钥对，生物计量签名是自保护的。这些密钥对的产生是使用标准PKCS技术进行的，并保证了每一交易请求是唯一的。这一实现保证了申请计量数据的“切割和粘贴”是不可能的，因为对用户的每一个对话请求是通过PkdI服务器随机产生的，并保证了在交易中每一点处唯一的加密。然后整个对话请求通过标准的SSL协议被双加密。除了对话的私人-公共对之外可进行完整性检验，以保证生物计量签名没有被包括使用切割/粘贴手段篡改。这些附加的检验可包括IP地址戳(在两个方向证实目标客户机的因特网地址)，以及时间戳和/或唯一交易ID。如果任何完整性检验失败，则生物计量请求被认为无效且请求被拒绝。与交易流的性质有关，可把个人重新定向到另一网络位置，诸如出错或原始登录页面。
图4示出根据本发明PkdI服务器可替代的一个实现。如图4所示，这例子中的服务器还包括确认过程402。
组织(例如金融机构)的web站点的交易确认页可被修改，使得例如在点击到用于电子交易的“提交”按钮时，使用已知的重新定向技术向PkdI服务器转发一个请求，供生物计量确认。这时PkdI服务器212建立与发送者的链接并调用PKdI客户机220。
发送者用户ID用来确定生物计量模板及相关的私用密钥206。然后PKdI客户机220收集个人的生物计量签名208。如果生物计量鉴别成功，则检索与该生物计量签名208相关的私用密钥206，并用来签署该消息的上下文。然后与该交易请求相关并以私用密钥206加密的数字签名，向下游转发供接收者处理。如果生物计量签名与请求者的存储的生物计量模板不匹配，则私用密钥不能被访问且该消息不被签署。一个消息，在私用密钥通过使用个人的生物计量签名被证实之前，一直被认为是“未签署的”。
可由接收者和/或发送者请求进一步的验证以强化数字签名，该验证还可在确认过程402的另一示例性实现中进行。例如，接收者或发送者可请求针对个人模板的附加的生物计量签名比较。生物计量签名被捕获并在一数据库中维护，供在规定的周期以私用密钥签署的每一交易使用。用来提供对私用密钥访问的捕获的生物计量签名208，对于这一鉴别过程可进而作为接收者接收消息的一部分被结合。这提供了双倍的验证使用个人生物计量签名208访问私用密钥206，以及在消息本身包含用来签署该消息的实际的生物计量签名，并比较接收的生物计量签名与存储的模板。
应当注意，确认过程402可包括以上生物计量验证功能任何之一或两者。
图5是一流程图，描述了可由根据本发明的PkdI服务器的登记过程实现的一示例性方法。
根据本发明的一种方式，该过程通过要求一个以上个人的参与而保护登记密钥产生过程。可采取以下步骤保证BioPKI登记密钥的生成的安全和可靠。应当理解，登记过程只能在以下情形才能启动，即用户的申请已被完全验证并由用户将赢得对其访问的主持服务的实体(金融机构)批准。
如步骤S502-1与S502-2所示，来自服务机构的两个被授权的雇员(密钥-产生器-1和密钥-产生器-2)/(KG-1和KG-2)将访问登记过程，并对登记过程提供用户标识信息。然后登记过程产生各自的预登记密钥并将它们传送给雇员。在一个例子中，预登记密钥是唯一且随机产生字母数字串。KG-1和KG-2最好将分开访问登记过程，以对每一批准的用户/客户产生预登记密钥。
然后KG-1和KG-2将把预登记密钥转发到密钥产生器管理员和认证器(KGAC)，供产生并批准最终登记密钥。来自组织的授权的雇员将是KGAC。在KGAC已输入预期用户的标识信息之后，登记过程将提示KGAC已对用户产生的两个预登记密钥。如果这一信息正确，则登记过程将产生最终登记密钥，并如果需要，可进而要求由KGAC提供生物计量签名(S504)。在一个例子中，使用专有程序产生最终登记密钥。
在步骤S506，KGAC这时将向BioPKI管理员转发一指令以定义用户(例如产生一个用户ID)，并发出默认/临时口令与匹配的最终登记密钥相关。在一个例子中，这是由转发给BioPKI管理员被认证的一个文档进行的。这种被认证的文档将包含用户ID，默认/临时口令和最终登记密钥，还有其它可能的标识信息。然后BioPKI管理员在准备相关的客户/用户登记并收集生物计量数据中，将向BioPKI系统输入这种信息，这将在以下更为详细说明。
图6是一流程图，其描述可通过根据本发明的PKdI服务器的注册过程实现的一示例性方法。
在一个例子中，BioPKI管理员在系统中输入用户信息之后，这时将对售后支持组给出认证的最终登记密钥。然后售后支持组中受托的个人将以用于访问PdkI服务器并与之通信的一客户机配置预期的用户。例如，支持组将在客户工作站上安装BioPKI客户机软件及生物计量扫描仪(步骤S602)。
在安装之后，用户将使用客户软件利用用户ID、口令及由售后支持组提供的最终登记密钥登录到BioPKI系统(步骤S604)。如果这一输入的信息与存储的信息不匹配，则注册过程将不注册该用户且处理将结束(步骤S608)。否则，则将提示用户输入一生物计量供收集。生物计量的收集最好由支持组个人亲自监督，以便保证冠名的用户就是实际提供生物计量样本的人(例如指纹扫描)(步骤S610)。
如果生物计量样本收集的结果是成功生成生物计量模板(如步骤S612中确定的)，用户将与系统注册。在这点用户可改变他/她的默认/临时系统口令。在一个示例性实现中，注册包括对于用户产生公共/私用密钥对，并生成数字证书，其包含用户的标识信息与用户的公用密钥。然后这一数字证书提供给这用户要注册的服务机构(例如金融机构)，使得该服务机构能够获得用户的公用密钥用于后继通信。
图7是一流程图，描述了能够由根据本发明的PkdI服务器的登录过程实现的示例性方法。
在一个例子中，与本发明的BioPKI系统有合同的服务机构(即证书当局202，最好是受托第三方)，在准许请求的用户访问服务机构之前，将有一登录屏幕。与登录屏幕相关的是一启动PkdI服务器登录过程的脚本。一旦请求的用户输入一用户ID及口令，该信息将转发到PkdI服务器的登录过程(步骤S702)。如果用户ID与口令匹配(在步骤S704确定)，用户的生物计量模板将被检索，且进而将要求用户提供生物计量签名(步骤S708)。如果生物计量签名与对于该用户存储的模板比较是符合的，则进行向适当的应用程序或页面重新定向。例如，BioPKI可把鉴别的请求转发到被请求的服务机构中帐户与口令系统，供验证与向用户授予许可。如果登录或生物计量签名不匹配，则该个人将被重新定向到对于生物计量失败指定的页面，并被拒绝访问请求的服务机构(步骤S706)。
如以上详细说明，BioPKI可利用PKCS技术加密生物计量签名信息供向PkdI服务器传输。加密包可进而包含几层内部信息，用来保证包在传输期间或在原始点不会被泄密。当PkdI服务器接收对生物计量鉴别的请求时，服务器向该请求指定唯一的交易ID，其成为加密/解密过程的一部分。结果是，不会生成任何两个相同的交易，它们也不会被BioPKI系统接受。其它内部验证可包含IP戳和时间戳。
图8是一流程图，描述了可由根据本发明PkdI服务器的确认过程实现的示例性方法。
如果请求用户交易的确认，使用已知的例如供生物计量确认的重新定向技术该请求被转发到PkdI服务器(步骤S802)。然后PkdI服务器212建立与发送者的链接，并调用PkdI客户软件，用于收集并传输用户的生物计量签名(步骤S804)。
发送者的用户ID用来确定供比较的生物计量模板(步骤S806)。如果生物鉴别成功，则检索与该用户相关联的私用密钥206，并用来签署该消息上下文。然后数字签名附加到通向服务机构/接收者的该消息。如果生物计量签名比较失败，则不能访问私用密钥且消息不被签署(步骤S808)。在这点，接收者可决定地通过解密数字签名确认该用户的访问。
然而，可通过请求生物计量签名对个人的模板的比较，进行为强化数字签名的附加验证。在步骤S812确定这是否需要这样作(由发送者或接收者请求)。对于每一交易在步骤S804捕获的生物计量签名可保存在一数据库，对于规定的时间周期以生物私用密钥签署。如果需要进一步的确认，则生物计量签名本身可作为接收者为这一鉴别过程而接收的消息的一部分被结合(步骤S814)。这提供了使用个人的私用密钥以及用来签署该消息的实际的签名的双倍的验证过程。于是，在接收者请求时，确认过程可提供一验证，表明转发的生物计量签名对发送者存储的模板比较是成功的。
虽然已经参照其优选实施例对本发明进行了具体的描述，但对于业内一般专业人员显而易见的是，在不背离本发明的精神和范围之下可作出形式和细节上的变化和修改。所附的权利要求就是要囊括这些变化和修改。
权利要求
1.一种方法，包括接收对一服务机构进行访问的请求；从与该请求相关联的用户收集生物计量样本；比较该生物计量样本和与该用户相关联的生物计量模板；以及根据比较步骤的结果提供对私用密钥的访问。
2.根据权利要求1的方法，还包括如果该结果指示匹配，则使用对该用户的私用密钥产生一数字签名。
3.根据权利要求2的方法，还包括向与该请求相关联的服务机构提供该数字签名。
4.根据权利要求3的方法，还包括向与该请求相关联的服务机构提供对应于收集的生物计量样本的一生物计量签名。
5.根据权利要求4的方法，还包括允许服务机构根据比较步骤的结果，确定是否进行对应于该请求的交易。
6.根据权利要求1的方法，还包括对用户产生预登记密钥；向各密钥产生者提供该预登记密钥；以及只有当由密钥管理员提供的密钥匹配于提供给密钥产生者的预登记密钥时，对用户产生一最终登记密钥，密钥管理员是不同于密钥产生者的人员。
7.根据权利要求6的方法，还包括根据最终登记密钥的比较验证用户的注册；只有当注册被验证时，才对用户生成生物模板；以及只有当该生物模板成功生成时，才产生私用密钥。
8.根据权利要求6的方法，还包括使用户标识信息与最终登记密钥相关联。
9.根据权利要求1的方法，还包括加密所收集的生物计量样本用于向鉴别服务器传输；以及把完整性信息纳入加密的生物样本。
10.根据权利要求9的方法，还包括在鉴别服务器解密加密的生物计量样本；以及检验与生物计量样本一同被包含的完整性信息。
11.根据权利要求9的方法，其中完整性信息包含一个唯一的交易标识符。
12.根据权利要求1的方法，还包括使用户的标识信息与该私用密钥相关联；以及维护包含用户标识信息和对应于私用密钥的公用密钥的数字证书。
13.根据权利要求1的方法，其中生物计量样本包含一指纹扫描。
14.一种设备，包括用于接收对一服务机构访问的请求的装置；用于从与该请求相关联的用户收集生物计量样本的装置；用于比较该生物计量样本和与该用户相关联的生物计量模板的装置；以及用于根据比较步骤的结果提供对私用密钥的访问的装置。
15.根据权利要求14的设备，还包括如果结果指示匹配，使用对该用户的私用密钥用于产生一数字签名的装置。
16.根据权利要求15的设备，还包括用于向与该请求相关联的服务机构提供该数字签名的装置。
17.根据权利要求14的设备，还包括用于向与该请求相关联的服务机构提供对应于收集的生物计量样本的一生物计量签名的装置。
18.根据权利要求17的设备，还包括用于允许服务机构根据比较步骤的结果，确定是否进行对应于该请求的交易的装置。
19.根据权利要求14的设备，还包括用于对用户产生预登记密钥的装置；用于向各密钥产生者提供该预登记密钥的装置；以及用于只有当由密钥管理员提供的密钥匹配于提供给密钥产生者的预登记密钥时，对用户产生一最终登记密钥的装置，密钥管理员是不同于密钥产生者的人员。
20.根据权利要求19的设备，还包括用于根据最终登记密钥的比较验证用户的注册的装置；用于只有当注册被验证时，才对用户生成生物模板的装置；以及用于只有当该生物模板成功生成时，才产生私用密钥的装置。
21.根据权利要求19的设备，还包括用于使用户标识信息与最终登记密钥相关联的装置。
22.根据权利要求14的设备，还包括用于加密所收集的生物计量样本以向鉴别服务器传输的装置；以及用于把完整性信息纳入加密的生物样本的装置。
23.根据权利要求22的设备，还包括用于在鉴别服务器解密加密的生物计量样本的装置；以及用于检验与生物计量样本一同被包含的完整性信息的装置。
24.根据权利要求22的设备，其中完整性信息包含一个唯一的交易标识符。
25.根据权利要求14的设备，还包括用于使用户的标识信息与该私用密钥相关联的装置；以及用于维护包含用户标识信息和对应于私用密钥的公用密钥的数字证书的装置。
26.根据权利要求14的设备，其中生物计量样本包含一指纹扫描。
27.一种鉴别基础结构，包括一个服务器，其截取对一服务机构访问的请求；以及一个客户机，其从与该请求相关联的用户收集生物计量样本，其中服务器维护与用户相关联的生物计量模板，用于鉴别收集的生物计量样本，以及其中服务器根据鉴别的结果提供对私用密钥的访问，使得用户无须维护用于访问服务机构的标记。
28.根据权利要求27的鉴别基础结构，其中私用密钥用来签署一个消息，以允许用户同服务机构进行交易，服务机构从该服务器获得对应的公用密钥。
全文摘要
根据对网络通信与交易提供信任与鉴别的方式，提供了一种采用生物计量私用密钥(BioPKI)的网络基础结构。一般来说，BioPKI是验证电子用户鉴别的两个软件解决方案的唯一的组合当前技术水平的生物计量签名系统，以及用于数据集成的数字签名系统。该组合的解决方案允许联网业务和商家诸如金融机构确信，在标准的网络环境中用户鉴别以可靠而安全的方式进行。在一个示例性实现中，生物计量签名通过向现有的数字签名过程添加自动的非规范的用户鉴别能力，证明标准的数字签名。与纯粹基于生物计量系统或数字签名/证书环境中的简单验证不同，BioPKI使用了生物计量技术的组合访问私用密钥，以便基于生物计量鉴别和工业标准的PKI技术生成数字签名。
文档编号G06F1/00GK1705925SQ03820062
公开日2005年12月7日 申请日期2003年7月1日 优先权日2002年7月3日
发明者鲁兹·M.·索托, 迈克尔·L.·汉金森, 罗杰·皮尔基 申请人:富利科技有限公司